《计算机网络系统投标书(技术部分).doc》由会员分享,可在线阅读,更多相关《计算机网络系统投标书(技术部分).doc(54页珍藏版)》请在三一办公上搜索。
1、副本XXXXXXXX集团有限公司总部计算机网络系统投标文件(技术部分) (招标编号: ) 山西华清软件科技有限公司二一年七月目 录一 技术应答文件41.投标产品的技术指标及配置清单41.1服务器机房41.2网络机房51.3系统软件61.4其他部分62.技术偏离说明7二 项目总体要求91.网络机房101.1 建设原则101.2 需求分析111.3 组网方案111.4关键设备介绍及技术参数121.4.1核心交换机S5500-28C-EI121.4.2接入交换机S3100-52P171.4.3深信服 SSL-VPN221.4.4 UTM 上网优化网关292.服务器机房342.1建设原则342.2需求
2、分析342.3集成方案352.4关键设备介绍及功能参数372.4.1服务器-IBM X3850 X5372.4.2 存储-IBM DS 4700403.系统软件443.1软件清单443.2网络版杀毒软件介绍444.其它设备464.1考勤机选型464.2功能参数46三 售后服务承诺481到货和设备安装计划482.技术支持和售后服务方案502.1技术支持及售后服务体系502.2质量保证期内服务承诺51一 技术应答文件1. 投标产品的技术指标及配置清单1.1服务器机房产品名称产品描述数量单位IBM3850 X5标配两个Intel 八核Xeon E7550处理器(2.0GHz, 18M缓存),可扩至八
3、路处理器,标配2块内存板,16GB(4x4GB) 1066MHz DDR3内存,最大可扩充至3TB,2*300GSAS硬盘,标配一块Emulex 万兆双口以太网卡,主机带两个千兆以太网卡,标配2个热插拔电源,4U机架式,DVD光驱,两块4GB FC HBA3台IBM磁盘阵列 DS47002Gb cache,4个主机连接端口; 4GB 300G FC 硬盘,总体容量16*300GB,raid级别支持0, 1, 3, 5, 6, 10;双冗余热插拔;三年免费人工维保1台IBM 光纤交换机带有 24 个端口,其中 8 个端口已激活,8条光纤连接线;双风扇,一个电源1台机柜IBM 42U 黑色 机柜(
4、含侧面板)2台PDU机柜内部专用的PDU 7口插座4个1.2网络机房产品名称产品描述数量单位LS-5500-28C-EIH3C S5500-28C-EI-以太网交换机主机(24GE+4SFP Combo+2Slots)1台SFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)4台LS-3100-52TP-SI-H3H3C S3100-52TP-SI以太网交换机主机,48个10/100Base-Tx,2个10/100/1000Base-T和2个100/1000Base-X SFP2块光纤跳线LC-LC 多模2对M3600-SG上网优化管理网关(500
5、内网用户数600)包含上网加速、访问控制、审计、监控、外发管理、带宽管理、报表和增强性安全功能,出口带宽30M,1U百兆设备;起防火墙、路由器功能,代理用户上网、保障内网安全。1台VPN-20501U百兆/防火墙网关,支持IPSEC/SSL协议远程接入,容量为300用户1台移动办公VPN接入授权(含USB KEY加密狗)每增加一个SSL VPN(点到网接入)接入授权(含USB KEY加密狗,可以启用用户名/密码、短信认证、硬件特征码认证等组合认证,可以选择与终端电脑绑定或者不绑定)-个UPS科士达 10K4小时 32*100AH 1台机柜42U 标准网络机柜1台机柜0.35m 壁挂式机柜1台1
