黑龍江墾豐種業(yè)基礎(chǔ)網(wǎng)絡(luò)與安全項(xiàng)目全新實(shí)施方案

PAGEPAGE\*ROMANI北大荒墾豐種業(yè)股份有限公司二○一五年六月PAGE\*Arabic73目錄1.項(xiàng)目概述 11.1項(xiàng)目背景 11.2建設(shè)目標(biāo) 11.2.1建設(shè)高性能、高安全的園區(qū)基礎(chǔ)網(wǎng)絡(luò)平臺(tái) 21.2.2建設(shè)符合業(yè)務(wù)目標(biāo)的信息安全縱身防御體系 31.2.3建立符合等保三級(jí)的信息安全管理體系 32.技術(shù)需求 43.方案設(shè)計(jì) 43.1總體框架設(shè)計(jì) 43.1.1網(wǎng)絡(luò)外聯(lián)區(qū) 53.1.2核心交換區(qū) 53.1.3媒介融合業(yè)務(wù)區(qū) 53.2安全防護(hù)設(shè)計(jì) 63.2.1外聯(lián)區(qū)防護(hù) 63.2.2DMZ區(qū) 73.2.3核心業(yè)務(wù)區(qū)安全： 83.2.3業(yè)務(wù)網(wǎng)的邊界防護(hù) 83.2.4安全管理域 93.2.5統(tǒng)一的身份認(rèn)證 93.3數(shù)據(jù)安全設(shè)計(jì) 113.3.1分布式存儲(chǔ) 113.3.2共享式存儲(chǔ) 113.4安全監(jiān)控管理系統(tǒng)設(shè)計(jì) 123.4.1設(shè)計(jì)思路 123.4.2監(jiān)控機(jī)房建設(shè)方案 134.產(chǎn)品選型 145.技術(shù)需求 155.1網(wǎng)絡(luò)外聯(lián)域 155.1.1互聯(lián)網(wǎng)出口 155.1.2DMZ區(qū)域 175.2核心業(yè)務(wù)交換 195.2.1匯聚層交換機(jī)2臺(tái) 195.2.2核心防火墻2臺(tái) 225.2.3接入交換機(jī)11臺(tái) 235.3媒介融合業(yè)務(wù)域 255.3.1新媒體播出隔離區(qū) 255.3.2數(shù)據(jù)庫(kù)區(qū) 275.3.3安全管理區(qū) 285.3.4系統(tǒng)軟件 405.4監(jiān)控區(qū)域 405.4.1監(jiān)控系統(tǒng) 405.4.2其他 445.5認(rèn)證及安全服務(wù) 455.6集成服務(wù) 466.項(xiàng)目實(shí)施方案及要求 476.1總體實(shí)施要求 476.2實(shí)施地點(diǎn)與建設(shè)周期 476.3細(xì)化設(shè)計(jì)與預(yù)研發(fā) 486.4設(shè)備到貨與集成 486.5聯(lián)調(diào)、測(cè)試、試運(yùn)行及驗(yàn)收 497.售后服務(wù)要求 497.1質(zhì)保期 497.2投標(biāo)方質(zhì)量責(zé)任 507.3免費(fèi)質(zhì)保服務(wù)要求 507.3.1維修及備件服務(wù) 507.3.2技術(shù)支持服務(wù) 507.3.3軟、硬件升級(jí)服務(wù) 517.3.4出保后服務(wù)要求 517.4用戶(hù)培訓(xùn) 51 1.項(xiàng)目概述1.1項(xiàng)目背景借助北大荒墾豐種業(yè)賓西新區(qū)建設(shè)的契機(jī)，升級(jí)改造現(xiàn)有的信息化基礎(chǔ)設(shè)施，著力打造墾豐種業(yè)信息化的高速公路，構(gòu)建公司“互聯(lián)網(wǎng)+農(nóng)業(yè)”的應(yīng)用架構(gòu)，整合云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和大數(shù)據(jù)等戰(zhàn)略性新型技術(shù)，為科研創(chuàng)新、加工生產(chǎn)、市場(chǎng)營(yíng)銷(xiāo)、日常管理等業(yè)務(wù)的快速發(fā)展提供支撐、保障和服務(wù)。本次建設(shè)的地點(diǎn)為墾豐種業(yè)賓西新區(qū)，建設(shè)范圍覆蓋園區(qū)的辦公樓、科研樓、信息樓、職工宿舍、加工廠、倉(cāng)儲(chǔ)庫(kù)房等園區(qū)樓宇，具體情況如下圖所示：圖表SEQ圖表\*ARABIC1賓西新區(qū)的建筑樓宇群落情況在以上的園區(qū)建筑群中，我們中心機(jī)房的部署位置選擇在信息樓2層，在綜合布線(xiàn)方面以信息樓為中心，構(gòu)建環(huán)形+星型的萬(wàn)兆互聯(lián)通訊網(wǎng)絡(luò)，樓宇之間采用4主+4備的萬(wàn)兆光纜連接，每個(gè)建筑屋內(nèi)的樓層配線(xiàn)間之間采用萬(wàn)兆光纜聯(lián)通，配線(xiàn)間到個(gè)人桌面采用千兆雙絞線(xiàn)方式連接。在園區(qū)辦公高速的網(wǎng)路基礎(chǔ)上，實(shí)現(xiàn)無(wú)線(xiàn)全園區(qū)覆蓋。1.2建設(shè)目標(biāo)基礎(chǔ)網(wǎng)絡(luò)與信息安全建設(shè)按照“高性能、高質(zhì)量、既安全、又經(jīng)濟(jì)”的方針進(jìn)行設(shè)計(jì)，建設(shè)高速、安全、可靠的賓西園區(qū)基礎(chǔ)網(wǎng)絡(luò)與安全平臺(tái)，滿(mǎn)足墾豐種業(yè)園區(qū)日常辦公的使用需要。1.2.1建設(shè)高性能、高安全的園區(qū)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)與Intelnet互聯(lián)接入方面，實(shí)現(xiàn)移動(dòng)、聯(lián)通寬帶的雙線(xiàn)接入，擁有主備冗余的雙鏈路數(shù)據(jù)交換網(wǎng)絡(luò)。園區(qū)內(nèi)部建設(shè)辦公網(wǎng)、無(wú)線(xiàn)網(wǎng)絡(luò)和園區(qū)網(wǎng)三張網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)從核心交換機(jī)到匯聚交換機(jī)采用萬(wàn)兆光纖雙鏈路，連接雙匯聚交換機(jī)，從匯聚交換機(jī)到接入層交換機(jī)采用萬(wàn)兆光纖雙鏈路，連接單個(gè)接入樓層接入交換機(jī)，所涉及的樓宇有辦公樓、信息樓、科研樓、職工宿舍和加工廠（含倉(cāng)儲(chǔ)庫(kù)房）。樓層交換機(jī)到墻上的信息點(diǎn)是單鏈路的千兆六類(lèi)線(xiàn)，接入的設(shè)備有虛擬桌面的瘦客戶(hù)機(jī)、筆記本電腦和臺(tái)式機(jī)等計(jì)算設(shè)備。無(wú)線(xiàn)網(wǎng)絡(luò)的樓宇匯聚交換機(jī)與核心交換機(jī)相連，樓宇采用單匯聚單萬(wàn)兆光纖鏈路，樓宇匯聚交換機(jī)到樓層接入交換機(jī)采用萬(wàn)兆光纖鏈路，樓層接入交換機(jī)到無(wú)線(xiàn)AP采用千兆六類(lèi)雙絞線(xiàn)，接入的設(shè)備為無(wú)線(xiàn)AP，可分為室內(nèi)無(wú)線(xiàn)AP和室外無(wú)線(xiàn)AP。園區(qū)網(wǎng)絡(luò)是自成體系，有自己的雙核心交換機(jī)，園區(qū)核心交換機(jī)與辦公網(wǎng)的核心交換機(jī)之間采用光纖連接，樓宇采用單匯聚單萬(wàn)兆光纖鏈路，樓宇匯聚交換機(jī)到樓層接入交換機(jī)采用萬(wàn)兆光纖鏈路，樓層接入交換機(jī)到設(shè)備采用千兆六類(lèi)雙絞線(xiàn)，接入設(shè)備包括：攝像頭、門(mén)禁、電視（網(wǎng)絡(luò)電視）、多媒體盒（數(shù)據(jù)網(wǎng)絡(luò)）、會(huì)議顯示系統(tǒng)等設(shè)備。在網(wǎng)絡(luò)規(guī)劃的同時(shí)，我們同步規(guī)劃信息安全防護(hù)措施，在外網(wǎng)互聯(lián)區(qū)、公共服務(wù)區(qū)、安全管理區(qū)、帶外管理區(qū)、核心交換區(qū)、數(shù)據(jù)中心區(qū)、終端接入?yún)^(qū)、園區(qū)網(wǎng)、科研網(wǎng)等各個(gè)區(qū)域的邊界、區(qū)域內(nèi)都設(shè)計(jì)了相關(guān)安全產(chǎn)品，并且由全局支撐的安全管理中心進(jìn)行統(tǒng)一管理，滿(mǎn)足企業(yè)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)正常運(yùn)轉(zhuǎn)的安全保障。1.2.2建設(shè)符合業(yè)務(wù)目標(biāo)的信息安全縱身防御體系在安全體系建設(shè)方面，按照分區(qū)分域的原則整合區(qū)域邊界，部署防火墻類(lèi)產(chǎn)品，實(shí)現(xiàn)不同區(qū)域之間網(wǎng)絡(luò)邊界訪(fǎng)問(wèn)的安全控制；在區(qū)域內(nèi)部的重點(diǎn)區(qū)域部署監(jiān)控類(lèi)、保護(hù)類(lèi)和管理類(lèi)的產(chǎn)品，解決區(qū)域內(nèi)部的安全防護(hù)；部署全局類(lèi)的密鑰管理、身份管理和監(jiān)控審計(jì)類(lèi)產(chǎn)品，為整個(gè)網(wǎng)絡(luò)的安全建設(shè)提供基礎(chǔ)設(shè)施的支撐，建成墾豐園區(qū)基于網(wǎng)絡(luò)、智慧園區(qū)、信息平臺(tái)的信息安全縱身防御體系。圖表SEQ圖表\*ARABIC2信息安全防護(hù)體系建設(shè)目標(biāo)1.2.3建立符合等保三級(jí)的信息安全管理體系根據(jù)公安部頒發(fā)的《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，建立健全信息安全防護(hù)體系，按照“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的原則，與主體工程同時(shí)規(guī)劃、建設(shè)、驗(yàn)收和使用。本項(xiàng)目的安全設(shè)計(jì)是按照等保三級(jí)要求，設(shè)計(jì)系統(tǒng)軟硬件的防護(hù)平臺(tái)，竣工后能夠滿(mǎn)足公安部安全等保二級(jí)的測(cè)評(píng)。圖表SEQ圖表\*ARABIC3等級(jí)保護(hù)技術(shù)要求2.技術(shù)需求墾豐種業(yè)基礎(chǔ)網(wǎng)絡(luò)與信息安全方案設(shè)計(jì)既要綜合考慮網(wǎng)絡(luò)帶寬、鏈路可靠等基礎(chǔ)環(huán)境，又要考慮虛擬桌面、一體機(jī)、公共服務(wù)云、智慧園區(qū)等應(yīng)用環(huán)境，還要考慮物理安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等方面的安全需求，從全局出發(fā)采用自頂向下、自底向上相結(jié)合的方法，進(jìn)行整體設(shè)計(jì)、重點(diǎn)加強(qiáng)的推進(jìn)思路，并配合園區(qū)建設(shè)的其他項(xiàng)目，提供合理設(shè)計(jì)和實(shí)施方案。2.1系統(tǒng)基礎(chǔ)環(huán)境建設(shè)需求本項(xiàng)目建設(shè)的網(wǎng)絡(luò)接入鏈路兩條，分別為聯(lián)通和移動(dòng)，其中聯(lián)通為1GB、移動(dòng)為300MB。在網(wǎng)絡(luò)建設(shè)初期，先接入移動(dòng)的100MB帶寬，后期根據(jù)需要再擴(kuò)展接入帶寬，并考慮是否接入聯(lián)通。系統(tǒng)基礎(chǔ)環(huán)境建設(shè)包括有線(xiàn)、無(wú)線(xiàn)和園區(qū)網(wǎng)，其中有線(xiàn)、無(wú)線(xiàn)公用核心交換機(jī)，組合成辦公網(wǎng)。園區(qū)網(wǎng)單獨(dú)核心，園區(qū)網(wǎng)與辦公網(wǎng)的核心之間通過(guò)光纖聯(lián)通。在辦公網(wǎng)中，有線(xiàn)網(wǎng)從接入到核心采用雙鏈路、雙核心的部署方式，匯聚層交換機(jī)采用雙冗余捆綁方式，實(shí)現(xiàn)匯聚層到核心層的備份，從核心到匯聚、到樓層接入交換機(jī)都是采用光纖，樓層接入交換機(jī)到各個(gè)房間是采用六類(lèi)雙絞線(xiàn)連接。無(wú)線(xiàn)網(wǎng)與有線(xiàn)網(wǎng)共用核心交換機(jī)，匯聚交換機(jī)、接入交換機(jī)采用單臺(tái)部署，樓層接入交換機(jī)到各個(gè)無(wú)線(xiàn)AP之間采用六類(lèi)雙絞線(xiàn)接通。在園區(qū)網(wǎng)中，采用雙核心部署，樓宇都設(shè)有匯集層交換機(jī)，為單臺(tái)部署。從核心到匯聚層、接入層都是采用光纖接通，匯集層到接入設(shè)備采用六類(lèi)雙絞線(xiàn)，接入設(shè)備包括：攝像頭、門(mén)禁、電視（網(wǎng)絡(luò)電視）、多媒體盒（數(shù)據(jù)網(wǎng)絡(luò)）、會(huì)議顯示系統(tǒng)、車(chē)輛進(jìn)出管理、園區(qū)廣播等設(shè)備。2.2系統(tǒng)安全環(huán)境建設(shè)需求本項(xiàng)目建設(shè)按照等級(jí)保護(hù)三級(jí)要求設(shè)計(jì)，系統(tǒng)定級(jí)為等保二級(jí)。按照分區(qū)分域的訪(fǎng)問(wèn)控制，將系統(tǒng)分為外網(wǎng)互聯(lián)區(qū)、公共服務(wù)區(qū)、安全管理區(qū)、帶外管理區(qū)、核心交換區(qū)、終端接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、園區(qū)網(wǎng)、科研網(wǎng)等9個(gè)區(qū)域，各個(gè)區(qū)域之間通過(guò)防火墻實(shí)現(xiàn)不同區(qū)域之間的訪(fǎng)問(wèn)控制。構(gòu)建重點(diǎn)區(qū)域內(nèi)的安全監(jiān)控，采用統(tǒng)一威脅管理（簡(jiǎn)稱(chēng)：UTM）、上網(wǎng)行為管理、堡壘主機(jī)、數(shù)據(jù)庫(kù)審計(jì)、入侵監(jiān)測(cè)等安全設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)行為、用戶(hù)操作行為進(jìn)行審計(jì)。建設(shè)全網(wǎng)的安全基礎(chǔ)設(shè)施，統(tǒng)一的身份認(rèn)證與訪(fǎng)問(wèn)控制系統(tǒng)，系統(tǒng)認(rèn)證方式支持多級(jí)認(rèn)證與雙因子認(rèn)證，實(shí)現(xiàn)與應(yīng)用系統(tǒng)的安全整合與集成。采用集中安全管理（簡(jiǎn)稱(chēng)：SOC）實(shí)現(xiàn)安全事件日志的統(tǒng)一收集、分析，發(fā)現(xiàn)未知或潛在風(fēng)險(xiǎn)。采用統(tǒng)一的補(bǔ)丁管理系統(tǒng)，實(shí)現(xiàn)全網(wǎng)的補(bǔ)丁統(tǒng)一管理。采用統(tǒng)一的殺毒軟件，實(shí)現(xiàn)物理計(jì)算機(jī)、虛擬桌面、虛擬服務(wù)器的殺毒統(tǒng)一管理。2.3系統(tǒng)監(jiān)控運(yùn)維建設(shè)需求構(gòu)建網(wǎng)絡(luò)設(shè)備的運(yùn)維監(jiān)控平臺(tái)，基于網(wǎng)管軟件，實(shí)現(xiàn)全網(wǎng)的網(wǎng)絡(luò)設(shè)備管理；基于網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)全網(wǎng)的無(wú)線(xiàn)接入監(jiān)控運(yùn)維；基于Windows域，實(shí)現(xiàn)全網(wǎng)的運(yùn)行系統(tǒng)的統(tǒng)一運(yùn)維平臺(tái)。構(gòu)建安全產(chǎn)品的運(yùn)維監(jiān)控平臺(tái)，采用集中安全管理平臺(tái)（簡(jiǎn)稱(chēng)：SOC），實(shí)現(xiàn)全網(wǎng)安全設(shè)備所產(chǎn)生事件的集中監(jiān)控管理。2.4安全管理體系建設(shè)需求按照等保三級(jí)要求建立并完善安全管理體系，提供專(zhuān)業(yè)的安全咨詢(xún)服務(wù)，包括：脆弱性監(jiān)測(cè)、安全加固、安全管理制度，協(xié)助墾豐通過(guò)第三方的等保測(cè)評(píng)的咨詢(xún)服務(wù)。3.方案設(shè)計(jì)3.1總體框架設(shè)計(jì)遵循面向業(yè)務(wù)需求的設(shè)計(jì)思路，基于業(yè)務(wù)場(chǎng)景化、模塊化的設(shè)計(jì)方法，實(shí)現(xiàn)IT基礎(chǔ)架構(gòu)模塊與業(yè)務(wù)模塊松耦合，保證基礎(chǔ)網(wǎng)絡(luò)與信息安全的動(dòng)態(tài)擴(kuò)展和新業(yè)務(wù)快速上線(xiàn)。本項(xiàng)目解決方案的總體架構(gòu)如下所示。圖表SEQ圖表\*ARABIC4分區(qū)分域網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖其中園區(qū)網(wǎng)有以下幾個(gè)功能區(qū)域組成，即核心交換區(qū)、安全管理區(qū)、數(shù)據(jù)中心區(qū)、操作運(yùn)維區(qū)、樓層接入?yún)^(qū)合安防網(wǎng)絡(luò)，具體設(shè)計(jì)如下：核心交換區(qū)：應(yīng)用兩臺(tái)高性能交換機(jī)通過(guò)物理連接，并應(yīng)用交換機(jī)虛擬化技術(shù)，三層端口鏈路捆綁以及動(dòng)態(tài)路由技術(shù)組成兩臺(tái)高性能交換機(jī)虛擬為一臺(tái)邏輯交換機(jī)的核心交換區(qū)；安全管理區(qū)：應(yīng)用兩臺(tái)交換機(jī)通過(guò)物理連接，并應(yīng)用交換機(jī)虛擬化技術(shù)，邏輯Vlan以及動(dòng)態(tài)路由技術(shù)組成兩臺(tái)交換機(jī)虛擬為一臺(tái)交換機(jī)的安全管理區(qū)；通過(guò)防火墻與其他區(qū)域隔離增強(qiáng)業(yè)務(wù)的安全性；數(shù)據(jù)中心區(qū)：應(yīng)用兩臺(tái)中高性能交換機(jī)通過(guò)物理連接，并應(yīng)用交換機(jī)虛擬化技術(shù)，邏輯Vlan以及動(dòng)態(tài)路由技術(shù)組成兩臺(tái)交換機(jī)虛擬為一臺(tái)邏輯交換機(jī)的數(shù)據(jù)中心區(qū)；考慮網(wǎng)絡(luò)的擴(kuò)展性，未來(lái)可以進(jìn)行下聯(lián)接入交換機(jī)的方式進(jìn)行擴(kuò)展；通過(guò)防火墻與其他區(qū)域隔離，增強(qiáng)業(yè)務(wù)的安全性；操作運(yùn)維區(qū)：應(yīng)用兩臺(tái)中端交換機(jī)通過(guò)物理連接，并用Trunk、邏輯Vlan以及動(dòng)態(tài)路由技術(shù)組成兩臺(tái)中高端交換機(jī)相互熱備的操作運(yùn)維區(qū)、并與核心區(qū)形成鏈路冗余；樓層安防網(wǎng)接入?yún)^(qū)：應(yīng)用一臺(tái)匯聚交換機(jī)通過(guò)物理連接，三層端口及動(dòng)態(tài)路由技術(shù)組成安防網(wǎng)絡(luò)樓層匯聚層。樓層辦公網(wǎng)絡(luò)接入?yún)^(qū)：應(yīng)用兩臺(tái)匯聚交換機(jī)通過(guò)物理連接，并應(yīng)用交換機(jī)虛擬化技術(shù)，三層端口鏈路捆綁及動(dòng)態(tài)路由技術(shù)組成兩臺(tái)匯聚交換機(jī)虛擬為一臺(tái)邏輯交換機(jī)的辦公網(wǎng)絡(luò)樓層匯聚層。樓層無(wú)線(xiàn)網(wǎng)絡(luò)接入?yún)^(qū)：應(yīng)用一臺(tái)匯聚交換機(jī)通過(guò)物理連接，三層端口及動(dòng)態(tài)路由技術(shù)組成無(wú)線(xiàn)網(wǎng)絡(luò)樓層匯聚層。3.2園區(qū)網(wǎng)絡(luò)設(shè)計(jì)3.2.1外網(wǎng)互聯(lián)區(qū)該區(qū)域主要是處理內(nèi)部用戶(hù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)，同時(shí)墾豐園區(qū)對(duì)外提供互聯(lián)網(wǎng)訪(fǎng)問(wèn)控制，為此設(shè)置了專(zhuān)門(mén)的公共服務(wù)區(qū)（又稱(chēng)：DMZ），該區(qū)域的上聯(lián)帶寬未來(lái)預(yù)計(jì)最大為1GB+300MB(暫定)，由此部署在該區(qū)域的設(shè)備吞吐量為1.5GB,物理線(xiàn)路為千兆電口，具體情況如下：圖表SEQ圖表\*ARABIC5外網(wǎng)互聯(lián)區(qū)的設(shè)備部署示意圖來(lái)自業(yè)務(wù)網(wǎng)兩條線(xiàn)路分別接入路由器，實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)地址的NAT轉(zhuǎn)換，路由器從運(yùn)營(yíng)商接入的為光纖，下聯(lián)設(shè)備采用的六類(lèi)雙絞線(xiàn)；路由器之后，部署兩臺(tái)抗DDOS設(shè)備，開(kāi)啟抗攻擊、異常流量功能，通過(guò)心跳線(xiàn)連接實(shí)現(xiàn)雙活，設(shè)備上聯(lián)、下聯(lián)均為為電口，采用六類(lèi)雙絞線(xiàn)連接；抗DDOS設(shè)備之后，部署兩臺(tái)負(fù)載均衡設(shè)備，實(shí)現(xiàn)多鏈路負(fù)載均衡，設(shè)備上聯(lián)、下聯(lián)均為為電口，采用六類(lèi)雙絞線(xiàn)連接；負(fù)載均衡設(shè)備之后，部署2臺(tái)統(tǒng)一威脅管理（簡(jiǎn)稱(chēng)：UTM）設(shè)備，開(kāi)啟IPS/AV等UTM功能進(jìn)行安全防護(hù)；具備基于應(yīng)用層的流量控制功能，能夠提供可靠的流量管理服務(wù)，設(shè)備上聯(lián)、下聯(lián)均為為電口，采用六類(lèi)雙絞線(xiàn)連接。設(shè)備性能參數(shù)接口參數(shù)數(shù)量路由器千兆電口≥5個(gè)；千兆光口≥3個(gè)（帶模塊）;萬(wàn)兆光口≥1個(gè)（無(wú)模塊）;機(jī)箱規(guī)格≥4U機(jī)箱；

