广州市地铁总公司网络工程方案

 

广州市地铁总公司网络工程方案

目录
一、项目概述 5
二、需求分析 6
2.1网络现状分析 6
2.2网络需求分析 6
三、总体设计方案 7
3.1系统设计原则 7
3.1.1高可靠性 7
3.1.2高安全性 7
3.1.3先进性 7
3.1.4易管理、易维护 7
3.1.5可扩展性 8
3.2系统设计概述 9
3.2.1网络体系结构和逻辑结构设计 9
3.2.2网络拓扑结构 9
3.2.3网络管理系统的确定 9
3.2.4连接Internet 10
四、系统方案 11
4.1局域网设计方案 11
4.1.1基本网络结构设计 11
4.1.1.1基本网络物理结构 11
4.1.1.2虚拟网（VLAN）的构建 12
4.1.1.3系统的特点 14
4.1.2网络服务 15
4.1.2.1网络操作系统 15
4.1.2.2应用功能 18
4.1.3备份服务（建议采用） 23
4.1.4 Cisco网络管理 24
4.1.5局域网拓扑图 26
4.2局域网防火墙及防病毒解决方案 27
4.2.1网络安全风险分析 27
4.2.2需求分析 28
4.2.3安全管理需求分析 28
4.2.4安全方案 30
4.2.5网络设备的安全配置 30
4.2.6对服务器访问的控制 30
4.2.7 CheckPoint FireWall-1 4.0 31
4.2.7.1产品简介 31
4.2.7.2状态检测机制 34
4.2.7.2 OPSEC 35
4.2.7.3企业级防火墙安全管理 35
4.7.3.4分布的客户机/服务器结构 36
4.2.7.5认证（Authentication） 37
4.2.7.6地址翻译（NAT） 37
4.2.7.7内容安全 38
4.2.7.8连接控制 39
4.2.7.9路由器安全管理 39
4.2.8防火墙及防病毒解决方案 41
4.2.8.1软件要求 41
4.2.8.2硬件要求 41
4.2.8.3防火墙网络图 42
4.3城域网建设 43
4.3.1基本概述 43
4.3.2通讯线路和拨号访问服务 43
4.3.3虚拟专用网VPN技术 44
4.3.4网管软件平台和网管软件 45
4.3.5城域网网络架构图 46
4.4 INTERNET的接入方案 47
4.4.1 ADSL简介 47
4.4.2 ADSL与其它接入服务的比较 48
4.4.2.1 ADSL与Cable Modem的比较 48
4.4.2.2 ADSL与普通拨号 Modem及N-ISDN的比较 48
五、设备报价表 50
5.1产品报价表 50
5.2维修报价表 51
六、项目实施计划 52
6.1网络设备及系统软件验收 52
6.2项目计划实施 52
6.3审核施工进度 52
6.4网络系统集成性能测试 52
6.5完善在测试过程中可能出现的各种问题 53
6.6提交网络性能测试报告 53
6.7网络系统集成验收 53
七、系统验收标准 54
7.1系统验收原则 54
7.2系统验收组织 54
7.3系统验收依据 54
7.4系统验收内容 55
7.4.1系统性能验收 55
7.4.1.1设备性能：主流厂商、主流产品、主流技术 55
7.4.1.2网络性能：实用技术、成熟标准、安全管理 56
7.4.2网管系统要求 57
7.4.2.1网络监控功能要求 57
7.4.2.2网络管理软件平台功能要求 57
7.4.2.3对网络设备的管理 58
7.4.2.4各种操作系统及网络协议的管理 58
7.4.2.5基于GUI的图形界面 59
7.4.2.6关系型数据库支持 59
7.4.3工程质量验收 60
7.4.4系统文档验收 60
7.5系统测试、网络管理与网络安全标准 61
7.5.1广域网测试标准 61
7.5.2局域网测试标准 62
7.5.3网管系统标准 63
7.5.4网络安全标准 64
八、售后服务 65
8.1试运行期支持 65
8.2保修期服务 65
8.3保修期外服务 66
8.4文档体系 66
8.5培训计划 67
8.5.1培训目的 67
8.5.2培训对象 68
8.5.3培训策略 68
8.5.4培训方式 68
8.5.4.1现场培训 68
8.5.4.2集中培训 69
8.5.5课程安排 69
8.5.6课程描述 70
九、金税服务体系 73
9.1专业的技术队伍 73
9.1.1技术支持部 73
9.1.2客户服务部 73
9.2整体的服务控制 74
9.2.1设备交货与质量控制 74
9.2.2原厂商产品的验收和技术保证 74
9.2.3系统和网络工程的实施与监理 74
9.2.4系统效能调试 75
9.2.5快速的响应方式 75
9.2.6全面的服务体系 75
9.3客户服务流程图 76
9.4工程监督流程图 77

