網(wǎng)絡系統(tǒng)集成方案設計

1、河北工業(yè)職業(yè)技術學院專項任務報告書任務題目四川農(nóng)業(yè)學院網(wǎng)絡系統(tǒng)集成方案設計系別計算機技術系專業(yè)年級14級網(wǎng)絡技術學生姓名柏青何學號35091403029指導教師車倩倩王文松職稱高級工程師副教授完成地點蒼穹數(shù)碼技術股份有限公司河北分公司日期2017-05-10目錄一 校園建筑物布局說明 錯 誤!未指定書簽。1. 學院概況 錯 誤!未指定書簽。2. 網(wǎng)絡環(huán)境分析 錯 誤!未指定書簽。二 校園網(wǎng)絡系統(tǒng)需求分析 錯 誤!未指定書簽。1. 功能需求 錯 誤!未指定書簽。2. 技術需求分析 錯 誤!未指定書簽。三 校園網(wǎng)絡系統(tǒng)設計規(guī)劃 錯 誤!未指定書簽。1. 主干網(wǎng)設計 錯 誤!未指定書簽。2. 層次化

2、網(wǎng)絡設計 錯 誤!未指定書簽。3. 網(wǎng)絡冗余設計 錯 誤!未指定書簽。4. 出口設計 錯 誤!未指定書簽。5 和地址規(guī)劃 錯 誤!未指定書簽。6.設備選型 錯 誤!未指定書簽。四 總體綜合布線系統(tǒng)的設計思路 錯 誤!未指定書簽。1. 總體設計要點 錯 誤!未指定書簽。2.設備間位置的確定 錯 誤!未指定書簽。3. 弱電井位置的確定 錯 誤!未指定書簽。4. 信息點的設置 錯 誤!未指定書簽。5. 管理間的設置 錯 誤!未指定書簽。五 校園綜合網(wǎng)絡安全 錯 誤!未指定書簽。1.服務器的安全配置 錯 誤!未指定書簽。2.防病毒軟件和技術 錯 誤!未指定書簽。3. 防火墻的配置 4. 數(shù)據(jù)備份 5.

3、 后期網(wǎng)絡維護與培訓 錯誤!未指定書簽。 錯誤!未指定書簽。 錯誤!未指定書簽。參考文獻錯. 誤 !未指定書簽。河北工業(yè)職業(yè)技術學院專項任務書專項任務名稱四川農(nóng)業(yè)學院網(wǎng)絡系統(tǒng)集成方案設計姓名柏青何 專業(yè)網(wǎng)絡技術班級4班 學號35091403029任務情況描述:校園網(wǎng)是各種類型網(wǎng)絡中一大分支， 有著非常廣泛的應用。作為新技術的發(fā)祥地，學校、尤其是高等學校和網(wǎng)絡的關系十分密切，網(wǎng) 絡最初是在校園里進行實驗并獲得成功的， 許多網(wǎng)絡新技術也是首先 在校園網(wǎng)中獲得成功，進而才推向社會的。二、任務完成計劃：第一階段：開始確立題目和大方向。第二階段：分析學校的具體需求第三階段：根據(jù)需求對網(wǎng)絡系統(tǒng)進行規(guī)劃與設

4、計第四階段：總體方案設計策略第五階段：論文撰寫和打印準備答辯。三、計劃答辯時間：日論文答辯實習指導教師（簽字）：系學生頂崗實習領導小組組長（簽字）：四川農(nóng)業(yè)學院校園網(wǎng)絡系統(tǒng)集成方案設計設計者：柏青何指導教師：王文松、車倩倩一校園建筑物布局說明1學院概況四川農(nóng)業(yè)大學是一所以生物科技為特色，農(nóng)業(yè)科技為優(yōu)勢，多學科協(xié) 調(diào)發(fā)展的國家“ 21工程”重點建設大學，也是教育部本科教學工作水平評估 優(yōu)秀高?！，F(xiàn)任黨委書記鄧良基教授、校長鄭有良教授。2. 網(wǎng)絡環(huán)境分析四川農(nóng)業(yè)大學包括三個校區(qū)，分別是雅安、都江堰、成都三個校區(qū)； 成都區(qū)離雅安去區(qū)不遠，三個校區(qū)物理上隔離。為了最大程度上對學校各 校區(qū)資源實現(xiàn)資源共

