下一代网络综合服务应用项目解决方案.doc

资源描述

百联下一代网络（NGN）综合服务应用处理方案项目提议书远灼经贸VoIP事业部 6月5日本文档包含下列容序言………………………………………………………….3 网络设计思绪与目…………………………………....4 综合服务应用业务定位……………………………………5 第一期工程方案设计………………………………………6 网络运行管理与计费功能设计………………………..10 重要设备简介……………………………………………..20 1.序言在科技飞速发展今天，Internet给我们工作、生活带来了革命性变化，我们时时刻刻都在享有网络科技带来便利，其中VoIP、票务预定、数码冲印连锁等就是现代网络经典应用。对于商业连锁经营者来说，这不仅能为便利店等连锁机构带来巨大人流量和广告效益，又能产生巨大利润。电信市场开放导致了电信增值服务提供商之间剧烈竟争，而这种竟争在中国孕育了一种高速增长网络应用市场。几乎在同一时间，各个提供商在各个都市都开展了虚拟运行服务平台建设，机遇出现同步，挑战也出现了。几乎每个提供商，都面临着宽带网怎样建设、怎样升级、怎样运行、怎样扩展、怎样盈利问题。远灼经贸在充足考虑了百联集团现阶段需求和既有网点资源后，坚持以满足企业通讯需求和经营需求为目，基于切实可行系统造价，以先进技术，丰富组网手段，提出了百联综合服务应用网处理方案。有关这一方案任何问题，欢迎您随时与远灼经贸VoIP事业部联络。电话：项目：技术；商务： 2.网络设计思绪与目百联综合服务应用网络建设目. 除了提供全市一种综合业务信息平台外，将建设成一种覆盖全市各经营网点，为广泛顾客提供多项综合信息服务，VoIP语音、视频服务和票务预定、数码冲印等服务信息平台。最重要目是配合配合既有网点发展，抢占新兴业务增长点，开辟一种崭新数据和信息服务市场。因此，整个系统需可以承载多种服务类型、灵活顾客接口和从窄带到宽带广谱接入带宽，同步运用既有宽带接入、既有设备和百联特有优势，通过高速INTERNET接入和合适地开发符合国情当地服务为进入通讯服务市场切入点，形成经营特色和造就市场影响，并逐渐开展多种通讯类型综合服务，以良好性能价格比和多种业务综合为特点。此外，从一种企业应用网角度来看，它应当具有如下几种特性：足够带宽和良好升级能力；具有承载多种服务类型能力；具有良好投资渐进方略，在网络有效服务生存周期，具有较高投资回报能力；具有高可靠性。网络接入层应当具有高度灵活性、易用性，提供多种服务接入能力。从网络管理层来看，网络应具有完善控制能力和网络安全性，并提供灵活计费方式；基于方略网络管理和基于物理层、链路层和网络层性能测量和故障监控，并提供远程配置和故障排除能力。 3．百联综合服务应用网业务定位 g在集团部实现点对点零话费处理方案 g 在集团部视频与可视会议 g 为广大顾客提供便民VoIP公话服务 g 电信卡类业务联网销售平台 g 各类票务代理服务 g 网络数码冲印服务 4．百联综合服务应用网工程方案设计我们在分析了百联实际状况后经研究认为百联集团虽然已在诸多地理区域有网点资源和宽带接入优势。但此前对社会各界未开展过VoIP等数据网络业务。也就是说，从部环境来看，没有数据运维经验和市场运行方略积累。不管是网络管理人员还是系统运行维护人员都急需一种起步级平台来在试验中培训和学习。同步，只有真正发展部分客户，才能逐渐进入到网络应用市场中去，社会各界才会逐渐认同网络应用服务提供商地位。因此，我们不赞同其他集成商一动手就投资一千万甚至几千万来建一种很高级平台与其他同类企业一争高下做法。我们充足考虑了百联集团现阶段需求和此后平滑升级原因后，坚持以满足应用需求为目，基于切实可行系统造价，丰富组网手段，所设计百联综合服务应用网是一种起步门槛很低而又可平滑升级，可持续发展应用网络。一期工程拓补构造规划如下所示：如上图所示：此方案企业总部选用一台HP服务器做中心呼喊控制器（CMC），构成网络关键。配置一台HP服务器为VoIP呼喊计费服务器。配置两台HP容服务器为在线卡类销售、票务代理、数码冲印业务服务器。配置一台路由器来联接外部internet出口，可同步设置电信、网通等多种出口。配置一台硬件防火墙服务器来保护域信息资料不受外来袭击。