1、此文档收集于网络,如有侵权请联系网站删除广州市地铁总公司网络工程方案目录一、项目概述5二、需求分析62.1网络现状分析62.2网络需求分析6三、总体设计方案73.1系统设计原则73.1.1高可靠性73.1.2高安全性73.1.3先进性73.1.4易管理、易维护73.1.5可扩展性83.2系统设计概述93.2.1网络体系结构和逻辑结构设计93.2.2网络拓扑结构93.2.3网络管理系统的确定93.2.4连接Internet10四、系统方案114.1局域网设计方案114.1.1基本网络结构设计114.1.1.1基本网络物理结构114.1.1.2虚拟网(VLAN)的构建124.1.1.3系统的特点1
2、44.1.2网络服务154.1.2.1网络操作系统154.1.2.2应用功能184.1.3备份服务(建议采用)234.1.4 Cisco网络管理244.1.5局域网拓扑图264.2局域网防火墙及防病毒解决方案274.2.1网络安全风险分析274.2.2需求分析284.2.3安全管理需求分析284.2.4安全方案304.2.5网络设备的安全配置304.2.6对服务器访问的控制304.2.7 CheckPoint FireWall-1 4.0314.2.7.1产品简介314.2.7.2状态检测机制344.2.7.2 OPSEC354.2.7.3企业级防火墙安全管理354.7.3.4分布的客户机/服
3、务器结构364.2.7.5认证(Authentication)374.2.7.6地址翻译(NAT)374.2.7.7内容安全384.2.7.8连接控制394.2.7.9路由器安全管理394.2.8防火墙及防病毒解决方案414.2.8.1软件要求414.2.8.2硬件要求414.2.8.3防火墙网络图424.3城域网建设434.3.1基本概述434.3.2通讯线路和拨号访问服务434.3.3虚拟专用网VPN技术444.3.4网管软件平台和网管软件454.3.5城域网网络架构图464.4 Internet的接入方案474.4.1 ADSL简介474.4.2 ADSL与其它接入服务的比较484.4.
4、2.1 ADSL与Cable Modem的比较484.4.2.2 ADSL与普通拨号 Modem及N-ISDN的比较48五、设备报价表505.1产品报价表505.2维修报价表51六、项目实施计划526.1网络设备及系统软件验收526.2项目计划实施526.3审核施工进度526.4网络系统集成性能测试526.5完善在测试过程中可能出现的各种问题536.6提交网络性能测试报告536.7网络系统集成验收53七、系统验收标准547.1系统验收原则547.2系统验收组织547.3系统验收依据547.4系统验收内容557.4.1系统性能验收557.4.1.1设备性能:主流厂商、主流产品、主流技术557.4
5、.1.2网络性能:实用技术、成熟标准、安全管理567.4.2网管系统要求577.4.2.1网络监控功能要求577.4.2.2网络管理软件平台功能要求577.4.2.3对网络设备的管理587.4.2.4各种操作系统及网络协议的管理587.4.2.5基于GUI的图形界面597.4.2.6关系型数据库支持597.4.3工程质量验收607.4.4系统文档验收607.5系统测试、网络管理与网络安全标准617.5.1广域网测试标准617.5.2局域网测试标准627.5.3网管系统标准637.5.4网络安全标准64八、售后服务658.1试运行期支持658.2保修期服务658.3保修期外服务668.4文档体系
6、668.5培训计划678.5.1培训目的678.5.2培训对象688.5.3培训策略688.5.4培训方式688.5.4.1现场培训688.5.4.2集中培训698.5.5课程安排698.5.6课程描述70九、金税服务体系739.1专业的技术队伍739.1.1技术支持部739.1.2客户服务部739.2整体的服务控制749.2.1设备交货与质量控制749.2.2原厂商产品的验收和技术保证749.2.3系统和网络工程的实施与监理749.2.4系统效能调试759.2.5快速的响应方式759.2.6全面的服务体系759.3客户服务流程图769.4工程监督流程图77一、项目概述 广州地铁总公司的新办公
7、场所位于广州市中山五路与解放路交界处的中旅商业城第十六层,面积约为三千七百平方米,集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门,大约将有二百三十多名工作人员在此办公。 广州地铁总公司将在中旅商业城十六层建立计算机网络,该网络是广州地铁总公司企业管理信息系统的平台,他将提供以下的服务:l 各种数据库管理系统,如财务管理系统、合同管理系统等; l 办公自动化信息管理,如公文流转、电子邮件系统等;l 国际互联网Iternet接入;l 六间会议室有少量的多媒体信息传输;l 要求实现与公司其他总部位于芳村西朗的运营事业总部、位于北京路广百大厦29层的资源开发总部、位于公园前地铁控制
8、中心的建设事业总部、位于环市西路204号的地铁设计院网络互联,构筑广州地铁总公司城域网,实现全公司信息的共享;l 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。二、需求分析2.1网络现状分析l 布线工程已由广州地铁总公司委托其他公司完成。该布线工程全部采用Lucent公司的超五类设备进行施工,将达到Lucent公司十五年保用标准。l 共有三个设备间,其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接,可形成环路。l 网络布线端口数达到320个,每个设备间所联信息点基本一样,大约为110个。网络操作系统将采用MS Windows 2000 Server。2.2网络需求分析根据地
