河北省分行河北省分行龍卡業務信息管理系統需求說明書龍卡業務信息管理系統項目組2001年10月需求說明書文檔信息項目名稱作者審核建立日期文檔編號密級龍卡業信息務管理系統項目組2001/10/11D02-A項目內部用戶信息用戶名稱中國建設銀行河北省分行版本信息版本號最近更新日期Ver1.0.0

修訂記錄日期修訂說明修訂人目錄TOC\o"1-2"\h\z第一節概述 目錄1整體建設項目概述 22網絡項目規劃 22.1網絡規劃概述 22.2安全域劃分 32.3業務網規劃 52.4網管監控網絡規劃 72.5數據中心規劃 82.6業務網網絡安全規劃 92.7后續網絡擴容規劃 103UPS電源系統規劃 123.1UPS電源系統概述 123.2電源系統用戶需求分析 133.3電源系統設備選型 133.4系統解決方案主要技術特點及參數 134消防系統規劃 144.1滅火系統產品簡介 144.2氣體滅火系統設置要求 155項目實施安排 155.1實施進度 165.2實施分工 176選型設備介紹及資質 186.1核心路由器介紹 186.2防火墻介紹 216.3核心交換機介紹 276.4服務器產品介紹 296.5存儲產品介紹 317設備預算 337.1預算概要 337.2預算清單 33整體建設項目概述XX銀行地處XX市中心，目前設立市場部、風險管理部、營業部、綜合辦公室…，信息接入點XX個。因業務開展，需建設銀行業務系統，上聯系統為浙江總部。機房面積70平方米；周圍無易燃、易爆等隱患，無危險建筑；機房區域劃分為主機房區與監控機房區；按機房消防標準進行設計；強電、弱電分布符合國家標準；綜合布線清晰、合理、安全、規范，易于維護，易于擴展；管道鋪設保證機房安全。網絡項目規劃銀行業務網絡是銀行運營信息系統的基礎。網絡平臺將信息交換、安全防護、安全管理和監控有機結合起來，貫穿整個信息系統的所有層次，是系統正常運轉的重要保障。本部分重點講述及細化XX銀行業務網絡的具體規劃建設和項目預算。網絡規劃概述XX銀行從整網結構分析，屬于二級分行角色。通過跨省WAN鏈路上聯浙江一級分行，通過城域網內WAN鏈路下聯村鎮分行。網絡規劃以XX業務網絡為原點，從橫向和縱向開始規劃，逐漸形成一個橫縱聯系的網絡。從縱向來看，XX銀行網絡分為2層，第1層為XX業務網絡，第2層為村鎮分行業務網絡；從橫向來看，一般銀行網絡都按照應用劃分為辦公子網、生產子網和外聯三個子網，省級以上網絡還要包含MIS子網、網上銀行、測試子網等。由于網絡目前還處在組網的初級階段，因此本次規劃僅考慮XX生產子網的建設，不考慮其它子網的建設，但在規劃時要考慮網絡可擴展性，保證在總體結構不變的情況下，業務網絡能夠部署連接其它子網的橫向接口，以及連接村鎮分行的縱向接口。安全域劃分對于銀行業務網絡來說，首要的一點就是應該根據國家有關部門對相關規定，將整個業務網絡進行網絡結構的優化和安全域的劃分，從結構上實現對安全等級化保護。根據《中國人民銀行計算機安全管理暫行規定（試行）》的相關要求：“第六十一條內聯網上的所有計算機設備，不得直接或間接地與國際互聯網相聯接，必須實現與國際互聯網的物理隔離。”“第七十五條計算機信息系統的開發環境和現場應當與生產環境和現場隔離。”因此進行網絡規劃時，有必要將生產業務網絡與具有互聯網連接的辦公網絡之間區分開來，通過強有力的安全控制機制最大化實現生產系統與其他業務系統之間的隔離。同時，對銀行所有信息資源進行安全分級，根據不同業務和應用類型劃分不同安全等級的安全域，并分別進行不同等級的隔離和保護。初步規劃將業務網絡劃分成多個具備不同安全等級的區域，參考公安部發布的《信息系統安全保護等級定級指南》，我們對安全區域劃分和定級的建議如下（不涉及的子網沒有列出）：安全區域說明定級建議生產核心區域包含業務服務器主機；業務審計系統（可選）3級業務區域業務前臺終端2級網管監控區域包含維護網絡信息系統有效運行的監控服務器主機和管理終端；動環監控服務器和終端。1級辦公區域包含辦公網絡PC和其它網絡設備1級上表安全級別為降序排列，生產核心區域具有最高安全級別，原則上與辦公區域、網管監控區域物理隔離，特殊情況下，如果部分辦公業務用戶需要訪問生產業務中的特定數據，而部分生產應用也需要訪問辦公網中的特定數據，建議在業務網與辦公網之間采用邏輯隔離手段進行嚴格控制。