中信大厦智能楼宇系统设计方案.doc

1 目目录录 1智能大厦网络结构化布线系统简介智能大厦网络结构化布线系统简介.1 1.1通信网络接入方案选择分析.1 1.2布线标准.2 1.3布线距离.4 1.4布线性能.4 1.5建设目标.4 1.6系统需求.5 1.7系统主要功能.5 1.8系统设计.5 1.9设备报价及清单.19 2电视监控系统简介电视监控系统简介.20 2.1概述.20 2.2设计目标.20 2.3本系统工程实现的功能.20 2.4主机系统的技术参数.21 2.5电视监控系统设备清单及报价.23 3保安巡更系统保安巡更系统.24 3.1概述.24 3.2系统介绍.24 3.3系统性能特点.25 3.4巡更设计.25 3.5保安巡更系统设备清单及报价.25 4工程决算工程决算.26 2 1智能大厦网络结构化布线系统简介智能大厦网络结构化布线系统简介 智能建筑是传统建筑工程与信息技术结合的产物，是产业化社会向信息化社会发展的必然趋势。九 十年代以来我国已建和在建的楼宇中带有“智能建筑”色彩的已有数百幢，其“智能化”程度也在不断完善和 提高，目前智能建筑已不再限于单体的大厦形式，而向区域性规划发展。建筑智能化已逐渐成为一种发 展方向。其中通信信息网络起着至关重要的作用。 随着社会信息化进程的加快，单纯的语音通信已不能满足需要，而逐步转向对语音、数据、图象等 多种媒体综合信息的需求，同时对信息的容量和带宽的需求也不断增长，这些因素是刺激通信、信息网 络发展的原动力。用户驻地网、接入网由于投资大、业务量小、回报率低等原因，长期处于落后的技术 状态，随着宽带大容量通信需求的增长，用户接入网的“瓶颈”现象引起了世界各国的广泛关注，随之出现 了五彩纷呈的接入网技术。小区信息网的组建方式也很多。在智能小区通信、信息网络设计中认真分析、 研究，选择合适的接入方式和组网方式进行小区网络规划，使之既能适应现在的需要又能面向未来是很 有必要的。 1.1通信网络接入方案选择分析通信网络接入方案选择分析 智能建筑的通信、信息网络是人们与信息社会连接的重要通道。智能建筑的“智能”特点能否充分发扬 并逐步完善和发展与通信、信息网络的建设有着密切的联系。通信、信息网络的先进性、可靠性、技术 延伸性是决定问题的关键。 接入网技术如按传输介质划分可分为五类：纯双绞线铜缆接入网、混合光纤/双绞线铜缆网、混合光 纤/同轴电缆网、无线接入网和纯光纤网。 混合光纤/双绞线铜缆网是目前受到广泛关注、采用较多的方案，具有很好的发展潜力。目前，各国 较为普遍的做法是采用 fttc(光纤到路边)、fttr(光纤到远端节点)、fttb(光纤到大楼)等与双绞线混合， 是铜缆网向纯光纤网过渡的理想方案。 认真分析了各种接入网技术的特点和发展趋势，我们认为，采用光纤到大楼(fttb)与结构化综合布 线(utp)相结合的接入方式比较适合于智能建筑的建设，智能大厦应该采用 fttb 方案。 住宅建筑的通信网络一般采用光纤到路边(fttc)，即到建筑节点，然后再采用普通双绞线铜缆连接 到大楼分线箱的光纤/双绞线铜缆接入方式。这样虽然可以节省部分初期投资，但是对于用户的宽带信息 需求，必须采用 hdsl 或 adsl 方式来解决，用户投资成本比较高，能够承受的用户不多，因此实际收 益不高，投资回报率小。这种接入方式比较适合于已经安装双绞线铜缆网络地区的宽带接入。 3 fttb/utp（无屏蔽双绞线）也属混合光纤/双绞线铜缆网。采用这种方式，初期投资虽然大一些，但由 于可应用建筑信息网、实现 chinanet、internet 接入、开展多媒体应用等，因此可以吸引大量的用户，实 际收益良好，投资回报率也高。另外，光纤与结构化布线相结合是一种典型的宽带接入方式，目前 utp 能提供 10mhz、100mhz、550mhz 的宽带传输能力，支持 622mbps 的 atm 应用。最近，美国贝尔实验 室还提出了 1000mbps(1gbps)的解决方案。因此 fttb/utp 接入方案虽然不能代替 ftth，但是对于绝大 多数的用户，尤其是家庭用户而言，其技术生命力是相当长的。而且从这种接入方式向 ftth 发展也很 方便、简单，为实现 ftth 创造了条件。 1.21.2布线标准布线标准 本系统布线规范均指 tia/eia-568-a（商用建筑电信布线标准）和 iso/iec11801:1995（e）标准。 布线标准的内容包括布线网络拓扑结构、性能、部件、安装实践和现场测试。包括 mforum、ccitt、cenelec、ieeeansi802 等技术标准以及以下标准： ansi/tia/eia.568a 系统设计和产品标准 ansi/11a/eia.569a 系统安装标准 ansi/tia/eia.606 系统标记标准 ansi/tia/eia.607 系统接地标准 ansi/eia/tia-tsb36/40,67,72 系统测试及验收标准 ansi/tia/eia.570a 家居布线标准 en50173 系统设计和产品 en50167 水平布线电缆 en50169 主干电缆 en55022 信息技术设备的无限干扰特性极限值和测量方法 en55024 信息技术设备的防电磁干扰 iso/ied/jtc1is-11801 系统设计和产品标准 iso/iecjtci/sc25/wg3 ccittisdn ansix3t9.5.ansifddi/tpddi ansifddi、tp.pmd、x3 atmforumphy、sig atm155mbps/622bps 4 ieee802.310base-t,10base-f ieee802.5 ieee802.ab1000base-t ieee802.12100base-t jgj/t16.92 民用建筑电气设计规范 gbj42.81 工业企业通信设计规范 gbj79.85 工业企业通讯接地设计规范 ebd.03.95 智能建筑设计标准 cecs72:97 建筑和建筑群综合布线系统工程设计规范 cecs89:97 建筑和建筑群综合布线系统工程施工及验收规范 ydft9261.2.1997 大楼通信综合布线系统行业标准 布线拓扑结构布线拓扑结构 tia/eia-568-a 和 iso/iec11801 布线标准基于同一基本的布线系统结构，布线系统包括电缆、接插 软线以及用于水平布线、建筑物内主干布线和建筑群主干布线的连接器。