大型机场信息网络课程设计报告.

1、-理工大学计算机网络根底课程设计学生：王岩学 号：1130370118学 院：理工大学荣成学院 系 别：软件工程系专业班级： 计算机应用技术11-1班 设计(论文)题目： 大型机场信息网络建立 指导教师： *辉 2021年12月中文摘要进入21世纪，随着计算机技术、通信技术、网络技术为代表的现代信息技术的飞跃开展，人类逐步由工业时代向信息时代迈进，信息作为一个新兴的产业，正对国民经济起着越来越重要的作用。但是，随着技术的进步，出现了一系列网络应用、网络平安、网络控制和网络管理的难题。因此，如何从最初的网络构造设计和应用效劳部署入手，建立一个性能优越、平安稳定、扩展性强、易于管理的网络就成为许多

2、网络工作者关注的课题。本文根据机场的需求和特点，制定了网络和信息平安的技术方案和切实可行的实施方案。方案具有开放性、先进性、平安性、可管理性。开放是系统得以生存的根底。最重要的是遵循国际工业化标准，以保证系统有较长的生命周期。采用先进并标准化的技术与设备，发挥网络最正确的集成效能，保证在相当长一段时间系统整体处于先进水准。在网络设计时，需根据不同的需要进展不同的网络平安设计，最大程度地保护整个网络系统的平安。对于一定规模的网络系统来讲，网络的管理和维护性是必需的。只有通过网管系统，才能及时方便地了解网络的运行状况，提高网络运行效率，及时发现各种网络故障并迅速排除，以保障网络系统正常、高效地运行

3、。关键词网络平安 信息化 系统ABSTRACT Enters for the 21st century，along with the puter technology，the munication，the network technology for representatives moderninformationtechnology leap development，thehumanitygraduallymakesgreatstridesforwardbytheindustrytimetotheinformationtime，theinformationtookanemergingind

4、ustry，is playingthemoreandmorevitalrole to the national economy.But，alongwiththe technical progress，appearedaseriesofnetworks application，thenetwork security，thenetworkcontrolandthenetworkmanagement difficult problem. Therefore，howobtainsfromtheinitialnetwork architecturedesignandusingthe service de

5、ployment, constructsthenetwork whicha performance superior，safestable，thee*tensionstrong，is easytomanageto beethetopic whichmanynetworksworkers paysattention.This article according to thedemands and characteristic of airport, the scheme of the network and security of information are designed. The sc

6、heme has the characteristic of open, advanced, secure, and administrable. Open is the foundation for the system to operate, the most important is to conform to the International Industrializations Standard, this will keep the system has long life cycle. Using the latest device and technology can ens

7、ure the whole system to be advanced in a long time. In the network design, we will design any network according to the security demand of different network. Maintenance and management of the network are necessary for some network system of certain scale. Only uses the network manager system, we can

8、quickly learn the status of network, enhance the network efficiency, find any network failure and solve the problemKeyword：Network, Security， Information， System 引言进入21世纪，随着计算机技术、通信技术、网络技术为代表的现代信息技术的飞跃开展，人类逐步由工业时代向信息时代迈进，信息作为一个新兴的产业，正对国民经济起着越来越重要的作用。“信息化已成为一个国家经济和社会开展重要方向。办公自动化作为信息化过程中一个重要的组成局部，为社会的

9、开展和进步提供有力保证。随着计算机及网络技术的开展，办公自动化己成为信息化建立的趋势。但是，随着技术的进步，出现了一系列网络应用、网络平安、网络控制和网络管理的难题。因此，如何从最初的网络构造设计和应用效劳部署入手，建立一个性能优越、平安稳定、扩展性强、易于管理的网络就成为许多网络工作者关注的课题。1 前言在民航开展“十五方案中,信息化建立被列为三大建立重点之一，机场的网络根底建立是集成整合民航各个信息系统，开发各类应用的平台，是信息化建立的根底工程。网络根底建立的程度与优劣对提高民航信息化整体水平和民航企业核心竞争力将产生重大的影响。国的大型机场经过多年的规划建立已经完成大局部的根底工程，而

