某地铁局域网和城域网解决方案

项目概述广州地铁总公司的新办公场所位于广州市中山五路与解放路交界处的中旅商业城第十六层，面积约为三千七百平方米，集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门，大约将有二百三十多名工作人员在此办公。广州地铁总公司将在中旅商业城十六层建立计算机网络，该网络是广州地铁总公司企业管理信息系统的平台，他将提供以下的服务：各种数据库管理系统，如财务管理系统、合同管理系统等；办公自动化信息管理，如公文流转、电子邮件系统等；国际互联网Iternet接入；六间会议室有少量的多媒体信息传输；要求实现与公司其他总部——位于芳村西朗的运营事业总部、位于北京路广百大厦29层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路204号的地铁设计院网络互联，构筑广州地铁总公司城域网，实现全公司信息的共享；允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。需求分析网络现状分析布线工程已由广州地铁总公司委托其他公司完成。该布线工程全部采用Lucent公司的超五类设备进行施工，将达到Lucent公司十五年保用标准。共有三个设备间，其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接，可形成环路。网络布线端口数达到320个，每个设备间所联信息点基本一样，大约为110个。网络操作系统将采用MSWindows2000Server。网络需求分析根据地铁总公司的要求，这次网络工程的主要内容包括四部分：中旅商业城十六层广州地铁总公司计算机局域网；中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案；广州地铁总公司城域网；中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。总体设计方案系统设计原则高可靠性计算机网络系统应采用可靠性较高的产品和容错较强的网络结构，以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大程度地保证网络的正常运转。高安全性根据建行的管理制度和网络策略制定一套完善的安全政策，采用合适的技术手段，充分保证网络安全性。先进性在技术上要到达当前的国际先进水平。要采用最大先进网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展，保证网络建成后3-5年不落后，选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。易管理、易维护由于计算机网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。可扩展性网络系统应具有良好可扩展性，随着业务的增长和应用水平的提高，网络应可平滑地扩展的升级，而不需要对网络结构设备进行大的改动。系统设计概述网络体系结构和逻辑结构设计确定网络体系结构及相应的通信协议，对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门，而这些部门有的在使用一些专用的系统，有的需要与其它专用系统相连。因此，要共享网络的资源及在网络中交换信息，就必须实现不同系统间的实体通信，这需要不同系统采用同一协议.。网络体系结构的确定：骨干网络使用交换式快速以太网。本网络大量采用以太网产品，因为以太网发展最为迅速，目前拥有广泛用户和众多的产品，容易得到支持。网络的主干采用100Mb/S交换式以太网，原因如下：采用100Mb/s以太网交换技术,可使网络主干速率成倍增长；便于向千兆位以太网过渡；技术成熟；有大量的成功案例可查。网络拓扑结构采用星型网络交换技术。通过相应的管理软件，在不改变网络节点物理位置的情况下，可以对网络的逻辑结构进行合理的划分，即建立虚拟网络，来达到网络信息流量的有效控制。网络管理系统的确定人们往往只重视网络的静态性能，而忽视了对网络动态解决方案重要性的认识。实际上，网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点，及时解决问题；也可对网络的信息流量进行有效的控制和分流。要管理网络端口，需要网上每台设备都支持SNMP。根据本网络的特点，要求网管程序能够跨越地域对异地的网络节点进行管理。连接Internet在与Internet的连接方面，通过代理服务器，利用ADSL专线访问服务器，实现与远程客户的信息交流。同时，还设立了网管工作站，监控网络的运行状况，使网络达到最大的利用效率。四、系统方案局域网设计方案基本网络结构设计.基本网络物理结构采用1台Cisco的带第三层路由交换功能的千兆以太网交换机–Catalyst2948G-L3做中心交换机，采用7台Cisco的Catalyst3548XLEnterpriseEdition交换机（带千兆网堆叠模块）做桌面交换机，每2（3）台堆叠成一组，通过一个千兆以太网模块上联至主干，下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。1）中心交换机的配置千兆以太网交换机Catalyst2948G-L3置于主设备间。中心交换机配置1块24Gbps千兆以太网交换引擎、1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。2） 桌面交换机的配置桌面交换机根据用户的实际情况采用7台Cisco的Catalyst3548XLEnterpriseEdition交换机，每2（3）台堆叠成一组，共3组，每组配置如下：Catalyst3548XL带48个10/100Base-T自适应端口Catalyst3548XL堆叠模块Catalyst3548XL千兆位上联模块虚拟网（VLAN）的构建VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于WinNT网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。采用VLAN具有下述优势。