Console接口1*RJ45；

帶外管理接口1個(gè)；

USB接口2個(gè)；雙電源；支持SNMPv1.2以上協(xié)議；1抗DDOS設(shè)備千兆電口≥6個(gè)；

SFP插槽≥4個(gè)；

轉(zhuǎn)發(fā)延遲時(shí)間≤20微秒；

三層網(wǎng)絡(luò)吞吐量≥4Gbps；

4~7層網(wǎng)絡(luò)吞吐≥1.5Gbps；

抗攻擊能力≥140萬(wàn)PPS；

混合攻擊處理能力≥1.5Gbps；機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.2以上協(xié)議；2鏈路負(fù)載均衡千兆電口≥6個(gè)；

SFP插槽≥2個(gè)；

最大并發(fā)連接數(shù)≥300W；

4層每秒新建連接數(shù)≥2W；

標(biāo)配吞吐≥1.5Gbps；

最大有效吞吐（4/7層）≥2Gbps/1Gbps；

SSL每秒新建（2048位）≥150個(gè)；

SSL卸載性能（bps）≥100Mbps；

HTTP壓縮（bps）≥100Mbps；機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.3以上協(xié)議；2統(tǒng)一威脅管理

（簡(jiǎn)稱(chēng)：UTM）千兆電口≥6個(gè)；

最大整機(jī)吞吐量≥3.5Gbps；

IPS吞吐量≥3Gbps，

防病毒吞吐量1.5Gbps；

每秒新建連接數(shù)2萬(wàn)；

最大并發(fā)連接數(shù)200萬(wàn)機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.4以上協(xié)議；2圖表SEQ圖表\*ARABIC6外網(wǎng)互聯(lián)區(qū)設(shè)備選型性能和接口參數(shù)3.2.2公共服務(wù)區(qū)該區(qū)域主要是對(duì)外網(wǎng)提供企業(yè)服務(wù)，利用現(xiàn)有的DELL服務(wù)器，采用VMWare構(gòu)建應(yīng)用虛擬服務(wù)器群，對(duì)內(nèi)、對(duì)外提供企業(yè)網(wǎng)站、郵件、電商等公共服務(wù)，部署SSLVPN為外部分子公司、合作單位、內(nèi)部員工外出辦公等提供互聯(lián)網(wǎng)安全接入的通道，該區(qū)域的上聯(lián)帶寬未來(lái)預(yù)計(jì)最大為1.5GB，下聯(lián)為萬(wàn)兆光纖，為此部署在該區(qū)域的設(shè)備吞吐量的計(jì)算：對(duì)外提供服務(wù)的SSLVPN為千兆級(jí)，對(duì)內(nèi)提供服務(wù)的為萬(wàn)兆級(jí)，具體情況如下：圖表SEQ圖表\*ARABIC7公共服務(wù)區(qū)的設(shè)備部署示意圖公共服務(wù)區(qū)交換機(jī)，上聯(lián)外網(wǎng)互聯(lián)區(qū)（千兆六類(lèi)雙絞線(xiàn)），下聯(lián)防火墻（萬(wàn)兆光纖），中間連接公共服務(wù)區(qū)的各個(gè)設(shè)備；上網(wǎng)行為管理設(shè)備旁?huà)煸诮粨Q機(jī)上，開(kāi)啟上網(wǎng)行為監(jiān)控、流量監(jiān)控等功能，提供上網(wǎng)行為的管控措施。在網(wǎng)絡(luò)外服務(wù)區(qū)內(nèi)部署WEB服務(wù)器、郵件服務(wù)器、電商服務(wù)器等對(duì)外提供服務(wù)的應(yīng)用服務(wù)器，服務(wù)器部署在VMWare虛擬化服務(wù)器之上，連接采用萬(wàn)兆光纖。在WEB服務(wù)器、電商服務(wù)器中分別部署1套網(wǎng)頁(yè)防篡改軟件，（支持Linux版本或Windows版本）。部署2臺(tái)SSLVPN為通過(guò)互聯(lián)網(wǎng)訪(fǎng)問(wèn)的人員提供安全接入鏈路，兩臺(tái)設(shè)備采用雙機(jī)熱備方式部署，與交換機(jī)之間的連接為千兆六類(lèi)雙絞線(xiàn)。交換機(jī)與下聯(lián)核心交換區(qū)之間部署2臺(tái)防火墻，采用雙活的方式部署，連接采用萬(wàn)兆光纖。設(shè)備性能參數(shù)接口參數(shù)數(shù)量24口交換機(jī)機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

雙電源

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.5以上協(xié)議；2萬(wàn)兆防火墻萬(wàn)兆光口≥6個(gè)

SFP插槽≥4個(gè)

整機(jī)吞吐率(bps)≥20G

最大并發(fā)連接數(shù)≥320萬(wàn)

每秒新建連接數(shù)≥16萬(wàn)

IPSecVPN隧道數(shù)≥9000條機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

雙電源

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.5以上協(xié)議；2SSLVPN千兆電口≥6個(gè)

整機(jī)吞吐率≥2Gbps;

最大并發(fā)連接數(shù)≥180萬(wàn);

每秒新建連接數(shù)≥1.2萬(wàn)；

IPSecVPN隧道數(shù)≥5000條；

IPSec加密吞吐率≥120Mbps；

SSLVPN并發(fā)用戶(hù)數(shù)≥1萬(wàn)；

SSLVPN加密吞吐100M；

SSLVPN并發(fā)連接數(shù)9萬(wàn)；

SSLVPN每秒新建連接100機(jī)箱規(guī)格≥1U機(jī)箱；

Console接口1*RJ45；

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.6以上協(xié)議；2網(wǎng)頁(yè)防篡改千兆電口≥4個(gè)

支持所有網(wǎng)頁(yè)文件的自動(dòng)檢測(cè)與自動(dòng)恢復(fù)，如：靜態(tài)頁(yè)面/動(dòng)態(tài)腳本/多媒體文件等；

網(wǎng)頁(yè)WEB服務(wù)器的發(fā)布；

支持Windows和Linux兩種系統(tǒng)，并支持雙機(jī)冗余發(fā)布；

訪(fǎng)問(wèn)響應(yīng)時(shí)間：防篡改功能啟動(dòng)后，接收網(wǎng)頁(yè)平均時(shí)間增加值≤5%。軟硬一體產(chǎn)品

機(jī)箱規(guī)格≥1U；

Console接口1*RJ45；

USB2個(gè)；

帶外管理口1；

支持硬件ByPass；

支持SNMPv1.2以上協(xié)議2圖表SEQ圖表\*ARABIC8公共服務(wù)區(qū)設(shè)備選型性能和接口參數(shù)3.2.3核心交換區(qū)通過(guò)雙匯聚層的核心交換機(jī)建立主備冗余交換網(wǎng)絡(luò)。旁路部署1臺(tái)支持千兆網(wǎng)絡(luò)的入侵監(jiān)測(cè)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊行為；部署1臺(tái)支持千兆網(wǎng)絡(luò)的漏洞掃描設(shè)備，定期掃描內(nèi)網(wǎng)設(shè)備、系統(tǒng)和應(yīng)用的漏洞情況，評(píng)估安全狀態(tài)并及時(shí)打補(bǔ)丁修復(fù)存在的漏洞；部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)1套，實(shí)現(xiàn)無(wú)線(xiàn)接入網(wǎng)絡(luò)的身份認(rèn)證、VLan的自動(dòng)分配，解決外部訪(fǎng)客的訪(fǎng)問(wèn)控制。具體部署情況如下圖：圖表SEQ圖表\*ARABIC9核心交換區(qū)的設(shè)備部署示意圖核心交換機(jī)為高端萬(wàn)兆交換機(jī)，堆疊可實(shí)現(xiàn)80GB的交換流量，上下聯(lián)接為萬(wàn)兆光纖，與網(wǎng)絡(luò)準(zhǔn)入控制設(shè)備、入侵監(jiān)測(cè)設(shè)備、漏洞掃描設(shè)備都是萬(wàn)兆光纖，到設(shè)備端是萬(wàn)兆/千兆自適應(yīng)的光模塊。設(shè)備性能參數(shù)接口參數(shù)數(shù)量核心交換機(jī)2網(wǎng)絡(luò)準(zhǔn)入控制2入侵檢測(cè)系統(tǒng)萬(wàn)兆光口≥4個(gè)，其中萬(wàn)兆監(jiān)聽(tīng)口≥2個(gè)

SFP插槽≥4個(gè)

TCP會(huì)話(huà)數(shù)≥100萬(wàn)

實(shí)際網(wǎng)絡(luò)環(huán)境處理能力（混合包、混合流）≥4Gbps軟硬一體產(chǎn)品

機(jī)箱規(guī)格≥2U；

Console接口1*RJ45；

USB2個(gè)；

帶外管理口1；

支持硬件ByPass；

支持SNMPv1.2以上協(xié)議2漏洞掃描系統(tǒng)千兆光口≥4個(gè)；

SFP插槽≥4個(gè)；

單任務(wù)可掃描100個(gè)C類(lèi)網(wǎng)段，單任務(wù)可并發(fā)掃描40IP；

支持并發(fā)掃描主機(jī)數(shù)設(shè)置，最大支持40臺(tái)并發(fā)；

每臺(tái)主機(jī)最大并發(fā)線(xiàn)程數(shù)設(shè)置，最大支持100個(gè)線(xiàn)程。軟硬一體產(chǎn)品

機(jī)箱規(guī)格≥2U；

Console接口1*RJ45；

USB2個(gè)；

帶外管理口1；

支持硬件ByPass；

支持SNMPv1.2以上協(xié)議1圖表SEQ圖表\*ARABIC10核心交換區(qū)設(shè)備選型性能和接口參數(shù)3.2.4終端接入?yún)^(qū)基于有線(xiàn)網(wǎng)絡(luò)、無(wú)線(xiàn)網(wǎng)絡(luò)的辦公終端接入，包括：辦公樓、科研樓、信息樓、職工宿舍、加工廠（含倉(cāng)儲(chǔ)庫(kù)房）等園區(qū)樓宇內(nèi)辦公瘦終端、筆記本、臺(tái)式機(jī)的接入。在全園區(qū)覆蓋的無(wú)線(xiàn)網(wǎng)絡(luò)中，通過(guò)手機(jī)、iPad、筆記本、條碼掃描槍等設(shè)備接入網(wǎng)絡(luò)，主要是為了方便辦公、生產(chǎn)，另外還有一部分為外部訪(fǎng)客或合作伙伴聯(lián)合辦公，他們以訪(fǎng)客身份接入，只能訪(fǎng)問(wèn)外部互聯(lián)網(wǎng)或內(nèi)部指定的特定區(qū)域。辦公樓樓層匯聚連接設(shè)計(jì) 圖表SEQ圖表\*ARABIC11辦公樓樓層匯聚連接示意圖辦公樓有線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)雙鏈路萬(wàn)兆多模光纖上聯(lián)匯聚層兩臺(tái)萬(wàn)兆交換機(jī)。其中距離較遠(yuǎn)的北門(mén)衛(wèi)需要采用單模千兆光纖雙鏈路接入到匯聚交換機(jī)。辦公樓無(wú)線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的北門(mén)衛(wèi)需要采用單模千兆光纖接入到匯聚交換機(jī)?？蒲袠菢菍訁R聚連接設(shè)計(jì)圖表SEQ圖表\*ARABIC12科研樓樓層匯聚連接示意圖科研樓有線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)雙鏈路萬(wàn)兆多模光纖上聯(lián)匯聚層兩臺(tái)萬(wàn)兆交換機(jī)。其中距離較遠(yuǎn)的人工氣候室需要采用單模千兆光纖接入到匯聚交換機(jī)?？蒲袠菬o(wú)線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的人工氣候室需要采用單模千兆光纖接入到匯聚交換機(jī)。信息樓樓層匯聚連接設(shè)計(jì)圖表SEQ圖表\*ARABIC13信息樓樓層匯聚連接示意圖信息樓有線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)雙鏈路萬(wàn)兆多模光纖上聯(lián)匯聚層兩臺(tái)萬(wàn)兆交換機(jī)。其中距離較遠(yuǎn)的配電中心需要采用單模千兆光纖接入到匯聚交換機(jī)。信息樓無(wú)線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的配電中心需要采用單模千兆光纖接入到匯聚交換機(jī)。倉(cāng)儲(chǔ)庫(kù)房樓層匯聚連接設(shè)計(jì)圖表SEQ圖表\*ARABIC14倉(cāng)儲(chǔ)庫(kù)房樓層匯聚連接示意圖倉(cāng)儲(chǔ)庫(kù)房有線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)雙鏈路萬(wàn)兆多模光纖上聯(lián)匯聚層兩臺(tái)萬(wàn)兆交換機(jī)。其中距離較遠(yuǎn)的加工廠和南門(mén)衛(wèi)需要采用單模千兆光纖接入到匯聚交換機(jī)。倉(cāng)儲(chǔ)庫(kù)房無(wú)線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的加工廠和南門(mén)衛(wèi)需要采用單模千兆光纖接入到匯聚交換機(jī)。宿舍樓樓層匯聚連接設(shè)計(jì)圖表SEQ圖表\*ARABIC15宿舍樓樓層匯聚連接示意圖宿舍樓有線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)雙鏈路萬(wàn)兆多模光纖上聯(lián)匯聚層兩臺(tái)萬(wàn)兆交換機(jī)。宿舍樓無(wú)線(xiàn)網(wǎng)絡(luò)：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。3.2.5數(shù)據(jù)中心區(qū)該區(qū)域部署有企業(yè)核心業(yè)務(wù)、虛擬桌面以及部分高性能服務(wù)器，詳細(xì)連接部署情況如下：圖表SEQ圖表\*ARABIC16數(shù)據(jù)中心區(qū)的設(shè)備部署示意圖防火墻作為數(shù)據(jù)中心區(qū)域的邊界設(shè)備，采用雙機(jī)熱備的方式上聯(lián)核心交換機(jī)，下聯(lián)兩臺(tái)捆綁堆疊的數(shù)據(jù)中心區(qū)域交換機(jī)，IBM一體機(jī)、虛擬桌面都是雙鏈路接入到交換機(jī)，該區(qū)域的網(wǎng)絡(luò)連接均采用萬(wàn)兆光纖相連。IBM一體機(jī)中部署了企業(yè)的關(guān)鍵核心業(yè)務(wù)系統(tǒng)，如：ERP、SOA、協(xié)同OA、種子條碼管理等。采用VMWare或Citrix部署虛擬桌面，初期為300個(gè)，該部分設(shè)計(jì)見(jiàn)虛擬桌面專(zhuān)項(xiàng)設(shè)計(jì)。一體機(jī)、虛擬桌面之間的訪(fǎng)問(wèn)數(shù)據(jù)通過(guò)Trunk方式上傳到防火墻，通過(guò)防火墻實(shí)現(xiàn)虛擬桌面與一體機(jī)之間的訪(fǎng)問(wèn)控制。在虛擬桌面中部署支持虛擬化的殺毒軟件，采用無(wú)代理方式，防止殺毒風(fēng)暴影響主機(jī)性能。在數(shù)據(jù)中心區(qū)域交換機(jī)上旁路部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備1臺(tái)，考慮到外部數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)流量不大，本次設(shè)計(jì)采用千兆級(jí)設(shè)備，通過(guò)萬(wàn)兆光纖相連，設(shè)備端配有千兆/萬(wàn)兆自適應(yīng)光口。設(shè)備性能參數(shù)接口參數(shù)數(shù)量萬(wàn)兆防火墻萬(wàn)兆光口≥6個(gè)

