網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

系統(tǒng)需求項目的弱電系統(tǒng)總體設(shè)計規(guī)定是“理念先進(jìn)、技術(shù)一流、經(jīng)濟(jì)實(shí)用和此后良好的擴(kuò)展性”，滿足顧客的特殊規(guī)定，到達(dá)國家建設(shè)部智能化建筑的甲級原則并通過驗收。項目中的計算機(jī)網(wǎng)絡(luò)系統(tǒng)將為建筑內(nèi)信息系統(tǒng)提供穩(wěn)定、可靠、安全的信息流通環(huán)境。網(wǎng)絡(luò)系統(tǒng)是xxxxx工程中的重要系統(tǒng)，它將作為多種應(yīng)用系統(tǒng)的系統(tǒng)溝通平臺，包括管理系統(tǒng)，業(yè)務(wù)系統(tǒng)等，因此網(wǎng)絡(luò)系統(tǒng)應(yīng)定位于提供高性能，高可靠的系統(tǒng)設(shè)計。設(shè)計原則可靠性xxxxx工程的信息應(yīng)用系統(tǒng)具有較高的可靠性規(guī)定，這決定了作為信息傳播平臺的網(wǎng)絡(luò)系統(tǒng)也具有高度的可靠性。高性能網(wǎng)絡(luò)中也許存在復(fù)雜多元的應(yīng)用系統(tǒng)，如多媒體應(yīng)用，辦公自動化，專業(yè)應(yīng)用等，對網(wǎng)絡(luò)的負(fù)載能力要較高規(guī)定?？蓴U(kuò)展性和可升級性目前xxxxx工程處在一期建設(shè)中，未來還將建設(shè)二級工程，網(wǎng)絡(luò)系統(tǒng)將逐漸擴(kuò)大，同步伴隨應(yīng)用系統(tǒng)的逐漸完善，網(wǎng)絡(luò)系統(tǒng)也將進(jìn)行對應(yīng)的擴(kuò)展和升級，因此網(wǎng)絡(luò)應(yīng)具有良好的可升級擴(kuò)展性。易管理、易維護(hù)xxxxx工程中網(wǎng)絡(luò)系統(tǒng)分布于多種建筑物中，同步網(wǎng)絡(luò)系統(tǒng)中承載的應(yīng)用系統(tǒng)重要性較高，因此網(wǎng)絡(luò)系統(tǒng)需具有良好的可管理性，減少維護(hù)成本，放患于未然，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行。安全性根據(jù)xxxxx工程業(yè)主的特殊定位，網(wǎng)絡(luò)規(guī)定有極高的安全性規(guī)定?？傮w設(shè)計主干技術(shù)選型選擇合理的網(wǎng)絡(luò)主干技術(shù)對一種大型網(wǎng)絡(luò)來說十分重要，它關(guān)系到網(wǎng)絡(luò)的服務(wù)品質(zhì)和可持續(xù)發(fā)展的特性。網(wǎng)絡(luò)主干包括主干網(wǎng)設(shè)備之間及其與匯聚點(diǎn)關(guān)鍵設(shè)備之間的連接。對于xxxxx工程，我們選擇采用千兆以太網(wǎng)GE技術(shù)、相對于其他寬帶主干技術(shù)，它和以太網(wǎng)，迅速以太網(wǎng)有更好的兼容性，在園區(qū)網(wǎng)規(guī)?；蛑行⌒统怯蚓W(wǎng)中具有最高的性能價格比。局域網(wǎng)構(gòu)造采用何種網(wǎng)絡(luò)構(gòu)造和建筑分布，應(yīng)用需求均有較大的關(guān)系。一般在大型網(wǎng)絡(luò)的設(shè)計中，網(wǎng)絡(luò)構(gòu)造分為三層，即關(guān)鍵、分布和接入層。關(guān)鍵層提供網(wǎng)絡(luò)的關(guān)鍵路由互換功能，分布層負(fù)責(zé)將接入層設(shè)備匯聚進(jìn)入關(guān)鍵層，接入層提供提供終端顧客的接入網(wǎng)絡(luò)。每個層次的網(wǎng)絡(luò)專注于其功能規(guī)定，使網(wǎng)絡(luò)設(shè)計模塊化，便于管理和擴(kuò)展。