【正文】 ..................................................................... 27 4 工程決算 ....................................................................................................................................... 28 2 1 智能大廈網(wǎng)絡(luò)結(jié)構(gòu)化布線系統(tǒng)簡介 智能建筑是 傳統(tǒng)建筑工程與信息技術(shù)結(jié)合的產(chǎn)物，是產(chǎn)業(yè)化社會(huì)向信息化社會(huì)發(fā)展的必然趨勢。 通信網(wǎng)絡(luò)接入方案選擇分析 智能 建筑的 通信、信息網(wǎng)絡(luò)是人們與信息社會(huì)連接的重要通道。這樣雖然可以節(jié)省部分初期投資，但是對(duì)于用戶的寬帶信息需求，必須采用 HDSL 或 ADSL 方式來解決，用戶投資成本比較高，能夠承受的用戶不多，因此實(shí)際收益不高，投資回報(bào)率小。 布線標(biāo)準(zhǔn) 本系統(tǒng) 布線規(guī)范均指 TIA/EIA568A（ 商用建筑電信布線標(biāo)準(zhǔn) ） 和 ISO/IEC11801:1995（ E） 標(biāo)準(zhǔn)。 ANSI/TIA/ 家居布線標(biāo)準(zhǔn) ISO/IECJTCI/SC25/WG3 大樓通信綜合布線系統(tǒng)行業(yè)標(biāo)準(zhǔn) 布線拓?fù)浣Y(jié)構(gòu) TIA/EIA568A和 ISO/IEC11801 布線標(biāo)準(zhǔn)基于同一基本的布線系統(tǒng)結(jié)構(gòu)，布線系統(tǒng)包括電纜、接插軟線以及用于水平布線、建筑物內(nèi)主干布線和建筑群主干布線的連接器。兩根線絞接在一起是為了防止其電磁感應(yīng)在鄰近線對(duì)中產(chǎn)生干擾信號(hào)。對(duì)應(yīng) FTP 信息插座采用增強(qiáng)型 5類 4對(duì) FTP屏蔽電纜配置 ,以防御電磁干擾的影響。 光纖為圓柱狀，由 3個(gè)同心部分組成 —— 纖芯、包層和護(hù)套，每一路光纖包括兩根，一根接收，一根發(fā)送。 為了實(shí)現(xiàn)智能建筑的建設(shè)目標(biāo)，需要一個(gè)先進(jìn)的通信、信息網(wǎng)絡(luò)把用戶家庭網(wǎng)絡(luò)、社區(qū)安防、物業(yè)管理、生活服務(wù)及辦公設(shè)施連接起來，實(shí)現(xiàn)智能化和最優(yōu)化。 ② 、 提供寬帶的用戶接入服務(wù)，實(shí)現(xiàn) 高速 Inter 接入、視頻點(diǎn)播等業(yè)務(wù)。二層至五層間的具體分布以 7 辦公室為主體；從六層到十五層為出租式分布結(jié)構(gòu)；十六到十八層為辦公樓層；十九層為消費(fèi)場所。即使一個(gè)機(jī)構(gòu)沒有連接到 Inter 上， 它也需要建立內(nèi)部的安全策略來管理用戶對(duì)部分網(wǎng)絡(luò)的訪問并對(duì)敏感或秘密數(shù)據(jù)提供保護(hù)。這種安全策略應(yīng)包括在出版的安全指南中，告訴用 戶們他們應(yīng)有的責(zé)任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及雇員培訓(xùn)等。 Inter 防火墻能夠簡化安全管理，網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。 Inter防火墻可以作為部署 NAT(Network Address Translator，網(wǎng)絡(luò)地址變換）的邏輯地址。但應(yīng)該強(qiáng)調(diào)的是，即使到 Inter 的連接失效，內(nèi)部網(wǎng)絡(luò)仍舊可以工作，只是不能訪問 Inter 而已。防火墻無法禁止變節(jié)者或公司內(nèi)部存在的間諜將敏感數(shù)據(jù)拷貝到軟盤或 PCMCIA 卡上，并將其帶出公司。