xx银行生产网络建设方案

来源：公务员考试发布时间：2020-10-17 点击：

　XX 银行业务网络建设方案 2013 年 10 月

　1 1

　目录 1 整体建设项目概述

　....................................................................... 2 2 网络项目规划 ............................................................................ 2 2.1 网络规划概述 ........................................................................ 2 2.2 安全域划分 .......................................................................... 3 2.3 业务网规划 .......................................................................... 5 2.4 网管监控网络规划

　................................................................... 7 2.5 数据中心规划

　....................................................................... 8 2.6 业务网网络安全规划

　................................................................ 9 2.7 后续网络扩容规划

　.................................................................. 10 3 UPS 电源系统规划

　..................................................................... 12 3.1 UPS 电源系统概述

　................................................................. 12 3.2 电源系统用户需求分析

　.............................................................. 13 3.3 电源系统设备选型

　.................................................................. 13 3.4 系统解决方案主要技术特点及参数

　.................................................... 13 4 消防系统规划 ........................................................................... 14 4.1 灭火系统产品简介

　................................................................. 14 4.2 气体灭火系统设置要求

　.............................................................. 15 5 项目实施安排 ........................................................................... 15 5.1 实施进度 ........................................................................... 16 5.2 实施分工 ........................................................................... 17 6 选型设备介绍及资质 ..................................................................... 18 6.1 核心路由器介绍 ..................................................................... 18 6.2 防火墙介绍

　........................................................................ 21 6.3 核心交换机介绍

　.................................................................... 27 6.4 服务器产品介绍

　.................................................................... 29 6.5 存储产品介绍 ....................................................................... 31 7 设备预算 ............................................................................... 33 7.1 预算概要 ........................................................................... 33 7.2 预算清单 ........................................................................... 33 1 整体建设项目概述 XX 银行地处 XX 市中心，目前设立市场部、风险管理部、营业部、综合办公室…，信息接入点 XX 个。因业务开展，需建设银行业务系统，上联系统为浙江总部。

　机房面积 70 平方米；周围无易燃、易爆等隐患，无危险建筑；机房区域划

　2 2

　分为主机房区与监控机房区；按机房消防标准进行设计；强电、弱电分布符合国家标准；综合布线清晰、合理、安全、规范，易于维护，易于扩展；管道铺设保证机房安全。

　2 网络项目规划银行业务网络是银行运营信息系统的基础。

　网络平台将信息交换、安全防护、安全管理和监控有机结合起来，贯穿整个信息系统的所有层次，是系统正常运转的重要保障。

　本部分重点讲述及细化 XX 银行业务网络的具体规划建设和项目预算。

　2.1 网络规划概述 XX 银行从整网结构分析，属于二级分行角色。通过跨省 WAN 链路上联浙江一级分行，通过城域网内 WA 链路下联村镇分行。

　网络规划以 XX 业务网络为原点，从横向和纵向开始规划，逐渐形成一个横纵联系的网络。从纵向来看， XX 银行网络分为 2 层，第 1 层为 XX 业务网络，第 2 层为村镇分行业务网络；从横向来看，一般银行网络都按照应用划分为办公子网、生产子网和外联三个子网，省级以上网络还要包含 MIS 子网、网上银行、测试子网等。

　3 3

　由于网络目前还处在组网的初级阶段，因此本次规划仅考虑 XX 生产子网的建设，不考虑其它子网的建设，但在规划时要考虑网络可扩展性，保证在总体结构不变的情况下，业务网络能够部署连接其它子网的横向接口，以及连接村镇分行的纵向接口。

　2.2 安全域划分对于银行业务网络来说，首要的一点就是应该根据国家有关部门对相关规定，将整个业务网络进行网络结构的优化和安全域的划分，从结构上实现对安全等级化保护。

　根据《中国人民银行计算机安全管理暂行规定（试行）》的相关要求：

　“第六十一条内联网上的所有计算机设备，不得直接或间接地与国际互联网相联接，必须实现与国际互联网的物理隔离 “第七十五条计算机信息系统的开发环境和现场应当与生产环境和现场隔离。” 因此进行网络规划时，有必要将生产业务网络与具有互联网连接的办公网络之间区分开来，通过强有力的安全控制机制最大化实现生产系统与其他业务系统之间的隔离。同时，对银行所有信息资源进行安全分级，根据不同业务和应用类型划分不同安全等级的安全域，并分别进行不同等级的隔离和保护。

　初步规划将业务网络划分成多个具备不同安全等级的区域，参考公安部发布的《信息系统安全保护等级定级指南》，我们对安全区域划分和定级的建议如下（不涉及的子网没有列出）：

　安全区域说明定级建议生产核心区域包含业务服务器主机；业务审计系统（可选）

　3 3 级业务区域业务前台终端 2 2 级网管监控区域包含维护网络信息系统有效运行的监控服务器主机和管理终端；动环监控服务器和终端。

　1 1 级办公区域包含办公网络 C PC 和其它网络设备 1 1 级

　4 4

　上表安全级别为降序排列，生产核心区域具有最高安全级别，原则上与办公区域、网管监控区域物理隔离，特殊情况下，如果部分办公业务用户需要访问生产业务中的特定数据，而部分生产应用也需要访问办公网中的特定数据，建议在业务网与办公网之间采用逻辑隔离手段进行严格控制。业务审计系统（可选）

