三通两平台网络整体规划建设方案

XX市XX区三通两平台网络整体规划建议方案XXXXX有限公司xxx年xx月xxx日

目录第1章 、背景概述 31.1 三通两平台背景概述 31.1.1 引言 31.1.2 31.1.2 三通两平台基础网络建设历程 51.2 教育城域网建设中的存在的问题 61.2.1城域网和校园网离异分存，造成网路不畅、应用脱节 61.2.2软件数据交换标准不统一，技术比较落后 61.2.3城域网系统建设不平衡，极大地削弱了教学功能 71.2.4对资源的理解片面化狭隘化 71.2.5缺乏专业培训 71.3教育城域网建设的应用形态 71.4城域网的建设目标与价值 91.5教育城域网的应用价值 12第2章 、网络的应用 132.1用户面临的困难 142.2如何解决困难 15第3章 、数据中心网络的总体设计 153.2.1先进性原则 153.2.3可扩充、可维护性原则 163.2.4安全保密原则 173.2.5可靠性原则 173.2.6经济性原则 17技术规范 25第4章 、教育局资源管理平台 374.1 开发背景 374.2 系统定位 384.2.1 主要特点 394.3 功能架构 414.3.1 、功能分析 414.3.2 、功能架构图： 424.3.3 、平台的功能简介 43

、 背景概述 三通两平台背景概述 引言全球政治经济竞争的加剧，使各国政府将教育视为国家发展大计，而技术（特别是现代信息技术）在教育教学领域的成功应用，使各国政府都将教育信息化视为促进教育改革与发展、提高人才培育质量和效率的一剂良药。美国、英国、新加坡、日本、韩国等教育信息化发展较快的国家纷纷制定了国家级的教育信息化发展战略。以美国为例，1996年就制定并颁布了第一个“国家教育技术计划”，在2000年、2005年又分别颁布了两个，2010年11月奥巴马政府发布了最新一轮的“国家教育技术计划”，该计划的标题为“改革美国教育：技术支持的学习”（TransformingAmericanEducation:LearningPoweredbyTechnology——NationalEducationalTechnologyPlan2010），提出了一个技术推动的21世纪学习模式，围绕学习、评价、教学、基础设施、生产力五个方面提出了主要发展目标和建议。近几年来，我国教育信息化也进入快速发展期，《国家中长期教育改革和发展规划纲要（2010-2020）》将教育信息化单列一章，并列为十大重大项目之一，明确指出“信息技术对教育发展具有革命性的影响”，提出把教育信息化纳入国家信息化发展整体战略。2012年，教育部又正式发布了《教育信息化十年发展规划（2011-2020年）》（以下简称《十年规划》）。《十年规划》是我国教育信息化发展的国家战略，概括提出了我国教育信息化未来十年的8项任务和5个行动计划。此后，这8项任务和5个行动计划的重点工程又被概括为“三通两平台”建设。“十二五”期间，以“三通两平台”建设为核心目标的我国教育信息化发展思路已经逐渐明确。1.1.2 “三通两平台”起源与内涵 1.“三通两平台”起源2012年3月教育部正式颁布《十年规划》，同年5月28日杜占元副部长在北京召开的教育信息化试点工作座谈会上，指出教育信息化的核心理念是信息技术与教育教学实践的深度融合，贯彻应用驱动是实现教育信息化的关键思路，当前推进教育信息化的工作重点是三大任务和两个平台，是教育信息化“十二五”核心目标。三大任务：第一是要基本解决各级各类学校宽带网接入与网络学习环境的问题；第二是加强优质资源的建设与共享，每个班级都要用上优质资源，资源应用是关键；第三是建设实名制的网络学习空间环境，努力推动个人自主学习和教学互动。两个平台：一是教育管理公共服务平台，二是教育资源公共服务平台，就是资源云服务平台。概括为“三通工程”，即宽带网络校校通、优质资源班班通和网络学习空间人人通。2012年9月5日，在全国教育信息化工作电视电话会议上，刘延东副总理（时任国务委员）提出：“十二五”期间，要以建设好“三通两平台”为抓手，也就是“宽带网络校校通、优质资源班班通、网络学习空间人人通”，建设教育资源公共服务平台和教育管理公共服务平台，这是当前教育信息化建设的核心目标与标志工程——推动“宽带网络校校通”，完善学校教育信息化基础设施；推动“优质资源班班通”，加快内容建设与共享；推动“网络学习空间人人通”，促进教学方式与学习方式的变革；建设教育资源和管理两大“公共服务平台”，为教育信息化提供坚实支撑；加强队伍建设，支撑教育信息化可持续发展。至此，“三通两平台”的概念正式确立，成为“十二五”期间我国教育信息化工作的核心目标与标志工程。 2.“三通两平台”内涵分析“三通两平台”的本质是促进信息技术与教育教学的深度融合，通过信息技术的深化应用促进教与学的变革，提高人才培养的质量和效率，最终达到提升我国综合国力的目标。“三通两平台”中“两平台”是基础，是通过信息化建设工作实现的，而“三通”则主要强调应用效果，具体内涵分析如下。“宽带网络校校通”是以校为本的教育信息化软硬件基础设施建设与应用，当前重点是要从根本上解决各级各类学校的宽带接入问题，初步完成各级各类学校网络条件下基本的教学和学习环境建设。“优质资源班班通”是以班为本的信息化教育教学应用，要形成丰富的各级各类优质教学资源，并且将这些资源送到每一个班级，在教学、学习过程中得到普遍使用，促进教学模式与教学方法创新。“网络学习空间人人通”是以人为本的基于信息化环境的教学与学习，当前重点是使每个教师、高校学生、职教学生和初高中学生基本实现每人拥有一个实名的网络学习空间和环境，把技术和教育融合落实到每个教师和学生的日常教学和学习中，促进教学方式与学习方式的变革。“三通”不仅仅是满足学校、班级通上宽带，接入网络，更重要的是能够实现教学资源的班班通和人人通，让广大师生真正能够享用到优质的教学资源，促进教育公平。为实现教育现代化，促进教育公平，必须搭建基于教育城域网的区域教学资源服务平台和教学服务管理平台，并为下属学校构建数字化校园建设的网络支撑环境。三通两平台基础网络建设历程随着教育信息化建设的不断发展，按照教育城域网的融合模式建设拓扑图如下:网络情况：整个城域网的建设通过自建或租用裸光纤等形式来完成，所有接入学校通过区县电教馆统一出口，支持有线、无线、VPN等多种方式的统一接入。业务情况：基础教育信息化业务系统建设不断完善，业务系统的应用不断扩大，更关注多个业务的有效整合，实现业务层的统一单点登录。管理情况：区县电教馆除了对整网进行统一规划和部署外,更关注教育城域网的接入是否可控、日志审计是否能定位到人、是否能区分师生的访问服务，及是否能保障用户良好体验等与实名身份认证管理相关的问题。网络建设：教育局除了基础网络建设、业务支撑平台优化外，更关注网络后台建设及应用的整合，包括统一实名身份认证平台的建设，实现网络及应用层的单点登录等教育城域网建设的发展具有明显的阶段性，教育城域网的建设模式决定了教育业务应用的情况、城域网管理的需求及基础网络建设的重点等，随着教育城域网的不断升级和完善，教育城域网上的业务应用也将越来越丰富。目前，教育城域网是中国教育信息化工程中最为关键的一环。教育城域网在本城市中将包将包括大、中、小学互联成一个桌面到桌面的城域网络体系，并向上联接到国家骨干网的高速链路，使整个国家的教育网络成为一个有机的整体。