浅谈网络信息安全实验室的建设
1 方案背景
信息安全维护与保障离不开专业化的人才培养,国家对信息安全人才的培养高度重视。为贯彻十八大精神和国家教育发展规划纲要,加强对高等学校信息安全专业教学改革的研究、咨询、指导和评估。
目前在信息安全教育面临着人才需求量大、综合素质能力要求高的挑战。
信息安全人才可从事信息安全工程师、安全咨询顾问、安全售前顾问、安全产品经理等多种岗位,目前信息安全人才需求旺盛,平均薪酬十分乐观,于此同时用人单位对员工的综合能力素质要求很高,需要熟练的实际动手能力,需要人才培养机制方面有针对性、目的性提升。
但高校信息安全教学还存在如下挑战:
信息安全学科的人才培养计划和相应的课程体系还很不完善,学科建设的指导思想、人才培养的规格和一些具体做法都是各个高校根据自己的情况灵活掌握的。
教学计划不够科学,课程体系没有体现信息安全学科本身的特点,课程体系上的某个相近学科课程体系的翻版或者延伸(与社会实用技能脱节)。
信息安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会,在国外很多高校提倡基于仿真的信息安全教学法,国内信息安全教育缺乏有效的仿真教学平台。
信息安全学科的体系建设还没有建立起来,尚未形成完整的信息安全人才培养教育体系,尽管目前国内一些理工科大学正在开设或准备开设类似专业,但开设的专业课程和人才培养仍然停留在技术防护层面(防火墙、密码学),不能涵盖信息安全的主要内容。
因此通过建设网络信息安全实验室,填补了高校在计算机网络实验教学方面的空白,极大改善计算机网络实验教学的条件,具备了跟踪先进网络和通信技术,开阔学生的思路和眼界,提高教学水平和教学质量,并在计算机网络技术方向上为创新人才培养基地提供良好的教学与科研条件。
2 建设目标
通过网络信息安全实验室的建设以及培训,可以达到以下目标:
提高学生的实际动手能力
网络信息安全实验室提供目前主流的安全设备,如下一代防火墙、上网行为管理、SSL VPN、应用交付、桌面云、WLAN等,可以根据教学要求进行网络安全实验,实验的内容应充分结合当前网络安全技术以及国内市场的典型应用,模拟真实环境。通过系统的、不同平台环境的攻防演练,具体了解各种攻击防范手段,熟练使用各种攻防工具,提高反黑客技术与实战能力。
培养不同类型不同层次的网络安全人才
网络信息安全实验室的实验内容充分考虑到学生的专业以及今后的发展方向,建议为学生定制至少3个方向的实验内容:网管人员、网络安全技术支持人员、网络安全研发人员。网络实验室需根据三种不同的角色进行相应的实验内容,培养出不同类型不同层次的网络安全实用性人才。
成为有特色的培训基地
建成的网络安全实验室既可以为全校师生提供实际动手能力的环境,也要有能力为社会提供培训环境。通过这种特色的教学、丰富的有针对性实验内容,缩短在校学习与社会工作之间的距离,让每一位学员都能在职场上给自己找到一个最准确的定位,实现培养实用性人才的目标。
丰富老师的知识面,提高在职老师的专业权威
由于网络信息安全实验室涵盖目前主流网络安全设备及技术,可以让老师系统的研究当前网络最前沿的技术动态和发展方向,并通过该实验室将理论和实践有机的结合起来,编写出一套新颖的教材,发表绝对权威的学术报告,在教育界网络安全领域树立专家形象。
3 实验室建设方案
3.1 实验室平台架构
网络信息安全实验室平台由漏洞仿真系统、课件库发布系统、防护单元系统、考生考试系统组成,通过实验室平台控制器进行统一资源调拨分配。
各个组成系统的主要功能如下:
漏洞仿真系统:通过虚拟化技术集成windows、linux、unix、debain等跨平台系统、web应用、数据库等漏洞模拟;
教学课件分布:涵盖渗透测试、安全防护、安全设备、木马病毒等教学课件资源;
学生考试系统:支持在线题库录入,发布,在线考试;
平台防护单元:依托下一代防火墙,模拟IPS、WAF、FW等主流防护措施;
实验室平台控制器:采用B/S架构方便便捷进行资源统一管理。
3.2 实验室网络结构
实验室网络结构如上,主要分为教室区、平台防护单元、运营管理区三大部分。
教室区:在教室区部署桌面云瘦客户机终端作为学生进行实验操作的终端,另外在教室部署WLAN AP以方便通过使用各种智能终端接入网络进行实验操作。
平台防护单元:主要提供下一代防火墙(NGAF)、上网行为管理(AC)、SSL VPN、应用交付(AD)、桌面云(aDesk)的控制器、WLAN无线控制器等安全设备。
运营管理区:主要提供仿真的漏洞平台以及实验室的运营管理平台。
