数字民政信息网项目设计方案

1 数字民政 信息网 项目设计方案 一、 系统建设背景 信息技术的飞速发展，推动全球信息化的迅猛普及，为响应民政部信息化的发展，福建省民政厅提出实现全省的民政系统网络信息化，以 提高民政工作水平为出发点，积极推进民政系统信息化建设，逐步实现民政业务工作决策科学化、管理规范化、服务网络化、手段现代化 。 开展信息化建设是行政管理方式的一场革命 ；是 转变工作方法、提高民政工作整体水平的有效途径；是提高工作效率、促进民政事业快速发展的重要手段；是民政工作为基层、为群众提供优质服务的迫切要求。 承担基层选举、优抚、救济、社会福利、婚 姻登记等诸多社会事务管理的民政工作，未来 5年内将逐步实现信息化。已经开始实施的 “ 数字民政 ” 和 “ 便民 ”两项工程，将大大提高民政工作管理的效率和民政服务的质量。开展信息化建设是提高民政工作整体水平的有效途径，是提高工作效率的重要手段，也是民政工作为基层、为群众提供优质服务的迫切要求。 目前，民政系统信息化建设已初具规模。民政部机关除在互联网上推出以政务公开为主要内容的民政部网站外，还有城市居民最低生活保障管理系统单机版、救灾管理统计系统、婚姻登记管理系统、社团管理系统等业务软件在全国或部分地区推广，全国行政区域 界线信息管理系统开发工作也有望在近期启动。 根据全国民政系统信息化 2001未来 5年内民政系统将基本建成管理和服务两大网络系统。其中，与重点民政业务相结合的 “ 数字民政 ” 工程，将建成覆盖各级民政部门的高速宽带网络，使各级民政部门可利用 2 通用民政业务平台灵活地查阅、分析各种民政业务信息，利用专用软件处理各项民政业务。而与社区建设相结合的 “ 便民 ” 工程，则将建成集国际互联网、热线电话和单键呼叫为一体的智能呼叫中心，在最低生活保障申请、婚姻登记、领取抚恤金、社团登记、远程教育、养老服务、医 疗护理以及困难求助等各个方面，为城镇居民提供完善、快捷、优质的服务。 二、 系统建设目标 福建省“数字民政”信息网是为福建省民政系统各项业务工作提供信息技术支持的、以现代化通讯方式为网络联通手段、以 式为处理模式的计算机信息管理网络系统。系统建设的总目标是：以先进性、可靠性、安全性、实用性等原则为前提，建立以现代化通讯方式为网络联通手段、以 P 为网络通信协议、以内部交换式网络架构为平台、充分考虑防火墙和防病毒等多种网络安全措施、覆盖福建省各级民政部门的高速宽带信息网络平台；全面实 现民政业务工作和财务工作的计算机管理，实现省民政厅办公自动化； 使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息，利用专用软件处理各项民政业务 ；及时为领导提供多种方式的决策支持；为社会公众提供便捷、完备的信息查询服务；确保信息数据和网络系统的长期安全可靠。 为了最大限度地发挥投资效益，使福建省“数字民政”信息网在最短时间内投入运行，建议网络系统建设分为两个主要阶段。 第一个阶段的规划目标是： 在省民政厅机关主体办公楼内建立内部局域信息交换网络。 与 2002 年底前建成 的 部省两级相连的民政系统 高速宽带广域网 相连接，实现部省民政部门的公文传递、信息交换（包括文字材料、图形、图像、声音等），共享各级民政部门开发的信息资源。 建立与 高速安全连接，提供 必要的信息服务，能够及时发布民政信息并了解国内外民政工作动态，以加强与社会各界的信息交流和对社会提供一定的信息服务。 配备一台广域网路由器，计划二期与全省各地、市、县民政部门的连接。 第二个阶段的规划目标是： 3 建成覆盖 全省 各级民政部门的高速宽带网络，使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业 务信息，利用专用软件处理各项民政业务 。 省级广域网的通信速率不低于 512议 2。 提供通过电话拨号连接上网的接入方式，为移动用户提供入网服务。 在“数字民政”高速宽带网络平台的基础上，充分使用数据库、群件（ 中间件和互联网技术，为民政厅建立一个计算机网络民政综合办公业务应用系统。 