广州市地铁总公司局域网和城域网网络解决方案

广州市xx计算机有限公司第 54 页 共 54 页一、 项目概述 广州地铁总公司的新办公场所位于广州市中山五路与解放路交界处的中旅商业城第十六层，面积约为三千七百平方米，集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门，大约将有二百三十多名工作人员在此办公。 广州地铁总公司将在中旅商业城十六层建立计算机网络，该网络是广州地铁总公司企业管理信息系统的平台，他将提供以下的服务：l 各种数据库管理系统，如财务管理系统、合同管理系统等； l 办公自动化信息管理，如公文流转、电子邮件系统等；l 国际互联网Iternet接入；l 六间会议室有少量的多媒体信息传输；l 要求实现与公司其他总部位于芳村西朗的运营事业总部、位于北京路广百大厦29层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路204号的地铁设计院网络互联，构筑广州地铁总公司城域网，实现全公司信息的共享；l 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。二、 需求分析2.1 网络现状分析l 布线工程已由广州地铁总公司委托其他公司完成。该布线工程全部采用Lucent公司的超五类设备进行施工，将达到Lucent公司十五年保用标准。l 共有三个设备间，其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接，可形成环路。l 网络布线端口数达到320个，每个设备间所联信息点基本一样，大约为110个。网络操作系统将采用MS Windows 2000 Server。2.2 网络需求分析根据地铁总公司的要求，这次网络工程的主要内容包括四部分：l 中旅商业城十六层广州地铁总公司计算机局域网；l 中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案；l 广州地铁总公司城域网；l 中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。三、 总体设计方案3.1 系统设计原则3.1.1. 高可靠性 计算机网络系统应采用可靠性较高的产品和容错较强的网络结构，以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大程度地保证网络的正常运转。3.1.2. 高安全性 根据建行的管理制度和网络策略制定一套完善的安全政策，采用合适的技术手段，充分保证网络安全性。3.1.3. 先进性 在技术上要到达当前的国际先进水平。要采用最大先进网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展，保证网络建成后3-5年不落后，选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。3.1.4. 易管理、易维护 由于计算机网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。3.1.5. 可扩展性 网络系统应具有良好可扩展性，随着业务的增长和应用水平的提高，网络应可平滑地扩展的升级，而不需要对网络结构设备进行大的改动。3.2 系统设计概述3.2.1 网络体系结构和逻辑结构设计确定网络体系结构及相应的通信协议，对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门，而这些部门有的在使用一些专用的系统，有的需要与其它专用系统相连。因此，要共享网络的资源及在网络中交换信息，就必须实现不同系统间的实体通信，这需要不同系统采用同一协议.。网络体系结构的确定：骨干网络使用交换式快速以太网。本网络大量采用以太网产品，因为以太网发展最为迅速，目前拥有广泛用户和众多的产品，容易得到支持。网络的主干采用100Mb/S交换式以太网，原因如下：l 采用100Mb/s以太网交换技术,可使网络主干速率成倍增长；l 便于向千兆位以太网过渡；l 技术成熟；l 有大量的成功案例可查。3.2.2 网络拓扑结构采用星型网络交换技术。通过相应的管理软件，在不改变网络节点物理位置的情况下，可以对网络的逻辑结构进行合理的划分，即建立虚拟网络，来达到网络信息流量的有效控制。3.2.3 网络管理系统的确定人们往往只重视网络的静态性能，而忽视了对网络动态解决方案重要性的认识。实际上，网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点，及时解决问题；也可对网络的信息流量进行有效的控制和分流。要管理网络端口，需要网上每台设备都支持SNMP。根据本网络的特点，要求网管程序能够跨越地域对异地的网络节点进行管理。3.2.4 连接Internet在与Internet 的连接方面，通过代理服务器，利用ADSL专线访问服务器，实现与远程客户的信息交流。同时，还设立了网管工作站，监控网络的运行状况，使网络达到最大的利用效率。四、系统方案4.1 局域网设计方案 4.1.1 基本网络结构设计4.1.1.1. 基本网络物理结构 采用1台Cisco的带第三层路由交换功能的千兆以太网交换机 Catalyst 2948G-L3做中心交换机，采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机（带千兆网堆叠模块）做桌面交换机，每2（3）台堆叠成一组，通过一个千兆以太网模块上联至主干，下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。 1）中心交换机的配置 千兆以太网交换机Catalyst 2948G-L3置于主设备间。中心交换机配置1块24Gbps千兆以太网交换引擎、1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。 