【正文】 快節(jié)奏、高效率的管理模式。通過內部網絡系統(tǒng)，建立現代化的辦公環(huán)境，同時提供豐富的信息運行網絡平臺。 上連 Inter，通過 Inter， 某企業(yè) 可以將公用信息放在網上，進行機構形象宣傳；也可以通過 Inter（ VPN） 與 各個規(guī)劃分局、縣市規(guī)劃局 互連，進行信息交互。 在局域網平臺建設方面，經過具體需求進行分析之后，我們建議建立一個主干 100M、部分重要應用桌面獨享 10M、普通應用共享 10M 的三級以太網結構，并能在未來平滑地升級到 ATM、千兆以太網。 標準化──網絡技術發(fā)展迅速， 不能盲目求新，必須以符合國際標準為準則，選擇技術已經成熟、標準化的產品，這是保護投資、易于維護的基礎。 開放性──網絡體系結構與系統(tǒng)應用各自獨立，與服務器、工作站的操作模式 無關，支持各種通訊協議，各種數據庫和客戶機 /服務器以及 Inter/Intra 的應用，并能方便地和其它機構、企業(yè)的主機和網絡互連通訊。 經濟性──一次性投資，長年受益，維護費用低，使整體性價比達到最優(yōu)。 部署防病毒系統(tǒng)：采用網關 +服務器 +客戶端的方式建立完善病毒防御體系，首先，防病毒網關可以抵御蠕蟲病毒的攻擊，這是傳統(tǒng)的防病毒軟件無法做到的；其次，作為防病毒體系的邊界保護層，防病毒網關可以拒絕病毒和蠕蟲于門外（部署在出口處）；最后，如果客戶端或服務器上的防病毒軟件沒有及時更新、被禁用或未及時安裝的話，則很有可能被病毒感染；而部署防病毒網關則可以及時查殺病毒，避免客戶端和服務器感染病毒。到達區(qū)、縣級單位的安全接入，建議申請獨立的互聯網專線，采用 IPSEC VPN 方式實現聯網，同時滿足了移動辦公用戶的需 求，同時建議把到政務網的接入部署到防火墻 +VPN 設備獨立的安全區(qū)域，通過設置嚴密的訪問控制規(guī)則保證貴單位內網的安全。這樣在外部網絡接入時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可 以設置成相應的保護級別，以保證系統(tǒng)的安全。 ? 通過防火墻的流量控制，調整鏈路的帶寬利用。使得各個服務器區(qū)不受到黑客的攻擊，黑客無法通過防火墻進行掃描、攻擊等非法動作。 ? 如果加裝日志、審計服務器，可以進一步加強網絡的可控性。防火墻既然可以通過聯動實現攻擊 的阻斷，同樣可以通過聯動實現病毒傳輸的阻斷，而且病毒聯動已經成為現實。防火墻提供應用級透明代理，可以對高層應用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更詳細控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。 ? 支持交換機主干鏈路：防火墻的物理接口實現了 D0t1q 封裝格式，能夠同交換機的 Trunk 接口對接，實現了 Vlan 間路由的功能，保證了防火墻對于各種網絡環(huán)境的易接入性。 ? 防御功能：可防 TCP、 UDP 等端口掃描；防源路由攻擊、 IP 碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 攻擊 ； 抗 DOS、 DDOS 攻擊；可阻止 ActiveX、 Java、 Javascript 入侵。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數、是否允許通過。支持防火墻配置文件的導入與導出（防火墻配置文件信息的備份與恢復）； ? 非協議支持：支持對非 IP 協議 IPX/NetBEUI 的傳輸與控制。公共網絡仿佛是只由本網絡在獨占使用，而事實上并非如此，所以稱之虛擬專用。但提供了網絡數據在不安全公網中安全傳輸的能力。 內容檢測技術發(fā)展至今，大致經歷了三個階段，從早期的狀態(tài)檢測（ Status Inspection）到后來的深度包檢測（ Deep Packet Inspection），現在已經發(fā)展到了最新的完全內容檢測（ CCI， Complete Content Inspection）。