一期工程所规划目是； A.使用世纪网通cnc200语音网关，将个各超市终端与总部联络起来，实现点对点零话费。 B.通过中心呼喊控制器（CMC）统一接入中国电信，各超市终端实现VoIP公话经营。 C.建成网络已带有网管控制和认证计费系统（Smartbilling）。 D. 建成电信卡类、票务代理和数码冲印网络平台。 E.一期工程总造价将控制在150-200万元之。系统自身可生成诸多种在其他广电宽带网中已成功运行市场方略，以弥补百联网络应用经营经验局限性。该方案起步投资小，系统实际容量为注册顾客5000户，个并发顾客，最大峰值带宽为75-95Mbps，采用穿透三层WEB认证方式。顾客端一次性安装VoIP计费客户端软件即可，软件操作简单以便。设备与软件清单；序号名称型号描述数量 1 路由器 Cisco 3600 冗余LAN接口 LAN toLAN 1 2 防火墙 DCFW 1800 3个10/100Base-TX LAN口，包过滤，NAT 1 3 容服务器 HP P4 /2.4G/双CPU/512M/120G热拔插/RAID卡 2 4 数据库服务器 PC SERVER P4 2.4MHz/512MHz存/ 3*120GB SCSI硬盘/RAID卡/Win Advance Server/ 1 5 中心呼喊控制器 HP硬件+世纪网通CMC 注册顾客60000个，并发10000个 1 6 接入服务器 Dr 2133 BRAS- 3FastEthernet(Internal,External&Management) Port, Upto Online Users, RADUIS/LDAP Supported 1 7 企业级运行管理计费软件 CMC Smartbilling ISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License 1 8 PC工作站联想/天肌 P4 2.4G/128M/40G/100M网卡 1 9 VoIP语音网关世纪网通 CNG300 1 10 数据库 Oralce 8i 5User license 1 5．网络运行管理与计费功能设计宽带数据接入服务对广电网络而言是一门新型业务，诸多广电网络企业往往在骨干网上投入巨款兴建网络。却常常忽视运行管理平台建设，诸多地方建成网络是毫无管理功能网络，只能对顾客实行无限制简单包月制，导致有限数据资源被无限制任意使用。而数据业务与电视节目不一样是电视节目不会因顾客观看时间长短而增长成本。不过数据业务internet资源是要按使用量多少来支付成本。因此一种网络有无流量.带宽控制与计费功能将直接影响这个网络获利水平。 5．1计费重要性 5．2运行计费系统技术选型 5．3市宽带城域网计费服务系统处理方案 6．重要设备简介附件一中心呼喊控制器（CMC）一、概述 CMC呼喊管理控制中心是布署VOIP网络综合管理控制平台。为电信运行商、虚拟运行商、话费代理开展VOIP网络业务提供强大后台支撑，是企业行业管理维护IP网络与各级部门间记录结算最佳选择。二、功能模块包括会话控制器（含GK功能）、EasyTrans?“易穿”媒体控制器、网络管理中心三部分构成。支持世纪网通嵌入式系统专用硬件平台与WINDOWS／LINUX平台三种版本三、系统功能特点会话控制器（含老式GK功能）呼喊认证授权，当地和远程认证。灵活地址翻译，与主被替代。支持二级/平行网守，支持直连方式和媒体/信令路由方式。支持原则H.323　V3/4和SIP协议，以与不一样协议互相识别、解析、转换。分顾客域管理。可制定多种呼喊方略（费率、MOS值、时段、容量、接通率等）支持H.235安全机制，恶意RTP检测识别，防网络袭击。语音流量负载均衡 EasyTrans“易穿”媒体控制器 l 为终端设备建立媒体和信令专用传播隧道，可穿透多级防火墙/NAT设备和多网络边界。 