XXX高级人民法院大楼网络系统设计方案

XXXXXX高级人民法院网络系统设计高级人民法院网络系统设计 解决方案 - 1 - 第一章前言.- 2 - 第二章需求分析.- 3 - 第三章总体建设方案.- 4 - 2.1方案设计原则.- 4 - 2.2方案建设目标.- 5 - 2.3整体网络架构.- 6 - 2.4网络详细设计.- 7 - 2.5局域网设计方案.- 7 - 2.6网络层安全设计方案.- 10 - 2.6.1网络安全风险分析.- 10 - 2.6.2网络层安全解决方案.- 12 - 2.7终端信息安全管理设计方案.- 18 - 2.7.1网络接入管理解决方案.- 20 - 2.7.2补丁分发解决方案.- 21 - 2.7.3桌面终端管理.- 22 - 2.8统一网络管理平台设计方案（先请咨询邓霄博）.- 22 - 2.8.1网络管理的必要性.- 22 - 2.8.2网络管理解决方案.- 22 - 2.9整体方案特点.- 26 - 2.9.1网络结构安全可靠.- 26 - 2.9.2网络终端安全管理.- 26 - 2.9.3网络精细化管理.- 26 - 2.10硬件配置建议.- 27 - 第四章产品介绍.- 28 - 第五章案例介绍.- 29 - - 2 - 第一章前言 “天平工程”建设目标是初步完成全国各级人民法院以司法审判信息资源管 理为核心的网络和软硬件设施建设、安全和配套设施基本到位，实现案件审判工 作及其它各项工作管理全过程的科学化、规范化、实体化和协同化，促进和保障 人民法院在全社会实现“公正与效率” 、 “司法统一” 、 “司法便民为民”的目标。 通过“天平工程”的建设提高各级人民法院审判效率，促进司法公正。为了 实现政务目标，针对人民法院主要业务提出各项业务目标，使各级人民法院审判 管理业务、审判监督业务、审判支持业务、司法信息公开业务及内部管理等业务 能力和水平显著提高。 完善法院司法审判信息系统，完善高级人民法院、中级人民法院和基层人民 法院的信息系统建设，在实现各级法院的信息联网基础上进行全国范围内司法审 判信息的查询、统计、汇总和分析等数据挖掘、数据分析功能建设，具备与党委、 人大、政府、政协、检察院等相关部门信息共享的能力，全面提高我国司法审判 水平。 - 3 - 第二章需求分析 各级人民法院基础业务支撑平台和综合信息交换平台是人民法院业务网络的 重要组成部分。人民法院基础业务支撑平台和综合信息交换平台的业务需求是功 能和性能上要求能够支持数据、语音和视频业务，应当满足数据传输、交换、共 享和综合应用，同时满足各级人民法院综合信息交换平台间的数据、音视频信息 通信和视频会议、远程诉讼、案件异地讨论和远程培训等音视频的传输需求。 为解决案件审判质量和审判效率及产生的审判效果相关问题，需要人民法院 依据职能，建立相关信息化基础设施。 1、建设和完善审判管理信息系统，加强和规范立案、审理、执行、归档、信 访工作的信息化、网络化。最大限度的解决由于人民法院和法官的失误而导致的 审判问题，有效的降低因此而发生的涉诉上访问题。并最终形成司法案例库用以 指导审判工作。 2、建设和完善各级人民法院之间、人民法院与其它政法机关之间、人民法院 与监狱之间、人民法院与其它需要协同的部门之间，人民法院与当事人、律师之 间的网络，并建设传输交换系统，有效的解决因沟通不畅，信息掌握不全，信息 不一致等原因引起的审判和信访问题。 4、利用信息技术手段搜集司法绩效考核信息、法官绩效考核信息等，协助本 级法院对法官、上级法院对下级法院和法官的司法监督和司法指导工作。利用音 视频信息传输技术，建设庭审音视频信息系统，信访听证音视频信息系统等。对 有必要录音或录像的案例进行录音录像，同时为上级法院监督提供支持。 5、建设和完善人民法院日常工作支持信息系统，提高工作效率。 - 4 - 第三章总体建设方案 3.1、 方案设计原则方案设计原则 基于对 XXX 省高级法院业务需求的深入理解，结合自身产品和技术特点，迈 普公司推出了了完善的 XXX 省高级法院网络解决方案，为 XXX 省高级法院提供 “高扩展、多业务、高安全”的精品网络。 XXX 省高级法院网络建设遵循以下基本原则： 高带宽 XXX 省高级法院网络是一个庞大而且复杂的网络，为了保障全网的高速转发， 全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核 心交换机具有高性能、高带宽的特，整网的核心交换要求能够提供无瓶颈的数据 交换。 可增值性 XXX 省高级法院网络的建设、使用和维护需要投入大量的人力、物力，因此 网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力， 能针对不同的用户需求提供丰富的宽带增值业务，使网络具有自我造血机制，实 现以网养网。 