智慧教育-解决方案-上海纽盾科技股份有限公司-用纽盾，过等保

行业解决方案

技术解决方案

智慧城市

智慧政务

智慧医疗

智慧教育

智慧交通

智慧楼宇

智慧社区

政府

金融

教育

医疗

电力

企业

能源

运营商

深度应用识别

链路负载均衡

IPv6过渡技术

高可靠组网

攻击防护技术

智慧政务 +

智慧医疗 +

智慧教育 +

智慧交通 +

智慧楼宇 +

智慧社区 +

智慧政务 —

智慧医疗 —

智慧教育 —

智慧交通 —

智慧楼宇 —

智慧社区 —

智慧政务

智慧医疗

智慧教育

智慧交通

智慧楼宇

智慧社区

一、概念

智慧政务是云计算、SDN网络、物联网等技术，通过监测、整合、分析、智能响应，实现各职能部门的各种资源的高度整合，可提高政府的业务办理和管理效率；加强职能监管，提高政府透明度，使政府更加廉洁、勤政、务实；形成高效、敏捷、便民的新型政府，保证城市可持续发展，为企业和公众建立一个良好的城市生活环境。

二、方案简介

图1 智慧政务体系图

纽盾智慧政务服务中心综合解决方案，是在服务型政府建设的精神指导下，依托“以公众服务为中心”和“自助行政服务”的理念，将物联网、云计算、4G无线等技术应用到政府行政服务之中，提供更为广泛的服务渠道、更为统一的融合服务资源、更全面个性化的信息化资源、更加全程的政务监督管。

三、方案特点

图2 云平台逻辑架构图

1.云平台

采用云服务申请模式，各厅局委办向云服务提供商租用云资源，直接在云资源上部署政务业务应用。平台通过模块化分层设计，在保证高可靠、易扩展的同时，解决云计算中网络安全的虚拟化及自动化技术短板，实现基础设施服务资源的全自动化交付。

2.智能办公平台

采用人工智能、知识管理、移动互联网等手段，将传统办公自动化系统改造成为智能办公系统，具有行为记忆功能、自动提醒功能、移动办公功能、政府公开数据库等。

3.智能监管平台

实现对监管对象的自动感知、自动识别、自动跟踪；遇突发性事件自动报警、自动处置；移动执法系统根据执法人员需求自动调取有关材料，方便执法人员执行公务。

4.智能决策平台

采用数据仓库、数据挖掘、知识库系统等技术手段建立智能决策系统，开发用于辅助政府领导干部决策。该系统能够根据需要，把经济运行情况、社会管理情况以数据报表的形式清晰展现。

四、方案优势

1.提高行政效能，优化审批流程，缩短审批周期，提升审批效能，增强执行力和服务能力；

2. 积极推行信息公开，逐步提高工作透明度，完善监督考核机制，提升服务质量；

3. 实现电子化的公文交换，无纸化办公，减少纸张及打印、复印、传真等耗材的使用。

五、方案愿景

1.全程电子化办公，待办事件及时推送，通过APP及时发布/接收各类政务新闻；

2.各种审批流程实施一站式办理，企业所需各类政务信息及时推送；

3.一证通：各类政务系统通过统一平台识别居民个人信息。个人办事时，可以通过手机app渠道办理，办事流程、所需材料一目了然；

4.通过指纹识别、视网膜识别取代原始的身份证识别，手机通过扫描指纹、视网膜特征来实现身份认证。

分享到：

一、概念

智慧教育即教育信息化，是指在教育领域全面深入地运用现代信息技术来促进教育改革与发展的过程。其技术特点是数字化、网络化、智能化和多媒体化，基本特征是开放、共享、交互、协作。以教育信息化促进教育现代化，用信息技术改变传统教育模式。

二、方案简介

纽盾智慧教育解决方案旨在构建教育资源整合与服务云平台，实现网络化办公协同，构建数字化校园环境，提升管理水平和管理效率，在最大程度上便捷且低成本地提供优质的教育资源和创新的教育服务，提升教学质量和教育管理水平。纽盾着力于无线校园网、校园网运营、互联网出口、校园网运维等方面，聚焦于服务学校核心业务发展，为整个学校发展战略提供决策支撑。

