【正文】 1xSeries 255 ，Xeon MP，512MB ECC，開放式，48x 868541X12512MB PC1600 ECC DDR SDRAM RDIMM33L328313ServeRAID4Mx Ultra 160 SCSI控制器06P57361440/80GB DLT內(nèi)置SCSI磁帶驅(qū)動器00N799015 10Krpm Ultra 160 SCSI熱插拔薄型硬盤06P57558WWW服務(wù)器配置說明本系統(tǒng)中的WWW服務(wù)器選擇IBM xSeries 255，采用Intel Xeon ,配置1G內(nèi)存, 48x光盤驅(qū)動器，*3,通過采用RAID5技術(shù),*2, 硬盤選用10Krpm Ultra 160 SCSI熱插拔薄型硬盤,另配ServeRAID4Mx Ultra 160 SCSI控制器。操作系統(tǒng)必須易于理解、擴(kuò)充，并具有非常好的可移植性。12個 的內(nèi)部磁盤數(shù)據(jù)存儲容量和多磁帶備份功能，使系統(tǒng)擴(kuò)展和數(shù)據(jù)備份更加容易。xSeries 255 服務(wù)器具有大型機(jī)具備的 X 架構(gòu)特性，提供熱交換冗余電源、熱交換冗余冷卻風(fēng)扇 、熱交換硬盤、熱交換／熱插入 PCIX 以及更強(qiáng)大的系統(tǒng)管理控制能力。一、防火墻設(shè)計(jì)防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。DMZ是非軍事化區(qū)，它對外提供服務(wù)，所以具有開放性，容易受到外部的攻擊，但與內(nèi)部網(wǎng)是隔離的，因此不會影響到內(nèi)部網(wǎng)。支持各種主流網(wǎng)絡(luò)協(xié)議，不僅可以根據(jù)網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)地址、應(yīng)用服務(wù)等條件進(jìn)行過濾，并且可以對多種網(wǎng)絡(luò)入侵進(jìn)行辨別和有效阻斷，同時實(shí)時進(jìn)行記錄和報(bào)警。4．全面內(nèi)容過濾清華得實(shí)NetST174。防火墻支持基于用戶身份的網(wǎng)絡(luò)訪問控制，不僅具有內(nèi)置的用戶管理及認(rèn)證接口，同時也支持用戶進(jìn)行外部身份認(rèn)證；防火墻可以根據(jù)用戶認(rèn)證的情況動態(tài)地調(diào)整安全策略，實(shí)現(xiàn)用戶對網(wǎng)絡(luò)的授權(quán)訪問。它使外部網(wǎng)絡(luò)看不到內(nèi)部網(wǎng)絡(luò)，從而隱藏內(nèi)部網(wǎng)絡(luò)，達(dá)到保密作用，使系統(tǒng)的安全性提高，并且節(jié)約從ISP得到的外部IP地址。這樣的映射方式，一方面隱藏了內(nèi)網(wǎng)的IP地址（源NAT方式下），另一方面也解決了外網(wǎng)訪問內(nèi)網(wǎng)的負(fù)載均衡（目的NAT方式下的“多對多” 映射）與端口映射等問題。HTTP協(xié)議內(nèi)容過濾在進(jìn)行訪問時，人們總會擔(dān)心遭到病毒或惡意代碼的攻擊，這就需要進(jìn)行內(nèi)容檢查。NetST174。防火墻支持用戶自行設(shè)定拒絕向服務(wù)器上傳和下載的文件類型表，并禁止在此文件類型范圍內(nèi)的文件傳送請求。NetST174。IP/MAC地址綁定對于中、小規(guī)模網(wǎng)絡(luò)的安全性有一定加強(qiáng)。 NetST174。硬件防火墻都可實(shí)現(xiàn)。其他防火墻主要防范多種Dos的攻擊手段；而清華得實(shí)NetST174。目前市場上也有不少防火墻聲稱能進(jìn)行URL過濾，不再需要其他工具的配合，可他們實(shí)際是怎么實(shí)現(xiàn)的呢？不過是要求用戶自己輸入URL，然后他再域名解析一下得到IP地址，然后針對這個IP生成一條規(guī)則處理，因此要檢查的URL越多，規(guī)則就加的越多，速度也越慢，因此可以問問他們的防火墻有哪個能做到檢查100萬個以上的URL的能力的，又有幾個用戶有耐心輸入100萬個URL？