视频网站网络设计方案

网络工程与组网技术课程设计报告视频网站网络工程设计方案第一部分 分析与规划姓 名：陈仁轻学 号：院 系：物理与电子工程学院专业班级：09通信四班同组成员：田峰、张晓旭 贾鹏飞、魏国 胡家驹成 绩： 网络工程与组网技术课程设计告视频网站网络工程设计方案第二部分 逻辑网络设计姓 名： 张晓旭学 号：院 系：物理与电子工程学院专业班级：09通信四班同组成员：田峰、陈仁轻 贾鹏飞、魏国 胡家驹 成 绩： 网络工程与组网技术课程设计告视频网站网络工程设计方案第三部分 物理网络设计与设备选型姓 名：魏国（） 胡家驹（） 院 系：物理与电子工程学院专业班级：09通信四班同组成员：田峰、张晓旭 陈仁轻、贾鹏飞成 绩： 网络工程与组网技术课程设计告视频网站网络工程设计方案第四部分 网络安全解决方案姓 名： 田峰学 号：院 系：物理与电子工程学院专业班级：09通信四班同组成员：张晓旭、陈仁轻 贾鹏飞、胡家驹 魏国成 绩： 网络工程与组网技术课程设计告视频网站网络工程设计方案第五部分 工程实施与验收姓 名：贾鹏飞学 号：院 系：物理与电子工程学院专业班级：09通信四班同组成员：田峰、陈仁轻 张晓旭、魏国 胡家驹成 绩： 第一部分：分析与规划摘 要：近年来，随着宽带技术，数字技术飞速发展，同时由于科技的快速突破与不断创新，人们对于生活的要求越来越高，比如在网上的视频欣赏。我们希望自由自在的点播网上提供的视频。下面是我们设计的一个视频网站的设方案。1.1视频网站网络需求分析该视频网站的运行环境： Windows Server 2000操作系统。，应用服务器为Apache-1.3.26和PHP4.1.2,数据库服务器为MS SQL Server 2000, 视频服务器为HelixServer。该操作系统可以提供一个内部网络服务器，但它同样可以应付大型网络中的各种应用程序的需要。Server 在 NT 4 的基础上做了大量的改进，在各种功能方面有了更大的提高。 该视频网站的带宽要求： 1，最少保证可以同时段内能承受1000人同时访问或是收看视频节目，网站速度要不受影响，网站不能崩溃！2， 还可以承受上传DV视频的空间，至少有有同时1000个DV上传，下载，播放等 。食品网站还需要合理有效的管理，当然我们可以采取人机合作模式，借具体的管理办法如下： 1，人为管理：拥有一定数量的管理人员，制定管理规范和要求，用于规范管理人员的操作的用户的网络行为；对视频网站进行定期维护和日常检测并建立日志。 2，网络管理：利用网络设备和管理软件对网站进行管理，用来代替人的日常管理操作，网络设备更新或者管理软件更新时，进行人为操作 3，人为管理权限高于网络管理权限，两个管理发生冲突时，人为管理优先。1.2视频网站逻辑网络设计分析随着计算机网络和Internet的发展,宽带VOD视频点播技术因其良好的人机交互性和流媒体传输技术已倍受教育、娱乐等行业青睐。该视频网站是基于PHP视频点播的流媒体技术。1.3视频网站物理网络设计与设备选型分析 物理网络设计要注重网站的结构和功能，具体的实现方式要注重实际，具有可操作性，具有维护方便和及时更新等优点。设备选型方面重点考虑经济性和实用性，性价比高1.4视频网站网络安全性解决方案分析 在网站安全方面，我们要保证网站正常稳定的运转，就要有相关的方法措施，如我们需建立一定的访问权限，布置必须得的监控，以防被有威胁的访问破坏网站设备，或对损坏加以扩大，已造成网站的信息或资源丢失或改动。这样我们就需要使用一些安全产品，如防火墙模块、入侵检测模块等，或技术以提高网站的安全性。同时还要有一定的防范病毒的攻击的措施，并提供对安全产品或技术的管理方法。1.5视频网站工程实施与验收分析 该视频网站工程策划方案是通过大家所学知识以及查阅资料等方式建立起来！在该工程项目中用到了 Frontpage、Dreamweaver等网页开发工具，Photoshop、Fireworks等图像处理软件，并且利用ASP与数据库SQL、ACCESS等联合进行程序开发，设计制作一个结构简明、功能完备、实用性较强的信息系统网站。具有科学的实施性！