《某小区智能化系统工程设计方案2【完整版】.doc》由会员分享,可在线阅读,更多相关《某小区智能化系统工程设计方案2【完整版】.doc(78页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、某小区智能化系统工程设计方案2【完整版】(文档可以直接使用,也可根据实际需要修订后使用,可编辑放心下载)第十二章 网络系统12.1 系统概述本次网络系统设计的总体目标为:以现代通讯技术、现代计算机技术、现代管理技术、现代控制技术为技术支撑,建立一个开放的、模块化的系统体系,实现通讯、效劳的自动化和集成化。网络布线系统指的是从弱电管理中心引至小区各楼栋的电梯机房、电梯维保部、公共设施设备控制站、小区物业管理站、公共显示系统等部位,构建成局域网。12.2 设计要点 根据招标文件要求,核心交换机选用联想天工iSpirit2924F以太网交换机,采用单机双引擎,技术指标满足MAC256K,交换能力12
2、8GB,9SLOTS。 网络系统采用FTTB+LAN(超五类UTP),两层体系结构核心层接入层。千兆主干,百兆到户。 根据招标文件要求,选用全系列罗森伯格线缆。 采用光纤双绞线网布线,将划分为三个区域,分别在小区的河以北9#楼、河以西南22#、河以东南26#的一层设置分中心A、B、C,采用由网管中心弱电总机房引出三根48芯单模光纤进三个分中心的星型拓扑结构,再从每个中心各引出4芯单模光纤至每个楼栋,确保传输稳定可靠。 在每栋楼的设备间配置24口模块式配线架,分别引一根超五类4对UTP至各户。 网络平安考虑选用联想强五3203千兆防火墙。12.3 方案设计 系统特点1) 构建量身定做的宽带网络天
3、工iSpirit2924F可以通过不同的扩展模块来构建百兆主干、千兆主干。只需添加高速的上联模块而不需要更换机器,便可以将网络升级到千兆双绞线网络或千兆光纤网络,可有效地降低网络建设初期的建设本钱,同时在保护用户的网络投资的前提下实现轻松的网络升级。2) 进一步消除网络带宽瓶颈联想天工iSpirit2924F可配置多达四个千兆端口,因此其构建的骨干网络带宽至会聚层或核心层可高达8Gbps,极大地消除网络瓶颈。3) 千兆端口直接实现真正的菊花链堆叠当今大多主流的接入层交换机仅有两个千兆端口,可利用千兆端口实现堆叠,但无法同时实现千兆上连和真正的菊花链堆叠。利用iSpirit 2924F,可在实现
4、双向2Gbps的上连的同时,形成真正的菊花链堆叠,大大提高接入网络的可靠性。4) 更强大的用户信息绑定和平安功能支持手工设置和自动学习MAC地址两种方式。一个端口可以支持128个绑定。支持MACPORTVLANIDIPUSERID绑定。可以过滤掉特定的目的MAC地址,进一步确保网络的平安特性。5) 构建可运营的宽带网络局域网的计费与认证始终是困扰网络营运商的一个难题。联想天工iSpirit 2924F可实现更为强大的认证计费功能,可确保网络的平安,并切实维护网络运营商的商业利益。联想天工iSpirit2924F支持基于MAC和基于端口两种方式认证。对于基于MAC地址方式的认证,每个端口可支持对
5、最多50个MAC地址的认证。支持流量计费和带宽分配;支持下发消息;支持强制下线,实现运营网络。6) 全面的QoS联想天工iSpirit 2924F可以根据不同的业务流或者不同的用户赋予不同的优先级及权限,然后按照相应算法进行转发,以保证不同类型的数据包获得与之对应的带宽和时延,保证其不同的高层应用质量和相应的效劳等级,使不同的应用获得预期的传输效果,搭建高速、平安、便捷、高可靠性和具有差异效劳的的信息网络。联想天工iSpirit2924F支持基于802.1p、DSCP、ToS的数据流分类,支持基于MAC地址的流分类,支持基于端口的流分类。支持4个优先级队列,支持2种优先级调度算法WRR,SPQ
