典型企业网络边界安全解决方案

第一篇：典型企业网络边界安全解决方案

典型中小企业网络边界安全解决方案

意见征询稿

Hillstone Networks Inc.2010年9月29日

典型中小型企业网络边界安全解决方案

目录 前言...................................................................................................................................................................................4 1.1 1.2 2 2.1 2.2 2.3 方案目的.......................................................................................................................................................4 方案概述.......................................................................................................................................................4 典型中小企业网络现状分析..................................................................................................................6 典型中小企业网络安全威胁..................................................................................................................8 典型中小企业网络安全需求...............................................................................................................10 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.3.6 2.3.7 3 3.1 需要进行有效的访问控制..........................................................................................................10 深度应用识别的需求....................................................................................................................11 需要有效防范病毒........................................................................................................................11 需要实现实名制管理....................................................................................................................11 需要实现全面URL过滤.............................................................................................................12 需要实现IPSEC VPN..................................................................................................................12 需要实现集中化的管理...............................................................................................................12 安全需求分析.................................................................................................................................................................6

安全技术选择..............................................................................................................................................................13 技术选型的思路和要点........................................................................................................................13 3.1.1 3.1.2 3.1.3 3.1.4 3.2 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5 3.2.6 3.2.7 3.2.8 3.2.9 首要保障可管理性........................................................................................................................13 其次提供可认证性........................................................................................................................13 再次保障链路畅通性....................................................................................................................14 最后是稳定性..................................................................................................................................14 安全可靠的集中化管理...............................................................................................................15 基于角色的安全控制与审计......................................................................................................16 基于深度应用识别的访问控制.................................................................................................17 深度内容安全(UTMPlus®)......................................................................................................17 高性能病毒过滤.............................................................................................................................18 灵活高效的带宽管理功能..........................................................................................................19 强大的URL地址过滤库.............................................................................................................21 高性能的应用层管控能力..........................................................................................................21 高效IPSEC VPN...........................................................................................................................22 选择山石安全网关的原因....................................................................................................................14 3.2.10 高可靠的冗余备份能力...............................................................................................................22 4 系统部署说明..............................................................................................................................................................23 4.1 4.2 安全网关部署设计..................................................................................................................................24 安全网关部署说明..................................................................................................................................25 / 42

典型中小型企业网络边界安全解决方案

4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.2.8 4.2.9 5

部署集中安全管理中心...............................................................................................................25 基于角色的管理配置....................................................................................................................29 配置访问控制策略........................................................................................................................30 配置带宽控制策略........................................................................................................................31 上网行为日志管理........................................................................................................................33 实现URL过滤................................................................................................................................35 实现网络病毒过滤........................................................................................................................36 部署IPSEC VPN...........................................................................................................................37 实现安全移动办公........................................................................................................................38 方案建设效果..............................................................................................................................................................38 / 42

典型中小型企业网络边界安全解决方案 前言

1.1 方案目的

本方案的设计对象为国内中小企业，方案中定义的中小型企业为：人员规模在2千人左右，在全国各地有分支机构，有一定的信息化建设基础，信息网络覆盖了总部和各个分支机构，业务系统有支撑企业运营的ERP系统，支撑企业员工处理日常事务的OA系统，和对外进行宣传的企业网站；业务集中在总部，各个分支机构可远程访问业务系统完成相关的业务操作。

根据当前国内企业的发展趋势，中小企业呈现出快速增长的势头，计算机系统为企业的管理、运营、维护、办公等提供了高效的运行条件，为企业经营决策提供了有力支撑，为企业的对外宣传发挥了重要的作用，因此企业对信息化建设的依赖也越来越强，但同时由于计算机网络所普遍面临的安全威胁，又给企业的信息化带来严重的制约，互联网上的黑客攻击、蠕虫病毒传播、非法渗透等，严重威胁着企业信息系统的正常运行；内网的非法破坏、非法授权访问、员工故意泄密等事件，也是的企业的正常运营秩序受到威胁，如何做到既高效又安全，是大多数中小企业信息化关注的重点。

而作为信息安全体系建设，涉及到各个层面的要素，从管理的角度，涉及到组织、制度、流程、监督等，从技术的角度，设计到物理层、网络层、主机层、应用层和运维层，本方案的重点是网络层的安全建设，即通过加强对基础网络的安全控制和监控手段，来提升基础网络的安全性，从而为上层应用提供安全的运行环境，保障中小企业计算机网络的安全性。

1.2 方案概述

本方案涉及的典型中小型企业的网络架构为：两级结构，纵向上划分为总部与分支机构，总部/ 42

典型中小型企业网络边界安全解决方案

集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。典型中小型企业的网络结构可表示如下：

典型中小型企业网络结构示意图

为保障中小企业网络层面的安全防护能力，本方案结合山石网科集成化安全平台，在对中小企业信息网络安全域划分的基础上，从边界安全防护的角度，实现以下的安全建设效果：

 实现有效的访问控制：对员工访问互联网，以及员工访问业务系统的行为进行有效控制，杜绝非法访问，禁止非授权访问，保障访问的合法性和合规性；  实现有效的集中安全管理：中小型企业的管理特点为总部高度集中模式，通过网关的集中管理系统，中小企业能够集中监控总部及各个分支机构员工的网络访问行为，做到可视化的安全。/ 42

典型中小型企业网络边界安全解决方案

 保障安全健康上网：对员工的上网行为进行有效监控，禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用，提高员工办公效率；对员工访问的网站进行实时监控，限制员工访问不健康或不安全的网站，从而造成病毒的传播等；

  保护网站安全：对企业网站进行有效保护，防范来自互联网上黑客的故意渗透和破坏行为； 保护关键业务安全性：对重要的应用服务器和数据库服务器实施保护，防范病毒和内部的非授权访问；

 实现实名制的安全监控：中小型企业的特点是，主机IP地址不固定，但全公司有统一的用户管理措施，通常通过AD域的方式来实现，因此对于访问控制和行为审计，可实现基于身份的监控，实现所谓的实名制管理；

 实现总部与分支机构的可靠远程传输：典型中小型企业的链路使用模式为，专线支撑重要的业务类访问，互联网链路平时作为员工上网使用，当专线链路故障可作为备份链路，为此通过总部与分支机构部署网关的IPSEC VPN功能，可在利用备份链路进行远程通讯中，保障数据传输的安全性；

 对移动办公的安全保障：利用安全网关的SSL VPN功能，提供给移动办公人员进行远程安全传输保护，确保数据的传输安全性； 安全需求分析

2.1 典型中小企业网络现状分析

中小企业的典型架构为两级部署，从纵向上划分为总部及分支机构，总部集中了所有的重要业务服务器和数据库，分支机构只有终端，业务访问则是通过专线链路直接访问到总部；总部及分支/ 42

典型中小型企业网络边界安全解决方案

机构均有互联网出口，提供给员工进行上网访问，同时总部的互联网出口也作为网站发布的链路途径。

双链路给中小企业应用访问带来的好处是，业务访问走专线，可保障业务的高可靠性；上网走互联网链路，增加灵活性，即各个分支机构可根据自己的人员规模，采用合理的价格租用电信宽带；从网络设计上，中小企业各个节点的结构比较简单，为典型的星形结构设计，总部因用户量和服务器数量较高，因此核心往往采用三层交换机，通过VLAN来划分不同的子网，并在子网内部署终端及各类应用服务器，有些中小型企业在VLAN的基础上还配置了ACL，对不同VLAN间的访问实行控制；各分支机构的网络结构则相对简单，通过堆叠二层交换连接到不同终端。具体的组网结构可参考下图：

典型中小企业组网结构示意图 / 42

典型中小型企业网络边界安全解决方案

2.2 典型中小企业网络安全威胁

在没有采取有效的安全防护措施，典型的中小型企业由于分布广，并且架构在TCP/IP网络上，由于主机、网络、通信协议等存在的先天性安全弱点，使得中小型企业往往面临很多的安全威胁，其中典型的网络安全威胁包括： 【非法和越权的访问】

中小型企业信息网络内承载了与生产经营息息相关的ERP、OA和网站系统，在缺乏访问控制的前提下很容易受到非法和越权的访问；虽然大多数软件都实现了身份认证和授权访问的功能，但是这种控制只体现在应用层，如果远程通过网络层的嗅探或攻击工具（因为在网络层应用服务器与任何一台企业网内的终端都是相通的），有可能会获得上层的身份和口令信息，从而对业务系统进行非法及越权访问，破坏业务的正常运行，或非法获得企业的商业秘密，造成泄露； 【恶意代码传播】

大多数的中小企业，都在终端上安装了防病毒软件，以有效杜绝病毒在网络中的传播，但是随着蠕虫、木马等网络型病毒的出现，单纯依靠终端层面的查杀病毒显现出明显的不足，这种类型病毒的典型特征是，在网络中能够进行大量的扫描，当发现有弱点的主机后快速进行自我复制，并通过网络传播过去，这就使得一旦网络中某个节点（可能是台主机，也可能是服务器）被感染病毒，该病毒能够在网络中传递大量的扫描和嗅探性质的数据包，对网络有限的带宽资源造成损害。【防范ARP欺骗】

大多数的中小企业都遭受过此类攻击行为，这种行为的典型特点是利用了网络的先天性缺陷，即两台主机需要通讯时，必须先相互广播ARP地址，在相互交换IP地址和ARP地址后方可通讯，特别是中小企业都需要通过边界的网关设备，实现分支机构和总部的互访；ARP欺骗就是某台主机伪装成网关，发布虚假的ARP信息，让内网的主机误认为该主机就是网关，从而把跨越网段的访问/ 42

典型中小型企业网络边界安全解决方案

数据包（比如分支机构人员访问互联网或总部的业务系统）都传递给该主机，轻微的造成无法正常访问网络，严重的则将会引起泄密； 【恶意访问】

对于中小型企业网而言，各个分支机构的广域网链路带宽是有限的，因此必须有计划地分配带宽资源，保障关键业务的进行，这就要求无论针对专线所转发的访问，还是互联网出口链路转发的访问，都要求对那些过度占用带宽的行为加以限制，避免因某几台终端过度抢占带宽资源而影响他人对网络的使用。