可扩充性 考虑到 XXX 省高级法院用户数量和业务种类发展的不确定性，要求对于核心 交换机与汇聚交换机具有强大的扩展功能，XXX 省高级法院网络要建设成完整统 一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。 开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内 部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换 传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实 时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 - 5 - 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供 网络安全防范措施。 3.2、 方案建设目标方案建设目标 基础业务支撑平台建设内容是满足人民法院基础业务应用要求的网络系统设 备、计算与存储备份环境、法庭审判音视频信息系统支撑环境、各项业务应用和 安全系统支撑环境。 1）建设和完善全国各级人民法院基础业务支撑平台，为人民法院审判工作 和其它各项工作管理提供网络系统、法庭审判音视频信息管理和应用系统运行环 境的支撑与服务； 2）依托本级法院局域网环境，建设和完善覆盖中级以上人民法院和基层法 院的综合信息交换平台，实现人民法院间审判信息和其它各类信息的应用与管理， 保障网络与信息的安全传输与可信交换。 3）在全国各级人民法院建设司法、监测分析、宏观决策、司法公开和内部 管理等五大类作业子系统，全面提高人民法院审判工作的公正性和透明度，实现 人民法院审判工作的科学化、规范化、实体化管理。 4）以人民法院司法审判信息资源管理和应用为核心，建设覆盖最高人民法 院、高级人民法院和中级人民法院的三级司法信息资源库；建设最高人民法院和 高级人民法院二级数据中心，实现中级以上人民法院诉讼信息的综合应用，为人 民法院审判工作、最高院司法资源的整合和配置、最高院对市中院场经济秩序的 宏观分析、最高院立法等提供翔实的信息支持和服务。 5）建设全国法院执行案件信息管理系统及统一的执行威慑门户系统，形成 全国法院执行威慑体系，并与政府相关部门工作协同，为银行、工商、海关等部 门提供信息联动服务。 6）建设人民法院业务网络统一门户系统，为全国各级人民法院提供统一登 录入口和高效综合信息交换业务服务的门户网站。 7）完善人民法院互联网网站内容建设，提供网上诉讼指南、法律及法规查 - 6 - 询、案例查询等司法便民服务。 3.3、 整体网络架构整体网络架构 在 XXX 省高级法院网络整体设计中，采用层次化、模块化的网络设计结构， 并严格定义各层功能模型，不同层次关注不同的特性配置。典型的网络结构可以 分成三层：接入层、汇聚层、核心层。 1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、 Qos 和 POE 功能都位于这一层。对于法院网络的接入层设备，建议采用千兆三层 接入的方式，应该具有线速三层交换、高级 QoS 策略等功能。 2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层 时，具有负载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第 一跳网关；对于法院网络的汇聚层设备，应该能够承载校园园区的多种融合业务， 能够融合了 MPLS、IPv6、网络安全、无线等多种业务，提供不间断转发、环网保 护等多种高可靠技术，能够承载法院融合业务的需求。 3) 核心层：网络的骨干，必须能够提供高速数据交换和路由快速收敛，要 求具有较高的可靠性、稳定性和易扩展性等。对于校园园区网核心层，必须提供 高性能、高可靠的网络结构，推荐采用高可靠的环网结构或多设备冗余的星型结 构。对于法院网络核心层设备，应该在提供大容量、高性能 L2/L3 交换服务基础 上，能够进一步融合了硬件 IPv6、网络安全、网络业务分析等智能特性，可为法 院构建融合业务的基础网络平台，进而帮助用户实现 IT 资源整合的需求。 - 7 - 3.4、 网络详细设计网络详细设计 3.5、 局域网设计方案局域网设计方案 高院网络基础网络设计方案高院网络基础网络设计方案 对于高院局域网络建设，本次建设采用内外网物理隔离的方式。推荐采用千 兆接入组网模型。为用户提供三层千兆到桌面的接入服务，整网配置 OSPF 协议， 网络故障收敛速度快、易于管理和维护。VLAN 终结在接入端口，限制广播域范围， 较少广播报文对网络带宽的消耗。