大型机场信息网络课程设计.

1、哈尔滨理工大学计算机网络基础课程设计学生姓名：王岩学 号：1130370118_学 院：哈尔滨理工大学荣成学院系 另比软件工程系专业班级：计算机应用技术 11-1班设计（论文）题目大型机场信息网络建设指导教师：徐辉2012年 12月中文摘要进入 21 世纪，随着计算机技术、通信技术、网络技术为代表的现代信息技 术的飞跃发展，人类逐步由工业时代向信息时代迈进， 信息作为一个新兴的产业， 正对国民经济起着越来越重要的作用。 但是， 随着技术的进步， 出现了一系列网 络应用、网络安全、网络控制和网络管理的难题。因此，如何从最初的网络结构 设计和应用服务部署入手，建设一个性能优越、安全稳定、扩展性强、

2、易于管理 的网络就成为许多网络工作者关注的课题。本文根据机场的需求和特点， 制定了网络和信息安全的技术方案和切实可行 的实施方案。方案具有开放性、先进性、安全性、可管理性。开放是系统得以生 存的基础。 最重要的是遵循国际工业化标准， 以保证系统有较长的生命周期。 采 用先进并标准化的技术与设备， 发挥网络最佳的集成效能， 保证在相当长一段时 间内系统整体处于先进水准。 在网络设计时， 需根据不同的需要进行不同的网络 安全设计，最大程度地保护整个网络系统的安全。 对于一定规模的网络系统来讲， 网络的管理和维护性是必需的。 只有通过网管系统， 才能及时方便地了解网络的 运行状况， 提高网络运行效率

3、， 及时发现各种网络故障并迅速排除， 以保障网络 系统正常、高效地运行。关键词 网络 安全 信息化 系统ABSTRACTstEnters for the 21 century ， along with the computer technology ， the communication， the network technology for representative m'odsern information technology leap developmen，t the humanity gradually makes great strides forward by the

4、industry time to the information time，the information took an emerging industry， is playing the more and more vital role to the national economy. But，along with the technical progress，appeared a series of networks applicatio，nthe network security， the network control and the network management diffi

5、cult problem. Therefore，how obtains from the initial network architecture design and using the service deployment, constructs the network which a performance superior，safe stable， the extension strong，is easy to manage to become the topic which many networks workers pays attention.This article accor

6、ding to the demands and characteristic of airport, the scheme of the network and security of information are designed. The scheme has the characteristic of open, advanced, secure, and administrable. Open is the foundation for the system to operate, the most important is to conform to the Internation

7、al Industrialization' s Standard, thiesewpiltlhke system has long life cycle. Using thelatest device and technology can ensure the whole system to be advanced in a long time. In the network design, we will design any network according to the security demand of different network. Maintenance and

8、management of the network are necessary for some network system of certain scale. Only uses the network manager system, we can quickly learn the status of network, enhance the network efficiency, find any network failure and solve the problemKeyword： Network, Security， Information ， System引言进入 21 世纪

9、，随着计算机技术、通信技术、网络技术为代表的现代信息技 术的飞跃发展，人类逐步由工业时代向信息时代迈进， 信息作为一个新兴的产业， 正对国民经济起着越来越重要的作用。 “信息化”已成为一个国家经济和社会发 展重要方向。 办公自动化作为信息化过程中一个重要的组成部分， 为社会的发展 和进步提供有力保证。 随着计算机及网络技术的发展， 办公自动化己成为信息化 建设的趋势。但是，随着技术的进步，出现了一系列网络应用、网络安全、网络 控制和网络管理的难题。 因此，如何从最初的网络结构设计和应用服务部署入手， 建设一个性能优越、 安全稳定、扩展性强、 易于管理的网络就成为许多网络工作 者关注的课题。1

10、前言在民航发展“十五”计划中 , 信息化建设被列为三大建设重点之一，机场的 网络基础建设是集成整合民航各个信息系统， 开发各类应用的平台， 是信息化建 设的基础工程。网络基础建设的程度与优劣对提高民航信息化整体水平和民航企 业核心竞争力将产生重大的影响。 国内的大型机场经过多年的规划建设已经完成 大部分的基础工程， 而中小型机场由于认识、 资金等方面的原因， 在网络基础建 设上和各大机场有着明显的差距， 所以加强对中小机场信息化现状、 需求研究十 分必要。2. 企业案例分析青岛大型机场属于青岛国际机场股份公司， 该机场有网络中心、 机务、 候机 楼、办公楼、安检、客户中心、动力中心、消防、货运

