计算机网络方案设计报告书

计算机网络方案设计报告计算机网络方案设计报告目录1、绪论 32、网络设计目标与原则 32.1设计目标 32.2项目设计原则 42.2.1基本原则

42.2.2设计原则

42.2.3、选型原则

53、需求分析 53.1网络需求分析 53.1.1主干网类型 53.1.2主干网交换机 63.1.3软、硬件需求 6

3.1.4资源需求 63.2应用需求分析 63.2.1信息流分析 63.2.2应用业务分析 73.2.3用户需求分析 83.3功能需求 94、总体设计 104.1系统拓扑结构 104.2IP规划与VLAN 104.3核心层设计（设备选型） 124.3.1、核心层交换机QuidwayS6506 124.3.2、汇聚层交换机QuidwayS5516 144.3.3、接入层交换机QuidwayS3526 154.3.4、服务器IBMSystemx3850X5(7145I19) 164.3.5、防火墙USG2210 174.3.6、路由器华为AR1220—s 194.3.7、传输介质的选择 204.4汇聚层设计 204.5接入层设计 204.6服务器分配与设置（选型） 214.6.1服务器选型原则 214.6.2具体服务器类型推荐 214.6.3E-Mail服务器 214.6.4FTP服务器 224.6.5WEB服务器 224.7系统安全体系设计 225、综合布线设计 235.1综合布线系统概述 235.2设计依据 245.3布线系统选型 24结束语 24参考文献 251、绪论进入二十一世纪，全世界正在掀起全球信息化的浪潮，世界各国都把推进信息化进程，发展信息产业作为推动本国经济发展的新动力。信息化已是世界各国发展经济的共同选择，信息化程度已成为衡量一个国家和地区现代化水平的重要标志。作为改革开放的中国，我们也已经紧跟这股浪潮正在进行一场信息革命。计算机技术、通信技术、信息技术很快地深入到我们生活的各个方面，随着新技术的应用和普及，这场全球性的信息化浪潮正深刻地改变着人们的传统观念、生活方式乃至整个社会的产业结构和社会结构，这同时我们也在生活和工作中体验到了新技术带给我们的种种便利。随着计算机网络技术的飞速发展，计算机软件也日新月异与日益成熟。2、网络设计目标与原则2.1设计目标（1）满足公司对信息化建设不断增长的需求，开展计算机辅助工作和建立网上公司。（2）为员工对外联系交流、查询、网络工作创造条件，通过网络密切与国内外的贸易联系，提高公司的工作、科研水平。（3）使外界了解公司的改革发展情况和有关的规章、制度。向社会发布产品、以及工作经验的信息（4）建立基于网络的各种信息管理系统，实现公司工作和办公自动化及无纸办公。2.1.1工作方面

利用现代化的技术设备和多媒体的工作手段形象直观地进行工作讲解，能增强员工的学习兴趣和理解水平，从而提高工作质量和员工品质，促进贸易水平提高；

提供高速、方便的信息交流和资源共享等手段；

提供远比书本知识更为广泛的内容，扩大员工与外界的联系，开阔视野，增进交流；发展远程公司，克服地域和公司规模的限制，适宜于有分支的公司机构实现资源共享。

2.1.2管理方面

统一管理公司资源，如员工档案、工作资料、考核成绩、各种器材等；

实现办公自动化，增强各部门协调能力，提高工作效率。其他方面还可以管理公司财务以及员工上、下班情况的管理2.2项目设计原则在公司网的组建过程中，技术先进性、产品可靠性、系统可管理性和可扩展性都是网络设计者必须考虑的因素。但是，公司公司经费相对紧张，如何充分利用有限投资，在保证网络先进性的前提下，选用性能价格比最好的设备，是各个公司特别关心的问题。为此，公司网建设应该注意的三项原则。2.2.1基本原则

首先，公司主干宜采用具有第三层交换功能的千兆位以太网，以满足广大用户的各种要求。其次，网络支持IP多播（Multicast）、服务质量（QoS）或服务类型(CoS)，以满足远程公司的需求。最后，支持虚拟网络（VLAN）功能。

