【正文】 內(nèi)容判斷文件類型KILL不僅根據(jù)文件后綴判斷文件類型，還可通過分析文件的內(nèi)容判斷文件類型從而正確無誤地發(fā)現(xiàn)病毒。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝實(shí)時(shí)病毒過濾軟件。URL過濾功能：URL過濾是NetST與WebCM3200結(jié)合后提供的一個(gè)強(qiáng)大功能，實(shí)現(xiàn)的才是真正的URL過濾。而其他防火墻平臺(tái)是通用的Linux操作系統(tǒng)安裝在通用的工業(yè)PC上搭建的，通用系統(tǒng)的缺陷是處理速度受影響，安全性較差。其他防火墻所實(shí)現(xiàn)的主要功能清華得實(shí)NetST174。外部非法連接攻擊（如Telnet）借道（路由）入侵非法密碼日志報(bào)表日志（Log）報(bào)表的存在，為系統(tǒng)管理員分析與解決問題提供了依據(jù)，NetST防火墻提供了詳細(xì)的日志報(bào)表，以備系統(tǒng)管理員查閱。MAC綁定技術(shù)主要用于綁定一些重要的管理IP和特權(quán)IP，在特定的主機(jī)IP地址和MAC地址相匹配的情況下，允許數(shù)據(jù)包通過防火墻。防火墻通過創(chuàng)建規(guī)則來指定數(shù)據(jù)包的來源、目標(biāo)和傳送到內(nèi)容過濾服務(wù)器。為防止內(nèi)部信息泄漏或浪費(fèi)網(wǎng)絡(luò)帶寬，NetST174。防火墻支持腳本、代碼過濾，可使HTML頁面中的各種腳本和Java小程序失效，可以避免可能的惡意代碼所造成的損失。端口過濾端口過濾，即指定為某些端口提供服務(wù)，如允許WWW瀏覽的端口為80，允許ftp服務(wù)的端口為21，郵件發(fā)送（smtp）服務(wù)端口為25，郵件接收服務(wù)（pop3）端口110等。靜態(tài)NAT無論是在源NAT方式還是目的NAT方式下，都有“一對(duì)一”、“多對(duì)一”和“多對(duì)多”三種映射。內(nèi)部主機(jī)向外部主機(jī)連接時(shí)，使用同一個(gè)IP地址；相反地，外部主機(jī)要向內(nèi)部主機(jī)連接時(shí)，必須通過網(wǎng)關(guān)映射到內(nèi)部主機(jī)上。7．基于用戶身份的安全策略NetST174。防火墻具備抵御多種外來惡意攻擊的能力：DoS、IP欺騙、端口掃描、IP盜用等。防火墻為用戶提供強(qiáng)大的包過濾功能。內(nèi)部網(wǎng)是不對(duì)外開放的區(qū)域，它不對(duì)外提供任何服務(wù)，外部網(wǎng)用戶看不到內(nèi)部網(wǎng)的IP地址，保證內(nèi)部網(wǎng)的安全性。 第五章 洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)安全及病毒的防護(hù)一個(gè)現(xiàn)代化網(wǎng)絡(luò)中含有大量的應(yīng)用、各種應(yīng)用中都有重要的數(shù)據(jù)，在本系統(tǒng)中需要保護(hù)接入用戶的數(shù)據(jù)安全和系統(tǒng)本身諸如WWW、MAIL、FTP等應(yīng)用的安全，為了保護(hù)數(shù)據(jù)，不被人為或非人為的原因損壞，設(shè)計(jì)網(wǎng)絡(luò)防火墻及防病毒軟件防護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全。IBM Director系統(tǒng)管理軟件，三年有效的保修，以及技術(shù)服務(wù)和技術(shù)支持特性使系統(tǒng)操作和維護(hù)更加容易。xSeries 255 服務(wù)器為IT部門提供更高的處理性能，采用桌側(cè)系統(tǒng)配置并可以在數(shù)分鐘內(nèi)安置在滿足行業(yè)標(biāo)準(zhǔn)要求的機(jī)柜中。向用戶提供了非常完備的軟件開發(fā)環(huán)境。郵件，F(xiàn)TP服務(wù)器配置說明本系統(tǒng)中的郵件、FTP服務(wù)器選擇IBM xSeries 255，采用Intel Xeon ,配置1G內(nèi)存,48x光盤驅(qū)動(dòng)器，*8,通過采用RAID5技術(shù),*7,硬盤選用10Krpm Ultra 160 SCSI熱插拔薄型硬盤,另配ServeRAID4Mx Ultra 160 SCSI控制器，考慮到郵件系統(tǒng)本身數(shù)據(jù)的重要性，配置40/80GB DLT內(nèi)置SCSI磁帶驅(qū)動(dòng)器以進(jìn)行磁帶備份。