某電業(yè)局安全存儲網(wǎng)絡建設技術建議書

*電業(yè)局 安全 存儲 網(wǎng)絡建設技術建議書 二零零 九 年 十 月 目 錄 安全存儲網(wǎng)絡建設技術建議書 . 1 1 概述 . 3 1.1 項目建設背景需求 . 3 1.1.1 網(wǎng)絡現(xiàn)狀 . 3 1.2 網(wǎng)絡建設目標 . 3 1.3 網(wǎng)絡建設原則 . 3 2 整體方案設計 . 4 2.1 組網(wǎng)方案 . 4 2.2 方案建議及設備選型依據(jù) . 4 3 網(wǎng)絡解決方案 . 5 3.1 IP 地址規(guī)劃 . 5 3.2 VLAN 規(guī)劃 . 6 3.3 路由規(guī)劃 . 6 3.4 QOS 設計 . 6 3.5 設備介紹 . 8 3.5.1 S9300 系列 交換機系統(tǒng)特性 . 8 3.5.2 Oceanspace S2000 系列存儲系統(tǒng) . 15 4 安全解決方案 . 20 4.1 安全體系層次 設計 . 20 4.1.1 層次一：物理環(huán)境的安全性（物理層安全） . 20 4.1.2 層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全） . 20 4.1.3 層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全） . 20 4.1.4 層次四：應用的安全性（應用層安全） . 21 4.1.5 層次五：管理的安全性（安全管理） . 21 4.1.6 總體部署 . 21 4.2 入侵檢測系統(tǒng)部署 . 22 4.2.1 安全風險分析 . 22 4.2.2 安全風險解決 . 22 4.2.3 智能網(wǎng)絡入侵檢測設備 . 23 4.2.4 NIP 1000 性能指標 . 28 4.3 終端安全 管理系統(tǒng)部署 . 30 4.3.1 終端安全管理系統(tǒng) . 30 4.3.2 安全監(jiān)控功能 . 32 4.3.3 資產管理應用功能 . 33 4.3.4 安全接入控制網(wǎng)關應用 . 33 4.3.5 Secospace 系統(tǒng)性能指標 . 33 1 概述 1.1 項目建設背景需求 1.1.1 網(wǎng)絡現(xiàn)狀 *電業(yè)局網(wǎng)絡建設主要分為內部辦公網(wǎng)絡和外部互聯(lián)網(wǎng)絡兩部分 ，現(xiàn)有核 心設備是用的是華為 5500系列交換機，交換機使用年限已久，隨著網(wǎng)絡規(guī)模的不斷擴大，現(xiàn)有網(wǎng)絡接口已逐漸不能滿足網(wǎng)絡的需求；內部服務器數(shù)量已達到 10臺左右，數(shù)據(jù)量增加的比較快，需要一套網(wǎng)絡存儲設備。 內部安全需要進一步的管理。 1.2 網(wǎng)絡建設目標 為了提高整網(wǎng)核心的可靠性， 設計 考慮設備冗余（電源、超級引擎采用雙配置）， 為整網(wǎng)提供更加穩(wěn)定的網(wǎng)絡服務。 華為核心設備最多支持 144 個光接口，能夠極大地滿足現(xiàn)在及將來網(wǎng)絡的需求。 1.3 網(wǎng)絡建設原則 我單位針對 *電業(yè)局 存儲及安全 工程將采用華為先進的高端電信級設備作為構建網(wǎng)絡的基礎 單元，建立一個高帶寬、高可用性及高可靠性的數(shù)據(jù)網(wǎng)絡，為 濮陽縣電業(yè)局 業(yè)務系統(tǒng)提供強有力的保證，本次工程基于以下原則進行： 綜合性 ：將網(wǎng)絡建設成為不僅支撐現(xiàn)有 濮陽縣電業(yè)局 數(shù)據(jù)業(yè)務，而且支撐未來實時業(yè)務的綜合業(yè)務傳送平臺。 支持 QOS：能根據(jù)業(yè)務的要求提供不同等級的服務并保證服務質量，提供資源預留，擁塞控制，報文分類，流量整形等強大的 IP QOS功能。 高可靠性 ：具有很高的容錯能力，具有抵御外界環(huán)境和人為操作失誤的能力，保證任何單點故障都不影響整個網(wǎng)絡的正常運作。 高性能 ：在高負荷情況下仍然具有較高的吞吐能力和效 率，延遲低。 安全性 ：具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。 擴展性 ：易于增加新設備、新用戶，易于和各種公用網(wǎng)絡連接，隨系統(tǒng)應用的逐步成熟不斷延伸和擴充，充分保護現(xiàn)有投資利益。 開放性 ：符合開放性規(guī)范，方便接入不同廠商的設備和網(wǎng)絡產品。 標準化 ：通訊協(xié)議和接口符合國際標準。 實用性 ：具有良好的性能價格比，經濟實用，拓撲結構和技術符合骨干網(wǎng)信息量大、信息流集中的特點。 2 整體方案設計 2.1 組網(wǎng)方案 出于安全性和穩(wěn)定性的要求，工程中采用 電信級核心 層交換機從而提高整網(wǎng)結構的健壯性、可靠性，高效性。 在存儲方面采用華 為2300 的存儲，可提供 96T 的存儲容量，滿足將來存儲的需求。 