某银行业务网络建设方案(DOC 35页).doc

XX 银行业务网络银行业务网络 建设方案建设方案 20132013 年年 1010 月月 1 目录目录 1 1 整体建设项目概述整体建设项目概述 2 2 2 网络项目规划网络项目规划 2 2 1 网络规划概述 2 2 2 安全域划分 3 2 3 业务网规划 5 2 4 网管监控网络规划 7 2 5 数据中心规划 8 2 6 业务网网络安全规划 9 2 7 后续网络扩容规划 10 3 3 UPSUPS 电源系统规划电源系统规划 12 3 1 UPS 电源系统概述 12 3 2 电源系统用户需求分析 13 3 3 电源系统设备选型 13 3 4 系统解决方案主要技术特点及参数 13 4 4 消防系统规划消防系统规划 14 4 1 灭火系统产品简介 14 4 2 气体灭火系统设置要求 15 5 5 项目实施安排项目实施安排 15 5 1 实施进度 16 5 2 实施分工 17 6 6 选型设备介绍及资质选型设备介绍及资质 18 6 1 核心路由器介绍 18 6 2 防火墙介绍 21 6 3 核心交换机介绍 27 6 4 服务器产品介绍 29 6 5 存储产品介绍 31 7 7 设备预算设备预算 33 7 1 预算概要 33 7 2 预算清单 33 2 1 1 整体建设项目概述整体建设项目概述 XX 银行地处 XX 市中心 目前设立市场部 风险管理部 营业部 综合办 公室 信息接入点 XX 个 因业务开展 需建设银行业务系统 上联系统为浙 江总部 机房面积 70 平方米 周围无易燃 易爆等隐患 无危险建筑 机房区域 划分为主机房区与监控机房区 按机房消防标准进行设计 强电 弱电分布符 合国家标准 综合布线清晰 合理 安全 规范 易于维护 易于扩展 管道 铺设保证机房安全 2 2 网络项目规划网络项目规划 银行业务网络是银行运营信息系统的基础 网络平台将信息交换 安全防 护 安全管理和监控有机结合起来 贯穿整个信息系统的所有层次 是系统正 常运转的重要保障 本部分重点讲述及细化 XX 银行业务网络的具体规划建设和项目预算 2 1 网络规划概述网络规划概述 XX 银行从整网结构分析 属于二级分行角色 通过跨省 WAN 链路上联浙江 一级分行 通过城域网内 WAN 链路下联村镇分行 3 网络规划以 XX 业务网络为原点 从横向和纵向开始规划 逐渐形成一个横 纵联系的网络 从纵向来看 XX 银行网络分为 2 层 第 1 层为 XX 业务网络 第 2 层为村镇分行业务网络 从横向来看 一般银行网络都按照应用划分为办 公子网 生产子网和外联三个子网 省级以上网络还要包含 MIS 子网 网上银 行 测试子网等 由于网络目前还处在组网的初级阶段 因此本次规划仅考虑 XX 生产子网的 建设 不考虑其它子网的建设 但在规划时要考虑网络可扩展性 保证在总体 结构不变的情况下 业务网络能够部署连接其它子网的横向接口 以及连接村 镇分行的纵向接口 2 2 安全域划分安全域划分 对于银行业务网络来说 首要的一点就是应该根据国家有关部门对相关规 定 将整个业务网络进行网络结构的优化和安全域的划分 从结构上实现对安 全等级化保护 根据 中国人民银行计算机安全管理暂行规定 试行 的相关要求 第六十一条 内联网上的所有计算机设备 不得直接或间接地与国际互 联网相联接 必须实现与国际互联网的物理隔离 4 第七十五条 计算机信息系统的开发环境和现场应当与生产环境和现场 隔离 因此进行网络规划时 有必要将生产业务网络与具有互联网连接的办公网 络之间区分开来 通过强有力的安全控制机制最大化实现生产系统与其他业务 系统之间的隔离 同时 对银行所有信息资源进行安全分级 根据不同业务和 应用类型划分不同安全等级的安全域 并分别进行不同等级的隔离和保护 初步规划将业务网络划分成多个具备不同安全等级的区域 参考公安部发 布的 信息系统安全保护等级定级指南 我们对安全区域划分和定级的建议如 下 不涉及的子网没有列出 安全区域安全区域说明说明定级建议定级建议 生产核心区域包含业务服务器主机 业务审计系统 可选 3 级 业务区域业务前台终端2 级 网管监控区域 包含维护网络信息系统有效运行的监控服务器主机和管理 终端 动环监控服务器和终端 1 级 办公区域包含办公网络 PC 和其它网络设备1 级 上表安全级别为降序排列 生产核心区域具有最高安全级别 原则上与办 公区域 网管监控区域物理隔离 特殊情况下 如果部分办公业务用户需要访 问生产业务中的特定数据 而部分生产应用也需要访问办公网中的特定数据 建议在业务网与办公网之间采用逻辑隔离手段进行严格控制 业务审计系统 可选 要对业务网络的所有流量进行审计 