这种恶意访问行为包括：过度使用P2P进行大文件下载，长时间访问网游，长时间访问视频网站，访问恶意网站而引发病毒传播，直接攻击网络等行为。【身份与行为的脱节】

常见的访问控制措施，还是QOS措施，其控制依据都是IP地址，而众所周知IP地址是很容易伪造的，即使大多数的防火墙都支持IP+MAC地址绑定，MAC地址也是能被伪造的，这样一方面造成策略的制定非常麻烦，因为中小型企业内员工的身份是分级的，每个员工因岗位不同需要访问的目标是不同的，需要提供的带宽保障也是不同的，这就需要在了解每个人的IP地址后来制定策略；另一方面容易形成控制缺陷，即低级别员工伪装成高级别员工的地址，从而可占用更多的资源。

身份与行为的脱节的影响还在于日志记录上，由于日志的依据也是根据IP地址，这样对发生违规事件后的追查造成极大的障碍，甚至无法追查。【拒绝服务攻击】

大多数中小型企业都建有自己的网站，进行对外宣传，是企业对外的窗口，但是由于该平台面向互联网开放，很容易受到黑客的攻击，其中最典型的就是拒绝服务攻击，该行为也利用了现有TCP/IP网络传输协议的先天性缺陷，大量发送请求连接的信息，而不发送确认信息，使得遭受攻击/ 42

典型中小型企业网络边界安全解决方案 的主机或网络设备长时间处于等待状态，导致缓存被占满，而无法响应正常的访问请求，表现为就是拒绝服务。这种攻击常常针对企业的网站，使得网站无法被正常访问，破坏企业形象； 【不安全的远程访问】

对于中小型企业，利用互联网平台，作为专线的备份链路，实现分支机构与总部的连接，是很一种提高系统可靠性，并充分利用现有网络资源的极好办法；另外远程移动办公的人员也需要通过互联网来访问企业网的信息平台，进行相关的业务处理；而互联网的开放性使得此类访问往往面临很多的安全威胁，最为典型的就是攻击者嗅探数据包，或篡改数据包，破坏正常的业务访问，或者泄露企业的商业秘密，使企业遭受到严重的损失。【缺乏集中监控措施】

典型中小型企业的特点是，集中管理，分布监控，但是在安全方面目前尚缺乏集中的监控手段，对于各分支机构员工的上网行为，访问业务的行为，以及总部重要资源的受访问状态，都没有集中的监控和管理手段，一旦发生安全事件，将很难快速进行察觉，也很难有效做出反应，事后也很难取证，使得企业的安全管理无法真正落地。

2.3 典型中小企业网络安全需求

针对中小企业在安全建设及运维管理中所暴露出的问题，山石网科认为，应当进行有针对性的设计和建设，最大化降低威胁，并实现有效的管理。

2.3.1 需要进行有效的访问控制

网络安全建设的首要因素就是访问控制，控制的核心是访问行为，应实现对非许可访问的杜绝，限制员工对网络资源的使用方式。/ 42

典型中小型企业网络边界安全解决方案

中小企业的业务多样化，必然造成访问行为的多样化，因此如何有效鉴别正常的访问，和非法的访问是非常必要的，特别是针对中小企业员工对互联网的访问行为，应当采取有效的控制措施，杜绝过度占用带宽的访问行为，保障正常的业务和上网访问。

对于中小企业重要的应用服务器和数据库资源，应当有效鉴别出合法的业务访问，和可能的攻击访问行为，并分别采取必要的安全控制手段，保障关键的业务访问。

2.3.2 深度应用识别的需求

引入的安全控制系统，应当能够支持深度应用识别功能，特别是对使用动态端口的P2P和IM应用，能够做到精准鉴别，并以此为基础实现基于应用的访问控制和QOS，提升控制和限制的精度和力度。

对于分支机构外来用户，在利用分支机构互联网出口进行访问时，基于身份识别做到差异化的控制，提升系统总体的维护效率。

2.3.3 需要有效防范病毒

在访问控制的技术上，需要在网络边界进行病毒过滤，防范病毒的传播；在互联网出口上要能够有效检测出挂马网站，对访问此类网站而造成的病毒下发，能够快速检测并响应；同时也能够防范来自其他节点的病毒传播。

2.3.4 需要实现实名制管理

应对依托IP地址进行控制，QOS和日志的缺陷，应实现基于用户身份的访问控制、QOS、日志记录，应能够与中小企业现有的安全准入系统整合起来，当员工接入办公网并对互联网访问时，/ 42

典型中小型企业网络边界安全解决方案

先进行准入验证，验证通过后将验证信息PUSH给网关，网关拿到此信息，在用户发出上网请求时，根据IP地址来索引相关的认证信息，确定其角色，最后再根据角色来执行访问控制和带宽管理。

在日志记录中，也能够根据确定的身份来记录，使得日志可以方便地追溯到具体的员工。

2.3.5 需要实现全面URL过滤

应引入专业性的URL地址库，并能够分类和及时更新，保障各个分支机构在执行URL过滤策略是，能够保持一致和同步。

2.3.6 需要实现IPSEC VPN 利用中小企业现有的互联网出口，作为专线的备份链路，在不增加链路投资的前提下，使分支机构和总公司的通信得到更高的可靠性保障。

但是由于互联网平台的开放性，如果将原本在专线上运行的ERP、OA、视频会议等应用切换到互联网链路上时，容易遭到窃听和篡改的风险，为此需要设备提供IPSEC VPN功能，对传输数据进行加密和完整性保护，保障数据传输的安全性。

2.3.7 需要实现集中化的管理

集中化的管理首先要求日志信息的集中分析，各个分支机构既能够在本地查看详细的访问日志，总部也能够统一查看各个分支机构的访问日志，从而实现总部对分支机构的有效监管。

总部能够统一对各个分支机构的安全设备进行全局性配置管理，各个分支机构也能够在不违背全局性策略的前提下，配置符合本节点特点的个性化策略。

由于各个厂商的技术壁垒，不同产品的功能差异，因此要实现集中化管理的前提就是统一品牌，/ 42

典型中小型企业网络边界安全解决方案

统一设备，而从投资保护和便于维护的角度，中小企业应当选择具有多种功能的安全网关设备。安全技术选择

3.1 技术选型的思路和要点

现有的安全设备无法解决当前切实的安全问题，也无法进一步扩展以适应当前管理的需要，因此必须进行改造，统一引入新的设备，来更好地满足运行维护的要求，在引入新设备的时候，必须遵循下属的原则和思路。

3.1.1 首要保障可管理性

网络安全设备应当能够被集中监控，由于安全网关部署在中小企业办公网的重要出口上，详细记录了各节点的上网访问行为，因此对全网监控有着非常重要的意义，因此系统必须能够被统一管理起来，实现日志行为，特别是各种防护手段形成的记录进行集中的记录与分析。

此外，策略也需要分级集中下发，总部能够统一下发集中性的策略，各分支机构可根据自身的特点，在不违背全局性策略的前提下，进行灵活定制。

3.1.2 其次提供可认证性

设备必须能够实现基于身份和角色的管理，设备无论在进行访问控制，还是在QOS，还是在日志记录过程中，依据必须是真实的访问者身份，做到精细化管理，可追溯性记录。

对于中小企业而言，设备必须能够与中小企业的AD域管理整合，通过AD域来鉴别用户的身份和角色信息，并根据角色执行访问控制和QOS，根据身份来记录上网行为日志。/ 42

典型中小型企业网络边界安全解决方案

3.1.3 再次保障链路畅通性

对于多出口链路的分支机构，引入的安全设备应当支持多链路负载均衡，正常状态下设备能够根据出口链路的繁忙状态自动分配负载，使得两条链路都能够得到充分利用；在某条链路异常的状态下，能够自动切换负载，保障员工的正常上网。

目前中小企业利用互联网的主要应用就是上网浏览，因此系统应提供强大的URL地址过滤功能，对员工访问非法网站能够做到有效封堵，这就要求设备应提供强大的URL地址库，并能够自动升级，降低管理难度，提高控制精度。

中小企业的链路是有限的，因此应有效封堵P2P、IM等过度占用带宽的业务访问，保障链路的有效性。

3.1.4 最后是稳定性

选择的产品必须可靠稳定，选择产品形成的方案应尽量避免单点故障，传统的网络安全方案总是需要一堆的产品去解决不同的问题，但这些产品接入到网络中，任何一台设备故障都会造成全网通信的故障，因此采取集成化的安全产品应当是必然选择。

另外，安全产品必须有多种稳定性的考虑，既要有整机稳定性措施，也要有接口稳定性措施，还要有系统稳定性措施，产品能够充分应对各种突发的情况，并保持系统整体工作的稳定性。

3.2 选择山石安全网关的原因

基于中小企业的产品选型原则，方案建议采用的山石网科安全网关，在多核Plus G2硬件架构的基础上，采用全并行架构，实现更高的执行效率。并综合实现了多个安全功能，完全能够满足中小企业安全产品的选型要求。/ 42

典型中小型企业网络边界安全解决方案

山石网科安全网关在技术上具有如下的安全技术优势，包括：

3.2.1 安全可靠的集中化管理

山石网科安全管理中心采用了一种全新的方法来实现设备安全管理，通过提供集中的端到端生命周期管理来实现精细的设备配置、网络设置、VPN配置和安全策略控制。山石网科安全管理中心可以清楚地分配角色和职责，从而使设备技术人员、网络管理员和安全管理员通过相互协作来提高网络管理效率，减少开销并降低运营成本。

利用山石网科安全管理中心，可以为特定用户分配适当的管理接入权限（从只读到全面的编辑权限）来完成多种工作。可以允许或限制用户接入信息，从而使用户可以作出与他们的角色相适应的决策。

山石网科安全管理中心的一个关键设计理念是降低安全设备管理的复杂性，同时保证足够的灵活性来满足每个用户的不同需求。为了实现这一目标，山石网科安全管理中心提供了一个综合管理界面以便从一个集中位置上控制所有设备参数。管理员只需要点击几下鼠标就可以配置设备、创建安全策略或管理软件升级。同时，只要是能够通过山石网科安全管理中心进行配置的设备都可以通过CLI接入。

山石网科安全管理中心还带有一种高性能日志存储机制，使IT部门可以收集并监控关键方面的详细信息，如网络流量、设备状态和安全事件等。利用内置的报告功能，管理员还可以迅速生成报告来进行调查研究或查看是否符合要求。