3.3 平台防护单元
在平台防护单元,通过提供下一代防火墙(NGAF)、上网行为管理(AC)、SSL VPN、应用交付(AD)、桌面云(aDesk)、WLAN六大产品线提供覆盖用户安全、终端安全、传输安全、网络安全、应用安全、数据安全的端到端网络安全解决方案,为网络信息安全实验室提供一站式的安全实验平台。
3.3.1 下一代防火墙NGAF
下一代防火墙(Next-Generation Application Firewall)NGAF是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。
区别于传统的网络层防火墙,NGAF具备L2-L7层的协议的理解能力。不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。
区别于传统DPI技术的入侵防御系统,NGAF具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。
同样都能防护Web攻击,与Web应用防火墙关注Web应用程序安全的设计理念不同,下一代防火墙NGAF关注Web系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。
项目 具体功能
部署方式 支持路由,透明,旁路,虚拟网线,混合部署模式;
实时监控 实时提供CPU、内存、磁盘占用率、会话数、在线用户数、网络接口的鞥设备资源信息;提供安全事件信息,包括最近安全事件、服务器安全事件、终端安全事件等,事件信息提供发生事件、源IP、目的IP、攻击类型以及攻击的URL等;提供实时智能模块间联动封锁的源IP以便实现动态智能安全管理;
网络适应性 支持ARP代理、静态ARP绑定,配置DNS及DNS代理、支持DHCP中继、DHCP服务器、DHCP客户端;支持SNMP v1,v2,v3,支持SNMP Trap;支持静态路由、RIP v1/2、OSPF、策略路由;支持链路探测,端口聚合,接口联动;
包过滤与状态检测 提供静态的包过滤和动态包过滤功能;支持的应用层报文过滤,包括:应用层协议:FTP、HTTP、SMTP、RTSP、H.323(Q.931,H.245, RTP/RTCP)、SQLNET、MMS、PPTP等;传输层协议:TCP、UDP;
NAT地址转换 支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能;可配置支持地址转换的有效时间;支持多种NAT ALG,包括DNS、FTP、H.323、SIP等
抗攻击特性 支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能;
IPSEC VPN 支持AES、DES、3DES、MD5、SHA1、DH、RC4等算法,并且支持扩展国密办SCB2等其他加密算法支持MD5及SHA-1验证算法;支持各种NAT网络环境下的VPN组网;支持第三方标准IPSec VPN进行对接;*总部与分支有多条线路,可在线路间一一进行IPSecVPN隧道建立,并设置主隧道及备份隧道,对主隧道可进行带宽叠加、按包或会话进行流量平均分配,主隧道断开备份隧道自动启用,保证IPSecVPN连接不中断;可为每一分支单独设置不同的多线路策略;单臂部署下同样支持多线路策略;
应用访问控制策略 支持对1000种以上应用、2500种以上应用动作,可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议;支持自定义规则; 提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定;
APT检测 内置超过20万的病毒,木马,间谍软件等恶意软件特征库,并且在不断的持续更新特征内容;支持通过安全云实现虚拟沙盒动态检测技术。可检测未知威胁在沙盒中对注册表、文件系统等的修改,通过云端联动的方式快速更新到各节点设备中,可实现快速统一的防护未知攻击;
IPS入侵防护 微软“MAPP”计划会员,漏洞特征库: 3500+并获得CVE“兼容性认证证书”,能够自动或者手动升级;防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;防护对象分为保护服务器和保护客户端两大类,便于策略部署;漏洞详细信息显示:漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容;支持自动拦截、记录日志、上传灰度威胁到“云端”
