機場網(wǎng)絡(luò)規(guī)劃

廣州市白云機場網(wǎng)絡(luò)規(guī)劃方案北大明天資源PAGE第3頁來自中國最大的資料庫下載來自中國最大的資料庫下載第1頁廣州市白云機場網(wǎng)絡(luò)規(guī)劃 方案書 廣州XX發(fā)展有限公司2000-07目錄TOC\o"1-3"第一章系統(tǒng)設(shè)計原則和需求分析 41.1系統(tǒng)設(shè)計原則 41.2系統(tǒng)需求分析 5第二章系統(tǒng)總體設(shè)計 82.1網(wǎng)絡(luò)設(shè)計 82.1.1設(shè)計原則 8可靠性和穩(wěn)定性…………...可管理性………………………..超前性…………………………..網(wǎng)絡(luò)的拓展性………….……..網(wǎng)絡(luò)的開放性…………………網(wǎng)絡(luò)的靈活性…………………遵從INTERNET的技術(shù)要求………………..122.1.2網(wǎng)絡(luò)的體系結(jié)構(gòu) 122.1.3 設(shè)備選型 142.3網(wǎng)絡(luò)管理 14第三章服務(wù)器及操作系統(tǒng)平臺 163.1服務(wù)器選型原則 163.2應(yīng)用分析 173.2.1數(shù)據(jù)庫服務(wù)器 173.2.2WWW服務(wù)器 173.2.3PROXY服務(wù)器……………………….173.3服務(wù)器平臺 183.3.1服務(wù)器平臺比較 183.3.2HPLX性能分析 183.3.3配置描述 193.4操作系統(tǒng)平臺 19第四章安全技術(shù) 214.1系統(tǒng)安全 214.2網(wǎng)絡(luò)安全 224.3信息安全 234.4如何實現(xiàn)防火墻 24第五章系統(tǒng)實施 265.1服務(wù)器系統(tǒng)的規(guī)劃…………….265.2內(nèi)部網(wǎng)和直屬單位的連接……………………..265.3提供INTERNET用戶訪問…………………...265.4IP的規(guī)劃………………………27第六章技術(shù)培訓(xùn)與服務(wù) 27出自于www.參柒貳貳.cn中國最大的資料庫6.1培訓(xùn)計劃 296.1.1概述 296.1.2技術(shù)說明 296.1.3工作內(nèi)容 296.1.4工作過程： 296.2維護計劃 306.2.1概述 306.2.2技術(shù)說明： 306.2.3工作內(nèi)容 306.2.4工作過程 30附錄：公司簡介……………………….31第一章系統(tǒng)設(shè)計原則和需求分析1.1系統(tǒng)設(shè)計原則采用先進成熟的技術(shù)和設(shè)計思想，運用先進的集成技術(shù)路線，以先進、實用、開放、安全、使用方便和易于操作為原則，突出系統(tǒng)功能的實用性，盡快投入使用，發(fā)揮較好的效能。本系統(tǒng)在軟件配置和硬件設(shè)備，整個系統(tǒng)設(shè)計上依照以下原則確定。先進性世界上計算機技術(shù)的發(fā)展十分迅速，更新?lián)Q代周期越來越短。所以，選購設(shè)備要充分注意先進性，選擇硬件要預(yù)測到未來發(fā)展方向，選擇軟件要考慮開放性，工具性和軟件集成優(yōu)勢。網(wǎng)絡(luò)設(shè)計要考慮通信發(fā)展要求，因此，主要、關(guān)鍵設(shè)備以進口為主，但國內(nèi)能滿足要求的，盡量采用國產(chǎn)設(shè)備。實用性系統(tǒng)的設(shè)計既要在相當(dāng)長的時間內(nèi)保證其先進性，還應(yīng)本著實用的原則，在實用的基礎(chǔ)上追求先進性，使系統(tǒng)便于聯(lián)網(wǎng)，實現(xiàn)信息資源共享。易于維護管理，具有廣泛兼容性，同時為適應(yīng)我國實際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。安全性目前，計算機網(wǎng)絡(luò)都與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。因此，在系統(tǒng)方案設(shè)計需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求?？蓴U充性系統(tǒng)規(guī)模及檔次要易于擴展，可以方便地進行設(shè)備擴充和適應(yīng)工程的變化，以及靈活地進行軟件版本的更新和升級，保護用戶的投資。目前，網(wǎng)絡(luò)向多平臺、多協(xié)議、異種機、異構(gòu)型網(wǎng)絡(luò)共存方向發(fā)展，其目標(biāo)是將不同機器、不同操作系統(tǒng)、不同的網(wǎng)絡(luò)類型連成一個可協(xié)同工作的一個整體。所以所選網(wǎng)絡(luò)的通迅協(xié)議要符合國際標(biāo)準(zhǔn)，為將來系統(tǒng)的升級、擴展打下良好的基礎(chǔ)。靈活性采用結(jié)構(gòu)化、模塊化的設(shè)計形式，滿足系統(tǒng)及用戶各種不同的應(yīng)用要求，適應(yīng)業(yè)務(wù)調(diào)整變化。規(guī)范性采用的技術(shù)標(biāo)準(zhǔn)按照國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)與規(guī)范，保證系統(tǒng)的延續(xù)性和可靠性。系統(tǒng)性項目開發(fā)必須按照系統(tǒng)工程的管理方法，有計劃做實施。綜合性滿足系統(tǒng)目標(biāo)與功能目標(biāo)，總體方案設(shè)計合理，滿足用戶的應(yīng)用要求，便于系統(tǒng)維護，以及系統(tǒng)二次開發(fā)與移植。1.2系統(tǒng)需求分析計算機網(wǎng)絡(luò)的迅速發(fā)展和普及，改變了整個信息管理的面貌，使信息管理從以單個計算機為中心發(fā)展到以網(wǎng)絡(luò)為中心，并為計算機技術(shù)在工業(yè)、商業(yè)、教學(xué)、科研、管理等領(lǐng)域中的應(yīng)用提供了一個全新的網(wǎng)絡(luò)通信環(huán)境，也從根本上加強并促進了群體工作成員之間的信息交流、資源共享、科學(xué)計算、技術(shù)合作及有效管理等，進而推動了生產(chǎn)、管理、科研及教學(xué)事業(yè)的發(fā)展。企業(yè)的生產(chǎn)、經(jīng)營環(huán)境的改善，必須以現(xiàn)代化的集成生產(chǎn)管理系統(tǒng)和高度自動化的信息技術(shù)為依托，將企業(yè)的各個生產(chǎn)部門構(gòu)成一個有機的整體，而不是自動化程度很高的“孤島”的簡單疊加。目前，信息化程度已成為衡量一個國家、一個地區(qū)、一個單位綜合實力的重要標(biāo)志。黨中央和國務(wù)院對我國信息化工作非常重視，信息化建設(shè)已作為一項重要工作領(lǐng)導(dǎo)小組，并指出了“統(tǒng)籌規(guī)劃、聯(lián)合建設(shè)、統(tǒng)一標(biāo)準(zhǔn)、專項結(jié)合”的十六字指導(dǎo)方針。隨著信息化建設(shè)的不斷深入發(fā)展，原有人工管理方式已不能適應(yīng)現(xiàn)代管理需要。在以往的工作模式下，信息主要有業(yè)務(wù)員來傳遞，這種手工勞動不僅延緩了信息傳遞時間；而且，由于工作習(xí)慣的不同，文件具有不同的格式，經(jīng)過多次周轉(zhuǎn)，往往會造成信息失真，大大地影響了工作質(zhì)量。隨著企業(yè)規(guī)模的不斷發(fā)展和業(yè)務(wù)量的不斷增加，原有的工作方式已不能滿足現(xiàn)代辦公系統(tǒng)的需要。特別是對突發(fā)事件的處理能力。根據(jù)白云機場的實際情況，我公司將結(jié)合在網(wǎng)絡(luò)系統(tǒng)方面豐富的集成經(jīng)驗，采用先進的計算機及網(wǎng)絡(luò)設(shè)備，為白云機場建立起一套快速穩(wěn)定、技術(shù)成熟的網(wǎng)絡(luò)信息系統(tǒng)。 從目前來講，主要需求分為如下幾個方面：1、網(wǎng)絡(luò)系統(tǒng)中心在白云機場計算機信息管理中心。2、整個網(wǎng)絡(luò)采用先進的網(wǎng)絡(luò)結(jié)構(gòu)，以滿足傳輸、存儲和處理數(shù)據(jù)、出自于www.參柒貳貳.cn中國最大的資料庫等信息的需要。3、各應(yīng)用單位通過廣州市白云機場計算機信息中心和INTERNET接通。 