某公司网络系统集成方案.doc

《某公司网络系统集成方案.doc》由会员分享，可在线阅读，更多相关《某公司网络系统集成方案.doc（25页珍藏版）》请在三一文库上搜索。

1、xxx 股份有限公司网络系统集成方案编制：日期：word 文档可自由复制编辑目录一、 前言31.1 系统概述3二、需求分析：32.1 网络需求32.2 管理需求42.3 总体目标5三、设计方案53.1 网络部分设计细节（将内外网逻辑隔离设计包含其中）6四、实施方案：74.1核心交换机74.2 交换机业务特性94.3 防火墙94.4 S5700VLAN 配置细则124.5安全策略13五、产品特点与选配说明155.1核心交换机：华为5700-48TP155.2接入层交换机：S1700-52R-2T2P-AC175.3防火墙：深信服AF-1580-WAF18来自互联网的由外而内的安全风险18来自用户

2、由内而外的安全风险20来自终端的安全风险21六、技术支持服务22七、产品选型与报价23word 文档可自由复制编辑一、前言XXX公司是国家级重点高新技术企业，公司坐落在风景秀美的xxx 市。1.1 系统概述随着网络建设和信息化程度的不断深入， 对信息化网络系统的要求也越来越高，搭建现代化信息平台势在必行。 针对 XXX公司网络系统建设， 要求既能适应网络稳定及安全发展需要， 又具备先进的扩展功能， 保证网络应用。 将以科学发展观为指导思想， 应用先进的设计架构和技术， 实现网络系统现代化， 从而建设完善的智能化网络系统平台。二、 需求分析：非常荣幸我司能够参与此次 XXX 公司的互联网安全保障

3、与网络设备平台建设项目，希望我司的分析方案， 能为贵公司对当前 XXX公司网络基础架构与信息安全保障所存在的问题提供一些参考， 通过进一步的优化调整、 升级，以满足信息化建设及日后的管理、 应用以及信息安全的需要。 建设成为一体化硬件、 一体化安全、一体化管理的现代化系统。保证的办公自动化、内部视频传输、网络资源共享、 Web网站等 IT 应用的高效运营和管理，为办公和工作提供了诸多方便，实现与应用系统的综合承载， 对全网资源的统一调配， 以及减轻网络运维管理的复杂度。2.1 网络需求在目前、网络速度已经进入千兆交换的时代， 各种业务系统的数据对网络的接入速度要求越来越高。 我司建议选择千兆交

4、换机作为网主干网络， 广域网通过合肥市的城域网光纤接入 Internet ，这样就能够解决内外网所面临的各种性能上的瓶颈。让公司的数据汇总、资源共享、网络应用、城建医院互联等业务能够轻松的开展，能够为 XXX公司的网络应用提供一个好的保障， 从而建设一个一流的、高速的网络系统。在当前网络现况， XXX公司网线均已布到桌面，那么只需要采用千兆技术交换设备，就可实现千兆直接到桌面，而且从经济的角度来说，也是很划算的，因word 文档可自由复制编辑为目前的计算机系统中， 基本上网卡都是10/100M 或者 1000M自适应的，价格非常便宜，我们只需要考虑网络平台设备的性能、功能选型即可。在与互联网的

5、连接过程中，为了防止网络黑客对于网中各个节点的网的攻击，建议采用专业的硬件应用型防火墙的方式来保证网内部的安全。2.2 管理需求XXX公司网络的改造，必然将 XXX公司的管理带上一个新的台阶，但是一个好的网系统， 必然需要一个强大的网络管理系统， 从应用成本考虑， 应该尽量采用一些免费的软件系统，这样才能够尽量节省在网络建设、网络管理上的资金。而事实上，通过采用华为的产品， 利用交换机自身的管理功能， 就可以满足相当多一部分的管理需求，而且是通过底层的方式，更具备稳定、高效等特点，从业务上实现真正的网络管理。故障管理，它是网络管理中最基本的功能之一，其功能主要是使管理中心能够实时监测网络中的故

