QM_北控數據中心建設方案教學內容

1、Good is good, but better carries it.精益求精，善益求善。QM_北控數據中心建設方案-數據中心建設方案需求提出：北京控股集團有限公司方案制作：北京啟迷科技有限公司制作時間：2014年7月10日第一部分方案設計說明一、項目工程范圍：地面、隔斷、吊頂等機房環(huán)境裝修工程電氣工程（機房供配電、UPS）通風工程（空調系統(tǒng)）機房監(jiān)控報警系統(tǒng)機房防雷接地保護系統(tǒng)服務器、存儲及網絡設備的綜合部署與搭建綜合布線及聯合調試二、項目概況隨著計算機網絡系統(tǒng)技術和設備的更新換代，安裝計算機及網絡系統(tǒng)設備的場地技術，即數據中心工程也在不斷地推陳出新。所采用的新材料、設備、工藝和技術，其目

2、的是為了更好地保證數據中心的溫度、濕度、潔凈度、照度、防靜電、防干擾、防震動、防雷電、及時監(jiān)控等，能充分滿足環(huán)境內設備的安全可靠地運行，延長系統(tǒng)使用壽命的要求，同時又要給系統(tǒng)管理員創(chuàng)造一個安全、舒適的工作環(huán)境。因此，在設計上要求充分考慮環(huán)境布局、功能劃分、整體效果、裝飾風格和設備及系統(tǒng)部署，體現現代數據中心的特點和風貌。北京控股集團有限公司成立于2005年1月18日，是北京市委、市政府加快首都國有資本戰(zhàn)略調整、做大做強少數關鍵企業(yè)，對京泰（實業(yè)）集團有限公司、北京控股有限公司和北京市燃氣集團有限責任公司進行聯合重組而成立的國有獨資公司，是北京市最大的國有企業(yè)之一，也是市委、市政府和市國資委規(guī)劃

3、的首都基礎設施和公用事業(yè)投融資平臺。成立以來，北控集團實現利潤總額始終名列北京市屬國有企業(yè)首位，并入選“中國最大500家企業(yè)集團”、“中國企業(yè)500強”。北控集團的主要業(yè)務為城市基礎設施和公用事業(yè)的投資、運營和管理。公司旗下的紅籌股公司北京控股有限公司是北京市最大的海外上市企業(yè)（HK0392），擁有北京燃氣集團、首都機場高速路、北京第九水廠和燕京啤酒等眾多優(yōu)質企業(yè)。其中，北京燃氣集團是全國最大的城市燃氣運營企業(yè)，供氣量占全北京市年用氣量的96%以上；首都機場高速路被稱為國門第一路，是目前連接首都國際機場與北京市中心的主要道路；北京第九水廠是目前北京市最大的地表水廠，其一期工程的自來水供應規(guī)模約

4、占北京市的五分之一。在今后的發(fā)展中，北控集團將按照“能源合一、服務合一”的經營模式，打造以燃氣為核心，以公用事業(yè)為主業(yè)，氣、熱、水、路多個強勢業(yè)務板塊彼此協同、相互支撐的業(yè)務格局，從而將自身打造成北京市綜合性城市公用事業(yè)建設運營服務商，為首都社會經濟發(fā)展作出應有的貢獻。數據中心裝修總面積約為200平方米。網絡接入為40MB光纖專線。集團企業(yè)郵局需要滿足300500用戶辦公應用。其他需求可參照現有北控大廈17層機房。本方案編制的目的是為北京控股集團有限公司數據中心建設，提供較為完整的綱領性技術文件，一旦項目開展，我公司將在此基礎上進行深化，用以指導工程施工與管理，確保優(yōu)質、高效、安全、文明地完成

5、該工程的建設任務。三、設計依據國家標準電子計算機機房設計規(guī)范(GB50174-93)國家標準計算站場地技術要求(GB2887-89)國家標準電子計算機機房施工及驗收規(guī)范(SJ/T30003-93)國家標準計算機機房活動地板的技術要求(GB6650-86)國家標準計算站場地安全技術(GB9361-88)國家標準電氣裝置安裝工程接地裝置施工及驗收規(guī)范(GB50169-92)中華人民共和國公共安全行業(yè)標準GA/T75-94安全防范工程程序與要求中華人民共和國計算機信息系統(tǒng)安全保護條例第二部分機房環(huán)境裝修設計一、隔斷工程隔斷采用不銹鋼邊框&12mm厚鋼化玻璃。鋼化玻璃隔斷近年正逐漸引入到網絡機房裝修中