l 大容量媒体流帧级转发 l 网络和语音QoS保障网络管理全网设备轮询监视，与时告知被管设备语音端口和网络端口状态出现宕机与其他故障时向控制台报警支持防火墙/私网设备网管图形化配置和控制终端设备设备软件与其配置文献图形化升级和群升系统自含会话呼喊记录和日志系统使用日志四、系统性能最大呼喊承载能力≤5000路最大可管理终端设备容量≤5000 最大并发呼喊数 5000路附件二 Smartbilling计费系统附件三 CNG300/800语音网关指标名称/型号 CNG300 CNG800/8 CNG800/16 语音接口数目 2-4路 4-8路 8-16路 VOIP通道数 2-4路 4-8路 8-16路音频接口 2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO， 8FXS，8FXO，4FXS+4FXO 16FXS，16FXO，8FXS+8FXO 以太网接口（RJ45） 2个10/100M Base-T 串行设置接口（RJ45）一种RS232接口 VOIP协议原则 H323/V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP* 语音编码 G.723.1 (5.3K 6.4K b/S) G.729 A/B(8Kb/s) G.711 A/∪律(64Kb/S) G.Netcodes (2Kb/S) 语音质量保障技术支持语音优先标识(TOS)；动态抖动缓冲区（JIFFER BUFFER）；语音侦测（VAD）与舒适背景噪声生成（CNG）； Diffserv 网络协议、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv 嵌PPPOE与NAT功能支持支持DHCP自动获取IP地址支持功能特性嵌“易穿”穿透代理模块支持私网 / 防火墙下设备远程网管(网管穿透) 支持私网 / 防火墙下语音穿透支持按键配置支持远程升级软件功能来电显示/来电识别（Call ID识别) 系统语音信箱、顾客自定义语音提醒功能支持DNS动态网守地址寻址回音消除 G.168 (16-64ms) 互通特性 CISCO、Notel、Lucent、华为等符合ITU原则VOIP系统工作温度 —10℃ ~ 70℃ 5% ~ 95%非凝结工作湿度工作电源外接12V，1.5A 置开关电源100V-240V AC；50-60HZ 构造尺寸宽*高*深 16CM*4CM*21CM 原则19英寸 1U高；宽*高*深 44CM*4.44CM*30CM 重量 1KG 约4KG 附件四方正防火墙目前，国所采用防火墙大都是国外产品，留有安全面隐患，而网络安全又是关系到国家安全大事，基于安全面考虑，决定了我们中国人只能使用品有自主防火墙产品。提议市宽带城域网使用方正防火墙。 4.1.产品概述 FireGate防火墙是SHARKS中重要安全产品之一。由于防火墙技术针对性很强，它已成为实现网络安全重要保障之一。FireGate防火墙是通过对国外防火墙产品综合分析，针对我们国家详细应用环境，结合国外防火墙领域里最新发展，提出一种具有强大信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用安全可靠专用防火墙系统。 FireGate不仅仅是一种包过滤防火墙，还包括了大量实用模块，可以为顾客提供多方面服务。 FireGate防火墙所包含模块示意图如下： 4.2.系统特点一体化硬件设计 FireGate采用了一体化硬件设计，采用了自已操作系统，无需其他操作系统支持，这样可以发挥硬件最大性能，同步也提高了系统安全性。双机热备份通过双机热备份，本系统提供可靠容错/热待机功能。备份防火墙服务器中存有主防火墙服务器设置镜像，当主防火墙由于某些原因不能正常运作，备份服务器可以在12秒钟取代主服务器运作，充足保证整个网络系统运作稳定性。完善访问控制 FireGate符合国家最新防火墙安全原则，采用了三级权限机制，分为管理员，方略员和审计员。管理员负责防火墙开关与平常维护，方略员负责配置防火墙包过滤和入侵检测规则，审计员负责日志管理和审计中授权机制。这样他们共同地负责起一种安全管理平台。多种工作模式 FireGate防火墙可以工作在网桥和路由两种模式下，这样可以以便顾客使用。使用网桥模式时在IP层透明，使用路由模式时可以作为三个区之间路由器，同步提供网到外网、DMZ到外网网络地址转换。方正防火墙特点防火墙技术关键思想是在不安全网间网环境中构造一种相对安全子网环境。