XXX高级人民法院大楼网络系统设计方案VIP

XXX高级人民法院网络系统设计解决方案- 1 -第一章 前言 - 2 -第二章 需求分析 - 3 -第三章 总体建设方案 - 4 -2.1 方案设计 原则 - 4 -2.2 方案建设目标 - 5 -2.3 整体网络架构 - 6 -2.4 网络详细设计 - 7 -2.5 局域网设计方案 - 7 -2.6 网络层安全设计方案 - 10 -2.6.1 网络安全风险分析 - 10 -2.6.2 网络层安全解决方案 - 12 -2.7 终端信息安全管理设计方案 - 18 -2.7.1 网络接入管理解决方案 - 20 -2.7.2 补丁分发解决方案 - 21 -2.7.3 桌面终端管理 - 22 -2.8 统一网络管理平台设计方案（先请咨询邓霄博） - 22 -2.8.1 网络管理的必要性 - 22 -2.8.2 网络管理解决方案 - 22 -2.9 整体方案特点 - 26 -2.9.1 网络结构安全可靠 - 26 -2.9.2 网络终端安全管理 - 26 -2.9.3 网络精细化管理 - 26 -2.10 硬件配置建议 - 27 -第四章 产品介绍 - 28 -第五章 案例介绍 - 29 - 2 -第一章 前言“天平工程”建设目标是初步完成全国各级人民法院以司法审判信息资源管理为核心的网络和软硬件设施建设、安全和配套设施基本到位，实现案件审判工作及其它各项工作管理全过程的科学化、规范化、实体化和协同化，促进和保障人民法院在全社会实现“公正与效率” 、 “司法统一” 、 “司法便民为民”的目标。通过“天平工程”的建设提高各级人民法院审判效率，促进司法公正。为了实现政务目标，针对人民法院主要业务提出各项业务目标，使各级人民法院审判管理业务、审判监督业务、审判支持业务、司法信息公开业务及内部管理等业务能力和水平显著提高。完善法院司法审判信息系统，完善高级人民法院、中级人民法院和基层人民法院的信息系统建设，在实现各级法院的信息联网基础上进行全国范围内司法审判信息的查询、统计、汇总和分析等数据挖掘、数据分析功能建设，具备与党委、人大、政府、政协、检察院等相关部门信息共享的能力，全面提高我国司法审判水平。- 3 -第二章 需求分析各级人民法院基础业务支撑平台和综合信息交换平台是人民法院业务网络的重要组成部分。人民法院基础业务支撑平台和综合信息交换平台的业务需求是功能和性能上要求能够支持数据、语音和视频业务，应当满足数据传输、交换、共享和综合应用，同时满足各级人民法院综合信息交换平台间的数据、音视频信息通信和视频会议、远程诉讼、案件异地讨论和远程培训等音视频的传输需求。为解决案件审判质量和审判效率及产生的审判效果相关问题，需要人民法院依据职能，建立相关信息化基础设施。1、建设和完善审判管理信息系统，加强和规范立案、审理、执行、归档、信访工作的信息化、网络化。最大限度的解决由于人民法院和法官的失误而导致的审判问题，有效的降低因此而发生的涉诉上访问题。并最终形成司法案例库用以指导审判工作。2、建设和完善各级人民法院之间、人民法院与其它政法机关之间、人民法院与监狱之间、人民法院与其它需要协同的部门之间，人民法院与当事人、律师之间的网络，并建设传输交换系统，有效的解决因沟通不畅，信息掌握不全，信息不一致等原因引起的审判和信访问题。4、利用信息技术手段搜集司法绩效考核信息、法官绩效考核信息等，协助本级法院对法官、上级法院对下级法院和法官的司法监督和司法指导工作。利用音视频信息传输技术，建设庭审音视频信息系统，信访听证音视频信息系统等。对有必要录音或录像的案例进行录音录像，同时为上级法院监督提供支持。5、建设和完善人民法院日常工作支持信息系统，提高工作效率。- 4 -第三章 总体建设方案3.1、 方案设计原则基于对 XXX 省高级法院业务需求的深入理解，结合自身产品和技术特点，迈普公司推出了了完善的 XXX 省高级法院网络解决方案，为 XXX 省高级法院提供“高扩展、多业务、高安全”的精品网络。XXX 省高级法院网络建设遵循以下基本原则：高带宽XXX 省高级法院网络是一个庞大而且复杂的网络，为了保障全网的高速转发，全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据交换。可增值性XXX 省高级法院网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实现以网养网。可扩充性考虑到 XXX 省高级法院用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强大的扩展功能，XXX 省高级法院网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 - 5 -安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施。3.2、 方案建设目标基础业务支撑平台建设内容是满足人民法院基础业务应用要求的网络系统设备、计算与存储备份环境、法庭审判音视频信息系统支撑环境、各项业务应用和安全系统支撑环境。