A集团信息系统技术方案建议书(doc 65)

1、版A集团综合扒网络信息系把统技术方案捌建议书罢（硬件集成氨部分）TOC o 1-4 h z搬第一章盎 总则氨挨4肮1.1哎关于本方案瓣建议书挨矮4百1.2哎A集团综合案信息系统现挨状熬霸4巴1.3肮A集团综合俺信息系统建邦设目标百挨4第二章白 傲建设原则把芭5暗2.1唉先进性暗柏5佰2.2阿标准性啊袄5叭2.3般兼容性哀爸6罢2.4挨可升级和可斑扩展性爱柏6艾2.5爱安全性扒昂6稗2.6巴可靠性稗岸6扒2.7敖易操作性邦拌6敖第三章矮 蔼网络系统方瓣案翱拜7暗3.1哎广域网设计背爸7翱3.1.1巴需求分析阿敖7胺3.1.2安广域网规划安耙8半3.1.案3班网络互连设笆计笆哎9吧3.1.2扒.1

2、奥带宽分配板笆9瓣3.1.2暗.2 QO爸S埃设计吧扒10蔼3.1.2搬.3 巴网络设备选熬型伴百12艾3.1.2蔼.4唉网络部署靶哎12巴3.1.2盎.5VPN碍设计扮靶14绊3.1.2邦.6般网络管理伴耙15隘第四章半 胺网络安全方把案背哀16盎4.1败安全设计拔扒16伴4.1.1捌防火墙技术案敖17傲4.2.1暗.1佰防火墙选型颁肮17熬4.2.1扳.2俺技术细节氨芭17半4.2.1爱.3盎防火墙部署疤岸24案4.2.2颁入侵检测蔼拌24版4.2.2胺.1稗入侵检测技瓣术坝绊25昂4.2.3埃防病毒设计跋半27按4.2.4奥.1案产品选型班斑30吧4.2.4奥.罢2拌防病毒部署百埃32阿

3、第五章按 爱主机方案板拜36板5.1霸主机选型原肮则板袄36胺5.2笆小型机选型啊与设计吧安37扮5.2.1扒IBM P翱650澳介绍哀翱37拔5.3挨双机热备伴隘43安5.3.1艾系统故障分哀析蔼背44拜5.3.2斑 HACM鞍P 班功能及双机奥原理芭44哀5.4PC捌服务器选型岸八47胺第六章案 拔工程管理与芭实施翱岸47坝6.1 霸工程督导邦拌47跋6.1.1耙 办工作目标胺澳47胺6.1.2挨爸内容矮办48哀6.1.2拜.1 板详细工程计懊划碍稗48伴6.1.2隘.2 巴基于工程计坝划协调工程吧进展昂安48捌6.1.2芭.3 班工程管理把傲48巴6.1.2跋.4 吧人力资源和蔼设备资源

4、的安统一管理柏胺48般6.1.2把.5 爱统一协调扒爱49癌6.1.3肮鞍工程管理计俺划板坝49哎6.1.4氨搬工程协调会靶办49暗6.2 哀工程实施进阿度一览表捌跋50罢6.3 叭每一个具体斑工程阶段的啊详细描述疤翱51罢6.3.1罢哎开箱验收凹翱51摆6.3.2哎靶安装环境验跋收肮颁51皑6.3.3百绊设备的现场柏安装爸51唉6.3.3爸.1 板硬件安装板吧51吧6.3.3叭.2 霸软件安装霸坝52扳6.3.3碍.3 办参数配置班案52霸6.3.3艾.4 扮现场故障维扒修背凹52啊6.3.3把.5 安网络升级的案技术支持癌芭52白6.3.4肮翱单节点测试阿与验收班板52百6.3.肮5霸系统

5、初验和半系统试运行吧澳53啊6.3.6盎爱系统终验啊傲53安6.3.7阿盎在合同设备拌保修期内的拌技术支持罢班54巴6.3.7败.1 挨技术支持概芭念巴哀54捌6.3.7板.2 斑技术人员的坝培养捌澳54拌6.3.7罢.3 吧技术支持的癌构架矮54胺6.3.7坝.4 败灵活有效的爱技术支持通爱信环境柏55邦6.3.7蔼.5 绊有效的技术懊支持措施案稗55背第七章矮 安网络培训计碍划啊芭56颁7.1疤培训规哀划隘芭57柏7.2碍培训目的耙哀57艾7.3白培训方式啊氨57阿7.4坝培训对象啊按58扳7.5搬培训教师伴哎58阿7.6岸培训课程背拜58袄7.6.1扳课程列表吧吧58笆第八章背 稗维护和

6、支持邦捌61澳8.1耙服务的级别百鞍61靶8.2 扒硬件支持服矮务哀昂62扮第九章搬 败结束语案巴63般第一章 总邦则昂1.1癌关于本方案背建议书爸然而芭“版功欲善其事扒，必先利其拔器颁”坝，A集团深柏刻认识到业岸务要发展、背必须提高企奥业内部核心爱竞争力、而盎建立一个方白便快捷安全扳的通信网络败综合信息支跋撑系统，已阿迫在眉睫，肮A公司作为挨一个致力于坝企业信息化柏和系统集成俺的高科技公俺司非常荣幸俺参与A集团拜综合网络信班息系统的建跋设，希望能凹尽自己的全八力来施展我扳们的专长来氨实现A集团柏网络信息系爱统的建设。昂R。瓣1.搬2叭A叭集团综合信敖息系统现状隘目前，A集办团尚未在全办公司建

7、立统霸一的企业信暗息管理系统颁，主要是在斑总公司及七八大区域性公般司之间通过霸远程异步数叭据传动方式熬（Mode傲m对拔）进搬行数据采集爸和邮件传递般，共有二十隘余个基于L挨otus 哎Domin盎o/Not熬es4.6佰开发的数据盎模块在应用吧。背f。稗A集团拟建隘的企业信息班系统将是覆笆盖整个A集俺团的专业化瓣网络信息管皑理系统。该搬系统将建立把一个统一的凹企业办公、昂协同运作及拜管理支撑综爸合平台，提安高办公效率搬、提高信息巴综合利用和岸提高企业管埃理水平，从稗而提高企业熬经济效益。败N。埃A集团信息绊系统的建设吧最终将达到唉以下目标：艾(1)蔼以先进成熟埃的计算机技瓣术和建筑技白术为主

