華迪實(shí)習(xí)-云南xxx學(xué)院網(wǎng)絡(luò)工程設(shè)計(jì)方案書

1、云南XXX學(xué)院校園網(wǎng)改造方案書第四小組方案設(shè)計(jì)人員（）目錄 TOC o 1-3 h z u HYPERLINK l _Toc304322596 第一章 概述 PAGEREF _Toc304322596 h - 5 - HYPERLINK l _Toc304322597 1.1. 文檔大綱 PAGEREF _Toc304322597 h - 5 - HYPERLINK l _Toc304322598 1.2. 項(xiàng)目背景 PAGEREF _Toc304322598 h - 5 - HYPERLINK l _Toc304322599 1.3. 項(xiàng)目范圍 PAGEREF _Toc304322599 h

2、 - 5 - HYPERLINK l _Toc304322600 1.4. 項(xiàng)目目標(biāo) PAGEREF _Toc304322600 h - 5 - HYPERLINK l _Toc304322601 1.5. 設(shè)計(jì)標(biāo)準(zhǔn)與規(guī)范 PAGEREF _Toc304322601 h - 5 - HYPERLINK l _Toc304322602 第二章 用戶需求 PAGEREF _Toc304322602 h - 5 - HYPERLINK l _Toc304322603 2.1. 技術(shù)目標(biāo) PAGEREF _Toc304322603 h - 5 - HYPERLINK l _Toc304322604 2

3、.2. 應(yīng)用系統(tǒng) PAGEREF _Toc304322604 h - 6 - HYPERLINK l _Toc304322605 2.3. 服務(wù)器要求 PAGEREF _Toc304322605 h - 6 - HYPERLINK l _Toc304322606 2.4. 網(wǎng)絡(luò)建設(shè)需求 PAGEREF _Toc304322606 h - 6 - HYPERLINK l _Toc304322607 2.5. 系統(tǒng)集成要求 PAGEREF _Toc304322607 h - 7 - HYPERLINK l _Toc304322608 第三章 綜合布線設(shè)計(jì) PAGEREF _Toc304322608

4、 h - 7 - HYPERLINK l _Toc304322609 3.1. 采用綜合布線方案概述 PAGEREF _Toc304322609 h - 7 - HYPERLINK l _Toc304322610 3.2 工作區(qū)子系統(tǒng)設(shè)計(jì)介紹 PAGEREF _Toc304322610 h - 8 - HYPERLINK l _Toc304322611 3.3 水平區(qū)子系統(tǒng)設(shè)計(jì)介紹 PAGEREF _Toc304322611 h - 9 - HYPERLINK l _Toc304322612 3.4 垂直主干線子系統(tǒng)設(shè)計(jì)介紹 PAGEREF _Toc304322612 h - 9 - HYPE

5、RLINK l _Toc304322613 3.5 設(shè)備間子系統(tǒng)設(shè)計(jì)介紹 PAGEREF _Toc304322613 h - 10 - HYPERLINK l _Toc304322614 3.6 建筑群子系統(tǒng)設(shè)計(jì)介紹 PAGEREF _Toc304322614 h - 10 - HYPERLINK l _Toc304322615 3.7 綜合布線系統(tǒng)的安裝與施工指南 PAGEREF _Toc304322615 h - 11 - HYPERLINK l _Toc304322616 3.8 產(chǎn)品選型說明 PAGEREF _Toc304322616 h - 12 - HYPERLINK l _Toc

6、304322617 第四章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) PAGEREF _Toc304322617 h - 13 - HYPERLINK l _Toc304322618 4.1 拓?fù)鋱D設(shè)計(jì) PAGEREF _Toc304322618 h - 13 - HYPERLINK l _Toc304322619 4.1.1 設(shè)計(jì)說明 PAGEREF _Toc304322619 h - 13 - HYPERLINK l _Toc304322620 4.2 核心層設(shè)計(jì) PAGEREF _Toc304322620 h - 14 - HYPERLINK l _Toc304322621 4.2.1 雙核心熱冗余備份設(shè)計(jì) P

7、AGEREF _Toc304322621 h - 15 - HYPERLINK l _Toc304322622 4.3 出口設(shè)計(jì) PAGEREF _Toc304322622 h - 16 - HYPERLINK l _Toc304322623 4.4 防火墻 PAGEREF _Toc304322623 h - 17 - HYPERLINK l _Toc304322624 4.5 主要設(shè)備選型 PAGEREF _Toc304322624 h - 18 - HYPERLINK l _Toc304322625 第五章 VLAN與IP規(guī)劃 PAGEREF _Toc304322625 h - 19 -

8、HYPERLINK l _Toc304322626 5.1 VLAN與IP技術(shù)介紹 PAGEREF _Toc304322626 h - 19 - HYPERLINK l _Toc304322627 5.1.1 VLAN與IP劃分方案 PAGEREF _Toc304322627 h - 20 - HYPERLINK l _Toc304322628 第六章 網(wǎng)絡(luò)管理與安全方案 PAGEREF _Toc304322628 h - 21 - HYPERLINK l _Toc304322629 6.1 網(wǎng)絡(luò)管理方案 PAGEREF _Toc304322629 h - 21 - HYPERLINK l _

9、Toc304322630 6.2 網(wǎng)絡(luò)安全方案 PAGEREF _Toc304322630 h - 21 - HYPERLINK l _Toc304322631 第七章 工程施工管理 PAGEREF _Toc304322631 h - 32 - HYPERLINK l _Toc304322632 7.1 標(biāo)準(zhǔn)化 PAGEREF _Toc304322632 h - 32 - HYPERLINK l _Toc304322633 7.2 施工計(jì)劃表 PAGEREF _Toc304322633 h - 32 - HYPERLINK l _Toc304322634 7.3 施工配合 PAGEREF _T

10、oc304322634 h - 33 - HYPERLINK l _Toc304322635 7.4 鋪設(shè)線纜和管道 PAGEREF _Toc304322635 h - 33 - HYPERLINK l _Toc304322636 7.5 搭建配線架 PAGEREF _Toc304322636 h - 33 - HYPERLINK l _Toc304322637 第八章 測試與驗(yàn)收 PAGEREF _Toc304322637 h - 34 - HYPERLINK l _Toc304322638 8.1 測試目標(biāo)及其驗(yàn)收標(biāo)準(zhǔn) PAGEREF _Toc304322638 h - 34 - HYPE

11、RLINK l _Toc304322639 8.2 測試種類 PAGEREF _Toc304322639 h - 34 - HYPERLINK l _Toc304322640 8.3 測試需要的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)資源 PAGEREF _Toc304322640 h - 34 - HYPERLINK l _Toc304322641 第九章 售后服務(wù)與技術(shù)支持 PAGEREF _Toc304322641 h - 34 - HYPERLINK l _Toc304322642 第十章 項(xiàng)目預(yù)算 PAGEREF _Toc304322642 h - 34 - HYPERLINK l _Toc304322643