1）建设和完善全国各级人民法院基础业务支撑平台，为人民法院审判工作和其它各项工作管理提供网络系统、法庭审判音视频信息管理和应用系统运行环境的支撑与服务；2）依托本级法院局域网环境，建设和完善覆盖中级以上人民法院和基层法院的综合信息交换平台，实现人民法院间审判信息和其它各类信息的应用与管理，保障网络与信息的安全传输与可信交换。3）在全国各级人民法院建设司法、监测分析、宏观决策、司法公开和内部管理等五大类作业子系统，全面提高人民法院审判工作的公正性和透明度，实现人民法院审判工作的科学化、规范化、实体化管理。4）以人民法院司法审判信息资源管理和应用为核心，建设覆盖最高人民法院、高级人民法院和中级人民法院的三级司法信息资源库；建设最高人民法院和高级人民法院二级数据中心，实现中级以上人民法院诉讼信息的综合应用，为人民法院审判工作、最高院司法资源的整合和配置、最高院对市中院场经济秩序的宏观分析、最高院立法等提供翔实的信息支持和服务。5）建设全国法院执行案件信息管理系统及统一的执行威慑门户系统，形成全国法院执行威慑体系，并与政府相关部门工作协同，为银行、工商、海关等部门提供信息联动服务。6）建设人民法院业务网络统一门户系统，为全国各级人民法院提供统一登录入口和高效综合信息交换业务服务的门户网站。7）完善人民法院互联网网站内容建设，提供网上诉讼指南、法律及法规查- 6 -询、案例查询等司法便民服务。3.3、 整体网络架构在 XXX 省高级法院网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置。典型的网络结构可以分成三层：接入层、汇聚层、核心层。1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos 和 POE 功能都位于这一层。对于法院网络的接入层设备，建议采用千兆三层接入的方式，应该具有线速三层交换、高级 QoS 策略等功能。2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于法院网络的汇聚层设备，应该能够承载校园园区的多种融合业务，能够融合了 MPLS、IPv6、网络安全、无线等多种业务，提供不间断转发、环网保护等多种高可靠技术，能够承载法院融合业务的需求。3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层，必须提供高性能、高可靠的网络结构，推荐采用高可靠的环网结构或多设备冗余的星型结构。对于法院网络核心层设备，应该在提供大容量、高性能 L2/L3 交换服务基础上，能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性，可为法院构建融合业务的基础网络平台，进而帮助用户实现 IT 资源整合的需求。- 7 -3.4、 网络详细设计3.5、 局域网设计方案高院网络基础网络设计方案对于高院局域网络建设，本次建设采用内外网物理隔离的方式。推荐采用千兆接入组网模型。为用户提供三层千兆到桌面的接入服务，整网配置 OSPF 协议，网络故障收敛速度快、易于管理和维护。VLAN 终结在接入端口，限制广播域范围，较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换，利用网络中存在的等价多路径实现业务流量的负载分担。- 8 -网络按照分层、模块化的思路进行设计和规划，根据业务、区域等规划因素进行模块化区域划分，每个区域有自己的汇聚核心与网络核心相连。网络各层设备都为三层设备，支持 OSPF。在接入层设备上提供千兆端口接入。接入层千兆双归属到汇聚层设备，提供链路冗余备份。区域汇聚核心间提供千兆链路连接，双机备份和加速路由收敛。汇聚层千兆双归属到网络核心，根据实际带宽需要也可千兆链路捆绑双上行到核心，汇聚层可采用堆叠设备，它提供的分布式路由和分布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理，而且支持热插拔，不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通过千兆捆绑链路连接，完成高速数据交换和双机热备份。内网部分：核心采用两台迈普的 MyPower S6800-08A 核心交换机承担全网的数据转发，汇聚采用迈普的 MyPower S4200-28FC 实现对接入交换机的接入，分担核心交换机的压力，接入层采用迈普的 MyPower S3200 系列交换机。根据 XXX 省高法大楼的建设需求，一号楼每层 52 个信息点，总共 13 层。所以每层放置一台 24 口和- 9 -一台 48 口个接入交换机，总共使用 3 个汇聚交换机即可，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。二号楼每层34 个信息点的接入，总共 9 层。