11、、宾馆等下属部门或分支 机构。网络建设包括以下五个部分：构建机场、公司核心网网络平台，实现机场 核心网网络平台与公司核心网网络平台之间的互联互通； 在核心网上建设视频会 议系统、电子邮件系统、虚拟传真、门户网站系统、 IP 电话系统、 IP TV 系统、 视频点播系统； 建设信息网信息发布、 交换和信息共享应用平台， 以及实现 VOIP 以及VPN功能。故而要骨干网络拥有1000M网络带宽。交换机、路由器、防火墙 及其他系统均选择主流设备及系统。 与原有的网络设备兼容， 并实现集中统一的 管理；为场内各单位服务。3 网络系统设计原则和需求分析3.1 需求分析工程项目的前期调研人员经过仔细的市场

12、和用户调研，总结的需求分析如 下：1 、网络系统中心应在青岛机场计算机信息管理中心。2 、整个网络采用先进的网络结构，以满足传输、存储和处理数据、等信息的 需要。3、各应用单位通过青岛机场计算机信息中心和 INTERNE接通。4 、满足网上的集成办公系统和电子商务业务系统的需求。5 、完整统一的系统管理平台。3.2 设计原则（1 ）先进性 计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备 要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性， 工具性和软件集成优势。 网络要考虑通信发展要求， 因此，主要设备和关键设备 以进口为主，但国内能满足要示的，尽量采用国产设

13、备。（2）实用性系统的设计既要在相当长的时间内保证其先进性， 还应本着实用的原则， 在实用的基础上追求先进性， 使系统便于联网， 实现信息资源共享。 易于维护管 理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方 便的汉字，图形处理功能。（4）可伸缩性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变 化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多 平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同 操作系统、 不同的网络类型连成一个可协同工作的一个整体。 所以所选网络的通 信协议要符合国际标准，为将来系统的升级、扩展

14、打下良好的基础。(3) 可靠性网络的可靠性要求高， 采用容错技术或设备级的备份保证网络系统的正常工 作。用户的需求包括了用户当前的业务要求和未来业务的要求。 任何一个系统都 不可能永远不变， 因此建设网络系统时， 应该充分考虑系统可能的发展情况， 使 系统在较长的时间内适应技术发展的要求。(4) 可管理性由于机场维护人员数量有限， 因此需要易管理、 易维护的网络系统。 网络管 理基于 SNM，P 利用图形化的管理界面和简洁的操作方式，合理的网络规划策略， 提供强大的网络管理功能。 网络日常的维护和操作要直观， 便捷和高效。 设备尽 可能选取集成度高、模块化、可通用的产品，以便于管理和维护。4

15、拓扑图及方案整体描述和实现4 1 主干网方案设计 本方案的总体设计思想是以青岛机场信息通信应用需求为指导， 力求为青岛 机场提供一个安全、先进、灵活、高带宽、高可靠性的多业务网络平台。使行核 心网能够基于这个平台， 实现机场与公司、 机场各个部门、 各个机构之间安全高 速的数据共享， 尽可能地简化信息通信流程， 提高通信效率， 并为今后的新业务 发展打下良好的基础。为保证多种基于宽带的服务和新型 IP 技术服务，本方案 将从多种业务服务的角度出发， 建立多层次的服务业务平台。 经过比较， 青岛机 场网络决定选用了华为3Com CISCO系列网络产品，整个网络系统将覆盖机务、 候机楼、办公楼、安

16、检、动力中心、消防、货运、宾馆等，其网络总体结构由核 心层、汇聚层与用户接入层等组成的三层结构。4.1.1 核心层网络核心层及骨干均采用目前先进并且成熟的 ATM技术组建；选用的产品是 2台CISCO S8512万兆核心以太网交换机构建。 CISCO S8500系列万兆核心交换机基于新一代核心交换机的设计理念，具备大容量、高可靠、高性能、可扩展能力强和业务与性能兼具的特点。CISCO68500内置强劲的全分布式业务处理引擎， 以全线速处理二层、三层、MPLS VPN组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计， 满足了青岛机场核心网络对多业务、 高可靠、大容量的需