目前防火墙技术实现重要有两种手段：一种是基于包过滤技术(Packetfiltering)；一种是基于代理技术(Proxy)。无论是包过滤、还是应用代理，对系统安全、基于网络访问安全研究较多，但对网络上流动信息容自身安全处理较少。而由于我们国家特殊需求，需要对网络上信息安全进行分析，并加以过滤和控制。因此从我国实际应用背景出发，不仅规定防火墙产品实现老式防火墙技术，同步还规定对网络信息安全进行分析和控制。 FireGate防火墙重要有如下特点：工作于透明桥构造之上，实现于数据链路层，不必IP地址。实现了IP地址与MAC地址绑定功能，对IP盗用进行了有效控制。多种手段防电子欺骗；提供界面友好控制平台，实现对防火墙安全方略制定、访问记录分析、状态监控以与其他对防火墙控制功能；信息记录、分析模块实现直观顾客访问以与网上活动实时监控。提供多种工具，通过对访问记录与信息分析、安全审计，发现可疑连接，与时弥补网络系统漏洞或进行责任追究。分布式模型设计使得在某一主机上运行管理模块可以管理多台监控主机运行。完全保留以太网高速度，对网络性能影响极小。 4.4.FireGate防火墙优势 .4.4.1.多种工作模式 FireGate防火墙可以工作在网桥和路由两种模式下： A：网桥模式：3个端口构成一种以太网互换机，防火墙自身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一种互通物理网络。当防火墙工作在互换模式时，网、DMZ区和路由器部端口构成一种统一互换式物理子网，网和DMZ区还可以有自已第二级路由器，这种模式不需要变化原有网络拓扑构造和各主机与设备网络设置。 B：路由模式：防火墙自身构成3个网络间路由器，3个界面分别具有不一样IP地址。三个网络中主机通过该路由进行通信。当防火墙工作在路由模式时，可以作为三个区之间路由器，同步提供网到外网、DMZ到外网网络地址转换，也就是说，网和DMZ都可以使用保留地址，网顾客通过地址转换访问Internet，同步隔绝Internet对网访问，DMZ区通过反向地址转换对Internet提供服务。在没有安装FireGate防火墙时候经典网络构造图如下: 在安装了FireGate防火墙时候网络构造图如下: 4.3.4.2.包过滤防火墙 FireGate包过滤功能是对指定IP包进行包过滤，并且按照设定方略对IP包进行记录和日志记录，重要根据IP包如下信息进行过滤： l 源IP地址 l 目IP地址 l 协议类型（IP、ICMP、TCP、UDP） l 源TCP/UDP端口 l 目TCP/UDP端口 l ICMP报文类型域和代码域 l 碎片包 l 其他标志位，如SYN，ACK位 4.3.4.3.高效过滤有些防火墙在安装上后来对WEB服务器吞吐能力影响很大，导致性能减少。由于FireGate防火墙采用了3I（Intelligent IP Identifying）技术，可以实现迅速匹配。因此FireGate防火墙不会对性能导致任何影响。 FireGate防火墙优化了算法，使最大并发连接数可以达到200,000个以上，而一般防火墙最大并发连接只可以达到几万个左右。 4.3.4.4.碎片处理功能由于诸多系统平台，包括某些路由器对IP碎片处理存在问题，容易产生欺骗和拒绝服务等袭击，FireGate防火墙可以识别出IP碎片并且进行控制，这样一来通过严禁IP碎片通过FireGate，防止了这样问题产生。 4.3.4.5.防SYN Flood袭击某些TCP/IP栈实现只能等待从有限数量计算机发来ACK消息，由于他们只有有限存缓冲区用于创立连接，假如这一缓冲区充斥了虚假连接初始信息，该服务器就会对接下来连接停止响应，直到缓冲区里连接企图超时。经典就是Syn Flood袭击,通过大量虚假Syn包使服务器速度变慢，甚至是死机。一般防火墙是通过限制每秒钟通过Syn包数量来组织Syn Flood袭击，这种措施可以在一定意义上制止Syn Flood袭击，不过也有也许将正常Syn包忽视掉，因此不是一种非常好措施。 1：没有安装FireGate 2：安装FireGate FireGate防火墙使用了两种方式来反Syn Flood袭击，一种措施就是通过设置单位时间SYN包数量来控制，此外一种措施修改了TCP/IP堆栈算法，使得新Syn包一直可以获得连接位。