2）桌面交换机的配置 桌面交换机根据用户的实际情况采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机，每2（3）台堆叠成一组，共3组，每组配置如下： l Catalyst 3548 XL带48个10/100Base-T自适应端口 l Catalyst 3548 XL堆叠模块 l Catalyst 3548 XL千兆位上联模块 4.1.1.2. 虚拟网（VLAN）的构建VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于WinNT网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。采用VLAN具有下述优势。1）控制网络上的广播风暴 VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。2）增加网络的安全性使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。3）集中化的管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用, 增加了集中管理的功能。本网络系统分成多个逻辑子网，一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的，当他们需要互相访问时，必须通过路由器或具有路由能力的交换机（第三层交换机）使它们在网络层(第三层)连接起来。本系统种所采用的Catalyst 2948G-L3具有第三层路由模块，不需要附加路由器，VLAN之间的通信在Catalyst 2948G-L3交换机内部即可解决，能够建立跨过多台交换机而在整个网络中起作用的VLAN。Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN划分，同时由于都支持802.1Q技术，也就能实现VLAN功能，通过802.1Q，网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机，最高速度可以达到800M。Cisco公司IOS操作系统和Cisco Works网管软件的统一应用，以统一的软件平台把各种不同的硬件连接起来，构成有效、无缝的信息系统，更有利于新应用的部署，同时提高了网络的整体性能。根据端口划分 本网络系统利用交换机的端口来划分VLAN成员，通过虚拟网管理应用程序, 中心交换机的端口被定义为虚拟网A、B、C三，分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信，并允许共享型网络的升级。 通过交换机端口来划分网络成员，其配置过程简单明了，采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比，基于物理地址的划分方案管理起来不方便，网络管理员经常要进行大量改动；而基于协议的划分方案又没有什么必要，因为网络本身基于TCP/IP协议。因此，迄今为止端口划分是最常用的一种方式。4.1.1.3. 系统的特点1）高性能核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求，主干连接分别采用100Mb/s、100Mb/s Trunk和千兆以太网，使网络的性能价格比达到最佳点。2） 先进的子网划分方案VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于Win95网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。3） 充分利用CISCO产品的技术优势 综上所述，本网络系统的先进性、安全性等特性是显而易见的，但更重要的是它的网络整体性能好，符合用户的需要。4.1.2. 网络服务4.1.2.1. 网络操作系统 Windows 2000 Advanced Server是为服务器开发的多用途网络操作系统，它支持范围广泛的重要商业应用程序和一系列丰富的开发工具，可为企业用户提供文件打印、软件应用、Web功能和通信等各种服务，是一个性能好、工作稳定、容易管理的平台。Windows 2000 Advanced Server 采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。Windows 2000 Advanced Server具有以下特点: 1） 平台无关性 Windows 2000 Advanced Server是一个与硬件平台无关的,可伸缩的服务器操作系统。它可运行在Intel x86系统、精简指令集计算机(RISC)和DEC Alpha处理机上,从而在选择计算机系统时有多的自由。2）可扩展性 它可以扩展到对称多处理器上,使得需要高性能处理器时还可以加上额外的处理器，支持数达到8路。Windows 2000 Advanced Server在Alpha平台上支持最多32G的物理内存，在Intel平台上支持最多8G的内存。3）兼容性 Windows 2000支持Windows应用程序,以及NTFS、FAT和FAT32文件系统。4） 安全性 Windows 2000已将安全性内嵌入操作系统,有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows 2000支持的安全模板由安全属性的文件（.inf）组成，它将所有现有的安全属性组织到一个位置以简化安全性管理，包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息，也可以用作安全分析。Windows 2000用Kerberos验证，提供更快、更安全的验证和响应，允许用户只登陆一次就可以访问网络资源。5） 活动目录 活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息，并使得这些信息更容易被查找到。活动目录有灵活的目录结构，允许委派对目录安全的管理，提供更有效率的权限管理。