疾控中心机房方案最终

1、 TOC o 1-5 h z HYPERLINK l bookmark22 o Current Document 1、需求分析21设计目标32设计原则33设备选型42、网络拓扑51外网系统网络拓扑52内网系统网络拓扑5 HYPERLINK l bookmark54 o Current Document 3核心层设计64网络安全设计10 HYPERLINK l bookmark74 o Current Document 3、服务器部署131防病毒服务器（2台）132邮件服务器（1台） 14 HYPERLINK l bookmark79 o Current Document 3 KVM服务器切换器

2、（CA108DC） 15 HYPERLINK l bookmark89 o Current Document 4、软件系统16 HYPERLINK l bookmark92 o Current Document 1操作系统软件16 HYPERLINK l bookmark96 o Current Document 2邮件系统软件16 HYPERLINK l bookmark100 o Current Document 3防毒软件165、供电防雷系统设计196、配线系统237、方案特点248、设备清单：281、需求分析河北省疾病预防控制中心是根据国家和省的总体卫生改革部署，在撤并原省 卫生防疫站

3、、省地方病防治所、省职业病防治所、省放射卫生研究所、省结核病 防治所、省医学科学院等6家单位基础上组建的省卫生厅直属事业单位，同时加 挂河北省医学科学院、省卫生检测中心、省职业病防治院、省卫生宣传教育中心 等四块牌子，于2001年8月正式成立。主要职责为：（一）实施全省疾病预防控制规划、方案，对重大疾病流行趋势进行监测与 预测预警；（二）指导和开展重大突发公共卫生事件调查与处置；（三）开展病原微生物检验检测及毒物与污染物的检验鉴定和毒理学检验， 负责全省疾病预防控制实验室质量控制；（四）建设省级网络信息平台，管理全省疫情及相关公共卫生信息网络；（五）组织开展食品卫生、职业卫生、放射卫生和环境卫

4、生等公共卫生领域 健康危害因素监测、危险性评价和预警工作；（六）承担卫生监督执法检验检测及技术仲裁工作以及省内职业病诊断鉴定 工作；（七）指导全省健康教育与健康促进和社区卫生服务工作；（八）开展对设区的市级、县级疾病预防控制机构的业务指导、人员培训以 及业务考核，规范指导辖区内医疗卫生机构传染病防治工作；（九）开展疾病预防控制应用性科学研究，推广先进技术。目前疾控中心新楼即将竣工，整个楼内网络分为内网和外网两个网络，内网 与国家和地市级疾控中心连接，外网为公共信息服务平台，楼层内双网布线工作 已经完成，楼层交换机安装在各楼层弱电竖井内，本项目中涉及到工程主要包括 以下几点：部署内外网核心层网络

5、设备及网络安全设备；部署服务器，主要包括部署防病毒服务器、OA服务器、内外网应用服务 器、邮件服务器、电子图书多媒体服务器；以上设备的安装调试；1设计目标 网络平台采用技术成熟，性价比优良的千兆以太网技术，部署内外网核心层设备，保 证网络主十千兆传输速率，百兆交换到终端；部署防火墙，保证网络安全。服务器平台部署防病毒、OA、内外网应用、邮件、电子图书服务器，提供杀毒、办公自 动化、应用、邮件交换、电子资料文档浏览查询等服务器。2设计原则实用性原则作为一个系统，实用性永远是放在第一位的。实用性是系统赖以生存的基础。 对于企业网络这样一个系统，必须是实用的。方案设计要求主要技术和产品，具 有成熟、

6、稳定、实用的特点，并充分满足应用，技术开发及信息管理的需要，且 有实用例子（而不选厂商的非主流产品，或只宣布而无实例的产品），厂商有备 品，备件的支持。先进性原则作为一个系统，先进性是系统赖以生存发展的条件。为保证网络能保持在一 定时期内不落后，及系统互连的方便性，我们在该系统的设计时，应尽可能采用 先进开放的技术和产品。从国内外的一些系统建设的实际经验和教训来看，先进 性如不能保证，则会在系统的使用阶段出现后期投资追加过大，系统维护费用加 大等问题。在设计中，我们是依据先进性与成熟性并重的原则考虑的。开放性与标准化原则开放性与标准化原则是一个系统赖以生存发展的基础。开放的系统，才能发 展，才

7、能体现良好的低投入高产出的投资收益。只有坚持标准化的系统，才能保 护用户的投资，才能发展，才能体现良好的可扩展和互操作能力，对于计算机综 合管理网络这样一个系统，开放性与标准化原则是十分必要的。从国内外的一些 系统建设的实际经验和教训来看，开放性与标准化原则如不能保证，则会在系统 的使用阶段出现后期使用和维护的困难，系统维护费用加大，系统发展较困难甚 全必须重复投资等问题。我们认为，选择的产品应当倡导开放性，并且，所选产 品都遵循相应的标准。可扩展性及升级能力为了保证该工程的有效性和实用性，同时又保证该网络在一定时期内不落 后，我们在网络设计时，并不是一味追求高配置，而是在保证网络的先进性的同