6、7) 灵活的接入带宽设计联想天工iSpirit2924F可支持4组端口聚合,每个聚合组内可多达8个端口,同时满足不同用户不同场所的带宽需要。联想天工iSpirit2924F支持最小1Mbps的端口速率限制,百兆端口的带宽粒度为64kbps,千兆端口的带宽粒度为256kbps,为带宽的使用提供更精细的规划方案。8) 优化的网络传输性能联想天工iSpirit2924F具有很强的播送风暴抑制功能,触发抑制功能的播送数据包阈值可从0到10Mbps。支持超长数据包传输,数据包长可达13kbytes,极大地提高数据传输效率。9) 增强的Vlan特性联想天工iSpirit2924F在Vlan功能方面进行了较
7、多的改良和增强。联想天工iSpirit2924F支持256个Vlan。除标准的802.1q和基于端口的Vlan外,还支持私有Vlan,保护Vlan和协议Vlan。除常见的IP、IPX、AppleTalk协议外,用户还可以自定义三种协议定制所需的Vlan。10) 私有Vlan实现同一个播送内的可控通信联想天工iSpirit2924F每一个私有VLAN由多个连续的VLANVLAN ID是连续的组成。每一个私有Vlan是一个播送域,私有Vlan间必须通过三层路由协议来实现通讯,在私有Vlan内部通过将端口划分为不同类型:混杂端口、共用端口和隔离端口,可完美实现在一个子网中的二层端口通信隔离控制。通过
8、私有Vlan技术,可实现在进行公用数据共享的同时,又使私有数据的平安得到了的保证。11) 保护Vlan实现同一播送域内的端口隔离联想天工iSpirit2924F支持保护Vlan。通过保护Vlan中的separated端口,可实现在一个VLAN内的端口隔离。通过指定Vlan内的egress端口,使Vlan内所有被互相隔离的端口都可以向上连接至需共同访问的资源或Internet,非常适用于宽带运营网络的接入层。12) 便捷的可管理特性联想天工iSpirit 2924F提供多种管理方式,可通过CLI、Telnet、SNMP、Web-based等多种管理方式实现网络管理和维护。具有人性化用户界面,提供
9、中英文两种用户界面选择,用户操作方便快捷,减轻了管理员的工作量。支持SNMP v1/v2/v3,在异常情况下能够发出SNMP TRAP包。支持RMON(1,2,3,9组),能够获取端口的各种统计信息。支持对端口的进或出数据包进行侦听,为网络监测和病毒扫描提供强有力的支持手段。13) 端口扩展能力基于联想网络超级堆叠技术的端口扩展能力,利用交换机上的千兆端口即可实现32台交换机的堆叠,一改传统堆叠的必须集中放置和使用专用模块和短堆叠电缆的缺乏,使得堆叠跨越传统的地域限制,使用一个IP地址来对分散的交换机进行统一的管理。14) 设备故障诊断技术联想天工iSpirit 2924F的前面板提供了四种模
10、式的LED灯显示,可观察并诊断出网络设备的端口状态,降低了网络故障排除的难度,减少了网络维护工作量。15) 端口线序自适应所有10/100Base-TX端口支持MDI/MDIX,实现双绞线线序识别,直通和交叉网线自适应,使得用户不必再为设备之间的连接究竟该使用直通线还是该使用交叉线而感到疑惑,并减少网络连接故障,为用户提供方便。16) 超长距离网线传输联想天工iSpirit 2924F所有的百兆端口皆支持超长距离网线传输功能。100M速率可以传送140米,为特殊情况下网络用户接入提供了便利,增加了网络配置的灵活性,降低了网络建设本钱17) 增强的二层策略交换联想天工iSpirit2924F除具
11、有传统二层交换机的功能以外,增强和优化了基于策略的二层交换,并且增加了很多附加功能,如IEEE 802.1p优先级队列控制、IEEE 802.3x拥塞情况的流量控制、背压控制、播送流量抑制等等。18) 线速数据交换能力天工iSpirit 2924F具备18Gbps的交换背板和最大9.6Mpps的数据吞吐率,所以在它把终端工作站和用户连接到LAN上时可以在各个端口提供线速连接性能。 19) 支持组播功能联想天工iSpirit 2924F支持静态组播及组播侦听,在控制和管理LAN的组播应用方面功能更强大,易于使用与管理。 方案说明本方案的智能住宅网络布线系统有三级管理中心,第一级管理中心为小区网络