教育城域网建设中的存在的问题1.2.1城域网和校园网离异分存，造成网路不畅、应用脱节当前不少城域网的硬件方案和软件应用方案普遍存在这样的问题：如有些城域网在学校的接入方式上采用了ISDN甚至拨号的方式，这样的设计使城域网和校园网之间仿佛两个高速公路网之间通过羊肠小路相连，根本无法实现多媒体教学的需要，即使是简单地获取信息和实现基本管理都非常困难。在应用方面，往往只考虑了城域网中心站那一端，而未考虑学校如何利用城域网为自身管理、教学、研究、资源共享和学生学习等服务，也未曾考虑学校和教委之间如何实现数据的上传下递，最后导致城域网的中心站和学校之间的应用严重脱节。1.2.2软件数据交换标准不统一，技术比较落后目前各软件厂商提供的应用软件还不能够共享信息和交换数据，即使是一个软件厂商提供的软件之间也难以实现数据的共享，这样，各个应用软件以及软件之间就缺乏必备的互操作能力（Interoperability），导致教育系统面临严峻的困境：1)各种应用软件成为“孤岛”，各自的数据被锁在“数据坟墓”中，不能够共享；2)重复的数据录入；3)由于各种应用软件不能够相互联系，提高了用户的维护成本；4)生成报表费时费力；5)各级教育系统的数据传递缺乏标准，费用极高，先进技术得不到充分利用；6)当前XML逐渐成为互联网上的标准，.net技术的发展为城域网应用软件的开发提供了先进的技术手段，但是在城域网的应用软件方面仍然存在严重的技术落后问题。1.2.3城域网系统建设不平衡，极大地削弱了教学功能在城域网的建设和使用过程中，偏重了管理功能，或只重视教委信息的发布，使城域教育网终于退化成为“教委网站”或是一个“管理系统”。但从实际而言，管理涉及到各个方面、各类人群的工作方式和习惯的调整，所以管理一时难以收效；同样，如果将城域教育网建成一个网站，只是发布一些新闻或通知，而忽略了整个教育系统的核心任务――“教学”，这样的城域网很快将被人们遗忘。如果从一开始城域教育网就走偏了路，埋没了各方面的积极性，那么它对于整个地区教育信息化造成的影响和损失都将难以估计。1.2.4对资源的理解片面化狭隘化当前，不少城域教育网的建设者或是运营者将资源简单地理解为“多媒体资料”，或者是“多媒体教育资源库”，将资源的服务对象简单地理解为只是教师和学生。事实上，城域教育网的职责要为学校的教学提供全程服务、为市民的终身教育提供服务，其资源应该满足老师备课、制作课件、授课、考试评价、教育科研的需要，同时满足学生自主学习的需要、满足市民终身学习的需要。因此，城域教育网所提供的教育资源就应当是“广义的资源库”，囊括了电子图书馆、多媒体教学资源库、题库、考试训练等各方面的所有资源。1.2.5缺乏专业培训城域教育网的建设使信息化教育环境触手可及，也使信息技术走向“大众化”和“平民化”，其使用者包括了大量的老师、学生和家长，而这些用户大多没有经过专业的培训，因此城域教育网使用的方便性就成为一个关键性因素。纵观目前市场上很多教育软件，使用非常复杂，并需要进行一道道繁琐的设置，这在很大程度上降低了城域网的使用效率。虽然学校已经对部分教师进行了信息技术的培训，但远远不能满足其对信息系统的维护、课件的开发、管理等信息技术建设的需求。如何进一步加强、加深软件产品应用和二次开发能力，大大推动教育信息化的应用水平？1.3教育城域网建设的应用形态对一个城市的教育信息网就是要构建一个学校、区县教委（教育局）、市教委三级教育信息网络系统。形成辐射全市各区县和所有中小学的、面向社会开放的、具有现代远程教学功能、教育信息资源功能以及教育教学管理信息交换功能、实现高带宽传输的城市教育信息化网络系统。使其能为全市的中小学校、职业技术学校、各类成人教育培训机构提供综合的教育信息服务，从而促进学校教育、成人教育、职业技术教育、家庭教育、社会教育和远程教育的发展，加速教育现代化的进程。城市教育信息网络系统规划如下：（1）、建立城市教育信息网络系统中心站点将国家、省和当地教育方针、政策和其他相关信息及时放在中心站点上向全市所有的中小学校发布。每个学校、教师、学生和家长可以通过浏览中心网站了解教育方面的各种信息。（2）、一个地方教育行业性门户站点教育网络中心通过各种方式与教育局下属的各所中小学校相连接，以VNP的方式组成一个全市范围的城域网络。中心网站的主页上加入全国各地其他教育相关网站的链接，使教师学生方便的访问这些网站以获得所需资料。（3）、城市教育系统的管理信息化教育信息网络中心可以作为教委网络办公的中心，教委可通过网络中心集中管理有关学校基本数据，做到数据及时送达、汇总，降低下属学校的管理运行和维护成本，为全市教育规划提供准备的数据，极大的促进整个城市教育信息化的进程。（4）、实现城市区域内教育信息的共享在各中小学逐步建立校园网的基础上，以教育信息网络中心为核心建立城域网络，将各所中小学校的教学资源合并共享。各所学校可以通过网络交流从而发挥各校的优势，或从网络中心获得各类图文、语言、视频和课件等多媒体素材，通过著名老师的网上教学等方式提高全市的整体教育水平。（5）、为所属学校教师、学生及学生家长提供在线交流教育信息网将开通E-mail、BBS、电子公告板等服务，方便各学校教师、学生及其家长通过这个城域网进行在线交流。（6）、为学生提供学习Internet的良好环境，提高全市学生的综合素质（7）、提供远程教育服务通过城市教育信息网提供远程教育，为住在相对贫困地区的学生提供平等的受教育机会，从而提高教学工作质量及效率。1.4城域网的建设目标与价值1.4.1教育城域网建设目标建议在城域教育网的建设当中，各地教育行政部门要结合当地中小学普及信息技术教育的实施规划，从实际出发，积极稳妥发展，统一规划好城域网的建设工作，由各级分步实施，以保证标准的统一性和软件的兼容性。采用以教学和管理应用为核心、软硬件并重的建设模式，因地制宜，考虑当地的实际需要和经济条件，以满足教育管理、教学的需要为根本出发点，贯彻“统一规划、分步实施、逐步完善”的原则、重点实现五个方面的建设目标：教育局信息管理中心的建设地点设在教育局，为教育行政管理提供软硬件基础设施，教委信息网络中心是教育城域网主干节点之一，也要担负起各种管理上的职能。要使它成为五个中心：网络管理中心、管理信息中心、教育资源中心、信息技术培训中心、远程教育中心。建设教育门户站点作为教育门户网站，目标是要建设一个全面的教育信息港，要对下级教育行政机构、各级学校、广大人民群众提供综合性的教育信息服务。将国家、省和当地教育方针、政策和其他相关信息及时放在中心站点上向所有的中小学校发布。每个学校、教师、学生和家长可以通过浏览中心网站了解教育方面的各种信息。同时通过教学系统和资源系统将教委和下属所有学校整合起来，根据各自的优势按学科类别及学校类别建立统一的全方位的虚拟校园，从幼儿园到成人教育，针对用户的各种需求，提供完整的教育解决方案。真正推动全市的教育普及，提高全民的教育热情，最终实现全民的终身教育措施。教育网络中心通过各种方式与教育局下属的各所中小学校相连接，如：以VPN的方式组成一个城域网络。中心网站的主页上加入全国各地其他教育相关网站的链接，使教师学生方便的访问这些网站以获得所需资料。教育城域网将开通E-mail、BBS、电子公告板等服务，方便各学校教师、学生及其家长通过这个城域网进行在线交流。并将包含虚拟教育局、虚拟网校教师服务中心、下载中心、网络导航和后台管理系统等多种社区功能。