【正文】 信息平臺。幾乎在同一時間，各個提供商在各個城市都開展了虛擬運(yùn)營服務(wù)平臺的建設(shè)，機(jī)遇出現(xiàn)的同時，挑戰(zhàn)也出現(xiàn)了。 百聯(lián)下一代網(wǎng)絡(luò)（NGN）綜合服務(wù)應(yīng)用解決方案項目建議書上海遠(yuǎn)灼經(jīng)貿(mào)有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內(nèi)容前言………………………………………………………….3網(wǎng)絡(luò)的設(shè)計思路及目標(biāo)…………………………………....4綜合服務(wù)應(yīng)用業(yè)務(wù)定位……………………………………5第一期工程方案設(shè)計………………………………………6網(wǎng)絡(luò)的運(yùn)營管理及計費(fèi)功能設(shè)計………………………..10主要設(shè)備介紹……………………………………………..20在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來了革命性的變化，我們時時刻刻都在享受網(wǎng)絡(luò)科技帶來的便利，其中VoIP電話、票務(wù)預(yù)定、數(shù)碼沖印連鎖等就是現(xiàn)代網(wǎng)絡(luò)的典型應(yīng)用。幾乎每個提供商，都面臨著寬帶網(wǎng)如何建設(shè)、如何升級、如何運(yùn)營、如何擴(kuò)展、如何盈利的問題。 最主要的目標(biāo)是配合配合現(xiàn)有網(wǎng)點(diǎn)的發(fā)展，搶占新興業(yè)務(wù)增長點(diǎn)，開辟一個嶄新的數(shù)據(jù)和信息服務(wù)市場。從網(wǎng)絡(luò)的管理層來看，網(wǎng)絡(luò)應(yīng)具備完善的控制能力和網(wǎng)絡(luò)安全性，并提供靈活的計費(fèi)方式；基于策略的網(wǎng)絡(luò)管理和基于物理層、鏈路層和網(wǎng)絡(luò)層的性能測量和故障監(jiān)控，并提供遠(yuǎn)程配置和故障排除能力。不管是網(wǎng)絡(luò)管理人員還是系統(tǒng)運(yùn)行維護(hù)人員都急需一個起步級的平臺來在實驗中培訓(xùn)和學(xué)習(xí)。一期工程的拓補(bǔ)結(jié)構(gòu)規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺HP服務(wù)器做中心呼叫控制器（CMC），構(gòu)成網(wǎng)絡(luò)的核心。配置一臺硬件防火墻服務(wù)器來保護(hù)域內(nèi)的信息資料不受外來攻擊。D. 建成電信卡類、票務(wù)代理和數(shù)碼沖印網(wǎng)絡(luò)平臺。用戶端一次性安裝VoIP電話計費(fèi)客戶端軟件即可，軟件操作簡單方便。 10 Operator License18PC工作站聯(lián)想/天肌P4 19VoIP語音網(wǎng)關(guān)深圳世紀(jì)網(wǎng)通CNG300110數(shù)據(jù)庫Oralce 8i5User license15．網(wǎng)絡(luò)的運(yùn)營管理及計費(fèi)功能設(shè)計寬帶數(shù)據(jù)接入服務(wù)對廣電網(wǎng)絡(luò)而言是一門新型業(yè)務(wù)，很多廣電網(wǎng)絡(luò)公司往往在骨干網(wǎng)上投入巨資興建網(wǎng)絡(luò)。5．1計費(fèi)的重要性5．2運(yùn)營計費(fèi)系統(tǒng)的技術(shù)選型5．3邵陽市寬帶城域網(wǎng)計費(fèi)服務(wù)系統(tǒng)解決方案6．主要設(shè)備介紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網(wǎng)絡(luò)的綜合管理控制平臺。靈活的地址翻譯，及主被號碼替換?？芍贫ǘ喾N呼叫策略（費(fèi)率、MOS值、時段、容量、接通率等），惡意RTP包頭檢測識別，防網(wǎng)絡(luò)攻擊。FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。FireGate防火墻所包含的模塊示意圖如下：一體化的硬件設(shè)計FireGate采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制。方正防火墻特點(diǎn)防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。因此從我國實際的應(yīng)用背景出發(fā)，不僅要求防火墻產(chǎn)品實現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時還要求對網(wǎng)絡(luò)信息的安全進(jìn)行分析和控制。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現(xiàn)可疑的連接，及時彌補(bǔ)網(wǎng)絡(luò)系統(tǒng)的漏洞或進(jìn)行責(zé)任追究。可以將任意三個物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個左右。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而FireGate對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。1. 檢測多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。從而使被托管的服務(wù)器處于安全的保護(hù)之中。DDoS 攻擊的原理是入侵者控制了一些節(jié)點(diǎn)，將它們設(shè)計成控制點(diǎn)，這些控制點(diǎn)控制了Internet大量的主機(jī)，將它們設(shè)計成攻擊點(diǎn)，攻擊點(diǎn)中裝載了攻擊程序，正是由這些攻擊點(diǎn)計算機(jī)對攻擊目標(biāo)發(fā)動的攻擊。3. 檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡(luò)中，會造成嚴(yán)重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。5. 檢測多種針對FTP服務(wù)的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD、WuFTP、ProFTPD、ServU FTPD、NCFTPD、MsFTPD發(fā)起的FTPsiteexec、 FTPuserroot、Buffer Overflow等多種嘗試和攻擊行為。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTPexpnroot、SMTP Relaying Denied等試探和攻擊進(jìn)行檢測。13. 檢測針對WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊14. 檢測針對WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊15. 檢測針對 MicroSoft IIS server進(jìn)行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IISexecsrch、IISaspsrch等已知的漏洞和弱點(diǎn)的攻擊行為。20 檢測對其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網(wǎng)站進(jìn)行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個單獨(dú)的、非模塊化的、I/O驅(qū)動的進(jìn)程來處理所有的客戶端請求。用戶可以通過編輯“黑名單”和“白名單”設(shè)置“禁止用戶訪問的站點(diǎn)”和“僅允許訪問的站點(diǎn)”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，F(xiàn)ireGate防火墻可以對該列表進(jìn)行匹配，禁止對列表中的URL的訪問。FireGate防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對等的備份機(jī)，并且使備份機(jī)自動進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。這樣可以方便管理員管理審計內(nèi)容。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開 PKI技術(shù)的支持。FireGate的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。和靜態(tài)口令不同的是，這個通行短語并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。而FireGate防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。FireGate的配置都是在Windows下面的圖形界面中進(jìn)行的，因此配置起來比較方便，對于用戶而言，無需了解過多的安全知識，就可以配置好FireGate，而且讓之工作起來。FireGate防火墻可以靈活地滿足不同的安全需要，為企業(yè)，托管服務(wù)器等提供一個不同層次和不同方位的安全保障。它提供前所未有的模塊化選項，可使用多種不同的網(wǎng) 絡(luò)模塊，它還具有強(qiáng)大的靈活性，可針對客戶的不同應(yīng)用環(huán)境，提供各種配置選項，而且最重要的是，它具有支持所有這些應(yīng)用的優(yōu)質(zhì)運(yùn)行性能。Cisco IOS軟件支持在幀中繼、專線以及撥號網(wǎng)絡(luò)上的數(shù)據(jù)壓縮。Cisco 3600在一個模塊化的機(jī)箱中有不同的模塊選擇可以最大限度地保護(hù)用戶投