大型机场信息网络课程设计

1、哈尔滨理工大学计算机网络基础课程设计学生姓名： 王岩 学 号：1130370118 学 院： 哈尔滨理工大学荣成学院 系 别： 软件工程系 专业班级： 计算机应用技术11-1班 设计(论文)题目： 大型机场信息网络建设 指导教师： 徐辉 2012年12月中文摘要 进入21世纪，随着计算机技术、通信技术、网络技术为代表的现代信息技术的飞跃发展，人类逐步由工业时代向信息时代迈进，信息作为一个新兴的产业，正对国民经济起着越来越重要的作用。但是，随着技术的进步，出现了一系列网络应用、网络安全、网络控制和网络管理的难题。因此，如何从最初的网络结构设计和应用服务部署入手，建设一个性能优越、安全稳定、扩展性

2、强、易于管理的网络就成为许多网络工作者关注的课题。本文根据机场的需求和特点，制定了网络和信息安全的技术方案和切实可行的实施方案。方案具有开放性、先进性、安全性、可管理性。开放是系统得以生存的基础。最重要的是遵循国际工业化标准，以保证系统有较长的生命周期。采用先进并标准化的技术与设备，发挥网络最佳的集成效能，保证在相当长一段时间内系统整体处于先进水准。在网络设计时，需根据不同的需要进行不同的网络安全设计，最大程度地保护整个网络系统的安全。对于一定规模的网络系统来讲，网络的管理和维护性是必需的。只有通过网管系统，才能及时方便地了解网络的运行状况，提高网络运行效率，及时发现各种网络故障并迅速排除，以

3、保障网络系统正常、高效地运行。关键词 网络 安全 信息化 系统ABSTRACT Enters for the 21st century，along with the computer technology，the communication，the network technology for representatives modern information technology leap development，the humanity gradually makes great strides forward by the industry time to the informatio

4、n time，the information took an emerging industry，is playing the more and more vital role to the national economy. But，along with the technical progress，appeared a series of networks application，the network security，the network control and the network management difficult problem. Therefore，how obtai

5、ns from the initial network architecture design and using the service deployment, constructs the network which a performance superior，safe stable，the extension strong，is easy to manage to become the topic which many networks workers pays attention.This article according to the demands and characteri

6、stic of airport, the scheme of the network and security of information are designed. The scheme has the characteristic of open, advanced, secure, and administrable. Open is the foundation for the system to operate, the most important is to conform to the International Industrializations Standard, th

7、is will keep the system has long life cycle. Using the latest device and technology can ensure the whole system to be advanced in a long time. In the network design, we will design any network according to the security demand of different network. Maintenance and management of the network are necess

8、ary for some network system of certain scale. Only uses the network manager system, we can quickly learn the status of network, enhance the network efficiency, find any network failure and solve the problemKeyword：Network, Security， Information， System 引言进入21世纪，随着计算机技术、通信技术、网络技术为代表的现代信息技术的飞跃发展，人类逐步由

9、工业时代向信息时代迈进，信息作为一个新兴的产业，正对国民经济起着越来越重要的作用。“信息化”已成为一个国家经济和社会发展重要方向。办公自动化作为信息化过程中一个重要的组成部分，为社会的发展和进步提供有力保证。随着计算机及网络技术的发展，办公自动化己成为信息化建设的趋势。但是，随着技术的进步，出现了一系列网络应用、网络安全、网络控制和网络管理的难题。因此，如何从最初的网络结构设计和应用服务部署入手，建设一个性能优越、安全稳定、扩展性强、易于管理的网络就成为许多网络工作者关注的课题。1 前言在民航发展“十五”计划中,信息化建设被列为三大建设重点之一，机场的网络基础建设是集成整合民航各个信息系统，开

