某電業(yè)局安全存儲網(wǎng)絡(luò)建設(shè)技術(shù)建議書

*電業(yè)局 安全 存儲 網(wǎng)絡(luò)建設(shè)技術(shù)建議書 二零零 九 年 十 月 目 錄 安全存儲網(wǎng)絡(luò)建設(shè)技術(shù)建議書 . 1 1 概述 . 3 1.1 項(xiàng)目建設(shè)背景需求 . 3 1.1.1 網(wǎng)絡(luò)現(xiàn)狀 . 3 1.2 網(wǎng)絡(luò)建設(shè)目標(biāo) . 3 1.3 網(wǎng)絡(luò)建設(shè)原則 . 3 2 整體方案設(shè)計(jì) . 4 2.1 組網(wǎng)方案 . 4 2.2 方案建議及設(shè)備選型依據(jù) . 4 3 網(wǎng)絡(luò)解決方案 . 5 3.1 IP 地址規(guī)劃 . 5 3.2 VLAN 規(guī)劃 . 6 3.3 路由規(guī)劃 . 6 3.4 QOS 設(shè)計(jì) . 6 3.5 設(shè)備介紹 . 8 3.5.1 S9300 系列 交換機(jī)系統(tǒng)特性 . 8 3.5.2 Oceanspace S2000 系列存儲系統(tǒng) . 15 4 安全解決方案 . 20 4.1 安全體系層次 設(shè)計(jì) . 20 4.1.1 層次一：物理環(huán)境的安全性（物理層安全） . 20 4.1.2 層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全） . 20 4.1.3 層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全） . 20 4.1.4 層次四：應(yīng)用的安全性（應(yīng)用層安全） . 21 4.1.5 層次五：管理的安全性（安全管理） . 21 4.1.6 總體部署 . 21 4.2 入侵檢測系統(tǒng)部署 . 22 4.2.1 安全風(fēng)險(xiǎn)分析 . 22 4.2.2 安全風(fēng)險(xiǎn)解決 . 22 4.2.3 智能網(wǎng)絡(luò)入侵檢測設(shè)備 . 23 4.2.4 NIP 1000 性能指標(biāo) . 28 4.3 終端安全 管理系統(tǒng)部署 . 30 4.3.1 終端安全管理系統(tǒng) . 30 4.3.2 安全監(jiān)控功能 . 32 4.3.3 資產(chǎn)管理應(yīng)用功能 . 33 4.3.4 安全接入控制網(wǎng)關(guān)應(yīng)用 . 33 4.3.5 Secospace 系統(tǒng)性能指標(biāo) . 33 1 概述 1.1 項(xiàng)目建設(shè)背景需求 1.1.1 網(wǎng)絡(luò)現(xiàn)狀 *電業(yè)局網(wǎng)絡(luò)建設(shè)主要分為內(nèi)部辦公網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)絡(luò)兩部分 ，現(xiàn)有核 心設(shè)備是用的是華為 5500系列交換機(jī)，交換機(jī)使用年限已久，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，現(xiàn)有網(wǎng)絡(luò)接口已逐漸不能滿足網(wǎng)絡(luò)的需求；內(nèi)部服務(wù)器數(shù)量已達(dá)到 10臺左右，數(shù)據(jù)量增加的比較快，需要一套網(wǎng)絡(luò)存儲設(shè)備。 內(nèi)部安全需要進(jìn)一步的管理。 1.2 網(wǎng)絡(luò)建設(shè)目標(biāo) 為了提高整網(wǎng)核心的可靠性， 設(shè)計(jì) 考慮設(shè)備冗余（電源、超級引擎采用雙配置）， 為整網(wǎng)提供更加穩(wěn)定的網(wǎng)絡(luò)服務(wù)。 華為核心設(shè)備最多支持 144 個(gè)光接口，能夠極大地滿足現(xiàn)在及將來網(wǎng)絡(luò)的需求。 1.3 網(wǎng)絡(luò)建設(shè)原則 我單位針對 *電業(yè)局 存儲及安全 工程將采用華為先進(jìn)的高端電信級設(shè)備作為構(gòu)建網(wǎng)絡(luò)的基礎(chǔ) 單元，建立一個(gè)高帶寬、高可用性及高可靠性的數(shù)據(jù)網(wǎng)絡(luò)，為 濮陽縣電業(yè)局 業(yè)務(wù)系統(tǒng)提供強(qiáng)有力的保證，本次工程基于以下原則進(jìn)行： 綜合性 ：將網(wǎng)絡(luò)建設(shè)成為不僅支撐現(xiàn)有 濮陽縣電業(yè)局 數(shù)據(jù)業(yè)務(wù)，而且支撐未來實(shí)時(shí)業(yè)務(wù)的綜合業(yè)務(wù)傳送平臺。 支持 QOS：能根據(jù)業(yè)務(wù)的要求提供不同等級的服務(wù)并保證服務(wù)質(zhì)量，提供資源預(yù)留，擁塞控制，報(bào)文分類，流量整形等強(qiáng)大的 IP QOS功能。 高可靠性 ：具有很高的容錯(cuò)能力，具有抵御外界環(huán)境和人為操作失誤的能力，保證任何單點(diǎn)故障都不影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)作。 高性能 ：在高負(fù)荷情況下仍然具有較高的吞吐能力和效 率，延遲低。 安全性 ：具有保證系統(tǒng)安全，防止系統(tǒng)被人為破壞的能力。 擴(kuò)展性 ：易于增加新設(shè)備、新用戶，易于和各種公用網(wǎng)絡(luò)連接，隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充，充分保護(hù)現(xiàn)有投資利益。 開放性 ：符合開放性規(guī)范，方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品。 標(biāo)準(zhǔn)化 ：通訊協(xié)議和接口符合國際標(biāo)準(zhǔn)。 實(shí)用性 ：具有良好的性能價(jià)格比，經(jīng)濟(jì)實(shí)用，拓?fù)浣Y(jié)構(gòu)和技術(shù)符合骨干網(wǎng)信息量大、信息流集中的特點(diǎn)。 2 整體方案設(shè)計(jì) 2.1 組網(wǎng)方案 出于安全性和穩(wěn)定性的要求，工程中采用 電信級核心 層交換機(jī)從而提高整網(wǎng)結(jié)構(gòu)的健壯性、可靠性，高效性。 在存儲方面采用華 為2300 的存儲，可提供 96T 的存儲容量，滿足將來存儲的需求。 