数据中心网络解决方案

在一份优秀的方案中，既要包括各项具体的工作环节，时间节点，执行人，也要包括实现方法、需要的资源和预算等，那么具体要如何操作呢？以下是小编精心整理的《数据中心网络解决方案》，供大家阅读，更多内容可以运用本站顶部的搜索功能。

第一篇：数据中心网络解决方案

XX广电数据中心网络解决方案

1 XX广电数据中心面临的挑战

“数据中心”建设是三网融合建设的重要组成部分，是广电网络运营商进行多业务运营转型，提升综合实力的主要任务。作为定位在“多业务运营平台”基础之上的数据中心，它不仅作为IDC开展IDC业务，还对广电现有的宽带接入业务、互动

数字电视视频业务、互动增值业务的发展产生积极作用，同时为广电的IT支撑系统提供运维保障。 当前广电数据中心面临的挑战是：

1) 广电宽带用户需要的互联网内容与信息服务大部分在电信和联通的IP网内，导致广电巨大的入网流量带宽成本。需要建设数据中心并部署一定规模的P2P、WEB应用缓存系统，从而尽可能将本地宽带用户的内容和服务请求终结在广电网内。

2) 互动数字高清视频业务是广电运营商的核心业务，其发展方向是互动、高清、3D，该业务不仅需要大量丰富的高清互动视频媒体资源，同时还需要完善的视频内容分发网络(CDN)，作为数据中心一个业务域，对大流量环境下的高带宽、高可靠、高稳定、易管理、节能环保要求较高。

3) IDC业务是运营商业务领域的重要组成部分，是信息化服务的趋势，IDC相关业务除了传统的系统托管业务、服务器和带宽等资源租赁业务、网络安全增值业务外，还将面向公众、企业等客户的云计算服务，承载这些业务，完善的数据中心基础设施是不可或缺的。

4) 随着业务的发展，广电运营商需要逐步建设完备的IT支撑系统，包括相关的业务平台管理系统、内部管理系统，现阶段大部分的广电IT支撑系统还处在不断完善、持续建设的阶段，如果广电马上建设完善独立的IT支撑系统数据中心将是一种硬件资源、运维资源的潜在浪费，需要将其纳入到多业务数据中心，保障该系统的独立性和安全隔离，以逐步完善IT支撑系统。

根据对广电行业业务对数据中心的建设需求，汉柏科技提出了广电数据中心网络解决方案，对数据中心网络的总体架构、网络功能、可靠性、安全设计、服务质量设计进行了详细的描述，以指导建设一个高度可靠、安全、快速、可扩展的数据中心网络平台。

汉柏科技有限公司 客服热线：400-706-8366

汉柏认为数据中心网络建设目标是：在统筹广电数据中心项目业务需求和发展的基础上，兼顾远期发展目标，建设一个高度可靠、安全、快速、可扩展的基础网络平台，为各项业务提供优质高效的网络服务。

2 数据中心业务规划

广电数据中心网络承载的业务众多，可按照业务类型初步规划如下：

自营交互业务视频CDN分发核心交互电视增值系统宽带和3G终端视频门户P2P和WEB缓存广电多业务数据中心云计算业务承载网企业级私有云个人级公有云物联网IDC业务大客户系统托管游戏门户视频门户WEB门户IT支撑系统运维多业务管理系统计费管理系统用户管理系统企业内部管理系统 1) 自营交互应用业务 交互应用业务区承载了双向互动点播系统业务，是作为广电运营商“三网融合”的核心业务，在业务部署模式上采用的是分布式部署，即中央交互服务器与区域交互服务器是逻辑分开的。

2) IDC业务 包括大客户系统托管、游戏门户、视频门户、WEB门户等业务。 3) 云计算业务

汉柏科技有限公司 客服热线：400-706-8366

包括承载网、企业私有云、个人公有云、物联网等业务。 4) IT支撑系统

包括多业务管理系统、计费管理系统、用户管理系统、企业内部管理系统等业务。

3 网络架构设计

3.1 设计原则

广电数据中心网络设计原则如下：  层次化

广电数据中心网络在网络层次设计上分为三层结构，即核心层、汇聚层、接入层。  区域化

广电数据中心网络根据业务功能划分区域，各自独立，分别设计。  高可靠性

系统的可靠性是网络健壮和稳定的重要因素之一，所以对网络系统的高可靠性设计必须全面考虑。  可扩展性

随着网络技术的发展和应用规模的不断扩大，网络应具有平滑扩展的能力，这种扩展不应影响原有的应用。广电数据中心网络系统应能够随时通过增加网络设备或模块来扩展、升级整个网络系统，同时保证原有设备的正常使用。

3.2 整体网络架构

汉柏建议数据中心网络的网络架构采用分层、分区的模块化规划方法，即：

汉柏科技有限公司 客服热线：400-706-8366

 根据不同的网络访问层次，将数据中心网络分为：核心层、汇聚层和接入层。  根据不同的业务功能，将数据中心网络在功能上分为：交互业务区、IDC业务区、云计算业务区、IT支撑业务区。 整体拓扑结构如下：

VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点

核心交换区作为中心连接了各业务区汇聚接入交换机和骨干网、VOD承载网接入路由器，核心与汇聚之间以及核心与广域网之间采用口字型结构，以保证系统可靠性。

3.3 层次化网络架构

核心交换区分外联核心交换区和内联核心交换区，各负责与广电骨干网和VOD承载网以及其它数据中心网络互联;作为数据中心网络的路由中心，与区域汇聚交换机三层连接，实现整个网络各个区域间的数据交换。核心层交换机之间通过两条万兆链路捆绑汉柏科技有限公司 客服热线：400-706-8366

互联，以实现稳定可靠的网络中心。核心交换机建议采用汉柏万兆模块化交换机PT-6600系列交换机，通过万兆链路与汇聚交换机实现互联互通。 汉柏PT-6600系列适合为用户组建高性能、高安全、高可靠的数据中心。PT-6600单机提供高达3.2T的交换容量和2381Mpps的转发能力，可以实现384个千兆或64个万兆以太网接口的全线速转发，满足了数据中心的高性能需求;PT-6600支持全方位的安全，通过加强设备自身的安全特性，提供内置的安全模块等多种方式，满足了数据中心的高安全需求;PT-6600支持不间断转发技术，支持所有模块的热插拔，再加上VRRP等冗余备份技术，满足了数据中心的高可靠需求。汉柏 PT-6600凭借其卓越的性能、全方位的安全以及电信级的可靠性，为数据中心建设提供了坚实可靠的网络基础平台。 汇聚层作为各个区域数据的汇聚中心，分担核心层的压力，为服务器群对外提供高带宽出口;要求提供高密度GE/10GE端口实现接入层互联;另外充分考虑扩展性需求，我们建议选用汉柏科技公司的PT-6600万兆交换机作为汇聚，以实现高密度、高性能的服务器接入。 接入层支持高密度千兆接入、万兆接入;接入总带宽和上行带宽存在收敛比，基于机架考虑，1U设备更具有灵活部署能力。汉柏PT-3750E系列万兆路由交换机采用硬件领先的架构，可全线速转发各种类型的数据包，在IPv6方面处于业界领先的地位。该系列产品全面支持各种单播路由和组播路由协议以及汉柏科技有限公司独有的扩展的多项功能，可满足于大型网络的需求。不仅如此，PT-3750E系列交换机还借助芯片级的安全可靠转发能力和多样化的业务支持，以及较高的性价比，成为大型网络汇聚层和中型网络万兆核心层解决方案的最佳产品。 PT-3750E系列万兆路由交换机是汉柏科技有限公司强力推出的面向大型数据中心的高性能、高安全性、高可靠性的盒式万兆路由交换机，PT-3750E系列交换机支持灵汉柏科技有限公司 客服热线：400-706-8366

活的千兆的双介质光、电组合端口形态，同时支持高达四个高性能的万兆扩展，标准的1U高度，满足汇聚产品向高性能、小型化、节能环保发展的趋势。在性能和功能方面，PT-3750E系列交换机能够满足大型网络的组网需求，并具备丰富的智能和安全特性，特别适合于作为大型校园网、企业网、电子政务网、城域网的汇聚设备，以及中小型网络的核心设备。

3.4 区域化业务接入网络架构

目前应用访问大部分已实现浏览器/服务(简称B/S)架构，该架构要求采用三级服务器访问模式，结合安全和管理方面需求，汉柏建议采用对外接入区和应用服务器接入区两个子区域实现业务服务器接入，其网络架构及流量模型如下：

VOD承载网骨干网交互业务区对外防火墙CS业务流交互业务区汇聚交换机CS服务器交互业务区对外接入区交互业务区内联防火墙SS业务流核心交换机(内联)SS服务器交互业务区应用服务器接入其它数据中心节点

汉柏科技有限公司 客服热线：400-706-8366

两个业务子区域通过交换网络的互连，层层的安全保护，形成结构清晰的易于部署的服务器接入架构。

4 网络功能性设计

4.1 VLAN设计

广电数据中心网络系统属于交换网络，各业务数据由VLAN通道进行承载，汉柏建议VLAN设计分为如下三个部分：  设备管理VLAN  设备间互联VLAN  业务VLAN 由于各业务区域广播域完全分开，因此对业务区域来说可以独立进行VLAN设计，建议VLAN设计与IP地址设计统筹考虑，如可以将VLAN编号与IP地址某一位设计成相同，以利于数据中心网络系统运行维护。

4.2 IP地址设计

IP地址设计分设备管理地址设计、互联地址设计、业务地址设计，汉柏认为广电数据中心网络IP地址规划应按如下原则进行：

 IP地址规划主要涉及到网络资源利用的方便有效的管理网络的问题，合理的IP地址规划是有利于网络管理的;

 IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。应充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布;

汉柏科技有限公司 客服热线：400-706-8366

 IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要;即要满足当前业务对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段;

 IP地址的分配需要有足够的灵活性，能够满足各种用户接入需要;  地址分配是由业务驱动，按照业务量的大小分配各业务区域的地址段;  IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率;  采用CIDR技术，通过IP地址聚合，以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小;  充分合理利用分配的地址空间，提高地址的利用效率;

 IP地址规划应该是数据中心网络整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。

4.3 路由设计

考虑到交互应用系统内Client-to-Server网络中服务器对负载均衡的需求，汉柏建议将Client-to-Server网络网关部署在负载均衡器上，而Server-to-Server网络中的服务器网关部署在区域防火墙上，由防火墙实现安全访问控制。 其它业务区域服务器网关均部署在汇聚交换机上，防火墙透明部署，并增加安全访问控制策略。 为了实现网关设备的动态切换，汉柏建议为网关设备部署VRRP协议，并叠加BFD for VRRP技术，实现网关快速切换。 汉柏建议各区域采用OSPF路由协议实现互联互通，路由策略设计如下： 1) 对于外联核心交换机启用三个OSPF进程，分别与对外接入汇聚交换机、骨干网汉柏科技有限公司 客服热线：400-706-8366

接入路由器、VOD承载网接入路由器建立邻居，分别学习到数据中心网络路由、骨干网路由及VOD承载网路由，然后将数据中心网络路由重分布到骨干网和VOD承载网，而骨干网和VOD承载网之间不重分布路由，以防止骨干网用户能够访问VOD承载网数据。

2) 对于内联核心交换机启用两个进程，分别与应用服务器接入汇聚交换机和其他节点数据中心交换机建立邻居，在各路由区域内选择性重分布路由，以控制业务区域服务器与其它数据中心访问。