　要对业务网络的所有流量进行审计，所以也部署在生产区域。

　业务区域包括柜台终端，需要连接核心区域，具有较高安全级别。

　网管监控区域用于网络监控，设备远程维护，以及动环监控，该区域不需要与其它区域连接，所以建议网络设备使用带外管理方式，与其它网络物理隔离。

　办公区域安全级别较低，在大型网络中一般使用 MIS 子网进行过渡，这里建议使用严格访问控制，仅允许办公区域访问生产区域中特定数据。

　总体逻辑结构如图所示：

　5 5

　银行网络安全结构示意图 2.3 业务网规划业务网作为信息资源平台，主要包括以下信息业务：

　业务核心服务器和服务前台终端数据交换。

　服务器之间，服务器和存储之间数据交换、数据处理。

　业务网和总部数据中心之间数据交换、报表。

　根据各种信息流的特点，以及各种网络设备的功能角色，建议网络如下图部

　网络安全结构示意图二颔妥全区庫一级安全区践非安全区域「村镇分行: : :

　6 6

　核心路由器作为总出口通过专线与浙江总部上联；下行通过千兆链路连接防火墙。建议使用高性能、可靠性路由器，保证双主控、双路由引擎、双电源、双风扇的硬件冗余；线卡引擎和业务板卡的两级热插拔技术、双主控热备份技术，全面保证可靠性达到电信级标准。

　中心网络所有出网流量都经过防火墙。建议使用数据中心防护级别的防火墙，同时具备 IPS功能防御网络攻击。防火墙根据各区域的安全级别，分配各端口的优先级和防护策略；；核心交换机承载中心服务器、存储、前置机等核心设备的数据交换。建议使用支持主控板冗余、电源冗余的高性能、高端口密度交换机。

　生产前台区域需要部署 1 台或多台汇聚交换机。

　各网络设备（系统）功能需求如下表序号设备（系统）

　功能设备参数需求 1 1 核心路由器提供 X XX 业务网上联双主控、双路由引擎、电源 1 + 1、E 4GE 接口（含至少 1 1 个光口）

　2 2 防火墙网络隔离，为其它网络提供接口；防范非法入侵和攻击； S FW+IPS 功能启用后保证吞吐量 G >2G 提供至少 E 4GE 接口； 3 3 核心交换机生产中心数据交换双主控、双路由引擎、电源 1 + 1、至少 24GE 接口

　7 7

　4 4 汇聚交换机生产前台数据交换至少 E 4GE 24FE 接口 5 5 办公网交换机办公网数据交换至少 E 4GE 24FE 接口

　2.4 网管监控网络规划网管监控网络独立与其它网络，整合了网络设备管理系统、动环监控系统、业务审计系统，主要包括以下功能：

　网络设备通过带外方式集中管理动环监控采集器、视频采集器等设备与动环监控终端联网业务审计系统与报表服务器联网根据各种监控的特点，以及各种网络设备的功能角色，建议网络如下图部署

　网络设备通过带外网管接口连接到网管交换机，与网络维护终端互联；动环监控采集器连接到网管交换机与动环监控终端互联；业务审计系统（可选）旁路在核心交换机，通过交换机的流量复制，接受所有入出核心区域的流量。分析后输出至审计报表服务器。

　各网络设备（系统）功能需求如下表

　动环卷控

　开x«・

　卷IE*持隹事 flsnsa lla

　电嶽fttln

　8 8

　序号设备（系统）

　功能设备参数需求 1 1 动环监控系统机房消防系统、门禁系统、图像系统、温湿度监控等功能。

　满足 0 50 平米机房需求 2 2 网管交换机网管、监控数据交换至少 E 2GE 24FE 接口 3 3 业务审计系统（可选）

　对重要业务数据流采集、分析和识别；发现并及时制止用户的误操作、非法访问、恶意攻击。

　事物处理性能＞0 2000 事物数/ /秒，至少提供 E 2GE 接口 4 4 审计报表服务器（可选）

　审计日心采集、存储 PC server

　2.5 数据中心规划数据中心结构图

　数据中心分别新增两台服务器和存储，服务器和存储采用直连方式。在服务器和存储上配置6GB SAS 接口，实现服务器和存储的互联。为防止数据存储出现单点故障，服务配置两个双口 SAS HBA 卡，存储采用双控制器架构，服务器的每块 HBA 卡分别与存储的两个控制器连接。

　本方案中，一套服务器和存储承载业务系统，对外提供服务。另外一套服务器和存储作为备份服务器和存储，通过 symantec SYMC BACKUP ECXC 备份软件对业务系统进行系统级的备份，当业务系统出现故障可以使用备份数据对业务系统进行恢复。

　业务服务器业务存储汇聚交换机备份服务器备份存储

　9 9

　2.6 业务网网络安全规划业务网网络安全作为平台业务的重要保障，安全建设需要包含以下几方面的内容：

　1 安全防护需求在满足联网业务应用需求的同时，也为网络安全带来了新的风险，包括非法访问、身份不确定、黑客入侵、病毒和恶意代码、安全事件发现和追查不及时等，在建设时必须采取相应的安全措施予以防范。

　(1) 非法访问风险。网络存在多个对外网络接口，因此应建立边界隔离机制，防止非法访问和对管理网的入侵行为。

　(2) 黑客入侵风险。与外部网络互联，具有黑客非法入侵风险。因此网络应具有足够的抗攻击能力，可以检测和抵御来自外部的各种攻击行为。

　(3) 网络攻击风险。不仅有来自外部的网络攻击，内部网络终端和服务器在中木马或病毒后，也会产生攻击流量。

　要求网络具有攻击源识别功能，并作为网络日志实时存储。

　2 、应用层安全针对目前日益增多的应用层网络攻击行为，需要对应用系统和业务数据能够提供有效的安全防护，防止非法访问应用系统、防止对后台数据库的恶意访问、防止 DoS 攻击并保障系统服务的持续性。通过访问审计，帮助用户了解整个系统的使用情况，提供辅助决策功能。