2.2.2设计原则

1、先进性

以先进、成熟的网络通信技术进行组网，支持数据、语音、视频等多媒体应用，用基于交换的技术替代传统的基于路由的技术。

2、标准化和开放性

网络协议符合ISO或IEEE、ITU-T、ANSI等制定的标准，并采用符合国际和国家标准的网络设备。

3、可靠性和可用性

选用高可靠的产品和技术，充分考虑系统运行时的应变能力和容错能力，确保整个系统的安全与可靠。

4、灵活性和兼容性

选用符合国际发展潮流的标准软件技术，保证系统具备较强的可靠性、可扩展性和升级性，确保系统能够与现有各厂商的网络设备、小型机、工作站、服务器和微机的互连。

5、实用性和经济性

兼顾网络的实用性和经济性，着眼于公司的近期目标和长远发展规划，利用有限的投资构造性能价格比最高的网络系统。

6、安全性和保密性

接入Internet时，保证网上信息和各种应用系统的安全。

7、扩展性和升级能力

支持多种网络协议、多种高层协议和多媒体应用。网络的构造设计应具有良好的可扩展性和升级能力，以备将来进行网络升级扩展时能保护现有的投资。

8、可管理性

网络管理基于SNMP，支持RMON和RMON2以及标准的

MIB，能够利用图形化的管理界面和简捷的操作方式，合理地进行网络规划，并提供强大的网络管理功能。一体化的网络管理功能将使网络的日常维护和操作变得直观、便捷和高效。

2.2.3、选型原则

随着技术的进步，各种应用对网络带宽的要求越来越高。在目前的公司网建设中，主干网应选择千兆以太网，10M/100Mbps自适应或10Mbps交换到桌面。3、需求分析3.1网络需求分析为提高网络可靠性及安全性，需要在主干网采用光纤布线。公司网应实现虚拟局域网（VLAN）的功能，以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度，整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为公司网主干。公司网应选用先进的网管软件，建立完善的网络管理体系。在设备方面，应选择有公司网成功案例的网络厂商的设备，同时为Internet、拨号用户和移动用户提供接口，网络还应具有良好的扩展性。根据公司网的实际需求及用户的投资承受力，对公司网网络系统的需求分析如下：3.1.1主干网类型从目前公司网应用的情况来看，公司网主要的性能受到交换机包交换能力的影响；从网络传输性能来看，ATM应用还不够成熟，而快速以太网和千兆位以太网因其具有性能可靠、符合国际标准、可支持设备多、易扩充等特点，因此采用100/1000Mbps以太网作为公司网光纤主干是性能/价格比最高的选择。为了充分发挥公司网主服务器群的作用，采用高速线路与服务器连接（千兆位以太网），从而保证了服务器具有足够的带宽为网络上的用户提供良好的服务性能。3.1.2主干网交换机由于公司网的主干网承担了整个公司的网络包交换、子网划分、网络管理等重要任务，因此应采用具有三层路由功能、包交换性能高的交换机作为主干网的节点机，它们分别分布在厂房、宿舍、行政楼。主交换机需采用数据吞吐能力不低于7Gbps的交换机，以便使网络系统的中心交换能力有可靠保证。3.1.3软、硬件需求硬件是架构公司网的基础,选择硬件产品时，需要选择兼容性好、扩展性强的设备，并且在选择过程中综合设备的性能价格等多方面的因素，而且该设备厂家必须能够提供良好的售前及售后服务，解除用户的后顾之忧。比如对中心设备一定要采用性能稳定、功能强大、安全的网络设备，服务器等存储设备也要采用高性能设备；还有在特定区域，如象图书馆等可能有大文件、图片等数据需要传输的地方也要应用性能较好的设备。