5 网络可靠性设计

5.1 设备级可靠性设计

本方案采用的汉柏设备为分布式体系结构，所有关键部件采用冗余设计，包括主控板、交换网、电源和风扇等;采用无源背板设计，避免机箱出现单点故障;所有单板支持热插拔功能，并且对其它单板上运行的业务无影响。 汉柏PT系列交换机采用“最长匹配、逐包转发”模式，能够抵御网络病毒的攻击;支持OSPF、RIPv2 及BGPv4 报文的明文及MD5密文认证;支持IP、VLAN 、MAC和端口等多种组合绑定方式，防范地址盗用;支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击;支持URPF，防止IP地址欺骗;支持报文安全过滤，防止非法侵入和恶意报文攻击等。 此外设备自身的可靠性还可以通过为关键设备配置冗余部件来实现，如将核心交换机和汇聚交换机配置为双引擎、双电源。此外汉柏防火墙、入侵检测设备均支持双操作系统，当出现主操作系统不工作时，备操作系统立刻接管主操作系统，保证业务不发生中断。

汉柏科技有限公司 客服热线：400-706-8366

5.2 链路级可靠性设计

汉柏PT-6600及PT-3750E交换机均支持链路捆绑技术，对于核心交换机和汇聚交换机，互联链路采用了两条链路捆绑，这样当出现单条链路中断情况时，均可以通过协议的收敛机制实现数据交换无丢包。 网络互联方面，由于采用了OSPF路由协议，当非捆绑链路出现中断情况时，OSPF协议将重新计算出新的转发路径，保障数据转发不中断。同时汉柏PT-6600及PT-3750E交换机均支持BFD技术，可将OSPF路由协议的收敛速度由秒级缩减到毫秒级，从而大大提高了整体网络的可靠性和应用的可用性。

6 网络安全设计

6.1 设计原则

汉柏认为数据中心网络安全需遵从如下设计原则： (1)构建分域的控制体系

整个系统安全在总体架构上将按照分域保护思路进行，参考IATF信息安全技术框架，将交互应用公共支撑网络从结构上划分为不同的安全区域，各个安全区域内部的网络设备、服务器、应用系统形成单独的计算环境、各个安全区域之间的通道形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施;因此方案将从保护计算环境、保护边界、保护网络基础设施三个层面进行设计，并通过统一的基础支撑平台来实现对基础安全设施的集中管理，构建分域的控制体系。 (2) 构建纵深的防御体系

汉柏科技有限公司 客服热线：400-706-8366

整个系统安全对交互应用公共支撑网络的通信网络、区域边界、计算环境，综合采用访问控制、入侵检测、安全审计、防病毒、集中数据备份等多种技术和措施，实现双向交互业务应用的可用性、完整性和保密性保护，并在此基础上实现综合集中的安全管理，并充分考虑各种技术的组合和功能的互补性，合理利用措施，从外到内形成一个纵深的安全防御体系，保障信息系统整体的安全保护能力。

(3) 保证一致的安全强度

应采用分级的办法，采取强度一致的安全措施，并采取统一的防护策略，使各安全措施在作用和功能上相互补充，形成动态的防护体系。在建设手段上，采取“大平台”的方式进行建设，在平台上实现各个级别信息系统的基本保护，比如多层的边界防护系统、统一的审计系统，综合的网管系统，然后在基本保护的基础上，再根据各个信息系统的重要程度，采取高强度的保护措施。

(4) 实现集中的安全管理

网络与信息安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。建设一套覆盖全面、重点突出、持续运行的信息安全管理体系，该体系覆盖信息系统安全所要求的安全技术和安全运维等内容，符合信息系统的业务特性和发展战略，可持续发展与完善。 信息安全管理的目标就是通过采取适当的控制措施来保障信息的保密性、完整性、可用性，从而确保信息系统内不发生安全事件、少发生安全事件、即使发生安全事件也能有效控制事件造成的影响。通过建设集中的安全管理平台，实现对信息资产、安全事件、安全风险、访问行为等的统一分析与监管，通过关联分析技术，使系统管理人员能够迅速发现问题，定位问题，有效应对安全事件的发生。 (5) 系统冗余设计

汉柏科技有限公司 客服热线：400-706-8366

如何保证数据中心对外正常提供服务是整个数据中心网络建设的重点，整个系统不应只考虑到安全设备的部署，还要系统的考虑到主干网络、分域网络、所有应用系统的冗余机制，以保证所有业务的正常访问。

(6) 提升系统的保障能力

在技术措施和管理手段建设的同时，重视信息安全中“人”的重要作用，通过一系列的风险评估、安全加固提升系统的安全性，并通过安全培训和安全通告提高歌华有线自身技术人员的技术水平，使系统安全保障能力达到行业内一流的信息安全保障水平，支撑和保障信息系统和业务的安全稳定运行。

6.2 安全域设计

传统解决方案中，终端用户可以访问自己前端WEB服务器，同时WEB服务器可以访问内部应用服务器，这样存在非常严重的安全隐患，一旦前端WEB服务器被互联网黑客植入木马，则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。 针对网络中可能存在的“肉鸡”主机问题，应用安全域解决方案通过对用户主机的认证授权模式，确保客户主机在同一时间段只能访问某一个区域，如访问对外接入区域，则对外接入区域服务器不能访问其他的安全域中的服务器，保证了即使被植入木马的主机，不会被外界控制去访问其它服务器资源，从而降低网络中信息泄漏的概率。 按照区域的功能和应用的不同，汉柏建议数据中心网络划分为如下三个安全域：

 外联区;

 业务区(包括四个子区);  内联区;

各安全域的边界规划如下图所示：

汉柏科技有限公司 客服热线：400-706-8366

外联区交互业务区IDC业务区云计算业务区IT支撑系统业务区内联区

安全域边界规划描述如下：

 外联区与业务区属于不同安全域;  内联区与业务区属于不同安全域;  各业务安全子域属于不同安全域;

6.3 防火墙系统设计

为实现安全域边界防护，需在安全域之间部署防火墙，汉柏建议广电数据中心网络防火墙部署方式如下图：

汉柏科技有限公司 客服热线：400-706-8366

VOD承载网骨干网核心交换机(外联)交互业务区对外防火墙IDC业务区对外防火墙云计算业务区对外防火墙IT支撑业务区对外防火墙交互业务区汇聚交换机IDC业务区汇聚交换机云计算业务区汇聚交换机IT支撑业务区汇聚交换机交互业务区对外接入区交互业务区内联防火墙IDC业务区对外接入区IDC业务区内联防火墙云计算业务区对外接入区云计算业务区内联防火墙IT支撑业务区对外接入区IT支撑业务区内联防火墙交互业务区应用服务器接入IDC业务区应用服务器接入云计算业务区应用服务器接入核心交换机(内联)IT支撑业务区应用服务器接入其它数据中心节点

建议在外联区与业务区之间部署汉柏PA-5500-F45超万兆防火墙，流量较小的内联区与业务区之间部署汉柏PA-5500-F40万兆防火墙。部署模式建议采用透明方式+安全策略，以达到更高的转发性能。 作为业界领先的安全防护产品， PA-5500-F45/40具有如下突出特点：

 专业的安全防护 PA-5500-F45/40不仅能够提供全面的地址转换、MAC地址绑定、访问控制策略、安全域划分、身份认证等边界防护功能，同时能够抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP

2、IP碎片、源路由、端口扫描 、IP-Spoofing等几十种常见攻击。 针对嵌入在各种应用(邮件、网页、FTP以及VoIP)中的攻击、病毒和恶意插件，PA-5500-F45/40能够在深度识别业务类别和用户行为的前提下，提供基于状态监测的汉柏科技有限公司 客服热线：400-706-8366

应用层网关功能，结合强大的入侵检测机制和防病毒引擎，真正实现了边界、接入、行为和数据的多重安全防护。  稳定和高性能 PA-5500-F45/40防火墙采用了基于汉柏多个专利技术的双安全操作系统，并对数据平面和控制平面进行了严格的区分。对数据平面中各种需要高性能处理的功能，如地址转换、报文转发和访问控制策略进行了细致的优化处理;在控制平面上，支持链路状态信息的倒换机制、分布式应用和模块化的硬件架构，同时也对处理资源进行了保护，确保即使在极限网络压力下，PA-5500-F45/40仍然能够维持平稳的工作状态。  万兆就绪 针对日益突出的视频传输、虚拟桌面和数据中心备份等大数据量传输，应用的飞速增长带来了带宽的提升需求，万兆接口的应用已经势不可挡。同时，数据中心对设备的功耗和体积要求也越来越严格，更希望能够在相同的机架面积里面实现更高密度的连接。 借助出色的硬件平台研发能力，汉柏科技率先推出了全球第一款在1RU体积上实现万兆接口的防火墙，凭借突出的功耗控制和效能优化，为用户平滑过渡到万兆时代提供了最佳选择。  内置交换芯片 PA-5500-F45/40在业内首次创新的采用了先进的防火墙+交换机的设计架构，采用高性能的千兆交换芯片，提供高达128Gbps的交换容量，不仅能够实现接口之间的L2/L3线速转发，还同时能够提供链路汇聚(802.3ad)、灵活的VLAN配置以及端口镜像等功能，内置的硬件ACL还能够配合防火墙，实现安全层面和转发层面依据硬件分离，提供更为全面的高性能安全接入功能。  虚拟防火墙功能 传统的防火墙只能提供单一安全域的防护，而对于多个安全域的独立部署，需要多汉柏科技有限公司 客服热线：400-706-8366

台防火墙才能实现，这造成了IT资源的极大浪费。PA-5500-F45/40支持虚拟防火墙技术，能够在一台物理防火墙上划分出多个虚拟防火墙，每一台虚拟防火墙都能够实现独立的访问控制策略、VPN、身份认证和系统管理。同时，系统还能够对多个虚拟防火墙进行统一的配置管理、软件升级。对于用户来说，即提高了现有设备的利用率，又解决了网络部署复杂、扩展性差等问题。  出色的能效比 PA-5500-F45/40采用了自主研发的高性能操作系统，并且针对报文转发、过滤以及VPN的关键处理进行了深入的优化设计，在同等硬件处理能力下，比通用的操作系统要高出至少30%的效能，对于提高用户IT资源利用率，降低能耗和节能减排给予了强有力的支持。

 精细的流量和业务管理 基于专利技术的流量识别，结合强大的深度业务识别技术，PowerAegis系列防火墙能够提供对包括HTTP、Mail、FTP等多种业务在内的精细化识别，根据既定的服务管理策略，对各种应用给予不同的差分化对待，确保了关键业务的正常运行，即提高了网络资源的利用效率和组织的生产效率，又降低了IT总成本和运维的风险。

6.4 入侵检测系统设计

IDS的部署目的是为了监测来自不同网络对数据中心网络的访问，用以及时发现网络攻击并提供有效证据。制定策略是使用IDS最重要的工作之一，良好的策略不仅可以让管理员及时捕捉到网络上正在发生的重大危害事件，而且使管理员不致被大量的无用信息所淹没，减轻工作负担。如果是初次使用，对网络上存在些什么样的数据流可能不甚明确，这时可以采用包含事件较多的策略集，待运行一段时间后，对网络状况有了基本的了解，再在此策略集的基础上酌情删减。

