【IT168 资讯】公司简介
纽盾科技发展有限公司成立于2009年,致力于成为一家网络安全设备供应商和安全提供商。公司的主要研发成员来自于美国硅谷、台湾的科研机构以及国内的高校。公司不但拥有强大的研发团队、也有非常熟悉客户需求和营销网络的营销团队,纽盾科技以自主研发的网络安全产品,以NEWDON为主要品牌标识,为客户提供安全、高效的网络安全设备。
项目背景
上海X X技术有限公司,数据机房主要对外业务,各个门店,分部需要通过vpn连入机房,进行业务处理,内部员工对机房服务器的访问,进行业务的处理,客户明确需求三层网络架构,要求如下:
- 全千兆连接
- 内网数据需要冗余交换
- 双线负载均衡(外线分别接入电信和网通,需要反向数据智能路由)且互备份
- 需支持VPN接入
- 设备需支持双电源
- 需配置入侵检测与入侵保护设备
- 统一管理平台
- 现新建的机房,以保证对外对内业务正常可靠的运行。
设计原则
我们认为,在根据客户提出的要求前提下,在组网时必须要考虑到下列几个因素:安全性,稳定性,开放性,经济性,可扩展性.
解决方案概述
基于以上原则建设的网络,不仅在安全方面具备高层次的防护性,而且兼顾了稳定性、扩展性也经济性等,完全可以满足企业应用业务的需求。
网络拓扑图
根据网络设计思想与理念,结合企业实际需求,我们建议使用NEWDON纽盾科技的NDF系列下一代应用防火墙,作为网络出口的安全堡垒。其优秀的IDP主动防御入侵检测功能,及动态防火墙技术,可有效阻挡各种入侵威胁,防御企业内部网络免受黑客攻击与破坏,保护企业信息网络的有序运转。除此之外,NDF系列下一代应用防火墙,还支持多路宽带负载均衡、IPSec/PPTP VPN、服务器负载平衡等功能,满足大中型企业网络安全建设的功能需求。
通过在网络出口处部署的NDF7500高性能防火墙设备,分公司员工或门店员工可通过PPTP VPN或者SSL VPN与总公司内部网络互联互通,摆脱了地域的限制,业务的处理更加灵活,安全。NDF整合防火墙、VPN网关、病毒过滤等多种功能,可以让MIS人员更容易部署且毋须增加额外的硬件,造成重复及多余的投资,并让网络更容易管理。
随着电脑的广泛应用和网络的不断普及,来自网路内部和外部的危险和犯罪也日益增多。20年前,电脑病毒(电脑病毒)主要通过软盘传播。后来,用户打开带有 病毒的电子信函附件,就可以触发附件所带的病毒。以前,病毒的扩散比较慢,防毒软体的开发商有足够的时间从容研究病毒,开发防病毒、杀病毒软件。而今天, 不仅病毒数量剧增,质量提高,而且通过网络快速传播,在短短的几小时内就能传遍全世界。有的病毒还会在传播过程中改变形态,使防毒软件失效。
IPS可侦测并阻拦NetBIOS、POP3、SMIP、IMAP、FTP、DNS及800多种HTTP的攻击类型,同事也可辨认各类IDS逃避技术,通过状态过滤能力,可自动重组TCP Segment后再进行比对,同时也提供Regular Expression的比对方式。NDF defender可自动解译Hex/Unicode编码的URL,再进行比对;内建超过1000多URL攻击特征并可自行新增HTTP攻击特征;具透明的HTTP代理重新导向能力并可支持HTTP/1.1 Connection Reuse联机;可限制HTTP Method, 如GET、POST、HEAD、OPTION等也是NDF defender的特色。
内部网络安全,我们建议使用NewDon公司的安全防病毒攻击交换机,其先进的NBAD基于行为判断威胁理念,使得新型或变的病毒或威胁,也无法在内网中兴风作浪,使得整个网络高效稳定。该防攻击交换机,不仅具备普通交换机常用功能,如802.1Q、STP、Port Mirror等,其大背板交换容量与高吞吐率,以及千兆的端口速率,可快速部署,搭建高速接入的内部网络。值得称道的是,该交换机更是内置封包处理芯片,对于异常或超限的封包迅速进行统计、处理,有效防范病毒或黑客的攻击破坏,保护内部网络的稳定。
3.1 NDF多功能IDP/VPN下一代应用防火墙
▲
目前企业已普遍的完成防火墙系统建置,但众所皆知的是一般的防火墙系统已无法有效的阻挡入侵威胁,单纯的入侵检测系统也只限于侦测而无法有效的阻挡入侵攻击,然而中小企业或学校单位基于经费考虑更难以支付昂贵专属的入侵检测系统。基于本身入侵检测与防御技术专长并结合了防火墙技术,开发完成整合了动态防火墙、入侵防御侦测、VPN、多线宽带负载平衡、服务器负载平衡及带宽管理等多种安全机制于一身的NDF多功能网络安全防御系統,通过高效能的系统平台,可满足企业或学校单位对信息安全及管理一次性需求。
▲
NDF提供多个千兆接口,WAN/LAN/DMZ可由用户自由变换,富由弹性。除了支持多路负载平衡器及防火墙完整功能,提供服务器负载平衡与备援,提供稳定与不断线的网络服务。
系统主要特性
可主动侦测并拦截HTTP/FTP/POP3/SMTP/IMAP等Internet运用最普遍的入侵攻击模式.
