网络系统建设方案

1.1. 系统网络总体设计

1.1.1. 网络功能设计

网络系统主要满足信息共享和交换的需求。但在本项目里，主要存在如下的信息交换和共享、数字和视频传输方面的需求：

 城市管理指挥中心内部信息共享和交换；

 城市管理指挥中心与各级单位的信息交换；

 主要监测、监控点视频及数据信息传输；

 车辆或人员与城市管理指挥中心的信息交换。

为了实现市中心信息的共享和交换，需要在城市管理指挥中心内部建立高速的局域网；要实现城市管理指挥中心与外部单位、三级联动单位的信息交换，需要将城市管理指挥中心接入VPN虚拟专网，建立德州市指挥中心和各业务单位之间的高速数据通信网络。

德州市数字化城市管理网络总体拓扑图如下：

1.1.2. 传输带宽设计

计算机网络系统的带宽，由三个部分组成：

 正常的办公需求，带来的对计算机网络的带宽，实现10/100M/1000M交

换到桌面。

 视频监控系统的综合化传输，计算机网络的带宽，实现100M光纤传输。  指挥座席的网络实现10/100/1000M交换到桌面。

 无线数据传输的网络，市级中心提供10M的光纤传输。

 GPS数据传输，市级中心提供10M的光纤传输。

新建的计算机网络，应充分考虑上述三个内容对网络传输的高峰需求，所设计的网络应充分的、合理地建设网络带宽，并在建设方案中考虑未来一段时间的网络带宽的扩展需求。

1.1.3. 网络拓扑结构设计

根据需求的规模及特点，建议采用2层架构设计，即核心层和接入层，同时为便于设计的描述，在网络设计时细化成如下几个部份：

1、核心层网络；

2、接入层网络；

3、服务器区网络；

4、Internet接入；

5、DMZ区；

6、系统安全监控。

网络系统建设

网络硬件层是系统运行的基础，网络系统建设主要包括综合布线系统，网络通讯系统，存储备份系统，信息安全系统

1、综合布线系统

1.1设计指导思想

布线系统的设计必须有一个正确的设计思想，通过合理的技术分析和用户的投资分析，等待选择所需产品设备、系统、设计合理的结构，才能构成一个完善的网络布线系统。根据应用需求，本系统的设计将按照下述原则进行：  实用性

充分满足对信息系统现在及未来的各种需求，真正为网络的应用系统提供强有力的支持。

 标准选用

本系统的所有设计均遵循国际上进行的标准进行，以符合系统的开放性要求。  高可靠性

一个实用的系统同时必须是可靠的。本设计通过合理而先进的设计及优化选型，

以保证系统的可靠性和容错性，避免灾难性事故发生。

 高性能、先进性

本综合布线系统将充分应用现有成熟的先进技术，可满足宽带网络、语音、数据、多媒体信息传输、计算机管理、办公自动化等需求。

 可维护性

布线系统开通后，维护工作将是一个长期的工作，本设计将充分考虑维护工作的需求，通过相应的技术降低工作量及难度，从而达到保证运行可靠及节省费用的目的。

 可扩展性及灵活性

计算机通讯技术是不停地发展的，用户的应用需求也是发展和变化。在设计中，要充分考虑系统扩展升级的要求，以及对各种不同结构、不同协议的网络及设备的支持，保证系统能适应网络扩展和升级。

 经济性

在满足功能要求的前提下，使客户以尽可能小的投资，获得尽可能优越的应用。

1.2系统建设目标

为满足德州市数字化城市管理项目需要，将实现计算机内、外网综合布线、语音电话综合布线等统一的结构化综合布线系统。

符合最新国际标准，包括国际标准 ISO/IEC IS 11801、欧洲标准EN 50173及北美EIA/TIA 568A标准。充分保证计算机网络的高速、可靠的信息传输要求。适应现在和将来网络技术发展的需要，具有实用性、先进性、安全性、可扩展性等特点。

实现数据通信、话音通信、图像通信、图像传递以及ISDN、ATM的高质量传输。

全模块化部件。除去固定于建筑物内的缆线外，其余所有的插接件都是模块化的标准件，以方便将来有更大的发展时，很容易地将设备扩展进去。

满足灵活应用的要求。即任一信息点能够连接不同的计算机终端或通信设备。采用抗电磁干扰特性很高的屏蔽系统，防止电磁干扰和射频干扰，。

全部采用低烟无卤（LSZH）环保型综合布线材料，在满足网络传输需求的同时，

建设绿色安全项目。

1.3强电设计

强电设计：机房强电采用双电路供电，分为主供电电路以及备用电路供电。防止机房突然停电造成的设备停止运行。

强电规范：

强电设计依据如下规范

《电气装置安装工程低压电器施工及验收规范》

《电气装置安装工程电力变流设备施工及验收规范》

《民用建筑电气设计规范》

《电气装置安装工程电缆线路施工及验收规范》

强电工艺：

1. 暗管布线的基本原则：横平竖直，使用专用PVC阻燃型电线管，管壁厚度1.5mm。线管在线槽中必须固定，线盒与线管相接时应使用锁母，直管每隔60公分使用一个管卡，拐角处每隔20公分使用一个管卡。

2．如果插座在墙的上部，在墙面垂直向上开槽，至强的顶部安装装饰角线的安装线内；如果是在墙的下面，垂直向下开槽，至安装踢脚板的底部，开槽深度应一致（深度为2.5公分），应先在墙面弹出控制线后，再用切割机切割墙面，机械开槽。

3．使用PVC管，在弯管时使用弹簧现弯,不得使用90度弯头及三通,线路安装时必须加护线套管,采用胶粘进行连接,套管连接应紧密、平顺,直角拐弯处应将角内侧切开,切口一侧切圆弧形接口后,折弯安装.

4．导线装入套管后,应使用导线固定夹子,先固定在墙内及墙面后,再抹灰隐蔽或用踢脚板、装饰角线隐蔽.

5．严禁线管直接铺设在复合地板下面,复合地板必须开槽,在实木地板下面得线管必须有固定措施:显卡(铁的).

6．严禁线管直接铺设在厨房,卫生间地面,防止谁渗入管内.