應(yīng)該選擇產(chǎn)品系列齊全，售后服務(wù)好，有良好擴(kuò)充性的產(chǎn)品，可以通過增加節(jié)點(diǎn)機(jī)、處理器數(shù)目、內(nèi)存容量、外部存儲(chǔ)空間等方式方便地進(jìn)行擴(kuò)充升級(jí)，保護(hù)現(xiàn)有投資并保證整個(gè)系統(tǒng)建設(shè)的連貫性。每個(gè)應(yīng)用系統(tǒng)的建設(shè)過程中，都應(yīng)堅(jiān)持以上的原則。以太網(wǎng)社區(qū)運(yùn)營(yíng)目前在技術(shù)上主要傾向與DHCP＋Web,DHCP＋WEB BRAS 在運(yùn)營(yíng)上客戶端免去裝客戶端軟件，直接以IE方式認(rèn)證，方便運(yùn)營(yíng)商運(yùn)營(yíng)?？山鉀QIP地址短缺問題，對(duì)于用戶較多的大樓和小區(qū)，運(yùn)營(yíng)商可能沒有相應(yīng)數(shù)量的合法IP地址滿足大量用戶同時(shí)上網(wǎng)的需要，因此運(yùn)營(yíng)商可能希望給用戶分配內(nèi)部網(wǎng)IP地址(、)。由于DHCP用戶一開機(jī)就要占用IP地址資源，因此采用DHCP運(yùn)營(yíng)的環(huán)境中經(jīng)常性地要用到NAT，節(jié)省有限的公網(wǎng)地址資源；IP 包過濾功能。沒有認(rèn)證過的用戶，只要輸入任何一個(gè)合法的URL請(qǐng)求（80/TCP端口），瀏覽器都會(huì)被自動(dòng)導(dǎo)向到認(rèn)證頁面，提示用戶輸入用戶名和密碼；用戶認(rèn)證通過后，瀏覽器被導(dǎo)向到運(yùn)營(yíng)商指定 Portal頁面；可以通過串行口對(duì)設(shè)備進(jìn)行配置，也支持遠(yuǎn)程管理，管理員可以通過Telnet或者標(biāo)準(zhǔn)的網(wǎng)管軟件進(jìn)行管理；軟件升級(jí)過程簡(jiǎn)易，支持標(biāo)準(zhǔn)的TFTP形式的軟件升級(jí)；支持專線用戶，即可以根據(jù)IP地址設(shè)置部分用戶無需認(rèn)證即可上網(wǎng)，對(duì)專線用戶可以進(jìn)行流量計(jì)費(fèi)。 Play）+ Web Portal + Radius的接入和認(rèn)證技術(shù)。Sendmail 的宗旨，就是要跟高可用集群軟件實(shí)現(xiàn)集成。多線程多進(jìn)程體系結(jié)構(gòu)的宗旨，是在多處理器系統(tǒng)實(shí)現(xiàn)垂直可伸縮性。Sendmail模型如圖2所示。實(shí)際上，許多SOHO遠(yuǎn)程訪問設(shè)備支持基于PPP的動(dòng)態(tài)IP地址。這給SNMP管理帶來了麻煩。 這樣，本地信息可以相互訪問了，但由于192．168．0．0屬于保留地址，故 不能直接訪問Internet。PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。 NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。首先，許多局域網(wǎng)在未聯(lián)入Internet之前，就 已經(jīng)運(yùn)行許多年了，局域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的IP地址分 配不符合Internet的國(guó)際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的IP地址，這無疑是勞 神費(fèi)時(shí)的工作；其二，隨著Internet的膨脹式發(fā)展，其可用的IP地址越來越少， 要想在ISP處申請(qǐng)一個(gè)新的IP地址已不是很容易的事了。在出現(xiàn)擁塞時(shí)，低優(yōu)先級(jí)流的分組可能被丟棄。RED和TCP協(xié)同工作，在大流量出現(xiàn)時(shí)，能預(yù)先控制擁塞，并用丟棄分組的方式，保持大吞吐量。