某電業(yè)局安全存儲(chǔ)網(wǎng)絡(luò)建設(shè)技術(shù)建議書

1、*電業(yè)局電業(yè)局安全存儲(chǔ)網(wǎng)絡(luò)建設(shè)技術(shù)建議書安全存儲(chǔ)網(wǎng)絡(luò)建設(shè)技術(shù)建議書二零零九年十月二零零九年十月目目 錄錄安全存儲(chǔ)網(wǎng)絡(luò)建設(shè)技術(shù)建議書安全存儲(chǔ)網(wǎng)絡(luò)建設(shè)技術(shù)建議書 .1 11 1概述概述 .3 31.11.1項(xiàng)目建設(shè)背景需求項(xiàng)目建設(shè)背景需求 .3 .1網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)現(xiàn)狀.31.21.2網(wǎng)絡(luò)建設(shè)目標(biāo)網(wǎng)絡(luò)建設(shè)目標(biāo) .3 31.31.3網(wǎng)絡(luò)建設(shè)原則網(wǎng)絡(luò)建設(shè)原則 .3 32 2整體方案設(shè)計(jì)整體方案設(shè)計(jì) .4 42.12.1組網(wǎng)方案組網(wǎng)方案 .4 42.22.2方案建議及設(shè)備選型依據(jù)方案建議及設(shè)備選型依據(jù) .4 43 3網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)解決方案 .5 53.13.1ipip 地址規(guī)劃地址規(guī)劃

2、.5 53.23.2vlanvlan 規(guī)劃規(guī)劃.6 63.33.3路由規(guī)劃路由規(guī)劃 .6 63.43.4qosqos 設(shè)計(jì)設(shè)計(jì) .6 63.53.5設(shè)備介紹設(shè)備介紹 .8 .1s9300s9300 系系列列交換機(jī)系統(tǒng)特性交換機(jī)系統(tǒng)特性..2oceanspaceoceanspace s2000s2000 系列存儲(chǔ)系統(tǒng)系列存儲(chǔ)系統(tǒng).164 4安全解決方案安全解決方案 .20204.14.1安全體系層次設(shè)計(jì)安全體系層次設(shè)計(jì) .20.1層次一：物理環(huán)境的安全性（物理層安全）層次一：物理環(huán)境的安全性（物理層安全）..2層次二：操

3、作系統(tǒng)的安全性（系統(tǒng)層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）..3層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）..4層次四：應(yīng)用的安全性（應(yīng)用層安全）層次四：應(yīng)用的安全性（應(yīng)用層安全）..5層次五：管理的安全性（安全管理）層次五：管理的安全性（安全管理）..6總體部署總體部署.214.24.2入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)系統(tǒng)部署 .22.1安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析..2安全風(fēng)險(xiǎn)解決安全風(fēng)險(xiǎn)解決..3智能網(wǎng)絡(luò)入侵檢測(cè)設(shè)備智能網(wǎng)絡(luò)入侵

4、檢測(cè)設(shè)備..4nipnip 10001000 性能指標(biāo)性能指標(biāo).284.34.3終端安全管理系統(tǒng)部署終端安全管理系統(tǒng)部署 .3030.1終端安全管理系統(tǒng)終端安全管理系統(tǒng).30.2安全監(jiān)控功能安全監(jiān)控功能.3.3資產(chǎn)管理應(yīng)用功能資產(chǎn)管理應(yīng)用功能.3.4安全接入控制網(wǎng)關(guān)應(yīng)用安全接入控制網(wǎng)關(guān)應(yīng)用.3.5secospacesecospace 系統(tǒng)性能指標(biāo)系統(tǒng)性能指標(biāo).341 1概述概述1.11.1 項(xiàng)目建設(shè)背景需求項(xiàng)目建設(shè)背景需求.1網(wǎng)絡(luò)現(xiàn)狀網(wǎng)絡(luò)現(xiàn)狀*電業(yè)局網(wǎng)絡(luò)建設(shè)主要分為內(nèi)部辦公

5、網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)兩部分，現(xiàn)有核心設(shè)備是用的是華為5500系列交換機(jī)，交換機(jī)使用年限已久，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，現(xiàn)有網(wǎng)絡(luò)接口已逐漸不能滿足網(wǎng)絡(luò)的需求；內(nèi)部服務(wù)器數(shù)量已達(dá)到10臺(tái)左右，數(shù)據(jù)量增加的比較快，需要一套網(wǎng)絡(luò)存儲(chǔ)設(shè)備。內(nèi)部安全需要進(jìn)一步的管理。1.21.2 網(wǎng)絡(luò)建設(shè)目標(biāo)網(wǎng)絡(luò)建設(shè)目標(biāo)為了提高整網(wǎng)核心的可靠性，設(shè)計(jì)考慮設(shè)備冗余（電源、超級(jí)引擎采用雙配置） ，為整網(wǎng)提供更加穩(wěn)定的網(wǎng)絡(luò)服務(wù)。華為核心設(shè)備最多支持 144 個(gè)光接口，能夠極大地滿足現(xiàn)在及將來網(wǎng)絡(luò)的需求。1.31.3 網(wǎng)絡(luò)建設(shè)原則網(wǎng)絡(luò)建設(shè)原則我單位針對(duì)*電業(yè)局存儲(chǔ)及安全工程將采用華為先進(jìn)的高端電信級(jí)設(shè)備作為構(gòu)建網(wǎng)絡(luò)的基礎(chǔ)單元，建立一

6、個(gè)高帶寬、高可用性及高可靠性的數(shù)據(jù)網(wǎng)絡(luò)，為濮陽(yáng)縣電業(yè)局業(yè)務(wù)系統(tǒng)提供強(qiáng)有力的保證，本次工程基于以下原則進(jìn)行：綜合性綜合性：將網(wǎng)絡(luò)建設(shè)成為不僅支撐現(xiàn)有濮陽(yáng)縣電業(yè)局?jǐn)?shù)據(jù)業(yè)務(wù)，而且支撐未來實(shí)時(shí)業(yè)務(wù)的綜合業(yè)務(wù)傳送平臺(tái)。支持支持 qosqos：能根據(jù)業(yè)務(wù)的要求提供不同等級(jí)的服務(wù)并保證服務(wù)質(zhì)量，提供資源預(yù)留，擁塞控制，報(bào)文分類，流量整形等強(qiáng)大的 ip qos 功能。高可靠性高可靠性：具有很高的容錯(cuò)能力，具有抵御外界環(huán)境和人為操作失誤的能力，保證任何單點(diǎn)故障都不影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)作。高性能高性能：在高負(fù)荷情況下仍然具有較高的吞吐能力和效率，延遲低。安全性安全性：具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。擴(kuò)

7、展性擴(kuò)展性：易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。開放性開放性：符合開放性規(guī)范，方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化：通訊協(xié)議和接口符合國(guó)際標(biāo)準(zhǔn)。實(shí)用性實(shí)用性：具有良好的性能價(jià)格比，經(jīng)濟(jì)實(shí)用，拓?fù)浣Y(jié)構(gòu)和技術(shù)符合骨干網(wǎng)信息量大、信息流集中的特點(diǎn)。2 2整體方案設(shè)計(jì)整體方案設(shè)計(jì)2.12.1 組網(wǎng)方案組網(wǎng)方案出于安全性和穩(wěn)定性的要求，工程中采用電信級(jí)核心層交換機(jī)從而提高整網(wǎng)結(jié)構(gòu)的健壯性、可靠性，高效性。在存儲(chǔ)方面采用華為 2300 的存儲(chǔ)，可提供 96t 的存儲(chǔ)容量，滿足將來存儲(chǔ)的需求。2.22.2 方案建議及設(shè)備選型依據(jù)

