武汉热线二期扩容网络结构实施方案

武汉热线二期扩容网络结构实施方案1网络规划和设计目的和总体要求整个工程中要求网络技术与国际同步，在拓扑结构上具有开放性和可扩展性，同时简明清晰；在稳定性方面，要求对关键网络设备和网络路由具有冗余，无结构上的单点故障点，骨干上要有较强的承载能力；在功能上应满足基本的互连互通及漫游。11广域网设计网络现状“武汉热线”目前的骨干网是指由洪山、汉口和鲁巷三个节点组成的核心广域连接。目前这三个节点分别由两台CISCO7513和CISCO7507骨干路由器组成骨干连接，在三个路由设备上插ATM卡并利用OC3互连，中继线速率为155MBPS（可参看网络拓扑图）。此次骨干网扩容将针对目前网络存在的问题，SWITCHHUB多媒体网体系结构图CISO70CISO710骨干层区域层70701洪山7513交换HUB省163网省163网管中心市163网管中心楚天热线CATLYST50洪山市163武昌接入层市169网管中心武汉热线制作中心10M洪山鲁巷市163汉口接入层汉口CATLYST50汉口CATLYST50鲁巷武汉热线骨干5M15M15MPIX省7513PIX市169网10M10M10M10MCISO450提供层次化的扩容设计方案，在解决目前网络瓶颈、提供高质量服务和可靠性服务的同时，既能保护现有投资，最大限度地利用现有设备；同时提高骨干传输速率并平滑过渡、升级到未来宽带网络。112网络设计方案研究了目前武汉热线网络所遇到的问题，充分考虑到武汉热线未来的发展，我们认为武汉热线的骨干网络必须具备以下特点1骨干网络的高可靠性HIGHAVAILABILITY2骨干网络的高性能HIGHPERFORMANCE3骨干网络的高可扩展性HIGHSCALABILITY4骨干网络的高品质的网络服务质量QOS基于上述考虑，我们建议在保护现有投资的前提下，对武汉热线主干网络采用较大幅度的网络重构。最终网络拓扑如下图所示。在上图所描述的网络结构中我们建议采用CISCO最新一代第三层大型交换路由器GIGABITSWITCHROUTERGSR代替原有的CISCO7513来组成主干核心网络。建议汉口、武昌各放两台GSR12012,同时汉口、武昌GSR用光纤直接连接。我们在这里建议采CHINANETATM/FR/DNATM/FR/DNPSTNMOBILEUSERPSTNMOBILEUSER汉口武昌62MPOSBACKBONEGSR12012GSR12012CISCO7513CISCO7513CATLYST50CATLYST8540CSRCATLYST8510ACESSERVERACESSERVER武昌洪山路PO鲁巷制作中心洪山路数据中心汉口合作路POCATLYST8510CSR服务网段CISCO7507ACESSERVERVOIPACESSERVERVOIPATM网DSL接入15MAT千兆以太网千兆以太网千兆以太网15兆ATM62兆POS快速以太网用GSR12012是基于分布式路由结构的、提供第三层千兆位交换能力的大型交换路由器。提供12槽口，背板交换带宽为15GBPS60GBPS。可以通过增加背板交换矩阵，使得背板交换能力达到60GBPS。根据设计，背板的交换能力将来可以扩充到240GBPS。GSR12012能支持多达44个155MBSTM1或者11个622MBSTM4的接口同时支持ATM和PACKETOVERSONET/SDHPOS技术。鉴于武汉地区的地理和网络用户分布的特点，结合具体的网络硬件和人员条件，我们建议改变原有的三环核心结构，将武昌洪山和汉口作为两个核心节点，在两点间用GSR高速骨干相连，数据中心（网络中心）仍设在武昌洪山，POP（网络用户接入点）分布于汉口和洪山，GSR以下均通过CATALYST8500系列三层交换机以千兆方式接入鲁巷作为一个ICP（信息制作中心）用CATALYST8510以千兆以太网接入洪山CATALYST8540主交换机。