4、滿足網(wǎng)上的集成辦公系統(tǒng)和電子商務(wù)業(yè)務(wù)系統(tǒng)的需求。 5、完整統(tǒng)一的系統(tǒng)管理平臺。本系統(tǒng)的需求特點 根據(jù)用戶的需求及應(yīng)用的特點，我們認(rèn)為本網(wǎng)絡(luò)系統(tǒng)具有如下特點：★網(wǎng)絡(luò)規(guī)模較大 本地網(wǎng)絡(luò)上的用戶多個,將來會進一步發(fā)展。因此，網(wǎng)絡(luò)的設(shè)計要留下充分的發(fā)展余地。比如，服務(wù)器及工作站的網(wǎng)絡(luò)傳輸速度要能夠適應(yīng)業(yè)務(wù)不斷增長的需要，網(wǎng)絡(luò)能夠支持將來電視會議及多媒體等新業(yè)務(wù)以適應(yīng)新應(yīng)用的需求。★先進性 廣州市白云機場網(wǎng)絡(luò)系統(tǒng)利用當(dāng)今計算機與通訊科學(xué)技術(shù)的先進成果，在一個高起點基礎(chǔ)上發(fā)展，保障系統(tǒng)具有較長的生命周期，使廣州市白云機場網(wǎng)絡(luò)系統(tǒng)不會落后于技術(shù)的發(fā)展，同時也不會造成資源浪費。不然，會極大地影響系統(tǒng)的進一步開拓?！镄阅芤筝^高 為了滿足各種工作站的應(yīng)用的要求，服務(wù)器的網(wǎng)絡(luò)接口應(yīng)該有比較高的吞吐能力。服務(wù)器的網(wǎng)絡(luò)傳輸速率要在100Mbps以上；工作站的網(wǎng)絡(luò)傳輸速率也應(yīng)該滿足一定的要求。而且，隨著業(yè)務(wù)的開展，對網(wǎng)絡(luò)傳輸速率的要求會不斷提高。因此，要求網(wǎng)絡(luò)設(shè)備應(yīng)具有比較高的容量，滿足系統(tǒng)發(fā)展的需要。而且，采用的網(wǎng)絡(luò)技術(shù)應(yīng)該提供多種速率的連接接口，滿足系統(tǒng)對服務(wù)器帶寬的要求。 ★高可靠性 網(wǎng)絡(luò)的可靠性要求高，采用容錯技術(shù)或設(shè)備級的備份保證網(wǎng)絡(luò)系統(tǒng)的正常工作?！飻U展性未來網(wǎng)絡(luò)上許多用戶對網(wǎng)絡(luò)帶寬有更高的要求，如網(wǎng)絡(luò)上的電子商務(wù)系統(tǒng)的應(yīng)用，都使這些用戶對網(wǎng)絡(luò)的帶寬有特殊的要，所以網(wǎng)絡(luò)要求提供這方面的擴展功能。

第二章系統(tǒng)總體設(shè)計2.1網(wǎng)絡(luò)設(shè)計2.1.1設(shè)計原則計算機網(wǎng)絡(luò)平臺是計算機應(yīng)用的基礎(chǔ)。建立一套安全可靠、先進穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)，可以保證各種應(yīng)用系統(tǒng)的正常進行以及白云機場內(nèi)部各種大型設(shè)計的運作。而且，通過Internet的連接功能，用戶可以訪問其它白云機場以及Internet等，或者在外地通過電話線進行遠(yuǎn)程辦公，提供了全新的辦公模式。通過信息交換和新聞瀏覽等加強各辦公處室之間的聯(lián)系和協(xié)作，提高辦公效率?？梢栽诰W(wǎng)上快速查尋到白云機場和社會發(fā)展的各種信息資料以及全國各地的各類信息。我們在設(shè)計白云機場網(wǎng)絡(luò)信息系統(tǒng)時，應(yīng)著重考慮以下原則：可靠性與穩(wěn)定性廣州市白云機場網(wǎng)絡(luò)信息系統(tǒng)對于保證設(shè)計院內(nèi)部的管理工作以及為各部門開展業(yè)務(wù)工作、進行高效、準(zhǔn)確的辦公決策提供信息服務(wù)具有重大的意義。從而，精確、不間斷的數(shù)據(jù)傳輸與存儲變得十分重要，既追求極高的可靠性又不能投入過大的資金，系統(tǒng)應(yīng)具有一定的容錯能力，主要表現(xiàn)在以下幾個方面：*局域網(wǎng)主干網(wǎng)絡(luò)設(shè)備（如：交換機及系統(tǒng)主服務(wù)器）應(yīng)配置不間斷電源（UPS），如資金允許的情況下可作主干設(shè)備的備份，即將所有計算機節(jié)點分別連接在不同的局域網(wǎng)主干設(shè)備上，主干設(shè)備之間采用高速連接，這樣即可以提高網(wǎng)絡(luò)的處理能力又可起到備份作用。通過以上分析，在廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)設(shè)計中，如果充分考慮了所選用服務(wù)器及網(wǎng)絡(luò)設(shè)備產(chǎn)品的性能、穩(wěn)定性、服務(wù)器及數(shù)據(jù)的備份、局域網(wǎng)主干設(shè)備及連接線路的備份等幾個方面的因素，則可以將廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)建成一個極為穩(wěn)定可靠的系統(tǒng)，保證應(yīng)用系統(tǒng)良好、穩(wěn)定的運行狀態(tài)。可管理性廣州白云機場信息系統(tǒng)的網(wǎng)絡(luò)具有面積大，網(wǎng)點多等特點，因此需要對網(wǎng)絡(luò)活動進行控制和管理。網(wǎng)絡(luò)管理員能夠在不改變系統(tǒng)運行的情況下對網(wǎng)絡(luò)進行調(diào)整，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。出自于www.參柒貳貳.cn中國最大的資料庫計算機網(wǎng)絡(luò)系統(tǒng)的管理功能一般包括五部分內(nèi)容：失效管理計算機網(wǎng)絡(luò)系統(tǒng)的失效管理是最基本的網(wǎng)絡(luò)管理功能，它負(fù)責(zé)檢測網(wǎng)絡(luò)中的各種故障，主要包括網(wǎng)絡(luò)結(jié)點和通信線路兩種故障。在大型計算機系統(tǒng)中，發(fā)現(xiàn)失效故障時，往往不能具體確定故障所在的具體位置。有時候，所發(fā)現(xiàn)的故障是隨機性的，需要經(jīng)過很長時間的跟蹤和分析，才能找到其產(chǎn)生的原因。這就需要有一個故障管理系統(tǒng)科學(xué)地管理網(wǎng)絡(luò)所發(fā)現(xiàn)的所有故障，具體記錄每一個故障的產(chǎn)生，跟蹤分析，以至最后確定并改正故障的全過程。因此，失效管理包括以下內(nèi)容：A發(fā)現(xiàn)問題B隔離問題C解決問題使用失效管理技術(shù)可以更快、更容易地發(fā)現(xiàn)并解決網(wǎng)絡(luò)故障。根據(jù)廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)的網(wǎng)絡(luò)分布特點，應(yīng)用失效性管理對于及時準(zhǔn)確的發(fā)現(xiàn)故障所在是非常必要的。配置管理一個計算機網(wǎng)絡(luò)系統(tǒng)是由多種多樣的設(shè)備連接而成，這些設(shè)備組成網(wǎng)絡(luò)的各種物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，這些結(jié)構(gòu)中的設(shè)備有許多參數(shù)、狀態(tài)和名字等至關(guān)重要的信息。另外，上述網(wǎng)絡(luò)設(shè)備及其互連和互操作的信息可能是經(jīng)常變化的，這就需要有一個全網(wǎng)的設(shè)備配置管理系統(tǒng)，統(tǒng)一科學(xué)地管理上述信息，以便利用這些信息使網(wǎng)絡(luò)更有效地工作。性能管理一個計算機系統(tǒng)運行的性能如何，對于系統(tǒng)設(shè)計者來說是首先要考慮的問題。但是，由于網(wǎng)絡(luò)規(guī)模的龐大和影響網(wǎng)絡(luò)性能的不定因素太多。一般很難一下子設(shè)計出運行性能很好的大型網(wǎng)絡(luò)。提高網(wǎng)絡(luò)性能的一般方法是，先初步地設(shè)計并建設(shè)網(wǎng)絡(luò)，在網(wǎng)絡(luò)的運行過程中，對網(wǎng)絡(luò)性能進行靜態(tài)和動態(tài)統(tǒng)計分析，根據(jù)分析結(jié)果，對網(wǎng)絡(luò)配置和參數(shù)進行調(diào)查，逐步達(dá)到最佳。