Hillstone山石网科HSM(Hillstone Security
Management TM)白皮书
概述
HSM是为了使企业和服务提供商可以很容易地管理多个设备,最大程度地降低了配置,管理,监控及维护设备的投入成本。支持企业和服务提供商集中高效地完成和管理多台设备的需求。
结合山石网科上网行为管理,为企业提供了全方位基于用户和应用的审计。可针对Web访问、论坛发帖、P2P、IM(即时通讯)、游戏等等进行细粒度审计,能够满足公安部82号令要求,提供长期的审计数据保存和维护。
通过集中的对全网设备进行状态监控、流量监控、行为分析,总结出用户网络的安全威胁和安全漏洞,通过保持持续的安全定义和策略的应用提高了系统的安全,最终构成安全闭环,达到动态安全防护。
产品架构
HSM系统分为三部分,即HSM代理(Hillstone Security Management Agent)、HSM服务器(Hillstone Security Management Server)和HSM客户端(Hillstone Security Management Client)。将这三部分合理部署到网络中,并且实现安全连接后,用户可以通过客户端程序,查看被管理安全设备的日志信息、统计信息、设备属性等,监控被管理设备的运行状态和流量信息。
HSM代理
HSM系统对Hillstone安全设备进行管理和控制,因此,每台Hillstone安全设备运行的StoneOS都包含HSM代理模块,通过对代理模块的配置,使Hillstone安全设备与服务器相连,从而实现管理和控制。
HSM服务器
HSM服务器是网管系统的管理中心,完成信息及数据的存储、分析和转发,实时接收并监控所有被管理设备的运行信息,实时接收安全告警消息,实时接收各种日志消息,且可提供长达半年的日志信息多条件查询和过滤。
HSM客户端
HSM客户端是一个安装在Windows 2000/2003/XP操作系统的应用程序,提供简单友好的用户操作界面。用户通过该客户端管理网络中的全系列Hillstone 设备。
产品功能
设备管理
设备管理包括域管理和设备组管理,域和设备组都是用来组织被管理设备的逻辑组,域包含设备组。通过域的使用,可以实现设备的区域化管理;而通过设备组的使用,可以进一步将域中的设备进行细化分组管理。一台设备可以同时属于多个域或者设备组。只有超级管理员可以执行域的操作以及添加设备和彻底删除设备,普通管理员可以执行设备组的操作,将设备从设备组中删除。
设备基本信息
显示设备的基本信息,例如设备主机名称、设备序列号、管理IP、设备运行时间、接口状态以及AV相关信息等。
通过客户端可查看的设备属性信息包括:设备基本信息以及设备实时统计信息,包括实时资源使用状态、会话数、总流量、VPN隧道数、攻击数以及病毒数(Hillstone SR系列安全路由器不支持AV功能)。系统通过曲线图显示以上实时信息,使用户能够直观的了解当前设备的各种状态。
实时统计信息
系统使用曲线图显示设备的CPU利用率、内存使用率、会话数、总流量、VPN 隧道数、攻击数以及病毒数。曲线图显示从当前时间到前30分钟的统计数据,统计数据信息每5秒钟刷新一次。
设备配置
用户可以通过HSM客户端登录到被管理的Hillstone安全设备并对其进行配置。HSM客户端支持通过Telnet和WebUI两种方式登录设备。
设备监控
VPN监控
HSM系统可以实时监控被管理设备的IPSec VPN和SCVPN隧道流量,并在客户端通过饼状图或者柱状图直观显示。
流量监控
HSM系统可以实时监控以下对象的流量,并在客户端通过饼状图或者柱状图直观显示:
?设备接口(TOP 10)
?指定接口TOP 10 IP,进而可以查看指定IP的TOP 10应用的流量
?指定接口TOP 10应用,进而可以查看指定应用的TOP 10 IP的流量
柱状图可分别按照上行流量、下行流量或者总流量进行排序;饼状图可分别
根据上行流量、下行流量或者总流量显示不同的百分比。
攻击监控
HSM系统可以实时监控以下对象的攻击情况,并在客户端通过饼状图或者柱
状图直观显示:
?设备接口遭受攻击(TOP 10)
?指定接口发起攻击TOP 10 IP,进而可以查看指定IP发起的TOP 10攻击类型
?指定接口TOP 10攻击类型,进而可以查看发起指定攻击类型的TOP 10 IP 病毒监控
HSM系统可以实时监控被管理设备的受病毒攻击情况,并在客户端通过饼状图直观显示。
日志浏览
HSM系统接收设备发送的多种日志信息,经过系统处理后,用户可通过客户端进行多维度、多条件的浏览。HSM支持通过以下种类进行日志浏览:
?系统日志
?配置日志
?会话日志
?地址转换日志
?上网日志
?上网行为管理日志
o网页浏览日志
o IM聊天日志
o文件传输日志
o论坛日志
o邮件日志
历史查询
HSM可查看历史监控信息,通过定义历史查询条件,包括指定查询参数和设置查询时间,进行历史数据统计和分析。历史数据统计包括以下几个方面:
?监视数据趋势统计
?流量统计
?攻击统计
?病毒统计
?VPN统计
?上网行为统计
告警
设备告警
HSM可以针对设备进行多层次监控,通过数据的采集和状态的监控,用户可根据各种需要定义告警条件,告警条件包括:
?攻击次数、病毒数阈值
?特征事件
?关键字
?日志级别
针对不同的告警条件,用户可定义不同的响应方式,目前响应方式包括:管理器显示提醒、声音告警等。
数据库告警
HSM的数据均存储在数据库中,数据库的正常与否决定了HSM系统的稳定性。因此系统针对数据库的进行了状态监控以及异常告警。用户可定义数据库空间百分比阈值,当数据库空间达到阈值时触发Email告警,用户也可以定义数据库空
间百分比阈值清除旧数据,保障数据库可对最新的信息进行分析处理。
用户管理
HSM系统包含两种用户角色,分别是超级管理员和普通管理员,其权限说明如下:
?超级管理员:超级管理员为最高权限管理员,可以通过客户端对所有设备做任何操作(添加、删除设备),可以添加、删除以及编辑管理域,可以创建和删除普通管理员并为它们指定可管理域,可以修改普通管理员的权限。
?普通管理员:普通管理员对其域内的设备的管理权限分为“只读”和“可编辑”两种(权限由超级管理员指定)。“只读”表示只可以查看域内设备的各类信息,例如设备属性和流量监控信息等;“可编辑”表示除“只读”权限外,还可以对设备进行编辑,例如设备分组等。
数据备份
HSM系统支持定期备份数据功能,用户可指定备份时间进行备份。备份的数据可进行查询,用户可以通过设置连接备份服务器查看已备份数据信息。
产品特点
