防火墙解决方案模版实用文档.doc

防火墙解决方案模版实用文档(实用文档，可以直接使用，可编辑 优秀版资料，欢迎下载）内容简述用途密级说明上次修改SecPath 防火墙技术建议书模板用于撰写和SecPath防火墙相关的技术建议书内部公开,严禁外传20057-12防火墙解决方案模版杭州华三通信技术安全产品行销部2005年07月08日目 录一、防火墙部署需求分析3二、防火墙部署解决方案42.1。数据中心防火墙部署4边界安全防护62.3.大型网络内部隔离9三、防火墙部署方案特点12一、 防火墙部署需求分析随着网络技术不断的发展以及网络建设的复杂化，需要加强对的有效管理和控制,这些管理和控制的需求主要体现在以下几个方面:网络隔离的需求：主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，控制的参数应该包括：数据包的源地址、目的地址、源端口、目的端口、网络协议等，通过这些参数，可以实现对网络流量的惊喜控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。攻击防范的能力：由于TCP/IP协议的开放特性，尤其是IP V4，缺少足够的安全特性的考虑,带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS)等，必须能够提供对这些攻击行为有效的检测和防范能力的措施.流量管理的需求:对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QOS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议,提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤,可以支持BT识别并限流等能力;用户管理的需求:内部网络用户接入局域网、接入广域网或者接入Internet，都需要对这些用户的网络应用行为进行管理,包括对用户进行身份认证,对用户的访问资源进行限制，对用户的网络访问行为进行控制等;二、 防火墙部署解决方案防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death， land， syn flooding, ping flooding， tear drop， ）、端口扫描（port scanning)、IP欺骗（ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。根据不同的网络结构、不同的网络规模、以及网络中的不同位置的安全防护需求，防火墙一般存在以下几种部署模式:2.1. 数据中心防火墙部署防火墙可以部署在网络内部数据中心的前面，实现对所有访问数据中心服务器的网络流量进行控制，提供对数据中心服务器的保护，其基本部署模式如下图所示：除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署还需要考虑两个关键特性：高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集点，因此要求防火墙必须具备非常高的性能，保证部署防火墙后不会影响这些大流量的数据传输,不能成为性能的瓶颈；高可靠：大部分的应用系统服务器都部署在数据中心，这些服务器是整个企业或者单位运行的关键支撑,必须要严格的保证这些服务器可靠性与可用性，因此,部署防火墙以后，不能对网络传输的可靠性造成影响,不能形成单点故障.基于上述两个的关键特性,我们建议进行以下设备部署模式和配置策略的建议：l 设备部署模式：¨ 如上图所示，我们建议在两台核心交换机与两台数据中心交换机之间配置两台防火墙,两台防火墙与两台核心交换机以及两台数据中心交换机之间采取全冗余连接;¨ 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控制的同时保证线路的可靠性，同时可以与动态路由策略组合，实现流量负载分担；l 安全控制策略:¨ 防火墙设置为默认拒绝工作方式,保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；¨ 建议在两台防火墙上设定严格的访问控制规则，配置只有规则允许的IP地址或者用户能够访问数据中心中的指定的资源，严格限制网络用户对数据中心服务器的资源，以避免网络用户可能会对数据中心的攻击、非授权访问以及病毒的传播，保护数据中心的核心数据信息资产;¨ 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；¨ 