服务器防护 支持web攻击特征数量2500+;支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义;支持FTP服务应用信息隐藏包括:服务器信息、软件版本信息等;支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解;支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护;可严格控制上传文件类型,检查文件头的特征码防止有安全隐患的文件上传至服务器,并支持结合病毒防护、插件过滤等功能检查文件安全性;支持指定URL的黑名单、加入排除URL目录,ftp弱口令防护、telnet弱口令防护等功能;
敏感信息防泄漏 内置常见敏感信息的特征,如身份证信息、MD5、手机号码、银行卡号、邮箱等,并可自定义具有特殊特征的敏感信息;支持正常访问http连接中非法敏感信息的外泄防护;支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”;
风险评估 支持服务器、客户端的漏洞风险评估功能,支持对目标IP进行端口、服务扫描;支持ftp、mysql、oracle、mssql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描;支持SQL注入,SQL盲注,跨站脚本攻击(XSS),跨站请求伪造(CSRF),操作系统命令,本地文件包含,远程文件包含,暴力破解,弱密码登录,XPATH注入,LDAP注入,服务器端包含(SSI)等丰富的Web应用服务漏洞检测;风险评估可以实现与FW、IPS、服务器防护模块的智能策略联动,自动生成策略;
实时漏洞分析 支持对经过设备的流量被动进行分析,分析内容包括底层软件漏洞分析,Web应用风险分析,Web不安全配置检测以及服务器弱密码检测,并实时生成分析报告。具备单独的针对服务器安全风险和潜在威胁的特征识别库;
业务风险报表 提供基于用户/业务的综合风险报表,统计维度为用户和业务而非IP地址;根据网络风险状况提供优、良、中、差评级;攻击统计提供所有检测攻击数和有效攻击数两个维度;报表内容呈现主动扫描的漏洞分布情况,匹配攻击日志输出已被攻击的漏洞数和发现的所有漏洞数的统计报表;业务安全报表提供攻击分析、漏洞评估、业务系统漏洞详情等信息;用户安全报表提供遭攻击最多的用户详情、异常连接用户详情等信息;安全风险类型汇总基于业务系统遭受攻击类型、业务系统存在最多漏洞类型、用户遭受最多威胁类型进行统计;
网页篡改防护 网关型网页防篡改,无需在服务器中安装任何插件;支持文件比对、特征码比对、网站元素、数字指纹比对多种比对方式,保证网站安全;全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改;支持各级页面模糊框架匹配、精确匹配的方式适用不同的网页类型;支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容;支持通过替换、重定向等技术手段,防护篡改页面;网站维护管理员必须通过短信认证才可进行网站更新业务操作(选配);支持短信报警、邮件报警、控制台报警等多种篡改报警方式;
病毒防护 支持基于流引擎查毒技术,可以针对HTTP、FTP、SMTP、POP3等协议进行查杀;能实时查杀大量文件型、网络型和混合型等各类病毒;并采用新一代虚拟脱壳和行为判断技术,准确查杀各种变种病毒、未知病毒;内置10万条以上的病毒库,并且可以自动或者手动升级;检测到病毒后支持记录日志、阻断连接;
Web过滤 对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTP GET、HTTP POST、HTTPS等应用行为;并进行阻断和记录日志;支持针对上传、下载等操作进行文件过滤;支持自定义文件类型进行过滤;支持基于时间表的策略制定;支持的处理动作包括:阻断和记录日志
流量管理 支持将多条外网线路虚拟映射到设备上,实现对多线路的分别流控;支持基于应用类型、网站类型、文件类型的带宽划分与分配;支持时间和IP的带宽划分与分配;