安全强化的操作系统核心,防止系统本身遭受入侵威胁
可弹性运用多条宽带连接(ADSL/Cable Modem)取代昂贵的高速专线
可同时连接多家ISP达到对外线路负载平衡及容错备援,并支持Internet Server负载平衡
采用专属的Windows GUIClient管理接口,支持SSL安全存取协议,安全性高于WEB的管理接口,系统本身不会有HTTP Server的安全漏洞存在
除了可防御外来可疑入侵之外,也可防堵内部对外进行自动化的攻击(例如:Code Red, Nimda...)
可同时运行Routing/NAT/BridgeMode于DMZ区段
模块化安全管理机制,管理者可任意设定不同模块管理者权限
提供网站过滤(URL Filter)功能
提供防毒过滤功能模块,支持IMAP4, POP3,SMTP通讯协议病毒过滤
内建实时的封包监听工具(Sniffing Tools)及图形化的解析封包内容,可设定监听规则对远程网络进行监听
提供Honeypots入侵诱捕功能,配合内建的实时封包分析工具(Packet Sniffer),以有效诱捕网络黑客,忠实记录其行为
支持DHCP服务器功能
支持Bypass功能(选择性配备),不需担心服务中断的可能性
支持Fail-Over功能,达到完整的备援机制
三层式的系统架构设计(信息搜集系统-汇整分析系统-中央管理接口),可建构企业的中央安全管理与监控机制
卓越的安全机制
防火墙系统技术部份,NDF具备封包过滤及动态检测能力,而且可同时启动两种封包过滤与分析的检测机制,并且也提供各种通讯协议的高级封包过滤选项(包括ICMP Type、TCP Flags、IP Option等),以及完全支持FTP(active/passive)协议,动态产生FTP联机的防火墙规则。通过完整的动态检测设计,使得攻击者无法进行SYN/FIN/RST flooding攻击。NDF的TCP Defender功能可有效阻挡各类TCP攻击及操作系统特征扫描(Fingerprint,包括SYN/FIN/XMAS/NULL等特征扫描、Land攻击、SYN/FIN/ACK/RST Flooding攻击等)。
另支持IP碎片封包(IP Fragment)防护功能,可自行设定最大/最小碎片封包的长度,并可设定是否让重迭或重复的碎片封包通过,以阻挡各类IP fragment DoS的攻击,譬如:太小、太大或重复的IP fragment攻击(包括teardop、nestea、bonk、ping-of-death、jolt等)。同时NDF具备Anti IP Spoofing能力以及Ethernet防火墙功能,以对非IP协议的流量进行过滤与控制。
入侵防御模块
入侵检测技术部份,可侦测并阻拦NetBIOS、POP3、SMTP、IMAP、FTP、DNS及800多种HTTP的攻击类型,同时也可辨认各类IDS逃避技术(包括Double Slashes、Reverse Traversal、Self-Reference、Parameter Hiding等)。通过状态过滤能力,可自动重组TCP Segment后再进行比对,同时也提供Regular Expression的比对方式。NDF可自动解译Hex/Unicode编码的URL,再进行比对;内建超过1,000多URL攻击特征并可自行新增HTTP攻击特征;具透明的HTTP代理重新导向能力并可支持HTTP/1.1 Connection Reuse联机;可限制HTTP Method,如GET、POST、HEAD、OPTION等也是IBAF defender的特色。
防毒墙功能模块