8、 时，选择具有良好扩展性和升级能力的网络设备，设计出具有良好扩展性的网络 拓扑，在设计中，系统结构模块化，软硬件平台可以积木式拼装，网络中的设备 均可扩充，以保证整个网络系统的可扩展性及升级能力。可管理性和可维护性原则作为一个系统，其网络管理和维护十分重要，直接关系到整个网络是否能稳 定而可靠地运行。在网络建设工程中，除了在网络设计时采用了统一建网模式， 利用了结构清晰的网络拓扑，还将提供一整套网络测试或维护方案。另外，采用 一套好的网络管理软件也非常至关重要。可靠性原则本网络工程其可靠性和稳定性直接关系到应用得好坏。网络系统的故障可能 直接给应用带来灾难性的损失。本网络所采用的主要产品采用可

9、靠性设计，力求 系统的安全，可靠，稳定运行。最佳的性能价格比原则本系统在设计上寻求最佳的性能价格比，对原有设备硬件的投资，亦应加以 保护。3设备选型网络核心层设备选型内外网均需有承载800个信息终端无阻碍数据交换的能力，对背板带宽，包 转发速率有较高的要求，并且，核心层网络设备承担了大部分的网络管理功能， 对于QOS，带宽、流量分配设置等都有较高要求，因此我公司推荐采用神州数码 的DCRS-6800系列IPv6多业务万兆路由交换机。该系列设备在拥有极强的性能 同时还具有极优的性价比，在承载用户业务的同时节省用户投资，降低建设成本。 服务器设备选型服务器设备我公司推荐浪潮NF280D系列机架式服

10、务器设备。浪潮为国内知 名硬件设备及服务提供商，该系列产品在节省空间的优化设计和机架安装环境 下，提供最大的功能数据中心，完全满足对外提供服务器及数据存储的需求。2、网络拓扑2. 1外网系统网络拓扑2. 2内网系统网络拓扑3核心层设计内外网系统中核心层设备均采用神州数码 IPv6多业务万兆路由交换机 DCRS-6808。DCRS-6808提供10个槽位，拥有2.0Tbps的背板带宽，960Gbps的 交换容量，可以714Mpps的速度全线速地进行L2/L3数据转发，为网络提供强劲 动力。在端口配置方面，该设备提供最多384个千兆接口或者最多32个万兆接 口，能够完全满足用户现有需求及对于网络规

11、模的扩展要求，并且DCRS-6800 系列路由交换机率先通过最为苛刻的国际IPv6 Ready第二阶段认证，为将来向 IPv6网络过渡打下坚实基础。本项目中，核心交换机配置如下产品描述单位数量备注DCRS-680810插槽核心路由交换机机箱（最多3个电源，N +1冗余，标配1个MRS-PWR-B1-AC交流电源， 3个热插拔风扇盘，不含管理模块）台2MRS-PWR-B1-AC220V交流电源模块(600W)，适用于DCRS-7608(V1)和 DCRS-6808台2MRS-6808-MDCRS-6808管理模块块2MRS-6800-4GX24TXDCRS-6800 系列 24 口 10/100

12、BaseTX 百兆接口和4 口千兆 Combo(SFP/GT)接口模块块4SFP-GT1000Base-T SFP 接口卡模块，RJ-45 接口块16配置介绍如下：核心交换机DCRS-6808本身具备10个扩展插槽，机箱标配1个交流电源 模块，另配一个冗余电源模块，保证交换机在单个电源损坏的情况下能 够启用冗余电源，持续工作；配置一个三层管理模块，使该设备具备三层路由功能； 配置 2 块 MRS-6800-4GX24TX （24 口百兆 + 4 口千兆 Combo 接口）业务 板，用于实现楼层交换机到核心交换机的百兆上联，并为每个千兆电接 口接口配置接口卡用于服务器、防火墙设备到核心交换机的千

13、兆连接；主要性能参数项目DCRS-6808插槽10端口10/100/1000BASE-T 最多 384 个1000Base-SX 最多 384 个1000Base-LX 最多 384 个 10/100BASE-T 最多 384 个 万兆最多32个背板带宽2.0Tbps交换容量960Gbps包转发速率714Mpps，L2/L3 全线速MAC表项128KVLAN表项4KIP路由表项128K（可扩展到256K）IP主机表128K二层协议规范IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z (1000BASE-X)、IEEE802.3ab (1

14、000Base-T)、IEEE802.3ae (10GBase)、IEEE802.3ak(10GBASE-CX4)、IEEE802.1Q(VLAN)、IEEEE802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(Port Control)、IEEE802.3x (流控)、IEEE802.3ad(LACP)、Port Mirror、IGMP Snooping、超长帧 J umbo Frame(39Kbytes)、QinQ、GVRP,VLAN, PVLAN, SuperVLAN,广播风暴控制基于端口的

15、802.1Q协议，整机最多支持4096个VLAN,同时支持基于端 口、MAC的VLAN划分三层协议规范 （v4）IP/IPX (其中 IP 支持 IPv4、IPv6 双栈)、Static Routing、RIPv1/V2,并支持MD5认证、OSPFv2、 BGP4、 IS-IS、 LPM Routing.Policy-based Routing(PBR)、 ECMP、 WCMP、VRRP、 HSRP、IGMP v1/v2/v3、 DVMRP、 PIM-DM、 PIM-SM、 PIM-SSM、 MSDP、 MBGPARP、 ARP Proxy、QoS完全硬件实现，不影响性能。每端口 8个队列。支

16、持CAR。支持基于802.1p、ToS、端口、DiffServ进行流量分类还可以根据ACL-X的80个字节高层内容进行流量分类，支持SP、WRR、SWRR、WFQ、CBWFQ、PQ、WRED。为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持Traffic Shapping （流量整形）、支持优先级Mark/RemarkACL完全硬件线速实现，不影响转发性能。支持标准和扩展ACL，支持 IP ACL、基于 IP 子网的 ACL、MAC ACL、IP-MAC ACL，支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP 优先级（DSCP、ToS、Preced