2.2 方案建議及設備選型依據(jù) 根據(jù) *電業(yè)局 數(shù)據(jù)庫項目 的技術規(guī)范要求以及華為公司全系列數(shù)通產品及解決方案特點，本著滿足業(yè)務優(yōu)先、先進實用、平滑演進等原則， 我單位 選擇華為公司在本期項目中建議的設備以及相關設備的建網(wǎng)方案優(yōu)勢如下： 網(wǎng)絡檔次高、層次分明 ：采用最高能力交換機，按照網(wǎng)絡層次依次選擇合理產品，各層次產品之間系列化程度高，可靠性強。 負載分擔的網(wǎng)絡： 以最大化網(wǎng)絡資源負載分擔為原則，通過設備間鏈路的分配調整，實現(xiàn)網(wǎng)絡資源合理分布，增加可靠性。 安 全的雙平面的設計： 本次為網(wǎng)絡結構通過充分利用兩期建設中的設備，充分保證網(wǎng)絡安全備份及冗余性，整體提高網(wǎng)絡的可靠性等級系數(shù)。 良好網(wǎng)絡兼容性能： 在現(xiàn)網(wǎng)大量的應用環(huán)境中，華為設備表現(xiàn)出與其他設備廠商良好的互通性，在各大電信運營商網(wǎng)絡都有商用。 優(yōu)化的網(wǎng)絡性能： 華為建議的部署方案， 能夠 保證網(wǎng)絡在故障情況下快速實現(xiàn)業(yè)務流量疏導，提高整個網(wǎng)絡質量，保證網(wǎng)絡能夠承載。 多業(yè)務的 IP網(wǎng)絡 ：優(yōu)化后的網(wǎng)絡具備極強的可擴展性能，除了具備大流量承載能力，還 可 提供 IPTV等多種業(yè)務。 平滑的割接方案： 華為 公司有豐富的網(wǎng)絡割接經驗 ，可以 保證網(wǎng)絡調整到合理的結構，并保證現(xiàn)網(wǎng)業(yè)務盡可能的不受影響，保證平滑割接。 平滑的向 IPv6過渡： 我單位本次采用的華為 產品具備 IPv6高性能轉發(fā)，滿足未來性能要求，并支持多種過渡解決方案，例如 IPv4/IPv6雙棧、多種過渡隧道等等，是業(yè)界過渡方案中最好的產品，能夠極大方便實際網(wǎng)絡 IPv4-IPv6過渡的靈活性。 3 網(wǎng)絡解決方案 3.1 IP 地址規(guī)劃 IP 地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。需要在所分配的 IP 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡內 地址分配及業(yè)務流量的均勻分布。 IP 地址空間的分配與合理使用與網(wǎng)絡拓撲結構、網(wǎng)絡組織及路由政策有非常密切的關系，將 *電業(yè)局 業(yè)務工作的可用性、可靠性和有效性以及保密性產生顯著影響。 通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個區(qū)域內。因此，核心層應象一個區(qū)域或一個節(jié)點一樣，被分配一段連續(xù)的地址。 IP 地址規(guī)劃遵循以下原則： 1. IP 地址的規(guī)劃與劃分應該考慮到業(yè)務飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時要充分考慮未來業(yè)務發(fā)展，預留相應的地址段； 2. IP 地址的分配需要有足夠的靈活性 ，能夠滿足各種用戶接入； 3. IP 地址的分配可以采用 VLSM 技術，以保證 IP 地址的利用效率； 4. 充分合理利用已申請的地址空間，提高地址的利用效率。 3.2 VLAN 規(guī)劃 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個 VLAN 組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中。 從技術角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1. 基于端口的 VLAN 劃分 2. 基于 MAC 地址的 VLAN 劃分 3. 基于路由的 VLAN 劃分 而本期項目中 以基于端口和基于路由的 VLAN 劃分方法為主，除了公共 VLAN，網(wǎng)管 VLAN，關鍵領導 VLAN 等特殊網(wǎng)段，按照部門和單位進行其他 VLAN 網(wǎng)段的劃分。 3.3 路由規(guī)劃 在所建網(wǎng)絡系統(tǒng)中將涉及 *電業(yè)局 內部不同虛擬網(wǎng)絡之間的路由轉發(fā)以及與外網(wǎng)之間的互聯(lián)，因此需要結合實際，在匯聚交換機對三層轉發(fā)協(xié)議進行設置，由于通過 VLAN 隔離業(yè)務，在接入層交換機啟用二層接入功能，網(wǎng)關設在匯聚交換機， VLAN 終結于匯聚交換機。 3.4 QOS 設計 在傳統(tǒng)的 IP 網(wǎng)絡中，所有的報文都被無區(qū)別的等同對待，每個路由器對所有的報文均采用先入先出（ FIFO）的策略進行處理，它盡最大的努力（ best-effort）將報文送到目的地，但對報文傳送的可靠性、傳送延遲等性能不提供任何保證。 隨著 IP 技術的日趨成熟， IP 網(wǎng)絡電信化已經成為大勢所趨，于是形成了語音、視頻、數(shù)據(jù)等多種業(yè)務 IP 統(tǒng)一承載，由于語音、視頻等實時業(yè)務自身的特點對承載平臺提出了嚴格的服務質量要求，因此就必須在網(wǎng)絡中部署相應的 QoS 技術，使得 網(wǎng)絡管理者 能夠有效地控制網(wǎng)絡資源 的 使用，能夠在 有 限資源的 IP 平臺上 綜合 語音、視頻及數(shù)據(jù)等多種業(yè)務，能夠 區(qū)分業(yè)務 、針對不同的 業(yè)務 提供特色的差 分服務。 