允許訪問速率(CAR)：用允許訪問速率(CommittedAccessRateCAR)管理訪問帶寬CAR為網(wǎng)絡(luò)管理員提供了一個(gè)為業(yè)務(wù)目的地分配帶寬，并制定超過帶寬分配額度時(shí)的業(yè)務(wù)處理策略的工具。QoS服務(wù)由三個(gè)關(guān)鍵組件構(gòu)成：一個(gè)快速發(fā)展的構(gòu)件和功能集；一個(gè)高度靈活、用于執(zhí)行策略的工具，它利用構(gòu)件控制網(wǎng)絡(luò)資源的分配，以支持網(wǎng)絡(luò)客戶和應(yīng)用程序的要求；一個(gè)功能分布組件，它優(yōu)化了網(wǎng)絡(luò)所有者(企業(yè)或Internet服務(wù)商)在服務(wù)配置和帶寬/容量方面的可擴(kuò)展性要求。此特征提高了網(wǎng)絡(luò)帶寬的利用率。由于本系統(tǒng)涉及的三層設(shè)備不多，總體層次比較單一，在滿足實(shí)際需要的情況下，考慮路由的安全性和更好優(yōu)化帶寬，建議采用靜態(tài)路由協(xié)議；如果增加一定數(shù)目的網(wǎng)絡(luò)節(jié)點(diǎn)后，達(dá)到比較大數(shù)目的時(shí)候，可以考慮采用動(dòng)態(tài)路由協(xié)議，本寬帶接入網(wǎng)的設(shè)計(jì)中使用靜態(tài)路由和默認(rèn)路由達(dá)到節(jié)省帶寬的目的。它確定數(shù)據(jù)包在網(wǎng)內(nèi)或網(wǎng)間傳輸所經(jīng)的路徑，路由協(xié)議總的分為靜態(tài)和動(dòng)態(tài)兩大類。針對(duì)本系統(tǒng)，建議采用：內(nèi)部網(wǎng)系統(tǒng)使用私有IP地址，可劃分為一個(gè)子網(wǎng)或多個(gè)子網(wǎng)。骨干路由器NE05　　1NE05機(jī)箱雙交流電源模塊配置RTNE05 CHASSIS/2AC12系統(tǒng)監(jiān)控管理單元RTNEALUA13路由交換單元前處理板128M內(nèi)存RTNERSUA14路由交換熱插拔控制單元RTNERSHC15通用接口單元前處理板128M內(nèi)存RTNEVIUA161端口百兆以太網(wǎng)接口前處理卡RTNEETPA1接入交換機(jī)接入交換機(jī)建議選用華為2403H交換機(jī),該交換機(jī)每個(gè)端口提供獨(dú)享10/100M帶寬，可以形成完全的10/100M到桌面。 骨干層的Quidway174。第二章 洪桐廣電寬帶接入系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)在采用星型拓?fù)洹６?、采用Intranet技術(shù)及設(shè)計(jì)思想Intranet是目前計(jì)算機(jī)應(yīng)用領(lǐng)域中人們非常關(guān)注的熱門話題，同時(shí)也給各企事業(yè)單位的計(jì)算機(jī)應(yīng)用提供了新的應(yīng)用模式和解決方案。*支持多種主機(jī)互連系統(tǒng)互連應(yīng)全部采用國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)層通訊協(xié)議TCP/IP，使網(wǎng)絡(luò)具有良好的開放性。隨著該網(wǎng)絡(luò)系統(tǒng)的不斷發(fā)展與完善，應(yīng)可以隨時(shí)增加網(wǎng)絡(luò)設(shè)備來擴(kuò)展整個(gè)網(wǎng)絡(luò)。性能管理一個(gè)計(jì)算機(jī)系統(tǒng)運(yùn)行的性能如何，是網(wǎng)絡(luò)建設(shè)首先要考慮的問題。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的管理功能一般包括四部分內(nèi)容：失效管理失效管理是最基本的網(wǎng)絡(luò)管理功能。服務(wù)器大部分部件應(yīng)可熱插拔。*服務(wù)器本身及數(shù)據(jù)庫(kù)系統(tǒng)支持磁盤鏡像。它負(fù)責(zé)檢測(cè)網(wǎng)絡(luò)中的各種故障，主要包括網(wǎng)絡(luò)結(jié)點(diǎn)和通信線路兩種故障。但是，由于網(wǎng)絡(luò)規(guī)模的龐大和影響網(wǎng)絡(luò)性能的不定因素太多，加大了運(yùn)行性能好的大型網(wǎng)絡(luò)的設(shè)計(jì)難度。