某公司网络系统集成方案

xxx股份有限公司
网络系统集成方案
编制：
日期：
目录
一、前言 (3)
1.1系统概述 (3)
二、需求分析： (3)
2.1网络需求 (3)
2.2管理需求 (4)
2.3总体目标 (5)
三、设计方案 (5)
3.1网络部分设计细节（将内外网逻辑隔离设计包含其中） (6)
四、实施方案： (7)
4.1 核心交换机 (7)
4.2交换机业务特性 (9)
4.3防火墙 (9)
4.4 S5700VLAN配置细则 (12)
4.5 安全策略 (13)
五、产品特点与选配说明 (15)
5.1 核心交换机：华为5700-48TP (15)
5.2 接入层交换机：S1700-52R-2T2P-AC (17)
5.3 防火墙：深信服AF-1580-WAF (18)
来自互联网的由外而内的安全风险 (18)
来自用户由内而外的安全风险 (20)
来自终端的安全风险 (21)
六、技术支持服务 (22)
七、产品选型与报价 (23)
一、前言
XXX公司是国家级重点高新技术企业，公司坐落在风景秀美的xxx市。

1.1系统概述
随着网络建设和信息化程度的不断深入，对信息化网络系统的要求也越来越高，搭建现代化信息平台势在必行。

针对XXX公司网络系统建设，要求既能适应网络稳定及安全发展需要，又具备先进的扩展功能，保证网络应用。

将以科学发展观为指导思想，应用先进的设计架构和技术，实现网络系统现代化，从而建设完善的智能化网络系统平台。

二、需求分析：
非常荣幸我司能够参与此次XXX公司的互联网安全保障与网络设备平台建设项目，希望我司的分析方案，能为贵公司对当前XXX公司网络基础架构与信息安全保障所存在的问题提供一些参考，通过进一步的优化调整、升级，以满足信息化建设及日后的管理、应用以及信息安全的需要。

建设成为一体化硬件、一体化安全、一体化管理的现代化系统。

保证的办公自动化、内部视频传输、网络资源共享、Web网站等IT应用的高效运营和管理，为办公和工作提供了诸多方便，实现与应用系统的综合承载，对全网资源的统一调配，以及减轻网络运维管理的复杂度。

2.1网络需求
在目前、网络速度已经进入千兆交换的时代，各种业务系统的数据对网络的接入速度要求越来越高。

我司建议选择千兆交换机作为网主干网络，广域网通过合肥市的城域网光纤接入Internet，这样就能够解决内外网所面临的各种性能上的瓶颈。

让公司的数据汇总、资源共享、网络应用、城建医院互联等业务能够轻松的开展，能够为XXX公司的网络应用提供一个好的保障，从而建设一个一流的、高速的网络系统。

在当前网络现况，XXX公司网线均已布到桌面，那么只需要采用千兆技术交换设备，就可实现千兆直接到桌面，而且从经济的角度来说，也是很划算的，因
为目前的计算机系统中，基本上网卡都是10/100M或者1000M自适应的，价格非常便宜，我们只需要考虑网络平台设备的性能、功能选型即可。

在与互联网的连接过程中，为了防止网络黑客对于网中各个节点的网的攻击，建议采用专业的硬件应用型防火墙的方式来保证网内部的安全。

2.2管理需求
XXX公司网络的改造，必然将XXX公司的管理带上一个新的台阶，但是一个好的网系统，必然需要一个强大的网络管理系统，从应用成本考虑，应该尽量采用一些免费的软件系统，这样才能够尽量节省在网络建设、网络管理上的资金。

而事实上，通过采用华为的产品，利用交换机自身的管理功能，就可以满足相当多一部分的管理需求，而且是通过底层的方式，更具备稳定、高效等特点，从业务上实现真正的网络管理。

●故障管理，它是网络管理中最基本的功能之一，其功能主要是使管理中
心能够实时监测网络中的故障，并能对故障原因作出诊断和进行定位，
从而能够对故障进行排除或能对网络故障进行快速隔离，以保证网络能
够连续可靠地运行。

