第一篇:网络设备调查报告大全
网络设备调查报告
随着信息的全球化、产业的全球化、科学技术的不断发展,互联网逐渐成为了人们生活中不可或缺的一部分。随着互联网的发展,一切网络设备、入网设施、网络运营等都在发生着翻天覆地的变化。众观全球,金融危机为外资企业入驻中国计算机网络设备发展创造了条件,国际许多计算机网络设备企业已经看中在中国低成本拓展市场的机会,随着外资投入逐步加大,中国国内企业改革重组迅速加快。同时新的行业制度等政策的颁布和实施将促使我国计算机网络设备洗牌,企业兼并重组将在政策的促使下大力发展。随着国内环保经济的发展,低碳已经成为“十二五规划”中的主题,计算机网络设备的产业升级已经在升温。国内出现了许多网络设备提供商。
本次报告内容:主要是对网络设备中的交换机、路由器、服务器、防火墙的调研,主要从以下几个方面调查:品牌关注格局、产品关注格局、主流品牌对比、产品结构对比、主流厂商对比等。
一、交换机
据数据显示,3月交换机市场,H3C、华为、思科三家品牌关注比例均在20%以上,呈三足鼎立之势。其中H3C以较小优势领先,领先第二名华为1.9个百分点。排在第四的品牌是TP-LINK,获得
7.9%的关注比例,与前三甲差距较为明显。
二、路由器
2012年中国企业路由器市场上,品牌关注格局呈集中态势。前
十家品牌累计占据90%以上的关注比例,其中前三甲品牌H3C、华为、D-Link用户关注度累计超六成,对市场的影响力较大。其他上榜品牌关注比例均在10%以下。
与2011年相比,2012年中国企业路由器市场品牌关注格局变化显著,H3C、华为关注比例上升,来到了冠亚军位置,D-Link排名降至第三。TP-LINK、维盟2012年新跻身榜单,取代了思科与迅捷网络。欣向、侠诺等品牌排名保持稳定。
三.服务器
从品牌关注格局来看,本月IBM、戴尔、惠普位居用户关注前三甲,其中IBM获得38.9%的关注比例,领先排在第二的戴尔16.6个百分点。惠普、联想ThinkServer分别以12.4%、10.3%的关注比例排在第三、四位。其他上榜品牌关注比例均在10%以下。对比2012年Q1-Q4中国服务器市场最受关注的三家品牌关注比例走势可见,位居用户关注度首位的IBM品牌关注度呈小幅的先降后升走势,排在第二位的戴尔关注比例则呈先升后降走势,惠普品牌关注度起伏最为明显。从第四季度来看,三家品牌关注度均低于第一季度。
四.防火墙
2012年中国防火墙市场上,思科以27.9%的关注比例成为最受用户关注的品牌,领跑防火墙市场。华为、Juniper分别以18.5%、14.1%的关注比例分居第二、三位。H3C获得12.5%的关注度,排在第四位。
其他上榜品牌关注度均在7%以下。整体来看,中国防火墙市场品牌关注集中的格局明显。据统计数据显示,五家主流品牌在售产品数量差距较为明显,品牌关注度居首位的思科在售产品数量最多,达到51款,其次为品牌关注排名第五的天融信,在售产品数量有31款,华为、Juniper、H3C在售产品数量分布在20-30款之间。
通过这次调研,我了解到了很多我们国家的网络设备及其提供商。也初步了解了在选择网络设备的时候应该做的一些参照。在选择网络设备时,我们要依据入网方式、组网方式、网络规模、网络所要实现的功能、网络设备性价比等作为参照条件,选择不同的厂家。
第二篇:网络设备管理制度
临海市国土资源局网络设备使用管理制度
第一章 总则
第一条 为进一步加强局机关办公自动化和计算机信息系统保密管理工作,根据《中华人民共和国保守秘密法》、《中华人民共和国计算机信息系统安全保护条例》和《全国国土资源信息网络系统安全管理规定》有关规定,结合我局实际,制定本制度。
第二条 本制度适用于全市国土资源系统的设备网络管理工作。第四条 各处室(单位)负责人是本部门设备网络管理的第一责任人,应加强内部管理,全面落实本制度的各项要求。
第二章 设备管理
第五条 信息中心负责建立计算机类设备台帐资料,领用设备时须履行领用登记手续。
第六条 信息中心在计算机上贴有专门的标签,任何人不得故意损毁标签。
第七条 局机关计算机的更新周期一般为五年,使用未满五年的计算机原则上一律不予更新。
第八条 计算机使用人要负责计算机的日常管理,涉密计算机明确“谁使用,谁负责”的原则,应专机专用,专人管理,严格控制,未经许可的人员不得使用或物理接触涉密计算机。
第九条 计算机的名称、IP地址等信息由信息中心统一设定,严禁私自修改计算机的MAC地址、名称和IP地址。
