防病毒网关部署说明1.docx

西安市中心医院 防病毒网关部署方案 2015年8月12日 需求分析 据权威机构调查统计，随着互联网的发展，有90%的企业网络感染病毒却未被及时发现。公安部公共信息网络安全监察局发布的中国计算机病毒疫情调查技术分析报告显示，计算机通过光盘、磁盘等存储介质传播的比例明显下降，而通过网络下载和网络浏览感染病毒的数量增幅最大。通过电子邮件传播的比例也有所上升。计算机病毒网络化的趋势愈加明显。 防毒墙可以阻止病毒从互联网侵入内网。凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包，然后对这些数据进行病毒扫描，如果是病毒，则将其清除。防毒墙实时检查网络流量，防止恶意和不必要的应用及WEB内容进出网络，实现生产业务区域网络最大化保护、控制与使用。 防病毒网关部署说明 网络安全的发展趋势表明，网络上涌现出越来越多的攻击和感染方式去侵害PC，并且随着越来越多的移动用户和远程用户的接入，也就意味着连接在一起的PC之间同时存在不同的病毒过滤和安全配置。在网络中，对于那些没有足够防护的PC是很容易受到危害的。基于主机的病毒过滤解决方案已经不再能够满足安全需求。 针对西安市中心医院的网络情况，本方案建议在内网和外网连接处部署一台 防病毒网关。防病毒网关与内网核心交换机直连，对进出服务器区流量进行深度协议检查，查杀病毒。 组网图 方案特点 防毒墙病毒过滤基于多核plus G2架构和全并行的流检测引擎，提供高性能病毒过滤解决方案，能够侦测病毒、木马、蠕虫、间谍软件和其他恶意软件。基于多核Plus G2架构的设计提供了病毒过滤需要的高处理能力，其提供的应用处理扩展模块进一步的提高了病毒过滤的处理能力和总计处理能力，全并行流检测引擎则使用较少的系统资源，并且在并行扫描会话和最大可扫描文件方面提供高升级性。 病毒过滤解决方案具有以下特性： 基于多核Plus G2构架满足病毒过滤应用的高CPU和高内存资源需求 支持病毒过滤应用处理扩展模块提高病毒过滤和整机处理能力 全并行流检测引擎，提供了高并发，高容量，低延时的病毒过滤 基于流的多层解压缩器??持ZIP，RAR等压缩格式 定期动态病毒库更新 支持HTTP、文件传输和多个电子邮件协议 支持多种行为控制，包括中断连接、文件填充和日志记录 性能参数 防病毒网关技术指标指标项技术部分硬件及系统要求专用多核硬件平台（非x86多核架构），采用64位MIPS多核处理器，核数≥8采用64位安全操作系统，且需提供国家版权颁发的“多核并行操作系统软件著作权”证书；标配1个USB接口，1 个CON 接口，5个GE接口，4个GE/SFP接口；设备性能要求网络吞吐量≥6Gbps，防病毒吞吐量≥1.2 Gbps； 最大并发会话数≥200万；每秒新建会话数≥8万；防雷击浪涌等级：四级网络适应性支持透明、路由、混合三种工作模式；支持支持主主模式，主备模式部署，实现高可靠性；同时支持IPV4和IPV6静态路由，支持OSPF、BGP和RIPv1/v2动态路由；支持正向、反向的地址和端口转换、双向地址转换和端口复用技术；支持透明部署时认可实现NAT功能支持对SNAT转换地址是否可达进行监测支持IPv6与IPv4的网络地址与协议转换技术：NAT64和DNS64；支持包括H.323、SIP、FTP、TFTP、RSH、RTSP、SQL Net、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等应用；支持云识别技术，能够增强应用识别的力度虚拟化支持虚拟交换机功能，每个虚拟交换机拥有独立的MAC地址表；支持虚拟路由功能，每个虚拟路由中拥有独立的路由表；支持自定义虚拟防病毒的资源，包括会话数、策略数、NAT规则数的最大限额设定和预留额设定统一安全功能可支持流量管理功能，对IP和应用流量进行保障或者限速；可支持防病毒功能，可对HTTP、FTP、SMTP、POP3、IMAP等协议的应用进行文件的病毒扫描和过滤；可支持入侵防御功能，采用流检测引擎和基于攻击原理的入侵防御检测管理功能支持基于已认证用户身份的访问URL日志记录；要求必须支持基于标准SYSLOG及二进制的日志格式，且需具备高性能硬件日志服务器设备供选择；支持基于IP地址和应用的流量统计及会话统计功能，包括短时间周期和长时间周期；支持自定义统计功能 质保要求： 整机提供三年的硬件质保服务 售后服务要求： 硬件及软件现场安装调试维护整个系统在三年???免费上门服务，保证设备的正常使用。 限时服务：服务要求，30分钟内响应并达到现场，4小时内解决问题或提供解决方案。 对暂时无法现场解决的故障，在不影响正常使用的情况下提供备件或备用机。 巡检服务