山石网科安全管理中心采用了一种3层的体系结构，该结构通过一条基于TCP的安全通信信道－安全服务器协议（SSP）相连接。SSP可以通过AES加密和SHA1认证来提供受到有效保护的端到端的安全通信功能。利用经过认证的加密TCP通信链路，就不需要在不同分层之间建立VPN隧/ 42

典型中小型企业网络边界安全解决方案 道，从而大大提高了性能和灵活性。

山石网科安全管理中心提供统一管理功能，在一个统一界面中集成了配置、日志记录、监控和报告功能，同时还使网络管理中心的所有工作人员可以协同工作。山石网科网络公司的集中管理方法使用户可以在安全性和接入便利性之间达成平衡，对于安全网关这类安全设备的大规模部署非常重要。

3.2.2 基于角色的安全控制与审计

针对传统基于IP的访问控制和资源控制缺陷，山石网科采用RBNS（基于身份和角色的管理）技术让网络配置更加直观和精细化，不同基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。

另外，在采用了RBNS技术后，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。

在本方案中，利用山石网科安全网关的身份认证功能，可结合AD域认证等技术，提供集成化的认证+控制+深度检测+行为审计的解决方案，当访问者需跨网关访问时，网关会根据确认的访问者身份，自动调用邮件系统内的邮件组信息，确定访问者角色，随后根据角色执行访问控制，限制其访问范围，然后再对访问数据包进行深度检测，根据角色执行差异化的QOS，并在发现非法的访问，或者存在可疑行为的访问时，记录到日志提供给系统员进行事后的深度分析。/ 42

典型中小型企业网络边界安全解决方案

3.2.3 基于深度应用识别的访问控制

中小型企业的主要业务应用系统都建立在HTTP/HTTPS等应用层协议之上，新的安全威胁也随之嵌入到应用之中，而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略，根本无法识别应用，更谈不上安全防护。

Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制，而不依赖于端口或协议，即使加密过的数据流也能应付自如。

StoneOS®识别的应用多达几百种，而且跟随着应用的发展每天都在增加；其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用。同时，应用特征库通过网络服务可以实时更新，无须等待新版本软件发布。

3.2.4 深度内容安全(UTMPlus®)

山石网科安全网关可选UTMPlus®软件包提供病毒过滤，入侵防御，内容过滤，上网行为管理和应用流量整形等功能，可以防范病毒，间谍软件，蠕虫，木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问。病毒库，攻击库，URL库可以通过网络服务实时下载，确保对新爆发的病毒、攻击、新的URL做到及时响应。

由于中小企业包含了多个分支机构，一旦因某个节点遭到恶意代码的传播，病毒将会很快在企业的网络内传播，造成全网故障。在使用了山石网科安全网关后，并在全网各个节点的边界部署后，将在逻辑上形成不同的隔离区，一旦某个节点遭遇到病毒攻击/ 42

典型中小型企业网络边界安全解决方案

后，不会影响到其他节点。并且山石支持硬件病毒过滤技术，在边界进行病毒查杀的时候，对性能不会造成过多影响。

3.2.5 高性能病毒过滤

对于中小企业而言，在边界进行病毒的过滤与查杀，是有效防范蠕虫、木马等网络型病毒的有效工具，但是传统病毒过滤技术由于需要在应用层解析数据包，因此效率很低，导致开启病毒过滤后对全网的通信速度形成很大影响。

山石安全网关在多核的技术上，对病毒过滤采取了全新的流扫描技术，也就是所谓的边检测边传输技术，从而大大提升了病毒检测与过滤的效率。

 流扫描策略

传统的病毒过滤扫描是基于文件的。这种方法是基于主机的病毒过滤解决方案实现的，并且旧一代病毒过滤解决方案也继承这一方法。使用这种方法，首先需要下载整个文件，然后开始扫描，最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收，会经历长时间延迟。对于大文件，用户应用程序可能出现超时。

文件接受扫描文件发送延迟

山石网科扫描引擎是基于流的，病毒过滤扫描引擎在数据包流到达时进行检查，如果没有检查到病毒，则发送数据包流。由此，用户将看到明显的延迟改善，并且他们的应用程序也将更快响应。/ 42

典型中小型企业网络边界安全解决方案

文件接收扫描文件发送延迟

流扫描技术仅需要缓存有限数量的数据包。它也不像文件扫描那样受文件大小的限制。低资源利用率也意味着更多文件流的同时扫描。出于对高性能、低延迟、高可升级性的首要考虑，流扫描技术适合网关病毒过滤解决方案。

 基于策略的病毒过滤功能

山石网科病毒过滤功能与策略引擎完全集成。管理员能够完全控制以下各方面：哪些域的流量需要进行病毒过滤扫描，哪些用户或者用户组进行扫描，以及哪些服务器和应用被保护。

3.2.6 灵活高效的带宽管理功能

山石网科产品提供专有的智能应用识别(Intelligent Application Identification)功能，称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类。山石网科QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键网页浏览设置高优先级保证它们的带宽使用；对于P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。

将山石网科的角色鉴别以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同IP地址及用户角色的流量优先级区分和带宽/ 42

典型中小型企业网络边界安全解决方案

控制（入方向和出方向），这就相当于系统中可容纳最多40,000的QoS队列。

结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个IP地址产生的不同流量，用户可以基于应用分类结果指定流量的优先级。在IP QoS里面使用应用QoS，甚至可以对每个IP地址进行流量控制的同时，还能够对该IP地址内部应用类型的流量进行有效管控。

除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。

总之，通过采取山石网科产品所集成的带宽管理功能，可以在用户网络中做到关键应用优先，领导信息流量优先，非业务应用限速或禁用，VoIP、视频应用保证时延低、无抖动、音质清晰、图片清楚，这些有效管理带宽资源和区分网络应用的效果都能给用户带来更高效、更灵活、更合理的带宽应用，使得昂贵的带宽能获取最高的效益和高附加值应用。/ 42

典型中小型企业网络边界安全解决方案

3.2.7 强大的URL地址过滤库

山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；

全面的URL地址库也改变了现在各个分支机构自行手动配置URL地址的局限性，当时设备被部署到网络中后，各个设备均采用统一标准的过滤地址库，在进行URL访问日志中也可以保持日志内容的一致性。

3.2.8 高性能的应用层管控能力

安全和速度始终是两个对立面的事物。追求更高的网络安全是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络安全标准。在目前依赖于网络应用的时代，能够做到应用层的安全检测以及安全防护功能是所有安全厂商的目标。由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不可接受的。好的安全功能同样需要好的硬件平台去实现。

山石网科安全网关具有丰富的应用层管控能力，包括URL地址过滤功能、网页内容关键字过滤功能、网页敏感文件过滤功能、网页控件过滤功能、协议命令控制功能等，能够通过简单的配置来实现敏感的URL地址、敏感关键字以及敏感文件等内容过滤，防止潜在的安全风险。/ 42

典型中小型企业网络边界安全解决方案

此外，山石网科安全网关均采用多核系统架构，在性能上具有很高的处理能力，能够实现大并发处理。

3.2.9 高效IPSEC VPN 所有的山石网科安全网关设备都支持对IPSec的硬件加速。每一个CPU核都有一个内嵌的IPSec处理引擎，这保证了在CPU核数增加时，IPSec的性能得到相应提高，不会成为瓶颈。山石网科安全网关设备的IPSec吞吐率最高可以达到8Gbps，达到和防火墙一样的性能和设备极限。

山石网科安全网关设备支持标准IPSec协议，能够保障与第三方VPN进行通讯，建立隧道并实现安全的数据传输。

3.2.10 高可靠的冗余备份能力

山石网科安全网关能够支持设备级别的HA解决方案，如A-P和A-A架构。山石网科的HA解决方案能够为网络层提供会话级别的状态同步机制，保证在设备切换过程中数据传输的连续性及网络的持久畅通，甚至在设备进行主备切换的时候都不会中断会话，为企业提供真正意义的网络冗余/ 42

典型中小型企业网络边界安全解决方案

解决方案。山石网科安全甚至还能够提供VPN传输的状态同步，并包括SA状态的同步。系统部署说明

对于中小企业，在设计边界安全防护时，首要进行的就是安全区域的划分，划分安全域是信息安全建设常采用的方法，其好处在与可以将原本比较庞大的网络划分为多个单元，根据不同单元的资产特点、支撑业务类型分别进行安全防护系统的设计，保障了安全建设的针对性和差异性。

安全域的定义是同一安全域内的系统有相同安全保护需求、并相互信任。但以此作为安全区域划分原则，可操作性不强，在实际划分过程中有很多困难。在本方案中，建议按照资产重要性以及支撑的业务类型，纵向上可划分为总部及分支机构域，从资产角度可根据业务类型的不同，将总部/ 42

典型中小型企业网络边界安全解决方案

信息网络划分为ERP域、OA域、网站域、终端域和运维域等，而分支机构的域相对简单，由于只有终端，因此不再细分。

4.1 安全网关部署设计

划分安全域后，可在所有安全域的边界，特别是重要的业务系统安全域的边界配置安全网关即可，配置后形成的边界安全部署方案可参考下图：

部署要点：  通过总部配置的山石网科安全管理中心，集中监管各个分支机构边界部署的山石网科安全网关，对日志进行集中管理；同时各个分支机构本地也部署管理终端，在本地对网关进行监管； / 42

典型中小型企业网络边界安全解决方案

 纵向链路的出口分别部署安全网关，实现对中小企业网的纵向隔离，对分支机构的上访行为进行严格控制，杜绝非法或非授权的访问；

 安全网关启用源地址转换策略，在终端上网过程中进行转换，保障内网用户上网的要求，同时启用相应的日志，对上网行为进行有效记录；

 安全网关在分支机构上网出口的链路上，运用深度应用识别技术，有效鉴别出哪些是合法的HTTP应用，哪些是过度占用带宽的P2P和IM应用，对P2P和IM通过严格的带宽限制功能能进行及限制，并对HTTP执行保障带宽策略，保障员工正常上网行为；

 安全网关与中小企业的AD域认证整合，在确认访问者身份的基础上，进行实名制的访问控制，QOS控制，以及上网行为审计；

 安全网关内置全面的URL地址库，用以对员工的访问目标地址进行分类，对于非法网站进行封堵，且URL地址库能够自动升级，保障了该功能的持续性和完整性；

 安全网关运用IPSEC VPN技术，实现与总部的加密传输，作为现有专线的备份链路，在不增加投资的前提下提升系统的可靠性。

 安全网关运用SSL VPN技术，对移动办公用户配发USB KEY，当其需要远程访问企业网时，利用USB KEY与总部互联网出口的安全网关建立VPN加密隧道，从而实现了安全可靠的远程访问。