用户管理 支持基于用户名/密码、单点登陆以及基于IP地址、MAC地址、计算机名的识别等多种认证方式;支持AD域结合、Proxy、POP3、web表单等多种单点登陆方式,简化用户操作;*可强制指定用户、指定IP段的用户必须使用单点登录;支持添加到指定本地组、临时账号和不允许新用户认证等新用户认证策略;支持强制AD域认证,指定用户必须用AD域账户登录操作系统,否则禁止上网;认证成功的用户支持页面跳转,包括最近请求页面、管理员制定URL、注销页面等;支持CSV格式文件导入、扫描导入和从外部LDAP服务器上导入等账户导入方式;用户分组支持树形结构,支持父组、子组、组内套组等组织结构;
关键页面双因素认证 支持管理员页面、管理后台的短信强认证机制,要求至少提供URL、telnet、ssh三种方式的短信认证
高可用性 支持A/A,A/S模式部署,支持会话同步,配置同步和用户信息同步;
网关管理 网管管理员具备安全管理员,审计员和系统管理员三种权限,安全管理员默认只允许安全策略和安全日志的查看和编辑权限;审计员默认只开放数据中心日志的查看和编辑权限,不具备设备的管理权限;系统管理员默认具备除安全功能外的其他系统管理权限,不具备设备的日志查看权限;支持SSL加密WEB方式管理设备;支持邮件、短信(可扩展)等告警方式,可提供管理员登录、病毒、IPS、web攻击以及日志存储空间不足等告警设置;提供图形化排障工具,便于管理员排查策略错误等故障;提供路由、网桥、旁路等部署模式的配置引导,提供保护服务器、保护内网用户上网安全、保证内网用户上网带宽、保证遭到攻击及时提醒和保留证据等网关应用场景的配置引导,简化管理员配置;
日志管理与报表 能够自定义时间段查询DOS攻击、web防护、IPS、病毒、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询;提供可定义时间内安全趋势分析报表;支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表;支持将统计/趋势等报表自动发送到指定邮箱;支持导出安全统计/趋势等报表,包括网页、PDF等格式;
3.3.2 上网行为管理AC
2005年,科技推出中国第一款专业上网行为管理产品,得益于提供的专业上网行为管理技术和业界性能最强的处理平台,该产品的用户数量已达18000多家,其中超过5000家为中高端客户。正是由于客户的大力支持,上网行为管理产品才能获得市场占有率第一,成为业界第一品牌。
以大量创新技术和应用始终引领着中国上网行为管理的发展方向。上网行为管理产品以用户识别、终端识别、应用识别为基础,结合封堵、流控、审计等管理手段,全面应对互联网给组织带来的工作效率下降、带宽效率下降、泄密风险、法律风险及上网安全风险等挑战,帮助组织有效管理组织的互联网应用,充分发挥互联网的价值。
功能列表
分类 详细指标
部署模式 支持网关、网桥、旁路、多路桥接等部署模式,支持双机热备、多机部署、集中部署;
设备管理 支持Web、CLI、SSH等管理方式;管理员支持分级管理,能将所有功能模块按需分配给不同管理员;多台设备支持通过统一平台集中管理、集中配置;提供图形化排障工具,便于管理员排查策略错误等故障;
实时监控 支持提供设备实时CPU、内存、硬盘占有率、会话数、在线用户数、系统时间、网络接口等设备资源信息;支持实时提供在线用户信息、应用流量排名、连接排名、所有线路应用流速趋势、流量管理状态、连接监控信息等;支持实时查看各带宽通道的使用情况;支持实时显示当天的安全状况、最后发生安全事件的时间、类型、总次数、源对象;
用户识别 支持以IP、MAC、IP/MAC绑定、用户名密码等方式认证用户;支持LDAP/RADIUS/POP3/数据库等第三方认证服务器;支持USB-KEY硬件特征;支持AD域/POP3/Proxy/Web/第三方系统单点登录;支持指定网段/账号强制单点登录;支持账号公有/私有控制;支持账号有效期控制;用户账户支持文本导入、IP/MAC扫描导入、或从AD服务器导入账户和组织结构信息;支持AD安全组嵌套同步;支持短信认证;
认证机制 新用户支持根据源IP段以IP/MAC/计算机名等方式实现账户自动命名;支持认证冲突检测;支持认证失败后的权限管控;支持认证成功后的页面跳转控制;
终端检测 能检测操作系统版本/补丁、系统进程、硬盘文件、注册表信息等终端特征、并能调用管理员自写脚本实现个性化检测;不满足组织相关IT规定而未能通过检测的终端予以提示或禁止其上网;支持win 7 64位操作系统,支持在旁路模式部署下生效;
网页监控 内置海量URL库且支持手工创建、支持基于URL地址/搜索词条/网页正文内容包含的关键字过滤网页访问行为;同时可基于关键字过滤网络发帖、Webmail邮件外发行为,支持能看帖但不准发帖、能收邮件但不准发邮件的细致管控功能;对于未包含在URL库里的其他海量网页通过网页智能识别管控;