10、发各类应用的平台，是信息化建设的基础工程。网络基础建设的程度与优劣对提高民航信息化整体水平和民航企业核心竞争力将产生重大的影响。国内的大型机场经过多年的规划建设已经完成大部分的基础工程，而中小型机场由于认识、资金等方面的原因，在网络基础建设上和各大机场有着明显的差距，所以加强对中小机场信息化现状、需求研究十分必要。2. 企业案例分析青岛大型机场属于青岛国际机场股份公司，该机场有网络中心、机务、候机楼、办公楼、安检、客户中心、动力中心、消防、货运、宾馆等下属部门或分支机构。网络建设包括以下五个部分：构建机场、公司核心网网络平台，实现机场核心网网络平台与公司核心网网络平台之间的互联互通；在核心网上

11、建设视频会议系统、电子邮件系统、虚拟传真、门户网站系统、IP电话系统、IP TV系统、视频点播系统；建设信息网信息发布、交换和信息共享应用平台，以及实现VOIP以及VPN功能。故而要骨干网络拥有1000M网络带宽。交换机、路由器、防火墙及其他系统均选择主流设备及系统。与原有的网络设备兼容，并实现集中统一的管理；为场内各单位服务。3 网络系统设计原则和需求分析3.1 需求分析 工程项目的前期调研人员经过仔细的市场和用户调研，总结的需求分析如下： 1、网络系统中心应在青岛机场计算机信息管理中心。 2、整个网络采用先进的网络结构，以满足传输、存储和处理数据、等信息的需要。 3、各应用单位通过青岛机场

12、计算机信息中心和INTERNET接通。 4、满足网上的集成办公系统和电子商务业务系统的需求。 5、完整统一的系统管理平台。3.2 设计原则（1）先进性计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络要考虑通信发展要求，因此，主要设备和关键设备以进口为主，但国内能满足要示的，尽量采用国产设备。（2）实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具

13、有使用灵活、操作方便的汉字，图形处理功能。（4）可伸缩性系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通信协议要符合国际标准，为将来系统的升级、扩展打下良好的基础。(3)可靠性 网络的可靠性要求高，采用容错技术或设备级的备份保证网络系统的正常工作。用户的需求包括了用户当前的业务要求和未来业务的要求。任何一个系统都不可能永远不变，因此建设网络系统时，应该充分考虑系统可能的发展

14、情况，使系统在较长的时间内适应技术发展的要求。(4)可管理性由于机场维护人员数量有限，因此需要易管理、易维护的网络系统。网络管理基于SNMP，利用图形化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。网络日常的维护和操作要直观，便捷和高效。设备尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。4 拓扑图及方案整体描述和实现41 主干网方案设计本方案的总体设计思想是以青岛机场信息通信应用需求为指导，力求为青岛机场提供一个安全、先进、灵活、高带宽、高可靠性的多业务网络平台。使行核心网能够基于这个平台，实现机场与公司、机场各个部门、各个机构之间安全高速的数据共享，尽

15、可能地简化信息通信流程，提高通信效率，并为今后的新业务发展打下良好的基础。为保证多种基于宽带的服务和新型IP技术服务，本方案将从多种业务服务的角度出发，建立多层次的服务业务平台。经过比较，青岛机场网络决定选用了华为3Com CISCO系列网络产品，整个网络系统将覆盖机务、候机楼、办公楼、安检、动力中心、消防、货运、宾馆等，其网络总体结构由核心层、汇聚层与用户接入层等组成的三层结构。4.1.1 核心层网络核心层及骨干均采用目前先进并且成熟的ATM技术组建；选用的产品是2台CISCO S8512万兆核心以太网交换机构建。CISCO S8500系列万兆核心交换机基于新一代核心交换机的设计理念，具备大

16、容量、高可靠、高性能、可扩展能力强和业务与性能兼具的特点。CISCO S8500内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量，提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足了青岛机场核心网络对多业务、高可靠、大容量的需求。同时CISCO S8500系列支持新一代高性能万兆接口，为济南机场园区网、数据中心也提供了超高速链路扩展的能力。4.1.2 用户接入层接入层为用户提供在局部网段访问互联网络的能力，直接与桌面计算机接入，其采用CISCO S3200系列交换机，它能提供高密度的用户接口，采用了华为3Com CISCO S026C安全智