千兆電口≥4個(gè)

整機(jī)吞吐率(bps)≥40G

最大IPS吞吐量≥16G

最大防病毒吞吐量≥16G

每秒新建連接數(shù)≥16萬(wàn)

最大并發(fā)連接數(shù)≥320萬(wàn)

每秒新建連接數(shù)≥16萬(wàn)

IPSecVPN隧道數(shù)≥9000條機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

雙電源

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.5以上協(xié)議；248口交換機(jī)2數(shù)據(jù)庫(kù)審計(jì)千兆光口≥4個(gè)

抓包速度(bps)≥1GB

入庫(kù)速度≥5000條/秒;

日處理事件數(shù)≥300萬(wàn)條;機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

雙電源；

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.5以上協(xié)議；2圖表SEQ圖表\*ARABIC17數(shù)據(jù)中心區(qū)設(shè)備選型性能和接口參數(shù)3.2.6智慧園區(qū)網(wǎng)智慧園區(qū)與核心交換區(qū)連接，中間采用防火墻進(jìn)行區(qū)域隔離，詳細(xì)連接部署情況如下：圖表SEQ圖表\*ARABIC18智慧園區(qū)網(wǎng)與核心交換區(qū)連接圖 如上圖所示，防火墻與智慧園區(qū)網(wǎng)的核心交換機(jī)相連，核心交換機(jī)到每個(gè)樓宇均采用萬(wàn)兆光纖連接，每個(gè)樓層都有匯聚交換機(jī)，與上聯(lián)的核心交換機(jī)采用雙鏈路方式，與下級(jí)樓層接入交換機(jī)之間均是單鏈路的萬(wàn)兆光纖。辦公樓安防：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的北門(mén)衛(wèi)需要采用單模千兆光纖接入到匯聚交換機(jī)。科研樓安防：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的人工氣候室需要采用單模千兆光纖接入到匯聚交換機(jī)。倉(cāng)儲(chǔ)庫(kù)房安防：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。其中距離較遠(yuǎn)的加工廠和南門(mén)衛(wèi)需要采用單模千兆光纖接入到匯聚交換機(jī)。宿舍樓安防：接入層部署千兆交換機(jī)單鏈路千兆多模光纖上聯(lián)匯聚層單臺(tái)千兆交換機(jī)。在園區(qū)內(nèi)部部署的部分智慧園區(qū)系統(tǒng)監(jiān)控點(diǎn)，按照距離的遠(yuǎn)近：在100米以?xún)?nèi)采用6類(lèi)雙絞線(xiàn)，100米到500米采用多模光纖，超過(guò)500米均采用單模光纖的方式進(jìn)行連接。遠(yuǎn)距離的線(xiàn)路連接無(wú)法采用POE供電模式，均安裝有線(xiàn)電源進(jìn)行供電。3.2.8科研創(chuàng)新網(wǎng)科研創(chuàng)新的終端接入依托現(xiàn)有的整體網(wǎng)絡(luò)布局，分布在科研大樓中。服務(wù)器端在機(jī)房中單獨(dú)開(kāi)辟一塊區(qū)域，科研網(wǎng)服務(wù)器域與終端域相連是通過(guò)核心交換機(jī)到科研大樓的匯聚交換機(jī)，然后從匯聚交換機(jī)到樓層接入交換機(jī)，通過(guò)6類(lèi)雙絞線(xiàn)連接到終端設(shè)備，詳細(xì)連接部署情況如下：圖表SEQ圖表\*ARABIC19科研網(wǎng)與核心交換區(qū)的設(shè)備部署示意圖科研網(wǎng)與核心區(qū)之間由防火墻進(jìn)行區(qū)域的訪(fǎng)問(wèn)控制，防火墻與科研網(wǎng)接入核心之間采用萬(wàn)兆光纖相連。從科研創(chuàng)新數(shù)據(jù)信息安全角度考慮，科研網(wǎng)內(nèi)部有自己的虛擬桌面和高性能服務(wù)器。在可擴(kuò)展性方面的考慮，未來(lái)將科研大樓的匯聚交換機(jī)與科研網(wǎng)的防火墻直接相連，既可以實(shí)現(xiàn)科研網(wǎng)的獨(dú)立。設(shè)備性能參數(shù)接口參數(shù)數(shù)量萬(wàn)兆防火墻萬(wàn)兆光口≥6個(gè)

千兆電口≥4個(gè)

整機(jī)吞吐率(bps)≥40G

最大IPS吞吐量≥16G

最大防病毒吞吐量≥16G

每秒新建連接數(shù)≥16萬(wàn)

最大并發(fā)連接數(shù)≥320萬(wàn)

每秒新建連接數(shù)≥16萬(wàn)