9、铁总公司的要求,这次网络工程的主要内容包括四部分:l 中旅商业城十六层广州地铁总公司计算机局域网;l 中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案;l 广州地铁总公司城域网;l 中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。三、总体设计方案3.1系统设计原则3.1.1高可靠性 计算机网络系统应采用可靠性较高的产品和容错较强的网络结构,以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。3.1.2高安全性 根据建行的管理制度和网络策略制定一套完善的安全政策,采用合适的技术手段,充分保证
10、网络安全性。3.1.3先进性 在技术上要到达当前的国际先进水平。要采用最大先进网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展,保证网络建成后3-5年不落后,选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。3.1.4易管理、易维护 由于计算机网络系统规模庞大,需要网络系统具有良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。3.1.5可扩展性网络系统应具有良好可扩展性,随着业务的增长和应用水平的提高
11、,网络应可平滑地扩展的升级,而不需要对网络结构设备进行大的改动。3.2系统设计概述3.2.1网络体系结构和逻辑结构设计确定网络体系结构及相应的通信协议,对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门,而这些部门有的在使用一些专用的系统,有的需要与其它专用系统相连。因此,要共享网络的资源及在网络中交换信息,就必须实现不同系统间的实体通信,这需要不同系统采用同一协议.。网络体系结构的确定:骨干网络使用交换式快速以太网。本网络大量采用以太网产品,因为以太网发展最为迅速,目前拥有广泛用户和众多的产品,容易得到支持。网络的主干采用100Mb/S交换式以太网,原因如下:l 采用10
12、0Mb/s以太网交换技术,可使网络主干速率成倍增长;l 便于向千兆位以太网过渡;l 技术成熟;l 有大量的成功案例可查。3.2.2网络拓扑结构采用星型网络交换技术。通过相应的管理软件,在不改变网络节点物理位置的情况下,可以对网络的逻辑结构进行合理的划分,即建立虚拟网络,来达到网络信息流量的有效控制。3.2.3网络管理系统的确定人们往往只重视网络的静态性能,而忽视了对网络动态解决方案重要性的认识。实际上,网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点,及时解决问题;也可对网络的信息流量进行有效的控制和分流。要管理网络端口,需要网上每台设备都支持SNMP。根据本网络的特点,要求网管
13、程序能够跨越地域对异地的网络节点进行管理。3.2.4连接Internet在与Internet 的连接方面,通过代理服务器,利用ADSL专线访问服务器,实现与远程客户的信息交流。同时,还设立了网管工作站,监控网络的运行状况,使网络达到最大的利用效率。四、系统方案4.1局域网设计方案 4.1.1基本网络结构设计4.1.1.1基本网络物理结构 采用1台Cisco的带第三层路由交换功能的千兆以太网交换机 Catalyst 2948G-L3做中心交换机,采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机(带千兆网堆叠模块)做桌面交换机,每2(3)台堆叠成一组
14、,通过一个千兆以太网模块上联至主干,下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。 1)中心交换机的配置 千兆以太网交换机Catalyst 2948G-L3置于主设备间。中心交换机配置1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。交换机预留1块24Gbps千兆以太网交换引擎的模块接口。2)桌面交换机的配置 桌面交换机根据用户的实际情况采用7台Cisco的Catalyst 3548 XL Enter
15、prise Edition交换机,每2(3)台堆叠成一组,共3组,每组配置如下: l Catalyst 3548 XL带48个10/100Base-T自适应端口 l Catalyst 3548 XL堆叠模块 l Catalyst 3548 XL千兆位上联模块 4.1.1.2虚拟网(VLAN)的构建VLAN是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务,每一个VLAN就是一个广播域,也就等于WinNT网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。采用V
16、LAN具有下述优势。1)控制网络上的广播风暴 VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。2)增加网络的安全性使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLA
