计算机网络技术方案

目录方案导读 31. 需求分析 21.1. 建设目标 32网络平台方案设计 32.1总体设计原则 32.2系统建设标准和规范 42.3网络总体结构 52.3.1网络技术选型 52.3.2层次化的网络结构 72.3.3网络拓扑与协议 72.4网络设备选型 82.5网络平台建设方案 92.5.1网络拓扑图 92.5.2网络设计说明 112.6IP地址规划与DNS域名服务 112.6.1 IP地址规划 112.6.2 DNS域名服务 122.7 方案特性 132.7.1 高带宽和高性能 132.7.2 面向应用及QoS 132.7.3 高可用性及可靠性 142.7.4 极强的灵活性 142.7.5 可管理性和可维护性 142.7.6 极强的安全性 143 网络与数据安全方案 153.1网络安全方案 153.1.1网络安全设计原则 153.1.2 网络安全方案 164 产品介绍 234.1 Quidway®S8508系列高端多业务交换机 234.2 QuidwayS3000系列智能二层交换机 33方案导读

本网络方案设计通过对用户需求的调研，建立一个具有高安全性、高可靠性的企业信息化网络平台，实现x大楼各部门之间，以及部门与楼层之间的联网和信息交流。提供一个统一、可靠、安全的专用信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，并具有完备的网络管理系统，还可安全与系统的实现外网游览，主要是在internet上查阅相关资料。方案设计包括三套网络：x内网、党政外网和党政内网。通过对用户需求的调研：内网用途主要是上联x系统的内部网络、党政外网主要是方便x的工作人员在internet上查阅相关资料，而且上网地点相对比较集中、政务网主要是为了x领导便于同政府其他部门共享政务信息。为了适应以后网络的发展速度，三年后技术上不落后，我公司在配置网络设备时，实现千兆主干网络，百兆至桌面，党组成员办公室实现千兆到桌面。我们在核心层内网采用华为的8508系列千兆路由交换机，党政外网和党政内网采用华为3126系列千兆二层交换机。核心层和汇聚层采用国际上流行的OSPF协议，实现各个网段设备的互连。通过虚拟局域网技术来实现各个子系统相对独立平台的信息传输。x内网核心层结点采用路由交换机，接入层结点采用1000M光纤连接到核心层；核心层交换机上行接口为千兆单模光口。政务外网汇聚结点采用二层交换机，接入层结点采用100M光纤连接到核心层；汇聚层交换机上行接口为千兆单模光口。政务内网汇聚结点采用二层交换机，接入层结点采用100M光纤连接到核心层；汇聚层交换机上行接口为百兆单模光口。x网要求每个配线间放置2个24口二层交换机。核心层设备放置在中心机房。政务外网要求每个配线间放置1个24口二层交换机。汇聚层设备放置在中心机房。政务内网要求在二楼配线间和十一楼配线间放置1个24口二层交换机，汇聚层设备放置在中心机房。

需求分析x大楼智能化系统信息化建设是为了提供一个统一、可靠、安全的专用信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，并具有完备的网络管理系统，迫切需要建设一个统一的网络平台，加快系统信息化建设。建立x大楼智能化系统信息化，为实现业务管理、办公管理、网络会议、资料数据库等业务的电子化、网络化，要首先建立一个安全、快速、可管理的网络平台。建设目标建立一个具有高安全性、高可靠性的企业信息化网络平台，实现x大楼各部门之间，以及部门与楼层之间的联网和信息交流。x大楼信息化建设的总体目标是使x大楼各部门之间以及部门与楼层之间的交流沟通变得方便、快捷，建立一个能够为办公自动化、多媒体语音会议、网络会议、业务系统应用、数据库等要求服务的高速计算机信息网络。2网络平台方案设计2.1总体设计原则进行任何一项系统工程的建设都要遵循一定的原则或标准、规范，我们进行网络平台的设计将遵循下述几点原则：经济实用性原则：系统建设首先要从系统的实用性角度出发，用户内部的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。安全性原则：网络系统的数据和文件多数要求具有高度的安全性，能防止系统外部成员的非法侵入以及操作人员的越级操作，保证信息系统的正常使用。