高級(jí)人民法院大樓網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

1、XXX級(jí)人民法院網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)解決方案第一章前言第二章需求分析第三章總體建設(shè)方案2.1 方案設(shè)計(jì)原則 2.2 方案建設(shè)目標(biāo) 2.3 整體網(wǎng)絡(luò)架構(gòu) 2.4 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 2.5 局域網(wǎng)設(shè)計(jì)方案 2.6 網(wǎng)絡(luò)層安全設(shè)計(jì)方案 2.6.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 2.6.2 網(wǎng)絡(luò)層安全解決方案 2.7 終端信息安全管理設(shè)計(jì)方案 2.7.1 網(wǎng)絡(luò)接入管理解決方案 2.7.2 補(bǔ)丁分發(fā)解決方案 2.7.3 桌面終端管理 2.8 統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)設(shè)計(jì)方案（先請(qǐng)咨詢鄧霄博） 2.8.1 網(wǎng)絡(luò)管理的必要性 2.8.2 網(wǎng)絡(luò)管理解決方案 29整體方案特點(diǎn) 2.9.1 網(wǎng)絡(luò)結(jié)構(gòu)安全可靠 2.9.2 網(wǎng)絡(luò)終端安全管理 2.9

2、.3 網(wǎng)絡(luò)精細(xì)化管理 210硬件配置建議 第四章產(chǎn)品介紹第五章案例介紹第一章前言“天平工程”建設(shè)目標(biāo)是初步完成全國(guó)各級(jí)人民法院以司法審判信息資源管 理為核心的網(wǎng)絡(luò)和軟硬件設(shè)施建設(shè)、安全和配套設(shè)施基本到位，實(shí)現(xiàn)案件審判工 作及其它各項(xiàng)工作管理全過(guò)程的科學(xué)化、規(guī)范化、實(shí)體化和協(xié)同化，促進(jìn)和保障 人民法院在全社會(huì)實(shí)現(xiàn)“公正與效率”、“司法統(tǒng)一”、“司法便民為民”的目標(biāo)。通過(guò)“天平工程”的建設(shè)提高各級(jí)人民法院審判效率，促進(jìn)司法公正。為了 實(shí)現(xiàn)政務(wù)目標(biāo)，針對(duì)人民法院主要業(yè)務(wù)提出各項(xiàng)業(yè)務(wù)目標(biāo)，使各級(jí)人民法院審判 管理業(yè)務(wù)、審判監(jiān)督業(yè)務(wù)、審判支持業(yè)務(wù)、司法信息公開(kāi)業(yè)務(wù)及內(nèi)部管理等業(yè)務(wù) 能力和水平顯著提高。完

3、善法院司法審判信息系統(tǒng)，完善高級(jí)人民法院、中級(jí)人民法院和基層人民 法院的信息系統(tǒng)建設(shè)，在實(shí)現(xiàn)各級(jí)法院的信息聯(lián)網(wǎng)基礎(chǔ)上進(jìn)行全國(guó)范圍內(nèi)司法審 判信息的查詢、統(tǒng)計(jì)、匯總和分析等數(shù)據(jù)挖掘、數(shù)據(jù)分析功能建設(shè)， 具備與黨委、 人大、政府、政協(xié)、檢察院等相關(guān)部門信息共享的能力，全面提高我國(guó)司法審判 水平。第二章 需求分析各級(jí)人民法院基礎(chǔ)業(yè)務(wù)支撐平臺(tái)和綜合信息交換平臺(tái)是人民法院業(yè)務(wù)網(wǎng)絡(luò)的重要組成部分。人民法院基礎(chǔ)業(yè)務(wù)支撐平臺(tái)和綜合信息交換平臺(tái)的業(yè)務(wù)需求是功能和性能上要求能夠支持?jǐn)?shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)，應(yīng)當(dāng)滿足數(shù)據(jù)傳輸、交換、共享和綜合應(yīng)用，同時(shí)滿足各級(jí)人民法院綜合信息交換平臺(tái)間的數(shù)據(jù)、音視頻信息通信和視頻會(huì)議、

4、遠(yuǎn)程訴訟、案件異地討論和遠(yuǎn)程培訓(xùn)等音視頻的傳輸需求。為解決案件審判質(zhì)量和審判效率及產(chǎn)生的審判效果相關(guān)問(wèn)題，需要人民法院依據(jù)職能，建立相關(guān)信息化基礎(chǔ)設(shè)施。1、建設(shè)和完善審判管理信息系統(tǒng)，加強(qiáng)和規(guī)范立案、審理、執(zhí)行、歸檔、信訪工作的信息化、網(wǎng)絡(luò)化。最大限度的解決由于人民法院和法官的失誤而導(dǎo)致的審判問(wèn)題，有效的降低因此而發(fā)生的涉訴上訪問(wèn)題。并最終形成司法案例庫(kù)用以指導(dǎo)審判工作。2、建設(shè)和完善各級(jí)人民法院之間、人民法院與其它政法機(jī)關(guān)之間、人民法院與監(jiān)獄之間、人民法院與其它需要協(xié)同的部門之間，人民法院與當(dāng)事人、律師之間的網(wǎng)絡(luò)，并建設(shè)傳輸交換系統(tǒng)，有效的解決因溝通不暢，信息掌握不全，信息不一致等原因引起的

5、審判和信訪問(wèn)題。4、利用信息技術(shù)手段搜集司法績(jī)效考核信息、法官績(jī)效考核信息等，協(xié)助本級(jí)法院對(duì)法官、上級(jí)法院對(duì)下級(jí)法院和法官的司法監(jiān)督和司法指導(dǎo)工作。利用音視頻信息傳輸技術(shù)，建設(shè)庭審音視頻信息系統(tǒng)，信訪聽(tīng)證音視頻信息系統(tǒng)等。對(duì)有必要錄音或錄像的案例進(jìn)行錄音錄像，同時(shí)為上級(jí)法院監(jiān)督提供支持。5、建設(shè)和完善人民法院日常工作支持信息系統(tǒng)，提高工作效率。第三章 總體建設(shè)方案3.1 、 方案設(shè)計(jì)原則基于對(duì)xxx1高級(jí)法院業(yè)務(wù)需求的深入理解，結(jié)合自身產(chǎn)品和技術(shù)特點(diǎn)，邁 普公司推出了了完善的XXX1高級(jí)法院網(wǎng)絡(luò)解決方案，為xxx省高級(jí)法院提供“高 擴(kuò)展、多業(yè)務(wù)、高安全”的精品網(wǎng)絡(luò)。xxx省高級(jí)法院網(wǎng)絡(luò)建設(shè)遵循

6、以下基本原則：高帶寬xxx省高級(jí)法院網(wǎng)絡(luò)是一個(gè)龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，全網(wǎng)的組網(wǎng)設(shè)計(jì)的無(wú)瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無(wú)瓶頸的數(shù)據(jù)交換。可增值性xxx省高級(jí)法院網(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到xxx1高級(jí)法院用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對(duì)于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能， xxx 省高級(jí)法院網(wǎng)

7、絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。開(kāi)放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn)，避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開(kāi)放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開(kāi)放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供 網(wǎng)絡(luò)安全防范措施。3.2 、 方案建設(shè)目標(biāo)基礎(chǔ)業(yè)務(wù)支撐平臺(tái)建設(shè)內(nèi)容是滿足人民法院基礎(chǔ)業(yè)務(wù)應(yīng)用要求的網(wǎng)絡(luò)系統(tǒng)設(shè)備、計(jì)算與存儲(chǔ)備份環(huán)境、法庭審判音視頻信息系統(tǒng)支撐環(huán)境、

