XXX规划院信息安全建设方案V.16

《XXX规划院信息安全建设方案V.16》由会员分享，可在线阅读，更多相关《XXX规划院信息安全建设方案V.16（48页珍藏版）》请在装配图网上搜索。

1、_调查规划院 信 息 安 全 建 设 方 案 (V1.6) 成都_有限公司 Chengdu _ Information Technoloy Co., Ltd.二OO八年十一月 文 档 状 态 文件状态 草稿文件 正式文件 更改正式文件 文件 标识 LGY-ITS 当前 版本 V1.6 作者 完成 日期 2022-12-22 修订历史记录 日期 版本 说明 作者 2022-11-3 V1.0 根据实际需求及进一步发展描述完成方案草案 2022-11-4 V1.1 对方案中的问题进行修订、完善 2022-11-5 V1.3 对方案中的问题进行修订 提出三套不同档次解决方案 对DMZ区设计进行修订

2、2022-11-6 V1.4 对三套方案的产品及预算进行调整 2022-11-6 V1.5 对第一套方案一、二阶段进行调整 完善对现在设备的分析p 2022-11-20 V1.6 完成产品介绍内容 目 录 1 信息系统安全体系现状概述 1 1.1 现状概述 1 1.2 现状分析p 1 1.3 拓扑结构说明 2 2 安全威胁分析p 6 2.1 外部威胁分析p 6 2.2 内部威胁分析p 6 2.3 总体威胁分析p 7 3 总体需求及主要内容 8 4 网络及信息安全体系总体方案 9 4.1 设计原则 9 4.2 总体方案 9 5 详细设计 10 5.1 拓扑结构调整 10 5.2 出口安全设计 1

3、0 5.3 网络防病毒 11 5.3.1 内容安全网关(防毒墙) 11 5.3.2 企业级网络版防病毒软件 11 5.4 构建全局安全网络体系 12 5.4.1 概述 12 5.4.2 IP地址规划 13 5.4.3 VLAN规划 14 5.4.4 常见网络危害病毒防范设计 15 5.4.5 常见网络攻击防范设计 18 5.4.5.1 MAC攻击 18 5.4.5.2 DHCP攻击 18 5.4.5.3 ARP攻击 19 5.4.5.4 IP/MAC攻击 20 5.4.5.5 STP攻击 20 5.4.5.6 Dos/Ddos攻击 21 5.4.5.7 IP扫描攻击 21 5.4.5.8 网络

4、设备管理安全 21 5.4.6 全局安全网络(GSN)方案设计 22 5.4.6.1 安全挑战 22 5.4.6.2 管理挑战 22 5.4.6.3 方案详细介绍 22 5.4.6.4 安全特性 23 5.4.6.5 管理特性 24 5.4.6.6 详细功能 24 5.4.6.7 交换设备升级 26 5.5 应用扩展后的安全体系建设 26 5.5.1 总体方案 26 5.5.2 服务器DMZ区 27 5.5.3 入侵检测系统(IDS) 27 5.5.4 应用控制引擎 28 5.5.5 数据中心构建 31 6 方案特色 37 7 建设计划及资金预算 38 7.1 方案1中低配置方案 38 7.2

5、 方案2中档配置方案 40 7.3 方案3中高配置方案 42 8 主要设备选型 44 8.1 防火墙-RG-WALL-160M 44 8.1.1 产品特性 44 8.1.2 技术参数 45 8.2 防火墙-RG-WALL-1600S 48 8.2.1 产品概述 48 8.2.2 产品特性 49 8.2.3 技术参数 51 8.2.4 扩展模块 54 8.3 RG-S2126G安全智能交换机 55 8.3.1 产品概述 55 8.3.2 产品特性 55 8.3.3 技术参数 58 8.4 防病毒安全套装 PESA4.0 59 8.4.1 PESA特性 60 8.4.2 模块介绍 60 8.5 入

6、侵检测系统RG-IDS-500 61 8.5.1 产品概述 61 8.5.2 产品特性 62 8.5.3 技术参数 64 8.6 RG-SMP安全网络管理平台 64 8.6.1 产品概述 64 8.6.2 产品特征 65 8.6.2.1 身份认证功能 65 8.6.2.2 主机端点防护功能 65 8.6.2.3 网络通信保护功能 66 1 信息系统安全体系现状概述 1.1 现状概述 我单位计算机网络、信息系统在建设之初，经过了仔细规划，结构合理、运行可靠、维护方便。但是在建设初期，网络系统及应用系统均相对简单，信息系统安全的重要性并未体现出来，主要应用仍限于内部局域当中，对外网的访问主要是普通

7、上网和信息服务，信息系统安全措施及技术手段相对较少。随着IT技术的飞速发展，各种应用的不断丰富，国家几大“金”字号工程的建设，电子商务、电子政务的不断深入，我单位网络规模的不断扩大、应用不断增加，陆续或即将扩大网络规模、增加多种业务系统，网络和信息系统的使用频率巨增，并将提供对外的资服务，因此，大大增加了病毒感染、网络入侵等危险。原有设计和实施的网络及信息系统安全技术手段、相关设备、措施，已经远远不能满足现在我单位网络和信息系统安全的需要，因此，迫切需要解决信息系统安全问题，构建一个全局安全网络和立体的信息安全体系。1.2 现状分析p 由于网络规模的不断扩大、应用不断复杂、使用频率的不断增多，