2.2 方案建議及設(shè)備選型依據(jù) 根據(jù) *電業(yè)局 數(shù)據(jù)庫項(xiàng)目 的技術(shù)規(guī)范要求以及華為公司全系列數(shù)通產(chǎn)品及解決方案特點(diǎn)，本著滿足業(yè)務(wù)優(yōu)先、先進(jìn)實(shí)用、平滑演進(jìn)等原則， 我單位 選擇華為公司在本期項(xiàng)目中建議的設(shè)備以及相關(guān)設(shè)備的建網(wǎng)方案優(yōu)勢如下： 網(wǎng)絡(luò)檔次高、層次分明 ：采用最高能力交換機(jī)，按照網(wǎng)絡(luò)層次依次選擇合理產(chǎn)品，各層次產(chǎn)品之間系列化程度高，可靠性強(qiáng)。 負(fù)載分擔(dān)的網(wǎng)絡(luò)： 以最大化網(wǎng)絡(luò)資源負(fù)載分擔(dān)為原則，通過設(shè)備間鏈路的分配調(diào)整，實(shí)現(xiàn)網(wǎng)絡(luò)資源合理分布，增加可靠性。 安 全的雙平面的設(shè)計(jì)： 本次為網(wǎng)絡(luò)結(jié)構(gòu)通過充分利用兩期建設(shè)中的設(shè)備，充分保證網(wǎng)絡(luò)安全備份及冗余性，整體提高網(wǎng)絡(luò)的可靠性等級系數(shù)。 良好網(wǎng)絡(luò)兼容性能： 在現(xiàn)網(wǎng)大量的應(yīng)用環(huán)境中，華為設(shè)備表現(xiàn)出與其他設(shè)備廠商良好的互通性，在各大電信運(yùn)營商網(wǎng)絡(luò)都有商用。 優(yōu)化的網(wǎng)絡(luò)性能： 華為建議的部署方案， 能夠 保證網(wǎng)絡(luò)在故障情況下快速實(shí)現(xiàn)業(yè)務(wù)流量疏導(dǎo)，提高整個(gè)網(wǎng)絡(luò)質(zhì)量，保證網(wǎng)絡(luò)能夠承載。 多業(yè)務(wù)的 IP網(wǎng)絡(luò) ：優(yōu)化后的網(wǎng)絡(luò)具備極強(qiáng)的可擴(kuò)展性能，除了具備大流量承載能力，還 可 提供 IPTV等多種業(yè)務(wù)。 平滑的割接方案： 華為 公司有豐富的網(wǎng)絡(luò)割接經(jīng)驗(yàn) ，可以 保證網(wǎng)絡(luò)調(diào)整到合理的結(jié)構(gòu)，并保證現(xiàn)網(wǎng)業(yè)務(wù)盡可能的不受影響，保證平滑割接。 平滑的向 IPv6過渡： 我單位本次采用的華為 產(chǎn)品具備 IPv6高性能轉(zhuǎn)發(fā)，滿足未來性能要求，并支持多種過渡解決方案，例如 IPv4/IPv6雙棧、多種過渡隧道等等，是業(yè)界過渡方案中最好的產(chǎn)品，能夠極大方便實(shí)際網(wǎng)絡(luò) IPv4-IPv6過渡的靈活性。 3 網(wǎng)絡(luò)解決方案 3.1 IP 地址規(guī)劃 IP 地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。需要在所分配的 IP 地址網(wǎng)段中盡可能地利用地址空間，充分考慮地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi) 地址分配及業(yè)務(wù)流量的均勻分布。 IP 地址空間的分配與合理使用與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將 *電業(yè)局 業(yè)務(wù)工作的可用性、可靠性和有效性以及保密性產(chǎn)生顯著影響。 通常合理的地址規(guī)劃是使連續(xù)的地址盡量集中在一個(gè)區(qū)域內(nèi)。因此，核心層應(yīng)象一個(gè)區(qū)域或一個(gè)節(jié)點(diǎn)一樣，被分配一段連續(xù)的地址。 IP 地址規(guī)劃遵循以下原則： 1. IP 地址的規(guī)劃與劃分應(yīng)該考慮到業(yè)務(wù)飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段； 2. IP 地址的分配需要有足夠的靈活性 ，能夠滿足各種用戶接入； 3. IP 地址的分配可以采用 VLSM 技術(shù)，以保證 IP 地址的利用效率； 4. 充分合理利用已申請的地址空間，提高地址的利用效率。 3.2 VLAN 規(guī)劃 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 從技術(shù)角度講， VLAN 的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 1. 基于端口的 VLAN 劃分 2. 基于 MAC 地址的 VLAN 劃分 3. 基于路由的 VLAN 劃分 而本期項(xiàng)目中 以基于端口和基于路由的 VLAN 劃分方法為主，除了公共 VLAN，網(wǎng)管 VLAN，關(guān)鍵領(lǐng)導(dǎo) VLAN 等特殊網(wǎng)段，按照部門和單位進(jìn)行其他 VLAN 網(wǎng)段的劃分。 3.3 路由規(guī)劃 在所建網(wǎng)絡(luò)系統(tǒng)中將涉及 *電業(yè)局 內(nèi)部不同虛擬網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)以及與外網(wǎng)之間的互聯(lián)，因此需要結(jié)合實(shí)際，在匯聚交換機(jī)對三層轉(zhuǎn)發(fā)協(xié)議進(jìn)行設(shè)置，由于通過 VLAN 隔離業(yè)務(wù)，在接入層交換機(jī)啟用二層接入功能，網(wǎng)關(guān)設(shè)在匯聚交換機(jī)， VLAN 終結(jié)于匯聚交換機(jī)。 3.4 QOS 設(shè)計(jì) 在傳統(tǒng)的 IP 網(wǎng)絡(luò)中，所有的報(bào)文都被無區(qū)別的等同對待，每個(gè)路由器對所有的報(bào)文均采用先入先出（ FIFO）的策略進(jìn)行處理，它盡最大的努力（ best-effort）將報(bào)文送到目的地，但對報(bào)文傳送的可靠性、傳送延遲等性能不提供任何保證。 