17、能二层以太网交换机，CISCO S3000系列智能二层交换机提供了二到七层的智能的流分类和和完善的服务质量（QoS），实现完备的业务控制和用户管理能力，非常适合作为关注业务管理控制和网络安全保障能力的机场网络接入层交换机使用。4.2 Internet网络与公司互连 核心节点交换机通过硬件防火墙加路由器的方式与Internet网络相连及公司公司部门相连，防火墙配置VPN功能，通过防火墙上的VPN功能，本网络与青岛机场股份公司在市区的单位及其他相关单位连接，即提供虚拟专线连接；通过路由器提供内网与Internet网络的连接及驻场单位与Internet网络连接。 机场互联网出口路由器采用了CISCO

18、 AR46-40智能业务中心路由器，CISCO AR46系列智能业务中心路由器秉承“业务与性能并重、业务平滑演进”的设计理念，是面向全业务、开放的业务模型而开发的新一代智能业务路由器。CISCO AR 46系列路由器同时具备华为3Com公司高端和中低端路由器全面的业务能力，包括完善的路由、MPLS、VPN、组播、语音、安全、QOS、IPv6、宽带接入、三网合一等业务能力；所有业务均针对用户核心环境进行了优化设计。 网络拓扑图4.3 子网划分与VLAN设定4.3.1 内部网和直属单位的连接通过CISCO路由器与直属单位进行信息交流，把内部网与直属单位的内部网络（LAN）连接起来。分别通过一台CI

19、SCO路由器2610走 DDN把青岛机场消防部等直属单位连接到青岛机场计算机信息中心。4.3.2 提供Internet用户访问使用DDN专线把青岛机场的办公楼、机务等直属单位连接到该机场的计算机信息中心，青岛机场的用户大楼、消防部等机构则通过青岛机场计算机信息中心的PROXY服务器接入Internet，青岛机场用户大楼中的用户还可以查询青岛市青岛机场计算机信息中心主页信息及电子商务等在内的主页内容。4.3.3 IP地址规划青岛机场使用的是由ISP提供的合法IP地址段及域名，范围为5/290/29；青岛机场内私有地址分配，采用192.168.X

20、.X的私有保留地址块，按地理位置、部门来划分，并遵循IP地址规划原则，进行统一分配。通过PIX将映射内部邮件服务器、WEB服务器成Internet地址.青岛机场IP地址规划表单位ID单位名称IP子网空间VLAN IDIP数1网络中心/242542办公大楼/242653机务/242454候机楼/2440405安检/2450406客户服务中心/2460607动力中心/2411208消防部门/2412259货运中心1

21、/24132410宾馆/2414115a. 设置IPb. 设置vlanc. 添加成员到vlan1.vlan24.4 服务器及操作系统平台4.4.1 服务器系统的规划青岛机场设有WWW服务器和PROXY服务器，用HP NETSERVER LH6000做WWW服务器，PROXY 服务器则用Xeon 5500 系列。规划后有WWW服务器、PROXY服务器、EMAIL服务器、数据库服务器、托管服务器五台独立的服务器，分别连接到青岛机场计算机信息中心的中心交换机上。服务器作为各种应用的平台，它为用户提供了各种办公自动化以及Internet/ Intranet

22、服务。而且，作为C/N结构的核心，它既是一个完备的数据中心，还是一个全面的管理中心。为了提供给用户功能强大的Intranet服务，实现Internet和Intranet的互连，实现信息的高度共享和信息的不断更新。在青岛机场络信息系统的建设中除了数据库服务器之外，我们还配置了功能完备的WWW服务器。如何选择最佳的服务器配置方案、最大程度地发挥服务器的性能特点是一个网络系统建设成败的关键。4.4.2 服务器选型原则服务器的选型主要依据系统规模的大小，重点有以下几方面：1)多台服务器并行处理，提高了系统的运行和响应速度；2)所支持的网络工作站数量3)所处理的数据总量4)对网络及软件的要求5)对速度的