在网站的建立过程中为了能保证网站的理论服务正常以及设计的布局的合理性利用Photoshop、Fireworks等强大的图像处理软件，设计网站的图片，美化页面，掌握基本的图像制作和图片处理技巧。网站前台要为远程客户提供基本的注册、个人信息修改、资料查询等基本功能。网站的硬件以及软件的搭配合理很具有科学实施性！确定方案的验收具有很成功的实施性！第二部分：逻辑网络设计该视频网站是基于PHP视频点播的流媒体技术。2.1 视频点播技术视频点播(VideoonDemand)是指用户可以在任何时间从服务器上获取任何多媒体数据到客户播放的种应用。视频点播技术是一门集计算机技术、通信技术、网络技术、视音频压缩解压缩技术于一体的综合技术。网络中的视音频数据以实时数据流的形式传输，数据流一旦开始传输，就必须以稳定的速率传送到电脑桌面上，以保证其平滑回放，数据流不能有停滞和间断；网络拥塞、cPU争用、瓶颈、内存问题等都可能导致传送的延迟，引起数据流传输阻塞。那么如何充分利用这些已有资源为视频点播提供更好的服务是本领域一个重要问题。视频点播系统主要为用户提供点播服务，它所涉及到的资源有两种：硬件资源，包括对视音频资源进行存储、传输、处理、表现等各种处理的介质；软件资源，主要是各种视音频资源，以及对这些资源进行管理、调度、表现的各种程序。要合理利用这些硬件和软件资源(主要指视音频资源)，就必须对这些资源进行明确、清晰管理。2.2 PHP技术PHP（Hypertext Preprocessor）超文本预处理器。PHP是一种易于学习和使用的服务器端脚本语言，具有良好的跨平台兼容性，在大多数Unix平台，GUN/Linux和微软Windows平台上均可以运行。PHP具有数据库连接方便、可扩展性、可伸缩性、面向对象编程等优点。一些网站的前台WEB页面和后台发布系统就是用PHP开发设计，通过面向对象的设计方法将系统程序代码封装PHP应用服务的底层，使整个系统具有较好的可扩展性、易用性、兼容性，提高系统的健壮性和安全性。2.3 流媒体技术原理流式传输的实现需要缓存。Internet以包传输为基础进行断续的异步传输，对于一个实时A/V源或存储的A/V文件，它们在传输中被分解为许多包。网络是动态变化的，各个包选择的路由可能不尽相同，故到达客户端的时间延迟也就不等，甚至先发的数据包还有可能后到。为此，使用缓存系统来弥补延迟和抖动的影响，并保证数据包的顺序正确，从而使媒体数据能连续输出，而不会因为网络暂时拥塞导致播放出现停顿。通常高速缓存所需容量并不大，因为高速缓存使用环形链表结构来存储数据，通过丢弃已经播放的内容，可以重新利用空出的高速缓存空间来缓存后续尚未播放的内容。流式传输的实现需要合适的传输协议。由于TCP需要较多的开销，故不太适合传输实时数据。在流式传输的实现方案中，一般采用HTTP/TCP来传输控制信息，而用RTP/UDP来传输实时视音频数据。流式传输的过程一般是这样的：用户选择某一流媒体服务后，web浏览器与web服务器之间使用HTTP/TCP交换控制信息，以便把需要传输的实时数据从原始信息中检索出来，然后客户机上的Web浏览器启动A/V Helper程序，使用HTTP从Web服务器检索相关参数对Helper程序初始化。这些参数可能包括目录信息、A/V数据的编码类型或与A/V检索相关的服务器地址。A/V Helper程序及A/V服务器运行实时流控制协议(RTSP)，以交换A/V传输所需的控制信息。与CD播放机或VCRS所提供的功能相似，RTSP提供了操纵播放、快进、快倒、暂停及录制等命令的方法。A/V服务器使用RTPUDP协议将A/V数据传输给A/V客户程序(一般可认为客户程序等同于Helper程序)，一旦A/V数据抵达客户端，A/V客户程序即可播放输出。2.4 流媒体技术流媒体简单来说就是应用流技术在网络上传输的多媒体文件，而流技术就是把连续的影像和声音信息经过压缩处理后放上网站服务器，让用户一边下载一边观看、收听，而不需要等整个压缩文件下载到自己机器后才可以观看的网络传输技术4。该技术先在使用者端的电脑上创造一个缓冲区，于播放前预先下载一段资料作为缓冲，于网路实际连线速度小于播放所耗用资料的速度时，播放程序就会取用这一小段缓冲区内的资料，避免播放的中断，也使得播放品质得以维持。