NDF支持In-Line的病毒过滤机能, 并支持IMAP4, POP3,SMTP三种通讯协议, 当网络用户以这三种方式与外界进行邮件通信时, NDF将自动过滤这些信息或档案是否夹带有病毒。防毒墙与入侵防御模块部份的需求是一样的,需要定时更新病毒特征以维护病毒扫描最新及时状态, NDF将定时下载最新病毒码,以维持NDF 防毒引擎为最新状态。
负载平衡及带宽管理模块
多线宽带负载平衡、服务器负载平衡及带宽管理的功能,也是MIS中心、计算机机房或实验室需独立于现有对外主干的Internet联机安全防御非常好的选择,因应视频会议应用的日益普及,通过对外多线宽带整合及带宽管理功能,系统管理者可妥善的分配与管理进行视频会议所需的带宽,以避免影响其他的正常运作下的信息流。
Honey pot入侵诱捕机制
可模拟HTTP,网络邻居, FTP, SMTP, POP3等网络服务,以有效诱捕网络黑客,忠实记录其行为.并能实时与攻击特征数据库进行比对,一旦确认攻击者怀有恶意,还能动态新增防火墙规则,自动阻挡黑客的入侵。
VPN虚拟私有网络模块
VPN支持IPSec协议,提供Transport及Tunnel Mode能力,并支持IKE Pre-Shared Secret认证模式,企业可安心地与远程的分公司或上下游厂商网络连接。而通过DES、3DES、CAST、BLOWFISH、AES等加密机制,可确保数据传输的的机密性、真确性与可用性。
实时封包解析模块(Packet Sniffer)
NDF内建实时封包解析功能,系统管理者可于Client端管理接口上实时的解析流经任何一个界面封包,配合Honey-Pot的功能可对入侵者的行为进行高级的分析。
3.2 IPS入侵防御系统
▲
卓越的安全机制
NDFdefender具备封包过滤及动态检测能力,而且可同时启动两种封包过滤与分析的检测机制,并且也提供各种通讯协议的高级封包过滤选项(包括ICMP Type、TCP Flags、IP Option等),以及完全支持FTP(active/passive)协议,动态产生FTP联机的防火墙规则。通过完整的动态检测设计,使得攻击者无法进行SYN/FIN/RST flooding攻击。NDF defender 的TCP Defender功能可有效阻挡各类TCP攻击及操作系统特征扫描(Fingerprint,包括SYN/FIN/XMAS/NULL等特征扫描、Land攻击、SYN/FIN/ACK/RST Flooding攻击等)。
▲
另支持IP碎片封包(IP Fragment)防护功能,可自行设定最大/最小碎片封包的长度,并可设定是否让重迭或重复的碎片封包通过,以阻挡各类IP fragment DoS的攻击,譬如:太小、太大或重复的IP fragment攻击(包括teardop、nestea、bonk、ping-of-death、jolt等)。同时NDF defender 具备Anti IP Spoofing能力以及Ethernet防火墙功能,以对非IP协议的流量进行过滤与控制。
▲
入侵防御模块
入侵检测技术部份,可侦测并阻拦NetBIOS、POP3、SMTP、IMAP、FTP、DNS及800多种HTTP的攻击类型,同时也可辨认各类IDS逃避技术(包括Double Slashes、Reverse Traversal、Self-Reference、Parameter Hiding等)。通过状态过滤能力,可自动重组TCP Segment后再进行比对,同时也提供Regular Expression的比对方式。NDF defender 可自动解译Hex/Unicode编码的URL,再进行比对;内建超过1,000多URL攻击特征并可自行新增HTTP攻击特征;具透明的HTTP代理重新导向能力并可支持HTTP/1.1 Connection Reuse联机;可限制HTTP Method,如GET、POST、HEAD、OPTION等也是NDF defender的特色。