例如接入規(guī)模的擴(kuò)大。因?yàn)樗械闹鳈C(jī)系統(tǒng)生產(chǎn)廠商都努力使自己的產(chǎn)品遵循TCP/IP標(biāo)準(zhǔn)，所以可以很方便的實(shí)現(xiàn)多種主機(jī)的互連。Intranet以其安全、廉價(jià)、方便等優(yōu)點(diǎn)越來越得到了人們的認(rèn)可，也成為當(dāng)今企業(yè)自動(dòng)化建設(shè)所追求的目標(biāo)。在接入網(wǎng)中，我們可以將整個(gè)網(wǎng)絡(luò)劃分為核心、匯聚和接入3層。 S8016配置1塊16路百兆以太網(wǎng)單模光接口線路板模塊和1塊4路千兆以太網(wǎng)多模500m MTRJ光接口線路板,通過百兆模塊設(shè)置實(shí)現(xiàn)與接入層建立百兆連接,通過千兆模塊建立與應(yīng)用服務(wù)器的高速無阻塞連接，形成高速主干網(wǎng)。同時(shí)可以同匯接層交換機(jī)建立100M的連接。在系統(tǒng)運(yùn)行初期，系統(tǒng)內(nèi)的工作站點(diǎn)不是很多的情況下，可采用此方法。靜態(tài)路由唯一確定地選擇一條路徑，不能自動(dòng)去適應(yīng)網(wǎng)絡(luò)的變化。 虛擬網(wǎng)（VLAN）和三層交換技術(shù)一個(gè)站點(diǎn)很多的網(wǎng)絡(luò)系統(tǒng)，不能只設(shè)一個(gè)網(wǎng)段，否則會(huì)引起嚴(yán)重的網(wǎng)絡(luò)問題：網(wǎng)絡(luò)通信量太大、網(wǎng)絡(luò)沖突、網(wǎng)絡(luò)資源占用多、各戶之間數(shù)據(jù)不安全等等。一個(gè)虛擬網(wǎng)的所有成員邏輯的組成一個(gè)廣播域，跟它們的物理位置無關(guān)。用于業(yè)務(wù)分類的IP優(yōu)先權(quán)：優(yōu)先權(quán)提供了將業(yè)務(wù)劃分為多個(gè)服務(wù)類的功能。CAR既可以用于網(wǎng)絡(luò)入口也可以用于網(wǎng)絡(luò)出口。同時(shí)，RED也為網(wǎng)絡(luò)管理員提供了相當(dāng)靈活的參數(shù)設(shè)置手段，包括調(diào)整隊(duì)列長(zhǎng)度閾值的最大值和最小值、分組丟棄幾率和MIB，分組交換和分組丟棄的管理策略等。QoS服務(wù)提供了基于服務(wù)類型的分布式WFQ，從而提高了性能和可擴(kuò)展性。這不僅僅是費(fèi)用的問題， 而是IP地址的現(xiàn)行標(biāo)準(zhǔn)IPv4決定的。每個(gè)包 在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級(jí)，這意味著給處理器帶來了一定 的負(fù)擔(dān)。根據(jù)不同的需要，各種NAT方案都是有利有弊。所以在路由器中設(shè)置一個(gè)NAT池，用來翻譯來自內(nèi)部網(wǎng)絡(luò) 的IP包，把它的IP地址映射成地址池（pooledaddresses）中的合法IP地址。一個(gè)可行的解決方案就是把劃分給NA T池的那部分地址在SNMP管理平臺(tái)上標(biāo)記出來，對(duì)于這些不響應(yīng)管理信號(hào)的地址不 予報(bào)警，如同它們被關(guān)掉了一樣。這樣，ISP甚至不需要支持PAT，就可以做到多個(gè)內(nèi)部I P地址共用一個(gè)外部IP地址上Internet。圖2 Sendmail模型圖2中，客戶方sender與SMTP服務(wù)器Sendmail建立連接，將郵件送交Sendmail服務(wù)器；Sendmail按照郵件的不同類型，送交不同的郵件發(fā)送程序(稱之為mailer)進(jìn)行發(fā)送，例如SMTP mailer，UUCP mailer等等。功能強(qiáng)大的高速緩存技術(shù)，將進(jìn)一步減少目錄服務(wù)的負(fù)荷。防止無用郵件先進(jìn)的 IMAP 功能諸如集中管理的共享文件夾和脫機(jī)訪問等先進(jìn)的 IMAP 功能，允許服務(wù)提供商采用內(nèi)聯(lián)網(wǎng)信息傳遞系統(tǒng)的豐富特性，交付托管信息傳遞服務(wù)。采用DHCP + Web Portal + Radius的寬帶接入環(huán)境里，用戶的IP地址可以通過DHCP獲得或者由運(yùn)營(yíng)商分配固定IP地址，用戶的認(rèn)證則是通過用戶瀏覽器來完成的，不需要另外再安裝客戶端軟件。