第十条 计算机须由信息中心统一安装经国家保密管理部门认可的杀毒软件,不得私自安装杀毒软件。不得在涉密计算机上安装与工作无关的软件。
第十一条 计算机使用人应定期不定期对计算机进行全面杀毒,每周不少于2次,发现处理不了的病毒或木马时要与信息中心联系解决。对于一周内连续两次由于使用不当感染病毒或由于操作不当导致设备故障的,信息中心将暂时断开该使用人的网络连接,以保障全局网络安全。第十二条 严禁一机两用,连接互联网的计算机不得接入内网,在内网使用的计算机也不得接入互联网。
第十三条 计算机使用人应对计算机设定具有一定复杂度的密码,杜绝他人未经授权使用随意使用本机。
涉密计算机必须要设定BIOS密码、操作系统登录用户密码、屏幕保护密码,密码应是字母与数字的组合,长度不能少于8个字符,密码更换周期不能长于30天。涉密机密码应由专人保管,严禁将密码转告他人。
第十四条 禁止使用涉密计算机上国际互联网或其它非涉密信息系统;禁止在非涉密计算机上存储、处理涉密信息。
第十五条 计算机发生故障时,要在第一时间向信息中心申报,未经许可,任何人不得私自打开机箱,更换、添加计算机硬件。
涉密计算机发生硬件故障时,须送有涉密资质的公司维修;涉密计算机硬盘损坏,需要做数据恢复的,必须送交保密部门指定的定点单位进行相关处理;涉密计算机更换硬盘时,须报保密部门审批备案,原硬盘交保密部门集中销毁。
第十六条 计算机维修维护过程中,计算机使用人应将重要信息进行拷贝,否则由此造成的信息丢失自行负责。
第十七条 需要将非涉密计算机带出单位使用时,必须征得所在处室(单位)领导的同意,并告知信息中心。
涉密计算机原则上不得带出单位使用,有特殊情况需要带出单位使用的,要报保密领导小组审批,并登记备案。
第十八条 信息中心负责计算机的升级、更新管理,任何人不得私自升级、更新计算机。工作人员由于工作调整、职务变动等原因需要移交计算机的,必须将计算机交信息中心登记后重新发放,不得私下移交计算机。
第十九条 计算机申请报废工作由信息中心根据相关规定按程序进行,报废后的计算机由信息中心收回,经请示局领导后根据相关要求公开、集中处置。
第三章 网络管理
第二十条 局机关现有网络包含电子政务外网与电子政务内网两套网络。其中,电子政务外网与互联网相连,电子政务内网接入国土资源主干网,是全省国土资源专网的重要组成部分,主要运行内部办公业务。第二十一条 电子政务内网的保密管理实行领导负责制和岗位责任制。第二十二条 市局信息中心对全市国土资源电子政务内网的安全保密工作负责,各县(市)局、分局信息中心对县乡国土资源电子政务内网的安全保密工作负责,电子政务内网各接入单位负责接入网的安全保密工作。
第二十三条 电子政务内网必须与电子政务外网以及国际互联网等公共信息网络实行物理隔离,不得直接或间接接入,任何设备不能同时连接内外网。
第二十四条 电子政务内网所使用的安全保密设备必须采用国家主管部门认定或认可的产品,网管软件和防病毒产品须具有公安部销售许可证。
第二十五条 电子政务内网中的涉密信息应根据国家有关规定,由信息产生部门确定并标明密级,密级标识不得与正文分离。处理多种密级信息时应按最高密级进行防护。
绝密级国家秘密信息不得在电子政务内网上运行处理。
第二十六条 电子政务内网的应用人员应严格遵守各项安全保密规章制度和操作规程,不得越权调用电子政务内网的涉密信息。因工作需要接触国家涉密信息的人员,必须严格履行保密责任和义务。
第二十七条 信息中心要对路由器、交换机、防火墙、服务器等关键设备设置管理密码,密码应是字母与数字的组合,长度不能少于8个字符,密码更换周期不能长于30天。
第二十八条 信息中心要定期对全网进行安全检测、病毒查杀,并形成记录。
第二十九条 单位互联网仅用于信息交流、发布、检索等工作用途,不得利用单位互联网发布、传播不良信息,上班时间不得利用单位互联网玩游戏、聊天。
第三十条 电子政务内网必须具备信息完整性校验和抗抵赖措施,防止信息被非法读取、篡改、删除等,确保信息收发双方行为的真实、可信。
第三十一条 电子政务内网中存储有国家秘密信息的各类设备(含软件)维修、销毁时,须经单位主管领导批准,并进行清点、登记,建立维修、销毁档案。
维修、销毁各类设备,应指定专人负责,采取可靠措施,确保国家秘密安全。第三十二条 电子政务内网设备报废处理时,涉密载体必须在局保密工作领导小组的监督下由信息中心集中销毁或送保密工作部门指定的单位销毁,不得捐赠或当作废品出售。
第三篇:网络设备租赁合同书
网络设备租赁合同书
承租方(甲方):
出租方(乙方):
甲乙双方经过充分协商,就甲方租赁乙方网络及相关设备等事宜达
