X地铁总公司大楼网络工程设计方案.doc

此文档收集于网络 如有侵权 请联系网站删除 精品文档 X X 地地 铁铁 总总 公公 司司 网网 络络 工工 程程 设设 计计 方方 案案 此文档收集于网络 如有侵权 请联系网站删除 精品文档 目录目录 一 项目概述一 项目概述 3 二 需求分析二 需求分析 3 2 1 网络现状分析 3 2 2 网络需求分析 4 三 总体设计方案三 总体设计方案 6 3 1 系统设计原则 6 3 1 1 高可靠性 6 3 1 2 高安全性 6 3 1 3 先进性 6 3 1 4 易管理 易维护 7 3 1 5 可扩展性 7 3 2 系统设计概述 7 3 2 1 网络体系结构和逻辑结构设计 7 3 2 2 网络拓扑结构 7 3 2 3 网络管理系统的确定 7 3 2 4 连接 Internet 7 四 系统方案四 系统方案 8 4 1 主干网设计方案 8 4 1 1 基本网络结构设计 8 4 1 1 1 基本网络物理结构 8 4 1 1 3 系统的特点 9 4 1 2 2 应用功能 10 4 1 3 备份服务 建议采用 12 4 2 防火墙及防病毒解决方案 13 4 2 1 网络安全风险分析 13 4 2 3 安全管理 13 4 2 4 安全方案 14 4 2 5 网络设备的安全配置 14 4 2 6 对服务器访问的控制 14 4 2 7CheckPoint FireWall 1 4 0 15 4 2 7 1 产品简介 15 4 2 7 2 状态检测机制 16 4 2 7 3 OPSEC 16 4 2 7 4 企业级防火墙安全管理 17 4 2 7 5 分布的客户机 服务器结构 17 此文档收集于网络 如有侵权 请联系网站删除 精品文档 4 5 主干网拓扑图 33 4 2 7 6 认证 Authentication 19 4 2 7 7 地址翻译 NAT 19 4 2 7 8 内容安全 22 4 3 监控和存诸 23 4 4 无线网 25 4 5 设备选型 25 此文档收集于网络 如有侵权 请联系网站删除 精品文档 一 项目概述一 项目概述 XX 地铁总公司的新办公场所位于 XX 市中山五路与解放路交界处的中旅商业城第 16 层 面积约为 3700m2 集中了地铁总公司的财务部 企业管理总部 人力资源总部等行政管理 部门 大约将有 230 多名工作人员在此办公 XX 地铁总公司将在中旅商业城 16 层建立计算机网络 该网络是 XX 地铁总公司企业管 理信息系统的平台 将提供以下的服务 各种数据库管理系统 如财务管理系统 合同管理系统等 办公自动化信息管理 如公文流转 电子邮件系统等 国际互联网 Internet 接入 6 间会议室有少量的多媒体信息传输 要求实现与公司其他总部 位于芳村西朗的运营事业总部 位于北京路广 百大厦 29 层的资源开发总部 位于公园前地铁控制中心的建设事业总部 位于环市西 路 204 号的地铁设计院网络互联 构筑 XX 地铁总公司城域网 实现全公司信息的共享 允许外出的工作人员通过拨号访问地铁总公司网络 互换信息 二 二 需求分析需求分析 2 1 网络现状分析网络现状分析 布线工程已由 XX 地铁总公司委托其他公司完成 线该布工程全部采用 Lucent 公司的超五类设备进行施工 将达到 Lucent 公司十五年保用标准 共有三个设备间 其中一个与计算机房合在一起 三个设备间之间都有 电缆直接连接 可形成环路 网络布线端口数达到 320 个 每个设备间所联信息点基本一样 大约为 110 个 网络操作系统将采用 MS Windows 2000 Server 2 2 网络需求分析网络需求分析 在人流量很高和事故率频繁的城市地铁 就要求安防系统对地铁候车厅和地铁轨道等 重点控区进行实时的监控和对危险情况进行实时的报警 采用专业的 全数字化 网络化 和智能化的监控方案 可提高对视频实时监控 记录 报警 事后查询水平及信息交互的能 力 在视频监控系统建设的过程中 要考虑到图像的质量 网络的稳定 录像资料的有效 保存等问题 北京鹏开翔云科技有限公司采用 MPEG 4 的压缩方式 高品质的图像质量 确 此文档收集于网络 如有侵权 请联系网站删除 精品文档 保地铁安全有序的为顾客服务 由网络摄像机进行实时压缩和数字编码处理并生成数字视 频流 数字视频流通过网络交换机传输至 AimetisSymphony 服务器以供用户检索查询或进 行实时的智能化分析处理 地铁监控的另外一个重要的任务是对临时的突发事件进行准确及时的报警 比如说当 有人不慎掉入地铁轨道或者在地铁轨道上行走 监视系统必须在事件发生的同一时刻报告 给安防主管来采取一系列的措施 2 2 1 监控需求分析 对地铁现有监控系统的升级改造 达到网络化 实时报警监控和事后查询水平 视频前端设备需要保证 4CIF 的分辨率和 25FPS 的实时视频流 需要最多 16 点实时查看功能 并对有警报的点实时的进行切换 整套系统必须能够同时支持有分析功能的许可证和普通录制功能的许可证 系统中心配置每周备份 并且可以随时恢复到以前的配置 视频监控软件和分析软件必须共享同一个平台 2 2 2 智能视频需求分析 具有实时的图像智能分析功能 对行人在地铁轨道或者其他禁区上行走的行为系 统进行实时的报警 准确检测地铁列车到站 停驶和离开的行为 当火车经过地铁站的时候 系统将不需要报警 