配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为；¨ 根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的用户才能访问数据中心的服务器;l 其他可选策略:¨ 可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；¨ 根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理，有效的避免网络带宽的浪费和滥用，保护关键服务器的网络带宽；¨ 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力；¨ 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用;¨ 启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;l 设备选型建议：¨ 我们建议选择H3C SecPath 1800F防火墙，详细的产品介绍见附件；2.2. Internet边界安全防护在Internet边界部署防火墙是防火墙最主要的应用模式，绝大部分网络都会接入Internet，因此会面临非常大的来自Internet的攻击的风险，需要一种简易有效的安全防护手段，Internet边界防火墙有多种部署模式，基本部署模式如下图所示:通过在Internet边界部署防火墙,主要目的是实现以下三大功能：来自Internet攻击的防范：随着网络技术不断的发展，Internet上的现成的攻击工具越来越多,而且可以通过Internet广泛传播，由此导致Internet上的攻击行为也越来越多,而且越来越复杂，防火墙必须可以有效的阻挡来自Internet的各种攻击行为；Internet服务器安全防护：企业接入Internet后，大都会利用Internet这个大网络平台进行信息发布和企业宣传,需要在Internet边界部署服务器，因此,必须在能够提供Internet上的公众访问这些服务器的同时，保证这些服务器的安全；内部用户访问Internet管理:必须对内部用户访问Internet行为进行细致的管理，比如能够支持WEB、邮件、以及BT等应用模式的内容过滤，避免网络资源的滥用，也避免通过Internet引入各种安全风险；基于上述需求，我们建议在Internet边界，采取以下防火墙部署策略：l 设备部署模式：¨ 如上图所示,我们建议在核心交换机与Internet路由器之间配置两台防火墙，两台防火墙与核心交换机以及Internet路由器之间采取全冗余连接，保证系统的可靠性,¨ 为了保证系统的可靠性,我们建议配置两台防火墙为双机热备方式,在实现安全控制同时保证线路的可靠性,同时可以与内网动态路由策略组合，实现流量负载分担;l 安全控制策略：¨ 防火墙设置为默认拒绝工作方式,保证所有的数据包，如果没有明确的规则允许通过,全部拒绝以保证安全;¨ 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范；¨ 配置防火墙全面安全防范能力，包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等；由外往内的访问控制规则：¨ 通过防火墙的访问控制策略,拒绝任何来自Internet对内网的访问数据，保证任何Internet数据都不能主动进入内部网，屏蔽所有来自Internet的攻击行为;由外往DMZ的访问控制规则：¨ 通过防火墙的访问控制策略，控制来自Internet用户只能访问DMZ区服务器的特定端口，比如WWW服务器80端口、Mail服务器的25/110端口等,其他通信端口一律拒绝访问，保证部属在DMZ区的服务器在安全的前提下，有效提供所需的服务；由内往外的访问控制规则:¨ 通过防火墙的访问控制策略，对内部用户访问Internet进行基于IP地址的控制,初步实现控制内部用户能否访问Internet，能够访问什么样的Inertnet资源；¨ 通过配置防火墙提供的IP/MAC地址绑定功能,以及身份认证功能，提供对内部用户访问Internet的更严格有效的控制能力,加强内部用户访问Internet控制能力；¨ 通过配置防火墙提供的SMTP邮件过滤功能和HTTP内容过滤，实现对用户访问Internet的细粒度的访问控制能力，实现基本的用户访问Internet的行为管理;由内往DMZ的访问控制规则：¨ 通过防火墙的访问控制策略，控制来自内部用户只能访问DMZ区服务器的特定端口，比如WWW服务器80端口、Mail服务器的25/110端口等，其他通信端口一律拒绝访问,保证部属在DMZ区的服务器在安全的前提下，有效提供所需的服务;¨ 