17、求。同时 CISCOS8500系列支持新一代高性能万兆接口，为 济南机场园区网、数据中心也提供了超高速链路扩展的能力。4.1.2 用户接入层 接入层为用户提供在局部网段访问互联网络的能力，直接与桌面计算机接入，其采用CISCOS3200系列交换机，它能提供高密度的用户接口，采用了华为3ComCISCOS026C安全智能二层以太网交换机， CISCOS3000系列智能二层交换 机提供了二到七层的智能的流分类和和完善的服务质量(QoS，实现完备的业务控制和用户管理能力， 非常适合作为关注业务管理控制和网络安全保障能力的机 场网络接入层交换机使用。4.2 Internet 网络与公司互连核心节点交换

18、机通过硬件防火墙加路由器的方式与 Internet 网络相连及公司公司部门相连，防火墙配置VPN功能，通过防火墙上的VPN功能，本网络与青 岛机场股份公司在市区的单位及其他相关单位连接， 即提供虚拟专线连接； 通过 路由器提供内网与 Internet 网络的连接及驻场单位与 Internet 网络连接。机场互联网出口路由器采用了 CISCO AR46-40智能业务中心路由器，CISCO AR46系列智能业务中心路由器秉承“业务与性能并重、业务平滑演进”的设计 理念，是面向全业务、开放的业务模型而开发的新一代智能业务路由器。 CISCOAR 46系列路由器同时具备华为3Com公司高端和中低端路由

19、器全面的业务能力，包括完善的路由、MPLS VPN组播、语音、安全、QOS IPv6、宽带接入、三网合 一等业务能力；所有业务均针对用户核心环境进行了优化设计。S wrt di BSwtch CHcatDC!M0 F14 FU F0J3 FOM FOK FQIG FO" F®战晋通交换机外网lyiFQZO bl FirewallinternetRotter aFli.1 Jiu-cantsuleTF7P訪火蛊HQStHost B晋通题机S 儿 itch D7普通交换机EwtchG9D9服务器faibYsrHgqus叹C2M9 FtflFOffiFd.-SFOaIFOFOa

20、FO/7FOffi口口门门口口门口C29« FM 尸犹 FM Fft?4 FOifi Fflulfi FM F曲 巳口口口口口口口PPC525 IF E2 审60丽1&C3550 F0力冋尼 Ffl/5 FOW FQ恋 FO FQM FQ用rJTBEiMFlLJ旧口曰巳寸口 曲儕谢Irl行李址理普邇交換机晋通交换机C3550网络拓扑图4.3子网划分与VLAN设定431内部网和直属单位的连接通过CISCO路由器与直属单位进行信息交流，把内部网与直属单位的内部网 络（LAN连接起来。分别通过一台 CISCO路由器2610走DDN把青岛机场消防 部等直属单位连接到青岛机场计算机信息

21、中心。4.3.2提供In ternet 用户访问使用DDN专线把青岛机场的办公楼、机务等直属单位连接到该机场的计算机 信息中心，青岛机场的用户大楼、消防部等机构则通过青岛机场计算机信息中心 的PROXW艮务器接入In ternet ，青岛机场用户大楼中的用户还可以查询青岛市 青岛机场计算机信息中心主页信息及电子商务等在内的主页内容。433 IP地址规划青岛机场使用的是由ISP提供的合法IP地址段及域名，范围为5/290/29；青岛机场内私有地址分配，采用192.168.X.X的私有保留地址块，按地理位置、部门来划分，并遵循IP地址规划原则，进

22、行统一分配。通过PIX将映射内部邮件服务器、WEB艮务器成In ternet地址.青岛机场IP地址规划表单位ID单位名称IP子网空间VLAN IDIP数1网络中心192.168 20/242542办公大楼192.168 20/242653机务/242454候机楼/2440405安检/2450406客户服务中心/2460607动力中心/2411208消防部门/2412259货运中心/24132410宾馆/24