6） 开放性 支持多种传输协议,可在多种网络环境下工作7） 可靠性 支持多种容错方式，有较强的容错和出错恢复功能，在多种一般错误发生后一分钟内自动重启应用软件8） 集成Web服务 Microsoft Windows 2000平台上提供Internet信息服务（IIS），该服务可提供在Intranet或Internet上共享文档和信息的能力。利用IIS，可以部署灵活可靠、基于Web的应用程序，并可将现有的数据和应用程序转移到Web上。 可见Windows 2000是十分理想的网络应用平台，可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows 2000 Advance Server作为网络服务器的操作系统，用Windows 2000 Server作为应用服务器的操作系统。4.1.2.2. 应用功能1）办公自动化和电子邮件服务 Microsoft Exchange Server 是带有集成组件的电子信息交换服务器，它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序，可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能，而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合，使用通用、熟悉的开发工具， Exchange Server可以快速提供和实施强大的业务协作解决方案，满足用户对Intranet协作的多层次的需求，提高企业竞争实力。 本电子系统构建于Microsoft Exchange Server电子交换服务器，安装Exchange服务器作为邮局，存储、交换、管理邮件系统中的用户和信件，以电子邮件为基础，处理公司的所有邮件，构成信息传递的基础，并在此基础上构建如下应用：l 个人级的应用主要完成公司内部工作人员日常的办公工作管理，构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建Microsoft Windows98和Microsoft Office 97 / 2000的套件基础上。l 部门级的应用通过Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook来协调部门工作，处理会议请求、资源分配和工作安排等。l 企业级的应用 构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用，构建与Internet Information Server和Microsoft SQL Server的基础上，形成内部的Intranet。2）数据库应用目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQL Server根据目前业务系统的特点，充分考虑今后系统开放性、高效 性、联机事务处理的要求，数据库系统应该采用SQL Server类型，综合当前SQL Server 产品现状，我们建议采用Microsoft-SQL Server，并使用独立的数据库服务器以提高性能。其原因主要有以下几点：n 由于本系统的体系结构采用客户/服务器模式，Microsoft-SQL Server拥有广泛的客户基础，考虑到本模块主要与控制中心进行数据交换及处理，因此充分估计其它业务及相关系统的要求，采用Microsoft-SQL Server 便于进行与其它系统的数据转换及处理。n 本系统面临一逐步推广使用的过程，因此要求在系统构造时充分考虑其扩展性。MICROSOFT SQL Server 具有开放的体系结构，由于其公开的接口规格，使得现在多数4GL程序开发语言均支持对SQL Server的联接，因此MICROSOFT SQL Server 能够面向多种系统的开发，便于处理与其它系统的接口问题。n 可伸缩性：SQL Server所有的表、SQL代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行，并且它便于向大型、具有并行处理能力的开放系统硬件环境转移。n 互操作性：MICROSOFT 客户/服务器系统能够透明地与其它厂商的产品联结集成，如DB2、Oracle。n 分布式数据库支持：MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时，可以把它们的SQL Server网络当作一个单一的集成资源来对待。n MICROSOFT SQL Server 与Windows 2000 连接紧密：目前SQL Server 产品较多，但与Windows 2000连接紧密且性能优越的当数MICROSOFT SQL Server。n MICROSOFT SQL Server有良好的安全性，达到C2级安全要求。n 在SQL Serve数据库的基础上，可利用各种数据库开发工具开发数据库管理系统，也可使用现在流行的基于Windows平台的MIS管理系统。3）域名服务 由于IP地址是使用一长串的数字来标注主机鹤其他网络设备，非常难于记忆和不便于使用，因此目前在Internet上，采用一种具有直观含义的名字来代替以数字方式表示的IP地址，这种名字形式的地址称为域名地址，整个分层的域名地址体系即是域名解析（DNS）。对于企业来说，域名是企业在网上的标志，也是企业推广自身形象的网络门户。 域名解析是当前网络中一种成熟的技术，在本系统中将用Windows 2000的DNS系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准，既支持动态更新，又可以兼容于NT4网络，支持手工刷新，结合了WINS的动态能力和传统DNS的稳定性和健壮性。在Windows2000中，活动目录与DNS紧密集成在一起，客户可以更容易更迅速地找到目录服务器，企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴进行通讯和提供电子商务，网络规划和管理变得更容易。