對于xxxxx工程，相對于園區(qū)網(wǎng)，網(wǎng)絡(luò)分布在較大范圍內(nèi)，包括信息中心/辦公區(qū)，科研辦公區(qū)，對外接待區(qū)，服務(wù)中心，生活設(shè)施區(qū)，輔助用房，休閑中心及未來得二期建筑。根據(jù)布線構(gòu)造，科研辦公區(qū)為一點(diǎn)數(shù)較大的單體建筑，將再設(shè)置兩級配線間，簡化了線纜構(gòu)造，對應(yīng)網(wǎng)絡(luò)構(gòu)造為二層構(gòu)造和三層構(gòu)造相結(jié)合的方式，即對于科研辦公區(qū)，通過關(guān)鍵互換機(jī)，分布層互換機(jī)，接入互換機(jī)三級構(gòu)造，而對于其他分派線間則通過關(guān)鍵互換機(jī)，接入互換機(jī)的二級構(gòu)造(見后圖)。根據(jù)xxxxx工程需求，網(wǎng)絡(luò)中包括內(nèi)網(wǎng)和外網(wǎng)，一般內(nèi)網(wǎng)中運(yùn)行業(yè)務(wù)系統(tǒng)，辦公自動化系統(tǒng)及專網(wǎng)應(yīng)用等，外網(wǎng)運(yùn)行互聯(lián)網(wǎng)應(yīng)用。業(yè)務(wù)系統(tǒng)具有較高的可靠性規(guī)定，因此網(wǎng)絡(luò)構(gòu)造上，內(nèi)網(wǎng)網(wǎng)絡(luò)主干需要更高的可靠性，內(nèi)網(wǎng)網(wǎng)絡(luò)關(guān)鍵采用了兩臺骨干互換機(jī)，分別和分布層互換機(jī)通過千兆光纖連接，從而形成了一種全網(wǎng)無單點(diǎn)故障的骨干網(wǎng)絡(luò)。而外網(wǎng)出于應(yīng)用需求和成本的考慮，可采用單骨干互換機(jī)的架構(gòu)，如下圖：廣域網(wǎng)連接廣域網(wǎng)方面一般包括互聯(lián)網(wǎng)接入和專網(wǎng)接入?；ヂ?lián)網(wǎng)接入提供對互聯(lián)網(wǎng)訪問，目前互聯(lián)網(wǎng)寬帶接入的方式有ADSL、CableModem、ATM、寬帶城域網(wǎng)等，ADSL和CableModem一般用作個人顧客或小型企業(yè)的寬帶接入，ATM需要專用接入設(shè)備，成本太高。而寬帶城域網(wǎng)是通過光纖由ISP處引入，通過轉(zhuǎn)換器轉(zhuǎn)為以太網(wǎng)口接入顧客設(shè)備，該種接入方式的接入帶寬可由運(yùn)行商端進(jìn)行精確而靈活的限速，符合了xxxxx工程伴隨應(yīng)用的發(fā)展逐漸增長互聯(lián)網(wǎng)接入帶寬的需求，在接入設(shè)備上也無需專用廣域網(wǎng)接入設(shè)備，可通過防火墻直接接入即可。專網(wǎng)連接用于和有關(guān)單位或企業(yè)的網(wǎng)絡(luò)連接，即Extranet。根據(jù)我方的工程經(jīng)驗和對專網(wǎng)互聯(lián)技術(shù)的理解，專網(wǎng)連接一般有DDN/FR(幀中繼)/ATM的專線連接、遠(yuǎn)程撥號連接以及構(gòu)建在公網(wǎng)上的VPN專網(wǎng)等多種方式，ATM方式價格較高；遠(yuǎn)程撥號連接由于速率較低，一般作為備份方式；而VPN通過公網(wǎng)傳播，存在一定的風(fēng)險性。因此綜合考慮，如租用運(yùn)行商線路，出于安全性的考慮，可采用通過DDN/FR電信專線的方式，或直接通過自建的內(nèi)部城域光纜網(wǎng)連接。由于連接了公網(wǎng)和外部專網(wǎng)，安全性是必須考慮的，為此需配置防火墻設(shè)備，防火墻提供了較一般網(wǎng)絡(luò)設(shè)備具有更完善的安全手段，提供了對內(nèi)外網(wǎng)隔離和防外部襲擊等特性。如網(wǎng)絡(luò)存在某些提供外部訪問的應(yīng)用，如專網(wǎng)業(yè)務(wù)應(yīng)用等，這些網(wǎng)段的安全性級別高于外網(wǎng)，但低于內(nèi)網(wǎng)，我們可將這些網(wǎng)段通過防火墻的第三個或第四個等網(wǎng)口接入，該區(qū)域被稱為DMZ區(qū)（非軍事區(qū)），DMZ區(qū)介于內(nèi)外網(wǎng)之間，可作為緩沖地帶，DMZ區(qū)的安全問題不會直接威脅到內(nèi)網(wǎng)。