●安全管理：制定一套合理的网络规划，包含：IP的合理划分、VLAN细腻
的逻辑隔离、一些ACL的访问策略等，通过细致、周详、有条理性的规
划现有的网络资源、不仅仅可以为XXX公司的信息化建设节约投资，也
可以解决各种业务、安全应用所带来的一部分问题，
●病毒防护：目前XXX公司采用开放式的上网方式、网络中部署防毒网关，
随着互联网业务的广泛应用，浏览网页、下载软件、P，都带来了非常繁
重的防病毒压力，选择网关杀毒的方式，可以有效的防御外部病毒、木
马的入侵
●上网行为管理：时间就是金钱，就是效率，同时随着网络的高速接入，
各种P2P类的广泛应用，对XXX公司的带宽利用都带来非常大的压力，
如果有效的管理正常上班时间的互联网行为？如何保障正常的互联网应
用，如何保证VPN数据互联的速度？
2.3总体目标
XXX公司在建设过程中，将对整个网络进行统一规划、统一建设、统一管理。

充分利用现有的资源，建成专用的网。

同时，建成的网络是集办公、管理和信息发布为一体的综合服务体系，能够适应各种应用的要求，完成各种形式的信息传递的功能，集成文本、数据、表格、图象、语音、视频的通信，突破传统的数据和音像分割的局面，做到一网多用，避免重复建设。

在通过与信息中心各位领导以及专工的沟通与交流，根据对贵公司的业务特点、网络现有情况的了解，提出以下四个企业内外网改造思路：
2.3.2提高安全性
信息的便利性犹如双刃剑，带来快捷的同时，也不可避免的带来让人忧虑的安全隐患，那么当我们将公司的接入互联网时、在实现互通的情况下，我们需要更多考虑信息的安全性
2.3.3增强管理能力
没有规矩、不成方圆。

就像在安全性的描述一样，带来了便捷，就可能意味着增加了管理的复杂性、增加了管理的难度性、如何增强管理，同样是我们在做信息规划时不能忽视的一部分
2.3.4 提高骨干网络的速率
XXX公司以及分公司信息化应用的不断增加、与总部之间业务往来不断的加深，都对网络带来了新的要求。

通过实施千兆网络设备升级，接入层设备端口聚合，提升核心网络交换速率，来满足今后一段周期的带宽需求。

2.3.6 高性价比
利用我们丰富的实施经验，结合贵公司真实需求，在考虑性能、质量、服务的前提下，高可靠性、高性价比，充分的利用现有设备与新选型的设备来实现以最低的成本来满足贵公司的生产需求
三、设计方案
根据XXX公司企业内外网的规模和管理情况，本解决方案将根据以下原则进
行内网保护方案的设计：
1.方案应该统一规划，分步实施，实施各个阶段应该保持良好的衔接；
2.方案的选型必须是基于现有的成熟产品和系统，具有可靠的稳定性；
3.方案应具有良好的可管理性和可维护性，具备良好的管理性、安全性；
4.方案必须具有良好的易用性和兼容性，不会改变业务系统的主要结构，
也不会对网络管理的操作人员带来过多的操作习惯；
3.1网络部分设计细节（将内外网逻辑隔离设计包含其中）
XXX公司采用千兆接入、千兆汇聚的方式进行网络平台的搭建
3.1.1、增加汇聚层核心交换机，将内网接入核心交换网络口中，通过接口定义，实现逻辑隔离，此项功能实现要求边界网关具备多网络与路由接口，方便日后新的业务需求，随时增加，而不需要增加额外设备。

3.1.2、在汇聚层核心交换机上添加若干VLAN网段，内外网分别接在不同VLAN号中，并设置原内网与外网之间通讯的访问策略，仅开通部分常用端口；
3.1.3、VLAN划分对象可设置成以楼层、部门等定义方式，有针对性的定义不同VLAN的访问权限，以完善当前PC接入的情况，通过底层的方式控制一部分因网络病毒等形式的网络攻击造成的网络问题，各VLAN之间互访通过核心交换机控制。