图1 系统架构

图2 平台层次

三、方案特点

云平台

为了支撑智慧教育数据多、流量大的特性，该方案构建云服务支撑平台，为上层云应用提供弹性部署，同时具有用户身份管理认证、资源池管理、数据内容整合管理等运维支撑。

统一监控

纽盾智慧教育解决方案着重监控各子系统的监控情况，综合判断并迅速定位故障来源、定位故障责任人和处理人，严格把控用户身份管理，最大程度确保校园系统安全。

无线网络

纽盾在服务高校移动校园网建设中，产品和解决方案基于高校校园网的差异化场景，竭力打造无处不在的信号和极致的用户体验。

四、方案优势

多功能平台，支持大容量并发直播、点播，便于大规模普及；

移动终端随时随地参与互动；

支持断网保护技术；

严谨的身份认证，层层把控；

强大的云发布系统，及时存储共享。

五、方案愿景

加快学校管理信息化进程，促进学校管理标准化、规范化；

充分利用优质资源和先进技术，整合现有资源，构建先进、高效、实用的数字化教育基础设施，推进数字化校园建设；

加强优质教育资源开发与应用，加强网络教学资源体系建设，建立开放灵活的教育资源公共服务平台，促进优质教育资源普及共享；

鼓励学生利用信息手段，主动学习、自主学习增强运用信息技术分析解决问题能力。

分享到：

一、概念

智慧交通是在智能交通的基础上，融入物联网、云计算、大数据、移动互联等高新IT技术，通过高新技术汇集交通信息，提供实时交通数据下的交通信息服务。大量使用了数据模型、数据挖掘等数据处理技术，实现了智慧交通的系统性、实时性、信息交流的交互性以及服务的广泛性。

二、方案简介

纽盾智慧交通方案实际解决的问题包括：透过移动互联网查询实时交通信息、公交路线与实时动态，预估公交车的到站信息；透过移动互联网查询各大停车场的剩余车位，节省驾驶寻找车位时间，降低车辆失窃率；透过智能型交通号志控制，有效缓解路口车流；透过实时影像事件侦测，在隧道、高速公路行驶时，通过影像更好地对驾驶进行预判，一旦有异常状况，第一时间通知有关部门，大幅提高交通旅运安全，协助政府单位、运输业者、营运业者建立属于自己的跨平台、多网络、高可用性的智能交通云端架构。

三、方案特点

1.智慧交通系统整体架构

图1 智慧交通整体框架图

架构划分为三个层次：

①物联网感知层

通过各种M2M终端设备实现基础信息的采集，像神经末梢一样分布在交通的各个环节中，不断的收集视频、图片、数据等各类信息。

②物联网网络层

通过移动通信网络将感知层所采集的信息运输到数据中心，并在数据中心加工处理形成有价值的信息，以便作出更好的控制和服务。

③物联网应用层

将信息以多样的方式展现到使用者面前，供以决策、服务和业务开展。

2.智慧交通应用一体化解决方案

基于云计算框架，整合分散在不同部门或应用中的交通流量、交通事件、公共交通、道路收费等相关数据，便于用户全面掌握城市交通运输态势和趋势。通过数据全面整合和深入分析，提高人、车、路的协调配合能力，缓解交通阻塞，减少事故，提高路网通过能力，使高速公路管理更加科学高效。同时利用信息手段，提高应急救援管理的系统性和科学性。

3.智能公交动态监控管理解决方案

建立实时公交线路监控和调度管理系统，具有高效，可配置，易扩展的特性，为不同的数据源提供统一的接入方式，保障不同资源之间的双向交互和实时更新，同时支持多种 GIS 引擎和预定义应急事件流程配置及管理。

四、方案优势

1.动态化：节点和系统能够即时采集并传输交通信号，动态地反映和判别交通系统的运行状况，支持动态实时的交通管理；

2.全局化：低成本使得传感器节点的大规模部署经济可行，在同一体系架构下，既避免了智能交通系统建设的重复投资，又保证了交通信息的全面掌握；

3.自动化：多种类异构节点的叠加部署实现了信息采集手段的多样性，结合协同处理和模式识别，保证智能交通系统判知和决策的准确性和自动化，减少人工干预工作量和交通管理资源投入；

4.智能化：基于物联网技术的智能交通系统具有可感知、可判断、可控制、可管理，以及自动、动态、全局的基本智能特征。

五、方案愿景

1.及时获知哪里发生了交通事故、哪里交通拥挤、哪条路最为畅通，并以最快的速度提供给驾驶员和交通管理人员；

2.实现驾驶员与调度管理中心之间的双向通信，提升商业车辆、公共汽车和出租车的运营效率；

3.利用实时数据辅助驾驶员驾驶汽车，或替代驾驶员自动驾驶汽车；

4.打造公共出行新体验。

分享到：

一、概念

智慧楼宇采用无线通信、互联网等技术，将楼宇信息管理、楼宇经济分析等楼宇管理和楼宇服务实现数字网络化，将每栋楼宇作为一个信息的节点，从而推动整个社区、园区到城市的智能化成为整个社会发展目标。

二、方案简介

纽盾基于一体化监控智慧平台，为打造集成、绿色、智能的智慧楼宇建筑提出规划及建议。基于平台实现信息平台融合的智慧建筑解决方案，通过建筑物自动化、安全保卫自动化、消防自动化、通信自动化、办公自动化五大系统间的数据共享、数据分析与处理，以及系统联动和调度操作，体现建筑的智能化水平，提高节能减排效果，提升管理效能。

图1 楼宇基础设施

三、方案特点

1.楼宇自动化监控

汇集楼宇各种设备的运行和检测参数，通过监视空调箱、送排风、热回收型新风机组、冷热源供水循环支管、太阳能热水预热系统、公共照明、供配电、UPS系统、电梯系统、集水系统和生活给水系统等的运行状态，对各类数据进行统计数据交互和监控。