12、控制及维护中心,设在电讯网络机房。其不仅是整个小区通讯管理中心,也是计算机网络中心,电信局和有线电视台的线路汇入中心。第二级管理中心是设在9#、22#、26#三个分中心的一楼主配线间,第三级管理是各楼栋的一层主配线间。楼间主干: 楼宇间的数据网络主干采用罗森伯格48芯和4芯单模光纤作为高速数据网络连接,具有抗干扰性好,传输容量大、保密性强、高速率等优点。楼内垂直主干:住宅垂直主干线系统是指从一楼主配线间连到各住户多媒体箱之间的传输线缆,本方案建议采用罗森伯格的超五类线缆可支持语音、数据信号传输 。室内布线:家庭户内布线系统包括家庭配线中心、户内布线和信息插座。详细说明见第十六章。方案描述网络采
13、用两层体系结构核心层+接入层,千兆主干、百兆到户。 核心层 核心层选用一台联想核心交换机联想天工iSpirit6808384Gbps的交换容量、260Mpps的背板带宽,共安装2只16口1000BASE-X SFP GBIC的千兆模块为网络中心的效劳器群提供高速千兆接入链路,同时为以后网络的升级与扩展留下了丰富的扩展端口;除此之外同时安装30块Mini-GBIC, SFP, 1000BaseLX模块,以提供终端设备接入百兆端口,采用星型拓扑的方式为会聚层设备提供千兆级联链路;在联想天工iSpirit6808的整体架构上,采用冗余的管理&交换模块两个管理&交换模块采用负载共享的交换矩阵以及双机热
14、备份的管理系统实现冗余、双电源两个电源采用负载均分供电的方式提供整个交换机系统的电源供给、双风扇、无源背板等硬件冗余方式,为网络核心层提供一个高度可靠的架构。网络核心层示意图如下图五 网络拓扑结构核心层在进行宽带小区的效劳器群接入设计时,我们可以采用联想网络高端设备的专有的基于硬件设计的效劳器负载均衡技术SLB以及WEB Cache重定向技术WCR为小区的整个数据交换工作提供一个高效的、稳定的效劳器群交换网络。 接入层 在网络接入层,我们采用了联想2个千兆/百兆光纤扩展槽+24个10/100BASE-TX端口的交换机iSpirit2924F作为接入层交换机,以千兆光纤链路级联到会聚层交换机,同
15、时为每一户居民提供10/100MBASE-TX快速以太网接口。接入层设备:选用联想天工iSpirit2924F作为接入层交换机,总共需要87台联想天工iSpirit2924F。接入层示意图如下图七 网络拓扑结构接入层 配置点表根据智能化系统工程施工的招标文件和本次设计图纸,考虑在每户安装一个家用智能箱,通过光纤终端盒将光信号转换为电信号,经过交换机及24口模块式配线架将超五类4对非屏蔽双绞进户线引至其中,在每间房间均布置一个网络点。具体配置如下表:楼号单元数户数智能多媒体箱网络48口光纤配线架1396962分中心A9#22646433969643969653969662686872646482
16、64649264641026464112686812272721527272162646417396961839696193666620370702137676222236666分中心B22#分中心C22#2336666263666627488882824444292444430354543147272合计71195219529包括中心3个12.4 网络平安设计根据招标文件要求,我们选用联想网御强五系列防火墙。网御防火墙强五系列产品简介.1简介网御防火墙Power V系列产品是联想集团历经1年半投入1000余万并通过联想长期以来对企业级产品的理解和把握专为企业级用户打造并具有完全自主知识产权的
17、新一代防火墙产品, 具有强平安性、强适用性、强可靠性、强扩展性和强管理性等强五特性。网御防火墙Power V系列使用先进的核外处理技术,结合强大的P IV级硬件处理能力和先进的DDR内存访问处理机制,使得Power V系列产品具有无比高效的处理能力,从而使得防火墙在吞吐率、延迟、抗攻击能力等各方面到达了一个新阶段,更加有效的保障了企业的平安和带宽投资。实现了高处理能力与高性能、高平安性的有机结合,完全能够满足需要进行大量数据处理与交换的应用环境,成为您构建信息平安方案的理想选择。.2系统架构网御防火墙Power V主要由硬件平台、专用操作系统、防火墙平安软件等三个局部组成。硬件平台根据用户使用
