XX银行生产网络建设方案

《XX银行生产网络建设方案》由会员分享，可在线阅读，更多相关《XX银行生产网络建设方案（42页珍藏版）》请在装配图网上搜索。

1、 XX银行行业务网网络 建设方案案20133年10月 目录1 整体体建设项项目概述述22 网络络项目规规划22.1 网络规规划概述述22.2 安全域域划分332.3 业务网网规划552.4 网管监监控网络络规划772.5 数据中中心规划划82.6 业务网网网络安安全规划划92.7 后续网网络扩容容规划1103 UPPS电源源系统规规划1223.1 UPSS电源系系统概述述123.2 电源系系统用户户需求分分析1333.3 电源系系统设备备选型1133.4 系统解解决方案案主要技技术特点点及参数数134 消防防系统规规划1444.1 灭火系系统产品品简介1144.2 气体灭灭火系统统设置要要求1

2、555 项目目实施安安排1555.1 实施进进度1665.2 实施分分工1776 选型型设备介介绍及资资质1886.1 核心路路由器介介绍1886.2 防火墙墙介绍2216.3 核心交交换机介介绍2776.4 服务器器产品介介绍2996.5 存储产产品介绍绍317 设备备预算3337.1 预算概概要3337.2 预算清清单33341 1 整体建设设项目概概述XX银行行地处XXX市中中心，目目前设立立市场部部、风险险管理部部、营业业部、综综合办公公室，信息息接入点点XX个个。因业业务开展展，需建建设银行行业务系系统，上上联系统统为浙江江总部。机房面积积70平方方米；周周围无易易燃、易易爆等隐隐患

3、，无无危险建建筑；机机房区域域划分为为主机房房区与监监控机房房区；按按机房消消防标准准进行设设计；强强电、弱弱电分布布符合国国家标准准；综合合布线清清晰、合合理、安安全、规规范，易易于维护护，易于于扩展；管道铺铺设保证证机房安安全。2 网络项目目规划银行业务务网络是是银行运运营信息息系统的的基础。网网络平台台将信息息交换、安安全防护护、安全全管理和和监控有有机结合合起来，贯贯穿整个个信息系系统的所所有层次次，是系系统正常常运转的的重要保保障。本部分重重点讲述述及细化化XX银银行业务务网络的的具体规规划建设设和项目目预算。2.1 网络规划划概述XX银行行从整网网结构分分析，属属于二级级分行角角色

4、。通通过跨省省WANN链路上上联浙江江一级分分行，通通过城域域网内WWAN链链路下联联村镇分分行。网络规划划以XXX业务网网络为原原点，从从横向和和纵向开开始规划划，逐渐渐形成一一个横纵纵联系的的网络。从从纵向来来看，XXX银行行网络分分为2层层，第11层为XXX业务务网络，第第2层为为村镇分分行业务务网络；从横向向来看，一一般银行行网络都都按照应应用划分分为办公公子网、生生产子网网和外联联三个子子网，省省级以上上网络还还要包含含MISS子网、网网上银行行、测试试子网等等。由于网络络目前还还处在组组网的初初级阶段段，因此此本次规规划仅考考虑XXX生产子子网的建建设，不不考虑其其它子网网的建设设

5、，但在在规划时时要考虑虑网络可可扩展性性，保证证在总体体结构不不变的情情况下，业业务网络络能够部部署连接接其它子子网的横横向接口口，以及及连接村村镇分行行的纵向向接口。2.2 安全域划划分对于银行行业务网网络来说说，首要要的一点点就是应应该根据据国家有有关部门门对相关关规定，将将整个业业务网络络进行网网络结构构的优化化和安全全域的划划分，从从结构上上实现对对安全等等级化保保护。根据中中国人民民银行计计算机安安全管理理暂行规规定（试试行）的的相关要要求：“第六十十一条内联网网上的所所有计算算机设备备，不得得直接或或间接地地与国际际互联网网相联接接，必须须实现与与国际互互联网的的物理隔隔离。”“第

6、七十十五条计算机机信息系系统的开开发环境境和现场场应当与与生产环环境和现现场隔离离。”因此进行行网络规规划时，有有必要将将生产业业务网络络与具有有互联网网连接的的办公网网络之间间区分开开来，通通过强有有力的安安全控制制机制最最大化实实现生产产系统与与其他业业务系统统之间的的隔离。同同时，对对银行所所有信息息资源进进行安全全分级，根根据不同同业务和和应用类类型划分分不同安安全等级级的安全全域，并并分别进进行不同同等级的的隔离和和保护。初步规划划将业务务网络划划分成多多个具备备不同安安全等级级的区域域，参考考公安部部发布的的信息息系统安安全保护护等级定定级指南南，我我们对安安全区域域划分和和定级的

7、的建议如如下（不不涉及的的子网没没有列出出）：安全区域域说明定级建议议生产核心心区域包含业务务服务器器主机；业务审审计系统统（可选选）3级业务区域域业务前台台终端2级网管监控控区域包含维护护网络信信息系统统有效运运行的监监控服务务器主机机和管理理终端；动环监监控服务务器和终终端。1级办公区域域包含办公公网络PCC和其它它网络设设备1级上表安全全级别为为降序排排列，生生产核心心区域具具有最高安全全级别，原原则上与与办公区区域、网网管监控控区域物物理隔离离，特殊殊情况下下，如果果部分办办公业务务用户需需要访问问生产业业务中的的特定数数据，而而部分生生产应用用也需要要访问办办公网中中的特定定数据，建

