四川省机械设计研究院网络优化项目精选

1、四川建华科技有限公司 四川建华科技有限公司创建于1994年，通过十几年的持续发展，现已发展为一家集产品销售、技术服务、顾问咨询、软件开发于一身，三家控股子公司，人员规模超过100人，年销售额接近亿元的民营高科技企业 四川建华由工程软件事业部、政府及教育事业部、企业信息化事业部、云计算事业部、技术服务事业部、市场运营部、行政部以及三个控股子公司组成，经过多年的市场磨砺，四川建华已经打造出一支富有高科技、强战斗力走在时代前沿的团队。我司拥有高水平软件技术服务队伍和开发人员，我们拥有各厂商多项能力认证资格、最多的MVP队伍以及基于企业管理门户平台（EIP）和企业流程管理的高端服务支持人才。 与用户共

2、同发展；为股东创造财富；与员工共谋富裕；为社会创造繁荣。 成为西南地区最大、最专业、最有价值的信息化解决方案和服务提供商。 诚信、创新、团队精神、客户满意。 提供企业完整信息化解决方案为手段，实现客户增值，持续改进，进而为社会创造价值。 四川建华一直以来十分重视与国内外著名软件及安全厂商的合作，积极引进最先进的技术服务于我们的客户，是Microsoft公司授权的金牌合作伙伴、VMware（威睿）企业级合作伙伴、Citrix（思杰）解决方案顾问、Autodesk公司卓越级经销商，NetApp解决方案合作伙伴、Symantec、SANGFOR深信服、adobe、PKPM在四川和西南的合作伙伴。 四

3、川省机械研究设计院网络升级改造，是为了满足集团信息化的要求,为各类应用系统提供稳定、快速的信息通路；使集团基础架构网络具有更高的可靠性、稳定性、健壮性、以及一定的冗错能力，能够支持大容量数据传输满足实时性较强各类应用；改造后的网络环境能提供网络安全机制以此满足研究所信息安全的要求，并且未来容易升级扩展维护简单，以便满足以后集团的信息化建设； 当前集团公网出口采用一根移动10M光纤与TP-LINK路由器相连，接入层交换机直接接在公网出口路由器上，网络结构缺乏必要的层次内部网络没有硬件防病毒网关，内部用户直接通过路由器连接公网，食堂大厅等地无线信号覆盖薄弱或者是没有无线信号覆盖。公网出口路由器性能

4、不足，容易造成整个网络到互联网的中断，或通信质量不佳无硬件防火墙设备，容易遭受来自互联网的恶意攻击，重要资料被窃取网络结构设计不合理，不便于管理人员的管理无法审计到内部用户的上网行为，存在泄密风险、触犯法律风险核心区域单台设备容易出现单点故障 网络设计按照标准的网络结构分为接入层、汇聚层、核心层，此次项目中根据用户数量以及项目经费我们省略掉汇聚层结构设计为接入层和核心层，接入层采用多台H3C SMB-S1324F核心层采用两台H3C S5500-24P-SI运行VRRP协议，根据后续集团的规划将再增加一条线路所以出口建议使用深信服NGAF1120并购买双WAN口的授权。为了满足国家政策要求以及

5、更好的管理内网用户的上网行为合理分配网络带宽将使用深信服AC1200对内部网络进行合理的控制与管理。无线网络方面建议采用深信服WAC结合AP提供集团的无线接入。深信服的无线产品不仅拥有传统的无线接入功能，还能提供基于七层的应用安全控制。能够对接入无线网络的用户进行细致的审核、控制以及安全监测。 互联网公网出口采用深信服防火墙设备接入，并购买深信服设备的双WAN口授权。 基于SANGFOR多年应用层的技术沉淀，NGAF具备海量的数据包应用层识别特征库，精准识别用户数据。将AF放置于公网出口不仅仅能防御传统的病毒攻击，还能够防止基于应用层的攻击，有效的保护内部数据的安全访问。核心交换机核心交换机A

6、F防火墙防火墙 出入站流量，从身份认证识别应用管控安全防护，讲述的是如何确保合法人员进入网络访问合法资源 非法，同理 成本，强调全面的防护 单次解析的构架，表现的实现功能的前提下，性能不下降 核心层采用两台H3C S5500-24P-SI交换机启用VRRP，实现核心层的高可用。划分不同的VLAN实现不同VLAN之间的相互隔离提高内网的安全性，在接口下启用端口安全，绑定接入层设备的物理口MAC地址，防止非法设备的接入，同时启用DHCP SNOOPING防止网络中恶意的或者是私接路由器导致的DHCP服务器冲突使局域网内地址混乱对网络造成中断影响。VRRP 采用深信服WAC+AP模式部署，WAC单臂

