【文章內(nèi)容簡(jiǎn)介】 利用策略為應(yīng)用流分配帶寬、優(yōu)先級(jí)以及控制網(wǎng)絡(luò)訪(fǎng)問(wèn)，其重點(diǎn)是滿(mǎn)足服務(wù)水平協(xié)議所需的帶寬管理策略及向交換機(jī)發(fā)布策略的方式。由于一次配置一臺(tái)交換機(jī)需要耗費(fèi)大量人力，并有可能會(huì)出現(xiàn)輸入錯(cuò)誤，因此策略必須發(fā)布到交換機(jī)組。在需要新策略時(shí)，大量的交換機(jī)應(yīng)能夠被迅速修改，因此，需檢查可堆疊交換機(jī)是否支持目錄使能網(wǎng)絡(luò)和輕目錄訪(fǎng)問(wèn)協(xié)議，以及通用開(kāi)放策略服務(wù)（一種有望實(shí)施的特性更豐富的協(xié)議）。 用戶(hù)可以使用VLAN跨多臺(tái)交換機(jī)或堆疊設(shè)備來(lái)管理傳輸流。，許多產(chǎn)品還支持基于交換機(jī)端口、媒體訪(fǎng)問(wèn)控制地址、第3層協(xié)議或策略的其它VLAN 。華為新型可堆疊交換機(jī)是性能優(yōu)越、擴(kuò)展性良好的網(wǎng)絡(luò)設(shè)備。在交換機(jī)選型上首推華為。自從與3COM合作以來(lái)，華為技術(shù)日臻完善，全球市場(chǎng)業(yè)績(jī)?cè)龇北艭ISCO，成為一款性能卓越、安全可靠的民族品牌，也是性?xún)r(jià)比最好的交換機(jī)產(chǎn)品。 UPS除了服務(wù)器和交換機(jī)，還需配備一定數(shù)量的UPS，特別是農(nóng)網(wǎng)地區(qū)（電壓不穩(wěn)，斷電等）。中心機(jī)房一定要配備UPS，如果按照2臺(tái)服務(wù)器配置，每臺(tái)耗電800W，1臺(tái)中心交換機(jī)，耗電2000W，2臺(tái)工作站，各耗電300W。所需負(fù)載計(jì)算如下：800X2+2000+300X2=4200W，UPS的容量按照VA計(jì)算：=5880VA，建議使用5KVA的APC不間斷電源。APC SmartUPS，提供網(wǎng)絡(luò)級(jí)的高可靠電源，特別適于保護(hù)網(wǎng)絡(luò)設(shè)備，例如，對(duì)可用性要求極高的服務(wù)器（無(wú)論是Intel 架構(gòu)還是UNIX架構(gòu)）、網(wǎng)絡(luò)交換機(jī)、集線(xiàn)器等。 SmartUPS，不僅有傳統(tǒng)的塔式機(jī)型，其機(jī)架式機(jī)型，也是業(yè)界推出最早、功率型號(hào)最全的。機(jī)架式的服務(wù)器、存儲(chǔ)產(chǎn)品、網(wǎng)絡(luò)設(shè)備等安裝于機(jī)柜內(nèi)的設(shè)備，機(jī)架式SmartUPS是最佳配套電源。 SmartUPS隨機(jī)贈(zèng)送PowerChute174。電池管理軟件，應(yīng)用它，網(wǎng)絡(luò)管理員能夠遠(yuǎn)程或自動(dòng)地安全關(guān)閉系統(tǒng)。UPS與網(wǎng)絡(luò)設(shè)備的通訊，即可通過(guò)串口、也可通過(guò)UPS接口實(shí)現(xiàn)。 SmartUPS同時(shí)提供SmartSlot智能附件卡插槽，用戶(hù)可以根據(jù)需要自由擴(kuò)充附件卡，實(shí)現(xiàn)管理功能的定制化。純正弦波輸出保證兼容所有負(fù)載，智能電池管理更確保了UPS的高可用性，先進(jìn)的圖形顯示信息方便了系統(tǒng)管理員對(duì)UPS的管理。APC的UPS成為網(wǎng)絡(luò)用戶(hù)非常合適的保護(hù)神。不包含連接線(xiàn)等附屬設(shè)施，服務(wù)器、交換機(jī)、UPS所需費(fèi)用在12—20萬(wàn)元之間，具體數(shù)額根據(jù)數(shù)量、性能、品牌不同而變化；如果加上臺(tái)式機(jī)，還需增加25萬(wàn)元左右。五 網(wǎng)絡(luò)安全性設(shè)計(jì)隨著網(wǎng)絡(luò)應(yīng)用的日益廣泛，各種大型企業(yè)或單位也將通過(guò)網(wǎng)絡(luò)與用戶(hù)及其他相關(guān)行業(yè)系統(tǒng)之間進(jìn)行交流，提供各種網(wǎng)上的信息服務(wù)，但這些網(wǎng)絡(luò)用戶(hù)中，不乏競(jìng)爭(zhēng)對(duì)手和惡意破壞者，這些人可能會(huì)不斷地尋找系統(tǒng)內(nèi)部網(wǎng)絡(luò)上的漏洞，企圖潛入內(nèi)部網(wǎng)絡(luò)。一旦網(wǎng)絡(luò)被人攻破，機(jī)密的數(shù)據(jù)、資料可能會(huì)被盜取、網(wǎng)絡(luò)可能會(huì)被破壞，給系統(tǒng)帶來(lái)難以預(yù)測(cè)的損失。因此，防火墻便成為網(wǎng)絡(luò)安全必不可少的產(chǎn)品，防火墻在系統(tǒng)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)用戶(hù)之間建起了一道安全的屏障，從而有效地抵御外來(lái)攻擊，防止不法分子的入侵。 計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。以該思想為出發(fā)點(diǎn)，提出網(wǎng)絡(luò)信息安全解決方案。 網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則 l 滿(mǎn)足Internet分級(jí)管理需求 l 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 l 綜合性、整體性原則 l 可用性原則 l 分步實(shí)施原則 目前，對(duì)于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)的安全保密問(wèn)題，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：l 大幅度地提高系統(tǒng)的安全性和保密性；l 保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；l 易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；l 盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；l 安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；l 安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。基于上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則： 滿(mǎn)足因特網(wǎng)的分級(jí)管理需求 根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶(hù)眾多的特點(diǎn)，對(duì)Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶(hù)的訪(fǎng)問(wèn)控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。 第二級(jí)：部門(mén)級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶(hù)的訪(fǎng)問(wèn)控制；同級(jí)部門(mén)間的訪(fǎng)問(wèn)控制；部門(mén)網(wǎng)內(nèi)部的安全審計(jì)。第三級(jí)：終端/個(gè)人用戶(hù)級(jí)，實(shí)現(xiàn)部門(mén)網(wǎng)內(nèi)部主機(jī)的訪(fǎng)問(wèn)控制；數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)。 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則 對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 綜合性、整體性原則 應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專(zhuān)業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 可用性原則 安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性，如密鑰管理就有類(lèi)似的問(wèn)題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實(shí)施原則：分級(jí)管理 分步實(shí)施 由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿(mǎn)足