某地鐵局域網(wǎng)和城域網(wǎng)解決方案

項(xiàng)目概述廣州地鐵總公司的新辦公場(chǎng)所位于廣州市中山五路與解放路交界處的中旅商業(yè)城第十六層，面積約為三千七百平方米，集中了地鐵總公司的財(cái)務(wù)部、企業(yè)管理總部、人力資源總部等行政管理部門，大約將有二百三十多名工作人員在此辦公。廣州地鐵總公司將在中旅商業(yè)城十六層建立計(jì)算機(jī)網(wǎng)絡(luò)，該網(wǎng)絡(luò)是廣州地鐵總公司企業(yè)管理信息系統(tǒng)的平臺(tái)，他將提供以下的服務(wù)：各種數(shù)據(jù)庫管理系統(tǒng)，如財(cái)務(wù)管理系統(tǒng)、合同管理系統(tǒng)等；辦公自動(dòng)化信息管理，如公文流轉(zhuǎn)、電子郵件系統(tǒng)等；國(guó)際互聯(lián)網(wǎng)Iternet接入；六間會(huì)議室有少量的多媒體信息傳輸；要求實(shí)現(xiàn)與公司其他總部——位于芳村西朗的運(yùn)營(yíng)事業(yè)總部、位于北京路廣百大廈29層的資源開發(fā)總部、位于公園前地鐵控制中心的建設(shè)事業(yè)總部、位于環(huán)市西路204號(hào)的地鐵設(shè)計(jì)院網(wǎng)絡(luò)互聯(lián)，構(gòu)筑廣州地鐵總公司城域網(wǎng)，實(shí)現(xiàn)全公司信息的共享；允許外出的工作人員通過撥號(hào)訪問地鐵總公司網(wǎng)絡(luò)、互換信息。需求分析網(wǎng)絡(luò)現(xiàn)狀分析布線工程已由廣州地鐵總公司委托其他公司完成。該布線工程全部采用Lucent公司的超五類設(shè)備進(jìn)行施工，將達(dá)到Lucent公司十五年保用標(biāo)準(zhǔn)。共有三個(gè)設(shè)備間，其中一個(gè)與計(jì)算機(jī)房合在一起。三個(gè)設(shè)備間之間都有電纜直接連接，可形成環(huán)路。網(wǎng)絡(luò)布線端口數(shù)達(dá)到320個(gè)，每個(gè)設(shè)備間所聯(lián)信息點(diǎn)基本一樣，大約為110個(gè)。網(wǎng)絡(luò)操作系統(tǒng)將采用MSWindows2000Server。網(wǎng)絡(luò)需求分析根據(jù)地鐵總公司的要求，這次網(wǎng)絡(luò)工程的主要內(nèi)容包括四部分：中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)防火墻及防病毒解決方案；廣州地鐵總公司城域網(wǎng)；中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)國(guó)際互聯(lián)網(wǎng)接入?？傮w設(shè)計(jì)方案系統(tǒng)設(shè)計(jì)原則高可靠性計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)采用可靠性較高的產(chǎn)品和容錯(cuò)較強(qiáng)的網(wǎng)絡(luò)結(jié)構(gòu)，以使網(wǎng)絡(luò)具有高度的可靠性。應(yīng)采取多層次的冗余備份手段和技術(shù)，保證設(shè)備在發(fā)生故障時(shí)能在最短時(shí)間內(nèi)恢復(fù)，以最大程度地保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。高安全性根據(jù)建行的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，采用合適的技術(shù)手段，充分保證網(wǎng)絡(luò)安全性。先進(jìn)性在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。要采用最大先進(jìn)網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務(wù)需求，又要充分考慮未來的發(fā)展，保證網(wǎng)絡(luò)建成后3-5年不落后，選用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。易管理、易維護(hù)由于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)規(guī)模龐大，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品，以便于管理和維護(hù)?？蓴U(kuò)展性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好可擴(kuò)展性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)應(yīng)可平滑地?cái)U(kuò)展的升級(jí)，而不需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)備進(jìn)行大的改動(dòng)。系統(tǒng)設(shè)計(jì)概述網(wǎng)絡(luò)體系結(jié)構(gòu)和邏輯結(jié)構(gòu)設(shè)計(jì)確定網(wǎng)絡(luò)體系結(jié)構(gòu)及相應(yīng)的通信協(xié)議，對(duì)于系統(tǒng)的改造是一個(gè)十分很重要的問題。由于網(wǎng)絡(luò)系統(tǒng)的改造涉及到許多部門，而這些部門有的在使用一些專用的系統(tǒng)，有的需要與其它專用系統(tǒng)相連。因此，要共享網(wǎng)絡(luò)的資源及在網(wǎng)絡(luò)中交換信息，就必須實(shí)現(xiàn)不同系統(tǒng)間的實(shí)體通信，這需要不同系統(tǒng)采用同一協(xié)議.。網(wǎng)絡(luò)體系結(jié)構(gòu)的確定：骨干網(wǎng)絡(luò)使用交換式快速以太網(wǎng)。本網(wǎng)絡(luò)大量采用以太網(wǎng)產(chǎn)品，因?yàn)橐蕴W(wǎng)發(fā)展最為迅速，目前擁有廣泛用戶和眾多的產(chǎn)品，容易得到支持。網(wǎng)絡(luò)的主干采用100Mb/S交換式以太網(wǎng)，原因如下：采用100Mb/s以太網(wǎng)交換技術(shù),可使網(wǎng)絡(luò)主干速率成倍增長(zhǎng)；便于向千兆位以太網(wǎng)過渡；技術(shù)成熟；有大量的成功案例可查。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用星型網(wǎng)絡(luò)交換技術(shù)。通過相應(yīng)的管理軟件，在不改變網(wǎng)絡(luò)節(jié)點(diǎn)物理位置的情況下，可以對(duì)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進(jìn)行合理的劃分，即建立虛擬網(wǎng)絡(luò)，來達(dá)到網(wǎng)絡(luò)信息流量的有效控制。網(wǎng)絡(luò)管理系統(tǒng)的確定人們往往只重視網(wǎng)絡(luò)的靜態(tài)性能，而忽視了對(duì)網(wǎng)絡(luò)動(dòng)態(tài)解決方案重要性的認(rèn)識(shí)。實(shí)際上，網(wǎng)絡(luò)管理有著極其重要的意義。通過網(wǎng)管軟件可方便地確定網(wǎng)絡(luò)故障點(diǎn)，及時(shí)解決問題；也可對(duì)網(wǎng)絡(luò)的信息流量進(jìn)行有效的控制和分流。要管理網(wǎng)絡(luò)端口，需要網(wǎng)上每臺(tái)設(shè)備都支持SNMP。根據(jù)本網(wǎng)絡(luò)的特點(diǎn)，要求網(wǎng)管程序能夠跨越地域?qū)Ξ惖氐木W(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行管理。連接Internet在與Internet的連接方面，通過代理服務(wù)器，利用ADSL專線訪問服務(wù)器，實(shí)現(xiàn)與遠(yuǎn)程客戶的信息交流。同時(shí)，還設(shè)立了網(wǎng)管工作站，監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況，使網(wǎng)絡(luò)達(dá)到最大的利用效率。四、系統(tǒng)方案局域網(wǎng)設(shè)計(jì)方案基本網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì).基本網(wǎng)絡(luò)物理結(jié)構(gòu)采用1臺(tái)Cisco的帶第三層路由交換功能的千兆以太網(wǎng)交換機(jī)–Catalyst2948G-L3做中心交換機(jī)，采用7臺(tái)Cisco的Catalyst3548XLEnterpriseEdition交換機(jī)（帶千兆網(wǎng)堆疊模塊）做桌面交換機(jī)，每2（3）臺(tái)堆疊成一組，通過一個(gè)千兆以太網(wǎng)模塊上聯(lián)至主干，下聯(lián)至300多個(gè)客戶工作站。各服務(wù)器、防火墻主機(jī)和路由器通過100兆快速以太網(wǎng)端口直接與中心交換機(jī)相聯(lián)。1）中心交換機(jī)的配置千兆以太網(wǎng)交換機(jī)Catalyst2948G-L3置于主設(shè)備間。中心交換機(jī)配置1塊24Gbps千兆以太網(wǎng)交換引擎、1塊20端口10M/100M自適應(yīng)以太網(wǎng)交換模塊、1塊12端口10M/100M自適應(yīng)第三層交換模塊、8塊2端口1000Base-SX輸入輸出模塊和1塊2端口1000Base-LX輸出模塊。2） 桌面交換機(jī)的配置桌面交換機(jī)根據(jù)用戶的實(shí)際情況采用7臺(tái)Cisco的Catalyst3548XLEnterpriseEdition交換機(jī)，每2（3）臺(tái)堆疊成一組，共3組，每組配置如下：Catalyst3548XL帶48個(gè)10/100Base-T自適應(yīng)端口Catalyst3548XL堆疊模塊Catalyst3548XL千兆位上聯(lián)模塊虛擬網(wǎng)（VLAN）的構(gòu)建VLAN是一個(gè)交換網(wǎng)絡(luò)，它可以按功能、部門或是應(yīng)用為基礎(chǔ)來加以邏輯上的劃分，而不是以實(shí)體或物理位置為基礎(chǔ)來劃分。VLAN的建立是為了提供更好的分段服務(wù)，每一個(gè)VLAN就是一個(gè)廣播域，也就等于WinNT網(wǎng)絡(luò)中的一個(gè)子網(wǎng)。這樣可以更有效的控制廣播，對(duì)于訪問控制以及日常的網(wǎng)絡(luò)管理也可以做到很好的控制。采用VLAN具有下述優(yōu)勢(shì)。

