1、XXX級人民法院網(wǎng)絡系統(tǒng)設計解決方案第一章前言第二章需求分析第三章總體建設方案2.1 方案設計原則 2.2 方案建設目標 2.3 整體網(wǎng)絡架構 2.4 網(wǎng)絡詳細設計 2.5 局域網(wǎng)設計方案 2.6 網(wǎng)絡層安全設計方案 2.6.1 網(wǎng)絡安全風險分析 2.6.2 網(wǎng)絡層安全解決方案 2.7 終端信息安全管理設計方案 2.7.1 網(wǎng)絡接入管理解決方案 2.7.2 補丁分發(fā)解決方案 2.7.3 桌面終端管理 2.8 統(tǒng)一網(wǎng)絡管理平臺設計方案（先請咨詢鄧霄博） 2.8.1 網(wǎng)絡管理的必要性 2.8.2 網(wǎng)絡管理解決方案 29整體方案特點 2.9.1 網(wǎng)絡結構安全可靠 2.9.2 網(wǎng)絡終端安全管理 2.9

2、.3 網(wǎng)絡精細化管理 210硬件配置建議 第四章產(chǎn)品介紹第五章案例介紹第一章前言“天平工程”建設目標是初步完成全國各級人民法院以司法審判信息資源管 理為核心的網(wǎng)絡和軟硬件設施建設、安全和配套設施基本到位，實現(xiàn)案件審判工 作及其它各項工作管理全過程的科學化、規(guī)范化、實體化和協(xié)同化，促進和保障 人民法院在全社會實現(xiàn)“公正與效率”、“司法統(tǒng)一”、“司法便民為民”的目標。通過“天平工程”的建設提高各級人民法院審判效率，促進司法公正。為了 實現(xiàn)政務目標，針對人民法院主要業(yè)務提出各項業(yè)務目標，使各級人民法院審判 管理業(yè)務、審判監(jiān)督業(yè)務、審判支持業(yè)務、司法信息公開業(yè)務及內(nèi)部管理等業(yè)務 能力和水平顯著提高。完

3、善法院司法審判信息系統(tǒng)，完善高級人民法院、中級人民法院和基層人民 法院的信息系統(tǒng)建設，在實現(xiàn)各級法院的信息聯(lián)網(wǎng)基礎上進行全國范圍內(nèi)司法審 判信息的查詢、統(tǒng)計、匯總和分析等數(shù)據(jù)挖掘、數(shù)據(jù)分析功能建設， 具備與黨委、 人大、政府、政協(xié)、檢察院等相關部門信息共享的能力，全面提高我國司法審判 水平。第二章 需求分析各級人民法院基礎業(yè)務支撐平臺和綜合信息交換平臺是人民法院業(yè)務網(wǎng)絡的重要組成部分。人民法院基礎業(yè)務支撐平臺和綜合信息交換平臺的業(yè)務需求是功能和性能上要求能夠支持數(shù)據(jù)、語音和視頻業(yè)務，應當滿足數(shù)據(jù)傳輸、交換、共享和綜合應用，同時滿足各級人民法院綜合信息交換平臺間的數(shù)據(jù)、音視頻信息通信和視頻會議、

4、遠程訴訟、案件異地討論和遠程培訓等音視頻的傳輸需求。為解決案件審判質(zhì)量和審判效率及產(chǎn)生的審判效果相關問題，需要人民法院依據(jù)職能，建立相關信息化基礎設施。1、建設和完善審判管理信息系統(tǒng)，加強和規(guī)范立案、審理、執(zhí)行、歸檔、信訪工作的信息化、網(wǎng)絡化。最大限度的解決由于人民法院和法官的失誤而導致的審判問題，有效的降低因此而發(fā)生的涉訴上訪問題。并最終形成司法案例庫用以指導審判工作。2、建設和完善各級人民法院之間、人民法院與其它政法機關之間、人民法院與監(jiān)獄之間、人民法院與其它需要協(xié)同的部門之間，人民法院與當事人、律師之間的網(wǎng)絡，并建設傳輸交換系統(tǒng)，有效的解決因溝通不暢，信息掌握不全，信息不一致等原因引起的

5、審判和信訪問題。4、利用信息技術手段搜集司法績效考核信息、法官績效考核信息等，協(xié)助本級法院對法官、上級法院對下級法院和法官的司法監(jiān)督和司法指導工作。利用音視頻信息傳輸技術，建設庭審音視頻信息系統(tǒng)，信訪聽證音視頻信息系統(tǒng)等。對有必要錄音或錄像的案例進行錄音錄像，同時為上級法院監(jiān)督提供支持。5、建設和完善人民法院日常工作支持信息系統(tǒng)，提高工作效率。第三章 總體建設方案3.1 、 方案設計原則基于對xxx1高級法院業(yè)務需求的深入理解，結合自身產(chǎn)品和技術特點，邁 普公司推出了了完善的XXX1高級法院網(wǎng)絡解決方案，為xxx省高級法院提供“高 擴展、多業(yè)務、高安全”的精品網(wǎng)絡。xxx省高級法院網(wǎng)絡建設遵循

6、以下基本原則：高帶寬xxx省高級法院網(wǎng)絡是一個龐大而且復雜的網(wǎng)絡，為了保障全網(wǎng)的高速轉發(fā)，全網(wǎng)的組網(wǎng)設計的無瓶頸性，要求方案設計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換。可增值性xxx省高級法院網(wǎng)絡的建設、使用和維護需要投入大量的人力、物力，因此網(wǎng)絡的增值性是網(wǎng)絡持續(xù)發(fā)展基礎。所以在建設時要充分考慮業(yè)務的擴展能力，能針對不同的用戶需求提供豐富的寬帶增值業(yè)務，使網(wǎng)絡具有自我造血機制，實現(xiàn)以網(wǎng)養(yǎng)網(wǎng)。可擴充性考慮到xxx1高級法院用戶數(shù)量和業(yè)務種類發(fā)展的不確定性，要求對于核心交換機與匯聚交換機具有強大的擴展功能， xxx 省高級法院網(wǎng)

