公共資源交易平臺系統(tǒng)運(yùn)行環(huán)境購置項(xiàng)目安全設(shè)計(jì)說明書

1、XX市公共資源交易平臺系統(tǒng)運(yùn)行環(huán)境購置工程安全設(shè)計(jì)說明書 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 建立需求3 HYPERLINK l bookmark2 o Current Document 現(xiàn)狀分析3 HYPERLINK l bookmark4 o Current Document 系統(tǒng)構(gòu)架設(shè)計(jì)4網(wǎng)絡(luò)拓?fù)鋱D4系統(tǒng)構(gòu)造說明4網(wǎng)絡(luò)設(shè)備5 HYPERLINK l bookmark18 o Current Document 系統(tǒng)平臺軟硬件配置6主要設(shè)備功能、性能介紹7網(wǎng)絡(luò)設(shè)備產(chǎn)品簡介7 HYPERLINK l bookmark24

2、 o Current Document 病毒防措施7防入侵、網(wǎng)絡(luò)平安防護(hù)8 HYPERLINK l bookmark30 o Current Document 業(yè)務(wù)交付負(fù)載均衡16核心交換機(jī)業(yè)務(wù)能力17超融合架構(gòu)24建立需求營造優(yōu)良的軟環(huán)境是增強(qiáng)競爭力、進(jìn)一步科學(xué)開展、深化公共資源交易體制改革必不可少的要素。而加快電子政務(wù)建立，建立公共資源交易平臺是提升軟環(huán)境的有效途徑。通過建立公共資源交易平臺，使各類交易活動“統(tǒng)一進(jìn)場交易、統(tǒng)一進(jìn)展管理、統(tǒng)一承受監(jiān)視，不斷提高政府的社會管理水平和公共效勞質(zhì)量，為交易主體提供“公開、公平、公正的交易平臺和優(yōu)質(zhì)的效勞。公司方案進(jìn)展XX市公共資源交易中心的信息系統(tǒng)

3、的建立，基于該套系統(tǒng)的應(yīng)用包括數(shù)據(jù)庫應(yīng)用和Web效勞應(yīng)用。這些系統(tǒng)方案現(xiàn)在安裝在1臺效勞器上，數(shù)據(jù)庫效勞器那么采用的是SQL數(shù)據(jù)庫系統(tǒng)。該系統(tǒng)的數(shù)據(jù)中心，運(yùn)行著各重要的應(yīng)用系統(tǒng)，關(guān)系到企業(yè)各個(gè)職能部門的運(yùn)作和各業(yè)務(wù)數(shù)據(jù)的信息的平安，因此本次信息根底架構(gòu)建立將信息平安、可靠放在首要位置。為防止關(guān)鍵信息數(shù)據(jù)破壞或攻擊，本工程中還需要對考慮平安防護(hù)管理系統(tǒng)的建立，以到達(dá)網(wǎng)絡(luò)平安和鏈路平安的目的?，F(xiàn)狀分析鑒于目前公司開展的趨勢，根據(jù)需要對系統(tǒng)進(jìn)展前瞻性規(guī)劃，以滿足未來3年XX市交易中心業(yè)務(wù)開展的需要。為保系統(tǒng)信息平臺能穩(wěn)定運(yùn)行，網(wǎng)絡(luò)根底構(gòu)架和關(guān)鍵業(yè)務(wù)應(yīng)用采用熱備份冗余設(shè)計(jì)預(yù)防可能的單點(diǎn)故障保證系統(tǒng)的高

4、可靠性和關(guān)鍵業(yè)務(wù)連續(xù)性。為防止網(wǎng)絡(luò)攻擊或者病毒入侵，導(dǎo)致系統(tǒng)無常運(yùn)轉(zhuǎn)，配置綜合網(wǎng)關(guān)進(jìn)展邊界防護(hù)和網(wǎng)絡(luò)平安管理，防止網(wǎng)或者外網(wǎng)對本中心系統(tǒng)產(chǎn)生影響。本次建立主要包括二個(gè)方面，即網(wǎng)絡(luò)冗余保護(hù)、超融合虛擬化平臺。3系統(tǒng)構(gòu)架設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋱DXX市交易中心網(wǎng)絡(luò)拓?fù)鋱D:系統(tǒng)構(gòu)造說明網(wǎng)絡(luò)系統(tǒng)可靠性網(wǎng)絡(luò)核心配置兩臺三層交換機(jī)、兩臺負(fù)載均衡、兩臺IPS、兩臺防火墻熱備互為冗余、通過虛擬化技術(shù)配置效勞器和業(yè)務(wù)負(fù)載均衡。核心交換機(jī)支持傳統(tǒng)的STP/RSTP/MSTP生成樹協(xié)議，還支持SmartLink和RRPP等增強(qiáng)型以太網(wǎng)技術(shù)，可以實(shí)現(xiàn)毫秒級鏈路保護(hù)倒換，保證高可靠性的網(wǎng)絡(luò)質(zhì)量。止匕外，針對Smartlink和RR

5、PP均提供多實(shí)例功能，可實(shí)現(xiàn)鏈路負(fù)載分擔(dān)，進(jìn)一步提高了鏈路帶寬利用率?；ヂ?lián)網(wǎng)接入局部利用企業(yè)現(xiàn)有的兩條Internet線路連接綜合網(wǎng)關(guān)實(shí)現(xiàn)外部的冗余關(guān)鍵業(yè)務(wù)應(yīng)用可靠性企業(yè)的數(shù)據(jù)庫（關(guān)鍵業(yè)務(wù)應(yīng)用）效勞器采用基于存儲共享的雙機(jī)熱備方案，兩臺效勞器可以互備或者并行的方式運(yùn)行。在工作過程中，兩臺效勞器將以一個(gè)虛擬的IP地址對外提供效勞，依工作方式的不同，將效勞請求發(fā)送給其中一臺效勞器承當(dāng)。同時(shí)，效勞器通過心跳線偵測另一臺效勞器的工作狀況。當(dāng)一臺效勞器出現(xiàn)故障時(shí)，另一臺效勞器根據(jù)心跳偵測的情況做出判斷，并進(jìn)展切換，接收效勞。對于用戶而言，這一過程是全自動的，在很短時(shí)間完成，從而對業(yè)務(wù)不會造成影響。由于使

