内蒙古XXX网络工程系统集成设计方案

内蒙古XXX网络工程系统集成设计方案 年 月 日 目 录 第一章 内蒙古XXX工程系统集成方案综述 4 1.1工程建设总体目标 4 1.2工程建设实现的主要功能 4 1.3工程建设的主要原那么 4 第二章 内蒙古XXX网络平台硬件局部详细设计方案 6 2.1设计需求及网络技术选择 6 2.1.1 工程建设需求 6 2.1.2 网络技术选择 6 2.2 内蒙古XXX网络设计 12 2.2.1 总体结构 12 2.2.2 局域网设计 14 2.2.3 城域网设计 14 2.2.4 门户网站 15 2.2.5 路由交换设备选型 16 2.2.6 效劳器选型 34 2.2.7 网络检测 44 2.2.8 补充说明 52 第三章 网络平安设计 54 3.1 网络平安概述 54 3.2 硬件防火墙 56 3.2.1 各种防火墙技术介绍 56 天融信 NGFW4000-TZ介绍 59 2.3.3 IDS入侵检测 62 第四章 内蒙古XXX网络平台软件设计 65 4.1操作系统 65 4.1.1 网络系统选型原那么 65 4.1.2 网络系统应具备的功能和特点 65 4.1.3 Windows Server 2003标准版概述 66 4.2网页防篡改 72 4.2.1 产品结构 72 4.2.2 产品概述 73 4.3邮件系统 75 4.3.1 不同类型产品间的比拟 76 4.3.2 PostOffice 2.0产品概述 76 4.3.3 反垃圾邮件系统 78 4.3.4 电子邮件防毒墙 79 4.3.5 几点说明 81 4.4 数据库系统 81 4.4.1 数据库软件选型标准 82 4.4.2 Microsoft SQL Server 2000 介绍 82 第一章 内蒙古XXX工程系统集成方案综述 1.1工程建设总体目标 (略) 1.2工程建设实现的主要功能 内蒙古XXX网络的主要功能包括:文件传输(FTP)、远程登录(TELNET)、电子邮件(E-MAIL)、WEB浏览、在线信息发布、在线信息咨询与反响、数据库查询、分布式数据存储、容灾备份、信息共享、视频会议、网络 、虚拟专网〔VPN〕、平安防护等功能。

1.3工程建设的主要原那么 内蒙古XXX网络建设，要遵循以下原那么：
◇先进性 我公司在此方案中的各个局部推荐符合当代信息技术开展形势，既有先进技术又开展成熟，并且是各个领域公认的领先产品，使新建的网络计算机系统能够最大限度地适应今后技术开展和业务开展变化的需要：
l 先进的应用效劳器。

l 高速转发的网络交换机。

l 高性能的关系型数据库。

l 高平安防范的硬件防火墙。

◇实用性 计算机系统的建设将以满足内蒙古XXX网络应用系统的需求，同时考虑今后信息量的增加为基点，从主机CPU的处理能力、硬盘的空间、网络交换机的扩展槽等多方面做到系统的实用性。

◇可扩充性 在开展迅速的信息领域，应用环境、系统的硬件或软件都会不断地加以更新，因此，系统的可扩充性以及前后兼容一致性十分重要。本方案的设计，硬件/软件是建立在广泛的可升级根底上。

◇开放性 各种设计标准、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。

◇平安保密性 随着Internet/Intranet技术的飞速开展和广泛应用，网络平安问题愈来愈突出，已成为本世纪初的一大技术热点。黑客技术的公开和有组织化，以及网络的开放性使得网络受到攻击的威胁越来越大。网络入侵往往是由于自身固有的漏洞引起的，我们将通过VLAN技术、防火墙技术、访问控制列表技术，多角度多层面的设计系统的平安体系结构。

◇可管理性 在分布式计算机的环境中，可管理性已成为系统能否成功的关键，使网络管理人员只在网络管理中心就能对全网络的设备进行管理和配置。

◇经济性及投资保护 性能价格比是我们在本方案中充分考虑的因素。投资保护不仅仅是对设备产品等，更应该是对人和知识的保护。我们将充分保护用户的现有网络结构和技术人员的知识结构，在现行系统平滑升级的同时，进一步充分使用现有的各类二级、三级网络设备，使其继续发挥其功能作用。

第二章 内蒙古XXX网络平台硬件局部详细设计方案 2.1设计需求及网络技术选择 2.1.1 工程建设需求 (略) 2.1.2 网络技术选择 局域网的根本拓扑结构大多为二级/三级星形结构。例如：在大楼的环境，每个布线间会有交换机提供网络端口与终端工作站相连，并采用高速的上联端口连接骨干中心的高端交换机，同时也采用高速的主干链路上连数据库效劳器。由于是星形结构，越往中心的主干链路，其带宽就越高，因为末端的工作站流量都聚集在主干来传输。

目前的局域网络主干传输技术以千兆以太网为主,接入采用快速以太网方式. 2.1.2.1 快速以太网技术 100 Base-T快速以太网是由10 Base-T以太网标准开展而来的，是现行的IEEE 802.3标准的扩展，标准为IEEE 802.3u。100 Base-T使用现有的IEEE 802.3媒体访问控制(MAC)层，在100 Base-T的MAC层中，仍然采用CSMA／CD媒体访问协议，信息包的传输率比10 Base-T提高了10倍〔即将每个数据位的传输时间压缩了10倍〕。由于MAC被定义成与速率无关，因此，100 Base-T的数据帧格式、数据帧长度、过失控制等均与10 Base-T相同。并且同样采用星型拓扑结构，不需对工作站的以太网卡上执行的软件和上层协议做任何修改，就可使局域网上的10 Base-T和100 Base-T站点间互相通信，不需要任何协议转换。〔对于原来使用5类双绞线连接的网络，只要更换网卡和集线器，就可平滑地由10 Base-T升级到100Base-T。但100 Base-T网络不支持同轴电缆。〕 100 Base-T支持多种网络通信介质，如双绞线、光纤等，10 Base-T网络的电缆技术可以沿用。100 Base-T标准包括3种媒体标准：100 Base-TX、100 Base-T4和100 Base-FX。

(1) 100 Base-TX 100 Base-TX传输媒体可以采用5类无屏蔽双绞线UTP。RJ-45接口与10 Base-T中的连接方法一样，占用其中的2对绞线(即1—2、3—6)。传输媒体的最大网段是100米，可以使用2个中继器，但100 Base-TX网络的最大跨距为205米〔中继器之间的最大电缆长度是5米〕。

(2) 100 Base-T4 100 Base-T4是一个4对线系统，传输媒体采用3类、4类、5类无屏蔽双绞线UTP的4对线路进行100Mbps的数据传输。其中3对双绞线用于数据传输，1对用于冲突检测。媒体段的最大长度为100米。100 Base-T4也使用RJ-45接口，连接方法与10 Base-T相同，4对线〔1—2、3—6、4—5、7—8〕一一对应连接。但在10 Base-T系统中仅用了其中1—2、3—6两对，一般在布线时4对线都会安装连接。对于原来用3类线布线的系统，可以通过采用100 Base-T4把网络从10Mbps升级到100Mbps，无需重新布线。

(3) 100 Base-FX 在100 Base FX环境中，一般选用62.5／125μm多模光缆，也可选用50／125，85／125以及100／125的光缆。但在一个完整的光缆段上必须选择同种型号的光缆，以免引起光信号不必要的损耗。对于多模光缆，在100Mbps传输率，全双工情况下，系统中最长的媒体段可达2km。100 Base FX也支持单模光缆作为媒体，在全双工情况下，单模光缆段可到达40km，甚至更远，但价格要比多模光缆贵得多。在系统配置时，可以外置单模光缆收发器，也可以在多模光缆收发器的连接器上再配置一个多模／单模转换器，以驱动单模光缆。光纤接口仍然采用MIC、ST或SC光纤接口。

100 Base-T快速以太网技术与产品推出后，迅速获得广泛应用。同样，它既有共享型集线器组成的共享型快速以太网系统，又有快速以太网交换机构成的交换型以太网系统。100 Base-X还支持全双工以太网技术。

在100 Base-T网络实际应用时，为了能与传统的10Mbps网络方便地互连，在标准中增加了10／100Mbps速度自动协商感应功能，使得10 Base-T和100 Base-T的适配器可以自动感应传输的操作模式，采用与另一端设备所支持的最快的传输速度。在支持这种自动协商功能的10／100Mbps以太网适配器中，100 Base-T的工作站在启动时，首先发出一组高速链路脉冲(FLP)，如果对端的HUB是1个只能工作在10 Base-T方式的端口，那么该网卡就自开工作在10 Base-T模式下；
如果对端的HUB能支持100 Base-T，它会检测到高速链路脉冲，采用自动协商算法和FLP数据确定网段速度，并将高速链路脉冲送到适配器，将HUB和适配器自动设置为100 Base-T模式。10Mbps／100Mbps自适应的特点保证了10Mbps系统平滑地过渡到100Mbps以太网系统。

由于100 Base-T网络价格较低、易升级、速率高、兼容性强，所以将成为目前应用较广的网络结构。缺点是仍采用CSMA／CD控制，待发工作站采用竞争方式，因此带来传输帧间时延性能变差，不利于实时信息的传送。但在交换式100 Base-T网络中，由于工作站与交换机之间是单点连接，不存在碰撞，所以可以克服这个缺点。

2.1.2.3 千兆以网技术 经济在高速开展，信息在迅猛膨胀。多媒体应用的日益增加、IP语音传输需求的激增，对网络的带宽提出了新的挑战。局域以太网从10M开始开展，经历几多的变迁，风风雨雨二十多年，开展到今天风行一世的千兆以太网。千兆以太网以高效、高速、高性能而著称，已经广泛应用在金融、商业、教育、政府机关及厂矿企业等各行各业。

千兆以太网及其开展现状 千兆以太网是建立在以太网标准根底之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容，并利用了原以太网标准所规定的全部技术标准，其中包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE 802.3标准中所定义的管理对象。作为以太网的一个组成局部，千兆以太网也支持流量管理技术，它保证在以太网上的效劳质量，这些技术包括IEEE 802.1P第二层优先级、第三层优先级的QoS编码位、特别效劳和资源预留协议〔RSVP〕。

千兆以太网还利用IEEE 802.1QVLAN支持、第四层过滤、千兆位的第三层交换。千兆以太网原先是作为一种交换技术设计的，采用光纤作为上行链路，用于楼宇之间的连接。之后，在效劳器的连接和骨干网中，千兆以太网获得广泛应用，由于IEEE 802.3ab标准〔采用5类及以上非屏蔽双绞线的千兆以太网标准〕的出台，千兆以太网可适用于任何大中小型企事业单位。

目前，千兆以太网已经开展成为主流网络技术。我们在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。千兆以太网技术甚至正在取代ATM技术，成为城域网建设的主力军。

千兆以太网的特点 千兆以太网的特点主要包括如下。

(1)千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络根底设施上的投资。千兆位以太网将保存IEEE 802.3和以太网帧格式以及802.3受管理的对象规格，从而能够在升级至千兆性能的同时，保存现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具；

(2)千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一条最正确的路径。至少在目前看来，是改善交换机与交换机之间骨干连接和交换机与效劳器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速根底设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。

(3)IEEE 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组，其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps，相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外，IEEE标准将支持最大距离为550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的缺乏。