7、絡要建設成完整統(tǒng)一、組網(wǎng)靈活、易擴充的彈性網(wǎng)絡平臺，能夠隨著需求變化，充分留有擴充余地。開放性技術選擇必須符合相關國際標準及國內(nèi)標準，避免個別廠家的私有標準或內(nèi)部協(xié)議，確保網(wǎng)絡的開放性和互連互通，滿足信息準確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護、測量和管理手段，提供網(wǎng)絡統(tǒng)一實時監(jiān)控的遙測、遙控的信息處理功能，實現(xiàn)網(wǎng)絡設備的統(tǒng)一管理。安全可靠性設計應充分考慮整個網(wǎng)絡的穩(wěn)定性，支持網(wǎng)絡節(jié)點的備份和線路保護，提供 網(wǎng)絡安全防范措施。3.2 、 方案建設目標基礎業(yè)務支撐平臺建設內(nèi)容是滿足人民法院基礎業(yè)務應用要求的網(wǎng)絡系統(tǒng)設備、計算與存儲備份環(huán)境、法庭審判音視頻信息系統(tǒng)支撐環(huán)境、

8、各項業(yè)務應用和安全系統(tǒng)支撐環(huán)境。1）建設和完善全國各級人民法院基礎業(yè)務支撐平臺，為人民法院審判工作和其它各項工作管理提供網(wǎng)絡系統(tǒng)、法庭審判音視頻信息管理和應用系統(tǒng)運行環(huán)境的支撐與服務；2）依托本級法院局域網(wǎng)環(huán)境，建設和完善覆蓋中級以上人民法院和基層法院的綜合信息交換平臺， 實現(xiàn)人民法院間審判信息和其它各類信息的應用與管理，保障網(wǎng)絡與信息的安全傳輸與可信交換。3）在全國各級人民法院建設司法、監(jiān)測分析、宏觀決策、司法公開和內(nèi)部管理等五大類作業(yè)子系統(tǒng)，全面提高人民法院審判工作的公正性和透明度，實現(xiàn)人民法院審判工作的科學化、規(guī)范化、實體化管理。4）以人民法院司法審判信息資源管理和應用為核心，建設覆蓋最

9、高人民法院、高級人民法院和中級人民法院的三級司法信息資源庫；建設最高人民法院和高級人民法院二級數(shù)據(jù)中心，實現(xiàn)中級以上人民法院訴訟信息的綜合應用，為人民法院審判工作、最高院司法資源的整合和配置、最高院對市中院場經(jīng)濟秩序的宏觀分析、最高院立法等提供翔實的信息支持和服務。5）建設全國法院執(zhí)行案件信息管理系統(tǒng)及統(tǒng)一的執(zhí)行威懾門戶系統(tǒng)，形成全國法院執(zhí)行威懾體系，并與政府相關部門工作協(xié)同，為銀行、工商、海關等部門提供信息聯(lián)動服務。6）建設人民法院業(yè)務網(wǎng)絡統(tǒng)一門戶系統(tǒng)，為全國各級人民法院提供統(tǒng)一登錄入口和高效綜合信息交換業(yè)務服務的門戶網(wǎng)站。7）完善人民法院互聯(lián)網(wǎng)網(wǎng)站內(nèi)容建設，提供網(wǎng)上訴訟指南、法律及法規(guī)查詢

10、、案例查詢等司法便民服務。3.3 、 整體網(wǎng)絡架構在XXX省高級法院網(wǎng)絡整體設計中，采用層次化、模塊化的網(wǎng)絡設計結構，并嚴格定義各層功能模型，不同層次關注不同的特性配置。典型的網(wǎng)絡結構可以分成三層：接入層、匯聚層、核心層。1) 接入層：提供網(wǎng)絡的第一級接入功能，完成簡單的二、三層交換，安全、Qos和PO或能都位于這一層。對于法院網(wǎng)絡的接入層設備，建議采用千兆三層 接入的方式，應該具有線速三層交換、高級QoSft略等功能。2) 匯聚層： 匯聚來自配線間的流量和執(zhí)行策略， 當路由協(xié)議應用于這一層時，具有負載均衡、快速收斂和易于擴展等特點，這一層還可作為接入設備的第一跳網(wǎng)關；對于法院網(wǎng)絡的匯聚層設備

11、，應該能夠承載校園園區(qū)的多種融合業(yè)務，能夠融合了MPLS、 IPv6 、網(wǎng)絡安全、無線等多種業(yè)務，提供不間斷轉發(fā)、環(huán)網(wǎng)保護等多種高可靠技術，能夠承載法院融合業(yè)務的需求。3) 核心層： 網(wǎng)絡的骨干， 必須能夠提供高速數(shù)據(jù)交換和路由快速收斂， 要求具有較高的可靠性、穩(wěn)定性和易擴展性等。對于校園園區(qū)網(wǎng)核心層，必須提供高性能、 高可靠的網(wǎng)絡結構， 推薦采用高可靠的環(huán)網(wǎng)結構或多設備冗余的星型結構。對于法院網(wǎng)絡核心層設備，應該在提供大容量、高性能 L2/L3 交換服務基礎上，能夠進一步融合了硬件 IPv6 、網(wǎng)絡安全、網(wǎng)絡業(yè)務分析等智能特性，可為法院構建融合業(yè)務的基礎網(wǎng)絡平臺，進而幫助用戶實現(xiàn)IT 資源整

12、合的需求。3.4 、網(wǎng)絡詳細設計3.5 、局域網(wǎng)設計方案高院網(wǎng)絡基礎網(wǎng)絡設計方案對于高院局域網(wǎng)絡建設，本次建設采用內(nèi)外網(wǎng)物理隔離的方式。推薦采用千兆接入組網(wǎng)模型。為用戶提供三層千兆到桌面的接入服務，整網(wǎng)配置OSPFW議,網(wǎng)絡故障收斂速度快、易于管理和維護。VLANK結在接入端口，限制廣播域范圍， 較少廣播報文對網(wǎng)絡帶寬的消耗。從接入層開始即可進行快速三層交換，利用網(wǎng)絡中存在的等價多路徑實現(xiàn)業(yè)務流量的負載分擔。網(wǎng)絡按照分層、模塊化的思路進行設計和規(guī)劃，根據(jù)業(yè)務、區(qū)域等規(guī)劃因素進行模塊化區(qū)域劃分，每個區(qū)域有自己的匯聚核心與網(wǎng)絡核心相連。網(wǎng)絡各層設備都為三層設備，支持OSPF在接入層設備上提供千兆端

13、口接入。接入層千兆雙 歸屬到匯聚層設備，提供鏈路冗余備份。區(qū)域匯聚核心間提供千兆鏈路連接，雙機備份和加速路由收斂。匯聚層千兆雙歸屬到網(wǎng)絡核心，根據(jù)實際帶寬需要也可千兆鏈路捆綁雙上行到核心，匯聚層可采用堆疊設備，它提供的分布式路由和分布式設備管理使整個堆疊設備當成一臺交換機進行路由轉發(fā)和管理，而且支持熱插拔，不會因為堆疊組單臺設備故障引起整個接入業(yè)務中斷。兩臺核心設備間通 過千兆捆綁鏈路連接，完成高速數(shù)據(jù)交換和雙機熱備份。內(nèi)網(wǎng)部分：核心采用兩臺邁普的 MyPower S6800-08A心交換機承擔全網(wǎng)的數(shù)據(jù)轉發(fā)， 匯聚采用邁普的MyPoweS4200-28FC實現(xiàn)對接入交換機的接入，分擔核心交換