成如下协议:
一、甲方租赁甲方宽带网络及设备。
二、乙方在合同期内为甲方提供的宽带网络及设备的维护管理.三、本合同签订时间为年。起租时间:年月日,到期时间:年月日。
四、按每月元。合计。
五、付款方式:以见发票为准,30天内支付。
六、甲方在租赁期间,享有所租赁设备的使用权。
七、甲方对所租赁设备应保持完好,租赁期届满归还乙方。
八、违约处理:、如乙方提供的服务与协议不相符,甲方有权提前退还设备
并解除合约。、甲方文明合理使用设备,不得人为故意损坏,如造成损坏
应负责维修。
九、合同未尽事宜,双方友好协商解决。
十、其它补充:
本合同租赁期满时,如甲方需要继续使用租赁设备,可与乙方协商,办理续租手续。
十一、本合同一式二份,甲乙双方各持一份,双方签章后生效。
甲方(签章):乙方(盖章):
年月
年月日日
第四篇:计算机网络设备管理制度
华彩视讯
计算机网络设备管理制度
第一章 总 则
第一条 为了正确使用计算机及网络产品,及时发现设备故障,延长设备使用寿命,保护公司
财产,特制定本规定。
第二条 本规定中所涉及产品的界定:
(一)计算机是指为公司内部员工使用的PC机;
(二)网络产品是指公司内部使用的,包括服务器、网络交换机、路由器、集线器、以
及网络接入设备等。
(三)计算机其他配件是指公司备用的为公司内部员工使用的计算机配件,如光驱、软驱
等。
(四)附带软件及相关文档包括计算机驱动盘、系统盘、说明书等。
第二章 计算机及网络产品使用规定
第三条 计算机及网络产品的领用:
(一)新员工整机领用,在到岗之前,由新员工所在部门经理填写“计算机设备申请单”,由信息管理部经理审核后,信息管理部系统管理员(以后简称系统管理员)按照配
置要求为新员工员准备。
(二)公司员工更新或添置计算机配件,须首先填?填写“计算机设备申请单“,然后由直
接上级签字,并由信息管理部经理审核后,到系统管理员处领用。
(三)部门领用计算机及网络设备,由部门经理填写”计算机设备申请单“,经直接上级签
字,信息管理部经理审核后,到系统管理处领用。
(四)公司员工个人领用后由本人维护;部门领用后由部门经理指定专人维护,并报信息
管理部备案。
第四条 计算机及网络产品的使用:
(一)公司所有计算机及其内部配件和网络产品均应由系统管理员粘贴公司标签,除已借
用的笔记本电脑外,一律不得拿出公司。
(二)如工作需要需将公司计算机拿出公司,员工须到行政部说明情况由行政内勤开具出
门证明,并报信息管理部备案。
(三)公司员工不得随意打开计算机机箱。如因工作需要需打开机箱者,应由直接上级同公司地址:合肥市桐城南路446号省工商小区201TEL:3730365
FAX:3539169
意并通知信息管理部,由系统管理员打开机箱;机器整理完毕,信息管理员为其重
新粘贴公司标签。
(四)计算机在使用过程中未经他人许可严禁随意拷贝、修改及删除他人计算机中的资源。
(五)员工如果违反了计算机及网络产品的使用规定,由系统管理员上报人力资源部,对
其进行相应的处罚。
第五条 计算机及网络产品的维修:
(一)公司员工发现所使用的计算机或网络产品出现硬件故障后应及时向系统管理员提出
维修申请。
(二)系统管理员在接到申请后,须在一小时内做出响应。
(三)如果员工的计算机在提出申请后一个工作日内仍不能修好,系统管理员须暂调其他
备用机器以保证该员工的正常进行。
(四)在维修处理过程中,系统管理员应查阅机器的采购和维修记录,确认出现故障的硬
件是否在保修期内以享受免费维修。
(五)如果配件已无法维修,系统管理员应调配其他备用配件或按照采购制度购买新配件
进行更换,更换后对领用清单进行相应修改。
(六)系统管理员须记录详细的维修日志。
(七)损坏责任的承担:
自然损坏:凡属于计算机原有的质量问题、超过使用年限等等非人为因素造成的损
坏;
个人原因损坏:凡属于人为因素,例如摔打、撞击等造成的损坏。
凡属自然损坏的,维修费用由公司承担,;属个人原因损坏的,维修费用由个人承担。当无法确认机器的损坏性质时,由信息管理部上报公司办公例会进行确认。
(八)机型过于陈旧无维修价值的,由信息管理部经理申请整机核销,经总经理助理批准
后报财务部备案,并将该机其他有用部件作为维修配件。
(九)将整机核销的员工,需按照第二章第一条的有关条款另行申请机器。
第六条 计算机及网络产品的归还:
当员工因内部调动或离开公司的,上级主管必须根据原始记录和对其使用的电脑,并对相应文档进行核对。无遗漏丢失,方可准予其调职、离职申请。
