【文章內(nèi)容簡(jiǎn)介】 連接方式規(guī)劃 ，電信已經(jīng)在全國(guó)范圍大部分的主要的城市開通了幀中繼業(yè)務(wù)， 蘭州宏宇 公司分公司所在地已經(jīng)全部開通了幀中繼業(yè)務(wù)。 2. 蘭州宏宇 到目前為止在總部、分公司和顧客服務(wù)中心都已建立了局域網(wǎng)，因此總部、分公司只需分別通過(guò)中國(guó)電信提 供的專線直接接入中國(guó)電信的幀中繼網(wǎng)絡(luò)?？蛻舴?wù)中心則根據(jù)就近原則，通過(guò) ISDN撥號(hào)連接到距離最近的分公司，通過(guò)分公司和總公司連接。 圖 22 網(wǎng)絡(luò)規(guī)劃 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 10 頁(yè) 如上圖所示 蘭州宏宇 分公司各自通過(guò)一條專線接入中國(guó)電信的幀中繼 主干網(wǎng)，達(dá)到最低的保證速率 256K、最高的端口速率 512K?？紤]到幀中繼相對(duì)昂貴的月租費(fèi)用，而顧客服務(wù)中心和倉(cāng)庫(kù)的應(yīng)用比較單一，因此各顧客服務(wù)中心／倉(cāng)庫(kù)分別通過(guò) ISDN 撥號(hào)接入分公司網(wǎng)絡(luò)，再通過(guò)分公司網(wǎng)絡(luò)與總部相連。 蘭州宏宇 總部通過(guò)一條 6M 專線接入中國(guó)電信幀中繼網(wǎng)絡(luò)，該條專線將采用光纖接入的 方式，然后分成三根 E1 線路接入。 分公司利用已有的 ISDN／電話撥號(hào)線路遠(yuǎn)程連接到總部，通過(guò)該線路實(shí)現(xiàn)對(duì)主干線路的備份。一旦主干線路損壞，立即撥號(hào)到總公司遠(yuǎn)程撥號(hào)接入網(wǎng)（ ISDN 接入 ISDN 路由器，電話撥號(hào)接入 Modem Pool），保證網(wǎng)絡(luò)的連通。 VPN 系統(tǒng)規(guī)劃建議 根據(jù)網(wǎng)通公司的確認(rèn)，目前這家公司已經(jīng)在全國(guó)范圍大部分的主要的城市開通了 VPN業(yè)務(wù)， 蘭州宏宇 公司分公司所在地已經(jīng)全部開通了 VPN業(yè)務(wù)。 VPN 方案的網(wǎng)絡(luò)連接圖與幀中繼方案基本一致： 蘭州宏宇 分公司分別通過(guò)一條 256K 專線接入 VPN 網(wǎng)絡(luò)，各客服中心／倉(cāng)庫(kù)分別通過(guò) ISDN撥號(hào)接入分公司網(wǎng)絡(luò)，再通過(guò)分公司網(wǎng)絡(luò)和總部相連。而 蘭州宏宇 總部通過(guò)一條 6M 專線接入 VPN 網(wǎng)絡(luò)，該條專線將采用光纖接入。 由于采用星型的連接方式構(gòu)建 蘭州宏宇 廣域網(wǎng)，以后無(wú)論是增加新的分公司或是將法人企業(yè)連接進(jìn)入整個(gè)網(wǎng)絡(luò)，都會(huì)比較容易：只需要增加一條幀中繼或 VPN 線路進(jìn)入主干系統(tǒng)就可以，不會(huì)對(duì)網(wǎng)絡(luò)拓?fù)溆杏绊?。同時(shí)，任何一個(gè)分公司與公司總部的連接線路受損，都不會(huì)影響到其他分公司與公司總部的連接。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 11 頁(yè) 上述兩種線路接入方式采用的線路設(shè)備（ DTU）具有可升級(jí)性，在以后升級(jí)網(wǎng)絡(luò)帶寬時(shí)無(wú) 須更換設(shè)備，以保護(hù)投資。 兩種線路接入方式的備份線路都采用 ISDN／電話線路遠(yuǎn)程撥號(hào)的方式，主要有以下考慮： 由于該種方式利用已有的線路，十分經(jīng)濟(jì)。由于在大多數(shù)的情況下主干網(wǎng)絡(luò)不會(huì)中斷，除非一些特殊情況如電信部門的主干光纖被挖斷。因此該線路平時(shí)不用連通，可以派做他用，不會(huì)造成線路浪費(fèi)。一旦出現(xiàn)意外情況主干損壞，再撥號(hào)到總部，運(yùn)行成本很低。 由于分公司和總公司之間的應(yīng)用系統(tǒng)的實(shí)時(shí)性要求不是很高，因此從應(yīng)用的角度也可以接受以上的備份方式。 拓?fù)浣Y(jié)構(gòu) 目前，隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)作為一種處理信息的工具、網(wǎng)絡(luò)作為當(dāng)今社會(huì)人們獲取信息、知識(shí)的重要途徑和手段，它們已在各行各業(yè)發(fā)揮著越來(lái)越重要的作用。 局域網(wǎng)上具有獨(dú)立工作能力的計(jì)算機(jī)系統(tǒng)被稱之為節(jié)點(diǎn)，這些節(jié)點(diǎn)之間相互連接的方法在網(wǎng)絡(luò)術(shù)語(yǔ)中被稱之為網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是拋開網(wǎng)絡(luò)電纜的物理連接來(lái)討論網(wǎng)絡(luò)系統(tǒng)的連接形式，它能表示出網(wǎng)絡(luò)服務(wù)器、工作站的網(wǎng)絡(luò)配置和互相之間的連接。 