建设教育局管理系统在利用计算机网络为各科室提供日常办公管理环境的同时为各单位提供管理数据的工作流，将管理流程的概念通过工作流在各相关单位或部门间的流转得以实现，不仅逐步实现教育系统全程无纸化办公，同时实现管理流程网络化，在对学生的管理中逐步引入电子学籍概念，并在更大范围内推广使用。系统主要体现面向系统管理员、授权用户、普通用户，包括教职工管理、下属学校学籍管理、考试中心管理、德育管理等多个子系统，涵盖教育管理职能的方方面面。教育系统是一个复杂的机构，在现有管理状况下，要花费很多的劳动力，而且对于数据信息的管理、查询等相对比较复杂。教育局管理系统将日常工作、各种业务流程通过建立新的管理模式以网络化的形式进行规范，各种信息资源在教育局建立统一完整的数据库，所有教育局职能部门和下属学校都可以共享使用信息。管理信息化在一定程度上就市管理科学化，目标就是让所有的资源，包括人、财、物，充分发挥应有的价值，给决策层进行综合比较的空间，起到辅助决策的作用。同时，在工作中摒弃报表、数据统计中多次重复录入、计算的烦杂劳动，统一共享使用教育局数据库。教育行政管理系统采用模块化设计，采取用户授权机制，确保管理系统的安全可靠。在实际工作中使用者可以按照自己的工作情况自行定义流程、报表、数据等，方便用户应用。建设教育资源管理系统与教育资源中心作为资源库，包括多媒体素材库、课件库、题库、电教教材库、教研资料库、工具软件库、图书资料库几大类。它支持着教学系统和网站，资源库包括独立的资源库管理系统，支持教师和学生通过浏览器上载、浏览、检索、下载资源；支持资源的远程评审；支持管理员对资源库的批量录入、删除、修改和调整；支持电子商务功能；支持对资源利用率的统计分析；支持用户管理；在各中小学逐步建立校园网的基础上，以教育城域网络中心为核心建立城域网络，将各所中小学校的教学资源合并共享。各所学校可以通过网络交流从而发挥各校的优势，或从网络中心获得各类图文、语言、视频和课件等多媒体素材，通过著名老师的网上教学等方式提高整体教育水平。教育主管部门组织各校共同建设教育城域网学科群网上资源，以实现真正意义上的资源共享，加强各科室合作，共同建设网上资源，网管中心与教研室合作共同建设网上教研基地，与电教站合作建设网上图片、音像资源库。各学校在网站建设上在共同建设教育城域网学科群资源内容共识的基础上，也可以保持自身个性发展，建设有特色的科研内容，如教研专题，互动社区等。建设远程教学系统在教学方面，由于Internet具有影响范围广，能够方便快捷的传递信息，具有近乎实时的交互性，本身又是一个巨大无比的信息库等诸多优点。利用Internet作为远距离教育的新型手段，为我们解决传统远距离教育模式中存在的问题带来了希望。通过教委中心网站和资源库相结合，采用智能网上教学方式，实现虚拟校园，并根据学生和老师的不同需求特点，分别提供面向学生的虚拟网校和教师服务中心两种社区子系统。利用Internet来进行网络教学，与传统远距离教育模式相比，必然存在着很大的优势：A．极大的增强教师和学生、学生和学生之间的交互性打破了教师和学生、学生和学生之间的相对孤立状态。这种交互性是近乎实时的、而且可以利用多种渠道实现，比如：电子邮件，BBS，WWW，基于网络的协作学习系统，实现在线跨区域的网上教与学。2．学习的异步性利用网络进行远距离教育，可全天24小时进行，每个学员都可以根据自己的实际情况来确定学习时间、内容和进度，可随时在网上进行学习或下载相关学习内容，在学习过程中可随时向老师和其他同学请教。C．学习信息的广泛性网络同多媒体技术、虚拟现实技术相结合，可实现虚拟图书馆、虚拟实验室、虚拟课堂等；可为学生提供多层次、全方位的学习资源，可引导学生由被动式学习向主动式学习转变。D．评价的及时性在传统的远距离教育中，对学生进行评价是件非常困难的事，要耗费大量的人力和物力，而学习过程中的形成性评价是提高学习效率的有效途径。通过网络上的电子题库和自动评价系统，可使学生及时得到有关自己学习过程的反馈及有针对性的诊断，使得学生能够及时调整自己的学习。远程教学系统应实现的主要功能：教育、教学资源的管理功能，它可以将各个学校最具优势的教学资源集中在一起进行管理，并向各级教育管理、教学机构开放，使得教育信息资源得到最大范围的共享，从而发挥出最大的经济效益。教务管理，系统通过对学生的学籍等各种信息进行管理，实现网上教务管理功能，对远程教学的实现提供支持。课件制作，系统提供网络课件制作工具，方便学生教师进行课件制作，共享资源。教学功能，在该系统支持下，可以在网上开展各种学科的远程教学工作，学生通过浏览在先进学习理论指导下组织的网络学习材料，并在探索或协作式学习策略指导下进行学习，系统还可对学生的学习情况进行诊断与测试。1.5教育城域网的应用价值教育城域网的建设对于加快本地区教育信息化的步伐，以信息化带动教育的现代化，全面提高教育管理水平和教学水平有深远的意义。教育城域网的建设能推动以学生为中心的教学改革实践和信息化平台上的基础教育实验，更好地培养适应信息社会生存和发展需要的合格公民，从而达到“教会一个学生、带动一个家庭、推动整个社会”的目的。教育城域网建设是一个大型综合性的教育信息化项目，其建设目标是区域性的教育信息港。教育城域网应用平台一般包括网络教学平台、网络教育资源平台、网络交流通信平台、网络教育管理平台等，通过这些教育应用平台，应能做到四个方面的服务，这也是教育城域网应用价值所在：为教育管理人员服务，使他们能够充分利用网络化办公环境，快速便捷地处理大量的教育信息，提高工作效率和管理水平，减轻工作强度。为教学人员服务，不仅为他们提供与外界沟通的通信环境，而且为他们提供一个网络备课授课的平台、资源共建共享的平台，使他们在更大范围内共享思想与资源，从而提高教学质量与教学水平。为学生服务，使他们在网络支持下，以全新的学习模式与学习手段来学习学科教师精心准备的教学材料，或进行基于网络的自主式、协作式、研究探索式的学习，从而全面提高其自身素质与能力。为家长服务，通过网络，架设起学校和家庭之间的沟通桥梁，便于家长及时了解学生在学校里的表现，学校及时从家长处得到反馈信息。学校、教师、家长一道共同参与，通过网络促进学校教育和家庭教育的结合。支持新课程改革。新课程形态的建立和新课程计划的实施使教育模式面临着根本改变，教学方式和学习方式都将因为新课程改革的实施而发生变化。理念上的变化表现在从过于注重知识讲授向倡导全面、和谐发展转变；从过于强调接受学习向倡导建构的学习转变；从过于注重书本知识的结论向关注学生学习兴趣、经验和能力转变；从以教师为中心向师生互动转变；从统一规格的教学模式向个性化、多元化教学模式转变；从单一化评价模式向多元化评价模式转变。在这些转变过程中，教育城域网作为信息技术综合运用的载体为跨学科的合作教学提供了前所未有的可能性：学生按既定的教学目标，综合运用教育城域网提供的强大的资源等工具，利用网络查找、选择、下载最新的信息资料，并通过网络进行广泛交流。学生们尽显个性特长，表观出很强的求知欲，感受和分享各自的成功。充分体现“以人为本”在素质教育实施过程中的指导思想地位，响应第三次全国教育工作会议强调的“深化教育改革，全面推进素质教育”的倡导，实现新课程改革的根本目标。、网络的应用教育城域网要求完全建成以后能实现除现在网络上的一般功能：如E-mail、FTP、网络论坛、网络图书馆、搜索引擎、网上聊天、管理数据的传输、处理与查询外，还应包括视频点播（VOD）、实时远程教学、网络学校、电视会议、网络电话（IP电话）等功能，是一个高速多媒体互联网，实现整个教育系统的资源共享，做到网内设备全区的学校都能共享。