张家口市桥东区总工会互联网网络安全改造技术文档

一、本次网络安全改造说明

概况

近期张家口市网信办利用最新建设的互联网安全态势感知监测平台，监测到张家口市桥东区总工会（全市检测到众多单位16000条左右的攻陷记录）被远程控制木马攻陷，市网信办下通知要求被网络病毒攻陷的互联网单位立即进行网络安全整改。根据张家口市网信办网络安全整改要求，我方给予整改方案。

（一）整改方案

1、增加一台下一代防火墙（安全防护、入侵防护、病毒防护）功能全启用；

2、增加正版杀毒系统，安装杀毒服务器，用于奇安信天擎杀毒系统的平台安装，各终端电脑下载最新版本的杀毒软件安装运行，并逐台电脑进行病毒查杀；

3、针对网络链接及链路进行清理标注；

4、查验桥东区总工会所有终端运行的设备链接并清理原有多余设备盒多余的链路及错误的链接。

（二）原一楼大厅机柜链接情况

一楼机柜：联通宽带光纤专线（50兆）收发器---H3C路由器---华为24口交换机---天融信防火墙—24口接入交换机—-大厅无线WIFI（2台TP-Link家用路由器）---11楼交换机。

（三）木马攻陷原因

1、天融信防火墙超过三年没有进行系统升级，早已失去了防护能力且该防火墙属于老防火墙本身不具备病毒防护功能；

2、各终端电脑系统使用免费360杀毒服务，因为不是自动升级和病毒查杀，因此未起到病毒入侵防护作用，造成被远程木马控制多台电脑；

3、虽然下载安装了360免费杀毒系统，但没有定期升级最新版本且操作人员很少主动运行杀毒系统进行全盘病毒查杀；

4、网络系统运行期内没有进行过专业的网络安全运行监测与评估预警。

一、改造后网络拓扑图

二、设备及系统信息技术文档

1、天融信防火墙设置

用浏览器打开：

https：//172.16.27.1：8889

用户名：superman

密码：Talent@123

设备功能：该防火墙主要功能为用于互联网接入的路由和FTP服务器VPN接入（FTP服务器在市总工会用VPN的方式进行链接上传下载文件）。

2、奇安信防火墙网神防火墙

浏览器打开地址：https://172.16.XX.XX

用户名：admin

密码：Qianxin@2022

该设备功能：安全防护、入侵防护、病毒防护策略启动，针对入侵和病毒起到阻断作用。

3、奇安信杀毒系统

终端杀毒软件下载地址：

https://172.16.57.27:19345/about/download

点开不需要密码直接下载安装即可，运行系统后升级后进行全盘查杀。

天擎病毒防护终端管理平台（管理）：

地址https://172.16.XX.XX:28443

用户名：admin

密码：Admin@123

杀毒平台服务器Windows server操作系统开机

用户名：administrator

密码：Jckj5900800

三、网络连接设备情况说明

1、一楼机柜及其他设备

（1）天融信防火墙一台，用于互联网路由和VPN连接

（2）奇安信网神防火墙一台，用于网络安全防护、入侵防护、病毒防护等功能。

（3）机架式24口接入交换机一台，用于一楼大厅终端设备（电脑、触摸屏、无线路由器）连接，并通过光纤接到11楼机房交换机。

（4）接入说明：一楼大厅6台电脑（室外柜台4台、里间办公室2台）用无线路由器链接，2台TP-Link无线路由器链接到机柜交换机。

（5）LED屏：室外LED屏机柜旁边电脑驱动程序用U盘制作显示内容后插到室外LED屏的U口即可。室内彩色大屏，同台电脑控制直连大屏控制。

（6）监控说明：大厅8路，室外3路监控（同轴电缆链接）到机柜旁边桌面上硬盘录像机（当前录像机故障）。

（7）本次改造拆卸下多余的设备

H3C路由器一台，

华为S2700交换机一台，

放置于机柜顶部。

2、一楼办公桌面服务器配置

奇安信天擎杀毒系统配置了一台服务器，用于杀毒系统服务器平台安装及终端系统下载，设备配置及系统：

硬件：CPU:I5 8900、内存：16G、硬盘：ssd 120G,电源：300W

操作系统：Windows server 2016

3、11楼机柜设备

（1）一台机架式24口交换机链接一楼光纤后电口网线接入11楼各个房间的终端电脑。（为了改变原来一条网线串联多台电脑一条断开全部不可以使用，本次单独从11楼机柜布线4条到11楼的四个房间，实现每个房间独立网线链接）。