3.1.5、公司内网全部通过核心交换实行IP-MAC地址绑定，避免外来PC未经许可就可随意接入公司内网,并可防护一定的ARP病毒攻击，在无法快速定位攻击源的同时，降低网络中其他PC、网络受到的攻击影响（也可以通过防火墙的方式进行IP-MAC绑定）。

3.1.6、配置端口隔离，可以基于楼层或者基于交换机的方式，配置端口隔离，更快速和便捷的减少不不要的数据流量
3.1.7、划分多个子网，虚拟VLAN，并对应不同VLAN，制作IPMAC对应表、VLAN分配表、接口对应表。

3.1.8、由于XXX公司公司的业务特点与需求、遵循“内网可以访问限制的外网，外网可以访问内网”的原则，我们通过防火墙的3层网络层，与7层应用层的方式，定义更细腻的访问内容与访问方式
3.1.9、通过VPN准入策略来定义接入终端的系统环境，强制性的要求分公司PC遵循公司内部网络接入准则，来更好，更低成本的实现内部业务系统的安全。

3.1.10、配置防火墙的上网行为管理功能，关闭成人、钓鱼、病毒URL内置库、开启关闭已知木马代理、控制游戏、股票、P2P等资源应用、开启带宽控制，保障正常上网与VPN、服务器的带宽保障，设置网络应用审计，提供分析报表供管理员进行网络与行为分析等。

3.1.12、设置防火墙包过滤，仅开启部分可用端口，关闭其他所有端口，同时开启防QOS攻击、IP攻击、扫描等攻击，提升边界安全防护性，同时设置基于应用层的访问防护，比如针对80的端口控制的同时，限制上网URL的访问范围，限制通过80端口访问的有害连接等
四、实施方案：
根据XXX公司的需求，核心交换机使用华为5700-48TP做为整体网络的核心，华为S1724G为接入层交换机，各网段、服务器、内网用户、外网用户、内外兼网用户等设置不同的访问权限，根据安全策略来实现不同的访问问划分主要设备如下：
4.1 核心交换机-S5700-48TP
4.2交换机业务特性-华为S1700-52R-2T2P-AC
4.3防火墙-深信服AF-1580-WAF
1、★吞吐量≥5 Gbps，七层吞吐量≥300Gbps,并发连接数≥150万，每秒新建连接≥9万，≥6个千兆电口 , 扩展插槽数≥3个，管理端口≥1个 , 可扩展 2个万兆光口。

1对硬件bypass功能，2个USB2.0标准接口，硬盘不小于320G，单电源，1U标准机架。

2、★产品必须为下一代应用层防火墙，具备一体化安全防护能力，包含防
火墙、IPS、网关防毒、WEB防护、VPN、网页防篡改、应用协议识别、URL过滤功能。

产品需为多核X86架构；
管理需求：
1.★识别1000多种网络应用协议、2400多种应用动作，实现P2P、迅雷等行为管理功能，并支持应用更新版本后的主动识别和控制功能（提供界面截图证明及自主知识产权证明）；
2.★支持基于网站类型/文件类型/URL类型划分与分配带宽(提供界面截图)；
3.网关必须能同时连接多条外网线路，且支持多线路复用和基于应用智能选路技术(必须提供自主知识产权证明) ；
4.★支持基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定(提供界面截图) ；
5.★支持将内网可能中毒用户进行统计排行和报表输出，支持按照行为次数和用户数的排行统计各病毒名称；支持根据病毒、恶意脚本、恶意插件信息统计新增恶意URL排行(提供界面截图)；
6.★支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统计和报表输出(提供界面截图)；
安全需求：
1.★能够过滤web行为，包括HTTP GET、POST、UNLOCK、HEAD、PUT、LOCK、
CONNECT、TRACE等15种以上行为；能够过滤上传和下载文件；能够过滤ActiveX控件、过滤危险脚本等威胁(提供界面截图)；
2.★攻击特征库大于3200条、且支持自动或手动升级，可与防火墙/服务器防
护等模块实现智能策略联动，自动生成防护策略。

