威客安全等保一体机解决方案彩页

等保一体机功能说明深信服等保一体机是深信服推出的轻量级、快速交付的一站式等保安全合规平台，不仅能够帮助用户快速有效地完成等级保护的建设，同时方案丰富的安全能力，可助力用户为各项业务按需提供个性化的安全增值服务。

本次针对定州市人民政府网站系统提供的等保一体机提供的服务包括下一代防火墙、数据库审计、日志审计系统、运维审计系统、漏洞扫描系统。

本文档主要针对五个功能模块的功能介绍。

下一代防火墙：提供FW（应用控制）、内容安全、IPS能力、提供web防护、网页防篡改、敏感信息防泄密、僵尸网络、实时漏洞分析。

FW：支持对1000种以上应用、2500种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等协议；支持自定义规则;提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定。

IPS：支持入侵防御，防御攻击包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击，并且攻击特征库: 3500+ ，并且能够自动或者手动升级；支持口令暴力破解防护，包括常见应用服务器和数据库软件（如HTTP，FTP，SSH，SMTP，IMAP，MySQL，Oracle，MSSQL等）的口令暴力破解防护功能。

WAF：Web攻击防护保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、Webshell脚本上传、系统命令注入、文件包含攻击、目录遍历攻击、信息泄露攻击和网站内容管理系统漏洞防护；参数防护提供主动防御和自定义参数防护两种方式，主动防御通过自学习形成参数白名单，阻断异常参数内容，自定义参数提供更定制化的参数防护；应用隐藏支持HTTP 和FTP服务隐藏，可针对HTTP响应报文头和HTTP出错页面的过滤，Web响应报文头可自定义，隐藏FTP服务器返回的软件版本信息；弱口令防护支持FTP弱口令防护，Web登录弱口令防护，Web登录明文传输检测；策略制定配置选项:可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号；登录防护用户登录权限防护，支持页面双因子认证方式，加强敏感页面的访问权限控制；HTTP协议异常，可针对HTTP GET、POST、HEAD、OPTIONS、PUTDELETE、TRACE、SEARCH、CONNECT、LOCK、UNLOCK等方法进行过滤；CC攻击防护支持HTTP协议CC攻击防护，根据源IP请求阈值控制；防篡改：网页篡改防护支持在服务器上安装防篡改插件；支持通过采用IRF 文件驱动流技术，在插件上配置需要保护的文件目录和允许修改该目录的应用程序，识别修改被保护网站目录的应用程序是否合法；客户端插件支持记录尝试修改，删除，新增被保护目录下文件的行为日志；客户端插件需要保障自身安全性，包括后台进程不允许被强制中止，访问客户端插件管理页面需要进行密码验证，访问客户端插件管理页面需具备自动超时机制；僵尸主机：支持调用Google SafeBrowsing API接口过滤恶意URL链接；支持内置恶意URL链接库，恶意链接库能够做到每日实时更新；支持通过静态特征识别定位僵尸恶意软件，恶意软件识别特征总数在40万条以上；支持通过随机域名算法，DGA域名检测算法和动态域名分析等行为识别技术定位僵尸主机；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；实时漏洞分析：能够实时发现和跟踪网络中存在的主机、服务和应用，发现服务器软件的漏洞，并把漏洞的危害和解决方法通过日志和报表进行展示，支持对网站黑链进行检测。

等保一体机5.0.0运维手册v1.0深信服科技有限公司目录1.关于文档 (2)2.等保一体机控制台登陆方式............................................错误！未定义书签。

3.等保一体机授权导入 (3)4.等保一体机安全架构配置................................................错误！未定义书签。

4.1.创建业务物理出口.............................................................错误！未定义书签。

4.2.创建安全应用 (15)4.3.自定义网络拓扑 (16)4.4.模板 (17)4.5.单点登陆 (18)5.等保一体机日常管理功能使用 (19)5.1.首页 (20)5.2.运营中心 (21)5.3.应用市场 (22)5.4.资源池 (18)5.5.系统管理 (22)6.常见问题 (29)1.关于文档介绍如何在日常工作中对等保一体机进行运维。

2.等保一体机控制台的登录方式等保一体机默认IP地址是10.251.251.251，将笔记本电脑配置一个10.251.251.0/24的IP，并与安装完成的主机eth0口直连。

在浏览器中输入https://10.251.251.251，并使用默认账号密码：admin/admin登录安全服务平台。

3.等保一体机授权导入当等保一体机授权需要更改的时候，可以在控制台“系统”——“平台授权”进行授权的更改，导入授权文件，授权文件为.cert格式的除了平台授权，部署安全应用还需要开相应的应用授权，否则没有应用授权创建不了安全应用。

