諾亞技術方案V11-1

目錄

一、項目總體架構以及技術解決方案...................4

1.1、網(wǎng)絡需求描述..................................4

1.2、方案設計原則..................................4

1.3,設備選型原則..................................6

1.4、校園網(wǎng)網(wǎng)絡設計................................6

1.4.1.項目總體架構...............................6

1.4.2、校園網(wǎng)核心層設計...........................8

1.4.3.接入層設計.................................8

1.4.4,網(wǎng)絡方案設計優(yōu)點...........................9

1.5.網(wǎng)絡安全設計..................................9

1.5.K匯聚層安全設計.............................9

1.5.2.接入層安全設計.............................11

1.6.網(wǎng)絡安全管理平臺設計........................15

二、貨物清單........................................21

三、原廠配置清單及原廠中文說明書...................24

3.1、原廠配置清單.................................24

3.2、產(chǎn)品中文說明書...............................27

3.2.1、4503-E交換機中文使用說明書..............27

3.2.2、思科C220服務器中文使用說明書.............68

3.2.3.聯(lián)想ThinkServerRD630中文用戶手冊........70

3.2.4,網(wǎng)絡安全管理平臺中文說明書...............74

3.2.5,中心行為管理設備中文明書..................77

四、制造商授權書及售后服務承諾函...................79

4.1思科授權書....................................79

4.2思科服務承諾函................................79

4.3深信服授權書.....................................80

4.4深信服服務承諾函.................................80

4.5聯(lián)想授權書.......................................80

4.6聯(lián)想服務承諾函...................................80

五、技術響應表及實質(zhì)性應答...........................80

5.1、技術響應表......................................80

5.2、實質(zhì)性應答.....................................106

5.2.1.學校核心交換機實質(zhì)性應答...................106

5.2.2,接入交換機一實質(zhì)性應答.....................113

5.2.3.接入交換機二實質(zhì)性應答.....................119

5.2.4.光模塊實質(zhì)性應答...........................125

5.2.5、校園網(wǎng)絡服務器一實質(zhì)性應答.................126

5.2.6.校園網(wǎng)絡服務器二實質(zhì)性應答................130

5.2.7,網(wǎng)絡安全管理平臺實質(zhì)性應答.................134

5.2.8.中心行為管理設備實質(zhì)性應答.................138

5.2.9,網(wǎng)絡管理機實質(zhì)性應答.......................140

5.2.10.操作系統(tǒng)實質(zhì)性應答.....................142

六、選配件、專用耗材、售后服務優(yōu)惠表...............143

七、項目實施人員（主要從業(yè)人員以及其技術資格）一覽表

..................................................145

八、供貨周期組織及人力資源安排方案..................146

九、項目實施方案及技術培訓方案....................150

9.1項目實施方案....................................150

9.2技術培訓方案...................................156

十、諾亞售后服務中心情況介紹及本項目售后服務方案.?160

10.1諾亞售后服務中心情況介紹....................160

10.2售后服務方案................................160

10.3諾亞服務體系................................161

10.4.服務承諾.................................165

H、資質(zhì)證明文件.................................167

IL1思科4503-E交換機入網(wǎng)證......................167

11.2思科SG300-28交換機入網(wǎng)證..................167

1L3思科SG300-52交換機入網(wǎng)證..................168

11.4思科4503-E交換機入網(wǎng)檢測報告................169

11.5思科SG300-28交換機入網(wǎng)檢測報告...........169

11.6思科SG300-52交換機入網(wǎng)檢測報告...........169

1L7思科C220服務器CCC認證......................169

11.8深信服AF1650《中國國家信息安全產(chǎn)品認證證書》169

1L9深信服AF165O《信息安全產(chǎn)品檢測中心檢驗報告》169

11.10深信服AF1650《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可

證》169

11.11深信服AF1650《軟件產(chǎn)品登記測試報告》.....169

11.12深信服AC8000《信息技術產(chǎn)品安全測評證書》.??169

11.13深信服AC8000《計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可

證》169

11.14深信服占有率報告...........................169

H.15深信服產(chǎn)品性能先進、技術成熟證明文件......169

11.16深信服產(chǎn)品穩(wěn)定性、可靠性證明材料..........171

十二、產(chǎn)品彩頁.....................................171

一、項目總體架構以及技術解決方案

1.K網(wǎng)絡需求描述

信息化技術在教育領域的推廣和應用日新月異，學校信息化

建設已成為未來學校教育發(fā)展戰(zhàn)略的制高點。在當前新形勢下,

將傳統(tǒng)校園逐步轉(zhuǎn)換為數(shù)字校園已成為迫切需要。

平度教育體育局順應學校信息化建設的需求，較早就建立了

覆蓋平度學校的信息化網(wǎng)絡，隨著時間的推移，部分學校網(wǎng)絡設

備老化嚴重，進入了故障多發(fā)期，原有的網(wǎng)絡設備的性能瓶頸也

制約了信息化的進一步發(fā)展。為了使平度教育信息化建設與應用

更進一步，本著“技術先進適用，功能完備、安全可靠、造價合

理”的原則，以滿足教育教學需要為基本出發(fā)點，根據(jù)平度教體

局的實際情況，我們制定了此網(wǎng)絡技術方案。

1.2、方案設計原則

我們在平度教體局教育網(wǎng)絡設計中遵循以下原則：

?采用標準化、開放的網(wǎng)絡技術：整個網(wǎng)絡系統(tǒng)在結構上實現(xiàn)真正

開放，符合有關國際標準，使網(wǎng)絡具有良好的開放性和兼容性。

開放的系統(tǒng)可以使用戶自由地選擇不同廠家的計算機、網(wǎng)絡設備

及操作系統(tǒng)，構成真正的跨軟硬件平臺的系統(tǒng)。網(wǎng)絡的設計基于

國際標準，網(wǎng)絡設備采用標準的接口和規(guī)范的協(xié)議，滿足用戶的

不同需求并充分利用軟硬件資源，有效地保護住戶投資的長期效

益。

?網(wǎng)絡可擴充性：因為目前的網(wǎng)絡方案是基于滿足當前需求的，隨

著用戶應用規(guī)模的不斷擴大，網(wǎng)絡應可以方便地進行擴充容量以

支持更多的用戶和應用；隨著網(wǎng)絡技術的不斷發(fā)展，網(wǎng)絡必須能

夠平穩(wěn)地過渡到新的技術和設備。為了保護用戶的投資，本方案

中的網(wǎng)絡設備在將來網(wǎng)絡升級或再投資的情況下，能夠隨時通過

增加網(wǎng)絡設備或模塊來對現(xiàn)有設備進行升級和擴充，并能把替換

下來的設備應用到分支或邊緣網(wǎng)絡上。本方案充分考慮到未來網(wǎng)