14、機 的壓力，接入層采用邁普的MyPower S3200系列交換機。根據(jù)XXX省高法大樓的 建設需求， 一號樓每層 52 個信息點， 總共 13 層。 所以每層放置一臺 24 口和一臺 48 口個接入交換機，總共使用 3 個匯聚交換機即可，接入交換機通過雙光纖鏈路連接至匯聚交換機， 匯聚交換機通過雙光纖鏈路上聯(lián)至核心。 二號樓每層34 個信息點的接入， 總共 9 層。 每層放置一臺 48 口接入交換機， 每 4 層使用一個匯聚交 換機，接入交換機通過雙光纖鏈路連接至匯聚交換機，匯聚交換機通過雙光纖鏈路上聯(lián)至核心。外網(wǎng)部分：核心采用兩臺邁普的 MyPower S6800-08A心交換機承擔全網(wǎng)的數(shù)

15、據(jù)轉發(fā)， 匯聚采用邁普的MyPoweS4200-28FC實現(xiàn)對接入交換機的接入，分擔核心交換機 的壓力，接入層采用邁普的MyPower S3200系列交換機。根據(jù)XXX省高法大樓的 建設需求， 一號樓每層 52 個信息點， 總共 13 層。 所以每層放置一臺 24 口和一臺 48 口個接入交換機，總共使用 3 個匯聚交換機即可，接入交換機通過雙光纖鏈路連接至匯聚交換機， 匯聚交換機通過雙光纖鏈路上聯(lián)至核心。 二號樓每層34 個信息點的接入， 總共 9 層。 每層放置一臺 48 口接入交換機， 每 4 層使用一個匯聚交換機，接入交換機通過雙光纖鏈路連接至匯聚交換機，匯聚交換機通過雙光纖鏈路上聯(lián)至

16、核心。在互聯(lián)網(wǎng)區(qū)放置兩臺邁普MSG 4000-G軟現(xiàn)互聯(lián)網(wǎng)出口的審計、行為管理、防火墻等功能，保障高法網(wǎng)內(nèi)的安全性。3.6 、 網(wǎng)絡層安全設計方案3.6.1、 網(wǎng)絡安全風險分析首先應在對法院網(wǎng)絡安全風險分析的基礎上，做到統(tǒng)一規(guī)劃，全面考慮；其次， 應積極采用各種先進技術， 如虛擬交換網(wǎng)絡（ VLAN） 、 防火墻技術、 加密技術、虛擬專用網(wǎng)絡（VPN）技術、PKI技術等，并實現(xiàn)集中統(tǒng)一的配置、監(jiān)控、管理；最 后，應加強有關網(wǎng)絡安全保密的各項制度和規(guī)范的制定，并予以嚴格實行。為了便于分析網(wǎng)絡安全風險和設計網(wǎng)絡安全解決方案，我們采取對網(wǎng)絡分層的方法，并且在每個層面上進行細致的分析，根據(jù)風險分析的結

17、果及目前主要面臨的問題設計出符合具體實際的、可行的網(wǎng)絡安全整體解決方案。1. 物理層的安全風險分析網(wǎng)絡的物理安全風險主要指網(wǎng)絡周邊環(huán)境和物理特性引起的網(wǎng)絡設備和線路的不可用，而造成網(wǎng)絡系統(tǒng)的不可用，它是整個網(wǎng)絡系統(tǒng)安全的前提。如：設備被盜、被毀壞鏈路老化或被有意或者無意的破壞因電子輻射造成信息泄露設備意外故障、停電地震、火災、水災等自然災害因此，法院網(wǎng)絡在網(wǎng)絡安全考慮時，首先要考慮物理安全。例如：設備被盜、被毀壞；設備老化、意外故障，計算機系統(tǒng)通過無線電輻射泄露秘密信息等。2. 網(wǎng)絡層安全風險分析重要數(shù)據(jù)被破壞由于目前尚無安全的數(shù)據(jù)庫及個人終端安全保護措施，還不能抵御來自網(wǎng)絡上的各種對數(shù)據(jù)庫及

18、個人終端的攻擊。同時一旦不法分子針對網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴重的影響和損失。存儲數(shù)據(jù)對于法院來說極為重要，如果由于通信線路的質(zhì)量原因或者人為的惡意篡改，都將導致難以想象的后果，這也是網(wǎng)絡犯罪的最大特征。網(wǎng)絡邊界風險分析由于當發(fā)生安全事件希望把造成的影響降到最低，因此在做安全系統(tǒng)設計時需要按照實際網(wǎng)絡情況劃分網(wǎng)絡邊界以達到隔離網(wǎng)絡的目的。3. 應用層安全風險分析由于法院對外提供網(wǎng)上 WWW務，因此存在外網(wǎng)非法用戶對內(nèi)部網(wǎng)和服務器的攻擊。身份認證漏洞服務系統(tǒng)登錄和主機登錄使用的是靜態(tài)口令，口令在一定時間內(nèi)是不變的，且在數(shù)據(jù)庫中有存儲記錄，可重復使用。這樣非法用戶

19、通過網(wǎng)絡竊聽，非法數(shù)據(jù)庫訪問， 窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對資源非法訪問和越權操作。對法院的網(wǎng)上服務平臺，必須加強用戶的身份認證，防止對法院網(wǎng)絡資源的非授權訪問以及越權操作。wwwffi務漏洞WebServer 目前正在成為法院對外宣傳、開展業(yè)務的基地，但公開服務器本身不能保證沒有漏洞，不法分子可能利用服務的漏洞修改頁面甚至破壞服務器。系統(tǒng)中的BUG使得黑客可以遠程對公開服務器發(fā)出指令，從而導致對系統(tǒng)進行修改和損壞，包括無限制地向服務器發(fā)出大量指令，以至于服務器“拒絕服務” ，最終引起整個系統(tǒng)的崩潰。這就要求我們必須提高服務器的抗破壞能力，防止拒絕服務（