8、建议在业业务网与与办公网网之间采采用逻辑辑隔离手手段进行行严格控制制。业务务审计系系统（可可选）要要对业务务网络的的所有流流量进行行审计，所所以也部部署在生生产区域域。业务区域域包括柜柜台终端端，需要要连接核核心区域域，具有有较高安安全级别别。网管监控控区域用用于网络络监控，设设备远程程维护，以以及动环环监控，该该区域不不需要与与其它区区域连接接，所以以建议网网络设备备使用带带外管理理方式，与与其它网网络物理理隔离。办公区域域安全级级别较低低，在大大型网络络中一般般使用MMIS子子网进行行过渡，这这里建议议使用严严格访问问控制，仅仅允许办办公区域域访问生生产区域域中特定定数据。总体逻辑辑结构如

9、如图所示示：银行网络络安全结结构示意意图2.3 业务网规规划业务网作作为信息息资源平平台，主主要包括括以下信信息业务务：l 业务核心心服务器器和服务务前台终终端数据据交换。l 服务器之之间，服服务器和和存储之之间数据据交换、数数据处理理。l 业务网和和总部数数据中心心之间数数据交换换、报表表。根据各种种信息流流的特点点，以及及各种网网络设备备的功能能角色，建建议网络络如下图图部署。核心路由由器作为为总出口口通过专专线与浙浙江总部部上联；下行通通过千兆兆链路连连接防火火墙。建建议使用用高性能能、可靠靠性路由由器，保保证双主主控、双双路由引引擎、双双电源、双双风扇的的硬件冗冗余；线线卡引擎擎和业务

10、务板卡的的两级热热插拔技技术、双双主控热热备份技技术，全全面保证证可靠性性达到电电信级标标准。中心网络络所有出出网流量量都经过过防火墙墙。建议议使用数数据中心心防护级级别的防防火墙，同同时具备备IPSS功能防防御网络络攻击。防防火墙根根据各区区域的安安全级别别，分配配各端口口的优先先级和防防护策略略；核心交换换机承载载中心服服务器、存存储、前前置机等等核心设设备的数数据交换换。建议议使用支支持主控控板冗余余、电源源冗余的的高性能能、高端端口密度度交换机机。生产前台台区域需需要部署署1台或或多台汇汇聚交换换机。各网络设设备（系系统）功功能需求求如下表表序号设备（系系统）功能设备参数数需求1核心路

11、由由器提供XXX业务网网上联双主控、双双路由引引擎、电电源1+1、44GE接接口（含含至少11个光口口）2防火墙网络隔离离，为其其它网络络提供接接口；防防范非法法入侵和和攻击；FW+IIPS功功能启用用后保证证吞吐量量2GG；提供供至少4GGE接口口；3核心交换换机生产中心心数据交交换双主控、双双路由引引擎、电电源1+1、至至少244GE接接口4汇聚交换换机生产前台台数据交交换至少4GGE、224FEE接口5办公网交交换机办公网数数据交换换至少4GGE、224FEE接口2.4 网管监控控网络规规划网管监控控网络独独立与其其它网络络，整合合了网络络设备管管理系统统、动环环监控系系统、业业务审计计

12、系统，主主要包括括以下功功能：l 网络设备备通过带带外方式式集中管管理l 动环监控控采集器器、视频频采集器器等设备备与动环环监控终终端联网网l 业务审计计系统与与报表服服务器联联网根据各种种监控的的特点，以以及各种种网络设设备的功功能角色色，建议议网络如如下图部部署。网络设备备通过带带外网管管接口连连接到网网管交换换机，与与网络维维护终端端互联；动环监控控采集器器连接到到网管交交换机与与动环监监控终端端互联；业务审计计系统（可可选）旁旁路在核核心交换换机，通通过交换换机的流流量复制制，接受受所有入入出核心心区域的的流量。分分析后输输出至审审计报表表服务器器。各网络设设备（系系统）功功能需求求如

13、下表表序号设备（系系统）功能设备参数数需求1动环监控控系统机房消防防系统、门门禁系统统、图像像系统、温温湿度监监控等功功能。满足500平米机机房需求求2网管交换换机网管、监监控数据据交换至少2GGE、224FEE接口3业务审计计系统（可可选）对重要业业务数据据流采集、分析析和识别别；发现现并及时时制止用用户的误误操作、非非法访问问、恶意意攻击。事物处理理性能20000事物物数/秒秒，至少少提供22GE接接口4审计报表表服务器器（可选选）审计日志志采集、存存储PC sservver2.5 数据中心心规划数据中心心结构图图数据中心心分别新新增两台台服务器器和存储储，服务务器和存存储采用用直连方方式

14、。在在服务器器和存储储上配置置6GBB SAAS接口口，实现现服务器器和存储储的互联联。为防防止数据据存储出出现单点点故障，服服务配置置两个双双口SAAS HHBA卡卡，存储储采用双双控制器器架构，服服务器的的每块HHBA卡卡分别与与存储的的两个控控制器连连接。本方案中中，一套套服务器器和存储储承载业业务系统统，对外外提供服服务。另另外一套套服务器器和存储储作为备备份服务务器和存存储，通通过syymanntecc SYYMC BACCKUPP ECCXC备备份软件件对业务务系统进进行系统统级的备备份，当当业务系系统出现现故障可可以使用用备份数数据对业业务系统统进行恢恢复。2.6 业务网网网络安

15、全全规划业务网网网络安全全作为平平台业务务的重要要保障，安安全建设设需要包包含以下下几方面面的内容容：1、安全全防护需需求在满足联联网业务务应用需需求的同同时，也也为网络络安全带带来了新新的风险险，包括括非法访访问、身身份不确确定、黑黑客入侵侵、病毒毒和恶意意代码、安安全事件件发现和和追查不不及时等等，在建建设时必必须采取取相应的的安全措措施予以以防范。(1)非非法访问问风险。网网络存在在多个对对外网络络接口，因因此应建建立边界界隔离机机制，防防止非法法访问和和对管理理网的入入侵行为为。 (2)黑黑客入侵侵风险。与与外部网网络互联联，具有有黑客非非法入侵侵风险。因因此网络络应具有有足够的的抗攻