23、要求6)系统管理的要求7)应用支持的要求8)扩展性要求9)产品性能稳定，经过市场长期的考验10)能支持多种通讯协议，具有异种机互连的能力11)具有很高的安全性12)具有众多软件系统开发商的支持13)具有简单的升级方案14)简易的管理及维护操作15)系统的开放性16)系统的性能/价格比17)生产厂商的技术支持4.5 应用分析4.5.1 数据库服务器数据库服务器作为系统的最基本的数据之源，必须具有优秀的性能、高度的可靠性、良好的稳定性、海量的存储能力以及高度的容错性，要无条件地保证数据的完整性和系统的长期可靠地运行。4.5.2 WWW服务器WWW服务器是用来向外界用户提供信息资源的窗口，企业可以在

24、这里发布新闻、介绍企业动态以及提供最新信息等，用户可以通过服务器提供的超文本信息来获取有用的资料；同时，通过Internet的互连作用，可以宣传企业形象，提供企业声誉和影响。作为企业对外的窗口，WWW服务器要求具有较强的适时性和稳定性。4.5.3 PROXY 服务器PROXY 服务器是用来作为用户访问INTERNET的出入口，可以通过PROXY 服务器的管理、控制用户对INTERNET的访问。4.5.4 EXCHANG 服务器EXCHANG 服务器用来做为公司内、外网络使用的邮件服务器。4.5.5 托管服务器托管服务器主要为今后的网站发展而建立4.6 服务器平台4.6.1 服务器平台比较目前，

25、在应用业务方面存在着两种典型的服务器配置平台：微机服务器（采用NT操作系统）和小型机（采用Unix操作系统）。它们在性能、价格方面分别具有自己的优势和特点。首先，在硬件方面，高档微机服务器一般都采用Intel公司的奔腾系列处理器，产品更新速度较快，内部结构简单，易于维护管理。Unix小型机采用精减指令集计算（RISC）处理器，浮点运算能力较强，扩展性好，能支持较多的外部设备，适合于大型的企业级应用。但近年来随着计算机技术的迅速发展，微机服务器在性能和处理能力方面越来越先进，在许多应用方面可以完全取代小型机。在操作系统方面，小型机都采用Unix操作系统，并行处理能力强，具有开放性特点。而微机服务

26、器则采用Microsoft公司的Windows NT作为操作系统，与Windows 98具有相似的界面，操作直观、简单，适合用户使用，管理、维护也比较方便。小型机在价格方面一般都比同档次的微机服务器要高。根据目前服务器市场的厂商技术分析和青岛机场的实际需求，建议选用HP NETSERVER LH6000实现WWW服务器.4.6.2 HP LH6000性能分析HP LH 6000是惠普公司推出的功能强大、可用性高的企业级服务器，具有六向对称多处理（SMP）功能的Pentium III处理器,能为繁忙的企业网络提供无与伦比的性能,使用双PCI成对总线,双Ultra SCSI控制器以及多达216GB

27、的存储量.它还具备RAID双路与故障恢复启动功能,使网络保持运行状态。它具有内置扩充性，使青岛机场信息网能根据需要优化系统，并在以后逐渐扩充。1、可扩充的超级服务器性能：保证了青岛机场未来的发展需求6路Pentium III对称多处理器（SMP）,能支持高达4GB的差错校验（ECC）存储器；专用高速缓冲存储器-每个处理器512K/1GB；共有12个I/O插槽-没有一个是共享的；双PCI对等总线实现全面最高值的I/O；12个热交换拖架，能支持多达216GB的内部存储功能。2、最佳的系统开机时间和数据保护功能：保证了青岛机场网络系统的稳定性和安全性具有能报告错误的ECC存储器；容余风扇以减低因风扇