汉柏科技有限公司 客服热线：400-706-8366

汉柏建议IDS的部署方式如下图：

VOD承载网骨干网IDS核心交换机(外联)IDS交互业务区办公业务区综合业务区管理业务区核心交换机(内联)IDSIDS

IDS建议采用两台汉柏PA-5500-U40旁路部署模式，两台IDS分别连接在核心交换机上，将核心交换机连接各业务区域端口的出入流量镜像到汉柏PA-5500-U40，由汉柏PA-5500-U40进行入侵检测。 汉柏PA-5500-U40主要特点如下： 1) 业界领先的架构设计  业界最佳的系统架构 PA-5500-U40采用了控制平面、转发平面和管理平面严格分离的系统架构，采用基于硬件ASIC的完成防火墙的所有功能，实现小包64字节线速的吞吐量，严格保障防火墙的转发性能;对于应用层安全，采用高性能的通用处理器，以应对实时变化的威胁和应用;对于管理数据，给予最高优先级的处理，即使在应用层处理负载较重的时候，仍然能够轻松对设备进行管理和配置。

汉柏科技有限公司 客服热线：400-706-8366

 IronScreen双安全操作系统 PA-5500-U40采用了基于汉柏专利多核技术的双安全操作系统，独创性的提出了基于安全领域在多核上的SMP(对称多处理)软件模型，该模型成功的应用了阿比达定律，有效的降低串行化执行代码在总执行代码中的比例，极大地发挥了多核下的并行计算能力。 除此之外，PA-5500-U40使用了智能流分类系统，将大量的数据流均匀分散在不同的核上进行全流程处理，增加了数据Cache的命中率，极大的提高了系统的性能。针对多核软件设计大量使用到的锁，汉柏设计并实现了自有专利的安全操作系统写时拷贝机制，使得90%的数据流在做并行化处理时都是免锁的，进一步保障了系统的稳定性和可靠性。

2) 入侵检测和防御 PA-5500-U40采用了集成多种检测机制的高性能扫描引擎，包括特征库匹配、异常行为分析、协议检查等手段，结合汉柏强大的实时安全服务，能够主动识别各种DoS/DDoS攻击、协议的变种攻击、木马和后门程序，不仅能准确地检测入侵，实时的阻止恶意的攻击，并能够提供丰富完整的日志和定位信息，进行事后溯源工作。

3) Web安全 针对不断涌现的Web安全，PA-5500-U40也提供了一定程度的防护，不仅包括能够有效的识别或过滤出嵌入在Web页面中的Java Applet、Java Script、Cookie和ActiveX等信息，还能够提供关键字过滤和基于超过4000万域名的Web页面分类数据库，帮助管理员轻松设置工作时间禁止访问的网页，提高工作效率和控制对不良网站的访问，杜绝潜在的威胁。

4) 数据泄漏防护 PA-5500-U40还提供了精细的数据泄漏防护(DLP)功能，支持用户定义各种规则的汉柏科技有限公司 客服热线：400-706-8366

关键字和敏感词，支持包括Email、HTTP、FTP和IM在内的各种协议，对于银行卡帐号、身份信息、财务信息等关键数据，将其控制在可信网络的范围以内，避免恶意或者无意的数据泄漏造成不可弥补的错误。

5) 丰富的应用支持和管理 PA-5500-U40采用了多重识别技术，首先基于强大的深度报文检测和多达1400种的业界最丰富的协议库，对绝大部分的应用进行模式匹配;其次采用了启发式学习和DFI技术，采用汉柏专利技术进行深层次的行为挖掘;最后，对伪装成HTTP报文的应用，进行一致性还原比对。在这三重技术的保障下，将应用识别率，提高到远远超过了业界的其他竞争对手的程度。

6) 可视化的安全管理 PA-5500-U40提供了丰富的展现功能，提供包括病毒排行、攻击排行、应用带宽的排行、链路带宽使用情况，在应用管理上，可以提供能够细致到当前用户的应用、占用的带宽、使用的连接，让安全管理者对已有的、潜在的和未知的安全威胁，以及网络中的各种应用和用户行为，都有着非常丰富的直观感受，为用户创造出可视化安全的体验。

7) 实时的病毒库、攻击库、应用库更新 作为安全网关设备，如何能够保证在新的威胁、病毒、攻击和新的应用出现的第一时间，就能够做到有效的洞悉和控制，不仅考验产品本身的应变能力，更考验安全厂商支持的力度和深度，以及响应的速度。 汉柏科技为PA-5500-U40配备了强大的安全服务团队，并和国际先进的安全机构合作，对不断涌现的新的病毒、威胁以及应用，实时更新到汉柏安全数据库中。目前安全数据库已经有20万条病毒特征、4000多种攻击特征、1400多种应用特征库，以及70多种分类4000多万条网页数据库。

8) 简单易用的配置工具

汉柏科技有限公司 客服热线：400-706-8366

PA-5500-U40集成了业界最完整的安全功能，但并不是简单的罗列。汉柏科技一直将提高使用者的便利性作为产品设计的核心思想，从产品定义阶段就将易用性作为关键指标。 PA-5500-U40提供了简单直观的Web管理界面和用以高级配置的命令行，可以支持复杂的策略、协议作为对象的方式灵活使用;除此之外，提供初始配置向导、数量众多的场景应用指导和设计工具，既能够满足需要简单配置的用户，也能够为专业的安全管理人员提供全面而直接的配置方法。

7 QoS设计

7.1 数据中心网络QoS需求

为了保证数据中心关键应用的网络带宽，建议对应用按重要等级进行分类，在网络上，实现对不同等级的应用提供优先权不同的质量服务。

7.2 QoS策略的制定

 为了实现端到端业务QoS保障，各层网络设备所承担的任务如下：  汇聚交换机作为服务器接入，进行数据分类及DSCP标记;  核心交换机信任DSCP值,并部署拥塞避免和拥塞管理机制;  在统一出口设备上部署拥塞控制和流量监管机制。 实施QoS的根本目的是确保网络的各类信息能够及时获得所需要的网络带宽。针对数据中心信息流的内容及特点，汉柏建议制定如下的QoS策略: 1) 业务前端数据(主要为WEB服务)要给予最高优先级保证，在任何情况下都要确保业务数据及时可靠地传送。

汉柏科技有限公司 客服热线：400-706-8366

2) Voice over IP(VoIP)流量占用带宽不大，但对延迟极为敏感，也给予较高优先级保证。

3) IT支撑系统中网管流量，属于一种数据传输业务，其对延时并不敏感，但是不允许数据丢失，将其定义为次高优先级。 4) 其它需要定义为高优先级的业务。

5) 数据共享等属于非业务的数据流量，其数据包最长，对延时并不敏感，但是不允许数据丢失，将其定义为普通优先级。 6) 所有未定义的流量则被置为最低优先级。

8 汉柏解决方案总结

 安全性好

容易明确不同网络区域之间的安全关系，可以单独对每个区域进行安全实施，不会对其它区域造成影响。  扩展性好

可根据不同区域和层次的功能按需建设，业务部署灵活，可以非常方便的增加新业务区，而不改变原有的网络结构。  提高可用性

可以最大限度的隔离故障域，简化数据路径，加快故障收敛时间。  易管理

网络结构清晰，日常的运维变得更加简单，问题定位容易。

汉柏科技有限公司 客服热线：400-706-8366

About 汉柏—

汉柏(英文：Opzoon)是一家全球领先的行业深度定制化、智能网络设备和解决方案提供商，是源自硅谷的中国高科技企业。其海外市场业务占据汉柏95%以上的销售来源，年复合增长率超过40%，截止2010年全球销售额累计10亿美金，在全球10多个国家设立26个办事处及分公司。

目前，汉柏具有业界领先的基础网络、安全网络、应用网络及云计算等多条产品线及解决方案，业务涵盖众多领域，包括政府、电信、交通、公安、社保、广电、教育、金融、智能楼宇、医疗、酒店等各行业，并拥有众多全球成功典范案例客户。未来，汉柏将在云计算、移动互联网、物联网等领域持续加大研发投入，探索科技创新，致力于成为业界顶尖的下一代智能网络和应用解决方案提供商!

汉柏科技有限公司 客服热线：400-706-8366

第二篇：网络中心机房建设解决方案

网络中心机房建设解决方案 2009-02-12 12:38 针对网络中心机房对防静电、温度、湿度、电源、安全等方面的特殊要求，本文提出了机房整体建设解决方案。

随着计算机的发展和网络的广泛应用，越来越多的单位都建立了自己的局域网，而这其中很重要的一个环节就是网络中心机房的建设。它不仅集建筑、电气、安装、网络等多个专业技术于一体，更需要丰富的工程实施和管理经验。网络中心机房设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行，是否能保证各类信息通讯畅通无阻。

可以说计算机机房及其环境技术已经发展成了一门新兴的行业，在此推出了整体机房建设解决方案。 1 机房工程整体建设

机房工程整体建设一般包括以下几个方面：综合布线、抗静电地板铺设、棚顶墙体装修、隔断装修、UPS电源、专用恒温恒湿空调、机房环境及动力设备监控系统、新风系统、漏水检测、地线系统、防雷系统、门禁、监控、消防、报警、屏蔽工程等。 2 防静电地板铺设

机房工程的技术施工中，机房地面工程是一个很重要的组成部分。机房地板一般采用防静电活动地板。活动地板具有可拆卸的特点，因此，所有设备的导线电缆的连接、管道的连接及检修更换都很方便。 3 隔断装修

为了保证机房内不出现内柱，机房建筑常采用大跨度结构。针对计算机系统的不同设备对环境的不同要求，便于空调控制、灰尘控制、噪音控制和机房管理，往往采用隔断墙将大的机房空间分隔成较小的功能区域。隔断墙要既轻又薄，还能隔音、隔热。机房外门窗多采用防火防盗门窗，机房内门窗一般采用无框大玻璃门，这样既保证机房的安全，又保证机房内有通透、明亮的效果。 4 UPS不间断电源

计算机机房负载分为主设备负载和辅助设备负载。主设备负载指计算机及网络系统、计算机外部设备及机房监控系统，这部分供配电系统称为“设备供配电系统”，其供电质量要求非常高，应采用UPS不间断电源供电来保证供电的稳定性和可靠性。在要求较高的机房项目中，UPS不间断电源可采用直接并机技术或辅助设备负载指空调设备、动力设备、照明设备、测试设 备等，其供配电系统称为N+1冗余并机技术。“辅助供配电系统”，其供电由市电直接供电。 机房内的电气施工应选择优质电缆、线槽和插座。插座应分为市电、UPS及主要设备专用的防水插座，并注明易区别的标志。照明应选择机房专用的无眩光高级灯具。

机房供配电系统是机房安全运行动力保证，机房往往采用机房专用配电柜来规范机房供配电系统，保证机房供配电系统的安全、合理。目前较好的机房配电柜可选用法国梅兰日兰配电柜机房一般采用市电、柴油发电机组双回路供电，柴油发电机组作为主要的后备动力电源，运行成本较低。 5 精密空调系统

机房精密空调系统的任务是为保证机房设备能够连续、稳定、可靠地运行，需要排出机房内设备及其它热源所散发的热量，维持机房内恒温恒湿状态，并控制机房的空气含尘量。为此要求机房精密空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的能力。

