《珠海格力电器中山小家电制造分公司弱电系统工程设计方案.doc》由会员分享,可在线阅读,更多相关《珠海格力电器中山小家电制造分公司弱电系统工程设计方案.doc(69页珍藏版)》请在三一办公上搜索。
1、珠海格力电器中山小家电制造分公司弱电系统工程设计方案深圳市数通网络系统有限公司二零零六年十二月目 录第1章 前言61.1 需求描述61.2 数通网络公司简介61.3 设计方案总述7第2章 综合布线系统92.1 设计目标92.2 建设目标102.3 系统需求分析102.4 系统结构与产品选型112.5 系统功能及特点122.6 系统主要设备介绍122.6.1 Belden IBDN 超五类模块122.6.2 Belden IBDN 4P Cat.5e UTP132.6.3 Belden IBDN 24口超五类配线架132.6.4 6芯多模室内光纤142.7 系统图与施工图14第3章 网络系统16
2、3.1 系统需求分析163.2 总体设计原则163.3 网络系统结构173.3.1 网络拓朴结构图如下:183.4 系统功能及特点183.5 系统主要设备介绍193.5.1 LS-6506高端多业务交换机193.5.2 LS-3952P-SI接入层交换机:203.5.3 天融信网络卫士防火墙4000213.5.4 天融信网络卫士入侵检测系统273.5.5 AR-28-11路由器39第4章 机房系统建设方案404.1 系统需求分析404.2 机房建设系统设计414.2.1 机房构造及功能区划分414.2.2 机房装修原则424.2.3 机房工程实施内容424.3 抗静电设计434.4 屏蔽及等电
3、位处理系统设计444.5 恒温、恒湿、洁净环境设计(建议)454.6 防火、防潮及洁净处理454.7 门禁系统454.8 接地及防雷系统464.9 计算机房的供配电系统474.10 气体消防系统484.11 系统功能及特点48第5章 机房UPS供电495.1 系统需求分析495.2 系统结构与产品选型495.3 系统的建设难点分析495.4 系统主要设备介绍49第6章 周界防范与视频监控系统526.1 系统需求分析526.2 系统结构与产品选型526.3 系统功能及特点536.4 系统主要设备介绍536.4.1 DH DVR1604RW 16路嵌入式硬盘录像机536.4.2 YT-3255IR
4、彩色摄像机566.4.3 YT-311C彩色半球摄像机576.4.4 TC-D2600系列智能高速球型摄像机586.4.5 艾礼富ABE系列红外控测器606.4.6 CK2316报警主机61第7章 考勤、门禁及一卡通消费系统637.1 系统需求分析637.2 系统结构与产品选型647.3 系统功能及特点657.4 系统主要设备介绍667.4.1 ACM6810LAN TCP/IP网络单门门禁控制器667.4.2 MRX510 读感器677.4.3 售餐POS机(含MIFARE读卡器)68第8章 公共广播&背景音乐系统698.1 系统需求分析698.2 系统功能、特点708.3 主要设备介绍70
5、第9章 工程管理及实施方案719.1.1 (见施工组织设计)71第10章 技术培训/保修/售后服务7210.1 培训计划7210.1.1 现场培训7210.1.2 厂商培训7210.2 保修7210.3 售后服务73第1章 前言1.1 需求描述随着计算机网络技术的迅猛发展和智能化工程的全面开展,作为现代化管理的工具与手段,计算机及其网络系统正越来越广泛地深入到各行各业的业务工作、管理、交易、服务的各个方面中,并发挥着极其重大的作用。珠海格力电器中心小家电制造分公司由于公司业务发展和市场的需要,为扩大公司的生产能力和办公能力,提高整个公司的业务能力和服务质量,提高整个公司的形象,决定建设信息管理