避免了由于大量袭击SYN包导致网络阻塞。 4.3.4.6.强大状态检测功能 FireGate可以根据数据包地址、协议和端口进行访问控制，同步还对任何网络连接和会话目前状态进行分析和监控。老式防火墙包过滤只是与规则表进行匹配，而FireGate对每个连接，作为一种数据流，通过规则表与连接表共同配合，在继承了老式包过滤系统对应用透明特性外，还极提高了系统性能和安全性。其他防火墙大多采用老式规则表匹配措施，伴随安全规则增长，势必会使防火墙性能大幅度减少，导致网络拥塞。 4.4.轻型/复杂IDS(入侵检测系统) 4.4.1.反端口扫描一般黑客假如要对一种发动袭击，首先都要扫描目服务器端口，确定服务器上启动服务，然后做出对应入侵方式。 FireGate入侵检测系统可以在黑客扫描时候就能检测到并报警，这样就能提前将黑客拒之于门外。FireGate入侵检测系统在检测到有黑客扫描服务器端口时候会立即在袭击者视野中消失，从而使黑客无法进行背面袭击。FireGate入侵检测系统根据配置文献监控任何和TCP、UDP端口连接。可以对所有端口同步进行监控，同步也可以忽视指定端口。这样就能满足不一样需求方式。 4.4.2.可以防1500余种袭击方式 1. 检测多种DoS袭击 DoS(拒绝服务袭击) 包括诸多不一样方式。在这些方式中，三种最流行方式为使服务失效、独占或盗用资源以与删除数据。最常见就是服务失效方式，通过DoS袭击可以使一种服务器停止服务，从而导致巨大损失。 FireGate入侵检测系统可以检测包括IGMP袭击、TearDrop、LAND、WinNuke等多种DoS袭击。从而使被托管服务器处在安全保护之中。和其他同样， FireGate入侵检测系统一旦发既有DoS袭击，立即在线报警，记录日志。 2. 检测多种DDoS袭击 Yahoo、CNN等著名被黑客袭击使得防黑客成了大家关注热点。DDoS(分布式拒绝服务)是本次袭击重要手段。DDoS 袭击原理是入侵者控制了某些节点，将它们设计成控制点，这些控制点控制了Internet大量主机，将它们设计成袭击点，袭击点中装载了袭击程序，正是由这些袭击点计算机对袭击目发动袭击。这种构造使入侵者远离袭击目，隐藏了入侵者详细位置。 FireGate入侵检测系统可以检测包括TFN、Trin00、shaft synflood等多种DDoS工具袭击。而这些袭击都是进行DDoS袭击重要工具。 3. 检测保护子网中与否存在后门和木马程序后门和木马程序假如存在于网络中，会导致严重后果，有些后门程序导致管理员密码被盗取，因此检测保护子网中与否存在后门和木马程序成为入侵检测一种重要构成部分。 FireGate入侵检测系统可以检测网络中与否存在流行BO、BO、NetSphere、DeepThroat、WinCrash、BackConstruction等多种后门或木马程序。 4. 检测多种针对Finger服务袭击 Finger服务于查询顾客信息，包括网上组员真实、顾客名、近来登录时间、地点等，也可以用来显示目前登录在机器上所有顾客名，这对于入侵者来说是无价之宝，由于它能告诉他在本机上有效登录名。 FireGate入侵检测系统可以检测针对Finger服务袭击如Finger Bomb、Finger search、FINGER-ProbeNull等扫描和袭击。 5. 检测多种针对FTP服务袭击 FireGate入侵检测系统可以检测针对不一样FTP server，包括AIX FTPD、WuFTP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD发起FTP-site-exec、 FTP-user-root、Buffer Overflow等多种尝试和袭击行为。 6. 检测基于NetBIOS袭击 FireGate入侵检测系统可以对基于NetBIOS如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多种尝试和袭击行为进行检测。 7. 