一、项目概述

广州地铁总公司的新办公场所位于广州市中山五路与解放路交界处的中旅商业城第十六层，面积约为三千七百平方米，集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门，大约将有二百三十多名工作人员在此办公。

广州地铁总公司将在中旅商业城十六层建立计算机网络，该网络是广州地铁总公司企业管理信息系统的平台，他将提供以下的服务：
l 各种数据库管理系统，如财务管理系统、合同管理系统等；
l 办公自动化信息管理，如公文流转、电子邮件系统等；
l 国际互联网Iternet接入；
l 六间会议室有少量的多媒体信息传输；
l 要求实现与公司其他总部——位于芳村西朗的运营事业总部、位于北京路广百大厦29层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路204号的地铁设计院网络互联，构筑广州地铁总公司城域网，实现全公司信息的共享；
l 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。

二、需求分析

2.1网络现状分析

l 布线工程已由广州地铁总公司委托其他公司完成。该布线工程全部采用Lucent公司的超五类设备进行施工，将达到Lucent公司十五年保用标准。
l 共有三个设备间，其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接，可形成环路。
l 网络布线端口数达到320个，每个设备间所联信息点基本一样，大约为110个。网络操作系统将采用MS Windows 2000 Server。

2.2网络需求分析

根据地铁总公司的要求，这次网络工程的主要内容包括四部分：

l 中旅商业城十六层广州地铁总公司计算机局域网；
l 中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案；
l 广州地铁总公司城域网；
l 中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。



三、总体设计方案

3.1系统设计原则

3.1.1高可靠性

    计算机网络系统应采用可靠性较高的产品和容错较强的网络结构，以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术，保证设备在发生故障时能在最短时间内恢复，以最大程度地保证网络的正常运转。

3.1.2高安全性

根据建行的管理制度和网络策略制定一套完善的安全政策，采用合适的技术手段，充分保证网络安全性。

3.1.3先进性

    在技术上要到达当前的国际先进水平。要采用最大先进网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展，保证网络建成后3-5年不落后，选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。

3.1.4易管理、易维护

由于计算机网络系统规模庞大，需要网络系统具有良好的可管理性，网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品，以便于管理和维护。

3.1.5可扩展性

网络系统应具有良好可扩展性，随着业务的增长和应用水平的提高，网络应可平滑地扩展的升级，而不需要对网络结构设备进行大的改动。


3.2系统设计概述

3.2.1网络体系结构和逻辑结构设计

确定网络体系结构及相应的通信协议，对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门，而这些部门有的在使用一些专用的系统，有的需要与其它专用系统相连。因此，要共享网络的资源及在网络中交换信息，就必须实现不同系统间的实体通信，这需要不同系统采用同一协议.。

网络体系结构的确定：骨干网络使用交换式快速以太网。本网络大量采用以太网产品，因为以太网发展最为迅速，目前拥有广泛用户和众多的产品，容易得到支持。网络的主干采用100Mb/S交换式以太网，原因如下：

l 采用100Mb/s以太网交换技术,可使网络主干速率成倍增长；
l 便于向千兆位以太网过渡；
l 技术成熟；
l 有大量的成功案例可查。

3.2.2网络拓扑结构

采用星型网络交换技术。通过相应的管理软件，在不改变网络节点物理位置的情况下，可以对网络的逻辑结构进行合理的划分，即建立虚拟网络，来达到网络信息流量的有效控制。
3.2.3网络管理系统的确定