QoS 旨在針對各種應用的不同需求，為其提供不同的服務質量，例如：提供專用帶寬、減少報文丟失率、降低報文傳送時延及時延抖動等。為實現(xiàn)上述目的， QoS 提供了下述功能： 1. 報文分類和著色 2. 避免和管理網(wǎng)絡擁塞 3. 流量監(jiān)管和流量整形 4. QoS 信令協(xié)議 在 *電業(yè)局 數(shù)據(jù)庫項目 網(wǎng)絡 構建中， 將會 設計合理的 QOS 保障方案，利用有限的資源， 以 獲得更好的網(wǎng)絡使用效益， 是 非常必要 的 。良好的 QOS 保障方案可以 確保一般情況下網(wǎng)絡具有最好的使 用效率、實時業(yè)務具有較小延 時 ，惡劣情況下保證關鍵業(yè)務得到應有的網(wǎng)絡服務。 衡量 QoS 的指標包括： 帶寬 /吞吐量 - 指網(wǎng)絡的兩個節(jié)點之間特定應用業(yè)務流的平均速率； 時延 - 指數(shù)據(jù)包在網(wǎng)絡的兩個節(jié)點之間傳送的平均往返時間； 抖動 - 指時延的變化； 丟包率 - 指在網(wǎng)絡傳輸過程中丟失報文的百分比，用來衡量網(wǎng)絡正確轉發(fā)用戶數(shù)據(jù)的能力； 可用性 - 指網(wǎng)絡可以為用戶提供服務的時間的百分比。 在 *電業(yè)局 數(shù)據(jù)庫項目 網(wǎng)絡中 QOS 方案 部署如下： 接入層交換機接入端口不同業(yè)務進行 VLAN 標記 ,并可以對報文進行 802.1P 優(yōu)先級標記，以便后續(xù)的匯聚交換機和核心交換根據(jù)相應優(yōu)先級標記（ 802.1P、 DSCP）進行調度，當然還可以根據(jù)策略的需要部署 CAR 流量監(jiān)管策略，對用戶的接入速率進行控制，保證 *電業(yè)局 網(wǎng) 網(wǎng)絡 始終處于健康（輕載）的運行狀態(tài)。 本次工程采用的 S9300 高端交換機均支持選擇性 SVLAN 功能（靈活 QinQ），可以在同一個物理端口上支持根據(jù)單層 VLAN ID 靈活加載外層 VLAN ID，同時能夠透傳標準 VLAN（單 VLAN）流量。上述功能實現(xiàn)沒有 VLAN ID 范圍數(shù)量的限制，對于設備性能沒有影響。支持根據(jù) 802.1p 參數(shù)、入端口、入 VLAN ID 等條件進行雙 VLAN 透傳、雙層VLAN 改寫外層 VLAN、雙層 VLAN 改寫內外層 VLAN 等并且支持在同一物理接口上對以上操作的并行處理。并支持 TPID 可配置，同時對設備性能沒有影響 S9300 交換機提供完善的 Diff-Serv/QoS 支持。支持基于源端口、源 VLAN ID、源 MAC 地址、報文種類、 TCP/UDP 端口號、IP 報文地址前綴等多種流分類規(guī)則，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（ CAR）、擁塞避免方法（ WRED、 Tail-Drop）、隊列調度（ WRR、 SP）和輸出流量整形等功能，支持 802.1p 的 8 個優(yōu)先級。完全做到業(yè)務區(qū)分并保證帶寬 /時延 /抖動，可以為用戶提供具有不同服務質量等級的服務保證，使 IP 網(wǎng)絡真正成為同時承載數(shù)據(jù)、語音和視頻業(yè)務的綜合網(wǎng)絡。 3.5 設備介紹 3.5.1 S9300 系列 交換機 系統(tǒng)特性 Quidway S9300系列以太匯聚 交換機（以下簡稱 S9300）是基于 華為公司統(tǒng)一的 VRP（ Versatile Routing Platform）系統(tǒng) 而推出的下一代以太網(wǎng)匯聚交換機，提供整機高達 2T交換容量，二、三層線速轉發(fā)能力，具備 強大組播功能， EPON接口 和 完善的 QoS保障 ， 滿足城域網(wǎng)、企業(yè)園區(qū)網(wǎng)對 Multi-Play業(yè)務承載和全光接入的組網(wǎng)需求，為運營商和企業(yè)網(wǎng)提供強大的網(wǎng)絡交換和業(yè)務運營能力，支持IP專線、 VPN、 IPTV、 IPv6等多種 業(yè)務 。 S9300系列包括 S9303、 S9306、 S9312三個產品形態(tài)，整個系列秉承模塊通用化、歸一化的設計理念，最小化備件成本，在保證設備擴展性的同時最大限度地保護用戶投資。 S9303 S9306 S9312 產品特點 創(chuàng)新的三平面設計 S9300在傳統(tǒng)交換機數(shù)據(jù)轉發(fā)、管理控制雙平面基礎上進行了創(chuàng)新，增加了獨立的環(huán)境監(jiān)控平面，率先實現(xiàn)整機三平面設計。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，其核心芯片采用華為自主知識產權的中控芯片，實現(xiàn)硬件級的 按流量動態(tài)調整功率 、風扇分區(qū)控制、風扇智能調速、端口休眠技術 等多項節(jié)能技術，獨立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實現(xiàn)整機運營維護的全面可視化管理。 