4.2 安全网关部署说明

4.2.1 部署集中安全管理中心

通过在总部部署山石网科安全管理中心，然后对分布在各个分支机构边界的安全网关进行配置，/ 42

典型中小型企业网络边界安全解决方案

使网关接受管理中心的集中管理来实现，并执行如下的集中监管。

设备管理

设备管理包括域管理和设备组管理，域和设备组都是用来组织被管理设备的逻辑组，域包含设备组。通过域的使用，可以实现设备的区域化管理；而通过设备组的使用，可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备，普通管理员可以执行设备组的操作，将设备从设备组中删除。

设备基本信息监管

显示设备的基本信息，例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。

通过客户端可查看的设备属性信息包括：设备基本信息以及设备实时统计信息，包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数。系统通过曲线图显示以上实时信息，使用户能够直观的了解当前设备的各种状态。/ 42

典型中小型企业网络边界安全解决方案

日志浏览

山石网科安全管理中心接收设备发送的多种日志信息，经过系统处理后，用户可通过客户端进行多维度、多条件的浏览。山石网科安全管理中心支持通过以下种类进行日志浏览：

●系统日志 ●配置日志 ●会话日志 ●地址转换日志 ●上网日志

流量监控

山石网科安全管理中心可以实时监控以下对象的流量，并在客户端通过饼状图或者柱状图直观显示：

●设备接口（TOP 10）/ 42

典型中小型企业网络边界安全解决方案

●指定接口TOP 10 IP，进而可以查看指定IP的TOP 10应用的流量 ●指定接口TOP 10应用，进而可以查看指定应用的TOP 10 IP的流量

柱状图可分别按照上行流量、下行流量或者总流量进行排序；饼状图可分别根据上行流量、下行流量或者总流量显示不同的百分比。

攻击监控

山石网科安全管理中心可以实时监控以下对象的攻击情况，并在客户端通过饼状图或者柱状图直观显示：

●设备接口遭受攻击（TOP 10）

●指定接口发起攻击TOP 10 IP，进而可以查看指定IP发起的TOP 10攻击类型 ●指定接口TOP 10攻击类型，进而可以查看发起指定攻击类型的TOP 10 IP

VPN监控

山石网科安全管理中心可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量，并在客户端通过饼状图或者柱状图直观显示。/ 42

典型中小型企业网络边界安全解决方案

4.2.2 基于角色的管理配置

对于中小企业办公网而言，终端使用者的身份不尽相同，因此其访问权限，对资源的要求等也不尽相同，实现差异化的访问控制与资源保障。对此可通过山石网科安全网关的RBNS（基于身份和角色的管理）策略来实现。RBNS包含三个部分：用户身份的认证、用户角色的确定、基于角色控制和服务。

  在访问控制部分，通过RBNS实现了基于用户角色的访问控制，使得控制更加精准； 在QOS部分，通过RBNS实现了基于角色的带宽控制，使得资源分配更加贴近中小企业办公网的管理模式；  在会话限制部分，通过RBNS实现了基于角色的并发限制，对于重要用户放宽并发连接的数量，对于非重要用户则压缩并发连接的数量；   在上网行为管理部分，通过RBNS实现了基于角色的上网行为管理；

在审计部分，通过RBNS实现实名制审计，使审计记录能够便捷地追溯到现实的人员。

在整合了AD域以及邮件系统后的实名制管理与控制方案后，在员工上网访问过程中实现精细化的管理，大大降低了单纯依靠IP地址带来的安全隐患，也降低了配置策略的难度，还提升了日志的可追溯性； / 42

典型中小型企业网络边界安全解决方案

整合后实名制监管过程示意图

4.2.3 配置访问控制策略

山石网科多核安全网关可提供广泛的应用层监控、统计和控制过滤功能。该功能能够对FTP、HTTP、P2P应用、IM以及VoIP语音数据等应用进行识别，并根据安全策略配置规则，保证应用的正常通信或对其进行指定的操作，如监控、流量统计、流量控制和阻断等。StoneOS利用分片重组及传输层代理技术，使设备能够适应复杂的网络环境，即使在完整的应用层数据被分片传送且分片出现失序、乱序的情况下，也能有效的获取应用层信息，从而保证安全策略的有效实施。

山石网科安全网关，作用在中小企业的互联网出口链路上，通过访问控制策略，针对访问数据包，根据数据包的应用访问类型，进行控制，包括： / 42

典型中小型企业网络边界安全解决方案

 限制不被许可的访问类型：比如在只允许进行网页浏览、电子邮件、文件传输，此时当终端用户进行其他访问（比如P2P），即使在网络层同样使用TCP 80口进行访问数据包的传送，但经过山石网科安全网关的深度应用识别后，分析出真实的应用后，对P2P和IM等过度占用带宽的行为进行限制；

 限制不被许可的访问地址：山石网科结合中国地区内容访问的政策、法规和习惯量身定制了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网；

 基于身份的访问控制：传统访问控制的基础是IP地址，但是由于IP地址的可修改性，使得控制的精度大打折扣，特别是根据不同IP地址配置不同强度的访问控制规则时，通过修改IP地址可以获得较宽松的访问限制，及时采用了IP+MAC绑定，但修改MAC也不是难事。山石网科安全网关支持与第三方认证的结合，可实现基于“实名制”下的访问控制，将大大提升了访问控制的精度。

4.2.4 配置带宽控制策略

针对外网的互联网出口链路，承载了员工上网的访问，因此必须应采取带宽控制，来针对不同访问的重要级别，提供差异化的带宽资源。(可以实现基于角色的QOS) 基于角色的流量管理

基于山石网科的多核 Plus G2安全架构，StoneOS® Qos将Hillstone 山石网科的行为控制以及IP QoS结合使用，用户可以很容易地为关键用户控制流量并区分流量优先级。山石网科设备最多可支持20,000个不同角色的流量优先级区分和带宽控制（入方向和出方向），这就相当于系统

/ 42

典型中小型企业网络边界安全解决方案

中可容纳多于40,000的QoS队列。结合应用QoS，山石网科设备可提供另一层的流量控制。山石网科设备可以为每个用户控制应用流量并对该用户的应用流量区分优先级。例如，对于同一个角色产生的不同流量，用户可以基于应用分类结果指定流量的优先级。

 对应用控制流量和区分优先级

山石网科提供专有的智能应用识别（Intelligent Application Identification）功能，简称为IAI。IAI能够对百余种网络应用进行分类，甚至包括对加密的P2P应用（Bit Torrent、迅雷、Emule、Edonkey等）和即时消息流量进行分类；Hillstone 山石网科还支持用户自定义的流量，并对自定义流量进行分类；同时山石网科可以结合强大的policy对流量进行分类。山石网科 QoS首先根据流量的应用类型对流量进行识别和标记。然后，根据应用识别和标记结果对流量带宽进行控制并且区分优先级。一个典型应用实例是：用户可以为关键的ERP和OA流量设置高优先级保证它们的带宽使用；对于网页浏览和P2P下载流量，用户可以为它们设置最低优先级并且限制它们的最大带宽使用量。网吧用户可以用这种方法控制娱乐流量并对娱乐流量区分优先级。

 带宽利用率最大化

除了高峰时间，用户经常会发现他们的网络带宽并没有被充分利用。Hillstone 山石网科的弹性QoS功能（FlexQoS）能够实时探测网络的出入带宽的利用率，进而动态调整特定用户的带宽。弹性QoS（FlexQoS）既能为用户充分利用带宽资源提供极大的灵活性，又能保证高峰时段的网络使用性能。弹性QoS还允许用户进行更加精细的控制，允许某一类的网络使用者享有弹性QoS，另外一类不享有弹性QoS。以此功能用户可以为网络使用者提供差分服务。

 实时流量监控和统计

山石网科 QoS解决方案提供各种灵活报告和监控方法，帮助用户查看网络状况。用户可以轻松查看接口带宽使用情况、不同应用带宽使用情况以及不同IP地址的带宽使用情况。山石网科设备

/ 42

典型中小型企业网络边界安全解决方案

提供带宽使用情况的历史记录，为将来分析提供方便。同时用户还可以自己定制想要的统计数据。

4.2.5 上网行为日志管理

通过山石网科安全网关，在实现分支机构员工上网访问控制和QOS控制的基础上，对行为进行全面记录，来控制威胁的上网行为，并结合基于角色的管理技术，实现“实名制”审计，在本方案中将配置执行如下的安全策略：

 网络应用控制策略规则

网络应用控制策略规则，是根据名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则，需要进行下列基本元素的配置：

  策略规则名称 – 上网行为管理策略规则的名称。

优先级-上网行为管理策略规则的优先级。当有多条匹配策略规则的时候，优先级高的策略规则会被优先使用。 用户 – 上网行为管理策略规则的用户，即发起网络行为的主体，比如某个用户、用户组、角色、IP地址等。 时间表 – 上网行为管理策略规则的生效时间，可以针对不同用户控制其在特定时间段内的网络行为。 网络行为 – 具体的网络应用行为，比如MSN聊天、网页访问、邮件发送、论坛发帖等。 控制动作 – 针对用户的网络行为所采取的控制动作，比如允许、拒绝某网络行为或者对该行为或者内容进行日志记录等。

/ 42

典型中小型企业网络边界安全解决方案

 网页内容控制策略规则

网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别，对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进行过滤，同时，能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。

 外发信息控制策略规则

外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则，能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制，可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的含有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键字的帖子。

 例外设置

对于特殊情况下不需要上网行为管理策略规则进行控制的对象，可以通过例外设置实现。例外设置包括免监督用户、黑白名单和Bypass域名。

/ 42

典型中小型企业网络边界安全解决方案

分级日志管理模式示意图

4.2.6 实现URL过滤

山石网科结合中国地区内容访问的政策、法规和习惯量身定制了强大的URL地址库，包含数千万条域名的分类web页面库，并能够实时同步更新，该地址库将被配置在所有分支机构出口的山石安全网关上，对员工访问的目标站点进行检查，保障健康上网。