業務審計系統（可選）要對業務網絡的所有流量進行審計，所以也部署在生產區域。業務區域包括柜臺終端，需要連接核心區域，具有較高安全級別。網管監控區域用于網絡監控，設備遠程維護，以及動環監控，該區域不需要與其它區域連接，所以建議網絡設備使用帶外管理方式，與其它網絡物理隔離。辦公區域安全級別較低，在大型網絡中一般使用MIS子網進行過渡，這里建議使用嚴格訪問控制，僅允許辦公區域訪問生產區域中特定數據。總體邏輯結構如圖所示：銀行網絡安全結構示意圖業務網規劃業務網作為信息資源平臺，主要包括以下信息業務：業務核心服務器和服務前臺終端數據交換。服務器之間，服務器和存儲之間數據交換、數據處理。業務網和總部數據中心之間數據交換、報表。根據各種信息流的特點，以及各種網絡設備的功能角色，建議網絡如下圖部署。核心路由器作為總出口通過專線與浙江總部上聯；下行通過千兆鏈路連接防火墻。建議使用高性能、可靠性路由器，保證雙主控、雙路由引擎、雙電源、雙風扇的硬件冗余；線卡引擎和業務板卡的兩級熱插拔技術、雙主控熱備份技術，全面保證可靠性達到電信級標準。中心網絡所有出網流量都經過防火墻。建議使用數據中心防護級別的防火墻，同時具備IPS功能防御網絡攻擊。防火墻根據各區域的安全級別，分配各端口的優先級和防護策略；；核心交換機承載中心服務器、存儲、前置機等核心設備的數據交換。建議使用支持主控板冗余、電源冗余的高性能、高端口密度交換機。生產前臺區域需要部署1臺或多臺匯聚交換機。各網絡設備（系統）功能需求如下表序號設備（系統）功能設備參數需求1核心路由器提供XX業務網上聯雙主控、雙路由引擎、電源1+1、4GE接口（含至少1個光口）2防火墻網絡隔離，為其它網絡提供接口；防范非法入侵和攻擊；FW+IPS功能啟用后保證吞吐量>2G；提供至少4GE接口；3核心交換機生產中心數據交換雙主控、雙路由引擎、電源1+1、至少24GE接口4匯聚交換機生產前臺數據交換至少4GE、24FE接口5辦公網交換機辦公網數據交換至少4GE、24FE接口網管監控網絡規劃網管監控網絡獨立與其它網絡，整合了網絡設備管理系統、動環監控系統、業務審計系統，主要包括以下功能：網絡設備通過帶外方式集中管理動環監控采集器、視頻采集器等設備與動環監控終端聯網業務審計系統與報表服務器聯網根據各種監控的特點，以及各種網絡設備的功能角色，建議網絡如下圖部署。網絡設備通過帶外網管接口連接到網管交換機，與網絡維護終端互聯；動環監控采集器連接到網管交換機與動環監控終端互聯；業務審計系統（可選）旁路在核心交換機，通過交換機的流量復制，接受所有入出核心區域的流量。分析后輸出至審計報表服務器。各網絡設備（系統）功能需求如下表序號設備（系統）功能設備參數需求1動環監控系統機房消防系統、門禁系統、圖像系統、溫濕度監控等功能。滿足50平米機房需求2網管交換機網管、監控數據交換至少2GE、24FE接口3業務審計系統（可選）對重要業務數據流采集、分析和識別；發現并及時制止用戶的誤操作、非法訪問、惡意攻擊。事物處理性能>2000事物數/秒，至少提供2GE接口4審計報表服務器（可選）審計日志采集、存儲PCserver數據中心規劃數據中心結構圖數據中心分別新增兩臺服務器和存儲，服務器和存儲采用直連方式。在服務器和存儲上配置6GBSAS接口，實現服務器和存儲的互聯。為防止數據存儲出現單點故障，服務配置兩個雙口SASHBA卡，存儲采用雙控制器架構，服務器的每塊HBA卡分別與存儲的兩個控制器連接。本方案中，一套服務器和存儲承載業務系統，對外提供服務。另外一套服務器和存儲作為備份服務器和存儲，通過symantecSYMCBACKUPECXC備份軟件對業務系統進行系統級的備份，當業務系統出現故障可以使用備份數據對業務系統進行恢復。業務網網絡安全規劃業務網網絡安全作為平臺業務的重要保障，安全建設需要包含以下幾方面的內容：1、安全防護需求在滿足聯網業務應用需求的同時，也為網絡安全帶來了新的風險，包括非法訪問、身份不確定、黑客入侵、病毒和惡意代碼、安全事件發現和追查不及時等，在建設時必須采取相應的安全措施予以防范。