所以也部署在生产区域 业务区域包括柜台终端 需要连接核心区域 具有较高安全级别 网管监控区域用于网络监控 设备远程维护 以及动环监控 该区域不需 要与其它区域连接 所以建议网络设备使用带外管理方式 与其它网络物理隔 离 办公区域安全级别较低 在大型网络中一般使用 MIS 子网进行过渡 这里 建议使用严格访问控制 仅允许办公区域访问生产区域中特定数据 总体逻辑结构如图所示 5 银行网络安全结构示意图银行网络安全结构示意图 2 3 业务网规划业务网规划 业务网作为信息资源平台 主要包括以下信息业务 业务核心服务器和服务前台终端数据交换 服务器之间 服务器和存储之间数据交换 数据处理 业务网和总部数据中心之间数据交换 报表 根据各种信息流的特点 以及各种网络设备的功能角色 建议网络如下图 部署 6 核心路由器作为总出口通过专线与浙江总部上联 下行通过千兆链路连接 防火墙 建议使用高性能 可靠性路由器 保证双主控 双路由引擎 双电源 双风扇的硬件冗余 线卡引擎和业务板卡的两级热插拔技术 双主控热备份技 术 全面保证可靠性达到电信级标准 中心网络所有出网流量都经过防火墙 建议使用数据中心防护级别的防火 墙 同时具备 IPS 功能防御网络攻击 防火墙根据各区域的安全级别 分配各 端口的优先级和防护策略 核心交换机承载中心服务器 存储 前置机等核心设备的数据交换 建议 使用支持主控板冗余 电源冗余的高性能 高端口密度交换机 生产前台区域需要部署 1 台或多台汇聚交换机 各网络设备 系统 功能需求如下表 序号设备 系统 功能设备参数需求 1 核心路由器提供 XX 业务网上联 双主控 双路由引擎 电源 1 1 4GE 接 口 含至少 1 个光口 2 防火墙 网络隔离 为其它网络 提供接口 防范非法入 侵和攻击 FW IPS 功能启用后保证吞吐量 2G 提 供至少 4GE 接口 3 核心交换机生产中心数据交换 双主控 双路由引擎 电源 1 1 至少 24GE 接口 7 4 汇聚交换机生产前台数据交换至少 4GE 24FE 接口 5 办公网交换机办公网数据交换至少 4GE 24FE 接口 2 4 网管监控网络规划网管监控网络规划 网管监控网络独立与其它网络 整合了网络设备管理系统 动环监控系统 业务审计系统 主要包括以下功能 网络设备通过带外方式集中管理 动环监控采集器 视频采集器等设备与动环监控终端联网 业务审计系统与报表服务器联网 根据各种监控的特点 以及各种网络设备的功能角色 建议网络如下图部 署 网络设备通过带外网管接口连接到网管交换机 与网络维护终端互联 动环监控采集器连接到网管交换机与动环监控终端互联 业务审计系统 可选 旁路在核心交换机 通过交换机的流量复制 接受 所有入出核心区域的流量 分析后输出至审计报表服务器 8 各网络设备 系统 功能需求如下表 序号设备 系统 功能设备参数需求 1 动环监控系统 机房消防系统 门禁系 统 图像系统 温湿度 监控等功能 满足 50 平米机房需求 2 网管交换机网管 监控数据交换至少 2GE 24FE 接口 3 业务审计系统 可选 对重要业务数据流采 集 分析和识别 发现 并及时制止用户的误操 作 非法访问 恶意攻 击 事物处理性能 2000 事物数 秒 至少提 供 2GE 接口 4 审计报表服务 器 可选 审计日志采集 存储 PC server 2 5 数据中心规划数据中心规划 数据中心结构图 核心交换机 业务服务器 业务存储备份存储 业务服务器 数据中心分别新增两台服务器和存储 服务器和存储采用直连方式 在服 务器和存储上配置 6GB SAS 接口 实现服务器和存储的互联 为防止数据存储 出现单点故障 服务配置两个双口 SAS HBA 卡 存储采用双控制器架构 服 9 务器的每块 HBA 卡分别与存储的两个控制器连接 本方案中 一套服务器和存储承载业务系统 对外提供服务 另外一套服 务器和存储作为备份服务器和存储 通过 symantec SYMC BACKUP ECXC 备份 软件对业务系统进行系统级的备份 当业务系统出现故障可以使用备份数据对 业务系统进行恢复 2 6 业务网网络安全规划业务网网络安全规划 业务网网络安全作为平台业务的重要保障 安全建设需要包含以下几方面 的内容 1 安全防护需求 在满足联网业务应用需求的同时 也为网络安全带来了新的风险 包括非 法访问 身份不确定 黑客入侵 病毒和恶意代码 安全事件发现和追查不及 时等 在建设时必须采取相应的安全措施予以防范 1 非法访问风险 网络存在多个对外网络接口 因此应建立边界隔离机制 防止非法访问和对管理网的入侵行为 2 黑客入侵风险 与外部网络互联 具有黑客非法入侵风险 