因此，系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。整个网络的设计充分体现防窃听、防窃取、防攻击、防侵入，具备对入侵者监视和跟踪技术。可靠性原则：系统设计在设备的选择和关键设备的互联时，应尽量提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：系统平台所采用的设备和技术一定要体现成熟性和先进性，系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。成熟性是指技术稳定、用户多、推广使用的时间比较长；先进性是指选用的产品和技术是目前市场上的主流技术。开放性和规范性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块或增加设备后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。系统设计的每一个环节在设计上都体现出弹性原则，以满足系统将来的平滑升级，不会因升级而导致系统工作不正常，并且尽可能在升级时要保护原来的设备资源。可管理和可维护性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。灵活性原则：网络平台的设计充分考虑到灵活性，采用分层结构进行设计。2.2系统建设标准和规范本系统是一个内含多种应用系统的集成体系。各类应用系统彼此作用，相互链接形成了一个有机的数据、信息流处理体系。由于各类应用系统在应用范围、构建方式、系统结构、数据资源等方面存在一定的差异，对整个信息系统平稳、高效的运行存在较大的影响。消除这些影响的重要措施就是采用统一的规范来开发建设各个应用系统。在项目建设中，我们将遵循相关的国内外及行业有关标准，除此之外，我们还将遵循下述规范：网络构造规范。包括：网络设计建设规范、网络设备选用及安装管理、网络互联协议规范等。安全体系规范。包括：安全策略制定规范、物理层安全建设规范、网络安全规范、信息安全规范、数字证书管理规范、应用系统安全规范、系统管理规范、应急系统构建规范等。国内主要是等同采用国际标准：公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》。各类指标体系；运行管理规范；系统建设开发规范等。以上规范有的已有相应的国际、国内标准，我们需参照执行；另外一些应在具体工作中由设计、施工、监理和管理方共同制定并执行。国际标准：1.ISO9001国际标准2.CMM国际标准3.IEEE802.310BASE-T4.IEEE802.3U100BASE-TX/100BASE-FX5.IEEE802.3（CSMS/CD）以太网标准6.Internet协议簇（IP、TCP、UDP、ICMP和ARP等）电磁学规范：FCCClassA或ClassB或CISPR22ClassB等安全规范：EN60950（国际）等LANIEEE802.1QIEEE802.1DIEEE802.3系列IEEE802.10虚拟网络标准规范IEEE802.12ATMFORUM网管SNMP/SNMPV2RMON/RMONIISMON（RFC2613）网络协议TCP/IPAPPLETALKNOVELLIPX路由协议RIP1、2OSPFISISBGPIGMP1、2，等。安全认证协议RADIUSAAA等。2.3网络总体结构2.3.1网络技术选型选择好的网络技术，构建强健的网络平台是系统建设的首要方面。局域网技术选择根据当前网络技术的发展情况，局域网组网有以下几种类型的网络可以采用，它们是：逻辑总线式以太网、令牌环网、异步传输模式和交换式以太网。现将它们简单比较如下：1）逻辑总线式以太网技术逻辑总线式以太网是共享型的局域网，即网上任一瞬间只有一个用户在发送信息。以太网是现有网络中使用最为广泛的一种形式，特别是可采用非屏蔽双绞线的10BASE—T，它价格便宜、可选产品类型多、容易安装，得到多数厂家的支持，可满足多数用户对带宽的要求。但是，共享型局域网，网络里如有很多用户则会产生争用，使每个用户的平均带宽减少。逻辑总线式以太网采用载波侦听多重访问/冲突检测（CSMA/CD）协议来管理争用问题，以保证任一时刻网络上只能传送一个包。