(1)非法訪問風險。網絡存在多個對外網絡接口，因此應建立邊界隔離機制，防止非法訪問和對管理網的入侵行為。(2)黑客入侵風險。與外部網絡互聯，具有黑客非法入侵風險。因此網絡應具有足夠的抗攻擊能力，可以檢測和抵御來自外部的各種攻擊行為。(3)網絡攻擊風險。不僅有來自外部的網絡攻擊，內部網絡終端和服務器在中木馬或病毒后，也會產生攻擊流量。要求網絡具有攻擊源識別功能，并作為網絡日志實時存儲。應用層安全針對目前日益增多的應用層網絡攻擊行為，需要對應用系統和業務數據能夠提供有效的安全防護，防止非法訪問應用系統、防止對后臺數據庫的惡意訪問、防止DoS攻擊并保障系統服務的持續性。通過訪問審計，幫助用戶了解整個系統的使用情況，提供輔助決策功能。用戶管理對于網絡的運維人員進行集中賬號管理，賬號和資源的集中管理是集中授權、認證和審計的基礎。集中賬號管理可以完成對賬號整個生命周期的監控和管理，而且還降低了管理大量用戶賬號的難度和工作量。同時，通過統一的管理還能夠發現賬號中存在的安全隱患，并且制定統一的、標準的用戶賬號安全策略。4、安全管理對于各種安全事件應具有安全審計功能，各關鍵組件應能提供詳細的日志記錄，能夠妥善存儲和集中分析，并能進行攻擊回放。針對上述需求，除做好安全防護和認證授權外，必須有完善的安全審計功能。綜上所述，針對目前最常見的互聯網攻擊類型以及國內外網上系統通常面臨的安全威脅，結合云平臺實際情況，我們認為可能面臨的安全風險和對應的安全需求如下：序號風險名稱受影響對象安全需求1非法入侵和攻擊（網絡級、應用級）所有網絡防火墻、IPS2內網攻擊大量不安全的主機可能成為僵尸，被利用來向重要網絡進行攻擊防火墻制定策略，限制攻擊流量、攻擊規模，以及漏洞機理分析和日志找出問題主機。3數據竊密、篡改數據庫系統業務審計后續網絡擴容規劃網絡擴容分為以下3種情況：其它網絡連接生產核心網絡生產中心網絡與其它網絡接口必須經過防火墻，為新網絡指定安全級別后，防火墻分配互聯端口的優先級和防護策略。如圖：村鎮分行接入到生產中心網絡村鎮分行與生產前臺網絡優先級一致，都為2級，因此也需要經過防火墻接入中心網絡，建議擴容匯聚交換機，將各村鎮分行網絡連接到生產前臺區域的匯聚交換機。如圖其它功能設備入網隨著網絡規模擴大，網絡安全重要性越來越突出，后續可能會引入業務審計、安全運行中心等系統，由于建網時規劃了1個獨立的網管監控網絡，所以建議業務審計等系統也部署在網管監控網絡。如圖：UPS電源系統規劃UPS電源系統概述UPS電源系統是保障機房設備365×24小時“全天候”穩定、可靠、安全運行的關鍵因素之一。不同類型的UPS供電系統只能為用戶提供不同級別的保護，它們為信息中心提供的可利用率水平也相差很大。因此UPS供電系統應該為各類計算機設備提供充分發揮其技術潛力的運行環境，不應該是只保證對計算機設備提供100%的不中斷供電的系統，也應該確保“計算機網絡設備”不會因為UPS的供電質量不高而處于降額使用狀態。另外，從提高信息中心的運行效率的角度來看，還需特別注意正確地設計UPS供電系統的接地系統，以便為信息中心能達到100%的高“可利用率”創造優良的電源供電環境。電源系統用戶需求分析用戶數據中心機房內設備主要為服務器、網絡交換、網絡存儲磁盤陣列類IT設備，大部分設備均采用19英寸機柜安裝方式。現有負載的計算負荷按10KVA，根據實際需要，結合客戶相關意見，綜合、全面考慮。用戶對供電系統的要求：保證高可用性，在場地允許的情況下，采用冗余供電方式；提供一套能夠跟隨用戶實際需求，靈活調整容量的電源系統；管理/監控方便，便于及時維護；保證市電中斷后120分鐘的后備時間；其他合理的機房相關解決方案電源系統設備選型根據項目具體情況，結合用戶需求及我公司多年工程經驗，建議采用15KVAUPS1套，單機運行方式，電池采用12V/100AH電池29塊。