8、要手佰段，把A集俺团信息系统案建成一个覆隘盖全集团的把包括综合办败公和各专业靶管理系统在版内的支撑建胺筑行业的辅伴助管理系统阿，建立一个案统一的企业绊办公及运作耙支撑综合平巴台，以提高翱办公效率和巴企业管理水盎平，提高信罢息分析处理绊能力，从而摆提高企业经邦济效益。笆g。拜(奥2啊)暗为A集团员哀工、客户、跋合作伙伴提败供各种方便快捷的交流搬形式，提高版服务质量，白增强A集团奥竞争力。稗T。坝(3)艾加强知识管鞍理，建立企挨业自身的知邦识库。爱1.3昂A笆集团综合信耙息系统建设氨目标隘A集团信息佰系统主要提凹供电子邮件斑服务、日常柏办公管理、碍财务管理、阿行业业务流扒程处理和知皑识管理功能半。

9、根据A集艾团目前发展耙状况，预计奥到安200耙5挨 挨年底共有上按网员工约为案1000名败，2008斑年底约为2拌000名。盎w。芭A集团综合鞍信息系统建碍设，本着挨“暗实用、先进伴、升级简便敖、扩充性好盎、开放性好氨”翱的五项基本安原则进行。挨 根据公司凹的实际情况芭和具体的应暗用需求及行埃业的特点，邦采用分期分敖阶段的实施按。 在项目澳实施过程中坝，以少花钱吧多办事为原扳则，每期的案投资都应有疤继承性。 八本期项目的隘目标是建立昂如下系统：懊X。摆（1）建立靶连通A集团般内部各组织疤机构的网络扳平台；吧（2）建立百一个安全、蔼稳定、高效奥的网络运行凹空间；斑（3）建立百通用办公系搬统及邮件

10、系败统；跋（4）建立拌财务管理系爱统；败（5）内部凹网站、网络百视频会议、拜BBS交流澳协作环境的矮建设；邦（6）建立皑适合建筑行邦业的综合业敖务管理系统矮；坝（7）加强艾知识管理，叭建立企业自胺身的知识库岸；稗 本系统的奥建设能满足伴未来5年内搬的业务需求哎的升级，白第二章 按建设原则捌多业务网络败系统方案以懊实现以上功百能为基本要瓣求，在设计爸上力求做到阿既要采用国隘际上先进的巴技术，又要叭保证系统的跋安全可靠性捌和实用性。疤具体来讲，霸其设计遵循盎以下原则：颁o。柏2.1先进班性岸系统的主机背系统、网络罢平台、数据隘库系统、应把用软件均应啊使用目前国奥际上较先进颁、较成熟的澳技术，符合暗

11、国际标准和败规范；按s。扳2.2标准扒性袄所采用技术懊的标准化，吧可以保证网八络发展的一摆致性，增强癌网络的兼容盎性，以达到肮网络的互连鞍与开放。为懊确保将来不跋同厂家设备耙、不同应用暗、不同协议班连接，整个疤网络从设计捌、技术和设稗备的选择，罢必须支持国氨际标准的网百络接口和协翱议，以提供瓣高度的开放拜性。扮n。隘奥全面搬支持IEE靶E工业标准罢：802.摆1d，80岸2.1p，捌802.1埃q，802靶.1x，8稗02.3，熬802.3笆u，802绊.3z；支埃持路由协议颁：IP 的疤RIP V瓣1/2，O拔SPF，B颁GP-4；傲信令标准：板H.323疤,RTP/安CRTP.扒7。翱 支

12、案持：IPs拜ec、L2爱TP、GR霸E、MPL凹S-VPN背规范。扮邦支持坝多址广播协敖议：IGM班P，DVM爸RP，PI扒M-DM，拌PIM-S笆M；盎c。拔办网络爸管理协议：扒SNMP，疤RMON，稗RMON2摆； 白2.3吧兼容性啊跟踪世界科坝技发展动态罢，网络规划疤与现有光纤斑传输网及将败要改造的分瓣配网有良好叭的兼容，在奥采用先进技白术的前提下蔼，最大可能傲地保护已有扮投资，并能败在已有的网摆络上扩展多俺种业务。哎t。半2.4胺可升级和可扒扩展性拌随着技术不安断发展，新办的标准和功矮能不断增加哎，网络设备矮必须可以通办过网络进行蔼升级，以提疤供更先进、哀更多的功能啊。在网络建稗成后

13、，随着把应用和用户艾的增加，核按心骨干网络哀设备的交换罢能力和容量哀必须能作出傲线性的增长昂。设备应能百提供高端口版密度、模块挨化的设计以扮及多种类接斑口、技术的败选择，以方霸便未来更灵癌活的扩展。按q。罢2.5安全颁性皑由于系统和癌其它系统连背接，因此，暗考虑系统的熬安全性是一啊个非常重要邦的方面。应背采用设有安靶全控制的网办关设备相连澳，使用VP跋N技术和防胺火墙等。捌k。皑2.6可靠般性爱本系统是7矮x翱24小时连氨续运行系统捌，从硬件和按软件两方面阿来保证系统笆的高可靠性肮。百T。硬件可靠性百系统的主要部件采用冗搬余结构，如坝：传输方式巴的备份，提案供备份组网坝结构；主要唉的计算机设搬

14、备（如数据办库服务器）罢，采用CL板USTER背技术,支持扳双机或多机办高可用结构罢；配备不间白断电源等。吧g。软件可靠性斑充分考虑异昂常情况的处鞍理，具有强哀的容错能力、错误恢复奥能力、错误般记录及预警翱能力并给用瓣户以提示；俺并具有进程埃监控管理功安能，保证各挨进程的可靠颁运行数据库矮系统应。案M。案网络结构稳哀定性翱当增加/扩绊充应用子系啊统时，不影唉响网络的整阿体结构以及埃整体性能，艾对关键的网澳络连接采用矮主备方式，胺已保证数据巴的传输的可唉靠性。肮T。捌本系统应具捌有较强的容盎灾容错能力，具有完善皑的系统恢复叭和安全机制捌；懊2。百2.7易操耙作性绊提供中文方俺式的图形用阿户界面，

15、简靶单易学，方拌便实用。版优良的性能佰价格比。凹系统应着重扒考虑和满足吧以上的设计昂要求。碍第三章 半网络系统方叭案伴该系统包括爱：36个网啊络节点互连鞍方案、线路拌备份、内部袄局域网的建设。阿O。芭3.1广域奥网设计鞍目前A集团氨在全国有3蔼6处公司极白其分支机构罢，可以分为敖3类：1公柏司总部（数扳量1）、2把区域性公司芭及本部（数昂量7）、3癌分公司及事跋业部（数量笆28）。0。碍3.1.1案需求分析半如下表在全埃国A集团有扒36个节点叭，其分布如拜下：公司名称所属类别所在地用户数备注集团总部总公司杭州100总部A一建区域性公司东阳50区域性公司A二建区域性公司杭州100区域性公司A三建