18、环境的不同,选取专用平安平台或基于高性能效劳器架构进行设计;专用操作系统为自主研发的平安实时嵌入式操作系统;防火墙平安应用软件采用分层模块化设计,针对不同的应用环境和不同的平安策略,可以配置不同的功能模块。.2工作模式联想网御全系列产品均采用联想新一代多平安域设计,Power V系列产品多达8口的硬件设计可以使多平安域需求得到完全的满足,完全突破了传统的内网、外网、停火区的理念,可以根据企业内部不同的部门设置不同的互通平安规那么,使得不仅在内网与外网的平安得到保障,同时保障了企业内部不同部门之间的平安需求。联想网御防火墙Power V支持全透明交换工作模式,与网御防火墙Power V可连接各个
19、网络之间构成一个统一的交换式物理子网,子网内部还可以有自己的第二级路由器。除平安管理以外,防火墙本身的工作不需要IP地址,为隐式全透明防火墙。这样一方面大大降低了防火墙自身受到攻击的可能性,另一方面也使系统安装变得十分简单,不再需要改变原有的网络拓扑结构和各主机与设备的网络设置,即不需要重新划分网段和调整网络结构。同时强化了对虚拟局域网VLAN和生成树协议STP的支持。联想网御防火墙Power V同时支持路由工作模式,与网御防火墙Power V可连接不同的物理网段。防火墙接口可以通过配置别名设备,可以使得一个物理接口上绑定多个IP地址。联想网御防火墙Power V还支持集群工作模式,可以通过多
20、达四台防火墙的集群提高整个网络系统的可靠性,降低出现网络中断的风险。网御防火墙强五系列产品特点.1强平安性 主动型包过滤技术传统的包过滤防火墙和应用网关防火墙都是被动的在相应的层上等待到达该层的数据包,然后决定是允许还是禁止,并不能根据用户策略主动地控制数据包的流动,而主动式防火墙技术,可以根据平安策略主动地控制数据包在不同协议层之间传递,为用户提供透明、平安、高效的防火墙。图1 主动式防火墙技术原理图联想网御防火墙Power V采用主动式防火墙技术,在链路层截获数据包,然后送给主动式状态包过滤器,在这里根据用户的平安策略决定该如何处理该数据包。如果策略是转发,防火墙直接将该数据包从链路层转发
21、,并不上传网络层,提高了效率;如果策略是NAT、路由转发和应用代理,那么将状态信息保存在数据包中,然后直接送到网络层。在网络层并不再进行平安策略检查,而是根据保存的状态信息,决定数据包是NAT、路由转发还是需要送往应用层处理。我们可以清楚的看到主动式防火墙在链路层就已经知道了数据包的流向,并在链路层开始分流,和传统的防火墙必须到达网络层才能决定相比,减少了许多不必要的处理,提高了网络的处理性能,并且将包过滤和应用代理有机的结合起来,可以为用户提供一个全透明、平安、高效防火墙。 增强型抗攻击技术对拒绝效劳攻击的防范,可以防范以下攻击类型:Syn Flood ,Ping Flood , Udp F
22、lood ,Teardrop , Sweep , Land , Ping of Death , Smurf ,碎片攻击、WINNUKE,圣诞树攻击等。配合防火墙上的IDS功能,可以抵抗更多种类的攻击。 入侵检测与防范内置的入侵检测模块,可选择配置不同的攻击特征码。攻击特征码分类,可以根据大类进行特征码选择。攻击的特征库在包括扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等。提供攻击特征码的升级和特征码的自定义。防火墙支持与其他入侵检测设备的互动。可以根据入侵检测报告的地址和端口,进行策略的自动更新。可与启明星晨、中科网威、北方计算等的IDS联动。提供专门的协议和API,保证可以接受任何主流入
23、侵检测厂商的报告信息。 内容过滤HTTP内容过滤,包括URL过滤,特殊代码的剥离MAIL过滤,包括收发件人的过滤,主题过滤,收件人数量,邮件大小过滤。12.4. 2.2强适用性 强网络适用性联想网御防火墙Power V系列对各种网络环境均能提供良好的支持总体网络环境适用性联想网御Power V系列产品不仅支持以单一的路由器、交换机等设备搭建的网络,还支持以多路由、多交换搭建的复杂网络环境,并能够以纯路由、透明、双链路、单边路由、跨接、双向NAT、双active负载均衡、activestandby等各种不同模式接入,从而保证在任何复杂度的网络应用环境中顺畅自如的使用。例如:图2 全链路冗余简图在