1）控制网络上的广播风暴VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。2）增加网络的安全性使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。3）集中化的管理控制通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用,增加了集中管理的功能。本网络系统分成多个逻辑子网，一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的，当他们需要互相访问时，必须通过路由器或具有路由能力的交换机（第三层交换机）使它们在网络层(第三层)连接起来。本系统种所采用的Catalyst2948G-L3具有第三层路由模块，不需要附加路由器，VLAN之间的通信在Catalyst2948G-L3交换机内部即可解决，能够建立跨过多台交换机而在整个网络中起作用的VLAN。Catalyst2948G-L3和Catalyst3548XLEnterpriseEdition都支持VLAN划分，同时由于都支持802.1Q技术，也就能实现VLAN功能，通过802.1Q，网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机，最高速度可以达到800M。Cisco公司IOS操作系统和CiscoWorks网管软件的统一应用，以统一的软件平台把各种不同的硬件连接起来，构成有效、无缝的信息系统，更有利于新应用的部署，同时提高了网络的整体性能。根据端口划分本网络系统利用交换机的端口来划分VLAN成员，通过虚拟网管理应用程序,中心交换机的端口被定义为虚拟网A、B、C三，分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信，并允许共享型网络的升级。通过交换机端口来划分网络成员，其配置过程简单明了，采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比，基于物理地址的划分方案管理起来不方便，网络管理员经常要进行大量改动；而基于协议的划分方案又没有什么必要，因为网络本身基于TCP/IP协议。因此，迄今为止端口划分是最常用的一种方式。系统的特点1）高性能核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求，主干连接分别采用100Mb/s、100Mb/sTrunk和千兆以太网，使网络的性能价格比达到最佳点。先进的子网划分方案VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于Win95网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。充分利用CISCO产品的技术优势综上所述，本网络系统的先进性、安全性等特性是显而易见的，但更重要的是它的网络整体性能好，符合用户的需要。网络服务网络操作系统Windows2000AdvancedServer是为服务器开发的多用途网络操作系统，它支持范围广泛的重要商业应用程序和一系列丰富的开发工具，可为企业用户提供文件打印、软件应用、Web功能和通信等各种服务，是一个性能好、工作稳定、容易管理的平台。Windows2000AdvancedServer采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。Windows2000AdvancedServer具有以下特点:平台无关性Windows2000AdvancedServer是一个与硬件平台无关的,可伸缩的服务器操作系统。它可运行在Intelx86系统、精简指令集计算机(RISC)和DECAlpha处理机上,从而在选择计算机系统时有多的自由。2）可扩展性它可以扩展到对称多处理器上,使得需要高性能处理器时还可以加上额外的处理器，支持数达到8路。Windows2000AdvancedServer在Alpha平台上支持最多32G的物理内存，在Intel平台上支持最多8G的内存。3）兼容性Windows2000支持Windows应用程序,以及NTFS、FAT和FAT32文件系统。安全性Windows2000已将安全性内嵌入操作系统,有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows2000支持的安全模板由安全属性的文件（.inf）组成，它将所有现有的安全属性组织到一个位置以简化安全性管理，包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息，也可以用作安全分析。Windows2000用Kerberos验证，提供更快、更安全的验证和响应，允许用户只登陆一次就可以访问网络资源。活动目录活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息，并使得这些信息更容易被查找到。活动目录有灵活的目录结构，允许委派对目录安全的管理，提供更有效率的权限管理。开放性支持多种传输协议,可在多种网络环境下工作可靠性支持多种容错方式，有较强的容错和出错恢复功能，在多种一般错误发生后一分钟内自动重启应用软件集成Web服务MicrosoftWindows2000平台上提供Internet信息服务（IIS），该服务可提供在Intranet或Internet上共享文档和信息的能力。利用IIS，可以部署灵活可靠、基于Web的应用程序，并可将现有的数据和应用程序转移到Web上。可见Windows2000是十分理想的网络应用平台，可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows2000AdvanceServer作为网络服务器的操作系统，用Windows2000Server作为应用服务器的操作系统。应用功能1）办公自动化和电子邮件服务MicrosoftExchangeServer是带有集成组件的电子信息交换服务器，它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序，可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能，而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合，使用通用、熟悉的开发工具，ExchangeServer可以快速提供和实施强大的业务协作解决方案，满足用户对Intranet协作的多层次的需求，提高企业竞争实力。本电子系统构建于MicrosoftExchangeServer电子交换服务器，安装Exchange服务器作为邮局，存储、交换、管理邮件系统中的用户和信件，以电子邮件为基础，处理公司的所有邮件，构成信息传递的基础，并在此基础上构建如下应用：个人级的应用主要完成公司内部工作人员日常的办公工作管理，构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建MicrosoftWindows98和MicrosoftOffice97/2000的套件基础上。部门级的应用通过MicrosoftExchangeServer的Schedule+和MicrosoftOffice97/2000的Outlook来协调部门工作，处理会议请求、资源分配和工作安排等。企业级的应用构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用，构建与InternetInformationServer和MicrosoftSQLServer的基础上，形成内部的Intranet。