16、击击能力，可可以检测测和抵御御来自外外部的各各种攻击击行为。(3)网网络攻击击风险。不不仅有来来自外部部的网络络攻击，内内部网络络终端和和服务器器在中木木马或病病毒后，也也会产生生攻击流流量。要要求网络络具有攻攻击源识识别功能能，并作作为网络络日志实实时存储储。2、 应用层安安全针对目前前日益增增多的应应用层网网络攻击击行为，需需要对应应用系统统和业务务数据能能够提供供有效的的安全防防护，防防止非法法访问应应用系统统、防止止对后台台数据库库的恶意意访问、防防止DooS攻击击并保障障系统服服务的持持续性。通通过访问问审计，帮帮助用户户了解整整个系统统的使用用情况，提提供辅助助决策功功能。3、 用

17、户管理理对于网络络的运维维人员进进行集中中账号管管理，账账号和资资源的集集中管理理是集中中授权、认认证和审审计的基基础。集集中账号号管理可可以完成成对账号号整个生生命周期期的监控控和管理理，而且且还降低低了管理理大量用用户账号号的难度度和工作作量。同同时，通通过统一一的管理理还能够够发现账账号中存存在的安安全隐患患，并且且制定统统一的、标标准的用用户账号号安全策策略。4、安全全管理对于各种种安全事事件应具具有安全全审计功功能，各各关键组组件应能能提供详详细的日日志记录录，能够够妥善存存储和集集中分析析，并能能进行攻攻击回放放。针对对上述需需求，除除做好安安全防护护和认证证授权外外，必须须有完善

18、善的安全全审计功功能。综上所述述，针对对目前最最常见的的互联网网攻击类类型以及及国内外外网上系系统通常常面临的的安全威威胁，结结合云平平台实际际情况，我我们认为为可能面面临的安安全风险险和对应应的安全全需求如如下：序号风险名称称受影响对对象安全需求求1非法入侵侵和攻击击（网络络级、应应用级）所有网络络防火墙、IIPS2内网攻击击大量不安安全的主主机可能能成为僵僵尸，被被利用来来向重要要网络进进行攻击击防火墙制制定策略略，限制制攻击流流量、攻攻击规模模，以及及漏洞机机理分析析和日志志找出问问题主机机。3数据窃密密、篡改改数据库系系统业务审计计2.7 后续网络络扩容规规划网络扩容容分为以以下3种种

19、情况：1、 其它网络络连接生生产核心心网络生产中心心网络与与其它网网络接口口必须经经过防火火墙，为为新网络络指定安安全级别别后，防防火墙分分配互联联端口的的优先级级和防护护策略。如如图：2、 村镇分行行接入到到生产中中心网络络村镇分行行与生产产前台网网络优先先级一致致，都为为2级，因因此也需需要经过过防火墙墙接入中中心网络络，建议议扩容汇汇聚交换换机，将将各村镇镇分行网网络连接接到生产产前台区区域的汇汇聚交换换机。如如图3、 其它功能能设备入入网随着网络络规模扩扩大，网网络安全全重要性性越来越越突出，后后续可能能会引入入业务审审计、安安全运行行中心等等系统，由由于建网网时规划划了1个个独立的的

20、网管监监控网络络，所以以建议业业务审计计等系统统也部署署在网管管监控网网络。如如图：3 UPS电电源系统统规划3.1 UPS电电源系统统概述UPS电电源系统统是保障障机房设设备366524小小时“全天候候”稳定、可可靠、安安全运行行的关键键因素之之一。不同类型型的UPPS供电电系统只只能为用用户提供供不同级级别的保保护，它它们为信信息中心心提供的的可利用用率水平平也相差差很大。因因此UPPS供电电系统应应该为各各类计算算机设备备提供充充分发挥挥其技术术潜力的的运行环环境，不不应该是是只保证证对计算算机设备备提供1100%的不中中断供电电的系统统，也应应该确保保“计算机机网络设设备”不会因因为U

21、PPS的供供电质量量不高而而处于降降额使用用状态。另另外，从从提高信信息中心心的运行行效率的的角度来来看，还还需特别别注意正正确地设设计UPPS供电电系统的的接地系系统，以以便为信信息中心心能达到到1000%的高高“可利用用率”创造优优良的电电源供电电环境。3.2 电源系统统用户需需求分析析用户数据据中心机机房内设设备主要要为服务务器、网网络交换换、网络络存储磁磁盘阵列列类ITT设备，大大部分设设备均采采用199英寸机机柜安装装方式。现有负载载的计算算负荷按按10KVVA，根根据实际际需要，结结合客户户相关意意见，综综合、全全面考虑虑。用户对供供电系统统的要求求：- 保证证高可用用性，在在场地

22、允允许的情情况下，采采用冗余余供电方方式；- 提供供一套能能够跟随随用户实实际需求求，灵活活调整容容量的电电源系统统；- 管理理/监控控方便，便便于及时时维护；- 保证证市电中中断后1120分分钟的后后备时间间；- 其他他合理的的机房相相关解决决方案3.3 电源系统统设备选选型根据项目目具体情情况，结结合用户户需求及及我公司司多年工工程经验验，建议议采用115KVVA UUPS11套，单单机运行行方式，电电池采用用12VV/1000AHH电池229块。3.4 系统解决决方案主主要技术术特点及及参数主要技术术特点： 双变换纯纯在线式式设计； 可多台UUPS并并机冗余余，无须须外加并并联控制制卡；