24、以上拓扑中,正常情况下两台防火墙都处于工作状态,利用生成树协议阻断形成环路的端口。当由于任何一点网络故障、硬件故障等情况时,防火墙能够自动切换端口工作状态,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与。IP设置强适用性对于IP设置方面,支持每个网络接口多个IP地址的设定,支持网络接口模式的设定。支持ADSL的拨号连接,自动以ADSL获得的地址为公网地址,用此地址对内部IP做地址转换。路由支持强适用性对于路由支持方面,静态路由的支持,用户可以手工的配置基于目的地址的静态路由,输入的信息包括网络地址、掩码地址、下一跳地址与网络接口。同时支持策略路由。支持基于源地址和效劳级别的策
25、略路由,策略路由的优先级优于目的地址路由。NAT需求强适用性对于地址转换方面,支持动态地址转换,包括多对一的地址转换,多对多的地址转换。静态地址转换,包括对内部的效劳器,提供一对一的地址转换。端口转换,包括内部多个效劳器提供不同效劳,转换成外部的一个地址,同时提供多种效劳。双向地址转换,两边是对等网络,但是都需要跟对方隐藏自己的内部IP地址,之间互访就可以采用双向的地址转换。基于下一跳路由的地址转换,可以根据下一跳的路由选择地址转换的策略,这主要针对于网络多出口的情况。透明和混和需求强适用性对于透明模式和混和接入模式,支持透明工作模式,支持多口网桥。在组合成桥的多个网口上,防火墙可以为网桥配置
26、IP地址。支持混合工作模式,支持路由模式、NAT模式和透明模式共存的情况。vlan支持强适用性支持VLAN路由和VLAN TRUNK,无论在透明交换模式还是路由或NAT模式都可以完全根据网络环境要求设置VLAN访问策略。强应用适用性企业级网络的最大特点是多种多样的复杂网络应用环境,从某种意义上讲,对于企业级防火墙的要求已经超越了传统的包过滤型防火墙的需求,而是应用级防火墙的要求,通过联想信息平安多年来的积累,联想新一代Power V 系列防火墙产品有效的在保障产品平安性和性能的根底上极大的丰富了防火墙产品针对不同网络应用的平安访问控制,从而既保障了产品的平安特性又保障了企业应用的顺畅进行。联想
27、防火墙Power V系列产品可以从以下几个方面满足企业复杂应用的平安保障:应用代理联想网御Power V系列产品可以支持HTTP代理、TELNET代理、FTP代理、SMTP代理、POP3代理、DNS代理、ICMP代理、自定义代理等多种复杂的应用代理,从而保障企业用户的平安应用需求基于动态协议的复杂应用联想网御Power V系列产品可以支持H.323 、RTSP、UPnP等各种多媒体协议支持。H.323协议是网上视频音频应用的主要协议。同时对这些协议的支持可以实现真正的状态检测,保证没有多余的端口翻开。另外还支持例如FTP,TFTP,Oracle的通信协议TNS等其他复杂协议。强协议可用性联想网
28、御防火墙Power V系列支持多种基于非IP协议的应用:例如IPX , NETBEUI等。防火墙可以支持非IP协议的通过,并可以分别设置不同协议允许或者禁止通过。.3强可靠性联想网御防火墙支持例如支持主从、集群、状态同步等多种高可靠方式。对于防火墙产品的高可靠方案来说,以下两点至关重要:故障切换:主机故障切换,当主防火墙发生故障的时候,如防火墙掉电、死机。备份防火墙可以自动检测到,并且切换到主状态,接管主防火墙的工作。网络故障切换,当主防火墙发生网络故障,比方主防火墙的网口出现故障或主防火墙连接的网线出现故障,备份防火墙可以自动检测到,并且切换到主状态,接管主防火墙的工作。消除单点故障,单台防