本系统结构化布线支持布线端 接，同时使用接插软线与设备相连或作交叉连接。 为保证系统适应技术的发展、保持与技术同步,整个布线系统使用全程屏蔽系统,所有屏蔽部件接地, 所有水平配线电缆的屏蔽层均应进行接地连接,所有预埋的暗管、线槽、桥架、 线盒等均可靠接地并连接成一体,形成封闭结构,防止意外破坏,以保证全程屏蔽 的可靠实施。综合布线系统相关产品按屏蔽型增强型 5 类标准配置,包括数据系 统链路/信道也达到此技术性能要求。 信息插座及连接设备的端接跳线器件,全部信息点为 ftp 屏蔽信息点。信息插座采用单孔或双孔信息 插座配置,每个信息点均可应用于电话,也可应用于数据、图像等系统终端连接,并考虑满足数据系统对 千兆网的技术性能要求,以适应新技术的发展与应用。所有的数据信息点对应配置终端设备连接电缆、所 有光缆信息点对应配置终端设备连接光缆。 双绞线是现在最普通的传输介质，它由两条相互绝缘的铜线组成，典型直径为 1 毫米。两根线绞接 在一起是为了防止其电磁感应在邻近线对中产生干扰信号。现行双绞线电缆中一般包含 4 个双绞线对， 具体为橙 1/橙 2、蓝 4/蓝 5、绿 6/绿 3、棕 3/棕白 7。计算机网络使用 12、36 两组线对分别来发送 和接收数据。双绞线接头为具有国际标准的 rj45 插头和插座。双绞线分为屏蔽(shielded)双绞线 stp。屏蔽式双绞线具有一个金属甲套(sheath)，对电磁干扰 emi(electromagnetic interference)具有 较强的抵抗能力，适用于网络流量较大的高速网络协议应用。本系统的水平子系统采用 5 类屏蔽双绞线， 5 运行 100mb 以太网时，使用屏蔽双绞线以提高网络在高速传输时的抗干扰特性。 在土建过程中根据具体情况埋设暗管或敷设线槽、桥架等,建筑完工后相对固定。对应 ftp 信息插座 采用增强型 5 类 4 对 ftp 屏蔽电缆配置,以防御电磁干扰的影响。用户可根据设备连接需要,随时将任一 信息点跳线连接成语音或数据应用。水平线缆均采用 ibm 屏蔽(stp、ftp)阻燃型线缆产品,满足国家标准 cecs72.97 的规定。 主干作为综合布线系统的骨干部分,连接综合布线系统数据主干采用多芯室外多模光缆,单或多分线 箱共用。 1.31.3布线距离布线距离 布线距离为水平布线90 米、建筑物主干500 米、园区主干1500 米,布线距离主要取决于实际工作 区域(即建筑物楼层区域)。主干布线距离基于实际应用所限定的距离。 1.41.4布线性能布线性能 在 tia/eia-568-a 和 iso/iec11801 两个标准中，100 欧姆双绞线按 5 类/5e 类规定为 100mhz，在本 系统中应用为水平布线，10100mhz 自适应交换到桌面。主干采用室内多模光纤。光纤为圆柱状，由 3 个同心部分组成纤芯、包层和护套，每一路光纤包括两根，一根接收，一根发送。用光纤作为网络 介质的 lan 技术主要是光纤分布式数据接口(fiberoptic data distributed interface，fddi)。与同 轴电缆比较，光纤可提供极宽的频带且功率损耗小、传输距离长(2 公里以上)、传输率高(可达数千 mbps)、 抗干扰性强(不会受到电子监听)，是构建安全性网络的理想选择。 1.5建设目标建设目标 智能建筑的设计建设必须贯彻以人为本的原则。其建设的重点是如何建设一个智能化住宅和与之相 适的社区环境，从而构筑一个安全、舒适、适应信息社会发展的居住空间环境。它应具备以下几个基本 条件： (1) 建立适用信息社会的家庭网络，实现智能化的家务管理，以及环境控制、信息交流、安全防范、提供 文化生活与娱乐等功能。 (2) 建立连接家庭网络的社区信息网，提供社区服务，保障社区安全，实现社区管理自动化。 (3) 可与社区外部社会实现方便，快捷的连接。 为了实现智能建筑的建设目标，需要一个先进的通信、信息网络把用户家庭网络、社区安防、物业 6 管理、生活服务及办公设施连接起来，实现智能化和最优化。智能建筑的通信系统要能够提供快捷、准 确、多样的通信方式；建筑的信息网络要为建筑内物业管理，建筑内信息服务、提供快速、准确的服务 平台。 1.6系统需求系统需求 、保证通信系统具有充分的开放性，用户可以使用各种电信业务和符合标准的通信设备。 、高速率的信息传输使用户迅速、准确、完整地进行信息交换，并可为用户提供与外界各种网络连接 的多种手段，如可方便地连接公众电话网、分组交换网、数字数据网、综合业务数字网等，并且为安防 与其它智能化控制系统提供足够的实时信息传输能力。 、建筑的计算机网络系统，应为建筑的物业管理和信息服务提供实用、高效、安全、可靠的运行环境。 建筑的网络系统采用客户机/服务器（client/server）结构或采用基于 internet/intranet 的三层结构，具有开 放性和长久的生命力。 、实现建筑内部的资源共享、信息共享。 1.7系统主要功能系统主要功能 、提供 pdn 以及 ddn 接口，提高与外部网络的连网能力。 、提供宽带的用户接入服务，实现高速 internet 接入、视频点播等业务。 