IPSecVPN隧道數(shù)≥9000條機(jī)箱規(guī)格≥2U機(jī)箱；

Console接口1*RJ45；

雙電源

帶外管理接口1個(gè)；

USB接口2個(gè)；

支持硬件ByPass；

支持SNMPv1.5以上協(xié)議；23.2.9帶外管理區(qū)核心交換區(qū)與帶外管理區(qū)的交換機(jī)之間采用雙鏈路，通過(guò)千兆光纖進(jìn)行連接，具體的連接情況如下所示：圖表SEQ圖表\*ARABIC20帶外管理區(qū)與核心交換區(qū)的設(shè)備部署示意圖如上圖所示，帶外管理雙核心與下面的堡壘機(jī)、操作終端之間采用6類(lèi)雙絞線(xiàn)進(jìn)行連接。3.2.10安全管理區(qū)核心交換區(qū)與安全管理區(qū)的交換機(jī)之間采用雙鏈路，通過(guò)千兆光纖進(jìn)行連接，具體的連接情況如下所示：圖表SEQ圖表\*ARABIC21安全管理區(qū)與核心交換區(qū)的設(shè)備部署示意圖如上圖所示，安全管理區(qū)與核心交換區(qū)之間采用雙鏈路萬(wàn)兆光纖連接，中間部署防火墻，實(shí)現(xiàn)區(qū)域之間的訪(fǎng)問(wèn)控制。從防火墻到區(qū)域內(nèi)的核心交換機(jī)之間采用雙鏈路方式，萬(wàn)兆光纖相連，兩臺(tái)核心交換機(jī)采用捆綁方式實(shí)現(xiàn)雙活。下聯(lián)到各個(gè)設(shè)備及服務(wù)器之間采用千兆6類(lèi)雙絞線(xiàn)直連。從安全管理角度出發(fā)，在安全管理區(qū)內(nèi)劃分出一個(gè)運(yùn)維管理區(qū)，內(nèi)部部署堡壘機(jī)和運(yùn)維操作機(jī)。安全管理區(qū)內(nèi)主要是部署安全管理的服務(wù)器及設(shè)備，分別有：AD域控服務(wù)器、4A認(rèn)證服務(wù)器、NTP時(shí)鐘服務(wù)器、集中安全管理服務(wù)器、病毒防護(hù)服務(wù)器、補(bǔ)丁管理服務(wù)器等，墾豐園區(qū)網(wǎng)絡(luò)提供安全和運(yùn)維支撐。3.2安全防護(hù)設(shè)計(jì)3.2.1外聯(lián)區(qū)防護(hù)抗DDOS攻擊與互聯(lián)網(wǎng)接口串聯(lián)兩臺(tái)出口抗DDOS設(shè)備，主備備份?？笵DOS設(shè)備配置安全策略，對(duì)來(lái)自互聯(lián)網(wǎng)流量進(jìn)行攻擊檢測(cè)及防護(hù)。常見(jiàn)的DDOS攻擊手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等；通過(guò)安全策略，可以靈活配置對(duì)需要檢測(cè)的流量進(jìn)行處理，有效防范因特網(wǎng)上的分布式網(wǎng)絡(luò)攻擊，具體情況如下圖所示：圖表SEQ圖表\*ARABIC22互聯(lián)網(wǎng)出口防DDOS攻擊示意圖鏈路負(fù)載均衡在互聯(lián)網(wǎng)出入口出采用聯(lián)通、移動(dòng)等運(yùn)營(yíng)商的出入口接入，當(dāng)前聯(lián)通出入口為1GB、移動(dòng)的為300MB，為了防止單鏈路出現(xiàn)故障而出現(xiàn)互聯(lián)網(wǎng)訪(fǎng)問(wèn)連接終端，或在移動(dòng)、聯(lián)通兩個(gè)接入口之間的帶寬均衡，我們通過(guò)負(fù)載均衡建立雙鏈路的帶寬均衡機(jī)制，提供一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性，具體部署情況如下：圖表SEQ圖表\*ARABIC23互聯(lián)網(wǎng)出口鏈路負(fù)載均衡示意圖網(wǎng)絡(luò)統(tǒng)一威脅防護(hù)互聯(lián)網(wǎng)出口的UTM設(shè)備啟用防火墻、病毒防御等功能。對(duì)網(wǎng)絡(luò)中傳輸?shù)奈募M(jìn)行掃描，識(shí)別出其中攜帶的病毒，并且予以記錄或清除，對(duì)網(wǎng)絡(luò)上病毒文件的傳輸做到檢測(cè)和阻斷，具體情況如下圖所示：圖表SEQ圖表\*ARABIC24互聯(lián)網(wǎng)出口統(tǒng)一威脅管理設(shè)備示意圖敏感數(shù)據(jù)防泄漏在互聯(lián)網(wǎng)出口的UTM設(shè)備上，啟用應(yīng)用識(shí)別、文件過(guò)濾、內(nèi)容過(guò)濾、郵件過(guò)濾等安全策略。防止通過(guò)HTTP、FTP、電子郵件、黑客竊取等途徑的數(shù)據(jù)泄漏，防止業(yè)務(wù)數(shù)據(jù)或信息資產(chǎn)外泄。具體部署情況如圖表SEQ圖表\*ARABIC24互聯(lián)網(wǎng)出口統(tǒng)一威脅管理設(shè)備所意。3.2.2公共服務(wù)區(qū)（簡(jiǎn)稱(chēng)：DMZ）用戶(hù)上網(wǎng)行為管理在公共服務(wù)區(qū)域，我們部署上網(wǎng)行為管理設(shè)備，用于監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)流的內(nèi)容及帶寬占用情況。在DMZ區(qū)域的交換機(jī)上旁?huà)焐暇W(wǎng)行為管理設(shè)備，通過(guò)路由設(shè)置的方式，獲取我們所監(jiān)測(cè)協(xié)議傳輸?shù)膬?nèi)容、流量和帶寬，具體的工作情況如下圖所示：圖表SEQ圖表\*ARABIC25DMZ區(qū)域上網(wǎng)行為管理示意圖如上圖所示，在上網(wǎng)行為管理設(shè)備上配置安全策略，專(zhuān)門(mén)對(duì)用戶(hù)上網(wǎng)行為進(jìn)行管理，并對(duì)惡意URL進(jìn)行過(guò)濾。對(duì)用戶(hù)上網(wǎng)的應(yīng)用、端口、IM、WEB、郵件等進(jìn)行審計(jì)，提升員工效率、保證上網(wǎng)安全。防火墻設(shè)備將WEB應(yīng)用服務(wù)器、郵件服務(wù)器、電商服務(wù)器等部署在DMZ區(qū)，互聯(lián)網(wǎng)流量在經(jīng)過(guò)防火墻安全檢測(cè)后訪(fǎng)問(wèn)核心區(qū)域后服務(wù)器，防止直接進(jìn)入內(nèi)部業(yè)務(wù)系統(tǒng)。圖表SEQ圖表\*ARABIC27DMZ區(qū)域防火墻設(shè)備部署示意圖網(wǎng)絡(luò)訪(fǎng)問(wèn)流量控制通過(guò)DMZ區(qū)域防火墻配置流量控制策略。實(shí)現(xiàn)基于用戶(hù)、應(yīng)用、時(shí)間等多維度的流量精細(xì)化管，對(duì)上下行流量進(jìn)行精細(xì)識(shí)別及管理，有效利用網(wǎng)絡(luò)帶寬，提升辦公效率。數(shù)據(jù)隔離來(lái)至互聯(lián)網(wǎng)的內(nèi)容必須經(jīng)過(guò)DMZ中服務(wù)器的中轉(zhuǎn)，才能夠進(jìn)入到業(yè)務(wù)區(qū)中的核心服務(wù)器內(nèi)。同樣業(yè)務(wù)區(qū)中的服務(wù)器需要通過(guò)DMZ區(qū)的轉(zhuǎn)發(fā)才能把數(shù)據(jù)發(fā)送到互聯(lián)網(wǎng)上，杜絕直接的數(shù)據(jù)連接。3.2.3核心交換區(qū)入侵檢測(cè)核心交換機(jī)下旁?huà)烊肭直O(jiān)測(cè)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)流量，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的入侵或違規(guī)行為，部署情況如下所示：圖表SEQ圖表\*ARABIC28核心交換區(qū)入侵檢測(cè)部署示意圖漏洞掃描在核心交換機(jī)上旁?huà)炻┒磼呙柙O(shè)備，和防火墻、入侵檢測(cè)系統(tǒng)互相配合，能夠有效提高網(wǎng)絡(luò)的安全性，具體部署情況如下圖所示：圖表SEQ圖表\*ARABIC29核心交換區(qū)漏洞掃描部署示意圖如上圖所示，通過(guò)對(duì)網(wǎng)絡(luò)的掃描，能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。并根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置，在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。網(wǎng)絡(luò)準(zhǔn)入在核心交換機(jī)上旁?huà)靸膳_(tái)準(zhǔn)入控制網(wǎng)關(guān)，具體部署情況如下：圖表SEQ圖表\*ARABIC30核心交換區(qū)網(wǎng)絡(luò)準(zhǔn)入控制部署示意圖工作原理：當(dāng)終端接入網(wǎng)絡(luò)時(shí)，首先由終端設(shè)備和網(wǎng)絡(luò)接入設(shè)備（如：交換機(jī)、無(wú)線(xiàn)AP、VPN等）進(jìn)行交互通訊。然后，網(wǎng)絡(luò)接入設(shè)備將終端信息發(fā)給策略/AAA服務(wù)器對(duì)接入終端和終端使用者進(jìn)行檢查。當(dāng)終端及使用者符合策略/AAA服務(wù)器上定義的策略后，策略/AAA服務(wù)器會(huì)通知網(wǎng)絡(luò)接入設(shè)備，對(duì)終端進(jìn)行授權(quán)和訪(fǎng)問(wèn)控制。本次終端準(zhǔn)入針對(duì)園區(qū)有線(xiàn)、無(wú)線(xiàn)兩個(gè)網(wǎng)絡(luò)，全園區(qū)訪(fǎng)問(wèn)通過(guò)員工賬戶(hù)和口令方式識(shí)別用戶(hù)類(lèi)型，外部訪(fǎng)客通過(guò)GuestVlan技術(shù)只能訪(fǎng)問(wèn)互聯(lián)網(wǎng)，內(nèi)部員工根據(jù)各自的崗位職責(zé)分別訪(fǎng)問(wèn)不同的內(nèi)部區(qū)域。3.2.3數(shù)據(jù)中心區(qū)邊界防火墻在業(yè)務(wù)網(wǎng)邊界區(qū)部署防火墻。通過(guò)配置數(shù)據(jù)中心區(qū)到核心交換區(qū)之間的安全策略進(jìn)行隔離，只允許業(yè)務(wù)訪(fǎng)問(wèn)數(shù)據(jù)通過(guò)，具體的部署位置如下所示：圖表SEQ圖表\*ARABIC31數(shù)據(jù)中心區(qū)防火墻部署示意圖如上圖所示，將虛擬桌面與一體機(jī)之間的訪(fǎng)問(wèn)控制設(shè)置在防火墻上，外部與內(nèi)部的訪(fǎng)問(wèn)、內(nèi)部不同區(qū)域之間的訪(fǎng)問(wèn)都通過(guò)防火墻進(jìn)行訪(fǎng)問(wèn)控制。設(shè)置防火墻的網(wǎng)絡(luò)攻擊防護(hù)策略，通過(guò)分析網(wǎng)絡(luò)流量，檢測(cè)入侵（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等），實(shí)時(shí)地中止來(lái)自網(wǎng)間的入侵行為，保護(hù)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受來(lái)侵襲。數(shù)據(jù)庫(kù)審計(jì)在數(shù)據(jù)中心區(qū)的核心交換機(jī)上，旁路部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備，監(jiān)測(cè)外部訪(fǎng)問(wèn)IBM一體機(jī)中的數(shù)據(jù)庫(kù)操作，具體情況如下所示：圖表SEQ圖表\*ARABIC32數(shù)據(jù)中心區(qū)數(shù)據(jù)庫(kù)審計(jì)部署示意圖設(shè)置交換機(jī)的策略，將數(shù)據(jù)庫(kù)協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包鏡像到數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)上，通過(guò)設(shè)置安全策略，及發(fā)現(xiàn)外部用戶(hù)訪(fǎng)問(wèn)IBM一體機(jī)中數(shù)據(jù)庫(kù)的操作內(nèi)容，對(duì)違規(guī)操作及時(shí)報(bào)警。