內蒙古XXX網(wǎng)絡工程系統(tǒng)集成設計方案

第一章內蒙古XXX工程系統(tǒng)集成方案綜述 31.1項目建設總體目標 31.2項目建設實現(xiàn)的主要功能 31.3項目建設的主要原則 3第二章內蒙古XXX網(wǎng)絡平臺硬件部分詳細設計方案 4 42.1.1項目建設需求 42.1.2網(wǎng)絡技術選擇 42.2內蒙古XXX網(wǎng)絡設計 2.2.1總體結構 2.2.2局域網(wǎng)設計 2.2.3城域網(wǎng)設計 2.2.4門戶網(wǎng)站 2.2.5路由交換設備選型 292.2.7網(wǎng)絡檢測 46第三章網(wǎng)絡安全設計 3.1網(wǎng)絡安全概述 47 3.2.1各種防火墻技術介紹 3.2.2天融信NGFW4000-TZ介紹 2.3.3IDS入侵檢測 第四章內蒙古XXX網(wǎng)絡平臺軟件設計 4.1.1網(wǎng)絡系統(tǒng)選型原則 4.1.2網(wǎng)絡系統(tǒng)應具備的功能和特點 4.2.1產(chǎn)品結構 4.2.2產(chǎn)品概述 66 4.3.1不同類型產(chǎn)品間的比較 69 4.3.3反垃圾郵件系統(tǒng) 71 724.3.5幾點說明 74 74 75 1.1項目建設總體目標(略)1.2項目建設實現(xiàn)的主要功能內蒙古XXX網(wǎng)絡的主要功能包括：文件傳輸(FTP)、遠程登錄(TELNET)、電子郵件(E-MAIL)、WEB瀏覽、在線信息發(fā)布、在線信息咨詢與反饋、數(shù)據(jù)庫查詢、分布式數(shù)據(jù)存儲、容災備份、信息共享、視頻會議、網(wǎng)絡電話、虛擬專網(wǎng)(VPN)、安全防護等功能。1.3項目建設的主要原則內蒙古XXX網(wǎng)絡建設，要遵循以下原則：

先進性我公司在此方案中的各個部分推薦符合當代信息技術發(fā)展形勢，既有先進技術又發(fā)展成熟，并且是各個領域公認的領先產(chǎn)品，使新建的網(wǎng)絡計算機系統(tǒng)能夠最大限度地適應今后技術發(fā)展和業(yè)務發(fā)展變化的需要：●高性能的關系型數(shù)據(jù)庫?！窀甙踩婪兜挠布阑饓Α?/p>

實用性計算機系統(tǒng)的建設將以滿足內蒙古XXX網(wǎng)絡應用系統(tǒng)的需求，同時考慮今后信息量的增加為基點，從主機CPU的處理能力、硬盤的空間、網(wǎng)絡交換機的擴展槽等多方面做到系統(tǒng)的實用性。

可擴充性在發(fā)展迅速的信息領域，應用環(huán)境、系統(tǒng)的硬件或軟件都會不斷地加以更新，因此，系統(tǒng)的可擴充性以及前后兼容一致性十分重要。本方案的設計，硬件/軟件是建立在廣泛的可升級基礎上。

開放性各種設計規(guī)范、技術指標及產(chǎn)品均符合國際和工業(yè)標準，并可提供多廠家產(chǎn)品的支持能力。系統(tǒng)中所采用的所有產(chǎn)品都要滿足相關的國際標準和國家標準，是開放的可兼容系統(tǒng)，能與不同廠商的產(chǎn)品兼容，可以有效保護投資。隨著Internet/Intranet技術的飛速發(fā)展和廣泛應用，網(wǎng)絡安全問題愈來

