【正文】 快節(jié)奏、高效率的管理模式。通過內(nèi)部網(wǎng)絡(luò)系統(tǒng)，建立現(xiàn)代化的辦公環(huán)境，同時提供豐富的信息運行網(wǎng)絡(luò)平臺。 上連 Inter，通過 Inter， 某企業(yè) 可以將公用信息放在網(wǎng)上，進行機構(gòu)形象宣傳；也可以通過 Inter（ VPN） 與 各個規(guī)劃分局、縣市規(guī)劃局 互連，進行信息交互。 在局域網(wǎng)平臺建設(shè)方面，經(jīng)過具體需求進行分析之后，我們建議建立一個主干 100M、部分重要應用桌面獨享 10M、普通應用共享 10M 的三級以太網(wǎng)結(jié)構(gòu)，并能在未來平滑地升級到 ATM、千兆以太網(wǎng)。 標準化──網(wǎng)絡(luò)技術(shù)發(fā)展迅速， 不能盲目求新，必須以符合國際標準為準則，選擇技術(shù)已經(jīng)成熟、標準化的產(chǎn)品，這是保護投資、易于維護的基礎(chǔ)。 開放性──網(wǎng)絡(luò)體系結(jié)構(gòu)與系統(tǒng)應用各自獨立，與服務(wù)器、工作站的操作模式 無關(guān)，支持各種通訊協(xié)議，各種數(shù)據(jù)庫和客戶機 /服務(wù)器以及 Inter/Intra 的應用，并能方便地和其它機構(gòu)、企業(yè)的主機和網(wǎng)絡(luò)互連通訊。 經(jīng)濟性──一次性投資，長年受益，維護費用低，使整體性價比達到最優(yōu)。 部署防病毒系統(tǒng)：采用網(wǎng)關(guān) +服務(wù)器 +客戶端的方式建立完善病毒防御體系，首先，防病毒網(wǎng)關(guān)可以抵御蠕蟲病毒的攻擊，這是傳統(tǒng)的防病毒軟件無法做到的；其次，作為防病毒體系的邊界保護層，防病毒網(wǎng)關(guān)可以拒絕病毒和蠕蟲于門外（部署在出口處）；最后，如果客戶端或服務(wù)器上的防病毒軟件沒有及時更新、被禁用或未及時安裝的話，則很有可能被病毒感染；而部署防病毒網(wǎng)關(guān)則可以及時查殺病毒，避免客戶端和服務(wù)器感染病毒。到達區(qū)、縣級單位的安全接入，建議申請獨立的互聯(lián)網(wǎng)專線，采用 IPSEC VPN 方式實現(xiàn)聯(lián)網(wǎng)，同時滿足了移動辦公用戶的需 求，同時建議把到政務(wù)網(wǎng)的接入部署到防火墻 +VPN 設(shè)備獨立的安全區(qū)域，通過設(shè)置嚴密的訪問控制規(guī)則保證貴單位內(nèi)網(wǎng)的安全。這樣在外部網(wǎng)絡(luò)接入時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可 以設(shè)置成相應的保護級別，以保證系統(tǒng)的安全。 ? 通過防火墻的流量控制，調(diào)整鏈路的帶寬利用。使得各個服務(wù)器區(qū)不受到黑客的攻擊，黑客無法通過防火墻進行掃描、攻擊等非法動作。 ? 如果加裝日志、審計服務(wù)器，可以進一步加強網(wǎng)絡(luò)的可控性。防火墻既然可以通過聯(lián)動實現(xiàn)攻擊 的阻斷，同樣可以通過聯(lián)動實現(xiàn)病毒傳輸?shù)淖钄?，而且病毒?lián)動已經(jīng)成為現(xiàn)實。防火墻提供應用級透明代理，可以對高層應用（ HTTP、 FTP、 SMTP、 POP NNTP）做了更詳細控制，如 HTTP 命令（ GET， POST， HEAD）及 URL， FTP 命令（ GEI， PUT）及文件控制。 ? 支持交換機主干鏈路：防火墻的物理接口實現(xiàn)了 D0t1q 封裝格式，能夠同交換機的 Trunk 接口對接，實現(xiàn)了 Vlan 間路由的功能，保證了防火墻對于各種網(wǎng)絡(luò)環(huán)境的易接入性。 ? 防御功能：可防 TCP、 UDP 等端口掃描；防源路由攻擊、 IP 碎片包攻擊、 DNS/RIP/ICMP 攻擊、 SYN 攻擊 ； 抗 DOS、 DDOS 攻擊；可阻止 ActiveX、 Java、 Javascript 入侵。日志會話也就是傳統(tǒng)的防火墻日志，負責記錄通訊時間、源地址、目的地址、源端口、目的端口、字節(jié)數(shù)、是否允許通過。支持防火墻配置文件的導入與導出（防火墻配置文件信息的備份與恢復）； ? 非協(xié)議支持：支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此，所以稱之虛擬專用。但提供了網(wǎng)絡(luò)數(shù)據(jù)在不安全公網(wǎng)中安全傳輸?shù)哪芰Α?內(nèi)容檢測技術(shù)發(fā)展至今，大致經(jīng)歷了三個階段，從早期的狀態(tài)檢測（ Status Inspection）到后來的深度包檢測（ Deep Packet Inspection），現(xiàn)在已經(jīng)發(fā)展到了最新的完全內(nèi)容檢測（ CCI， Complete Content Inspection）。