（2）11楼机柜另外单独一条光纤链接到后面会议室视频会议终端。

（3）说明：本次网络安全改造，除安装了防火墙设备及杀毒系统外，还进行了网线的整理和涉恶比接入清理，设备及线路全部有正规的标签标注，同时线路进行了规范绑定。

（4）宣传部在11楼机柜通过运营商（联通）单独光纤上互联网，没有和区总工会链接。

四、其他设备数据

1、一楼大厅无线WIFI（TP-Link）登陆管理IP:172.16.XX.XX

用户：admin

密码：admin

2、一楼图书室WIFI（TP-Link）登陆管理IP：192.168.1.XXX

用户：admin

密码：admin

3、视频会议（专用）

（1）视频会议终端（苏州科达）H850

IP:172.16.XX.XX

掩码：255.255.255.0

网关：172.16.XX.X

（2）市总工会

MCU：60.8.XX.XXX（视频会议多点控制设备）

市总工会视频终端：

IP:192.168.X.XX

网关:192.168.X.X

会控计算机IP：192.168.X.XXX

（3）小米视频会议

五、网神防火墙

网神 SecGate 3600 防火墙企业级产品白皮书

1.产品概述

网神SecGate 3600 防火墙（以下简称“防火墙”）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队、教育、大中小型企业及各分支机构的互联网出口打造的专业防火墙系统。

防火墙可灵活部署在政府、教育、军队、运营商、大中小型企业及其分支机构的网络边界，完整实现了状态检测包过滤防火墙、IPSec VPN、SSL VPN、URL过滤、绿色上网、流量控制、用户认证等综合安全功能。基于成熟可靠的多核处理器硬件平台，并可以扩展使用硬件加速，性能超强。

2.产品特点

领先的SecOS安全协议栈

完全自主知识产权的SecOS实现防火墙的控制层和数据转发层分离，全模块化设计，实现独立的安全协议栈，消除了因操作系统漏洞带来的安全性问题，以及操作系统升级、维护对防火墙功能的影响。同时也减少了因为硬件平台的更换带来的重复开发问题。由于采用先进的设计理念，使该SecOS具有更高的安全性、开放性、扩展性和可移植性。

高性能与高安全的多核架构：

多核硬件架构与新一代多核并行安全操作系统SecOS相配合，多个核并行处理，分担数据流量，极大的提升系统性能。多核并行操作系统可实现驾驭更多处理器核、减少串行比例、降低系统开销。保证同时开启防火墙、VPN、IPS、AV、P2P限制等功能系统依然运行平稳。

深度的网络行为关联分析

采用独立的安全协议栈，可以自由处理通过协议栈的网络数据。多核间相互分工协作，一部分核进行高速数据转发，并对常见HTTP/FTP/DNS/TELNET/POP3/SMTP等13种应用协议的预处理；另外一部分核实现快速重组数据包还原内容，进行深度安全检测。同时基于网络行为检测的多流关联分析技术，支持对网络数据的病毒过滤，并能对P2P和即时通讯软件进行控制、支持URL库、支持Web内容过滤，支持FTP内容过滤，为细粒度的网络安全管理提供了有利的技术保障。

灵活的网络拓扑适应性

适应于各种复杂网络拓扑，包括透明桥接、路由以及混合模式；支持VLAN和VLAN Trunk处理；同时满足支持多（≥16）路由负载均衡；支持动态路由协议RIP,OSPF等；支持组播路由；支持虚拟端口绑定和MPLS VPN无缝接入；支持IPSec VPN、SSL VPN、PPTP/L2TP、GRE等多种VPN；支持基于（ARP/PING/TCP/ HTTP）的链路探测；支持多（≥3）ADSL拨号及自动负载均衡；支持多纯透明子桥与接口联动，并支持端口聚合；支持基于路由的VPN隧道及双VPN隧道备份；支持多网络出口的链路聚合和策略路由；支持生成树和每VLAN生成树协议（STP/PVST+）和虚拟路由冗余协议（VRRP），提供全面可靠的二层链路备份和三层路由备份。

完备的系统监控：

系统集成强大的监控分析功能，能够根据需要对网络运行状态，系统运行状态，各个功能模块的运行状态，日志进行监控，查询，分析功能，更好的为用户展现网络的运行状态，设备的运行状态，让用户更直观、准确、及时的了解网络，了解系统。