8、方案建議及設(shè)備選型依據(jù)根據(jù)*電業(yè)局?jǐn)?shù)據(jù)庫(kù)項(xiàng)目的技術(shù)規(guī)范要求以及華為公司全系列數(shù)通產(chǎn)品及解決方案特點(diǎn)，本著滿足業(yè)務(wù)優(yōu)先、先進(jìn)實(shí)用、平滑演進(jìn)等原則，我單位選擇華為公司在本期項(xiàng)目中建議的設(shè)備以及相關(guān)設(shè)備的建網(wǎng)方案優(yōu)勢(shì)如下：網(wǎng)絡(luò)檔次高、層次分明網(wǎng)絡(luò)檔次高、層次分明：采用最高能力交換機(jī)，按照網(wǎng)絡(luò)層次依次選擇合理產(chǎn)品，各層次產(chǎn)品之間系列化程度高，可靠性強(qiáng)。負(fù)載分擔(dān)的網(wǎng)絡(luò)：負(fù)載分擔(dān)的網(wǎng)絡(luò)：以最大化網(wǎng)絡(luò)資源負(fù)載分擔(dān)為原則，通過設(shè)備間鏈路的分配調(diào)整，實(shí)現(xiàn)網(wǎng)絡(luò)資源合理分布，增加可靠性。安全的雙平面的設(shè)計(jì)：安全的雙平面的設(shè)計(jì)：本次為網(wǎng)絡(luò)結(jié)構(gòu)通過充分利用兩期建設(shè)中的設(shè)備，充分保證網(wǎng)絡(luò)安全備份及冗余性，整體提高網(wǎng)絡(luò)的可

9、靠性等級(jí)系數(shù)。 良好網(wǎng)絡(luò)兼容性能：良好網(wǎng)絡(luò)兼容性能：在現(xiàn)網(wǎng)大量的應(yīng)用環(huán)境中，華為設(shè)備表現(xiàn)出與其他設(shè)備廠商良好的互通性，在各大電信運(yùn)營(yíng)商網(wǎng)絡(luò)都有商用。優(yōu)化的網(wǎng)絡(luò)性能：優(yōu)化的網(wǎng)絡(luò)性能：華為建議的部署方案，能夠保證網(wǎng)絡(luò)在故障情況下快速實(shí)現(xiàn)業(yè)務(wù)流量疏導(dǎo)，提高整個(gè)網(wǎng)絡(luò)質(zhì)量，保證網(wǎng)絡(luò)能夠承載。多業(yè)務(wù)的多業(yè)務(wù)的ipip網(wǎng)絡(luò)網(wǎng)絡(luò)：優(yōu)化后的網(wǎng)絡(luò)具備極強(qiáng)的可擴(kuò)展性能，除了具備大流量承載能力，還可提供iptv等多種業(yè)務(wù)。平滑的割接方案：平滑的割接方案：華為公司有豐富的網(wǎng)絡(luò)割接經(jīng)驗(yàn)，可以保證網(wǎng)絡(luò)調(diào)整到合理的結(jié)構(gòu)，并保證現(xiàn)網(wǎng)業(yè)務(wù)盡可能的不受影響，保證平滑割接。平滑的向平滑的向ipv6ipv6過渡：過渡：我單位本次采用的

10、華為產(chǎn)品具備ipv6高性能轉(zhuǎn)發(fā)，滿足未來性能要求，并支持多種過渡解決方案，例如ipv4/ipv6雙棧、多種過渡隧道等等，是業(yè)界過渡方案中最好的產(chǎn)品，能夠極大方便實(shí)際網(wǎng)絡(luò)ipv4-ipv6過渡的靈活性。3 3網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)解決方案3.13.1 ipip 地址規(guī)劃地址規(guī)劃ip 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。需要在所分配的 ip 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。ip 地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將*電業(yè)局業(yè)務(wù)工作的可用性、可靠性和有效性以及保密性

11、產(chǎn)生顯著影響。通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個(gè)區(qū)域內(nèi)。因此，核心層應(yīng)象一個(gè)區(qū)域或一個(gè)節(jié)點(diǎn)一樣，被分配一段連續(xù)的地址。ip 地址規(guī)劃遵循以下原則：1. ip 地址的規(guī)劃與劃分應(yīng)該考慮到業(yè)務(wù)飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對(duì) ip 地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；2. ip 地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入；3. ip 地址的分配可以采用 vlsm 技術(shù)，以保證 ip 地址的利用效率；4.充分合理利用已申請(qǐng)的地址空間，提高地址的利用效率。3.23.2 vlanvlan 規(guī)劃規(guī)劃vlan（virtual local area

12、 network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) vlan 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。從技術(shù)角度講，vlan 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1. 基于端口的 vlan 劃分 2. 基于 mac 地址的 vlan 劃分 3. 基于路由的 vlan 劃分 而本期項(xiàng)目中以基于端口和基于路由的 vlan 劃分方法為主，除了公共 vlan，網(wǎng)管 vlan，關(guān)鍵領(lǐng)導(dǎo) vlan 等特殊網(wǎng)段，按照部門和單位進(jìn)行其他 vlan

13、網(wǎng)段的劃分。3.33.3 路由規(guī)劃路由規(guī)劃在所建網(wǎng)絡(luò)系統(tǒng)中將涉及*電業(yè)局內(nèi)部不同虛擬網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)以及與外網(wǎng)之間的互聯(lián)，因此需要結(jié)合實(shí)際，在匯聚交換機(jī)對(duì)三層轉(zhuǎn)發(fā)協(xié)議進(jìn)行設(shè)置，由于通過 vlan 隔離業(yè)務(wù)，在接入層交換機(jī)啟用二層接入功能，網(wǎng)關(guān)設(shè)在匯聚交換機(jī)，vlan 終結(jié)于匯聚交換機(jī)。3.43.4 qosqos 設(shè)計(jì)設(shè)計(jì)在傳統(tǒng)的 ip 網(wǎng)絡(luò)中，所有的報(bào)文都被無區(qū)別的等同對(duì)待，每個(gè)路由器對(duì)所有的報(bào)文均采用先入先出（fifo）的策略進(jìn)行處理，它盡最大的努力（best-effort）將報(bào)文送到目的地，但對(duì)報(bào)文傳送的可靠性、傳送延遲等性能不提供任何保證。隨著 ip 技術(shù)的日趨成熟，ip 網(wǎng)絡(luò)電信化已

14、經(jīng)成為大勢(shì)所趨，于是形成了語(yǔ)音、視頻、數(shù)據(jù)等多種業(yè)務(wù) ip 統(tǒng)一承載，由于語(yǔ)音、視頻等實(shí)時(shí)業(yè)務(wù)自身的特點(diǎn)對(duì)承載平臺(tái)提出了嚴(yán)格的服務(wù)質(zhì)量要求，因此就必須在網(wǎng)絡(luò)中部署相應(yīng)的 qos 技術(shù)，使得網(wǎng)絡(luò)管理者能夠有效地控制網(wǎng)絡(luò)資源的使用，能夠在有限資源的 ip 平臺(tái)上綜合語(yǔ)音、視頻及數(shù)據(jù)等多種業(yè)務(wù)，能夠區(qū)分業(yè)務(wù)、針對(duì)不同的業(yè)務(wù)提供特色的差分服務(wù)。qos 旨在針對(duì)各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報(bào)文丟失率、降低報(bào)文傳送時(shí)延及時(shí)延抖動(dòng)等。為實(shí)現(xiàn)上述目的，qos 提供了下述功能：1. 報(bào)文分類和著色2. 避免和管理網(wǎng)絡(luò)擁塞3. 流量監(jiān)管和流量整形4. qos 信令協(xié)議在*電