人们往往只重视网络的静态性能，而忽视了对网络动态解决方案重要性的认识。实际上，网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点，及时解决问题；也可对网络的信息流量进行有效的控制和分流。要管理网络端口，需要网上每台设备都支持SNMP。根据本网络的特点，要求网管程序能够跨越地域对异地的网络节点进行管理。

3.2.4连接Internet

在与Internet 的连接方面，通过代理服务器，利用ADSL专线访问服务器，实现与远程客户的信息交流。同时，还设立了网管工作站，监控网络的运行状况，使网络达到最大的利用效率。



四、系统方案
4.1局域网设计方案
4.1.1基本网络结构设计
4.1.1.1基本网络物理结构
采用1台Cisco的带第三层路由交换功能的千兆以太网交换机 – Catalyst 2948G-L3做中心交换机，采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机（带千兆网堆叠模块）做桌面交换机，每2（3）台堆叠成一组，通过一个千兆以太网模块上联至主干，下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。
1） 中心交换机的配置
千兆以太网交换机Catalyst 2948G-L3置于主设备间。中心交换机配置1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。交换机预留1块24Gbps千兆以太网交换引擎的模块接口。

2） 桌面交换机的配置
桌面交换机根据用户的实际情况采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机，每2（3）台堆叠成一组，共3组，每组配置如下：
l Catalyst 3548 XL带48个10/100Base-T自适应端口
l Catalyst 3548 XL堆叠模块
l Catalyst 3548 XL千兆位上联模块
4.1.1.2虚拟网（VLAN）的构建
VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于WinNT网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。

采用VLAN具有下述优势。

1）控制网络上的广播风暴

VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。

2）增加网络的安全性

使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。

3）集中化的管理控制

  通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用, 增加了集中管理的功能。

本网络系统分成多个逻辑子网，一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的，当他们需要互相访问时，必须通过路由器或具有路由能力的交换机（第三层交换机）使它们在网络层(第三层)连接起来。本系统种所采用的Catalyst 2948G-L3具有第三层路由模块，不需要附加路由器，VLAN之间的通信在Catalyst 2948G-L3交换机内部即可解决，能够建立跨过多台交换机而在整个网络中起作用的VLAN。

Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN划分，同时由于都支持802.1Q技术，也就能实现VLAN功能，通过802.1Q，网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机，最高速度可以达到800M。Cisco公司IOS操作系统和Cisco Works网管软件的统一应用，以统一的软件平台把各种不同的硬件连接起来，构成有效、无缝的信息系统，更有利于新应用的部署，同时提高了网络的整体性能。
根据端口划分

本网络系统利用交换机的端口来划分VLAN成员，通过虚拟网管理应用程序, 中心交换机的端口被定义为虚拟网A、B、C三，分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信，并允许共享型网络的升级。   

通过交换机端口来划分网络成员，其配置过程简单明了，采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比，基于物理地址的划分方案管理起来不方便，网络管理员经常要进行大量改动；而基于协议的划分方案又没有什么必要，因为网络本身基于TCP/IP协议。因此，迄今为止端口划分是最常用的一种方式。

4.1.1.3系统的特点
1） 高性能
2）
核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求，主干连接分别采用100Mb/s、100Mb/s Trunk和千兆以太网，使网络的性能价格比达到最佳点。

2） 先进的子网划分方案

VLAN是一个交换网络，它可以按功能、部门或是应用为基础来加以逻辑上的划分，而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务，每一个VLAN就是一个广播域，也就等于Win95网络中的一个子网。这样可以更有效的控制广播，对于访问控制以及日常的网络管理也可以做到很好的控制。

3） 充分利用CISCO产品的技术优势

综上所述，本网络系统的先进性、安全性等特性是显而易见的，但更重要的是它的网络整体性能好，符合用户的需要。

4.1.2网络服务

4.1.2.1网络操作系统
    Windows 2000 Advanced Server是为服务器开发的多用途网络操作系统，它支持范围广泛的重要商业应用程序和一系列丰富的开发工具，可为企业用户提供文件打印、软件应用、Web功能和通信等各种服务，是一个性能好、工作稳定、容易管理的平台。Windows 2000 Advanced Server 采用模块化设计,能使现有系统和未来优秀的技术相结合,因而可以在保持现有投资的基础上进一步采用新技术。