8、我单位网络已经变得复杂和难以管理，存在着极大的信息安全风险。现有网络结构如下图所示：1.3 拓扑结构说明 网络通过Quidway AR 2880模块化路由器接入Inter，带宽10M。Quidway AR 2880主要功能及性能：Quidway AR28-40/80模块化中心路由器是华为AR系列路由器中面向运营商和企业用户的网络产品，采用32位的微处理器技术，使用VRP（通用路由平台），提供了极其丰富的软件特性，支持哑终端接入服务器和金融POS接入功能， 支持SNA/DLSw、VoIP特性等，提供丰富的备份方案及QoS特性。硬件采用模块化结构，具有更高的处理能力和更大的接入密度；采用华为公司V

9、RP网络操作系统平台，支持更多的功能特性，既适合于在大型网络中担当汇聚层路由器，也可以在中小型企业网中担当核心路由器。其特点如下： 采用VRP操作平台 提供解决方案 提供一定的网络安全功能 支持多种互连协议 支持丰富网络协议 支持应用层协议及业务特性 支持QoS 处理器 MPC8245 300MHz 转发性能 110-120KPPS NVRAM 128KB FLASH 32MB SDRAM 缺省：128MB 最大：256MB 采用华为S5510为核心交换机，采用10M链路与路由器连接，与接入层交换机采用100M连接。S5510主要功能及性能：产品类型 企业级,三层,可网管型交换机,以太网型 传

10、输方式 存储转发方式 背板带宽 48Gbps 包转发率 35.71Mpps 外形尺寸 44036043.6mm 重量 5Kg 接口类型 10/100/1000BASE-T端口 接口数目 24口 传输速率 10M/100M/1000Mbps 模块化插槽数 4 管理端口 1个Console端口 堆叠 不可堆叠 支持网络标准 802.3；802.3u,IEEE 802.3_,IEEE 802.1D,IEEE 802.1Q VLAN支持 支持,支持端口VLAN(4094个) 端口聚合 支持,支持FE(Fast Ether)端口聚合/支持GE(Gigabit Ether)端口聚合/支持LACP(Link

11、 Aggregation Control Protocol,链路聚合控制协议) 网管功能 支持,支持命令行接口(CLI)配置/支持Tel远程配置/支持通过Console口配置/支持SNMP(Simple work Management Protocol)V1/V2c/V3/支持WEB网管 是否支持全双工 支持 MAC地址表 12K 其他性能 支持交流电输入和直流电输入 采用Quidway S20_0、Quidway S2100作为接入交换机，与桌面连接为100M。Quidway S20_0主要功能及性能：项目 S2022-EI S20_-EI S2403H-EI 固定端口 8个10/100M以

12、太网电口 1个Console口 16个10/100M以太网电口 1个Console口 25个10/100M以太网电口 1个Console口 扩展槽位数量 无 1 1 扩展接口模块种类 无 100Base-F_多模模块、100Base-F_单模模块、100Base-F_单模中距模块、百兆远程受电接口模块 100Base-F_多模模块、100Base-F_单模模块、100Base-F_单模中距模块 线速二层交换 所有端口支持线速转发 包转发率：S2022-EI为1.19Mpps，S20_-EI为2.53Mpps，S2403H-EI为3.87Mpps 交换模式 存储转发模式 VLAN 支持符合IEE

13、E 802.1Q标准的VLAN，最多支持512个VLAN 支持基于端口的VLAN 支持GVRP 组播 GMRP IGMP Snooping 生成树协议 支持STP/RSTP/MSTP 端口汇聚 最多可以支持4/8/12组端口汇聚，每个端口汇聚组最多可以有8个端口 广播风暴抑制 所有端口上支持基于带宽百分比的广播风暴抑制 端口镜像 支持一对多的端口镜像，即一个镜像端口，对被镜像端口的数量没有限制 MAC地址表 地址自学习 IEEE 802.1D标准 最多支持4K个MAC地址 流控 支持IEEE 802.3_ 流控(全双工) 支持背压式流控(半双工) 加载与升级 支持_Modem协议实现加载升级

14、支持FTP、TFTP加载升级 管理 支持命令行接口配置 支持Tel远程配置 支持通过Console口配置 支持SNMP 支持RMON 1，2，3，9组MIB 支持iManager N20_0 DMS网管系统 支持HGMP V2集群管理 支持系统日志 支持分级告警 维护 支持调试信息输出 支持PING、Tracert 支持Tel远程维护 QoS 支持DSCP优先级、802.1p优先级 支持端口出方向和入方向报文的双向端口限速，带宽分配支持64Kbps的精细粒度。支持WRR、HQ+WRR队列调度算法 支持流量统计 安全特性 支持MAC地址和端口绑定 支持端口锁定 对属于同一个802.1Q VLAN