如果能做到，就問問這時防火墻的速度又怎么樣？而且他們的URL檢查只能檢查到域名，更下面的子目錄、文件級的檢查根本做不到。在桌面PC上安裝病毒監(jiān)控軟件；檢查和清除病毒。災(zāi)難恢復(fù) KILL創(chuàng)建的急救盤備份了啟動系統(tǒng)所需的重要系統(tǒng)文件和設(shè)置。智能陷阱檢測KILL為提供世界領(lǐng)先的處理未知病毒技術(shù)之一，可查殺各種已知及部分未知病毒，包括引導(dǎo)型、文件型、復(fù)合型和變型病毒，以及各類宏病毒和各種新型病毒。病毒防護(hù)的主要技術(shù)如下：阻止病毒的傳播。外部非法連接攻擊（如Telnet）借道（路由）入侵非法密碼NetST是符合國標(biāo)GB180191999的防火墻產(chǎn)品；目前國外的產(chǎn)品中只有NetScreen通過檢測（截止到2001年9月）.NetST防火墻的性能測試參數(shù)是根據(jù)兩個RFC標(biāo)準(zhǔn)獲得的，因此真實(shí)可信：RFC 2647: Firewall PerformanceRFC 2544: Router Performance可以進(jìn)行這兩個標(biāo)準(zhǔn)測試的兩個設(shè)備廠家：SmartBit和IXIA。操作系統(tǒng)對網(wǎng)絡(luò)攻擊和對外網(wǎng)絡(luò)服務(wù)具有良好的安全性。硬件防火墻是在開放的，可擴(kuò)展的安全框架內(nèi)開發(fā)的，技術(shù)更先進(jìn)，可擴(kuò)展性和與其他安全產(chǎn)品的兼容性更強(qiáng)。IP地址欺騙：攻擊者通過改變自己的IP來偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的抱文，以擾亂正常網(wǎng)絡(luò)的數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文來更改路由信息，以竊取信息。IP與MAC地址綁定IP與MAC地址綁定是將IP地址和網(wǎng)卡的硬件地址綁定起來，當(dāng)發(fā)現(xiàn)某IP和綁定的硬件地址不相符時，將拒絕為該IP服務(wù)。POP3協(xié)議內(nèi)容過濾NetST174。防火墻通過創(chuàng)建規(guī)則來指定數(shù)據(jù)包的來源、目標(biāo)和傳送到內(nèi)容過濾服務(wù)器。NetST174。IP地址過濾IP地址過濾是指定為某些IP地址的計(jì)算機(jī)提供相關(guān)服務(wù)。源NAT是允許內(nèi)網(wǎng)訪問外網(wǎng)，目的NAT是允許外網(wǎng)訪問內(nèi)網(wǎng)。防火墻的安全技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換——網(wǎng)絡(luò)地址轉(zhuǎn)換也稱為地址共享器（Address Sharer）或地址映射器，設(shè)計(jì)它的初衷是為了解決IP地址不足，現(xiàn)多用于網(wǎng)絡(luò)安全。防火墻支持帶內(nèi)、帶外管理控制，均可以通過終端命令行和遠(yuǎn)程Java控制臺兩種方式進(jìn)行配置管理，用戶可以快捷有效地制定安全策略、輕松實(shí)現(xiàn)布署，降低用戶的綜合使用成本。3．全面安全防護(hù)NetST174。作為包過濾型防火墻，清華得實(shí)NetST174。防火墻的設(shè)計(jì)原則安全的網(wǎng)絡(luò)結(jié)構(gòu)NetST2104防火墻提供了4個網(wǎng)絡(luò)接口，即內(nèi)部網(wǎng)（Internal）、外部網(wǎng)(External)和DMZ，其中外部網(wǎng)為非安全網(wǎng)卡，其他為安全網(wǎng)卡。2000 ServerMicrosoft Windows 2000 Advanced Server Red Hat Linux174。