1）控制網(wǎng)絡(luò)上的廣播風(fēng)暴VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過量廣播風(fēng)暴,使用VLAN,可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī),在一個(gè)VLAN中的廣播風(fēng)暴不會(huì)送到VLAN之外,同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播風(fēng)暴。這樣,可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播風(fēng)暴的產(chǎn)生。2）增加網(wǎng)絡(luò)的安全性使用共享式LAN,安全性很難保證,VLAN提供了安全性防火墻,限制了個(gè)別用戶的訪問,控制組的大小及位置等。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。3）集中化的管理控制通過集中化的VLAN管理程序,網(wǎng)絡(luò)管理員可以確定VLAN組,分配特定用戶和交換端口給這些VLAN組,設(shè)置安全性等級(jí),限制廣播域的大小,通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量,跨越交換機(jī)配置VLAN通信,監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。這些能力有效的提高了網(wǎng)絡(luò)管理程序的可控性,靈活性和監(jiān)視功能,減少了管理的費(fèi)用,增加了集中管理的功能。本網(wǎng)絡(luò)系統(tǒng)分成多個(gè)邏輯子網(wǎng)，一個(gè)邏輯子網(wǎng)是由交換機(jī)設(shè)置的VLAN。不同VLAN之間在數(shù)據(jù)鏈路層(第二層)是互不連通的，當(dāng)他們需要互相訪問時(shí)，必須通過路由器或具有路由能力的交換機(jī)（第三層交換機(jī)）使它們?cè)诰W(wǎng)絡(luò)層(第三層)連接起來。本系統(tǒng)種所采用的Catalyst2948G-L3具有第三層路由模塊，不需要附加路由器，VLAN之間的通信在Catalyst2948G-L3交換機(jī)內(nèi)部即可解決，能夠建立跨過多臺(tái)交換機(jī)而在整個(gè)網(wǎng)絡(luò)中起作用的VLAN。Catalyst2948G-L3和Catalyst3548XLEnterpriseEdition都支持VLAN劃分，同時(shí)由于都支持802.1Q技術(shù)，也就能實(shí)現(xiàn)VLAN功能，通過802.1Q，網(wǎng)絡(luò)中所有交換機(jī)就可以采用相同的VLAN設(shè)置。服務(wù)器可以直接連接到交換機(jī)，最高速度可以達(dá)到800M。Cisco公司IOS操作系統(tǒng)和CiscoWorks網(wǎng)管軟件的統(tǒng)一應(yīng)用，以統(tǒng)一的軟件平臺(tái)把各種不同的硬件連接起來，構(gòu)成有效、無縫的信息系統(tǒng)，更有利于新應(yīng)用的部署，同時(shí)提高了網(wǎng)絡(luò)的整體性能。根據(jù)端口劃分本網(wǎng)絡(luò)系統(tǒng)利用交換機(jī)的端口來劃分VLAN成員，通過虛擬網(wǎng)管理應(yīng)用程序,中心交換機(jī)的端口被定義為虛擬網(wǎng)A、B、C三，分配到一個(gè)VLAN的各個(gè)LAN網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中,它們相互可以直接通信，并允許共享型網(wǎng)絡(luò)的升級(jí)。通過交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡(jiǎn)單明了，采用這種方法還便于直接監(jiān)控,可以對(duì)端口進(jìn)行安全控制。與之相比，基于物理地址的劃分方案管理起來不方便，網(wǎng)絡(luò)管理員經(jīng)常要進(jìn)行大量改動(dòng)；而基于協(xié)議的劃分方案又沒有什么必要，因?yàn)榫W(wǎng)絡(luò)本身基于TCP/IP協(xié)議。因此，迄今為止端口劃分是最常用的一種方式。系統(tǒng)的特點(diǎn)1）高性能核心交換機(jī)具有先進(jìn)高速第三層交換功能,所有端口均可進(jìn)行線速路由、根據(jù)各部門的節(jié)點(diǎn)數(shù)和對(duì)帶寬的需求，主干連接分別采用100Mb/s、100Mb/sTrunk和千兆以太網(wǎng)，使網(wǎng)絡(luò)的性能價(jià)格比達(dá)到最佳點(diǎn)。先進(jìn)的子網(wǎng)劃分方案VLAN是一個(gè)交換網(wǎng)絡(luò)，它可以按功能、部門或是應(yīng)用為基礎(chǔ)來加以邏輯上的劃分，而不是以實(shí)體或物理位置為基礎(chǔ)來劃分。VLAN的建立是為了提供更好的分段服務(wù)，每一個(gè)VLAN就是一個(gè)廣播域，也就等于Win95網(wǎng)絡(luò)中的一個(gè)子網(wǎng)。這樣可以更有效的控制廣播，對(duì)于訪問控制以及日常的網(wǎng)絡(luò)管理也可以做到很好的控制。充分利用CISCO產(chǎn)品的技術(shù)優(yōu)勢(shì)綜上所述，本網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性、安全性等特性是顯而易見的，但更重要的是它的網(wǎng)絡(luò)整體性能好，符合用戶的需要。網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)操作系統(tǒng)Windows2000AdvancedServer是為服務(wù)器開發(fā)的多用途網(wǎng)絡(luò)操作系統(tǒng)，它支持范圍廣泛的重要商業(yè)應(yīng)用程序和一系列豐富的開發(fā)工具，可為企業(yè)用戶提供文件打印、軟件應(yīng)用、Web功能和通信等各種服務(wù)，是一個(gè)性能好、工作穩(wěn)定、容易管理的平臺(tái)。Windows2000AdvancedServer采用模塊化設(shè)計(jì),能使現(xiàn)有系統(tǒng)和未來優(yōu)秀的技術(shù)相結(jié)合,因而可以在保持現(xiàn)有投資的基礎(chǔ)上進(jìn)一步采用新技術(shù)。Windows2000AdvancedServer具有以下特點(diǎn):平臺(tái)無關(guān)性Windows2000AdvancedServer是一個(gè)與硬件平臺(tái)無關(guān)的,可伸縮的服務(wù)器操作系統(tǒng)。它可運(yùn)行在Intelx86系統(tǒng)、精簡(jiǎn)指令集計(jì)算機(jī)(RISC)和DECAlpha處理機(jī)上,從而在選擇計(jì)算機(jī)系統(tǒng)時(shí)有多的自由。2）可擴(kuò)展性它可以擴(kuò)展到對(duì)稱多處理器上,使得需要高性能處理器時(shí)還可以加上額外的處理器，支持?jǐn)?shù)達(dá)到8路。Windows2000AdvancedServer在Alpha平臺(tái)上支持最多32G的物理內(nèi)存，在Intel平臺(tái)上支持最多8G的內(nèi)存。3）兼容性Windows2000支持Windows應(yīng)用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。安全性Windows2000已將安全性內(nèi)嵌入操作系統(tǒng),有選擇的訪問控制使你能對(duì)單個(gè)文件賦予權(quán)限。強(qiáng)有力的集中式安全管理,即統(tǒng)一帳號(hào)、集中驗(yàn)證、安全備份管理。Windows2000支持的安全模板由安全屬性的文件（.inf）組成，它將所有現(xiàn)有的安全屬性組織到一個(gè)位置以簡(jiǎn)化安全性管理，包含帳戶策略、本地策略、時(shí)間日志、受限組、文件系統(tǒng)、注冊(cè)表、系統(tǒng)服務(wù)七類安全性信息，也可以用作安全分析。Windows2000用Kerberos驗(yàn)證，提供更快、更安全的驗(yàn)證和響應(yīng)，允許用戶只登陸一次就可以訪問網(wǎng)絡(luò)資源?；顒?dòng)目錄活動(dòng)目錄采用可擴(kuò)展的對(duì)象存儲(chǔ)方式存儲(chǔ)了網(wǎng)絡(luò)上所有對(duì)象的信息，并使得這些信息更容易被查找到?；顒?dòng)目錄有靈活的目錄結(jié)構(gòu)，允許委派對(duì)目錄安全的管理，提供更有效率的權(quán)限管理。開放性支持多種傳輸協(xié)議,可在多種網(wǎng)絡(luò)環(huán)境下工作可靠性支持多種容錯(cuò)方式，有較強(qiáng)的容錯(cuò)和出錯(cuò)恢復(fù)功能，在多種一般錯(cuò)誤發(fā)生后一分鐘內(nèi)自動(dòng)重啟應(yīng)用軟件集成Web服務(wù)MicrosoftWindows2000平臺(tái)上提供Internet信息服務(wù)（IIS），該服務(wù)可提供在Intranet或Internet上共享文檔和信息的能力。利用IIS，可以部署靈活可靠、基于Web的應(yīng)用程序，并可將現(xiàn)有的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到Web上?？梢奧indows2000是十分理想的網(wǎng)絡(luò)應(yīng)用平臺(tái)，可應(yīng)用于擁有多種操作系統(tǒng)和提供Internet服務(wù)的部門和應(yīng)用程序服務(wù)器。我們建議采用Windows2000AdvanceServer作為網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)，用Windows2000Server作為應(yīng)用服務(wù)器的操作系統(tǒng)。應(yīng)用功能1）辦公自動(dòng)化和電子郵件服務(wù)MicrosoftExchangeServer是帶有集成組件的電子信息交換服務(wù)器，它使通訊交流更容易。它在單一的平臺(tái)上結(jié)合電子郵件、群組工作表、電子表格和組件應(yīng)用程序，可以通過一個(gè)集中化的管理程序進(jìn)行管理。它提供了業(yè)界最強(qiáng)的擴(kuò)展性、可靠性和安全性和最高的處理性能，而所有應(yīng)用都可以從通過Internet瀏覽器來訪問。與微軟BackOffice產(chǎn)品相結(jié)合，使用通用、熟悉的開發(fā)工具，ExchangeServer可以快速提供和實(shí)施強(qiáng)大的業(yè)務(wù)協(xié)作解決方案，滿足用戶對(duì)Intranet協(xié)作的多層次的需求，提高企業(yè)競(jìng)爭(zhēng)實(shí)力。本電子系統(tǒng)構(gòu)建于MicrosoftExchangeServer電子交換服務(wù)器，安裝Exchange服務(wù)器作為郵局，存儲(chǔ)、交換、管理郵件系統(tǒng)中的用戶和信件，以電子郵件為基礎(chǔ)，處理公司的所有郵件，構(gòu)成信息傳遞的基礎(chǔ)，并在此基礎(chǔ)上構(gòu)建如下應(yīng)用：個(gè)人級(jí)的應(yīng)用主要完成公司內(nèi)部工作人員日常的辦公工作管理，構(gòu)建電子辦公室環(huán)境。完成文書處理、電子表格、電子傳真、電子郵件、個(gè)人日程安排等功能。構(gòu)建MicrosoftWindows98和MicrosoftOffice97/2000的套件基礎(chǔ)上。部門級(jí)的應(yīng)用通過MicrosoftExchangeServer的Schedule+和MicrosoftOffice97/2000的Outlook來協(xié)調(diào)部門工作，處理會(huì)議請(qǐng)求、資源分配和工作安排等。企業(yè)級(jí)的應(yīng)用構(gòu)造公文自動(dòng)處理系統(tǒng)和檔案自動(dòng)管理系統(tǒng)等辦公自動(dòng)化應(yīng)用。通過電子公告板和WWW構(gòu)建信息發(fā)布和查詢應(yīng)用，構(gòu)建與InternetInformationServer和MicrosoftSQLServer的基礎(chǔ)上，形成內(nèi)部的Intranet。