对于服务器管理员，通过防火墙策略设置，进行严格的身份认证等措施后，可以进行比较宽的访问权限的授予，在安全的基础上保证管理员的网络访问能力;由DMZ往内的访问控制规则：¨ 通过防火墙的访问控制策略，严格控制DMZ区服务器不能访问或者只能访问内部网络的必需的资源，避免DMZ区服务器被作为跳板攻击内部网用户和相关资源；l 其他可选策略：¨ 可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权;¨ 根据需要，在两台防火墙上设置流量控制规则，实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用,保护网络带宽；¨ 根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力;¨ 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（Email、日志、SNMP 陷阱等)，实现攻击行为的告警,有效监控网络应用;¨ 启动防火墙日志功能,利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析;l 设备选型建议：¨ 我们建议选择H3C SecPath 1000F/100F防火墙，详细的产品介绍见附件；2.3. 大型网络内部隔离在比较大规模或者比较复杂的网络中,需要对内部网络进行有效的管理，以实现对整个网络流量的控制和安全风险的隔离，其基本的防火墙部署模式如下图所示：企业内部隔离防火墙主要应用在比较大型的网络中，这些网络一般有多个层次的划分，会有多个相对独立的网络接入节点，需要对这些节点流量进行隔离和控制.在这种大规模的分布式的部署模式中，对防火墙的关键性的要求主要集中在管理特性上,要求防火墙必须支持完善的集中管理模式，通过统一的管理中心，可以实现对全网部署的防火墙的集中管理，并且可以支持分级管理。基于这种需求，我们建议进行如下防火墙部署：l 设备部署模式：¨ 如上图所示，我们建议在总部核心交换机与广域路由器之间配置两台防火墙,两台防火墙与核心交换机以及广域路由器之间采取全冗余连接，保证系统的可靠性；¨ 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控制同时保证线路的可靠性,同时可以与内网动态路由策略组合，实现流量负载分担；l 安全控制策略：¨ 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；¨ 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽；¨ 配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为;¨ 根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制；由上往下的访问控制规则:¨ 建议在两台防火墙上设定严格的访问控制规则，对实现总部网络访问下级网络的严格控制，只有规则允许的IP地址或者用户能够访问下级网络中的指定的资源,以避免总部网络可能会对下级网络的攻击、非授权访问以及病毒的传播;由上往下的访问控制规则：¨ 建议在两台防火墙上设定严格的访问控制规则,对实现下级网络访问总部局域网的严格控制，只有规则允许的IP地址或者用户能够访问总部局域网的指定的资源，以避免下级网络中复杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传播;l 其他可选策略：¨ 可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权；¨ 根据需要，在两台防火墙上设置流量控制规则,实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络带宽；¨ 根据应用和管理的需要,设置有效工作时间段规则，实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;¨ 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段(Email、日志、SNMP 陷阱等),实现攻击行为的告警，有效监控网络应用；¨ 启动防火墙日志功能，利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析；l 设备选型建议:¨ 我们建议选择H3C SecPath 1000F/100F防火墙，详细的产品介绍见附件;三、 防火墙部署方案特点u 