29、火墙可以采用冗余接口的配置,可以将两个接口绑定在一起,一个充当主接口,另外一个充当备份接口。状态信息的同步,主机中的状态信息,可以在备机上表达,保证切换对用户的透明性,连接不需要重新发起。可以做到虚拟IP地址,虚拟MAC地址。多台防火墙共享虚拟的IP地址和MAC地址,当出现防火墙切换的时候,不存在IP地址、MAC地址的变化,最大限度地对内部主机透明。网御防火墙Power V支持LFRPLenovo Firewall Redundant Protocol即联想防火墙冗余协议。这是一种在联想网御防火墙设备上实现的、可提供高可用性(HA) 效劳的专有协议,该协议支持心跳信号通讯,主动负载均衡,会话保
30、护和接管以及主动配置同步等功能。利用24台支持LFRP协议的联想网御防火墙,可以构建一个高可用性的防火墙集群。消除防火墙作为网络设备,存在的单点故障隐患,能够胜任对可靠性要求很高的用户环境,如电信、银行、证券、大型企业等。如下图:两台支持LFRP协议的联想防火墙构成了一个HA集群,两台防火墙同时处理网络数据,一台防火墙出现故障后,另一台防火墙会接管出现故障防火墙的所有网络连接,防火墙的单点故障被消除了。图3 两台支持LFRP协议防火墙构成的HA集群12.4. 2.4强扩展性随着信息平安需求和网络攻防技术的飞速开展,企业用户对防火墙产品软件和硬件的可扩展性提出了非常高的要求。联想网御Power
31、V系列产品通过精心设计,在软件设计方面采用了业绩先进的平安功能模块化和核心模块核外化技术,从管理控制单元到核心平安过滤单元均实现单独模块化设计,可以随着平安需求在各个平安层面上不断升级更新,保障用户的平安投资利益,同时随着网络环境拓扑复杂程度和企业内部不同平安区域划分需求的不断增加,对防火墙的网络接口数和可扩展能力提出了极高的能力,联想网御防火墙Power V百兆高端最多可支持多达8个百兆以太网口并支持外接模块,极大的方便了用户的使用。.5强管理性随着网络规模的不断增加和防火墙部署数量的不断增多,对于防火墙的管理问题日渐重要,既要实现单个防火墙的分级管理同时还需实现不同防火墙的集中管理成为防火
32、墙管理系统的重要问题,联想网御有机的结合了多种管理方式,能够最大限度的满足客户不同的管理需求:WEB方式管理:网御防火墙支持HTTPS+IKEY的方式管理。防火墙管理根底是管理员IKEY认证与SSL通信加密。命令行方式管理:支持串口命令行管理,SSH命令行管理。集中管理:防火墙具备集中管理的功能,可以通过联想的集中管理工具和Leadsec Manager进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控。联想网御防火墙Power V的集中式平安管理系统,以统一的策略和集成的平台对受控网络进行平安配置和管理。集中管理员通过集中管理中心可以对全局网络中的防火墙完成集中、统一的配置、
33、管理和系统监视工作。这种管理模式对于拥有多台联想网御平安设备的大型企业网络的平安管理尤为重要。它一方面提高了网络平安规那么的一致性,增进网络的平安性,另一方面也为管理员提供了方便的配置和诊断工具,使管理员可以腾出更多精力的关注更高级的平安管理工作。LeadSec Manager管理系统提供了设备自动发现功能,通过对网络的探询或侦听可以生成和维护全局设备列表;通过该列表,管理员可以进行集中的平安配置和管理,此时采用SSL协议来保证通信的平安性。LeadSec Manager系统支持对平安设备运行状态的实施监控。它利用SNMP协议从平安设备端收集运行状态数据,经过一定的运算和处理以可视化图表和数字
34、的形式呈现给管理员,使管理员及时准确的了解设备当前的运行状态。本系统支持对单台和多台设备的同时监视。LeadSec Manager系统中包括一个实时平安事件报警子系统。它从网络上监听SNMP Trap形式的报警报文,经过快速处理后实时的以醒目的方式如声音、视觉呈现给管理员。LeadSec Manager系统中还包括集中的日志查询系统和管理员操作审计系统,分别可以对防火墙的日志进行集中查询和对管理员的操作进行审计。分级管理:多级管理员的分类,包括超级用户管理员能够对防火墙的所有信息进行更改,策略管理员仅能对指定的安区域的策略进行管理,审计管理员只能浏览防火墙的相关信息等,防火墙可以设置同时只允许
