網絡綜合服務應用解決方案(doc 37頁).doc

百聯下一代網絡（NGN）綜合服務應用解決方案項目建議書上海遠灼經貿有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內容前言.3網絡的設計思路及目標.4綜合服務應用業(yè)務定位5第一期工程方案設計6網絡的運營管理及計費功能設計.10主要設備介紹.201.前言在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來了革命性的變化，我們時時刻刻都在享受網絡科技帶來的便利，其中VoIP電話、票務預定、數碼沖印連鎖等就是現代網絡的典型應用。對于商業(yè)連鎖經營者來說，這不但能為便利店等連鎖機構帶來巨大的人流量和廣告效益，又能產生巨大的利潤。電信市場的開放導致了電信增值服務提供商之間的激烈竟爭，而這種竟爭在中國孕育了一個高速增長的網絡應用市場。幾乎在同一時間，各個提供商在各個城市都開展了虛擬運營服務平臺的建設，機遇出現的同時，挑戰(zhàn)也出現了。幾乎每個提供商，都面臨著寬帶網如何建設、如何升級、如何運營、如何擴展、如何盈利的問題。上海遠灼經貿有限公司在充分考慮了上海百聯集團現階段需求和現有的網點資源后，堅持以滿足企業(yè)通訊需求和經營需求為目的，基于切實可行的系統(tǒng)造價，以先進的技術，豐富的組網手段，提出了百聯綜合服務應用網解決方案。有關這一方案的任何問題，歡迎您隨時與遠灼經貿有限公司VoIP事業(yè)部聯系。電 話：項 目：技 術；商 務：2.網絡的設計思路及目標百聯綜合服務應用網絡的建設目標. 除了提供全市一個綜合業(yè)務信息平臺外，將建設成一個覆蓋全市各經營網點，為廣泛用戶提供多項綜合信息服務，VoIP語音、視頻服務和票務預定、數碼沖印等服務的信息平臺。 最主要的目標是配合配合現有網點的發(fā)展，搶占新興業(yè)務增長點，開辟一個嶄新的數據和信息服務市場。因此，整個系統(tǒng)需能夠承載多種服務類型、靈活的用戶接口和從窄帶到寬帶的廣譜的接入帶寬，同時利用現有的寬帶接入、現有設備和百聯特有優(yōu)勢，通過高速的INTERNET接入和適當地開發(fā)符合國情的本地服務為進入通訊服務市場的切入點，形成經營特色和造就市場影響，并逐步開展多種通訊類型的綜合服務，以良好的性能價格比和多種業(yè)務綜合為特點。另外，從一個企業(yè)應用網的角度來看，它應該具有以下幾個特性：足夠的帶寬和良好的升級能力；具有承載多種服務類型的能力；具有良好的投資漸進策略，在網絡的有效服務生存周期內，具有較高的投資回報能力；具有高可靠性。網絡的接入層應該具有高度的靈活性、易用性，提供多種服務接入能力。從網絡的管理層來看，網絡應具備完善的控制能力和網絡安全性，并提供靈活的計費方式；基于策略的網絡管理和基于物理層、鏈路層和網絡層的性能測量和故障監(jiān)控，并提供遠程配置和故障排除能力。3百聯綜合服務應用網業(yè)務定位g 在集團內部實現點對點零話費解決方案g 在集團內部視頻電話及可視電話會議g 為廣大用戶提供便民VoIP公話服務g 電信卡類業(yè)務聯網銷售平臺g 各類票務代理服務g 網絡數碼沖印服務4百聯綜合服務應用網工程方案設計我們在分析了百聯的實際情況后經研究認為百聯集團雖然已在很多地理區(qū)域內有網點資源和寬帶接入優(yōu)勢。但以前對社會各界未開展過VoIP電話等數據網絡業(yè)務。也就是說，從內部環(huán)境來看，沒有數據運維的經驗和市場運營策略積累。不管是網絡管理人員還是系統(tǒng)運行維護人員都急需一個起步級的平臺來在實驗中培訓和學習。同時，只有真正發(fā)展部分客戶，才能逐步的進入到網絡應用的市場中去，社會各界才會逐漸認同網絡應用服務提供商的地位。所以，我們不贊同其他集成商一動手就投資一千萬甚至幾千萬來建一個很高級的平臺與其他同類公司一爭高下的做法。我們充分考慮了百聯集團的現階段需求和今后的平滑升級因素后，堅持以滿足應用需求為目的，基于切實可行的系統(tǒng)造價，豐富的組網手段，所設計的百聯綜合服務應用網是一個起步門檻很低而又可平滑升級，可持續(xù)發(fā)展的應用網絡。一期工程的拓補結構規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺HP服務器做中心呼叫控制器（CMC），構成網絡的核心。配置一臺HP服務器為VoIP呼叫計費服務器。配置兩臺HP內容服務器為在線卡類銷售、票務代理、數碼沖印業(yè)務服務器。配置一臺路由器來聯接外部的internet出口，可同時設置電信、網通等多個出口。配置一臺硬件防火墻服務器來保護域內的信息資料不受外來攻擊。一期工程所規(guī)劃的目標是；A.使用世紀網通cnc200語音網關，將個各超市終端與總部聯系起來，實現點對點零話費。B.通過中心呼叫控制器（CMC）統(tǒng)一接入中國電信，各超市終端實現VoIP公話經營。C.建成的網絡已帶有網管控制和認證計費系統(tǒng)（Smartbilling）。D. 建成電信卡類、票務代理和數碼沖印網絡平臺。E.一期工程的總造價將控制在150-200萬元之內。系統(tǒng)自身可生成很多種在其它廣電寬帶網中已成功運營的市場策 略，以彌補百聯網絡應用經營經驗不足。