▲
由ISS信息安全监控中心统计数据得知,HTTP的攻击类型占所有入侵类型非常高的比例,NDF defender 可有效的阻挡信息黑客常用的POP3、SMTP、IMAP、FTP及1000多种HTTP等攻击类型,当系统侦测到进入NDF defender 的入侵攻击封包后,会立即启动入侵防御机制阻挡后续的入侵攻击行为,非常适合学校、中小型企业或大型企业卫星单位建置对外或内部的安全防御系统。
▲
防毒墙功能模块
NDF defender 支持In-Line的病毒过滤机能, 并支持IMAP4, POP3,SMTP三种通讯协议, 当网络用户以这三种方式与外界进行邮件通信时,NDF defender 将自动过滤这些信息或档案是否夹带有病毒。防毒墙与入侵防御模块部份的需求是一样的,需要定时更新病毒特征以维护病毒扫描最新及时状态,NDF defender将定时下载最新病毒码,以维持NDF defender 防毒引擎为最新状态。
负载平衡及带宽管理模块
多线宽带负载平衡、服务器负载平衡及带宽管理的功能,也是MIS中心、计算机机房或实验室需独立于现有对外主干的Internet联机安全防御非常好的选择,因应视频会议应用的日益普及,通过对外多线宽带整合及带宽管理功能,系统管理者可妥善的分配与管理进行视频会议所需的带宽,以避免影响其他的正常运作下的信息流。
Honey pot入侵诱捕机制
可模拟HTTP,网络邻居, FTP, SMTP, POP3等网络服务,以有效诱捕网络黑客,忠实记录其行为.并能实时与攻击特征数据库进行比对,一旦确认攻击者怀有恶意,还能动态新增防火墙规则,自动阻挡黑客的入侵。
▲
实时封包解析模块(Packet Sniffer)
NDF defender 内建实时封保解析功能,系统管理者可于Client端管理接口上实时的解析流经任何一个界面封包,配合Honey-Pot的功能可对入侵者的行为进行高级的分析。
双系统备援功能(Fail Over)
NDF defender 支持双系统备援功能,在双系统备援的运作模式下,当其中一台无法正常运作时,另一台将立即接手并维持网络的正常运作。
网址/端口转换模块
NDF defender 加强型NAT/PAT的网络及Port地址转换功能,可依不同网络区段设定所要转换的IP地址,有效的节省内部合法IP地址的资源,并防止内部重要设备IP地址的曝露。此外,NDF defender 的NAT/PAT Module可完全兼容于FTP协议,自动处理FTP数据联机。
3.3 Qno-侠诺路由器SVR9150
▲
适应高速发展的万事万物,速度是重要的要素之一。侠诺领先业界引入多核,造就稳定、高速、安全的路由器,这是适应市场的速度体现。企业拥有多核路由器,构建快速安全的企业网络,这是适应竞争的速度体现。企业网络的速度体现在哪?双核效能、带宽管控、流量顺畅、数据传输快速不延迟……侠诺新一代双核四WAN QoS安全路由器SQF9150,满足各种中小型用户网络的应用与效能需求,采用64位MIPS双核处理器,借强劲的数据转发能力达到封包不延迟与有效防攻击,此外,极为丰富的应用功能与高实用性体现出的高性价比等,可为用户打造高效而安全的现代化网络,让企业在竞争中抢占先机,网络领先、应用领先、企业领先!
