【正文】 n95網(wǎng)絡(luò)中的一個(gè)子網(wǎng)。與之相比，基于物理地址的劃分方案管理起來(lái)不方便，網(wǎng)絡(luò)管理員經(jīng)常要進(jìn)行大量改動(dòng)；而基于協(xié)議的劃分方案又沒(méi)有什么必要，因?yàn)榫W(wǎng)絡(luò)本身基于TCP/IP協(xié)議。 本網(wǎng)絡(luò)系統(tǒng)利用交換機(jī)的端口來(lái)劃分VLAN成員，通過(guò)虛擬網(wǎng)管理應(yīng)用程序, 中心交換機(jī)的端口被定義為虛擬網(wǎng)A、B、C三，分配到一個(gè)VLAN的各個(gè)LAN網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中,它們相互可以直接通信，并允許共享型網(wǎng)絡(luò)的升級(jí)。Cisco公司IOS操作系統(tǒng)和Cisco Works網(wǎng)管軟件的統(tǒng)一應(yīng)用，以統(tǒng)一的軟件平臺(tái)把各種不同的硬件連接起來(lái)，構(gòu)成有效、無(wú)縫的信息系統(tǒng)，更有利于新應(yīng)用的部署，同時(shí)提高了網(wǎng)絡(luò)的整體性能。不同VLAN之間在數(shù)據(jù)鏈路層(第二層)是互不連通的，當(dāng)他們需要互相訪問(wèn)時(shí)，必須通過(guò)路由器或具有路由能力的交換機(jī)（第三層交換機(jī)）使它們?cè)诰W(wǎng)絡(luò)層(第三層)連接起來(lái)。交換端口可以基于應(yīng)用類(lèi)型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。采用VLAN具有下述優(yōu)勢(shì)。中心交換機(jī)配置1塊24Gbps千兆以太網(wǎng)交換引擎、1塊20端口10M/100M自適應(yīng)以太網(wǎng)交換模塊、1塊12端口10M/100M自適應(yīng)第三層交換模塊、8塊2端口1000BaseSX輸入輸出模塊和1塊2端口1000BaseLX輸出模塊。同時(shí)，還設(shè)立了網(wǎng)管工作站，監(jiān)控網(wǎng)絡(luò)的運(yùn)行狀況，使網(wǎng)絡(luò)達(dá)到最大的利用效率。通過(guò)網(wǎng)管軟件可方便地確定網(wǎng)絡(luò)故障點(diǎn)，及時(shí)解決問(wèn)題；也可對(duì)網(wǎng)絡(luò)的信息流量進(jìn)行有效的控制和分流。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用星型網(wǎng)絡(luò)交換技術(shù)。因此，要共享網(wǎng)絡(luò)的資源及在網(wǎng)絡(luò)中交換信息，就必須實(shí)現(xiàn)不同系統(tǒng)間的實(shí)體通信，這需要不同系統(tǒng)采用同一協(xié)議.。同時(shí)應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品，以便于管理和維護(hù)。. 高安全性 根據(jù)建行的管理制度和網(wǎng)絡(luò)策略制定一套完善的安全政策，采用合適的技術(shù)手段，充分保證網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)操作系統(tǒng)將采用MS Windows 2000 Server。該布線工程全部采用Lucent公司的超五類(lèi)設(shè)備進(jìn)行施工，將達(dá)到Lucent公司十五年保用標(biāo)準(zhǔn)。廣州市xx計(jì)算機(jī)有限公司 第 54 頁(yè) 共 54 頁(yè)一、 項(xiàng)目概述 廣州地鐵總公司的新辦公場(chǎng)所位于廣州市中山五路與解放路交界處的中旅商業(yè)城第十六層，面積約為三千七百平方米，集中了地鐵總公司的財(cái)務(wù)部、企業(yè)管理總部、人力資源總部等行政管理部門(mén)，大約將有二百三十多名工作人員在此辦公。l 共有三個(gè)設(shè)備間，其中一個(gè)與計(jì)算機(jī)房合在一起。 網(wǎng)絡(luò)需求分析根據(jù)地鐵總公司的要求，這次網(wǎng)絡(luò)工程的主要內(nèi)容包括四部分：l 中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)；l 中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)防火墻及防病毒解決方案；l 廣州地鐵總公司城域網(wǎng)；l 中旅商業(yè)城十六層廣州地鐵總公司計(jì)算機(jī)局域網(wǎng)國(guó)際互聯(lián)網(wǎng)接入。. 先進(jìn)性 在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。. 