从接入层开始即可进行快速三层交换，利用网 络中存在的等价多路径实现业务流量的负载分担。 - 8 - 网络按照分层、模块化的思路进行设计和规划，根据业务、区域等规划因素 进行模块化区域划分，每个区域有自己的汇聚核心与网络核心相连。网络各层设 备都为三层设备，支持 OSPF。在接入层设备上提供千兆端口接入。接入层千兆双 归属到汇聚层设备，提供链路冗余备份。区域汇聚核心间提供千兆链路连接，双 机备份和加速路由收敛。汇聚层千兆双归属到网络核心，根据实际带宽需要也可 千兆链路捆绑双上行到核心，汇聚层可采用堆叠设备，它提供的分布式路由和分 布式设备管理使整个堆叠设备当成一台交换机进行路由转发和管理，而且支持热 插拔，不会因为堆叠组单台设备故障引起整个接入业务中断。两台核心设备间通 过千兆捆绑链路连接，完成高速数据交换和双机热备份。 内网部分： 核心采用两台迈普的 MyPower S6800-08A 核心交换机承担全网的数据转发， 汇聚采用迈普的 MyPower S4200-28FC 实现对接入交换机的接入，分担核心交换 机的压力，接入层采用迈普的 MyPower S3200 系列交换机。根据 XXX 省高法大楼 的建设需求，一号楼每层 52 个信息点，总共 13 层。所以每层放置一台 24 口和 - 9 - 一台 48 口个接入交换机，总共使用 3 个汇聚交换机即可，接入交换机通过双光 纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。二号楼每层 34 个信息点的接入，总共 9 层。每层放置一台 48 口接入交换机，每 4 层使用一 个汇聚交换机，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过 双光纤链路上联至核心。 外网部分： 核心采用两台迈普的 MyPower S6800-08A 核心交换机承担全网的数据转发， 汇聚采用迈普的 MyPower S4200-28FC 实现对接入交换机的接入，分担核心交换 机的压力，接入层采用迈普的 MyPower S3200 系列交换机。根据 XXX 省高法大楼 的建设需求，一号楼每层 52 个信息点，总共 13 层。所以每层放置一台 24 口和 一台 48 口个接入交换机，总共使用 3 个汇聚交换机即可，接入交换机通过双光 纤链路连接至汇聚交换机，汇聚交换机通过双光纤链路上联至核心。二号楼每层 34 个信息点的接入，总共 9 层。每层放置一台 48 口接入交换机，每 4 层使用一 个汇聚交换机，接入交换机通过双光纤链路连接至汇聚交换机，汇聚交换机通过 双光纤链路上联至核心。 在互联网区放置两台迈普 MSG 4000-G4 实现互联网出口的审计、行为管理、 防火墙等功能，保障高法网内的安全性。 3.6、 网络层安全设计方案网络层安全设计方案 3.6.1、 网络安全风险分析网络安全风险分析 首先应在对法院网络安全风险分析的基础上，做到统一规划，全面考虑；其 次，应积极采用各种先进技术，如虚拟交换网络（VLAN） 、防火墙技术、加密技 术、虚拟专用网络(VPN)技术、PKI 技术等，并实现集中统一的配置、监控、管理； 最后，应加强有关网络安全保密的各项制度和规范的制定，并予以严格实行。 为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层 的方法，并且在每个层面上进行细致的分析，根据风险分析的结果及目前主要面 - 10 - 临的问题设计出符合具体实际的、可行的网络安全整体解决方案。 1.1. 物理层的安全风险分析物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路 的不可用，而造成网络系统的不可用，它是整个网络系统安全的前提。如： 设备被盗、被毁坏 链路老化或被有意或者无意的破坏 因电子辐射造成信息泄露 设备意外故障、停电 地震、火灾、水灾等自然灾害 因此，法院网络在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、 被毁坏；设备老化、意外故障，计算机系统通过无线电辐射泄露秘密信息等。 2.2. 网络层安全风险分析网络层安全风险分析 重要数据被破坏 由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络 上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出 伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。存储数据对 于法院来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将 导致难以想象的后果，这也是网络犯罪的最大特征。 