A集团信息系统技术方案建议书(doc65).docx

《A集团信息系统技术方案建议书(doc65).docx》由会员分享，可在线阅读，更多相关《A集团信息系统技术方案建议书(doc65).docx（66页珍藏版）》请在三一办公上搜索。

1、A集团综合网络信息系统技术方案建议书（硬件集成部分）第一章 总则41.1关于本方案建议书41.2A集团综合信息系统现状41.3A集团综合信息系统建设目标4第二章 建设原则52.1先进性52.2标准性52.3兼容性62.4可升级和可扩展性62.5安全性62.6可靠性62.7易操作性6第三章 网络系统方案73.1广域网设计73.1.1需求分析73.1.2广域网规划83.1.3网络互连设计93.1.2.1带宽分配93.1.2.2 QOS设计103.1.2.3 网络设备选型123.1.2.4网络部署123.1.2.5VPN设计143.1.2.6网络管理15第四章 网络安全方案164.1安全设计164.

2、1.1防火墙技术174.2.1.1防火墙选型174.2.1.2技术细节174.2.1.3防火墙部署244.2.2入侵检测244.2.2.1入侵检测技术254.2.3防病毒设计274.2.4.1产品选型304.2.4.2防病毒部署32第五章 主机方案365.1主机选型原则365.2小型机选型与设计375.2.1IBM P650介绍375.3双机热备435.3.1系统故障分析445.3.2 HACMP 功能及双机原理445.4PC服务器选型47第六章 工程管理与实施476.1 工程督导476.1.1 工作目标476.1.2内容486.1.2.1 详细工程计划486.1.2.2 基于工程计划协调工程

3、进展486.1.2.3 工程管理486.1.2.4 人力资源和设备资源的统一管理486.1.2.5 统一协调496.1.3工程管理计划496.1.4工程协调会496.2 工程实施进度一览表506.3 每一个具体工程阶段的详细描述516.3.1开箱验收516.3.2安装环境验收516.3.3设备的现场安装516.3.3.1 硬件安装516.3.3.2 软件安装526.3.3.3 参数配置526.3.3.4 现场故障维修526.3.3.5 网络升级的技术支持526.3.4单节点测试与验收526.3.5系统初验和系统试运行536.3.6系统终验536.3.7在合同设备保修期内的技术支持546.3.7

4、.1 技术支持概念546.3.7.2 技术人员的培养546.3.7.3 技术支持的构架546.3.7.4 灵活有效的技术支持通信环境556.3.7.5 有效的技术支持措施55第七章 网络培训计划567.1培训规划577.2培训目的577.3培训方式577.4培训对象587.5培训教师587.6培训课程587.6.1课程列表58第八章 维护和支持618.1服务的级别618.2 硬件支持服务62第九章 结束语63第一章 总则1.1关于本方案建议书然而“功欲善其事，必先利其器”，A集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，A公

5、司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与A集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现A集团网络信息系统的建设。1.2A集团综合信息系统现状目前，A集团尚未在全公司建立统一的企业信息管理系统，主要是在总公司及七大区域性公司之间通过远程异步数据传动方式（Modem对拔）进行数据采集和邮件传递，共有二十余个基于Lotus Domino/Notes4.6开发的数据模块在应用。A集团拟建的企业信息系统将是覆盖整个A集团的专业化网络信息管理系统。该系统将建立一个统一的企业办公、协同运作及管理支撑综合平台，提高办公效率、提高信息综合利用和提高企业管理水平，从而提

6、高企业经济效益。A集团信息系统的建设最终将达到以下目标：(1)以先进成熟的计算机技术和建筑技术为主要手段，把A集团信息系统建成一个覆盖全集团的包括综合办公和各专业管理系统在内的支撑建筑行业的辅助管理系统，建立一个统一的企业办公及运作支撑综合平台，以提高办公效率和企业管理水平，提高信息分析处理能力，从而提高企业经济效益。(2)为A集团员工、客户、合作伙伴提供各种方便快捷的交流形式，提高服务质量，增强A集团竞争力。(3)加强知识管理，建立企业自身的知识库。1.3A集团综合信息系统建设目标A集团信息系统主要提供电子邮件服务、日常办公管理、财务管理、行业业务流程处理和知识管理功能。根据A集团目前发展状