Windows 2000 Advanced Server具有以下特点:


1） 平台无关性

    Windows 2000 Advanced Server是一个与硬件平台无关的,可伸缩的服务器操作系统。它可运行在Intel x86系统、精简指令集计算机(RISC)和DEC Alpha处理机上,从而在选择计算机系统时有多的自由。

2）可扩展性

    它可以扩展到对称多处理器上,使得需要高性能处理器时还可以加上额外的处理器，支持数达到8路。Windows 2000 Advanced Server在Alpha平台上支持最多32G的物理内存，在Intel平台上支持最多8G的内存。

3）兼容性

    Windows 2000支持Windows应用程序,以及NTFS、FAT和FAT32文件系统。


4） 安全性

    Windows 2000已将安全性内嵌入操作系统,有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理,即统一帐号、集中验证、安全备份管理。Windows 2000支持的安全模板由安全属性的文件（.inf）组成，它将所有现有的安全属性组织到一个位置以简化安全性管理，包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息，也可以用作安全分析。Windows 2000用Kerberos验证，提供更快、更安全的验证和响应，允许用户只登陆一次就可以访问网络资源。

5） 活动目录

    活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息，并使得这些信息更容易被查找到。活动目录有灵活的目录结构，允许委派对目录安全的管理，提供更有效率的权限管理。

6） 开放性

    支持多种传输协议,可在多种网络环境下工作

7） 可靠性

    支持多种容错方式，有较强的容错和出错恢复功能，在多种一般错误发生后一分钟内自动重启应用软件

8） 集成Web服务

    Microsoft Windows 2000平台上提供Internet信息服务（IIS），该服务可提供在Intranet或Internet上共享文档和信息的能力。利用IIS，可以部署灵活可靠、基于Web的应用程序，并可将现有的数据和应用程序转移到Web上。
    
可见Windows 2000是十分理想的网络应用平台，可应用于拥有多种操作系统和提供Internet服务的部门和应用程序服务器。我们建议采用Windows 2000 Advance Server作为网络服务器的操作系统，用Windows 2000 Server作为应用服务器的操作系统。

4.1.2.2应用功能

1）办公自动化和电子邮件服务

Microsoft Exchange Server 是带有集成组件的电子信息交换服务器，它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序，可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能，而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合，使用通用、熟悉的开发工具， Exchange Server可以快速提供和实施强大的业务协作解决方案，满足用户对Intranet协作的多层次的需求，提高企业竞争实力。
           
    本电子系统构建于Microsoft Exchange Server电子交换服务器，安装Exchange服务器作为邮局，存储、交换、管理邮件系统中的用户和信件，以电子邮件为基础，处理公司的所有邮件，构成信息传递的基础，并在此基础上构建如下应用：

l 个人级的应用

主要完成公司内部工作人员日常的办公工作管理，构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建Microsoft Windows98和Microsoft Office 97 / 2000的套件基础上。
l 部门级的应用

通过Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook来协调部门工作，处理会议请求、资源分配和工作安排等。

l 企业级的应用

    构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用，构建与Internet Information Server和Microsoft SQL Server的基础上，形成内部的Intranet。

2） 数据库应用

目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQL Server根据目前业务系统的特点，充分考虑今后系统开放性、高效 性、联机事务处理的要求，数据库系统应该采用SQL Server类型，综合当前SQL Server 产品现状，