17、N中。3)集中化的管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用, 增加了集中管理的功能。本网络系统分成多个逻辑子网,一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的,当他们需要互相访问时,必须通过路由器或具有路由能力的交换机(第三层交换机)使它们在网络层(第三层)连接起来。本系统种所采用
18、的Catalyst 2948G-L3具有第三层路由模块,不需要附加路由器,VLAN之间的通信在Catalyst 2948G-L3交换机内部即可解决,能够建立跨过多台交换机而在整个网络中起作用的VLAN。Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN划分,同时由于都支持802.1Q技术,也就能实现VLAN功能,通过802.1Q,网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机,最高速度可以达到800M。Cisco公司IOS操作系统和Cisco Works网管软件的统一应用,以统一的软件平台把各种不同
19、的硬件连接起来,构成有效、无缝的信息系统,更有利于新应用的部署,同时提高了网络的整体性能。根据端口划分本网络系统利用交换机的端口来划分VLAN成员,通过虚拟网管理应用程序, 中心交换机的端口被定义为虚拟网A、B、C三,分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信,并允许共享型网络的升级。通过交换机端口来划分网络成员,其配置过程简单明了,采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比,基于物理地址的划分方案管理起来不方便,网络管理员经常要进行大量改动;而基于协议的划分方案又没有什么必要,因为网络本身基于TCP/IP协议。因此,迄今为止端口划
20、分是最常用的一种方式。4.1.1.3系统的特点1) 高性能2)核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求,主干连接分别采用100Mb/s、100Mb/s Trunk和千兆以太网,使网络的性能价格比达到最佳点。2) 先进的子网划分方案VLAN是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务,每一个VLAN就是一个广播域,也就等于Win95网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。3) 充分利用CI
21、SCO产品的技术优势 综上所述,本网络系统的先进性、安全性等特性是显而易见的,但更重要的是它的网络整体性能好,符合用户的需要。4.1.2网络服务4.1.2.1网络操作系统 Windows 2000 Advanced Server是为服务器开发的多用途网络操作系统,它支持范围广泛的重要商业应用程序和一系列丰富的开发工具,可为企业用户提供文件打印、软件应用、Web功能和通信等各种服务,是一个性能好、工作稳定、容易管理的平台。Windows 2000 Advanced Server 采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。Windows 2
22、000 Advanced Server具有以下特点: 1) 平台无关性 Windows 2000 Advanced Server是一个与硬件平台无关的,可伸缩的服务器操作系统。它可运行在Intel x86系统、精简指令集计算机(RISC)和DEC Alpha处理机上,从而在选择计算机系统时有多的自由。2)可扩展性 它可以扩展到对称多处理器上,使得需要高性能处理器时还可以加上额外的处理器,支持数达到8路。Windows 2000 Advanced Server在Alpha平台上支持最多32G的物理内存,在Intel平台上支持最多8G的内存。3)兼容性 Windows 2000支持Windows应
23、用程序,以及NTFS、FAT和FAT32文件系统。4) 安全性 Windows 2000已将安全性内嵌入操作系统,有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows 2000支持的安全模板由安全属性的文件(.inf)组成,它将所有现有的安全属性组织到一个位置以简化安全性管理,包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息,也可以用作安全分析。Windows 2000用Kerberos验证,提供更快、更安全的验证和响应,允许用户只登陆一次就可以访问网络资源。5) 活动目录 活动目录采用可扩展的对
24、象存储方式存储了网络上所有对象的信息,并使得这些信息更容易被查找到。活动目录有灵活的目录结构,允许委派对目录安全的管理,提供更有效率的权限管理。6) 开放性 支持多种传输协议,可在多种网络环境下工作7) 可靠性 支持多种容错方式,有较强的容错和出错恢复功能,在多种一般错误发生后一分钟内自动重启应用软件8) 集成Web服务 Microsoft Windows 2000平台上提供Internet信息服务(IIS),该服务可提供在Intranet或Internet上共享文档和信息的能力。利用IIS,可以部署灵活可靠、基于Web的应用程序,并可将现有的数据和应用程序转移到Web上。 可见Windows