數(shù)據(jù)驅(qū)動(dòng)型的攻擊從表面上看是無害的數(shù)據(jù)被郵寄或拷貝到 Inter 主機(jī)上。如果機(jī)構(gòu)沒有詳盡的安全策略，無論如何精心構(gòu)建的防火墻都會(huì)被繞過去，從而整個(gè)內(nèi)部網(wǎng)絡(luò)都暴露在攻擊面下。路由器審查每個(gè)數(shù)據(jù)報(bào)以便確定其是否與某一條包過濾規(guī)則匹配。為了將進(jìn)來的 Tel 連 接限制到內(nèi)部的數(shù)臺(tái)機(jī)器上，路由器必須拒絕所有 TCP 端口 12 號(hào)等于 23 并且目標(biāo) IP 地址不等于允許主機(jī)的 IP 地址的數(shù)據(jù)包。對(duì)于源 IP 地址 欺騙式攻擊，可以利用丟棄所有來自路由器外部端口的使用內(nèi)部源地址的數(shù)據(jù)包的方法來挫敗。黑客寄希望于過濾器路由器只檢查第一個(gè)分段而允許其余的分段通過。另外，在路由器上進(jìn)行規(guī)則配置之后，幾乎沒有什么工具可以用來難過濾規(guī)則的正確性，因此會(huì)成為一個(gè)脆弱點(diǎn)。 IP 包過濾器可能無法對(duì)網(wǎng)絡(luò)上流動(dòng)的信息提供全面的控制。 這樣增強(qiáng)的安全帶來了附加的費(fèi)用：購買網(wǎng)關(guān)硬件平臺(tái)、代理服務(wù)應(yīng)用、配置網(wǎng)關(guān)所需的時(shí)間和知識(shí)、提供給用戶的服務(wù)水平的下降、由于缺少透明性而導(dǎo)致缺少友好性的系統(tǒng)。因?yàn)樗且粋€(gè)專門的系統(tǒng)，有特殊的裝備，并能抵御攻擊。在這里，智能卡認(rèn)證機(jī)制產(chǎn)生一個(gè)唯一的訪問代碼。 每個(gè)代理都是一個(gè)簡短的程序，專門為網(wǎng)絡(luò)安全目的而設(shè)計(jì)。 每個(gè)代理在堡壘主機(jī)上都以非特權(quán)用戶的身份運(yùn)行在其自己的并且是安全的目錄中。另外，如果有一個(gè)包過濾路由器被滲透，內(nèi)部網(wǎng)絡(luò)上的所有系統(tǒng)都可能會(huì)受到損害。 這種防火墻系統(tǒng)的優(yōu)點(diǎn)之一是提供公開的信息服務(wù)的服務(wù)器，如 Web， FTP 等，可以放置在由包過濾路由器和堡壘主機(jī)共用的網(wǎng)段上。這是因?yàn)椋瑢?duì)于入侵者來說，如果允許注冊，破壞堡壘主機(jī)相對(duì)比較容易。它只允許外部系統(tǒng)訪問堡壘主機(jī)（還可能有信息服務(wù)器）。 由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告 DMZ 網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往 Inter，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機(jī)上的代理服務(wù)才能訪問 Inter。 總體分析 經(jīng)統(tǒng)計(jì)本大 樓共涉及信息點(diǎn) 3000 個(gè)。 良好的兼容性 :與 CISCO 等其他廠家的路由器具有良好的互通性和兼容性。 本系統(tǒng)工程實(shí)現(xiàn)的功能 ? 報(bào) 在防區(qū)內(nèi)安裝紅外對(duì)射探測器，不留死角。 ? 采用最新視頻壓縮技術(shù)：使用專利圖像壓縮方式 (每幀 3— 15K)。 24 ? 云臺(tái)控制：遠(yuǎn)程和本地均可以控制云臺(tái)的 (上、下、左、右、變焦 )等運(yùn)動(dòng)。 巡更采集棒中儲(chǔ)存的數(shù)據(jù)可通過兩種方式輸出： ? 通過電腦及打印二合一控制器傳輸?shù)酱蛴C(jī)，直接打印出巡檢報(bào)表； ? 通過電腦及打印二合一控制器傳輸?shù)诫娔X，然后打印出巡檢報(bào)告或形成電腦文檔保存巡 檢數(shù)據(jù)作為下次再用。 ? 