【正文】 信息平臺。幾乎在同一時間，各個提供商在各個城市都開展了虛擬運營服務(wù)平臺的建設(shè)，機遇出現(xiàn)的同時，挑戰(zhàn)也出現(xiàn)了。 百聯(lián)下一代網(wǎng)絡(luò)（NGN）綜合服務(wù)應(yīng)用解決方案項目建議書上海遠灼經(jīng)貿(mào)有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內(nèi)容前言………………………………………………………….3網(wǎng)絡(luò)的設(shè)計思路及目標…………………………………....4綜合服務(wù)應(yīng)用業(yè)務(wù)定位……………………………………5第一期工程方案設(shè)計………………………………………6網(wǎng)絡(luò)的運營管理及計費功能設(shè)計………………………..10主要設(shè)備介紹……………………………………………..20在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來了革命性的變化，我們時時刻刻都在享受網(wǎng)絡(luò)科技帶來的便利，其中VoIP電話、票務(wù)預(yù)定、數(shù)碼沖印連鎖等就是現(xiàn)代網(wǎng)絡(luò)的典型應(yīng)用。幾乎每個提供商，都面臨著寬帶網(wǎng)如何建設(shè)、如何升級、如何運營、如何擴展、如何盈利的問題。 最主要的目標是配合配合現(xiàn)有網(wǎng)點的發(fā)展，搶占新興業(yè)務(wù)增長點，開辟一個嶄新的數(shù)據(jù)和信息服務(wù)市場。從網(wǎng)絡(luò)的管理層來看，網(wǎng)絡(luò)應(yīng)具備完善的控制能力和網(wǎng)絡(luò)安全性，并提供靈活的計費方式；基于策略的網(wǎng)絡(luò)管理和基于物理層、鏈路層和網(wǎng)絡(luò)層的性能測量和故障監(jiān)控，并提供遠程配置和故障排除能力。不管是網(wǎng)絡(luò)管理人員還是系統(tǒng)運行維護人員都急需一個起步級的平臺來在實驗中培訓和學習。一期工程的拓補結(jié)構(gòu)規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺HP服務(wù)器做中心呼叫控制器（CMC），構(gòu)成網(wǎng)絡(luò)的核心。配置一臺硬件防火墻服務(wù)器來保護域內(nèi)的信息資料不受外來攻擊。D. 建成電信卡類、票務(wù)代理和數(shù)碼沖印網(wǎng)絡(luò)平臺。用戶端一次性安裝VoIP電話計費客戶端軟件即可，軟件操作簡單方便。 10 Operator License18PC工作站聯(lián)想/天肌P4 19VoIP語音網(wǎng)關(guān)深圳世紀網(wǎng)通CNG300110數(shù)據(jù)庫Oralce 8i5User license15．網(wǎng)絡(luò)的運營管理及計費功能設(shè)計寬帶數(shù)據(jù)接入服務(wù)對廣電網(wǎng)絡(luò)而言是一門新型業(yè)務(wù)，很多廣電網(wǎng)絡(luò)公司往往在骨干網(wǎng)上投入巨資興建網(wǎng)絡(luò)。5．1計費的重要性5．2運營計費系統(tǒng)的技術(shù)選型5．3邵陽市寬帶城域網(wǎng)計費服務(wù)系統(tǒng)解決方案6．主要設(shè)備介紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網(wǎng)絡(luò)的綜合管理控制平臺。靈活的地址翻譯，及主被號碼替換?？芍贫ǘ喾N呼叫策略（費率、MOS值、時段、容量、接通率等），惡意RTP包頭檢測識別，防網(wǎng)絡(luò)攻擊。FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。FireGate防火墻所包含的模塊示意圖如下：一體化的硬件設(shè)計FireGate采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。管理員負責防火墻的開關(guān)及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權(quán)機制。方正防火墻特點防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。因此從我國實際的應(yīng)用背景出發(fā)，不僅要求防火墻產(chǎn)品實現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時還要求對網(wǎng)絡(luò)信息的安全進行分析和控制。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現(xiàn)可疑的連接，及時彌補網(wǎng)絡(luò)系統(tǒng)的漏洞或進行責任追究?？梢詫⑷我馊齻€物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達到幾萬個左右。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進行匹配，而FireGate對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后面的攻擊。1. 檢測多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。從而使被托管的服務(wù)器處于安全的保護之中。DDoS 攻擊的原理是入侵者控制了一些節(jié)點，將它們設(shè)計成控制點，這些控制點控制了Internet大量的主機，將它們設(shè)計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機對攻擊目標發(fā)動的攻擊。3. 檢測保護子網(wǎng)中是否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡(luò)中，會造成嚴重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。5. 檢測多種針對FTP服務(wù)的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD、WuFTP、ProFTPD、ServU FTPD、NCFTPD、MsFTPD發(fā)起的FTPsiteexec、 FTPuserroot、Buffer Overflow等多種嘗試和攻擊行為。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTPexpnroot、SMTP Relaying Denied等試探和攻擊進行檢測。13. 檢測針對WEB Server的FrontPage擴展進行的攻擊14. 檢測針對WEB Server的ColdFusion擴展進行的攻擊15. 檢測針對 MicroSoft IIS server進行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IISexecsrch、IISaspsrch等已知的漏洞和弱點的攻擊行為。20 檢測對其他可能的網(wǎng)絡(luò)服務(wù)進行的攻擊入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個單獨的、非模塊化的、I/O驅(qū)動的進程來處理所有的客戶端請求。用戶可以通過編輯“黑名單”和“白名單”設(shè)置“禁止用戶訪問的站點”和“僅允許訪問的站點”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，F(xiàn)ireGate防火墻可以對該列表進行匹配，禁止對列表中的URL的訪問。FireGate防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對等的備份機，并且使備份機自動進入等待狀態(tài)，而一旦備份機發(fā)現(xiàn)主工作機失效，可及時啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。這樣可以方便管理員管理審計內(nèi)容。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開 PKI技術(shù)的支持。FireGate的授權(quán)認證是基于PKI基礎(chǔ)之上，因此完全性極高。和靜態(tài)口令不同的是，這個通行短語并不在網(wǎng)絡(luò)上進行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。而FireGate防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。FireGate的配置都是在Windows下面的圖形界面中進行的，因此配置起來比較方便，對于用戶而言，無需了解過多的安全知識，就可以配置好FireGate，而且讓之工作起來。FireGate防火墻可以靈活地滿足不同的安全需要，為企業(yè)，托管服務(wù)器等提供一個不同層次和不同方位的安全保障。它提供前所未有的模塊化選項，可使用多種不同的網(wǎng) 絡(luò)模塊，它還具有強大的靈活性，可針對客戶的不同應(yīng)用環(huán)境，提供各種配置選項，而且最重要的是，它具有支持所有這些應(yīng)用的優(yōu)質(zhì)運行性能。Cisco IOS軟件支持在幀中繼、專線以及撥號網(wǎng)絡(luò)上的數(shù)據(jù)壓縮。Cisco 3600在一個模塊化的機箱中有不同的模塊選擇可以最大限度地保護用戶投