并且,流式媒体数据在客户端播放完毕后,用户并不能将它保存下来,这对媒体文件和数据的版权保护是十分方便而有益的。当然,如果服务器端愿意,向用户提供媒体数据的完全下载也是可以的。实现流式传输有两种方法：实时流式传输(Real-time streaming)和顺序流式传输(progressive streaming)。(1)顺序流式传输顺序流式传输是顺序下载，在下载文件的同时用户可观看在线媒体。既定时刻，用户只能观看己经下载的那部分，而不能跳到还未下载的前头部分。标准的HTTP服务器可发送这种形式的文件，并不需要其他特殊协议，因此，它经常被称作HTTP流式传输。顺序流式传输不能在传输期间根据用户连接的速度做调整。文件在播放前的部分是无法下载的，因此这种方法保证节目播放的最终质量这也意味着用户在观看前必须经历延迟，对较慢的连接尤其如此。(2)实时流式传输实时流式传输指保证媒体信号带宽与网络连接匹配，使媒体可被实时观看。实时流式传输需要专用的流媒体服务器与传输协议。实时流式传输总是实时传送，特别适合现场事件，也支持随机访问，用户可快进或后退以观看前面或后面的内容。理论上，实时流一经播放就不可停止，但实际上可能发生周期暂停。因此实时流式传输需要特定服务器，如：QuichiMe Streaming Server，Real Server或Windows Media Server。实时流式传输还需要特殊网络协议，如：RTSP(Real-time streaming Protocol)或MMs(Microsoft Media server)。2.5 流式传输协议流媒体在因特网上的传输必然涉及到网络传输协议，其中包括Internet本身的多媒体传输协议，以及一些实时流式传输协议等，只有采用合适的协议才能更好地发挥流媒体的作用，保证传输质量QOS.IETF(Internet工程任务组)是Internet规划与发展的主要标准化组织，已经设计出几种支持流媒体传输的协议5。主要有用于Internet上针对多媒体数据流的实时传输协议RTP(Real time Transport Protocol)、与RTP一起提供流量控制和拥塞控制服务的实时传输控制协议RTCP(Real time Transport Control Protocol)、定义了一对多的应用程序如何有效地通过网络传送多媒体数据的实时流协议RTSP(Real time Streaming Protocol)。除上述协议之外,流媒体技术还包括对于流媒体类型的识别。第三部分：物理网络设计与设备选型一、物理设计视频点播网就是一个科技类视频点播（VOD）网站下面详细介绍视频点播网站开发的关键技术和具体步骤。3.1网站的结构与功能 VOD系统采用浏览器/服务器/数据库（Browsers/Server/Database）三层结构（如图所示）,主要满足Internet网络用户的访问使用，简化了客户端。(1)web服务器:主要负责后台的发布系统和前台网页的显示。(2)视频服务器:流媒体服务器在VOD系统中的功能是视频存储和视频节目传送。此外,它还有的另一个功能是节目的检索和服务功能。流媒体视频服务器的性能直接决定VOD的存储容量、并发用户数、稳定性和图像质量。()数据库服务器：充分考虑到SQL标准的兼容性和数据库系统的可移植性，采用ANSI SQL(SQL92)标准编码进行数据库表、视图、触发器及用户模式的设计。主要用来存储视频资料和网站发布的信息。()客户机:它是一个基于Web浏览器的应用程序,通过点播提出媒体请求,并接受来自流媒体服务器的视频流或音频流,同时对视/音频具有回绕、暂停、重播等功能。()网络系统:除使用TCP/IP协议外,并使用MMS/RTP/RTCP/RTSP流媒体传输的网络协议。保障用户可靠带宽,以保证高质量、平滑的声音和画面的实时播放6。B/S/D的三层除继承了传统C/S结构的特点外，还具有如下优势7：(1)优越的系统性能 数据计算和数据处理集中在中间层部件, 且能够实现分布计算功能,使整个系统的工作量平衡分配到网络中。(2)卓越的安全性能 客户端只负责发送请求，并不与数据库直接连接，而由Application Server与数据库连接，在外界应用与数据库之间有天然的屏障，同时，也最大限度地保证数据的安全性，完整性。