2）數(shù)據(jù)庫應(yīng)用目前應(yīng)用比較廣泛大型數(shù)據(jù)庫系統(tǒng)主要有Informix、Oracle、Sybase、Microsoft-SQLServer根據(jù)目前業(yè)務(wù)系統(tǒng)的特點(diǎn)，充分考慮今后系統(tǒng)開放性、高效性、聯(lián)機(jī)事務(wù)處理的要求，數(shù)據(jù)庫系統(tǒng)應(yīng)該采用SQLServer類型，綜合當(dāng)前SQLServer產(chǎn)品現(xiàn)狀，我們建議采用Microsoft-SQLServer，并使用獨(dú)立的數(shù)據(jù)庫服務(wù)器以提高性能。其原因主要有以下幾點(diǎn)：由于本系統(tǒng)的體系結(jié)構(gòu)采用客戶/服務(wù)器模式，Microsoft-SQLServer擁有廣泛的客戶基礎(chǔ)，考慮到本模塊主要與控制中心進(jìn)行數(shù)據(jù)交換及處理，因此充分估計(jì)其它業(yè)務(wù)及相關(guān)系統(tǒng)的要求，采用Microsoft-SQLServer便于進(jìn)行與其它系統(tǒng)的數(shù)據(jù)轉(zhuǎn)換及處理。本系統(tǒng)面臨一逐步推廣使用的過程，因此要求在系統(tǒng)構(gòu)造時(shí)充分考慮其擴(kuò)展性。MICROSOFTSQLServer具有開放的體系結(jié)構(gòu)，由于其公開的接口規(guī)格，使得現(xiàn)在多數(shù)4GL程序開發(fā)語言均支持對(duì)SQLServer的聯(lián)接，因此MICROSOFTSQLServer能夠面向多種系統(tǒng)的開發(fā)，便于處理與其它系統(tǒng)的接口問題?？缮炜s性：SQLServer所有的表、SQL代碼、存儲(chǔ)過程、規(guī)則、觸發(fā)器都能夠在不同的平臺(tái)上運(yùn)行。在單用戶的開發(fā)環(huán)境下開發(fā)的應(yīng)用能夠延伸到多用戶開發(fā)平臺(tái)上運(yùn)行，并且它便于向大型、具有并行處理能力的開放系統(tǒng)硬件環(huán)境轉(zhuǎn)移?；ゲ僮餍裕篗ICROSOFT客戶/服務(wù)器系統(tǒng)能夠透明地與其它廠商的產(chǎn)品聯(lián)結(jié)集成，如DB2、Oracle。分布式數(shù)據(jù)庫支持：MICROSOFTSQLServer便于廣域網(wǎng)絡(luò)環(huán)境下管理數(shù)據(jù)的復(fù)制和分布。較大的機(jī)構(gòu)建立應(yīng)用時(shí)，可以把它們的SQLServer網(wǎng)絡(luò)當(dāng)作一個(gè)單一的集成資源來對(duì)待。MICROSOFTSQLServer與Windows2000連接緊密：目前SQLServer產(chǎn)品較多，但與Windows2000連接緊密且性能優(yōu)越的當(dāng)數(shù)MICROSOFTSQLServer。MICROSOFTSQLServer有良好的安全性，達(dá)到C2級(jí)安全要求。在SQLServe數(shù)據(jù)庫的基礎(chǔ)上，可利用各種數(shù)據(jù)庫開發(fā)工具開發(fā)數(shù)據(jù)庫管理系統(tǒng)，也可使用現(xiàn)在流行的基于Windows平臺(tái)的MIS管理系統(tǒng)。3）域名服務(wù)由于IP地址是使用一長(zhǎng)串的數(shù)字來標(biāo)注主機(jī)鶴其他網(wǎng)絡(luò)設(shè)備，非常難于記憶和不便于使用，因此目前在Internet上，采用一種具有直觀含義的名字來代替以數(shù)字方式表示的IP地址，這種名字形式的地址稱為域名地址，整個(gè)分層的域名地址體系即是域名解析（DNS）。對(duì)于企業(yè)來說，域名是企業(yè)在網(wǎng)上的標(biāo)志，也是企業(yè)推廣自身形象的網(wǎng)絡(luò)門戶。域名解析是當(dāng)前網(wǎng)絡(luò)中一種成熟的技術(shù)，在本系統(tǒng)中將用Windows2000的DNS系統(tǒng)來做域名服務(wù)。Windows2000包括的DNS系統(tǒng)支持新的DDNS標(biāo)準(zhǔn)，既支持動(dòng)態(tài)更新，又可以兼容于NT4網(wǎng)絡(luò)，支持手工刷新，結(jié)合了WINS的動(dòng)態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。在Windows2000中，活動(dòng)目錄與DNS緊密集成在一起，客戶可以更容易更迅速地找到目錄服務(wù)器，企業(yè)可以把活動(dòng)目錄直接連接到Internet以簡(jiǎn)化與客戶和合作伙伴進(jìn)行通訊和提供電子商務(wù)，網(wǎng)絡(luò)規(guī)劃和管理變得更容易。4）遠(yuǎn)程訪問服務(wù)RAS（遠(yuǎn)程訪問服務(wù)）接入提供了協(xié)議封裝和數(shù)據(jù)加密功能，允許移動(dòng)用戶通過Internet或公共網(wǎng)絡(luò)建立虛擬專用網(wǎng)絡(luò)（VPN）模擬點(diǎn)對(duì)點(diǎn)專用連接，在計(jì)算機(jī)之間收發(fā)數(shù)據(jù)，其效果與在專用線路上進(jìn)行數(shù)據(jù)傳輸一樣安全、有效。在本系統(tǒng)中RAS服務(wù)器配有兩個(gè)Modem，外出的工作人員可通過電話網(wǎng)撥號(hào)遠(yuǎn)程接入與公司進(jìn)行安全的信息交換。5）Web服務(wù)Windows2000服務(wù)器中內(nèi)置了一個(gè)新的Web服務(wù)器--InternetInformationServer(IIS)5.0。IIS以其強(qiáng)大的服務(wù)能力和豐富的開發(fā)手段，使其成為了電子商務(wù)的主要服務(wù)器平臺(tái)，5.0在原有的基礎(chǔ)上，又增加了許多新的功能：IIS5.0將運(yùn)行在它上面的Web站點(diǎn)應(yīng)用和IIS核心服務(wù)隔離開來，而且可以對(duì)每個(gè)站點(diǎn)應(yīng)用配置獨(dú)立的CPU使用率，并可以獨(dú)立停止和重起每個(gè)進(jìn)程。這大大提高了Web服務(wù)器的可靠性和穩(wěn)定性，是您建立的電子商務(wù)站點(diǎn)運(yùn)行的更加可靠。在安全性方面，IIS5.0可以使用Windows2000ActiveDirectory實(shí)現(xiàn)用戶身份的驗(yàn)證，也可以使用證書和ActiveDirectory的結(jié)合來驗(yàn)證用戶。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對(duì)用戶身份的確認(rèn)。IIS5.0上的Web站點(diǎn)的開發(fā)使用的時(shí)ActiveServerPage(ASP)3.0。ASP提供了強(qiáng)大的功能和與Windows的緊密集成，同時(shí)ASP3.0又進(jìn)一步提高了效率。ASP3.0提供了和XML的集成，同時(shí)也可以用ADSI2.0對(duì)Windows2000ActiveDirectory進(jìn)行操作。使用MicrosoftVisualInterDev6.0開發(fā)工具，您可以快速建立您的電子商務(wù)系統(tǒng)，也可以建立一個(gè)復(fù)雜但是功能強(qiáng)勁的電子商務(wù)系統(tǒng)。因此在本系統(tǒng)中將配置一臺(tái)Web服務(wù)器，使用IIS5.0進(jìn)行Web開發(fā)，提供完善的Web服務(wù)。6）多媒體信息傳輸根據(jù)客戶的需求，本系統(tǒng)采用MicrosoftNetMeeting構(gòu)建多媒體會(huì)議系統(tǒng)。備份服務(wù)（建議采用）使用計(jì)算機(jī)系統(tǒng)處理日常業(yè)務(wù)在提高效率的同時(shí)，有一個(gè)問題越來越不容忽視，即數(shù)據(jù)失效問題。一旦發(fā)生數(shù)據(jù)失效，企業(yè)就會(huì)陷入困境：客戶資料、技術(shù)文件、財(cái)務(wù)賬目等數(shù)據(jù)可能被破壞得面目全非，如果系統(tǒng)無法順利恢復(fù)，最終結(jié)局將不堪設(shè)想。所以企業(yè)信息化程度越高，備份和災(zāi)難恢復(fù)措施就越重要。根據(jù)系統(tǒng)自身的特點(diǎn)和對(duì)備份功能的要求，我們建議在本系統(tǒng)中采用CA公司的ARCserve備份系統(tǒng)。ARCserve是一個(gè)跨平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)備份軟件，在數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)、病毒防護(hù)方面均提供全面的產(chǎn)品支持，目前已成為了業(yè)界的事實(shí)標(biāo)準(zhǔn)。CA公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡(luò)管理、數(shù)據(jù)庫系統(tǒng)和工具軟件等諸多方面。全球最大的500家企業(yè)中有95%使用了CA公司的產(chǎn)品。產(chǎn)品特性：全面保護(hù)Windows操作系統(tǒng)支持打開文件備份支持對(duì)各種數(shù)據(jù)庫如Betrieve、Sybase、Oracle等的備份支持從服務(wù)器到工作站的全面網(wǎng)絡(luò)備份可以實(shí)現(xiàn)無人值守的自動(dòng)備份備份前掃描病毒，可以實(shí)現(xiàn)無毒備份支持災(zāi)難恢復(fù)Cisco網(wǎng)絡(luò)管理CiscoWorksWindows是全面的網(wǎng)絡(luò)管理軟件，它提供一整套強(qiáng)有力的工具，可用于管理小型到中型企業(yè)網(wǎng)或工作組。對(duì)連網(wǎng)設(shè)備自動(dòng)識(shí)別程序可以用色彩鮮明的分級(jí)網(wǎng)絡(luò)視IPIPX網(wǎng)生成網(wǎng)絡(luò)拓樸圖；能為Cisco設(shè)備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計(jì)，協(xié)議信息及其它網(wǎng)絡(luò)性能統(tǒng)計(jì)等擴(kuò)展數(shù)據(jù)；繪圖功能靈活，可快速記錄和分析可能輸出到文件以備電子數(shù)據(jù)表或其它工具使用的歷史數(shù)據(jù)；管理信息率（MIIB）編輯器器和測(cè)覽器可可以管理第三三方SNMPP設(shè)備；可以定多種性能變變量設(shè)置，以以便產(chǎn)生報(bào)警警或事件通知知；事件篩選器可以篩篩選出有用信信息以加速故故障排除；設(shè)備配置特性用于于在Ciscco交換機(jī)機(jī)內(nèi)配置簡(jiǎn)單單的虛擬LAAN（VLAN）。局域網(wǎng)拓?fù)鋱D局域網(wǎng)防火墻及防防病毒解決方方案網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析析對(duì)于信息網(wǎng)所面臨臨的安全風(fēng)險(xiǎn)險(xiǎn)涉及網(wǎng)絡(luò)環(huán)環(huán)境多方面，包包括：自然災(zāi)害——水災(zāi)災(zāi)、火災(zāi)、地地震等；電子化系統(tǒng)故障———系統(tǒng)硬件、電電力系統(tǒng)故障障等；人員無意識(shí)行為———編碼缺陷、系系統(tǒng)配置漏洞洞、誤操作及及無意泄漏等等；人員蓄意行為———網(wǎng)絡(luò)環(huán)境可可用性破壞、惡惡意攻擊等。