23、 使用大型型中文及及多国语语言图形形化LCCD显示示； 宽广的输输入电压压范围（3380VVAC -322%335%）； 具有ECCO模式式（效率率98%），可可节省大大量的电电能，节节省运营营成本； 逆变器采采用全桥桥架构技技术，可可1000%三相相不平衡衡供电且且负载适适应性最最强； 充电系统统采DIIN4117733国际标标准，可可快速对对电池充充电； 设计有电电池温度度补偿，延延长电池池使用寿寿命； 具有电池池防漏液液侦测功功能； 具有电池池组共享享(Coommoon BBattteryy)功能能； 可远程遥遥控或面面板控制制警急事事故关机机功能(EPOO)； 高整机效效率，节节省能源

24、源，减少少运营成成本； 标配有手手动维护护旁路开开关功能能(MBBS)； 输入端可可作双回回路供电电设计； 具有输出出隔离变变压器设设计； 隔离变压压器的磁磁性组件件采用HH级绝缘缘防护等等级设计计，安全全性高； 输出过载载能力强强，且负负载适应应能力最最强； 采用多组组微处理理器控制制与模块块化设计计，维护护简易方方便； 内建SRRAM，可可以储存存多于5500笔笔信息数数据； 可搭配电电力监控控软件，对对UPSS作网络络及远程程遥控遥遥测； 提供超过过4种以以上的通通信接口口可供选选择； 智能变速速风扇，低低噪音，节节省电费费及提高高风扇使使用寿命命； 短路保护护设计与与超强防防雷击保保护

25、，确确保负载载设备安安全可靠靠运行； 可作多台台(N+1)并并机扩容容冗余,提供经经济可靠靠的高效效率供电电保护。4 消防系统统规划4.1 灭火系统统产品简简介气体灭火火系统在在结构上上具有以以下特点点： 容器阀采采用金属属膜片密密封设计计，保证证了可靠靠的密封封性能，使使灭火剂剂永久性性储存成成为可能能。 多种启动动方式（气气动启动动、电启启动、电电气手动动启动、机机械应急急手动启启动）确确保系统统绝对可可靠地启启动。 特殊的电电启动装装置使启启动电流流很小，有有效地解解决了控控制部分分功耗大大，蓄电电池容量量大等问问题，使使布局更更加合理理紧凑。 直通式瓶瓶头阀的的独特结结构，使使灭火剂剂

26、流动阻阻力降低低。 系统结构构简单，规规格多样样，安装装、调试试方便，操操作简单单可靠。适用范围围 贵重物品品、无价价珍宝或或公司资资料档案案及软件件。 无自动喷喷淋系统统或使用用水系统统造成水水损的设设备。 人员常驻驻的区域域。 灭火剂钢钢瓶空间间有限，须须少量的的灭火剂剂，即能能达到灭灭火效能能者。4.2 气体灭火火系统设设置要求求灭火剂储储瓶间设设置在专专用的钢钢瓶间内内。防护护区应设设泄压装装置，并并宜设在在外墙或或屋顶上上。当设设置在外外墙上时时应位于于防护区区净高的的2/33以上。防防护区的的门窗的的耐压强强度112000Pa；门窗的的玻璃应应采用55毫米以以上的防防火玻璃璃；保护

27、护区的通通风系统统在喷放放七氟丙丙烷(HHFC-2277ea)灭火剂剂前应关关闭，并并设置防防火阀门门；保护护区的门门必须采采用自动动防火门门，保证证在任何何情况下下均能从从保护区区内打开开。保护护区应有有排风设设备，释释放灭火火剂后，应应将废气气排尽后后，人员员方可进进入进行行检修，如如需提前前进入，需需带氧气气呼吸器器，在控控制室设设置氧气气呼吸器器。5 项目实施施安排本项目实实施与机机房建设设、装修修同时进进行，首首先进行行设备采采购和设设计规划划工作，配配电系统统部署完完毕后，进进行UPPS系统统建设和和网络设设备安装装；再依依次进行行服务器器和存储储安装、网网络联调调；同时时进行消消

28、防系统统建设、动环系统建设、网管监控系统建设。最后进行业务上线测试。5.1 实施进度度实施时间间以项目目开工协协调会时时间开始始时间为为准。预预计从开开工到业业务系统统上线需需24天天，整体体完工需需要300天。任务名称称工期开始时间间完成时间间备注工程开工工协调会会1 daay第1工作作日第1工作作日中心机房房装修实实施8 daays第2工作作日第9工作作日UPS系系统实施施11 ddayss UUPS采采购1 daays第2工作作日第2工作作日 UUPS发发货10 ddayss第3工作作日第12工工作日 UUPS安安装2 daays第13工工作日第14工工作日UPS设设备及机机柜安装装1

29、daay第14工工作日第14工工作日配电及系系统测试试1 daay第15工工作日第15工工作日网络设备备（含服服务器）实实施23 ddayss设备采购购1 daays第2工作作日第2工作作日 设设备发货货7 daays第3工作作日第9工作作日 设设备及机机柜安装装5 daays第10工工作日第14工工作日 网网络布线线、调通通及测试试3 daays第15工工作日第17工工作日 业业务系统统调研2 daays第18工工作日第19工工作日 业业务系统统上线测测试4 daays第20工工作日第23工工作日 系系统整体体测试1 daay第24工工作日第24工工作日消防系统统实施12 ddayss 设设

30、备采购购1 daays第2工作作日第2工作作日 设设备发货货7 daays第3工作作日第9工作作日 设设备安装装3 daays第10工工作日第12工工作日设备测试试1 daays第13工工作日第13工工作日动环系统统实施12 ddayss 设设备采购购1 daays第2工作作日第2工作作日 设设备发货货7 daays第3工作作日第9工作作日 设设备安装装3 daays第16工工作日第18工工作日设备测试试1 daays第19工工作日第19工工作日初验1 daay第30工工作日第30工工作日试运行3个月终验1 daay5.2 实施分工工项目建设方集成商设备厂商商业务调研研配合主要负责责人方案编写