12、 10.1 布線材料清單及報(bào)價(jià) PAGEREF _Toc304322643 h - 34 - HYPERLINK l _Toc304322644 10.2 網(wǎng)絡(luò)設(shè)備清單及報(bào)價(jià) PAGEREF _Toc304322644 h - 35 -第一章 概述1.1. 文檔大綱1.2. 項(xiàng)目背景1.3. 項(xiàng)目范圍1.4. 項(xiàng)目目標(biāo)1.5. 設(shè)計(jì)標(biāo)準(zhǔn)與規(guī)范第二章 用戶需求2.1. 技術(shù)目標(biāo)眾所周知，電子計(jì)算機(jī)機(jī)房裝飾，不同于普通的賓館、家庭裝飾，機(jī)房裝飾工程是一項(xiàng)系統(tǒng)工程，是現(xiàn)代科學(xué)技術(shù)和裝飾藝術(shù)的綜合。機(jī)房內(nèi)放置有復(fù)雜的電子設(shè)備和機(jī)電設(shè)備，對裝飾的要求，主要是滿足計(jì)算機(jī)對機(jī)房提出的技術(shù)要求，在機(jī)房裝飾藝術(shù)

13、上以既大方舒適，又滿足其技術(shù)要求為原則。對裝飾材料的選擇要達(dá)到吸音、防火、防潮、防變形、抗干擾、防靜電等要求。以期達(dá)到現(xiàn)代化的裝飾水平和視覺效果。網(wǎng)絡(luò)核心機(jī)房是整個(gè)校園計(jì)算機(jī)網(wǎng)絡(luò)開展應(yīng)用的中心和關(guān)鍵所在，為消除安全隱患，確保通信設(shè)備和通信網(wǎng)絡(luò)的安全可靠，應(yīng)該建設(shè)在一個(gè)安全、可靠、穩(wěn)定的基礎(chǔ)環(huán)境中。數(shù)據(jù)中心機(jī)房應(yīng)符合國際標(biāo)準(zhǔn)和相關(guān)規(guī)范，在潔凈與溫濕度、供配電、接地、防雷、防靜電、防盜與防破壞等各方面滿足征信系統(tǒng)的環(huán)境要求和管理要求。2.2. 應(yīng)用系統(tǒng)本次機(jī)房建設(shè)將包括一下幾個(gè)子系統(tǒng)：1、機(jī)房空調(diào)與新風(fēng)系統(tǒng)；2、電氣系統(tǒng)（供配電系統(tǒng)）；3、UPS系統(tǒng)；4、建筑裝飾系統(tǒng)；5、消防及自動報(bào)警系統(tǒng)；6、

14、機(jī)房漏水監(jiān)測系統(tǒng)；7、機(jī)房其他配套設(shè)備系統(tǒng)2.3. 服務(wù)器要求由于此處為校園網(wǎng)，主要功能是實(shí)現(xiàn)好學(xué)校與外部的上網(wǎng)功能，以及實(shí)現(xiàn)學(xué)校的資源共享 ，服務(wù)器具體功能（安全監(jiān)控中心、數(shù)據(jù)中心、存儲中心、網(wǎng)管中心），WWW服務(wù)，作為信息服務(wù)的平臺，Email服務(wù)，作為信息傳遞和與外界交流的主要手段。2.4. 網(wǎng)絡(luò)建設(shè)需求實(shí)用性和先進(jìn)性采用先進(jìn)成熟的技術(shù)和設(shè)備，盡可能采用先進(jìn)的技術(shù)、設(shè)備和材料，以適應(yīng)高速的數(shù)據(jù)與需要，使整個(gè)系統(tǒng)在一段時(shí)期內(nèi)保證技術(shù)的先進(jìn)性，并具有良好的發(fā)展?jié)摿Γ赃m應(yīng)未來業(yè)務(wù)的發(fā)展和技術(shù)升級的需要。 安全可靠性 為保證各項(xiàng)業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，決不能出現(xiàn)單點(diǎn)故障。要對機(jī)房布局、

15、結(jié)構(gòu)設(shè)計(jì)、設(shè)備選型、日常維護(hù)等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在關(guān)鍵設(shè)備采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強(qiáng)的管理機(jī)制控制手段和事故監(jiān)控與安全保密等技術(shù)措施提高數(shù)據(jù)中心機(jī)房的安全可靠性。 靈活性與可擴(kuò)展性 計(jì)算機(jī)機(jī)房必須具有良好的靈活性與可擴(kuò)展性，能夠根據(jù)機(jī)房業(yè)務(wù)不斷深入發(fā)展的需要，擴(kuò)大設(shè)備容量和提高用戶數(shù)量和質(zhì)量的功能。應(yīng)具備支持多種網(wǎng)絡(luò)傳輸，多種物理接口的能力，提供技術(shù)升級設(shè)備更新的靈活性。管理性由于機(jī)房具有一定復(fù)雜性，隨著業(yè)務(wù)的不斷發(fā)展，管理的任務(wù)必定會日益繁重。所以在機(jī)房的設(shè)計(jì)中，必須建立一套全面、完善的數(shù)據(jù)中心機(jī)房管理和監(jiān)控系統(tǒng)。所選用的設(shè)備應(yīng)具有智能

16、化、可管理的功能，同時(shí)條用先進(jìn)和管理監(jiān)控系統(tǒng)設(shè)備及軟件，實(shí)現(xiàn)先進(jìn)的集中管理監(jiān)控，實(shí)時(shí)監(jiān)控、監(jiān)測整個(gè)機(jī)房的運(yùn)行狀況，實(shí)時(shí)燈光、語音報(bào)警，實(shí)時(shí)事件記錄，這樣可以迅速確定故障，簡化機(jī)房管理人員的維護(hù)工作，從而為計(jì)算機(jī)機(jī)房的安全、可靠運(yùn)行提供最有力的保障。2.5. 系統(tǒng)集成要求WindowsXP系統(tǒng)，Windows2003 server，linux系統(tǒng)，點(diǎn)播系統(tǒng)（VOD）,網(wǎng)絡(luò)監(jiān)視系統(tǒng)，報(bào)警系統(tǒng)，認(rèn)證系統(tǒng)，校園系統(tǒng)，局域網(wǎng)管理系統(tǒng)，UPS不間斷電源系統(tǒng)，網(wǎng)絡(luò)管理系統(tǒng)。第三章 綜合布線設(shè)計(jì)3.1. 采用綜合布線方案概述綜合布線系統(tǒng)是采用模塊化插接件，垂直、水平方向的線路一經(jīng)布置，只需改變接線間中的跳線，

17、改變集線器，增加接線間的接線模塊，便可滿足用戶對這些系統(tǒng)的擴(kuò)展和移動。綜合布線由六個(gè)子系統(tǒng)組成，即工作區(qū)子系統(tǒng)(Work Area)、水平布線子系統(tǒng)(Horizontal Cabling)、垂直干線子系統(tǒng)(Backbone Cabling)、設(shè)備間子系統(tǒng)(Equipment Rooms)、管理子系統(tǒng)(Administration)和建筑群接入子系統(tǒng)(Premises Entrance Facilities) 。如圖：3.2 工作區(qū)子系統(tǒng)設(shè)計(jì)介紹工作區(qū)子系統(tǒng)是由終端設(shè)備連接到信息插座的連線和信息插座組成。室內(nèi)房間的一系列設(shè)備包括標(biāo)準(zhǔn)RJ-45插座、網(wǎng)卡、五類雙絞線。另外需要統(tǒng)一線纜連接標(biāo)準(zhǔn)，EI

