某市水利局网络升级与系统安全建设设计方案

《某市水利局网络升级与系统安全建设设计方案》由会员分享，可在线阅读，更多相关《某市水利局网络升级与系统安全建设设计方案（20页珍藏版）》请在装配图网上搜索。

1、 一、工程背景1.1 信息化系统现状水利局的行业现代信息技术应用工作起步较早，特别是经过九五期间的努力，已取得了一定的进展，在水利工作的各个方面均有不同程度应用。目前，信息技术在某些业务信息采集、传输、存储、处理、分析和效劳的局部环节中已发挥了显著作用。但从总体上看，业务处理仅实现了局部数字化，相关技术规不完善，信息共享机制不健全，有限的数据资源总体质量不高，使用效率较低。水利信息化总体上仍处在起步阶段。目前我局建成了多个专业应用系统，如水雨情自动采集系统、防汛决策支持计算机辅助系统，防汛视频会商系统，圩区水利工程信息化管理系统等，通过接入宽带计算机广域网，建立了信息发布，开场向社会提供局部水

2、利信息。我局部已初步实现以网上公文流转为主要容的办公自动化。局与各区、镇水利站的联网办公也在积极推进中，已经实现了远程文件传输、公文和档案的联机管理等。软硬件设备情况：目前XX水利局网络系统拥有3台效劳器型号为DELL poweredge 2950，操作系统为Winserver 2003、3台交换机(以CISCO CATALYST 2950为核心)、2台juniperSSG5平安网关和1台路由器，水利局以及下属水利站原先使用趋势的杀毒软件，但已过期。 线路情况：水利局中心端通过100M光纤接入，各水利站与局通过10M MPLS-VPN连接。1.2 信息化系统网络拓扑1.3 业务系统的使用情况

3、3个效劳器都是DELL poweredge 2950，操作系统为winserver 2003 。水利业务应用系统分别为：XX市水利办公自动化系统OA系统，XX市防汛防旱指挥决策计算机辅助支持系统，XX市圩区水利工程管理信息化系统，XX市三维电子沙盘系统即XX市水利地理信息系统。1.4 目前存在的问题 1核心交换机CISCO CATALYST 2950于2002年9月采购，早已过维保期，目前总局包含下属的水利站总PC台数已经超过200，以其为核心的网络架构已无法满足新商业环境和IT技术迅速变化的需要。2由于下属的水利站分支机构均通过MPLS-VPN与总局互联，并且分支机构没有自己的出口，全部通过

4、总局的100M光纤出口，因此对总局的网络性能和吞吐量有较高的要求，而从整体上看，现有网络覆盖面窄，传输能力低，远远不能满足水利业务的需求；网络缺乏有效的平安措施，总局和分支机构使用的趋势的杀毒软件也已到期。对局域网的PC使用情况缺乏有效的监视和管理，制约了信息技术应用整体水平的提高。3局数据中心既是实现互联互通、数据交换和信息共享的关键，同时又负责水利工作的管理监视、防汛决策及统计数据的采集、汇总和上报等。该数据中心建立是进一步实现XX水利局信息共享和信息标准化的核心容。另外XX水利局的所有数据及核心业务都依赖本地相关的效劳器和网络通讯设备支撑，万一发生灾难事故，必定会造成严重影响和巨大损失。

5、为保证系统核心业务和关键数据的有效性，势必需要做一个平安可靠的灾难备份。二、建立目标针对局目前的IT状况，网络系统改造目标为：1更换和升级硬件设备，并部署新的系统，解决目前存在的问题，并大大提高系统运行的速度，对网络进展VLAN划分和IP子网的重新划分，提高网络系统的可管理性。2增加网络平安设备，制定网络运维规，提高网络平安性。本次工程建立从技术的角度，将着重从边界防护、系统加固、数据传输的性、应用系统的平安防护、系统灾难恢复等多个方面进展，在中心部署防火墙、文档平安保护系统、网络流量管理、网络防病毒、Web应用防护系统3、建立本地双机热备和异地灾备系统，保证数据中心核心业务和关键数据的有效性