、建立建筑的内部网(intranet)，提供 www 浏览服务，建筑内各种信息服务的发布，实现网上消费、 网上物业报修、交互式物业管理服务以及访问 internet 等功能，并建议建立智能大厦 web 发布网站。 、利用建筑通信、信息网络进行物业管理，如：住户管理、信息查询、房产管理、公用设备管理、租 金和管理费管理、报表处理、故障报修统计和家庭办公等。 、利用建筑通信、信息网络开展建筑内信息服务，如：提供就业信息、娱乐信息、电子商务、健康信 息、教育信息、旅游交通信息、综合信息、金融动态、股票交易、社区消息，开展会议电视、远程医疗、 远程教育、股票交易、网上购物等业务。物业管理中心可建立商务中心，为企业用户提供文档处理、打 印等增值服务。 、为将来各种通信信息服务升级提供良好的传输媒介与网络（如光纤到户） 。 1.8系统设计系统设计 根据用户提供的设计图纸进行分析结果如下：分别在大厦内分配 6 个工作区间子系统配线间，每个 7 配线间管理 2 个楼层，同时将各配线间通过光纤连接到三楼的主配线房。 配线设备间及机房设在大楼的第三层，一楼有证劵交易所和银行，分别。二层至五层间的具体分布 以办公室为主体；从六层到十五层为出租式分布结构；十六到十八层为办公楼层；十九层为消费场所。 根据大楼内部结构，我们将网络设备放置在大楼内的第三层弱点间内，经过上下连线提供网络信息 点。因为本大楼内涉及到各个不同类别的公司在同一栋楼内办公，因此各公司内的网络该间接性隔离， 从而提高楼宇网络内的安全性，因此我们采用 vlan 的方式进行合理性网络架构划分。 由于大楼内涉及到证劵交易所，从金融体系的网络设计标准出发民用网络和金融网络是不可混合使 用的，我们在这次设计中将不涉及这部分的网络连接。 1.8.1技术特点技术特点 安全特点安全特点 当一个机构将其内部网络与 internet 连接之后，所关心的一个主要问题就是安全。内部网络上不断增 加的用户需要访问 internet 服务，如 www、电子邮件、telnet 和 ftp 服务器给大家访问。 当机构的内部数据和网络设施暴露给 internet 上的黑客时，大家越来越关心的便是网络安全。为了提 供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信 息。即使一个机构没有连接到 internet 上，它也需要建立内部的安全策略来管理用户对部分网络的访问并 对敏感或秘密数据提供保护。 internet 防火墙防火墙 internet 防火墙是这样的系统（或一组系统） ，它能增强机构内部网络的安全性。防火墙系统决定了那 些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可 以被内部人员访问。要使一个防火墙有效，所有来自和去往 internet 的信息都必须经过防火墙，接受防火 墙的检查（图 1） 。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的 是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。 8 图图 1 安全策略建立的防御范围安全策略建立的防御范围 应给予特别注意的是，internet 防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组 合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策 略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和 远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网 络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火 墙就形同虚设。 internet 防火墙的好处防火墙的好处 internet 防火墙负责管理 internet 和机构内部网络之间的访问（图 2） 。在没有防火墙时，内部网络上 的每个节点都暴露给 internet 上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主 机的坚固程度来决定，并且安全性等同于其中最弱的系统。 图图 2 internet 防火墙的好处防火墙的好处 集中的网络安全 可作为中心“扼制点” 产生安全报警 9 监视并记录 internet 的使用 nat 的理想位置 www 和 ftp 服务器的理想位置 internet 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进 入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。internet 防火墙能够简 化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连 接到 internet 上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员 必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火 墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 过去的几年里，internet 经历了地址空间的危机，使得 ip 地址越来越少。这意味着想进入 internet 的 机构可能申请不到足够的 ip 地址来满足其内部网络上用户的需要。