2.安防自动化监控

提供对门禁系统、视频监控系统、防盗报警系统、停车场管理、巡更管理系统等安防自动化系统的监控和管理。利用门禁通信下位机所采集到的各个门禁设备的状态及报警信息，实时地使用图形描述方式，说明各个门禁设备的状态及报警信息，并且在楼层概图上的对应位置用醒目的符号标明门禁控制器的当前状态。

3.消防自动化监控

通过集成平台与消防系统建立发现火灾报警的快速通路，当报警发生时，提供显示和定位功能，并通过集成平台进行消防确认，在消防系统自身进行联动的同时，通过集成平台的综合联动功能，通知各个相关部门和人员，快速进行抢救、人员撤离等预案。

4.通信自动化相关

提供与广播系统、电子公告系统的联动管理。广播系统是为楼宇自控系统和防盗及周边系统服务的辅助系统，当监控单位出现报警时，广播语音警告声音。电子公告系统通过局域网连接到大屏幕显示。

5.办公自动化相关

提供物业管理系统，主要包括资产管理、资源管理、业务管理、客户资料管理、租赁运营管理等。另外还实现对子对象、子区域的能耗采集分析，实现对于楼宇总体能耗的统计分析，并提供相关的能耗预测分析，结合相关绩效指标设定，实现楼宇建筑的节能环保。

6.一体化监控管理

提供智能联动、报警管理、报表系统和授权管理等一体化监控管理功能。任何系统发生报警信号时，根据预先设定好的预案，调用指定的系统进行联动，及时高效地应对突发事件。

四、方案优势

1. 一体化监控，保障各方安全，预警机制提高应急响应能力；

2. 达到高效、节能、经济、协调的运行状态，创造一个舒适、温馨、安全的工作环境；

3.实时采集并查看楼宇环境信息，提供能耗分析，人性化节能减排，创造绿色环境。

五、方案愿景

1.提高楼宇档次；

2. 通过各种个性化的设置，尽享尊贵、时尚的现代化；

3. 全方位的智能化楼宇引入，将企业引入一个时代前沿的、全新的高科技体验。

分享到：

一、概念

智慧社区是智慧城市概念下的社区管理新理念，是新形势下社会管理创新的一种新模式。智慧社区充分借助互联网、物联网等新一代信息技术，涉及智能楼宇、智能家居、路网监控、城市生命线管理与数字生活等诸多领域，是基于海量信息和智能过滤处理的、面向未来构建的新型社区形态。

二、方案简介

纽盾以社区群众的幸福感为出发点，通过打造智慧社区，为社区百姓提供便利，加快和谐社区建设，推动区域社会进步。

随着国家智慧城市和智慧社区建设工作的日益深入，在搭建云计算基础平台的同时，需要开发基于云计算的智慧社区综合管理系统, 该系统以云计算平台为枢纽, 通过智慧社区融合服务平台将社区运营管理系统、智慧养老服务、社区安防系统、社区节能监控系统、智能家居系统、社区物业服务系统等社区子系统有机结合起来, 向社区居民提供全面、便捷、开放的服务项目。

图1 智慧社区综合管理系统

三、方案特点

纽盾智慧社区建设理念为“近期政府引导投入，远期市场自营运作”。根据智慧城市发展研究中心的智慧社区建设规划成果，依托一个融合服务平台、智慧应用体系、信息基础体系和运营保障体系。

智慧社区应用体系主要包括社区政务管理应用群和社区公众服务应用群。

图2 智慧社区应用体系

社区公众服务应用群包括养老服务、便民服务、小区管理、智慧家庭等几方面：

1.养老服务：纽盾利用物联网技术，通过各类传感器，构建一键式养老服务热线，一键式紧急救助呼叫，在危急时刻自动报警呼叫，使老人的日常生活处于远程监控状态，使子女可以放心工作，政府能够方便管理。

2.便民服务：包括社区商圈服务、社区邻里互助、社区便捷出行、社区家政、社区金融服务等，形成同一平台实现人员调度管控。

3.小区管理：主要指小区智能化的系统集成，例如：停车场管理、闭路监控管理、门禁系统、智能消费、电梯管理、保安巡逻、远程抄表等相关社区物业的智能化管理，使用云平台实现社区各独立应用子系统的融合，进行集中运营管理。

4.智慧家庭：以住宅为平台，兼备建筑、网络通信、信息家电、设备自动化，集系统、结构、服务、管理为一体的高效、舒适、安全、便利、环保的居住环境。除实现传统意义上的窗帘、灯光、电器控制、远程控制等功能外，还能无缝接入物业系统，提供更多便捷的高端服务。