因此，除了平台授权外，还需要导入相应的应用授权。

等保一体机支持安全应用列表为：安全应用应用规格AF下一代防火墙100M、200M、500M、1G、2G、3G、4G AD应用交付100M、200M、500M、1G、2G、3G、4G AC上网行为管理100M、200M、500M、1G、2G、3G、4G SSLVPN1-10000并发DAS数据库审计100M、200M、400MEDR1-2000并发10资产、20资产、50资产、100资产、OSM运维安全管理200资产、300资产、500资产20资产、50资产、100资产、LAS日志审计200资产、300资产、500资产50资产、100资产、BVT基线核查200资产、300资产、500资产20资产、50资产、100资产、聚铭日志审计200资产、300资产安全应用授权有效期包括安全应用功能有效期和服务有效期，功能有效期是永久的，但是服务有效期是有期限的，超出服务有效期，产品版本不能更新，规则库不能更新。

1 前言1.1 等级保护的现状与挑战信息安全等级保护是国家信息安全保障的基本制度、基本策略和基本方法。

开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障，是信息安全保障工作中国家意志的体现。

同时等级保护建设是一项体系化的工程，在进行等级保护建设时往往面临建设时间成本和管理成本高、实施复杂、运维管理难等难题。

1.2 深信服等保一体机概述深信服等保一体机解决方案是基于用户在等保建设中的实际需求，推出软件定义、轻量级、快速交付的实用有效的一站式解决方案，不仅能够帮助用户快速有效地完成等级保护建设、通过等保测评，同时通过丰富的安全能力，可帮助用户为各项业务按需提供个性化的安全增值服务。

采用基于标准X86平台打造的等保一体机，无需交付过多专有硬件设备，即可完成等级保护合规交付。

2 深信服等保一体机技术架构2.1 系统整体架构深信服等保一体机架构由两部分组成：一是超融合基础架构，二是一体机管理平台。

在等保一体机架构上，客户可以基于自身安全需求按需构建等级保护安全建设体系。

超融合基础架构以虚拟化技术为核心，利用计算虚拟化、存储虚拟化、网络虚拟化等模块，将计算、存储、网络等虚拟资源融合到一台标准X86服务器中，形成基础架构单元。

并且多套单元设备可以通过网络聚合起来，实现模块化的无缝横向扩展，形成统一的等保一体机资源池。

一体机管理平台提供对深信服安全组件、第三方安全组件的管理和资源调配能力；通过接口自动化部署组件，降低组网难度，减少上架工作量；借助虚拟化技术的优势，提升用户弹性扩充和按需购买安全的能力，从而提高组织的安全服务运维效率。

2.2 超融合基础架构超融合基础架构主要由计算虚拟化、存储虚拟化、网络虚拟化三部分组成，从而使得等保一体机能够提供给客户按需购买和弹性扩充对应的安全组件。

2.2.1 计算虚拟化传统硬件安全解决方案提供的硬件计算资源一般存在资源不足或者资源冗余的情况。

深信服等保一体机创新性的使用计算资源虚拟化技术，通过通用的x86服务器经过服务器虚拟化模块，呈现标准的安全设备虚拟机。

纵向加密认证网关产品说明NetKeeper－2000纵向加密认证网关部署在企业内部局域网与企业广域网的路由器之间，可以为不同级别多个业务系统之间的实时数据交换提供认证与加密服务，防止业务数据在网络传输过程中被窃取、监听、纂改，实现端到端的选择性保护，保证实时数据传输的机密性、完整性和可靠性。

NetKeeper－2000纵向加密认证网关（千兆型）NetKeeper－2000纵向加密认证网关（普通型）NetKeeper－2000纵向加密认证网关（低端型）产品特点•高性能电力专用硬件加密技术，支持身份鉴别，信息加密，数字签名和密钥生成与保护。

