桓台县二中学校园网方案

局域网方案书 -PAGE1-电话言二十一世纪是一个科学技术飞跃发展的时代，以网络为标志的信息产业将成为核心产业，知识经济将逐步取代工业经济成为社会发展的必然。作为现代科技成果之一的信息技术在教育中的应用，给教育带来了深远的影响。加大教育信息技术在学校教育中的应用推广及研究力度，从而推进教育改革的进程，已势在必行。第一章系统设计原则对于任何一个计算机网络系统的设计和建设，都必须依据系统工程建设的规律运做，精心设计，精心建设，循序渐进的进行系统开发和应用。只有如此,才能把一个系统建设好，应用好。而系统建设好的前提或基础,应当说是把系统设计搞好，而要搞好系统设计，必须先确定设计的原则，1.1系统设计的一般性原则实用性先进性开放性和标准化可扩充性和可延展性经济性可靠性和稳定性网络系统与单台微机有严格不同，单台微机产生故障只影响本机的应用,而网络系统是一个整体，一个网络系统，特别是服务器、中心交换机出故障后则导致整个系统瘫痪，进而导致整个网络中心的管理秩序混乱,因而对客户造成的损失将是巨大的。要解决稳定性和可靠性的问题：首先在网络系统设计时，要设计使用世界上的名牌产品,不使用不可靠的兼容产品,使用全世界网络市场上大家公认的技术成熟的产品。可维护性和可管理性由于网络系统分布区域较大，应能对其进行有效的管理与维护；应选择支持网络管理能力的网络产品及相关的网络管理软件，从而为网络管理和维护人员提供方便条件。同时，用尽量少的人力和时间运用新技术和手段，尽快的诊断出系统故障并找出解决办法。安全性对于计算机系统来说安全性主要包括网络安全、信息安全、资料安全等三个方面。计算机系统的安全性是任何计算机网络建设必须解决的重要问题，是任何与INTERNET相连的网络必须解决的首要问题，所以网络建设应把网络管理与安全放在突出地位。灵活性系统中的任一部分都应是灵活的,从物理联线，到数据通讯，设备的增减都不受或极少受物理位置和这些设备类型的限制。在此布线系统中，任一讯息点可以连接不同类型的设备，如计算机、终端机、网络集散器（HUB或MAU）、电话机、传真机、监视器、音乐装置、各种控制探头(传感器）等.模块化所有用于连接设备的适配件都是结构化积木式标准件，不用很多有关这些领域的专门知识，就能联接这些设备，以便扩展和管理、维护、测试。1。2设计遵循的协议与标准IEEE802。3总线局域网标准(以太网）IEEE802.3I10兆双绞线以太网（10BaseT)IEEE802。3u百兆以太网（100BaseTX、100BaseFX等)IEEE802.3z千兆以太网（1000BaseF等）IEEE802.1D局域网桥接，多点广播及业务分级IEEE802。1Q虚拟局域网(VLAN）IEEE802。2LLCIEEE802.3X流量控制IEEE802.3ac以太网VLAN标记RFC768UDP—用户资料报协议RFC783TFTP-平凡文件数据传输协议RFC791Ipv4—网际协议第四版RFC792ICMP-网间控制报文协议RFC793TCP-传输控制协议RFC826以太网地址转换协议RFC854TelnetRFC1157SNMPv1-简单网络管理协议第一版RFC1213MIB—IIRFC1643以太网MIBRFC1493桥接MIBRFC1332PPP网际控制协议RFC1661点到点协议(PPP）RFC1662类似HDLC的分帧中PPP协议RFC1757RMON组：以太网状态、历史、事件、警报RFC1866HTML：超文本标记语言第二版RFC2068HTTP超文本传输协议等。第二章用户需求分本局域网网建设内容包括:网络系统、应用系统、基础资源.第三章网络技术选型3。1网络技术选型——为什么选择千兆以太网?网络技术选型是实现网络建设目标的核心环节。首先依据各项应用的实际需要,并把当前的需要与未来一定时期的发展结合起来；其次，充分了解各种网络的特点、性能和价格；第三,考虑能够投入的资金及现有的设备、局域网和其他资源情况，进行综合分析，确定符合用户需求、有利于开发利用、有利于发展扩充、性能价格比高的网络方案。现在常用的局域网技术主要有FDDI、快速以太网、ATM和千兆以太网等。目前,FDDI是比较成熟、使用范围也最广的网络技术之一,许多网络系统均选择了FDDI做主干网，但它不能适应大量传输多媒体信息的需要。快速以太网的技术成熟，各大网络厂商都有功能强大的核心交换机，而且价格在四种方案中最低，很具有竞争力。