6、.3系统软件产品名称产品描述数量单位Windows 2008 企业版3个服务器许可 5个用户许可1套SQL 2008 ENT1CPU 无限许可1套瑞星1个系统中心 5个服务器端 45个客户端1套1.4其他部分产品名称产品描述数量单位考勤机汉王人脸识别 E3502台2. 技术偏离说明网络版杀毒软件招标文件中杀毒软件采购数量为50用户,对系统中心、服务器端、用户端数量描述不详。根据瑞星报价方式及用户购买总用户数本方案将网络版杀毒软件规划为1个系统中心,5个服务器端(新购三台+原财务服务器两台),45个用户端。另外瑞星杀毒软件网络版分为企业版和中小企业版,中小企业版只提供不超过100用户的许可,超过
7、100用户需重新购买。因集团终端上网用户总数可能超过500用户,所以本方案选择企业版杀毒软件。操作系统及数据库 招标文件中操作系统的数量和数据库的数量均为一套,但服务器采购数量为三台,并且招标文件中要求服务器全部安装正版操作系统及数据库。操作系统如只购买一个服务器许可,只有一台服务器可以安装,其它服务器安装后不能进行激活操作,只用使用30天。故本方案中操作系统购买3个服务器许可,5个用户端许可,数据库暂购买1个CPU许可(用户端不限)。网络机房因未对网络机房现场查看,招标文件中未针对说明,所以我方暂认为用户方综合布线已全部到位,所以没有作配线架等机柜配件。另外网络机房、服务器机房市电接入由甲方
8、实施,服务器机房到网络机房UPS电源接入材料由用户方提供材料,我方提供技术参数并协助实施。 依招标文件中所达,服务器机柜选择IBM原装42U机柜。而本次所购服务器及盘柜总的实际高度为16U,因用户计划将原财务系统双机服务器也放到服务器机房,所以还要加上财务双要贩高度10U,共计理论高度为26U,所以我公司将机柜数量更改为两台,PDU数量更改为4个。二 项目总体要求山西凯嘉能源集团有限公司总部计算机网络系统,主要服务于集团总部和下属分、子公司的网络通信。 总部服务器机房,主要服务于集团总部的办公自动化,以及与下属分、子公司的业务数据往来。根据集团发展战略和信息化规划,所选设备要满足实用性、先进性
9、和可扩展性。 本次项目包括网络机房、服务器机房、系统软件和其他设备共四大部分,其中网络设备安装场所为集团办公大楼一层,服务器设备安装在集团办公大楼五层。1. 网络机房1.1 建设原则标准性原则:网络总体建设遵循国际统一标准、采用业界流行的通用通讯协议和接口,要为系统能顺利接入国际互联网提供一个良好的环境。开放性原则:建成多协议、多网络操作系统网络平台,真正实现开放式的网络体系结构。可靠性原则:网络是系统集成的关键,要求系统中的任何设备的故障都不会影响整个系统连续、可靠的运行。首先要考虑设备的稳定性、可靠性、使其具有必要的冗余容错能力,特别是主干通信线路和核心设备,如:中心交换机,可采用电源冗余
10、备份系统,提高可靠性。安全性原则:实现网络的合理配置,利用授权及软件防火墙技术,能阻止非法用户访问网络资源,保证数据传输、存储的安全。可管理性:对整个网络系统提供管理软件,实现网络的动态管理,流量控制及故障诊断。经济实用性原则: 整套应用系统应能方便用户的使用和管理,以实际工作的业务模式为基础,实现业务处理的计算机化;并能做到用户界面的友好统一,应用平台的简单化和标准化。1.2 需求分析经过前期调调研三确认,用户集团总部新迁办公楼共有网络终端拉入点100个,并且办公楼已经进行了综合布线,所有终端用户线路均汇总至一层网络机房。 各二级单位也即将建成以联通10M专线为网络主干的VPN网络,网络建成
11、后集团相关业务将逐步向本网迁移,所有用户的互联网访问业务均由集团总部统一管理控制,同时建成后的网络平台也要满足集团领导异地办公、网络办公的迫切要求。1.3 组网方案依上图所示,根据用户实际需求,我们在集团总部部署H3C公司LS-S5500-28P三层千兆核心交换机一台,通过光纤跳线与办公楼的两台接入交换机(LS-S3100-52P)进行互联,搭建一个千兆主干、百兆到桌面的星型以太网。各分子公司与集团总部通过联通10M专线(分子公司专线取消互联网访问业务)搭建全带宽VPN虚拟网络,各分子公司通过VPN网络可以访问到集团总部的任何一台授权服务器。同时在集团总部再部署10M专线一条,为集团所有用户提