20、DOS或分布式!絕服務（DDO S之類的惡意攻擊，提高服務器備份與恢復、防篡改與自動修復能力。電子郵件系統(tǒng)漏洞電子郵件為網(wǎng)絡系統(tǒng)用戶提供電子郵件應用。內(nèi)部網(wǎng)用戶進行電子郵件發(fā)送和接收時存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、 蠕蟲等） 、病毒程序等， 由于許多用戶安全意識比較淡薄， 對一些來歷不明的郵件， 沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因素。3.6.2、 網(wǎng)絡層安全解決方案依照法院安全保障體系規(guī)劃，本章提出安全技術體系的具體配置部署方案。1. 防火墻分系統(tǒng)訪問控制分系統(tǒng)是信息安全體系的基本組成要素，網(wǎng)絡層的訪問控制通過防火墻實現(xiàn)。防火墻提供了在不同安全級別的多個系統(tǒng)網(wǎng)

21、絡之間提供共享數(shù)據(jù)的訪問控制能力。 法院信息網(wǎng)絡是一個綜合的網(wǎng)絡系統(tǒng)， 存在著不同安全級別的網(wǎng)絡。為了防止不同安全域的安全威脅在整體法院信息系統(tǒng)中傳播，我們在不同安全域之間部署防火墻進行邏輯隔離。防火墻是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部重點網(wǎng)段的隔離，通過限制網(wǎng)絡互訪來限制局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。防火墻是建立在內(nèi)部網(wǎng)絡與外部之間的唯一安全通道，通過制定相應的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進入，同時將不符合條件的數(shù)據(jù)拒之門外，即 “法無許可即禁止”。 這樣就可以阻止非法用戶的侵入，保證內(nèi)部網(wǎng)絡的安全。因此，防火墻的作用是

22、防止不希望的、未授權的通信進出被保護的網(wǎng)絡，迫使單位強化自己的網(wǎng)絡安全策略。一般的防火墻都可以達到以下目的：一是可以限制他人進入內(nèi)部網(wǎng)絡，過濾掉不安全服務和非法用戶；二是防止入侵者接近你的防御設施；三是限定用戶訪問特殊站點。法院系統(tǒng)是一個業(yè)務非常重要， 安全級別要求較高的網(wǎng)絡系統(tǒng)， 在本方案中，我們建議法院內(nèi)部網(wǎng)絡邊界處防火墻作為統(tǒng)一的接入控制設備，針對法院網(wǎng)絡系統(tǒng)，防火墻主要解決的問題如下：防止非法的訪問與數(shù)據(jù)包：一般來講，總是利用高端口發(fā)送數(shù)據(jù)包來進行攻擊行為，那么我們只需要封閉這些端口，或者一些沒有用處的協(xié)議（比如 ICMP協(xié)議） ，就能夠有效的防范攻擊，特別是外網(wǎng)用戶，由于在內(nèi)部有各類

23、應用服務，我們必須確保只有對應的服務才能經(jīng)過防火墻，而其他的訪問均被禁止，從而保護各類應用服務的安全。防止地址欺騙： 一方面， 來自其它網(wǎng)絡的訪問者會將自己的 IP 地址偽裝成內(nèi)部地址，從而繞過防火墻發(fā)起對內(nèi)網(wǎng)的攻擊；另一方面，內(nèi)部用戶通過修改自己的地址，而獲得更高的訪問權限；這些行為都會給單位的網(wǎng)絡形成安全威脅，那么防火墻通過MAC 地址綁定技術、源地址識別等技術，能夠識別出這些地址欺騙行為，從而更有效的執(zhí)行訪問控制策略；對內(nèi)部用戶進行應用層深度管理：對HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容 進行管理，保護終端用戶合法有效地使用各種網(wǎng)絡資源；對用戶、IP、組等對象進行上傳，下載等細致

24、的流量控制； QOS 功能，保證重要數(shù)據(jù)優(yōu)先上傳。網(wǎng)頁訪 問控制； WEB 認證、文件上傳下載控制、代理識別。2. 入侵防御分系統(tǒng)在內(nèi)聯(lián)網(wǎng)各節(jié)點需要重點保護網(wǎng)段的主交換機上配備入侵檢測系統(tǒng)，通過中心控制臺對各節(jié)點進行集中統(tǒng)一管理。包括制定安全策略、修改安全策略以及升級攻擊代碼庫等。入侵檢測系統(tǒng)在重要保護網(wǎng)絡系統(tǒng)中是訪問控制設備防火墻最有利用的補充。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如發(fā)現(xiàn)違規(guī)訪問、阻斷網(wǎng)絡連接、內(nèi)部越權訪問等，發(fā)現(xiàn)更為隱蔽的攻擊。法院網(wǎng)絡系統(tǒng)安全體系必須建立一個智能化的實時攻擊識別和響應系統(tǒng)，管理和降低網(wǎng)絡安全風險，保證網(wǎng)絡

25、安全防護能力能夠不斷增強。目前網(wǎng)絡入侵安全問題主要采用網(wǎng)絡入侵監(jiān)測系統(tǒng)等成熟產(chǎn)品和技術來解決。網(wǎng)絡入侵檢測系統(tǒng)應能滿足以下要求：? 能在網(wǎng)絡環(huán)境下實現(xiàn)實時地分布協(xié)同地入侵檢測， 全面檢測可能的入侵行 為。能及時識別各種黑客攻擊行為，發(fā)現(xiàn)攻擊時，阻斷弱化攻擊行為、并能詳細記錄，生成入侵檢測報告，及時向管理員報警。? 能夠按照管理者需要進行多個層次的掃描， 按照特定的時間、 廣度和細度 的需求配置多個掃描。? 能夠支持大規(guī)模并行檢測，能夠方便地對大的網(wǎng)絡同時執(zhí)行多個檢測。? 所采用的入侵檢測產(chǎn)品和技術不能被繞過或旁路。? 檢測和掃描行為不能影響正常的網(wǎng)絡連接服務和網(wǎng)絡的效率。? 檢測的特征庫要全面

26、并能夠及時更新。? 安全檢測策略可由用戶自行設定，對檢測強度和風險程度進行等級管理，用戶可根據(jù)不同需求選擇相應的檢測策略。? 能夠幫助建立安全策略， 具有詳細的幫助數(shù)據(jù)庫， 幫助管理員實現(xiàn)網(wǎng)絡的安全，并且制定實際的、可強制執(zhí)行的網(wǎng)絡安全策略。3. 防病毒網(wǎng)關分系統(tǒng)病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個全方位的病毒防范系統(tǒng)是法院網(wǎng)絡系統(tǒng)安全體系建設的重要任務。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。根據(jù)法院系統(tǒng)網(wǎng)絡結構和計算機分布情況，以及目前客戶端防病毒軟件安裝及使用不能完全防范病毒等現(xiàn)狀，利用邊界安全網(wǎng)關在網(wǎng)絡中的特殊位置，使得電腦病毒在進行擴散之前得到有效處理。通過現(xiàn)有的