高级管控 支持过滤SSL加密网址,并能基于关键字过滤SSL加密的网络发帖和Webmail;能够识别和过滤使用公网代理或自由门/无界浏览器等加密代理软件来师徒规避管理的行为;能够管控通过安装代理软件将自己的上网权限共享给其他人的行为;
文件控制 支持HTTP上传/FTP/Email附件等形式的外发文件行为,支持基于扩展名识别并拦截外发文件;支持识别并拦截经过篡改/删除扩展名、压缩、加密后外发的文件(选配);支持控制通过web IM传文件的行为,支持审计IM传文件行为及内容;
应用控制 内置支持1600种以上网络主流应用,管理IM、web IM、微博、网络游戏、网络炒股、P2P、流媒体、远程控制、木马、代理翻墙软件、移动APP等常用网络应用;支持应用更新版本后的主动识别和控制;支持给每种应用定义标签,通过选择标签指定多个应用;
P2P智能识别 通过DPI技术识别BT、迅雷、电骡等30余种常见P2P应用协议,利用智能P2P识别技术实现变种P2P、未知P2P应用的全面识别和管理;
邮件管控 支持完全封堵邮件收发行为;支持基于关键字、收发件人地址等多种条件过滤包括SSL加密邮件在内的外发邮件;支持邮件延迟审计技术、可根据预设条件拦截外发邮件,通过人工审核后再允许外发;
上网安全 设备具有安全桌面功能,通过权限设置,使病毒、木马及间谍软件无法进入真实电脑系统,防中毒防泄密;设备内置恶意网址库,对恶意网址进行匹配和过滤,识别外网病毒、危险插件、恶意脚本、挂马网站等;支持识别和封堵无界浏览、自由门及在线代理,包括HTTP在线代理和HTTPS在线代理的翻墙行为;内置防火墙,能够防御DOS攻击、ARP欺骗等影响网关稳定性的多种安全风险;支持识别内网已经感染病毒、木马、间谍软件、被黑客控制的危险终端,并自动向管理员提出告警(选配);内置专业杀毒引擎,支持网关杀毒功能(选配);
上网授权 支持桌面访问权限设置,智能使用安全桌面访问外网,使用默认桌面访问局域网,实现双网隔离,保障信息安全;支持与组织结构一致的多级用户账号管理方式,可基于用户账号、IP、应用、行为、内容、时间段等多种因素管控上网权限;结合对象化的上网策略模板,实现上网权限在不同用户用户组间的复用、集成、强制集成等效果;支持对指定用户的指定应用行为累计使用时长及最高流速进行监控,超出配额将自动弹出提醒对话框智能提醒用户自行采取措施解决,充分减少管理员人工干涉的工作量;
流量管理 支持多线路复用、智能选路、虚拟线路、虚拟子通道、动态流控等功能;可基于应用类型/网站类型/文件类型及用户、时间、目标IP等条件分配带宽资源;支持由外网访问内网的流控和带宽平均分配效果;
上网审计 记录访问的网页地址、标题、(含关键字网页)内容;记录HTTP、FTP等外发文件行为及内容,记录下载文件名及行为;记录明文及SSL加密论坛发帖,记录明文及SSL加密的Email、Webmail;记录IM聊天及Web IM聊天内容;记录网游、炒股、影音娱乐、P2P下载、Telnet等应用行为;支持发送微博的行为和微博内容审计,支持审计微博上传附件;支持智能终端web IM聊天行为的审计,支持智能终端发送微博的行为审计;提示木马、病毒等危险行为;统计用户流量、上网时长等信息;支持行为和内容分开审计;支持对网页过滤和审计分开控制,支持审计指定类型的URL;可审计外网用户在内网服务器上的网页/文件/邮件等访问行为;数据中心支持网页快照功能查看,审计网页的内容;
免审计Key 避免对持有免审计Key人员的上网审计,且免审计状态不可由系统管理员私自变更(选配);
日志审查Key 管理过程记录的各类审计日志,数据中心管理员需持日志审查Key才能查看详细日志信息(选配);
数据中心 支持内置和独立数据中心,海量存储日志,可实现不同管理员根据自己的管理对象分级审计;
报表 支持多种报表,包括统计报表、趋势报表、汇总报表、对比报表、自定义报表等常规报表,以及风险智能报表、关键字报表、热帖报表等高级报表;实现用户及用户组的上网流量、时间、行为的查询、统计、排行等各类统计报表功能,提供危险行为用户排行、网站访问时长排行等数百种细节报表;
内容检索 提供类似Google的日志检索工具,管理者可输入多个关键字实现对日志的快速定位,包括对日志附件正文内容的检索和定位;支持主题订阅,自动将检索结果以Email形式发送到指定邮箱;
3.3.3 SSL VPN
作为国家SSL VPN标准的核心制定者之一,SSL VPN产品是国内业界应用最广泛、最完善的SSL安全访问解决方案。