ServerGuide 幫助你的系統(tǒng)啟動并快速運(yùn)行。該技術(shù)特性使xSeries 255 服務(wù)器成為企業(yè)電子郵件消息和工作組協(xié)作解決方案以及數(shù)據(jù)挖掘、數(shù)據(jù)倉庫和其它需要大量計(jì)算處理的商業(yè)分析環(huán)境的理想選擇。包含有非常豐富的語言處理程序，實(shí)用程序和開發(fā)軟件用的工具性軟件。根據(jù)我們對計(jì)算機(jī)系統(tǒng)的應(yīng)用分析，在本方案中我們選擇IBM xSeries 255作為系統(tǒng)應(yīng)用服務(wù)器。因此，選擇主機(jī)設(shè)備時，應(yīng)充分考慮系統(tǒng)的可擴(kuò)展性，確保在業(yè)務(wù)量明顯增加后，系統(tǒng)不需要大量設(shè)備。在大型信息系統(tǒng)的建設(shè)中，服務(wù)器和操作系統(tǒng)的選擇應(yīng)綜合考慮多方面的因素，應(yīng)該堅(jiān)持的原則有：先進(jìn)性、開放性、高效性、高可靠性、可擴(kuò)展性另外應(yīng)考慮投資的經(jīng)濟(jì)性。Eflow DBrAS 在以太網(wǎng)社區(qū)應(yīng)用目前新興的駐地網(wǎng)運(yùn)營商主要為以太網(wǎng)方式接入，安騰Eflow DBrAS主要是針對以太網(wǎng)用戶的接入認(rèn)證、計(jì)費(fèi)。計(jì)費(fèi)策略靈活方便，eFlow用戶管理和計(jì)費(fèi)系統(tǒng)可根據(jù)運(yùn)營商提供的不同服務(wù)定制靈活的計(jì)費(fèi)策略，選擇合理的計(jì)費(fèi)方式，比如流量，時長和包月，還可由用戶的特殊服務(wù)設(shè)置其它附加的計(jì)費(fèi)策略，比如固定IP或者額外分配帶寬的附加費(fèi)用。沒有認(rèn)證過的用戶，只要輸入任何一個合法的URL請求（80/TCP端口），瀏覽器都會被自動導(dǎo)向到認(rèn)證頁面，提示用戶輸入用戶名和密碼；支持即插即用接入，用戶主機(jī)可不改變原有的IP配置直接連線即可上網(wǎng)，特別適合于酒店等應(yīng)用場所；用戶瀏覽器認(rèn)證請求的傳送采用PPP的CHAP算法對用戶口令進(jìn)行MD5加密，認(rèn)證過程不直接傳輸用戶密碼明文；有效防范惡意用戶的SYNFLOOD攻擊和大量模擬WEB請求猜測密碼的攻擊；用戶認(rèn)證通過后，瀏覽器被導(dǎo)向到運(yùn)營商指定 Portal頁面；用戶認(rèn)證通過后為用戶打開一個連接狀態(tài)頁面，記錄用戶上網(wǎng)的時長，同時也方便用戶主動斷線；基于WEB應(yīng)用層的KEEPALIVE機(jī)制使得DBrAS和用戶之間保持定時的連接狀態(tài)監(jiān)測，一方面有利于較準(zhǔn)確的時長計(jì)費(fèi)，同時也防止在沒有IP和MAC地址綁定的環(huán)境中或者普通跨三層應(yīng)用中的IP盜用，保障用戶和運(yùn)營商的利益；多服務(wù)支持，不同服務(wù)可包含不同的IP地址過濾規(guī)則集合，實(shí)現(xiàn)運(yùn)營商對不同用戶組別的不同訪問權(quán)限的控制；，配合運(yùn)營商二層隔離用戶，增強(qiáng)網(wǎng)絡(luò)安全；內(nèi)置網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的功能，包括動態(tài)NAT和靜態(tài)NAT。作為DHCP服務(wù)的一部分，eFlow DBrAS也可以作為DHCP中繼設(shè)備，向上層的DHCP服務(wù)器中繼DHCP的請求；支持用戶的即插即用，移動場所的用戶可以不改變自己的網(wǎng)絡(luò)配置，直接申請上網(wǎng)；運(yùn)營管理支持自動捕獲瀏覽器請求并導(dǎo)向認(rèn)證頁面，用戶不用安裝任何客戶端認(rèn)證軟件，也不需要用戶自己輸入認(rèn)證也面的URL進(jìn)行認(rèn)證。