12、供互联网访问业务。并且在互联网的出口位置部署集路由、防火墙、上网行为管理于一身的UTM设备一台。此设备与核心交换配合,可以实现集团对所有终端用户互联网访问业务的管理及控制。并且可以满足集团现有的一些个性化需求(如P2P限速、IP-MAC绑定、用户分组管理等)。互联网访问业务开通后,网络核心机房旁路部署一台深信服SSL VPN,经过配置后所有经过授权或持有D-KEY的外出人员均可以通过VPN虚拟网络访问集团总部授权服务器,实现了异地网络办公。1.4关键设备介绍及技术参数1.4.1核心交换机S5500-28C-EIH3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太
13、网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多6个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚,中小企业网核心、以及城域网边缘设备的第一选择。技术参数型号S5500-28C-EI背板带宽256Gbps交换容量192Gbps包转发率96Mpps管理端口1个Console口扩展插槽2个扩展插槽可选接口模块单端口10GE XFP接口模块/两端口10GE XFP接口模块/两端口10GE CX4接口模块/两端口SFP接口模块/两端口SF
14、P接口模块端口聚合支持LACP/支持手工聚合/支持最多14/26个聚合组,每组支持最多8个GE或4个10GE端口端口特性支持IEEE802.3x 流量控制(全双工)支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制MAC地址表支持32K个MAC地址/支持黑洞MAC地址/支持设置端口MAC地址学习最大个数VLAN支持基于端口的VLAN(4K个)/支持基于MAC的VLAN基于协议的VLAN/基于IP子网的VLAN/支持QinQ,/灵活QinQ/支持VLAN Mapping/支持Voice VLAN/支持GVRP二层环网协议支持STP/RSTP/MSTP支持RRPPDHCPDHCP Clien
15、tDHCP SnoopingDHCP RelayDHCP ServerDHCP Snooping option82/DHCP Relay option82IRF2智能弹性架构支持IRF2智能弹性架构/支持分布式设备管理,分布式链路聚合,分布式弹性路由/支持通过标准以太网接口进行堆叠/支持本地堆叠和远程堆叠IP路由支持静态路由/支持RIPv1/v2,RIPng/支持OSPFv1/v2,OSPFv3/支持BGP4,BGP4+ for IPv6/支持等价路由,策略路由/支持VRRP/VRRPv3MCE支持IPv6支持ND(Neighbor Discovery)/支持PMTU/支持IPv6-Ping,
16、IPv6-Tracert,IPv6-Telnet,IPv6-TFTP/支持手动配置Tunnel/支持6to4 tunnel/支持ISATAP tunnel组播支持IGMP Snooping v1/v2/v3,MLD Snooping v1/v2/支持组播VLAN支持IGMP v1/v2/v3,MLD v1/v2/支持PIM-DM,PIM-SM,PIM-SSM支持MSDP,MSDP for IPv6/支持MBGP,MBGP for IPv6镜像支持流镜像/支持N:4端口镜像/支持本地和远程端口镜像QoS/ACL支持ACL支持L2(Layer 2)L4(Layer 4)包过滤功能,提供基于源MAC
17、地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP/UDP端口号、VLAN的流分类支持时间段(Time Range)ACL支持入方向和出方向的双向ACL策略支持基于VLAN下发ACL支持QoS支持对端口接收报文的速率和发送报文的速率进行限制支持报文重定向支持CAR(Committed Access Rate)功能每个端口支持8个输出队列支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP、WRR、SP+WRR三种模式支持报文的802.1p和DSCP优先级重新标记安全特性支持用户分级管理和口令保护/支持802.1X认证/集中式MAC地址