软件包括系统和管理两种，公司应根据自身考虑来选择适合自己的软件。

3.1.4资源需求公司网资源建设是公司网最重要的组成部分，它的类型与功能是公司网区别于其他企业网的重要特征，对公司资源的分析是我们建设公司网的出发点，也是一个公司真正的需求所在，应用策略也要根据这方面的需求来选择。比如vlan的划分需要根据内部资源来定，安全问题则是外部资源需求要重点考虑的问题。3.2应用需求分析3.2.1信息流分析在公司网中发生的信息流主要包括三个部分：内部过程信息流和管理过程信息流和Internet信息流。内部过程数据流大多为多媒体数据，包括高质量的图像、图形、数据、实时话音和视频流传输等。管理过程信息流包括：内部教务管理信息流和行政办公信息流。内部教务管理信息流通过在公司网上运行的综合信息管理系统，公司的内部管理和日常的管理实现办公自动化，如员工档案管理、人事管理、财务管理、固定资产管理等，同时可在网上进行信息发布。Internet信息流主要建立在宽带、结构简化、综合业务应用齐全的IP基础网上或区域培训城域网上，提供培训城域网或广域网资源信息的传递和共享。此类数据流为载有语音、数据和视频信息的IP流。3.2.2应用业务分析公司网络作为一种在应用的局域网，有其特定含义和应用范畴，概括起来有四个方面的典型应用：

公司网是为员工工作活动服务的，是一种工作工具。公司网不但是员工与他人之间的交流工具，同时也是工作资源（内部资源库）的提供者，有利于员工进行探索式工作和协作工作。

公司网是为员工的内部、科研活动和培训服务的，如提供内部资源、辅助员工工作，参与公司内部活动和支持员工再工作活动等。

公司网是为公司培训内部管理服务的，如辅助公司的内部教务管理、员工档案管理、人事档案管理、财产管理等。

公司网是沟通公司与外界的窗口，利用公司网既可以从公司外获取各种培训信息，也可以向外发布各种培训信息。网络应用统计表应用名称应用类型是否为新应用重要性备注InternetExplorer网络浏览是重要OA办公办公自动化是重要收发邮件电子邮件是重要传真Internet传真是重要数据共享数据访问／更新是重要文件共享文件传输／访问是重要员工考勤人力资源管理是非常重要远程内部培训是非常重要3.2.3用户需求分析应用范围广：应用的广度和深度空前广泛和深刻应用方便：当代网络的设计集中体现了人性化的设计，外形美观大方，操作简单，管理有效，使用灵活方便。易于扩展：当代网络应用的方式和规模呈现出一种跳跃性扩展，网络拓扑结构和网络策略方案设计必须是模块和设计，提供易于扩展的功能。多媒体公司网已超出了传统局域网能覆盖的范围，涉及到局域网互连技术，网络层次较多。职能不同的部门分布在不同的地理位置上，需进行子网划分，以便于管理。多媒体公司网采用星型拓扑结构。核心是主干网，周围是各个子网，子网向下连接工作组网，工作组网向下再接基层网段。计算机根据功能和配置的情况，可以连接到不同的网络层次。主干网必须有大的带宽和很强的中心交换处理能力。子网相对独立，在主干网会接处形成字网边界。支持远程访问。多媒体公司网络的整体功能模块包括：多媒体大厅，多功能演播厅，电子阅览室，电子工作系统(可选)，VOD点播系统(可选)，多媒体公司网管理办公系统。在已建成的多媒体公司网络上，员工们可以畅游互联网，获取源源不断的内部资源，进行信息交流，员工可以进入丰富的多媒体公司；还可以实现本公司的内部管理；利用多媒体公司网平台上共享的各种资源进行多媒体电子工作等内部服务。公司信息点分布与应用：建筑物归属部门信息点主要应用行政楼销售部100资源共享，internet服务，OA办公财务部100人力资源管理，internet服务，OA办公大客户中心客户服务部100OA办公，资源共享，internet服务行政部100OA办公，资源共享，internet服务人事部100人力资源管理，internet服务，OA办公技术部100软件应用与开发，OA办公，资源共享，internet服务市场部100资源共享，internet服务总经理办公室100人力资源管理，internet服务，OA办公员工宿舍员工部200资源共享、internet服务等厂房180资源共享、internet服务等280资源共享、internet服务等380资源共享、internet服务等3.3功能需求资源共享功能：网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能。通信服务功能：最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。多媒体功能：支持多媒体组播，具有卓越的服务质量保证功能。远程VPN拨入访问功能：4、总体设计4.1系统拓扑结构上海公司网由网控中心、主干网和各楼内的网络组成。整个公司网采用全星型结构,为快速交换以太网,网控中心设在公司总办公大楼二楼,主干网传输介质采用光纤链路,通过光缆将培训和办公楼群与公司主干网相联。如下图:4.2IP规划与VLANVLAN技术允许将一个网络的物理的LAN逻辑划分成不同的广播域。一个VLAN内部的广播和单播流量被限制在本VLAN之内，不会转发到其他VLAN中，这有助于控制流量、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访。虚拟局域网的好处是可以限制广播范围，是一种比较成熟企业组网规范，在本案例中我们可以利用它划小网络特点，我们可以进一步监控网络，就算IP冲突产生，也轻易知道它发生在哪个部门（若VLAN划分以部门为依据）上海分公司VLAN及IP规划表VLAN子网名称物理位置IP范围网关1行政楼销售部~992财务部~99大客户中心客户服务部~993行政部~99人事部~994技术部~99市场部~995总经理办公室~992员工宿舍员工部~2003厂房1厂房~794厂房2厂房~7905厂房3厂房3~7914.3核心层设计（设备选型）4.3.1、核心层交换机QuidwayS6506属性S6506插槽数量7业务槽位6背板容量≥1.6Tbps交换引擎Salience™III96GSalience™III384GSalience™III768GVLAN数量4kMAC地址表64k二层协议支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）