7．穿线管母线得总截面不应大于线管孔有效面积得40%,管内导线不得有接头,不同用途的导线严禁混穿于一根线管内.(如强弱电线/电脑线/电视线/电

话线)

8．导线进入线盒必须保证留有一定的长度,留有20-30cm穿软管以便进行开关,插座的安装维修.

9．电线点于点之间不能有任何的接头,吊顶或护墙板内的暗线必须有阻燃套管保护.

1.4弱电设计

弱电设计：根据设计要求，实现强弱电分离，机房内强电走静电地板，弱电根据实际勘察情况，架设弱电桥架，弱电线走桥架进入到各个指定点位。

弱电规范

弱电工程依据规范

《有线电视系统工程技术规范》（GBJ50200-94）

《通信光缆的一般要求》（GB/T7427-87）

《民用闭路监视电视系统工程技术规范》（GB50116-92）

《建筑及建筑群综合布线系统工程设计规范》（CECS72-95）

《商用建筑线缆标准》（EAI/TIA-568A）

弱电工艺：

①一般规定

1．电缆（线）敷设前，做外观及导通检查，并用直流500V兆欧表测量绝缘电阻，其电阻不小于5MΩ；当有特殊规定时，应符合其规定。

2．线路按最短途径集中敷设，横平竖直、整齐美观、不宜交叉。

3．线路不应敷设在易受机械损伤、有腐蚀性介质排放、潮湿以及有强磁场和强静电场干扰的区域；必要时采取相应保护或屏蔽措施。

4。当线路周围温度超过65℃时，采取隔热措施；位处有可能引起火灾的火源场所时，加防火措施。

5．线路不宜平行敷设在高温工艺设备、管道的上方和具有腐蚀性液体介质的工艺设备、管道的下方。

6．线路与绝热的工艺设备，管道绝热层表面之间的距离应大于200mm，与其他工艺设备、管道表面之间的距离应大于150mm。

7．线路的终端接线处以及经过建筑物的伸缩缝和沉降逢处，应留有适当的余度。

8．线路不应有中间接头，当无法避免时，应在分线箱或接线盒内接线，接头宜采用压接；当采用焊接时应用无腐蚀性的焊药。补偿导线宜采用压接。同轴电缆及高频电缆应采用专用接头。

9．敷设路时，不宜在混凝土土梁、柱上凿安装孔。

10．线路敷设完毕，应进行校线及编号，并按第一条的规定，测量绝缘电阻。

11．测量线路绝缘时，必须将已连接上的设备及元件断开。

②电缆的敷设

1．敷设电缆时的环境温度不应低于-7℃。

2．敷设电缆时应合理安排，不宜交叉；敷设时应防止电缆之间及电缆与其他硬物体之间的磨擦；固定时，松紧应适度。

3．多芯电缆的弯曲半径，不应小于其外径的6倍。

4．信号电缆（线）与电力电缆交叉时，宜成直角；当平行敷设时，其相互间的距离应符合设计规定。

5．在同一线槽内的不同信号、不同电压等级的电缆，应分类布置；对于交流电源线路和连锁线路，应用隔板与无屏蔽的信号线路隔开敷设。

6．电缆沿支架或在线槽内敷设时应在下列各处固定牢固：

（1）电缆倾斜坡度超过45°或垂直排列时，在每一个支架上。

（2）电缆倾斜坡度不超过45°且水平排列时，在每隔1~2个支架上。

（3）和补偿余度两侧以及保护管两端的第一、第二两个支架上。

（4）引入仪表盘（箱）前300～400mm处。

（5）引入接线盒及分线箱前150～300mm处。

7．线槽垂直分层安装时，电缆应按下列规定顺序从上至下排列：

仪表信号线路；

安全连锁线路；

交流和直流供电线路；

8．明敷设的信号线路与具有强磁场和强电场的电气设备之间的净距离，宜大于1.5m；当采用屏蔽电缆或穿金属保护管以及在线槽内敷设时，宜大于0.8m。

9．电缆在沟道内敷设时，应敷设在支架上或线槽内。当电缆进入建筑物后，电缆沟道与建筑物间应隔离密封。

③其他要求

1．电线穿管前应清扫保护管，穿管时不应损伤导线。

2．信号线路、供电线路、连锁线路以及有特殊要求的仪表信号线路，应分别采用各自的保护管。

3．仪表盘（箱）内端子板两端的线路，均应按施工图纸编号。

4．每一个接线端子上最多允许接两根芯线。

5．导线与接线端子板、仪表、电气设备等连接时，应留有适当余度。

1.1. 网络通讯系统设计

1.1.1. 网络设计原则

整个信息中心系统的网络设计将基于如下原则：

1. 系统经济实用性

任何系统建设首先要从系统的实用性角度出发，不追求华丽的外表，计算机网络系统是将来德州数字城市信息系统的信息管理中心，也是整个信息系统数据交换的神经中枢单元，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。

2. 系统的高可靠性

网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。

核心架构采用冗余设计，可实现1+1冗余，易于扩充和维护。

3. 系统的先进性、可扩充性

所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求。本期网络核心是万兆网络的设计，网络系统能够充分满足未来应用的发展，便于向

更新技术的升级与衔接。此次核心设备插槽除满足现有互联端口密度外，机箱插槽还有有扩充余量，可支持未来更高密度端口和板卡的升级能力。

4. 易管理性

网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。

5. 安全性

网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。

1.1.2. 网络方案设计

根据需求的规模及特点，建议采用2层架构设计，即核心层和接入层，同时为便于设计的描述，在网络设计时我们也细化成如下几个部份：

1) 核心层网络

2) 接入层网络

3) 服务器区网络

4) Internet接入

5) DMZ区

6) 系统安全监控

核心层网络设计

核心交换机配置2台高性能思科交换机，两台核心交换机均配置2个电源。每台配置一个万兆第六代管理引擎，每个引擎上配置两个万兆接口做为核心万兆互联使用,两台高性能设备形成整个信息中心的核心交换平台。利用两条万兆链路把两台核心交换连接起来，在这两条高速千兆光纤链路上通过10GEC（万兆以太网通道）技术，把物理上的两条光纤线路逻辑上成为一个速度高达40Gbps的数据通道。