6、用共享的存儲設(shè)備，因此兩臺效勞器使用的實(shí)際上是一樣的數(shù)據(jù)，由雙機(jī)或集群軟件對其進(jìn)展管理。網(wǎng)絡(luò)平安保護(hù)為系統(tǒng)配置的統(tǒng)一平安網(wǎng)關(guān)集防火墻、防DDOS、入侵保護(hù)IPS、P2P阻斷和限流、IM軟件控制、L2TP/IPSEC/SSL/MPLSVPN等特性于一體,提供高性能的平安防護(hù)，幫助企業(yè)提升工作效率。網(wǎng)絡(luò)設(shè)備1、先進(jìn)性：以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)展組網(wǎng)，支持?jǐn)?shù)據(jù)、語音、視像等多媒體應(yīng)用。2、標(biāo)準(zhǔn)化和開放性：采用符合ISO或IEEE、ITUT、ANSI等標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，采用符合國際和國家標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備。3、可靠性和可用性：選用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運(yùn)行時(shí)的應(yīng)變能力和容錯(cuò)能力，確保整個(gè)

7、系統(tǒng)的平安與可靠，要有強(qiáng)大的網(wǎng)絡(luò)負(fù)載能力，支持多用戶、多進(jìn)程的網(wǎng)絡(luò)傳輸。4、實(shí)用性和經(jīng)濟(jì)性：從實(shí)用性和經(jīng)濟(jì)性出發(fā)，兼顧近期目標(biāo)和長遠(yuǎn)開展，選用先進(jìn)的設(shè)備，進(jìn)展最正確性能組合，利用有限的投資構(gòu)造性能最正確的網(wǎng)絡(luò)系統(tǒng)。5、平安性和性：在接入Internet/Intranet時(shí)，保證網(wǎng)上信息和各種應(yīng)用系統(tǒng)的平安，采用的網(wǎng)絡(luò)平安產(chǎn)品必須經(jīng)過國家公安部的認(rèn)證。6、擴(kuò)展性和升級能力：選用具有良好升級能力和擴(kuò)展性的設(shè)備，在未來的升級和擴(kuò)展中，能保護(hù)現(xiàn)有投資，并支持多種網(wǎng)絡(luò)協(xié)議、高層協(xié)議和多媒體應(yīng)用。7、靈活性：運(yùn)用交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的、先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，快速簡便地將用戶或用戶組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到另一

8、個(gè)網(wǎng)絡(luò)，而無需任何硬件上的改變.8、可管理性：集中式的管理，方便網(wǎng)絡(luò)的管理和維護(hù)。5系統(tǒng)平臺軟硬件配置系統(tǒng)軟硬件列表推薦系統(tǒng)設(shè)備產(chǎn)品型號單位數(shù)量網(wǎng)絡(luò)及平安設(shè)備防火墻天融信NGFW4000-UF套1入侵防御啟明星辰天清NGIPS5000-C-S套1負(fù)載均衡天融信TOPAPP6000套1虛擬化平臺效力下訂浪潮NF5280套4數(shù)據(jù)庫效勞器浪潮NF8460套2網(wǎng)絡(luò)核心交換機(jī)H3cLS-7506E-NonPoE套2WAF啟明星辰天清Web應(yīng)用平安網(wǎng)關(guān)700-M套2超融合虛擬化平臺深信服超融合架構(gòu)平臺臺1光纖存儲交換機(jī)H3cLS-6800-2C套2防病何軟件卡巴斯基網(wǎng)絡(luò)平安解決方案標(biāo)準(zhǔn)版10.0套16主要

9、設(shè)備功能、性能介紹網(wǎng)絡(luò)設(shè)備產(chǎn)品簡介病毒防措施由于計(jì)算機(jī)病毒和蠕蟲能夠通過多種渠道進(jìn)入網(wǎng)絡(luò)，病毒問題成為XX市交易中心業(yè)務(wù)系統(tǒng)面臨的重要平安威脅。病毒對計(jì)算機(jī)系統(tǒng)穩(wěn)定性、文件的完整性具有嚴(yán)重的威脅，而蠕蟲在部網(wǎng)以及縱向網(wǎng)絡(luò)的傳播更會導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)阻塞、病毒擴(kuò)散等問題。平安問題已經(jīng)從傳統(tǒng)的網(wǎng)絡(luò)層面的平安上升到了容層面的平安。XX市交易中心急需在終端計(jì)算機(jī)上以及網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)部部署適宜的防護(hù)機(jī)制，防止容平安威脅對系統(tǒng)造成嚴(yán)重影響。基于這種考慮，系統(tǒng)經(jīng)過慎重考慮和評估，選擇了卡巴斯基網(wǎng)絡(luò)平安解決方案標(biāo)準(zhǔn)版10.0,在部網(wǎng)絡(luò)和縱向網(wǎng)中進(jìn)展部署。網(wǎng)絡(luò)邊界病毒防護(hù)為了加強(qiáng)域邊界的控制和防御能力，我們在網(wǎng)絡(luò)的

10、域邊界部署啟明星辰大清Web應(yīng)用平安網(wǎng)關(guān)700-M,進(jìn)展有效的蠕蟲和新復(fù)合型病毒的主動防御。通過域邊界啟明星辰天清Web應(yīng)用平安網(wǎng)關(guān)700-M的部署，當(dāng)部網(wǎng)絡(luò)再觸發(fā)某蠕蟲病毒，進(jìn)而對整個(gè)網(wǎng)絡(luò)發(fā)起攻擊的時(shí)候，700-M可以將其控制在某個(gè)平安域之，防止其進(jìn)一步大面積擴(kuò)散，造成整個(gè)網(wǎng)絡(luò)癱瘓等事件的發(fā)生，為網(wǎng)絡(luò)管理人員提供了有效的網(wǎng)絡(luò)病毒控制手段和能力，為部網(wǎng)絡(luò)病毒防御的可控性目標(biāo)提供了有力的技術(shù)保障。部域邊界病毒防護(hù)示意圖域邊界的病毒防御建立提高了網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)的平安控制能力，有效的防御了病毒、木馬、蠕蟲等病毒威脅在部網(wǎng)絡(luò)不同區(qū)域的破壞、擴(kuò)散，切斷了其在網(wǎng)絡(luò)部的傳播途徑。700-M以透明方式接入