2）数据库应用目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQLServer根据目前业务系统的特点，充分考虑今后系统开放性、高效性、联机事务处理的要求，数据库系统应该采用SQLServer类型，综合当前SQLServer产品现状，我们建议采用Microsoft-SQLServer，并使用独立的数据库服务器以提高性能。其原因主要有以下几点：由于本系统的体系结构采用客户/服务器模式，Microsoft-SQLServer拥有广泛的客户基础，考虑到本模块主要与控制中心进行数据交换及处理，因此充分估计其它业务及相关系统的要求，采用Microsoft-SQLServer便于进行与其它系统的数据转换及处理。本系统面临一逐步推广使用的过程，因此要求在系统构造时充分考虑其扩展性。MICROSOFTSQLServer具有开放的体系结构，由于其公开的接口规格，使得现在多数4GL程序开发语言均支持对SQLServer的联接，因此MICROSOFTSQLServer能够面向多种系统的开发，便于处理与其它系统的接口问题。可伸缩性：SQLServer所有的表、SQL代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行，并且它便于向大型、具有并行处理能力的开放系统硬件环境转移。互操作性：MICROSOFT客户/服务器系统能够透明地与其它厂商的产品联结集成，如DB2、Oracle。分布式数据库支持：MICROSOFTSQLServer便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时，可以把它们的SQLServer网络当作一个单一的集成资源来对待。MICROSOFTSQLServer与Windows2000连接紧密：目前SQLServer产品较多，但与Windows2000连接紧密且性能优越的当数MICROSOFTSQLServer。MICROSOFTSQLServer有良好的安全性，达到C2级安全要求。在SQLServe数据库的基础上，可利用各种数据库开发工具开发数据库管理系统，也可使用现在流行的基于Windows平台的MIS管理系统。3）域名服务由于IP地址是使用一长串的数字来标注主机鹤其他网络设备，非常难于记忆和不便于使用，因此目前在Internet上，采用一种具有直观含义的名字来代替以数字方式表示的IP地址，这种名字形式的地址称为域名地址，整个分层的域名地址体系即是域名解析（DNS）。对于企业来说，域名是企业在网上的标志，也是企业推广自身形象的网络门户。域名解析是当前网络中一种成熟的技术，在本系统中将用Windows2000的DNS系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准，既支持动态更新，又可以兼容于NT4网络，支持手工刷新，结合了WINS的动态能力和传统DNS的稳定性和健壮性。在Windows2000中，活动目录与DNS紧密集成在一起，客户可以更容易更迅速地找到目录服务器，企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴进行通讯和提供电子商务，网络规划和管理变得更容易。4）远程访问服务RAS（远程访问服务）接入提供了协议封装和数据加密功能，允许移动用户通过Internet或公共网络建立虚拟专用网络（VPN）模拟点对点专用连接，在计算机之间收发数据，其效果与在专用线路上进行数据传输一样安全、有效。在本系统中RAS服务器配有两个Modem，外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。5）Web服务Windows2000服务器中内置了一个新的Web服务器--InternetInformationServer(IIS)5.0。IIS以其强大的服务能力和丰富的开发手段，使其成为了电子商务的主要服务器平台，5.0在原有的基础上，又增加了许多新的功能：IIS5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来，而且可以对每个站点应用配置独立的CPU使用率，并可以独立停止和重起每个进程。这大大提高了Web服务器的可靠性和稳定性，是您建立的电子商务站点运行的更加可靠。在安全性方面，IIS5.0可以使用Windows2000ActiveDirectory实现用户身份的验证，也可以使用证书和ActiveDirectory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。IIS5.0上的Web站点的开发使用的时ActiveServerPage(ASP)3.0。ASP提供了强大的功能和与Windows的紧密集成，同时ASP3.0又进一步提高了效率。ASP3.0提供了和XML的集成，同时也可以用ADSI2.0对Windows2000ActiveDirectory进行操作。使用MicrosoftVisualInterDev6.0开发工具，您可以快速建立您的电子商务系统，也可以建立一个复杂但是功能强劲的电子商务系统。因此在本系统中将配置一台Web服务器，使用IIS5.0进行Web开发，提供完善的Web服务。6）多媒体信息传输根据客户的需求，本系统采用MicrosoftNetMeeting构建多媒体会议系统。备份服务（建议采用）使用计算机系统处理日常业务在提高效率的同时，有一个问题越来越不容忽视，即数据失效问题。一旦发生数据失效，企业就会陷入困境：客户资料、技术文件、财务账目等数据可能被破坏得面目全非，如果系统无法顺利恢复，最终结局将不堪设想。所以企业信息化程度越高，备份和灾难恢复措施就越重要。根据系统自身的特点和对备份功能的要求，我们建议在本系统中采用CA公司的ARCserve备份系统。ARCserve是一个跨平台的网络数据备份软件，在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持，目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。产品特性：全面保护Windows操作系统支持打开文件备份支持对各种数据库如Betrieve、Sybase、Oracle等的备份支持从服务器到工作站的全面网络备份可以实现无人值守的自动备份备份前扫描病毒，可以实现无毒备份支持灾难恢复Cisco网络管理CiscoWorksWindows是全面的网络管理软件，它提供一整套强有力的工具，可用于管理小型到中型企业网或工作组。