35、一个管理员登陆。日志管理:所有的防火墙事件都有相关的日志记录。日志分为多个功能分组,如包过滤日志、系统日志、内容过滤日志、VPN日志、HA日志、攻击日志等等,每种日志都要有自己固定的格式,条理清楚,可读性强。日志的接收有两种:本机接收和日志效劳器接收。日志格式支持WEBTRENDS模式。日志的审计是防火墙的另一个重要方面,根本的日志审计功能可以在防火墙本机上完成,另外复杂功能也可以通过独立的日志效劳器来完成。日志的审计功能包括对防火墙系统事件和网络事件的统计、查询、分析等。网御防火墙强五系列主要功能.1网络支持 具有各种网络接口配置,具有多个10/100自适应网络接口以及千兆接口,百兆高端Po
36、wer V-400系列标配为4个,可扩展为8个 支持网络接口的启用和禁用,支持网络接口模式的设定10M、100M、1000M;全双工和半双工,可以显示网口目前的状态和统计流量 支持ADSL的拨号连接及自动重拨,可在中断以后自动重拨 支持防火墙作为DHCP效劳器、DHCP Relay、DHCP客户端 支持静态路由、策略路由 支持纯路由工作模式、透明工作模式、混合工作模式、NAT工作模式 支持不同VLAN的转发、相同VLAN的透明控制、支持VLAN TRUNK.2包过滤访问控制 支持状态检测 支持所有IP数据报的过滤 支持所有非IP协议如IPX , NETBEUI等 支持多媒体协议H323点对点通
37、信,支持MSN中的语音通信使用了SIP协议,支持通用的UPnP协议,支持RTSP协议 支持其他复杂动态协议FTP、TFTP、Oracle的通信协议TNS等 支持时间对象管理,支持系统时钟设置和时钟手工与自动同步 支持源地址、目的地址的对象管理和组管理,支持效劳的对象管理和组管理 支持策略的日志记录选项、用户身份认证选项、VPN通道选项 支持TCP/UDP长连接选项可以设定长连接的时间,包括不限时 支持IP/MAC的地址绑定,支持IP/MAC地址的自动获取.3地址转换 支持动态地址转换,支持地址池 支持静态地址转换 支持端口转换,支持动态效劳的映射,允许用户内部效劳对外开放 支持反向IP映射,允
38、许用户内部IP主机对外开放 支持双向地址转换一般应用于两边权限对等网络中,即源地址和目的地址的同时转换 支持策略基于协议、目的地址地址转换.4内容过滤 支持HTTP协议的URL过滤、特殊代码的剥离如JAVA,JAVASCRIPT,ACTIVEX等、网页中的关键字过滤 支持SMTP和POP3协议的收件人过滤、发件人过滤、主题过滤、收件人数量过滤、附件大小和名称过滤 支持FTP协议命令过滤和线程控制.5带宽管理 支持基于IP地址、应用协议的带宽管理 支持最小保证带宽和最大限制带宽 支持带宽优先级设定 支持VPN带宽的分配,支持闲置带宽的充分利用.6身份认证 支持内置的认证数据库 支持Radius认
39、证效劳器 与PKI/PMI技术的结合,可以利用CA对客户端和防火墙颁发证书,并且通过PMI系统进行权限的管理。防火墙通过识别内部用户的证书,赋给用户相关的权限,用户通过这个权限能够通过防火墙进行相关的访问控制.7抵抗攻击 防火墙本身不开效劳,管理端口仅对相应的管理主机开放,管理端口具有抗FLOOD攻击的能力 防火墙自身不存在扫描漏洞 对于目前测试普遍采用的几种攻击,可以防范,包括:Syn Flood、Ping Flood、Udp Flood、Teardrop、Sweep、Land、Ping of Death、Smurf 支持抗其他的攻击如:碎片攻击、WINNUKE、圣诞树攻击、Null、Syn
40、/ack、Ack、Fin扫描攻击、源路由攻击、地址欺骗等 在防范遇到攻击的同时,正常的效劳可以保证.8应用代理 HTTP代理 TELNET代理 FTP代理 SMTP代理 POP3代理 DNS代理 ICMP代理 SOCKS自定义代理 MSN代理 自定义代理.9VPN虚拟专用网 加密算法的选择,支持3DES、AES等算法,国产专用算法请选用SJW44产品属联想VPN产品线 认证算法的选择,支持MD5、sha1等 支持封装模式的选择ESP、AH、AH+ESP 支持IKE认证方式的选择预共享密钥、PKI证书模式 支持静态和动态IP网关之间的VPN通讯 支持VPN连接的星型结构和网状结构 支持客户端到网