(3) 减轻系统的负担 在传统的C/S结构中,每个用户都需要与数据库服务器建立连接，而在三层结构中用户可以共享数据库连接，减少了数据库的负担，同时也提高了系统的负担。(4) 易于维护和升级 系统维护和升级只在服务器端，对于客户端无需进行改动，这样就减少了系统的维护费用，降低了升级风险，同时，升级的进行也不影响日常工作和业务。视频点播的接收过程8如图2所示。视频点播的流式传输示意图如图3所示。3.2具体实现步骤3.2.1 搭建web服务器Web服务采用客户/服务器模型，如图1所示。图 1HTTP：全名为Hypertext Transfer Protocol，即超文本传输协议，用于传输网页等内容。HTML：Hypertext Markup Language，即超文本标记语言，是用于创建Web文档的标准语言。3.2.2 IISIIS是Internet Information Services的简称，也就是常说的Internet信息服务。它是Windows Server 2003的一个重要的服务器组件，任何规模的组织都可以使用IIS构建和管理Internet或Intranet上的网站及文件传输站点（FTP）。使用NNTP（网络新闻传输协议）传输新闻，使用SMTP（简单邮件传输协议）传输邮件。IIS充分利用了最新的WEB技术标准，可以通过ASP.NET、XML（可扩展标记语言）来开发、实施和管理WEB应用程序。IIS6.0的子组件主要有：ASP.NET：允许此计算机运行ASP.NET应用程序。Internet信息服务（IIS6.0）：IIS包括Web、FTP、SMTP和NNTP支持，以及对FrontPage Server Extension和Active Server Page(ASP) 的支持。启用网络COM+访问：允许此计算机用于主持分布式应用程序的COM+组件。Internet信息服务管理器：IIS管理界面的Microsoft管理控制台管理单元。万维网服务：IIS6.0的一个核心组件，使用HTTP协议来与TCP/IP网络上的Web客户端交换信息。文件传输协议（FTP）服务：为创建用于上传和下载文件的FTP站点提供支持。Active Server Pages：用于发布ASP文件。323安装IIS6.0Windows Server 2003操作系统中，IIS6.0作为应用程序服务器的组件出现，默认情况下是没有安装的。可以采用以下两种常用方式安装：用“添加/删除Windows组件”来安装；用“管理您的服务器”来安装。安装操作过程如图2所示。图 23.2.4 设置Web站点安装IIS时，Web服务器按照默认值设置，包括默认网站、默认网站主目录、以及目录安全性等。用户可以直接使用这些默认值，也可以根据需要修改默认值。通过修改默认值可以提高性能和安全性。1、改变主属性主属性会被应用到位于服务器上的Web站点。同时也会被应用到这些站点中的对象上。当配置服务器时，可以修改主属性，从而使得被创建的所有站点都继承这些设置。如果有必要的话，属性也可以基于每个站点来设置。更改主属性的操作如下：在“网站”上单击鼠标右键，然后单击“属性”菜单。打开网站的主属性对话框，如图3所示。图 3选择需要更改的选项卡，修改对应的设置，完成后单击“确定”。这些设置将应用到这个网站下建立的所有站点。注意：主属性被所创建的所有站点继承。同时也被站点中的目录和文件夹继承。但是在站点、目录或文件级别对属性的更改将覆盖主属性。2、修改站点属性网站的“属性”对话框里提供了网站所有的设置项目。如网站、主目录、文档、目录安全性等。选择“默认网站”，单击鼠标右键，选择“属性”，打开“默认网站属性”选项卡，如图4所示。图 4在“网站”选项卡上，可以设置“IP地址”、“TCP端口”、“SSL”端口、“连接超时”、“日志记录”等选项。尤其是“日志记录”，其中保存的记录对分析网站的运行状态很有帮助。3.2.5 创建Web站点和虚拟目录使用IIS可以在一个服务器上主持多个Web站点。也可以使用虚拟目录把本地或远程服务器上不同目录中的内容组合在一起，并且在统一的文件夹结构中显示这些内容。虚拟目录虽然没有包含在主目录中，但对于用户来说，看起来跟包含在主目录中一样。