五、方案优势

1. 最大程度确保平台各环节安全稳定；

2.采用统一的平台，相比传统社区模式总体投资小、售后服务成本低、升级容易、管理简单；

3.以智慧社区建设为契机，建立信息的开放和共享机制，让民生信息发挥更大的价值。

六、方案愿景

1.帮助社区管理者提升社区管理的品质效益，成功打造社区品牌；

2.带动周边教育、金融、医疗、商业等产业的发展，推动社区的发展。

分享到：

一、概念

智慧医疗是智慧城市的一个重要组成部分，是综合应用医疗物联网、数据融合传输交换、云计算、区域网等技术，通过信息技术将医疗基础设施与IT基础设施进行融合，以“医疗云数据中心”为核心，跨越原有医疗系统的时空限制，并在此基础上进行智能决策，实现医疗服务最优化的医疗体系。

二、方案简介

医务人员可随时随地掌握每个病人的病案信息和最新诊疗报告，快速制定诊疗方案；在医院任何一个地方，医护人员都可以登录距自己最近的系统查询医学影像资料和医嘱；患者的转诊信息及病历可以在任意一家医院通过医疗联网方式调阅等，正随着医疗信息化的快速发展日渐普及，智慧的医疗正日渐走入人们的生活。

图1 智慧医疗逻辑架构图

图2 智慧医疗拓扑图

纽盾提供医疗云数据中心、医疗区域网、医疗服务系统平台等全方位智慧医疗基础架构解决方案。简化就医流程、降低医疗费用的同时，不仅减少医生劳动时间，还能提高患者管理质量、提高诊治水平；此外，医院也能更直接的了解患者需求、为患者服务，提高服务满意度，构建和谐医患关系。

三、方案特点

医疗云数据中心：包含数据中心安全、数据中心管理等解决方案。重点在于身份认证与平台稳定性，实现安全、快速、随时随地的交互服务。

医疗区域网：包括医疗区域基础网络、无线医疗、一体化网关等解决方案，是医疗信息、医疗服务、医疗资源延伸至城市各个角落的主要传输网络，是医疗数据收集、下发的主要实现系统，是实现卫生局与医院之间、医院与医院之间、医院与群众之间数据交换、信息共享的主要IT基础设施和承载平台。

医疗服务系统平台：包括面向患者、公众以及自身办公开展的业务，和后端管理业务。

图3 医疗服务系统平台业务图

四、方案优势

1. 患者角度出发

智慧医疗的核心就是“以患者为中心”，给予患者以全面、专业、个性化的医疗体验，在患者授权许可范围内，对患者的药品使用情况进行访问。同时，智慧医疗通过联网可开展远程会诊、自动查阅相关资料和借鉴先进治疗经验，辅助医生给患者提供安全可靠的治疗方案。

2.医护人员角度出发

系统平台实现医护工作“无纸化、智能化、高效化”，不仅减轻了医护人员的工作强度，而且提升诊疗速度，减少差错与事故，使整个治疗过程安全可靠。

3. 医疗机构的角度出发

整合的智慧医疗体系除去了医疗服务当中各种重复环节，降低了医院运营成本的同时，提高了运营效率和监管效率。通过该平台，医院可对医生用药及检查检验情况、医保基金使用等业务运作的每一项数据做到实时监控，从入库、药品库存量、期限等全程跟踪，使限制大处方、滥检查的实时监控成为现实。

五、方案愿景

1.现有的医疗监护设备无线化，大大降低公众医疗负担；

2.实现远程医疗和自助医疗，缓解医疗资源紧缺的压力；

3.信息在医疗卫生领域各参与主体间共享互通；

4.加强我国医疗服务的现代化建设，提升医疗服务水平。

分享到：

某市政府NDM网络异常检测管理系统项目

实施时间：2011年8月

实施产品：NDM产品(纽盾网络异常检测系统）

网络结构图：

案例描述

某市政府有内网和外网2套网络，该项目采购的NDM是用于外网，由2台核心交换机VRRP架构，在线用户约有1500多人。因政府行业的特殊性，无论内网与外网，均亦成为黑客、蠕虫、病毒等选择的高价值目标。虽然网络中亦部署有防火墙、IPS入侵检测、防毒墙等安全设备，但其内部网络却是安全监管的空白区域。因此，NDM成为其IT管理部门动态监视与管理内部网络安全的重要设备。

NDM部署后，IT管理部门即时监控内网通信封包状况，图表化直观显示PC的通讯流量，使IT管理人员对IP用户的通信状况一目了然，并长期记录每个用户的通讯流量，审计其网络行为。成为内网监控、用户通讯审计的重要工具。

分享到：

某金融公司组网项目

实施时间：2013年8月

实施产品：1.NDF产品(纽盾多功能IDP/VPN下一代应用防火墙)

2.NAF产品（七层上网行为管理器）

网络结构图：

案例描述

某金融公司，深受黑客、病毒、商业间谍等各种恶意威胁的侵扰，绐公司工作带来了很大的困扰。其次外出人员很难连接或者连接不到企业内部网络，额外增加了外出人员的工作量与工作压力。公司还要提供各分公司等分支机构、及供应商等合作伙伴，连线内部网络的权限，如何保证连线安全？这些因素都困扰着公司的未来发展。