15、的端口之间可以设置隔离或互通。用户分级管理和口令保护 支持基于端口和基于MAC的802.1_认证 远程受电 S20_-EI的直流机型支持远程受电，满足802.3af标准。外形尺寸(WDH) 216mm _ 40mm _ 117mm 436mm _ 42mm _ 20_mm 436mm _ 42mm _ 240mm 重量 2GB)。 数据及系统设定可快速或周期性的备份(恢复)到本机磁带机、USB硬盘或远程Uni_/Linu_主机的磁带机、硬盘。 提供多台设备之间通过局域网络或因特网进行周期性数据同步加密传输功能。可与另一台设备做远程资料同步（双机热备份）。 磁盘快照(Snapshot)功能，可设

16、定低容量提醒、在线容量增减等功能。u 强壮的系统稳定 支持双网卡之多网段传输(Multi-sub)、备援(Fail-over)及捆绑(Bonding)功能，提升网络传输效能，确保不间断的网络高速传输能力。 整合UPS电管理机制。 热插拔容错系统风扇及电供应器，确保系统正常运行不停机。u 跨平台的安全机制 支持NIS、LDAP及Microsoft Active Directory密码验证。 支持访问控制列表（ACL）存取控制。 整合Microsoft Windows NT/20_0/20_3域和活动目录（ADS）管理架构。 支持Uni_ NIS及Microsoft ADS动态目录服务。 内建FT

17、P Server可直接上传或下载档案。 提供数据夹层级安全存取权限设定。 提供文件/文件夹/共享级权限管理，使管理更具弹性。 用户、目录磁盘配额管理。u 广泛的系统支持 网络通讯协议支持DHCP、TCP/IP、IP_、AppleTalk、FTP、iSCSI。 档案传输协议支持SMB/CIFS(Microsoft)、NFS (Uni_)、AFP (Apple)、NCP (Novell)。 客户端操作系统支持Windows 9_/NT/2K/2K3/_P、Solaris、HP-U_、AI_、Uni_、Linu_、Novell Ware、Macintosh OS等 u RAID5和RAID6容量热扩

18、充功能，在线即时扩充RAID存储容量 提供的热扩充（Hot-E_pansion）功能可以随时在线即时扩充RAID5和RAID6的存储容量。此项功能不必将系统关机即可进行，不仅可以让容量扩充更具弹性，且能维持系统的高可用性。举例来说，在建立存储系统之初，其存储需求仅需2TB，因此在系统中安装了6个400GB的硬盘组成RAID5。过了一年之后，该存储容量已经不够用，因此系统管理员决定再扩充1TB，此时，仅需插入三个400GB的硬盘到系统中，并把这两个硬盘设定给该RAID5群组使用，该群组即马上拥有了3.2TB的存储容量。在扩充容量的过程中，系统仍然在线上保持运转，完全不必关机来进行。热扩充功能具有

19、下列特色： 可同时插入多个硬盘进行容量扩充 扩充容量前不需事先转移资料 档案系统中的逻辑卷册可以即时动态扩充，不需重新启动 在UNI_/Linu_环境中，不需重新设置挂载点和存取权限 在Windows环境中，不需重新设置网络共享硬盘及共享权限 u 全局热备份硬盘（Global Hot-Spare）所谓热备份硬盘是指装置于RAID存储系统中，平时不做存储资料之用，当存有资料的RAID硬盘损坏时，热备份硬盘会立即取代受损坏的硬盘，系统并通过容错演算法，在这些备份的硬盘上重建资料，使系统的资料存取工作不中断。系统提供热备份硬盘功能，有效保证存放在系统中的资料的完整性和可用性。系统所提供的热备份硬盘可

20、提供给系统中任一组RAID群组使用，因此称之为“全局热备份硬盘”。也就是说，在系统中，只要系统侦测到任何一组RAID1或5群组中硬盘发生损坏，即马上由一个热备份硬盘取代，并马上进行RAID资料重建的工作。而在资料重建过程中，系统仍然可以提供资料存储的服务，不会发生服务中断的现象。u 整合UPS电管理机制 市面上部分NAS产品标榜支持UPS，不过是仅提供连接UPS的功能，在系统本身的电管理上并不提供与UPS有关的监控和管理。而系统的电管理机制则完全整合UPS于其中，只要通过系统的管理界面，便能够轻松设定、监控UPS，使系统避免无预警电力而招致中断。如果市电发生中断的情况，系统就会以很平顺的方式将

21、系统安全关机，以避免发生因突然断电而可能造成的资料损毁情况。而发生的同时，系统管理员也会收到由系统所发出的断电事件通知，并可从系统事件记录中查看相关的状况。与UPS整合的电管理机制能带给你多项好处： 在市电中断时，保护存放在系统中的资料； 当发生电问题时，可即时通知系统管理员； 采用图形化操作管理界面，减轻管理负担。u 快照功能 快照功能提供了快速和方便的虚拟复制功能，这对于关键数据和系统的连续工作，软件测试、关键应用等有着重要的意义。瞬时的“时间点”数据拷贝使中小型企业用户在高可用性要求的情况下通过大量缩短备份窗口获得大量高端的数据处理能力。管理员只要轻松的点几下鼠标，存储管理员就可以做到：