支持与集中管理软件进行统一管理，可以针对各种日志进行查询、分析、统计、图标、报告等，并支持配置统一下发管理，拓扑管理等。

3.主要功能

网络适应能力	支持透明/桥接/路由/混合模式
	支持DNS中继，支持DNS中继自动寻找上级DNS服务器
	可适应多种网络拓扑结构和VLAN Trunk环境
	支持VLAN和MAC地址的绑定
	支持IP/MAC地址绑定和自动探测
	支持802.1Q VLAN，支持VLAN透传和VLAN终结
	支持多纯透明子桥和接口联动
	支持源地址NAT（多对一NAT）
	支持目的地址NAT（多对一NAT）
	支持目的端口转换
	支持静态NAT（一对一NAT）
	支持地址池NAT（多对多NAT）
	支持服务器负载分担（一对多NAT）
	支持基于目的地址的路由
	支持策略路由、支持基于源地址（端口）、目的地址（端口）、服务的策略路由
	支持动态路由RIPv1/v2和OSPF
	支持SIP/H.323/H.323网守/Ftp/SQL.Net等动态协议
	支持MMS/RTSP等多媒体协议
	支持路由备份功能，可以根据链路探测的结果进行链路自动切换
	支持≥16条链路的路由负载均衡，可以根据链路探测结果自动进行链路切换
	支持ARP、TCP、HTTP、PING方式的链路探测，实现1s内主备链路切换
	支持PPPOE协议，提供ADSL接入方式
	支持多条（≥3）ADSL拨号和自动负载均衡
	支持DHCP服务器/中继/客户端
VPN	支持标准IPSec VPN，能够与使用标准IPSec 的网关或客户端互联互通
	支持基于策略VPN部署
	支持基于路由VPN部署（适合应用多级VPN端到端互通）
	支持VPN隧道备份
	支持VPN的星型、网状等多种接入方式
	支持VPN的NAT穿越，支持DHCP over IPSec VPN，支持远端DPD探测
	支持VPN自动穿越，自动探测端口、建立VPN隧道
	支持遵守VPN客户端提案方式
	支持PPTP/L2TP，拨号VPN，支持PPTP的NAT穿越
	支持SSL VPN
	支持GRE隧道
防火墙功能	提供基于状态检测的智能包过滤
	可针对源区域、目的区域、协议类型、源地址、目的地址、服务、时间表、域名和VLAN、MAC等对象设定安全策略
	支持SIP/H.323/H.323网守/FTP/SQL.Net/MMS/RTSP/TFTP等动态协议
	支持设定网段内共享的或者任一地址的新建连接限制，支持设定网段内共享的或者任一地址的并发连接限制；提供连接限制的查询和统计功能
	提供与应用服务无关的用户认证
	提供QoS带宽管理，支持共享、独享、每IP方式带宽管理
	防MAC欺骗和IP盗用，支持IP/MAC地址绑定和自动探测
	支持各种DoS/DDoS攻击的防护，并且能有效识别最新变种攻击
用户认证	支持本地认证和第三方认证
	支持Web/Portal弹出页面（无客户端）认证
	支持基于客户端的用户认证
	支持LDAP认证
	支持RADIUS认证
	客户端支持时间、流量、服务应用的控制
高可用性能力	支持防火墙双机热备
	支持端口链路备份和负载均衡
	支持故障自启动功能
	支持配置、连接状态自动同步
	支持VRRP协议，实现主备、主主热备方式
	支持服务器负载均衡
管理功能	支持HTTPS、CONSOLE、SSH、TELNET等多种管理方式
	支持配置的部分导入导出功能
	支持远程管理功能
	支持集中管理功能
	支持策略统一下发功能
	支持管理员权限分级，支持用户自定义管理员权限表
日志与报表	支持本地日志存储，支持外部日志存储，如SYSLOG、SNMP V3等
	支持日志集中管理
	支持日志上传功能
	支持邮件报警功能
	支持当前配置的显示
系统监控功能	提供灵活的软件升级方式
	提供强大的日志管理和日志审计
	管理员身份认证支持电子钥匙认证或证书认证
	支持防火墙系统的实时监控
	支持实时连接状态监控
	支持实时路由表查看
	支持当前配置查看
	支持IP地址冲突检测
	支持桥转发表查看
	支持中文对象名
	支持管理员分级管理
	支持配置向导
	支持系统导入导出配置
	支持Web界面导出调试信息功能

