统一信息披露平台基础设施建设技术服务方案

一、产品技术参数、性能详细描述

1.1、服务器存储设备

1.1.1>数据库服务器-PowerEdgeR930

专为提升可扩展性和速度而打造

最大限度地提升要求最苛刻的企业应用程序的性能，包括CRM、ERP、OLTP和

内存数据库。PowerEdgeR930可灵活扩展以优化事务处理和操作，并可显著减少

延迟。四路R930服务器采用最新的Intel®Xeon®处理器E7v3产品系列（每个处

理器最高可配18个内核），能够灵活扩展以应对几乎任何挑战。

・利用全部72个处理内核，最多可访问96个DIMM上的6TBDDR4内存。

・借助最多8个PCIe固态硬盘，实现计算、内存和I/O的整体性能优化。

・凭借IntelE7RAS功能，有效保护任务关键型和数据密集型应用程序。

通过自动化实现简洁性

借助PowerEdge嵌入式服务器智能，即带生命周期控制器的集成式戴尔远程

访问控制器（iDRAC8）和OpenManageEssentials,在物理、虚拟、本地和远程环境

中高效地管理戴尔服务器。OpenManage无需代理即可自动完成最频繁执行的服务

器管理任务，包括部署、更新、监控和维护，而不受所安装的操作系统或虚拟机

管理程序的限制。

•借助零接触自动化部署，最多可将设置时间减少99%0

・最多可将根据策略来更新服务器所花费的时间减少92%o

•借助您现有的VMware®、Microsoft或BMCSoftware控制台，充分利用相

同的OpenManage集成优势。

加快应用程序运行速度

利用单个R930服务器的大量内部资源降低许可成本，从而加快应用程序运行

速度并优化计算处理能力。借助96个DIMM插槽和24个硬盘，R930服务器可以轻

松适应任何工作负载的需求。

•使用成本较低、容量较小的DIMM,以符合成本效益的方式扩展内存。

・利用固态硬盘和SAS硬盘构建内部存储，以便针对特定的应用程序进行优

化。

・采用双PCI第3代RAID卡，实现I/O带宽翻番。

适应几乎任何企业工作负载

R930服务器专为企业而设计，拥有足以满足您的业务需求的所有必要功能和

容量。

・借助快速响应业务发展需求的能力，加快大型应用程序（ERP、CRM和商务

智能）的运行速度。

・将多个公司范围的应用程序整合到单个服务器。

.借助内存数据库功能实现更快的关键业务应用程序数据访问速度，并缩短

客户响应时间。

•结合使用DellFluidCacheforSAN以及最多8个ExpressFlash固态硬

盘，为SAN环境提供高效支持。

・从过时的RISC环境迁移到更敏捷的面向未来的数据中心。

DellProSupport

选择戴尔的高级支持服务ProSupport,即可全天候（24/7）2直接电话联系或

在线联系您当地的高级技术人员。无论您只有一个办事处还是在世界各地拥有数

百个办事处，都能采用这种简单灵活的方法来保护您的投资。

am

anm

CKK

戴尔专业服务

借助一系列旨在简化复杂服务器环境的评估、设计、实施、管理和维护的专

业服务，我们可以帮助您实现从先前平台到经验证平台（例如R930）的过渡，并

引入新的工作负载。

1.1.2、计算节点/应用/管理服务器-PowerEdgeR730

处理几乎任何工作负载

无与伦比的多功能性PowerEdgeR730服务器能够在区区2U的机架空间中提

供卓越的功能。R730结合了强劲的处理器、海量内存、快速存储选项和GPU加速

器支持，在多种要求苛刻的环境中都具有出色的表现。

虚拟化和云应用程序

R730采用英特尔®至强®处理器E5-2600v3产品系列，最多可配24个DIMM插

槽的DDR4RAM,具有必要的处理周期、线程和超大内存容量，足以为数据中心和

云平台交付更多、更大和更高性能的虚拟机。

最高可配16个12GbSAS驱动器和12Gb高性能PowerEdgeRAID控制器

(PERC9),从而实现高度可扩展的存储，可针对您的虚拟化环境大大加快数据访问

速度。此外，R730可以利用可选的DellFluidCacheforSAN和SanDiskDASCache

应用程序加速技术，实现更快速的数据访问。

VDI和HPC

选项最多可支持2个300瓦双宽加速器/GPU(可从英特尔®至强融核™、NVIDIA®

Tesla®和AMDFireProTM中选择)，支持要求更高处理能力的环境，包括图形密集型

虚拟桌面基础架构(VDI)实施，例如CAD/CAM以及其他研究和开发应用程序。7个

PCIe第三代扩展插槽和一个RAID控制器专用插槽进一步提高了10灵活性，让R730

成为IT即服务(XaaS)提供商以及高性能计算(HPC)和医疗成像解决方案的理想计

算节点。

可靠的业务处理和决策支持

双路/2UR730的机型大小备受欢迎，具备横向扩展存储、自动化管理和高可

用性特征，可轻松配置成一款可靠的通用型服务器，适合运行各种业务关键型应

用程序，部分配置如下：

・冗余电源装置(PSU)