22、 建立一个逻辑卷册的瞬间拷贝 自动按时间初始化 建立快照拷贝增长的策略 u 虚拟化逻辑卷管理 虚拟化逻辑卷管理的特点是允许任何一台服务器看到一个大的看上去是直接连接的存储空间，这使用户在增加存储容量的时候操作的对象是虚拟存储池而不是独立的物理硬盘。存储虚拟化可以产生、扩展、删除、移动或者选择性的提供存储而不需要顾及底层的存储子系统。由于简化了存储的供应，就减少了系统管理员的管理费用，这就直接影响到了总拥有成本。u iSCSI功能 应支持iSCSI，可以通过iSCSI功能轻松搭建IP SAN。iSCSI（互联网小型计算机系统接口）是一种在Inter协议网络上，特别是以太网上进行数据块传输的标准。

23、u 高扩展性 可以外接多个磁盘单元来扩充本机的存储空间。最大支持=256颗硬盘，使用750GB SATA硬盘可以支持=192TB容量。u 存储虚拟化 可以外接SCSI卡或FC HBA卡（光纤通道卡），整合现有的SCSI磁盘系统和FC磁盘系统，并且可以通过iSCSI方式提供给主机访问。u 重复文件自动删除功能（Single Instance Storage）SIS减少存放在服务器上的重复数据，同时找出相同的文件，只将单一份文件复本储存在存储空间内，并以指到 SIS 共享存储空间内文件的指针来取代文件。SIS 不需要任何使用者介入，即可自动工作。系统管理员可采单一分区为单位来启用 SIS，若要得到

24、最好的结果，系统管理员-可以使用一个支持 SIS 的备份应用程序。SIS可让服务器只在磁盘上保存一份内容相同的文件，虽然对于应用程序而言，可能存在多份相同的文件。这是通过无须使用者介入的自动建立的，利用SIS技术可节省超过 35% 的磁盘空间，同时减少存储空间的管理成本。6 方案特色 u 专业防火墙，确保内外数据交换安全；u 防火墙强大的P2P应用识别能力和流量管理功能，保障关键应用/部门带宽；u 防病毒墙、网络杀毒软件、全局安全网络等软、硬体系配合，立体防范来自内、外的攻击、病毒、入侵；u IP、MAC、端口、帐号等多元素绑定，上网实名管理；u 全面的ARP防御功能，打造永不掉线的办公网络；

25、u 接入交换机DHCP动态地址绑定功能，打造易维护的可信办公网；u 接入交换机安全访问控制（ACL）功能，遏制蠕虫病毒的泛滥的头；u 交换机VLAN隔离技术，保障部门通信安全；u 专家级的流量监控与控制；u 防火墙内置的入侵防御引擎，全面阻挡网络黑客及病毒的入侵；u 全网图形化网管，提升单位网络管理效率；u 成熟的认证系统，实现准确有效的身份认证，保证接入的公平性；u 强大的扩展与升级能力，保护现有的网络建设投资；u 安全的服务器区域；u 稳定可靠、可扩展、可用性极高的IP-SAN存储系统；u 事先防范、事后定位、快速恢复。7 建设计划及资金预算 7.1 方案1中低配置方案 阶段 方案 设备/

26、软件名称 建议规格型号 产品说明 数量 预算单价 预算小计 备注 第一阶段 出口安全 防火墙 RG-WALL-160M 固化4个GE口+1个FE口，支持Bypass功能,提供1个模块化插槽，支持4GE/4SFP/2GE /2SFP扩展，可扩展至8个千兆口 1 ￥65,000 ￥65,000 必备 网络杀毒 网络杀毒软件 防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选 合计 ￥145,000 第二阶段 全局安全网络 RG-SMP2._标准版 RG-SMP2._标准版 RG-SMP 2._软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使

27、用；软件本体包含100用户的授权 1 ￥60,000 ￥60,000 必备 RG-SMP 2._ 标准版License RG-SMP 2._软件License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备 GSN客户端 400 ￥0 ￥0 必备 安全智能交换机 RG-S2126G 24口10/100M交换机，两个扩展槽，可上100M、1000M光纤/电口模块，支持堆叠 10 ￥7,400 ￥74,000 必备 入侵检测系统 RG-IDS-500 百兆级IDS入侵检测系统，2 10/100/1000M RJ45接口，2 10/100M RJ45接口，支持1路管

28、理，3路监听 1 ￥120,000 ￥120,000 必备 合计 ￥278,000 第三阶段 专家级应用控制引擎 应用控制引擎 RG-ACE-1000 千兆应用控制引擎，500Mbps处理能力，4个千兆电口1个千兆管理接口+1个千兆HA接口（电口内置Bypass功能）1 ￥150,000 ￥150,000 可选 数据中心 IP-SAN RG-iS1000E 64位高速双核存储处理器，2GB缓存，4个GE端口（可扩展），12盘位，支持SAS硬盘，含管理软件，盘位可扩展；内含NAS功能模块，通过CIFS/NFS提供跨平台文件共享服务 1 ￥76,000 ￥76,000 必备 RG-iS1000E-

29、J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥60,000 ￥60,000 硬件 视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定 合计 ￥382,000 总计 ￥805,000 7.2 方案2中档配置方案 阶段 方案 设备/软件名称 建议规格型号 产品说明 数量 预算单价 预算小计 备注 第一阶段 出口安全 防火墙 RG-WALL-1600S 千兆防火墙/网关，固化6个GE口+2个SFP口；提供2个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，可扩展至24个千兆口；支持Bypass功能，配置冗余电，标准2U设备 1 ￥130,0