三、为保证骨干网络的可靠性，我们建议所有节点都采用双连。两个核心节点各采用两台GSR避免单点故障。汉口的POP节点分别连到汉口2台GSR上，武昌各点也分别连到武昌的2台GSR上，这样确保网络的冗余可靠性。CISCO路由器支持HSRP协议，可以以每个节点的两台交换机互为备份，当一台出现故障时，其支持的应用很快转移到另一台交换机上；而该交换机恢复工作时，系统又能很快的恢复负载平衡。四、以POS技术代替ATM技术作为主干网络连接。四台GSR之间通过光纤实现POS连接，连接带宽可以用622MBPSOC12链路。武汉ONLINE原来所有的7513和7507均退到边缘用于专线接入各POP服务网络通过两台CATALYST8500系列的交换机以千兆于GSR相连。这样,整个武汉ONLINE的骨干网就形成了以GSR为中心的基于POS的骨干网。POS技术将IP报直接封装于SDH帧中，是更加适合于ISP提供高速IP服务的一种新的宽带技术。对于IP业务来说，POS相对于ATM技术有如下几个优点1实施简单快捷，总体拥有成本低，收回投资周期短；2节省信头开销，线路利用率高；3网络结构简单，减少设备重复投资；4进一步提高带宽的潜力很大；5符合INTERNET的业务特征，减轻网络设备的额外负担。同时，POS技术提供高的QOS和高可靠性。五、在主干网络中，建议结合使用OSPF和BGP4路由协议，使得网络路由迅速收敛，也保证一条网络链路断掉后，会迅速找到另外一条网络链路，使网络中断时间最少。稍后将详细论述主干网的路由协议规划。骨干网络性能分析整个网络的QOS上述建议的网络能很好地满足QOS的要求，因为从网络中心讲，GSR的带宽将是足够的。可以从目前的622MB，上升到OC4824GB,OC192的96GB这样大的BACKBONE带宽，足以满足各种突发的传输要求，从而确保QOS。从分中心端点看，7513和7507能通过CISCOCOMMITEDACCESSRATECAR软件机制很好地确保网络的QOS,CAR可以完成QOS的方式是带宽管理机制，即可以限制通过路由器某一端口的流量，当某些流量在设定之内，就可以被传输，否则被抛弃。这样，无论从网络中心到各分中心，都能提供良好的QOS保障。高的网络性能整个网络采用PACKETOVERSONET/SDH技术，使网络性能从设计角度较大的提高。正如大家所知道，ATM在传输大容量数据方面是有一定缺陷的，因为ATM采用的是定长CELL的传输模式，而数据传输通常是变长的PACKETS，ATM在每次传输PACKET的时候，都先将PACKETSSAR成CELLS。且每一个CELLS都要附加一个HEADER，这样使的网络带宽实际利用率降低，从而也浪费了一些宝贵的网络带宽资源。而PACKETOVERSONET，则完全克服了ATM传输数据传输弊端，不需将PACKETSSAR成CELLS，也无需将传统的IPPACKETS进行封装，这样既有效地利用了网络带宽，又增加了网络传输的速度，一般统计，155MBATM传输带宽，真正有效的数据传输只有20MB120MB，而155MBOC3/STM1的PACKETOVERSONET/SDH,真正有效的数据传输在120MB148MB之间，因为PACKETOVERSONET/SDH是直接将数据的PACKETS在光纤上传输。可见，PACKETOVERSONET/SDH，在传输数据方面要优于ATM。所以，采用上述以PACKETOVERSONET/SDH的网络结构一定会比现存的网络结构性能快很多。网络的可扩展性在中心采用GSR12012，对武汉ONLINE讲，网络扩展性将非常可观。