・热插拔且可更换的PSU、硬盘和风扇

・针对故障保护型虚拟机管理程序的双SD卡选项

简化和自动化IT管理任务

以您喜欢的方式管理数据中心服务器：可以单独操作、集体操作、现场操作、

远程操作，或者使用智能手机来操作，一切由您做主。一致的管理和第三方集成

可确保PowerEdge服务器的无缝管理。

借助集成式戴尔远程访问控制器（iDRAC）（带生命周期控制器）的嵌入式智能,

以及整个DellOpenManage产品组合的稳健、省时的管理特性，可以简化PowerEdge

服务器的管理。

带生命周期控制器的iDRAC8可进行免代理管理，为服务器和内部存储设备提

供实时监控。它还可以监控服务器运行状况、多个内部参数和系统性能，无需在

服务器操作系统中安装代理程序-代理程序可能需要更多的维护工作并消耗宝

贵的CPU时间。

零接触式自动化部署通过使用存储在内部网络上的指定位置中的配置文件来

发现和自动配置戴尔服务器，从而减少设置时间和人工录入错误。管理员只需安

装机架并布线，然后就可以离开了。

自动化服务器更新使服务器与存储在内部网络上的指定位置处的固件基准保

持同步，从而简化固件更新。

技术支持报告由iDRAC自动维护，是一个不断更新的运行状况和状态报告，

它监控5,000多个重要系统参数，并且可以帮助减少识别和解决服务器问题所需

要的时间。

000

随时随地进行监控和管理

您可以通过智能手机、笔记本电脑或者在包括本地管理选项和远程管理选项

的系统上进行系统管理。

•您可以安心地使用带有OpenManageMobile应用程序的智能手机监控远程

系统，或者通过近场通信(NFC)连接到服务器，以使用iDRAC快速同步功能访问状

态报告和日志。

・您还可以借助iDRACDirect功能使用USB记忆棒上传针对BIOS、iDRAC、

PERC、主板内置局域网(LOM)和网卡(NIC)更新的配置文件。

・您也可以通过USB将笔记本电脑连接到特定服务器的嵌入式iDRAC8管理控

制台界面，从而实现稳健的“系统级”管理。

加速IT服务部署

优化基础架构配置，加快工作负载部署，并通过ActiveSystemManager提

供的统一控制台和高度直观的用户界面来简化IT服务交付。它对最新一代的

PowerEdge服务器进行了增强，具有以下特性：

・基于模板的服务器和10配置、身份管理和服务迁移功能

・利用现成的不断扩展的模板库快速部署工作负载

・云支持，支持基础架构即服务(laaS)和平台即服务(PaaS),包括RedHat

提供适应未来发展的数据中心

凭借高性能处理、大容量内存和创新的本地存储选项，最新一代PowerEdge

服务器可在整个产品组合中提供更高的可扩展性，根据您的工作负载需求灵活调

整硬件、预留空间并简化管理，从而全面满足您当前的需求。

DellProSupport

选择戴尔高级支持服务ProSupport,可全天候2直接电话联系或在线联系您

当地的高级技术人员。无论您只有一个办事处还是在世界各地拥有数百个办事处,

都能采用这种简单灵活的方法来保护您的投资。

1.1.3、集中存储-VNX5600

LenovolEMCVNX5600

文件系统技术特性

文件X-Blade数量1月2日

控制台数量1-2x1U服务器

CPU/X-BladeIntel®XeonTM5600

内存/X-Blade12GB

最大文件系统大小16TB

最大可用文件容量/X-Blado256TB

Block系统技术特性

处理器2个IntelXeonE5-26004核2.4GHz

数据缓存48GB

支持RAID级别0/1/10/3/5/6

最大LUN数量2048

单个LUN最大容量16TB（虚拟池LUN）

最大池数量20

最大支持硬盘个数500

最大原始容量1500TB

扩展连通性

支持接口8Gb/sFC、IGb/siSCSI、lOGb/siSCSI、FCoE

可选配置*可订货配置请以产品调整方案为准

最大SAN主机数量1024

常规特性

外形尺寸3U磁盘处理器存储模块（可容纳15个3.5英寸或

25个2.5英寸SAS/闪存驱动器）

(3.5"机箱：13.34cmX44.45cmX61.6cm)

满载重量3.5”机箱：44kg；2.5”机箱：34.2kg

300G/600G/900G10K2.5寸

300G/600G/900G10K3.5寸

300G/600G15K3.5寸

支持硬盘容量

1T/2T/3T7.2K3.5寸

100G/200GSSD

*可订货配置请以产品调整方案为准

风扇和电源双冗余、热插拔

操作规范工作状态

温度10℃S40℃

湿度20%-8%（非凝结环境）

40摄氏度时最高海拔为2,286米

海拔

37摄氏度时最高海拔为3,048米

系统兼容性

MicrosoftWindowsServer2003

MicrosoftWindowsServer2008>WindowsServer

2008R2+

支持操作系统

MicrosoftWindows7和Vista

MicrosoftHyper-V

VMware®ESX®

RedHatEnterpriseLinux

NovellSuseEnterpriseLinux

Solaris10x86

Solaris10Sparc

HP-UX

IBMAIX

CitrixXenServer

MicrosoftWindows®Server2003基于访问权限的枚

举(ABE)

地址解析协议(ARP)

自动化卷管理(AVM)：文件系统资源调配

数据块协议：iSCSI、光纤通道(FCPSCSI-3)和

FCoE

通用标准认证：EAL3+保证级别

将DFS分布式文件系统(Microsoft)作为叶节点或

根服务器

支持的协议和功能

以太网中继

文件协议:NF件2、v3、v4和v4.1(带pNFS)；CIFS

(SMB1和SMB2)；

FTP(包括SFTP和FTP)

FileMoverAPI：开放API用于实现存储网络各层之

间自动、透明的数据移动

网络锁定管理器(NLM)vl、v3和v4

故障保护联网

Internet控制消息协议(ICMP)