6、系统,包括综合布线系统、网络工程系统、机房工程系统、机房门禁与监控系统、厂区周界防范系统、视频监控系统、考勤、一卡通消费系统、宿舍楼有线电视系统、厂区背景音乐系统,通过光纤连接办公楼、宿舍楼、食堂、厂区,使珠海格力电器中心小家电制造分公司的网络联成一体,形成一个开放式高效、快速的网络系统。1.2 数通网络公司简介深圳市数通网络系统有限公司是由原深圳新地网络公司和澳大利亚数通公司合资于1995年8月成立的中外合资企业,现经过资产重组,成为了一个全新的以系统集成业务为主的高科技服务公司,公司即继承和保留了原公司的经验和技术,又融入了以“以服务为生命”的经营理念;公司下设网络工程部、自动化工程部、系
7、统工程部、网络设备贸易部,并在广州、上海设有分公司,在香港设有办事处,公司现有员工100余人。公司专业从事楼宇办公自动化、通讯信息自动化、计算机网络系统集成等。公司自成立以来,本着质量第一、信誉至上的企业精神,向社会提供高质量、高技术含量的网络产品及网络工程。公司依借自身的技术优势,在系统集成和自动化工程方面取得骄人的成绩。公司早期完成了数百家中外著名企业网络系统工程。1996年,凭借公司在系统集成方面的实力和工程方面的经验,成为NORDX/CDT公司认可的“IBDN综合大楼布线系统”;1998年NORDX/CDT 公司认证“IBDN/CDT金牌系统集成商”;CISCO授权的“高级认证代理商”
8、、2000年被深圳市授誉“系统集成二级企业”等。此后,公司已为几百个公司及大厦成功地完成了楼宇智能化布线、网络系统工程;成功完成了深圳发展银行大厦万点综合布线工程、联想南方研发大厦、农村信用合作联社、中国平安保险总公司、华安保险、中山农村信用合作社、广东发展银行、东莞三星、深圳三星电管有限公司、深圳证券交易所、深圳新华书店、珠海格力电器等单位综合布线工程、机房装修工程和网络工程。公司在所有的经营活动中始终从技术、质量、价格、售后服务入手,坚持从用户的角度出发,全心全意为用户服务的经营方针,赢得了良好的信誉。深圳市数通网络系统有限公司为用户提供目前国内最完备的产品服务,有国内同行不可比拟的大楼结
9、构化综合布线和网络系统集成工程的管理、设计、施工、服务和计算机网络的设计、安装、调试、服务的经验与技术实力,拥用专门提供教育的部门,为用户提供良好的培训。本公司在这几年承接了大量的综合布线及系统集成项目,培养了一批有丰富施工经验的项目管理、施工、质检等人才。在珠海格力电器中山小家电制造分公司弱电系统工程方案设计过程中,我公司本着认真、严谨、求实的精神,并根据以往几年里在大型项目中不断积累的在项目管理、方案设计、现场施工管理、工程施工各方面经验,力争以最优的方案、最好的服务来达到全方位在项目实施中对客户承诺,实现珠海格力电器中山小家电制造分公司作为国内首屈一指、服务功能齐全、系统信息管理高度自动
10、化的大型公司的目标。在售后服务方面,我公司以雄厚的技术实力及丰富的工程经验以及大型网络设计及集成经验为基础,尽力为贵方的利益方面着想,推出一整套完整的售后服务计划,使贵方在今后的系统管理过程中能不断的得到我公司在各方面的支持。1.3 设计方案总述要规划好整个珠海格力电器中心小家电制造分公司的计算机网络系统,首先应该根据公司内部制定的总体规划确定技术走向和框架,选择符合未来网络主流发展方向和应用要求的技术和产品。在此基础上,选择先进的网络技术和合理的网络架构,使网络达到高性能与高效率。随着Internet与企业内部网史无前例的迅猛发展,各类机构纷纷全力策划并实施以TCP/IP基础设施为中心的新型
11、业务解决方案,IP技术也必将成为未来企业网络和商业通讯应用的主导技术。基于IP的解决方案已经可以实现对语音、视频等多媒体业务以及关键性业务的支持,所以建立一个IP的骨干网无疑是企业未来实现多种业务应用的基础。现今,以太网技术在飞速发展,从10M到100M再到1000M,目前的万兆网。交换、多路带宽共享、带宽预留等在ATM上提出的性能指标已在以太网中实现。由于使用广泛用以太网技术组成的网络主干,不仅技术成熟稳定、开放性好,而且性能高,价格只有采用其它技术的十分之一或更少。因此本方案将采用光纤1000M技术作为网络的主干,10M/100M交换式以太网作为桌面的连接。机房系统是公司的信息核心系统,是