对连网设备自动识别程序可以用色彩鲜明的分级网络视IPIPX网生成网络拓朴图；能为Cisco设备获取端口状态，带宽使用率，流量统计，协议信息及其它网络性能统计等扩展数据；绘图功能灵活，可快速记录和分析可能输出到文件以备电子数据表或其它工具使用的历史数据；管理信息率（MIIB）编辑器器和测览器可可以管理第三三方SNMPP设备；可以定多种性能变变量设置，以以便产生报警警或事件通知知；事件筛选器可以筛筛选出有用信信息以加速故故障排除；设备配置特性用于于在Ciscco交换机机内配置简单单的虚拟LAAN（VLAN）。局域网拓扑图局域网防火墙及防防病毒解决方方案网络安全风险分析析对于信息网所面临临的安全风险险涉及网络环环境多方面，包包括：自然灾害——水灾灾、火灾、地地震等；电子化系统故障———系统硬件、电电力系统故障障等；人员无意识行为———编码缺陷、系系统配置漏洞洞、误操作及及无意泄漏等等；人员蓄意行为———网络环境可可用性破坏、恶恶意攻击等。其中，前三个方面面的风险能够够通过增强对对网络环境的的抗自然灾害害的能力、加加强网络设备备管理维护、系系统操作管理理等手段来加加以完善，尽尽可能将风险险降低到能够够被控制和管管理的程度。而对于第四方面的的安全风险，对对整个信息网网的安全环境境所构成的危危害最大，同同时也是最难难于管理与防防范的。且不不仅仅能够通通过加强对网网络环境及人人员的安全管管理所能够实实现的，尽管管安全管理非非常重要。同同时需要相应应的安全技术术手段辅助完完成。这也是是本安全方案案所要详细阐阐述的。对于在信息网环境境中，采取何何种安全技术术手段且如何何实现，就需需要通过对前前面提到第四四方面的安全全风险的分析析的基础上，针针对信息网安安全需求来确确定。 对于风险来说，它它应包括那些些可以被管理理但又不能被被清除的，以以及那些能够够中断网络工工作流并对工工作环境造成成破坏性的威威胁。其中，主主要包括：对于网络应用服务务的非授权访访问信息交互的保密性性网络病毒的传播与与渗入网络黑客行为 通过对以上主要的的网络威胁分分析，使我们们能够准确把把握信息网的的网络安全需需求。需求分析网络安全需求是保保护网络不受受破坏，确保保网络服务的的可用性。对对于信息网络络内部安全需需求，包括：：能够满足信息网络络内的授权用用户对相关专专用网络资源源访问；能够对于非授权用用户的访问进进行有效控制制和报警；能够坚决杜绝病毒毒和其他危险险程序进入网网络；能够对于远程访问问用户进行安安全管理；加强对于整个信息息网络资源和和人员的安全全管理与培训训。安全管理需求分析析如前所述，能否制制定一个统一一的安全策略略，在全网范范围内实现统统一的安全管管理，对于信信息网来说就就至关重要了了。安全管理主要包括括两个方面：：内部安全管理主要是建立内部安安全管理制度度，如机房管管理制度、设设备管理制度度、安全系统统管理制度、病病毒防范制度度、操作安全全管理制度、安安全事件应急急制度等，并并采取切实有有效的措施保保证制度的执执行。内部安安全管理主要要采取行政手手段和技术手手段相结合的的方法。网络安全管理在网络上设置防病病毒安全检测测系统后，必必须保证防病病毒系统的设设置正确，且且其配置不允允许被随便修修改。采用用用户和口令认认证机制加强强对用户的管管理，可以通通过财务软件件本身和一些些网络层的管管理工具来实实现。安全方案根据对信息网现阶阶段的安全需需求分析，我我们在设计本本安全方案时时，将采取一一切有力的措措施，来实现现信息网现阶阶段的安全目目标，考虑到到现阶段对网网络病毒的管管理要求，本本方案提出对对网络病毒防防范和管理控控制建议，并并提出了现阶阶段的网络安安全管理方案案。网络设备的安全配配置信息网中，整个网网络的安全首首先要确保网网络设备的安安全，保证非非授权用户不不能访问网络络任意的网络络通讯设备（例例如：路由器器，集线器等等）。对不同同型号、厂家家的网络设备备，要防范的的内容是一样样的，但具体体的配置方法法须依照设备备要求来实现现。对服务器访问的控控制对于服务器用户可可以设置不同同的用户权限限，如“非特权”和“特权”两种访问权权限，非特权权访问权限允允许用户在服服务器上查询询某些公众信信息但无法对对服务器进行行配置；特权权访问权限则则允许用户对对服务器进行行完全的配置置。 对服务器访问的控控制建议使用用以下的方式式：控制台访问控制限制访问空闲时间间口令的保护多级管理员权限CheckPoiintFiireWalll-144.0作为开放安全企业业互联联盟(OPSEEC)的组织和倡倡导者之一，CheckkPointt公司致力于于企业级网络络安全产品的的研发，据IDC的最近统计计，其FireWWall-11防火墙在市市场占有率上上已超过44%，《财富》排排名前100的大企业里里近80%选用了CheeckPoiintFiireWalll-1防火火墙。CheckPoiintFiireWalll-1产品品包括以下模模块：基本模块：状态检测模块（IInspecctionModulle）：提供供访问控制、客客户机认证、会会话认证、地地址翻译和审审计功能；防火墙模块（FiireWalllModdule）：：包含一个状状态检测模块块，另外提供供用户认证、内内容安全和多多防火墙同步步功能；管理模块（MannagemeentMoodule）：：对一个或多多个安全策略略执行点（安安装了FirreWalll-1的某个个模块，如状状态检测模块块、防火墙模模块或路由器器安全管理模模块等的系统统）提供集中中的、图形化化的安全管理理功能；可选模块连接控制（ConnnectContrrol）：为为提供相同服服务的多个应应用服务器提提供负载平衡衡功能；路由器安全管理模模块（RouuterSSecuriityMaanagemment）：：提供通过防防火墙管理工工作站配置、维维护3Comm，Ciscoo，Bay等路由由器的安全规规则；其它模块，如加密密模块等。图形用户界面（GGUI）：是是管理模块功功能的体现，包包括策略编辑器：维护护管理对象、建建立安全规则则、把安全规规则施加到安安全策略执行行点上去；日志查看器：查看看经过防火墙墙的连接，识识别并阻断攻攻击；系统状态查看器：：查看所有被被保护对象的的状态。FireWalll-1提供单单网关和企业业级两种产品品组合。单网关产品：只有有防火墙模块块（包含状态态检测模块）、管管理模块和图图形用户界面面各一个，且且防火墙模块块和管理模块块必须安装在在同一台机器器上。企业级产品：可以以有若干基本本模块和可选选模块以及图图形用户界面面组成，特别别是可能配置置较多的防火火墙模块和独独立的状态检检测模块。企企业级产品的的不同模块可可以安装在不不同的机器上上。状态检测机制FireWalll-1采用ChecckPoinnt公司的状状态检测（SStateffulInnspecttion）专专利技术，以以不同的服务务区分应用类类型，为网络络提供高安全全、高性能和和高扩展性保保证。FireWalll-1状态检检测模块分析析所有的包通通讯层，汲取取相关的通信信和应用程序序的状态信息息。状态检测测模块能够理理解并学习各各种协议和应应用，以支持持各种最新的的应用。状态检测模块截获获、分析并处处理所有试图图通过防火墙墙的数据包，保保证网络的高高度安全和数数据完整。网网络和各种应应用的通信状状态动态存储储、更新到动动态状态表中中，结合预定定义好的规则则，实现安全全策略。