28、故障而引起的故障时间；存储洗涤以减低会造成系统发生故障的软错误内置自动服务器重新启动（ASR）、温度和电压监控附有SCSI底板的热交换存储子系统以实现内部磁盘的双工模块化热交换冗余供电减低由于供电故障所造成的系统故障时间3、系统管理工具：简化了系统管理人员的服务器管理和维护工作HP NetServer导航器可引导CD-ROM光盘备有易于使用的工具以配置、安装和管理HP NetServer LH6000。HP NetServer辅助服务器管理软件可实现主动的警告提示及解决问题用于Windows网络管理软件的HP OpenView可实现网络映像、报警管理和安全保护功能供选择的HP远程辅助卡可让您从

29、远程进行系统诊断和环境监控4.7 配置描述根据目前服务器市场的厂商技术分析和青岛机场的实际需求，我们在这次规划中选用了一台HP NETSEVER LH6000作为WWW服务器。我们为HP NETSEVER LH6000服务器配置了三块18GB的热插拔SCSI硬盘，增加了265M的内存，它们采用RAID冗余结构，保护了数据的安全性。将来数据量增加时，HP NETSEVER LH 6000服务器还可以再配置块内置硬盘，完全满足了系统今后的存储要求。为了保证服务器数据的安全性，防止系统遭受意外打击所造成的毁灭性破坏，我们为服务器配置了一块磁盘阵列卡。这样，我们可以建立不同等级的RAID冗余方式，当服

30、务器中任何一块磁盘发生物理故障或其中任何一块数据被毁坏时，都可以通过RAID方式提供的校验位和冗余信息对被毁坏的数据进行恢复。4.7.1 操作系统平台操作系统选用Windows NT4.0中文版，它操作与管理都非常简便，支持范围广泛的重要商务应用程序和一系列丰富的开发工具。是一个真正的32位的操作系统，是PC服务器操作系统平台的最佳选型，它具有如下优点：高性能的客户服务器应用平台网络平台管理工具TCP/IP服务主机连接远程访问服务快速、简易安装与配置高的安全性高容错性多种备份目录服务支持多种文件系统4.7.2 安全技术由于青岛机场连入Internet，为用户提供各种信息服务。资源共享和开放是I

31、nternet特点，所以Internet的安全机制很松散；而青岛机场网络信息系统要求有较高的安全性，其内部的许多数据和文件严禁未经授权的访问。因此，设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。Internet上的安全技术可分为三部分：系统安全、信息安全和网络安全。4.7.3 系统安全系统安全保证一个主机系统的安全，主要包括主机系统的密码安全、重要服务器如SendMail、FTP和数据库等大型应用系统的安全。本建议在主机系统和数据库系统的选型上，已经充分考虑了系统的安全性。另外，Internet上提供了很多实用的工具来加强系统的安全，比如Crack程序，它本是一个系统密码的破

32、译工具，但可利用它来寻找系统上较脆弱的密码；npasswd是一个经过完善的系统工具，使用它可增加用户密码破译的难度。系统越复杂，其缺点和漏洞就会越多，比如著名的蠕虫病毒就利用了系统Sendmail程序的漏洞，为了加固大型应用系统的安全，Internet上有很多专用的站点来发布这些系统的安全漏洞及bug，从而改进安全措施。系统安全性包括两方面的内容：系统运行安全性和数据信息安全性。其中，系统运行安全性主要指计算机、网络设备的可靠性与稳定性。设备可靠性 在青岛机场网络信息系统的建设中，我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用服务器。所选用的设备都是两家公司的高可靠性产品之一