6、障，并能对故障原因作出诊断和进行定位，从而能够对故障进行排除或能对网络故障进行快速隔离，以保证网络能够连续可靠地运行。安全管理：制定一套合理的网络规划，包含： IP 的合理划分、 VLAN细腻的逻辑隔离、一些 ACL的访问策略等，通过细致、周详、有条理性的规划现有的网络资源、不仅仅可以为 XXX公司的信息化建设节约投资，也可以解决各种业务、安全应用所带来的一部分问题，病毒防护：目前 XXX公司采用开放式的上网方式、 网络中部署防毒网关，随着互联网业务的广泛应用，浏览网页、下载软件、 P，都带来了非常繁重的防病毒压力，选择网关杀毒的方式，可以有效的防御外部病毒、木马的入侵上网行为管理：时间就是金

7、钱，就是效率，同时随着网络的高速接入，各种 P2P类的广泛应用，对 XXX公司的带宽利用都带来非常大的压力，如果有效的管理正常上班时间的互联网行为？如何保障正常的互联网应用，如何保证 VPN数据互联的速度？word 文档可自由复制编辑2.3 总体目标XXX公司在建设过程中， 将对整个网络进行统一规划、 统一建设、统一管理。充分利用现有的资源，建成专用的网。同时，建成的网络是集办公、管理和信息发布为一体的综合服务体系， 能够适应各种应用的要求， 完成各种形式的信息传递的功能，集成文本、数据、表格、图象、语音、视频的通信，突破传统的数据和音像分割的局面， 做到一网多用， 避免重复建设。 在通过与信

8、息中心各位领导以及专工的沟通与交流， 根据对贵公司的业务特点、 网络现有情况的了解， 提出以下四个企业内外网改造思路：2.3.2提高安全性信息的便利性犹如双刃剑， 带来快捷的同时， 也不可避免的带来让人忧虑的安全隐患，那么当我们将公司的接入互联网时、 在实现互通的情况下， 我们需要更多考虑信息的安全性2.3.3增强管理能力没有规矩、不成方圆。就像在安全性的描述一样，带来了便捷，就可能意味着增加了管理的复杂性、 增加了管理的难度性、 如何增强管理， 同样是我们在做信息规划时不能忽视的一部分2.3.4提高骨干网络的速率XXX公司以及分公司信息化应用的不断增加、与总部之间业务往来不断的加深，都对网络

9、带来了新的要求。 通过实施千兆网络设备升级，接入层设备端口聚合，提升核心网络交换速率，来满足今后一段周期的带宽需求。2.3.6高性价比利用我们丰富的实施经验，结合贵公司真实需求，在考虑性能、质量、服务的前提下，高可靠性、高性价比，充分的利用现有设备与新选型的设备来实现以最低的成本来满足贵公司的生产需求三、 设计方案根据 XXX公司企业内外网的规模和管理情况，本解决方案将根据以下原则进word 文档可自由复制编辑行内网保护方案的设计：1. 方案应该统一规划，分步实施，实施各个阶段应该保持良好的衔接；2. 方案的选型必须是基于现有的成熟产品和系统，具有可靠的稳定性；3. 方案应具有良好的可管理性和

10、可维护性，具备良好的管理性、安全性；4. 方案必须具有良好的易用性和兼容性，不会改变业务系统的主要结构，也不会对网络管理的操作人员带来过多的操作习惯；3.1 网络部分设计细节（将内外网逻辑隔离设计包含其中）XXX 公司采用千兆接入、千兆汇聚的方式进行网络平台的搭建3.1.1 、增加汇聚层核心交换机，将内网接入核心交换网络口中，通过接口定义，实现逻辑隔离， 此项功能实现要求边界网关具备多网络与路由接口，方便日后新的业务需求，随时增加，而不需要增加额外设备。3.1.2 、在汇聚层核心交换机上添加若干VLAN网段，内外网分别接在不同VLAN号中，并设置原内网与外网之间通讯的访问策略，仅开通部分常用端

11、口；3.1.3 、VLAN划分对象可设置成以楼层、部门等定义方式，有针对性的定义不同 VLAN的访问权限，以完善当前 PC接入的情况，通过底层的方式控制一部分因网络病毒等形式的网络攻击造成的网络问题，各VLAN之间互访通过核心交换机控制。3.1.5 、公司内网全部通过核心交换实行IP-MAC地址绑定，避免外来PC未经许可就可随意接入公司内网, 并可防护一定的ARP病毒攻击，在无法快速定位攻击源的同时，降低网络中其他PC、网络受到的攻击影响（也可以通过防火墙的方式进行 IP-MAC绑定）。3.1.6 、配置端口隔离，可以基于楼层或者基于交换机的方式，配置端口隔离，更快速和便捷的减少不不要的数据流