图2

在两台交换机之间采用业界著名的HSRP技术，其中1台为转发状态，另1台备份状态,当转发状态交换机发生问题，备份交换机会接管进行数据转发，实现两台核心高端交换机的双机热备，从而充分地保证网络地稳定性和可靠性。这种设计不仅彻底消除单一交换机硬件故障的影响，利用Spanning-Tree（生成树）、Backbone-fast（快速主干恢复）、Uplink-Fast（快速上联恢复）、Port-Fast（快速端口恢复）和HSRP（热备份路由协议）等技术实现主、从交换机间的自动故障切换；而且通过Cisco EtherChannel（以太网通道）、PVST(基于每条VLAN的生成树协议)等技术使网络流量在主、从链路间负载均衡，主、备交换机同时工作而不是冗余配置，大大节省投资。这样的设计不需要用户做任何操作，可使多条物理链路间负载平衡，进行自动链路恢复、网络连接重新分配，链路恢复时间小于1秒，并且在重新建立的链路仍可进行负载均衡。

网络结构冗余

Spanning-Tree 协议作用于OSI网络模型的第二层，主要用于防止网络回路，也可以用于在冗余设备和冗余线卡之间进行冗余链路的自动切换。

Backbone-fast、Uplink-Fast和Port-Fast是用在交换机间级联链路和连接服务器、工作站的端口上的技术。为了防止回路发生而采取的Spanning-Tree在链路切换时经历阻塞→聆听→学习→数据转发等诸多过程，耗时较长，一般需60秒左右，对正在传递大量数据的服务器和工作站而言，这段时间是能明显觉察的，并极可能导致连接超时而中断应用。而思科公司提出的Backbone-fast、Uplink-Fast和Port-Fast技术是对Spanning-Tree的改进，它省却了链路切换过程中的聆听和学习阶段，使备份端口直接由阻塞进入到转发状态，从而使延迟缩短到5秒以内，用户几乎觉察不到这一过程，企业网的业务不会受到故障影响。

1.1.2.1. 接入层网络设计

对于接入层，我们建议分为内网办公接入和外网专线接入。为了尽可能的减少终端对核心设备的影响，我们分别为内网终端和外网接入汇聚配置1台交换机。

1. 外网接入

外网专线接入交换机我们建议采用具有智能功能的千兆接入交换做为外联专线的汇聚接入，外联专线光纤入户后通过光电转换器转换成千兆电接口直接连到该交换机上，该交换机的背板带宽32Gbps以上，二/三层转发率在30Mpps以上，提供4个1000千兆光电复用以太网端口和20个10/100/1000Base-T以太网

端口，其中光电复用接口用于与外网防火墙联接。所有的外联专线流量必须经过外网防火墙的安全过滤才能访问内网，从而实现完全的内外网安全隔离。

2. 内网接入

内网接入我们建议采用百兆智能接入交换机做为内网终端接入设备。直接连到该交换机上，该交换机的背板带宽32Gbps以上，二/三层转发率在30Mpps以上，提供4个1000千兆光电复用以太网端口和44 个10/ 100/ 1000 Base-T以太网端口，其中1000M光电可复用接口用于与核心交换机联接。

为节省投资，各二级单位的业务用户处在同一个物理局域网中，为了保证安全，可以采用虚网的方式进行隔离，使每个二级单位都有两个独立的虚网，即业务虚网和小区虚网，每个虚网独立地占有一个IP地址网段。

企业网平台中运行着多种应用和各种级别的用户，它们对安全的要求都不相同，通过VLAN将这些用户和应用分类实现安全性策略，VLAN划分的依据可为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯，而不同虚网间的数据交流则需要通过路由来完成。

划分VLAN具备以下好处：

提高安全性——不同VLAN的数据不能自由交流，需要接受路由器的检验，因此在一定程度上加强了虚网间的隔离，有效防止外部用户入侵，提高安全性；在虚网之间或虚网内部，思科公司的多层交换机还可以配置访问控制列表（ACL和VACL），ACL可以实现虚网之间的访问控制，而VACL可以实现同一虚网中用户的访问控制。

隔离广播信息——实施虚网划分后，某VLAN内节点发送的广播信息不会被转发到其它VLAN上去，不会影响这些VLAN的正常工作，有利于提高网络运行效率；

增强网络应用的灵活性——VLAN是在一个有多台交换机的局域网中统一设定的，这使得用户可以不受所连交换机的限制，不论用户节点移动到局域网中哪一台交换机上，只要仍属于原来的虚网，则应用环境没有任何改变。因此不管同一职能部门的员工分散到企业网络的任何位置，他们都仍然可以存在于同一个VLAN中

1.1.2.2. 服务器区网络设计

对于服务器区也可以称为数据中心区，是整个业务的中心枢纽，对该区域的性能、安全应重要考滤，并做资源最大化利用及节省整体投资，因此内网服务器区直接连接到2台核心交换机交换机，实现链路冗余接入。

1.1.2.3. Internet接入设计

Internet接入建议采用以太网接入方式，为了保证网络投资及网络安全，建议采用防火墙直接接入，同时建议采用，IPSEC VPN，SSL VPN功能于一体的安全设备，并集成高性能IPS模块，。

1. VPN设计方案：

伴随着数字化城管系统的应用，市指挥中心与各城管单位之间的信息交流日益增多，如果与各单位之间都是采用专线连接，随之而来的网络通信费用会快速增长，往往难以承受。采用VPN技术，使部分单位可以用INTERNET作为传输的媒介进行网络的互连，从而节省了大量的网络通信费用。同时各单位与市监督指挥中心之间传输的数据需要严格保密，从而要求网络传输过程中的安全性很高。

此次我们直接采用外网做为VPN的远端分支接入设备，防火墙都支持硬件

VPN技术，所以建议核心采用专用UTM设备作为VPN的接入网关和安全接入防火墙。对于远端部分用户，可以采用在工作站中安装 Ipsec VPN客户端软件或直接通过SSL VPN的方式通过当地互联网安全接入市监督指挥中心局域网。