使用NEWDON纽盾科技的NDF系列下一代应用防火墙，作为网络出口的安全堡垒，有效得阻挡各种入侵威胁，防御企业内部网络免受黑客攻击与破坏，保护企业信息网络的有序运转。使用NEWDON纽盾科技的NAF上网行为管理器，不仅可规范员工的上网秩序，更可如实记录员工的上网行为。

部署后，建立了安全、稳定的网络运行环境，为公司供绐了高效快速的网络服务。通过行为管理器强有力的监控，使员工效率明显提高。而且整合防火墙、VPN网关、病毒过滤等多种功能的防火墙让MIS人员更容易部署且毋须增加额外的硬件，造成重复及多余的投资，并让网络更容易管理。

分享到：

上海某知名学府网络安全管理项目

实施时间：2011年5月

实施产品：1.NDM产品(纽盾网络异常检测系统）

2.NDC产品（纽盾网络异常检测系统集中管控平台）

网络结构图：

案例描述

某理工学院是教育部直属的211高校，全校在校学生3万余人。因为学生的好奇心及对网络的探索欲望，使宿舍网络成为安全和管理的重灾区，部分学生使用黑客软件不断尝试攻击、破坏和窃取其他用户，造成宿舍网络经常断网，学生用户怨声载道，而管理员四处奔波忙于应对却无济于事，以至于有管理员24小时值守学生宿舍楼机房的事情发生。

NDM-纽盾网络异常检测系统部署方案如下，学校每个宿舍楼的分机房各部署NDM-纽盾网络异常检测系统，另外再部署于学校中心机房一台NDC-纽盾网络异常检测系统集中管控平台，集中监控多台NDM ，管理侦测到的各种事件，并对异常用户进行封锁、解锁与记录，使管理员仅需在中心机房即可远端监管到学生宿舍网络。

方案实施后，部分恶意或恶作剧进行IPscan地址扫描、ARP洪水攻击、ARP欺骗攻击的学生用户，即时被隔离断网；网管中心通过事件报告，对主动认错的学生进行惩戒并解锁，并通报绐其所在院系辅导员；而故不承认错误的学生则永久封锁，禁止其接入学校网络中。

分享到：

某肿瘤医院NDM网络异常检测系统项目

实施时间：2011年5月

实施产品：NDM产品(纽盾网络异常检测系统）

网络结构图：

案例描述

某肿瘤医院是省内外知名的三甲医院，全院在线用户约有1000余人，网络依部门划分VLAN。即使如此，经常有ARP病毒造成部分网络缓慢或瘫痪；在故障排除上，需要花费大量的人力与时间，且效果不佳。设备旁接侧挂于核心交换机上，NDM监听二层的ARP异常封包，以及收集网络L3/L4流量，并对用户流量整理、分析与排名，使管理员第一时间内了解网络发生状况；并用于集中管理网络事件，并对网络事件进行跟踪汇总。

产品部署后，基本满足了用户的需求，多次成功监测并隔离到了ARP中毒电脑，使网络得以稳定运转。

分享到：

云南电网公司数据库审计案例分享

背景与痛点

云南电网公司核心数据库面临“越权使用、权限滥用、权限盗用”等安全威胁，以及为了满足各类法规对数据库审计的要求，合乎法规的审计报表制作，往往花费相当多的时间完成报表制作，而且错误百出，因此部署数据库审计系统帮助某电网公司解决这些问题：

解决方案

使用NDA(Newdon dbAudit)数据库审计软件，通过网络旁路镜像模式部署，在不影响数据库性能和网络架构情况下实

现关键表、关键字段的敏感信息的审计监控，依据选用合适的审计报表，完整记录人、事、时、地、物存取痕迹记录。

带来效益

- 轻易识别越权使用、权限滥用，管理数据库帐号权限

- 跟踪敏感数据访问行为，及时发现敏感数据泄漏

- 检测数据库配置弱点、发现SQL注入等漏洞、并提供准确的解决建议

- 满足法律、法规要求，全自动产生符合法令规范报的审计报表

- 低成本且有效推行IT管理制度

- 轻易追踪终端用户真实身份：通过专利的Web Matching专利技术，在 Web-N-Tier 架构下辨识

真实的使用者身份。以完善人、事、时、地、物五大面向的审计工作

- 追踪特权使用者身份：当用户隐藏身份时，dbAudit 执行记录可轻易分辨真实原始用户。

- 辨别程序执行者：dbAudit 可辨别与记录自动程序(cron job)或是人为执行。

- 可严格监控与审计数据库管理员直接登录数据库服务器进行数据库运维等工作。避免弊端发生。

- 协助客户发现运行时间较长的SQL语句，然后根据情况进行语句性能优化。

某省电力研究院IP/MAC管理项目

实施产品：NDM产品(纽盾网络异常检测系统)