如果需要要做出調(diào)整較大時，就考慮擴充或重建網(wǎng)絡(luò)。性能管理在于對網(wǎng)絡(luò)硬件、軟件及介質(zhì)的性能測量。主要指標(biāo)包括整體的吞吐量、使用率、誤碼率和響應(yīng)時間等。利用這些性能數(shù)據(jù)，管理人員就可分析網(wǎng)絡(luò)瓶頸，調(diào)整網(wǎng)絡(luò)帶寬。記帳管理記帳管理記錄每個用戶及每群用戶對網(wǎng)絡(luò)資源的使用情況，使管理人員能及時調(diào)整資源分配，保證每個用戶的服務(wù)質(zhì)量；同時也禁止或許可某些用戶對特定資源的訪問。安全管理安全管理是對網(wǎng)絡(luò)信息訪問權(quán)限的控制過程，由于網(wǎng)絡(luò)上存在著敏感數(shù)據(jù)，為禁止非授權(quán)用戶對它的訪問，就要對網(wǎng)絡(luò)上的用戶進行一些訪問權(quán)限的設(shè)置，同時也要盡可能發(fā)現(xiàn)某些“黑客”，阻止對網(wǎng)絡(luò)資源的非法訪問及嘗試。廣州市政設(shè)計院網(wǎng)絡(luò)信息系統(tǒng)在建成以后，將通過Internet與國內(nèi)外同行進行交流等，因此，保證內(nèi)部保密信息的安全是網(wǎng)絡(luò)管理的重要部分。安全管理的功能涉及一個計算機系統(tǒng)的安全管理政策，根據(jù)這一政策設(shè)計和實現(xiàn)的網(wǎng)絡(luò)安全管理系統(tǒng)，可以管理網(wǎng)絡(luò)結(jié)構(gòu)的不同層次，從基本網(wǎng)絡(luò)訪問功能到網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能。超前性超前性和先進性是每一個計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)期望達(dá)到的目標(biāo)，但是隨著計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展，先進的、新的網(wǎng)絡(luò)技術(shù)面臨著技術(shù)和產(chǎn)品上不十分成熟的問題，而原有的成熟的網(wǎng)絡(luò)技術(shù)和產(chǎn)品又勢必被新的技術(shù)所取代，是采用原有的成熟的網(wǎng)絡(luò)技術(shù)而承擔(dān)投資保護的風(fēng)險，還是直接采用最新的技術(shù)而冒著產(chǎn)品不成熟、標(biāo)準(zhǔn)不統(tǒng)一的風(fēng)險是網(wǎng)絡(luò)設(shè)計人員一直所爭論的焦點；所謂網(wǎng)絡(luò)設(shè)計的超前性則是將網(wǎng)絡(luò)系統(tǒng)看成一個系統(tǒng)工程，不但要設(shè)計到它的產(chǎn)生還要設(shè)計它的發(fā)展和未來，將著眼點放在目前的應(yīng)用系統(tǒng)及現(xiàn)有的技術(shù)并考慮以最小的代價來適應(yīng)網(wǎng)絡(luò)技術(shù)的不斷的發(fā)展，使現(xiàn)有系統(tǒng)能夠與業(yè)務(wù)需求同步增長，在系統(tǒng)規(guī)模在急驟擴張中亦不需要重新進行系統(tǒng)規(guī)劃與設(shè)計。網(wǎng)絡(luò)的擴展性隨著Internet的不斷發(fā)展及網(wǎng)上應(yīng)用的不斷擴展，系統(tǒng)應(yīng)可以隨時增加網(wǎng)絡(luò)設(shè)備或模板來擴展整個網(wǎng)絡(luò)，例如在局域網(wǎng)中增加交換機設(shè)備與原有設(shè)備形成容錯連接擴展網(wǎng)絡(luò)性能；另外由于所選所有網(wǎng)絡(luò)產(chǎn)品應(yīng)都能夠支持從低到高多種通訊協(xié)議，用戶可以不增加任何投資，通過選擇通訊協(xié)議和通信速率來提高網(wǎng)絡(luò)傳輸速度，降低系統(tǒng)運行費用。另外，在用戶端應(yīng)選用可堆疊或模塊化產(chǎn)品具有很好的開放性，可以十分方便的擴充網(wǎng)絡(luò)的容量。網(wǎng)絡(luò)的開放性支持多種通訊協(xié)議所選擇的網(wǎng)絡(luò)設(shè)備應(yīng)支持多種網(wǎng)絡(luò)協(xié)議，局域網(wǎng)應(yīng)具備向未來網(wǎng)絡(luò)技術(shù)順利過渡連接的途徑，在廣域網(wǎng)上應(yīng)具備不增加任何投資實現(xiàn)X.25、DDN、FrameRelay、ISDN、E1等通訊協(xié)議的轉(zhuǎn)換和提升。支持多種傳輸介質(zhì)廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)是一個多協(xié)議、多介質(zhì)的網(wǎng)絡(luò)，一些部門原來已有自己的網(wǎng)絡(luò)。本網(wǎng)絡(luò)建成之后應(yīng)能將舊網(wǎng)絡(luò)接入，所以需支持如非屏蔽雙絞線(UTP)、光纖等多種傳輸介質(zhì).支持多種主機互連由于系統(tǒng)互連全部采用國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)層通訊協(xié)議TCP/IP，所以具有很好的出自于www.參柒貳貳.cn中國最大的資料庫開放性，因為所有的主機系統(tǒng)生產(chǎn)廠商都努力使自己的產(chǎn)品遵循TCP/IP標(biāo)準(zhǔn)，所以可以很方便的實現(xiàn)多種主機的互連。網(wǎng)絡(luò)的靈活性作為廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用環(huán)境，系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負(fù)載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡(luò)技術(shù)，整個網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡(luò)轉(zhuǎn)移到另一個網(wǎng)絡(luò)，可以跨越辦公室、辦公樓甚至城市，而無需任何硬件的改變，以適應(yīng)機構(gòu)的變化。同時也可以通過用戶及用戶組的改變來平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。廣州白云機場本系統(tǒng)中選擇的等交換機配合網(wǎng)絡(luò)管理軟件，系統(tǒng)管理員可以方便靈活地配置管理網(wǎng)絡(luò)。遵從Internet的技術(shù)要求隨著Internet應(yīng)用的不斷普及，越來越多的信息交流是在Internet上實現(xiàn)，廣州市白云機場也將與國際Internet相連，實現(xiàn)同國內(nèi)外同行的信息交流，并為用戶提供遠(yuǎn)程服務(wù)，因此，在設(shè)計上除遵從前面的原則，還應(yīng)考慮以下兩個方面：開放性、標(biāo)準(zhǔn)化。開放性Internet的基本特點是其開放性，為此所選設(shè)備必須支持TCP/IP標(biāo)準(zhǔn)，與符合標(biāo)準(zhǔn)的設(shè)備之間具有良好的互操作性，并根據(jù)上級節(jié)點的統(tǒng)一規(guī)劃形成一個遵循統(tǒng)一標(biāo)準(zhǔn)的完全開放系統(tǒng)。標(biāo)準(zhǔn)化在統(tǒng)一網(wǎng)絡(luò)通信協(xié)議的前提下，應(yīng)盡量選用Internet上最通用的設(shè)備，以便于開展網(wǎng)絡(luò)軟件應(yīng)用，同時應(yīng)選擇常用設(shè)備型號，減少不必要的不同型號產(chǎn)品，以便于操作和維護。2.2網(wǎng)絡(luò)的體系結(jié)構(gòu)基于以上的設(shè)計原則，我們提出網(wǎng)絡(luò)的建設(shè)采用分布式的體系結(jié)構(gòu)。網(wǎng)絡(luò)的大體結(jié)構(gòu)可分為以下二級網(wǎng)絡(luò)結(jié)構(gòu)形式，即：中速網(wǎng)—快速交換Ethernet。通過一級交換機（CISCOCATALYST5000），可以使用100Base-FL或100Base-Tx，連接到各樓層的二級以太網(wǎng)交換機，到用戶桌面端口的速率為10Mbps，足以滿足業(yè)務(wù)應(yīng)用的需求。