当行人在站台上行走或者停留 系统将不需要报警 利用先进的 IT 技术让地铁的基础网络 无线网络系统 语音系统 信息服务系统 数 据中心系统 网管系统 网络安全系统 语音及网络流量计费系统等进行统一 实现智能 化网络管理与应用服务 不仅能提升乘客体验 更能获得更多利润机会和更高的 ROI 投资 回报率 提高市场核心竞争力 2 2 32 2 3 PISPIS 系统信息化需求系统信息化需求 PIS 系统作为地铁公司与乘客之间最直观的信息交互平台 所有实时播放的媒体流不 能出现图像马赛克 声音停顿的情况 这需要有线网络 车地无线通信网均有足够的带宽 和良好的 QoS 保障机制 同时网络的可靠性要求也非常高 不能因为网络的中断导致 PIS 系统故障 此文档收集于网络 如有侵权 请联系网站删除 精品文档 为了保障列车播放图像的高清晰 目前 PIS 系统所需最低带宽为 8M 按 MPEG 2 格式 考虑到车辆内部监控还需 4M 带宽 每列车有多个摄像头 同时只上传两路图像 平均无 线网带宽应至少在 12M 以上 带宽是保障图像高质量的最基本要求 为了满足多辆列车同时接收赛事 股票等实时信息的转播需求 列车 PIS 系统均要求 支持组播技术 但由于列车在快速行驶过程中车载 AP 与轨旁 AP 存在漫游切换 而车载网 络却无法及时感知这个过程 会依然试图从原有轨旁 AP 接收数据 最终导致组播数据流的 中断 如何保障车辆移动过程中的组播报文不丢失 也是 PIS 系统成功应用的一个关键技 术 由于早期地铁建设缺乏车 地无线通信技术 地铁监控只能局限于车站级别 不能对 车辆内部进行监控 并以模拟技术为主 但由于模拟监控大规模部署成本高 不支持远程 调阅 历史图像查询困难等多种原因 现在基于 IP 的数字监控系统已经成为新的发展潮流 新建地铁除了车站可采用 IP 监控 更可利用 PIS 系统车 地无线通信网的富裕带宽 构建基于 IP 的车辆监控系统 地铁控制中心和地铁公安系统能及时发现车辆内的安全事故 隐患并提前处理 确保列车行驶安全 以 IP 技术为核心 车辆监控和车站监控还可融合为 一体化解决方案 实现调度系统 存储系统 外置显示系统等多种系统的共享和一体化管 理 降低成本 提高监控效率 为了促进列车与地面间顺畅通信 提高列车安防保护水平 增加乘客了解信息渠道 并在日后获得更多的 ROI 投资回报 XX 地铁决定加装列车安防系统和乘客信息系统 凭借 思科产品的优良性能 承建单位中国铁路通信信号上海工程公司的雄厚施工力量 业主方 XX 地铁丰富的协调管理经验 项目施工进展十分顺利 安防系统项目搭建完备的无线宽带传输网络 使得列车无论在站台位置还是高速运行 中 都可以在地面与列车之间实现清晰的数字视频流实时播放 控制中心对车厢内的情况 观察 列车火灾报警信息实时上传等功能 地铁车站和控制中心值班人员实现观察运行中列车乘客车厢 司机室内情况 司机能 实时观察本列车乘客车厢内的情况 控制中心向运行中列车发布及时信息 实时转播数字 电视节目 运行中列车的紧急状态 如火灾报警 紧急开关车门 实时上传到控制中心和 车辆段车场调度中心 按照每节车厢 8 块 每列车共 48 块液晶显示屏的标准进行配置 实 时播放基于 IP 的数字电视节目 视频源采用了广播级的 MPEG 2 的高清晰码流 每列车安 此文档收集于网络 如有侵权 请联系网站删除 精品文档 装防暴摄像头 并将对车厢内的观察图像按照 MPEG 4 编码 通过 Wi Fi 网络实时地上传到 地铁控制中心 2 2 42 2 4 安全需求分析安全需求分析 网络安全需求是保护网络不受破坏 确保网络服务的可用性 对于信息网络内部安全 需求 包括 能够满足信息网络内的授权用户对相关专用网络资源访问 能够对于非授权用户的访问进行有效控制和报警 能够坚决杜绝病毒和其他危险程序进入网络 能够对于远程访问用户进行安全管理 加强对于整个信息网络资源和人员的安全管理与培训 根据地铁总公司的要求 这次网络工程的主要内容包括四部分 中旅商业城十六层 XX 地铁总公司计算机局域网 FF1B 中旅商业城十六层 XX 地铁总公司计算机局域网防火墙及防病毒解决方案 XX 地铁总公司城域网 中旅商业城十六层 XX 地铁总公司计算机局域网国际互联网接入 三 总体设计方案三 总体设计方案 3 1 系统设计原则系统设计原则 3 1 1 高可靠性 计算机网络系统应采用可靠性较高的产品和容错较强的网络结构 以使网络具有 高度的可靠性 应采取多层次的冗余备份手段和技术 保证设备在发生故障时能在最短时 间内恢复 以最大程度地保证网络的正常运转 3 1 2 高安全性 根据建行的管理制度和网络策略制定一套完善的安全政策 采用合适的技术手段 充 分保证网络安全性 3 1 3 先进性 在技术上要到达当前的国际先进水平 要采用最大先进网络技术 以适应大量数 据和多媒体信息的传输 既要满足目前的业务需求 又要充分考虑未来的发展 保证网络 建成后 3 5 年不落后 选用符合国际标准的系统和产品 以保证系统具有较长的生命力和 扩展能力 满足将来系统升级的要求 3 1 4 易管理 易维护 此文档收集于网络 如有侵权 请联系网站删除 精品文档 由于计算机网络系统规模庞大 需要网络系统具有良好的可管理性 网管系统应具有 监测 故障诊断 故障隔离 过滤设置等功能 以便于系统的管理和维护 同时应尽可能 选取集成度高 