該方案的起步投資小，系統(tǒng)的實際容量為注冊用戶5000戶，2000個并發(fā)用戶，最大峰值帶寬為75-95Mbps，采用穿透三層的WEB認證方式。用戶端一次性安裝VoIP電話計費客戶端軟件即可，軟件操作簡單方便。設備及軟件清單；序號名 稱型 號描 述數 量1路由器-Cisco 3600冗余LAN接口 LAN toLAN12防火墻DCFW 18003個10/100Base-TX LAN口，包過濾，NAT13內容服務器HPP4 /2.4G/雙CPU/512M/120G熱拔插/RAID卡24數據庫服務器PC SERVERP4 2.4MHz/512MHz內存/3*120GB SCSI硬盤/RAID卡/Win2000 Advance Server/15中心呼叫控制器HP硬件+世紀網通CMC注冊用戶60000個，并發(fā)10000個16接入服務器D2133 BRAS-20003FastEthernet(Internal,External&Management) Port, Upto 2000 Online Users, RADUIS/LDAP Supported17企業(yè)級運營管理計費軟件CMC SmartbillingISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License18PC工作站聯想/天肌P4 2.4G/128M/40G/100M網卡19VoIP語音網關深圳世紀網通CNG300110數據庫Oralce 8i5User license15網絡的運營管理及計費功能設計寬帶數據接入服務對廣電網絡而言是一門新型業(yè)務，很多廣電網絡公司往往在骨干網上投入巨資興建網絡。卻常常忽視運營管理平臺的建設，很多地方建成的網絡是毫無管理功能的網絡，只能對用戶實行無限制的簡單包月制，導致有限的數據資源被無限制的任意使用。而數據業(yè)務與電視節(jié)目不同的是電視節(jié)目不會因用戶觀看時間長短而增加成本。但是數據業(yè)務的internet資源是要按使用量的多少來支付成本的。所以一個網絡有無流量.帶寬控制及計費功能將直接影響這個網絡的贏利水平。51計費的重要性52運營計費系統(tǒng)的技術選型53邵陽市寬帶城域網計費服務系統(tǒng)解決方案6主要設備介紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網絡的綜合管理控制平臺。為電信運營商、虛擬運營商、話費代理開展VOIP網絡電話業(yè)務提供強大的后臺支撐，是企業(yè)行業(yè)管理維護IP電話網絡及各級部門間統(tǒng)計結算的最佳選擇。二、功能模塊包括會話控制器（含GK功能）、EasyTrans?“易穿”媒體控制器、網絡管理中心三部分組成。支持世紀網通嵌入式系統(tǒng)專用硬件平臺及WINDOWSLINUX平臺三種版本三、系統(tǒng)功能特點會話控制器（含傳統(tǒng)GK功能）呼叫認證授權，本地和遠程認證。靈活的地址翻譯，及主被號碼替換。支持二級/平行網守，支持直連方式和媒體/信令路由方式。支持標準H.323V3/4和SIP協(xié)議，以及不同協(xié)議相互識別、解析、轉換。分用戶域管理。可制定多種呼叫策略（費率、MOS值、時段、容量、接通率等）支持H.235安全機制，惡意RTP包頭檢測識別，防網絡攻擊。語音流量負載均衡 EasyTrans“易穿”媒體控制器l 為終端設備建立媒體和信令的專用傳輸隧道，可穿透多級防火墻/NAT設備和多網絡邊界。l 大容量媒體流幀級轉發(fā)l 網絡和語音QoS保障網絡管理全網設備輪詢監(jiān)視，及時通知被管設備語音端口和網絡端口的狀態(tài)出現宕機及其它故障時向控制臺報警支持防火墻/私網內設備網管圖形化配置和控制終端設備設備軟件及其配置文件的圖形化升級和群升系統(tǒng)自含會話呼叫的統(tǒng)計和日志系統(tǒng)使用日志四、系統(tǒng)性能最大呼叫承載能力5000路最大可管理終端設備容量5000最大并發(fā)呼叫數 5000路 附件二 Smartbilling計費系統(tǒng)附件三 CNG300/800語音網關指標名稱/型號CNG300CNG800/8CNG800/16語音接口數目2-4路4-8路8-16路VOIP通道數2-4路4-8路8-16路音頻接口2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO，8FXS，8FXO，4FXS+4FXO16FXS，16FXO，8FXS+8FXO以太網接口（RJ45）2個10/100M Base-T 串行設置接口（RJ45）一個RS232接口VOIP協(xié)議標準H323/V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP*語音編碼G.723.1 (5.3K 6.4K b/S)G.729 A/B(8Kb/s)G.711 A/律(64Kb/S)G.Netcodes (2Kb/S)語音質量保障技術支持語音優(yōu)先標記(TOS)；動態(tài)抖動緩沖區(qū)（JIFFER BUFFER）； 