30、00 ￥130,000 必备 合计 ￥130,000 第二阶段 网络防病毒 网络杀毒软件 防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选 防毒墙 方正熊猫安全网关 PAGD8100（T_) 防病毒、反垃圾邮件和内容过滤 1 ￥150,000 ￥150,000 全局安全网络 RG-SMP2._标准版 RG-SMP2._标准版 RG-SMP 2._软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；软件本体包含100用户的授权 1 ￥55,000 ￥55,000 必备 RG-SMP 2._ 标准版License RG-SMP 2._软件

31、License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备 GSN客户端 400 ￥0 ￥0 必备 安全智能交换机 RG-S2628G 24口10/100M交换机，2个10/100/1000端口和2个千兆SFP光口复用，1个扩展槽，可上千兆模块和堆叠模块 10 ￥9,400 ￥94,000 必备 入侵检测系统 RG-IDS-1000 千兆IDS入侵检测系统,2个千兆RJ45接口和2个SFP插槽模块,支持3路千兆监听 1 ￥220,000 ￥220,000 必备 合计 ￥623,000 第三阶段 专家级应用控制引擎 应用控制引擎 RG-ACE-1000 1

32、￥150,000 ￥150,000 可选 数据中心 IP-SAN RG-iS1000E 64位高速双核存储处理器，2GB缓存，4个GE端口（可扩展），12盘位，支持SAS硬盘，含管理软件，盘位可扩展；内含NAS功能模块，通过CIFS/NFS提供跨平台文件共享服务 1 ￥76,000 ￥76,000 必备 RG-iS1000E-J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥60,000 ￥60,000 硬件 视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定 合计 ￥382,000 总计 ￥1,135,000 7.3 方案3中高配置方案 阶段

33、方案 设备/软件名称 建议规格型号 产品说明 数量 预算单价 预算小计 备注 第一阶段 出口安全 防火墙 RG-WALL 1800 千兆中高端防火墙/网关，固化4个GE口+4个SFP口；提供1个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，支持2口万兆光模块；电口支持Bypass功能，配置冗余电，标准2U设备 1 ￥230,000 ￥230,000 必备 合计 ￥230,000 第二阶段 网络防病毒 网络杀毒软件 防病毒安全套装 PESA4.0 400客户端 1 ￥80,000 ￥80,000 可选 防毒墙 方正熊猫安全网关 PAGD8100（T_) 防病毒、反垃圾邮件和内容过滤 1

34、 ￥150,000 ￥150,000 全局安全网络 RG-SMP2._标准版 RG-SMP2._标准版 RG-SMP 2._软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；软件本体包含100用户的授权 1 ￥55,000 ￥55,000 必备 RG-SMP 2._ 标准版License RG-SMP 2._软件License，每个License增加50用户的授权许可 6 ￥4,000 ￥24,000 必备 GSN客户端 400 ￥0 ￥0 必备 安全智能交换机 RG-S2628G 24口10/100M交换机，2个10/100/1000端口和2个千兆SFP光口复用，1个

35、扩展槽，可上千兆模块和堆叠模块 10 ￥9,400 ￥94,000 必备 入侵检测系统 RG-IDS-1000 千兆IDS入侵检测系统,2个千兆RJ45接口和2个SFP插槽模块,支持3路千兆监听 1 ￥220,000 ￥220,000 必备 合计 ￥623,000 第三阶段 专家级应用控制引擎 应用控制引擎 RG-ACE-20_0 中端千兆应用控制引擎，2Gbps处理能力，2个千兆SFP光口，2个千兆电口1个千兆管理接口+1个千兆HA接口（电口内置Bypass功能，光口实现Bypass功能，需要另外配置RG-ACE-OBS模块）1 ￥380,000 ￥380,000 可选 数据中心 IP-SA

36、N RG-iS20_0 V2.0 64位高速双核存储处理器，2GB缓存，6个GE端口，1个SAS主机接口，12盘位，支持SAS硬盘，含管理软件，可扩展 1 ￥150,000 ￥150,000 必备 RG-iS20_0-J 12盘位扩展柜（JBOD），支持SATA，SAS硬盘 1 ￥110,000 ￥110,000 RG-iS-NAS NAS功能模块。通过CIFS/NFS提供跨平台文件共享服务。含快照，镜像，复制，重复数据删除功能模块 1 ￥48,000 ￥48,000 硬件 视实际存储量定，1TB SATA企业级磁盘 12 ￥8,000 ￥96,000 待定 合计 ￥784,000 总计 ￥1

37、,637,000 8 主要设备选型 8.1 防火墙-RG-WALL-160M RG-WALL160M防火墙 8.1.1 产品特性 u 独立安全协议栈 采用自主研发的RG-SecOS，完整实现了状态检测包过滤/应用代理防火墙、入侵检测防护、IPSec 、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能，从而摆脱了通用操作系统束缚，无通用操作系统漏洞，不用被动地追随通用操作系统的升级而升级。u 强大的处理性能 采用快速流检测（FFD，Fast Flow Detect）引擎，对网络报文处理流程进行了革命性的改造和优化，将关键处理过程下移，在硬件中断里实现流分类、流交换；产品采用分段