18、A/TIA568A或EIA/TIA568B。 信息點(diǎn)數(shù)量（RJ-45插座的數(shù)量）應(yīng)根據(jù)工作區(qū)的實(shí)際功能及需求確定，并預(yù)留適當(dāng)數(shù)量的冗余。例如辦公室可配置23個(gè)信息點(diǎn)，此外還應(yīng)該考慮該辦公區(qū)是否需要配置專用信息點(diǎn)用于工作組服務(wù)器、網(wǎng)絡(luò)打印機(jī)、 機(jī)和視頻會議等。對于宿舍，一個(gè)房間配備1個(gè)信息點(diǎn)。注意，在進(jìn)行建筑弱電設(shè)計(jì)時(shí)，要嚴(yán)格執(zhí)行有關(guān)綜合布線標(biāo)準(zhǔn)，每個(gè)信息點(diǎn)到設(shè)備間的圖紙距離應(yīng)在70m內(nèi)，因此，樓宇中的設(shè)備間的選擇以位于或者盡可能位于本建筑物的地理中心為宜。如圖3.3 水平區(qū)子系統(tǒng)設(shè)計(jì)介紹水平子系統(tǒng)主要是實(shí)現(xiàn)信息插座和管理子系統(tǒng)，及中間配線架間的連接。水平子系統(tǒng)指定的拓?fù)浣Y(jié)構(gòu)為星型拓?fù)?。選擇水平

19、子系統(tǒng)的線纜要根據(jù)建筑物內(nèi)具體信息點(diǎn)的類型、容量、帶寬和傳輸速率來確定。水平組網(wǎng)子系統(tǒng)包括光纖主干線和各個(gè)樓層間的組網(wǎng)。室外主干的光纖電纜采用多模光纖，室內(nèi)采用超五類非屏蔽雙絞線。如圖3.4 垂直主干線子系統(tǒng)設(shè)計(jì)介紹垂直主干線子系統(tǒng)提供建筑物主干電纜的路由，實(shí)現(xiàn)主配線架與中間配線架、計(jì)算機(jī)、控制中心與各設(shè)備間子系統(tǒng)間的連接。垂直組網(wǎng)在各棟樓中從配線架通過樓道上的橋架連接到設(shè)備間。注意，如支持1000Base-TX則必須使用六類雙絞線。如圖3.5 設(shè)備間子系統(tǒng)設(shè)計(jì)介紹設(shè)備間子系統(tǒng)由設(shè)備室的電纜、連接器和相關(guān)支持硬件組成，把各種公用系統(tǒng)設(shè)備互相連接起來。本企業(yè)網(wǎng)采用多設(shè)備間子系統(tǒng)，包括網(wǎng)絡(luò)中心機(jī)房

20、、辦公教學(xué)樓、宿舍區(qū)、其公共場所設(shè)備間子系統(tǒng)。 網(wǎng)絡(luò)中心機(jī)房設(shè)備間配線架、交換機(jī)安裝在標(biāo)準(zhǔn)機(jī)柜中，光纖連接到機(jī)柜的光纖連接器上。辦公教學(xué)樓、宿舍區(qū)等設(shè)備間子系統(tǒng)配備標(biāo)準(zhǔn)機(jī)柜，柜中安裝光纖連接器、配線架和交換機(jī)等，通過水平干線線纜連接到相應(yīng)網(wǎng)絡(luò)機(jī)柜的配線架上，通過跳線與交換機(jī)相連。如圖3.6 建筑群子系統(tǒng)設(shè)計(jì)介紹建筑群子系統(tǒng)主要是實(shí)現(xiàn)建筑之間的相互連接，提供樓群之間通信設(shè)施所需的硬件。由連接網(wǎng)絡(luò)中心和各個(gè)設(shè)備間子系統(tǒng)的室外電纜組成了園區(qū)網(wǎng)建筑群子系統(tǒng)。有線通信線纜中，建筑群子系統(tǒng)多采用62.5/125um多模光纖，起最大傳輸距離為2km，滿足該學(xué)院網(wǎng)內(nèi)的距離需求，并把光纖埋入到地下管道中。如圖3

21、.7 綜合布線系統(tǒng)的安裝與施工指南最低配置：適用于綜合布線系統(tǒng)中配置標(biāo)準(zhǔn)較低的場合，用銅芯對絞電纜組網(wǎng)。1）每個(gè)工作區(qū)有1個(gè)信息插座； 2）每個(gè)信息插座的配線電纜為1條4對對絞電纜； 3）干線電纜的配置，對計(jì)算機(jī)網(wǎng)絡(luò)宜按24個(gè)信息插座配2對對絞線，或每一個(gè)集線器 （HUB）或集線器群（HUB群）配4對對絞線；對 至少每個(gè)信息插座配1對對絞線。基本配置：適用于綜合布線系統(tǒng)中中等配置標(biāo)準(zhǔn)的場合，用銅芯對絞電纜組網(wǎng)。1） 每個(gè)工作區(qū)有2個(gè)或2個(gè)以上信息插座； 2） 每個(gè)信息插座的配線電纜為1條4對對絞電纜； 3.8 產(chǎn)品選型說明 在布線設(shè)施設(shè)計(jì)中，需要的主要材料如下：多模光纖；五類雙絞線，在布線實(shí)施

22、時(shí)，應(yīng)該盡可能考慮選用防火標(biāo)準(zhǔn)高的線纜；各種信息插座，RJ-45等；電源；塑料槽板；PVC管；供電導(dǎo)線；配線架；第四章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)4.1 拓?fù)鋱D設(shè)計(jì)云南XXX學(xué)院校園網(wǎng)改造拓?fù)鋱D 設(shè)計(jì)說明主干是萬兆以太網(wǎng)，分別連接網(wǎng)通和電信，這樣可以做負(fù)載均衡，保證校園網(wǎng)的通暢。核心交換機(jī)采用雙機(jī)熱備技術(shù)，兩個(gè)同樣的核心交換機(jī)，一個(gè)做主核心交換機(jī)連接個(gè)機(jī)器使用，一個(gè)做備份，只有當(dāng)主交換機(jī)壞了是，備份的交換機(jī)會自動啟用，提供網(wǎng)絡(luò)安全保障。SQL服務(wù)器采用磁盤陣列，共5個(gè)磁盤，兩個(gè)用來存儲數(shù)據(jù)三個(gè)用來備份，這樣即使壞了兩個(gè)數(shù)據(jù)也不會丟失。匯聚層采用思科4系列交換機(jī)，具有處理簡單的認(rèn)證信息和網(wǎng)絡(luò)管理。外部服務(wù)