6、，有效防止万一发生灾难事故，造成严重影响和巨大损失。三、建立方案本方案主要从根底网络升级、网络平安、本地双机和异地灾备三个方面展开阐述。3.1根底网络升级改造方案3.1.1 根本网络升级将原来核心交换机更新为更高配置、更为先进的新核心交换机，配置2块交换路由引擎，核心交换机必须满足提供高达768 Gbps的背板带宽和492 Mpps的数据转发速率，提供完全无阻塞的L2/L3/L4 数据交换能力，提供一个集成网络弹性、高可用性、扩展性和平安性的融合网络平台，提供对单位未来业务和技术的平滑过渡，如：ipv6，城域以太网等；在核心交换机上配置 2 块1400W一样瓦特电源，形成1+1的电源冗余方式，

7、提供单电源供电，在主电源失效的情况下不会中断交换机电源供电，保证网络的高可用性；将原先核心交换机更换，具体参数如下：功能特性特性参数电源要求双电源冗余整机交换容量768Gbps背板容量1.6TbpsIPv4包转发率492Mpps槽位数量不小于8业务槽位数量不小于6接口特性配置双路Salience VI-Lite交换路由模块冗余；24端口千兆以太网电接口模块；24端口千兆/百兆以太网光接口模块二层特性支持IEEE 802.1P(CoS优先级)支持IEEE 802.1QVLAN支持IEEE 802.1dSTP/802.1wRSTP/802.1sMSTP支持IEEE 802.1adQinQ，灵活Qi

8、nQ和Vlan mapping支持IEEE 802.3x全双工流控和背压式流控半双工支持IEEE 802.3ad链路聚合和跨板链路聚合支持IEEE 802.310Base-T/802.3u100Base-T支持IEEE 802.3z1000BASE-X/802.3ab1000BaseT支持IEEE 802.3ae10Gbase支持IEEE 802.3afPoE支持IEEE 802.3atPoE+支持RRPP快速环网保护协议支持跨板端口/流镜像支持端口播送/多播/未知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Mul

9、ticast VLAN+支持点到点 单VLAN穿插连接、双VLAN穿插连接全部依靠VLAN-ID进展转发，不涉及MAC地址学习支持最大VLAN MAPING/灵活QinQ表项全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力支持GVRP路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR (Graceful Restart优雅重启)支持等价路由支持策略路由支持路由策略组播特性支持IGMPv1/v2/v3 支持IGMPv1/v2/v3

10、 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16K ACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形Traffic Shaping支持802.1P/DSCP优先级Mark/R

11、emark支持层次化QoSH-QoS，支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞防止机制，包括Tail-Drop、WRED支持N：2 MirroringMPLS/VPLS支持L3 MPLS VPN支持L2 VPN: VLL (Martini, Kompella)支持MCE支持MPLS OAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议在水利局各楼层的配线间配置会聚交换机并配置多模光模块，通过光纤连接到核心交换机,提供网络接入层到网络核心层的光纤高速接入，保障网络的高速通道；分支机构通过M

12、PLS-VPN技术与水利局中心机房建立连接。会聚交换机主要参数：背板交换容量256Gbps交换容量全双工192Gbps包转发率整机96Mpps外形尺寸长宽高单位：mm44030043.6重量4kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口4个复用的1000Base-X千兆SFP端口扩展插槽2个扩展插槽可选接口模块单端口10GE XFP接口模块两端口10GE XFP接口模块两端口10GE CX4接口模块两端口SFP接口模块两端口SFP接口模块端口聚合支持LACP支持手工聚合支持最多14/26个聚合组，每组支持最多8个GE或4个10GE端口端口特性支

13、持IEEE802.3x 流量控制全双工支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制MAC地址表支持32K个MAC地址支持黑洞MAC地址支持设置端口MAC地址学习最大个数VLAN支持基于端口的VLAN4K个支持基于MAC的VLAN基于协议的VLAN基于IP子网的VLAN支持QinQ，灵活QinQ支持VLAN Mapping支持Voice VLAN支持GVRP二层环网协议支持STP/RSTP/MSTP支持RRPPDHCPDHCP ClientDHCP SnoopingDHCP RelayDHCP ServerDHCP Snooping option82/DHCP Relay optio