1.1.2.4. DMZ区设计

对于对外提供公共服务的服务器，如WEB服务器等，如果将这些服务器直接放置在Internet上，则很容易受到攻击。为此我们将这些提供公共服务的服务器全部放置在防火墙的DMZ区域。我们在出口防火墙上各设置一个DMZ端口，在DMZ区域放置1接入交换机，该交换机通过千兆端口与出口防火墙的DMZ端口联接，而所有的公共服务器则全部接入到DMZ区交换机上， DMZ区域设计图如下图所示：

1.1.2.5. 系统安全监控建议

2. 安全管理

信息安全已从互联网、周边防护发展为深度防御模式，在基础设施中部署了

多项措施来抵御安全漏洞和攻击。鉴于攻击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速，网络内部和周边间的界线逐渐模糊，因此这些措施是非常必要的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及可对最为坚固的基础设施构成挑战——导致防御作用时间缩短、出现停运和昂贵的修复措施。

除服务器和网络设备数量较多外，每个安全组件都提供独立的事件记录和报警功能，以用于异常流量检测、威胁响应和分析。不幸的是，这就生成了大量的干扰、报警、日志文件和误报，需操作员辨别或高效利用它们——但这样的前提是有足够的时间和资源来分析和了解这些信息。此外，法规也要求严格数据保密、更高运营安全性和进行持续审查。因此在网络中部署防火墙对网络安全进行管理和监控。

1.2. 存储备份系统（对比）

本次推荐两套设备方案，一套为传统的服务器、SAN存储方案，具有结构简单，低成本的特点。第二套为适应未来趋势的虚拟化方案，应用更加灵活、稳定。本次方案件事使用第二套，更为符合设计要求。

1.2.1. 传统存储解决方案

1.2.2. 核心数据库独立

推荐选用两台IBM X3850 x5企业级服务器，构建双机热备模式。X3850

X5服务器基于最新一代IBM企业级X架构技术和英特尔处理器构建，它构建模块设计使用户能够按照当前需求自定义系统。4U高的服务器内可拥有多达 4 个处理器，未来可以添加第二个系统，以便创建一个八处理器系统。可凭借八处理器系统和 2 个 MAX5 内存扩展选件扩展至多达 192 个内存槽位。x3850 X5 能够满足当前需求，同时提供一种简便、经济有效的升级途径。

两台服务器均配置4颗Intel至强8核心E4820处理器，配置64G DDR3 ECC RDIMM内存，2块300G 2.5英寸热插拔SAS硬盘，构建RAID1阵列，任一块硬盘损坏都不会影响本地数据的安全。双冗余电源可为设备的长期稳定运行提供有力支持。

集群方案我们推荐Windows系统自带的MSCS（Microsoft集群）软件。MSCS集群可为数据库提供稳定的运行和快速恢复功能。通常情况下，一台数据库处于活动状态，作为主服务器提供对外服务，另一台处于备用状态，暂不接受客户端访问请求。当第一台服务器因故障不能继续响应用户请求时，第二台服务器将会自动接管，继续对外提供服务，处理用户的数据请求。保证了关键业务的连续，及服务系统的高可用性，最大程度地维护了客户的利益。

1.2.3. GIS服务器

在本方案中，推荐采用刀片服务器作为GIS系统服务器，设计为双机热备。相对于普通机架服务器，刀片服务器在这些方面有着独特的优势，它是一种HAHD（High Availability High Density，高可用高密度）的低成本服务器平台，是专门为特殊应用行业和高密度计算机环境设计的。它可以在9U或7U的刀片中心空间里集成最多14个刀片服务器，每一个刀片上可以配置两个CPU，最多可配置192G内存。其一个刀片中心里的服务器可以通过新型的智能KVM转换板共享一套光驱、软驱、键盘、显示器和鼠标，以访问多台服务器，从而便于进行升级、维护和访问服务器上的文件。

因此，推荐选用IBM BladeCenterH刀片中心和HS22刀片服务器为应用服务提供支持。两台服务器均配置2颗Intel至强E5620处理器，配置32G DDR3 ECC RDIMM内存，2块300G 2.5英寸热插拔SAS硬盘，构建磁盘镜像以确保本地数据的安全。集成了双千兆以太网卡，每个刀片均通过双冗余背板总线进行数据传输和供电，可为设备的稳定运行提供有力支持。

1.2.4. 视频、应用、中间件服务器

视频、中间件和应用等服务由8台IBM HS22刀片服务器构成。每种业务应用均配备两台服务器，配置1颗Intel至强E5620处理器，16G DDR3 ECC RDIMM内存，2块300G 2.5英寸热插拔SAS硬盘，构建磁盘镜像以确保本地数据的安全。集成双千兆以太网口，每台刀片均通过双冗余背板总线进行数据传输和供电，可为服务器的稳定运行提供支持。

1.2.5. SAN网络及磁盘存储

本方案中，为数据库及其他应用系统配置一台IBM DS5020光纤存储，双冗余控制器机型，2GB缓存，有独立电池为缓存供电，可确保数据读写安全。配置8块300G 光纤硬盘，为数据库提供空间。另外添加一个磁盘扩展柜，配置10块2T SATA硬盘，为视频等服务提供存储空间，未来最多可扩展至112个磁盘位，为用户提供了广阔的升级空间。

一个完整的SAN系统不能缺少SAN交换机的支持，建议使用两台IBM B24光纤SAN交换机搭建SAN网络结构，为数据库服务器、刀片服务器提供冗余的存储区域网络。

1.2.6. 数据备份

面对海量的数据备份，人工操作已经远不能满足需求，IBM TSM备份软件可以很好的为用户解决这个问题。我们建议为TSM配置主模块和数据库备份模块，这样可以方便的实现自动备份、归档和恢复关键数据。它独具“磁带配置”和“磁带重用”技术，加快了用户恢复过程，增强了存储资源的共享和存储体系的抗灾难能力。

TSM备份硬件设备由一台HS22服务器和TS3200磁带库组成，刀片配置2颗Intel至强E5620处理器，16G DDR3 ECC RDIMM内存，2块300G 2.5英寸热插拔SAS硬盘，构建磁盘镜像以确保本地数据的安全。