因此网络应 具有足够的抗攻击能力 可以检测和抵御来自外部的各种攻击行为 3 网络攻击风险 不仅有来自外部的网络攻击 内部网络终端和服务器在 中木马或病毒后 也会产生攻击流量 要求网络具有攻击源识别功能 并作为 网络日志实时存储 2 应用层安全 针对目前日益增多的应用层网络攻击行为 需要对应用系统和业务数据能 够提供有效的安全防护 防止非法访问应用系统 防止对后台数据库的恶意访 问 防止 DoS 攻击并保障系统服务的持续性 通过访问审计 帮助用户了解整 个系统的使用情况 提供辅助决策功能 3 用户管理 对于网络的运维人员进行集中账号管理 账号和资源的集中管理是集中授 权 认证和审计的基础 集中账号管理可以完成对账号整个生命周期的监控和 管理 而且还降低了管理大量用户账号的难度和工作量 同时 通过统一的管 10 理还能够发现账号中存在的安全隐患 并且制定统一的 标准的用户账号安全 策略 4 安全管理 对于各种安全事件应具有安全审计功能 各关键组件应能提供详细的日志 记录 能够妥善存储和集中分析 并能进行攻击回放 针对上述需求 除做好 安全防护和认证授权外 必须有完善的安全审计功能 综上所述 针对目前最常见的互联网攻击类型以及国内外网上系统通常面 临的安全威胁 结合云平台实际情况 我们认为可能面临的安全风险和对应的 安全需求如下 序号风险名称受影响对象安全需求 1 非法入侵和攻 击 网络级 应用级 所有网络防火墙 IPS 2 内网攻击 大量不安全的主机 可能成为僵尸 被 利用来向重要网络 进行攻击 防火墙制定策略 限制攻击流量 攻击规模 以及漏洞机理分析和日志找出问题主机 3 数据窃密 篡 改 数据库系统业务审计 2 7 后续网络扩容规划后续网络扩容规划 网络扩容分为以下 3 种情况 1 其它网络连接生产核心网络 生产中心网络与其它网络接口必须经过防火墙 为新网络指定安全级别后 防火墙分配互联端口的优先级和防护策略 如图 11 2 村镇分行接入到生产中心网络 村镇分行与生产前台网络优先级一致 都为 2 级 因此也需要经过防火墙 接入中心网络 建议扩容汇聚交换机 将各村镇分行网络连接到生产前台区域 的汇聚交换机 如图 3 其它功能设备入网 随着网络规模扩大 网络安全重要性越来越突出 后续可能会引入业务审 12 计 安全运行中心等系统 由于建网时规划了 1 个独立的网管监控网络 所以 建议业务审计等系统也部署在网管监控网络 如图 3 3 UPSUPS 电源系统规划电源系统规划 3 1 UPS 电源系统概述电源系统概述 UPS 电源系统是保障机房设备 365 24 小时 全天候 稳定 可靠 安全运 行的关键因素之一 不同类型的 UPS 供电系统只能为用户提供不同级别的保护 它们为信息中 心提供的可利用率水平也相差很大 因此 UPS 供电系统应该为各类计算机设备 提供充分发挥其技术潜力的运行环境 不应该是只保证对计算机设备提供 100 的不中断供电的系统 也应该确保 计算机网络设备 不会因为 UPS 的供电质 量不高而处于降额使用状态 另外 从提高信息中心的运行效率的角度来看 还需特别注意正确地设计 UPS 供电系统的接地系统 以便为信息中心能达到 13 100 的高 可利用率 创造优良的电源供电环境 3 2 电源系统用户需求分析电源系统用户需求分析 用户数据中心机房内设备主要为服务器 网络交换 网络存储磁盘阵列类 IT 设备 大部分设备均采用 19 英寸机柜安装方式 现有负载的计算负荷按 10KVA 根据实际需要 结合客户相关意见 综合 全面考虑 用户对供电系统的要求 保证高可用性 在场地允许的情况下 采用冗余供电方式 提供一套能够跟随用户实际需求 灵活调整容量的电源系统 管理 监控方便 便于及时维护 保证市电中断后 120 分钟的后备时间 其他合理的机房相关解决方案 3 3 电源系统设备选型电源系统设备选型 根据项目具体情况 结合用户需求及我公司多年工程经验 建议采用 15KVA UPS 1 套 单机运行方式 电池采用 12V 100AH 电池 29 块 3 4 系统解决方案主要技术特点及参数系统解决方案主要技术特点及参数 主要技术特点 双变换纯在线式设计 可多台 UPS 并机冗余 无须外加并联控制卡 使用大型中文及多国语言图形化 LCD 显示 宽广的输入电压范围 380VAC 32 35 具有 ECO 模式 效率 98 可节省大量的电能 节省运营成本 逆变器采用全桥架构技术 可 100 三相不平衡供电且负载适应性最强 充电系统采 DIN41773 国际标准 可快速对电池充电 设计有电池温度补偿 延长电池使用寿命 14 具有电池防漏液侦测功能 具有电池组共享 Common Battery 