4）远程访问服务RAS（远程访问服务）接入提供了协议封装和数据加密功能，允许移动用户通过Internet 或公共网络建立虚拟专用网络（VPN）模拟点对点专用连接，在计算机之间收发数据，其效果与在专用线路上进行数据传输一样安全、有效。在本系统中RAS服务器配有两个Modem ，外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。5）Web服务Windows 2000服务器中内置了一个新的Web服务器-Internet Information Server(IIS) 5.0。IIS以其强大的服务能力和丰富的开发手段，使其成为了电子商务的主要服务器平台，5.0在原有的基础上，又增加了许多新的功能：l IIS 5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来，而且可以对每个站点应用配置独立的CPU使用率，并可以独立停止和重起每个进程。这大大提高了Web服务器的可靠性和稳定性，是您建立的电子商务站点运行的更加可靠。l 在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory实现用户身份的验证，也可以使用证书和Active Directory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。 l IIS 5.0上的Web站点的开发使用的时Active Server Page (ASP) 3.0。ASP提供了强大的功能和与Windows的紧密集成，同时ASP 3.0又进一步提高了效率。ASP 3.0提供了和XML的集成，同时也可以用ADSI 2.0对Windows 2000 Active Directory进行操作。使用Microsoft Visual InterDev 6.0开发工具，您可以快速建立您的电子商务系统，也可以建立一个复杂但是功能强劲的电子商务系统。因此在本系统中将配置一台Web服务器，使用IIS 5.0进行Web开发，提供完善的Web服务。6）多媒体信息传输根据客户的需求，本系统采用Microsoft NetMeeting构建多媒体会议系统。4.1.3. 备份服务（建议采用） 使用计算机系统处理日常业务在提高效率的同时， 有一个问题越来越不容忽视， 即数据失效问题。 一旦发生数据失效， 企业就会陷入困境： 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非， 如果系统无法顺利恢复， 最终结局将不堪设想。 所以企业信息化程度越高， 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求，我们建议 在本系统中采用CA公司的ARC serve备份系统。ARCserve 是一 个 跨平台的网络数据备份软件，在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持，目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。产品特性： l 全面保护Windows操作系统l 支持打开文件备份l 支持对各种数据库如Betrieve、Sybase、Oracle等的备份l 支持从服务器到工作站的全面网络备份l 可以实现无人值守的自动备份l 备份前扫描病毒，可以实现无毒备份l 支 持灾难恢复4.1.4. Cisco网络管理CiscoWorksWindows是全面的网络管理软件，它提供一整套强有力的工具，可用于管理小型到中型企业网或工作组。l 对连网设备自动识别程序可以用色彩鲜明的分级网络视IP IPX 网生成网络拓朴图； l 能为Cisco 设备获取端口状态，带宽使用率，流量统计，协议信息及其它网络性 能统计等扩展数据；l 绘图功能灵活，可快速记录和分析可能输出到文件以备电子数据表或其它工具 使用的历史数据；l 管理信息 率（MIB）编辑器和测览器可以管理第三方SNMP设备；l 可以定多种性能变量设置，以便产生报警或事件通知； l 事件筛选器可以筛选出有用信息以加速故障排除； l 设备配置特性用于在Cisco 交换机内配置简单的虚拟LAN（VLAN）。4.1.5. 局域网拓扑图4.2. 局域网防火墙及防病毒解决方案 4.2.1. 网络安全风险分析 对于信息网所面临的安全风险涉及网络环境多方面，包括：l 自然灾害水灾、火灾、地震等； l 电子化系统故障系统硬件、电力系统故障等； l 人员无意识行为编码缺陷、系统配置漏洞、误操作及无意泄漏等； l 人员蓄意行为网络环境可用性破坏、恶意攻击等。 其中，前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善，尽可能将风险降低到能够被控制和管理的程度。而对于第四方面的安全风险，对整个信息网的安全环境所构成的危害最大，同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的，尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。对于在信息网环境中，采取何种安全技术手段且如何实现，就需要通过对前面提到第四方面的安全风险的分析的基础上，针对信息网安全需求来确定。对于风险来说，它应包括那些可以被管理但又不能被清除的，以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中，主要包括：l 对于网络应用服务的非授权访问 l 信息交互的保密性 l 网络病毒的传播与渗入 l 网络黑客行为 通过对以上主要的网络威胁分析，使我们能够准确把握信息网的网络安全需求。4.2.2. 需求分析 网络安全需求是保护网络不受破坏，确保网络服务的可用性。对于信息网络内部安全需求，包括：l 能够满足信息网络内的授权用户对相关专用网络资源访问； l 能够对于非授权用户的访问进行有效控制和报警； l 能够坚决杜绝病毒和其他危险程序进入网络； l 能够对于远程访问用户进行安全管理； l 加强对于整个信息网络资源和人员的安全管理与培训。 