7、况，预计到2005 年底共有上网员工约为1000名，2008年底约为2000名。A集团综合信息系统建设，本着“实用、先进、升级简便、扩充性好、开放性好”的五项基本原则进行。 根据公司的实际情况和具体的应用需求及行业的特点，采用分期分阶段的实施。 在项目实施过程中，以少花钱多办事为原则，每期的投资都应有继承性。 本期项目的目标是建立如下系统：（1）建立连通A集团内部各组织机构的网络平台；（2）建立一个安全、稳定、高效的网络运行空间；（3）建立通用办公系统及邮件系统；（4）建立财务管理系统；（5）内部网站、网络视频会议、BBS交流协作环境的建设；（6）建立适合建筑行业的综合业务管理系统；（7）加强

8、知识管理，建立企业自身的知识库； 本系统的建设能满足未来5年内的业务需求的升级，第二章 建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：2.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；2.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。

9、全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP. 支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2； 2.3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。2.4可升级和可扩展性随着技术

10、不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。2.5安全性由于系统和其它系统连接，因此，考虑系统的安全性是一个非常重要的方面。应采用设有安全控制的网关设备相连，使用VPN技术和防火墙等。2.6可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库

11、服务器），采用CLUSTER技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统恢复和安全机制；2.7易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。第三章 网络系统方案该系统包括：36个网络节点互连方案、

12、线路备份、内部局域网的建设。3.1广域网设计目前A集团在全国有36处公司极其分支机构，可以分为3类：1公司总部（数量1）、2区域性公司及本部（数量7）、3分公司及事业部（数量28）。3.1.1需求分析如下表在全国A集团有36个节点，其分布如下：公司名称所属类别所在地用户数备注集团总部总公司杭州100总部A一建区域性公司东阳50区域性公司A二建区域性公司杭州100区域性公司A三建区域性公司上海100区域性公司A四建区域性公司北京50区域性公司A五建区域性公司西安100区域性公司A六建区域性公司武汉50区域性公司A七建区域性公司广州50区域性公司集团本部总公司东阳50同A一建共金华分公司分公司金华

13、隶属A一建义东分公司分公司义乌隶属A一建温州分公司分公司温州隶属A一建衢州分公司分公司衢州隶属A一建宁波分公司分公司宁波隶属A二建嘉兴分公司分公司嘉兴隶属A二建南京分公司分公司南京隶属A三建合肥分公司分公司合肥隶属A三建天津分公司分公司天津隶属A四建内蒙分公司分公司呼和浩特隶属A四建青海分公司分公司西宁隶属A五建甘肃分公司分公司酒泉隶属A五建湖南分公司分公司长沙隶属A六建江西分公司分公司南昌隶属A六建A高级中学子公司东阳子公司杭州天翔房产公司子公司杭州子公司A房产开发公司子公司东阳子公司西安亚东房产公司子公司西安子公司湖南天翔房产公司子公司长沙子公司上海亚东房产公司子公司上海子公司华天装饰有限

14、公司子公司杭州子公司安装工程有限公司子公司杭州子公司海外工程事业部事业部北京隶属总公司装饰事业部事业部杭州隶属总公司房地产投资事业部事业部上海隶属总公司交通工程事业部事业部杭州隶属总公司项目部项目部分布各地在建项目约500个3.1.2广域网规划 根据前面的需求分析,考虑到网络的收敛性,经济与安全等因素,我们建议采用星型结构的拓扑,这样可以充分利用带宽资源,整个网络采用3级结构：一级节点为：集团总部共1个，二级节点为：区域性公司及本部共7个，三级节点为其他分公司及事业部共28个，广域网规划如下：在相应的一级节点和二级节点相应的局域网内部署入侵检测和防火墙，来保证系统的安全。 3.1.3网络互连设

