网络机房建设详细技术方案方案.doc

《网络机房建设详细技术方案方案.doc》由会员分享，可在线阅读，更多相关《网络机房建设详细技术方案方案.doc（56页珍藏版）》请在咨信网上搜索。

网络机房建设项目 技 术 方 案 书 目录 一、系统集成方案 1 1.1系统集成建设目标 1 1.2系统集成设计要求 1 1.3系统网络结构 1 1.3.1系统网络设计原则 1 1.3.2系统网络拓扑设计 2 1.4服务器存储系统 6 1.4.1服务器选型原则 6 1.4.2服务器选型 7 1.4.3数据库服务器选型 8 1.4.4应用服务器选型 9 1.5网络安全设计 12 1.5.1网络安全系统设计 12 1.5.2选用安全交换机保障网络安全 12 1.5.3运用防火墙系统增强网络安全 12 1.6数据备份设计 13 1.6.1数据备份技术概述 13 1.6.2数据备份方案 13 1.6.3数据的备份 14 1.6.4数据的恢复 14 二、机房建设方案 14 2.1概述 14 2.2机房现状及总体要求 15 2.2.1机房建设的原则 15 2.2.2建设内容 16 2.2.3机房主要环境技术要求 16 2.2.4参考标准 18 2.3机房建设总体布局 19 2.3.1布局设计 19 2.4机房装修 19 2.4.1吊顶装饰工程 19 2.4.2地面工程 20 2.4.3门窗工程 22 2.4.4隐蔽部分工程 22 2.4.5场地降噪、隔热 22 2.4.6场地净化 22 2.4.7场地防水 23 2.4.8静电防护和电磁屏蔽 23 2.5配电系统 24 2.5.1供配电系统 24 2.5.2配电系统 24 2.5.3照明、电源插座、配线走线方式 25 2.5.4照明系统 25 2.6综合布线系统 38 2.7防雷接地系统 38 2.8空气调节系统 40 2.9消防报警系统 ………………………………………………………………………………..40 一、系统集成方案 1.1 系统集成建设目标 针对此次局域网建设项目，其建设目标是利用先进的计算机技术、通信技术建设一个现代化的信息网络系统，以满足生产、办公的需要。本次系统集成主要包括以下建设内容： 1、建立系统专用网，网内部署多台服务器以满足数据库平台、GIS管理平台、数据备份、防病毒、等各类应用的需要； 2、利用高可靠性的数据库服务器存储系统，实现服务器、数据库安全。 3、由备份服务器、磁带库组成存储备份系统，实现数据库和所有单机数据库各种数据的备份，实现历史数据归档管理。 4、为本单位系统安全运行，通过高性能服务器、高性能交换机、防火墙、防病毒、策略自动备份等技术手段，结合完善的网络安全制度和策略管理体系，建立立体式的平台安全防护体系。 1.2 系统集成设计要求 系统软硬件平台是此次局域网建设数据管理网络设备项目建设的基础，承载局域网系统的正常运行，服务器、存储设备、网络等各种设备能够满足一段时间内（3－5年）不断增长的局域网系统业务处理的需要，因此，需要综合考虑系统软硬件平台设计，做到合理、经济以及可行。 本技术方案将从实际情况出发，提出的总体规划和需求为基础，充分利用现有的计算机和通讯资源，建设成一个综合应用的现代化网络平台。本系统集成技术方案将遵照以下原则进行设计。 1.3 系统网络结构 1.3.1 系统网络设计原则 §1.1.1 本局域网系统建成后，将建成与现有办公网络隔离的专用网络。在建设新网络系统时，应满足如下各种设计原则。 1、高带宽通道通信 网络就要保证高速的信息通信。网络通道不应成为应用系统的制约因素，其最窄的瓶颈通道应当还是高于信息通信的带宽需求。网络的一定要满足高带宽的传输。 2、高可靠容错能力 本系统运行在网络之上，应用系统的正常运作是依赖于网络系统的高可靠容错性能，特别是在计算机系统逐渐成为企业的关键业务。网络故障而造成的企业损失通常是随着停顿时间的延长而几何级地增加。网络系统应尽量地增加可靠稳定的元素，并且故障自动修复时间要尽可能的短。 3、可扩充能力 计算机应用正逐渐渗透入政府行政管理等业务每一个环节。网络无论从单一设备还是从整个系统的角度必须具有很好的扩充能力，以满足不断发展和变化的应用需求，并能随着技术的发展不断升级。 