38、直接寻址安全规则搜索算法（MSDAL，Multi-Stage Direct Addressing Lookup Algorithm），减少因系统内部任务间切换、内存缓存管理以及安全规则匹配对性能的消耗，从而提升了整个系统的处理性能。u 完整内网安全管理 管理员可实时查看内网用户在线情况、登录IP、在线时间、流量、连接数等详细信息，从而对内网用户上网情况一目了然；通过独有的智能隔离技术，可以实时识别出网络流量异常的在线用户并隔离，防止病毒在内网传播。u 深度内容检测 采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析p 技术，支持对网络数据的病毒过滤、支持入侵

39、检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。8.1.2 技术参数 技术参数 参数描述 产品名称及型号 RG-WALL 160M 物理特性 尺寸(长宽高) 标准19英寸宽度，1U高度 重量 5kg 容错与电备份 100-240V/50-60Hz 支持电 单电 工作温度 050 存储温度 -2070 存储湿度 5%95% 系统性能 固定接口 固化4个GE口+1个FE口，支持Bypass功能 模块插槽 提供1个模块化插槽，支持4GE/4SFP/2GE /2

40、SFP扩展，可扩展至8个千兆口 安全策略数 65535 最大VLAN数量 4096 包延时 45s MTBF 100,000小时 操作模式 操作系统 RG-SecOS 二层模式（透明模式）支持 三层模式（路由和NAT模式）支持 混合模式 支持 NAT（网络地址转换）支持 PAT（端口地址转换）支持 应用代理 支持FTP、HTPP、POP3、SMTP预定义和自定义 VLAN路由 支持 STP和BPDU协议 支持 每接口用户数 无限制 防火墙特性 攻击检测保护 支持 IP和MAC绑定 支持 规则时效属性 支持 预定义服务和网络对象 支持单个服务和服务组定义 URL过滤 支持 关键字过滤 支持 阻断

41、URL列表导入 支持256个URL 内置防病毒 支持 Email地址过滤 支持 Email主题过滤 支持 Email内容过滤 支持 Email附件名过滤 支持 Email附件大小过滤 支持 FTP命令过滤 支持 禁止多线程下载 支持（通过连接限制设置）P2P应用控制 支持限制且带宽控制 IM的应用控制 支持QQ、Skype、MSN 对Active_、Java applet、Java script的过滤 支持 支持内容过滤协议种类 支持HTPP、FTP、POP3、SMTP IPS规则 支持1247条规则 应用代理 支持FTP、HTPP、POP3、SMTP预定义和自定义 动态端口协议检测 支持FT

42、P、PPTP、RSTP、STP、SQL 、TFTP、MMS、H.323、H.323GK 集成的实时检查 支持TCP、UDP、ICMP连接的实时监控 配置及操作 支持CLI、SSH、WEB 路由特性 OSPF动态路由 支持 RIP动态路由 RIPv1/v2均支持 静态路由 支持 H.323 over NAT 支持 策略路由、规则路由 支持 DHCP 支持DHCP Server、DHCP Client、DHCP中继 PPPoE 支持 特性 通道数 根据需要灵活配置 支持类型 PPTP、L2TP、IPSec、SSL 加密算法 DES、3DES、AES 认证算法 SHA1、MD5 完全传输安全标准（P

43、FS）支持 IPSec协议 支持 手工密钥、IKE 支持 对端认证 扩展认证支持 IPSec NAT穿越 支持 星型结构 支持 动态接入 支持 QoS支持 支持 连接过期时间 支持 Replay protection 支持 和其它主流设备协同 支持Cisco、华为、H3C、Juniper等 系统管理 本地管理员数据库 支持 限制性的管理网络 支持 管理员分级 支持 软件升级 支持WEB、命令行升级 配置更改 支持WEB、命令行 认证方法 支持证书、第三方证书，及电子钥匙 管理方式 支持WEB、命令行 简单配置向导 支持 标准MIB或私有MIB 支持 SNMP 支持SNMPv1/v2/v3 集中

44、管理 支持 本地管理 支持 远程管理 支持 界面会话查询 支持 病毒库的更新 支持 日志和监控 内部日志数据库 支持 外部日志服务器 支持 远程系统日志服务器 支持 审计报告 支持 实时统计 支持 日志级别 支持 日志备份 支持 本地状态显示 支持 将日志和高调试信息打印到终端 支持 报警方式 支持 高可用性 HA模式 支持路由模式和透明模式HA 切换条件 防火墙断电、物理链路断线 配置文件/变化同步 支持配置和状态同步 HA设备认证 支持（与单台防火墙雷同）HA数据加密 支持（与单台防火墙雷同）状态切换时间 1秒 流量整形及QoS 接口优先级队列 支持带宽控制优先级选择 最大限制带宽 支持

45、最小保证带宽 支持 带宽控制粒度 最低带宽控制50Kbps 数据流定义 支持 服务器负载均衡 支持 8.2 防火墙-RG-WALL-1600S 8.2.1 产品概述 RG-WALL1600S是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600S采用了最新的硬件平台和体系架构，实现防火墙性能的跨越式突破，可支持数十个GE接口。可以广泛应用于教育、政府、金融、医疗、军队、医疗等行业的千兆网络环境。配合锐捷网络的交换机、路由器产品，可以为用户提供完整的端到端解决方案，是大型网络出口和不同策略区域之间安全互联的理想选择。RG-WALL1600S防火墙采用锐捷网络自主开发的