8、各項(xiàng)業(yè)務(wù)應(yīng)用和安全系統(tǒng)支撐環(huán)境。1）建設(shè)和完善全國(guó)各級(jí)人民法院基礎(chǔ)業(yè)務(wù)支撐平臺(tái)，為人民法院審判工作和其它各項(xiàng)工作管理提供網(wǎng)絡(luò)系統(tǒng)、法庭審判音視頻信息管理和應(yīng)用系統(tǒng)運(yùn)行環(huán)境的支撐與服務(wù)；2）依托本級(jí)法院局域網(wǎng)環(huán)境，建設(shè)和完善覆蓋中級(jí)以上人民法院和基層法院的綜合信息交換平臺(tái)， 實(shí)現(xiàn)人民法院間審判信息和其它各類信息的應(yīng)用與管理，保障網(wǎng)絡(luò)與信息的安全傳輸與可信交換。3）在全國(guó)各級(jí)人民法院建設(shè)司法、監(jiān)測(cè)分析、宏觀決策、司法公開(kāi)和內(nèi)部管理等五大類作業(yè)子系統(tǒng)，全面提高人民法院審判工作的公正性和透明度，實(shí)現(xiàn)人民法院審判工作的科學(xué)化、規(guī)范化、實(shí)體化管理。4）以人民法院司法審判信息資源管理和應(yīng)用為核心，建設(shè)覆蓋最

9、高人民法院、高級(jí)人民法院和中級(jí)人民法院的三級(jí)司法信息資源庫(kù)；建設(shè)最高人民法院和高級(jí)人民法院二級(jí)數(shù)據(jù)中心，實(shí)現(xiàn)中級(jí)以上人民法院訴訟信息的綜合應(yīng)用，為人民法院審判工作、最高院司法資源的整合和配置、最高院對(duì)市中院場(chǎng)經(jīng)濟(jì)秩序的宏觀分析、最高院立法等提供翔實(shí)的信息支持和服務(wù)。5）建設(shè)全國(guó)法院執(zhí)行案件信息管理系統(tǒng)及統(tǒng)一的執(zhí)行威懾門戶系統(tǒng)，形成全國(guó)法院執(zhí)行威懾體系，并與政府相關(guān)部門工作協(xié)同，為銀行、工商、海關(guān)等部門提供信息聯(lián)動(dòng)服務(wù)。6）建設(shè)人民法院業(yè)務(wù)網(wǎng)絡(luò)統(tǒng)一門戶系統(tǒng)，為全國(guó)各級(jí)人民法院提供統(tǒng)一登錄入口和高效綜合信息交換業(yè)務(wù)服務(wù)的門戶網(wǎng)站。7）完善人民法院互聯(lián)網(wǎng)網(wǎng)站內(nèi)容建設(shè)，提供網(wǎng)上訴訟指南、法律及法規(guī)查詢

10、、案例查詢等司法便民服務(wù)。3.3 、 整體網(wǎng)絡(luò)架構(gòu)在XXX省高級(jí)法院網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。典型的網(wǎng)絡(luò)結(jié)構(gòu)可以分成三層：接入層、匯聚層、核心層。1) 接入層：提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成簡(jiǎn)單的二、三層交換，安全、Qos和PO或能都位于這一層。對(duì)于法院網(wǎng)絡(luò)的接入層設(shè)備，建議采用千兆三層 接入的方式，應(yīng)該具有線速三層交換、高級(jí)QoSft略等功能。2) 匯聚層： 匯聚來(lái)自配線間的流量和執(zhí)行策略， 當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)；對(duì)于法院網(wǎng)絡(luò)的匯聚層設(shè)備

11、，應(yīng)該能夠承載校園園區(qū)的多種融合業(yè)務(wù)，能夠融合了MPLS、 IPv6 、網(wǎng)絡(luò)安全、無(wú)線等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，能夠承載法院融合業(yè)務(wù)的需求。3) 核心層： 網(wǎng)絡(luò)的骨干， 必須能夠提供高速數(shù)據(jù)交換和路由快速收斂， 要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。對(duì)于校園園區(qū)網(wǎng)核心層，必須提供高性能、 高可靠的網(wǎng)絡(luò)結(jié)構(gòu)， 推薦采用高可靠的環(huán)網(wǎng)結(jié)構(gòu)或多設(shè)備冗余的星型結(jié)構(gòu)。對(duì)于法院網(wǎng)絡(luò)核心層設(shè)備，應(yīng)該在提供大容量、高性能 L2/L3 交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件 IPv6 、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為法院構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT 資源整

12、合的需求。3.4 、網(wǎng)絡(luò)詳細(xì)設(shè)計(jì)3.5 、局域網(wǎng)設(shè)計(jì)方案高院網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)設(shè)計(jì)方案對(duì)于高院局域網(wǎng)絡(luò)建設(shè)，本次建設(shè)采用內(nèi)外網(wǎng)物理隔離的方式。推薦采用千兆接入組網(wǎng)模型。為用戶提供三層千兆到桌面的接入服務(wù)，整網(wǎng)配置OSPFW議,網(wǎng)絡(luò)故障收斂速度快、易于管理和維護(hù)。VLANK結(jié)在接入端口，限制廣播域范圍， 較少?gòu)V播報(bào)文對(duì)網(wǎng)絡(luò)帶寬的消耗。從接入層開(kāi)始即可進(jìn)行快速三層交換，利用網(wǎng)絡(luò)中存在的等價(jià)多路徑實(shí)現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)。網(wǎng)絡(luò)按照分層、模塊化的思路進(jìn)行設(shè)計(jì)和規(guī)劃，根據(jù)業(yè)務(wù)、區(qū)域等規(guī)劃因素進(jìn)行模塊化區(qū)域劃分，每個(gè)區(qū)域有自己的匯聚核心與網(wǎng)絡(luò)核心相連。網(wǎng)絡(luò)各層設(shè)備都為三層設(shè)備，支持OSPF在接入層設(shè)備上提供千兆端

13、口接入。接入層千兆雙 歸屬到匯聚層設(shè)備，提供鏈路冗余備份。區(qū)域匯聚核心間提供千兆鏈路連接，雙機(jī)備份和加速路由收斂。匯聚層千兆雙歸屬到網(wǎng)絡(luò)核心，根據(jù)實(shí)際帶寬需要也可千兆鏈路捆綁雙上行到核心，匯聚層可采用堆疊設(shè)備，它提供的分布式路由和分布式設(shè)備管理使整個(gè)堆疊設(shè)備當(dāng)成一臺(tái)交換機(jī)進(jìn)行路由轉(zhuǎn)發(fā)和管理，而且支持熱插拔，不會(huì)因?yàn)槎询B組單臺(tái)設(shè)備故障引起整個(gè)接入業(yè)務(wù)中斷。兩臺(tái)核心設(shè)備間通 過(guò)千兆捆綁鏈路連接，完成高速數(shù)據(jù)交換和雙機(jī)熱備份。內(nèi)網(wǎng)部分：核心采用兩臺(tái)邁普的 MyPower S6800-08A心交換機(jī)承擔(dān)全網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)， 匯聚采用邁普的MyPoweS4200-28FC實(shí)現(xiàn)對(duì)接入交換機(jī)的接入，分擔(dān)核心交換

14、機(jī) 的壓力，接入層采用邁普的MyPower S3200系列交換機(jī)。根據(jù)XXX省高法大樓的 建設(shè)需求， 一號(hào)樓每層 52 個(gè)信息點(diǎn)， 總共 13 層。 所以每層放置一臺(tái) 24 口和一臺(tái) 48 口個(gè)接入交換機(jī)，總共使用 3 個(gè)匯聚交換機(jī)即可，接入交換機(jī)通過(guò)雙光纖鏈路連接至匯聚交換機(jī)， 匯聚交換機(jī)通過(guò)雙光纖鏈路上聯(lián)至核心。 二號(hào)樓每層34 個(gè)信息點(diǎn)的接入， 總共 9 層。 每層放置一臺(tái) 48 口接入交換機(jī)， 每 4 層使用一個(gè)匯聚交 換機(jī)，接入交換機(jī)通過(guò)雙光纖鏈路連接至匯聚交換機(jī)，匯聚交換機(jī)通過(guò)雙光纖鏈路上聯(lián)至核心。外網(wǎng)部分：核心采用兩臺(tái)邁普的 MyPower S6800-08A心交換機(jī)承擔(dān)全網(wǎng)的數(shù)