模块化 可通用的产品 以便于管理和维护 3 1 5 可扩展性 网络系统应具有良好可扩展性 随着业务的增长和应用水平的提高 网络应可平滑地 扩展的升级 而不需要对网络结构设备进行大的改动 3 2 系统设计概述系统设计概述 3 2 1 网络体系结构和逻辑结构设计 确定网络体系结构及相应的通信协议 对于系统的改造是一个十分很重要的问题 由 于网络系统的改造涉及到许多部门 而这些部门有的在使用一些专用的系统 有的需要与 其它专用系统相连 因此 要共享网络的资源及在网络中交换信息 就必须实现不同系统 间的实体通信 这需要不同系统采用同一协议 网络体系结构的确定 骨干网络使用交换式快速以太网 本网络大量采用以太网产品 因为以太网发展最为迅速 目前拥有广泛用户和众多的产品 容易得到支持 网络的主干 采用 100Mb S 交换式以太网 原因如下 采用 100Mb s 以太网交换技术 可使网络主干速率成倍增长 便于向千兆位以太网过渡 技术成熟 有大量的成功案例可查 3 2 2 网络管理系统的确定 人们往往只重视网络的静态性能 而忽视了对网络动态解决方案重要性的认识 实际 上 网络管理有着极其重要的意义 通过网管软件可方便地确定网络故障点 及时解决问 题 也可对网络的信息流量进行有效的控制和分流 要管理网络端口 需要网上每台设备 都支持 SNMP 根据本网络的特点 要求网管程序能够跨越地域对异地的网络节点进行管理 3 2 3 连接 Internet 在与 Internet 的连接方面 通过代理服务器 利用 ADSL 专线访问服务器 实现与远 程客户的信息交流 同时 还设立了网管工作站 监控网络的运行状况 使网络达到最大 的利用效率 此文档收集于网络 如有侵权 请联系网站删除 精品文档 四 系统方案四 系统方案 4 1 主干网设计方案主干网设计方案 4 1 1 基本网络物理结构 采用 1 台 H3C 的带第三层路由交换功能的千兆以太网交换机 Catalyst 2948G L3 做中心交换机 采用 7 台 Cisco 的 Catalyst 3548 XL Enterprise Edition 交换机 带千 兆网堆叠模块 做桌面交换机 每 2 3 台堆叠成一组 通过一个千兆以太网模块上联至 主干 下联至 300 多个客户工作站 各服务器 防火墙主机和路由器通过 100 兆快速以太 网端口直接与中心交换机相联 1 中心交换机的配置 千兆以太网交换机 Catalyst 2948G L3 置于主设备间 中心交换机配置 1 块 20 端口 10M 100M 自适应以太网交换模块 1 块 12 端口 10M 100M 自适应第三层交换模块 8 块 2 端口 1000Base SX 输入输出模块和 1 块 2 端口 1000Base LX 输出模块 交换机预留 1 块 24Gbps 千兆以太网交换引擎的模块接口 2 桌面交换机的配置 桌面交换机根据用户的实际情况采用 7 台 Cisco 的 Catalyst 3548 XL Enterprise Edition 交换机 每 2 3 台堆叠成一组 共 3 组 每组配置如下 l Catalyst 3548 XL 带 48 个 10 100Base T 自适应端口 l Catalyst 3548 XL 堆叠模块 l Catalyst 3548 XL 千兆位上联模块 4 1 2 虚拟网 VLAN 的构建 VLAN 是一个交换网络 它可以按功能 部门或是应用为基础来加以逻辑上的划分 而 不是以实体或物理位置为基础来划分 VLAN 的建立是为了提供更好的分段服务 每一个 VLAN 就是一个广播域 也就等于 WinNT 网络中的一个子网 这样可以更有效的控制广播 对于访问控制以及日常的网络管理也可以做到很好的控制 采用 VLAN 具有下述优势 1 控制网络上的广播风暴 VLAN 可以提供建立防火墙的机制 防止交换网络的过量广播风暴 使用 VLAN 可以将某 个交换端口或用户赋于某一个特定的 VLAN 组 该 VLAN 组可以在一个交换网中或跨接多个交 换机 在一个 VLAN 中的广播风暴不会送到 VLAN 之外 同样 相邻的端口不会收到其他 VLAN 产生的广播风暴 这样 可以减少广播流量 释放带宽给用户应用 减少广播风暴的产生 2 增加网络的安全性 使用共享式 LAN 安全性很难保证 VLAN 提供了安全性防火墙 限制了个别用户的访问 控制组的大小及位置等 交换端口可以基于应用类型和访问特权来进行分组 被限制的应用 此文档收集于网络 如有侵权 请联系网站删除 精品文档 程序和资源一般置于安全性 VLAN 中 3 集中化的管理控制 通过集中化的 VLAN 管理程序 网络管理员可以确定 VLAN 组 分配特定用户和交换端 口给这些 VLAN 组 设置安全性等级 限制广播域的大小 通过冗余链路负载分担网络流量 跨 越交换机配置 VLAN 通信 监控交通流量和 VLAN 使用的网络带宽 这些能力有效的提高了网 络管理程序的可控性 灵活性和监视功能 减少了管理的费用 增加了集中管理的功能 本网络系统分成多个逻辑子网 一个逻辑子网是由交换机设置的 VLAN 不同 VLAN 之 间在数据链路层 第二层 是互不连通的 当他们需要互相访问时 必须通过路由器或具有 路由能力的交换机 第三层交换机 使它们在网络层 第三层 连接起来 本系统种所采用 的 Catalyst 