46、RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WAL1600E在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL1600S支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析p 和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持PPTP、L2TP、IPSe

47、c和SSL等多种全面的业务，可以构建多种形式的；提供强大的路由能力，支持静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。RG-WALL1600S防火墙支持模块： 4个千兆电口、光口模块 8口千兆电口、光口模块 8.2.2 产品特性 独立的安全协议栈 RG-WALL1600S防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析p 技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制

48、、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络安全管理提供了有利的技术保障。采用先进的硬件平台 通过多内核系统实现对不同数据流量的调度，极大提高设备的处理性能，满足用户对高性能安全设备处理能力的需求。深度状态检测 RG-WALL1600S防火墙采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测的多流关联分析p 技术，支持对网络数据的病毒过滤、支持入侵检测（IPS），支持对P2P和即时通讯软件的限制、支持URL以及WEB内容过滤、支持邮件内容过滤，支持FTP内容过滤，还可以和多种IDS产品联动，为细粒度的网络

49、安全管理提供了有利的技术保障。支持按照时间段进行过滤，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、SMTP、RTSP、H.323等应用层协议的状态监控。强大的处理能力 RG-WALL1600S防火墙采用快速流检测（FFD，Fast Flow Detect）引擎，对网络报文处理流程进行了革命性的改造和优化，将关键处理过程下移，在硬件中断里实现流分类、流交换；产品采用分段直接寻址安全规则搜索算法（MSDAL，Multi-Stage Direct Addressing Lookup Algorithm），减少因系统内部任务间切换、内存缓存管理以及安全规则匹配对性能的消耗，从而

50、提升了整个系统的处理性能。支持一对一、多对一、多对多、静态网段、双向转换等多种形式的NAT，提供的和基于目的策略路由支持，高速的处理性能基本不受策略条目和并发连接数目的影响。支持全面的网络攻击防护 支持CC、SYN flood、DNS Query Flood等DoS/DDoS攻击防护，支持MAC和IP绑定功能，支持智能防范蠕虫病毒技术、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范等等网络攻击防护；完善的日志管理与审计 提供各种日志功能、流量统计和分析p 功能、各种事件监控和统计功能、邮件告警功能，配合日志管理系统可以完成日志的记录、查询和分析p 。独立的模块 内置专用的硬件模块，支

51、持PPTP、L2TP、IPSec、SSL 等多种业务模式。支持高可靠性 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。设备关键部件均采用冗余设计。8.2.3 技术参数 技术参数 参数描述 产品名称及型号 RG-WALL1600S 物理特性 尺寸(长宽高) 标准19英寸宽度，2U高度 容错与电备份 双电冗余备份 电 AC 100-240V/50-60Hz，400W 工作温度 050 存储温度 -2070 存储湿度 5%95% 系统性能 产品架构 _86多核 接口 固化6个GE口+2个SFP口 模块插槽 提供2个模块化插槽，

52、支持8GE/8SFP/4GE/4SFP扩展 最大并发连接数 20_万 安全策略数 65,535 最大VLAN数量 4096 包延时 40s MTBF 100,000小时 操作模式 操作系统 RG-SecOS 二层模式（透明模式）支持 三层模式（路由和NAT模式）支持 混合模式 支持 NAT（网络地址转换）支持 PAT（端口地址转换）支持 应用代理 支持FTP、HTPP、POP3、SMTP预定义和自定义 VLAN路由 支持 STP和BPDU协议 支持 每接口用户数 无限制 防火墙特性 攻击检测保护 支持 IP和MAC绑定 支持 规则时效属性 支持 预定义服务和网络对象 支持单个服务和服务组定义

53、URL过滤 支持 阻断URL列表导入 支持256个URL 内置防病毒 支持 Email地址过滤 支持 Email主题过滤 支持 Email内容过滤 支持 Email附件名过滤 支持 Email附件大小过滤 支持 FTP命令过滤 支持 禁止多线程下载 支持（通过连接限制设置）P2P应用控制 支持限制且带宽控制 IM的应用控制 支持QQ、Skype、MSN 对Active_、Java applet、Java script的过滤 支持 支持内容过滤协议种类 支持HTPP、FTP、POP3、SMTP IPS规则 支持1247条规则 应用代理 支持FTP、HTPP、POP3、SMTP预定义和自定义 动态

54、端口协议检测 支持FTP、PPTP、RSTP、STP、SQL 、TFTP、MMS、H.323、H.323GK 集成的实时检查 支持TCP、UDP、ICMP连接的实时监控 配置及操作 支持CLI、SSH、WEB 路由特性 OSPF动态路由 支持 RIP动态路由 RIPv1/v2均支持 静态路由 支持 H.323 over NAT 支持 策略路由、规则路由 支持 DHCP 支持DHCP Server、DHCP Client、DHCP中继 PPPoE 支持 特性 通道数 根据需要灵活配置 支持类型 PPTP、L2TP、IPSec、SSL 加密算法 DES、3DES、AES 认证算法 SHA1、MD5