廣域網(wǎng)連接示意圖如下：網(wǎng)絡(luò)管理根據(jù)xxxxx工程的特點(diǎn)，我們認(rèn)為網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有如下特點(diǎn)：以應(yīng)用系統(tǒng)為導(dǎo)向，在最大程度上保證應(yīng)用系統(tǒng)運(yùn)行的高穩(wěn)定性。開放易用，在采用先進(jìn)技術(shù)同步不會增長業(yè)務(wù)運(yùn)行的人工維護(hù)成本。提供豐富的管理特性，滿足復(fù)雜網(wǎng)絡(luò)環(huán)境中的多方面管理需求。所提供的管理功能模塊盡量互相集成。網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)資源，如互換機(jī)的設(shè)備工作狀態(tài)、網(wǎng)絡(luò)性能、通訊延時等應(yīng)均可通過直觀的人機(jī)介面進(jìn)行監(jiān)控、管理。使網(wǎng)絡(luò)管理員不僅可以改正出現(xiàn)的問題，還可以發(fā)現(xiàn)潛在問題。因此我們認(rèn)為網(wǎng)管系統(tǒng)的重要功能應(yīng)包括拓?fù)涔芾?，故障管理，配置管理和性能管理等功能。信息安全管理根?jù)xxxxx工程的安全定位，信息安全管理是xxxxx工程中一種較重要的網(wǎng)絡(luò)應(yīng)用，它關(guān)系到網(wǎng)絡(luò)中多種重要數(shù)據(jù)，應(yīng)用的安全性，直接影響xxxxx工程的正常運(yùn)作。對于xxxxx工程，安全管理可以從如下幾方面考慮：網(wǎng)絡(luò)設(shè)備自身的安全性提供對網(wǎng)絡(luò)設(shè)備配置訪問的安全性，應(yīng)采用嚴(yán)格的顧客認(rèn)證訪問，安全的Telnet和SNMP機(jī)制等措施，保證網(wǎng)絡(luò)設(shè)備被安全訪問。網(wǎng)絡(luò)互換設(shè)備的安全方略根據(jù)應(yīng)用系統(tǒng)，顧客終端的分類和安全需求，通過劃分虛網(wǎng)，設(shè)置訪問控制權(quán)限，以及限制路由等方略，提供底層數(shù)據(jù)訪問的安全性。專用安全設(shè)備和系統(tǒng)除了網(wǎng)絡(luò)設(shè)備自身可以提供的安全性，還應(yīng)配置安全設(shè)備以提供專門的安全方略。防火墻防護(hù)重要提供不一樣網(wǎng)段間的訪問控制，應(yīng)用控制，實(shí)時防襲擊等能力，防火墻采用狀態(tài)檢測技術(shù)，可動態(tài)判斷流經(jīng)數(shù)據(jù)包的合法性，大大提高了訪問安全性。入侵檢測作為一種被動式安全防備，安全威脅可以來自內(nèi)部和外部，防火墻只能控制其他網(wǎng)段對安全網(wǎng)段的訪問，但對于內(nèi)部或少許通過了防火墻的襲擊訪問就無法控制，為此采用入侵檢測探測系統(tǒng)，實(shí)時監(jiān)測重要網(wǎng)段，重要服務(wù)器的訪問數(shù)據(jù)，一旦發(fā)現(xiàn)非法訪問和襲擊行為即發(fā)出警報，從而最迅速度的發(fā)現(xiàn)出現(xiàn)的安全問題。身份認(rèn)證等技術(shù)對于遠(yuǎn)程撥號或重要網(wǎng)段接入顧客，常規(guī)定通過身份認(rèn)證賦予接入權(quán)限，為此需提供專用的身份認(rèn)證服務(wù)器，提供基于Radius，TACAS+等一系列動態(tài)認(rèn)證服務(wù)。防病毒軟件和數(shù)據(jù)備份對于應(yīng)用級的數(shù)據(jù)安全，可配置防病毒軟件。為提供其易用性，可采用Server-Client架構(gòu)的防病毒軟件，由服務(wù)器自動向客戶端分發(fā)最新的防病毒代碼。