23、14115a. 设置IPPCC login: rootPassword： linuxrootPCC root)# if co nil g ethD 1 92.1 68.2.0 netmask 255.255,255.0rootPCC rootjff ifcontigethO (net addr: mask: loopback inet addr: mask： 255.0.D.0 rootPCC rootj#|Swich A阳w朋勢逞HM4 B行爭处埋1SG1G&21苔通交損川C29O0CJ'JOJ u -比隔

24、画忌刑TroFro?赢CMB KO/1FO fOfl fl,M F0« FM FQ/T FQffi传机厅諭心B/普通交换机H0S4F5132113 019£16&11,DSwfcii F習通交换机C355(1 F01F0Z2 FU/3 RON FB Ffl« Fflff F0*« 巳 J Qb. 设置vianswitch>en switchesh vlan switch#conf t switch(config)#hostname Cisco S3000Cisco S300Ofconflg|*exitCisco S3000lh/lan da

25、tabaseCisco S3000vhn)#vlan1Cisco S30D0vlanJfVlan2CiscoS3000vlanJtexitCisco S3tl00config)4intetface vlanlCisco S300QcDnfig-1f)#ip address 19168.2.0 Cisco S300Q(config-ifjj!fno shutdownCisco S300Qfconfig-iijlfexitCsco S3000cDnfig#interface vlan2Cisco S300Q(conng4qt1p address 192 J 68.40.0

26、 Cisco S3Q0O(config-ii)#no shutdownCisco S3000config-if#exitc. 添加成员到vianl.vlan2CiscoS3D0Q#conf tClscoS3000(config)tfint f0/2CiscdS3000(configntjllswitchport access vlanlCiscoS3000conflg4f)flnt fO/3Ci scoS3 00 O(config-if)#switch port access vlanlCiscoS3000config-if)fint fOMCiscoS3 DO Qc

27、onfig-i1ff switch port access vlan 2 CiscoS3000(config if)#intW/5CiscoS3000(config-i1#&witchport access vlan2 CiscoS300Q(config-if|#int fO/GCiscoS 3 QOO(config-if)#switch port access vlan?Cis co S3000co nfi g-if*e ndCisco S300D#sh vlan4.4服务器及操作系统平台4.4.1服务器系统的规划青岛机场设有 WW服务器和PROXYR务器，用HP NETSERVER

28、 LH60做0WWW 服务器，PROXY!艮务器则用Xeon 5500系列。规划后有 WW服务器、PROX服务 器、EMAIL服务器、数据库服务器、托管服务器五台独立的服务器，分别连接到 青岛机场计算机信息中心的中心交换机上。服务器作为各种应用的平台，它为用户提供了各种办公自动化以及In ternet/ I ntranet服务。而且，作为 C/N结构的核心，它既是一个完备的数据中心，还是一个全面的管理中心。为了提供给用户功能强大的Intranet服务，实现In ternet和Intranet的互连，实现信息的高度共享和信息的不断更新。在青岛机场络信息系统的建设中除了数据库服务器之外，我们还配置

29、了功能完备的WW服务器如何选择最佳的服务器配置方案、 最大程度地发挥服务器的性能特点是一个 网络系统建设成败的关键。4.4.2 服务器选型原则服务器的选型主要依据系统规模的大小，重点有以下几方面：1）多台服务器并行处理，提高了系统的运行和响应速度；2）所支持的网络工作站数量3）所处理的数据总量4）对网络及软件的要求5）对速度的要求6）系统管理的要求7）应用支持的要求8）扩展性要求9）产品性能稳定，经过市场长期的考验10）能支持多种通讯协议，具有异种机互连的能力11）具有很高的安全性12）具有众多软件系统开发商的支持13）具有简单的升级方案14）简易的管理及维护操作15）系统的开放性16）系统的

30、性能 / 价格比17）生产厂商的技术支持4.5 应用分析4.5.1 数据库服务器数据库服务器作为系统的最基本的数据之源， 必须具有优秀的性能、 高度的 可靠性、良好的稳定性、 海量的存储能力以及高度的容错性， 要无条件地保证数 据的完整性和系统的长期可靠地运行。4.5.2 WWW服务器WWW 务器是用来向外界用户提供信息资源的窗口， 企业可以在这里发布新 闻、介绍企业动态以及提供最新信息等， 用户可以通过服务器提供的超文本信息 来获取有用的资料；同时，通过 Internet 的互连作用，可以宣传企业形象，提 供企业声誉和影响。作为企业对外的窗口， WW服务器要求具有较强的适时性和 稳定性。4.