可擴(kuò)展性 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好可擴(kuò)展性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)應(yīng)可平滑地?cái)U(kuò)展的升級(jí)，而不需要對(duì)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)備進(jìn)行大的改動(dòng)。網(wǎng)絡(luò)體系結(jié)構(gòu)的確定：骨干網(wǎng)絡(luò)使用交換式快速以太網(wǎng)。通過(guò)相應(yīng)的管理軟件，在不改變網(wǎng)絡(luò)節(jié)點(diǎn)物理位置的情況下，可以對(duì)網(wǎng)絡(luò)的邏輯結(jié)構(gòu)進(jìn)行合理的劃分，即建立虛擬網(wǎng)絡(luò)，來(lái)達(dá)到網(wǎng)絡(luò)信息流量的有效控制。要管理網(wǎng)絡(luò)端口，需要網(wǎng)上每臺(tái)設(shè)備都支持SNMP。四、系統(tǒng)方案 局域網(wǎng)設(shè)計(jì)方案 基本網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì). 基本網(wǎng)絡(luò)物理結(jié)構(gòu) 采用1臺(tái)Cisco的帶第三層路由交換功能的千兆以太網(wǎng)交換機(jī) – Catalyst 2948GL3做中心交換機(jī)，采用7臺(tái)Cisco的Catalyst 3548 XL Enterprise Edition交換機(jī)（帶千兆網(wǎng)堆疊模塊）做桌面交換機(jī)，每2（3）臺(tái)堆疊成一組，通過(guò)一個(gè)千兆以太網(wǎng)模塊上聯(lián)至主干，下聯(lián)至300多個(gè)客戶工作站。 2） 桌面交換機(jī)的配置 桌面交換機(jī)根據(jù)用戶的實(shí)際情況采用7臺(tái)Cisco的Catalyst 3548 XL Enterprise Edition交換機(jī)，每2（3）臺(tái)堆疊成一組，共3組，每組配置如下： l Catalyst 3548 XL帶48個(gè)10/100BaseT自適應(yīng)端口 l Catalyst 3548 XL堆疊模塊 l Catalyst 3548 XL千兆位上聯(lián)模塊 . 虛擬網(wǎng)（VLAN）的構(gòu)建VLAN是一個(gè)交換網(wǎng)絡(luò)，它可以按功能、部門(mén)或是應(yīng)用為基礎(chǔ)來(lái)加以邏輯上的劃分，而不是以實(shí)體或物理位置為基礎(chǔ)來(lái)劃分。1）控制網(wǎng)絡(luò)上的廣播風(fēng)暴 VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過(guò)量廣播風(fēng)暴,使用VLAN,可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī),在一個(gè)VLAN中的廣播風(fēng)暴不會(huì)送到VLAN之外,同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播風(fēng)暴。3）集中化的管理控制 通過(guò)集中化的VLAN管理程序,網(wǎng)絡(luò)管理員可以確定VLAN組,分配特定用戶和交換端口給這些VLAN組,設(shè)置安全性等級(jí),限制廣播域的大小,通過(guò)冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量,跨越交換機(jī)配置VLAN通信,監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。本系統(tǒng)種所采用的Catalyst 2948GL3具有第三層路由模塊，不需要附加路由器，VLAN之間的通信在Catalyst 2948GL3交換機(jī)內(nèi)部即可解決，能夠建立跨過(guò)多臺(tái)交換機(jī)而在整個(gè)網(wǎng)絡(luò)中起作用的VLAN。根據(jù)端口劃分因此，迄今為止端口劃分是最常用的一種方式。這樣可以更有效的控制廣播，對(duì)于訪問(wèn)控制以及日常的網(wǎng)絡(luò)管理也可以做到很好的控制。Windows 2000 Advanced Server具有以下特點(diǎn): 1） 平臺(tái)無(wú)關(guān)性 Windows 2000 Advanced Server是一個(gè)與硬件平臺(tái)無(wú)關(guān)的,可伸縮的服務(wù)器操作系統(tǒng)。3）兼容性 Windows 2000支持Windows應(yīng)用程序,以及NTFS、FAT和FAT32文件系統(tǒng)。Windows 2000用Kerberos驗(yàn)證，提供更快、更安全的驗(yàn)證和響應(yīng)，允許用戶只登陸一次就可以訪問(wèn)網(wǎng)絡(luò)資源。