語音偵測（VAD）及舒適背景噪聲生成（CNG）； Diffserv網絡協(xié)議HTTP、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv內嵌PPPOE及NAT功能支持支持DHCP自動獲取IP地址支持功能特性內嵌“易穿”穿透代理模塊 支持私網 / 防火墻下設備的遠程網管(網管穿透) 支持私網 / 防火墻下語音穿透 支持電話按鍵配置 支持遠程升級軟件功能 來電顯示/來電識別（Call ID識別) 系統(tǒng)語音信箱、用戶自定義語音提示功能 支持DNS動態(tài)網守地址尋址 回音消除G.168 (16-64ms)互通特性CISCO、Notel、Lucent、華為等符合ITU標準VOIP系統(tǒng)工作溫度10 705% 95%非凝結工作濕度工作電源外接12V，1.5A內置開關電源100V-240V AC；50-60HZ結構尺寸寬*高*深 16CM*4CM*21CM標準19英寸 1U高； 寬*高*深 44CM*4.44CM*30CM重 量1KG約4KG附件四 方正防火墻目前，國內所采用的防火墻大都是國外的產品，留有安全方面的隱患，而網絡安全又是關系到國家安全的大事，基于安全方面的考慮，決定了我們中國人只能使用具有自主版權的防火墻產品。建議邵陽市寬帶城域網使用方正防火墻。4.1.產品概述FireGate防火墻是SHARKS中的主要安全產品之一。由于防火墻技術的針對性很強，它已成為實現網絡安全的重要保障之一。FireGate防火墻是通過對國外防火墻產品的綜合分析，針對我們國家的具體應用環(huán)境，結合國內外防火墻領域里的最新發(fā)展，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。FireGate不僅僅是一個包過濾的防火墻，還包括了大量的實用模塊，可以為用戶提供多方面的服務。FireGate防火墻所包含的模塊示意圖如下：4.2.系統(tǒng)特點一體化的硬件設計FireGate采用了一體化的硬件設計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。雙機熱備份通過雙機熱備份，本系統(tǒng)提供可靠的容錯/熱待機功能。備份防火墻服務器中存有主防火墻服務器的設置鏡像，當主防火墻因為某些原因不能正常運作，備份服務器可以在12秒鐘內取代主服務器運作，充分保證整個網絡系統(tǒng)運作的穩(wěn)定性。完善的訪問控制FireGate符合國家最新防火墻安全標準，采用了三級權限機制，分為管理員，策略員和審計員。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制。這樣他們共同地負責起一個安全的管理平臺。多種工作模式FireGate防火墻可以工作在網橋和路由兩種模式下，這樣可以方便用戶使用。使用網橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內網到外網、DMZ到外網的網絡地址轉換。方正防火墻特點防火墻技術的核心思想是在不安全的網間網環(huán)境中構造一個相對安全的子網環(huán)境。目前防火墻技術的實現主要有兩種手段：一種是基于包過濾技術(Packetfiltering)；一種是基于代理技術(Proxy)。無論是包過濾、還是應用代理，對系統(tǒng)的安全、基于網絡訪問的安全研究較多，但對網絡上流動的信息內容本身的安全處理較少。而由于我們國家的特殊需求，需要對網絡上的信息安全進行分析，并加以過濾和控制。因此從我國實際的應用背景出發(fā)，不僅要求防火墻產品實現傳統(tǒng)防火墻的技術，同時還要求對網絡信息的安全進行分析和控制。FireGate防火墻主要有以下特點：工作于透明橋結構之上，實現于數據鏈路層，無須IP地址。實現了IP地址與MAC地址綁定的功能，對IP盜用進行了有效的控制。多種手段防范電子欺騙；提供界面友好的控制平臺，實現對防火墻安全策略的制定、訪問的記錄分析、狀態(tài)的監(jiān)控以及其它對防火墻的控制功能；信息的記錄、分析模塊實現直觀的用戶訪問以及網上活動的實時監(jiān)控。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現可疑的連接，及時彌補網絡系統(tǒng)的漏洞或進行責任追究。分布式模型設計使得在某一主機上運行的管理模塊可以管理多臺監(jiān)控主機的運行。完全保留以太網的高速度，對網絡性能影響極小。4.4.FireGate防火墻優(yōu)勢.4.4.1.多種工作模式FireGate防火墻可以工作在網橋和路由兩種模式下：A：網橋模式：3個端口構成一個以太網交換機，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網絡連接起來構成一個互通的物理網絡。當防火墻工作在交換模式時，內網、DMZ區(qū)和路由器的內部端口構成一個統(tǒng)一的交換式物理子網，內網和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網絡拓撲結構和各主機與設備的網絡設置。B： 路由模式：防火墻本身構成3個網絡間的路由器，3個界面分別具有不同的IP地址。三個網絡中的主機通過該路由進行通信。