27、客戶端防病毒系統(tǒng)和網(wǎng)絡中的邊界安全網(wǎng)關防病毒系統(tǒng)能夠形成從多層次進行病毒防范，第一層工作站、服務器，第二層網(wǎng)關都能有相應的防毒功能提供完整的、全面的防病毒保護。病毒防護功能特色基于流、低延時、高并發(fā)、高性能的病毒過濾支持對大病毒文件也能檢測實時病毒連接阻斷，病毒事件記錄支持常見病毒傳輸協(xié)議HTTR FTP及各種郵件協(xié)議掃描超過 40 萬的病毒特征庫，病毒庫定時自動更新支持應用處理模塊4. 內(nèi)網(wǎng)機密信息安全訪問解決方案內(nèi)網(wǎng)是一個完全獨立的網(wǎng)絡， 因此數(shù)據(jù)在網(wǎng)絡平臺的傳輸過程相對比較安全，但是對于一些重要信息，尤其是一些機密信息，需要嚴格保證這些數(shù)據(jù)在傳輸過程中的安全。因此，雖然這些數(shù)據(jù)傳輸在一個

28、相對獨立的內(nèi)網(wǎng)，但是仍然存在被偵聽破解的可能，需要有合理有效的方式解決這個問題，我們建議采用基于 VPN的解決方案，是一種非常安全而且靈活的解決方案。適用環(huán)境：移動辦公SOHO,便攜筆記本。方案實現(xiàn)： 在便攜終端上安裝 VPN 軟件客戶端（ SSL VPN 方式可以免除軟件安裝）和USB KEY設備，便攜終端外接 GPRS, CDMA-1X Modem通過移動撥號連接 Internet 與法院中心的 VPN 網(wǎng)關之間建立VPN 隧道，完成移動辦公，使用 SSL VPN 方式可以免除客戶端軟件安裝。方案優(yōu)勢：? MSG4000安全網(wǎng)關可同時提供IPSec和SSL兩種VPN接入方式，可以提供根據(jù)業(yè)

29、務選擇不同的接入方式? SSL VPN 可以提供免安裝軟件接入，對于 B/S 模式的業(yè)務支持能力強，維護成本較低，但對于復雜業(yè)務的處理支持能力有限? 可以支持 USB-SecKEY ， RSA 等多種硬件認證方法，保證移動終端接入的可靠性? 接入方式靈活，支持ADSL ， GPRS， CDMA 1X， Modem 等多種移動接入方案5. 上網(wǎng)行為審計解決方案互聯(lián)網(wǎng)的興起與普及為人們的工作和生活提供了極大的便利，與此同時，經(jīng)由內(nèi)部訪問互聯(lián)網(wǎng)導致的帶寬濫用、效率下降、信息泄漏、法律風險、安全隱患等問題日益凸顯。例如，在企業(yè)內(nèi)部，部分員工利用工作時間在線炒股、玩在線游戲、欣賞音樂和視頻、通過 P2P

30、工具下載、使用即時通訊工具無節(jié)制地網(wǎng)絡聊天、通過網(wǎng)絡外泄公司機密；在網(wǎng)吧等一些公共上網(wǎng)場所，人們可以隨意瀏覽不健康網(wǎng)站、發(fā)表不負責任的言論、甚至參與非法網(wǎng)絡活動針對互聯(lián)網(wǎng)所帶來的上述問題， 需要為法院提供可控制的上網(wǎng)行為管理功能。該功能通過對用戶的網(wǎng)絡訪問行為進行控制和管理，有效解決因接入互聯(lián)網(wǎng)而可能引發(fā)的各種問題，優(yōu)化對互聯(lián)網(wǎng)資源的應用。上網(wǎng)行為管理功能對網(wǎng)絡游戲、在線聊天、在線炒股、P2P下載、網(wǎng)頁訪問、郵件外發(fā)及論壇發(fā)帖等各種網(wǎng)絡行為進行全面控制管理，并可以根據(jù)需要針對不同用戶、不同網(wǎng)絡行為、不同時間進行靈活的管理策略設置和日志記錄，同時能夠配合集中網(wǎng)絡安全管理系統(tǒng)對網(wǎng)絡行為日志進行查詢

31、統(tǒng)計與審計分析，從而為網(wǎng)絡管理者的決策和管理提供重要的數(shù)據(jù)依據(jù)。上網(wǎng)行為管理功能主要通過策略機制實現(xiàn)，網(wǎng)絡管理者可以針對不同用戶制定適合的上網(wǎng)行為管理策略規(guī)則，系統(tǒng)則會根據(jù)策略規(guī)則對網(wǎng)絡應用流量進行行 為控制和管理。上網(wǎng)行為管理策略規(guī)則共分為三類：網(wǎng)絡應用控制策略規(guī)則、網(wǎng)頁內(nèi)容控制策略規(guī)則和外發(fā)信息控制策略規(guī)則網(wǎng)絡應用控制策略規(guī)則網(wǎng)絡應用控制策略規(guī)則對網(wǎng)絡應用的使用進行控制。根據(jù)不同的協(xié)議及應用領域將網(wǎng)絡應用分為網(wǎng)絡游戲、即時通訊、在線炒股、 P2P 協(xié)議、流媒體協(xié)議、其他協(xié)議、FTP控制以及HTTP空制等等大類，每一大類中又包含若干具體的子應用和協(xié)議。網(wǎng)絡管理者可以根據(jù)需要，對各種應用和協(xié)議

32、制定基于用戶和時間表 的策略規(guī)則，以實現(xiàn)對用戶上網(wǎng)行為的控制。網(wǎng)頁內(nèi)容控制策略規(guī)則網(wǎng)頁內(nèi)容控制策略規(guī)則包括 URLM濾策略規(guī)則和關鍵字過濾策略規(guī)則。網(wǎng)頁 內(nèi)容控制策略規(guī)則能夠對用戶訪問的網(wǎng)頁進行控制。URL過濾策略規(guī)則可以基于系統(tǒng)預定義的URLfe別和用戶自定義的URL類別，對用戶所訪問的網(wǎng)頁進行過濾。 關鍵字過濾策略規(guī)則可以基于用戶自定義的關鍵字類別，對用戶所訪問的網(wǎng)頁進行過濾，同時，能夠通過SSL代理功能對用戶所訪問的含有某特定關鍵字的HTTPS加密網(wǎng)頁進行過濾。外發(fā)信息控制策略規(guī)則外發(fā)信息控制策略規(guī)則包括Email 控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠對用戶的外發(fā)信息進行控制。Ema