10、中小型机场由于认识、资金等方面的原因，在网络根底建立上和各大机场有着明显的差距，所以加强对中小机场信息化现状、需求研究十分必要。2. 企业案例分析大型机场属于国际机场股份公司，该机场有网络中心、机务、候机楼、办公楼、安检、客户中心、动力中心、消防、货运、宾馆等下属部门或分支机构。网络建立包括以下五个局部：构建机场、公司核心网网络平台，实现机场核心网网络平台与公司核心网网络平台之间的互联互通；在核心网上建立视频会议系统、电子系统、虚拟 、门户系统、IP系统、IP TV系统、视频点播系统；建立信息网信息发布、交换和信息共享应用平台，以及实现VOIP以及VPN功能。故而要骨干网络拥有1000M网络带

11、宽。交换机、路由器、防火墙及其他系统均选择主流设备及系统。与原有的网络设备兼容，并实现集中统一的管理；为场各单位效劳。3 网络系统设计原则和需求分析3.1 需求分析工程工程的前期调研人员经过仔细的市场和用户调研，总结的需求分析如下：1、网络系统中心应在机场计算机信息管理中心。2、整个网络采用先进的网络构造，以满足传输、存储和处理数据、等信息的需要。3、各应用单位通过机场计算机信息中心和INTERNET接通。4、满足网上的集成办公系统和电子商务业务系统的需求。5、完整统一的系统管理平台。3.2 设计原则1先进性计算机技术的开展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬

12、件要预测到未来开展方向，选择软件要考虑开放性，工具性和软件集成优势。网络要考虑通信开展要求，因此，主要设备和关键设备以进口为主，但国能满足要示的，尽量采用国产设备。2实用性系统的设计既要在相当长的时间保证其先进性，还应本着实用的原则，在实用的根底上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字，图形处理功能。4可伸缩性系统规模及档次要易于扩展，可以方便地进展设备扩大和适应工程的变化，以及灵活地进展软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向开展，其目标是将不同

13、机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通信协议要符合国际标准，为将来系统的升级、扩展打下良好的根底。(3)可靠性网络的可靠性要求高，采用容错技术或设备级的备份保证网络系统的正常工作。用户的需求包括了用户当前的业务要求和未来业务的要求。任何一个系统都不可能永远不变，因此建立网络系统时，应该充分考虑系统可能的开展情况，使系统在较长的时间适应技术开展的要求。(4)可管理性由于机场维护人员数量有限，因此需要易管理、易维护的网络系统。网络管理基于SNMP，利用图形化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。网络日常的维护和操作要直观，

14、便捷和高效。设备尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。4 拓扑图及方案整体描述和实现41主干网方案设计本方案的总体设计思想是以机场信息通信应用需求为指导，力求为机场提供一个平安、先进、灵活、高带宽、高可靠性的多业务网络平台。使行核心网能够基于这个平台，实现机场与公司、机场各个部门、各个机构之间平安高速的数据共享，尽可能地简化信息通信流程，提高通信效率，并为今后的新业务开展打下良好的根底。为保证多种基于宽带的效劳和新型IP技术效劳，本方案将从多种业务效劳的角度出发，建立多层次的效劳业务平台。经过比较，机场网络决定选用了华为3 CISCO系列网络产品，整个网络系统将覆盖机务、

15、候机楼、办公楼、安检、动力中心、消防、货运、宾馆等，其网络总体构造由核心层、会聚层与用户接入层等组成的三层构造。4.1.1 核心层网络核心层及骨干均采用目前先进并且成熟的ATM技术组建；选用的产品是2台CISCO S8512万兆核心以太网交换机构建。CISCO S8500系列万兆核心交换机基于新一代核心交换机的设计理念，具备大容量、高可靠、高性能、可扩展能力强和业务与性能兼具的特点。CISCO S8500置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量，提供完善的QoS保障、平安管理机制和电信级的高可靠设计，满足了机场核心网络对多业务、高可靠、大容量的