不但在传输前而且在传输过程中检测网络冲突，如有信号存在或冲突发生则停止传送，并推迟一个随机时间段重发，重发时间利用“指数退避”算法计算。于是网络的部分带宽被传输冲突和发送重试所占用，延迟变的不可预测。根据实际测试表明，虽然共享型总线式以太网理论最高带宽为10Mbps，但当较多终端在发送信息时，总线式以太网实际可用带宽为3.5—4.5Mbps。2）令牌环网技术令牌环网也是一种共享型局域网，即网上任一瞬间只有一个用户在发送信息。其处理速度有两种4MBPS和16MBPS，它采用比总线式以太网更新、更复杂的技术，采用16MBPS的令牌环网可以得到比总线式以太网更高的处理速度。但除共享型以太网的局限性外，它还有费用太高，突发性事故多等不足。3）异步传输模式ATM技术ATM技术与以帧转发技术为基础的交换网相比,ATM又有发展,它吸收了线路交换和分组交换技术的长处,具有从实时语音信号到高清晰度电视图象等各种高速综合业务的传输能力。其技术特点有:(1)采用交换技术并实现端结点间的点到点连接(2)采用固定信元中继和传输技术(3)采用面向连接技术(4)具有层次结构的寻址机制(5)可使用任意形状拓朴目前已经有许多厂商推出ATM产品,主要做为局域网或主干网使用，但是由于该项技术有其固有的缺点，在一定程度上存在着新旧设备兼容、费用昂贵、实施困难等不足。4）交换式以太网技术交换式以太网是以帧交换技术为基础的高速交换网，它突破了共享媒体和带宽的概念,它为每个单一网段提供专门的带宽，犹如一部电话交换机可同时建立多个对话通道一样。它解决了共享网络的主要矛盾网络拥挤,并且使“虚拟网”变成现实。目前技术的发展在此基础上出现了快速交换式以太网、千兆/万兆以太网技术并已成为当前主流技术，应用较为广泛的有：100BaseTx、100BaseFx和千兆及万兆以太网等。快速交换以太网技术以传统以太网和基于交换的技术为基础发展起来，具有非常好的兼容性和易操作性，它的出现立即得到了广大用户的极大的承认，因而，各大计算机、网络和通讯厂家都表现出极大的兴趣，这使得该技术得到迅速的发展和普及，此类产品的种类以及与其他技术的连接也都出现了多种解决方案。从以上的分析可以看出，在目前的技术条件下进行局域网建设时，考虑到用户网络系统状况、需求和网络技术的发展现状及其方向，我们认为交换式以太网是最好的选择。所以，我们采用千兆以太网技术构建用户局域网网络骨干，其他子系统都以此为中心进行组织。利用千兆以太网高速链路构建局域网骨干链路，可实现端到端的以太网访问，进而提高传输速率，有效保证各项业务的开展。2.3.2层次化的网络结构根据计算机网络系统的建设目的，同时为了提高整个网络系统的吞吐能力和接入能力，一般来说整个网络分别采用层次化设计，分为核心层、汇聚层和接入层三层。

核心层有时候被称作网络的主干。该层的主要目的是尽可能快地交换数据。网络的这个层不应该被牵扯到费力的数据包操作或者任何减慢数据交换的处理。应该避免在核心层中使用访问控制列表和数据包过滤这类的功能。汇聚层是接入层和核心层的分界点。该层提供了边界定义，并在该处对潜在的费力的数据包操作进行处理，当然根据客户的成本考虑可以省去。接入层是各部门或单位等被许可接入网络的点以及相关的工作站等。该分层能够通过过滤或访问控制列表提供对用户流量的进一步控制；但该层的主要功能是为最终用户提供网络接入。以上的模块化设计主要有以下优点：●可扩展性，因为网络增加模块而不会遇到问题●简单性，通过将网络分成许多小单元，降低了网络的整体复杂性，更容易故障排除，能隔离部分广播风暴的传播，防止路由环等潜在的问题●设计的灵活性，使网络容易升级到新的技术，升级任意功能模块不会对其它功能模块造成影响，无需改变整个环境●可管理性，模块结构使单台设备配置的复杂性大大降低，更容易管理2.3.3网络拓扑与协议网络的拓扑结构主要有星型、总线型、环型等。在近几年中，以太网技术得到了很大的发展，由于以太网技术最适合的结构是星型结构，同其他结构的网络技术相比，星型结构的以太网技术具有易于管理维护，便于升级的特点。考虑到本系统的现状需求及未来的发展方向，计算机网络系统将以网络中心机房为中心采用星形结构进行建设，网络通讯采用TCP/IP协议，按照Intranet结构和基于Web|Client/Server模式建立计算机信息系统综合业务处理平台，以增强和提高管理及为用户服务的能力。