Kerberos身份验证

轻型目录访问协议(LDAP)

针对Windows的LDAP签名

链路聚合(IEEE802.3ad)

UNIX归档应用工具(tar/cpio)

网络数据管理协议(NDMP)vl-v4

通过网络设备构建系统(NEBS)级别3/ETSI认证

网络信息服务(NIS)客户端

网络状态监视器(NSM)vl

通过EMCAtmos™VirtualEdition的对象支持

Portmapperv2

网络时间协议(NTP)客户端

NTLANManager(NTLM)

遵守限制使用有害物质(RoHS)指令

路由信息协议(RIP)vl-v2

简单网络管理协议(SNMP)V1-V3

简单网络时间协议(SNTP)

针对MicrosoftWindows客户端的VirtualData

Mover

虚拟局域网(IEEE802.lq)

软件功能选项

Unisphere（部署、管理、维护）forblock&File>

系统自带软件文件单实例压缩及虚拟资源调配、文件&块数据重复

数据删除

路径冗余PowerPath

FASTSuite：缓存扩展、趋势分析和报告、监控并实

缓存扩展

现性能目标

数据块存储快照和克隆LocalProtectionSuite

远程数据复制RemoteProtectionSuite（外部复制）

应用程序保护ApplicationProtectionSuite

防病毒保护Security&ComplianceSuite

磁盘扩展单元

3U15个3.5寸硬盘或2U25个2.5寸硬盘，4U40个

支持硬盘数量

3.5寸硬盘

300G/600G/900G10K2.5寸

300G/600G/900G10K3.5寸

300G/600G15K3.5寸

支持硬盘容量

1T/2T/3T7.2K3.5寸

100G/200GSSD

*可订货配置请以产品调整方案为准

风扇和电源双冗余、热插拔

外形尺寸2.5”机箱:13.33cmX44.45cmX61.00cm）

重量2.5”机箱:41kg（满载）

操作规范工作状态

温度10℃S40℃

湿度20%-8%(非凝结环境)