山石网科提供的URL过滤功能包含以下组成部分：    黑名单：包含不可以访问的URL。不同平台黑名单包含的最大URL条数不同。白名单：包含允许访问URL。不同平台白名单包含的最大URL条数不同。

关键字列表：如果URL中包含有关键字列表中的关键字，则PC不可以访问该URL。不同平台关键字列表包含的关键字条目数不同。

/ 42

典型中小型企业网络边界安全解决方案

  不受限IP：不受URL过滤配置影响，可以访问任何网站。

只允许用域名访问：如果开启该功能，用户只可以通过域名访问Internet，IP地址类型的URL将被拒绝访问。

 只允许访问白名单里的URL：如果开启该功能，用户只可以访问白名单中的URL，其它地址都会被拒绝。

4.2.7 实现网络病毒过滤

随着病毒技术的发展，网络型病毒（比如蠕虫、木马等）已经被广泛应用了，这种病毒的特点是没有宿主就可以传播，在网络中快速扫描，只要发现网络有许可的行为，就能够快速传播，其危害除了对目标主机造成破坏，在传播过程中也产生大量的访问，对网络流量造成影响，对此传统在主机上进行病毒查杀是不足的，对此问题就产生了病毒过滤网关，该系统类似于防火墙，采用“空中抓毒“技术，工作在网络的关键节点，对经过网关的数据包进行过滤，在判断为是病毒的时候进行阻断，防止病毒利用网络进行传播。

这里建议中小企业可利用安全网关的病毒过滤技术，对各个安全域在实行访问控制的同时，进行有效的病毒过滤，杜绝某个安全域内（比如终端区域）的主机感染了病毒，该病毒无法穿越病毒过滤网关，从而无法在全企业网蔓延，造成更大的破坏。

山石网科的病毒过滤能够有效解析出上十万种病毒，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus® G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和最大可扫描文件

/ 42

典型中小型企业网络边界安全解决方案

方面提供高升级性。

病毒过滤系统同样也大大提升了服务器的安全性，在当前访问控制的基础上，进一步保障了关键业务的安全性。

4.2.8 部署IPSEC VPN 山石网科安全网关支持的IPSec VPN技术，作用于中小企业，可实现总部与分支机构之间通过互联网的纵向互联，并作为现有专线的备份链路，在不增加额外投资的基础上，提升了系统总体的安全效率。（当然需要总部的互联网出口也部署有标准IPSEC VPN系统）

在通过互联网实现纵向互联的过程中，通过IPSEC VPN技术，将实现如下的保护：   机密性保护：在传输过程中对数据进行加密，从而防范了被篡改的风险；

完整性保护：在传输过程中，通过HASH算法，对文件进行摘要处理，当到达接收端时再次进行HASH，并与发送端HASH后形成的摘要进行批对，如果完全相同则证明数据没有

/ 42

典型中小型企业网络边界安全解决方案

被篡改，从而保障了传输过程的完整性；   抗抵赖：IPSEC VPN运用了数字签名技术，采用对称密钥算法防范传输数据被抵赖的风险； 抗重放：IPSEC VPN运用系列号，一旦某个数据包被处理，序列号自动加一，防范攻击者在收取到数据包，以自己的身份重新发送的风险； 山石网科安全网关IPSec VPN支持的主要技术包括：  标准的技术使Hillstone IPSec VPN能和国际VPN厂商互通，只要对端采用标准IPSEC协议，即可实现互联互通；   全面的加密算法支持，包括AES256、Diffie-Hellman Group 5；

支持静态IP对端、动态IP对端、拨号VPN对端，可以很好地使用各个分支机构实际的网络环境；  支持VPN上的应用控制，在隧道内针对中小企业，提供更完善的访问控制。

4.2.9 实现安全移动办公

山石网科安全网关支持的SSL VPN技术，针对移动办公人员，在不需要配置任何客户端的情况下，实现安全可靠的接入。通过USB KEY的方式，配发证书，移动办公人员必须在提交KEY证书后，安全网关方可允许其通过互联网接入到企业网内，实现安全快捷的访问。方案建设效果

本方案利用山石网科安全网关，作用于中小企业各个分支机构的互联网出口，对员工上网行为进行有效控制和记录，对比现有的安全手段，将在如下层面提升安全性：

/ 42

典型中小型企业网络边界安全解决方案

总体部署效果示意图

【实现集中监控】

在采取了统一品牌的山石网科安全网关后，通过部署在总部的安全管理中心，实现对分布在各个分支机构互联网出口的安全设备的集中管理，重点对日志进行集中的收集和分析，确保在发生安全事件后能够快速传递到总部，以便采取必要的保障措施。【实现有效访问控制】

通过严格的访问控制，限制了内、外部用户对企业各种资源的访问，限制员工对ERP和OA的访问，限制互联网用户对企业网站的访问，由于这些人员只能通过许可的方式，因此大大降低了重要信息资产的暴露程度，提升了系统的安全性； 【有效保护关键资产】

/ 42

典型中小型企业网络边界安全解决方案

对于中小企业而言，关键的信息资产就是各类应用服务器，和数据库，由于本方案采取安全域划分的方式，将这些关键资产集中起来进行有效防护，因此大大提升了系统的总体安全性； 【有效防范攻击】

山石安全网关支持超过3,000种的攻击检测和防御，支持攻击特征库离线在线更新，定期自动更新多种方式。

山石安全网关内置的入侵防御系统重点实现了对重要服务器的保护，当其他主机访问业务系统时，发起对服务器的访问，山石入侵防御系统会在线分析这些数据包，并从中剥离出哪些是正常访问的数据包，哪些是存在攻击行为的数据包，在此基础上对攻击包采取有效的封堵行为，从而保障了安全可靠的访问，进一步保护了易程公司关键的应用服务器。

【有效过滤病毒】

与防范攻击的作用类似，科山石安全网关内置的过滤网关部署在重要的安全域边界，当重要的服务器接受访问时，病毒过滤网关深入分析数据包，检测出是否携带病毒，或者数据包本身就是由一些恶意病毒（比如木马、蠕虫等）引发的，并采取有效的查杀，或者将数据包直接丢弃。

【基于角色的控制与资源保障】

/ 42

典型中小型企业网络边界安全解决方案

中小企业的上网人员是多个层面多种角色的，因角色不同，在访问控制和资源保障部分，需要有不同的策略与力度。山石安全网关能够与第三方身份认证有效整合，在控制（比如访问控制、日志审计）和资源保障（比如QOS）方面能够根据用户身份以及对应的角色来进行配置，解决了传统以IP地址为依据时，IP地址容易被伪造的问题； 【上网行为实名制审查】

国家相关监管部门要求提供上网的机构，应当对上网人员的行为进行记录，以备在员工进行违规访问（比如发布发动言论，访问非法网站）时，能够进行追溯。而目前中小企业员工均通过NAT来上网，这样单纯在互联网上无法准确定位访问者，即使有些分支机构采取了NAT和上网行为管理设备，但这些设备对行为之记录到IP地址，很难对应到具体的人员。

对此山石安全网关能够在身份识别和角色确定的基础上，对上网人员的行为（访问了什么地址、进行了什么操作、访问的时间、访问产生的流量等）进行有效记录，从而做到实名制审计。【有效封堵P2P和IM】

P2P和IM的特点是，运用动态端口进行访问，对此传统访问控制的基础是地址、协议和端口，这种控制方法根本无法从根本上封堵P2P和IM。

山石安全网关支持的深度应用识别，通过协议分析能够有效鉴别出真实的应用，再此基础上进行控制，方可实现对P2P和IM等通过动态端口的应用。【更全面的URL过滤】

目前中小企业的URL过滤库采用手工方式维护，这种方式无论从实效性、全面性上都存在明显不足，山石网科安全网关内置了一套完整的URL地址库，具有超过2000万条域名的分类Web页面库，并实时保持同步更新，当中小企业办公网用户访问了不健康、反动、不安全的网站时，系统会根据不同的策略，进行报警、日志、阻断等动作，实现健康上网。

/ 42

典型中小型企业网络边界安全解决方案 【对专线形成补充】

目前中小企业各个分支机构与总公司之间，通过专线实现纵向链接，并支撑纵向的业务访问，而总公司和各个分支机构都有互联网的通道，该通道也可作为专线的备份链路，并且从节约投资的角度，甚至可以用互联网通道取代专线，降低系统总体成本。

山石安全网关支持的IPSEC VPN技术，可以在互联网通道上提供安全保护，数据传输过程中采用加密、完整性校验措施，保障了数据的安全性。【实现安全移动办公】

通过SSL VPN解决了远程办公的安全隐患，使移动人员能够安全、可靠地访问企业网资源。

/ 42

第二篇：企业网络信息安全解决方案

企业网络信息安全解决方案

一、信息安全化定义

企业信息安全管理即针对当前企业面临的病毒泛滥、黑客入侵、恶意软件、信息失控等复杂的应用环境制定相应的防御措施，保护企业信息和企业信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为企业信息和企业信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。

二、企业信息安全管理现状

当前企业在信息安全管理中普遍面临的问题：

(1)缺乏来自法律规范的推动力和约束；

(2)安全管理缺乏系统管理的思想。被动应付多于主动防御，没有做前期的预防，而是出现问题才去想补救的办法，不是建立在风险评估基础上的动态的持续改进的管理方法；

(3)重视安全技术，忽视安全管理。企业愿意在防火墙等安全技术上投资，而相应的管理水平、手段没有体现，包括管理的技术和流程，以及员工的管理；

(4)在安全管理中不够重视人的因素；(5)缺乏懂得管理的信息安全技术人员；

(6)企业安全意识不强，员工接受的教育和培训不够。

三、企业信息安全管理产品

建立完善的企业信息安全管理系统，必须内外兼修，一方面要防止外部入侵，另一方面也要防范内部人员泄密可能。所以在选择企业信息安全管理产品时，必须是一个完整的体系结构。目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：用户身份认证，如静态密码、动态密码（短信密码、动态口令牌、手机令牌）、USB KEY、IC卡、数字证书、指纹虹膜等。