网络业务的设想为：●Web服务：学生可以通过Web浏览的方式在线学习；●FTP服务：教师可通过FTP服务器下载或上载课件资料；●电子邮件服务：教师以及学生之间可通过E-mail方式交流信息；●视频点播服务（VOD）：学生可以通过视频点播的方式随时观看以前教师授课影像；●网络直播：教师授课的现场影像可以通过IP网络实时发送到各个客户端,实现网络教学的功能。这些影像还可同时备存储下来,以便日后学生通过视频点播方式再次观看；●远程办公：我们可以实现远程对教育网内的关键资料和关键应用的安全访问；●视频会议：由于神州系列交换机所支持的QoS能力可以对视频等的实时业务提供优先级和带宽保障,整个网络系统可以提供对视频会议的良好支持。教师通过该系统可以在不走出办公室的情况下进行全区的可视会议；●网络电话：为了充分利用线路/端口资源,在网内部实现IP电话是一个经济有效的方法。只要通过添加IP语音网管就可实现网内以及对外的话音通讯。神州数码公司系列交换机所支持的QoS能力可以对语音等的实时业务提供优先级和带宽保障,整个网络系统可以提供对IP电话的良好支持。2.1用户面临的困难●工作方式的转变办公思路的转变、无纸办公的介入、计算机使用的普及、应用软件的使用、网络技术常用化等等问题将会随着教育网络的建成而突现出来。习惯了传统工作方式的老师们将面临巨大的挑战。网络管理的困难教育城域网络既有单一专用网的集中性，又具备了多个LAN连接的发散性。所以如何做到统一、集中、有效的网络管理，将是唐山市教育信息网络中心的网络管理员面临的最大困难。●维护的困难从中国的现状来看，要做到每个学校都有一个专职的网络管理员维护网络，还需要一段时间。●对现有的技术不知如何综合利用面对如此庞杂的网络技术，如何有效的将这些技术融合在一起，为所有教育城域网的用户提供优良的服务质量，可能是负责人经常考虑的问题。2.2如何解决困难●在项目实施方（网络设备的厂商和集成商、软件的厂商等）的协助下，开展有效的培训工作●选择中文界面、实用、操作简便、功能强大的网络管理工具现在大多数厂商仅提供世界通用的语言-英语，来编写网络管理软件。但是对于中国来说，语言一直是充分利用国外工具功能的最大敌人。选择有强大服务体系的厂商现在，产品并不是用户唯一关注的焦点。服务，也被越来越多的用户所重视。、数据中心网络的总体设计3.1概述目前一般是将教育城域网划分为核心层、汇接层和接入层，对于教育城域网，由于接入线路由电信提供，核心层与汇接层可以合在一起，以简化网络体系，并且利于用户的投资保护。我们采用分层方法，将城域网络分成核心层、汇聚层和服务器接入层3个层次。在系统建设中，网络系统建设将遵循以下原则进行系统的规划、分析、设计、开发、维护和项目的管理。3.2系统设计原则3.2.1先进性原则采用当今国内、国际上最先进和成熟的计算机软硬件技术，使新建立的系统能够最大限度地适应今后技术发展变化和业务发展变化的需要，从目前国内发展来看，系统总体设计的先进性原则主要体现在以下几个方面：●采用的系统结构应当是先进的、开放的体系结构；●采用的计算机技术应当是先进的，如双机热备份技术、双机互为备份技术、共享阵列盘技术、容错技术、RAID技术等集成技术、多媒体技术；●采用先进的网络技术，如网络交换技术、网管技术，通过智能化的网络设备及网管软件实现对计算机网络系统的有效管理与控制，实时监控网络运行情况，及时排除网络故障，及时调整和平衡网上信息流量；●先进的现代管理技术，以保证系统的科学性。3.2.2实用性原则实用性就是能够最大限度地满足实际工作要求，是每个信息系统在建设过程中所必须考虑的一种系统性能，它是自动化系统对用户最基本的承诺，所以，从实际应用的角度来看，这个性能更加重要，为了提高办公自动化和管理信息系统中系统的实用性，应该考虑如下几个方面：●系统总体设计要充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性，把满足用户业务管理作为第一要素进行考虑；●采取总体设计、分步实施的技术方案，在总体设计的前提下，系统实施中可首先进行业务处理层及管理中的低层管理，稳步向中高层管理及全面自动化过渡，这样做可以使系统始终与用户的实际需求紧密连在一起，不但增加了系统的实用性，而且可使系统建设保持很好的连贯性；●全部人机操作设计均应充分考虑不同用户的实际需要；●用户接口及界面设计将充分考虑人体结构特征及视觉特征进行优化设计，界面尽可能美观大方，操作简便实用。3.2.3可扩充、可维护性原则根据软件工程的理论，系统维护在整个软件的生命周期中所占比重是最大的，因此，提高系统的可扩充性和可维护性是提高管理信息系统性能的必备手段，建议做法如下：●以参数化方式设置系统管理硬件设备的配置、删减、扩充、端口设置等，系统地管理软件平台，系统地管理并配置应用软件；●应用软件采用的结构和程序模块化构造，要充分考虑使之获得较好的可维护性和可移植性，即可以根据需要修改某个模块、增加新的功能以及重组系统的结构以达到程序可重用的目的；●数据存储结构设计在充分考虑其合理、规范的基础上，同时具有可维护性，对数据库表的修改维护可以在很短的时间内完成；●系统部分功能考虑采用参数定义及生成方式以保证其具备普通适应性；●部分功能采用多神处理选择模块以适应管理模块的变更；●系统提供通用报表及模块管理组装工具，以支持新的应用。3.2.4安全保密原则一个用户的数据相当一部分就是该用户的用户秘密，尤其是教育行业的一些机要文件、学生档案等，是绝对重要的数据，因此安全保密性对办公自动化系统显得尤其重要，系统的总体设计必须充分考虑这一点。服务器操作系统平台最好基于Unix、NT、OS2等，数据库可以选Informix、Oracle、Sybase、DB2等，这样可以使系统处于C2安全级基础之上。采用操作权限控制、设备钥匙、密码控制、系统日志监督、数据更新严格凭证等多种手段防止系统数据被窃取和纂改。3.2.5可靠性原则一个中大型计算机系统每天处理数据量一般都较大，系统每个时刻都要采集大量的数据，并进行处理，因此，任一时刻的系统故障都有可能给用户带来不可估量的损失，这就要求系统具有高度的可靠性。提高系统可靠性的方法很多，一般的做法如下：●采用具有容错功能的服务器及网络设备，选用双机备份、Cluster技术的硬件设备配置方案，出现故障时能够迅速恢复并有适当的应急措施；●每台设备均考虑可离线应急操作，设备间可相互替代；●采用数据备份恢复、数据日志、故障处理等系统故障对策功能；●采用网络管理、严格的系统运行控制等系统监控功能。3.2.6经济性原则在满足系统需求的前提下，应尽可能选用价格便宜的设备，以便节省投资，即选用性能价格比优的设备。总之，以较低成本来完成计算机网络的建设。