但快速以太网的带宽资源并非很丰富，而且带宽利用效率并不是很高，快速以太网理论上提供的100Mbps带宽在实际应用中并不能完全达到。所以快速以太网方案不符合需要。多媒体技术的迅速发展，使得网络用户需要在该网络系统上传输大量的多媒体信息。一个比较先进和稳定的方案是采用ATM作网络主干。ATM是一种面向连接的新型网络技术，在广域网已经取得了很大的成功，其服务质量保证（QoS）对于多媒体应用具有很强的支持能力,而且其带宽可以根据需要采用25Mbps、155Mbps或者622Mbps的速率.但考虑到如果只采用ATM做主干，则需要采用局域网仿真（ELAN)，这样就会造成ATM的端到端控制的优势和QoS的优势仅仅体现在主干上，终端的QoS并没有真正实现，而且价格方面也不占优势；即使采用ATM到桌面的纯ATM方案,ATM的优势能够体现出来，但在IP技术占主流发展方向的今天，ATM在局域网的应用中并无优势可言,且费用又高的难以忍受。由于目前的局域网系统要求同时运行多种网络应用,并支持多媒体，因此骨干网应有高带宽.千兆位以太网现在已经成熟,它继承了传统以太网的特点,并极大的拓宽了带宽，保持了良好的兼容性,做到了以往10Mbps/100Mbps以太网应用程序能无缝运行在千兆位网上.千兆以太网增加了对QoS支持，以高带宽和流量控制双管齐下的策略来满足应用的需要。随着标准的通过，工业化的量产，网络设备的价格大幅度的下降，对于选择千兆位以太网又增添了一个有利条件。选用千兆位以太网，既能满足视频、多媒体应用的需求,又能兼顾以往的投资，并且有一定的前瞻性，能在一定的时间内保持网络技术的先进性。在充分考虑到网络系统规模、具体要求和投资状况，本着满足目前应用需要和适应网络技术发展趋势等多方面的原则，我们选择千兆位以太网作为网络系统的技术选型，原因是它以低廉的价格提供高带宽、良好的兼容性和管理的简单性并能保证服务质量QoS。所以我们推荐采用千兆以太网为主干、百兆位交换到桌面的星型网络拓扑结构。第四章网络安全与管理4.1外部网络安全控制——过滤？代理？还是防火？在实际的网络应用环境中,安全始终是最重要的内容。网络安全控制主要指企业网边界安全控制和企业网WEB的安全控制。企业网边界是指局域网间的连接部位。一般局域网间以路由器或交换机相连接。一个企业网应由WEB服务器、电子邮件服务器和域名服务器等组成。客户端一般采用Netscape的Navigator或微软的IE浏览器等。企业网边界安全控制技术是指为了保证企业网的边界安全,在企业网边界上的路由器或交换机上实施的以防火墙（Firewall）或代理服务器（proxyserver）等为核心的安全控制措施。代理服务器和反向代理服务器代理服务器是Internet标准服务的应用级网关。代理和反向代理服务器设在内部网和外部网之间,它集中管理和控制企业网内部的各种服务器，从而免除了管理人员对企业网内部的各种服务器逐一设置其控制功能的烦琐工作.代理和反向代理服务器通过对企业网内部的服务器及其存储的信息进行授权，如私有（部分私有、部门私有、某人私有等）、公开等权限，来实现其安全控制功能。代理服务器主要对企业网内部要求向外部网的用户和信息实施控制,而反向代理服务器则是对外部网要求进入企业网内部的用户和信息实施控制。路由器、交换机的安全过滤功能网络边界一般设置路由器或交换机，所有出、入内部网的信息都要经过它.计算机网络上传输的信息都包含有信息的源地址和目的地址等内容。通过对经过路由器或交换机的信息实施过滤,控制源地址和目的地址等可控信息，来实现对进出内部网的用户和信息的安全控制和管理。如果再利用网络管理的SNMP协议和MIB库功能,还能将网络上的每台计算机的IP地址和MAC地址一一对应起来，这样就能更加有效地防止非法用户的入侵.用户常常会提出这样的问题：“既然路由器或代理服务器（proxy）具有安全的功能,在考虑网络安全方面，是否还需要防火墙？它们的功能差别是什么呢?”防火墙的四个基本功能当把本地网或内部网与外部网或Internet相连接的时候，网络安全应当是网络计划决策者首先要解决的问题。最有效的办法就是在它们之间加入防火墙.因为为了保证网络运转的真正安全，防火墙必须从通信的各个层次以及应用中获取、储存,并且管理相关的信息.为了做到决策控制，孤立的检验数据包是不够的。