40摄氏度时最高海拔为2,438米

海拔

37摄氏度时最高海拔为3,048米

1.1.4、光纤交换机-DS6510B

在您的SAN环境中实现有效的网络连接

EMC®Connectrix®系列控制器和交换机可根据需要将您公司的关键信息移动

到任何地方。EMC可帮助您构建一个定制的解决方案，以有效地通过整合降低总

体拥有成本、连接服务器和SAN孤岛、优化性能和响应时间，并简化数据保护、

备份和恢复。Connectrix是唯一一个提供最广泛的连接选项并通过EMCE-LabTM

测试保证互操作性的存储联网平台，而且它利用了同类最佳的管理工具，而又不

会牺牲可用性和性能。

EMCCONNECTRIX：根据需要灵活可靠地进行连接

无论您是着手为一个部门实施小型SAN,还是为企业范围的应用实施大型SAN

主干，Connectrix系列都允许您从小规模起步，随着业务增长再不断扩展。

Connectrix允许您同时支持多个主机和操作系统，而且它可以容纳其他供应

商的存储环境。扩大的连接能力让您能够随心所欲地将更多信息整合到更少的存

储系统上，同时确保跨整个网络实现无缝互操作性和采用通用连接结构管理功能。

创建虚拟数据中心，便于所有用户访问Connectrix将高速光纤通道连接(1

至16Gb/s)、高弹性的交换技术以及智能IP存储联网的各种选项集成在一起。

将8Gb和16Gb的光纤通道或10Gb/s的DCB/FCoE技术与Connectrix产品

相结合，创建了一个虚拟数据中心。除光纤通道协议之外，一些Connectrix机

型还支持FICON、iSCSI、FCIP和以太网光纤通道（FCoE）。

Connectrix产品在此虚拟数据中心的中枢位置将企业信息链接起来，确保这

些信息能够方便、快速、可靠地根据需要提供给所有服务器。

CONNECTRIX交换机

EMC的Connectrix交换机产品系列十分完备，可满足任何配置和连接需要。

为实现最佳的灵活性和最便捷的可扩展性，我们提供了端口数从8到80不等的

各种Connectrix交换机。为提供最佳投资保护，所有机型都可以自动感知速度，

以便向后兼容。一些机型支持SAN扩展、SAN路由以及驻留在网络上的应用程序，

例如EMCRecoverPointo

1.2、网络安全设备

1.2.1>24口千兆交换机-LSW3600-24GT4Gp

LSW3600-24GT4GP

灵活的千兆接入

■LSW3600系列提供灵活的24/48个百兆或者千兆接入，支持非复用的SFP

接口，并可通过扩展槽扩展最大4个万兆上行端口，在实现高密百兆、千兆接入

的同时支持10GE端口的扩展能力，保护用户投资。

多业务支持能力

■LSW3600系列支持IGMP、IGMPSnooping,GMRP等组播协议,充分满足

IP高清视频监控和其他组播业务的需求。

■LSW3600系列支持FRRP快速环网恢复协议和FLRP快速链路恢复协议，

在视频会议、IP高清视频监控等丢包敏感的应用环境下，可实现小于20毫秒的高

性能网络故障自愈。网络上承载多业务、大流量时也不影响收敛时间，保证业务

的正常开展。

■LSW3600系列支持PoE(PoweroverEthernet)技术，通过以太网对连

接的设备(如IP高清摄像头，无线AP等)进行远程供电，避免在使用现场为设

备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。

VSM虚拟交换矩阵技术

■统一管理

通过VSM技术用户可以使用任何一台设备的任何一个端口登录逻辑设备，达

到统一管理虚拟交换矩阵内所有成员设备的效果，而不用物理连接到每台成员设

备上分别进行配置和管理。

■简化业务

VSM完美兼容各种二层和三层网络协议。三层组网中，VSM技术可将多台三层

交换机虚拟为一台逻辑设备，并统一进行路由计算。跨设备链路聚合技术实现不

同设备上的物理端口间的聚合，并支持负载分担，可替代传统的生成树协议，提

高带宽利用率，并缩短网络故障时的收敛时间。

■弹性扩展

新增的设备加入或离开VSM组时可以实现“热插拔”，不影响其他设备的正

常运行，实现网络的按需弹性扩展。

增强的环境适应性

■LSW3600系列采用无风扇设计，避免因风扇的易损耗引起的散热故障和因

风道被灰尘堵塞引起的散热不良，减少设备故障点，同时降低整机功耗，避免噪

音烦扰。

■为满足不同环境下的部署要求，LSW3600系列采用环境增强型设计，包括

宽工作温度、宽压、防雷击等特性，解决设备在楼道设备间等电气环境复杂和无

空调部署环境下的高可靠运行。

■LSW3600系列采用低功耗硬件，配合风道和元器件布局等散热设计方案，

严格控制设备整体能耗水平。同时，LSW3600系列可实现设备运行状态及运行环境

监控，可根据环境温度、时间段等运行条件调整风扇、端口、PoE供电等状态，降

低能耗；支持环境告警、电源及风扇告警、端口和CPU状态等多项状态和告警输

出。

完备的安全控制策略

■LSW3600系列支持TAC（终端接入控制）功能，配合后台系统可以将终端

防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措

施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理

和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管

理为集中策略管理，提升了网络对安全威胁的整体防御能力。

■LSW3600系列支持MAC地址认证、802.lx认证、Portal认证，内置认证

服务器，支持256-512个用户的本地接入认证。支持用户帐号、IP、MAC、VLAN、

端口等用户标识元素的动态或静态绑定，同时实现用户策略的动态下发。配合迪

普科技的UMC集中网管平台，可实现对在线用户的实时管理。

■LSW3600系列提供增强的ACL功能，支持超大容量的入端口和出端口ACL,

并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL资源的

浪费。

丰富的QoS策略

■LSW3600系列支持端口流量识别，支持基于源MAC地址、目的MAC地址、

源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等多种方式的流分

类。支持基于硬件的优先级队列，提供SP、W'RR、SP+WRR等多种队列调度算法。

支持拥塞管理和端口速率限制。

出色的管理功能

■LSW3600系列支持出、入两个方向的端口镜像，用于对指定端口上的报文

进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。

■LSW3600系列支持SNMPvl/v2/v3标准网管协议，提供CLI命令行和Web

管理界面，并可通过迪普科技UMC统一管理中心，实现整网设备的集中管理。

1.2.2、48口千兆交换机-LSW5602-44GT4GC

LSW5602-44GT4GC-PWR

LSW5600系列交换机支持VSM虚拟交换矩阵技术，可将多台物理设备虚拟为一

台逻辑设备进行统一的配置和管理。VSM为用户带来的好处包括：

VSM虚拟交换矩阵技术

■统一管理

通过VSM技术用户可以使用任何一台设备的任何一个端口登录逻辑设备，达

到统一管理虚拟交换矩阵内所有成员设备的效果，而不用物理连接到每台成员设

备上分别进行配置和管理。

■简化业务

VSM完美兼容各种二层和三层网络协议。三层组网中，VSM技术可将多台三层

交换机虚拟为一台逻辑设备，并统一进行路由计算。跨设备链路聚合技术实现不