隨著 IP 技術(shù)的日趨成熟， IP 網(wǎng)絡(luò)電信化已經(jīng)成為大勢所趨，于是形成了語音、視頻、數(shù)據(jù)等多種業(yè)務(wù) IP 統(tǒng)一承載，由于語音、視頻等實(shí)時(shí)業(yè)務(wù)自身的特點(diǎn)對承載平臺提出了嚴(yán)格的服務(wù)質(zhì)量要求，因此就必須在網(wǎng)絡(luò)中部署相應(yīng)的 QoS 技術(shù)，使得 網(wǎng)絡(luò)管理者 能夠有效地控制網(wǎng)絡(luò)資源 的 使用，能夠在 有 限資源的 IP 平臺上 綜合 語音、視頻及數(shù)據(jù)等多種業(yè)務(wù)，能夠 區(qū)分業(yè)務(wù) 、針對不同的 業(yè)務(wù) 提供特色的差 分服務(wù)。 QoS 旨在針對各種應(yīng)用的不同需求，為其提供不同的服務(wù)質(zhì)量，例如：提供專用帶寬、減少報(bào)文丟失率、降低報(bào)文傳送時(shí)延及時(shí)延抖動等。為實(shí)現(xiàn)上述目的， QoS 提供了下述功能： 1. 報(bào)文分類和著色 2. 避免和管理網(wǎng)絡(luò)擁塞 3. 流量監(jiān)管和流量整形 4. QoS 信令協(xié)議 在 *電業(yè)局 數(shù)據(jù)庫項(xiàng)目 網(wǎng)絡(luò) 構(gòu)建中， 將會 設(shè)計(jì)合理的 QOS 保障方案，利用有限的資源， 以 獲得更好的網(wǎng)絡(luò)使用效益， 是 非常必要 的 。良好的 QOS 保障方案可以 確保一般情況下網(wǎng)絡(luò)具有最好的使 用效率、實(shí)時(shí)業(yè)務(wù)具有較小延 時(shí) ，惡劣情況下保證關(guān)鍵業(yè)務(wù)得到應(yīng)有的網(wǎng)絡(luò)服務(wù)。 衡量 QoS 的指標(biāo)包括： 帶寬 /吞吐量 - 指網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間特定應(yīng)用業(yè)務(wù)流的平均速率； 時(shí)延 - 指數(shù)據(jù)包在網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)之間傳送的平均往返時(shí)間； 抖動 - 指時(shí)延的變化； 丟包率 - 指在網(wǎng)絡(luò)傳輸過程中丟失報(bào)文的百分比，用來衡量網(wǎng)絡(luò)正確轉(zhuǎn)發(fā)用戶數(shù)據(jù)的能力； 可用性 - 指網(wǎng)絡(luò)可以為用戶提供服務(wù)的時(shí)間的百分比。 在 *電業(yè)局 數(shù)據(jù)庫項(xiàng)目 網(wǎng)絡(luò)中 QOS 方案 部署如下： 接入層交換機(jī)接入端口不同業(yè)務(wù)進(jìn)行 VLAN 標(biāo)記 ,并可以對報(bào)文進(jìn)行 802.1P 優(yōu)先級標(biāo)記，以便后續(xù)的匯聚交換機(jī)和核心交換根據(jù)相應(yīng)優(yōu)先級標(biāo)記（ 802.1P、 DSCP）進(jìn)行調(diào)度，當(dāng)然還可以根據(jù)策略的需要部署 CAR 流量監(jiān)管策略，對用戶的接入速率進(jìn)行控制，保證 *電業(yè)局 網(wǎng) 網(wǎng)絡(luò) 始終處于健康（輕載）的運(yùn)行狀態(tài)。 本次工程采用的 S9300 高端交換機(jī)均支持選擇性 SVLAN 功能（靈活 QinQ），可以在同一個(gè)物理端口上支持根據(jù)單層 VLAN ID 靈活加載外層 VLAN ID，同時(shí)能夠透傳標(biāo)準(zhǔn) VLAN（單 VLAN）流量。上述功能實(shí)現(xiàn)沒有 VLAN ID 范圍數(shù)量的限制，對于設(shè)備性能沒有影響。支持根據(jù) 802.1p 參數(shù)、入端口、入 VLAN ID 等條件進(jìn)行雙 VLAN 透傳、雙層VLAN 改寫外層 VLAN、雙層 VLAN 改寫內(nèi)外層 VLAN 等并且支持在同一物理接口上對以上操作的并行處理。并支持 TPID 可配置，同時(shí)對設(shè)備性能沒有影響 S9300 交換機(jī)提供完善的 Diff-Serv/QoS 支持。支持基于源端口、源 VLAN ID、源 MAC 地址、報(bào)文種類、 TCP/UDP 端口號、IP 報(bào)文地址前綴等多種流分類規(guī)則，提供多種規(guī)則組合條件下的流映射和分類、流量監(jiān)管（ CAR）、擁塞避免方法（ WRED、 Tail-Drop）、隊(duì)列調(diào)度（ WRR、 SP）和輸出流量整形等功能，支持 802.1p 的 8 個(gè)優(yōu)先級。完全做到業(yè)務(wù)區(qū)分并保證帶寬 /時(shí)延 /抖動，可以為用戶提供具有不同服務(wù)質(zhì)量等級的服務(wù)保證，使 IP 網(wǎng)絡(luò)真正成為同時(shí)承載數(shù)據(jù)、語音和視頻業(yè)務(wù)的綜合網(wǎng)絡(luò)。 3.5 設(shè)備介紹 3.5.1 S9300 系列 交換機(jī) 系統(tǒng)特性 Quidway S9300系列以太匯聚 交換機(jī)（以下簡稱 S9300）是基于 華為公司統(tǒng)一的 VRP（ Versatile Routing Platform）系統(tǒng) 而推出的下一代以太網(wǎng)匯聚交換機(jī)，提供整機(jī)高達(dá) 2T交換容量，二、三層線速轉(zhuǎn)發(fā)能力，具備 強(qiáng)大組播功能， EPON接口 和 完善的 QoS保障 ， 滿足城域網(wǎng)、企業(yè)園區(qū)網(wǎng)對 Multi-Play業(yè)務(wù)承載和全光接入的組網(wǎng)需求，為運(yùn)營商和企業(yè)網(wǎng)提供強(qiáng)大的網(wǎng)絡(luò)交換和業(yè)務(wù)運(yùn)營能力，支持IP專線、 VPN、 IPTV、 IPv6等多種 業(yè)務(wù) 。 S9300系列包括 S9303、 S9306、 S9312三個(gè)產(chǎn)品形態(tài)，整個(gè)系列秉承模塊通用化、歸一化的設(shè)計(jì)理念，最小化備件成本，在保證設(shè)備擴(kuò)展性的同時(shí)最大限度地保護(hù)用戶投資。 S9303 S9306 S9312 產(chǎn)品特點(diǎn) 創(chuàng)新的三平面設(shè)計(jì) S9300在傳統(tǒng)交換機(jī)數(shù)據(jù)轉(zhuǎn)發(fā)、管理控制雙平面基礎(chǔ)上進(jìn)行了創(chuàng)新，增加了獨(dú)立的環(huán)境監(jiān)控平面，率先實(shí)現(xiàn)整機(jī)三平面設(shè)計(jì)。