因为GSR12012，提供12个槽口，最多可提供44个155MBPOS/ATM，或11个622MBPOSIP/ATM，完全可以满足主干网络将来的进一步扩展。将来，POS技术将支持在WDM光纤网上传输，将光纤的传输能力提高几十倍。区域级网络结构在每一个POP节点，都有两台交换机以千兆以太网与主干网GSR连接。逻辑上武昌与汉口两个核心节点也是区域网POP节点之一，所以一共有两个POP节点与主干网相连。为了避免太大的路由表以及路由广播信息地扩散，在路由协议的设计上要仔细考虑。在除了核心节点外的每一个POP节点，都设计用两台局域网交换机CATALYST8510作为本地交换机，以快速以太网提供足够的带宽。交换机与路由器和接入服务器分别进行交叉连接，保证性能且避免单点故障。两台交换机的性能还可以满足未来企业用户接入的需求。将中心机房已有的CATALYST5000移至防火墙后，来构筑武汉热线自己内部的，安全性要求较高的局域网络，例如计费系统，网管系统等等。结构图参见下节中核心节点论述。在这里，主要论述企业网络接入的解决方案。为了充分利用现有的ATM模块和现有的ATM网络，可以利用ATM网络较大的覆盖性，提供企业网络的接入。ATM接入形式保证了用户可以充分利用将来武汉热线提供的多媒体业务，使用户真正享受到武汉热线丰富的网络资源。利用上述现有的网络结构，我们可以扩大用户的网络接入形式，同时可以大量减少DDN专线用户，使得POP内的路由器的可扩展性大大增强，另一方面，用FRAMERELAY替代DDN可以降低用户的接入费用，从而吸引更多的商业用户。路由协议规划对武汉ONLINE这样大ISP网络来说，合理地规划网络自治域，选择恰当的路由协议，是一件艰苦但非常重要的工作。随着网络规模的逐步扩大，及早给出一个长远而合理的规划，可以避免积累的问题给网络的性能带来影响。CISCO路由器支持非常丰富的路由协议，因而可以灵活的按照网络结构和实际需求对路由器协议进行设置，有效的对网络进行优化。首先，对于域内的内部网关路由协议的选择来说，开放式最短路径路由协议OSPF的分层体系是一个合理的结构。OSPF是一个具有高度扩展性的路由协议，目前武汉热线已经采用了OSPF协议，因而继续采用OSPF协议有利于网络的平滑升级。但现行网络的OSPF规划中，所有设备处于一个自治域内，不利于网络的扩展。我们建议将主干4个GSR路由器设为AREA0，而武昌部分和汉口部分的POP路由器则分别设为AREA1和AREA2，形成真正的分层结构。随着将来POP节点的进一步发展，可以划出新的OSPF自治域。这种分层构架的OSPF体系结构为网络的扩展提供了较高的能力。对外部网关路由协议的规划来说，接入CHINANET的两台路由器端口可以沿用现在的DEFAULTGATEWAY方式，也可采用BGP4协议。核心节点局域网设计121局域网络现状现有“武汉热线”网络结构中，局域网交换机CATALYST5000成为网络核心设备。既与CISCO7513上连作为全网络流量出口，又连接局域网内各种服务器设备，同时又与169网关设备连接，另外提供专线用户的路由器也连接其上。在大用户量的情况下，其流量交换的负荷相当大，同时无法保证其可靠性，如果这台设备出现故障，全网即可瘫痪。本次扩容工程设计方案将考虑采用包交换能力（PPS）大的局域网交换机设备，以提高数据交换能力；同时采用双交换机结构，减轻单台设备的负荷，同时提供网络内部部分重要设备的路由备份；保证网络的高可靠性连接，一旦一台局域网交换机出现故障，各种业务服务器仍可通过运行正常的交换机进行数据交换。调整各子网内部设备组成，以减少VLAN之间的互通流量。具体实施方案中，考虑到网络将来向宽带方向的发展，确保网络数据的高速传输，同时又兼顾到现有设备的利旧因素,而性能与安全常常成为互相矛盾的一对要求。本期工程将采用综合性的方案来解决安全性问题而保证网络的总体性能。