另外，还可以使用FTP来发布Web服务器上的内容和信息。（1）创建Web站点可以在一台服务器上创建多个Web站点。每个站点都必须具有惟一的标识。通过IIS可以使用3种方法来标识站点。使用具有附加端口号的单个IP地址。使用多个IP地址。使用具有主机头名的单个静态IP地址。3.2.6 指定站点管理员（1）指定站点管理员一台IIS服务器可以架设多个Web站点，这些站点可能属于不同的单位或部门，因此就要求对站点设置管理员，将不同的站点交给不同的管理员去管理。一个站点也可以设置多个管理员，给每个管理员分配不同的权限。（2）实现远程管理（需要添加相应组件）远程管理系统站点需要使用安全连接，默认端口是8098，需要输入管理员账户及密码才能登录。例如，在地址栏中输入： 00:8098 （其中00为服务器地址，8098为端口号），然后根据屏幕提示输入用户名和密码即可登录，登录后远程服务管理窗口如图6所示。图 6远程服务管理提供了“状态”、“站点”、“Web服务器”、“网络”、“用户”、“维护”等功能选项卡，供管理员管理和维护服务器。3.2.7 备份和恢复Web站点为了保证在网站出现问题时，数据损失最少，并能及时恢复，管理员应该养成经常备份网站的习惯。下面我们就来介绍网站的备份和恢复。（1）站点的备份管理员可以一次备份一个站点，也可以一次备份整个网站。备份时首先打开“Internet 信息服务(IIS)管理器”。要备份整个网站，可用鼠标右键单击“网站”，在弹出的菜单中选择“所有任务”“将配置保存到一个文件”。打开“将配置保存到文件”对话框，根据向导提示，完成备份操作。（2）站点的恢复在恢复站点时，管理员一次只能恢复一个站点。操作方法如下：首先打开“Internet 信息服务(IIS)管理器”，用鼠标右键在“网站”上单击，在弹出的菜单中选择“新建”“网站（来自文件）”打开“导入配置”对话框，然后根据提示，即可完成站点恢复操作。3.3流媒体视频文件的制作及存储3.3.1流媒体视频文件的制作制作流媒体视频文件可以采用专业影像编辑软件Sonic Vegas 5.0。这个软件使用方便，功能强大，剪辑、特效、合成、Streaming 一气呵成。3.3.2流媒体视频文件存储 由于是海量数据，系统整体采用多级故障自恢复技术,存储服务器内部硬盘阵列均采用RAID5技术,保证任意-块硬盘损坏,不会丢失数据,也不会影响视频的播放。采用SQL Server数据库对大数据的管理，对要求大数据的地方采用BLOB,CLOB类型，同时利用SQL Server广泛的兼容性将其作为所有模块的底层数据库。3.3.3 后台发布系统和前台动态web网页的设计后台发布系统是一个独立的、完整的、复杂的系统，是本系统的一个子系统，其具体开发过程超出了本文讨论的范围。3.3.4制作视频播放文件Play.php。 点击页面上的标题链接后，调用该文件来播放视频。3.3.5在主页（index.php）中调用。在已经设计好的静态页面上嵌入后台发布系统中的PHP对象及处理函数。采用这种方式，极大地提高了程序的可读性和开发速度。3.4 其它应注意的问题为了防止发布的流媒体被人下载,可以对视频、音频进行加密,同时可以通过JavaScript编程, 屏蔽点击右键,屏蔽打开菜单，防止查看流媒体的真实的URL，禁止用户查看源文件。同时因为采用的是动态网页技术,因此可以防止源程序被窃取。二、设备选型 网络视频服务器模块通过有线网络（如局域网、ADSL等）或是无线网络（GPRS、CDMA等）的网络传输方式应用于车载无线监控系统、网络快球、网络摄像机、数字楼宇可视对讲系统、网络可视对讲电话等,也可直接作为网络视频服务器。网络视频服务器网络视频服务器为使用计算机网络进行图像监控而设计它具多种集成解决方案，在10/100 Base-T 网络上传输实时的视频监控图像,支持 ISDN、PSTN 或 xDSL 路由器在局域网广域网或者国际互连网上简单地传播。网络视频服务器广泛应用于无人驻守的变电站、电信机房、银行、道路交通、学校、海关、连锁营业场所的远程音视频监控以及本地局域网方式下的监控。