15、據(jù)轉(zhuǎn)發(fā)， 匯聚采用邁普的MyPoweS4200-28FC實(shí)現(xiàn)對(duì)接入交換機(jī)的接入，分擔(dān)核心交換機(jī) 的壓力，接入層采用邁普的MyPower S3200系列交換機(jī)。根據(jù)XXX省高法大樓的 建設(shè)需求， 一號(hào)樓每層 52 個(gè)信息點(diǎn)， 總共 13 層。 所以每層放置一臺(tái) 24 口和一臺(tái) 48 口個(gè)接入交換機(jī)，總共使用 3 個(gè)匯聚交換機(jī)即可，接入交換機(jī)通過(guò)雙光纖鏈路連接至匯聚交換機(jī)， 匯聚交換機(jī)通過(guò)雙光纖鏈路上聯(lián)至核心。 二號(hào)樓每層34 個(gè)信息點(diǎn)的接入， 總共 9 層。 每層放置一臺(tái) 48 口接入交換機(jī)， 每 4 層使用一個(gè)匯聚交換機(jī)，接入交換機(jī)通過(guò)雙光纖鏈路連接至匯聚交換機(jī)，匯聚交換機(jī)通過(guò)雙光纖鏈路上聯(lián)至

16、核心。在互聯(lián)網(wǎng)區(qū)放置兩臺(tái)邁普MSG 4000-G軟現(xiàn)互聯(lián)網(wǎng)出口的審計(jì)、行為管理、防火墻等功能，保障高法網(wǎng)內(nèi)的安全性。3.6 、 網(wǎng)絡(luò)層安全設(shè)計(jì)方案3.6.1、 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析首先應(yīng)在對(duì)法院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析的基礎(chǔ)上，做到統(tǒng)一規(guī)劃，全面考慮；其次， 應(yīng)積極采用各種先進(jìn)技術(shù)， 如虛擬交換網(wǎng)絡(luò)（ VLAN） 、 防火墻技術(shù)、 加密技術(shù)、虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)、PKI技術(shù)等，并實(shí)現(xiàn)集中統(tǒng)一的配置、監(jiān)控、管理；最 后，應(yīng)加強(qiáng)有關(guān)網(wǎng)絡(luò)安全保密的各項(xiàng)制度和規(guī)范的制定，并予以嚴(yán)格實(shí)行。為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)

17、果及目前主要面臨的問(wèn)題設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。1. 物理層的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用，它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。如：設(shè)備被盜、被毀壞鏈路老化或被有意或者無(wú)意的破壞因電子輻射造成信息泄露設(shè)備意外故障、停電地震、火災(zāi)、水災(zāi)等自然災(zāi)害因此，法院網(wǎng)絡(luò)在網(wǎng)絡(luò)安全考慮時(shí)，首先要考慮物理安全。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障，計(jì)算機(jī)系統(tǒng)通過(guò)無(wú)線電輻射泄露秘密信息等。2. 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析重要數(shù)據(jù)被破壞由于目前尚無(wú)安全的數(shù)據(jù)庫(kù)及個(gè)人終端安全保護(hù)措施，還不能抵御來(lái)自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫(kù)及

18、個(gè)人終端的攻擊。同時(shí)一旦不法分子針對(duì)網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴(yán)重的影響和損失。存儲(chǔ)數(shù)據(jù)對(duì)于法院來(lái)說(shuō)極為重要，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析由于當(dāng)發(fā)生安全事件希望把造成的影響降到最低，因此在做安全系統(tǒng)設(shè)計(jì)時(shí)需要按照實(shí)際網(wǎng)絡(luò)情況劃分網(wǎng)絡(luò)邊界以達(dá)到隔離網(wǎng)絡(luò)的目的。3. 應(yīng)用層安全風(fēng)險(xiǎn)分析由于法院對(duì)外提供網(wǎng)上 WWW務(wù)，因此存在外網(wǎng)非法用戶對(duì)內(nèi)部網(wǎng)和服務(wù)器的攻擊。身份認(rèn)證漏洞服務(wù)系統(tǒng)登錄和主機(jī)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，且在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可重復(fù)使用。這樣非法用戶

19、通過(guò)網(wǎng)絡(luò)竊聽(tīng)，非法數(shù)據(jù)庫(kù)訪問(wèn)， 窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法訪問(wèn)和越權(quán)操作。對(duì)法院的網(wǎng)上服務(wù)平臺(tái)，必須加強(qiáng)用戶的身份認(rèn)證，防止對(duì)法院網(wǎng)絡(luò)資源的非授權(quán)訪問(wèn)以及越權(quán)操作。wwwffi務(wù)漏洞WebServer 目前正在成為法院對(duì)外宣傳、開(kāi)展業(yè)務(wù)的基地，但公開(kāi)服務(wù)器本身不能保證沒(méi)有漏洞，不法分子可能利用服務(wù)的漏洞修改頁(yè)面甚至破壞服務(wù)器。系統(tǒng)中的BUG使得黑客可以遠(yuǎn)程對(duì)公開(kāi)服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無(wú)限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)” ，最終引起整個(gè)系統(tǒng)的崩潰。這就要求我們必須提高服務(wù)器的抗破壞能力，防止拒絕服務(wù)（

20、DOS或分布式!絕服務(wù)（DDO S之類的惡意攻擊，提高服務(wù)器備份與恢復(fù)、防篡改與自動(dòng)修復(fù)能力。電子郵件系統(tǒng)漏洞電子郵件為網(wǎng)絡(luò)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶進(jìn)行電子郵件發(fā)送和接收時(shí)存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、 蠕蟲等） 、病毒程序等， 由于許多用戶安全意識(shí)比較淡薄， 對(duì)一些來(lái)歷不明的郵件， 沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。3.6.2、 網(wǎng)絡(luò)層安全解決方案依照法院安全保障體系規(guī)劃，本章提出安全技術(shù)體系的具體配置部署方案。1. 防火墻分系統(tǒng)訪問(wèn)控制分系統(tǒng)是信息安全體系的基本組成要素，網(wǎng)絡(luò)層的訪問(wèn)控制通過(guò)防火墻實(shí)現(xiàn)。防火墻提供了在不同安全級(jí)別的多個(gè)系統(tǒng)網(wǎng)

21、絡(luò)之間提供共享數(shù)據(jù)的訪問(wèn)控制能力。 法院信息網(wǎng)絡(luò)是一個(gè)綜合的網(wǎng)絡(luò)系統(tǒng)， 存在著不同安全級(jí)別的網(wǎng)絡(luò)。為了防止不同安全域的安全威脅在整體法院信息系統(tǒng)中傳播，我們?cè)诓煌踩蛑g部署防火墻進(jìn)行邏輯隔離。防火墻是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部重點(diǎn)網(wǎng)段的隔離，通過(guò)限制網(wǎng)絡(luò)互訪來(lái)限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。防火墻是建立在內(nèi)部網(wǎng)絡(luò)與外部之間的唯一安全通道，通過(guò)制定相應(yīng)的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進(jìn)入，同時(shí)將不符合條件的數(shù)據(jù)拒之門外，即 “法無(wú)許可即禁止”。 這樣就可以阻止非法用戶的侵入，保證內(nèi)部網(wǎng)絡(luò)的安全。因此，防火墻的作用是