同设备上的物理端口间的聚合，并支持负载分担，可替代传统的生成树协议，提

高带宽利用率，并缩短网络故障时的收敛时间。

■弹性扩展

新增的设备加入或离开VSM组时可以实现“热插拔”，不影响其他设备的正

常运行，实现网络的按需弹性扩展。

多业务支持能力

■LSW5600系列支持MCE功能，通过为每个VPN创建和维护独立的路由转发

表，实现了不同VPN用户在同一台设备上的隔离，为网络中多业务安全隔离提供

可靠和经济的解决方案。

■LSW5600系列支持IGMP、IGMPSnooping.GMRP、PIM等协议。支持大规

模组播表项，充分满足IP高清视频监控和其他组播业务的需求。

■LSW5600系列支持FRRP快速环网恢复协议和FLRP快速链路恢复协议，

在视频会议、IP高清监控等丢包敏感的应用环境下，可实现小于20毫秒的高性能

网络故障自愈。网络上承载多业务、大流量时也不影响收敛时间，保证业务的正

常开展。

■LSW5600系列支持PoE（PoweroverEthernet）技术，通过以太网对连

接的设备（如IP高清摄像头，无线AP等）进行远程供电，避免在使用现场为设

备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。

完备的安全控制策略

■LSW5600系列支持TAC（端点访问控制）功能，配合后台系统可以将终端

防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等安全措施整

合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监

控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为

集中策略管理，提升了网络对安全威胁的整体防御能力。

■LSW5600系列支持MAC地址认证、802.lx认证、PORTAL认证，内置认证

服务器，支持1K用户的本地接入认证。支持用户帐号、IP、MAC、VLAN,端口等

用户标识元素的动态或静态绑定，同时实现用户策略的动态下发。

■LSW5600系列提供增强的ACL访问控制，支持超大容量的入端口和出端口

ACL,并且支持基于VLAN的ACL下发，在简化用户配置过程的同时，避免了ACL

资源的浪费。

丰富的QoS策略

■LSW5600系列支持端口流量识别，支持基于源MAC地址、目的MAC地址、

源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN等多种方式的流分

类。支持基于硬件的优先级队列，提供SP、WRR、SP+WRR等多种队列调度算法。

支持拥塞管理和端口速率限制。

全面的IPv6特性

■LSW5600系列硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道(包括手

T.Tunnel,6to4Tunnel,ISATAPTunnel),支持IPv6三层线速转发。既可以用

于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，组网方式灵活，

充分满足当前网络从IPv4向IPv6过渡的需求。

增强的环境适应性

■为满足不同环境下的部署要求，LSW5600系列采用环境增强型设计，包括

0~70℃宽工作温度、宽压、防雷击等特性，解决设备在楼道设备间等电气环境复

杂和无空调部署环境下的高可靠运行。

■LSW5600系列采用低功耗硬件，配合风道和元器件布局等散热设计方案，

严格控制设备整体能耗水平。同时，LSW5600系列可实现设备运行状态及运行环境

监控，可根据环境温度、时间段等运行条件调整风扇、端口、PoE供电等状态，降

低能耗；支持环境告警、电源及风扇告警、端口和CPU状态等多项状态和告警输

出。

出色的管理功能

■LSW5600系列支持出、入两个方向的端口镜像，用于对指定端口上的报文

进行监控，将端口上的数据包复制到监控端口，以进行网络检测和故障排除。

■LSW5600系列支持SNMPvl/v2/v3标准网管协议，提供CLI命令行和Web

管理界面，并可通过迪普科技UMC统一管理中心，实现整网设备的集中管理。

1.2.3、内网防火墙-天清汉马USG-FW-P系列防火墙

完善的防火墙特性

支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网

址、关键字、邮件地址、脚本、MAC地址等方式进行访问控制；

支持流量管理、连接数控制、IP+MAC绑定、用户认证等；

支持虚拟防火墙：可以将接口划分给不同的虚拟防火墙，每个虚拟防火墙具

有独立的管理员、安全域、资源对象、安全策略、NAT规则、静态路由等配置；

同终端无缝结合：支持同天瑁内网安全管理系统联动，将防火墙防御能力推

进到桌面终端；

超过2500条专业协议库，超过1000万条URL库，可识别主流应用及网站。

高网络适用性

支持透明、路由和NAT模式部署；

支持静态路由、策略路由、RIP/OSPF/BGP动态路由，支持等价路由ECMP和加

权路由WCMP,支持组播路由；

支持STP,可以同二层网络设备进行生成树计算；

支持IGMPSnooping,优化在桥模式下的组播流量；

支持私有HA和VRRP;

支持IPv6：支持IPv4、IPv6双栈运行、静态IPv6路由、手工隧道、6to4隧

道和ISATAP隧道；

支持链路聚合，可通过手动方式、IEEE802.3ad静态LACP方式创建聚合链路；

通过链路聚合可以增加链路带宽，并起到负载均衡和链路备份的作用

高稳定性和可靠性

产品具有高性能，同时多核之间互为备份，可靠性高;

支持私有协议HA和VRRP,实现双机热备和冗余；

支持两个以上的操作系统和多配置文件；

抗DDOS攻击

支持主流7种抗DDOS策略：ICMPFL00D（4种算法）\SYNFL00D（4种）\ACKFLOOD

（1种）\SYNACKFLOOD（4种）\UDPFLOOD（4种）\DNSFLOOD（6种）\HTTPFLOOD

（5种）；每种抗攻击策略支持最少4种高级算法；

阀值设定和检测算法相结合的方式会更加精准；

支持APT云防御

支持白名单和虚拟沙箱执行结合的方式应对Oday攻击威胁，通过网关设备与

私有云中心联动，私有云模块负责监测发现，联动到网关设备进行阻断。

白名单超过1亿，超过8000万个病毒变种；动态分析支持对超过100种典型

恶意行为组合识别，涵盖格式溢出、自删除、请求驱动加载、镜像劫持等关键行

为；采用规模化虚拟机和硬件加速引擎技术，提供更快的处理速度。

数据库安全防护

支持对主流数据库协议能够做到基于用户的命令级访问控制。为了更好有效的防

护，防止脱库事件发生，我们可以通过定制的方式实现对grant（授权）、revoke

（删权）等的访问控制；

web防护功能里面有单独的针对SQL注入和缓冲区溢出攻击的防护功能；

全面的VPN支持

多VPN支持：IPSec,L2TP,SSLVPN、GRE；

丰富的应用：专用VPN客户端、USBKEY等；

灵活的部署：Hub-Spoken、Full-Mesh.DMVPN（MGREVPN）,网关一网关的SSL

VPN；

支持移动终端的VPN接入；

完善的上网行为管理功能

采用独立的上网行为管理库，通过互联网实现每周更新；

P2P控制：对Emule、BitTorrent、Maze、Kazaa等进行阻断、限速；

IM控制：基于黑白名单的IM登录控制、文件传输阻止、查毒；支持主流IM

软件如QQ、MSN、雅虎通、Gtalk、Skype,可以实现账号的细粒度控制;