可管理性第二章內蒙古XXX網(wǎng)絡平臺硬件部分詳細設計方案2.1設計需求及網(wǎng)絡技術選擇局域網(wǎng)的基本拓撲結構大多為二級/三級星形結構。例如：100Base-T快速以太網(wǎng)是由10Base-T以太網(wǎng)標準發(fā)展而來的，是現(xiàn)行的IEEE802.3Base-T提高了10倍(即將每個數(shù)據(jù)位的傳輸時間壓縮了10倍)。由于MAC被定義成與速并且同樣采用星型拓撲結構，不需對工作站的以太網(wǎng)卡改，就可使局域網(wǎng)上的10Base-T和100Base-T站點間互相通信，不需要任何協(xié)議轉換。(對于原來使用5類雙絞線連接的網(wǎng)絡，只要更換網(wǎng)卡和集線器，就可平滑地由10Base-T升級到100Base-T。但100Base-T網(wǎng)絡不支持同軸電纜。)100Base-TX傳輸媒體可以采用5類無屏蔽雙絞線UTP。RJ-45接口與10Base-T中的連接方法一樣，占用其中的2對絞線(即1—2、3—6)。傳輸媒體的最大網(wǎng)段是100米，可以使用2個中繼器，但100Base-TX網(wǎng)絡的最大跨距為205米(中繼器之間的最大電纜長度100Base-T4是一個4對線系統(tǒng)，傳輸媒體采用3類、4類、5類無屏蔽雙絞線UTP的4對線路進行100Mbps的數(shù)據(jù)傳輸。其中3對雙絞線用于數(shù)據(jù)傳輸，1對用于沖突檢測。4對線(1—2、3—6、4-5、7-8)一一對應連接。但在10Base-T系統(tǒng)中僅用了其中1—2、3—6兩對，一般在布線時4對線都會安裝連接。對于原來用3類線布線的系統(tǒng)，可以通過采用100Base-T4把網(wǎng)絡從10Mbps升級到100Mbps,無需重新布線。在100BaseFX環(huán)境中，一般選用62.5/125μm多模光纜，也可選用50/125,85/125以及100/125的光纜。但在一個完整的光纜段上必須選擇同種型號的光纜，以免引媒體段可達2km。100BaseFX也支持單模光纜作為媒體達到40km,甚至更遠，但價格要比多模光纜貴得多。在系統(tǒng)配置時，可以外置單模光纜收在100Base-T網(wǎng)絡實際應用時，為了能與傳統(tǒng)的10Mbp增加了10/100Mbps速度自動協(xié)商感應功能，使得10Base-T和100Base-T的適配器可以商功能的10/100Mbps以太網(wǎng)適配器中，100Base-T的工作站在啟動時，首先發(fā)出一組高速鏈路脈沖(FLP),如果對端的HUB是1個只能工作在10Base-T方式的端口，則該網(wǎng)卡就自動工作在10Base-T模式下；如果對端的HUB能支持100Base-T,它會檢測到高速鏈路由于100Base-T網(wǎng)絡價格較低、易升級、速率高、兼容性強，所以將成為目前應用幀間時延性能變差，不利于實時信息的傳送。但在交換式100Base-T網(wǎng)絡中，由于工作站千兆以網(wǎng)技術以太網(wǎng)幀、全雙工、流量控制以及IEEE802.3標準中所定義的管理對象。作為以太網(wǎng)的一千兆以太網(wǎng)還利用IEEE802.1QVLAN支持、第四層過濾、千兆位的第三層交換。千兆以在服務器的連接和骨干網(wǎng)中，千兆以太網(wǎng)獲得廣泛應用，由于IEEE802.3ab標準(采用5類及以上非屏蔽雙絞線的千兆以太網(wǎng)標準)的出臺，千兆以太網(wǎng)可適目前，千兆以太網(wǎng)已經(jīng)發(fā)展成為主流網(wǎng)絡技術。我們在建設企業(yè)局域網(wǎng)時都會把千兆以太網(wǎng)技術作為首選的高速網(wǎng)絡技術。千兆以太網(wǎng)技術甚至正在取代ATM技術，成為城域網(wǎng)建設的主力軍。千兆以太網(wǎng)的特點千兆以太網(wǎng)的特點主要包括如下。(1)千兆位以太網(wǎng)提供完美無缺的遷移途徑，充分保護在現(xiàn)有網(wǎng)絡基礎設施上的投資。千兆位以太網(wǎng)將保留IEEE802.3和以太網(wǎng)幀格式以及802.3受管理的對象規(guī)格，從而能夠在升級至千兆性能的同時，保留現(xiàn)有的線纜、操作系統(tǒng)、協(xié)議、桌面應用程序和網(wǎng)絡管理戰(zhàn)略與工具；(2)千兆位以太網(wǎng)相對于原有的快速以太網(wǎng)、FDDI、ATM等主干網(wǎng)解決方案，提供了一條最佳的路徑。至少在目前看來，是改善交換機與交換機之間骨干連接和交換機與服務器之間連接的可靠、經(jīng)濟的途徑。網(wǎng)絡設計人員能夠建立有效使用高速、關鍵任務的應用程序和文件備份的高速基礎設施。網(wǎng)絡管理人員將為用戶提供對Internet、Intranet、城域網(wǎng)與廣域網(wǎng)的更快速的訪問。(3)IEEE802.3工作組建立了802.3z和802.3ab千兆位以太網(wǎng)工作組，其任務是開發(fā)適應不同需求的千兆位以太網(wǎng)標準。該標準支持全雙工和半雙工1000Mbps,相應的操作采用IEEE802.3以太網(wǎng)的幀格式和CSMA/CD介質訪問控制方法。千兆位以太網(wǎng)還要與10BaseT和100BaseT向后兼容。此外，IEEE標準將支持最大距離為550米的多模光纖、最大距離為70千米的單模光纖和最大距離為100米的銅軸電纜。千兆位以太網(wǎng)填補了802.3以太網(wǎng)/快速以太網(wǎng)標準的不足。千兆以太網(wǎng)的構建千兆以太網(wǎng)絡是由千兆交換機、千兆網(wǎng)卡、綜合布線系統(tǒng)等構成的。千兆交換機構成了網(wǎng)絡的骨干部分，千兆網(wǎng)卡安插在服務器上，通過布線系統(tǒng)與交換機相連，千兆交換機下面還可連接許多百兆交換機，百兆交換機連接工作站，這就是所謂的“百兆到桌面”。在有些專業(yè)圖形制作、視頻點播應用中，還可能會用到“千兆到桌面”,及用千兆交換機聯(lián)到插有千兆網(wǎng)卡的工作站上，滿足了特殊應用下對高帶寬的需求。在建設網(wǎng)絡之前，究竟用千兆還是百兆，要從實際出發(fā)，從應用出發(fā)，考慮網(wǎng)絡應該具備哪些功能。不同的應用有不同的需求，而且?guī)缀鯖]有只有單一業(yè)務的網(wǎng)絡。但是，在各種業(yè)務中，生產(chǎn)性業(yè)務肯定是優(yōu)先級最高的。如果在網(wǎng)絡中傳輸語音，那么語音業(yè)務也需要優(yōu)先安排。如果對業(yè)務優(yōu)先的需求很高，網(wǎng)絡必須有QoS保證。這樣的網(wǎng)絡必須要智能化，在1997年1月，通過了IEEE802.3z第一版草案；1997年6月，草案V3.1獲得通過，最終技術細節(jié)就此制定；1998年6月，正式批準IEEE802.3z標準；1999年6月，正式批準IEEE802.3ab標準(即1000Base-T),可以把雙絞線用于千兆以為1000BaseLX)、多模光纖上的短波激光(稱為1000BaseSX);1000BaseCX介質，該介質可在均衡屏蔽的150歐姆銅纜上傳輸。IEEE802.3z委員會模擬的1000BaseT標準允許將千兆位以太網(wǎng)在5類、超5類、6類UTP雙絞線上的傳輸距離擴展到100米，從而使建筑樓宇內布線的大部分采用5類UTP雙絞線，保障了用戶先前對以千兆以太網(wǎng)的標準化包括編碼/譯碼、收發(fā)器和網(wǎng)絡介質三個主使用8B/10B編碼解碼方式，使用50微米或62.5微米多模光纜，最大傳輸距離為300米到500米。連接光纖所使用的SC型光纖連接器與快速以太網(wǎng)100BASEFX所使用的連接器的型號相同。1000BASE-CX是一種基于銅纜的標準，使用8B/10B編碼解碼方式，最大傳輸距離編碼解碼方式，傳輸距離為100米。1000BASE-T在傳輸中使用了全部4對雙絞線并工作在全雙工模式下。這種設計采用PAM-5(5級脈沖放大調制)編碼在每個線對上傳輸250Mbps。磁場線路，所以無法完全隔離發(fā)送和接收電路。任何發(fā)送與接收線路都會對設備發(fā)生回波。因此，要達到要求的錯誤率(BER)就必須抵消回波。1000BASE-T無法對頻率集中在125MHz之上的頻段進行過濾，但是使用擾頻技術和網(wǎng)格編碼能對80MHz之后的頻段進行過濾。為了解決5類線在如此之高的頻率范圍內因近端串擾而受到的限制，應該采用合適的方案來抵消最初的千兆以太網(wǎng)采用高速780納米光纖信道的光元件傳輸光纖上的信號，采用8B/10B的編碼和解碼方法實現(xiàn)光信號的串行化和復原。目前光纖信道技術的數(shù)據(jù)運行速率為1.063Gbps,將來會提高到1.250Gbps,使數(shù)據(jù)速率達到完整的1000Mbps。對于更長的連接距離，將采用1300納米的光元件。為了適應硅技術和數(shù)字信號處理技術的發(fā)展，應在MAC層和PHY層之間制定獨立于介質的邏輯接口，以使千兆以太網(wǎng)工作在非屏蔽雙絞線電纜系統(tǒng)中。這一邏輯接口將適用于非屏蔽雙絞線電纜系統(tǒng)的編碼方法，并獨立于光纖信道的編碼方法。下圖說明了千兆以太網(wǎng)的組成。單模光纖電纜系統(tǒng)多模光纖電纜系統(tǒng)雙絞線對收發(fā)器如何升級至千兆以太網(wǎng)把10M、100M網(wǎng)絡升級至千兆的條件并不多，最主要的是綜合布線條件。千兆以太網(wǎng)指的是網(wǎng)絡主干的帶寬，要求主干布線系統(tǒng)必須滿足千兆以太網(wǎng)的要求。如果原來的網(wǎng)絡覆蓋距離相隔幾百米至幾公里的多幢建筑物，則原來的主干布線一般采用的是多?；騿文９饫w，能夠滿足千兆主干的要求，可以不必重新敷設光纖了。在建筑物之間的距離小于550米的情況下，一般敷設價格相對低廉的多模光纖就可以滿足千兆以太網(wǎng)的需要。如果原來的網(wǎng)絡只覆蓋了一幢建筑，而且最遠的網(wǎng)絡節(jié)點與網(wǎng)絡中心的距離不超過100米，則可以利用原來的5類或超5類布線系統(tǒng)。如果原來的布線系統(tǒng)達不到5類標準，或者采用了總線型布線系統(tǒng)而不是星型布線系統(tǒng)，則必須重新布5類線。解決方法是在原來的服務器上添加千兆網(wǎng)卡。注意應該優(yōu)先選購64位PCI的千兆網(wǎng)卡，其10M/100M自適應網(wǎng)卡，則可以不必升級網(wǎng)卡，只要將網(wǎng)卡接到百兆交換機上就可以了；如預計到2005年之前，數(shù)據(jù)傳輸量每年將以3倍的速度增長，并于當年超過語音傳輸量，市場份額會越來越大。隨著Internet的發(fā)展和網(wǎng)絡上層出不窮應用的出現(xiàn)，萬兆以太網(wǎng)將鑒于以上介紹采用TCP/IP協(xié)議，千兆以太網(wǎng)技術組網(wǎng)，主干帶寬1000兆，接入帶寬100兆，100兆交換到桌面以滿足多媒體通信的要求。2.2內蒙古XXX網(wǎng)絡設計根據(jù)實際情況與要求，要求網(wǎng)絡設備具有很高的可靠性和可用性，我們推薦采用QuidwayS8500萬兆核心路由交QuidwayaS8500系列萬兆核心交換機是由華為3Com公司自主開發(fā)的新一代高性能萬兆QuidwayeS8500系列基于新一代核心交換機的設計理念，具備大容量高性能、可擴展1)先進的體系結構高速路由查找，并通過Crossbar技術進行高速報文交換，從而大大提升了路由交換機的轉高達1.44Tbps的交換容量。接口板通過多條高速總線分別連到兩塊主控板上的Crossbar3)強大的業(yè)務支撐能力4)新一代萬兆接口支持Quidway⑧S8500的新一代萬兆以太網(wǎng)交換機不僅在接口密度上達到2端口/線卡(后續(xù)可擴展至4端口/線卡),并且可以支持線速的MPLS轉發(fā)，可以提供更好的IPVPN業(yè)務和透明10GBASE-LX4接口，從而大大提高了用戶組網(wǎng)的靈活性。Quidway⑧S8500系列產(chǎn)品遵循業(yè)務與性能并重的設計理念。一QuidwayRS8500系列產(chǎn)品提供了靈擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s,滿足精品Quidway⑧S8500系列產(chǎn)品系統(tǒng)采所有單板支持熱插拔；電源系統(tǒng)交流/直流可選，采用1+1冗余熱備份，并支持雙路電源輸可靠性達到：99.999%。Quidway8S8500系列產(chǎn)品的先進的逐包轉發(fā)機制確保其在各種數(shù)據(jù)流狀況下的設徑檢查);采用802.1x方式對接入用戶進行認證，支持安全的SNMPv3的網(wǎng)管協(xié)議、支持配Quidway⑧S8500系列產(chǎn)品還支持標準Radius協(xié)議，同時提供Radius+功能，以及HCBM (華為可控組播管理協(xié)議)功能支持?；谟布С值膬戎梅阑饓?IDS功能為核心交換設體系結構一體化機箱，可安裝于19英寸機架內外形尺寸(MM)寬×深×高滿配置重量(Kg)交換容量背板容量1.8Tbps(可擴展至3.6T)量二層功能支持802.1q優(yōu)先級支持動態(tài)VLAN注冊協(xié)議(GVRP)支持端口捆綁支持廣播風暴抑制兼容Ethernet_II/Ethernet_SNAP/IEEE802支持分布式策略路由支持URPF(單播反向路徑檢查)三層組播協(xié)議：IGMP、PIM-DM、PIM-SM安全功能，防止DOS攻擊對NAT模塊資源的過度使用負載均衡、WebCache高速緩存重定向等功能支持PE和P功能IP地址、目的IP地址、IP端口、協(xié)議號等進行報文分類和過濾支持帶寬控制，帶寬控制粒度為8Kbit/s先級，支持SP、WRR、SP+WRR三種隊列調度算法支持802.1P,DSCP/TOS優(yōu)先級和重新標記能力支持基于時間段的流分類和QoS控制能力網(wǎng)絡安全特性支持IP+MAC+PORT任意組合的綁定支持非法幀報文過濾支持IEEE802.1X認證用戶分級管理和口令保護支持端口隔離支持SNMPv3網(wǎng)管支持雙路電源供電溫度范圍：0℃~40℃相對濕度：10%～90%(非凝結)電源要求最大輸出功率：1200W(S8505)、2000W(S8508/S8512)本次網(wǎng)絡系統(tǒng)集成我們采用5臺QuidwayS3552F作為匯聚層交換機，每臺配置一個千