高安全:防火墙的安全特性主要体现在以下几个方面：u 防火墙自身的安全性：指防火墙抵抗针对防火墙系统自身攻击的风险,很多防火墙自身都存在一些安全漏洞，可能会被攻击者利用,尤其是一些基于Linux操作系统平台的防火墙；u 防火墙安全控制能力:主要指防火墙通过包过滤、代理或者状态检测等机制对进出的数据流进行网络层的控制，一般防火墙都支持状态检测机制，状态检测已经是一种比较成熟的模式，不存在太多的差别，关键的差别在于对不同应用协议的支持能力,尤其是一些语音、视频等相关的协议；u 防火墙防御DOS/DDOS攻击的能力:所有的DOS/DDOS攻击的流量只要经过防火墙,防火墙必须有足够强的能力处理这些数据流，并且能把这些恶意数据有效的过滤掉，对相关的网段提供性能保护.u 高层应用协议的控制能力：防火墙应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力,比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；H3C防火墙优势：H3CSecPath防火墙提供标准和扩展的ACL包过滤，支持H3C特有的ASPF(Application Specific Packet Filter）技术，可实现对每一个连接状态信息的维护监测并动态地过滤数据包,支持对HTTP、FTP、RTSP、H。323（包括T.120、Q.931、RAS、H.245等）以及通用的TCP、UDP应用进行状态监控。SecPath防火墙提供多种攻击防范技术和智能防蠕虫病毒技术，有效的抵御各种攻击。SecPath防火墙支持应用层过滤,提供Java Blocking和ActiveX Blocking，支持细粒度内容过滤能力:包括SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤、HTTP URL过滤、HTTP内容过滤等等；u 高性能：防火墙的性能特性主要体现在以下几个方面：u 吞吐量：吞吐量指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力;u 最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问；u 每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络病毒防范能力很差；H3C防火墙优势：H3C SecPath防火墙是基于MIPS架构的NP处理器技术的防火墙，处理性能更加优越，并且系统更稳定。高端旗舰产品SecPath F1800A产品，采用业界最先进的网络业务处理器进行设计，防火墙的转发平面由32个硬件线程实时处理，能够达到64字节小包文3GE的线速；并发会话数在1百万。性能远远超过国内友商的千兆防火墙。u 部署管理能力:防火墙的管理特性主要体现能够通过集中管理系统进行分布式部署和监控,在一些大规模部署防火墙的环境下对这种管理又非常迫切的需求。H3C防火墙优势:H3C 全线SecPath防火墙产品支持通过统一的H3C QuidView网络管理平台进行管理，实现与网络设备完全一致管理，大大简化防火墙设备的部署、管理和监控，同时也提供Http/Https等管理模式；u 全面的可靠性保证:防火墙的可靠性特性主要体现：硬件平台的可靠性，软件平台的可靠性以及设备级的双机备份和负载均衡能力。H3C防火墙优势:H3C全线SecPath防火墙产品采用网络设备专用硬件平台，非通用工控机架构，提供模块热插拔、电源冗余、机箱温度监控等特性；采用H3C自主开发成熟的COMWARE系统平台，提供全面丰富网络安全特性，充分保证系统的稳定性和私密性；支持通过专有协议进行双机热备,支持防护墙之间的状态同步，保证提供出现故障时自动无缝切换。支持通过VRRP实现负载均衡和基于OSPF路由协议的负载均衡，支持多个防火墙的负载均衡，可以实现基于服务器的负载均衡及其冗余备份；u 全面的网络基础特性:防火墙的网络基础特性主要体现对QOS的全面支持，防火墙作为网络关键位置部署的网络流量转发设备,必须具备完善的QOS特性，才能保证整网QOS策略的有效的实施；H3C防火墙优势：全线SecPath防火墙产品都具备丰富的基本网络特性，包括RIP、OSPF、BGP、策略路由、路由策略等全面的路由协议的支持,同是,提供全面丰富的QOS支持能力，支持流量监管（Traffic Policing），支持FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ等队列技术，支持WRED拥塞避免技术、支持GTS流量整形、支持CAR、LR接口限速等；地理信息系统行业应用农畜牧业管理目 录一。