12、量3.1.7 、划分多个子网，虚拟VLAN，并对应不同 VLAN，制作 IPMAC对应表、VLAN分配表、接口对应表。3.1.8 、由于 XXX公司公司的业务特点与需求、遵循“内网可以访问限制的外网，外网可以访问内网”的原则，我们通过防火墙的3 层网络层，与 7 层应用层的方式，定义更细腻的访问内容与访问方式word 文档可自由复制编辑3.1.9 、通过 VPN准入策略来定义接入终端的系统环境，强制性的要求分公司 PC遵循公司内部网络接入准则，来更好，更低成本的实现内部业务系统的安全。3.1.10 、配置防火墙的上网行为管理功能，关闭成人、钓鱼、病毒 URL内置库、开启关闭已知木马代理、 控制

13、游戏、股票、P2P等资源应用、 开启带宽控制，保障正常上网与 VPN、服务器的带宽保障，设置网络应用审计，提供分析报表供管理员进行网络与行为分析等。3.1.12 、设置防火墙包过滤，仅开启部分可用端口，关闭其他所有端口，同时开启防 QOS攻击、 IP 攻击、扫描等攻击，提升边界安全防护性，同时设置基于应用层的访问防护，比如针对 80 的端口控制的同时，限制上网 URL的访问范围，限制通过 80 端口访问的有害连接等四、 实施方案：根据 XXX公司的需求，核心交换机使用华为5700-48TP 做为整体网络的核心，华为 S1724G为接入层交换机，各网段、服务器、内网用户、外网用户、内外兼网用户等

14、设置不同的访问权限，根据安全策略来实现不同的访问问划分主要设备如下：4.1 核心交换机 - S5700-48TP主要参数产品类型：千兆以太网交换机应用层级：三层传输速率： 10/100/1000Mbps交换方式：存储- 转发背板带宽： 256Gbps包转发率： 96MppsMAC地址表： 16K端口参数端口结构：非模块化端口数量： 52 个端口描述：24 个 10/100/1000Base-T端口，4 个 100/1000Base-X 千兆 Combo口word 文档可自由复制编辑扩展模块： 2 个扩展插槽传输模式：全双工 / 半双工自适应功能特性网络标准： IEEE 802.3 ，IEEE

15、802.3u ， IEEE 802.3ab ，IEEE 802.3z ， IEEE802.3x ， IEEE 802.1Q ， IEEE 802.1d ， IEEE 802.1X堆叠功能：可堆叠VLAN：支持 4K 个 VLAN支持 Guest VLAN、 Voice VLAN支持基于 MAC/协议 /IP子网 / 策略 / 端口的 VLAN支持 1:1 和 N:1 VLAN 交换功能QOS：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持 8 个队列支持 WRR、 DRR、SP、 WRR SP、 DRR+SP队列调度算法支持报文的

16、802.1p 和 DSCP优先级重新标记支持 L2（ Layer 2 ） -L4 （Layer 4 ）包过滤功能，提供基于源MAC地址、目的 MAC地址、源 IP 地址、目的IP 地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping 功能组播管理：支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管，支持双速三色CAR功能每端口支持 8 个队列支持 WRR、 DRR、SP、 WRR SP、 DRR+SP队列调度算法支持报文的 802.1p 和 DSCP优先级重新标记支持 L2（ Layer 2 ） -L4 （Layer 4 ）包过滤功能，提供基

17、于源MAC地址、目的 MAC地址、源 IP 地址、目的IP 地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping 功能网络管理：支持堆叠支持 MFF支持虚拟电缆检测（ Virtual Cable Test）支持端口镜像和 RSPAN（远程端口镜像）支持 Telnet 远程配置、维护支持 SNMPv1/v2/v3支持 RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持 GVRP协议支持 MUX VLAN功能安全管理：用户分级管理和口令保护支持防止DOS、ARP攻击功能、 ICMP防攻击word 文档可自由复制编辑支持 IP 、 MA

18、C、端口、 VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持 MAC地址学习数目限制支持 IEEE 802.1X 认证，支持单端口最大用户数限制支持 AAA认证，支持Radius 、 TACACS+、 NAC等多种方式支持 SSH V2.0支持 HTTPS支持 CPU保护功能支持黑名单和白名单4.2 交换机业务特性 - 华为 S1700-52R-2T2P-AC主要参数?产品类型：企业级交换机?应用层级：二层?传输速率： 10/100/1000Mbps?交换方式：存储 - 转发?背板带宽： 48Gbps?包转发率： 36Mpps?MAC地址表： 8K端口参数?

