XXX高级人民法院网络系统设计
解决方案
第一章 前言 ........................................................................................................................................ - 2 - 第二章 需求分析 ................................................................................................................................ - 3 - 第三章 总体建设方案 ........................................................................................................................ - 4 - 2.1 2.2 2.3 2.4 2.5 2.6 2.6.1 2.6.2 2.7 2.7.1 2.7.2 2.7.3 2.8 2.8.1 2.8.2 2.9 2.9.1 2.9.2 2.9.3 2.10
方案设计原则 ..................................................................................................................... - 4 - 方案建设目标 ..................................................................................................................... - 5 - 整体网络架构 ..................................................................................................................... - 6 - 网络详细设计 ..................................................................................................................... - 7 - 局域网设计方案 ................................................................................................................. - 7 - 网络层安全设计方案 ......................................................................................................... - 9 - 网络安全风险分析 ........................................................................................................ - 9 - 网络层安全解决方案 .................................................................................................. - 11 - 终端信息安全管理设计方案 ............................................................... 错误!未定义书签。 网络接入管理解决方案 ................................................................... 错误!未定义书签。 补丁分发解决方案 ........................................................................... 错误!未定义书签。 桌面终端管理 ................................................................................... 错误!未定义书签。 统一网络管理平台设计方案(先请咨询邓霄博) ............................ 错误!未定义书签。 网络管理的必要性 ........................................................................... 错误!未定义书签。 网络管理解决方案 ........................................................................... 错误!未定义书签。 整体方案特点 ................................................................................................................... - 19 - 网络结构安全可靠 ...................................................................................................... - 19 - 网络终端安全管理 ........................................................................... 错误!未定义书签。 网络精细化管理 .......................................................................................................... - 19 - 硬件配置建议 ................................................................................................................... - 19 -
第四章 产品介绍 .............................................................................................................................. - 22 - 第五章 案例介绍 .............................................................................................................................. - 36 -
- 1 -
第一章 前言
“天平工程”建设目标是初步完成全国各级人民法院以司法审判信息资源管理为核心的网络和软硬件设施建设、安全和配套设施基本到位,实现案件审判工作及其它各项工作管理全过程的科学化、规范化、实体化和协同化,促进和保障人民法院在全社会实现“公正与效率”、“司法统一”、“司法便民为民”的目标。
通过“天平工程”的建设提高各级人民法院审判效率,促进司法公正。为了实现政务目标,针对人民法院主要业务提出各项业务目标,使各级人民法院审判管理业务、审判监督业务、审判支持业务、司法信息公开业务及内部管理等业务能力和水平显著提高。
完善法院司法审判信息系统,完善高级人民法院、中级人民法院和基层人民法院的信息系统建设,在实现各级法院的信息联网基础上进行全国范围内司法审判信息的查询、统计、汇总和分析等数据挖掘、数据分析功能建设,具备与党委、人大、政府、政协、检察院等相关部门信息共享的能力,全面提高我国司法审判水平。
- 2 -
第二章 需求分析
各级人民法院基础业务支撑平台和综合信息交换平台是人民法院业务网络的重要组成部分。人民法院基础业务支撑平台和综合信息交换平台的业务需求是功能和性能上要求能够支持数据、语音和视频业务,应当满足数据传输、交换、共享和综合应用,同时满足各级人民法院综合信息交换平台间的数据、音视频信息通信和视频会议、远程诉讼、案件异地讨论和远程培训等音视频的传输需求。
为解决案件审判质量和审判效率及产生的审判效果相关问题,需要人民法院依据职能,建立相关信息化基础设施。
1、建设和完善审判管理信息系统,加强和规范立案、审理、执行、归档、信访工作的信息化、网络化。最大限度的解决由于人民法院和法官的失误而导致的审判问题,有效的降低因此而发生的涉诉上访问题。并最终形成司法案例库用以指导审判工作。