状态检测模块可以以识别不同应应用的服务类类型，还可以以通过以前的的通信及其它它应用程序分分析出状态信信息。状态检检测模块检验验IP地址、端口口以及其它需需要的信息以以决定通信包包是否满足安安全策略。状态检测模块把相相关的状态和和状态之间的的关联信息存存储到动态连连接表中并随随时更新，通通过这些数据据，FireeWall--1可以检测测到后继的通通信。状态检测技术对应应用程序透明明，不需要针针对每个服务务设置单独的的代理，使其其具有更高的的安全性、高高性能、更好好的伸缩性和和扩展性，可可以很容易把把用户的新应应用添加到保保护的服务中中去。FireWalll-1提供的的INSPEECT语言，结结合FireeWall--1的安全规规则、应用识识别知识、状状态关联信息息以及通信数数据构成了一一个强大的安安全系统。INSPECT是是一个面向对对象的脚本语语言，为状态态检测模块提提供安全规则则。通过策略略编辑器制定定的规则存为为一个用INNSPECTT写成的脚本本文件，经过过编译生成代代码并被加载载到安装有状状态检测模块块的系统上。脚脚本文件是ASCII文件，可以以编辑，以满满足用户特定定的安全要求求。OPSECCheckPoiint是开放放安全企业互互联联盟(OPSEEC)的组织和倡倡导者之一。OPSEC允许用户通通过一个开放放的、可扩展展的框架集成成、管理所有有的网络安全全产品。OPSEC通过把把FireWWall-11嵌入到已有有的网络平台台（如Uniix、NT服务器、路路由器、交换换机以及防火火墙产品），或或把其它安全全产品无缝集集成到FirreWalll-1中，为为用户提供一一个开放的、可可扩展的安全全框架。目前已有包括IBBM、HP、Sun、Cisco、BAY等超过135个公司加入入到OPSEC联盟。企业级防火墙安全全管理FireWalll-1允许企企业定义并执执行统一的防防火墙中央管管理安全策略略。企业的防防火墙安全策策略都存放在在防火墙管理理模块的一个个规则库里。规规则库里存放放的是一些有有序的规则，每每条规则分别别指定了源地地址、目的地地址、服务类类型（HTTP、FTP、TELNEET等）、针对对该连接的安安全措施（放放行、拒绝、丢丢弃或者是需需要通过认证证等）、需要要采取的行动动（日志记录录、报警等）、以以及安全策略略执行点（是是在防火墙网网关还是在路路由器或者其其它保护对象象上上实施该该规则）。FireWalll-1管理员员通过一个防防火墙管理工工作站管理该该规则库，建建立、维护安安全策略，加加载安全规则则到装载了防防火墙或状态态检测模块的的系统上。这这些系统和管管理工作站之之间的通信必必须先经过认认证，然后通通过加密信道道传输。FireWalll-1直观的的图形用户界界面为集中管管理、执行企企业安全策略略提供了强有有力的工具。安全策略编辑器：：维护被保护护对象，维护护规则库，添添加、编辑、删删除规则，加加载规则到安安装了状态检检测模块的系系统上。日志管理器：提供供可视化的对对所有通过防防火墙网关的的连接的跟踪踪、监视和统统计信息，提提供实时报警警和入侵检测测及阻断功能能。系统状态查看器：：提供实时的的系统状态、审审计和报警功功能。分布的客户机/服服务器结构FireWalll-1通过分分布式的客户户机/服务器结构构管理安全策策略，保证高高性能、高伸伸缩性和集中中控制。FireWalll-1由基本本模块（防火火墙模块、状状态检测模块块和管理模块块）和一些可可选模块组成成。这些模块块可以通过不不同数量、平平台的组合配配置成灵活的的客户机/服务器结构。管理模块包括了图图形用户界面面和管理员定定义的相关管管理对象—规则库，网网络对象，服服务、用户等等。防火墙模模块、状态检检测模块以及及其它可选模模块用来执行行安全策略，安安装了这些模模块的系统称称为受保护对对象（FirrewallledSyystem），又又称为安全策策略执行点（SecurityEnforcementPoint）。FireWalll-1的客户户机/服务器结构构是完全集成成的，只有一一个统一的安安全策略和一一个规则库，通通过一个单一一的防火墙管管理工作站，管管理多个装载载了防火墙模模块、状态检检测模块或可可选模块的系系统。认证（Autheenticaation）远程用户和拨号用用户可以经过过FireWWall-11的认证后，访访问内部资源源。FireeWall--1可以在不不修改本地服服务器或客户户应用程序的的情况下，对对试图访问内内部服务器的的用户进行身身份认证。FFireWaall-1的的认证服务集集成在其安全全策略中，通通过图形用户户界面集中管管理，通过日日志管理器监监视、跟踪认认证会话。FireWalll-1提供三三种认证方法法：用户认证（UseerAutthentiicatioon）：针对对特定服务提提供的基于用用户的透明的的身份认证，服服务限于FTP、TELNEET、HTTP、HTTPS、RLOGIIN。客户机认证（CllientAutheenticaation）：：基于客户机机IP的认证，对对访问的协议议不做直接的的限制。客户户机认证不是是透明的，需需要用户先登登录到防火墙墙认证IP和用户身份份之后，才允允许访问应用用服务器。客客户机不需要要添加任何附附加的软件或或做修改。当当用户通过用用户认证或会会话认证后，同同时也就已经经通过客户机机认证。会话认证（SesssionAutheenticaation）：：提供基于服服务会话的的的透明认证，与IP无关。采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。FireWalll-1提供多多种认证机制制供用户选择择：S/Keey，FireWWall-11Passsword，OSPaassworrd，LDAP，SecurreID，RADIUUS，TACACCS等。地址翻译（NATT）FireWalll-1支持三三种不同的地地址翻译模式式：静态源地址翻译：：当内部的一一个数据包通通过防火墙出出去时，把其其源地址（一一般是一个内内部保留地址址）转换成一一个合法地址址。静态源地地址翻译与静静态目的地址址翻译通常是是配合使用的的。静态目的地址翻译译：当外部的的一个数据包包通过防火墙墙进入内部网网时，把其目目的地址（合合法地址）转转换成一个内内部使用的地地址（一般是是内部保留地地址）。动态地址翻译（也也称为隐藏模模式）：把一一个内部网的的地址段转换换成一个合法法地址，以解解决企业的合合法IP地址太少的的问题，同时时隐藏内部网网络结构，提提高网络安全全性能。内容安全FireWalll-1的内容容安全服务保保护网络免遭遭各种威胁，包包括病毒、JJave和ActivveX代码攻攻击等。内容容安全服务可可以通过定义义特定的资源源对象，制定定与其它安全全策略类似的的规则来完成成。内容安全全与FireeWall--1的其它安安全特性集成成在一起，通通过图形用户户界面集中管管理。OPSEC提供应用开开发接口（API）以集成第第三方内容过过滤系统。