•应用协议选择性加密，支持对多种专用协议，对不同功能的报文采取不同的应用策略。

•支持多种灵活接入方式。

•安全综合防护功能，基于应用的内容过滤和硬件防火墙技术。

•系统高可靠运行保障技术。

采用了多种高可靠性保障技术包括双机冗余备份技术、硬件自动旁路技术、双电源冗余技术等，使得系统达到99.99%以上的不间断运行水平。

•高可靠性硬件设计。

整体设计分布均匀、布局合理，采用国外进口高档工控双电源，有效地提高系统平均无故障工作时间。

•严格的生产流程控制。

严格遵循ISO9000 2000版质量认证体系，对每一台纵向加密认证网关的关键芯片和元器件进行产品老化试验，出厂前通过240小时连续通电和大流量通信测试。

产品性能（千兆型）•产品规格✧材料：重负荷钢✧尺寸(长×宽×高):500×440×45毫米✧重量：12千克✧网络接口: 4个千兆网卡接口＋1个百兆网卡接口（其中eth0与eht1、eth2与eth3支持自动旁路）✧外设接口：1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压：220V AC±20%✧输入频率：47～63HZ✧电源功耗：150W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度：-10°～55°✧存储温度：-20°～80°✧工作湿度：5～95%，非冷凝✧存储湿度：5～95%，非冷凝•性能指标✧最大并发加密隧道数：2048条✧1000M LAN环境下，加密隧道建立延迟＜1s✧明文数据包吞吐量：1790Mbps （100条安全策略，1024报文长度）✧密文数据包吞吐量：110Mbps （50条安全策略，1024报文长度）✧数据包转发延迟：＜1ms （50％密文数据包吞吐量）✧满负荷数据包丢弃率：0产品性能（百兆型）•产品规格✧材料：重负荷钢✧尺寸(长×宽×高):400×425×44.4毫米✧重量：5千克✧网络接口: 4个千兆网卡接口＋1个百兆网卡接口（其中eth0与eht1、eth2与eth3支持自动旁路）✧外设接口：1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压：220V AC±20%✧输入频率：47～63HZ✧电源功耗：60W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度：-10°～55°✧存储温度：-20°～80°✧工作湿度：5～95%，非冷凝✧存储湿度：5～95%，非冷凝•性能指标✧最大并发加密隧道数：1024条✧100M LAN环境下，加密隧道建立延迟＜1s✧明文数据包吞吐量：338Mbps （50条安全策略，1024报文长度）✧密文数据包吞吐量：38Mbps （50条安全策略，1024报文长度）✧数据包转发延迟：＜1ms （50％密文数据包吞吐量）✧满负荷数据包丢弃率：0产品性能（百兆低端型）•产品规格✧材料：重负荷钢✧尺寸(长×宽×高):440×420×44.5毫米✧重量：5千克✧网络接口: 4个千兆网卡接口＋1个百兆网卡接口（其中eth0与eht1、eth2与eth3支持自动旁路）✧外设接口：1个终端接口(RS232)+1个智能IC卡接口•电源✧输入电压：220V AC±20%✧输入频率：47～63HZ✧电源功耗：60W✧平均无故障时间(MTBF)>60000小时(100%负荷)•工作环境✧工作温度：-10°～55°✧存储温度：-20°～80°✧工作湿度：5～95%，非冷凝✧存储湿度：5～95%，非冷凝•性能指标✧最大并发加密隧道数：1024条✧100M LAN环境下，加密隧道建立延迟＜1s✧明文数据包吞吐量：200Mbps （50条安全策略，1024报文长度）✧密文数据包吞吐量：35Mbps （50条安全策略，1024报文长度）✧数据包转发延迟：＜1ms （50％密文数据包吞吐量）✧满负荷数据包丢弃率：0适用范围本产品适用于电网、发电、能源等企业内部网络与广域网交接处。

H3C SecPath T200-A 入侵防御系统1 产品概述H3C SecPath T200-A IPS（Intrusion Prevention System）集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。

通过深入到7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，实现对网络应用、网络基础设施和网络性能的全面保护。

SecPath T200-A IPS适用于中小型网络的数据中心和大中型网络边界。

图1SecPath T200-A2 产品特点强大的入侵抵御能力SecPath IPS是业界唯一集成漏洞库、专业病毒库、应用协议库的IPS产品，特征库数量已达10000+。

配合H3C FIRST（Full Inspection with Rigorous State Test）专有引擎技术，能精确识别并实时防范各种网络攻击和滥用行为。

SecPath IPS通过了国际权威组织CVE(Common Vulnerabilities & Exposures，通用漏洞披露)的兼容性认证，在系统漏洞研究和攻击防御方面达到了业界顶尖水平。

专业的病毒查杀SecPath T200-A IPS集成卡巴斯基防病毒引擎，内置卡巴斯基专业病毒库。

采用第二代启发式代码分析技术、独特的实时监控脚本病毒拦截技术等多种最尖端的反病毒技术，能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。

零时差的应用保护H3C专业安全团队密切跟踪全球知名安全组织和厂商发布的安全公告，经过分析、验证所有这些威胁，生成保护操作系统、应用系统以及数据库漏洞的特征库；H3C通过了微软的MAPP (Microsoft Active Protections Program)认证，可以提前获得微软的漏洞信息。