　3 、用户管理对于网络的运维人员进行集中账号管理，账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理，而且还降低了管理大量用户账号的难度和工作量。同时，通过统一的管理还能够发现账号中存在的安全隐患，并且制定统一的、标准的用户账号安全策略。

　4 、安全管理对于各种安全事件应具有安全审计功能，各关键组件应能提供详细的日志记录，能够妥善存储和集中分析，并能进行攻击回放。针对上述需求，除做好安全防护和认证授权外，必须有完善的安全审计功能。

　综上所述，针对目前最常见的互联网攻击类型以及国内外网上系统通常面临的安全威胁，结合云平台实际情况，我们认为可能面临的安全风险和对应的安全

　需求如下：

　序号风险名称受影响对象安全需求 1 1 非法入侵和攻击（网络级、应用级）

　所有网络防火墙、 IPS 2 2 内网攻击大量不安全的主机可能成为僵尸，被利用来向重要网络进行攻击防火墙制疋策略，限制攻击流量、攻击规模，以及漏洞机理分析和日志找出问题主机。

　3 3 数据窃密、篡改数据库系统业务审计

　2.7 后续网络扩容规划网络扩容分为以下 3 种情况：

　1 其它网络连接生产核心网络生产中心网络与其它网络接口必须经过防火墙，为新网络指定安全级别后, 防火墙分配互联端口的优先级和防护策略。如图：

　2 、村镇分行接入到生产中心网络村镇分行与生产前台网络优先级一致，都为 2 级，因此也需要经过防火墙接入中心网络，建议扩容汇聚交换机，将各村镇分行网络连接到生产前台区域的汇聚交换机。如图

　------

　 ------------ * |新增村镇分行网络 J

　 3 、其它功能设备入网随着网络规模扩大，网络安全重要性越来越突出，后续可能会引入业务审计、

　安全运行中心等系统，由于建网时规划了 1 个独立的网管监控网络，所以建议业务审计等系统也部署在网管监控网络。如图：

　3 UPS 电源系统规划 3.1 UPS 电源系统概述 UPS 电源系统是保障机房设备 365 X 24 小时“全天候”稳定、可靠、安全运行的关键因素之一。

　不同类型的 UPS 供电系统只能为用户提供不同级别的保护，它们为信息中心提供的可利用率水平也相差很大。因此 UPS 供电系统应该为各类计算机设备提供充分发挥其技术潜力的运行环境，不应该是只保证对计算机设备提供 100% 勺不中断供电的系统，也应该确保“计算机网络设备”不会因为 UPS 的供电质量不高而处于降额使用状态。另外，从提高信息中心的运行效率的角度来看，还需特别注意正确地设计 UPS 供电系统的接地系统，以便为信息中心能达到 100% 勺高“可利用率”创造优良的电源供电环境。

　3.2 电源系统用户需求分析用户数据中心机房内设备主要为服务器、网络交换、网络存储磁盘阵列类 IT

　 ■丄

　厂 t V f t V t t I f

　篙 3 咀秽 a a n HL

　 I J

　业芻审计汇籃交换机核壮路由器管理动环左控终嚅审计报表服务器网堵錐护绛诵监控室核心交换机 J 防火墙中心机房

　设备，大部分设备均采用 19 英寸机柜安装方式。

　现有负载的计算负荷按 10KVA ，根据实际需要，结合客户相关意见，综合、全面考虑。

　用户对供电系统的要求：

　---- 保证高可用性，在场地允许的情况下，采用冗余供电方式； ---- 提供一套能够跟随用户实际需求，灵活调整容量的电源系统； ---- 管理 / 监控方便，便于及时维护； —保证市电中断后 120 分钟的后备时间； ---- 其他合理的机房相关解决方案 3.3 电源系统设备选型根据项目具体情况，结合用户需求及我公司多年工程经验，建议采用 15KVA UPS 1 套，单机运行方式，电池采用 12V/100AH 电池 29 块。

　3.4 系统解决方案主要技术特点及参数主要技术特点：

　双变换纯在线式设计；可多台 UPS 并机冗余，无须外加并联控制卡；使用大型中文及多国语言图形化 LCD 显示；宽广的输入电压范围（ 380VAC -32%-35% ；具有 ECO 莫式（效率 98% ,可节省大量的电能，节省运营成本；逆变器采用全桥架构技术，可 100% 三相不平衡供电且负载适应性最强；充电系统采DIN41773 国际标准，可快速对电池充电；设计有电池温度补偿，延长电池使用寿命；具有电池防漏液侦测功能；具有电池组共享（Common Battery）

　功能；可远程遥控或面板控制警急事故关机功能（ EPO）

　; 高整机效率，节省能源，减少运营成本；标配有手动维护旁路开关功能（ MBS）; 输入端可作双回路供电设计；

　具有输出隔离变压器设计；隔离变压器的磁性组件采用 H 级绝缘防护等级设计，安全性高；输出过载能力强，且负载适应能力最强；采用多组微处理器控制与模块化设计，维护简易方便；内建 SRAM 可以储存多于 500 笔信息数据；可搭配电力监控软件，对 UPS 作网络及远程遥控遥测；提供超过 4 种以上的通信接口可供选择；智能变速风扇，低噪音，节省电费及提高风扇使用寿命；短路保护设计与超强防雷击保护，确保负载设备安全可靠运行；可作多台（ N+1）