FireWalll-1的内容容安全服务包包括：利用第三方的防病病毒服务器，通通过防火墙规规则配置，扫扫描通过防火火墙的文件，清清除计算机病病毒；根据安全策略，在在访问WEB资源时，从HTTP页面剥离JaavaAppplet，ActivveX等小程程序及Javva，Scrippt等代码；；用户定义过滤条件件，过滤URL；控制FTP的操作，过过滤FTP传输的文件件内容；SMTP的内容安安全（隐藏内内部地址、剥剥离特定类型型的附件等）；；可以设置在发现异异常时进行记记录或报警；；通过控制台集中管管理、配置、维维护。连接控制FireWalll-1的连接接控制模块提提供了负载平平衡功能，在在提供相同服服务的多个应应用服务器之之间实现负载载分担，应用用服务器不要要求都放在防防火墙后面。用用户可选用不不同的负载均均衡算法：ServerLLoad—该方法由服服务器提供负负载均衡算法法，需要在应应用服务器端端安装负载测测量引擎；RoundTrrip—FireWWall-11利用pingg命令测定防防火墙到各个个应用服务器器之间的循回回时间，选用用循回时间最最小者响应用用户请求；RoundRoobin—FireWWall-11根据其记录录表中的情况况，简单地指指定下一个应应用服务器响响应；Random—FFireWaall-1随机选取应应用服务器响响应；Domain—FFireWaall-1按照域名最最近的原则，指指定最近的应应用服务器响响应。路由器安全管理可以通过FireeWall--1的管理工工作站对企业业范围内的路路由器提供集集中的安全管管理：通过图形用户界面面生成路由器器的过滤和配配置；引入、维护路由器器的访问控制制列表；记录路由器事件（需需要路由器支支持日志功能能）；在路由器上执行通通过图形用户户界面制定的的安全策略。FireWalll-1可以集集中管理以下下路由器：BayNetwworksrouteers,vversioon7.xx-122.xCiscoroouterss,IOSSverssion99-111CiscoPIIXFirrewalll，versiion3..0,4..03ComNettBuildder,vversioon9.xxMicrosofftRASS(Steeelheadd)RouutersforWWindowwsNTserveer4.xx防火墙及防病毒解解决方案软件要求CheckpoiintFiireWalll-144.1(500用户)forWindoows20000NortonAAntiviirus66.0foorWinndows2000网络管理软件硬件要求Cisco26610模块式路由由器服务器（双网卡，一一块为内部网网用一块为外外部网使用）防火墙网络图城域网建设基本概述地铁设计院城域网网的建设范围围由中旅商业业城十六层广广州地铁总公公司（地铁中中心机房）、芳芳村坑口运营营事业总部、广广百商业大厦厦二十九层资资源开发总部部、公园前控控制中心建设设事业总部、环环市西路204号地铁设计计院5个部组成。租租用电信线路路，采用帧中中继技术组建建广州地铁城城域网，同时时支持电话拨拨号访问（租租用一条256K帧中继线和3条电话线供供拨号访问）。城域网的建设包括括如下几方面面内容：路由器的安装、配配置和调试通讯服务器的安装装、调试Web服务器的安安装、调试Mail服务器的的安装、调试试防火墙的安装、设设置城域网网管系统的的安装、调试试城域网网络的测试试在城域网的建设中中的关键要素素有：路由器器的选型、路路由器与通讯讯服务器的安安装、配置和和调试以及“防火墙“的组建和网网管系统的安安装、调试。通讯线路和拨号访访问服务广州地铁设计院网网络建设中城城域网所用的的通讯线路或或传输技术主主要有两种：：一为FR、二为PSTN，采用租用256K帧中继线和3条电话线供供拨号访问虚拟专用网VPNN技术VPN是一个虚拟的网，其其重要的意义义在于"虚拟"和"专用"。为了实现现在公网之上上传输私有数数据，必须满满足其安全性性。VPN技术主要体体现在两个技技术要点上：：Tunneel、相关隧道道协议（包括括PPTP，L2F，L2TP），数据安安全协议（IPSEC）。下面针针对这几项技技术做一介绍绍。加密和用用户授权为在在公司网上进进行个人通信信提供了安全全保证。隧道（Tunneeling）技术介绍绍VPN在表面上是是一种联网的的方式，比起起专线网络来来，它具有许许多优点。在在VPN中，通过采采用一种所谓谓"隧道"的技术，可可以通过公共共路由网络传传送数据分组组，例如Interrnet网或其他商商业性网络。这里，专有有的"隧道"类似于点到到点的连接。这这种方式能够够使得来自许许多源的网络络流量从同一一个基础设施施中通过分开开的隧道。这这种隧道技术术使用点对点点通信协议代代替了交换连连接，通过路路由网络来连连接数据地址址。隧道技术术允许授权移移动用户或已已授权的用户户在任何时间间任何地点访访问企业网络络。通过TUNNEEL的建立，可可实现以下功功能：将数据流量强制到到特定的目的的地隐藏私有的网络地地址在IP网上传输非IP协协议数据包提供数据安全支持持协助完成用户基于于AAA的管理。在安全方面可提供供数据包认证证、数据加密密以及密钥管管理等手段。拨号VPNs使用隧道技技术远程访问问服务器把用用户数据打包包进IP信息包中，这这些信息包通通过电信服务务提供商网络络传递，在Interrnet里，则需要要穿过不同的的网络，最后后到达隧道终终点，然后数据据拆包，转发发成最初的形形式。VPN允许网络协协议的转换，还还允许对来自自许多源的流流量进行区别别，这样可以以指定特定的的目的地，接接受指定级别别的服务。公公司网进行远远程访问通信信，从电路交交换的，长距距离的本地电电信服务提供供商到ISPs和Interrnet需要采用隧隧道技术。隧隧道技术使用用点对点通信信协议，代替替了交换连接接，通过路由由网络来连接接数据地址。这这代替了电话话交换网络使使用的电话号号码连接。隧隧道技术允许许授权移动用用户或已授权权的用户再任任何时间任何何地点访问企企业网络。应应用授权技术术，隧道技术术也禁止未授授权的访问。网管软件平台和网网管软件网管软件平台是一一种综合网络络管理软件，他他不但具有网网络管理的基基本功能，而而且用户可以以利用他开发发新的网络管管理应用软件件。目前公认认的三大网管管软件平台：：IBMNNetVieew、HPOpeenVieww和SUNNNetMannger，此此外还有CA的网管软件件平台。广州地铁设计院的的城域网网管管，它管理中中旅商业城十十六层广州地地铁总公司（地地铁中心机房房）、芳村坑坑口运营事业业总部、广百百商业大厦二二十九层资源源开发总部、公公园前控制中中心建设事业业总部、环市市西路204号地铁设计计院5节点。其建设要考虑网络络硬件平台、操操作系统平台台、协议平台台、网管平台台、网管应用用等各个方面面，建议铁设设计院采用IBMNNetVieew网管平台台和CiscoWorkss网管软件的的网络管理系系统。城域网网络架构图图Internett的接入方案案ADSL简介随着Internett的爆炸式发发展，在Interrnet上的商业应应用和多媒体体等服务也得得以迅猛推广广。为了实现现用户接入网网的数字化、宽宽带化，提高高用户上网速速度，人们提提出了多项宽宽带接入网技技术，包括N-ISDDN、CableeModeem、ADSL等等，其中ADSL（非对称数数字用户环路路）是最具前前景及竞争力力的一种,将在未来十十几年甚至几几十年内占主主导地位。