創(chuàng)新的三平面設計 一機多用，全業(yè)務承載的以太匯聚平臺 S9300支持高密度的 EPON接口，能實現(xiàn) DSLAM匯聚、 EPON和純以太 的統(tǒng)一接入，滿足全光接入的需求；分布式 L2/L3 MPLS VPN功能，支持 MPLS、 VPLS、HVPLS、 VLL，滿足大客戶 VPN專線、企業(yè) VPN等高端用戶的接入需求。 S9300具備 線速的跨 VLAN組播復制能力，實現(xiàn)端口的滿負荷復制，滿足大容量的 IPTV用戶接入需求；完善的二、三層組播協(xié)議，可作為組播復制點和控制點。 高速 背板 交換網(wǎng) 模塊 控制面通訊模塊 系統(tǒng)時鐘模塊 系統(tǒng)主控模塊 控制層軟件 業(yè)務層軟件 網(wǎng)管系統(tǒng) 物理接口模塊 業(yè)務處理模塊 單板時鐘模塊 單板主控模塊 單板監(jiān)控模塊 業(yè)務模塊 交換路由模塊 管理 層軟件 系統(tǒng)監(jiān)控模塊 S9300支持 IPv6功能， 支持 RIPng， OSPFv3， ISISv6， BGP4+， MLD， MLD Snooping， PIMv6， IPv6 multicast VLAN， ICMPv6等單 /組播 IPv6路由協(xié)議， 實現(xiàn)網(wǎng)絡 IPv4向 IPv6的平滑遷移 。 三維擴展 ， 容量 “無級變速 ” 作為新一代的以太匯聚 平臺， S9300可以從容應對城域骨干網(wǎng)和大容量 IDC對核心匯聚設備的帶寬需求 。 S9300單槽位支持 12 10GE線速轉發(fā)，整機支持 2T的交換能力， 更好地滿足 IPTV等大帶寬業(yè)務和 IDC機房的接入需求。 S9300系列交換機可以擴展到 3.84T交換容量， 單槽位支持 240G線速轉發(fā)，充分考慮未來 3 5年的帶寬需求，提供帶寬平滑擴展能力 。 六項創(chuàng)新，省電 30% S9300基于綠色環(huán)保理念設計，獨特的“變流”芯片，實現(xiàn)按流量動態(tài)調整功率，降低功耗 8%。 獨特的“旋轉”風道設計，提高整機散熱效率，降低功耗 3%，同時整機出線能力提高 6倍。 “積木式”電源，按需配置，減少初期投資，降低設備功耗 10%。 獨立風扇分區(qū)控制，降低噪聲 10%，并延長風扇使用壽命。 風扇智能調速，根據(jù)關鍵器件溫度，靈活調整風扇轉速，降低功耗 3%，提高風扇抗擾動能力，延長風扇壽命。 真正的端口休眠技術，可以依據(jù)端口實際流量調整輸出功耗，降低功耗 6%，節(jié)電“不丟包”。 產 品規(guī)格 項目 S9303 S9306 S9312 背板容量 1.2Tbps 2.4Tbps 4.8Tbps 業(yè)務槽位 3 6 12 GE端口密度 144 288 576 10G端口密度 36 72 144 VLAN 支持 Access、 Trunk、 Hybrid方式 支持 default VLAN 支持 VLAN 交換 支持 QinQ、增強型靈活 QinQ MAC地址功能 支持 MAC地址自動學習和老化 支持靜態(tài)、動態(tài)、黑洞 MAC表項 支持源 MAC地址過濾 支持基于端口和 VLAN的 MAC地址學習限制 STP 支持 STP， RSTP和 MSTP 支持 BPDU保護、 Root保護、環(huán)路保護 支持 BDPU Tunnel IP路由 支持 RIP、 OSPF、 ISIS、 BGP等 IPv4動態(tài)路由協(xié)議 支持 RIPng、 OSPFv3、 ISISv6、 BGPv4等 IPv6動態(tài)路由協(xié)議 項目 S9303 S9306 S9312 組播 支持 IGMP Snooping功能 支持用戶快速離開機制 支持組播流量控制 支持組播查詢器 支持組播協(xié)議報文抑制功能 支持組播 ACL MPLS 支持 MPLS基本功能 支持 MPLS OAM 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS QoS 支持基于 Layer2協(xié)議頭、 Layer3協(xié)議、 Layer4協(xié)議、 802.1p優(yōu)先級等的組合流分類 支持 ACL、 CAR、 Remark、 Schedule等動作 支持 PQ、 WRR、 DRR、 PQ+WRR、 PQ+DRR等隊列調度方式 支持 WRED、尾丟棄等擁塞避免機制 支持流量整形 配置與維護 支持 Console、 Telnet、 SSH等 終端服務 支持 SNMPv1/v2/v3等網(wǎng)絡管理協(xié)議 支持通過 FTP、 TFTP方式上載、下載文件 支持 BootROM升級和遠程在線升級 支持熱補丁 項目 S9303 S9306 S9312 支持用戶操作日志 安全和管理 命令行分級保護，未授權用戶無法侵入 支持 RADIUS和 HWTACACS用戶登錄認證 支持防范 DoS攻擊、 TCP的 SYN Flood攻擊、 UDP Flood攻擊、廣播風暴攻擊、大流量攻擊 支持 CPU通道的保護 支持 ICMP實現(xiàn) ping和 traceroute功能 支持 RMON 機箱尺寸mm（ 寬 深 高 ） 