可视化展现
?基于设备面板状态监控
?多维度图形化监控
?设备集中状态监控
深层次审计分析
?高性能数据处理能力
?高容量数据存储
?多应用数据挖掘和分析
集中管理
?多种协议方式管理
?复杂网络环境应用
典型案例
HSM应用场景
许多大中型企业在全国各地都建有分支机构或者办事处,当企业部署防火墙系统时会面临因分支机构众多而导致对整体安全系统的管理成本过高、整体监控难度过大的问题,集中管理方案的推出正是为了解决这一难题,具体的网络环境示意图如下。
软硬件环境
硬件配置需求
HSM服务器对硬件的基本配置:
HSM客户端对硬件的基本配置:
软件配置需求
HSM服务器对软件的配置需求:
HSM客户端对软件的配置需求:
I D S产品技术白皮书-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
UnisIDS技术白皮书
1UnisIDS 简介 1.1入侵检测系统概述 1.1.1入侵检测系统分类 不同于防止只针对具备一定条件入侵者进入的防火墙,入侵检测系统(IDS ,Intrusion Detection System)可以在系统内部定义各种hacking手段,进行实时监控的功能。如果说防火墙是验证出入者身份的“大门”,那么 IDS相当于进行“无人自动监控”的闭路电视设备。入侵检测大致可分为基于网络的入侵检测和基于主机的入侵检测两种类型。 基于网络的入侵检测系统具有如下特点: 通过分析网络上的数据包进行入侵检测 入侵者难以消除入侵痕迹–监视资料将保存这些信息 可以较早检测到通过网络的入侵 可以检测到多种类型的入侵 扫描–利用各种协议的脆弱点 拒绝服务攻击–利用各种协议的脆弱点 hacking代码规则匹配–识别各种服务命令 可灵活运用为其他用途 检测/防止错误网络活动 分析、监控网络流量 防止机密资料的流失
图 1网络入侵检测模型 而基于主机的入侵检测系统则具有以下的特点 具有系统日志或者系统呼叫的功能 可识别入侵成功与否 可以跟踪、监视系统内部行为 检测系统缓冲区溢出 基于主机的入侵检测可以区分为 基于单机的入侵检测系统(收集单一系统的监视资料并判断入侵与否) 基于多机的入侵检测系统(从多个主机收集监视资料并判断入侵与否) 而清华紫光推出的UnisIDS入侵检测系统,实现了基于主机检测功能和基于网络检测功能的无缝集成,UnisIDS通过对系统事件和网络上传输的数据进
Hillstone山石网科SG-6000-X6150防火墙评测报告 作者老韩 | 2010-10-14 11:38 | 类型互联网, 弯曲推荐, 研发动态, 网络安全 | 75条用户评论? 4年时间完成从0到100G的跨越,山石网科让人无话可说。再过4年,中国信息安全行业的格局是否会被改变?10月21日,山石网科将在北京正式发布这款百G级别的产品,感兴趣的话可以猛击这里查看官方专题页。 原文发布于《计算机世界》。本文尽量注意在正文中不出现带有个人感情色彩的语言;另一方面,拓展表现形式,用视频保存下测试中的经典瞬间,编辑后以更易于接受、传播的方式加以体现。(对于镜头晃动带来的眩晕感我非常抱歉,此外请忽略鼻炎导致偶发的怪腔怪调……) Hillstone山石网科(以下简称“山石网科”)是一个令人惊叹的安全企业。自成立以来,该公司保持着稳定、高速的产品研发速度,有步骤地推出了一系列多功能安全网关产品,占据了市场先机。但所有这些产品,其形态都属于“盒子(Appliance)”的范畴,固化的业务处理单元决定了其防火墙性能无法突破20G 这条水平线。而在云计算从未来时发展为现在进行时的今天,运营商、金融、教育等大型行业用户有了更高的业务需求,百G级别的防火墙在骨干网、数据中心等环境开始进入实际应用阶段。为了应对新的需求变化,山石网科又于近期推出了SG-6000-X6150(以下简称X6150)高性能防火墙,我们也在第一时间对该产品进行了测试分析。
为了达到百G级别的处理能力,X6150改用“机框(Chassis)”式产品形态,实现了可插拔部件全冗余及业务的智能分布式处理。该产品采用5U规格设计,共内置了12个扩展槽位,其中10个可用于接口模块(IOM)、安全服务模块(SSM)或QoS服务模块(QSM),2个用于系统主控模块(SCM)。设备亦采用了高速大容量交换背板,为每个模块提供了足够大的数据通路。对于高端电信级产品来说,供电子系统与散热子系统的重要性亦不容忽视。X6150最多可内置4个电源模块(650W),支持双路主备冗余部署,加上具有热插拔特性的风扇模组,可以最大程度地保障系统的稳定运行。 多核Plus G2的高级形态 目前,通过单独的处理器还很难达到百G级别的防火墙性能,业务的分布式处理是目前市场上百G防火墙产品的主流选择。不同厂商必然有着不同的系统实现方式,对于山石网科来说,经过多次发展演变的多核Plus G2架构则是X6150实现智能分布式处理的基础。
天融信网络入侵防御TopIDP系列 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:(86)10-82776666 传真:(86)10-82776677 服务热线:400-610-5119 800-810-5119 Http: //https://www.doczj.com/doc/bf6890139.html,
1前言 (2) 2网络入侵防御系概况 (2) 2.1入侵防御系统与防火墙 (3) 2.2入侵防御系统与IDS (3) 3天融信网络入侵防御系统TOPIDP (3) 3.1产品概述 (3) 3.2T OP IDP体系架构 (4) 3.3T OP IDP主要功能 (5) 3.4天融信网络入侵防御系统T OP IDP特点 (6) 3.4.1领先的多核SmartAMP并行处理架构 (6) 3.4.2强大的攻击检测能力 (6) 3.4.3精准的应用协议识别能力 (7) 3.4.4实用的网络病毒检测功能 (8) 3.4.5智能的上网行为监控和管理 (8) 3.4.6立体的Web安全防护 (8) 3.4.7先进的无线攻击防御能力 (9) 3.4.8精确的QOS流量控制能力 (9) 3.4.9灵活的自定义规则能力 (9) 3.4.10丰富的网络部署方式 (9) 3.4.11高可靠的业务保障能力 (10) 3.4.12可视化的实时报表功能 (10) 4天融信网络入侵防御系统TOPIDP部署方案 (11) 4.1.1典型部署 (11) 4.1.2内网部署 (12) 4.1.3IDP.VS.IDS混合部署 (13) 4.1.4WIPS旁路部署 (14) 5结论 (15)