web攻击特征库/IPS特征库应每月至少更新两次（要求提供官网截图证明）；
3.支持实时漏洞检测分析，实时漏洞库不小于700种，通过流量镜像，检测主
要业务区系统安全漏洞(需提供截图证明)
4.★漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如
“高”、“中”、“低”等，支持APT检测功能，防范APT间谍攻击行为，内置独立僵尸网络识别库、识别库总数超过10万条 (提供界面截图)；
5.★可基于防泄密特征库定义敏感信息，内置常见敏感信息的特征，且可自定
义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5密码等，防止攻击者结合APT组合攻击信息数据库进行“拖库”、“暴库”(需提供截图证明) 6.★支持 FTP / MySQL / ORACLE / MSSQL / SSH / RDP / 网上邻居/NetBIOS/VNC
等多种应用的弱口令评估与扫描（提供界面截图）；
网页防篡改需求：
1.★无需在服务器上安装任何插件、并在网关处实现网页防篡改，实时杜绝篡
改后网页被访问的可能性；杜绝使用Web方式对后台数据库的篡改；支持在网页被篡改后将访问重定向到web备份服务器(提供界面截图)；
2.★至少支持文件/特征码/网站元素/数字指纹等比对方式，支持不同网页类型
各级页面的模糊框架匹配和精确匹配等方式，实时检查篡改行为；全面保护网站静态和动态网页，支持网页自动发布、篡改检测、应用保护、警告和自动恢复；(提供界面截图)
3.★支持短信报警、邮件报警、控制台报警等多种篡改后的报警方式(提供界面
截图)；
服务器保护需求：
1.★支持Web服务隐藏，包括HTTP响应报文头和HTTP出错页面的过滤；且web
响应报文头可自定义(提供界面截图)；支持FTP服务隐藏，包括服务器信息、软件版本信息等(提供界面截图)；
2.★支持web站点扫描、web站点结构扫描、漏洞扫描等扫描防护；(提供界面
截图)；
3.★支持OWASP定义10大web安全威胁，能够保护服务器免受Web攻击，如
SQL注入防护、XSS攻击防护、CSRF攻击防护(提供界面截图)；
整改后网络拓扑如下：
4.4 S5700VLAN配置细则
由于VLAN基于端口实现，首先我们要集中将所有的服务器全部接在
S5700-48TP核心上，或者单独重要服务器接在S5700上面，有共同权限的服务器集中使用一个面板接口，提高使用率，将华为S1724G系列接入层交换分别接入业务面板，各核心服务器接入业务面板，财务网专用交换机接入业务面板
访问策略定义（ACL等级XXX公司简化为ACLXXX公司）
网段主要用途访问原则ACL等级登记网络设备各网络设备、路由器地
址
各类服务器
各类文档业务系统存
档、查询、共享服务器各领导、员工可以访问或分支机构ACL等级3000 AF-1580-WAF
ACL等级划分说明（此等级数字仅代表方便识别，无其他意义）
ACL等级3000：允许VLAN13（数据库SER）与VLAN14(应用SER互访)，
其他全部拒绝（注意先后）
ACL等级3001：暂举例定义：领导和业务人员处于VLAN2、VLAN3、VLAN4
允许VLAN2\VLAN3\VLAN4访问VLAN14
其他全部拒绝（注意先后）
配置命令：举例：ACL等级3000设：VLAN2地址为：192.168.100.254,共享服务器地址为192.168.100.192
> acl number 3000
>3000] rule 0 permit tup source 192.168.100.192 0.0.0.255
destination 192.168.168.133 0.0.0.255 EQ 80
应用到接口华为-E1/0/5> packet-filter inbound ip-group XXX公司
以次类推，将所有等级VLAN中的网段输入到7503中来。