產(chǎn)品概述管理能力。這些智能化的特點非常適合作為關注業(yè)務管理控制和網(wǎng)絡安全保障能力的辦公S3552F交換機的主板提供6個模塊插槽，可選配8端口百兆單、多模模塊和10Base-T/100Base-TX模塊，整機共提供48個百兆單、多模光接口、10Base-T/100Base-TX自協(xié)商以太網(wǎng)端口(RJ-45連接器)及4個GBIC模塊接口，1個Console口。支持220V交三層線速交換能力，系統(tǒng)能夠提供4個GE,有效解決了在單臺設備上多個千兆鏈路上行，同時接入千兆服務器的需求，極大的節(jié)省了用戶對設備投資。設備最大提供512個子網(wǎng)路由Quidway"S3500系列安全智能三層交換機基于最Quidway°S3500系列安全智能三層交換機支持802.1x和QuidwayS3500系列安全智能三層交換機不僅支持STP/RSTP生成樹協(xié)支持可選的冗余電源系統(tǒng)RPS,可為4臺設備提供電源冗余，提高容錯能力和網(wǎng)絡正常地址、目的IP地址、端口、協(xié)議的L2~L7復雜流分類；支持1K個流規(guī)則。提供了靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三種模式；支持8個優(yōu)先級隊列，3功能，流量限速的粒度為8Kbit/s。管理端口1個Console口端口固定端口4個GBIC模塊接口可選模塊8端口10/100Base-T模塊；端口類型100Base-FX多模光接口(LC接口)100Base-FX單模光接口(LC接口)外形尺寸寬×深×高AC:額定電壓范圍：100-240V;50/60Hz;最大電壓范圍：90-264V;50/60HzDC:額定電壓范圍：-60--48V;功耗(滿負荷時)度工作環(huán)境相對濕度(非凝露)線速二/三層交換端口容量為17.6Gbit/s背板交換容量為32Gbit/s包轉發(fā)率13.2Mpps交換模式存儲轉發(fā)模式(StoreandForward)最多支持4K個符合IEEE802.1Q標準的VLAN(Virtua支持GVRP(GARPVLANRegistrationProtocol)Ethernet_SNAP(SubnetworkAccessProtocol)IP路由靜態(tài)路由RIP(RoutingInformationProtoOSPF(OpenShortestPathFi等價路由策略路由DHCPDelay,DHCPSe支持VRRP(VirtualRedundancyRoutingProtocol)GMRP(GARPMulticastRegistrationProtocol)IGMP(InternetGroupManagementPIM-DM(ProtocolIndependentMulticast-DenseMode)PIM-SM(ProtocolIndependentMulticast-SparseMode)支持STP/RSTP/MSTP協(xié)議，符合IEEE802.1D、IEEE支持FE(FastEthernet)端口聚合最多支持7組聚合(每組最多包含8個端口)廣播風暴抑制所有端口上支持基于帶寬百分比的組播、廣播風暴抑制地址自學習IEEE802.1D標準最多支持12K個MAC地址支持IEEE802.3x流控(全雙工)支持Back-pressurebasedflowcontrol(背壓式流控)(半雙工)加載與升級支持XModem協(xié)議實現(xiàn)加載升級管理支持SNMP(SimpleNetworkManagementProtocol)支持RMON(RemoteMonitoring)支持WEB網(wǎng)管支持系統(tǒng)日志支持HGMP(HuaweiGroupManagementProtocol)V2支持HGMPV1(作為Server)支持Modem遠端撥號維護支持調試信息輸出支持PING(PacketInternetGroper)、Tracert支持Telnet遠程維護支持HGMPV1(作為Server端)支持1K條流規(guī)則支持廣播速率限制支持8個優(yōu)先級隊列，3個丟棄優(yōu)先級SP(StrictPriority)、WRR(WeightedRoundRo支持WRED(WeightedRandomEarlyDetec支持802.1P,DSCP(DifferentiatedServicesCode支持L2~L7包過濾功能，提供基于源MAC地址、目的AccessControl)地址、源IP地址、目的IP地址、端口、協(xié)議、V(VirtualLocalAreaNetwork)、VLAN范圍、MAC地址范圍和非法幀過濾支持時間段(TimeRange)安全特性用戶分級管理和口令保護本次網(wǎng)絡集成接入層交換機我們選用huawei-3com公司的QuidwayS3026C以太網(wǎng)交換機。每臺交換機配有一100兆光纖模塊上行端口，用于連接到匯聚層交換機。接入層交換機放置在個廳QuidwayOS3000系列智能二層交換機是華為3Com公司為充分滿足高QOS保證的需求而推出的智能型以太網(wǎng)交換機。系統(tǒng)采用高性能的ASIC,采用靈活的模塊化結構，提供二到七層的智能的流分類和和完善的服務質量(QoS),實現(xiàn)完備的業(yè)務控制和用戶管理能力，可作為關注業(yè)務管理控制和網(wǎng)絡安全保障能力的城域網(wǎng)的接入層交換機。QuidwayS3026C以太網(wǎng)交換機為1U高的盒式設備，支持19英寸機架安裝，可不依賴于其他設備獨立運行。系統(tǒng)提供固定的24個10/100Base-TX的自適應端口、1個Console口及2個GBIC/1000Base-T/前擴展槽，可以根據(jù)需求靈活選擇設備。