支持RRPP（快速环网保护协议）支持BPDUTUNNEL支持802.1q，提供4KVLAN和VLANTrunk支持基于端口、协议、子网的VLAN支持VoiceVLAN支持PVLAN、SuperVLAN支持GVRP/GMRP支持QinQ，灵活QinQ支持802.3x流控机制及半双工反压流控

支持802.3ad端口聚合支持跨板端口汇聚和动态聚合（在一定的硬件配置条件下）

支持端口锁定支持端口镜像

支持跨板端口镜像支持RSPAN

支持端口自动协商支持广播风暴抑制支持9KJUMBO帧网络特性支持ARP，支持LocalARPProxy支持DHCPRelay支持DHCPServer路由表项64K，可扩展路由协议支持IP、TCP、UDP、ICMP协议

支持IPX协议支持OSPF支持RIP1/2

支持静态路由

支持IS-IS

支持BGP4

支持策略路由

支持等价路由

支持VRRP组播协议支持IGMP、IGMPProxy支持PIM-SM、PM-DM等组播路由协议

支持IGMPSNOOPING支持组播VLAN

支持组播权限控制

支持组播组快速离开NAT功能支持NAT、动态NAT功能、动态NAPT、ALG、多ISP、EasyIP、NAT策略、NAT日志、NAT黑名单、内部服务器等功能特性网流分析支持NetStream网流分析功能，可以对网络中的通信量和资源使用情况进行分类和统计，并生成报表，进行网络透视，并提供标准V5、V9格式统计输出端口聚合支持，最大支持8个GE口或8个FE口捆绑安全特性提供L2/3/4ACL流规则过滤；

用户分级管理和口令保护；提供多种用户认证方式：本地/Radius/802.1x/TACAS+认证；支持OSPF、RIPv2、BGPv4及IS-IS的报文明文及MD5密文认证；

支持SNMPv3的加密和认证；支持SSHV1.5/V2；支持MAC-PORT、IP-MAC绑定。4.3.2、汇聚层交换机QuidwayS5516产品类型智能交换机传输速率10Mbps/100Mbps/1000Mbps处理器MPC860产品内存BOOTROM:512KB,SDRAM:128MB,FLASH:8MB交换方式存储-转发背板带宽64GbpsMAC地址表16k端口数量16扩展模块4接口介质1000/100/10Base-T，1000Base-LX，1000Base-SX传输模式支持全双工网络标准IEEE802.1d、IEEE802.1x、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3z、IEEE802.1Q、IEEE802.1p网络协议OSPF、RIP1/2、GMRP、GVRP、DVMRP、IGMP、VRRP等堆叠功能可堆叠VLAN支持电源电压支持220V、110V、-48V、支持外置冗余电源产品尺寸436×400×88产品重量5kg环境标准工作温度:0℃-40℃、保存温度:-30℃-60℃、相对湿度:10%-90%无凝结4.3.3、接入层交换机QuidwayS3526交换机类型以太汇聚交换机应用层级三层