2、建设和完善各级人民法院之间、人民法院与其它政法机关之间、人民法院与监狱之间、人民法院与其它需要协同的部门之间,人民法院与当事人、律师之间的网络,并建设传输交换系统,有效的解决因沟通不畅,信息掌握不全,信息不一致等原因引起的审判和信访问题。
4、利用信息技术手段搜集司法绩效考核信息、法官绩效考核信息等,协助本级法院对法官、上级法院对下级法院和法官的司法监督和司法指导工作。利用音视频信息传输技术,建设庭审音视频信息系统,信访听证音视频信息系统等。对有必要录音或录像的案例进行录音录像,同时为上级法院监督提供支持。
5、建设和完善人民法院日常工作支持信息系统,提高工作效率。
- 3 -
第三章 总体建设方案 3.1、 方案设计原则
基于对XXX省高级法院业务需求的深入理解,结合自身产品和技术特点,迈普公司推出了了完善的XXX省高级法院网络解决方案,为XXX省高级法院提供“高扩展、多业务、高安全”的精品网络。
XXX省高级法院网络建设遵循以下基本原则: 高带宽
XXX省高级法院网络是一个庞大而且复杂的网络,为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
XXX省高级法院网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到XXX省高级法院用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,XXX省高级法院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
- 4 -
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3.2、 方案建设目标
基础业务支撑平台建设内容是满足人民法院基础业务应用要求的网络系统设备、计算与存储备份环境、法庭审判音视频信息系统支撑环境、各项业务应用和安全系统支撑环境。
1)建设和完善全国各级人民法院基础业务支撑平台,为人民法院审判工作和其它各项工作管理提供网络系统、法庭审判音视频信息管理和应用系统运行环境的支撑与服务;
2)依托本级法院局域网环境,建设和完善覆盖中级以上人民法院和基层法院的综合信息交换平台,实现人民法院间审判信息和其它各类信息的应用与管理,保障网络与信息的安全传输与可信交换。
3)在全国各级人民法院建设司法、监测分析、宏观决策、司法公开和内部管理等五大类作业子系统,全面提高人民法院审判工作的公正性和透明度,实现人民法院审判工作的科学化、规范化、实体化管理。
4)以人民法院司法审判信息资源管理和应用为核心,建设覆盖最高人民法院、高级人民法院和中级人民法院的三级司法信息资源库;建设最高人民法院和高级人民法院二级数据中心,实现中级以上人民法院诉讼信息的综合应用,为人民法院审判工作、最高院司法资源的整合和配置、最高院对市中院场经济秩序的宏观分析、最高院立法等提供翔实的信息支持和服务。
5)建设全国法院执行案件信息管理系统及统一的执行威慑门户系统,形成全国法院执行威慑体系,并与政府相关部门工作协同,为银行、工商、海关等部门提供信息联动服务。
6)建设人民法院业务网络统一门户系统,为全国各级人民法院提供统一登录入口和高效综合信息交换业务服务的门户网站。
7)完善人民法院互联网网站内容建设,提供网上诉讼指南、法律及法规查询、案例查询等司法便民服务。
- 5 -
3.3、 整体网络架构
在XXX省高级法院网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。典型的网络结构可以分成三层:接入层、汇聚层、核心层。
1) 接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。对于法院网络的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、高级QoS策略等功能。
2) 汇聚层:汇聚来自配线间的流量和执行策略,当路由协议应用于这一层时,具有负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于法院网络的汇聚层设备,应该能够承载校园园区的多种融合业务,能够融合了MPLS、IPv6、网络安全、无线等多种业务,提供不间断转发、环网保护等多种高可靠技术,能够承载法院融合业务的需求。
3) 核心层:网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的环网结构或多设备冗余的星型结构。对于法院网络核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为法院构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
- 6 -
3.4、 网络详细设计
3.5、 局域网设计方案
高院网络基础网络设计方案
对于高院局域网络建设,本次建设采用内外网物理隔离的方式。推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务,整网配置OSPF协议,网络故障收敛速度快、易于管理和维护。VLAN终结在接入端口,限制广播域范围,较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换,利用网络中存在的等价多路径实现业务流量的负载分担。
- 7 -
网络按照分层、模块化的思路进行设计和规划,根据业务、区域等规划因素进行模块化区域划分,每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备,支持OSPF。在接入层设备上提供千兆端口接入。接入层千兆双归属到汇聚层设备,提供链路冗余备份。区域汇聚核心间提供千兆链路连接,双机备份和加速路由收敛。汇聚层千兆双归属到网络核心,根据实际带宽需要也可千兆链路捆绑双上行到核心,汇聚层可采用堆叠设备,它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理,而且支持热插拔,不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接,完成高速数据交换和双机热备份。
内网部分:
核心采用两台迈普的MyPower S6800-08A核心交换机承担全网的数据转发,汇聚采用迈普的MyPower S4200-28FC实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的MyPower S3200系列交换机。根据XXX省高法大楼的建设需求,一号楼每层52个信息点,总共13层。所以每层放置一台24口和一台
- 8 -
48口个接入交换机,总共使用3个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。二号楼每层34个信息点的接入,总共9层。每层放置一台48口接入交换机,每4层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
外网部分:
核心采用两台迈普的MyPower S6800-08A核心交换机承担全网的数据转发,汇聚采用迈普的MyPower S4200-28FC实现对接入交换机的接入,分担核心交换机的压力,接入层采用迈普的MyPower S3200系列交换机。根据XXX省高法大楼的建设需求,一号楼每层52个信息点,总共13层。所以每层放置一台24口和一台48口个接入交换机,总共使用3个汇聚交换机即可,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。二号楼每层34个信息点的接入,总共9层。每层放置一台48口接入交换机,每4层使用一个汇聚交换机,接入交换机通过双光纤链路连接至汇聚交换机,汇聚交换机通过双光纤链路上联至核心。
在互联网区放置两台迈普MSG 4000-G4实现互联网出口的审计、行为管理、防火墙等功能,保障高法网内的安全性。
3.6、 网络层安全设计方案 3.6.1、 网络安全风险分析
首先应在对法院网络安全风险分析的基础上,做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络(VLAN)、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等,并实现集中统一的配置、监控、管理;最后,应加强有关网络安全保密的各项制度和规范的制定,并予以严格实行。
为了便于分析网络安全风险和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果及目前主要面
- 9 -
临的问题设计出符合具体实际的、可行的网络安全整体解决方案。
1. 物理层的安全风险分析
网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用,它是整个网络系统安全的前提。如:
设备被盗、被毁坏
链路老化或被有意或者无意的破坏 因电子辐射造成信息泄露 设备意外故障、停电 地震、火灾、水灾等自然灾害
因此,法院网络在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障,计算机系统通过无线电辐射泄露秘密信息等。
2. 网络层安全风险分析 重要数据被破坏
由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于法院来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
网络边界风险分析
由于当发生安全事件希望把造成的影响降到最低,因此在做安全系统设计时需要按照实际网络情况划分网络边界以达到隔离网络的目的。
3. 应用层安全风险分析
由于法院对外提供网上WWW服务,因此存在外网非法用户对内部网和服务器的攻击。
身份认证漏洞
服务系统登录和主机登录使用的是静态口令,口令在一定时间内是不变的,且在数据库中有存储记录,可重复使用。这样非法用户通过网络窃听,非法数据库访问,穷举攻击,重放攻击等手段很容易得到这种静态口令,然后,利用口令,
- 10 -
可对资源非法访问和越权操作。
对法院的网上服务平台,必须加强用户的身份认证,防止对法院网络资源的非授权访问以及越权操作。
www服务漏洞
Web Server目前正在成为法院对外宣传、开展业务的基地,但公开服务器本身不能保证没有漏洞,不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG,使得黑客可以远程对公开服务器发出指令,从而导致对系统进行修改和损坏,包括无限制地向服务器发出大量指令,以至于服务器“拒绝服务”,最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力,防止拒绝服务(DOS)或分布式拒绝服务(DDOS)之类的恶意攻击,提高服务器备份与恢复、防篡改与自动修复能力。
电子邮件系统漏洞
电子邮件为网络系统用户提供电子邮件应用。内部网用户进行电子邮件发送和接收时存在被黑客跟踪或收到一些恶意程序(如,特洛伊木马、蠕虫等)、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
3.6.2、 网络层安全解决方案
依照法院安全保障体系规划,本章提出安全技术体系的具体配置部署方案。 1. 防火墙分系统
访问控制分系统是信息安全体系的基本组成要素,网络层的访问控制通过防火墙实现。防火墙提供了在不同安全级别的多个系统网络之间提供共享数据的访问控制能力。法院信息网络是一个综合的网络系统,存在着不同安全级别的网络。为了防止不同安全域的安全威胁在整体法院信息系统中传播,我们在不同安全域之间部署防火墙进行逻辑隔离。
防火墙是隔离在本地网络与外界网络之间的一道防御系统。利用防火墙对内部网络的划分,可实现内部重点网段的隔离,通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之
- 11 -
间的唯一安全通道,通过制定相应的安全规则,可以允许符合条件的数据进入,同时将不符合条件的数据拒之门外,即“法无许可即禁止”。这样就可以阻止非法用户的侵入,保证内部网络的安全。
因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全策略。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点。
法院系统是一个业务非常重要,安全级别要求较高的网络系统,在本方案中,我们建议法院内部网络边界处防火墙作为统一的接入控制设备,针对法院网络系统,防火墙主要解决的问题如下:
防止非法的访问与数据包:一般来讲,总是利用高端口发送数据包来进行攻击行为,那么我们只需要封闭这些端口,或者一些没有用处的协议(比如ICMP协议),就能够有效的防范攻击,特别是外网用户,由于在内部有各类应用服务,我们必须确保只有对应的服务才能经过防火墙,而其他的访问均被禁止,从而保护各类应用服务的安全。
防止地址欺骗:一方面,来自其它网络的访问者会将自己的IP地址伪装成内部地址,从而绕过防火墙发起对内网的攻击;另一方面,内部用户通过修改自己的地址,而获得更高的访问权限;这些行为都会给单位的网络形成安全威胁,那么防火墙通过MAC地址绑定技术、源地址识别等技术,能够识别出这些地址欺骗行为,从而更有效的执行访问控制策略;
对内部用户进行应用层深度管理: 对HTTP、FTP、SMTP、POP3协议的内容进行管理,保护终端用户合法有效地使用各种网络资源; 对用户、IP、组等对象进行上传,下载等细致的流量控制;QOS功能,保证重要数据优先上传。网页访问控制;WEB认证、文件上传下载控制、代理识别。
2. 入侵防御分系统
在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统,通过中心控制台对各节点进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。入侵检测系统在重要保护网络系统中是访问控制设备防火墙最有利用的补充。
- 12 -
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如发现违规访问、阻断网络连接、内部越权访问等,发现更为隐蔽的攻击。
法院网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统,管理和降低网络安全风险,保证网络安全防护能力能够不断增强。
目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。网络入侵检测系统应能满足以下要求:
能在网络环境下实现实时地分布协同地入侵检测,全面检测可能的入侵行
为。能及时识别各种黑客攻击行为,发现攻击时,阻断弱化攻击行为、并能详细记录,生成入侵检测报告,及时向管理员报警。
能够按照管理者需要进行多个层次的扫描,按照特定的时间、广度和细度
的需求配置多个扫描。
能够支持大规模并行检测,能够方便地对大的网络同时执行多个检测。 所采用的入侵检测产品和技术不能被绕过或旁路。
检测和扫描行为不能影响正常的网络连接服务和网络的效率。 检测的特征库要全面并能够及时更新。
安全检测策略可由用户自行设定,对检测强度和风险程度进行等级管理,
用户可根据不同需求选择相应的检测策略。
能够帮助建立安全策略,具有详细的帮助数据库,帮助管理员实现网络的
安全,并且制定实际的、可强制执行的网络安全策略。 3. 防病毒网关分系统
病毒是系统中最常见、威胁最大的安全来源,建立一个全方位的病毒防范系统是法院网络系统安全体系建设的重要任务。
目前主要采用病毒防范系统解决病毒查找、清杀问题。
- 13 -
根据法院系统网络结构和计算机分布情况,以及目前客户端防病毒软件安装及使用不能完全防范病毒等现状,利用边界安全网关在网络中的特殊位置,使得电脑病毒在进行扩散之前得到有效处理。
通过现有的客户端防病毒系统和网络中的边界安全网关防病毒系统能够形成从多层次进行病毒防范,第一层工作站、服务器,第二层网关都能有相应的防毒功能提供完整的、全面的防病毒保护。
病毒防护功能特色
基于流、低延时、高并发、高性能的病毒过滤 支持对大病毒文件也能检测 实时病毒连接阻断,病毒事件记录
支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描 超过40万的病毒特征库,病毒库定时自动更新 支持应用处理模块
4. 内网机密信息安全访问解决方案
内网是一个完全独立的网络,因此数据在网络平台的传输过程相对比较安全,但是对于一些重要信息,尤其是一些机密信息,需要严格保证这些数据在传输过程中的安全。因此,虽然这些数据传输在一个相对独立的内网,但是仍然存在被侦听破解的可能,需要有合理有效的方式解决这个问题,我们建议采用基于VPN
- 14 -
的解决方案,是一种非常安全而且灵活的解决方案。
适用环境:移动办公SOHO,便携笔记本。
方案实现:在便携终端上安装VPN软件客户端(SSL VPN方式可以免除软件安装)和USB KEY设备,便携终端外接GPRS,CDMA-1X Modem通过移动拨号连接Internet与法院中心的VPN网关之间建立VPN隧道,完成移动办公,使用SSL VPN方式可以免除客户端软件安装。
方案优势:
MSG4000安全网关可同时提供IPSec和SSL两种VPN接入方式,可以提
供根据业务选择不同的接入方式
SSL VPN可以提供免安装软件接入,对于B/S模式的业务支持能力强,
维护成本较低,但对于复杂业务的处理支持能力有限
可以支持USB-SecKEY,RSA等多种硬件认证方法,保证移动终端接入
的可靠性
接入方式灵活,支持ADSL,GPRS,CDMA 1X,Modem等多种移动接
入方案
5. 上网行为审计解决方案
