【正文】 r 統(tǒng)計數據分析，一個企業(yè)一般只有 10%20%的人并發(fā)上網或發(fā)郵件，我們按 15%計算，即：二級節(jié)點并發(fā)上傳或下載數據的人數為：2022*15%=300 人；一般 24K/秒的速度數據能確保 2 秒鐘正常打開網頁，即：二級節(jié)點需要廣域網鏈路基本帶寬為：300*24K=7200K 。 1．先進先出（FIFO）先進先出提供了基本的存貯轉發(fā)功能，也是目前 Inter 使用最廣泛的一種方式，它在網絡擁塞時存貯分組，在擁塞解除時按分組到達順序轉發(fā)分組。 PQ 的帶寬分配獨立于數據包大小。為特定的協(xié)議分配較大的隊列空間可以提高其優(yōu)先級。4．加權公平排隊（Weight fair queuing，WFQ） 加權公平排隊用于減少延遲變化，為數據流提供可預測的吞吐量和響應時間。WFQ 與定制排隊和優(yōu)先排隊不同。但它們對避免擁塞現(xiàn)象的發(fā)生都顯得無能為力。 總之，在傳統(tǒng) TCP 擁塞控制中，結合 IP 層擁塞控制算法，將是完善Inter 擁塞控制最有效的途徑。華為作為中國重要的網絡產品供應商，產品線齊全，種類多檔次較齊全在，中國市場有一定的占有率，價格比較便宜，主要是通常的網絡應用環(huán)境，在 VPN、VOIP 和其他復雜應用中比較少。它擁有許多獨創(chuàng)的技術如ISL、NetFlow、Fast EtherChannel 等，對系統(tǒng)今后的演進和發(fā)展有很大好處，而在 IP 廣域互連上，CISCO 具有最大的優(yōu)勢，同時由于 Cisco 完整的產品線為用戶提供了豐富的選擇余地，Cisco 網絡設備的優(yōu)秀兼容性也為和其他公司產品互連提供了可靠的保證。配備四個 NM 插槽的 Cisco 3745 路由器取消了在每一對相鄰 NM 插槽之間的中心導軌，因此可以采用兩個 HDSM ，而不是四個 NM。如圖所示：在本次項目中，CISCO3745VPN/K9 最大可以同時支持 2022 個 Tunnels，即便是 2022 年全體上網人數同時與總部通信，都沒有任何問題；局域網采用天融 A 集團綜合網絡信息系統(tǒng)技術方案建議書( 硬件集成部分)第 14 頁 信防火墻 NGFW4000S 來實現(xiàn)阻隔某些端口的入侵和非法探測，提供詳細的日志與審計功能，該防火墻也可以跟入侵檢測系統(tǒng)天闐 500 聯(lián)動，動態(tài)檢測黑客的入侵并禁用相應端口，在防火墻的 DMZ 部署 WEB 服務器供外部訪問，詳細描述見網絡安全設計。本次項目中根據前面規(guī)劃：在一級節(jié)點與二級節(jié)點之間部署端到到端 VPN：Site TO Site，結構為星型 A 集團綜合網絡信息系統(tǒng)技術方案建議書( 硬件集成部分)第 15 頁 結構：HUBSPOKE。在 CISCO3742621XM 中，提供 (13) T 或以上版本的 IOS，支持IPSec 提供 DES 和 3DES 的 Advanced Encryption Standard (AES)，新型的AES 支持 128bit key (default), 和 192bit key, 或 256bit 加安全的應用。對于 3 級節(jié)點加入到集團 VPN 當中來，就非常方便了，我們購買的CISCO3745 和 CISCO2621 VPN 路由器，隨機附帶了一份 CD，包含了 Client端 IPsec 程序，該程序非常簡單大部分的設置都是預定義的，VPN 訪問策略和配置可以直接從相應所屬的二級或一級 VPN Gateway（這里是 3745 或 2621 路由器）直接下載，目前 VPN Client 可以支持如下系統(tǒng) Windows 95(OSR2+), 98, ME, NT , 2022, XP, Linux (Intel), Solaris (UltraSparc32 amp。該解決方案的構件包括： 管理引擎 1110（ME1110）——可在網絡中遠程安裝，是具有極高擴展性和靈活性的數據收集解決方案。 服務級別管理器——建構于開放的 XML 應用程序接口基礎上，可提供給合作伙伴以用于第三方的應用集成。與此同時，第三方應用開發(fā)人員和系統(tǒng)集成人員能夠連續(xù)地獲得有關網絡層的數據，并對定義和收集到的服務級度量信息進行標準化。防火墻必須具有強大 NAT 轉換功能。防火墻產品硬件/軟件必須具備經國家授權部門測試認證的安全等級。防火墻產品的接入不影響原網絡拓撲結構，防火墻產品的運行最小影響原網絡系統(tǒng)的運行效率。 