武汉热线在武昌设数据中心点。在网络中心要解决以下问题）高可靠性局域网）高可靠性服务接入模块）中心网络结构和安全1）高可靠性局域网鉴于目前局域网设备的非可靠性状况，本次扩容建议做可靠性设计方案，对洪山和汉口合作路两个网络数据中心及POP接入点作较为完善的规划，同时考虑现有设备的利用由于CATALYST5000设备的总线带宽为12GB，包交换能力只有1MPPS，而其插槽数量较少（4个SLOT），不利于将来网络的进一步扩展。建议将此设备用做拨号用户的接入设备，可提供较为充裕的以太网端口，以减少占用骨干局域网交换机的端口，对鲁巷的CATALYST5000建议加上一块RSM交换模块，增加第三层交换功能,同时于CATALYST8510相结合,增加其接入以太网端口。采用较强的包交换能力（PPS）和具有第三层交换能力的局域网交换机在洪山、汉口两节点POP及洪山数据中心分别采用两台具有第三层交换功能的局域网交换机，建议用CISCO公司的CATALYST8510核心交换机，其可利用插槽数量为5个，提供POS和ATM的接入，将来还可提供GIGABIT以太网连接能力，直接连入核心GSR。采用上述设备可做到部分设备负载分担，可减轻局域网核心交换机的负荷；交换机的冗余性，同时支持硬件和网络冗余。电源和线路模块均可带电热插拔。另外CISCOIOS提供软件冗余性能结合SERVER和核心路由的备份冗余保证全网无单点故障。可保证每个子网VLAN有高速上行链路，能够提供大型网络所需的带宽和扩展性。做到高可靠性、容错设计；提供第三层交换功能，减轻核心路由器的路由负担；提供多种连接方式，如FASTETHERNET、FASTETHERCHANNEL、千兆以太网、ATM、POSPACKETOVERSONET原CISCO7513退下作为POP节点的接入设备，提供丰富的专线接入手段。2）高可靠性服务21用户管理、计费服务器和WWW/DB服务器是全网重要的设备，需采用高可靠性设计方案如HA，以确保所提供服务的高可靠性；建议用户管理、计费服务器采用原方案设计，即两台SUNE3000带磁盘阵列，采用HA的方式，保证在一台设备出故障的情况下能自动切换到另一台；WWW/DB仍采用上述HA方式；原设备SUNE3000均为单CPU、167MHZ，建议本次工程增加CPU的数量和主频，建议主频升为336MHZ，CPU暂升为四个；为保证用户快速访问WWW信息，减少出口中继流量，设置CACHESERVER；数据中心（洪山节点）设置CACHESERVER，并采用主备方式，以满足大用户量下用户访问WWW站点，节省出口带宽；配置性能相对较高的硬件设备以更好的实现PROXY或CACHESERVER功能要求；22CACHEENGINECACHEENGINE在局部的网络上或POP处实现了WEB内容的网络缓存共享，从而消除了同一内容在广域网上的重复传输，有效利用带宽并减少WEB服务器的负载。在CISCO提供该产品之前，ISP早就注意到了网络缓存的重要性并通常采用PROXYSERVER来用作页面的缓存，这种方法为INTERNET带来了很大的好处，但也给用户带来了一些不便，因为用户必须知道、记住这些PROXYSERVER的名字和有关的端口号，对于不同的MAILSERVERMAILSERVERDISKARRAYDISKARRAYLANSWITCH网址，也许还需要重新配置不同的PROXYSERVER，非常麻烦。这种缓存方式在可靠性方面也存在不少缺陷。CACHEENGINE则作为专门的网络缓存，具有许多的技术优势。CACHEENGINE通过快速以太网与路由器连接。