33、il控制策略規(guī)則能夠對通過SMTP；、議發(fā)送 的郵件和Webmail外發(fā)郵件進行控制，可以根據(jù)郵件的收件人、發(fā)件人、內(nèi)容關 鍵字、附件名稱和附件大小對郵件的發(fā)送進行限制。同時，能夠通過SSL代理功能控制 Gmail 加密郵件的發(fā)送。論壇發(fā)帖控制策略規(guī)則能夠對通過HTTP Post 方法上傳的有某關鍵字的內(nèi)容進行控制，如阻斷內(nèi)網(wǎng)用戶在論壇發(fā)布含有指定關鍵 字的帖子。上網(wǎng)行為管理作為網(wǎng)絡層安全設計中一部分，與訪問控制、Qos、 IPS 等模塊構成企業(yè)網(wǎng)絡出口的安全屏障。對外可進行入侵防護和非法訪問阻斷，對內(nèi)可進行WEBJ問、P2R IM等應用進行審計。從而使網(wǎng)絡的安全性得到提高，使應用和用戶的行為

34、能夠可視化。3.7 、整體方案特點3.7.1、 網(wǎng)絡結構安全可靠核心網(wǎng)可靠性、可用性的保障，低成本，快速收斂。滿足法院局域網(wǎng)關鍵業(yè) 務高可用性要求。針對法院復雜組網(wǎng)環(huán)境，提供全線速、高密度的萬兆解決方案。 對用戶接入的有效控制，符合策略的終端才能接入網(wǎng)絡。低成本高速率桌面接入， 適用單位各個部門、服務器群的接入。3.7.2、 網(wǎng)絡精細化管理通過網(wǎng)絡精細化管理，能夠實時監(jiān)視所有設備的運行狀況，通過可視化的網(wǎng) 絡拓撲界面幫助用戶及時了解網(wǎng)絡的變化。幫助用戶主動監(jiān)視網(wǎng)絡的狀況，及時 發(fā)現(xiàn)網(wǎng)絡潛在的隱患。同時，豐富的歷史性能統(tǒng)計數(shù)據(jù)為用戶升級擴容網(wǎng)絡提供 了客觀準確的參考。可管理所有支持標準SNM啊管

35、協(xié)議的網(wǎng)絡設備，為多廠商設 備共存的網(wǎng)絡提供了統(tǒng)一的管理方式。3.8 、硬件配置建議序 號產(chǎn)品型號描述數(shù) 量價 格合 計核心交換機1SM6800-08A-MFSM6800-08A-MF交換機箱（含背板、防塵 板），2個主控插槽、2個交換矩陣板插 槽、8個線卡插槽、1個風扇插槽，8個 電源插槽。102SM68A-MPUBH主控卡（含軟件），必配 1張，支持2張 冗余備份。建議配置兩條DDR400-512S, 可選配一個 U盤和一個 CF卡。用于SM6800-08A-MF、SM6800-16A-MF203SM68A-SFUBH交換矩陣卡，必配1張，支持2張冗余備20份。適用于 SM6800-08A

36、-MF、SM6800-16A-MF4SM68A-24GET24GEFH24端口千兆光接口（需配SFP光模塊）+ 24端口千兆電接口，可選配POE莫塊，該模塊可支持3個POE內(nèi)存插槽一條， 的配置 DDR400-512S。適陽S6800-02A/04A/08A/16A-MF 系列主機105SM68A-SIUH液晶顯示模塊，用于SM6800-08A-MF v1 版、SM6800-16A-MF V1 版，必配 1 張，。106AD1000-1S007Z1000瓦交流電源模塊，必配 1個，支持N+1 冗余備份。適用于S6800-02A/04A/08A/16A-MF 系列主機。207FAN-13A-01

37、風扇，必配1個，用于 SM6800-08A-MF108DDR400-512S512MDDRA除,內(nèi)存訪問速度 400,封裝為SODIMM509SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長 1310nm）100單套設備合計： 0數(shù)量/總計4 0匯聚交換機1SM4200-28FC千兆三層路由交換機（24個千兆SFP以 太口，12 個 10/100/1000M 電接口，2 個 擴展糟），交直流電源102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長 1310nm）100單套設備合計： 0數(shù)量/總

38、計10 0接入交換機1SM3200-50T-AC網(wǎng)管型千兆交換機主機（44個10/100/1000M 電口，4 個千兆 Combo接口， 2個千兆電口，交流主機）102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長 1310nm）20單套設備合計： 0數(shù)量/總計42 0接入交換機1SM3200-26T-AC網(wǎng)管型千兆交換機主機（20個10/100/1000M 電口，4 個千兆 Combo接口， 2個千兆電口，交流主機）102SFP-S2-L24P31.25G單模光模塊（傳輸距離20km, LC接口、PECL接口電平、波長 1310nm）20單

39、套設備合計： 0數(shù)量/總計26 0出口網(wǎng)關1MPSecMSG4000-G4-AC千兆中端安全網(wǎng)關，配置4個GE 口+4個SFP 口；提供2個模塊化插槽，可以擴展 8SFP/8GE/4 口 Bypass模塊；配置單交流 電源，標準1U設備；默認支持防火墻 /IPSec VPN 功能，通過 License 擴展可 以支持完善的IPS/AV/SSL VPN/流量控制 /上網(wǎng)行為管理/URL過濾等功能10單套設備合計： 0數(shù)量/總計2 03 、 產(chǎn)品介紹MyPower S6800 系列產(chǎn)品介紹產(chǎn)品概述MyPower S6800 系列萬兆核心路由交換機外觀圖MyPower S6800 系列高性能萬兆核心

40、路由交換機是邁普公司推出的新一代多業(yè)務高性能電信級核心交換機平臺產(chǎn)品，可以向用戶提供高性能、高可靠、多業(yè)務的網(wǎng)絡服務。MyPower S6800 系列高性能電信級交換機采用先進的 200G 交換平臺，可以提供超大容量 L2/L3 層數(shù)據(jù)交換服務；采用 ATCA 理念，先進的電信級99.999%設備穩(wěn)定性設計，所有部件全冗余， 主控卡和交換矩陣硬件分離； 支持 MPLS 和 IPv6 數(shù)據(jù)的全分布式硬件線速處理，滿足核心層設備高密度、 高吞吐量的 MPLS 和 IPv6 數(shù)據(jù)轉發(fā)要求； 提供電信網(wǎng)絡的管理特性，通過 OAM 協(xié)議可以對網(wǎng)絡鏈路、業(yè)務、用戶端進行全面的管理。MyPower S680