11、用戶網(wǎng)絡(luò)，管理員根本不需要修改其它網(wǎng)絡(luò)設(shè)備的配置，只須接入到需要保護(hù)的網(wǎng)絡(luò)邊界即可。700-M會自動對所有通過它的網(wǎng)絡(luò)流量進(jìn)展識別分析，過濾病毒、電子病毒、靜態(tài)蠕蟲、惡意網(wǎng)頁代碼、非法容、敏感信息等，同時(shí)阻擊蠕蟲動態(tài)攻擊行為。利用天融信防毒墻截取網(wǎng)絡(luò)數(shù)據(jù)進(jìn)展過濾處理，將過濾后的數(shù)據(jù)傳遞給目的地，以確保信息平安。對于蠕蟲和動態(tài)攻擊，700-M那么能將其徹底阻斷，防止其在網(wǎng)擴(kuò)散。防入侵、網(wǎng)絡(luò)平安防護(hù)隨著Internet的迅速普及，一方面全球圍的網(wǎng)絡(luò)病毒、黑客攻擊、操作系統(tǒng)漏洞、垃圾等網(wǎng)絡(luò)平安問題層出不窮，且變化越來越快，危害越來越大；另一方面，隨著網(wǎng)絡(luò)應(yīng)用的增加，對網(wǎng)絡(luò)帶寬提出了更高的要求。那么平

12、安網(wǎng)關(guān)作為保障網(wǎng)絡(luò)平安的第一道防線，終究何種硬件架構(gòu)最適合防火墻產(chǎn)品？要滿足未來信息平安產(chǎn)品適應(yīng)信息高速膨脹的開展趨勢，提升開放平臺的硬件性能，即是必然趨勢也是滿足未來應(yīng)用需求的關(guān)鍵要素。在這樣一個(gè)開放性平臺應(yīng)用需求的驅(qū)動力下，多核技術(shù)應(yīng)運(yùn)而生。這里所說的多核并不是基于X86的2核、4核這樣的CPU,而是在網(wǎng)絡(luò)、平安設(shè)備上最新使用的基于MIPS64的多核SoCSystemonChi。處理器，此類多核SoC處理器目前可支持到16核，并隨著平安計(jì)算需求的不斷增加而繼續(xù)提升。相比X86、NP、ASIC硬件平臺，SoC多核平臺的最大優(yōu)勢是保存了X86平臺的高靈活性這一點(diǎn)對于平安設(shè)備的應(yīng)用層檢測非常關(guān)鍵

13、，同時(shí)具備與ASIC平臺相當(dāng)?shù)母咛幚硇阅堋Ｍ瑫r(shí)，通過增加核數(shù)，使線性提升硬件計(jì)算能力成為了可能，更重要的是功耗也隨之得到了控制。多核架構(gòu)在支撐靈活性和高性能的同時(shí)，帶來的另一個(gè)卓有成效的經(jīng)濟(jì)效益是低碳、節(jié)能。對信息平安產(chǎn)品而言，減排、低功耗是實(shí)現(xiàn)“低碳經(jīng)濟(jì)最主要的節(jié)能目標(biāo)。多核架構(gòu)的主要優(yōu)勢為一顆芯片上集成了多個(gè)核，核與核之間可以協(xié)同工作，同時(shí)在各個(gè)核周邊還集成了豐富的平安協(xié)處理硬件，如硬件加密、正那么匹配和應(yīng)用加速等，高集成度的特點(diǎn)簡化了整體硬件板卡的復(fù)雜度和能耗。同樣的應(yīng)用，對于X86通用硬件平臺，需要1顆甚至多顆高頻率CPU,同時(shí)需要南北橋芯片組、通過PCI擴(kuò)展的硬件加速板卡或應(yīng)用加速卡

14、等，一系列配套芯片設(shè)計(jì)使能耗遠(yuǎn)遠(yuǎn)高于同檔次多核SoC專用硬件平臺。根據(jù)功耗比照測試，多核SoC硬件平X86平臺的1/3左右。在高效能、低炭排放的同時(shí)，多核架構(gòu)帶給信息平安產(chǎn)業(yè)的另一個(gè)優(yōu)勢為高質(zhì)量。高度集成的SoC處理器降低了硬件平臺的整體復(fù)雜度，硬件的簡化促使故障率可以降低到1%以下X86平臺故障率通常為5%以上，到達(dá)電信級標(biāo)準(zhǔn)。隨著網(wǎng)絡(luò)技術(shù)的的迅速開展，越來越多的組織和個(gè)人將組織業(yè)務(wù)與個(gè)人事務(wù)通過網(wǎng)絡(luò)開展。由此而來的信息化技術(shù)革命使得人與人之間、組織與組織、國家與國家之間的聯(lián)系變得更加嚴(yán)密：信息共享變得更加便捷、信息傳遞變得更加迅速。毫無疑問，無論是國家、組織還是個(gè)人，對網(wǎng)絡(luò)的依賴程度都在不

15、斷增大，Internet已經(jīng)成為各個(gè)國家經(jīng)濟(jì)開展的重要支柱，也成為組織開展業(yè)務(wù)與個(gè)人生活不可或缺的重要工具。在網(wǎng)絡(luò)技術(shù)快速開展的同時(shí)，也產(chǎn)生了許多平安問題和威脅，如備受關(guān)注的大規(guī)模蠕蟲爆發(fā)引起的網(wǎng)絡(luò)癱瘓、銀行賬號被竊取導(dǎo)致的經(jīng)濟(jì)損失、感染病毒導(dǎo)致的數(shù)據(jù)喪失、非法外連導(dǎo)致的泄露、由于大規(guī)模僵尸網(wǎng)絡(luò)DDoS攻擊導(dǎo)致的業(yè)務(wù)無常運(yùn)行、P2P的過度使用導(dǎo)致網(wǎng)絡(luò)帶寬的耗盡，工作期間的聊天、視頻、炒股、游戲?qū)е鹿ぷ餍式档偷龋@些問題的存在對于組織的業(yè)務(wù)運(yùn)行與個(gè)人的網(wǎng)絡(luò)使用都構(gòu)成了無法無視的威脅。了解威脅：哪些地方存在威脅？存在什么威脅？如何消除威脅躲避風(fēng)險(xiǎn)？成了擺在我們面前的現(xiàn)實(shí)任務(wù)。防火墻及其局限性：防