机房精密空调系统是保证良好机房环境的最重要设备，应采用恒温恒湿精密空调系统。

6 新风换气系统

机房新风换气系统主要有两个作用：其一给机房提供足够的新鲜空气，为工作人员创造良好的工作环境;其二维持机房对外的正压差，避免灰尘进入，保证机房有更好的洁净度。

机房内的气流组织形式应结合计算机系统要求和建筑条件综合考虑。新排风系统的风管及风口位置应配合空调系统和室内结构来合理布局，其风量根据空调送风量大小和机房操作人员数量而定，一般取值为每人新风量：50m/h,新风换气系统可采用吊定式安装或柜式机组，通过风管进行新风与污风的双向独立循环。 新风换气系统中应加装防火阀并能与消防系统联动，一但发生火灾事故，便能自动切断新风进风。如果机房是无人值守机房则没必要设置新风换气系统。 7 接地系统

机房接地系统是涉及多方面的综合性信息处理工程，是机房建设中的一项重要内容。接地系统是否良好是衡量一个机房建设质量的关键性问题之一。机房一般具有四种接地方式：交流工作地、安全保护地、直流工作地和防雷保护地。在机房接地时应注意两点：(1)信号系统和电源系统、高压系统和低压系统不应使用共地回路。(2)灵敏电路的接地应各自隔离或屏蔽，以防止地回流和静电感应而产生干扰。机房接地宜采用综合接地方案，综合接地电阻应小于1欧姆。 8 防雷系统

机房雷电分为直击雷和感应雷。对直击雷的防护主要由建筑物所装的避雷针完成;机房的防雷(包括机房电源系统和弱电信息系统防雷)工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。 9 监控系统

机房CCTV监控系统的规模不大，但是它是建立机房安全防范机制不可缺少的环节。它能24小时监视并记录下机房内发生的任何事件。 10 门禁系统

机房门禁系统多采用非接触式智能IC卡综合管理系统。该系统可灵活、方便地规定进入机房的人员、时间、权限，防止人为因素造成的破坏，保证机房的安全。 11 漏水检测系统

机房的水害来源主要有：机房顶棚屋面漏水;机房地面由于上下水管道堵塞造成漏水;空调系统排水管设计不当或损坏漏水;空调系统保温不好形成冷凝水。机房水患影响机房设备的正常运行甚至造成机房运行瘫痪。因此，机房漏水检测是机房建设和日常运行管理的重要内容之一。除施工时对水害重点注意外，还应安装漏水检测系统。

12 机房环境及动力设备监控系统

随着社会信息化程度的不断提高，机房计算机系统的数量与俱增，其环境设备也日益增多，机房环境设备(如供配电系统、UPS电源、空调、消防系统、保安系统等)必须时时刻刻为计算机系统提供正常的运行环境。因此，对机房动力设备及环境实施监控就显得尤为重要。

机房环境及动力设备监控系统主要是对机房设备(如供配电系统、UPS电源、防雷器、空调、消防系统、保安门禁系统等)的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据，实现对机房遥测、遥信、遥控、遥调的管理功能，为机房高效的管理和安全运营提供有力的保证。 13 消防系统

机房应设气体灭系统，气瓶间宜设在机房外，为管网式结构，在天花顶上设置喷嘴，火灾报警系统由消防控制箱、烟感、温感联网组成。

机房消防系统应采用气体消防系统，常用气体为七氟丙烷和SDE两种气体 14 屏蔽系统

机房屏蔽主要防止各种电磁干扰对机房设备和信号的损伤，常见的有两种类型：金属网状屏蔽和金属板式屏蔽。依据机房对屏蔽效果的要求大小不同，屏蔽的频率频段的高低不同，对屏蔽系统的材质和施工方法进行选择，各项指标要求应严格按照国家《规范》标准执行。

一、概述

在现代科学技术高度发展的今天，电子计算机越来越广泛地应用于各个领域。近些年里在我国如雨后春笋般地建成了很多大、中、小各种规模的计算机机房。则计算机机房工程这一新兴的产业也获得了突飞猛进的发展。计算机机房工程是一种涉及到空调技术、供配电技术、抗干扰技术、防雷防过压技术、净化技术、消防技术、安防技术、建筑和装饰技术等多种专业的综合性的产业。电子计算机的可靠运行要依靠电子计算机机房的严格的技术条件来保证的。

为了保证计算机系统稳定可靠运行，计算机机房必须满足计算机系统以及工作人员对温度、湿度、洁净度、风速度、电磁场强度、电源质量、噪音、照明、振动、防火、防盗、防雷、屏蔽和接地等要求。则必须为计算机系统寻求和建立能够充分发挥其功能、延长机器寿命，以及确保工作人员的身心健康，并满足其各项要求的合适的场地，即计算机机房。下面结合国家规范及我公司多年来在计算机机房工程设计和施工中的经验，来对贵单位调度所的计算机机房工程建设中所涉及到的机房总体设计、机房装修、机房环境监测三大部分内容逐一进行论述。供贵单位参考。

1.

1、机房总体设计-就机房各功能区的整体规划问题进行讨论。本方案力求在不改变建筑结构的基础上，根据贵单位的具体要求，按照功能与美观兼具的设计思想，建设一个现代化的，具备先进性、实用性、展示性、用料考究、施工严谨的机房。

1.

2、机房装修-是机房建设的具体实现，是至关重要的一环。本方案书先就天花、地板、墙面等进行说明;再按照天花、地面、墙体柱面等进行装修思想简述。

1.3 机房环境监测-是起到保障机房整体系统安全而有效工作的作用。本方案就温湿度、UPS电源、烟雾探测器、门禁系统、漏水侦测等各功能进行阐述。

二、机房总体设计

计算机机房的建设涉及面广，内容复杂，是一项综合性工程，是电子行业与建筑装饰行业交汇与结合的新兴行业。

2.1 机房建设方案的指导思想

a、 合理分布工作空间及各类设备安装场所，缩短工艺流程，降低劳动强度，提高工作效率，确保电子计算机系统稳定可靠运行，保障机房工作人员良好的工作环境,并且以国家有关标准及规范为依据。

b、 根据甲方提出的要求与现场实际情况以及计算机系统实际操作运行等情况进行设计，力求在设计、选材中做到整体布局的合理化和科学化。

c、 机房各项功能完整配套，达到专业规范、技术先进、经济合理、安全适用、质量优良、管理方便之目的。

d、 在经济实用的前提下，选择优质机房专用装修材料，主体装修材料宜选用吸音效果好、不易变形、变色、易清洁、防火性好，且高度耐用的材料，达到最佳装修效果。

e、 室内控制设备、电器设备、布线系统的选材我们注重其可靠性，全部采用符合国家标准的优质产品，以确保系统投入运行后故障率为最低。

2.2 机房建设方案依据标准：

(1)《电子计算机机房设计规范》〔GB 50174-93〕

(2)《计算站场地技术要求》〔GB 2887-89〕

(3)《计算机机房活动地板技术条件》〔GB 6650-86〕

(4)《计算站场地安全要求》〔GB 9361-88〕

(5)《建筑内部装修设计防火规范》〔GB 50222-95〕

(6)《工业企业照明设计标准》〔TJ 34-79〕

(7)《室内装饰工程质量规范》〔QB 1838-93〕

(8)《电子计算机机房施工及验收规范》 [SJ/T 30003-93]

(9)《洁净室施工及验收规范》 [JGJ71-90]

(10)《计算机机房建筑》 [由中国DEC计算机用户等联合编写〕

(11)《计算机房工程设计与施工》 [人民邮电出版社 1997.2]

(12)《计算机房的建设与管理》

(13) 机房现场环境及机房建筑图纸

2.3 机房设计思路

2.3.1.土建部分: 根据国家标准：机房的主体结构应具有耐久、抗震、防火、防止不均匀沉陷等性能和变形缝、伸缩缝不应穿过主机房的规范要求。

2.3.2 机房净高：建成后的计算机中心网络机房净高不小于2.4m。

2.3.3 窗户: 网络机房操作间做窗帘盒并配垂摆窗帘。

2.3.4 墙、柱面：此次设计机房墙柱面先做高0.1m的不锈钢踢脚线， 墙面上采用环保乳胶漆。

2.3.5 机房装修部分：根据国标对机房消防方面的要求，我公司全部选用阻燃性材料作为本次方案的装修材料，档次定位在国产中高档水平。

色彩：采用较为柔和的乳白色，给人一种素雅、大方的感觉。

天花：天花为金属微孔板。

地板：选用国产优质防静电活动地板。

三、UPS不间断电源系统

· UPS电源的组成

随着科技的发展和社会的进步UPS电源在日常生活中，特别是在电力部门中的应用已经非常普及。UPS电源不同于一般的稳压电源或电源调节器，它是专为保障计算机及其外设正常工作的保护性电源。一般UPS电源是由充电器、逆变器、静态开关、蓄电池、控制器组成。

· UPS电源的种类

UPS的分类方法有很多种,目前常用的分类方法有三种，根据UPS电源的结构和工作原理可分为在线式和后备式，由于在线式UPS可以实现真正的不间断供电，因此它也是电力系统的首选UPS电源;根据UPS电源的输出波形可将UPS电源分为正弦波输出UPS电源和非正弦波输出UPS电源(又叫方波输出电源)，市电经电源逆变器虑波后其波形改为正弦波，成为高质量的电源，是计算机等精密设备的优选电源;根据UPS电源输出功率可分为大型UPS电源(>80KVA)、中型UPS电源(5～80KVA)、小型UPS电源(<5KVA)。

· 选用UPS电源应注意的问题

计算机机房的UPS电源一般选用大、中型，在线式的UPS 。这些UPS 电源的价格比较昂贵，在选型上一定要认真细致，避免造成不必要的损失，因此选型时应注意以下几个问题：

1. 根据本单位机房计算机及相关设备的用电量，并考虑到将来设备的增加预留25%-30%的冗余，来选择UPS电源的输出功率;根据各地供电条件的不同，选择适应本地区公用电网电压波动范围内的UPS电源，一般UPS电源的输入电压在380V±10%范围。

2. 要对选用的UPS进行相应的动态、静态、过载、和放电测试。

3. 了解UPS的网管功能，进行实地的远程的监测控制测试。

4. 根据机房所需的不间断供电时间，考虑密封电池的数量，对于后备时间长，需要电池较多的UPS电源，应考虑机房的单位面积承重量。

· UPS电源的使用管理

UPS电源是计算机正常工作的保障电源，要保证计算机高质量的电能，就必

对UPS电源进行可靠的维护和管理。

1. UPS的运行环境： UPS电源对温、湿度的要求比较高，一般温度控制在5℃-22℃，相对湿度在50±10%的范围。同时，工作间应保持清洁、无灰尘、无污染、无有害气体。

2. UPS电源的市电输入要求：UPS电源的输入线应是单独从变压器以来的一路电，且不能再接其它用电设备;市电输入端应设有专控开关;UPS电源输出端应设UPS配电柜，经配电柜后再分别接各计算机及其外设;如果有条件，在UPS电源输入处设稳压电源或隔离变压器，因为UPS电源的输入电压和频率有一定的工作范围，如果输入电压过低，UPS将自动转为电池供电，并报警。

3. UPS电源正常运行时，开机后一般不要停机。频繁开机容易造成UPS电源特别是大、中型UPS电源的设备损坏。

4.正常工作时，UPS蓄电池一直处在浮充状态，长期的只充不放会导致电池的加速老化，减短电池寿命。因此在使用中应定期人为放电，时间一般每月一次，放电量为电池总容量的20%-30%。