流媒体控制：对流媒体应用进行阻断或限速，支持Kamunppfilm、PPLive、

PPStream、QQ直播、TVAnts、沸点网络电视、猫扑播霸等；

网络游戏控制：对常见网络游戏如魔兽世界、征途、QQ游戏大厅、联众游戏

大厅等的阻断；

股票软件控制：对常用股票软件如同花顺、大参考、大智慧等的阻断；

强大的日志报表功能

记录内容丰富：可对防火墙日志、攻击日志、病毒日志、带宽使用日志、Web

访问日志、Mail发送日志、关键资产访问日志、用户登录日志等进行记录；

日志快速查询：可对IP地址、端口、时间、危急程度、日志内容关键字等进

行查询；

报表贴近需求：根据用户具体需求，定制报表内容、定制报名名称、定制企

业LOGO,并可形成多种格式的报表文件。

方便的集中管理功能

通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中

升级和拓扑展示。

1.2.4、外网防火墙-山石网科E2800

山石网科下一代防火墙可精确识别数千种网络应用，并提供详尽的应用风险

分析和灵活的策略管控。结合用户识别、内容识别，山石网科下一代防火墙可为

用户提供可视化及精细化的应用安全管理。同时，山石网科下一代防火墙内置了

先进的威胁检测引擎及专业的WEB服务器防护功能，能够抵御包括病毒、木马、

SQL注入、XSS跨站脚本、CC攻击在内的各种网络攻击，有效保护用户网络健康及

WEB服务器安全。基于全并行软硬件架构实现的“一次解包、并行检测”，山石网

科下一代防火墙在具备全面安全防护的同时，更为用户提供高性能的应用安全防

护。

精细化多维管控

安全防护的基础是对用户网络业务环境的全面感知，山石网科下一代防火墙

通过网络流量深度检测和解析技术，能够对应用、用户、内容、国家地理等进行

多维度的精准识别，为用户提供了前所未有的丰富而灵活的安全管控功能。

•应用精准识别及灵活控制。山石网科下一代防火墙支持深度应用识别技

术，能够准确识别数千种网络应用，其中包括600余种移动应用、300余种云应

用。并为用户提供包括应用类别、应用风险等级、所用技术、应用特征分布等多

维可视化信息，从而帮助用户及时发现应用安全隐患。同时，山石网科下一代防

火墙支持灵活的应用安全控制功能，包括策略阻止、会话限制、流量管控、应用

引流或时间限制等，使得应用管控十分得心应手。

•用户认证及管控。山石网科下一代防火墙支持丰富的用户认证方式，包

括TACACS+、RADIUS、LDAP等外部服务器用户认证，以及本地认证、web认证等。

并可针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。

•基于国家地理位置的访问控制。能够精确识别攻击源/目的IP所处的国

家地理位置，从而可以根据业务通信要求实施基于国家地理位置的访问控制，快

速阻断攻击流量。

•文件传输管控。结合文件深度检测技术，实现基于文件类型、文件大小、

文件名称的文件传输控制，满足企业文件传输行为的合规性管理要求。

全面威胁检测与防护

山石网科下一代防火墙提供了基于深度应用、协议检测和攻击原理分析的入

侵防御技术，可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等

安全威胁，为用户提供L2-L7层网络安全防护。

•优化的攻击识别算法。能够有效抵御如SYNFlood、UDPFlood、HTTPFlood

等DoS/DDoS攻击，保障网络与应用系统的安全可用性。

•专业Web攻击防护功能。支持SQL注入、跨站脚本、CC攻击等检测与过

滤，避免Web服务器遭受攻击破坏；支持外链检查和目录访问控制，防止WebShell

和敏感信息泄露，避免网页篡改与挂马，满足用户Web服务器深层次安全防护需

求。

•高性能的病毒过滤。领先的基于流扫描技术的检测引擎可实现低延时的

高性能过滤。支持对HTTP、FTP及各种邮件传输协议流量和压缩文件（zip,gzip,

rar等）中病毒的查杀，提供超过130万条实时更新的病毒特征库。

•支持千万级URL过滤功能。可帮助网络管理员轻松实现网页浏览访问控

制，避免恶意URL带来的威胁渗入。

•SSL加密流量全面威胁防护。可针对SSL加密流量综合运用包括入侵防

御、病毒防护、URL过滤在内的多种管控手段，实现加密流量应用层威胁的全面

防护。

基于多核硬件架构及“一次解包，并行检测”技术，山石网科千兆及桌面型

下一代防火墙在开启多种威胁防护功能时，仍可为用户提供业界领先综合安全性

能。

强大的网络适应性

山石网科下一代防火墙具备强大的网络适应能力，具备复杂环境下的安全部

署能力，满足用户多样化的网络功能需求。

•智能链路负载均衡功能。其出站动态探测和入站SmartDNS等功能允许网

络访问流量在多条链路上实现智能分担，极大提升链路利用效率和用户网络访问

体验。

•支持RIP、0SPF和BGP等动态路由协议。可根据网络系统的运行情况自

动调整动态路由表，满足运营商、高校等复杂网络环境部署。

•内置VPN加速芯片。可显著提升IPSec/SSLVPN性能，支持大规模网络

环境中VPN部署。结合iOS及Android平台下的VPN客户端，可为用户提供移动

终端远程接入解决方案。

灵活便捷的无线安全

E1100系列下一代防火墙为用户提供了丰富的网络接入选择，包括WIFI及

4G/3G接入功能。

•WIFI热点功能。E1100系列支持802.lla/b/g/n无线局域网接入标准，