产品规格软件版E6020VX820VX1220· 可灵活部署于物理、虚拟、云环境· 2U机架式一体机· 1颗Intel高性能处理器· 32GB高速缓存· 存储容量36TB· 标配2个板载千兆GE + 2个板载 10GE光口· 2U机架式一体机· 1颗Intel高性能处理器· 32GB高速缓存· 存储容量64TB· 标配2个板载千兆GE + 2个板载 10GE光口· 2U机架式一体机· 1颗Intel高性能处理器· 64GB高速缓存· 存储容量96TB· 标配2个板载千兆GE + 2个板载 10GE光口纯软件产品备份一体机统一数据保护为传统应用及现代化工作负载提供统一数据保护，兼顾卓越性能、易用性和成本优势。

Express 7产品优势全面的IT 环境兼容性：不仅支持传统IT 环境下的应用平台保护，同时支持SAP HAHA、Hadoop 等现代化工作负载的保护。

丰富的数据保护手段：超越传统方案中的单一保护技术，集持续数据保护、备份集技术等于一身，满足不同SLA 要求。

统一保护低TCO 投入卓越性能物理、虚拟和云环境高效保护 ：借助重复数据删除、永久增量备份、多并发备份等丰富的数据保护技术，满足数字化时代下的高SLA 目标。

广泛的场景适应性：面向大型数据库、海量虚拟机、亿万级小文件等场景，相比传统方案，大幅提升数据保护效率。

满足核心工作负载的SLA 目标一体化架构：相比于传统分散式购买与管理的4S 方案，一体机不仅兼具性能优势，同时降低50%以上的TCO。

运维管理简易：提供All-in-One-Web 管理模式，一个页面即可实现日常管理；一体化的架构也大幅降低不同组件的运维复杂度。

简化架构与管理复杂度集中备份异地备份分支站点备份备份上云价值统一保护：为物理、虚拟及云环境提供统一保护。

科博威安全增强复印机
1.产品介绍
科博威安全增强复印机（CopWay Sot100）是由我公司自主开发的、针对纸质文档复印过程进行安全控制的安全办公自动化设备。

CopWay Sot100共分为三种形态：小型桌面式复印机、大型立式复印机、针对国外大型复印机的安全增强模块。

2.产品功能
3.产品型号及性能指标
安全增强模块适于国外主流大型复印机的安全改造，目前支持的复印机品牌包括柯美、京瓷、佳能等各系列型号。

4.产品特点
（1）形态丰富：公司针对桌面安全复印、集中快速安全复印、已有大型复印机安全加固形成解决方案，以充分适应用户的实际应用环境。

（2）安全功能强大：CopWay Sot100提供了复印过程控制等各项强大的安全功
能，并且是目前国内唯一同时实现内容审计和无硬盘两项安全功能的安全复印设备。

（3）应用灵活：CopWay Sot100提供脱机和联机管理模式，通过网络或CPU 卡能与用户公文流转系统、内部办文系统衔接，成为安全办公系统的有机组成部分。

Scanner1000系列具备如下特点：⏹ 闭环管理流程，提供全方位漏洞管理⏹ 全面精确的Web 安全分析，确保应用层漏洞防护⏹ 自动补丁管理，及时解决潜在风险⏹ 漏洞库自动更新，持续安全防护 信息技术飞速发展，网络应用日益复杂和多元化，利用漏洞攻击的网络安全事件日趋严重，权威机构统计95%以上的攻击事件都利用了未及时修补的漏洞，让用户蒙受巨大的社会、经济损失，漏洞俨然已经成为危害互联网安全的罪魁祸首之一。

因受应用层技术复杂、更新快等因素限制，传统产品主要针对操作系统漏洞进行扫描，针对应用级漏洞，如Web 应用、SSL 加密等漏洞管理效果不佳，并且在漏洞管理上过于单一，不具备漏洞预先通告、定期评估、漏洞自动修补等重要功能，无法从根本上避免攻击产生。

因此，只有从技术本源入手，采用完整、有效和持续的漏洞扫描管理系统才能有效地避免攻击威胁。

DPtech Scanner1000漏洞扫描系统可提供漏洞通告、关联检测、自动修复、资产风险管理、漏洞审计多维度闭环管理功能，通过高性能的多核硬件平台，可实现对网络中各种资产进行全方位、高效的漏洞管理。

DPtech Scanner1000漏洞扫描系统采用“智能关联扫描引擎”技术，通过多种扫描方法关联校验的方式对漏洞进行扫描，且对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。