公司地址:合肥市桐城南路446号省工商小区20
1第三章 笔记本电脑的使用规定
第七条 笔记本电脑的借用:
员工需要使用笔记本电脑时,首先在系统管理处领取并填写”笔记本电脑借用单“,由直接上级签字后到系统管理员处借用。
第八条 笔记本电脑的使用:
(一)在使用笔记本电脑时应注意轻拿轻放,尽量减少震动以避免电池及其他板卡接口错
位,开启显示屏时不要用力过猛以防接口断裂,同时在使用过程中注意笔记本电脑的保洁工作。
(二)因工作需要员工使用笔记本电脑超过借用期限,须提前在系统管理员处办理续借手
续;如果出差在外,需提前告知系统管理员,待回公司后补办续借手续。
(三)如果员工超过借用期限而未通告系统管理员,系统管理员应及时与该员工取得联系,了解实际续借时间。
第九条 笔记本电脑的归还:
(一)笔记本电脑使用后须及时交回信息管理部,系统管理员认真检查;
(二)检查中如确系有人为因素的损坏,借用人需进行经济赔偿;
(三)检查后无任何问题,系统管理员在”笔记本电脑借用清单“中填好归还时间,收回笔记本电脑并存档。
第四章 计算机配件、附带软件及其相关文档的管理
第十条 计算机配件、附带软件及其相关文档的借用:
(一)公司员工由于系统出现故障等原因需要重装计算机时,所需要的计算机其他配件,附
带软件及其相关文档,需到系统管理员处借用。
(三)借用时员工到信息管理部系统管理员处填写”计算机配件及软件借用登记表“。
第十一条 计算机配件、附带软件及其相关文档的使用:员工在使用过程中应当爱惜
公共物品,正确使用,及时归还。
第十二条 计算机配件、附带软件及相关文档的归还:员工使用完毕归还时,在系统管理员处
”计算机配件及软件借用登记表"内填写归还时间。
第五章 附 则
第十三条 本规定由信息管理部负责解释。
公司地址:合肥市桐城南路446号省工商小区201
第十四条 本规定自公布之日起执行。
公司地址:合肥市桐城南路446号省工商小区201
第五篇:网络设备技术建议书
第一章 项目的技术建议书 2.1交换机产品维护介绍 2.1.1例行维护的目的
例行维护是一种预防性的维护。它是指在设备的正常运行过程中,为及时发现并消除设备所存在的缺陷或隐患、维持设备的健康水平,从而使系统能够长期安全、稳定、可靠地运行而对设备进行的定期检查与保养。
2.1.2例行维护的分类
2.1.2.1日常例行维护
日常例行维护是指每天进行的、维护过程相对简单、并可由一般维护人员实施的维护操作,如告警系统检查、设备运行检查等。
2.1.2.2定期例行维护
定期维护是指按一定周期进行的、维护过程相对复杂、且多数情况下须由经过专门培训的维护人员实施的维护操作,如定期检查供电系统、定期检查接地系统、定期进行设备除尘等。
2.1.3常见维护项目:机房维护
2.1.3.1机房温度状况
长期工作环境温度: 0℃~45℃。短期工作环境温度:-5℃~55℃。若机房的环境温度长期不能满足要求,运营商应考虑检修或更换机房的空调系统。检查空调制冷度、开关情况等,空调制冷效果良好,开关接触良好。说明:短期工作条件是指连续不超过48小时和每年累计不超过15天。
2.1.3.2机房湿度状况
在正常情况下,机房的长期工作环境相对湿度应在5%RH~85%RH之间,不结露;短期工作环境相对湿度应在0%RH~95%RH之间,不结露。若机房的相对湿度过大,运营商应考虑为机房安装除湿设备;若机房的相对湿度过小,运营商应考虑为机房安装加湿设备。
2.1.4常见维护项目:基本信息维护
告警:确认无告警.如果有告警,需要记录,对于严重以上告警需并立即分析并处理。
日志:确认没有大量重复的日志信息。如果有这种情况出现,需要立即分析并处理。
配臵文件:运行配臵需要与保存过的配臵相同。配臵必须与用户的要求保持一致。主备板的配臵文件名称、文件大小、文件保存的时间必须完全一致。
CF卡:cfcard里的文件都必须是有用的,否则请执行delete /unreserved命令删除。
LICENSE信息:确认License文件已经激活,且在运行截至日期“ Run time”之内。
补丁信息:补丁文件必须与实际要求一致,建议能加载华为公司发布的该产品版本对应的最新的补丁文件。补丁必须已经生效,即“ Total Patch Unit”的数量和“ Running Patch Unit”的数量一致。
2.1.5常见维护项目:设备运行状况
风扇状态:确认风扇的“ present”为“ YES”。风扇的“ register”为“ YES”。