internet 防火墙可以作为部署 nat(network address translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的 问题，并消除机构在变换 isp 时带来的重新编址的麻烦。 internet 防火墙是审计和记录 internet 使用量的一个最佳地方。网络管理员可以在此向管理部门提供 internet 连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 internet 防火墙也可以成为向客户发布信息的地点。internet 防火墙作为部署 www 服务器和 ftp 服 务器的地点非常理想。还可以对防火墙进行配置，允许 internet 访问上述服务，而禁止外部对受保护的内 部网络上其它系统的访问。 也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到 internet 的连接失效，内部 网络仍旧可以工作，只是不能访问 internet 而已。如果存在多个访问点，每个点都可能受到攻击，网络管 理员必须在每个点设置防火墙并经常监视。 internet 防火墙的限制防火墙的限制 internet 防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没 有限制的拨出存在，内部网络上的用户就可以直接通过 slip 或 ppp 连接进入 internet。聪明的用户可能 会对需要附加认证的代理服务器感到厌烦，因而向 isp 购买直接的 slip 或 ppp 连接，从而试图绕过由精 心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图 3） 。网络上的用户们必 须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。 10 图图 3 绕过防火墙系统的连接绕过防火墙系统的连接 internet 防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或 公司内部存在的间谍将敏感数据拷贝到软盘或 pcmcia 卡上，并将其带出公司。防火墙也不能防范这样 的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访 问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和 周期性变换口令的必要性。 internet 防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有 多种，编码与压缩二进制文件的方法也各不相同。所以不能期望 internet 防火墙去对每一个文件进行扫描， 查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进 入网络系统。 最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮 寄或拷贝到 internet 主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相 关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器 是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。 机构的安全策略机构的安全策略 如前所述，internet 防火墙并不是独立的它是机构总体安全策略的一部分。机构总体安全策略定 义了安全防御的方方面面。为确保成功，机构必须知道其所有保护的是什么。安全策略必须建立在精心 进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略，无论如何精心 11 构建的防火墙都会被绕过去，从而整个内部网络都暴露在攻击面下。 机构能够负担起什么样的防火墙？简单的包过滤防火墙的费用最低，因为机构至少需要一个路由器 才能连入 internet，并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功 能，具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员，也可以构建 自己的防火墙系统，但是仍旧有开发时间和部署防火墙系统等的费用问题。还有，防火墙系统需要管理， 一般性的维护、软件升级、安全上的补漏、事故处理等，这些都要产生费用。 图图 4 包过滤路由器包过滤路由器 防火墙系统的组成防火墙系统的组成 在确定了防火墙的姿态、安全策略、以及预算问题之后，就能够确定防火墙系统的特定组件。典型 的防火墙有一个或多个构件组成： 包过滤路由器 应用层网关（或代理服务器） 电路层网关 在后面我们将讨论每一种构件，并描述其如何一起构成一个有效的防火墙系统。 构件：包过滤路由器构件：包过滤路由器 包过滤路由器（图 4）对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其 是否与某一条包过滤规则匹配。过滤规则基于可以提供给 ip 转发过程的包头信息。包头信息中包括 ip 源 地址、ip 目标端地址、内装协（icp、udp、icmp、或 ip tunnel） 、tcp/udp 目标端口、icmp 消息 类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信 息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置 的缺省参数会决定是转发还是丢弃数据包。 