19、端口结构：非模块化?端口数量： 52 个?端口描述： 2 个 10/100/1000Mbps 自适应以太网端口， 48 个 10/100mbps 自适应端口4.3 防火墙 -深信服 AF-1580-WAF1、吞吐量 5 Gbps，七层吞吐量 300Gbps,并发连接数 150 万，每秒新建连接 9 万，6 个千兆电口 , 扩展插槽数 3 个，管理端口 1 个 , 可扩展 2 个万兆光口。 1 对硬件 bypass 功能， 2 个 USB2.0 标准接口，硬盘不小于320G，单电源， 1U标准机架。2、产品必须为下一代应用层防火墙，具备一体化安全防护能力，包含防word 文档可自由复制编辑火墙、

20、 IPS、网关防毒、 WEB防护、 VPN、网页防篡改、应用协议识别、URL过滤功能。产品需为多核X86 架构；管理需求：1. 识别 1000 多种网络应用协议、 2400 多种应用动作，实现 P2P、迅雷等行为管理功能， 并支持应用更新版本后的主动识别和控制功能 （提供界面截图证明及自主知识产权证明） ；2. 支持基于网站类型 / 文件类型 /URL 类型划分与分配带宽 ( 提供界面截图 ) ；3. 网关必须能同时连接多条外网线路， 且支持多线路复用和基于应用智能选路技术 ( 必须提供自主知识产权证明 ) ；4. 支持基于应用识别类型、用户名、接口、安全域、 IP 地址、端口、时间进行应用访

21、问控制列表的制定 ( 提供界面截图 ) ；5. 支持将内网可能中毒用户进行统计排行和报表输出， 支持按照行为次数和用户数的排行统计各病毒名称； 支持根据病毒、 恶意脚本、恶意插件信息统计新增恶意 URL排行 ( 提供界面截图 ) ；6. 支持对终端发生的危险行为 ( 木马、间谍软件、垃圾邮件发送 ) 进行统计和报表输出 ( 提供界面截图 ) ；安全需求：1. 能够过滤 web 行为，包括 HTTP GET、POST、UNLOCK、 HEAD、PUT、 LOCK、CONNECT、TRACE等 15 种以上行为；能够过滤上传和下载文件；能够过滤 ActiveX 控件、过滤危险脚本等威胁 ( 提供界

22、面截图 ) ；2. 攻击特征库大于 3200 条、且支持自动或手动升级，可与防火墙 / 服务器防护等模块实现智能策略联动，自动生成防护策略。web攻击特征库 /IPS 特征库应每月至少更新两次（要求提供官网截图证明）；3. 支持实时漏洞检测分析，实时漏洞库不小于 700 种，通过流量镜像，检测主要业务区系统安全漏洞 ( 需提供截图证明 )4. 漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如“高”、“中”、“低”等，支持 APT检测功能，防范 APT间谍攻击行为，内置独立僵尸网络识别库、识别库总数超过 10 万条 ( 提供界面截图 ) ；word 文档可自由复制编辑5. 可基于防

23、泄密特征库定义敏感信息，内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、 MD5密码等，防止攻击者结合 APT组合攻击信息数据库进行 “拖库”、“暴库”( 需提供截图证明 )6. 支持 FTP / MySQL/ ORACLE/ MSSQL/ SSH/ RDP/ 网上邻居 /NetBIOS/VNC等多种应用的弱口令评估与扫描（提供界面截图） ；网页防篡改需求：1. 无需在服务器上安装任何插件、并在网关处实现网页防篡改，实时杜绝篡改后网页被访问的可能性；杜绝使用 Web方式对后台数据库的篡改；支持在网页被篡改后将访问重定向到 web备份服务器 ( 提供界面截图 )

24、 ；2. 至少支持文件 / 特征码 / 网站元素 / 数字指纹等比对方式， 支持不同网页类型各级页面的模糊框架匹配和精确匹配等方式，实时检查篡改行为；全面保护网站静态和动态网页，支持网页自动发布、篡改检测、应用保护、警告和自动恢复； ( 提供界面截图 )3. 支持短信报警、 邮件报警、控制台报警等多种篡改后的报警方式 ( 提供界面截图)；服务器保护需求：1. 支持 Web服务隐藏，包括 HTTP响应报文头和 HTTP出错页面的过滤；且 web 响应报文头可自定义 ( 提供界面截图 ) ；支持 FTP服务隐藏，包括服务器信息、软件版本信息等 ( 提供界面截图 ) ；2. 支持 web站点扫描、