每层放置一台 48 口接入交换机，每 4 层使用一个汇聚交换机，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。外网部分：核心采用两台迈普的 MyPower S6800-08A 核心交换机承担全网的数据转发，汇聚采用迈普的 MyPower S4200-28FC 实现对接入交换机的接入，分担核心交换机的压力，接入层采用迈普的 MyPower S3200 系列交换机。根据 XXX 省高法大楼的建设需求，一号楼每层 52 个信息点，总共 13 层。所以每层放置一台 24 口和一台 48 口个接入交换机，总共使用 3 个汇聚交换机即可，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。二号楼每层34 个信息点的接入，总共 9 层。每层放置一台 48 口接入交换机，每 4 层使用一个汇聚交换机，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。在互联网区放置两台迈普 MSG 4000-G4 实现互联网出口的审计、行为管理、防火墙等功能，保障高法网内的安全性。3.6、 网络层安全设计方案3.6.1、 网络安全风险分析首先应在对法院网络安全风险分析的基础上，做到统一规划，全面考虑；其次，应积极采用各种先进技术，如虚拟交换网络（VLAN） 、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI 技术等，并实现集中统一的配置、监控、管理；最后，应加强有关网络安全保密的各项制度和规范的制定，并予以严格实行。 为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果及目前主要面- 10 -临的问题设计出符合具体实际的、可行的网络安全整体解决方案。1. 物理层的安全风险分析网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用，它是整个网络系统安全的前提。如： 设备被盗、被毁坏 链路老化或被有意或者无意的破坏 因电子辐射造成信息泄露 设备意外故障、停电 地震、火灾、水灾等自然灾害 因此，法院网络在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、被毁坏；设备老化、意外故障，计算机系统通过无线电辐射泄露秘密信息等。2. 网络层安全风险分析 重要数据被破坏由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。存储数据对于法院来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将导致难以想象的后果，这也是网络犯罪的最大特征。 网络边界风险分析由于当发生安全事件希望把造成的影响降到最低，因此在做安全系统设计时需要按照实际网络情况划分网络边界以达到隔离网络的目的。3. 应用层安全风险分析由于法院对外提供网上 WWW 服务，因此存在外网非法用户对内部网和服务器的攻击。 身份认证漏洞服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，- 11 -可对资源非法访问和越权操作。对法院的网上服务平台，必须加强用户的身份认证，防止对法院网络资源的非授权访问以及越权操作。 www 服务漏洞Web Server 目前正在成为法院对外宣传、开展业务的基地，但公开服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的 BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务” ，最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。 电子邮件系统漏洞电子邮件为网络系统用户提供电子邮件应用。内部网用户进行电子邮件发送和接收时存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等） 、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。3.6.2、 网络层安全解决方案依照法院安全保障体系规划，本章提出安全技术体系的具体配置部署方案。1. 防火墙分系统访问控制分系统是信息安全体系的基本组成要素，网络层的访问控制通过防火墙实现。防火墙提供了在不同安全级别的多个系统网络之间提供共享数据的访问控制能力。法院信息网络是一个综合的网络系统，存在着不同安全级别的网络。为了防止不同安全域的安全威胁在整体法院信息系统中传播，我们在不同安全域之间部署防火墙进行逻辑隔离。防火墙是隔离在本地网络与外界网络之间的一道防御系统。利用防火墙对内部网络的划分，可实现内部重点网段的隔离，通过限制网络互访来限制局部重点或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之- 12 -间的唯一安全通道，通过制定相应的安全规则，可以允许符合条件的数据进入，同时将不符合条件的数据拒之门外，即“法无许可即禁止” 。