1前言 随着计算机网络与信息化技术的高速发展,越来越多的企业、政府构建了自己的互联网络信息化系统,互联网络已成为人们生活中必不可缺的工具,在网络带来高效和快捷的同时,网络安全形势也从早期的随意性攻击,逐步走向了以政治或经济利益为主的攻击; 攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击;攻击的层面也从网络层,传输层转换到高级别的网络应用层面;而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上,其攻击行为有明显的政治或经济诉求目的,给政府、企业的网络信息业务系统安全造成极大隐患。 同时,大量的网络资源滥用充斥在整个网络通路上,各种基于P2P协议的资源下载工具、网络视频、网络游戏、IM视频通讯工具等造成企业网络带宽过度消耗,影响企业正常业务系统运行。 能否主动发现并防御这些网络攻击,规范终端的网络行为,保护企业的信息化资产,保障企业业务系统的正常运行,是企业要面临的重要问题。 2网络入侵防御系概况 网络入侵防御系统,简称IDP(Intrusion Detection and Prevention System ),是串联在计算机网络中可对网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御的安全设备;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为的网关设备。必须同时具备以下功能 ●深层检测(deep packet inspection) ●串连模式(in-line mode) ●即时侦测(real-time detection) ●主动防御(proactive prevention) ●线速运行(wire-line speed)
山石网科 申请功能 (平台) QOS 流量分配 AV 复合端口 IPS 入侵 NBC 网络行为管理支持SG型号 URLDB 是NBC子键支持SG型号 HSM 设备集 4GE-B 当断电后仍然可以通讯 SSH secure Shell 安全外壳协议 是一种在不安全网络上提供安全登录和其他安全网络服务的协议。 NAT 步骤: ①,接口IP ②,配路由 缺省路由:0.0.0.0 0.0.0.0 192.168.1.2 回值路由:0.0.0.0 192.168.1.x 192.168.1.1 策略路由: ③,NAT SNAT DNAT MAP ( IP PORT ) ④,policy(策略) 检查配置环境 show seccion generic 显示连接数 show interface (name) 显示接口信息 show zone(zone name) 显示安全域类型 show admin user 显示系统管理员信息 show admin user (name)显示系统管理员配置信息 show version 显示版本号信息 show arp 显示解析地址 show fib 显示路由信息 show snat 显示nat 配置 no snatrule id 号删除NAT配置 show ip route 显示路由信息 save 保存配置 unset all 清楚配置(恢复出厂设 置。
配接口 (config)# interface Ethernet0/2 (config-if-0/2)# zone trust 或/untrust 建立区信任/不信任 (config-if-0/2)# ip add 192.168.1.1/24 (config-if-0/2)# manage ping 开通PING (config-if-0/3)# manage http 开通HTTP (config-if-0/3)# manage telnet 开通telnet 配路由 (config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由 (config-route)# ip route 0.0.0.0/0 192.168.1.1 配NAT (config)# nat (config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport (config)#policy # rule from any to any server any dynamicport 系统管理 web: 系统--设备管理--基本信息 CLI: (config)# hostname (name) 配置安全网关名 (config)# no hostname 清楚安全网关名 管理员密码策略配置模式 hostname(config)# password policy 进入管理员策略配置式 hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制 hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制 配置系统管理员 (config)# admin user (user-name) 配置管理员名称 (config)# no admin user (user-name) 删除管理员名称 (config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。 (config-hostname)# password password 配置管理员密码 (config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式 show admin user 显示管理员信息 show admin user (user-name) 显示管理员配置信息
一、背景概述 (2) 1、研发背景 (2) 2、产品定位 (2) 二、产品方案功能介绍 (2) 1、设计理念 (2) 2、系统拓扑图 (2) 3、系统构架描述 (2) 4、系统功能介绍 (2) 5、产品方案规格 (2) 四、产品方案应用介绍 (3) 1、应用模式 (3) 2、应用流程 (3) 3、应用环境 (3) 五、产品方案特性介绍 (3) 1、技术特性 (3) 2、应用特性 (3) 3、系统特性 (3) 六、产品方案技术介绍 (3) 1、相关技术 (3) 2、技术指标 (4) 七、产品方案测评数据 (4) 八、实施运维方式说明 (4) 九、售后服务方式说明 (4)