17、ence）、基于 VLAN、Tag/Untag、CoS 等ACL-X支持基于时间自动改变安全策略。ACL规则可以配置到端口、VLAN、VLAN路由接口。ACL的深度内容可被用于QoS分类的标准，深度可达80字节。防攻击和安全功 能S-ARP （安全ARP）功能：ARP检查、防ARP-DOS攻击、防地址仿冒 Anti-Sweep：防pingSweep等各类扫描行为S-ICMP （安全ICMP）功能：防止PING-DOS攻击；防 ICMP Unreachable 攻击S-Buffer功能 防止DDOS攻击软件IP流量抗冲击功能防止DDOS攻击交换引擎CPU核心保护功能关键协议绿色通道功能：可保障合

18、法、频率正常的关键信令处理端口信任模式：检测非法DHCP Server、非法Radius Server等， 只在信任端口才能接入这些设备。先进的LPM技术：可防止“冲击波”病毒、“zero day”病毒、“SQL slammer warm ”病 毒等。支持URPF（单播反向路径检查），可有效防止IP地址仿冒和攻击。以上技术可有效防止各种DOS攻击（如ARP攻击，Synflood攻击，Smurf 攻击，ICMP攻击）支持ARP监听，防蠕虫、冲击波，检测各种扫描行为 并告警屏蔽应用层业务管理 功能支持SecAPP特性高可靠性和冗余均衡特性支持MVTE，实现基于VLAN的流量均衡 支持主/备切换，所

19、有板卡支持热插拔 支持HSRP，VRRP，支持LACP负载均衡。 支持Firmware&Config双容错备份多路（2-3路）电网供电、功率负载均衡性能调度机制 FlexResource支持主机活动状态感知和资源智能配置技术 支持主机移动感知和资源智能配置技术 可动态回收和再分配芯片资源采用路由汇聚技术优化芯片表项资源米取LPM技术优化芯片表项资源安全可控组播技 术DCSCM支持组播信源控制，防止非法组播源支持组播用户可控支持策略组播安全可控组播和Radius联动支持端口功能支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定，支持MAC过滤，支持IP+MAC （无端口）捆绑支持端口限

20、速（带宽管理）支持广播风暴控制，支持端口镜像（CPU端口镜像、进或者出单向/双向，一对一，多对一， 跨板）支持流控：HOL防头包阻塞，半双工背压，全双工IEEE802.3x支持端口聚合IEEE802.3ad（LACP），最大可支持32组trunk,每trunk 可至8个端口，每组双向带宽可到8GX2，支持负载均衡。支持端到端GEC/FEC,每组最多8端口DHCP支持 Client、Relay内置DHCP Server，无需外挂，并可以监测非法DHCP Server并告警用户接入支持 IEEE 802.1xAAA认证支持RADIUS，支持RADIUS扩展低耗节能技术支持，可大大降低功耗，显著提高

21、设备散热性和稳定性MPLSMPLS、MPLS VPN、MPLS TE、VPLS (二层 MPLS VPN)IPv6ICMPv6、 ND、RIPng、 OSPFv3、 BGP4+PIM-SM for IPv6, MLD for IPv6 (v1) ,MLDv1/v26to4 Tunnels、 configured Tunnels 、 ISATAP、 NAT-PT网络配置和管理 基本功能支持 CLI、支持 Console （RS-232），支持 Telnet，支持 SNMPv1/v2/v3,支持MIB接口，支持Trap支持RMON 1，2，3，9四组网管SysLog支持，可记录事件到 NVRAM、

22、FLASH、RAM、Telnet、SSH Console、Syslog 服务器等。配置管理安全支持Security IP功能：防止在非制定区域非法登陆配置支持安全SNMPv3支持SSHv2支持 TACACS+支持https命令行权限分级，独立认证，不同级别所能运行的命令行权限NMS功能可以通过ACL功能控制用户对交换机的访问权限，包括telnet、web、 SNMP的权限，可以有效的做到完全控制，实现NMS功能。SFlow功能支持网络流量分析，支持RFC3176，可以实现基于协议或地址的流量监 控和统计异常监测和故障检查功能任务异常、内存异常、CPU利用率、堆栈异常、 交换芯片异常、板卡温度异

23、常等监测，并告警 线路VCT检测功能（检测5类线故障）配置管理便捷化独到的Profile 情景模式，可非常方便地在多种用户配置间切换“一行 式”设计：可极大简化复杂功能的配置cisco风格命令行集中网管软件采取神州数码网络LinkManager软件 统一管理物理尺寸（宽深 高）440mmX421mmX266mm436mm*478mm*797mm相对湿度10%90%无凝结运行温度0C40C电源交流：输入 90260V，5060 Hz；直流：输入-36V -72V；输出 12V/25A，5V/10A (此输出参数为每一模块的额定值);功耗W600W4网络安全设计防火墙 NGFW4000-NF-P本