　并机扩容冗余 , 提供经济可靠的高效率供电保护。

　4 消防系统规划 4.1 灭火系统产品简介气体灭火系统在结构上具有以下特点：

　容器阀采用金属膜片密封设计，保证了可靠的密封性能，使灭火剂永久性储存成为可能。

　多种启动方式（气动启动、电启动、电气手动启动、机械应急手动启动）确保系统绝对可靠地启动。

　特殊的电启动装置使启动电流很小，有效地解决了控制部分功耗大，蓄电池容量大等问题，使布局更加合理紧凑。

　直通式瓶头阀的独特结构，使灭火剂流动阻力降低系统结构简单，规格多样，安装、调试方便，操作简单可靠适用范围贵重物品、无价珍宝或公司资料档案及软件。

　无自动喷淋系统或使用水系统造成水损的设备。

　人员常驻的区域。

　灭火剂钢瓶空间有限，须少量的灭火剂，即能达到灭火效能者。

　4.2 气体灭火系统设置要求灭火剂储瓶间设置在专用的钢瓶间内。

　防护区应设泄压装置，并宜设在外墙或屋顶上。当设置在外墙上时应位于防护区净高的 2/3 以上。防护区的门窗的耐压强度＞1200Pa ；门窗的玻璃应采用 5 毫米以上的防火玻璃；保护区的通风系统在喷放七氟丙烷 ( HFC-227ea) 灭火剂前应关闭，并设置防火阀门；保护区的门必须采用自动防火门，保证在任何情况下均能从保护区内打开。

　保护区应有排风设备，释放火火剂后，应将废气排尽后，人员方可进入进行检修，如需提前进入，需带氧气呼吸器，在控制室设置氧气呼吸器。

　5 项目实施安排本项目实施与机房建设、装修同时进行，首先进行设备采购和设计规划工作, 配电系统部署完毕后，进行 UPS 系统建设和网络设备安装；再依次进行服务器和存储安装、网络联调；同时进行消防系统建设、动环系统建设、网管监控系统建设。最后进行业务上线测试。

　5.1 实施进度实施时间以项目开工协调会时间开始时间为准。预计从开工到业务系统上线需 24 天，整体完工需要 30 天。

　任务名称工期开始时间完成时间备注工程开工协调会中心机房装修实施 1 day 8 days 第 1 工作日第 2 工作日第 1 工作日第 9 工作日

　UPS 系统实施 11 days

　UPS 采购 1 days 第 2 工作日第 2 工作日

　UPS 发货 10 days 第 3 工作日第 12 工作日

　UPS 安装 UPS 设备及机柜安装 2 days 1 day 第 13 工作日第 14 工作日第 14 工作日第 14 工作日

　配电及系统测试 1 day 第 15 工作日第 15 工作日

　网络设备（含服务器）实施设备米购 23 days 1 days 第 2 工作日第 2 工作日

　设备发货设备及机柜安装 7 days 5 days 第 3 工作日第 10工作日第 9 工作日第 14 工作日

　网络布线、调通及测试 3 days 第 15 工作日第 17 工作日

　业务系统调研业务系统上线测试 2 days 4 days 第 18 工作日第 20 工作日第 19 工作日第 23 工作日

　系统整体测试消防系统实施 1 day 12 days 第 24 工作日第 24 工作日

　设备米购 1 days 第 2 工作日第 2 工作日

　设备发货 7 days 第 3 工作日第 9 工作日

　设备安装 3 days 第 10 工作日第 12 工作日

　设备测试动环系统实施 1 days 12 days 第 13 工作日第 13 工作日

　设备米购 1 days 第 2 工作日第 2 工作日

　设备发货 7 days 第 3 工作日第 9 工作日

　设备安装 3 days 第 16 工作日第 18 工作日

　设备测试初验 1 days 1 day 第 19 工作日第 30 工作日第 19 工作日第 30 工作日

　试运行终验 3 个月 1 day

　5.2 实施分工项目建设方集成商设备厂商业务调研配合主要负责人

　方案编与配合主要负责人配合光路申请 / 调通主要负责人配合配合工程硬件安装实施配合配合配合设备调测配合配合主要负责人业务割接配合主要负责人主要负责人网络 / 业务测试主要负责人配合配合验收主要负责人配合配合

　6 选型设备介绍及资质 6.1 核心路由器介绍核心路由器实现大型网络的互联。对它的要求是速度和可靠性，而成本则处于次要地位。硬件可靠性体现在双主控、双转发引擎、双电源、双数据通路等来获得。

　XX 银行核心路由器推荐型号为华为公司的 NE20E-8 款式路由器， NE20E-8 秉承华为公司高端路由器的设计思路，以其高性能、双主控、双 NPU 和热备份优势，能够满足企业网汇聚以及数据中心和运营商的电信级高可用性的要求。

　【产品形态】

　转发性能：

　15Mpps~80Mpps 背板带宽：

　40G 冗余电源：内置 ( AC/DC/PoE) , N+1 备份配置双主控板【产品特点】

　领先的 P VRP 平台

　NE20E-8 系列采用 VRP5.0 平台，与华为 NE5000E 是同一平台。

　VRP 操作系统采用 RDF (ResilientDistributed Framework) 弹性分布式架构，通过相对分离的管理平面，业务平面，数据平面和控制平面，极大的提升了整个系统的灵活性，可靠性，可管理性，扩展性。