16、需求。同时CISCO S8500系列支持新一代高性能万兆接口，为机场园区网、数据中心也提供了超高速链路扩展的能力。4.1.2 用户接入层接入层为用户提供在局部网段互联网络的能力，直接与桌面计算机接入，其采用CISCO S3200系列交换机，它能提供高密度的用户接口，采用了华为3 CISCO S026C平安智能二层以太网交换机，CISCO S3000系列智能二层交换机提供了二到七层的智能的流分类和和完善的效劳质量QoS，实现完备的业务控制和用户管理能力，非常适合作为关注业务管理控制和网络平安保障能力的机场网络接入层交换机使用。4.2Internet网络与公司互连 核心节点交换机通过硬件防火墙加路

17、由器的方式与Internet网络相连及公司公司部门相连，防火墙配置VPN功能，通过防火墙上的VPN功能，本网络与机场股份公司在市区的单位及其他相关单位连接，即提供虚拟专线连接；通过路由器提供网与Internet网络的连接及驻场单位与Internet网络连接。 机场互联网出口路由器采用了CISCO AR46-40智能业务中心路由器，CISCO AR46系列智能业务中心路由器秉承“业务与性能并重、业务平滑演进的设计理念，是面向全业务、开放的业务模型而开发的新一代智能业务路由器。CISCO AR 46系列路由器同时具备华为3公司高端和中低端路由器全面的业务能力，包括完善的路由、MPLS、VPN、组播

18、、语音、平安、QOS、IPv6、宽带接入、三网合一等业务能力；所有业务均针对用户核心环境进展了优化设计。网络拓扑图4.3子网划分与VLAN设定4.3.1部网和直属单位的连接通过CISCO路由器与直属单位进展信息交流，把部网与直属单位的部网络LAN连接起来。分别通过一台CISCO路由器2610走 DDN把机场消防部等直属单位连接到机场计算机信息中心。4.3.2提供Internet用户使用DDN专线把机场的办公楼、机务等直属单位连接到该机场的计算机信息中心，机场的用户大楼、消防部等机构则通过机场计算机信息中心的PRO*Y效劳器接入Internet，机场用户大楼中的用户还可以查询市机场计算机信息中心

19、主页信息及电子商务等在的主页容。4.3.3IP地址规划机场使用的是由ISP提供的合法IP地址段及域名，围为5/290/29；机场私有地址分配，采用的私有保存地址块，按地理位置、部门来划分，并遵循IP地址规划原则，进展统一分配。通过PI*将映射部效劳器、WEB效劳器成Internet地址.机场IP地址规划表单位ID单位名称IP子网空间VLAN IDIP数1网络中心/242542办公大楼/242653机务/242454候机楼/2440405安检192.168

20、.50.0/2450406客户效劳中心/2460607动力中心/2411208消防部门/2412259货运中心/24132410宾馆/2414115a. 设置IPb. 设置vlanc. 添加成员到vlan1.vlan24.4效劳器及操作系统平台效劳器系统的规划机场设有效劳器和PRO*Y效劳器，用HP NETSERVER LH6000做效劳器，PRO*Y 效劳器则用*eon5500 系列。规划后有效劳器、PRO*Y效劳器、EMAIL效劳器、数据库效劳器、托管效劳器五台独立的效劳

21、器，分别连接到机场计算机信息中心的中心交换机上。效劳器作为各种应用的平台，它为用户提供了各种办公自动化以及Internet/ Intranet效劳。而且，作为C/N构造的核心，它既是一个完备的数据中心，还是一个全面的管理中心。为了提供给用户功能强大的Intranet效劳，实现Internet和Intranet的互连，实现信息的高度共享和信息的不断更新。在机场络信息系统的建立中除了数据库效劳器之外，我们还配置了功能完备的效劳器。如何选择最正确的效劳器配置方案、最大程度地发挥效劳器的性能特点是一个网络系统建立成败的关键。效劳器选型原则效劳器的选型主要依据系统规模的大小，重点有以下几方面：1)多台效