功能 可远程遥控或面板控制警急事故关机功能 EPO 高整机效率 节省能源 减少运营成本 标配有手动维护旁路开关功能 MBS 输入端可作双回路供电设计 具有输出隔离变压器设计 隔离变压器的磁性组件采用 H 级绝缘防护等级设计 安全性高 输出过载能力强 且负载适应能力最强 采用多组微处理器控制与模块化设计 维护简易方便 内建 SRAM 可以储存多于 500 笔信息数据 可搭配电力监控软件 对 UPS 作网络及远程遥控遥测 提供超过 4 种以上的通信接口可供选择 智能变速风扇 低噪音 节省电费及提高风扇使用寿命 短路保护设计与超强防雷击保护 确保负载设备安全可靠运行 可作多台 N 1 并机扩容冗余 提供经济可靠的高效率供电保护 4 4 消防系统规划消防系统规划 4 1 灭火系统产品简介灭火系统产品简介 气体灭火系统在结构上具有以下特点 容器阀采用金属膜片密封设计 保证了可靠的密封性能 使灭火剂永久性 储存成为可能 多种启动方式 气动启动 电启动 电气手动启动 机械应急手动启动 确保系统绝对可靠地启动 特殊的电启动装置使启动电流很小 有效地解决了控制部分功耗大 蓄电 池容量大等问题 使布局更加合理紧凑 直通式瓶头阀的独特结构 使灭火剂流动阻力降低 15 系统结构简单 规格多样 安装 调试方便 操作简单可靠 适用范围 贵重物品 无价珍宝或公司资料档案及软件 无自动喷淋系统或使用水系统造成水损的设备 人员常驻的区域 灭火剂钢瓶空间有限 须少量的灭火剂 即能达到灭火效能者 4 2 气体灭火系统设置要求气体灭火系统设置要求 灭火剂储瓶间设置在专用的钢瓶间内 防护区应设泄压装置 并宜设在外 墙或屋顶上 当设置在外墙上时应位于防护区净高的 2 3 以上 防护区的门窗 的耐压强度 1200Pa 门窗的玻璃应采用 5 毫米以上的防火玻璃 保护区的通风 系统在喷放七氟丙烷 HFC 227ea 灭火剂前应关闭 并设置防火阀门 保护区的 门必须采用自动防火门 保证在任何情况下均能从保护区内打开 保护区应有 排风设备 释放灭火剂后 应将废气排尽后 人员方可进入进行检修 如需提 前进入 需带氧气呼吸器 在控制室设置氧气呼吸器 5 5 项目实施安排项目实施安排 本项目实施与机房建设 装修同时进行 首先进行设备采购和设计规划工 作 配电系统部署完毕后 进行 UPS 系统建设和网络设备安装 再依次进行服 务器和存储安装 网络联调 同时进行消防系统建设 动环系统建设 网管监 控系统建设 最后进行业务上线测试 16 5 1 实施进度实施进度 实施时间以项目开工协调会时间开始时间为准 预计从开工到业务系统上 线需 24 天 整体完工需要 30 天 任务名称工期开始时间完成时间备注 工程开工协调会工程开工协调会 1 1 dayday 第 1 工作日第 1 工作日 中心机房装修实施中心机房装修实施 8 8 daysdays 第 2 工作日第 9 工作日 UPSUPS 系统实施系统实施 1111 daysdays UPS 采购 1 days 第 2 工作日第 2 工作日 UPS 发货 10 days 第 3 工作日第 12 工作日 UPS 安装 2 days 第 13 工作日第 14 工作日 UPS 设备及机柜安装 1 day 第 14 工作日第 14 工作日 配电及系统测试 1 day 第 15 工作日第 15 工作日 网络设备 含服务器 实施网络设备 含服务器 实施 2323 daysdays 设备采购 1 days 第 2 工作日第 2 工作日 设备发货 7 days 第 3 工作日第 9 工作日 设备及机柜安装 5 days 第 10 工作日第 14 工作日 网络布线 调通及测试 3 days 第 15 工作日第 17 工作日 业务系统调研 2 days 第 18 工作日第 19 工作日 业务系统上线测试 4 days 第 20 工作日第 23 工作日 系统整体测试 1 day 第 24 工作日第 24 工作日 消防系统实施消防系统实施 1212 daysdays 设备采购 1 days 第 2 工作日第 2 工作日 设备发货 7 days 第 3 工作日第 9 工作日 设备安装 3 days 第 10 工作日第 12 工作日 设备测试 1 days 第 13 工作日第 13 工作日 动环系统实施动环系统实施 1212 daysdays 设备采购 1 days 第 2 工作日第 2 工作日 设备发货 7 days 第 3 工作日第 9 工作日 设备安装 3 days 第 16 工作日第 18 工作日 设备测试 1 days 第 19 工作日第 19 工作日 初验初验 1 1 dayday 第 30 工作日第 30 工作日 