4、安全性 网络系统应具有良好的安全性，由于网络内有多个业务部门和应用系统，并要与其它分支机构互联，网络系统应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 5、高智能 网络管理者需要可以控制网络的使用以及为不同应用和用户组分配网络资源并划分优先等级的能力。网络管理者必须针对网络应用需求制订专门的政策，将企业需要与所期望的网络行为对应起来。作为一个整体的系统，网络应具有可控的智能化的高性能。也就是说，网络中以太网连接的节点之间的交换，不管它们的VLAN属性如何，我们都可以控制它在本地交换机交换或通过主干进行交换。 6、QoS(服务质量)保证 当今网络中的应用越来越多，如实时生产数据业务，IP电话，视频点播，视频会议等。这类应用必然对网络提供的服务质量有较高的要求。新的网络系统应能保证QoS，以支持这类应用。 7、符合国际标准 选用符合国际标准的开放性的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求，保护用户的投资。 1.3.2 系统网络拓扑设计 本系统网络作为智能化建设的基础，地位极其重要，未来的生产运营、管理等有关业务将全部依赖该系统，如何实现安全可靠，高速稳定的运行对整个系统来说非常关键。 因此，我们在设计整个网络系统时要综合考虑多种因素，包括未来的发展速度、信息存储灾备的模式、安全理念、业务应用类型等，同时为了保证网络的稳定，核心设备应当适度超前，满足未来3-5年的信息增长需求。 1、区域化的结构设计 在本局域网网络结构设计中，我们采用了区域化的结构设计。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的网络。将整个系统的应用层次的不同分成不同的区域，包括核心交换区、服务器存储区、互连网信息发布区、XX系统客户端服务区、广域网接入区等。各个区域均通过接入交换机与核心交换机冗余连接，实现清晰的系统边界。 2、三层到接入 本网络系统采用三层到接入的组网模式，将三层功能下移到接入层可以有效解决传统组网模式的弊端：三层转发由接入层设备有效分担，核心交换机的负荷小，接入级二层协议主要在接入层完成，对于核心设备的功能要求简单，且可以简化全网的配置。核心设备直接面对的将是接入层L3，可以大大降低对主机路由表的容量要求，通过合理的路由聚合还可以减少子网路由表的容量要求，VLAN间转发由接入L3分担可以减少核心设备三层接口的数量，将二层广播域限制在接入层降低广播流量的范围，网络冗余备份靠三层的路由完成，通过等效路由还可以做到流量的合理分担，对链路的利用率高。 根据以上区域化和三层接入的设计思想，结合本系统实际情况，整个系统的拓扑如下图所示。 数据库 GIS 应用 服务器 专用客户端 绘图仪 打印机 管 线 平 台 专 线 扫描仪 WEB 应用 I n t e r n e t 公 网 浏览器 浏览器 Internet 互联网络 互联网用户 互联网用户 、 各单位内部网 客户端 客户端 各单位 公共服务 防火墙 + 入侵防御 应用 \ 备 份服务器 移动客户端 磁盘柜 磁带机 防火墙 + VPN 移动客户端 图6.3.2-1系统平台网络拓扑图 本系统网络采用典型的星型结构，专用网络平台上运行，数据流向以访问GIS应用服务器为主。 整个系统网络体系分为核心和防火墙VPN，专门部署一台核心交换设备，XX系统专网出口部署一台防火墙VPN设备，连接本地局域网，为各单位接入网络提供最高的安全性和VPN服务，以满足安全可控的要求。 