5、享，結合考慮學校實際情況，建議各分校區(qū)與南院主 校區(qū)實現(xiàn)專線相連。本設計方案涉和成都校區(qū)的網(wǎng)絡整體規(guī)劃，實現(xiàn)了成都的具體實施方 案，成都區(qū)網(wǎng)絡核心區(qū)域拓撲圖如圖所示：掙箕帳片厲 比 iLtSiSHIIBt Mil I新校皿C«flinrJ|6aiTI(F24M網(wǎng)絡中心I龍鞍烷片醫(yī)AHHt 非?!<*片巨amrspKiilSP雷III I+-,4-ni撬校區(qū):.-tu.4X19 m inAllar &s逸夫樓片國Ill學生bi靖片3=n&-.二.£. ft.9l4fli. i.*«fl- Kbt«MlttlT啟給申右片超圖i成都校區(qū)網(wǎng)

6、絡拓撲圖二校園網(wǎng)絡系統(tǒng)需求分析1. 功能需求通過實地調(diào)查分析，校園網(wǎng)絡應滿足如下功能需求：(1) 將全校所有計算機連接到網(wǎng)絡中，滿足計算機教學科研、行政辦公 需要，具有完善的辦公事務處理能力。在網(wǎng)絡上傳輸多種應用信息，用于 教學、教務管理、通知通告、對外網(wǎng)站等應用。(2) 網(wǎng)絡管理系統(tǒng)功能完善，操作簡便，能管理到桌面臺式機。網(wǎng)絡設 立區(qū)域性安全防范措施，加載安全過濾。禁止如 P2P等占用高帶寬的技術。(3) 結構合理，技術先進，確保3-5年內(nèi)不會更新?lián)Q代，所設計網(wǎng)絡應 該具有高可靠性和可擴展性，具有一定的冗余，容錯能力強，確保信息處 理安全保密。(4) 實現(xiàn)間的互通，方便不同行政部門或教學部門

7、的互訪以和網(wǎng)絡管 理。(5) 連接至。2. 技術需求分析(1) 路由技術：路由協(xié)議工作在參考模型的第 3 層，因此它的作用主要是在通信子網(wǎng) 間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡中傳遞數(shù)據(jù)時選擇最佳路徑的能力。除 了可以完成主要的路由任務，利用訪問控制列表( ，)，路由器還可以用 來完成以路由器為中心的流量控制和過濾功能。在本工程設計中，其內(nèi)網(wǎng) 用戶不僅通過路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過 3 層交換機上的路 由功能進行數(shù)據(jù)包交 換。(2) 交換技術：現(xiàn)代交換技術還實現(xiàn)了第 3 層交換和多層交換。高層交換技術的引入 不但提高了校園網(wǎng)數(shù)據(jù)交換的效率，更大大增強了校園網(wǎng)數(shù)據(jù)交換服務質 量，滿足了不同類

8、型網(wǎng)絡應用程序的需要。(3) 技術：虛擬局域網(wǎng)( ，)，將廣播域限制在單個內(nèi)部，減小了各間主機的廣播 通信對其他的影響。在間需要通信的時候，可以利用間路由技術來實現(xiàn)。 當網(wǎng)絡管理人員需要管理的交換機數(shù)量眾多時，我們可以使用中繼協(xié)議 ( ，)簡化管理，它只需在單獨一臺交換機上定義所有。然后通過協(xié)議將 定義傳播到本管理域中的所有交換機上。這樣，大大減輕了網(wǎng)絡管理人員 的工作負擔和工作強度。(4) 防火墻技術與 ：針對不同資源提供不同安全級別的保護 , 還應該構建一個的區(qū)域， 放置 一些不含機密信息的公用服務器，比如、 和等。這樣來自外網(wǎng)的訪問者可 以訪問中的服務，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機