在 蘭州宏宇電腦 企業(yè)的網(wǎng)絡(luò) 拓?fù)浣Y(jié)構(gòu) 中選用的是 星型結(jié)構(gòu) ：如下是星型 拓?fù)浣Y(jié)構(gòu) 圖： 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 12 頁(yè) 圖 23 星型拓?fù)浣Y(jié)構(gòu)示意圖 星型結(jié)構(gòu)是以中央節(jié)點(diǎn)為中心與各節(jié)點(diǎn)連接而組成的 (如 23 所示 )，各節(jié)點(diǎn)與中央節(jié)點(diǎn)通過(guò)點(diǎn)與點(diǎn)方式連接，任何兩個(gè)站點(diǎn)要進(jìn)行通信都必須經(jīng)過(guò)中央節(jié)點(diǎn)控制。為便于集中連線，目前多采用集線器 Hub 作為星型結(jié)構(gòu)的中央節(jié)點(diǎn)， Hub 通常有 1 1 24 個(gè)端口，每個(gè)端口相對(duì)獨(dú)立，因此當(dāng)網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)有故障時(shí)，不會(huì)影響整個(gè)局域網(wǎng)的運(yùn)行。星型結(jié)構(gòu)的優(yōu)點(diǎn)是：網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，組網(wǎng)容易，便于管理，故障診斷容易，可同時(shí)連雙絞線、同軸電纜及光纖等多種媒質(zhì)。缺點(diǎn)是：共享能力較差，由于通信線路總長(zhǎng)度大，因而組網(wǎng)成本較高。 拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的基本特點(diǎn) 1 節(jié)點(diǎn)擴(kuò)展、移動(dòng)方便：節(jié)點(diǎn)擴(kuò)展時(shí)只需要從集線器或交換機(jī)等集中設(shè)備中拉一條線即可，而要移動(dòng)一個(gè)節(jié)點(diǎn)只需要把相應(yīng)節(jié)點(diǎn)設(shè)備移到新節(jié)點(diǎn)即可，而不會(huì)像環(huán)型網(wǎng)絡(luò)那樣 牽其一而動(dòng)全局 ； 維護(hù)容易；一個(gè)節(jié)點(diǎn)出現(xiàn)故障不會(huì)影響其它節(jié)點(diǎn)的連接，可任意拆走故障節(jié)點(diǎn)； 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 13 頁(yè) 2 網(wǎng)絡(luò)傳輸數(shù)據(jù)快：這一點(diǎn)可以從目前最新的 1000Mbps 到 10G 以太網(wǎng)接入速度可以看出。 3 這種結(jié)構(gòu)是目前在局域網(wǎng)中應(yīng)用得最為普遍的一種，在 很多 企業(yè)網(wǎng)絡(luò)中幾乎都是采用這一方式。星型網(wǎng)絡(luò)幾乎是 Ether（以太網(wǎng)）網(wǎng)絡(luò)專用，它是因網(wǎng)絡(luò)中的各工作站節(jié)點(diǎn)設(shè)備通過(guò)一個(gè) 網(wǎng)絡(luò)集中設(shè)備（如集線器或者交換機(jī)）連接在一起，各節(jié)點(diǎn)呈星狀分布。 4 各站點(diǎn)通過(guò)點(diǎn)到點(diǎn)的鏈路與中心站相連。特點(diǎn)是很容易在網(wǎng)絡(luò)中增加新的站點(diǎn)，數(shù)據(jù)的安全性和優(yōu)先級(jí)容易控制，易實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控，但中心節(jié)點(diǎn)的故障會(huì)引起整個(gè)網(wǎng)絡(luò)癱瘓。 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 14 頁(yè) 第三 章 防火墻在企業(yè)網(wǎng)絡(luò)中具體功能與實(shí)現(xiàn) 隨著政府、企業(yè)、個(gè)人主機(jī)的網(wǎng)絡(luò)安全需求的與日俱增，防火墻技術(shù)應(yīng)運(yùn)而生。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道屏障 ,但是其無(wú)法對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，也沒(méi)有對(duì)黑客行為進(jìn)行入侵檢測(cè)和阻斷的功能。