网络结构图：

案例描述

某省电力研究院有1100多网络用户，核心为2台北电8610交换机VRRP架构，各部门电脑采用IP动态分配和固定IP/MAC的混合管理方式，因为网络规模庞大用户众多，亦无入网认证机制，经常有员工私自携带笔记本电脑连线到公司网络中，带来诸多安全隐患和风险如蠕虫木马、ARP病毒等，也绐 IT管理员的管理工作带来极大麻烦。

NDM部署时，旁接在核心交换机旁，以Trunk方式监听各部门VLAN用户IP/MAC地址，自动收集授权工作电脑的MAC地址；凡未授权私自连接到网络中的电脑，均被自动封锁与隔离；有中ARP病毒的电脑会被及时隔离与封锁。

顼目实施三年来客户对NDM产品的功能称赞不绝，并且因为网络规模扩大，而预计会追加用户管理数里授权。

分享到：

某化妆品集团网络安全加固项目

实施时间：2011年8月

实施产品：NDM产品(纽盾网络异常检测系统)

网络结构图：

案例描述

某化妆品是全球知名品牌，在中国有总部办公大楼和多间工厂；工厂与总部大楼之间通过专线物理连接，网络总用户约有1000多人，IT管理部门已对用户开启802.1X认证，用户必须经过认证后才获取IP地址。因为公司业务软件外包绐软件公司，由软件公司开发团队常驻该集团。为了防止外来程序员破坏公司网络秩序，需要对开发团队进行行为稽核，并且可以动态监控内网通讯状态。

部署方案总计3台设备NDM-纽盾网络异常检测器，总部和下属2个工厂各部署1台。部署之后，有效的记录了所有IP用户的通讯记录，作为事件稽核查询的依据与凭证；并动态监视研发团队的网络扫描、流量排行等情况，使网管员及时掌握网络动态，了解网络事件，并可自动追踪并远端封锁异常行为的用户。

分享到：

某中石化分公司网络威胁管理项目

实施时间：2011年7月

实施产品：NDM产品(纽盾网络异常检测系统)

网络结构图：

案例描述

中石化某分公司网络规模较大，除市公司、营业处等分支子网外，还有1处炼油厂网络亦接入到该骨干网络中，约有1万多用户通过核心机房路由至省公司专网或Internet出口。实施计划是在汇聚节点三层交换机上部署NDM ，监听下属各VLAN的二层广播或组播封包，在部门汇聚交换机和核心交换机S8512上部署多台NDM设备，以Sflow或Port Mirror方式收集各汇聚节点的流量信息，并在核心机房部署NDM ，实现对全网设备的集中管控、监视与联动。

分享到：

某市电信公司大客户流量检测管理项目

实施时间：2012年6月

实施产品：NDM(纽盾网络异常检测系统）

网络结构图：

案例描述

某市电信公司运维部门，需要对大客户的网络流量进行即时监控与分析，寻找并测试过多种网络产品，但对测试效果均不满意。后对纽盾的网络异常检测系统产品测试后，认为可以满足其期望需求。

纽盾的网络异常检测系统产品部署在企业客户的接入节点层，Netflow收集网络流量，形成图状报表，并可依据企业、协议、通讯方向等条件，对其网络流量进行比对分析。

分享到：

深度应用识别

随着网络的发展，网络应用不断丰富，大量应用建立在HTTP等基础协议基之上，或者端口号随机产生，或者采用诸如SSL的加密方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用，数据包不等于行为。传统包过滤、状态监测防火墙无法彻底识别网络应用，纽盾深度识别防火墙可以进行深度使用识别防护，解决上述问题。

防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面允许内部网络用户对因特网进行访问。回顾发展历程, 目前防火墙经历了包过滤防火墙和状态检测防火墙两个发展阶段。包过滤防火墙实现了对IP数据包的过滤。由于防火墙只是工作在网络层和传输层，因此对数据所携带的内容没有任何检查，无法检测来自应用层的攻击行为，无法避免伪造数据包的恶意攻击。随后出现的状态检测防火墙实现了对数据包连接状态的监控。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。状态检测防火墙通过检查报文的协议类型和端口号等信息，来监控基于连接的应用层协议。因此只能识别粗粒度的来自应用层的攻击行为，另外也无法针对数据内容做检查。

综上所述，原有防火墙可实现包过滤，状态检测和粗粒度的应用防护。然而随着网络的发展，网络应用不断丰富。大量应用会建立在HTTP等基础协议之上，或者端口号随机产生，或者采用诸如SSL的加密方式来隐藏内容。此时IP地址不等于用户,协议端口号不等于应用，数据包不等于行为。防火墙应有足够的性能和扩展性来应对这种变化，纽盾深度识别防火墙集先进的软硬件技术于一身，完全能够应对我们当前所面临的问题。

深度应用安全

可对P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用进行控制。识别的应用多达几百种，而且跟随着应用的发展每天都在增加。应用特征库可独立升级，不影响系统的稳定性。

采用交叉检测(Cross Inspection)技术不仅对协议进行深度的分析，交叉检测技术通过综合分析用户（User）状态，应用（Application）状态和行为（Behavior）状态，来确认协议的真正含义，实现更精准和更快速的定位。