低速網(wǎng)—廣域網(wǎng)（WAN）。在廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)中，隨時通過廣域網(wǎng)直接與Internet等國內(nèi)外信息高速公路接軌快速以太網(wǎng)技術(shù)傳統(tǒng)10Mbps以太網(wǎng)的設(shè)計中數(shù)據(jù)傳輸速率受距離的制約，也就是給定的傳輸速率只能維持在一個給定的范圍之內(nèi)。發(fā)送的速率越大，數(shù)據(jù)傳送的有效距離也就越短，相反發(fā)送的速率越低，數(shù)據(jù)傳送的有效距離也就越大。因此有一種改進的方案就是可以把覆蓋幾公里的10Mbps的以太網(wǎng)的傳輸距離局限在幾百米范圍出自于www.參柒貳貳.cn中國最大的資料庫內(nèi)，而傳送速率提高到100Mbps，實現(xiàn)高速傳輸。這樣就相應(yīng)的出現(xiàn)了一種高速網(wǎng)絡(luò)解決方案─快速以太網(wǎng)，目前快速以太網(wǎng)基本包括100Base-TX與100Base-FL兩種技術(shù)形式，100Mbps快速以太網(wǎng)與10Mbps以太網(wǎng)的最初定義盡可能保持一致，并遵從傳統(tǒng)CSMA/CD的訪問控制協(xié)議，100Base-TX采用2對UTP—5雙絞線，或4對UTP—3雙絞線，而100Base-FL采用多模光纖作為傳輸介質(zhì)，網(wǎng)絡(luò)拓?fù)渑c10M以太網(wǎng)完全相同。目前，有許多種不同的100Base-X建議，其中有些建議借用了最初為FDDI開發(fā)的傳輸技術(shù)，以減少與這種技術(shù)相關(guān)的芯片開發(fā)?？焖僖蕴W(wǎng)在介質(zhì)訪問方法的簡化方面，和在建立服務(wù)器與聯(lián)網(wǎng)交換設(shè)備（例如：路由器或?qū)Ｓ靡蕴W(wǎng)交換機）之間的點到點鏈路通訊方面較其他網(wǎng)絡(luò)技術(shù)更具吸引力。快速以太網(wǎng)開發(fā)的主要技術(shù)障礙是CSMA/CD協(xié)議沖突檢測部分，而全雙工以太網(wǎng)則是在原有雙絞線傳輸系統(tǒng)的基礎(chǔ)上，在傳輸和接受方向上各自使用一對雙絞線，給以太網(wǎng)站點提供了各自獨立的傳輸和接受通道，這樣可以極大避免網(wǎng)絡(luò)沖突的產(chǎn)生提高網(wǎng)絡(luò)帶寬的利用率，也給快速以太網(wǎng)的發(fā)展掃清了障礙。采用快速以太網(wǎng)的優(yōu)勢是：*技術(shù)已經(jīng)十分成熟*目前現(xiàn)有網(wǎng)絡(luò)拓?fù)錈o需改變*目前網(wǎng)絡(luò)協(xié)議不需更改*價格較低*提供多媒體服務(wù)，容易向ATM、千兆以太網(wǎng)升級這也是目前應(yīng)用最廣泛的、產(chǎn)品最成熟的高速網(wǎng)絡(luò)技術(shù)，造價較低。因此，我們采用以太網(wǎng)技術(shù)作為廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)的主干網(wǎng)絡(luò)建設(shè)，利用其技術(shù)成熟，易擴展、維護的特點，同時也滿足了系統(tǒng)應(yīng)用的要求。廣州市白云機場網(wǎng)絡(luò)配置拓?fù)鋱D如下:出自于www.參柒貳貳.cn中國最大的資料庫設(shè)備選型2.2.1路由器選型網(wǎng)絡(luò)線路采用DDN，滿足了系統(tǒng)對實時性、多媒體服務(wù)的要求；每個接入端口采用以太網(wǎng)技術(shù)，充分利用了以太網(wǎng)技術(shù)靈活、快捷的特點，構(gòu)建系統(tǒng)桌面平臺。根據(jù)的路由器選型原則，我們決定選用以下網(wǎng)絡(luò)設(shè)備。我們選用了二臺CISCO公司的ROUTER2610作為系統(tǒng)的主路由器，連接到廣州市白云機場小學(xué)和廣州市白云機場機場中學(xué)。2.2.2其它網(wǎng)絡(luò)產(chǎn)品選型集線器（HUB）：CATALYST2924傳輸線：AT&T5類UTP雙絞線、塏裝8芯多模光纖出自于www.參柒貳貳.cn中國最大的資料庫2.3網(wǎng)絡(luò)管理廣州市白云機場網(wǎng)絡(luò)信息系統(tǒng)是一個設(shè)計機構(gòu)，為了優(yōu)化網(wǎng)絡(luò)傳輸，充分發(fā)揮網(wǎng)絡(luò)設(shè)備性能，對系統(tǒng)進行統(tǒng)一管理，我們選用了CISCO公司的功能強大的網(wǎng)絡(luò)管理軟件CiscoWorksWindows5.0，它具有完善的SNMP管理能力。包括設(shè)置、性能和容錯管理功能。Cisco通過重點開發(fā)基于Internet的體系結(jié)構(gòu)的優(yōu)勢，提供更大的可訪問性以及簡化網(wǎng)絡(luò)管理工具、任務(wù)和進程，正在改變傳統(tǒng)的網(wǎng)絡(luò)管理。Cisco的網(wǎng)絡(luò)管理策略-AssuredNetworkServices引導(dǎo)著網(wǎng)絡(luò)管理從傳統(tǒng)應(yīng)用程序轉(zhuǎn)向具備下列特征的基于Web的模型：基于標(biāo)準(zhǔn)簡化工具、任務(wù)和進程與NMS平臺和一般管理產(chǎn)品的Web級集成能夠為管理路由器、交換機和訪問服務(wù)器提供端到端解決方案通過將發(fā)現(xiàn)的設(shè)備知識與CCO和第三方應(yīng)用知識集成，創(chuàng)建一個管理內(nèi)部網(wǎng)CiscoWorksWindows是一個適合中小企業(yè)網(wǎng)絡(luò)的全面網(wǎng)絡(luò)管理解決方案。該經(jīng)濟有效而又易于學(xué)習(xí)的產(chǎn)品為管理基于Cisco的交換機、路由器、集線器和訪問服務(wù)器網(wǎng)絡(luò)提供一系列強大的監(jiān)控和配置工具。通過使用Ipswitch的WhatsUpGold，您還可以監(jiān)控打印機、工作站、服務(wù)器和重要的網(wǎng)絡(luò)服務(wù)。CiscoWorksWindows5.0含有下列組件：CiscoView5.0版-提供Cisco設(shè)備的圖形后視圖和前視圖；動態(tài)的色標(biāo)圖形顯示簡化了設(shè)備狀態(tài)監(jiān)控；特定設(shè)備的組件診斷、設(shè)備配置和應(yīng)用發(fā)布。Ipswitch公司的WhatsUpGold4.05版-提供網(wǎng)絡(luò)發(fā)現(xiàn)、映象、監(jiān)控和報警跟蹤。閾值管理器-增強了在CiscoRMON啟動的設(shè)備上設(shè)定閾值的能力，降低了管理開銷，改進了故障診斷功能。StackMaker-允許用戶將特定類型的多個Cisco設(shè)備結(jié)合在單個堆疊中，并在單個窗口中可視地管理它們。顯示命令-顯示詳細(xì)的路由器系統(tǒng)和協(xié)議信息，而無需用戶記住復(fù)雜的CiscoIOS命令行語言和語法。第三章服務(wù)器及操作系統(tǒng)平臺服務(wù)器作為各種應(yīng)用的平臺，它為用戶提供了各種辦公自動化以及Internet/Intranet服務(wù)。而且，作為C/N結(jié)構(gòu)的核心，它既是一個完備的數(shù)據(jù)中心，還是一個全面的管理中心。為了提供給用戶功能強大的Intranet服務(wù)，實現(xiàn)Internet和Intranet的互連，實現(xiàn)信息的高度共享和信息的不斷更新。在廣州市白云機場絡(luò)信息系統(tǒng)的建設(shè)中除了數(shù)據(jù)庫服務(wù)器之外，我們還配置了功能完備的WWW服務(wù)器。如何選擇最佳的服務(wù)器配置方案、最大程度地發(fā)揮服務(wù)器的性能特點是一個網(wǎng)絡(luò)系統(tǒng)建設(shè)成敗的關(guān)鍵。