互联网的兴起与普及为人们的工作和生活提供了极大的便利,与此同时,经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如,在企业内部,部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过P2P工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密;在网吧等一些公共上网场所,人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动……
针对互联网所带来的上述问题,需要为法院提供可控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理,有效解决因接入互联网而可能引发的各种问题,优化对互联网资源的应用。
上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理,并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录,同时能够配合集中网络安全管理系统对网络行为日志进行查询统计与审计分析,从而为
- 15 -
网络管理者的决策和管理提供重要的数据依据。
上网行为管理功能主要通过策略机制实现,网络管理者可以针对不同用户制定适合的上网行为管理策略规则,系统则会根据策略规则对网络应用流量进行行为控制和管理。
上网行为管理策略规则共分为三类:网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则
网络应用控制策略规则
网络应用控制策略规则对网络应用的使用进行控制。根据不同的协议及应用领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P协议、流媒体协议、其他协议、FTP控制以及HTTP控制等等大类,每一大类中又包含若干具体的子应用和协议。网络管理者可以根据需要,对各种应用和协议制定基于用户和时间表的策略规则,以实现对用户上网行为的控制。
- 16 -
网页内容控制策略规则
网页内容控制策略规则包括URL过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL过滤策略规则可以基于系统预定义的URL类别和用户自定义的URL类别,对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别,对用户所访问的网页进行过滤,同时,能够通过SSL代理功能对用户所访问的含有某特定关键字的HTTPS加密网页进行过滤。
外发信息控制策略规则
- 17 -
外发信息控制策略规则包括Email控制策略规则和论坛发帖控制策略规则,能够对用户的外发信息进行控制。Email控制策略规则能够对通过SMTP协议发送的邮件和Webmail外发邮件进行控制,可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时,能够通过SSL代理功能控制Gmail加密邮件的发送。论坛发帖控制策略规则能够对通过HTTP Post方法上传的有某关键字的内容进行控制,如阻断内网用户在论坛发布含有指定关键字的帖子。
上网行为管理作为网络层安全设计中一部分,与访问控制、Qos、IPS等模块构成企业网络出口的安全屏障。对外可进行入侵防护和非法访问阻断,对内可进行WEB访问、P2P、IM等应用进行审计。从而使网络的安全性得到提高,使应用和用户的行为能够可视化。
- 18 -
3.7、 整体方案特点 3.7.1、 网络结构安全可靠
核心网可靠性、可用性的保障,低成本,快速收敛。满足法院局域网关键业务高可用性要求。针对法院复杂组网环境,提供全线速、高密度的万兆解决方案。对用户接入的有效控制,符合策略的终端才能接入网络。低成本高速率桌面接入,适用单位各个部门、服务器群的接入。
3.7.2、 网络精细化管理
通过网络精细化管理,能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变化。帮助用户主动监视网络的状况,及时发现网络潜在的隐患。同时,丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。可管理所有支持标准SNMP网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式。
3.8、 硬件配置建议
序号 产品型号 描述 数量 价合格 计 核心交换机 SM6800-08A-MF 交换机箱(含背板、防尘1 SM6800-08A-MF 板),2个主控插槽、2个交换矩阵板插槽、8个线卡插槽、1个风扇插槽,8个电源插槽。 主控卡(含软件),必配1张,支持2张2 SM68A-MPUBH 冗余备份。建议配置两条DDR400-512S,,可选配一个U盘和一个CF卡。用于SM6800-08A-MF、SM6800-16A-MF 交换矩阵卡,必配1张,支持2张冗余备3 SM68A-SFUBH 份。适用于SM6800-16A-MF SM6800-08A-MF、2 0 2 0 1 0 - 19 -
24端口千兆光接口(需配SFP光模块)+24端口千兆电接口,可选配POE模块, 该4 SM68A-24GET24GEFH 模块可支持3个POE。内存插槽一条,推1 0 荐配置DDR400-512S。适用于S6800-02A/04A/08A/16A-MF系列主机 5 SM68A-SIUH 液晶显示模块,用于SM6800-08A-MF v1版、SM6800-16A-MF V1版,必配1张,。 1 0 1000瓦交流电源模块,必配1个,支持6 AD1000-1S007Z N+1冗余备份。适用于2 0 S6800-02A/04A/08A/16A-MF系列主机。 7 FAN-13A-01 风扇,必配1个,用于SM6800-08A-MF 1 0 8 DDR400-512S 512M DDRAM条,内存访问速度400,封装为SODIMM 5 0 9 SFP-S2-L24P3 1.25G单模光模块(传输距离20km,LC接口、PECL接口电平、波长1310nm) 10 0 单套设备合计: ¥0 数量/总计 4 ¥0 汇聚交换机 千兆三层路由交换机(24个千兆SFP以太1 SM4200-28FC 口,12个10/100/1000M电接口,2个扩1 0 展槽),交直流电源 2 SFP-S2-L24P3 1.25G单模光模块(传输距离20km,LC接口、PECL接口电平、波长1310nm) 10 0 单套设备合计: ¥0 数量/总计 10 ¥0 接入交换机 网管型千兆交换机主机( 44 个 1 SM3200-50T-AC 10/100/1000M 电口, 4 个千兆 Combo 1 0 接口, 2 个千兆电口,交流主机) 2 SFP-S2-L24P3 1.25G单模光模块(传输距离20km,LC接口、PECL接口电平、波长1310nm) 2 0 单套设备合计: ¥0 数量/总计 42 ¥0 接入交换机 网管型千兆交换机主机( 20 个 1 SM3200-26T-AC 10/100/1000M 电口, 4 个千兆 Combo 1 0 接口, 2 个千兆电口,交流主机) 2 SFP-S2-L24P3 1.25G单模光模块(传输距离20km,LC接口、PECL接口电平、波长1310nm) 2 0 单套设备合计: ¥0 数量/总计 26 ¥0 出口网关
- 20 -
千兆中端安全网关,配置4个GE口+4个SFP口;提供2个模块化插槽,可以扩展MPSec 8SFP/8GE/4口Bypass模块;配置单交流1 MSG4000-G4-AC 电源,标准1U设备;默认支持防火墙1 0 /IPSec VPN功能,通过License扩展可以支持完善的IPS/AV/SSL VPN/流量控制/上网行为管理/URL过滤等功能 单套设备合计: ¥0 数量/总计 2 ¥0
- 21 -
3、 产品介绍
MyPower S6800系列产品介绍
产品概述
MyPower S6800系列万兆核心路由交换机外观图
MyPower S6800系列高性能万兆核心路由交换机是迈普公司推出的新一代多业务高性能电信级核心交换机平台产品,可以向用户提供高性能、高可靠、多业务的网络服务。
MyPower S6800系列高性能电信级交换机采用先进的200G交换平台,可以提供超大容量L2/L3层数据交换服务;采用ATCA理念,先进的电信级99.999%设备稳定性设计,所有部件全冗余,主控卡和交换矩阵硬件分离;支持MPLS和IPv6数据的全分布式硬件线速处理,满足核心层设备高密度、高吞吐量的MPLS和IPv6数据转发要求;提供电信网络的管理特性,通过OAM协议可以对网络链路、业务、用户端进行全面的管理。