系统概况 3 -二. 系统构架 4 -三. 系统配置- 5 -3.1 软件平台配置- 5 3。2 基本硬件配置 5 四. 系统功能结构- 8 -五. 桌面GIS应用子系统- 9 -5.1 丰富的GIS基本功能 9 5。2 规模化养殖场GIS分析- 11 5.3 畜牧业环保GIS分析 12 -5。4 畜牧兽医GIS分析 13 5。5 兽药及饲料企业GIS分析 14 5。6 畜牧业出口GIS分析 15 -5.7 畜牧业发展趋势GIS分析 16 -5。8 遥感影像分析- 16 -5.9 动物疫情GIS应急分析 17 -5。10 畜牧业发展规划GIS辅助决策分析- 18 5.11 外部数据接口功能- 19 -六. 手持GIS/GPS应用子系统 20 -6.1 双向数据传输管理- 20 -6。2 GPS指挥调度管理 20 6.3 野外数据采集功能- 21 -6.4 野外手持GIS综合应用功能 21 6。5 在疫病救治中的应用功能- 21 6。6 在疫病防治中的反应、分析、处理分析功能- 23 -七。 WEBGIS应用子系统- 25 -7.1 WEBGIS基本应用功能- 25 -7。2 畜牧信息查询统计功能- 25 -7。3 兽药、饲料企业查询统计功能- 26 7。4 品牌农业查询统计功能- 26 八。 系统技术特点- 28 8.1 系统界面友好、操作便捷- 28 -8.2 分布式、网络化、移动式管理 28 -8.3 通用、无缝的数据传输接口- 28 -8。4 良好的数据兼容性 28 8。5 良好的可维护性设计- 29 -8。6 严密的系统安全管理 29 -8.7 完备的系统运行日志管理- 29 一. 系统概况进入90年代以来，以计算机和通信技术为标志的信息化浪潮席卷全球，以GIS、RS、GPS为代表的空间技术进入了一个崭新的发展时期，广泛应用于国民经济的许多领域,同时也引起各国畜牧业系统各部门的高度重视，在畜牧业发展高新技术已提到各国议事日程。地理信息系统(GIS）是能够收集、管理、查询、分析、操作以及表现与地理相关的数据信息的计算机信息系统，集计算机科学、地球科学、信息科学为一体的高新技术，能够为分析、决策提供重要的支持平台。畜牧业管理地理信息系统不仅能从空间上全面、准确掌握规模化畜禽养殖场基本情况、地理环境、防疫状况,直观了解畜禽养殖场分布现状、畜牧生产规划和变化趋势，还能实现对畜牧业进行动态管理，对畜禽场与周围生态环境的影响进行深入分析，准确反映各畜禽养殖场详细数据以及监管数据,实现规模化畜禽养殖场生产数据与生态环境信息的可视化分析和高效智能化动态管理，为畜牧业宏观规划、行业高效管理、规模化畜禽养殖场生态建设和畜禽食品安全生产提供一个较为可靠、完整、直观、动态的决策管理平台。畜牧业管理地理信息系统引入了先进的手持移动GIS/GPS技术,通过便携式终端设备，可以直接在野外工作现场进行数据采集，大大提高了现场工作的效率。借助GPRS/CDMA无线数据传输技术，系统实现了对突发疫情等灾害的反应、分析、处理预案，应急指挥中心根据手持移动终端上传的相关信息，能第一时间确定疫病可能会扩散的范围并采取相应的隔离措施，同时将相关的指挥命令和调度指令发送到移动终端，建立起指挥中心与移动终端之间的有效信息连接，及时采取有效措施,控制疫情的扩散和蔓延，提高信息化管理水平。二. 系统构架系统在设计上采用了C/S（客户/服务器）、B/S(浏览器/服务器）和M/S（移动/服务器）一体化设计，将C/S、B/S、M/S三种体系结构进行了有机整合，基于唯一数据源,提供共享的数据通道，三种结构采用同一个数据服务器，在不同的应用场合发挥三种结构各自的技术优势，使系统的整体优势大大加强,使系统的技术水准大大提高，使系统表现力和实用性有质的飞跃。C/S结构下的桌面GIS应用子系统，是本系统的主要构成部分，具备信息查询、信息分析、辅助决策等专题功能，主要运行在高性能的PC机中，为各级管理部门及指挥中心提供强大的GIS应用服务。B/S结构下的WEBGIS应用子系统，是通过WEB浏览器上向广大网上用户提供相关的畜牧业专题信息，包括信息的显示、查询、统计、分析、打印输出等专题应用。M/S结构是Mobile/Server的简称，是计算机信息系统移动客户端/服务器应用的新兴计算机综合应用技术.建立在M/S结构下的手持综合GIS/GPS应用子系统，一方面在野外工作现场，可以通过M/S结构中的移动终端进行信息的采集、录入，并及时反馈到室内数据服务器，另一方面,也可以在野外直接查询检索服务器上的数据，把丰富的室内GIS信息带到室外，实现丰富的数据采集与应用功能，建立起室内外信息的实时交互。