31、写配合主要负责责人配合光路申请请/调通通主要负责责人配合配合工程硬件件安装实实施配合配合配合设备调测测配合配合主要负责责人业务割接接配合主要负责责人主要负责责人网络/业业务测试试主要负责责人配合配合验收主要负责责人配合配合6 选型设备备介绍及及资质6.1 核心路由由器介绍绍核心路由由器实现现大型网络络的互联联。对它它的要求求是速度度和可靠靠性，而而成本则处处于次要要地位。硬硬件可靠靠性体现现在双主主控、双双转发引引擎、双双电源、双双数据通通路等来来获得。XX银行行核心路路由器推推荐型号号为华为为公司的的NE220E-8款式式路由器器，NEE20EE-8秉秉承华为为公司高高端路由由器的设设计思路

32、路，以其其高性能能、双主主控、双双NPUU和热备备份优势势，能够够满足企企业网汇汇聚以及及数据中中心和运运营商的的电信级级高可用用性的要要求。【产品形形态】转发性能能：155Mppps880Mppps背板带宽宽：400G冗余电源源：内置置(ACC/DCC/PooE)，NN+1备备份配置双主主控板【产品特特点】领先的 VRPP平台NE200E-88系列采采用VRRP5.0平台台，与华华为NEE50000E是是同一平平台。VVRP操操作系统统采用 RDFF (RResiilieentDDisttribbuteed FFrammewoork) 弹性性分布式式架构 ，通过过相对分分离的管管理平面面，业

33、务务平面，数数据平面面和控制制平面，极极大的提提升了整整个系统统的灵活活性，可可靠性，可可管理性性，扩展展性。华为VRRP平台台成熟稳稳定，目目前现网网运行超超过4000万套套，其功功能丰富富性和稳稳定性也也经过了了大规模模实际应应用的磨磨砺，具具备了丰丰富的业业务特性性和功能能。领先的工工业设计计NE200E-88采用业业界领先先的工业业设计，在在大容量量的基础础上实现现了2220mmm深度，适适合各种种空间布布放条件件；同时时其抗高高温低温温的设计计可以满满足-440665的工作作条件，非非常适合合条件恶恶劣的室室外布放放。同时时其功耗耗能够做做到低于于业界水水平。强大的业业务支持持能力N

34、E200E-88具有强强大的路路由能力力，支持持超大路路由表，提提供RIIP、OSPPF、IS-IS、BGPP4和多多播路由由等丰富富的路由由协议，支支持明/密文认认证，具具备快速速收敛功功能，保保证在复复杂路由由环境下下安全稳稳定。NE200E-88具有强强大的业业务承载载能力，根根据组网网需求可可以同时时部署LL2VPPN、 L3VVPN、MVPPN，支支持和TTE （TraaffiicEnnginneerringg）同时时部署，支支持丰富富的接入入类型（E1、POS、cPOS、GE、10GE），支持灵活QinQ，支持DHCP，还可提供NNetsstreeam等等功能，适适应传统统的接入入

35、需求和和新兴的的业务需需求，满满足多业业务融合合丰富的的承载需需求。NE200E-88具有强强大的可可扩展组组播能力力，支持持丰富的的IPvv4/IIPv66组播协协议，包包括PIIM-SSM/SSSM、MLDDv1/v2、IGMMPv33，IGMMPSnnooppingg等特性性，可以以灵活承承载IPPTV等等视频业业务，可可以满足足各种规规模的组组播业务务的需求求。全方位的的可靠性性解决方方案NE200E-SS从多个个层面提提供可靠靠性保护护，包括括设备级级、网络络级、业业务级可可靠性，形形成了面面向整个个网络的的解决方方案，完全全满足电电信级的的可靠性性需求，是是构筑电电信级业业务的基基

36、石,达达到999.9999的的系统可可用性。设备级可可靠：NNE200E-SS提供关关键部件件的冗余余备份。关关键组件件支持热热插拔与与热备份份，NSSR（NNon-StoopRouttingg），NNSF（NNon-Stoop FForwwarddingg）等技技术一起起保障无无中断业业务运行行。网络级可可靠：NNE200E-SS提供IIP/LLDP/VPNN/TEE快速重重路由，HHot-Staandbby，IIGP、BBGP以以及组播播路由快快速收敛敛，虚拟拟路由冗余余协议（VVRRPP，Viirtuual Rouuterr Reedunndanncy Prootoccol），TTRUN

37、NK链路路分担备备份，BBFD链链路快速速检测，MMPLSS/Etheerneet/MMPLSS-TPP OAAM，保保证整网网稳定性性，可以以提供端端到端2200mms保护护倒换，业业务无中中断。业务级可可靠： NE220E-S提供供的VPPN FFRR和和E-VVRRPP技术，VVLL FRRR和Ettherrnett OAAM技术术以及PPW RReduundaancyy和E-Trrunkk技术，可可以应用用于L33VPNN和L22VPNN组网方方案中，保保证业务务层面的的冗余备备份，使使业务稳稳定可靠靠，不中中断。【组网应应用】金融网点点接入组组网对于金融融行业来来说，NNE200E-

38、88可作为为地市或或省级的的汇聚设设备，是适合合作为金金融网点点的理想想接入设设备。NNE系列列路由器器具有超超强的并并发业务务处理能能力，可可保证金金融网点点业务的的流畅处处理，另另外，NNE系列列路由器器具有综综合的硬硬件和软软件的可可靠性技技术支撑撑，确保保金融网网点业务务的不间间断。 独联联体某银银行数据据中心组组网 地市或或省级采采用NEE20EE-8设设备来做做汇聚路路由器，为为提高汇汇网络的的可靠性性，汇聚聚层一般般采用双双设备 新型金金融网点点会对不不同客户户群提供供差异化化的服务务，NEE路由器器丰富的的QoSS技术可可满足这这种对带带宽进行行差异化化的应用用需求6.2 防火