16、火墻是當(dāng)前廣泛應(yīng)用的一種網(wǎng)關(guān)型平安設(shè)備，一般用于網(wǎng)絡(luò)的邊緣的訪問控制。傳統(tǒng)防火墻主要基于諸如協(xié)議、地址、端口這些四層及四層以下的信息進(jìn)展訪問控制，但無法根據(jù)7層或超7層協(xié)議如HTTPTunnel進(jìn)展動態(tài)分析、過濾。因此防火墻的訪問控制采用的是基于靜態(tài)的訪問控制策略進(jìn)展的，目前已經(jīng)越來越難以適應(yīng)迅速開展且手段千變?nèi)f化的入侵行為，比方：復(fù)雜協(xié)議無法解析無法對復(fù)雜協(xié)議多數(shù)是應(yīng)用層協(xié)議，如MSRPC的負(fù)載進(jìn)展有效解析，因此也就無法基于復(fù)雜協(xié)議的負(fù)載進(jìn)展的入侵行為進(jìn)展監(jiān)控與攔截組合攻擊無法檢測無法對由多步驟組成的組合攻擊行為進(jìn)展有效的關(guān)聯(lián)分析，因此防火墻對于這類攻擊無法進(jìn)展監(jiān)控與攔截部攻擊無法防對于部發(fā)

17、生的攻擊行為，因?yàn)闆]有經(jīng)過邊界防火墻，因此防火墻也就無法監(jiān)控和有效攔截傳統(tǒng)入侵防御系統(tǒng)及其局限性如果說防火墻在訪問控制方面獨(dú)當(dāng)一面，那么入侵防御系統(tǒng)那么是實(shí)時(shí)入侵發(fā)現(xiàn)的專家，由于其部屬于旁路位置，因此，入侵檢測系統(tǒng)對于網(wǎng)的攻擊行為和來自外部的攻擊行為都能夠起到有效的發(fā)現(xiàn)作用防火墻與入侵防御系統(tǒng)分別面向不同的平安問題，完成不同的平安任務(wù)，但與防火墻一樣，傳統(tǒng)入侵檢測系統(tǒng)也存在著自身的局限性：無法真正做到事前告警只有在攻擊行為發(fā)生的時(shí)候，才能產(chǎn)生告警，無法在攻擊發(fā)生之前有效預(yù)警，即因?yàn)槿狈π畔⒄系哪芰?，無法采用預(yù)測技術(shù)做到事前告警很難做到實(shí)時(shí)阻斷入侵防御系統(tǒng)由于旁路部署，所以很難對實(shí)時(shí)的入侵起到

18、有效阻斷，雖然可以采用與防火墻聯(lián)動、TCPKiller等方式對攻擊進(jìn)展一定的干擾，但由于實(shí)時(shí)性較差，因此很難像防火墻一樣起到平安閘門的作用，防御能力有限取證能力有限與審計(jì)類產(chǎn)品相比，入侵防御系統(tǒng)的取證能力有限，入侵防御系統(tǒng)是基于攻擊行為片段特征來發(fā)現(xiàn)攻擊，因此，即使進(jìn)展取證，也多是采集整個(gè)攻擊過程某一片段的快照如時(shí)間、端口、ip等靜態(tài)信息，而很難對攻擊全過程進(jìn)展有效的動態(tài)錄制即取證。因此，在取證方面，往往將審計(jì)產(chǎn)品作是最為有效的手段報(bào)警事件過多，難以有效分析處理入侵防御系統(tǒng)由于每天會上報(bào)大量的事件包括可疑行為，根據(jù)對國外傳統(tǒng)IDS產(chǎn)品的統(tǒng)計(jì)，傳統(tǒng)IDS每天產(chǎn)生的報(bào)警數(shù)量在300條以上。因此對于

19、使用者來說，分析、處理這些事件的工作量巨大，如果不能及時(shí)對上報(bào)的事件進(jìn)展有效的分析、處理，那么實(shí)時(shí)報(bào)警就失去了意義，并可能導(dǎo)致網(wǎng)絡(luò)平安事故的發(fā)生啟明星辰新一代入侵防御系統(tǒng)系統(tǒng)啟明星辰天清NGIPS5000-C-隊(duì)侵防御與管理系統(tǒng)是啟明星辰自主原創(chuàng)并擁有完全自主知識產(chǎn)權(quán)的威脅檢測、分析與管理產(chǎn)品，該產(chǎn)品對于病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS緩沖區(qū)溢出、欺騙劫持等攻擊行為以及網(wǎng)絡(luò)資源濫用行為如P2P上傳/下載、網(wǎng)絡(luò)游戲、視頻/音頻、網(wǎng)絡(luò)炒股等威脅具有高精度的檢測能力，同時(shí)，該產(chǎn)品中的流量模塊對于網(wǎng)絡(luò)流量的異常情況具有非常準(zhǔn)確、有效的發(fā)現(xiàn)能力。該產(chǎn)品在準(zhǔn)確檢測的根底上強(qiáng)調(diào)對威脅的可

20、管理性如：威脅分析、威脅處理，尤其是對可能產(chǎn)生的大量事件進(jìn)展了智能過濾，僅向使用者展示真正需要關(guān)注的威脅，在減輕使用者工作量的同時(shí)，保障威脅處理的及時(shí)性。產(chǎn)品架構(gòu)啟明星辰天清NGIPS5000-C-S的產(chǎn)品架構(gòu)由三局部組成：平安管理中心檢測引擎在線升級系統(tǒng)其中，平安管理中心負(fù)責(zé)威脅的展示與管理、多級級聯(lián)、配置等功能；檢測引擎負(fù)責(zé)對網(wǎng)絡(luò)流量進(jìn)展檢測，識別出流量中可能存在的威脅；在線升級系統(tǒng)那么負(fù)責(zé)提供軟件、特征庫、病毒庫的升級包，這三局部相互獨(dú)立，可以靈活部署。主要功能啟明星辰入侵防御與管理系統(tǒng)是啟明星辰自主研發(fā)的新一代威脅檢測、分析與管理產(chǎn)品，該產(chǎn)品在總結(jié)傳統(tǒng)入侵防御產(chǎn)品包括：入侵防御系統(tǒng)、異