22、防止不希望的、未授權(quán)的通信進(jìn)出被保護(hù)的網(wǎng)絡(luò)，迫使單位強(qiáng)化自己的網(wǎng)絡(luò)安全策略。一般的防火墻都可以達(dá)到以下目的：一是可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全服務(wù)和非法用戶；二是防止入侵者接近你的防御設(shè)施；三是限定用戶訪問(wèn)特殊站點(diǎn)。法院系統(tǒng)是一個(gè)業(yè)務(wù)非常重要， 安全級(jí)別要求較高的網(wǎng)絡(luò)系統(tǒng)， 在本方案中，我們建議法院內(nèi)部網(wǎng)絡(luò)邊界處防火墻作為統(tǒng)一的接入控制設(shè)備，針對(duì)法院網(wǎng)絡(luò)系統(tǒng)，防火墻主要解決的問(wèn)題如下：防止非法的訪問(wèn)與數(shù)據(jù)包：一般來(lái)講，總是利用高端口發(fā)送數(shù)據(jù)包來(lái)進(jìn)行攻擊行為，那么我們只需要封閉這些端口，或者一些沒(méi)有用處的協(xié)議（比如 ICMP協(xié)議） ，就能夠有效的防范攻擊，特別是外網(wǎng)用戶，由于在內(nèi)部有各類

23、應(yīng)用服務(wù)，我們必須確保只有對(duì)應(yīng)的服務(wù)才能經(jīng)過(guò)防火墻，而其他的訪問(wèn)均被禁止，從而保護(hù)各類應(yīng)用服務(wù)的安全。防止地址欺騙： 一方面， 來(lái)自其它網(wǎng)絡(luò)的訪問(wèn)者會(huì)將自己的 IP 地址偽裝成內(nèi)部地址，從而繞過(guò)防火墻發(fā)起對(duì)內(nèi)網(wǎng)的攻擊；另一方面，內(nèi)部用戶通過(guò)修改自己的地址，而獲得更高的訪問(wèn)權(quán)限；這些行為都會(huì)給單位的網(wǎng)絡(luò)形成安全威脅，那么防火墻通過(guò)MAC 地址綁定技術(shù)、源地址識(shí)別等技術(shù)，能夠識(shí)別出這些地址欺騙行為，從而更有效的執(zhí)行訪問(wèn)控制策略；對(duì)內(nèi)部用戶進(jìn)行應(yīng)用層深度管理：對(duì)HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容 進(jìn)行管理，保護(hù)終端用戶合法有效地使用各種網(wǎng)絡(luò)資源；對(duì)用戶、IP、組等對(duì)象進(jìn)行上傳，下載等細(xì)致

24、的流量控制； QOS 功能，保證重要數(shù)據(jù)優(yōu)先上傳。網(wǎng)頁(yè)訪 問(wèn)控制； WEB 認(rèn)證、文件上傳下載控制、代理識(shí)別。2. 入侵防御分系統(tǒng)在內(nèi)聯(lián)網(wǎng)各節(jié)點(diǎn)需要重點(diǎn)保護(hù)網(wǎng)段的主交換機(jī)上配備入侵檢測(cè)系統(tǒng)，通過(guò)中心控制臺(tái)對(duì)各節(jié)點(diǎn)進(jìn)行集中統(tǒng)一管理。包括制定安全策略、修改安全策略以及升級(jí)攻擊代碼庫(kù)等。入侵檢測(cè)系統(tǒng)在重要保護(hù)網(wǎng)絡(luò)系統(tǒng)中是訪問(wèn)控制設(shè)備防火墻最有利用的補(bǔ)充。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如發(fā)現(xiàn)違規(guī)訪問(wèn)、阻斷網(wǎng)絡(luò)連接、內(nèi)部越權(quán)訪問(wèn)等，發(fā)現(xiàn)更為隱蔽的攻擊。法院網(wǎng)絡(luò)系統(tǒng)安全體系必須建立一個(gè)智能化的實(shí)時(shí)攻擊識(shí)別和響應(yīng)系統(tǒng)，管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)

25、安全防護(hù)能力能夠不斷增強(qiáng)。目前網(wǎng)絡(luò)入侵安全問(wèn)題主要采用網(wǎng)絡(luò)入侵監(jiān)測(cè)系統(tǒng)等成熟產(chǎn)品和技術(shù)來(lái)解決。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)能滿足以下要求：? 能在網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)實(shí)時(shí)地分布協(xié)同地入侵檢測(cè)， 全面檢測(cè)可能的入侵行 為。能及時(shí)識(shí)別各種黑客攻擊行為，發(fā)現(xiàn)攻擊時(shí)，阻斷弱化攻擊行為、并能詳細(xì)記錄，生成入侵檢測(cè)報(bào)告，及時(shí)向管理員報(bào)警。? 能夠按照管理者需要進(jìn)行多個(gè)層次的掃描， 按照特定的時(shí)間、 廣度和細(xì)度 的需求配置多個(gè)掃描。? 能夠支持大規(guī)模并行檢測(cè)，能夠方便地對(duì)大的網(wǎng)絡(luò)同時(shí)執(zhí)行多個(gè)檢測(cè)。? 所采用的入侵檢測(cè)產(chǎn)品和技術(shù)不能被繞過(guò)或旁路。? 檢測(cè)和掃描行為不能影響正常的網(wǎng)絡(luò)連接服務(wù)和網(wǎng)絡(luò)的效率。? 檢測(cè)的特征庫(kù)要全面

26、并能夠及時(shí)更新。? 安全檢測(cè)策略可由用戶自行設(shè)定，對(duì)檢測(cè)強(qiáng)度和風(fēng)險(xiǎn)程度進(jìn)行等級(jí)管理，用戶可根據(jù)不同需求選擇相應(yīng)的檢測(cè)策略。? 能夠幫助建立安全策略， 具有詳細(xì)的幫助數(shù)據(jù)庫(kù)， 幫助管理員實(shí)現(xiàn)網(wǎng)絡(luò)的安全，并且制定實(shí)際的、可強(qiáng)制執(zhí)行的網(wǎng)絡(luò)安全策略。3. 防病毒網(wǎng)關(guān)分系統(tǒng)病毒是系統(tǒng)中最常見(jiàn)、威脅最大的安全來(lái)源，建立一個(gè)全方位的病毒防范系統(tǒng)是法院網(wǎng)絡(luò)系統(tǒng)安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問(wèn)題。根據(jù)法院系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和計(jì)算機(jī)分布情況，以及目前客戶端防病毒軟件安裝及使用不能完全防范病毒等現(xiàn)狀，利用邊界安全網(wǎng)關(guān)在網(wǎng)絡(luò)中的特殊位置，使得電腦病毒在進(jìn)行擴(kuò)散之前得到有效處理。通過(guò)現(xiàn)有的

27、客戶端防病毒系統(tǒng)和網(wǎng)絡(luò)中的邊界安全網(wǎng)關(guān)防病毒系統(tǒng)能夠形成從多層次進(jìn)行病毒防范，第一層工作站、服務(wù)器，第二層網(wǎng)關(guān)都能有相應(yīng)的防毒功能提供完整的、全面的防病毒保護(hù)。病毒防護(hù)功能特色基于流、低延時(shí)、高并發(fā)、高性能的病毒過(guò)濾支持對(duì)大病毒文件也能檢測(cè)實(shí)時(shí)病毒連接阻斷，病毒事件記錄支持常見(jiàn)病毒傳輸協(xié)議HTTR FTP及各種郵件協(xié)議掃描超過(guò) 40 萬(wàn)的病毒特征庫(kù)，病毒庫(kù)定時(shí)自動(dòng)更新支持應(yīng)用處理模塊4. 內(nèi)網(wǎng)機(jī)密信息安全訪問(wèn)解決方案內(nèi)網(wǎng)是一個(gè)完全獨(dú)立的網(wǎng)絡(luò)， 因此數(shù)據(jù)在網(wǎng)絡(luò)平臺(tái)的傳輸過(guò)程相對(duì)比較安全，但是對(duì)于一些重要信息，尤其是一些機(jī)密信息，需要嚴(yán)格保證這些數(shù)據(jù)在傳輸過(guò)程中的安全。因此，雖然這些數(shù)據(jù)傳輸在一個(gè)