14、n82IRF2智能弹性架构支持IRF2智能弹性架构支持分布式设备管理，分布式链路聚合，分布式弹性路由支持通过标准以太网接口进展堆叠支持本地堆叠和远程堆叠IP路由支持静态路由支持RIPv1/v2，RIPng支持OSPFv1/v2，OSPFv3支持BGP4，BGP4+ for IPv6支持等价路由，策略路由支持VRRP/VRRPv3MCE支持IPv6支持NDNeighbor Discovery支持PMTU支持IPv6-Ping，IPv6-Tracert，IPv6-Telnet，IPv6-TFTP支持手动配置Tunnel支持6to4 tunnel支持ISATAP tunnel组播支持IGMP Sno

15、oping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN支持IGMP v1/v2/v3，MLD v1/v2支持PIM-DM，PIM-SM，PIM-SSM支持MSDP，MSDP for IPv6支持MBGP，MBGP for IPv6镜像支持流镜像支持N:4端口镜像支持本地和远程端口镜像QoS/ACL支持ACL支持L2Layer 2L4Layer 4包过滤功能，提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类支持时间段Time RangeACL支持入方向和出方向的双向ACL

16、策略支持基于VLAN下发ACL支持QoS支持对端口接收报文的速率和发送报文的速率进展限制支持报文重定向支持CARmitted Access Rate功能每个端口支持8个输出队列支持灵活的队列调度算法，可以同时基于端口和队列进展设置，支持SP、WRR、SP+WRR三种模式支持报文的802.1p和DSCP优先级重新标记平安特性支持用户分级管理和口令保护支持802.1X认证/集中式MAC地址认证支持Guest VLAN支持RADIUS认证支持SSH 2.0支持端口隔离支持端口平安支持PORTAL认证支持EAD可支持DHCP Snooping，防止欺骗的DHCP效劳器支持动态ARP检测，防止中间人攻击

17、和ARP拒绝效劳支持BPDU guard， Root guard支持uRPF(单播反向路径检测)，杜绝IP源地址欺骗，防病毒和攻击支持IP/Port/MAC的绑定功能支持OSPF、RIPv2报文的明文及MD5密文认证。管理与维护支持XModem/FTP/TFTP加载升级支持命令行接口CLI，Telnet，Console口进展配置支持SNMPv1/v2/v3，WEB网管支持RMON Remote Monitoring告警、事件、历史记录支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2最大256台支持NTP支持电源的告警功能，风扇、温度告警支持Ping、Tracert支持

18、VCTVirtual Cable Test电缆检测功能支持DLDPDevice Link Detection Protocol单向链路检测协议支持LLDP支持Loopback-detection 端口环回检测输入电压交流额定电压围：100V240V AC，50/60Hz最大电压围：90V264V AC，47/63Hz直流额定电压围：10.8V13.2V DC(RPS专用)功耗满负荷时110W工作环境温度050工作环境相对湿度非凝露10%90%3.1.2网络平安策略VLAN划分等局总部、各分支机构都有不同的管理职能，出于对部门管理、平安管理和网络稳定等方面的考虑，需要采用VLAN技术(虚拟局域网

19、)和IP地址段的划分对网络进展既独立又统一的管理，有利于网络平安和防止网络风暴，而且可以提高网络运行的效率。3.2网络平安改造方案3.2.1文档平安保护系统设计文档平安保护系统功能1图档加密文档保护系统图档加密管理帮助单位有效防和应对各种网络平安问题。从源头杜绝文件泄密解决了外贼好治，家贼难防的管理局面，加强了网络平安技术平台建立，实现对网络平安运行情况的全方位监管，健全和完善网络信息化系统，软件能有针对性、实效性的监视网络性能，而且有强大的应急处置能力和协调处理能力，确保在网络平安紧急事件发生时能够主动预防，准确判断、快速反映和有效应对，尽可能防止或减少网络平安突发事件对经济社会开展带来的影