在运行过程中，当用户访问某一页面时，路由器根据缓存控制协议，将WEB请求重定向到CACHEENGINE上，如果CACHEENGINE中有该页面内容，则直接将该页面送给用户，若没有，路由器再将请求传给相应的WEB服务器，并在WEB服务器返回页面给用户时，同时将该页面传给CACHEENGINE以备下一次或下一位用户同样请求时使用。CACHEENGINE支持三种数据刷新方式强行刷新、定时刷新、和相对时间刷新。WEB服务器对于实时数据如股票信息可以规定不准进行缓存而强行刷新每次数据。在定时刷新模式下，服务器对准实时数据如气象消息则规定刷新时间，CACHEENGINE将根据该时间要求刷新数据。若WEB页面没有对次作出任何规定，则进入相对时间刷新状态，CACHEENGINE将根据文件最后修改时间的长短决定何时对数据进行刷新。CACHEENGINE利用一个专门为缓存系统设计的高性能文件系统，避免产生文件碎片和通用文件系统造成的长时间目录搜索。CACHEENGINE安全、实时的内嵌操作系统还免除了通用文件系统相对较高的上下处理负担。CACHEENGINE支持基于对象文件的缓存，即可以在页面数据更新的情况下，缓存部分不变的内容，如一些固定的图标。多个CACHEENGINE可以组成缓存场，每个新增的CACHEENGINE将增加24GB的存储量。一个缓存场至多能包括32个CACHEENGINE，存储768GB的信息并同时支持28800个会话。结合上述原理，不难理解CACHEENGINE具有如下特点对WEB浏览器透明CISCOIOS路由器将与CACHEENGINE配合完成全部工作，而用户的WEB浏览器无需做任何配置，可以关闭任何PROXYSERVER功能。尽管网络中可能有多个CACHEENGINE，它们也可能负责不同的内容，但用户完全不用关心它们的存在，更不用去记住PORTNUMBER之类的参数。可伸缩和高性能可以根据需要增加缓存空间，线性提高性能。专门的缓存文件系统也提供了高性能的操作。容错性一个缓存场的所有CACHEENGINE之间可以作负载均衡与相互备份。即使所有CACHEENGINE都失效，路由器也能自动识别并取消缓存功能但继续提供WEB访问服务，避免了从前PROXYSERVER死机导致配置了该PROXYSERVER的用户不可访问网络的问题。为了进一步减少昂贵的国际线路的压力，以及考虑到核心节点接入的ICP较多，建议在洪山节点配置两台CACHEENGINE。两台缓存还可以互为备份。两台缓存处于同一网段中，与路由器的一个端口相连，节点网络图如下。目前武汉热线到CHINANET的出口已出现严重阻塞，忙时出现丢包。除了增加带宽的解决方案外，CACHEENGINE也将很好的帮助解决问题。CACHEENGINE的扩展非常灵活。当发现其容量不够时，增加CACHEENGINE十非常容易，不会影响网络的正常运行状态。23大用户量RADIUS数据备份和负载分担如何提高大用户量下用户上网的身份验证速度、确保用户接入的负载分担，同时能做到用户数据的可靠性备份，也是影响网络运营服务质量的关键因素。本期扩容工程建议采用下述设计方案全网设置两个RADIUS服务器E3000（设在洪山数据中心），采用互为主备工作方式。RADIUS1主要负责洪山节点的PSTN用户接入验证，RADIUS2主要负责汉口节点的接入验证，RADIUS1和RADIUS2间采用双机冗余，互为彼此的备份；在洪山节点内部采用负载分担的工作方式，即分别设置RADIUS1和RADIUS2服务器，由ACCESSSERVER分别指定PRIMARY和SECONDARYRADIUS，从而实现大用户量下用户身份验证的负载分担；用户数据可做到全网同步，即一次用户数据可同时写入两个RADIUS；RADIUS服务器选型建议采用SUNE3000，在硬件上提高用户验证处理能力；对ACCESSSERVER同样可做到负载分担；图RADIUS数据同步、备份和分担2个RADIUS服务器的用户数据应与USERDATABASE用户数据持同步。