其中，前三個(gè)方面面的風(fēng)險(xiǎn)能夠夠通過增強(qiáng)對(duì)對(duì)網(wǎng)絡(luò)環(huán)境的的抗自然災(zāi)害害的能力、加加強(qiáng)網(wǎng)絡(luò)設(shè)備備管理維護(hù)、系系統(tǒng)操作管理理等手段來加加以完善，盡盡可能將風(fēng)險(xiǎn)險(xiǎn)降低到能夠夠被控制和管管理的程度。而對(duì)于第四方面的的安全風(fēng)險(xiǎn)，對(duì)對(duì)整個(gè)信息網(wǎng)網(wǎng)的安全環(huán)境境所構(gòu)成的危危害最大，同同時(shí)也是最難難于管理與防防范的。且不不僅僅能夠通通過加強(qiáng)對(duì)網(wǎng)網(wǎng)絡(luò)環(huán)境及人人員的安全管管理所能夠?qū)崒?shí)現(xiàn)的，盡管管安全管理非非常重要。同同時(shí)需要相應(yīng)應(yīng)的安全技術(shù)術(shù)手段輔助完完成。這也是是本安全方案案所要詳細(xì)闡闡述的。對(duì)于在信息網(wǎng)環(huán)境境中，采取何何種安全技術(shù)術(shù)手段且如何何實(shí)現(xiàn)，就需需要通過對(duì)前前面提到第四四方面的安全全風(fēng)險(xiǎn)的分析析的基礎(chǔ)上，針針對(duì)信息網(wǎng)安安全需求來確確定。 對(duì)于風(fēng)險(xiǎn)來說，它它應(yīng)包括那些些可以被管理理但又不能被被清除的，以以及那些能夠夠中斷網(wǎng)絡(luò)工工作流并對(duì)工工作環(huán)境造成成破壞性的威威脅。其中，主主要包括：對(duì)于網(wǎng)絡(luò)應(yīng)用服務(wù)務(wù)的非授權(quán)訪訪問信息交互的保密性性網(wǎng)絡(luò)病毒的傳播與與滲入網(wǎng)絡(luò)黑客行為 通過對(duì)以上主要的的網(wǎng)絡(luò)威脅分分析，使我們們能夠準(zhǔn)確把把握信息網(wǎng)的的網(wǎng)絡(luò)安全需需求。需求分析網(wǎng)絡(luò)安全需求是保保護(hù)網(wǎng)絡(luò)不受受破壞，確保保網(wǎng)絡(luò)服務(wù)的的可用性。對(duì)對(duì)于信息網(wǎng)絡(luò)絡(luò)內(nèi)部安全需需求，包括：：能夠滿足信息網(wǎng)絡(luò)絡(luò)內(nèi)的授權(quán)用用戶對(duì)相關(guān)專專用網(wǎng)絡(luò)資源源訪問；能夠?qū)τ诜鞘跈?quán)用用戶的訪問進(jìn)進(jìn)行有效控制制和報(bào)警；能夠堅(jiān)決杜絕病毒毒和其他危險(xiǎn)險(xiǎn)程序進(jìn)入網(wǎng)網(wǎng)絡(luò)；能夠?qū)τ谶h(yuǎn)程訪問問用戶進(jìn)行安安全管理；加強(qiáng)對(duì)于整個(gè)信息息網(wǎng)絡(luò)資源和和人員的安全全管理與培訓(xùn)訓(xùn)。安全管理需求分析析如前所述，能否制制定一個(gè)統(tǒng)一一的安全策略略，在全網(wǎng)范范圍內(nèi)實(shí)現(xiàn)統(tǒng)統(tǒng)一的安全管管理，對(duì)于信信息網(wǎng)來說就就至關(guān)重要了了。安全管理主要包括括兩個(gè)方面：：內(nèi)部安全管理主要是建立內(nèi)部安安全管理制度度，如機(jī)房管管理制度、設(shè)設(shè)備管理制度度、安全系統(tǒng)統(tǒng)管理制度、病病毒防范制度度、操作安全全管理制度、安安全事件應(yīng)急急制度等，并并采取切實(shí)有有效的措施保保證制度的執(zhí)執(zhí)行。內(nèi)部安安全管理主要要采取行政手手段和技術(shù)手手段相結(jié)合的的方法。網(wǎng)絡(luò)安全管理在網(wǎng)絡(luò)上設(shè)置防病病毒安全檢測(cè)測(cè)系統(tǒng)后，必必須保證防病病毒系統(tǒng)的設(shè)設(shè)置正確，且且其配置不允允許被隨便修修改。采用用用戶和口令認(rèn)認(rèn)證機(jī)制加強(qiáng)強(qiáng)對(duì)用戶的管管理，可以通通過財(cái)務(wù)軟件件本身和一些些網(wǎng)絡(luò)層的管管理工具來實(shí)實(shí)現(xiàn)。安全方案根據(jù)對(duì)信息網(wǎng)現(xiàn)階階段的安全需需求分析，我我們?cè)谠O(shè)計(jì)本本安全方案時(shí)時(shí)，將采取一一切有力的措措施，來實(shí)現(xiàn)現(xiàn)信息網(wǎng)現(xiàn)階階段的安全目目標(biāo)，考慮到到現(xiàn)階段對(duì)網(wǎng)網(wǎng)絡(luò)病毒的管管理要求，本本方案提出對(duì)對(duì)網(wǎng)絡(luò)病毒防防范和管理控控制建議，并并提出了現(xiàn)階階段的網(wǎng)絡(luò)安安全管理方案案。網(wǎng)絡(luò)設(shè)備的安全配配置信息網(wǎng)中，整個(gè)網(wǎng)網(wǎng)絡(luò)的安全首首先要確保網(wǎng)網(wǎng)絡(luò)設(shè)備的安安全，保證非非授權(quán)用戶不不能訪問網(wǎng)絡(luò)絡(luò)任意的網(wǎng)絡(luò)絡(luò)通訊設(shè)備（例例如：路由器器，集線器等等）。對(duì)不同同型號(hào)、廠家家的網(wǎng)絡(luò)設(shè)備備，要防范的的內(nèi)容是一樣樣的，但具體體的配置方法法須依照設(shè)備備要求來實(shí)現(xiàn)現(xiàn)。對(duì)服務(wù)器訪問的控控制對(duì)于服務(wù)器用戶可可以設(shè)置不同同的用戶權(quán)限限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)權(quán)限，非特權(quán)權(quán)訪問權(quán)限允允許用戶在服服務(wù)器上查詢?cè)兡承┕娦判畔⒌珶o法對(duì)對(duì)服務(wù)器進(jìn)行行配置；特權(quán)權(quán)訪問權(quán)限則則允許用戶對(duì)對(duì)服務(wù)器進(jìn)行行完全的配置置。 對(duì)服務(wù)器訪問的控控制建議使用用以下的方式式：控制臺(tái)訪問控制限制訪問空閑時(shí)間間口令的保護(hù)多級(jí)管理員權(quán)限CheckPoiintFiireWalll-144.0作為開放安全企業(yè)業(yè)互聯(lián)聯(lián)盟(OPSEEC)的組織和倡倡導(dǎo)者之一，CheckkPointt公司致力于于企業(yè)級(jí)網(wǎng)絡(luò)絡(luò)安全產(chǎn)品的的研發(fā)，據(jù)IDC的最近統(tǒng)計(jì)計(jì)，其FireWWall-11防火墻在市市場(chǎng)占有率上上已超過44%，《財(cái)富》排排名前100的大企業(yè)里里近80%選用了CheeckPoiintFiireWalll-1防火火墻。CheckPoiintFiireWalll-1產(chǎn)品品包括以下模模塊：基本模塊：狀態(tài)檢測(cè)模塊（IInspecctionModulle）：提供供訪問控制、客客戶機(jī)認(rèn)證、會(huì)會(huì)話認(rèn)證、地地址翻譯和審審計(jì)功能；防火墻模塊（FiireWalllModdule）：：包含一個(gè)狀狀態(tài)檢測(cè)模塊塊，另外提供供用戶認(rèn)證、內(nèi)內(nèi)容安全和多多防火墻同步步功能；管理模塊（MannagemeentMoodule）：：對(duì)一個(gè)或多多個(gè)安全策略略執(zhí)行點(diǎn)（安安裝了FirreWalll-1的某個(gè)個(gè)模塊，如狀狀態(tài)檢測(cè)模塊塊、防火墻模模塊或路由器器安全管理模模塊等的系統(tǒng)統(tǒng)）提供集中中的、圖形化化的安全管理理功能；可選模塊連接控制（ConnnectContrrol）：為為提供相同服服務(wù)的多個(gè)應(yīng)應(yīng)用服務(wù)器提提供負(fù)載平衡衡功能；路由器安全管理模模塊（RouuterSSecuriityMaanagemment）：：提供通過防防火墻管理工工作站配置、維維護(hù)3Comm，Ciscoo，Bay等路由由器的安全規(guī)規(guī)則；其它模塊，如加密密模塊等。圖形用戶界面（GGUI）：是是管理模塊功功能的體現(xiàn)，包包括策略編輯器：維護(hù)護(hù)管理對(duì)象、建建立安全規(guī)則則、把安全規(guī)規(guī)則施加到安安全策略執(zhí)行行點(diǎn)上去；日志查看器：查看看經(jīng)過防火墻墻的連接，識(shí)識(shí)別并阻斷攻攻擊；系統(tǒng)狀態(tài)查看器：：查看所有被被保護(hù)對(duì)象的的狀態(tài)。FireWalll-1提供單單網(wǎng)關(guān)和企業(yè)業(yè)級(jí)兩種產(chǎn)品品組合。單網(wǎng)關(guān)產(chǎn)品：只有有防火墻模塊塊（包含狀態(tài)態(tài)檢測(cè)模塊）、管管理模塊和圖圖形用戶界面面各一個(gè)，且且防火墻模塊塊和管理模塊塊必須安裝在在同一臺(tái)機(jī)器器上。企業(yè)級(jí)產(chǎn)品：可以以有若干基本本模塊和可選選模塊以及圖圖形用戶界面面組成，特別別是可能配置置較多的防火火墻模塊和獨(dú)獨(dú)立的狀態(tài)檢檢測(cè)模塊。企企業(yè)級(jí)產(chǎn)品的的不同模塊可可以安裝在不不同的機(jī)器上上。狀態(tài)檢測(cè)機(jī)制FireWalll-1采用ChecckPoinnt公司的狀狀態(tài)檢測(cè)（SStateffulInnspecttion）專專利技術(shù)，以以不同的服務(wù)務(wù)區(qū)分應(yīng)用類類型，為網(wǎng)絡(luò)絡(luò)提供高安全全、高性能和和高擴(kuò)展性保保證。FireWalll-1狀態(tài)檢檢測(cè)模塊分析析所有的包通通訊層，汲取取相關(guān)的通信信和應(yīng)用程序序的狀態(tài)信息息。狀態(tài)檢測(cè)測(cè)模塊能夠理理解并學(xué)習(xí)各各種協(xié)議和應(yīng)應(yīng)用，以支持持各種最新的的應(yīng)用。狀態(tài)檢測(cè)模塊截獲獲、分析并處處理所有試圖圖通過防火墻墻的數(shù)據(jù)包，保保證網(wǎng)絡(luò)的高高度安全和數(shù)數(shù)據(jù)完整。網(wǎng)網(wǎng)絡(luò)和各種應(yīng)應(yīng)用的通信狀狀態(tài)動(dòng)態(tài)存儲(chǔ)儲(chǔ)、更新到動(dòng)動(dòng)態(tài)狀態(tài)表中中，結(jié)合預(yù)定定義好的規(guī)則則，實(shí)現(xiàn)安全全策略。狀態(tài)檢測(cè)模塊可以以識(shí)別不同應(yīng)應(yīng)用的服務(wù)類類型，還可以以通過以前的的通信及其它它應(yīng)用程序分分析出狀態(tài)信信息。狀態(tài)檢檢測(cè)模塊檢驗(yàn)驗(yàn)IP地址、端口口以及其它需需要的信息以以決定通信包包是否滿足安安全策略。狀態(tài)檢測(cè)模塊把相相關(guān)的狀態(tài)和和狀態(tài)之間的的關(guān)聯(lián)信息存存儲(chǔ)到動(dòng)態(tài)連連接表中并隨隨時(shí)更新，通通過這些數(shù)據(jù)據(jù)，F(xiàn)ireeWall--1可以檢測(cè)測(cè)到后繼的通通信。