电源状态:确认电源的“ State”为“ On”。“ Present”为“ YES”的电源的“ State”为“ Supply”。
设备温度,电压:应该在上下限之间,即“ Status”为“ normal”。系统时间:通过命令查询系统日期和时间。时间应与当地实际时间一致(时间差不大于5分钟)。如果不合格,请执行clock命令修改系统时间或者NTP。
CPU及内存占用率:CPU的“ CPU Usage”,内存的占用率应低于“UpperLimit”的值。如果长时间过高,应检查设备,查询原因。
接口流量:把当前流量和接口带宽比较,如果使用率超过端口带宽的80%,需要记录并确认。并检查接口下的入方向和出方向是否有错误统计,重点关注错误统计的增长情况,并且参考出现错误包的时间间隔。
2.1.6常见维护项目:设备运行状况
单板运行状态:确认单板“ Online”为“ Present”。单板“ Power”为“ PowerOn”。单板“ Register”为“ Registered”。单板“ Alarm”为“ Normal”。单板无非正常复位现象。
主备状态:在设备软硬件正常,主机版本一致的情况下应该显示以下信息(以S9312为例)。
Slot 7 HA FSM State(master): realtime or routine backup.Slot 8 HA FSM State(slave): receiving realtime or routine data.如果没有备板,则显示“ Slot D HA FSM State(master): waiting for the slave to be inserted.”。
系统软件及启动文件:确认设备的启动文件正确。正常情况下,显示的系统和各单板的软件版本号与要求的相符。如果是双主控设备,要求主备用主控板版本一致。
2.1.7常见维护项目:清洁防尘网
防尘网主要作用是为机框、机箱内部各组件的散热进风提供灰尘过滤功能。防尘网无需供电,可根据需要随时插拔,不影响设备的运行,方便随时清洁。
2.1.8常见维护项目:清洁风扇框
设备的运行过程中,风扇框中的风扇叶片、控制电路板等部位会吸附其周围空气中的尘埃而形成积累,当这种尘埃积累达到一定的程度时,它不仅影响风扇框的稳定运行,其积累的尘埃还会成为业务机框的污染源,从而对设备的稳定运行产生潜在的威胁。因此为确保设备能够长期稳定运行,维护人员应定期(建议每年一次)对每个风扇框进行除尘维护。
2.1.9常见维护项目:清洁单板
在设备的运行过程中,由于单板带电以及在设备散热过程中的空气对流等原因,单板将不可避免地吸附空气中的带电离子或尘埃而形成积累,空气的洁净度愈差、相对湿度愈低,这种吸附过程就愈强烈。当这种尘埃积累达到一定的程度时,将严重影响到单板的散热效率与电气绝缘性能,从而对设备的稳定运行产生
潜在的威胁。为确保设备能够长期稳定运行,维护人员应定期(建议每两年一次)对机柜内的所有单板进行除尘维护。
2.1.10常见维护项目:备份配置文件
配置文件可通过如下三种方法进行备份: 直接屏幕拷贝在命令行界面上,执行display currentconfiguration命令,并拷贝所有显示信息到TXT文本文件中,从而将配臵文件备份到维护终端的硬盘中。 通过TFTP备份配臵文件 通过FTP备份配臵文件
2.1.11应急维护概述
应急维护是一种突发性的维护,是指系统或设备发生紧急事故,如突然断电、设备业务中断时,为迅速排除故障、恢复系统或设备的正常运行、尽量挽回或减少事故损失而进行的故障处理措施。应急维护另外一个作用是在已知的大业务量即将到来之前,给设备维护人员提供应急指导,采取有针对性的预防措施,维持整个系统的正常运行,防止超大业务量导致的系统故障。
2.1.11.1设备类故障应急维护流程
2.1.11.2业务类故障应急维护流程
2.1.11.3设备故障信息收集方法
设备信息: 使用display device命令进行收集。 温度信息:使用display temperature命令进行收集。 CPU使用信息:使用display cpu-usage命令进行收集。 路由表信息:使用display ip routing-table命令进行收集。 日志信息:使用display logbuffer命令进行收集。 告警信息:使用display trapbuffer命令进行收集。
配置信息:使用display current-configuration命令进行收集。 设备诊断信息:使用display diagnostic-information命令进行收集。 接口信息:使用display interface命令进行收集。