21、常流量監(jiān)測設(shè)備、病毒類檢測設(shè)備等缺乏的根底上，結(jié)合大量用戶尤其是行業(yè)用戶，如政府、金融、軍隊(duì)、能源、教育、媒體等的實(shí)際使用效果和反應(yīng)，進(jìn)展了大規(guī)模的改良和創(chuàng)新，在保證全面威脅檢測的同時(shí)，強(qiáng)調(diào)用戶使用的體驗(yàn)，實(shí)用、易用、在檢測威脅的同時(shí)方便用戶對威脅進(jìn)展有效分析和處理、實(shí)現(xiàn)對威脅的閉環(huán)處理、降低使用人員的使用難度、降低實(shí)用人員的使用本錢、提高使用人員的工作效率是本品的特色。全面威脅檢測啟明星辰入侵防御與管理系統(tǒng)對于病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL注入、XSS掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測效果，并通過簡單易懂的去技術(shù)化語言幫助用戶分

22、析威脅，對威脅進(jìn)展有效處理。智能威脅分析啟明星辰入侵防御與管理系統(tǒng)置的智能分析引擎能夠?qū)ι蠄?bào)的事件進(jìn)展關(guān)聯(lián)分析，識別出重要報(bào)警，提醒用戶關(guān)注，同時(shí)，對不重要的報(bào)警進(jìn)展智能過濾，解決了傳統(tǒng)監(jiān)控設(shè)備如IDS大量報(bào)警導(dǎo)致對威脅分析和處理難的問題。此外，分析報(bào)表采用比照分析的方法，讓使用者對近期的平安狀況一目了然，不再需要使用者在海量的日志數(shù)據(jù)中進(jìn)展人工分析，減輕了使用者的工作量和難度，提高使用者的工作效率。簡單威脅管理啟明星辰入侵防御與管理系統(tǒng)強(qiáng)調(diào)使用的簡單，主要是指對威脅管理的對比分析報(bào)表雙曲線簡單。威脅管理涉及到：威脅發(fā)現(xiàn)、威脅展示、威脅分析、威脅處理這四個(gè)局部，這四個(gè)局部組成了閉環(huán)的威脅管理。

23、啟明星辰入侵防御與管理系統(tǒng)采用全面的檢測技術(shù)保證威脅發(fā)現(xiàn)的準(zhǔn)確性；采用多維度圖、表、數(shù)據(jù)結(jié)合的方法保證威脅展示的簡單性、充分性；同時(shí)通過智能分析過濾的方法過濾掉無需關(guān)注的事件，保證威脅展示的質(zhì)量；采用去技術(shù)化的向?qū)椭褂谜邔ν{進(jìn)展分析和處理，止匕外，自動處理的機(jī)制也最大程度地降低了使用者的維護(hù)工作量。報(bào)警自動過濾|獐始報(bào)文L取證威脅處理一蠡糅1百環(huán)威脅管理啟明星辰入侵防御與管理系統(tǒng)是基于啟明星辰多年的平安積累根底之上，采用新一代多核X86高性能硬件平臺，為用戶提供適合從百兆、千兆到萬兆網(wǎng)絡(luò)環(huán)境下的威脅發(fā)現(xiàn)、威脅展示、威脅分析、威脅處理的專業(yè)化威脅發(fā)現(xiàn)與管理系-word.zl-統(tǒng)。業(yè)務(wù)交付負(fù)

24、載均衡天融信新一代應(yīng)用交付系統(tǒng)為用戶提供高可靠的數(shù)據(jù)中心解決方案，包括單數(shù)據(jù)中心的鏈路負(fù)載均衡、效勞器負(fù)載均衡解決方案，以及多數(shù)據(jù)中心的全局負(fù)載均衡解決方案。TAD集成了壓縮、緩存、SSL卸載等網(wǎng)絡(luò)優(yōu)化技術(shù)來加速業(yè)務(wù)系統(tǒng)交付的整個(gè)過程，提升業(yè)務(wù)系統(tǒng)處理效率；同時(shí)結(jié)合Web應(yīng)用防火墻、DNS防火墻、DDOS攻擊防護(hù)及漏洞掃描等技術(shù)手段形成全方位的網(wǎng)絡(luò)平安防護(hù)，為用戶業(yè)務(wù)系統(tǒng)的平安保駕護(hù)航。TAD基于天融信新一代平安操作系統(tǒng)NGTOS平臺設(shè)計(jì)和開發(fā)，繼承了NGTOS平臺高性能的優(yōu)勢。單臺硬件設(shè)備吞吐能力120Gbp6上億級并發(fā)連接數(shù)，百萬級新建處理能力。除了基于分流器原理的框架式設(shè)備，單臺硬件設(shè)備

25、性能TopAD已經(jīng)到達(dá)國市場的巔峰。秉持“看得見，看得細(xì)，看得懂的原那么，TAD在產(chǎn)品設(shè)計(jì)之初充分考慮了可視化方面的用戶需求。通過TAD實(shí)時(shí)監(jiān)控模塊，用戶能夠清晰的看到虛擬效勞器、鏈路、效勞器節(jié)點(diǎn)的安康狀態(tài)、效勞分布、流量走勢、帶寬占用、故障分類等信息，從而幫助用戶深入了解自己的網(wǎng)絡(luò)運(yùn)行狀態(tài)。此外TAD集成定制化報(bào)表模塊，可以根據(jù)用戶需求生成指定容的可視化報(bào)表，進(jìn)一步提升用戶的可視化體驗(yàn)。傳統(tǒng)產(chǎn)品只關(guān)注設(shè)備網(wǎng)絡(luò)層性能，例如流量、并發(fā)、新建、帶寬占用率等等，而TAD更關(guān)注設(shè)備應(yīng)用層的性能監(jiān)控。TAD可以實(shí)時(shí)查看數(shù)據(jù)庫系統(tǒng)的當(dāng)前運(yùn)行狀態(tài)，包括數(shù)據(jù)庫當(dāng)前會話數(shù)、響應(yīng)時(shí)間、繁忙度、SQL解析命中率、讀