第三，针对突发疫情等灾害，M/S结构有力的支撑了反应、分析、处理预案，应急指挥中心根据手持移动终端上传的相关信息，能第一时间确定疫病可能会扩散的范围并采取相应的隔离措施,同时将相关的指挥命令和调度指令发送到移动终端，建立起指挥中心与移动终端之间的有效信息连接，及时采取有效措施，控制疫情的扩散和蔓延,提高信息化管理水平。三. 系统配置3.1.1. 3.1 软件平台配置在GIS软件平台方面，我们推荐用户选择ESRI公司的ArcGIS系列产品作为GIS开发平台。ESRI是全球最优秀的GIS软件厂商和系统集成商之一,其一系列的产品可以为系统的开发建设提供成熟的技术和较高的系统稳定性和安全性.3.1.2. 3.2 基本硬件配置基本硬件配置如下：· 系统服务器l Windows 2000 Server，适当数量的客户访问授权l 英特尔® 至强® 处理器l 2MB的二级缓存l 4GB内存l Ultra-SCSI, RAID磁盘控制器l 4个9。1GB的SCSI硬盘l 17/40速SCSI CDROM驱动器l 15英寸显示器l 100Mbps以太网卡· 系统业务管理及数据浏览工作站l Windows XP Windows 2000 Professionall 500 MHz主频Pentium III处理器，带声卡l 512MB内存，推荐1G内存l 256 KB二级缓存l 32速，IDE接口CD-ROM驱动器l 17英寸显示器l 100Mbps以太网卡· PDA设备：l 400MHz主频处理器；l 128MB内存(ROM）l Windows Mobile 5。0操作系统l 240×320显示屏分辨率l 具有蓝牙接口l 支持Type II CF卡l 大容量可更换锂电池l 如果野外现场需要拍照，需要采集影像资料,可以选择有内置摄像头的PDA设备· SD高速存储卡l 容量1GBl 读写速度：读取 (max）:10MB/sec 写入 (max）：9MB/sec· 蓝牙GPS设备l 具备最新一代高灵敏度SiRFstarIII芯片l 具有可重复充电可拆卸式电池l 预备汽车点烟线，可在车内充电l 外置天线· 网络要求l 局域网带宽为10MB或100MB快速以太网，使用TCP/IP传输协议l 广域网为T1或更高配置，TCP/IP协议四. 系统功能结构在专业性、开放性、安全性、先进性、易用性的设计原则指导下,结合系统的C/S、B/S、M/S的一体化框架设计，我们将畜牧业管理地理信息系统的功能结构划分如下：五. 桌面GIS应用子系统功能丰富、强大的桌面GIS应用子系统，为用户展现了一个操作方便而画面生动美观的畜牧业管理地理信息系统。3.1.3. 5.1 丰富的GIS基本功能系统具有丰富的GIS基本功能，主要包括图形操作、信息查询、图形编辑、数据输出、格式转换等多个方面,以简单实用的操作对工作人员进行辅助。· 图形操作· 信息查询² 图形方式查询² 专题信息查询² 逻辑信息查询· 图形测量² 长度测量² 面积测量² 坐标测量· 动态标注· 图形输出² 分幅打印² 比例打印² 条状打印² 图幅修饰² 数据转换· 权限管理· 数据备份特色技术· 动态路名技术为保证名称信息在当前视窗中的完整性，在图形缩放及漫游过程中，该特色技术可自动进行道路名称、线路名称、线路注记的位置计算,确保屏幕中的相关名称得到完整、有效的显示。· 动态标注技术用户只需将鼠标移至图形对象上面，其相关属性信息将着色动态显示,便于用户快速查阅某个对象的关键信息，同时系统还提供用户自定义选择快捷标注的关键字段。· 信息疏密自动调整技术可随着放大或缩小到一定程度,自由控制系统中不同图层的显示比例尺,对图形各图层进行自动疏密协调显示，保证了图形浏览的高速率。· 拼音首音检索技术用户只需将需待查询对象名称的首位汉语拼音字母输入便可进行快速筛选，查询到所需汉字关键字;也可输入名称的首个字母组合,一步到位进行查询，操作快捷方便，避免了大量文字输入的麻烦。· 分幅打印控制技术当用户要求按指定的比例尺打印输出时，系统可以按照打印区域和纸张大小,自动进行画面的分幅操作，确保每幅画面的比例尺满足要求，也可以进行整幅无缝拼接。3.1.4. 5.2 规模化养殖场GIS分析利用手持移动GIS技术,系统可以辅助测定规模化畜禽养殖场的经纬度数据，并实现实时成图及数据上传服务。结合航空遥感图或卫星遥感图，系统可以建立规模化畜禽养殖场的GIS现状分布图，异地养殖基地GIS分布图等，完成畜禽养殖场的空间数字化、可视化工作.结合现场数据调查,用户可以编辑维护养殖场基本情况、生产情况、经营状况等属性信息，建立起GIS属性数据库。系统完成空间数据与属性数据的有机结合，实现基于GIS的空间查询、空间统计和空间分析，自动生成分析图表和统计报表，实现打印输出.· 养殖场分布GIS分析· 养殖场信息综合查询· 养殖场信息统计分析· 养殖场多媒体信息查询· 养殖场图形信息编辑· 养殖场属性信息编辑3.1.5. 