絡升級的平穩(wěn)銜接，保證網(wǎng)絡通訊介質(zhì)、網(wǎng)絡設計核心的向后兼

容性。

?網(wǎng)絡的可管理性：良好的組織和管理對網(wǎng)絡的正常運轉(zhuǎn)和高效使

用有很大幫助，網(wǎng)絡應該能夠提供方便、靈活、有力的工具對網(wǎng)

絡進行集中式的有效管理和控制。方便的監(jiān)控、良好的管理界面、

完備的系統(tǒng)記錄都能使管理員在不改變系統(tǒng)運行的情況下對網(wǎng)

絡系統(tǒng)進行檢測、修改及故障恢復等管理維護工作。

?網(wǎng)絡的安全性：保證網(wǎng)絡系統(tǒng)的安全運行是網(wǎng)絡設計的一個重要

環(huán)節(jié)，網(wǎng)絡安全是保證系統(tǒng)安全運行的重要基礎，因此，在本方

案中內(nèi)部網(wǎng)與外部網(wǎng)之間建立安全控制機制。為了保護網(wǎng)絡上數(shù)

據(jù)的安全性，必須提供多種方式和層次的訪問控制、通過使用網(wǎng)

絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術來保

證網(wǎng)絡系統(tǒng)的安全性。

?網(wǎng)絡的高可靠性：網(wǎng)絡系統(tǒng)一旦投入運行就會成為各項日常應用

的基礎，并隨著應用的深入普及，其基礎作用將越來越大。在網(wǎng)

絡系統(tǒng)成為實時系統(tǒng)后，網(wǎng)絡的高可靠性將成為網(wǎng)絡的基本要求

之一。骨干網(wǎng)絡的故障會造成巨大影響。因此，整個網(wǎng)絡系統(tǒng)必

須有良好的可靠性及一定程度的冗余。高可靠性體現(xiàn)在：物理線

路的可靠性，網(wǎng)絡設備尤其是核心設備的可靠性和冗余，系統(tǒng)及

應用軟件的可靠性。

?網(wǎng)絡的高性能：為了及時、迅速地處理網(wǎng)絡上傳送的數(shù)據(jù)，網(wǎng)絡

設備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡高吞

吐能力，滿足各種應用對網(wǎng)絡帶寬的需求。

?網(wǎng)絡設施投資保護：考慮到網(wǎng)絡技術的日新月異，現(xiàn)在選擇的技

術或者設備在一段時間后就會過時甚至被淘汰，造成新一輪的大

規(guī)模投資，因此在選擇網(wǎng)絡設備時要有前瞻性，要能夠兼容未來

的標準技術，如IPv6等。

1.3,設備選型原則

針對此次的招標的網(wǎng)絡設備，我們選擇思科公司的產(chǎn)品，主

要原因基于以下幾點：

平度教體局本身就是思科的老客戶，選擇思科產(chǎn)品可以在設

備維護、人員培訓上起到事半功倍的效果。

思科公司是世界最大的網(wǎng)絡設備生產(chǎn)商，其產(chǎn)品的穩(wěn)定性、

可靠性，技術的先進性，都是業(yè)界領先的。

1.4.校園網(wǎng)網(wǎng)絡設計

1.4.K項目總體架構

網(wǎng)絡設計經(jīng)過多年的探索、實踐和反饋總結，目前已經(jīng)公認

層次化和模塊化的設計方法是最行之有效的。無論是局域網(wǎng)、廣

域網(wǎng)，無論是企業(yè)網(wǎng)還是復雜的電信網(wǎng)，無論是網(wǎng)絡設計還是業(yè)

務應用流程設計，層次結構都是最優(yōu)化的結構。

根據(jù)網(wǎng)絡層次化的是設需求，平度教體局網(wǎng)絡設計拓樸如下

所示:

互聯(lián)網(wǎng)

平度教體局正在構建一個跨越全市范圍的教育城域網(wǎng)，城域網(wǎng)

的核心是兩臺思科的7010,本次新采購的所有校園網(wǎng)的核心交換

機均與這兩臺城域網(wǎng)核心交換機相連。校園網(wǎng)核心交換機與城域

網(wǎng)核心交換機之間透明部署一臺深信服的安全管理平臺，實現(xiàn)對

上網(wǎng)行為的管理。

在核心端以旁路模式部署一臺深信服AC8000,實現(xiàn)對整個網(wǎng)