20、响和破坏。文档平安保护系统参数如下其中必须满足：功能指标容描述国际标准支持国标准支持产品完整性系统化产品，模块化构建数据库支持MYSQL、ORACAL支持平台WIN2000/2003/XP/Vista/WIN7/WIN 2008平安性自主知识产权；平安可靠接口千兆光口、电口，只能Bypass效劳端和控制台可别离支持多控制台支持通讯效率高客户端资源占有数 1 CPU处理能力 支持带宽2MB；同网用户数量2-9999平安策略自定义支持用户定义自规那么支持硬件规格标准1U接入类型：网桥、网关、旁路支持跨VLAN支持支持VPN支持跨软件防火墙支持客户端免卸载支持客户端免杀毒软件查杀支持，瑞星、江民、金

21、山毒霸、360平安卫士、360杀毒软件、卡巴斯基Kaspersky、McAfee VirusScan、ESET Nod32、赛门铁克Norton AntiVirus、趋势PC-cillin、F-Secure Anti-Virus、AVG Anti-Virus等客户端非流氓软件支持平台要求 要求功能列表中的功能需求须在一个平台上实现，不可有第二平台，第二客户端出现系统架构 标准C/S或B/S构造、或C/S与B/S相结合、支持VPN/拨号接入、分支机构联动管理管理模式分级、分权管理模式，可以支持无限级联的管理模式自动加解密 下发终端用户所对应的加密策略，强制自动加密终端用户文件。手动加解密 可对任

22、何文件进展手动强制加密、解密操作。硬盘全加密 对硬盘上所有已选定图档格式的文件，进展全盘加密。硬盘全解密 对硬盘上所有已选定图档格式的文件，进展全盘解密。图档密级 将不同类型的图档根据实际情况设置为不同的密级，针对不同密级的文档，只有特定的用户拥有该密级权限方可查看。移动外发满足加密文件脱机使用，提供授权，离线运行，外网解密等外发解密方式。外发审核日志 终端用户外发加密文件需经管理员审核通过后解密，方可进展外发。远程文件管理管理员可远程操作客户端硬盘上的所有文件，包括下载、上传、删除、查看、远程执行等操作。图档权限控管定制终端用户机器的某些文档或目录制止被剪切、复制、删除、重命名，从而保障文档

23、的平安性，不被误删除或非法删除。图档备份对终端用户机器上的重要文件进展自动备份或手动备份到文档备份效劳器。备份日志查询查看终端用户文件备份的详细情况，并可进展文档恢复操作，保证终端文件平安。产品资质国家局颁发的涉密信息系统产品检测证书软件著作权登记证书公安部销售许可证书3.2.2.2网络流量监控和管理子系统设计对于解决工作效率问题，网络流量监控和管理子系统提供完整的Internet访问控制管理策略，可灵活地按用户角色或者分组对用户上网行为进展有效地控制，可以根据日期、时间段、效劳类型、网址、流量、IP地址、端口围等手段设置控制策略，并提供百万级的有害信息过滤网址库防堵不良，从而实现单位上网管理

24、控制，规员工上网行为，提高员工的工作效率。 访问外网权限控制：规定单位员工能否上网的权限，只有工作中需要上网的员工才能访问Internet，其他员工工作时间制止上网。 网址关键字URL控制：可以按网址、通配符控制访问的，上班时间制止访问与工作无关的(如:制止网址中包含news的)。 基于网址库URL访问控制：可以基于网址库的网址分类确定访问策略，而且用户可以自己维护网址库 (如：用户可以将不能访问的作为网址库的一类，然后可以通过制止这一类网址，就到达了制止访问对应类别的的功能) 使用应用程序控制：可以识别、QQ、P2P下载、效劳等网络效劳，并对其做控制 (如：能否使用等)。 支持分级控制：可以

25、针对某个人、某个部门或所有人进展控制，每个部门或个人均可使用不同的访问策略。 网络流量统计：各种效劳在指定时间段的流量。 除此之外，还可以提供下面的统计信息：部门和个人上网情况统计：可以按部门和个人统计上网时间、流量，还可以查看对应的详细记录。访问统计:统计每个人经常访问的情况，如：点击次数最后的网址、流量、时间等。收发统计:按部门或个人统计在指定时间段收发数量和流量。 网络流量情况分析： 网络效劳使用情况：从统计报表可以综合了解单位员工目前的上网情况，带宽使用情况，部的网络行为是否符合单位的要求，并对以后制定更加合理的互联网使用策略提供重要参考价值。网络流量监控和管理子系统参数：上网行为管理