2948G L3 具有第三层路由模块 不需要附加路由器 VLAN 之间的通信在 Catalyst 2948G L3 交换机内部即可解决 能够建立跨过多台交换机而在整个网络中起作 用的 VLAN Catalyst 2948G L3 和 Catalyst 3548 XL Enterprise Edition 都支持 VLAN 划分 同 时由于都支持 802 1Q 技术 也就能实现 VLAN 功能 通过 802 1Q 网络中所有交换机就可 以采用相同的 VLAN 设置 服务器可以直接连接到交换机 最高速度可以达到 800M Cisco 公司 IOS 操作系统和 Cisco Works 网管软件的统一应用 以统一的软件平台把各种不同的 硬件连接起来 构成有效 无缝的信息系统 更有利于新应用的部署 同时提高了网络的 整体性能 4 1 2 1 根据端口划分 本网络系统利用交换机的端口来划分 VLAN 成员 通过虚拟网管理应用程序 中心交换 机的端口被定义为虚拟网 A B C 三 分配到一个 VLAN 的各个 LAN 网段上的所有站点都在 同一个广播域中 它们相互可以直接通信 并允许共享型网络的升级 通过交换机端口来划分网络成员 其配置过程简单明了 采用这种方法还便于直接监 控 可以对端口进行安全控制 与之相比 基于物理地址的划分方案管理起来不方便 网络 管理员经常要进行大量改动 而基于协议的划分方案又没有什么必要 因为网络本身基于 TCP IP 协议 因此 迄今为止端口划分是最常用的一种方式 4 2 系统的特点系统的特点 1 高性能 核心交换机具有先进高速第三层交换功能 所有端口均可进行线速路由 根据各部门的节点数和对带宽的需求 主干连接分别采用 100Mb s 100Mb s Trunk 和千兆 以太网 使网络的性能价格比达到最佳点 2 先进的子网划分方案 VLAN 是一个交换网络 它可以按功能 部门或是应用为基础来加以逻辑上的划分 而 不是以实体或物理位置为基础来划分 VLAN 的建立是为了提供更好的分段服务 每一个 VLAN 就是一个广播域 也就等于 Win95 网络中的一个子网 这样可以更有效的控制广播 对于访问控制以及日常的网络管理也可以做到很好的控制 3 充分利用 H3C 产品的技术优势 此文档收集于网络 如有侵权 请联系网站删除 精品文档 综上所述 本网络系统的先进性 安全性等特性是显而易见的 但更重要的是它的网 络整体性能好 符合用户的需要 4 3 应用功能应用功能 1 办公自动化和电子邮件服务 Microsoft Exchange Server 是带有集成组件的电子信息交换服务器 它使通讯交流 更容易 它在单一的平台上结合电子邮件 群组工作表 电子表格和组件应用程序 可以 通过一个集中化的管理程序进行管理 它提供了业界最强的扩展性 可靠性和安全性和最 高的处理性能 而所有应用都可以从通过 Internet 浏览器来访问 与微软 BackOffice 产 品相结合 使用通用 熟悉的开发工具 Exchange Server 可以快速提供和实施强大的业 务协作解决方案 满足用户对 Intranet 协作的多层次的需求 提高企业竞争实力 本电子系统构建于 Microsoft Exchange Server 电子交换服务器 安装 Exchange 服务器作为邮局 存储 交换 管理邮件系统中的用户和信件 以电子邮件为基础 处理 公司的所有邮件 构成信息传递的基础 并在此基础上构建如下应用 个人级的应用 主要完成公司内部工作人员日常的办公工作管理 构建电子办公室环境 完成文书处 理 电子表格 电子传真 电子邮件 个人日程安排等功能 构建 Microsoft Windows98 和 Microsoft Office 97 2000 的套件基础上 部门级的应用 通过 Microsoft Exchange Server 的 Schedule 和 Microsoft Office 97 2000 的 Outlook 来协调部门工作 处理会议请求 资源分配和工作安排等 企业级的应用 构造公文自动处理系统和档案自动管理系统等办公自动化应用 通过电子公告板 和 WWW 构建信息发布和查询应用 构建与 Internet Information Server 和 Microsoft SQL Server 的基础上 形成内部的 Intranet 2 数据库应用 目前应用比较广泛大型数据库系统主要有 Informix Oracle Sybase Microsoft SQL Server 根据目前业务系统的特点 充分考虑今后系统开放性 高效 性 联机事务处 理的要求 数据库系统应该采用 SQL Server 类型 综合当前 SQL Server 产品现状 我们建议采用 Microsoft SQL Server 并使用独立的数据库服务器以提高性能 其原 因主要有以下几点 n 由于本系统的体系结构采用客户 服务器模式 Microsoft SQL Server 拥有广泛的 客户基础 考虑到本模块主要与控制中心进行数据交换及处理 因此充分估计其它业务及 相关系统的要求 采用 Microsoft SQL Server 便于进行与其它系统的数据转换及处理 n 本系统面临一逐步推广使用的过程 因此要求在系统构造时充分考虑其扩展性 MICROSOFT SQL Server 具有开放的体系结构 由于其公开的接口规格 