15、计根据网络互连的需求分析，以及广域网规划，我们建议从以下几个方面来考虑网络的设计：带宽分配、QOS设计、路由设计、IP地址分配、网络部署等。3.1.2.1带宽分配为了支持A集团多业务系统的可持续发展，考虑的经济组网的原则，我们来分析该集团目前和将来的业务属性、和业务逻辑等因素对网络链路的需求，同时也是设备选型的一个依据。A集团目前有或将要有的业务有全公司的上网需求、财务系统、视频会议、公司的办公自动化系统、建筑行业的综合业务管理系统、邮件系统、知识库系统的建设等的建设。以上数据涉及到保密、实时流媒体等数据传输要求，我们从链路选型、带宽计算两方面来确定所需的带宽。链路选型：目前比较常使用的数据链

16、路业务可以是：DDN、FR、ISDN：DDN专线接入向用户提供的是永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点；DDN专线接入采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配和接续均在计算机控制下进行，具有极大的灵活性和可靠性，使用户可以开通各种信息业务，传输任何合适的信息，因此，DDN专线接入在多种接入方式中深受用户的青睐。DDN专线接入的主要优点：能提供高性能的点到点通信。通信保密性强，特别适合金融、保险等保密性要求高的客户需要；传输质量高，网络时延小，通信速率可根据用户需要按N64K

17、bps选择 ；信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响 ；用户通过这条高速的国际互联网通道，可构筑自己的Internet、E-mail等应用系统 ；用户网络的整体接入使局域网内的PC均可共享互联网资源； 用户可免费得到多个Internet 合法IP地址及域名 ；用户可实现每天24小时全天候的信息发布，即用户可建立自己的Web站点，向国际互联网发布自己的信息或提供信息服务 ；用户可通过防火墙等技术保护内部网络免受不良侵害 。 本期A集团要实现的业务当中，有数据业务（邮件、公文流转、互联网、内部系统、数据查询）和流媒体业务（视频会议等）。 由于整个网络环境为TCP/

18、IP框架下，对于数据业务这类非实时业务来讲，网络自身可以实现数据重传恢复机制，对带宽的需求不是很大，而流媒体业务这类实时业务来讲，必须具备两个因素才可以在IP环境下实现的比较好：（1）具备一定的带宽，达到理想的传输环境，理论上传输一路MPEG视频为384K，如果采用双向视频会议必须具备大于2*384=768K的带宽。（2）网络具备一定的QOS机制（关于QOS在QOS设计里详细介绍）。从一级节点到二级节点带宽计算如下（按两路视频会议和2000人上网计算）：二级节点平均分配的人数为：2000/7=286人；根据Gartner统计数据分析，一个企业一般只有10%-20%的人并发上网或发邮件，我们按1

19、5%计算，即：二级节点并发上传或下载数据的人数为：286*15%=43人；一般24K/秒的速度数据能确保2秒钟正常打开网页，即：二级节点需要广域网链路基本带宽为：43*24K=1028K。由于视频会议不是经常开，当视频会议必要是可以通过QOS优先级别抢占1028K带宽中的768K。我们建议采用1024K带宽为一级节点到二级的节点带宽，可以满足到未来2008年的需求。如果需要额外的视频带宽可以即使方便的向电信申请，而不必更换网络设备的模块。从一级节点到互联网带宽计算如下：（2000人上网计算）：到2008年，上网人数将达到2000人，根据Gartner统计数据分析，一个企业一般只有10%-20%

20、的人并发上网或发邮件，我们按15%计算，即：二级节点并发上传或下载数据的人数为：2000*15%=300人；一般24K/秒的速度数据能确保2秒钟正常打开网页，即：二级节点需要广域网链路基本带宽为：300*24K=7200K。在2008年左右可以申请10M电路，而不会添加用户端设备，完全满足需求，目前我们可以考虑2M电路就可以满足了。3.1.2.2 QOS设计 由于考虑到整个综合业务网络信息系统的可靠性和可用性，那么一个质量保证的体系结构是必须具备的，这也是一个设备选型的必须考虑的地方，要实现网络的稳定质量，最先考虑的就是什么业务对整个网络系统的服务质量最关心，在这里最关键的就是视频会议和数据语

21、音，这两种业务才是最关心服务质量的，视频会议系统一般全面支持H.323和T.120标准来完成视频、音频、数据的集中和转发。同样，在我们国家，像联通等语音电话采用的是H.323协议，当然也有像北电的基于软交换功能的语音系统，但是都是要求对时间比较敏感的协议，如UDP，RTP，CRTP等，所以QOS是一定要保证的，除了数字线路的服务质量以外，就是要考虑接入服务器的QOS功能了。 1先进先出（FIFO）先进先出提供了基本的存贮转发功能，也是目前Internet使用最广泛的一种方式，它在网络拥塞时存贮分组，在拥塞解除时按分组到达顺序转发分组。是默认的排队方法，因此不需要配置。缺点是不提供QoS功能，对