我们建议采用Microsoft-SQL Server，并使用独立的数据库服务器以提高性能。其原因主要有以下几点：

n 由于本系统的体系结构采用客户/服务器模式，Microsoft-SQL Server拥有广泛的客户基础，考虑到本模块主要与控制中心进行数据交换及处理，因此充分估计其它业务及相关系统的要求，采用Microsoft-SQL Server  便于进行与其它系统的数据转换及处理。

n 本系统面临一逐步推广使用的过程，因此要求在系统构造时充分考虑其扩展性。MICROSOFT SQL Server 具有开放的体系结构，由于其公开的接口规格，使得现在多数4GL程序开发语言均支持对SQL Server的联接，因此MICROSOFT SQL Server 能够面向多种系统的开发，便于处理与其它系统的接口问题。
n 可伸缩性：SQL Server所有的表、SQL代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行，并且它便于向大型、具有并行处理能力的开放系统硬件环境转移。
n 互操作性：MICROSOFT 客户/服务器系统能够透明地与其它厂商的产品联结集成，如DB2、Oracle。
n 分布式数据库支持：MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时，可以把它们的SQL Server网络当作一个单一的集成资源来对待。
n MICROSOFT SQL Server 与Windows 2000 连接紧密：目前SQL Server 产品较多，但与Windows 2000连接紧密且性能优越的当数MICROSOFT  SQL Server。
n MICROSOFT SQL Server有良好的安全性，达到C2级安全要求。
n 在SQL Serve数据库的基础上，可利用各种数据库开发工具开发数据库管理系统，也可使用现在流行的基于Windows平台的MIS管理系统。

3）域名服务

由于IP地址是使用一长串的数字来标注主机鹤其他网络设备，非常难于记忆和不便于使用，因此目前在Internet上，采用一种具有直观含义的名字来代替以数字方式表示的IP地址，这种名字形式的地址称为域名地址，整个分层的域名地址体系即是域名解析（DNS）。对于企业来说，域名是企业在网上的标志，也是企业推广自身形象的网络门户。

域名解析是当前网络中一种成熟的技术，在本系统中将用Windows 2000的DNS系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准，既支持动态更新，又可以兼容于NT4网络，支持手工刷新，结合了WINS的动态能力和传统DNS的稳定性和健壮性。在Windows2000中，活动目录与DNS紧密集成在一起，客户可以更容易更迅速地找到目录服务器，企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴进行通讯和提供电子商务，网络规划和管理变得更容易。

4) 远程访问服务

RAS（远程访问服务）接入提供了协议封装和数据加密功能，允许移动用户通过Internet 或公共网络建立虚拟专用网络（VPN）模拟点对点专用连接，在计算机之间收发数据，其效果与在专用线路上进行数据传输一样安全、有效。

在本系统中Cisco远程路由器配有三个Modem端口 ，外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。

5）Web服务

Windows 2000服务器中内置了一个新的Web服务器--Internet Information Server(IIS) 5.0。IIS以其强大的服务能力和丰富的开发手段，使其成为了电子商务的主要服务器平台，5.0在原有的基础上，又增加了许多新的功能：

l IIS 5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来，而且可以对每个站点应用配置独立的CPU使用率，并可以独立停止和重起每个进程。这大大提高了Web服务器的可靠性和稳定性，是您建立的电子商务站点运行的更加可靠。

l 在安全性方面，IIS 5.0可以使用Windows 2000 Active Directory实现用户身份的验证，也可以使用证书和Active Directory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。

l IIS 5.0上的Web站点的开发使用的时Active Server Page (ASP) 3.0。ASP提供了强大的功能和与Windows的紧密集成，同时ASP 3.0又进一步提高了效率。ASP 3.0提供了和XML的集成，同时也可以用ADSI 2.0对Windows 2000 Active Directory进行操作。使用Microsoft Visual InterDev 6.0开发工具，您可以快速建立您的电子商务系统，也可以建立一个复杂但是功能强劲的电子商务系统。

因此在本系统中将配置一台Web服务器，使用IIS 5.0进行Web开发，提供完善的Web服务。

6）多媒体信息传输

根据客户的需求，本系统采用Microsoft NetMeeting构建多媒体会议系统。


4.1.3备份服务（建议采用）

    使用计算机系统处理日常业务在提高效率的同时， 有一个问题越来越不容忽视， 即数据失效问题。 一旦发生数据失效， 企业就会陷入困境： 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非， 如果系统无法顺利恢复， 最终结局将不堪设想。 所以企业信息化程度越高， 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求，我们建议 在本系统中采用CA公司的ARC serve备份系统。

