问时,都需要经过防火墙的身份验证,因此增加了防火墙的负担。
信息中心的交换机是整个网络内部数据交换的主要设备。我们建议使用支持三层路由功能的交换机。这类交换机拥有相对较大的背板带宽,较高的交换性能和包转发率;能够支持所有IEEE定义的交换协议;能够支持一定程度的三层路由协议;能够根据需求定义每端口的状态,包括流量、速率、双工等参数;并且在支持四到七层的网络连接和网络应用方面也有一定的优化。
在与防火墙连接的DMZ区中,是整个国家教育网络系统的服务和数据中心。我们建议采用三台服务器和一个磁盘阵列,其中一台Mail服务器、一台网络防病毒服务器、一台数据库服务器。主要功能如下:
Mail服务器——完成国家教育部内网Email功能,为实现无纸化办公打下坚实的基础。
网络防病毒服务器——在国家教育部内网的每一台PC上安装该软件的客户端即可,能实现全网的防毒、杀毒功能,需要定期升级病毒库。
数据库服务器——作为各种应用程序的低层数据库系统。提供平滑升级的能力将在今后的很长一段时间里为全网的各种应用提供支持。
磁盘阵列——整个国家教育网络系统的数据存储设备,需要提供较大的存储容量,并能支持各种存储方式,数据写入磁盘的同时进行备份。以便进行数据灾难恢复。
在使用磁盘阵列的基础上,我们还建议使用磁带备份的方式,将每周或每月数据用磁带拷贝后单独保存。这样,我们可以确保在磁盘阵列的存储空间受限的情况下保留很长时间的历史数据,同时也保证了一旦裁判阵列出现毁灭性的硬件故障时,把我们的数据损失降到最低限度。
三、网络设备特点
1、路由器
教育部信息中心路由器需要连接14条DDN专线和14条ISDN线路,我们建议采用港湾NetHammer G708骨干路由器。NetHammer G708骨干路由器是港湾网
20
络为了满足新一代Internet网以及企业骨干网的需求变化而推出的,定位于大型企业广域网的核心、大型城域网的骨干汇聚。NetHammer G708骨干路由器改变以往路由器以协议处理为中心的架构,转变为以应用处理为中心平台架构,增强了产品的可靠性和多业务IP网络汇聚的功能,实现IP数据包的高速处理。在日益复杂的业务网络环境下能够保持处理性能不下降。NetHammer G708骨干路由器是新型NP结构的骨干路由器,在设计上作了多项优化以提高处理能力和对新业务的适应能力,具备业界卓越的处理性能和处理指数级增长的混合业务的高效能力。
NetHammer G708骨干路由器支持主控、电源等关键部件的冗余备份,主控板、业务接口板、电源模块支持热插拔;NetHammer G708采用单主控,电源1+1冗余备份。对于大型企业/行业的广域互连网络,随着用户业务量的不断增长,需要大量采用高带宽的E1或E1捆绑来作为骨干链路,而且运营商E1链路租用费用的下降也促进用户大量采用E1作为广域链路。
基于高性能NP和硬件并行流处理技术,NetHammer G708骨干路由器具备极强的NAT性能,整机可以支持一百万个并行NAT会话的能力,支持城域网边缘公网、私网地址的混合组网。NetHammerG708骨干路由器NAT功能提供应用层协议标识和处理,支持VoIP、Netmeeting等业务的透传。
NetHammer支持基于DiffServ模型的IP/MPLS QoS策略,为网络业务流量提供了精确的流分类粒度,支持CAR/GTS、RED/WRED/SARED、PQ/CQ/WFQ/CBWFQ,精确保证不同业务的带宽和时延,极大增强了对网络流量拥塞的有效控制。NetHammer G708的QoS业务特性有助于提升IP网络的品质,满足用户对高质量业务的需求,实现数据、语音、视频等业务在IP网络上的融合与统一。
港湾公司HammerView智能网管系统是一种增强型网元级网管系统,可对港湾全网设备进行智能化的管理。全网QoS策略智能配置; Email、手机短信等多种告警方式;分级分权管理。开放式统一网管平台EasyTouch是面向国内用户提供的中英文界面的开放式综合网管平台,提供开放式接口,可集成第三方的网元级网管系统,识别以及管理其他厂商的设备,真正实现全网的集中有效管理,EasyTouch基于JAVA技术,无需任何修改即可运行在Microsoft Windows2000/XP、HP-UX/Solaris等多种操作系统中。
21
NetHammer G708骨干路由器主要技术参数:
产品名称 总槽位数 业务板槽位数 主控 交换容量(全双工) 转发能力 电源 满配功耗 机箱高度 工作温度 环境湿度
2、防火墙
神州数码DCFW-1800防火墙是一款功能强大、性能卓越的的网络安全设备。DCFW-1800基于高速稳定的硬件平台,并采用经过安全加固的专用操作系统,因此具备极高的安全性和可靠性。除了提供强大的多级过滤功能外,DCFW-1800还具备时间段控制访问、应用代理、地址转换、地址映射、MAC地址绑定、入侵检测、完整的日志审计、双机热备份、流量控制、带宽管理等完备的功能,真正的透明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙,并可使防火墙免遭黑客攻击;支持与第三方IDS产品互动,可以有效防止各种网络攻击行为。DCFW-1800支持VPN加密,使得用户可以利用Internet建立安全加密通道,在享有灵活性、安全性的同时节省昂贵的专线费用。