安全文檔管理在虛擬桌面資源池中，存在部分敏感用戶(hù)存儲(chǔ)文件的安全問(wèn)題，部署文檔安全防護(hù)產(chǎn)品，具體部署情況如下圖所示：圖表SEQ圖表\*ARABIC33數(shù)據(jù)中心區(qū)安全文檔管理系統(tǒng)部署示意圖通過(guò)文檔透明加解密的方式，實(shí)現(xiàn)對(duì)內(nèi)部敏感文件的安全防護(hù)，文檔一旦加密終生帶密，除非經(jīng)過(guò)內(nèi)部授權(quán)解密，這一防護(hù)措施很好的解決內(nèi)部文檔非法外傳的漏洞。同時(shí)，在內(nèi)部根據(jù)不同部門(mén)用戶(hù)，對(duì)文檔設(shè)置不同的訪(fǎng)問(wèn)權(quán)限，保證文檔在內(nèi)部可控區(qū)域內(nèi)使用。3.2.4安全管理域堡壘機(jī)安全管理區(qū)、帶外管理區(qū)域分別部署1臺(tái)堡壘機(jī)，所有對(duì)內(nèi)部服務(wù)器運(yùn)維管理通過(guò)堡壘機(jī)登陸，管理用戶(hù)認(rèn)證、授權(quán)、審計(jì)。堡壘機(jī)作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，以達(dá)到把整個(gè)網(wǎng)絡(luò)的安全問(wèn)題集中在某個(gè)主機(jī)上解決，從而省時(shí)省力，不用考慮其它主機(jī)的安全的目的。網(wǎng)管審計(jì)系統(tǒng)網(wǎng)絡(luò)設(shè)備、安全設(shè)備管理的日志統(tǒng)一收集域展示。3.2.5統(tǒng)一的身份認(rèn)證系統(tǒng)認(rèn)證方式支持多級(jí)認(rèn)證與雙因子認(rèn)證，確保終端安全可靠。圖表SEQ圖表\*ARABIC34身份認(rèn)證-雙因子認(rèn)證3.3數(shù)據(jù)安全設(shè)計(jì)在安全等保要求中數(shù)據(jù)安全設(shè)計(jì)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行本地備份和恢復(fù)，完全數(shù)據(jù)進(jìn)行增量或差分本地備份和恢復(fù)，能夠?qū)χ匾畔⑦M(jìn)行異地備份，利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時(shí)批量傳送至場(chǎng)應(yīng)能夠?qū)χ匾畔⑦M(jìn)行異地備份。媒介融合系統(tǒng)中存儲(chǔ)設(shè)計(jì)上采用兩種存儲(chǔ)方式進(jìn)行，系統(tǒng)軟件應(yīng)用層數(shù)據(jù)使用的分布式存儲(chǔ)方式，系統(tǒng)層元數(shù)據(jù)采用共享式存儲(chǔ)設(shè)計(jì)。3.3.1分布式存儲(chǔ)分布式存儲(chǔ)引擎使用數(shù)據(jù)3副本的方式保證數(shù)據(jù)的可靠性，3副本可靠性達(dá)到99.99965%。分布式存儲(chǔ)用于對(duì)媒介融合系統(tǒng)內(nèi)容資源（文稿、音頻、演播間視頻）提供存儲(chǔ)支持。3.3.2共享式存儲(chǔ)共享存儲(chǔ)存儲(chǔ)內(nèi)容包括媒介融合系統(tǒng)應(yīng)用數(shù)據(jù)庫(kù)數(shù)據(jù)，互聯(lián)網(wǎng)接入平臺(tái)安全日志、審計(jì)信息等元數(shù)據(jù)。使用存儲(chǔ)虛擬化網(wǎng)關(guān)+磁盤(pán)陣列構(gòu)成本地高可用。考慮數(shù)據(jù)庫(kù)業(yè)務(wù)的關(guān)鍵重要性，要求存儲(chǔ)必須做到高可靠，任一存儲(chǔ)單元故障，不影響上層數(shù)據(jù)庫(kù)業(yè)務(wù)訪(fǎng)問(wèn)。設(shè)計(jì)采用高可靠容災(zāi)解決方案，通過(guò)虛擬存儲(chǔ)網(wǎng)關(guān)的集群功能和鏡像功能實(shí)現(xiàn)了容災(zāi)：虛擬存儲(chǔ)網(wǎng)關(guān)共部署4節(jié)點(diǎn)，任一節(jié)點(diǎn)故障均不影響上層業(yè)務(wù)訪(fǎng)問(wèn)；后端兩套FC-SAN存儲(chǔ)通過(guò)虛擬存儲(chǔ)網(wǎng)關(guān)實(shí)現(xiàn)鏡像，所有元數(shù)據(jù)均會(huì)寫(xiě)一份分別到兩套存儲(chǔ)中，任一存儲(chǔ)故障，均不會(huì)影響上層數(shù)據(jù)訪(fǎng)問(wèn)?！半p活”的存儲(chǔ)方案，可保障上層業(yè)務(wù)7*24小時(shí)無(wú)中斷訪(fǎng)問(wèn)。圖表SEQ圖表\*ARABIC21共享式存儲(chǔ)備份說(shuō)明：1、存儲(chǔ)虛擬化網(wǎng)關(guān)：共部署2臺(tái)虛擬存儲(chǔ)網(wǎng)關(guān)設(shè)備，每臺(tái)設(shè)備中包含2個(gè)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)均可以獨(dú)立支撐業(yè)務(wù)。2臺(tái)設(shè)備組成一個(gè)4節(jié)點(diǎn)的集群系統(tǒng)，都分別接入上層應(yīng)用服務(wù)器，避免單點(diǎn)故障，任一節(jié)點(diǎn)故障，業(yè)務(wù)均可切換到其他節(jié)點(diǎn)上。2、光纖存儲(chǔ)：共部署2臺(tái)光纖存儲(chǔ)，2臺(tái)存儲(chǔ)通過(guò)存儲(chǔ)虛擬化網(wǎng)關(guān)實(shí)現(xiàn)鏡像，且可做到本地高可靠，其中1臺(tái)存儲(chǔ)故障后，業(yè)務(wù)可通過(guò)存儲(chǔ)虛擬化網(wǎng)關(guān)自動(dòng)切換到另1臺(tái)光纖存儲(chǔ)上去。3.4安全監(jiān)控管理系統(tǒng)設(shè)計(jì)3.4.1設(shè)計(jì)思路安全監(jiān)控管理系統(tǒng)采用開(kāi)放的、可擴(kuò)展、松耦合的面向服務(wù)的管理架構(gòu)的設(shè)計(jì)思路，根據(jù)媒介融合系統(tǒng)業(yè)務(wù)需求配置運(yùn)營(yíng)和運(yùn)維管理模塊，主要包括：業(yè)務(wù)運(yùn)營(yíng)與管理、IT運(yùn)維與管理、統(tǒng)一運(yùn)營(yíng)運(yùn)維門(mén)戶(hù)。圖表SEQ圖表\*ARABIC22安全監(jiān)控設(shè)計(jì)思路1）多用戶(hù)可用需滿(mǎn)足不同中央臺(tái)的管理需求開(kāi)放的二次開(kāi)發(fā)平臺(tái)和API接口滿(mǎn)足不同企業(yè)集成和打造個(gè)性化工具的需求。2）多設(shè)備可管多廠商以及IP+IT設(shè)備統(tǒng)一管理，減低網(wǎng)絡(luò)管理成本批量部署設(shè)備，提升運(yùn)維效率。3）多業(yè)務(wù)可視面向業(yè)務(wù)的服務(wù)等級(jí)管理，直觀呈現(xiàn)網(wǎng)絡(luò)安全可視化管理，向?qū)脚渲肕PLSVPN全網(wǎng)統(tǒng)一監(jiān)控，一鍵式故障診斷。3.4.2監(jiān)控機(jī)房建設(shè)方案監(jiān)控機(jī)房布置在4層技術(shù)值班辦公室，配備如下： 1）4臺(tái)50寸電視墻用于實(shí)時(shí)監(jiān)控系統(tǒng)設(shè)備運(yùn)轉(zhuǎn)情況網(wǎng)絡(luò)流量控制用戶(hù)上網(wǎng)行為管理網(wǎng)絡(luò)病毒、攻擊報(bào)警 2）4個(gè)工位配備給網(wǎng)絡(luò)運(yùn)維、安全管理人員圖表SEQ圖表\*ARABIC23辦公樓4層技術(shù)值班辦公室4.產(chǎn)品選型大類(lèi)小類(lèi)型號(hào)數(shù)量單位備注網(wǎng)絡(luò)外聯(lián)域互聯(lián)網(wǎng)出口出口防火墻（下一代防火墻）2臺(tái)出口上網(wǎng)行為管理設(shè)備1臺(tái)DMZ區(qū)FTP服務(wù)器2臺(tái)流媒體服務(wù)器2臺(tái)Web應(yīng)用服務(wù)器2臺(tái)核心交換域業(yè)務(wù)交換區(qū)匯聚層交換機(jī)2臺(tái)媒介融合網(wǎng)安全域隔離防火墻（支持虛擬化）2臺(tái)接入交換機(jī)11臺(tái)媒介融合業(yè)務(wù)域新媒體播出隔離區(qū)安全隔離與信息交換1臺(tái)桌面云服務(wù)區(qū)///應(yīng)用服務(wù)區(qū)///數(shù)據(jù)庫(kù)區(qū)數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)數(shù)據(jù)庫(kù)存儲(chǔ)設(shè)備2臺(tái)存儲(chǔ)虛擬化網(wǎng)關(guān)2臺(tái)直播/導(dǎo)播室外網(wǎng)電腦///安全管理區(qū)網(wǎng)管審計(jì)系統(tǒng)1套堡壘機(jī)1臺(tái)病毒服務(wù)器1臺(tái)認(rèn)證系統(tǒng)1套系統(tǒng)軟件windowsServer4個(gè)SQLServer20082套桌面病毒防護(hù)（200授權(quán)）200套監(jiān)控區(qū)域監(jiān)控系統(tǒng)50英寸監(jiān)控電視4臺(tái)監(jiān)控系統(tǒng)桌面電腦6臺(tái)便攜式電腦2臺(tái)其他KVM6臺(tái)線(xiàn)材輔料及其他1套認(rèn)證及安全服務(wù)建設(shè)方案評(píng)估評(píng)估1次脆弱性檢測(cè)檢測(cè)1次安全加固加固方案1次信息安全管理制度制度建設(shè)1套等級(jí)保護(hù)測(cè)評(píng)評(píng)測(cè)1次系統(tǒng)集成系統(tǒng)集成系統(tǒng)集成1次5.技術(shù)需求5.1網(wǎng)絡(luò)外聯(lián)域5.1.1互聯(lián)網(wǎng)出口出口防火墻2臺(tái)基本要求：機(jī)箱高度≤2U自研國(guó)產(chǎn)專(zhuān)業(yè)安全操作系統(tǒng)，并提供證明文件最少4個(gè)千兆電口，2個(gè)多模光口，支持2個(gè)擴(kuò)展板卡支持交流冗余電源性能要求：系統(tǒng)三層吞吐量不少于14G系統(tǒng)應(yīng)用層吞吐不少于8Gbps最大并發(fā)連接數(shù)不少于400萬(wàn)每秒新建連接數(shù)不少于10萬(wàn)支持虛擬系統(tǒng)數(shù)量不低于4個(gè)、二層透明、路由、混合、旁路監(jiān)聽(tīng)、PPPoE等接入方式，適應(yīng)各種網(wǎng)絡(luò)環(huán)境需求。支持802.3ad協(xié)議，支持匯聚接口，能夠手動(dòng)綁定接口，即可支持動(dòng)態(tài)綁定。能夠在一條策略里配置源/目的IP地址、安全區(qū)、應(yīng)用/應(yīng)用組、協(xié)議/端口、時(shí)間、用戶(hù)、安全模板/模板組。支持基于策略的雙向NAT、動(dòng)態(tài)/靜態(tài)NAT、端口PAT。支持WEB界面設(shè)置靜態(tài)路由及OSPF、RIP、BGP動(dòng)態(tài)路由協(xié)議；支持基于源/目的地址、接口的、基于服務(wù)的策略路由；支持鏈路探測(cè)，能夠在每接口上以ICMP/TCP/UDP協(xié)議探測(cè)目標(biāo)主機(jī)可達(dá)性，探測(cè)鏈路是否有效；支持基于IPv6的訪(fǎng)問(wèn)控制，并可靈活配置。支持8級(jí)流控，可對(duì)應(yīng)用流量實(shí)行帶寬限制、帶寬保證等策略支持對(duì)1400+