网络边界风险分析 由于当发生安全事件希望把造成的影响降到最低，因此在做安全系统设计时 需要按照实际网络情况划分网络边界以达到隔离网络的目的。 3.3. 应用层安全风险分析应用层安全风险分析 由于法院对外提供网上 WWW 服务，因此存在外网非法用户对内部网和服务器 的攻击。 身份认证漏洞 服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的， 且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据 库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令， - 11 - 可对资源非法访问和越权操作。 对法院的网上服务平台，必须加强用户的身份认证，防止对法院网络资源的 非授权访问以及越权操作。 www 服务漏洞 Web Server 目前正在成为法院对外宣传、开展业务的基地，但公开服务器本 身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。 系统中的 BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行 修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务” ， 最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力，防止拒 绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与 恢复、防篡改与自动修复能力。 电子邮件系统漏洞 电子邮件为网络系统用户提供电子邮件应用。内部网用户进行电子邮件发送 和接收时存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等） 、病 毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕 性，给入侵者提供机会，给系统带来不安全因素。 3.6.2、 网络层安全解决方案网络层安全解决方案 依照法院安全保障体系规划，本章提出安全技术体系的具体配置部署方案。 1. 防火墙分系统防火墙分系统 访问控制分系统是信息安全体系的基本组成要素，网络层的访问控制通过防 火墙实现。防火墙提供了在不同安全级别的多个系统网络之间提供共享数据的访 问控制能力。法院信息网络是一个综合的网络系统，存在着不同安全级别的网络。 为了防止不同安全域的安全威胁在整体法院信息系统中传播，我们在不同安全域 之间部署防火墙进行逻辑隔离。 防火墙是隔离在本地网络与外界网络之间的一道防御系统。利用防火墙对内 部网络的划分，可实现内部重点网段的隔离，通过限制网络互访来限制局部重点 或敏感网络安全问题对全局网络造成的影响。防火墙是建立在内部网络与外部之 - 12 - 间的唯一安全通道，通过制定相应的安全规则，可以允许符合条件的数据进入， 同时将不符合条件的数据拒之门外，即“法无许可即禁止” 。这样就可以阻止非 法用户的侵入，保证内部网络的安全。 因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫 使单位强化自己的网络安全策略。一般的防火墙都可以达到以下目的：一是可以 限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你 的防御设施；三是限定用户访问特殊站点。 法院系统是一个业务非常重要，安全级别要求较高的网络系统，在本方案中， 我们建议法院内部网络边界处防火墙作为统一的接入控制设备，针对法院网络系 统，防火墙主要解决的问题如下： 防止非法的访问与数据包：一般来讲，总是利用高端口发送数据包来进行攻 击行为，那么我们只需要封闭这些端口，或者一些没有用处的协议（比如 ICMP 协议） ，就能够有效的防范攻击，特别是外网用户，由于在内部有各类应用服务， 我们必须确保只有对应的服务才能经过防火墙，而其他的访问均被禁止，从而保 护各类应用服务的安全。 防止地址欺骗：一方面，来自其它网络的访问者会将自己的 IP 地址伪装成内 部地址，从而绕过防火墙发起对内网的攻击；另一方面，内部用户通过修改自己 的地址，而获得更高的访问权限；这些行为都会给单位的网络形成安全威胁，那 么防火墙通过 MAC 地址绑定技术、源地址识别等技术，能够识别出这些地址欺 骗行为，从而更有效的执行访问控制策略； 对内部用户进行应用层深度管理: 对 HTTP、FTP、SMTP、POP3 协议的内 容进行管理，保护终端用户合法有效地使用各种网络资源； 对用户、IP、组等对 象进行上传，下载等细致的流量控制；QOS 功能，保证重要数据优先上传。