12、公司各种数据的中心,对于公司的业务运营重要组成部分。从而尽最大可能减少计算机与各种机房设备及网络系统间的相互干扰,极大减弱外部电磁波、磁场、雷电波等对计算机系统的影响。同时做好机房的防水、防火、防潮、防鼠虫等诸多的工作,确保计算机系统的正常运行。完成后的机房将达到:1 合理的分布工作空间,缩短工艺流程,确保网络系统可靠运行。2 保障机房工作人员良好的工作环境。3 机房各项功能完备,达专业规范,技术先进,经济合理,安全适用,选材优良,管理方便。4 在经济实用的前提下,选择专业优质装修材料,达到最佳装饰效果。5 满足防火、环保、抗震的要求。第2章 综合布线系统2.1 设计目标先进性在综合布线系统方
13、案规划和设计时,应能适应珠海格力电器中心小家电制造分公司在相当长的一段时间里的使用要求,并在系统的总体上达到当前国内外的先进水平。保障系统在今后25年内不落后。实用性实施后的综合布线系统将能够在现在和将来适应珠海格力电器中心小家电制造分公司应用技术的发展,实现数据、图形图像、话音、视频信号等一体化的多媒体传输要求,同时满足国际、国内的技术标准和具有良好的用户界面,完善的管理功能,方便地使用环境。也能使用户自己容易地、标准地排除故障。灵活性综合布线系统应能够满足灵活应用的要求,使用多种高性能的线缆来满足珠海格力电器中心小家电制造分公司的联网需求。即任一信息点可连接不同类型的设备,包括计算机、打印
14、机、终端、数控设备、电话/传真机以及多媒体设备等。并能与众多厂家产品兼容,使各个厂家的设备都能插入到这组通用的综合布线系统中去。模块化在综合布线系统中,除固定于建筑内的线缆外,其余所有的接插件都应是模块化的标准件,尽量减少现场施工量,提高可靠性,方便管理和使用。因此基于物理星型拓朴结构的综合布线系统能提供一种结构化模块化系统管理方法,使用户的需求体现在每组结构化的信息管理点上。可扩充性综合布线系统采用开放式结构支持系统的可扩充功能适应各种拓扑结构的网络,以便系统今后有更大的增长要求和发展时(特别是出租出售的商务办公用房要求确定后,对信息点的扩展能力得以满足),能很容易将当前的和未来的语音及数据
15、设备,互联设备,网络管理设备等方便地扩展进去。可靠性和高性能综合布线系统的各个部分都采用高可靠的材料、部件和设备并采用标准接插式模块,确保高带宽(1000Mbps Ethernet和六类22Mbps ATM)传输质量,满足目前千兆网络系统的运用。经济性综合布线系统支持各种系统和设备的集成,如可将语音、数据、图象、监控等设备设计在一起工作,从而在硬件,软件、培训方面具有投资保护性。同时在满足应用要求的基础上,尽可能降低造价,提供系统的性价比。2.2 建设目标珠海格力电器中心小家电制造分公司网络建设的目标是实现公司内部的信息化、管理现代化和为提供高水平服务的物流信息基础设施及电子商务交易平台。建成
16、的内部局域网是一个大型的网络工程,能为用户提供稳定的、不间断的、多业务的服务;在保证技术领先的同时,实现布局合理、便于管理、易于升级,并具有多样的、灵活的用户连接能力。2.3 系统需求分析珠海格力电器中山小家电制造分公司弱电系统工程系统覆盖整个厂区,包括办公楼、7栋厂房(已经完成布线和光纤目前汇聚在7号厂房)与宿舍、饭堂。在办公楼二层设立中心机房作为主配线间,办公楼其它楼层中间各设置1个弱电配线间。办公楼4个配线间,主配线间与各子配线间的连接采用2*6芯室内多模光纤及相应的大对数电缆;主配线间通过6条6芯多模室外光纤与1条8芯多模光纤与7号厂房相连;主配线间通过2*6芯单模光纤与宿舍楼相连;饭
17、堂通过2*6芯多模光纤与宿舍相连接。综合布线信息点共设计848个,其中:数据点348个,语音点500个。 考虑到实际情况,公司主要领导办公室里建议设置2到3组“DVB”模块,其中D表示数据点,V表示语音点,而B表示备份信息点,可以通过在配线间内的跳线灵活改变其用途和功能。其他领导或负责人的办公位置上安装至少一组“DVB”模块。信息点分布情况如下表所示。本系统楼层具体点位分布如下表楼 层信息语音设备间办公楼一楼6868一配线间办公楼二楼250250中心机房办公楼三楼88一配线间办公楼四楼88一配线间饭堂66一配线间宿舍8160二配线间合计34850072.4 系统结构与产品选型系统按照Belde