31、5.3 PROXY 服务器PROXYK务器是用来作为用户访问INTERNET勺出入口，可以通过PROXYK 务器的管理、控制用户对INTERNET勺访问。4.5.4 EXCHANG 服务器EXCHANGE务器用来做为公司内、外网络使用的邮件服务器。4.5.5 托管服务器托管服务器主要为今后的网站发展而建立4.6 服务器平台4.6.1 服务器平台比较目前，在应用业务方面存在着两种典型的服务器配置平台： 微机服务器（采 用NT操作系统）和小型机（采用 Unix操作系统）。它们在性能、价格方面分别 具有自己的优势和特点。首先，在硬件方面， 高档微机服务器一般都采用 Intel 公司的奔腾系列处理 器

32、，产品更新速度较快，内部结构简单，易于维护管理。 Unix 小型机采用精减 指令集计算（RISC）处理器，浮点运算能力较强，扩展性好，能支持较多的外部 设备，适合于大型的企业级应用。 但近年来随着计算机技术的迅速发展， 微机服 务器在性能和处理能力方面越来越先进，在许多应用方面可以完全取代小型机。在操作系统方面，小型机都采用 Unix 操作系统，并行处理能力强，具有开 放性特点。而微机服务器则采用 Microsoft公司的Windows NT作为操作系统， 与 Windows 98 具有相似的界面，操作直观、简单，适合用户使用，管理、维护 也比较方便。小型机在价格方面一般都比同档次的微机服务器

33、要高。HP根据目前服务器市场的厂商技术分析和青岛机场的实际需求，建议选用NETSERVER LH60实现 WWW务器.4.6.2 HP LH6000 性能分析HP LH 6000 是惠普公司推出的功能强大、可用性高的企业级服务器，具有 六向对称多处理（SMP功能的Pentium III处理器，能为繁忙的企业网络提供无 与伦比的性能,使用双PCI成对总线,双Ultra SCSI控制器以及多达216GB的存 储量.它还具备RAID双路与故障恢复启动功能，使网络保持运行状态。它具有内 置扩充性，使青岛机场信息网能根据需要优化系统，并在以后逐渐扩充。1、可扩充的超级服务器性能：保证了青岛机场未来的发展

34、需求6路Pentium III对称多处理器（SMP ,能支持高达4GB的差错校验（ECC 存储器；专用高速缓冲存储器 每个处理器 512K/1GB；共有 12 个 I/O 插槽 没有一个是共享的；双 PCI 对等总线实现全面最高值的 I/O ；12个热交换拖架，能支持多达216GB的内部存储功能。2、最佳的系统开机时间和数据保护功能：保证了青岛机场网络系统的稳定 性和安全性具有能报告错误的ECC存储器；容余风扇以减低因风扇故障而引起的故障时间； 存储洗涤以减低会造成系统发生故障的软错误 内置自动服务器重新启动（ASR、温度和电压监控 附有SCSI底板的热交换存储子系统以实现内部磁盘的双工 模块

35、化热交换冗余供电减低由于供电故障所造成的系统故障时间3、系统管理工具：简化了系统管理人员的服务器管理和维护工作HPNetServer导航器可引导CD-RO光盘备有易于使用的工具以配置、安装 和管理 HP NetServer LH6000。HP NetServer 辅助服务器管理软件可实现主动的警告提示及解决问题用于Windows网络管理软件的HPOpenView可实现网络映像、报警管理和安 全保护功能供选择的HP远程辅助卡可让您从远程进行系统诊断和环境监控4.7 配置描述根据目前服务器市场的厂商技术分析和青岛机场的实际需求， 我们在这次规 划中选用了一台 HP NETSEVER LH6O0作为