防火墙必须能够分析和利用以下的信息：通信信息-—数据包中所有7层的信息；从通信推导来的信息--从以上信息推导来的状态信息。例如FTP进程的埠输出命令被保留起来，以便查核FTP数据输入的连接；应用推导来的信息——如以前被认证过的用户将允许通过防火墙访问授权的服务；信息管理—-根据以上的一些因素，评估用于决策控制的灵活的表达式。4.2不同技术的比较路由器（Router）路由器工作在网络层。由于它不能提供防火墙的最基本的,显然，它不能保证网络的安全.在通信信息方面，路由器只能访问资料包（Packet)首部的部分信息，在通信及应用推导信息方面，路由器没有状态信息，它不提供从通信或应用推导来的状态信息；在信息管理方面，路由器的信息管理能力很有限.另外，路由器比较难于设置、监视或管理,路由器缺少适当的登录或告警的机制代理服务器（Proxy)Proxy在应用层上提供防火墙的功能的，它提供状态信息，主要优点是:提供部分的通信信息；提供全部的从应用推导来的状态信息；提供部分的从通信推导来的状态信息;有管理信息能力。Proxy的弱点是：连接能力有限-—每一种服务都需要有代理,因此限制了它的服务连接能力；技术上的局限性——不支持UDP、RPC或其它一些公用协议支持的服务；性能下降-—在应用层上的实施使性能受影响;脆弱性-—在操作系统和应用方向易受攻击。由此可见，Proxy在Internet/Intranet日益发展的动态环境下，由于服务种类的发展,新的通信协议的出现,暴露出其安全功能的局限性脆弱性防火墙（Firewall）防火墙的主要特点：防火墙可以对7层的所有通信资料进行访问并分析；通信的“状态"和“相关”数据被储存并动态更新，用以监控应用，包括UDP或RPC的应用；汇集的资料例如通信、应用的状态、网络设置、安全规则，可用以产生适当的动作，即接受、拒绝或对通信加密;任何信息交通都将按照指定的规划加以处理或产生实时的告警；提供全面的网络状态资料或显示。防火墙功能比较防火墙功能路由器代理服务器防火墙防火墙通信信息部分部分全部从通信推导来的状态信息无部分全部从应用推导来的状态信息无全部全部信息管理很有限有限全面功能完备的防火墙的主要功能内容防范防火墙独特的内容防范功能包括通信内容智能监控，防止计算机病毒,Java小程序和不希望要的WEB内容等。URL屏蔽URL功能增强了网络控制能力,使得网络管理人员能够限制对WEB特定页面的访问。网络管理人员可以制订一个灵活的安全政策,使员工只能访问或下载允许的WEB面信息。URL屏蔽还可以记录下访问WEB面的URL类型，以备内部分析,这也提高了网络安全管理的能力。连接控制防火墙的连接控制模块,具备负载自动平均和高利用率、容错性等特点。防火墙的负载平衡能够啬网络管理人员对某种指定应用（如WEB访问或FTP）的服务容量，在一个逻辑IP主机名下提供了多个复制服务器供用户访问.防火墙的连接控制在各个服务器间实现负载动态分配，使网络处于最好的工作状态.这一分配过程过于访问网络的客户是透明的。网络服务器无论集中在一起,还是分布在各处，都可以满足全球各地用户的访问需求。企业网管理防火墙的资料收集和分析功能包括网络使用报告和记帐功能。这些功能是通过扩展检测模块获取信息的范围（如下载资料的数量或对话时间），允许更加的资料操作和增加使用报告的内容来实现的.NAT地址翻译过去的几年里，Internet经历了地址空间的危机，使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络的用户的需要。Internet防火墙可以作为部署NAT的逻辑地点。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。在防火墙中，网络管理器能够在翻译目标地址的同时隐藏原地址,从而提高了网络的灵活性和安全性.从上述防火墙的特点和局域网的安全控制、计费等要求出发，本方案中我们建议采用专用防火墙来保证Internet的安全性，而不是采用路由包过滤或者代理服务器。.第五章厂商及产品选择5.1CISCO公司介绍5。1。1网络世界的开拓者CiscoSystems，Inc。思科系统公司是世界领先的Intranet和全球Internet网络互联厂商。其设备和软件产品主要用于连接计算机网络系统，思科系统公司的软硬件产品使人们在任何时间、任何地点，通过任何型号的计算机系统均可实现对信息的访问。