絡上網(wǎng)行為的審記。

所有的校園網(wǎng)接入交換機均與校園網(wǎng)核心交換機相連，其網(wǎng)關

部署在核心交換機上，城域網(wǎng)核心交換機與校園網(wǎng)核心交換機

之間運行動態(tài)路由協(xié)議，通過動態(tài)路由協(xié)議實現(xiàn)路由的動態(tài)更新,

保證客戶端對網(wǎng)絡的訪問。

1.4.2,校園網(wǎng)核心層設計

核心層作為層次結構網(wǎng)絡的資源中心，在功能上需要達到可

靠、冗余、可擴展、可管理和安全等要求及數(shù)據(jù)實現(xiàn)高速轉(zhuǎn)發(fā),

如上圖拓樸所示，我們計劃在每個中心學校都部署一臺核心交換

機，這臺核心交換機通過雙光纖與城域網(wǎng)核心交換機7010相連。

通過一條光纖連接到下面的分支學校，為分支學校提供廣域網(wǎng)訪

問鏈路。

在中心學校，我們根據(jù)學校的情況選擇了思科的4503-E作

為匯聚層交換機。所有的匯聚交換機都使用了冗余電源的設計,

在學校機房環(huán)境復雜的情況下，提供了冗余性。4503交換機屬模

塊化交換機，在相關板卡出現(xiàn)故障后，只需要更換板卡，即可實

現(xiàn)故障的快速恢復，4503的在線升級功能，使交換機在軟件升級

時，無需斷網(wǎng)，提高了網(wǎng)絡的穩(wěn)定性。

7010與4503之間起0SPF協(xié)議，通過路由辦議的選路功能,

實現(xiàn)在一條鏈路出現(xiàn)故隨后，自動選用另外一條鏈路，實現(xiàn)了鏈

路的冗余性。

4503交換機內(nèi)置芯片支持無線控制器功能，隨著信息化的發(fā)

展，學校部署無線網(wǎng)絡也是發(fā)展的趨勢，將來學校在組建無線網(wǎng)