企業(yè)迫切需要一套 真正能夠解決網(wǎng)絡(luò)內(nèi)部和外部，防火墻和防黑客的安全解決方案， 為客戶提供可靠的網(wǎng)絡(luò)安全服務(wù) . 具體功能 事實(shí)上，由 于防火墻一般架設(shè)在提供某些服務(wù)的服務(wù)器前。 用戶對(duì)服務(wù)器的訪問(wèn)的請(qǐng)求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過(guò)防火墻的轉(zhuǎn)發(fā) ,因此，很多防火墻具備網(wǎng)關(guān)的能力。 如果用戶發(fā)送的信息是防火墻設(shè)置所不允許的，防火墻會(huì)立即將其阻斷避免其進(jìn)入防火墻之后的服務(wù)器中。 如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來(lái)的，但是由于出于效率上的考慮，目前一般 記錄攻擊的事情都交給 IDS 來(lái)完成了。 4． 可以定義規(guī)則計(jì)劃，使得系統(tǒng)在某一時(shí)可以自動(dòng)啟用和關(guān)閉策略； 5． 具有詳細(xì)的日志功能，提供防火墻符合規(guī)則報(bào)文的信息、系統(tǒng)管理信息、系統(tǒng)故障信息的記錄，并支持日志服務(wù)器和日志導(dǎo)出； 防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 15 頁(yè) 6． 具有 IPSec VPN 功能，可以實(shí)現(xiàn)跨互聯(lián)網(wǎng)安全的遠(yuǎn)程訪問(wèn)； 7． 具有郵件通知功能，可以將系統(tǒng)的告警通過(guò)發(fā)送郵件通知網(wǎng)絡(luò)管理員； 7． 具有攻擊防護(hù)功能對(duì)不規(guī)則的 IP、 TCP 報(bào)或超過(guò)經(jīng)驗(yàn)閥值的 TCP半連接、 UDP 報(bào)文以及 ICMP 報(bào)文采取丟棄； 防火墻 功能 的實(shí)現(xiàn) 根據(jù) 蘭州宏宇企業(yè)狀況， 為提高 企業(yè)網(wǎng)絡(luò)信息安全性，在網(wǎng)絡(luò)結(jié)構(gòu)中使用方正防火墻 。 方正防火墻 3000 系列防火墻 采用專用硬件、具有先進(jìn)的檢測(cè)技術(shù)和國(guó)內(nèi)自主知識(shí)版權(quán)的安全操作系統(tǒng)。 獨(dú)有的智能 IP 識(shí)別技術(shù)是一種基于狀態(tài)檢測(cè)的高效網(wǎng)絡(luò)檢測(cè)技術(shù)。在新一代方正防火墻產(chǎn)品中，對(duì)原有的智能 IP 識(shí)別技術(shù)進(jìn)行了大幅度的提升和擴(kuò)充，除了能夠提高網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)效率外，還能在防火墻內(nèi)核中針對(duì)應(yīng)用進(jìn)行多元化的訪問(wèn)控制，大大擴(kuò)展了防火墻的控制能力，使得防火墻和應(yīng)用能夠更緊密的結(jié)合。配合原有的特有快速搜索算法技術(shù)，方正防火墻在保證針對(duì)應(yīng)用的細(xì)致分 析和防護(hù)的同時(shí)，對(duì)產(chǎn)品的性能有大幅的提高，解決了目前內(nèi)容分析型防火墻普遍存在的效率瓶頸問(wèn)題。 多種控制對(duì)象 用戶在使用防火墻時(shí)最主要的功能就是通過(guò)防火墻進(jìn)行訪問(wèn)控制，隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，原有針對(duì) IP 包的控制已經(jīng)不能滿足用戶的需求，用戶希望有一種防火墻可以密切和應(yīng)用相結(jié)合，針對(duì)具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行訪問(wèn)控制。 方正防火墻的主要功能是對(duì)指定對(duì)象進(jìn)行訪問(wèn)控制，并且按照設(shè)定策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行入侵或流量等活動(dòng)的統(tǒng)計(jì)，并記入日志中，供用戶察看。方正防火墻可控對(duì)象除了傳統(tǒng)的 IP 包的相關(guān)信息（源地址、防火墻技術(shù)在蘭州宏宇電腦企業(yè)中的應(yīng)用 第 16 頁(yè) 目的地址、協(xié)議、 源端口、目的端口、報(bào)文代碼、碎片和 SYN/ACK 等標(biāo)識(shí)位）外，還引入了智能 IP 識(shí)別技術(shù)，增加時(shí)間、用戶、應(yīng)用及其操作等控制對(duì)象，擴(kuò)展了防火墻的防護(hù)功能，使得防火墻和應(yīng)用的結(jié)合更為緊密。 應(yīng) 用 層物 理 層鏈 路 層網(wǎng) 絡(luò) 層傳 輸 層會(huì) 話 層表 示 層智能 IP 識(shí)別新建已建相關(guān)非法會(huì)話組裝HT T PF T PS M T PP