26、带宽管理应用流控按照应用识别网络应用，进展流量管理的功能，用于限制或保证某一类应用用户流控提供基于用户(IP)/用户组(IP地址群)的流控方式网络应用管理主要用于对各种网络应用的访问进展限制或封堵。TPN网关可管控近200种当前主流的网络应用，如：P2P协议，网络电视，IM程序，股票，游戏等URL访问管控基于云端和本地URL库的“零时分类技术，支持64个大类超过一亿条URL地址分类支持手动配置URL黑白网络监控即时对当前网络的访问情况和访问历史进展监控，如：在线用户，即时在访问的，即时在使用的网络应用，即时的网络流量和当前被网关阻断的访问等网络访问容审计可以对电子包括：POP3/SMTP和主流

27、的Web，如：163126sina等、论坛发帖和主流的即时通讯软件如：MSN，QQ等进展容审计统计报表能够针对不同的对象，灵活生成种类丰富的各式统计报表，以便管理人员分析使用。具体报表有：用户上网报表、上网时长报表、流量分析报表、访问报表、网络应用排名报表、搜索引擎报表、收发报表、即时通信报表、论坛发帖报表、文件审计报表、威胁事件报表、工作效率报表等网和主机平安管理身份认证支持多种用户认证方式，包括：/口令、数字证书、USB KEY等，并且能与Windows AD、LDAP、Radius等第三方认证效劳器联动，还能结合手机短信、主机特征码和动态令牌等方式验证。设备管理日志容量支持外挂审计效劳器

28、和较大容量的置日志日志种类支持用户、应用、系统等日志，支持日志查找和定位功能接入方式支持PPPoE和DHCPServer和Client协议，支持：ADSL、Cable Modem、ISDN、FTTB、DDN、CDMA、GPRS等各种接入方式工作模式支持路由模式、桥模式，以及路由+桥的混合模式管理员登陆可通过串口和网口进展设备的本地或远程管理管理员认证支持基于口令码或数字证书的管理员身份认证和管理指令通过SSL协议加密在线升级支持本地和远程升级，支持升级代码签名，防止设备代码被非法篡改硬件性能参数4千兆以太电口(RJ45)，推荐网最大用户数1000，1U机架式厂商资质*国家商用密码产品生产定点单

29、位*国家商用密码产品销售许可证*国家质量管理体系(ISO9001:2000)认证证书产品资质*国家商用密码产品型号证书*公安部销售许可证书*国家商用密码产品技术鉴定证书3.2.2.3网络防病毒子系统设计在跨区域的广域网，要保证整个广域网平安无毒，首先要保证每一个局域网的平安无毒。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的水利网病毒防护体系。我局原先使用40用户，未考虑扩展，目前在数量上已经不能满足，同时本次要提高低属水利站的整体病毒防护能力，故增加200用户。网络防

30、病毒子系统详细参数如下：项 目指 标 综合性的防护能力免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力。支持防护策略的自动/手动配置有效控制病毒扩散通过主控效劳器，在设定的时间段，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改。集成网络版防火墙通过效劳器端统一配置和管理每个计算上安装的网络版网络墙。防火墙策略应用程序的备用效劳器客户计算机在无法连接到防毒墙网络版效劳器的情况下，仍可连接到指定的备用防毒墙网络版效劳器上，以提供防火墙策略更新。集成专杀工具病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒

31、软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具的问题。防御间谍软件和其他类型的灰色软件防毒墙网络版可以帮助保护您的计算机远离被业界视为灰色软件的各种威胁和损害，包括众所周知的类型间谍软件。临界间谍软件/灰色软件例外列表防毒墙网络版可能将特定类型的文件识别为灰色软件，尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。支持不同处理器体系构造上的 Windows 效劳器平台全面支持IPF和IA64架构的安腾处理器，以及EM64T和AMD64架构的64-bit处理器。实时更新病毒日志方便