23、器群放在DMZ區(qū)域，當(dāng)外面的人訪問內(nèi)網(wǎng)，首先同過DMZ區(qū)域，在此區(qū)域內(nèi)檢測是否有病毒，如果有則處理掉，保證了內(nèi)網(wǎng)的安全。為了讓全校所有的地方都可以上網(wǎng)，本方案還在校園內(nèi)裝無限路由器。4.2 核心層設(shè)計(jì) 網(wǎng)絡(luò)核心交換機(jī)是連接各區(qū)域并保障各區(qū)域高速通信的紐帶，因此該設(shè)備應(yīng)采用具有大容量、高密度、模塊化體系架構(gòu)的設(shè)備，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務(wù)基礎(chǔ)上，還應(yīng)具有強(qiáng)大組播功能、基于策略的QOS、有效的安全管理機(jī)制和電信級的高可靠設(shè)計(jì)，從而滿足現(xiàn)代信息化網(wǎng)絡(luò)的多種業(yè)務(wù)承載融合和業(yè)務(wù)靈活分類、分流的組網(wǎng)需求。 針對xxx學(xué)院網(wǎng)絡(luò)的實(shí)際情況，我們部署兩臺模塊化核心交換機(jī)RG-S8610

24、。RG-S8610高密度多業(yè)務(wù)IPv6核心路由交換機(jī)提供3.2T背板帶寬，并支持將來更高帶寬的擴(kuò)展能力，高達(dá)1190Mpps的二層/三層包轉(zhuǎn)發(fā)率可為用戶提供高密度端口的高速無阻塞數(shù)據(jù)交換，具有線速轉(zhuǎn)發(fā)數(shù)據(jù)包的能力。每線卡提供200G的交換能力，滿足高密度的千兆/萬兆端口線速轉(zhuǎn)發(fā)，并且支持未來40G/100G接口的擴(kuò)展。通過XFP接口萬兆線卡下連匯聚層交換機(jī)構(gòu)成萬兆骨干鏈路；千兆端口連接管理工作站、無線控制器、IDS入侵檢測設(shè)備以及服務(wù)器區(qū)域交換機(jī)。 同時(shí)，RG-S8610高密度多業(yè)務(wù)IPv6核心路由交換機(jī)提供全面的安全防護(hù)體系，提供分布式的業(yè)務(wù)融合平臺，滿足未來網(wǎng)絡(luò)對安全和業(yè)務(wù)的更高要求。CP

25、P技術(shù)，業(yè)界領(lǐng)先的硬件CPU保護(hù)技術(shù)，通過對發(fā)往CPU的IPv4/IPv6等多層協(xié)議報(bào)文自動進(jìn)行流區(qū)分和流線速，避免異常報(bào)文對CPU的攻擊和資源消耗，保證核心設(shè)備在IPv4/IPv6三層網(wǎng)絡(luò)、二層網(wǎng)絡(luò)環(huán)境中核心設(shè)備CPU穩(wěn)定運(yùn)行。同時(shí)，RG-S8610核心路由交換機(jī)還提供其他更多的安全防護(hù)能力，例如防DDOS攻擊、非法數(shù)據(jù)包檢測、防掃描、防源IP地址欺騙等等，避免了傳統(tǒng)軟件實(shí)現(xiàn)方式對整機(jī)性能的影響。支持廣播報(bào)文抑制，有效控制非法廣播流量對設(shè)備造成沖擊。支持IPv6/IPv6、VLAN、MAC和端口等多種組合綁定方式，提高用戶接入控制能力。 雙核心熱冗余備份設(shè)計(jì) 為保障網(wǎng)絡(luò)具有99.999%的電

26、信級高可靠性，實(shí)施時(shí)采用雙核心、雙鏈路的設(shè)計(jì)方案。該方式的好處在于，任意一臺核心交換機(jī)的故障，或者任意一條上行鏈路的故障，均不會影響網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，備用交換機(jī)或備用線路會智能地啟用起來。圖 要實(shí)現(xiàn)這樣的熱冗余備份機(jī)制，需要在核心交換機(jī)上啟用VRRP（虛擬熱冗余備份協(xié)議）和MSTP（多生成樹協(xié)議）。VRRP協(xié)議主要用于兩臺核心設(shè)備面向接入用戶虛擬出一個(gè)實(shí)時(shí)可用的IP地址，實(shí)現(xiàn)核心設(shè)備間的智能熱備份；MSTP協(xié)議則主要用于避免VLAN內(nèi)部出現(xiàn)環(huán)路，配合VRRP協(xié)議實(shí)現(xiàn)線路的智能熱備份。核心交換機(jī)與出口路由器之間啟用動態(tài)路由協(xié)議，實(shí)現(xiàn)與VRRP/MSTP的配合切換。 根據(jù)部分網(wǎng)絡(luò)信息點(diǎn)建設(shè)要求全千兆

27、到桌面的總體設(shè)計(jì)思想，考慮到萬兆、IPv6的建網(wǎng)理念，根據(jù)集團(tuán)各個(gè)分部的廠房和庫房網(wǎng)絡(luò)建設(shè)的具體情況，考慮到部分信息點(diǎn)數(shù)據(jù)流量龐大等因素，在攀枝花、西昌、瀘州分部核心區(qū)域建議采用銳捷RG-S5750-48GT/4SPF-E全千兆三層多業(yè)務(wù)IPv6交換機(jī)。RG-S5750-48GT/4SPF-E全千兆三層多業(yè)務(wù)交換機(jī)具備48口，可容納多個(gè)接入層設(shè)備。最重要的是RG-S5750-48GT/4SPF-E三層交換機(jī)還具備兩個(gè)萬兆擴(kuò)展槽，可靈活彈性擴(kuò)展多種類型的萬兆模塊和萬兆堆疊模塊，通過擴(kuò)展萬兆光口實(shí)現(xiàn)骨干網(wǎng)絡(luò)的萬兆互聯(lián)以及部分接入網(wǎng)絡(luò)的千兆桌面。從RG-S5750-48GT/4SPF-E是銳捷網(wǎng)絡(luò)推

28、出的融合了高性能、高安全、多智能、易用性的新一代全千兆帶萬兆擴(kuò)展機(jī)架式多層交換機(jī)?？梢蕴峁?8個(gè)10/100/1000M自適應(yīng)的千兆電口，還能提供PoE遠(yuǎn)程供電的接口。4.3 出口設(shè)計(jì)出口區(qū)域的網(wǎng)絡(luò)主要由路由器VPN網(wǎng)關(guān)、防火墻組成，以下介紹以路由器為主。我們建議在總部網(wǎng)絡(luò)出口處部署一臺銳捷RG-NPE50E網(wǎng)絡(luò)出口引擎，RG-NPE50E固化提供了8個(gè)光電復(fù)用的GE口，可擴(kuò)展2個(gè)擴(kuò)展糟，定位于中大型網(wǎng)絡(luò)出口。RG-NPE50E全新融入了智能DNS和多鏈路負(fù)載均衡技術(shù)，使得用戶對內(nèi)對外訪問都能智能選擇最優(yōu)最快速路徑；集成了DPI引擎，讓網(wǎng)絡(luò)管理人員輕松應(yīng)對P2P等應(yīng)用的流量控制；重構(gòu)了WEB界