IBM TS3200磁带库配置双LTO4光纤驱动器，具有故障转移功能，4U

高度下具备 48 个数据盒插槽，可为中端和网络磁带存储环境提供出色的容量、性能和可靠性。通过Web界面即可对磁带库进行远程管理，为用户提供了灵活的操作性和更出色的管理控制。

1.2.7. 虚拟化解决方案

1.2.8. 1 核心数据库

核心数据库需要更高的相能，因此我们计划仍然采用IBM X3850 x5做为数据库服务器，具体配置及技术指标和物理服务器方案相同。

1.2.9. 2 其他应用（虚拟化）

随着新业务系统不断增加，服务器数量也随之增多，也导致机房的空间紧张，能耗增大，布线系统一团乱麻。如何利用先进、成熟的信息技术实现安全、绿色、整合管理是我们在信息系统建设时要重点考虑的问题。经过调研分析发现，实施应用系统虚拟化已经是越来越多的信息管理部门，在部署新的服务器之前首先要做的事情。

如何对IT架构进行有效的整合是解决问题的关键。针对这个难题,我们提出了基于全球云计算及虚拟化产品领先厂商IBM和VMWARE提供的基于虚拟化云平台技术的服务器整合解决方案。云计算基础架构虚拟化技术由于采用了将传统服务器应用程序环境封装成可移动的档案文件的技术，很容易实现业务的连续不间断运行，针对应用和访问量灵活部署，降低系统总成本。

计划采用1台BladeCenterH刀片中心和6台IBM HS22 刀片服务器做为虚拟化的硬件平台，每台刀片均配置2颗Intel至强E5620处理器，128G DDR3 ECC RDIMM内存，2块300G 2.5英寸热插拔SAS硬盘，配置磁盘镜像。配置HBA卡用来连接SAN网络。刀片中心配置两台以太网交换机

模块，及两台光纤直通模块，为每台刀片服务器提供对外连接通道。

这样，所有服务器端均采用双FC HBA卡连接到两台B24 SAN光纤交换机上，同时存储的两个控制器各有1个端口连接到两台交换机上，当连接服务器的某条数据链路发生故障时还能确保相关数据的可用性。通过与存储设备绑定的多路径管理软件，可以实现存储路径的故障切换，同时还可以做到负载均衡、增加带宽等特点。

虚拟化底层部分，采用VMWARE的vsphere虚拟化软件实现服务器的虚拟化，每台服务器上都安装配置VMware虚拟架构套件——vSphere企业版软件，用于在单个物理服务器实体上，利用服务器强大的处理能力，生成多个虚拟服务器，每一个虚拟服务器，从功能、性能和操作方式上等同于传统的单台物理服务器。在每个虚拟服务器上，再安装配置Windows或Linux操作系统，进而再部署相应的GIS、视频、中间件及应用系统。每个应用的服务器就变身成为VMware Infrastructure架构服务器上的虚拟机。从而大大提高资源利用率，降低成本，增强了系统和应用的可用性，提高系统的灵活性和快速响应，完美的实现了服务器虚拟架构的整合。

1.2.10. 3 SAN网络和磁盘存储

SAN网络仍选用2台IBM B24光纤交换机，构建成一个双冗余的SAN存储区域网络环境。

对于系统的数据存储单元，我们建议采用SAN集中存储方式，这样可以将每个虚拟机的文件系统创建在共享的SAN集中存储阵列上，VMware VMFS 虚拟机文件系统，是一种高性能的群集文件系统，允许多个ESX Server 安装同时访问同一虚拟机存储。支持通过VMware VirtualCenter、VMware VMotion 技术、VMware DRS 和 VMware HA 提供的基于虚拟化的分布式基础结构服务。由于VMware的虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在SAN存储阵列上的VMFS文件系统中，可以让不同服务器上的虚拟机都可以访问到该文件，从而消除了单点故障。

在本方案中，建议存储系统采用1台IBM的DS5020存储产品，该产

品非常适合于虚拟化和整合。主柜配置16块300G 光纤硬盘。添加一个磁盘扩展柜，配置12块2T SATA硬盘，主要存放视频、文件等服务的数据。

主要服务器和存储系统的连接采用先进的SAN(存储局域网结构)，此方式可充分保证存储系统的访问带宽，并同时保持极高的可扩充性，能满足用户未来长期的IT平台发展要求。随着业务量的增加以及新应用的加入，IBM的DS5020可以在线添加新磁盘，最多可以支持112块磁盘，为以后系统的升级留有足够的空间，可以满足本套系统很长时间的数据增长要求。

1.2.11. 4数据备份

数据备份和物理服务器方案相同。

1.2.12. 四、设备建议配置

方案一

方案二

1.2.13. 四、硬件设备简介

1.2.14. 1 IBM System x3850 X5数据库服务器

要点

     

无与伦比的灵活性，可满足不断变化的工作负载需求适用于虚拟化、数据库和企业级工作负载的平衡系统

工作负载优化的系统，具有可针对目标工作负载进行自定义的配置以更低的总成本实现更高的性能和利用率

借助源于大型机的可靠性使工作负载保持正常运行

借助节能智能型设计和远程访问，实现可轻松拥有的、简化的电源和系统管理

根据您的工作负载需求量身定制

随着成本、工作负载以及对全天候可用性的需求不断增长，您的组织已经不能再容忍性能不佳、利用率不高或不可靠的服务器。IBM System x3850 X5 基于最新一代 IBM 企业级 X 架构技术和英特尔处理器构建，可在节能、经济的设计

中提供卓越的性能和无与伦比的可靠性。其最大的优点是能提供超凡的可扩展性和灵活性，帮助您在正确的时间获得正确的功能。

随需扩展

x3850 X5 服务器允许自由选择极其灵活的配置以及内存扩展功能。模块化的构建模块设计使您既能够按照当前需求自定义系统，又能够应对不断变化的工作负载。可从双处理器系统扩展为拥有多达 4 个处理器。可以添加第二个系统，以便创建一个八处理器系统。起始配置为 2 个内存 DIMM，可凭借双节点系统和 2 个 MAX5 内存扩展选件扩展至多达 192 个。根据环境变化重新分配资源。x3850 X5 能够满足您的当前需求，同时提供一种简便、经济有效的升级途径，可在您做好准备时更改您的环境。