25、 2000是十分理想的网络应用平台,可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows 2000 Advance Server作为网络服务器的操作系统,用Windows 2000 Server作为应用服务器的操作系统。4.1.2.2应用功能1)办公自动化和电子邮件服务 Microsoft Exchange Server 是带有集成组件的电子信息交换服务器,它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序,可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能,而所有应用
26、都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合,使用通用、熟悉的开发工具, Exchange Server可以快速提供和实施强大的业务协作解决方案,满足用户对Intranet协作的多层次的需求,提高企业竞争实力。 本电子系统构建于Microsoft Exchange Server电子交换服务器,安装Exchange服务器作为邮局,存储、交换、管理邮件系统中的用户和信件,以电子邮件为基础,处理公司的所有邮件,构成信息传递的基础,并在此基础上构建如下应用:l 个人级的应用主要完成公司内部工作人员日常的办公工作管理,构建电子办公室环境。完成文书处理、电子表格、电子传真
27、、电子邮件、个人日程安排等功能。构建Microsoft Windows98和Microsoft Office 97 / 2000的套件基础上。l 部门级的应用通过Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook来协调部门工作,处理会议请求、资源分配和工作安排等。l 企业级的应用 构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用,构建与Internet Information Server和Microsoft SQL Server的基础上,形成内部的In
28、tranet。2) 数据库应用目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQL Server根据目前业务系统的特点,充分考虑今后系统开放性、高效 性、联机事务处理的要求,数据库系统应该采用SQL Server类型,综合当前SQL Server 产品现状,我们建议采用Microsoft-SQL Server,并使用独立的数据库服务器以提高性能。其原因主要有以下几点:n 由于本系统的体系结构采用客户/服务器模式,Microsoft-SQL Server拥有广泛的客户基础,考虑到本模块主要与控制中心进行数据交换及处理,因此充分估计其它业务及
29、相关系统的要求,采用Microsoft-SQL Server 便于进行与其它系统的数据转换及处理。n 本系统面临一逐步推广使用的过程,因此要求在系统构造时充分考虑其扩展性。MICROSOFT SQL Server 具有开放的体系结构,由于其公开的接口规格,使得现在多数4GL程序开发语言均支持对SQL Server的联接,因此MICROSOFT SQL Server 能够面向多种系统的开发,便于处理与其它系统的接口问题。n 可伸缩性:SQL Server所有的表、SQL代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行,并且它便于向
30、大型、具有并行处理能力的开放系统硬件环境转移。n 互操作性:MICROSOFT 客户/服务器系统能够透明地与其它厂商的产品联结集成,如DB2、Oracle。n 分布式数据库支持:MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时,可以把它们的SQL Server网络当作一个单一的集成资源来对待。n MICROSOFT SQL Server 与Windows 2000 连接紧密:目前SQL Server 产品较多,但与Windows 2000连接紧密且性能优越的当数MICROSOFT SQL Server。n MICROSOFT SQL Ser
31、ver有良好的安全性,达到C2级安全要求。n 在SQL Serve数据库的基础上,可利用各种数据库开发工具开发数据库管理系统,也可使用现在流行的基于Windows平台的MIS管理系统。3)域名服务 由于IP地址是使用一长串的数字来标注主机鹤其他网络设备,非常难于记忆和不便于使用,因此目前在Internet上,采用一种具有直观含义的名字来代替以数字方式表示的IP地址,这种名字形式的地址称为域名地址,整个分层的域名地址体系即是域名解析(DNS)。对于企业来说,域名是企业在网上的标志,也是企业推广自身形象的网络门户。 域名解析是当前网络中一种成熟的技术,在本系统中将用Windows 2000的DNS
32、系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准,既支持动态更新,又可以兼容于NT4网络,支持手工刷新,结合了WINS的动态能力和传统DNS的稳定性和健壮性。在Windows2000中,活动目录与DNS紧密集成在一起,客户可以更容易更迅速地找到目录服务器,企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴进行通讯和提供电子商务,网络规划和管理变得更容易。4) 远程访问服务RAS(远程访问服务)接入提供了协议封装和数据加密功能,允许移动用户通过Internet 或公共网络建立虚拟专用网络(VPN)模拟点对点专用连接,在计算机之间收发数据,其效果与在专用