6、。它具有隔音、隔熱、耐壓等特點，透視效果極佳，并增添機房的簡練與豪華感。整個機房四周的墻邊、墻角均做防水處理。玻璃與吊頂、地板交接處安裝亞光不銹鋼踢腳板線。機房及辦工區(qū)內隔斷采用不銹鋼大框玻璃隔斷，隔斷與天花、地板交接處裝不銹鋼角線。二、地面工程機房地板采用架空地板，為使水泥砂漿地面達到不起塵、不產塵、保證空調送風系統(tǒng)的空氣潔凈度，地面需要先涮防塵漆做防塵處理。活動地板的種類較多，根據板基材料可分為：鋁合金、全鋼、中密度刨花板。它們的表面都是粘貼抗靜電貼面。我們?yōu)楸緳C房選用全鋼防靜電活動地板，可與地面裝飾效果相協調。地板安裝高度為0.3M。地板與墻體交界處用不銹鋼踢腳板封邊。機房大門入口處做踏

7、步鋪塑膠地板。三、門窗工程整個機房區(qū)及辦公區(qū)的不銹鋼無框玻璃隔斷上的門均為不銹鋼無框玻璃自由門。四、天花吊頂工程根據網絡機房的具體建筑結構情況，整個機房為了確保機房的保溫和消防需要；全部采用微孔鋁制天花板進行鋪設，該天花板美觀、耐用，防火、防潮，同時與機房屏蔽網一起組成一個完整的屏蔽系統(tǒng)，具抗靜電、抗干擾的作用。為保持機房環(huán)境廉潔度和保持機房溫度均衡，建議采用鋁泊制保溫棉作天花、墻面、地面保溫使機房具有防潮、防塵、保溫的性能。五、墻面裝飾工程墻面處理是指采用在主機房建筑物的墻面、柱面上進行防塵、防潮、防水、保溫處理，同時使房屋內部平整、光滑，清潔美觀，改善采用光條件，增強保溫、隔熱、隔音、防塵

8、等性能從而改善環(huán)境條件。主機房墻面、地面及梁面上刷防霉、防潮漆，涂防水油膏，進行防塵處理、確保潔凈度高、不產生粉塵、耐久性高、不產生龜裂、眩光，同時起到防水、防潮、防霉的效果。機房應采用優(yōu)質鋁塑板，在選擇墻面板材料時，要求能滿足屏蔽系統(tǒng)和等電位系統(tǒng)的需求。優(yōu)質鋁塑板生產流程采用目前最新技術及工藝，外觀光亮，且性能價格比優(yōu)，因此優(yōu)質鋁塑板無疑是最佳的方案。在現代科技及工業(yè)的高速發(fā)展，材料領域的廣泛應用中，優(yōu)質鋁塑板飾面光學效果，潔凈程度、安全性，施工質量、施工條件均為最佳，優(yōu)質鋁塑板還能滿足屏蔽系統(tǒng)的需求。施工時，我們主要有以下四個步驟進行：平整墻面，使用水泥沙漿找平，為下一步提供良好的工作面；

9、采用2mm厚的輕鋼龍骨，把它固定到墻面上，成為未來裝飾墻面的骨架，同時預留屏蔽接地的引出線，（分布在不同位置的六處地方，形成多點連接）；選取9mm的優(yōu)質埃特板，固定到龍骨上；選取3mm的銀白色的鋁塑板沾在埃特板上，接封處采用銀白色玻璃膠封邊。第三部分配電系統(tǒng)設計一、主要考慮因素及設計方案系統(tǒng)能夠正常工作，不僅需要有良好的主設備、性能卓越的UPS電源和安全舒適的工作環(huán)境，還需要有一個設計合理、可靠性高的供配電系統(tǒng)。我們?yōu)樵擁椖靠紤]與設計的內容如下：機房內用電設備供電電源均為三相五線制及單相三線制，采用雙回路供電。用電設備作接地保護，并入土建大樓配電系統(tǒng)。機房用電設備、配電線路裝置過流過載兩段保護