建成以省民政厅节点为中心，连接全省各级民政部门的视频会议系统。利用视频技术和设备，通过网络传输信道在两地或多个地点进行会议，可以实现视频、音频、数据、图像等多媒体信息综合处理和实时交换，为各 级领导、各个部门提供视频会议服务，包括点对点视频会议和多点视频会议形式。 本设计方案是针对第一个阶段的建设目标完成的。 三、 系统设计原则 1、先进性原则 计算机及网络技术近年来发展极快，技术更新的周期也在缩短，而且这种发展速度还将继续若干年，那么从技术的先进性衡量，就要求为客户新建立的系统有一定的先进性，不至于很快被淘汰。 福建省“数字民政”信息网应采用先进并且成熟的网络技术，选择代表发展方向主流的计算机软硬件产品，设备选型要具有很高的品质保证和平均无故障运行时间，使整个系统建成时能达到当时的先进水平并有较长的使 用周期和较高的运行效率。 2、实用性原则 实用性就是用较少的资金、较快的速度建成一个用户界面友好、易于操作的实用系统。 系统的先进性必须建立在实用性的前提下，实用性的第一要素是以满足应用需求为目标，力求达到最佳的性能价格比，在现有的条件下合理安排，充分运用资金完成各项工作。系统设计依据业务流量分析结果，合理配置主机系统、 4 网络系统，在确保业务处理响应时限和系统可靠性的前提下，通过整合性设计防止出现系统瓶颈，充分利用各种资源，详尽考虑现有软、硬件投资保护，扣紧实用性主题，尽量减少不必要的系统能力购买，做到最佳的性 能价格比。 3、可靠性原则 福建省“数字民政”信息网必须能够长时间平稳运行，尽量减少单点故障和服务停顿。我们的设计方案中，网络系统采用交换技术、 域网通信线路备份技术、网络设备电源冗余技术，保证网络平台不间断可靠安全运行。 4、安全性原则 福建省“数字民政”信息网业务数据和系统十分敏感，需要把系统安全建设提升到战略的高度加以认识和把握，在系统设计和建设的全过程中要充分考虑安全因素，在核心部位采用通过国家验证的安全产品，保证社保系统安全可靠运行，确保社保信息在采集、处理、传输、使用和存贮过程中， 不致受到人为或自然因素的危害，而使社保信息丢失、泄露、篡改或破坏。应建立病毒防御体系，确保所有保险信息数据资源不受计算机病毒感染；系统应能对网络数据自动进行实时备份和恢复（包括灾难恢复）；软硬件出现故障时，系统应能够提供不间断服务；应提供多级保密方式和对数据的保护功能，并对业务人员的操作日志进行管理，不使数据受到恶意侵犯；当需要和外界进行数据交换时，应建立防火墙系统。 5、经济性原则 在满足 福建省“数字民政”信息网系统 需求的前提下， 我们在设计方案中 尽可能地选用性能价格比最优的设备，以节省投资、用最低成本完成 整个计算机及其网络的建设，最大限度地维护用户利益 。 6、可伸缩性原则 由于用户的实际工作是可持续发展的，新建立的系统应能保证 “ 平滑升级 ” ，即系统在扩大、改变与发展时能使原有的软硬件资源得到最有效的保护。保证系统可扩充性的关键是一定要使用 “ 开放性 ” 技术。 随着新的应用的出现，在现有网络不能满足需求的前提下，必须对网络进行升级改造，在这种情况下，必须保证升级扩展是平滑的，在保持连通性前提下，充分发挥原有网络性能，保护用户的投资，实现原有网络到更先进网络的平稳过渡。 5 7、可管理性原则 建成后的福建省“数字民政”信息 网是一个跨地区、多种先进计算机技术应用的综合业务网系统，系统的可管理性和易维护性相当重要。网络系统必须具有故障自动告警功能，发生故障时及时告警可以缩短故障排除时间，快速恢复网络，提高网络服务水平。通过系统性能管理，均衡系统负载能力；通过电源管理，确保基础电源供应可靠；通过对网络和站点的远程管理，极大地减少系统的维护工作量；通过对网络的备份和恢复管理，最大限度降低系统灾难性损失。综合措施确保了整个“数字民政”信息网良好的管理体系。 8、开放性原则 由于计算机网络和有关技术发展很快，可以说日新月异，在新技术成熟 或新要求提出时，应能扩展升级和灵活变更，而不是推倒重来，以保护今天的投资。