3.4网络规划网络设计上要求高带宽、高可靠性、高可扩展性。此次设计遵循网络拓朴结构层次化的总体设计，网络拓朴结构主要由核心层和接入层组成。各层面设备要求能提供各种网络控制，具体是：一、构建多个虚拟网络教育局的网络按学校被虚拟成多个虚拟网络，并可根据需求增加新的虚拟网络。不同的虚拟网络之间是不可以直接访问的，一个虚拟网络必须经过中心交换机才可以访问其他虚拟网络的电脑。二、网络资源访问控制在中心交换机上，可以根据需要开通相应的访问权限。三、上网行为管理优化上网行为，提高上网安全。以上设计的优点主要有：(1)可扩展性，网络可模块化增长而不会遇到问题；(2)简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；(3)设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；(4)可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。3.5网络拓扑图3.6、设备选型考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，建议配置一台千兆核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层连接起来，进行数据高速转发。用户数据通过汇聚层上行到核心层，通过核心网获取所需业务。核心交换机：根据需求我们选用神州数码的DCN6804E交换机作为网络的核心设备，背板带宽4.8Tbps，包转发率：1786Mpps/3572Mpps。它是一款部署于企业核心的高新能交换机，在核心网络中的性能、IP服务，冗余性和故障弹性十分重要。DCRS-6804E系列是DCN以业务智能化为核心理念的多业务万兆路由交换机。该产品具备成熟的IPv6特性、线速MPLSL2/L3VPN功能、多平面分离的高可靠性设计、高性能的L2/L3交换、丰富精细的QoS策略、强大的融合业务支持、整合安全特性。它能够帮助用户切实提升商务效率和业务竞争力。DCRS-6804E系列可作为园区网、城域网的关键设备之一，它不仅能够降低用户构建下一代网络的复杂性，而且提供了很好的投资保护。汇聚层交换机：根据需求我们选用神州数码S5750E-SI交换机作为网络的汇聚层设备，交换容量：256Gbps包转发率：96Mbps。S5750E-SI系列交换机是神州数码网络公司推出的新一代绿色智能安全接入交换机，支持双链路冗余备份，具备先进的绿色环保技术，实现万兆高带宽虚拟化扩展，为用户提供高性能、易管理、低成本的千兆到桌面的解决方案。上网行为管理设备：上网行为管理设备选用sangfor公司的深信服上网行为管理AC-H4700。它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员，各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情况，及对网络所造成的影响，尽在掌握。本产品是全方位的网络内容安全解决方案，具有WEB、IM、P2P、FTP等应用层(LAYER7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到应用层，以提供网络内容安全的纵衡防御服务。它可以对不当信息拦截防护、策略管理、统计报表、流量控管...等多种管理功能，特别有助于对网络的使用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护。它能协助企业进行网络有效管理，提升网络资源的使用效益！防火墙设备：深信服下一代防火墙AF2020防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。防火墙就像城墙，对进出防火墙的一切数据包进行检查，保证合法数据包能够进入网络访问合法资源同时防止非法人员通过非法手段进入网络或干扰网络的正常运行。随着时代的变迁，曾经如城墙般稳固的传统防火墙已黯然失色，失去了它原有的防御能力。面对网络的高速发展、应用不断增多的时代，逐渐被新的继任者重新定义了“防火墙”。深信服下一代应用防火墙（NGAF）产品采用单次解析架构，结合多核并行处理技术，对数据包进行一次拆包、一次解析，极大提高了NGAF的应用层性能，相对于多数UTM仅有几百兆到1G的应用层性能来说，NGAF实现10G的应用层吞吐能力更能满足用户对高性能场景的需求。设备选型介绍核心交换机项目DCRS-6804E插槽4背板带宽4.8Tbps交换容量2.4Tbps/4.8Tbps包转发速率1786Mpps/3572MppsVLAN表项4K

二层协议规范IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z（1000BASE-X）、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.1Q(VLAN)、IEEE802.3ak(10GBASE-CX4)、IEEEE802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(PortControl)、IEEE802.3x（流控）、IEEE802.3ad(LACP)、PortMirror、RSPAN、ULDP、LLDP、IGMPSnooping、QinQ、灵活QinQ、GVRP,VLAN,PVLAN,、VOICEVLAN、ProtocolVlan、MulticastVLAN、MacVlan、广播风暴控制三层协议规范(IPv4)支持ARP、ARPProxy、arp限速、arp重认证、免费ARP支持DNSclient支持StaticRouting、RIPv1/V2、OSPFv2、BGP4等多种单播路由协议支持OSPF不同进程之间的路由相互引入支持LPMRouting、支持Policy-basedRouting(PBR)支持VRRP、URPF、黑洞路由支持ECMP等价负载均衡支持IGMPv1/2/3、DVMRP、PIM-DM、PIM-SM、PIM-SSM、IGMPProxy、anycast(泛播)RP、MSDP、静态组播路由、边界组播路由等。增强扩展支持内嵌式防火墙板卡、IDS/IPS、IPSecVPN、负载均衡等模块支持OpenFlow1.3标准板卡支持无线控制器、内容交换服务、网络分析等硬件模块Free-Resourse支持IPv6支持ICMPv6、ND、DNSv6支持IPv6LPMRouting、支持IPv6Policy-basedRouting(PBR)支持IPv6VRRPv3、IPv6URPF、IPv6安全RA、IPv6黑洞路由支持RIPng、OSPFv3、BGP4+等单播路由协议支持6to4Tunnel、configuredTunnel、ISATAPTunnel、GRETunnel等支持MLDSnooping、IPv6MuticastVLAN支持MLDv1/v2,、PIM-SM/DMforIPv6、IPv6anycast(泛播)RP、IPv6静态组播路由、IPv6边界组播、IPv6组播隧道等支持IPv6ACL、IPv6QOS增强ARP/NDP安全功能支持防ARP/NDP欺骗、防ARP/NDP扫描MPLS支持LDP、VPLS、MPLS、MPLSVPN、MPLSTE、访问公网技术QoS完全硬件实现，不影响性能每端口8个队列。