3.1服務(wù)器選型原則服務(wù)器的選型主要依據(jù)系統(tǒng)規(guī)模的大小，重點有以下幾方面：1)多臺服務(wù)器并行處理，提高了系統(tǒng)的運行和響應(yīng)速度；2)所支持的網(wǎng)絡(luò)工作站數(shù)量3)所處理的數(shù)據(jù)總量4)對網(wǎng)絡(luò)及軟件的要求5)對速度的要求6)系統(tǒng)管理的要求7)應(yīng)用支持的要求8)擴展性要求9)產(chǎn)品性能穩(wěn)定，經(jīng)過市場長期的考驗10)能支持多種通訊協(xié)議，具有異種機互連的能力11)具有很高的安全性12)具有眾多軟件系統(tǒng)開發(fā)商的支持13)具有簡單的升級方案14)簡易的管理及維護操作15)系統(tǒng)的開放性16)系統(tǒng)的性能/價格比17)生產(chǎn)廠商的技術(shù)支持3.2應(yīng)用分析3.2.1數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器作為系統(tǒng)的最基本的數(shù)據(jù)之源，必須具有優(yōu)秀的性能、高度的可靠性、良好的穩(wěn)定性、海量的存儲能力以及高度的容錯性，要無條件地保證數(shù)據(jù)的完整性和系統(tǒng)的長期可靠地運行。3.2.2WWW服務(wù)器WWW服務(wù)器是用來向外界用戶提供信息資源的窗口，企業(yè)可以在這里發(fā)布新聞、介紹企業(yè)動態(tài)以及提供最新信息等，用戶可以通過服務(wù)器提供的超文本信息來獲取有用的資料；同時，通過Internet的互連作用，可以宣傳企業(yè)形象，提供企業(yè)聲譽和影響。作為企業(yè)對外的窗口，WWW服務(wù)器要求具有較強的適時性和穩(wěn)定性。3.2.PROXY服務(wù)器是用來作為用戶訪問INTERNET的出入口，可以通過PROXY服務(wù)器的管理、控制用戶對INTERNET的訪問。3.2.EXCHANG服務(wù)器用來做為公司內(nèi)、外網(wǎng)絡(luò)使用的郵件服務(wù)器。3.2.托管服務(wù)器主要為今后的網(wǎng)站發(fā)展而建立3.3服務(wù)器平臺3.3.1服務(wù)器平臺比較目前，在應(yīng)用業(yè)務(wù)方面存在著兩種典型的服務(wù)器配置平臺：微機服務(wù)器（采用NT操作系統(tǒng)）和小型機（采用Unix操作系統(tǒng)）。它們在性能、價格方面分別具有自己的優(yōu)勢和特點。首先，在硬件方面，高檔微機服務(wù)器一般都采用Intel公司的奔騰系列處理器，產(chǎn)品更新速度較快，內(nèi)部結(jié)構(gòu)簡單，易于維護管理。Unix小型機采用精減指令集計算（RISC）處理器，浮點運算能力較強，擴展性好，能支持較多的外部設(shè)備，適合于大型的企業(yè)級應(yīng)用。但近年來隨著計算機技術(shù)的迅速發(fā)展，微機服務(wù)器在性能和處理能力方面越來越先進，在許多應(yīng)用方面可以完全取代小型機。在操作系統(tǒng)方面，小型機都采用Unix操作系統(tǒng)，并行處理能力強，具有開放性特點。而微機服務(wù)器則采用Microsoft公司的WindowsNT作為操作系統(tǒng)，與Windows98具有相似的界面，操作直觀、簡單，適合用戶使用，管理、維護也比較方便。小型機在價格方面一般都比同檔次的微機服務(wù)器要高。根據(jù)目前服務(wù)器市場的廠商技術(shù)分析和廣州市白云機場的實際需求，建議選用HPNETSERVERLH6000實現(xiàn)WWW服務(wù)器.3.3.2HPLH6000性能分析HPLH6000是惠普公司推出的功能強大、可用性高的企業(yè)級服務(wù)器，具有六向?qū)ΨQ多處理（SMP）功能的PentiumIII處理器,能為繁忙的企業(yè)網(wǎng)絡(luò)提供無與倫比的性能,使用雙PCI成對總線,雙UltraSCSI控制器以及多達(dá)216GB的存儲量.它還具備RAID雙路與故障恢復(fù)啟動功能,使網(wǎng)絡(luò)保持運行狀態(tài)。它具有內(nèi)置擴充性，使廣州市白云機場信息網(wǎng)能根據(jù)需要優(yōu)化系統(tǒng)，并在以后逐漸擴充。1、可擴充的超級服務(wù)器性能：保證了廣州市白云機場未來的發(fā)展需求6路PentiumIII對稱多處理器（SMP）,能支持高達(dá)4GB的差錯校驗（ECC）存儲器；專用高速緩沖存儲器每個處理器512K/1GB；共有12個I/O插槽沒有一個是共享的；雙PCI對等總線實現(xiàn)全面最高值的I/O；12個熱交換拖架，能支持多達(dá)216GB的內(nèi)部存儲功能。2、最佳的系統(tǒng)開機時間和數(shù)據(jù)保護功能：保證了廣州市白云機場網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性具有能報告錯誤的ECC存儲器；容余風(fēng)扇以減低因風(fēng)扇故障而引起的故障時間；存儲洗滌以減低會造成系統(tǒng)發(fā)生故障的軟錯誤內(nèi)置自動服務(wù)器重新啟動（ASR）、溫度和電壓監(jiān)控附有SCSI底板的熱交換存儲子系統(tǒng)以實現(xiàn)內(nèi)部磁盤的雙工模塊化熱交換冗余供電減低由于供電故障所造成的系統(tǒng)故障時間3、系統(tǒng)管理工具：簡化了系統(tǒng)管理人員的服務(wù)器管理和維護工作HPNetServer導(dǎo)航器可引導(dǎo)CD-ROM光盤備有易于使用的工具以配置、安裝和管理HPNetServerLH6000。HPNetServer輔助服務(wù)器管理軟件可實現(xiàn)主動的警告提示及解決問題用于Windows網(wǎng)絡(luò)管理軟件的HPOpenView可實現(xiàn)網(wǎng)絡(luò)映像、報警管理和安全保護功能供選擇的HP遠(yuǎn)程輔助卡可讓您從遠(yuǎn)程進行系統(tǒng)診斷和環(huán)境監(jiān)控3.3.3配置描述根據(jù)目前服務(wù)器市場的廠商技術(shù)分析和廣州市白云機場的實際需求，我們在這次規(guī)劃中選用了一臺HPNETSEVERLH6000作為WWW服務(wù)器。我們?yōu)镠PNETSEVERLH6000服務(wù)器配置了三塊18GB的熱插拔SCSI硬盤，增加了265M的內(nèi)存，它們采用RAID冗余結(jié)構(gòu)，保護了數(shù)據(jù)的安全性。將來數(shù)據(jù)量增加時，HPNETSEVERLH6000服務(wù)器還可以再配置塊內(nèi)置硬盤，完全滿足了系統(tǒng)今后的存儲要求。為了保證服務(wù)器數(shù)據(jù)的安全性，防止系統(tǒng)遭受意外打擊所造成的毀滅性破壞，我們?yōu)榉?wù)器配置了一塊磁盤陣列卡。這樣，我們可以建立不同等級的RAID冗余方式，當(dāng)服務(wù)器中任何一塊磁盤發(fā)生物理故障或其中任何一塊數(shù)據(jù)被毀壞時，都可以通過RAID方式提供的校驗位和冗余信息對被毀壞的數(shù)據(jù)進行恢復(fù)。3.4操作系統(tǒng)平臺操作系統(tǒng)選用WindowsNT4.0中文版，它操作與管理都非常簡便，支持范圍廣泛的重要商務(wù)應(yīng)用程序和一系列豐富的開發(fā)工具。是一個真正的32位的操作系統(tǒng)，是PC服務(wù)器操作系統(tǒng)平臺的最佳選型，它具有如下優(yōu)點：高性能的客戶服務(wù)器應(yīng)用平臺網(wǎng)絡(luò)平臺管理工具TCP/IP服務(wù)主機連接遠(yuǎn)程訪問服務(wù)快速、簡易安裝與配置高的安全性高容錯性多種備份目錄服務(wù)支持多種文件系統(tǒng)

第四章安全技術(shù)由于廣州白云機場連入Internet，為用戶提供各種信息服務(wù)。資源共享和開放是Internet特點，所以Internet的安全機制很松散；而廣州白云機場網(wǎng)絡(luò)信息系統(tǒng)要求有較高的安全性，其內(nèi)部的許多數(shù)據(jù)和文件嚴(yán)禁未經(jīng)授權(quán)的訪問。因此，設(shè)計與開發(fā)保證內(nèi)部各種信息的安全機制是實現(xiàn)該網(wǎng)絡(luò)順利運行的關(guān)鍵。Internet上的安全技術(shù)可分為三部分：系統(tǒng)安全、信息安全和網(wǎng)絡(luò)安全。4.1系統(tǒng)安全系統(tǒng)安全保證一個主機系統(tǒng)的安全，主要包括主機系統(tǒng)的密碼安全、重要服務(wù)器如SendMail、FTP和數(shù)據(jù)庫等大型應(yīng)用系統(tǒng)的安全。本建議在主機系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的選型上，已經(jīng)充分考慮了系統(tǒng)的安全性。另外，Internet上提供了很多實用的工具來加強系統(tǒng)的安全，比如Crack程序，它本是一個系統(tǒng)密碼的破譯工具，但可利用它來尋找系統(tǒng)上較脆弱的密碼；npasswd是一個經(jīng)過完善的系統(tǒng)工具，使用它可增加用戶密碼破譯的難度。