系统设计的开放性原则是指系统有适应外界环境变化的能力，即在外界环境改变时，系统可以不作修改或仅作少量修改就能在新环境下运行。 四、 主要网络技术介绍 福建省“数字民政”信息网建设将采用千兆以太网作为内部局域网主干技术，不同科室划分 配不同网络号以达到隔离广播提高网络性能的目的，不同006 交换机的三层交换功能实现。下面介绍福建省“数字民政”信息网建设采用的千兆以太网、 层交换等最新网络技术。 1、千兆以太网 经济在高速发展，信息在迅猛膨胀。多媒体应用的日益增加、 网络的带宽提出了新的挑战。局域以太网从 10M 开始发展，经历几多的变迁，风风雨雨二十多年，发展到今天风靡一世的千兆以太网。千兆以太网以高效、高速、高性能而著称，已经广泛应用 于 各行各业。 千兆以太网是建立在以太网标准基础之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容，并利用了原以太网标准所规定的全部技术规范，其中包括 太网帧、全双工、流量控制以及 准中所 6 定义的管理对象。作为以太网的一个组成部分，千兆以太网也支持流量管理技术，它保证在以太网上的服务质量，这些技术包括 二层优先级、第三层优先级的 别服务和资源预留协议（ 千兆以太网还利用 四层过滤、千兆位的第三层交换。千兆以太网原先是作为一种交换技术设计的，采用光纤作为上行链路，用于楼宇之间的连接。之后，在服务器的连接和骨干网中，千兆以太网获得广泛应用，由于 用 5类及以上非屏蔽 双绞线的千兆以太网标准）的出台，千兆以太网可适用于任何大中小型企事业单位。千兆以太网技术甚至正在取代 为城域网建设的主力军。 千兆以太网的特点主要包括如下 ： 、 千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络基础设施上的投资。千兆位以太网将保留 管理的对象规格，从而使企业能够在升级至千兆性能的同时，保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具； 、 千兆位以 太网相对于原有的快速以太网、 供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对 域网与广域网的更快速的访问。 、 作组建立了 兆位以太网工作组，其任务是开发适应不同需求的千兆位以太网标准。该标 准支持全双工和半双工1000应的操作采用 兆位以太网还要与 10 100后兼容。此外， 准将支持最大距离为 550 米的多模光纤、最大距离为 70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了 太网 /快速以太网标准的不足。 2、 拟局域网（ 与物理局域网相对的，利用专门软件，建立在网络数据交换基础上的数据网 络。虚拟局域网其实就是一个计算机网络，其中的计算机就好像处在一个普通的局域网中一样。但事实 7 上，它们可能处于物理上的不同区域，甚至可能不在本地。 采用 、广播的隔离：由于在网络的接入层采用以太网接入方式，而以太网技术存在大量的“广播”问题，寻址、 议、多媒体应用等，如不加以控制会造成严重的“广播风暴”，特别是对于较大型的网络。通过 术，可以将一个大型的网络虚拟（逻辑）地划分成若干个规模较小的“广播域”，每一个“广播域”即是一个 样可以将 广播控制在一个个较小的范围内，以达到广播隔离的作用。 、增强网络安全： 于不同边界的子网之间的网络流量只能通过路由跨越。因此，可能通过路由器或多层交换机的安全措施来控制和过滤网络的访问，从而提高网络的安全性。 、提高网络性能：通过对 以使大量的网络通讯流量都包含在 而减少网络主干的通信量；另外，可以将网络服务器集中放置，并将它们配置成多个 会减少从工作站到服 务器路由通信的需求，从而优化网络资源。 以是基于交换机端口的划分，也可以是基于主机或设备的 址，也可以基于 络协议或基于用户定义的策略动态地划分等等。不同的 实际应用时可根据用户具体需求灵活选择。