12 与服务相关的过滤与服务相关的过滤 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在 已知的 tcp/udp 端口号上。例如，telnet 服务器在 tcp 的 23 号端口上监听远地连接，而 smtp 服务器 在 tcp 的 25 号端口上监听人连接。为了阻塞所有进入的 telnet 连接，路由器只需简单的丢弃所有 tcp 端口号等于 23 的数据包。为了将进来的 telnet 连接限制到内部的数台机器上，路由器必须拒绝所有 tcp 端口号等于 23 并且目标 ip 地址不等于允许主机的 ip 地址的数据包。 一些典型的过滤规则包括： 允许进入的 telne 会话与指定的内部主机连接 允许进入的 ftp 会话与指定的内部主机连接 允许所有外出的 telne 会话 允许所有外出的 ftp 会话 拒绝所有来自特定的外部主机的数据包 与服务无关的过滤与服务无关的过滤 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由 器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息 只能通过审查路由表和特定的 ip 选项、检查特定段的内容等等才能学习到。下面是这几种攻击类型的例 子： 源 ip 地址欺骗式攻击（sowrce ip address spoofing attacks） 。这种类型的攻击的特点是入侵者从外部 传输一个假装是来自内部主机的数据包，即数据包中所包含的 ip 地址为内部网络上的 ip 地址。入侵者希 望借助于一个假的源 ip 地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自 内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源 ip 地址欺骗式攻击，可 以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。 源路由攻击（source rowing attacks） 。这种类型的攻击的特点是源站点指定了数据包在 internet 中所 走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。 只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。 极小数据段式攻击（tiny fragment attacks） 。这种类型的攻击的特点是入侵者使用了 ip 分段的特性， 创建极小的分段并强行将 tcp 头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑 客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协 13 议类型为 tcp，ip fragmentoffset 等于 1 的数据包就可安然无恙。 包过滤路由器的优点包过滤路由器的优点 已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外， 实现包过滤几乎不再需要费用（或极少的费用） ，因为这些特点都包含在标准的路由器软件中。由于 internet 访问一般都是在 wan 接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没 有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主 机上安装特定的软件。 包过滤路由器的缺点包过滤路由器的缺点 定义数据包过滤器会比较复杂，因为网络管理员需要对各种 internet 服务、包头格式、以及每个域的 意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管 理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因 此会成为一个脆弱点。 任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻 击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让 主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。 一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每 个数据包的目的 ip 地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开 过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。 这样就消耗了 cpu 时间并影响系统的性能。 ip 包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服 务，但是不能理解特定服务的上下文环境/数据。例如，网络管理员可能需要在应用层过滤信息以便将访 问限制在可用的 ftp 或 telnet 命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制 最好在高层由代理服务和应用层网关来完成。 