狀態(tài)檢測(cè)技術(shù)對(duì)應(yīng)應(yīng)用程序透明明，不需要針針對(duì)每個(gè)服務(wù)務(wù)設(shè)置單獨(dú)的的代理，使其其具有更高的的安全性、高高性能、更好好的伸縮性和和擴(kuò)展性，可可以很容易把把用戶的新應(yīng)應(yīng)用添加到保保護(hù)的服務(wù)中中去。FireWalll-1提供的的INSPEECT語言，結(jié)結(jié)合FireeWall--1的安全規(guī)規(guī)則、應(yīng)用識(shí)識(shí)別知識(shí)、狀狀態(tài)關(guān)聯(lián)信息息以及通信數(shù)數(shù)據(jù)構(gòu)成了一一個(gè)強(qiáng)大的安安全系統(tǒng)。INSPECT是是一個(gè)面向?qū)?duì)象的腳本語語言，為狀態(tài)態(tài)檢測(cè)模塊提提供安全規(guī)則則。通過策略略編輯器制定定的規(guī)則存為為一個(gè)用INNSPECTT寫成的腳本本文件，經(jīng)過過編譯生成代代碼并被加載載到安裝有狀狀態(tài)檢測(cè)模塊塊的系統(tǒng)上。腳腳本文件是ASCII文件，可以以編輯，以滿滿足用戶特定定的安全要求求。OPSECCheckPoiint是開放放安全企業(yè)互互聯(lián)聯(lián)盟(OPSEEC)的組織和倡倡導(dǎo)者之一。OPSEC允許用戶通通過一個(gè)開放放的、可擴(kuò)展展的框架集成成、管理所有有的網(wǎng)絡(luò)安全全產(chǎn)品。OPSEC通過把把FireWWall-11嵌入到已有有的網(wǎng)絡(luò)平臺(tái)臺(tái)（如Uniix、NT服務(wù)器、路路由器、交換換機(jī)以及防火火墻產(chǎn)品），或或把其它安全全產(chǎn)品無縫集集成到FirreWalll-1中，為為用戶提供一一個(gè)開放的、可可擴(kuò)展的安全全框架。目前已有包括IBBM、HP、Sun、Cisco、BAY等超過135個(gè)公司加入入到OPSEC聯(lián)盟。企業(yè)級(jí)防火墻安全全管理FireWalll-1允許企企業(yè)定義并執(zhí)執(zhí)行統(tǒng)一的防防火墻中央管管理安全策略略。企業(yè)的防防火墻安全策策略都存放在在防火墻管理理模塊的一個(gè)個(gè)規(guī)則庫里。規(guī)規(guī)則庫里存放放的是一些有有序的規(guī)則，每每條規(guī)則分別別指定了源地地址、目的地地址、服務(wù)類類型（HTTP、FTP、TELNEET等）、針對(duì)對(duì)該連接的安安全措施（放放行、拒絕、丟丟棄或者是需需要通過認(rèn)證證等）、需要要采取的行動(dòng)動(dòng)（日志記錄錄、報(bào)警等）、以以及安全策略略執(zhí)行點(diǎn)（是是在防火墻網(wǎng)網(wǎng)關(guān)還是在路路由器或者其其它保護(hù)對(duì)象象上上實(shí)施該該規(guī)則）。FireWalll-1管理員員通過一個(gè)防防火墻管理工工作站管理該該規(guī)則庫，建建立、維護(hù)安安全策略，加加載安全規(guī)則則到裝載了防防火墻或狀態(tài)態(tài)檢測(cè)模塊的的系統(tǒng)上。這這些系統(tǒng)和管管理工作站之之間的通信必必須先經(jīng)過認(rèn)認(rèn)證，然后通通過加密信道道傳輸。FireWalll-1直觀的的圖形用戶界界面為集中管管理、執(zhí)行企企業(yè)安全策略略提供了強(qiáng)有有力的工具。安全策略編輯器：：維護(hù)被保護(hù)護(hù)對(duì)象，維護(hù)護(hù)規(guī)則庫，添添加、編輯、刪刪除規(guī)則，加加載規(guī)則到安安裝了狀態(tài)檢檢測(cè)模塊的系系統(tǒng)上。日志管理器：提供供可視化的對(duì)對(duì)所有通過防防火墻網(wǎng)關(guān)的的連接的跟蹤蹤、監(jiān)視和統(tǒng)統(tǒng)計(jì)信息，提提供實(shí)時(shí)報(bào)警警和入侵檢測(cè)測(cè)及阻斷功能能。系統(tǒng)狀態(tài)查看器：：提供實(shí)時(shí)的的系統(tǒng)狀態(tài)、審審計(jì)和報(bào)警功功能。分布的客戶機(jī)/服服務(wù)器結(jié)構(gòu)FireWalll-1通過分分布式的客戶戶機(jī)/服務(wù)器結(jié)構(gòu)構(gòu)管理安全策策略，保證高高性能、高伸伸縮性和集中中控制。FireWalll-1由基本本模塊（防火火墻模塊、狀狀態(tài)檢測(cè)模塊塊和管理模塊塊）和一些可可選模塊組成成。這些模塊塊可以通過不不同數(shù)量、平平臺(tái)的組合配配置成靈活的的客戶機(jī)/服務(wù)器結(jié)構(gòu)。管理模塊包括了圖圖形用戶界面面和管理員定定義的相關(guān)管管理對(duì)象—規(guī)則庫，網(wǎng)網(wǎng)絡(luò)對(duì)象，服服務(wù)、用戶等等。防火墻模模塊、狀態(tài)檢檢測(cè)模塊以及及其它可選模模塊用來執(zhí)行行安全策略，安安裝了這些模模塊的系統(tǒng)稱稱為受保護(hù)對(duì)對(duì)象（FirrewallledSyystem），又又稱為安全策策略執(zhí)行點(diǎn)（SecurityEnforcementPoint）。FireWalll-1的客戶戶機(jī)/服務(wù)器結(jié)構(gòu)構(gòu)是完全集成成的，只有一一個(gè)統(tǒng)一的安安全策略和一一個(gè)規(guī)則庫，通通過一個(gè)單一一的防火墻管管理工作站，管管理多個(gè)裝載載了防火墻模模塊、狀態(tài)檢檢測(cè)模塊或可可選模塊的系系統(tǒng)。認(rèn)證（Autheenticaation）遠(yuǎn)程用戶和撥號(hào)用用戶可以經(jīng)過過FireWWall-11的認(rèn)證后，訪訪問內(nèi)部資源源。FireeWall--1可以在不不修改本地服服務(wù)器或客戶戶應(yīng)用程序的的情況下，對(duì)對(duì)試圖訪問內(nèi)內(nèi)部服務(wù)器的的用戶進(jìn)行身身份認(rèn)證。FFireWaall-1的的認(rèn)證服務(wù)集集成在其安全全策略中，通通過圖形用戶戶界面集中管管理，通過日日志管理器監(jiān)監(jiān)視、跟蹤認(rèn)認(rèn)證會(huì)話。FireWalll-1提供三三種認(rèn)證方法法：用戶認(rèn)證（UseerAutthentiicatioon）：針對(duì)對(duì)特定服務(wù)提提供的基于用用戶的透明的的身份認(rèn)證，服服務(wù)限于FTP、TELNEET、HTTP、HTTPS、RLOGIIN?？蛻魴C(jī)認(rèn)證（CllientAutheenticaation）：：基于客戶機(jī)機(jī)IP的認(rèn)證，對(duì)對(duì)訪問的協(xié)議議不做直接的的限制?？蛻魬魴C(jī)認(rèn)證不是是透明的，需需要用戶先登登錄到防火墻墻認(rèn)證IP和用戶身份份之后，才允允許訪問應(yīng)用用服務(wù)器?？涂蛻魴C(jī)不需要要添加任何附附加的軟件或或做修改。當(dāng)當(dāng)用戶通過用用戶認(rèn)證或會(huì)會(huì)話認(rèn)證后，同同時(shí)也就已經(jīng)經(jīng)通過客戶機(jī)機(jī)認(rèn)證。會(huì)話認(rèn)證（SesssionAutheenticaation）：：提供基于服服務(wù)會(huì)話的的的透明認(rèn)證，與IP無關(guān)。采用會(huì)話認(rèn)證的客戶機(jī)必須安裝一個(gè)會(huì)話認(rèn)證代理，訪問不同的服務(wù)時(shí)必須單獨(dú)認(rèn)證。FireWalll-1提供多多種認(rèn)證機(jī)制制供用戶選擇擇：S/Keey，F(xiàn)ireWWall-11Passsword，OSPaassworrd，LDAP，SecurreID，RADIUUS，TACACCS等。地址翻譯（NATT）FireWalll-1支持三三種不同的地地址翻譯模式式：靜態(tài)源地址翻譯：：當(dāng)內(nèi)部的一一個(gè)數(shù)據(jù)包通通過防火墻出出去時(shí)，把其其源地址（一一般是一個(gè)內(nèi)內(nèi)部保留地址址）轉(zhuǎn)換成一一個(gè)合法地址址。靜態(tài)源地地址翻譯與靜靜態(tài)目的地址址翻譯通常是是配合使用的的。靜態(tài)目的地址翻譯譯：當(dāng)外部的的一個(gè)數(shù)據(jù)包包通過防火墻墻進(jìn)入內(nèi)部網(wǎng)網(wǎng)時(shí)，把其目目的地址（合合法地址）轉(zhuǎn)轉(zhuǎn)換成一個(gè)內(nèi)內(nèi)部使用的地地址（一般是是內(nèi)部保留地地址）。動(dòng)態(tài)地址翻譯（也也稱為隱藏模模式）：把一一個(gè)內(nèi)部網(wǎng)的的地址段轉(zhuǎn)換換成一個(gè)合法法地址，以解解決企業(yè)的合合法IP地址太少的的問題，同時(shí)時(shí)隱藏內(nèi)部網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)，提提高網(wǎng)絡(luò)安全全性能。內(nèi)容安全FireWalll-1的內(nèi)容容安全服務(wù)保保護(hù)網(wǎng)絡(luò)免遭遭各種威脅，包包括病毒、JJave和ActivveX代碼攻攻擊等。內(nèi)容容安全服務(wù)可可以通過定義義特定的資源源對(duì)象，制定定與其它安全全策略類似的的規(guī)則來完成成。內(nèi)容安全全與FireeWall--1的其它安安全特性集成成在一起，通通過圖形用戶戶界面集中管管理。OPSEC提供應(yīng)用開開發(fā)接口（API）以集成第第三方內(nèi)容過過濾系統(tǒng)。FireWalll-1的內(nèi)容容安全服務(wù)包包括：利用第三方的防病病毒服務(wù)器，通通過防火墻規(guī)規(guī)則配置，掃掃描通過防火火墻的文件，清清除計(jì)算機(jī)病病毒；根據(jù)安全策略，在在訪問WEB資源時(shí)，從HTTP頁面剝離JaavaAppplet，ActivveX等小程程序及Javva，Scrippt等代碼；；用戶定義過濾條件件，過濾URL；控制FTP的操作，過過濾FTP傳輸?shù)奈募?nèi)容；SMTP的內(nèi)容安安全（隱藏內(nèi)內(nèi)部地址、剝剝離特定類型型的附件等）；；可以設(shè)置在發(fā)現(xiàn)異異常時(shí)進(jìn)行記記錄或報(bào)警；；通過控制臺(tái)集中管管理、配置、維維護(hù)。連接控制FireWalll-1的連接接控制模塊提提供了負(fù)載平平衡功能，在在提供相同服服務(wù)的多個(gè)應(yīng)應(yīng)用服務(wù)器之之間實(shí)現(xiàn)負(fù)載載分擔(dān)，應(yīng)用用服務(wù)器不要要求都放在防防火墻后面。用用戶可選用不不同的負(fù)載均均衡算法：ServerLLoad—該方法由服服務(wù)器提供負(fù)負(fù)載均衡算法法，需要在應(yīng)應(yīng)用服務(wù)器端端安裝負(fù)載測(cè)測(cè)量引擎；RoundTrrip—FireWWall-11利用pingg命令測(cè)定防防火墻到各個(gè)個(gè)應(yīng)用服務(wù)器器之間的循回回時(shí)間，選用用循回時(shí)間最最小者響應(yīng)用用戶請(qǐng)求；RoundRoobin—FireWWall-11根據(jù)其記錄錄表中的情況況，簡(jiǎn)單地指指定下一個(gè)應(yīng)應(yīng)用服務(wù)器響響應(yīng)；Random—FFireWaall-1隨機(jī)選取應(yīng)應(yīng)用服務(wù)器響響應(yīng)；Domain—FFireWaall-1按照域名最最近的原則，指指定最近的應(yīng)應(yīng)用服務(wù)器響響應(yīng)。