用戶可以輕松的針對一些典型網(wǎng)絡(luò)應用，如 BT、 MSN、 、 Edonkey、 Skype 等實行靈活的訪問控制策略，如禁止、限時、乃至流量控制。支持依據(jù)源或目的地址指定轉(zhuǎn)換地址的靜態(tài) NAT 方式和從地址緩沖池中隨 14 機選取轉(zhuǎn)換地址的動態(tài) NAT 方式，可以滿足絕大多數(shù)網(wǎng)絡(luò)環(huán)境的需求。 4: 在單機上功能強大的防毒軟件，若無法在網(wǎng)絡(luò)上有效地管理則可能弊多于利，因為不是每個使用者都知 道如何對防病毒軟件的一些功能選項進行設(shè)置。 8: 移動用戶太多，無法有效、及時的掌握和把最新的病毒定義碼送到移動用戶手中。 過濾網(wǎng)關(guān)系統(tǒng) 建議貴單位采用網(wǎng)關(guān)防病毒解決方案 。 從而實現(xiàn)網(wǎng)關(guān)級的防病毒，防止互聯(lián)網(wǎng)病毒感染外網(wǎng)用戶主機。 網(wǎng)站防護系統(tǒng) 為了防止貴單位的門戶網(wǎng)站受到來自于互聯(lián)網(wǎng)惡意的篡改，保證網(wǎng)站服務(wù)器安全、穩(wěn)定的允許，建議在外網(wǎng)區(qū)域的門戶網(wǎng)站處部署 WEB 防火墻來重點保護服務(wù)器。Mac地址管理 有效綁定 IP 和 Mac 地址，并控制放篡改 補丁分發(fā)管理 客戶端軟件補丁、系統(tǒng)補丁可采用分發(fā)形式進行安裝 /升級 遠程桌面監(jiān)控 可遠程監(jiān)控管理客戶端電源及終端維 護 靈活分級管理 超級管理員可設(shè)置分級管理員，并確定其管理權(quán)限 終端進程查看 可隨時查看終端計算機的所有進程以及服務(wù) 文件傳輸管理 可實現(xiàn)內(nèi)網(wǎng)客戶端的點對點文件傳輸，并設(shè)有密 級 管理 安全審計管理 非法外聯(lián)告警 記錄計算機何時、以何 IP 非法外聯(lián)，并記錄該計算機所屬部門、使用者 文件操作日志 記錄計算機文件修改、刪除、復制、移動、保存等操作行為 網(wǎng)頁瀏覽日志 通過簡報、統(tǒng)計、明細記錄計算機所有瀏覽過的網(wǎng)頁 網(wǎng)絡(luò)數(shù)據(jù)傳輸 記錄終端進行網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)脑敿毴罩荆?IP 地址、端口號、通信協(xié)議等 移動設(shè)備使用日志 記錄移動設(shè)備在每臺電腦上的文件操作情況 應用程序日志 通過簡報、統(tǒng)計、明細記錄計算機應用程序運行日志 打印文件日志 監(jiān)控記錄終端用戶打印文件的日志 資產(chǎn)異動日志 記錄終端計算機的軟硬件資產(chǎn)移動日志 身份識別系統(tǒng) 設(shè)置保密級別和所屬負責人，方便管理以及事后審計 訪客內(nèi)聯(lián)日志 記錄外來計算機訪問內(nèi)網(wǎng)機器的日志 文件傳輸日志 記錄各終端接收 /發(fā)送文件的詳細信息 客戶端安裝日志 記錄終端非法 /合法安裝信息 其它應用日志 用戶登錄日志、接入服務(wù)器、服務(wù)等日志 安全自保護 客戶端自我保護 客戶端軟件自我加密隱藏和自我完整性分析，防跟蹤，防破解，防修改 通信保護 通信過程采用高強度加密壓縮算法 數(shù)據(jù)庫安全保護 數(shù)據(jù)庫與管理臺分離，后天隱藏，增強數(shù)據(jù)庫的安全性 提供系統(tǒng)數(shù)據(jù)的冗余備份及恢復，支持全量和增量備份 服務(wù)器安全保護 服務(wù)器支持負載均衡，支持在線擴容和停機檢修 18 第 四 章 .UPS電源系統(tǒng)設(shè)計 設(shè)計原則 當互連網(wǎng)絡(luò)設(shè)備供電中斷時，所有數(shù)據(jù)通信都將中止。 針對 某企業(yè) 網(wǎng)絡(luò)中心配備的集中式 UPS，應該具有以下功能： 浪涌及雷擊保護 通過網(wǎng)管界面實現(xiàn)網(wǎng)絡(luò)程序化關(guān)機 模塊化設(shè)計，支持運行狀態(tài)下的熱插拔，保證運行時間 自動穩(wěn)壓功能，完全的正弦波輸出 具有智能電池管理功能，延長電池壽命，增加工作時間 提供電力質(zhì)量登錄，定時開關(guān)機及 UPS 自檢 圖形化軟件特性，支持廣域的 SNMP 管理 具有擴展性，能夠快速方便地增加運行時間的電池模塊 產(chǎn)品選擇 我們選擇美國 APC 公司的 UPS 產(chǎn)品。 MatrixUPS 功能強大且具有一些獨特的設(shè)計特點： “ 100%工作時間 ” 易于擴充 靈活性強 得到象《 PC 雜志》、《網(wǎng)絡(luò)周刊》等權(quán)威機構(gòu)的公認 易于管理 模塊化的組合結(jié)構(gòu) 19 第 五 章 .整體網(wǎng)絡(luò)規(guī)劃拓撲 20 第六章 .設(shè)備清單 外網(wǎng)： 產(chǎn)品名稱 型號 主要配置說明 主要性能指標 防火墻 NGFW4000(TG4514) 1U 機型 ，最大配置為 12個接口，包括標配 4個10/10