但较常用而简易的方法之一，是采用基于交换机的端口来划分 接到交换机上同一端口的主机归属于同一个 3、三层交换 目前主干交换机一般都采用流行的 弄 清楚第三层交换机的定义以及它与路由器为什么不同是比较麻烦的，许多生产商把第三层交换机等同于比传统路由器更快的路由器，事实上这是毫无道理的。报文从一个接口转发到另一个接口的过程中，第三层交换机和路由器的判定过程无论在意图上，还是在目的上都是相同的，唯一不同的是物理实现。第三层交换机使用流行的 路由器使用通用微处理器。第三层交换机和路由器均根据目的 变 少生存期（ 域，执行一次帧检测。 8 除转发报文外，路由器一般使用路由协议（如 创建和维护路由表，这与第三层交换机相同。第三层交换机必须用一种方法使用当前的路由表。实际上，这可以通过第三层交换机参与到路由协议处理过程中，或者第 3 层交换机使用传统路由器的路由表来实现。 另外，第三层交换机和路由器更有趣的区别是“路由一次，交换多次”。第三层交换机在第一次需要与远程目的连接时，就能在路由表中发现正确路由，这样同一目的的后续报文的处理就可以“快捷”交换。这种快捷方式一般来源于在报文后增加一个标识符，该标识符表示报文是一个特定流的一部分，其优点在于：可以根据这个简单标识交换报文，设备不需检查每个 报文整体。 由上述可知，第三层交换机的路由功能由两部分组成：一是路由引擎，负责地址表的维护，仍然采用传统的路由协议如 是交换引擎，负责数据包的转发和它们安全策略的控制与过滤，交换引擎采用专用的集成电路 有极高的数据包转发能力。 五、 网络拓扑图 9 10 六、 网络设计方案 1、局域网设计 （ 1）配置描述 福建省民政厅再就业与社区服务中心大楼综合布线系统正在实施中，整栋大楼的数据信息点、语音信息点等弱电系统正在进行统一布线。其中语音点有 220个，数据点有 232个（含双口地插和光纤点）。福建省民政 信息网的中心机房设在大楼五层，另外设置三个楼层配线间：一楼、二楼、三楼、四楼共有 48 个超五类双绞线信息点、 1 个光纤信息点，汇总到二楼配线间；五楼、六楼、七楼共有 90个超五类双绞线信息点、 2 个光纤信息点，汇总到六楼配线间；八楼、九楼、十楼共有 72个超五类双绞线信息点、 8个光纤信息点，汇总到九楼配线间。 福建省民政厅信息中心作为全省民政网络的中心节点，其地位是不言而喻。因此必须配置性能高、可靠性好、满足近期网络扩充要求的网络交换机，作为信息中心主干交换机。建议局域网主干交换机采用 006 三层交换机，该交换机有六个模块插槽，具有灵活的端口配置能力，支持快速以太网、千兆以太网等多种现行主流网络技术。配置一块 以提供 6448 层数据包转发率（硬件） 、 基于 件） 的 48 及 基于硬件的第 2 层、第 3 层、第 4 层交换引擎（基于 。 第 2 层和第 3/4 层的交换被集成到 的单一 硬件引擎中，可以通过范围广泛的第 3 层服务（例如基于端口的 载共享，容错功能等，这些服务可以加强它在高端配线间中的部署能力），简化传统的第 2层 006 配置以下网络模块：一块 供 32个自适应 10/100M 以太网 个 一块 供 6个 上 统模块提供的 2个 个 及配置的 10个1000共可以提供 10 个千兆多模光纤以太网连接，用于连接楼层接入交换机和和关键服务器。 楼层接入交换机配置如下：九楼配线间配置 1台 5081 台 3524X 11 和 1台 3548中 3524548换机之间作堆叠，这样总共能够提供 72个自适应 10/100M 以太网端口和 8 个 兆以太网端口用于连接光纤信息点；六楼配线间配置 2台 548别通过千兆以太网端口与006 主干交换机连接，可提供 96个自适应 10/100 个 兆以太网端口用于连接光纤信息点；二楼配线间配置 1 台 548过千兆以太网端口与 006 主干交换机连接，提供 48个 10/100M 自适应以太网端口和 1 个 兆以太网端口用于连接光纤信息点。 为了方便管理和提高安全性，省民政厅可以按科室划分 不同的科室分配不同的子网号，各个科室各自构成一个独立的子网，这个过程可以在主干交换机或接入交换机 的端口上实现。