4.2.3. 安全管理需求分析 如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。安全管理主要包括两个方面：l 内部安全管理主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 l 网络安全管理在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确，且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理，可以通过财务软件本身和一些网络层的管理工具来实现。 4.2.4. 安全方案 根据对信息网现阶段的安全需求分析，我们在设计本安全方案时，将采取一切有力的措施，来实现信息网现阶段的安全目标，考虑到现阶段对网络病毒的管理要求，本方案提出对网络病毒防范和管理控制建议，并提出了现阶段的网络安全管理方案。4.2.5. 网络设备的安全配置信息网中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问网络任意的网络通讯设备（例如：路由器，集线器等）。对不同型号、厂家的网络设备，要防范的内容是一样的，但具体的配置方法须依照设备要求来实现。4.2.6. 对服务器访问的控制对于服务器用户可以设置不同的用户权限，如“非特权”和“特权”两种访问权限，非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置；特权访问权限则允许用户对服务器进行完全的配置。对服务器访问的控制建议使用以下的方式：l 控制台访问控制 l 限制访问空闲时间 l 口令的保护 l 多级管理员权限 4.2.7. CheckPoint FireWall-1 4.0作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司致力于企业级网络安全产品的研发，据IDC的最近统计，其FireWall-1防火墙在市场占有率上已超过44%，财富排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。CheckPoint FireWall-1产品包括以下模块：l 基本模块： 状态检测模块（Inspection Module）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能； 防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能； 管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；l 可选模块 连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能； 路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则； 其它模块，如加密模块等。l 图形用户界面（GUI）：是管理模块功能的体现，包括 策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去； 日志查看器：查看经过防火墙的连接，识别并阻断攻击； 系统状态查看器：查看所有被保护对象的状态。FireWall-1提供单网关和企业级两种产品组合。 单网关产品：只有防火墙模块（包含状态检测模块）、管理模块和图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台机器上。 企业级产品：可以有若干基本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。状态检测机制FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。OPSECCheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。OPSEC通过把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的安全框架。目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。企业级防火墙安全管理FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。FireWall-1管理员通过一个防火墙管理工作站管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证，然后通过加密信道传输。FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。l 安全策略编辑器：维护被保护对象，维护规则库，添加、编辑、删除规则，加载规则到安装了状态检测模块的系统上。l 日志管理器：提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功能。l 系统状态查看器：提供实时的系统状态、审计和报警功能。分布的客户机/服务器结构FireWall-1通过分布式的客户机/服务器结构管理安全策略，保证高性能、高伸缩性和集中控制。FireWall-1由基本模块（防火墙模块、状态检测模块和管理模块）和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。管理模块包括了图形用户界面和管理员定义的相关管理对象规则库，网络对象，服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略，安装了这些模块的系统称为受保护对象（Firewalled System），又称为安全策略执行点（Security Enforcement Point）。