路由器安全管理可以通過FireeWall--1的管理工工作站對(duì)企業(yè)業(yè)范圍內(nèi)的路路由器提供集集中的安全管管理：通過圖形用戶界面面生成路由器器的過濾和配配置；引入、維護(hù)路由器器的訪問控制制列表；記錄路由器事件（需需要路由器支支持日志功能能）；在路由器上執(zhí)行通通過圖形用戶戶界面制定的的安全策略。FireWalll-1可以集集中管理以下下路由器：BayNetwworksrouteers,vversioon7.xx-122.xCiscoroouterss,IOSSverssion99-111CiscoPIIXFirrewalll，versiion3..0,4..03ComNettBuildder,vversioon9.xxMicrosofftRASS(Steeelheadd)RouutersforWWindowwsNTserveer4.xx防火墻及防病毒解解決方案軟件要求CheckpoiintFiireWalll-144.1(500用戶)forWindoows20000NortonAAntiviirus66.0foorWinndows2000網(wǎng)絡(luò)管理軟件硬件要求Cisco26610模塊式路由由器服務(wù)器（雙網(wǎng)卡，一一塊為內(nèi)部網(wǎng)網(wǎng)用一塊為外外部網(wǎng)使用）防火墻網(wǎng)絡(luò)圖城域網(wǎng)建設(shè)基本概述地鐵設(shè)計(jì)院城域網(wǎng)網(wǎng)的建設(shè)范圍圍由中旅商業(yè)業(yè)城十六層廣廣州地鐵總公公司（地鐵中中心機(jī)房）、芳芳村坑口運(yùn)營(yíng)營(yíng)事業(yè)總部、廣廣百商業(yè)大廈廈二十九層資資源開發(fā)總部部、公園前控控制中心建設(shè)設(shè)事業(yè)總部、環(huán)環(huán)市西路204號(hào)地鐵設(shè)計(jì)計(jì)院5個(gè)部組成。租租用電信線路路，采用幀中中繼技術(shù)組建建廣州地鐵城城域網(wǎng)，同時(shí)時(shí)支持電話撥撥號(hào)訪問（租租用一條256K幀中繼線和3條電話線供供撥號(hào)訪問）。城域網(wǎng)的建設(shè)包括括如下幾方面面內(nèi)容：路由器的安裝、配配置和調(diào)試通訊服務(wù)器的安裝裝、調(diào)試Web服務(wù)器的安安裝、調(diào)試Mail服務(wù)器的的安裝、調(diào)試試防火墻的安裝、設(shè)設(shè)置城域網(wǎng)網(wǎng)管系統(tǒng)的的安裝、調(diào)試試城域網(wǎng)網(wǎng)絡(luò)的測(cè)試試在城域網(wǎng)的建設(shè)中中的關(guān)鍵要素素有：路由器器的選型、路路由器與通訊訊服務(wù)器的安安裝、配置和和調(diào)試以及“防火墻“的組建和網(wǎng)網(wǎng)管系統(tǒng)的安安裝、調(diào)試。通訊線路和撥號(hào)訪訪問服務(wù)廣州地鐵設(shè)計(jì)院網(wǎng)網(wǎng)絡(luò)建設(shè)中城城域網(wǎng)所用的的通訊線路或或傳輸技術(shù)主主要有兩種：：一為FR、二為PSTN，采用租用256K幀中繼線和3條電話線供供撥號(hào)訪問虛擬專用網(wǎng)VPNN技術(shù)VPN是一個(gè)虛擬的網(wǎng)，其其重要的意義義在于"虛擬"和"專用"。為了實(shí)現(xiàn)現(xiàn)在公網(wǎng)之上上傳輸私有數(shù)數(shù)據(jù)，必須滿滿足其安全性性。VPN技術(shù)主要體體現(xiàn)在兩個(gè)技技術(shù)要點(diǎn)上：：Tunneel、相關(guān)隧道道協(xié)議（包括括PPTP，L2F，L2TP），數(shù)據(jù)安安全協(xié)議（IPSEC）。下面針針對(duì)這幾項(xiàng)技技術(shù)做一介紹紹。加密和用用戶授權(quán)為在在公司網(wǎng)上進(jìn)進(jìn)行個(gè)人通信信提供了安全全保證。隧道（Tunneeling）技術(shù)介紹紹VPN在表面上是是一種聯(lián)網(wǎng)的的方式，比起起專線網(wǎng)絡(luò)來來，它具有許許多優(yōu)點(diǎn)。在在VPN中，通過采采用一種所謂謂"隧道"的技術(shù)，可可以通過公共共路由網(wǎng)絡(luò)傳傳送數(shù)據(jù)分組組，例如Interrnet網(wǎng)或其他商商業(yè)性網(wǎng)絡(luò)。這里，專有有的"隧道"類似于點(diǎn)到到點(diǎn)的連接。這這種方式能夠夠使得來自許許多源的網(wǎng)絡(luò)絡(luò)流量從同一一個(gè)基礎(chǔ)設(shè)施施中通過分開開的隧道。這這種隧道技術(shù)術(shù)使用點(diǎn)對(duì)點(diǎn)點(diǎn)通信協(xié)議代代替了交換連連接，通過路路由網(wǎng)絡(luò)來連連接數(shù)據(jù)地址址。隧道技術(shù)術(shù)允許授權(quán)移移動(dòng)用戶或已已授權(quán)的用戶戶在任何時(shí)間間任何地點(diǎn)訪訪問企業(yè)網(wǎng)絡(luò)絡(luò)。通過TUNNEEL的建立，可可實(shí)現(xiàn)以下功功能：將數(shù)據(jù)流量強(qiáng)制到到特定的目的的地隱藏私有的網(wǎng)絡(luò)地地址在IP網(wǎng)上傳輸非IP協(xié)協(xié)議數(shù)據(jù)包提供數(shù)據(jù)安全支持持協(xié)助完成用戶基于于AAA的管理。在安全方面可提供供數(shù)據(jù)包認(rèn)證證、數(shù)據(jù)加密密以及密鑰管管理等手段。撥號(hào)VPNs使用隧道技技術(shù)遠(yuǎn)程訪問問服務(wù)器把用用戶數(shù)據(jù)打包包進(jìn)IP信息包中，這這些信息包通通過電信服務(wù)務(wù)提供商網(wǎng)絡(luò)絡(luò)傳遞，在Interrnet里，則需要要穿過不同的的網(wǎng)絡(luò)，最后后到達(dá)隧道終終點(diǎn)，然后數(shù)據(jù)據(jù)拆包，轉(zhuǎn)發(fā)發(fā)成最初的形形式。VPN允許網(wǎng)絡(luò)協(xié)協(xié)議的轉(zhuǎn)換，還還允許對(duì)來自自許多源的流流量進(jìn)行區(qū)別別，這樣可以以指定特定的的目的地，接接受指定級(jí)別別的服務(wù)。公公司網(wǎng)進(jìn)行遠(yuǎn)遠(yuǎn)程訪問通信信，從電路交交換的，長(zhǎng)距距離的本地電電信服務(wù)提供供商到ISPs和Interrnet需要采用隧隧道技術(shù)。隧隧道技術(shù)使用用點(diǎn)對(duì)點(diǎn)通信信協(xié)議，代替替了交換連接接，通過路由由網(wǎng)絡(luò)來連接接數(shù)據(jù)地址。這這代替了電話話交換網(wǎng)絡(luò)使使用的電話號(hào)號(hào)碼連接。隧隧道技術(shù)允許許授權(quán)移動(dòng)用用戶或已授權(quán)權(quán)的用戶再任任何時(shí)間任何何地點(diǎn)訪問企企業(yè)網(wǎng)絡(luò)。應(yīng)應(yīng)用授權(quán)技術(shù)術(shù)，隧道技術(shù)術(shù)也禁止未授授權(quán)的訪問。網(wǎng)管軟件平臺(tái)和網(wǎng)網(wǎng)管軟件網(wǎng)管軟件平臺(tái)是一一種綜合網(wǎng)絡(luò)絡(luò)管理軟件，他他不但具有網(wǎng)網(wǎng)絡(luò)管理的基基本功能，而而且用戶可以以利用他開發(fā)發(fā)新的網(wǎng)絡(luò)管管理應(yīng)用軟件件。目前公認(rèn)認(rèn)的三大網(wǎng)管管軟件平臺(tái)：：IBMNNetVieew、HPOpeenVieww和SUNNNetMannger，此此外還有CA的網(wǎng)管軟件件平臺(tái)。廣州地鐵設(shè)計(jì)院的的城域網(wǎng)網(wǎng)管管，它管理中中旅商業(yè)城十十六層廣州地地鐵總公司（地地鐵中心機(jī)房房）、芳村坑坑口運(yùn)營(yíng)事業(yè)業(yè)總部、廣百百商業(yè)大廈二二十九層資源源開發(fā)總部、公公園前控制中中心建設(shè)事業(yè)業(yè)總部、環(huán)市市西路204號(hào)地鐵設(shè)計(jì)計(jì)院5節(jié)點(diǎn)。其建設(shè)要考慮網(wǎng)絡(luò)絡(luò)硬件平臺(tái)、操操作系統(tǒng)平臺(tái)臺(tái)、協(xié)議平臺(tái)臺(tái)、網(wǎng)管平臺(tái)臺(tái)、網(wǎng)管應(yīng)用用等各個(gè)方面面，建議鐵設(shè)設(shè)計(jì)院采用IBMNNetVieew網(wǎng)管平臺(tái)臺(tái)和CiscoWorkss網(wǎng)管軟件的的網(wǎng)絡(luò)管理系系統(tǒng)。城域網(wǎng)網(wǎng)絡(luò)架構(gòu)圖圖Internett的接入方案案ADSL簡(jiǎn)介隨著Internett的爆炸式發(fā)發(fā)展，在Interrnet上的商業(yè)應(yīng)應(yīng)用和多媒體體等服務(wù)也得得以迅猛推廣廣。為了實(shí)現(xiàn)現(xiàn)用戶接入網(wǎng)網(wǎng)的數(shù)字化、寬寬帶化，提高高用戶上網(wǎng)速速度，人們提提出了多項(xiàng)寬寬帶接入網(wǎng)技技術(shù)，包括N-ISDDN、CableeModeem、ADSL等等，其中ADSL（非對(duì)稱數(shù)數(shù)字用戶環(huán)路路）是最具前前景及競(jìng)爭(zhēng)力力的一種,將在未來十十幾年甚至幾幾十年內(nèi)占主主導(dǎo)地位。

ADSL是一種通通過現(xiàn)有普通通電話線為家家庭、辦公室室提供寬帶數(shù)數(shù)據(jù)傳輸服務(wù)務(wù)的技術(shù)。ADSL即非對(duì)稱數(shù)數(shù)字信號(hào)傳送送，它能夠在在現(xiàn)有的銅雙雙絞線，即普普通電話線上上提供高達(dá)10Mbiit/s的高速下行行速率，遠(yuǎn)高高于ISDN速率；而上上行速率有1Mbitt/s，傳輸距離離達(dá)3km5kmm。ADSL技術(shù)的主要要特點(diǎn)是可以以充分利用現(xiàn)現(xiàn)有的銅纜網(wǎng)網(wǎng)絡(luò)（電話線線網(wǎng)絡(luò)），在在線路兩端加加裝ADSL設(shè)備即可為為用戶提供高高寬帶服務(wù)。ADSL的另外一個(gè)個(gè)優(yōu)點(diǎn)在于它它可以與普通通電話共存于于一條電話線線上，在一條條普通電話線線上接聽、撥撥打電話的同同時(shí)進(jìn)行ADSL傳輸而又互互不影響。安裝ADSL也極其方方便快捷，在在現(xiàn)有的電話話線上安裝ADSL，除了在用用戶端安裝ADSL通訊終端外外，不用對(duì)現(xiàn)現(xiàn)有線路作任任何改動(dòng)。局局域網(wǎng)用戶具具有4個(gè)靜態(tài)IP地址，可以以在中國(guó)公眾眾多媒體網(wǎng)上上架設(shè)公司的的網(wǎng)站，提供WWW、FTP、E－mail等服務(wù)。隨隨著ADSL技術(shù)的進(jìn)一一步推廣應(yīng)用用，ADSL接入還可以以提供點(diǎn)對(duì)點(diǎn)點(diǎn)的遠(yuǎn)程醫(yī)療療，遠(yuǎn)程教學(xué)，遠(yuǎn)遠(yuǎn)程可視會(huì)議議等服務(wù)。