10、，同時配電系統(tǒng)各級之間有選擇性地配合，配電以放射式向用電設備供電。機房配電系統(tǒng)所用電線阻燃聚氯乙烯絕緣導線，敷設噴塑橋架、鍍鋅鐵管及金屬軟管。機房的設備供電和空調照明供電分為兩個獨立回路，其中設備供電由UPS提供并按設備總用電量的1.3倍進行預留，而空調照明用電由市電提供并按空調設備的要求供配。機房內照明裝置宜采用機房專用無眩光燈盤，照明亮度大于300LUX，事故照明亮度應大于60LUX。機房內的配電系統(tǒng)考慮了與應急照明系統(tǒng)的自動切換。該機房電源進線正常時由市電供電,市電故障時由UPS供電，進線直接引入機房專用配電柜總輸入開關。機房設計了一個市電配電箱，對機房的市電進行配電，配電箱為機房專用標

11、準配電箱，配備低壓開關。柜內配有市電備用回路，安裝防雷保護器。機房設計了UPS配電箱，對機房的UPS電進行配電，配電箱為機房專用標準配電箱，配備低壓開關。箱內配有UPS電源備用回路，安裝防雷保護器。機房所有插座均采用普通電源插座和彈起式銅插座，普通電源插座安裝在墻壁上，彈起式電源插座安裝在防靜電地板上，美觀大方。二、配電設備及材料選型機房配電工程所需的配電柜、燈具、單相插座、蹺板開關、多聯萬用插座板、導線、電纜等均采用國產或進口的電氣優(yōu)質產品，經實踐證明產品質量可靠。三、配電系統(tǒng)設計空調照明部分：該部分采用機房專用配電箱來完成，它接到總配電室送過來的市電電源，通過總電源開關，輸出到分支回路中。

12、UPS電源部分：該部分采用機房專用配電箱來完成，它接到UPS送過來的單路電源，通過100A總電源開關，輸出到分支回路中。四、UPS不間斷電源設計具體描述UPS的技術性能指標有四大類：1)對電網的適應能力；2)滿足負載要求的UPS常規(guī)輸出指標；3)UPS的輸出能力和可靠性；4)智能管理和通信功能。a選擇大功率UPS兼顧考慮UPS的輸入功率因數和輸入電流諧波（電力公害問題）。b要考慮UPS的輸出能力。c要考慮效率與可靠性我們在本項目所采用的UPS不間斷電源需要滿足機房所有用電設備的額定需求。第四部分空調工程設計主機房、備用電源區(qū)域及監(jiān)控室，采用地板下送風，天花下自然回風。設置2臺制冷量不小于130

13、KW的下送風精密空調，采用一主一備冗余方式，可滿足溫濕度的要求?？照{加濕水由同樓層（或下一樓層）供水管引入。冷凝排水通過專用排水管排到下一樓層。加濕水管進入機房前，在可操作的位置加裝開關閥門及電磁閥。在加濕水、冷凝排水的管道須避計算機放置區(qū)域，在機房內經過時，在機房內圍繞計算機設備和配電設施放置區(qū)域，設置圍水堰，防止水漏入機房區(qū)間?？照{位置區(qū)設置防倒灌地漏。排氣系統(tǒng)的選擇依照機房功能分區(qū)的設立，我們設置各分區(qū)的排氣系統(tǒng)。它可以使機房工作人員有一個好的空氣環(huán)境條件，排氣系統(tǒng)采用吊頂天花內安裝，不占用機房空間。我們?yōu)闄C房設計吸頂式排氣扇，設備間和工作間各裝2個，定時開啟，排除房間內的污濁空氣。第五