这样就可以阻止非法用户的侵入，保证内部网络的安全。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全策略。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点。法院系统是一个业务非常重要，安全级别要求较高的网络系统，在本方案中，我们建议法院内部网络边界处防火墙作为统一的接入控制设备，针对法院网络系统，防火墙主要解决的问题如下：防止非法的访问与数据包：一般来讲，总是利用高端口发送数据包来进行攻击行为，那么我们只需要封闭这些端口，或者一些没有用处的协议（比如 ICMP协议） ，就能够有效的防范攻击，特别是外网用户，由于在内部有各类应用服务，我们必须确保只有对应的服务才能经过防火墙，而其他的访问均被禁止，从而保护各类应用服务的安全。防止地址欺骗：一方面，来自其它网络的访问者会将自己的 IP 地址伪装成内部地址，从而绕过防火墙发起对内网的攻击；另一方面，内部用户通过修改自己的地址，而获得更高的访问权限；这些行为都会给单位的网络形成安全威胁，那么防火墙通过 MAC 地址绑定技术、源地址识别等技术，能够识别出这些地址欺骗行为，从而更有效的执行访问控制策略；对内部用户进行应用层深度管理: 对 HTTP、FTP、SMTP、POP3 协议的内容进行管理，保护终端用户合法有效地使用各种网络资源； 对用户、IP、组等对象进行上传，下载等细致的流量控制；QOS 功能，保证重要数据优先上传。网页访问控制；WEB 认证、文件上传下载控制、代理识别。2. 入侵防御分系统在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统，通过中心控制台对各节点进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。入侵检测系统在重要保护网络系统中是访问控制设备防火墙最有利用的补充。 - 13 -入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如发现违规访问、阻断网络连接、内部越权访问等，发现更为隐蔽的攻击。 法院网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全防护能力能够不断增强。 目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。网络入侵检测系统应能满足以下要求： 能在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵行为。能及时识别各种黑客攻击行为，发现攻击时，阻断弱化攻击行为、并能详细记录，生成入侵检测报告，及时向管理员报警。 能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和细度的需求配置多个扫描。 能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测。 所采用的入侵检测产品和技术不能被绕过或旁路。 检测和扫描行为不能影响正常的网络连接服务和网络的效率。 检测的特征库要全面并能够及时更新。 安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同需求选择相应的检测策略。 能够帮助建立安全策略，具有详细的帮助数据库，帮助管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。 3. 防病毒网关分系统病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系统是法院网络系统安全体系建设的重要任务。 目前主要采用病毒防范系统解决病毒查找、清杀问题。 - 14 -根据法院系统网络结构和计算机分布情况，以及目前客户端防病毒软件安装及使用不能完全防范病毒等现状，利用边界安全网关在网络中的特殊位置，使得电脑病毒在进行扩散之前得到有效处理。通过现有的客户端防病毒系统和网络中的边界安全网关防病毒系统能够形成从多层次进行病毒防范，第一层工作站、服务器，第二层网关都能有相应的防毒功能提供完整的、全面的防病毒保护。病毒防护功能特色 基于流、低延时、高并发、高性能的病毒过滤 支持对大病毒文件也能检测 实时病毒连接阻断，病毒事件记录 支持常见病毒传输协议 HTTP、FTP 及各种邮件协议扫描 超过 40 万的病毒特征库，病毒库定时自动更新 支持应用处理模块4. 内网机密信息安全访问解决方案内网是一个完全独立的网络，因此数据在网络平台的传输过程相对比较安全，但是对于一些重要信息，尤其是一些机密信息，需要严格保证这些数据在传输过程中的安全。