2.4网络设备选型网络设备的选择关系到整个系统的使用及效率，网络设备的选择至关重要。本系统的应用复杂，包括网络数据、图像、视频并支持语音等，因此对速率的要求很高，而且对时隙比较敏感，考虑到将来的系统升级，因此我们选用的是可扩展的模块化网络设备，以满足CoS、QoS等。根据网络技术的发展趋势，以及产品的性能价格比、产品的质量、产品的系列线等诸多因素，我们建议采用华为公司的网络设备，来组建本项目网络系统。现存的传输介质类型、服务器和工作站的数量和处理速度，是选择不同档次的网络设备的重要因素。兼顾现在和将来所要支持的应用是另一重要因素。多媒体应用比一般的办公自动化应用需要更多的带宽，所选网络设备应支持高速网络。考虑到网络的性能要求及以后网络规模的扩充，所选交换机设备应具备较强的升级和扩展能力。最后也要考虑到价格及厂家的售后及技术服务支持。综合考虑以上因素，华为公司的8508系列万兆路由交换机，华为3126系列千兆二层交换机等系列交换机设备是网络系统建设的合理的候选产品；选用华为网管软件对华为网络设备进行管理。2.5网络平台建设方案2.5.1网络拓扑图结合以上我们对x大楼信息化网络结构的划分，下面我们将结合本次工程建议选用的设备情况，给出网络平台的整体解决方案。网络平台解决方案拓扑图如下图所示，整个网络分为核心、汇聚、接入三个层次。

2.5.2网络设计说明对于新网络平台的网络结构，我们建议采用模块化的设计思想，按照功能划分为以下区块：交换区块，对于由交换区块和核心区块构成的局域网再按照目前流行的层次化的设计思想，划分为接入层、汇聚层和核心层。交换区块交换区块的主要功能是提供用户的接入点，并防止广播数据流和网络问题到达核心区块或者其他区块，交换区块由接入层交换机和汇聚层交换机构成：接入层：接入层设备作为最终用户的网络接入点，使用100M双绞线连接各层桌面终端，为每个用户提供专用的带宽，并可基于端口或MAC地址的VLAN成员资格和流量进行过滤，接入层主要的设计原则是能够通过低成本、高端口密度的设备提供这些功能。汇聚层：接入层交换机使用100M双绞线汇聚到一台或者多台汇聚层设备，汇聚层设备在接入层交换机之间提供第二层连接，作为接入层交换机的集中连接点及接入层和核心层之间的分界点，汇聚层在提供接入层接入的同时，还能够做到广播域的隔离、不同网段之间的路由、介质转换、安全控制。汇聚层需要提供第三层功能，即支持路由选择和网络层服务，以保护交换区块不受网络其他部分失效的影响，并防止本交换区块故障对网络其他部分的影响，如果交换区块发生了广播风暴，分布层设备可以防止该广播风暴扩散到核心和网络的其他部分。核心层：骨干层的核心设备是整个网络的交换核心，必须有足够的处理能力、可靠性和可扩展性，根据用户网络的特点，骨干组网时核心层设备应具备以下几个特性：a).交换设备的可扩容性b).骨干设备的端口的可扩容性c).中继带宽的可扩容性d).提供可扩展的多种网络业务e).x运营级网络可靠性2.6IP地址规划与DNS域名服务IP地址规划IP地址是整个网络系统运行的基石，IP地址规划不仅应该满足当前的需求，还应该充分的考虑系统将来的扩展性，以满足将来发展的需要。因此需要对南昌市x技侦大楼网络系统的IP地址进行统一规划，我们所推荐的IP地址规划方案如下：在整个网络环境中必须保持IP地址的唯一性；根据业务情况，为每个单位局域网分配一个或多个C类地址段（指掩码为的地址段），或者使用VLSM技术进一步进行细化，如分配64个（掩码92）或者32个（掩码24）地址，满足当前要求，并留有一定的扩充余地（如2-3倍），便于将来增加节点。地址分配具有层次性和连续性，便于管理，即在IP地址规划时应该充分的考虑利用路由汇总技术，减少路由波动，使得各局部的变动不影响整个网络的其它部分，增加网络的稳定性，同时由于路由汇总技术能够缩减路由表项数，所以还能够提高路由器的处理效率。使用VLSM技术，在划分IP地址时应该尽可能的减少IP地址浪费：三层交换设备之间的互联IP地址使用30位子网掩码（52），以节约IP地址；网络设备管理接口使用32位子网掩码（55）；在访问Internet时，使用NAT或者PAT技术通过防火墙设备进行地址或者端口翻译，把私网地址转换成公网地址，以获得对Internet的访问；各局域网内，根据业务情况，本着满足需求和扩展性的要求，划分并预留出以下地址段：网络设备地址段、服务器地址段、办公网段。