接口类型GE端口密度14410G网管功能命令行分级保护，未授权用户无法侵入，支持RADIUS和HWTACA.背板带宽1228Gbps

VLAN功能支持Access、Trunk、Hybrid方式支持defaultVLAN支持VLAN网络协议支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议支持RIPng、OSPFv3、ISISv6、BGPv4等IPv6动态路由协议

网管功能命令行分级保护，未授权用户无法侵入，支持RADIUS和HWTACACS用户登录认证，支持防范DOS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广，播风暴攻击，支持CPU通道的保护，安全和管理，支持ICMP实现ping和traceroute功能，支持RMON

安全性命令行分级保护，未授权用户无法侵入

支持RADIUS和HWTACACS用户登录认证

支持防范DOS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击

支持CPU通道的保护

支持ICMP实现ping和traceroute功能

支持RMON

电源电压90V-264VAC，–38.4V〜–72VDC4.3.4、服务器IBMSystemx3850X5(7145I19)IBM服务器一直是大中型企业必备，IBM

Systemx3850X5(7145I19)采用了4U机架式设计，能有提供服务器良好的通风散热和稳定性。另外，该服务器系支持多种操作系统使得其在使用过程中更简单方便。IBMSystem

x3850

X5(7143i19)服务器采用两颗Intel

XeonE7-4807型号处理器，其核心频率为1.86GHz，最大支持四路运行。总线规则为QPI5.86GT/s，六核共享18MB三级缓存，并且支持12线程技术。内存方面，标配为4根4GBDDR3内存，最大内存容量可高达1TB。存储方面，虽然并不标配硬盘，但是最大支持8块串行连接的SCSI（SAS）或16块SASSSD硬盘，并且支持热插拔，能够很好的保证数据安全，最大容量可达到4TB，磁盘控制器为ServerRAIDM5015，并且支持RAID5，双千兆网卡。4.3.5、防火墙USG2210设备类型安全网关网络端口2GECombo控制端口Console口VPN支持支持入侵检测Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能安全标准CE，ROHS，CB，UL，VCCI处理器多核处理器电源AC:100-240V最大功率100W产品尺寸442*414*43.6mm产品重量8kg适用环境工作温度:0℃-45℃工作湿度:10%-95%其他性能UTM扩展槽位：4MIC+2FIC产品特性产品特性1：WAN接口支持：FE，GE，ADSL，E1/CE1

产品特性2：WAN接口支持：FE，GE，ADSL，E1/CE1

产品特性3：WAN接口支持：FE，GE，ADSL，E1/CE1

产品特性4：WAN接口支持：FE，GE，ADSL，E1/CE1

4.3.6、路由器华为AR1220—s基本参数路由器类型：企业级路由器端口结构：模块化其它端口：8个FE，2个GE接口2个USB2.0端口1个Mini-USB控制台端口1个串行辅助/控制台端口