系統(tǒng)越復(fù)雜，其缺點和漏洞就會越多，比如著名的蠕蟲病毒就利用了系統(tǒng)Sendmail程序的漏洞，為了加固大型應(yīng)用系統(tǒng)的安全，Internet上有很多專用的站點來發(fā)布這些系統(tǒng)的安全漏洞及bug，從而改進安全措施。系統(tǒng)安全性包括兩方面的內(nèi)容：系統(tǒng)運行安全性和數(shù)據(jù)信息安全性。其中，系統(tǒng)運行安全性主要指計算機、網(wǎng)絡(luò)設(shè)備的可靠性與穩(wěn)定性。設(shè)備可靠性在廣州市白云機場網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)中，我們分別采用了CISCO和HP公司的產(chǎn)品作為系統(tǒng)的網(wǎng)絡(luò)設(shè)備和應(yīng)用服務(wù)器。所選用的設(shè)備都是兩家公司的高可靠性產(chǎn)品之一，所有部件支持熱插拔功能，可以通過在線維修和硬軟件現(xiàn)場升級而不影響系統(tǒng)的正常運行。為了發(fā)揮網(wǎng)絡(luò)設(shè)備的最大性能，對整個系統(tǒng)進行有效的監(jiān)控和管理，我們選用了CISCO公司強大的網(wǎng)絡(luò)管理軟件CISCOWORKSWINDOWS，它具有發(fā)現(xiàn)并排除故障的功能，這也保證了系統(tǒng)的正常運行。數(shù)據(jù)信息安全性主要涉及一個計算機系統(tǒng)的安全管理政策，根據(jù)這一政策設(shè)計和實現(xiàn)的網(wǎng)絡(luò)安全管理系統(tǒng)，可以管理網(wǎng)絡(luò)結(jié)構(gòu)的不同層次，從基本網(wǎng)絡(luò)訪問功能到網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能。在廣州市白云機場網(wǎng)絡(luò)信息系統(tǒng)中，我們采用了六級安全機制：路由器級（包過濾）、硬件防火墻級、網(wǎng)管級、操作系統(tǒng)級、數(shù)據(jù)庫級、應(yīng)用級，涵蓋了從物理層到應(yīng)用層的所有范圍。路由器級第一道防火墻采用Cisco2610路由器實現(xiàn)包過濾，完成系統(tǒng)的訪問控制功能，屏蔽掉關(guān)鍵服務(wù)器的MAC地址，禁止外部對內(nèi)部某些重要主機的訪問，同時禁止內(nèi)部對外部某些站點或網(wǎng)絡(luò)的訪問。防火墻級系統(tǒng)采用Cisco公司的最新的防火墻產(chǎn)品PIX520，它是一種硬件解決方案。主要優(yōu)點在于，比其它防火墻方式更安全有效，而且，更好的支持多媒體信息的傳輸，使用與管理更方便。PIX具有雙以太網(wǎng)口（內(nèi)部網(wǎng)與DMZ各一個）；可組成虛擬專用網(wǎng)并加密；在防止非法侵入的同時還可有效的限制內(nèi)部對外的訪問。網(wǎng)管級利用CISCO公司CISCOWORKSWINDOWS的網(wǎng)管功能，劃分VLAN。可以將不同處室的終端分配到不同的網(wǎng)段上，在優(yōu)化網(wǎng)絡(luò)流量的同時，也限制了用戶對其它網(wǎng)段的訪問。操作系統(tǒng)級我們選用WindowsNT作為服務(wù)器操作系統(tǒng)，它采用了增強的安全措施，通過登陸認(rèn)證、用戶授權(quán)、信息加密等安全機制限制了用戶對關(guān)鍵數(shù)據(jù)的非法操作。數(shù)據(jù)庫級（ORACLE）ORACLE支持維護管理數(shù)據(jù)庫服務(wù)器、各種數(shù)據(jù)庫設(shè)備，對象(包括表)，用戶及擁有的權(quán)限等，建立具有不同訪問權(quán)限的多種類型的用戶組，并能對用戶進行分組授權(quán)。ORACLE完全滿足NCSC的C2級安全標(biāo)準(zhǔn)，并早已通過相應(yīng)的標(biāo)準(zhǔn)測試，在B1級的操作系統(tǒng)上，ORACLE早已提供滿足NCSC的B1級或ITSEC的ITSE。4.2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全的主要技術(shù)是防火墻技術(shù)（Firewall），防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。目前其實現(xiàn)方式有兩種，即基于包過濾（PacketFilter）的防火墻和基于代理（Proxy）的防火墻。包過濾型防火墻處在網(wǎng)絡(luò)層，根據(jù)IP包的包頭信息來對信息的訪問進行控制，而IP包的包頭主要包括以下信息：IP包的源地址、目的地址、包類型、端口號，因此包過濾型防火墻主要完成基于地址和端口的過濾功能?；诖淼姆阑饓Γ步袘?yīng)用層防火墻，處于應(yīng)用層，可對IP地址和發(fā)生在該IP地址上的具體應(yīng)用進行控制，由于它能識別應(yīng)用協(xié)議，因此可對應(yīng)用的整個過程進行控制，比如在應(yīng)用建立時的密碼驗證、在FIP應(yīng)用中允許某站點get而不允許put等等。這兩種防火墻各有優(yōu)缺點，包過濾型防火墻由于基于網(wǎng)絡(luò)層，因此對用戶來說比較透明，但它一般采用“沒被禁止的就是允許的”這一策略，在它失效時，網(wǎng)絡(luò)是暢通的，這時內(nèi)部網(wǎng)絡(luò)將失去安全的屏障，而應(yīng)用層防火墻采用“沒被允許的就是禁止的”這一策略，在它失效時，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)是隔離的，因此應(yīng)用層防火墻要比包過濾型防火墻安全。大多數(shù)路由器均支持包過濾功能，比如在Cisco路由器上可以通過設(shè)置稱為access-list的過濾規(guī)則來實現(xiàn)包過濾功能：禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的某些重要機器的訪問，禁止內(nèi)部網(wǎng)絡(luò)主機對Internet上部分站點的訪問；并可利用端口號來選擇控制的應(yīng)用協(xié)議，比如TELNET的端口號為23、FTP的端口號為21、WWW的端口號為80等，這樣就可以設(shè)置一些較復(fù)雜的規(guī)則，比如可以允許某臺機器對Internet具有Email訪問功能，卻不能利用WWW和FIP等。基于包過濾防火墻的商業(yè)產(chǎn)品主要有Sun公司的SunScreen和CheckPoint公司的Firewall-1，SunScreen在硬件上采用一個不帶顯示器的Sparc2工作站，并在其上插了四塊以太網(wǎng)卡，在軟件上利用改造過的、更安全的專用于防火墻的操作系統(tǒng)，SunScreen的四塊網(wǎng)卡均無IP地址，可實現(xiàn)兩路透明的橋接過濾功能，因此它相當(dāng)于一個黑盒子，用戶無法檢測到它的存在，同時SunScreen又是一個具有硬件加密功能的設(shè)備，可實現(xiàn)安全的私有網(wǎng)絡(luò)SVPN；Firewall-1也是基于包過濾的防火墻的產(chǎn)品，除了完成包過濾功能外，還具有對部分應(yīng)用協(xié)議的識別功能，比純包過濾產(chǎn)品更安全。此外，Internet上也有很多免費的包過濾軟件，比如基于PCDOS環(huán)境的Kbridge和Drawbridge等。Internet的安全代理服務(wù)器軟件主要分為兩種：一種直接利用原有TCP/IP應(yīng)用的客戶，比如Unix系統(tǒng)的telnet、ftp應(yīng)用等，在這種方式下，用戶想訪問Internet時，比須先登錄到代理所在的工作站上，然后才能訪問；另一種方式是利用與代理服務(wù)器配套的客戶軟件，這種方式在訪問Internet時不需先登錄到代理服務(wù)器軟件的典型代表分別是：TIS公司的FWTK（FireWallToolKit）和SOCKS。FWTK服務(wù)器由一組代理服務(wù)組成，包括FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等，由于FWTK軟件是一種應(yīng)用層的代理軟件，因此，對應(yīng)于每一個應(yīng)用都需要一個代理。FWTK軟件具有靈活的控制手段和詳細(xì)的記錄功能，它的源碼可在Internet上免費獲得。