18、n IBDN增强型五类(Cat.5e)设计,分为六个子系统。l 工作区子系统:超五类信息插座。l 水平子系统:数据和语音都采用4对Cat.5e UTP。l 管理子系统:数据和语音都采用24口超五类配线架端接。l 垂直主干子系统:主机房至各配线间敷设6芯多模光纤作为千兆主干、三类大对数语音主干电缆。l 设备间子系统:为整个布线系统的数据和语音配线中心,由设在每层中间弱电间和第2层的主机房组成。l 建筑群子系统:另外7栋厂房的光纤目前已汇聚在7号厂房的配线管理间中,在办公楼主机房敷设7条室外多模光纤至7号厂房配线间,作为7栋厂房与主机房系统连接的主干。办公楼与宿舍通过6芯单模光纤相连。饭堂与宿舍楼
19、通过6芯多模光纤相连。主要设备选型:n Belden IBDN超五类信息模块n Belden IBDN 4-Pair Cat.5e UTPn Belden IBDN 24口超五类配线架n Belden IBDN 250对BIX安装n 国产6芯单模室内/外光纤n 国产50对三类语音主干电缆2.5 系统功能及特点l 系统采用星型结构、模块化设计,维护和扩展方便。l 系统选用主流的布线产品,质量可靠、性能优越。l 实现千兆主干传输,确保百兆或千兆到桌面2.6 系统主要设备介绍2.6.1 Belden IBDN 超五类模块超过5e类性能,可支持千兆位应用。彩色编码的端接盖减少了接线错误。线缆排列的独特
20、折迭方式确保线对保持在0.5英寸接触范围内,具有超强性能。扣锁式端接帽确保导线完全端接并且防止导线滑动及舒缓拉力。密封绝缘穿破触点能保护导线的连接,避免伤手。彩色模块便于识别和易于网络管理。2.6.2 Belden IBDN 4P Cat.5e UTPBelden IBDN 4P Cat.5e UTP超出ANSI/TIA/EIA-568-A-5和ANSI/TIA/EIA-568-B标准中对5e类的要求。导体24AWG实芯铜线按ANSI/TIA/EIA-568-A彩色编码2.6.3 Belden IBDN 24口超五类配线架l 增强型5类性能,可支持千兆位应用。l 24端口配置。l 具有T568
21、A-ISDN和T568B-ALT接线方式,采用标准彩色编码序列(蓝,橙,绿,棕)简化线路端接。l 较大的正面标识空间,方便端口识别。l 兼容标准19英寸设备机架,机柜或墙装托架。2.6.4 6芯多模室内光纤产品主要特点:松套管(园区)光缆是松套管缓冲的光缆,适用于室外应用如带支撑绳的架空或地下导管。这些光缆为全绝缘构适和室内/室外竖井级防火。此项目提供的松套管光缆有50/125微米多模光纤。 2.7 系统图与施工图综合布线系统图见附件。综合布线施工图见施工图纸。第3章 网络系统3.1 系统需求分析珠海格力电器中山小家电制造分公司(以下简称生产基地)需要设计新的综合布线系统和办公网络系统,实现整
22、个公司以及与总部交流的数字化、信息化、自动化以及企业应用软件稳定高速等应用。整个办公大楼与7个生产车间规划有1000多台PC用户,而今后也把员工宿舍包含在内的园区网络,计算机中心机房设在办公楼的2层。3.2 总体设计原则根据生产基地办公楼网络规划的总体思路和建设目标,以及现有的应用和网络结构部署,应采用以下原则进行网络结构设计和实施:1.系统开放原则系统应具有良好的开放性,即兼容性和扩展性,以适应技术的不断发展和不断增强、增加的应用需求。整个方案的设计以及选用的产品必须坚持标准化的原则,遵从国际化组织所制定的多种国际标准及工业标准。布线、网络设备、软件不应相互依赖,要保持相对独立。为了统一管理
23、和设备互连的可靠性,本方案全部采用华为3COM公司网络设备。2.整体最优性原则在进行系统设计和配置时,要进行综合的考虑和评价,兼顾以下几个方面:实用性、先进性、可靠性、安全性、经济性.稳定性。3.发展性原则本项目的设计,要适应长远发展规划,采取统一规划,分阶段实施,逐步到位的原则,使网络具有强大的可增长性和强壮性。既要满足在配置上的适量预留,又能满足因技术发展需要而实现低成本扩展和升级的需求。4.应用软件配套原则系统必须配有与网络和应用相配套的各种应用软件,如网管软件、系统软件、应用软件、培训教师等,应该完全具备。3.3 网络系统结构核心层采用一台华为3COM公司的Quidway S6506高
