隨著信息化建設(shè)的開展，各單位機構(gòu)業(yè)務(wù)系統(tǒng)、科研、管理以及辦公自動化等應(yīng)用系統(tǒng)的建設(shè)已初具規(guī)模。國內(nèi)有一定規(guī)模的骨干網(wǎng)紛紛升級為萬兆網(wǎng)絡(luò)，提前進入了萬兆時代。在各種內(nèi)外因素的推動下，電子所從2007年下旬正式啟動了所級信息化建設(shè)工作。從制定總體規(guī)劃階段開始，電子所就把與科學(xué)院整體的信息化建設(shè)思路保持一致作為首要的指導(dǎo)思想。一方面，電子所緊密結(jié)合院“十一五”信息化建設(shè)總體規(guī)劃，確定了總體規(guī)劃、分步實施、重點突破、有序推進、高效務(wù)實的信息化建設(shè)基本原則。

　　園區(qū)網(wǎng)出口面臨的挑戰(zhàn)：

　  出口設(shè)備NAT性能瓶頸

　　出口設(shè)備要支持NAT（地址轉(zhuǎn)換）是已經(jīng)形成共識的。一方面，園區(qū)網(wǎng)使用私有地址的情況，訪問Internet需要進行NAT；另一方面，即使園區(qū)網(wǎng)絡(luò)通過電信或者網(wǎng)通的線路訪問外部資源，仍然需要進行NAT（地址轉(zhuǎn)換），因為電信所分配的地址更有限。NAT（地址轉(zhuǎn)換）等于給出口設(shè)備增加了一項很重要的任務(wù)，但是，從實際情況來看，NAT卻成為了上網(wǎng)速度慢的一個重要原因。究其根本，設(shè)備的NAT轉(zhuǎn)發(fā)性能是一個很大的原因。

　　來自外部網(wǎng)絡(luò)的攻擊、病毒、掃描令人防不勝防

　　來自內(nèi)部網(wǎng)絡(luò)的電驢和BT大量蠶食出口帶寬、ARP病毒搞的大家都上不了網(wǎng)。

　　語音、視頻會議，門戶網(wǎng)站等關(guān)鍵業(yè)務(wù)質(zhì)量無法保證。

　　出口日志無從記錄，無法滿足公安機關(guān)的反查要求。

　　園區(qū)網(wǎng)出口需求分析：

　　通過對園區(qū)網(wǎng)出口面臨的一些問題的深入分析，我們將園區(qū)網(wǎng)出口建設(shè)的需求歸納如下：

　　出口設(shè)備需要具備高處理性能、高吞吐量。

　　高安全性能，能夠有效阻止來自外部網(wǎng)絡(luò)的各種攻擊、病毒、掃描。

　　能夠識別各種應(yīng)用層流量，限制非法流量，同時保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量。

　　如何針對不同的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)實施不同的帶寬策略

　　出口多鏈路能夠負(fù)載均衡。

　　提供詳細的出口訪問日志記錄。

　　出口設(shè)備盡量少，避免出口過于臃腫

　　園區(qū)網(wǎng)出口建議方案：

　　基于上述對園區(qū)網(wǎng)出口的現(xiàn)狀與需求的深刻理解，神州數(shù)碼網(wǎng)絡(luò)推出了為園區(qū)網(wǎng)出口區(qū)域量身定制的出口安全解決方案。出口建議拓?fù)淙缦拢?/P>

　　流量整形網(wǎng)關(guān)

　　隨著新網(wǎng)絡(luò)應(yīng)用的不斷出現(xiàn)，傳統(tǒng)的網(wǎng)絡(luò)設(shè)備已經(jīng)不能滿足對各種網(wǎng)絡(luò)應(yīng)用的管理，神州數(shù)碼針對諸如此類的用戶需求，適時推出了基于各處應(yīng)用的流量整形網(wǎng)關(guān) DCFS-2000/8000。

　　如上圖所示，出口采用DCFS8500應(yīng)用層流量整形網(wǎng)關(guān)，基于多核嵌入式處理器架構(gòu)，支持4橋8個千兆端口，雙向5Gbps吞吐量，800萬并發(fā)連接數(shù)，控制各種應(yīng)用的帶寬，保證關(guān)鍵應(yīng)用，該產(chǎn)品主要功能特點如下：