使得现在多数 4GL 此文档收集于网络 如有侵权 请联系网站删除 精品文档 程序开发语言均支持对 SQL Server 的联接 因此 MICROSOFT SQL Server 能够面向多种系 统的开发 便于处理与其它系统的接口问题 n 可伸缩性 SQL Server 所有的表 SQL 代码 存储过程 规则 触发器都能够在不 同的平台上运行 在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行 并且它便于向大型 具有并行处理能力的开放系统硬件环境转移 n 互操作性 MICROSOFT 客户 服务器系统能够透明地与其它厂商的产品联结集成 如 DB2 Oracle n 分布式数据库支持 MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和 分布 较大的机构建立应用时 可以把它们的 SQL Server 网络当作一个单一的集成资源来 对待 n MICROSOFT SQL Server 与 Windows 2000 连接紧密 目前 SQL Server 产品较多 但与 Windows 2000 连接紧密且性能优越的当数 MICROSOFT SQL Server n MICROSOFT SQL Server 有良好的安全性 达到 C2 级安全要求 n 在 SQL Serve 数据库的基础上 可利用各种数据库开发工具开发数据库管理系统 也可使用现在流行的基于 Windows 平台的 MIS 管理系统 3 域名服务 由于 IP 地址是使用一长串的数字来标注主机鹤其他网络设备 非常难于记忆和不便于 使用 因此目前在 Internet 上 采用一种具有直观含义的名字来代替以数字方式表示的 IP 地址 这种名字形式的地址称为域名地址 整个分层的域名地址体系即是域名解析 DNS 对于企业来说 域名是企业在网上的标志 也是企业推广自身形象的网络门户 域名解析是当前网络中一种成熟的技术 在本系统中将用 Windows 2000 的 DNS 系统来 做域名服务 Windows2000 包括的 DNS 系统支持新的 DDNS 标准 既支持动态更新 又可以 兼容于 NT4 网络 支持手工刷新 结合了 WINS 的动态能力和传统 DNS 的稳定性和健壮性 在 Windows2000 中 活动目录与 DNS 紧密集成在一起 客户可以更容易更迅速地找到目录 服务器 企业可以把活动目录直接连接到 Internet 以简化与客户和合作伙伴进行通讯和提 供电子商务 网络规划和管理变得更容易 4 远程访问服务 RAS 远程访问服务 接入提供了协议封装和数据加密功能 允许移动用户通过 Internet 或公共网络建立虚拟专用网络 VPN 模拟点对点专用连接 在计算机之间收发 数据 其效果与在专用线路上进行数据传输一样安全 有效 在本系统中 Cisco 远程路由器配有三个 Modem 端口 外出的工作人员可通过电话网拨 号远程接入与公司进行安全的信息交换 5 Web 服务 Windows 2000 服务器中内置了一个新的 Web 服务器 Internet Information Server IIS 5 0 IIS 以其强大的服务能力和丰富的开发手段 使其成为了电子商务的主 要服务器平台 5 0 在原有的基础上 又增加了许多新的功能 l IIS 5 0 将运行在它上面的 Web 站点应用和 IIS 核心服务隔离开来 而且 此文档收集于网络 如有侵权 请联系网站删除 精品文档 可以对每个站点应用配置独立的 CPU 使用率 并可以独立停止和重起每个进程 这大 大提高了 Web 服务器的可靠性和稳定性 使您建立的电子商务站点运行的更加可靠 在安全性方面 IIS 5 0 可以使用 Windows 2000 Active Directory 实现用 户身份的验证 也可以使用证书和 Active Directory 的结合来验证用户 这为电子商 务系统提供了即灵活又可靠的对用户身份的确认 IIS 5 0 上的 Web 站点的开发使用的是 Active Server Page ASP 3 0 ASP 提供了强大的功能和与 Windows 的紧密集成 同时 ASP 3 0 又进一步提高了效率 ASP 3 0 提供了和 XML 的集成 同时也可以用 ADSI 2 0 对 Windows 2000 Active Directory 进行操作 使用 Microsoft Visual InterDev 6 0 开发工具 您可以快速 建立您的电子商务系统 也可以建立一个复杂但是功能强劲的电子商务系统 因此在本系统中将配置一台 Web 服务器 使用 IIS 5 0 进行 Web 开发 提供完善的 Web 服务 6 多媒体信息传输 根据客户的需求 本系统采用 Microsoft NetMeeting 构建多媒体会议系统 7 备份服务 建议采用 使用计算机系统处理日常业务在提高效率的同时 有一个问题越来越不容忽视 即数据失效问题 一旦发生数据失效 企业就会陷入困境 客户资料 技术文件 财 务账目等数据可能被破坏得面 目全非 如果系统无法顺利恢复 最终结局将不堪设想 所以企业信息化程度越高 备份和灾难恢复 措施就越重要 根据系统自身的特点和对备 份功能的要求 我们建议 在本系统中采用 CA 公司的 ARC serve 