28、相對(duì)獨(dú)立的內(nèi)網(wǎng)，但是仍然存在被偵聽(tīng)破解的可能，需要有合理有效的方式解決這個(gè)問(wèn)題，我們建議采用基于 VPN的解決方案，是一種非常安全而且靈活的解決方案。適用環(huán)境：移動(dòng)辦公SOHO,便攜筆記本。方案實(shí)現(xiàn)： 在便攜終端上安裝 VPN 軟件客戶端（ SSL VPN 方式可以免除軟件安裝）和USB KEY設(shè)備，便攜終端外接 GPRS, CDMA-1X Modem通過(guò)移動(dòng)撥號(hào)連接 Internet 與法院中心的 VPN 網(wǎng)關(guān)之間建立VPN 隧道，完成移動(dòng)辦公，使用 SSL VPN 方式可以免除客戶端軟件安裝。方案優(yōu)勢(shì)：? MSG4000安全網(wǎng)關(guān)可同時(shí)提供IPSec和SSL兩種VPN接入方式，可以提供根據(jù)業(yè)

29、務(wù)選擇不同的接入方式? SSL VPN 可以提供免安裝軟件接入，對(duì)于 B/S 模式的業(yè)務(wù)支持能力強(qiáng)，維護(hù)成本較低，但對(duì)于復(fù)雜業(yè)務(wù)的處理支持能力有限? 可以支持 USB-SecKEY ， RSA 等多種硬件認(rèn)證方法，保證移動(dòng)終端接入的可靠性? 接入方式靈活，支持ADSL ， GPRS， CDMA 1X， Modem 等多種移動(dòng)接入方案5. 上網(wǎng)行為審計(jì)解決方案互聯(lián)網(wǎng)的興起與普及為人們的工作和生活提供了極大的便利，與此同時(shí)，經(jīng)由內(nèi)部訪問(wèn)互聯(lián)網(wǎng)導(dǎo)致的帶寬濫用、效率下降、信息泄漏、法律風(fēng)險(xiǎn)、安全隱患等問(wèn)題日益凸顯。例如，在企業(yè)內(nèi)部，部分員工利用工作時(shí)間在線炒股、玩在線游戲、欣賞音樂(lè)和視頻、通過(guò) P2P

30、工具下載、使用即時(shí)通訊工具無(wú)節(jié)制地網(wǎng)絡(luò)聊天、通過(guò)網(wǎng)絡(luò)外泄公司機(jī)密；在網(wǎng)吧等一些公共上網(wǎng)場(chǎng)所，人們可以隨意瀏覽不健康網(wǎng)站、發(fā)表不負(fù)責(zé)任的言論、甚至參與非法網(wǎng)絡(luò)活動(dòng)針對(duì)互聯(lián)網(wǎng)所帶來(lái)的上述問(wèn)題， 需要為法院提供可控制的上網(wǎng)行為管理功能。該功能通過(guò)對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制和管理，有效解決因接入互聯(lián)網(wǎng)而可能引發(fā)的各種問(wèn)題，優(yōu)化對(duì)互聯(lián)網(wǎng)資源的應(yīng)用。上網(wǎng)行為管理功能對(duì)網(wǎng)絡(luò)游戲、在線聊天、在線炒股、P2P下載、網(wǎng)頁(yè)訪問(wèn)、郵件外發(fā)及論壇發(fā)帖等各種網(wǎng)絡(luò)行為進(jìn)行全面控制管理，并可以根據(jù)需要針對(duì)不同用戶、不同網(wǎng)絡(luò)行為、不同時(shí)間進(jìn)行靈活的管理策略設(shè)置和日志記錄，同時(shí)能夠配合集中網(wǎng)絡(luò)安全管理系統(tǒng)對(duì)網(wǎng)絡(luò)行為日志進(jìn)行查詢

31、統(tǒng)計(jì)與審計(jì)分析，從而為網(wǎng)絡(luò)管理者的決策和管理提供重要的數(shù)據(jù)依據(jù)。上網(wǎng)行為管理功能主要通過(guò)策略機(jī)制實(shí)現(xiàn)，網(wǎng)絡(luò)管理者可以針對(duì)不同用戶制定適合的上網(wǎng)行為管理策略規(guī)則，系統(tǒng)則會(huì)根據(jù)策略規(guī)則對(duì)網(wǎng)絡(luò)應(yīng)用流量進(jìn)行行 為控制和管理。上網(wǎng)行為管理策略規(guī)則共分為三類：網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則、網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則和外發(fā)信息控制策略規(guī)則網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則網(wǎng)絡(luò)應(yīng)用控制策略規(guī)則對(duì)網(wǎng)絡(luò)應(yīng)用的使用進(jìn)行控制。根據(jù)不同的協(xié)議及應(yīng)用領(lǐng)域?qū)⒕W(wǎng)絡(luò)應(yīng)用分為網(wǎng)絡(luò)游戲、即時(shí)通訊、在線炒股、 P2P 協(xié)議、流媒體協(xié)議、其他協(xié)議、FTP控制以及HTTP空制等等大類，每一大類中又包含若干具體的子應(yīng)用和協(xié)議。網(wǎng)絡(luò)管理者可以根據(jù)需要，對(duì)各種應(yīng)用和協(xié)議

32、制定基于用戶和時(shí)間表 的策略規(guī)則，以實(shí)現(xiàn)對(duì)用戶上網(wǎng)行為的控制。網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則網(wǎng)頁(yè)內(nèi)容控制策略規(guī)則包括 URLM濾策略規(guī)則和關(guān)鍵字過(guò)濾策略規(guī)則。網(wǎng)頁(yè) 內(nèi)容控制策略規(guī)則能夠?qū)τ脩粼L問(wèn)的網(wǎng)頁(yè)進(jìn)行控制。URL過(guò)濾策略規(guī)則可以基于系統(tǒng)預(yù)定義的URLfe別和用戶自定義的URL類別，對(duì)用戶所訪問(wèn)的網(wǎng)頁(yè)進(jìn)行過(guò)濾。 關(guān)鍵字過(guò)濾策略規(guī)則可以基于用戶自定義的關(guān)鍵字類別，對(duì)用戶所訪問(wèn)的網(wǎng)頁(yè)進(jìn)行過(guò)濾，同時(shí)，能夠通過(guò)SSL代理功能對(duì)用戶所訪問(wèn)的含有某特定關(guān)鍵字的HTTPS加密網(wǎng)頁(yè)進(jìn)行過(guò)濾。外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email 控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠?qū)τ脩舻耐獍l(fā)信息進(jìn)行控制。Ema

33、il控制策略規(guī)則能夠?qū)νㄟ^(guò)SMTP；、議發(fā)送 的郵件和Webmail外發(fā)郵件進(jìn)行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關(guān) 鍵字、附件名稱和附件大小對(duì)郵件的發(fā)送進(jìn)行限制。同時(shí)，能夠通過(guò)SSL代理功能控制 Gmail 加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠?qū)νㄟ^(guò)HTTP Post 方法上傳的有某關(guān)鍵字的內(nèi)容進(jìn)行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關(guān)鍵 字的帖子。上網(wǎng)行為管理作為網(wǎng)絡(luò)層安全設(shè)計(jì)中一部分，與訪問(wèn)控制、Qos、 IPS 等模塊構(gòu)成企業(yè)網(wǎng)絡(luò)出口的安全屏障。對(duì)外可進(jìn)行入侵防護(hù)和非法訪問(wèn)阻斷，對(duì)內(nèi)可進(jìn)行WEBJ問(wèn)、P2R IM等應(yīng)用進(jìn)行審計(jì)。從而使網(wǎng)絡(luò)的安全性得到提高，使應(yīng)用和用戶的行為