检测缓冲区溢出类型袭击 FireGate入侵检测系统可以对OVERFLOW-x86-solaris-nlps、OVERFLOW-x86-windows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百种堆栈溢出袭击进行检测。 8. 检测基于RPC袭击 FireGate入侵检测系统可以对基于RPC如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多种尝试和袭击行为进行检测。 9. 检测基于SMTP袭击 FireGate入侵检测系统可以对针对多种SMTP server，包括Sendmail、Exchange Server、Qmail等所发起SMTP-expn-root、SMTP Relaying Denied等试探和袭击进行检测。 10. 检测基于Telnet袭击 FireGate入侵检测系统能针对基于Telnet包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多种尝试和袭击。 11. 检测网络上传播病毒和蠕虫 FireGate入侵检测系统能在计算机病毒和蠕虫传播到宿主机之前检测出来，包括流行Happy99、IloveU、PrettyPark等百种蠕虫和病毒，防患于未然。 12. 检测CGI袭击 FireGate入侵检测系统能检测出包括针对PHF、NPH、pfdisplay.cgi等已知上百种有安全隐患CGI进行探测和袭击方式。 13. 检测针对WEB ServerFrontPage扩展进行袭击 14. 检测针对WEB ServerColdFusion扩展进行袭击 15. 检测针对 MicroSoft IIS server进行袭击 FireGate入侵检测系统能检测View Source exploit、IIS-exec-srch、IIS-asp-srch等已知漏洞和弱点袭击行为。 16. 检测运用ICMP进行扫描和袭击。 FireGate入侵检测系统能对运用这种方式进行网络拓扑探测所产生PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包进行检测。 17. 检测运用Traceroute对网络探测 18. 检测ActiveX，JaveApplet传播 FireGate入侵检测系统能通过匹配网络包容，可以检测特定ActiveX、JaveApplet等程序在网络上传播。 20 检测对其他也许网络服务进行袭击 4.4.3在线升级和实时报警入侵检测系统库文献需要不停更新，因此FireGate提供了非常以便升级接口，可以通过我们进行在线升级，并且我们提供了非常以便顾客升级界面，使升级工作可以非常以便完毕。报警与否与时是衡量一种入侵检测系统重要原因之一，假如在黑客刚刚进行袭击时候就可以做出响应，那么管理员会有足够时间进行防护。 FireGate报警系统和入侵检测系统协调工作几乎是一致，一旦入侵检测系统检测到袭击，报警系统会立即做出反应，通过Email或手机告知管理员。同步会启动自动防系统进行防。 4.4.4.入侵检测和防火墙互动通过通信行为跟踪，防火墙可以检测到对网络多种扫描，检测到对网络袭击行为，并可以对袭击行为进行响应，包括自动防与顾客自定义安全响应方略等。系统支持“DMZ到外部网”和“部网到外部网”地址转换和反向地址转换，也就是说部网主机和DMZ区主机都可以采用保留地址，从而减少注册IP地址使用。通过地址转换转换可以更有效地运用IP地址资源，并且提供更好安全性。 4.5.代理服务器功能对于WEB顾客来说，FireGate是一种高性能代理缓存服务器，FireGate支持FTP、gopher和协议。和一般代理缓存软件不一样，FireGate用一种单独、非模块化、I/O驱动进程来处理所有客户端祈求。 FireGate将数据元缓存在存中，同步也缓存DNS查询成果。除此之外，FireGate还支持非模块化DNS查询，对失败祈求进行消极缓存。FireGate支持SSL，支持访问控制。顾客可以通过编辑“黑”和“白”设置“严禁顾客访问站点”和“仅容许访问站点”，同步还可以建立URL级访问限制，通过建立严禁顾客访问URL列表，FireGate防火墙可以对该列表进行匹配，严禁对列表中URL访问。