36、 WW服务器。我们为HP NETSEVER LH6O0服务器配置了三块18GB的热插拔SCSI硬盘， 增加了 265M的内存，它们采用RAID冗余结构，保护了数据的安全性。将来数据 量增加时， HP NETSEVER LH 600服0务器还可以再配置块内置硬盘，完全满足了 系统今后的存储要求。为了保证服务器数据的安全性，防止系统遭受意外打击所造成的毁灭性破 坏，我们为服务器配置了一块磁盘阵列卡。 这样，我们可以建立不同等级的 RAID 冗余方式，当服务器中任何一块磁盘发生物理故障或其中任何一块数据被毁坏 时，都可以通过RAID方式提供的校验位和冗余信息对被毁坏的数据进行恢复。 4.7.1 操作

37、系统平台操作系统选用 WindowsNT4.0 中文版，它操作与管理都非常简便，支持范围 广泛的重要商务应用程序和一系列丰富的开发工具。是一个真正的 32位的操作 系统，是PC服务器操作系统平台的最佳选型，它具有如下优点：高性能的客户服务器应用平台网络平台管理工具TCP/IP服务主机连接远程访问服务快速、简易安装与配置高的安全性高容错性多种备份目录服务支持多种文件系统4.7.2 安全技术由于青岛机场连入 Internet ，为用户提供各种信息服务。资源共享和开放 是 Internet 特点，所以 Internet 的安全机制很松散； 而青岛机场网络信息系统 要求有较高的安全性， 其内部的许多数

38、据和文件严禁未经授权的访问。 因此，设 计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。 Internet 上的安全技术可分为三部分：系统安全、信息安全和网络安全。4.7.3 系统安全系统安全保证一个主机系统的安全， 主要包括主机系统的密码安全、 重要服 务器如SendMail、FTP和数据库等大型应用系统的安全。 本建议在主机系统和数 据库系统的选型上，已经充分考虑了系统的安全性。另外， Internet 上提供了 很多实用的工具来加强系统的安全， 比如 Crack 程序，它本是一个系统密码的破 译工具，但可利用它来寻找系统上较脆弱的密码；n passwd是一个经过完善的系统工

39、具， 使用它可增加用户密码破译的难度。 系统越复杂， 其缺点和漏洞就会越 多，比如著名的蠕虫病毒就利用了系统 Sendmail 程序的漏洞，为了加固大型应 用系统的安全， Internet 上有很多专用的站点来发布这些系统的安全漏洞及 bug，从而改进安全措施。系统安全性包括两方面的内容：系统运行安全性和数据信息安全性。其中， 系统运行安全性主要指计算机、网络设备的可靠性与稳定性。设备可靠性在青岛机场网络信息系统的建设中，我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用服务器。 所选用的设备都是两家公司的高可靠性产 品之一，所有部件支持热插拔功能， 可以通过在线维修和硬软件现场

40、升级而不影 响系统的正常运行。为了发挥网络设备的最大性能， 对整个系统进行有效的监控和管理， 我们选 用了 CISCO公司强大的网络管理软件 CISCOWORKS WIND,0它具有发现并排除 故障的功能，这也保证了系统的正常运行。数据信息安全性主要涉及一个计算机系统的安全管理政策， 根据这一政策设 计和实现的网络安全管理系统， 可以管理网络结构的不同层次， 从基本网络访问 功能到网络应用系统功能。在青岛机场网络信息系统中， 我们采用了六级安全机制： 路由器级（包过滤）、 硬件防火墙级、网管级、操作系统级、数据库级、应用级，涵盖了从物理层到应 用层的所有范围。路由器级 第一道防火墙采用 Cis

41、co2610 路由器实现包过滤，完成系统的访 问控制功能，屏蔽掉关键服务器的MAC地址，禁止外部对内部某些重要主机的访 问，同时禁止内部对外部某些站点或网络的访问。防火墙级 系统采用Cisco公司的最新的防火墙产品PIX520,它是一种硬件 解决方案。主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多 媒体信息的传输，使用与管理更方便。PIX具有双以太网口（内部网与 DMZ各一 个）；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内部对 外的访问。网管级 利用CISCO公司CISCOWORKS WINDOW网管功能，划分 VLAN可 以将不同处室的终端分配到不同的网段上，