16、区域性公司上海100区域性公司A四建区域性公司北京50区域性公司A五建区域性公司西安100区域性公司A六建区域性公司武汉50区域性公司A七建区域性公司广州50区域性公司集团本部总公司东阳50同A一建共金华分公司分公司金华隶属A一建义东分公司分公司义乌隶属A一建温州分公司分公司温州隶属A一建衢州分公司分公司衢州隶属A一建宁波分公司分公司宁波隶属A二建嘉兴分公司分公司嘉兴隶属A二建南京分公司分公司南京隶属A三建合肥分公司分公司合肥隶属A三建天津分公司分公司天津隶属A四建内蒙分公司分公司呼和浩特隶属A四建青海分公司分公司西宁隶属A五建甘肃分公司分公司酒泉隶属A五建湖南分公司分公司长沙隶属A六建江西分

17、公司分公司南昌隶属A六建A高级中学子公司东阳子公司杭州天翔房产公司子公司杭州子公司A房产开发公司子公司东阳子公司西安亚东房产公司子公司西安子公司湖南天翔房产公司子公司长沙子公司上海亚东房产公司子公司上海子公司华天装饰有限公司子公司杭州子公司安装工程有限公司子公司杭州子公司海外工程事业部事业部北京隶属总公司装饰事业部事业部杭州隶属总公司房地产投资事业部事业部上海隶属总公司交通工程事业部事业部杭州隶属总公司项目部项目部分布各地在建项目约500个凹3.1.2疤广域网规划奥 根据板前面的需求拌分析,考虑柏到网络的收隘敛性,经济版与安全等因盎素,我们建叭议采用星型拔结构的拓扑搬,这样可以笆充分利用带版宽

18、资源,整哎个网络采用3级结构：稗一级节点为碍：懊集团总部共按1个，二级拔节点为：区爱域性公司及本部共7个八，三级节点耙为其他分公岸司及事业部跋共28个，半广域网规划啊如下：唉X。八在相应的一肮级节点和二埃级节点相应俺的局域网内背部署入侵检哎测和防火墙奥，来保证系办统的安全。傲9。 唉3.1.3巴网络互连设阿计板根据网络互邦连的需求分蔼析，以及广笆域网规划，把我们建议从澳以下几个方拜面来考虑网袄络的设计：艾带宽分配、稗QOS设计邦、路由设计巴、IP地址吧分配、网络爸部署等。般r。扮3败.1.2矮.1败带宽分配般为了支持A败集团多业务佰系统的可持邦续发展，考颁虑的经济组八网的原则，白我们来分析佰该

19、集团目前半和将来的业芭务属性、和鞍业务逻辑等艾因素对网络俺链路的需求跋，同时也是蔼设备选型的拜一个依据。熬u。安A集团目前肮有或将要有斑的业务有全傲公司的上网胺需求、财务哀系统、视频摆会议、公司肮的办公自动隘化系统、建艾筑行业的综斑合业务管理爱系统、邮件案系统、知识熬库系统的建啊设等的建设半。以上数据拌涉及到保密凹、实时流媒邦体等数据传爸输要求，我捌们从链路选拜型、带宽计半算两方面来安确定所需的昂带宽。般2。链路选型：袄目前比较常巴使用的数据拜链路业务可瓣以是：DD唉N、FR、罢ISDN：拔DDN专线隘接入向用户暗提供的是永敖久性的数字翱连接，沿途敖不进行复杂稗的软件处理疤，因此延时凹较短，避

20、免跋了传统的分哎组网中传输把协议复杂、搬传输时延长疤且不固定的坝缺点；DD澳N专线接入瓣采用交叉连疤接装置，可败根据用户需埃要，在约定奥的时间内接斑通所需带宽百的线路，信败道容量的分吧配和接续均懊在计算机控巴制下进行，芭具有极大的暗灵活性和可暗靠性，使用拌户可以开通耙各种信息业澳务，传输任案何合适的信耙息，因此，绊DDN专线笆接入在多种扳接入方式中伴深受用户的阿青睐。俺x。袄DDN专线捌接入的主要岸优点阿：氨能提供高性邦能的点到点稗通信。通信挨保密性强，爱特别适合金巴融、保险等俺保密性要求爸高的客户需颁要笆；碍w。矮传输质量高盎，网络时延稗小，通信速白率可根据用班户需要按N瓣64Kb鞍ps选择

21、巴 艾；矮信道固定分安配，充分保啊证了通信的懊可靠性，保巴证用户的带拔宽不会受其笆他用户的影白响傲 鞍；捌用户通过这爱条高速的国搬际互联网通按道，可构筑哀自己的In伴terne奥t、E-m笆ail等应叭用系统板 隘；芭用户网络的阿整体接入使唉局域网内的拔PC均可共跋享互联网资拔源八；扮 挨用户可免费拔得到多个I版ntern斑et 合法半IP地址及稗域名碍 岸；稗用户可实现傲每天24小氨时全天候的八信息发布，叭即用户可建碍立自己的W挨eb站点，鞍向国际互联白网发布自己百的信息或提伴供信息服务肮 拔；颁用户可通过叭防火墙等技唉术保护内部盎网络免受不哀良侵害伴 熬。胺Y。蔼 本笆期A集团要唉实现的业

22、务熬当中，有数凹据业务（邮扮件、公文流百转、互联网爸、内部系统肮、数据查询柏）和流媒体埃业务（视频蔼会议等）。蔼k。背 由于癌整个网络环昂境为TCP拜/IP框架扒下，对于数碍据业务这类疤非实时业务班来讲，网络办自身可以实埃现数据重传耙恢复机制，碍对带宽的需坝求不是很大皑，而流媒体爸业务这类实板时业务来讲颁，必须具备翱两个因素才百可以在IP爱环境下实现凹的比较好：哎（1）具备爸一定的带宽瓣，达到理想昂的传输环境俺，理论上传耙输一路MP靶EG视频为案384K，肮如果采用双埃向视频会议昂必须具备大搬于2*38唉4=768矮K的带宽。阿（2）网络啊具备一定的阿QOS机制鞍（关于QO霸S在QOS翱设计里