系統解決方案主要技術特點及參數主要技術特點：雙變換純在線式設計；可多臺UPS并機冗余，無須外加并聯控制卡；使用大型中文及多國語言圖形化LCD顯示；寬廣的輸入電壓范圍（380VAC-32%～35%）；具有ECO模式（效率98%），可節省大量的電能，節省運營成本；逆變器采用全橋架構技術，可100%三相不平衡供電且負載適應性最強；充電系統采DIN41773國際標準，可快速對電池充電；設計有電池溫度補償，延長電池使用壽命；具有電池防漏液偵測功能；具有電池組共享(CommonBattery)功能；可遠程遙控或面板控制警急事故關機功能(EPO)；高整機效率，節省能源，減少運營成本；標配有手動維護旁路開關功能(MBS)；輸入端可作雙回路供電設計；具有輸出隔離變壓器設計；隔離變壓器的磁性組件采用H級絕緣防護等級設計，安全性高；輸出過載能力強，且負載適應能力最強；采用多組微處理器控制與模塊化設計，維護簡易方便；內建SRAM，可以儲存多于500筆信息數據；可搭配電力監控軟件，對UPS作網絡及遠程遙控遙測；提供超過4種以上的通信接口可供選擇；智能變速風扇，低噪音，節省電費及提高風扇使用壽命；短路保護設計與超強防雷擊保護，確保負載設備安全可靠運行；可作多臺(N+1)并機擴容冗余,提供經濟可靠的高效率供電保護。消防系統規劃滅火系統產品簡介氣體滅火系統在結構上具有以下特點：容器閥采用金屬膜片密封設計，保證了可靠的密封性能，使滅火劑永久性儲存成為可能。多種啟動方式（氣動啟動、電啟動、電氣手動啟動、機械應急手動啟動）確保系統絕對可靠地啟動。特殊的電啟動裝置使啟動電流很小，有效地解決了控制部分功耗大，蓄電池容量大等問題，使布局更加合理緊湊。直通式瓶頭閥的獨特結構，使滅火劑流動阻力降低。系統結構簡單，規格多樣，安裝、調試方便，操作簡單可靠。適用范圍貴重物品、無價珍寶或公司資料檔案及軟件。無自動噴淋系統或使用水系統造成水損的設備。人員常駐的區域。滅火劑鋼瓶空間有限，須少量的滅火劑，即能達到滅火效能者。氣體滅火系統設置要求滅火劑儲瓶間設置在專用的鋼瓶間內。防護區應設泄壓裝置，并宜設在外墻或屋頂上。當設置在外墻上時應位于防護區凈高的2/3以上。防護區的門窗的耐壓強度>1200Pa；門窗的玻璃應采用5毫米以上的防火玻璃；保護區的通風系統在噴放七氟丙烷(HFC-227ea)滅火劑前應關閉，并設置防火閥門；保護區的門必須采用自動防火門，保證在任何情況下均能從保護區內打開。保護區應有排風設備，釋放滅火劑后，應將廢氣排盡后，人員方可進入進行檢修，如需提前進入，需帶氧氣呼吸器，在控制室設置氧氣呼吸器。項目實施安排本項目實施與機房建設、裝修同時進行，首先進行設備采購和設計規劃工作，配電系統部署完畢后，進行UPS系統建設和網絡設備安裝；再依次進行服務器和存儲安裝、網絡聯調；同時進行消防系統建設、動環系統建設、網管監控系統建設。最后進行業務上線測試。實施進度實施時間以項目開工協調會時間開始時間為準。預計從開工到業務系統上線需24天，整體完工需要30天。任務名稱工期開始時間完成時間備注工程開工協調會1day第1工作日第1工作日中心機房裝修實施8days第2工作日第9工作日UPS系統實施11daysUPS采購1days第2工作日第2工作日UPS發貨10days第3工作日第12工作日UPS安裝2days第13工作日第14工作日UPS設備及機柜安裝1day第14工作日第14工作日配電及系統測試1day第15工作日第15工作日網絡設備（含服務器）實施23days設備采購1days第2工作日第2工作日設備發貨7days第3工作日第9工作日設備及機柜安裝5days第10工作日第14工作日網絡布線、調通及測試3days第15工作日第17工作日業務系統調研2days第18工作日第19工作日業務系統上線測試4days第20工作日第23工作日系統整體測試1day第24工作日第24工作日消防系統實施12days設備采購1days第2工作日第2工作日設備發貨7days第3工作日第9工作日設備安裝3days第10工作日第12工作日設備測試1days第13工作日第13工作日動環系統實施12days設備采購1days第2工作日第2工作日設備發貨7days第3工作日第9工作日設備安裝3days第16工作日第18工作日設備測試1days第19工作日第19工作日初驗1day第30工作日第30工作日試運行3個月終驗1day實施分工項目建設方集成商設備廠商業務調研配合主要負責人方案編寫配合主要負責人配合光路申請/調通主要負責人配合配合工程硬件安裝實施配合配合配合設備調測配合配合主要負責人業務割接配合主要負責人主要負責人網絡/業務測試主要負責人配合配合驗收主要負責人配合配合