试运行试运行3 3 个月个月 终验终验 1 1 dayday 17 5 2 实施分工实施分工 项目项目建设方建设方集成商集成商设备厂商设备厂商 业务调研配合主要负责人 方案编写配合主要负责人配合 光路申请 调通主要负责人配合配合 工程硬件安装实施配合配合配合 设备调测配合配合主要负责人 业务割接配合主要负责人主要负责人 网络 业务测试主要负责人配合配合 验收主要负责人配合配合 18 6 选型设备介绍及资质选型设备介绍及资质 6 1 核心路由器介绍核心路由器介绍 核心路由器实现大型网络的互联 对它的要求是速度和可靠性 而成本则 处于次要地位 硬件可靠性体现在双主控 双转发引擎 双电源 双数据通路 等来获得 XX 银行核心路由器推荐型号为华为公司的 NE20E 8 款式路由器 NE20E 8 秉承华为公司高端路由器的设计思路 以其高性能 双主控 双 NPU 和热备 份优势 能够满足企业网汇聚以及数据中心和运营商的电信级高可用性的要求 产品形态产品形态 转发性能 15Mpps 80Mpps 背板带宽 40G 冗余电源 内置 AC DC PoE N 1备份 配置双主控板 产品特点产品特点 19 领先的领先的 VRP 平台平台 NE20E 8 系列采用 VRP5 0 平台 与华为 NE5000E 是同一平台 VRP 操作 系统采用 RDF ResilientDistributed Framework 弹性分布式架构 通过相对分 离的管理平面 业务平面 数据平面和控制平面 极大的提升了整个系统的灵 活性 可靠性 可管理性 扩展性 华为 VRP 平台成熟稳定 目前现网运行超过 400 万套 其功能丰富性和稳 定性也经过了大规模实际应用的磨砺 具备了丰富的业务特性和功能 领先的工业设计领先的工业设计 NE20E 8 采用业界领先的工业设计 在大容量的基础上实现了 220mm 深度 适合各种空间布放条件 同时其抗高温低温的设计可以满足 40 65 的工作条 件 非常适合条件恶劣的室外布放 同时其功耗能够做到低于业界水平 强大的业务支持能力强大的业务支持能力 NE20E 8 具有强大的路由能力 支持超大路由表 提供 RIP OSPF IS IS BGP4 和多播路由等丰富的路由协议 支持明 密文认证 具备快速收敛功 能 保证在复杂路由环境下安全稳定 NE20E 8 具有强大的业务承载能力 根据组网需求可以同时部署 L2VPN L3VPN MVPN 支持和 TE TrafficEngineering 同时部署 支持丰富的接 入类型 E1 POS cPOS GE 10GE 支持灵活 QinQ 支持 DHCP 还 可提供 Netstream 等功能 适应传统的接入需求和新兴的业务需求 满足多 业务融合丰富的承载需求 NE20E 8 具有强大的可扩展组播能力 支持丰富的 IPv4 IPv6 组播协议 包 括 PIM SM SSM MLDv1 v2 IGMPv3 IGMPSnooping 等特性 可以灵活承 载 IPTV 等视频业务 可以满足各种规模的组播业务的需求 全方位的可靠性解决方案全方位的可靠性解决方案 NE20E S 从多个层面提供可靠性保护 包括设备级 网络级 业务级可靠 性 形成了面向整个网络的解决方 案 完全满足电信级的可靠性需求 是构筑电信级业务的基石 达到 20 99 999 的系统可用性 设备级可靠 NE20E S 提供关键部件的冗余备份 关键组件支持热插拔与 热备份 NSR Non Stop Routing NSF Non Stop Forwarding 等技术一起保障无中断业务运行 网络级可靠 NE20E S 提供 IP LDP VPN TE 快速重路由 Hot Standby IGP BGP 以及组播路由快速收敛 虚拟 路由冗余协议 VRRP Virtual Router Redundancy Protocol TRUNK 链路 分担备份 BFD 链路快速检测 MPLS Ethernet MPLS TP OAM 保证整网稳定性 可以提供端到端 200ms 保护倒 换 业务无中断 业务级可靠 NE20E S 提供的 VPN FRR 和 E VRRP 技术 VLL FRR 和 Ethernet OAM 技术以及 PW Redundancy 和 E Trunk 技术 可以应用于 L3VPN 和 L2VPN 组网方案中 保证业务层面 的冗余备份 使业务稳定可靠 不中断 组网应用组网应用 金融网点接入组网金融网点接入组网 对于金融行业来说 NE20E 8 可作为地市或省级的汇聚设备 是适合作为 金融网点的理想接入设备 NE 系列路由器具有超强的并发业务处理能力 可保 证金融网点业务的流畅处理 