注：由于版本不同，功能略有差异，以投标产品为准

4. 产品型号与指标

产品型号	G7-4246	G7-4226	G7-4106
产品性能
网络处理能力	2Gbps	2Gbps	2Gbps
最大并发连接数	220万	220万	180万
每秒新建连接数	40,000	40,000	38,000
MTBF（小时）	80,000	80,000	80,000
延时	25μs	25μs	25μs
可支持最大VPN隧道数（选配）	5000	5000	5000
接口说明
10/100/1000 Base-T	6	6	6
千兆SFP插槽	4	2	N/A
串行配置管理接口	1个	1个	1个
远程配置管理接口	1个	1个	1个
机箱电源
机箱	2U机箱	2U机箱	1U机箱
电源	单电源	单电源	单电源

产品型号	F6-3626
产品性能
网络处理能力	1.5Gbps
最大并发连接数	180万
每秒钟新建连接数	25,000
MTBF（小时）	80,000
延时	45μs
可支持最大VPN隧道数（选配）	3000
接口说明
10/100/1000 Base-T	6个
千兆SFP插槽	2个
串行配置管理接口	1个
远程配置管理接口	1个
机箱电源
机箱	1U机箱
电源	单电源

产品型号	F6-3618	F6-3616	F6-3614
产品性能
网络处理能力	1.5Gbps	1.2Gbps	1Gbps
最大并发连接数	180万	160万	160万
每秒钟新建连接数	25,000	25,000	25,000
MTBF（小时）	80,000	80,000	80,000
延时	45μs	45μs	45μs
可支持最大VPN隧道数（选配）	3000	3000	3000
接口说明
10/100/1000 Base-T	8个	6个	4个
串行配置管理接口	1个	1个	1个
远程配置管理接口	1个	1个	1个
机箱电源
机箱	1U机箱	1U机箱	1U机箱
电源	单电源	单电源	单电源

产品型号	F6-3226
产品性能
网络处理能力	1.2Gbps
最大并发连接数	160万
每秒钟新建连接数	20,000
MTBF（小时）	80,000
延时	45μs
可支持最大VPN隧道数（选配）	3000
接口说明
10/100/1000 Base-T	6个
千兆SFP插槽	2个
串行配置管理接口	1个
远程配置管理接口	1个
机箱电源
机箱	1U机箱
电源	单电源

产品型号	F6-3218	F6-3217	F6-3216	F6-3214
	产品性能
网络处理能力	1.2Gbps	1Gbps	800Mbps	600Mbps
最大并发连接数	160万	160万	140万	140万
每秒钟新建连接数	20,000	20,000	20,000	20,000
MTBF（小时）	80,000	80,000	80,000	80,000
延时	45μs	45μs	45μs	45μs
可支持最大VPN隧道数（选配）	3000	3000	3000	3000
	接口说明
10/100/1000 Base-T	8个	6个	6个	4个
百兆光纤接口	无	1个	无	无
串行配置管理接口	1个	1个	1个	1个
远程配置管理接口	1个	1个	1个	1个
	机箱电源
机箱	1U机箱	1U机箱	1U机箱	1U机箱
电源	单电源	单电源	单电源	单电源

产品型号	F3-2804
产品性能
网络处理能力	500Mbps
最大并发连接数	120万
每秒钟新建连接数	15,000
MTBF（小时）	70,000
延时	45μs
可支持最大VPN隧道数（选配）	200
接口说明
10/100/1000 Base-T	4个
串行配置管理接口	1个
远程配置管理接口	1个
机箱电源
机箱	1U机箱
电源	单电源

5. 产品形态

项目	型号	型号说明	选配说明
主机	G7-4246	硬件主平台（含6个10/100/1000MRJ45接口，4个千兆SFP插槽）	必备
	G7-4226	硬件主平台（含6个10/100/1000MRJ45接口，2个千兆SFP插槽）
	G7-4106	硬件主平台（含6个10100/1000MRJ45接口）
VPN扩展模块	IPSecVPN-5000	IPSEC VPN软件模块，支持5000条隧道	选配
	IPSecVPN-3000	IPSEC VPN软件模块，支持3000条隧道
	IPSecVPN-200	IPSEC VPN软件模块，支持200条隧道
SFP接口模块	GT-SFP-SX	千兆多模光口SFP模块，波长850nm，有效传输距离0.55km，LC接口。	选配
	GT-SFP-LX	千兆单模光口SFP模块，波长1310nm，有效传输距离10km，LC接口。
	GT-SFP-ZX	千兆长距单模光口SFP模块，波长1550nm，有效传输距离80km，LC接口。
	GT-SFP-T	千兆电口SFP模块，有效传输距离100m，RJ45接口
其他附件	电源线等若干		随主机包装