据国际权威调查机构FROST & SULLIVAN 2011年和2012年调查报告显示,SSL VPN分别以39.2%和40.3%的市场占有率独占鳌头。SSL VPN大量大规模、高并发客户案例为同行业之最,已连续四年保持国内市场占有率第一。
| 功能列表 | ||
|
功能 分类 |
详细指标 | |
|
部署 模式 |
网关模式、单臂(旁路)模式、 多机热备模式、集群模式、分布式集群模式 | |
| 支持性 | 完整支持Window2000/XP/2003/Vista/Win7/Win8、Linux、Mac OS、Android、IOS等主流操作系统 | |
| 完整支持IE、Firefox、Safari、Google Chrome、Opera、采用IE内核的主流浏览器 | ||
| 快速性 | 支持路由和单臂模式下的基于Web的多线路智能选路(选配),客户端无需安装插件 | |
| 支持Web服务压缩、C/S服务压缩(LZO、GZIP)、动态压缩算法、Web优化技术、WebCache技术、IPTunnel加速技术,全面提升B/S应用和C/S应用的访问速度 | ||
| 支持单边加速功能,支持web服务,TCP服务,L3VPN服务,远程应用发布的单边加速 | ||
| 支持HTP高速传输协议,保证高丢包高延时环境下的快速访问 | ||
| 支持资源负载均衡,根据不同的权值实现负载接入,提高接入效率 | ||
|
|
支持国际算法标准AES、DES、3DES、DH、RSA、RC4、MD5、SHA1等加密算法; 支持中国国家标准GM/T系列的SM2、SM3、SM4等算法,支持加载扩展SM1硬件加密卡 |
|
| 支持本地认证、基于GSM/CDMA短信猫、短信网关的短信认证(选配)、动态令牌(选配)、硬件特征码、有驱及无驱USB Key、第三方与自建CA、LDAP、RADIUS等多种认证方式的组合认证,可支持5因素捆绑认证;支持终端的基于IP和用户名的防暴破登录和多种密码安全策略;从绑定实现SSL VPN账号与应用系统账号的唯一绑定 | ||
| 支持客户端安全配置权限控制,允许或禁止私用用户自行配置密码、手机号码及用户描述;支持客户端注销后自动清除所有缓存、浏览器历史记录、保存的表单信息等,实现零痕迹访问;可配置含Vista/Win7下的VPN专线功能 | ||
| 支持进行操作系统、文件、进程、注册表、用户接入IP、登录IP、登录时间、接入终端等规则的“与或”组合进行登录前和登录后的客户端安全检测,可配置准入和授权策略;支持客户端安全策略库,并支持自动升级 | ||
| 可配置匿名登录用户,只提供SSL加密隧道传输 | ||
| 支持服务资源隐藏、URL地址伪装 | ||
| 实现针对资源的IP地址、端口、服务、URL级别等实现基于角色的细粒度权限分配功能 | ||
| 支持基于状态监测的防火墙功能,支持防DoS攻击;支持防火墙过滤规则在线虚拟测试 | ||
| 易用性 | 支持B/S、C/S应用的单点登录,可允许用户自行修改SSO登录帐号,支持NTLM、BASIC单点登录 | |
| 支持虚拟门户功能,为不同的用户配置独立拥有IP、域名、认证方式、访问资源等元素,实现更高隔离的安全性。 | ||
| 支持系统托盘及悬浮窗口;支持SSL VPN开机自动登录、桌面快捷方式启动、C/S客户端方式启动;可配置用户登录后默认服务页面;支持自定义资源组、资源图标化显示;管理员可在线对登录用户发布即时广播消息 | ||
| 支持User权限登录正常使用SSL VPN;支持域控下发控件;支持ISA代理环境下无缝接入;支持内网DNS | ||
| 支持用户、用户组、各种资源的查询和排行功能;支持资源导入导出,支持csv格式导出 | ||
| 支持4套页面模板和页面完全定制,支持界面颜色、页面标题、LOGO、用户公告信息自定义 | ||
| 支持智能递推功能,防止资源漏访 | ||
| 支持用户/用户组的流量管理、会话控制、超时时间设置、闲置时间设置;会话管理可全局配置 | ||
| 支持LDAP、RADIUS分配虚拟IP,支持基于用户、用户组分配不同的虚拟IP | ||
| 支持16级用户分级,支持下级组对上级组的角色、组属性及认证方式继承 | ||
| 稳定性、可扩展性 | 支持VPN隧道的断线自动重连;多线路部署下,客户端可实时监控隧道健康状态并进行隧道的线路间切换,切换过程中保持SSLVPN连接不中断 | |
| 支持高达253个站点集群功能,支持不同型号、低端型号设备集群(选配),支持集群设备间的Session同步,承载设备切换后用户无需重新登录SSLVPN;可扩展异地分布式集群功能(选配) | ||