5。3 畜牧业环保GIS分析在畜牧业管理工作中，需要高度重视生态环境问题,在发展畜牧业的同时，要保护和改善生态环境。系统建立了畜禽场对周围生态环境影响分析模型、周围生态环境对畜禽场影响分析模型、农田承载力分析模型等,在环境影响评价方面提供辅助决策.· 农田承受能力统计· 畜禽养殖场治理分析· 畜禽养殖场周围河道环境分析· 畜禽养殖场水源情况分析· 畜禽养殖场污水治理情况分析 3.1.6. 5。4 畜牧兽医GIS分析系统可以对全省（市)各区县兽医站、合格兽医人员、市境道口等分布数据进行GIS统计分析，并引入生动的多媒体技术对各兽医站、市境道口等单位进行多媒体信息展示。主要包括：· 各类兽医站分布图· 各区县兽医站数量分析图· 合格兽医人员分布图· 各区县合格兽医人员数量分析图· 市境道口分布图3.1.7. 5.5 兽药及饲料企业GIS分析系统不仅可对全省（市）目前及往年兽药生产、兽药销售、饲料生产等企业的现状进行分布显示、信息查询、空间定位,还可以对相应企业的经营生产现状进行统计分析，自动生成各类GIS分析图表,让兽药、饲料管理部门有直观的了解。主要包括:· 兽药及饲料企业分布显示功能· 兽药及饲料企业空间查询功能· 兽药及饲料企业许可证查询功能 · 兽药质量监督抽样不合格抽样点分布图· 兽药质量监督抽样合格率分布图· 兽药质量监督抽样按各种兽药类型的合格率分布图· 合格率和不合格率各区县历史数据和变化趋势分析图3.1.8. 5。6 畜牧业出口GIS分析依据各行政区域近年来的畜牧业出口方面的相关数据，系统可以利用GIS分析技术直观的反映畜牧业出口情况的增长和变化趋势。主要包括:· 畜牧业出口总量区域分析· 单一产品出口总量区域分析· 畜牧业出口总量各区县变化趋势· 畜牧业出口品种各区县变化趋势3.1.9. 5.7 畜牧业发展趋势GIS分析利用畜牧业发展的历史数据，采用GIS的历史回溯技术和时态分析技术，对畜牧业多年的数据进行分析比较，自动实现畜牧业发展趋势的空间分析，寻找发展趋势中的规律，为制定畜牧业发展政策和发展规划提供决策依据。从宏观角度来说，系统可纵向统计分析几个五年计划中是全省（市)及各区县的畜牧业在农业中所占比重及年产值,横向统计分析比重的变化发展趋势，便于辅助用户进行决策分析;从微观角度来讲，系统可由用户自定义统计出指定行政区域各畜禽种类具体某一类别指标历史变化趋势,也可分析出某一时间点畜牧业的产业结构及各自量值。主要包括：· 畜牧业年产值统计分析· 畜牧业年产量统计分析· 畜牧业种类结构变化分析3.1.10. 5。8 遥感影像分析畜牧业自然资源在人为和自然因素的作用下经常发生变化，及时准确地对自然资源动态变化进行监测，掌握变化规律，是畜牧业信息管理的重要课题.遥感(RS）技术是近年来蓬勃发展的一门综合性的新探测技术，它正和地理信息系统(GIS)趋于日益结合，越来越多地应用在资源调查和监测上.以系统中原有数据为基础，根据实时更新的卫星遥感资料提取畜牧业资源发生变化的区域，设立样地重点调查这些区域的资源现状,以达到更新这些区域数据的目的.这种途径可以减少野外调查的工作量，不受时间限制，可以实时或准实时地对资源动态变化进行跟踪式的监测，具有高效迅速的特点，以卫星数据的更新而达到系统中数据库数据更新的目的.系统支持通用栅格和多媒体数据,具有存储和加载各类影像数据的优点，可将常用的卫星影像、航空影像、遥感影像、扫描获得的栅格数据及多媒体数据进行加载、显示，可以自定义其显示范围。3.1.11. 5.9 动物疫情GIS应急分析系统内保存的养殖畜禽种类信息、养殖场分布信息、养殖户基本信息、兽医分布信息，可以为动物疫情应急分析提供前期的数据调查基础。当有疫情突发时,系统能够依据用户输入的发生地位置，迅速进行周边情况分析，统计出各级别范围内（1km/3km/5km）所有畜禽养殖场分布及属性信息，动态显示疫病管理部门所在位置及主要人员的姓名、 、寻呼、 号码，将疫情区域的相关信息及时通过 、短信等方式通知相关人员。系统还可自动搜索并列出距离事发地最近的兽医站、防疫所、医院等所在位置及详细信息,包括它们的规模、水平、联系方法等。通过对相关数据的汇总和整理，辅助用户进行决策分析。通过众多数据的积累,系统还可以在日常时间辅助各级管理部门进行紧急情况下的模拟演练与决策分析，通过对假设地的疫病模拟，生成和积累相关处理预案。根据实地情况制定战术方案，实现对事故蔓延趋势的有效控制,各级行动预案及分析结果可以随时打印输出.· 动物疫情的分布分析· 动物疫情的扩散速度分析· 动物疫情的扩散范围分析· 动物疫情的扑灭速度和范围分析· 动物疫情的历史疫情分析· 动物疫情点与周围环境相关性分析3.1.12. 5。10 畜牧业发展规划GIS辅助决策分析科学制定畜牧业发展规