不同的 自己独立的 ， D 号的定义在交换机端口上实现的，而 能的以太网交换机自动执行的，这个过程对工作站本身是透明的。在网络划分了 同 们之间的数据传输通过主干交换机006 的三层模块功能实现。 （ 2）性能描述 000 系统是一种经济 、 高效、灵活的网络解决方案，能进行伸缩来满足当今的高性能需求并提供将来的投资保护 ，完全满足福建省“数字民政”信息网要求 。 000交换机 主要优点包括： 性能 提供了先进的交换解决方案，它能随着端口的添加而增大带宽。领先的 术更是使 000 系列解决方案如虎添翼， 层和第 3层 10/100 或千兆位交换。其中，第 2层交换由 24 18 3层交换则由可伸缩的 8 6 密度 能够在一个机箱上满足最多 240 个快速以太网端口的网络单元连接要求。 000系列的热插拔模块即插即用交换解决方案降低了复杂性并能轻松地支持当前网络中不断变化的桌面环境。特别是，还提供了无线 一致的软件体系结构 因为 件和用户界面的一致性，客户 12 能继续利用他们的知识，并利用 900、 2900、 3500、 4000、 5000、6000、 8500 家族产品来继续发展自己的基础设施。 投资保护 灵活的模块化体系结构对配线室中的动态桌面连接提供了经济高效的管理。 006背板进一步提供了网络保护能 力，因为它支持 60 阻塞容量，所以这种机箱更能适应未来需要。另外，003 和 4006 机箱之间的兼容备份，使它的电源和交换板卡之间的通用性更强，从而降低了总拥有成本。 功能透明板卡 000 的结构优势扩大了 000 系列板卡的部署寿命。只要简单地添加其它引擎模块，如新的第 3 层服务模块， 000 系统就能方便地将所有系统端口升级到更高层的交换功能。不需要更换现有板卡就能在系统端口上实现高层功能增强，这在常规交换产品中是很常见的。这 样，新的 006 端口可以随时用于 话、第 4层到第 7层 模块化监控器引擎保护 006 机箱背板和监控器连接器可以支持未来的监控器引擎升级。未来改进的可能性包括将可伸缩交换机结构容量增加到 64 用线速第 3层和第 4层交换和基于未来技术的千兆位上行链路。 络服务 000 系列交换机提供了成熟的企业第2层和第 3层特性，能够有效地增强公司网络的能力 ， 这些特性满足大中型企业的高级联网要求。 基于硬件的组播 协议独立组播（ 集和稀疏模式、 以及 持基于标准的、 经济高效 结合先进的工程和制造工艺优势， 000 系列以高性能 /价格比的价格提供了更加强大和更加可靠的企业交换解决方案，重新定义了新的价格 /性能比。 共享内存体系结构，没有线路头阻塞 集中式低等待延迟（ 秒）、共享内存交换结构提供了领先的能力，消除了所有可能的线路头部阻塞。 桌面能够使用千兆位能力 000 系列已经提供了丰富的 13 1000 兆位和千兆位服务器交换解决方案。 000 系统的千兆位解决方案的使用范围可以方便地扩展到桌面。 可管理性 利用每一种 000 系列交换解决方案提供的先进的管理能力以及每一个端口中内置的基于业界标准的管理功能，000 系列的控制能力和安全性都得到了加强。您可以灵活地选择是使用基于 图形用户接口（ 是命令行接口（ 完成管理任务，从而增强了您的网络操作能力。 降低网络操作费用 因为 台、体系结构和软件之间有更高的一致性，所以费用得到了很大降低。另外，端到端的 理和服务也降低了网络的总拥有成本。 保护关键任务应用的性能 集中式企业策略创建加上 持和针对第 2 层 第 3 层 网络服务质量，这些可共同保证您能够从边缘到核心得到一致的应用性能。 高可用性 000系列提供了自恢复网络智能，它的速度足以从端口、设备、链路上发现故障而在桌面上没有明显延迟。 面向未来的网络 000系列能轻 松地应对网络发展，通过简单地添加更多的端口，可以有效地提高您网络的带宽。另外，功能上透明的体系结构优势将扩大每个交换板卡的有效时间，允许随着需求而添加更高级的功能，而不需要进行彻底升级。 