15、業(yè)局?jǐn)?shù)據(jù)庫(kù)項(xiàng)目網(wǎng)絡(luò)構(gòu)建中，將會(huì)設(shè)計(jì)合理的 qos 保障方案，利用有限的資源，以獲得更好的網(wǎng)絡(luò)使用效益，是非常必要的。良好的 qos 保障方案可以確保一般情況下網(wǎng)絡(luò)具有最好的使用效率、實(shí)時(shí)業(yè)務(wù)具有較小延時(shí)，惡劣情況下保證關(guān)鍵業(yè)務(wù)得到應(yīng)有的網(wǎng)絡(luò)服務(wù)。衡量 qos 的指標(biāo)包括：帶寬帶寬/ /吞吐量吞吐量 - 指網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間特定應(yīng)用業(yè)務(wù)流的平均速率；時(shí)延時(shí)延 - 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳送的平均往返時(shí)間；抖動(dòng)抖動(dòng) - 指時(shí)延的變化；丟包率丟包率 - 指在網(wǎng)絡(luò)傳輸過程中丟失報(bào)文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力；可用性可用性 - 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時(shí)間的百分比。在*電業(yè)局?jǐn)?shù)

16、據(jù)庫(kù)項(xiàng)目網(wǎng)絡(luò)中 qos 方案部署如下：接入層交換機(jī)接入端口不同業(yè)務(wù)進(jìn)行 vlan 標(biāo)記,并可以對(duì)報(bào)文進(jìn)行 802.1p 優(yōu)先級(jí)標(biāo)記，以便后續(xù)的匯聚交換機(jī)和核心交換根據(jù)相應(yīng)優(yōu)先級(jí)標(biāo)記（802.1p、dscp）進(jìn)行調(diào)度，當(dāng)然還可以根據(jù)策略的需要部署 car 流量監(jiān)管策略，對(duì)用戶的接入速率進(jìn)行控制，保證*電業(yè)局網(wǎng)網(wǎng)絡(luò)始終處于健康（輕載）的運(yùn)行狀態(tài)。本次工程采用的 s9300 高端交換機(jī)均支持選擇性 svlan 功能（靈活 qinq） ，可以在同一個(gè)物理端口上支持根據(jù)單層 vlan id 靈活加載外層 vlan id，同時(shí)能夠透?jìng)鳂?biāo)準(zhǔn) vlan（單 vlan）流量。上述功能實(shí)現(xiàn)沒有 vlan id 范

17、圍數(shù)量的限制，對(duì)于設(shè)備性能沒有影響。支持根據(jù) 802.1p 參數(shù)、入端口、入 vlan id 等條件進(jìn)行雙 vlan 透?jìng)鳌㈦p層 vlan 改寫外層 vlan、雙層 vlan 改寫內(nèi)外層 vlan 等并且支持在同一物理接口上對(duì)以上操作的并行處理。并支持 tpid 可配置，同時(shí)對(duì)設(shè)備性能沒有影響 s9300 交換機(jī)提供完善的 diff-serv/qos支持。支持基于源端口、源 vlan id、源 mac 地址、報(bào)文種類、tcp/udp 端口號(hào)、ip 報(bào)文地址前綴等多種流分類規(guī)則，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（car） 、擁塞避免方法（wred、tail-drop） 、隊(duì)列調(diào)度（

18、wrr、sp）和輸出流量整形等功能，支持 802.1p 的 8 個(gè)優(yōu)先級(jí)。完全做到業(yè)務(wù)區(qū)分并保證帶寬/時(shí)延/抖動(dòng)，可以為用戶提供具有不同服務(wù)質(zhì)量等級(jí)的服務(wù)保證，使 ip 網(wǎng)絡(luò)真正成為同時(shí)承載數(shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。3.53.5 設(shè)備介紹設(shè)備介紹.1s9300s9300 系列交換機(jī)系統(tǒng)特性系列交換機(jī)系統(tǒng)特性quidway s9300系列以太匯聚交換機(jī)（以下簡(jiǎn)稱s9300）是基于華為公司統(tǒng)一的vrp（versatile routing platform）系統(tǒng)而推出的下一代以太網(wǎng)匯聚交換機(jī)，提供整機(jī)高達(dá)2t交換容量，二、三層線速轉(zhuǎn)發(fā)能力，具備強(qiáng)大組播功能，epon接口和完善的

19、qos保障，滿足城域網(wǎng)、企業(yè)園區(qū)網(wǎng)對(duì)multi-play業(yè)務(wù)承載和全光接入的組網(wǎng)需求，為運(yùn)營(yíng)商和企業(yè)網(wǎng)提供強(qiáng)大的網(wǎng)絡(luò)交換和業(yè)務(wù)運(yùn)營(yíng)能力，支持ip專線、vpn、iptv、ipv6等多種業(yè)務(wù)。s9300系列包括s9303、s9306、s9312三個(gè)產(chǎn)品形態(tài)，整個(gè)系列秉承模塊通用化、歸一化的設(shè)計(jì)理念，最小化備件成本，在保證設(shè)備擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶投資。s9303 s9306 s9312產(chǎn)品特點(diǎn)產(chǎn)品特點(diǎn)創(chuàng)新的三平面設(shè)計(jì)創(chuàng)新的三平面設(shè)計(jì)s9300在傳統(tǒng)交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)、管理控制雙平面基礎(chǔ)上進(jìn)行了創(chuàng)新，增加了獨(dú)立的環(huán)境監(jiān)控平面，率先實(shí)現(xiàn)整機(jī)三平面設(shè)計(jì)。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，其核心芯片采用華為自主知

20、識(shí)產(chǎn)權(quán)的中控芯片，實(shí)現(xiàn)硬件級(jí)的按流量動(dòng)態(tài)調(diào)整功率、風(fēng)扇分區(qū)控制、風(fēng)扇智能調(diào)速、端口休眠技術(shù)等多項(xiàng)節(jié)能技術(shù)，獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動(dòng)，實(shí)現(xiàn)整機(jī)運(yùn)營(yíng)維護(hù)的全面可視化管理。高速背板交換網(wǎng)模塊控制面通訊模塊系統(tǒng)時(shí)鐘模塊系統(tǒng)主控模塊控制層軟件業(yè)務(wù)層軟件網(wǎng)管系統(tǒng)物理接口模塊業(yè)務(wù)處理模塊單板時(shí)鐘模塊單板主控模塊單板監(jiān)控模塊業(yè)務(wù)模塊業(yè)務(wù)模塊交換路由模塊交換路由模塊管理層軟件創(chuàng)新的三平面設(shè)計(jì)創(chuàng)新的三平面設(shè)計(jì)一機(jī)多用，全業(yè)務(wù)承載的以太匯聚平臺(tái)一機(jī)多用，全業(yè)務(wù)承載的以太匯聚平臺(tái)s9300支持高密度的epon接口，能實(shí)現(xiàn)dslam匯聚、epon和純以太的統(tǒng)一接入，滿足全光接入的需求；分布式l2/l3 mpls vpn功

21、能，支持mpls、vpls、hvpls、vll，滿足大客戶vpn專線、企業(yè)vpn等高端用戶的接入需求。s9300具備線速的跨vlan組播復(fù)制能力，實(shí)現(xiàn)端口的滿負(fù)荷復(fù)制，滿足大容量的iptv用戶接入需求；完善的二、三層組播協(xié)議，可作為組播復(fù)制點(diǎn)和控系統(tǒng)監(jiān)控模塊系統(tǒng)監(jiān)控模塊制點(diǎn)。s9300支持ipv6功能，支持ripng，ospfv3，isisv6，bgp4+，mld，mld snooping，pimv6，ipv6 multicast vlan，icmpv6等單/組播ipv6路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)ipv4向ipv6的平滑遷移。三維擴(kuò)展，容量三維擴(kuò)展，容量“無級(jí)變速無級(jí)變速”作為新一代的以太匯聚平臺(tái)，s