種應(yīng)用的識(shí)別和控制，至少支持5大類(lèi)，比如：商業(yè)系統(tǒng)、協(xié)作應(yīng)用、一般網(wǎng)絡(luò)應(yīng)用、媒體等及28子類(lèi)，比如：認(rèn)證服務(wù)、數(shù)據(jù)庫(kù)、ERP-CRM、軟件更新、電子郵件、VOIP視頻、游戲等；支持自定義應(yīng)用；支持應(yīng)用過(guò)濾器，至少支持4個(gè)維度進(jìn)行過(guò)濾，比如：應(yīng)用類(lèi)別、實(shí)現(xiàn)技術(shù)、風(fēng)險(xiǎn)等級(jí)、標(biāo)簽?zāi)軌蜃R(shí)別控制多種途徑的文件傳輸及該途徑傳輸?shù)奈募袷剑罕热缒軌蜃R(shí)別控制騰訊QQ、MSN、新浪UC、網(wǎng)易PoPo等傳輸途徑，并且能夠識(shí)別控制騰訊QQ、MSN、新浪UC、網(wǎng)易PoPo中bmp、jif、jpeg、chm、exe、avi等文件格式的傳輸；支持泛洪類(lèi)攻擊防護(hù)：UDP/DNS/SYN/PING泛洪；支持ARP欺騙類(lèi)攻擊防病毒功能支持木馬病毒、蠕蟲(chóng)病毒、宏病毒、腳本病毒等各種病毒的查殺支持文件名稱(chēng)、類(lèi)型及病毒名稱(chēng)的白名單；可支持以文件掃描方式查殺病毒；支持HTTP、FTP、POP3、SMTP協(xié)議的病毒查殺查殺郵件正文/附件、網(wǎng)頁(yè)及下載文件中包含的病毒，可支持到10層壓縮文件的病毒查殺；支持對(duì)多次身份驗(yàn)證失敗的用戶(hù)進(jìn)行帳號(hào)、IP鎖定或禁用及加驗(yàn)圖形驗(yàn)證碼；支持對(duì)本地賬戶(hù)密碼進(jìn)行安全強(qiáng)制，包括最小長(zhǎng)度，安全級(jí)別限制；可識(shí)別并分析內(nèi)網(wǎng)主機(jī)的接入數(shù)量和資產(chǎn)屬性可不通過(guò)主機(jī)掃描等技術(shù)，即可識(shí)別內(nèi)網(wǎng)主機(jī)的操作系統(tǒng)、殺毒軟件、瀏覽器等信息?？勺远x操作系統(tǒng)、瀏覽器、殺毒軟件的風(fēng)險(xiǎn)等級(jí)，并持預(yù)置風(fēng)險(xiǎn)等級(jí)?？蔀槊總€(gè)內(nèi)網(wǎng)主機(jī)生成風(fēng)險(xiǎn)指數(shù)，通過(guò)數(shù)字直觀展示內(nèi)網(wǎng)主機(jī)的風(fēng)險(xiǎn)狀態(tài)。資產(chǎn)風(fēng)險(xiǎn)涵蓋了操作系統(tǒng)、瀏覽器、殺毒軟件、應(yīng)用、流量、服務(wù)等內(nèi)容。可針對(duì)高風(fēng)險(xiǎn)資產(chǎn)提供屏蔽功能，阻止其連接互聯(lián)網(wǎng)?？缮蓛?nèi)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)報(bào)表，提供高風(fēng)險(xiǎn)資產(chǎn)top10，提供操作系統(tǒng)等相關(guān)資產(chǎn)信息的數(shù)據(jù)統(tǒng)計(jì)和報(bào)表展示。產(chǎn)品具備《信息技術(shù)產(chǎn)品安全測(cè)評(píng)證書(shū)》，測(cè)評(píng)級(jí)別為EAL3+級(jí)別。提供證書(shū)復(fù)印件；要求獲取CVE證書(shū)，且類(lèi)型為下一代防火墻（NextGenerationFirewall）,提供截圖證明；產(chǎn)品擁有IPv6ReadyPhase-2Logo。提供有效證書(shū)的復(fù)印件要求生產(chǎn)廠商為國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位，提供證書(shū)復(fù)印件。廠商應(yīng)具備針對(duì)安全事件的遠(yuǎn)程和現(xiàn)場(chǎng)的緊急響應(yīng)能力，獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全應(yīng)急處理服務(wù)一級(jí)資質(zhì)證書(shū)。提供有效證書(shū)的復(fù)印件廠商應(yīng)具備針足夠的風(fēng)險(xiǎn)評(píng)估服務(wù)能力，獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)一級(jí)資質(zhì)證書(shū)。提供有效證書(shū)的復(fù)印件廠商需在信息安全領(lǐng)域有豐富的經(jīng)驗(yàn)與先進(jìn)的技術(shù)，須有對(duì)系統(tǒng)漏洞進(jìn)行發(fā)現(xiàn)、驗(yàn)證、以及提供應(yīng)急服務(wù)的技術(shù)能力。自主發(fā)現(xiàn)的安全漏洞數(shù)不少于34個(gè)，提供自主發(fā)現(xiàn)的安全漏洞列表，包含CVE編號(hào)，CVE網(wǎng)站可查證出口上網(wǎng)行為管理1臺(tái)5.1.2DMZ區(qū)域FTP服務(wù)器2臺(tái)序號(hào)內(nèi)容數(shù)量2臺(tái)序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1設(shè)備架構(gòu)企業(yè)級(jí)機(jī)架式務(wù)器2U★2配置要求處理器提供2*E5600處理器CPU主頻≧2.4GHz★3內(nèi)存提供≧2x4GB1.5VDDR3RDIMM內(nèi)存，最高支持18個(gè)內(nèi)存插槽(每處理器配置9個(gè)內(nèi)存插槽)。4I/O插槽提供≧4個(gè)PCI-Expressx8二代插槽；★5硬盤(pán)提供≧2*300GB、10KRPM熱插拔SAS硬盤(pán)。標(biāo)配可以支持≧8個(gè)硬盤(pán)，支持本機(jī)擴(kuò)展到16個(gè)硬盤(pán)。6RAID卡提供RAID陣列卡，支持RAID0、1。7光驅(qū)提供DVD光驅(qū)8網(wǎng)絡(luò)端口提供集成雙口千兆以太網(wǎng)，支持網(wǎng)絡(luò)喚醒。9系統(tǒng)軟件支持域控功能的基礎(chǔ)操作系統(tǒng)★10電源提供冗余電源★11保修及服務(wù)要求三年原廠保修及集成商售后服務(wù)流媒體服務(wù)器2臺(tái)序號(hào)內(nèi)容數(shù)量2臺(tái)序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1設(shè)備架構(gòu)企業(yè)級(jí)機(jī)架式務(wù)器2U★2配置要求處理器提供2*E5600處理器CPU主頻≧2.4GHz★3內(nèi)存提供≧2x4GB1.5VDDR3RDIMM內(nèi)存，最高支持18個(gè)內(nèi)存插槽(每處理器配置9個(gè)內(nèi)存插槽)。4I/O插槽提供≧4個(gè)PCI-Expressx8二代插槽；★5硬盤(pán)提供≧2*300GB、10KRPM熱插拔SAS硬盤(pán)。標(biāo)配可以支持≧8個(gè)硬盤(pán)，支持本機(jī)擴(kuò)展到16個(gè)硬盤(pán)。6RAID卡提供RAID陣列卡，支持RAID0、1。7光驅(qū)提供DVD光驅(qū)8網(wǎng)絡(luò)端口提供集成雙口千兆以太網(wǎng)，支持網(wǎng)絡(luò)喚醒。9系統(tǒng)軟件支持域控功能的基礎(chǔ)操作系統(tǒng)★10電源提供冗余電源★11保修及服務(wù)要求三年原廠保修及集成商售后服務(wù)Web應(yīng)用服務(wù)器2臺(tái)序號(hào)內(nèi)容數(shù)量2臺(tái)序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1設(shè)備架構(gòu)企業(yè)級(jí)機(jī)架式務(wù)器2U★2配置要求處理器提供2*E5600處理器CPU主頻≧2.4GHz★3內(nèi)存提供≧2x4GB1.5VDDR3RDIMM內(nèi)存，最高支持18個(gè)內(nèi)存插槽(每處理器配置9個(gè)內(nèi)存插槽)。4I/O插槽提供≧4個(gè)PCI-Expressx8二代插槽；★5硬盤(pán)提供≧2*300GB、10KRPM熱插拔SAS硬盤(pán)。標(biāo)配可以支持≧8個(gè)硬盤(pán)，支持本機(jī)擴(kuò)展到16個(gè)硬盤(pán)。6RAID卡提供RAID陣列卡，支持RAID0、1。7光驅(qū)提供DVD光驅(qū)8網(wǎng)絡(luò)端口提供集成雙口千兆以太網(wǎng)，支持網(wǎng)絡(luò)喚醒。9系統(tǒng)軟件支持域控功能的基礎(chǔ)操作系統(tǒng)★10電源提供冗余電源★11保修及服務(wù)要求三年原廠保修及集成商售后服務(wù)5.2核心業(yè)務(wù)交換5.2.1匯聚層交換機(jī)2臺(tái)序號(hào)內(nèi)容數(shù)量核心交換機(jī)，2臺(tái)要求業(yè)內(nèi)著名品牌序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1性能及功能機(jī)箱采用模塊化機(jī)箱設(shè)計(jì)，支持電源、交換引擎、管理模塊的冗余配置★2交換容量(可擴(kuò)展)≥3.84Tbps★3包轉(zhuǎn)發(fā)速率≥960Mpps★4交換網(wǎng)板插槽≥4★5機(jī)箱內(nèi)預(yù)留用于插接接口板、業(yè)務(wù)板的空槽位數(shù)量（引擎板、交換板、電源等所占槽位不計(jì)在內(nèi)）≥86單槽位容量帶寬每槽位線(xiàn)速容量帶寬≥240G（雙向480G）7全硬件路由首包無(wú)需經(jīng)過(guò)CPU查詢(xún)即能實(shí)現(xiàn)數(shù)據(jù)包的硬件轉(zhuǎn)發(fā)全線(xiàn)速轉(zhuǎn)發(fā)8組播協(xié)議提供IGMPv1/v2、IGMPSnooping、PIM-DM、PIM-SM，并且通過(guò)硬件實(shí)現(xiàn)9路由協(xié)議提供靜態(tài)路由、RIPv1/v2、OSPF等10是否支持網(wǎng)關(guān)負(fù)載均衡提供網(wǎng)關(guān)負(fù)載均衡11同時(shí)運(yùn)行的VLAN數(shù)量≥409612每端口優(yōu)先級(jí)隊(duì)列數(shù)量≥413提供每vlan生成樹(shù)PVST+或MSTP14802.1p、Diffserv/TOS提供802.1p和Diffserv/TOS（包括優(yōu)先級(jí)識(shí)別和改寫(xiě)）15QoS提供基于數(shù)據(jù)包的1~4層特征(如物理端口、MAC地址、VLAN名、IP地址或子網(wǎng)、TCP端口等)對(duì)其分類(lèi)16帶寬限制提供基于端口、基于應(yīng)用的最小帶寬保證，提供基于端口、基于應(yīng)用的最大帶寬限制17端口鏡像提供端口鏡像18三層端口提供在物理接口上設(shè)置IP地址19IPV6支持IPV6