一、背景概述 1、研发背景 介绍用户需求背景、该产品所在行业信息化建设背景、产品所涉及的相关政策简述等,以说明该产品的研发背景,以及满足的客户需求。 2、产品定位 为了满足客户以上需求,该产品具有什么功能,能够解决什么问题。 二、产品方案功能介绍 1、设计理念 该产品方案的设计思路。 2、系统拓扑图 使用统一的图标,制作系统拓扑图。 3、系统构架描述 按照系统的构成,分类对系统进行描述。 4、系统功能介绍 详细阐述系统的主要功能。 5、产品方案规格 产品方案不同的规格介绍,或者对产品方案技术规格的介绍。
四、产品方案应用介绍 1、应用模式 该产品方案包括的应用模式类型,或者针对不同类型客户的解决方案。 2、应用流程 该产品方案的应用流程。 3、应用环境 描述该产品所运行的应用环境。 五、产品方案特性介绍 1、技术特性 主要是性能先进性、功能齐全性、系统兼容性、技术稳定性等。 2、应用特性 主要是部署灵活性、可扩展性、管理方便性、易用性等。 3、系统特性 对系统的主要特性进行描述,根据产品不同和竞争优势的不同而不同。 六、产品方案技术介绍 1、相关技术 主要应用技术的介绍,以及该技术的优势。
表29-1:手动同步配置命令列表 HA 同步信息show 命令手动同步命令 配置信息show configuration exec ha sync configuration 文件信息show file exec ha sync file file-name ARP 表项show arp exec ha sync rdo arp DNS 配置信息show ip hosts exec ha sync rdo dns DHCP 配置信息show dhcp exec ha sync rdo dhcp MAC 地址表show mac exec ha sync rdo mac show pki key PKI 配置信息 show pki trust-domain exec ha sync rdo pki 会话信息show session exec ha sync rdo session show ipsec sa IPSec VPN 信息 show isakmp sa exec ha sync rdo vpn show scvpn client test show scvpn host-check-profile show scvpn pool show scvpn user-host-binding show scvpn session SCVPN 信息 show auth-user scvpn exec ha sync rdo scvpn show l2tp tunnel show l2tp pool show l2tp client {tunnel-name name [user user-name]| tunnel-id ID} L2TP 信息 show auth-user l2tp {interface interface-name | vrouter vrouter-name} exec ha sync rdo l2tp Web 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntp SCVPN 信息show scvpn exec ha sync rdo scvpn 路由信息show ip route exec ha sync rdo route
业务服务监控平台技术白皮书 (V2.0) 联想中望系统服务有限公司 2008年7月
1背景及现状 随着企业IT技术的广泛应用,企业IT资源的拥有量越来越多,结构越来越复杂。如何保障IT系统的正常运行,从而保障公司的核心业务,已经日益成为CIO(首席信息执行官)需要仔细思考的问题。 此外,由于各种法规(如SOX法案)对企业诚信经营以及企业自身内控管理的要求,IT治理已开始越来越为各企业重视,作为IT治理框架的关键环节,IT系统的监控也已成为各企业的当务之急。 1.1 被动监控、分散管理 图1描述了支撑企业业务运营的典型IT资源结构图,其中包括硬件(主机、路由、存储等)、软件(系统软件、应用软件、数据库等)等多种IT资源。 图1 典型企业IT资源结构示意图 日益复杂的IT环境给运营环境保障人员带来如下问题: 1、监控劳动强度大,事故不易及时主动发现。 缺乏统一集中的监控手段,不能对所管理的IT资产进行及时有效的监控管理。随着IT设施的不断扩大,整个IT环境的日趋复杂,系统监控人员巡视设备(IT资源)的间隔越来越短,花费大量的时间,来发现与解决问题。 2、监控数据没有集中存储,无法为系统运行情况提供量化的科学依据。 缺乏一整套集中的数据中心来记录、配置信息和历史记录,使在日常的监控管理工作中,不能及时获取相关的信息,严重影响排查故障的效率。
没有建立一个统一的监控平台,难于适应业务系统扩展时的监控需求扩展业务系统在不断地扩展,相应地监控需求也在不断地扩展。缺少一个统一,高可扩展性的监控平台,使得新的监控需求难以被满足。 1.2 “自下而上”的模式不能有效保障业务可用性 企业的基础IT环境为业务系统提供支撑。传统的IT运维建设思路是“自下而上”的,即:从基础架构监控开始,到应用系统的监控,再到业务系统的监控。 自下而上的建设思路不能适用于高速增长下的中国企业。一方面,基础IT 环境的高可用性不能代表业务系统的高可用性;另一方面,业务的快速增长,需要更加快速、直接、高效的监控手段,以保障业务的有效运行。 下图描述了支撑企业业务运营的IT资源可用性对核心业务系统可用性的影响。 图2 基础IT资源可用性对业务可用性影响示意图上图描述的是:即便基础IT环境的可用性很高,仍然不能保证业务系统也有很高的可用性。 这种情况下,需要一种更直接、更高效、更快速的手段来为业务系统提供监测与保障。 这就是本产品所强调的:以业务为导向、自上而下的服务监控与保障手段。
深度操作系统 服务器产品技术白皮书 武汉深之度科技有限公司
目录 一、概述 (2) 二、深度操作系统服务器版 (3) 三、技术指标 (4) 四、应用需求 (6) 4.1 通用服务器应用 (6) 4.2 小型机替换 (6) 4.3 国产化应用 (7) 五、产品特点 (9) 六、技术特色 (10) 七、产品对比 (11) 八、应用场景 (13) 九、典型案例 (14) 9.1 国家工商总局法人库项目 (15) 9.2 国家工商总局商标局灾备项目 (16) 9.3国土资源部信访系统 (17) 9.4典型用户 (18) 十、产品资质 (19)