32、而简单的配置管理与实时报告。支持 Cisco NAC 2.0 版随着 Cisco Trust Agent 的升级，防毒墙网络版客户机可以继续将防病毒信息发送到 Cisco NAC 2.0 版系统中的访问控制效劳器4.0 版和策略效劳器。并且同时支持Cisco NAC 1.0 版。自动更新先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件。灵活的更新代理设置通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效。检测未安装防病毒软件的计算机支持网段扫描侦测尚未安装防病毒软件的用户机,杜绝防

33、毒漏洞。强大的数据库管理支持将纪录数据导入SQL效劳器方便数据分析与管理。灵活的客户端迁移支持在客户端可以在不同的防病毒效劳器中转移,不需重新安装定位病毒源头客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导。POP3病毒的查杀支持病毒查杀。支持多种Web ServerIIS 和 Apache。3.2.2.4 Web应用防护子系统设计单是传统的防火墙是无法进展Web应用防护的。防火墙工作在网络层，通过地址转换、访问控制及状态检测等功能，对单位网络进展保护。但对于应用最广泛的Web效劳器，防火墙完全对外部网络开放 应用端口，这种方式对于Web应用没有任何的防护。防火墙无法防护上述应用层的攻

34、击。Web应用防护子系统主要参数如下：功能参数Web业务应用防御系统接口百兆电口4包含1个管理接口最大保护链路数4路电口带2组Bypass性能指标最大并发连接数500,000网络吞吐量100MbpsMTBF80,000小时WAF硬件硬件构造采用高性能、高可靠性应用架构设计，能够满足防御的实时性要求，产品硬件基于PTM可信机制，能够对硬件进展全方位的可信计算平安操作系统采用金电网安自主研发的GoldenSec平安操作系统、增强型核，能够对主机系统提供多层次、高强度的平安防护支持抗IP假冒攻击支持抗口令字探寻攻击抗网络平安性分析防SQL注入通过高效的URL过滤技术，阻止带有攻击敏感字符的数据包访问

35、支持特征库用户自定义模式防跨站攻击基于全包匹配机制，可以有效的防止XSS攻击和注入对防跨站攻击的强度可进展设置SSL终止功能提供对 S协议的过滤支持支持数字签名运维网段支持提供运维网段设置，方便客户发布管理Web效劳器抗网络攻击支持抗DOS、DDOS攻击支持防网络扫描支持连接数限制支持连接速率限制双机热备基于HSRP协议，提高网络的可靠性双链路支持双链路工作接入模式用户管理提供多用户管理方式接入模式透明桥模式接入终端防护软件恶意代码主动防御基于可信计算理念，利用信任链机制，对系统中所有装载的可执行代码进展控制支持自动扫描信任链更新支持用户定义信任链更新支持软件安装自动释放信任链更新机制网页文件

36、驱动保护采用针对对象相关保护方式对Web页面进展保护控制支持受控目录所有文件、子目录保护机制支持受控目录建立非受控目录机制支持可信进程目录操作机制移动磁盘权限控制采用驱动控制模式，可对Web效劳器上使用的移动介质进展控制移动磁盘病毒木马免疫基于可信计算理念，对Web效劳器上使用的移动介质的病毒木马可直接免疫自我保护机制采用核嵌入机制，即使拥有管理员权限，也无法停用保护进程防卸载机制采用核嵌入和指令中断机制，可保护终端防护软件不会被恶意强行卸载集中管理平台软件策略集中管理可针对多个WAF、终端防护进展统一管理支持终端防护配置的导入、导出多角色权限控制提供多用户角色权限管理，细化各角色功能系统管理

37、员具有策略下发的权限平安管理员具有策略制定、修改的权限平安审计员具有日志审查的权限日志审计管理提供详细的日志审计功能支持WAF硬件系统状态实时监控详细记录外网攻击源、攻击方式、攻击语句等信息记录Web效劳器端受保护目录文件的操作信息记录Web效劳器端可执行代码的运行信息可提供饼状图方式显示攻击源信息支持日志过滤所投产品须提供：1、计算机信息系统平安专用产品销售许可证复印件；2、中国国家信息平安3C认证书3、拥有自主知识产权证4、具有省局认可的文件3.3本地双机及异地容灾备份方案3.3.2.1本地双机作业说明l 将双机软件安装在主数据库和本地双机备份数据库效劳器上建议采用一台性能高的效劳器，安装