思科系统公司的网络互联解决方案已为众多用户提供了更为快捷有效的信息交换的途径,降低了用户开销，提高了工作效率，并进一步拉近了用户与其客户商业伙伴和公司职员之间的距离.1984年12月，思科系统公司正式成立。1986年，Cisco第一台多协议路由器面市，到1993年,建成了世界上第一个由1000台Cisco路由器连接的网络，思科系统公司也从此进入了一个迅猛发展的时期。1998至1999财年销售额达到121.5亿美元，在全球拥有18000多名雇员,其中亚洲地区超过500人,同年Cisco的综合技术领先程度、客户支持度和财政平衡能力等各项标准荣登美国《Network》杂志榜首。1999年8月，思科系统公司的市场价值已达2000亿美元，在《商业周刊》最新公布的“全球最有价值的1000家公司”中排名第五，在“信息技术百强”中排名第五.思科系统公司已成为公认的网络互联解决方案的领先厂商，其提供的解决方案是世界各地成千上万公司、大学、企业和政府部门建立网间网的基础，用户遍及电信、金融、服务、零售等行业以及政府部门和教育机构等。市场研究公司Dataquest的最新调查结果显示，思科系统公司在1996年已跻身世界十大电信公司的行列，是全球增长最快的电信产品供应商，年增长率达87%。同时，思科系统公司也是建设互联网的中坚力量，目前互联网上80％以上的骨干路由器是思科系统的产品。思科系统公司是全球网络化企业的成功范例。通过使用互联以及企业内部网，思科系统公司每年至少节约经营费用5亿美元,同时还提高了客户与合作伙伴的满意度，并在客户支持、产品订购及交货时间中取得了许多优势.目前，思科系统公司每天通过互联网络实现的销售额超过2000万美元，70%以上的客户支持服务都是通过互联网来实现的。思科系统公司之所以能够在激烈的竞争中独树一帜，除拥有先进的技术、产品、服务、解决方案外，关键还在于公司高瞻远瞩的企业理念，即遵循客户至上的原则,为客户提供多种全面的解决方案。5.1。2思科在数据领域的地位市场占有率；根据全球权威数据调查公司In-Stat近年8月份的统计结果，Cisco已经连续两年在ATM/帧中继市场占据领导地位-———今年为30%的市场占有率；在Internet领域,Cisco更以80％的设备占有率当之无愧地居于榜首。在国际标准化组织的地位；Cisco以其领先的技术实例在多个国际标准化组织中占有相当有利主导地位，这些国际标准化组织主要有：ATM论坛四个创始公司之一（Cisco、NET、Nortel、Sprint），并且是多个工作组主席,主持起草多个标准规范草案；FR(帧中继）论坛四个创始公司之一（Cisco、StrataCom、DEC、Nortel），并且是多个工作组主席，主持起草了多个标准规范草案；IETF(国际Internet标准化组织）：Cisco是主要成员，并为多个工作组的主席，递交多个文件草案.值得一提的是,MPLS工作组主席是来自Cisco的科学家，这个工作组几乎所有的文件都由Cisco起草。ITU-T（国际电信联盟）：Cisco作为主要成员，积极参与了该组织各项标准的制定工作。MSF(多业务交换论坛）:由Cisco/MCIWorldCom/Bellcore于今年创始成立，旨在为国际上兴起的新一代多业务电信网制定相应的国际化规范。5。2CISCO千兆位以太网解决方案为全面满足本局域网二中应用需求，我们将根据三网合一的技术趋势,基于国际强大数据网络厂商-—CISCO“面向未来的一体化互联信息网络”技术理念，提供局域网解决方案。CISCO的一体化互联信息网络包括以下几层含义:首先,这一解决方案的目标是将目前分离的以传输话音为主的电信网络与各类以传输资料为主的数据通信网络，平滑的集成为语音、资料和图象的一体的、单一的网络体系结构。其次，这一解决方案能以最优的性能价格比，包容用户已投资的不同厂商的各类电信网络及数据通信网络产品系列，将它们组成一个可高速互联的一体化实用网络。第三，这一解决方案，可包容从局域网到广域网,从电路交换到分组交换，帧交换与信元交换,从无线（移动）通信到有线（固网）通信，从网络硬件系统到网络软件应用等方方面面所包含的各类应用服务和网络管理，使之成为一个易于操作，便于管理的智能化综合信息服务体系。