23、详细傲介绍）。把a。败从艾一级节点到摆二级节点带案宽傲计算如下（熬按两路视频岸会议和20翱00人上网俺计算）：哎M。安二级节点平唉均分配的人巴数为：20澳00/7=靶286人；吧根据Gar敖tner统啊计数据分析柏，一个企业罢一般只有1懊0%-20挨%的人并发敖上网或发邮碍件，我们按爱15%计算扳，即：办s。拔二级节点并靶发上传或下拔载数据的人败数为：28捌6*15%哎=43人；捌一般24K癌/秒的速度盎数据能确保办2秒钟正常案打开网页，唉即：翱二级节点需跋要广域网链阿路基本带宽傲为：叭43*24熬K=102翱8K澳。百由于视频会百议不是经常摆开，当视频把会议必要是胺可以通过Q斑OS优先级扒别

24、抢占10扮28K带宽啊中的768隘K。我们建袄议采用暗1024K俺带宽为一级伴节点到二级阿的节点带宽岸，可以满足白到未来20跋08年的需耙求。如果需半要额外的视拜频带宽可以爱即使方便的跋向电信申请罢，而不必更安换网络设备盎的模块。佰P。邦从奥一级节点到白互联网带宽按计算办如下：（2爸000人上背网计算）：癌到2008艾年，上网人疤数将达到2芭000人，般根据Gar罢tner统熬计数据分析爸，一个企业矮一般只有1扳0%-20奥%的人并发背上网或发邮哀件，我们按按15%计算佰，即：斑C。把二级节点并挨发上传或下绊载数据的人拌数为：20百00*15阿%=300安人；皑O。白一般24K暗/秒的速度稗数

25、据能确保捌2秒钟正常扮打开网页，办即：拔二级节点需般要广域网链爱路基本带宽按为：扮300*2绊4K=72瓣00K癌。在200凹8年左右可唉以申请跋10M鞍电路，而不昂会添加用户啊端设备，完吧全满足需求矮，目前我们挨可以考虑2颁M电路就可啊以满足了。盎W。哀3.1.摆2罢.2埃 QOS设颁计霸 由傲于考虑到整奥个综合业务背网络信息系罢统的可靠性埃和可用性，那么一个质版量保证的体挨系结构是必绊须具备的，癌这也是一个艾设备选型的霸必须考虑的白地方，般c。癌要实现网络芭的稳定质量板，最先考虑肮的就是什么败业务对整个碍网络系统的隘服务质量最皑关心，在这罢里最关键的扒就是视频会皑议和数据语音，这两种巴业务

26、才是最背关心服务质八量的，唉视频会议安系统一般阿全面支持H哎.323和捌T.120鞍标准拜来般完成视频、拌音频、数据肮的集中和转扮发。蔼同样，在我捌们国家，像阿联通等语音耙电话采用的皑是爱H.323熬协议，当然扳也有像北电肮的基于软交邦换功能的语矮音系统，但凹是都是要求案对时间比较般敏感的协议柏，如UDP办，RTP，案CRTP等坝，所以QO哎S是一定要霸保证的，除矮了数字线路颁的服务质量疤以外，就是霸要考虑接入懊服务器的Q阿OS功能了斑。 皑W。把1佰先进先出（扳FIFO）哀先进先出提芭供了基本的败存贮转发功熬能，也是目霸前Inte翱rnet使挨用最广泛的啊一种方式，艾它在网络拥绊塞时存贮分案

27、组，在拥塞瓣解除时按分邦组到达顺序把转发分组。哀是默认的排熬队方法，因岸此不需要配昂置。缺点是懊不提供Qo哎S功能，对蔼突发数据流胺在传输时间稗要求严格时俺，应用程序拜会引起过多疤的延迟，并搬对突发性的碍存在包丢失凹的连接公平暗性较差，对佰上层的TC哀P快速恢复耙的效率也较扳低。半q。罢2优先级肮排队算法（按prior芭ityQu芭euing傲，PQ）唉优先级排队背算法是禁止把其它流量的摆前提下，授鞍权一种类型昂的流量通过叭，使用优先翱级排队给路拌由接口上传懊输的数据分癌配优先级，凹当有空闲路癌由时，路由稗就来回扫描斑所有队列，柏将高优先队板列数据发出昂，只有当高八优先级队列敖空了以后，疤才能

28、为低优班先级服务，阿如果优先级班队列满，则隘扔掉数据包芭，路由器不翱处理，优先绊级排队适用凹于网络链路蔼不断阻塞的白情况。半E。般PQ的昂带宽分配独鞍立于数据包扒大小。因此爸它在没有牺拜牲统计利用巴的情况下提拜供另外的公瓣平性，与端翱到端的拥塞般控制机制可板以较好的协敖同，它的缺暗点在于实现扳起来很复杂白，需要每个拔数据流的排凹队处理，每跋个流状态统颁计，数据包半的分类以及艾包调度的额摆外开销等。邦x。安3定制排暗队唉定制排队是敖为允许具有奥不同最低带吧宽和延迟要扮求的应用程耙序共享网络耙而设计的。白定制排队为昂不同的协议傲分配不同的斑队列空间，靶并以循环方昂式处理队列板。为特定的碍协议分配较

29、懊大的队列空袄间可以提高癌其优先级。巴定制排队比挨优先级更为唉“公平”。板在可能发生笆拥塞的地方懊使用定制排氨队可以提供澳保证的带宽蔼。定制排队啊可以保证为袄每一个特定翱的通信类型霸得到固定部跋分的可用带摆宽，同时在埃链路紧张的隘情况下，避捌免数据包企岸图占用超出唉预分配量限捌制的可能。邦e。霸4加权公巴平排队（W熬eight八 fair佰 queu暗ing，W艾FQ）盎i。叭加权凹公平排队用把于减少延迟埃变化，为数昂据流提供可哀预测的吞吐安量和响应时把间。目标是哎为轻载网络版用户和重载翱网络用户提肮供公平一致伴的服务。保佰证低权值的班响应时间与爱高权值的响阿应时间一致柏。 巴加吧权公平排队翱

30、是一种基于百数据流的排唉队算法，它按能识别交互班式应用的数蔼据流，并将摆应用的数据盎流调度到队肮列前部，以般减少响应时爸间。WFQ敖与定制排队奥和优先排队隘不同。能自隘动适应不断邦变化的网络班通信环境，拜几乎不需要岸配置。俺v。阿5随机先耙期检测（r佰andom挨 earl跋y det颁ectio笆n，RED鞍）澳e。矮前面介澳绍的排队机颁制是基本的挨拥塞控制策肮略。尽管这办些技术对控氨制拥塞是必佰须的。但它霸们对避免拥稗塞现象的发班生都显得无坝能为力。蔼随机先期检百测监视网上稗各点的通信班负载，如果背拥塞增多，癌就随机丢弃胺一些分组，澳当源分布点隘检测到通信耙丢失，降低佰传输速率。跋RED可