ADSL與其它接接入服務(wù)的比比較ADSL與CabbleMoodem的比較與CableMoode相比，ADSL技術(shù)具有著著相當(dāng)大的優(yōu)優(yōu)勢(shì)。CableeModeem的HFC接入方案采采用分層樹型型結(jié)構(gòu)，其優(yōu)優(yōu)勢(shì)是帶寬比比較高（10M），但這種種技術(shù)本身是是一個(gè)較粗糙糙的總線型網(wǎng)網(wǎng)絡(luò)，這就意意味者用戶要要和鄰近用戶戶分享有限的的帶寬，當(dāng)一一條線路上用用戶激增時(shí)，其其速度將會(huì)減減慢。再者，有有關(guān)資料表明明，大部分情情況下，HFC方案必需兼兼顧現(xiàn)有的有有線電視節(jié)目目，而占用了了部分帶寬，只只剩余了一部部分可供傳送送其它數(shù)據(jù)信信號(hào)，所以CableeModeem的理論傳輸輸速率只能達(dá)達(dá)到一小半。國(guó)國(guó)外公司實(shí)驗(yàn)驗(yàn)表明，其速速率減為1M-22Mbps，更常見的的是400KK-500KKbps。綜合來看看，即使在理理想狀態(tài)下，HFC只相當(dāng)于一一個(gè)10Mbpps的共享式總總線型以太網(wǎng)網(wǎng)，而ADSL接入方案在在網(wǎng)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)上較為先先進(jìn)，因?yàn)槊棵總€(gè)用戶都有有單獨(dú)的一條條線路與ADSL局端相連，它它的結(jié)構(gòu)可以以看作是星型型結(jié)構(gòu)，它的的數(shù)據(jù)傳輸帶帶寬是由每一一用戶獨(dú)享的的。ADSL與普通撥撥號(hào)Modeem及N-ISDDN的比較比起普通撥號(hào)MModem的最高56K速率，以及N-ISDDN1288K的速率，ADSL的速率優(yōu)勢(shì)勢(shì)是不言而喻喻的。與普通撥號(hào)Moodem或ISDN相比，ADSL更為吸引人人的地方是：：它在同一銅銅線上分別傳傳送數(shù)據(jù)和語語音信號(hào)，數(shù)數(shù)據(jù)信號(hào)并不不通過電話交交換機(jī)設(shè)備，減減輕了電話交交換機(jī)的負(fù)載載，并且不需需要撥號(hào)，一一直在線，屬屬于專線上網(wǎng)網(wǎng)方式。這意意味著使用ADSL上網(wǎng)并不需需要繳付另外外的電話費(fèi)。綜合以上所述，可可以看到ADDSL作為一種高高速接入Interrnet的技術(shù)更具具有生命力，是是企業(yè)接入Interrnet、開展網(wǎng)上上電子商務(wù)的的最佳選擇。同同時(shí)企業(yè)Intraanet網(wǎng)與Inteernet之間設(shè)有CheckkPointtFireeWall--1防火墻，實(shí)實(shí)現(xiàn)了公司內(nèi)部網(wǎng)網(wǎng)對(duì)外信息交交流的控制和和管理，并防防止外部非法法用戶進(jìn)入企企業(yè)Intraanet網(wǎng)。Ciscco26110路由器通過ADSLModemm接入Interrnet，提供Interrnet代理服務(wù)，為為企業(yè)Intraanet網(wǎng)絡(luò)授權(quán)用用戶提供通過過防火墻測(cè)覽覽Interrnet服務(wù)，同時(shí)時(shí)阻止非授權(quán)權(quán)用戶訪問Interrnet。設(shè)備報(bào)價(jià)表品牌規(guī)格單價(jià)數(shù)量正式投標(biāo)價(jià)金額中心網(wǎng)絡(luò)設(shè)備Catalystt29488G-L331交換機(jī)Catalystt35488XLEEnterppriseEditiion（帶千兆堆疊模塊塊）7遠(yuǎn)程訪問路由器2610（包括接外置MOODEM的模塊卡、幀幀中繼廣域網(wǎng)網(wǎng)模塊卡）5調(diào)制調(diào)解器GVC超級(jí)魔電電4003網(wǎng)絡(luò)安全軟件CheckPoointFFirewaall-1（端口數(shù)50）1防病毒軟件NortonAAntiviirus（用于6臺(tái)服務(wù)器器，100臺(tái)工作站）1網(wǎng)絡(luò)設(shè)計(jì)、調(diào)試費(fèi)費(fèi)總計(jì)項(xiàng)目實(shí)施計(jì)劃項(xiàng)目實(shí)施階段網(wǎng)絡(luò)設(shè)備及系統(tǒng)軟軟件驗(yàn)收包括：網(wǎng)絡(luò)設(shè)備是是否與裝箱單單相符、保修修單等證明文文件是否齊全全、各設(shè)備硬硬件配置情況況、網(wǎng)絡(luò)設(shè)備備加電試機(jī)、系系統(tǒng)軟件的合合法性等。項(xiàng)目計(jì)劃實(shí)施按照項(xiàng)目計(jì)劃進(jìn)行行網(wǎng)絡(luò)建設(shè)，包包括網(wǎng)絡(luò)設(shè)備備和軟件的安安裝、調(diào)試。審核施工進(jìn)度根據(jù)實(shí)際施工情況況，解決可能能出現(xiàn)的問題題，確保工程程如期進(jìn)行。網(wǎng)絡(luò)系統(tǒng)集成性能能測(cè)試包括：丟包率、錯(cuò)錯(cuò)包率、網(wǎng)絡(luò)絡(luò)線速、統(tǒng)計(jì)計(jì)碰撞、幀故故障、網(wǎng)絡(luò)應(yīng)應(yīng)用軟件配置置是否合理、各各種網(wǎng)絡(luò)服務(wù)務(wù)是否實(shí)現(xiàn)、網(wǎng)網(wǎng)絡(luò)安全性及及可靠性是否否符合合同要要求等等。完善在測(cè)試過程中中可能出現(xiàn)的的各種問題糾正在性能測(cè)試中中出現(xiàn)的問題題，確保網(wǎng)絡(luò)絡(luò)性能達(dá)到設(shè)設(shè)計(jì)的標(biāo)準(zhǔn)和和要求，并詳詳細(xì)記錄問題題的原因和解解決的方法，作作為日后系統(tǒng)統(tǒng)維護(hù)的參考考。提交網(wǎng)絡(luò)性能測(cè)試試報(bào)告網(wǎng)絡(luò)系統(tǒng)集成驗(yàn)收收協(xié)助用戶組織驗(yàn)收收工作，包括括驗(yàn)收委員會(huì)會(huì)的成立、各各驗(yàn)收參數(shù)的的確定等；驗(yàn)驗(yàn)收主要包括括：合同履行行情況、網(wǎng)絡(luò)絡(luò)系統(tǒng)是否達(dá)達(dá)到預(yù)期效果果、各種技術(shù)術(shù)文檔等。系統(tǒng)驗(yàn)收標(biāo)準(zhǔn)系統(tǒng)驗(yàn)收內(nèi)容系統(tǒng)性能；工程質(zhì)量；系統(tǒng)文檔；工程管理。系統(tǒng)性能驗(yàn)收設(shè)備性能：主流廠廠商、主流產(chǎn)產(chǎn)品、主流技技術(shù)服務(wù)器： Inntel芯片，550MHHz以上的主頻頻，內(nèi)存、外外存夠用并有有50%左右的冗余考慮，高速速I/O；局域網(wǎng)設(shè)備： 網(wǎng)網(wǎng)卡、交換機(jī)機(jī)100M，主干100M可交換并可可堆疊，端口口數(shù)夠用并有有20%左右的冗余余，支持雙絞絞線連接，并并預(yù)留千兆光光纖主干的接接口；廣域網(wǎng)設(shè)備： 具具有路由和轉(zhuǎn)轉(zhuǎn)發(fā)功能，內(nèi)內(nèi)存、緩存夠夠用并有30%左右的冗余余，可支持PPP和LL連接接，支持IP協(xié)議，端口口數(shù)可滿足主主備用。網(wǎng)絡(luò)性能：實(shí)用技技術(shù)、成熟標(biāo)標(biāo)準(zhǔn)、安全管管理技術(shù): 快速、高速以太網(wǎng)網(wǎng)、（主體）星星型結(jié)構(gòu)、智智能化可管理理；標(biāo)準(zhǔn): IEEE8022.3等標(biāo)準(zhǔn)，TCP/IIP等事實(shí)標(biāo)準(zhǔn)準(zhǔn)，OSI/IISO等理論標(biāo)準(zhǔn)準(zhǔn)；安全: 訪問控制、傳輸保保護(hù)、病毒防防治、網(wǎng)絡(luò)分分段；管理：界面友好、操操作方便，可可做到結(jié)構(gòu)識(shí)識(shí)別、狀態(tài)監(jiān)監(jiān)測(cè)、流量統(tǒng)統(tǒng)計(jì)、設(shè)備配配置、資源分析、故故障診斷與排排除。工程質(zhì)量驗(yàn)收設(shè)備：按照設(shè)計(jì)要要求配置、調(diào)調(diào)試，保證彼彼此之間的互互通，廣域設(shè)設(shè)備地址統(tǒng)一一、協(xié)議一致、子網(wǎng)清清晰，局域網(wǎng)網(wǎng)設(shè)備結(jié)構(gòu)清清晰、層次分分明；線路：按照設(shè)計(jì)要要求搭配、連連接，保證用用戶端設(shè)備、網(wǎng)網(wǎng)絡(luò)(通道)設(shè)備、通訊訊終端設(shè)備之之間的互通，廣廣域主備線路路統(tǒng)一申請(qǐng)、統(tǒng)統(tǒng)一協(xié)議，局局域線路統(tǒng)一一接口、統(tǒng)一一線類；環(huán)境：機(jī)房、配線線間、配線設(shè)設(shè)備整齊、布布局合理，線線路連接清晰晰，走線統(tǒng)一一，整個(gè)環(huán)境境潔凈，溫度度、濕度適宜宜，通風(fēng)良好好，既客觀又又美觀。系統(tǒng)文檔驗(yàn)收完善性：含系統(tǒng)設(shè)設(shè)計(jì)文檔--總體方案、詳詳細(xì)設(shè)計(jì)，系系統(tǒng)實(shí)施文檔檔--工程記錄、系系統(tǒng)配置，系系統(tǒng)維護(hù)文檔檔--操作說明、維維護(hù)手冊(cè)，還還有各種設(shè)備備的技術(shù)文檔檔，要求設(shè)計(jì)計(jì)、實(shí)施、維維護(hù)和技術(shù)文文檔齊全；易讀性：要求設(shè)計(jì)計(jì)文檔、實(shí)施施文檔、維護(hù)護(hù)文檔深入淺淺出，既詳致致又精練，按按類裝訂成冊(cè)冊(cè)，及時(shí)移交交，統(tǒng)一歸檔檔，同時(shí)要求求有完整備份份；客觀性：要求文檔檔客觀地反映映系統(tǒng)及系統(tǒng)統(tǒng)建設(shè)情況，有有變動(dòng)及時(shí)修修改，不同版版本有相應(yīng)說說明，同時(shí)有有版本及修改改、更新的時(shí)時(shí)間記錄。工程管理驗(yàn)收計(jì)劃：目的性強(qiáng)，可可操作性強(qiáng)，有有遠(yuǎn)見、有條條理；人員：符合各種工工程角色的需需要，及時(shí)到到位，工作細(xì)細(xì)致；進(jìn)度：保證關(guān)鍵事事項(xiàng)，總體保保證計(jì)劃進(jìn)度度，并可根據(jù)據(jù)實(shí)際情況及及時(shí)調(diào)整；組織：組織性強(qiáng)，各各角色職責(zé)明明確，協(xié)調(diào)好好，可協(xié)作攻攻關(guān)。系統(tǒng)驗(yàn)收組織整個(gè)網(wǎng)絡(luò)系統(tǒng)建設(shè)設(shè)完成后由廣廣州地鐵總公公司組織有系系統(tǒng)集成商參參與的技術(shù)、項(xiàng)項(xiàng)目驗(yàn)收；驗(yàn)收工作由廣州地地鐵總公司主主持；系統(tǒng)集成商做技術(shù)術(shù)和項(xiàng)目管理理方面的匯報(bào)報(bào)；廣州地鐵總公司從從用戶的角度度評(píng)介整個(gè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)；有關(guān)專家（測(cè)試小小組）宣布測(cè)測(cè)試結(jié)果；驗(yàn)收組作出系統(tǒng)建建設(shè)成敗優(yōu)劣劣的驗(yàn)收意見見，形成書面面的驗(yàn)收意見見書。