1.3.3 网络设备选型 1、网络核心交换机 本系统选用神州数码万兆交换机 产品名称：神州数码DCN DCRS-6804 产品名称 DCN DCRS-6804 交换机类型 万兆路由交换机 传输速率 10/100/1000/10000Mbps 应用层级 三层 交换方式 存储-转发 背板带宽 640Gbps 包转发率 357Mpps, L2/L3全线速 端口结构 模块化 MAC地址表 64K VLAN功能 支持 网络参数 DCN DCRS-6804 网络标准 IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z(1000BASE-X)、IEEE802.3ab(1000Base-T)、IEEE802.3ae(10GBase)、IEEE802.3ak(10GBASE-CX4)、IEEE802.1Q(VLAN)、IEEEE 802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(Port Control)、IEEE802.3x(流控)、IEEE802.3ad 网络协议 Port Mirror, IGMP Snooping, QinQ, GVRP, VLAN, PVLAN 网管功能 支持CLI、支持Console,支持Telnet 支持SSH 支持TACACS+ 支持SNMPv1/v2c/v3, 支持MIB接口, 支持Trap 支持RMON 1, 2, 3, 9四组 支持Security IP安全网管功能: 防止在非指定区域非法登陆配置 堆叠功能 不可堆叠 端口参数 DCN DCRS-6804 接口类型 10/100/1000BASE-T最多192个 1000Base-SX最多192个 1000Base-LX最多192个 10/100BASE-T最多192个 万兆最多32个 其它参数 DCN DCRS-6804 其他功能 QoS: 完全硬件实现, 不影响性能 每端口8个队列, 支持SP、WRR、SWRR等队列调度算法 支持Traffic Shapping(流量整形) 安全性 支持URPF(单播反向路径检查), 可有效防止IP地址仿冒和攻击 可有效防止各种DOS攻击 电气规格 DCN DCRS-6804 电源电压 200-240VAC/-36V - -72VDC 额定功率 ≤400W 外观参数 DCN DCRS-6804 尺寸 440×421×266 mm 2、网络防火墙选型 本系统选用神州数码万兆交换机 产品名称：神州数码DCFW-1800 基本规格 防火墙类型 企业级防火墙 CPU 双核64位网络处理器 内存容量 256MB 闪存容量 256MB 网络吞吐量 200Mbps 并发连接数 40000 VPN支持 支持 策略数 3000 主要功能 支持P2P(BT、eMule,迅雷等)应用控制, 提供高速硬件对关键应用的颗粒度为1kbps的QOS支持, 支持网游优化 支持应用层安全防护, 支持JavaApplet, Active-X、URL过滤等功能 极低的设备功耗(15W), 节约用户能源成本 网络 网络管理 Telnet, SSH, HTTP, HTTPS, SNMP v1/v2c 端口类型 双核64位网络处理器,DRAM:256MB,F:256MB,5个10/100/1000M 安全性 过滤带宽 50Mbps 人数限制 128 入侵检测 Dos,DDoS 安全标准 FCC Part15, Class A, EN55022(CISPR22, Class A) 端口参数 控制端口 RS-232 其他端口 网络接口: 5×GE 电气规格 电源电压 AC 100-240V 50/60Hz 外观参数 尺寸大小 142.4×221×32.6 产品重量 0.85kg 长度(mm) 221 宽度(mm) 142.4 高度(mm) 32.6 环境参数 工作温度 0 - 45 工作湿度 10-95%(不结露) 存储温度 -20 - 65 存储湿度 10-95%(不结露) 1.4 服务器存储系统 1.4.1 服务器选型原则 数据库服务器主要用于存储、查询、检索企业内部的信息，因此需要搭配专用的数据库系统，对服务器的兼容性、可靠性和稳定性等方面都有很高的要求。 在考虑应用服务器平台时，一方面从业务需求入手，要求应用服务器平台能够稳定高效运行业务系统，包括种种关键环节。另一方面，针对目前用户业务发展趋势，以及未来的发展方向，我们将推荐先进、可靠、高效的主流机型及存储系统，使其无论在处理能力、可靠性，还是在高可用性、扩展性等诸多方面处于领先地位，其中特别是具有平衡的整体性能及高负载能力方面，要求适应本网络系统业务量及业务种类的发展。