22、劳器并行处理，提高了系统的运行和响应速度；2)所支持的网络工作站数量3)所处理的数据总量4)对网络及软件的要求5)对速度的要求6)系统管理的要求7)应用支持的要求8)扩展性要求9)产品性能稳定，经过市场长期的考验10)能支持多种通讯协议，具有异种机互连的能力11)具有很高的平安性12)具有众多软件系统开发商的支持13)具有简单的升级方案14)简易的管理及维护操作15)系统的开放性16)系统的性能/价格比17)生产厂商的技术支持4.5应用分析 数据库效劳器数据库效劳器作为系统的最根本的数据之源，必须具有优秀的性能、高度的可靠性、良好的稳定性、海量的存储能力以及高度的容错性，要无条件地保证数据的完

23、整性和系统的长期可靠地运行。 效劳器效劳器是用来向外界用户提供信息资源的窗口，企业可以在这里发布新闻、介绍企业动态以及提供最新信息等，用户可以通过效劳器提供的超文本信息来获取有用的资料；同时，通过Internet的互连作用，可以宣传企业形象，提供企业声誉和影响。作为企业对外的窗口，效劳器要求具有较强的适时性和稳定性。4.5.3 PRO*Y 效劳器PRO*Y 效劳器是用来作为用户INTERNET的出入口，可以通过PRO*Y 效劳器的管理、控制用户对INTERNET的。 E*CHANG 效劳器E*CHANG 效劳器用来做为公司、外网络使用的效劳器。4.5.5 托管效劳器托管效劳器主要为今后的开展而

24、建立4.6效劳器平台效劳器平台比较目前，在应用业务方面存在着两种典型的效劳器配置平台：微机效劳器采用NT操作系统和小型机采用Uni*操作系统。它们在性能、价格方面分别具有自己的优势和特点。首先，在硬件方面，高档微机效劳器一般都采用Intel公司的奔腾系列处理器，产品更新速度较快，部构造简单，易于维护管理。Uni*小型机采用精减指令集计算RISC处理器，浮点运算能力较强，扩展性好，能支持较多的外部设备，适合于大型的企业级应用。但近年来随着计算机技术的迅速开展，微机效劳器在性能和处理能力方面越来越先进，在许多应用方面可以完全取代小型机。在操作系统方面，小型机都采用Uni*操作系统，并行处理能力强，

25、具有开放性特点。而微机效劳器则采用Microsoft公司的Windows NT作为操作系统，与Windows 98具有相似的界面，操作直观、简单，适合用户使用，管理、维护也比较方便。小型机在价格方面一般都比同档次的微机效劳器要高。根据目前效劳器市场的厂商技术分析和机场的实际需求，建议选用HP NETSERVER LH6000实现效劳器.HP LH6000性能分析HP LH 6000是惠普公司推出的功能强大、可用性高的企业级效劳器，具有六向对称多处理SMP功能的Pentium III处理器,能为繁忙的企业网络提供无与伦比的性能,使用双PCI成对总线,双Ultra SCSI控制器以及多达216GB

26、的存储量.它还具备RAID双路与故障恢复启动功能,使网络保持运行状态。它具有置扩大性，使机场信息网能根据需要优化系统，并在以后逐渐扩大。1、可扩大的超级效劳器性能：保证了机场未来的开展需求6路Pentium III对称多处理器SMP,能支持高达4GB的过失校验ECC存储器；专用高速缓冲存储器-每个处理器512K/1GB；共有12个I/O插槽-没有一个是共享的；双PCI对等总线实现全面最高值的I/O；12个热交换拖架，能支持多达216GB的部存储功能。2、最正确的系统开机时间和数据保护功能：保证了机场网络系统的稳定性和平安性具有能报告错误的ECC存储器；容余风扇以减低因风扇故障而引起的故障时间；

27、存储洗涤以减低会造成系统发生故障的软错误置自动效劳器重新启动ASR、温度和电压监控附有SCSI底板的热交换存储子系统以实现部磁盘的双工模块化热交换冗余供电减低由于供电故障所造成的系统故障时间3、系统管理工具：简化了系统管理人员的效劳器管理和维护工作HP NetServer导航器可引导CD-ROM光盘备有易于使用的工具以配置、安装和管理HP NetServer LH6000。HP NetServer辅助效劳器管理软件可实现主动的警告提示及解决问题用于Windows网络管理软件的HP OpenView可实现网络映像、报警管理和平安保护功能供选择的HP远程辅助卡可让您从远程进展系统诊断和环境监控4.