29、面，讓其在設(shè)備管理維護(hù)層面變得簡化。RG-NPE50E網(wǎng)絡(luò)出口引擎采用MIPS多核處理器體系架構(gòu)，單個(gè)處理器內(nèi)部基于銳捷網(wǎng)絡(luò)自主知識產(chǎn)權(quán)的虛擬多處理器 （vCPU）技術(shù)，從而在x-flow框架下構(gòu)建起一個(gè)高性能、高穩(wěn)定的轉(zhuǎn)發(fā)平臺。RG-NPE50E網(wǎng)絡(luò)出口引擎支持的最大并發(fā)用戶數(shù)最多達(dá)10000人，4G的DDR II內(nèi)存，最高達(dá)6Mpps的轉(zhuǎn)發(fā)能力具有卓越的轉(zhuǎn)發(fā)性能。RG-NPE50E網(wǎng)絡(luò)出口引擎充分利用x-flow技術(shù)，實(shí)現(xiàn)高速NAT，每秒高達(dá)30萬條的NAT新建連接會話，最大支持整機(jī)200萬條并發(fā)會話數(shù)。64bytes小包轉(zhuǎn)發(fā)率可達(dá)100Mbps，同時(shí)實(shí)現(xiàn)出口防火墻功能，在各業(yè)務(wù)功能全開的

30、情況下，能實(shí)現(xiàn)最大3000-10000用戶的并發(fā)帶機(jī)量。RG-NPE50E網(wǎng)絡(luò)出口引擎配有先進(jìn)的DPI深入分析引擎、行為分析/管理引擎，能夠在保證網(wǎng)絡(luò)出口高效轉(zhuǎn)發(fā)的基礎(chǔ)上，提供專業(yè)的流控功能、出色的URL過濾以及本地化的日志存儲/審計(jì)服務(wù)。此外，RG-NPE50E網(wǎng)絡(luò)出口引擎還提供WEB認(rèn)證、IPsec/L2TP/SSL VPN、智能DNS、多鏈路負(fù)載均衡等多種功能的支持。同時(shí)可根據(jù)網(wǎng)絡(luò)使用分部情況，RG-NPE50E網(wǎng)絡(luò)出口引擎提供專業(yè)的流量限速策略，用戶可根據(jù)不同時(shí)段指定，分時(shí)段限速策略。同時(shí)RG-NPE50E的多出口負(fù)載均衡，可綜合利用不同運(yùn)營商、不同自費(fèi)的線路，提升網(wǎng)絡(luò)帶寬的同時(shí)，降低

31、線路資費(fèi)。4.4 防火墻根據(jù)學(xué)院對網(wǎng)絡(luò)安全的統(tǒng)一規(guī)劃，需要在網(wǎng)絡(luò)出口處均部署防火墻產(chǎn)品進(jìn)行網(wǎng)絡(luò)安全防護(hù)，建議采用RG-WALL 1600E防火墻用在內(nèi)外網(wǎng)間鏈路上作防護(hù)，從而實(shí)現(xiàn)對外部的攻擊防御，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性。RG-WALL 1600E防火墻是面向大型園區(qū)網(wǎng)出口用戶開發(fā)的新一代電信級高性能防火墻設(shè)備。RG-WALL 1600E可支持?jǐn)?shù)十個(gè)GE接口，可以廣泛應(yīng)用于企業(yè)、教育、政府、醫(yī)療等行業(yè)的千兆網(wǎng)絡(luò)環(huán)境。配合銳捷網(wǎng)絡(luò)交換機(jī)、路由器產(chǎn)品，可以為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)出口和不同策略區(qū)域之間安全互聯(lián)的理想選擇。RG-WALL 1600E基于銳捷網(wǎng)絡(luò)自主開發(fā)的RG-SecOS

32、和獨(dú)創(chuàng)的分類算法使得它的高速性能不受策略數(shù)和會話數(shù)多少的影響。RG-WALL 1600E采用獨(dú)立的安全協(xié)議棧，可以自由處理通過協(xié)議棧的網(wǎng)絡(luò)數(shù)據(jù)，基于網(wǎng)絡(luò)行為檢測多流關(guān)聯(lián)分析技術(shù)，支持對網(wǎng)絡(luò)數(shù)據(jù)深度狀態(tài)檢測。同時(shí)還采用快速流檢測引擎，對網(wǎng)絡(luò)報(bào)文處理進(jìn)行了革命性的改造和優(yōu)化；內(nèi)置專用的硬件VPN模塊，支持SSL、IPsec、PPTP、L2TP VPN等多種VPN業(yè)務(wù)模式。在消除通用操作系統(tǒng)漏洞的前提下，完整實(shí)現(xiàn)了狀態(tài)檢測包過濾/應(yīng)用代理防火墻、動態(tài)路由、入侵檢測防護(hù)、病毒過濾、IPSec VPN、抗DDoS攻擊、深度內(nèi)容檢測、帶寬管理和流量控制等綜合安全網(wǎng)關(guān)功能。4.5 主要設(shè)備選型設(shè)備類型設(shè)備型

33、號設(shè)備說明交換機(jī)RG-8610RG-S8606網(wǎng)管功能：SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2背板帶寬：1638Gbps 包轉(zhuǎn)發(fā)率：L2: 595MppsL3: 595MppsRG-S5750-24 GT/8SFP-E24口10/100/1000M自適應(yīng)端口(支持遠(yuǎn)程PoE供電)，8個(gè)SFP光電復(fù)用口，2個(gè)擴(kuò)展槽、模塊化電源、2個(gè)電源插槽、包轉(zhuǎn)發(fā)速率：96Mpps,交換容量:360GbpsRG-2352G背板帶寬 包轉(zhuǎn)發(fā)率13.2Mpps 接口數(shù)目52口 路由器RG-NPE50EMIPS多核處理器、內(nèi)存:4G、flash:512M、8GE光

34、電復(fù)用接口、包轉(zhuǎn)發(fā)速率6Mpps、NAT并發(fā)會話數(shù)：整機(jī)200萬。防火墻RG-WALL1600E支持?jǐn)?shù)十個(gè)GE接口、獨(dú)創(chuàng)的分類算法、RG-SecOS、支持對網(wǎng)絡(luò)數(shù)據(jù)深度狀態(tài)檢測、快速流檢測引擎入侵檢測RG-IDS2000全面檢測、分布式結(jié)構(gòu)、高可靠、高性能、低誤報(bào)率服務(wù)器IBM服務(wù)器X3850M2標(biāo)配四個(gè)Intel 四核Xeon E7420處理器(2.13GHz, 8M L3緩存)，可擴(kuò)至四路處理器，標(biāo)配8GB DDR2內(nèi)存，0GB SAS硬盤，最大可擴(kuò)充至256GB，標(biāo)配1塊內(nèi)存板，標(biāo)配2個(gè)熱插拔電源,4U機(jī)架式，配置2個(gè)146GB 10K ” SAS Hot-Swap HDDIBM服務(wù)器X