支持SP、WRR、SWRR等队列调度算法支持基于802.1p、ToS、端口、DiffServ进行流量分类支持采用ACL进行流量分类，根据分类结果设置COS,TOS,DSCP，根据ACL-X的80个字节高层内容进行流量分类支持SP、WRR、SWRR等，为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持TrafficShapping（流量整形）、支持优先级Mark/RemarkACL完全硬件线速实现，不影响转发性能支持标准和扩展ACL支持IPACL、基于IP子网的ACL、MACACL、IP-MACACL、VLANACL支持基于源/目的IP或MAC、三层IP协议类型、TCP/UDP四层端口号、IP优先级(DSCP、ToS、Precedence)、基于VLAN、Tag/Untag、CoS等支持基于ACL的REDIRECT，基于ACL的流统计ACL-X支持基于时间自动改变安全策略ACL的深度内容可被用于QoS分类的标准，深度可达80字节DCSCMv4/v6支持IPv4/IPv6组播信源控制，防止非法组播源支持IPv4/IPv6组播用户可控支持IPv4/IPv6策略组播端口功能支持MAC+端口捆绑、IP+MAC＋端口绑定、IP+端口绑定，支持MAC过滤支持端口限速（带宽管理）支持端口环路检测支持端口镜像（CPU端口镜像、进或者出单向/双向，一对一，多对一，跨板，远程镜像等）支持流控：HOL防头包阻塞，半双工背压，全双工IEEE802.3x支持端口聚合IEEE802.3ad（LACP），支持端到端GEC/FEC，支持负载均衡DHCPv4/v6支持IPv4/IPv6DHCPClient、IPv4/IPv6DHCPRelay、IPv4/IPv6DHCPSnooping内置IPv4/IPv6DHCPServer、DHCPOption82安全接入支持IEEE802.1x、支持DCSMAAA认证支持IPv4/IPv6RADIUS

安全的配置管理支持IPv4/IPv6的syslog支持IPv4/IPv6的HTTP和SSL的结合支持IPv4/IPv6的SNMP的用户IP安全检查支持MIB和TRAP支持IPv4/IPv6FTP/TFTP支持IPv4/IPv6NTP支持RMOM1，2，3，9四组支持IPv4/IPv6的telnet用户名和密码的radius认证支持IPv4/IPv6的SSH支持用户权限设置可以采用radius服务器的shell管理支持可根据需要定时重启功能。流量监控

支持IPFIX流量监控标准，支持1：1的流量采集支持SFlow流量分析功能，可以实现基于协议或地址的流量监控和统计异常监测和故障检查功能任务异常、内存异常、CPU利用率、堆栈异常、交换芯片异常、板卡温度异常等监测，并告警集中网管软件可以采用DCNLinkManager软件统一管理

物理尺寸(宽深高)440mm×421mm×266mm436mm×478mm×797mm相对湿度10%～90%无凝结运行温度0°C～40°C电源交流：输入110~240V，50~60Hz；直流：输入-36V~-72V；输出12V/25A，5V/10A交流：输入110~240V，50~60Hz；直流：输入-36V~-72V；输出12V/25A，5V/10A接入交换机技术规范项目S5750E-28P-SI端口24个10/100/1000M电口+4个SFP端口交换容量256G包转发率96MbpsVLAN特性支持Port-basedVLAN支持IEEE802.1QVLAN支持privateVLAN支持ProtocolVLAN支持VoiceVLAN支持MACVLAN支持普通QinQ支持选择性QinQ支持灵活QinQ支持VLANTranslation支持N:1VLANTranslationDHCP支持IPv4/IPv6DHCPClient、IPv4/IPv6DHCPRelay支持Option82、Option37/38支持IPv4/IPv6DHCPSnooping、IPv4/IPv6DHCPServer可靠性支持STP，RSTP，MSTP支持多进程MSTP*支持LACP负载均衡支持VRRP支持EMVTE（ULPP+ULSM）和MRPP支持G.8032标准环网协议支持Loopbackdetection、VCT、DDM支持断电告警Dyinggasp功能支持ULDP（实现CiscoUDLD同样功能）安全性支持端口限速支持基于报文和字节数的广播风暴控制支持端口/MAC绑定、MAC过滤支持基于端口和基于VLAN的MAC数量限制支持防ARP欺骗、防ARP扫描、ARP绑定支持DHCPSnooping、NDSnooping支持DAI支持标准IEEE802.1x、扩展IEEE802.1x、WebPortal支持TACACS+路由支持IPv4/IPv6静态路由组播支持IGMPv1/v2/v3snooping、IGMPFastleave支持MLDv1/v2snooping支持组播VLAN、IPv4/IPv6DCSCMQoS支持基于ACL流、VLANID、COS、TOS、DSCP、IPv6FlowLabel的流分类支持聚合PolicyMap支持基于端口和基于VLAN的PolicyMap绑定支持单速单桶双色、单速双桶三色、双速双桶三色监管支持DSCP、COS/802.1p优先级、TOS等字段重写支持每端口8个队列支持SP、WRR、SWRR、DWRR队列调度算法ACL支持IPACL，基于源/目的IP、IP协议类型、IP优先级、TCP/UDP源和目的端口号等字段进行匹配支持MACACL，基于源/目的MAC、VLANID、COS等字段进行报文匹配支持IP+MAC组合ACL支持自定义ACL*支持根据时间段生效ACL支持基于端口和基于VLAN的ACL绑定支持基于ACL的重定向支持根据ACL匹配情况执行流量统计分析功能管理运维支持CLI支持以太网管口支持IPv4/IPv6HTTP支持IPv4/IPv6FTP/TFTP支持IPv4/IPv6SNTP/NTP支持IPv4/IPv6的telnet用户名和密码的radius认证支持IPv4/IPv6的SSH支持SecurityIP安全网管功能支持IPv4/IPv6的syslog支持SNMPv1/v2c/v3支持MIB接口，支持Trap支持RMON1，2，3，9四组支持双IMG和多配置文件支持LLDP支持端口镜像、CPU镜像、RSPAN以及ERSPAN支持sFlow流量监控支持Reset一键还原支持零接触配置*支持Openflow1.0*支持IEEE1588时间同步*支持InformationCentor*支持OAM节能环保支持802.3az能效以太网EEE支持风扇自动调速、温度告警支持LEDShut-off物理尺寸（宽×深×高）442.9mm*230.2mm*44mm442mmx280mmx43.6mm442mmx330mmx43.6mm442mmx330mmx44mm工作环境相对湿度10%～90%，无凝结工作环境温度-5°C～50°C存储环境温度-40°C～70°C额定电源输入90～264VAC，47～63Hz系统功耗＜20W＜23W<37W<37W非PoE部分<=30WPoE部分<=390W