22、9300可以從容應(yīng)對(duì)城域骨干網(wǎng)和大容量idc對(duì)核心匯聚設(shè)備的帶寬需求。s9300單槽位支持1210ge線速轉(zhuǎn)發(fā)，整機(jī)支持2t的交換能力，更好地滿足iptv等大帶寬業(yè)務(wù)和idc機(jī)房的接入需求。s9300系列交換機(jī)可以擴(kuò)展到3.84t交換容量，單槽位支持240g線速轉(zhuǎn)發(fā)，充分考慮未來35年的帶寬需求，提供帶寬平滑擴(kuò)展能力。六項(xiàng)創(chuàng)新，省電六項(xiàng)創(chuàng)新，省電 30%s9300基于綠色環(huán)保理念設(shè)計(jì)，獨(dú)特的“變流”芯片，實(shí)現(xiàn)按流量動(dòng)態(tài)調(diào)整功率，降低功耗8%。獨(dú)特的“旋轉(zhuǎn)”風(fēng)道設(shè)計(jì)，提高整機(jī)散熱效率，降低功耗3%，同時(shí)整機(jī)出線能力提高6倍?！胺e木式”電源，按需配置，減少初期投資，降低設(shè)備功耗10%。獨(dú)立風(fēng)扇分區(qū)

23、控制，降低噪聲10%，并延長(zhǎng)風(fēng)扇使用壽命。風(fēng)扇智能調(diào)速，根據(jù)關(guān)鍵器件溫度，靈活調(diào)整風(fēng)扇轉(zhuǎn)速，降低功耗3%，提高風(fēng)扇抗擾動(dòng)能力，延長(zhǎng)風(fēng)扇壽命。真正的端口休眠技術(shù)，可以依據(jù)端口實(shí)際流量調(diào)整輸出功耗，降低功耗6%，節(jié)電“不丟包”。產(chǎn)品規(guī)格產(chǎn)品規(guī)格項(xiàng)目項(xiàng)目s9303s9306s9312背板容量1.2tbps2.4tbps4.8tbps業(yè)務(wù)槽位3612ge端口密端口密度3672144支持access、trunk、hybrid方式 支持default vlan支持vlan 交換vlan支持qinq、增強(qiáng)型靈活qinq支持mac地址自動(dòng)學(xué)習(xí)和老化支持靜態(tài)、動(dòng)態(tài)、黑洞mac表項(xiàng)支持源

24、mac地址過濾mac地址功能支持基于端口和vlan的mac地址學(xué)習(xí)限制支持stp，rstp和mstp支持bpdu保護(hù)、root保護(hù)、環(huán)路保護(hù)stp支持bdpu tunnel項(xiàng)目項(xiàng)目s9303s9306s9312支持rip、ospf、isis、bgp等ipv4動(dòng)態(tài)路由協(xié)議ip路由支持ripng、ospfv3、isisv6、bgpv4等ipv6動(dòng)態(tài)路由協(xié)議支持igmp snooping功能支持用戶快速離開機(jī)制支持組播流量控制支持組播查詢器支持組播協(xié)議報(bào)文抑制功能組播支持組播acl支持mpls基本功能支持mpls oam支持mpls templs支持mpls vpn/vll/vpls支持基于laye

25、r2協(xié)議頭、layer3協(xié)議、layer4協(xié)議、802.1p優(yōu)先級(jí)等的組合流分類支持acl、car、remark、schedule等動(dòng)作支持pq、wrr、drr、pq+wrr、pq+drr等隊(duì)列調(diào)度方式支持wred、尾丟棄等擁塞避免機(jī)制qos支持流量整形支持console、telnet、ssh等終端服務(wù)配置與維護(hù)支持snmpv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議項(xiàng)目項(xiàng)目s9303s9306s9312支持通過ftp、tftp方式上載、下載文件支持bootrom升級(jí)和遠(yuǎn)程在線升級(jí)支持熱補(bǔ)丁支持用戶操作日志命令行分級(jí)保護(hù)，未授權(quán)用戶無法侵入支持radius和hwtacacs用戶登錄認(rèn)證支持防范dos攻擊、t

26、cp的syn flood攻擊、udp flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊支持cpu通道的保護(hù)支持icmp實(shí)現(xiàn)ping和traceroute功能安全和管理支持rmon機(jī)箱尺寸mm（寬深高）442476175442476442442476664機(jī)箱重量（空配）15kg30kg45kg工作電壓dc：38.4v72vac：90v264v典型功耗180w350w650w整機(jī)供電能350w800w1600w訂購(gòu)信息訂購(gòu)信息1、quidway s9300 主機(jī)選購(gòu)一覽表產(chǎn)品描述產(chǎn)品描述s9303總裝機(jī)箱s9306總裝機(jī)箱s9312總裝機(jī)箱2、quidway s9300 交換路由處理板選購(gòu)一覽表產(chǎn)品描述

27、產(chǎn)品描述s9306/s9312交換路由單元s9303主控處理單元增強(qiáng)靈活業(yè)務(wù)子卡3、quidway s9300 業(yè)務(wù)單板選購(gòu)一覽表產(chǎn)品描述產(chǎn)品描述48端口百兆以太網(wǎng)光接口板48端口百兆以太網(wǎng)電接口板48端口百兆/千兆以太網(wǎng)光接口板48端口百兆/千兆以太網(wǎng)電接口板24端口百兆/千兆以太網(wǎng)光接口板24端口百兆/千兆以太網(wǎng)光接口和8端口百兆/千兆combo電口板4端口萬兆以太網(wǎng)光接口板2端口萬兆以太網(wǎng)光接口板.2oceanspaceoceanspace s2000s2000 系列存儲(chǔ)系統(tǒng)系列存儲(chǔ)系統(tǒng)概述華為賽門鐵克 oceanspace s2000 系列（以下簡(jiǎn)稱 s2000）產(chǎn)品是

28、中國(guó)第一款擁有完全自主知識(shí)產(chǎn)權(quán)的存儲(chǔ)。融合了高密、接口模塊化設(shè)計(jì)、多重?cái)?shù)據(jù)保護(hù)技術(shù)，滿足數(shù)據(jù)庫(kù)等應(yīng)用系統(tǒng)、備份、數(shù)據(jù)中心等不同的存儲(chǔ)資源部署需求。產(chǎn)品特點(diǎn)高性能高性能 64 位系統(tǒng)架構(gòu)：位系統(tǒng)架構(gòu)：64 位多核處理器，64 位系統(tǒng)總線，64 位實(shí)時(shí)操作系統(tǒng) 交換體系架構(gòu)：交換體系架構(gòu)：交換架構(gòu)，高性能，低延時(shí)；硬盤獨(dú)立，單個(gè)硬盤故障不影響其他盤，便于故障檢測(cè)和排除 高密設(shè)計(jì)：高密設(shè)計(jì)：硬盤框 4u 高度，可容納 24 塊硬盤，產(chǎn)品占用空間小，擴(kuò)1 個(gè)硬盤框能擴(kuò)展 24 塊硬盤，大幅降低擴(kuò)容成本高可靠高可靠 全冗余模塊化設(shè)計(jì)：全冗余模塊化設(shè)計(jì)：冗余控制器，1+1 冗余電源/風(fēng)扇模塊；冗余掉電保護(hù)