网络连通信息:使用ping命令尝试连接各相邻节点,并记录结果
2.2防火墙产品维护介绍 2.2.1防火墙概述
网络安全包括基础设施安全、边界安全和管理安全等全方位策略
防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击
与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率
由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能
2.2.2防火墙的分类
按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。
包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。
代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。
代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
状态检测防火墙
状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的
应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
2.2.3防火墙技术发展方向
1、软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。
2、工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。
3、电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能和高可靠性。
4、基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。
2.2.4主要防火墙性能衡量指标
1、吞吐量
其中吞吐量业界一般都是使用1K~1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支持大量规则下转发性能。
2、每秒建立连接速度
指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。
3、并发连接数目
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
2.2.5防火墙设备的使用原则
防火墙应该放在网络中的汇聚点,需要保证保护的网络流量必须全部经过防火墙。
默认情况下,防火墙的规则一般是禁止所有的访问。在最小授权的原则下,根据需要配置这种安全策略开放网络访问权限。
防火墙自身一定要是安全的。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台,防火墙设备属于一个基础网络设备,一定要保证防火墙可以长时间不间断运行,其硬件可靠性是非常关键的。
防火墙必须能够抵御多种多样的网络攻击,并且能够阻断蠕虫病毒的传播,保证内部网络的安全。
防火墙必须支持完善的地址转换(NAT)功能,以满足企业用户多种需求。 防火墙对企业网络业务的支持能力必须全面。防火墙仅仅支持简单的IP数据策略能力是不够的,随着网络中多种业务的应用,例如多媒体应用、网络语音业务、即时通信业务,防火墙必须能够完全支持这些业务的安全策略。
防火墙必须支持功能完善的VPN特性。VPN技术为企业关键数据提供加密保护服务,是防火墙必不可少的安全模块。
根据网络的实际需要选择性能、功能均能满足的防火墙。如果防火墙不能满足实际网络业务的需要,会造成网络的阻塞、中断,不仅不能给企业用户提供安全保护,反而造成更大的损失。
2.2.6安全策略控制
2.2.6.1灵活的规则设定
USG 200B系列统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。
可以依据报文的协议号设定规则
可以依据报文的源地址、目的地址设定规则
可以使用通配符设定地址的范围,用来指定某个地址段的主机 针对UDP和TCP还可以指定源端口、目的端口
针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围