技術細節(jié)采用獨創(chuàng)的最新最先進的技術核檢測技術，即基于OS 內核的會話檢測技術，在OS 內核實現(xiàn)對應用層訪問控制。建立獨立的防火區(qū)域，通過中央管理接口、管理端口協(xié)議、不同節(jié)點對象（網絡鄰居、自定義網路、防火墻所在子網等）、協(xié)議類型、應用行為等不同資源配置策略，使防火墻的策略配置更加簡單，且便于維護。 適用更廣泛的網絡及應用環(huán)境支持眾多網絡通信協(xié)議和應用協(xié)議，如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、 、Spanning tree 、DEC 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、 、BOOTP、pppoe協(xié)議等，使4000防火墻適用網絡的范圍更加廣泛，保證用戶的網絡應用。 支持遠程集中管理可通過安全的認證及管理信息的加密傳輸實現(xiàn)全局防火墻設備的集中管理。不但更好的適用不同的網絡環(huán)境，且更好的提供高性能和保證可靠性。正常情況下一個處于工作狀態(tài)，為主防火墻，另一個處于備份狀態(tài)，為從防火墻。圖表 2 防火墻雙機備份多層次分布式帶寬管理帶寬管理完全虛擬了網絡帶寬應用的實際環(huán)境，并實現(xiàn)多層次的分布式管理模式，避免了單層集中管理的缺點；而且，可以實現(xiàn)帶寬分層、帶寬分級、帶寬分配、帶寬優(yōu)化等管理，優(yōu)化網絡資源的應用，提高網絡資源應用效率。這不但提高了安全性，而且保證了性能。一個安全防護體系中的審計系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調整安全策略。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數、是否允許通過。4 .14 管理安全、方便靈活防火墻 4000 經過簡單的配置即可接入網絡進行通信和訪問控制，GUI 管理界面提供了清晰的管理結構，每一個管理結構元素包含了豐富的控制元和控制模型。獨立的防火區(qū)域NGFW4000 防火墻的每個物理接口對應一個獨立的防火區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效。對象是由許多種資源組成的實體，規(guī)則建立在這種實體的基礎上。將 NGFW4000 配置為透明工作模式，無需更改用戶網絡的拓撲結構就能接入用戶網絡中，用戶網絡中的主機也無需更改任何網絡配置就能通過防火墻進行訪問（當然是要在防火墻規(guī)則允許的情況下） 。NGFW4000 的多級過濾形成了立體的全面的訪問控制機制。NGFW4000 支持依據源或目的地址指定轉換地址的靜態(tài) NAT 方式和從地址緩沖池中隨機選取轉換地址的動態(tài) NAT 方式，兩種方式總共可以有多達 32 個的不同轉換地址，可以滿足絕大多數網絡環(huán)境的需求。公眾網訪問防火墻的反向轉換地址，由內部網使用保留 IP 地址的服務器提供服務，同樣既可以解決全局 IP 地址不足的問題，又能有效的隱藏內部服務器信息，對服務器進行保護。同時 NGFW4000 還對上述服務做了更詳細控制，如HTTP 對命令（GET 、POST 、HEAD 、DELETE 、OPTION 、PUT 、TRACE 等）和 URL 以及腳本類型進行過濾， FTP 對命令（GET 、PUT ）及訪問路徑進行控制，SMTP 、POP3 對收發(fā)信人進行控制，NNTP 對命令（POST 、GROUP ）以及新聞組進行控制，這使得用戶使用代理訪問 Inter 更為安全。安全服務器網絡（SSN ）保護NGFW4000 采用多穴主機體系，可以定義某個接口連接的網絡為安全服務器網絡（SSN——Security Server Network ） ，將提供信息訪問服務的服務器安裝于該網絡區(qū)域內，與內、外網絡從物理上隔離開來，并提供專門的安全保護。支持 SSL 、 SSH 安全管理為了便于管理員的管理，NGFW4000 除了支持本地管理以外，還提供遠程登陸管理和基于 Web 方式的管理。防火墻作為一種網絡安全訪問控制的基礎網絡設備，為它提供一種標準的網絡管理方式是有必要的，NGFW4000 就提供了對這個標準協(xié)議的支持。為了防止遠程管理過程被監(jiān)聽和修改，還支持基于 SSH 的遠程登陸管理和基于 SSL 的 Web 方式管理，將管理主機和防火墻之間的通訊進行加密以保證安全。即 SSN 與外部網之間受防火墻保護，同時 SSN 與內部網之間也受防火墻保護，即使 SSN 受破壞，內部網絡仍處于防火墻保護之下。