产品特性

         

极高的内存容量、处理器可扩展性和存储选件带来无与伦比的灵活性和可选择性

利用 MAX5 可使内存再扩展 50%

IBM eXFlash 高性能、高可靠性的固态存储技术

针对数据库或虚拟化经过工作负载优化的 x3950 X5 型号

支持集成的 Emulex 10 GbE 虚拟光纤网络适配器，并且能够升级至 FCoE 利用最新 IBM X 架构技术进行构建，并且吸纳了第五代 eX5 芯片组设计改进

简便的升级途径和“按需购买”的扩展方式，可提供更有效的投资保护更高的性能，可为虚拟化和企业应用程序提供更高的利用率、吞吐量和带宽

高级服务和远程管理功能，更易使用、生产效率更高功率优化的节能智能型设计，可实现更高的性能功耗比

硬件摘要

      

2 到 4 处理器、4U 机架优化式企业服务器，采用英特尔至强处理器十核、八核和六核处理器选件，频率高达 2.4 GHz(十核)、2.13 GHz(八核)和 1.86 GHz(六核)，最高配备 30 MB 三级缓存

可从 2 个处理器插槽和 2 个 DIMM 扩展为 8 个处理器插槽和 128 个 DIMM(采用 2 个系统)

可选的 MAX5 32-DIMM 内存扩展

16 个带 eXFlash 的 1.8 " SAS 固态驱动器或 8 个 2.5 " SAS 或 SATA 硬盘驱动器

7 个 PCIe x8 高性能 I/O 扩展插槽可选嵌入式虚拟机管理程序

1.2.15. 2 BladeCenterH刀片中心

    

提供高性能、高能效并具有多功能性，因而可在较大型数据中心内运行要求最苛刻的应用程序

集成新型高效电源，可实现领先的能效

可通过简单的集成来促进创新并帮助管理增长、复杂性和风险通过兼容整个 IBM BladeCenter 系列来保护您的投资与竞争产品相比，可提供高出 12% 的性能功耗比

在当今要求极为苛刻的企业环境中，组织需要一种可靠的基础架构来运行计算密集型应用程序，同时最大限度地减少维护、缩减停机时间。IBM BladeCenter H 是一个功能强大的平台，专为企业客户构建，能够提供行业领先的性能、创新架构和坚实的虚拟化基础。

规格

1.2.16. 3 HS22刀片服务器

要点

通过无与伦比的 RAS 功能和创新型管理改进服务  通过提高性能、利用率和效率降低成本

 在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险



功能丰富

IBM BladeCenter HS22 提供了灵活多样的配件选择，能够应对虚拟化应用与企业应用等各种各样的工作负载。结合直观的 UEFI 工具可以快速定制与部署 HS22，与此同时，卓越的可靠性特性有助于保持产品正常运转。HS22 可与业界最为丰富多样以及超越 x86 的机箱与刀片集进行组合搭配。

打造优良的性能

HS22 支持最新的 Intel Xeon 处理器处理器、高速 I/O 以及大内存容量与大内存吞吐量，性能卓越非凡。与上一代刀片服务器相比，HS22 在应用中的运行速度最高可以提高一倍。实际上，在许多应用中，HS22 的运行速度甚至比同类四插槽刀片服务器更快。

规格

1.2.17. 4 DS5020光纤磁盘存储

IBM 一直致力于提供低总拥有成本、高性能、功能强大且易用性超凡的存储解决方案，在其不懈的努力下，现又推出了 IBM System Storage DS5020 易捷版。作为 DS5000 系列的一部分，DS5020 易捷版提供了支持 8 Gbps 的高性能光纤通道连接、适用于要求稍低的应用程序和较低成本的实施的可选 1 Gbps iSCSI 接口、高达 336 TB 的 SAS-N 物理存储容量、100.8 TB 的 SAS 物理存储容量、44.8 TB SSD 物理存储容量以及强大的系统管理、数据管理和数据保护功能。凭借 EXP520 扩展单元，DS5020 易捷版可连接多达 6 个光纤通道扩展单元，从而将容量从工作组级扩展到企业级。

要点



新一代 8 Gbps 光纤通道接口支持基础架构简化

          

混合主机接口支持（光纤通道/iSCSI）可实现 SAN 分层均衡的性能非常适合虚拟化/整合

支持低耗电的超高速固态磁盘（SSD）整合成本更低

自加密驱动器可在驱动器的整个生命周期内保护数据安全

支持混用光纤通道、SED、SATA、SAS、SAS-NL 和 SSD 驱动器可实现经济高效的分层存储

值得信赖的存储系统，可随需保护并提供数据

功能丰富的管理软件可最大限度地提高利用率并降低存储总拥有成本应用程序证书带来信心保证

采用M System Storage DS Storage Manager 对 DS3000 和 DS5000 系列进行集中管理

通过连接 6 个 EXP520 扩展单元，可支持多达 112 个磁盘驱动器模块

有效管理数据

最优化的数据管理需要数据可用性高、存储管理能力强大、性能超凡的存储解决方案。IBM 推出了 IBM System Storage DS5020 易捷版，旨在提供更低总拥有成本、高性能、强大功能和无与伦比的易用性。作为 System Storage DS5000 系列存储系统的一部分，DS5020 易捷版可提供：

   

支持 8 Gbps 速率的高性能光纤通道连接。可选的 1 Gbps iSCSI 接口。

可支持 112 个 SAS-NL （3 TB）磁盘驱动器提供高达 336 TB 的物理存储容量。强大的系统管理、数据管理和数据保护功能。

实现较低的总拥有成本

面对持续增长的数据和日益紧缩的预算，各个公司都在不断寻求通过各种途径来提高效率并降低成本。8 Gbps 光纤通道可让公司减少每台服务器的主机总线适配器数量及其光纤通道存储区域网络（SAN）基础架构中的总端口数量，而不会牺牲性能，从而节省购置和运营成本。

此外，自动协商 8 Gbps 光纤通道接口允许 DS5020 易捷版无缝集成至现有 2 Gbps 或 4 Gbps 基础架构，并能在 SAN 不可避免地进入 8 Gbps 时代时提供面向未来的投资保护。