14、部分機房監(jiān)控系統(tǒng)根據數據中心的安全及日常管理需要，我們考慮采用與大樓閉路監(jiān)控主機為主的安防系統(tǒng)，并主要針對數據中心的主機房、UPS配電室、監(jiān)控室、通道4個區(qū)域共安裝8-10個監(jiān)控攝像頭，用于視頻監(jiān)控，使得數據中心周邊及機房核心區(qū)域不留死角，充分保障數據中心安全。第六部分機房防雷接地方案一、前言網絡機房內集中了大量微電子設備，而這些設備內部結構高度集成化（VLSI芯片），從而造成設備耐過電壓、耐過電流的水平下降，對雷電（包括感應雷及操作過電壓）浪涌的承受能力下降。感應雷侵入用電設備及計算機網絡系統(tǒng)的途徑主要有四個方面：交流電源380V、220V電源線引入；信號傳輸通道引入；地電位反擊以及空間雷閃

15、電磁脈沖(LEMP)等。為了確保機房設備及電腦網絡系統(tǒng)穩(wěn)定可靠運行，以及保證機房工作人員有安全的工作環(huán)境，根據我國及國際有關規(guī)范規(guī)定，提出本防雷接地方案。二、設計依據1.建筑物防雷設計規(guī)范GB50057-942.電子計算機房設計規(guī)范GB50174-933.通信局(站)接地設計暫行技術規(guī)定YDJ26-894.計算機場站安全要求GB9361-885.計算站場地技術要求GB28876.電信專用房屋設計規(guī)范YD5003-941.民用建筑電氣設計規(guī)范JGJ/T16-928.CCITT藍皮書K.11建議過電壓和過電流防護的原則9.CCITT通信線路和通信設備的防雷手冊10.InterStandardIec

16、1312-1nationalProtectionAgainstLEMP11.InternationalStandardIEC1643-1SurgeProtectionDevices三、接地處理利用建筑物基礎地作防雷地及電源地?，F代建筑基礎使用大面積鋼筋綁扎，柱子主鋼筋及四周墻體鋼筋直通到達屋頂女兒墻防雷帶。其接地電阻值一般都能滿足GB5005794的要求，即4。機房一般有四種接地形式，即：計算機專用直流邏輯地、交流工作地、安全保護地、防雷保護地。本次設計考慮采用原接地極，并采用聯合接地方式；接地電阻應小于歐姆。直流工作地在大樓計算機機房內的布局，是作數字電路等電位地網（或邏輯接地接地網）。該網

17、用銅排在活動地板下，依據計算機設備布局，縱橫組成網格，配有專用接地端子，用編織軟銅線以最短的長度與計算機設備相連。計算機直流地需用接地干線引下至接地端子。四、供電系統(tǒng)根據有關規(guī)范，本方案設計該機房供配電防雷方案如下：一級防雷：配電柜電源進線處接大容通量的電源防雷器。變壓器的機殼、低壓側的交流零線以及與變壓器相連的電力電纜的金屬外護層應就近接地。二級防雷：UPS配電箱引出的三根相線及零線接防雷器，箱內交流零線不作重復接地。機房內所布放的交流供電線路中的中性線（零線），應采取絕緣導線。交流配電箱上的中性線（零線）匯集排應與機架的正常不帶電金屬部分絕緣。三級防雷：使用專用的避雷電源插座。機房內所有交

18、直流用電及配電設備均應采取接地保護。交流保護接地線應從接地匯集線上專引，嚴禁采用中性線作為交流保護接地線。五、使用防雷器注意事項防雷保護器必須通過接地端以盡可能短的路徑接地。主機房內所有設備采有單點接地法，即所有地線全部接到直流接地匯集排上，再由匯集排與直流地網相連。設備安裝時，應與大樓的外墻及柱子保持一定的安全距離。信號防雷器連接必須與數據進線方向一致。不同類型的數據傳輸線應選用不同類型的保護器。六、方案設計根據網絡機房的實際情況，我們?yōu)榧追皆O計了一套獨立接地系統(tǒng)和防雷系統(tǒng)：防雷系統(tǒng)我們設計安裝2個電源避雷器，分別安裝在市電配電箱和UPS電源配電箱中，防止感應雷對電源系統(tǒng)的攻擊，（對于直擊雷