利用IIS，可以部署靈活可靠、基于Web的應(yīng)用程序，并可將現(xiàn)有的數(shù)據(jù)和應(yīng)用程序轉(zhuǎn)移到Web上。它在單一的平臺(tái)上結(jié)合電子郵件、群組工作表、電子表格和組件應(yīng)用程序，可以通過(guò)一個(gè)集中化的管理程序進(jìn)行管理。完成文書(shū)處理、電子表格、電子傳真、電子郵件、個(gè)人日程安排等功能。通過(guò)電子公告板和WWW構(gòu)建信息發(fā)布和查詢應(yīng)用，構(gòu)建與Internet Information Server和Microsoft SQL Server的基礎(chǔ)上，形成內(nèi)部的Intranet。MICROSOFT SQL Server 具有開(kāi)放的體系結(jié)構(gòu)，由于其公開(kāi)的接口規(guī)格，使得現(xiàn)在多數(shù)4GL程序開(kāi)發(fā)語(yǔ)言均支持對(duì)SQL Server的聯(lián)接，因此MICROSOFT SQL Server 能夠面向多種系統(tǒng)的開(kāi)發(fā)，便于處理與其它系統(tǒng)的接口問(wèn)題。n 分布式數(shù)據(jù)庫(kù)支持：MICROSOFT SQL Server 便于廣域網(wǎng)絡(luò)環(huán)境下管理數(shù)據(jù)的復(fù)制和分布。n 在SQL Serve數(shù)據(jù)庫(kù)的基礎(chǔ)上，可利用各種數(shù)據(jù)庫(kù)開(kāi)發(fā)工具開(kāi)發(fā)數(shù)據(jù)庫(kù)管理系統(tǒng)，也可使用現(xiàn)在流行的基于Windows平臺(tái)的MIS管理系統(tǒng)。Windows2000包括的DNS系統(tǒng)支持新的DDNS標(biāo)準(zhǔn)，既支持動(dòng)態(tài)更新，又可以兼容于NT4網(wǎng)絡(luò)，支持手工刷新，結(jié)合了WINS的動(dòng)態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。5）Web服務(wù)Windows 2000服務(wù)器中內(nèi)置了一個(gè)新的Web服務(wù)器Internet Information Server(IIS) 。這為電子商務(wù)系統(tǒng)提供了即靈活又可靠的對(duì)用戶身份的確認(rèn)。使用Microsoft Visual InterDev ，您可以快速建立您的電子商務(wù)系統(tǒng)，也可以建立一個(gè)復(fù)雜但是功能強(qiáng)勁的電子商務(wù)系統(tǒng)。 一旦發(fā)生數(shù)據(jù)失效， 企業(yè)就會(huì)陷入困境： 客戶資料、 技術(shù)文件、 財(cái)務(wù)賬目等數(shù)據(jù)可能被破壞得面 目全非， 如果系統(tǒng)無(wú)法順利恢復(fù)， 最終結(jié)局將不堪設(shè)想。CA公司的軟件產(chǎn)品涵蓋大型網(wǎng)絡(luò)管理、數(shù)據(jù)庫(kù)系統(tǒng)和工具軟件等諸多方面。. 局域網(wǎng)拓?fù)鋱D. 局域網(wǎng)防火墻及防病毒解決方案 . 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 對(duì)于信息網(wǎng)所面臨的安全風(fēng)險(xiǎn)涉及網(wǎng)絡(luò)環(huán)境多方面，包括：l 自然災(zāi)害——水災(zāi)、火災(zāi)、地震等； l 電子化系統(tǒng)故障——系統(tǒng)硬件、電力系統(tǒng)故障等； l 人員無(wú)意識(shí)行為——編碼缺陷、系統(tǒng)配置漏洞、誤操作及無(wú)意泄漏等； l 人員蓄意行為——網(wǎng)絡(luò)環(huán)境可用性破壞、惡意攻擊等。同時(shí)需要相應(yīng)的安全技術(shù)手段輔助完成。其中，主要包括：l 對(duì)于網(wǎng)絡(luò)應(yīng)用服務(wù)的非授權(quán)訪問(wèn) l 信息交互的保密性 l 網(wǎng)絡(luò)病毒的傳播與滲入 l 網(wǎng)絡(luò)黑客行為 通過(guò)對(duì)以上主要的網(wǎng)絡(luò)威脅分析，使我們能夠準(zhǔn)確把握信息網(wǎng)的網(wǎng)絡(luò)安全需求。安全管理主要包括兩個(gè)方面：l 內(nèi)部安全管理主要是建立內(nèi)部安全管理制度，如機(jī)房管理制度、設(shè)備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應(yīng)急制度等，并采取切實(shí)有效的措施保證制度的執(zhí)行。 . 