33、，所有部件支持热插拔功能，可以通过在线维修和硬软件现场升级而不影响系统的正常运行。为了发挥网络设备的最大性能，对整个系统进行有效的监控和管理，我们选用了CISCO公司强大的网络管理软件CISCOWORKS WINDOWS，它具有发现并排除故障的功能，这也保证了系统的正常运行。数据信息安全性主要涉及一个计算机系统的安全管理政策，根据这一政策设计和实现的网络安全管理系统，可以管理网络结构的不同层次，从基本网络访问功能到网络应用系统功能。在青岛机场网络信息系统中，我们采用了六级安全机制：路由器级（包过滤）、硬件防火墙级、网管级、操作系统级、数据库级、应用级，涵盖了从物理层到应用层的所有范围。路由器级

34、 第一道防火墙采用Cisco2610路由器实现包过滤，完成系统的访问控制功能，屏蔽掉关键服务器的MAC地址，禁止外部对内部某些重要主机的访问，同时禁止内部对外部某些站点或网络的访问。防火墙级 系统采用Cisco公司的最新的防火墙产品PIX520，它是一种硬件解决方案。主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。PIX具有双以太网口（内部网与DMZ各一个）；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内部对外的访问。网管级 利用CISCO公司CISCOWORKS WINDOWS 的网管功能，划分VLAN。可以将不同处室的终端分配到不

35、同的网段上，在优化网络流量的同时，也限制了用户对其它网段的访问。操作系统级 我们选用Windows NT作为服务器操作系统，它采用了增强的安全措施，通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。数据库级（ORACLE） ORACLE支持维护管理数据库服务器、各种数据库设备，对象( 包括表 )，用户及拥有的权限等，建立具有不同访问权限的多种类型的用户组，并能对用户进行分组授权。ORACLE完全满足NCSC的C2级安全标准，并早已通过相应的标准测试，在B1级的操作系统上，ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。4.7.4 网络安全网络安全的主要技

36、术是防火墙技术（Firewall），防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤（Packet Filter）的防火墙和基于代理（Proxy）的防火墙。包过滤型防火墙处在网络层，根据IP包的包头信息来对信息的访问进行控制，而IP包的包头主要包括以下信息：IP包的源地址、目的地址、包类型、端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层，可对IP地址和发生在该IP地址上的具体应用进行控制，由于它能识别应用协议，因此可对应用的整个过程进行控制，比如在应用建立时的密码验证、在FIP

37、应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失效时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许的就是禁止的”这一策略，在它失效时，内部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙安全。大多数路由器均支持包过滤功能，比如在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能：禁止外部网络对内部网络的某些重要机器的访问，禁止内部网络主机对Internet上部分站点的访问；并可利用端口号来选择控制的应用

38、协议，比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等，这样就可以设置一些较复杂的规则，比如可以允许某台机器对Internet具有Email访问功能，却不能利用WWW和FIP等。基于包过滤防火墙的商业产品主要有Sun公司的SunScreen和Check Point公司的Firewall-1，SunScreen在硬件上采用一个不带显示器的Sparc2工作站，并在其上插了四块以太网卡，在软件上利用改造过的、更安全的专用于防火墙的操作系统，SunScreen的四块网卡均无IP地址，可实现两路透明的桥接过滤功能，因此它相当于一个黑盒子，用户无法检测到它的存在，同时SunSc

39、reen又是一个具有硬件加密功能的设备，可实现安全的私有网络SVPN；Firewall-1也是基于包过滤的防火墙的产品，除了完成包过滤功能外，还具有对部分应用协议的识别功能，比纯包过滤产品更安全。此外，Internet上也有很多免费的包过滤软件，比如基于PC DOS环境的Kbridge和Drawbridge等。Internet的安全代理服务器软件主要分为两种：一种直接利用原有TCP/IP应用的客户，比如Unix系统的telnet、ftp应用等，在这种方式下，用户想访问Internet时，比须先登录到代理所在的工作站上，然后才能访问；另一种方式是利用与代理服务器配套的客户软件，这种方式在访问In