ARCserve 是一 个 跨平台的网络数据备份软件，在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持，目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。

产品特性：

l 全面保护Windows操作系统
l 支持打开文件备份
l 支持对各种数据库如Betrieve、Sybase、Oracle等的备份
l 支持从服务器到工作站的全面网络备份
l 可以实现无人值守的自动备份
l 备份前扫描病毒，可以实现无毒备份
l 支 持灾难恢复


4.1.4 Cisco网络管理

CiscoWorks Windows 是一个适合中小企业网络的全面网络管理解决方案。该经济有效而又易于学习的产品为管理基于 Cisco 的交换机、路由器、集线器和访问服务器网络提供一系列强大的监控和配置工具。通过使用 Ipswitch 的 WhatsUp Gold，您还可以监控打印机、工作站、服务器和重要的网络服务。

CiscoWorks Windows 5.0 含有下列组件：

l CiscoView 5.0 版 - 提供 Cisco 设备的图形后视图和前视图；动态的色标图形显示简化了设备状态监控；特定设备的组件诊断、设备配置和应用发布；
l Ipswitch公司的WhatsUp Gold 4.05 版 - 提供网络发现、映象、监控和报警跟踪；
l 阈值管理器-增强了在 Cisco RMON 启动的设备上设定阈值的能力，降低了管理开销，改进了故障诊断功能；
l StackMaker - 允许用户将特定类型的多个 Cisco 设备结合在单个堆叠中，并在单个窗口中可视地管理它们；
l 显示命令- 显示详细的路由器系统和协议信息，而无需用户记住复杂的 Cisco IOS 命令行语言和语法。

    Cisco Works Windows 提 供 以 下 特 性：

l 对连网设备自动识别程序可以用色彩鲜明的分级网络视IP IPX 网生成网络拓朴图；
l 能为Cisco 设备获取端口状态，带宽使用率，流量统计，协议信息及其它网络性 能统计等扩展数据；
l 绘图功能灵活，可快速记录和分析可能输出到文件以备电子数据表或其它工具 使用的历史数据；
l 管理信息 率（MIB）编辑器和测览器可以管理第三方SNMP设备；
l 可以定多种性能变量设置，以便产生报警或事件通知；
l 事件筛选器可以筛选出有用信息以加速故障排除；
l 设备配置特性用于在Cisco 交换机内配置简单的虚拟LAN（VLAN）。

4.1.5局域网拓扑图

4.2局域网防火墙及防病毒解决方案

4.2.1网络安全风险分析

对于信息网所面临的安全风险涉及网络环境多方面，包括：

l 自然灾害——水灾、火灾、地震等；
l 电子化系统故障——系统硬件、电力系统故障等；
l 人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏等；
l 人员蓄意行为——网络环境可用性破坏、恶意攻击等。

其中，前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善，尽可能将风险降低到能够被控制和管理的程度。

而对于第四方面的安全风险，对整个信息网的安全环境所构成的危害最大，同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的，尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。

对于在信息网环境中，采取何种安全技术手段且如何实现，就需要通过对前面提到第四方面的安全风险的分析的基础上，针对信息网安全需求来确定。

对于风险来说，它应包括那些可以被管理但又不能被清除的，以及那些能够
中断网络工作流并对工作环境造成破坏性的威胁。其中，主要包括：

l 对于网络应用服务的非授权访问；
l 信息交互的保密性；
l 网络病毒的传播与渗入；
l 网络黑客行为。
通过对以上主要的网络威胁分析，使我们能够准确把握信息网的网络安全需
求。

4.2.2需求分析

网络安全需求是保护网络不受破坏，确保网络服务的可用性。对于信息网络内部安全需求，包括：

l 能够满足信息网络内的授权用户对相关专用网络资源访问；
l 能够对于非授权用户的访问进行有效控制和报警；
l 能够坚决杜绝病毒和其他危险程序进入网络；
l 能够对于远程访问用户进行安全管理；
l 加强对于整个信息网络资源和人员的安全管理与培训。

4.2.3安全管理需求分析

如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。

安全管理主要包括两个方面：

l 内部安全管理

主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。


l 网络安全管理

在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确，且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理，可以通过财务软件本身和一些网络层的管理工具来实现。