网页 访问控制；WEB 认证、文件上传下载控制、代理识别。 2. 入侵防御分系统入侵防御分系统 在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统，通过中 心控制台对各节点进行集中统一管理。包括制定安全策略、修改安全策略以及升 级攻击代码库等。入侵检测系统在重要保护网络系统中是访问控制设备防火墙最 有利用的补充。 - 13 - 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测 及采取相应的防护手段，如发现违规访问、阻断网络连接、内部越权访问等，发 现更为隐蔽的攻击。 法院网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统，管 理和降低网络安全风险，保证网络安全防护能力能够不断增强。 目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。 网络入侵检测系统应能满足以下要求： 能在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵 行为。能及时识别各种黑客攻击行为，发现攻击时，阻断弱化攻击行为、 并能详细记录，生成入侵检测报告，及时向管理员报警。 能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和细 度的需求配置多个扫描。 能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测。 所采用的入侵检测产品和技术不能被绕过或旁路。 检测和扫描行为不能影响正常的网络连接服务和网络的效率。 检测的特征库要全面并能够及时更新。 安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理， 用户可根据不同需求选择相应的检测策略。 能够帮助建立安全策略，具有详细的帮助数据库，帮助管理员实现网络 的安全，并且制定实际的、可强制执行的网络安全策略。 3. 防病毒网关分系统防病毒网关分系统 病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系 统是法院网络系统安全体系建设的重要任务。 目前主要采用病毒防范系统解决病毒查找、清杀问题。 - 14 - 根据法院系统网络结构和计算机分布情况，以及目前客户端防病毒软件安装 及使用不能完全防范病毒等现状，利用边界安全网关在网络中的特殊位置，使得 电脑病毒在进行扩散之前得到有效处理。 通过现有的客户端防病毒系统和网络中的边界安全网关防病毒系统能够形成 从多层次进行病毒防范，第一层工作站、服务器，第二层网关都能有相应的防毒 功能提供完整的、全面的防病毒保护。 病毒防护功能特色 基于流、低延时、高并发、高性能的病毒过滤 支持对大病毒文件也能检测 实时病毒连接阻断，病毒事件记录 支持常见病毒传输协议 HTTP、FTP 及各种邮件协议扫描 超过 40 万的病毒特征库，病毒库定时自动更新 支持应用处理模块 4. 内网机密信息安全访问解决方案内网机密信息安全访问解决方案 内网是一个完全独立的网络，因此数据在网络平台的传输过程相对比较安全， 但是对于一些重要信息，尤其是一些机密信息，需要严格保证这些数据在传输过 程中的安全。因此，虽然这些数据传输在一个相对独立的内网，但是仍然存在被 侦听破解的可能，需要有合理有效的方式解决这个问题，我们建议采用基于 VPN - 15 - 的解决方案，是一种非常安全而且灵活的解决方案。 适用环境：适用环境：移动办公 SOHO，便携笔记本。 方案实现：方案实现：在便携终端上安装 VPN 软件客户端（SSL VPN 方式可以免除软 件安装）和 USB KEY 设备，便携终端外接 GPRS，CDMA-1X Modem 通过移动 拨号连接 Internet 与法院中心的 VPN 网关之间建立 VPN 隧道，完成移动办公， 使用 SSL VPN 方式可以免除客户端软件安装。 方案优势：方案优势： MSG4000 安全网关可同时提供 IPSec 和 SSL 两种 VPN 接入方式，可以 提供根据业务选择不同的接入方式 SSL VPN 可以提供免安装软件接入，对于 B/S 模式的业务支持能力强， 维护成本较低，但对于复杂业务的处理支持能力有限 可以支持 USB-SecKEY，RSA 等多种硬件认证方法，保证移动终端接入 的可靠性 接入方式灵活，支持 ADSL，GPRS，CDMA 1X，Modem 等多种移动接 入方案 5. 