28、7配置描述根据目前效劳器市场的厂商技术分析和机场的实际需求，我们在这次规划中选用了一台HP NETSEVER LH6000作为效劳器。我们为HP NETSEVER LH6000效劳器配置了三块18GB的热插拔SCSI硬盘，增加了265M的存，它们采用RAID冗余构造，保护了数据的平安性。将来数据量增加时，HP NETSEVER LH 6000效劳器还可以再配置块置硬盘，完全满足了系统今后的存储要求。为了保证效劳器数据的平安性，防止系统遭受意外打击所造成的消灭性破坏，我们为效劳器配置了一块磁盘阵列卡。这样，我们可以建立不同等级的RAID冗余方式，当效劳器中任何一块磁盘发生物理故障或其中任何一块数

29、据被毁坏时，都可以通过RAID方式提供的校验位和冗余信息对被毁坏的数据进展恢复。操作系统平台操作系统选用Windows NT4.0中文版，它操作与管理都非常简便，支持围广泛的重要商务应用程序和一系列丰富的开发工具。是一个真正的32位的操作系统，是PC效劳器操作系统平台的最正确选型，它具有如下优点：高性能的客户效劳器应用平台网络平台管理工具TCP/IP效劳主机连接远程效劳快速、简易安装与配置高的平安性高容错性多种备份目录效劳支持多种文件系统平安技术由于机场连入Internet，为用户提供各种信息效劳。资源共享和开放是Internet特点，所以Internet的平安机制很松散；而机场网络信息系统要

30、求有较高的平安性，其部的许多数据和文件严禁未经授权的。因此，设计与开发保证部各种信息的平安机制是实现该网络顺利运行的关键。Internet上的平安技术可分为三局部：系统平安、信息平安和网络平安。系统平安系统平安保证一个主机系统的平安，主要包括主机系统的密码平安、重要效劳器如SendMail、FTP和数据库等大型应用系统的平安。本建议在主机系统和数据库系统的选型上，已经充分考虑了系统的平安性。另外，Internet上提供了很多实用的工具来加强系统的平安，比方Crack程序，它本是一个系统密码的破译工具，但可利用它来寻找系统上较脆弱的密码；npasswd是一个经过完善的系统工具，使用它可增加用户密

31、码破译的难度。系统越复杂，其缺点和漏洞就会越多，比方著名的蠕虫病毒就利用了系统Sendmail程序的漏洞，为了加固大型应用系统的平安，Internet上有很多专用的站点来发布这些系统的平安漏洞及bug，从而改进平安措施。系统平安性包括两方面的容：系统运行平安性和数据信息平安性。其中，系统运行平安性主要指计算机、网络设备的可靠性与稳定性。设备可靠性 在机场网络信息系统的建立中，我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用效劳器。所选用的设备都是两家公司的高可靠性产品之一，所有部件支持热插拔功能，可以通过在线维修和硬软件现场升级而不影响系统的正常运行。为了发挥网络设备的最大性能

32、，对整个系统进展有效的监控和管理，我们选用了CISCO公司强大的网络管理软件CISCOWORKS WINDOWS，它具有发现并排除故障的功能，这也保证了系统的正常运行。数据信息平安性主要涉及一个计算机系统的平安管理政策，根据这一政策设计和实现的网络平安管理系统，可以管理网络构造的不同层次，从根本网络功能到网络应用系统功能。在机场网络信息系统中，我们采用了六级平安机制：路由器级包过滤、硬件防火墙级、网管级、操作系统级、数据库级、应用级，涵盖了从物理层到应用层的所有围。路由器级 第一道防火墙采用Cisco2610路由器实现包过滤，完成系统的控制功能，屏蔽掉关键效劳器的MAC地址，制止外部对部*些重