24、性能交换机,提高整个网络系统的安全性,增加交换处理性能。服务器通过千兆双绞线连接到核心交换机;核心交换机与接入层交换机通过千兆多模光缆连接;核心交换机连接到天融信网络卫士防火墙NGFW4000上;防火墙连接到天融信网络卫士入侵检测系统TopSentry2000上,再连接到华为3COM公司的Quidway AR 28-11路由器上。路由器配置ADSL端口模块,通过ADSL连接到Internet,另外通过2M E1线路连接到总部。接入层交换机通过多模光纤上连核心交换机,接入层交换机采用华为3COM公司的Quidway S3952P。接入层交换机之间可以通过堆叠电缆进行堆叠,以增加网络性能和信息点的
25、密度。根据信息点的数量分布,每个楼层交换机的配置如下:楼号楼层数据点S3952P-SIS3928P-SI办公楼1F68112F250513F8014F801宿舍802饭堂601合计348673.3.1 网络拓朴结构图如下:3.4 系统功能及特点l 高可靠性/安全性,高可用性/高效性:主干采用千兆以太网技术,在普通桌面实现百兆交换;网络在设计中,考虑采用了多种安全性技术,包括防火墙等等l 易于扩展,具有良好的伸缩性,易于管理:本方案从结构设计,网络广播控制以及网络设备选择方面考虑了网络的可扩展性;所有网络设备均可网管。可以通过网络管理工具实现对网络设备、网络配置、VLAN等进行管理。提供网络服务
26、质量保证。网络能够实现多媒体应用l 遵循“Right Size”原则;符合技术发展趋势,保护投资3.5 系统主要设备介绍3.5.1 LS-6506高端多业务交换机Quidway S6506高端多业务路由交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,电信级品质。可以满足大型企业园区网络核心层,汇聚层的构建,其强大的性能和高密度的业务接口可以满足企业网络不断扩展的需要。同时其强大的NAT能力、策略路由功能以及Netstream网络流量分析功能更让大型企业的网络管理者可以轻松的驾驭庞大的企业网络。该产品有7个插槽,实现全
27、分布式线速交换,提供高密度万兆接口,支持高速业务处理本。系统中配置Salience III 384G(交换容量384Gbps)引擎和多种接口业务板。性能指标 7个插槽,6个业务插槽;不小于1.6Tbps背板容量,配置Salience III 384G 4K VLAN数量,64KMAC地址表,64K(可扩展)路由表项 二层协议:支持IEEE 802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)、RRPP(快速环网保护协议)/支持BPDU TUNNEL/支持802.1q,提供4K VLAN和VLAN Trunk,支持基于端口、协议、子网的VLAN,支持Voice VLAN/P
28、VLAN、SuperVLAN,支持GVRP/GMRP,支持QinQ,灵活QinQ/支持802.3x流控机制及半双工反压流控/支持802.3ad 端口聚合 /支持跨板端口汇聚和动态聚合(在一定的硬件配置条件下)/支持端口锁定 /支持端口镜像 /支持跨板端口镜像 /支持RSPAN /支持端口自动协商 /支持广播风暴抑制 /支持9K JUMBO 帧 网络特性:支持ARP,支持Local ARP Proxy /支持DHCP Relay /支持DHCP Server 路由协议:支持IP、TCP、UDP、ICMP协议/支持IPX协议/支持OSPF/支持RIP1/2 /支持静态路由 /支持IS-IS/支持B
29、GP4/支持策略路由/支持等价路由 /支持VRRP 组播协议:支持IGMP、IGMP Proxy/支持PIM-SM、PM-DM等组播路由协议/支持IGMP SNOOPING/支持组播VLAN/支持组播权限控制/支持组播组快速离开 QOS:支持每端口8个硬件队列/支持IEEE 802.1p(COS优先级)/支持L2/3/4流规则分类过滤 /支持Diff-serv/QoS /支持流量监管(CAR),粒度为64Kbps /支持流量整形Traffic Shapping/支持优先级Mark/Remark /支持PQ、SP、WRR、SPWRR队列调度机制 NAT功能:支持NAT、动态NAT功能、动态NAP