一、概述 深度操作系统将全球领先的技术和创新带入政府信息化建设和企业级信息技术基础架构,是当今国内增长最快的操作系统之一。许多政府和企业用户由于其易用性和可扩展性而选择深度操作系统,信息部门和运维部门则更重视深度操作系统提供给桌面终端的稳定性、安全性和灵活性。因为完全开放源代码和自下而上的自主研发,深度操作系统可以快速、轻松的增强和定制,而无需依赖国外厂家的产品维护周期。 深度操作系统服务器版提供对国产处理器与服务器的良好兼容,全面支持国产主流数据库、中间件和应用软件,并通过了工信部安全可靠软硬件测试认证,符合“自主可控”战略目标的要求,可以为国内电子政务、信息化管理等应用提供全国产一体化的架构平台。 深度操作系统服务器版通过对全生态环境的支撑,以及多应用场景解决方案的构建,能够满足企业级用户对服务器高稳定性、高可靠性、高可用性的要求。
二、深度操作系统服务器版 深度操作系统服务器版软件,是深度科技发布的符合POSIX系列标准和兼容LSB标准的服务器操作系统产品,广泛兼容各种数据库和应用中间件,支持企业级的应用软件和开发环境,并提供丰富高效的管理工具,体现了当今Linux服务器操作系统发展的最新水平。 深度操作系统服务器版软件,以安全可靠、高可用、高性能、易维护为核心关注点:基于稳定内核,对系统组件进行配置和优化,提升系统的稳定性和性能;在加密、认证、访问控制、内核参数等多方面进行增强,提高系统的整体安全性;提供稳定可靠的业务支撑,以及高效实用的运维管理,从容面对快速的业务增长和未来挑战。 产品分类产品名称 服务器操作系统产品深度操作系统服务器版软件(x86_64平台) 深度操作系统龙芯服务器版软件(龙芯平台,3B2000/3B3000等)深度操作系统申威服务器版软件(申威平台,1600/1610/1621等) 服务器应用软件产品 深度日志分析软件 深度高可用集群软件
Hillstone山石网科多核安全网关 基础配置手册 version 5.0 https://www.doczj.com/doc/bf6890139.html,
目录 第1章设备管理 (1) 设备管理介绍 (1) 终端Console登录 (1) WebUI方式登录 (1) 恢复出厂设置 (2) 通过CLI方式 (2) 通过WebUI方式 (2) 通过CLR按键方式 (4) StoneOS版本升级 (4) 通过网络迅速升级StoneOS(TFTP) (4) 通过WebUI方式升级StoneOS (6) 许可证安装 (8) 通过CLI方式安装 (8) 通过WebUI方式安装 (8) 第2章基础上网配置 (10) 基础上网配置介绍 (10) 接口配置 (10) 路由配置 (11) 策略配置 (13) 源NAT配置 (14) 第3章常用功能配置 (16) 常用配置介绍 (16) PPPoE配置 (16) DHCP配置 (18) IP-MAC绑定配置 (20) 端到端IPsec VPN配置 (22) SCVPN配置 (29) DNAT配置 (36) 一对一IP映射 (37) 一对一端口映射 (39) 多对多端口映射 (42) 一对多映射(服务器负载均衡) (45)
第4章链路负载均衡 (47) 链路负载均衡介绍 (47) 基于目的路由的负载均衡 (48) 基于源路由的负载均衡 (49) 智能链路负载均衡 (49) 第5章QoS配置 (52) QoS介绍 (52) IP QoS配置 (52) 应用QoS配置 (54) 混合QoS配置 (57) QoS白名单配置 (58) 第6章网络行为控制 (59) URL过滤(有URL许可证) (59) 配置自定义URL库 (62) URL过滤(无URL许可证) (63) 网页关键字过滤 (64) 网络聊天控制 (68) 第7章VPN高级配置 (71) 基于USB Key的SCVPN配置 (71) 新建PKI信任域 (71) 配置SCVPN (76) 制作USB Key (77) 使用USB Key方式登录SCVPN (79) PnPVPN (81) 用户配置 (82) IKE VPN配置 (83) 隧道接口配置 (87) 路由配置 (88) 策略配置 (89) PnPVPN客户端配置 (90) 第8章高可靠性 (92) 高可靠性介绍 (92) 高可靠性配置 (93)
IP网络运维经管系统 为企业的网络和关键应用保驾护航 “网络预警”系统产品技术 白皮书
嘉锐世新科技(北京)有限公司 目录
1、概述 “网络”的迅速发展已经成为人们办公、日常生活中不可缺少的一部分,一旦网络出现问题将导致无法正常办公,甚至网站内容被篡改等将产生不良影响等。 网络机房,作为企业或政府“网络心脏”,网络机房的重要性越来越被信息部门重视,在以往的建设中网络中心领导注重外网的攻击,内网的经管等部分,设立防火墙,上网行为经管等设备保证网络的正常运行,往往忽视了网络运维中的网络预警。 预警,听到这个名词大多会理解为,消防、公安、天气、山体滑坡等,非专业人士很少人知道网络也可以“预警”,网络预警是建立在正常网络运行状态下所占用的网络带宽,CPU的使用率、温度,内存的使用率等,根据常规值设定阀值,一但产生大的变化超过阀值将产生报警,自动通知网络经管人员,及时准确的定位到某台设备、某个端口出现故障,网络经管人员免去繁琐的检查工作,一免影响网络的正常运行。 现在市场上以有众多的网络预警产品,各家都有相应的优缺点,我公司所提供的产品相比其他家的优势为: 1.专业硬件系统,没有纯软件产品的部署和维护烦恼;
集网络设备、服务器、应用系统监控经管、机房环境监控、内网流量分析经管于一身,不需单独投资各个系统; 2.网络日志服务子系统,可收集所有网络设备的运行log,易于查询,永久保存; 3.独创的集成VPN功能,轻松监控和经管远端局域网内的服务器; 4.监控历史记录、性能曲线、报表等非常详尽; 5.全中文web经管方式,智能式向导配置,更易于使用和符合国内网络经管人员使用习惯; 6.独创远程协助功能,轻松获取专业技术服务; 7.同比其它的国际品牌有较高的性价比。 2、“网络预警”产品结构及主要功能 “网络预警”系统由IP网络监控报警主系统和流量分析经管、VPN和防火墙、日志储存服务等多个子系统组成。 系统以实用设计为原则,运行于安全可靠的Linux操作系统,采用多层高性能架构设计,可经管上万个监控对象。采用中文WEB架构,全面支持SNMP、WMI 和IPMI协议,提供昂贵的高端网管产品才具有的丰富功能,操作简单,是追求实用和高性价比的企业用户、政府、事业单位以及IDC服务提供商为用户提供增值服务的首选产品。 IP网络监控预警主系统