构件：应用层网关构件：应用层网关 应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过 滤工具来管理 internet 服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码 （代理服务）的方式来管理 internet 服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务 就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分 14 功能。 这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知 识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网 络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是 用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会 受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取 root 权限， 安装特洛伊马来截取口令，并修改防火墙的安全配置文件。 堡垒主机（堡垒主机（bastion host） 与包过滤路由器（其允许数据包在内部系统和外部系统之间直接流入和流出）不同，应用层网关允 许信息在系统之间流动，但不允许直接交换数据包。允许在内部系统和外部系统之间直接交换数据包的 主要危险是驻留在受保护网络系统上的主机应用避免任何由所允许服务带来的威胁。 - 一个应用层网关常常被称做“堡垒主机” （bastion host） 。因为它是一个专门的系统，有特殊的 装备，并能抵御攻击。有几种特点是专门设计给堡垒主机来提供安全性的： 堡垒主机的硬件执行一个安全版本的操作系统。例如，如果堡垒主机是一个 unix 平台，那么它执 行 unix 操作系统的安全版本，其经过了特殊的设计，避免了操作系统的脆弱点，保证防火墙的完整性。 只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装，它就不能 受到攻击。一般来说，在堡垒主机上安装有限的代理服务，如 telnet，dns，ftp，smtp 以及用户认证 等。 用户在访问代理服务之前堡垒主机可能要求附加认证。比如说，堡垒主机是一个安装严格认证的理 想位置。在这里，智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前 进行其自己的授权。 对代理进行配置，使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令，那 么很简单，被认证的用户没有使用该命令的权限。 对代理进行配置，使得其只允许对特定主机的访问。这表明，有限的命令/功能只能施用于内部网络 上有限数量的主机。 每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信 息。审计记录是发现和终止入侵者攻击的一个基本工具。 每个代理都是一个简短的程序，专门为网络安全目的而设计。因此可以对代理应用的源程序代码进 15 行检查，以确定其是否有纰漏和安全上的漏洞。比如说，典型的 unix 邮件应用可能包括 20,000 行代码， 而邮件代理只有不到 1,000 行的程序。 在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题，或在将来发现脆弱 性，只需简单的卸出，不会影响其它代理的工作。并且，如果一些用户要求支持新的应用，网络管理员 可以轻而易举的在堡垒主机上安装所需应用。 代理除了读取初始化配置文件之外，一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特 洛伊马程序或其它的危险文件。 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。 防火墙实例防火墙实例 1：包过滤路由器：包过滤路由器 最常见的防火墙是放在 internet 和内部网络之间的包过滤路由器（图 8） 。包过滤路由器在网络之间完 成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过 滤规则的：内部网络上的主机可以直接访问 internet，internet 上的主机对内部网络上的主机进行访问是有 限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。 图图 8 包过滤路由器防火墙包过滤路由器防火墙 尽管这种防火墙系统有价格低和易于使用的优点，但同时也有缺点，如配置不当的路由器可能受到 攻击，以及利用将攻击包裹在允许服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换 数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从 internet 上 直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻击。 16 另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。 2：屏蔽主机防火墙：屏蔽主机防火墙 这第二个防火墙系统采用了包过滤路由器和堡垒主机组成（图 9） 。