光纤延伸到桌面 000系列 24端口和 48端口 100 虑到距离限制、入侵或射频干扰等诸多因素，这使他们非常适合网络使用。处理机密信息或提供电子交易的政府机构和企业客户是这种板卡的最佳客户。 000 第 3层引擎 与所有 000系列机箱和监控器引擎兼容，并利用具有加权循环（ 划和服务类型 /服务等级（ 先级的多个排队（最多 4 个）来提供了先进的服务质量（ 另外， 000 系列第 3 层服务板卡还给非路由协议如局域传输（ 提供了线速第 2层交换。 2、广域网设计 14 （ 1）配置描述 广域网路由器建议采用 204是一款可扩展的高性能多功能路由器，能够满足不断增长的网络需求， 200系列路由器满足了对高性能、高密度 、低费效比解决方案的需求，其中包括了数据、语音和视频传输应用需求。 204提供 22522高速缓存 、 64扩展至 128。另外配置两块 缆，提供 16 个广域网连接。为提高系统可靠性，采用了一个主电源 ，提供电源负载均衡和故障备份。 （ 2）性能描述 拥有出色性价比的 200系列 路由器可以提供很多网络服务加速解决方案，如通过网关连接到 业和服务供应商的远地集中（多个分散地点通过一个中央地点实现互连）、要求 求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。 200 系列路由器的主要优点如下： 宽带集中 7200系列最高可以在 2000个 000个使用点对点协议的用户（每机箱），同时具备世界级的路由选择和服务选择网关功能，这使 7200系列成为宽带端接的一站式选择。 服务质量 7200 系列拥有广泛的网络服务和接口选项，对于在您的网络中实现服务质量的需要来说， 7200 系列是领先的边缘选件。 对一个 200 系列是最好的标记交换机或边缘路由器。由于对 P 的行业标准支持，当您的网络对 干的可扩展性、灵活性和性能提出要求时， 7200 系列可以提供强大的行业同盟。 对于为专用 性能的隧道服务和加密服务的客户来说， 7200 系列是理想的点对点虚拟专网（ 由器选 择。 多服务 7200 系列在一个多服务平台上实现了最高的性能和 度简化这两个并行网络的维护 15 并减少其运行成本。所有 7200系列 箱提供的集成 了集成 7200 系列还提供了多种通道化接口，这些端口可以同时部分实现语音通道配置和数据通道配置。 加速高接触 务 使用 擎的 7200 系列是从 行快速转发（ 利中受益的第一个平台，能够在一条硬件加速路径上实现线速高接触服务。当引入新服务时，只需通过简单的软件升级就可以将其合并到您的拥有 3、外部网设计 （ 1）配置描述 外部网主要用作 务以及域名解析（ 实现对外发布公众信息并及时了解国内外动态。 福州电信城域宽带网接入是作为实现楼宇和小区信息化、智能化重要基础的“网络新干线”。利用综合布线联接小区用户，通过光纤接入国际互联网，是数字化社会的神经中枢，实现千兆到小区，百兆到楼层，十兆到住户。福州电信目前的 63 骨干网络支持各种接入方式 ，包括 纤到大楼+局域网）、 对称用户数字环路）、宽窄带综合接入网、 庭电话网络整合）和 方案，福州电信将根据用户不同的需求提供不同的宽带接入方案。根据省民政厅的实际情况，建议采用 建议配置一台联想网御 2000 防火墙，该防火墙有 3 个 100M 以太 网络接口 ，其中一个 100M 以太网口用于连接 006 主干交换机，第二个 100M 以太网口用于接入福州电信城域宽带网访问 三个以太网口连接外部网交换机 512部网配置三台服务器，安装000 中 务器安装 000，省民政厅原有一台 （ 2）性能描述 16 联想网御 2000防火墙在入侵检测与自动响应、网络病毒检测、基于密码技术的安全认证管理以及 3层和 4层交换方式防火墙等关键技术上有重大突破，同时 ，针对攻击行为的变化，联想的动态安全在线升级服务，可以为网络提供强大的、持续的安全保障，抵御来自外部网络的攻击、保障单位内部网络的安全。