在划分这些网段时，需要注意所有单位应该统一规划，以使地址分段全网统一，便于维护。DNS域名服务域名系统实际上包括了内部域名系统和外部域名系统两个部分。内部域名系统是为内部电子邮件和内部网站域名解析服务，便于内部工作人员通过名字来访问各项信息应用系统和其它服务；外部域名系统用于用户网络系统和Internet的信息交换。我们建议域名建设为内部域名系统和外部域名系统统一。网络系统的域名应遵循命名规范，并应与实际的区域相对应。命名结构使用X.500协议格式。它的命名语法如下：CN/OUn/…/OU2/OU1/O/C其中，C是国家代码，可以不用指定。 O是组织名称。 OUn是组织单元名称，在组织单元中可以包含用户和服务器也可以包含其它组织单元。 CN是用户名或服务器名从管理角度出发，域名系统需作统一规划。服务器的命名：服务器命名的原则是易于辨认，易于管理。对于一般情况，使用域名加svr作为服务器名。如果，同一个域中有多台服务器，可使用以下功能关键字进行区分：邮件服务器（Mail）M数据库服务器（DB）D防病毒服务器（AntiVir）AWeb服务器W等等…如果同一个域中同功能的服务器有多台，再使用序号来命名：如：svr1。用户的命名：用户名称可以使用中文全名，姓名全部注册为姓。姓名缩写可以使用以下规则，姓的全拼和名的第一个声母，如：李小明的姓名缩写为lixm。如果遇到重名的情况，可以在后面加上部门缩写或序号。ID文件的名字和邮件文件的名字应该和姓名缩写的命名原则一样。群组命名可以使用的群组包括邮件分发列表、权限控制组和应用中使用的群组。群组命名的原则：群组的名字应该唯一。群组的名字应该直接反映它的用途。群组的名字不能与用户或域的名字重复。网络系统的具体命名服务在工程施工时，我们将和用户相关人员一起协商决定。

方案特性高带宽和高性能本方案中的Quidview8500系列交换机是高端多业务路由式交换设备。Quidview8508交换机拥有较高背板带宽和转发能力。它可以为设备的各个模块之间建立起独占的物理通道使模块之间的数据传输可以绝对保证带宽。除了上述设备的高性能，核心层的1Gbps的核心带宽和1Gbps的接入层接入带宽为整个网络提供了非常高的网络系统带宽，并可随时进行扩充。所有这些都为用户、网络提供了全面的带宽和性能保证。面向应用及QoS本建议书中所采用的Quidview8500系列交换机是高端多业务路由式交换机。它是通过数据包头中的数据链路层(MAC)、网络层(IP、IPX)和传输层(TCP、UDP、RTP、Sock)的信息结合网络和路由策略信息，进行路由转发。在数据流到达设备端口后，设备通过AISC芯片对数据包头进行扫描，根据包头中的MAC源地址、MAC目的、IP/IPX源地址、IP/IPX目的地址、TCP/UDP/RTP和Sock端口号码以及DiffServeTOS位的优先级信息，结合模块中的路由策略和访问列表(ACL)，将数据流通过背板上的独立的物理连接根据不同的优先级转发到不同的端口。这样，网络管理人员就可以通过设备按照不同网络设备上的、不同的应用程序中不同的网络应用进行优先级、队列管理、队列调度、网络带宽和路由的分配，可以对包括Email、网页浏览、VoIP以及视频会议等等应用类型分配各自所需的网络带宽，保证各种应用的服务质量(QoS)。高可用性及可靠性本建议书中所使用的设备可靠性可以达到99.999%x级可靠性要求的网络设备。核心设备配有冗余的电源系统，并且设备的模块支持热插拔。这样可以提供设备的高可用性及可靠性。极强的灵活性本建议书的灵活性包括两部分：组网灵活性和连接方式灵活性。Quidview网络设备支持RIP、RIP2、OSPF和BGP等路由协议，支持802.1QVLANTrunking和VLAN，可以为不同的部门提供不同的VLAN结构，不同的VLAN之间提供路由的连接。在网络设备之间可以通过一条网络链路或将多条物理链路捆绑成一条逻辑链路进行传输。而且，整个网络可以是星型的，环形的、不完全网状和完全网状的，完全不受物理线路和地理位置的的限制，最大限度地利用有限的物理线路的资源。