最后，这一解决方案将以实现本网长期总投资额最低为目标，可包容过去已投资但目前仍具有使用价值的技术、设备与服务，以及当前网络业界先进而实用的技术设备与服务;并充分考虑向未来技术发展方向平滑过度三者有机的结合起来，在包容电路交换和分组交换技术,以及同时发展帧交换和信元交换技术的基础上构思这一体化的互联信息网络。当传统的数据网络用户，特别是园区网（局域网）用户回顾以往所用的技术和现有的网络状况时，最大的忧虑就是当网络的应用和服务模式,随着硬件芯片的飞速更新换代,发生根本性变化时，需要对网络的系统架构(Infrastructure）进行彻底的改造，甚至全部淘汰.面向21世纪，机遇与挑战并存，如何选择一条更新、改造甚至重建的道路呢?为此，CISCO在对客户需求和市场产品进行充分调查和研究的基础上,精心提出了一个使用户可以对网络系统平台高枕无忧，从而专心致志于网络应用的新一代园区网解决方案：CATALYST系列。CISCO的CATALYST解决方案的优越先进之处在于：高性能系统的可扩充性：从桌面到骨干其容量、性能甚至分组交换的方式均可“升档”。其容量可以“背板总线”和“端口密度”两个方面说明。以最先进的多层交换技术为基础的园区网交换机：在局域网领域中近来涌现的第三层交换(IP交换)技术，已迅速发展到多层(甚至包括第四层）交换技术。而CISCO的CATALYST系列其桌面级、工作组级、骨干级产品均具备以硬件为主实现的多层交换技术。这一技术较之此前广泛使用的由软件实现的路由器速度快的多.提供全方位的全面容错功能的数据包交换机:使网络具有数/话同传能力，是提高传统数据网络或称计算机网络的努力进展方向.CISCO的目标是向用户提供象传统语音通信一样可靠的数据通信网络设备.CISCO数据网络产品成功的关键是从设计目标开始就考虑网络系统的容错性.CISCO产品成功的基础是其所有交换机均为全分布式多处理机体系结构，从而保证了每个埠的独立工作能力，以及每个系统的多冗余能力。具有集成语音、图象、资料能力的交换机结构：埠智能化由凭借贝尔实验室先见之明的推动技术支持的专用处理芯片及大容量缓存支撑。具有卓越的第三层交换功能及大容量传输能力、极低延迟和稳定的延迟抖动，主动拥塞控制，优先级管理等功能。5.3服务器选择5。3。1服务器配置的原则计算机网络系统服务器的选型和配置有以下的特点：服务器必须稳定可靠计算机网络系统要求系统可靠稳定，而服务器的安全稳定在很大程度上决定了网络系统的稳定可靠。要实现上述要求，一定要选好品牌，选择品牌中经过多年验证的机型，同时还要有经验的系统集成商完成服务器的安装、调试.服务器的配置要符合网络应用系统的需要服务器有低档、中档、高档之分,性能和价格差异比较大，选择的档次要根据网络系统的规模和应用需要，来配置CPU、内存和硬盘.服务器一定要解决了2000年的问题。服务器必须是主流产品选用的服务器应是厂商目前主推的机型，而不是过时的机型。主流机在性能上肯定是厂家在目前同类产品中最得意的机型，在售后支持和将来的扩充都能得到帮助.服务器易于扩充.厂家的硬件售后服务成体系,有足够的备件库。5。3。2服务器品牌及型号的选择一个网络系统建设的成败关键不仅仅在于网络结构本身的确定和网络互连设备选型的恰当与否；而且,作为各个终端用户公共的访问资源和信息的处理中心，公用服务器的强弱也是网络建设必须关注的重点。这里需要指出的是鉴于需方的投资规模，以及国家有关部门对CERNET建设所用服务器优选系列的建议；我们认为由美国惠普公司提供的高中档企业级服务器作为需方INTERNET/INTRANET服务器是最好的选择。美国惠普公司的高中档企业级服务器在2001年中国销量位居第一。本方案中,根据多方面的要求,拟采用浪潮服务器，其型号选择如下：浪潮英信NF290D其详细的介绍请见产品相关部分。。第六章系统的实现6.1总体规划基于对本局域网本网建设的现状及本局域网本网未来发展趋势的考虑，我们对网络进行以下总体规划：整个网络在信息中心统一出口接入INTERNET，接入方式采用电信宽带公网；同时,在信息中心出口设立防火墙，把内外网进行隔离，以防止非法入侵；第七章主要设备及技术介绍7。1网络设备7。1.1CISCOCatalyst3750交换机适用范围Catalyst3750XL系列是一个可伸缩的可堆叠10/100和千兆位以太网交换机系列，提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案提供与语音和IP电话支持集成的下一代可堆叠的交换。