5.其它注意问题：认真检查UPS电源的接地;保证空调系统的正常工作;加强机房的安全防火措施;对机房工作人员进行UPS电源相关知识的培训。

四、电力供配电系统

一个系统能够正常工作，不仅需要有良好可靠的主设备、性能卓越的UPS和安全舒适的工作环境，还需要有一个高可靠性的供配电系统。

4.1 机房供配电设计要求

1. 计算机机房的供电应380/220V电压、50HZ频率和三相五线制(即TN-S系统)的配线方式供电，单回路供给机房用电。

2. 计算机机房的设备供电应按设备总用电量的20%-25%进行预留。

3. 计算机机房内的插座应分三种，它们分别是：不间断电源(UPS)供电的计算机主机专用防水插座，不间断电源(UPS)供电的设备用三孔标准插座，市电直接供电的设备用五孔标准插座。

4. 计算机机房内设备电源的电压变化应在220V±5%之内，频率变化应在 50H±0.5Hz之内。

5. 计算机机房内的照明应分工作照明和事故照明两类，工作照明接入配电柜，事故照明接入UPS。

6. 计算机机房内照明装置宜采用无眩光灯盘，照明亮度应大于300LUX，事故照明亮度应大于60LUX。

7. 计算机机房内的配电系统应考虑到与应急照明系统的自动切换和消防系统的联动。

4.2供配电系统设计说明

1.线路的布线方式

根据广东省公安消防局规定，机房装修所采用的导线应符合消防安全，即通过消防局认证。所以室内导线全部采用新型阻燃导线组。为了满足计算机机房的防湿措施，除了在地面上作一些处理外，同时为防止漏电危及人身安全和防电磁干扰，所有金属线槽、金属线管必须全部可靠连成一体并可靠接地，接地电阻R≤4Ω。

2.接地系统

接地系统就是把电路中的某一点或某一金属壳体用导线与大地连在一起，形成电器通路，其目的是让危及人身或设备的电流易于流到大地，因此从这个意义上讲，希望接地电阻越小越好。另外计算机系统的接地，还希望在接地电流受某种外界条件影响数值发生变化时，使接地点的电位随之变化而产生的噪声应尽量减少。所以接地电阻越小越好。同时有下面两点注意：

a.信号电路和电源电路、高压电路和低压电路不应使用共地回路。

b. 灵敏电路的接地应各自隔离或屏蔽，以防止地回流和静电感应而产生干扰。

在现今的计算机系统中，除了使用直流电源的计算机设备以外，还配备有大量的使用380V/220V交流电的各种电气设备，如计算机的外部设备、变压器、电动机发电机组、空调设备、机柜上的风机、电烙铁和示波器等。所以在计算机系统中同时存在几种不同的接地系统：

(1)交流工作地：在电力系统中运行需要的接地(如中性点接地)，应不大于4欧姆。与变压器或发电机直接接地的中性点连接的中性线称零线;将零线上的一点或多点与地再次做电气连接称重复接地。交流工作地是中性点可靠地接地。当中性点不接地时，若一相碰地而人又触及另一相时，人体所受到的接触电压将超过相电压，而当中性点接地时，且中性点的接地电阻很小，则人体受到电压相当于相电压;同时若中性点不接地时，由于中性点对地的杂散抗阻很大，因此接地电流很小;相应的保护设备不能迅速切断电源，对人及设备产生危害;反之则行。

(2)安全保护地：安全保护地是指机房内所有机器设备的外壳以及电动机、空调机等辅助设备的机体(外壳)与地之间做良好的接地，应不大于4欧姆。当机房内各类电器设备的绝缘体损坏时，将会对设备和操作及维修人员的安全构成威胁。所以应使设备的外壳可靠接地。

(3)计算机系统直流接地:计算机本身的逻辑参考地,小于1欧姆。

(4)防雷保护地：即整个大楼的防雷系统的接地，一般以水平连线和垂直接地桩埋设地下，主要是把雷电电流由受雷装置引到接地装置，应不大于10欧姆。

(5)屏蔽接地：为了防止电磁感应而对电力设备的金属外壳、屏蔽罩、屏蔽线的外皮或建筑物金属屏蔽体等进行接地。

机房内应引入三种地线：既交流工作地、安全保护地和计算机直流地。

目前常见接地方案

方案一：四种接地在设备所在楼层连接后用一公共引线接至防雷地桩方式。(图10-1)

该种接地方式有一个缺点：由于公共引线有一固定电阻，发生雷击时，设备对地有相当大的电压差而损坏设备。同时，各接地地线间相互干扰也比较严重。

方案二：交流与安全工作接地公共地、防雷接地、直流接地分开的方式。(图10-2)

该接地方式，在发生雷电反击时，由于防雷接地与其他两种接地间有一定的距离(通常要求大于40米)，可避免雷电反击损坏设备;同时由于直流接地与其他接地方式分开，来自其他接地线的干扰也可消除。但重新打接地地桩，费用比较高，而且贵单位周围环境有限制，估计另外找地桩有一定的困难。

方案三：综合接地方式。(图10-2)

交流接地和安全工作接地合二为一，与直流接地，防雷接地分别用三根接地引线引至大楼的地面，如图12-2所示E2，E3，E4。再将它们与避雷地桩E1接成综合接地网。这样他们就有同样的电位，在发生雷击时，不会发生雷电反击而损坏设备。只要接地电阻小于1Ω，就可保证接地线间不产生电位差、不相互干扰。这是目前工程上最常见的做法。

图10-1 图10-2

为了保证接地电阻小于1Ω，我们将采用优质的接地体和引下线，根据实际情况综合运用深埋、添加降阻剂、增大接地线横截面面积、增加接地体数量等方法来降低接地电阻，以达到国家标准的要求。

3.防过电压防雷保护系统

由于机房设备的特殊要求，为了消除雷击和过电压的危险影响，必须在机房的配电柜内单独安装灵敏度高的电源二级防过电压防雷保护系统。

4.导线的选择

(1)导线的型式：所用导线全部采用国产新型难燃铜芯塑料绝缘导线(ZR-BVV系列)。

(2)导线的截面选择：是根据负荷的大小，允许的电压损失，导线长时间的允许温升及导线的机械强度等因素而定。 五.机房空调净化系统(仅供参考)

5.1 机房专用空调

计算站空调、新风、净化系统是保证设备正常运行和工作人员正常工作的重要条件.诸如环境、温度、湿度、洁净度，以及工作人员和设备的散热量等都会对计算机及附属设备工作的稳定性、可靠性造成危害，所以国家规定机房区――室温：A级 22℃±2℃,湿度：(40-60)%，>5μ尘埃粒度<18000粒/dm3.

由于计算机对其所处的环境条件参数极为敏感，它需要特定的温度、湿度和洁净度来保证其高效的运行，如果上述条件不能满足的话，将引起数据失真、丢失甚至计算机完全停止工作，我们所推荐选用的机房恒温恒湿专用空调，就是考虑到如何来满足主机房内设备对环境特殊的要求，这种空调带有先进的微处理控制板，模块化设计、能效极高及宁静的压缩机、远程监测系统、低噪音风机、超声波加湿器、可随时更换的过滤器、节能性多级加热器。

5.2 机房专用空调特点

1. 大风量，小焓差，高显热比与相同制冷量的舒适空调机相比，机房专用空调机的循环风量约大一倍，相应的焓差只有一半，机房专用空调机运行时通常不需要除湿，循环风量较大将使得机组在空气露点以上运行，有利于稳定机房的温、湿度指标。

2.机房专用空调能够适应机房的幅度较大的热负荷变化，以使元器件工作在所要求的环境条件之中，保证电路性能的可靠性。

3. 送风回风方式多样，能充分与计算机主机散热形式一致，从而大大提高空调效率。

4.两级过滤：机房专用空调机内设有初、中效两级过滤器，使机组送出的泠气达到一定的净化能力，以满足洁净度要求。

5.可靠性高：具有报警功能、自我诊断功能、后备机组管理功能。

6.全年制冷运行：多数机房专用空调机能在室温降至-15℃以下时仍能制冷运行。

5.3 新风系统

新风在机房系统建设中是必不可少一部分，是为机房工作人员创造舒适工作环境必须建设的项目，在密闭条件下，新风显得尤为重要。机房对新风系统的主要要求如下：

a. 送进机房的空气是经过处理后的空气。

b. 新风不仅向机房内补充新鲜空气，还要维持机房内的正压。

c. 新风在空调系统中含量应约占送风量的5～10%为宜。

新风机组是向室内单向进风的一种设备，而新风换气机却具有同时双向换气的功能和特点，它在向室内提供经过过滤的新鲜空气的同时，将室内污浊空气排出室外，起到了一机两用的作用，新风换气机采用热回收装置，可减少热量或冷量损失，具有明显的节能效果。

在此方案中我公司结合了贵公司相关的实际情况而在方案中设计采用的是分体空调。

六.防静电地板

根据贵单位实际情况，我们推荐使用国产朝晖牌优质活动地板。

6.1活动地板的应用和优点

凡需铺设电缆、信息线的房间，建议采用抗静电活动地板，安装高度一般为150-300mm。活动地板下面可以用作空调送风静压箱，也便于机房内电缆铺设。

活动地板具有以下优点：

1. 使安装简单化，并为以后设备配置的改变和扩充提供了较大的灵活性。

2. 机房内设备可通过地板下进行自由的电气连接，便于铺设和维护，使机房整洁美观。

3. 可以保护各种电缆、电线、信号线及插座，使其不受损坏。

4. 计算机房可以利用地板下空间作为空调的静压仓，获得均衡满意的温湿度。无论计算机安装在什么位置都可通过活动地板的风口得到空调调节后的空气。

5. 有利于设备底部的维修。

6. 能使静电电荷通泄至地。

7. 能够屏蔽电磁辐射。

8. 可以利用活动地板的可调性，调整地面的平整度，保证机房地面的整体水平。

6.2国产朝晖全钢通路地板

此次设计采用武进中天地板厂生产的“朝晖”牌全钢抗静电地板，其特点是，全钢组件，机械性能高，承载力大、防火性能好;表面做静电喷塑、柔光、耐磨、防腐蚀等处理;故抗静电性能优良、抗污染、便于清洗，造型美观、组装灵活、维修方便、经久耐用，稳定性好，各项指标均达到国家标准。表面电阻：5X105—2X10 10Ω加载力455kgf支座支撑力2273kgf均部载荷(44500—84863)N/m 2，地板尺寸公差(-0.1…0.25)mm,平面度(0.17…0.5)mm，规格分三种型号：轻型、中型、重型，支撑高度(150-500)任意选择，静电阻抗实测1x10

8…1x10 9Ω, 可保用15年。

钢地板是具有防腐性的不燃物体，地板表面采用导电环氧树脂喷塑处理。且表面可粘贴各种地板覆盖物所装饰，如HPL、PVC地毯等，具有良好的抗静电性能，易于清洗、安装、更换。

这种独特的空心全钢地板是由一种杯型结构和一种平板钢板焊接而成。空心全钢地板内填充轻型水泥材料，这种地板具有优良的抗载能力和防噪性能。

七、天花、墙、柱面工程

7.1 天花

此次设计采用广州生产的“欧陆”微孔铝棚板，此棚板有条型和方型，本机房建议采用方板，规格为600X600方型棚板，与墙壁和地面协调一致。该金属吊顶整体平面效果好，线条简洁美观，质量轻，拆装方便;它具有很好的隔音、防火、防潮、屏蔽、耐腐蚀、易清洗、使用寿命长等优点，还可用于空调回风，无论在质感上、光泽上、性能上均优于其它同类产品和矿棉塑板喷涂等材料，并在众多用户使用中反映很好。