當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內網到外網、DMZ到外網的網絡地址轉換，也就是說，內網和DMZ都可以使用保留地址，內網用戶通過地址轉換訪問Internet，同時隔絕Internet對內網的訪問，DMZ區(qū)通過反向地址轉換對Internet提供服務。在沒有安裝FireGate防火墻的時候典型網絡結構圖如下:在安裝了FireGate防火墻的時候網絡結構圖如下:.包過濾防火墻FireGate包過濾的功能是對指定IP包進行包過濾，并且按照設定策略對IP包進行統(tǒng)計和日志記錄，主要根據IP包的如下信息進行過濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報文類型域和代碼域l 碎片包l 其它標志位，如SYN，ACK位.高效的過濾有些防火墻在安裝上以后對WEB服務器的吞吐能力影響很大，造成性能的降低。由于FireGate防火墻采用了3I（Intelligent IP Identifying）技術，能夠實現快速匹配。因此FireGate防火墻不會對性能造成任何影響。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數可以達到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達到幾萬個左右。.碎片處理功能由于很多系統(tǒng)平臺，包括一些路由器對IP碎片的處理存在問題，容易產生欺騙和拒絕服務等攻擊，FireGate防火墻能夠識別出IP碎片并且進行控制，這樣一來通過禁止IP碎片通過FireGate，防止了這樣的問題的產生。.防SYN Flood攻擊一些TCP/IP棧的實現只能等待從有限數量的計算機發(fā)來的ACK消息，因為他們只有有限的內存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。典型的就是Syn Flood攻擊,通過大量的虛假的Syn包使服務器速度變慢，甚至是死機。一般的防火墻是通過限制每秒鐘通過的Syn包數量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒有安裝FireGate2：安裝FireGateFireGate防火墻使用了兩種方式來反Syn Flood攻擊，一種方法就是通過設置單位時間內的SYN包數量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網絡的阻塞。.強大的狀態(tài)檢測功能FireGate可以根據數據包的地址、協(xié)議和端口進行訪問控制，同時還對任何網絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進行匹配，而FireGate對每個連接，作為一個數據流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網絡擁塞。4.4.輕型/復雜IDS(入侵檢測系統(tǒng))4.4.1.反端口掃描一般黑客如果要對一個網站發(fā)動攻擊，首先都要掃描目標服務器的端口，確定服務器上開啟的服務，然后做出相應的入侵方式。 FireGate入侵檢測系統(tǒng)能夠在黑客掃描網站的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后面的攻擊。FireGate入侵檢測系統(tǒng)根據配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對全部端口同時進行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。4.4.2.可以防范1500余種攻擊方式1. 檢測多種DoS攻擊DoS(拒絕服務攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務失效、獨占或盜用資源以及刪除數據。最常見的就是服務失效方式，通過DoS攻擊可以使一個服務器停止服務，從而造成巨大的損失。FireGate入侵檢測系統(tǒng)能夠檢測包括IGMP攻擊、TearDrop、LAND、WinNuke等多種DoS攻擊。從而使被托管的服務器處于安全的保護之中。和其它一樣， FireGate入侵檢測系統(tǒng)一旦發(fā)現有DoS攻擊，立即在線報警，記錄日志。2. 檢測多種DDoS攻擊Yahoo、CNN等著名網站被黑客攻擊使得防黑客成了大家關注的熱點。DDoS(分布式拒絕服務)是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點，將它們設計成控制點，這些控制點控制了Internet大量的主機，將它們設計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機對攻擊目標發(fā)動的攻擊。這種結構使入侵者遠離攻擊的目標，隱藏了入侵者的具體位置。FireGate入侵檢測系統(tǒng)能夠檢測包括TFN、Trin00、shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進行DDoS攻擊的主要工具。3. 