| 可管理功能 | 支持管理员16级分级分权限管理,支持配置模块、用户/资源/角色的查看、配置权限授予不同管理员;支持用户组流量、会话配置的强制继承,支持用户组属性的强制继承和可选继承;支持管理员登录IP限制 | |
| 支持系统实时监控,实时显示CPU、内存、硬盘、线路运行状态,查看实时接入用户会话数、发送/接收流速、发送/接收流量、接入时间等信息,并可在线中断指定用户;支持查看历史最高并发用户数 | ||
| 支持Web/CLI/SSH管理,支持Telnet管理;支持SNMP、Syslog;支持本地和远程备份及恢复;支持SSLVPN配置的单独备份及恢复,支持配置的回滚 | ||
| 支持独立日志服务器提供多种日志类型,支持基于用户、用户组、流量、资源多因素的柱状图、曲线图等多种报表,可定时发送报表;支持多台设备日志统一到一台日志服务器,支持日志服务器的管理员分级管理。 | ||
| IPSec功能 | 支持IPSec VPN,支持与第三方国际标准的IPSec VPN进行对接 | |
| 远程应用发布功能 | 支持远程应用发布功能,可以无需二次开发,即把Windows应用发布到移动智能终端中。 | |
| 手机客户端必须经过苹果公司/谷歌公司官方检测官方检测,并发布在苹果官方应用商店appstore/ PlayGoogle中。 | ||
| 支持本地磁盘资源映射、本地打印机、本地串行口、本地智能卡,本地输入法;支持剪切板,并能够实现剪贴板数据流双向控制。 | ||
| 支持云盘功能,即能将手机、PAD、PC电脑中的文档、照片等上传到云端,或下载到本地终端。并实现基本的复制、剪切、粘贴、新建、重命名等操作。 | ||
| 支持直接调用手机或PAD摄像头,实现拍照。或访问手机本地照片库,调用已拍的照片。 | ||
| 支持应用权限控制项,不得通过远程应用访问任何未经授权的windows资源,至少应该包括:未经授权的应用程序、注册表、任务管理器、资源管理器、控制面板、cmd命令提示行、Win+R运行命令行、管理选型、映射网络驱动器选型、断开网络驱动器选型、回收站、网上邻居等。并支持隐藏本地原有磁盘,仅提供公共磁盘。 | ||
| 支持会话复用功能,即当存在多台终端发布服务器且未设置集中存储时时,同一用户的同一会话必须始终发布到同一终端服务器。 | ||
| 支持对终端服务器的实时监测,包括服务器综合状态、CPU使用率、内存使用率、磁盘I/O、远程应用会话数、服务器当前会话数等,能通过服务器综合性能实现智能负载均衡。 | ||
3.3.4 应用交付AD
AD产品作为专业的应用交付设备,能够为用户的应用发布提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。配合性能优化、单边加速以及多重智能管理等技术,实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则将用户的访问请求分配给相应的数据中心、链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分的利用。不仅扩展应用系统的整体处理能力,提高其稳定性,更可切实改善用户的访问体验,降低组织的IT投资成本。
功能全面:应用交付解决方案包含全局负载均衡、多链路负载均衡、服务器负载均衡三位一体,帮助用户提高多数据中心、多链路、服务器资源的利用率。
高性价比:AD系列应用交付产品打破国外厂商垄断,在无需购买额外授权的情况下,一台设备具备了三大负载均衡功能,并直接开通SSL加速、缓存、压缩等众多优化功能,获得超出业界同类产品的投资回报。
快速、智能
单边加速功能:独一无二的单边加速功能,用户客户端无需安装任何插件或软件即可提升访问速度。打造稳定智能的业务发布平台,使得用户可以更快更稳定地访问发布内容。
商业智能分析:AD应用交付产品在保证数据交互稳定性的前提下,不仅可以知悉组织网络、服务器以及数据中心的运行状况,更可帮助组织分析自身的业务系统运行状况,进而为高层的网络优化和业务优化提供决策依据。
智能优化技术:DNS透明代理、链路/服务器拥塞繁忙保护、智能路由、短信/邮件智能告警技术进一步提升各类资源的利用率,增强用户的访问体验。
3.3.5 桌面云aDesk
企事业单位中,不同员工对桌面性能和个性化需求是不一样的,有些可能需要简易、标准化的桌面,有些可能需要高性能、个性化的桌面,有些可能仅需通过访问个别应用程序进行移动办公。利用SRAP桌面交付技术可以满足多种类型的桌面,实现具备灵活性、安全性、可扩展性的一站式桌面虚拟化解决方案。