34、能夠可視化。3.7 、整體方案特點(diǎn)3.7.1、 網(wǎng)絡(luò)結(jié)構(gòu)安全可靠核心網(wǎng)可靠性、可用性的保障，低成本，快速收斂。滿足法院局域網(wǎng)關(guān)鍵業(yè) 務(wù)高可用性要求。針對(duì)法院復(fù)雜組網(wǎng)環(huán)境，提供全線速、高密度的萬(wàn)兆解決方案。 對(duì)用戶接入的有效控制，符合策略的終端才能接入網(wǎng)絡(luò)。低成本高速率桌面接入， 適用單位各個(gè)部門、服務(wù)器群的接入。3.7.2、 網(wǎng)絡(luò)精細(xì)化管理通過(guò)網(wǎng)絡(luò)精細(xì)化管理，能夠?qū)崟r(shí)監(jiān)視所有設(shè)備的運(yùn)行狀況，通過(guò)可視化的網(wǎng) 絡(luò)拓?fù)浣缑鎺椭脩艏皶r(shí)了解網(wǎng)絡(luò)的變化。幫助用戶主動(dòng)監(jiān)視網(wǎng)絡(luò)的狀況，及時(shí) 發(fā)現(xiàn)網(wǎng)絡(luò)潛在的隱患。同時(shí)，豐富的歷史性能統(tǒng)計(jì)數(shù)據(jù)為用戶升級(jí)擴(kuò)容網(wǎng)絡(luò)提供 了客觀準(zhǔn)確的參考?？晒芾硭兄С謽?biāo)準(zhǔn)SNM啊管

35、協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè) 備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。3.8 、硬件配置建議序 號(hào)產(chǎn)品型號(hào)描述數(shù) 量?jī)r(jià) 格合 計(jì)核心交換機(jī)1SM6800-08A-MFSM6800-08A-MF交換機(jī)箱（含背板、防塵 板），2個(gè)主控插槽、2個(gè)交換矩陣板插 槽、8個(gè)線卡插槽、1個(gè)風(fēng)扇插槽，8個(gè) 電源插槽。102SM68A-MPUBH主控卡（含軟件），必配 1張，支持2張 冗余備份。建議配置兩條DDR400-512S, 可選配一個(gè) U盤和一個(gè) CF卡。用于SM6800-08A-MF、SM6800-16A-MF203SM68A-SFUBH交換矩陣卡，必配1張，支持2張冗余備20份。適用于 SM6800-08A

36、-MF、SM6800-16A-MF4SM68A-24GET24GEFH24端口千兆光接口（需配SFP光模塊）+ 24端口千兆電接口，可選配POE莫塊，該模塊可支持3個(gè)POE內(nèi)存插槽一條， 的配置 DDR400-512S。適陽(yáng)S6800-02A/04A/08A/16A-MF 系列主機(jī)105SM68A-SIUH液晶顯示模塊，用于SM6800-08A-MF v1 版、SM6800-16A-MF V1 版，必配 1 張，。106AD1000-1S007Z1000瓦交流電源模塊，必配 1個(gè)，支持N+1 冗余備份。適用于S6800-02A/04A/08A/16A-MF 系列主機(jī)。207FAN-13A-01

37、風(fēng)扇，必配1個(gè)，用于 SM6800-08A-MF108DDR400-512S512MDDRA除,內(nèi)存訪問(wèn)速度 400,封裝為SODIMM509SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長(zhǎng) 1310nm）100單套設(shè)備合計(jì)： 0數(shù)量/總計(jì)4 0匯聚交換機(jī)1SM4200-28FC千兆三層路由交換機(jī)（24個(gè)千兆SFP以 太口，12 個(gè) 10/100/1000M 電接口，2 個(gè) 擴(kuò)展糟），交直流電源102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長(zhǎng) 1310nm）100單套設(shè)備合計(jì)： 0數(shù)量/總

38、計(jì)10 0接入交換機(jī)1SM3200-50T-AC網(wǎng)管型千兆交換機(jī)主機(jī)（44個(gè)10/100/1000M 電口，4 個(gè)千兆 Combo接口， 2個(gè)千兆電口，交流主機(jī)）102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長(zhǎng) 1310nm）20單套設(shè)備合計(jì)： 0數(shù)量/總計(jì)42 0接入交換機(jī)1SM3200-26T-AC網(wǎng)管型千兆交換機(jī)主機(jī)（20個(gè)10/100/1000M 電口，4 個(gè)千兆 Combo接口， 2個(gè)千兆電口，交流主機(jī)）102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長(zhǎng) 1310nm）20單

39、套設(shè)備合計(jì)： 0數(shù)量/總計(jì)26 0出口網(wǎng)關(guān)1MPSecMSG4000-G4-AC千兆中端安全網(wǎng)關(guān)，配置4個(gè)GE 口+4個(gè)SFP 口；提供2個(gè)模塊化插槽，可以擴(kuò)展 8SFP/8GE/4 口 Bypass模塊；配置單交流 電源，標(biāo)準(zhǔn)1U設(shè)備；默認(rèn)支持防火墻 /IPSec VPN 功能，通過(guò) License 擴(kuò)展可 以支持完善的IPS/AV/SSL VPN/流量控制 /上網(wǎng)行為管理/URL過(guò)濾等功能10單套設(shè)備合計(jì)： 0數(shù)量/總計(jì)2 03 、 產(chǎn)品介紹MyPower S6800 系列產(chǎn)品介紹產(chǎn)品概述MyPower S6800 系列萬(wàn)兆核心路由交換機(jī)外觀圖MyPower S6800 系列高性能萬(wàn)兆核心

40、路由交換機(jī)是邁普公司推出的新一代多業(yè)務(wù)高性能電信級(jí)核心交換機(jī)平臺(tái)產(chǎn)品，可以向用戶提供高性能、高可靠、多業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)。MyPower S6800 系列高性能電信級(jí)交換機(jī)采用先進(jìn)的 200G 交換平臺(tái)，可以提供超大容量 L2/L3 層數(shù)據(jù)交換服務(wù)；采用 ATCA 理念，先進(jìn)的電信級(jí)99.999%設(shè)備穩(wěn)定性設(shè)計(jì)，所有部件全冗余， 主控卡和交換矩陣硬件分離； 支持 MPLS 和 IPv6 數(shù)據(jù)的全分布式硬件線速處理，滿足核心層設(shè)備高密度、 高吞吐量的 MPLS 和 IPv6 數(shù)據(jù)轉(zhuǎn)發(fā)要求； 提供電信網(wǎng)絡(luò)的管理特性，通過(guò) OAM 協(xié)議可以對(duì)網(wǎng)絡(luò)鏈路、業(yè)務(wù)、用戶端進(jìn)行全面的管理。MyPower S680

41、0 系列高性能電信級(jí)交換機(jī)作為多業(yè)務(wù)網(wǎng)絡(luò)核心平臺(tái)， 可與邁普全系列交換機(jī)一起為金融、運(yùn)營(yíng)商、政府、能源、交通、教育、軍隊(duì)等用戶提供全方位的廣域網(wǎng)和局域網(wǎng)解決方案，廣泛應(yīng)用于以上各個(gè)行業(yè)領(lǐng)域的國(guó)家級(jí)和省級(jí)數(shù)據(jù)中心、國(guó)家級(jí)和省級(jí)網(wǎng)絡(luò)核心、 大型園區(qū)網(wǎng)核心、 運(yùn)營(yíng)商 IP 城域網(wǎng)核心。 MyPower S6800 系列高性能電信級(jí)交換機(jī)分別提供 4 槽、 8 槽、 12 槽、 20 槽四種機(jī)框滿足不同業(yè)務(wù)容量客戶的需求。產(chǎn)品特征先進(jìn)的萬(wàn)兆交換硬件體系架構(gòu)設(shè)計(jì)保證大容量交換容量核心保障機(jī)制和關(guān)鍵部件冗余保證設(shè)備的電信級(jí)可靠性集中式/分布式的IPv6/MPLS 處理機(jī)制滿足各類應(yīng)用需求完善的網(wǎng)絡(luò)安全特性