檢測保護子網中是否存在后門和木馬程序后門和木馬程序如果存在于網絡中，會造成嚴重的后果，有些后門程序導致管理員的密碼被盜取，因此檢測保護子網中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。FireGate入侵檢測系統(tǒng)能夠檢測網絡中是否存在流行的BO、BO2000、NetSphere、DeepThroat、WinCrash、BackConstruction等多種后門或木馬程序。4. 檢測多種針對Finger服務的攻擊Finger服務于查詢用戶的信息，包括網上成員的真實姓名、用戶名、最近的登錄時間、地點等，也可以用來顯示當前登錄在機器上的所有用戶名，這對于入侵者來說是無價之寶，因為它能告訴他在本機上的有效的登錄名。FireGate入侵檢測系統(tǒng)能夠檢測針對Finger服務攻擊的如Finger Bomb、Finger search、FINGER-ProbeNull等掃描和攻擊。5. 檢測多種針對FTP服務的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同FTP server，包括AIX FTPD、WuFTP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD發(fā)起的FTP-site-exec、 FTP-user-root、Buffer Overflow等多種嘗試和攻擊行為。6. 檢測基于NetBIOS的攻擊FireGate入侵檢測系統(tǒng)能夠對基于NetBIOS的如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多種嘗試和攻擊行為進行檢測。7. 檢測緩沖區(qū)溢出類型攻擊FireGate入侵檢測系統(tǒng)能夠對OVERFLOW-x86-solaris-nlps、OVERFLOW-x86-windows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百種堆棧溢出攻擊進行檢測。8. 檢測基于RPC的攻擊FireGate入侵檢測系統(tǒng)能夠對基于RPC的如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進行檢測。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠對針對多種SMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTP-expn-root、SMTP Relaying Denied等試探和攻擊進行檢測。10. 檢測基于Telnet的攻擊FireGate入侵檢測系統(tǒng)能針對基于Telnet的包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多種嘗試和攻擊。11. 檢測網絡上傳輸的病毒和蠕蟲FireGate入侵檢測系統(tǒng)能在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來，包括流行的Happy99、IloveU、PrettyPark等百種蠕蟲和病毒，防患于未然。12. 檢測CGI攻擊FireGate入侵檢測系統(tǒng)能檢測出包括針對PHF、NPH、pfdisplay.cgi等已知上百種的有安全隱患的CGI進行的探測和攻擊方式。13. 檢測針對WEB Server的FrontPage擴展進行的攻擊14. 檢測針對WEB Server的ColdFusion擴展進行的攻擊15. 檢測針對 MicroSoft IIS server進行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IIS-exec-srch、IIS-asp-srch等已知的漏洞和弱點的攻擊行為。16. 檢測利用ICMP進行的掃描和攻擊。FireGate入侵檢測系統(tǒng)能對利用這種方式進行的網絡拓撲探測所產生的PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包進行檢測。17. 檢測利用Traceroute對網絡的探測18. 檢測ActiveX，JaveApplet的傳輸FireGate入侵檢測系統(tǒng)能通過匹配網絡包內容，可以檢測特定的ActiveX、JaveApplet等程序在網絡上的傳輸。20 檢測對其他可能的網絡服務進行的攻擊4.4.3在線升級和實時報警入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網站進行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。報警是否及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進行攻擊的時候就能夠做出響應，那么管理員會有足夠的時間進行防護。 FireGate的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應，通過Email或手機通知管理員。同時會啟動自動防范系統(tǒng)進行防范。4.4.4.