33、要主机的，同时制止部对外部*些站点或网络的。防火墙级 系统采用Cisco公司的最新的防火墙产品PI*520，它是一种硬件解决方案。主要优点在于，比其它防火墙方式更平安有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。PI*具有双以太网口部网与DMZ各一个；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制部对外的。网管级 利用CISCO公司CISCOWORKS WINDOWS 的网管功能，划分VLAN。可以将不同处室的终端分配到不同的网段上，在优化网络流量的同时，也限制了用户对其它网段的。操作系统级 我们选用Windows NT作为效劳器操作系统，它采用了增强的平安措施，通过登

34、陆认证、用户授权、信息加密等平安机制限制了用户对关键数据的非法操作。数据库级ORACLE ORACLE支持维护管理数据库效劳器、各种数据库设备，对象( 包括表 )，用户及拥有的权限等，建立具有不同权限的多种类型的用户组，并能对用户进展分组授权。ORACLE完全满足NCSC的C2级平安标准，并早已通过相应的标准测试，在B1级的操作系统上，ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。网络平安网络平安的主要技术是防火墙技术Firewall，防火墙技术的核心思想是在不平安的网间网环境中构造一个相对平安的子网环境。目前其实现方式有两种，即基于包过滤Packet Filter的防火墙和

35、基于代理Pro*y的防火墙。包过滤型防火墙处在网络层，根据IP包的信息来对信息的进展控制，而IP包的主要包括以下信息：IP包的源地址、目的地址、包类型、端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层，可对IP地址和发生在该IP地址上的具体应用进展控制，由于它能识别应用协议，因此可对应用的整个过程进展控制，比方在应用建立时的密码验证、在FIP应用中允许*站点get而不允许put等等。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被制止的就是允许的这一策略，在它失效时，网络是畅通的，这时部网

36、络将失去平安的屏障，而应用层防火墙采用“没被允许的就是制止的这一策略，在它失效时，部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙平安。大多数路由器均支持包过滤功能，比方在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能：制止外部网络对部网络的*些重要机器的，制止部网络主机对Internet上局部站点的；并可利用端口号来选择控制的应用协议，比方TELNET的端口号为23、FTP的端口号为21、的端口号为80等，这样就可以设置一些较复杂的规则，比方可以允许*台机器对Internet具有Email功能，却不能利用和FIP等。基于包过滤防火墙的商业产品主

37、要有Sun公司的SunScreen和Check Point公司的Firewall-1，SunScreen在硬件上采用一个不带显示器的Sparc2工作站，并在其上插了四块以太网卡，在软件上利用改造过的、更平安的专用于防火墙的操作系统，SunScreen的四块网卡均无IP地址，可实现两路透明的桥接过滤功能，因此它相当于一个黑盒子，用户无法检测到它的存在，同时SunScreen又是一个具有硬件加密功能的设备，可实现平安的私有网络SVPN；Firewall-1也是基于包过滤的防火墙的产品，除了完成包过滤功能外，还具有对局部应用协议的识别功能，比纯包过滤产品更平安。此外，Internet上也有很多免费的

38、包过滤软件，比方基于PC DOS环境的Kbridge和Drawbridge等。Internet的平安代理效劳器软件主要分为两种：一种直接利用原有TCP/IP应用的客户，比方Uni*系统的telnet、ftp应用等，在这种方式下，用户想Internet时，比须先登录到代理所在的工作站上，然后才能；另一种方式是利用与代理效劳器配套的客户软件，这种方式在Internet时不需先登录到代理效劳器软件的典型代表分别是：TIS公司的FWTKFireWall ToolKit和SOCKS。FWTK效劳器由一组代理效劳组成，包括FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等，由于F