因此，虽然这些数据传输在一个相对独立的内网，但是仍然存在被侦听破解的可能，需要有合理有效的方式解决这个问题，我们建议采用基于 VPN- 15 -的解决方案，是一种非常安全而且灵活的解决方案。适用环境：移动办公 SOHO，便携笔记本。方案实现：在便携终端上安装 VPN 软件客户端（ SSL VPN 方式可以免除软件安装）和 USB KEY 设备，便携终端外接 GPRS，CDMA-1X Modem 通过移动拨号连接 Internet 与法院中心的 VPN 网关之间建立 VPN 隧道，完成移动办公，使用 SSL VPN 方式可以免除客户端软件安装。方案优势： MSG4000 安全网关可同时提供 IPSec 和 SSL 两种 VPN 接入方式，可以提供根据业务选择不同的接入方式 SSL VPN 可以提供免安装软件接入，对于 B/S 模式的业务支持能力强，维护成本较低，但对于复杂业务的处理支持能力有限 可以支持 USB-SecKEY，RSA 等多种硬件认证方法，保证移动终端接入的可靠性 接入方式灵活，支持 ADSL，GPRS，CDMA 1X，Modem 等多种移动接入方案5. 上网行为审计解决方案互联网的兴起与普及为人们的工作和生活提供了极大的便利，与此同时，经由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患等问题日益凸显。例如，在企业内部，部分员工利用工作时间在线炒股、玩在线游戏、欣赏音乐和视频、通过 P2P 工具下载、使用即时通讯工具无节制地网络聊天、通过网络外泄公司机密；在网吧等一些公共上网场所，人们可以随意浏览不健康网站、发表不负责任的言论、甚至参与非法网络活动针对互联网所带来的上述问题，需要为法院提供可控制的上网行为管理功能。该功能通过对用户的网络访问行为进行控制和管理，有效解决因接入互联网而可能引发的各种问题，优化对互联网资源的应用。上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P 下载、网页访问、邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录，同时能够配合集中网络安全管理系统对网络行为日志进行查询统计与审计分析，从而为- 16 -网络管理者的决策和管理提供重要的数据依据。上网行为管理功能主要通过策略机制实现，网络管理者可以针对不同用户制定适合的上网行为管理策略规则，系统则会根据策略规则对网络应用流量进行行为控制和管理。上网行为管理策略规则共分为三类：网络应用控制策略规则、网页内容控制策略规则和外发信息控制策略规则网络应用控制策略规则网络应用控制策略规则对网络应用的使用进行控制。根据不同的协议及应用领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P 协议、流媒体协议、其他协议、FTP 控制以及 HTTP 控制等等大类，每一大类中又包含若干具体的子应用和协议。网络管理者可以根据需要，对各种应用和协议制定基于用户和时间表的策略规则，以实现对用户上网行为的控制。- 17 -网页内容控制策略规则网页内容控制策略规则包括 URL 过滤策略规则和关键字过滤策略规则。网页内容控制策略规则能够对用户访问的网页进行控制。URL 过滤策略规则可以基于系统预定义的 URL 类别和用户自定义的 URL 类别，对用户所访问的网页进行过滤。关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进行过滤，同时，能够通过 SSL 代理功能对用户所访问的含有某特定关键字的HTTPS 加密网页进行过滤。外发信息控制策略规则- 18 -外发信息控制策略规则包括 Email 控制策略规则和论坛发帖控制策略规则，能够对用户的外发信息进行控制。Email 控制策略规则能够对通过 SMTP 协议发送的邮件和 Webmail 外发邮件进行控制，可以根据邮件的收件人、发件人、内容关键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过 SSL 代理功能控制 Gmail 加密邮件的发送。论坛发帖控制策略规则能够对通过 HTTP Post 方法上传的有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键字的帖子。上网行为管理作为网络层安全设计中一部分，与访问控制、Qos、IPS 等模块构成企业网络出口的安全屏障。对外可进行入侵防护和非法访问阻断，对内可进行 WEB 访问、P2P、IM 等应用进行审计。从而使网络的安全性得到提高，使应用和用户的行为能够可视化。- 19 -3.7、 整体方案特点3.7.1、 网络结构安全可靠核心网可靠性、可用性的保障，低成本，快速收敛。满足法院局域网关键业务高可用性要求。针对法院复杂组网环境，提供全线速、高密度的万兆解决方案。对用户接入的有效控制，符合策略的终端才能接入网络。低成本高速率桌面接入，适用单位各个部门、服务器群的接入。