这样在用户的接入方面形成备份和负荷分担，如果RADIUS1出现重大故障，“武汉热线”的用户仍然可以通过RADIUS2进行接入验证24LOADBALANCE随着互联网络的发展，用户数量的增多，对网络中作为信息源的WEB服务器、用户的EMAIL服务器等的要求也大大提高，流量过大将导致服务器的失效。一种改进方法是提高服务器的性能，增加存储量，但这种方法仅仅适用较小的网址，不适用于大用户流量的、提供相对重要服务的的主机。对于这类网址我们希望多台服务器共同分担对此站点的请求，如何在几台服务器之间进行协调呢，最好的解决方案是在网络上为服务器加装LOADBALANCER。LOADBALANCER就是为它所连接的多台服务器提供流量分配的装置，同时它还可以对所连接的服务器状态进行监测。所有连接在LOADBALANCER的服务器共同具有一个唯一的IP地址叫作虚（VIRTUAL）IP地址，对于访问此网址的用户来说，他们所需要知道的只是这个虚（VIRTUAL）IP地址，在LOADBALANCER的内部有一个地址对应表，引导访问请求到后端的服务器。LOADBALANCER对流量进行分配的方法有很多种，包括ROUNDRABIN,LEASTCONNECTIONS,WEIGHTEDROUNDRABIN,WEIGHTEDLEASTCONNS,以及一些更为USERDATBASERADIUS1RADIUS2高级的算法，目的只有一个，就是将为进来的请求找一个合适的服务器CISCO的LOCALDIRCTOR提供了一种智能的、基于一种叫作会话分布算法的机制，能够发现服务器场中各台服务器当前的状态，从而选择一台可用资源最高最空闲的服务器接受当前的查询。LOCALDIRECTOR本身则充当虚拟服务器的角色，接受所有相关的查询。LOCALDIRECTOR同时支持700000个TCP会话，完全透明的支持WEB、FTP、TELNET、SMTP等协议。并提供待机自动恢复功能。LOCALDIRECTOR支持服务器的动态加入。在这种基于最优化策略的服务器选择方法中，业务流量不会盲目的轮流使用服务器而不管此时服务器的实际负载如何。负载较重的服务器业务处理能力相对较差，但在轮流服务方式下，高峰时业务流将会仍仍然源源不断的送来，使其处理能力更差，形成恶性循环；而负担较轻的服务器则一直处于比较空闲的状态，设备不能得到有效的利用。事实上，在这种机制中，ISP很难用不同性能的设备进行负载分担，在进行网络扩容时，旧的设备往往成了嚼之无味弃之可惜的鸡肋。显然，LOCALDIRECTOR则避免了这种情况，使ISP的扩容工作轻松自如。由于武汉热线的许多服务器现已趋于饱和，要提供更大规模的服务，又要保护现有投资，势必在增加新的服务器的同时需要保持原有服务器的功能。如果配以功能强大的LOCALDIRECTOR，则可以进一步保护投资，有效利用所有的服务器。由于现在的DNS服务分别有三台不同用途、不同档次的服务器负担，为了便于管理和用户使用，本期工程考虑在DNS配备两台LOCALDIRECTOR冗余备份，技术，实现DNS服务器的负载分担和一致性。3）接入模块根据2000年用户发展需求，针对“武汉热线”100，000用户量，建议扩容工程采用节点分布接入、本地负载分担的方式，以满足大用户量下对系统的要求洪山、汉口分别提供用户接入（拨号用户和专线用户）；用户数量分布按64比例，即洪山承担60，000用户，汉口接入40，000用户量；接入服务器亦按上述比例分节点提供接入，考虑到接入服务器会占用较多的交换机端口，建议单独上连至CATALYST8510交换机或直连到核心GSR，以较高的可扩展性满足大用户量增长需求；根据用户发展的实际变化，局方只需连入接入服务器即可，同时便于扩展；本地接入服务器亦可做到负载分担；专线接入可用从核心退下的CISCO7513提供。