PoE+输出功率NANANANA370WNA防火墙技术指标指标要求接口具备至少8个10/100/1000Base-T千兆电口,具备至少2个千兆光口，为标准2U设备，支持故障时3路Bypass功能。性能三层性能≥16Gbps，并发连接数≥2,500,000，新建连接数≥140000。网络特性支持路由，网桥，单臂，旁路，虚拟网线以及混合部署方式。支持链路聚合，上下行接口联动，802.1QVLANTrunk、access接口，子接口。支持静态路由，动态路由支持RIP，OSPF，支持基于5元组和应用类型的策略路由。防火墙支持基于八元组的访问控制规则，八元组包括源／目的IP，源／目的端口，源／目的区域，用户（组），应用类型，服务类型；应用识别支持的应用类型超过1000种，应用识别规则总数超过2800条；（提供截图证明）支持Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing攻击防护、支持SYNFlood、ICMPFlood、UDPFlood、DNSFlood、ARPFlood攻击防护，支持IP地址扫描，端口扫描防护，支持ARP欺骗防护功能、支持IP协议异常报文检测和TCP协议异常报文检测；支持IPv4／v6NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换，支持针对源IP或者目的IP进行连接数控制；支持基于应用类型的策略路由应用引流；支持多线路链路负载；支持基于应用类型，网站类型，文件类型进行带宽分配和流控；支持URL过滤和文件过滤功能，URL过滤支持GET，POST请求过滤和HTTPS网站过滤，文件过滤支持文件上传和下载过滤；支持IPSecVPN，SSLVPN；★支持安全防护策略智能联动，可智能生成临时规则封锁攻击源IP，临时封锁时间可自定义；（需提供截图证明并加盖厂商公章）威胁检测特征库★支持独立的病毒库、漏洞特征库、WEB应用防护库、数据泄密防护库，僵尸网络识别库，恶意链接库，实时漏洞分析识别库。并且支持在线自动升级。（以上内容必须提供详细操作界面截图并加盖厂商公章）。Web攻击特征库/IPS特征库应每月至少更新两次（要求提供官网最近1年内的截图证明）APT攻击防护（高级威胁防护）★支持对客户端／服务器是否被种植了远控木马或者其他病毒，恶意软件从而形成僵尸主机进行检测，僵尸主机识别特征总数在30万条以上；（需提供截图证明并加盖厂商公章）★支持异常连接检测，对21，22，25，53，69，80/8080，110，143，443等常见端口的协议异常流量检测，并支持RDP和SSH端口反弹链接检测；（需提供截图证明并加盖厂商公章）★支持恶意链接检测功能，内置恶意链接地址库，对于可疑的地址链接，设备能够同云端安全分析引擎进行联动，可疑威胁行为在云端进行沙盒执行检测并返回行为分析报告；（需提供设备分析报告并加盖厂商公章）服务器防护支持OWASP十大Web安全威胁防护，支持SQL注入防护、XSS攻击防护、CSRF攻击防护、系统命令注入防护，文件包含攻击，目录遍历攻击，信息泄露，恶意爬虫，网站扫描，Webshell防护等，具备独立的Web应用防护规则库，Web应用防护规则总数在2800条以上；（需提供截图证明并加盖厂商公章）★支持对常见Web建站内容管理系统的防护，所支持的CMS类型数量不少20种，如dedecms，phpcms，phpwind，Empirecms，discuz，wordpress，joomla等；（需提供截图证明并加盖厂商公章）★提供针对关键URL或者其他非Web关键服务的短信强认证机制；（要求提供三种以上服务的短信认证配置截图）支持HTTP应用信息隐藏，可自定义需要隐藏信息的HTTP响应参数字段，支持替换服务器出错和请求出错响应页面，支持FTP应用服务器信息、软件版本信息隐藏；★支持Web登录密码明文传输检测和弱口令防护，支持针对Web页面和ftp的口令暴力破解防护；（需提供截图证明并加盖厂商公章）支持敏感数据防泄密功能，内置预定义的敏感信息类型，如银行卡号、邮箱、身份证、手机号码、MD5等，支持敏感信息自定义，支持根据文件类型进行敏感文件下载过滤；★支持Web漏洞扫描功能，可扫描WEB网站SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；（需提供截图证明并加盖厂商公章）支持asp/aspx/php/jsp等主流webshell后门扫描功能；（需提供扫描工具）支持Php常见sql注入、xss跨站脚本、命令执行、文件包含等脚本漏洞白盒审计功能，显示出具体漏洞类型、存在问题代码所在行数（需要提供截图并加盖厂商公章）入侵防护漏洞防护支持防护的类型包括：Activex插件漏洞，邮件系统漏洞，backdoor漏洞，tftp／ftp服务器漏洞，操作系统漏洞，telnet漏洞，Web浏览器漏洞，网络设备漏洞，木马远控漏洞，应用程序漏洞，文件类型漏洞；漏洞规则特征库数量在3500条以上；（需提供截图证明并加盖厂商公章）具备云分析引擎，支持设备同云分析引擎进行联动；支持区分针对客户端和服务端的漏洞保护；★支持针对服务器的漏洞风险评估功能，支持对ftp、mysql、oracle、mssql、ssh、RDP、NetBIOS、VNC等应用的弱密码扫描，扫描完成后生成安全风险评估报告；(为了保障与防火墙之间智能联动，要求漏洞风险评估非第三方软件产品)★风险评估可以实现与入侵防护策略和访问控制策略的智能联动，一键自动生成防护策略；病毒防护支持对HTTP，FTP，SMTP，POP3协议进行病毒文件检测；病毒库具备的内置病毒特征数量超过1000万；支持对常见压缩文件格式的检测，如zip，rar，7z等；支持杀毒文件类型自定义；支持杀毒白名单功能，可以根据URL或者IP进行排除不检测病毒；检测到病毒后的操作支持阻断，记录杀毒日志；网页篡改防护支持网关型网页防篡改，无需在服务器中安装任何插件；动态网页/静态网页支持，全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改；业务管理与安全管理分离，支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容；篡改防护效果，支持通过替换、重定向等技术手段，防护篡改页面；报警方式，支持短信报警、邮件报警、控制台报警等多种篡改报警方式；安全可视化★支持对经过设备的流量进行分析，发现被保护对象存在的漏洞（非主动扫描），并根据被保护对象发现漏洞数量进行TOP10排名，列出每个服务器发现的漏洞类型以及数量，支持生成和导出威胁报告，报告内容包含对整体发现的漏洞情况进行分析；（提供威胁报告并加盖厂商公章）★提供安全报表，报表内容体现被保护对象发现漏洞情况以及遭受到攻击的漏洞统计，可以查看到有效攻击行为次数和攻击趋势；（提供安全报表并加盖厂商公章）支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表；支持每天/每周/每月自动生成报表，并将报表自动发送到指定邮箱，可以自定义报表内容；支持对指定IP自定义业务名称，在报表中可快速识别业务系统存在的漏洞威胁和遭受攻击情况；支持报表以HTML、Excel、PDF等格式导出；集中管控支持安全设备的集中管理，包括配置统一下发，规则库统一更新，安全日志，流量日志实时上报等功能；安全监控平台能够实时监控到各设备的当前的安全状况，设备安全状况可定时自动刷新；安全监控平台可以查看到每台安全设备最近的有效安全事件及最近一周／月的安全有效事件趋势图；支持对每台安全设备的最近一周／月的安全趋势进行安全状态分级；（分优、良、中、差四个等级）★通过安全监控平台可以看到每台安全设备的详细安全状态信息，包括安全评分级别、最近有效事件、有效事件趋势、用户安全统计、服务器安全统计和攻击来源统计；（需提供截图证明并加盖厂商公章）能够实时监控并显示全网安全设备最近发生的50次有效安全事件，并可以根据时间、类型、ip、设备名称等条件查询历史有效事件日志；可以分析出服务器上存在的漏洞，并统计针对已发现漏洞产生的所有攻击日志；支持对一周内发现的漏洞类型以及总数进行统计，并可以根据服务器发现漏洞数量进行排名；支持所有安全设备的安全日志汇总，并能够通过时间、类型、严重等级、动作、区域、ip、用户、特征/漏洞ID、回复状态码、域名/URL、设备名称等多个条件查询过滤日志；（需提供截图证明并加盖厂商公章）高可用性双机支持A/S，A/A方式部署，支持配置同步，会话同步和用户状态同步。