41、0 系列高性能電信級交換機作為多業(yè)務網(wǎng)絡核心平臺， 可與邁普全系列交換機一起為金融、運營商、政府、能源、交通、教育、軍隊等用戶提供全方位的廣域網(wǎng)和局域網(wǎng)解決方案，廣泛應用于以上各個行業(yè)領域的國家級和省級數(shù)據(jù)中心、國家級和省級網(wǎng)絡核心、 大型園區(qū)網(wǎng)核心、 運營商 IP 城域網(wǎng)核心。 MyPower S6800 系列高性能電信級交換機分別提供 4 槽、 8 槽、 12 槽、 20 槽四種機框滿足不同業(yè)務容量客戶的需求。產(chǎn)品特征先進的萬兆交換硬件體系架構設計保證大容量交換容量核心保障機制和關鍵部件冗余保證設備的電信級可靠性集中式/分布式的IPv6/MPLS 處理機制滿足各類應用需求完善的網(wǎng)絡安全特性

42、能夠提供全面的攻擊和病毒防范能力支持虛擬化功能，可以實現(xiàn)配置統(tǒng)一管理和數(shù)據(jù)同步功能豐富的多業(yè)務卡設計，通過眾核處理實現(xiàn)了多業(yè)務的加速超低功耗設計延長交換平臺的壽命，降低設備運轉能耗領先的電信級產(chǎn)品的易用性、可管理性、 OAM 特性先進的 200GE 多級交換架構的交換平臺采用新一代200G 交換平臺設計，先進的無源銅背板提供單槽位400G 的交換容量，通過 Crossbar 空間多級交換矩陣實現(xiàn)板內(nèi)和板間超高速二、三層線速分布式轉發(fā)；通過功能強大的多核 +NP+ASIC 芯片進行高速路由查找， 從而大大提升MyPower S6800 交換平臺的路由性能；高達6.4Tbps 的整機交換容量，提供

43、領先的大密度萬兆、千兆以太網(wǎng)板卡，可升級支持 40/100GE 接口，滿足核心層設備高密度、高吞吐量、可擴展的要求。采用 ATCA 架構設計的電信級交換平臺整個系統(tǒng)采用 ATCA 架構的理念， 所有部件均提供雙冗余或者多冗余設計， 支持電源冗余、管理模塊冗余、交換矩陣冗余、風扇冗余、鏈路冗余等；整個系統(tǒng)電源模塊、風扇模塊、所有業(yè)務板卡支持熱插拔；系統(tǒng)軟件支持優(yōu)雅重啟技術和在線升級功能，可以保證業(yè)務永不中斷；獨特的雙控制引擎互為備份設計，保證核心交換平臺具有苛刻電信級可靠性；獨立的交換網(wǎng)板卡，交換卡和控制引擎硬件相互獨立，可以提高設備的可靠性，同時為后續(xù)產(chǎn)品帶寬的持續(xù)升級提供保證。支持 IPv6

44、/MPLS 硬件全分布式轉發(fā)平臺整個平臺支持基于 ASIC 全分布式全線速硬件MPLS/IPv6 轉發(fā)方式， 可以在板卡內(nèi)實現(xiàn)MPLS/IPv6 報文的全線速處理， 避免集中式轉發(fā)的瓶頸和時延問題， 為 MPLS/IPv6 大規(guī)模組網(wǎng)提供了有力保障。豐富的 MPLS 功能特性，可以滿足運營商MPLS 城域網(wǎng)的要求，可以針對各類業(yè)務提供二、三層MPLS VPN 功能。每端口大容量Buffer ，滿足大型數(shù)據(jù)中心高突發(fā)流量的需求；支持精細化QoS 和流量管理，給不同用戶、不同業(yè)務流分配不同的優(yōu)先級和隊列，保證不同的帶寬、業(yè)務延遲和抖動性能。領先的電信級產(chǎn)品的易用性、可管理性通過獨立的機箱管理平面和

45、液晶面板， 能夠自動檢測和上報硬件故障， 并進行相應的故障隔離，對電源管理、環(huán)境及熱點溫度監(jiān)控、風扇轉速自動調(diào)整， CPU 系統(tǒng)異常重啟前關鍵信息保存，便于后續(xù)故障分析和定位。支持在線狀態(tài)檢測機制，支持單板離線故障診斷，快速方便的現(xiàn)場定位手段， 支持業(yè)務層面的在線故障診斷， 通過 TCP、 UDP-Jitter、 ICMP 、 HTTP 、FTP、 DHCP 、 DLSw 和 SNMP 測試等各種探測方式對網(wǎng)絡或服務進行質(zhì)量分析， 并提供測試結果， 可視化網(wǎng)絡流量監(jiān)控和分析。 全面支持 802.3ah OAM 、802.1ag OAM 、 ITU Y.1731 OAM ， 提供多種設備級和網(wǎng)絡

46、級的故障檢測手段。完善的系統(tǒng)網(wǎng)絡安全特性確保網(wǎng)絡可靠具有系統(tǒng)網(wǎng)絡安全性的功能設計， 支持基于用戶安全策略的 SNMP V3 、 MAC+IP+VLAN綁定、 802.1X 認證等安全策略，支持防網(wǎng)絡風暴攻擊、防 DOS/DDOS 攻擊、防 ARP 攻擊、防掃描窺探攻擊、防畸形報文攻擊、防網(wǎng)絡協(xié)議報文攻擊等安全技術，可有效地防止攻擊和病毒，更適合大規(guī)模、多業(yè)務、復雜流量訪問的網(wǎng)絡。控制平面和轉發(fā)平面的物理隔離，控制平面和轉發(fā)平面的多級保護及安全性， 可以有效的防止各類攻擊。 多種攻擊檢測機制： ARP 深度檢測；IP攻擊檢測；TCP攻擊檢測，IP Source Guard等，配合IPFIX和Ma

47、tserPlan網(wǎng)管 可以實現(xiàn)對攻擊源的主動防御。支持虛擬化功能，可以實現(xiàn)配置統(tǒng)一管理和數(shù)據(jù)同步功能支持虛擬化功能， 可以將多臺交換機虛擬化為一臺交換機， 進行統(tǒng)一管理和統(tǒng)一表項的數(shù)據(jù)轉發(fā)。多臺交換機堆疊后，從主交換機可以對從交換機直接進行管理，以全局的方式進行配置命令下發(fā)。多臺交換機堆疊后，可以實現(xiàn)主、從交換機的轉發(fā)表項的自動同步功能，以一臺交換機的方式進行數(shù)據(jù)轉發(fā)。支持通過 10000M 光口的方式進行堆疊，可以實現(xiàn)本地或者遠程的堆疊功能，部署更為方便。支持跨設備的鏈路捆綁功能，可以滿足核心網(wǎng)絡的鏈路高速切換需求。高速交換平臺配合眾核處理實現(xiàn)了多業(yè)務的加速MyPower S6800 高性能