违反限制规则访问企图将被记录到系统日志中。FireGate防火墙提供URL级屏蔽功能，可以使管理员屏蔽某些URL，如、反动主页等。此外通过对部网WWW服务器某些URL屏蔽，可以消除服务器自身安全漏洞，从而对WWW服务器进行保护。 4.6.双机热备 FireGate防火墙系统可以在网络中智能地寻找与其对等备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可与时启动，防止网络中断事故发生。其智能识别技术甚至可以支持多于两台以上FireGate在网络上互为备份，合用于对可靠性规定极高场所。 4.7.强大审计功能审计功能是FireGate非常强大一种部分，目前国防火墙审计功能都非常不完善，FireGate提供了大量审计容和对审计容查询功能，由于过于复杂日志比较难以理解，我们将日志记录提成了若干部分，并且每一种部分都是可以单独进行查询和管理，这样一来就可以使顾客对防火墙状况有一种非常透彻理解。 FireGate中审计功能有着非常完善权限管理，有专门审计员来对审计容进行管理，在审计中又提成了若干级别权限。这样可以以便管理员管理审计容。 4.8.基于PKI高级授权认证 PKI（Public Key Infrastructure）是一种新安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和有关公开密钥安全方略等基本成分共同构成。PKI是运用公钥技术实现电子商务安全一种体系，是一种基础设施，网络通讯、网上交易是运用它来保证安全。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统（CA/RA）是PKI不可缺构成部分。网络，尤其是Internet网络安全应用已经离不开 PKI技术支持。网络应用中性、真实性、完整性、不可否认性和存取控制等安全需求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国，伴随电子商务日益兴旺，电子签名、数字证书已经在实际中得到了一定程度应用，就连某些国家都已经开始接受电子签名档案。 FireGate授权认证是基于PKI基础之上，因此完全性极高。有些防火墙认证机制采用OTP（Once Time Password），或者采用了静态口令机制。例如说，静态密码是顾客和机器之间共知一种信息，而其他人不懂得，这样顾客若懂得这个口令，就阐明顾客是机器所认为那个人，那么就很容易控制防火墙。而一次性口令也同样，顾客和机器之间必须共知一条通行短语，而这通行短语对外界是完全。和静态口令不一样是，这个通行短语并不在网络上进行传播，因此黑客通过网络窃听是不也许。不过使用起来没有使用证书认证以便。因此FireGate基于PKI高级授权认证机制在技术上面非常先进，超越了大部分防火墙产品。 4.9.集中管理根据美国财经杂志记录资料表明，30%入侵发生在有防火墙状况下，这些入侵重要原因并非是防火墙无用，而是由于一般防火墙管理与配置相称复杂，要想成功维护防火墙，规定防火墙管理员对网络安全袭击手段与其与系统配置关系有相称深刻理解，并且防火墙安全方略无法进行集中管理，这些都导致了安全方略失效。而FireGate防火墙采用基于Windows GUI顾客界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一种控制机对多台FireGate进行集中式管理。 4.10.实时控制和日志转存管理员可以通过控制界面对防火墙进行实时控制和调整，可以修改其方略和工作方式。管理员可以将日志保留起来，供后来分析使用，由于FireGate每天都会记录大量日志信息，并且某些日志记录是非常有用信息，因此FireGate日志监视系统会将服务器上面日志下载到管理员机器上面，管理员可以对它进行编辑和保留。 4.11.灵活配置方式 4.11.1.可视化配置 FireGate配置都是在Windows下面图形界面中进行，因此配置起来比较以便，对于顾客而言，无需理解过多安全知识，就可以配置好FireGate，并且让之工作起来。 4.11.2.预置包过滤规则集预置包过滤规则集是对常见防火墙应用进行总结归纳出防火墙规则模板，每个预置包过滤规则集都对应了一种比较经典网络布置状况。