網(wǎng)絡(luò)方案設(shè)計設(shè)計概述充足考慮了xxxxx項目的建筑構(gòu)造，現(xiàn)實(shí)狀況和發(fā)展前景，結(jié)合我企業(yè)豐富的工程經(jīng)驗，我們認(rèn)為其網(wǎng)絡(luò)系統(tǒng)的設(shè)計應(yīng)本著高原則，高性能，整體規(guī)劃，逐漸實(shí)行的原則進(jìn)行，網(wǎng)絡(luò)系統(tǒng)即能滿足相稱長時間內(nèi)的顧客需求，又可在未來根據(jù)應(yīng)用系統(tǒng)的發(fā)展和網(wǎng)絡(luò)規(guī)模的發(fā)展，輕松地進(jìn)行可靠性，性能，容量等多方面的擴(kuò)展和升級，從而為顧客提供性能價格比最佳，具有良好擴(kuò)展能力的網(wǎng)絡(luò)處理方案。本次建設(shè)中局域網(wǎng)部分采用了二級構(gòu)造設(shè)計。內(nèi)網(wǎng)部分，主干互換機(jī)采用兩臺高性能，高可靠性關(guān)鍵互換機(jī)，通過雙千兆鏈路連接接入層互換機(jī)，內(nèi)網(wǎng)通過路由器和電信運(yùn)行商的專線連接業(yè)務(wù)專網(wǎng)，并通過防火墻對網(wǎng)絡(luò)進(jìn)行安全隔離和防護(hù)。內(nèi)網(wǎng)還通過配置入侵檢測探測器提供對重要數(shù)據(jù)網(wǎng)段，如辦公自動化，業(yè)務(wù)用數(shù)據(jù)區(qū)提供特殊的安全監(jiān)控。外網(wǎng)部分，配置單臺關(guān)鍵互換機(jī)，通過千兆鏈路連接接入層互換機(jī)，并通過防火墻接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)拓?fù)錁?gòu)造如下圖：內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)渫饩W(wǎng)網(wǎng)絡(luò)拓?fù)潢P(guān)鍵互換機(jī)關(guān)鍵互換機(jī)肩負(fù)著全網(wǎng)的數(shù)據(jù)互換，其性能很大程度決定了整體網(wǎng)絡(luò)的性能，根據(jù)xxxxx工程的實(shí)際狀況，我們認(rèn)為關(guān)鍵互換機(jī)重要應(yīng)具有如下特點(diǎn)：可靠性關(guān)鍵互換機(jī)提供了全網(wǎng)數(shù)據(jù)的互換，其可靠性決定了整體網(wǎng)絡(luò)的穩(wěn)定和可靠。其可靠性應(yīng)體目前多方面，包括：物理層設(shè)計關(guān)鍵互換機(jī)應(yīng)具有關(guān)鍵部件的冗余，包括電源、風(fēng)扇、管理模塊等，放置部件的偶爾性故障導(dǎo)致的關(guān)鍵互換機(jī)，乃至全網(wǎng)故障；模塊應(yīng)具有熱拔插特性，保證故障處理時網(wǎng)絡(luò)服務(wù)的延續(xù)性；背板采用無源背板設(shè)計，深入加強(qiáng)系統(tǒng)可靠性。鏈路層特性支持多種鏈路層冗余協(xié)議，包括STP及其擴(kuò)展協(xié)議，鏈路捆綁協(xié)議等。網(wǎng)絡(luò)層特性提供豐富的三層路由協(xié)議，同步支持網(wǎng)關(guān)冗余協(xié)議（如VRRP）。高互換能力和端口密度根據(jù)xxxxx工程布線的特點(diǎn)，一期內(nèi)外網(wǎng)各有30余個分派線間，總布線點(diǎn)數(shù)各為3000個左右，二期規(guī)劃還各將增長20余個分派線間，這樣規(guī)定關(guān)鍵互換機(jī)具有較高的千兆端口密度，可滿足接入大量分派線間的需求，而網(wǎng)絡(luò)系統(tǒng)是這樣一種高密度，大規(guī)模的網(wǎng)絡(luò)，網(wǎng)絡(luò)中存在豐富的多元化的應(yīng)用系統(tǒng)，這些均規(guī)定關(guān)鍵互換機(jī)具有較高的互換性能，其指標(biāo)體目前背板容量、包轉(zhuǎn)發(fā)率等數(shù)據(jù)上。