　　1.統(tǒng)計、監(jiān)控和分析網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例，為網(wǎng)絡(luò)的用途和下一步的規(guī)劃提供科學(xué)依據(jù)。通過對網(wǎng)絡(luò)上的流量數(shù)據(jù)進行監(jiān)控和分析，量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多。

　　2.帶寬管理：限制每個用戶的上網(wǎng)帶寬，自動采取平均分配帶寬的優(yōu)化算法，確保帶寬資源分配的公平性和合理性；不同用戶組分配不同帶寬。

　　3.有效控制各種應(yīng)用所占帶寬，保證關(guān)鍵應(yīng)用，抑制不希望的應(yīng)用，如下圖所示，為DCFS8500流量控制策略加載前后，迅雷流量所占用的帶寬對比。

　　4.監(jiān)控內(nèi)網(wǎng)每個節(jié)點的實時出流量、實時入流量的大小，可用來判斷內(nèi)網(wǎng)節(jié)點是否存在攻擊行為、中病毒等問題。如下圖所示，通過雙擊認(rèn)為“有問題”的某臺主機的地址，可看該主機詳細會話情況。

　　5.強大的帶寬二級管理：這是DCFS的獨有的管道復(fù)用技術(shù)，不僅可以針對每個用戶實現(xiàn)帶寬的管理，而且同時也可對不同種網(wǎng)絡(luò)應(yīng)用協(xié)議進行帶寬管理。

　　6.網(wǎng)絡(luò)應(yīng)用的識別率高、針對中國本地特色應(yīng)用能進行識別。國內(nèi)本地化應(yīng)用識別強，可識別600余種應(yīng)用，對于新出現(xiàn)的應(yīng)用，我們提供對新的網(wǎng)絡(luò)應(yīng)用識別的按需定制升級服務(wù)。

　　7.DCFS為業(yè)界將身份與流量整形完美結(jié)合產(chǎn)品，支持用戶身份、帶寬授權(quán)、靈活計費和用戶審計功能，與神州數(shù)碼TrustCenter產(chǎn)品配合，可以實現(xiàn)靈活計費。

　　.多核防火墻

　　隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為我們生活中不可或缺的一部分，它給我們的工作學(xué)習(xí)生活帶來了前所未有的方便，與此同時，也將潛在的威脅悄悄的植入其中，對于信息管理人員來說，整個局域網(wǎng)的安全是重中之重

　　在網(wǎng)絡(luò)的出口安全防護方面，布置神州數(shù)碼的終結(jié)者多核超萬兆防火墻，神州數(shù)碼DCFW-1800E-10G防火墻專為萬兆位流量的網(wǎng)絡(luò)服務(wù)運營商，大型園區(qū)網(wǎng)，數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計，設(shè)備采用64位多核處理器和高速交換總線技術(shù)，實現(xiàn)了芯片級的VPN、QoS流量管理等功能的硬件加速性能。

　　神州數(shù)碼終結(jié)者系列防火墻采用多核處理器架構(gòu)，在實際工作中，每個可以在相對節(jié)能的方式下運行，犧牲單個的運算速度，但多顆協(xié)同處理任務(wù)，以達到性能倍增的目的。在這樣的架構(gòu)下，終結(jié)者可以達到的指標(biāo)如下：

　　設(shè)備基于多核架構(gòu)，提供強勁的防火墻處理性能，高達20G的數(shù)據(jù)吞吐量

　　VPN數(shù)據(jù)（3DS+SHA-1）吞吐量高達10G

　　每秒處理新建TCP連接超過25萬，UDP新建連接50萬

　　支持1000萬并發(fā)連接數(shù)（缺省500萬，可升級至1000萬）

　　超強的抗DoS攻擊能力，以每秒創(chuàng)建5000TCP會話作為背景流量，可以檢測并防御80萬個包/秒以上的SYN-FLOOD攻擊

　　IPSec VPN隧道數(shù)可支持3萬條（出廠缺省支持，無需單獨購買）

　　SSL VPN支持1萬在線用戶

　　神州數(shù)碼DCFW-1800E-10G防火墻專為萬兆位流量的網(wǎng)絡(luò)服務(wù)運營商，大型數(shù)據(jù)中心等骨干網(wǎng)絡(luò)而設(shè)計，2U專用萬兆線速安全平臺，完全模塊化可擴展結(jié)構(gòu)，雙電源設(shè)計為您提供的不間斷運行時間。設(shè)備采用64位多核處理器和高速交換總線技術(shù)，實現(xiàn)了芯片級的VPN，QoS流量管理等功能的硬件加速性能，避免了傳統(tǒng)ASCI和NP安全系統(tǒng)新建連接能力和流量控制能力弱的弊病。神州數(shù)碼DCFW-1800E-10G防火墻內(nèi)置12個SFP光纖插槽，1個10/100/1000M自適應(yīng)以太網(wǎng)電口和2個萬兆插槽，接口模塊類型支持單模、多模光纖，充分滿足您的定制需求。