美國工業(yè)標(biāo)準(zhǔn) ：巡更采集棒能承受低溫 (15℃也可工作 )和高溫 (+50℃ 也可工作 )，標(biāo)準(zhǔn)要求是最高的。 ? 信息量大 ： 巡 更 棒大容量數(shù)據(jù)記錄，最大 62 個(gè)地址巡檢器，循環(huán)最新 4000 條巡視詳細(xì)信息。 系統(tǒng)介紹 ADEL9000 系列 智能巡更系統(tǒng)是采用美國 DALLAS 公司碰觸式存儲(chǔ)技術(shù)、單線通訊、讀寫技術(shù)、自動(dòng)控制技術(shù)及計(jì)算機(jī)通訊等技術(shù)，并結(jié)合國內(nèi)巡查工作的實(shí)際經(jīng)驗(yàn)設(shè)計(jì)最新型的數(shù)碼巡更系統(tǒng)。 ? 簡便性：可由時(shí)間、日期、鏡頭任意設(shè)置監(jiān)控方式及回放。 主機(jī)系統(tǒng)的技術(shù)參數(shù) 系統(tǒng)功能 ? 超高幀數(shù)：對(duì)圖像并行處理。 設(shè)計(jì)目標(biāo) ? 能對(duì)建設(shè)單位布防現(xiàn)場實(shí)行全天候 24 小時(shí)的多種形式的電視監(jiān)控并實(shí)時(shí)報(bào)警； ? 采用技術(shù)先進(jìn)的集成度高的 iDRSM 計(jì)算機(jī)數(shù)字壓縮安防監(jiān)控制系統(tǒng)。 撥號(hào)備份 :輔助口 AUX 及異步串口支持撥號(hào)備 20 份功能，當(dāng)主鏈路發(fā)生故障或者繁忙時(shí) 自動(dòng)啟動(dòng)撥號(hào)備份鏈路，主鏈路恢復(fù)正常時(shí)還可自動(dòng)斷開，提高了網(wǎng)絡(luò)連接的可靠性。本文著重于構(gòu)建 Inter防火墻的諸多問題，包括它們的優(yōu)缺點(diǎn)，構(gòu)件，以及防火墻系統(tǒng)拓?fù)浣Y(jié)構(gòu)的實(shí)例。 由于外部路由器只能向 Inter 通告 DMZ 網(wǎng)絡(luò)的存在， Inter 上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)相對(duì)。在一般情況下對(duì) DMZ 配置成使用 Inter 和內(nèi)部網(wǎng)絡(luò)系統(tǒng)能夠訪問DMZ 網(wǎng)絡(luò)上數(shù)目有限的系統(tǒng)，而通過 DMZ 網(wǎng)絡(luò)直接進(jìn)行信息傳輸是嚴(yán)格禁止的。 17 圖 10 屏蔽防火墻系統(tǒng)（雙宿堡壘主機(jī)） 由于堡壘主機(jī)是唯一能從 Inter 上直接訪問的內(nèi)部系統(tǒng)，所以有可能受到攻擊的主機(jī)就只有堡壘主機(jī)本身。由于內(nèi)部主機(jī)與堡壘主機(jī)處于同一個(gè)網(wǎng)絡(luò)，內(nèi)部系統(tǒng)是否允許直接訪問 Inter，或者是要求使用堡壘主機(jī)上的代理服務(wù)來訪問 Inter 由機(jī)構(gòu)的安全策略來決定。由于允許在內(nèi)部和外部系統(tǒng)之間直接交換數(shù)據(jù)包，那么攻擊面可能會(huì)擴(kuò)展到所有主機(jī)和路由器所允許的全部服務(wù)上。 代理除了讀取初始化配置文件之外，一般不進(jìn)行磁盤操作。 每個(gè)代理都通過登記所有的信息、每 一次連接、以及每次連接的持續(xù)時(shí)間來維持一個(gè)詳細(xì)的審計(jì)信息。 用戶在訪問代理服務(wù)之前堡壘主機(jī)可能要求附加認(rèn)證。允許在內(nèi)部系統(tǒng)和外部系統(tǒng)之間直接交換數(shù)據(jù)包的主要危險(xiǎn)是駐留在受保護(hù)網(wǎng)絡(luò)系統(tǒng)上的主機(jī)應(yīng)用避免任何由所允許服務(wù)帶來的威脅。如果網(wǎng)絡(luò)管理員沒有為某種應(yīng)用安裝代理編碼，那么該項(xiàng)服務(wù)就不支持并不能通過防火墻系統(tǒng)來轉(zhuǎn)發(fā)。如果打開過濾功能，路由器不僅必須對(duì)每個(gè)數(shù)據(jù)包作出轉(zhuǎn)發(fā)決定，還必須將所有的過濾器規(guī)則施用給每個(gè)數(shù)據(jù)包。 