联想网御 2000防火墙已通过了公安部、信息产业部、国家保密局、中国人民解放军信息评测认证中心的测试认可，获得了中华人民共和国公安部颁发的销售许可证，完全符合国标 18020想网御 2000 防火墙的基本功能如下： 状态包过滤 基于状态检测技术，对源地址 /目的地址，源端口 /目的端口，协议，服务等的过滤。工作在 3层交换方式下。 透明代 理 在 4层交换方式下，支持 限制 户自定义服务等，提供基于用户及客户机的认证，支持本地认证服务器（防火墙上）及远程认证服务器，支持 应用层信息过滤 支持协议： 对 对 邮件主、邮件内容、收件人、发件人、附件名等的过滤 病毒过滤 支持协议： 支持文件格式： 20余种压缩格式 操作方式：可实时查杀病毒 报警方式：向管理员发报 警邮件 病毒库和扫描引擎更新：可手动更新或自动更新。联想集团提供良好的用户服务。 址绑定 防止 其是内部网络。 用户认证 17 主要用于 认证协议： 证服务器：本地认证服务器 (在防火墙上 )、远程认证服务器，支持 程认证服务器可进行用户分组管理，可实现对远程用户的统一认证策略管理。 本地认证服务器支持 100用户数。 规则一致性检查 对管理员下的安全规则进行一致性检测，对矛盾或重复的安全规则给出提示。 规则 及配置信息的导入导出 管理员可以把配置的各项数据从防火墙导出，在本地做备份。一旦发现当前的配置策略不合适可以把以前的配置信息导入到防火墙，恢复到以前的状态。也可以把一台防火墙的配置数据导入到另一台防火墙。给管理员的工作带来很大的便利。 实时入侵检测与自动响应 实时检测：实时检测透明方式下的全部数据流，可以检测出 600 多类， 1000种以上的攻击行为。 防范攻击：（ 1）识别并防范对网络和主机的扫描（ 2）识别网络协议异常（ 3）识别并防范 骗（ 4）识别并防范 击（ 5）根据检测结果自动设置包过滤规则，并报 告管理员。 实时报警：邮件报警及面板上报警灯显示，生成日志。 规则设置：（ 1）提供灵活的策略设置功能（ 2）支持用户自定义监测规则（ 3）支持规则库的手动升级 抵抗 在核心部分实现了改进的安全 有效抵抗外部黑客对内部网络的攻击，提高了被保护网络的安全性。 智能日志审计 日志服务器接收日志信息，并进行自动分析与扫描处理，异常时报警提示，管理员设定审计和查询的规则，以 安全管理 18 远程安全管理：基于 置信息全部加密。 局域网管理：管理员身份认证 基于硬件自动完成，使用一次性口令。 串口管理：基于串口的 大地方便了管理员的操作。 在线升级及维护 用于防火墙软件模块升级，安全服务升级。 防火墙软件与升级服务包的升级方式：（ 1）手工升级将升级软件包直接送到管理员手中（ 2）在线升级，管理员通过安全信道将加密软件取到本地。 工件状态显示 在防火墙前面板上用指示灯显示主要技术参数。 工作状态显示内容：流量显示，入侵报警，阻断报警。其中，流量显示主要是防火墙的网卡上流量情况的显示；入侵报警主要是当有检测到有入侵行为时亮灯报警；阻断报警主要是当有 联想网御 2000防火墙采用多种主要网络安全机制： 多端口结构 网御防火墙 2000 有三个独立的网络接口，将受控网络从物理上分开，提高了安全保护和性能，同时方便网络连接。 透明连接方式 隐式防火墙，采用全透明连接方式，即： 3层和 4层交换方式，其 址只对管理员可见，对用户不可见，因此用户端不需要修改任何周边网络设备的设置。在全透明模式下工作，实现包过滤、 明代理等功能。 只有一个用于管理的 外网进行远程管理时需要为合法的 内网管理时可用保留地址。 多级过滤技术 为了保证系统保护能力，增强控制的灵活性，联想网御 2000防火墙采用多级过滤策略，提供基于硬件、网络地址、用户鉴别和控制方式，过滤的层次也是多级别的，在网络层、应用层都有各自灵活的过滤策略。 入侵检测与自动响应 对进出网络的所有数据进行实时检测与响应，当鉴别有入侵攻击企图时，会立刻进行自动阻断，限制连接，及时发出报警通知管理员，并有报警灯提示。 19 日志审计 在安全体系中，对日志的分析是一个重要环节。通过日志可以分析黑客入侵手段，追查黑客来源。