3.7.2、 网络精细化管理通过网络精细化管理，能够实时监视所有设备的运行状况，通过可视化的网络拓扑界面帮助用户及时了解网络的变化。帮助用户主动监视网络的状况，及时发现网络潜在的隐患。同时，丰富的历史性能统计数据为用户升级扩容网络提供了客观准确的参考。可管理所有支持标准 SNMP 网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。3.8、 硬件配置建议序号 产品型号 描述数量价格合计核心交换机1 SM6800-08A-MFSM6800-08A-MF 交换机箱（含背板、防尘板），2 个主控插槽、2 个交换矩阵板插槽、8 个线卡插槽、1 个风扇插槽，8个电源插槽。1 02 SM68A-MPUBH主控卡（含软件），必配 1 张，支持 2张冗余备份。建议配置两条 DDR400-512S，可选配一个 U 盘和一个 CF 卡。用于 SM6800-08A-MF、SM6800-16A-MF2 03 SM68A-SFUBH交换矩阵卡，必配 1 张，支持 2 张冗余备份。适用于 SM6800-08A-MF、SM6800-16A-MF2 0- 20 -4 SM68A-24GET24GEFH24 端口千兆光接口（需配 SFP 光模块）24 端口千兆电接口，可选配 POE 模块，该模块可支持 3 个 POE。内存插槽一条，推荐配置 DDR400-512S。适用于 S6800-02A/04A/08A/16A-MF 系列主机1 05 SM68A-SIUH液晶显示模块,用于 SM6800-08A-MF v1版、SM6800-16A-MF V1 版，必配 1 张，。1 06 AD1000-1S007Z1000 瓦交流电源模块，必配 1 个，支持N+1 冗余备份。适用于 S6800-02A/04A/08A/16A-MF 系列主机。2 07 FAN-13A-01 风扇，必配 1 个，用于 SM6800-08A-MF 1 08 DDR400-512S512M DDRAM 条,内存访问速度 400,封装为 SODIMM 5 09 SFP-S2-L24P31.25G 单模光模块（传输距离 20km，LC接口、PECL 接口电平、波长 1310nm） 10 0单套设备合计： 0 数量/总计 4 0 汇聚交换机1 SM4200-28FC千兆三层路由交换机（24 个千兆 SFP 以太口，12 个 10/100/1000M 电接口，2 个扩展槽），交直流电源 1 02 SFP-S2-L24P31.25G 单模光模块（传输距离 20km，LC接口、PECL 接口电平、波长 1310nm） 10 0单套设备合计： 0 数量/总计 10 0 接入交换机1 SM3200-50T-AC 网管型千兆交换机主机（ 44 个 10/100/1000M 电口， 4 个千兆 Combo 接口， 2 个千兆电口，交流主机）1 02 SFP-S2-L24P31.25G 单模光模块（传输距离 20km，LC接口、PECL 接口电平、波长 1310nm） 2 0单套设备合计： 0 数量/总计 42 0 接入交换机1 SM3200-26T-AC 网管型千兆交换机主机（ 20 个 10/100/1000M 电口， 4 个千兆 Combo 接口， 2 个千兆电口，交流主机）1 02 SFP-S2-L24P31.25G 单模光模块（传输距离 20km，LC接口、PECL 接口电平、波长 1310nm） 2 0单套设备合计： 0 数量/总计 26 0 - 21 -出口网关1 MPSec MSG4000-G4-AC千兆中端安全网关，配置 4 个 GE 口+4个 SFP 口；提供 2 个模块化插槽，可以扩展 8SFP/8GE/4 口 Bypass 模块；配置单交流电源，标准 1U 设备；默认支持防火墙/IPSec VPN 功能，通过 License 扩展可以支持完善的 IPS/AV/SSL VPN/流量控制/上网行为管理/URL 过滤等功能1 0单套设备合计： 0 数量/总计 2 0 - 22 -3、 产品介绍MyPower S6800 系列产品介绍产品概述MyPower S6800 系列万兆核心路由交换机外观图MyPower S6800 系列高性能万兆核心路由交换机是迈普公司推出的新一代多业务高性能电信级核心交换机平台产品，可以向用户提供高性能、高可靠、多业务的网络服务。MyPower S6800 系列高性能电信级交换机采用先进的 200G 交换平台，可以提供超大容量 L2/L3 层数据交换服务；采用 ATCA 理念，先进的电信级 99.999%设备稳定性设计，所有部件全冗余，主控卡和交换矩阵硬件分离；支持 MPLS 和 IPv6 数据的全分布式硬件线速处理，满足核心层设备高密度、高吞吐量的 MPLS 和 IPv6 数据转发要求；提供电信网络的管理特性，通过 OAM 协议可以对网络链路、业务、用户端进行全面的管理。MyPower S6800 系列高性能电信级交换机作为多业务网络核心平台，可与迈普全系列交换机一起为金融、运营商、政府、能源、交通、教育、军队等用户提供全方位的广域网和局域网解决方案，广泛应用于以上各个行业领域的国家级和省级数据中心、国家级和省级网络核心、大型园区网核心、运营商 IP 城域网核心。