18、认证/支持Guest VLAN/支持RADIUS认证/支持SSH 2.0/支持端口隔离/支持端口安全/支持PORTAL认证/支持EAD/可支持DHCP Snooping,防止欺骗的DHCP服务器/支持动态ARP检测,防止中间人攻击和ARP拒绝服务/支持BPDU guard, Root guard/支持uRPF(单播反向路径检测),杜绝IP源地址欺骗,防范病毒和攻击/支持IP/Port/MAC的绑定功能/支持OSPF、RIPv2报文的明文及MD5密文认证。管理与维护支持XModem/FTP/TFTP加载升级/支持命令行接口(CLI),Telnet,Console口进行配置/支持SNMPv1/v2
19、/v3,WEB网管/支持RMON (Remote Monitoring)告警、事件、历史记录/支持iMC智能管理中心/支持系统日志,分级告警,调试信息输出/支持HGMPv2(最大256台)/支持NTP/支持电源的告警功能,风扇、温度告警/支持Ping、Tracert/支持VCT(Virtual Cable Test)电缆检测功能/支持DLDP(Device Link Detection Protocol)单向链路检测协议支持LLDP/支持Loopback-detection 端口环回检测1.4.2接入交换机S3100-52P产品概述H3C S3100-52P千兆以太网交换机是H3C公司最新推出
20、的二层线速智能型可网管以太网交换机产品,具有高密度、4GE上行、完备的安全和Qos控制策略等特点,满足企业用户多业务融合、高安全、易管理的建网需求,适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换机。产品特点l 高带宽和高扩展H3C S3100-52P千兆交换机为所有的端口提供二层线速交换能力,同时支持4个GE的上行扩展,满足行业用户多业务和高带宽的应用需求。l 灵活的用户管理和完备的安全控制策略H3C S3100-52P千兆交换机支持集中式MAC地址认证和802.1x认证,在用户接入网络时完成必要的身份认证,支持广播风暴抑制和端口锁定功能,支持配合H3C公司的CAMS系统对在线用
21、户进行实时的管理,及时的诊断和瓦解网络非法行为,保证接入用户的合法性。支持对Proxy进行有效的管理。H3C S3100-52P千兆交换机支持通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息,解决 DHCP用户的IP和端口跟踪定位问题。l 丰富的QOS策略H3C S3100-52P千兆交换机支持每个端口8个输出队列,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种队列调度算法。支持端口双向限速,限速的控制粒度为64 Kbps。l 多样的管理方式H3C S310
22、0-52P千兆交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点。支持通过FTP、TFTP实现设备的远程升级,支持HGMP集群管理系统和故障诊断,实现了设备的集中管理和维护,支持SNMP,可支持Open View等通用网管平台,以及Quidview网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。功能参数项目H3C S3100-52P外形尺寸(长宽高)(单位:mm)43626043.6重量4kg固定端口48个10/100Base-T以太网端口管理端口1个Console口扩展槽位数量4个千兆SFP接口交换容量19.
