【文章內(nèi)容簡(jiǎn)介】 營(yíng)商的實(shí)際情況，選擇適合的安全產(chǎn)品和解決方案。做為寬帶網(wǎng)絡(luò)安全的核心設(shè)備，防火墻應(yīng)該具有更高的網(wǎng)絡(luò)性能、更高的可擴(kuò)展性和高可用性，才能滿足運(yùn)營(yíng)商寬帶網(wǎng)絡(luò)的需要。采用全狀態(tài)包過(guò)濾檢測(cè)技術(shù)是運(yùn)營(yíng)商網(wǎng)絡(luò)防火墻的基本要求，除此之外，我們從網(wǎng)絡(luò)特性、防御功能、認(rèn)證支持、管理功能、審計(jì)日志及高可用性等幾個(gè)方面，說(shuō)明運(yùn)營(yíng)商寬帶網(wǎng)絡(luò)對(duì)防火墻的要求。在網(wǎng)絡(luò)特性方面，運(yùn)營(yíng)商寬帶網(wǎng)絡(luò)中使用的防火墻，應(yīng)支持1000BaseTX/LX/SX網(wǎng)絡(luò)接口，支持10/100M自適應(yīng)以太網(wǎng)絡(luò)接口，支持100M光纖接口；路由協(xié)議支持RIPv1/v2，支持OSPF/BGP/EIGRP等動(dòng)態(tài)路由協(xié)議；支持IPX/NetBEUI/AppleTalk等非IP協(xié)議；支持DNS/DHCP協(xié)議；支持各種VLAN協(xié)議，、ISL等。由于寬帶運(yùn)營(yíng)商網(wǎng)絡(luò)網(wǎng)絡(luò)安全性的高需求，防火墻還應(yīng)具有主動(dòng)、智能的抗攻擊能力，例如，能夠主動(dòng)防御DoS、DDoS、后門等攻擊類型，能夠阻止ActiveX/Java/cookies/Javascript的侵入，能夠?qū)崿F(xiàn)與防病毒產(chǎn)品、內(nèi)容過(guò)濾產(chǎn)品、入侵檢測(cè)（IDS）產(chǎn)品的聯(lián)動(dòng)，構(gòu)成一個(gè)動(dòng)態(tài)自適應(yīng)的網(wǎng)絡(luò)安全集成方案。做為網(wǎng)絡(luò)核心設(shè)備的防火墻還應(yīng)該支持各種類型的用戶認(rèn)證，在認(rèn)證方式上建議支持RADIUS、CHAP、MSCHAP、數(shù)字證書、NT域、本地用戶名/口令方式，支持的認(rèn)證算法包括MDSHA、DES、3DES。網(wǎng)絡(luò)安全重在管理，因此做為運(yùn)營(yíng)商網(wǎng)絡(luò)采用的100M或1000M防火墻必須支持防火墻的集中管理，通過(guò)一個(gè)安全管理平臺(tái)對(duì)全網(wǎng)的防火墻進(jìn)行集中、統(tǒng)一的管理，實(shí)現(xiàn)安全策略、配置、升級(jí)程序的統(tǒng)一分發(fā)和更新。管理方式上還應(yīng)該支持CLI/Console的本地管理，支持Web/SSL/Telnet/SSH等遠(yuǎn)程管理方式。審計(jì)日志及日志報(bào)表的生成，使得網(wǎng)絡(luò)一旦遭到攻擊或發(fā)生安全事件，防火墻能夠及時(shí)響應(yīng)并采取相應(yīng)的措施，同時(shí)生成日志以便于事后有據(jù)可查。能夠通過(guò)syslog/SNMP trap等協(xié)議將日志傳遞到指定的日志服務(wù)器；在受到攻擊時(shí)，可以通過(guò)Email、syslog、SNMP或本地控制臺(tái)實(shí)時(shí)發(fā)出告警信息；可以提供審計(jì)報(bào)表和實(shí)時(shí)統(tǒng)計(jì)數(shù)據(jù)；日志數(shù)據(jù)可以備份；日志信息可以分級(jí)等等。作為服務(wù)提供商網(wǎng)絡(luò)的高可用性顯得極為重要，因此選用的防火墻應(yīng)該具有失敗恢復(fù)特性（failover）功能，除了支持雙機(jī)熱備（ActiveStandby），防火墻還應(yīng)該支持ActiveActive HA的負(fù)載均衡。