● 高速运转效能
内建高效能双核MIPS 64处理器,每秒最高可处理12个亿运算指令,双向转发速率2G,可支持300,000个联机数,带机量1000台台计算机,封包处理快速稳定。
256MB DDR2高速内存,长时间高负载运作稳定可靠。
内建8个千兆广域网络WAN连接端口、5个千兆局域网LAN连接端口及1个USB无线界面。
侠诺独有绿色通道加速技术,小包转发效能数倍增长。经测试,64bytes小包转发率具倍数成长,适合大量MSN、QQ、视频影片、在线游戏等小包应用的高速转发。
● 多WAN联机端口
支持带宽汇聚。8个千兆广域网络端口,提供企业弹性配置运用,带宽成长空间大。可以多条ADSL取代光纤,汇聚线路增加带宽,取代带宽升级,可节省费用又能解决带宽不足的问题。支持ADSL固接/PPPoE计时制/Cable Modem/光纤接入/FTTX等各种协议。
支持智能型,IP位址,策略路由三种带宽均衡模式,优化对外带宽使用。智能型负载平衡模式可依联机数为单位平均分配每个广域网络的带宽流量,保持不同WAN端带宽利用率相近。IP位元址负载平衡模式适用多条单一运营商线路,依据内部网络IP分配不同WAN流量。策略路由模式则适用于同时采用不同运营商线路,可解决跨网瓶颈问题。
自动线路备援。一条线路掉线,会自动改用另一个WAN端口的线路联机,确保联机稳定不掉线。
● QoS带宽管理
侠诺独创Web QoS网页应用带宽管理,可以将同样使用同一端口的应用服务分别设置带宽,避免一种网页应用占用所有的带宽,导致其他网页应用延迟或无法使用。
动态智能带宽管理功能,只需一次性设置,自动压抑占用带宽用户,轻松解决BT、P2P及视频影片下载等占用带宽问题。
支持带宽管理时间排程,带宽管控更精准有弹性。可设置每日带宽管控规则,可依时段分别选择带宽管理模式或是不做管控。
保障重要人员或应用服务的带宽需求优先畅通。可依据IP或应用服务端口分配带宽或设置优先顺序,优先传送重要信息数据不致延迟,互联机联机使用更有效率。
● 强效防火墙
防火墙效能双向转发率可达2G线速,性能优越。
主动式封包检测功能,经由对网络层联机的动态检测,拒绝或阻挡非标准通信协议的联机要求。主动进行数据包双向过滤,有效防止冲击波、木马等病毒。针对目前常见的DOS攻击,具备短包、碎片包、ICMP、SynFlood、TCP/UDP过滤等功能。
具备ARP攻击防御能力,支持智能型双向ARP绑定功能,集成式管理画面,将原本繁琐的双向ARP绑定设置流程大幅度简化,节省企业维护成本。
● 上网行为管理
支持封锁Exe、Flash、Jpeg、Mp3、Pdf、Png、Rar、Zip等格式的档类型,可有效阻挡在线影音共享网站与炒股软件,避免员工在上班时滥用公司带宽。
QQ、MSN一指键简易管理功能,极简化配置省时省力。可另外设置五组不受此限的IP范围,让工作上需要使用到这些应用软件的用户不受影响。
藉由设置网络存取规则及网络存取时间,管控企业员工个别上网行为。可设置网络存取时间,管制员工上网时段。
● 动态功能变量名称解析服务DDNS
支持QnoDDNS、以及其他3322/DynDNS等动态功能变量名称服务。QnoDDNS为侠诺专为广大用户打造的DDNS加值服务系统,在台湾中华电信、大陆电信及网通线路均设有服务器,多台服务器互为备援,确保服务稳定运作。QnoDDNS免费提供给侠诺用户注册使用,不需负担额外花费,是用户对于DDNS服务系统的非常好的选择。
● USB无线界面
配有1 个USB界面,可插入基于3G模式的无在线网卡,提供企业3G/4G USB无线网络应用;支持自动节能模式,并可根据时间与流量进行无线费用计算。
● 便利系统管理
支持硬件连接端口镜像Mirror Port,提供千兆线速效能,可另接监控服务器,通过侠诺QnoSniff或其他常见信息过滤系统进行用户上网行为监控。
网管可通过对日志管理和查找,即时监控系统状态及内外流量,快速发现问题,进而作对应的配置,确保内部网络运作无误。
提供SNMP网管及系统日志SYSLOG功能,网管可经由配置,将系统信息记录动态存取到外部服务器,达到深度管理的要求。
通过设置电子邮件告警事件内容,在系统安全受到威胁时立即通报,让网管能够第一时间及时反应。
全中文的网页配置及管理画面,所有设置参数与组态清楚明确、简单易懂。没有太多网络知识的网管人员也可轻易进行配置。
、● 硬件设计优点
优雅无风扇热传导散热设计,省去风扇耗电量,更能避免杂音干扰及较易故障问题,环保又节能。 双电源回路设计。
19寸标准机柜尺寸,方便企业用户安装于机架上,便于管理。外型美观铁壳散热佳、经久耐用。
3.4 NDM内网异常监测器介绍