D_BrAS寬帶接入服務(wù)器（1024個并發(fā)）eflow D_BrAS Ⅲ1Radius AAA計(jì)費(fèi)系統(tǒng)（5000用戶版 ）Radius Server1eFlow DBrAS產(chǎn)品介紹eFlow DBrAS系列產(chǎn)品應(yīng)用了DHCP（Plug amp。高可用性諸如消息存儲器容量擴(kuò)充、用戶文件夾備份與恢復(fù)以及配置管理等服務(wù)器管理功能，可以在不關(guān)閉服務(wù)器的條件下，采用聯(lián)機(jī)方式予以實(shí)現(xiàn)?？缮炜s性Sendmail 為商務(wù)級信息傳遞提供需求的高度可伸縮性與可靠性。特性概述Sendmail 是由美國加州大學(xué)開發(fā)的一個基于UNIX的共享SMTP服務(wù)器軟件，它支持多種UNIX的CLONE平臺，如Solaris、Linux等，并且兼容很多其他類型的電子郵件系統(tǒng)，如UUCP等。這個優(yōu)點(diǎn)在小型辦公室（SOHO）內(nèi)非常實(shí)用，通過從ISP處申請的一 個IP地址，將多個連接通過PAT接入Internet。但使用NAT之后，意味著那些被 翻譯的地址對應(yīng)的內(nèi)部地址是變化的，今天可能對應(yīng)一臺工作站，明天就可能對 應(yīng)一臺服務(wù)器。在內(nèi)部網(wǎng)中不要使用RIP協(xié)議，因?yàn)槭褂肦IP后， 內(nèi)部網(wǎng)絡(luò)相對外部來說變得不可見了。而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。 NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。 但這受到IP地址的許多限制。高優(yōu)先級流立即得到處理，低優(yōu)先級流則插入隊(duì)列，按比例共享現(xiàn)存帶寬。提供公平的帶寬遞減策略，按比例減少帶寬的可用額度。在不改變現(xiàn)有應(yīng)用程序，不需要復(fù)雜化網(wǎng)絡(luò)信令的前提下，僅利用IP優(yōu)先權(quán)功能就可建立服務(wù)類。服務(wù)質(zhì)量（QOS）華為通用路由平臺軟件是一個提供網(wǎng)絡(luò)服務(wù)，使網(wǎng)絡(luò)應(yīng)用滿足連接性、安全性、可靠性、可擴(kuò)展性、可管理性的要求的平臺，并支持先進(jìn)的應(yīng)用程序，如IBM、多媒體、語音和QoS服務(wù)等。虛擬網(wǎng)其具有以下特征：虛擬網(wǎng)是一個有限范圍的廣播域，一個虛擬網(wǎng)的成員只能收到同一虛擬網(wǎng)的成員發(fā)出的廣播報(bào)文，其它虛擬網(wǎng)的廣播報(bào)文是收不到的。這些因素叫metric，常用的有：步長(Path Length)可靠性(Reliability)對延(Delay)帶寬(Bandwidth)負(fù)載(Load)通信開銷(Communication Cost)路由的決定是由綜合以上某些項(xiàng)參數(shù)進(jìn)行計(jì)算后作出的。路由協(xié)議路由協(xié)議用來完成在一個互聯(lián)網(wǎng)上進(jìn)行通信時的路由選擇。對于內(nèi)部網(wǎng)來說，子網(wǎng)掩碼的作用主要不是節(jié)省地址空間，而是為了保證IP地址分配的層次性和擴(kuò)展性，并有效地減少路由表，減輕路由器的負(fù)荷，同時有利于維護(hù)和管理網(wǎng)絡(luò)系統(tǒng)。 NetEngine 05設(shè)置NAT，可方實(shí)現(xiàn)內(nèi)部保留IP地址訪問外網(wǎng)。 S8016千兆核心多層交換機(jī)作為高檔主干網(wǎng)絡(luò)交換機(jī)設(shè)備?；谏鲜龇治?，該寬帶接入系統(tǒng)無論在設(shè)計(jì)和實(shí)施過程中都應(yīng)體現(xiàn)Intranet的實(shí)現(xiàn)思想，采用Intranet技術(shù)，將該網(wǎng)絡(luò)系統(tǒng)建設(shè)成一個安全、廉價、方便的寬帶接入網(wǎng)絡(luò)。