　　.上網(wǎng)行為日志管理

　　DCBI-NETLOG上網(wǎng)行為日志系統(tǒng)分為四個型號，分別是DCBI-NETLOG（200）、DCBI-NETLOG（500）、DCBI-NETLOG（2000）、DCBI-NETLOG（5000），適合不同規(guī)模的網(wǎng)絡(luò)。

　 與神州數(shù)碼DCSM聯(lián)動，上網(wǎng)行為記錄可直接映射到上網(wǎng)者的用戶帳號，而不只是簡單的記錄到上網(wǎng)者源IP，從而可以根據(jù)用戶上網(wǎng)帳號更加準(zhǔn)確地定位到上網(wǎng)行為的責(zé)任人，而不再是根據(jù)用戶的源IP來確定上網(wǎng)行為的責(zé)任人。主要特性包括：

　　1.高性能，為解決本身的性能問題，并且為了在使用時不影響網(wǎng)絡(luò)的性能，采用下面的方式：采用旁路的組網(wǎng)方式不與計費的網(wǎng)關(guān)采用同一設(shè)備，而是采用單獨的設(shè)備。

　　2.上網(wǎng)行為記錄功能，可實現(xiàn)記錄上網(wǎng)者訪問過哪些網(wǎng)站、訪問的URL、源/目的IP、源/目的端口、上網(wǎng)時間及流量等數(shù)據(jù)，從而提供了上網(wǎng)行為的安全審記數(shù)據(jù)源，滿足國家安全部門對上網(wǎng)行為進行記錄的要求。

　　3.與DCSM聯(lián)合組網(wǎng)，上網(wǎng)行為記錄可直接映射到上網(wǎng)者的用戶帳號，而不只是簡單的記錄到上網(wǎng)者源IP。

    4.各種上網(wǎng)行為的統(tǒng)計功能，以圖例的方式顯示哪些網(wǎng)站是近訪問次數(shù)的Top-10、哪些用戶近發(fā)包次數(shù)的Top-10等。根據(jù)這些訪問情況的統(tǒng)計結(jié)果，很容易發(fā)現(xiàn)網(wǎng)絡(luò)上哪些節(jié)點或用戶有異常行為。

　　5.即使用用戶通過代理上網(wǎng)（即：用戶訪問的目的IP是代理的IP），也能解析出用戶訪問的終網(wǎng)站的URL。

　　6.可解析出e-mail流量的源mail地址、目的mail地址。

　　7.可解析出Ftp的用戶名、口令、所使用的ftp命令等。

　　8.可解析出telnet的各種操作信息。

　　9.采用海量存儲部件，在數(shù)據(jù)存儲超過閥值時有報警功能，并且可將歷史數(shù)據(jù)導(dǎo)出由用戶自行存儲。

　　10.組網(wǎng)方便：自帶兩個千兆電口，一個口用于接業(yè)務(wù)網(wǎng)絡(luò)，另一個口用于接管理網(wǎng)絡(luò)。

　　11.支持容量收斂功能：可根據(jù)指定的屬性，將在一定時間內(nèi)連續(xù)的上網(wǎng)日中屬性值相同的記錄合并成一條記錄，從而大大降低對存儲容量的需求。

　　12.支持iSCSI網(wǎng)絡(luò)存儲協(xié)議，并且可與iSCSI等存儲設(shè)備對接，使存儲容量達到無限擴展。

　　神州數(shù)碼控股有限公司是中國的整合IT服務(wù)提供商。集團由原聯(lián)想集團分拆而來，并于二零零一年六月一日在香港聯(lián)合交易所有限公司主板獨立上市。神州數(shù)碼致力于為中國用戶提供先進、適用的信息技術(shù)應(yīng)用，以科技驅(qū)動工作與生活的創(chuàng)新，推進數(shù)字化中國進程。