上网行为审计解决方案上网行为审计解决方案 互联网的兴起与普及为人们的工作和生活提供了极大的便利，与此同时，经 由内部访问互联网导致的带宽滥用、效率下降、信息泄漏、法律风险、安全隐患 等问题日益凸显。例如，在企业内部，部分员工利用工作时间在线炒股、玩在线 游戏、欣赏音乐和视频、通过 P2P 工具下载、使用即时通讯工具无节制地网络聊 天、通过网络外泄公司机密；在网吧等一些公共上网场所，人们可以随意浏览不 健康网站、发表不负责任的言论、甚至参与非法网络活动 针对互联网所带来的上述问题，需要为法院提供可控制的上网行为管理功能。 该功能通过对用户的网络访问行为进行控制和管理，有效解决因接入互联网而可 能引发的各种问题，优化对互联网资源的应用。 上网行为管理功能对网络游戏、在线聊天、在线炒股、P2P 下载、网页访问、 邮件外发及论坛发帖等各种网络行为进行全面控制管理，并可以根据需要针对不 同用户、不同网络行为、不同时间进行灵活的管理策略设置和日志记录，同时能 够配合集中网络安全管理系统对网络行为日志进行查询统计与审计分析，从而为 - 16 - 网络管理者的决策和管理提供重要的数据依据。 上网行为管理功能主要通过策略机制实现，网络管理者可以针对不同用户制 定适合的上网行为管理策略规则，系统则会根据策略规则对网络应用流量进行行 为控制和管理。 上网行为管理策略规则共分为三类：网络应用控制策略规则、网页内容控制 策略规则和外发信息控制策略规则 网络应用控制策略规则 网络应用控制策略规则对网络应用的使用进行控制。根据不同的协议及应用 领域将网络应用分为网络游戏、即时通讯、在线炒股、P2P 协议、流媒体协议、 其他协议、FTP 控制以及 HTTP 控制等等大类，每一大类中又包含若干具体的子应 用和协议。网络管理者可以根据需要，对各种应用和协议制定基于用户和时间表 的策略规则，以实现对用户上网行为的控制。 - 17 - 网页内容控制策略规则 网页内容控制策略规则包括 URL 过滤策略规则和关键字过滤策略规则。网页 内容控制策略规则能够对用户访问的网页进行控制。URL 过滤策略规则可以基于 系统预定义的 URL 类别和用户自定义的 URL 类别，对用户所访问的网页进行过滤。 关键字过滤策略规则可以基于用户自定义的关键字类别，对用户所访问的网页进 行过滤，同时，能够通过 SSL 代理功能对用户所访问的含有某特定关键字的 HTTPS 加密网页进行过滤。 外发信息控制策略规则 - 18 - 外发信息控制策略规则包括 Email 控制策略规则和论坛发帖控制策略规则， 能够对用户的外发信息进行控制。Email 控制策略规则能够对通过 SMTP 协议发送 的邮件和 Webmail 外发邮件进行控制，可以根据邮件的收件人、发件人、内容关 键字、附件名称和附件大小对邮件的发送进行限制。同时，能够通过 SSL 代理功 能控制 Gmail 加密邮件的发送。论坛发帖控制策略规则能够对通过 HTTP Post 方 法上传的有某关键字的内容进行控制，如阻断内网用户在论坛发布含有指定关键 字的帖子。 上网行为管理作为网络层安全设计中一部分，与访问控制、Qos、IPS 等模块 构成企业网络出口的安全屏障。对外可进行入侵防护和非法访问阻断，对内可进 行 WEB 访问、P2P、IM 等应用进行审计。从而使网络的安全性得到提高，使应用 和用户的行为能够可视化。 - 19 - 3.7、 整体方案特点整体方案特点 3.7.1、 网络结构安全可靠网络结构安全可靠 核心网可靠性、可用性的保障，低成本，快速收敛。满足法院局域网关键业 务高可用性要求。针对法院复杂组网环境，提供全线速、高密度的万兆解决方案。 对用户接入的有效控制，符合策略的终端才能接入网络。低成本高速率桌面接入， 适用单位各个部门、服务器群的接入。 3.7.2、 网络精细化管理网络精细化管理 通过网络精细化管理，能够实时监视所有设备的运行状况，通过可视化的网 络拓扑界面帮助用户及时了解网络的变化。帮助用户主动监视网络的状况，及时 发现网络潜在的隐患。同时，丰富的历史性能统计数据为用户升级扩容网络提供 了客观准确的参考。可管理所有支持标准 SNMP 网管协议的网络设备，为多厂商 设备共存的网络提供了统一的管理方式。 3.8、 硬件配置建议硬件配置建议 序序 号号 产品型号产品型号描述描述 数数 量量 价价 格格 合合 计计 核心交换机核心交换机 1SM6800-08A-MF SM6800-08A-MF 交换机箱（含背板、防 尘板），2 个主控插槽、2 个交换矩阵板 插槽、8 个线卡插槽、1 个风扇插槽，8 个电源插槽。 1 0 2SM68A-MPUBH 主控卡（含软件），必配 1 张，支持 2 张冗余备份。建议配置两条 DDR400- 512S，可选配一个 U 盘和一个 CF 卡。 