26、寫速率、CPU消耗度等等。通過細(xì)粒度的數(shù)據(jù)庫性能參數(shù)及趨勢圖展示，TAD幫助用戶實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)庫系統(tǒng)的運(yùn)行狀態(tài)，合理調(diào)度和使用數(shù)據(jù)庫系統(tǒng)資源。TAD收集和整合經(jīng)過設(shè)備的所有用戶訪問記錄并進(jìn)展來源分析，從地域分布、所屬運(yùn)營商、來源類型三個(gè)維度分析某個(gè)時(shí)間段的訪問流量、訪問次數(shù)、IP數(shù)量走勢、占比、排行等信息。從而配合用戶深入了解自己業(yè)務(wù)系統(tǒng)的活潑程度，并且以此為依據(jù)協(xié)助用戶進(jìn)展數(shù)據(jù)分析做出商業(yè)決策。知己知彼，百戰(zhàn)不殆。TAD不僅支持對外的一體化平安防護(hù)，還能對進(jìn)展風(fēng)險(xiǎn)探測防患攻擊于未然。TAD置了漏洞特征庫，可以針對應(yīng)用負(fù)載的所有應(yīng)用效勞器或者整個(gè)IP網(wǎng)段進(jìn)展定向掃描分析，發(fā)現(xiàn)效勞器操作系統(tǒng)漏洞并

27、生成漏洞分析報(bào)告。從而協(xié)助用戶進(jìn)展應(yīng)用效勞器平安加固，保障業(yè)務(wù)系統(tǒng)運(yùn)行環(huán)境的可靠平安。智能DNS解析是應(yīng)用交付產(chǎn)品的核心功能，所以產(chǎn)品TAD對DNS協(xié)議的平安防護(hù)尤為重要，TopAD在業(yè)界率先置了DNS防火墻。DNS防火墻一方面支持DNS平安認(rèn)證，采用IETF提供的國際標(biāo)準(zhǔn)DNS平安認(rèn)證機(jī)制，引入DNS平安擴(kuò)展（DNSSecurityExtensions,DNSSEC放術(shù)，防止攻擊者利用漏洞劫持DNS解析過程，防止用戶進(jìn)入劫持者自己設(shè)立的欺騙性。另一方面支持DNS協(xié)議攻擊防護(hù)，包括DNS協(xié)議漏洞攻擊、DNS反射放大攻擊、DNS投毒攻擊等平安防護(hù)功能模塊，保障智能DNS解析過程的平安性和可靠性。

28、核心交換機(jī)業(yè)務(wù)能力1、豐富的業(yè)務(wù)，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)開展趨勢IRF2第二代智能彈性架構(gòu)橫向虛擬化H3CS7500E面向數(shù)據(jù)中心技術(shù)的演進(jìn)，推出了IRF2為代表的軟件虛擬化技術(shù)，提供2-4臺主機(jī)的協(xié)同工作、統(tǒng)一管理和不連續(xù)維護(hù)功能；IRF2不僅成為數(shù)據(jù)中心交換設(shè)備高性能、虛擬化的關(guān)鍵技術(shù)，而且對于傳統(tǒng)企業(yè)網(wǎng)應(yīng)用，IRF2所提供的高可靠性和無縫升級、擴(kuò)展能力，也成為H3C用戶增值效勞的重要組成局部；另外H3C的IRF2虛擬化技術(shù)還可根據(jù)組網(wǎng)的要求支持長距離80KM的普通以太網(wǎng)萬兆光纖堆疊。IRF3：第三代智能彈性架構(gòu)縱向虛擬化H3cS7500E系列產(chǎn)品可以在縱向維度上支持異構(gòu)虛擬化，將核心和接入設(shè)備

29、通過IRF3技術(shù)形成一臺縱向邏輯虛擬設(shè)備，支持AC、AP統(tǒng)一管理、配置，相當(dāng)于把一臺盒式設(shè)備作為一塊遠(yuǎn)程接口板參加主設(shè)備系統(tǒng)，以到達(dá)擴(kuò)展I/O端口能力和進(jìn)展集中控制管理的目的。IRF3技術(shù)可以簡化管理，大幅度降低網(wǎng)絡(luò)管理節(jié)點(diǎn)；簡化布線，二層變?yōu)橐粚?，?jié)省橫向連接線纜；最終實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)平面虛擬化，便與簡化業(yè)務(wù)部署和自動編排。4、全面的MPLS、VPLS業(yè)務(wù)能力H3CS7500E所有產(chǎn)品均支持Multi-VRF特性，可以作為MCE設(shè)備使用；支持三層的MPLSVPN和二層的MPLSVPNMartini、Kompella；支持MPLSOAM特性，方便用戶的管理和維護(hù)；與H3CMPLSVPNManage

30、r配合，實(shí)現(xiàn)圖形化的MPLS部署與維護(hù)。全面支持VPLS，VLL，還支持分層VPLS以及QINQ+VPLS接入方式，提供端到端2層VPN接入方案，支持MPLS/VPLS全線速轉(zhuǎn)發(fā)，滿足VPLS規(guī)模部署要求。5、高性能IPv4/IPv6業(yè)務(wù)能力H3cS7500E支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術(shù)，支持IPv4/IPv6的組播技術(shù)，為用戶提供完善的IPv4/IPv6解決方案；H3CS7500睞用分布式體系架構(gòu)，實(shí)現(xiàn)IPv4/IPv6業(yè)務(wù)的線速無阻塞轉(zhuǎn)發(fā)；H3CS7500E已經(jīng)通過了信息產(chǎn)業(yè)部的IPv6入網(wǎng)認(rèn)證和IPv6Read泮二階段認(rèn)證，是成熟商用的IPv6產(chǎn)品。6、有線無線一體化