支持对终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix ）、应用服务等进行漏洞管理，具有覆盖2-7层漏洞检测和自动修补等技术，尤其针对Web 应用系统进行代码级检测，消除XSS 跨站脚本、SQL 注入、网页挂马等漏洞威胁，且支持对SSL 加密应用的漏洞管理。

DPtech Scanner1000 系列产品是目前业界性能最高、漏洞检测最全面、功能最丰富的漏洞扫描系统，能够满足各种应用环境的部署与管理需求，目前已成为漏洞管理的首选产品。

产品概述 产品系列DPtech Scanner1000漏洞扫描系统【 】 产品彩页 DPtech Scanner1000 Scanner1000-MSScanner1000-GS[键入文字]产品规格 产品型号 Scanner1000-MS Scanner1000-GS 可扫描网络资产 终端设备、服务器、路由/交换设备、操作系统（Windows/Linux/Unix ）、应用服务、数据库 Web 漏洞扫描Web 服务器检测、插件检测、配置检测、注入攻击漏洞检测、注射攻击漏洞检测、远程文件检索漏洞检测、文件上传检测、FORM 弱口令检测、数据窃取检测、GOOGLE-HACK 检测、中间人攻击检测、Web 2.0 AJAX 注入检测、Cookies 注入检测、弱口令扫描 设备漏洞扫描 SMTP/POP3、FTP 、SNMP 、端口扫描、弱口令扫描 网页木马检测支持各种类型木马检测、木马分析、木马溯源 扫描方式 定时扫描、手动扫描 扫描对象 支持多个域名/IP 设置扫描对象、支持多个扫描对象扫描、支持SSL 扫描 网络爬虫扫描深度可设、预定义用户登录参数、提供交互式用户登录参数设置、支持并发扫描 漏洞修复 补丁管理、与微软WSUS 联动系统管理 ICP 备案提醒 被扫描的网站ICP 备案是否到期，以及到期提醒支持HTTPS 支持HTTPS 网站的漏洞扫描多服务器支持支持多服务器、多端口扫描 报表分析 扫描结果对比、漏洞报告、统计分析、报表导出。

DDoS 防御系统
热销
下一代入侵防御/检测系统热销
漏洞扫描器VSCAN1508• 固定接口： 6GE • 扩展槽数：1• 2U • 冗余电源• 赠送3年漏洞库升级VSCAN1506
•
固定接口：6GE •
扩展槽数：1•
1U •
单电源• 赠送3年漏洞库升级热销
DAS 数据库审计APT
攻击防御
理：物理放：支持容主流虚拟化平台here ，支持裸金属服务器安装ASG 上网行为管理热销
ASG5305• 固定接口：6GE • 桌面型•
单电源• 赠送3年特征库升级ASG5320• 固定接口：12GE+12SFP • 1U • 冗余电源• 赠送3年特征库升级ASG5310• 固定接口：10GE+4Combo • 1U • 单电源
• 赠送3年特征库升级ASG5505• 固定接口：6GE • 桌面型• 单电源• 赠送3年特征库升级ASG5510• 固定接口：10GE+4Combo • 1U • 单电源• 赠送3年特征库升级ASG5520• 固定接口：12GE+12SFP • 1U • 冗余电源• 赠送3年特征库升级ASG5610 • 固定接口：12GE+12SFP+8*10GE • 2U • 冗余电源• 赠送3年特征库升级ASG5550• 固定接口：12GE+12SFP+4*10GE • 2U • 冗余电源• 赠送3年特征库升级ASG5530• 固定接口：12GE+12SFP+2*10GE • 2U • 冗余电源• 赠送3年特征库升级热销
热销
入门级防火墙Web 应用防火墙热销热销热销热销热销热销
热销
热销热销热销热销eLog 安全事件管理中心UMA 统一运维审计。

DPtechIPS2000AV系列产品彩页业界最高端防毒墙，万兆线速处理能力，病毒库增加不会造成性能下降管理平面与数据平面双通道设计，极大提升了系统健壮性专业的防病毒引擎，内置病毒样本十万条以上，可防御各类病毒掉电保护、应用Bypass等高可靠性机制，确保防毒墙不会成为网络故障点实时的响应方式：阻断、限流、隔离、重定向、Email内容深度检测，全面解决应用层安全问题专业的特征库团队，特征库自动更新，持续安全防护灵活的部署模式：在线模式、监听模式、混合模式支持分布式管理信息技术飞速发展，网络应用日益复杂和多元化，各种安全威胁也随之而来，病毒、蠕虫、木马、间谍软件、恶意攻击使得普通的网络安全防御无能为力。