豐富的網(wǎng)絡(luò)特性為提供網(wǎng)絡(luò)中多種應(yīng)用支持，如對時延敏感的音視頻應(yīng)用，對數(shù)據(jù)可靠性規(guī)定較高的關(guān)鍵應(yīng)用，網(wǎng)絡(luò)應(yīng)提供較強(qiáng)的QoS和Policing的功能，同步為提供網(wǎng)絡(luò)內(nèi)部的安全性，它應(yīng)支持豐富的安全特性，如基于2-4層信息的線速訪問控制等。分布層互換機(jī)分布層互換機(jī)用于科研辦公區(qū)，由于該區(qū)共有11個三級配線間需接入，分布層互換機(jī)作為多種接入互換機(jī)的匯聚點(diǎn)，也需物理構(gòu)造上的關(guān)鍵部件冗余設(shè)計，并具有較高的千兆端口密度和分布層網(wǎng)絡(luò)設(shè)備性能，如數(shù)據(jù)包轉(zhuǎn)發(fā)能力，Qos，安全性等特性。接入互換機(jī)對于樓層接入，由于xxxxx工程中分派線間點(diǎn)數(shù)平均分布在70-80個點(diǎn)間，首先接入互換機(jī)盡量采用高端口密度的互換機(jī)產(chǎn)品（如48個10/100M接入端口），另一方面為提供端到端的網(wǎng)絡(luò)特性，接入互換機(jī)也應(yīng)具有較豐富的網(wǎng)絡(luò)特性和較高的網(wǎng)絡(luò)性能。詳細(xì)表目前：互換性能提供迅速數(shù)據(jù)轉(zhuǎn)發(fā)，重要體目前接入互換機(jī)的背板容量和包轉(zhuǎn)發(fā)率等指標(biāo)。網(wǎng)絡(luò)特性提供高性能的Qos控制能力，保證真正端到端的Qos能力，同步具有豐富的接入安全特性，如802.1X，基于Mac地址的接入安全特性等。根據(jù)綜合布線系統(tǒng)，對于內(nèi)網(wǎng)和外網(wǎng)，互換機(jī)數(shù)據(jù)端口可按布線點(diǎn)的一定比例配置，暫按布線量的60%配置，如下表：外網(wǎng)數(shù)據(jù)點(diǎn)和互換機(jī)配置：內(nèi)網(wǎng)數(shù)據(jù)點(diǎn)和互換機(jī)配置：廣域網(wǎng)接入防火墻在xxxxx工程中，防火墻用于在互聯(lián)網(wǎng)接入和專網(wǎng)連接處，提供對內(nèi)網(wǎng)數(shù)據(jù)保護(hù)，在防火墻的選擇上，重要應(yīng)考慮其安全特性，數(shù)據(jù)轉(zhuǎn)發(fā)性能等，安全特性指防火墻設(shè)備具有主流的安全方略(如基于包的動態(tài)狀態(tài)判斷)，提供主流的安全防護(hù)特性，同步在數(shù)據(jù)吞吐量，每秒可新建會話數(shù)，總會話數(shù)方面具有良好的特性指標(biāo)。路由器路由器在xxxxx工程中的定位是提供專網(wǎng)接入，產(chǎn)品選擇上應(yīng)和應(yīng)用相配合，當(dāng)xxxxx作為專網(wǎng)分支節(jié)點(diǎn)時，只需路由器只需具有一定的數(shù)據(jù)包轉(zhuǎn)發(fā)率和較豐富的網(wǎng)絡(luò)特性即可，當(dāng)xxxxx作為專網(wǎng)中的中心節(jié)點(diǎn)時，則路由器還應(yīng)具有一定的廣域網(wǎng)端口密度和更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和擴(kuò)展能力。網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)管系統(tǒng)也有助于網(wǎng)絡(luò)系統(tǒng)的管理，網(wǎng)絡(luò)故障的迅速定位和排除，提高網(wǎng)絡(luò)的可用性。網(wǎng)管系統(tǒng)的重要功能應(yīng)包括拓?fù)涔芾?，故障管理，配置管理和性能管理等功能。