防火墙

即访问控制系统，它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器

由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

安全服务器

安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

安全管理中心

由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测系统（IDS）

入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（IPS）

入侵防御，入侵防御系统作为IDS很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库

由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

数据容灾设备

数据容灾作为一个重要的企业信息安全管理体系中的一个重要补救措施，在整个企业信息安全管理体系中有着举足轻重的作用。数据容灾设备包括数据恢复设备、数据复制设备、数据销毁设备等。目前应用较多的数据容灾设备包括效率源HD Doctor、Data Compass数据指南针、Data Copy King硬盘复制机、开盘机等。

编辑本段企业信息安全管理对策 1.网络管理

一般企业网与互联网物理隔离, 因而与互联网相比, 其安全性较高, 但在日常运行管理中我们仍然面临网络链路维护、违规使用网络事件等问题, 具体而言：

(1)在IP 资源管理方面, 采用IP MAC 捆绑的技术手段防止用户随意更改IP 地址和随意更换交换机上的端口。这分两种情况实现, 第一种情况是如果客户机连在支持网管的交换机上的, 可以通过网管中心的管理软件, 对该交换机远程实施Port Security 策略, 将客户端网卡MAC 地址固定绑在相应端口上。第二种情况是如果客户机连接的交换机或集线器不支持网管, 则可以通过Web 网页调用一个程序, 通过该程序把MAC 地址和IP 地址捆绑在一起。这样, 就不会出现IP 地址被盗用而不能正常使用网络的情况。

(2)在网络流量监测方面, 可使用网络监测软件对网络传输数据协议类型进行分类统计, 查看数据、视频、语音等各种应用的利用带宽, 防止频繁进行大文件的传输, 甚至发现病毒的转移及传播方向。

2.服务器管理

常见应用服务器安装的操作系统多为Windows 系列,服务器的管理包括服务器安全审核、组策略实施、服务器的备份策略。服务器安全审核是网管日常工作项目之一, 审核的范围包括安全漏洞检查、日志分析、补丁安装情况检查等, 审核的对象可以是DC、Exchange Server、SQL Server、IIS 等。

在组策略实施时, 如果想使用软件限制策略, 即哪些客户不能使用哪个软件, 则需要把操作系统升级到Windows 2003 Server。服务器的备份策略包括系统软件备份和数据库备份两部分, 系统软件备份拟利用现有的专用备份程序, 制定一个合理的备份策略, 如每周日晚上做一次完全备份, 然后周一到周五晚上做增量备份或差额备份;定期对服务器备份工作情况等。

3.客户端管理

对大多数单位的网管来说, 客户端的管理都是最头痛的问题, 只有得力的措施才能解决这个问题, 这里介绍以下几种方法:

1)将客户端都加入到域中, 这一点很重要, 因为只有这样, 客户端才能纳入管理员集中管理的范围。

2)只给用户以普通域用户的身份登录到域, 因为普通域用户不属于本地Administrators 和Power Users 组, 这样就可以限制他们在本地计算机上安装大多数软件(某些软件普通用户也可以安装)。当然为了便于用户工作, 应通过本地安全策略, 授予他们“关机”和“修改系统时间”等权利。

3)实现客户端操作系统补丁程序的自动安装。4)实现客户端防病毒软件的自动更新。

5)利用SMS 对客户端进行不定期监控, 发现不正常情况及时处理。

4.数据备份与数据加密

由于应用系统的加入, 各种数据库日趋增长, 如何确保数据在发生故障或灾难性事件情况下不丢失, 是当前面临的一个难题。这里介绍四种解决方法: 第一种解决办法是用磁带机或硬盘进行数据备份。该办法价格最低, 保存性最强, 不足之处是备份的只是某个时间点。第二种方案是采用本地磁盘阵列来分别实现各服务器的本地硬盘数据冗余。第三种方案是采用双机容错方式, 两台机器系统相互备份, 应用层数据全部放在共享的磁盘阵列柜中, 这种方式能解决单机故障或宕机的问题, 同时又能防止单个硬盘故障导致的数据丢失, 但前期投资较大。第四种方案是采用NAS 或SAN 来实现各服务器的集中区域存储, 实现较高级别的磁盘等硬件故障的数据备份, 但是成本较高, 一般不能防止系统层的故障, 如感染病毒或系统崩溃。考虑到网络上非认证用户可能试图旁路系统的情况, 如物理地“取走”数据库, 在通信线路上窃听截获。对这样的威胁最有效的解决方法就是数据加密, 即以加密格式存储和传输敏感数据。发送方用加密密钥, 通过加密设备或算法, 将信息加密后发送出去。接收方在收到密文后, 用解密密钥将密文解密, 恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文, 从而对信息起到保密作用。

5.病毒防治

对防病毒软件的要求是: 能支持多种平台, 至少是在Windows 系列操作系统上都能运行;能提供中心管理工具, 对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面, 可通过服务器直接进行分发, 尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。在实施过程中, 本单位以一台服务器作为中央控制一级服务器, 实现对网络中所有计算机的保护和监控, 并使用其中有效的管理功能, 如: 管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下, 一级服务器病毒代码库升级后半分钟内, 客户端的病毒代码库也进行了同步更新。

四、企业网络、信息安全解决方案 1）大型企业

大型企业部门林立，相当一部分会在外地有分支机构，业务系统普遍采用建设虚拟专网的方式，起到外部分支访问总部数据的通道和安全加密作用。传统的网络安全设备基本都已经部署，比如防火墙，可以把企业访问互联网的风险降低，但是大型企业的网络、信息安全威胁主要来源于恶意的攻击行为和企业员工有意、无意的操作行为，致使业务系统不能正常使用，或者机密数据外泄，对企业的网络安全，信息保密造成很大的威胁，拥有功能强大的上网行为管理设备、入侵检测系统和防泄密系统能有效杜绝各个环节可能出现的不安全隐患，保障业务系统的政策正常安全运行和企业机密数据的安全。

建议大型企业在网络中部署：防火墙、IDS、上网行为管理、防泄密系统、VPN、安全服务器等。

2）中型企业

中型企业基本已具备完整的网络体系，但是企业的信息化技术力量相对大型企业可能薄弱一点，对于员工的上网行为和电脑操作行为可能要求得不会太严格，即使向员工制定了一定的管理制度，也会在制度的执行过程中因为人为的因素而变成一纸空文，所以用硬件设备来保障和规范网络、信息的安全尤为重要，中型企业的网络、信息安全威胁主要来源于外网的攻击、内部网络使用的不规范导致的木马、病毒等安全威胁。

建议中型企业部署：防火墙、IDS、路由器、上网行为管理、防泄密系统等。

3）小型企业

小型企业在人员规模、基础建设、资金实力等方面都相对落后于大中型企业，但是在发展阶段的小型企业，对网络、信息的安全问题同样不能忽视，目前各式各样的聊天工具、视频网站、网游、P2P下载等，都会直接影响到员工的工作效率，并且占用了大部分的带宽，使得业务系统和正常的工作无法得到保障，且小型企业一般不会配置专业的网管人员，这就是有的小型企业配置了好的电脑，够用的宽带，但是仍然有大部分员工一直抱怨总是不能上网，或者上网太慢，邮件发不出去等问题。从综合实力来讲，小型企业在网络、信息安全方面的投入会比较有限，建议企业配置中低端的安全设备，防火墙，上网行为管理，以研发和设计为主的企业对于防泄密系统的部署还是有必要的。

第三篇：企业网络建设整体解决方案

大型企业网络工程解决方案，本方案是一个典型的实际工程可以根据需要和可能，参照此方案灵活应用。

一、企业网络设计（1）主干网设计

采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽，基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理，具有良好的价格比。

传输介质。千兆传输距离500m以内采用50/125多模光缆；千兆传输距离大于500m、小于5000m时采用9/125单模光缆；百兆传输距离2000m以内采用50/125多模光缆；百兆传输距离大于2000m采用9/125单模光缆。

交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种IP应用；高可靠性设计，如多电源/管理模块、热插拔；丰富的可管理能力等。

中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接，服务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。（2）楼宇内局域网设计

要求采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。（3）接入Internet设计

Internet接入系统由位于网络中心的非军事区（DMZ）交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。（4）虚拟局域网VLAN设计

通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。

各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是一个子网，由子网中信息点的数量确定子网的大小。

同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。（5）虚拟专用网VPN设计

如果公司跨地区经营，自己铺设专线不划算，可以通过Internet采用VPN数据加密技术，构成企业内部虚拟专用网。（6）网络拓扑结构。这部分待续

二、网络安全性设计

网络系统的可靠与安全问题：

a.物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。

b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。

c.网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

d.操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

e.应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。

（1）物理安全

机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。

机房电力要充足、制冷要合适，环境要清洁。

从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。

应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌，大多数公司的数据得不到恢复。

（2）防火墙

防火墙应具管理简单、功能先进等特点，并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区（DMZ）范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。

（3）网络病毒

在网络中心主机安装一台网络病毒控制中心服务器，该服务器既要与Internet相连，又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件，企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下，更新本机的病毒代码库及相文件，对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略，以确保网络系统安全。

（4）网络容错

集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器，各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时，它所运行的应用程序将由其他的服务器自动接管。在大多数情况下，集群中所有的计算机都拥有一个共同的名称，集群系统内任意一台服务器都可被所有的网络用户所使用。

（5）安全备份与灾难恢复

企业信息管理最重要的资产不是网络硬件，而是网络运行的数据。

理想的备份系统是在软件备份的基础上增加硬件容错系统，使网络更加安全可靠。实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。

（6）网络入侵检测、报警、审计技术

入侵检测系统（IDS-Intrusin Detection System）执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。

常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。

（7）局域网信息的安全保护技术

密码采用9位以上，每周修改1次

采用多层交换网络的虚拟网划分技术，防止在内部网监听数据

采用NTFS磁盘分区加密技术，使网上邻居只能是信任用户

采用Windows域控制技术，对网络资源实行统一管理

采用SAN（Storage Area Network存储区域网络）与NAS（Network Attached Storage网络连接存储）保护数据。

SAN技术允许将独立的存储设备连接至一台或多台服务器，专用于服务器，而服务器则控制了网络其他部分对它的访问。

NAS将存储设备直接连接至网络，使网络中的用户和网络服务器可以共享此设备，网络对存储设备的访问则由文件管理器这一类设备进行管理。

利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性；利用NAS文件服务统一存放管理全公司桌面系统数据。