4.2.4安全方案

根据对信息网现阶段的安全需求分析，我们在设计本安全方案时，将采取一切有力的措施，来实现信息网现阶段的安全目标，考虑到现阶段对网络病毒的管理要求，本方案提出对网络病毒防范和管理控制建议，并提出了现阶段的网络安全管理方案。

4.2.5网络设备的安全配置

信息网中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问网络任意的网络通讯设备（例如：路由器，集线器等）。对不同型号、厂家的网络设备，要防范的内容是一样的，但具体的配置方法须依照设备要求来实现。

4.2.6对服务器访问的控制

对于服务器用户可以设置不同的用户权限，如“非特权”和“特权”两种访问权限，非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置；特权访问权限则允许用户对服务器进行完全的配置。


对服务器访问的控制建议使用以下的方式：

l 控制台访问控制
l 限制访问空闲时间
l 口令的保护
l 多级管理员权限
4.2.7 CheckPoint FireWall-1 4.0

4.2.7.1产品简介

作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一，CheckPoint公司致力于企业级网络安全产品的研发，据IDC的最近统计，其FireWall-1防火墙在
市场占有率上已超过44%，《财富》排名前100的大企业里近80%选用了CheckPoint FireWall-1防火墙。

CheckPoint FireWall-1产品包括以下模块：

1) 基本模块：
状态检测模块（Inspection Module）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；
防火墙模块（FireWall Module）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；
管理模块（Management Module）：对一个或多个安全策略执行点（安装了FireWall-1的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；


2) 可选模块
连接控制（Connect Control）：为提供相同服务的多个应用服务器提供负载平衡功能；
路由器安全管理模块（Router Security Management）：提供通过防火墙管理工作站配置、维护3Com，Cisco，Bay等路由器的安全规则；
其它模块，如加密模块等。

l 图形用户界面（GUI）：是管理模块功能的体现，包括
策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；
日志查看器：查看经过防火墙的连接，识别并阻断攻击；
系统状态查看器：查看所有被保护对象的状态。FireWall-1提供单网关和企业级两种产品组合：
单网关产品：只有防火墙模块（包含状态检测模块）、管理模块和图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台机器上。
企业级产品：可以有若干基本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。


4.2.7.2状态检测机制
FireWall-1采用CheckPoint公司的状态检测（Stateful Inspection）专利技术，以不同的服务区分应用类型，为网络提供高安全、高性能和高扩展性保证。FireWall-1状态检测模块分析所有的包通讯层，汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用，以支持各种最新的应用。状态检测模块截获、分析并处理所有试图通过防火墙的数据包，保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中，结合预定义好的规则，实现安全策略。


状态检测模块可以识别不同应用的服务类型，还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验IP地址、端口以及其它需要的信息以决定通信包是否满足安全策略。

状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新，通过这些数据，FireWall-1可以检测到后继的通信。

状态检测技术对应用程序透明，不需要针对每个服务设置单独的代理，使其具有更高的安全性、高性能、更好的伸缩性和扩展性，可以很容易把用户的新应用添加到保护的服务中去。

FireWall-1提供的INSPECT语言，结合FireWall-1的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT是一个面向对象的脚本语言，为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用INSPECT写成的脚本文件，经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是ASCII文件，可以编辑，以满足用户特定的安全要求。

4.2.7.2 OPSEC
CheckPoint是开放安全企业互联联盟(OPSEC)的组织和倡导者之一。OPSEC允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC通过把FireWall-1嵌入到已有的网络平台（如Unix、NT服务器、路由器、交换机以及防火墙产品），或把其它安全产品无缝集成到FireWall-1中，为用户提供一个开放的、可扩展的安全框架。

目前已有包括IBM、HP、Sun、Cisco、BAY等超过135个公司加入到OPSEC联盟。

4.2.7.3企业级防火墙安全管理
FireWall-1允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则，每条规则分别指定了源地址、目的地址、服务类型（HTTP、FTP、TELNET等）、针对该连接的安全措施（放行、拒绝、丢弃或者是需要通过认证等）、需要采取的行动（日志记录、报警等）、以及安全策略执行点（是在防火墙网关还是在路由器或者其它保护对象上上实施该规则）。