最高可达300Mbps无线网络连接速率，充分满足分支机构、SOHO办公室等应用环

境中有线与无线混合接入需求。同时，提供了用户认证、网络与用户安全隔离等

无线安全功能，杜绝非法接入，避免信息泄露。

•4G/3G无线WAN接入。El100系列下一代防火墙支持4G/3G移动通信技术，

可通过内置或外置4G/3G模块支持电信、联通、移动三大运营商4G/3G网络接入，

为用户提供更加灵活的广域网接入方式。并且支持4G/3G链路与有线WAN链路之

间的负载均衡与冗余备份，实现VPN备份部署，确保业务持续运行。

统一集中管理

山石网科下一代防火墙支持集中管理，借助HSM安全管理平台，可对多设备

进行统一策略管理、设备配置管理及实时安全监控，从而实现网络的快速部署以

及发生安全事件的及时响应，提高管理效率，降低运维成本。

1.2.5、堡垒机-天班网络安全审计系统V6.0

运维协议支持广、易扩展，充分满足运维需要

产品实现对多种运维协议或运维客户端的支持，充分满足运维需要，包括字

符协议、图形协议、文件传输协议、HTTP(S)应用、数据库访问和Pcanywhere、

Radmin等常用运维客户端。通过配置应用发布，还可以灵活扩展其他运维协议或

工具。

多种资源访问方式，适应不同人员使用习惯

产品支持多种目标资源访问方式，使用界面友好，能够最大程度适应不同用

户的使用习惯。

细粒度访问授权，有效控制运维风险

产品可根据用户、用户组、访问主机、系统账号、访问方式等内容设置细粒

度访问策略，同时支持指令黑白名单、时间黑白名单、IP黑白名单。通过集中统

一的访问控制和细粒度的命令级授权策略，确保“权限最小化原则”，有效规避

运维操作风险。

审计实名制，为事后取证提供证据

以用户身份为依据，真实完整的记录每个用户的所有操作行为；支持实时监

控和仿真回放；支持在监控过程中手工切断高危操作。

1.2.6、IDS-天阖入侵检测与管理系统（IDS）

启明星辰在入侵检测产品领域连续多年国内市场份额第一，市场的成功确保

了业内最大的IDS类产品持续开发投入，这一点也反过来确保了天阑成为用户的

IDS产品首选品牌。

启明星辰拥有业内最大的用户群体，通过完善的服务机制，在保证了用户有

效利用产品的同时及时持续的获得各类安全威胁，使用户及时拥有最新最完善的

威胁检测事件库。

启明星辰作为唯一一家授权查看微软源码的专业IDS厂商、微软MAPP安全合

作伙伴、CNCERT的首席合作伙伴，拥有国内首家信息安全博士后工作站、国内最

强大的漏洞发掘团队-ADLAB,完善的组织支持保障确保了对入侵检测的最前沿技

术研究。

天阖入侵检测与管理系统（IDS）是启明星辰自主研发的入侵检测类安全产品，

其主要作用是帮助用户量化、定位来自内外网络的威胁情况，提供有针对性的指

导措施和安全决策依据，并能够对网络安全整体水平进行效果评估，天阖入侵检

测与管理系统（IDS）采用了融合多种分析方法的新一代入侵检测技术，配合经过

安全优化的高性能硬件平台，坚持“全面检测、有效呈现”的产品核心价值取向，

可以依照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件和攻

击行为，实现对网络的“全面检测”，并通过实时的报警信息和多种格式报表，

为用户提供翔实、可操作的安全建议，帮助用户完善安全保障措施，确保将信息

“有效呈现”给用户。

同时，天阖入侵检测与管理系统支持扩展无线安全模块，可准确识别各类无

线安全攻击事件，按不同安全级别实时告警，并据此生成多种统计报表，为您提

供有线、无线网络攻击检测整体解决方案。

•全面检测

-全面信息收集：天阖IDS支持多级、分布式部署，实现策略统一下发，

信息集中收集。

——全面协议分析：天阑IDS支持协议自识别与协议插件技术，可准确识别

非常规端口的协议和新型协议。

——全面检测机制：天阖IDS支持基于特征和基于原理的两种检测方式，在

保障检测精度的基础上，扩大了检测可识别的范围。

一一全面事件分析：启明星辰有一套业界最规范的后继服务支撑体系，确保

对新型事件的快速准确响应。

一全面检测范围：天阑IDS提供网络入侵事件、网络违规事件、流量异常

事件等多种异常检测。

——全面检测性能：天阑IDS采用最短时间优先算法，确保了产品在网络数

据高负载情况下的检测效率。

・有效呈现

——精确报警信息：天阖IDS结合了环境指纹技术，在发现有攻击行为后，

与存储的环境信息进行二次匹配，将那些能够确信为“有用”的报警信息单独呈

现，减少用户的分析操作消耗。

——详尽信息呈现：天阖IDS的报警信息除了事件的双方地址、协议等信息

外，还包括了对事件的具体描述、漏洞信息、修补建议、影响系统等，可以将最

细致的事件信息呈现给用户。

一威胁地址定位：天阖IDS提供与实际地理拓扑相结合的报警显示方式。

在大规模部署的情况下，可以将设备拓扑与地理拓扑相结合，使得管理员可以直

观而迅速的判断威胁所在。

-丰富报表展现：天阖IDS提供基于时间、地址、事件等多重参数信息的

分析报表，结合历史分析数据，可清晰展现安全建设发展趋势，协助考量网络安

全建设水平。

1.2.7、应用负载均衡-CitrixNetscalerMPX8005

先进的“请求交换”核心技术

NetScaler拥有专利的请求交换技术是得到业界广泛认同的，传统负载均衡技

术向新一代流量管理技术演进的方向。NetScaler打破了存在于连接和请求之间的

关系，并在请求层检测所有的流量，请求交换提供了高性能的，安全的，可扩展

的应用层服务。