絡時，無需購買無線控制器，只需要購買無線AP即可，保護了

用戶的投資。

1.4.3.接入層設計

接入層是最終用戶訪問網(wǎng)絡的訪問點，為用戶提供網(wǎng)絡訪問

能力，其主要功能包括：為用戶訪問提供共享帶寬；為用戶訪問

提供交換帶寬；提供用戶接入控制功能。

接入層交換機我們選擇思科的SG300交換機，SG300交換機

通過光纖模塊，與中心學校的匯聚交換機相連，提供上連鏈路，

并通過千兆電口與學校終端相連。

SG300交換機在保證千兆的帶寬接入前提下，提供了豐富的

安全特性，適用于學校這種接入環(huán)境較為復雜的使用環(huán)境，具體

見安全設計。

根據(jù)學校的使用人數(shù)不同，我們提供了24口和48口兩種不

同的SG300交換機，并且SG300系列交換機有POE型號，為將來

無線網(wǎng)絡的建設提供了兼容性選擇。

1.4.4,網(wǎng)絡方案設計優(yōu)點

?集中與分散相結合，綜合二層交換和三層交換的優(yōu)勢，降低復雜

性。

?利用IGP使網(wǎng)絡能夠?qū)崿F(xiàn)負載均衡、快速收斂、可伸縮性和可控

性。

?在匯聚層和核心層使用三層交技術

?在子網(wǎng)使用二層交換技術，確保設備能夠通過第三層實現(xiàn)安全、

策略管理和Qos

1.5、網(wǎng)絡安全設計

1.5.K匯聚層安全設計

教育城域網(wǎng)是跨越地理范圍巨大的網(wǎng)絡，使用的用戶既有學

生也有教師，隨著互聯(lián)網(wǎng)上基于菜單的黑客工具的流行，發(fā)動安

全襲擊需要的技能越來越少，因此網(wǎng)絡的安全性是必須要考慮的

問題。

在匯聚層常見的安全威脅包括：

?MAC地址泛洪

?DHCP服務器欺騙

?利用ARP發(fā)動的“中間人”襲擊

?IP主機欺騙

雖然使用IEEE802.lx和訪問控制列表等驗證和安全特性是

企業(yè)威脅防御策略的重要組成部分，但不能預防上述第二層安全

襲擊，因為通過驗證的用戶仍有可能具有惡意襲擊傾向，從而容

易地發(fā)動上述襲擊。

利用Catalyst4500的Catalyst集成式安全特性，可以輕

松地預防這些常見的安全威脅。我們推薦用戶使用以下手段來提

升網(wǎng)絡的安全性：

(1)、通過端口安全防止MAC地址泛洪攻擊

MAC地址指主機設備的物理地址。交換機的正常行為是在地

址表中填寫每個到達包的源地址和端口。去往未知目標MAC地址

的幀由VLAN上的每個端口發(fā)出。這就是交換機或橋接器在第二

層執(zhí)行轉(zhuǎn)發(fā)、過濾和學習機制的方法。交換機具有固定的內(nèi)存空

間存儲MAC地址。試圖造成該表泛洪或溢出的襲擊將利用交換機

內(nèi)的在MAC地址學習功能和轉(zhuǎn)發(fā)行為。

這種襲擊將利用這種自然硬件限制，向交換機發(fā)送海量未知

MAC地址，讓交換機學習。但是，一旦達到了第二層轉(zhuǎn)發(fā)表的極

限，包就會泛洪到VLAN的所有端口，使黑客能夠通過交換網(wǎng)絡

盜取網(wǎng)絡連接，進而破壞網(wǎng)絡性能。

在二層可采取的預防措施為端口安全，端口安全特性是一種

動態(tài)特性，可用于限制和識別允許訪問同一物理端口的站點的

MAC地址。當某端口分配了安全MAC地址，或者動態(tài)學習完成之

后，端口將禁止轉(zhuǎn)發(fā)該源地址范圍之外的包。通過端口安全特性

限制交換機端口上允許的MAC地址的數(shù)量，有助于防止網(wǎng)絡遭受

MAC地址泛洪襲擊。

(2)、DIICP嗅探功能防御服務器欺騙和中間人襲擊

網(wǎng)絡襲擊者通常使用惡意DHCP服務器發(fā)出IP主機地址，并

將其作為默認網(wǎng)關，在兩個端點之間重新轉(zhuǎn)發(fā)正常流量，從而竊

取這兩個端點之間的所有流量。因此，這種襲擊也稱為中間人襲

擊。

所有第二層端口都可以支持思科已獲專利的DHCP監(jiān)聽特性。

該特性能夠為合法DHCP服務器規(guī)定可信端口，使之接發(fā)這些服

務器的DHCP請求和信息。

截獲VLAN中的所有DHCP消息后，交換機可以作為用戶與合

法DHCP服務器之間的小型安全防火墻。

(3)、動態(tài)ARP檢測，防范基于地址解析辦議(ARP)的中

間人攻擊防御

地址解析協(xié)議(ARP)的最基本的功能是允許兩個站點在LAN

網(wǎng)段上通信。

攻擊者可能會發(fā)送帶假冒源地址的ARP包，希望默認網(wǎng)關或

其它主機能夠承認該地址，并將其保存在ARP表中。ARP協(xié)議不

執(zhí)行任何驗證或過濾就會在目標主機中為這些惡意主機生成記

錄項，從而提高了網(wǎng)絡易損性。目前，惡意主機可以在端點毫不

知情的情況下竊取兩個端點之間的談話內(nèi)容。攻擊者不但可以竊

取密碼和數(shù)據(jù)，還可以偷聽IP電話內(nèi)容。

這種攻擊可以通過已獲專利的思科安全特性一一動態(tài)ARP檢

測(DAI)有效預防，這種方法能夠保證接入交換機只傳輸“合

法”的ARP請求和答復。DAI能夠截獲交換機上的每個ARP包，

檢查ARP信息，然后再更新交換機ARP高速緩存，或者將其轉(zhuǎn)發(fā)

至相應的目的地。

(4)、IP源防護，防御IP主機欺騙防御

1P地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個

地址，或者通過程序執(zhí)行地址欺騙?；ヂ?lián)網(wǎng)蠕蟲可以使用欺騙技

術隱藏攻擊原發(fā)地。

利用IP源防護特性，攻擊者將無法冒用合法用戶的IP地址

發(fā)動攻擊。該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。

1.5.2.接入層安全設計

接入層交換機是最靠近用戶的網(wǎng)絡設備，其安全性也非常重

要，思科公司的接入層交換機具有很高的安全性，我們建議平度

教體局從以下三個方面入手來解決接入層的安全問題：

1、通過生成樹增強特性防止非法交換機連接

思科公司提供兩種生成樹增強機制：BPDUGuard,當一個BPDU

從某端口進入網(wǎng)絡時，可立刻禁用該訪問端口。這可防止非法交

換機連接到網(wǎng)絡并對生成樹設計造成潛在的破壞。對于那些可能

導致對根網(wǎng)橋進行重新計算的所有分組，RootGuard都會讓端口

拒絕接收。

2、通過提供網(wǎng)絡準入，實現(xiàn)網(wǎng)絡用戶的可信

園區(qū)或分支機構基礎設施中的第一道防線就是接入層。作為

進入網(wǎng)絡的門戶，任何可影響用戶行為的安全政策，都必須應用

到盡可能靠近用戶的地方。多數(shù)企業(yè)的員工必須先登錄網(wǎng)絡，然

后才能訪問服務器、電子郵件和其他資源；基于身份的網(wǎng)絡也都

采用相同的原則。用個比喻說，基于身份的網(wǎng)絡類似于一個既拿

著護照又持有航空公司?？蛢?yōu)惠卡的人。護照提供了對該人身份

的驗證（通常是出于安保考慮），而常客優(yōu)惠卡則可確定應如何

對待這個人（通常是出于網(wǎng)絡運行考慮）。思科公司基于身份的

網(wǎng)絡服務（Identity-basedNetworkingServices-IBNS）恰

恰提供的是這種功能。

IBNS是從IEEE802.lx基于端口的網(wǎng)絡訪問控制標準開始

的?；诙丝诘木W(wǎng)絡訪問控制利用的是IEEE802LAN基礎設施

中現(xiàn)有的物理特性，而無需改變架構。這一現(xiàn)有基礎設施提供了

對連接到LAN（交換機）端口的設備進行身份驗證和授權的方法。

802.lx可與RADIUS服務器配合來成功執(zhí)行基于端口的網(wǎng)絡訪問

控制（802.IxIEEE標準）。為此，網(wǎng)絡中就必須存在發(fā)揮具體作

用的特定設備。

請求端（客戶端）-請求端請求獲得對LAN和交換機服務

的訪問權，并響應來自接入層設備的請求。請求端必須運行符合

802.1X標準的軟件（如WindowXP）。

身份驗證端（交換機）-身份驗證端根據(jù)請求端的身份驗

證狀態(tài)來控制對網(wǎng)絡的物理訪問。這個設備作為客戶機與身份驗

證服務器之間的中介（代理），從請求端那里請求身份信息、與

身份驗證服務器驗證該信息并向該請求端作出響應。交換機通過

RADIUS協(xié)議與身份驗證服務器進行通信，并通過802.lx協(xié)議與

請求端進行通信。

這個過程只是要確認出用戶的身份。完成這一過程后，可向

網(wǎng)絡提供關于該用戶能獲得什么服務的進一步信息。這個策略是

從ACS服務器或者ISE服務器和接入層設備來配置的，且只有當

用戶身份驗證成功后才能應用到端口之上。策略可以被定義為很

多東西，但在IBNS情況下，策略主要指（但不限于）以下方面：

?支持動態(tài)VLAN配置的IEEE802.lx-可根據(jù)用戶的身

份及其所屬的用戶組在端口上配置VLAN。

?支持動態(tài)ACL實現(xiàn)功能的IEEE802.lx-可根據(jù)正進行

身份驗證的請求端的身份將一個安全ACL應用到端口的

VLAN,在本方案中接入交換機SG300支持此功能。

?支持端口安全的IEEE802.lx-可使網(wǎng)絡管理員鎖定被

允許在某個端口上進行身份驗證的具體MAC地址或一些

MAC地址。

?支持訪客VLAN的IEEE802.lx-可使不具備802.lx功

能的用戶/設備獲得通過某個訪客VLAN訪問某個接入層

端口的權力，一般局限于有限的資源，如僅限互聯(lián)網(wǎng)連接

等。

?支持RADIUS記帳和跟蹤功能的IEEE802.lx-可使網(wǎng)