23、2G包转发率13.2MppsVLAN最多支持4K个符合IEEE 802.1Q标准的VLAN支持GVRP广播风暴抑制支持基于端口带宽百分比的广播风暴抑制组播IGMP Snooping生成树协议支持STP/RSTP/MSTP,符合IEEE 802.1D、IEEE 802.1w、IEEE 802.1s标准端口汇聚支持通过命令行手动进行端口汇聚支持FE端口汇聚和GE端口汇聚支持每个汇聚组最大端口数8FE或者4GE最多支持16组端口汇聚端口镜像支持多对一的端口镜像(即一个镜像端口,而对被镜像端口的数量没有限制)支持远程端口镜像端口隔离支持端口自环检测支持端口环回(内环和外环测试)支持MAC地址表支持地址
24、自学习符合IEEE 802.1D标准最多支持8K个MAC地址流控支持IEEE 802.3x流控(全双工)支持背压式流控(半双工)加载与升级支持XModem协议实现加载升级支持FTP、TFTP加载升级管理支持命令行接口(CLI)配置/支持Telnet远程配置/支持通过Console口配置/支持SNMP/支持1,2,3,9组MIB/支持QuidView网管系统/支持WEB网管/支持系统日志/支持分级告警维护支持调试信息输出/支持PING、Traceroute, Multicast Traceroute/支持Telnet远程维护/支持VCT(Virtual Cable Test)电缆检测功能QoS支
25、持对端口接收报文的速率和发送报文的速率进行限制,粒度为:64Kbit/s /支持每端口8个输出队列/支持灵活的队列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式安全特性用户分级管理和口令保护支持Guest VLAN支持IEEE 802.1X认证支持集中MAC地址认证支持SSH2.0DHCP支持DHCP Client、DHCP SnoopingNTP支持集群管理支持NDP(邻居发现协议)支持NTDP(网络拓扑发现协议)电源AC:额定电压范围:100V240V AC;50/60Hz最大电
26、压范围:90V264V AC;47Hz63Hz整机最大功耗50W工作环境温度045工作环境相对湿度(非凝露)10%90%1.4.3深信服 SSL-VPN深信服SSL VPN为客户提供应用最广泛、最安全、最完善的移动远程接入方案、内网核心应用安全隔离方案、WLAN安全接入方案、核心应用系统安全加固方案,为整个业务系统的安全发布及接入访问保驾护航。作为国内SSL VPN的第一品牌,据国际权威调查机构FROST & SULLIVAN 2008年调查报告显示,深信服SSL VPN以31.1%的市场占有率一举超越众多国内外厂商独占鳌头。2009这一占有率上升至34.0%,进一步扩大深信服SSL VPN第
27、一品牌的优势。深信服IPSec VPN产品拥有业界最多的专利技术,是国内应用最广泛、最成熟的VPN组网解决方案,可为客户提供异地机构快速组网、大专网中数据安全加密、行业专网的VPN延伸、专网稳定备份等多重价值。深信服IPSec VPN在各个领域屡获殊荣。2005年,深信服IPSec VPN产品赢得中国IPSec VPN领域第一把交椅,并持续多年保持高速发展。2007年,受国家密码管理委员会的邀请,深信服科技作为国内IPSec VPN行业的重要厂商,参与并制定了国家IPSec VPN标准。2009年,深信服IPSec VPN率先通过了公安部信息安全产品检测中心虚拟专用网安全技术标准第三级的检测,
28、并成为中国首家通过此项标准的IPSec VPN生产厂家。产品功能介绍全面的加速技术针对跨运营商访问、数据冗余、网络环境高丢包高延时等问题,深信服SSL VPN从线路、传输、数据、应用四个层次进行速度优化。线路优化:采用多线路智能选路专利,通过基于速度实时探测的线路优选进行接入,从而避免跨运营商访问所导致的速度瓶颈问题。传输优化:采用了独有的HTP快速传输协议改善网络传输,通过拥塞控制算法、传输窗口优化、选择性重传及快速重传机制等技术,大幅优化高丢包、高延时等恶劣网络状况下数据传输速度。数据优化:采用LZO、GIZP等高强度流压缩算法对传输数据进行处理,提高数据传输效率。创新的融入了流缓存专利技