入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網絡的多種掃描，檢測到對網絡的攻擊行為，并能夠對攻擊行為進行響應，包括自動防范及用戶自定義安全響應策略等。系統(tǒng)支持“DMZ到外部網”和“內部網到外部網”的地址轉換和反向地址轉換，也就是說內部網主機和DMZ區(qū)的主機都可以采用保留地址，從而減少注冊IP地址的使用。通過地址轉換轉換可以更有效地利用IP地址資源，并且提供更好的安全性。4.5.代理服務器功能對于WEB用戶來說，FireGate是一個高性能的代理緩存服務器，FireGate支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，FireGate用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。FireGate將數據元緩存在內存中，同時也緩存DNS查詢的結果。除此之外，FireGate還支持非模塊化的DNS查詢，對失敗的請求進行消極緩存。FireGate支持SSL，支持訪問控制。用戶可以通過編輯“黑名單”和“白名單”設置“禁止用戶訪問的站點”和“僅允許訪問的站點”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，FireGate防火墻可以對該列表進行匹配，禁止對列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。FireGate防火墻提供的URL級的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動的主頁等。另外通過對內部網的WWW服務器的某些URL屏蔽，可以消除服務器本身的安全漏洞，從而對WWW服務器進行保護。4.6.雙機熱備FireGate防火墻系統(tǒng)能夠在網絡中智能地尋找與其對等的備份機，并且使備份機自動進入等待狀態(tài)，而一旦備份機發(fā)現主工作機失效，可及時啟動，防止網絡中斷事故的發(fā)生。 其智能識別技術甚至可以支持多于兩臺以上的FireGate在網絡上互為備份，適用于對可靠性要求極高的場合。4.7.強大的審計功能審計功能是FireGate非常強大的一個部分，目前國內防火墻的審計功能都非常不完善，FireGate提供了大量的審計內容和對審計內容的查詢功能，由于過于復雜的日志比較難以理解，我們將日志記錄分成了若干部分，而且每一個部分都是可以單獨進行查詢和管理的，這樣一來就可以使用戶對防火墻的情況有一個非常透徹的了解。FireGate中審計功能有著非常完善的權限管理，有專門的審計員來對審計內容進行管理，在審計中又分成了若干級別的權限。這樣可以方便管理員管理審計內容。4.8.基于PKI的高級授權認證PKI（Public Key Infrastructure）是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發(fā)放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設施，網絡通訊、網上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)（CA/RA）是PKI不可缺的組成部分。網絡，特別是Internet網絡的安全應用已經離不開 PKI技術的支持。網絡應用中的機密性、真實性、完整性、不可否認性和存取控制等安全需 求只有PKI技術才能滿足。PKI在國外已經開始實際應用。在美國，隨著電 子商務的日益興旺，電子簽名、數字證書已經在實際中得到了一定程度的應用，就連某些國家都已經開始接受電子簽名的檔案。FireGate的授權認證是基于PKI基礎之上，因此完全性極高。有些防火墻的認證機制采用OTP（Once Time Password），或者采用了靜態(tài)口令機制。比如說，靜態(tài)密碼是用戶和機器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機器所認為的那個人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機器之間必須共知一條通行短語，而這通行短語對外界是完全保密的。和靜態(tài)口令不同的是，這個通行短語并不在網絡上進行傳輸，所以黑客通過網絡竊聽是不可能的。但是使用起來沒有使用證書認證方便。因此FireGate基于PKI的高級授權認證機制在技術上面非常的先進，超越了大部分的防火墻產品。4.9.集中管理根據美國財經雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當復雜，要想成功的維護防火墻，要求防火墻管理員對網絡安全攻擊的手段及其與系統(tǒng)配置的關系有相當深刻的了解，而且防火墻的安全策略無法進行集中管理，這些都造成了安全策略的失效。而FireGate防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。可以通過一個控制機對多臺FireGate進行集中式的管理。4.10.