现仅就服务器平台技术方面详细论述： 1、要求服务器平台有强大而平衡的处理能力 针对业务情况，要求服务器平台能够支持大规模业务处理，尤其在业务高峰期间能够与磁盘系统配合，使整个系统性能平衡不会出现系统瓶颈，保证系统响应大压力的数据负载。 2、要求服务器平台有完整的高可用解决方案 系统所处理的业务为关键业务.这就要求从硬件和软件平台的角度，能够提供高可用的解决方案。高可用方案针对可靠性、可用性、容错能力、最大无故障时间等方面提供完整科学的系统方案设计，其中包括支持多机备份、数据恢复以及灾难备份等技术，用以满足业务系统高可靠的运行。 3、要求服务器提供商具有完善的服务体系 现今用户已经越来越重视系统提供商的服务，因为系统的良好运行是与系统提供商的优良服务分不开的。只有得到了完善的服务，才能够没有后顾之忧。 4、要求服务器平台有丰富的扩展方式 要求服务器系统在技术上具有强大的扩展能力，能够满足本系统业务量的提升，同时能够为增加软件功能提供运行空间。 5、要求服务器平台有完善，方便的管理技术 对本网络系统，服务器的管理技术是其中必不可少的关键的组成部分，要求管理工具不但用于日常的系统管理工作，而且尽可能简洁易用，简化系统管理员繁重的工作。管理技术包括三个组成部分，即系统管理、网络管理、机房管理。系统管理是利用系统工具管理硬件、软件从而使系统在安装运行和维护得到可靠保证。网络管理是监控全网络的工作状态，从连通性、安全性、可靠性等方面提供有利支持。机房管理是在不同人员工作分配等方面提供一定方法。 6、要求服务器平台提供可靠的安全策略 本系统包括大量的关键数据，保证这些数据不被恶意破坏、非法侵取是电脑系统安全策略所要解决的内容。安全策略提供网络、服务器、业务等关键资源有力保护，为业务系统创造安全可信的运作空间。 7、要求服务器平台是能够长久发展的主流机种 计算机产业是发展迅速的产业，新技术不断涌现，旧产品快速淘汰。选择能够长久发展的主流机种可以减缓机器更换频率，提高服务器的服务年限，更好的利用设备投资。 1.4.2 服务器选型 根据以上服务器选项原则，我们将采用机架式服务器搭建本项目服务器平台，具体规划如下： 序号 项目 说明 数量 1 数据库服务器 数据库平台部署、与GIS应用系统分离避免故障。 1台 2 GIS应用服务器 ArcGIS平台部署 1台 3 应用服务器 用于WEB发布、备份平台及管理软件部署 1台 1.4.3 数据库服务器选型 数据库服务器作为本系统的核心，具有业务量大、处理数据量大等特点。它承担着业务数据的存储和处理任务，因此关键数据库服务器的选择就显得尤为重要。服务器的可靠性和可用性是首要的需求，其次是数据处理能力和安全性，然后是可扩展性和可管理性。 首先，数据库服务器选型应该遵循以下几个原则： 1)高性能原则 2)可靠性原则 3)可扩展性原则 4)安全性原则 5)可管理性原则 5)可靠性、扩展性等 本服务器选用：戴尔R910机架式服务器 Dell(TM) PowerEdge(TM) R910机架式服务器 硬件 参数 1 Intel(R) Xeon(R) Processor E7-4820 2.00GHz, 18MB cache, 5.86 GT/s QPI, Turbo, HT, 8C (2 CPU) 1 PowerEdge R910机架式机箱，用于2.5英寸硬盘 1 PowerEdge R910机架，含4个背板 1 1G I/O Riser卡，两个双端口嵌入式BCM5709C GbE 1 R910的挡板 1 24个内存空位填充片 1 16Gb 内存 (8x2G), 1333MHz, 单列 LV RDIMMs 用于 4个处理器的配置 1 4个内存Riser卡 1 PER910散热器（4个处理器） 1 Intel(R) Xeon(R) Processor E7-4820 2.00GHz, 18MB cache, 5.86 GT/s QPI, Turbo, HT, 8C (3&4 CPU) 2 600 GB 2.5英寸10K RPM 6Gbps SAS热插拔硬盘 1 PERC H700集成RAID控制器512MB高速缓存 1 无电缆 1 用于Ms 2008 R2的8倍速SATA超薄DVD-ROM光驱 1 高输出电源3 PSU 1100瓦 1 信息模块高输出电源(2+1 