用于 SM6800-08A-MF、SM6800-16A-MF 2 0 3SM68A-SFUBH 交换矩阵卡，必配 1 张，支持 2 张冗余 备份。适用于 SM6800-08A-MF、SM6800- 16A-MF 2 0 - 20 - 4SM68A-24GET24GEFH 24 端口千兆光接口（需配 SFP 光模块） 24 端口千兆电接口，可选配 POE 模块， 该模块可支持 3 个 POE。内存插槽一条， 推荐配置 DDR400-512S。适用于 S6800- 02A/04A/08A/16A-MF 系列主机 1 0 5SM68A-SIUH 液晶显示模块,用于 SM6800-08A-MF v1 版、SM6800-16A-MF V1 版，必配 1 张， 。 1 0 6AD1000-1S007Z 1000 瓦交流电源模块，必配 1 个，支持 N+1 冗余备份。适用于 S6800- 02A/04A/08A/16A-MF 系列主机。 2 0 7FAN-13A-01 风扇，必配 1 个，用于 SM6800-08A-MF 1 0 8DDR400-512S 512M DDRAM 条,内存访问速度 400,封装 为 SODIMM 5 0 9SFP-S2-L24P3 1.25G 单模光模块（传输距离 20km，LC 接口、PECL 接口电平、波长 1310nm） 10 0 单套设备合计：单套设备合计： 00 数量数量/ /总计总计 400 汇聚交换机汇聚交换机 1SM4200-28FC 千兆三层路由交换机（24 个千兆 SFP 以 太口，12 个 10/100/1000M 电接口，2 个 扩展槽），交直流电源 1 0 2SFP-S2-L24P3 1.25G 单模光模块（传输距离 20km，LC 接口、PECL 接口电平、波长 1310nm） 10 0 单套设备合计：单套设备合计： 00 数量数量/ /总计总计 1000 接入交换机接入交换机 1SM3200-50T-AC 网管型千兆交换机主机（ 44 个 10/100/1000M 电口， 4 个千兆 Combo 接口， 2 个千兆电口，交流主机） 1 0 2SFP-S2-L24P3 1.25G 单模光模块（传输距离 20km，LC 接口、PECL 接口电平、波长 1310nm） 2 0 单套设备合计：单套设备合计： 00 数量数量/ /总计总计 4200 接入交换机接入交换机 1SM3200-26T-AC 网管型千兆交换机主机（ 20 个 10/100/1000M 电口， 4 个千兆 Combo 接口， 2 个千兆电口，交流主机） 1 0 2SFP-S2-L24P3 1.25G 单模光模块（传输距离 20km，LC 接口、PECL 接口电平、波长 1310nm） 2 0 单套设备合计：单套设备合计： 00 数量数量/ /总计总计 2600 - 21 - 出口网关出口网关 1 MPSec MSG4000-G4- AC 千兆中端安全网关，配置 4 个 GE 口+4 个 SFP 口；提供 2 个模块化插槽，可以 扩展 8SFP/8GE/4 口 Bypass 模块；配置 单交流电源，标准 1U 设备；默认支持防 火墙/IPSec VPN 功能，通过 License 扩 展可以支持完善的 IPS/AV/SSL VPN/流量 控制/上网行为管理/URL 过滤等功能 1 0 单套设备合计：单套设备合计： 00 数量数量/ /总计总计 200 - 22 - 3、 产品介绍 MyPower S6800 系列产品介绍系列产品介绍 产品概述产品概述 MyPower S6800 系列万兆核心路由交换机外观图 MyPower S6800 系列高性能万兆核心路由交换机是迈普公司推出的新一代多业务高性能 电信级核心交换机平台产品，可以向用户提供高性能、高可靠、多业务的网络服务。 MyPower S6800 系列高性能电信级交换机采用先进的 200G 交换平台，可以提供超大容 量 L2/L3 层数据交换服务；采用 ATCA 理念，先进的电信级 99.999%设备稳定性设计，所有 部件全冗余，主控卡和交换矩阵硬件分离；支持 MPLS 和 IPv6 数据的全分布式硬件线速处 理，满足核心层设备高密度、高吞吐量的 MPLS 和 IPv6 数据转发要求；提供电信网络的管 理特性，通过 OAM 协议可以对网络链路、业务、用户端进行全面的管理。 MyPower S6800 系列高性能电信级交换机作为多业务网络核心平台，可与迈普全系列交 换机一起为金融、运营商、政府、能源、交通、教育、军队等用户提供全方位的广域网和局 域网解决方案，广泛应用于以上各个行业领域的国家级和省级数据中心、国家级和省级网络 核心、大型园区网核心、运营商 IP 城域网核心。MyPower S6800 系列高性能电信级交换机分 别提供 4 槽、8 槽、12 槽、20 槽四种机框满足不同业务容量客户的需求。 