为加强各种宽带业务的发展,可直接在GSR上插ATM卡进行ATM接入,满足ADSL等多种运用。4）数据中心网络结构和安全41局域网的划分根据网络大用户量设计方案，同时考虑现有设备及子网划分情况，建议局域网的网段重新划分，各个VLAN设备情况如下VLAN1用户接入子网，包括用户接入服务器、用于用户身份验证的2台RADIUS服务器（负载分担方式），其中由于接入服务器占用较多的交换机端口，同时随用户数量的增加便于扩展（模块化设计），建议利用现有的CATALYST5000接入并上连至局域网交换机；VLAN2用户EMAIL子网，包括SMTP服务器、POP3服务器和满足60，000用户邮件需求的磁盘阵列（容量120GB）；VLAN3信息子网包括采用HA设计的WWW服务器和全网主域名服务器DNS；VLAN4包括用户管理、计费服务器，此子网放置在软件防火墙后；VLAN5全网网管服务器NMS，此子网放置在软件防火墙后；考虑到服务器的备份路由设置，可采用预留交换机端口的方式，即在两台LAN交换机上分别划分5个VALN，如果一台局域网交换机出现故障，则可方便的切换到另一台交换机上，从而保证服务的可靠性；同时，VLAN4和VLAN5的防火墙也互为冗余备份，避免意外事故的发生。42网络安全在网络主要服务器网段设置防火墙及相应安全技术，以确保用户管理/计费服务器、网管服务器和系统的安全；根据对安全技术的研究和实践经验，我们建议采用如下的基本防范措施421在用户管理、计费、网管VLAN及重要服务VLAN配置防火墙设备由于防火墙会对网络的效率造成影响，因此为了提高效率，减小由于增加防火墙结构对系统访问速度的影响，可以采用效率较高的硬件防火墙（CISCO公司的PIXFIREWALL、PIX10000等），把主要的服务器放在防火墙内部，把较次要的服务器放在防火墙外部以提供网络的运行效率。为了提高防火墙的可靠性，还可以对PIX采用冗余备份。CISCO的PIX是一种防火墙设备。PIX有效地对INTERNET网上“黑客”隐蔽客户地址。它的核心是基于适应安全算法（ASAADAPTIVESECURITYALGORITHM）保护模式。状态化的面向ASA连接的安全方法根据源和目的地址、TCP包序号、端口号和其它TCP标帜建立会话流。这些信息存储在一个表中，并且对所有进入的包跟表中相应项进行比较，只有在有效通道上的合适连接的访问是允许通过PIX防火墙的。这种设置让内部用户和未认证的外部用户透明地访问您的内部网络的同时防止对内部网络的非授权访问。基于软件的防火墙设计随着网络防火墙技术的不断发展，软件防火墙已成为目前网络安全战略的重要技术。基于软件的防火墙具有较强的可扩展性，数据传输效率有很大提高，同时软件防火墙具有详尽的记录和更多的安全控制，可以在限制用户防问权限的同时跟踪异常访问的源地址，这些优点在对WEB服务及邮件服务的防护上具有特别的意义，而且有于系统管理人员更好地维护。建议采用一些成熟的软件防火墙产品，如CHECKPOINT、SUNFIREWALL1、TISGAUNTLET等。上述两种方案各有优劣，基于硬件的防火墙效率较高，操作配置简单，用户管理和维护方便，但可扩展性不强，不能随着应用变化而有效可靠地防范；基于软件的防火墙虽然对网管员要求较高，配置相对复杂，但具有较强的可扩展性，防火墙设计灵活，数据传输效率也较高，对硬件要求相对不高，建议本期工程采用软件防火墙结构，通过对现在通用的防火墙产品的比较和选型，我们建议用目前国际上最流行的软件防火墙产品CHECKPOINTFIREWALL。CHECKPOINTFIREWALL防火墙所起的主要功能1定义和强制安全策略，实施常见服务的代理和路由过滤。