38、虚拟软件将效劳器物理上虚拟为三台，对应三台生产数据库效劳器实现双机，可以实现全操作系统的容灾切换，当主效劳器出现故障，系统可以自动或手工确认切换到双机数据效劳器上。l 实现全操作系统的容灾效劳，不要求有一样的硬件环境，可在物理效劳器和虚拟效劳器之间实现容灾，不需要对效劳器上的具体应用进展专门的复杂的设置。l 要求软件的部署和管理非常简单，全窗口化，不需要对数据库等软件做有过多的了解就可以轻松管理容灾系统。3.3.2.2异地容灾备份作业说明l 对于Windows效劳器中操作系统及应用的保护，将灾备客户端软件安装在每台Windows应用效劳器，对效劳器实现系统、应用及数据实时备份至系统备份效劳器中

39、。l 支持各种Windows平台的应用，且不需针对应用的专属模块就能对整个操作系统及应用系统进展全面的保护。l 能对效劳器中的数据变化进展完整地记录，提供时间点的快照与完整CDP的恢复支持，当源数据出现问题时，能够进展任意时间点的恢复。l 第一次完成效劳器的全操作系统备份镜像后对效劳器及网络资源占用很少，对主业务系统的影响也最小。l 可以将备份的全操作系统镜像在物理机和虚拟机上无缝的迁移和恢复，这样降低了对硬件的要求。本地双机软件功能参数：项 目指 标智能压缩是当前市场上唯一提供多层智能压缩的基于主机的复制解决方案。提供四种数据压缩选项，允许客户根据具体需要进展配置。客户可对每一项复制任务进展

40、具体选项配置，实现更高的效劳器、数据和/或网络定制水平。提醒为优化数据保护与数据可用性，软件还可通过电子提供事件通知，使客户对可能发生的效劳器故障有即时了解。提供字节级复制功能与同步复制不同，异步复制的复制流程不会对生产应用产生影响。独立于硬件不依靠硬件、存储提供商或存储架构SCSI、光纤信道、iSCSI，这种独立性能够被运用于现有的各种存储根底设施，不会使客户未来的存储购置方案受限于具体的厂商。带宽流量控制提供的用户定义控制功能对可用于数据复制的网络带宽数量进展限制。简单的管理控制台简单的Double-Take导航与配置操作能够改良整体用户体验。使用现有网络不需要用户为复制操作专门建立私人网

41、络。任务命令处理可以将系统命令插入到数据流中，以便在常规处理过程中的不同点执行命令，完成例如自动初始化目标效劳器备份等任务。复制不受距离限制采用标准IP网络，因此不受距离的限制。长距离复制的能力使用户得以将短距离复制产品望尘莫及的多种应用变成现实。多对一故障转移用户可对软件进展设置，使一台目标效劳器对应多台源效劳器。自动故障转移提供效劳器的高可用性故障转移功能，使用户在发生故障时仍能保持在线状态。不受距离限制，因此能够在本地和区域故障发生时提供故障转移保护，使用户和客户得以迅速访问其系统与数据。翻开文件镜像与复制不需要在每次配置待复制文件和/或目录时重新启动应用。工作时，用户、客户和应用仍保持

42、在线和活泼状态，因此不会对用户生产能力带来负面影响。流控制即使连接至目标效劳器的网络缺乏以即时处理所有数据，也能够处理峰值数据变化。持续过滤所有文件变化，对其进展缓冲，同时尽可能快地将变化传输到目标效劳器。无效劳器备份支持不能替换磁带备份，但它能够显著改良现有的备份解决方案。通过将生产数据应用、文件效劳器、用户等复制至目标效劳器，备份工作可以在目标效劳器完成，而无需关闭应用或要求用户退出生产效劳器。自动恢复/复原发生故障时，软件能够将目标效劳器的数据恢复至原始数据源，或复制至指定地点。数据块校验和重新镜像如果源效劳器与目标效劳器之间的连接断开，将进展数据块校验和重新镜像，而不是进展全部复制数据