產(chǎn)品特點1)全線速的二層交換：Quidway°S3000系列智能二層交換機12.8/18.5Gbps的總線帶寬為交換機所有的端口提供二層線速交換能力，硬件能夠識別、處理四到七層的應用業(yè)務流，所有端口都具有單獨的數(shù)據(jù)包過濾、區(qū)分不同應用流，并根據(jù)不同的流進行不同的管理和控制。2)完備的安全智能控制策略：Quidway"S3000系列智能二層交換機支持802.1x認證，在用戶接入網(wǎng)絡時完成必要的問網(wǎng)絡。支持多種ACL訪問控制策略，能夠對用戶訪問網(wǎng)絡資源的權限進行設置，保證網(wǎng)絡的受控訪問。Quidway°S3000系列智能二層交換機不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP,極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。支持可選的冗余電源系統(tǒng)RPS,可為4臺設備提供電源冗余，提高容錯能力和網(wǎng)絡正常運行4)豐富的QOS策略：Quidway°S3000系列智能二層交換機支持基于源MAC地址、目的MA目的IP地址、端口、協(xié)議的L2~L7復雜流分類；支持1K個流規(guī)則。提供了三種各具特色的隊列調度算法，嚴格優(yōu)先級(Strict-PriorityQueue,簡稱PQ)、加權輪循(WeightedRoundRobin,簡稱WRR)調度算法和DelayboundedWRR調度算法；支持帶寬控制功能，確保進入交換機的特定業(yè)務流一個最小的帶寬，即使在網(wǎng)絡擁塞時，也能滿足一定的丟包、時延及時延抖動等QoS需求。支持CAR(CommittedAccessRate)功能，流量限速的粒度為1Mbit/s。5)良好的擴展性：QuidwayS3000系列智能二層交換機提供良好的堆疊功能，最大可支持16臺設備的堆疊，同時支持不同設備的混合堆疊，從而保證了網(wǎng)絡的平滑升級和降低了擴建成本。6)多樣的管理方式：Quidway°S3000系列智能二層交換機支持SNMP,可支持OpenView等通用網(wǎng)管平臺，以使設備管理更方便

產(chǎn)品規(guī)格固定端口24個10/100M以太網(wǎng)口；1個Console口100Base-FX單模模塊100Base-FX多模模塊100Base-FX單模中距模塊(40Km)交換容量包處理能力≥6.55Mpps(所有端口實現(xiàn)線速路由和轉發(fā))支持256個802.1Q標準的VLAN;支持4KVLAN透傳；支持isolate-user-vlan,可以隔離用戶，節(jié)省VLAN資源；支持GVRP;支持VLANtrunk;組播協(xié)議IGMPSnooping,支持可控組播流分類規(guī)則在流分類的基礎上可以進行如下QOS動作：流量監(jiān)管廣播風暴抑制所有端口上支持基于帶寬百分比的廣播風暴抑制支持6組，每組最大8個100M端口聚合、2個千兆端口聚合堆疊支持，最大支持16臺支持基于端口和MAC的802.1x認證，可終結EAP報文安全分級命令保護機制；ACL過濾；雙網(wǎng)卡proxy檢測管理支持命令行接口配置；支持Telnet遠程配置；支持通過Console口配置；支持遠端撥號；支持SNMPV1/V2/V3;支持iManagerN2000及QuidView網(wǎng)管系統(tǒng)；支持WEB網(wǎng)管；支持集群管理；支持RMON(Remotemonitor)1,2,3,9組MIB;支持系統(tǒng)日志；支持分級告警；支持HGMP(HuaweiGroupManagementProtocol)V2;支持HGMPV1AC:90V～264V50/60Hz;DC:-75V~-外形尺寸(mm)(寬×深×功耗相對濕度：10~90%;不結露