　华为 VRP 平台成熟稳定，目前现网运行超过 400 万套，其功能丰富性和稳定性也经过了大规模实际应用的磨砺，具备了丰富的业务特性和功能。

　领先的工业设计 NE20E-8 采用业界领先的工业设计，在大容量的基础上实现了 220mm 深度，适合各种空间布放条件；同时其抗高温低温的设计可以满足 -40~65 C 的工作条件，非常适合条件恶劣的室外布放。同时其功耗能够做到低于业界水平。

　强大的业务支持能力 NE20E-8 具有强大的路由能力，支持超大路由表，提供 RIP 、 OSPF 、 IS-IS 、 BGP4 和多播路由等丰富的路由协议，支持明 / 密文认证，具备快速收敛功能，保证在复杂路由环境下安全稳定。

　NE20E-8 具有强大的业务承载能力，根据组网需求可以同时部署 L2VPN 、 L3VPN 、MVPN ，支持和 TE ( TrafficEngineering )同时部署，支持丰富的接入类型( E1 、 POS cPOS 、 GE 、 10GE )，支持灵活 QinQ ，支持 DHCP ，还可提供 Netstream 等功能，适应传统的接入需求和新兴的业务需求，满足多业务融合丰富的承载需求。

　NE20E-8 具有强大的可扩展组播能力，支持丰富的 IPv4/IPv6 组播协议，包括 PIM-SM/SSM 、 MLDv1/v2 、 IGMPv3 ， IGMPSnooping 等特性，可以灵活承载 IPTV 等视频业务，可以满足各种规模的组播业务的需求。

　全方位的可靠性解决方案 NE20E-S 从多个层面提供可靠性保护，包括设备级、网络级、业务级可靠性，形成了面向整个网络的解决方案，完全满足电信级的可靠性需求，是构筑电信级业务的基石 , 达到 99.999 % 的系统可用性。

　设备级可靠：

　NE20E-S 提供关键部件的冗余备份。关键组件支持热插拔与热备份，

　NSR ( Non-Stop Routi ng )， NSF ( No n-Stop Forwardi ng )等技术一起保障无中断业务运行。

　网络级可靠：

　NE20E-S 提供 IP/LDP/VPN/TE 快速重路由， Hot-Standby, IGP 、 BGP以及组播路由快速收敛，虚拟路由冗余协议( VRRP ， Virtual Router Redundancy Protocol )， TRUNK 链路分担备份， BFD 链路快速检测， MPLS/ Ethernet/MPLS-TP OAM ，保证整网稳定性，可以提供端到端 200ms 保护倒换，业务无中断。

　业务级可靠：

　NE20E-S 提供的 VPN FRR 和 E-VRRP 技术， VLL FRR 和 Ethernet OAM 技术以及 PW Redundancy 和 E-Trunk 技术，可以应用于 L3VPN 和 L2VPN 组网方案中，保证业务层面的冗余备份，使业务稳定可靠，不中断。

　【组网应用】

　金融网点接入组网对于金融行业来说， NE20E-8 可作为地市或省级的汇聚设备，是适合作为金融网点的理想接入设备。

　NE 系列路由器具有超强的并发业务处理能力，可保证金融网点业务的流畅处理，另外， NE 系列路由器具有综合的硬件和软件的可靠性技术支撑，确保金融网点业务的不间断。

　独联体某银行数据中心组网 •地市或省级采用 NE20E-8 设备来做汇聚路由器，为提高汇网络的可靠性，汇聚层一般采用双设备 •新型金融网点会对不同客户群提供差异化的服务， NE 路由器丰富的 QoS 技术可满足这种对带宽进行差异化的应用需求 6.2 防火墙介绍 XX 银行防火墙推荐型号为深信服公司的 AF-1320 款式防火墙。深信服下一代防火墙( Next-Generation Application Firewall ) NGAF 是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

　NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

　区别于传统的网络层防火墙， NGAF 具备 L2-L7 层的协议的理解能力。不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

　区别于传统 DPI 技术的入侵防御系统，深信服 NGAF 具备深入应用内容的威胁分析能力， EB080E NE20E S9312 S93 Server E8080E NE20E S9312 S9312 S9306 Server

　具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

　同样都能防护 web 攻击，与 web 应用防火墙关注 web 应用程序安全的设计理念不同，深信服下一代防火墙 NGAF 关注 web 系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

　【产品形态】

　网络吞吐量：

　2Gbps 并发连接数：

　1000000 VPN 会话支持：

　400 主要功能：状态检测、 VPN 、抗 DDoS 、 NAT 、应用扫描、漏洞攻击、 Web 入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码。

　端口容量：

　6GE 选配功能模块：

　IPS 、 URL 、 AV 【产品特点】

　1 、双向内容检测技术 NGAF 可实现对 HTTP/HTTPS 协议的深入解析，精确识别出协议中的各种要素，如cookie 、 Get 参数、 Post 表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，可以精确的检测其是否包含威胁内容。而传统的 IPS 基于 DPI 深度数据包解析技术，只能实现在网络层数据包层面进行重组还原及特征匹配，无法解析基于HTTP 协议的内容分析，很难有效检测针对 web 应用的攻击。而具备简单 web 攻击防护的IPS, 仅仅是基于简单的特征检测技术，存在大量的漏报误报的信息。