25、web站点结构扫描、漏洞扫描等扫描防护； ( 提供界面截图)；3.支持 OWASP定义 10 大 web 安全威胁，能够保护服务器免受 Web攻击，如SQL注入防护、 XSS攻击防护、 CSRF攻击防护 ( 提供界面截图 ) ；整改后网络拓扑如下：word 文档可自由复制编辑AF-1580-WAF4.4 S5700VLAN 配置细则由于 VLAN基于端口实现，首先我们要集中将所有的服务器全部接在S5700-48TP核心上，或者单独重要服务器接在 S5700上面，有共同权限的服务器集中使用一个面板接口，提高使用率，将华为 S1724G系列接入层交换分别接入业务面板，各核心服务器接入业务面板，财务

26、网专用交换机接入业务面板访问策略定义（ ACL等级 XXX公司简化为 ACLXXX公司）网段主要用途访问原则ACL等级登记网络设备各网络设备、 路由器地址各类文档业务系统存各领导、员工可以访问或分支机构ACL等级 3000各类服务器档、查询、共享服务器word 文档可自由复制编辑各交换机之间组建共各领导、员工可以访问或分支机构ACL等级 3001各楼层交换享网络ACL等级划分说明（此等级数字仅代表方便识别，无其他意义）ACL等级 3000：允许 VLAN13（数据库 SER）与 VLAN14(应用 SER互访 ) ，其他全部拒绝（注意先后）ACL等级 3001：暂举例定义：领导和业务人员处于V

27、LAN2、 VLAN3、VLAN4允许 VLAN2VLAN3VLAN4访问 VLAN14其他全部拒绝（注意先后）配置命令：举例： ACL等级 3000 设： VLAN2地址为： 192.168.100.254, 共享服务器地址为 192.168.100.192 acl number 30003000 rule 0 permit tup source 192.168.100.192 0.0.0.255 destination 192.168.168.133 0.0.0.255 EQ 80应用到接口华为 -E1/0/5 packet-filter inbound ip-group XXX公司以次类

28、推，将所有等级VLAN中的网段输入到7503 中来。4.5 安全策略使用基于 S5700-48TP 设备自身所带的一些安全性功能，来提高网络抵御病毒、网络攻击所带来防范能力5.1开启远程 TELNET登录保护：针对在网络中有攻击， 或者各种原因造成CPU占用率高的情况下， 设置特定IP 来实现优先远程登录5.2将常用的ACL 防病毒表加入到核心交换中，来抵御目前部分已知的病毒：创建 aclacl number 100禁 pingword 文档可自由复制编辑rule deny icmp source any destination any用于控制 Blaster蠕虫的传播rule deny ud

29、p source any destination any destination-port eq 69 rule deny tcp source anydestination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击ruledeny tcp source any destination any destination-port eq 135ruledeny udp source any destination any destination-port eq 135ruledenyudp source any destinationany desti

30、nation-porteq netbios-nsruledenyudp source any destinationany destination-porteq netbios-dgmruledeny tcp source any destination any destination-port eq 139ruledeny udp source any destination any destination-port eq 139ruledeny tcp source any destination any destination-port eq 445ruledeny udp source

31、 any destination any destination-port eq 445ruledeny udp source any destination any destination-port eq 593ruledeny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445 rule deny tcp source any destination any destination

32、port eq 5554 rule deny tcp source any destination any destination-port eq 9995 rule deny tcp source any destination any destination-port eq 9996 用于控制 Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号（可以不作）rule deny tcp source any destination any desti

33、nation-port eq 1068 rule deny tcp source any destination any destination-port eq 5800 rule deny tcp source any destination any destination-port eq 5900 rule deny tcp source any destination any destination-port eq 10080 rule deny tcp source any destination any destination-port eq 455 rule deny udp so

34、urce any destination any destination-port eq 455word 文档可自由复制编辑rule deny tcp source any destination any destination-port eq 3208 rule deny tcp source any destination any destination-port eq 1871 rule deny tcp source any destination any destination-port eq 4510 rule deny udp source any destination any