7.2 墙、柱面

本设计方案内的所有墙柱面均是先做高0.1m的不锈钢踢脚线, 墙面采用环保乳胶漆。

“南方牌”乳胶漆，其坚实耐久的漆面，能为室内墙壁天上哑光色彩。能防藻抗菌，具防碱效能，有卓越黏附功效，施工容易，遮盖力高、漆膜耐久且不易剥落。不起尘，易擦洗等特点，是一种高品质涂料。且价格低廉。

八.机房装修简述

8.1 机房装修原则

1. 计算机机房墙体要采用防火隔断墙，周围均要进行防潮、保温处理。

2. 墙壁表面宜采用防潮、不起尘、易清洁且性能好的环保材料进行饰面。

3. 计算机机房设单独出入口，并在入口处设换鞋柜。

4. 计算机机房内铺设电缆较多，短路易酿成火灾，需严格控制建筑物耐火等级。所有材料的防火等级都应选为A级或B1级。

5. 尘埃的二次飞扬，对计算机机房内的空气洁净度影响较大，因此装饰材料应选用不易积灰、不易起尘、易于清洁、防火保温的饰面材料，但还应注意此种材料应不产生眩光。

6. 计算机机房地面材料采用质地硬、不宜起尘、防静电的材料。

7. 计算机机房内铺设防静电地板，地板倾斜度必须保证每米不高于2毫米。

8. 防静电地板下仅铺设电缆时，其高度一般可为250mm左右。为了避免电缆移动时地面起尘或划破电缆，地面和四壁应平整而耐磨。

9. 防静电地板的板厚公差应在±0.2mm/m以内;常温常湿下地板绝缘电阻应大于100kΩ，小于100MΩ;地板的均匀荷载应在1000kg/ m 2左右，集中荷载应大于300kg/ m 2。

10. 计算机机房内顶棚应选用不起尘的吸音屏蔽材料且要达到防火要求，最好为铝合金微孔吸音板，顶棚上面应留有300～500mm的高度空间。当顶棚上面作为空调回风静压箱时，要求静压箱内有较高洁净度，其内表面要光滑，平整度好，且应刷防尘漆。

11. 计算机机房内所有管道都应进行防锈处理，选质量好的镀锌管材，所有线缆都应用铁皮线槽、钢管或金属软管保护。

8.2 机房装修方案

根据以上的机房装修原则, 我们提出以下机房装修方案：

地板工程：

机房地面进行防尘处理。

安装防静电活动地板，地板架空高度为250mm。

抗静电地板沿墙收边处理。

天花工程：

天花及梁、墙沿上部防尘处理。

安装天花吊杆、龙骨、敷设天花板。

墙、柱面工程：

墙柱面均先做高0.1m的不锈钢踢脚线, 墙上全采用环保乳胶漆。

其它：

踢脚线采用不锈钢形成点缀。使机房整体线条清晰，轮廓分明，富有现代感。

在装饰中应对各种孔洞进行封堵，以防虫鼠害。

九.其它杂项

机房内应注意防水，必要时应安装漏水检测装置。考虑到贵单位机房有下水管道经过，故在此方案中设计了一套漏水检测装置，该漏水检测装置能在机房内有水浸入时通过传感绳将信号传输到设定的机器上。

机房应考虑防火问题，故在此方案中设计了消防报警装置和气体灭火系统。并建议配备手提式灭火器和空气呼吸器。

机房应考虑防盗和防破坏，建议安装防盗报警系统和闭路监控装置。

附页： 机房防雷技术

一、概述

伴随着通信技术、计算机技术、信息技术的飞速发展，电子元件的高度集成化，设备耐过电压、耐过电流的水平下降，导致电信系统和数据处理系统中的微电子设备、信息传输网络变得极易遭受瞬间过电压的危害。

虽然大楼建筑已有避雷针防雷，但不能阻止感应雷击过电压、开关电源和操作工业设备而产生的各种瞬间过电压。

二、机房瞬间过电压的成因

1、 雷击

2、 对架空电线的冲击：雷电击中暴露在外的电线，一个冲击电压波会沿着导线向与其连接的设备入侵。

3、 以感应方式如：静电场上升而引起的电磁脉冲、地面上的闪电电流使地电位上升、闪电中电磁场使附近的线路产生感应高压。

4、 工业过电压

*起动高电感的电动机组或变压器

*开关中央电源设备

*操作保险丝或断路器

*误接触或断续接触

三、瞬间过电压所造成的后果

*设备损坏,工作人员伤亡

*设备或元器件寿命降低

*传输或储存的信号或数据受到干扰或丢失,甚至使电子设备产生误动作或暂时瘫痪

*整个系统停顿，数据图像传输暂停、局域网乃至广域网遭到破坏，间接损失或影响远远大于直接经济损失

四、机房防雷

机房内防雷系统主要是对服务器、终端、电话机、程控交换机、网络设备、数据传输线、UPS、空调机等电子设备加装过压保护装置，在设备受到过电压侵袭时，保护装置能快速动作将能量泄放，从而保护设备不受损坏。

市电电源经电缆引入室内配电柜，母线经空气开关后接一个三相电源防雷器，其接地线接至综合接地排。这种把防雷器安装在配电柜上设备的源头处，可直接分流大闪电电流，并避免电磁耦合，同时也使接地网络的连接最优。

德国OBO防雷器技术特点：

*高速能量释放

*低残压等级

*快速响应(t ≤100ns)

*高绝缘电阻(>10 M)

在本方案中设计采用一个盾牌的防雷器。

第三篇：居家养老服务网络中心解决方案

适用于老龄工作主管部门、从事社区服务的各类机构、养老社区的运营机构、从事老龄人群的医疗服务机构等。

一、 项目背景

1、政府一贯重视养老服务体系建设、是民生工程的重要组成部分

政府重视是建设养老服务体系的基础条件，“政府主导、社会参与”，才能有效地推动养老事业发展。养老服务社会化工作是一项系统工程，离不开政府的高度重视和大力支持。

2008年1月29日，全国老龄委办公室牵头10部委以(2008)4号文件下发了《关于全面推进居家养老服务工作的意见》， 积极应对日益严峻的老龄化趋势，明确了居家养老在我国养老服务体系中的重要性。指出“积极推进以通信信息技术为支撑的养老服务信息化平台建设”。

2、居家养老是构建中国特色养老服务体系的核心内容，处于基础地位

居家养老是指政府和社会力量依托社区，为居家的老年人提供生活照料、家政服务、康复护理和精神慰藉等方面服务的一种服务形式。它是对传统家庭养老模式的补充与更新，是我国发展社区服务，建立养老服务体系的一项重要内容。在推进养老服务社会化的过程中，国家从出台政策、建立机构、明确任务入手，大力推进居家养老，确立了居家养老在养老服务体系中的基础性地位。

3、养老服务信息化平台是构建居家养老服务体系的重要载体

社区是社会与家庭的中间纽带，老年人居住在社区、生活在社区，加强社区服务网络建设，对于改善老年人居家养老的支持环境，具有重要意义。

在推进养老服务社会化的进程中，通过建设和整合社区服务设施、培育发展社区养老服务中介组织、建立社区养老服务信息平台等，可以极大提升了社区为老服务能力和服务水平。

二、 项目简介

1、项目概述

项目名称：养老服务网络(支援)中心。

以现代通讯、智能呼叫、互联网及电子商务为技术依托，以“建设信息化、智能化呼叫服务及支援中心”为核心，以“建立老年人信息数据库”为基础，以“提供紧急救援、生活照料、家政服务、精神关怀、增值服务”为基本服务内容，有效“整合社会服务资源”为服务主体，建立完善的居家养老服务体系，打造真正意义上的“没有围墙的养老院”。

2、建设目标(中心职能)

为政府构建完善的居家养老服务体系提供信息化支撑;为老龄人群提供完善的居家养老服务及保障。

3、服务理念

让老人生活的安心、舒心;让老人子女放心、省心;推动社会和谐建设。

4、运营模式

在政府资金资助和政策支撑下，坚持“有偿、低偿、无偿相结合”的原则下，不断地发展和丰富为老服务项目;并积极的探索结合社会养老资源的基础上的市场化、社会化的运营方式。

在坚持保本微利的基础上，构建一种规模化、智能化、精细化的居家养老服务及组织管理模式，实现项目的可持续运营。

5、服务项目

居家养老服务主要对服务对象提供紧急救助、生活帮助、主动关怀三大类服务方式。

服务项目涵盖日间照料、生活护理、家政服务、精神慰藉、文体娱乐、法律维权等多种项目。

6、服务方式

6.1 无偿服务

这类服务针对散居的“三无”老人，其中75周岁以上的重点优抚对象、市级以上劳动模范、百岁老人、低保和低保边缘人群、持有特困残疾证和特困职工证人员，每人每月由县(市、区)政府根据当地经济发展水平，发放一定数额的居家养老服务券。

6.2 低偿服务

对生活不能自理或不能完全自理且经济比较困难的社区独居、空巢老人，争取每人每月由政府发放一定数额的居家养老服务券。

6.3 有偿服务

有经济能力、需要上门服务的老人，通过自己购买，由居家养老服务机构提供各种服务。

6.4 义工服务

通过志愿者、低龄老人为社区老年人提供义工服务。

6.5 社会力量认购服务

针对特殊困难的老人，积极动员社会力量，包括通过企业或社会个人为老年人实行认购服务。

三、 项目规划

四、 项目建设的意义和价值

居家养老服务信息化项目可与三级(区、街道、居委会)居家养老服务站(中心)紧密结合，既为信息化居家养老提供了服务载体，又为政府提供了强有力的业务指导和管理手段，可全面提升了居家养老的服务水平。

为民政老龄部门建立一套完整的居家养老服务管理及协调机制;

为辖区内的老龄人群及服务机构建立准确详实的数据库及养老服务电子化档案;

以社区为依托，服务机构和社区义工为支撑构建起强大的养老服务供应体系;

以老人数据库、呼叫中心及智能终端产品为基础，构建紧急救援、生活帮助、主动关怀三大服务方式，丰富了服务手段和项目内容。

构建了“公益化为前提、社会化为基础、市场化为补充”的信息化、智能化的虚拟敬老院运营模式，可有效推动居家养老服务行业持续、健康、快速的发展。

了解更多居家养老服务中心解决方案信息，请与我司市场部联系。

第四篇：某市信息中心网络安全方案

一、前言

计算机网络的发展，正在引发一场人类文明的根本变革。网络已成为一个国家最为关键的政治、 经济、军事、生活资源，成为国家实力的新象征。同时，发展网络技术也是国民经济现代化建设不可 或缺的一个必要条件。能否把握网络给中国发展带来的机遇，将会直接影响21 世纪中国的生存。另一 方面，网络的发展也在不断改变人们的工作、生活方式，使信息的获取、传递、处理和利用更加高效、 迅速，网络的发展让电子政务成为可能，