可对敏感文件类型、关键字、URL链接地址、JAVA和Active X插件进行限制。

安全可视化

基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中，通过用户的名称审阅相关记录使查找更简单。

基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。

SOA（Service-Oriented Architecture，面向服务架构）是一个面向服务的架构模型，它将应用程序的不同功能单元——服务（service），通过服务间定义良好的接口和契约（contract）联系起来。接口采用中立的方式定义，独立于具体实现服务的硬件平台、操作系统和编程语言，使得构建在这样的系统中的服务可以使用统一和标准的方式进行通信。SOA与大多数通用的客户端/服务器模型的不同之处，在于它着重强调软件组件的松散耦合，并使用独立的标准接口。

分享到：

链路负载均衡

由于跨不同运营商链路访问时，存在很多的问题，如延时大、丢包率高而导致客户体验不好。因此越来越多的企业，通过链路负载均衡技术来改善用户的访问体验，提高网络带宽资源利用率。

负载均衡技术主要分为出站负载均衡和入站负载均衡技术。

1. 纽盾链路负载均衡技术

1.1 传统出站链路负载均衡技术
● 等价多径路由：内网访问外网情况下，当路由表中存在多条到达同一目的IP或网段的路由，且路由管理距离相同时，系统可基于五元组、源IP地址或源IP地址+目的IP地址进行选路。
● ISP路由：系统预置ISP网段地址信息，内网访问外网时，系统跟据目的地址的 ISP 归属确定下一跳。

使用传统的链路负载均衡技术需要静态配置选路原则以及提前预置ISP路由表，且ISP路由表需要定期更新，增加了管理难度；同时传统链路负载均衡技术虽能达到负载分担的效果，但用户体验差，网络利用率提升效果不明显。针对该问题，纽盾推出智能链路负载均衡技术（出站动态探测、入站SmartDNS），在弥补传统链路负载均衡技术不足的同时，进一步提高了链路的利用率，提升了用户的访问体验。

1.2 智能链路负载均衡技术 — 出站动态探测
内网和外网之间存在多条链路时，通过纽盾安全网关的出站动态探测功能，内网访问的流量可以在多条链路上实现智能分担。

当内网用户向外网目标地址首次发起访问时，系统对只匹配到缺省路由的流量在符合条件的各条链路上进行探测，对响应相对快速的接口生成静态路由，后续报文将直接按照路由转发不再探测；如果生成的静态路由在一定时间内不被命中，则自动老化。

1.3 智能链路负载均衡技术 — 入站SmartDNS 　　
内网和外网之间存在多条链路时，通过纽盾安全网关的入站SmartDNS功能，外网访问的流量可以在多条链路上实现智能分担。

2. 典型应用　

2.1 企业内网Web服务区应用（入站SmartDNS） 　
国内ISP数量众多且互相访问时速度差异很大，企业为提高访问效率，通常会租用多条ISP链路。然而，当远程办公人员通过多条链路访问企业内网资源时，由于访问地点的差异性，尽管有多条链路提供服务，依然存在流量负载分担不均、链路资源利用率低下的问题。将纽盾安全网关部署在企业网络出口，可通过入站负载均衡技术将流量合理分配到各条链路，从而极大提升链路利用效率和外网用户访问企业内网Web应用服务的体验。

分享到：

IPv6过渡技术

随着互联网的迅速发展，IP地址的需求爆发式增长， IPv4面临着的地址匮乏的问题。应对IPv4地址短缺，IPv6是解决问题的根本手段。但如何在IPv4地址枯竭前完成从IPv4向IPv6的平滑演进, 是很多企业和运营商十分关心的问题。Hillstone的IPv6解决方案以IPv4/IPv6双栈、NAT转换技术、隧道技术为主，为用户提供了一整套同时承载IPv4、IPv6业务，并逐渐从IPv4到IPv6演进的解决方案。

IPv4/IPv6双栈

IPv4向IPv6过渡过程中，企业或运营商内部可能遇到IPv4网络和IPv6网络互访的场景。Hillstone支持NAT64/NAT46技术，提供相邻的两个IPv4和IPv6网络流量相互访问的解决方案。

NAT64/DNS64

IPv4向IPv6过渡过程中，企业或运营商用户可能遇到纯IPv6客户端访问互联网纯IPv4服务的场景。Hillstone支持NAT64/DNS64技术，提供IPv6客户端访问IPv4服务的解决方案。

IPv6 in IPv4隧道

IPv4向IPv6过渡过程中，企业或运营商可能会遇到纯IPv6分支局域网通过IPv4广域网互联的问题。Hillstone支持IPv6 in IPv4隧道技术，将IPv6流量封装在IPv4隧道内，提供各纯IPv6分支局域网之间通过IPv4广域网互联的解决方案。