7、模式部署在网络中，只要能与下面的AP通信即可对接入用户进行严格的管理与控制WAC图形界面操作容易管理方便，大大降低了日常管理的难度。ALL IN ONE页面推送可视化管理流量控制认证授权纯web界面，更直观流量控制与ACL控制深信服企业级安全无线网络适应性防Dos，IPS安全灵活的广告营销方案集成化，降低无线部署成本流量控制与ACL控制WEB认证，AD域，二维码扫描，IP/MAC绑定集成化，降低无线部署成本多样化的数据转发，端口聚合，Vlan，路由、NAT用户、角色繁多，单独配置流控及访问控制 为了遵守国家相关法规，同时也为了给集团用户提供一个更加优质的网络环境现在为集团提供深信服AC设备进行

8、流量、应用的控制、关键业务的带宽保障以及集团重要资料的保护，防止非法窃取、泄露集团的重要数据。AC能够提供用户对外数据的实时审计，一旦有集团重要资料通过互联网泄露，可以通过AC看到相关的用户外发信息，同时还能够对不良网信息站防护防止非法操作对集团造成名誉、经济以及知识产权上的损失。核心交换机核心交换机AF防火墙防火墙 SSL加密应用：gmail、QQ邮箱、gtalk 应用识别规则库：1100+应用，全面管控 URL智能识别：静态URL库+URL智能识别+云系统P2P智能识别：按预定策略精细控制流量，即使有未知P2P，流控策略仍然有效虚拟线路、父子通道：基于网站类型、文件类型流控：公司业务网站、

9、HTTP下载准入检测：修补内网安全短板，防止安全隐患恶意网址过滤：过滤含有恶意脚本、插件的网站危险流量告警：被木马控制PC后发出的HTTP、SMTP流量 计算机中心机房是整个网络节点的重要汇聚中心，也是网络建设中最为重要的一部分堪称网络建设的心脏，所有重要的核心设备都要放置在中心机房诸如防火墙、服务器、UPS供电设备、流量监管设备、网络健康状态监测设备等。 采用静电地板可迅速地安装与拆卸、方便设备的布局与调整。为设备的增容和设备的更新换代提供了有利条件。机房区域地面采用60060035mm钢混防静电活动地板，安装高度均为为150300mm；地板的滚动载荷200Kg，集中载荷500Kg，极限载荷

10、1500Kg； 表面电阻1106-11010；走线孔： 电缆线出口应配合电脑实际情况及使用单位之要求，在施工时负责切割，出入口并应嵌上Z型塑胶护条。 机房地面下做防尘处理，要求地板下需刷防尘地板漆 精密空调送风区需做保温处理。 机房内所有楼面必须进行防水处理，确保防水要求。 所有进出机房的孔洞、管道必须进行防鼠处理（包括线井）。 根据国家标准规定：在主控台处不大于68db。因此我们将对空调机组和设备运行的工作噪声和气流噪声进行有效控制：包括在空调机组下专设重力分散和缓震器，控制送风风速。而且在空调作用区域下的楼板，加铺防火保温橡塑板，在隔断墙中，加垫保温棉，以达到防火隔热的作用。在配电间中设置

11、了一台市电配电柜，建议采用两路进线，用于接入市电，提供空调、辅助插座、照明用电，以及提供给UPS供电；同时设置了一台UPS配电柜，输出给UPS电源供应设备。要求采用自动空气开关控制，并设过负荷、短路保护，具有火警联动、断漏电保护功能装置。此处我们采用山特的UPS供电系统。 计算机网络系统雷击电磁脉冲防护按 A 类要求设计，供电系统采取 34 级电涌保护器（ SPD ）进行保护。网络通信系统采取精细保护，对于进出保护区的电缆、电线在进入保护区时适当安装信号接口电涌保护器（ SPD ）。机房实行联合接地，建立合格的接地系统，对进出保护区界面的管、线、槽实行等电位连接。有效地将雷电过电压降低到设备能够承受的水平。 中国农业发展