据权威机构统计，90%以上的企业都曾遭受过病毒的攻击。

传统的防病毒软件基于主机进行查杀，由于主机数量众多、系统版本不同、应用软件差异等原因，因此存在着部署复杂、管理困难、病毒库升级不及时等问题，维护成本也很高；网关型防病毒设备部署在网络出口，不依赖于主机上的防病毒软件，能够实时查杀网络流量中的各种病毒。

但是当前许多厂家提供各式各样的防毒墙，特征样本库的日益增加造成性能的严重制约，尤其是大量特征样本增加，所宣称的性能急剧下降，延时大为增加，不仅起不了多大的防御效果，还造成用户对网络服务体验的大为降低，而靠减少特征库的数量来简单满足性能需求则几乎等于没有防御。

正是在这种形势下，DPtech IPS2000 AV系列防毒墙应运而生。

IPS2000 AV系列基于领先的多核和FPAG架构，并采用独创的“并行流过滤引擎”技术，解决了数据包深度检测消耗大的瓶颈，面对庞大的特征样本和复杂的安全策略，数据包无需多次解析和检测，一次解析即可完成所有安全策略，大大提升了处理效率，即使在病毒库持续增加的情况下，也不会造成性能的下降和网络时延的增加。

同时，DPtech IPS2000 AV系列还采用了管理平面和数据平面相分离技术，这种的分离式双通道设计，不仅消除了管理通道与数据通道间相互耦合的影响，极大提升了系统的健壮性，并且数据通道独特的大规模并发处理机制，极大的降低了报文处理的时延，大大提升了用户体验。

天清汉马VPN安全网关系统产品彩页天清汉马VPN安全网关系统V3.0是启明星辰新一代VPN安全网关产品，是集VPDN、IPSEC、SSL VPN于一身，兼具用户认证、访问控制、NAT、SAML众多功能的综合性VPN安全网关，具有稳定强、易用强、网络环境适应性强，性能高的特点；可为各种规模的企业、政府机构、军队、团体提供网络数据加解密服务，最大限度的保护用户网络传输的数据安全。

启明星辰新一代VPN产品支持多种新技术，包括异步高并发流水线技术，服务端配置推送技术，在线用户高速缓存技术，历史记录统计技术等，而且具有定制方便，安全易用的特点，目前已在税务、公安、政府、能源、交通、电信、金融、制造等行业中部署，并受到用户一致好评。

一、天清汉马VPN产品特点1.客户端二合一，服务端推送配置将IPSec VPN和SSL VPN客户端二合一，配置全部在服务端实现，用户不必再做复杂的安装，只需登入Web输入用户名密码，客户端的安装和启动自动进行。

配置由服务端推送，免除了客户冗长繁琐的配置。

2.全面支持移动设备接入近年随着移动设备办公的迅猛发展，移动设备的传输安全问题也日益突出。

启明星辰VPN产品为了保证移动客户端的安全接入和数据安全，全面提供对IOS及Android系统移动设备的接入保护。

启明星辰VPN产品支持移动客户端的三种主流接入方式，包括移动设备自带VPN、远程应用发布、SDK封装APP 三种方式。

移动设备自带VPN功能为客户提供完全免安装的VPN接入解决方案,同时支持IOS和Android系统；远程应用发布方式，为客户提供移动设备快速访问传统PC业务系统的解决方案,为用户没有将传统PC应用转化为移动APP的情况下，提供移动访问解决方案。

SDK封装方式，针对特定APP提供VPN接入开发接口，通过对接方式实现用户指定APP无痕接入VPN解决方案；SDK衍生客户端方式，提供用户APP方100%无开发量接入VPN的解决方案，达到为用户指定的单个或多个APP数据提供VPN加密保护的效果。

国内下一代防火墙第一品牌深信服下一代防火墙（Next-Generation Application Firewall）NGAF面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

作为传统防火墙的升级替代产品，深信服NGAF不同于工作在L2-L4层的传统防火墙，可以对全网流量进行双向深入数据内容层面的全面透析。

在安全策略制定方面，区域别于传统防火墙五元组安全策略，深信服NGAF可对L2-L7层更多的元素（如，用户、应用类型、URL、数据内容等）制定双向的安全访问策略，使安全策略更精细、更有效，且满足业务的合规性；在安全防护能力方面，提升了传统的抗攻击的能力，不仅能防护网络层的攻击，针对来源更广泛、攻击更容易、危害更大的应用层攻击也可以进行防护，实现L2-L7层的安全防护。