PSU) 1100瓦，冗余 1 PSU空位填充片2 + 1 3 用于 UPS/PDU 连接的带IEC C13-C14插头的电源线 3 连接到墙壁插座的电源线 1 iDRAC6 Express 1 不含鼠标 1 不含操作系统 1 仅供参考 - 无操作系统 1 5年 "保留您的硬盘" 服务 1 2U滑轨 1 C3 - R1用于PERC H200/H700，恰好2个驱动器 软件 1 适用于PowerEdge R910服务器的Dell OpenManage套件 服务 1 安装戴尔服务器、存储或外围设备、PowerEdge服务器HWT 1 技术支持 1 E-Support Asset Tag 1 主设定包装盒标签 2 SI,EMEA,MOD,DELL READY 1 SI,MOD,INFO,DIRECTSHIP,C4 1 有限保修：延长到第2至第3年（下一工作日） 1 有限保修：延长到第2至第3年（部件保修） 1 有限保修：首年（下一工作日） 1 有限保修：首年（部件保修） 1 5年基础核心支持 1 第4到第5年下一工作日现场服务 1 第4到第5年下一工作日现场服务（部件保修） 1 5年 (7x24) 4小时上门服务 1.4.4 GIS应用服务器选型 本服务器选用：戴尔R910机架式服务器 Dell(TM) PowerEdge(TM) R910机架式服务器 硬件 参数 1 Intel(R) Xeon(R) Processor E7-4820 2.00GHz, 18MB cache, 5.86 GT/s QPI, Turbo, HT, 8C (2 CPU) 1 PowerEdge R910机架式机箱，用于2.5英寸硬盘 1 PowerEdge R910机架，含4个背板 1 1G I/O Riser卡，两个双端口嵌入式BCM5709C GbE 1 R910的挡板 1 24个内存空位填充片 1 16Gb 内存 (8x2G), 1333MHz, 单列 LV RDIMMs 用于 4个处理器的配置 1 4个内存Riser卡 1 PER910散热器（4个处理器） 1 Intel(R) Xeon(R) Processor E7-4820 2.00GHz, 18MB cache, 5.86 GT/s QPI, Turbo, HT, 8C (3&4 CPU) 3 300GB 10K RPM 6Gbps SAS 2.5英寸热插拔硬盘 1 PERC H700集成RAID控制器512MB高速缓存 1 无电缆 1 用于Ms 2008 R2的8倍速SATA超薄DVD-ROM光驱 1 高输出电源3 PSU 1100瓦 1 信息模块高输出电源(2+1 PSU) 1100瓦，冗余 1 PSU空位填充片2 + 1 3 用于 UPS/PDU 连接的带IEC C13-C14插头的电源线 3 连接到墙壁插座的电源线 1 iDRAC6 Express 1 不含鼠标 1 不含操作系统 1 仅供参考 - 无操作系统 1 5年 "保留您的硬盘" 服务 1 2U滑轨 1 C3 - R1用于PERC H200/H700，恰好2个驱动器 软件 1 适用于PowerEdge R910服务器的Dell OpenManage套件 服务 1 安装戴尔服务器、存储或外围设备、PowerEdge服务器HWT 1 技术支持 1 E-Support Asset Tag 1 主设定包装盒标签 2 SI,EMEA,MOD,DELL READY 1 SI,MOD,INFO,DIRECTSHIP,C4 1 有限保修：延长到第2至第3年（下一工作日） 1 有限保修：延长到第2至第3年（部件保修） 1 有限保修：首年（下一工作日） 1 有限保修：首年（部件保修） 1 5年基础核心支持 1 第4到第5年下一工作日现场服务 1 第4到第5年下一工作日现场服务（部件保修） 1 5年 (7x24) 4小时上门服务 1.4.5 应用服务器选型 本服务器选用戴尔R710机架安装服务器 Dell(TM) PowerEdge(TM) R710机架安装服务器 硬件 参数 1 用于R710的无TPM主板（中国大陆），Westmere CPU 1 Intel(R) Xeon(R) Processor