下圖給出了運(yùn)營(yíng)商網(wǎng)絡(luò)的防火墻部署，防火墻集中管理平臺(tái)，實(shí)現(xiàn)了對(duì)全網(wǎng)防火墻的統(tǒng)一管理，集中監(jiān)管防火墻的運(yùn)行狀態(tài)，將一些全局安全策略通過(guò)管理平臺(tái)分發(fā)到每一臺(tái)防火墻。根據(jù)網(wǎng)絡(luò)環(huán)境、吞吐量的不同，我們?cè)谶\(yùn)營(yíng)商核心網(wǎng)絡(luò)采用了支持ActiveActive HA的千兆防火墻，在一些流量較大的企業(yè)網(wǎng)絡(luò)中心或?qū)拵^(qū)采用了百兆高端防火墻。第三章 寬帶城域網(wǎng)接入技術(shù)為了盡快地?cái)U(kuò)大網(wǎng)絡(luò)覆蓋面，方便用戶的接入，每個(gè)運(yùn)營(yíng)商都根據(jù)自己的特點(diǎn)提出了自己的解決方案。如電信和聯(lián)通提出了利用FTTx+xDSL、FTTx+LAN、無(wú)線接入等方式。廣電提出了利用 FTTx＋HFC、FTTx+LAN 等方式，其它新運(yùn)營(yíng)商提出了FTTx+LAN、無(wú)線接入等方式。其中FTTx＋LAN方式為每個(gè)電信運(yùn)營(yíng)商所看好的原因，一方面，以太網(wǎng)技術(shù)是非常成熟的技術(shù)，應(yīng)用非常普及和方便，價(jià)格也比較便宜；另一方面，伴隨著高速網(wǎng)絡(luò)建設(shè)浪潮，對(duì)信息化小區(qū)、商住大樓、學(xué)校以及大型企業(yè)單位、政府機(jī)構(gòu)等高速網(wǎng)絡(luò)的建設(shè)和接入需求會(huì)急速增加，而這些用戶相對(duì)集中且接入端口很密集，可以通過(guò)LAN交換機(jī)為用戶提供高密度的網(wǎng)絡(luò)連接方案。從而能以最少的投資、最低的資費(fèi)為用戶提供10 Mbit/s、100Mbit/s甚至1000Mbit/s的寬帶接入，讓用戶享受到真正的寬帶網(wǎng)絡(luò)服務(wù)。在以太網(wǎng)接入的發(fā)展上，目前的主要問(wèn)題包括市場(chǎng)、維護(hù)兩方面。在市場(chǎng)方面，由于寬帶業(yè)務(wù)仍處于發(fā)展初期，用戶上網(wǎng)率比較低。而以太網(wǎng)接入應(yīng)用于居民小區(qū)或商業(yè)大樓時(shí)，不論有多少用戶，都必須對(duì)整座樓進(jìn)行綜合布線，并安裝具有一定數(shù)量端口的設(shè)備。因此，盡管以太網(wǎng)設(shè)備(包括交換機(jī)和用戶網(wǎng)卡)平均每端口的成本較低，但如果將較低的上網(wǎng)率(目前一般低于10%)這一因素考慮在內(nèi)，上述成本可能遠(yuǎn)高于ADSL的成本。這是目前影響以太網(wǎng)接入發(fā)展的主要原因。在維護(hù)方面，由于以太網(wǎng)傳輸距離的限制，實(shí)際建設(shè)時(shí)一般需將二層交換機(jī)安裝在居民樓內(nèi)，而在電信機(jī)房之外放置大量有源設(shè)備，需要考慮和解決很多問(wèn)題(如供電、散熱、防塵、防盜等)，必然會(huì)帶來(lái)較大的維護(hù)成本。xDSL是以銅質(zhì)雙絞線為傳輸介質(zhì)的傳輸技術(shù)組合，它包括HDSL、VDSL 、ADSL和RADSL等。它們主要的區(qū)別就是體現(xiàn)在信號(hào)傳輸速度和距離的不同以及上行速率和下行速率對(duì)稱性的不同這兩個(gè)方面。目前ADSL的標(biāo)準(zhǔn)和設(shè)備已比較成熟，設(shè)備價(jià)格也在不斷下降，在寬帶業(yè)務(wù)發(fā)展初期，該接入技術(shù)風(fēng)險(xiǎn)和經(jīng)濟(jì)風(fēng)險(xiǎn)都比較小。 