4.5 安全策略
使用基于S5700-48TP设备自身所带的一些安全性功能，来提高网络抵御病毒、网络攻击所带来防范能力
5.1开启远程TELNET登录保护：
针对在网络中有攻击，或者各种原因造成CPU占用率高的情况下，设置特定IP来实现优先远程登录
5.2将常用的ACL防病毒表加入到核心交换中，来抵御目前部分已知的病毒：
创建acl
acl number 100
禁ping
rule deny icmp source any destination any
用于控制Blaster蠕虫的传播
rule deny udp source any destination any destination-port eq 69
rule deny tcp source anydestination any destination-port eq 4444
用于控制冲击波病毒的扫描和攻击
rule deny tcp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq 135
rule deny udp source any destination any destination-port eq netbios-ns rule deny udp source any destination any destination-port eq netbios-dgm rule deny tcp source any destination any destination-port eq 139
rule deny udp source any destination any destination-port eq 139
rule deny tcp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 445
rule deny udp source any destination any destination-port eq 593
rule deny tcp source any destination any destination-port eq 593
用于控制振荡波的扫描和攻击
rule deny tcp source any destination any destination-port eq 445
rule deny tcp source any destination any destination-port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996
用于控制 Worm_MSBlast.A 蠕虫的传播
rule deny udp source any destination any destination-port eq 1434
下面的不出名的病毒端口号（可以不作）
rule deny tcp source any destination any destination-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455
rule deny udp source any destination any destination-port eq 455
rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557
五、产品特点与选配说明
5.1 核心交换机：华为5700-48TP
产品特点：
更多的端口组合
S5700支持多种上行扩展插卡，提供高密度的GE/10GE上行接口。

其中
S5710-HI具有4个扩展插槽，可实现48*GE(电)＋48GE(光)＋8*10GE＋4*40GE，96GE(电)＋8*10GE+4*40GE，或96*GE(电)＋12*10GE等不同端口组合，充分满足不同用户对带宽升级的实际需求，保护用户投资。

轻松的运行维护
S5700支持华为Easy Operation简易运维方案，提供新入网设备Zero-Touch 安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。

S5700支持SNMPV1/V2/V3、CLI（命令行）、Web网管、TELNET、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。

S5700支持GVRP，实现VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。

S5700还支持MUX VLAN功能，MUX VLAN分为主VLAN和从VLAN，从VLAN又分为互通型从VLAN和隔离型从VLAN。

主VLAN与从VLAN之间可以相互通信；互通型从VLAN内的端口之间互相通信；隔离型从VLAN内的端口之间不能互相通信。

杰出的网流分析
S5700支持Netstream网络流量分析功能。

作为网络流量输出器，S5700根据用户配置，实时采集指定的数据流量，通过标准的V5/V8/V9报文格式，将数据上送给网络流量收集器，这些数据被进一步处理，可以实现动态报表生成、属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。

S5700支持sFlow功能。

S5700按照标准定义的方式，对转发的流量按需采样，并实时地将采样流量上送到收集器，用于生成统计信息图表，为企业用户的日常维护提供了极大的方便。

灵活的以太组网
S5700不仅支持传统的STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准协议ERPS。

SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供50ms的快速业务倒换。

多样的安全控制
S5700支持MAC地址认证和802.1x认证，实现用户策略（VLAN、QoS、ACL）的动态下发。

S5700支持完善的DoS类防攻击、用户类防攻击。

其中，DoS类防攻击主要针对交换机本身的攻击，包括SYN Flood、Land、Smurf、ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变DHCP CHADDR值等等。

5.2 接入层交换机：S1700-52R-2T2P-AC
产品特点
无阻塞高速转发
S1700系列交换机所有端口提供二层线速交换的能力，保证所有端口无阻塞地进行报文转发。