9、密或私人信息等。即使中服務器受到破壞，也不會對內(nèi)網(wǎng)中的機密信息造成影響（5）鏈路聚合技術：鏈路聚合（ ）技術，支持 802.3 協(xié)議，是一種用在交換機與交換機之 間擴大通信吞吐量、提高可靠性的技術，也稱為骨干連接。當兩臺核心層交換機采用聚合鏈路 技術后，該技術可以使交換機之間 連接最多 4 條負載均衡的冗余連接。當某一臺核心交換機出現(xiàn)故障或核心 交換機與接入層 /匯聚層交換機的某一條互聯(lián)線路出現(xiàn)故障時，系統(tǒng)將通信 業(yè)務快速自動切換到另一臺正常工作的核心層交換機上，以使整個網(wǎng)絡具 備高容量、無阻塞、高可靠的能力。三 校園網(wǎng)絡系統(tǒng)設計規(guī)劃1.主干網(wǎng)設計隨著校園網(wǎng)用戶數(shù)目與新的應用需求不斷增加，特別

10、是網(wǎng)上多媒體和 遠程教育應用的展開，對校園網(wǎng)主干帶寬提出了新的更高的要的求因此校 園網(wǎng)的主干（即核心層交換機與匯聚層交換機之間或核心層交換機與服務 器之間的連接）采用千兆以太網(wǎng)技術，在距離允許的范圍內(nèi)，還應當盡量 采用當前性價比最好的千兆銅纜以太網(wǎng)技術， 例如 1000。1000 以太網(wǎng)交換 技術為主干，可以做到 1000 全光纜到二級交換機， 100到桌面。2.層次化網(wǎng)絡設計 根據(jù)本校網(wǎng)絡的實際情況，網(wǎng)絡層次應包括核心層、匯聚層和接入層 三個層次。接入層位于連接到網(wǎng)絡的最終用戶處，通常在用戶之間提供第2 層連接性，該層的設備必須具備具備下述功能：低交換機端口成本；高端口密 度；連接到高層的可

11、擴展上行鏈路；用戶接入功能，如成員資格、數(shù)據(jù)流 和協(xié)議過濾以和服務質量（） 。匯聚層將校園網(wǎng)的接入層和核心層連接起來，該層的設備必須具備下 述的功能：聚集多臺接入層設備；較高的第 3層分組處理吞吐量；使用訪 問列表和分組過濾器提供安全和基于策略的連接；連接到核心層和接入層 的高速連接具有可擴展性和彈性。校園網(wǎng)的核心層連接所有的匯聚層設備，該層必須能夠盡可能高效地 交換數(shù)據(jù)流。該層應具有下述功能：第 2層和第3層的吞吐量非常高；不 執(zhí)行高成本或不必要的分組處理（訪問列表層、分組過濾）；支持高可用性 的冗余和彈性；高級功能。3. 網(wǎng)絡冗余設計由于大學網(wǎng)絡規(guī)模巨大、涉和到的用戶很多，如果網(wǎng)絡特別是骨

12、干網(wǎng) 絡出現(xiàn)任何的問題將導致很大的不良影響，因此對網(wǎng)絡的可靠性和可用性 要求很高。網(wǎng)絡的冗余設計除了選擇具有冗余設計的網(wǎng)絡設備外，網(wǎng)絡的 冗余設計也十分重要，因此，成都區(qū)與雅安校區(qū)之間采用雙鏈路相連，四川農(nóng)業(yè)成都去和雅安區(qū)核心層可采用兩臺核心交換機，匯聚層交換機分別 用兩條線路接到這兩臺核心交換機上，即可實現(xiàn)線路的冗余。冗余設計如 圖4：1H奪鵡辭圧 m T<Tta-nSi uh ISuri t"聖Swi t< h .1接人mnMbHaPnu t«rA圖4冗余設計圖心層Stt tch-ii4. 出口設計為了給校園網(wǎng)用戶提供一個快速穩(wěn)定訪問外部網(wǎng)絡的通道，本方案設