4.3信息安全信息安全是一項十分敏感的問題。由于Internet上有許多可用來做竊聽的工具，比如snuffer等，因此明文信息在Internet網(wǎng)上傳輸是不安全的。TCP/IP協(xié)議本身不提供任何信息安全方面措施，因此必須另外開發(fā)。目前，Internet上的信息加密有兩種途徑：基于IP層的信息加密和基于應(yīng)用層的信息加密，基于應(yīng)用層的信息加密是傳統(tǒng)的方法，用戶在發(fā)送信息前，利用加密工具先將信息加密，然后才發(fā)送出去，接收方可利用相應(yīng)的解密工具還原信息；基于IP的信息加密是Internet上的一種新技術(shù)，它對IP包進行加密，對于應(yīng)用層的用戶來說是透明的，用戶無需在傳送數(shù)據(jù)前進行加密，數(shù)據(jù)的安全是通過IP層自動實現(xiàn)的，但是這種應(yīng)用要求發(fā)送方和接收方采用同樣的技術(shù)、同樣的產(chǎn)品，目前已有采用這種技術(shù)的產(chǎn)品出現(xiàn)，比如Sun公司的防火墻SunScreen就具有此功能。利用基于IP包的信息加密技術(shù)可在Internet上實現(xiàn)安全的私有網(wǎng)絡(luò)SVPN（SecureVirtualPrivateNetwork）。信息加/解密技術(shù)可分為兩種體系，即單密鑰的加密體系和雙密鑰的加密體系，單密鑰的加密體系在加密和解密時采用相同的密鑰，如著名的加密算法DES；雙密鑰的加密方法又叫公開密鑰的加密方法，加密和解密時采用不同的密鑰，即公開密鑰和私人密鑰，如著名的RSA算法。這兩種加密體系在Internet都得到了不同的應(yīng)用。比如Unix系統(tǒng)的用戶密碼password就采用DES算法；而信息加解密工具PGP（PrettyGoodPrivacy）采用了公開密鑰的加密方法。PGP是1991年由美國學(xué)者菲利普·齊默爾曼率先提出的信息加密方案，廣泛應(yīng)用在電子郵件中。他把公開密鑰和分組密碼組織在一個系統(tǒng)之中，公開密鑰選用了RSA算法，分組密碼選用了IDEA算法。前者用于密鑰管理，后者用于信息加密。PGP的密碼長度可達(dá)512、1024或2048位。它除了可完成信息加密之外，還具有安全的數(shù)字簽名和身份驗證功能。4.4如何實現(xiàn)防火墻每一種不徹底公開的內(nèi)部網(wǎng)絡(luò)與Internet最大的區(qū)別是安全性，網(wǎng)絡(luò)建成后，內(nèi)部網(wǎng)與公共網(wǎng)之間將實現(xiàn)單向訪問控制，通過防火墻進行隔離。防火墻技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全的重要保證。它可分為兩種，即基于包過濾(PACKETFILTER)的網(wǎng)絡(luò)級防火墻和基于代理(PROXY)的應(yīng)用級防火墻。這兩種防火墻各有優(yōu)缺點，在一般的內(nèi)部網(wǎng)防火墻構(gòu)架中，綜合利用了這兩種技術(shù)，下面是整個防火墻系統(tǒng)的介紹：第一道防火墻采用CISCO路由器實現(xiàn)包過濾，完成訪問控制功能：禁止外部對內(nèi)部某些重要主機的訪問，同時禁止內(nèi)部對外部某些站點或網(wǎng)絡(luò)的訪問。第二道防火墻采用一臺工作站來充當(dāng)代理服務(wù)器，實現(xiàn)內(nèi)部網(wǎng)對INTERNET的訪問，同時實現(xiàn)隔離功能，禁止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問。在外部網(wǎng)與內(nèi)部網(wǎng)之間為中間非軍事區(qū)(DMZ)，在這個區(qū)域里的主機與Internet直接相通，因此不用來存貯較敏感的數(shù)據(jù)，是一個過渡區(qū)域，由于代理服務(wù)器要求直接訪問INTERNET，因此代理服務(wù)器也放在這一區(qū)域。本公司防火墻方案是采用CISCO公司的最新的防火墻產(chǎn)品PIX520，它是一種硬件解決方案，主要優(yōu)點在于，比其它防火墻方式更安全有效，而且，更好的支持多媒體信息的傳輸，使用與管理更方便。PIX具有雙以太網(wǎng)口（內(nèi)部網(wǎng)與DMZ各一個）；可組成虛擬專用網(wǎng)并加密；在防止非法侵入的同時還可有效的限制內(nèi)外問。

第五章系統(tǒng)實施5.1服務(wù)器系統(tǒng)的規(guī)劃廣州白云機場原先WWW服務(wù)器和PROXY服務(wù)器是在同一臺物理服務(wù)器上，現(xiàn)將WWW服務(wù)器和PROXY服務(wù)器分開，用HPNETSERVERLH6000做WWW服務(wù)器，原PROXY服務(wù)器保持不變。規(guī)劃后有WWW服務(wù)器、PROXY服務(wù)器、EMAIL服務(wù)器、數(shù)據(jù)庫服務(wù)器、托管服務(wù)器五臺獨立的服務(wù)器，分別連接到廣州白云機場計算機信息中心的中心交換機上。5.2內(nèi)部網(wǎng)和直屬單位的連接通過CISCO路由器與直屬單位進行信息交流，把內(nèi)部網(wǎng)與直屬單位的內(nèi)部網(wǎng)絡(luò)（LAN）連接起來。分別通過一臺CISCO路由器2610走DDN把廣州市白云機場中學(xué)、廣州市白云機場小學(xué)連接到廣州市白云機場計算機信息中心5.3提供Internet用戶訪問使用DDN專線把廣州市白云機場小學(xué)、廣州市白云機場中學(xué)連接到廣州市白云機場計算機信息中心，廣州市白云機場小學(xué)、廣州市白云機場中學(xué)通過廣州市白云機場計算機信息中心的PROXY服務(wù)器接入Internet，廣州市白云機場小學(xué)、廣州市白云機場中學(xué)主要用戶還可以查詢市白云機場計算機信息中心主頁信息及電子商務(wù)等在內(nèi)的主頁內(nèi)容。5.4IP的規(guī)劃1．使用一個內(nèi)部的A類地址：；使用相同的自然掩碼內(nèi)部用戶用DHCP進行IP分配。DHCP：0—542．機場小學(xué)的IP分配：55使用相同的自然掩碼3．機場中學(xué)的IP分配：55使用相同的自然掩碼4．通過PIX將映射內(nèi)部郵件服務(wù)器、WEB服務(wù)器成Internet地址；主機名IP地址子網(wǎng)掩碼備注DHCP服務(wù)器數(shù)據(jù)庫服務(wù)器信息中心ROUTER4WWW服務(wù)器6托管服務(wù)器7/68MAIL服務(wù)器0機場小學(xué)ROUTER機場小學(xué)終端/255機場中學(xué)ROUTER機場中學(xué)終端/2555.5網(wǎng)絡(luò)安全的實現(xiàn)連接Internet采用PIX作為防火墻，通過PIX的安全設(shè)置可使黑客無所作為，以保證內(nèi)部網(wǎng)絡(luò)不受Internet用戶的攻擊；內(nèi)部網(wǎng)絡(luò)之間的安全性，機場與各直屬單位之間通過路由器連接，限制一些應(yīng)用端口，過濾一些來自直屬單位的廣播包及IP包，保證機場網(wǎng)絡(luò)不受直屬單位網(wǎng)絡(luò)的影響；內(nèi)部用戶通過Proxy代理訪問Internet，可對IP用戶使用管理，時間進行控制，以達(dá)到Internet