对于常规应用，顾客可以直接调用预置包过滤规则集来完毕，大大简化了顾客对防火墙设置工作。由于FireGate防火墙是一种包过滤类型防火墙，因此通过规则集来进行包检查，而不一样网络布置状况决定了不一样包过滤规则集，因此FireGate防火墙预置了对应多种网络布置状况包过滤规则供顾客选择使用。 FireGate防火墙可以灵活地满足不一样安全需要，为企业，托管服务器等提供一种不一样层次和不一样方位安全保障。并且完善审计记录和流量记录信息为顾客提供了大量有用记录和信息。 FireGate经典应用于IDC、金融、证券需要重点保护计算机网络，大、中、小型企业计算机网络以与ICP、ISP托管主机群。附件五 Cisco 3600路由器 Cisco 3600是世界第一种真正多功能应用支持平台，在单独一种服务器上广泛支持分支机构/企业拨号访问应用，LAN到LAN或者路由选择应用以与多服务应用。它提供前所未有模块化选项，可使用多种不一样网络模块，它还具有强大灵活性，可针对客户不一样应用环境，提供多种配置选项，并且最重要是，它具有支持所有这些应用优质运行性能。作为一种多功能处理方案，你可以依托Cisco 3600平台杰出性能、安全性以与灵活性来满足你未来数年需要。与具有综合管理、配置以与单供应商支持一台多功能设备相比，管理、配置以与支持多台设备。此外，Cisco IOSTM软件包含许多可提供安全性、可靠性以与WAN优化功能，在任何应用环境中，都可以使用Cisco IOSA功能来控制不停上升WAN费用。Cisco IOS软件支持在帧中继、专线以与拨号网络上数据压缩。Cisco IOS软件拥有广泛多媒体功能，可以支持诸如在WAN上会议那样新型应用。资源预保留协议（RSVP）、非协议依赖性多点广播（PIM）以与加权公平排队（WF）等功能可以保证一贯服务质量以与较高应用可用性。 A.Cisco 3600提供多种功能 Cisco 3600目是满足不停发展需要。Cisco 3600在一种模块化机箱中有不一样模块选择可以最大程度地保护顾客投资，其性能可以处理上述不一样需要，并且尚有能力满足未来发展需求。例如，作为一种ISDN连接处理方案，配有集成数字调制解调器Cisco 3600ISDN PRI连接服务器非常适合那些机架空间有限机构。Cisco 3600配有冗余LAN接口，包括提供数据回拖到聚合点，同步，它冗余LAN接口，包括提供迅速以太网以与令牌网功能，可以灵活地置于多种不一样LAN环境中。 B.Cisco 3600提供多协议拨号连接成功远程连接意味着可以几次透明地连接到任何地点顾客，同步可支持任何协议。远程和移动顾客不一样需要使ISDN和异步连接都变得十分必要，今天，顾客但愿获得与当地访问同样连接服务质量。为了满足这种规定，远程访问服务器必须成为整个网络处理方案一部分，并且和它一起扩展以满足不停增长远程访问需要。 C.系统功能 5.3.1.全功能Cisco ISO Cisco 3600是Cisco 整套端到端连接处理方案中一部分。没有任何其他供应商可以向远程顾客提供这样多Intermir访问以与扩展选择。并且Cisco ISO软件有能力在顾客承担得起前提下布置拨号虚拟专用网络（Dial VPNS），使Cisco 产品功能又得到了对应提高。顾客还可以通过数据压缩等带宽优化技术来节省开支，并且可以布置高质量网络安全防火墙以与数据加密功能。 5.3.2.安全性安全已成为今天大多数网络管理者关怀重要问题，Cisco 3600，问题配合广为流行、功能强大Cisco ISO软件，可以为客户关键网络提供全面安全保障。对于远程顾客环境，Cisco 3600将该项已被证明是有效关键安全技术扩展到混合介质拨入站点。Cisco ISO软件支持安全功能包括访问清单、侵入事件记录、远程访问拨入顾客服务（RADIUS）、Kerberos V以与具有验证、授权和记帐（AAA）TACACS。 5.3.3.管理 Cisco 3600提供一套称为CiscoWorks完善图形顾客界面（GUI）管理工具，可对Cisco 3600机箱与其有关网络模块进行图形化配置、监控和调试。 Cisco配置管理功能向

展开阅读全文