它允许从单一IP地址管理所有Cisco交换端口，并为互连的交换机提供一个保护珍贵桌面端口的独立高速堆叠总线.产品特性10。8Gbps的交换主干，最高转发速率每秒钟740万个数据包，最大转发带宽5。4Gbps,跨所有10/100端口提供线速性能.内置的千兆位以太网端口适合插入各种GBIC收发器,包括CiscoGigaStackGBIC、1000BaseSX和1000BaseLX/LHGBIC。低成本的2端口CiscoGigaStackGBIC通过在菊花链连接中提供1Gbps的连接，或者在专用的交换机到交换机连接中提供2Gbps的连接，提供广泛的高度可配置的堆叠和性能选项。Cisco交换机集群技术允许用户使用基于标准的以太网、快速以太网和千兆位以太网介质组建一个由16个Catalyst3750XL、2960XL交换机组成的单一IP地址管理网络，而不受它们的地理位置的限制.250个基于端口的VLAN或ISL/802.1Q中继支持FastEtherChannel支持SNMP,Telnet，RMON（历史、事件、报警、统计），CWSI网管和基于（CLI)的带外，嵌入式CiscoVisualSwitchManager，基于Web的界面的管理产品描述产品名称描述WS—C3750—24TS-S24个10/100M端口+2个SFP插槽(含标准版软件）WS—C3750—24TS—E24个10/100M端口+2个SFP插槽(含增强版软件)WS—C3750-48TS-S48个10/100M端口+4个SFP插槽（含标准版软件）WS-C3750-48TS-E48个10/100M端口+4个SFP插槽（含增强版软件）CAB—GS—1M1m专用堆叠线CAB—GS—50CM50cm专用堆叠线WS—X3500-XLGigaStack堆叠用GBIC，带50cm堆叠线WS-G54841000Base—SXGBIC（短波，多模)（SC接口）WS—G54861000Base—LX/LHGBIC（长波/长途，单/多模)（SC接口）WS—G54871000Base-ZX单模，长距离堆叠方式千兆堆叠接口卡（GigaStackGBIC)适用于Catalyst2960/3750XL系列交换机的GBIC插槽，利用最长1m的铜芯双绞线电缆连线技术，实现如下的两种堆叠连接方式。由于不使用光纤介质,因此价格较为便宜，但需要配铜缆连线。7。1.5CISCOPIX515防火墙CiscoSecurePIX515防火墙是世界领先的CiscoSecurePIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全(IPsec）虚拟专网（VPN)能力使特别适合于保护企业总部的边界.强壮的安全特性-——-Internet的发展为企业、政府和专用网络带来了更大的安全风险。现有的解决方案如运行在应用层的基于代理的防火墙具有很多限制条件，包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身具有安全风险等.-—-—而CiscoSecurePIX防火墙能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。静态安全性虽然比较简单,但与包过滤相比，功能却更加强劲；另外，与应用层代理防火墙相比，其性能更高，扩展性更强.ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过CiscoSecurePIX防火墙。这样做，内部和外部的授权用户就可以透明地访问企业资源，而同时保护了内部网络不会受到非授权访问的侵袭。-—-—另外,实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性.而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计。与IPsec互操作的安全VPN-—--从传统上来说，防火墙通过维护所连接网段之间所有连接的静态控制实现了边界安全性。目前，越来越多的客户正在寻求除了提供访问控制以外，还能提供VPN服务的防火墙.利用VPN，远程用户或分布在各地的分支机构能够以更低的成本安全地访问企业网，同时，使用Internet访问可以大大降低与以前的专线或其它专用网络相关的电信费用。公司就不需要维护大型的