厂商资质上网行为管理性能及配置要求吞吐量≥1.0Gb并发会话数≥1,000,000用户规模≥3000人设备接口6个千兆电口2个千兆光口1个RJ45串口硬盘≥250GBBYPASS支持电源冗余电源尺寸标准2U架构功能要求项目指标具体功能要求部署方式网关模式支持网关模式，支持NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；旁路模式支持旁路模式，无需更改网络配置，实现上网行为审计；多路桥接必须支持多路桥接功能，最多可支持四进四出四网桥模式；★多主模式必须支持两台及两台以上设备同时做主机的部署模式；网关管理管理界面支持SSL加密WEB方式、SSH命令行方式管理设备；分级管理不同用户组的管理权限支持分配给不同管理员；集中管理多台设备支持通过统一平台集中管理、集中配置等；被控设备加入统一平台必须支持以硬件证书验证身份；告警管理支持攻击、泄密告警，危险行为告警、邮件延迟审计告警等；关闭网管在网关重启操作中支持关闭网关。加密连接必须具有IPSecVPN远程加密访问和连接的模块，并能提供IPSecVPN客户端授权远程接入访问；（提供产品界面截图）排障工具提供图形化排障工具，便于管理员排查策略错误等故障；上网故障排除系统支持开启直通后，流量控制模块依然生效，避免全部数据直通导致线路流量过大；用户管理本地认证支持触发式WEB认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；支持ISA\lotusldap\novelldap\oracle、sqlserver、db2、mysql等数据库等第三方认证；★双因素认证必须支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持绑定IP认证、绑定MAC认证，及IP/MAC绑定认证等；支持通过SNMP服务器跨三层获取MAC地址；支持当用户MAC地址变动时，需要重新认证；★短信认证支持短信认证方式，用户输入手机号作为用户名，通过短信猫或短信平台发送验证码；短信认证能够根据不同用户推送不同认证页面，该认证页面可自定义，编辑内容包括文字、颜色风格、图片，且图片支持轮询播放（提供界面证明）新用户认证根据新用户的源IP网段实现新用户差异化账户创建、自动分组、认证规则；公用账户支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期指定账户支持有效期限制，并支持自动过期；单点登录支持AD、POP3、Proxy、PPPOE、H3CIMC/CAMS、锐捷SAM、城市热点等系统进行认证单点登录，简化用户操作；可强制指定用户、指定IP段的用户必须使用单点登录；强制AD认证指定用户必须用AD域账户登录操作系统，否则禁止上网；安全组嵌套同步支持AD安全组嵌套同步；★LDAP服务器的域对象的策略管理与同步主要目的是对已有的AC与LDAP服务器结合进行优化，便于客户实现策略管理在AC上进行，用户管理在域上进行，不需同步用户到本地组织结构中即可实现策略管理功能认证失败支持为认证失败用户提供基本网络访问权限机制；认证后页面跳转认证成功的用户支持页面跳转：跳转到用户原本输入的URL地址；跳转到管理员指定的URL地址；跳转到该用户上网信息排行页面；跳转到注销页面;帐户导入支持从本地导入和扫描导入，支持以CSV格式文件导入帐户/分组/IP/MAC/描述/密码等信息；支持从外部LDAP服务器导入账户及分组信息；组织结构用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查询支持用户登录时间、注销时间、在线时长的查询；自动注销支持自动注销指定时间内无流量的已认证用户；冻结用户支持冻结认证失败次数超过最大值的用户，在冻结时间结束后恢复登录；★用户密码强度可设置用户密码不能等于用户名；新密码不能与旧密码相同；可设置密码最小长度；可设置密码必须包括数字或字母或特殊字符；（提供产品界面截图）无线管理★有线无线统一的管理界面统一界面，能够直接查看到接入点状态、射频状态、无线网络状态、接入用户状态。（所有项提供产品界面截图）★内置无线控制器功能，直接管理AP1.支持配置开放式，WPA-PSK/WPA2-PSK（个人）、WPA/WPA2(企业)三种接入方式。2.对接入点支持配置工作模式、视频参数、负载均衡。3.支持入侵检测、Dos攻击防御，射频智能调整。4.支持多种日志，接入点日志，系统日志，安全日志，用户认证日志。5.支持实时显示接入点故障，并提供诊断工具下载。（所有项提供产品界面截图）★基于SSID的策略支持基于SSID维度的上网权限、上网审计、上网安全、终端提醒、和流控等策略。（所有项提供产品界面截图）终端管理★系统识别支持识别终端操作系统版本、系统补丁安装情况；（必须提供自主知识产权证明，加盖厂商公章）；文件识别支持识别终端硬盘指定目录下的文件情况；★进程识别支持识别终端系统后台运行的进程信息，防止间谍软件的运行；（必须提供自主知识产权证明，加盖厂商公章）；注册表识别支持识别终端系统注册表中指定的表项和键值；自定义识别支持终端调用管理员指定脚本/程序以满足个性化检查要求；终端准入支持win764位操作系统，支持在旁路模式部署下准入生效；支持禁止不满足终端检查要求的用户访问互联网；网页管理静态URL库设备内置海量预分类的URL地址库，支持根据URL类别实现URL过滤；★URL智能识别必须支持未知网页的自动识别与分类（提供产品界面截图）；必须支持根据用户训练的关键字、url、自动分类未知网页；★SSL加密网页识别并过滤SSL加密的钓鱼网站、金融购物网站、非法网站等（必须提供自主知识产权证明，加盖厂商公章）；自定义URL设备支持管理者自定义新的URL地址和URL分类；关键字过滤过滤同时匹配三个以上关键字的搜索行为；过滤同时匹配三个以上关键字的网页访问行为；网页过滤支持根据访问的URL、网页关键字进行网页过滤，支持设置拒绝以IP访问网页行为；支持在放行URL时，自动放行主域名的子链接中被禁止的网站，保证网页显示完整；发帖管理过滤同时匹配三个以上关键字过滤的网络发帖行为；必须支持允许用户浏览帖子但不准发帖功能；★SSL发帖管理必须支持基于关键字过滤SSL加密的网页、论坛、BBS上的发帖行为；网页附件管理支持根据文件类型限制http、FTP方式上传、下载行为；邮件管理邮件地址过滤支持根据源地址和目的地址过滤外发邮件；邮件附件过滤支持基于扩展名过滤含指定文件类型的邮件外发行为；支持识别删除、篡改文件扩展名的邮件附件外发行为并报警；（提供产品界面截图）；支持根据附件大小、附件个数限制外发邮件；邮件关键字过滤过滤同时匹配三个以上关键字的邮件主题、正文和附件的邮件外发行为；Webmail管理必须支持允许用户登录Webmail收邮件，而禁止发送Webmail邮件的功能；邮件延迟审计支持延迟外发问题邮件，人工审核后再外发的邮件处理机制；支持根据收件人地址、邮件标题和内容包含关键字、邮件大小、附件个数、抄送人数等条件设置延迟审计的邮件；支持当检测到有邮件被延迟审计时，系统自动发送一封通知发送到管理员邮箱；SSL