31、以爸在各连接之矮间获得较好爱的公平性，爸对突出业务芭适应性较强扒。芭R。败6加权随奥机先期检测哀（weig澳htedr袄andom傲 earl拌y det颁ectio扮n，WRE蔼D）哎W。暗加权随熬机先期检测袄是将RED哀与优先级排岸队结合起来袄，这种结合昂为高优先级蔼分组提供了叭优先通信处案理能力，当佰某个接口开坝始出现拥塞般时，它有选安择地丢弃较芭低优先级的佰通信，而不颁是简单地随白机丢弃分组安。背总耙之，在传统凹TCP拥塞扳控制中，结挨合IP层拥疤塞控制算法皑，将是完善碍Inter哎net拥塞碍控制最有效背的途径。案T。哎3.1.2安.3 网络埃设备选型挨 叭设备的选型啊对整个网络啊系

32、统的质量斑十分重要，暗A公司做为安一个成熟的办系统集成商白，有一套科挨学而有效的碍质量管理体爸系，首先，艾要考虑用户澳的需求、售斑后服务、关坝键应用、特搬殊应用、质叭量保证、网安络属性、目班前系统系统碍结构等几个拔方面来考虑罢。捌N。败 现拜在国内的著凹名网络设备盎的供应商主拔要有三家叭Cisco疤,3COM袄和华为。其邦中3COM芭的路由器设霸备在中国使把用不是十分艾广泛，同时疤网络产品以罢交换机为主搬要产品，在岸其他网络产佰品方面力量俺相对其他两巴家厂商稍弱搬。华为作为拜中国重要的疤网络产品供斑应商，产品颁线齐全，种案类多档次较疤齐全在，中懊国市场有一袄定的占有率搬，价格比较拌便宜，主要扳

33、是通常的网氨络应用环境袄，在VPN哎、VOIP哎和其他复杂罢应用中比较碍少。安Cisco耙做为全球最爸大的网络设备供应商，扮在路由器和爱交换机领域翱的成果有目矮共睹，它的邦产品应用在斑世界各个角艾落，在中国按也广为使用拜。氨Cisco鞍产品线齐全碍，从小型的安SOHO用班路由器和交扳换机到大型啊骨干路由器扒、交换机一斑应俱全。同癌时产品端口安密度高，同袄一产品具有板多种不同配坝置方案有利埃于产品的多败功能化如V癌OIP、V盎PN等。它搬拥有许多独挨创的技术如埃ISL、N半etFlo奥w摆、埃Fast 疤Ether敖Chann斑el盎等，对系统哀今后的演进霸和发展有很霸大好处，而班在IP广域罢互

34、连上，C笆ISCO具颁有最大的优办势，同时由吧于翱Cisco板完整的产品百线为用户提隘供了丰富的艾选择余地，埃Cisco袄网络设备的埃优秀兼容性懊也为和其他八公司产品互爱连提供了可捌靠的保证。挨在售后方面懊，CISC斑O也做的很埃好，在A集奥团综合网络摆信息系统中挨原有设备大癌部分为CI佰SCO产品隘，考虑到网白络的平滑性百，和维护方爸便等各个原半因，特别是矮特殊应用Q把OS的保证懊方面，VP案N特性方面碍、安全方面鞍等，比其他安两个厂家都碍要成熟和更拜多的案例，跋针对本次项哀目我们推荐澳CISCO罢高可用的产芭品在实现系扳统的网络支拜撑平台。佰V。熬3.1.2绊.4网络部扳署吧 杭州盎A集团

35、总部安一级节点,坝作为核心节翱点,具备如笆下功能:汇稗接二级7个岸节点的数据罢,终结VP暗N隧道,我柏们建议采用暗CISCO哀最新高性能盎路由器CI稗SCO37傲4-VPN笆/K9作为扮核心路由器岸,斑 模块化 盎Cisco懊 3700俺 系列应用柏服务路由器案充分利用了俺Cisco翱 1700哎、2600矮和3600暗 系列路由唉器针对WA癌N访问、语斑音网关和拨阿号应用等而伴配备的可选把的网络模块板(NM)、阿WAN接口拔卡(WIG瓣)和高级集啊成模块(A佰IM)。此邦外，Cis版co 37拔25 和 八Cisco蔼 3745蔼 这两个 蔼Cisco隘 3700疤 平台引进罢一种新的、按可

36、提供更广奥泛接口的高班密度服务模奥块 (HD办SM)。配唉备四个NM霸插槽的Ci绊sco 3澳745 路斑由器取消了在每一对相耙邻 NM 矮插槽之间的暗中心导轨，斑因此可以采氨用两个 H澳DSM ，扮而不是四个跋 NM。配唉备两个 N八M 插槽的吧 Cisc氨o 372蔼5 路由器板可在它所配爱备的两个 稗NM 插槽办之一中采用隘一个 HD般SM ，并颁仍可在剩余矮的 NM 扮插槽内采用氨一个 NM熬 。采用新拔的 HDS俺M 之后，敖Cisco叭 3700澳 系列路由哀器就能够集癌成更高端口懊密度和新的氨高性能服务颁了。扳支持VPN挨,提供7个盎广域网接口捌,和一个I肮ntern办et广域网

37、邦口,通过高肮级集成模块奥AIM-V板PN-HP把来实现VPN加密隧道阿的发起与终斑结,CIS懊CO374笆5本身集成佰了3个WI哎C卡，我们扮可以通过提供2个NM般-2W模块懊，配置2个爱WIC-2靶T，和1个暗WIC-1笆T，共8个袄，其中7个颁接入二级节拌点，另外一扒个可以作为翱Inter癌net接驳鞍，Inte矮rnet接坝驳速率暂时把定为胺2M爸，将来可以按通过升级到摆10M颁。如图所示绊：昂N。百在本次项目敖中，CIS按CO374案5-VPN矮/K9最大矮可以同时支巴持2000瓣个Tunn拌els，即捌便是200爸8年全体上颁网人数同时板与总部通信胺，都没有任版何问题；局把域网采用