33、线路上进行数据传输一样安全、有效。在本系统中Cisco远程路由器配有三个Modem端口 ,外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。5)Web服务Windows 2000服务器中内置了一个新的Web服务器-Internet Information Server(IIS) 5.0。IIS以其强大的服务能力和丰富的开发手段,使其成为了电子商务的主要服务器平台,5.0在原有的基础上,又增加了许多新的功能:l IIS 5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来,而且可以对每个站点应用配置独立的CPU使用率,并可以独立停止和重起每个进程。这大大提高了Web服务器的
34、可靠性和稳定性,是您建立的电子商务站点运行的更加可靠。l 在安全性方面,IIS 5.0可以使用Windows 2000 Active Directory实现用户身份的验证,也可以使用证书和Active Directory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。 l IIS 5.0上的Web站点的开发使用的时Active Server Page (ASP) 3.0。ASP提供了强大的功能和与Windows的紧密集成,同时ASP 3.0又进一步提高了效率。ASP 3.0提供了和XML的集成,同时也可以用ADSI 2.0对Windows 2000 Active Dir
35、ectory进行操作。使用Microsoft Visual InterDev 6.0开发工具,您可以快速建立您的电子商务系统,也可以建立一个复杂但是功能强劲的电子商务系统。 因此在本系统中将配置一台Web服务器,使用IIS 5.0进行Web开发,提供完善的Web服务。6)多媒体信息传输根据客户的需求,本系统采用Microsoft NetMeeting构建多媒体会议系统。4.1.3备份服务(建议采用) 使用计算机系统处理日常业务在提高效率的同时, 有一个问题越来越不容忽视, 即数据失效问题。 一旦发生数据失效, 企业就会陷入困境: 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非,
36、如果系统无法顺利恢复, 最终结局将不堪设想。 所以企业信息化程度越高, 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求,我们建议 在本系统中采用CA公司的ARC serve备份系统。 ARCserve 是一 个 跨平台的网络数据备份软件,在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持,目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。产品特性: l 全面保护Windows操作系统l 支持打开文件备份l 支持对各种数据库如Betrieve、Sybase、Oracle等的
37、备份l 支持从服务器到工作站的全面网络备份l 可以实现无人值守的自动备份l 备份前扫描病毒,可以实现无毒备份l 支 持灾难恢复4.1.4 Cisco网络管理 CiscoWorks Windows 是一个适合中小企业网络的全面网络管理解决方案。该经济有效而又易于学习的产品为管理基于 Cisco 的交换机、路由器、集线器和访问服务器网络提供一系列强大的监控和配置工具。通过使用 Ipswitch 的 WhatsUp Gold,您还可以监控打印机、工作站、服务器和重要的网络服务。 CiscoWorks Windows 5.0 含有下列组件: l CiscoView 5.0 版 - 提供 Cisco 设
38、备的图形后视图和前视图;动态的色标图形显示简化了设备状态监控;特定设备的组件诊断、设备配置和应用发布; l Ipswitch公司的WhatsUp Gold 4.05 版 - 提供网络发现、映象、监控和报警跟踪;l 阈值管理器-增强了在 Cisco RMON 启动的设备上设定阈值的能力,降低了管理开销,改进了故障诊断功能;l StackMaker - 允许用户将特定类型的多个 Cisco 设备结合在单个堆叠中,并在单个窗口中可视地管理它们;l 显示命令- 显示详细的路由器系统和协议信息,而无需用户记住复杂的 Cisco IOS 命令行语言和语法。 Cisco Works Windows 提 供
39、以 下 特 性:l 对连网设备自动识别程序可以用色彩鲜明的分级网络视IP IPX 网生成网络拓朴图; l 能为Cisco 设备获取端口状态,带宽使用率,流量统计,协议信息及其它网络性 能统计等扩展数据;l 绘图功能灵活,可快速记录和分析可能输出到文件以备电子数据表或其它工具 使用的历史数据;l 管理信息 率(MIB)编辑器和测览器可以管理第三方SNMP设备;l 可以定多种性能变量设置,以便产生报警或事件通知; l 事件筛选器可以筛选出有用信息以加速故障排除; l 设备配置特性用于在Cisco 交换机内配置简单的虚拟LAN(VLAN)。4.1.5局域网拓扑图4.2局域网防火墙及防病毒解决方案 4