31、，有源無源一體化H3CS7500E集成的無線控制模塊提供豐富的業(yè)務(wù)能力，包括精細(xì)的用戶控制管理、完善的RF管理及平安機(jī)制、快速漫游、超強(qiáng)的QoS和對IPv6的支持等；無線控制模塊通過與平安策略效勞器的聯(lián)動，實(shí)現(xiàn)對無線接入用戶的端點(diǎn)準(zhǔn)入防御，提高了整網(wǎng)的平安性。H3C7500E采用了支持AC功能的芯片設(shè)計(jì)，可拓展隨板AC功能，為客戶組建有線無線一體化網(wǎng)絡(luò)的提供更豐富的選擇。H3CS7500E是業(yè)界最高密度的以太網(wǎng)無源光網(wǎng)絡(luò)EPON設(shè)備，其提供高可靠的EPON系統(tǒng)，采用分布式體系構(gòu)造、模塊化設(shè)計(jì)，主控板冗余熱備份、無源背板、冗余電源支持雙路供電，具有電信級可靠性。EAD端點(diǎn)準(zhǔn)入防護(hù)技術(shù)H3CS75

32、00E支持大容量的Portal認(rèn)證功能，可以在數(shù)千用戶的局域網(wǎng)中做為EAD網(wǎng)關(guān)設(shè)備，為全網(wǎng)用戶提供EAD平安認(rèn)證功能；可以在大中型的校園網(wǎng)中擔(dān)任會聚/核心設(shè)備的同時(shí)，為學(xué)生宿舍區(qū)的認(rèn)證計(jì)費(fèi)提供Portal認(rèn)證功能。BYOD根底網(wǎng)絡(luò)架構(gòu)支持豐富的接入認(rèn)證方式，可以在數(shù)千用戶的局域網(wǎng)中做為認(rèn)證網(wǎng)關(guān)設(shè)備，為接入用戶提供平安認(rèn)證功能；也可以配合SSLVPN插卡，在大中型的園區(qū)網(wǎng)中擔(dān)任會聚/核心設(shè)備的同時(shí)作為VPN認(rèn)證網(wǎng)關(guān)。H3cS7500E為BYOD移動辦公特性提供了根底網(wǎng)絡(luò)架構(gòu)，便于拓展BYOD應(yīng)用如移動ERP、OA、UC&C等。9、云數(shù)據(jù)中心化技術(shù)作為企業(yè)級網(wǎng)絡(luò)核心設(shè)備，H3CS7500E系列產(chǎn)品

33、可以助力用戶沉著面對云數(shù)據(jù)中心化所需的一系列技術(shù)及解決方案：TRILL：隨著效勞器和交換機(jī)規(guī)模的增加，數(shù)據(jù)中心網(wǎng)絡(luò)越來越傾向于扁平化的網(wǎng)絡(luò)架構(gòu)以便于維護(hù)管理，這就要求構(gòu)建一個(gè)大型的二層網(wǎng)絡(luò)；H3CS7500E系列產(chǎn)品支持通過TRILL技術(shù)和縱向虛擬化技術(shù)來進(jìn)展數(shù)據(jù)中心大二層網(wǎng)絡(luò)的構(gòu)建。數(shù)據(jù)中心大二層技術(shù)TRILLTRansparentInterconnectionofLotsofLink，s多鏈路透明互聯(lián)協(xié)議將三層路由技術(shù)IS-ISIntermediateSystem-to-IntermediateSystem中間系統(tǒng)到中間系統(tǒng)的設(shè)計(jì)思路引入二層網(wǎng)絡(luò)，并對其進(jìn)展了必要的改造。從而將二層的簡單、

34、靈活性與三層的穩(wěn)定、可擴(kuò)展和高性能有機(jī)融合起來。MDC:H3CS7500E產(chǎn)品可以通過MDC技術(shù)實(shí)現(xiàn)正真的1:N的虛擬化，即把一臺交換機(jī)虛擬成N臺互相獨(dú)立的虛擬交換機(jī)，不同于傳統(tǒng)的交換機(jī)虛擬化技術(shù)，MDc虛擬出的每臺交換機(jī)之間物理隔離、平安隔離，擁有獨(dú)立的硬件資源和管理權(quán)限，各虛擬交換機(jī)間具備獨(dú)立的轉(zhuǎn)發(fā)表項(xiàng)及配置界面，配置、重啟互不影響這樣，滿足多業(yè)務(wù)客戶共享核心交換機(jī)的需求，這樣，一方面可以充分利用核心交換機(jī)的能力到達(dá)隔離復(fù)用的作用，另一方面也降低了用戶的投資本錢，一舉兩得。EVB:H3cS7500E產(chǎn)品支持EVB(EdgeVirtualBridging),通過VEPA(VirtualEth

35、ernetPortAggregator)技術(shù)將虛擬機(jī)產(chǎn)生的網(wǎng)絡(luò)流量上傳至與效勞器相連的物理交換機(jī)進(jìn)展處理，不僅實(shí)現(xiàn)了虛擬機(jī)間流量轉(zhuǎn)發(fā)，同時(shí)還解決了虛擬機(jī)流量監(jiān)管、訪問控制策略部署等問題。FCOE:H3CS7500E系列產(chǎn)品支持FCOE技術(shù)；FCOE技術(shù)主要用來解決云計(jì)算數(shù)據(jù)中心LAN網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)異構(gòu)的問題，通過FcoE和cEE技術(shù)的部署，可以實(shí)現(xiàn)數(shù)據(jù)中心前端網(wǎng)絡(luò)和后端網(wǎng)絡(luò)架構(gòu)的融合，解決數(shù)據(jù)、計(jì)算和存儲三網(wǎng)割裂的技術(shù)難題，從而大大降低數(shù)據(jù)中心的采購和擴(kuò)容本錢；EVI：H3cS7500E系列產(chǎn)品支持EVIEthernetVirtualInterconnection,以太網(wǎng)虛擬化互聯(lián)技術(shù)，EVI