Application

Application

请求交换技术的核心是一个新的运行范例，正是在这之上，NetScaler系统分

开管理每一客户端连接以及服务器端连接。因为NetScaler系统是每个客户端以

及服务器端连接的终点，而不是简单的传输连接，所以它能提供以前其他流量管

理系统所无法达到的许多加速和优化技术。因为请求交换引擎被专门设计来在请

求层检测流量，所以负载均衡以及内容交换可以非常高效的完成。策略以及过滤

可以在进入的请求上被应用并且丝毫不影响性能。成熟的负载均衡算法以及健康

检查机制保证了服务的均衡性以及持续可靠性。先进的加速和优化技术在降低服

务器负载的同时更快的把内容传送给了最终用户。

新一代的负载均衡技术

与传统负载均衡设备不同，NetScaler基于应用请求而不是网络连接进行负载

均衡，最终达到的是服务器负载的均衡而不是服务器连接数量的平衡。真正实现

用户对负载均衡效果的预期。

NetScaler基于请求交换技术的负载均衡ciTRix

•确保最佳的流量均衡

•服务器连接数降低几十至几百倍

提高应用性能2-15倍

利用Citrix独有的请求交换技术，NetScaler在提供负载均衡的同时，对应

用进行优化与加速。

连接复用和TCP卸载：NetScaler代替服务器终结客户端TCP连接，而且多个

客户端请求被复用在少量服务器端连接内发送给应用系统。使用NetScaler进行

负载均衡的服务器上的连接数比通过传统负载均衡设备均衡的服务器上的连接数

降低几十至几百倍，服务器CPU和内存消耗大幅度降低，应用响应速度提高1-5

倍。

使用NetScaler前CPU负载

使用NetScaler后CPU负载

AppCompress压缩技术：利用NetScaler内置的压缩功能，可以将广域网传输

数据量减少3-50倍，提高应用的响应速度。

加速终端用户的性能ciTRIX

--http压缩和差分压缩

43X

修改程度中等的没有修改的标

标准Web页面准Web页面

（Amazon）（Amazon）

8X

(2.05sec)

NoStdHTTPDe«a

AccelerationComptesstonCompression

Source:TheTolyGroup(Jire2005)

电，

此外，NetScaler还提供AppCache高速内存缓存技术，TCPB网络优化技术等

多项优化功能，通过综合应用上述功能，如果用户使用NetScaler作为负载均衡

设备，他们就可以在获得负载均衡功能的同时，获得2T5倍的应用速度提升。

为应用提供最佳的安全性

NetScaler利用先进的请求交换技术，可以有效地抵御L4的DoS/DDoS攻击和

各种已知与未来的L7攻击。NetScaler基于请求交换技术的抗攻击能力是采用Syn

Cookie/Delaybinding防御方式的传统负载均衡交换机的10倍以上。

业界最全面的解决方案

CitrixNetScaler系统把传统数据中心的各种纷繁产品的功能，例如：负载

均衡，缓存，压缩，SSL加速，攻击保护，SSLVPN等，融合进了单一的产品中，

并利用其专利的“请求交换”技术，从底层整合各种功能，以极高的效率提升应

用的性能、可靠性和安全性。

多核并行处理技术（nCore）提高产品性能

Citrix®NetScaler®nCore™技术作为一种高性能的并行处理架构，可利用

多核技术实现有效扩展，以满足要求最为严苛的Web应用的需求。要构建能有效

利用多核处理器的系统必须考虑以下两个问题：（1）系统如何能够确保所有CPU

核一直处于工作状态？（2）系统如何消除处理器间的同步损耗？

两者是相辅相成的，消除处理器间的同步损耗让每个处理器可尽可能地实现

最佳性能。要了解NetScaler如何成功避免同步操作，首先必须掌握NetScaler

数据包处理引擎的本质特性。

NetScaler数据包处理引擎

CitrixNetScaler数据包处理引擎的目的是将数据包从网络中分离出来，执

行大量TCP/IP处理进程，加速和优化任务，以及执行安全策略。当数据包处理

引擎处理完成一组数据包时，便会将回应返回到网络，然后继续处理新的数据包。

NetScaler数据包处理引擎的高效率使其可在几微秒内完成数据包的处理。

NetScaler超低延迟数据包处理引擎优化了Web应用交付和用户体验。利用精心

设计的分段数据包处理，数据包处理引擎即可消除数据同步需求。这样一来，单

个CPU核上运行的单个数据包处理引擎可支持几千兆的吞吐量。

与基于Linux的传统产品相比，NetScaler数据包处理引擎的高效率所带

来的影响是非常值得赞赏的。传统的LinuxTCP堆栈会让数据包在不同层之间传

输时进行排队处理，而每一层在接收数据前都会产生大量的数据同步损耗。正因

为如此，一些基于Linux并结合ASIC芯片处理数据交换的产品设计会将这种延

迟放大。

值得注意的是，随着NetScaler平台的发展，不需要数据同步己变成一个差

异化的特征，使得NetScaler能够以极高的效率将数据包处理引擎延伸到多个处

理器核心。

零共享设计

提升性能所面临的共同挑战就是共享。多个组件需要共享数据时，性能就成

了问题。零共享有以下几大好处：

1、无同步化开销

2、大幅降低复杂性，从而提高稳定性

3、可更妥善地处理故障，因为组件之间不会互相影响

nCore架构利用NetScaler数据包处理引擎的关键属性实现了零共享设

计。

通信架构

通信架构

•SMP共享存储器总线