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，其核心芯片采用華為自主知識產(chǎn)權(quán)的中控芯片，實(shí)現(xiàn)硬件級的 按流量動態(tài)調(diào)整功率 、風(fēng)扇分區(qū)控制、風(fēng)扇智能調(diào)速、端口休眠技術(shù) 等多項(xiàng)節(jié)能技術(shù)，獨(dú)立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實(shí)現(xiàn)整機(jī)運(yùn)營維護(hù)的全面可視化管理。 創(chuàng)新的三平面設(shè)計(jì) 一機(jī)多用，全業(yè)務(wù)承載的以太匯聚平臺 S9300支持高密度的 EPON接口，能實(shí)現(xiàn) DSLAM匯聚、 EPON和純以太 的統(tǒng)一接入，滿足全光接入的需求；分布式 L2/L3 MPLS VPN功能，支持 MPLS、 VPLS、HVPLS、 VLL，滿足大客戶 VPN專線、企業(yè) VPN等高端用戶的接入需求。 S9300具備 線速的跨 VLAN組播復(fù)制能力，實(shí)現(xiàn)端口的滿負(fù)荷復(fù)制，滿足大容量的 IPTV用戶接入需求；完善的二、三層組播協(xié)議，可作為組播復(fù)制點(diǎn)和控制點(diǎn)。 高速 背板 交換網(wǎng) 模塊 控制面通訊模塊 系統(tǒng)時(shí)鐘模塊 系統(tǒng)主控模塊 控制層軟件 業(yè)務(wù)層軟件 網(wǎng)管系統(tǒng) 物理接口模塊 業(yè)務(wù)處理模塊 單板時(shí)鐘模塊 單板主控模塊 單板監(jiān)控模塊 業(yè)務(wù)模塊 交換路由模塊 管理 層軟件 系統(tǒng)監(jiān)控模塊 S9300支持 IPv6功能， 支持 RIPng， OSPFv3， ISISv6， BGP4+， MLD， MLD Snooping， PIMv6， IPv6 multicast VLAN， ICMPv6等單 /組播 IPv6路由協(xié)議， 實(shí)現(xiàn)網(wǎng)絡(luò) IPv4向 IPv6的平滑遷移 。 三維擴(kuò)展 ， 容量 “無級變速 ” 作為新一代的以太匯聚 平臺， S9300可以從容應(yīng)對城域骨干網(wǎng)和大容量 IDC對核心匯聚設(shè)備的帶寬需求 。 S9300單槽位支持 12 10GE線速轉(zhuǎn)發(fā)，整機(jī)支持 2T的交換能力， 更好地滿足 IPTV等大帶寬業(yè)務(wù)和 IDC機(jī)房的接入需求。 S9300系列交換機(jī)可以擴(kuò)展到 3.84T交換容量， 單槽位支持 240G線速轉(zhuǎn)發(fā)，充分考慮未來 3 5年的帶寬需求，提供帶寬平滑擴(kuò)展能力 。 六項(xiàng)創(chuàng)新，省電 30% S9300基于綠色環(huán)保理念設(shè)計(jì)，獨(dú)特的“變流”芯片，實(shí)現(xiàn)按流量動態(tài)調(diào)整功率，降低功耗 8%。 獨(dú)特的“旋轉(zhuǎn)”風(fēng)道設(shè)計(jì)，提高整機(jī)散熱效率，降低功耗 3%，同時(shí)整機(jī)出線能力提高 6倍。 “積木式”電源，按需配置，減少初期投資，降低設(shè)備功耗 10%。 獨(dú)立風(fēng)扇分區(qū)控制，降低噪聲 10%，并延長風(fēng)扇使用壽命。 風(fēng)扇智能調(diào)速，根據(jù)關(guān)鍵器件溫度，靈活調(diào)整風(fēng)扇轉(zhuǎn)速，降低功耗 3%，提高風(fēng)扇抗擾動能力，延長風(fēng)扇壽命。 真正的端口休眠技術(shù)，可以依據(jù)端口實(shí)際流量調(diào)整輸出功耗，降低功耗 6%，節(jié)電“不丟包”。 產(chǎn) 品規(guī)格 項(xiàng)目 S9303 S9306 S9312 背板容量 1.2Tbps 2.4Tbps 4.8Tbps 業(yè)務(wù)槽位 3 6 12 GE端口密度 144 288 576 10G端口密度 36 72 144 VLAN 支持 Access、 Trunk、 Hybrid方式 支持 default VLAN 支持 VLAN 交換 支持 QinQ、增強(qiáng)型靈活 QinQ MAC地址功能 支持 MAC地址自動學(xué)習(xí)和老化 支持靜態(tài)、動態(tài)、黑洞 MAC表項(xiàng) 支持源 MAC地址過濾 支持基于端口和 VLAN的 MAC地址學(xué)習(xí)限制 STP 支持 STP， RSTP和 MSTP 支持 BPDU保護(hù)、 Root保護(hù)、環(huán)路保護(hù) 支持 BDPU Tunnel IP路由 支持 RIP、 OSPF、 ISIS、 BGP等 IPv4動態(tài)路由協(xié)議 支持 RIPng、 OSPFv3、 ISISv6、 BGPv4等 IPv6動態(tài)路由協(xié)議 項(xiàng)目 S9303 S9306 S9312 組播 支持 IGMP Snooping功能 支持用戶快速離開機(jī)制 支持組播流量控制 支持組播查詢器 支持組播協(xié)議報(bào)文抑制功能 支持組播 ACL MPLS 支持 MPLS基本功能 支持 MPLS OAM 支持 MPLS TE 支持 MPLS VPN/VLL/VPLS QoS 支持基于 Layer2協(xié)議頭、 Layer3協(xié)議、 Layer4協(xié)議、 802.1p優(yōu)先級等的組合流分類 支持 ACL、 CAR、 Remark、 Schedule等動作 支持 PQ、 WRR、 DRR、 PQ+WRR、 PQ+DRR等隊(duì)列調(diào)度方式 支持 WRED、尾丟棄等擁塞避免機(jī)制 支持流量整形 配置與維護(hù) 支持 Console、 Telnet、 SSH等 終端服務(wù) 支持 SNMPv1/v2/v3等網(wǎng)絡(luò)管理協(xié)議 支持通過 FTP、 TFTP方式上載、下載文件 支持 BootROM升級和遠(yuǎn)程在線升級 支持熱補(bǔ)丁 項(xiàng)目 S9303 S9306 S9312 支持用戶操作日志 安全和管理 命令行分級保護(hù)，未授權(quán)用戶無法侵入 支持 RADIUS和 HWTACACS用戶登錄認(rèn)證 支持防范 DoS攻擊、 TCP的 SYN Flood攻擊、 UDP Flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊 支持 CPU通道的保護(hù) 支持 ICMP實(shí)現(xiàn) ping和 traceroute功能 支持 RMON 機(jī)箱尺寸mm（ 寬 