42、 在优化网络流量的同时， 也限制了用 户对其它网段的访问。操作系统级 我们选用WindowsNT作为服务器操作系统，它采用了增强的安 全措施，通过登陆认证、 用户授权、 信息加密等安全机制限制了用户对关键数据 的非法操作。数据库级（ORACLE ORACLE持维护管理数据库服务器、各种数据库设备， 对象（ 包括表 ） ，用户及拥有的权限等， 建立具有不同访问权限的多种类型的用 户组，并能对用户进行分组授权。ORACLE全满足NCSC勺C2级安全标准，并早已通过相应的标准测试，在B1级的操作系统上，ORACL早已提供满足NCSC勺B1级或ITSEC的ITSE。4.7.4 网络安全网络安全的主要技

43、术是防火墙技术（ Firewall ），防火墙技术的核心思想是 在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两 种，即基于包过滤（Packet Filter ）的防火墙和基于代理（Proxy）的防火墙。 包过滤型防火墙处在网络层，根据 IP 包的包头信息来对信息的访问进行控制， 而 IP 包的包头主要包括以下信息： IP 包的源地址、 目的地址、 包类型、 端口号， 因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙， 也叫应用层防火墙， 处于应用层， 可对 IP 地址和发生在该 IP 地址上的具体应用 进行控制， 由于它能识别应用协议， 因此可对应用的

44、整个过程进行控制， 比如在 应用建立时的密码验证、 在 FIP 应用中允许某站点 get 而不允许 put 等等。这两 种防火墙各有优缺点， 包过滤型防火墙由于基于网络层， 因此对用户来说比较透 明，但它一般采用“没被禁止的就是允许的”这一策略， 在它失效时， 网络是畅 通的，这时内部网络将失去安全的屏障， 而应用层防火墙采用“没被允许的就是 禁止的”这一策略， 在它失效时， 内部网络与外部网络是隔离的， 因此应用层防 火墙要比包过滤型防火墙安全。大多数路由器均支持包过滤功能， 比如在 Cisco 路由器上可以通过设置称为 access-list 的过滤规则来实现包过滤功能： 禁止外部网络对内

45、部网络的某些重 要机器的访问，禁止内部网络主机对 Internet 上部分站点的访问；并可利用端 口号来选择控制的应用协议，比如 TELNET勺端口号为23、FTP的端口号为21、 WW的端口号为80等，这样就可以设置一些较复杂的规则，比如可以允许某台 机器对In ternet具有Email访问功能，却不能利用 WWW FIP等。基于包过滤防火墙的商业产品主要有 Sun 公司的 SunScreen 和 Check Point 公司的 Firewall-1 ， SunScreen 在硬件上采用一个不带显示器的 Sparc2 工作站， 并在其上插了四块以太网卡， 在软件上利用改造过的、 更安全的专

46、用于防火墙的 操作系统， SunScreen 的四块网卡均无 IP 地址，可实现两路透明的桥接过滤功 能，因此它相当于一个黑盒子，用户无法检测到它的存在，同时SunScreen又是 一个具有硬件加密功能的设备，可实现安全的私有网络SVPN；Firewall-1 也是基于包过滤的防火墙的产品， 除了完成包过滤功能外， 还具有对部分应用协议的 识别功能，比纯包过滤产品更安全。此外， Internet 上也有很多免费的包过滤 软件，比如基于 PC DOS境的Kbridge和Drawbridge等。Internet 的安全代理服务器软件主要分为两种：一种直接利用原有 TCP/IP 应用的客户，比如 U

47、nix 系统的 telnet 、 ftp 应用等，在这种方式下，用户想访 问 Internet 时，比须先登录到代理所在的工作站上，然后才能访问；另一种方 式是利用与代理服务器配套的客户软件，这种方式在访问 Internet 时不需先登 录到代理服务器软件的典型代表分别是： TIS 公司的 FWTK(FireWall ToolKit ) 和SOCKSFWT服务器由一组代理服务组成， 包括FTP代理、TELNET弋理、HTTP 代理、Gopher代理、SMTP代理等，由于FWT软件是一种应用层的代理软件，因 此，对应于每一个应用都需要一个代理。FWTK软件具有灵活的控制手段和详细 的记录功能，它