桌面云---三大关键组件
虚拟机管理软件VMS:构建资源动态化、可弹性调度的服务器集群环境,通过虚拟机可承载桌面环境,最终实现对物理资源的完全控制、统一桌面资源池管理和性能监控等;
虚拟桌面控制器VDC:与VMS协同工作,提供桌面用户认证管理、桌面/应用资源访问控制、虚拟桌面创建及启动、桌面监控等功能,实现以更低成本、更安全、更可靠地交付Windows桌面;
瘦客户机aDesk:独特ARM架构,基于Android平台的瘦终端设备,打造绿色办公环境。
桌面虚拟化主要优势特性:
− 灵活访问:用户可从任何地方,通过任意网络、任意客户端访问属于自己的桌面环境。
− 管理简化:桌面的管理和配置都统一在数据中心进行,软件更新、系统升级快速、有效。
− 节能减排:瘦终端能耗低,小巧无污染,真正实现绿色IT。
− 数据安全:所有数据都存放在数据中心,网络中传输的仅仅是图像信息,可有效实现核心数据防泄密。
− 数据保护:基于磁盘镜像的备份和恢复,轻松恢复原始状态,保障数据不丢失。
− 稳定可靠:虚拟桌面部署于数据中心,有更有效的冗余机制,稳定性更高。
3.3.6 WLAN
智能识别
精细化的应用识别与管控
结合无线控制器对应用层流量进行识别,并对其识别出的内容进行有效的管理。让无线网络的管理从底层提升到了应用层。
全面的终端识别
终端识别功能,实现无线网络的管理能够基于不同的操作系统。
URL识别与管控
独有的URL识别技术,对识别出的URL进行管控,让无线网络的管理真正达到精细化。
应用加速
应用加速技术
无线环境下,干扰易造成丢包和延迟,独有的协议栈加速技术,同等条件下,能提高2-8倍无线传输速度,有效提升无线接入体验,。
平均带宽分配
由于所有终端抢到的空口机会均等,高速率终端每次快速发完自己的数据后都要等待低速终端慢腾腾的发完它的数据,所以,高速率终端的性能基本上与低速率终端的性能是一样的,显然,整体的性能也被大幅拉了下来。所以,当环境中存在低速率用户时,需降低其对整体性能的影响。无线控制器支持用户平均分配带宽,根据时间公平算法,防止单个用户拉低网络整体速度。
广播优化
在无线网络使用过程中,会有很多广播包在信道中传递,很大程度的影响了正常业务数据的传递。全系列无线接入点针对广播包发送机制优化,减少广播报浪费过多资源,从而保证了正常业务数据的带宽。
智能页面推送
自定义信息推送中心
结合无线控制器自定义页面推送,能基于SSID,AP,用户组去推送不同的页面。同时,支持认证前推送以及认证后推送,二次营销。终端自适应技术能够保障终端页面自适应,提高了用户体验。
便捷的访客管理——二维码认证
访客连接WiFi后,内网系统向访客终端自动推送二维码,内部接待员工扫一扫,系统通过认证返回提示,只需简单2步即可完成认证过程。
短信认证
终端连接WiFi后,通过接收短信获取验证码,快速认证,方便快捷。同时,用户通过短信认证上网,支持手机号采集与导出,为商业营销及分析提供依据;在用户接入无线网络时,根据用户名、用户组、位置的区别进行个性化通知和广告推送;支持WiFi在线时长管理,促进用户互动,同时防止蹭网、长时间在线等方式造成资源耗用
微信认证
通过独有的应用识别技术进行微信识别,认证前放通微信流量,待访客终端关注某官方微信过后,通过微信进行认证上网。并且后期可以通过此微信推送促销信息,达到良好的互动营销效果。
3.4 运营管理单元
运营管理单元主要由云平台控制器、教室电脑、云漏洞仿真平台组成,主要特点有:
课件多样化、丰富教学活动
为保障和丰富教务工作开展,攻防演练平台内置多元化、层次化、实用化的教学课件,课件涵盖主机安全、数据库安全、应用安全、数据安全、漏洞利用、木马病毒、网络攻防、PKI应用、安全设备等。
一站式教学,教学轻松实用
信息安全试验要求动手能力强,学生在参与过程中可能会遇到卡壳、软件故障等突发情况。攻防实验室平台教师端可以全程监控学生试验进展,可随时接管学生机以协助分析问题原因;同时为满足教学考试要求,平台还提供教学考试功能,教师提前准备、导入、下发考卷试题,学生登录后便可直接参加考试并进行自动阅卷打分。
多元化仿真,动手能力更强
攻防演练平台集成多元化的漏洞练习与防护单元,可模拟出网络安全攻击与防护(网络扫描、远程溢出、暴力破解、IPS、FW等)、WEB应用安全攻击与防护(SQL注入漏洞、命令执行、XSS、CSRF、Web应用防火墙等)等典型网络入侵防护技能知识。