病毒过滤 高性能纯硬件系列病毒过滤 ——基于多核Plus G2架构和全并行流检测引擎 高性能纯硬件系列病毒过滤 Hillstone 山石网科的病毒过滤是基于多核Plus G2安全架构,并采用了全并行流检测引擎。可快速有效阻止病毒、木马、蠕虫、间谍软件等恶意软件通过网页、邮件等应用渗透至内网,从而预防病毒感染引起的信息丢失、内网主机无法正常工作、数据泄漏或被窃取等现象。作为现代防病毒体系中必不可少的防病毒网关,Hillstone 山石网科病毒过滤采用世界知名厂商kasperskyLab(卡巴斯基)的病毒库,可及时、有效、可靠地更新病毒数据库信息。Hillstone 山石网科系列产品可为电信运营商、各类大中小型企业、金融机构以及各种机关单位提供专业的高性能的防病毒解决方案。 基于多核Plus? G2 Hillstone 山石网科自主开发的64位实时安全操作系统StoneOS?,具备强大的并行处理能力。StoneOS?采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS?实现了从网络层到应用层的多核全并行处理。较业界其他的多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。所以,Hillstone山石网科系列网关的每秒新建处理能力、网络处理能力以及抗DOS攻击能力超于一般的防病毒网关,其自身的安全性、可靠性和可用性也都远远高于传统的防病毒网关。 可扩展的病毒过滤 Hillstone 山石网科支持的应用处理扩展模块充分保护用户投资,应用处理模块FEC-AV-30和FEC-AV-60可以提高本机应用处理能力,将病毒过滤的处理放在应用处理模块上进行,释放主机处理和运算能力,让病毒过滤不再成为性能瓶颈。同时,病毒过滤的性能上也有1倍左右的提升。 基于全并性流检测引擎 传统的串联型检测和基于代理的内容安全网关技术不能满足作为网关设备的性能和容量要求。Hillstone山石网科独创了全并行流扫描引擎,与传统的文件型防病毒网关的引擎不同,并发流病毒扫描引擎无需将应用会话中所有数据包在内部进行重组缓存后再对文件进行扫描,而是接收数据包和病毒扫描同时并行处理,并发的流扫描引擎能提供高性能,低延迟,高容量的处理, 对扫描的文件大小和数量没有限制,同时,所有内容安全处理在统一的内容处理流程中完成,能保证同时开启防病毒,入侵检测等内容安全处理,依然能保持高性能的处理。 专业及时的病毒库更新服务 Hillstone 山石网科与国际知名反病毒厂商kaspersky Lab(卡巴斯基)技术合作,采用专门为多核Plus架构以及并发流病毒扫描引擎优化的病毒库,为用户提供专业的、本地化的、实时的病毒库样本更新,实时阻断木马、病毒、蠕虫、间谍软件通过Web页面、邮件等应用向内网渗透。 丰富的软件特性
金智CMS内容管理系统 功能白皮书 编制人员:林立超 编制部门:协同应用产品部CMS产品组 审核确认 金智教育〔此处键入用户名称〕〔此处键入第三方名称〕 签字:日期:签字: 日期: 签字: 日期:
修改记录表
目录 1 产品简介 (5) 2 产品适用范围 (6) 3 产品使用对象 (6) 4 产品功能结构 (7) 5 产品功能说明 (8) 5.1 站群管理 (8) 5.2 网站管理 (12) 5.3 接口 (18) 6 产品特点 (18) 6.1 产品特性 (18) 6.2 产品功能特点 (21) 6.3 与前一代产品的对比 (24) 7 运行环境要求 (24) 8 产品截图 (25) 8.1 登录界面 (25) 8.2 管理员管理界面 (26) 8.3 站点管理界面 (26) 8.4 用户管理界面 (28) 8.5 角色管理界面 (28) 8.6 机构管理界面 (29) 8.7 菜单项管理界面 (29) 8.8 数据字典界面 (30) 8.9 模板库管理界面 (31) 8.10 信息同步管理界面 (32) 8.11 敏感词管理界面 (33) 8.12 网站包管理界面 (33) 8.13 组件管理界面 (34) 8.14 统计分析界面 (34) 8.15 公共资源库界面 (35) 8.16 通知公告界面 (37) 8.17 日志管理界面 (37) 8.18 定时计划管理界面 (38) 8.19 应用插件管理界面 (38) 8.20 自定义组界面 (39) 8.21 站内信管理界面 (39) 8.22 个人信息界面 (40) 8.23 修改密码界面 (40) 8.24 栏目管理界面 (41) 8.25 内容管理界面 (42) 8.26 个人资源库界面 (44) 8.27 备份恢复界面 (45)
Hillstone山石网科上网行为管理白皮书 概述 互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动…… 针对互联网所带来的上述问题,StoneOS提供许可证控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。 产品功能 StoneOS上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合Hillstone山石网科集中网络安全管理系统(HSM)对网络行为日志进行查询统计与审计分析,从而为网络管理者的决策和管理提供重要的数据依据。 上网行为管理策略 StoneOS上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。 上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则,每类中又包含若干子控制策略规则。 策略规则名称、优先级、用户、时间表、网络行为以及控制动作构成上网行为管理策略规则的基本元素。通过WebUI配置上网行为管理策略规则,需要进行下列基本元素的配置:?策略规则名称–上网行为管理策略规则的名称。 ?优先级- 上网行为管理策略规则的优先级。当有多条匹配策略规则的时候,优先级高的策略规则会被优先使用。 ?用户–上网行为管理策略规则的用户,即发起网络行为的主体,比如某个用户、用户组、角色、IP地址等。 ?时间表–上网行为管理策略规则的生效时间,可以针对不同用户控制其在特定时间段内的
集团企业全球资金管理系统(G9) 产品白皮书 北京九恒星科技股份有限公司