20覆蓋傳輸虛擬化技術(shù)支持通過(guò)IP包封裝2層以太網(wǎng)流的功能對(duì)以太網(wǎng)進(jìn)行封裝和隧道化，實(shí)現(xiàn)跨數(shù)據(jù)中心遷移工作負(fù)載和虛擬機(jī)，而不必對(duì)其現(xiàn)有網(wǎng)絡(luò)進(jìn)行重新設(shè)計(jì)或重新配置。21管理MPLS支持MPLS22管理模塊支持管理模塊的冗余23支持鄰居發(fā)現(xiàn)協(xié)議支持鄰居發(fā)現(xiàn)協(xié)議24是否支持VLAN注冊(cè)協(xié)議支持VLAN注冊(cè)協(xié)議25生成樹(shù)802.1D支持26快速生成樹(shù)協(xié)議802.1w支持27鏈路捆綁802.3ad支持28把多臺(tái)設(shè)備虛擬為一臺(tái)邏輯設(shè)備，并且統(tǒng)一管理支持

29把一臺(tái)設(shè)備劃分多臺(tái)邏輯設(shè)備，并且獨(dú)立管理支持30虛擬路由器冗余協(xié)議VRRP支持31快速鏈路切換技術(shù)切換時(shí)間在1s內(nèi)32交換機(jī)操作系統(tǒng)冗余備份提供至少兩個(gè)版本操作系統(tǒng)的存儲(chǔ)的能力★33無(wú)間斷故障切換交換引擎間的切換要求不能影響應(yīng)用程序的運(yùn)行，切換時(shí)間<=50毫秒。引擎切換時(shí)不會(huì)發(fā)生業(yè)務(wù)中斷，無(wú)丟包切換34無(wú)間斷軟件升級(jí)支持35支持管理方式終端、Telnet、SNMP36安全SSHv2支持37支持SNMP版本SNMPv1/v2/v338訪(fǎng)問(wèn)控制列表支持硬件L2/L3/L4的ACL39IP和MAC地址綁定支持40MAC地址安全控制MAC地址和端口的綁定，包括動(dòng)態(tài)、靜態(tài)、1對(duì)1、1對(duì)多等對(duì)核心交換機(jī)的主要配置要求如下（單臺(tái)）：序號(hào)指標(biāo)描述指標(biāo)要求備注1機(jī)箱配置冗余主控板、交換網(wǎng)板、冗余電源2萬(wàn)兆端口數(shù)量多模模塊≥13單模模塊≥3個(gè)交換引擎和管理模塊上自帶的接口不計(jì)3千兆端口數(shù)量多模光口≥6電口≥184線(xiàn)速轉(zhuǎn)發(fā)配置的所有接口模塊必須為全線(xiàn)速模塊，能夠?qū)崿F(xiàn)卡內(nèi)、卡間端口的分布式全線(xiàn)速轉(zhuǎn)發(fā)。5保修及服務(wù)要求三年原廠保修及集成商售后服務(wù)5.2.2核心防火墻2臺(tái)基本要求：機(jī)箱高度2U自研國(guó)產(chǎn)專(zhuān)業(yè)安全操作系統(tǒng)，并提供證明文件最少8個(gè)千兆電口，8個(gè)多模光口，支持2個(gè)擴(kuò)展板卡擴(kuò)展板卡種類(lèi)包括8千兆電、8千兆光、4萬(wàn)兆光、4千兆電、4千兆光的擴(kuò)展板卡。支持交流冗余電源可提供日志集中管理系統(tǒng)性能要求：系統(tǒng)三層吞吐量不少于14G系統(tǒng)應(yīng)用層吞吐不少于8Gbps最大并發(fā)連接數(shù)不少于400萬(wàn)每秒新建連接數(shù)不少于10萬(wàn)支持虛擬系統(tǒng)數(shù)量不低于4個(gè)、二層透明、路由、混合、旁路監(jiān)聽(tīng)、PPPoE等接入方式，適應(yīng)各種網(wǎng)絡(luò)環(huán)境需求。支持802.3ad協(xié)議，支持匯聚接口，能夠手動(dòng)綁定接口，即可支持動(dòng)態(tài)綁定。能夠在一條策略里配置源/目的IP地址、安全區(qū)、應(yīng)用/應(yīng)用組、協(xié)議/端口、時(shí)間、用戶(hù)、安全模板/模板組。支持基于策略的雙向NAT、動(dòng)態(tài)/靜態(tài)NAT、端口PAT。支持WEB界面設(shè)置靜態(tài)路由及OSPF、RIP、BGP動(dòng)態(tài)路由協(xié)議；支持基于源/目的地址、接口的、基于服務(wù)的策略路由；支持鏈路探測(cè)，能夠在每接口上以ICMP/TCP/UDP協(xié)議探測(cè)目標(biāo)主機(jī)可達(dá)性，探測(cè)鏈路是否有效；支持基于IPv6的訪(fǎng)問(wèn)控制，并可靈活配置。支持8級(jí)流控，可對(duì)應(yīng)用流量實(shí)行帶寬限制、帶寬保證等策略支持對(duì)1400+