選型設備介紹及資質核心路由器介紹核心路由器實現大型網絡的互聯。對它的要求是速度和可靠性，而成本則處于次要地位。硬件可靠性體現在雙主控、雙轉發引擎、雙電源、雙數據通路等來獲得。XX銀行核心路由器推薦型號為華為公司的NE20E-8款式路由器，NE20E-8秉承華為公司高端路由器的設計思路，以其高性能、雙主控、雙NPU和熱備份優勢，能夠滿足企業網匯聚以及數據中心和運營商的電信級高可用性的要求。【產品形態】轉發性能：15Mpps~80Mpps背板帶寬：40G冗余電源：內置(AC/DC/PoE)，N+1備份配置雙主控板【產品特點】領先的VRP平臺NE20E-8系列采用VRP5.0平臺，與華為NE5000E是同一平臺。VRP操作系統采用RDF(ResilientDistributedFramework)彈性分布式架構，通過相對分離的管理平面，業務平面，數據平面和控制平面，極大的提升了整個系統的靈活性，可靠性，可管理性，擴展性。華為VRP平臺成熟穩定，目前現網運行超過400萬套，其功能豐富性和穩定性也經過了大規模實際應用的磨礪，具備了豐富的業務特性和功能。領先的工業設計NE20E-8采用業界領先的工業設計，在大容量的基礎上實現了220mm深度，適合各種空間布放條件；同時其抗高溫低溫的設計可以滿足-40~65℃的工作條件，非常適合條件惡劣的室外布放。同時其功耗能夠做到低于業界水平。強大的業務支持能力NE20E-8具有強大的路由能力，支持超大路由表，提供RIP、OSPF、IS-IS、BGP4和多播路由等豐富的路由協議，支持明/密文認證，具備快速收斂功能，保證在復雜路由環境下安全穩定。NE20E-8具有強大的業務承載能力，根據組網需求可以同時部署L2VPN、L3VPN、MVPN，支持和TE（TrafficEngineering）同時部署，支持豐富的接入類型（E1、POS、cPOS、GE、10GE），支持靈活QinQ，支持DHCP，還可提供Netstream等功能，適應傳統的接入需求和新興的業務需求，滿足多業務融合豐富的承載需求。NE20E-8具有強大的可擴展組播能力，支持豐富的IPv4/IPv6組播協議，包括PIM-SM/SSM、MLDv1/v2、IGMPv3，IGMPSnooping等特性，可以靈活承載IPTV等視頻業務，可以滿足各種規模的組播業務的需求。全方位的可靠性解決方案NE20E-S從多個層面提供可靠性保護，包括設備級、網絡級、業務級可靠性，形成了面向整個網絡的解決方案，完全滿足電信級的可靠性需求，是構筑電信級業務的基石,達到99.999％的系統可用性。設備級可靠：NE20E-S提供關鍵部件的冗余備份。關鍵組件支持熱插拔與熱備份，NSR（Non-StopRouting），NSF（Non-StopForwarding）等技術一起保障無中斷業務運行。網絡級可靠：NE20E-S提供IP/LDP/VPN/TE快速重路由，Hot-Standby，IGP、BGP以及組播路由快速收斂，虛擬路由冗余協議（VRRP，VirtualRouterRedundancyProtocol），TRUNK鏈路分擔備份，BFD鏈路快速檢測，MPLS/Ethernet/MPLS-TPOAM，保證整網穩定性，可以提供端到端200ms保護倒換，業務無中斷。業務級可靠：NE20E-S提供的VPNFRR和E-VRRP技術，VLLFRR和EthernetOAM技術以及PWRedundancy和E-Trunk技術，可以應用于L3VPN和L2VPN組網方案中，保證業務層面的冗余備份，使業務穩定可靠，不中斷。【組網應用】金融網點接入組網對于金融行業來說，NE20E-8可作為地市或省級的匯聚設備，是適合作為金融網點的理想接入設備。NE系列路由器具有超強的并發業務處理能力，可保證金融網點業務的流暢處理，另外，NE系列路由器具有綜合的硬件和軟件的可靠性技術支撐，確保金融網點業務的不間斷。