千兆以太网的构建 千兆以太网络是由千兆交换机、千兆网卡、综合布线系统等构成的。千兆交换机构成了网络的骨干局部，千兆网卡安插在效劳器上，通过布线系统与交换机相连，千兆交换机下面还可连接许多百兆交换机，百兆交换机连接工作站，这就是所谓的“百兆到桌面〞。在有些专业图形制作、视频点播应用中，还可能会用到“千兆到桌面〞，及用千兆交换机联到插有千兆网卡的工作站上，满足了特殊应用下对高带宽的需求。

在建设网络之前，究竟用千兆还是百兆，要从实际出发，从应用出发，考虑网络应该具备哪些功能。不同的应用有不同的需求，而且几乎没有只有单一业务的网络。但是，在各种业务中，生产性业务肯定是优先级最高的。如果在网络中传输语音，那么语音业务也需要优先安排。如果对业务优先的需求很高，网络必须有QoS保证。这样的网络必须要智能化，在交换机端口能够识别是什么类型的业务通过，然后对不同的业务进行排队，为不同的业务分配不同的带宽，这样才能保证关键性业务的运行。数据业务本身是有智能的，不管多少带宽都可以传输，只是时间长短而已，但是语音或者视频就不一样了，如果带宽小了之后，马上就听不清楚了，或者图像产生抖动，这都是不允许的。所以QoS非常重要。对单纯的数据网络，在QoS方面的需求就很低。在规划网络的时候，必须先了解清楚哪些功能是必须的，哪些可以不考虑。例如，目前多址播送是比拟重要的性能之一，如果需要在网络中传输图像，而网络不具备多址播送的特性，那么网络的带宽浪费就会非常严重，甚至根本无法实现。

千兆以太网国际标准 1997年1月，通过了IEEE 802.3z第一版草案；

1997年6月，草案V3.1获得通过，最终技术细节就此制定；

1998年6月，正式批准IEEE 802.3z标准；

1999年6月，正式批准IEEE 802.3ab标准(即1000Base-T)，可以把双绞线用于千兆以太网中。

千兆位以太网标准主要针对三种类型的传输介质：单模光纤；
多模光纤上的长波激光〔称为1000BaseLX〕、多模光纤上的短波激光〔称为1000BaseSX〕；
1000BaseCX介质，该介质可在均衡屏蔽的150欧姆铜缆上传输。IEEE 802.3z委员会模拟的1000BaseT标准允许将千兆位以太网在5类、超5类、6类UTP双绞线上的传输距离扩展到100米，从而使建筑楼宇内布线的大局部采用5类UTP双绞线，保障了用户先前对以太网、快速以太网的投资。对于网络管理人员来说，也不需要再接受新的培训，凭借已经掌握的以太网网络知识，完全可以对千兆以太网进行管理和维护。

千兆以太网的标准化包括编码/译码、收发器和网络介质三个主要模块，其中不同的收发器对应于不同的网络介质类型。1000BASE-LX基于1300nm的单模光缆标准时，使用8B/10B编码解码方式，最大传输距离为5000米。1000BASE-SX基于780nm的FibreChannel optics，使用8B/10B编码解码方式，使用50微米或62.5微米多模光缆，最大传输距离为300米到500米。连接光纤所使用的SC型光纤连接器与快速以太网100BASE FX所使用的连接器的型号相同。1000BASE-CX是一种基于铜缆的标准，使用8B/10B编码解码方式，最大传输距离为25米。1000BASE-T基于非屏蔽双绞线传输介质，使用1000BASE-T 铜物理层Copper PHY编码解码方式，传输距离为100米。1000BASE－T在传输中使用了全部4对双绞线并工作在全双工模式下。这种设计采用 PAM-5 (5级脉冲放大调制) 编码在每个线对上传输 250Mbps。双向传输要求所有的四个线对收发器端口必须使用混合磁场线路，因为无法提供完美的混合磁场线路，所以无法完全隔离发送和接收电路。任何发送与接收线路都会对设备发生回波。因此，要到达要求的错误率〔BER〕就必须抵消回波。1000BASE－T无法对频率集中在125MHz之上的频段进行过滤，但是使用扰频技术和网格编码能对80MHz之后的频段进行过滤。为了解决5类线在如此之高的频率范围内因近端串扰而受到的限制，应该采用适宜的方案来抵消串扰。

最初的千兆以太网采用高速780纳米光纤信道的光元件传输光纤上的信号，采用8B/10B的编码和解码方法实现光信号的串行化和复原。目前光纤信道技术的数据运行速率为1.063Gbps，将来会提高到1.250Gbps，使数据速率到达完整的1000Mbps。对于更长的连接距离，将采用1300纳米的光元件。为了适应硅技术和数字信号处理技术的开展，应在MAC层和PHY层之间制定独立于介质的逻辑接口，以使千兆以太网工作在非屏蔽双绞线电缆系统中。这一逻辑接口将适用于非屏蔽双绞线电缆系统的编码方法，并独立于光纤信道的编码方法。下列图说明了千兆以太网的组成。

如何升级至千兆以太网 把10M、100M网络升级至千兆的条件并不多，最主要的是综合布线条件。千兆以太网指的是网络主干的带宽，要求主干布线系统必须满足千兆以太网的要求。如果原来的网络覆盖距离相隔几百米至几公里的多幢建筑物，那么原来的主干布线一般采用的是多模或单模光纤，能够满足千兆主干的要求，可以不必重新敷设光纤了。在建筑物之间的距离小于550米的情况下，一般敷设价格相对低廉的多模光纤就可以满足千兆以太网的需要。

如果原来的网络只覆盖了一幢建筑，而且最远的网络节点与网络中心的距离不超过100米，那么可以利用原来的5类或超5类布线系统。如果原来的布线系统达不到5类标准，或者采用了总线型布线系统而不是星型布线系统，那么必须重新布5类线。

升级至千兆以太网，首先要将网络主干交换机升级至千兆，以提高网络主干所能承受的数据流量，从而到达加快网络速度的目的。以前的百兆交换机作为分支交换机，以前的集线器那么可以在布线点缺乏的地方使用。目前千兆交换机的产品已经很多，可以根据网络的要求和预算等实际情况选择。

网络上的效劳器需要吞吐大量的数据，如果网络主干升级至千兆，但是效劳器网卡还停留在百兆的水平上，效劳器网卡就会成为网络的瓶颈，必须使用千兆网卡才能消除这个瓶颈，解决方法是在原来的效劳器上添加千兆网卡。注意应该优先选购64位PCI的千兆网卡，其性能比普通PCI千兆网卡高一些。千兆网卡可以根据网络的要求和预算等实际情况选择。

网络主干升级了，网络的分支也应随之升级。如果原来的用户计算机已经安装了10M/100M自适应网卡，那么可以不必升级网卡，只要将网卡接到百兆交换机上就可以了；
如果原来使用的是10Mbps网卡，那么需要将网卡更换为10M/100M自适应网卡，这样才能提高工作站访问效劳器的速度。

千兆以太网的前景预测 预计到2005年之前，数据传输量每年将以3倍的速度增长，并于当年超过语音传输量，成为全球通信网络主要的传输方式。面对日益增长的数据流和多媒体效劳，大容量、高速率、多功能模块高端网络产品的市场规模将不断扩大。可以预见的是，千兆以太网交换机所占的市场份额会越来越大。随着Internet的开展和网络上层出不穷应用的出现，万兆以太网将是以后的主流，但至少在近两年内，千兆以太网仍然是市场上的主流。

鉴于以上介绍采用TCP/IP协议，千兆以太网技术组网，主干带宽1000兆，接入带宽100兆，100兆交换到桌面以满足多媒体通信的要求。

2.2 内蒙古XXX网络设计 2.2.1 总体结构 内蒙古XXX网络平台总体架构如下列图：
〔略〕 2.2.5 路由交换设备选型 2.2.5.1 核心交换机 根据实际情况与要求，要求网络设备具有很高的可靠性和可用性,我们推荐采用huawei-3com公司的Quidway® S8500交换机作为政务网络平台的核心路由器。

Quidway S8500万兆核心路由交换机简介 ◇产品概述 Quidway® S8500系列万兆核心交换机是由华为3Com公司自主开发的新一代高性能万兆核心路由交换机产品，可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、会聚层。

Quidway® S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Quidway® S8500系列支持新一代高性能万兆接口，能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低本钱、高性能、具有丰富业务支持能力的高性能网络。Quidway® S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量，提供完善的QoS保障、平安管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。

◇产品特点 1) 先进的体系结构 Quidway® S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不再单独占用设备槽位，可提供高达1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网，从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。

Quidway® S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低本钱的根底上，革命性的解决了传统交换机流Cache精确匹配转发的致命缺陷，能够有效的抗击网络“红色代码“、“冲击波“等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。

2) 大容量、高密度线速交换 Quidway® S8500系列产品目前最高可以提供高达1.44Tbps交换容量、857Mpps转发能力。支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发，满足核心层设备大容量、高密度的要求。

3) 强大的业务支撑能力 Quidway® S8500支持MPLS VPN业务；
支持丰富的组播协议〔IGMP、IGMP SNOOPING，PIM-SM、PIM-DM和MSDP/MBGP等〕；
支持WebSwitch〔硬件支持〕、NAT〔硬件支持〕，内置防火墙〔硬件支持〕、IDS；
支持POS/ATM、RPR等接口。

4) 新一代万兆接口支持 Quidway® S8500系列产品提供的新一代万兆以太网克服了早期万兆以太网的诸多局限，在线速转发的根底上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、平安等特性。Quidway® S8500的新一代万兆以太网交换机不仅在接口密度上到达2端口/线卡〔后续可扩展至4端口/线卡〕，并且可以支持线速的MPLS转发，可以提供更好的IP VPN业务和透明的LAN效劳，真正实现性能与功能的完美统一。

Quidway® S8500系列产品除了提供标准的LAN接口，还可以提供使用波分复用技术的10GBASE-LX4接口，从而大大提高了用户组网的灵活性。

5) MPLS/IPv6分布式线速支持 Quidway® S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升，另一方面业务的开展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway® S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。

6) 完善的QoS机制 Quidway® S8500系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；
支持8个优先级队列，3个丢弃优先级；
支持WRED拥塞防止算法和端口流量整形。支持带宽控制功能，流量限速的粒度为8Kbit/s，满足精品宽带网络的要求。

7) 电信级可靠性设计：
Quidway® S8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；
电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输入；
支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性到达：99.999％。

8) 完善的平安机制：
Quidway® S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备平安，支持OSPF 、RIP v2 及BGP v4 报文的明文及MD5密文认证；
支持URPF〔单播反向路径检查〕；
采用802.1x方式对接入用户进行认证，支持平安的SNMPv3的网管协议、支持配置平安，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。

Quidway® S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

Quidway® S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及HCBM〔华为可控组播管理协议〕功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备平安组网提供了多样化的选择，简化了网络层次，提高了整网性能。