FireWall-1的客户机/服务器结构是完全集成的，只有一个统一的安全策略和一个规则库，通过一个单一的防火墙管理工作站，管理多个装载了防火墙模块、状态检测模块或可选模块的系统。认证（Authentication）远程用户和拨号用户可以经过FireWall-1的认证后，访问内部资源。FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。FireWall-1提供三种认证方法：l 用户认证（User Authentication）：针对特定服务提供的基于用户的透明的身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。l 客户机认证（Client Authentication）：基于客户机IP的认证，对访问的协议不做直接的限制。客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后，同时也就已经通过客户机认证。l 会话认证（Session Authentication）：提供基于服务会话的的透明认证，与IP无关。采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。l FireWall-1提供多种认证机制供用户选择：S/Key，FireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。地址翻译（NAT）FireWall-1支持三种不同的地址翻译模式：l 静态源地址翻译：当内部的一个数据包通过防火墙出去时，把其源地址（一般是一个内部保留地址）转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。l 静态目的地址翻译：当外部的一个数据包通过防火墙进入内部网时，把其目的地址（合法地址）转换成一个内部使用的地址（一般是内部保留地址）。l 动态地址翻译（也称为隐藏模式）：把一个内部网的地址段转换成一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏内部网络结构，提高网络安全性能。内容安全FireWall-1的内容安全服务保护网络免遭各种威胁，包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象，制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口（API）以集成第三方内容过滤系统。FireWall-1的内容安全服务包括：l 利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防火墙的文件，清除计算机病毒；l 根据安全策略，在访问WEB资源时，从HTTP页面剥离Java Applet，ActiveX等小程序及Java，Script等代码；l 用户定义过滤条件，过滤URL；l 控制FTP的操作，过滤FTP传输的文件内容；l SMTP的内容安全（隐藏内部地址、剥离特定类型的附件等）；l 可以设置在发现异常时进行记录或报警；l 通过控制台集中管理、配置、维护。连接控制FireWall-1的连接控制模块提供了负载平衡功能，在提供相同服务的多个应用服务器之间实现负载分担，应用服务器不要求都放在防火墙后面。用户可选用不同的负载均衡算法：l Server Load该方法由服务器提供负载均衡算法，需要在应用服务器端安装负载测量引擎；l Round TripFireWall-1利用ping命令测定防火墙到各个应用服务器之间的循回时间，选用循回时间最小者响应用户请求；l Round RobinFireWall-1根据其记录表中的情况，简单地指定下一个应用服务器响应；l RandomFireWall-1随机选取应用服务器响应；l DomainFireWall-1按照域名最近的原则，指定最近的应用服务器响应。路由器安全管理l 可以通过FireWall-1的管理工作站对企业范围内的路由器提供集中的安全管理：l 通过图形用户界面生成路由器的过滤和配置；l 引入、维护路由器的访问控制列表；l 记录路由器事件（需要路由器支持日志功能）；l 在路由器上执行通过图形用户界面制定的安全策略。FireWall-1可以集中管理以下路由器：l Bay Networks routers, version 7.x - 12.xl Cisco routers, IOS version 9 - 11l Cisco PIX Firewall，version 3.0, 4.0l 3Com NetBuilder, version 9.xl Microsoft RAS(Steelhead) Routers for Windows NT server 4.x4.2.8 防火墙及防病毒解决方案软件要求l Checkpoint FireWall-1 4.1(50用户)for Windows 2000l Norton Antivirus 6.0 for Windows 2000l 网络管理软件硬件要求l Cisco 2610模块式路由器l 服务器（双网卡，一块为内部网用一块为外部网使用）防火墙网络图4.3. 城域网建设4.3.1. 基本概述地铁设计院城域网的建设范围由中旅商业城十六层广州地铁总公司（地铁中心机房）、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5个部组成。租用电信线路，采用帧中继技术组建广州地铁城域网，同时支持电话拨号访问（租用一条256K帧中继线和3条电话线供拨号访问）。城域网的建设包括如下几方面内容： l 路由器的安装、配置和调试 l 通讯服务器的安装、调试l Web服务器的安装、调试l Mail服务器的安装、调试l 防火墙的安装、设置 l 城域网网管系统的安装、调试l 城域网网络的测试在城域网的建设中的关键要素有：路由器的选型、路由器与通讯服务器的安装、配置和调试以及“防火墙“的组建和网管系统的安装、调试。4.3.2. 