產(chǎn)品概述樓道級/桌面級二層智能、可網(wǎng)管交換機。華為公司針對樓道級/桌面級交換機的特點，從軟件、硬件及結構等方面對這款以太同時QuidwayS2008使用華為公司網(wǎng)絡產(chǎn)品通用的VRP(通用路由平臺)網(wǎng)絡操作系統(tǒng)，提QuidwayS2008以太網(wǎng)交換機采用盒式設計，是一款支持全線速轉發(fā)的2層以太網(wǎng)的8個固定的10Base-T/100Base-TX自適應端口2個固定的100Base-TX上行端口1個用于配置的Console口及1個遠端監(jiān)控口1個擴展槽位：可插入1個100Base-FX(多模/單模)光纖端口模塊QuidwayS2008所有端口支持全線速2層交換；在使用5類雙絞線時，S2008的10M口傳輸距離可達200米，使其可廣泛應用于企業(yè)、政府、運營商和社區(qū)的以QuidwayS2008支持豐富的業(yè)界標準，可以廣泛的兼容現(xiàn)有網(wǎng)絡設備，同時基于華為的VRP操作系統(tǒng)，使得S2008與Quidway系列路由器在命令行風格等方面具備良好的兼容性。所有10M/100M自適應電口均支持MDI/MDI-X自適應。可配置不同的光模塊實現(xiàn)FE的上行能力QuidwayS2008支持符合IEEE802.1p標準的優(yōu)先級設置，支持2個優(yōu)先級提供精確的802.1x認證協(xié)議的支持，實現(xiàn)低成本的局域網(wǎng)安全保障方式QuidwayS2008支持基于端口的鏡像方式S2008以太網(wǎng)交換機的3個上行快速以太網(wǎng)端口可以捆綁起來用于交換機之間的連接或者交外形尺寸(寬×高×深)8個10/100Mbit/s以太網(wǎng)端口2個100Mbit/s上行以太網(wǎng)端口1個Console口1個遠端監(jiān)控口1個擴展槽位1×100Base-FX模塊(單模)1×100Base-FX塊(多模)交換容量包處理能力1.64Mpps,所有端口支持線速轉發(fā)交換模式存儲轉發(fā)模式(StoreandForward)VTP,GVRPQoS支持符合IEEE802.1p標準的優(yōu)先級(2個優(yōu)先級隊列)HGMP(華為組管理協(xié)議)支持組播GMRP,IGMPSnooping支持STP/RSTP,符合IEEE802.1D及IEEE802.1w支持基于端口的鏡像，將特監(jiān)控端口所有端口上支持基于帶寬百分比的廣播風暴抑制支持3個上行100Mbit/s端口的捆綁4K(2K單播、2K多播)支持IEEE802.3x流控管理支持命令行、Telnet、Console口配置支持通過腳本進行批量配置及離線配置支持SNMPV3、RMON、HGMPClient支持系統(tǒng)日志、分級告警；支持FTP、TFTPAC:90V~264V,47~63Hz;DC:-75V~-功耗工作環(huán)境溫度工作環(huán)境相對濕度-—足夠的內外存儲容量和高可靠性能；-—主機服務器系統(tǒng)應代表當代計算機技術的最高水平；--具有長遠的生命周期和易擴充性，能適應現(xiàn)在和未來的需要；--應遵循開放性標準，具有良好的用戶界面和豐富的應用集成工具；--具備分布式處理能力及應用程序的可移植性和互操作性；--應支持各種先進的數(shù)據(jù)庫管理系統(tǒng)。--高處理性能—-高可靠性和可用性：選擇高可靠性的硬件和軟件系統(tǒng)，具備軟硬--開放性：選擇開放性的軟、硬件系統(tǒng)，保證不同系統(tǒng)間的互操作性，并可支持各種標準的外部設備；--先進性和靈活性：所選設備應是當今世界先進的、主流機型，并至少保持5年內不落后；--安全性：系統(tǒng)要有較高的安全級別，并充分考慮到數(shù)據(jù)的安全性。Web服務器選型本次項目Web服務器我們選用IBM公司的xSeries產(chǎn)品規(guī)格介紹：定位允許：插槽x托架總數(shù)(空閑):外型參數(shù)冷卻系統(tǒng)BIOS類型：處理器內部時鐘速度前端總線：處理器廠商：二級緩存：機柜624內存硬盤已安裝硬盤編號：硬盤控制器：6圖形子系統(tǒng)顯存標準/最大：大8MB/8MB圖形數(shù)據(jù)寬度32-bitResolution(max)withStandard2048x153616777216最大分辨率(以最大顯存)NI:最大色彩(以標準顯存):圖形總線接口：設備界面數(shù)據(jù)寬度(數(shù)據(jù)位):EIDE平均數(shù)據(jù)傳輸速率(控制器/設備)::2500KBps平均存取時間：:110msTransport:前托盤安裝重量及尺寸安全Typeofservice:現(xiàn)場保修保修期：3年部件和人力擴展選件具備SMP能力(多處理器):有端口：以太網(wǎng)通訊千兆以太網(wǎng)卡-集成DNS服務器與郵件服務器選用結構插槽x托架總數(shù)(空閑):外型參數(shù)處理器IBM公司的xSeries14處理器內部時鐘速度處理器廠商：硬盤已安裝硬盤編號：硬盤控制器：圖形子系統(tǒng)顯存標準/最大：大圖形數(shù)據(jù)寬度0Resolution(max)withStandard最大分辨率(以最大顯存)NI:最大色彩(以標準顯存):Opticaldevice類型：C設備界面數(shù)據(jù)寬度(數(shù)據(jù)位):EIDE平均數(shù)據(jù)傳輸速率(控制器/設備)::4000KBps平均存取時間：:前托盤安裝網(wǎng)絡接口：千兆以太網(wǎng)卡-集成電源管理電源：電源供應類型：:重量及尺寸重量：高度：寬度：深度：安全特性：前端總線：現(xiàn)場保修3年部件和人力擴展選件即插即用支持：支持具備SMP能力(多處理器):有內部功能服務器兩臺內部功能服務器使用IBM的產(chǎn)品規(guī)格結構定位允許：插槽x托架總數(shù)(空閑):外型參數(shù)冷卻系統(tǒng)處理器處理器內部時鐘速度水平機柜614硬盤已安裝硬盤編號：2圖形子系統(tǒng)顯存標準/最大：大8MB/8MB描述：ATIR圖形數(shù)據(jù)寬度32-bitResolution(max)withStandard2048x153616777216最大分辨率(以最大顯存)NI:2048×153616777216colors最大色彩(以標準顯存):16777216設備界面數(shù)據(jù)寬度(數(shù)據(jù)位):EIDE平均數(shù)據(jù)傳輸速率(控制器/設備)::2500KBps平均存取時間：:110msTransport:前托盤安裝網(wǎng)絡接口：千兆以太網(wǎng)卡-集成電源管理重量及尺寸安全特性：PrivileTypeofservice:現(xiàn)場保修擴展選件即插即用支持：具備SMP能力(多處理器):2.2.7網(wǎng)絡檢測有以太網(wǎng)隨著網(wǎng)絡技術的飛速發(fā)展，網(wǎng)絡的結構日趨復雜。能夠快速的分析網(wǎng)絡的結構，定位網(wǎng)絡故障節(jié)點，對網(wǎng)管來說十分重要也越來越難。所以本次項目我們采用了安恒公司的OptiViewⅡ系列集成式網(wǎng)絡分析儀OPVS2INA+OPV-VLAN+OPV-MV來輔助網(wǎng)管管理網(wǎng)絡。

產(chǎn)品概述●迅速獲得完整的網(wǎng)絡可視性流量分析和物理層測試能力綜合于一個可移動的測試儀中●測試儀的設計和用戶接口使其既可以作為手持式的工具使用也可以半固定地接入網(wǎng)絡鏈路中進行測試