13、 計采用雙出口設計，一條通過本地接入，另一條接入，以滿足學校辦公的需求。設計如圖5所示:圖5出口設計圖5和地址規(guī)劃采用的私有地址段，為校園網(wǎng)絡提供充裕的主機地址并采用 基于端口的劃分方法。單個可以使用多個地址段。的劃分基于各部門職能 或機房數(shù)量。其中南校區(qū)地址段和北校區(qū)地址段分別為與1020.0/16,以下為南校區(qū)地址與詳細劃分如圖：表1地址與詳細劃分號名稱網(wǎng)段默認網(wǎng)關說明1多媒體2一號教學樓3一號樓機房4二號教學樓5三號教學樓6圖書館電子閱覽室7實訓7號樓6.設備選型校園網(wǎng)絡主干為千兆網(wǎng)絡，百兆交換到桌面，保障所有用戶同時調(diào)用 服務資源時都能快速、流暢，充分發(fā)揮多媒體課室教學的作用同時保證所

14、 有用戶同時上網(wǎng)順暢，使校園網(wǎng)絡的功能發(fā)揮得淋漓盡致。為了實現(xiàn)網(wǎng)絡設備的統(tǒng)一，本設計方案中完全采用同一廠家的網(wǎng)絡產(chǎn) 品，即華為公司的網(wǎng)絡設備構建。全網(wǎng)使用同一廠商設備的好處是可以實 現(xiàn)各種不同網(wǎng)絡設備功能的互相配合和補充。下面就介紹本案例中的設備型號和參數(shù)等信息：墓卓對麴產(chǎn)品型與S57O0-34TP-SI-jflC產(chǎn)品衆(zhòng)S1!千兆毆衣阿三底背梔帚壺既兇bpd貧愉方式存詁犢奠方或憐口魂劊10/L 00Bifl*-T 嗾口10/ L 00/1UUUM CombD侵口齣呂24 口lUM/LUUMbpS堆竝表持網(wǎng)貉標淮IEEE 802.壬 SEE 802.殂 IEEE 802. 3 IEEE 802,

15、 3x» IEEE 802.比 IEEE 3D2. 1Q, IEEH802. ldIEEE W02. IXVLAN支持表持VLAN功能網(wǎng)管勒能支持網(wǎng)菅功能收工僵輸京持全眾工MAC地川表6K其化奉藪外形尺寸圧QX電嫄電任航 100-340V躡大巾率<40W<1,4KkT.作馮席其它工作'顯蔭“商卻金 存赭富陪:一5-陰9 存?zhèn)錆駨BHrah-gn*圖6設備型號和參數(shù)四總體綜合布線系統(tǒng)的設計思路1. 總體設計要點四川農(nóng)業(yè)學院綜合布線系統(tǒng)的設計，將滿足高帶寬需求的計算機網(wǎng)絡 的互聯(lián)，采用適應，快速以太網(wǎng)，網(wǎng)，支持萬兆以太網(wǎng)等高速數(shù)據(jù)信息交 換的主干網(wǎng)。我們對四川農(nóng)業(yè)學院綜