41、关的VPN通讯:PPTP、L2TP 支持NAT穿越 符合标准的IPSEC协议,能够跟主流的VPN设备进行互联,如CISCO、CHECKPOINT、NETSCREEN、WIN2000等 支持VPN隧道的策略管理和带宽管理12.4.3.10 HA高可靠 支持主从、集群、状态同步三种HA高可用方式 支持在掉电源、防火墙死机、网口故障、网线故障、网络链路不通等情况下的HA切换,切换时间小于3秒 支持端口冗余,同一台防火墙两个端口间可互为备份 支持配置手工、自动同步和命令同步 支持虚拟IP地址和虚拟MAC地址,当出现防火墙切换的时候,不存在IP地址、MAC地址的变化,最大限度的对内部主机透明.11 ID
42、S与联动 支持内置入侵检测特征库,可选择启用检测的攻击类型 支持攻击特征码的升级 支持入侵特征码的自定义 支持入侵响应的方式包括阻断、报警等 支持与安氏、启明星晨、金诺、联想、中科网威、北方计算等主流IDS联动12.4.3.12 LB负载均衡 支持动态负载均衡算法,针对对外提供的效劳进行均衡,将访问均摊给内部效劳器 支持防火墙集群,机群间进行负载均衡.13管理功能 支持HTTPS+IKEY的方式管理 支持串口命令行管理 支持SSH命令行管理 防火墙具备集中管理的功能,可以通过联想的集中管理工具或Leadsec Manager进行集中管理。集中管理包括拓扑生成、全局集中日志审计、全局集中监控。提
43、供MIB,可以通过SNMP由其他的网管软件进行管理 支持配置编辑、保存、备份和恢复12.5主要设备功能及技术参数联想天工iSpirit 2924F交换机性能参数属性描述端口配置24个10/100MBase-TX端口4个扩展插槽接口支持100 BASE-TX100BASE-FX1000BASE-T、1000BASE-LX、1000BASE-SX背板带宽18Gbps二层包转发率9.6Mpps端口优先级队列4QoS支持基于802.1p,ToS,DSCP,MAC,端口优先级的QoS队列优先级调度WRR,SPQ生成树协议802.1d端口限速百兆端口最小带宽限值为64kbps,带宽粒度为64kbps。千兆
44、端口最小带宽限值可达64kbps,最小带宽粒度为64kbps播送抑制播送数据包的抑制阈值为010Mbps交换模式存储转发端口平安认证IEEE 802.1x端口绑定可自动学习或手动设定,可绑定128个MAC地址端口MAC过滤可以过滤掉特定的目的MAC地址端口侦听支持对进口或出口流量的侦听MAC地址表8k堆叠菊花链,32台网络管理SNMP、Telnet、Web、串口RMON1,2,3,9VLAN数256Vlan划分基于802.1q、端口、协议。可自定义协议来划分Vlan端口隔离可实现Vlan内的端口隔离Trunk4组Trunk,可支持8个端口聚合组播IGMP Snooping、静态组播超长数据包支
45、持长达13k的超长数据包物理环境要求尺寸WHL444mm44.5mm348mm重量5kg电源180260V交流电流最大1.5A频率5060Hz功耗70W工作温度及相对湿度0C40C, 10%90%存储温度及相对湿度-20C70C,5%90%电源及功耗180264V,交流电源1.5A最高海拔高度操作3000米,存储4570米认证平安标准FCC Part15 ClassA, CE.UL,CUL,VCCI Class A标准与接口协议参考文档桥生成树IEEE802.1d以太网IEEE802.3快速以太网IEEE802.3u全双工流控IEEE802.3x千兆以太网IEEE802.3z,IEEE802.3ab链路聚合IEEE802.3adQoS优先级IEEE802.1pVLANIEEE802.1qTFTPRFC 783BOOTPRFC 906,RFC 951,RFC 1350IPRFC 791ICMPRFC 792ARPRFC 826TelnetRFC 854RFC 859SNMPRFC 1