在连接方式方面，支持10/100M以太网、70公里千兆以太网、1000Base-LX/SX/T、100Base-TX/FX等端口。这些连接方式为网络提供了极大的连接灵活性。可管理性和可维护性本建议书中所使用Quidview网络设备提供RMON、RMONII远程网络管理协议，SNMP网管协议；这些设备结合Quidview的Quidview网管系统，可以通过网管工作站对整个网络提供实时端口级的管理，拓扑管理、LAN的配置和管理，并提供各种管理策略，有效地对整个网络进行管理、控制和维护。极强的安全性我们提供的安全设计思想是不仅防止来自网络外部的用户的非法使用和攻击，同时防止来自网络内部的非法使用和攻击。除了使用专门的硬件防火墙、入侵检测系统、安全漏洞扫描系统等安全设备来保障用户网络中心内部网络的安全之外，Quidview的交换机可以划分VLAN并通过数据包头中的数据链路层（MAC）、网络层（IP、IPX）和传输层（TCP、UDP、RTP、Socket）的信息进行访问控制，可以充分的保证各个VLAN之间的安全性，而且可以防止不必要和不符合访问策略的网络访问。基于角色的访问控制防止非法用户访问信息中心资源，确保信息中心信息安全。基于策略的资源访问控制，制定用户资源访问控制策略，防止内部信息资源滥用。更重要的是Quidview的网络交换机支持802.1x可扩展认证协议。该协议的功能如下：当PC或其他设备被连接到网络设备上时，网络设备会要求连上来的设备提供用户名和对应的密码，若正确则可以进入网络，否则拒绝网络访问。这样就可以在网络接入处避免对网络的非法访问。通过对不同用户分配不同的IP地址结合MAC地址和TCP、UDP、RTP以及Socket等信息，Quidview设备的网络访问控制机制，可以在网络层面保证网络的安全性。网络与数据安全方案由于网络系统是一个大型的综合性信息网络系统，网上运行着网络多媒体、办公自动化、各种应用资源、通信信息服务等应用系统，应用系统的复杂化，使安全成为一个不可忽视的问题。对一个大型网络系统来说，安全威胁可以来自很多方面。主要的安全威胁如下所列：(1)操作系统的安全性。目前流行的许多操作系统均存在一定网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。(2)防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。(3)来自内部网用户的安全威胁。(4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的TCP/IP协议族软件，本身缺乏安全性。(6)未能对来自电子邮件夹带的病毒、通过其他方式传播的病毒等进行有效控制。 (7)应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。满足基本的安全要求，是该网络成功运行的必要条件，在此基础上提供强有力的安全保障，是网络系统安全的重要原则。网络系统内部署了众多的网络设备、服务器，建立和实施完整的、多层次的安全措施来保护这些设备的正常运行，维护主要业务系统的安全，是十分必要的。3.1网络安全方案3.1.1网络安全设计原则在进行计算机信息网络系统安全设计、规划时，应遵循以下原则：（1）需求、风险、代价平衡分析的原则：对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本子系统的安全策略。保护成本、被保护信息的价值必须平衡，价值仅1万元的信息如果用5万元的技术和设备去保护是一种不适当的保护。（2）综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。（3）一致性原则：这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少得多。（4）易操作性原则：安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。（5）适应性、灵活性原则：安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。