38、天扳融信防火墙傲NGFW4笆000-S半来实现阻隔跋某些端口的颁入侵和非法芭探测，提供叭详细的日志柏与审计功能罢，该防火墙俺也可以跟入傲侵检测系统八天阗500霸联动，动态版检测黑客的俺入侵并禁用拌相应端口，佰在防火墙的哎DMZ部署挨WEB服务胺器供外部访跋问，详细描矮述见网络安霸全设计。稗t。笆对于三级节皑点的VPN颁接入就可以把支持多种方拜式了，最经袄济的方式就拔是采用SI哎TE TO扮 Clie斑nt方式，爱由CISC白O自带的V稗PN Cl摆ient（蔼支持多种操颁作系统）通半过拨号或通扒过专线、I稗SDN、F矮R等方式访柏问VPN，版由对端的V疤PN网关提版供认证，具矮体方式见下把面章

39、节：V扳PN设计。埃整体拓扑如鞍下所示：靶Q。皑3.1.2暗.5VPN袄设计扮VPN肮（虚拟专网凹）是利用公澳共网络资源阿(笆如公用电信板网)奥为客户组建芭专用网的一矮种技术，它摆通过对网络半数据进行封鞍包和加密传巴输，在公网八上传输私有傲数据，达到啊私有网络的百安全级别，从而利用公傲网构筑专网百（即八VPN艾）。它是一种逻辑上的败专用网络，啊向用户提供扒专用网络所氨具有的功能跋，但本身却叭不是一个独败立的物理网背络。艾G。办本次项目中凹根据前面规爸划：凹在一级节点柏与二级节点埃之间部署端伴到到端VP拌N：Sit埃e TO 爱Site，鞍结构为星型拔结构：HU矮B-SPO坝KE。癌U。安在二级

40、节点伴与三级节点柏部署端到点版方式VPN蔼：Site哀 TO C艾lint。耙V。把在本次项目叭应用中考虑爸到传输的有蔼视频、语音稗、数据3类隘信息，各类澳信息对网络俺环境都有一熬定的要求，版特别是VP伴N环境下的笆实现更是比佰较复杂，我懊们采用CI安SCO37扳45、26拌21XM 埃VPN多应敖用服务器可邦以支持V3岸PN，即能翱在IPse把c隧道上实挨现视频、语唉音、数据3埃类信息的封罢装，而保证颁IP中的Q霸OS特性不案改变，从而保证数据的绊IP连贯应敖用。这个过碍程多用户来埃讲是透明的把。岸n。按在CISC哀O3745挨、2621碍XM中，提跋供艾12.2(板13) T蔼或以上版本败

41、的IOS，案支持稗IPSec癌 熬提供办DES 暗和捌3DES傲的奥 Adva半nced 蔼Encry哎ption般 Stan懊dard 靶(AES)翱，新型的A澳ES支持盎128-b版it ke盎y (de伴fault颁), 百和疤 192-拔bit k岸ey, 罢或翱256-b唉it ke按y.败提供更加复爱杂更加安全按的应用。如安图所示：背Q。班通过以上设伴计可以保证颁原来的QO疤S机制在网袄络中一直启罢用，保证网盎络的平滑。凹U。捌考虑到网络斑规模的变大氨，如将来可芭能需要建立拌新的办事处敖或地域性分耙公司，这样扮添加的路由坝器可能会对翱基于传统I颁Psec方摆式的VPN拌造成一定的艾

42、影响，我们瓣可以采用I柏Psec+艾GRE（通吧用路由封装拜）技术来实盎现基于IP搬路由收敛的半VPN技术熬，这样，路败由的更新可拜以完全透过背2层VPN碍来实现，这碍对用户来讲敖是完全透明坝的，一旦A版集团的规模埃发生巨大的岸变化，网络班拓扑方式要摆变化如构成靶MESH方凹式或节点数巴大大增加，安我们可以完版全在不更改隘设备的情况阿下建立基于安MPLS 碍VPN，C疤ISCO3办745完全澳可以设置P鞍E路由器，昂而CISC袄O2621伴可以相应地罢设置为CE般路由器，这扳样整个核心哎VPN网络隘就从2层V翱PN直接升疤级到3层I啊P VPN蔼构架来了。安5。芭在二级节点挨与三级节点爱采用端

43、到点埃方式VPN胺：Site班 TO C班lient疤。暗2。巴对于3级节阿点加入到集碍团VPN当哎中来，就非爸常方便了，搬我们购买的鞍CISCO按3745和扮CISCO熬2621 按VPN路由坝器，随机附巴带了一份C胺D，包含了昂Clien把t端IPs背ec程序，敖该程序非常伴简单大部分癌的设置都是疤预定义的，挨VPN访问爱策略和配置俺可以直接从稗相应所属的爸二级或一级敖VPN G把atewa挨y（这里是疤3745或懊2621路癌由器）直接败下载，目前罢VPN C板lient百可以支持如绊下系统班Windo疤ws 95捌(OSR2靶+), 9疤8, ME肮, NT 皑4.0, 班2000,疤

44、 XP, 扒Linux (Int扒el), 隘Solar巴is (U拌ltraS拔parc-白32 & 罢64 bi奥t) an摆d MAC蔼 OS X颁 10.1安 & 10胺.2 (J斑aguar班)隘t。芭3.1.2半.6网络管理在本方案中暗采用了CI瓣SCO的解拔决方案，对稗于网络的管搬理，我们建霸议采用CI版SCOWO艾RKS20阿00。捌n。澳Cisco隘Works疤2000服叭务管理解决碍方案建构在唉第3层结构百基础之上，包括可远程疤安装的数据奥收集应用、班Cisco罢 IOS的唉内嵌式技术版以及一整套蔼融合了业界癌最先进的评跋估服务和定袄额引擎的应凹用软件。该搬解决方案的隘构件

45、包括：拔 扒m。凹管理引擎1敖110（M袄E1110靶）可在搬网络中远程拌安装，是具邦有极高扩展耙性和灵活性扳的数据收集暗解决方案。叭ME111按0是专为收百集Cisc暗o设备的度耙量数据而设澳计，并允许白在数据收集板需求增长的败情况下暂停坝管理服务器澳来安装新的捌ME111邦0设备。 拌6。案服务保障代百理一种疤用来确定度挨量数据服务坝级别的技术鞍，以验证度暗量数据是否熬符合服务级办别的要求。绊鉴于服务保扮障代理技术般已内嵌于C胺isco 蔼IOS软件肮中，因此它澳是随时可用稗的，并且对稗网络基础设叭施的费用几唉乎不会构成扳任何影响。癌 芭0。矮服务级别管耙理器建吧构于开放的颁XML应用熬程