35、3650M22U機(jī)架式服務(wù)器。配置一顆四核英特爾至強(qiáng)處理器5504 2.0GHz(4MB三級緩存，最高支持800MHz內(nèi)存頻率，4.8 GT/s QPI，支持超線程、TurboBoost功能), 可擴(kuò)展至2個(gè)處理器。2x2GB DDR3 RDIMM內(nèi)存，高達(dá)16個(gè)內(nèi)存插槽(每處理器配置8個(gè)內(nèi)存插槽)。4個(gè)PCI-Express二代插槽；4個(gè)x8插槽通過可選的擴(kuò)展卡可轉(zhuǎn)換為2個(gè)x16插槽；通過可選的擴(kuò)展卡支持PCI-X。配置4個(gè)146GB熱插拔SAS硬盤，共計(jì)12個(gè)2.5英寸熱插拔硬盤托架。集成雙千兆以太網(wǎng)。三年免費(fèi)保修和服務(wù)。第五章 VLAN與IP規(guī)劃5.1 VLAN與IP技術(shù)介紹(1) VL

36、AN技術(shù)即虛擬子網(wǎng)技術(shù)起始于1994/1995年的LAN交換技術(shù)，VLAN就是一個(gè)廣播域，是由跨越物理LAN網(wǎng)段的多臺終端機(jī)組成的相互可以通信的邏輯網(wǎng)段。劃分VLAN可以基于端口、MAC地址、第三層的IP、多址廣播及混合技術(shù)。(2) VLAN的劃分可以提供更多的服務(wù)網(wǎng)絡(luò)管理及性能的提高。(3) VLAN可以減少移動及改變的花費(fèi)；(4) VLAN建立的虛擬工作組可以提供方便管理的可能；(5) 一種資源可以屬于不同的VLAN，減少對廣播的路由，防止局域的網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生；(6) 更高的安全性，可以在局域只能夠建立安全屏障，分割安全等級；(7) 高性能，低延遲，提供比路由器高得多的速率，卻有更低的價(jià)格

37、； VLAN與IP劃分方案部門VLAN名VLAN號VLAN IPIP網(wǎng)段可用范圍財(cái)務(wù)部CWB10 254/24學(xué)工部XGB20254/24行政部XZB30254/24教務(wù)處JWC40254/24圖書館TSG50254/24內(nèi)部服務(wù)器區(qū)NBFWQ60254/24外部服務(wù)器區(qū)WBFWQ70254/24管理GL80254/24學(xué)生區(qū)教工區(qū)教學(xué)區(qū)第六章 網(wǎng)絡(luò)管理與安全方案6.1 網(wǎng)絡(luò)管理方案 配置管理過程是對處于不斷演化、完善過程中的 HYPERLINK :/baike.baidu /view/37.htm t _blank 軟件產(chǎn)品的管理過程。其最終目標(biāo)是實(shí)現(xiàn)軟件產(chǎn)品的完整性、一致性、可控性，使產(chǎn)品

38、極大程度地與用戶 HYPERLINK :/baike.baidu /view/195818.htm t _blank 需求相吻合。它通過控制、記錄、追蹤對軟件的修改和每個(gè)修改生成的軟件組成部件來實(shí)現(xiàn)對軟件產(chǎn)品的 HYPERLINK :/baike.baidu /view/181277.htm t _blank 管理功能。性能管理是對電信設(shè)備的性能和網(wǎng)絡(luò)單元的有效性進(jìn)行評估，并提出評價(jià)報(bào)告的一組功能。包括性能測試，性能分析及性能控制。性能管理（Performance Management）性能管理指的是優(yōu)化網(wǎng)絡(luò)以及聯(lián)網(wǎng)的應(yīng)用系統(tǒng)性能的活動，包括對網(wǎng)絡(luò)以及應(yīng)用的監(jiān)測、及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)堵塞或中斷情況、全

39、面的故障排除、基于事實(shí)的容量規(guī)劃和有效地分配網(wǎng)絡(luò)資源。安全管理：安裝系統(tǒng)補(bǔ)丁程序(Patch) ；采用最新版本的服務(wù)方軟件；設(shè)置系統(tǒng)日志；定期檢查系統(tǒng)安全性；6.2 網(wǎng)絡(luò)安全方案 GSN今天的網(wǎng)絡(luò)安全正遭受嚴(yán)峻挑戰(zhàn)。病毒、外部入侵（黑客）、拒絕服務(wù)攻擊、內(nèi)部的誤用和濫用，以及各種災(zāi)難事故的發(fā)生，時(shí)刻威脅著網(wǎng)絡(luò)的業(yè)務(wù)運(yùn)轉(zhuǎn)和信息安全。但與此同時(shí)，大多數(shù)正在使用的網(wǎng)絡(luò)安全系統(tǒng)都缺乏真正的全局防護(hù)能力。當(dāng)網(wǎng)絡(luò)受到來自各方面的攻擊時(shí)，由防毒軟件和防火墻等獨(dú)立安全產(chǎn)品堆砌起來的措施不僅漏洞百出，還會處處被動挨打?？梢詳嘌裕好鎸?fù)雜的安全隱患，這種“各自為戰(zhàn)”的安全系統(tǒng)已徹底失去效力。今天，網(wǎng)絡(luò)安全技術(shù)與各

40、種安全隱患之間進(jìn)行的是一場深入、多層次的戰(zhàn)爭。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動局面，唯有用全局化、智能化的安全體系代替陳舊的安防措施。業(yè)界領(lǐng)先的網(wǎng)絡(luò)設(shè)備及解決方案供應(yīng)商銳捷網(wǎng)絡(luò)率先發(fā)布了集自動防御（自御）、自動修復(fù)（自愈）與自動學(xué)習(xí)（自育）等三大自“YU”功能于一體的GSN全局安全網(wǎng)絡(luò)解決方案。GSN強(qiáng)調(diào)“多兵種協(xié)同作戰(zhàn)”，將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機(jī)、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。在此基礎(chǔ)上，GSN不僅能夠滿足現(xiàn)階段網(wǎng)絡(luò)安全環(huán)境的需求，同時(shí)也為今后可能發(fā)生的安全威脅做出了準(zhǔn)備。GSN，即 Global Security Networ

41、k，中文名稱“全局安全網(wǎng)絡(luò)”。GSN通過將用戶入網(wǎng)強(qiáng)制安全、主機(jī)信息收集和健康性檢查、安全事件下的網(wǎng)絡(luò)設(shè)備聯(lián)動處理集成到一個(gè)網(wǎng)絡(luò)安全解決方案中，達(dá)到對網(wǎng)絡(luò)安全威脅的自動防御，網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)，同時(shí)針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為進(jìn)行學(xué)習(xí)，達(dá)到對未知安全事件的防范。GSN方案由銳捷安全交換機(jī)、銳捷安全管理平臺、銳捷安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素組成，能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動，使每個(gè)設(shè)備都發(fā)揮安全防護(hù)的作用。GSN由三個(gè)層面組成;后臺服務(wù)層面：身份認(rèn)證系統(tǒng)身份認(rèn)證系統(tǒng)能夠提供嚴(yán)格的用戶接入控制，通過準(zhǔn)確的身份認(rèn)證和物理定位來確保接入用戶的可靠性。用戶認(rèn)證