用戶啟用 NGFW4000 的 VPN 功能，就能夠與 VPN 體系中的其它網關 VPN 、Windows 客戶端、當然也包括另外的啟用了 VPN 功能的 NGFW4000 互通，建立加密隧道進行加密通信，形成虛擬專用網在異地局域網間通過互聯(lián)網提供安全可靠的網絡使用環(huán)境。透明應用代理NGFW4000 提供對常用高層應用服務（HTTP 、FTP 、SMTP 、POP3 、NNTP ）的透明代理。同時內部網用戶共享使用這些轉換地址，自身使用保留 IP 地址就可以正常訪問公眾網，有效的解決了全局 IP 地址不足的問題。NGFW4000 同時支持正向、反向地址轉換，能為用戶提供完整的地址轉換解決方案。NGFW4000 還能工作在透明和路由的混合模式下，更能適應各種不同網絡環(huán)境的接入。NGFW4000 提供了很多種資源，如，網絡節(jié)點、子網、第三方用戶、用戶數據庫、防火區(qū)域、端口協(xié)議、文件資源、VLAN 、特殊端口。也可以設定是否允許從該區(qū)域 PING 、TELNET 防火墻。同時，可以支持 SNMP 與當前通用的網絡管理平臺兼容，如 HP Openview 等，方便管理和維護。例如針對 FTP 協(xié)議，日志會話只記錄下讀、寫文件的動作；日志命令則是在訪問日志的基礎之上，記錄如用戶發(fā)送的郵件，用戶取下的網頁等。NGFW4000 提供了非常強大的日志功能，用戶可以根據需要對不同的通訊會話記錄不同的日志。獨創(chuàng)的網絡實時監(jiān)測信息，可詳細審計命令級操作，便于入侵行為的分析和追蹤。具體如下圖所示： A 集團綜合網絡信息系統(tǒng)技術方案建議書( 硬件集成部分)第 20 頁 圖表 3 分布式管理支持多種身份認證支持多種身份認證支持，如 OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方式、數字證書（CA ） ，更好更廣泛的實現(xiàn)了用戶鑒別和訪問控制。切換過程不需要人為操作和其他系統(tǒng)的參與，切換時間可以以秒計算。 A 集團綜合網絡信息系統(tǒng)技術方案建議書( 硬件集成部分)第 19 頁 圖表 1 防火墻的負載均衡技術防火墻自身的負載均衡NGFW4000 支持負載均衡功能，可以在高帶寬的網絡環(huán)境中有效的提高性能，同時負載均衡還實現(xiàn)了接口之間的備份，當 A 機器的某個接口故障時，B 機器的相應接口可以接管它的工作，同時 A 機器的其他接口仍然正常地工作。NGFW4000 的主要配置和管理都是基于 GUI（Graphic User Interface） 方式的，管理主機只需安裝專門的管理軟件，就可以在不同操作系統(tǒng)平臺、不同地域對防火墻進行配置和管理。支持多種工作模式可以支持透明、路由和混合工作模式。配置簡單、配置安全性高；管理簡單、維護方便；更好的保證了性能。采用獨創(chuàng)的先進的設計思想面向資源的進行設計，對不同對象的具體的組成資源，如文件、防火區(qū)域、節(jié)點對象、協(xié)議類型、應用行為、應用類型、管理端口協(xié)議等，直接進行控制，極大的提高了安全性，并保證了配置的方便性。防火墻產品須經過國家信息安全產品認證機構的認證。防火墻產品必須至少具有履行所需安全服務的最小能力。防火墻的端口是可擴展的。這些威脅可能來源于各種因素：可能是源于網絡外部的， 也可能是內部人員造成的； 總結起來，最主要威脅是來自外部和內部人員的惡意攻擊和入侵，這是企業(yè)信息化等順利發(fā)展的最大障礙。它將基于標準的開放式管理應用程序接口、Cisco 內嵌式 IOS 代理、可擴展服務級別的管理應用與第三方產品相結合，從而具有了端到端服務級檢查和全面管理能力。 服務保障代理——一種用來確定度量數據服務級別的技術，以驗證度量數據是否符合服務級別的要求。 (Jaguar) A 集團綜合網絡信息系統(tǒng)技術方案建議書( 硬件集成部分)第 16 頁 網絡管理在本方案中采用了 CISCO 的解決方案，對于網絡的管理，我們建議采用CISCOWORKS2022。考慮到網絡規(guī)模的變大，如將來可能需要建立新的辦事處或地域性分公司，這樣添加的路由器可能會對基于傳統(tǒng) IPsec 方式的 VPN 造成一定的影響，我們可以采用 IPsec+GRE（通用路由封裝）技術來實現(xiàn)基于 IP 路由收斂的 VPN 技術，這樣，路由的更新可以完全透過 2 層 VPN 來實現(xiàn)，這對用戶來講是完全透明的，一旦 A 集團的規(guī)模發(fā)生巨大的變化，網絡拓撲方式要變化如構成MESH 方式或節(jié)點數大大增加，我們可以完全在不更改設備的