48、的源码可在 Internet 上免费获得。4.7.5 信息安全信息安全是一项十分敏感的问题。 由于 Internet 上有许多可用来做！的工 具，比如 snuffer 等，因此明文信息在 Internet 网上传输是不安全的。 TCP/IP 协议本身不提供任何信息安全方面措施，因此必须另外开发。目前，Internet上的信息加密有两种途径：基于 IP 层的信息加密和基于应用层的信息加密，基 于应用层的信息加密是传统的方法， 用户在发送信息前， 利用加密工具先将信息 加密，然后才发送出去，接收方可利用相应的解密工具还原信息；基于 IP 的信 息加密是 Internet 上的一种新技术， 它对 I

49、P 包进行加密， 对于应用层的用户来 说是透明的，用户无需在传送数据前进行加密，数据的安全是通过 IP 层自动实 现的，但是这种应用要求发送方和接收方采用同样的技术、 同样的产品， 目前已 有采用这种技术的产品出现，比如 Sun公司的防火墙Sun Screen就具有此功能。 利用基于 IP 包的信息加密技术可在 Internet 上实现安全的私有网络 SVPN (Secure Virtual Private Network)。信息加/ 解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体 系，单密钥的加密体系在加密和解密时采用相同的密钥， 如著名的加密算法 DES； 双密钥的加密方法又叫

50、公开密钥的加密方法， 加密和解密时采用不同的密钥， 即 公开密钥和私人密钥，如著名的 RSA算法。这两种加密体系在In ternet都得到 了不同的应用。比如Unix系统的用户密码password就采用DES算法；而信息加 解密工具 PGP(Pretty Good Privacy )采用了公开密钥的加密方法。PGP是 1991年由美国学者菲利普"齐默尔曼率先提出的信息加密方案，广 泛应用在电子邮件中。 他把公开密钥和分组密码组织在一个系统之中， 公开密钥 选用了 RSA算法，分组密码选用了 IDEA算法。前者用于密钥管理，后者用于信 息加密。PGP勺密码长度可达512、1024或20

51、48位。它除了可完成信息加密之 外，还具有安全的数字签名和身份验证功能。4.7.6 如何实现防火墙每一种不彻底公开的内部网络与 Internet 最大的区别是安全性，网络建成 后，内部网与公共网之间将实现单向访问控制， 通过防火墙进行隔离。 防火墙技术是实现网络安全的重要保证。它可分为两种，即基于包过滤（PACKET FILTER）的网络级防火墙和基于代理（PROXY的应用级防火墙。这两种防火墙各有优缺点， 在一般的内部网防火墙构架中，综合利用了这两种技术，下面是整个防火墙系统 的介绍：第一道防火墙采用CISCO路由器实现包过滤，完成访问控制功能：禁止外部 对内部某些重要主机的访问，同时禁止内

52、部对外部某些站点或网络的访问。 第二 道防火墙采用一台工作站来充当代理服务器，实现内部网对INTERNET勺访问，同时实现隔离功能，禁止外部网络对内部网络的访问。在外部网与内部网之间为 中间非军事区（DMZ）,在这个区域里的主机与In ternet直接相通，因此不用来存 贮较敏感的数据，是一个过渡区域，由于代理服务器要求直接访问INTERNET因此代理服务器也放在这一区域。防火墙方案是采用CISCO公司的最新的防火墙产品 PIX520，它是一种硬件 解决方案，主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多 媒体信息的传输，使用与管理更方便。PIX具有双以太网口（内部网与 DMZ

53、个）;可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内外问。5. 系统主要设备清单及报价表一为网络通信系统的主要设备清单及报价，报价单位为美元usd价格为FOB US表序号名称报价数量金额成交价1Cisco 7204-Base Un it(4slot, 1 AC Power)6,000.0016,000.00-Network Processor Modules,200MHZ9,750.0019,750.00.-Input/Output Controller with Fast Ethernet PorT3,750.0013,750.00-FastEthernet Module(1 port