该系统提供了经济合理的入门配置，旨在帮助您避免过度配置，并可在需求发生变化时提供无缝的“按需购买”可扩展性。其高效存储利用率能降低原始容量需求。高性能和高容量驱动器混用功能则可在单个机柜中实现分层存储。这些独特的功能减少了满足性能和容量需求所需的驱动器数量，能够显著降低购置和运营成本。

常见功能

      

动态容量扩展（DCE）

System Storage DS Storage Manager 软件可生成逻辑卷时间点副本的 IBM FlashCopy 动态卷扩展

可将一个逻辑卷完整复制至另一逻辑卷的 VolumeCopy 功能面向多 LUN 应用的增强型远程镜像热备用磁盘驱动器

硬件摘要

  

    

高达 4 GB 电池供电缓存

型号 20A 具有 8 个主机端口和 4 个驱动器端口 - 标配光纤通道（FC）交换和 FC 仲裁环路（FC-AL），自动检测 2 Gbps/4 Gbps，可选 1 Gbps iSCSI 接口支持的驱动器：

o 4 Gbps FC/FDE：15 k - 600 GB、450 GB、300 GB E-DDM o 4 Gbps SATA：7.2 K 1 TB 和 2 TB E-DDM o 6 Gbps 3.5 英寸 SAS：3 TB 7.2k rpm SAS NL

o 6 Gbps 2.5 英寸 SAS：10K rpm - 300 GB、600 GB 和 900 GB o SSD：73 GB、200 GB、300 GB 和 400 GB 支持 RAID 级别 0、1、3、5、6 和 10 多达 128 个存储分区

112 个光纤通道驱动器（使用 6 个 EXP520 扩展单元）双冗余、可热插拔式散热风扇 19 inch 行业标准机架

规格

第 31 页共 73 页

1.2.18. 5 B24 SAN光纤交换机

 使用简便的 SAN 交换机，具有易于安装和易于使用的功能，专为满足中小型

环境的需求而设计

 通过 8 Gbps 光纤通道（FC）技术提供新的性能等级

 “随需增加端口”功能可以从 8 个扩展至 16 和 24 个端口

 在着眼于未来技术的同时保护现有的 4、2 和 1 Gbps 基础架构投资

 对于运行 Microsoft Windows、Unix、Linux、IBM AIX 和 OS/400 操

作系统的服务器来说，它是新的基础架构简化和业务持续性解决方案的基础

IBM System Storage SAN24B-4 易捷版网络交换机专为满足中小型 SAN 环境的

需要而设计。可用于构建各种高性能 SAN 解决方案，从简单的单交换机配置到支持光纤连接和高级业务持续性功能的大型多交换机配置均可。面向 IBM System x 、BladeCenter 和 IBM POWER Systems 服务器的基础架构简化解决方案，包括采用 IBM System Storage 磁盘存储阵列的存储整合和高可用性服务器群集。业务持续性解决方案包括使用 IBM System Storage 磁带库和设备以及

IBM Tivoli Storage Manager 数据保护软件实现数据保护。

特性与优点：

第 32 页共 73 页

第 33 页共 73 页

产品规格：

第 34 页共 73 页

1.2.19. 6 TS3200磁带库

第 35 页共 73 页

TS3200 易捷型号及其存储管理应用程序旨在满足容量、性能、数据保护、可靠性、经济性和应用程序等方面的需求。它的设计采用了 LTO Ultrium 磁带技术，是一项功能丰富的高容量入门级磁带存储解决方案。IBM TS3200 易捷型号是一项出色的大容量或高性能磁带备份解决方案（配备或不配备随机存取）。TS3200 还是 IBM Power Systems、IBM System x 和其他开放式系统实现磁带自动化的理想选择。

IBM TS3200 磁带库易捷型号非常适合中小型环境用来满足备份、恢复以及归档数据存储的需要。IBM TS3200 配备最多 2 个 LTO 全高型磁带驱动器或最多 4 个 LTO 半高型磁带驱动器以及 48 个磁带盒容量。 TS3200 还依照标准配备了远程管理功能，可通过 Web 界面实现磁带库的远程管理。路径故障转移是一个可选功能，它旨在主机适配器或控制路径驱动器丢失时自动将控制路径故障转移至预先配置的冗余控制路径，而不会中断当前正在进行的任务。

IBM LTO 4 磁带驱动器旨在支持高达 120 MBps 的本机数据传输速率。此外，TS3200 配备了 Ultrium 4 磁带驱动器，拥有高达 38.4 TB 的数据容量（使用 2:1 压缩时可达 76.8 TB）。

要点

支持配备最多 2 个 IBM Ultrium 5 全高型磁带驱动器或最多 4 个 IBM Ultrium 5 半高型磁带驱动器的最新一代 LTO，以及采用 4U 外形的第三代及第四代 LTO 产品

 具备出色的容量、性能和可靠性，可为中端存储环境提供经济高效的备份、

恢复和归档

 可通过标准 Web 界面对库进行远程管理，从而为存储操作提供灵活性和

更出色的管理控制 

规格

第 36 页共 73 页

1.3. 服务器系统

1.3.1. 执法办案子系统服务器

第 37 页共 73 页

1.3.1.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

1.3.1.2. 特性及优势

规格

第 38 页共 73 页

1.3.2. 路灯、景观亮化子系统服务器

1.3.2.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

1.3.2.2. 特性及优势

规格

第 39 页共 73 页

1.3.3. 建筑工地监管子系统服务器

1.3.3.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

第 40 页共 73 页

1.3.3.2. 特性及优势

规格

1.3.4. 城市防汛子系统服务器

1.3.4.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

1.3.4.2. 特性及优势

规格

1.3.5. PDA/GPS服务器

1.3.5.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

1.3.5.2. 特性及优势

第2章. HS22 支持最新的 Intel Xeon 处理器处理器、高速 I/O 以及大内存

容量与大内存吞吐量，性能卓越非凡。与上一代刀片服务器相比，HS22 在应用中的运行速度最高可以提高一倍。实际上，在许多应用中，HS22 的运行速度甚至比同类四插槽刀片服务器更快。