22、突发数据流在传输时间要求严格时，应用程序会引起过多的延迟，并对突发性的存在包丢失的连接公平性较差，对上层的TCP快速恢复的效率也较低。2优先级排队算法（priorityQueuing，PQ）优先级排队算法是禁止其它流量的前提下，授权一种类型的流量通过，使用优先级排队给路由接口上传输的数据分配优先级，当有空闲路由时，路由就来回扫描所有队列，将高优先队列数据发出，只有当高优先级队列空了以后，才能为低优先级服务，如果优先级队列满，则扔掉数据包，路由器不处理，优先级排队适用于网络链路不断阻塞的情况。PQ的带宽分配独立于数据包大小。因此它在没有牺牲统计利用的情况下提供另外的公平性，与端到端的拥塞控制机制

23、可以较好的协同，它的缺点在于实现起来很复杂，需要每个数据流的排队处理，每个流状态统计，数据包的分类以及包调度的额外开销等。3定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同的协议分配不同的队列空间，并以循环方式处理队列。为特定的协议分配较大的队列空间可以提高其优先级。定制排队比优先级更为“公平”。在可能发生拥塞的地方使用定制排队可以提供保证的带宽。定制排队可以保证为每一个特定的通信类型得到固定部分的可用带宽，同时在链路紧张的情况下，避免数据包企图占用超出预分配量限制的可能。4加权公平排队（Weight fair queuing，WFQ）加权公平排队用

24、于减少延迟变化，为数据流提供可预测的吞吐量和响应时间。目标是为轻载网络用户和重载网络用户提供公平一致的服务。保证低权值的响应时间与高权值的响应时间一致。 加权公平排队是一种基于数据流的排队算法，它能识别交互式应用的数据流，并将应用的数据流调度到队列前部，以减少响应时间。WFQ与定制排队和优先排队不同。能自动适应不断变化的网络通信环境，几乎不需要配置。5随机先期检测（random early detection，RED）前面介绍的排队机制是基本的拥塞控制策略。尽管这些技术对控制拥塞是必须的。但它们对避免拥塞现象的发生都显得无能为力。随机先期检测监视网上各点的通信负载，如果拥塞增多，就随机丢弃一些

25、分组，当源分布点检测到通信丢失，降低传输速率。RED可以在各连接之间获得较好的公平性，对突出业务适应性较强。6加权随机先期检测（weightedrandom early detection，WRED）加权随机先期检测是将RED与优先级排队结合起来，这种结合为高优先级分组提供了优先通信处理能力，当某个接口开始出现拥塞时，它有选择地丢弃较低优先级的通信，而不是简单地随机丢弃分组。总之，在传统TCP拥塞控制中，结合IP层拥塞控制算法，将是完善Internet拥塞控制最有效的途径。3.1.2.3 网络设备选型 设备的选型对整个网络系统的质量十分重要，A公司做为一个成熟的系统集成商，有一套科学而有效的质

26、量管理体系，首先，要考虑用户的需求、售后服务、关键应用、特殊应用、质量保证、网络属性、目前系统系统结构等几个方面来考虑。 现在国内的著名网络设备的供应商主要有三家Cisco,3COM和华为。其中3COM的路由器设备在中国使用不是十分广泛，同时网络产品以交换机为主要产品，在其他网络产品方面力量相对其他两家厂商稍弱。华为作为中国重要的网络产品供应商，产品线齐全，种类多档次较齐全在，中国市场有一定的占有率，价格比较便宜，主要是通常的网络应用环境，在VPN、VOIP和其他复杂应用中比较少。Cisco做为全球最大的网络设备供应商，在路由器和交换机领域的成果有目共睹，它的产品应用在世界各个角落，在中国也广