深 高 ） 442476175 442476442 442476664 機(jī)箱重量（空配） 15Kg 30Kg 45Kg 工作電壓 DC： 38.4V 72V AC： 90V 264V 典型功耗 180W 350W 650W 整機(jī)供電能 350W 800W 1600W 訂購信息 1、 Quidway S9300 主機(jī)選購一覽表 產(chǎn)品 描述 S9303總裝機(jī)箱 S9306總裝機(jī)箱 S9312總裝機(jī)箱 2、 Quidway S9300 交換路由處理板 選購一覽表 產(chǎn)品 描述 S9306/S9312交換路由單元 S9303主控處理單元 增強(qiáng)靈活業(yè)務(wù)子卡 3、 Quidway S9300 業(yè)務(wù)單板選購一覽表 產(chǎn)品 描述 48端口 百 兆以太網(wǎng)光接口板 48端口 百 兆以太網(wǎng) 電 接口板 48端口 百 兆 /千兆以太網(wǎng)光接口板 48端口 百 兆 /千兆以太網(wǎng)電接口板 24端口 百 兆 /千兆以太網(wǎng)光接口板 24端口 百 兆 /千兆以太網(wǎng)光接口和 8端口 百 兆 /千兆 Combo電口板 4端口萬兆以太網(wǎng)光接口板 2端口萬兆以太網(wǎng)光接口板 3.5.2 Oceanspace S2000 系列存儲系統(tǒng) 概述 華為賽門鐵克 Oceanspace S2000 系列（以下簡稱 S2000）產(chǎn)品是中國第一款擁有完全自主知識產(chǎn)權(quán)的存儲。融合了高密、接口模塊化設(shè)計(jì)、多重?cái)?shù)據(jù)保護(hù)技術(shù)，滿足數(shù)據(jù)庫等應(yīng)用系統(tǒng)、備份、數(shù)據(jù)中心等不同的存儲資源部署需求。 產(chǎn)品特點(diǎn) 高性能 64 位系統(tǒng)架構(gòu)： 64 位多核處理器， 64 位系統(tǒng)總線， 64 位實(shí)時(shí)操作系統(tǒng) 交換體系架構(gòu)： 交換架構(gòu)，高性能，低延時(shí)；硬盤獨(dú)立，單個(gè)硬盤故障不影響其他盤，便于故障檢測和排除 高密設(shè)計(jì)： 硬盤框 4U 高度，可容納 24 塊硬盤，產(chǎn)品占用空間小，擴(kuò) 1個(gè)硬盤框能擴(kuò)展 24 塊硬盤，大幅降低擴(kuò)容成本 高可靠 全冗余模塊化設(shè)計(jì)： 冗余控制器， 1+1 冗余電源 /風(fēng)扇模塊；冗余掉電保護(hù)電池 一體化 UPS 技術(shù)： UPS 集成在控制框內(nèi)，節(jié)省機(jī)架空間；意外掉電時(shí)，可以保證 Cache 數(shù)據(jù)可安全寫入數(shù)據(jù)保險(xiǎn)箱；恢復(fù)供電后，可以把數(shù)據(jù)保險(xiǎn)箱的數(shù)據(jù)恢復(fù)到 Cache 中，保證 Cache 數(shù)據(jù)不丟失 硬盤壞道修復(fù)技術(shù)： 最大限度修復(fù)硬盤壞道，將硬盤故障率降低 50%，延長硬盤壽命 硬盤預(yù)拷貝技術(shù)： 提前發(fā)現(xiàn)故障盤，主動遷移故障盤數(shù)據(jù)，規(guī)避系統(tǒng)降級的風(fēng)險(xiǎn)，有效降低兩個(gè)硬盤同時(shí)故障導(dǎo)致數(shù)據(jù)丟失的概率 靈活 靈活組網(wǎng)： iSCSI 主機(jī)口滿足與 IP 網(wǎng)絡(luò)無縫融合的 組網(wǎng)需求； SAS 主機(jī)口滿足高性價(jià)比的組網(wǎng)需求； FC 主機(jī)口滿足高速率、高可靠的組網(wǎng)需求 控制器選配： 單控制器配置滿足低成本需求，平滑升級到雙控制器配置，滿足高性能、高可靠的需求 分級存儲： 支持 SAS/SATA 硬盤混插，可以根據(jù)業(yè)務(wù)級別選擇存儲介質(zhì) 便捷 便捷管理： 支持圖形化 GUI 及 CLI 管理方式，提升管理效率；支持 LUN后臺格式化，壓縮設(shè)備安裝及配置時(shí)間 便捷維護(hù)： 主要模塊及硬盤組件支持熱插拔，減少維護(hù)復(fù)雜性；支持 Web和 Modem 撥號等遠(yuǎn)程管理能力，增加維護(hù)及時(shí)性；提供聲光、郵件、短信等告警 模式，確保設(shè)備故障信息不會被忽視或遺漏 產(chǎn)品規(guī)格 型號 S2100 S2300 硬件特性 存儲處理器 64 位多核處理器 標(biāo)配緩存 (可擴(kuò)展 ) 單控 2GB、雙控 4GB 控制器數(shù)量 1 or 2 標(biāo)配主機(jī)端 口 (可擴(kuò)展 ) 單控 :2 個(gè) 43Gb SAS 或 2個(gè) 1Gb iSCSI 雙控 :4 個(gè) 43Gb SAS 或 4個(gè) 1Gb iSCSI 單控 :2 個(gè) 4Gb FC 或 4 個(gè)1Gb iSCSI 雙控 :4 個(gè) 4Gb FC 或 8 個(gè)1Gb iSCSI 硬盤數(shù)量 (可擴(kuò)展 ) 單控 48 /雙控 96 硬盤規(guī)格 SATA 硬盤： 500GB/1TB（ 7200 rpm） SAS 硬盤： 300GB/450GB（ 15k rpm） 硬盤密度 24 個(gè) /框 性能特性 主機(jī)連接數(shù)量 (可擴(kuò)展 ) 128 128 LUNs(可擴(kuò)展 ) 512 1024 RAID 特性 RAID 支持能力 0、 1、 5、 10 等 可靠性 冗余保護(hù)能力 控制器、電源、風(fēng)扇、 UPS 模塊、級聯(lián)模塊（硬盤框） 熱備盤 全局熱備、預(yù)拷貝 掉電保護(hù) 數(shù)據(jù)保險(xiǎn)箱、一體化 UPS 技術(shù) 主機(jī)兼容性 支持的操作系統(tǒng) Windows、 Linux、 Solaris、 HP-UX、 AIX、 FreeBSD、VMware 等 軟件特性 主機(jī)多路徑 UltraPath（ for Windows/Linux/AIX）、 STMS(for Solaris）、 PV-Links（ for HP-UX） 管理特性 管理界面 Web GUI、 CLI 等 SAN 資源管理 LUN 動態(tài)調(diào)整 故障告警 網(wǎng)管界面告警、聲光告警、 E-mail 告警、短信告警 遠(yuǎn)程管理 支持 Web 遠(yuǎn)程登錄模式、支持 Modem 撥號連接，命令行配置 物理特性 電源 AC 200V 240V(50/60Hz), DC -48V -60V 功耗（控制框） 單控：交流： 725W/直流：625W 雙控：交流： 828W/直流： 728W 單控：交流： 725W/直流：674W 雙控：交流： 835W/直流： 775W 功耗（硬 盤框） 單控：交流： 668W/直流：617W 雙控：交流： 680W/直流： 630W 單控：交流： 668W/直流：617W 雙控：交流： 680W/直流： 630W 尺寸 4U， 175mm(H)*446mm(W)* 600mm(D) 重量 不帶硬盤 45Kg（控制框）； 38Kg（硬盤框） 4 安全解決方案 4.1 安全體系層次設(shè)計(jì) 由于本次 *電業(yè)局 屬于新建系統(tǒng)，因此整個(gè) *電業(yè)局 網(wǎng)絡(luò)安全的需求是全方位的、整體的，相應(yīng)的網(wǎng)絡(luò)安全體系也是分層次的，在不同層次反映了不同的安全問題。