19、，大樓避雷針系統(tǒng)進行防護）；接地系統(tǒng)中，我們在機房內部防靜電地板下邊利用紫銅做一個等電位帶，為機房設備提供接地點，同時在大樓外側，我們利用鍍鋅角鋼和鍍鋅扁鐵建立獨立的接地網系統(tǒng)，兩者之間采用35平方毫米的銅導線連接，使之成為一體。第七部分服務器、存儲及網絡設備的綜合部署與搭建本數據中心需要滿足內、外網的大量用戶與數據交互，涉及到互聯網、財務系統(tǒng)、辦公網絡的綜合業(yè)務處理，根據需求，拓撲結構如下圖：其中核心交換機互相熱備、可切換。財務服務器做集群。存儲做陣列、并可互相熱備可切換。WEB服務器前后端分離，與OA服務器和郵件服務器均為一用一備，并通過虛擬化環(huán)境進行管理與維護。樓層間網絡交換與下屬公司、

20、外聯網絡做網段劃分。同時考慮到設備的采購成本、維護成本及使用成本和質量與穩(wěn)定性，我們提供了兩套可選設備的選購范圍，主要區(qū)別為優(yōu)秀的國有自主品牌以及市場選用較多的國際化品牌，詳見“第九部分服務器、存儲、網絡設備采購方案”網絡安全網絡安全部署思路本次信息建設雖然僅包括數據中心、內網樓層以及廣域網中心部分的改造和建設，但也必須從全局和架構的高度進行統(tǒng)一的設計。建議采用目前國際最新的“信息保障技術框架（IATF）”安全體系結構，其明確提出需要考慮3個主要的因素：人、操作和技術。本技術方案著重討論技術因素，人和操作則需要在非技術領域（比如安全規(guī)章制度）方面進行解決。技術因素方面IATF提出了一個通用的框

21、架，將信息系統(tǒng)的信息保障技術層面分為了四個技術框架域：網絡和基礎設施：網絡和基礎設施的防護飛地邊界：解決邊界保護問題局域計算環(huán)境：主機的計算環(huán)境的保護支撐性基礎設施：安全的信息環(huán)境所需要的支撐平臺并提出縱深防御的IA原則，即人、技術、操作相結合的多樣性、多層疊的保護原則。如下圖所示：主要的一些安全技術和應用在框架中的位置如下圖所示：我們在本次網絡建設改造中需要考慮的安全問題就是上圖中的“網絡和基礎設施保護”、“邊界保護”兩個方面，而“計算機環(huán)境（主機）”、“支撐平臺”則是在系統(tǒng)主機建設和業(yè)務應用建設中需要重點考慮的安全問題。設備級安全防蠕蟲病毒的等DOS攻擊數據中心雖然沒有直接連接Intern

22、et，但內部專網中很多計算機并無法保證在整個使用周期內不會接觸互聯網和各種移動存儲介質，仍然會較多的面臨大量網絡蠕蟲病毒的威脅，比如RedCode，SQLSlammer等等，由于它們經常變換特征，防火墻也不能完全對其進行過濾，它們一般發(fā)作的機理如下：利用MicrodsoftOS或應用的緩沖區(qū)溢出的漏洞獲得此主機的控制權獲得此主機的控制權后，安裝病毒軟件，病毒軟件隨機生成大量的IP地址，并向這些IP地址發(fā)送大量的IP包。有此安全漏洞的MSOS會受到感染，也隨機生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。導致阻塞網絡帶寬，CPU利用率升高等直接對網絡設備發(fā)出錯包，讓網絡設備CPU占用率升高

23、直至引發(fā)協議錯誤甚至宕機防VLAN的脆弱性配置在數據中心的不同安全域進行防火墻訪問控制隔離時，存在多個VLAN，雖然廣泛采用端口捆綁、vPC等技術使正常工作中拓撲簡化甚至完全避免環(huán)路，但由于網絡VLAN多且關系復雜，無法在工程上完全杜絕諸如網絡故障切換、誤操作造成的臨時環(huán)路，因此有必要運行生成樹協議作為二層網絡中增加穩(wěn)定性的措施。但是，當前有許多軟件都具有STP功能，惡意用戶在它的PC上安裝STP軟件與一個Switch相連，引起STP重新計算，它有可能成為STPRoot,因此所有流量都會流向惡意軟件主機,惡意用戶可做包分析。局域網交換機應具有Rootguard（根橋監(jiān)控）功能，可以有效防止其它