另外 NE 系列路由器具有综合的硬件和软件的可 靠性技术支撑 确保金融网点业务的不间断 21 独联体某银行数据中心组网 地市或省级采用 NE20E 8 设备来做汇聚路由器 为提高汇网络的可靠性 汇聚层一般采用双设备 新型金融网点会对不同客户群提供差异化的服务 NE 路由器丰富的 QoS 技术可满足这种对带宽进行差异化的应用需求 6 2 防火墙介绍防火墙介绍 XX 银行防火墙推荐型号为深信服公司的 AF 1320 款式防火墙 深信服下 一代防火墙 Next Generation Application Firewall NGAF 是面向应用层设计 能够精确识别用户 应用和内容 具备完整安全防护能力 能够全面替代传统 防火墙 并具有强劲应用层处理能力的全新网络安全设备 NGAF 解决了传统 安全设备在应用识别 访问控制 内容安全防护等方面的不足 同时开启所有 功能后性能不会大幅下降 区别于传统的网络层防火墙 NGAF 具备 L2 L7 层的协议的理解能力 不 仅能够实现网络层访问控制的功能 且能够对应用进行识别 控制 防护 解 决了传统防火墙应用层控制和防护能力不足的问题 22 区别于传统 DPI 技术的入侵防御系统 深信服 NGAF 具备深入应用内容 的威胁分析能力 具备双向的内容检测能力为用户提供完整的应用层安全防护 功能 同样都能防护 web 攻击 与 web 应用防火墙关注 web 应用程序安全的设 计理念不同 深信服下一代防火墙 NGAF 关注 web 系统在对外发布的过程中 各个层面的安全问题 为对外发布系统打造坚实的防御体系 产品形态产品形态 网络吞吐量 2Gbps 并发连接数 1000000 VPN 会话支持 400 主要功能 状态检测 VPN 抗 DDoS NAT 应用扫描 漏洞攻击 Web 入侵 非法访问 蠕虫病毒 带宽滥用 恶意代码 端口容量 6GE 选配功能模块 IPS URL AV 产品特点产品特点 1 双向内容检测技术 NGAF 可实现对 HTTP HTTPS 协议的深入解析 精确识别出协议中的各种 要素 如 cookie Get 参数 Post 表单等 并对这些数据进行快速的解析 以还 原其原始通信的信息 根据这些解析后的原始信息 可以精确的检测其是否包 含威胁内容 而传统的 IPS 基于 DPI 深度数据包解析技术 只能实现在网络层 数据包层面进行重组还原及特征匹配 无法解析基于 HTTP 协议的内容分析 很难有效检测针对 web 应用的攻击 而具备简单 web 攻击防护的 IPS 仅仅是 基于简单的特征检测技术 存在大量的漏报误报的信息 23 NGAF 作为 web 客户端与服务器请求与响应的中间人 能够有效的避免 web 服务器直接暴露在互联网之上 NGAF 双向内容检测技术可检测过滤 HTTP 双向交互的数据流包括 response 报文 对恶意流量 以及服务器外发的 有风险信息进行实时的清洗与过滤 2 典型的 Web 攻击防护 防止 Owasp 十大 web 安全威胁 深信服下一代防火墙 NGAF 有效结合了 web 攻击的静态规则及基于黑客攻 击过程的动态防御机制 实现双向的内容检测 提供 OWASP 定义的十大安全 威胁的攻击防护能力 有效防止常见的 web 攻击 如 SQL 注入 XSS 跨站 脚本 CSRF 跨站请求伪造 从而保护电子政务网站免受网站篡改 网页挂马 隐私侵犯 身份窃取 经济损失 名誉损失等问题 3 基于应用的深度入侵防御 有效防止服务器漏洞利用攻击 NGAF 基于应用的深度入侵防御采用六大威胁检测机制 攻击特征检测 特殊攻击检测 威胁关联分析 异常流量检测 协议异常检测 深度内容分析 能够有效的防止各类已知未知攻击 实时阻断黑客攻击 如 缓冲区溢出攻击 利用漏洞的攻击 协议异常 蠕虫 木马 后门 DoS DDoS 攻击探测 扫描 间谍软件 以及各类 IPS 逃逸攻击等 24 通过 NGAF 的部署可有效防止利用 web 服务器 数据库服务器 中间件服 务器等网站服务器本身应用程序 操作系统 应用软件的漏洞通过缓冲区溢出 恶意蠕虫 病毒等应用层攻击 使黑客获取更高的服务器权限 使服务器瘫痪 导致服务器 存储等资源被攻击的问题 4 可定义的敏感信息防泄漏 有效防止 拖库 暴库 NGAF 提供可定义的敏感信息防泄漏功能 根据储存的数据内容可根据其 特征清晰定义 通过短信 邮件报警及连接请求阻断的方式防止大量的敏感信 息被窃取 深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行 有效识别 报警并阻断 防止大量敏感信息被非法泄露 邮箱账户信息 MD5 加密密码 银行卡号 