版权声明 《集团企业全球资金管理系统(G9)产品白皮书》及本书中的所有内容系北京九恒星科技股份有限公司的知识产权,均受中华人民共和国法律保护,北京九恒星科技股份有限公司保留所有权利。 本书内容若有变动,恕不另行通知。 商标: 所有本书中出现的商标,其著作权属该商标代表的公司所拥有。
目录 1.产品概述 (4) 1.1.研发背景 (4) 1.2.产品定位 (4) 1.3.产品目标 (4) 2.产品特性 (5) 2.1.产品系统架构 (5) 2.2.系统部署说明 (7) 2.3.技术特点 (7) 3.产品优势 (8) 4.产品功能 (9) 4.1.全球资金集中管理平台 (10) 4.1.1. 银行账户管理系统 (10) 4.1.2. 外汇资金集中管理系统 (10) 4.2.跨境外汇集中运营管理平台 (11) 4.2.1. 境内外汇资金集中收付管理系统 (11) 4.2.2. 境外外汇资金集中收付管理系统 (11) 4.2.3. 通道管理系统 (12) 4.2.4. 结售汇系统 (12) 4.2.5. 银行指令处理系统 (12) 4.3.跨境人民币集中运营管理平台 (12) 4.3.1.跨境双向人民币现金池系统 (12) 4.4.网上服务平台 (13) 4.4.1. 境内外汇网银系统 (13) 4.4.2. 境外外汇网银系统 (13) 4.4.3. 结售汇业务申请 (13) 4.5.结算财务管理 (14) 4.5.1. 结算系统 (14) 4.5.2. 账务系统 (14) 4.6.外部监管报送 (14)
LINGHANG TECHNOLOGIES CO.,LTD 中科分布式存储系统技术白皮书 北京领航科技 2014年04
目录 1、产品介绍 (3) 1.1 云时代的政府/企业烦恼 (3) 1.2 产品服务与定位 (3) 2、中科分布式存储应用场景 (4) 2.1 目标用户 (4) 2.2 产品模式 (4) 2.2.1高性能应用的底层存储 (4) 2.2.2企业级海量数据存储平台 (5) 2.2.3容灾备份平台 (5) 2.3 使用场景 (5) 2.3.1企业级数据存储 (5) 2.3.2私有云计算 (6) 2.3.3海量数据存储 (6) 2.3.4大数据分析 (7) 2.3.5 容灾备份 (7) 3、中科分布式存储核心理念 (8) 4、中科分布式存储功能服务 (9) 4.1 存储系统功能介绍 (9) 4.2 WEB监控管理端功能介绍 (11) 5、系统技术架构 (12) 5.1 系统总体架构 (12) 5.2 系统架构性特点 (12) 5.3 技术指标要求 (14) 5.4 系统软硬件环境 (15)
1、产品介绍 1.1云时代的政府/企业烦恼 ?政府、企事业单位每天产生的大量视频、语音、图片、文档等资料,存在 哪里? ?政府、企事业单位各个部门、各个子系统之间强烈的数据共享需求如何满 足? ?大数据如何高效处理以达到统一存取、实时互动、价值传播、长期沉淀? ?您是否为单位电子邮箱充斥大量冗余数据还要不断扩容而烦恼? ?政府、企事业单位的私有云平台为什么操作和数据存取这么慢? ?政府、企事业单位的存储平台数据量已接近临界值需要扩容,但上面有重 要业务在运行,如何能在线扩展存储空间? ?公司的每一个子公司都有重要客户数据,要是所在的任何一个城市发生大 规模灾难(比如地震)数据怎么办? ?政府、企事业单位有一些历史数据平时比较少用到,但又不能丢掉,占用 了大量的高速存储资源,能否移到更廉价的存储设备上去? 1.2产品服务与定位 大数据时代已经来临! 面对数据资源的爆炸性增长,政府、企事业单位每天产生的海量视频、语音、图片、文档和重要客户数据等资料如何有效存取?政府多个部门之间、公司和子公司之间、公司各个部门之间强烈的数据共享需求如何满足?如果
hillstone防火墙配置步骤(以hillstone SA5040为例讲解) 厦门领航立华科技有限公司
目录 1需要从客户方获取的基本信息 (3) 2配置步骤 (3) 2.1 配置安全域 (3) 2.2 配置接口地址 (4) 2.3 配置路由 (4) 2.4 配置NAT (6) 2.4.1 源地址NAT (6) 2.4.2 目的地址NA T (6) 3配置策略 (8) 3.1 配置安全域之间的允许策略 (8) 3.1.1 配置trust到Untrust的允许所有的策略 (8) 3.1.2 配置DMZ到Untrust的允许所有的策略 (9) 3.1.3 配置trust到DMZ的允许策略 (9) 3.1.4 配置Untrust到DMZ服务器的允许策略 (10) 3.1.5 配置Untrust到Trust服务器的允许策略 (10) 3.1.6 配置详细策略 (11) 4配置QOS (12) 5配置SCVPN (13)
1需要从客户方获取的基本信息 ◆部署位置:互联网出口位置,还是其他,如部署在出口路由器之后等 ◆部署方式:三层接入(需要做NAT,大部分都是这种接入方式),二层透明接 入(透明接入不影响客户网络架构),混合接入模式(有几个接口需要配置成透明接口模式,可以支持这种方式) ◆外网出口信息:几个出口,电信Or网通,外网IP地址资源(多少个),外 网网关(防火墙默认路由设置) ◆安全域划分:一般正常3个安全域,Untrust(外网)、Trust(内网)、Dmz (服务器网段),也可以自定义多个 ◆外网接口IP地址:由客户提供 ◆内网口IP地址: ◆如果客户内网有多个网段,建议在客户中心交换机配置独立的VLAN 网段,不要与客户内部网段相同。 ◆如果客户内网只有1个网段,没有中心交换机,则把防火墙内网口地 址设置为客户内网地址段,并作为客户内网网关(适用于中小型网络)◆DMZ口IP地址:由客户提供,建议配置成服务器网段的网关; 2配置步骤 2.1 配置安全域 默认就有常用的3个安全域了,Trust,Untrust,DMZ
慧眼数据库审计系统产品白皮书(V3.0) 国都兴业信息审计系统技术(北京)有限公司 二〇一四年
版权声明 本技术白皮书是对国都兴业信息审计系统技术(北京)有限公司慧眼数据库审计系统产品的描述。与内容相关的权利归国都兴业信息审计系统技术(北京)有限公司所有。白皮书中的任何内容未经本公司许可,不得转印、复制。本资料将定期更新,如欲索取最新资料,请访问本公司网站:https://www.doczj.com/doc/bf6890139.html, 您的意见或建议请发至:china@https://www.doczj.com/doc/bf6890139.html, 公司联系方式: 国都兴业信息审计系统技术(北京)有限公司 北京市海淀区东北旺西路8号中关村软件园10号楼106室 邮政编码100193 106 Great Road Building, Zhongguancun Software Park, 8 Dongbeiwang Western RD, Haidian District, Beijing 100193, P.R.China 电话(Tel): +86-10-82585166 传真(Fax): +86-10-82825363 电子信箱: china@https://www.doczj.com/doc/bf6890139.html,