442476175 442476442 442476664 機箱重量（空配） 15Kg 30Kg 45Kg 工作電壓 DC： 38.4V 72V AC： 90V 264V 典型功耗 180W 350W 650W 整機供電能 350W 800W 1600W 訂購信息 1、 Quidway S9300 主機選購一覽表 產品 描述 S9303總裝機箱 S9306總裝機箱 S9312總裝機箱 2、 Quidway S9300 交換路由處理板 選購一覽表 產品 描述 S9306/S9312交換路由單元 S9303主控處理單元 增強靈活業(yè)務子卡 3、 Quidway S9300 業(yè)務單板選購一覽表 產品 描述 48端口 百 兆以太網(wǎng)光接口板 48端口 百 兆以太網(wǎng) 電 接口板 48端口 百 兆 /千兆以太網(wǎng)光接口板 48端口 百 兆 /千兆以太網(wǎng)電接口板 24端口 百 兆 /千兆以太網(wǎng)光接口板 24端口 百 兆 /千兆以太網(wǎng)光接口和 8端口 百 兆 /千兆 Combo電口板 4端口萬兆以太網(wǎng)光接口板 2端口萬兆以太網(wǎng)光接口板 3.5.2 Oceanspace S2000 系列存儲系統(tǒng) 概述 華為賽門鐵克 Oceanspace S2000 系列（以下簡稱 S2000）產品是中國第一款擁有完全自主知識產權的存儲。融合了高密、接口模塊化設計、多重數(shù)據(jù)保護技術，滿足數(shù)據(jù)庫等應用系統(tǒng)、備份、數(shù)據(jù)中心等不同的存儲資源部署需求。 產品特點 高性能 64 位系統(tǒng)架構： 64 位多核處理器， 64 位系統(tǒng)總線， 64 位實時操作系統(tǒng) 交換體系架構： 交換架構，高性能，低延時；硬盤獨立，單個硬盤故障不影響其他盤，便于故障檢測和排除 高密設計： 硬盤框 4U 高度，可容納 24 塊硬盤，產品占用空間小，擴 1個硬盤框能擴展 24 塊硬盤，大幅降低擴容成本 高可靠 全冗余模塊化設計： 冗余控制器， 1+1 冗余電源 /風扇模塊；冗余掉電保護電池 一體化 UPS 技術： UPS 集成在控制框內，節(jié)省機架空間；意外掉電時，可以保證 Cache 數(shù)據(jù)可安全寫入數(shù)據(jù)保險箱；恢復供電后，可以把數(shù)據(jù)保險箱的數(shù)據(jù)恢復到 Cache 中，保證 Cache 數(shù)據(jù)不丟失 硬盤壞道修復技術： 最大限度修復硬盤壞道，將硬盤故障率降低 50%，延長硬盤壽命 硬盤預拷貝技術： 提前發(fā)現(xiàn)故障盤，主動遷移故障盤數(shù)據(jù)，規(guī)避系統(tǒng)降級的風險，有效降低兩個硬盤同時故障導致數(shù)據(jù)丟失的概率 靈活 靈活組網(wǎng)： iSCSI 主機口滿足與 IP 網(wǎng)絡無縫融合的 組網(wǎng)需求； SAS 主機口滿足高性價比的組網(wǎng)需求； FC 主機口滿足高速率、高可靠的組網(wǎng)需求 控制器選配： 單控制器配置滿足低成本需求，平滑升級到雙控制器配置，滿足高性能、高可靠的需求 分級存儲： 支持 SAS/SATA 硬盤混插，可以根據(jù)業(yè)務級別選擇存儲介質 便捷 便捷管理： 支持圖形化 GUI 及 CLI 管理方式，提升管理效率；支持 LUN后臺格式化，壓縮設備安裝及配置時間 便捷維護： 主要模塊及硬盤組件支持熱插拔，減少維護復雜性；支持 Web和 Modem 撥號等遠程管理能力，增加維護及時性；提供聲光、郵件、短信等告警 模式，確保設備故障信息不會被忽視或遺漏 產品規(guī)格 型號 S2100 S2300 硬件特性 存儲處理器 64 位多核處理器 標配緩存 (可擴展 ) 單控 2GB、雙控 4GB 控制器數(shù)量 1 or 2 標配主機端 口 (可擴展 ) 單控 :2 個 43Gb SAS 或 2個 1Gb iSCSI 雙控 :4 個 43Gb SAS 或 4個 1Gb iSCSI 單控 :2 個 4Gb FC 或 4 個1Gb iSCSI 雙控 :4 個 4Gb FC 或 8 個1Gb iSCSI 硬盤數(shù)量 (可擴展 ) 單控 48 /雙控 96 硬盤規(guī)格 SATA 硬盤： 500GB/1TB（ 7200 rpm） SAS 硬盤： 300GB/450GB（ 15k rpm） 硬盤密度 24 個 /框 性能特性 主機連接數(shù)量 (可擴展 ) 128 128 LUNs(可擴展 ) 512 1024 RAID 特性 RAID 支持能力 0、 1、 5、 10 等 可靠性 冗余保護能力 控制器、電源、風扇、 UPS 模塊、級聯(lián)模塊（硬盤框） 熱備盤 全局熱備、預拷貝 掉電保護 數(shù)據(jù)保險箱、一體化 UPS 技術 主機兼容性 支持的操作系統(tǒng) Windows、 Linux、 Solaris、 HP-UX、 AIX、 FreeBSD、VMware 等 軟件特性 主機多路徑 UltraPath（ for Windows/Linux/AIX）、 STMS(for Solaris）、 PV-Links（ for HP-UX） 管理特性 管理界面 Web GUI、 CLI 等 SAN 資源管理 LUN 動態(tài)調整 故障告警 網(wǎng)管界面告警、聲光告警、 