◇产品规格 属 性 S8512 体系结构 一体化机箱，可安装于19英寸机架内 外形尺寸〔MM〕 宽×深×高 436 x 450 x 753 满配置重量(Kg〕 100 交换容量 XRCoreEngine™ I 720G XRCoreEngine™ II 1.44T 背板容量 1.8Tbps〔可扩展至3.6T〕 包转发率 XRCoreEngine™ I 428Mpps XRCoreEngine™II 857Mpps 槽位数量 14 业务单板槽位数量 12 二层功能 4K VLAN 支持802.1q优先级 生成树协议：STP/RSTP/MSTP 支持动态VLAN注册协议〔GVRP〕 支持端口捆绑 支持端口镜像 支持播送风暴抑制 支持Jumbo帧 兼容Ethernet_II/Ethernet_SNAP/IEEE 802.2/IEEE 802.3 MDI/MDI-X自适应 三层功能 ARP Proxy〔SuperVLAN〕 提供丰富的路由协议：RIP、OSPF、IS-IS、BGP4 支持256K 最长匹配路由转发表 支持路由负载分担 支持分布式策略路由 支持URPF〔单播反向路径检查〕 支持VRRP 支持DHCP-RELAY 组播 二层组播协议：GMRP、IGMP Snooping 三层组播协议：IGMP、PIM-DM、PIM-SM、MSDP/MBGP 支持可控组播业务 NAT 支持NAT中NAPT模式 支持公有地址和私有地址的混合组网NAT转换 支持ICMP、FTP的等ALG 平安功能，防止DOS攻击对NAT模块资源的过度使用 支持NAT板间的负荷分担和备份功能 WebSwitch 具有L3/L4层的线速交换 基于L4层的PBR及其他功能：如效劳器负载均衡、防火墙负载均衡、Web Cache高速缓存重定向等功能 MPLS VPN 支持二层MPLS VPN 支持三层MPLS VPN 支持QinQ 支持PE和P功能 MPLS标签空间：128K MPLS标签栈深度：4级 QoS 可基于物理端口、VLAN、源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP端口、协议号等进行报文分类和过滤 支持带宽控制，带宽控制粒度为8Kbit/s 优先级队列调度：每端口支持8个优先级队列，3个丢弃优先级，支持SP、WRR、SP+WRR三种队列调度算法 支持WRED拥塞防止算法 支持流量整形 支持802.1P，DSCP/TOS优先级和重新标记能力 支持基于时间段的流分类和QoS控制能力 网络平安特性 支持IP+MAC+PORT任意组合的绑定 支持非法帧报文过滤 支持IEEE 802.1X认证 用户分级管理和口令保护 支持端口隔离 支持SSH 支持SNMPv3网管 可靠性 MTBF: >128,400小时 MTTR:<0.5小时 双主控 支持双路电源供电 支持热插拔 环境要求 温度范围：0℃～40℃ 相对湿度：10%～90%〔非凝结〕 电源要求 DC：输入电压：－48V～－60V AC：输入电压：100V～240V 最大输出功率：1200W〔S8505〕、2000W〔S8508/S8512〕 2.2.5.2 会聚层交换机 本次网络系统集成我们采用5台Quidway S3552F作为会聚层交换机，每台配置一个千兆光纤模块用于上行接入到核心交换机。以及八端口的百兆光纤模块向下接入各厅委的接入交换机。

Quidway S3552F 交换机简介 ◇ 产品概述 Quidway® S3500F平安智能三层交换机是华为3Com公司为充分满足平安IP交换和高QOS保证的需求而推出的智能型以太网交换机。该系列交换机提供完善的路由协议、VLAN控制、流量交换、QOS保证的机制，以及完备的业务控制和用户管理能力。这些智能化的特点非常适合作为关注业务管理控制和网络平安保障能力的办公网、业务网和驻地网的会聚三层交换机。

S3552F交换机的主板提供6个模块插槽，可选配8端口百兆单、多模模块和10Base-T/100Base-TX模块，整机共提供48个百兆单、多模光接口、10Base-T/100Base-TX自协商以太网端口〔RJ-45连接器〕及4个GBIC模块接口，1个Console口。支持220V交流供电或-48V直流供电，GBIC模块接口有单模、多模、电口等不同传输距离模块可供选择。

◇产品特点 1)大容量全线速的多层交换 Quidway® S3500系列平安智能三层交换机32Gbps的总线带宽为交换机所有的端口提供三层线速交换能力，系统能够提供4个GE，有效解决了在单台设备上多个千兆链路上行，同时接入千兆效劳器的需求，极大的节省了用户对设备投资。设备最大提供512个子网路由接口，硬件支持层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。

2)完备的平安控制策略 Quidway® S3500系列平安智能三层交换机基于最长匹配的路由策略，系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒〞和“冲击波病毒〞的攻击具有天生的防御能力，有效保证了设备平安。

Quidway® S3500系列平安智能三层交换机支持802.1x和Web Portal认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

3)高可靠性 Quidway® S3500系列平安智能三层交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。

支持可选的冗余电源系统RPS，可为4台设备提供电源冗余，提高容错能力和网络正常运行时间。

支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。

支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一个备份路由上去，实现上行路由的多级备份。

4)丰富的QOS策略 Quidway® S3500系列平安智能三层交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；
支持1K个流规那么。

提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP〔Strict Priority〕、WRR〔Weighted Round Robin〕、SP+WRR三种模式；
支持8个优先级队列，3个丢弃优先级；
支持WRED拥塞防止算法和端口流量整形。支持CAR〔Committed Access Rate〕功能，流量限速的粒度为8Kbit/s。

5)多样的管理方式 Quidway® S3500系列平安智能三层交换机支持SNMP，可支持Open View等通用网管平台，以及Quidview®、iManager® 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便 ◇产品规格 工程 S3552F 管理端口 1个Console口 业务端口描述 固定端口 6个业务槽位 4个GBIC模块接口 可选模块 8端口百兆单模光模块 8端口百兆多模光模块 8端口10/100Base-T模块；

GBIC-T GBIC-SX〔0.55km〕 GBIC-LX〔10km〕 GBIC-HX30〔30km〕 GBIC-HX40〔40km〕 GBIC-ZX70〔70km〕 端口类型 100Base-FX多模光接口〔LC接口〕 100Base-FX单模光接口〔LC接口〕 10/100BASE-T 1000BASE-GBIC 外形尺寸(mm) 宽×深×高 436×390×86 重量 6KG 输入电压 AC：额定电压范围：100-240V；
50/60Hz；

最大电压范围：90-264V；
50/60Hz DC：额定电压范围：-60 - -48V；

最大电压范围：-72 - -36V 冗余电源 支持 功耗〔满负荷时〕 54W 工作环境温度 0～45℃ 工作环境相对湿度〔非凝露〕 10%～90% S3552系列以太网交换机业务特性 特性 S3552F 线速二/三层交换 所有端口支持线速转发 端口容量为17.6Gbit/s 背板交换容量为32Gbit/s 包转发率13.2Mpps 交换模式 存储转发模式〔Store and Forward〕 VLAN 最多支持4K个符合IEEE 802.1Q标准的VLAN〔Virtual Local Area Network〕 支持基于端口的VLAN 支持GVRP〔GARP VLAN Registration Protocol〕 支持局域网协议 Ethernet_II Ethernet_SNAP〔Subnetwork Access Protocol〕 IP路由 静态路由 RIP〔Routing Information Protocol〕 v1/2 OSPF〔Open Shortest Path First〕 BGP〔Border Gateway Protocol〕 等价路由 策略路由 支持 DHCP特性 DHCP Delay， DHCP Server ARP Proxy 支持 Super Vlan 支持 可靠性 支持VRRP〔Virtual Redundancy Routing Protocol〕 组播 GMRP〔GARP Multicast Registration Protocol〕 IGMP Snooping IGMP〔Internet Group Management Protocol〕 PIM-DM〔Protocol Independent Multicast-Dense Mode〕 PIM-SM〔Protocol Independent Multicast-Sparse Mode〕 STP〔Spanning Tree Protocol〕/RSTP〔Rapid Spanning Tree Protocol〕/MSTP〔Multiple Spanning Tree Protocol〕 支持STP/RSTP/MSTP协议，符合IEEE 802.1D、IEEE 802.1w、IEEE 802.1s标准 端口会聚 支持FE〔Fast Ethernet〕端口聚合 支持GE〔Gigabit Ethernet〕端口聚合 最多支持7组聚合〔每组最多包含8个端口〕 播送风暴抑制 所有端口上支持基于带宽百分比的组播、播送风暴抑制 镜像 支持基于流分类的镜像、支持端口镜像 MAC地址表 地址自学习 IEEE 802.1D标准 最多支持12K个MAC地址 流控 支持IEEE 802.3x流控〔全双工〕 支持Back-pressure based flow control〔背压式流控〕〔半双工〕 加载与升级 支持XModem协议实现加载升级 支持FTP〔File Transfer Protocol〕、TFTP〔Trivial File Transfer Protocol〕加载升级 管理 支持命令行接口〔CLI〕配置 支持Telnet远程配置 支持通过Console口配置 支持SNMP〔Simple Network Management Protocol〕 支持RMON 〔Remote Monitoring〕1，2，3，9组MIB 支持QuidView网管系统 支持WEB网管 支持系统日志 支持分级告警 支持HGMP〔Huawei Group Management Protocol〕 V2 支持HGMP V1〔作为Server〕 支持Modem远端拨号 支持NTP 维护 支持调试信息输出 支持PING〔Packet Internet Groper〕、Tracert 支持Telnet远程维护 支持HGMP V1〔作为Server端〕 QoS〔Quality of Service〕/ACL〔Access Control List〕 支持1K条流规那么 支持CAR〔Committed Access Rate〕功能，流量限速的粒度为：8Kbit/s 支持播送速率限制 支持8个优先级队列，3个丢弃优先级 支持灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP〔Strict Priority〕、WRR〔Weighted Round Robin〕、SP+WRR三种模式 支持WRED〔Weighted Random Early Detection〕拥塞防止算法 支持端口流量整形 支持802.1P，DSCP〔Differentiated Services Code Point〕/TOS〔Type Of Service〕优先级 TOS重新标记 支持L2~L7包过滤功能，提供基于源MAC地址、目的MAC〔Medium Access Control〕地址、源IP地址、目的IP地址、端口、协议、VLAN〔Virtual Local Area Network〕、VLAN范围、MAC地址范围和非法帧过滤 支持时间段〔Time Range〕 平安特性 用户分级管理和口令保护 支持IEEE 802.1X认证 支持Portal认证 SSH 2.2.5.3 接入层交换机 本次网络集成接入层交换机我们选用huawei-3com公司的Quidway S3026C以太网交换机。每台交换机配有一100兆光纤模块上行端口，用于连接到会聚层交换机。接入层交换机放置在个厅委机房。

Quidway S3026C 简介 ◇ 产品概述 Quidway® S3000系列智能二层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机。系统采用高性能的ASIC，采用灵活的模块化结构，提供二到七层的智能的流分类和和完善的效劳质量〔QoS〕，实现完备的业务控制和用户管理能力，可作为关注业务管理控制和网络平安保障能力的城域网的接入层交换机。

S3000系列智能二层交换机，包括：S3050C、S3026G/T/C、S3026E、S3026E-FS/FM Quidway S3026C以太网交换机为1U高的盒式设备，支持19英寸机架安装，可不依赖于其他设备独立运行。系统提供固定的24个10/100Base-TX的自适应端口、1个Console口及2个GBIC/1000Base-T/前扩展槽，可以根据需求灵活选择设备。

◇产品特点 1)全线速的二层交换：
Quidway® S3000系列智能二层交换机12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。