46、序接口基罢础上，可提笆供给合作伙八伴以用于第暗三方的应用芭集成。 吧0。跋-澳 Cisc绊oWork隘s2000把服务管理解摆决方案使网俺络经理能够盎验证他们为肮广域连接和败网络服务提澳供的服务级扳别。它将基矮于标准的开扒放式管理应板用程序接口昂、Cisc挨o 内嵌式案IOS代理爱、可扩展服肮务级别的管败理应用与第氨三方产品相绊结合，从而啊具有了端到捌端服务级检澳查和全面管奥理能力。因邦此，客户现败在可以完全安放心地使用斑这些新的应岸用，比如V办oIP、I班P电话、虚暗拟专网和电俺子商务解决俺方案等，可把轻松地获得昂不同的服务扳和更好的终败端用户满意班度，执行同肮时监视多个稗服务级协议傲，调试

47、并改巴进网络以及八定制故障报埃告。与此同爸时，第三方半应用开发人奥员和系统集氨成人员能够矮连续地获得袄有关网络层搬的数据，并颁对定义和收白集到的服务隘级度量信息班进行标准化瓣。 八 背h。芭第四章 网啊络安全方案懊4.1安全板设计佰网络面临的耙安全威胁大吧体可分为两哎种：一是对胺网络数据的颁威胁；百 败二是对网络傲设备的威胁伴。这些威胁挨可能来源于般各种因素：矮可能是源于罢网络外部的稗，熬 伴也可能是内拔部人员造成埃的；罢 懊总结起来，哎最主要威胁皑是来自外部扳和内部人员袄的恶意攻击哀和入侵，这哀是企业信息耙化等顺利发柏展的最大障鞍碍。氨t。扳基于VPN唉的网络基本挨上安全了，耙但是考虑到跋I

48、nter哎net的应班用，内部人胺员的网络入氨侵、资料盗瓣取、恶意破挨坏，病毒入佰侵等因素，挨综合的安全版设计还是必碍要的，我们矮建议针对这颁些因素提出板如下安全防昂护措施：板s。盎1、防火墙敖技术案2、IDS袄入侵检测系阿统绊3、防病毒斑系统肮4、备份（凹关于备份的搬配置，我们按在主机设计伴里描述）昂4.1.1扒防火墙技术罢防火墙是一暗种成熟的技霸术,目前防办火墙的功能蔼也越来越强柏大,技术越蔼来越统一,班考虑到企业袄信息系统的把安全级别,拌在选型上注安重国产的,斑具备一定的摆应用案例,爱选型原则如凹下:跋n。搬4.2.1澳.1防火墙啊选型耙由于网络信柏息化系统网半络安全的重搬要性，并结邦合

49、网络信息氨化系统信息凹安全工作的疤实际条件及捌情况，我们案确定如下选八型原则：翱3。摆防火墙必须安具有自我系邦统保护能力佰。板防火墙必须暗具有强大N伴AT转换功奥能。俺防火墙支持半各类加密算败法和VPN瓣功能。罢防火墙的端靶口是可扩展岸的。隘防火墙产品柏应提供避免挨或禁止内外哎网络用户进办入系统的手爸段，即使对版安全管理员盎而言，也应艾遵循对系统操作的最小岸授权原则。啊N。碍防火墙产品邦硬件叭/皑软件必须具捌备经国家授搬权部门测试半认证的安全阿等级。懊C。跋防火墙产品败遇故障工作拜失效，系统颁应自动转为瓣缺省禁止状佰态。鞍防火墙产品哎必须至少具靶有履行所需霸安全服务的扮最小能力。白防火墙产品碍

50、所采用的技埃术，不单纯哎追求先进、拜完善，而必熬须保证实用班和成熟性，扳相关技术标柏准应采用、鞍引用和接近白国家标准。办g。坝防火墙产品稗的接入不影艾响原网络拓捌扑结构，防半火墙产品的运行最小影颁响原网络系般统的运行效佰率。摆U。防火墙产品俺如果涉及密般码技术的使败用，必须获俺得国家密码叭管理委员会背办公室的立芭项和鉴定批案准；防火墙班产品如涉及胺密码算法必跋须按国家密翱码委员会办艾公室的规定敖进行申请和胺使用。吧4。蔼防火墙产品伴须经过国家败信息安全产佰品认证机构爸的认证。爸通过以上分凹析，我们建伴议采用国内隘著名防火墙昂厂商天融信奥防火墙的产瓣品矮NG FW百4000拌，其强大的败性能处理

51、和瓣全面的控制埃规则得到诸蔼多企业和企按业的青睐。拔Y。捌4.2.1斑.2技术细傲节百采用独创的佰最新最先进岸的技术唉-唉核检测技术盎，即基于跋OS 伴内核的会话八检测技术，爸在敖OS 阿内核实现对蔼应用层访问百控制。它相翱对于包过滤佰和应用代理埃防火墙来讲奥，不但更加班成功地实现办了对应用层拜的细粒度控阿制，同时，哀更有效保证叭了防火墙的安性能。柏C。瓣采用独创的拔先进的设计伴思想班-靶面向资源的袄进行设计，吧对不同对象盎的具体的组稗成资源，如矮文件、防火佰区域、节点般对象、协议八类型、应用伴行为、应用疤类型、管理版端口协议等袄，直接进行霸控制，极大胺的提高了安办全性，并保岸证了配置的昂方便

52、性。拌8。霸先进独特的俺防火墙策略氨体系搬-般面向资源的扳防火墙策略蔼体系。建立拔独立的防火般区域，通过中央管理接皑口、管理端拜口协议、不捌同节点对象八（网络邻居耙、自定义网版路、防火墙皑所在子网等笆）、协议类靶型、应用行艾为等不同资坝源配置策略熬，使防火墙碍的策略配置熬更加简单，半且便于维护蔼。哎d。搬分层式管理稗结构埃防火墙的管搬理采用集中碍的层次管理岸结构，实现坝“昂防火墙办拜防火区伴-吧对象按岸资源凹”般的安全策略安定义结构。爸配置简单、罢配置安全性百高；管理简稗单、维护方昂便；更好的白保证了性能巴。啊y。罢支持熬TOPS搬EC 吧技术体系的霸核心技术扳支持TOP傲SEC技术霸体系的核

53、心肮技术，可以办实现防火墙氨、IDS、翱病毒防护系败统、信息审岸计系统等的捌互通与联动唉，并支持T熬opsec凹Manag靶er综合管矮理系统和S胺AS安全审俺计系统。笆x。熬 爸适用更广泛昂的网络及应拜用环境百支持众多网澳络通信协议澳和应用协议瓣，如半DHCP 氨、哀VLAN 扳、隘ADSL 板、艾IPX 氨、皑RIP 盎、班ISL 氨、挨802.1稗Q 芭、懊Spann疤ing t爱ree 白、皑DECne邦t 斑、敖NETBE碍UI 、挨IPSEC挨 白、俺PPTP 袄、叭Apple氨Talk 哎、暗H.323跋 爸、胺BOOTP颁、pppo艾e协议拌等，使爸4000氨防火墙适用疤网络的

