主干网交换机

平台需配置主干网三层交换机，三层交换机通过使用硬件交换机构实现了IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器软件路由的速度问题，可以说三层交换机具有“路由器的功能、交换机的性能”。

二层交换机会因为无法分割广播域而无法隔离广播风暴，采用传统的路由器，虽然可以隔离广播，但是性能又得不到保障。而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的网络速度。二层交换是基于MAC寻址，三层交换则是转发基于第三层地址的业务流；除了必要的路由决定过程外，大部分数据转发过程由二层交换处理，提高了数据包转发的效率。

综合监控系统由于存在视频监控，需要传输视频等多媒体信息，三层交换机具有QoS（服务质量）的控制功能，可以给不同的应用程序分配不同的带宽。

可以专门为视频传输预留一定量的专用带宽，相当于在网络中开辟了专用通道，其他的应用程序不能占用这些预留的带宽，因此能够保证视频流传输的稳定性。而普通的二层交换机就没有这种特性，因此在传输视频数据时，就会出现视频忽快忽慢的抖动现象。

视频点播（VOD）也是用户经常使用的业务。但是由于有些视频点播系统使用广播来传输，而广播包是不能实现跨网段的，这样VOD就不能实现跨网段进行；如果采用单播形式实现VOD，虽然可以实现跨网段，但是支持的同时连接数就非常少，一般几十个连接就占用了全部带宽。而三层交换机具有组播功能，VOD的数据包以组播的形式发向各个子网，既实现了跨网段传输，又保证了VOD的性能。

三层交换机建议采用在电力行业有实际应用的品牌，建议配置可参考下表：

防火墙

防火墙是一种计算机硬件和软件的结合，使内部网和外部网之间、专用网与公共网之间建立起一个安全网关（Security Gateway），从而保护内部网或专用网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙是解决网络边界安全的重要设备，它主要工作在网络层之下，通过对协议、地址和服务端口的识别和控制达到防范入侵的目的，可以有效的防范基于业务端口的攻击。

防火墙实际上是一种隔离技术，最基本功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。防火墙是在两个网络通讯时执行的一种访问控制尺度，它允许你授权的用户进入你的网络，同时将未授权的用户隔离在网络之外，以避免安全策略中禁止的一些通信，最大限度地阻止网络中的黑客访问你的网络。换句话说，如果不通过防火墙，MIS网用户就无法访问Internet，Internet上的人也无法和MIS网用户进行通信。

防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，用户可以将防火墙配置成许多不同保护级别。平台需冗余配备1000M防火墙。

防火墙主要功能如下：

l  通过源地址过滤，拒绝外部非法IP地址，有效的避免了外部网络上与业务无关的主机的越权访问。

l  可以只保留有用的服务，将其他不需要的服务关闭，可以将系统受攻击的可能性降低到最小限度，使黑客无机可乘。

l  可以制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝。

l  外部网络对内部网络的所有访问都要经过防火墙，所以防火墙可以全面监视外部网络对内部网络的访问活动，并进行详细的记录，通过分析可以得出可疑的攻击行为。

l  安装防火墙后，网络的安全策略由防火墙集中管理，黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的。

l  可以部署NAT（Network Address Translation：网络地址变换），使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。