然而随着网络应用不断扩大，它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意 入侵者侵犯和操纵一些重要信息成为可能，因而引发出网络安全性问题。正如我国著名计算机专家沈 昌祥院士指出的："信息安全保障能力是21 世纪综合国力、经济竞争实力和生存能力的重要组成部份， 是世纪之交世界各国在奋力攀登的制高点"。二十世纪末，美国一些著名网站、银行、电子商务网站遭 受黑客攻击;黑客入侵微软窃取源代码软件等重要案件，都证明了网络安全的严重性，我们知道，仅 这一两年内，国内做网络安全的公司一下就拔地而起，从最早的几家发展到上百家。因此，解决网络 安全问题刻不容缓。

公安局是维护社会治安，保障社会稳定的国家执法部门，通过信息网络建设，把各级公安部门的 资源信息系统连接起来，形成一个有机联系的数据传输网络基础。面向多个领域，面向政务管理、刑 侦破案、社会服务等领域。通过政务管理信息系统的建设，推动政务公开，实现公安部门资源管理现 代化;建立信息服务网站，形成公安信息的社会化服务体系。与此同时现代网络犯罪日趋严重，公安 机关在打击犯罪的同时要有先进的技术保障自身网络的安全，迫切要求网络系统具有更高的安全防范 体系。

广东天海威公司作为专业从事网络安全产品研发厂家和整体方案的提供商，已成功为广东省水利 厅、上海市政府、中山市政府、国家档案局、公安部、南海舰队、北方工业(兵工企业)、联通国际和 广东移动等三百多个重要政府机关提供安全产品和整体服务方案，拥有丰富的网络安全经验和强硬的 技术研发服务队伍。对厅的网络安全建设，我们还具备了本地化的服务优势，能更加及时响应各种网 络安全事件，切实做好各种服务工作，保证网络整体安全。

二、公司简介

广东天海威数码技术有限公司成立于一九九九年十月二十九日，公司现为软件工程国家工程研究 中心网络安全产品开发分中心，公司依靠广东省科技厅、中山大学、华南理工大学和华南师范大学等 部门和院校的强有力的技术和实力的支持，以高起点、高技术、高目标、高效益、高速度的发展战略， 积极参与国民经济信息化建设，不断壮大自身的实力。目前公司员工147 人，大专以上学历员工占公 司总数的88%左右，公司主要技术核心成员具有强烈的事业心，对于计算机网络安全产品的研制开发技 术及产品的技术领先和独特性有超前的感悟力。

solutions 广东天海威数码技术有限公司成功研制的蓝盾防火墙突破传统的被动防御观念，具有一个智能的 自动防御核心，它不但能拦截目前的4000 多种黑客攻击，对各种新型 攻击和“变种攻击”也能自动 制定防御策略进行有效防御，彻底解决了一般防火墙对新型攻击无法防御的问题。本系统的自动防御 功能经过公安部严格的测试，专家们认为该项功能是我国网络防御技术的一次革命性突破;是中国第 一个具有智能防御能力的硬件一体化防火墙。系统功能强大且直观、易用。

广东天海威数码技术有限公司以用户第一为原则，在专业技术团队的支持下成立了技术公的售后 服务队伍，为用户提供优质的服务。该队伍具有扎实的专业技术知识和丰富的售后服务经验，不仅可 为用户提供防火墙产品的售后维护服务，还可为用户提供全方位的免费技术咨询与两次免费的技术培 训。 本公司对售出的产品全部提供最完善的售后服务，一切以客户为中心，以客户满意为我们追求的 目标。

公司的主要客户有：武汉市国税局、上海市委办公厅、广东气象局、中国铁通、北京广播电视设 计院、郑州气象局、广东民族学院、广东省保密局、广东省国税局、福建泉州工商局、中国科学院研 究所、广东工业大学⋯⋯等。

三、成功案例(以下资料请保密)

省水利厅方案

网络安全系统是整体的、动态的。网络安全系统符合MPDRR 模型(M-management，P-product， D-detection，R1-responce，R2-recovery)，因此，要真正实现一个系统的安全，就需要建立一个从 保护、检测、响应到恢复的一套全方位的安全保障体系。

我们提供的网络安全方案正是基于MPDRR 模型构建的，符合网络安全系统整体性和动态性的特点。 它集防火墙、入侵检测、病毒检测、于一体，将多种网络安全技术和优秀网络安全产品在技术上有机 集成，实现安全产品之间的互通与联动，是一个统一的、可扩展的安全体系平台。它具体包括了防火 墙和VPN 的解决方案、入侵检测方案、防病毒方案和数据备份方案。具体见网络拓扑结构图： solutions

中山市政府应用了一整套网络安全产品方案，如图： solutions 层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。 从系统和应用出发，网络的安全因素可以划分到如下的五个层次中，即物理层、网络层、系统层、 应用层和安全管理。

四、解决方案 4.1 拓扑图

4.1.1 网络安全防体系

1、 蓝盾防火墙上连一台交换机2924 连接到互联网。

2、 蓝盾防火墙下连另一台交换机2924 连接服务器群。

3、 服务器区域受蓝盾防火墙的安全机制保护，防止来自互联网上或其他网的攻击。

4、 (推荐)入侵检测引擎可安装在服务器区中的交换机Catalyst 2924 以及9 个配线房的交换机 Catalyst 3524 上，实时监测来自网络交换时的异常行为并根据设置发出警报。 solutions 4.2.3 蓝盾VPN 技术 为了保证数据传送不被监听、篡改，利用VPN 强大的加密技术以及安 全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。 信息加密传输，保证信

息完整，并结合网络访问控制技术，抵抗各种外来攻击。在IP 层实现了认证、数据加密、防止DOS 攻 击、访问控制以及审计等安全机制，从而使其成为安全可靠的网络信息安全传输工具。依据业务的需 要，广东天海威推出了高安全强度和高可靠性的VPN 系统模块，其系统可有效保护信息的传输安全和 阻止对企业内部网的非法访问和攻击，如侦听破译、篡改报文、重发或少发报文，冒名顶替、非法访 问、旁路攻击、黑客攻击等等。原理图如下： ，在防火墙上配备VPN 模块

虚拟专网(VPN)技术是采用密码技术，使用IP 隧道封装加密数据，进行 solutions

采用隧道模式实现，安全可靠;

方便灵活的接入和部署，支持路由、NAT、透明模式等工作模式; CA 认证;

客户端硬件设备的用户才可接入。

3、蓝盾VPN 客户端的功 能

客户端应用程序采用IPSEC 国际标准，提供了多种安全服务; VPN 端建立隧道， 使用十分简便。

简单，支持多平台(包括Windows XP),同时支持网卡和拨号设备，方便 各种用户需求。

对政府部门、企业的移动用户可选配硬件，加强移动VPN 客户的身份认证。 4.2. 3000 型防火墙 模块 转换模块 模块

可与专业防火墙无缝集成、协同工作;

硬件加密、解密，性能高;

采用多接口设计;

可扩展,支持第三方

严格限制拨号用户的接入，需有 VPN

VPN 客户端对于数据安全的处理对上层应用程序是透明的;

支持移动IP 地址(拨号上网等)，用户无需设置任何虚拟IP，即可与指定的 易用性：操作界面 4 智能3000 型防火墙配置

1、 选型和配置

选型：蓝盾智能 功能模块配置：

数据包过滤

NAT 双向网络地址

智能防御模块

自动反扫描模块

DoS 攻击防御模块

变种DDoS 攻击防御

网络黑洞模块

日志记录 solutions 护着

3、智能防御模块

系统自动统计、分析通过防火墙的各种连接数据，探测出攻击者，立即断开与该主机的任何连接， 并采

4、自动反扫描

扫描是黑客攻击的前奏，攻击前，黑客一般会先扫描一下目标主机打开的服务端口，然后再进行 针对

蓝盾防火墙系统在内核设计中引入自动反扫描机制，以最快的速度发现扫描器，而服务器上的端口不

5、防内攻击模块

本模块是针对内部用户企图攻击DMZ 区或者透过防火墙攻击互联网上的服务器，非法占用系统大 量带

6、DOS 及变种DDOS 攻击防御

蓝盾防火墙独特的智能化防御体系不但能有效防御DOS 攻击和DDOS 攻击，还能自动分析出各种变 种D

7、物理断开

此功能为蓝盾防火墙所独有，在蓝盾防火墙的每个网络接口都内置有一个物理开关，可控制断开任 一个

8、网络黑洞

本系统提供的网络黑洞功能，是针对于黑客发送的信息探测包的一项对策。它将该信息包吸收，无 信息

9、URL 过滤(同时支持手动及自动过滤)

网络在带给人们丰富多彩的信息的同时也充斥的黄色、暴力及反动的东西，对人们尤其是未成年 人身

10、VPN 模块

蓝盾VPN 能根据用户的安全规则记录系统通信事件，同时也能提供网络使用情况的统计数据。系 这栋桥梁。

取将其IP 地址列入黑名单等措施，保护内网所有主机的安全。在一定时间(约10 分钟)内，该 主机无法再对防火墙系统和防火墙保护的内网进行任何访问。同时发出实时的告警提示，告警可疑通 过可闻可见的方式发出，也可以通过Email 发出信息、发出SNMP 告警到网管系统，或者激活一些用户 定义的告警方式，如通过传呼机呼叫管理员等。 性攻击。 会被他人扫出。

宽资源而专门设计的功能，有效地防止了内部工作站的破坏和非法入侵。 DOS 攻击，自动形成防御策略进行有效防御。 网络接口的连接，终止在该接口处的任何数据通信。

反馈回，使黑客难以下手，为网络系统的安全多加一层保护网。

心造成严重的损害，对此防火墙系统URL 过滤模块不但支持手动配置过滤有害站点，同时其黄色 过滤包能自动完成对13 万个黄色和反动站点的有效过滤，净化网络环境。 solutions 防火墙可根据具体的网络环境需求，工作在普能模式、透明网模式、路由模式下，灵活地解决网 络结构的问题。

15、GUI 安全配置界面

蓝盾防火墙系统支持基于WWW 的管理界面，这是本系统的重要特点之一。WWW 界面使本系统的管 理、设置将非常方便;系统的所有设定都可以在直观的图形界面下完成;中文化的图形界面设计可以 减少管理人员的培训周期，增加了系统的可用性。

16、日志审计功能

蓝盾防火墙日志审计分析功能主要包括Syslogd 信息接收程序、BdAna 网络使用和安全分析程序两 部分组成。Syslogd 程序能对黑客采取的端口扫描和网络攻击，实时响铃报警，提醒用户。分析、统计 和计费功能可统计用户、IP 数据包、NAT、STATE、PROXY 的详细使用情况，并根据用户设置的计费标

准进行计费。网络安全分析功能可提供完整的扫描器报告、黑客攻击报告在内的安全报告，能提供FTP、 HTTP、EMAIL、TELNET 等多种网络服务应用情况报告。

17、提供DMZ 区

除了内部网络界面和外部网络界面，系统还可以再增加一个网络界面，让管理员灵活应用。如建 立DMZ(Demilitarized Zone)，在其中放置公共应用服务器。

18、实时入侵检测

系统提供实时入侵纪录检测，实时检测网络中的异常数据，动态显示黑客入侵的动作及数据，为 网络管理员提供实时追踪黑客的第一手材料。此模块使系统集防火墙与入侵检测于一身，二者之间有 机结合的效率成倍提高，增强网络安全系数的同时还有效地降低了成本。