絡管理員向RADIUS服務器發(fā)送IEEE802.lx用戶記帳信

息來進行記帳和跟蹤。

3、提升網(wǎng)絡交換機的抗病毒能力

病毒在網(wǎng)絡當中傳播，往往伴隨一些特性，比如大量產(chǎn)生廣

播包、訪問終端特定端口等等，在接入層交換機上可以通過以下

手段來提升網(wǎng)絡的抗病毒能力：

?在端口上打開廣播風暴抑制功能；

?在接入層交換機上配置訪問控制列表（ACL）,屏蔽病毒常

用端口；

?在端口上進行限速；

通過上述匯聚層和接入層的安全手段，我們相信我們可以為

平度教體局創(chuàng)建一個安全、可信任的校園網(wǎng)絡。

1.6.網(wǎng)絡安全管理平臺設計

1.6.1應用背景

隨著平度教體局整體網(wǎng)絡建設的逐步完善和新的各類教學

應用系統(tǒng)的快速上線，網(wǎng)絡在各學校教學工作發(fā)揮著越來越重要

的作用，網(wǎng)絡安全、網(wǎng)絡管理以及數(shù)據(jù)安全變得尤為重要。同時

廣域網(wǎng)的運維和管理的要求也在不斷的提升，從網(wǎng)絡安全、應用

安全到業(yè)務數(shù)據(jù)安全的要求都在不斷的提高。

1.6.2需求分析

廣域網(wǎng)確保了教體局和各中小學之間的互聯(lián)互通，尤其是當

前各個區(qū)域中小學與教體局中心網(wǎng)絡的聯(lián)機。但是，隨著廣域網(wǎng)

上各種應用的業(yè)務量和復雜度不斷提升，其安全及性能問題變得

越來越突出，主要問題包括：

安全組網(wǎng)：如何實現(xiàn)安全組網(wǎng)，并在安全組網(wǎng)的基礎下減

小運維及建設成本？

訪問控制：如何實現(xiàn)對內(nèi)部師生訪問網(wǎng)絡的權限分配、實

現(xiàn)合理細致的訪問權限分配？

安全威脅：下屬學校的安全級別低、安全管理困難，容易

引入蠕蟲、木馬、病毒、黑客等，針對目前網(wǎng)絡上常見的攻擊方

式缺乏有效的防護手段，如何防范這些安全威脅在教體局網(wǎng)絡內(nèi)

擴散？

數(shù)據(jù)安全：如何防止內(nèi)部資源服務器內(nèi)存儲的數(shù)據(jù)被非法

訪問、非法竊取，如何防止敏感數(shù)據(jù)泄露？

帶寬保障：非關鍵業(yè)務或垃圾流量占用了有限的廣域網(wǎng)帶

寬資源，造成廣域網(wǎng)擁塞，如何保證數(shù)據(jù)流在廣域網(wǎng)中按業(yè)務的

重要程度進行不同優(yōu)先級的調(diào)度？

行為管理：內(nèi)部師生使用的各類網(wǎng)絡應用如何規(guī)范，如何

對控娛樂、下載等應用進行準確控制管理？

安全管理：如何實現(xiàn)廣域網(wǎng)集中的安全管理，整網(wǎng)部署統(tǒng)