2)完备的平安智能控制策略：
Quidway® S3000系列智能二层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

3)高可靠性：
Quidway® S3000系列智能二层交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持可选的冗余电源系统RPS，可为4台设备提供电源冗余，提高容错能力和网络正常运行时间。

4)丰富的QOS策略：
Quidway® S3000系列智能二层交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；
支持1K个流规那么。

提供了三种各具特色的队列调度算法，严格优先级〔Strict-Priority Queue，简称PQ〕、加权轮循〔Weighted Round Robin，简称WRR〕调度算法和Delay bounded WRR调度算法；

支持带宽控制功能，确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。

支持CAR〔Committed Access Rate〕功能，流量限速的粒度为1Mbit/s。

5)良好的扩展性：
Quidway® S3000系列智能二层交换机提供良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建本钱。

6)多样的管理方式：
Quidway® S3000系列智能二层交换机支持SNMP，可支持Open View等通用网管平台，以及Quidview®、iManager® 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便 ◇产品规格 S3026C 固定端口 24个10/100M以太网口；

1个Console口 扩展槽位数量 2个前扩展模块插槽 扩展接口模块种类 100Base-FX单模模块 100Base-FX多模模块 100Base-FX单模中距模块〔40Km〕 1000Base-T 1000Base-SX 1000Base-LX 1000Base-ZX〔70Km〕 1000Base-LX GL〔40Km〕 堆叠模块 交换容量 ≥12.8Gbps 包处理能力 ≥6.55Mpps〔所有端口实现线速路由和转发〕 MAC地址表 8K VLAN 支持256个802.1Q标准的VLAN；
支持4K VLAN透传；

支持isolate-user-vlan，可以隔离用户，节省VLAN资源；

支持GVRP；

支持VLAN trunk；

组播协议 IGMP Snooping，支持可控组播 生成树协议 STP、RSTP，MSTP 流分类规那么 L2-L7层复杂流分类，可以基于物理端口、MAC、IP、VLAN、协议类型、802.1p、四层协议号等信息进行任意流分类 QOS动作 在流分类的根底上可以进行如下QOS动作：带宽控制、打优先级标记、报文镜像、报文重定向、报文统计、报文允许、报文过滤等 QOS队列调度算法 SP、WRR、Delay bounded WRR 流量监管 支持 播送风暴抑制 所有端口上支持基于带宽百分比的播送风暴抑制 端口会聚 支持6组，每组最大8个100M端口聚合、2个千兆端口聚合 镜像 支持基于流的镜像 堆叠 支持，最大支持16台 认证 支持基于端口和MAC的802.1x认证，可终结EAP报文 平安 分级命令保护机制；
ACL过滤；
双网卡proxy检测 管理 支持命令行接口配置；
支持Telnet远程配置；

支持通过Console口配置；
支持远端拨号；

支持SNMP V1/V2/V3；
支持iManager N2000及QuidView网管系统；

支持WEB网管；
支持集群管理；

支持RMON〔Remote monitor〕 1，2，3，9组MIB；
支持系统日志；

支持分级告警；
支持HGMP (Huawei Group Management Protocol) V2；

支持HGMP V1 输入电压 AC：90V～264V 50/60Hz；
DC：-75V～-36V 外形尺寸〔mm〕 〔宽×深×高〕 436×245×42 重量 3kg 功耗 30W 环境要求 工作温度：0 ~ 45 ℃ ；
储存温度：-40 ~ 70 ℃；

相对湿度：10 ~ 90% ；
不结露 Quidway S2021 交换机 Quidway S2021 交换机简介 ◇ 产品概述 Quidway S2021以太网交换机是华为公司自主开发的楼道级/桌面级二层智能、可网管交换机。华为公司针对楼道级/桌面级交换机的特点，从软件、硬件及结构等方面对这款以太网交换机进行了优化设计，使得Quidway S2021不但提供传统以太网的功能外，还适合于以太网宽带接入的要求。同时Quidway S2021使用华为公司网络产品通用的VRP〔通用路由平台〕网络操作系统，提供完善的VLAN、QOS保证等机制，提供完备的业务控制和用户管理能力，是楼道级/桌面级的以太网宽带接入的理想产品。

◇Quidway S2021的结构设计：
Quidway S2021 以太网交换机采用盒式设计，是一款支持全线速转发的2层以太网的固定端口和模块化兼而有之的以太网交换机，接口配置如下：
8个固定的10Base-T/100Base-TX自适应端口 2个固定的100Base-TX上行端口 1个用于配置的Console口及1个远端监控口 1个扩展槽位：可插入1个100Base-FX〔多模/单模〕光纤端口模块 ◇Quidway S2021 的功能特性：
具竞争力的高性价比：
Quidway S2021所有端口支持全线速2层交换；
在使用5类双绞线时，S2021的10M口传输距离可达200米，使其可广泛应用于企业、政府、运营商和社区的以太网接入等各个领域。

良好的兼容性：
Quidway S2021支持丰富的业界标准，可以广泛的兼容现有网络设备，同时基于华为的VRP操作系统，使得S2021与Quidway系列路由器在命令行风格等方面具备良好的兼容性。端口的自适应能力：
所有10M/100M自适应电口均支持MDI/MDI-X自适应。

接口丰富，灵活的适应性：
Quidway S2021支持标准的以太网接口：
10/100 BASE-TX 100BASE-FX〔单模/多模〕 可配置不同的光模块实现FE的上行能力 支持丰富的业务特性 Quidway S2021支持符合IEEE 802.1p标准的优先级设置，支持2个优先级 Quidway S2021支持IGMP Snooping 提供精确的802.1x认证协议的支持，实现低本钱的局域网平安保障方式 Quidway S2021实现的VLAN技术 支持基于端口的VLAN 符合IEEE 802.1Q标准的VLAN 支持VTP协议，支持GVRP〔GARP VLAN注册协议〕 支持基于端口的VLAN Trunk Quidway S2021支持基于端口的镜像方式 S2021以太网交换机的3个上行快速以太网端口可以捆绑起来用于交换机之间的连接或者交换机到高速效劳器之间的连接，实现带宽扩展和线路备份。

智能的管理功能 简便的软件升级支持 提供完备的软件升级功能，S2021以太网交换机提供多种软件升级方式，并支持升级后再回复到以前版本的功能，保障设备升级的简便可靠。

S2021 外形尺寸〔宽×高×深〕 360×42×240〔mm〕 重量 3kg FLASH 8MB SDRAM 24MB 端口配置 8个10/100Mbit/s以太网端口 2个100Mbit/s上行以太网端口 1个Console口 1个远端监控口 1个扩展槽位 可扩展模块 1×100Base-FX模块〔单模〕 1×100Base-FX块〔多模〕 交换容量 2.2Gbps 包处理能力 1.64Mpps，所有端口支持线速转发 Quidway S2021以太网交换机特性参数：
交换模式 存储转发模式〔Store and Forward〕 支持 VTP ，GVRP QoS 支持符合IEEE 802.1p标准的优先级设置〔2个优先级队列〕 HGMP〔华为组管理协议〕支持组播 GMRP，IGMP Snooping 支持STP/RSTP，符合IEEE 802.1D及IEEE 802.1w 支持基于端口的镜像，将特定端口的流量全部复制到监控端口 所有端口上支持基于带宽百分比的播送风暴抑制 链路会聚 支持3个上行100Mbit/s端口的捆绑 MAC地址表 4K〔2K单播、2K多播〕 流控 支持IEEE 802.3x 流控 管理 支持命令行、Telnet、Console口配置 支持通过脚本进行批量配置及离线配置 支持SNMP V3、RMON、HGMP Client 支持系统日志、分级告警；
支持FTP、TFTP 输入电压 AC：90V~264V，47~63Hz；
DC：-75V~-36V 功耗 30W 工作环境温度 -25 ℃~55 ℃〔通过外挂机箱〕 工作环境相对湿度 5%~90% 2.2.6 效劳器选型 依照要求结合我公司丰富的系统集成经验，经过分析效劳器的选择应具有以下功能：
效劳器应具有：
――强大的CPU和I/O处理能力；

――足够的内外存储容量和高可靠性能；

――主机效劳器系统应代表当代计算机技术的最高水平；

――具有长远的生命周期和易扩充性，能适应现在和未来的需要；

――应遵循开放性标准，具有良好的用户界面和丰富的应用集成工具；

――具备分布式处理能力及应用程序的可移植性和互操作性；

――应支持各种先进的数据库管理系统。

总之，主机效劳器系统的选择要具备如下性能：
――高处理性能 ――高可靠性和可用性：选择高可靠性的硬件和软件系统，具备软硬件的容错能力和支持RAID技术的磁盘阵列，确保系统不停机；