身份证号码 社保账号 信用卡号 手机号码 通过深信服深度内容检测技术的应用 深信服下一代防火墙具备深度内容 检测的能力 能够检测出通过文件 数据流 标准协议等通过网关的内容 因 此具备针对敏感信息 如 186 139 等有特征的 11 位的手机号码 18 位身份证 号 有标准特征的 邮箱等有特征数据进行识别 并通过分离平面设计的软件 构架 实现控制平面与内容平面检测联动 通过控制平面向底层数据转发平面 发送操作指令来阻断敏感信息的泄漏 有防护了各单位 政府 金融机构的敏 感泄漏的风险 5 智能的 DOS 攻击防护 保证网络访问可用性 NGAF 采用自主研发的 DOS 攻击算法 可防护基于数据包的 DOS 攻击 IP 协议报文的 DOS 攻击 TCP 协议报文的 DOS 攻击 基于 HTTP 协议的 DOS 25 攻击等 实现对网络层 应用层的各类资源耗尽的拒绝服务攻击的防护 实现 L2 L7 层的异常流量清洗 6 安全风险评估与策略联动 降低安全维护成本 NGAF 基于时间周期的安全防护设计提供事前风险评估及策略联动的功能 通过端口 服务 应用扫描帮助用户及时发现端口 服务及漏洞风险 并通过 模块间的智能策略联动及时更新对应的安全风险的安全防护策略 帮助用户快 速诊断电子商务平台中各个节点的安全漏洞问题 并做出有针对性的防护策略 7 完善产品容错能力 保证网站访问的稳定性 硬件硬件 bypass NGAF 可实现硬件故障 bypass 保证数据中心稳定性 借助于掉电保护模块 可保证 NGAF 透明模式在断电 硬件故障等异常情况下能够确保网络的通畅性 并实现微秒级切换 关键部件冗余关键部件冗余 NGAF 支持关键部件冗余的容错机制 保证设备在高温等恶劣环境下出现 故障时的快速切换 支持双电源 避免由于单电源故障造成的系统不能访问 26 风扇 1 1 冗余 避免单风扇在高温情况下不能工作的问题 支持热插拔 存储介质冗余存储介质冗余 为保证存储日志的冗余 防止硬盘出现故障时无法记录日志的问题 能够 避免由于单磁盘故障造成设备不能使用的情况 分离平面设计分离平面设计 深信服 NGAF 采用 OS 分离平面设计 数据流平面上分为控制平面 网络 数据转发平面与内容检测平面 网络层数据转发平面主要作用在于使数据包快 速缓存并转发 内容检测平面主要用户数据流应用识别与安全分析 结合应用 识别 漏洞特征识别 web 攻击流量识别等模块完成应用层安全分析与防护 使用数据转发平面与内容检测平面相分离的技术设计 能够优化处理流程 有效保障网络数据的可用性 正常情况下 数据流由数据转发平面复制到内容 检测平面进行深度内容检测 当有威胁内容时 通过控制平面阻断数据转发平 面有威胁数据的外发 保证内容的安全性 当内容检测模块出现故障时 通过 控制平面数据转发层面会将数据正常转发 保证网络畅通保障业务正常运行 组网应用组网应用 27 6 3 核心交换机介绍核心交换机介绍 核心交换机提供高密度的千兆 万兆接口线速转发能力 适于业务集中数 据中心 城域网出口等应用场景 业务的重要性也对它提出了双主控 双转发 引擎 双电源的需求 XX 银行核心路由器推荐型号为华为公司的 S9300 款式交换机 Quidway S9300 系列是华为公司面向以业务为核心的网络架构而推出的新 一代高端智能 T 比特核心路由交换机 广泛适用于能源 政府 交通 电力 教育 医疗 军队 公安 金融 广电等各行业 主要定位于企业广域网 城域网 企业出口 核心 汇聚 高密度千兆接入 以及数据中心 帮助企业构建面向业务的网络平台 28 产品形态产品形态 720G 交换容量 3T 背板带宽 最大端口密度 144GE 144FE 144 10GE 包转发率 540Mpps 配置 24GE 光接口板和 48GE 电接口板各 1 块 产品特点产品特点 1 端口交换容量平滑升级 线卡支持 48 10G 高密万兆接口 业界密度最高 充分满足园区高密核心 与数据中心大带宽需求 整机硬件架构满足未来交换容量和功率需求 单端口 40G 100G 平滑升级 节省投资 支持多框集群技术 交换容量显著提升 2 丰富的软件协议平台 华为 15 年多持续研发 VRP 软件平台支持上千种协议 全面满足客户需求 目前全球数万家客户 现网 600 万 设备运行考验 与现网全部主流数据厂商设 备无缝互通对接 保护现网投资 3 归一化平台 节能芯片 整机高度归一化设计 电源 风扇等全部通用 减少备件种类 节省投资 自主节能芯片 高效节能管理平台 成为业界绿色标杆 组网应用组网应用 29 6 4 服务器产品介绍服务器产品介绍 XX 银行数据中心推荐服务器为 DELL 公司的 