根據(jù)第三章中 我單位 對于安全 的風(fēng)險(xiǎn)分析， 我單位 將安全體系的層次劃分為五層：物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全保密管理。 4.1.1 層次一：物理環(huán)境的安全性（物理層安全） 包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)）；軟硬件設(shè)備安全性（替換設(shè)備；拆卸設(shè)備；增加設(shè)備）；設(shè)備的備份；防災(zāi)害能力、防干擾能力；設(shè)備的運(yùn)行環(huán)境（溫度、濕度、煙塵）；不間斷電源保障，等等。 4.1.2 層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全） 這一層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)： Windows 2003， Windows 2000， Unix等。系統(tǒng)層的安全性問題表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。 4.1.3 層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全） 該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)信息的安全性。包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測的手段，網(wǎng)絡(luò)設(shè)施防病毒等。 4.1.4 層次四：應(yīng)用的安全性（應(yīng)用層安全） 該層次的安全考慮提供服務(wù) 所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括： Web服務(wù)、電子郵件系統(tǒng)等。此外，還包括病毒對系統(tǒng)的威脅。 4.1.5 層次五：管理的安全性（安全管理） 安全管理包括安全技術(shù)和設(shè)備的管理，安全管理制度，部門與人員的組織規(guī)則等。管理的制度化程度極大地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色定義都可以在很大程度上降低其它層次的安全漏洞。 4.1.6 總體部署 *電業(yè)局 的安全問題是一個(gè)系統(tǒng)工程， 我單位 在制定安全網(wǎng)絡(luò)策略時(shí)盡可能地考慮到網(wǎng)絡(luò)中的各個(gè)方面及網(wǎng)絡(luò)的拓展性，采用TCP/IP協(xié)議進(jìn)行網(wǎng)絡(luò)通信的網(wǎng)絡(luò) ，在網(wǎng)絡(luò)層對計(jì)算機(jī)通信進(jìn)行安全保護(hù)是業(yè)界流行的安全解決辦法。 綜合考慮 *電業(yè)局 的實(shí)際安全狀況，本方案中 我單位 從以下幾個(gè)方面來采取相應(yīng)的安全 措施： 1. 采用 VLAN 技術(shù) 2. 部署防火墻 3. 部署入侵檢測系統(tǒng) 4. 部署安全審計(jì)系統(tǒng) 以上部署的安全產(chǎn)品在嚴(yán)格按照電子政務(wù)信息安全要求標(biāo)準(zhǔn)基礎(chǔ)上，并遵循穩(wěn)定性、先進(jìn)性、可擴(kuò)展性等原則進(jìn)行選型。 *電業(yè)局 的安全管理部門應(yīng)根據(jù)管理原則和 *電業(yè)局 數(shù)據(jù) 處理的保密性，制訂相應(yīng)的安全管理制度或采用相應(yīng)的安全規(guī)范?？筛鶕?jù)工作的重要程度，確定該系統(tǒng)的安全等級；及根據(jù)確定的安全等級，確定安 全管理的范圍。 4.2 入侵檢測系統(tǒng)部署 4.2.1 安全風(fēng)險(xiǎn)分析 隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)施及其應(yīng)用的不斷豐富，基于網(wǎng)絡(luò)的各種安全事故也 不斷出現(xiàn) 。造成這些網(wǎng)絡(luò)安全事故最 根本的 原因是設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)協(xié)議 時(shí)主要 考慮的 協(xié)議的互聯(lián)互通性 ， 很少 考慮 協(xié)議 可能 存在的 安全漏洞， 當(dāng)這些安全漏洞 被惡意的人們 利用就出現(xiàn)了層出不窮的安全事件 。但是當(dāng)人們發(fā)現(xiàn)這些問題逐漸影響正常網(wǎng)絡(luò)甚至業(yè)務(wù)運(yùn)行的時(shí)候，再去修改這些相關(guān)基礎(chǔ)應(yīng)用協(xié)議代價(jià)太大。因此作為亡羊補(bǔ)牢的方式，出現(xiàn)了相關(guān)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。比如說防火墻、防病毒 產(chǎn)品等等。 然而， 防火墻無法正確分析摻雜在允許應(yīng)用數(shù)據(jù) 流中的惡意代碼，很多攻擊或者惡意的行為常常 利用 防火墻開放的應(yīng)用數(shù)據(jù)流來造成破壞。這就有必要提供專門針對各種應(yīng)用數(shù)據(jù)流進(jìn)行完整重組、判斷其是否為正常 數(shù)據(jù)包 的產(chǎn)品 。 這種產(chǎn)品就是 入侵檢測 系統(tǒng) （ Intrusion Detection System） ，入侵檢測系統(tǒng) 通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中 的 若干關(guān)鍵點(diǎn) 信息進(jìn)行分析， 可以 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象 ，實(shí)時(shí)作出響應(yīng) 。 