29、電池 一體化一體化 ups 技術(shù)：技術(shù)：ups 集成在控制框內(nèi)，節(jié)省機(jī)架空間；意外掉電時(shí)，可以保證 cache 數(shù)據(jù)可安全寫入數(shù)據(jù)保險(xiǎn)箱；恢復(fù)供電后，可以把數(shù)據(jù)保險(xiǎn)箱的數(shù)據(jù)恢復(fù)到 cache 中，保證 cache 數(shù)據(jù)不丟失 硬盤壞道修復(fù)技術(shù)：硬盤壞道修復(fù)技術(shù)：最大限度修復(fù)硬盤壞道，將硬盤故障率降低 50%，延長(zhǎng)硬盤壽命 硬盤預(yù)拷貝技術(shù)：硬盤預(yù)拷貝技術(shù)：提前發(fā)現(xiàn)故障盤，主動(dòng)遷移故障盤數(shù)據(jù)，規(guī)避系統(tǒng)降級(jí)的風(fēng)險(xiǎn)，有效降低兩個(gè)硬盤同時(shí)故障導(dǎo)致數(shù)據(jù)丟失的概率靈活靈活 靈活組網(wǎng)：靈活組網(wǎng)：iscsi 主機(jī)口滿足與 ip 網(wǎng)絡(luò)無縫融合的組網(wǎng)需求；sas 主機(jī)口滿足高性價(jià)比的組網(wǎng)需求；fc 主機(jī)口滿足高速率

30、、高可靠的組網(wǎng)需求 控制器選配：控制器選配：?jiǎn)慰刂破髋渲脻M足低成本需求，平滑升級(jí)到雙控制器配置，滿足高性能、高可靠的需求 分級(jí)存儲(chǔ)：分級(jí)存儲(chǔ)：支持 sas/sata 硬盤混插，可以根據(jù)業(yè)務(wù)級(jí)別選擇存儲(chǔ)介質(zhì)便捷便捷 便捷管理：便捷管理：支持圖形化 gui 及 cli 管理方式，提升管理效率；支持lun 后臺(tái)格式化，壓縮設(shè)備安裝及配置時(shí)間 便捷維護(hù)：便捷維護(hù)：主要模塊及硬盤組件支持熱插拔，減少維護(hù)復(fù)雜性；支持web 和 modem 撥號(hào)等遠(yuǎn)程管理能力，增加維護(hù)及時(shí)性；提供聲光、郵件、短信等告警模式，確保設(shè)備故障信息不會(huì)被忽視或遺漏產(chǎn)品規(guī)格型號(hào)型號(hào)s2100s2300硬件特性 存儲(chǔ)處理器64 位多核

31、處理器標(biāo)配緩存(可擴(kuò)展) 單控 2gb、雙控 4gb控制器數(shù)量1 or 2標(biāo)配主機(jī)端口(可擴(kuò)展) 單控:2 個(gè) 43gb sas 或 2個(gè) 1gb iscsi 雙控:4 個(gè) 43gb sas 或 4個(gè) 1gb iscsi單控:2 個(gè) 4gb fc 或 4 個(gè)1gb iscsi 雙控:4 個(gè) 4gb fc 或 8 個(gè)1gb iscsi硬盤數(shù)量(可擴(kuò)展)單控 48 /雙控 96硬盤規(guī)格sata 硬盤： 500gb/1tb（7200 rpm） sas 硬盤：300gb/450gb（15k rpm）硬盤密度24 個(gè)/框性能特性 主機(jī)連接數(shù)量(可擴(kuò)展)128128luns(可擴(kuò)展)5121024raid

32、 特性 raid 支持能力0、1、5、10 等可靠性 冗余保護(hù)能力控制器、電源、風(fēng)扇、ups 模塊、級(jí)聯(lián)模塊（硬盤框）熱備盤全局熱備、預(yù)拷貝掉電保護(hù)數(shù)據(jù)保險(xiǎn)箱、一體化 ups 技術(shù)主機(jī)兼容性 支持的操作系統(tǒng)windows、linux、solaris、hp-ux、aix、freebsd、vmware 等軟件特性 主機(jī)多路徑ultrapath（for windows/linux/aix）、stms(for solaris）、pv-links（for hp-ux）管理特性 管理界面web gui、cli 等san 資源管理lun 動(dòng)態(tài)調(diào)整故障告警網(wǎng)管界面告警、聲光告警、e-mail 告警、短信告警遠(yuǎn)

33、程管理支持 web 遠(yuǎn)程登錄模式、支持 modem 撥號(hào)連接，命令行配置物理特性 電源ac 200v240v(50/60hz), dc -48v -60v功耗（控制框）單控：交流：725w/直流：625w 雙控：交流：828w/直流：728w單控：交流：725w/直流：674w 雙控：交流：835w/直流：775w功耗（硬盤框）單控：交流：668w/直流：617w 雙控：交流：680w/直流：630w單控：交流：668w/直流：617w 雙控：交流：680w/直流：630w尺寸4u，175mm(h)*446mm(w)* 600mm(d)重量不帶硬盤45kg（控制框）；38kg（硬盤框）4 4安

34、全解決方案安全解決方案4.14.1 安全體系層次設(shè)計(jì)安全體系層次設(shè)計(jì)由于本次*電業(yè)局屬于新建系統(tǒng)，因此整個(gè)*電業(yè)局網(wǎng)絡(luò)安全的需求是全方位的、整體的，相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)第三章中我單位對(duì)于安全的風(fēng)險(xiǎn)分析，我單位將安全體系的層次劃分為五層：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全保密管理。.1層次一：物理環(huán)境的安全性（物理層安全）層次一：物理環(huán)境的安全性（物理層安全）包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）；軟硬件設(shè)備安全性（替換設(shè)備；拆卸設(shè)備

35、；增加設(shè)備）；設(shè)備的備份；防災(zāi)害能力、防干擾能力；設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵）；不間斷電源保障，等等。.2層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）這一層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)：windows 2003，windows 2000，unix等。系統(tǒng)層的安全性問題表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是對(duì)操作系統(tǒng)的安全配置問題；三是病毒對(duì)操作系統(tǒng)的威脅。.3層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)信

36、息的安全性。包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測(cè)的手段，網(wǎng)絡(luò)設(shè)施防病毒等。.4層次四：應(yīng)用的安全性（應(yīng)用層安全）層次四：應(yīng)用的安全性（應(yīng)用層安全）該層次的安全考慮提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：web服務(wù)、電子郵件系統(tǒng)等。此外，還包括病毒對(duì)系統(tǒng)的威脅。.5層次五：管理的安全性（安全管理）層次五：管理的安全性（安全管理）安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全

37、職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。.6總體部署總體部署*電業(yè)局的安全問題是一個(gè)系統(tǒng)工程，我單位在制定安全網(wǎng)絡(luò)策略時(shí)盡可能地考慮到網(wǎng)絡(luò)中的各個(gè)方面及網(wǎng)絡(luò)的拓展性，采用tcp/ip協(xié)議進(jìn)行網(wǎng)絡(luò)通信的網(wǎng)絡(luò)，在網(wǎng)絡(luò)層對(duì)計(jì)算機(jī)通信進(jìn)行安全保護(hù)是業(yè)界流行的安全解決辦法。綜合考慮*電業(yè)局的實(shí)際安全狀況，本方案中我單位從以下幾個(gè)方面來采取相應(yīng)的安全措施：1. 采用 vlan 技術(shù)2. 部署防火墻3. 部署入侵檢測(cè)系統(tǒng)4. 部署安全審計(jì)系統(tǒng)以上部署的安全產(chǎn)品在嚴(yán)格按照電子政務(wù)信息安全要求標(biāo)準(zhǔn)基礎(chǔ)上，并遵循穩(wěn)定性、先進(jìn)性、可擴(kuò)展性等原則進(jìn)行選型。*電業(yè)局的安全管