30、T、ALG、多ISP、EasyIP、NAT策略、NAT日志、NAT黑名单、内部服务器等功能特性 网流分析:支持NetStream网流分析功能,可以对网络中的通信量和资源使用情况进行分类和统计,并生成报表,进行网络透视,并提供标准V5、V9格式统计输出 支持端口聚合:最大支持8个GE口或8个FE口捆绑 POE:支持IEEE标准802.3af POE功能 安全特性:提供L2/3/4 ACL流规则过滤;/用户分级管理和口令保护;/提供多种用户认证方式:本地/Radius/802.1x/TACAS+认证;/支持OSPF、RIP v2、BGP v4及IS-IS的报文明文及MD5密文认证;/支持SNMP
31、v3的加密和认证;/支持SSH V1.5/V2;/支持MAC-PORT、IP-MAC绑定。 系统配置/系统管理:提供中/英文双语界面 /支持CLI、Console、Telnet、Modem方式配置 /支持SNMP V1/2/3;支持RMON 环境:工作温度:045/保存温度:3060 /相对湿度:1090无凝结 输入电压:AC:100V240V,4763Hz 外形尺寸(mm)宽深高:436480486.2 重量(满配时最大重量):70kg系统最大功耗(满插板):650W3.5.2 LS-3952P-SI接入层交换机:S3952P-SI智能弹性以太网交换机是华为-3COM公司为设计和构建高弹性、
32、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF(Intelligent Resilient Framework,智能弹性架构)技术,将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。有48个10/100Base-T,4个千兆SFP上行口。可以通过SFP GE光或电模块增加千兆端口。 性能指标IRF智能弹性架构技术大容量全线速的多层交换:交换机支持所有端口线速转发,系统能够提供4个GE端口,支持二/三层线速交换,能够识别、处理四到七层的应用业务流,所有端口都具有单独的数据包过滤、
33、区分不同应用流,并根据不同的流进行不同的管理和控制完备的安全控制策略高可靠性:交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大的增强了设备和网络的可靠性,消除了单点故障,避免了业务中断,支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份丰富的QoS策略多样的管理方式:支持SNMP V1/V2/V3,可支持Open View等通用网管平台
34、,以及Quidview、iManager 网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便。通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。3.5.3 天融信网络卫士防火墙4000 天融信公司历经十年发展的、荣获了多个奖项的网络卫士(NetGuard)防火墙系列产品,是实时网络防护系统的最佳选择。网络卫士防火墙采用先进的核检测技术,突破了芯片设计、网络通信、安全防御及内容分析等诸多难点,实时进行网络行为、内容和状态分析,在网络边界布署应用防护措施,确保企业网络安全,而不会影响网络性能。网络卫士防火墙系统采用专有的易于