獨聯體某銀行數據中心組網地市或省級采用NE20E-8設備來做匯聚路由器，為提高匯網絡的可靠性，匯聚層一般采用雙設備新型金融網點會對不同客戶群提供差異化的服務，NE路由器豐富的QoS技術可滿足這種對帶寬進行差異化的應用需求防火墻介紹XX銀行防火墻推薦型號為深信服公司的AF-1320款式防火墻。深信服下一代防火墻（Next-GenerationApplicationFirewall）NGAF是面向應用層設計，能夠精確識別用戶、應用和內容，具備完整安全防護能力，能夠全面替代傳統防火墻，并具有強勁應用層處理能力的全新網絡安全設備。NGAF解決了傳統安全設備在應用識別、訪問控制、內容安全防護等方面的不足，同時開啟所有功能后性能不會大幅下降。區別于傳統的網絡層防火墻，NGAF具備L2-L7層的協議的理解能力。不僅能夠實現網絡層訪問控制的功能，且能夠對應用進行識別、控制、防護，解決了傳統防火墻應用層控制和防護能力不足的問題。區別于傳統DPI技術的入侵防御系統，深信服NGAF具備深入應用內容的威脅分析能力，具備雙向的內容檢測能力為用戶提供完整的應用層安全防護功能。同樣都能防護web攻擊，與web應用防火墻關注web應用程序安全的設計理念不同，深信服下一代防火墻NGAF關注web系統在對外發布的過程中各個層面的安全問題，為對外發布系統打造堅實的防御體系。【產品形態】網絡吞吐量：2Gbps并發連接數：1000000VPN會話支持：400主要功能：狀態檢測、VPN、抗DDoS、NAT、應用掃描、漏洞攻擊、Web入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼。端口容量：6GE選配功能模塊：IPS、URL、AV【產品特點】1、雙向內容檢測技術NGAF可實現對HTTP/HTTPS協議的深入解析，精確識別出協議中的各種要素，如cookie、Get參數、Post表單等，并對這些數據進行快速的解析，以還原其原始通信的信息，根據這些解析后的原始信息，可以精確的檢測其是否包含威脅內容。而傳統的IPS基于DPI深度數據包解析技術，只能實現在網絡層數據包層面進行重組還原及特征匹配，無法解析基于HTTP協議的內容分析，很難有效檢測針對web應用的攻擊。而具備簡單web攻擊防護的IPS，僅僅是基于簡單的特征檢測技術，存在大量的漏報誤報的信息。NGAF作為web客戶端與服務器請求與響應的中間人，能夠有效的避免web服務器直接暴露在互聯網之上，NGAF雙向內容檢測技術可檢測過濾HTTP雙向交互的數據流包括response報文，對惡意流量，以及服務器外發的有風險信息進行實時的清洗與過濾。2、典型的Web攻擊防護，防止Owasp十大web安全威脅深信服下一代防火墻NGAF有效結合了web攻擊的靜態規則及基于黑客攻擊過程的動態防御機制，實現雙向的內容檢測，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護電子政務網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。3、基于應用的深度入侵防御，有效防止服務器漏洞利用攻擊NGAF基于應用的深度入侵防御采用六大威脅檢測機制：攻擊特征檢測、特殊攻擊檢測、威脅關聯分析、異常流量檢測、協議異常檢測、深度內容分析能夠有效的防止各類已知未知攻擊，實時阻斷黑客攻擊。如，緩沖區溢出攻擊、利用漏洞的攻擊、協議異常、蠕蟲、木馬、后門、DoS/DDoS攻擊探測、掃描、間諜軟件、以及各類IPS逃逸攻擊等。通過NGAF的部署可有效防止利用web服務器、數據庫服務器、中間件服務器等網站服務器本身應用程序、操作系統、應用軟件的漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊，使黑客獲取更高的服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題。