42、系統(tǒng)針對用戶的入網(wǎng)，提供入網(wǎng)控制功能，同時(shí)，認(rèn)證系統(tǒng)還可以實(shí)現(xiàn)用戶帳號、用戶IP、用戶MAC、設(shè)備IP、設(shè)備端口的靜態(tài)綁定、動態(tài)綁定以及自動綁定，保證用戶入網(wǎng)身份唯一。安全管理平臺安全管理平臺是安全防御體系的管理與控制中心，是統(tǒng)一安全管理平臺的核心組成部分。通過安全管理平臺，可以對系統(tǒng)內(nèi)的安全設(shè)備與系統(tǒng)安全策略進(jìn)行管理，實(shí)現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效的配置和管理全局安全設(shè)備，從而實(shí)現(xiàn)全局安全設(shè)備的集中管理，起到安全網(wǎng)管的作用。通過統(tǒng)一的技術(shù)方法，將系統(tǒng)所有的安全日志、安全事件集中收集管理，實(shí)現(xiàn)集中的日志分析、審計(jì)與報(bào)告。同時(shí)通過集中的分析審計(jì)，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨

43、勢，確保安全事件、事故得到及時(shí)的響應(yīng)和處理。安全修復(fù)系統(tǒng)安全修復(fù)系統(tǒng)的作用是跟蹤安全漏洞的變化，能夠有效地進(jìn)行系統(tǒng)補(bǔ)丁、病毒特征碼或者用戶指定應(yīng)用程序補(bǔ)丁的管理。針對不同的安全策略，點(diǎn)到面自動強(qiáng)制分發(fā)部署補(bǔ)丁程序。網(wǎng)絡(luò)層面：安全聯(lián)動設(shè)備安全聯(lián)動設(shè)備是校園網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。由安全管理平臺提供標(biāo)準(zhǔn)的協(xié)議接口，同交換機(jī)、路由器、防火墻、IDS等各類網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)安全聯(lián)動。用戶層面：安全客戶端安全客戶端是安裝在個(gè)人電腦和服務(wù)器上的端點(diǎn)保護(hù)軟件。安全客戶端負(fù)責(zé)收集不同用戶的安全軟件的狀態(tài)信息，包括對防病毒軟件信息的收集。同時(shí)安全客戶

44、端可以評估操作系統(tǒng)的版本、補(bǔ)丁程度等信息，并且把這些信息傳遞到安全管理平臺，沒有進(jìn)行適當(dāng)升級的主機(jī)將被隔離到網(wǎng)絡(luò)修復(fù)區(qū)域，從而保障網(wǎng)絡(luò)的安全運(yùn)行。與傳統(tǒng)的解決方案不同，安全客戶端通過對用戶終端設(shè)備信息的搜集，可預(yù)先識別和防止用戶對網(wǎng)絡(luò)的惡意行為，排除潛在的已知和未知的安全風(fēng)險(xiǎn)。GSN的優(yōu)勢：(1)提供統(tǒng)一、嚴(yán)格的用戶入網(wǎng)身份驗(yàn)證機(jī)制GSN提供了統(tǒng)一的身份管理模式，對接入內(nèi)網(wǎng)的用戶進(jìn)行身份合法性驗(yàn)證沒有合法身份的用戶被隔離在內(nèi)網(wǎng)之外，無法登錄訪問網(wǎng)絡(luò)。圖（2）支持對用戶名、密碼、用戶IP、用戶MAC、交換機(jī)IP及交換機(jī)端口六元素進(jìn)行靈活綁定（3）靈活的用戶訪問權(quán)限管理不同部門和組織的用戶往往需要

45、約束不同的訪問控制權(quán)限財(cái)務(wù)部門的數(shù)據(jù)服務(wù)器不允許其它部門訪問訪客用戶不能訪問所有內(nèi)網(wǎng)資源，但允許訪問外網(wǎng)及內(nèi)網(wǎng)的DNSGSN提供了靈活的訪問權(quán)限控制功能充分滿足用戶權(quán)限控制的多樣化需求（4）GSN端點(diǎn)防護(hù)體系，檢驗(yàn)終端無漏洞、病毒、木馬后方能進(jìn)入網(wǎng)絡(luò)（5）與殺毒軟件、IDS等聯(lián)動通過對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，再加上黑客、病毒等安全危脅日益嚴(yán)重。網(wǎng)絡(luò)安全問題的解決勢在必行。針對不同安全風(fēng)險(xiǎn)必須采用相應(yīng)的安全措施來解決。使網(wǎng)絡(luò)安全達(dá)到一定的安全目標(biāo)。 需求 1、物理上安全需求針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如構(gòu)建屏蔽室。采用輻射干擾機(jī)，防止

46、電磁輻射泄漏機(jī)密信息。對重要的設(shè)備進(jìn)行備份；對重要系統(tǒng)進(jìn)行備份等安全保護(hù)。 2、訪問控制需求 防范非法用戶非法訪問非法用戶的非法訪問也就是黑客或間諜的攻擊行為。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全，如用戶名及口令字這些簡單的控制。但對于用戶名及口令的保護(hù)方式，對有攻出擊目的的人而言，根本就不是一種障礙。他們可以通過對網(wǎng)絡(luò)上信息的監(jiān)聽，得到用戶名及口令或者通過猜測用戶及口令，這都將不是難事，而且可以說只要花費(fèi)很少的時(shí)間。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，嚴(yán)格控制只在合法用戶才能訪問合法資源。 防范合法用戶非授權(quán)訪問合法用戶的非授權(quán)訪問是指合法用戶

47、在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說，每個(gè)成員的主機(jī)系統(tǒng)中，有一部份信息是可以對外開放，而有些信息是要求保密或具有一定的隱私性。外部用戶被允許正常訪問的一定的信息，但他同時(shí)通過一些手段越權(quán)訪問了別人不允許他訪問的信息，因此而造成他人的信息泄密。所以，還得加密訪問控制的機(jī)制，對服務(wù)及訪問僅限過行嚴(yán)格控制。 防范假冒合法用戶非法訪問從管理上及實(shí)際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么，入侵者便會在用戶下班或關(guān)機(jī)的情況下，假冒合法用戶的IP地址或用戶名等資源進(jìn)行非法訪問。因此，必需從訪問控制上做到防止假冒而過行的非法訪問。 3、 加密機(jī)需求加密

48、傳輸是網(wǎng)絡(luò)安全重要手段之一。信息的泄漏很多都是在鏈路上被搭線竊取，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對方，造成數(shù)據(jù)真實(shí)性、完整性得不到保證。如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上傳的數(shù)據(jù)以密文傳輸，因?yàn)閿?shù)據(jù)是密文。所以，即使，在傳輸過程中被截獲，入侵者也讀不懂，而且加密機(jī)還能通過先進(jìn)行技術(shù)手段，對數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別。可以保證數(shù)據(jù)的保密性、完整性及可靠性。因此，必需配備加密設(shè)備對數(shù)據(jù)進(jìn)行傳輸加密。 4、入侵檢測系統(tǒng)需求也許有人認(rèn)為，網(wǎng)絡(luò)配了防火墻就安全了，就可以高枕無憂了。其實(shí)，這是一種錯(cuò)誤的認(rèn)識，網(wǎng)絡(luò)安全是整體的，動態(tài)的，不是單一產(chǎn)品能夠完全實(shí)現(xiàn)。防火墻是