――开放性：选择开放性的软、硬件系统，保证不同系统间的互操作性，并可支持各种标准的外部设备；

――先进性和灵活性：所选设备应是当今世界先进的、主流机型，并至少保持5年内不落后；

――平安性：系统要有较高的平安级别，并充分考虑到数据的平安性。

――冗余电源设计，本方案在系统的电源局部设计为冗余 2.2.6.1 Web效劳器选型 本次工程Web效劳器我们选用IBM公司的xSeries 365 8862-5RX 产品规格介绍：
结构 定位允许: 水平 插槽x托架总数(空闲): 6(5) x 8(6) 外型参数 机柜 Hot Swap Bays - Standard 6 冷却系统 6 fans 处理器 SMP processors std 2 SMP processors max 4 BIOS 类型: IBM BIOS 处理器(CPU): Intel Xeon MP Processor 处理器内部时钟速度 2.70GHz 前端总线: 400MHz 处理器厂商: Intel 二级缓存: 512KB 内存 内存(RAM)标准/最大: 2GB / 32GB 可选RAM配置: 512:1024:2048 DIMMs (must be installed in pairs) RAM slots total 8 DIMM RAM slots available 4 DIMM RAM速度: 266MHz RAM类型: PC2100 DDR SDRAM (Chipkill) 硬盘 已安装硬盘编号: 6 Hard disk size1: 0GB 硬盘控制器: Integrated Dual Channel Ultra320 SCSI 硬盘类型: Ultra320 SCSI Max hard disk capacity 878.4GB 图形子系统 显存 标准/最大:大 8MB/8MB 描述: ATI RADEON 7000-M 图形数据宽度 32-bit 显存类型: DDR SDRAM Resolution (max) with Standard Video RAM 2048x1536 16777216 colors 最大分辨率 (以最大显存) NI: 2048x1536 16777216 colors 最大色彩(以标准显存): 16777216 图形总线接口: PCI 2.2 Optical device Floppy diskette size: 3.5“ 1.44MB Optical device 类型: CD-ROM Optical device 速度: 24X Max 设备界面数据宽度(数据位): EIDE 平均数据传输速率(控制器/设备):: 2500KBps 平均存取时间:: 110ms Transport: 前托盘安装 重量及尺寸 重量: 37.6Kg 高度: 133.4mm 宽度: 442mm 深度: 701mm 平安 平安特性: Power-on password Privileged access password Selectable boot Unattended start-up Limited warranty Type of service: 现场保修 保修期: 3年部件和人力 扩展选件 即插即用支持: 支持 具备SMP能力(多处理器): 有 端口: 以太网 Keyboard Mouse port RJ-45 3 Universal Serial Bus (USB) 电源管理 热辐射:: 4053BTU 声音辐射:: 6.6Bels 电源: 950W 电源供给类型:: 110-220 volt Hot Swap Redundant 2 Std. 通讯 网络接口: 千兆以太网卡- 集成 网速:: 10Mbps, 100Mbps, 1000Mbps 2.2.6.2 DNS效劳器与邮件效劳器选型 DNS效劳器与邮件效劳器选用IBM公司的xSeries 2555 8685-BIX 产品规格介绍 结构 定位允许: 水平 插槽x托架总数(空闲): 7(7) x 16(14) 外型参数 塔式 Hot Swap Bays - Standard 6/6 冷却系统 9 fans 处理器 SMP processors std 1 SMP processors max 4 BIOS 类型: Flash 处理器(CPU): Intel Xeon MP Processor 处理器内部时钟速度 2.70GHz 前端总线: 400MHz 处理器厂商: Intel 二级缓存: 512KB 内存 内存(RAM)标准/最大: 1GB / 24GB 可选RAM配置: 256:512:1024:2048MB DIMMs (must be installed in pairs) RAM slots total 12 DIMM RAM slots available 10 DIMM RAM速度: 100MHz RAM类型: PC1600 DDR SDRAM 硬盘 已安装硬盘编号: 0 Hard disk size1: 0GB 硬盘控制器: Integrated Dual Channel Ultra160 SCSI 硬盘类型: Ultra320 SCSI Max hard disk capacity 1.76TB 图形子系统 显存 标准/最大:大 8MB/8MB 描述: ATI Rage XL 图形数据宽度 64-bit 显存类型: SDRAM Resolution (max) with Standard Video RAM 1600 X 1200 最大分辨率 (以最大显存) NI: 1600x1200 最大色彩(以标准显存): 16777216 图形总线接口: PCI Optical device Floppy diskette size: 3.5“ 1.44MB Optical device 类型: CD-ROM Optical device 速度: 48X Max 设备界面数据宽度(数据位): EIDE 平均数据传输速率(控制器/设备):: 4000KBps 平均存取时间:: 85ms Transport: 前托盘安装 通讯 网络接口: 千兆以太网卡- 集成 网速:: 10Mbps, 100Mbps, 1000Mbps 电源管理 热辐射:: 1000W 声音辐射:: 6.5Bels 电源: 370W 电源供给类型:: 110-220 volt Hot Swap Redundant 2 Std. 重量及尺寸 重量: 68.2Kg 高度: 393mm 宽度: 446mm 深度: 756mm 平安 平安特性: Unattended start-up Selectable boot Remote-control password Power-on password Mechanical locks Limited warranty Type of service: 现场保修 保修期: 3年部件和人力 扩展选件 即插即用支持: 支持 具备SMP能力(多处理器): 有 端口: Keyboard 鼠标 RJ-45 2.2.6.3 内部功能效劳器 两台内部功能效劳器使用IBM 的 xSeries 365 8686-4RD 产品规格 结构 定位允许: 水平 插槽x托架总数(空闲): 6(5) x 8(4) 外型参数 机柜 Hot Swap Bays - Standard 6 冷却系统 6 fans 处理器 SMP processors std 1 SMP processors max 4 BIOS 类型: IBM BIOS 处理器(CPU): Intel Xeon MP Processor 处理器内部时钟速度 2.20GHz 前端总线: 400MHz 处理器厂商: Intel 二级缓存: 512KB 内存 内存(RAM)标准/最大: 1GB / 32GB 可选RAM配置: 512:1024:2048 DIMMs (must be installed in pairs) RAM slots total 8 DIMM RAM slots available 6 DIMM RAM速度: 266MHz RAM类型: PC2100 DDR SDRAM (Chipkill) 硬盘 已安装硬盘编号: 2 Hard disk size1: 73.4GB 硬盘控制器: Integrated Dual Channel Ultra320 SCSI 硬盘类型: Hot Swap Ultra320 SCSI Max hard disk capacity 878.4GB 图形子系统 显存 标准/最大:大 8MB/8MB 描述: ATI RADEON 7000-M 图形数据宽度 32-bit 显存类型: DDR SDRAM Resolution (max) with Standard Video RAM 2048x1536 16777216 colors 最大分辨率 (以最大显存) NI: 2048x1536 16777216 colors 最大色彩(以标准显存): 16777216 图形总线接口: PCI 2.2 Optical device Floppy diskette size: 3.5“ 1.44MB Optical device 类型: CD-ROM Optical device 速度: 24X Max 设备界面数据宽度(数据位): EIDE 平均数据传输速率(控制器/设备):: 2500KBps 平均存取时间:: 110ms Transport: 前托盘安装 通讯 网络接口: 千兆以太网卡- 集成 网速:: 10Mbps, 100Mbps, 1000Mbps 电源管理 热辐射:: 4053BTU 声音辐射:: 6.6Bels 电源: 950W 电源供给类型:: 110-220 volt Hot Swap Redundant 重量及尺寸 重量: 37.6Kg 高度: 133.4mm 宽度: 442mm 深度: 701mm 平安 平安特性: Privileged access password Selectable boot Unattended start-up Power-on password Limited warranty Type of service: 现场保修 保修期: 3年部件和人力 扩展选件 即插即用支持: 支持 具备SMP能力(多处理器): 有 端口: 以太网 Keyboard Mouse port RJ-45 3 Universal Serial Bus (USB) 2.2.7 网络检测 随着网络技术的飞速开展，网络的结构日趋复杂。能够快速的分析网络的结构，定位网络故障节点，对网管来说十分重要也越来越难。所以本次工程我们采用了安恒公司的OptiView II 系列集成式网络分析仪OPVS2 INA + OPV-VLAN + OPV-MV来辅助网管管理网络。

◇产品概述 · 迅速获得完整的网络可视性 · 将七层协议分析、主动搜寻、SNMP 设备分析、RMON2 流量分析和物理层测试能力综合于一个可移动的测试仪中 · 测试仪的设计和用户接口使其既可以作为手持式的工具使用也可以半固定地接入网络链路中进行测试 · Web远程分析允许多达7个用户同时遥控一台仪器 · 具有无线网、广域网、VLAN 以及专家分析选件 ◇产品功能 OptiView II 系列集成式网络分析仪〔OPVS2 INA〕让您快速透视整个网络，更快速和智能地解决当今网络中的问题。它将网络分析和监测能力结合在一起，仅使用这台电池供电、便携的测试仪，就可帮您完整地透视整个网络。

看看当解决复杂的网络问题时您的速度有多快 含有丰富信息的首页几秒钟内就可让您查看全面的网络信息，专家功能让您轻触屏幕即可捕捉数据文件。OptiView 集成式网络分析仪让您可以超级透视网络的每个局部——包括 VLAN、WAN 以及 WLAN ◇特点 高度集成的仪器在只需一台仪器即可分析整个网络。OPVS2 INA 分析仪综合了高性能协议分析仪和电缆测试仪的功能，其先进的测试能力使你对你的网络了如指掌。

OPVS2 INA 将普通的初始界面转变为信息丰富的网络测试首页，同时显示多项网络测试的结果。

通过这种专家级的自动测试, 你可以在数秒钟之内获得全面的网络信息，而这些信息要使用其它多种工具进行深入的测试才可能得到。

独立、便携、紧凑、电池供电的分析仪集成了：
· 交换环境的主动搜寻 · 七层分析 · 全自动IP配置，即使没有DHCP · 地址列表生成 · 直接连接至100BASE-FX (增强型) · 数据包捕捉和解码 (增强型) · SNMP设备分析 · RMON II 流量分析 (增强型) · 流量生成 · 千兆以太网测试能力 (千兆增强型) · 电缆测试 · 无线〔选件〕 · WAN 广域网透视〔选件〕 · VLAN 透视〔选件〕 · 专家分析〔选件〕 高级搜寻 一旦接入网络, OPVS2 INA 分析仪即开始自动搜寻. 这一测试将给出实时的设备、网络和问题。

设备搜寻 通过监测流量和主动查询发现设备。一旦发现设备，仪器将给出如下可能的最详细的信息：
· DNS 名称 · NetBIOS 名称 · SNMP 名称 · IPX 名称 · 地址 网络搜寻 OPVS2 INA 将显示网络类型。

网络和所有相关设备的发现是通过流量监测和主动查询实现的。

问题搜寻：
OPVS2 INA 问题搜寻屏幕显示所有出现问题的网络主机。问题依照严重程度报告错误, 告警或提示。解决的问题也显示出来。

SNMP设备的分析 Overview 屏幕显示所选设备的关键信息。

设备详细信息包括: ● 名称 ● 地址 ● 协议 ● NetBIOS ● 效劳 ● 路由器 ● 接口信息 ● 远程监测能力 电缆测试 当接入铜介质网络时，OPVS2 INA 将自动进行电缆测试并给出连接至设备的电缆长度，即使是连接至工作中交换机或HUB端口。选择双绞线详细信息屏幕可以得到：
● 接线图 ● 阻抗 ● 至远端长度 ● 至反射点的长度 ● 状态 ● 异常 (短路, 开路和串绕) ● 接收线对 ● 发送线对 ● 接收电压 ● 极性 数据包捕捉、过滤和解码 数据包捕捉 为了有选择地进行数据包捕捉, 可以使用相关联的过滤器，这样，数据包捕捉引擎可以根据你所选择的源和/或目标地址自动启动。

数据包解码 象传统的协议分析仪一样，OPVS2 INA 的数据包捕捉屏幕可以让你设置捕捉缓冲区大小, 数据段大小, 缓冲区配置和各种其他参数。

流量生成 生成各种不同类型的流量用于网络加载测试 用户可以设置的参数包括：
· 单址，多址或一般播送 · 帧大小 · 帧速率 · 流量大小 · 发送的帧数 · 协议类型          o Benign, Ethernet          o Benign LLC 802.2          o NetBEUI          o Benign IP          o IP ICMP Echo          o IP UDP Echo          o IP UDP Discard          o IP UDP NFS          o IP UDP NetBIOS · IP TTL · IP TOS (QoS)          o 最小时延          o 最大吞吐量          o 最大可靠性          o 最小费用          o 最大平安性 · 预设置流量负载          o 50% of 512 Kbps          o 50% of 1.544 Mbps          o 50% of 10 Mbps          o 50% of 100 Mbps 报告和监测 OptiView 报告软件将 OPVS2 INA 收集的基准网络性能数据转换为专业格式的文档。生成IP 和 NetBIOS的设备地址列表，记录以太网碰撞，利用率和错误。可以生成多种格式的报告文件--包括HTML格式。你也可以通过网络远程对 OptiView 集成式分析仪进行设置和启动测试。

◇OPV-VLAN VLAN透视选见 带 VLAN 透视选件的 OPVS2 INA 可以查找哪个交换机上的哪个VLAN被配置了以及每个 VLAN 的交换机端口成员。此外，分析仪还可以识别哪个接口是骨干链路〔TRUNK 〕或上行链路端口，以及所使用的骨干链路协议。VLAN 透视选件还可以让分析仪查找用户指定的子网上的设备。除了已存在的子网、IPX 网络或 NetBIOS 域，被查找到的设备将被存储为 VLAN 编号。