27、为使用。Cisco产品线齐全，从小型的SOHO用路由器和交换机到大型骨干路由器、交换机一应俱全。同时产品端口密度高，同一产品具有多种不同配置方案有利于产品的多功能化如VOIP、VPN等。它拥有许多独创的技术如ISL、NetFlow、Fast EtherChannel等，对系统今后的演进和发展有很大好处，而在IP广域互连上，CISCO具有最大的优势，同时由于Cisco完整的产品线为用户提供了丰富的选择余地，Cisco网络设备的优秀兼容性也为和其他公司产品互连提供了可靠的保证。在售后方面，CISCO也做的很好，在A集团综合网络信息系统中原有设备大部分为CISCO产品，考虑到网络的平滑性，和维护方便

28、等各个原因，特别是特殊应用QOS的保证方面，VPN特性方面、安全方面等，比其他两个厂家都要成熟和更多的案例，针对本次项目我们推荐CISCO高可用的产品在实现系统的网络支撑平台。3.1.2.4网络部署 杭州A集团总部一级节点,作为核心节点,具备如下功能:汇接二级7个节点的数据,终结VPN隧道,我们建议采用CISCO最新高性能路由器CISCO374-VPN/K9作为核心路由器, 模块化 Cisco 3700 系列应用服务路由器充分利用了Cisco 1700、2600和3600 系列路由器针对WAN访问、语音网关和拨号应用等而配备的可选的网络模块(NM)、WAN接口卡(WIG)和高级集成模块(AIM

29、)。此外，Cisco 3725 和 Cisco 3745 这两个 Cisco 3700 平台引进一种新的、可提供更广泛接口的高密度服务模块 (HDSM)。配备四个NM插槽的Cisco 3745 路由器取消了在每一对相邻 NM 插槽之间的中心导轨，因此可以采用两个 HDSM ，而不是四个 NM。配备两个 NM 插槽的 Cisco 3725 路由器可在它所配备的两个 NM 插槽之一中采用一个 HDSM ，并仍可在剩余的 NM 插槽内采用一个 NM 。采用新的 HDSM 之后，Cisco 3700 系列路由器就能够集成更高端口密度和新的高性能服务了。支持VPN,提供7个广域网接口,和一个Intern

30、et广域网口,通过高级集成模块AIM-VPN-HP来实现VPN加密隧道的发起与终结,CISCO3745本身集成了3个WIC卡，我们可以通过提供2个NM-2W模块，配置2个WIC-2T，和1个WIC-1T，共8个，其中7个接入二级节点，另外一个可以作为Internet接驳，Internet接驳速率暂时定为2M，将来可以通过升级到10M。如图所示：在本次项目中，CISCO3745-VPN/K9最大可以同时支持2000个Tunnels，即便是2008年全体上网人数同时与总部通信，都没有任何问题；局域网采用天融信防火墙NGFW4000-S来实现阻隔某些端口的入侵和非法探测，提供详细的日志与审计功能，该

31、防火墙也可以跟入侵检测系统天阗500联动，动态检测黑客的入侵并禁用相应端口，在防火墙的DMZ部署WEB服务器供外部访问，详细描述见网络安全设计。对于三级节点的VPN接入就可以支持多种方式了，最经济的方式就是采用SITE TO Client方式，由CISCO自带的VPN Client（支持多种操作系统）通过拨号或通过专线、ISDN、FR等方式访问VPN，由对端的VPN网关提供认证，具体方式见下面章节：VPN设计。整体拓扑如下所示：3.1.2.5VPN设计VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私

32、有网络的安全级别，从而利用公网构筑专网（即VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。本次项目中根据前面规划：在一级节点与二级节点之间部署端到到端VPN：Site TO Site，结构为星型结构：HUB-SPOKE。在二级节点与三级节点部署端到点方式VPN：Site TO Clint。在本次项目应用中考虑到传输的有视频、语音、数据3类信息，各类信息对网络环境都有一定的要求，特别是VPN环境下的实现更是比较复杂，我们采用CISCO3745、2621XM VPN多应用服务器可以支持V3PN，即能在IPsec隧道上实现视频、语音、数据3类信息的