E-mail 告警、短信告警 遠程管理 支持 Web 遠程登錄模式、支持 Modem 撥號連接，命令行配置 物理特性 電源 AC 200V 240V(50/60Hz), DC -48V -60V 功耗（控制框） 單控：交流： 725W/直流：625W 雙控：交流： 828W/直流： 728W 單控：交流： 725W/直流：674W 雙控：交流： 835W/直流： 775W 功耗（硬 盤框） 單控：交流： 668W/直流：617W 雙控：交流： 680W/直流： 630W 單控：交流： 668W/直流：617W 雙控：交流： 680W/直流： 630W 尺寸 4U， 175mm(H)*446mm(W)* 600mm(D) 重量 不帶硬盤 45Kg（控制框）； 38Kg（硬盤框） 4 安全解決方案 4.1 安全體系層次設計 由于本次 *電業(yè)局 屬于新建系統(tǒng)，因此整個 *電業(yè)局 網(wǎng)絡安全的需求是全方位的、整體的，相應的網(wǎng)絡安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)第三章中 我單位 對于安全 的風險分析， 我單位 將安全體系的層次劃分為五層：物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全、安全保密管理。 4.1.1 層次一：物理環(huán)境的安全性（物理層安全） 包括通信線路的安全，物理設備的安全，機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質）；軟硬件設備安全性（替換設備；拆卸設備；增加設備）；設備的備份；防災害能力、防干擾能力；設備的運行環(huán)境（溫度、濕度、煙塵）；不間斷電源保障，等等。 4.1.2 層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全） 這一層次的安全問題來自網(wǎng)絡內使用的操作系統(tǒng)： Windows 2003， Windows 2000， Unix等。系統(tǒng)層的安全性問題表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。 4.1.3 層次三：網(wǎng)絡的安全性（網(wǎng)絡層安全） 該層次的安全問題主要體現(xiàn)在網(wǎng)絡信息的安全性。包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡設施防病毒等。 4.1.4 層次四：應用的安全性（應用層安全） 該層次的安全考慮提供服務 所采用的應用軟件和數(shù)據(jù)的安全性，包括： Web服務、電子郵件系統(tǒng)等。此外，還包括病毒對系統(tǒng)的威脅。 4.1.5 層次五：管理的安全性（安全管理） 安全管理包括安全技術和設備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個網(wǎng)絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。 4.1.6 總體部署 *電業(yè)局 的安全問題是一個系統(tǒng)工程， 我單位 在制定安全網(wǎng)絡策略時盡可能地考慮到網(wǎng)絡中的各個方面及網(wǎng)絡的拓展性，采用TCP/IP協(xié)議進行網(wǎng)絡通信的網(wǎng)絡 ，在網(wǎng)絡層對計算機通信進行安全保護是業(yè)界流行的安全解決辦法。 綜合考慮 *電業(yè)局 的實際安全狀況，本方案中 我單位 從以下幾個方面來采取相應的安全 措施： 1. 采用 VLAN 技術 2. 部署防火墻 3. 部署入侵檢測系統(tǒng) 4. 部署安全審計系統(tǒng) 以上部署的安全產品在嚴格按照電子政務信息安全要求標準基礎上，并遵循穩(wěn)定性、先進性、可擴展性等原則進行選型。 *電業(yè)局 的安全管理部門應根據(jù)管理原則和 *電業(yè)局 數(shù)據(jù) 處理的保密性，制訂相應的安全管理制度或采用相應的安全規(guī)范?？筛鶕?jù)工作的重要程度，確定該系統(tǒng)的安全等級；及根據(jù)確定的安全等級，確定安 全管理的范圍。 4.2 入侵檢測系統(tǒng)部署 4.2.1 安全風險分析 隨著網(wǎng)絡基礎設施及其應用的不斷豐富，基于網(wǎng)絡的各種安全事故也 不斷出現(xiàn) 。造成這些網(wǎng)絡安全事故最 根本的 原因是設計網(wǎng)絡基礎協(xié)議 時主要 考慮的 協(xié)議的互聯(lián)互通性 ， 很少 考慮 協(xié)議 可能 存在的 安全漏洞， 當這些安全漏洞 被惡意的人們 利用就出現(xiàn)了層出不窮的安全事件 。但是當人們發(fā)現(xiàn)這些問題逐漸影響正常網(wǎng)絡甚至業(yè)務運行的時候，再去修改這些相關基礎應用協(xié)議代價太大。因此作為亡羊補牢的方式，出現(xiàn)了相關的網(wǎng)絡安全防護產品。比如說防火墻、防病毒 產品等等。 然而， 防火墻無法正確分析摻雜在允許應用數(shù)據(jù) 流中的惡意代碼，很多攻擊或者惡意的行為常常 利用 防火墻開放的應用數(shù)據(jù)流來造成破壞。