纠错扩展模块：2个SIC插槽功能参数防火墙：内置防火墙Qos支持：支持VPN支持：支持网络安全：ACL、防火墙、802.1x认证、MAC地址认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证、广播风暴抑制、ARP安全、ICMP反攻击、URPF、IPSourceGuard、DHCPSnooping、CPCAR、黑名单、攻击源追踪网络管理：升级管理、设备管理、Web网管、GTL、SNMP、RMON、RMON2、NTP、CWMP、Auto-Config、U盘开局、NetConf其他参数产品内存：DRAM内存：512MBFLASH内存：256MB电源电压：AC100-240V，50/60Hz电源功率：54W产品尺寸：390×220×44.5mm环境标准：工作温度：0-40℃工作湿度：5%-90%（不结露）其它性能：整机交换容量：8Gbps4.3.7、传输介质的选择千兆光纤：在核心交换机之间使用。百兆光纤：在核心交换机与汇聚层交换机之间使用。千兆双绞线：在汇聚层交换机和接入层交换机之间使用。百兆双绞线：在同楼内pc机的链接上使用。4.4汇聚层设计汇聚层主要负责汇集分散的接入点进行数据交换，提供流量控制和用户管理（用户识别、授权、认证、计费）功能，作为公司网的业务提供层面，它是使公司网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备，也是保证公司网承载和业务安全的基本屏障，更是保障公司网安全性能的关键。汇聚路由器一直是网络能力的重要体现，特别是现在，包括语音、视频、图片、报表等大量数据在网络中的承载，使汇聚层的重要性更加突出。汇聚层交换连接核心和接入层，应当采用带VLAN和网管功能的中档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块；带VLAN子网划分功能，能很好的管理接入层用户。4.5接入层设计接入层，其主要功能就是实现每个合法用户的安全接入。因此，对接入层而言其关键安全要素就是用户的安全人证，管理和快速介入功能。接入层网络是纯二层交换网络，提供用户的网络接入。由于接入层设备需要部署在楼层，因此要求这些设备容易管理并且投资成本少。南县三中公司网的接入层解决方案包括Baystack470、Baystack450、Baystack420、Baystack350、Baystack310等性价比很高的交换设备，这些设备出色接入性能的同时，都支持多种接入方式，具备多元素的用户管理功能，以及丰富的防病毒，非法攻击策略，确保在用户接入网络的第一道门槛的安全。在接入层根据用户类型的不同划分为不同的VLAN；在公共场合，例如：教室、实验室、图书馆、办公室等，部署具有接入控制功能的以太网交换机，通过对用户的身份认证及该用户在RADIUS服务器上定义的VLAN属性，划分相应的VLAN。在接入层用户较为集中的楼层，使用具备链路捆绑功能的交换机或堆叠式的交换机，便于今后上联链路带宽的扩展以及链路的冗余。4.6服务器分配与设置（选型）4.6.1服务器选型原则整体规划，分部实施。科学合理的整体规划，可以节约大量的资源，随着发展，对系统进行不断的完善。4.6.2具体服务器类型推荐不同的应用会对应不同的工作负荷，而且不同的应用也有不同的重要性，因而对服务器硬件平台的要求也不一样，这些要求主要包括性能、可靠性、可用性等方面，其中性能要求主要包括CPU处理能力、内存容量、磁盘I/O性能及网络和外设I/O带宽等。4.6.3E-Mail服务器1.允许设置多个邮件处理规则，根据邮件主题、发件人等信息将邮件直接存放到指定文件夹中等多种方式的自动处理2.配合用户邮件过滤功能，提供邮件自动回复、拒收或分检服务3.修改用户的个性化设置，如个人签名档、个人资料、界面显示风格等修改邮箱的配置参数：每页显示的邮件数、是否将原信加入到回复的信件中、自动转发后是否在本地保存副本、设定邮件最大字节数、设定邮件显示的排序方式4.POP邮件功能，允许设置多个电子邮件POP帐号，将邮件采集到本系统中用户可以将一些常用的地址加入到地址簿，方便管理，将地址按照指定的规律进行分组，实现邮件的群发；同时可以自行添加、修改、删除个人、团体地址本中的记录，也可以在阅读邮件时由系统自动加入到地址簿。系统支持虚拟域名、多域名。可以在同一邮件系统内包含多个域的地址。轻松地容纳多种地址格式和/或主持多个域需求的系统。4.6.4FTP服务器集成了Internet/Intranet服务器软件MicrosoftInternetInformationServer（IIS）2.0。IIS包含了一个高性能的HTTP引擎，它构成Web服务器的核心；IIS还包含Internet标准的FTP服务器。4.6.5WEB服务器WEB服务器也称为WWW(WORLDWIDEWEB)服务器，主要功能是提供网上信息浏览服务。采用的是客户/服务器结构，其作用是整理和储存各种WWW资源，并响应客户端软件的请求，把客户所需的资源传送到Windows2003Server、WindowsXP、WindowsNT、UNIX或Linux等平台上。4.7系统安全体系设计安全体系是安全工程实施的指导方针和必要依据，它的质量也决定了安全工程的质量。所以，应把安全体系的设计提升到一定的高度，确保安全体系的可靠性、可行性、完备性和可扩展性。（1）物理层安全

物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。

（2）系统安全

系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；采用主机访问控制手段加强对主机的访问控制；（3）网络层安全

公司网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：

1)划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。如在培训局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。

2)加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如公司内网、公司外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。

3)防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。

4)定期的网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。

5)建立网络防病毒系统。在公司网中安装网络版的防毒系统，集中控制、管理查杀网络中服