38、理部門應(yīng)根據(jù)管理原則和*電業(yè)局?jǐn)?shù)據(jù)處理的保密性，制訂相應(yīng)的安全管理制度或采用相應(yīng)的安全規(guī)范?？筛鶕?jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)；及根據(jù)確定的安全等級(jí)，確定安全管理的范圍。4.24.2 入侵檢測(cè)系統(tǒng)部署入侵檢測(cè)系統(tǒng)部署.1安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)分析隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施及其應(yīng)用的不斷豐富，基于網(wǎng)絡(luò)的各種安全事故也不斷出現(xiàn)。造成這些網(wǎng)絡(luò)安全事故最根本的原因是設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)協(xié)議時(shí)主要考慮的協(xié)議的互聯(lián)互通性，很少考慮協(xié)議可能存在的安全漏洞，當(dāng)這些安全漏洞被惡意的人們利用就出現(xiàn)了層出不窮的安全事件。但是當(dāng)人們發(fā)現(xiàn)這些問題逐漸影響正常網(wǎng)絡(luò)甚至業(yè)務(wù)運(yùn)行的時(shí)候，再去修改這些相關(guān)基礎(chǔ)應(yīng)用協(xié)議代價(jià)太

39、大。因此作為亡羊補(bǔ)牢的方式，出現(xiàn)了相關(guān)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。比如說防火墻、防病毒產(chǎn)品等等。然而，防火墻無法正確分析摻雜在允許應(yīng)用數(shù)據(jù)流中的惡意代碼，很多攻擊或者惡意的行為常常利用防火墻開放的應(yīng)用數(shù)據(jù)流來造成破壞。這就有必要提供專門針對(duì)各種應(yīng)用數(shù)據(jù)流進(jìn)行完整重組、判斷其是否為正常數(shù)據(jù)包的產(chǎn)品。這種產(chǎn)品就是入侵檢測(cè)系統(tǒng)（intrusion detection system） ，入侵檢測(cè)系統(tǒng)通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)信息進(jìn)行分析，可以從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象，實(shí)時(shí)作出響應(yīng)。入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（nids）和基于主機(jī)的入侵檢測(cè)系統(tǒng)（hids）

40、 。華為公司推出即是基于網(wǎng)絡(luò)的智能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（以下簡(jiǎn)稱 nip） 。.2安全風(fēng)險(xiǎn)解決安全風(fēng)險(xiǎn)解決nip 網(wǎng)絡(luò)智能入侵檢測(cè)系統(tǒng)是華為自主開發(fā)，擁有知識(shí)產(chǎn)權(quán)的新一代基于會(huì)話的智能網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。采用異常使用模式（anomaly）和誤用檢測(cè)模式（misuse）相結(jié)合的檢測(cè)方式，部署于網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)，實(shí)時(shí)監(jiān)控各種數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)行為，提供及時(shí)的報(bào)警及響應(yīng)機(jī)制。其動(dòng)態(tài)的安全響應(yīng)體系與防火墻等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，大大增強(qiáng)了用戶的整體安全防護(hù)強(qiáng)度。.3智能網(wǎng)絡(luò)入侵檢測(cè)設(shè)備智能網(wǎng)絡(luò)入侵檢測(cè)設(shè)備華為公司憑借在電信領(lǐng)域多年的技術(shù)積累，深刻的認(rèn)識(shí)到可靠性設(shè)計(jì)對(duì)于一

41、個(gè)網(wǎng)絡(luò)設(shè)備的重要性。華為防火墻從硬件到軟件，從每個(gè)部件到整體構(gòu)架都進(jìn)行了深入的分析和考慮，在設(shè)計(jì)的每個(gè)環(huán)節(jié)都融入了可靠性的設(shè)計(jì)理念，保證從根本上為用戶提供了安全可靠的網(wǎng)絡(luò)環(huán)境，使得華為防火墻成為了一款真正安全的電信級(jí)高可靠的防火墻設(shè)備。華為防火墻的硬件平臺(tái)全部采用高可靠的元器件設(shè)計(jì)，保證了防火墻的硬件平臺(tái)可以 24 小時(shí)不間斷工作，這方面的硬件設(shè)計(jì)是很多防火墻廠商無法保證的，通過對(duì)硬件平臺(tái)精益求精的設(shè)計(jì)使得華為防火墻有了一個(gè)穩(wěn)定運(yùn)行的基石。1.1. 強(qiáng)大的入侵檢測(cè)能力強(qiáng)大的入侵檢測(cè)能力nip 內(nèi)置強(qiáng)大的 ip 分片功能、智能協(xié)議解碼器、高效的 tcp 流重組及細(xì)粒度的會(huì)話分析功能，可以迅速、準(zhǔn)

42、確地檢測(cè)各種攻擊行為。同時(shí) nip 具有 2000 余種入侵特征庫(kù)，可以檢測(cè) dos、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報(bào)和誤報(bào)。2.2. 靈活的響應(yīng)方式靈活的響應(yīng)方式nip 內(nèi)置強(qiáng)大的 ip 分片功能、智能協(xié)議解碼器、高效的 tcp 流重組及細(xì)粒度的會(huì)話分析功能，可以迅速、準(zhǔn)確地檢測(cè)各種攻擊行為。同時(shí) nip 具有 3000 余種入侵特征庫(kù)，可以檢測(cè) dos、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報(bào)和誤報(bào)。nip 對(duì)檢測(cè)到的入侵企圖或違背已設(shè)定的安全策略的活動(dòng)做出實(shí)時(shí)響應(yīng)，并提供多種響應(yīng)方式。包括： 切斷與入侵有關(guān)的會(huì)話。 通過移動(dòng)電話發(fā)送報(bào)警消息。 通過電子郵件發(fā)送報(bào)警

43、信息。 運(yùn)行用戶指定的應(yīng)用程序。 在 windows 操作系統(tǒng)事件日志中記錄報(bào)警。 將與入侵有關(guān)的信息保存在數(shù)據(jù)庫(kù)中。 聯(lián)動(dòng)防火墻。當(dāng)有入侵事件發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)向防火墻發(fā)送消息，防火墻將動(dòng)態(tài)生成規(guī)則，阻斷入侵者。3.3. 增強(qiáng)的安全性增強(qiáng)的安全性nip 提供根據(jù)入侵信息發(fā)出入侵警報(bào)以及限制網(wǎng)絡(luò)訪問等功能，以保護(hù)服務(wù)器免受外部和內(nèi)部的攻擊。nip 通過簡(jiǎn)單易用的管理界面和入侵檢測(cè)、入侵阻斷、入侵報(bào)警、入侵日志等功能，提供最佳的策略來增強(qiáng) internet 商業(yè)環(huán)境的安全性。 nip 特別適用于需要極高網(wǎng)絡(luò)安全性的機(jī)構(gòu)，例如：審計(jì)機(jī)構(gòu)、安全顧問機(jī)構(gòu)、安全法律執(zhí)行機(jī)構(gòu)、大型企業(yè)、internet