這就有必要提供專門針對各種應用數(shù)據(jù)流進行完整重組、判斷其是否為正常 數(shù)據(jù)包 的產品 。 這種產品就是 入侵檢測 系統(tǒng) （ Intrusion Detection System） ，入侵檢測系統(tǒng) 通過對計算機網(wǎng)絡或計算機系統(tǒng)中 的 若干關鍵點 信息進行分析， 可以 從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象 ，實時作出響應 。 入侵檢測系統(tǒng)分為 基于網(wǎng)絡的入侵檢測系統(tǒng)（ NIDS）和基于主機的入侵檢測系統(tǒng) （ HIDS） 。 華為公司推出即 是基于 網(wǎng)絡的 智能網(wǎng)絡入 侵檢測系統(tǒng) （以下簡稱 NIP）。 4.2.2 安全風險解決 NIP 網(wǎng)絡智能入侵檢測系統(tǒng)是華為自主開發(fā) ， 擁有知識產權的新一代基于會話的智能網(wǎng)絡入侵檢測系統(tǒng) 。 采用異常使用模式（ Anomaly） 和誤用檢測模式 （ Misuse） 相結合的檢測方式 ， 部署于網(wǎng)絡中的關鍵點，實時監(jiān)控各種數(shù)據(jù)報文及網(wǎng)絡行為，提供及時的報警及響應機制。其動態(tài)的安全響應體系與防火墻等靜態(tài)的安全體系形成強大的協(xié)防體系，大大增強了用戶的整體安全防護強度 。 4.2.3 智能網(wǎng)絡入侵檢測 設備 華為公司憑借在電信領域多年的技術積累，深刻的認識到可靠性設計對于一個網(wǎng)絡設備的重要性。華 為防火墻從硬件到軟件，從每個部件到整體構架都進行了深入的分析和考慮，在設計的每個環(huán)節(jié)都融入了可靠性的設計理念，保證從根本上為用戶提供了安全可靠的網(wǎng)絡環(huán)境，使得華為防火墻成為了一款真正安全的電信級高可靠的防火墻設備。 華為防火墻的硬件平臺全部采用高可靠的元器件設計，保證了防火墻的硬件平臺可以 24 小時不間斷工作，這方面的硬件設計是很多防火墻廠商無法保證的，通過對硬件平臺精益求精的設計使得華為防火墻有了一個穩(wěn)定運行的基石。 1. 強大的入侵檢測能力 NIP 內置強大的 IP 分片功能、智能協(xié)議解碼器、高效的 TCP 流重組及細粒 度的會話分析功能，可以迅速、準確地檢測各種攻擊行為。同時 NIP 具有 2000 余種入侵特征庫，可以檢測 DoS、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報和誤報。 2. 靈活的響應方式 NIP 內置強大的 IP 分片功能、智能協(xié)議解碼器、高效的 TCP 流重組及細粒度的會話分析功能，可以迅速、準確地檢測各種攻擊行為。同時 NIP 具有 3000 余種入侵特征庫，可以檢測 DoS、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報和誤報。 NIP 對檢測到的入侵企圖 或 違背 已 設定 的 安全策略的活動 做出實時 響應，并提供多種響應 方式 。包括： 切 斷與入侵有關的會話 。 通過移動電話發(fā)送報警消息 。 通過電子郵件發(fā)送報警信息 。 運行用戶指定的應用程序 。 在 Windows 操作系統(tǒng) 事件日志中記錄報警 。 將與入侵有關的信息保存在數(shù)據(jù)庫中 。 聯(lián)動防火墻。當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者。 3. 增強的安全性 NIP 提供 根據(jù)入侵信息 發(fā)出入侵警報以及限制網(wǎng)絡訪問等功能，以保護服務器免受外部和內部的攻擊。 NIP 通過簡單易用的管理界面和 入侵檢測、入侵阻斷、入侵報警、入侵日志等功能，提供最佳的策略來增強 Internet 商 業(yè)環(huán)境的安全性。 NIP 特別適用于需要極高網(wǎng)絡安全性的 機構 ，例如：審計 機構、安全顧問 機構 、安全法律執(zhí)行機構、大型企業(yè)、 Internet 服務提供商、培訓機構以及 涉及敏感信息的 政府機構等。 NIP 采用 stealth 技術，有效地防止入侵檢測系統(tǒng) 的 暴露 ，提高 入侵檢測系統(tǒng)自身的安全性。 4. 強大的報表功能 NIP 提供基于 Crystal Report 的報表功能。 可提供 100 余種報表樣式，同時還 可實現(xiàn) 自定義報表的功能 。 5. 分級用戶管理 NIP 的管理員類型包括三種：超級管理員、普通管理員和只讀管理員。 超級管理員： 具有超級 權限，可以進行任何操作 。 普通管理員： 可以對授權的引擎進行查詢、配置、編輯。 只讀管理員：只能對授權的引擎進行日志查詢操作。 不同級別的管理員擁有不同的管理權限，最大限度的保證了 NIP的系統(tǒng)安全。 6. 檢測并分析各種入侵行為 NIP 采用基于協(xié)議分析的智能模式匹配，結合狀態(tài)分析技術和異常行為檢測技術，大大提高了檢測的準確度，減少了漏報、誤報現(xiàn)象。通過高效的模式匹配算法，大大提高了檢測效率。內置 2500 種以上入侵規(guī)則，提供對 DoS、掃描、代碼攻擊、病毒、后門等各種攻擊的檢測能力。 基本的檢測功能包括下面幾種： 蠕蟲 檢測 NIP 實時跟蹤當前最新的蠕蟲事件，同時針對已經發(fā)現(xiàn)的蠕蟲及時提供相關的事件規(guī)則。