ADSL是一种通通过现有普通通电话线为家家庭、办公室室提供宽带数数据传输服务务的技术。ADSL即非对称数数字信号传送送，它能够在在现有的铜双双绞线，即普普通电话线上上提供高达10Mbiit/s的高速下行行速率，远高高于ISDN速率；而上上行速率有1Mbitt/s，传输距离离达3km5kmm。ADSL技术的主要要特点是可以以充分利用现现有的铜缆网网络（电话线线网络），在在线路两端加加装ADSL设备即可为为用户提供高高宽带服务。ADSL的另外一个个优点在于它它可以与普通通电话共存于于一条电话线线上，在一条条普通电话线线上接听、拨拨打电话的同同时进行ADSL传输而又互互不影响。安装ADSL也极其方方便快捷，在在现有的电话话线上安装ADSL，除了在用用户端安装ADSL通讯终端外外，不用对现现有线路作任任何改动。局局域网用户具具有4个静态IP地址，可以以在中国公众众多媒体网上上架设公司的的网站，提供WWW、FTP、E－mail等服务。随随着ADSL技术的进一一步推广应用用，ADSL接入还可以以提供点对点点的远程医疗疗，远程教学，远远程可视会议议等服务。

ADSL与其它接接入服务的比比较ADSL与CabbleMoodem的比较与CableMoode相比，ADSL技术具有着着相当大的优优势。CableeModeem的HFC接入方案采采用分层树型型结构，其优优势是带宽比比较高（10M），但这种种技术本身是是一个较粗糙糙的总线型网网络，这就意意味者用户要要和邻近用户户分享有限的的带宽，当一一条线路上用用户激增时，其其速度将会减减慢。再者，有有关资料表明明，大部分情情况下，HFC方案必需兼兼顾现有的有有线电视节目目，而占用了了部分带宽，只只剩余了一部部分可供传送送其它数据信信号，所以CableeModeem的理论传输输速率只能达达到一小半。国国外公司实验验表明，其速速率减为1M-22Mbps，更常见的的是400KK-500KKbps。综合来看看，即使在理理想状态下，HFC只相当于一一个10Mbpps的共享式总总线型以太网网，而ADSL接入方案在在网络拓扑结结构上较为先先进，因为每每个用户都有有单独的一条条线路与ADSL局端相连，它它的结构可以以看作是星型型结构，它的的数据传输带带宽是由每一一用户独享的的。ADSL与普通拨拨号Modeem及N-ISDDN的比较比起普通拨号MModem的最高56K速率，以及N-ISDDN1288K的速率，ADSL的速率优势势是不言而喻喻的。与普通拨号Moodem或ISDN相比，ADSL更为吸引人人的地方是：：它在同一铜铜线上分别传传送数据和语语音信号，数数据信号并不不通过电话交交换机设备，减减轻了电话交交换机的负载载，并且不需需要拨号，一一直在线，属属于专线上网网方式。这意意味着使用ADSL上网并不需需要缴付另外外的电话费。综合以上所述，可可以看到ADDSL作为一种高高速接入Interrnet的技术更具具有生命力，是是企业接入Interrnet、开展网上上电子商务的的最佳选择。同同时企业Intraanet网与Inteernet之间设有CheckkPointtFireeWall--1防火墙，实实现了公司内部网网对外信息交交流的控制和和管理，并防防止外部非法法用户进入企企业Intraanet网。Ciscco26110路由器通过ADSLModemm接入Interrnet，提供Interrnet代理服务，为为企业Intraanet网络授权用用户提供通过过防火墙测览览Interrnet服务，同时时阻止非授权权用户访问Interrnet。设备报价表品牌规格单价数量正式投标价金额中心网络设备Catalystt29488G-L331交换机Catalystt35488XLEEnterppriseEditiion（带千兆堆叠模块块）7远程访问路由器2610（包括接外置MOODEM的模块卡、帧帧中继广域网网模块卡）5调制调解器GVC超级魔电电4003网络安全软件CheckPoointFFirewaall-1（端口数50）1防病毒软件NortonAAntiviirus（用于6台服务器器，100台工作站）1网络设计、调试费费总计项目实施计划项目实施阶段网络设备及系统软软件验收包括：网络设备是是否与装箱单单相符、保修修单等证明文文件是否齐全全、各设备硬硬件配置情况况、网络设备备加电试机、系系统软件的合合法性等。项目计划实施按照项目计划进行行网络建设，包包括网络设备备和软件的安安装、调试。审核施工进度根据实际施工情况况，解决可能能出现的问题题，确保工程程如期进行。网络系统集成性能能测试包括：丢包率、错错包率、网络络线速、统计计碰撞、帧故故障、网络应应用软件配置置是否合理、各各种网络服务务是否实现、网网络安全性及及可靠性是否否符合合同要要求等等。完善在测试过程中中可能出现的的各种问题纠正在性能测试中中出现的问题题，确保网络络性能达到设设计的标准和和要求，并详详细记录问题题的原因和解解决的方法，作作为日后系统统维护的参考考。提交网络性能测试试报告网络系统集成验收收协助用户组织验收收工作，包括括验收委员会会的成立、各各验收参数的的确定等；验验收主要包括括：合同履行行情况、网络络系统是否达达到预期效果果、各种技术术文档等。系统验收标准系统验收内容系统性能；工程质量；系统文档；工程管理。系统性能验收设备性能：主流厂厂商、主流产产品、主流技技术服务器： Inntel芯片，550MHHz以上的主频频，内存、外外存够用并有有50%左右的冗余考虑，高速速I/O；局域网设备： 网网卡、交换机机100M，主干100M可交换并可可堆叠，端口口数够用并有有20%左右的冗余余，支持双绞绞线连接，并并预留千兆光光纤主干的接接口；广域网设备： 具具有路由和转转发功能，内内存、缓存够够用并有30%左右的冗余余，可支持PPP和LL连接接，支持IP协议，端口口数可满足主主备用。网络性能：实用技技术、成熟标标准、安全管管理技术: 快速、高速以太网网、（主体）星星型结构、智智能化可管理理；标准: IEEE8022.3等标准，TCP/IIP等事实标准准，OSI/IISO等理论标准准；安全: 访问控制、传输保保护、病毒防防治、网络分分段；管理：界面友好、操操作方便，可可做到结构识识别、状态监监测、流量统统计、设备配配置、资源分析、故故障诊断与排排除。工程质量验收设备：按照设计要要求配置、调调试，保证彼彼此之间的互互通，广域设设备地址统一一、协议一致、子网清清晰，局域网网设备结构清清晰、层次分分明；线路：按照设计要要求搭配、连连接，保证用用户端设备、网网络(通道)设备、通讯讯终端设备之之间的互通，广广域主备线路路统一申请、统统一协议，局局域线路统一一接口、统一一线类；环境：机房、配线线间、配线设设备整齐、布布局合理，线线路连接清晰晰，走线统一一，整个环境境洁净，温度度、湿度适宜宜，通风良好好，既客观又又美观。