訪問的整體控制效果。第六章技術(shù)培訓(xùn)與服務(wù)6.1培訓(xùn)計劃6.1.1概述北大明天資源科技公司對廣州白云機場的計算機操作人員進行技術(shù)培訓(xùn)，包括：網(wǎng)絡(luò)管理員，微機操作人員等，以保證網(wǎng)絡(luò)系統(tǒng)建成后，系統(tǒng)的正常運行、技術(shù)支持和維護的需要。6.1.2技術(shù)說明根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)的實際需要，廣州市白云機場接受培訓(xùn)的人員在北大明天資源科技公司技術(shù)人員的指導(dǎo)下，參加系統(tǒng)培訓(xùn)。培訓(xùn)內(nèi)容主要在服務(wù)器系統(tǒng)、計算機網(wǎng)絡(luò)系統(tǒng)與網(wǎng)絡(luò)管理等。受培訓(xùn)的人員在培訓(xùn)后應(yīng)能獨立完成相應(yīng)的技術(shù)工作，并能達(dá)到回本單位后繼續(xù)作培訓(xùn)的能力。6.1.3工作內(nèi)容制定技術(shù)培訓(xùn)計劃。安排和協(xié)調(diào)各種技術(shù)培訓(xùn)。6.1.4工作過程：培訓(xùn)地點：北大明天資源科技公司、廣州白云機場參加人員：網(wǎng)絡(luò)系統(tǒng)管理員與微機操作人員。工作方式：現(xiàn)場培訓(xùn)6.2維護計劃6.2.1概述北大明天資源科技公司對網(wǎng)絡(luò)系統(tǒng)的設(shè)備及第三方軟件實行一年的免費維護，并對所有本系統(tǒng)涉及到的軟、硬件及計算機網(wǎng)絡(luò)提供技術(shù)維護與支持，以便及時排除系統(tǒng)可能發(fā)生的一切問題和故障。6.2.2技術(shù)說明：對廣州市白云機場網(wǎng)絡(luò)信息系統(tǒng)的設(shè)備及第三方軟件提供技術(shù)支持與維護。6.2.3工作內(nèi)容診斷故障并提交故障診斷報告。制定系統(tǒng)維護和故障恢復(fù)的實施計劃。管理、監(jiān)督維護計劃的實施。確認(rèn)維護工作完成并提交維護報告。6.2.4工作過程1、診斷故障并提交故障診斷報告根據(jù)網(wǎng)絡(luò)系統(tǒng)運行過程中出現(xiàn)的系統(tǒng)故障或其它異常情況，及時進行故障診斷，并提出故障診斷報告。故障診斷報告的主要內(nèi)容包括：故障現(xiàn)場情況記錄、故障的級別和緊急處理過程記錄等。2、制定系統(tǒng)維護和故障恢復(fù)的實施計劃根據(jù)提交的故障診斷報告，制定系統(tǒng)維護和故障恢復(fù)的實施計劃。按照制定的計劃實施系統(tǒng)維護工作。3、管理、監(jiān)督維護計劃的實施將處理系統(tǒng)維護工程管理和監(jiān)督工作組，全面負(fù)責(zé)管理和監(jiān)督系統(tǒng)維護工作實施過程，并根據(jù)系統(tǒng)維護實施的各個階段提交維護工作報告。4、確認(rèn)維護工作完成并提交維護報告在系統(tǒng)維護工作完成后，由系統(tǒng)維護人員提交系統(tǒng)維護工作報告，由廣州白云機場計院的技術(shù)人員對系統(tǒng)維護情況進行測試并予以確認(rèn)。5、提交成果每次系統(tǒng)維護工作完成后，都提交如下的報告、記錄等文檔等資料：故障診斷報告系統(tǒng)維護和故障恢復(fù)的實施計劃維護工作階段報告系統(tǒng)維護工作報告6、驗收根據(jù)故障診斷報告、系統(tǒng)維護和故障恢復(fù)的實施計劃、維護工作階段報告和系統(tǒng)維護工作報告，和廣州市白云機場的技術(shù)人員一起討論確定系統(tǒng)維護驗收測試計劃。并依此對系統(tǒng)進行測試驗收，并提交報告。7、維護經(jīng)費計算機系統(tǒng)、網(wǎng)絡(luò)設(shè)備及第三方軟件實行一年的免費維護。

附錄：公司簡介北大明天資源科技有限公司是北大資源集團麾下發(fā)展電子計算機及金融事業(yè)的專業(yè)骨干公司。公司成立于1993年，注冊資金一千萬元。具有雄厚的資本實力。北大明天資源公司融合了北京大學(xué)強大的高技術(shù)力量，薈萃了濟濟英才并以豐富的市場銷售經(jīng)驗和科學(xué)化的管理為依托，借助與美國DELL、HP和北大方正集團等國際知名企業(yè)的密切合作與支持，公司的實力迅速發(fā)展壯大，業(yè)務(wù)蓬勃發(fā)展，為廣大同行所矚目，并創(chuàng)造了良好的經(jīng)濟效益和社會效益。北大資源集團是北京大學(xué)創(chuàng)辦的高新技術(shù)企業(yè)，是集科技開發(fā)、房地產(chǎn)開發(fā)及金融于一體的綜合性集團公司。一貫秉承“開拓、實干、高效、奉獻(xiàn)”的理念，在短短的幾年里，實力不斷增強，現(xiàn)有各類資產(chǎn)五億多元。北大明天資源公司從無到有，由小到大，成績斐然。但我們從不滿足，因為我們知道：要做明天的強者，就必須嚴(yán)格的把握今日，把握自己。只有我們時刻視客戶的利益高于一切，只要我們永遠(yuǎn)有一種“點點滴滴求合理”的求本精神，先人一步開發(fā)明天的資源，在一個競爭日益增強的環(huán)境里，我們也能夠?qū)崿F(xiàn)自我的理想，從而將明天的科技資源奉獻(xiàn)于社會。公司強大的技術(shù)支持、可靠穩(wěn)定的質(zhì)量、完善的售后服務(wù)體系，贏得了廣大用戶的廣泛信賴。公司目前在天津、上海、重慶、哈爾濱、西安、南寧、廣州、武漢、杭州、鄭州、石家莊、海口、烏魯木齊等全國十幾個城市建立了業(yè)務(wù)網(wǎng)點，并在多數(shù)地區(qū)設(shè)有分支機構(gòu)。公司經(jīng)營內(nèi)容：計算機網(wǎng)絡(luò)工程與通信工程公司從事計算機網(wǎng)絡(luò)與通訊技術(shù)的研究與開發(fā)，跟蹤國際水平，同時立足國內(nèi)，規(guī)劃、設(shè)計并完成了多個大型網(wǎng)絡(luò)計算機工程。已完成的網(wǎng)絡(luò)系統(tǒng)包括郵電、金融證卷、軍隊、公安、電力、建材、石化等各個領(lǐng)域。如：中國工商報的全國綜合業(yè)務(wù)網(wǎng)、河北省教育廳全省聯(lián)網(wǎng)、福建省水利廳自動化系統(tǒng)、天津茶葉公司全市業(yè)務(wù)網(wǎng)、全軍100多所院校的圖書館信息檢索系統(tǒng)、貴州省郵電局的全省DDN網(wǎng)、廣州城市建設(shè)開發(fā)集團公司的物業(yè)管理系統(tǒng)、廣州煤氣公司油脂氣廠生產(chǎn)管理系統(tǒng)、柳州軍分區(qū)軍事指揮自動化系統(tǒng)、正在參與建設(shè)實施的全軍信息高速公路。硬件及軟件的銷售主要經(jīng)營美國原裝微機、服務(wù)器和方正電腦等高品質(zhì)系列微機，已成為美國DELL公司中國總代理，美國HP、美國IBM公司的特約代理商，北大方正集團合作伙伴及方正電腦特約代理；良好的市場營銷能力，使得公司在各大名牌微機的銷售上取得了廠商的極大支持，從而進一步提高了公司產(chǎn)品在市場上的占有率。軟件開發(fā)及應(yīng)用與北大方正公司、美國大英百科全書、美國Virgin互動娛樂國際公司建立了密切的業(yè)務(wù)及代理關(guān)系。并成立了自己專門的多媒體軟件公司，該公司集娛樂軟件的銷售、多媒體軟件的制作、網(wǎng)絡(luò)工具的開發(fā)為一體，給北大明天資源公司的計算機業(yè)務(wù)注如入了新的生機。公司在計算機行業(yè)取得的良好成績，同時在金融界也樹立了較高的信譽，為公司在金融行業(yè)的投資打下了良好的基礎(chǔ)。目前正在應(yīng)用一些最先進的金融工具與金融手段進行投資，已取得了較好的經(jīng)濟效益。合作項目與軍隊行業(yè)。中國人民解放軍作為全世界最大的軍隊，其現(xiàn)代化裝備近幾年呈現(xiàn)一種飛躍發(fā)展的趨勢。北大明天資源公司通過近幾年的辛勤工作與不倦努力，在該行業(yè)中樹立了良好的信譽，建立了與海、陸、空、武警等各軍種間的密切合作關(guān)系。與郵電行業(yè)。北大明天資源公司所代理的加拿大Newbridged的DDN網(wǎng)絡(luò)產(chǎn)品在郵電行業(yè)也占據(jù)了一定的份額，在貴州省實施的DDN工程被評為省優(yōu)質(zhì)工程。與HP公司。作為HP中國行業(yè)總代理，北大明天資源公司在中國行業(yè)用戶創(chuàng)造的良好業(yè)績，為其與HP公司的合作建立了堅實的客戶基礎(chǔ)。HP公司杰出的企業(yè)形象、廣泛的產(chǎn)品類型、完善且良好的售后服務(wù)，把北大明天資源公司的業(yè)務(wù)推向了一個更高的進程，每年要把將近十億的HP產(chǎn)品推薦到中國的行業(yè)用戶中。美國HP公司的高層領(lǐng)導(dǎo)曾多次與北大明天資源公司的領(lǐng)導(dǎo)進行會晤，表示了對北大明天資源公司的極大信賴與支持。與DELL公司及IBM公司。市場需求的多元化，要求商家在競爭中有著極強的應(yīng)變及適應(yīng)能力。為了滿足集成項目中用戶對多元化產(chǎn)品的需求，北大明天資源公司與DELL、IBM等公司也建立了良好的代理合作關(guān)系，業(yè)已成為DELL公司在中國最大的代理商。與美國VIRGIN公司。計算機市場的擴大，帶來了應(yīng)用軟件市場的繁榮，為此，公司不僅成為美國VIRGIN公司的中國唯一總代理，而且在技術(shù)開發(fā)項目上與其合作，并取得了良好的成績。北大明天資源公司具備極強的客戶銷售能力。通過借助北京大學(xué)特有的人力、技術(shù)資源優(yōu)勢，在軍隊領(lǐng)域、郵電領(lǐng)域、政府領(lǐng)域進行著幾個大的合作項目，這些合作將為北大明天資源公司帶來良好的