33、封装，而保证IP中的QOS特性不改变，从而保证数据的IP连贯应用。这个过程多用户来讲是透明的。在CISCO3745、2621XM中，提供12.2(13) T或以上版本的IOS，支持IPSec 提供DES 和3DES的 Advanced Encryption Standard (AES)，新型的AES支持128-bit key (default), 和 192-bit key, 或256-bit key.提供更加复杂更加安全的应用。如图所示：通过以上设计可以保证原来的QOS机制在网络中一直启用，保证网络的平滑。考虑到网络规模的变大，如将来可能需要建立新的办事处或地域性分公司，这样添加的路由器可能

34、会对基于传统IPsec方式的VPN造成一定的影响，我们可以采用IPsec+GRE（通用路由封装）技术来实现基于IP路由收敛的VPN技术，这样，路由的更新可以完全透过2层VPN来实现，这对用户来讲是完全透明的，一旦A集团的规模发生巨大的变化，网络拓扑方式要变化如构成MESH方式或节点数大大增加，我们可以完全在不更改设备的情况下建立基于MPLS VPN，CISCO3745完全可以设置PE路由器，而CISCO2621可以相应地设置为CE路由器，这样整个核心VPN网络就从2层VPN直接升级到3层IP VPN构架来了。在二级节点与三级节点采用端到点方式VPN：Site TO Client。对于3级节点加

35、入到集团VPN当中来，就非常方便了，我们购买的CISCO3745和CISCO2621 VPN路由器，随机附带了一份CD，包含了Client端IPsec程序，该程序非常简单大部分的设置都是预定义的，VPN访问策略和配置可以直接从相应所属的二级或一级VPN Gateway（这里是3745或2621路由器）直接下载，目前VPN Client可以支持如下系统Windows 95(OSR2+), 98, ME, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc-32 & 64 bit) and MAC OS X 10.1 & 10.2 (Jagua

36、r)3.1.2.6网络管理在本方案中采用了CISCO的解决方案，对于网络的管理，我们建议采用CISCOWORKS2000。CiscoWorks2000服务管理解决方案建构在第3层结构基础之上，包括可远程安装的数据收集应用、Cisco IOS的内嵌式技术以及一整套融合了业界最先进的评估服务和定额引擎的应用软件。该解决方案的构件包括： 管理引擎1110（ME1110）可在网络中远程安装，是具有极高扩展性和灵活性的数据收集解决方案。ME1110是专为收集Cisco设备的度量数据而设计，并允许在数据收集需求增长的情况下暂停管理服务器来安装新的ME1110设备。 服务保障代理一种用来确定度量数据服务级别

37、的技术，以验证度量数据是否符合服务级别的要求。鉴于服务保障代理技术已内嵌于Cisco IOS软件中，因此它是随时可用的，并且对网络基础设施的费用几乎不会构成任何影响。 服务级别管理器建构于开放的XML应用程序接口基础上，可提供给合作伙伴以用于第三方的应用集成。 - CiscoWorks2000服务管理解决方案使网络经理能够验证他们为广域连接和网络服务提供的服务级别。它将基于标准的开放式管理应用程序接口、Cisco 内嵌式IOS代理、可扩展服务级别的管理应用与第三方产品相结合，从而具有了端到端服务级检查和全面管理能力。因此，客户现在可以完全放心地使用这些新的应用，比如VoIP、IP电话、虚拟专网

38、和电子商务解决方案等，可轻松地获得不同的服务和更好的终端用户满意度，执行同时监视多个服务级协议，调试并改进网络以及定制故障报告。与此同时，第三方应用开发人员和系统集成人员能够连续地获得有关网络层的数据，并对定义和收集到的服务级度量信息进行标准化。 第四章 网络安全方案4.1安全设计网络面临的安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种因素：可能是源于网络外部的， 也可能是内部人员造成的； 总结起来，最主要威胁是来自外部和内部人员的恶意攻击和入侵，这是企业信息化等顺利发展的最大障碍。基于VPN的网络基本上安全了，但是考虑到Internet的应用，内