24、项目中，外网系统部署防火墙。内网系统中，防火墙的作用主要是防范整体内网系统中其他内网单元对本网 的攻击并负责与国家及地市级疾病控制中心网络连接；外网系统中，防火墙的作 用主要是防范INTERNET中的恶意攻击，保证内部对外的安全访问并启用NAT功 能与INTERNET连接。防火墙设备选择天融信网络卫士千兆防火墙NGFW4000-NF-P。该设备标配1个10/100/1000MBase-TX接口，提供6个GBIC插槽，集成防 病毒模块，大于160万并发连接与核心交换机间采用千兆铜缆连接，依托其强大 的防护功能和数据吞吐能力，在有效保护内网的同时避免了核心设备到防火墙的 传输瓶颈，保证内部对外的顺

25、畅访问。该设备具备如下特点综合网关NGFW4000-UF采用天融信自主知识产权的安全操作系统TOS (Topsec Operating System)，并采用模块化结构设计，既提高了产品性能，又提高了产 品的灵活性、高效性和安全性。通过简单的license控制，NGFW4000-UF可以集 成防火墙、VPN、SSL-VPN、带宽管理、反病毒、反垃圾邮件等众多功能，是高 性能的综合性的网关产品。病毒检测作为NGFW4000-UF的可扩展模块，TOPSEC AV是邮件病毒及网络文件病毒过滤解决方案，它对流经防火墙的网络数据内容进行安全检查。为企业提供简 便有效的病毒过滤功能，防止电脑病毒以及恶性程

26、序的入侵。该方案采用基于透明代理和深度数据包检测(DPI)的技术，在企业局域网边 界处对常用的应用层协议(SMTP、POP3、HTTP、FTP)数据流进行过滤处理。 用户不需要更改网络结构和客户端计算机的参数设置，只需要在网关防火墙处插 入TOPSEC AV，即可对通过的数据进行在线过滤。查杀邮件正文附件、网页及 下载文件中包含的病毒，并即时将病毒处理信息通过应用层协议客户端返回给用 户。适应复杂的核心网络核心网络的安全性、稳定性是当今网络的焦点，如何保证核心网络的安全， 保证数据的24小时传输成为网络安全的最受关注的问题。网络卫士系列防火墙 能够在核心网络中同所有核心网络设备一起实现高可用性

27、及高安全性的拓扑结 构，最大限度地满足了网络的健全性及稳定性，保证了整个核心网络的不间断工 作。当核心网络中的某条链路产生故障时，网络卫士系列防火墙能够动态的切换 链路，实现数据的不间断传输。同时结合防火墙的其他安全特性，使整个网络无 比健壮。多级过滤的立体访问控制采用了多级过滤措施，以基于OS内核的核检测技术为核心，提供从链路层 到应用层的全面安全控制。在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议 的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地 址、网络协议以及TCP、UDP端口进行过滤，并进行完整的协议状态分析；在 应用层通过深度内容检测机制，

28、可以对高层应用协议命令、访问路径、内容、访 问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的 第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形 成了立体的、全面的访问控制机制，实现了全方位的安全控制。安全高效的TOS操作系统具有完全自主知识产权的TOS安全操作系统，采用全模块化设计，使用中 间层理念，减少了系统对硬件的依赖性。入侵检测（IDS） TopSentry 2000网络卫士（NetGuard）入侵检测系统是北京天融信公司获得多项国际、国内 安全认证与奖项的新一代入侵检测与防护系统。它采用多重检测、多层加速、SSL 加密访问检测等多项天融信独创

29、安全技术，致力于降低IDS的误报率、漏报率， 提高IDS的捕包与分析能力，并加强IDS对蠕虫攻击以及隐含在加密数据流中 攻击的检测能力，极大地突破了目前IDS市场普遍存在的瓶颈问题。TopSentry 2000百兆入侵检测设备：1U机型；标配3个10/100BASE-TX端 口（可以用作扩展和监听）+1个10/100BASE-TX管理端口，200Mbps吞吐率/100% 检测率/攻击事件数2800以上。产品特点通过特有的双网卡分流重组技术，可以利用双网卡分别处理上行和下行网络 流量，相当于把网卡能力提升一倍，保证了网络卫士 IDS高效的检测性能。系统内置600条以上的蠕虫检测规则，实时跟踪、检

30、测当前最新的蠕虫事件， 最大限度地解决蠕虫发现滞后的问题。通过解码基于SSL加密的访问数据，分析、检测SSL加密访问中的攻击行 为，从而可以保护内部提供SSL加密访问的重要服务器的安全性。完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内 部网络资源滥用时泄漏的保密信息内容。通过天融信网络卫士安全管理系统（TSM）基于状态机的实时关联检测技术， 对IDS的报警事件和其他事件进行关联分析，有效地提高了 IDS检测的准确3、服务器部署为了保证网络系统的正常运行在内网和外网系统中的核心设备处部署如下 服务

31、器：防病毒服务器安装网络版杀毒软件，防范病毒感染并定时升级杀毒；（内、外网各部署一台） OA服务器 安装OA （办公自动化）软件，提高办公效率，逐步实现无纸 化办公；（内网部署，本次暂不考虑）内/外网应用服务器 可提供常用软件下载，临时资料存储转移，方便日 常办公；（内外网各部署一台，本次暂不考虑）邮件服务器 提供内外网邮件交换服务；（外网部署一台）电子图书服务器 存储日常业务所需电子图书、图片、胶片等资料并提供 查询浏览功能；（内网部署一台，本次暂不考虑）以上所有服务器采用浪潮英信服务器NF280D系列产品，用千兆铜缆与核心 交换机连接，服务器使用机架式设备，方便设备安装，节省空间并方便统一