系統(tǒng)驗(yàn)收依據(jù)系統(tǒng)文檔：需求材材料、設(shè)計(jì)方方案、實(shí)施方方案、設(shè)備性性能參數(shù)、網(wǎng)網(wǎng)絡(luò)系統(tǒng)技術(shù)術(shù)參數(shù)、測(cè)試記錄、試試運(yùn)行期維護(hù)護(hù)記錄；用戶文檔：培訓(xùn)記記錄、故障記記錄、用戶意意見書；現(xiàn)場(chǎng)資料：現(xiàn)場(chǎng)觀觀看、現(xiàn)場(chǎng)操操作演示、現(xiàn)現(xiàn)場(chǎng)測(cè)試、維維護(hù)人員與管管理人員評(píng)價(jià)價(jià)。系統(tǒng)驗(yàn)收原則以技術(shù)和設(shè)備性能能的客觀為基基礎(chǔ)；以系統(tǒng)和實(shí)施管理理的完善為目目標(biāo)；以用戶和測(cè)試人員員的評(píng)述為依依據(jù)；以意見和完善建議議的中肯為原原則。網(wǎng)管系統(tǒng)要求1）網(wǎng)絡(luò)監(jiān)控功能要求求 網(wǎng)管系統(tǒng)應(yīng)能通過過圖形方式顯顯示網(wǎng)絡(luò)的拓拓?fù)浣Y(jié)構(gòu)、所所有網(wǎng)絡(luò)節(jié)點(diǎn)點(diǎn)的工作狀態(tài)態(tài)、網(wǎng)絡(luò)節(jié)點(diǎn)點(diǎn)的工作性能能，可以對(duì)網(wǎng)網(wǎng)絡(luò)上的數(shù)據(jù)據(jù)量進(jìn)行統(tǒng)計(jì)計(jì)和顯示。故障報(bào)警和排除：： 網(wǎng)絡(luò)管理系系統(tǒng)在監(jiān)控網(wǎng)網(wǎng)絡(luò)設(shè)備、主主機(jī)的同時(shí)，應(yīng)應(yīng)設(shè)置相應(yīng)參參數(shù)閥值；設(shè)備配置設(shè)定： 網(wǎng)絡(luò)管理系系統(tǒng)應(yīng)能通過過局域網(wǎng)及廣廣域網(wǎng)對(duì)網(wǎng)絡(luò)絡(luò)上的設(shè)備進(jìn)進(jìn)行在線修改配置，實(shí)實(shí)現(xiàn)網(wǎng)絡(luò)資源源的動(dòng)態(tài)分配配；網(wǎng)絡(luò)資料統(tǒng)計(jì)分析析：網(wǎng)管系統(tǒng)統(tǒng)將網(wǎng)絡(luò)設(shè)備備的運(yùn)行情況況、網(wǎng)絡(luò)故障障等多種信息息存儲(chǔ)在文件或數(shù)據(jù)庫中中，供網(wǎng)絡(luò)管管理員直接存存取。2）網(wǎng)絡(luò)管理軟件平臺(tái)臺(tái)功能要求網(wǎng)絡(luò)管理軟件平臺(tái)臺(tái)通過SNMMP協(xié)議管理理全網(wǎng)上的TTCP/IPP資源；網(wǎng)絡(luò)管理軟件平臺(tái)臺(tái)應(yīng)支持標(biāo)準(zhǔn)準(zhǔn)的MIB--II管理信信息及一些主主要廠家的MMIB管理信信息；應(yīng)能管理各種智能能型的、支持持SNMP協(xié)議議并采用MIIB-II管管理信息集的的網(wǎng)絡(luò)設(shè)備。3）對(duì)網(wǎng)絡(luò)設(shè)備的管理理網(wǎng)絡(luò)設(shè)備的管理由由專門的系統(tǒng)統(tǒng)管理軟件完完成，其功能能應(yīng)包括：自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的的路由器，以以不同的圖標(biāo)標(biāo)區(qū)別不同種種類的路由器器；在一個(gè)路由器的拓拓?fù)鋱D上顯示示全部本地和和遠(yuǎn)程的路由由器；方便設(shè)置其他類型型的路由器；；監(jiān)控路由器上的數(shù)數(shù)據(jù)傳送量及及錯(cuò)誤的數(shù)據(jù)據(jù)包，當(dāng)路由由器發(fā)生故障障或某個(gè)參數(shù)數(shù)超過閥值時(shí)時(shí)，能自動(dòng)報(bào)報(bào)警；當(dāng)關(guān)于路由器的某某一事件發(fā)生生時(shí)，在網(wǎng)管管機(jī)中預(yù)先定定義的操作會(huì)會(huì)自動(dòng)執(zhí)行以以排除網(wǎng)絡(luò)故故障或響應(yīng)網(wǎng)網(wǎng)絡(luò)設(shè)置的變變化；所有的路由器信息息可以長(zhǎng)期保保存在網(wǎng)絡(luò)管管理機(jī)的數(shù)據(jù)據(jù)庫中；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行具具體配置。4）各種操作系統(tǒng)及網(wǎng)網(wǎng)絡(luò)協(xié)議的管管理網(wǎng)絡(luò)配置管理的功功能要求：自動(dòng)發(fā)現(xiàn)網(wǎng)上的資資源，并自動(dòng)動(dòng)以不同的圖圖標(biāo)表示；只需簡(jiǎn)潔的鼠標(biāo)操操作“pointt-and--clickk”，即可在圖圖形用戶界面面上再現(xiàn)直觀觀的網(wǎng)絡(luò)拓?fù)鋼浣Y(jié)構(gòu)圖；可通過系統(tǒng)預(yù)定義義及系統(tǒng)管理理員定義的應(yīng)應(yīng)用查詢網(wǎng)上上的配置信息息，以直觀的的工具代替復(fù)復(fù)雜的查詢指指令。網(wǎng)絡(luò)問題的管理功功能要求：網(wǎng)管中心可以不間間斷地對(duì)網(wǎng)上上IP資源的狀狀態(tài)、配置和和事件進(jìn)行監(jiān)監(jiān)控；系統(tǒng)管理員可通過過設(shè)置信息過過濾器來選擇擇哪些網(wǎng)上信信息被送至網(wǎng)網(wǎng)管中心；通過事件的自動(dòng)響響應(yīng)系統(tǒng)可使使管理員從手手動(dòng)操作中解解放出來；相關(guān)事件變化及執(zhí)執(zhí)行的操作將將作為事件的的歷史信息送送到網(wǎng)管中心心做記錄。網(wǎng)絡(luò)性能的管理功功能要求：通過SNMPAAgent，網(wǎng)網(wǎng)絡(luò)管理軟件件平臺(tái)可以監(jiān)監(jiān)控到許多系系統(tǒng)性能的參參數(shù)；網(wǎng)絡(luò)管理軟件平臺(tái)臺(tái)可以監(jiān)視和和報(bào)告主機(jī)CCPU和磁盤盤的利用率；；利用公告欄程序“Spreadd-sheeetproogram”，這些網(wǎng)絡(luò)絡(luò)性能的信息息可以以圖形形或數(shù)字的形形式展現(xiàn)，或或以ASCIII的格式輸輸出；對(duì)所有的功能均有有用戶幫助，并并提供可選的的在線資料。5）基于GUI的圖形形界面網(wǎng)絡(luò)管理軟件平臺(tái)臺(tái)應(yīng)能為網(wǎng)絡(luò)絡(luò)管理員提供供圖形化的網(wǎng)網(wǎng)絡(luò)IP拓?fù)浣Y(jié)構(gòu)構(gòu)，使網(wǎng)絡(luò)管管理員可以迅迅速方便地發(fā)發(fā)現(xiàn)局域網(wǎng)上上出現(xiàn)的IPP資源并幫助助管理員發(fā)現(xiàn)現(xiàn)故障原因，幫幫助管理員準(zhǔn)準(zhǔn)確測(cè)定網(wǎng)絡(luò)絡(luò)上數(shù)據(jù)傳輸輸?shù)母叻寮拔奈募?wù)器磁磁盤的利用率率。6）關(guān)系型數(shù)據(jù)庫支持持網(wǎng)絡(luò)管理軟件應(yīng)能能支持關(guān)系型型數(shù)據(jù)庫，網(wǎng)網(wǎng)絡(luò)和系統(tǒng)的的信息可以存存儲(chǔ)在這些關(guān)關(guān)系型數(shù)據(jù)庫庫中并通過SSQLAPPI’s進(jìn)行查詢。報(bào)報(bào)告工具“ReporrtToools”和數(shù)據(jù)庫管管理工具“DatabbaseAAdminiistrattionTTools”可以直接讀讀取這些原始始數(shù)據(jù)，即使使SNMP的AGENTT不再存在仍仍然可以找到到這些信息。網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全主要體現(xiàn)現(xiàn)在如下三方方面：訪問安全：未經(jīng)授授權(quán)，任何系系統(tǒng)、任何個(gè)個(gè)人都不可以以進(jìn)入系統(tǒng)的的相關(guān)部分；；傳輸安全：防止數(shù)數(shù)據(jù)在網(wǎng)絡(luò)上上進(jìn)行傳輸時(shí)時(shí)的信息泄露露以及網(wǎng)絡(luò)邏邏輯損傷；病毒防治：對(duì)網(wǎng)絡(luò)絡(luò)病毒的防御御和清除。網(wǎng)絡(luò)安全措施如下下：主服務(wù)器業(yè)務(wù)數(shù)據(jù)據(jù)的安全備份份；網(wǎng)絡(luò)設(shè)備與通訊線線路的安全備備份；網(wǎng)絡(luò)數(shù)據(jù)傳輸中的的數(shù)據(jù)安全控控制，如加密密和解密；應(yīng)用系統(tǒng)中的安全全控制：操作作系統(tǒng)和數(shù)據(jù)據(jù)庫系統(tǒng)的兩兩級(jí)帳戶、兩兩級(jí)口令等；；網(wǎng)絡(luò)病毒疫苗（防防病毒軟件）；；“防火墻”、病毒“防火墻”；規(guī)范的系統(tǒng)運(yùn)行管管理和系統(tǒng)安安全管理。網(wǎng)絡(luò)測(cè)試標(biāo)準(zhǔn)1）局域網(wǎng)測(cè)試速率測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)在正正常狀態(tài)下的的傳輸速率，基基本要為10/1000Base--T；穩(wěn)定性測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)的穩(wěn)穩(wěn)定性、健壯壯性，基本要要求是S-Pinng/Pinng為50%；安全性測(cè)試： 測(cè)測(cè)試系統(tǒng)對(duì)非非法侵入及非非法用戶的抵抵制能力是主主要內(nèi)容，基基本的標(biāo)準(zhǔn)為不容許非非法登錄；通斷性測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)和線線路是否通暢暢，基于封裝裝協(xié)議的數(shù)據(jù)據(jù)傳輸是否正正常，基本標(biāo)準(zhǔn)為全部線線路物理上可可Conneect、邏輯上可可Ping；破壞性測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)中某某部分出現(xiàn)意意外中斷時(shí)是是否能夠及時(shí)時(shí)啟用備用設(shè)設(shè)備保證網(wǎng)絡(luò)的通暢，基基本要求為1小時(shí)內(nèi)可切切換、1天內(nèi)可恢復(fù)復(fù)；集成性測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)在不不同廠家網(wǎng)絡(luò)絡(luò)產(chǎn)品配置組組合之后的網(wǎng)網(wǎng)絡(luò)性能，基基本要求為可集成不同同主流廠商的的同檔產(chǎn)品；；拓展性測(cè)試： 網(wǎng)網(wǎng)絡(luò)的拓展性性能如何直接接影響用戶的的資金利用率率，基本要求求為可擴(kuò)充、冗余端口口約10%；整體性測(cè)試： 測(cè)測(cè)試網(wǎng)絡(luò)連通通后的整體性性能，要求為為可整體