55、 完全传输安全标准（PFS）支持 IPSec协议 支持 手工密钥、IKE 支持 对端认证 扩展认证支持 IPSec NAT穿越 支持 星型结构 支持 动态接入 支持 QoS支持 支持 连接过期时间 支持 Replay protection 支持 和其它主流设备协同 支持Cisco、华为、H3C、Juniper等 系统管理 本地管理员数据库 支持 限制性的管理网络 支持 管理员分级 支持 软件升级 支持WEB、命令行升级 配置更改 支持WEB、命令行 认证方法 支持证书、第三方证书，及电子钥匙 管理方式 支持WEB、命令行 简单配置向导 支持 标准MIB或私有MIB 支持 SNMP 支持SNMP

56、v1/v2/v3 集中管理 支持 本地管理 支持 远程管理 支持 界面会话查询 支持 病毒库的更新 支持 日志和监控 内部日志数据库 支持 外部日志服务器 支持 远程系统日志服务器 支持 审计报告 支持 实时统计 支持 日志级别 支持 日志备份 支持 本地状态显示 支持 将日志和高调试信息打印到终端 支持 报警方式 支持 高可用性 HA模式 支持路由模式和透明模式HA 切换条件 防火墙断电、物理链路断线 配置文件/变化同步 支持配置和状态同步 HA设备认证 支持（与单台防火墙雷同）HA数据加密 支持（与单台防火墙雷同）状态切换时间 1秒 流量整形及QoS 接口优先级队列 支持带宽控制优先级选择

57、 最大限制带宽 支持 最小保证带宽 支持 带宽控制粒度 最低带宽控制50Kbps 数据流定义 支持 服务器负载均衡 支持 8.2.4 扩展模块 本产品订购信息 型号 描述 RG-WALL1600S 千兆低端防火墙/网关，固化6个GE口+2个SFP口；提供2个模块化插槽，支持8GE/8SFP/4GE/4SFP扩展，可扩展至24个千兆口；支持Bypass功能，配置冗余电，标准2U设备 RG-WALL 1600-MIM-4GBE 4口千兆电模块 RG-WALL 1600-MIM-4GEF 4口SFP光模块 RG-WALL 1600-MIM-8GBE 8口千兆电模块 RG-WALL 1600-MIM-

58、8GEF 8口SFP光模块 本产品订购信息 型号 描述 RG-WALL UPG-20_RG-WALL 使用许可升级，隧道数20_RG-WALL UPG-500 RG-WALL 使用许可升级，隧道数500 RG-WALL UPG-1000 RG-WALL 使用许可升级，隧道数1000 RG-WALL UPG-20_0 RG-WALL 使用许可升级，隧道数20_0 RG-WALL UPG-5000 RG-WALL 使用许可升级，隧道数5000 本产品订购信息 型号 描述 RG-WALL Client-20 防火墙IPSec 客户端，用于移动IPSec 用户，支持用户数量20个 RG-WALL Cl

59、ient-50 防火墙IPSec 客户端，用于移动IPSec 用户，支持用户数量50个 RG-WALL Client-20_防火墙IPSec 客户端，用于移动IPSec 用户，支持用户数量20_个 8.3 RG-S2126G安全智能交换机 8.3.1 产品概述 STAR-S2126G全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资，充分保障网络安全和网络合理化使用和运营。STAR-S2126G可通过SNMP

60、、Tel、Web和Console口等多种配置方式提供丰富的管理。S2126G以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。8.3.2 产品特性 u 高性能 高背板带宽为所有的端口提供线速的交换能力。u 灵活完备的安全控制策略 通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案，完全解除安全威胁、攻击欺骗、病毒侵害等危害； 通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化地使用网络，如端口安全、

61、端口隔离、专家级ACL、时间ACL、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足企业网、网络加强对访问者进行控制、限制非授权用户通信的需求； 硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限定端口上用户接入； 保护端口不必占用VLAN资，即可非常方便地隔离用户之间信息互通，充分保护用户隐私； 通过安全计费管理平台SAM，不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为； 专用的硬件防范

62、ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网； 支持DHCP Relay，更可支持DHCP Option 82，可方便实现对IP地址的精确分配和控制；支持DHCP Snooping，可有效防范动静态分配IP地址环境下的ARP欺骗问题； 提供极为有效的Port Blocking功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口的负载负担，提高端口带宽，保护用户PC更高效安全地运行； 基于IP地址控制的Tel和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性； SSH

63、（Secure Shell）和SNMPv3技术可以通过在Tel和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备； 各种类型的硬件ACL控制，可灵活控制二七层数据报文，使得任何一个用户PC上的应用报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用。u 完善的QoS策略 支持802.1P、DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务； 极灵活的带宽控制能力，可以基于交换机端口、MAC地

64、址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速，限速粒度精细：1Mbps（128KB）粒度/百兆端口、8Mbps（1024KB）粒度/千兆端口，可根据网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用。u 丰富的组播特性 支持业界特有的IGMP端口检查，有效杜绝非法组播播放和大量占用大量网络带宽，提高网络安全性； 支持和识别IGMPv1/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。u 高可靠性 支持生成树协议802.1D、802.1w、802.1s，完全保证链路快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，网络通道得到合理化使用，提供冗余链路利用率； 支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，保障了网络的可靠。u 方便易用易管理 强大的菊花链式堆叠，支持S2126