可定義的敏感信息防泄漏，有效防止“拖庫”、”暴庫”NGAF提供可定義的敏感信息防泄漏功能，根據儲存的數據內容可根據其特征清晰定義，通過短信、郵件報警及連接請求阻斷的方式防止大量的敏感信息被竊取。深信服敏感信息防泄漏解決方案可以自定義多種敏感信息內容進行有效識別、報警并阻斷，防止大量敏感信息被非法泄露。郵箱賬戶信息MD5加密密碼銀行卡號身份證號碼社保賬號信用卡號手機號碼……通過深信服深度內容檢測技術的應用，深信服下一代防火墻具備深度內容檢測的能力。能夠檢測出通過文件、數據流、標準協議等通過網關的內容。因此具備針對敏感信息，如186、139等有特征的11位的手機號碼、18位身份證號，有標準特征的@郵箱等有特征數據進行識別。并通過分離平面設計的軟件構架，實現控制平面與內容平面檢測聯動，通過控制平面向底層數據轉發平面發送操作指令來阻斷敏感信息的泄漏。有防護了各單位、政府、金融機構的敏感泄漏的風險。5、智能的DOS攻擊防護，保證網絡訪問可用性NGAF采用自主研發的DOS攻擊算法，可防護基于數據包的DOS攻擊、IP協議報文的DOS攻擊、TCP協議報文的DOS攻擊、基于HTTP協議的DOS攻擊等，實現對網絡層、應用層的各類資源耗盡的拒絕服務攻擊的防護，實現L2-L7層的異常流量清洗。6、安全風險評估與策略聯動，降低安全維護成本NGAF基于時間周期的安全防護設計提供事前風險評估及策略聯動的功能。通過端口、服務、應用掃描幫助用戶及時發現端口、服務及漏洞風險，并通過模塊間的智能策略聯動及時更新對應的安全風險的安全防護策略。幫助用戶快速診斷電子商務平臺中各個節點的安全漏洞問題，并做出有針對性的防護策略。7、完善產品容錯能力，保證網站訪問的穩定性硬件bypassNGAF可實現硬件故障bypass保證數據中心穩定性。借助于掉電保護模塊，可保證NGAF透明模式在斷電、硬件故障等異常情況下能夠確保網絡的通暢性，并實現微秒級切換。關鍵部件冗余NGAF支持關鍵部件冗余的容錯機制，保證設備在高溫等惡劣環境下出現故障時的快速切換。支持雙電源，避免由于單電源故障造成的系統不能訪問風扇1+1冗余，避免單風扇在高溫情況下不能工作的問題支持熱插拔存儲介質冗余為保證存儲日志的冗余，防止硬盤出現故障時無法記錄日志的問題，能夠避免由于單磁盤故障造成設備不能使用的情況。分離平面設計深信服NGAF采用OS分離平面設計，數據流平面上分為控制平面、網絡數據轉發平面與內容檢測平面。網絡層數據轉發平面主要作用在于使數據包快速緩存并轉發；內容檢測平面主要用戶數據流應用識別與安全分析，結合應用識別、漏洞特征識別、web攻擊流量識別等模塊完成應用層安全分析與防護。使用數據轉發平面與內容檢測平面相分離的技術設計，能夠優化處理流程，有效保障網絡數據的可用性。正常情況下，數據流由數據轉發平面復制到內容檢測平面進行深度內容檢測，當有威脅內容時，通過控制平面阻斷數據轉發平面有威脅數據的外發，保證內容的安全性。當內容檢測模塊出現故障時，通過控制平面數據轉發層面會將數據正常轉發，保證網絡暢通保障業務正常運行。【組網應用】核心交換機介紹核心交換機提供高密度的千兆、萬兆接口線速轉發能力，適于業務集中數據中心、城域網出口等應用場景。業務的重要性也對它提出了雙主控、雙轉發引擎、雙電源的需求。XX銀行核心路由器推薦型號為華為公司的S9300款式交換機。QuidwayS9300系列是華為公司面向以業務為核心的網絡架構而推出的新一代高端智能T比特核心路由交換機。廣泛適用于能源、政府、交通、電力、教育、醫療、軍隊、公安、金融、廣電等各行業。主要定位于企業廣域網/城域網，企業出口/核心/匯聚，高密度千兆接入，以及數據中心，幫助企業構建面向業務的網絡平臺。【產品形態】 720G交換容量，3T背板帶寬最大端口密度：144GE/144FE/144*10GE包轉發率540Mpps配置24GE光接口板和48GE電接口板各1塊。【產品特點】端口交換容量平滑升級線卡支持48*10G高密萬兆接口，業界密度最高，充分滿足園區高密核心與數據中心大帶寬需求；整機硬件架構滿足未來交換容量和功率需求，單端口40G/100G平滑升級，節省投資；支持多框集群技術，交換容量顯著提升。