用戶可以輕松的針對一些典型網絡應用，如 BT、 MSN、 、 Edonkey、 Skype 等實行靈活的訪問控制策略，如禁止、限時、乃至流量控制。支持依據源或目的地址指定轉換地址的靜態(tài) NAT 方式和從地址緩沖池中隨 14 機選取轉換地址的動態(tài) NAT 方式，可以滿足絕大多數網絡環(huán)境的需求。 4: 在單機上功能強大的防毒軟件，若無法在網絡上有效地管理則可能弊多于利，因為不是每個使用者都知 道如何對防病毒軟件的一些功能選項進行設置。 8: 移動用戶太多，無法有效、及時的掌握和把最新的病毒定義碼送到移動用戶手中。 過濾網關系統(tǒng) 建議貴單位采用網關防病毒解決方案 。 從而實現網關級的防病毒，防止互聯網病毒感染外網用戶主機。 網站防護系統(tǒng) 為了防止貴單位的門戶網站受到來自于互聯網惡意的篡改，保證網站服務器安全、穩(wěn)定的允許，建議在外網區(qū)域的門戶網站處部署 WEB 防火墻來重點保護服務器。Mac地址管理 有效綁定 IP 和 Mac 地址，并控制放篡改 補丁分發(fā)管理 客戶端軟件補丁、系統(tǒng)補丁可采用分發(fā)形式進行安裝 /升級 遠程桌面監(jiān)控 可遠程監(jiān)控管理客戶端電源及終端維 護 靈活分級管理 超級管理員可設置分級管理員，并確定其管理權限 終端進程查看 可隨時查看終端計算機的所有進程以及服務 文件傳輸管理 可實現內網客戶端的點對點文件傳輸，并設有密 級 管理 安全審計管理 非法外聯告警 記錄計算機何時、以何 IP 非法外聯，并記錄該計算機所屬部門、使用者 文件操作日志 記錄計算機文件修改、刪除、復制、移動、保存等操作行為 網頁瀏覽日志 通過簡報、統(tǒng)計、明細記錄計算機所有瀏覽過的網頁 網絡數據傳輸 記錄終端進行網絡數據傳輸的詳細日志，包括 IP 地址、端口號、通信協議等 移動設備使用日志 記錄移動設備在每臺電腦上的文件操作情況 應用程序日志 通過簡報、統(tǒng)計、明細記錄計算機應用程序運行日志 打印文件日志 監(jiān)控記錄終端用戶打印文件的日志 資產異動日志 記錄終端計算機的軟硬件資產移動日志 身份識別系統(tǒng) 設置保密級別和所屬負責人，方便管理以及事后審計 訪客內聯日志 記錄外來計算機訪問內網機器的日志 文件傳輸日志 記錄各終端接收 /發(fā)送文件的詳細信息 客戶端安裝日志 記錄終端非法 /合法安裝信息 其它應用日志 用戶登錄日志、接入服務器、服務等日志 安全自保護 客戶端自我保護 客戶端軟件自我加密隱藏和自我完整性分析，防跟蹤，防破解，防修改 通信保護 通信過程采用高強度加密壓縮算法 數據庫安全保護 數據庫與管理臺分離，后天隱藏，增強數據庫的安全性 提供系統(tǒng)數據的冗余備份及恢復，支持全量和增量備份 服務器安全保護 服務器支持負載均衡，支持在線擴容和停機檢修 18 第 四 章 .UPS電源系統(tǒng)設計 設計原則 當互連網絡設備供電中斷時，所有數據通信都將中止。 針對 某企業(yè) 網絡中心配備的集中式 UPS，應該具有以下功能： 浪涌及雷擊保護 通過網管界面實現網絡程序化關機 模塊化設計，支持運行狀態(tài)下的熱插拔，保證運行時間 自動穩(wěn)壓功能，完全的正弦波輸出 具有智能電池管理功能，延長電池壽命，增加工作時間 提供電力質量登錄，定時開關機及 UPS 自檢 圖形化軟件特性，支持廣域的 SNMP 管理 具有擴展性，能夠快速方便地增加運行時間的電池模塊 產品選擇 我們選擇美國 APC 公司的 UPS 產品。 MatrixUPS 功能強大且具有一些獨特的設計特點： “ 100%工作時間 ” 易于擴充 靈活性強 得到象《 PC 雜志》、《網絡周刊》等權威機構的公認 易于管理 模塊化的組合結構 19 第 五 章 .整體網絡規(guī)劃拓撲 20 第六章 .設備清單 外網： 產品名稱 型號 主要配置說明 主要性能指標 防火墻 NGFW4000(TG4514) 1U 機型 ，最大配置為 12個接口，包括標配 4個10/10