PowerEdge R720 款式服务器 Dell PowerEdge R720 机架式服务器是一款配有高度可扩展内存 最高可配 768 GB 与超强 I O 能力的通用平台 能够轻松运行大中型企业的各种应用程序以 及虚拟化环境 借助英特尔 至强 E5 2600 处理器和对双 RAID 控制器的支 持 R720 可以稳健地处理要求极为苛刻的工作负载 如数据仓库 电子商务 虚拟桌面基础架构 VDI 数据库以及作为数据节点的高性能计算 HPC 产品形态产品形态 30 处理器 英特尔 至强 处理器 E5 2600 产品系列 处理器插槽数量 2 个 内部互连 2 个英特尔 QuickPath 互连 QPI 链路 6 4 GT s 7 2 GT s 8 0 GT s 高速缓存 每核心 2 5 MB 核心数量选项 2 4 6 8 内存 最高可配 768 GB 24 个 DIMM 插槽 2 GB 4 GB 8 GB 16 GB 32 GB DDR3 最高 1600 MT s I O 插槽 7 个 PCIe 插槽 1 个 x16 插槽 全长 全高 3 个 x8 插槽 全长 全高 3 个 x8 插槽 半长 半高 最大内部存储容量 24 TB 产品特点产品特点 双路 2U 机架式 Dell PowerEdge R720 服务器树立了功能灵活性方面 的新标准 配备高度可扩展的内存 I O 容量和灵活的网络选项 可以轻松运 行复杂的工作负载 管理数据过载管理数据过载 借助 R720 灵活而又强大的 I O 和存储能力 跟上虚拟化时代数据急剧增 长的步伐 最多可配 16 个内置硬盘和支持 PCI Express 3 0 的集成扩展插槽 极大地提高了容量 而可选配的热插拔 正面接插 PCIe 固态硬盘 最多可配 4 个 可实现性能增强和机箱内存储分层 另外 戴尔精选网络适配器能够视需 要选择正确的网络结构 而无需占用宝贵的 PCI 插槽 加速解决方案加速解决方案 通过将 PowerEdge R720 的高内存密度与可选配的 GPU 加速器 有些有超 过 500 个内核 相结合 大幅增强 HPC 或 VDI 环境的性能 从一系列 GPU 选项中选择 以获得更大的辅助性能 借助借助 R720 提高虚拟化水平提高虚拟化水平 通过使用 PowerEdge R720 的大内存配置扩展虚拟环境 从而最大限度地 提高数据中心的应用程序容量 选择业界领先的虚拟机管理程序 并利用我们 的系统管理功能管理物理和虚拟资产 利用冗余的故障保护型虚拟机管理程序 31 R720 可帮助您最大限度地提高虚拟机的正常运行时间 最后一点 通过戴尔 的虚拟集成系统 VIS 解决方案 您只需轻点几下鼠标就可以启用复杂的虚拟 化环境 6 5 存储产品介绍存储产品介绍 XX 银行数据中心推荐存储设备为 DELL 公司的 PowerVault MD3200 阵列 PowerVault MD3220 是戴尔的新一代直连共享串行连接 SCSI SAS 阵列 经鉴 定适合在 Microsoft Hyper V Citrix XenServer 和 VMware 虚拟环境中使用 产品形态产品形态 硬盘硬盘 MD3220 最多可配置二十四 24 个 3 5 英寸 SAS NL SAS 和固态硬盘 产品 3 5 英寸硬盘的性能和容量 15 000 RPM SAS 硬盘 容量规格为 300 GB 450 GB 和 600 GB 7 200 RPM 近线 SAS 硬盘 容量规格为 500 GB 1 TB 2 TB 和 3 TB 产品 2 5 英寸硬盘的性能和容量 15 000 RPM SAS 硬盘 容量规格为 73 GB 和 146 GB 10 000 RPM SAS 硬盘 容量规格为 146 GB 300 GB 和 600 GB 7 200 RPM 近线 SAS 硬盘 容量规格为 500 GB 固态硬盘 SSD 容量规格为 149 GB 适用于 3 5 英寸硬盘托架 存储设备存储设备 采用 MD1200 MD1220 扩展盘柜 最多可配置 192 个硬盘 连接性连接性 8 个 6 Gb SAS 端口 每个控制器 4 个 产品特点产品特点 管理系统管理系统 MD3220 阵列由新一代 MD Storage Manager 一个直观 易于使用的基于客户端 的应用程序 管理 通过两种不同的管理途径 可轻松实现用户交互 即使只对存储系统有基本 32 了解的用户也能够使用 企业窗口功能可通过单个界面监控多个系统 基于向导的阵列管理有助于简化配置流程 该软件会检测问题并就检测到的任何问题对您进行提醒 另外还会启动自动 Recovery Guru 来帮助排查和解决问题 MD 阵列系