NDM是具备4-6个10/100/1000 Mbps Base-T的内网异常监测器。它自动搜集、管理所有的NEWDON switch,如软件版本的派发、配置的派发、设备状态的查询……,还可接收任何品牌Switch的IP flow信息,提供即时、当日、长期(周/月/年)的使用分析,可依据实际的组织架构设定分析的范围,再根据时间长短的要求各项,流量与异常报表,包括各种以图形文字产生的Top-N IP主机排行榜、Top-N TCP服务排行榜、IP/Service 交叉分析表、异常分析报告表等。NDM详细记录网络事件日志,包括接口流量与状态、用户通讯记录、用户锁定列表等,辅以MAC/IP配置对管理,攻击源追踪(Location Traking)协助防御管理,以帮助管理员稽核与管理网络安全。
组织架构建立与设备自动管理
定义组织架构是执行各种分析的基础工程,NDM将组织架构分为三层,包括有:
组织 - 最上层单位,通常会有Core Switch需定义网关,一般定义为企业名称;
群组 - 第二层单位,一般定义为楼宇或部门或某些网段的组合名称;
网段 - 最小的分析单位 ,一般定义为小组或某网段等名称。
NDM自动搜寻网络中的NEWDON switch设备,
依据组织架构定义在不同的结构中,使网络管
理更加人性化,符合企业运营组织架构。
网络设备与IP flow实时监视
▲
NDM提供管理员IP基础的流量信息,及完整的设备及警示事件,包括:
设备清单 - 组织表、 设备IP、 名称、 状态、Session;
事件记录 - 最新发生的SNMP trap & syslog event;
实时session - 网络最近5分钟发生的IP flow 记录数;
历史netflow - 年/月/周/日/时已发过IP flow 记录数。
MAC/IP配对管理
具备自动学习功能,可以SNMP读取各个NDS-3610G的MAC/IP配对,让管理者确认MAC/IP配对的正确性,藉以快速建立数据库;
具备MAC/IP数据库维护管理程序,让管理员或用户自行更新数据库信息;
具备Mobile用户管理能力,可定义使用者是否可漫游;
具备MAC/IP配对派送能力,让管理员可以将整理好的MAC/IP配对派送至每个NDS-3610G进行绑定管制稽核。
异常分析
支持封锁排除名单,并可根据不同网段设定其相对应的封锁网关;
规则分析 - 可根据来源地址、来源端口、目的地址、目的端口、封包数、流量数等条件设定规则;
提供侦测已知病毒 (Code-Red、Nimda、W32.Sasser.Worm、W32.Blaster.Worm DDos-DP445)等异常状况;
超流分析;
提供设定封锁状态及统计流量间隔时间;
可根据网络状态、传输状态、超流临界值等条件设定超流规则。
攻击源位置追踪
位置追踪最主要的用途是要协助管理员找出攻击者的来源,当NDM从Switch或其它的入侵侦测设备接受到网络攻击或冲突的syslog时,管理员最需要的就是根据syslog上的IP或MAC地址来搜寻攻击者的位置,加以处理以阻止网络危害蔓延扩大。
NDM 可以依据IP或MAC逐一搜寻比对网络组织设备表内Switch,并找出该IP或MAC来自哪台Switch的哪个端口。
安全事件管理与远程防卫
提供syslog Server接switch其它的3’rd party入侵侦测设备、网络设备、防火墙发送的syslog,并可以自订格式化分析。同时也提供报表让管理员充分了解网络威胁的来源,进而加以处理,以阻止网络危害蔓延扩大。
NDM支持远程防卫机能,遇有危害可马上将客户端点联机切断,并记录日志。NDM则统锁定表,集中显示局域网络内所有被阻断的用户。
NDM可整合3’rd party入侵侦测设备与Newdon switch远程防卫锁定机制,达成协同防御及内网安全存取、异常侦测双重效果。NDM接受3’rd party入侵侦测设备信息事件syslog,NDM经由SNMP private MIB让Switch找出该IP所属VLAN,并进行阻断。
▲
3.5 NDS内网安全防病毒交换机
▲
NDS-2924T安全交换机是专为企业级网络设计的高性能安全接入交换机,它提供了20个10/100/1000M端口,及4个复用的Combo接口,支持IEEE 802.1X认证协议、端口隔离、优先级队列(IEEE 802.1p)、组播应用等多种功能,为用户提供稳定高效的网络数据接入服务。NDS-3610G-24交换机还提供多方面的管理功能,可对系统信息、端口信息,网络参数、Spanning Tree协议、IEEE802.1X协议、IGMP Snooping、VLAN和Trunk、SNMP参数、网络优先级等进行管理,同时具有多种管理方式:SNMP管理方式,Web浏览器管理方式,Telnet管理方式以及通过RS232串口实现的带外(out-of-band)管理方式。NDS-2924T以普通交换机的价格提供了高性价比的端到端数据安全访问解决方案,特别适合企业级网络建设、宽带社区、校网信息化等高速、高管理需求的应用场合。