MyPower S6800系列高性能电信级交换机作为多业务网络核心平台,可与迈普全系列交换机一起为金融、运营商、政府、能源、交通、教育、军队等用户提供全方位的广域网和局域网解决方案,广泛应用于以上各个行业领域的国家级和省级数据中心、国家级和省级网络核心、大型园区网核心、运营商IP城域网核心。MyPower S6800系列高性能电信级交换机分别提供4槽、8槽、12槽、20槽四种机框满足不同业务容量客户的需求。
产品特征
先进的万兆交换硬件体系架构设计保证大容量交换容量 核心保障机制和关键部件冗余保证设备的电信级可靠性 集中式/分布式的IPv6/MPLS处理机制满足各类应用需求 完善的网络安全特性能够提供全面的攻击和病毒防范能力 支持虚拟化功能,可以实现配置统一管理和数据同步功能 丰富的多业务卡设计,通过众核处理实现了多业务的加速
- 22 -
超低功耗设计延长交换平台的寿命,降低设备运转能耗 领先的电信级产品的易用性、可管理性、OAM特性
先进的200GE多级交换架构的交换平台
采用新一代200G交换平台设计,先进的无源铜背板提供单槽位400G的交换容量,通过Crossbar空间多级交换矩阵实现板内和板间超高速二、三层线速分布式转发;通过功能强大的多核+NP+ASIC芯片进行高速路由查找,从而大大提升MyPower S6800交换平台的路由性能;高达6.4Tbps的整机交换容量,提供领先的大密度万兆、千兆以太网板卡,可升级支持40/100GE接口,满足核心层设备高密度、高吞吐量、可扩展的要求。
采用ATCA架构设计的电信级交换平台
整个系统采用ATCA架构的理念,所有部件均提供双冗余或者多冗余设计,支持电源冗余、管理模块冗余、交换矩阵冗余、风扇冗余、链路冗余等;整个系统电源模块、风扇模块、所有业务板卡支持热插拔;系统软件支持优雅重启技术和在线升级功能,可以保证业务永不中断;独特的双控制引擎互为备份设计,保证核心交换平台具有苛刻电信级可靠性;独立的交换网板卡,交换卡和控制引擎硬件相互独立,可以提高设备的可靠性,同时为后续产品带宽的持续升级提供保证。
支持IPv6/MPLS硬件全分布式转发平台
整个平台支持基于ASIC全分布式全线速硬件MPLS/IPv6转发方式,可以在板卡内实现MPLS/IPv6报文的全线速处理,避免集中式转发的瓶颈和时延问题,为MPLS/IPv6大规模组网提供了有力保障。丰富的MPLS功能特性,可以满足运营商MPLS城域网的要求,可以针对各类业务提供二、三层MPLS VPN功能。每端口大容量Buffer,满足大型数据中心高突发流量的需求;支持精细化QoS和流量管理,给不同用户、不同业务流分配不同的优先级和队列,保证不同的带宽、业务延迟和抖动性能。
领先的电信级产品的易用性、可管理性
通过独立的机箱管理平面和液晶面板,能够自动检测和上报硬件故障,并进行相应的故障隔离,对电源管理、环境及热点温度监控、风扇转速自动调整,CPU系统异常重启前关键信息保存,便于后续故障分析和定位。支持在线状态检测机制,支持单板离线故障诊断,快速方便的现场定位手段,支持业务层面的在线故障诊断,通过TCP、UDP-Jitter、ICMP、HTTP、FTP、DHCP、DLSw和SNMP测试等各种探测方式对网络或服务进行质量分析,并提供测试结果,可视化网络流量监控和分析。全面支持802.3ah OAM、802.1ag OAM、ITU Y.1731 OAM,提供多种设备级和网络级的故障检测手段。
完善的系统网络安全特性确保网络可靠
具有系统网络安全性的功能设计,支持基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略,支持防网络风暴攻击、防DOS/DDOS攻击、防ARP攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术,可有效地防止攻击和病毒,更适合大规模、多业务、复杂流量访问的网络。控制平面和转发平面的物理隔离,控制平面和转发平面的多级保护及安全性,可以有效的防止各类攻击。多种攻击检测机制:ARP深度检测;IP攻击检测;TCP攻击检测,IP Source Guard等,配合IPFIX和MatserPlan网管可以实现对攻击源的主动防御。
- 23 -
支持虚拟化功能,可以实现配置统一管理和数据同步功能
支持虚拟化功能,可以将多台交换机虚拟化为一台交换机,进行统一管理和统一表项的数据转发。多台交换机堆叠后,从主交换机可以对从交换机直接进行管理,以全局的方式进行配置命令下发。多台交换机堆叠后,可以实现主、从交换机的转发表项的自动同步功能,以一台交换机的方式进行数据转发。支持通过10000M光口的方式进行堆叠,可以实现本地或者远程的堆叠功能,部署更为方便。支持跨设备的链路捆绑功能,可以满足核心网络的链路高速切换需求。
高速交换平台配合众核处理实现了多业务的加速
MyPower S6800高性能交换机平台是迈普多年IP网络技术研发的结晶,依靠先进的200G交换平台,采用全球领先的40G处理能力的众核处理器技术,通过全硬件处理实现了NAT、防火墙、VPN、IPFIX、流量分析、内容过滤、PWE3、语音、视频、网管等功能,扩大了核心交换机的使用范围,实现了网络核心和业务核心的融合。通过加强核心设备的功能集成,将以前多种设备分布实现的业务功能,通过一台MyPower S6800高性能交换机平台来集中处理,既减少网络复杂度,降低了用户的维护工作量,又可以通过MyPower S6800高性能交换机平台的高性能交换通道,提供一个高性能的数据转发环境。业务板卡支持在板卡内置了IPFIX处理引擎,处理性能高,节省了客户的投资。
全面的绿色环保设计延长核心交换平台的寿命
根据10℃规律,半导体芯片的可靠性、使用寿命与工作温度有着直接的关系,工作温度每上升10℃,半导体芯片可靠性降低一半,而工作温度与设备的功耗成正比关系。MyPower S6800A高性能电信级交换机大量采用ASIC处理芯片进行数据处理,在满足高性能的前提下大幅的降低成本,16槽设备的整机最大功耗(全配、非POE)低于1800瓦,在高端设备上的低功耗设计使得半导体芯片的温度较低。低功耗设计不但大大增加高端设备的使用寿命和稳定运行,在能源日益紧张的今天,同时也节约设备的运转能耗,满足绿色环保要求。完善的电源管理功能,空闲端口低功率待机,还可以对空闲的单板进行下电管理,同时还可以对相应散热风扇进行停转控制,进一步降低功耗。
产品规格
硬件规格 产品型号 S6800-02 机框 整机槽位数 主控板槽位数 交换板槽位数 业务引擎槽位数 电源槽位数 交换容量 4 2 0 2 2 800Gbps S6800-04 机框 8 2 2 4 4 1600Gbps S6800-08 机框 12 2 2 8 8 3200Gbps S6800-16 机框 20 2 2 16 8 6400Gbps - 24 -
转发性能(IPv4) 转发性能(IPv6) USB 配置口 存储卡 952Mpps 952Mpps 1920Mpps 1920Mpps 2400Mpps 2400Mpps 7619Mpps 7619Mpps 主控板上提供一个USB接口 主控板上提供一个配置接口 主控板上提供一个CF扩展接口 外形尺寸(长×宽×444x600x131 444x600x310 444x600x577 444x600x977 高) 输入电压 (3U) (7U) (13U) (22U) AC:100~260V,50~60Hz DC:–36~-72V 功耗(非POE最大值) 200W 温度 600W 1000W 1800W 工作温度: 0~45℃ 存储温度:-10~60℃ 湿度 工作湿度:10~90% 不结露 存储湿度:10~90% 不结露 散热方式 软件特性 风扇散热 支持MAC地址学习数目限制;静态MAC配置;黑洞MAC Ethernet,Ethernet II、VLAN(VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1x QINQ、灵活的QinQ 链路层协议与局域网 技术 STP/RSTP/MSTP;支持BPDU TUNNEL; IGMP Snooping、GVRP IEEE802.3ad LACP二层聚合 多对一的端口镜像,远程端口镜像RSPAN,跨板的端口镜像,不同速率的端口镜像,支持基于流的镜像,支持跨网段的流镜像功能ERPAN 基于端口的广播流量抑制,基于端口的未知组播流量抑- 25 -
制,基于端口的未知单播流量抑制,基于端口绝对带宽进行流量抑制,可按照PPS和BPS进行抑制 ARP功能 动态和静态ARP、代理ARP、免费ARP 静态路由 RIP v1/v2、RIPng OSPF v3、OSPFv3 路由协议 IS-IS、IS-ISv6 IRMP BGP、BGP4+ ECMP(等价多路径)、路由策略、递归路由 IGMP v1/v2/v3、MLD V1/V2 组播协议 网络协议 IGMP Snooping、MLD Snooping PIM-DM、PIM-SM、PIM-SDM、PIM-SSM DVMRP、MSDP DHCP Server、DHCP Client、DHCP Relay、DHCP Snooping、Option 82 DHCPv6 Server、DHCPv6 Client、DHCPv6 Relay IP应用 DNS、DDNS FTP Server、FTP Client Ping、Trace IP Accounting、UDP Helper、NTP IPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL IPv6 IPv6过渡隧道技术:IPv6手动隧道、GRE隧道、IPv4兼容IPv6自动隧道、6to4隧道、ISATAP隧道 端口 网络安ARP 全性 ACL 端口安全、端口隔离 ARP Guard,DAI,静态ARP捆绑, 标准IP ACL、扩展IP ACL、标准MAC ACL、以太协议ACL、IPv6 ACL、自反ACL、高级ACL - 26 -