35、管理的平台,包括了全套的安全服务防火墙、VPN、入侵检测/阻断和流量控制,同时还具有高效的应用层服务,如反病毒、内容过滤等功能。NGFW4000 系列是网络卫士系列防火墙的中端产品,是一款成熟的广受市场认同的主流产品,具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能,广泛支持路由、多播、生成树、VLAN、DHCP等协议,适用于网络结构复杂、应用丰富的政府、军工、学校、中型企业等网络环境。稳定可靠NGFW4000系列产品吸收了天融信多年来在防火墙领域的设计和制作经验,硬件性能稳定可靠,软件功能丰富,网络适应能力强,是一款成熟的广受
36、市场认同的主流产品。该系列产品上市以来广泛应用于政府机构、大中型企业、金融、学校等网络环境,并受到众多用户欢迎,市场占有量巨大,是名副其实的经过市场检验的高稳定高可靠防火墙产品。卓越的网络及应用环境适应能力支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPOE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。多级过滤的立体访问控制采用了多级过滤措施,以基于OS 内
37、核的核检测技术为核心,提供从链路层到应用层的全面安全控制。在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。安全高效的TOS操作系统具有完全自主知识产权的TOS安全操作系统
38、,采用全模块化设计,使用中间层理念,减少了系统对硬件的依赖性。TOP功能类别 功能项 功能细项 网络安全性 工作模式 路由、透明、混合 内容过滤 支持基于流、数据包、透明代理的过滤方式 支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤 支持URL过滤 支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java script的过滤 支持对邮件的收发邮件地址、文件名、文件类型过滤 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤 可限制BT,eMule,eDonkey等P2P应用 动态端口支持协议:FTP、RTSP、SQL*N
39、ET、MMS、RPC(msrpc,dcerpc)、H.323、TFTP、DHCP、BOOTP等动态IP分配协议;OSPF、RIP、RIP2等动态路由协议 防病毒 对通过的数据进行在线过滤,查杀邮件正文附件、网页及下载文件中包含的病毒 病毒库更新 提供快速扫描及完全扫描两种扫描方式 系统状态实时监控 包过滤 基于状态检测的动态包过滤 实现基于源/目的IP地址、源/目的MAC地址、源/目的端口、协议、时间等数据包快速过滤 支持报文合法性检查 具备MAC的自动学习功能,可实现IP/MAC绑定 防御攻击 非法报文攻击:land 、Smurf、Pingofdeath、winnuke 、tcp_sscan
40、、ip_option、teardrop、targa3、ipspoof 统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep Topsec联动:可与支持TOPSEC协议的IDS设备联动,以提高入侵检测效率 端口阻断:可以根据数据包的来源和数据包的特征进行阻断设置 SYN代理:对来自定义区域的Syn Flood攻击行为进行阻断过滤 防护:对网络蠕虫、震荡波、冲击波、Dos/Ddos有很好的防御功能 AAA服务 支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecureID)以及数字证书(CA)等常用的安全认证方式 支持使用第三方认证如R
41、ADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式 支持Session认证、HTTP会话认证 支持认证保活功能 可将认证用户信息加密存放在本地数据库 NAT 支持双向NAT 支持动态地址转换和静态地址转换 支持多对一、一对多和一对一等多种方式的地址转换 支持在NAT工作方式下的多媒体协议穿透 支持虚拟服务器功能 网络适应性 路由 支持静态路由、动态路由 支持基于源/目的地址、接口、Metric的策略路由 支持单臂路由,可通过单臂模式接入网络,并提供路由转发功能 支持Vlan路由,能够在不同的VLAN虚接口间实现路由功能 支持双地址路由功能、支持状态表同步 支持RIP、OS