29、术,基于数据码流特征进行数据优化,保证数据实时性的前提下大幅削减冗余传输数据量,跨步加速各种B/S及C/S应用应用优化:融合资源负载均衡技术实现应用可配权值的均衡接入,提高服务器利用率的同时保证用户快速接入。针对PDA、智能手机等手持终端用户提供Web优化服务,通过多种策略实现页面根据显示界面进行最优化调整,提高用户体验。完善的安全保障深信服SSL VPN支持多因素组合认证,可提供用户名密码、USB Key、动态令牌、短信认证、Radius、LDAP、CA、硬件特征码等多种方式的“与”、“或”组合认证。采用专利技术主从帐号绑定实现SSL VPN帐号与应用系统访问帐号的对应绑定,防止用户在登录S
30、SL VPN后非法使用他人应用帐号登录系统的越权访问行为。深信服SSL VPN支持客户端安全检查功能实现终端安全控制,可并基于角色结合安全检查结果进行用户访问的准入和授权控制,细化控制终端访问,保障整体边界安全性。 支持重传机制及日志记录功能,可以记录用户及管理员的访问操作,可以同步系统时间;同时提供异常检测功能,深信服VPN网关具备防火墙功能,一旦发现异常行为将对其进行阻断并提供告警。采用沙盒技术,强制重要资源置于安全桌面中访问,安全桌面下禁止通过与默认桌面通信、外设拷贝、局域网通信、互联网通信等方式将受保护资源的数据的在本机保存或泄漏。用户退出SSL VPN后,安全桌面内所有资源交互数据将
31、被销毁,防止数据在终端上的泄漏,保证重要应用在终端访问的安全性。全面支持多种国际主流的加密算法,实现网对网、网对终端的数据高强度加密;独创的基于硬件设备CPU、硬盘、网卡等特征属性实现网关及移动终端的硬件证书认证,确保接入用户身份的确定;支持移动客户端及硬件网关的VPN专线功能,远程终端接入VPN网络后自动断开其他互联网连接,从源头上断绝不安全因素以终端作为跳板进攻内网的威胁。终端高易用性深信服SSL VPN支持开机自动移动SSL VPN、桌面快捷方式、系统托盘、B/S及C/S应用单点登录技术、默认资源页面等功能,从SSL VPN登录、SSL VPN使用、应用登录三大方面提高终端易用性,简化终
32、端工作流程。业内首家支持单臂下的多线路技术,在不改变客户原有网络环境的情况下实现速度的最优化;支持VPN隧道内NAT,实现同网段分支无需改变IP地址仍可接入VPN网络,最大保护客户网络结构的完整性;支持隧道内流控技术,合理划分各分支接入带宽,提升用户的访问体验;支持硬件一体化集中管理平台,实现集中管理、实时监控、远程维护、智能升级和日志统一管理功能,大大提高了管理人员的工作效率。高可靠稳定性深信服SSL VPN支持高达253台的单点非对称集群、全网分布式集群功能,支持路由部署模式和单臂模式下的集群功能,实现性能平滑扩充、主主高稳定备份单点集群,全网异地资源统一接入、就近快速接入、异地热备接入、
33、全网集中配置管理的全网分布式集群,支持集群session同步,无论何时何地都可保证用户最快、最稳定、最方便的远程访问接入。网络部署方式深信服SSL VPN支持网关、单臂模式部署,内置有专业的IPSec VPN模块,SSL/IPSec 二合一的VPN提供移动、组网双价值。产品专利及资质深信服SSL VPN从客户需求出发一直追求产品技术上的创新,在VPN领域拥有多项专利技术,在业内遥遥领先。ZL200310112006.X 多路复用VPN隧道的连接方法ZL03113974.4 利用网页进行动态寻址的方法和系统ZL200710074182.7 通过自组域简化部署VPN网络的方法ZL200510121
34、083.0 一种基于WEB的线路自动选择方法200910108908.3 一种VPN认证方法200810241736.2 一种VPN网络构建方法200810241413.3 一种应用系统用户认证方法200810065397.7 动态数据压缩技术 深信服SSL VPN已通过公安部、国家密码管理局等部门的安全检测,拥有多项产品资质。2008年,深信服科技作为核心制定者之一参与制定国家SSL VPN技术规范标准的制定。以下为深信服SSL VPN部分产品资质:国内首家通过公安部GA/T 686-2007信息安全技术 虚拟专用网安全技术要求(第三级)检测公安部颁发的 计算机信息系统安全专用产品销售许可证