安全防护 DDOS攻击 应用控制 VPN 认证 用户安全 MPLS L2 VPN MPLS/BGP VPN(L3 MPLS VPN) MPLS VPN跨域 MPLS TE MPLS OAM 流分类 控制平面保护、URPF 防ICMP Flood拦截、Smurf攻击拦截、Fraggle攻击拦截、LAND攻击拦截、SYN Flood攻击拦截 流量控制、URL过滤 GRE Local认证,Radius,Tacacs,AAA Portal认证、802.1x认证、MAC地址认证 登陆用户IP/MAC绑定 支持L2VPN 支持一个Site属于多个VPN、支持多角色主机 支持三种跨域MPLS VPN方式 支持MPLS TE/FRR,FRR切换时间小于50ms MPLS ping、MPLS traceroute 基于端口、MAC地址、IP地址、IP优先级、DSCP优先级、TCP/UDP端口号、协议类型等 流量监管 QoS 拥塞管理 拥塞避免 流量整形 其他 CAR、LR Sp、RR、WRR、WDRR RED、WRED GTS PLS QoS、IPv6 QoS 电源、风扇、业务模块热插拔 可靠性 部件可靠 管理控制引擎和转发引擎完全分离 风扇模块采取多组风扇组冗余备份 - 27 -
关键部件主控板和电源均支持冗余备份 双 Image、双 Bootrom设计 支持BFD for BGP/IS-IS/OSPF/RSVP/VPLS PW/VRRP等 支持EIPS 链路可靠 支持Keepalive Gateway 支持Smart Link功能 接口备份方式 支持VRRP、VRRPv3、VRRPE 备份功能 支持基于带宽的负载分担与备份 支持基于用户(IP地址)的负载分担与备份 软件热补丁/在线升级 业务可靠 支持NSF/GR for OSFP/BGP/IS-IS/LDP/RSVP等 支持IP FRR、TE FRR 支持4台以上设备堆叠 虚拟化功虚拟化 能 支持10000M光接口的堆叠功能 网络管理 系统管理 OAM SNMP v1/v2/v3、MIB、RMON、SYSLOG Console口登录管理、Telnet(VTY)远程管理、SSH管理、WEB管理 网络质量支持DHCP, FTP,HTTP,ICMP,UDP public, UDP private, TCP 保证public, TCP private, SNMP等协议测试 支持网络的时延、抖动、丢包率等测试 支持跨设备的链路捆绑 (SLA)
MyPower S3200系列产品介绍
产品描述
- 28 -
MyPower S3200系列网管型交换机外观图
MyPower S3200系列千兆智能网管型交换机是迈普公司针对企业网中心LAN以及IP城域网小区汇接,自主研发的高性能台式二层以太网交换产品。
SM3200-24TC-AC提供22个千兆电接口,2个千兆SFP光接口,2个千兆电接口; SM3200-26T-AC提供24个千兆电接口,4个千兆SFP光接口,2个千兆电接口; SM3200-50T-AC提供48个千兆电接口,4个千兆SFP光接口,2个千兆电接口; MyPower S3200系列网管型交换机能在第二层上实现线速以太数据帧的转发,并具有完善的QoS、组播能力。具备完善的QoS、VLAN增强功能以及迈普特有的相关安全功能,满足用户安全性要求。能够帮助客户轻松实现千兆到桌面,能满足企业网、IP城域网视频、音频高优先级数据及其它特定数据对交换机的特定需要,能将需要转发到核心网的数据汇聚后传到核心网,可以为企业网中心、IP城域网、小区汇聚提供低成本、高性能、扩展性强、管理简单的解决方案。
产品特征
全面的二层协议支持 灵活的VLAN隔离功能 完善的安全策略 强大的访问控制能力 丰富的QoS机制 全面网管支持 全面协议支持
提供如IEEE 802.3、IEEE 802.3x、IEEE 802.3ab、IEEE 802.3u、IEEE 802.ad、IEEE 802.1d、IEEE 802.1W、IEEE 802.1q等协议支持。
灵活的VLAN隔离功能
支持基于802.1Q的VLAN隔离功能,可在1~4094之间任意配置,并支持GVRP动态VLAN协议,使不同的业务、不同用户之间不能互访,保证了业务来往数据的保密性,提高整个网络系统的安全性,节省网络带宽。Voice Vlan特性,可以将IP电话等终端加入Voice Vlan,为语音业务提供良好的QoS保障机制。
完善的安全策略
提供用户权限/身份认证、端口安全、端口限速、端口监控、地址过滤、802.1X认证等多种安全策略,支持防ARP攻击功能,为用户访问提供多种保护机制,有效保证用户的网络安全。
强大的访问控制能力
支持二到七层的访问控制,可以根据源、目的MAC地址、源、目的IP地址、UDP/TCP
- 29 -
端口号、IP协议类型等信息对数据流进行分类,根据数据分类设定访问控制规则,可以设定permit或deny,然后将规则应用于VLAN或者物理端口。
丰富的QoS机制
根据端口、802.1p、ToS、DSCP、TCP/UDP端口等进行流量分类,并分配不同的服务级别,支持WRR/SP等调度方式,能够为语音、数据在同一网络中传输提供不同服务质量,满足客户网络对业务处理优先级的要求。
全面网管支持
提供SHELL、TELNET、WEB、SNMP、第三方软件等网管支持,能够实现跨平台、规模化网络管理,友好的人机界面,为用户管理设备、掌控网络情况提供了强大支持。
产品规格
硬件规格 机框型号 整机结构 物理端口 台式 22个10/100/1000电口、24个10/100/1000M电2端口10/100/1000M电口、2端口千兆光接口 整机交换容量 IPv4包转发率 VLAN 平均无故障时间 外形尺寸(W×D×H) 输入电压(AC) 功耗(MAX) 工作温度 工作湿度 软件特性 MAC老化时间10~1000000秒 802.1Q、 PVLAN 、802.3ad、802.3x 、802.1D STP 、 802.1P 、802.1W 、链路层协议与技术 局域网 802.1s STP/RSTP/MSTP GVRP 端口镜像 组播协议 网络协议 DHCP、DHCP Relay、DHCP Server、DHCP Snooping IP应用 路由协
SM3200-24TC-AC SM3200-26T-AC SM3200-50T-AC 48个10/100/1000M电接口,4个1000M SFP光接口,2260 Gbps 78Mpps 个10/100/1000M电接口 接口,4个1000M SFP光接口,2260Gbps 45Mpps 个10/100/1000M电接口 260Gbps 45Mpps 4k 8万小时 440 mm x 415 mm x 44 mm 100~240V,50~60Hz 54W 0~45℃ 10~90% 不结露 IGMP Snooping FTP、TFTP SNTP 支持路由功能 - 30 -
议 ARP 安全防网络安全性 护 认证 用户安全 服务质量保证 堆叠 QOS 堆叠功能 网络管OAM 理 系统管理
Console口登录管理、HTTP、Telnet(VTY)远程管理、SSH管理 端口限速 每端口8个优先级队列 802.1p ToS 应用端口号 入口流量整形 WRR/SP等调度方式 支持菊花链模式、星型模式,最大支持9台堆叠 支持1000M光电接口的堆叠功能 SNMP V1/V2/V3、RMON 1/2/3/9 Radius、802.1x认证 全局地址过滤、端口安全 ACL访问控制列表、用户分级登陆认证 防ARP欺骗、防ARP扫描 广播报文抑制 MpSec MSG4000系列产品介绍
产品概述
图一 MPSec MSG4000-G4安全网关正面图
MPSec MSG4000-G4是迈普通信技术股份有限公司全新推出的众核安全网关系列产品。其基于角色、深度应用的“并行MIPS众核+高速交换总线”安全架构突破了传统防火墙只能基于 “IP+端口”五元组的安全过滤控制。处理器模块化设计可以提升整体处理能力,突破了传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。