種應(yīng)用的識(shí)別和控制，至少支持5大類(lèi)，比如：商業(yè)系統(tǒng)、協(xié)作應(yīng)用、一般網(wǎng)絡(luò)應(yīng)用、媒體等及28子類(lèi)，比如：認(rèn)證服務(wù)、數(shù)據(jù)庫(kù)、ERP-CRM、軟件更新、電子郵件、VOIP視頻、游戲等；支持自定義應(yīng)用；支持應(yīng)用過(guò)濾器，至少支持4個(gè)維度進(jìn)行過(guò)濾，比如：應(yīng)用類(lèi)別、實(shí)現(xiàn)技術(shù)、風(fēng)險(xiǎn)等級(jí)、標(biāo)簽?zāi)軌蜃R(shí)別控制多種途徑的文件傳輸及該途徑傳輸?shù)奈募袷剑罕热缒軌蜃R(shí)別控制騰訊QQ、MSN、新浪UC、網(wǎng)易PoPo等傳輸途徑，并且能夠識(shí)別控制騰訊QQ、MSN、新浪UC、網(wǎng)易PoPo中bmp、jif、jpeg、chm、exe、avi等文件格式的傳輸；支持泛洪類(lèi)攻擊防護(hù)：UDP/DNS/SYN/PING泛洪；支持ARP欺騙類(lèi)攻擊防病毒功能支持木馬病毒、蠕蟲(chóng)病毒、宏病毒、腳本病毒等各種病毒的查殺支持文件名稱(chēng)、類(lèi)型及病毒名稱(chēng)的白名單；可支持以文件掃描方式查殺病毒；支持HTTP、FTP、POP3、SMTP協(xié)議的病毒查殺查殺郵件正文/附件、網(wǎng)頁(yè)及下載文件中包含的病毒，可支持到10層壓縮文件的病毒查殺；支持對(duì)多次身份驗(yàn)證失敗的用戶(hù)進(jìn)行帳號(hào)、IP鎖定或禁用及加驗(yàn)圖形驗(yàn)證碼；支持對(duì)本地賬戶(hù)密碼進(jìn)行安全強(qiáng)制，包括最小長(zhǎng)度，安全級(jí)別限制；可識(shí)別并分析內(nèi)網(wǎng)主機(jī)的接入數(shù)量和資產(chǎn)屬性可不通過(guò)主機(jī)掃描等技術(shù)，即可識(shí)別內(nèi)網(wǎng)主機(jī)的操作系統(tǒng)、殺毒軟件、瀏覽器等信息?？勺远x操作系統(tǒng)、瀏覽器、殺毒軟件的風(fēng)險(xiǎn)等級(jí)，并持預(yù)置風(fēng)險(xiǎn)等級(jí)?？蔀槊總€(gè)內(nèi)網(wǎng)主機(jī)生成風(fēng)險(xiǎn)指數(shù)，通過(guò)數(shù)字直觀展示內(nèi)網(wǎng)主機(jī)的風(fēng)險(xiǎn)狀態(tài)。資產(chǎn)風(fēng)險(xiǎn)涵蓋了操作系統(tǒng)、瀏覽器、殺毒軟件、應(yīng)用、流量、服務(wù)等內(nèi)容?？舍槍?duì)高風(fēng)險(xiǎn)資產(chǎn)提供屏蔽功能，阻止其連接互聯(lián)網(wǎng)。可生成內(nèi)網(wǎng)資產(chǎn)風(fēng)險(xiǎn)報(bào)表，提供高風(fēng)險(xiǎn)資產(chǎn)top10，提供操作系統(tǒng)等相關(guān)資產(chǎn)信息的數(shù)據(jù)統(tǒng)計(jì)和報(bào)表展示。產(chǎn)品具備《信息技術(shù)產(chǎn)品安全測(cè)評(píng)證書(shū)》，測(cè)評(píng)級(jí)別為EAL3+級(jí)別。提供證書(shū)復(fù)印件；要求獲取CVE證書(shū)，且類(lèi)型為下一代防火墻（NextGenerationFirewall）,提供截圖證明；產(chǎn)品擁有IPv6ReadyPhase-2Logo。提供有效證書(shū)的復(fù)印件要求生產(chǎn)廠商為國(guó)家級(jí)網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位，提供證書(shū)復(fù)印件。廠商應(yīng)具備針對(duì)安全事件的遠(yuǎn)程和現(xiàn)場(chǎng)的緊急響應(yīng)能力，獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全應(yīng)急處理服務(wù)一級(jí)資質(zhì)證書(shū)。提供有效證書(shū)的復(fù)印件廠商應(yīng)具備針足夠的風(fēng)險(xiǎn)評(píng)估服務(wù)能力，獲得中國(guó)信息安全認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)一級(jí)資質(zhì)證書(shū)。提供有效證書(shū)的復(fù)印件廠商需在信息安全領(lǐng)域有豐富的經(jīng)驗(yàn)與先進(jìn)的技術(shù)，須有對(duì)系統(tǒng)漏洞進(jìn)行發(fā)現(xiàn)、驗(yàn)證、以及提供應(yīng)急服務(wù)的技術(shù)能力。自主發(fā)現(xiàn)的安全漏洞數(shù)不少于34個(gè)，提供自主發(fā)現(xiàn)的安全漏洞列表，包含CVE編號(hào)，CVE網(wǎng)站可查證5.2.3接入交換機(jī)11臺(tái)序號(hào)內(nèi)容數(shù)量接入交換機(jī)，共11臺(tái)★要求與核心交換機(jī)相同品牌序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1性能及功能機(jī)箱機(jī)架式交換機(jī)2交換容量≥160Gbps3包轉(zhuǎn)發(fā)速率≥101.2Mpps★4全線(xiàn)速萬(wàn)兆端口總數(shù)量≥25全線(xiàn)速千兆端口總數(shù)量≥486支持MAC數(shù)量≥32K7三層路由表≥4K8全硬件路由首包無(wú)需經(jīng)過(guò)CPU查詢(xún)即能實(shí)現(xiàn)數(shù)據(jù)包的硬件轉(zhuǎn)發(fā)9組播協(xié)議支持IGMPv1/v2、IGMPSnooping、PIM-DM、PIM-SM，并且通過(guò)硬件實(shí)現(xiàn)★10路由協(xié)議提供靜態(tài)路由、RIPv1/v2、OSPF功能11同時(shí)運(yùn)行的VLAN數(shù)量≥409612每端口優(yōu)先級(jí)隊(duì)列數(shù)量≥413802.1p、Diffserv/TOS支持802.1p和Diffserv/TOS（包括優(yōu)先級(jí)識(shí)別和改寫(xiě)）14QoS支持基于數(shù)據(jù)包的1~4層特征(如物理端口、MAC地址、VLAN名、IP地址或子網(wǎng)、TCP端口等)對(duì)其分類(lèi)15帶寬限制支持基于端口、基于應(yīng)用的最小帶寬保證，支持基于端口、基于應(yīng)用的最大帶寬限制16端口鏡像支持端口鏡像17電源支持電源冗余18生成樹(shù)802.1D支持★19管理安全虛擬化技術(shù)提供把多臺(tái)設(shè)備虛擬為一臺(tái)邏輯設(shè)備，并且統(tǒng)一管理的能力。20快速生成樹(shù)協(xié)議802.1w支持21鏈路捆綁802.3ad支持22虛擬路由器冗余協(xié)議VRRP支持23交換機(jī)操作系統(tǒng)冗余備份提供至少兩個(gè)版本操作系統(tǒng)的存儲(chǔ)的能力24支持管理方式終端、Telnet、WEB方式、SNMP25SSHv2支持26支持SNMP版本SNMPv1/v2/v327訪(fǎng)問(wèn)控制列表支持硬件L2/L3/L4的ACL28IP和MAC地址綁定支持對(duì)接入交換機(jī)-A的主要配置要求如下（單臺(tái)）：序號(hào)指標(biāo)描述指標(biāo)要求備注1機(jī)箱配置冗余電源2千兆光端口數(shù)量其中3臺(tái)配置2個(gè)千兆單模光口，4臺(tái)配置1個(gè)千兆多模光口，1個(gè)千兆單模端口，其它11臺(tái)均配置2個(gè)多模千兆光口。3千兆端口數(shù)量48千兆電口4線(xiàn)速轉(zhuǎn)發(fā)配置的所有接口模塊必須為全線(xiàn)速模塊，且能夠?qū)崿F(xiàn)卡內(nèi)、卡間端口的全線(xiàn)速轉(zhuǎn)發(fā)5保修及服務(wù)要求三年原廠保修及集成商售后服務(wù)5.3媒介融合業(yè)務(wù)域5.3.1新媒體播出隔離區(qū)安全隔離與信息交換序號(hào)內(nèi)容數(shù)量2臺(tái)項(xiàng)目技術(shù)要求主模塊提供基于Web的圖形化管理和基于數(shù)字證書(shū)的遠(yuǎn)程安全管理可以通過(guò)時(shí)間控制功能模塊啟用和停用網(wǎng)閘功能支持內(nèi)容過(guò)濾可控制信息流動(dòng)方向支持?jǐn)?shù)字證書(shū)認(rèn)證支持地址綁定和MAC地址自動(dòng)探測(cè)支持管理員角色定制和管理，可以添加多個(gè)管理員角色，并且可以根據(jù)需要定制權(quán)限支持控制管理和配置設(shè)備的IP地址，不限數(shù)量基于源IP地址的訪(fǎng)問(wèn)控制支持惡意登錄嘗試鎖定提供完善的日志審計(jì)支持Syslog支持多端口橋模式支持雙機(jī)熱備支持多機(jī)（最多32臺(tái)）負(fù)載均衡文件交換模塊支持文件傳輸方向控制，單向傳輸和雙向同步支持周期傳輸和增量傳輸支持無(wú)客戶(hù)端傳輸方式，不需要用戶(hù)單獨(dú)提供服務(wù)器,不需要安裝任何客戶(hù)端軟件支持專(zhuān)用客戶(hù)端，數(shù)據(jù)加密傳輸支持被動(dòng)傳輸方式，設(shè)備提供共享空間被動(dòng)接受用戶(hù)提交的文件支持對(duì)傳輸文件的類(lèi)型限制、內(nèi)容過(guò)濾提供關(guān)鍵字、黑白名單信息過(guò)濾，發(fā)送白名單、發(fā)送黑名單、接收白名單、接收黑名單等多種組合控制方式。支持病毒查殺郵件模塊支持郵件同步支持垃圾郵件過(guò)濾，支持對(duì)郵件內(nèi)容和附件的過(guò)濾支持內(nèi)外網(wǎng)郵件智能檢測(cè)和轉(zhuǎn)發(fā)支持對(duì)郵件的數(shù)字簽名支持SMTP、POP3通用協(xié)議支持SMTP、POP3用戶(hù)名過(guò)濾支持SMTP認(rèn)證支持郵件地址、主題、內(nèi)容及附件關(guān)鍵字過(guò)濾支持對(duì)協(xié)議命令進(jìn)行安全過(guò)濾支持對(duì)附件及其附件的大小和類(lèi)型進(jìn)行過(guò)濾控制數(shù)據(jù)庫(kù)模塊支持Oracle、Sybase、SQLServer、MySql、DB2等多種主流數(shù)據(jù)庫(kù)同步不需要更改數(shù)據(jù)庫(kù)結(jié)構(gòu)和添加數(shù)據(jù)表，不影響數(shù)據(jù)庫(kù)服務(wù)器性能同步由網(wǎng)閘主動(dòng)發(fā)起并完成，不需要第三方軟件支持網(wǎng)閘不需要開(kāi)放任何服務(wù)端口，避免造成漏洞支持異構(gòu)數(shù)據(jù)庫(kù)同步，實(shí)現(xiàn)不同表結(jié)構(gòu)和不同數(shù)據(jù)庫(kù)類(lèi)型之間的轉(zhuǎn)化支持一對(duì)一、一對(duì)多、多對(duì)一數(shù)據(jù)庫(kù)同步支持?jǐn)帱c(diǎn)續(xù)傳支持周期復(fù)制、實(shí)時(shí)復(fù)制、標(biāo)志更新等多種同步方式支持設(shè)定同步時(shí)間和同步周期支持大字段和二進(jìn)制字段的數(shù)據(jù)同步支持字段級(jí)同步支持雙向同步支持?jǐn)?shù)據(jù)庫(kù)間的雙向訪(fǎng)問(wèn)控制支持自定義任務(wù)支持SQL、ORACLE、DB2、SYBASE等主流數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)支持SQL語(yǔ)句內(nèi)容過(guò)濾支持訪(fǎng)問(wèn)用戶(hù)名過(guò)濾FTP訪(fǎng)問(wèn)模塊采用端到端的安全通道式訪(fǎng)問(wèn)支持主動(dòng)模式和被動(dòng)模式支持透明訪(fǎng)問(wèn)支持對(duì)訪(fǎng)問(wèn)用戶(hù)的限制支持傳輸文件擴(kuò)展名過(guò)濾支持PORT命令端口范圍控制支持傳輸文件中文件名控制支持FTP命令過(guò)濾安全瀏覽模塊支持代理模式支持透明模式支持URL限制、URI后綴限制支持對(duì)HTTP協(xié)議的細(xì)粒度檢測(cè)支持HTTP方法限制支持對(duì)MIME細(xì)粒度控制，對(duì)應(yīng)用程序、視頻、音頻、圖像、文本類(lèi)型進(jìn)行細(xì)粒度控制支持本地認(rèn)證和LDAP、RADIUS認(rèn)證支持上網(wǎng)時(shí)段限制支持對(duì)各種腳本、控件、JavaApplet、Cookie的過(guò)濾支持對(duì)訪(fǎng)問(wèn)文件類(lèi)型的過(guò)濾支持用戶(hù)上網(wǎng)的IP地址限制支持用戶(hù)連接數(shù)限制定制服務(wù)支持TCP定制服務(wù)支持UDP定制服務(wù)支持組播的定制服務(wù)支持廣泛的視頻應(yīng)用，可以提供針對(duì)全球眼用戶(hù)的視頻專(zhuān)用模塊Socks代理模塊支持Socks代理模塊5.3.2數(shù)據(jù)庫(kù)區(qū)數(shù)據(jù)庫(kù)服務(wù)器2臺(tái)序號(hào)內(nèi)容數(shù)量2臺(tái)序號(hào)類(lèi)別指標(biāo)描述指標(biāo)要求備注1設(shè)備架構(gòu)企業(yè)級(jí)機(jī)架式務(wù)器2U★2配置要求處理器提供2*E5600處理器CPU主頻≧2.4GHz★3內(nèi)存提供≧2x4GB1.5VDDR3RDIMM內(nèi)存，最高支持18個(gè)內(nèi)存插槽(每處理器配置9個(gè)內(nèi)存插槽)。4I/O插槽提供≧4個(gè)PCI-Expressx8二代插槽；★5硬盤(pán)提供≧2*300GB、10KRPM熱插拔SA