S1700支持“光+电”GE上行，方便客户灵活接入的同时，大幅提升性价比。

S1700全系列提供高达8K的MAC地址，为企业用户后续扩容提供了条件。

极大方便了用户的扩展和应用。

便捷的管理维护手段
S1700提供便捷的管理维护手段，PC化简易操作，机身前面有“一键操作”按钮，短按重启，长按可以恢复出厂配置。

S1700 web管理型设备可通过web可视化的界面，对交换机的各种功能进行简单方便的操作。

S1700全网管系列交换机支持SNMP网管对设备进行配置管理，为中小企业客户集中设备管理提供了便利。

优异的安全性能
S1700支持丰富的安全特性，如802.1x、RADIUS、NAC等安全认证方式。

还支持MAC地址过滤和端口过滤功能，能有效防范黑客、病毒攻击，提供安全可靠的网络服务。

强大的组网和带宽扩展能力
S1700提供LACP、STP/RSTP/MSTP等功能，可有效实现链路扩展及备份。

SNMP 管理型交换机支持高达8个MSTP实例，让组网无忧。

5.3 防火墙：深信服AF-1580-WAF
产品特点与安全防护
来自互联网的由外而内的安全风险
调查显示，我国每年遇到过病毒或木马攻击的网民达到2.17亿，目前以经济利益为目的的网络攻击，以各种热点话题为吸引点，以微博、论坛、邮件等方式进行大量传播，并通过盗取用户信息、企业信息谋取利益。

互联网资源的丰富性与复杂性导致组织员工在访问互联网网页时，用户往往肉眼无法判断其访问的网页是否合法。

一些挂马、含有恶意脚本的网站常常让用户防不慎防。

一些插件未等用户反应看清插件名字时，已自动安装。

这些网页中包含的链接和脚本程序被黑客植入木马，用户在点击网页后，在不知不觉中感染病毒。

而网络使用者一旦上网感染木马病毒，直接泄露的就是个人隐私，各种照片门、工资门、网络钓鱼、密码窃取的事件屡见不鲜，带来的不仅是名誉损害，更多的是经济损失。

而当前黑客技术的普遍性使越来越多的人以利益为驱动对企业或组织内网
发动攻击，这些网络攻击往往具有一定的破坏性，且技术手段则倾向于应用化、内容化、混合化。

所谓应用化，基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就成为了黑客争相研究的方向。

而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞，比如根据卡巴斯基2011年Q1漏洞排行榜，Adobe Reader、Flash Player的包揽前三甲。

所谓内容化，黑客在成功入侵后更加关注的是IT系统中的内容，比如客户账号、通讯方式、银行账户、企业机密、电子订单等。

因此，通过木马、后门、键盘记录等方式可以不断获取这些关键内容，并进行非法利用而牟利。

所谓混合化，在黑客一次攻击行为中使用了多种技术手段，而非原来单一的病毒蠕虫或者漏洞利用。

比如，黑客要想入侵一台Web服务器上传木马的过程：端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、木马上传等。

因此，面对上述由外而内的安全风险，给我们的网络安全提出了新的问题：
1、网关安全产品对病毒、木马的查杀：面对互联网中数亿病毒及木马，网关产品本身需要自带强大的可靠的杀毒引擎以应对这些安全威胁。

当含有病毒、木马的数据流经过网关产品时，经过流量清洗，禁止病毒文件进入内部网络系统，保护内网与终端的安全。

2、针对黑客的恶意攻击，能提供充分的保护：面对多种安全威胁的混合型攻击，我们需要一个完整的应用层安全防护方案。

同时，针对黑客对内容的关注，需要基于应用的内容做安全检查，包括扫描所有应用内容，过滤有风险的内容，甚至让用户自定义哪些内容可以进出，哪些内容不能进出。

3、对具有风险网站的过滤：网络出口设备需要包含恶意网站的URL匹配库，可以禁止用户对这些危险性较大的网站的访问申请；同时能够判断用户上网安装插件是否安全，禁止木马、恶意脚本程序的执行；。