實時控制和日志轉存管理員可以通過控制界面對防火墻進行實時的控制和調整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于FireGate每天都會記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此FireGate的日志監(jiān)視系統(tǒng)會將服務器上面的日志下載到管理員的機器上面，管理員可以對它進行編輯和保存。4.11.靈活的配置方式4.11.1.可視化配置FireGate的配置都是在Windows下面的圖形界面中進行的，因此配置起來比較方便，對于用戶而言，無需了解過多的安全知識，就可以配置好FireGate，而且讓之工作起來。4.11.2.預置包過濾規(guī)則集預置的包過濾規(guī)則集是對常見的防火墻應用進行總結歸納出的防火墻規(guī)則模板，每個預置的包過濾規(guī)則集都對應了一種比較典型的網絡布置情況。對于常規(guī)的應用，用戶可以直接調用預置的包過濾規(guī)則集來完成，大大簡化了用戶對防火墻的設置工作。由于FireGate防火墻是一種包過濾類型的防火墻，因此通過規(guī)則集來進行包的檢查，而不同的網絡布置情況決定了不同的包過濾規(guī)則集，因此FireGate防火墻預置了對應多種網絡布置情況的包過濾規(guī)則供用戶選擇使用。FireGate防火墻可以靈活地滿足不同的安全需要，為企業(yè)，托管服務器等提供一個不同層次和不同方位的安全保障。而且完善的審計記錄和流量統(tǒng)計信息為用戶提供了大量有用的記錄和信息。FireGate典型應用于IDC、金融、證券需要重點保護的計算機網絡，大、中、小型企業(yè)的計算機網絡以及ICP、ISP的托管主機群。附件五 Cisco 3600路由器Cisco 3600是世界第一個真正的多功能應用支持平臺，在單獨一個服務器上廣泛支持分支機構/企業(yè)撥號訪問應用，LAN到LAN或者路由選擇應用以及多服務應用。它提供前所未有的模塊化選項，可使用多種不同的網 絡模塊，它還具有強大的靈活性，可針對客戶的不同應用環(huán)境，提供各種配置選項，而且最重要的是，它具有支持所有這些應用的優(yōu)質運行性能。-作為一個多功能解決方案，你可以依靠Cisco 3600平臺的出眾性能、安全性以及靈活性來滿足你未來多年的需要。與具有綜合管理、配置以及單供應商支持的一臺多功能設備相比，管理、配置以及支持多臺設備。 此外，Cisco IOSTM軟件包含許多可提供安全性、可靠性以及WAN優(yōu)化的功能，在任何應用環(huán)境中，都可以使用Cisco IOSA功能來控制不斷上升的WAN費用。Cisco IOS軟件支持在幀中繼、專線以及撥號網絡上的數據壓縮。Cisco IOS軟件擁有廣泛的多媒體功能，可以支持諸如在WAN上的電話會議那樣的新型應用。資源預保留協(xié)議（RSVP）、非協(xié)議依賴性的多點廣播（PIM）以及加權公平排隊（WF）等功能可以保證一貫的服務質量以及較高的應用可用性。A.Cisco 3600提供的多種功能 Cisco 3600的目標是滿足不斷發(fā)展的需要。Cisco 3600在一個模塊化的機箱中有不同的模塊選擇可以最大限度地保護用戶投資，其性能可以處理上述不同的需要，而且還有能力滿足將來的發(fā)展需求。例如，作為一個ISDN連接解決方案，配有集成數字調制解調器的Cisco 3600ISDN PRI連接服務器非常適合那些機架空間有限的機構。Cisco 3600配有冗余LAN接口，包括提供數據回拖到聚合點，同時，它的冗余LAN接口，包括提供快速以太網以及令牌網的功能，可以靈活地置于各種不同的LAN環(huán)境中。B.Cisco 3600提供多協(xié)議撥號連接成功的遠程連接意味著能夠幾次透明地連接到任何地點的用戶，同時可支持任何協(xié)議。遠程和移動用戶的不同需要使ISDN和異步連接都變得十分必要，今天，用戶希望獲得與本地訪問同樣的連接服務質量。為了滿足這種要求，遠程訪問服務器必須成為整個網絡解決方案的一部分，并且和它一起擴展以滿足不斷增長的遠程訪問的需要。 C.系統(tǒng)功能 5.3.1.全功能的Cisco ISO -Cisco 3600是Cisco 整套端到端連接解決方案中的一部分。沒有任何其它的供應商能夠向遠程用戶提供這么多的Intermir訪問以及擴展選擇。而且Cisco ISO軟件有能力在用戶負擔得起的前提下布置撥號虛擬專用網絡（Dial VPNS），使Cisco 產品的功能又得到了相應的提升。用戶還能夠通過數據壓縮等帶寬優(yōu)化技術來節(jié)省開支，并且可以布置高質量的網絡安全防火墻以及數據加密功能。5.3.2.安全性 -安全已成為今天大多數網絡管理者關心的主要問題，Cisco 3600，問題配合廣為流行、功能強大的Cisco ISO軟件，可以為客戶核心網絡提供全面的安全保障。對于遠程用戶環(huán)境，Cisco 3600將該項已被證明是有效的核心安全技術擴展到混合介質撥入站點。Cisco ISO軟件支持的安全功能包括訪問清單、侵入事件記錄、遠程訪問撥入用戶服務（RADIUS）、Kerberos V以及具有驗證、授權和記帳（AAA）的TACACS。 5.3.3.管理 -Cisco 3600提供一套稱為CiscoWorks的完善的圖形用戶界面（GUI）管理工具，可對Cisco 3600機箱及其相關網絡模塊進行圖形化的配置、監(jiān)控和調試。