入侵檢測系統(tǒng)分為 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（ NIDS）和基于主機(jī)的入侵檢測系統(tǒng) （ HIDS） 。 華為公司推出即 是基于 網(wǎng)絡(luò)的 智能網(wǎng)絡(luò)入 侵檢測系統(tǒng) （以下簡稱 NIP）。 4.2.2 安全風(fēng)險(xiǎn)解決 NIP 網(wǎng)絡(luò)智能入侵檢測系統(tǒng)是華為自主開發(fā) ， 擁有知識產(chǎn)權(quán)的新一代基于會話的智能網(wǎng)絡(luò)入侵檢測系統(tǒng) 。 采用異常使用模式（ Anomaly） 和誤用檢測模式 （ Misuse） 相結(jié)合的檢測方式 ， 部署于網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)，實(shí)時(shí)監(jiān)控各種數(shù)據(jù)報(bào)文及網(wǎng)絡(luò)行為，提供及時(shí)的報(bào)警及響應(yīng)機(jī)制。其動態(tài)的安全響應(yīng)體系與防火墻等靜態(tài)的安全體系形成強(qiáng)大的協(xié)防體系，大大增強(qiáng)了用戶的整體安全防護(hù)強(qiáng)度 。 4.2.3 智能網(wǎng)絡(luò)入侵檢測 設(shè)備 華為公司憑借在電信領(lǐng)域多年的技術(shù)積累，深刻的認(rèn)識到可靠性設(shè)計(jì)對于一個(gè)網(wǎng)絡(luò)設(shè)備的重要性。華 為防火墻從硬件到軟件，從每個(gè)部件到整體構(gòu)架都進(jìn)行了深入的分析和考慮，在設(shè)計(jì)的每個(gè)環(huán)節(jié)都融入了可靠性的設(shè)計(jì)理念，保證從根本上為用戶提供了安全可靠的網(wǎng)絡(luò)環(huán)境，使得華為防火墻成為了一款真正安全的電信級高可靠的防火墻設(shè)備。 華為防火墻的硬件平臺全部采用高可靠的元器件設(shè)計(jì)，保證了防火墻的硬件平臺可以 24 小時(shí)不間斷工作，這方面的硬件設(shè)計(jì)是很多防火墻廠商無法保證的，通過對硬件平臺精益求精的設(shè)計(jì)使得華為防火墻有了一個(gè)穩(wěn)定運(yùn)行的基石。 1. 強(qiáng)大的入侵檢測能力 NIP 內(nèi)置強(qiáng)大的 IP 分片功能、智能協(xié)議解碼器、高效的 TCP 流重組及細(xì)粒 度的會話分析功能，可以迅速、準(zhǔn)確地檢測各種攻擊行為。同時(shí) NIP 具有 2000 余種入侵特征庫，可以檢測 DoS、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報(bào)和誤報(bào)。 2. 靈活的響應(yīng)方式 NIP 內(nèi)置強(qiáng)大的 IP 分片功能、智能協(xié)議解碼器、高效的 TCP 流重組及細(xì)粒度的會話分析功能，可以迅速、準(zhǔn)確地檢測各種攻擊行為。同時(shí) NIP 具有 3000 余種入侵特征庫，可以檢測 DoS、掃描、代碼攻擊、后門等多種入侵攻擊。有效降低漏報(bào)和誤報(bào)。 NIP 對檢測到的入侵企圖 或 違背 已 設(shè)定 的 安全策略的活動 做出實(shí)時(shí) 響應(yīng)，并提供多種響應(yīng) 方式 。包括： 切 斷與入侵有關(guān)的會話 。 通過移動電話發(fā)送報(bào)警消息 。 通過電子郵件發(fā)送報(bào)警信息 。 運(yùn)行用戶指定的應(yīng)用程序 。 在 Windows 操作系統(tǒng) 事件日志中記錄報(bào)警 。 將與入侵有關(guān)的信息保存在數(shù)據(jù)庫中 。 聯(lián)動防火墻。當(dāng)有入侵事件發(fā)生時(shí)，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者。 3. 增強(qiáng)的安全性 NIP 提供 根據(jù)入侵信息 發(fā)出入侵警報(bào)以及限制網(wǎng)絡(luò)訪問等功能，以保護(hù)服務(wù)器免受外部和內(nèi)部的攻擊。 NIP 通過簡單易用的管理界面和 入侵檢測、入侵阻斷、入侵報(bào)警、入侵日志等功能，提供最佳的策略來增強(qiáng) Internet 商 業(yè)環(huán)境的安全性。 NIP 特別適用于需要極高網(wǎng)絡(luò)安全性的 機(jī)構(gòu) ，例如：審計(jì) 機(jī)構(gòu)、安全顧問 機(jī)構(gòu) 、安全法律執(zhí)行機(jī)構(gòu)、大型企業(yè)、 Internet 服務(wù)提供商、培訓(xùn)機(jī)構(gòu)以及 涉及敏感信息的 政府機(jī)構(gòu)等。 NIP 采用 stealth 技術(shù)，有效地防止入侵檢測系統(tǒng) 的 暴露 ，提高 入侵檢測系統(tǒng)自身的安全性。 4. 強(qiáng)大的報(bào)表功能 NIP 提供基于 Crystal Report 的報(bào)表功能。 可提供 100 余種報(bào)表樣式，同時(shí)還 可實(shí)現(xiàn) 自定義報(bào)表的功能 。 5. 分級用戶管理 NIP 的管理員類型包括三種：超級管理員、普通管理員和只讀管理員。 超級管理員： 具有超級 權(quán)限，可以進(jìn)行任何操作 。 普通管理員： 可以對授權(quán)的引擎進(jìn)行查詢、配置、編輯。 只讀管理員：只能對授權(quán)的引擎進(jìn)行日志查詢操作。 不同級別的管理員擁有不同的管理權(quán)限，最大限度的保證了 NIP的系統(tǒng)安全。 6. 檢測并分析各種入侵行為 NIP 采用基于協(xié)議分析的智能模式匹配，結(jié)合狀態(tài)分析技術(shù)和異常行為檢測技術(shù)，大大提高了檢測的準(zhǔn)確度，減少了漏報(bào)、誤報(bào)現(xiàn)象。通過高效的模式匹配算法，大大提高了檢測效率。內(nèi)置 2500 種以上入侵規(guī)則，提供對 DoS、掃描、代碼攻擊、病毒、后門等各種攻擊的檢測能力。 基本的檢測功能包括下面幾種： 蠕蟲 檢測 NIP 實(shí)時(shí)跟蹤當(dāng)前最新的蠕蟲事件，同時(shí)針對已經(jīng)發(fā)現(xiàn)的蠕蟲及時(shí)提供相關(guān)的事件規(guī)則。