產(chǎn)品功能OptiViewII系列集成式網(wǎng)絡分析儀(OPVS2INA)讓您快速透視整個網(wǎng)絡，更快速和智能地解決當今網(wǎng)絡中的問題。它將網(wǎng)絡分析和監(jiān)測能力結合在一起，僅使用這臺電池供電、便攜的測試儀，就可幫您完整地透視整個網(wǎng)絡?？纯串斀鉀Q復雜的網(wǎng)絡問題時您的速度有多快的網(wǎng)絡了如指掌。OpehawCaCMonDtsoway(rokstdcmanorHaoca010248001010:000-Cenetwen010248.C0102:htcon03ntno010248C01130:htpe20mtwtstartG6Ocwiernsn獨立、便攜、緊湊、電池供電的分析儀集成了：數(shù)據(jù)包捕捉和解碼(增強型)RMONII流量分析(增強型)千兆以太網(wǎng)測試能力(千兆增強型)無線(選件)WAN廣域網(wǎng)透視(選件)●專家分析(選件)始自動搜尋.這一測試將FirtPmesastesDiconrGHotDetst圍mtc0022mmrksupeniicncc NACAress3圖3b020想hec0282y.Irccmetsunetmsc255255.000nene0982yieoretsinea06IneweckwPioyARPntrblP.01024j0CoestnotkspenfsknconP00-00420000(EXTFO42Name/Loi31003●名稱●地址●協(xié)議●路由器●接口信息●遠程監(jiān)測能力電纜測試2當接入銅介質網(wǎng)絡時，OPVS2INA將自動進行電纜測試并給出連接至設備的電纜長度，即使是連接至工作中交換機或HUB端口。選擇雙絞線詳細信息屏幕可以得到：●接線圖●至遠端長度●至反射點的長度●異常(短路，開路和串繞)●接收線對●發(fā)送線對●接收電壓數(shù)據(jù)包捕捉、過濾和解碼數(shù)據(jù)包捕捉PaciatCagareFisarnarcoralPictoesDeC-MOrZPachetTneIcPacpsaeeeOVmwaldpree1eC··0最小時延0最大吞吐量0最大可靠性0最小費用0最大安全性·預設置流量負載報告和監(jiān)測OptiView報告軟件將OPVS2INA收集的基準網(wǎng)絡性能數(shù)據(jù)轉換為專業(yè)格式的文檔。生成IP和NetBIOS的設備地址列表，記錄以太網(wǎng)碰撞，利用率和錯誤?？梢陨啥喾N格式的報告文件--包括HTML格式。你也可以通過網(wǎng)絡遠程對OptiView集成式分析儀進行設置和啟動測試。用的骨干鏈路協(xié)議。FicntPoyeStabs1cs|DsttyToTheVLANVsioncptonhas3aldasrem0為您提供ATM、幀中繼、康信息?；?+styOur2.2.8補充說明1)關于運營商鏈路問題3)光跳線本項目中需要ST-SC單模光跳線120根ST-LC單模光跳線120根SC-LC單模光跳線20根。(1)網(wǎng)絡安全面對的威脅計算機網(wǎng)絡所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中信息的威脅；二是對網(wǎng)絡中設備的威脅。影響計算機網(wǎng)絡的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網(wǎng)絡系統(tǒng)資源的非法使有。歸結起來，針對網(wǎng)絡安全的威脅主要來自于：(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，單位內部用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網(wǎng)絡安全帶來威脅。(2)人為的惡意攻擊：這是計算機網(wǎng)絡所面臨的最大威脅，黑客攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成極大的危害，并導致機密數(shù)據(jù)的泄漏。惡意攻擊既可能來自外部連接，也可能來自內部網(wǎng)絡中的惡意用戶。(3)網(wǎng)絡軟件的漏洞和“后門”:網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內部的事件大部分都是因為安全措施不完善所招致的苦果。另外，系統(tǒng)運行大量的數(shù)據(jù)庫及MIS管理類的軟件，其中相當一部分是由本行業(yè)系統(tǒng)集成公司或自有的軟件開發(fā)人員編制的。設計編程人員為了方便往往在軟件編寫過程中留下“后門”以便于修改，但一旦“后門”洞開，其后果不堪設想。歸結起來，針對網(wǎng)絡的攻擊行為主要包括四種方式，分別為入侵Intrude、拒絕服務Denialofservice、信息竊取Sniffer、電子欺騙Spoofing。

入侵是最常見的攻擊方式。非法用戶試圖闖進計算機網(wǎng)絡里，就象普通合法用戶一樣使用網(wǎng)絡資源。入侵手段常見的一種是，猜測用戶的密碼，使用多種“字典”以枚舉法多次試驗；另一種是搜索整個系統(tǒng)，發(fā)現(xiàn)軟件，硬件的漏洞或配置錯誤，以獲得系統(tǒng)的進入權。

拒絕服務是一種將對方機器的功能或服務給以遠程摧毀或中斷的攻擊方式，Denialofservices攻擊通過向目標地址的網(wǎng)絡主機發(fā)送大量無效的IP包導致系統(tǒng)因為大量的服務進程累積而崩潰。

信息竊取利用網(wǎng)絡嗅查器(Sniffer)監(jiān)聽網(wǎng)段中的包信息，從中析出有用信息，如：用戶名，密碼，甚至付款信息等。Sniffer象電話竊聽裝置一樣，可以監(jiān)聽大量的網(wǎng)絡信息。