Cisco配置管理功能向網絡管理者提供對網絡統(tǒng)計數據的完全控制以及在一個中央控制中心配置和調節(jié)網絡操作的能力。Cisco ISO軟件包含全面的故障分析工具，可以大大減少問題隔離和恢復所需的時間和費用。-針對Cisco 3600提供的內部調制解調器，一套先進的可選調制解調器管理功能可供使用，它提供廣泛的帶寬優(yōu)化功能，可以幫助分支機構和企業(yè)客戶降低運行地理位置分散的廣域網絡的重復費用。調制解調器管理功能集包括呼人過程監(jiān)視hard and busy out、分組、一個用戶定義的警告域值以及統(tǒng)計功能。管理人員可查看調制解調器的調制配置、調制解調器協(xié)議、調制解調器EIA/TIB2信號狀態(tài)。調制解調器發(fā)送和接收速率以及模擬信噪比等實時（當時或以前的呼叫）。調制解調器可以用管理網絡其它部分的相同工具來管理，從而為網絡管理者提供了一個在中央管理點進行管理的解決方案。5.3.4.可擴展性 多鏈路點到點協(xié)議（MP）使用戶可利用ISDN連接的優(yōu)勢，并且可以使用兩個B通道達到128kbps數據吞吐量。異步用戶如果在其工作站上獲得支持，使用兩個通過兩條電話線連接的調制器，他們也能夠受益于該功能。為了滿足用戶不斷增長的需求，需要擴展Cisco 3600解決方案，而MMP支持是實現這種擴展的一個關鍵因素。MMP使呼叫能夠被鏈接起來，而不管每個呼叫被 置于哪個物理機箱，從而能將Cisco 3600機箱堆放起來并視為一個撥入池。5.5.Cisco 3600系列概覽 下表詳細列出了目前可提供的Cisco 3600系列的平臺和網模塊。對于郵電客戶來說，直流電源是唯一選擇，Cisco 3600產品提供直流型號這些電源也可作為備用件訂購，而且它們都是現場可替換部件（FRUs），備用電源在清單的編號為PWR 3620DC3640DC。 Cisco 3600系列是一個具有優(yōu)越性能和靈活性的全面解決方案，您可以依賴它，迎接未來的挑戰(zhàn)。你知道你正在和一個可以依賴的供應商合作。Cisco 系統(tǒng)公司以其出色的服務和支持，以及世人皆知的高性、高可靠性和標準的高技術，支持每一個它生產的產品。附件六 寬帶服務路由器CMTSACE/RiverDelta BSR1000寬帶服務路由器RiverDelta BSR1000是小型的低成本的解決方案，適用于小型分區(qū)分配中心或寬帶服務市場發(fā)展的早期階段中較大場所。它可作為單獨放置的設備使用，或作為低成本有線網絡廷伸所需的小型設備中的一種。這種增加用戶進行的簡單易用的分配CMTS可以幫助運營商們發(fā)展在定義、配置及管理方面極具優(yōu)勢的寬帶服務它執(zhí)行Networks Smartflow的單數據包處理，低成本有效的廷伸豐富的QoS支持，傳送給多用戶商?？晒?jié)省空間的BSR1000的體積非常小巧，是小型分區(qū)分配中心理想的選擇。它可以由非技術人員進行安裝用于擴大服務范圍，它可發(fā)當作第2層橋接器使用或作為有增強的安全性特色功能的CMTS路由器使用。新一代分配平臺 BSR1000是根據DOCSIS1.0、DOCSIS1.1、及PacketCable1.0標準設計的。這種簡潔的CMTS與快速以太網上行傳輸相配置可連本地數據網絡；或與可選的雙向上行傳輸（千兆比特光接口或快速以太網接口）相配置可連接光傳輸環(huán)并支持鏈接。BSR1000有節(jié)省空間的IU“壓縮式”盒狀底盤，允許MSO在空間非常珍貴的最小型的場所內充分利用寬帶服務結構。當數據集中到運營商級的BSR6400的時候，系統(tǒng)實行可測量的SLA來進行隔離、監(jiān)控和地址管理。這種解決方案可以進行低成本有效地服務領域的擴大，并且它可以傳送數據形態(tài)使SLA跨越HFC網絡進行端對端傳送。 分配QoS和多服務支持寬帶有線網絡傳達室送的能力要求滿足集中的數據、聲音、多媒體服務的傳送，BSR1000是一個靈活平臺使這些新一代的服務通過IP實現。它提供寬帶多種服務的支持并且運營商可以從創(chuàng)新的新服務項目中迅速更新和增加收益渠道。BSR1000允許電纜運營商支持一個供應商提供多種服務，同時也允許多個服務商每個僅供提供一種服務。運營商能夠通過Cable Modem將可測量的QoS發(fā)送到多個服務商的網絡中心。通過將多個BSR1000中的數據流集中到分區(qū)端的一個BSR6400里，運營商能夠提供低成本有效的電纜接入同時保證按內容分類的路由處理。SmartFlow允許運營商根據數據包內容將數據包分類到數據流中并且為HFC網絡中使用DOCSIS1.1、的每個數據流進行適合的QoS處理或為分區(qū)及骨干網絡提Diff-Serv或MPSL。Qos的處理-例如：Diff-Serv的服務類型（TOS）再映射-就是由根據每個服務商規(guī)定的條款制定的。系統(tǒng)可以提供用戶使用靜態(tài)統(tǒng)計且可以保證并書面約定第個商的可以通過普通的有線網絡結構有效的傳送到用戶。 增強的安全性。運營商可以將BSR1000作為一個自設置CMTS路由器或第2層CMTS使用。當作為一個安全的、自設置的第2層CMTS使用時，BSR1000能夠隔離Cable Modem的媒