40、ternet时不需先登录到代理服务器软件的典型代表分别是：TIS公司的FWTK（FireWall ToolKit）和SOCKS。FWTK服务器由一组代理服务组成，包括FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等，由于FWTK软件是一种应用层的代理软件，因此，对应于每一个应用都需要一个代理。FWTK软件具有灵活的控制手段和详细的记录功能，它的源码可在Internet上免费获得。4.7.5 信息安全信息安全是一项十分敏感的问题。由于Internet上有许多可用来做！的工具，比如snuffer等，因此明文信息在Internet网上传输是不安全的。TCP/IP协议本身不

41、提供任何信息安全方面措施，因此必须另外开发。目前，Internet上的信息加密有两种途径：基于IP层的信息加密和基于应用层的信息加密，基于应用层的信息加密是传统的方法，用户在发送信息前，利用加密工具先将信息加密，然后才发送出去，接收方可利用相应的解密工具还原信息；基于IP的信息加密是Internet上的一种新技术，它对IP包进行加密，对于应用层的用户来说是透明的，用户无需在传送数据前进行加密，数据的安全是通过IP层自动实现的，但是这种应用要求发送方和接收方采用同样的技术、同样的产品，目前已有采用这种技术的产品出现，比如Sun公司的防火墙SunScreen就具有此功能。利用基于IP包的信息加密技

42、术可在Internet上实现安全的私有网络SVPN（Secure Virtual Private Network）。信息加/解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系，单密钥的加密体系在加密和解密时采用相同的密钥，如著名的加密算法DES；双密钥的加密方法又叫公开密钥的加密方法，加密和解密时采用不同的密钥，即公开密钥和私人密钥，如著名的RSA算法。这两种加密体系在Internet都得到了不同的应用。比如Unix系统的用户密码password就采用DES算法；而信息加解密工具PGP（Pretty Good Privacy）采用了公开密钥的加密方法。PGP是1991年由美国学者菲利

43、普 齐默尔曼率先提出的信息加密方案，广泛应用在电子邮件中。他把公开密钥和分组密码组织在一个系统之中，公开密钥选用了RSA算法，分组密码选用了IDEA算法。前者用于密钥管理，后者用于信息加密。PGP的密码长度可达512、1024或2048位。它除了可完成信息加密之外，还具有安全的数字签名和身份验证功能。4.7.6 如何实现防火墙每一种不彻底公开的内部网络与Internet最大的区别是安全性，网络建成后，内部网与公共网之间将实现单向访问控制，通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证。它可分为两种，即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PROXY)的应用级

44、防火墙。这两种防火墙各有优缺点，在一般的内部网防火墙构架中，综合利用了这两种技术，下面是整个防火墙系统的介绍：第一道防火墙采用CISCO路由器实现包过滤，完成访问控制功能：禁止外部对内部某些重要主机的访问，同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器，实现内部网对INTERNET的访问，同时实现隔离功能，禁止外部网络对内部网络的访问。在外部网与内部网之间为中间非军事区(DMZ)，在这个区域里的主机与Internet直接相通，因此不用来存贮较敏感的数据，是一个过渡区域，由于代理服务器要求直接访问INTERNET，因此代理服务器也放在这一区域。防火墙方案是采用

45、CISCO公司的最新的防火墙产品PIX520，它是一种硬件解决方案，主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。PIX具有双以太网口（内部网与DMZ各一个）；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内外问。5 系统主要设备清单及报价表一为网络通信系统的主要设备清单及报价，报价单位为美元USD，价格为FOB US：表一：序号名称报价数量金额成交价1Cisco 7204-Base Unit(4slot, 1 AC Power)6,000.0016,000.00-Network Processor Modules,200MHZ9,7

46、50.0019,750.00-Input/Output Controller with Fast Ethernet PorT3,750.0013,750.00-FastEthernet Module(1 port 100BaseT)3,750.0013,750.00-Serial Interface Processor(4 Port)6,750.0016,750.00- Serial Cable150.004600.00-Router Software(IP) & WAN Packet Protocols Licence8,100.0018,100.00Cisco 7204 Spare Part-Cisco 7204