為提供良好的使用界面，網(wǎng)管系統(tǒng)應(yīng)提供圖形化設(shè)備和拓?fù)滹@示，可實(shí)時監(jiān)視設(shè)備流量，設(shè)備故障等多種信息。信息安全管理信息安全管理是xxxxx項目中一種較重要的網(wǎng)絡(luò)應(yīng)用，它關(guān)系到網(wǎng)絡(luò)中多種重要數(shù)據(jù)，應(yīng)用的安全性，直接影響xxxxx項目的正常運(yùn)作。網(wǎng)絡(luò)設(shè)備管理的安全性網(wǎng)絡(luò)設(shè)備訪問的安全性，關(guān)系到網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的安全性，假如網(wǎng)絡(luò)設(shè)備自身被非法訪問，非法入侵者將隨意修改設(shè)備配置，整個網(wǎng)絡(luò)將無安全性可言。網(wǎng)絡(luò)設(shè)備自身的安全性重要應(yīng)考慮良好的顧客認(rèn)證訪問體系，網(wǎng)管數(shù)據(jù)傳播的安全性。首先對于設(shè)備的訪問可基于中央顧客認(rèn)證系統(tǒng)，這樣便于大批量網(wǎng)絡(luò)設(shè)備的顧客認(rèn)證信息的維護(hù)。另一方面網(wǎng)管數(shù)據(jù)應(yīng)加密傳播，一般網(wǎng)管工作是通過網(wǎng)管軟件的SNMP（簡樸網(wǎng)絡(luò)管理協(xié)議）和Telnet遠(yuǎn)程登錄進(jìn)行，老式的SNMP和Telnet數(shù)據(jù)均通過明文傳播，當(dāng)惡意顧客通過Sniffer等系統(tǒng)進(jìn)行網(wǎng)絡(luò)監(jiān)聽時，有也許截獲其數(shù)據(jù)包，從而獲得訪問信息，因此所有設(shè)備的管理應(yīng)采用加密的網(wǎng)管方式進(jìn)行訪問。xxxxx項目的網(wǎng)管軟件應(yīng)采用SNMPV3，其定義于RFC2271中，和SNMPv1和SNMPv2相比，SNMPv3增長了三個新的安全機(jī)制：身份驗證，加密和訪問控制。由于使用了私鑰（privKey）和驗證密鑰（authKey）來實(shí)現(xiàn)加密，其安全性大大提高。對于Telnet應(yīng)用，目前重要缺陷是：沒有口令保護(hù)，遠(yuǎn)程顧客的登陸傳送的帳號和密碼都是明文，使用一般的sniffer都可以被截獲沒有強(qiáng)力認(rèn)證過程。只是驗證連接者的帳戶和密碼。沒有完整性檢查。傳送的數(shù)據(jù)無法懂得與否完整的，而不是被篡改正的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密。因此對于Telnet應(yīng)用，應(yīng)采用SSH加密的方式，SSH采用了公鑰和密鑰相結(jié)合的方式，提高數(shù)據(jù)的安全性和完整性。網(wǎng)絡(luò)設(shè)備的安全特性安全性是網(wǎng)絡(luò)設(shè)備較重要的特性，根據(jù)網(wǎng)絡(luò)設(shè)備的定位區(qū)別和應(yīng)用的布署，需要不一樣的安全方略。xxxxx項目中網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)是復(fù)雜和多元化的，包括多媒體，辦公自動化、業(yè)務(wù)系統(tǒng)系統(tǒng)等，其安全性規(guī)定各不相似，而對于互聯(lián)網(wǎng)接入?yún)^(qū)，也有專網(wǎng)接入，DMZ區(qū)網(wǎng)段等多種區(qū)域，因此應(yīng)對不一樣的安全區(qū)域設(shè)備不一樣的安全方略?；ヂ?lián)網(wǎng)接入和專網(wǎng)接入系統(tǒng)通過防火墻接入互聯(lián)網(wǎng)，該部分的安全性重要體目前防火墻上的安全設(shè)置。系統(tǒng)通過路由器和專網(wǎng)連接專網(wǎng)，其安全性體目前路由器，防火墻的多種區(qū)域安全信任關(guān)系的設(shè)置，詳細(xì)方略設(shè)置將根據(jù)