第3章. 规格

3.1.1. WEB服务器

3.1.1.1. 产品选型 IBM BladeCenter HS22刀片服务器 1台通过无与伦比的 RAS 功能和创新型管理改进服务

通过提高性能、利用率和效率降低成本

在具有久经考验稳定性的 BladeCenter 平台上管理增长并降低风险

3.1.1.2. 特性及优势

第4章. HS22 支持最新的 Intel Xeon 处理器处理器、高速 I/O 以及大内存

第5章. 规格

5.1.1. 服务器操作系统和数据库

根据方案的整体设计，信息系统建设采用的基础软件环境建议如下：

 各服务器的操作系统，采用Windows Server 2008中文标准版。

 数据库服务器的数据库管理系统采用SQL Server 2008企业版。

由于网络操作系统、数据库管理系统和邮件服务器均采用Microsoft的产品，所以能够很容易地建立起一个统一和高度集成的系统运行环境，能够很容易地建立服务器集群环境，并充分发挥操作系统的网络管理资源优势。

SQL Server 2008是一个重大的产品版本，它推出了许多新的特性和关键的改进，使得它成为至今为止的最强大和最全面的SQL Server版本。

SQL Server 2008平台众多的新特性和功能可为管理工作带来一系列的好处，有以下主要特点：

 可信任的—— 使得公司可以在高安全性、高可靠性和高可扩展性的数据平

台上运行他们最关键任务的应用程序。

 高效的—— 公司可以降低开发和管理他们的数据基础设施的时间和成本。  智能的—— 提供了一个全面的平台，可以在用户需要的时候为他们提供支

持决策的信息。

SQL Server 2008可以将结构化、半结构化和非结构化文档的数据（例如图像和音乐）直接存储到数据库中，提供一系列丰富的集成服务，可以对数据进行查询、搜索、同步、报告和分析之类的操作。数据可以存储在各种设备上，从数据中心最大的服务器一直到桌面计算机和移动设备，我们可以控制数据而不用管数据存储在哪里。

SQL Server 2008 允许开放人员在使用 Microsoft .NET 和 Visual Studio 开发的自定义应用程序中使用数据，在面向服务的架构（SOA）和通过 Microsoft BizTalk Server 进行的业务流程中使用数据。信息工作人员可以通过他们日常使用的工具（例如 2007 Microsoft Office 系统）直接访问数据。SQL Server 2008 提供一个可信的、高效率智能数据平台，可以满足所有数据需求。

5.1.2. 服务器系统配置清单

5.2. 信息安全系统设计

信息安全平台是系统建设的必要保证。建立相应的安全管理体系，对于发现和解决问题、防患于未然、保证城管指挥中心健康有序的运行具有决定性的作用。。我们将为用户建设全面的、立体的、多层次的、全方位的安全体系。

考虑到数字化城市管理系统是一个专用业务网络，因此主要的安全风险在于对外互联以及用户管理部分，因此本项目的安全体系主要考虑一下极大部分。

（1）严格内部、外部网络访问策略。

（2）外部非法入侵监测防火墙。

（3）系统软件自动补丁更新。

（4）统一的病毒防护、升级策略。

（5）严格的内部网络管理和安全审计。

（6）协助用户建立完善的设备管理及其相关业务管理制度。

上面未涉及的安全体系技术要求，具体方案与业主讨论后详细考虑。

5.2.1. 防火墙与防入侵检测系统

为了保证网络投资及网络安全，采用防火墙直接接入，同时采用，IPSEC VPN，SSL VPN功能于一体的NGFW2000安全设备，并集成高性能IPS模块。。

利用NGFW2000 系列集成的IPS模块，能够灵活地部署IPS 服务，阻止其它恶意代码的攻击。除防火墙基本的安全防御外以外，在NGFW2000机箱中安装自适应检测和防御安全服务模块（AIP-SSM），建立一次通过防火墙/IPS数据包检测。实现2－7层的安全防护。

NGFW2000系列通过集成硬件IPS模块可检查第二到七层网络流量的应用感知检测引擎，提供了强大的应用层安全性。为防止网络遭受应用层攻击，使企业能控制应用和协议在环境中的使用方式，这些检测引擎包含丰富的应用和协议知识，采用了安全实施技术，包括应用/协议命令过滤、协议异常事件检测，以及应用和协议状态跟踪。作为另一个应用检测和控制层，这些检测引擎还采用了攻击检测和防御技术，如缓冲泛洪防御、内容过滤和验证，以及URL 显示服务。检测引擎适用于多种常用应用和协议，包括Web服务、文件传输服务、电子邮件服务、语音和多媒体服务、数据库服务、操作系统服务和3G移动无线服务。这些检测引擎也使企业能控制即时消息、对等文件共享和其他隧道应用等威胁，帮助企业实施使用策略，保护合法业务应用的网络带宽。

高级检测技术－为确保能发现威胁， NGFW2000系列提供了众多的检测方法，以发现策略违背、异常活动和安全漏洞攻击。这些方法包括用于终止数据流中的

隐藏攻击的状态化模式识别；用于验证网络流量的协议分析；用于识别涉及多个连接的攻击的流量异常检测；可通过观察到协议或服务与正常RFC行为有所偏差而发现攻击的协议异常检测；以及用于发现中间人攻击的第二层分析。专用防护可“净化”网络流量，以防止“逃避检测”的企图；这些防护包括IP分段重组和规范化、TCP流分段重组和规范化、TCP逃避控制、IP防电子欺骗和URL显示。

5.2.2. 防病毒系统

5.2.2.1. 瑞星杀毒软件网络版的系统结构

5.2.2.1.1. 分布式体系结构

瑞星杀毒软件网络版采用分布式的体系结构，整个防病毒体系是由四个相互关联的子系统组成：系统中心、服务器端、客户端、“移动式”管理员控制台。各个子系统协同工作，共同完成对整个网络的病毒防护工作，为企业级用户的网络系统提供全方位防病毒解决方案。

图1分布式体系结构

其中：

1. 系统中心是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒

防护的自动控制核心，它实时地记录防护体系内每台计算机上的病毒监

相关文章