電子欺騙是結合DoS的技巧性攻擊，包括IPspoofing,Webspoofing,DNSspoofing,fakemail等。IPspoofing是利用而向連接的TCP協(xié)議三次“握手”(3-wayhand-shake)戶引向攻擊者指定的錯誤Web網(wǎng)點，從而進一步(2)網(wǎng)絡安全措施題。經(jīng)過業(yè)界長期實踐，一般認為網(wǎng)絡安全應主要考慮以下5個方面：身份包括鑒別和授權。鑒別回答了“你是誰”和“你在哪?”這兩個問題，授權回答邊界安全涉及到防火墻種類的功能，決定網(wǎng)絡的不同區(qū)域允許或拒在Internet/Extranet和主園區(qū)網(wǎng)之間或撥入網(wǎng)和主園現(xiàn)惡意入侵行為的措施，可能的特殊問題(拒絕業(yè)務攻擊)以及對安全策略的全面遵守等方(3)網(wǎng)絡安全詳細設計3.2硬件防火墻Internet的日益普及，互聯(lián)網(wǎng)上的瀏覽訪問，不僅使數(shù)據(jù)傳輸量增加，網(wǎng)絡被攻擊的可能性增大，而且由于Internet的開放性，網(wǎng)絡安全防護的方式發(fā)生了根本變化，使得安控制、審計以及日志等多種技術手段，且它們的實施可由通信雙Internet是一個開放的全球網(wǎng)絡，其解決如何利用Internet進行安全通信，同時保護內部網(wǎng)絡免受外部攻擊?；饓夹g應運而生。防火墻技術可根據(jù)防范的方式和側重點的不同而分為很多種類3.2.1各種防火墻技術介紹數(shù)據(jù)包過濾(PacketFiltering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系許該數(shù)據(jù)包通過。數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，它通常安裝在路由器上。路由器是內部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。數(shù)據(jù)包過濾防火墻的缺據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。分之所以有效，因為它能很大程度地滿足安全要求。所根據(jù)的信息來源于IP、TCP或UDP包應用級網(wǎng)關(ApplicationLevelGateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉發(fā)功代理服務(ProxyService)也稱鏈路級網(wǎng)關或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸于應用級網(wǎng)關一類。計算機系統(tǒng)間應用層的""鏈接"",由兩個終止代理服務器上的""鏈接""來實現(xiàn)，外部會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內部網(wǎng)與外點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI成復合型防火墻產(chǎn)品。這種結合通常是以下兩種方案。構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到一子網(wǎng)與Internet及內部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結構中，堡壘主機和分組過濾核心交換機內網(wǎng)外網(wǎng)NG入侵檢測郵件服務器境.平臺支持：采用專用硬件平臺與專用的安全操作系統(tǒng)·基于會話檢測的防火墻實現(xiàn)機制：采用基于操作系統(tǒng)內核的會話檢測技術(核檢測);·更先進的系統(tǒng)結構：硬件上支持對接口的靈活擴展，可以通過靈活的擴展來適應業(yè)務發(fā)tree、NETBEUI、IPSEC、H.323、MMS等，保證用戶的網(wǎng)絡應用，方便用戶擴展IP寬帶接入及IP電話、視頻會議、VOD·支持交換機主干鏈路：防火墻的物理接口實現(xiàn)了DOt1q封裝格式，能夠同交換機的Trunk接口對接，實現(xiàn)了Vlan間路由的功能，保證了防火墻對于各種網(wǎng)絡環(huán)·地址轉換：采用雙向網(wǎng)絡地址轉換(雙向NAT)技術，支持靜態(tài)NAT及動態(tài)NAT(IPPOOL),并能夠實現(xiàn)一對一、一對多的地址映射；位HASH算法。身份認證采用1024位的非對稱算法。.VPN更高的安全性：將VPN的證書和私鑰存入USB中，只有擁有USB的人員才能啟動隧道，保證了VPN整個過程的安全性?？诹罘绞?、數(shù)字證書(CA),更好更廣泛的實.地址綁定：實現(xiàn)IP地址與MAC地址捆綁，防止IP地址非法盜用；·安全服務器(SSN)保護：具有對公開服務器保護功能，一旦服務器內容被非法篡改，·源、目地址路由功能：根據(jù)通訊的源地址和目標地址來做出路由選擇，適應有多個網(wǎng)絡·ADSL接入：防火墻實現(xiàn)了ADSL功能，滿足了目前中小型公司的網(wǎng)絡訪問能力，滿足攻擊、SYN攻擊；抗DOS、DDOS攻擊；可阻止ActiveX、Java、Javascript入侵?！し阑饓χС諸opsecManager與SAS:支持TopsecManager綜合管·實時監(jiān)控：實時察看防火墻主機的當前負載情況，包括內存的使用情況和連接狀·防火墻支持多種工作模式：支持路由模式、透明(橋接)模式(防火墻可不配地址)、混合模式(路由與透明兩種模式同時工作)本地管理、遠程管理和集中管理；支持基于SSH的遠程登陸管理和基于SSL的GUI方式·深層日志及靈活、強大審計分析功能：審計日志包括如下幾個部分：日志會話、日志命令。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通其參數(shù)，比如HTTP請求及其要取的大量的數(shù)據(jù)，有些用戶可能不需要，如協(xié)商通信參數(shù)過程等。例如針對FTP出(防火墻配置文件信息的備份與恢復);·網(wǎng)絡衛(wèi)士防火墻NGFW4000(硬件):是一個基于安全的操作系統(tǒng)平臺的自主版權高級墻NGFW4000提供的訪問日志信息進行可視化審計的管理軟件。a.電源：AC110/220V50/60HZ,3.0A(最大),260W(最大)運行溫度：0—45攝氏度相對濕度：10—90%@40攝氏度，非冷凝IEC100043(輻射敏感性)IEC100044(電快速瞬變)IEC100045(電源)IEC100032(諧波)本次項目采用天融信NGIDS-Z連結到S2008交換機。通過S2008鏡像端口對防火墻DMZ區(qū)的網(wǎng)絡流量進行的監(jiān)測。并可與防火墻進行聯(lián)動，來阻止外部的攻擊。公司天融信機型標配接口說明標配2個10/100BASE-TX端口+1個10/100BASE-TX管理端口吞吐率實時檢測誤用檢測異常檢測測ARP/Telnet/FTP/HTTP/SMTP/POP3/IMAP/DNS/NetBios/CIF類型應用服務器活動日志回放功能 IDS逃避攻擊制誤報處理機制制實時響應聲音/熒光燈反跟蹤功能支持(提供單獨的跟蹤器)功能引擎狀態(tài)監(jiān)控支持(引擎存活狀態(tài)、CPU/內存使用率、當前會話數(shù)、丟包率、當前數(shù)據(jù)包數(shù))郵件監(jiān)控支持(可監(jiān)控本文，附件內容)入侵響應相關幫助支持(基于XML的詳盡的幫助)提供用戶自定義規(guī)則功能司安全產(chǎn)品指定服務器服務監(jiān)控功能100多種(支持word,excel,HTML,XML,郵件等基于crystal的所有報表)用戶自定義報表添加功能綜合報表支持(提供入侵檢測、流量、系統(tǒng)配置參數(shù)等等豐富報表)支持本地數(shù)據(jù)庫日志備份/壓縮TAP設備支持支持Stealth功能(監(jiān)聽端口無通訊加密聯(lián)動(支持IAP,OPSEC等標準備)動塊綜合管理第三支持(netscreen,checkpoint)FireWall-1聯(lián)動動第四章內蒙古XXX網(wǎng)絡平臺軟件設計4.1操作系統(tǒng)網(wǎng)絡操作系統(tǒng)是計算機系統(tǒng)中一個重要組成部分，它起到用戶和計算機之間的接口作>支持客戶機/網(wǎng)絡(Client/Network)體系>支持多重協(xié)議>具備目錄及安全服務的支持能力>具備強大的網(wǎng)絡管理能力>具備網(wǎng)絡服務器系統(tǒng)的備份/恢復能力>多任務處理、多流操作、多處理器系統(tǒng)，支持B/S結構>NTFS文件系統(tǒng)，文件易于恢復，安全>易于安裝、管理和使用>內置的通信服務>便于使用和維護，符合當今發(fā)展趨勢，便于系統(tǒng)升級>對相關軟件支持性好，與各開發(fā)應用軟件兼容性好本方案應要求采用WindowsServer2003標準版作為網(wǎng)絡操作2003是在Windows2000經(jīng)過考驗的可靠性、可伸縮性和可管理性的基礎上構建的，為加強聯(lián)網(wǎng)應用程序、網(wǎng)絡和XMLWeb服務的功能(從工作組到數(shù)據(jù)中心)提供了一個高效包括：智能文件和打印機共享、安全Internet連接、集中式的桌面應用程序部署以及連接WindowsServer2003標準版充分利用了Windows2準版包含的新增功能和改進使它成為Microsoft所創(chuàng)建的最可靠的小型部門服務器操WindowsServer2003標準版對Windows2000Se進行了改進，例如，支持智能卡、帶寬限制和即插即用支持。新增的技術InformationServices6.0(IIS6.0)、公鑰結構(PKI)和Kerberos的改進使由于分支辦公室域控制器中的更有效的同步、復制和憑據(jù)緩存功能，ActiveDirectoryR服務在不可靠的廣域網(wǎng)(WAN)連接中更快、更可靠。多功能，這些功能有助于提高部門和職員的工作效Microsoft已在改進易管理性方面取得了長足進步的基于任務的設計可以更加方便地查找和執(zhí)行公用任務。對于Microsoft管理控制臺此外，WindowsServer2003系列有多種動部署的Microsoft軟件更新服務(SUS)和服務器配置向導。用新的組策略管理平臺(GPMC)簡化了管理組策略，同時使更多的部門能更好地使用ActiveDirectory并利用它強大的管理功能。另外，命令行工具使管理員能從命令控換(WebDAV)遠程文檔共享技術之外式文件系統(tǒng)(DFS)和加密文件系統(tǒng)(EFS)的改進允許強大、靈活的文件Server2003系列的其他成員共享很多功能，這些功能幫助職員保WindowsServer2003系列的聯(lián)網(wǎng)改進和新增功能擴展了網(wǎng)絡結構的多功能性、可和在任何設備上連接到他們的中央系統(tǒng)。Microsoft在WindowsServer2003中改進了重要的聯(lián)網(wǎng)功能，其中包括Internet協(xié)議版本和經(jīng)濟劃算的方式來快速傳送和管理動態(tài)內容。Windows媒WindowsServer2003不僅對Microsoft.重要的是可作為開發(fā)、分布和托管用.NET創(chuàng)建的XMLWeb服務的理想平臺，這是一利用最大的合作伙伴SolutionEco由于PC技術提供了最經(jīng)濟的芯片平臺，僅依靠PC就可完成任務已成為采用WServer2003的重要經(jīng)濟動機。而對WindowsServer2003在成本控制方面適動程序和軟件應用程序，使它便于添加新設備和應用程序。另外，MicrosoftSolutionsOfferings(MSO)可幫助各機構創(chuàng)建能解決業(yè)務難題并經(jīng)務使軟件集成程度達到了前所未有的水平：分散、組塊化的應用程序通過Internet互相這些XMLWeb服務提供了基于行業(yè)標準構建的利用現(xiàn)有的投資?；赪indows的現(xiàn)有應用程序可以在WindowsServer減少代碼的編寫工作量，使用已經(jīng)掌握了的編程語言和工具