备份系统 ARCserve 是一 个 跨平台的网络数据备份软件 在数据保护 灾难恢复 病毒防护方 面均提供全面的产品支持 目前已成为了业界的事实标准 CA 公司的软件产品涵盖大型网 络管理 数据库系统和工具软件等诸多方面 全球最大的 500 家企业中有 95 使用了 CA 公 司的产品 产品特性 全面保护 Windows 操作系统 支持打开文件备份 支持对各种数据库如 Betrieve Sybase Oracle 等的备份 支持从服务器到工作站的全面网络备份 可以实现无人值守的自动备份 备份前扫描病毒 可以实现无毒备份 支 持灾难恢复 4 4 H3C 网络管理网络管理 Quidview 网络管理软件是 H3C 公司对全线数据通信设备实现统一管理和维护的网管 此文档收集于网络 如有侵权 请联系网站删除 精品文档 产品 位于网络解决方案的管理层 实现基础网络管理和网元管理功能 Quidview 与 H3C 公司的数据通信设备一起为用户提供全网解决方案 Quidview 网络管理软件基于灵活的组件化结构 包括网络管理框架 设备管理系统 网络配置中心 分支网点智能管理系统 Web 报表系统等多个组件 用户可以根据组网情 况和管理需要灵活选择自己需要的组件 真正实现 按需构建 此外 Quidview 网络管理软件支持与业界通用的网络管理系统包括 HP OpenView SNMPc 等 集成应用 提供与第三方厂商设备的统一管理 通过和专业软件 供应商合作 共同向客户提供全面的 IT 管理解决方案 4 4 1 产品特点 Quidview 网络管理系统采用分布式 组件化 跨平台的开放体系结构 用户通过选择 安装不同的业务组件 可以实现设备管理 拓扑管理 告警管理 性能管理 软件升级管 理 配置文件管理 VPN 监视与部署等多种管理功能 产品不仅能够独立提供完整的网络 管理平台 还能够与 HP OpenView SNMPc 多种主流通用网管平台灵活集成 不仅能够 管理 H3C 公司的全线数据通信设备 还能够通过标准 MIB 实现对 Cisco 3Com 等各主流 厂商的数据通信设备的管理 4 4 2 灵活展示网络拓扑 Quidview 网络管理软件可以通过拓扑发现功能 帮助客户迅速发现网络资源 构建网络拓 扑 能够实时监视所有设备的运行状况 通过可视化的网络拓扑界面帮助用户及时了解网 络的变化 自动发现网络拓扑结构 支持全网设备的统一拓扑视图 可以灵活裁减拓扑视图 聚焦网络的关键区域 可以灵活选择设备 背景图标 构建逼近真实网络的拓扑 可以直接点击拓扑视图节点 快速查看设备面板 拓扑节点颜色能够直观反映网络 设备状态 可以灵活定制对设备状态的轮询间隔 支持二层拓扑管理功能 帮助用户清晰浏览网络物理连接 准确定位设 备 4 4 3 全流程的故障管理 Quidview 的网络故障管理功能为用户及时发现问题 深入分析问题 快速解决问 题提供了全流程的支持 支持从告警快速定位到拓扑中的故障节点 支持多种告警通知方式 包括 声光提示 告警转 Email 和手机短信 支持告警相关性分析 包括屏蔽重复告警 自动确认相关告警等 支持告警查询 用户能够按照告警级别 告警源 关键词等过滤条件迅 速聚焦到 真正有价值的告警 此文档收集于网络 如有侵权 请联系网站删除 精品文档 支持告警屏蔽 可以按告警类型 接口 时间段等条件屏蔽用户不关心 的告警 可以灵活定义告警级别 以符合客户网络的实际状况 提供常见问题的修复建议 同时用户可以根据实际的维护经验 不断完 善丰富维护经验库 4 4 4 主动的网络监视 Quidview 网管系统提供了丰富的性能管理功能 帮助用户主动监视网络的状况 及时发现网络潜在的隐患 同时 丰富的历史性能统计数据为用户升级扩容网络 提供了客观准确的参考依据 提供基于任务的工作向导 简化用户网络监视活动的操作 提供接口流入 流出 广播报文等常用的性能统计模板 使用户不需要关注 MIB 表达式的技术细节 支持 At a glance 功能 使用户能够快速了解关键设备的 CPU 内存 流量等重要信息 支持饼图 折线图 曲线图等多种图形方式 直观地反映性能指标的 变化趋势 支持性能的门限设置 触发告警及时通知到网络管理员 预警网络的隐 患或瓶颈 并可以实现超过阈值时自动关闭端口 支持 RFC1757 定义的标准 RMON MIB 及 H3C 自定义告警扩展 MIB 实现统计组 事件组 告警组等分组的配置和浏览 4 4 5 批量的设备配置备份 据权威机构统计 60 的设备故障是由于网络误配置造成的 有效地管理配置文 件可以帮助用户尽快从网络故障中恢复 Quidview 网管系统为用户提供了强大的 网络配置文件管理功能 可以方便管理员对设备配置文件进行集中管理 包括配 置文件的备份 恢复 批量更新以及配置跟踪等操作 提高了网络的可维护性 支持设备配置文件的批量备份和恢复功能 提高了网络设备配置的安全 性 同时极大提高了管理员的工作效率 支持配置的历史版本和基线化 当配置发生异常时可精确恢复到设置基 线 支持灵活的设备配置文件比较功能 包括指定设备的运行配置和启动配 置的比较 不同设备间的配置文件比较等 使管理员能够快速查看设备配置差异 迅速定位导致问题的配置命令 支持网络配置的变化检测 一旦发现配置发生变化 立刻以告警方式通 知管理员关注 4 4 6 设备的批量配置 设备的配置比较复杂繁琐 