44、 服務(wù)提供商、培訓(xùn)機(jī)構(gòu)以及涉及敏感信息的政府機(jī)構(gòu)等。nip 采用 stealth 技術(shù)，有效地防止入侵檢測(cè)系統(tǒng)的暴露，提高入侵檢測(cè)系統(tǒng)自身的安全性。4.4. 強(qiáng)大的報(bào)表功能強(qiáng)大的報(bào)表功能nip 提供基于 crystal report 的報(bào)表功能?？商峁?100 余種報(bào)表樣式，同時(shí)還可實(shí)現(xiàn)自定義報(bào)表的功能。5.5. 分級(jí)用戶管理分級(jí)用戶管理nip 的管理員類型包括三種：超級(jí)管理員、普通管理員和只讀管理員。 超級(jí)管理員：具有超級(jí)權(quán)限，可以進(jìn)行任何操作。 普通管理員：可以對(duì)授權(quán)的引擎進(jìn)行查詢、配置、編輯。 只讀管理員：只能對(duì)授權(quán)的引擎進(jìn)行日志查詢操作。不同級(jí)別的管理員擁有不同的管理權(quán)限，最大限度的保

45、證了nip 的系統(tǒng)安全。6.6. 檢測(cè)檢測(cè)并分析各種入侵行為并分析各種入侵行為nip 采用基于協(xié)議分析的智能模式匹配，結(jié)合狀態(tài)分析技術(shù)和異常行為檢測(cè)技術(shù)，大大提高了檢測(cè)的準(zhǔn)確度，減少了漏報(bào)、誤報(bào)現(xiàn)象。通過高效的模式匹配算法，大大提高了檢測(cè)效率。內(nèi)置 2500種以上入侵規(guī)則，提供對(duì) dos、掃描、代碼攻擊、病毒、后門等各種攻擊的檢測(cè)能力?；镜臋z測(cè)功能包括下面幾種：蠕蟲檢測(cè)nip 實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲事件，同時(shí)針對(duì)已經(jīng)發(fā)現(xiàn)的蠕蟲及時(shí)提供相關(guān)的事件規(guī)則。對(duì)于存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲事件的情況，通過分析其漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。協(xié)議解碼nip 對(duì)常用網(wǎng)絡(luò)應(yīng)

46、用層協(xié)議解碼分析，記錄網(wǎng)絡(luò)中的異常行為。用戶可以方便的自定義基于 tcp/ip 各種協(xié)議的分析事件，如：http、smtp、ftp、telnet 等應(yīng)用層協(xié)議連接、關(guān)閉；pop3 命令連接請(qǐng)求、應(yīng)答，各種應(yīng)用層協(xié)議的關(guān)鍵字解碼等。ip 碎片重組nip 對(duì)所監(jiān)視網(wǎng)絡(luò)中的 ip 碎片報(bào)文重組后進(jìn)行分析，防止 ip 碎片欺騙。日志風(fēng)暴處理nip 可以將一定時(shí)間范圍內(nèi)的同種攻擊類型事件合并成同一條事件，在控制臺(tái)顯示并記錄攻擊次數(shù)，防止控制臺(tái)的日志風(fēng)暴。協(xié)議過濾和誤報(bào)處理nip 能夠?qū)Σ恍?nids 記錄的某類 tcp/ip 協(xié)議的數(shù)據(jù)流進(jìn)行過濾處理。同時(shí)，可以根據(jù)事件規(guī)則名和事件發(fā)生的源或目的綁定對(duì)事

47、件進(jìn)行排除，避免無需上報(bào)的事件再次出現(xiàn)在控制臺(tái)或給 nids 增加不必要的負(fù)擔(dān)。7.7. 對(duì)安全事件做出響應(yīng)對(duì)安全事件做出響應(yīng)nip 針對(duì)各個(gè)入侵事件提供實(shí)時(shí)響應(yīng)功能，響應(yīng)方式多種多樣。主要包括：報(bào)警聲音報(bào)警：設(shè)置聲音報(bào)警后，當(dāng)有事件發(fā)生時(shí)，控制臺(tái)會(huì)發(fā)出不同的聲音提示管理員。焦點(diǎn)窗口：設(shè)置焦點(diǎn)窗口后，當(dāng)有事件發(fā)生時(shí)，即使控制臺(tái)不是當(dāng)前的焦點(diǎn)窗口，也會(huì)自動(dòng)彈出成為焦點(diǎn)窗口，以使管理員及時(shí)發(fā)現(xiàn)發(fā)生的事件。報(bào)警燈顯示：設(shè)置報(bào)警燈顯示后，當(dāng)有事件發(fā)生時(shí)，在控制臺(tái)的左下角會(huì)有紅色的報(bào)警燈閃爍，以提醒管理員。郵件報(bào)警：設(shè)置好郵件參數(shù)后，當(dāng)有事件發(fā)生時(shí)，系統(tǒng)將向預(yù)先定義的信箱發(fā)送報(bào)警信息。短消息報(bào)警：設(shè)置好

48、短消息參數(shù)后，當(dāng)有事件發(fā)生時(shí)，系統(tǒng)向預(yù)先設(shè)置的手機(jī)發(fā)送短消息報(bào)警。執(zhí)行報(bào)警器程序：通過拷貝 alertmessenger.exe 和 alertmessenger.ini 兩個(gè)文件，不需要安裝完整的控制臺(tái)程序也可以實(shí)時(shí)顯示報(bào)警信息。snmp trap 報(bào)警：當(dāng)有事件發(fā)生時(shí)，向網(wǎng)絡(luò)內(nèi)的網(wǎng)管軟件發(fā)送 snmp trap 消息報(bào)警。生成日志生成常規(guī)審計(jì)日志：常規(guī)審計(jì)日志在控制臺(tái)實(shí)時(shí)顯示報(bào)警事件，同時(shí)記錄到數(shù)據(jù)庫(kù)中。生成詳細(xì)審計(jì)日志：對(duì)設(shè)置詳細(xì)審計(jì)日志的事件，系統(tǒng)會(huì)詳細(xì)記錄整個(gè)會(huì)話的過程，事后可以通過報(bào)文回放工具重現(xiàn)整個(gè)會(huì)話過程，以便管理員分析，并可作為證據(jù)保留。生成系統(tǒng)日志：在 windows 操作

49、系統(tǒng)日志中，生成記錄。切斷會(huì)話針對(duì) tcp 連接，可以通過 tcprest 的方式切斷入侵會(huì)話。執(zhí)行程序執(zhí)行本地程序。聯(lián)動(dòng)防火墻當(dāng)有入侵事件發(fā)生時(shí)，入侵檢測(cè)系統(tǒng)向防火墻發(fā)送消息，防火墻將動(dòng)態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護(hù)網(wǎng)絡(luò)的安全。8.8. 監(jiān)控監(jiān)控系統(tǒng)的活動(dòng)和狀態(tài)系統(tǒng)的活動(dòng)和狀態(tài)除了提供入侵檢測(cè)功能外，nip 還提供對(duì)各種信息和狀態(tài)的監(jiān)控功能：引擎狀態(tài)監(jiān)控管理員可以實(shí)時(shí)查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網(wǎng)卡的網(wǎng)絡(luò)流量（當(dāng)前會(huì)話數(shù)、當(dāng)前流量、每秒報(bào)文數(shù)和每秒丟包數(shù)） ，通過顯示每秒丟包數(shù)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常情況。服務(wù)器工作狀態(tài)監(jiān)控網(wǎng)絡(luò)中存在很多提供應(yīng)用服務(wù)的服務(wù)器，如：we