可靠XMLWeb服務：默認情況下，IIS6.0的安全設置在安全修補程序)的能力。管理員可以選擇何時安裝這些重要的操作系統(tǒng)更新。服務器硬件支持：驅動程序驗證程序檢查新的設備驅動程序以保證服務器的正常啟行的應用程序進行測試和驗證。該工具主要用于處理精細文件服務：從MicrosoftWindowsNTRServer4.0和Windows2000服務器事件跟蹤：管理員可以使用新的服務器關機跟蹤程序報告準確的WindowsServer2003標準版提供的工具使管理員角色(如文件服務器、打印機服務器、遠程訪問服務器和其他角色)的簡單易用的向導，"管理服務器"向導："管理服務器"向導提供了一個當前管理服務器的簡單易用的界管理員可以從網(wǎng)絡上的其他任一計算機上管理某臺計算持人員收到一份遠程用戶發(fā)出的邀請，"遠程協(xié)助"則是一種從正運行WindowsWindowsServer2003遠程計算機后，給予協(xié)作的用戶將能夠查看遠程計算機的屏幕并行的程序。例如，用戶可以從不能本地運行軟件的硬件Professional桌面和Windows的基于x86的應用程序。無論是基于WindowsWeb應用程序服務器角色：WindowsServer2003還是功用程序服務器。它將.NET框架與核心服務器資源集成起來，以便幫助用戶開發(fā)、部署Windows媒體服務：WindowsServer2003標準版包括"Windows務",該服務用于在公司Intranet和Internet上分發(fā)流式音頻和視頻。如訪問LAN之前必須經(jīng)過自動密鑰管理、用戶身份驗證和授權。WindowsServer現(xiàn)象也時有發(fā)生，如何確保網(wǎng)站的安全也成為務器)或遠程訪問控制臺進行監(jiān)控。4.2.1產(chǎn)品結構外網(wǎng)Ⅱ內網(wǎng)防火墻口監(jiān)測端是整個系統(tǒng)的核心，運行于需要保護的Web服務器上；口控制臺與監(jiān)測端運行于需要保護的同一Web服務器上；口用戶可通過IE瀏覽器在本地或遠程連接登錄控制臺進行監(jiān)控。4.2.2產(chǎn)品概述

強大的保護功能1)三道防線，多重保護系統(tǒng)設置了實時阻斷、自動恢復和定時掃描恢復三道防線對目標WWW服務器進行多重保護，三種保護方式靈活可選，用戶可根據(jù)自己的需求來自由選擇、組合應用或切換保護方系統(tǒng)不但對非法操作進行告警記錄，同時也將被保護頁面受到的非法操作結果進行保存，這不但達到保護現(xiàn)場的效果，而且對我們將來研究黑客行為特征以及研究防黑客手段也提供了重要的依據(jù)。

第一時間支持WIN2003啟明星辰公司是微軟公司在中國網(wǎng)絡安全領域的少數(shù)戰(zhàn)略合作伙伴之一，早在WindowsServer2003上市之前，雙方即展開了長達數(shù)月的緊密合作，專門將WebKeeper等產(chǎn)品針對WindowsServer2003進行了升級優(yōu)化，推出了針對WindowsServer2003的安全解決方案，從而豐富了WindowsServer2003的本地化安全應用，更好地滿足了目前各行業(yè)信1)安全的備份措施系統(tǒng)提供異機備份的方式，大大提高了備份庫的安全性2)安全的訪問控制采用MD5進行加密傳輸；另外，系統(tǒng)采用了DCOM技術，不打開任何端口，避免受到來3)安全的運行模式系統(tǒng)運行采用開啟服務方式，實現(xiàn)了真正的無界面運行1)詳盡的日志2)方便的告警用戶可以通過屏幕察看最新告警信息或告警日志來了解異常行3)靈活的維護系統(tǒng)允許用戶設定上傳工具，系統(tǒng)運行期間可對保護項5)方便的二次開發(fā)接口系統(tǒng)采用的COM/DCOM技術，提供了方便1)觸發(fā)掃描，提高效率觸發(fā)式掃描是指我們采用的機制能精確定位文件的位置和變化類型恢復被操作的文件/目錄(先比較屬性再比較內容),這樣就避免了傳統(tǒng)的輪巡掃描資源占用2)后臺監(jiān)測，節(jié)省資源當發(fā)現(xiàn)異常操作及時阻斷或恢復時，系統(tǒng)會占用一定CPU,一旦響應完畢便釋口內存：不低于128M,建議256M以上口硬盤：不低于50M剩余空間，建議200M以上剩余空間議SP6)、WindowsXP、WindowsServer20034.3郵件系統(tǒng)4.3.1不同類型產(chǎn)品間的比較此類產(chǎn)品以MSExchange/IBMLotusNotes之類的產(chǎn)品為代表，它們以Email為基礎，此類產(chǎn)品以Qmail/Sendmail為代表，免費，更此類產(chǎn)品的特點是采用分布式群機系統(tǒng)，擴展能力強、穩(wěn)定可上千萬用戶。例如方標訊業(yè)的CSmailPostCenterServer等。此類產(chǎn)品的缺點是，產(chǎn)品定位于電信級高端市場，價格昂貴、經(jīng)過上面對各類型產(chǎn)品的對比，結合現(xiàn)有的系統(tǒng)。我們選用方2.0郵件系統(tǒng)。CSmailPostOffice系統(tǒng)與Internet,以及其他客戶端、網(wǎng)關的邏輯連圖中：●外部用戶是使用瀏覽器的郵箱用戶，使用HTTP協(xié)議，或者是通用的郵件客戶端軟件，使用SMTP/POP3協(xié)議；●Management是使用瀏覽器進行管理的系統(tǒng)管理員或者域管理員，使用HTTPS或者SSH協(xié)議；

產(chǎn)品特點1)高度安全性PostOffice2.0在系統(tǒng)設計時有嚴密安全性考慮，在每個模塊的設計和編碼均采用了多種技術以提高安全性，并經(jīng)過嚴格的測試?！駥崿F(xiàn)了CSmail的各個模塊，包括POP3、UD、MTA、WebMail、MDA