36、是一種先進(jìn)的MACinIP技術(shù)，EVI解決方案部署非常簡單，基于現(xiàn)有的IP網(wǎng)絡(luò)，給分散的物理站點(diǎn)提供靈活的二層互聯(lián)功能，能夠?qū)崿F(xiàn)64個(gè)站點(diǎn)的互聯(lián)。10、全方位的平安保障，抵御多種網(wǎng)絡(luò)平安威脅11、三平面平安保障機(jī)制H3CS7500E提供完善的平安防護(hù)機(jī)制，可從控制、管理、轉(zhuǎn)發(fā)三平面全面保障網(wǎng)絡(luò)的平安：在控制平面，置協(xié)議報(bào)文攻擊識別模塊，防止T、ARP等協(xié)議報(bào)文攻擊，OSPF/BGP/IS-IS路由協(xié)議采用MD5驗(yàn)證，防止非法路由更新報(bào)文導(dǎo)致的網(wǎng)絡(luò)癱瘓；在管理平面，SNMPv3網(wǎng)管協(xié)議，SSHV2,基于802.1xAAA/Radius的用戶身份認(rèn)證以及分級的用戶權(quán)限管理保證了設(shè)備管理的平安性；在

37、轉(zhuǎn)發(fā)平面，支持IP、VLAN、MAC和端口等多種組合精細(xì)綁定；支持uRPF單播反向路徑轉(zhuǎn)發(fā)，防止非法流量訪問網(wǎng)絡(luò)，采用最長匹配逐包轉(zhuǎn)發(fā)機(jī)制，有效抵御病毒的攻擊。H3CS7500E還支持置的高性能防火墻、異常流量清洗等模塊，將專業(yè)的平安融入到交換機(jī)之中。12、有線無線全面支持EADH3CS7500E是EAD端點(diǎn)準(zhǔn)入防御解決方案的重要組成局部，S7500E可以動態(tài)的接收來自平安策略效勞器的控制策略，根據(jù)終端的平安狀態(tài)給予下發(fā)相應(yīng)的訪問權(quán)限。H3CS7500E既支持有線終端用戶的EAD，也支持無線終端用戶的EAD，能夠做到終端平安防無漏洞。13、增強(qiáng)的ACL特性H3CS7500E系列產(chǎn)品支持強(qiáng)大的A

38、CL能力：支持標(biāo)準(zhǔn)和擴(kuò)展ACL；支持基于VLAN的ACL，方便用戶配置，節(jié)省ACL資源；支持出方向和入方向的ACL，滿足金融等行業(yè)訪問權(quán)限嚴(yán)格控制的需求。電信級的高可靠性，保障用戶業(yè)務(wù)長期穩(wěn)定運(yùn)行14、電信級高可靠性設(shè)計(jì)H3CS7500E采用無單點(diǎn)故障設(shè)計(jì)，所有關(guān)鍵部件，如主控板、電源和風(fēng)扇等采用冗余設(shè)計(jì)；無源背板防止了機(jī)箱出現(xiàn)單點(diǎn)故障；所有單板和電源模塊支持熱插拔功能；H3cS7500E系列可以在惡劣的環(huán)境下長時(shí)間穩(wěn)定運(yùn)行，到達(dá)99.999的電信級可靠性。15、多業(yè)務(wù)高可靠性運(yùn)行H3CS7500E支持不連續(xù)轉(zhuǎn)發(fā)和優(yōu)雅重啟，提供毫秒級的切換時(shí)間；支持ISSU實(shí)現(xiàn)不中斷業(yè)務(wù)版本升級；支持等價(jià)路由

39、ECMP，可幫助用戶建立多條等值路徑，實(shí)現(xiàn)流量的負(fù)載均衡及冗余備份；支持RRPP快速環(huán)網(wǎng)保護(hù)協(xié)議；支持Smart-Link協(xié)議，保證雙上行網(wǎng)絡(luò)拓?fù)涞臉I(yè)務(wù)毫秒級快速切換。通過上述技術(shù)，H3CS7500E可以在承載多業(yè)務(wù)的情況下不連續(xù)運(yùn)行，實(shí)現(xiàn)業(yè)務(wù)的永續(xù)。16、基于IRF2架構(gòu)的HAIRF2技術(shù)可以把多臺S7500E虛擬成一個(gè)“聯(lián)合設(shè)備，使用和配置都如同一臺機(jī)器，而且擴(kuò)展端口數(shù)量和交換能力，同時(shí)也通過多臺設(shè)備之間的互相備份增強(qiáng)了設(shè)備的可靠性，提供毫秒級的鏈路收斂能力。簡化了管理過程，降低管理本錢，并可根據(jù)實(shí)際需求平滑擴(kuò)容網(wǎng)絡(luò)容量。支持基于硬件的豐富的OAM故障檢測機(jī)制，實(shí)現(xiàn)毫秒級鏈路故障檢測。17

40、、硬件級加密技術(shù)S7500E支持硬件級加密技術(shù)Macsec技術(shù)802.1ae,區(qū)別于傳統(tǒng)端到端根底應(yīng)用層保護(hù)的軟加密技術(shù)，Macsecffi過鑒別數(shù)據(jù)源的密碼技術(shù)保護(hù)管理橋接網(wǎng)絡(luò)和其他數(shù)據(jù)的控制協(xié)議，保護(hù)信息完整并提供再保護(hù)和效勞。通過確認(rèn)由該站發(fā)來的幀，可根源上保護(hù)2層協(xié)議受到的攻擊。增強(qiáng)的以太網(wǎng)供電能力PoE+H3cS7500繇列交換機(jī)可以支持802.3af/802.3a蹭強(qiáng)的以太網(wǎng)供電功能，單端口最大30W的輸出功率，可以為802.11n的無線接入點(diǎn)，可視IP，大功率的監(jiān)控?cái)z像頭以及更多的終端設(shè)備提供以太網(wǎng)供電能力。6.1.5超融合架構(gòu)物理融合及管理融合：超融合架構(gòu)把效勞器、網(wǎng)絡(luò)及存儲進(jìn)展了融合，并且搭載在統(tǒng)一管理平臺上進(jìn)展維護(hù)；而傳統(tǒng)架構(gòu)那么是全局部離的。存儲架構(gòu)：超融合采用分布式存儲，傳統(tǒng)架構(gòu)使用集中式存儲。3.網(wǎng)絡(luò)：超融合使用萬兆以太網(wǎng)，而傳統(tǒng)架構(gòu)多使用光纖交換機(jī)。4.可靠性方面：可以看出可靠性方面，超融合架構(gòu)的優(yōu)勢非