产品特征产品特征 先进的万兆交换硬件体系架构设计保证大容量交换容量 核心保障机制和关键部件冗余保证设备的电信级可靠性 集中式/分布式的 IPv6/MPLS 处理机制满足各类应用需求 完善的网络安全特性能够提供全面的攻击和病毒防范能力 支持虚拟化功能，可以实现配置统一管理和数据同步功能 丰富的多业务卡设计，通过众核处理实现了多业务的加速 - 23 - 超低功耗设计延长交换平台的寿命，降低设备运转能耗 领先的电信级产品的易用性、可管理性、OAM 特性 先进的先进的 200GE 多级交换架构的交换平台多级交换架构的交换平台 采用新一代 200G 交换平台设计，先进的无源铜背板提供单槽位 400G 的交换容量，通 过 Crossbar 空间多级交换矩阵实现板内和板间超高速二、三层线速分布式转发；通过功能强 大的多核+NP+ASIC 芯片进行高速路由查找，从而大大提升 MyPower S6800 交换平台的路由 性能；高达 6.4Tbps 的整机交换容量，提供领先的大密度万兆、千兆以太网板卡，可升级支 持 40/100GE 接口，满足核心层设备高密度、高吞吐量、可扩展的要求。 采用采用 ATCA 架构设计的电信级交换平台架构设计的电信级交换平台 整个系统采用 ATCA 架构的理念，所有部件均提供双冗余或者多冗余设计，支持电源 冗余、管理模块冗余、交换矩阵冗余、风扇冗余、链路冗余等；整个系统电源模块、风扇模 块、所有业务板卡支持热插拔；系统软件支持优雅重启技术和在线升级功能，可以保证业务 永不中断；独特的双控制引擎互为备份设计，保证核心交换平台具有苛刻电信级可靠性；独 立的交换网板卡，交换卡和控制引擎硬件相互独立，可以提高设备的可靠性，同时为后续产 品带宽的持续升级提供保证。 支持支持 IPv6/MPLS 硬件全分布式转发平台硬件全分布式转发平台 整个平台支持基于 ASIC 全分布式全线速硬件 MPLS/IPv6 转发方式，可以在板卡内实现 MPLS/IPv6 报文的全线速处理，避免集中式转发的瓶颈和时延问题，为 MPLS/IPv6 大规模组 网提供了有力保障。丰富的 MPLS 功能特性，可以满足运营商 MPLS 城域网的要求，可以针 对各类业务提供二、三层 MPLS VPN 功能。每端口大容量 Buffer，满足大型数据中心高突发 流量的需求；支持精细化 QoS 和流量管理，给不同用户、不同业务流分配不同的优先级和队 列，保证不同的带宽、业务延迟和抖动性能。 领先的电信级产品的易用性、可管理性领先的电信级产品的易用性、可管理性 通过独立的机箱管理平面和液晶面板，能够自动检测和上报硬件故障，并进行相应的故 障隔离，对电源管理、环境及热点温度监控、风扇转速自动调整，CPU 系统异常重启前关键 信息保存，便于后续故障分析和定位。支持在线状态检测机制，支持单板离线故障诊断，快 速方便的现场定位手段，支持业务层面的在线故障诊断，通过 TCP、UDP- Jitter、ICMP、HTTP、FTP、DHCP、DLSw 和 SNMP 测试等各种探测方式对网络或服务进行 质量分析，并提供测试结果，可视化网络流量监控和分析。全面支持 802.3ah OAM、802.1ag OAM、ITU Y.1731 OAM，提供多种设备级和网络级的故障检测手段。 完善的系统网络安全特性确保网络可靠完善的系统网络安全特性确保网络可靠 具有系统网络安全性的功能设计，支持基于用户安全策略的 SNMP V3、MAC+IP+VLAN 绑定、802.1X 认证等安全策略，支持防网络风暴攻击、防 DOS/DDOS 攻击、防 ARP 攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术， 可有效地防止攻击和病毒，更适合大规模、多业务、复杂流量访问的网络。控制平面和转发 平面的物理隔离，控制平面和转发平面的多级保护及安全性，可以有效的防止各类攻击。多 种攻击检测机制：ARP 深度检测；IP 攻击检测；TCP 攻击检测，IP Source Guard 等，配合 IPFIX 和 MatserPlan 网管可以实现对攻击源的主动防御。 - 24 - 支持虚拟化功能，可以实现配置统一管理和数据同步功能支持虚拟化功能，可以实现配置统一管理和数据同步功能 支持虚拟化功能，可以将多台交换机虚拟化为一台交换机，进行统一管理和统一表项的 数据转发。多台交换机堆叠后，从主交换机可以对从交换机直接进行管理，以全局的方式进 行配置命令下发。多台交换机堆叠后，可以实现主、从交换机的转发表项的自动同步功能， 以一台交换机的方式进行数据转发。支持通过 10000M 光口的方式进行堆叠，可以实现本地 或者远程的堆叠功能，部署更为方便。支持跨设备的链路捆绑功能，可以满足核心网络的链 路高速切换需求。 高速交换平台配合众核处理实现了多业