42、能夠提供全面的攻擊和病毒防范能力支持虛擬化功能，可以實(shí)現(xiàn)配置統(tǒng)一管理和數(shù)據(jù)同步功能豐富的多業(yè)務(wù)卡設(shè)計(jì)，通過(guò)眾核處理實(shí)現(xiàn)了多業(yè)務(wù)的加速超低功耗設(shè)計(jì)延長(zhǎng)交換平臺(tái)的壽命，降低設(shè)備運(yùn)轉(zhuǎn)能耗領(lǐng)先的電信級(jí)產(chǎn)品的易用性、可管理性、 OAM 特性先進(jìn)的 200GE 多級(jí)交換架構(gòu)的交換平臺(tái)采用新一代200G 交換平臺(tái)設(shè)計(jì)，先進(jìn)的無(wú)源銅背板提供單槽位400G 的交換容量，通過(guò) Crossbar 空間多級(jí)交換矩陣實(shí)現(xiàn)板內(nèi)和板間超高速二、三層線速分布式轉(zhuǎn)發(fā)；通過(guò)功能強(qiáng)大的多核 +NP+ASIC 芯片進(jìn)行高速路由查找， 從而大大提升MyPower S6800 交換平臺(tái)的路由性能；高達(dá)6.4Tbps 的整機(jī)交換容量，提供

43、領(lǐng)先的大密度萬(wàn)兆、千兆以太網(wǎng)板卡，可升級(jí)支持 40/100GE 接口，滿足核心層設(shè)備高密度、高吞吐量、可擴(kuò)展的要求。采用 ATCA 架構(gòu)設(shè)計(jì)的電信級(jí)交換平臺(tái)整個(gè)系統(tǒng)采用 ATCA 架構(gòu)的理念， 所有部件均提供雙冗余或者多冗余設(shè)計(jì)， 支持電源冗余、管理模塊冗余、交換矩陣冗余、風(fēng)扇冗余、鏈路冗余等；整個(gè)系統(tǒng)電源模塊、風(fēng)扇模塊、所有業(yè)務(wù)板卡支持熱插拔；系統(tǒng)軟件支持優(yōu)雅重啟技術(shù)和在線升級(jí)功能，可以保證業(yè)務(wù)永不中斷；獨(dú)特的雙控制引擎互為備份設(shè)計(jì)，保證核心交換平臺(tái)具有苛刻電信級(jí)可靠性；獨(dú)立的交換網(wǎng)板卡，交換卡和控制引擎硬件相互獨(dú)立，可以提高設(shè)備的可靠性，同時(shí)為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證。支持 IPv6

44、/MPLS 硬件全分布式轉(zhuǎn)發(fā)平臺(tái)整個(gè)平臺(tái)支持基于 ASIC 全分布式全線速硬件MPLS/IPv6 轉(zhuǎn)發(fā)方式， 可以在板卡內(nèi)實(shí)現(xiàn)MPLS/IPv6 報(bào)文的全線速處理， 避免集中式轉(zhuǎn)發(fā)的瓶頸和時(shí)延問(wèn)題， 為 MPLS/IPv6 大規(guī)模組網(wǎng)提供了有力保障。豐富的 MPLS 功能特性，可以滿足運(yùn)營(yíng)商MPLS 城域網(wǎng)的要求，可以針對(duì)各類業(yè)務(wù)提供二、三層MPLS VPN 功能。每端口大容量Buffer ，滿足大型數(shù)據(jù)中心高突發(fā)流量的需求；支持精細(xì)化QoS 和流量管理，給不同用戶、不同業(yè)務(wù)流分配不同的優(yōu)先級(jí)和隊(duì)列，保證不同的帶寬、業(yè)務(wù)延遲和抖動(dòng)性能。領(lǐng)先的電信級(jí)產(chǎn)品的易用性、可管理性通過(guò)獨(dú)立的機(jī)箱管理平面和

45、液晶面板， 能夠自動(dòng)檢測(cè)和上報(bào)硬件故障， 并進(jìn)行相應(yīng)的故障隔離，對(duì)電源管理、環(huán)境及熱點(diǎn)溫度監(jiān)控、風(fēng)扇轉(zhuǎn)速自動(dòng)調(diào)整， CPU 系統(tǒng)異常重啟前關(guān)鍵信息保存，便于后續(xù)故障分析和定位。支持在線狀態(tài)檢測(cè)機(jī)制，支持單板離線故障診斷，快速方便的現(xiàn)場(chǎng)定位手段， 支持業(yè)務(wù)層面的在線故障診斷， 通過(guò) TCP、 UDP-Jitter、 ICMP 、 HTTP 、FTP、 DHCP 、 DLSw 和 SNMP 測(cè)試等各種探測(cè)方式對(duì)網(wǎng)絡(luò)或服務(wù)進(jìn)行質(zhì)量分析， 并提供測(cè)試結(jié)果， 可視化網(wǎng)絡(luò)流量監(jiān)控和分析。 全面支持 802.3ah OAM 、802.1ag OAM 、 ITU Y.1731 OAM ， 提供多種設(shè)備級(jí)和網(wǎng)絡(luò)

46、級(jí)的故障檢測(cè)手段。完善的系統(tǒng)網(wǎng)絡(luò)安全特性確保網(wǎng)絡(luò)可靠具有系統(tǒng)網(wǎng)絡(luò)安全性的功能設(shè)計(jì)， 支持基于用戶安全策略的 SNMP V3 、 MAC+IP+VLAN綁定、 802.1X 認(rèn)證等安全策略，支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防 DOS/DDOS 攻擊、防 ARP 攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)，可有效地防止攻擊和病毒，更適合大規(guī)模、多業(yè)務(wù)、復(fù)雜流量訪問(wèn)的網(wǎng)絡(luò)?？刂破矫婧娃D(zhuǎn)發(fā)平面的物理隔離，控制平面和轉(zhuǎn)發(fā)平面的多級(jí)保護(hù)及安全性， 可以有效的防止各類攻擊。 多種攻擊檢測(cè)機(jī)制： ARP 深度檢測(cè)；IP攻擊檢測(cè)；TCP攻擊檢測(cè)，IP Source Guard等，配合IPFIX和Ma

47、tserPlan網(wǎng)管 可以實(shí)現(xiàn)對(duì)攻擊源的主動(dòng)防御。支持虛擬化功能，可以實(shí)現(xiàn)配置統(tǒng)一管理和數(shù)據(jù)同步功能支持虛擬化功能， 可以將多臺(tái)交換機(jī)虛擬化為一臺(tái)交換機(jī)， 進(jìn)行統(tǒng)一管理和統(tǒng)一表項(xiàng)的數(shù)據(jù)轉(zhuǎn)發(fā)。多臺(tái)交換機(jī)堆疊后，從主交換機(jī)可以對(duì)從交換機(jī)直接進(jìn)行管理，以全局的方式進(jìn)行配置命令下發(fā)。多臺(tái)交換機(jī)堆疊后，可以實(shí)現(xiàn)主、從交換機(jī)的轉(zhuǎn)發(fā)表項(xiàng)的自動(dòng)同步功能，以一臺(tái)交換機(jī)的方式進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。支持通過(guò) 10000M 光口的方式進(jìn)行堆疊，可以實(shí)現(xiàn)本地或者遠(yuǎn)程的堆疊功能，部署更為方便。支持跨設(shè)備的鏈路捆綁功能，可以滿足核心網(wǎng)絡(luò)的鏈路高速切換需求。高速交換平臺(tái)配合眾核處理實(shí)現(xiàn)了多業(yè)務(wù)的加速M(fèi)yPower S6800 高性能