35、 国家密码管理局颁发的 商用密码产品销售许可证国家密码管理局颁发的 商用密码产品生产定点单位证书 国家密码管理局SSL VPN技术规范标准核心制定者之一深信服科技在2008年中国SSL VPN市场占有率第一,为31.1%深信服科技在2009年中国SSLVPN市场占有率第一,为34.0%引自Frost & Sullivan针对中国2008年和2009年全年SSL VPN市场的调查报告。性能参数:产品型号:VPN-2050规格项目项目描述SANGFOR VPN-2050SSL VPN性能参数SSL VPN 加密速度RC4 128bits100 MbpsSSL VPN 转发时延0.1-0.3 ms并
36、发SSL用户数300每秒新建用户数60IPSec VPN性能参数IPSec VPN 加密速度AES 128bits175MbpsIPSec VPN隧道数3000 条IPSec VPN 转发时延0.1ms并发IPSec客户端数3000条防火墙性能参数防火墙吞吐量150 Mbps最大并发会话数目350,000最大防火墙规则数目65535最大URL匹配数目1024最大时间规则数目1024最大QOS规则数目1024物理接口局域网接口1000BASE-T (RJ-45)2广域网接口1000BASE-T (RJ-45)2串口RS23211.4.4 UTM 上网优化网关深信服SG网关是目前国 内第一款上网优
37、化产品。海量的互联网资源与组织有限的网络带宽之间的矛盾由来已久,尤其近年互联网的高速发展使得内网用户渴望快速上网的诉求与日俱增,上网优化网关应运而生, SG作为专业上网优化网关,具备上网加速、带宽管理、上网安全三位一体的整体功能。融合缓存和代理的上网加速是核心,实现带宽资源合理分配的带宽管理是支撑,保障组织网络稳定可靠的上网安全是基础。功能介绍上网缓存加速和Proxy代理深信服SG以网桥模式透明部署于组织网络中,客户网络无需调整配置;内网用户,包括已使用Proxy代理的客户,均无需修改本机任何配置即可上网加速,实现真正意义上的智能部署、透明加速。利用“内存缓存、硬盘缓存和多值加权淘汰算法”等技
38、术,针对用户访问的网页、观看的视频、下载的文件等实现业界效果最好的上网加速效果。实验显示:通过SG的高缓存命中率(如下图),上网提速可达3倍,互联网带宽削减可达30%。一台深信服SG网关可支持数万并发用户的上网加速;多台深信服SG上网优化网关多机模式部署,可为超大规模组织提供性能更加强劲的上网优化解决方案。SG上网优化网关提供Proxy代理功能,基于专用硬件平台和优化的操作系统,提供远比ISA、Squid等传统软件代理方案性能更强、更稳定可靠、更安全的代理方案。上网安全保障网络稳定、安全、可靠是上网加速的基础。 SG网关可主动清理网络流量中的恶意插件/危险脚本/病毒/木马等威胁,能封堵成人/色
39、情等不当网站,能防御DOS攻击/ARP欺骗等危险流量。当终端不幸感染间谍软件/被黑客控制/成为僵尸网络时,SG可识别、封堵、并向管理员报警。此外SG将用户终端安全状况与其上网权限关联,终端不安全则不能上网。传统的杀毒软件只有当某病毒出现并泛滥后,才能根据病毒特征码实现识别和封堵,具有事后性。而SG可在事前,通过识别网页中的脚本代码的危险动作和行为,过滤含有病毒、木马等挂马网站。针对网页中以窃取用户信息或者控制用户终端电脑为目的的恶意插件,SG可识别并且过滤,只允许正常的插件或者管理员要求的插件穿过SG设备,到达用户终端。当内网已经存在中毒终端时,SG能够对已中毒终端的异常外发流量进行封堵和报警
40、,从多方面捍卫内网的安全防线。SG网络准入规则能够检测终端电脑的防病毒软件、终端进程、操作系统等,对不符合安全策略的电脑禁止其上网,最大程度地规避安全风险。 带宽管理第三方统计显示,全球P2P流量占互联网总流量49%到83%。办公室里迅雷、在线影音等带宽杀手极度消耗组织有限的带宽资源。不仅上网慢,且ERP等业务系统访问效果差。 深信服SG上网优化网关针对应用类型、网站类别、文件类型、用户/用户组、时间段等细致划分和分配带宽资源,既可有效限制P2P、在线影音、大文件下载等不良应用对带宽的大量占用,同时保障领导等关键用户、ERP等关键应用的带宽需求,进而提升上网速度。SG能实现互联网网页、网络应用