IPv4 in IPv6隧道（DS-Lite）

IPv4向IPv6过渡过程中，企业或运营商可能会遇到纯IPv4分支局域网通过IPv6广域网互联的问题。Hillstone支持IPv4 in IPv6隧道技术（DS-Lite），将IPv4流量封装在IPv6隧道内，提供各纯IPv4分支局域网之间通过IPv6广域网互联的解决方案。

分享到：

高可靠组网

为了解决单台设备部署时的单点故障，纽盾推出了系列高可靠性组网解决方案，主要包括AP模式和AA模式。设备AP模式工作时，一台设备工作在主，一台设备工作在备，其可以适应任何网络拓扑。设备AA模式部署时，两台设备均处于Active状态。一般来说，AA方案对客户周边网络的依赖性比较高。

单机部署存在单点故障风险　　

单台设备部署时，无论其可靠性多高，系统都必然要承受因单点故障而导致网络业务中断的风险。而且防火墙部署在互联网出口一般主要使用网络地址转换（NAT）功能，因此无法使用Bypass来解决单点故障问题。

高可靠组网工作模式　　

AP模式 　　
两台设备（工作在透明模式或者路由模式）配置成一个"HA组"，一台作为主设备，另一台作为备份设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现设备或链路故障时，备份设备接替主设备工作，转发报文。这种主备模式具有较强冗余性，而且其网络结构简单，便于维护管理。

AA模式 　　
两台设备（工作在透明模式或者路由模式）配置成两个"HA组"，一台在HA组0中作为主设备，在HA组1中作为备份设备；另一台在HA组0中作为备份设备，在HA组1中作为主设备。两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生设备或链路故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证工作不间断。这种双主模式具有高性能以及负载均衡的优点。

典型应用场景　　

企业互联网出口 　　
防火墙通常作为网关部署在企业的互联网出口，网络地址转换（NAT）是必须的功能。一般来说企业网络内网用户和服务数量不多，为便于维护，内网用户和服务都希望配置相同的网关地址，因此建议选择两台防火墙AP模式部署。

运营商IDC网络出口 　　
防火墙通常不作为网关部署在运营商IDC的网络出口，也不需要做网络地址转换。由于运营商IDC具有业务多、数据流量大的特点，一般网关交换机都选择负载分担模式，同时也选择两台防火墙AA模式部署。内网服务是否需要划分多部分，分别配置不同的网关地址，由交换机网关的负载分担机制来决定。跟企业数据中心不同的是，运营商IDC组网中还需考虑内部业务间互访控制的问题，因此纽盾给出如下两台防火墙旁挂在IDC核心交换机上的解决方案。

分享到：

攻击防护技术

1. 概述

1.1 背景介绍
随着Internet的迅速扩张和电子商务的兴起，越来越多的企业以及政府部门依靠网络传递信息，然而网络的开放性和共享性使得各种网络攻击防不胜防，尤其是拒绝服务攻击直接破坏网络服务的可用性导致网络服务异常甚至中断。因此，作为网络安全设备的安全网关必须具备攻击防护功能，用以检测各种类型的网络攻击，并采取相应的措施来保护内部网络免受恶意攻击，保证内部网络及系统正常运行。

1.2 技术特色
纽盾安全网关的攻击防护功能采用最优化的攻击识别算法，在最大化降低攻击防护功能对安全网关性能影响的同时提高了攻击识别的准确性。纽盾安全网关的攻击防护功能具有高可扩展性，能够快速应对各种新攻击。在用户交互层面，系统把抽象的攻击防护技术通过直观易懂的语言呈现在页面上，方便用户理解与使用。

纽盾安全网关能够检测的攻击类型主要包括各种Flood攻击、扫描欺骗攻击、协议异常攻击以及其他拒绝服务攻击。

2. 攻击防护实现的技术特点

2.1 攻击防护功能覆盖范围广泛
纽盾安全网关包含针对当前常见主流网络攻击行为的防护功能：
● 各种Flood攻击：SYN Flood攻击、ICMP Flood、UDP Flood、DNS Query Flood
● 各种扫描或欺骗攻击：IP地址欺骗、ARP欺骗、IP地址扫描、端口扫描等
● 畸形报文攻击：Ping of Death、Teardrop、IP分片、IP选项、TCP选项、Land、ICMP大包、攻击
● 反射式攻击：Smurf、Fraggle

2.2 基于域的攻击防护
纽盾安全网关的攻击防护攻击是基于域实现的，即在设备在每个安全域上提供所有攻击防护功能，用户可根据组网在不同安全域上有针对性的开启攻击防护功能，配置简单、灵活、有效。

2.3 可视化的攻击监控
● 提供TOP10攻击的实时监控趋势图和统计信息
● 提供TOP10攻击的指定时间段的监控趋势图和统计信息
● 提供基于攻击名、攻击源以及攻击目的的详细攻击统计信息

2.4 丰富统一的审计日志
纽盾安全网关提供丰富详细的攻击防护日志信息，用户可通过设备管理界面、邮件、日志服务器以及短信等多种方式查看相关日志信息。

分享到：

前往突唯阿tuweia.cn，免费创建你的响应式网站