39、WTK软件是一种应用层的代理软件，因此，对应于每一个应用都需要一个代理。FWTK软件具有灵活的控制手段和详细的记录功能，它的源码可在Internet上免费获得。4.7.5信息平安信息平安是一项十分敏感的问题。由于Internet上有许多可用来做！的工具，比方snuffer等，因此明文信息在Internet网上传输是不平安的。TCP/IP协议本身不提供任何信息平安方面措施，因此必须另外开发。目前，Internet上的信息加密有两种途径：基于IP层的信息加密和基于应用层的信息加密，基于应用层的信息加密是传统的方法，用户在发送信息前，利用加密工具先将信息加密，然后才发送出去，接收方可利用相应的解密工

40、具复原信息；基于IP的信息加密是Internet上的一种新技术，它对IP包进展加密，对于应用层的用户来说是透明的，用户无需在传送数据前进展加密，数据的平安是通过IP层自动实现的，但是这种应用要求发送方和接收方采用同样的技术、同样的产品，目前已有采用这种技术的产品出现，比方Sun公司的防火墙SunScreen就具有此功能。利用基于IP包的信息加密技术可在Internet上实现平安的私有网络SVPNSecure Virtual Private Network。信息加/解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系，单密钥的加密体系在加密和解密时采用一样的密钥，如著名的加密算法DES；

41、双密钥的加密方法又叫公开密钥的加密方法，加密和解密时采用不同的密钥，即公开密钥和私人密钥，如著名的RSA算法。这两种加密体系在Internet都得到了不同的应用。比方Uni*系统的用户密码password就采用DES算法；而信息加解密工具PGPPretty Good Privacy采用了公开密钥的加密方法。PGP是1991年由美国学者菲利普 "齐默尔曼率先提出的信息加密方案，广泛应用在电子中。他把公开密钥和分组密码组织在一个系统之中，公开密钥选用了RSA算法，分组密码选用了IDEA算法。前者用于密钥管理，后者用于信息加密。PGP的密码长度可达512、1024或2048位。它除了可完成

42、信息加密之外，还具有平安的数字签名和身份验证功能。4.7.6如何实现防火墙每一种不彻底公开的部网络与Internet最大的区别是平安性，网络建成后，部网与公共网之间将实现单向控制，通过防火墙进展隔离。防火墙技术是实现网络平安的重要保证。它可分为两种，即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PRO*Y)的应用级防火墙。这两种防火墙各有优缺点，在一般的部网防火墙构架中，综合利用了这两种技术，下面是整个防火墙系统的介绍：第一道防火墙采用CISCO路由器实现包过滤，完成控制功能：制止外部对部*些重要主机的，同时制止部对外部*些站点或网络的。第二道防火墙采用一台工作站来充当代

43、理效劳器，实现部网对INTERNET的，同时实现隔离功能，制止外部网络对部网络的。在外部网与部网之间为中间非军事区(DMZ)，在这个区域里的主机与Internet直接相通，因此不用来存贮较敏感的数据，是一个过渡区域，由于代理效劳器要求直接INTERNET，因此代理效劳器也放在这一区域。防火墙方案是采用CISCO公司的最新的防火墙产品PI*520，它是一种硬件解决方案，主要优点在于，比其它防火墙方式更平安有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。PI*具有双以太网口部网与DMZ各一个；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制外问。5 系统主要设备清单及报价表一为

44、网络通信系统的主要设备清单及报价，报价单位为美元USD，价格为FOB US：表一：序号名称报价数量金额成交价1Cisco 7204-Base Unit(4slot, 1 AC Power)6,000.0016,000.00-Network Processor Modules,200MHZ9,750.0019,750.00-Input/Output Controller with Fast Ethernet PorT3,750.0013,750.00-FastEthernet Module(1 port 100BaseT)3,750.0013,750.00-Serial Interface Processor(4 Port)6,750.0016,750.00- Serial Cable150.004600.00-Router Software(IP) & WAN Packet Protocols Licence8,100.0018,100.00Cisco 7204 Spare Part-Cisco 7204 Power Supply Spare4,500.0014,500.00 小计43,200.00261