安全性考慮由于以太網(wǎng)絡(luò)是一個(gè)廣播環(huán)境，為保證用戶的帳號(hào)和密碼的安全，用戶瀏覽器認(rèn)證請(qǐng)求的傳送采用PPP的CHAP算法加密，使得運(yùn)營(yíng)商即使在采取HUB接入的環(huán)境里仍能夠保障用戶的帳號(hào)口令不被監(jiān)聽；用戶認(rèn)證通過后為用戶打開一個(gè)連接狀態(tài)頁面，記錄用戶上網(wǎng)的時(shí)長(zhǎng)，同時(shí)也方便用戶主動(dòng)斷線，同時(shí)可以保證盜用別人地址上網(wǎng)的用戶在一定的時(shí)間內(nèi)被斷掉，保障合法用戶的權(quán)益；內(nèi)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，包括動(dòng)態(tài)NAT和靜態(tài)NAT。使運(yùn)營(yíng)商能夠在接入點(diǎn)就卡斷不希望出現(xiàn)的數(shù)據(jù)流，優(yōu)化運(yùn)營(yíng)商的主干網(wǎng)絡(luò)環(huán)境，減輕出口路由的壓力；支持Radius Client，能提供詳細(xì)的計(jì)費(fèi)數(shù)據(jù)，包括用戶每次接入選擇的服務(wù)、接入時(shí)長(zhǎng)和進(jìn)出字節(jié)以及包流量；支持主備Radius切換；支持雙Radius并發(fā)記帳，適合于有對(duì)帳需求的應(yīng)用場(chǎng)合；結(jié)合Radius實(shí)現(xiàn)集中式的用戶認(rèn)證、授權(quán)和計(jì)費(fèi)，方便運(yùn)營(yíng)商統(tǒng)一規(guī)劃網(wǎng)絡(luò)、統(tǒng)一管理用戶和對(duì)用戶計(jì)費(fèi)，實(shí)現(xiàn)電信級(jí)的運(yùn)營(yíng)；結(jié)合Radius可實(shí)現(xiàn)對(duì)用戶最小單位為32kbps的帶寬控制結(jié)合Radius可實(shí)現(xiàn)靈活的計(jì)費(fèi)策略控制，包括預(yù)付費(fèi)（時(shí)長(zhǎng)）和按時(shí)長(zhǎng)、流量的后付費(fèi)和移動(dòng)用戶計(jì)費(fèi)；支持遠(yuǎn)程管理，包括telnet和SNMP v1, v2；軟件升級(jí)過程簡(jiǎn)易，支持標(biāo)準(zhǔn)的TFTP形式的軟件升級(jí)；TFTP形式配置備份和更新；TFTP形式WEB頁面更新，運(yùn)營(yíng)商可以自己定制頁面；VLAN PORTAL功能，可按用戶所處不同的VLAN范圍導(dǎo)向不同的認(rèn)證頁面；支持與第三方的Portal服務(wù)器對(duì)接，實(shí)現(xiàn)從核心PORTAL服務(wù)器認(rèn)證對(duì)DBRAS的屬性回傳并對(duì)接入用戶的控制。eFlow DBrAS內(nèi)帶NAT（Network Address Translating）功能模塊，可方便運(yùn)營(yíng)商分配內(nèi)部網(wǎng)IP地址給上網(wǎng)用戶再通過eFlow DBrAS進(jìn)行IP地址翻譯成合法IP地址上公網(wǎng)，免卻運(yùn)營(yíng)商因?yàn)镮P地址短缺需要另外購(gòu)買專用NAT設(shè)備的麻煩。以下如圖是安騰Eflow DBrAS產(chǎn)品在以太網(wǎng)社區(qū)接入情況，Eflow DBrAS與安騰Radius AAA系統(tǒng)配合能對(duì)用戶完成認(rèn)證、管理與計(jì)費(fèi)，有效為運(yùn)營(yíng)商提供對(duì)用戶控制的手段。但如果要求每項(xiàng)指標(biāo)都達(dá)到最佳，其投資是不可想象的，對(duì)于特定的系統(tǒng)來說，應(yīng)該突出其中的幾點(diǎn)原則。綜上所述，同時(shí)結(jié)合用戶對(duì)主機(jī)的運(yùn)行指標(biāo)的選擇分析，在推薦方案中我們的原則是：原則一：主機(jī)應(yīng)選用產(chǎn)品系列齊全，售后服務(wù)好，有良好擴(kuò)充性的產(chǎn)品。服務(wù)器配置清單如下：郵件，F(xiàn)TP服務(wù)器