DCFW-1800防火墙性价比极高,将高速的数据处理能力、高度的安全性及简单易用等特性有机地结合在一起,为政府、军队、企业和教育等各行各业的网络提供坚实可靠的保护。
DCFW-1800防火墙的性能特点:
多级过滤机制——DCFW-1800 防火墙采用多级过滤机制,提供从第二层到第七层的多级过滤。其中工作在第二、三层之间的动态包过滤对于应用程序是完全透明的,能够使防火墙高效率地工作;应用程序内容过滤则可对
22
NetHammer G708 10 8 双主控 4G >=1.5MPPS 2+1备份 500W 6 0~40 摄氏度 10~90% 不结露 HTTP、SMTP、FTP等应用进行细致地限制,使防火墙具备更高的安全性。多级过滤机制能够灵活提供基于地址、协议、端口、时间和用户保留地址(非法地址)等信息的包过滤和互联接入,从而最大限度确保防火墙系统自身的安全性,提高对网络的保护能力并增强控制的灵活性。
真正的透明接入方式——DCFW-1800防火墙支持真正的透明接入方式。透明接入是防火墙常用的一种工作方式,在网桥模式下,采用透明接入对于正常使用网络的合法用户来说,任何防火墙的功能都是不可感知的。透明接入使得网管人员可以在不更改现有网络配置的情况下安装或卸载防火墙,而且客户端也不需要做任何额外设置,即可直接使用代理服务,从而给网络的使用和维护带来极大的方便。若在路由模式下,则可通过ARP-Proxy地址解析代理功能实现透明接入。
网络地址转换和映射——DCFW-1800防火墙支持网络地址转换(NAT)和地址映射功能。利用NAT技术可以实现内部网虚拟IP地址(非法地址)与对外真正IP地址(合法地址)之间的转换,从而隐藏内部网地址,提高网络安全性。另外,合法IP地址非常紧张,任何企业网都不可能为每位用户提供单独的合法IP地址,NAT使得内部网用户可以共享一个合法IP地址接入互联网,达到节省IP地址的目的。DCFW-1800可支持多对一、一对多等动态NAT以及一对一地址映射等地址转换功能。
MAC地址绑定——DCFW-1800防火墙支持MAC地址绑定功能,可以将用户主机的IP地址与网卡的MAC地址一一对应起来实现用户鉴别,防止内部用户之间的地址欺骗。
入侵检测——DCFW-1800防火墙集成了入侵检测技术,可以通过实时截获网络数据流,发现违规模式和未授权的网络访问尝试,并根据系统安全设置作出实时报警、时间日志等反应,有效防止黑客入侵。DCFW-1800可以防止Ping-of-Death、Win nuke、Tear drop 、Syn flooding等多种常见的DOS(Denial of Service)攻击。
流量控制——DCFW-1800防火墙可以实时检测内部用户的流量,对不同用户每天分配固定的流量限额,当其通过防火墙对外通信的交互流量累计到该限额时,防火墙即切断该用户的对外访问。流量控制可以提高带宽利用率,
23
确保关键应用的带宽;对于按流量计费的专线用户,还可以有效控制线路费用。
多层次分布式带宽管理——DCFW-1800防火墙的带宽管理完全虚拟了网络带宽应用的实际环境,并实现多层次的分布式管理模式,避免了单层集中管理的缺点;而且,可以实现带宽分层、带宽分配、带宽优化等管理,优化网络资源的应用,提高网络资源应用效率。
双机热备——DCFW-1800防火墙支持双机热备功能,即在网络中部署两台防火墙,当其中一台不能正常工作时,另一台防火墙可以检测到,并立即接替原防火墙的工作,确保对网络实施不间断的保护。这种功能对于金融、电信、军队等可靠性要求极高的行业非常重要。
3、交换机
FlexHammer24是港湾网络有限公司基于成熟的以太网ASIC技术和自主研发的HammerOS操作系统,在充分吸取业界三层交换技术成果的基础上开发的智能多层交换机。在具备传统三层交换机容量大、高速转发性能优点的同时,FlexHammer24增加了完善的运营、管理等电信级特性,能提供802.1x认证手段和计费、带宽控制、地址防假冒和SuperVlan等功能,支持PPPOE、Web认证,从而满足电信级以太网接入的要求。
Hammer系列产品均采用港湾网络的HammerOS网络操作系。HammerOS网络操作系统专门针对三层交换机而设计,将控制和数据功能分离,采用模块化层次结构,将软件的灵活性和硬件处理的高速度有机结合,保证了系统的高性能和稳定性。自主设计的HammerOS为您的系统提供了安全保障。
关键特性和优势
大容量,全线速交换——15Gbps Crossbar无阻塞交换结构,所有端口可工作在全双工线速状态。
智能多层交换——基于硬件ASIC的三层交换技术大大提升了网络路由数据包的转发能力,保证应用层服务质量;支持第四层交换功能,可对应用流进行区分、检测、管理和控制。
24