一的安全策略，進行統(tǒng)一的安全事件監(jiān)控？

網(wǎng)頁防篡改：針對教體局內(nèi)部站點，如何進行網(wǎng)站防護，

實現(xiàn)網(wǎng)頁防篡改

集中管理：下屬各學校設備分部廣泛、如何及時有效的了

解學校設備的運行狀態(tài)、如何統(tǒng)一管理各設備？

1.6.3,深信服網(wǎng)絡安全管理平臺解決方案及技術優(yōu)勢

深信服網(wǎng)絡安全管理解決方案充分考慮到教體局以及下屬

中小學網(wǎng)絡運行過程中潛在的安全問題及可靠性問題，通過部署

深信服SANGFOR-網(wǎng)絡安全管理平臺，配置不同功能模塊的應用，

紐成L2-L7層立體安全防御體系，實現(xiàn)中小學安全組網(wǎng)、網(wǎng)流量

清洗的防護效果，內(nèi)網(wǎng)安全防護、流量控制、行為審計等功能，

確保教體局整體網(wǎng)絡的高安全和高可用。

通過在教體局中心機房部署SANGFOR中央安全管理平臺，實

現(xiàn)對下屬學校設備的集中管控，統(tǒng)一下發(fā)安全策略，集中收集安

全日志信息，同時支持擴展外置數(shù)據(jù)中心，存放長期海量日志。

1.6.4、更精細的應用層安全控制

SANGFOR網(wǎng)絡安全管理平臺獨創(chuàng)的應用可視化引擎，可以

杈據(jù)應用的行為和特征實現(xiàn)對應用的識別和控制，而不僅僅依賴

于端口或協(xié)議，擺脫了過去只能通過IP地址來控制的尷尬，即

使加密過的數(shù)據(jù)流也能應付自如。

目前，SANGFOR網(wǎng)絡安全管理平臺的應用可視化引擎不但可

以識別724多種的應用及其應用動作，還可以與多種認證系統(tǒng)（AD、

LDAP、Radius等）、應用系統(tǒng)（POP3、SMTP等）無縫對接，自動

識別出網(wǎng)絡當中IP地址對應的用戶信息，并建立組織的用戶分

紐結構；既滿足了普通互聯(lián)網(wǎng)邊界行為管控的要求，同時還滿足

了在內(nèi)網(wǎng)數(shù)據(jù)中心和廣域網(wǎng)邊界的部署要求，可以識別和控制豐

富的內(nèi)網(wǎng)應用，如LotusNotes、RTX、Citrix、OracleEBS、金

蝶EAS、SAP、LDAP等，針對用戶應用系統(tǒng)更新服務的訴求，網(wǎng)絡

安全管理平臺還可以精細識別Microsoft、360、Symantec、Sogou、

Kaspersky、McAfee、金山毒霸、江民殺毒等軟/牛更新，保障在安

全管控嚴格的環(huán)境下，系統(tǒng)軟件更新服務暢通無阻。

因此，通過應用可視化引擎制定的L3-L7一體化應用控制策

喀，可以為用戶提供更加精細和直觀化控制界面，在一個界面下

完成多套設備的運維工作，提升工作效率。

1.6.5、更全面的內(nèi)容級安全防護

SANGF0R網(wǎng)絡安全管理平臺的灰度威脅識別技術不但可以

將數(shù)據(jù)包還原的內(nèi)容級別進行全面的威脅檢測，而且還可以針對

黑客入侵過程中使用的不同攻擊方法進行關聯(lián)分析，從而精確定

位出一個黑客的攻擊行為，有效阻斷威脅風險的發(fā)生?；叶韧{

識別技術改變了傳統(tǒng)IPS等設備防御威脅種類單一，威脅檢測經(jīng)

常出現(xiàn)漏報、誤報的問題，可以幫助用戶最大程度減少風險短板

的出現(xiàn)，保證業(yè)務系統(tǒng)穩(wěn)定運行。

深信服網(wǎng)絡安全管理平臺可以為業(yè)務系統(tǒng)提供端到端的安

全防護，防護對象涵蓋了終端、服務器、網(wǎng)絡設備等，防御的威

脅種類包括了：

漏洞利用類威脅：各種通過操作系統(tǒng)、應用系統(tǒng)、協(xié)議

異常等漏洞，進行傳播的蠕蟲、木馬、后門、間諜軟件，進行攻

擊和入侵的DoS/DDoS攻擊、緩沖區(qū)溢出攻擊、協(xié)議異常攻擊、

藍屏攻擊、權限提取等；

Web應用類威脅：專門針對Web應用面臨的各種最新的

威脅提供額外的安全防護，包括SQL注入、XSS攻擊、OS命令注

入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上

傳威脅文件等，從根源上解決了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的

可能性，同時設備內(nèi)置專業(yè)的網(wǎng)頁防篡改功能模塊，可實現(xiàn)對內(nèi)

部站點的篡改防護，做到事前、事后全面防護；

病毒類威脅：除了傳統(tǒng)的HTTP、FTP、SMTP、POP3等協(xié)

議，還可以針對商務應用（文件共享等）傳輸?shù)奈募M行精確的

木馬、病毒、蠕蟲查殺；

終端內(nèi)容威脅：為了避免終端訪問Web應用內(nèi)容而被竊

取隱私等信息或被用作肉雞，需要有效過濾惡意網(wǎng)站、惡意文件、

惡意控件、惡意腳本等內(nèi)容威脅的訪問；

SANGFOR網(wǎng)絡安全管理平臺的灰度威脅識別不但具備2000+

條漏洞特征庫、數(shù)十萬條病毒、木馬等惡意內(nèi)容特征庫、1000+Web

應用威脅特征庫，可以全面識別各種應用層和內(nèi)容級別的單一安

全威脅；而且灰度威脅識別技術還提供了20+典型的黑客入侵行

為的模板，可以有效關聯(lián)各種威脅進行分析，最大成的提高了威

脅檢測精度。另外，深信服憑借在應用層領域6年以上的技術積

累，組建了專業(yè)的安全攻防團隊，可以為用戶定期提供最新的威

脅特征庫更新，以確保防御的及時性。

1.6.6,更高性能的應用層處理能力

為了實現(xiàn)強勁的應用層處理能力，SANGFOR網(wǎng)絡安全管理平

臺拋棄了傳統(tǒng)的NP、ASIC等適合執(zhí)行網(wǎng)絡層重復計算工作的硬

件設計，采用了更加適合應用層靈活計算能力的多核并行處理技

術；在系統(tǒng)架構上，SANGFOR網(wǎng)絡安全管理平臺也放棄了UTM多

引擎，多次解析的架構，而采用了更為先進的一體化單次解析引

擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應

用層威脅統(tǒng)一進行檢測匹配，從而提升了工作效率，實現(xiàn)了萬兆

級的應用安全防護能力。

多核并行處理架構：現(xiàn)在CPU核越來越多，從雙核到4核,

再從4核到8核，16核，但是通常設備性能并不能夠根據(jù)核的增

加而迅速增加。因為雖然各個核物理上是獨立的，但是有很多資

源是共享的，包括CPU的Cache,內(nèi)存，這些核在訪問共享資源

的時候是要等其他核釋放資源的，因此很多工作只能串行完成。

所以，網(wǎng)絡安全管理平臺的多核并行處理技術進行了大量的優(yōu)化

工作一一減少臨界資源的訪問，除了在軟件處理流程的設計上盡

量減少臨界資源以及臨界資源的訪問周期，還需要充分利用讀寫

鎖、原子操作、內(nèi)存鏡像等機制來提高臨界資源的訪問效率。

單次解析引擎：要進行應用層威脅過濾，就必須將數(shù)據(jù)報文

重組才能檢測，而報文重組、特征檢測都會極大地消耗內(nèi)存和CPU,

因而UTM的多引擎，多次解析架構工作效率低下。因此，SANGFOR

網(wǎng)絡安全管理平臺所采用的單次解析引擎通過統(tǒng)一威脅特征、統(tǒng)

一匹配引擎，針對每個數(shù)據(jù)包做到了只有一次報文重組和特征匹

配，消除了重復性工作對內(nèi)存和資源的占用，從而系統(tǒng)的工作效

率提高了70%-80%o

更智能的安全防護方案

為了提高SANGFOR網(wǎng)絡安全管理平臺的防護作用，設備提供

了內(nèi)核級的智能聯(lián)動功能，安全模塊、防火墻、IPS、服務器防

護等功能模塊檢測到攻擊威脅，設備可自動調(diào)生防火墻功能模塊

生產(chǎn)阻斷策略，組織攻擊源TP的所有訪問連接請求。提高系統(tǒng)