MyPower S6800 系列高性能电信级交换机分别提供 4 槽、8 槽、12 槽、20 槽四种机框满足不同业务容量客户的需求。产品特征 先进的万兆交换硬件体系架构设计保证大容量交换容量 核心保障机制和关键部件冗余保证设备的电信级可靠性 集中式/分布式的 IPv6/MPLS 处理机制满足各类应用需求 完善的网络安全特性能够提供全面的攻击和病毒防范能力 支持虚拟化功能，可以实现配置统一管理和数据同步功能 丰富的多业务卡设计，通过众核处理实现了多业务的加速- 23 - 超低功耗设计延长交换平台的寿命，降低设备运转能耗 领先的电信级产品的易用性、可管理性、OAM 特性先进的 200GE 多级交换架构的交换平台采用新一代 200G 交换平台设计，先进的无源铜背板提供单槽位 400G 的交换容量，通过 Crossbar 空间多级交换矩阵实现板内和板间超高速二、三层线速分布式转发；通过功能强大的多核+NP+ASIC 芯片进行高速路由查找，从而大大提升 MyPower S6800 交换平台的路由性能；高达 6.4Tbps 的整机交换容量，提供领先的大密度万兆、千兆以太网板卡，可升级支持 40/100GE 接口，满足核心层设备高密度、高吞吐量、可扩展的要求。采用 ATCA 架构设计的电信级交换平台整个系统采用 ATCA 架构的理念，所有部件均提供双冗余或者多冗余设计，支持电源冗余、管理模块冗余、交换矩阵冗余、风扇冗余、链路冗余等；整个系统电源模块、风扇模块、所有业务板卡支持热插拔；系统软件支持优雅重启技术和在线升级功能，可以保证业务永不中断；独特的双控制引擎互为备份设计，保证核心交换平台具有苛刻电信级可靠性；独立的交换网板卡，交换卡和控制引擎硬件相互独立，可以提高设备的可靠性，同时为后续产品带宽的持续升级提供保证。支持 IPv6/MPLS 硬件全分布式转发平台整个平台支持基于 ASIC 全分布式全线速硬件 MPLS/IPv6 转发方式，可以在板卡内实现MPLS/IPv6 报文的全线速处理，避免集中式转发的瓶颈和时延问题，为 MPLS/IPv6 大规模组网提供了有力保障。丰富的 MPLS 功能特性，可以满足运营商 MPLS 城域网的要求，可以针对各类业务提供二、三层 MPLS VPN 功能。每端口大容量 Buffer，满足大型数据中心高突发流量的需求；支持精细化 QoS 和流量管理，给不同用户、不同业务流分配不同的优先级和队列，保证不同的带宽、业务延迟和抖动性能。领先的电信级产品的易用性、可管理性通过独立的机箱管理平面和液晶面板，能够自动检测和上报硬件故障，并进行相应的故障隔离，对电源管理、环境及热点温度监控、风扇转速自动调整，CPU 系统异常重启前关键信息保存，便于后续故障分析和定位。支持在线状态检测机制，支持单板离线故障诊断，快速方便的现场定位手段，支持业务层面的在线故障诊断，通过 TCP、UDP-Jitter、ICMP、 HTTP、FTP、 DHCP、DLSw 和 SNMP 测试等各种探测方式对网络或服务进行质量分析，并提供测试结果，可视化网络流量监控和分析。全面支持 802.3ah OAM、802.1ag OAM、 ITU Y.1731 OAM，提供多种设备级和网络级的故障检测手段。完善的系统网络安全特性确保网络可靠具有系统网络安全性的功能设计，支持基于用户安全策略的 SNMP V3、MAC+IP+VLAN 绑定、802.1X 认证等安全策略，支持防网络风暴攻击、防 DOS/DDOS攻击、防 ARP 攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术，可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络。控制平面和转发平面的物理隔离，控制平面和转发平面的多级保护及安全性，可以有效的防止各类攻击。多种攻击检测机制：ARP 深度检测；IP 攻击检测；TCP 攻击检测， IP Source Guard 等，配合IPFIX 和 MatserPlan 网管可以实现对攻击源的主动防御。- 24 -支持虚拟化功能，可以实现配置统一管理和数据同步功能支持虚拟化功能，可以将多台交换机虚拟化为一台交换机，进行统一管理和统一表项的数据转发。多台交换机堆叠后，从主交换机可以对从交换机直接进行管理，以全局的方式进行配置命令下发。多台交换机堆叠后，可以实现主、从交换机的转发表项的自动同步功能，以一台交换机的方式进行数据转发。支持通过 10000M 光口的方式进行堆叠，可以实现本地或者远程的堆叠功能，部署更为方便。支持跨设备的链路捆绑功能，可以满足核心网络的链路高速切换需求。高速交换平台配合众核处理实现了多业务的加速MyPower S6800 高性能交换机平台是迈普多年 IP 网络技术研发的结晶，依靠先进的200G 交换平台，采用全球领先的 40G 处理能力的众核处理器技术，通过全硬件处理实现了NAT、防火墙、VPN、IPFIX 、流量分析、内容过滤、PWE3 、语音、视频、网管等功能，扩大了核心交换机的使用范围，实现了网络核心和业务核心的融合。