　SQL 注入特征 XSS 攻击特征敏感信息特征帧头 [ Ip 头 Ttp 头恶意代码 1 1

　1 丿状态检测应用特征应用威胁特征

　深度内容检测

　NGAF 作为 web 客户端与服务器请求与响应的中间人，能够有效的避免 web 服务器直接暴露在互联网之上， NGAF 双向内容检测技术可检测过滤 HTTP 双向交互的数据流包括response 报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤。

　2 、典型的 Web 攻击防护，防止 Owasp 十大 web 安全威胁深信服下一代防火墙 NGAF 有效结合了 web 攻击的静态规则及基于黑客攻击过程的动态防御机制，实现双向的内容检测，提供 OWASP 定义的十大安全威胁的攻击防护能力，有效防止常见的 web 攻击。（如, SQL 注入、 XSS 跨站脚本、 CSRF 跨站请求伪造）从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

　3 、基于应用的深度入侵防御，有效防止服务器漏洞利用攻击 NGAF 基于应用的深度入侵防御采用六大威胁检测机制：

　攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击，实时阻断黑客攻击。如，缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、 DoS/DDoS 攻击探测、扫描、间谍软件、以及各类 IPS 逃逸攻击等。

　通过 NGAF 的部署可有效防止利用 web 服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击，使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。

　4 、可定义的敏感信息防泄漏，有效防止“拖库”、”暴库” NGAF 提供可定义的敏感信息防泄漏功能，根据储存的数据内容可根据其特征清晰定义，通过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案可以自定义多种敏感信息内容进行有效识别、报警并阻断，防止大量敏感信息被非法泄露

　通过深信服深度内容检测技术的应用，深信服下一代防火墙具备深度内容检测的能力。能够检测出通过文件、数据流、标准协议等通过网关的内容。因此具备针对敏感信息，如 186 、 139 等有特征的 11 位的手机号码、 18 位身份证号, 有标准特征的 @ 邮箱等有特征数据进行识别。并通过分离平面设计的软件构架，实现控制平面与内容平面检测联动，通过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。

　5 、智能的 DOS 攻击防护，保证网络访问可用性 NGAF 采用自主研发的 DOS 攻击算法，可防护基于数据包的 DOS 攻击、 IP 协议报文的 DOS 攻击、 TCP 协议报文的 DOS 攻击、基于 HTTP 协议的 DOS 攻击等，实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护，实现 L2-L7 层的异常流量清洗。

　帔賂晶态下爰邮箱账户信息银行卡号社保账号手机号码 MD5 加密密码身份证号码信用卡号

　单贤略 ■询俪湘 I . 丑下忑第配 it . 总知 n 洞穽毎 -Mfritjh I 蜩斬 .和协妙族.心吠蘇奏 T 缶舌颐 I .的曲曲讲.卿齐为哦哦单集略 I . « T . 如创昨.卅略的抿丈丹单 H ■启越 ■載帝

　6 安全风险评估与策略联动，降低安全维护成本 NGAF 基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。

　通过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险，并通过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。

　帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题，并做出有针对性的防护策略。

　7 、完善产品容错能力，保证网站访冋的稳定性硬件 bypass NGAF 可实现硬件故障 bypass 保证数据中心稳定性。借助于掉电保护模块，可保证 NGAF透明模式在断电、硬件故障等异常情况下能够确保网络的通畅性，并实现微秒级切换。

　NGAF

　关键部件冗余 NGAF 支持关键部件冗余的容错机制，保证设备在高温等恶劣环境下出现故障时的快速切换。

　支持双电源，避免由于单电源故障造成的系统不能访问风扇 1+1 冗余，避免单风扇在高温情况下不能工作的问题支持热插拔存储介质冗余为保证存储日志的冗余，防止硬盘出现故障时无法记录日志的问题，能够避免由于单磁盘故障造成设备不能使用的情况。

　分离平面设计

　深信服 NGAF 采用 OS 分离平面设计，数据流平面上分为控制平面、网络数据转发平面与内容检测平面。网络层数据转发平面主要作用在于使数据包快速缓存并转发；内容检测平面主要用户数据流应用识别与安全分析，结合应用识别、漏洞特征识别、 web 攻击流量识别等模块完成应用层安全分析与防护。

　使用数据转发平面与内容检测平面相分离的技术设计，能够优化处理流程，有效保障网络数据的可用性。正常情况下，数据流由数据转发平面复制到内容检测平面进行深度内容检测，当有威胁内容时，通过控制平面阻断数据转发平面有威胁数据的外发，保证内容的安全性。

　当内容检测模块出现故障时，通过控制平面数据转发层面会将数据正常转发，保证网络畅通保障业务正常运行。

　【组网应用】

　 I^^J N GAF I

　 ■ w

　*—巾

　L亠城网

　6.3 核心交换机介绍核心交换机提供高密度的千兆、万兆接口线速转发能力，适于业务集中数据中心、城域网出口等应用场景。业务的重要性也对它提出了双主控、双转发引擎、双电源的需求。

　XX 银行核心路由器推荐型号为华为公司的 S9300 款式交换机。

　Quidway S9300 系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能 T比特核心路由交换机。广泛适用于能源、政府、交通、电力、教育、医疗、军队、公安、金融、广电等各行业。