35、 destination-port eq 4334 rule deny tcp source any destination any destination-port eq 4331 rule deny tcp source any destination any destination-port eq 4557五、 产品特点与选配说明5.1 核心交换机：华为5700-48TP产品特点 ：更多的端口组合S5700支持多种上行扩展插卡，提供高密度的 GE/10GE上行接口。其中 S5710-HI 具有 4 个扩展插槽，可实现 48*GE(电) 48GE(光 ) 8*10GE4*40GE，96GE

36、电) 8*10GE+4*40GE，或 96*GE(电) 12*10GE等不同端口组合， 充分满足不同用户对带宽升级的实际需求，保护用户投资。轻松的运行维护S5700支持华为 Easy Operation简易运维方案， 提供新入网设备Zero-Touch安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能，便于安装、升级、业务发放和其他管理维护工作，大大降低了运维成本。S5700支持 SNMPV1/V2/V3、CLI（命令行）、Web网管、 TELNET、SSHv2.0等多样化的管理和维护方式；支持RMON、多日志主机、端口流量统计和网络质量分析，便于网络优化和改造。word

37、 文档可自由复制编辑S5700支持 GVRP，实现 VLAN的动态分发、注册和属性传播，减少手工配置量，保证配置正确性。 S5700还支持 MUXVLAN功能，MUXVLAN分为主 VLAN和从 VLAN，从 VLAN又分为互通型从 VLAN和隔离型从 VLAN。主 VLAN与从 VLAN之间可以相互通信；互通型从 VLAN内的端口之间互相通信； 隔离型从 VLAN内的端口之间不能互相通信。杰出的网流分析S5700支持 Netstream 网络流量分析功能。 作为网络流量输出器， S5700根据用户配置，实时采集指定的数据流量，通过标准的 V5/V8/V9 报文格式，将数据上送给网络流量收集器

38、 这些数据被进一步处理， 可以实现动态报表生成、 属性分析、流量异常告警等功能，帮助用户及时优化网络结构、调整资源部署。S5700支持 sFlow 功能。S5700按照标准定义的方式， 对转发的流量按需采样，并实时地将采样流量上送到收集器， 用于生成统计信息图表， 为企业用户的日常维护提供了极大的方便。灵活的以太组网S5700不仅支持传统的 STP/RSTP/MSTP生成树协议，还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准协议 ERPS。SEP是一种专用于以太链路层的环网协议，适用于半环、整环、级连环等各种组网，其协议简单可靠、维护方便，并提供 50ms的快速业务倒换。

39、多样的安全控制S5700支持 MAC地址认证和 802.1x 认证，实现用户策略（ VLAN、QoS、 ACL）的动态下发。 S5700支持完善的 DoS类防攻击、用户类防攻击。其中， DoS类防攻击主要针对交换机本身的攻击，包括 SYN Flood、Land、Smurf、 ICMP Flood；用户类防攻击涉及DHCP服务器仿冒攻击、 IP/MAC 欺骗、 DHCP request flood、改变 DHCP CHADDR值等等。word 文档可自由复制编辑5.2 接入层交换机： S1700-52R-2T2P-AC产品特点无阻塞高速转发S1700系列交换机所有端口提供二层线速交换的能力，保证

40、所有端口无阻塞地进行报文转发。 S1700支持“光 +电” GE上行，方便客户灵活接入的同时，大幅提升性价比。 S1700全系列提供高达 8K的 MAC地址，为企业用户后续扩容提供了条件。极大方便了用户的扩展和应用。便捷的管理维护手段S1700提供便捷的管理维护手段，PC化简易操作，机身前面有“一键操作”按钮，短按重启，长按可以恢复出厂配置。S1700 web管理型设备可通过 web可视化的界面，对交换机的各种功能进行简单方便的操作。 S1700全网管系列交换机支持 SNMP网管对设备进行配置管理，为中小企业客户集中设备管理提供了便利。优异的安全性能S1700支持丰富的安全特性，如 802.1x 、RADIUS、NAC等安全认证方式。还支持 MAC地址过滤和端口过滤功能， 能有效防范黑客、 病毒攻击， 提供安全可靠的网络服务。强大的组网和带宽扩展能力word 文档可自由复制编辑S1700提供 LACP、STP/RSTP/MSTP等功能，可有效实现链路扩展及备份。SNMP管理型交换机支持高达8 个 MSTP实例，让组网无忧。5.3防火墙：深信服AF-1580-WAF产品特点与安全防护来自互联网的由