◇广域网透视选件   OPVS2 INA 分析仪的广域网〔WAN〕选件可以让您查寻和诊断广域网链路问题。使用路由器的SNMP代理以及基于标准的MIBs，分析仪的WAN选件可以为您提供ATM、帧中继、ISDN、T1/E1、T3 和 SONET 的性能以及健康信息。

2.2.8 补充说明 1)关于运营商链路问题 2)IBM效劳器建议 鉴于Web效劳器的重要性，我们建议Web效劳器配置RAID卡来做磁盘镜像，防止单块硬盘故障造成数据丧失。两台Web效劳器安装热备软件，实现单机故障无人介入快速切换。

3)光跳线 本工程中需要ST-SC单模光跳线120根 ST-LC单模光跳线 120根 SC-LC单模光跳线20根。

第三章 网络平安设计 3.1 网络平安概述 (1〕网络平安面对的威胁 一旦将原有的专用网络与外部公共网络连接起来，内部网络就面临着来自外部的网络攻击威胁，如果处理不当就可能导致敏感的数据信息流失，网络设备失去控制中断效劳，造成经济上和信誉上的损失。

计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；
二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；
可能是人为的，也可能是非人为的；
可能是外来黑客对网络系统资源的非法使有。归结起来，针对网络平安的威胁主要来自于：
(1)人为的无意失误：如操作员平安配置不当造成的平安漏洞，单位内部用户平安意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络平安带来威胁。

(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，黑客攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；
另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。恶意攻击既可能来自外部连接，也可能来自内部网络中的恶意用户。

(3)网络软件的漏洞和“后门〞：网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件大局部都是因为平安措施不完善所招致的苦果。另外，系统运行大量的数据库及MIS管理类的软件，其中相当一局部是由本行业系统集成公司或自有的软件开发人员编制的。设计编程人员为了方便往往在软件编写过程中留下“后门〞以便于修改，但一旦“后门〞洞开，其后果不堪设想。

归结起来，针对网络的攻击行为主要包括四种方式，分别为入侵Intrude、拒绝效劳Denial of service、信息窃取Sniffer、电子欺骗Spoofing。

◇入侵 是最常见的攻击方式。非法用户试图闯进计算机网络里，就象普通合法用户一样使用网络资源。入侵手段常见的一种是，猜想用户的密码，使用多种“字典〞以枚举法屡次试验；
另一种是搜索整个系统，发现软件，硬件的漏洞或配置错误，以获得系统的进入权。

◇拒绝效劳 是一种将对方机器的功能或效劳给以远程摧毁或中断的攻击方式，Denial of services攻击通过向目标地址的网络主机发送大量无效的IP包导致系统因为大量的效劳进程累积而崩溃。

◇信息窃取 利用网络嗅查器〔Sniffer〕监听网段中的包信息，从中析出有用信息，如：用户名，密码，甚至付款信息等。Sniffer象 窃听装置一样，可以监听大量的网络信息。

◇电子欺骗 是结合DoS的技巧性攻击，包括IP spoofing, Web spoofing, DNS spoofing , fake mail等。IP spoofing 是利用而向连接的TCP协议三次“握手〞〔3-way hand–shake)的时机，在合法通信双方进行第二次“握手〞后，攻击者利用DoS使其中一方系统崩溃，然后借助IP伪装与另一方继续“握手〞，从而变成合法的连接。利用DNS电子欺骗，可以将用户引向攻击者指定的错误Web网点，从而进一步骗取用户资料。

(2〕网络平安措施 面对纷繁复杂的网络环境和来自各处的网络攻击威胁，如何实现网络平安是个困难的问题。经过业界长期实践，一般认为网络平安应主要考虑以下5个方面：
◇身份鉴别与授权 身份包括鉴别和授权。鉴别答复了“你是谁〞和“你在哪？〞这两个问题，授权答复“你可以访问什么〞。必须对身份机制谨慎部署，因为如果设施难以使用，即便是最严谨的平安策略也有可能被避开。身份鉴别和授权尤其在拨号接入过程中起着重要作用。

◇边界平安 边界平安涉及到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业务，特别是在Internet/Extranet和主园区网之间或拨入网和主园区网之间。

◇数据的保密性和完整性 数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指确保数据在传输过程中未被改动。在需要保密传输的广域网线路上，可以使用专用的网络加密设备保证数据流的平安传输。为保证数据的完整性，需要在从桌面计算机设备到网络效劳器的各个级别设置防病毒设施，保护系统数据免受侵犯。

◇平安监测 为检验平安根底设施的有效性，应经常进行定期的平安审查，包括新系统安装检查，发现恶意入侵行为的措施，可能的特殊问题(拒绝业务攻击)以及对平安策略的全面遵守等方面。平安检测包括被动式的入侵检测系统和主动式的网络扫描审计系统。

◇策略管理 由于网络平安涉及到以上的多个方面，每一个方面都使用了多种产品和技术，对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的平安策略。

与身份认证与授权、边界平安、数据平安与完整性和平安检测等网络平安技术手段不同，网络平安策略管理是由网络管理员设定的各种网络平安措施的使用规那么。必须综合利用上述的平安措施，反复实践确定一个稳固的网络平安体系。

(3〕网络平安详细设计 针对上述网络平安的隐患，我们首先在内外网之间放置防火墙，在访问量大的DMZ布置一台IDS入侵检测来检测是否有恶意攻击。

3.2 硬件防火墙 Internet的日益普及，互联网上的浏览访问，不仅使数据传输量增加，网络被攻击的可能性增大，而且由于Internet的开放性，网络平安防护的方式发生了根本变化，使得平安问题更为复杂。传统的网络强调统一而集中的平安管理和控制，可采取加密、认证、访问控制、审计以及日志等多种技术手段，且它们的实施可由通信双方共同完成；
而由于Internet是一个开放的全球网络，其网络结构错综复杂，因此平安防护方式截然不同。

Internet的平安技术涉及传统的网络平安技术和分布式网络平安技术，且主要是用来解决如何利用Internet进行平安通信，同时保护内部网络免受外部攻击。在此情形下，防火墙技术应运而生。

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理效劳器等几大类型。

3.2.1 各种防火墙技术介绍 ◇数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。

数据包过滤防火墙逻辑简单，价格廉价，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；
二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

分组过滤或包过滤，是一种通用、廉价、有效的平安手段。之所以通用，因为它不针对各个具体的网络效劳采取特殊的处理方式；
之所以廉价，因为大多数路由器都提供分组过滤功能；
之所以有效，因为它能很大程度地满足平安要求。

所根据的信息来源于IP、TCP或UDP包头。

包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种平安要求不可能充分满足；
在许多过滤器中，过滤规那么的数目是有限制的，且随着规那么数目的增加，性能会受到很大地影响；
由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；
另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；
对平安管理人员素质要求高，建立平安规那么时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。

◇应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用效劳协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，那么防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

◇代理效劳型防火墙 代理效劳(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 ““ 链接 ““，由两个终止代理效劳器上的 ““ 链接 ““来实现，外部计算机的网络链路只能到达代理效劳器，从而起到了隔离防火墙内外计算机系统的作用。

此外，代理效劳也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保存攻击痕迹。

应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作平安决策的全部信息。

◇ 复合型防火墙 由于对更高平安性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。

屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规那么的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络别离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的平安根底。

由此可见在网络平安中，很重要的一个局部可以说是防火墙。防火墙的可靠性直接关系到整个网络的平安。因此，必须在INTERNET和内部网之间建立起一道防火墙。使从内部网到外部网以及从外部网到内部网的所有信息都必须通过防火墙；
只有经过本地平安策略授权的信息流，才能通过防火墙；
防火墙本身必须是平安的，不能被侵入。在本系统中，防火墙的体系结构如下列图所示：
天融信 NGFW4000-TZ介绍 网络卫士防火墙4000是天融信公司积8年来的防火墙开发经验和应用实践及天融信广阔用户珍贵建议根底之上，基于对网络平安的深刻理解，融合网络科技的最新成果，独创的系列平安构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。

　　防火墙4000 通过使用大量独创性专利技术，构造了一个平安、高效、可靠、应用广泛、方便灵活的防火墙系统；
同时为客户提供最优秀的性能及功能保证；
另外成熟的实现和支持了天融信的TOPSEC 协议和体系。

　　防火墙4000 特别适用于网络结构复杂、应用丰富、高带宽、大流量的业骨干级网络环境 ◇主要特征 ·　平台支持：采用专用硬件平台与专用的平安操作系统 ·　基于会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技术〔核检测〕；

·　更先进的系统结构：硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务开展的需要，从而保护投资。

·　应用代理：具有透明应用代理功能，支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-〔S、M、R〕、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID〔TCP、UDP〕PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议命令级的控制，实现对文件级的过滤。

·　支持众多网络通信协议和应用协议：如DHCP 、VLAN 、ADSL 、ISL 、802.1Q 、Spanning tree 、NETBEUI 、IPSEC 、H.323 、MMS 等，保证用户的网络应用，方便用户扩展IP 宽带接入及IP 、视频会议、VOD 点播等多媒体应用。

·　支持核心网络中生成树〔STP〕的计算：通过生成树计算，防火墙能够同核心交换机一起进行生成树计算，实现了核心网络的全连接拓扑结构，能够进行链路的自动切换，保证了整个网络的稳定。

·　支持交换机主干链路：防火墙的物理接口实现了D0t1q封装格式，能够同交换机的Trunk接口对接，实现了Vlan间路由的功能，保证了防火墙对于各种网络环境的易接入性。

·　地址转换：采用双向网络地址转换〔双向NAT〕技术，支持静态NAT及动态NAT〔IP POOL〕，并能够实现一对一、一对多的地址映射；

·　加密支持：支持VPN,采用通过国家鉴定的硬件加密卡所提供的128位对称加密算法和128位HASH算法。身份认证采用1024位的非对称算法。

·　VPN更高的平安性：将VPN的证书和私钥存入USB中，只有拥有USB的人员才能启动隧道，保证了VPN整个过程的平安性。

支持多种身份认证：如OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、数字证书〔CA 〕，更好更广泛的实现了用户鉴别和访问控制。

·　地址绑定：实现IP地址与MAC地址捆绑，防止IP地址非法盗用；

·　平安效劳器〔SSN〕保护：具有对公开效劳器保护功能，一旦效劳器内容被非法篡改，可以进行快速恢复 ·　源、目地址路由功能：根据通讯的源地址和目标地址来做出路由选择，适应有多个网络出口的环境。

·　ADSL接入：防火墙实现了ADSL功能，满足了目前中小型公司的网络访问能力，满足了用户的各种接入方式需要。

·　多层次分布式带宽管理〔QoS〕：可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。

·　防御功能：可防TCP、UDP等端口扫描；
防源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN攻击；

抗DOS、DDOS攻击；
可阻止ActiveX、Java、Javascript入侵。

·　防火墙支持其它平安产品的联动：支持TOPSEC协议，能够与第三方平安产品进行很好的联动，尤其是与IDS入侵检测产品的联动；

·　防火墙支持TopsecManager与SAS：支持TopsecManager综合管理系统，支持TopSEC平安审计系统；

·　实时监控：实时观察防火墙主机的当前负载情况，包括内存的使用情况和连接状况等。

·　防火墙支持多种工作模式：支持路由模式、透明〔桥接〕模式〔防火墙可不配地址〕、混合模式〔路由与透明两种模式同时工作〕 ·　管理功能：面向基于对象的管理配置方式；
支持GUI集中管理及命令行管理方式；
支持本地管理、远程管理和集中管理；
支持基于SSH 的远程登陆管理和基于SSL 的GUI 方式管理；
支持SNMP集中管理与监控，并与当前通用的网络管理平台兼容，如HP Openview ，方便管理和维护。