FireWall-1管理员通过一个防火墙管理工作站管理该规则库，建立、维护安全策略，加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证，然后通过加密信道传输。

FireWall-1直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具:

l 安全策略编辑器：维护被保护对象，维护规则库，添加、编辑、删除规则，加载规则到安装了状态检测模块的系统上。
l 日志管理器：提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息，提供实时报警和入侵检测及阻断功能。
l 系统状态查看器：提供实时的系统状态、审计和报警功能。

4.7.3.4分布的客户机/服务器结构

FireWall-1通过分布式的客户机/服务器结构管理安全策略，保证高性能、高伸缩性和集中控制。

FireWall-1由基本模块（防火墙模块、状态检测模块和管理模块）和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机/服务器结构。

管理模块包括了图形用户界面和管理员定义的相关管理对象—规则库，网络对象，服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略，安装了这些模块的系统称为受保护对象（Firewalled System），又称为安全策略执行点（Security Enforcement Point）。

FireWall-1的客户机/服务器结构是完全集成的，只有一个统一的安全策略和一个规则库，通过一个单一的防火墙管理工作站，管理多个装载了防火墙模块、状态检测模块或可选模块的系统。

4.2.7.5认证（Authentication）
远程用户和拨号用户可以经过FireWall-1的认证后，访问内部资源。FireWall-1可以在不修改本地服务器或客户应用程序的情况下，对试图访问内部服务器的用户进行身份认证。FireWall-1的认证服务集成在其安全策略中，通过图形用户界面集中管理，通过日志管理器监视、跟踪认证会话。

FireWall-1提供三种认证方法：

l 用户认证（User Authentication）：针对特定服务提供的基于用户的透明的身份认证，服务限于FTP、TELNET、HTTP、HTTPS、RLOGIN。
l 客户机认证（Client Authentication）：基于客户机IP的认证，对访问的协议不做直接的限制。客户机认证不是透明的，需要用户先登录到防火墙认证IP和用户身份之后，才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后，同时也就已经通过客户机认证。
l 会话认证（Session Authentication）：提供基于服务会话的的透明认证，与IP无关。采用会话认证的客户机必须安装一个会话认证代理，访问不同的服务时必须单独认证。
l FireWall-1提供多种认证机制供用户选择：S/Key，FireWall-1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。

4.2.7.6地址翻译（NAT）
FireWall-1支持三种不同的地址翻译模式：

l 静态源地址翻译：当内部的一个数据包通过防火墙出去时，把其源地址（一般是一个内部保留地址）转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
l 静态目的地址翻译：当外部的一个数据包通过防火墙进入内部网时，把其目的地址（合法地址）转换成一个内部使用的地址（一般是内部保留地址）。
l 动态地址翻译（也称为隐藏模式）：把一个内部网的地址段转换成一个合法地址，以解决企业的合法IP地址太少的问题，同时隐藏内部网络结构，提高网络安全性能。

4.2.7.7内容安全

FireWall-1的内容安全服务保护网络免遭各种威胁，包括病毒、Jave和ActiveX代码攻击等。内容安全服务可以通过定义特定的资源对象，制定与其它安全策略类似的规则来完成。内容安全与FireWall-1的其它安全特性集成在一起，通过图形用户界面集中管理。OPSEC提供应用开发接口（API）以集成第三方内容过滤系统。

FireWall-1的内容安全服务包括：

l 利用第三方的防病毒服务器，通过防火墙规则配置，扫描通过防火墙的文件，清除计算机病毒；
l 根据安全策略，在访问WEB资源时，从HTTP页面剥离Java Applet，ActiveX等小程序及Java，Script等代码；
l 用户定义过滤条件，过滤URL；
l 控制FTP的操作，过滤FTP传输的文件内容；
l SMTP的内容安全（隐藏内部地址、剥离特定类型的附件等）；
l 可以设置在发现异常时进行记录或报警；
l 通过控制台集中管理、配置、维护。