尤其是在大规模业务部署的时候 Quidview 网管系统 提供设备的批量配置功能可以快速灵活的完成业务部署 支持设备的批量配置 实现快速的业务部署 此文档收集于网络 如有侵权 请联系网站删除 精品文档 可以使用模版配置 RADIUS NTP 802 1x 等 或者自定义配置 灵 活的实现业务需求 支持配置失败时 安全恢复设备之前的配置 4 4 7 可靠的设备软件升级 设备软件的升级是项非常烦琐而复杂的工作 尤其是在整网大规模设备的软件升 级时 既要考虑软件版本的配套 统一 又要考虑升级过程的安全 可靠 避免 升级故障时出现整网瘫痪 Quidview 网管系统提供简易 直观的操作界面 可以 帮助用户安全 可靠的完成此项重要任务 提供基于任务的工作向导 降低用户操作的复杂性 支持网络运行设备的软件版本查询功能 使用户对网络中的版本情况一 清二楚 提供设备软件版本库功能 使用户可以集中管理设备软件 建立版本基 线 支持对设备软件的批量升级功能 极大提高了管理员的工作效率 支持先备份后升级 保证一旦升级失败后可以恢复到原有设备软件版本 支持对整个升级过程的可靠性检查 如设备软件版本和设备是否配套 flash 空间是否足够等 确保用户的整个升级操作万无一失 支持版本的智能检测 在发现设备有可用的新版本时醒目提醒管理员及 时完成升级 支持版本和设备的自动关联 在选择设备后 自动关联到可用的最新版 本 避免管理员疏漏导致选择错误版本 4 4 8 简便直观的设备管理 Quidview 向用户提供了网元管理功能 通过逼真的面板图片 直观地反映了设备 运行情况 通过面板图标直观地反映设备的框 架 槽 卡 端口等关键部件的运 行状态 能够方便查询和设置端口的速率 双工模式 管理状态等信息 能够实时观测 CPU 内存 端口流量等关键性能指标的趋势 支持对 H3C 公司交换机集群 堆叠能力的管理 支持对路由协议和二层协议的查询和配置功能 支持跨多个设备进行 VLAN STP 协议等配置 加快部署效率 支持同时监控多个设备面板 支持面板上的端口颜色按照运行状态 工作速率 双工模式 所在 VLAN 等信息进行显示 此文档收集于网络 如有侵权 请联系网站删除 精品文档 支持 VLAN 管理 支持查询 IPv6 基本信息 IPv6 地址表添加 删除 监视 IPv6 端口流 量 支持 POS 接口管理 POS 端口浏览和配置 支持光模块浏览 4 4 9 快捷易用的管理工具 针对设备端口故障 Quidview 网络管理软件提供了便捷的定位检测工具 路径跟 踪和端口环回测试工具 当用户报告网络接入存在问题时 网络管理员不需要到 达用户现场 直接通过网管对指定用户端口做环回测试 实现用户侧端口的远程 诊断 同时 Quidview 还提供了按 MAC 地址或 IP 地址查找端口的功能 管理员只需要 输入终端用户的 MAC 地址或 IP 地址 就能够直接定位终端用户所连接的交换机 及交换机的端口 迅速定位非法报文所接入网络的原始端口 以及时关闭端口 阻止违规用户进行滥发报文 盗用 IP 等恶意行为 4 4 10 多厂商设备的统一管理 Quidview 可管理所有支持标准 SNMP 网管协议的网络设备 为多厂商设备共存的 网络提供了统一的管理方式 自动发现多厂商设备 展示多厂商设备组成的网络拓扑 监视设备性能 包括接口的流量 错包率 丢包率等指标 接收和解析设备告警 提供告警分析和查询功能 服务器的集成管理 服务器是企业 IT 架构中的重要组成部分 通过 Quidview 可以实现服务器与网络 设备的统一管理 包括 支持对 CPU 内存资源消耗的监视 支持对硬盘使用情况的监视 支持运行进程的资源监视 4 5 防火墙及防病毒解决方案防火墙及防病毒解决方案 4 5 1 网络安全风险分析 对于信息网所面临的安全风险涉及网络环境多方面 包括 自然灾害 水灾 火灾 地震等 电子化系统故障 系统硬件 电力系统故障等 人员无意识行为 编码缺陷 系统配置漏洞 误操作及无意泄漏等 人员蓄意行为 网络环境可用性破坏 恶意攻击等 其中 前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力 加强网络设 此文档收集于网络 如有侵权 请联系网站删除 精品文档 备管理维护 系统操作管理等手段来加以完善 尽可能将风险降低到能够被控制和管理的 程度 而对于第四方面的安全风险 对整个信息网的安全环境所构成的危害最大 同时也是 最难于管理与防范的 且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的 尽管安全管理非常重要 同时需要相应的安全技术手段辅助完成 这也是本安全方案所要 详细阐述的 对于在信息网环境中 采取何种安全技术手段且如何实现 就需要通过对前面提到第 四方面的安全风险的分析的基础上 针对信息网安全需求来确定 对于风险来说 它应包括那些可以被管理但又不能被清除的 以及那些能够 中断网络工作流并对工作环境造成破坏性的威胁 其中 主要包括 对于网络应用服务的非授权访问 信息交互的保密性 网络病毒的传播与渗入 网络黑客行为 通过对以上主要的网络威胁分析 使我们能够准确把握信息网的网络安全需 求 4 5 2 安全管理 安全管理主要包括两个方面 内部安全管理 主要是建立内部安全管理制度 如机房管理制度 设备管理制度 