·　深层日志及灵活、强大审计分析功能：审计日志包括如下几个局部：日志会话、日志命令。日志会话也就是传统的防火墙日志，负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过。日志会话信息用来进行流量分析已经足够，但是用来进行平安性分析还远远不够；
应用层日志命令在日志会话的根底之上记录下各个应用层命令及其参数，比方HTTP 请求及其要取的网页名；
访问日志那么是在应用层命令日志的根底之上记录下用户对网络资源的访问，它和应用层日志命令的区别是：应用层日志命令可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP 协议，日志会话只记录下读、写文件的动作；
日志命令那么是在访问日志的根底之上，记录如用户发送的邮件，用户取下的网页等。支持日志的自动导出与自动分析。支持防火墙配置文件的导入与导出〔防火墙配置文件信息的备份与恢复〕；

·　防火墙双机备份与负载均衡：支持防火墙的双机备份，并通过防火墙自身的负载均衡，提高防火墙在高带宽的网络环境中的有效性能；

·　非协议支持：支持对非IP 协议IPX/NetBEUI 的传输与控制 ◇技 术 指 标 ·　机型：1U ·　最大并发连接数：90万 ·　吞吐率：100M ·　接口：标配3个10/100BASE-TX口 ◇系统组成 · 网络卫士防火墙NGFW4000 〔硬件〕：是一个基于平安的操作系统平台的自主版权高级通信保护控制系统。

· 日志管理器软件系统：是一个可运行于 Linux 、Windows2000 系统下，对网络卫士防火墙NGFW 4000 提供的访问日志信息进行可视化审计的管理软件。

· 防火墙集中管理器软件：是一个可运行于Windows98 、Windows2000 系统下，对处于不同网络中的多个网络卫士防火墙进行集中管理配置的管理软件。

◇硬 件 配 置 电气性能
a. 电源：AC 110/220V 50/60HZ ，3.0A 〔最大〕，260W 〔最大〕
b. 环境标准：
　　　　运行温度：
0 — 45 摄氏度
　　非运行温度：
-20 — 65 摄氏度
　　相对湿度：
10 — 90%@40 摄氏度，非冷凝 执行的国家标准
GB/T18336-2001
GB/T18019-1999
GB/T18020-1999 参考的平安标准及标准(相对参考)
UL 1950
EN 41003
AS/NZS 3260
AS/NZS 3548 Class A
CSA Class A
FCC Class A
EN 60555-2
VCCI 〔ClassII 〕 抗干扰性
IEC 1000 4 2 〔ESO 〕
IEC 1000 4 3 〔辐射敏感性〕
IEC 1000 4 4 〔电快速瞬变〕
IEC 1000 4 5 〔电源〕
IEC 1000 3 2 〔谐波〕 2.3.3 IDS入侵检测 本次工程采用天融信NGIDS-Z连结到S2021交换机。通过S2021镜像端口对防火墙DMZ区的网络流量进行的监测。并可与防火墙进行联动，来阻止外部的攻击。

产品规格介绍：
产 品 NGIDS-Z 公司 天融信 入侵检测 　 机型 1U 标配接口说明 标配2个10/100BASE-TX端口+1个10/100BASE-TX管理端口 吞吐率 170Mbps 实时检测 支持 检测内部攻击 支持 检测外部攻击 支持 误用检测 支持 异常检测 支持 检测规那么数 2500种以上 病毒〔蠕虫〕检测 支持 协议解析 ARP/Telnet/FTP/HTTP/SMTP/POP3/IMAP/DNS/NetBios/CIFS/TFTP/ SNMP… 类型 基于网络 升 级 自动在线升级、升级包 应用效劳器活动状态监控 支持 日志回放功能 支持 IDS逃避攻击 　 事件风暴处理机制 强大 误报处理机制 提供误报处理机制 强大 响应 　 实时响应 支持 报警 控制台报警 声音/荧光灯 Email/SMS/ Alert messenger 　 SNMP. Event Log 反跟踪功能 支持〔提供单独的跟踪器〕 Killing Session 功能 支持 管理 　 引擎状态监控 支持〔引擎存活状态、CPU/内存使用率、当前会话数、丢包率、当前数据包数〕 会话/数据包数/协议统计 支持 文件完整性检验 支持 流量统计 支持 邮件监控 支持〔可监控本文，附件内容〕 入侵响应相关帮助 支持〔基于XML的详尽的帮助〕 提供用户自定义规那么功能 支持 综合管理其他公司平安产品 支持 指定效劳器效劳监控功能 支持 报 表 　 报表样式 100多种 (支持word,excel,HTML,XML,邮件等基于crystal的所有报表) 用户自定义报表添加功能 支持 综合报表 支持〔提供入侵检测、流量、系统配置参数等等丰富报表〕 数据库 　 支持本地数据库 支持 支持商用数据库 Access,MS-sql 日志备份/压缩 支持 可按需求及时恢复备份的日志 支持 可分类查询恢复的日志内容 支持 附加功能 　 TAP设备 支持 IDS 自身平安 　 支持Stealth功能(监听端口无 IP) 支持 通讯加密 支持 联动(支持IAP, OPSEC等标准备) 　 Cisco 路由器联动 支持 通过集中控管模块综合管理第三方防火墙 支持〔netscreen,checkpoint) FireWall-1 联动 支持 NetScreen 联动 支持 第四章 内蒙古XXX网络平台软件设计 4.1操作系统 4.1.1 网络系统选型原那么 网络操作系统是计算机系统中一个重要组成局部，它起到用户和计算机之间的接口作用，用户通过使用操作系统来对计算机进行管理控制，使计算机的各种功能得以发挥。选择网络操作系统主要从以下几个根本方面考虑。

Ø 支持客户机／网络〔Client/Network〕体系 Ø 支持多重协议 Ø 具备目录及平安效劳的支持能力 Ø 具备强大的网络管理能力 Ø 具备网络效劳器系统的备份／恢复能力 4.1.2 网络系统应具备的功能和特点 对网络操作系统进行分析比拟，特别是对其开展前景进行说明，一般地，网络操作系统具有如下主要特点：
Ø 多任务处理、多流操作、多处理器系统，支持B/S结构 Ø NTFS文件系统，文件易于恢复，平安 Ø 易于安装、管理和使用 Ø 支持 Internet和 Intranet应用 Ø 内置的通信效劳 Ø 支持SNMP协议 Ø 可扩展性 Ø 便于使用和维护，符合当今开展趋势，便于系统升级 Ø 对相关软件支持性好，与各开发应用软件兼容性好 本方案应要求采用Windows Server 2003标准版作为网络操作系统，Windows Server 2003 是在 Windows 2000 经过考验的可靠性、可伸缩性和可管理性的根底上构建的，为加强联网应用程序、网络和 XML Web 效劳的功能〔从工作组到数据中心〕提供了一个高效的结构平台。

4.1.3 Windows Server 2003标准版概述 Windows Server 2003 标准版是为小型企事业单位和部门使用而设计的，它提供的功能包括：智能文件和打印机共享、平安 Internet 连接、集中式的桌面应用程序部署以及连接职员、合作伙伴和顾客的 Web 解决方案等。Windows Server 2003 标准版提供了较高的可靠性、可伸缩性和平安性。

◇独到之处 Windows Server 2003 标准版充分利用了 Windows 2000 Server 技术，更易于部署、管理和使用。其结果是：平安、可靠和可以开封就使用的高效操作系统，并具有稳定的可用性和可伸缩性。

在较高级别上，Windows Server 2003 标准版提供以下支持：
§ 高级联网功能，如 Internet 验证效劳 (IAS)、网桥和 Internet 连接共享 (ICS)。

§ 支持双向对称多处理方式 (SMP)。

§ 4 GB 的 RAM。

◇可靠性 依靠 Microsoft 迄今为止提供的最稳定的效劳器操作系统开展业务 现在，各机构都期望技术能为其带来稳固的商业价值。他们希望系统能始终正常运行并始终可以响应，同时他们需要一定水平的平安性以迎接当今的挑战。Windows Server 2003 标准版包含的新增功能和改良使它成为 Microsoft 所创立的最可靠的小型部门效劳器操作系统。

Windows Server 2003 标准版对 Windows 2000 Server 中首次采用的很多技术进行了改良，例如，支持智能卡、带宽限制和即插即用支持。新增的技术〔如公共语言运行库〕加强了平安性，以保护网络免遭恶意或设计不合理的代码的侵袭。另外，对于Internet Information Services 6.0 (IIS 6.0)、公钥结构 (PKI) 和 Kerberos 的改良使 Windows Server 2003 的平安保证更加方便。

由于分支办公室域控制器中的更有效的同步、复制和凭据缓存功能，Active Directory® 效劳在不可靠的广域网 (WAN) 连接中更快、更可靠。

◇提高效率 改善员工通讯和协作 从需要更易于使用的强大工具的职员，到需要更快速部署和易于管理的灵活效劳的系统管理员，都希望通过软件技术能在其部门内提高工作效率。

Windows Server 2003 标准版和 Windows Server 2003 系列的其他成员共享很多功能，这些功能有助于提高部门和职员的工作效率。Windows Server 2003 通过增强的系统管理和存储功能，为管理员和用户都带来了更高的工作效率。

Microsoft 已在改良易管理性方面取得了长足进步。Windows Server 2003 中新增的基于任务的设计可以更加方便地查找和执行公用任务。对于 Microsoft 管理控制台 (MMC) 和 Active Directory 的改良提高了性能，并使得管理更加方便。

此外，Windows Server 2003 系列有多种重要的新的自动管理工具，包括有助于自动部署的 Microsoft 软件更新效劳 (SUS) 和效劳器配置向导。用新的组策略管理平台 (GPMC) 简化了管理组策略，同时使更多的部门能更好地使用 Active Directory 并利用它强大的管理功能。另外，命令行工具使管理员能从命令控制台执行大局部任务〔他们应该偏好这种方法〕。

Windows Server 2003 标准版在显著减少了系统管理员工作的同时，还简化了存储和备份。在新增和改良的文件效劳中，实现这一功能的是“卷阴影复制〞效劳，该效劳为已联网共享提供了即时点备份。现在，用户使用这种独有的技术可以直接使用其 Windows 桌面的“影像复制恢复〞功能检索文件的旧副本或删除文件。另外，除了基于 Web 的分布式创作和转换 (WebDAV) 远程文档共享技术之外，对文件和打印效劳也进行了改良。同时，对于分布式文件系统 (DFS) 和加密文件系统 (EFS) 的改良允许强大、灵活的文件共享和存储。

◇面向网络 与客户平安联网 当今的网络正将 Intranet、Extranet 和 Web 连接在一起。越来越多的公司每天都使用 Internet 与其客户和合作伙伴进行通讯。Windows Server 2003 标准版和 Windows Server 2003 系列的其他成员共享很多功能，这些功能帮助职员保持连接状态。