安全防護智能性以及黑客攻擊成本。

更專業(yè)的流量控制技術

SANGFOR網(wǎng)絡安全管理平臺內(nèi)置專業(yè)的流量控制功能模塊，

具備多線路復用、智能迷路、虛擬線路、父子通道等多種技術保

障。確保流量控制效果。可為數(shù)據(jù)包選擇最快最暢通線路進行數(shù)

據(jù)傳輸。SANGFOR網(wǎng)絡安全管理平臺支持父通道中嵌套子通道，

可支持三級子通道，為用戶提供細致的流量管理手段，實現(xiàn)大流

量劃分成小流量通道，分級管理。通過網(wǎng)絡安全管理平臺可實現(xiàn)

基于用戶/用戶組、時間段、優(yōu)先級、應用協(xié)議、網(wǎng)站類型、文

件類型等的流量管理系統(tǒng)，讓學校的帶寬資源得到細致的優(yōu)化和

高效的使用。

1.6.7,方案總結

深信服SANGFOR網(wǎng)絡安全管理平臺提供了滿足教體局網(wǎng)絡

安全建設需求的多維度集中化安全功能需求。對教體局網(wǎng)絡從網(wǎng)

絡層到應用層進行L2-L7層流量清洗，有效的解決了廣域網(wǎng)上病

毒木馬快速擴散及對總部應用層攻擊的問題；提供了基于應用的

可視化帶寬保障，保障教學工作正常運行；提供專業(yè)的網(wǎng)頁防篡

改功能模塊，保證內(nèi)部站點安全。集中管理、統(tǒng)一監(jiān)管解決下屬

學校專業(yè)安全維護困難的問題。深信服廣域網(wǎng)安全建設方案實現(xiàn)

了一體化安全的安全策略部署、L2-L7層的安全防護效果、高效

的廣域網(wǎng)流量清洗，可視化的流量帶寬保障、智能聯(lián)動，集中管

理統(tǒng)一部署的價值，在有效解決廣域網(wǎng)安全問題的前提下，簡化

管理運維成本，實現(xiàn)了最優(yōu)投資回報。

二、貨物清單

投標標段：第一標段標段名稱：學校網(wǎng)絡中心設備

規(guī)格

序號設備名稱品牌產(chǎn)地性能以及指標

型號

3槽模塊化機架式交換

機機箱，928Gbps交換

容量，配置可熱插拔單

引擎，引擎內(nèi)置無線控

制器芯片,20Gbps無線

網(wǎng)絡吞吐，最大支持50

個AP,雙電源，8個千

學校核心Catalyst

1思科深圳兆/萬兆自適應光口,

交換機4503-E

48口千兆UP0E（支持

POE、P0E+、UP0E）電

口板卡一個，剩余一個

業(yè)務插槽，可擴展24

或40口千兆光口或48

口千兆電口，包含

EnergyWise軟件一套

可網(wǎng)管智能接入交換

機,26個千兆電口,2

接入交換個千兆光電復用口，整

2思科東莞SG300-28

機一機28個可用端口，轉(zhuǎn)

發(fā)性能4L67Mpps，MAC

地址容量16K

可網(wǎng)管智能接入交換

接入交換

3思科東莞SG300-52機，50個千兆電口，2

機二

?個千兆光電復用口，整

機52個可用端口，轉(zhuǎn)

發(fā)性能77.38Mpps,MAC

地址容量1GK

850nm，傳輸距離

GLC-SX-M

4光纖模塊思科中國0.55km,LC,（帶DOM功

MD=

能）

拓貿(mào)標準鐵制機架式理線

5理線器寧波T-5075

隆架

能夠滿足2000用戶數(shù)

同時上網(wǎng)配置6個千兆

安全管理深信

6深圳AF-1650電口、配置4個千兆光

平臺服

口、高性能多核處理設

備、標準2U機架式

滿足12萬人同時在線，

吞吐量12Gbps,并發(fā)會

話數(shù)8,500,000,每秒

新建連接數(shù)15萬，具

中心行為深信

7深圳AC-8000備4個千兆電口，4個

管理設備服

千兆光口、1個RJ45串

口,硬盤500GB、支持

BYPASS、冗余電源、標

準2U架構

2顆E5-2609CPU、16G

校園網(wǎng)絡UCSC220內(nèi)存、2個650W電源、

8思科中國

服務器一M316GSD卡、6塊300GSAS

硬盤、RAID卡

校園網(wǎng)絡ThinkSer2顆E5-2609CPU、16G

9聯(lián)想中國

服務器二verRD630內(nèi)存、2個800W電源、

6塊300GSAS硬盤、RAID

卡

17-4500UCPU、4G內(nèi)存、

網(wǎng)絡管理昭陽

10聯(lián)想中國IT硬盤、WIN8、2G顯

機K4450A

存

KVM與外大唐8口KVM,帶19寸一體

11北京HL5908

設保鏢式液晶顯示

Windows

12操作系統(tǒng)微軟美國2012標準版（非OEM

Server

投標人名稱（蓋公章）：

投標人法定代表人或者被授權代表：（簽字）

時間：2013年10月28日

三、原廠配置清單及原廠中文說明書

3.1、原廠配置清單

1、思科交換機及機架式服務器配置清單

ItemNameDescriptionQuantity

學校核心交換機

Cat4500E-Series3-Slot

WS-C4503-E51

Chassisfannops

Catalyst4500E-Series

WS-X45-SUP8-E51

Supervisor8-E

Catalyst4500E48-PortUPOE

WS-X4748-UP0E+E51

10/100/1000(RJ45)

Catalyst45001300WACPower

PWR-C45-1300ACV51

Supply(DataandPoE)

Catalyst45001300WACPower

PWR-C45-1300ACV/251

Supply(DataandPoE)