16、合布線系統(tǒng)進行了設計。根據(jù)設計劃分，雅安 區(qū)所屬計算機機房在三層計算機機房，都江堰區(qū)所屬計算機機房在三層網(wǎng) 絡機房，成都去所屬計算機網(wǎng)絡中心機房在三層網(wǎng)絡機房，計算機網(wǎng)絡中 心機房內(nèi)設置核心層網(wǎng)絡交換機，光纖配線架、服務器等設備。大樓整個 網(wǎng)絡系統(tǒng)采用高性價比的六類綜合布線系統(tǒng)。數(shù)據(jù)主干采用八芯多模光纜， 端接設備采用機柜式光纖配線架，能夠滿足現(xiàn)在先進的千兆主干傳輸?shù)囊?求，同時也能滿足未來更高帶寬的網(wǎng)絡需求。數(shù)據(jù)采用六類 4 對非屏蔽雙 絞線銅纜。配線間內(nèi)水平千兆對絞線端接采用 48 口模塊式配線架。2. 設備間位置的確定 計算機網(wǎng)絡機房，須要落實其各自的位置，以實現(xiàn)綜合布線線工程。3. 弱

17、電井位置的確定 弱電井作為弱電管線的主要通道，不僅要方便管理，而且還要注意水 平走線的距離等問題。我們根據(jù)河北河北工業(yè)職業(yè)技術學院的設計圖紙和 招標要求，認為弱電井的設置可以滿足系統(tǒng)的需要。4. 信息點的設置數(shù)據(jù)信息點的設計部分，我司認為，考慮到河北工業(yè)職業(yè)技術學院的 系統(tǒng)的要求，數(shù)據(jù)插座全部采用六類非屏蔽信息模塊，采用國際標準86 型預埋盒安裝，采用雙孔、單孔或四孔信息面板，光纖到機柜，采用或者接 口模塊安裝。5. 管理間的設置管理間設置各樓層，負責樓層信息點的配線管理，連接主干光纜以和 水平光纜的配線架，總體設計思路如圖 7主區(qū)了系統(tǒng)價f系統(tǒng)水半?yún)^(qū)子系班圖7管理間的設置五校園綜合網(wǎng)絡安全1

18、. 服務器的安全配置信息安全風險分析隨著網(wǎng)絡急劇擴大和上網(wǎng)用戶迅速增加，風險變得 更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他 系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對安全政 策的認識不足，這些風險正日益嚴重，信息安全可以從以下幾個方面來理 解：(1) 安全需求與目標針對信息系統(tǒng)所面臨的安全分析，通過可能造系統(tǒng)安全的五個部分， 如何進行有效的防范，需從五方面進行：針對管理級安全：須建立一套完整可行的信息安全管理制度，通過 有效的系統(tǒng)管理工具，實現(xiàn)系統(tǒng)的安全運行管理與維護；對應用級安全：須加強網(wǎng)絡防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、 數(shù)據(jù)加密、身份認證等，通

19、過一系列信息安全軟硬件設備建設安全防護體 系；針對系統(tǒng)級安全：須加強對服務器、操作系統(tǒng)、數(shù)據(jù)庫的運行監(jiān)測， 加強系統(tǒng)補丁的管理，通過雙機(或兩套系統(tǒng))的形式保證核心系統(tǒng)運行， 當發(fā)生故障時，能和時的提供備用系統(tǒng)和恢復；針對網(wǎng)絡級安全：須保證網(wǎng)絡設備、網(wǎng)絡線路的運行穩(wěn)定，對核心 層的網(wǎng)絡設備和線路提供雙路的冗余；針對物理級安全：須保證數(shù)據(jù)的安全和系統(tǒng)的和時恢復，加強數(shù)據(jù) 的遠程異地備份和系統(tǒng)的異地容災。(2) 全面的信息網(wǎng)絡安全體系設計區(qū)分內(nèi)外網(wǎng)，力口強內(nèi)部網(wǎng)絡的安全防護：找到網(wǎng)絡的對外接口 (互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關聯(lián)單位等其它非信任 網(wǎng)絡)，在對外網(wǎng)絡的接口處安裝防火