公司简介 国都兴业信息审计系统技术(北京)有限公司创建于1998年,公司总部设立于北京中关村软件园,是最优秀的信息系统审计解决方案、产品和服务提供商,具有强大的自主研发实力,是通过ISO9001:2000质量管理体系认证的北京市高新技术企业。国都兴业致力于提升用户掌控信息系统风险的能力,在信息系统的安全性、可靠性、合规性等方面提供全面的IT审计解决方案和服务,开发和销售专业的IT审计产品,解决用户对信息系统监测、评估和控制管理等方面的各项需求。 国都兴业是国内信息系统审计领域最具技术创新和产品研发实力的企业,是国内最早研发生产网络应用监控审计类产品的知名企业。国都兴业推出的“慧眼”信息审计系列产品,能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面,提供全方位地实时监测和审计,被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。“慧眼数据库审计系统”连续两年入选中央国家机关网络安全产品协议供货商名录,通过国家、公安部、涉密、军队等信息安全产品认证,并被授予“2008年度最值得信赖品牌奖”。 国都兴业拥有来自军队、科研机构、国内知名院校的专家与学者组成的研发团队,拥有与国家信息技术安全研究中心(N&A)共同组建的网络安全监控技术实验室,在为政府、军队、金融、电信、能源、医疗、教育等行业提供了完善的网络安全解决方案和服务的同时,还承担了多项国家、军队科研攻关项目的研究工作。 国都兴业以雄厚的技术实力、优秀的产品和优质的服务获得业界的广泛认可,荣获“中国信息化建设30周年杰出贡献单位奖”、“中国信息化建设30周年杰出贡献人物奖”,入选北京信息安全服务平台2008年度运维支持单位,并圆满完成2008年奥运网络安全评估与保障任务,被授予“共铸网络利剑,携手平安奥运”的嘉奖。 国都兴业将秉承“诚信、兴业、自信、创新”的企业精神,致力于成为最优秀的IT审计企业、最值得客户信赖的企业、最吸引优秀人才的企业,为“提升企业驾驭IT的能力,创造信息系统新价值”而不懈努力!
Ipv6整体解决方案 Hillstone Networks Inc. 2016年03月10日
内容提交人审核人更新内容日期 V1 2016/3/10 目录 1需求分析 (3) 2解决方案 (3) 2.1设备信息 (3) 2.2拓扑 (3) 2.3主要配置 (4) 2.3.1总部 (4) 2.3.2分支1(模拟环境,不考虑上互联网问题) (6) 2.3.3分支2 (8) 3建设效果 (8)
1需求分析 某用户有100多个office,都采用电信光纤接入,需要逐步从IPv4演变为IPv6地址,在这种场景下,需要做到IPv4到IPv6内网的互通。 场景模拟如下:一个总部两个分支,总部内网采用IPv6地址,外网地址采用IPv4;分支1外网IPv4,内网IPv6;分支机构2内外网都为IPv4地址。需求如下: A.总部的IPv6地址可以访问到互联网IPv4资源,总部的IPv6地址可以提供互联网用户 访问。 B.总部和分支1的IPv6地址通过公网6in4隧道互相通信。 C.总部和分支2的IPv4地址互相通信。 2解决方案 2.1设备信息 2.2拓扑
分支1 2005::2/96 2.3主要配置 2.3.1总部 A.接口 interface ethernet0/1 zone "untrust" ip address 200.0.0.2 255.255.255.0 manage http exit interface ethernet0/2 zone "trust"
dns-proxy ipv6 enable ipv6 address 2005::1/96 manage ping exit interface tunnel1 zone "trust" ipv6 enable tunnel ip6in4 "fenzhi1" exit B.Nat和路由 ip vrouter "trust-vr" snatrule id 1 from "2005::/96" to "2003::/96" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #总部上网snat snatrule id 2 from "2005::2/96" to "2004::2" service "Any" eif ethernet0/1 trans-to eif-ip mode dynamicport #与分支2通信snat snatrule id 3 from "Any" to "200.0.0.2" service "Any" eif ethernet0/2 trans-to 2005::1 mode dynamicport #公网已知ip访问总部ipv6服务器snat dnatrule id 1 from "2005::/96" to "2003::/96" service "Any" v4-mapped #总部上网dnat dnatrule id 2 from "2005::2/96" to "2004::2" service "Any" trans-to "200.0.0.4" #与分支2通信dnat dnatrule id 3 from "Any" to "200.0.0.2" service "Any" trans-to "2005::2" #公网已知ip访问总部ipv6服务器dnat ip route 0.0.0.0/0 200.0.0.1 ipv6 route 2001::/96 tunnel1 exit C.策略 rule id 1 action permit src-addr "Any" dst-addr "Any" service "Any" exit rule id 2 action permit src-ip 2005::/96 dst-ip 2004::/96 service "Any" exit rule id 3 action permit src-ip 2005::/96