42、PF等路由协议 组播 支持IGMP组播协议 支持IGMP SNOOPING 可有效地实现视频会议等多媒体应用 VLAN 支持与交换机的Trunk接口对接,并且能够实现Vlan间通过安全设备传播路由 支持802.1Q,能进行802.1Q的封装和解封 支持ISL,能进行ISL的封装和解封 在同一个Vlan内能进行二层交换 生成树 支持802.1D生成树协议,包括PVST+及CST等协议 ARP 支持ARP代理、ARP学习 可设置静态ARP 非IP 协议 支持对非IP 协议IPX/NetBEUI 的传输与控制 DHCP 支持DHCP Client、DHCP Relay、DHCP Server 接入
43、支持ADSL接入功能,可满足中小企业的多种接入需求 支持PPPOE拨号接入 代理 支持众多的应用代理服务HTTP、FTP、TELNET、 SMTP、POP3、等代理并且根据用户需求自定义代理服务 其它 支持网络时钟协议SNTP,可以自动根据NTP服务器的时钟调整本机时间 支持IPX、NetBEUI等非IP 协议 IPSEC VPN IKE 支持基于标准IKE协商的VPN通信隧道 支持多种IKE认证方式,如预共享密钥,数字证书等 支持IKE扩展认证,如Radius认证等 解决方案 支持网关到网关、远程移动用户到网关的VPN隧道、可支持到4500条隧道 在具有SCM的解决方案中,支持灵活的移动用户
44、到移动用户的隧道 可以和密码机产品,远程客户端产品及VPN安全管理系统(SCM)共同组成完整的VPN解决方案 算法 支持3DES、DES、国密办等加密算法 支持标准MD5、SHA-1认证算法 支持加密卡提供的MD5、SHA-1认证算法 工作模式 支持HUB-SPOKE方式 支持网状连接方式 支持分级的树状连接方式 其它功能 支持网络邻居(利用WINS) 采用国际通用协议与国际主流网关相互通信 支持隧道的NAT穿越 支持对隧道内明文的访问控制 可同时支持明密传输 安全管理 日志 支持Welf、Syslog等多种日志格式的输出 支持通过第三方软件来查看日志 支持日志分级 支持对接收到的日志进行缓冲
45、存储 通过安全审计系统(TA-L),可获得更详尽的日志分析和审计功能,并能提供员工上网行为管理功能 根据管理员权限划分不同的管理级别实现不同的日志审计功能 可选高级日志审计功能模块,除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析 监控 支持网络接口监测、CPU利用率监测、内存使用率监测、操作系统状况监测、网络状况监测、硬件系统监测、进程监测、进程内存监测、加密卡状况监测 可根据配置文件进行错误恢复 报警 报警事件:内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类 报警方式:采用邮件、NETB
46、IOS、声音、SNMP、控制台等多种报警方式,报警方式可以组合使用。 网络接口管理 根据网络实际情况进行端口的自定义、端口配置的冗余、划分SSN区对重点的服务器重点保护和监控 带宽管理 QoS QOS带宽管理 根据IP、协议、网络接口、时间定义带宽分配策略 支持最小保证带宽和最大限制带宽 支持分层的带宽管理 优先级 支持8级优先级控制 双机热备 支持双机热备和多台防火墙的集群方式 支持系统故障切换、切换时间小于1秒 负载均衡 支持服务器的负载均衡,提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择 支持生成树协议,可实现链路负载均衡 其它功能 支持链路备份功能 支持双系统引导,当主系统损坏时,可以启用备用系统,不影响设备的正常使用 支持Watchdog功能 配置管理 配置方式 支持WEB图形配置、命令行配置 支持本地配置、远程配置 支持基于SSH、SSL的安全配置 命令行