　主要定位于企业广域网 / 城域网，企业出口 / 核心 / 汇聚，高密度千兆接入，以及数据中心，帮助企业构建面向业务的网络平台。

　广域网边界 NGAF

　电超块 720G 交换容量， 3T 背板带宽最大端口密度：

　144GE/144FE/ 144*10GE 包转发率 540Mpps 配置 24GE 光接口板和 48GE 电接口板各 1 块。

　【产品特点】

　1 、端口交换容量平滑升级线卡支持 48*10G 高密万兆接口，业界密度最高，充分满足园区高密核心与数据中心大带宽需求；整机硬件架构满足未来交换容量和功率需求，单端口 40G/100G 平滑升级，节省投资；支持多框集群技术，交换容量显著提升。

　2 、丰富的软件协议平台华为 15 年多持续研发 VRP 软件平台支持上千种协议，全面满足客户需求；目前全球数万家客户，现网 600 万 + 设备运行考验；与现网全部主流数据厂商设备无缝互通对接，保护现网投资。

　3 、归一化平台，节能芯片整机高度归一化设计，电源、风扇等全部通用，减少备件种类，节省投资。

　自主节能芯片，高效节能管理平台，成为业界绿色标杆。

　【组网应用】

　【产品形交换路田引擎线卡风扇框

　 6.4 服务器产品介绍 XX 银行数据中心推荐服务器为 DELL 公司的 PowerEdge R72C 款式服务器。

　Dell PowerEdge R720 机架式服务器是一款配有高度可扩展内存（最高可配 768 GB ）与超强 I/O 能力的通用平台，能够轻松运行大中型企业的各种应用程序以及虚拟化环境。借助英特尔？至强？

　E5-2600 处理器和对双 RAID 控制器的支持, R720 可以稳健地处理要求极为苛刻的工作负载，如数据仓库、电子商务、虚拟桌面基础架构（VDI）

　、数据库以及作为数据节点的高性能计算（ HPC）

　。

　【产品形态】

　处理器：英特尔？至强？处理器 E5-2600 产品系列华为解决方耒及价値 •节皆吨叱 18^593 id f 窒变斗盹E 坯肓 "重丄扈机與是申雪覗行一巫闵®中 -円审性亿吏奁■童京非世脊* •由于设的冷*占用空爾尢丸 ft 片弋 V 订 M 靠三 iz 寻 99 999 號・谊音/列培霰可靠性 "节書电乂

　处理器插槽数量：

　2 个内部互连：

　2 个英特尔 QuickPath 互连（QPI）

　链路； 6.4 GT/s ; 7.2 GT/s ; 8.0 GT/s 高速缓存：

　每核心 2.5 MB ;核心数量选项：

　2 、 4 、 & 8 内存：

　最高可配 768 GB （ 24 个 DIMM 插槽）：

　2 GB/4 GB/8 GB/16 GB/32 GB DDR3 （最高 1600 MT/s ）

　I/O 插槽：

　7 个 PCIe 插槽：

　? 1 个 x16 插槽，全长、全高 ? 3 个 x8 插槽，全长、全高 ? 3 个 x8 插槽，半长、半高最大内部存储容量：

　24 TB 【产品特点】

　双路 2U 机架式 Dell? PowerEdge? R720 服务器树立了功能灵活性方面的新标准，配备高度可扩展的内存、 I/O 容量和灵活的网络选项，可以轻松运行复杂的工作负载。

　管理数据过载借助 R720 灵活而又强大的 I/O 和存储能力，跟上虚拟化时代数据急剧增长的步伐。最多可配 16 个内置硬盘和支持 PCI Express? 3.0 的集成扩展插槽极大地提高了容量，而可选配的热插拔、正面接插 PCIe 固态硬盘（最多可配 4 个）

　可实现性能增强和机箱内存储分层。

　另外，戴尔精选网络适配器能够视需要选择正确的网络结构，而无需占用宝贵的 PCI 插槽。

　加速解决方案通过将 PowerEdge R720 的高内存密度与可选配的 GPU 加速器（有些有超过 500 个内核）相结合，大幅增强 HPC 或 VDI 环境的性能。从一系列 GPU 选项中选择，以获得更大的辅助性能。

　借助 0 R720 提高虚拟化水平通过使用 PowerEdge R720 的大内存配置扩展虚拟环境，从而最大限度地提高数据中心的应用程序容量。选择业界领先的虚拟机管理程序，并利用我们的系统管理功能管理物理和虚拟资产。利用冗余的故障保护型虚拟机管理程序， R720 可帮助您最大限度地提高虚拟机的正常运行时间。最后一点，通过戴尔的虚拟集成系统? （VIS）

　解决方案，您只需轻点几下鼠标就可以启用复杂的虚拟化环境。

　6.5 存储产品介绍 XX 银行数据中心推荐存储设备为 DELL 公司的 Powervault MD3200 阵列。

　PowerVault MD3220 是戴尔的新一代直连共享串行连接 SCSI （SAS）

　阵列，经鉴定适合在 Microsoft Hyper-V 、 Citrix XenServer 和 VMware 虚拟环境中使用。

　【产品形态】

　硬盘 MD3220 最多可配置二十四（ 24）

　个 3.5 英寸 SAS NL SAS 和固态硬盘产品：

　3.5 英寸硬盘的性能和容量 15,000 RPM SAS 硬盘，容量规格为 300 GB 450 GB 和 600 GB 7,200 RPM 近线 SAS 硬盘，容量规格为 500 GB 1 TB 、 2 TB 和 3 TB 产品：

　2.5 英寸硬盘的性能和容量 15,000 RPM SAS 硬盘，容量规格为 73 GB 和 146 GB 10,000 RPM SAS 硬盘，容量规格为 146 GB 300 GB 和 600 GB 7,200 RPM 近线 SAS 硬盘，容量规格为 500 GB 固态硬盘（SSD）