ADSL技術(shù)的主要問(wèn)題是傳輸速率受線路質(zhì)量、長(zhǎng)度的影響，特別是線間串?dāng)_影響出線率，難以在用戶比較密集的情況下使用。 LAN接入以太網(wǎng)經(jīng)過(guò)近30年的發(fā)展，速度已經(jīng)發(fā)展到萬(wàn)兆甚至更高，其應(yīng)用領(lǐng)域也正以前所未有的速度從局域網(wǎng)延伸到接入網(wǎng)、城域網(wǎng)、廣域網(wǎng)，隱約中我們可以看到以太網(wǎng)一統(tǒng)未來(lái)網(wǎng)絡(luò)江山的局面。以太網(wǎng)首先作為一種局域網(wǎng)技術(shù)，已經(jīng)占領(lǐng)了全球絕大多數(shù)企事業(yè)用戶的市場(chǎng)，其應(yīng)用有著廣泛的用戶基礎(chǔ)和長(zhǎng)期的經(jīng)驗(yàn)知識(shí)，目前所有流行的操作系統(tǒng)和應(yīng)用也都與以太網(wǎng)兼容。因此，以太網(wǎng)既提供了優(yōu)良的性能，使用也簡(jiǎn)單，而且價(jià)格低廉，隨著將來(lái)網(wǎng)絡(luò)的大規(guī)模普及，采用以太網(wǎng)接入無(wú)疑是上上之選。作為不同于局域網(wǎng)的一種環(huán)境，接入網(wǎng)有著不同的要求，這也對(duì)傳統(tǒng)以太網(wǎng)提出了新的要求?；谟脩糁g的相互不信任，接入網(wǎng)要求用戶之間相互隔離，而不是局域網(wǎng)中的共享機(jī)制。不同的用戶對(duì)網(wǎng)絡(luò)有不同的需求，所占用的網(wǎng)絡(luò)資源和希望的花費(fèi)也分為很多檔次，要求接入設(shè)備必須提供一定的服務(wù)分級(jí)，使用戶可以按需付費(fèi)，例如可以提供不同的接入速度，而不是局域網(wǎng)中一成不變的端口速度。為了對(duì)用戶進(jìn)行控制，要求有一定的驗(yàn)證機(jī)制，防止非法用戶進(jìn)入網(wǎng)絡(luò)，也不能向傳統(tǒng)以太網(wǎng)那樣接根網(wǎng)線就可以使用。針對(duì)將來(lái)要開展的各種寬帶應(yīng)用，需要提供完善的QoS服務(wù)，而不能僅提供連接服務(wù)。作為一種大規(guī)模的應(yīng)用，接入設(shè)備必須可提供集中管理，否則其維護(hù)費(fèi)用將無(wú)法預(yù)估。目前，端口隔離，限速，QoS等技術(shù)的普遍應(yīng)用已經(jīng)使以太網(wǎng)接入更加適合接入網(wǎng)要求。為了吸引用戶，實(shí)現(xiàn)營(yíng)收，寬帶網(wǎng)絡(luò)必須能夠提供各種服務(wù)，VoIP，視頻電話，視頻會(huì)議，遠(yuǎn)程教學(xué)等實(shí)時(shí)多媒體應(yīng)用是將來(lái)網(wǎng)絡(luò)發(fā)展的重點(diǎn)，這些應(yīng)用對(duì)網(wǎng)絡(luò)的服務(wù)質(zhì)量（QoS）提出了更高的要求。接入設(shè)備只有良好的QoS功能才可能為用戶提供滿意的服務(wù)。DCS3726B支持豐富的QOS功能，通過(guò)QOS以區(qū)分不同用戶的數(shù)據(jù)傳輸，典型的互聯(lián)網(wǎng)應(yīng)用如、下載文件、VOD視頻點(diǎn)播等應(yīng)得以不同的優(yōu)先級(jí)傳輸狀況區(qū)分。DCS3726B/2026B交換機(jī)可根據(jù)下列因素區(qū)分其QOS優(yōu)先級(jí)：IP端口優(yōu)先級(jí)，IP優(yōu)先級(jí)，DSCP多服務(wù)節(jié)點(diǎn)等。同時(shí)支持四層傳輸優(yōu)先級(jí)，如TCP端口號(hào)。