24、Switch成為STPRoot。本項目我們在所有允許二層生成樹協議的設備上，特別是接入層中都將啟動RootGuard特性，另外Nexus5000/2000還支持BPDUfilters,BridgeAssurance等生成樹特性以保證生成樹的安全和穩(wěn)定。還有一些惡意用戶編制特定的STP軟件向各個Vlan加入，會引起大量的STP的重新計算，引起網絡抖動，CPU占用升高。本期所有接入層交換機的所有端口都將設置BPDUGuard功能，一旦從某端口接收到惡意用戶發(fā)來的STPBPDU,則禁止此端口。大量使用了三層交換機，在發(fā)送數據前其工作方式同路由器一樣先查找ARP，找到目的端的MAC地址，再把信息發(fā)往目

25、的。很多病毒可以向三層交換機發(fā)一個冒充的ARP,將目的端的IP地址和惡意用戶主機的MAC對應，因此發(fā)往目的端的包就會發(fā)往惡意用戶，以此實現包竊聽。在Host上配置靜態(tài)ARP是一種防止方式，但是有管理負擔加重，維護困難，并當通信雙方經常更換時，幾乎不能及時更新。本期所使用的所有三層交換機都支持動態(tài)ARPInspection功能，可動態(tài)識別DHCP，記憶MAC地址和IP地址的正確對應關系，有效防止ARP的欺騙。實際配置中，主要配置對Server和網絡設備實施的ARP欺騙，也可靜態(tài)人為設定，由于數量不多，管理也較簡單。防止DHCP相關攻擊樓層網段會采用DHCPServer服務器提供用戶端地址，但是卻

26、面臨著幾種與DHCP服務相關的攻擊方式，它們是：DHCPServer冒用：當某一個惡意用戶再同一網段內也放一個DHCP服務器時，PC很容易得到這個DHCPserver的分配的IP地址而導致不能上網。惡意客戶端發(fā)起大量DHCP請求的DDos攻擊：惡意客戶端發(fā)起大量DHCP請求的DDos攻擊，則會使DHCPServer性能耗盡、CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池應采用如下技術應對以上常見攻擊：防DHCPServer冒用：此次新采購的用戶端接入交換機應當支持DHCPSnoopingVACL,只允許指定DHCPServer的服務通過，其它的DHCPServer的服務不能

27、通過Switch。防止惡意客戶端發(fā)起大量DHCP請求的DDos攻擊：此次新采購的用戶端接入交換機應當支持對DHCP請求作流量限速，防止惡意客戶端發(fā)起大量DHCP請求的DDos攻擊，防止DHCPServer的CPU利用率升高。惡意客戶端偽造大量的MAC地址惡意耗盡IP地址池：此次新采購的用戶端接入交換機應當支持DHCPoption82字段插入，可以截斷客戶端DHCP的請求，插入交換機的標識、接口的標識等發(fā)送給DHCPServer；另外DHCP服務軟件應支持針對此標識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。網絡級安全網絡級安全是網絡基礎設施在提供連通性服務的基礎上所增值的

28、安全服務，在網絡平臺上直接實現這些安全功能比采用獨立的物理主機實現具有更為強的靈活性、更好的性能和更方便的管理。本項目我司主要提供訪問控制和隔離（防火墻技術）。安全區(qū)域劃分數據中心安全域的劃分需要建立在對數據中心應用業(yè)務的分析基礎之上，因而與前述的虛擬服務區(qū)的劃分原則一致。實際上按SODC的虛擬化設計原則，每一個虛擬服務區(qū)應當對應唯一的虛擬防火墻，也即對應唯一的一個安全域。具體原則如下：同一業(yè)務一定要在一個安全域內有必要進行安全審計和訪問控制的區(qū)域必須使用安全域劃分需要進行虛擬機遷移的虛擬主機要在一個安全域中劃分不宜過細，安全等級一致的業(yè)務可以在安全域上進行歸并，建議一期不超過5個安全域一般可