系统文档验收完善性：含系统设设计文档--总体方案、详详细设计，系系统实施文档档--工程记录、系系统配置，系系统维护文档档--操作说明、维维护手册，还还有各种设备备的技术文档档，要求设计计、实施、维维护和技术文文档齐全；易读性：要求设计计文档、实施施文档、维护护文档深入浅浅出，既详致致又精练，按按类装订成册册，及时移交交，统一归档档，同时要求求有完整备份份；客观性：要求文档档客观地反映映系统及系统统建设情况，有有变动及时修修改，不同版版本有相应说说明，同时有有版本及修改改、更新的时时间记录。工程管理验收计划：目的性强，可可操作性强，有有远见、有条条理；人员：符合各种工工程角色的需需要，及时到到位，工作细细致；进度：保证关键事事项，总体保保证计划进度度，并可根据据实际情况及及时调整；组织：组织性强，各各角色职责明明确，协调好好，可协作攻攻关。系统验收组织整个网络系统建设设完成后由广广州地铁总公公司组织有系系统集成商参参与的技术、项项目验收；验收工作由广州地地铁总公司主主持；系统集成商做技术术和项目管理理方面的汇报报；广州地铁总公司从从用户的角度度评介整个网网络系统；有关专家（测试小小组）宣布测测试结果；验收组作出系统建建设成败优劣劣的验收意见见，形成书面面的验收意见见书。系统验收依据系统文档：需求材材料、设计方方案、实施方方案、设备性性能参数、网网络系统技术术参数、测试记录、试试运行期维护护记录；用户文档：培训记记录、故障记记录、用户意意见书；现场资料：现场观观看、现场操操作演示、现现场测试、维维护人员与管管理人员评价价。系统验收原则以技术和设备性能能的客观为基基础；以系统和实施管理理的完善为目目标；以用户和测试人员员的评述为依依据；以意见和完善建议议的中肯为原原则。网管系统要求1）网络监控功能要求求 网管系统应能通过过图形方式显显示网络的拓拓扑结构、所所有网络节点点的工作状态态、网络节点点的工作性能能，可以对网网络上的数据据量进行统计计和显示。故障报警和排除：： 网络管理系系统在监控网网络设备、主主机的同时，应应设置相应参参数阀值；设备配置设定： 网络管理系系统应能通过过局域网及广广域网对网络络上的设备进进行在线修改配置，实实现网络资源源的动态分配配；网络资料统计分析析：网管系统统将网络设备备的运行情况况、网络故障障等多种信息息存储在文件或数据库中中，供网络管管理员直接存存取。2）网络管理软件平台台功能要求网络管理软件平台台通过SNMMP协议管理理全网上的TTCP/IPP资源；网络管理软件平台台应支持标准准的MIB--II管理信信息及一些主主要厂家的MMIB管理信信息；应能管理各种智能能型的、支持持SNMP协议议并采用MIIB-II管管理信息集的的网络设备。3）对网络设备的管理理网络设备的管理由由专门的系统统管理软件完完成，其功能能应包括：自动发现网络上的的路由器，以以不同的图标标区别不同种种类的路由器器；在一个路由器的拓拓扑图上显示示全部本地和和远程的路由由器；方便设置其他类型型的路由器；；监控路由器上的数数据传送量及及错误的数据据包，当路由由器发生故障障或某个参数数超过阀值时时，能自动报报警；当关于路由器的某某一事件发生生时，在网管管机中预先定定义的操作会会自动执行以以排除网络故故障或响应网网络设置的变变化；所有的路由器信息息可以长期保保存在网络管管理机的数据据库中；对网络设备进行具具体配置。4）各种操作系统及网网络协议的管管理网络配置管理的功功能要求：自动发现网上的资资源，并自动动以不同的图图标表示；只需简洁的鼠标操操作“pointt-and--clickk”，即可在图图形用户界面面上再现直观观的网络拓扑扑结构图；可通过系统预定义义及系统管理理员定义的应应用查询网上上的配置信息息，以直观的的工具代替复复杂的查询指指令。网络问题的管理功功能要求：网管中心可以不间间断地对网上上IP资源的状状态、配置和和事件进行监监控；系统管理员可通过过设置信息过过滤器来选择择哪些网上信信息被送至网网管中心；通过事件的自动响响应系统可使使管理员从手手动操作中解解放出来；相关事件变化及执执行的操作将将作为事件的的历史信息送送到网管中心心做记录。网络性能的管理功功能要求：通过SNMPAAgent，网网络管理软件件平台可以监监控到许多系系统性能的参参数；网络管理软件平台台可以监视和和报告主机CCPU和磁盘盘的利用率；；利用公告栏程序“Spreadd-sheeetproogram”，这些网络络性能的信息息可以以图形形或数字的形形式展现，或或以ASCIII的格式输输出；对所有的功能均有有用户帮助，并并提供可选的的在线资料。5）基于GUI的图形形界面网络管理软件平台台应能为网络络管理员提供供图形化的网网络IP拓扑结构构，使网络管管理员可以迅迅速方便地发发现局域网上上出现的IPP资源并帮助助管理员发现现故障原因，帮帮助管理员准准确测定网络络上数据传输输的高峰及文文件服务器磁磁盘的利用率率。6）关系型数据库支持持网络管理软件应能能支持关系型型数据库，网网络和系统的的信息可以存存储在这些关关系型数据库库中并通过SSQLAPPI’s进行查询。报报告工具“ReporrtToools”和数据库管管理工具“DatabbaseAAdminiistrattionTTools”可以直接读读取这些原始始数据，即使使SNMP的AGENTT不再存在仍仍然可以找到到这些信息。网络安全措施网络安全主要体现现在如下三方方面：访问安全：未经授授权，任何系系统、任何个个人都不可以以进入系统的的相关部分；；传输安全：防止数数据在网络上上进行传输时时的信息泄露露以及网络逻逻辑损伤；病毒防治：对网络络病毒的防御御和清除。网络安全措施如下下：主服务器业务数据据的安全备份份；网络设备与通讯线线路的安全备备份；网络数据传输中的的数据安全控控制，如加密密和解密；应用系统中的安全全控制：操作作系统和数据据库系统的两两级帐户、两两级口令等；；网络病毒疫苗（防防病毒软件）；；“防火墙”、病毒“防火墙”；规范的系统运行管管理和系统安安全管理。网络测试标准1）局域网测试速率测试： 测测试网络在正正常状态下的的传输速率，基基本要为10/1000Base--T；稳定性测试： 测测试网络的稳稳定性、健壮壮性，基本要要求是S-Pinng/Pinng为50%；安全性测试： 测测试系统对非非法侵入及非非法用户的抵抵制能力是主主要内容，基基本的标准为不容许非非法登录；通断性测试： 测测试网络和线线路是否通畅畅，基于封装装协议的数据据传输是否正正常，基本标准为全部线线路物理上可可Conneect、逻辑上可可Ping；破坏性测试： 测测试网络中某某部分出现意意外中断时是是否能够及时时启用备用设设备保证网络的通畅，基基本要求为1小时内可切切换、1天内可恢复复；集成性测试： 测测试网络在不不同厂家网络络产品配置组组合之后的网网络性能，基基本要求为可集成不同同主流厂商的的同档产品；；拓展性测试： 网网络的拓展性性能如何直接接影响用户的的资金利用率率，基本要求求为可扩充、冗余端口口约10%；整体性测试： 测测试网络连通通后的整体性性能，要求为为可整体