目前，國(guó)際上正在相信抓緊制定以太網(wǎng)“最后一公里”接入標(biāo)準(zhǔn)，相信隨著該標(biāo)準(zhǔn)的出臺(tái)，以太網(wǎng)技術(shù)將會(huì)更加適用于寬帶接入。 無(wú)線接入技術(shù)（WLAN）隨著寬帶接入技術(shù)的不斷更新和發(fā)展，用戶訪問(wèn)Internet網(wǎng)絡(luò)的接入方式也在不斷變化，繼以太網(wǎng)接入、xDSL接入之后，無(wú)線接入技術(shù)最主要的接入方式之一，據(jù)IDC預(yù)測(cè)，目前正在以每年40%的符合增長(zhǎng)率迅速的增長(zhǎng)。對(duì)于運(yùn)營(yíng)商市場(chǎng)來(lái)說(shuō)，而3G數(shù)據(jù)通訊技術(shù)尚且不夠成熟，面對(duì)的來(lái)自市場(chǎng)的競(jìng)爭(zhēng)和用戶對(duì)數(shù)據(jù)網(wǎng)絡(luò)的需求，運(yùn)營(yíng)商不得不努力尋找新的利潤(rùn)增長(zhǎng)點(diǎn)。因而無(wú)線局域網(wǎng)技術(shù)在全球范圍內(nèi)成功推廣應(yīng)用使WLAN成為運(yùn)營(yíng)商爭(zhēng)奪的焦點(diǎn)，WLAN與3G網(wǎng)絡(luò)的融合已經(jīng)成為未來(lái)趨勢(shì)，必將成為用戶接入到企業(yè)網(wǎng)和Internet網(wǎng)絡(luò)移動(dòng)辦公接入方式的主流。無(wú)線局域網(wǎng)（WLAN）技術(shù)的發(fā)展使人們擺脫了線纜的束縛，可更方便、靈活、快捷地訪問(wèn)網(wǎng)絡(luò)資源，也給運(yùn)營(yíng)商提供了尋找新的增值點(diǎn)的機(jī)會(huì)，WLAN業(yè)務(wù)目前將會(huì)是前幾年寬帶圈地運(yùn)動(dòng)的延伸。綜合來(lái)看，運(yùn)營(yíng)商對(duì)WLAN的需求體現(xiàn)在三個(gè)方面：一是傳統(tǒng)運(yùn)營(yíng)商利用WLAN補(bǔ)充固網(wǎng)的覆蓋；二是移動(dòng)運(yùn)營(yíng)商將WLAN與3G互補(bǔ)，由此培育業(yè)務(wù)與用戶市場(chǎng)；三是ICP和ISP將借助WLAN提供更加豐富而有特色的服務(wù)。運(yùn)營(yíng)商目前WLAN市場(chǎng)目前，國(guó)內(nèi)WLAN市場(chǎng)主要集中在機(jī)場(chǎng)、酒店、咖啡廳、會(huì)展中心、和大型的公共熱點(diǎn)地區(qū)。漸漸的也將滲透到城市高級(jí)寫字樓、體育場(chǎng)、醫(yī)院、學(xué)校等領(lǐng)域。用戶可在上述范圍內(nèi)可以自由移動(dòng)，不受時(shí)間和空間的限制，輕松實(shí)現(xiàn)無(wú)線接入互聯(lián)網(wǎng)、無(wú)線寬帶瀏覽、無(wú)線Email收發(fā)等，還可以實(shí)現(xiàn)移動(dòng)辦公，隨時(shí)隨地登錄公司局域網(wǎng)與同事研討或共享某些內(nèi)容，并且具有實(shí)施簡(jiǎn)便、費(fèi)用經(jīng)濟(jì)、攜帶方便等特點(diǎn)。第四章 商業(yè)網(wǎng)絡(luò)互聯(lián)方式提供商業(yè)用戶網(wǎng)絡(luò)互聯(lián)的互聯(lián)方式有多種多樣，但不外乎三大類型：傳統(tǒng)廣域網(wǎng)方式、物理層互聯(lián)方式和VPN方式。傳統(tǒng)廣域網(wǎng)方式包括DDN、PSTN、ISDN、幀中繼等等，這些方式具有技術(shù)成熟、覆蓋面較廣、用戶認(rèn)知程度較高、網(wǎng)絡(luò)安全可靠等等優(yōu)點(diǎn)，但是速率較低，從幾K到幾十K不等，而且租用費(fèi)用較高，已經(jīng)不能滿足用戶需求和競(jìng)爭(zhēng)