（8）网络代理

采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等，同时对用户的访问进行审计。

（9）邮件过滤技术。

采用具有过滤技术邮件管理系统，一般是针对“主题词”、“关键字”、“地址（IP、域名）”等信息过滤，防止非法信息的侵入。

（10）重视网络安全的教育，提高安全意识。

三、综合布线与机房设计

1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房，把各子系统的配线柜设置在各子系统所在的楼层。

2.楼宇间光缆敷设

采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。

3.楼宇内UTP布线

采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。

4.机房装修

（1）地板。铺设抗静电三防地板，规格600*600*27，板面标高0.20m，地板应符合GB6650-82《计算机机房用活动地板技术条件》

（2）吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。

（3）墙面。涂刮防防瓷、墙壁面刷乳胶漆。

（4）窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。

（5）出入门。安装铝合金玻璃隔断推拉门。

（6）照明。采用高效格栅双管日光灯嵌入安装。

（7）配电。机房配电采用三相五线制，多种电源（动力三相380V、普通220V和UPS输出220V）配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关，线路全部用铜芯穿PVC管。

（8）接地。根据要求设计接地系统，其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能，采用JD—1型接地和化学降阻剂，此外，考虑机房抗静电的需求，对抗静电活动地板进行可靠的接地处理，以保证设备和工作人员的安全要求。

（9）空调。主机房3P柜机；分机房1.5壁挂式空调机。

5.UPS后备电源。

采用分散保护，集中管理电源的策略，考虑APC公司提供的电源解决方案。

四、企业网应用系统

1.应用服务器。IBM服务器首选，当然，也可以采用高档PC机，PC机的优点是便于更新换代。

2.软件平台。采用Windows 2003（主要使用Domain域控制器,集成DNS服务），Redhat 9.0，Solaris 9.0（在unix/linux上运行Oracle数据库，SAP/R3系统，基于Lotus Domino/Notes的OA系统）

3.数据库系统。采用Oracle大型数据库，或SQL Server2000数据库。

4.OA办公系统。基于Lotus Domino/Notes的OA系统，Lotus Domino集成Email/HTTP等服务。

5.企业管理综合软件ERP。采用SAP/R3系统，一步解决未来企业国际化问题；或是用友ERP—U8系统。

6.网络存储系统。

五、网络系统管理

1.交换机、路由器管理。设备均是Cisco产品，使用Cisco Works 2000。

2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡，使IT部门及时了解整个网络当前的真实状况，实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。

3.桌面系统管理。LanDesk工作站配置和管理工具，利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。本方案是一个典型的大型企业网络工程解决方案，实际工程可以根据需要和可能，参照此方案灵活应用。

一、企业网络设计

（1）主干网设计

采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽，基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理，具有良好的价格比。

传输介质。千兆传输距离500m以内采用50/125多模光缆；千兆传输距离大于500m、小于5000m时采用9/125单模光缆；百兆传输距离2000m以内采用50/125多模光缆；百兆传输距离大于2000m采用9/125单模光缆。

交换机。主干交换机的基本要求：机箱式结构，便于扩展；支持多种网络方式，如快速以太网、千兆以太网等；高性能，高背板带宽及中心交换吞吐量；支持第二、第三交换，支持各种IP应用；高可靠性设计，如多电源/管理模块、热插拔；丰富的可管理能力等。

中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网，在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接，服务器采用双网卡链路聚合200Mbps连接，客户采用交换式10/1000Mbps连接。

（2）楼宇内局域网设计

要求采用支持802.1Q的10/100Mbps工作组以太网交换机，交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机，使10/100Mbps流量接至桌面。

（3）接入Internet设计

Internet接入系统由位于网络中心的非军事区（DMZ）交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。

（4）虚拟局域网VLAN设计

通过VLAN将相同业务的用户划分在一个逻辑子网内，既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。

各工作组交换机采用基于端口的VLAN划分策略，划分出多个不同的VLAN组，分隔广播域。每个VLAN是一个子网，由子网中信息点的数量确定子网的大小。

同样在千兆/百兆以太网上联端口上设置802.1Q协议，设置通信干道(Truck)，将每个VLAN的数据流量添加标记，转发到主干交换机上实现网络多层交换。

（5）虚拟专用网VPN设计

如果公司跨地区经营，自己铺设专线不划算，可以通过Internet采用VPN数据加密技术，构成企业内部虚拟专用网。

（6）网络拓扑结构。这部分待续

二、网络安全性设计

网络系统的可靠与安全问题：

a.物理信息安全，主要防止物理通路的损坏和对物理通路的攻击（干扰等）。

b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。

c.网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听。

d.操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计。

e.应用平台的安全要求保证应用软件服务，如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。

（1）物理安全

机房要上锁，出入人员要严加限制。注意不可让人从天花板、窗户进入房间。

机房电力要充足、制冷要合适，环境要清洁。

从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上，而应该隐藏在线槽或其他管道里。

应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌，大多数公司的数据得不到恢复。

（2）防火墙

防火墙应具管理简单、功能先进等特点，并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区（DMZ）范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。

（3）网络病毒

在网络中心主机安装一台网络病毒控制中心服务器，该服务器既要与Internet相连，又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件，企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下，更新本机的病毒代码库及相文件，对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略，以确保网络系统安全。

（4）网络容错

集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器，各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时，它所运行的应用程序将由其他的服务器自动接管。在大多数情况下，集群中所有的计算机都拥有一个共同的名称，集群系统内任意一台服务器都可被所有的网络用户所使用。

（5）安全备份与灾难恢复

企业信息管理最重要的资产不是网络硬件，而是网络运行的数据。

理想的备份系统是在软件备份的基础上增加硬件容错系统，使网络更加安全可靠。实际上，备份不仅仅是文件备份，而是整个网络的一套备份体系。备份应包括文件备份和恢复，数据库备份和恢复、系统灾难恢复和备份任务管理。

（6）网络入侵检测、报警、审计技术

入侵检测系统（IDS-Intrusin Detection System）执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。

常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。

（7）局域网信息的安全保护技术

密码采用9位以上，每周修改1次

采用多层交换网络的虚拟网划分技术，防止在内部网监听数据

采用NTFS磁盘分区加密技术，使网上邻居只能是信任用户

采用Windows域控制技术，对网络资源实行统一管理

采用SAN（Storage Area Network存储区域网络）与NAS（Network Attached Storage网络连接存储）保护数据。

SAN技术允许将独立的存储设备连接至一台或多台服务器，专用于服务器，而服务器则控制了网络其他部分对它的访问。

NAS将存储设备直接连接至网络，使网络中的用户和网络服务器可以共享此设备，网络对存储设备的访问则由文件管理器这一类设备进行管理。

利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性；利用NAS文件服务统一存放管理全公司桌面系统数据。

（8）网络代理

采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等，同时对用户的访问进行审计。

（9）邮件过滤技术。

采用具有过滤技术邮件管理系统，一般是针对“主题词”、“关键字”、“地址（IP、域名）”等信息过滤，防止非法信息的侵入。

（10）重视网络安全的教育，提高安全意识。

三、综合布线与机房设计

1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房，把各子系统的配线柜设置在各子系统所在的楼层。

2.楼宇间光缆敷设

采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。

3.楼宇内UTP布线

采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。

4.机房装修

（1）地板。铺设抗静电三防地板，规格600*600*27，板面标高0.20m，地板应符合GB6650-82《计算机机房用活动地板技术条件》

（2）吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。

（3）墙面。涂刮防防瓷、墙壁面刷乳胶漆。

（4）窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。

（5）出入门。安装铝合金玻璃隔断推拉门。

（6）照明。采用高效格栅双管日光灯嵌入安装。

（7）配电。机房配电采用三相五线制，多种电源（动力三相380V、普通220V和UPS输出220V）配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关，线路全部用铜芯穿PVC管。

（8）接地。根据要求设计接地系统，其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能，采用JD—1型接地和化学降阻剂，此外，考虑机房抗静电的需求，对抗静电活动地板进行可靠的接地处理，以保证设备和工作人员的安全要求。

（9）空调。主机房3P柜机；分机房1.5壁挂式空调机。

5.UPS后备电源。

采用分散保护，集中管理电源的策略，考虑APC公司提供的电源解决方案。

四、企业网应用系统

1.应用服务器。IBM服务器首选，当然，也可以采用高档PC机，PC机的优点是便于更新换代。

2.软件平台。采用Windows 2003（主要使用Domain域控制器,集成DNS服务），Redhat 9.0，Solaris 9.0（在unix/linux上运行Oracle数据库，SAP/R3系统，基于Lotus Domino/Notes的OA系统）

3.数据库系统。采用Oracle大型数据库，或SQL Server2000数据库。

4.OA办公系统。基于Lotus Domino/Notes的OA系统，Lotus Domino集成Email/HTTP等服务。

5.企业管理综合软件ERP。采用SAP/R3系统，一步解决未来企业国际化问题；或是用友ERP—U8系统。

6.网络存储系统。

五、网络系统管理

1.交换机、路由器管理。设备均是Cisco产品，使用Cisco Works 2000。

2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡，使IT部门及时了解整个网络当前的真实状况，实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。

3.桌面系统管理。LanDesk工作站配置和管理工具，利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。

第四篇：石化企业网络整体解决方案

石化企业网络整体解决方案

发挥作用

关键词：网络　方案　石化企业

随着科技的迅猛发展，石化企业越来越广泛地采用信息技术，使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施，其目标是建设一个先进、可靠、安全的信息通信平台，支

持数据、话音和图像交换，实现传真、图片和电视会议等多种通信业务，覆盖所有网络应用，并具有完备的网络管理系统，能为用户建立面向未来的信息高速公路。

一石化企业网络建设目标

1.石化企业流程特点

石化以原油和天然气为主要原料，生产出燃料、润滑油、石蜡等产品，满足社会需要，同时谋求企业最大经济效益。其流程是连续生产，规模宏大，由许多内部复杂关联的单元操作模块组成，单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。

2.石化企业数据分类

石化企业网上数据，总体上包括：工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据，实时性很强，要求较高通信速率，一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率，才能保证良好的画面效果。

3.光缆覆盖企业全部区域

到目前为止，石化企业的计算机应用，一般都走过了起步、探索和发展3个阶段，经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案，光缆敷设一定要覆盖企业全部区域，才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用，使企业管理模式有一个较大变革。

4.完成生产和管理各项服务职能

石化企业网络建设目的，是搭建信息应用平台，为生产和管理构造一个适应竞争发展的模式，最大限度提高经济效益。在这个宏观思想指导下，所建立起来的网络系统须能支持完成生产和管理各项服务职能，如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。