39、墙介介绍XX银行行防火墙墙推荐型型号为深深信服公公司的AAF-113200款式防防火墙。深信服下一代防火墙（Next-Generation Application Firewall）NGAF 是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。区别于传传统的网网络层防防火墙，NNGAFF 具备备L2-L7 层的协协议的理理解能力力。不仅仅能够实实现网络络层访问问控制的的功能，且且能够对对应用进进行识

40、别别、控制制、防护护，解决决了传统统防火墙墙应用层层控制和和防护能能力不足足的问题题。区别于传传统DPPI 技技术的入入侵防御御系统，深深信服NNGAFF 具备备深入应应用内容容的威胁胁分析能能力，具具备双向向的内容容检测能能力为用用户提供供完整的的应用层层安全防防护功能能。同样都能能防护wweb 攻击，与与webb 应用用防火墙墙关注wweb 应用程程序安全全的设计计理念不不同，深深信服下下一代防防火墙NNGAFF 关注注webb 系统统在对外外发布的的过程中中各个层层面的安安全问题题，为对对外发布布系统打打造坚实实的防御御体系。【产品形形态】网络吞吐吐量：22Gbpps并发连接接数：110

41、0000000VPN会会话支持持：4000主要功能能：状态态检测、VVPN、抗抗DDooS、NNAT、应应用扫描描、漏洞洞攻击、WWeb入入侵、非非法访问问、蠕虫虫病毒、带带宽滥用用、恶意意代码。端口容量量：6GGE选配功能能模块：IPSS、URRL、AAV【产品特特点】1、双向向内容检检测技术术NGAFF可实现现对HTTTP/HTTTPS协协议的深深入解析析，精确确识别出出协议中中的各种种要素，如如coookiee、Geet参数数、Poost表表单等，并并对这些些数据进进行快速速的解析析，以还还原其原原始通信信的信息息，根据据这些解解析后的的原始信信息，可可以精确确的检测测其是否否包含威威胁

42、内容容。而传传统的IIPS基基于DPPI深度度数据包包解析技技术，只只能实现现在网络络层数据据包层面面进行重重组还原原及特征征匹配，无无法解析析基于HHTTPP协议的的内容分分析，很很难有效效检测针针对weeb应用用的攻击击。而具具备简单单webb攻击防防护的IIPS，仅仅仅是基基于简单单的特征征检测技技术，存存在大量量的漏报报误报的的信息。NGAFF作为wweb客客户端与与服务器器请求与与响应的的中间人人，能够够有效的的避免wweb服服务器直直接暴露露在互联联网之上上，NGGAF双双向内容容检测技技术可检检测过滤滤HTTTP双向向交互的的数据流流包括rrespponsse报文文，对恶恶意流量

43、量，以及及服务器器外发的的有风险险信息进进行实时时的清洗洗与过滤滤。2、典型型的Weeb攻击击防护，防防止Owwaspp十大wweb安安全威胁胁深信服下下一代防防火墙NNGAFF有效结结合了wweb攻攻击的静静态规则则及基于于黑客攻攻击过程程的动态态防御机机制，实实现双向向的内容容检测，提提供OWWASPP定义的的十大安安全威胁胁的攻击击防护能能力，有有效防止止常见的的webb攻击。（如如，SQQL注入入、XSSS跨站站脚本、CCSRFF跨站请请求伪造造）从而而保护电电子政务务网站免免受网站站篡改、网网页挂马马、隐私私侵犯、身身份窃取取、经济济损失、名名誉损失失等问题题。3、基于于应用的的深度

44、入入侵防御御，有效效防止服服务器漏漏洞利用用攻击NGAFF基于应应用的深深度入侵侵防御采采用六大大威胁检检测机制制：攻击击特征检检测、特特殊攻击击检测、威威胁关联联分析、异异常流量量检测、协协议异常常检测、深深度内容容分析能能够有效效的防止止各类已已知未知知攻击，实实时阻断断黑客攻攻击。如如，缓冲冲区溢出出攻击、利利用漏洞洞的攻击击、协议议异常、蠕蠕虫、木木马、后后门、DDoS/DDooS攻击击探测、扫扫描、间间谍软件件、以及及各类IIPS逃逃逸攻击击等。通过NGGAF的的部署可可有效防防止利用用webb服务器器、数据据库服务务器、中中间件服服务器等等网站服服务器本本身应用用程序、操操作系统统

45、、应用用软件的的漏洞通通过缓冲冲区溢出出、恶意意蠕虫、病病毒等应应用层攻攻击，使使黑客获获取更高高的服务务器权限限、使服服务器瘫瘫痪导致致服务器器、存储储等资源源被攻击击的问题题。4、 可定义的的敏感信信息防泄泄漏，有有效防止止“拖库”、”暴库”NGAFF提供可可定义的的敏感信信息防泄泄漏功能能，根据据储存的的数据内内容可根根据其特特征清晰晰定义，通通过短信信、邮件件报警及及连接请请求阻断断的方式式防止大大量的敏敏感信息息被窃取取。深信信服敏感感信息防防泄漏解解决方案案可以自自定义多多种敏感感信息内内容进行行有效识识别、报报警并阻阻断，防防止大量量敏感信信息被非非法泄露露。邮箱账户户信息 MD

46、55加密密密码银行卡号号 身身份证号号码社保账号号 信信用卡号号手机号码码 通过深信信服深度度内容检检测技术术的应用用，深信信服下一一代防火火墙具备备深度内内容检测测的能力力。能够够检测出出通过文文件、数数据流、标标准协议议等通过过网关的的内容。因因此具备备针对敏敏感信息息，如1186、1139等等有特征征的111位的手手机号码码、188位身份份证号，有有标准特特征的邮箱等等有特征征数据进进行识别别。并通通过分离离平面设设计的软软件构架架，实现现控制平平面与内内容平面面检测联联动，通通过控制制平面向向底层数数据转发发平面发发送操作作指令来来阻断敏敏感信息息的泄漏漏。有防防护了各各单位、政政府、