54、范围背更加广泛，碍保证用户的啊网络应用。凹方便用户扩邦展扳IP 埃宽带接入及八IP鞍电话、视频罢会议、吧VOD 爱点播等多媒吧体应用。扮1。搬支持多种工矮作模式鞍可以支持透八明、路由和埃混合工作模肮式。其中，爱独创的混合奥模式源于天板融信网络接氨口物理实现搬技术和天融安信专用安全板协议实现，案并在背NGFW4安000 拔中进行了重按新设计和实稗现，进一步坝得到了优化，方便适用啊于复杂网络案结构和应用瓣的接入。矮Z。哀 爱支持远程集版中管理邦可通过安全昂的认证及管百理信息的加班密传输实现氨全局防火墙拜设备的集中颁管理。实现昂统一的安全坝政策布署，傲保证整个系芭统的安全策按略的一致性罢，提高整个哎

55、系统的安全板强度。艾O。邦NGFW4瓣000 鞍的主要配置瓣和管理都是扒基于瓣GUI般（Grap懊hic U佰ser I把nterf斑ace）般 疤方式的，管阿理主机只需靶安装专门的百管理软件，蔼就可以在不同操作系统安平台、不同笆地域对防火氨墙进行配置霸和管理。拔w。俺支持负载均拌衡和双机备笆份败支持两台防艾火墙之间的板双机备份和霸负载均衡；罢支持多台服巴务器之间的绊负载均衡。哎不但更好的背适用不同的芭网络环境，耙且更好的提罢供高性能和芭保证可靠性绊。拌n。哎支持服务器凹的负载均衡癌NGFW4000 坝防火墙可以白支持一个服爸务器阵列，罢这个阵列经斑过防火墙对傲外表现为单安台的机器，扮防火墙将

56、外熬部来的访问盎在这些服务蔼器之间进行摆均衡，同时颁可以识别出拔故障的服务瓣器。安R。稗图表 SEQ 爱图表 *霸 ARAB摆IC板 哀1傲 防火墙的办负载均衡技暗术碍H。唉防火墙自身隘的负载均衡扳NGFW4蔼000 哀支持负载均跋衡功能，可挨以在高带宽板的网络环境阿中有效的提背高性能，同扮时负载均衡肮还实现了接胺口之间的备拔份，当按A 败机器的某个胺接口故障时矮，颁B 隘机器的相应翱接口可以接昂管它的工作把，同时拜A 版机器的其他颁接口仍然正爱常地工作。盎B。双机备份拜为了保证网白络的高可用澳性与高可靠性，碍NGFW4芭000 绊提供了双机岸备份功能，蔼即在同一个暗网络节点使摆用两个配置伴相

57、同的防火绊墙。正常情笆况下一个处凹于工作状态凹，为主防火敖墙，另一个瓣处于备份状癌态，为从防拔火墙。当主拌防火墙发生皑意外暗down 把机、网络故稗障、硬件故半障等情况时败，主从防火拜墙自动切换跋工作状态，案从防火墙代氨替主防火墙爱正常工作，斑从而保证了案网络的正常盎使用。切换澳过程不需要胺人为操作和颁其他系统的爸参与，切换罢时间可以以矮秒计算。同昂时瓣NGFW4把000 肮还实现了状哀态传送协议瓣STP 班，当一台防半火墙故障时俺，这台防火扮墙上的连接扳不需要重新隘建立就可以巴透明地迁移办到另一台防哀火墙上，用蔼户不会觉察摆到。般m。背图表 SEQ 挨图表 *隘 ARAB霸IC靶 把2啊 防

58、火墙双斑机备份罢K。百多层次分布肮式带宽管理碍带宽管理完斑全虚拟了网斑络带宽应用案的实际环境班，并实现多昂层次的分布爱式管理模式绊，避免了单芭层集中管理扮的缺点；而盎且，可以实搬现带宽分层皑、带宽分级办、带宽分配叭、带宽优化败等管理，优巴化网络资源拔的应用，提奥高网络资源般应用效率。凹r。吧NGFW4叭000 傲能够允许管伴理员定义任袄意两个网络颁对象之间通案信时的最大伴带宽，而且啊带宽可以是靶分层的，例背如部门带宽扒下面有小组爱带宽然后是柏个人带宽等拜，可以防止昂带宽被滥用皑，保证重要斑的通信的顺俺畅。具体如凹下图所示：拔b。懊图表 SEQ 罢图表 *巴 ARAB拌IC昂 办3靶分布式管理翱

59、支持多种身盎份认证傲支持多种身背份认证支持霸，如胺OTP 翱、袄RADI傲US 捌、版S/KEY哎 澳、胺SECUR敖EID 盎、瓣TACAC按S/TAC佰ACS+奥、口令方式芭、数字证书斑（鞍CA 扒），更好更稗广泛的实现疤了用户鉴别笆和访问控制鞍。败o。拌更强的防御伴功能俺在内核上实扳现对病毒防敖护，内容过邦滤（如版HTTP 巴、靶FTP 蔼等把 邦）和入侵检耙测（爸IDS 暗）功能，其稗中的入侵检背测功能，防澳火墙耙4000 罢不但有内置搬的矮IDS 芭功能，还可哀以和斑IDS 佰实现联动。班这不但提高敖了安全性，昂而且保证了爸性能。疤G。胺深层日志及哀灵活、强大班审计分析功伴能案提供丰

60、富的办日志信息，斑用户可根据肮特定的需要袄进行日志选笆项（不做日袄志、日志会办话（即传统班的日志）、搬日志命令）哎。独创的网瓣络实时监测背信息，可详氨细审计命令跋级操作，便靶于入侵行为矮的分析和追拌踪。大大提傲高防火墙的拜审计分析的瓣有效性。扮O。叭一个安全防靶护体系中的盎审计系统的案作用是记录扒安全系统发吧生的事件、百状态的改变懊历史、通过奥该节点的符爱合安全策略唉的访问和不吧符合安全策白略的企图，矮使管理员可袄以随时审核翱系统的安全阿效果、追踪疤危险事件、敖调整安全策敖略。进行信安息审计的前八提是必须有佰足够的多的翱日志信息。佰NGFW4凹000 巴提供了非常颁强大的日志绊功能，用户熬可以