對于存在漏洞但是還未發(fā)現(xiàn)相關(guān)蠕蟲事件的情況，通過分析其漏洞提供相關(guān)的入侵事件規(guī)則，最大限度地解決蠕蟲發(fā)現(xiàn)滯后的問題。 協(xié)議解碼 NIP 對常用網(wǎng)絡(luò)應(yīng)用層協(xié)議解碼分析，記錄網(wǎng)絡(luò)中的異常行為。用戶可以方便的自定義基于 TCP/IP 各種協(xié)議的分析事件，如： HTTP、SMTP、 FTP、 Telnet 等應(yīng)用層協(xié)議連接、關(guān)閉； pop3 命令連接請求、應(yīng)答，各種應(yīng)用層協(xié)議的關(guān)鍵字解碼等。 IP 碎片重組 NIP 對所監(jiān)視網(wǎng)絡(luò)中的 IP 碎片報(bào)文重組后 進(jìn)行分析，防止 IP 碎片欺騙。 日志風(fēng)暴處理 NIP可以將一定時(shí)間范圍內(nèi)的同種攻擊類型事件合并成同一條事件，在控制臺顯示并記錄攻擊次數(shù)，防止控制臺的日志風(fēng)暴。 協(xié)議過濾和誤報(bào)處理 NIP 能夠?qū)Σ恍?NIDS 記錄的某類 TCP/IP 協(xié)議的數(shù)據(jù)流進(jìn)行過濾處理。同時(shí)，可以根據(jù)事件規(guī)則名和事件發(fā)生的源或目的綁定對事件進(jìn)行排除，避免無需上報(bào)的事件再次出現(xiàn)在控制臺或給 NIDS 增加不必要的負(fù)擔(dān)。 7. 對安全事件做出響應(yīng) NIP 針對各個(gè)入侵事件提供實(shí)時(shí)響應(yīng)功能，響應(yīng)方式多種多樣。主要包括： 報(bào)警 聲音報(bào)警： 設(shè)置聲音報(bào)警后，當(dāng)有事 件發(fā)生時(shí)，控制臺會發(fā)出不同的聲音提示管理員。 焦點(diǎn)窗口： 設(shè)置焦點(diǎn)窗口后，當(dāng)有事件發(fā)生時(shí)，即使控制臺不是當(dāng)前的焦點(diǎn)窗口，也會自動彈出成為焦點(diǎn)窗口，以使管理員及時(shí)發(fā)現(xiàn)發(fā)生的事件。 報(bào)警燈顯示： 設(shè)置報(bào)警燈顯示后，當(dāng)有事件發(fā)生時(shí)，在控制臺的左下角會有紅色的報(bào)警燈閃爍，以提醒管理員。 郵件報(bào)警： 設(shè)置好郵件參數(shù)后，當(dāng)有事件發(fā)生時(shí)，系統(tǒng)將向預(yù)先定義的信箱發(fā)送報(bào)警信息。 短消息報(bào)警： 設(shè)置好短消息參數(shù)后，當(dāng)有事件發(fā)生時(shí)，系統(tǒng)向預(yù)先設(shè)置的手機(jī)發(fā)送短消息報(bào)警。 執(zhí)行報(bào)警器程序： 通過拷貝 AlertMessenger.exe 和 AlertMessenger.ini 兩個(gè)文件，不需要安裝完整的控制臺程序也可以實(shí)時(shí)顯示報(bào)警信息。 SNMP Trap 報(bào)警： 當(dāng)有事件發(fā)生時(shí)，向網(wǎng)絡(luò)內(nèi)的網(wǎng)管軟件發(fā)送 SNMP Trap消息報(bào)警。 生成日志 生成常規(guī)審計(jì)日志： 常規(guī)審計(jì)日志在控制臺實(shí)時(shí)顯示報(bào)警事件，同時(shí)記錄到數(shù)據(jù)庫中。 生成詳細(xì)審計(jì)日志： 對設(shè)置詳細(xì)審計(jì)日志的事件，系統(tǒng)會詳細(xì)記錄整個(gè)會話的過程，事后可以通過報(bào)文回放工具重現(xiàn)整個(gè)會話過程，以便管理員分析，并可作為證據(jù)保留。 生成系統(tǒng)日志： 在 Windows 操作系統(tǒng)日志中，生成記錄。 切斷會話 針 對 TCP 連接，可以通過 TcpRest 的方式切斷入侵會話。 執(zhí)行程序 執(zhí)行本地程序。 聯(lián)動防火墻 當(dāng)有入侵事件發(fā)生時(shí)，入侵檢測系統(tǒng)向防火墻發(fā)送消息，防火墻將動態(tài)生成規(guī)則，阻斷入侵者的入侵，以保護(hù)網(wǎng)絡(luò)的安全。 8. 監(jiān)控系統(tǒng)的活動和狀態(tài) 除了提供入侵檢測功能外， NIP 還提供對各種信息和狀態(tài)的監(jiān)控功能： 引擎狀態(tài)監(jiān)控 管理員可以實(shí)時(shí)查看引擎的狀態(tài)，包括資源的使用情況和監(jiān)聽網(wǎng)卡的網(wǎng)絡(luò)流量（當(dāng)前會話數(shù)、當(dāng)前流量、每秒報(bào)文數(shù)和每秒丟包數(shù)），通過顯示每秒丟包數(shù)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常情況。 服務(wù)器工作狀態(tài)監(jiān)控 網(wǎng)絡(luò)中存在 很多提供應(yīng)用服務(wù)的服務(wù)器，如： Web 服務(wù)器、 FTP服務(wù)器、郵件服務(wù)器等，這些服務(wù)器一般情況下都需要 24 小時(shí)運(yùn)行，因此需要實(shí)時(shí)監(jiān)控這些服務(wù)器是否正常運(yùn)行。通過服務(wù)器工作狀態(tài)監(jiān)控功能，用戶可以及時(shí)發(fā)現(xiàn)服務(wù)器的存活狀態(tài)和相應(yīng)服務(wù)的運(yùn)行情況，以便第一時(shí)間發(fā)現(xiàn)并解決問題，最大限度地減少由于這些服務(wù)器不能正常運(yùn)行而造成的損失。 郵件監(jiān)控 郵件監(jiān)控可以對通過 SMTP、 POP3、 IMAP 和 Web 傳送的郵件信息進(jìn)行監(jiān)控，以避免泄漏敏感信息。 MSN 監(jiān)控 NIP 可以對 MSN 的會話進(jìn)行監(jiān)控。 文件傳輸監(jiān)控 NIP 以對通過 FTP 或 MSN 傳輸?shù)奈募M(jìn)行監(jiān)控，以避免泄漏敏感信息。 實(shí)時(shí)會話監(jiān)控 系統(tǒng)可以實(shí)時(shí)顯示當(dāng)前會話列表。針對每一個(gè)會話，用戶可以查看并記錄會話內(nèi)容，或者切斷該會話。 有害站點(diǎn)監(jiān)控 NIP 可以對黃色和暴力等有害站點(diǎn)的訪問進(jìn)行監(jiān)控。 多端口監(jiān)聽 NIP 可以為每個(gè)引擎定義多個(gè)監(jiān)