43、的完整镜像。复制方案能够对复制任务进展方案，以提高其灵活性。异地备份软件功能参数如下：项 目指 标提供字节级复制功能与传统的备份软件相比，当文件有任何改动时，备份软件会将此文件进新备份，如果为10MB的文件改动了一个字节(1Byte)，备份软件必须重新备份此文件，即10MByte大小。如果使用字节级复制技术，只会有1字节传送到备份效劳器中，与备份软件处理的数据缩小了将近99.99%，因此能过更快速的将备份数据传送的远端的备份效劳器中。采用异步数据复制采用实时数据保护，但以异步的方式进展数据复制传输，可以对减少对效劳器的影响，并能有效利用现有网络资源。提供实时或是定时的数据同步复制功能建数据传送

44、方案功能，能设定为实时，定时，或是在制定的窗口时间中进展数据的同步复制，可充分的与用户的应用时间进展搭配，亦可用于网络数据的流量控管。提供CDP持续备份保护特点备份效劳器完全记录了备份的数据从全备份以来所有的改变纪录，可以快速的进展任意时间点的恢复数据，并非以固定时间点的快照或备份软件来进展数据备份。可利用现有的网络资源能将需要备份数据缩减到85%-99%,因此能运用现有的线路，或能降低线路投资本钱。提供带宽限制功能能预设网络的使用限制，即控制在操作时使用的网络宽带，降低对生产网络的影响。提供智能数据压缩提供三段的智能数据压缩， 能有效的减少网络利用率。可视现有的效劳器级网络状况，动态的进展调

45、整。专利技术STAR确保数据库的完整性专有的STAR (sequential transfer asynchronous replication) 技术可以有效的完全的兼容任何的应用:在不影响效劳器效能与稳定性的前提下，确保目标机中的数据库完整性，已能正常提供备援效劳。提供灵活的配置方式提供1对1，多对1，1 对多的配置方式，弹性灵活。扩容性强大，并能保护原有的投入方便的扩展性，除实时备份保护数据库或者是重要的文件等，还可以提供一对一的效劳器容灾的切换保护，不需要再增加额外的投资。更换数据库时，不需再另购数据库模块，节省未来的投入。当有新的节点参加的时候，不需要对现有的构造进展更改，只需要在新

46、的节点上安装软件即可。通告当系统发生问题时会发出通告。其他特点提供图形化的操作界面，并提供向导的功能，能够快速便捷的建立既维护所有的备份作业。通过了Windows Server 2000/2003/2008所有版本的兼容性的认证客户端与备份效劳器全面支持Windows平台，包括Windows 200/2008的x86与x64版本。支持分区，文件及目录选择，可以跳过系统或临时文件。客户端支持MSCS集群配置，并能对集群客户端进展统一的管理。当有新的节点参加的时候，不需要对现有的构造进展更改，只需要在新的节点上安装软件许可即可。四、参考设备清单名称要求数量单 位备注核心交换机主要参数见设备要求需配

47、备2块交流电源模块，2块交换路由引擎，1块24端口千兆以太网电接口模块(RJ45)，1块24端口千兆/百兆以太网光接口模块，5块光模块-SFP-GE-多模模块1台会聚交换机主要参数见设备要求配置1块光模块-SFP-GE-多模模块5台文档平安保护系统见设备要求1套网络流量监控和管理系统见设备要求1套杀毒软件见设备要求200用户1套Web业务应用防御系统见设备要求对3台效劳器中的4个业务应用系统进展深度平安防御1台本地双机效劳器配置2颗四核英特尔(R)至强(TM) E5620 2.40GHz处理器；2*8GB存；SAS级别硬盘7200转串行SAS；硬盘容量3*1TB；2个千兆网卡 DVD-ROM 冗余电源/风扇/导轨3 Years 4-Hour(24*7)效劳1台双机热备软件见设备要求3套容灾软件虚拟机1套异地备份效劳器配置2颗四核英特尔(R)至强(TM) E5620 2.40GHz处理器；2*4GB存；SAS级别硬盘7200转串行SAS；硬盘容量4*1TB；2个千兆网卡 DVD-ROM 冗余电源/风扇/导轨3 Years 4-Hour(24*7)效劳1台异地备份效劳器端软件见设备要求1套异地备份客户端软件3套20 / 20