5.满足企业CIMS和ERP建设需要

网络系统是石化企业信息化建设的重要基础设施，应从企业全局出发，建成一个高起点、有水平、方便使用和管理、易于升级的网络系统，以期满足企业CIMS和ERP建设需要。其建设原则应定位在：统筹规划，分步实施；集中建设，分级管理；共同开发，资源共享；不断优化，滚动发展。

二石化企业网络建设方案

1.网络设计原则

由于网络技术发展十分迅速，产品更新换代日趋缩短，所以方案设计时须采用先进、成熟技术，确保网络结构、设备和软件具有较长生命周期，保护用户投资。同时，要兼顾产品性价比，以适应石化企业信息应用发展需要。网络应充分设计的重要因素：(1)网络实施可行性；(2)性能优异性；(3)使用方便性；(4)可靠性；(5)安全性；(6)生存性；(7)可管理性。

2.主干网类型

主干网连接各部门局域网网段，连接企业级服务器及各种远程网络设备，负责处理网间数据量传输，是石化企业全网数据交换枢纽。为此，要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性，同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理，有利于网络分段(分组)、性能优化和安全控制，同时还要考虑原有网络基础设施的充分利用，方便日常维护。目前，石化企业主干网的选型，多以ATM和星型结构的千兆快速以太网为主流。

3.网络模型确定

网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上，网络设备、网段的连接方式。就石化企业来说，分公司和下属二级生产企业的信息点总和约几千点，大体可分成3层：第一层为核心层，位于分公司计算机中心机房；第二层为中心层，位于下属二级企业计算机中心机房；第三层为接入层，包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽，应具有高性能、高可靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心，应具有较强数据交换能力，支持3层交换，基本解决二级企业路由，使二级企业信息管理相对

独立，同时减少了分公司核心交换机数据处理压力。接入层为最终用户，是10/100M交换式以太网端口到桌面。

二级企业网络又可分成多级节点拓扑结构：其计算中心为中心节点；1000M主干抵达地为一级节点；企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点；非独立组网的机关处室、仪表

室和车间下属各组为三级节点。节点选择原则有3条：重要程度、地理位置、所管理工作站数量。

对石化企业来说，生产管理的一个十分显著特点，是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网，应通过单设的工控机实现，目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换，在软件上通过DDE或OPC实现。

4.网络拓扑结构

地区石化企业网络拓扑结构一般分为两层：分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台；组建连接下属各分厂的网络管控中心；负责和中石油、Internet对外的统一接口。而下属分厂层，作为分公司整体网络组成部分，则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。

5.网络设备选型

网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则，是依据石化企业网络拓扑结构要求，参照其功能、性能、容量和价格等综合因素而确定。

在这一网络设备选择原则的指导下，建议选用主流网络设备厂家Cisco和3COM公司产品，因其都拥有全线网络产品，性价比良好，有着强大技术支持和售后服务能力，并对网络扩展和升级不存在后顾之忧，不仅能使石化企业有效解决网络应用问题，且可降低维护成本，提升企业管理水平。以选用Cisco网络产品为例：分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506)；二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006)，一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948)，二级和三级节点可采用Cisco2950等网络设备。

6.网络服务器选择

服务器的选择对一个网络系统来说至关重要，它应具有较强稳定性、可靠性、保密性和安全性，同时方便操作和维护，充分考虑系统的扩充和发展。一般来说，系统主服务器可采用档次较高的SUN服务器，其他如生产(实时)数据服务器、Domino(办公自动化)服务器、代理服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用，通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。

7.域名的划分

传统域名的划分采用WindowsNT中WI和D相结合的方式，为系统每台设备都设置域名，不仅增加网络广播信息流量，加重网络负担，降低网络性能，且不利于域名系统的维护。现在修正如下：(1)按照分公司规定域名划分方法进行厂级域名规划；(2)取消WI系统；(3)不对分厂级以下的系统进行域名设置。

8.IP地址的分配

IP地址的划分采用分公司分配的IP地址段，分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源，其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分，必须在对网络进行全面调研的基础上，根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。

9.与Internet连接

随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源，更好服务于生产经营，以获得更大利润，现已变得越来越迫切，访问Internet事实上已成为石化企业网络功能的重要组成部分。与Internet连接，是由接入路由器、防火墙和入侵监测设备组成。为统一管理，Internet对外出口应设在分公司，由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业，它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等，也统一纳入分公司管理之下，由其信息中心来控制具体实施。如有必要，下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。

10.网络管理软件

网络管理是确保网络正常工作的重要手段，它决定某一特定段信息量，管理一个应用应怎样使用客户内存，以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView，能出色地承担起网络管理职能；3COM公司Tracend网管软件，也可为该公司的互连设备提供动态网络配置信息和运行状态信息，具有强有力的监视功能。

11.防火墙和防病毒

确保网络安全的基本方法是采用防火墙。简单讲，防火墙是用来控制信息流，通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙：包过滤、网络过滤和应用网关。在确定选择防火墙时，应首先检查环境中可用的信息流控制，主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品，都具有相当好保护性能，用以保护整个网络业务资源。防火墙设置应由分公司统一设置。

计算机病毒给网络应用带来了相当大的威胁，在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中，须根据对病毒流入网络系统根源的分析，制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版)，定时对全网络用户查毒杀毒，收到较好效果。

12.数据备份

石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中，网络数据安全性极为重要，一旦被破坏或丢失，将对企业正常运行带来重大影响，甚至造成难以弥补的损失。因此，数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上，适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术，正成为网络数据备份的主流。

三石化企业网络建设环境

1.机房环境设计

好范文版权所有

(1)温度：夏季22℃±2℃，冬季20℃±2℃；(2)湿度：45～65；(3)照明：距地面0.8m处＞300Lx；(4)噪声：＜70db；(5)电磁：≯800A/m。

2.系统供电设计

(1)电压波动范围-5～ 5，频率变化范围-0.2Hz～ 0.2Hz，波形失真率≤±5；(2)采用U，其容量选用设备容量之和的1.5倍。

3.系统防雷击设计

需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。

4.接地设计

(1)交流工作地的接地电阻≯4Ω(2)安全保护地的接地电阻≯4Ω(3)信号地和屏蔽地的接地电阻≯3Ω(4)防雷保护地的接地电阻≯4Ω。

四石化企业网络建设实施

1.符合实际的路由设计

符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作，在大量和反复调研基础上，完成详尽的文档，包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求，结合企业地理环境的具体情况，因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井，然后利用仪表和计量槽盒，最大限度减少地下直接掩埋或架空敷设。

2.采用结构化布线

先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上，以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间，以及厂区内的主干，采用光缆；办公楼以及车间内部，铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上，1000M主干采用单模光纤，其他网段采用多模光纤，为保证网络安全和可靠运行，单模光纤使用6芯(2/3作为备用)，多模光纤使用4芯(1/2作为备用)。

3.充分利用原有网络资源好范文版权所有

石化企业的计算机应用工作起步较早，各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案，一定要考虑充分利用原有网络资源。其利用是多方面的，光缆、用户工作站、集线器都可利用，交换机也可降级利用。这不仅仅是资金上的节省，而且也是人们心理上的期望。

4.工程组织和实施

(1)组织管理

项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。

(2)进度安排

设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。

(3)质量管理

(a)项目工程领导小组，负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调；

(b)光缆敷设管理小组，负责光缆敷设，确保工程遵循技术规范、按照进度时间要求完成施工；

(c)网络性能优化管理小组，负责工程竣工前对网络性能测试，并进行优化调试；

(d)网络安全实施管理小组，负责实施网络安全策略，实现防火墙和防病毒的落实，确保网络安全和保密；

(e)文档资料管理小组，负责提供完整和实用的文档资料，以备网络日常的管理和维护。

(4)费用预算

光缆及网络交换设备费用、光缆敷设工程费用、网络管理软硬件费用、网络安全管理软硬件费用、网络防病毒软硬件费用、网络性能测试费用。

(5)技术培训

(6)测试验收

(7)文档资料

工程进度一览表、网络拓扑结构图、光缆敷设路由设计图、网络域名划分表、网络IP地址分配表、硬件接线明细表、光缆布线工程测试报告。

第五篇：企业网络管理制度及解决方案

企业网络管理制度及解决方案

企业网络的通畅一直是企业需要解决的重要问题，网络的堵塞,对一般员工而言，只是抱怨几句，然后叫来网管，在网管的协助下稍有改观，不过依然达不到自己认为的速度，网管知道是有人在下载，可以如果利用路由器将所有的电脑分配网速，那对于真正需要快网速的人来说太慢了，影响正常办公，然而，对领导而言，如果过慢的网速影响了他自己的上网需求时，无疑，网管就成了领导的发泄对象了，所以企事业单位的网管不是那么好做的。

网管在企业网络管理的工作中，并不是孤军奋战的，借助相关的企业网络管理设备，可以使自己的网站轻松简单需要，同时也可以更好的解决各种网络问题。例如万任UniERM网络流量综合管理系统不仅可以有效控制办公室的电脑上网行为，而且可以有效保护内网安全、防范内网攻击，拥有企业级防火墙、负载均衡、企业网络流量控制等功能，这些都是企业网管在工作中非常需要的功能。

企业网络管理设备可管理局域网内的所有联网电脑，全面有效地控制局域网内员工上班时间的所有不规范上网行为，万任UniERM网络流量综合管理系统就可以有效限制p2p下载，禁止点对点下载，控制ftp上传下载，禁止qq登录，限制skype在线聊天，有效分配带宽，禁止个别员工因下载引起的qq带宽不均衡，禁止所有的在线游戏，限制客户端游戏，禁止炒股，限制大智慧，封堵炒股软件等等功能强大，可以轻松控制整个局域网的上网行为。

企业的网络管理除了配置像万任UniERM网络流量综合管理系统这样的企业网络管理设备外，明确的网络使用制度也是必不可少的，对员工的上网行为规范要落实到实处。

企业的网络卡、堵、慢问题一直是个老大难，企业扩大带宽等措施都没有明显的改善，所以企业网络管理设备是一个不错的选择，选择好的网络管理设备，把企业的网络管理做好，不仅为企业节约了扩大带宽的成本，也能提高资源利用率和员工的工作效率。