20、墻系統(tǒng)，通過防火墻實現(xiàn)內(nèi)外網(wǎng)的隔 離，保證內(nèi)部網(wǎng)絡的安全。通過防火墻實現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為； 通過防火墻驗證訪問內(nèi)部的用戶身份、訪問權限等；通過入侵防護檢測訪問者的訪問行為；因為數(shù)據(jù)在網(wǎng)絡上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進行加密，可以通過防火墻的模塊或 專用的設備建立通道。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標，市場上的防火墻根據(jù)架構的不同，可分為三大 類：芯片、架構、傳統(tǒng)的X86架構，芯片級的防火墻把大部分處理通過芯 片來完成，不再占用資源，具有更好的處理性能。建立多層次、全方面的防病毒系統(tǒng)1、根據(jù)病毒寄存的環(huán)境，在所有服務器和客

21、戶機上安裝網(wǎng)絡版防毒系統(tǒng) 2、根據(jù)病毒傳播的途徑，在網(wǎng) 關處安裝網(wǎng)關防毒網(wǎng)關，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時進行有效的 病毒防護3、在內(nèi)部交換層，通過硬件的網(wǎng)絡防毒墻對網(wǎng)絡中的數(shù)據(jù)包進 行檢測，有效的進行網(wǎng)絡層病毒、蠕蟲、惡意攻擊行為的防護，保護內(nèi)部 網(wǎng)絡的穩(wěn)定與暢通。 單機的問題并不能對網(wǎng)絡造成嚴重的問題，網(wǎng)絡中斷 或癱瘓造成的損失是巨大的。加強核心網(wǎng)絡、核心應用的安全防護核心網(wǎng)絡、服務器群是一個網(wǎng)絡的中心部分，應更加注重安全的防范，為了防止來自外部和內(nèi)部的攻 擊，應在核心服務器群前安裝防火墻和入侵防護系統(tǒng)。重點加強核心系統(tǒng) 的安全防護；對操作系統(tǒng)和應用系統(tǒng)的漏洞和時的安裝補丁為防止核心系

22、統(tǒng)的運行出現(xiàn)固障，應對核心系統(tǒng)所在的網(wǎng)絡線路進行冗余設計，并 對交換機、路由器設備進行雙路冗余。同時，把安裝重要應用系統(tǒng)的服務 器進行雙機熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機進行存儲、備份、對于網(wǎng) 站系統(tǒng)，可以通過主頁防篡改系統(tǒng)、防攻擊系統(tǒng)加強對網(wǎng)站的防護2. 防病毒軟件和技術(1) 防病毒體系設計思路為了構建一個強壯、有效的防病毒體系，再分析了校園網(wǎng)絡架構和相 關應用之后，針對潛在的病毒傳播威脅，趨勢科技建議采用結合產(chǎn)品、防 御策略、服務為一體的防病毒體系。由于校園網(wǎng)防病毒管理具有明顯的地 域性，為了方便集中管理，需要有一套切實可行的集中管理機制，以方便 管理員實時掌控全市防病毒狀況。同時還要求

23、按分支機構進行權限分派管 理，不同分支機構的管理人員在中央控管體系中只能夠管理到本分支機構 范圍內(nèi)的防病毒軟件，包括防病毒策略設定、病毒碼和掃描引擎升級等。(2) 產(chǎn)品部署建議根據(jù)計算機網(wǎng)絡潛在的病毒威脅分析，結合趨勢科技全系列防毒產(chǎn)品 的特性，由點和面，全方位部署，徹底截斷病毒入侵的所有途徑。(3) 服務器防護趨勢科技防毒墻服務器版趨勢科技可以對2000、或網(wǎng)絡上的檔案 服務器，提供全面性的病毒防護。是通過直覺的、可攜式的主控臺來操作， 它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報告和防毒配 置等功能。策略：防毒軟件可通過單一的主控臺來管理；安裝時可以依照網(wǎng)域分 組，同時替多部服務