针对ICMP协议,可以自由的指定ICMP报文的类型和Code号,可以通过规则针对任何一种ICMP报文
可以针对IP报文中的TOS域设定灵活的规则
2.2.6.2基于时间段的规则管理
USG 200B系列统一安全网关的ACL策略管理支持时间段,可以采用两种方式定义时间段:绝对时间范围、周期时间范围。例如可以定义从2004年1月1号到2004年5月1号这样的时间范围,也可以定义每周一、三、五的下午13:00~15:00这样的周期时间范围。
通过时间段,USG 200B系列统一安全网关可以非常容易的定制基于时间的策略,例如工作期间不允许使用MSN、QQ等,而下班时间可以使用等。
所有基于ACL控制的策略,都可以使用时间段特性。例如地址转换服务也是依靠ACL来定义地址转换的策略,因此依靠时间段特性也可以定义更灵活的地址转换服务。QoS特性也可以使用ACL来定义各种不
同的数据流,因此时间段也可以使用在QoS服务上,为不同的时间范围定义不同的流量策略。
2.2.6.3MAC地址和IP地址绑定
USG 200B系列统一安全网关根据用户配置,将MAC和IP地址进行绑定从而形成关联关系。对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。
2.2.6.4动态策略管理-黑名单技术
USG 200B系列统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。
USG 200B系列统一安全网关提供如下几种黑名单列表维护方式:
手工添加黑名单记录,实现主动防御
与攻击防范结合自动添加黑名单记录,起到智能保护
可以根据具体情况设定“白名单”,使得即使存在黑名单中的主机,依然可以使用部分的网络资源。例如,即使某台主机被加入到了黑名单,但是依然可以允许这个用户上网。
黑名单技术是一种动态策略技术,属于响应体系。USG 200B系列统一安全网关在动态运行的过程中,会发现一些攻击行为,通过黑名单动态响应系统,可以抑制这些非法用户的部分流量,起到保护整个系统的作用。
2.2.6.5多种认证手段
USG 200B系列统一安全网关提供了认证、授权和计费的一致性框架,对网络访问安全进行了集中管理。
USG 200B系列统一安全网关提供本地认证、标准RADIUS(Remote Access
Dial-In User Service)认证、华为RADIUS+认证、HWTACACS(Huawei Terminal Access Controller Access Control System)认证。提供明文、MD5(Message-Digest Algorithm 5)鉴权等手段,支持本地用户管理,可验证用户身份的合法性并为合法用户进行授权,防止非法用户进行访问。
此外,USG 200B系列统一安全网关还可以和华赛Portal Server配合提供安全的在线IP检测,防止伪造IP的攻击,并且可以和华为CAMS计费系统一起提供计费能力,为IDC或商业小区等提供按流量、时间等多种计费方式。
2.3加密认证网关维护介绍 2.3.1产品部署环境介绍
电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据网络的
路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。按照“分级管理”要求,纵向加密认证网关部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构
2.3.2安全策略配置
加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为透明安全防护装置。网关的内网接口连接内部局域网,外网接口连接数据网,每个网络接口可以设置一个或者多个虚拟地址。加密认证网关的安全策略设置主要包括系统配置、IP 地址配置、IP 路由,VLAN,规则,隧道信息,管理信息等。
2.3.2.1系统信息配置
系统配置主要配置加密认证网关的系统信息,主要包括以下几个内容: 系统名称: 装置的名称,便于远程标识装置的基本信息。
网关地址: 加密网关的外网地址或者外网卡上用于被管理或审计所设置的地址。
远程地址: 远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。
系统类型: 包括装置管理、日志审计、远程调试
证书: 在系统类型配置为装置管理时必须配置相应的装置管理的证书名称