日志审计服务器保证日志 不被入侵者修改，并对日志进行分析，提供表格或 式的报告。 自身安全 采用具有自主知识产权的安全 底层保证自身安全。 采用全透明连接方式，可以使防火墙本身不被探测及非授权访问。 有专门针对自身安全的安全策略。 管理员安全 无法假冒管理员。 使用基于硬件的一次口令技术，保证管理员口令不被窃取。 在远程管理时可以使用安全加密信道 证管理数据在网上传输的安全。4、网管系统设计 （ 1）配置描述 在省民政厅信息中心配置一台网管工作站，运行 司的网管软件T/98/2000，它能够对整个“数字民政”信息网的所有 时发现网络设备和网络连接中的隐患，预防网络故障的发生。或当网络故障发生时，快速进行定位故障，迅速修复系统，保证系统能够稳定运行，减少网络管理人员的工作量。 （ 2）性能描述 T/98/2000 网管系统提供路由器和交换机等网络设备的配置管理、性能管理、故障管理、安全管理等任务，具有以下功能： 具有先进的侦测技术、端 口分配工具、高级连接分析和配置管理工具、设备与网络诊断工具等，具备包括故障管理、远程监控、流量监控等等的能力。所有的功能应建构在一个便于使用的框架中。 网管软件包括面向操作的多种工具，如故障管理、可扩展的拓扑检查、高级配置、第 2层 /第 3层路径分析、语音支持路径追踪、流量监控、终 20 端工作站跟踪工作流应用服务器管理以及设备故障维修等等。 通过采用业界数据共享标准公用信息模型（ 管软件可提供析取数据和与常用网络管理平台产品结合使用的工具。 能够智能化自动探测 网络 设备创建的网络拓扑图 。 设备故障管理 器的自动故障探测功能可识别网络中的常见故障，而无需使用户定义自己的规则集、 实时监视来自虚拟网络和实际网络负载平衡构件的包流量数据和负载服务器的负载平衡功能 。 收集来自局域网设备和探测器的 数据资料 ， 监视局域网传输协议、应用和接口，以便采用适当的过滤器、降低成本与提高设备性能 。 通过提供整个网络的可视性包括应用层、数据链路层及现有的虚拟拓扑结构，来帮助解决网络与应用问题 ； 允许软件与配置更新信息按计划传送到选定的设备，从而节省了时间和避免了网络更新过程中 出现的错误 。 软件平台可以基于 000 系统。 七、 系统设备清单 （ 1） 204由器 设备编号 设备描述 单价 数量 总价257204￥ 7 0 , 8 7 5 1 ￥ 7 0 , 8 7 5200 0 1 ￥ 0200 C 280W ￥ 2 0 , 2 5 0 1 ￥ 2 0 , 2 5 00A ￥0 2 ￥ 0200 I/O 48 ￥0 1 ￥ 08 5 4 , 0 0 0 2 ￥ 1 0 8 , 0 0 0 35 5 , 0 6 3 2 ￥ 1 0 , 1 2 5￥ 2 0 9 , 2 5 0合计 （ 2） 006 交换机 21 设备编号 设备描述 单价 数量 总价000 w/22 , 1 3 4 , 9 6 9 1 ￥ 1 3 4 , 9 6 9000 E/E 32- 10/100 (￥ 3 0 , 3 4 4 1 ￥ 3 0 , 3 4 4000 6￥ 2 0 , 2 1 9 1 ￥ 2 0 , 2 1 93 4000 ￥0 1 ￥ 0￥ 3 , 3 7 5 10 ￥ 3 3 , 7 5 0￥ 2 1 9 , 2 8 1合计 （ 3）楼层接入交换机和外部网交换机 设备编号 设备描述 单价 数量 总价508G 3 3 , 7 1 9 1 ￥ 3 3 , 7 1 9548 3 3 , 7 1 9 1 ￥ 3 3 , 7 1 9524 2 0 , 2 1 9 1 ￥ 2 0 , 2 1 9￥ 3 , 3 7 5 9 ￥ 3 0 , 3 7 50cm 1 , 6 8 8 2 ￥ 3 , 3 7 5548 3 3 , 7 1 9 2 ￥ 6 7 , 4 3 7￥ 3 , 3 7 5 4 ￥ 1 3 , 5 0 0548 3 3 , 7 1 9 1 ￥ 3 3 , 7 1 9￥ 3 , 3 7 5 2 ￥ 6 , 7 5 0512 1 6 , 8 4 4 1 ￥ 1 6 , 8 4 4￥ 2 5 9 ,