48、交換機平臺是邁普多年 IP 網(wǎng)絡技術研發(fā)的結晶，依靠先進的200G 交換平臺，采用全球領先的 40G 處理能力的眾核處理器技術，通過全硬件處理實現(xiàn)了NAT、防火墻、VPN、IPFIX、流量分析、內(nèi)容過濾、PWE3、語音、視頻、網(wǎng)管等功能，擴大了核心交換機的使用范圍，實現(xiàn)了網(wǎng)絡核心和業(yè)務核心的融合。通過加強核心設備的功能 集成，將以前多種設備分布實現(xiàn)的業(yè)務功能，通過一臺MyPower S6800高性能交換機平臺來集中處理，既減少網(wǎng)絡復雜度，降低了用戶的維護工作量，又可以通過MyPower S6800高性能交換機平臺的高性能交換通道，提供一個高性能的數(shù)據(jù)轉發(fā)環(huán)境。業(yè)務板卡支持在板卡內(nèi) 置了 IPF

49、IX處理引擎，處理性能高，節(jié)省了客戶的投資。全面的綠色環(huán)保設計延長核心交換平臺的壽命根據(jù)10c規(guī)律，半導體芯片的可靠性、使用壽命與工作溫度有著直接的關系，工作溫度每上升10C,半導體芯片可靠性降低一半，而工作溫度與設備的功耗成正比關系。 MyPowerS6800A高性能電信級交換機大量采用ASIC處理芯片進行數(shù)據(jù)處理， 在滿足高性能的前提下大幅的降低成本，16槽設備的整機最大功耗（全配、非POE）低于1800瓦，在高端設備上的低功耗設計使得半導體芯片的溫度較低。低功耗設計不但大大增加高端設備的使用壽命和 穩(wěn)定運行，在能源日益緊張的今天，同時也節(jié)約設備的運轉能耗，滿足綠色環(huán)保要求。完善 的電源管

50、理功能，空閑端口低功率待機，還可以對空閑的單板進行下電管理，同時還可以對 相應散熱風扇進行停轉控制，進一步降低功耗。產(chǎn)品規(guī)格硬件規(guī)格產(chǎn)品型號S6800-02機框S6800-04機框S6800-08機框S6800-16機框整機槽位數(shù)481220主控板槽位數(shù)2222交換板槽包數(shù)0222業(yè)務引擎槽位數(shù)24816電源槽位數(shù)2488交換谷量800Gbps1600Gbps3200Gbps6400Gbps轉發(fā)性能（IPv4）952Mpps1920Mpps2400Mpps7619Mpps轉發(fā)性能（IPv6）952Mpps1920Mpps2400Mpps7619MppsUSB主控板上提供一個USB接口配置口主控

51、板上提供一個配置接口存儲卡主控板上提供一個CF擴展接口外形尺寸（長X寬X高）？444x600x131(3U)444x600x310(7U)444x600x577(13U)444x600x977(22U)輸入電壓AC: 100260V, 5060HzDC: W6一72V功耗（非POE最大值）200W600W1000W1800W溫度工作溫度：045 c存儲溫度：-1060c濕度工作濕度：1090%不結露存儲濕度：1090%不結露散熱方式風扇散熱軟件特性鏈路層協(xié)議與局域網(wǎng)支持MAC地址學習數(shù)目限制；靜態(tài)MAC配置；黑洞MACEthernet, Ethernet II、VLAN (VLAN-BASED

52、 PORT VLAN、VOICE VLAN、Guest VLAN)、802.3x、802.1p、802.1Q、802.1xQINQ、靈活的QinQSTP/RSTP/MSTP;支持 BPDU TUNNEL ;IGMP Snooping、GVRPIEEE802.3ad LACP 二層聚合多對一的端口鏡像，遠程端口鏡像 RSPAN,跨板的端口 鏡像，不同速率的端口鏡像，支持基于流的鏡像，支持跨 網(wǎng)段的流鏡像功能ERPAN基于端口的廣播流量抑制，基于端口的未知組播流量抑 制，基丁端口的未知單播流量抑制，基于端口絕對帶寬進 行流量抑制，可按照PPS和BPS進行抑制網(wǎng)絡協(xié)議ARP功能動態(tài)和靜態(tài)ARP、代理

53、ARP、免費ARP路由協(xié)議靜態(tài)路由RIP v1/v2、RIPngOSPF v3 OSPFv3IS-IS、IS-ISv6IRMPBGP、BGP4+ECMP （等價多路徑）、路由策略、遞歸路由組播協(xié)議IGMP v1/v2/v3、MLD V1/V2IGMP Snooping、MLD SnoopingPIM-DM、PIM-SM、PIM-SDM、PIM-SSMDVMRP、 MSDPIP應用DHCP Server； DHCP Client、DHCP Relay、DHCP Snooping、Option 82DHCPv6 Server、DHCPv6 Client、DHCPv6 RelayDNS、DDNSFT

54、P Server； FTP ClientPing、TraceIP Accounting、UDP Helper、NTPIPv6IPv6 基本功能：IPv6 ND , IPv6 PMTU , IPv6 FIB , IPv6 ACLIPv6過渡隧道技術：IPv6手動隧道、GRE隧道、IPv4兼容IPv6自動隧道、6to4隧道、ISATAP隧道網(wǎng)絡安全性端口端口安全、端口隔離ARPARP Guardi, DAI ,靜態(tài) ARP 捆綁，ACL標準IP ACL、擴展IP ACL、標準MAC ACL、以太協(xié)議ACL、IPv6 ACL、自反 ACL、高級 ACL安全防護控制平向保護、URPFDDOS 防攻擊ICMP Flood攔截、Smurf攻擊攔截、Fraggle攻擊攔截、LAND攻擊攔截、SYN Flood攻擊攔截應用控制流量控制、URL過濾VPNGRE認證Local 認證，Radius, Tacac AAAPortal認證、802.1x認證、MAC地址認證用戶安全登陸用戶IP/MAC綁定MPLSMPLS L2VPN支持L2VPNMPLS/BGPVPN(L3VPN)支持一個Site屬于多個V