對于存在漏洞但是還未發(fā)現(xiàn)相關蠕蟲事件的情況，通過分析其漏洞提供相關的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。 協(xié)議解碼 NIP 對常用網(wǎng)絡應用層協(xié)議解碼分析，記錄網(wǎng)絡中的異常行為。用戶可以方便的自定義基于 TCP/IP 各種協(xié)議的分析事件，如： HTTP、SMTP、 FTP、 Telnet 等應用層協(xié)議連接、關閉； pop3 命令連接請求、應答，各種應用層協(xié)議的關鍵字解碼等。 IP 碎片重組 NIP 對所監(jiān)視網(wǎng)絡中的 IP 碎片報文重組后 進行分析，防止 IP 碎片欺騙。 日志風暴處理 NIP可以將一定時間范圍內的同種攻擊類型事件合并成同一條事件，在控制臺顯示并記錄攻擊次數(shù)，防止控制臺的日志風暴。 協(xié)議過濾和誤報處理 NIP 能夠對不需 NIDS 記錄的某類 TCP/IP 協(xié)議的數(shù)據(jù)流進行過濾處理。同時，可以根據(jù)事件規(guī)則名和事件發(fā)生的源或目的綁定對事件進行排除，避免無需上報的事件再次出現(xiàn)在控制臺或給 NIDS 增加不必要的負擔。 7. 對安全事件做出響應 NIP 針對各個入侵事件提供實時響應功能，響應方式多種多樣。主要包括： 報警 聲音報警： 設置聲音報警后，當有事 件發(fā)生時，控制臺會發(fā)出不同的聲音提示管理員。 焦點窗口： 設置焦點窗口后，當有事件發(fā)生時，即使控制臺不是當前的焦點窗口，也會自動彈出成為焦點窗口，以使管理員及時發(fā)現(xiàn)發(fā)生的事件。 報警燈顯示： 設置報警燈顯示后，當有事件發(fā)生時，在控制臺的左下角會有紅色的報警燈閃爍，以提醒管理員。 郵件報警： 設置好郵件參數(shù)后，當有事件發(fā)生時，系統(tǒng)將向預先定義的信箱發(fā)送報警信息。 短消息報警： 設置好短消息參數(shù)后，當有事件發(fā)生時，系統(tǒng)向預先設置的手機發(fā)送短消息報警。 執(zhí)行報警器程序： 通過拷貝 AlertMessenger.exe 和 AlertMessenger.ini 兩個文件，不需要安裝完整的控制臺程序也可以實時顯示報警信息。 SNMP Trap 報警： 當有事件發(fā)生時，向網(wǎng)絡內的網(wǎng)管軟件發(fā)送 SNMP Trap消息報警。 生成日志 生成常規(guī)審計日志： 常規(guī)審計日志在控制臺實時顯示報警事件，同時記錄到數(shù)據(jù)庫中。 生成詳細審計日志： 對設置詳細審計日志的事件，系統(tǒng)會詳細記錄整個會話的過程，事后可以通過報文回放工具重現(xiàn)整個會話過程，以便管理員分析，并可作為證據(jù)保留。 生成系統(tǒng)日志： 在 Windows 操作系統(tǒng)日志中，生成記錄。 切斷會話 針 對 TCP 連接，可以通過 TcpRest 的方式切斷入侵會話。 執(zhí)行程序 執(zhí)行本地程序。 聯(lián)動防火墻 當有入侵事件發(fā)生時，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護網(wǎng)絡的安全。 8. 監(jiān)控系統(tǒng)的活動和狀態(tài) 除了提供入侵檢測功能外， NIP 還提供對各種信息和狀態(tài)的監(jiān)控功能： 引擎狀態(tài)監(jiān)控 管理員可以實時查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網(wǎng)卡的網(wǎng)絡流量（當前會話數(shù)、當前流量、每秒報文數(shù)和每秒丟包數(shù)），通過顯示每秒丟包數(shù)，可以及時發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的異常情況。 服務器工作狀態(tài)監(jiān)控 網(wǎng)絡中存在 很多提供應用服務的服務器，如： Web 服務器、 FTP服務器、郵件服務器等，這些服務器一般情況下都需要 24 小時運行，因此需要實時監(jiān)控這些服務器是否正常運行。通過服務器工作狀態(tài)監(jiān)控功能，用戶可以及時發(fā)現(xiàn)服務器的存活狀態(tài)和相應服務的運行情況，以便第一時間發(fā)現(xiàn)并解決問題，最大限度地減少由于這些服務器不能正常運行而造成的損失。 郵件監(jiān)控 郵件監(jiān)控可以對通過 SMTP、 POP3、 IMAP 和 Web 傳送的郵件信息進行監(jiān)控，以避免泄漏敏感信息。 MSN 監(jiān)控 NIP 可以對 MSN 的會話進行監(jiān)控。 文件傳輸監(jiān)控 NIP 以對通過 FTP 或 MSN 傳輸?shù)奈募M行監(jiān)控，以避免泄漏敏感信息。 實時會話監(jiān)控 系統(tǒng)可以實時顯示當前會話列表。針對每一個會話，用戶可以查看并記錄會話內容，或者切斷該會話。 有害站點監(jiān)控 NIP 可以對黃色和暴力等有害站點的訪問進行監(jiān)控。 多端口監(jiān)聽 NIP 可以為每個引擎定義多個監(jiān)