41、等各种互联网资源的合理分配,从而促使网络资源更好的为组织效益服务。深信服上网优化网关能够高效、智能的防范带宽滥用,提升带宽效率,保障关键业务/用户带宽需求,再结合带宽分配公平性保障策略,以及QoS、流量整形、带宽借用等高级功能,帮助组织有效管理带宽和流量。网络部署方式SANGFOR SG支持网关、网桥、旁路三种部署模式备注:在网关模式下起防火墙、路由器功能。产品型号及性能参数产品型号:M3600-SG性能参数:硬件参数支持用户数500-600储存容量160G支持带宽30M防火墙参数防火墙吞吐量300Mbps最大并发会话数目800,000最大防火墙规则数目65535最大URL匹配数目1024最大
42、时间规则数目1024最大QOS规则数目1024网络接口局域网接口100BASE-T(RJ-45)*2广域网接口100BASE-T(RJ-45)*2串口RS2321硬件参数冗余电源无工作环境工作湿度595%,非冷凝工作温度10 50 平均无故障时间40000h2. 服务器机房2.1建设原则1. 标准性原则:服务器总体建设遵循国际统一标准、采用业界流行的通用通讯协议和接口。2. 可靠性原则:服务器是集团信息化的载体,要求系统中的任何设备的故障都不会影响整个系统连续、可靠的运行。首先要考虑设备的稳定性、可靠性、使其具有必要的冗余容错能力,特别是运行核心业务数据的服务器,可采用双机冗余热备份系统,提高
43、可靠性。3. 安全性原则:实现服务器的合理配置,利用授权及软件防火墙技术,能阻止非法用户访问网络资源,保证数据传输、存储的安全。4. 可管理性原则:对整个服务器系统提供管理软件,实现服务器的动态管理,及故障诊断。5. 经济实用性原则:服务器要满足集团现有业务的需求。6. 可扩展性原则:随着集团业务量的高速增长,服务器要具备可扩展性,避免重复投资造成的铺张浪费。2.2需求分析1. 服务器机房要确保集团核心业务的数据安全性、应用高效性、设备可扩容性。2. 服务器采用中高端配置,以满足集团业务的可持续发展。3. 其中两台作为双机热备份,存储核心数据。保证服务器系统的提供高可用性、故障恢复、可伸缩性和
44、可管理性。一台作为web服务器。4. 磁盘阵列与服务器之间通过光纤通讯交换数据,确保数据间交换的可靠性、高效性。5. 采用标准机柜,合理规划机柜内使用空间。2.3集成方案图一说明:依图所示,所有服务器均采用IBM机架式优化服务器X3850 X5,其中两台配置双机热备系统作集团数据服务器,如主服务器发生宕机、服务中断、网络故障等现象,备用服务器会主动接替主服务器角色,自动将数据服务进行切换。WEB服务器与数据服务器通过光纤交换机与存储盘柜连接,并通过授权(Windows系统授权及双分区应用授权)及配置可以将盘柜划分成不同区域,以供不同的业务、应用、服务器进行连接。图二说明:依图所示,图二增加了一
45、台光纤交换机作冗余,在完全实现图一所示功能的基础上,进一步增加了系统的安全性。本次方案依据招标文件中设备数量配置采用图一所示方案,图二作为可作为下期扩容方案参考。2.4关键设备介绍及功能参数2.4.1服务器-IBM X3850 X5 要点: 无与伦比的灵活性、可满足不断变化的工作负载需求 优化的系统、具有可针对目标工作负载进行自定义的配置 以更低的总成本实现更高的性能和利用率 借助来源于大型机的可靠性使工作负载保持正常运行 借助节能智能型设计和远程访问、实现可轻松拥有的、简化的电源和系统管理 根据您的工作负载需求量身定制随着成本、工作负载以及对全天候可用性的需求不断增长、您的组织已经不能再容忍利用率不高或不可靠的服务器。IBM System x3850 X5 构建在下一代 IBM 企业 X 架构 技术和英特尔至强 处理器之上、可在节能、省钱的设计中提供卓越的性能和