32、管理， 下面将详细叙述各个服务器的配置。（可根据用户需求再次详细定制）1防病毒服务器（2台）处理器双核英特尔至强处理器X5110（1.60G）二级高速缓存2X2MB系统前端总线667/1066/1333MHz内存支持 FB- DIMM 533/667 ECC registered 内存；集成 8 个 DIMM 插槽， 最大支持32 GB；本方案中配置2GB硬盘控制器1个DMA100 IDE通道；6个SATA通道，可选集成双通道U320 SCSI， 可选集成8 口 SASRAID集成 SATA、SCSI、SAS RAID0、1、10；可选 SATA、SCSI RAID 5 可选 SAS RAID

33、 5、6存储最大8个热插拔硬盘槽位，支持SATA、SCSI、SAS硬盘（支持4 块以上SCSI、SAS硬盘需要组件）；本方案中配置73G SCSI硬 盘 *2/RAID1I/O扩展槽支持全长全高2个PCI-E X8和1个PCI-X100，可选升级扩展1个 PCI-X100 和 1 个 PCI-EX8I/O 端口外接4 口 SAS，超高密SCSI接口网络控制器集成双千兆网卡，支持WOL（Wake On Line）、I/O加速技术电源单电源，可选700W1 + 1双电；本方案中配置冗余电源显卡主板集成ATI ES1000, 16MB显存光驱COMB软驱可选USB软驱风扇热插拔几余风扇管理功能增强型

34、应变散热系统动态监控并智能调节CPU温度、电压、风扇转 速。支持浪潮睿捷管理套件可选即时远程管理技术：KVM over IP+BMC支持操作系统Windows2000、Windows2003、RedHat AS3.0-up4、RedHat AS4.0-up1、 Suse Linux9.0 SP2 （不同的操作系统下可实现的硬件配置略有不同， 详情请咨询）工作环境温度5C35C电源电压180V240V国际认证ISO9001国际质量管理体系ISO14001国际环境管理体系机箱机架（高 89mm，宽 427mm，深 648mm）2邮件服务器（1台）处理器双核英特尔至强处理器X5110（1.60G）二

35、级高速缓存2X2MB系统前端总线667/1066/1333MHz内存支持 FB- DIMM 533/667 ECC registered 内存；集成 8 个 DIMM 插 槽，最大支持32 GB；本方案中配置2GB硬盘控制器1个DMA100 IDE通道;6个SATA通道，可选集成双通道U320 SCSI， 可选集成8 口 SASRAID集成 SATA、SCSI、SASRAID0、1、10；可选SATA、SCSI RAID 5； 可选SAS RAID 5、6；本方案中配置独立RAID卡，作RAID5存储最大8个热插拔硬盘槽位，支持SATA、SCSI、SAS硬盘（支持 4块以上SCSI、SAS硬盘

36、需要组件）；本方案中配置146G SCSI 硬盘 *5/RAID5I/O扩展槽支持全长全高2个PCI-E X8和1个PCI-X100，可选升级扩展1 个 PCI-X100 和 1 个 PCI-EX8I/O 端口外接4 口 SAS，超高密SCSI接口网络控制器集成双千兆网卡，支持WOL（Wake On Line）、I/O加速技术电源单电源，可选700W1 + 1双电；本方案中配置冗余电源显卡主板集成ATI ES1000，16MB显存光驱COMB软驱可选USB软驱风扇热插拔几余风扇管理功能增强型应变散热系统动态监控并智能调节CPU温度、电压、风扇 转速。支持浪潮睿捷管理套件可选即时远程管理技术：K

37、VM over IP+BMC支持操作系统Windows2000、 Windows2003、 RedHat AS3.0-up4、 RedHatAS4.0-up1、Suse Linux9.0 SP2 （不同的操作系统下可实现的硬 件配置略有不同，详情请咨询）工作环境温度5C35C电源电压180V240V国际认证ISO9001国际质量管理体系ISO14001国际环境管理体系机箱机架（高 89mm，宽 427mm，深 648mm）3 KVM服务器切换器（CA108DC）无论您的服务器是USB接口还是PS2接口，你可以用CA108DC把他们控制在 一个平台下管理;更重要的是在控制端，您还可以选择使用US

38、B或PS2键盘鼠标。 CA108DC方便您对服务器的管理：单用户8 口切换器，通过级联可控制64台PS/2、USB接口的计算机支持PS/2、USB服务器单用户访问管理式切换器最多可支持8台电脑主机在屏显示菜单OSD多级密码功能1U单元设计19英寸机架安装自动巡检热插拔热键切换主要规格类型KVM切换器输入接口8路输入输出接口1路输出带宽250MHz支持分辨率1600 x1200切换方式按钮/热键/OSD/i动电气规格电源电压（V）176-264电源频率（Hz）50/60功率（W）2环境参数工作温度0-50 C工作湿度0-90%存储温度-20-60 C存储湿度0-95%4、软件系统1操作系统软件服

39、务器操作系统选择的是Windows Server 2003企业版（25User）oWindows Server 2003专作为网络操作系统或服务器操作系统，高性能、高 可靠性和高安全性是其必备要素，尤其是日趋复杂的企业应用和Internet应用， 对其提出了更高的要求。微软的企业级操作系统中，如果说Windows 2000全面 继承了 NT技术，那么Windows Server 2003则是依据.Net架构对NT技术作了 重要发展和实质性改进，凝聚了微软多年来的技术积累，并部分实现了.Net战 略，或者说构筑了.Net战略中最基础的一环2邮件系统软件Exchange 2003是Microsof