这个防火墙系统提供的安全等级 比上一个例子中的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务） 。所 以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 图图 9 屏蔽主机防火墙（单宿堡垒主机）屏蔽主机防火墙（单宿堡垒主机） 对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和 internet 之 间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部 被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问 internet，或者是要求使 用堡垒主机上的代理服务来访问 internet 由机构的安全策略来决定。对路由器的过滤规则进行配置，使得 其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 这种防火墙系统的优点之一是提供公开的信息服务的服务器，如 web，ftp 等，可以放置在由包过 滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使 得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则 将路由器配置让外部用户直接去访问公共的信息服务器。 用双宿堡垒主机甚至可以构造更加安全的防火墙系统（图 10） 。双宿堡垒主机有两个网络接口，但是 主机在两个端口之间直接转发信息的功能（其能旁路代理服务）被关掉了。这种物理结构强行将让所有 去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的 安全性。 17 图图 10 屏蔽防火墙系统（双宿堡垒主机）屏蔽防火墙系统（双宿堡垒主机） 由于堡垒主机是唯一能从 internet 上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主 机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是 因为，对于入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠，避免被渗透和不允许 用户注册对堡垒主机来说是至关重要的。 3：dmz 或屏蔽子网防火墙或屏蔽子网防火墙 最后这个防火墙系统的实例采用了两个包过滤路由器和一个堡垒主机（图 11） 。这个防火墙系统建立 的是最安全的防火墙系统，因为在定义了“非军事区” （dmz）网络后，它支持网络层和应用层安全功能。 网络管理员将堡垒主机，信息服务器，modem 组，以及其它公用服务器放在 dmz 网络中。dmz 网络很 小，处于 internet 和内部网络之间。在一般情况下对 dmz 配置成使用 internet 和内部网络系统能够访问 dmz 网络上数目有限的系统，而通过 dmz 网络直接进行信息传输是严格禁止的。 图图 11 屏子网防火墙系统屏子网防火墙系统 - 对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击） ， 18 并管理 internet 到 dmz 网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器） 。里面的这 个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理 dmz 到内部网络的访问。 - 对于去往 internet 的数据包，里面的路由器管理内部网络到 dmz 网络的访问。它允许内部系统 只访问堡垒主机（还可能有信息服务器） 。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡 垒主机的去往 internet 的数据包） 。 - 部署屏蔽子网防火墙系统有如下几个特别的好处： 入侵者必须突破 3 个不同的设备（夫法探测）才能侵袭内部网络：外部路由器，堡垒主机，还有内 部路由器。 由于外部路由器只能向 internet 通告 dmz 网络的存在，internet 上的系统不需要有路由器与内部网络 相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在 dmz 网络上选定的系统才对 internet 开放（通过路由表和 dns 信息交换） 。 由于内部路由器只向内部网络通告 dmz 网络的存在，内部网络上的系统不能直接通往 internet，这 样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问 internet。 包过滤路由器直接将数据引向 dmz 网络上所指定的系统，消除了堡垒主机双宿的必要。 内部路由器在作为内部网络和 internet 之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数 据包吞吐量。 由于 dmz 网络是一个与内部网络不同的网络，nat（网络地址变换）可以安装在堡垒主机上，从而 避免在内部网络上重新编址或重新划分子网。 0总结总结 - 设计和部署 internet 防火墙从来就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因 素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等等。