　，容量规格为 149 GB （适用于 3.5 英寸硬盘托架）

　存储设备采用 MD1200/MD122 扩展盘柜，最多可配置 192 个硬盘连接性 8 个 6 Gb SAS 端口（每个控制器 4 个）

　【产品特点】

　管理系统 MD3220 阵列由新一代 MD Storage Manager （—个直观、易于使用的基于客户端的应用程序）管理 •通过两种不同的管理途径，可轻松实现用户交互（即使只对存储系统有基本了解的用户也能够使用）。

　-企业窗口功能可通过单个界面监控多个系统 •基于向导的阵列管理有助于简化配置流程。

　•该软件会检测问题并就检测到的任何问题对您进行提醒，另外还会启动自动 Recovery Guru 来帮助排查和解决问题。

　MD 阵列系列经过测试、验证和担保，可在 ASHRAE 美国采暖、制冷及空调工程师协会)当前发布的最高温度和湿度指标下运行，即能够在高达 113 ° F (45 ° C) 的温度(允许有偏差)下短时间运行。利用此设备组合所具备的耐热和可靠性优势，客户能够运行数据中心更长时间，从而帮助降低额外的维护和基础架构成本，同时降低总能耗。

　更加先进的功能选择可选的高级功能，让您更安心。借助更高级别的数据保护和可用性，有助于在发生存储故障时减少数据丢失和损坏，并缩短系统停机时间。

　快照借助时间点数据备份功能，可以轻松恢复意外更改或删除的文件。

　虚拟磁盘备份 (VDC) 通过完全复制源数据，可实现快速、无缝的虚拟磁盘迁移以及基于磁盘的备份和恢复。

　自我加密硬盘 (SED) 采用硬盘级加密，即使已从盘柜中卸下硬盘，未经授权的用户也无法使用数据。

　即时安全擦除改变 SED 的用途或者淘汰 SED 寸，永久且安全地删除数据。

　高性能层级 (HPT) 满足最苛刻的性能要求，让您的组织能够保持高工作效率和高竞争力。

　附加的硬盘高级功能密钥能够最多添加 192 个硬盘，从而为 MD 系列阵列扩充容量。

　7 设备预算 7.1 预算概要序号项目名称金额 1 网络设备

　2 动环监控系统

　3 UPS 系统

　4 消防系统

　5 服务器存储

　项目造价

　1 成本总计

　2 集成费（ 15%

　3 项目总价

　 7.2 预算清单序号名称型号数量单价金额一、网络设备

　 1 核心路由器 40G 平台高端路由器，双主控，双电源， 4 个光电互斥 GE 接口 1

　 2 核心交换机 40G 平台高端交换机，主控板 2 块，交流电源 2 块， 24 光口， 48 电口 1

　 3 防火墙 FW+IPS+URL 功能，吞吐量 >2G ， 6 个 GE 电接口 1

　 4 汇聚交换机 / 网管交换机 24 个 10/100/1000Base-T,4 个 100/1000Base-X Combo 口 4

　 5 网络设备机柜 600*900*2000 、黑色、带 4 个托盘、双路供电， 2 个 8 孔防雷 PDU ，内置插座。

　 6 服务器机柜 650*1000*2000 ，黑色，带 5 个托盘，双路供电， 2 个 8 孔防雷 PDU ，内置插座。

　 7 电源机柜 650*1000*2000 ，黑色，带 5 个托盘，双路供电， 2 个 8 孔防雷 PDU ，内置插座。

　小计

　二、动环监控系统

　 1 供配电监测子系统

　2 漏水检测子系统（国产漏水检测设备）

　 3 温湿度监测子系统

　 4 消防监测系统

　 5 图像子系统

　 6 门禁子系统

　 7 中心监控配置

　 8 安装、调试

　小计

　三、 UPS 系统

　 1 UPS 主机科华 KR-3315 1

　 2 电池 100 安时 32

　 3 电池柜 B32 电池柜 B32 1

　小计

　四、消防系统

　 1 七氟丙烷无管网

　 2 机械式泄压口

　 3 火灾报警系统设备

　 4 设计施工费

　小计

　五、服务器 & 存储系统

　 1 服务器 2 颗 E5-2620 （2.00GHz, 15M 缓存，

　7.2GT/S QPI, Turbo, 6C 95W）

　;内存：

　32G 3*300GB 15K RPM 6Gbps SAS 3.5 英寸热插拔硬盘；四口千兆网卡； 4 个 6GBpsSAS 接口；冗余电源； DVD 光驱；导轨；三年原厂专业技术服务 2

　 2 存储双控制器；每台控制器缓存 2GB 4 块 900GB 10K RPM 6Gbps SAS 2.5 英寸硬盘；每控制器 2 个 6GBps SAS 接口 2

　 3 Symantec 备份软件 Symantec SYMC BACKUP EXEC SYSTEM 含主备份模块和系统备份模块）

　 4 KVM 8 口输出，带键盘、鼠标、显示器 1

　 5 操作系统 windows server 2008 R2 中文标准版 2

　小计

　总计

　集成费

　项目总价

推荐访问:网络建设银行方案

上一篇：法律职业资格考试《公司法》历年真题及详细解析1012-50
下一篇：学习习近平总书记赴广东考察心得体会2篇

推荐文章

推荐内容

公务员考试推荐文章

公务员考试热门文章

xx银行生产网络建设方案

来源：公务员考试 发布时间：2020-10-17 点击：

来源：公务员考试发布时间：2020-10-17 点击：