40、t消息服务和协作服务器，旨在帮助您的企业 更有效地进行通信。Exchange 2003 与 Microsoft Office Outlook 2003 提供 的丰富的客户端功能协同工作，可提供具有一流安全性和隐私性的移动、远程和 桌面电子邮件访问；通过Microsoft Windows Server2003提供的服务降低了拥 有成本;提供高可靠性和卓越的性能;提供基于电子邮件的协作以及轻松的升级、 部署和管理。3防毒软件卡巴斯基的引擎代表着业界最高水准，卡巴斯基的反病毒引擎和病毒库，一 直以其严谨的结构、彻底的查杀能力为业界称道。病毒库的大小卡巴斯基的病毒库是病毒最全的病毒库，但是由于其独特的

41、结构，虽然目前 病毒样本数目高达14万，但是却只有5M。病毒库的更新速度即对新病毒的反应速度。病毒库的更新频率越高，系统得到的保护就越可靠。 卡巴斯基反病毒数据库常规3小时更新数据库（必要时1小时更新），每次更新 的数据库仅有3-20KB。用户可以通过更新模块自动下载病毒数据库，也可以 手动从网站下载病毒库后本地更新。卡巴斯基的优势主要有：1、对新病毒的反应全球最快，每小时一次的病毒库更新。2、拥有全球最全的病毒库，目前病毒库的数量已经超过25万。3、对操作系统的支持最广。4、对病毒的清除能力最强。5、性价比最好。技术特点在防病毒数据库中使用伪指令技术所谓伪指令技术就是除将病毒特征码写入病毒库

42、外，还将病毒清除方法写入 病毒库中，扫描引擎识别后可用于清除病毒。这样只需要更新病毒库而无需更新 扫描引擎就可以识别和清除新病毒，这就是卡巴斯基清除病毒能力强、很少提供 专用杀毒工具的原因。第一个可扫描存档和压缩文件中病毒的软件支持Windows和Unix的多达 900种存档和压缩格式的扫描，是所有防病毒厂商中支持存档和压缩格式扫描最 多的。这也是所有防病毒厂商现在都支持的功能，目前已经成为业界的标准，但是 仍以卡巴斯基支持的文件种类众多而独占鳌头.全球第一个集成的Ofce2000防病毒系统卡巴斯基的OfficeGuard模块负责 宏程序的执行前的监听，有效地禁止恶意宏的执行，同时Mailch

43、ecker嵌入到 Outlook中，对进出的邮件和邮件数据库进行保护。有效地防止宏病毒。并且由 于是嵌如到Office系统，所以杀毒彻底响应速度快。 全球领先的“I-CHECKER”扫描技术I-Checker技术主要针对先前扫描过却没有更动的文件，允许扫描程序略过，这期间是通过的资料库的总和和检查码比对，来确定操作行为的。而I-Stream技技术则是针对NTFS档案系统，对NTFS数据流进行检测。采这两种技术可以大大加快扫描速度，减少了对系统资源的占用时间。启发式扫描卡巴斯基的启发式扫描技术在原理上得到了首先的突破；第二代 启发式扫描技术因其在技术原理上的突破，对未知病毒的检测已经达到了极限水

44、 平，卡巴斯基对未知病毒的检测率已经在92%以上。目前，它是全世界唯一不需更新病毒定义数据库而成功地阻截了爱虫及其所有变 种病毒。世界上第一个用于指令解码的虚拟机技术虚拟机，在反病毒界也被称为通用解密器。或者说是行为判断技术，它是利 用代码在内存中构建出一个模拟的计算机环境，叫做虚拟机，所有的程序都可以 在这个虚拟机中执行，不过这种执行是被行为判断引擎控制的，它会边执行边分 析程序的行为，当发现该程序有破坏的动作时，就鉴定出该病毒，并对该程序进 行相应的处理。第一个集成的Linux反病毒系统随着Linux操作系统的广泛应用，基于Linux系统传播的计算机病毒也出现 了，这种病毒通常含有后门程序

45、，在系统设置后门，等待黑客的入侵。同时也会 有Windows病毒虽然不会直接感染Linux的操作系统，但会将被作为Windows 病毒的中转站来实现病毒入侵。随着Linux的成长，且进入企业环境，集成与协同 能力将是一个关键问题，我们不能再忽视病毒的存在，我们需要有能力提供集成 病毒检测和修复。第一个针对于Postfix及Exim邮件网关的防毒系统当美丽莎病毒发作时，一些Linux服务器的sendmail处理邮件量开始过载并且 不得不停机，而ExploreZip病毒爆发时，一些运行Samba的Linux服务器不得不与 删除数据文件的Windows客户机进行较量，这些数据文件往往非常重要。从这个

46、 角度说,Linux要想对付这些病毒，就只能将主机的网线拔掉，卡巴斯基的邮件网 关让这些问题迎刃而解。5、供电防雷系统设计1机房防雷系统设计说明在设计思想上，本方案是可行、意向性的防雷方案。计算机网络系统所在机 房一般具备直击雷防护系统，这属于国家法规强制执行的，所以有关计算机网络 系统防直击雷措施的内容，在本方案中不做详细的描叙，如果有不完善的地方或 需要重新设计，我公司可根据实际情况另外设计防直击雷方案。本方案将主要对 计算机网络系统设备做感应雷击防护措施，本方案的设计、施工及防感应雷系统 的正常运行都是建立在与之相关的直击雷防护系统正常工作的基础之上，如果直 击雷防护系统不能正常工作（如