通过加强核心设备的功能集成，将以前多种设备分布实现的业务功能，通过一台 MyPower S6800 高性能交换机平台来集中处理，既减少网络复杂度，降低了用户的维护工作量，又可以通过 MyPower S6800 高性能交换机平台的高性能交换通道，提供一个高性能的数据转发环境。业务板卡支持在板卡内置了 IPFIX 处理引擎，处理性能高，节省了客户的投资。全面的绿色环保设计延长核心交换平台的寿命根据 10规律，半导体芯片的可靠性、使用寿命与工作温度有着直接的关系，工作温度每上升 10，半导体芯片可靠性降低一半，而工作温度与设备的功耗成正比关系。MyPower S6800A 高性能电信级交换机大量采用 ASIC 处理芯片进行数据处理，在满足高性能的前提下大幅的降低成本，16 槽设备的整机最大功耗（全配、非 POE）低于 1800 瓦，在高端设备上的低功耗设计使得半导体芯片的温度较低。低功耗设计不但大大增加高端设备的使用寿命和稳定运行，在能源日益紧张的今天，同时也节约设备的运转能耗，满足绿色环保要求。完善的电源管理功能，空闲端口低功率待机，还可以对空闲的单板进行下电管理，同时还可以对相应散热风扇进行停转控制，进一步降低功耗。产品规格硬件规格产品型号 S6800-02机框S6800-04 机框S6800-08机框S6800-16机框整机槽位数 4 8 12 20主控板槽位数 2 2 2 2交换板槽位数 0 2 2 2业务引擎槽位数 2 4 8 16电源槽位数 2 4 8 8交换容量 800Gbps 1600Gbps 3200Gbps 6400Gbps- 25 -转发性能（IPv4） 952Mpps 1920Mpps 2400Mpps 7619Mpps转发性能（IPv6） 952Mpps 1920Mpps 2400Mpps 7619MppsUSB 主控板上提供一个 USB 接口配置口 主控板上提供一个配置接口存储卡 主控板上提供一个 CF 扩展接口外形尺寸（长宽高） 444x600x131（3U）444x600x310（7U）444x600x577（13U）444x600x977（22U）输入电压 AC：100260V，5060HzDC：3672V功耗（非 POE 最大值） 200W 600W 1000W 1800W工作温度： 045温度存储温度：-1060工作湿度：1090% 不结露湿度存储湿度：1090% 不结露散热方式 风扇散热软件特性支持 MAC 地址学习数目限制；静态 MAC 配置；黑洞MACEthernet，Ethernet II、 VLAN（VLAN-BASED PORT VLAN、VOICE VLAN、Guest VLAN） 、802.3x、802.1p、802.1Q、802.1xQINQ、灵活的 QinQSTP/RSTP/MSTP；支持 BPDU TUNNEL；IGMP Snooping、GVRPIEEE802.3ad LACP 二层聚合链路层协议与技术局域网多对一的端口镜像，远程端口镜像 RSPAN，跨板的端口镜像，不同速率的端口镜像，支持基于流的镜像，支持- 26 -跨网段的流镜像功能 ERPAN基于端口的广播流量抑制，基于端口的未知组播流量抑制，基于端口的未知单播流量抑制，基于端口绝对带宽进行流量抑制，可按照 PPS 和 BPS 进行抑制ARP 功能 动态和静态 ARP、代理 ARP、免费 ARP静态路由RIP v1/v2、RIPngOSPF v3、OSPFv3IS-IS、IS-ISv6IRMPBGP、BGP4+路由协议ECMP（等价多路径） 、路由策略、递归路由IGMP v1/v2/v3、MLD V1/V2IGMP Snooping、MLD SnoopingPIM-DM、PIM-SM 、PIM-SDM、PIM-SSM组播协议DVMRP、MSDPDHCP Server、DHCP Client、DHCP Relay、DHCP Snooping、Option 82DHCPv6 Server、DHCPv6 Client、DHCPv6 RelayDNS、DDNSFTP Server、FTP ClientPing、TraceIP 应用IP Accounting、UDP Helper、NTPIPv6 基本功能：IPv6 ND，IPv6 PMTU，IPv6 FIB，IPv6 ACL网络协议IPv6IPv6 过渡隧道技术：IPv6 手动隧道、GRE 隧道、IPv4 兼容 IPv6 自动隧道、6to4 隧道、ISATAP 隧道网络安 端口 端口安全、端口隔离- 27 -ARP ARP Guard，DAI，静态 ARP 捆绑，ACL标准 IP ACL、扩展 IP ACL、标准 MAC ACL、以太协议ACL、IPv6 ACL、自反 ACL、高级 ACL安全防护 控制平面保护、URPFDDOS 防攻击ICMP Flood 拦截、Smurf 攻击拦截、Fraggle 攻击拦截、L