48、交換機(jī)平臺(tái)是邁普多年 IP 網(wǎng)絡(luò)技術(shù)研發(fā)的結(jié)晶，依靠先進(jìn)的200G 交換平臺(tái)，采用全球領(lǐng)先的 40G 處理能力的眾核處理器技術(shù)，通過(guò)全硬件處理實(shí)現(xiàn)了NAT、防火墻、VPN、IPFIX、流量分析、內(nèi)容過(guò)濾、PWE3、語(yǔ)音、視頻、網(wǎng)管等功能，擴(kuò)大了核心交換機(jī)的使用范圍，實(shí)現(xiàn)了網(wǎng)絡(luò)核心和業(yè)務(wù)核心的融合。通過(guò)加強(qiáng)核心設(shè)備的功能 集成，將以前多種設(shè)備分布實(shí)現(xiàn)的業(yè)務(wù)功能，通過(guò)一臺(tái)MyPower S6800高性能交換機(jī)平臺(tái)來(lái)集中處理，既減少網(wǎng)絡(luò)復(fù)雜度，降低了用戶的維護(hù)工作量，又可以通過(guò)MyPower S6800高性能交換機(jī)平臺(tái)的高性能交換通道，提供一個(gè)高性能的數(shù)據(jù)轉(zhuǎn)發(fā)環(huán)境。業(yè)務(wù)板卡支持在板卡內(nèi) 置了 IPF

49、IX處理引擎，處理性能高，節(jié)省了客戶的投資。全面的綠色環(huán)保設(shè)計(jì)延長(zhǎng)核心交換平臺(tái)的壽命根據(jù)10c規(guī)律，半導(dǎo)體芯片的可靠性、使用壽命與工作溫度有著直接的關(guān)系，工作溫度每上升10C,半導(dǎo)體芯片可靠性降低一半，而工作溫度與設(shè)備的功耗成正比關(guān)系。 MyPowerS6800A高性能電信級(jí)交換機(jī)大量采用ASIC處理芯片進(jìn)行數(shù)據(jù)處理， 在滿足高性能的前提下大幅的降低成本，16槽設(shè)備的整機(jī)最大功耗（全配、非POE）低于1800瓦，在高端設(shè)備上的低功耗設(shè)計(jì)使得半導(dǎo)體芯片的溫度較低。低功耗設(shè)計(jì)不但大大增加高端設(shè)備的使用壽命和 穩(wěn)定運(yùn)行，在能源日益緊張的今天，同時(shí)也節(jié)約設(shè)備的運(yùn)轉(zhuǎn)能耗，滿足綠色環(huán)保要求。完善 的電源管

50、理功能，空閑端口低功率待機(jī)，還可以對(duì)空閑的單板進(jìn)行下電管理，同時(shí)還可以對(duì) 相應(yīng)散熱風(fēng)扇進(jìn)行停轉(zhuǎn)控制，進(jìn)一步降低功耗。產(chǎn)品規(guī)格硬件規(guī)格產(chǎn)品型號(hào)S6800-02機(jī)框S6800-04機(jī)框S6800-08機(jī)框S6800-16機(jī)框整機(jī)槽位數(shù)481220主控板槽位數(shù)2222交換板槽包數(shù)0222業(yè)務(wù)引擎槽位數(shù)24816電源槽位數(shù)2488交換谷量800Gbps1600Gbps3200Gbps6400Gbps轉(zhuǎn)發(fā)性能（IPv4）952Mpps1920Mpps2400Mpps7619Mpps轉(zhuǎn)發(fā)性能（IPv6）952Mpps1920Mpps2400Mpps7619MppsUSB主控板上提供一個(gè)USB接口配置口主控

51、板上提供一個(gè)配置接口存儲(chǔ)卡主控板上提供一個(gè)CF擴(kuò)展接口外形尺寸（長(zhǎng)X寬X高）？444x600x131(3U)444x600x310(7U)444x600x577(13U)444x600x977(22U)輸入電壓AC: 100260V, 5060HzDC: W6一72V功耗（非POE最大值）200W600W1000W1800W溫度工作溫度：045 c存儲(chǔ)溫度：-1060c濕度工作濕度：1090%不結(jié)露存儲(chǔ)濕度：1090%不結(jié)露散熱方式風(fēng)扇散熱軟件特性鏈路層協(xié)議與局域網(wǎng)支持MAC地址學(xué)習(xí)數(shù)目限制；靜態(tài)MAC配置；黑洞MACEthernet, Ethernet II、VLAN (VLAN-BASED

52、 PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1xQINQ、靈活的QinQSTP/RSTP/MSTP;支持 BPDU TUNNEL ;IGMP Snooping、GVRPIEEE802.3ad LACP 二層聚合多對(duì)一的端口鏡像，遠(yuǎn)程端口鏡像 RSPAN,跨板的端口 鏡像，不同速率的端口鏡像，支持基于流的鏡像，支持跨 網(wǎng)段的流鏡像功能ERPAN基于端口的廣播流量抑制，基于端口的未知組播流量抑 制，基丁端口的未知單播流量抑制，基于端口絕對(duì)帶寬進(jìn) 行流量抑制，可按照PPS和BPS進(jìn)行抑制網(wǎng)絡(luò)協(xié)議ARP功能動(dòng)態(tài)和靜態(tài)ARP、代理

53、ARP、免費(fèi)ARP路由協(xié)議靜態(tài)路由RIP v1/v2、RIPngOSPF v3 OSPFv3IS-IS、IS-ISv6IRMPBGP、BGP4+ECMP （等價(jià)多路徑）、路由策略、遞歸路由組播協(xié)議IGMP v1/v2/v3、MLD V1/V2IGMP Snooping、MLD SnoopingPIM-DM、PIM-SM、PIM-SDM、PIM-SSMDVMRP、 MSDPIP應(yīng)用DHCP Server； DHCP Client、DHCP Relay、DHCP Snooping、Option 82DHCPv6 Server、DHCPv6 Client、DHCPv6 RelayDNS、DDNSFT

54、P Server； FTP ClientPing、TraceIP Accounting、UDP Helper、NTPIPv6IPv6 基本功能：IPv6 ND , IPv6 PMTU , IPv6 FIB , IPv6 ACLIPv6過(guò)渡隧道技術(shù)：IPv6手動(dòng)隧道、GRE隧道、IPv4兼容IPv6自動(dòng)隧道、6to4隧道、ISATAP隧道網(wǎng)絡(luò)安全性端口端口安全、端口隔離ARPARP Guardi, DAI ,靜態(tài) ARP 捆綁，ACL標(biāo)準(zhǔn)IP ACL、擴(kuò)展IP ACL、標(biāo)準(zhǔn)MAC ACL、以太協(xié)議ACL、IPv6 ACL、自反 ACL、高級(jí) ACL安全防護(hù)控制平向保護(hù)、URPFDDOS 防攻擊ICMP Flood攔截、Smurf攻擊攔截、Fraggle攻擊攔截、LAND攻擊攔截、SYN Flood攻擊攔截應(yīng)用控制流量控制、URL過(guò)濾VPNGRE認(rèn)證Local 認(rèn)證，Radius, Tacac AAAPortal認(rèn)證、802.1x認(rèn)證、MAC地址認(rèn)證用戶安全登陸用戶IP/MAC綁定MPLSMPLS L2VPN支持L2VPNMPLS/BGPVPN(L3VPN)支持一個(gè)Site屬于多個(gè)V