40、.2.1网络安全风险分析 对于信息网所面临的安全风险涉及网络环境多方面,包括:l 自然灾害水灾、火灾、地震等; l 电子化系统故障系统硬件、电力系统故障等; l 人员无意识行为编码缺陷、系统配置漏洞、误操作及无意泄漏等; l 人员蓄意行为网络环境可用性破坏、恶意攻击等。 其中,前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善,尽可能将风险降低到能够被控制和管理的程度。而对于第四方面的安全风险,对整个信息网的安全环境所构成的危害最大,同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的,尽管安全管理非常
41、重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。对于在信息网环境中,采取何种安全技术手段且如何实现,就需要通过对前面提到第四方面的安全风险的分析的基础上,针对信息网安全需求来确定。对于风险来说,它应包括那些可以被管理但又不能被清除的,以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中,主要包括:l 对于网络应用服务的非授权访问;l 信息交互的保密性; l 网络病毒的传播与渗入; l 网络黑客行为。通过对以上主要的网络威胁分析,使我们能够准确把握信息网的网络安全需求。4.2.2需求分析 网络安全需求是保护网络不受破坏,确保网络服务的可用性。对于信息网络内部安全
42、需求,包括:l 能够满足信息网络内的授权用户对相关专用网络资源访问; l 能够对于非授权用户的访问进行有效控制和报警; l 能够坚决杜绝病毒和其他危险程序进入网络; l 能够对于远程访问用户进行安全管理; l 加强对于整个信息网络资源和人员的安全管理与培训。 4.2.3安全管理需求分析 如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于信息网来说就至关重要了。安全管理主要包括两个方面:l 内部安全管理主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全
43、管理主要采取行政手段和技术手段相结合的方法。 l 网络安全管理在网络上设置防病毒安全检测系统后,必须保证防病毒系统的设置正确,且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理,可以通过财务软件本身和一些网络层的管理工具来实现。 4.2.4安全方案 根据对信息网现阶段的安全需求分析,我们在设计本安全方案时,将采取一切有力的措施,来实现信息网现阶段的安全目标,考虑到现阶段对网络病毒的管理要求,本方案提出对网络病毒防范和管理控制建议,并提出了现阶段的网络安全管理方案。4.2.5网络设备的安全配置信息网中,整个网络的安全首先要确保网络设备的安全,保证非授权用户不能访问网络任意的网络通讯
44、设备(例如:路由器,集线器等)。对不同型号、厂家的网络设备,要防范的内容是一样的,但具体的配置方法须依照设备要求来实现。4.2.6对服务器访问的控制对于服务器用户可以设置不同的用户权限,如“非特权”和“特权”两种访问权限,非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置;特权访问权限则允许用户对服务器进行完全的配置。对服务器访问的控制建议使用以下的方式:l 控制台访问控制 l 限制访问空闲时间 l 口令的保护 l 多级管理员权限 4.2.7 CheckPoint FireWall-1 4.04.2.7.1产品简介作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,C
45、heckPoint公司致力于企业级网络安全产品的研发,据IDC的最近统计,其FireWall-1防火墙在市场占有率上已超过44%,财富排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。CheckPoint FireWall-1产品包括以下模块:1) 基本模块:状态检测模块(Inspection Module):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;防火墙模块(FireWall Module):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;管理模块(Management Module):对一个或多个安全策略执行点(安装了
46、FireWall-1的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;2) 可选模块连接控制(Connect Control):为提供相同服务的多个应用服务器提供负载平衡功能;路由器安全管理模块(Router Security Management):提供通过防火墙管理工作站配置、维护3Com,Cisco,Bay等路由器的安全规则;其它模块,如加密模块等。l 图形用户界面(GUI):是管理模块功能的体现,包括策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;日志查看器:查看经过防火墙的连接,识别并阻断攻击;系统状态查看器:查看所有被保护对象的状态
浙ICP备2021020529号-1 | 浙B2-20240490 