19、SYN 标志位检测

蓝盾防火墙系统对流过防火墙的IP 包进行了标志位检测。并通过SYN 标志位检测，更进一步地提 升防火墙系统所保护的网络环境的安全性。 4.3、入侵检测系统

为了防范来自系统内部网络和外部网络击，作为防火墙的补充，建议系统内部网各重要网段配备 入侵检测引擎，如在资源服务区和防火墙的内网端口和外网口，通过对网络行为的监视，来识别网络 的入侵的行为。 4.3.1 入侵检测系统作用

在网络系统中安装蓝盾入侵检测系统，可以实现以下作用：

实时监视网络上正在进行通信的数据流，分析网络通讯会话轨迹，反映出内、外网的联接状 态。

通过内置已知网络攻击模式数据库，能够根据网络数据流和网络通讯的情况，查询网络事件， solutions 基于内核层的千兆检测技术

BD-NIDS 高端产品支持千兆高速网络，强大的数据处理能力足以满足大型的ICP 网站和电信骨干网 络中大背景流量的过滤检测要求，蓝盾基于内核层的千兆处理技术彻底解决了其它IDS 系统存在的千 兆丢包问题。

一个引擎同时检测多个网段

BD-NIDS 可以检测用户系统的多个网段，强大的多网段检测能力将提高检测的准确性，也将极大地 节约包括购买开支、管理开支在内的各项开支。BD-NIDS 检测引擎系统可以集中由控制中心系统进行管 理，集中管理可以极大地减少管理工作量。

专用固化系统平台

BD-NIDS 检测引擎是固化的，采用标准的工业机箱结构，可以方便的放置到标准机柜中，便于机房 管理人员的管理。采用自行设计的专用操作系统BDOS2.0，内建有蓝盾防火墙V2.0 版，自身安全性很 高，可以防范针对探测引擎的攻击。

支持自定义入侵模式

BD-NIDS 检测引擎内置了大量的入侵模式，可以检测已知的大部分入侵，BD-NIDS 同时允许有经验 的高级用户自定义入侵模式，做到量体裁衣，检测用户最为关注的事件。

智能模式匹配与复杂协议分析融合

主要的功能包括：TCP 流重组、端口扫描检测、IP 碎片重组、BO 攻击分析、异常轮廓统计分析、 ARP 欺骗分析、UNICODE 漏洞分析、RPC 请求分析、Telnet 交互格式化分析、极小碎片检测、缓冲溢出

分析、智能的模式匹配等。 solutions 防病毒系统应可实现反病毒的统一管理和分布管理;统一管理表现为由上级中心统一发送病毒命 令、下达版本升级提示，并及时掌握整个网络的病毒分布情况等，分布管理表现为下级中心既可以对 收到的上一级中心命令做出响应，也可以管理本级系统，并主动向上级中心发送请求和汇报信息。防 病毒系统还必须适用多种平台，如：Windows 类、Unix 类等。 国内防病毒系统推荐使用Kill 或瑞星，国外防病毒系统推荐使用Norton。

五、产品报价

根据芜湖市开发区管委会对网络安全产品的特有需求，我公司推荐使用蓝盾智能3000 型防火墙和 BD-3000 型蓝盾入侵检测系统： 名称 型号 单价(元) 数量 总价(元) 防火墙 BDFWH-3000-3 1 (推荐)入侵检测 BD-3000 10 合计

(推荐)合计

六、 用户培训方案 6.1 售后培训

1、 培训目标 通过内容丰富的培训，使用户能系统全面地了解信息安全系统的相关概念、技术和防范新措施， 增强客户对网络安全系统的实际管理维护能力，提高网络安全应用意识，更好的解决网络安全应用当 中问题，充分发挥网络安全系统的作用。

2、 培训内容

编 号 课 程 内 容 课 时

1 理论培训 计算机网络安全技术理论 一天 2 综合应用培训 常见黑客攻击与防范 系统安全漏洞和安全检测 一天 solutions bdsupport@bluedon.com)

设立服务质量反馈热线：020-38468399 7.2 附送《网络安全监控与紧急救援服务》

《网络安全监控与紧急救援服务》是本公司和国家软件工程中心联合开展的一种高端安全服务， 为满足客户对网络安全服务的需求，本公司免费附送一年的《网络安全监控与紧急救援服务》。 《网络安全监控与紧急救援服务》不仅给网络管理者提供其网络系统的安全状况的清晰图象，使 用户了解其网络安全的状况并对存在的问题和漏洞及时排解和补救，还支持用户建立适应性的安全策 略和有效的安全模式，一步到位建立具有最高专业水准的网络安全防护体系，同时提供专业的安全报 告包括修改建议和专业知识库及网络链接国际标准化安全组织支持。 服务内容包括： 紧急救援服务

信息技术发达的今天，网络安全受到越来越多方面的考验，灾难事件随时可能发生，为保障用户 系统的安全运行，“蓝盾安全小组”随时待命为您服务： 7×24 小时接收用户报警 快速出警，应急处理突发事件 系统灾难恢复 入侵调查与分析

网络安全漏洞扫描与安全风险评估服务

在线或现场扫描网络的互联网边界，发现所有已知安全漏洞，提供管理层、技术层等各种形式的 安全状况报告

UNIX/NT/NOVELL 安全配置完全检测

提供风险分析，安全咨询，讲解扫描报告并帮助解决发现的安全问题 排除发现的漏洞，消除可能发生的安全隐患

正确、合理、用户化的网络安全设备和系统协议安装和调整服务(通过模拟攻击和在线监测分析 等)

提供用户网络结构分析，安全状况分析，风险来源和可能造成的损失分析及对策等服务 提供用户全面网络安全解决方案建议书 定期检测服务 - solutions “蓝盾安全小组”可以定期检测网络中的安全隐患，对日志文件进行分析，及时查处网络漏洞， 提出新的安全解决方案，检测的内容包括：

基于网络的系统安全探测扫描、系统安全评估、系统安全检测、 安全漏洞修补、建立适应性的网 络安全策略;

基于(UNIX)主机的操作系统安全性扫描、分析、风险评估和漏洞检测; 网络入侵监控、网络病毒检测; 同时提供最新的安全信息和培训;

还包括对网络通信服务、操作系统、路由器、电子邮件、WEB 服务器、防火墙和应用程序等进行的 全面检测，支持基于策略的安全风险管理，并提供详细的扫描结果分析报告----包括位置、详细描述和 建议的改进方案。

1、 特殊时期的预防性检测服务

国际争端和民族纠纷往往是黑客事件的前奏，当有此类事情发生时，蓝盾安全小组会及时为客户 做好预防性的检测工作，保证客户网络的安全。

另附： 证书资料

- solutions__

第五篇：内江市疾控中心网络建设设计方案

一.前言

人类在发展中不断采用新的科学技术来提高自己的工作效率和生活质量，特别是计算机和网络技术的迅速发展，正改变着人们的工作方式和生活方式，提高了人们的工作乐趣、生活乐趣，人类社会的发展正在加速前进着。

内江市疾控中心计算机网络化建设项目正是在这一背景下，在卓有远见、智慧的单位领导和科技人员的极力推崇下应运而生的，我们坚信这一项目的最终成果，必将把内江市病控中心的整体工作水平提升上一个新的台阶，使全中心干部和职工的综合素质上升到新的水平。

根据《国家卫生信息网建设总体实施方案及指导手册》内容要求，结合我市“疾控”系统计算机信息化建设的现实情况，我们设计的总体构思(含设备选型)是：

1、贯彻执行《国家卫生信息网建设总体实施方案》的指导思想和建网原则，即“立足当前、兼顾长远、统一规划、统一标准、统一规划。”

2、运用计算机网络技术和通讯技术，构建一个覆盖全市疾控单位系统及区、县、乡镇疾控单位高效地、安全的信息平台，提高和加强全市卫生疾控事业的宏观管理，科学决策，防止重大疾病灾害的应急、应变、应救的指挥调度能力。即在优先建立市疾控中心计算机信息网的基础上，分阶段逐步实施各区县及乡镇有关单位的信息化建 1

设，做到相关信息网络的“连点成网、互联互通”，并实时与上级主管部门计算机网络联通，及时做到“上情下传、下情上报”。

3、在市疾控中心已建立计算机网络的基础上，构建一个内部使用的安全的网上办公平台，中心的一切公告、报告、通知、文件、报表、档案、论坛、邮件等信息均可直接从网上发布或查阅。通过明细权限设置，数据加密传输及存储，使本单位的工作效率和员工综合素质上升一个新的台阶。

二、方案设计与设备选型的原则

1、实用性和需求的原则

方案的设计、产品设备的选型均以满足本单位需求为目的，它是为解决问题而产生的。再因这种需求会发展、会变化，因此，我们的设计和设备选型，不仅能满足解决现实问题，而且充分考虑到了要尽量满足未来一定时期内的需求，以减少贵单位投资成本。

2、扩展性原则

因计算机网络技术的进步，需求的变化和软件应用的升级，故在构建病控中心计算机网络运行平台的同时，除保证该系统日常平稳运行外，选用的设备尤其是服务器等主要设备充分考虑了升级和扩展的能力。

3、先进性原则

我们提供的产品和设备、一是经过了市场验证，二是代表了目前网络设备市场先进的产品，这将免去贵方的投资风险、而且将会得到生产厂家和设计单位的有效服务和技术支持。

4、安全可靠性

一旦网络建设好，我们将派出有经验的工程师与贵方专业人员一

起，在系统网络中，建立起一个安全、可靠的运行系统使文件数据保密、不丢失、不被篡改，即一旦设备系统故障，也构不成大的威胁、日常要做好数据及信息的备份工作。

三、网络设备

1、网络接入设备——路由器

拟采用D-LINK D1808HV路由器，实现与省疾控中心DDN节点以及国家公众信息网的连接。即内江市疾控中心——内江市电信局——省疾控中心(省卫生厅)DDN节点——国家公众信息网。

2、服务器

拟采用HPML370G4(403727-AA1)服务器。该服务器功能强大、齐全、完全能够满足病控中心网络系统信息内容的储存、传递等。

3、交换机

拟采用D-LINK 1024R交换机。在各点相距较平均的位置上摆放交换机，即保证信息传输速率，又便于安装调试和线路检测。

1024R交换机有24个端口，可连接24个计算机终端，购3个交换机，就可满足市疾控中心68个终端的连接要求、实现全系统的连通。

4、UPS电源

拟采用APC SUA1000ICH UPS电源，在停电的紧急情况下，该设备将自动启动供给服务器电力，以确保各项数据的存储和备份工作。

四、服务承诺及技术支持

我们公司坚持“客户第

一、用户至上”的原则，对内江市疾控中心给了我们这次机会深表谢意，如合作成功。

我们将坚持做好以下几点：

1、首先保证我们供给的产品和设备是正宗产品，售后完全能够得到生产厂家的质保服务。

2、自双方签订合同后，我们将及时按照合同规定的项目进度安排各项工作，组织货源并安装调试。

3、组织贵单位有关操作人员培训，使他们掌握网上办公的基本方法和基本技能。

4、接贵单位故障通知，60分钟内赶到现场处理，提出诊断意见和解决问题的方案。

5、整个网络的运行维护，贵方可委托我们公司以年保方式方式来进行合作。

五、软件及其他

1、贵方未委托我方采购的软件，全部由贵方负责采购和安装。

2、有关网络安全的硬件和软件，受贵方委托我方才有资格采购并安装。

3、其他未尽事项，双方另行商定。

附：网络设备清单与价格

内江市蓝灯科技发展有限公司

二〇〇六年八月十八日