● 高速背板带宽支持无阻塞交换
高达48Gbps的背板带宽可保证高流量负载环境下,为所有端口提供全线速无阻塞传输能力,满足接入层或汇聚层高流量数据转发要求,也可直接作为中小型网络的核心设备。
● 802.1X协议实现用户身份认证
NDS-2924T交换机支持IEEE802.1x协议,具有完备的用户认证、管理功能,可以很好的支撑宽带网络的计费、安全、运营和管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使用。
● STP生成树协议提供网络高可靠性
生成树STP协议最主要的应用是为了避免局域网中的环路,解决成环以太网络的“广播风暴”问题,消除由于失误或意外带来的循环连接。STP也提供了为网络提供备份连接的可能,可与SDH保护配合构成以太环网的双重保护,为网络提供高可靠性。
● 端到端QoS(服务质量)策略保障网络的高可用性
▲
现代企业的高速发展,要求局域网络能够提供语音、视频、文本等多种应用并存复杂型环境,将有限的网络带宽及响应能力平均分配所有应用是不合理的,重要紧急的应用(比如大型文本传输、高速FTP下载、清晰流畅的在线视频会议等等)往往要求得到比一般性应用(比如对时间要求不高的网页浏览、收发Email等)更快速响应、更稳定处理、更高速带宽的端到端优先资源分配方案。
NDS-2924T交换机全面支持802.1p和DSCP优先级分类标记,可基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号、协议类型的组合来区分网内不同的业务流,通过SPQ(严格优先级)和WRR(加权循环)完善的队列调度机制,实现对网内不同客户、不同应用的处理优先级分配,可保障任何指定的重要关键业务应用的优先处理,并避免网络资源因多种业务的资源无序占用而出现拥塞或瘫痪。
● 端口MAC限制/过滤及端口隔离功能
交换机MAC地址表的容量是有限的,当用户数量非常多,将要达到MAC地址表所能支持的容量时,可以对低优先级用户所处的端口所能学习的MAC地址数目进行限制。DS网管交换机可限制每个端口的MAC地址数量,可以实现单端口下联多用户限制,防止用户私接网络扩展设备,破坏上网秩序。此外,其特殊的MAC地址过滤,实现多用户环境下的安全限制,不必担心网络内部出现不可控制的下联用户而威胁网络信息安全。
端口隔离技术是一种实现在客户端的端口间的足够的隔离度以保证一个客户端不会收到另外一个客户端的流量的技术。通过端口隔离技术,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。
● 基于端口的VLAN划分和802.1Q VLAN技术
企业级网络往往会按照网络规模、部门设置、用户权限、网络广播风暴严重性等,将局域网内用户划分在较多不同的VLAN(虚拟局域网)内,以实现网络用户访问的保密性和网络运行的稳定性。
NDS-2924T交换机可支持基于端口划分的VLAN成员,及802.1Q VLAN。基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。在4K的VLAN ID范围内任意划分VLAN,同时,通过先进的PVLAN(Private VLAN)技术,可对已划分的同一VLAN用户实施端口保护,无需再分配占用VLAN ID即可安全隔离,既节省了网络VID分配资源,又充分保护了用户隐私权限。
● 高级网络访问安全
NDS-2924T多层次安全处理芯片,支持Layer 2/3/4高级的网络访问安全功能(Network Security Access) 。NDS-2924T支持IEEE 802.1x认证机制,让网络使用者进入网络之前必须经过身份确认,以防止网络身份的伪造;确保使用者入网前可以提供主机完整性检查。另外也包括了 Port+IP/MAC+IP 设备可选择性的网络管制安全策略,甚至ARP Gateway ensure、Flooding Attack Defense、Strom Control及SIP Filter等多层次安全服务。
▲
● 多样的管理方式
NDS-2924T4交换机支持SNMP v1/v2c、Telnet、Web和Console口等多种管理方式,用户可根据不同的使用习惯和网络规模灵活、方便、快速设备管理。
▲