X5650 2.66GHz, 12MB cache, 6.4 GT/s QPI, Turbo, HT, 6C 1 集成两个启用TOE的Broadcom 5709C双端口千兆以太网 1 用于PowerEdge R710的3.5英寸机箱 1 带有2个PCIe x8和2个PCIe x4插槽的Riser 1 PowerEdge R710挡板 1 2个CPU配置的内存信息 1 使用2通道内存 1 16Gb 内存 (8x2G), 1333MHz, 单列 LV RDIMMs 用于 2个处理器的配置 1 用于2个处理器的PowerEdge(TM) R710散热器 1 2nd Intel(R) Xeon(R) Processor X5650 2.66GHz, 12MB cache, 6.4 GT/s QPI, Turbo, HT, 6C 5 2 TB 7.2K RPM近线6 Gbps SAS 3.5英寸热插拔硬盘 1 1x6 背板用于3.5英寸硬盘 1 PERC H700集成RAID控制器512MB高速缓存 1 高输出电源，冗余，870W 1 用于Ms 2008 R2的8倍速SATA超薄DVD-ROM光驱 1 高输出电源，冗余，870W 1 适用于PERC H700的电缆，3.5英寸机箱 2 用于 UPS/PDU 连接的带IEC C13-C14插头的电源线 2 连接到墙壁插座的电源线 1 INFO iDRAC6 Express 1 iDRAC6 Express 1 不含操作系统 1 仅供参考 - 无操作系统 1 5年 "保留您的硬盘" 服务 1 2U滑轨 1 C4：RAID 5用于PERC 6/I或H700控制器 软件 1 适用于PowerEdge R910服务器的Dell OpenManage套件 服务 1 安装戴尔服务器、存储或外围设备、PowerEdge服务器HWT 1 技术支持 1 E-Support Asset Tag 1 主设定包装盒标签 1 SI,EMEA,MOD,DELL READY 2 SI,MOD,INFO,DIRECTSHIP,C4 1 Onboard Network Card 4-MAC Address Label 1 Onboard Network 4-Port MAC Address Label 1 E-Support Asset Tag 1 有限保修：延长到第2至第3年（下一工作日） 1 有限保修：延长到第2至第3年（部件保修） 1 有限保修：首年（下一工作日） 1 有限保修：首年（部件保修） 1 5年基础核心支持 1 第4到第5年下一工作日现场服务 1 第4到第5年下一工作日现场服务（部件保修） 1 5年 (7x24) 4小时上门服务 1.5 网络安全设计 针对本系统网络可能遇到的各种安全威胁和风险，应采取行之有效的安全措施，以保证系统应用过程中信息的完整性、高可用性和抗抵赖性，确保系统能够安全、稳定、可靠地运行，为实现系统建设的目标提供安全保障。 1.5.1 网络安全系统设计 基于以上网络安全问题分析，我们将采用安全交换机、防火墙VPN、网络流量控制网关、网络管理软件等部署本项目网络安全平台，具体规划如下： 序号 项目 品牌、型号 数量 1 核心交换机 模块化三层交换机 1台 2 防火墙VPN 高端防火墙自带VPN 1台 3 流量整形控制 高端流量整形网关 1台 4 网络管理软件 专业版管理管理软件 1套 1.5.2 选用安全交换机保障网络安全 交换机最重要的作用就是转发数据，在黑客攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。 本方案选用核心交换机，配备独立新一代高性能基本第三层交换引擎具备1个万兆接口、24个千兆SFP接口和12个千兆以太网接口，并且是基于ASIC的硬件支持IPV6。 由于安全策略实施不会与线速专用访问控制列表（ACL）发生冲突，因而能阻挡越来越猖獗的病毒和安全攻击。提供的易于使用的强大工具能够有效防止不可追溯的中间人攻击、控制平面资源耗尽、IP 欺诈和泛洪攻击，而且不需要修改最终用户或主机的配置。安全远程访问、文件传输和网络管理分别通过Secure Shell（SSH 版本1 和版本2）协议、安全复制协议（SCP）和 SNMPv3 实施。 