47、金金融机构构的敏感感泄漏的的风险。5、智能能的DOOS攻击击防护，保保证网络络访问可可用性NGAFF采用自自主研发发的DOOS攻击击算法，可可防护基基于数据据包的DDOS攻攻击、IIP协议议报文的的DOSS攻击、TTCP协协议报文文的DOOS攻击击、基于于HTTTP协议议的DOOS攻击击等，实实现对网网络层、应应用层的的各类资资源耗尽尽的拒绝绝服务攻攻击的防防护，实实现L22-L77层的异异常流量量清洗。6、安全全风险评评估与策策略联动动，降低低安全维维护成本本NGAFF基于时时间周期期的安全全防护设设计提供供事前风风险评估估及策略略联动的的功能。通通过端口口、服务务、应用用扫描帮帮助用户户及

48、时发发现端口口、服务务及漏洞洞风险，并并通过模模块间的的智能策策略联动动及时更更新对应应的安全全风险的的安全防防护策略略。帮助助用户快快速诊断断电子商商务平台台中各个个节点的的安全漏漏洞问题题，并做做出有针针对性的的防护策策略。7、完善善产品容容错能力力，保证证网站访访问的稳稳定性硬件byypasssNGAFF可实现现硬件故故障byypasss保证证数据中中心稳定定性。借借助于掉掉电保护护模块，可可保证NNGAFF透明模模式在断断电、硬硬件故障障等异常常情况下下能够确确保网络络的通畅畅性，并并实现微微秒级切切换。关键部件件冗余NGAFF支持关关键部件件冗余的的容错机机制，保保证设备备在高温温等

49、恶劣劣环境下下出现故故障时的的快速切切换。支持双电电源，避避免由于于单电源源故障造造成的系系统不能能访问风扇1+1冗余余，避免免单风扇扇在高温温情况下下不能工工作的问问题支持热插插拔存储介质质冗余为保证存存储日志志的冗余余，防止止硬盘出出现故障障时无法法记录日日志的问问题，能能够避免免由于单单磁盘故故障造成成设备不不能使用用的情况况。分离平面面设计深信服NNGAFF采用OOS分离离平面设设计，数数据流平平面上分分为控制制平面、网网络数据据转发平平面与内内容检测测平面。网网络层数数据转发发平面主主要作用用在于使使数据包包快速缓缓存并转转发；内内容检测测平面主主要用户户数据流流应用识识别与安安全分

50、析析，结合合应用识识别、漏漏洞特征征识别、wweb攻攻击流量量识别等等模块完完成应用用层安全全分析与与防护。使用数据据转发平平面与内内容检测测平面相相分离的的技术设设计，能能够优化化处理流流程，有有效保障障网络数数据的可可用性。正正常情况况下，数数据流由由数据转转发平面面复制到到内容检检测平面面进行深深度内容容检测，当当有威胁胁内容时时，通过过控制平平面阻断断数据转转发平面面有威胁胁数据的的外发，保保证内容容的安全全性。当当内容检检测模块块出现故故障时，通通过控制制平面数数据转发发层面会会将数据据正常转转发，保保证网络络畅通保保障业务务正常运运行。【组网应应用】6.3 核心交换换机介绍绍核心交

51、换换机提供供高密度度的千兆兆、万兆兆接口线线速转发发能力，适适于业务务集中数数据中心心、城域域网出口口等应用用场景。业业务的重重要性也也对它提提出了双双主控、双双转发引引擎、双双电源的的需求。XX银行行核心路路由器推推荐型号号为华为为公司的的S93300款款式交换换机。Quiddwayy S993000系列是是华为公公司面向向以业务务为核心心的网络络架构而而推出的的新一代代高端智智能T比比特核心心路由交交换机。广广泛适用用于能源源、政府府、交通通、电力力、教育育、医疗疗、军队队、公安安、金融融、广电电等各行行业。主要定位位于企业业广域网网/城域域网，企企业出口口/核心心/汇聚聚，高密密度千兆兆

52、接入，以以及数据据中心，帮帮助企业业构建面面向业务务的网络络平台。【产品形形态】720GG交换容容量，33T背板板带宽最大端口口密度：1444GE/1444FE/ 1444*110GEE包转发率率5400Mppps配置244GE光光接口板板和488GE电电接口板板各1块块。【产品特特点】1、 端口交换换容量平平滑升级级 线卡支支持488*100G高密密万兆接接口，业业界密度度最高，充充分满足足园区高高密核心心与数据据中心大大带宽需需求； 整机硬硬件架构构满足未未来交换换容量和和功率需需求，单单端口440G/1000G平滑滑升级，节节省投资资；支持持多框集集群技术术，交换换容量显显著提升升。2、

53、 丰富的软软件协议议平台华为155年多持持续研发发VRPP软件平平台支持持上千种种协议，全全面满足足客户需需求；目目前全球球数万家家客户，现现网6000万+设备运运行考验验；与现现网全部部主流数数据厂商商设备无无缝互通通对接，保保护现网网投资。3、 归一化平平台，节节能芯片片整机高度度归一化化设计，电电源、风风扇等全全部通用用，减少少备件种种类，节节省投资资。自主主节能芯芯片，高高效节能能管理平平台，成成为业界界绿色标标杆。【组网应应用】6.4 服务器产产品介绍绍XX银行行数据中中心推荐荐服务器器为DEELL 公司的的PowwerEEdgee R7720款款式服务务器。DDelll Poowe