50、b 服務(wù)器、ftp服務(wù)器、郵件服務(wù)器等，這些服務(wù)器一般情況下都需要 24 小時(shí)運(yùn)行，因此需要實(shí)時(shí)監(jiān)控這些服務(wù)器是否正常運(yùn)行。通過服務(wù)器工作狀態(tài)監(jiān)控功能，用戶可以及時(shí)發(fā)現(xiàn)服務(wù)器的存活狀態(tài)和相應(yīng)服務(wù)的運(yùn)行情況，以便第一時(shí)間發(fā)現(xiàn)并解決問題，最大限度地減少由于這些服務(wù)器不能正常運(yùn)行而造成的損失。郵件監(jiān)控郵件監(jiān)控可以對(duì)通過 smtp、pop3、imap 和 web 傳送的郵件信息進(jìn)行監(jiān)控，以避免泄漏敏感信息。msn 監(jiān)控nip 可以對(duì) msn 的會(huì)話進(jìn)行監(jiān)控。文件傳輸監(jiān)控nip 以對(duì)通過 ftp 或 msn 傳輸?shù)奈募M(jìn)行監(jiān)控，以避免泄漏敏感信息。實(shí)時(shí)會(huì)話監(jiān)控系統(tǒng)可以實(shí)時(shí)顯示當(dāng)前會(huì)話列表。針對(duì)每一個(gè)會(huì)話

51、，用戶可以查看并記錄會(huì)話內(nèi)容，或者切斷該會(huì)話。有害站點(diǎn)監(jiān)控nip 可以對(duì)黃色和暴力等有害站點(diǎn)的訪問進(jìn)行監(jiān)控。多端口監(jiān)聽nip 可以為每個(gè)引擎定義多個(gè)監(jiān)聽端口，以保護(hù)不同網(wǎng)段。默認(rèn)配置有三個(gè)接口：管理、監(jiān)聽和擴(kuò)展。其中：管理口負(fù)責(zé)與控制臺(tái)進(jìn)行通信；監(jiān)聽口負(fù)責(zé)監(jiān)視網(wǎng)絡(luò)流量；擴(kuò)展口滿足可擴(kuò)展性。經(jīng)過配置，引擎可以同時(shí)對(duì)多個(gè)端口進(jìn)行監(jiān)聽，以適應(yīng)不同的應(yīng)用環(huán)境，如：支持跨網(wǎng)段監(jiān)聽、支持 tap 設(shè)備等。9.9. 日志管理日志管理nip 的日志管理功能主要包括：日志查詢：根據(jù)風(fēng)險(xiǎn)級(jí)別設(shè)置不同的顏色顯示。日志備份：將日志信息備份到指定的目錄下。日志同步：從各引擎接收最新的日志信息。日志刪除：刪除當(dāng)前的日志記

52、錄。日志壓縮：通過壓縮可以釋放未使用的空間。同時(shí)提供備份文件信息記錄和顯示功能，防止備份文件的丟失。10.10.統(tǒng)計(jì)功能統(tǒng)計(jì)功能入侵統(tǒng)計(jì)nip 可以按風(fēng)險(xiǎn)級(jí)別和事件類型對(duì)入侵事件進(jìn)行統(tǒng)計(jì)，還可以按照一定周期查看入侵統(tǒng)計(jì)的發(fā)展趨勢(shì)。流量統(tǒng)計(jì)nip 的控制臺(tái)可以從引擎獲得網(wǎng)絡(luò)流量信息，包括 web 流量統(tǒng)計(jì)，網(wǎng)絡(luò)流量統(tǒng)計(jì)，入侵網(wǎng)絡(luò)流量統(tǒng)計(jì)，以及實(shí)時(shí)流量統(tǒng)計(jì)等，并可通過小時(shí)統(tǒng)計(jì)、日統(tǒng)計(jì)、月統(tǒng)計(jì)、年統(tǒng)計(jì)等多種方式顯示流量統(tǒng)計(jì)結(jié)果。.4 nipnip 10001000 性能指標(biāo)性能指標(biāo)項(xiàng)目nip1000性能設(shè)備類型電信級(jí)4 探頭千兆入侵檢測(cè)吞吐量1.6g檢測(cè)效率100m網(wǎng)絡(luò)環(huán)境下漏報(bào)率：

53、低于1%1000m網(wǎng)絡(luò)環(huán)境下漏報(bào)率：低于5%項(xiàng)目nip1000性能攻擊特征攻擊特征數(shù)：30大類3000余條規(guī)則響應(yīng)方式日志記錄/tcp連接主動(dòng)切斷/重新配置邊緣設(shè)備（如交換機(jī)、防火墻）/e-mail告警/snmp trap告警/syslog告警機(jī)柜尺寸（寬深高）425 mm x 652 mm x88 mm滿配置時(shí)最大重量15kg整機(jī)最大功耗400w電源要求交流輸入電壓：220vac30%處理器2 個(gè) intel xeon2.4ghz內(nèi)存2g接口類型兩個(gè)個(gè)10/100/1000m項(xiàng)目nip1000性能探測(cè)端口(電口)兩個(gè)1000m探測(cè)端口（光口）一個(gè) 100 管理端口(電口)一個(gè)配置串口4.34

54、.3 終端安全管理系統(tǒng)部署終端安全管理系統(tǒng)部署.1終端安全管理系統(tǒng)終端安全管理系統(tǒng)系統(tǒng)的設(shè)計(jì)開發(fā)中完全遵從國(guó)際和國(guó)內(nèi)的相關(guān)行業(yè)標(biāo)準(zhǔn)和軟件工程管理規(guī)范，并完全采用通用化和模塊化設(shè)計(jì)，保證了系統(tǒng)的可擴(kuò)充性，允許用戶開發(fā)新的安全策略來滿足更靈活的安全需求，可以使有安全問題的終端無法接入網(wǎng)絡(luò)，或是在接入網(wǎng)絡(luò)之前已經(jīng)消除了自身的安全問題，從而保證了整個(gè)網(wǎng)絡(luò)的安全。概念設(shè)計(jì)階段就充分考慮了大中型企業(yè)網(wǎng)絡(luò)的應(yīng)用特點(diǎn)，從部署、擴(kuò)容、管理和性能等多方面進(jìn)行了充分驗(yàn)證，系統(tǒng)中的 sps、srs 系統(tǒng)可以靈活的部署在企業(yè)網(wǎng)絡(luò)的任何地方，sacg 設(shè)備也可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行靈活配置，服務(wù)器端采用專用端

55、口和協(xié)議，并內(nèi)嵌防火墻技術(shù)，可防止黑客和病毒的攻擊；agent 軟件自身進(jìn)行了加密處理，可防止黑客篡改和假冒agent；agent 與 sps 之間采用專有通信協(xié)議，認(rèn)證信息和通訊信息進(jìn)行加密處理，并加入時(shí)間戳，可防止黑客的假冒、篡改和重演攻擊； 客戶端認(rèn)證采用用戶名、密碼、ip 地址、mac 地址等多因素綁定方式，保證了認(rèn)證的可信度?？蛻舳?agent 軟件可通過網(wǎng)絡(luò)自動(dòng)升級(jí)，不會(huì)影響用戶終端的使用，十分利于大規(guī)模網(wǎng)絡(luò)的實(shí)施和管理。一個(gè)用于審計(jì)監(jiān)控的安全系統(tǒng)，首先要考慮使用管理上的安全性。secospace 系統(tǒng)在設(shè)計(jì)上對(duì)審計(jì)人員和管理人員的職能劃分采取了分級(jí)分權(quán)管理，確保每一個(gè)人的操作都會(huì)被審計(jì)被監(jiān)控，從而保證了使用的安全性。系統(tǒng)的擴(kuò)容可簡(jiǎn)單通過添加 sacg 設(shè)備和 sps服務(wù)器來實(shí)現(xiàn)。系統(tǒng)提供非常方便的各種日志的查詢功能，多種形式的審計(jì)報(bào)表，幫助審計(jì)人員更好完成審計(jì)工作。1. 安全防護(hù)功能安全防護(hù)功能終端安全防護(hù)系統(tǒng)主要是通過身