豐富的軟件協議平臺華為15年多持續研發VRP軟件平臺支持上千種協議，全面滿足客戶需求；目前全球數萬家客戶，現網600萬+設備運行考驗；與現網全部主流數據廠商設備無縫互通對接，保護現網投資。歸一化平臺，節能芯片整機高度歸一化設計，電源、風扇等全部通用，減少備件種類，節省投資。自主節能芯片，高效節能管理平臺，成為業界綠色標桿。【組網應用】服務器產品介紹XX銀行數據中心推薦服務器為DELL公司的PowerEdgeR720款式服務器。DellPowerEdgeR720機架式服務器是一款配有高度可擴展內存（最高可配768GB）與超強I/O能力的通用平臺，能夠輕松運行大中型企業的各種應用程序以及虛擬化環境。借助英特爾?至強?E5-2600處理器和對雙RAID控制器的支持，R720可以穩健地處理要求極為苛刻的工作負載，如數據倉庫、電子商務、虛擬桌面基礎架構(VDI)、數據庫以及作為數據節點的高性能計算(HPC)。【產品形態】處理器：英特爾?至強?處理器E5-2600產品系列處理器插槽數量：2個內部互連：2個英特爾QuickPath互連(QPI)鏈路；6.4GT/s；7.2GT/s；8.0GT/s高速緩存：每核心2.5MB；核心數量選項：2、4、6、8內存：最高可配768GB（24個DIMM插槽）：2GB/4GB/8GB/16GB/32GBDDR3（最高1600MT/s）I/O插槽：7個PCIe插槽：?1個x16插槽，全長、全高?3個x8插槽，全長、全高?3個x8插槽，半長、半高最大內部存儲容量：24TB【產品特點】雙路2U機架式Dell?PowerEdge?R720服務器樹立了功能靈活性方面的新標準，配備高度可擴展的內存、I/O容量和靈活的網絡選項，可以輕松運行復雜的工作負載。管理數據過載借助R720靈活而又強大的I/O和存儲能力，跟上虛擬化時代數據急劇增長的步伐。最多可配16個內置硬盤和支持PCIExpress?3.0的集成擴展插槽極大地提高了容量，而可選配的熱插拔、正面接插PCIe固態硬盤（最多可配4個）可實現性能增強和機箱內存儲分層。另外，戴爾精選網絡適配器能夠視需要選擇正確的網絡結構，而無需占用寶貴的PCI插槽。加速解決方案通過將PowerEdgeR720的高內存密度與可選配的GPU加速器（有些有超過500個內核）相結合，大幅增強HPC或VDI環境的性能。從一系列GPU選項中選擇，以獲得更大的輔助性能。借助R720提高虛擬化水平通過使用PowerEdgeR720的大內存配置擴展虛擬環境，從而最大限度地提高數據中心的應用程序容量。選擇業界領先的虛擬機管理程序，并利用我們的系統管理功能管理物理和虛擬資產。利用冗余的故障保護型虛擬機管理程序，R720可幫助您最大限度地提高虛擬機的正常運行時間。最后一點，通過戴爾的虛擬集成系統?(VIS)解決方案，您只需輕點幾下鼠標就可以啟用復雜的虛擬化環境。存儲產品介紹XX銀行數據中心推薦存儲設備為DELL公司的PowerVaultMD3200陣列。PowerVaultMD3220是戴爾的新一代直連共享串行連接SCSI(SAS)陣列，經鑒定適合在MicrosoftHyper-V、CitrixXenServer和VMware虛擬環境中使用。【產品形態】硬盤MD3220：最多可配置二十四(24)個3.5英寸SAS、NLSAS和固態硬盤產品：3.5英寸硬盤的性能和容量15,000RPMSAS硬盤，容量規格為300GB、450GB和600GB7,200RPM近線SAS硬盤，容量規格為500GB、1TB、2TB和3TB產品：2.5英寸硬盤的性能和容量15,000RPMSAS硬盤，容量規格為73GB和146GB10,000RPMSAS硬盤，容量規格為146GB、300GB和600GB7,200RPM近線SAS硬盤，容量規格為500GB固態硬盤(SSD)，容量規格為149GB（適用于3.5英寸硬盤托架）存儲設備采用MD1200/MD1220擴展盤柜，最多可配置192個硬盤連接性8個6GbSAS端口（每個控制器4個）【產品特點】管理系統MD3220陣列由新一代MDStorageManager（一個直觀、易于使用的基于客戶端的應用程序）管理。·通過兩種不同的管理途徑，可輕松實現用戶交互（