同时，深信服NGAF采用全新的软硬件架构，减小在多种复杂的安全策略和L2-L7层多功能防护功能全部开启时性能的消耗，实现应用层高性能。

产品系列型号产品型号AF-1000-L4170 AF-1000-L4175 AF-1000-L4178 AF-1000-L4270 AF-1000-L4370 三层吞吐 1.5Gbps 2Gbps 2.5Gbps 2.5Gbps 3Gbps七层吞吐200Mbps 250Mbps 250Mbps 350Mbps 450Mbps并发连接数800,000 800,000 800,000 800,000 1,200,000网络接口3GE 4GE 6GE 4GE 6GE安装空间桌面式1U 1U 1U 1U电源单电源单电源单电源单电源单电源产品型号AF-1000-L4470AF-1000-L4473 AF-1000-L4475 AF-1000-L4478AF-1000-L4478P AF-1000-L4570三层吞吐 3.5Gbps4Gbps 4Gbps 5.5Gbps 5.5Gbps7Gbps七层吞吐550Mbps600Mbps 650Mbps 800Mbps800Mbps1Gbps并发连接数1,800,0001,800,000 1,800,000 2,000,0002,000,0002,000,000网络接口4GE+2SFP10GE 4GE+4SFP 6GE6GE4GE+2SFP 安装空间1U1U 1U 1U1U1U 电源单电源单电源单电源单电源单电源单电源产品型号AF-1000-L4670AF-1000-F440AF-1000-FA40AF-1000-G640AF-1000-G680AF-2000-H642三层吞吐8Gbps8Gbps10Gbps10Gbps14Gbps16 Gbps七层吞吐 1.6Gbps2Gbps2Gbps3Gbps4Gbps 4 Gbps并发连接数2,000,0002,000,0002,200,0002,200,0002,500,0002,500,0006GE+4SFP 网络接口8GE4GE+4SFP 10GE+4SFP 6GE+4SFP 6GE+8SFP+2*10G SFP+ 安装空间1U2U2U2U2U2U 电源单电源单电源冗余电源冗余电源冗余电源冗余电源产品型号AF-2000-H644 AF-2000-I482 AF-2000-I484AF-2000-J444AF-2000-J448三层吞吐18Gbps 20 Gbps 25 Gbps40Gbps80Gbps七层吞吐8 Gbps 12 Gbps 15 Gbps20Gbps40Gbps并发连接数4,000,000 8,000,000 8,000,00012,000,00016,000,000网络接口6GE+4SFP+4*10G SFP+4GE+8SFP+2*10G SFP+4GE+8SFP+4*10G SFP+4GE+4SFP+4*10G SFP+4GE+4SFP+8*10G SFP+安装空间2U 2U 2U2U2U 电源冗余电源冗余电源冗余电源冗余电源冗余电源产品功能列表项目具体功能部署方式支持路由、透明、旁路、单臂、虚拟网线以及混合部署模式；实时监控提供基于业务安全、用户安全两个方面的风险威胁的全面展现描述，包括漏洞风险、安全攻击事件及特定威胁的详细信息；提供并发会话数、新建会话数、接口吞吐率、应用流量实时排行等统计信息；提供设备实时CPU使用率、内存使用率、磁盘使用率、网络接口状态、设备系统状态、设备版本信息、设备规则库状态等设备资源信息；网络适应性支持ARP代理、静态ARP绑定；支持配置DNS及DNS代理；支持DHCP中继、DHCP服务器；支持SNMP v1、v2、v3，支持SNMP Trap配置；支持TCP MSS配置；支持HOSTS配置；支持静态路由、RIP v1/2、OSPFv2/v3、BGP、策略路由、多播路由、ECMP等价路由等多种路由协议；支持链路探测，端口聚合，接口联动；NAT地址转换支持IPv4／v6 NAT地址转换，支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网地址、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部网络主机访问内部服务器、支持DNS映射功能；支持针对源IP、目的IP和双向IP连接数控制；支持多种NAT ALG，包括DNS、FTP、H.323、SIP等DoS/DDoS 防护支持Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing攻击防护，支持SYN Flood、IPv4/v6 ICMP Flood、UDP Flood、DNS Flood、ARP Flood攻击防护，支持IP 地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持内网访问控制，配置内网区域只允许指定的IP地址或IP范围对外进行访问，防止内部伪造源IP对外DoS攻击的情况；支持对信任区域主机外发的异常流量进行检测，如ICMP，UPD，SYN，DNS Flood等DDoS攻击行为；VPN支持IPSec VPN，SSL VPN，GRE，GRE over OSPF，GRE over IPSec等VPN接入方式；应用识别与控制支持对1200种以上应用、3000种以上应用动作，可以识别P2P、IM、OA办公应用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、视频应用、代理软件、网银等应用；支持自定义应用; 提供基于服务/应用识别类型、网络对象/用户、端口、安全域、IP地址、服务/应用、生效时间、告警动作等进行应用访问控制策略设置；僵尸网络检测具备独立的僵尸网络识别库，特征库总数在40万条以上，支持手动或自动更新；内置恶意URL链接库；支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为；支持对于未知威胁具备同云端安全分析引擎进行联动的能力，上报可疑行为并在云端进行沙盒检测，并下发威胁行为分析报告；支持通过云端的大数据分析平台，发现和展示整个僵尸网络的构成和分布，定位僵尸网络控制服务器的地址；漏洞防护漏洞防护规则特征数量在7000条以上，支持手动或自动更新；支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP、POP3、RDP、Rlogin、SMB、Telne、Weblogic、VNC）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能；支持防护常见网络协议（SSH、FTP、RDP、VNC、Netbios）和数据库（MySQL、Oracle、MSSQL）的弱密码扫描功能；支持同防火墙访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁；可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；Web攻击防护具备独立的WEB应用防护识别库，特征总数在3000条以上，支持手动或自动更新；支持SQL注入、XSS攻击、网页木马、网站扫描、WEBSHELL、跨站请求伪造、系统命令注入、文件包含攻击、目录遍历攻击、信息泄漏攻击、WEB整站系统漏洞等Web应用攻击防护；支持CC攻击、CSRF 攻击、COOKIE攻击等攻击防护；支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持服务器资产自动识别；支持Web漏洞扫描功能，可扫描检测网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；支持对网站黑链进行检测；支持Windows和Linux系统下网页防篡改功能；支持叠加云端安全服务实现对设备的托管，由云端安全专家对设备进行日志分析和策略配置调整，并按月输出运营月报。