安全方案 根據(jù)對(duì)信息網(wǎng)現(xiàn)階段的安全需求分析，我們?cè)谠O(shè)計(jì)本安全方案時(shí)，將采取一切有力的措施，來(lái)實(shí)現(xiàn)信息網(wǎng)現(xiàn)階段的安全目標(biāo)，考慮到現(xiàn)階段對(duì)網(wǎng)絡(luò)病毒的管理要求，本方案提出對(duì)網(wǎng)絡(luò)病毒防范和管理控制建議，并提出了現(xiàn)階段的網(wǎng)絡(luò)安全管理方案。 對(duì)服務(wù)器訪問(wèn)的控制建議使用以下的方式：l 控制臺(tái)訪問(wèn)控制 l 限制訪問(wèn)空閑時(shí)間 l 口令的保護(hù) l 多級(jí)管理員權(quán)限 . CheckPoint FireWall1 作為開(kāi)放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一，CheckPoint公司致力于企業(yè)級(jí)網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)，據(jù)IDC的最近統(tǒng)計(jì)，其FireWall1防火墻在市場(chǎng)占有率上已超過(guò)44%，《財(cái)富》排名前100的大企業(yè)里近80%選用了CheckPoint FireWall1防火墻。 管理模塊（Management Module）：對(duì)一個(gè)或多個(gè)安全策略執(zhí)行點(diǎn)（安裝了FireWall1的某個(gè)模塊，如狀態(tài)檢測(cè)模塊、防火墻模塊或路由器安全管理模塊等的系統(tǒng)）提供集中的、圖形化的安全管理功能；l 可選模塊252。l 圖形用戶界面（GUI）：是管理模塊功能的體現(xiàn)，包括252。FireWall1提供單網(wǎng)關(guān)和企業(yè)級(jí)兩種產(chǎn)品組合。 企業(yè)級(jí)產(chǎn)品：可以有若干基本模塊和可選模塊以及圖形用戶界面組成，特別是可能配置較多的防火墻模塊和獨(dú)立的狀態(tài)檢測(cè)模塊。狀態(tài)檢測(cè)模塊能夠理解并學(xué)習(xí)各種協(xié)議和應(yīng)用，以支持各種最新的應(yīng)用。狀態(tài)檢測(cè)模塊檢驗(yàn)IP地址、端口以及其它需要的信息以決定通信包是否滿足安全策略。INSPECT是一個(gè)面向?qū)ο蟮哪_本語(yǔ)言，為狀態(tài)檢測(cè)模塊提供安全規(guī)則。OPSEC允許用戶通過(guò)一個(gè)開(kāi)放的、可擴(kuò)展的框架集成、管理所有的網(wǎng)絡(luò)安全產(chǎn)品。企業(yè)的防火墻安全策略都存放在防火墻管理模塊的一個(gè)規(guī)則庫(kù)里。FireWall1直觀的圖形用戶界面為集中管理、執(zhí)行企業(yè)安全策略提供了強(qiáng)有力的工具。分布的客戶機(jī)/服務(wù)器結(jié)構(gòu)FireWall1通過(guò)分布式的客戶機(jī)/服務(wù)器結(jié)構(gòu)管理安全策略，保證高性能、高伸縮性和集中控制。防火墻模塊、狀態(tài)檢測(cè)模塊以及其它可選模塊用來(lái)執(zhí)行安全策略，安裝了這些模塊的系統(tǒng)稱為受保護(hù)對(duì)象（Firewalled System），又稱為安全策略執(zhí)行點(diǎn)（Security Enforcement Point）。FireWall1的認(rèn)證服務(wù)集成在其安全策略中，通過(guò)圖形用戶界面集中管理，通過(guò)日志管理器監(jiān)視、跟蹤認(rèn)證會(huì)話?？蛻魴C(jī)不需要添加任何附加的軟件或做修改。l FireWall1提供多種認(rèn)證機(jī)制供用戶選擇：S/Key，F(xiàn)ireWall1 Password，OS Password，LDAP，SecureID，RADIUS，TACACS等。l 動(dòng)態(tài)地址翻譯（也稱為隱藏模式）：把一個(gè)內(nèi)部網(wǎng)的地址段轉(zhuǎn)換成一個(gè)合法地址，以解決企業(yè)的合法IP地址太少的問(wèn)題，同時(shí)隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，提高網(wǎng)絡(luò)安全性能。OPSEC提供應(yīng)用開(kāi)發(fā)接口（API）以集成第三方內(nèi)容過(guò)濾系統(tǒng)。路由器安全管理l 可以通過(guò)FireWall1的管理工作站對(duì)企業(yè)范圍內(nèi)的路由器提供集中的安全管理：l 通過(guò)圖形用戶界面生成路由器的過(guò)濾和配置；l 引入、維護(hù)路由器的訪問(wèn)控制列表；l 記錄路由器事件（需要路由器支持日志功能）；l 在路由器上執(zhí)行通過(guò)圖形用戶界面制定的安全策略。. 通訊線路和撥號(hào)訪問(wèn)服務(wù)廣州地鐵設(shè)計(jì)院網(wǎng)絡(luò)建設(shè)中城域網(wǎng)所用的通訊線路或傳輸技