在應(yīng)用軟件系統(tǒng)中也應(yīng)提供充分的資格審查與權(quán)限控制。*支持多種傳輸介質(zhì)本網(wǎng)絡(luò)系統(tǒng)是一個多傳輸介質(zhì)的網(wǎng)絡(luò)，應(yīng)能夠適應(yīng)非屏蔽雙絞線(UTP)、單多模光纖等多種傳輸介質(zhì)，通過這些介質(zhì)形成一個統(tǒng)一完善的接入網(wǎng)絡(luò)。系統(tǒng)的擴(kuò)展性網(wǎng)絡(luò)的擴(kuò)展能力包括兩方面內(nèi)容，即網(wǎng)絡(luò)處理能力的擴(kuò)展和網(wǎng)絡(luò)技術(shù)向更新的技術(shù)的升級。另外，上述網(wǎng)絡(luò)設(shè)備及其互連和互操作的信息可能是經(jīng)常變化的，這就需要有一個全網(wǎng)的設(shè)備配置管理系統(tǒng)，統(tǒng)一科學(xué)地管理上述信息，以便利用這些信息使網(wǎng)絡(luò)更有效地工作。網(wǎng)絡(luò)管理員可隨時監(jiān)測系統(tǒng)中的所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況，并應(yīng)能在不改變系統(tǒng)運(yùn)行的情況下對網(wǎng)絡(luò)進(jìn)行修改，不管網(wǎng)絡(luò)設(shè)備的物理位置在何處，網(wǎng)絡(luò)都應(yīng)該是可以控制的。為了確保系統(tǒng)運(yùn)行的可靠性，系統(tǒng)應(yīng)具有強(qiáng)大的容錯能力，主要表現(xiàn)在以下幾個方面：*采用高可靠性的服務(wù)器。*采用高可靠性的網(wǎng)絡(luò)設(shè)備。在大型計(jì)算機(jī)系統(tǒng)中，發(fā)現(xiàn)失效故障時，往往不能具體確定故障所在的具體位置。提高網(wǎng)絡(luò)性能的一般方法是，先設(shè)計(jì)并建設(shè)網(wǎng)絡(luò)，在網(wǎng)絡(luò)的運(yùn)行過程中，對網(wǎng)絡(luò)性能進(jìn)行靜態(tài)和動態(tài)統(tǒng)計(jì)分析，根據(jù)分析結(jié)果，對網(wǎng)絡(luò)配置和參數(shù)進(jìn)行調(diào)整，逐步達(dá)到最佳。另外由于所選所有路由器產(chǎn)品應(yīng)都能夠支持從低到高多種通迅協(xié)議，用戶可以不增加任何投資通過選擇通迅協(xié)議和通信速率來提高網(wǎng)絡(luò)傳輸速度，降低系統(tǒng)運(yùn)行費(fèi)用。系統(tǒng)的靈活性考慮到系統(tǒng)將來可能需要提供的更多增值服務(wù)，系統(tǒng)的靈活性主要表現(xiàn)在能支持應(yīng)用的靈活性已經(jīng)硬件升級擴(kuò)容等方面，交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù), 隔離不同用戶數(shù)據(jù)，根本上保證不用用戶數(shù)據(jù)的安全性以及數(shù)據(jù)傳輸?shù)男阅?。Internet實(shí)質(zhì)上是Internet在企業(yè)內(nèi)部的實(shí)現(xiàn)，是Internet的Web技術(shù)、放火墻技術(shù)及基于WWW和數(shù)據(jù)庫的內(nèi)部信息管理技術(shù)等的完美結(jié)合。核心層、分布層考慮的用戶投資以及工程本身特點(diǎn)，核心層與分布層合為一層。配置16路百兆以太網(wǎng)電接口線路板以連接網(wǎng)絡(luò)中心網(wǎng)管主機(jī)等設(shè)備。每個端口間互相通過vlan隔離，它可以保證用戶之間不可互相訪問,提高安全性。但隨著工作站點(diǎn)越來越多，整個系統(tǒng)處于這種平面結(jié)構(gòu)，將導(dǎo)致系統(tǒng)性能和管理上的很多問題。而動態(tài)路由則根據(jù)