本文着重于构建 internet 防火墙的诸多问题，包括它们的优缺点，构件，以及防火墙系统拓扑结构的实例。由于与 internet 连接的好处很可能大于其费用支持，因此网络管理员应充分了解其危险，并采取适当的预防措施，保证 网络有其必要的安全性。 1.8.2总体分析总体分析 经统计本大楼共涉及信息点 3000 个。 因为本方案使用到 utp 以太网联网技术，根据实际应用分析，我们将网络设备放置在第十六为本系 统设立一个网络机房，以便能在节约相当大的成本下同时提高网络的使用效率。本方案的主要特点在于 19 真正的实现了用户到用户间的 100m 传输问题，在商业应用中可以同时达到 10 用户同时并发过程仍然可 为 10m 的传输带宽，可以在 5 年内高效率的使用。在这类方案中我们将使用到以下主要设备。 des-1000 系列系列 提供 rj-45 交换端口，能够自动适应 10/100mbps 工作速度和全/半双工模式 利用级联端口，可以方便地用直通的双绞 线级联到其它的交换机上 存储转发交换能力支持速率的适应性并确 保数据的完整性 在 100%的 100mbps 线速条件下，数据转发 率为 148,800 pps/每口 数据过滤可以消除所有的错误封包，在 100%的 10mbps 线速条件下，达到 14,880 pps/每口 每台设备有 1k 的过滤地址表 每 8 个接口有 1mb 封包缓冲区 符合 ieee802.3x 全双工模式下的流量控制 及半双工模式下的背压流量控制 提供 led 状态指示灯，可以方便地监测每 个端口的连接速率、数据收发、全/半 双工工作模式，及碰撞的状态 lr-2501a 高性能:采用 32 位 risc 处理器，16 m 内存并 可扩充至 32m，2m 闪存并可扩充至 8m，可以提供 强大的路由能力。广域网端口支持同/异步自适应 连接，同步连接速度可达 t1/e1，异步连接速度可 达 115.2kbps 高安全性:提供强大的防火墙功能，支持基于 端口、ip 地址、服务、协议以及基于时间段等的 包过滤及访问控制能力；提供全面的网络地址转换 功能（nat） ，增强了内部网络的安全性。 拨号备份:辅助口 aux 及异步串口支持拨号备 20 份功能，当主链路发生故障或者繁忙时自动启动拨 号备份链路，主链路恢复正常时还可自动断开，提 高了网络连接的可靠性。 网络管理:支持 snmp（mib i、mib ii） 、rmon 等协议，可以被通用的网管软件管理；支持 http 协议，用户可以通过 web 浏览器对路由器进行管理、 监控、配置和维护。 良好的兼容性:与 cisco 等其他厂家的路由器 具有良好的互通性和兼容性。 其他特性 -支持通过 tftp 实现软件升级，快速简单 -支持按需拨号（ddr）功能 -支持 novell ipx 路由协议 -支持路由再分配功能 -高稳定性 -提供背对背（back-to-back）连接方案，可用于 检测路由器的功能 1.9设备报价及清单设备报价及清单 序号序号名称名称型号型号单位单位单价单价数量数量价格价格 119 寸标准机柜40u台1800.0035400.00 2屏蔽配线架gpc-pnl-f-24-bk-2m个1200.00140168000.00 3水晶头amp盒130.009011700.00 4水平过线槽mmc-acc-cm-001个130.0014018200.00 5信息出口集成面板amp个45.003000135000.00 6超五类双绞线奔瑞箱600.001300780000.00 7rj-45 跳线奔瑞条20.0070014000.00 8路由器lr-2501a台6000.0016000.00 9工作组交换机des-1032r台4300.00100430000.00 21 10支干千兆交换机des-3225g台1200.001012000.00 11工作组交换机des-1016r台2800.002056000.00 合合 计计1636300.00 *服务器由甲方自行提供。 22 2电视监控系统简介电视监控系统简介 2.1概述概述 idrs-m 具有全部 dm 系统的功能，在监控主机最重要的性能指标中 idrs-m 具有 100 祯的资源，而 dm 系统只有 25 祯。在操作性能上，idrs-m 一般的动作指令非常简单，只需要在非常直观的图标上用 鼠标单击既可。任何非专门人士，只需要经过一周的培训，既可熟练地操作包括设置等全部的功能。另 外，idrs-m 经过公安部的检验，在全国金融系统与小区安防等领域应用非常广泛。 2.2设计目标设计目标 能对建设单位布防现场实行全天候 24 小时的多种形式的电视监控并实时报警； 采用技术先进的集成度高的 idrs-m 计算机数字压缩安防监控制系统。 系统应具有： 高性能的图像监视和录像； 与使用环境匹配性程度高，安装和操作简单方便； 可扩展性和较大的容量，升级方便。 2.3本系统工程实现的功能本系统工程实现的功能 报报-在防区内安装红外对射探测器，不留死角。 听听-在防区内安装监听器、覆盖整个防区 ，一旦发生报警信息，能够听到报警现场的声音、动 静。 看看-在防区内安装能够覆盖整个防区的若干个摄像头，一旦发生报警信息，能够实时将报警现 场情况摄影下来，监控室安装足够监视器，监控人员能看到报警现场的实际图像。 记记-监控系统具有记录功能，能够实时地将报警现场的实际图像录下来，而且能自动记录报警 的时间、部位、日期、地点等内容。 通通-在报警、监控系统装备有线电话、无线对讲机，能够让现场巡查人员及时向监控室报告报 警现场的情况。 联联-监控室的设备经过预先编程，能够自动将以上功能联动起来，自动控制整个系统各个功能， 实现接到报警信息后，能够自动地启动灯光、摄像机、监