网络视频服务器外观图（多种外观可供选择） 网络视频服务器的特点： 视频MPEG4压缩，音频G.729A压缩 实现RS485云台镜头控制 标准RS232串行接口 支持10MHz/100MHz网络,IE远程浏览 音视频同步输入输出 系统锁定、口令检验、用户授权、MAC码校验等安全保障功能 远程端（客户端）最多可提供16个用户连接 中心端支持1/4/9/16/36等多画面显示,最多可支持128路同时录像 支持网络和RS232两种软件升级方式 提供动态或指定IP方式，且根据用户的需求随意设置 网络视频服务器主要技术参数：（1）视频 视频压缩格式：MPEG4 图像分辨率：PAL:704x576(D1);352x288(CIF);176x144(QCIF) 帧速率：PAL 1-25帧/秒，可调 NTSC 1-30帧/秒，可调 视频输入：一路实时视频输入 视频输出：一路视频输出 视频标准：PAL NTSC 视频接口方式：标准BNC接口 （2）音频 音频压缩格式：G.729A 音频采样率：8Kbps （3）网络 网络接口：以太网10/100Bast-T 网络支持方式：LAN、PSTN、ADSL、GPRS(可选)、CDMA 1x(可选) 连接方式：RJ45接口 第四部分：安全解决方案 安全性对于网站的正常稳定的运行很重要。因此，在该视频网站的终端实行用户安全保障，采取严格的方式对访问网站的用户进行细致的身份验证，杜绝非法用户对网站的访问，同时在网络中通过精细的用户识别划分，限定用户对于网站资源的访问权限，仅对合法的用户提供对网站资源的访问权限。 除此之外，在提高网站的安全性上还可以合理使用一些安全产品和技术。 在我们的方案中，采用如下安全产品及技术： （1）防火墙模块 使用CISCOI内置于核心路由/交换机的防火墙模块，单个支持5Gbit/s的吞吐量。 （2 ）入侵检测（IDS）模块 使用CISCO内置于核心路由/交换机的入侵检测模块，能够提供600Mbit/s的IDS检测能力，支持丰富的包获取技术（SPAN/RSPAN和VACL）。（3）用户的安全认证技术 可通过802.1X技术实现对用户的安全认证，结合访问控制列表功能，能够实现对访问网站的用户的权限管理。 （4）防范蠕虫病毒冲击技术 网络中存在的病毒或一些恶意攻击可能会造成网站的瘫痪或网站数据的丢失、改动，须提供多种措施来增强网站设备的安全。另外，我们还提供了网站设备自身安全设计，以及对网站的管理系统，以实现对网站设备自身安全的保护。同时我们还配置了一套安全管理软件CISCO VMS，对网站系统多使用的防火墙、网络入侵检测等产品进行统一的管理。4.1.防火墙系统 防火墙的目的是在网站和外部网络之间建立一个安全控制点，通过允许、 拒绝或重新定向经过防火墙的数据流，实现对进出网站的服务和访问的审计和控制.4.1.1防火墙的工作方式 防火墙模块式一个支持矩阵结构以及总线结构的6500模块，只要矩 阵或者总线结构存在，该模块就可以使用。该模块有一个6Gbit/s的 802.1qEtherChannel通道连接到背板。模块的工作方式有多种，如独立方式或者互相备份方式。独立方式虽然了以提高吞吐量，但可靠性不高。考虑到网站信息或资源对可靠性的要求很高，建议每台核心交换机配置两台防火墙模块，并工作在互相备份的方式下。4.1.2防火墙的可靠性设计防火墙模块支持一个内部、机箱之间的Failover互相备份方式。在我们的设计中，我们在媒体阿和新教缓解内部都配置了两台防火墙，并工作在互相备份方式，以确保防火墙的高可靠性。互相备份是可以续噢到基于状态的切换，也就是当一个模块发生故障后，另一个模块能够立即接管它的所有工作而且所余的连接信息都不会丢失，无需重新建立连接。对联外部来说。感觉不到故障的发生。4.1.3策略设置基本步骤1）进行周详的调研，分清不同客户的需求，根据需求制定策略。2）打开策略允许的应用端口。3)拒绝所有非法的访问。4)打开日志记录。 4.2.网络入侵检测系统防火墙虽然能抵御来自外部的安全威胁，但对外部发起的攻击却无能为力。动态的检测网站内部活动并作出及时的响应，需要依靠基于网络的事实入侵检测技术。在我们的方案中，我们配置两个置于核心交换机/路由器的入侵检测模块。其部属方法如下：两台核心路由器上各安装一个入侵模块。