24、器進行安裝；利用集中式報表，管理人員可以監(jiān)看整 個網(wǎng)絡的狀態(tài)；通過，管理人員可以輕松地完成各種病毒維護工作，例如 設定掃毒模式、更新病毒碼和程序、編輯病毒報告，以和設定實時掃描的 參數(shù)等。自動下載和分發(fā)病毒碼、掃毒引擎和程序文件；支持和等；網(wǎng)絡層防病毒，產(chǎn)品簡介：是基于網(wǎng)絡層，針對企業(yè)網(wǎng)絡內(nèi)網(wǎng)安全管理的設備?？蓞f(xié)助公司 企業(yè)防止病毒攻擊，在爆發(fā)病毒疫情時隔絕高危險的網(wǎng)絡脆弱環(huán)節(jié)，在網(wǎng) 絡層部署由趨勢科技提供的安全防御策略，并能在缺乏防毒保護的設備等 潛在感染源連接網(wǎng)絡時，予以隔離和清除。不同于只監(jiān)測安全威脅或提供 信息的安全解決方案，協(xié)助企業(yè)米取準確、快速的安全措施，并且主動偵測、預防圍堵與進

25、行善后清理。當企業(yè)在網(wǎng)絡的各網(wǎng)段之間部署之后，即可大幅降低安全威脅、網(wǎng)絡宕機時間以疫情管理的負擔。同時，支持趨勢科技的企業(yè)安全防護策略()。(4) 提供以下主要功能：防止欺騙主動免疫，識別攻擊者發(fā)送的欺騙包，并阻止發(fā)送被動防護，保護終端免受欺騙包影響網(wǎng)絡流量偵測與網(wǎng)絡病毒過濾在網(wǎng)絡層清除帶毒數(shù)據(jù)包；分析網(wǎng)絡數(shù)據(jù)流量，定位可疑計算機；使 用智能型規(guī)則，提供關于網(wǎng)絡病毒疫情的早期預警信息隔離薄弱環(huán)節(jié)偵測帶有安全漏洞的計算機，預防病毒利用網(wǎng)絡上的薄弱環(huán)節(jié)入侵；爆發(fā)病毒疫情時，阻止未安裝相關補丁程序的計算機訪問網(wǎng)絡資源強制實施安全策略隔離特定地址段3. 防火墻的配置安裝位置：局域網(wǎng)與路由器之間；服務器

26、與托管機房局域網(wǎng)之間；(1)局域網(wǎng)防火墻作用：實現(xiàn)單向訪問，允許局域網(wǎng)用戶訪問資源，但是嚴格限制用戶對局域 網(wǎng)資源的訪問；通過防火墻，將整個局域網(wǎng)劃分，區(qū)，內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開 的區(qū)域，有利于對整個網(wǎng)絡進行管理；局域網(wǎng)所有工作站和服務器處于防火墻地整體防護之下，只要通過防 火墻設置的修改，就能有限絕大部分防止來自 上的攻擊，網(wǎng)絡管理員只需 要關注區(qū)對外提供服務的相關應用的安全漏洞；通過防火墻的過濾規(guī)則，實現(xiàn)端口級控制，限制局域網(wǎng)用戶對的訪問；進行流量控制，確保重要業(yè)務對流量的要求；通過過濾規(guī)則，以時間為控制要素，限制大流量網(wǎng)絡應用在上班時間 的使用。通過防火墻的過濾規(guī)則，限制用戶對服務器

27、的訪問，將訪問權限控制 在最小的限度，在這種情況下網(wǎng)絡管理員可以忽略服務器系統(tǒng)的安全漏洞， 只需要關注應用服務軟件的安全漏洞；通過過濾規(guī)則，對遠程更新的時間、來源(通過地址)進行限制。4. 數(shù)據(jù)備份數(shù)據(jù)資源是一個單位的最為重要資源，一但數(shù)據(jù)丟失所造成的損失是 無法彌補的。因此必須加對數(shù)據(jù)的保存和備份。現(xiàn)在一般常用的數(shù)據(jù)保存 方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。 一般情況，可以通過磁帶機對磁盤陣列的數(shù)據(jù)進行再次備份 也可以通過另 一臺磁盤陣列進行數(shù)據(jù)的相互備份 通過專用的備份軟件實現(xiàn)對數(shù)據(jù)庫、 文件資源、應用系統(tǒng)和整個的應用服務系統(tǒng)進行備份并提供相應用恢復方 案為防止