天清汉马VPN安全网关系统V3.0天清汉马VPN安全网关系统V3.0是启明星辰新一代VPN安全网关产品，是集VPDN、IPSEC、SSL VPN于一身，兼具用户认证、访问控制、NAT、SAML众多功能的综合性VPN安全网关，具有稳定强、易用强、网络环境适应性强，性能高的特点；可为各种规模的企业、政府机构、军队、团体提供网络数据加解密服务，最大限度的保护用户网络传输的数据安全。

启明星辰新一代VPN产品支持多种新技术，包括异步高并发流水线技术，服务端配置推送技术，在线用户高速缓存技术，历史记录统计技术等，而且具有定制方便，安全易用的特点，目前已在税务、公安、政府、能源、交通、电信、金融、制造等行业中部署，并受到用户一致好评。

一、天清汉马VPN产品特点1.客户端二合一，服务端推送配置将IPSec VPN和SSL VPN客户端二合一，配置全部在服务端实现，用户不必再做复杂的安装，只需登入Web输入用户名密码，客户端的安装和启动自动进行。

配置由服务端推送，免除了客户冗长繁琐的配置。

2.全面支持移动设备接入近年随着移动设备办公的迅猛发展，移动设备的传输安全问题也日益突出。

启明星辰VPN产品为了保证移动客户端的安全接入和数据安全，全面提供对IOS 及Android系统移动设备的接入保护。

启明星辰VPN产品支持移动客户端的三种主流接入方式，包括移动设备自带VPN、远程应用发布、SDK封装APP三种方式。

移动设备自带VPN功能为客户提供完全免安装的VPN接入解决方案,同时支持IOS和Android系统；远程应用发布方式，为客户提供移动设备快速访问传统PC业务系统的解决方案,为用户没有将传统PC应用转化为移动APP的情况下，提供移动访问解决方案。

SDK封装方式，针对特定APP提供VPN接入开发接口，通过对接方式实现用户指定APP无痕接入VPN解决方案；SDK衍生客户端方式，提供用户APP方100%无开发量接入VPN的解决方案，达到为用户指定的单个或多个APP数据提供VPN加密保护的效果。

项目验收报告
用户单位
联系方式
合同产品
销售方销售人/联系方式
负责工程师安恒技术支持联系方式400 6059 110
产品销售合同请勾选：
□产品情况：完成产品部署，完成产品使用培训，产品运行正常，功能正常启用，产品验收通过
安全服务合同请勾选：
□服务情况：完成安全服务，已提交安全服务报告，服务验收通过
合同服务内容：□黑盒检测□白盒检测□渗透测试□安全加固□应急响应
□安全培训□安全评估□其他：
客户意见：
【】满意
其他建议：
施工人员签字认可（签章）：
日期：年月日客户代表签字认可（签章）：
日期：年月日。