包過濾路由器的缺點(diǎn) 定義數(shù)據(jù)包過濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種 Inter 服務(wù)、包頭格式、以及每個(gè)域的意義有非常深入的理解。這種類型的攻擊的特點(diǎn)是入侵者使用了 IP 分段的特性，創(chuàng)建極小的分段并強(qiáng)行將 TCP 頭 信息分成多個(gè)數(shù)據(jù)包段。入侵者希望借助于一個(gè)假的源 IP 地址就能滲透到一個(gè)只使用了源地址安全功能的系統(tǒng)中。例如， Tel 服務(wù)器在 TCP 的 23 號(hào)端口上監(jiān)聽遠(yuǎn)地連接，而 SMTP 服務(wù)器在TCP 的 25 號(hào)端口上監(jiān)聽人連接。典型的防火墻有一個(gè)或多個(gè)構(gòu)件組成： 包過濾路由器 應(yīng)用層網(wǎng)關(guān)（或代理服務(wù)器） 電路層網(wǎng)關(guān) 在后面我們將討論每一種構(gòu)件，并描述其如何一起構(gòu)成一個(gè)有效的防火墻系統(tǒng)。為確保成功，機(jī)構(gòu)必須知道其所有 保護(hù)的是什么。對(duì)病毒特別關(guān)心的機(jī)構(gòu)應(yīng)在每個(gè)桌面部署防病毒軟件，防止病毒從軟盤或其它來源進(jìn)入網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)上的用戶們必須了 解這種類型的連接對(duì)于一個(gè)有全面的安全保護(hù)系統(tǒng)來說是絕對(duì)不允許的。還可以對(duì)防火墻進(jìn)行配置，允許 Inter 訪問上述服務(wù)，而禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)上其它系統(tǒng)的訪問。 9 過去的幾年里， Inter 經(jīng)歷了地址空間的危機(jī)，使得 IP 地址越來越少。 圖 2 Inter 防火墻的好處 集中的網(wǎng)絡(luò)安全 可作為中心“扼制點(diǎn)” 產(chǎn)生安全報(bào)警 監(jiān)視并記錄 Inter 的使用 NAT 的理想位置 WWW 和 FTP 服務(wù)器的理想位置 Inter 防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用 戶，如黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。 圖 1 安全策略建立的防御范圍 8 應(yīng)給予特別注意的是， Inter 防火墻不僅僅是路由器、堡壘主機(jī)、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個(gè)部分。 當(dāng)機(jī)構(gòu)的內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)設(shè)施暴露給 Inter 上的黑客時(shí)，大家越來越關(guān)心的便是網(wǎng)絡(luò)安全。 系統(tǒng)設(shè)計(jì) 根據(jù)用戶提供的設(shè)計(jì)圖紙進(jìn)行分析結(jié)果如下：分別在大廈內(nèi)分配 6 個(gè)工作區(qū)間子系統(tǒng)配線間，每個(gè)配線間管理 2 個(gè)樓層，同時(shí)將各配線間通過光纖連接到三樓的主配 線房。 ④ 、 實(shí)現(xiàn)建筑內(nèi)部的資源共享、信息共享。 (2) 建立連接家庭網(wǎng)絡(luò)的社區(qū)信息網(wǎng)，提供社區(qū)服務(wù)，保障社區(qū)安全 ， 實(shí)現(xiàn)社區(qū)管理自動(dòng)化。 布線性能 在 TIA/EIA568A和 ISO/IEC11801 兩個(gè)標(biāo)準(zhǔn)中， 100歐姆雙絞線按 5類 /5E類規(guī)定為 100MHz，在本系統(tǒng)中應(yīng)用為水平布線， 10－ 100MHz自適