28、地震、火災、雷電等自然災害，須將重要數(shù)據(jù)在異地進行備份， 如果系統(tǒng)的運行不能中斷，就需要在異地進行系統(tǒng)的容災5. 后期網(wǎng)絡維護與培訓在安全服務方案中，采用不同的安全服務，定期對網(wǎng)絡進行檢測、改 進，以達到動態(tài)增進網(wǎng)絡安全性，最大限度發(fā)揮安全設備作用的目的。安 全服務分為以下幾類：(1) 網(wǎng)絡拓撲分析服務對象：整個網(wǎng)絡服務周期：半年一次 服務內(nèi)容：根據(jù)網(wǎng)絡的實際情況，繪制網(wǎng)絡拓撲圖；分析網(wǎng)絡中存在 的安全缺陷并提出整改建議意見。服務作用：針對網(wǎng)絡的整體情況，進行總體、框架性分析。一方面， 通過網(wǎng)絡拓撲分析，能夠形成網(wǎng)絡整體拓撲圖，為網(wǎng)絡規(guī)劃、網(wǎng)絡日常管 理等管理行為提供必要的技術資料；另一方面，

29、通過整體的安全性分析， 能夠找出網(wǎng)絡設計上的安全缺陷，找到各種網(wǎng)絡設備在協(xié)同工作中可能產(chǎn) 生的安全問題。(2) 中心機房管理制度制定以和修改服務對象：中心機房服務周期：半年一次服務內(nèi)容：協(xié)助用戶制訂并修改機房管理制度。制度內(nèi)容涉和人員進出機房的登記制度、設備進出機房的登記制度、設備配置修改的登記制度服務作用：嚴格控制中心機房的人員進出、設備進出并和時登記設備 的配置更新情況，有助于網(wǎng)絡核心設備的監(jiān)控，確保網(wǎng)絡的正常運行。(3) 操作系統(tǒng)補丁升級 服務對象：服務器、工作站、終端 服務周期：不定期 服務內(nèi)容：一旦出現(xiàn)重大安全補丁，和時更新所有相關系統(tǒng)；出現(xiàn)大 型補丁(如微軟的) ，和時更新所有相關

30、系統(tǒng)；服務作用：通過和時、有效的補丁升級，能夠有效防止局域網(wǎng)主機和 服務器相互之間的攻擊，降低現(xiàn)代網(wǎng)絡蠕蟲病毒對網(wǎng)絡的整體影響，增加 網(wǎng)絡帶寬的有效利用率。(4) 防病毒軟件病毒庫定期升級 服務對象：防病毒服務器、安裝防病毒客戶端的終端 服務周期：每周一次服務內(nèi)容：防病毒服務器通過更新病毒庫；防病毒服務器強制所有在 線客戶端更新病毒庫；服務作用：通過不斷升級病毒庫確保防病毒軟件能夠和時發(fā)現(xiàn)新的病(5) 服務器定期掃描、加固 服務對象：服務器服務周期：半年一次 服務內(nèi)容：使用專用的掃描工具，在用戶網(wǎng)絡管理人員的配合，對主 要的服務器進行掃描。服務作用：找出對應服務器操作系統(tǒng)中存在的系統(tǒng)漏洞；找出服務器對應應用服 務中存在的系統(tǒng)漏洞；找出安全強度較低的用戶名和用戶密碼。(6) 防火墻日志備份、分析 服務對象