1.5.3 运用防火墙系统增强网络安全和使用流控系统掌控网络流量分布 针对日趋复杂的混合性攻击，以及网络资源滥用行为，在网络出口处部署一台硬件防火墙用于保护内网安全，网络边界隔离。能够全面抵御蠕虫、病毒、特洛伊木马、间谍软件等恶意程序，阻止它们渗入内网，并实时阻断SQL注入、DDoS各类应用层攻击，从而最大限度地保护信息系统的基础架构。 防火墙支持VPN功能，VPN实现的一个关键技术是隧道技术，所谓隧道技术就是（数据包封装、发送和拆封过程称为"隧道"）原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。隧道将原始数据包隐藏（或称封装）在新的数据包内部。新的数据包可能包含新的寻址和路由信息，这使新的数据包得以在网络上传输。当隧道与保密性结合时，在网络上窃听通讯的人将无法获取原始数据包数据（以及原始的源和目的）。将XX系统的数据依靠隧道协议封装在隧道中进行传输，保证数据在外部网络上流动的安全。隧道协议分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPSEC。它们的区别就是用户的数据包是被封装在哪种数据包中在隧道中传输的。 利用VPN功能，可以在网络内部，用它来实施XX系统的访问控制，防范内部用户可能在无意之间引入网络的蠕虫、病毒和其他恶意代码。 而是用网络流量控制设备可以分配网络流量的带宽，使得网络的流量分配更加合理。 1.6 数据备份设计 1.6.1 数据备份技术概述 备份是用户保护计算机中重要数据信息的最佳方式，为了可靠地保管文件，用户定期把最近生成的文件，从计算机备份到一组磁盘或数据磁带上。但是，越来越庞大的数据库以及冗长的数据资料使得这种简单的备份操作不胜负担。试想，如果有几十个甚至上百个文件，乃至像一家企业里的亿万海量数据，你将如何备份呢？所以，需要有一套完整的专业方案来解决数据备份问题。“拷贝+管理=备份”被认为是目前惟一的、最佳的存储备份解决方案。 备份一般包括硬件备份和软件备份两部分。真正意义上的备份更强调软件备份。硬件备份不能替代数据备份，事实证明，只有硬件备份和很好的管理软件相结合，才能提供真正安全的数据保护。 1.6.2 数据备份方案 本网络系统建立一套基于现有硬件和网络资源，对文件系统的数据进行LAN网络备份的备份/恢复系统。 1.6.3 数据的备份 1、用一台应用服务器安装Windows 2003担任备份服务器，负责整个备份系统的管理，包括备份策略的制订、备份工作的调度、备份数据库的保存、数据恢复等。 2、采用Lan的备份方式，进行备份时，备份数据通过业务网络传送到备份服务器，并写入备份设备内。 3、备份软件采用Symantec BackupExec软件（简称BE）。 4、在备份服务器上安装SYMC BACKUP EXEC WIN SERVER(备份主模块)，负责备份系统的管理。 5、在数据库服务器的上安装Oracle数据库备份代理，在GIS服务器上安装数据文件备份代理，由备份服务器按照预定的计划将数据以全量或增量的方式备份到备份设备上，其中，Oracle数据库备份必须以差异备份方式备份。 1.6.4 数据的恢复 有了Symantec Backup Exec，数据的恢复是非常快速和简单的。通过Backup Exec管理界面，系统管理员只需要选定相应的数据备份项目（备份管理目录下的相应的项目名，对应某个时间点备份的某个数据库的数据，并有说明），进行恢复（Restore）即可。选择备份项目时，如前所述，首先选定最近一次全备份进行恢复，然后选定最近一次累计增量备份，最后选定这次累计增量备份以后的所有增量备份项目，依时间顺序进行恢复即可。 二、机房建设方案 2.1概述 当今社会科学技术高速发展。各类计算机已被广泛地应用于社会的各个领域，在当今机关、企事业单位的日常管理、财务结算、信息传递、办公自动化等方面起到了重要的作用。现在，机房已经成为各个终端计算机信息、数据的汇集点，是机关、企事业单位管理的心脏，而不是简单的计算机设备的集中地。因此，为使计算机能够可靠、稳定、安全地运行，并做到维护、管理方便，这就要求根据国家的各种技术规范及标准要求，科学合理地设计机房。 