在这个界面中可以对装置系统信息作一系列操作例如:增加、修改、删除、上传、下载等。
2.3.2.2网络信息配置
加密认证网关共有 5 个以太网接口,其中任意网口都可以设置成内网口或者外网口。在实际的配置中,需要对加密认证网关的网络接口配置虚拟地址以便和内外网进行通信,内外网虚拟地址可以为相同网段,也可以为不同网段。
在网络信息配置界面中可以对装置网络信息作一系列的配置如: 增加、修改、删除、上传、下载等。
2.3.2.3路由信息配置
加密认证网关需要对加密和解密过的 IP 报文进行路由选择,路由配置信息针对加密网关的内外网虚拟地址,通过路由地址关联内外网的网络地址信息。在这个界面中可以对装置路由信息作一系列的配置例如:增加、修改、删除、上传、下载等。
2.3.2.4隧道配置
隧道为加密认证网关之间协商的安全传输通道,隧道成功协商之后会生成通信密
钥,进入该隧道通信的数据由通信密钥进行加密,隧道可以设置隧道周期和隧道容量,当隧道的通信时间达到指定传输周期后或者数据通信量达到指定容量后,加密网关之间会重新进行隧道密钥的协商,保证数据通信的安全。
2.3.2.5策略配置
加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综合过滤,加密认证网关具有双向报文过滤功能,与加密机制分离,独立工作,在实施加密之前进行。过滤策略支持:
源 IP 地址(范围)控制; 目的 IP 地址(范围)控制;
源 IP(范围)+目的 IP 地址(范围)控制; 协议控制;
TCP、UDP 协议+端口(范围)控制;
源 IP 地址(范围)+TCP、UDP 协议+端口(范围)控制; 目标 IP 地址(范围)+TCP、UDP 协议+端口(范围)控制。
2.3.2.6地址转换配置
加密认证网关系统支持地址转换(地址伪装、源地址转换和目的地址转换),保护内网私有地址。加密网关开启 IP 伪装功能时,当数据包经过加密网关发送到外部网络时,会将数据包的源地址改变成加密网关的外网虚拟地址,而经过转换的数据包可以在外网中完整路由。此时内网地址为需要地址转换的内网网络地址,外网地址为伪装地址。有时候内网私有地址对外提供网络服务,为了保证内网资源的安全,这时可以将内网的网络服务映射到加密网关的外网虚拟地址上,外网用户可通过访问加密网关的外网虚拟地址的服务达到访问内网服务的目的。在这种转换方式下,需要开启加密网关的目的地址转换功能。
2.3.2.7桥接配置(多进多出配置)
多进多出工作模式其作用就相当于一个局域网交换机,可以实现将装置的某几个网卡虚拟成一个网卡和外界通信,用户可以将虚拟网卡当成具体的网卡来使用,可以在隧道配置中设置相应的规则,以虚拟网卡地址和对端的加密装置协商从而实现多入多出的通信
2.3.2.8MAC 地址绑定
在网络管理中,IP 地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。为了防止 IP 地址被盗用,可以在代理服务器端分配 IP 地址时,把 IP地址与网卡地址进行捆绑。MAC 地址绑定模块用于实现将具体的通信地址和网卡绑定,只允许相应的 mac 地址的网卡使用某个 IP 地址和外界通信,如果更换网卡就必须重新进行相应的配置。
2.3.3系统调试
2.3.3.1网关硬件诊断
加密网关内嵌电力专用密码模块和智能 IC 接口模块,为了排查加密网关系统有可能出现的数据通信错误,配置管理软件提供了对数据加密模块和智能读写器设备的调试诊断功能。
1)加密单元设备调试
点击工具栏中的“加密卡调试”,则出现下面的界面,选择硬件类型中的”加密卡硬件”,点击“测试”,加密网关自动对加密单元进行检测,测试结果显示到调试界面上。
2)智能 IC 卡单元测试
点击硬件测试的 IC 卡测试按钮,加密网关自动对智能 IC 读写器单元进行检测,测试结果显示到调试界面上。
2.3.3.2SPING 调试
SPING 调试用于确认和对端加密网关的连通情况,在 SPING 调试界面中输入对端加密网关的外网虚拟 IP 地址、测试次数和时间,点击“开始”,网关自动探测端装置并返回测试结果
2.3.3.3日志管理
加密网关具备专用安全日志存储单元,可以对装置日志进行审计。点击导航栏或者菜单中的“日志审计”,则将从装置中载入加密日志并自动解密分析其内容,为安全审计提供基础数据源
2.3.3.4配置备份和恢复
加密网关配置备份模块用于将装置中的相关配置信息备份至本地,配置恢复模块用于将本地的配置文件同步更新到加密网关中