54、rrEdgge RR7200 机架架式服务务器是一一款配有有高度可可扩展内内存（最最高可配配7688 GBB）与超超强I/O 能能力的通通用平台台，能够够轻松运运行大中中型企业业的各种种应用程程序以及及虚拟化化环境。借借助英特特尔 至强强 E55-26600 处理器器和对双双RAIID 控控制器的的支持，RR7200 可以以稳健地地处理要要求极为为苛刻的的工作负负载，如如数据仓仓库、电电子商务务、虚拟拟桌面基基础架构构(VDDI)、数数据库以以及作为为数据节节点的高高性能计计算(HHPC)。【产品形形态】处理器：英特尔尔 至强强 处理理器E55-26600 产品系系列处理器插插槽数量量：2 个

55、内部互连连： 22 个英英特尔QQuicckPaath 互连(QPII) 链链路；66.4 GT/s ；7.22 GTT/s ；8.0 GGT/ss高速缓存存： 每每核心22.5 MB ；核心心数量选选项：22、4、66、8内存： 最高可可配7668 GGB（224 个个DIMMM 插插槽）：2 GGB/44 GBB/8 GB/16 GB/32 GB DDRR3（最最高16600 MT/s）I/O 插槽：7 个个PCIIe 插插槽： 1 个x116 插插槽，全全长、全全高 3 个x88 插槽槽，全长长、全高高 3 个x88 插槽槽，半长长、半高高最大内部部存储容容量： 244 TBB【产品特特

56、点】双路2UU 机架架式Deell PoowerrEdgge R7720 服务器器树立了了功能灵灵活性方方面的新新标准，配配备高度度可扩展展的内存存、I/O 容容量和灵灵活的网网络选项项，可以以轻松运运行复杂杂的工作作负载。管理数据据过载借助R7720 灵活而而又强大大的I/O 和和存储能能力，跟跟上虚拟拟化时代代数据急急剧增长长的步伐伐。最多多可配116 个个内置硬硬盘和支支持PCCI EExprresss 3.0 的的集成扩扩展插槽槽极大地地提高了了容量，而而可选配配的热插插拔、正正面接插插PCIIe 固固态硬盘盘（最多多可配44 个）可可实现性性能增强强和机箱箱内存储储分层。另另外，戴戴

57、尔精选选网络适适配器能能够视需需要选择择正确的的网络结结构，而而无需占占用宝贵贵的PCCI 插插槽。加速解决决方案通过将PPoweerEddge R7220 的的高内存存密度与与可选配配的GPPU 加加速器（有有些有超超过5000 个个内核）相相结合，大大幅增强强HPCC 或VVDI 环境的的性能。从从一系列列GPUU 选项项中选择择，以获获得更大大的辅助助性能。借助R7720 提高虚虚拟化水水平通过使用用PowwerEEdgee R7720 的大内内存配置置扩展虚虚拟环境境，从而而最大限限度地提提高数据据中心的的应用程程序容量量。选择择业界领领先的虚虚拟机管管理程序序，并利利用我们们的系统统

58、管理功功能管理理物理和和虚拟资资产。利利用冗余余的故障障保护型型虚拟机机管理程程序，RR7200 可帮帮助您最最大限度度地提高高虚拟机机的正常常运行时时间。最最后一点点，通过过戴尔的的虚拟集集成系统统(VIIS) 解决方方案，您您只需轻轻点几下下鼠标就就可以启启用复杂杂的虚拟拟化环境境。6.5 存储产品品介绍XX银行行数据中中心推荐荐存储设设备为DDELLL 公司司的PoowerrVauult MD332000阵列。PPoweerVaaultt MDD32220是戴戴尔的新新一代直直连共享享串行连连接SCCSI (SAAS)阵阵列，经经鉴定适适合在MMicrrosooft Hypper-V、C

59、Citrrix XennSerrverr和VMMwarre虚拟拟环境中中使用。 【产品形形态】硬盘MD32220：最最多可配配置二十十四(24)个个3.55英寸SSAS、NNL SSAS和和固态硬硬盘产品：33.5英英寸硬盘盘的性能能和容量量15,0000 RPMM SAAS硬盘盘，容量量规格为为3000 GBB、4550 GGB和6600 GB7,2000 RRPM近近线SAAS硬盘盘，容量量规格为为5000 GBB、1 TB、22 TBB和3 TB产品：22.5英英寸硬盘盘的性能能和容量量15,0000 RPMM SAAS硬盘盘，容量量规格为为73 GB和和1466 GBB10,0000

60、RPMM SAAS硬盘盘，容量量规格为为1466 GBB、3000 GGB和6600 GB7,2000 RRPM近近线SAAS硬盘盘，容量量规格为为5000 GBB固态硬盘盘(SSSD)，容容量规格格为1449 GGB（适适用于33.5英英寸硬盘盘托架） 存储设备备采用MDD12000/MMD12220扩扩展盘柜柜，最多多可配置置1922个硬盘盘连接性8个6 Gb SASS端口（每每个控制制器4个个）【产品特特点】管理系统统MD32220阵阵列由新新一代MMD SStorragee Maanagger（一一个直观观、易于于使用的的基于客客户端的的应用程程序）管管理。 通过两两种不同同的管理理途径，可可轻松实实现用户户交互（即即使只对对存储系系统有基基本了解解的用户户也能够够使用）。 企业窗窗口功能能可通过过单个界界面监控控多个系系统。 基于向向导的阵阵列管理理有助于于简化配配置流程程。 该软件件会检测测问题并并就检测测到的任任何问题题对您进进行提醒醒，另外外还会启启动自动动Reccoveery Gurru来帮帮助排查查和解决决问题。MD阵列列系列经经过测试试、验证证和担保保，可在在ASHHRAEE（美国国采暖、制制冷及空空调工程程师协会会）当前前发布的的最高温温度和湿湿度指标标下运行行，即能能够在高高达1113