通讯线路和拨号访问服务广州地铁设计院网络建设中城域网所用的通讯线路或传输技术主要有两种：一为FR、二为PSTN，采用租用256K帧中继线和3条电话线供拨号访问4.3.3. 虚拟专用网VPN技术 VPN是一个虚拟的网，其重要的意义在于虚拟和专用。为了实现在公网之上传输私有数据，必须满足其安全性。VPN技术主要体现在两个技术要点上：Tunnel、相关隧道协议（包括PPTP，L2F，L2TP），数据安全协议（IPSEC）。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。 隧道（Tunneling）技术介绍VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓隧道的技术，可以通过公共路由网络传送数据分组，例如Internet网或其他商业性网络。 这里，专有的隧道类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。 通过TUNNEL的建立，可实现以下功能： l 将数据流量强制到特定的目的地 l 隐藏私有的网络地址 l 在IP网上传输非IP协议数据包 l 提供数据安全支持 l 协助完成用户基于AAA的管理。 在安全方面可提供数据包认证、数据加密以及密钥管理等手段。 拨号VPNs使用隧道技术远程访问服务器把用户数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点 ，然后数据拆包，转发成最初的形式。VPN允许网络协议的转换，还允许对来自许多源的流量进行区别，这样可以指定特定的目的地，接受指定级别的服务。公司网进行远程访问通信，从电路交换的，长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议，代替了交换连接，通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术，隧道技术也禁止未授权的访问。4.3.4. 网管软件平台和网管软件网管软件平台是一种综合网络管理软件，他不但具有网络管理的基本功能，而且用户可以利用他开发新的网络管理应用软件。目前公认的三大网管软件平台：IBM NetView 、HP OpenView 和SUN NetManger，此外还有CA的网管软件平台。广州地铁设计院的城域网网管，它管理中旅商业城十六层广州地铁总公司（地铁中心机房）、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路204号地铁设计院5节点。其建设要考虑网络硬件平台、操作系统平台、协议平台、网管平台、网管应用等各个方面，建议铁设计院采用IBM NetView网管平台和Cisco Works网管软件的网络管理系统。4.3.5. 城域网网络架构图 4.4. Internet的接入方案4.4.1. ADSL简介随着Internet的爆炸式发展，在Internet上的商业应用和多媒体等服务也得以迅猛推广。为了实现用户接入网的数字化、宽带化，提高用户上网速度，人们提出了多项宽带接入网技术，包括N-ISDN、Cable Modem、ADSL等等，其中ADSL（非对称数字用户环路）是最具前景及竞争力的一种,将在未来十几年甚至几十年内占主导地位。ADSL是一种通过现有普通电话线为家庭、办公室提供宽带数据传输服务的技术。ADSL即非对称数字信号传送，它能够在现有的铜双绞线，即普通电话线上提供高达10Mbit/s的高速下行速率，远高于ISDN速率；而上行速率有1Mbit/s，传输距离达3km-5km。ADSL技术的主要特点是可以充分利用现有的铜缆网络（电话线网络），在线路两端加装ADSL设备即可为用户提供高宽带服务。ADSL的另外一个优点在于它可以与普通电话共存于一条电话线上，在一条普通电话线上接听、拨打电话的同时进行ADSL传输而又互不影响。安装ADSL也极其方便快捷，在现有的电话线上安装ADSL，除了在用户端安装ADSL通讯终端外，不用对现有线路作任何改动。局域网用户具有4个静态IP地址，可以在中国公众多媒体网上架设公司的网站 ，提供WWW、FTP、Email等服务。随着ADSL技术的进一步推广应用，ADSL接入还可以提供点对点的远程医疗， 远程教学，远程可视会议等服务。4.4.1. ADSL与其它接入服务的比较 ADSL与Cable Modem的比较与Cable Mode相比，ADSL技术具有着相当大的优势。Cable Modem的HFC接入方案采用分层树型结构，其优势是带宽比较高（10M），但这种技术本身是一个较粗糙的总线型网络，这就意味者用户要和邻近用户分享有限的带宽，当一条线路上用户激增时，其速度将会减慢。再者，有关资料表明，大部分情况下，HFC方案必需兼顾现有的有线电视节目，而占用了部分带宽，只剩余了一部分可供传送其它数据信号，所以Cable Modem的理论传输速率只能达到一小半。国外公司实验表明，其速率减为 1M-2Mbps，更常见的是 400K-500Kbps。综合来看，即使在理想状态下，HFC只相当于一个10Mbps的共享式总线型以太网，而ADSL接入方案在网络拓扑结构上较为先进，因为每个用户都有单独的一条线路与ADSL局端相连，它的结构可以看作是星型结构，它的数据传输带宽是由每一用户独享的。ADSL与普通拨号 Modem及N-ISDN的比较l 比起普通拨号 Modem的最高56K速率，以及N-ISDN 128K的速率，ADSL的速率优势是不言而喻的。 l 与普通拨号 Modem 或ISDN相比， ADSL更为吸引人的地方是：它在同一铜线上分别传送数据和语音信号，数据信号并不通过电话交换机设备，减轻了电话交换机的负载，并且不需要拨号，一直在线，属于专线上网方式。这意味着使用ADSL上网并不需要缴付另外的电话费。综合以上所述，可以看到ADSL作为一种高速接入Internet的技术更具有生命力，是企业接入Internet、开展网上电子商务的最佳选择。同时企业Intranet网与 Internet之间设有CheckPoint FireWall-1防火墙，实现了公司内部网对外信息交流的控制和管理，并防止外部非法用