49、實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對所有的訪問進(jìn)行嚴(yán)格控制（允許、禁止、報(bào)警）。但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。所以確保網(wǎng)絡(luò)更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測并做相應(yīng)反應(yīng)（記錄、報(bào)警、阻斷）。 5、安全風(fēng)險(xiǎn)評估系統(tǒng)需求網(wǎng)絡(luò)系統(tǒng)存在安全漏洞（如安全配置不嚴(yán)密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。入侵者通常都是通過一些程來探測網(wǎng)絡(luò)中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡(luò)中存在的安全漏洞，并采用相應(yīng)的措施填補(bǔ)系統(tǒng)

50、漏洞，對網(wǎng)絡(luò)設(shè)備等存在的不安全配置重新進(jìn)行安全配置。 6、防病毒系統(tǒng)需求針對防病毒危害性極大并且傳播極為迅速，必須配備從客戶端到網(wǎng)關(guān)的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。 安全管理體制健全的人的安全意識可以通過安全常識培訓(xùn)來提高。人的行為的約束只能通過嚴(yán)格的管理體制，并利用法律手段來實(shí)現(xiàn)。 構(gòu)建CA系統(tǒng)由于網(wǎng)絡(luò)系統(tǒng)必須采用加密措施。而加密系統(tǒng)通常都通過加密密鑰來實(shí)現(xiàn)，而密鑰的分發(fā)及管理的可靠性卻存在安全問題，構(gòu)建CA系統(tǒng)就是在這個(gè)基礎(chǔ)上提出的。通過信任的第三方來確保通信雙方互相交換信息。 安全目標(biāo)基于以上的需求分析，我們認(rèn)為網(wǎng)絡(luò)系統(tǒng)可以實(shí)現(xiàn)以下安全目標(biāo)： 保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性 保護(hù)網(wǎng)絡(luò)系統(tǒng)

51、服務(wù)的連續(xù)性 防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問防范入侵者的惡意攻擊與破壞保護(hù)校園信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性防范病毒的侵害實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。 網(wǎng)絡(luò)安全實(shí)現(xiàn)策略及產(chǎn)品選型原則網(wǎng)絡(luò)安全防范是通過安全技術(shù)、安全產(chǎn)品集成及安全管理來實(shí)現(xiàn)。其中安全產(chǎn)品的集成便涉及如何選擇網(wǎng)絡(luò)安全產(chǎn)品？在進(jìn)行網(wǎng)絡(luò)安全產(chǎn)品選型時(shí)，應(yīng)該要求網(wǎng)絡(luò)安全產(chǎn)品滿足兩方面的要求：一是安全產(chǎn)品必須符合國家有關(guān)安全管理部門的政策要求；二是安全產(chǎn)品的功能與性能要求。1、滿足國家管理部門的政策性方面要求針對相關(guān)的安全產(chǎn)品必須查看其是否得到相應(yīng)的許可證，如： 密碼產(chǎn)品滿足國家密碼管理委員會的要求。 安全產(chǎn)品獲得國家公安部頒發(fā)的銷售

52、許可證。 安全產(chǎn)品獲得中國信息安全產(chǎn)品測評認(rèn)證中心的測評認(rèn)證。 安全產(chǎn)品獲得總參謀部頒發(fā)的國防通信網(wǎng)設(shè)備器材進(jìn)網(wǎng)許可證。符合國家保密局有關(guān)國際聯(lián)網(wǎng)管理規(guī)定以及涉密網(wǎng)審批管理規(guī)定。2、安全產(chǎn)品的選型原則從安全產(chǎn)品自來選擇必須考慮產(chǎn)品功能、性能、運(yùn)行穩(wěn)定性以及擴(kuò)展性，并且對安全產(chǎn)品，還必須考查其產(chǎn)品自身的安全性。 網(wǎng)絡(luò)安全方案設(shè)計(jì)原則在進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則：1、需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的。對一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，

53、然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。2、綜合性、整體性原則應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻出檢測技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。計(jì)算機(jī)網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在網(wǎng)絡(luò)安全中的地位和影響作用，也只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代價(jià)、效果對不同網(wǎng)絡(luò)并不完全相同。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性

54、原則，根據(jù)確定的安全策略制定出合理的網(wǎng)絡(luò)體系結(jié)構(gòu)及網(wǎng)絡(luò)安全體系結(jié)構(gòu)。3、一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有安全的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費(fèi)也少得多。4、易操作性原則安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。5、適應(yīng)性及靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變

55、化而變化，要容易適應(yīng)、容易修改和升級。6、多重保護(hù)原則任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。7、可評價(jià)性原則如何預(yù)先評價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實(shí)現(xiàn)。網(wǎng)絡(luò)安全是整體的、動態(tài)的。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。網(wǎng)絡(luò)安全的動態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個(gè)

56、機(jī)器），原來安全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了），原來的系統(tǒng)就會變的不安全。所以，建立網(wǎng)絡(luò)安全系統(tǒng)不是一勞永逸的事情。針對安全體系的特性，我們可以采用統(tǒng)一規(guī)劃、分步實(shí)施的原則。具體而言，我們可以先對網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。對于學(xué)校行業(yè)網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃

57、，然后，根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)-檢測-響應(yīng)的基礎(chǔ)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。 網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過對網(wǎng)絡(luò)應(yīng)用的全面了解，按照安全風(fēng)險(xiǎn)、需求分析結(jié)果、安全策略以及網(wǎng)絡(luò)的安全目標(biāo)。具體的安全控制系統(tǒng)可以從以下幾個(gè)方面分述: 物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全。1、物理安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個(gè)方面： 對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國

58、家標(biāo)準(zhǔn)GB5017393電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范、國標(biāo)GB288789計(jì)算站場地技術(shù)條件、GB936188計(jì)算站場地安全要求 設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；設(shè)備冗余備份；通過嚴(yán)格管理及提高員工的整體安全意識來實(shí)現(xiàn)。1.3 媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來了極大的

59、危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。這對重要的政策、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)都將成為首要設(shè)置的條件。正常的防范措施主要在三個(gè)方面：對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號線、 線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門的關(guān)起等。對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采光纜傳輸?shù)姆绞?，大?/p>

60、數(shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。對終端設(shè)備輻射的防范。終端機(jī)尤其是CRT顯示器，由于上萬伏高壓電子流的作用，輻射有極強(qiáng)的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，目前主要采取主動式的干擾設(shè)備如干擾機(jī)來破壞對應(yīng)信息的竊取，個(gè)別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，這種方法雖降低了部份屏蔽效能，但可大大改善工作環(huán)境，使人感到在普通機(jī)房內(nèi)一樣工作。2、系統(tǒng)安全2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理；線路是否有冗余；路由是否冗余，防止單點(diǎn)失敗等。工行網(wǎng)絡(luò)在設(shè)