39、部人员的网络入侵、资料盗取、恶意破坏，病毒入侵等因素，综合的安全设计还是必要的，我们建议针对这些因素提出如下安全防护措施：1、防火墙技术2、IDS入侵检测系统3、防病毒系统4、备份（关于备份的配置，我们在主机设计里描述）4.1.1防火墙技术防火墙是一种成熟的技术,目前防火墙的功能也越来越强大,技术越来越统一,考虑到企业信息系统的安全级别,在选型上注重国产的,具备一定的应用案例,选型原则如下:4.2.1.1防火墙选型由于网络信息化系统网络安全的重要性，并结合网络信息化系统信息安全工作的实际条件及情况，我们确定如下选型原则：防火墙必须具有自我系统保护能力。防火墙必须具有强大NAT转换功能。防火墙支

40、持各类加密算法和VPN功能。防火墙的端口是可扩展的。防火墙产品应提供避免或禁止内外网络用户进入系统的手段，即使对安全管理员而言，也应遵循对系统操作的最小授权原则。防火墙产品硬件/软件必须具备经国家授权部门测试认证的安全等级。防火墙产品遇故障工作失效，系统应自动转为缺省禁止状态。防火墙产品必须至少具有履行所需安全服务的最小能力。防火墙产品所采用的技术，不单纯追求先进、完善，而必须保证实用和成熟性，相关技术标准应采用、引用和接近国家标准。防火墙产品的接入不影响原网络拓扑结构，防火墙产品的运行最小影响原网络系统的运行效率。防火墙产品如果涉及密码技术的使用，必须获得国家密码管理委员会办公室的立项和鉴定

41、批准；防火墙产品如涉及密码算法必须按国家密码委员会办公室的规定进行申请和使用。防火墙产品须经过国家信息安全产品认证机构的认证。通过以上分析，我们建议采用国内著名防火墙厂商天融信防火墙的产品NG FW4000，其强大的性能处理和全面的控制规则得到诸多企业和企业的青睐。4.2.1.2技术细节采用独创的最新最先进的技术-核检测技术，即基于OS 内核的会话检测技术，在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。采用独创的先进的设计思想-面向资源的进行设计，对不同对象的具体的组成资源，如文件、防火区域、节点

42、对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。先进独特的防火墙策略体系-面向资源的防火墙策略体系。建立独立的防火区域，通过中央管理接口、管理端口协议、不同节点对象（网络邻居、自定义网路、防火墙所在子网等）、协议类型、应用行为等不同资源配置策略，使防火墙的策略配置更加简单，且便于维护。分层式管理结构防火墙的管理采用集中的层次管理结构，实现“防火墙防火区-对象资源”的安全策略定义结构。配置简单、配置安全性高；管理简单、维护方便；更好的保证了性能。支持TOPSEC 技术体系的核心技术支持TOPSEC技术体系的核心技术，可以实现防火墙、ID

43、S、病毒防护系统、信息审计系统等的互通与联动，并支持TopsecManager综合管理系统和SAS安全审计系统。 适用更广泛的网络及应用环境支持众多网络通信协议和应用协议，如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、802.1Q 、Spanning tree 、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP、pppoe协议等，使4000防火墙适用网络的范围更加广泛，保证用户的网络应用。方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。支持多种工作模式可以支持透明、路由和混合工作模式。其中

44、，独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现，并在NGFW4000 中进行了重新设计和实现，进一步得到了优化，方便适用于复杂网络结构和应用的接入。 支持远程集中管理可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全政策布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。NGFW4000 的主要配置和管理都是基于GUI（Graphic User Interface） 方式的，管理主机只需安装专门的管理软件，就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。支持负载均衡和双机备份支持两台防火墙之间的双机备份和负载均衡；支持多

45、台服务器之间的负载均衡。不但更好的适用不同的网络环境，且更好的提供高性能和保证可靠性。支持服务器的负载均衡NGFW4000 防火墙可以支持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。图表 1 防火墙的负载均衡技术防火墙自身的负载均衡NGFW4000 支持负载均衡功能，可以在高带宽的网络环境中有效的提高性能，同时负载均衡还实现了接口之间的备份，当A 机器的某个接口故障时，B 机器的相应接口可以接管它的工作，同时A 机器的其他接口仍然正常地工作。双机备份为了保证网络的高可用性与高可靠性，NGFW4000 提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。当主防火墙发生意外down 机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时NGFW4000 还实现了状态传送协议STP ，当一台防火墙故障时，这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上，用户不会觉察到。图表 2 防火墙双机备份多层次分布式带宽管理带宽管理