29、以劃分為：OA區(qū)，應用服務區(qū)，數據庫區(qū)，開發(fā)測試區(qū)等。防火墻部署策略不同安全域之間的訪問控制策略由于虛擬化設計而只需考慮各個安全域內出方向策略和入方向策略即可。建議初始策略依據如下原則設定，然后根據業(yè)務需求不斷調整：出方向上不進行策略限制，全部打開入方向上按“最小授權原則”打開必要的服務允許發(fā)自內部地址的雙方向的ICMP，但對ICMP進行應用檢查（Inspect）允許發(fā)自內部地址的TraceRoute，便于網絡診斷關閉雙方向的TCPSeqRandomization，在數據中心內的防火墻可以去除該功能以提高轉發(fā)效率減少或者不進行NAT，保證數據中心內的地址透明性，便于ACE提供服務關閉nat-c

30、ontrol（此為默認），關閉xlate記錄，以保證并發(fā)連接數對每個虛擬防火墻的資源進行最大限定：總連接數，策略數，吞吐量，基于每個虛擬防火墻設定最大未完成連接數（EmbryonicConnection），將來升級到定義每客戶端的最大未完成連接數智能主動防御傳統(tǒng)的不停的打補丁和進行特征碼升級的被動防御手段已經無法適應安全防御的要求，必須由網絡主動的智能的感知網絡中的行為和事件，在發(fā)生嚴重后果之前及時通知安全網絡管理人員，甚至直接聯動相關的安全設備，進行提早措施，才能有效減緩危害。要實現這種智能的主動防御系統(tǒng)，需要網絡中進行如下部署：對桌面用戶的接入進行感知和相應措施對桌面用戶的行為進行分析和感

31、知對全網安全事件、流量和拓撲進行智能的分析、關聯和感知對各種信息進行綜合分析然后進行準確的報告第八部分機房設備材料清單序號分項分部工程項目單位數量品牌一、機房裝修工程墻面及隔斷裝修工程1機房隔斷天地支架制作2機房鋼化玻璃隔斷制作3機房亞光不繡鋼板地腳線、天角線4墻面9mm厚中密度板底板5墻面輕鋼龍骨6機房鋁塑板墻面7墻面防塵、防潮處理工程地面工程1地面防塵、防潮漆2地臺保溫處理3無邊防靜電活動地板（600*600毫米）4抗靜電地板安裝輔板5辦公區(qū)地面整理工程6緩沖區(qū)塑膠地板天花及照明工程1微孔鋁扣板天花23*40W高級無眩光燈盤（含燈管）3消防疏散指示燈440W日光燈應急器門窗工程1防火防盜門

32、2鋼化玻璃單門3玻璃門用高級拉手4門禁系統(tǒng)二、機房布線及配電工程1市電配電箱2100A/3P空氣開關363A/3P空氣開關416A/1P空氣開關5100A/3P空氣開關663A/3P空氣開關716A/1P空氣開關8電源插座（彈起式銅插座）9電源插座1010平方毫米電源線116平方毫米電源線124平方毫米電源線132.5平方毫米電源線14噴塑金屬保護線槽300*150*1.215其他輔助材料（線鼻、線耳等）三、機房設備1精密空調2吸頂式排氣扇3電池箱及連線4機房監(jiān)控系統(tǒng)（8-10監(jiān)控攝像頭）5標準機柜四、機房防雷接地工程1電源避雷器2防雷插座DNS-3D3地網保護器4避雷器安裝箱5避雷器保護開關6電話語音避雷子7銅導線8紫銅排等電位帶9直流接地地極10輔助材料第九部分服務器、存儲、網絡設備采購清單方案一：名稱品牌型號數量單價（元）合計（元）服務器OA服務器IBM2臺HR服務器IBM2臺檔案存儲服務器HP1臺檔案應用服務器HP1臺WEB系統(tǒng)服務器IBM2臺郵件系統(tǒng)服務器IBM2臺財務服務器IBM7臺企業(yè)