（6）多重保护原则：任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。根据以上分析，我们制定一个完整的安全体系方案。整个体系包含几个方面，对来自Internet、内部网络的诸如病毒侵害、黑客攻击、非法访问等因素进采取多种措施进行多重防范，以保护系统免遭破坏，防止信息泄密。网络安全方案随着网络应用规模的扩大以及人们对网络服务质量要求的提高，网络运营对于网管体系的要求越来越趋于实时化和精细化，越来越多的网络管理者也充分认识到了建立一个完善的网络管理系统的重要性。为了提高网络的服务质量，增强企业的综合竞争力，减少不必要的网络维护费用，目前网络运营正在把建设完善的网络管理系统作为网络资源优化的一个重点。本项目中通过建设网络管理系统，使得南昌市x技侦大楼网络能够对网络设备进行日常状态监测、故障响应、资源分配和控制等，同时能够采集网络运行数据进行业务流量、流向分析，并提供网络发展规划。总体来说所建成的网管系统应具有以下功能：1、对网络上的可管理设备进行监测。2、了解网络性能和现状，为网络管理维护提供依据。3、掌握网络运行负荷及设备运行状态，对异常情况进行分析，以便采取改进措施来有效利用网络资源，并向用户提供优质服务。4、采用分布式-集中控制及处理相结合的原则，对网络设备系统进行统一管理及配置。5、能够迅速地找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计。根据大型网络服务网管中心的实践经验及有关近年来研究工作的进展，结合目前其它主要运行网管系统的现状以及实践经验，并考虑到南昌市x技侦大楼网络系统运行和业务特点对网管的要求，本次网管体系建设将遵照高精度、实时化的原则，提供对网络单元及运行状态的综合网管的支持。本次网络管理系统将采用集中式的管理，该网络管理系统将负责对南昌市x技侦大楼网络整个网络系统的的管理，包括网络配置管理、性能管理、故障管理及生成必要的网管信息报表等.防火墙、VPN技术（1）利用防火墙来最大限度地保证网络的安全随着因特网的不断发展，互联网上的攻击方式也各种各样。应该引起我们充分注意的攻击方式有IP欺骗、各式木马、拒绝服务攻击等等。防火墙——防火墙的基本功能有：包过滤、支持路由、应用代理和IP地址转换；增强功能有：攻击检测、实时报警、用户认证负载平衡和计费等功能。防火墙是内部网络连接外部网络的唯一出口，可以检测并控制所有通过的数据，对相关事件进行日志记录。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内、外网网络通讯。选择防火墙的基本原则：安全性：即是否通过了严格的入侵测试。抗攻击能力：对典型攻击的防御能力性能：是否能够提供足够的网络吞吐能力自我完备能力：自身的安全性，Fail-close可管理能力：是否支持SNMP网管VPN支持认证和加密特性服务的类型和原理网络地址转换能力我们建议在Intranet/Internet接入网络系统和内部局域网之间配备硬件防火墙以增加内部网络系统的安全保密性。利用防火墙的IP包过滤功能以及访问列表控制功能，规定只有指定地址的机器和网络服务才可跨网访问，即可防止非法用户入侵内部网络、又能控制内部用户对外部的访问。上图为典型的防火墙解决方案，即通过防火墙将网络划分为不同安全级别的区。具体有几个安全级别和区可以根据具体情况来确定。一般可以根据防火墙的端口来确定，一般为三个。根据计算机网络系统的结构和业务流量特点，可将其划分为三个区。分别连接至防火墙的确LAN、DMZ、WAN端口。其中DMZ端口连接邮件系统、信息发布系统等服务器，LAN端口连接内部网络，WAN端口连接至上级、下级部门或INTERNET。在这三个端口上采用不同的安全策略以分别对网络上的用户和资源进行控制。在设置防火墙时，应采用所有未被允许的都应禁止这一原则。在防火墙处只对防火墙外暴露允许访问的内部IP地址。防火墙具备基于IP地址、端口号、服务类型等方面的访问权限控制管理功能，并能自动生成日志文件。防火墙本身具有可靠的安全管理机制，能对威胁内部网络安全的潜在危险事件进行自动侦测、跟踪，并及时告警。原则上，只允许网络内部的用户通过防火墙访问外部网络，限制或禁止外部网络对内部网的访问。（2）VPN技术VPN设备是基于VPN技术而实现的一种网络安全设备。