考虑到需要对多台服务器进行入侵检测，且服务器都使用1000Mbit/s以太网接入网络，网络流量很大，需要对服务器流量进行分析，把适当的流量分别送到两个IDS模块进行监控，防止IDS杯信息流淹没导致实效。自阿交换机上设置端口景象功能，可以实现此目的。在Catalyst6500系列交换机上支持以下几种流量获取方法：（1）SPAN 它是最基本的方法，是把同一个交换机上的某些端口流量镜像到另一端口。（2）RSPAN 它是把一台交换机上的某些端口流量镜像到另外一台交换机的 监控端口。（3） VACL 它是把交换机上的某些符合用户指定的交换机VLAN控制列表的流量送到本交换机的监控端口。4.3.对蠕虫病毒冲击网站的防范这一部分内容是针对蠕虫病毒对网站设备带来的影响以及如何在网络层面进行发现、控制。彻底的病毒防范还需要通过方病毒系统软件的部署来实现。1.蠕虫病毒对网站的影响网站的攻击者往往通过控制网站的设备来破坏系统和信息，或扩大已有的破坏。以蠕虫病毒为例，如果在网站设备上不采取任何措施，它可能导致网站设备损坏，进而无法服务用户以及无法支持用户的访问。其攻击过程如下：“蠕虫王子”病毒发作时数据包的目的地址为组播地址，如果网站中的设备在对组播地址进行处理的时候，对数据进行反洪转发，“蠕虫王”病毒发出的大量数据包，经网站交换机泛洪“放大”，大量的数据包赌赛交换机之间的连接链路，最终导致网站的瘫痪，影响网站的正常使用。2.病毒的预防和处理可以采取以下措施来增强网站设备的安全，对病毒和恶意攻击进行预防和处理：1）使用书记防护软件队对关键服务器进行保护。2）使用访问控制列表限制攻击流量。对网络中的应用进行分析，只打开业务所需的端口，关闭不必要的端口，可以阻止相当一部分攻击，此外，在发生新病毒后，可以对控制列表加以修改，阻止病毒的扩散。3）使用NetFlow发现发起攻击的主机，以便在发现异常行为死，能够迅速找到病毒或攻击源头。4）使用承诺访问速率对段楼进行速率限制。在交换机端口使用速率限制可以防止大量非法苏据包进入交换机造成分布式拒绝服务攻击。5）在网站部署防病毒产品。4.4.网站设备的安全管理按照传统的管理方案，所余的设备都各自拥有一套专用的管理工具，管理员管理起来十分的不方便，要切换到多个不同的界面，掌握多种产品的配置方法。而该网站在我们设计、施工、验收完成之后，将来的某个时期还会添加新的设备，同时在我们的方案中就配置了多种安全产品，包括防火墙、基于网络的入侵检测系统等，如果还按照传统的管理方法会非常麻烦。为了避免以上的管理缺陷，安全产品都选用CISCO公司产品，通过CISCO公司的VMS（VPN/Security Manangement Solution，VPN/安全管理解决方案）实现对安全产品的统一管理。CiscoWorks VMS可以通过集成用于配置、监控和诊断网站虚拟专用网的Web工具、防火墙以及基于网络、主机的入侵检测系统，保护网站设备的安全，以实现网站的正常稳定地运行。 第五部分：工程实施计划与验收5.1实施计划凭借Frontpage、Dreamweaver等网页开发工具，Photoshop、Fireworks等图像处理软件，利用ASP与数据库SQL、ACCESS等联合进行程序开发，设计制作一个结构简明、功能完备、实用性较强的信息系统网站。具体任务包括：网站前台设计网页布局设计要注意网页色彩、图片的应用及版面规划，保持网页的整体一致性。掌握网页布局设计的技巧。页面图像处理利用Photoshop、Fireworks等强大的图像处理软件，设计网站的图片，美化页面，掌握基本的图像制作和图片处理技巧。网站前台要为远程客户提供基本的注册、个人信息修改、资料查询等基本功能。网站后台设计使用网络后台数据库连接技术，实现对数据库的读取、写入、编辑等操作。掌握后台数据库操作的程序实现方式，实现数据的交互处理过程。网站后台要为管理员提供用户资料管理、网站基本信息维护、统计和打印等功能。5.2 工程验收5.2.1硬件设备测试和验收 l 部件级测试部件级测试指对设备中各个部件的功能、可靠性、耐用性和可维性的测试，升档能力的衡量等。该类测试一般已在原厂的生产过程中完成，用户只需在使用过程中加以观测即可。l 设备级测试设备级测试主要包括对设备的处理能力、可靠性、可扩充性、开放