机房的设计是一门技术性很强的工作，它必须结合强电的各项技术，考虑到弱电信号中基准地电压、静电场的保护、温度、湿度等的要求，以保证计算机设备安全可靠地工作。同时，在满足计算机机房设备的使用要求的前提下，还应考虑机房的建筑装修简洁、美观、大方，使用维护方便。现在，机房已被广大计算机用户所日益重视。 机房工程是一个集成了多种系统的系统性工程。它包括：结构装修系统、电气系统（包括供配电照明系统、独立接地与防雷接地系统和防静电系统）、机房精密空调系统（包括防漏水侦测系统）、机房综合布线系统、机房监控与门禁系统、机房消防报警灭火系统等。 2.2机房现状及总体要求 2.2.1机房建设的原则 计算机机房工程的设计与建设应遵循技术先进、整体规划、布局合理、经济适用、安全可靠、质量优良、降低能耗等原则： 1. 先进性 在满足可靠性和实用性前提下，采用先进的技术和设备建设机房，给计算机系统、数据网络系统及宽带、互连网通信等系统提供安全、可靠的服务空间。 2. 可靠性 应具备在现有条件下和规定的时间内完成规定功能的能力。应具备长期可靠和稳定工作的能力。 3. 实用性 应具备完成机房工程技术需求的能力和水准；应符合本工程实际需要的国内外有关规范的要求。 4. 经济性 工艺与造价两者兼顾，应满足性能价格比的最优化。 5. 整体性 机房工程是一个整体，应考虑各系统的色调、布局、格调及效果的一致性和整体性； 6. 安全性 计算机中心机房是信息系统的安全重地，是数据集中与处理、关键设备运行的中心枢纽。机房的设计与建设必须确保其安全性，应满足综合防范体系。应考虑机房的安全可靠，确保设备运行环境以及值班和技术人员的工作环境；从防火、防水、防盗、接地、防雷、防磁、防干扰、降噪等方面采取有效措施；地面承重能力等特殊技术措施。 2.2.2建设内容 本工程涉及到机房装修、电气技术、空气及温度调节、电子工艺、通信技术、弱电工程系统、自动控制技术和设备等。具体机房设计施工需要解决恒温、恒湿、新风补给、洁静度、静电保护、防雷击、防电磁干扰、消防安全、动力配电、照明、UPS及冷暖型空调等设备购置和安装、动态监控运行环境状况等。工程内容主要有以下几个部分： （1）计算机机房装饰系统 （2）计算机机房供配电系统 （3）计算机机房PDS布线系统 （4）计算机机房防雷接地系统 （5）计算机机房空调系统 2.2.3机房主要环境技术要求 本次机房设计由主机房、配电间及办公区域组成。针对主机房内有高档服务器及重要的设备在投入使用，因而对环境的温度、湿度和尘净度以及供配电系统有较高的要求，主要技术参数及指标以达到国家A级机房为标准，国家A级机房具体技术指标如下： （1）供电系统 电压变动范围220V-5%～220V+5% 频率变化范围50HZ±0.2 波形失真率≤±5% (2) 主机房环境要求 开机： 温度 夏季22℃±2 冬季20℃±2 变化率<5℃/h 要不凝露 湿度 45%～65% 温度 5℃～35℃ 变化率<5℃/h 要不凝露 湿度 40%～70% 尘埃≤10000粒/dm3 无线电干扰场强≤120dB（在频率范围为0.15～1000MHZ时） 磁场干扰环境场强≤800A/M (3) 照明度要求 普通照明： 主要工作区和基本工作区的平均照度应不低于500～300LUX 其他工作区的平均照度为200～300LUX 机房的照明应光线均匀（最低照度与平均照度之比宜小于0.7）并且无眩光。机房的照明电源应分组控制。 应急事故照明： 机房应设应急事故照明，照度应为普通照明照度的1/10且不低于15LUX。 应急疏散照明： 机房应设置疏散指示灯和安全出口的指示灯，其照度不应低于1LUX (4) 防火要求 机房装修材料应采用难燃或非燃材料，且应能防潮、吸音 不起尘、抗静电。 防火区域四周应采用具有防火性能的材料，主要区域在吊顶内、静电地板下、吊顶与静电地板之间采用自动消防报警灭火系统。 (5) 地线系统要求 直流工作接地≤1Ω 交流工作接地≤4Ω 安全保护接地≤4Ω 防静电地≤100Ω 防雷接地≤10Ω 2.2.4参考标准 （1） 《电子计算机房设计规范》 （GB5017-93）； （2） 《计算机场地技术条件》