2能有效的记录网络活动，产生监控报警，便于实施对入侵行为的追踪。3能有效地屏蔽内部网的信息，增加网络的安全。防火墙配置说明根据武汉热线网络现状，我们建议在重要服务子网络配置防火墙，将记费子网络（主要是认证计费和网管子网络）通过防火墙与骨干INTERNET隔离。记费子网配置双防火墙，运行热切换软件实现当单机故障时热切换。防火墙主机硬件平台建议采用SUN工作站，每台防火墙均配置四块网卡，分别用于连接INTERNET、连接热切换防火墙、连接认证计费网段、连接网管网段。将认证计费网段和网管网段隔离的目的是加强系统的安全，以避免不同级别的系统管理人员对无关网段主机的操作。我们建议配置的防火墙模块包括ESC模块。用于实现对全网中所有防火墙的集中管理，其中包括策略制定、集中监控、集中日志等。建议为市局中心子网配置一个ESC模块，安装在中心子网内的一台主机上。其他子网不再安装此模块。FW模块。此模块是CHECKPOINT防火墙的核心模块，包含了安全控制、集中认证、内容安全接口等功能。建议为两台防火墙均配置此模块。EM加密模块。主要实现在FW模块之间数据传递时的加密和解密功能。通过此模块，防火墙间可以安全地在INTERNET上传递网管、用户等数据。建议为两台防火墙均配置此模块。CONNECTCONTROL模块。主要实现多台主机（如认证服务器）之间的负载均衡。建议两台防火墙配置此模块。SEOS安全模块。主要用于加强作为防火墙的SUN工作站的安全。SEOS安全模块是CHECKPOINT的伙伴公司产品，作为操作系统的补丁，可以弥补SUNSOLARIS中的安全漏洞。建议为两台防火墙主机均配置此模块。RSC模块。主要用于通过GUI界面实现对网络中的路由器的访问控制列表（ACCESSLIST）的统一设置。目前RSC模块支持的路由器包括CISCO和BAY等。通过友善的界面，系统管理员可以非常方便的进行统一设置并下载到网络中的多台路由器中去。建议在市局中心配置一套此模块，用于全网集中管理。STONEBEAT模块。这是CHECKPOINT伙伴公司的产品，用于提供两台防火墙之间的故障热切换。当其中一台（主）防火墙发生故障时，通过此模块可以自动切换到另外一台（从）防火墙，而IP地址、MAC地址等均能由其自动接管。422基于主机的保护1）ISS产品ISS是目前业界领先的安全扫描和实时监测产品厂商。我们建议采用ISS部分产品模块实现对武汉热线主机的安全扫描以及实时攻击和非法操作监测。我们建议的ISS模块包括REALSECURE模块。用于实时监测网络中的攻击和非法操作并按照预先设置进行响应。根据REALSECURE的运行模式，需要对每个网段配置一套，而且局域网的HUB或交换机必须支持监控方式（SNIFFER方式），REALSECURE可以实时监测同网段上的TCP/IP包和各种服务请求，并按安全管理员定义的策略进行审计和告警，同时可与防火墙结合起来中断危险的网络连接。建议配置3套REALSECURE用于保护3个局域子网（认证计费网段、网管网段，多媒体制作网段）。SSS模块。用于扫描局域网络中的主机的安全漏洞，包括不安全的口令、不安全的文件属性等。建议配置一套50个节点的模块，可以对指定50个IP地址对应的主机进行扫描。FS模块。用于扫描网络中的防火墙的设置漏洞，包括防火墙所在主机的漏洞、防火墙策略的漏洞等。建议配置一套3个节点的模块，可以对3个指定IP地址的防火墙进行扫描。WS模块。用于扫描WEB服务器的设置漏洞，包括WEB服务器软件中的一些设置“BACKDOOR”等。建议配置一套10个节点的模块，可以对10个指定IP地址的WEB服务器进行扫描。2）ACE软件系统安全软件ACE为业界优秀的网络安全产品，它为单个系统提供一种更为有效的保障系统安全的手段。它能够为系统用户提供一个动态的PASSWORD,所谓动态