安全系统管理制度 病毒防范制度 操作安全管理制度 安全事件应急制度等 并采取切实有效的措施保证制 度的执行 内部安全管理主要采取行政手段和技术手段相结合的方法 网络安全管理 在网络上设置防病毒安全检测系统后 必须保证防病毒系统的设置正确 且其配置不 允许被随便修改 采用用户和口令认证机制加强对用户的管理 可以通过财务软件本身和 一些网络层的管理工具来实现 4 5 3 网络设备的安全配置 信息网中 整个网络的安全首先要确保网络设备的安全 保证非授权用户不能访问网 络任意的网络通讯设备 例如 路由器 集线器等 对不同型号 厂家的网络设备 要防 范的内容是一样的 但具体的配置方法须依照设备要求来实现 4 5 4 对服务器访问的控制 对于服务器用户可以设置不同的用户权限 如 非特权 和 特权 两种访问权限 非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置 特权访 问权限则允许用户对服务器进行完全的配置 此文档收集于网络 如有侵权 请联系网站删除 精品文档 对服务器访问的控制建议使用以下的方式 控制台访问控制 限制访问空闲时间 口令的保护 多级管理员权限 4 5 5 CheckPoint FireWall 1 4 0 4 5 5 1 产品简介 作为开放安全企业互联联盟 OPSEC 的组织和倡导者之一 CheckPoint 公司致力于企 业级网络安全产品的研发 据 IDC 的最近统计 其 FireWall 1 防火墙在 市场占有率上已超过 44 财富 排名前 100 的大企业里近 80 选用了 CheckPoint FireWall 1 防火墙 CheckPoint FireWall 1 产品包括以下模块 1 基本模块 状态检测模块 Inspection Module 提供访问控制 客户机认证 会话认证 地址 翻译和审计功能 防火墙模块 FireWall Module 包含一个状态检测模块 另外提供用户认证 内容 安全和多防火墙同步功能 管理模块 Management Module 对一个或多个安全策略执行点 安装了 FireWall 1 的某个模块 如状态检测模块 防火墙模块或路由器安全管理模块等的系统 提供集中 的 图形化的安全管理功能 2 可选模块 连接控制 Connect Control 为提供相同服务的多个应用服务器提供负载平衡功能 路由器安全管理模块 Router Security Management 提供通过防火墙管理工作站 配置 维护 3Com Cisco Bay 等路由器的安全规则 其它模块 如加密模块等 l 图形用户界面 GUI 是管理模块功能的体现 包括 策略编辑器 维护管理对象 建立安全规则 把安全规则施加到安全策略执行点上去 日志查看器 查看经过防火墙的连接 识别并阻断攻击 系统状态查看器 查看所有被保护对象的状态 FireWall 1 提供单网关和企业级两种 产品组合 单网关产品 只有防火墙模块 包含状态检测模块 管理模块和图形用户界面各一个 此文档收集于网络 如有侵权 请联系网站删除 精品文档 且防火墙模块和管理模块必须安装在同一台机器上 企业级产品 可以有若干基本模块和可选模块以及图形用户界面组成 特别是可能配 置较多的防火墙模块和独立的状态检测模块 企业级产品的不同模块可以安装在不同的机 器上 4 5 5 2 状态检测机制 FireWall 1 采用 CheckPoint 公司的状态检测 Stateful Inspection 专利技术 以 不同的服务区分应用类型 为网络提供高安全 高性能和高扩展性保证 FireWall 1 状态 检测模块分析所有的包通讯层 汲取相关的通信和应用程序的状态信息 状态检测模块能 够理解并学习各种协议和应用 以支持各种最新的应用 状态检测模块截获 分析并处理 所有试图通过防火墙的数据包 保证网络的高度安全和数据完整 网络和各种应用的通信 状态动态存储 更新到动态状态表中 结合预定义好的规则 实现安全策略 状态检测模块可以识别不同应用的服务类型 还可以通过以前的通信及其它应用程序 分析出状态信息 状态检测模块检验 IP 地址 端口以及其它需要的信息以决定通信包是否 满足安全策略 状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新 通过这些数据 FireWall 1 可以检测到后继的通信 状态检测技术对应用程序透明 不需要针对每个服务设置单独的代理 使其具有更高 的安全性 高性能 更好的伸缩性和扩展性 可以很容易把用户的新应用添加到保护的服 务中去 FireWall 1 提供的 INSPECT 语言 结合 FireWall 1 的安全规则 应用识别知识 状 态关联信息以及通信数据构成了一个强大的安全系统 INSPECT 是一个面向对象的脚本语言 为状态检测模块提供安全规则 通过策略编辑 器制定的规则存为一个用 INSPECT 写成的脚本文件 经过编译生成代码并被加载到安装有 状态检测模块的系统上 脚本文件是 ASCII 文件 可以编辑 以满足用户特定的安全要求 4 5 5 3 OPSEC 安全开放式平台 CheckPoint 是开放安全企业互联联盟 OPSEC 的组织和倡导者之一 OPSEC 允许用户通 过一个开放的 可扩展的框架集成 管理所有的网络安全产品 OPSEC 通过把 Fire