MPSec MSG4000-G4处理能力达到多个千兆级别,可广泛适用于政府、金融、运营商、教育、军队、企业分支、中小企业等机构,可部署在网络的主要结点及Internet出口,为网络提供基于角色、深度应用安全的访问控制以及IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、网页访问控制、上网行为管理等安全服务。
产品特征
模块化、全并行处理的安全架构(并行众核+高速交换总线)
MPSec MSG4000系列产品采用了并行众核处理器技术,同时在内部又采用了高速交换
- 31 -
总线,使得MSG4000-G4系列产品在应用层安全处理的性能上有了质的飞跃,为网络应用安全提供专业的高性能硬件平台。
同时,迈普自主开发的64位实时安全操作系统MP SecOS采用专利的多处理器全并行架构,和常见的众核处理器或NP/ASIC只负责三层包转发的架构不同;MP SecOS实现了从网络层到应用层的众核全并行处理。
因此MSG4000较业界其他的众核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能无法两全的局限。
强健的专用实时并行操作系统
MPSec MSG4000系列产品采用了专用的64位实时并行操作系统——MP SecOS,其并行处理能力和模块化的结构易于集成和扩展更多的安全功能。针对新一代众核处理器进行的全面优化和安全加固极大地提高了系统处理效率、稳定性和安全性。模块化和并行多任务的处理机制,为迈普新一代的网络安全系统提供了极大的可扩展能力,包括支持更多的核处理器和集成更多的安全功能。
安全视图化
● 管理视图化
通过MP SecOS内置的网络流量分析模块,用户可以图形化了解设备使用的状况、带宽的使用情况以及流量的趋势,随时、随地监控自己的网络,从而对流量进行优化和精细化的管理。
● 接入视图化
MP SecOS基于角色的管理(RBNS)模块,让网络接入更加精细和直观化,实现了对接入用户更加人性化的管理,摆脱了过去只能通过IP地址来控制的尴尬,可以实时地监控、管理用户接入的状态,资源的分配,从而使网络资源的分配更加合理和可控化。
● 应用视图化
MP SecOS内置独创的应用识别模块,可以根据应用的行为和特征实现对应用的识别和控制,而不仅仅依赖于端口或协议,即使加密过的数据流也能应付自如。MP SecOS识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以及基于SIP、H.323、HTTP等协议的应用,应用特征库通过网络服务可以实时更新。
全面的VPN解决方案
MSG4000众核安全网关支持多种IPSec VPN的部署,它能够完全兼容标准的IPSec VPN。MSG4000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合众核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。
迈普安全网关独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的问题。
MSG4000众核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特
- 32 -
性,为用户提供方便、快捷的安全远程接入服务。
内容安全
MSG4000可选UTM软件包提供病毒过滤、入侵防御、内容过滤、网页访问控制和应用流量整形等功能,可以防范病毒、间谍软件、蠕虫、木马等网络攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良网站的访问。病毒库、攻击库、网页库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的网页做到及时响应。
产品规格
防火墙 ● 全新一代基于应用和角色控制的防火墙 ● 基于应用/角色的安全策略 ● 可防范DNS Query Flood、SYN Flood、DoS/DDoS等攻击 ● 各种畸形报文攻击防护 ● ARP 欺骗防护 网络功能 ● IEEE802.1Q VLAN 中继、PPPoE 客户端 ● IEEE802.3ad 链路聚合 ● ECMP、WECMP ● DHCP 中继、服务器和客户端 ● DNS 代理、DDNS、NTP ● 静态路由、策略路由(基于源、目的、服务、协议) ● 动态路由RIP v1/v2、OSPF、BGP VPN ● 支持各种标准IPSec VPN协议及部署方式 ● 创新的PnPVPN (即插即用VPN) ● 支持 SSL VPN (可选USB-key) ● 支持L2TP VPN - 33 -
病毒过滤 ● 基于流、低延时、高并发、高性能的病毒过滤 ● 支持大病毒文件的扫描 ● 实时病毒连接阻断,病毒事件记录 ● 支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描 ● 超过40万的病毒特征库、病毒库可以做到实时更新 ● 基于角色、应用、IP地址、时间等的流量管理策略 ● 支持基于服务等级(CoS)的流控,兼容DiffServ标记 ● 支持嵌套QoS和多层QoS ● 弹性流控,可以动态分配带宽 入侵防御 ● 基于状态、精准的高性能攻击检测和防御 ● 实时攻击源阻断、IP屏蔽、攻击事件记录 ● 支持针对HTTP、FTP、SMTP、IMAP、POP3、TELNET、TCP、UDP、DNS、RPC、FINGER、MSSQL、ORACLE、NNTP、DHCP、LDAP、VOIP、 NETBIOS、TFTP等多种协议和应用的攻击检测和防御 应用识别 ● 全新一代基于应用行为和特征的应用识别 ● 多达上千种的应用特征库 ● 应用特征库可以通过网络自动实时更新 流量管理 ● 基于角色、应用、IP地址、时间等的流量管理策略 ● 支持基于服务等级(CoS)的流控,兼容DiffServ标记 ● 支持嵌套带宽管理(基于每个IP/角色的每种应用做带宽管理)和多层带宽管理 ● 弹性流控,可以动态分配带宽 网页访问控制 ● 基于角色、时间、优先级等条件的Web网页访问策略控制 - 34 -
● 总数超过2千万条域名的分类Web页面库,支持Web页面库实时更新 ● 基于网页分类类别控制,控制对不良网站访问 ● 支持自定义Web页面类别 上网行为管理 ● 超过2千万条域名的分类Web页面库,轻松控制不良网站访问 ● 基于应用(P2P、即时通讯、游戏、办公软件等)的细粒度网络访问控制 ● 内容审计,包括对论坛发帖、外发邮件、IM聊天等内容的审计 ● 敏感文件类型过滤,Java Applet/ActiveX阻断 集中监管和细粒度分析审计 ● 设备集中管理 ● 性能、流量监控与分析 物理规格和工作环境 管理接口 网络接口 扩展模块槽 扩展模块选项 电源规格 电源输入范围 外形尺寸(W×D×H, mm) 重量 工作环境温度 工作环境湿度
1个配置口, 1个AUX口,1个USB 2.0口 4个GE口,4个SFP口 2个通用扩展槽 4端口千兆电口模块, 4端口千兆SFP模块,应用处理扩展模块 冗余150W 交流 100-240V 50/60Hz 1U (436 x 366 x 44) 9kg 0-40℃ 10-95%(不结露) - 35 -
4、 案例介绍
打造安全、高效的办公网络
---迈普助力辽宁省高院建设智能办公大厦建设
文|张樱武(辽宁办事处)
背景及需求
辽宁省高级人民法院大楼局域网自1999年建设以来,已使用10多年了,原使用的为北电交换机,随着北电的宣布破产,产品与售后服务已经不能满足要求,且原有网络为百兆接入,千兆级联,也不能满足法院日益增长的业务量对带宽的要求,所以需要对省院大楼的局域网进行改造。
设备老化
在原有的局域网中采用的是北电的交换机,设备已经使用了很多年,设备已经严重老化,一旦出现问题设备将不可修复,会对省高院造成正常业务的运营造成很大的影响。
售后服务
由于金融危机的发展,同时由于北电自身经营的不善,北电已经破产,对我院已经购买并且正在使用的设备已经不具备维护的能力,一旦设备出现损坏或者需要对部分部件进行更换的时候,其将无力提供各方面的服务,会对我院的正常业务运营造成很大的影响。
线路带宽不足
目前现状到达桌面的带宽为100M,骨干是千兆,现有的带宽满足不了法院未来局域网发展的需要,而目前骨干采用万兆,桌面采用千兆已经是主流的组网模式,而我院也正是需要建设一套这样的网络。
解决方案
- 36 -
网络中心:
在省高院北楼中央机房内,放置两台台迈普公司的Mypower S8900高端交换机,分别配置双主控和双交换板,两个核心交换采用两条万兆互连,同时配置四张8端口万兆板卡以便实现楼层交换机的汇聚,两台核心汇聚交换机S8900采用万兆接口分别与楼层交换机相连,以实现楼层与汇聚之间的双归属连接。
楼层交换机和核心汇聚交换机S8900之间采用MSTP和VRRP协议,以实现局域网内线路之间的备份与负载均衡。同时骨干上采用动态路由协议OSPF,实现彼此之间路由的学习和分布。
楼层接入:
在每个楼层的竖井放置一台或两台S4152F接入交换机,在每个弱电井中的一台S4152F上面配置两个万兆接口,分别连接到南楼和北楼的汇聚交换机,楼层放置两台S4152F的通过万兆互联。
应用效果
1. 高带宽的实现
万兆组建骨干,千兆延伸到桌面,实现了网络的高带宽需要,确保了整个网络能够满足现有业务需要的同时,也能够满足业务未来发展的需要。
- 37 -
2. 高性能的实现
采用中国市场最早发布的性能最高的交换机S8900来组建整个网络的核心,能够实现单槽8万兆或16万兆的线速转发,能够实现多密度的万兆接入。
3. 高扩展的实现
主要体现在两个方面,一个是性能扩展,交换机背板具有较高容量,通过交换矩阵和板卡升级,未来可支持更大的交换容量,目前单板8万兆的线速转发,未来可支持40G和100G业务板卡。另一个是功能扩展,采用开放式、模块化软件。高端交换机支持多业务扩展模块,该模块大量采用NP、FPGA等功能可灵活升级的IC,使现有交换机在不更新主机的情况下,也能根据业务的发展新增功能。
4. 高稳定的实现
软件高稳定,采用多平面模块化的软件系统,集成丰富的软件高可靠性协议和链路检测协议。硬件高可用性基于电信级的关键器件全冗余设计及热插拔,充分的平面分离和双总线设计。
5. 高可靠的实现
控制平面主要由CPU及其相关软件构成,其可靠性较低,数据平面(SFU)主要由专用ASIC芯片构成,可靠性非常高,如果把数据平面和控制平面放在一张卡上实现,就意味着数据平面的可靠性较低到了控制平面水平,降低了整机的可靠性,控制平面数据平面物理分离设计则避免了数据平面可靠性降低问题,当控制平面故障需要发生切换时,用户数据平面不会受到任何影响,真正实现了零丢包。在网络结构上采用双核心双设备的设计方式,同时采用双归属的连接方式实现了网络的可靠性。
打造高性能的办公环境
---迈普助力大同国税局域网建设
文|徐顺杰(山西办事处)
背景及需求
山西省大同市国税局办公大楼现有的网路架构为5-6年前铺设。网络设备陈旧,性能低下,从核心到接入设备的包转发性能已经无法满足日益增长的网络负载需求。网络设备功能单一,多为HUB集线器,无安全防护措施,带来潜在的安全隐患。现网网络架构多为HUB设备串接而成,网络架构混乱,增加故障率,影响网络管理人员对现有网络的管理和维护,影响我局员工对办公网及业务网络的正常使用。
- 38 -
解决方案
大 同 市 国 税 局 局 域 网 内 网 拓 扑 结 构省中心网络服务器接入区核心交换机SM6800-04A市广域网路由器千兆光纤区县接入网络办公大楼图例:接入交换机SM3100-28TC-AC接入交换机接入交换机接入交换机接入交换机SM3100-28TC-ACSM3100-28TC-ACSM3100-28TC-ACSM3100-28TC-AC千兆光纤千兆电缆
山西大同国税局域网内网拓扑
- 39 -
大 同 市 国 税 局 局 域 网 外 网 拓 扑 结 构服务器接入区核心交换机SM6800-04A互联网出口路由器Internet千兆光纤办公大楼图例:接入交换机SM3100-28TC-AC接入交换机接入交换机接入交换机接入交换机SM3100-28TC-ACSM3100-28TC-ACSM3100-28TC-ACSM3100-28TC-AC千兆光纤千兆电缆
山西大同国税局域网外网拓扑
山西省大同国税局域网分为内网和外网,内网和外网完全物理隔离,使用相关的设备和网络结构,共计涉及2台SM6800-04A和20台SM3100-28TC-AC。以内网为例阐述大同国税局域网架构。
(1)核心层
核心层为内网局域网的核心,主要负责全网数据的高速转发。核心层部署迈普万兆核心路由交换机S6800-04A。S6800-04A采用新一代200G交换平台设计,背板提供单槽位400Gbps的交换容量,整机交换容量达到了1.6Tbps,包转发率达到了952Mpps,即每秒钟可以处理1600Gbit的数据量,可以处理952M个数据包。高性能使得核心交换机可以从容处理每个达到的核心层的网络数据包,核心交换机不会成为整网数据交换的瓶颈。
S6800-08A配置1块24GET24GEFH业务模块卡,提供24个10/100/1000M自适应电口和24个1000M SFP光接口。24个1000M电口主要负责相关内网服务器的接入。24个1000M SFP光口主要用于汇聚接入层交换机S3100-28TC-AC。接入层交换机通过千兆多模光纤上联到核心交换机。
(2)接入层
接入层主要用于网络中接入点的连接,需要提供高密度的电口。接入层设备使用迈普千兆智能网管交换机S3100-28TC-AC。S3100-28TC可提供24个10/100M自适应电口,可满足大容量客户的接入需求;可提供4个1000M Combo口(光电复用接口),通过多模光纤上联到核心层交换机S6800-04A。
应用效果
迈普高性能大同国税局域网较好地解决了大同国税局域网的现有问题,可有效协助税务人员更好地办公。整网网络架构清楚,方便未来网络的扩展升级;网络设备性能强劲,性能不再是数据转发的瓶颈;网络设备可靠性高,设备关键部件全部冗余部署。
- 40 -
提高政府行政效率,降低政务公布成本
---四川省成都市电子政务网孵化园中心
文|王丞(四川大区)
背景及需求
成都市电子政务分为电子政务内网和外网,内网主要为领导决策和指挥提供信息支持和技术服务,是党政机关内部涉密文件交换的网络载体,同与互联网和电子政务外网物理隔离。成都市电子政务外网是成都市信息化建设的关键,随着政府部门信息化程度的提高,对信息系统的依赖程度越来越高。成都市电子政务网建设,必须遵循实用性、可管理性、高安全性、可扩展性、稳定性、先进性和成熟性等有关原则,将网络建设分为内网和外网两个完全物理隔离的网络系统。本次主要为成都市孵化中心包括12#,2#,4#楼政务信息网内、外网的建设。
解决方案
在12#、2#、4#楼配置迈普MyPowerS6800-08A核心万兆交换机,配置万兆模块将这3个区域网络组环联接,在每个楼栋的楼层交换机MyPoerS4152EA和MyPowerS4128EA使用千兆接入到核心交换机上。
在外联出口部署一台千兆防火墙MPSecFM4000-6GE,作为全网的安全控制和管理控制。
应用效果
- 41 -
成都市电子政务内、外网建设虽然采用传统的单链路单核心的情况下,但是使用迈普先进的主控交换分离技术和稳定MyPowerS6800A产品为核心的组建成都市电子政务内外网,最有效的保障成都市电子政务网的高数据交换高性能的要求,24小时不间断运行的的可靠性要求。同时MypowerS6800A和MyPowerS4100为了保障数据接入的安全性,在设备上启用了增强802.1X功能,确保了从接入层到核心层的网络接入安全性。
建设具备多业务运营能力的政务网网络
---迈普助力岳阳市华容县电子政务外网建设
文|粟宇(湖南办事处)
背景及需求
根据省政府相关文件,华容县政府即将接入到岳阳市电子政务外网,实现办公自动化及信息化,为此,需要进行华容县政府的外网建设与整合,统一县委、县人大、县政府、县政协及县直各部门等外网出口。华容县电子政务外网平台是华容县电子政务外网全网中联接各部门业务系统的桥梁和纽带,为各业务部门提供网络传输服务,是未来政务工作的“高速公路”。网络平台提供的是高度集成化、一体化、规范化的服务,其本质是为各业务系统的安全、顺畅、高效运行和数据的传输、交换、存储等构造网络基础环境,它是未来实现各业务系统互联、互通、互操作,促进资源共享的基础性工作。
解决方案
- 42 -
华容县电子政务外网平台按照三层结构设计分为:核心层(华容县政府网控中心)、汇聚层(县城区内各汇聚节点)、接入层(乡镇、县直部门接入节点)。
核心层由两部分组成,其一是广域网核心,此处网络设备为1台外网出口核心路由器。其二是城域网核心,网络设备为2台核心交换机。城域网2台核心路由交换机之间分别通过2条千兆链路聚合互联,实现核心层全冗余和高速连接,确保核心层稳定可靠高效地运行。
城域网的汇聚层由3台汇聚交换机担当,3台汇聚层设备均采用千兆双归属连接至2台核心交换机,提供上行冗余链路,确保接入链路可靠性。汇聚层设备向下采用百兆/十兆接入各市直单位,提供百兆/十兆接入能力。
城域网内的接入层为县直部门的接入,配置一台安全出口路由器,通过单模光纤上联至汇聚交换机。在有些单位与单位之间采取组合式,把几个近的单位组合在一起,再通过一台性能强的交换机放在组合单位集中的位置。再通过单模光纤上联至汇聚交换机。
广域网内的接入层为各乡镇(含街道、村场)接入。配置一台安全出口路由器,通过单模光纤上联至乡镇专用汇聚交换机。街道、村场通过MTPS方式汇聚到各乡镇接入层交换机。
应用效果
将各乡镇、纳入华容县政府行政绩效评估名单的单位、华容县政府门户网站群单位、具有行政审批职能的县直单位、与民生密切相关的其他单位作为首批接入华容县电子政务外网平台的单位,同时也接入以上未包括的县委、人大、县政府、县政协、法院、检察院等六大家的其他重要部门。实现华容县119个横向单位统一互联网出口,提供各个部门高速通达、安全可靠、方便使用的纵向系统专用网络或虚拟专用网络。
- 43 -
因篇幅问题不能全部显示,请点此查看更多更全内容