Windows Server 2003 系列的联网改良和新增功能扩展了网络结构的多功能性、可管理性和可靠性。Windows Server 2003 使用户比以往任何时候都更方便地从任何地方和在任何设备上连接到他们的中央系统。Microsoft 在 Windows Server 2003 中改良了重要的联网功能，其中包括 Internet 协议版本 6 (IPv6)、点对点以太网协议 (PPoE) 和网络地址转换 (NAT) 的 Internet 协议平安 (IPSec)。

Windows Server 2003 中的 Microsoft Windows 媒体®效劳提供了可靠、可伸缩和经济划算的方式来快速传送和管理动态内容。Windows 媒体效劳使 Windows Server 2003 成为在公司 Intranet 和 Internet 上分发流式音频和视频的理想平台。

Windows Server 2003 不仅对 Microsoft .NET 和 XML 提供经过优化的本地支持，最重要的是可作为开发、分布和托管用 .NET 创立的 XML Web 效劳 的理想平台，这是一大创新。

◇最经济 利用最大的合作伙伴 Solution Ecosystem 的优势，使业务价值最大化 由于 PC 技术提供了最经济的芯片平台，仅依靠 PC 就可完成任务已成为采用 Windows Server 2003 的重要经济动机。而对 Windows Server 2003 在本钱控制方面适合扩大或缩小规模来说，这只是开始。使用 Windows .NET Server 中自带的许多重要效劳和组件，各机构可以迅速利用这个易于部署、管理和使用的集成平台。

当您采用了 Windows .NET Server 时，您就成为了帮助使 Windows 平台更高效的全球网络中的一员。

这种提供全球效劳和支持的网络有如下优点：
最大数量的 ISV：  Microsoft 软件拥有普及世界各地的大量的独立软件供给商 (ISV)，他们支持 Microsoft 应用程序并在 Windows 上生成已认证的自定义应用程序。

全球效劳：  Microsoft 受世界上 450,000 多名 Microsoft 认证系统工程师 (MCSE) 以及供给商和合作伙伴的支持。

培训选项：  Microsoft 提供各种 IT 培训，使得 IT 人员只需交付适当的费用就可以继续扩展他们的技能。

经过认证的解决方案：  第三方 ISV 为 Windows 提供了数千个经过认证的硬件驱动程序和软件应用程序，使它便于添加新设备和应用程序。另外，Microsoft Solutions Offerings (MSO) 可帮助各机构创立能解决业务难题并经得起考验的解决方案。

这种经济的产品和效劳系统的获得本钱低，从而帮助机构获得更高的生产效率。

◇XML Web 效劳和 .NET Microsoft .NET 已与 Windows Server 2003 系列紧密集成。它使用 XML Web 效劳使软件集成程度到达了前所未有的水平：分散、组块化的应用程序通过 Internet 互相连接并与其他大型应用程序相连接。

通过集成到构成 Microsoft 平台的产品中，.NET 提供了通过 XML Web 效劳迅速可靠地构建、托管、部署和使用平安的联网解决方案的能力。Microsoft 平台提供了一套联网所需的开发人员工具、客户端应用程序、XML Web 效劳和效劳器。

这些 XML Web 效劳提供了基于行业标准构建的可再次使用的组件，这些组件调用其他应用程序的功能，调用的方法独立于创立应用程序，操作系统、平台或设备用于访问它们的方法。

Windows Server 2003 系列的其他 .NET 优点有助于开发人员：
§ 利用现有的投资。基于 Windows 的现有应用程序可以在 Windows Server 2003 上继续运行，也可以方便地重新打包为 XML Web 效劳。

§ 减少代码的编写工作量，使用已经掌握了的编程语言和工具。实现这一点要归功于 Windows Server 2003 内置的应用程序效劳，如 ASP.NET、事务监视、消息队列和数据访问。

§ 进程监视、循环、内置指令用于为应用程序可提供可靠性、可用性和可伸缩性。

所有这些益处都在改良的内核 Windows 效劳器结构中实现并构成了 .NET 的根底。

◇可靠 Windows Server 2003 标准版提供了高可靠性的操作系统，该系统有助于提高生产效率并允许在职员、合作伙伴和顾客之前进行更广泛的连接。

下面是增强 Windows Server 2003 可靠性的一些主要功能：
§ XML Web 效劳： 默认情况下，IIS 6.0 的平安设置在安装期间被锁定，以确保只运行必需的效劳。这种与早期版本有很大不同的功能减少了最初的平安隐患。使用“IIS 平安锁定〞向导，可以按照管理员的要求启用或禁用效劳器功能。

§ 目录效劳： 用于用户和网络资源的 Active Directory 平安设置可从网络核心扩展到网络边缘，帮助实现了平安的端对端网络。

§ 更新管理： “自动更新〞提供了系统地下载关键的操作系统更新〔如平安修复程序和平安修补程序〕的能力。管理员可以选择何时安装这些重要的操作系统更新。

§ Internet 防火墙： 有了内置的 Internet 连接防火墙，连接 Internet 更加平安。Internet 防火墙集成在操作系统中还会降低连接到 Internet 的资本本钱。

§ 远程访问： 可以通过管理员策略对拨号用户进行隔离。可阻止这些用户访问网络，直到他们的系统被验证具有管理员指定的软件，如病毒检测更新等。

§ 效劳器硬件支持： 驱动程序验证程序检查新的设备驱动程序以保证效劳器的正常启动和运行。

§ 应用程序验证： 可以使用应用程序验证程序工具对 Windows Server 2003 上运行的应用程序进行测试和验证。该工具主要用于处理精细的问题，如软件堆损坏和兼容性问题。

§ 文件效劳： 从 Microsoft Windows NT® Server 4.0 和 Windows 2000 Server 之后，Windows .NET Server 2003 的性能有了很大的提高。

§ 协助支持： Microsoft 事件提交与管理允许用户将电子支持事件提交给 Microsoft，与支持工程师进行协作，并从 Windows Server 2003 中管理提交的事件。

§ 效劳器事件跟踪： 管理员可以使用新的效劳器关机跟踪程序报告准确的运行时间记录。该跟踪程序将效劳器关机的 Windows 事件写入日志文件中。

◇提高效率 Windows Server 2003 标准版提供的工具使管理员能够最有效地部署、管理和使用效劳器，而无需专用的 IT 资源。

以下是一些可以提高工作效率的主要功能：
§ “配置效劳器〞向导： “配置效劳器〞向导是一种引导管理员逐步骤地安装各种效劳器角色〔如文件效劳器、打印机效劳器、远程访问效劳器和其他角色〕的简单易用的向导，此向导确保第一次就能正确地配置和安装组件。

§ “管理效劳器〞向导： “管理效劳器〞向导提供了一个当前管理效劳器的简单易用的界面，使用该界面可以方便地执行公用任务，如添加新用户和创立文件共享等。

§ “远程效劳器管理〞： 使用“远程桌面管理〞〔以前称之为“远程管理终端效劳〞模式〕，管理员可以从网络上的其他任一计算机上管理某台计算机。“远程桌面管理〞是专门为效劳器管理设计的。

§ 远程协助： 管理员可以使用“远程协助〞控制远程桌面计算机。如果管理员或技术支持人员收到一份远程用户发出的邀请，“远程协助〞那么是一种从正运行 Windows XP 或 Windows Server 2003 任意版本的计算机上连接到远程计算机的方便方法。在连接到远程计算机后，给予协作的用户将能够查看远程计算机的屏幕并能够与系统用户进行实时聊天。如果请求协助的用户允许，协助人员甚至可以控制远程计算机的鼠标和键盘。

§ 影像复制： 该功能可以在指定时间创立一致的网络共享版本。管理员可以查看过去某个时间的网络文件夹内容。最终用户可以在网络共享中恢复意外删除的文件或文件夹，而无需系统管理员的介入。

§ 终端效劳器： 在使用“终端效劳器〞时，用户可以从各种旧设备访问正在效劳器上运行的程序。例如，用户可以从不能本地运行软件的硬件访问虚拟的 Windows XP Professional 桌面和 Windows 的基于 x86 的应用程序。无论是基于 Windows 还是不基于 Windows 的客户端设备，“终端效劳器〞都为它们提供了这种功能。

◇联网 以下是 Windows Server 2003 标准版用于连接个人、合作伙伴、系统和顾客的一些主要功能：
§ Internet Information Services 6.0 (IIS)： 是 Windows Server 2003 的一种 Web 效劳，使用该效劳用户可以更加方便地通过 Intranet、Internet 或 Extranet 共享合作伙伴、顾客和职员之间的信息。IIS 6.0 提供了满足可靠性、多功能性和管理性等方面需求的新结构。

§ Web 应用程序效劳器角色：  Windows Server 2003 还是功能完善的 Web 应用程序效劳器。它将 .NET 框架与核心效劳器资源集成起来，以便帮助用户开发、部署和管理应用程序和 XML Web 效劳。.NET 框架提供了完善的管理、保护和功能丰富的应用程序执行环境、简化了开发和部署、并与各种编程语言进行了无缝集成。Windows Server 2003 基于行业标准构建，使得用户可以扩展现有的应用程序并快速开发新的应用程序。开发人员可以使用 XML Web 效劳和托管代码在应用程序效劳器上直接生成应用程序，然后在任意的 Web 应用程序平台上运行这些应用程序。这种简单的应用程序开发级别鼓励了内部和外部业务过程的创新，并增加了业务时机。

§ Windows 媒体效劳：  Windows Server 2003 标准版包括“Windows 媒体效劳〞，该效劳用于在公司 Intranet 和 Internet 上分发流式音频和视频。

§ 无线 LAN 支持：  此功能为无线局域网 (LAN) 提供了平安和性能方面的改良，如访问 LAN 之前必须经过自动密钥管理、用户身份验证和授权。Windows Server 2003 标准版更易于使用和部署无线效劳。

◇总结 Windows Server 2003 标准版提供了易于部署、管理和使用的综合效劳器平台。它使得商业用户能够降低总拥有本钱 (TCO)。由于 Microsoft 许许多多的第三方硬件和软件合作伙伴的支持，Windows Server 2003 会帮助用户获取对效劳器投资的最大回报。

4.2网页防篡改 在网上建立办公窗口，通过精心设计的Web网页树立公众形象并开展业务，已经成为许多企业的根本设施。然而，在互联网的平安问题日益严峻的情况下，网站遭受黑客攻击的现象也时有发生，如何确保网站的平安也成为人们迫切关注的焦点问题 此次方案中我们选用天阗网站监测与自动修复系统〔简称：WebKeeper〕对Web 效劳器的网页内容进行实时监控并对遭受非法操作的网页文件进行自动修复。WebKeeper 是启明星辰公司为满足国家政府机关、ICP、ISP、局部企事业单位设法保护网站免受外部黑客和内部成员攻击的需求特性而专门设计开发的，它采用多种难以仿造的信息摘要算法，提供对WEB 网站进行一天24 小时、一周7 天的不间断监测与恢复，有效保障网站数据的完整性和真实性。

天阗网站监测与自动修复系统主要包括以下两个组成局部：
监测端 控制台 监测端与控制台安装于同一被保护的Web 效劳器。用户可通过浏览器在本机〔Web 服 务器〕或远程访问控制台进行监控。

4.2.1 产品结构 产品的部署结构如下图：
说明：

推荐访问:内蒙古 设计方案 系统集成

本文来源：https://www.windowchina.cn/fanwendaquan/gongwenfanwen/54931.html