接入交換機一

SG300-2828-portGigabit

SRW2024-K9-CN81

ManagedSwitch

接入交換機二

SG300-5252-portGigabit

SRW2048-K9-CN173

ManagedSwitch

光纖模塊

1000BASE-SXSFPtransceiver

GLC-SX-MMD=613

moduleMMF850nmDOM

校園網(wǎng)絡服務器一

UCSC220M3SFFw/oCPUmem

UCSC-C220-M3S68

HDDPCIePSUw/railkit

SMARTNET24X7X4UCSC220M3

C0N-SNTP-C220M3SF68

SFFw/o

2.4GHzE5-2609/80W4C/10MB

UCS-CPU-E5-2609136

Cache/DDR31066MHz

8GBDDR3-1600-MHz

UCS-MR-1X082RY-ARDIMM/PC3-12800/dual136

rank/1.35v

300GB6GbSAS10KRPMSFF

A03-D300GA2HDD/hotplug/drivesled408

mounted

650Wpowersupplyfor

UCSC-PSU-650W136

C-seriesrackservers

CiscoUCSRAIDSAS2008M-8i

UCSC-RAID-11-C220MezzCardforC22068

(0/1/10/5/50)

16GBSDCardModuleforC220

UCSC-SD-16G-C22068

servers

2、聯(lián)想服務器配置清單

ThinkServerRD630聯(lián)想服務器RD630機箱34

IntelXeonE5-2609(4核68

處理器

/2.4GHz)

8GBR-ECC1600DDR3L5V低功68

內(nèi)存耗內(nèi)存，》20條擴展插槽，2

640GB內(nèi)存擴展

硬盤300GBSAS硬盤204

SAS/SATA6Gb/s獨立raid卡，34

RAID

支持RAID支持0,1,5,10,50等

RAID級別

800W80+金牌電源，集成Intel68

電源

NodeManager芯片

3、深信服配置清單

數(shù)

品名描述

量

能夠滿足2000用戶數(shù)同時上網(wǎng)配置6個

AF-1650千兆電口、配置4個千兆光口、高性能51

多核處理設備、標準2U機架式

滿足12萬人同時在線，吞吐量12Gbps,

并發(fā)會話數(shù)8,500,000,每秒新建連接數(shù)

AC-800015萬，具備4個千兆電口，4個千兆光1

口、1個RJ45串口，硬盤500GB、支持

BYPASS.冗余電源、標準2U架構

4、大唐保鏢配置清單

品牌型號描述數(shù)量

8端口混接型

大唐保鏢HL5908KVM,帶19寸51套

LCD顯示器

5、聯(lián)想筆記本配置清單

品牌型號配置數(shù)量

17-4500UCPU、4G內(nèi)

聯(lián)想昭陽K4450A存、1T硬盤、WIN8、51

2G顯存

6、拓貿(mào)隆理線架配置清單

品牌型號規(guī)格數(shù)量

標準機架式理

拓貿(mào)隆T-5075305

線架

7、微軟操作系統(tǒng)配置清單

品名規(guī)格數(shù)量

Windows2012102

標準版

Server

3.2、產(chǎn)品中文說明書

3.2.1.4503-E交換機中文使用說明書

本手冊只包括日常使用的有關命令及特性，其它未涉及的命令及

特性請參考英文的詳細配置手冊。

一、配置端口

配置一組端口

命令目的

Step1configureterminal進入配置狀態(tài)

Step2Switch(config)#interface進入組配置狀

range{vlanvlan_ID-vlan_ID)態(tài)

1

{{fastethernet

gigabitethernet}

slot/interface-interface)

[,{vlanvlan_ID-vlan_ID}

{{fastethernet

gigabitethernet}

slot/interface-interface}]

Step3可以使用平時

的端口配置命

令進行配置

Step4End退回

Step5showinterfaces[interface-id]驗證配置

Step6copyrunning-config保存

startup-config

使用interfacerange命令時有如下的規(guī)則：

有效的組范圍：

vlan從1至U4094

fastethernet槽位/{firstport}-{lastport)

gigabitethernet槽位/{firstport}-{lastport)

端口號之間需要加入空格，如：interfacerangefastethernet

2/1-5是有效的，而interfacerangefastethernet2/1-5是

無效的.

interfacerange命令只能配置已經(jīng)存在的interfacevlan

所有在同一組的端口必須是相同類別的。

見以下例子：

4500-E#configureterminal

4500-E(config)#interfacerangefastethernet2/l-5

4500-E(config-if-range)#noshutdown

4500-E(config-if-range)#

*0ct608：24：35：%LINK-3-UPDOWN：Interface

FastEthernet2/l,changedstatetoup

*0ct608:24:35：%LINK-3-UPD0WN：Interface

FastEthernet2/2,changedstatetoup

*0ct608:24:35：%LINK-3-UPD0WN：Interface

FastEthernet2/3,changedstatetoup

*0ct608:24:35：%LINK-3-UPD0WN：Interface

FastEthernet2/4,changedstatetoup

*0ct608:24:35：%LINK-3-UPD0WN：Interface

FastEthernet2/5,changedstatetoup

*0ct608:24:36：%LINEPR0T0-5-UPD0WN：Lineprotocolon

InterfaceFastEthernet2/05,

changedstatetoup

*0ct608:24:36：%LINEPR0T0-5-UPD0WN：Lineprotocolon

InterfaceFastEthernet2/3,changed

statetoup

*0ct608:24:36：%LINEPR0T0-5-UPD0WN：Lineprotocolon

InterfaceFastEthernet2/4,changed

statetoup

以下的例子顯示使用逗號來配置不同類型端口的組:

4500-E#configureterminal

4500-E(config)#interfacerangefastethernet2/l-3,

gigabitethernet3/l-2

4500-E(config-if-range)#noshutdown

4500-E(config-if-range)#

*0ct608:29:28：%LINK-3-UPD0WN：Interface

FastEthernet2/1,changedstatetoup

*0ct608:29:28：%LINK-3-UPD0WN：Interface

FastEthernet2/2,changedstatetoup

*0ct608:29:2