47、：地网的接地电阻过大等），则按本方案设计的 感应雷击防护系统的性能会有所减退。5. 2设计依据计算机网络系统防雷方案在设计时参照如下国内及国际相关标准：建筑物防雷设计规范GB50057-94低压配电设计规范GB50054-95电子设备雷击防护导则GB7450-87电子计算机机房设计规范GB50174-93BS6651、CCITT、IEC 等相关标准5.3主要防雷产品介绍SANKOSHA系列产品设计思路先进、性能稳定，符合：IEC、IEEE、CCITT、 UL、BS等相关标准。本公司防感应雷击系列产品已通过原邮电部通信产品防护 性能监督检验测试中心检测，同时也获得了公安部的销售许可。（一）、SA

48、NKOSHA防雷器的性能特点1、电源防雷器（SK-98）采用压敏电阻与气体放电管组合的放电回路，解决了单压敏电阻漏电不稳、单气体放电管有续流的问题。由于设计精密严谨，防雷器响应时间小于 25ns o一体化设计，将纵向保护模块和横向保护模块设计成一个整体，便于安装， 减少了因接点多而可能引发的电气故障。一次性降压：一次性将雷电压（6KV）抑制到设备安全电压范围内（600V）。残压低：残压为600V，加强型（M4）低致570V。是目前残压最低的防雷产 品。过渡性指示雷电泄流量大：采用独有的MOVTP专利技术，普通型泄流量为80KA，加强型 为 120KA。全保护功能：即有相对中、相对地、中对地保护

49、，其中相对中保护是SANKOSHA 系列产品所特有的功能。应用了 Sovtrip专利技术，对防雷系统的接线错误有闪灯报警。如：相线、 中线、地线中任何一条接错或接触不良，防雷器都有明确的指示，它实时监 视防雷系统的运作情况，这一点是很有实用价值的。防爆外壳设计，可应用于各种恶劣环境（-40C至70C）2、电源防雷器（SK-70）SK70防雷器主要作为暴露设备的单相或三相网络的主级保护装置。每个插入 式”模块集成了加强保护设计和具有“后备”功能的二级断开设计。产品有 单相、三相等型号。采用压敏电阻、气体放电管、瞬变抑制二极管等组合放电回路，响应快（小 于10ns），残压准确。品种齐全，对于不同的

50、电压、不同的频率、不同的阻抗、不同的接口都有相 应的产品。设有纵向保护和横向保护，每线泄流量10KA。（二）、与单一元件（模块式）防雷器的比较首先介绍一下防雷产品的发展史：第一代是根据尖端放电原理制造的火花间 隙，优点是泄流量大（100KA），缺点是残压太高（4KV）。第二代是氧化硅（基本 上已淘汰）及氧化锌压敏电阻（MOV）制造的防雷器，优点是泄流量较大（50KA）， 残压较低（1.5KV以下），缺点是有泄漏电流、发热、参数随时间会发生变化。后来又发明了气体放电管，它具有压敏电阻的优点，而且基本上解决了泄漏电流 的问题。第三代是半导体防雷元件，即稳压二极管和瞬变二极管，优点是响应时 间快，残

51、压低而精确，缺点是泄流量小。比如市场上销售的国外及国产的绝大多数品牌均是单一元件氧化锌压敏电 阻（MOV）制造的防雷器，防雷器的质量完全取决于氧化锌压敏电阻的特性，防 雷性能会随着元件本身性能的局限性、老化、时间推移等因素，发生较大减退。SNKOSHA防雷器是结合以上第二、三代防雷器件，优化超前设计的防雷器， 防雷元件超过200个，每个泄流单元由三级组成，集中了所有的优点（泄流量大, . .响应时间快、残压低而精确-目前最低、寿命长）5.4机房防雷设计方案（1）防感应雷击设计思想感应雷的防护应从电源部分和信号部分双方面的考虑。要达到良好的效果， 必须多方面考虑，比如：安装防雷器、做好屏蔽、规范

52、布线等等。从而达到良好 的效果。（2）配电系统过电压保护引入大楼的总配电室（柜）电源是由市电引入的，市电高压线路一般是经过 一些空旷地区或高地，最容易成为雷电的上行先导，受到直击雷、感应雷击机率 较大。所以必须在总配电柜电源入口加装配电电源过电压保护装置，此处采用三 项四线电源防雷SK-70系列：A防止由市电网引入的感应雷击；B消除由大楼各 层配电箱到主配电室这一段线路受到电磁感应，引入感应雷，这一情况出现在大 楼直接接闪，或是附近建筑物接闪，会引起极强的空间瞬变电磁场，产生感应雷 击。C消除楼内大型用电设备在启动或停止时，产生的浪涌对供电系统产生的影 响。（注：这部分防雷系统应在大楼建设是配

53、备）在计算机机房，所有网络设备的用电都是通过一台UPS电源提供的。作为计 算机网络的重点防雷保护对象，必须在此UPS的前端加装一台电源过电压保护装 置SK-98单相源防雷器（或SK-70/4P三相四线防雷器）一台作为三级防护，系 统（如：UPS电源、网络交换机、服务器）实施防护。其目的是：A对计算机机 房的用网络设备实行双重保护（特别是重点设备）；B消除由大楼总配电室到计算机机房这一段线路受到电磁感应，引入感应雷，这一情况出现在大楼直接接闪， 或是附近建筑物接闪，会引起极强的空间瞬变电磁场，产生感应雷击。C消除楼 内大型用电设备在启动或停止时，产生的浪涌对供电系统产生的影响。分配电箱UPS电源