VPN是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和身份验证等安全手段来保护在公共网络上传输的私有信息不被窃取和篡改，从而向最终用户提供类似于私有专用网络(PrivateNetwork)性能的网络服务技术。VPN设备对IP宽带、DDN、FR.、X.25等链路透明，可灵活部署在复杂的网络环境，可广泛应用于Internet/Intranet/Extranet上数据加密传输的实现，以及对数据源发性和完整性的鉴别，具有高效、安全、透明等特点。VPN是访问线路、数据终端设备（DTE）以及专门用于一组用户的那部分网络设施构成的一种逻辑子网，它有很多专用网的属性，但都处于共享的网络环境中。VPN工作原理图：硬件防火墙提供VPN功能，可以建立VPN隧道与远程拨号用户连接，更好地保障内部网络数据信息的安全。通过网络中心的VPN设备，使公网上的用户能够建立加密的数据隧道，在通过相关认证后进入内网，访问相应的资源。VLAN技术虚拟局域网（VLAN）技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。运用VLAN（虚拟局域网）技术，将网段进行隔离，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。在集中式网络环境下，我们通常将网络中心的所有服务器系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的多层交换机都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如EIGRP），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。在网络中采用支持VLAN划分的交换机，通过虚拟子网的划分，使不同的部门隶属不同的虚拟网，虚拟网之间的通讯必须通过第三层路由交换来实现。虚拟网将一个物理上连接的网络逻辑上完全分开，这种隔离不仅是数据访问的隔离也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的保护。通过第三层的路由交换设置，可以让虚拟网之间完全不可访问或者有限地相互访问，虚拟网之间的访问控制主要有访问控制列表（ACL）和路由表分发控制。提供划分VLAN（虚拟子网）等手段使内网与其他网络相对隔离，从而在网络层保证网络的安全性。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。入侵检测系统网络的攻击方式多种多样，任何防火墙都不可能永远防止网络上的黑客攻击。因此，实时监测系统，及时发觉网络受到的攻击并采取相应的措施也是十分有必要的。入侵检测被认为是防火墙之后的第二道安全闸门，是防火墙的合理补充。在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从网络中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。通过入侵检测系统，我们可以及时发现网络受到的攻击。入侵检测系统既可以检测内部网络和外部网络的网络行为，而且也可以检测内部网络中的非授权行为。因此在所有需要检测的地方放置探测器，这些探测器将探测到的内容发送给主控器。作为防火墙的第二道安全闸门，入侵检测系统需要和防火墙进行互动，互动的意思就是指一旦入侵检测系统发现有异常的攻击事件，应当在第一时间的反应到防火墙那里，这样一来就可以堵截这次攻击事件。入侵检测系统集成了网络监听监控、实时协议分析、基于入侵行为分析及详细日志审计跟踪，对黑客入侵进行全方位的检测。在和防火墙的互动上面，防火墙可以采用自动报警和自动防范结合的方法，一旦在入侵检测系统检测到攻击事件，立即会通知防火墙封禁该IP地址，这样一来可能黑客在扫描主机的时候就被方御防火墙封禁掉。网络防病毒系统计算机上的病毒种类繁多，危害极大，轻者影响系统的运行性能，重者破坏系统数据，使系统陷于瘫痪。对此必须对计算机病毒采取严密的防范措施：未经网络信息中心(NIC)的许可，不得使用可移动介质(软、光盘等)进行程序、信息的复制与传递