54、计算机设备nil IIIIIIII Illi IIIIIIIII总配电柜市电网引入加装电源防雷器后，可使雷电到达电子设备端口之前，通过电源防雷器泄流，将雷电压控制在电子设备能够接受的安全范围内（600V），从而达到保护电子设 备免受雷击的目的。因此，首先，在总机房的配线箱加装防雷模块，使其达到泄流的作用；其次 在总机房的重要配置设备，例如UPS前段加装单模块避雷器;另外，网络机柜采用 电源防雷插座。防雷方案设备清单品名型号单位数量备注电源避雷器SK-70/4P只1配电柜前端防雷插座6孔只4网络机柜合计6、配线系统配线系统描述单位数量备注配线架24 口超五类配线架个4连接楼层交换机24 口千兆配

55、线架个4连接核心交换千兆口与服务器理线架金属理线架1U个8千兆网线箱1连接服务器与核心交换千兆跳线条16连接千兆配线架与服务器、核心交换双绞线跳线超五类1米条96连接超五类配线架与核心百兆口7、方案特点网络平台千兆以太网技术在网络技术上要有性能价格比较好的选择。就是选择千兆以太网。其他的网 络技术还有诸如以太网、FDDI、ATM等，但都由于技术上已经落伍或不能保护用 户的投资、提供足够的网络性能，在设计时不为考虑。以太网技术从发明到现在已经经过了四分之一个世纪的时间，在二十多年的 时间里，以太网技术先后经过了 10M共享、100M共享、10M交换、100M交换、 第三层交换，直至今日的千兆以太

56、网，以太网已经是一种非常非常成熟的技术， 有着统一的规范。事实上，千兆以太网并不是什么全新的网络技术，它只是快速 以太网的延伸而已，除了在提供的网络带宽方面由原来的100M交换变成1000M 交换，交换速度是原来的10倍之外，在技术方面并没有什么全新的变化，用户 无需学习新的技术就可以直接使用和维护千兆以太网设备。在多媒体的支持方面，以太网自身也已经做了很多改进。CoS和QoS支持已 经非常完善。802. 1P可以实现对网络上传输的信息包的优先级控制。而且，现 有的多媒体应用程序大部分都是在以太网环境中开发的，像VOD(视频点播)，只 需要占用以太网1.5M的带宽，因此，100M交换到桌面的以

57、太网环境已经完全可 以实现现有的视频应用。整个网络应具有层次结构的带宽，以达到整个网络的信息流量均衡，不致在 网络的某处造成网络瓶颈。设计中应将各种不同的技术分布于桌面和骨干；将 100BaseT以太技术应用于网络的桌面连接当中，将1000M移入他们的网络骨干 中，保证线速交换，提供强有力的网络服务以支持复杂的应用环境。在最大条件 下设计出最佳的性能。网络安全防护防火墙访问控制可限制使用者或应用服务的对象访问企业网络，以保护企业内部资 源。执行访问控制参数必须是简单且直接的，以一个明确的图形使用者接口 (GUI) 操作，最好全部的组件都是使用对象导向的方式来定义。而每一个规则能包含任 何网络对

58、象、服务、动作和追踪机置，并可判断规则的冲突性。防火墙除必须提 供安全的存取控制外，还必须抵挡恶意的攻击。例如IP Spoofing、Denial of Service、Ping of Death等等。所以我公司为疾控中心提供天融信NGFW4000-NF 防火墙。当使用者与目的主机联机时，在通讯被允许进行之前，认证服务可以安全地 确认他们身份的有效性，且不需要修改服务器或客户端应用软件。认证服务是可 完全的被整合到企业整体的安全政策内，并能经由防火墙图形使用者接口集中管 理。所有的认证会话也都能经由防火墙日志浏览器来监视和追踪。认证的机制 包括固定的密码（如OS及防火墙的密码）以及动态的One

59、 Time Password的密 码（如S/key、SectrID、RADIUS等）。如要使用固定的密码认证，建议使用防火 墙的密码一定要保证安全，但是固定密码还是容易被监听，最好是使用One Time Password的方式，以防止被窃取。防火墙所提供的内容安全能力，可达到最高层次的应用服务协议检测，以保 护使用者企业资源。内容安全包含计算机病毒和恶意Java与ActiveX Applets 的内容安全性检查，并经由图形的接口可集中管理。另外提供开放平台的安全企 业连接（OPSEC）架构的API，可整合第三者厂商内容过滤的应用。主要的应用 如URL过滤、电子邮件的支持、FTP的支持。综上两点

60、所述，采用入侵检测系统和防火墙配合使用，可使网络更为安全， 以保证用户的安全性和网络的稳定长效运行。VLAN划分内部局域网采用基于交换机端口的VLAN（虚拟网）划分技术，根据需要把若 干交换机的端口划入相应的VLAN中。VLAN主要根据交换机端口所连接设备的所 属位置和部门的不同来进行划分。配合访问控制列表，实现一定的安全隔离。VLAN的划分遵循如下原则：对于楼内的计算机按照机器的用途进行VLAN划分。对于一些对安全性要求 较高的专用的计算机，由于其安全要求和使用权限较高，所以这些计算机单独划 分一个或者多个VLAN。对于一些使用范围涉及整个单位的服务器，根据服务内容的不同和其上数据 的安全要