【文章內(nèi)容簡介】 Cisco6506的交換機高度模塊化，提供插槽的可擴展，電源的可擴展，引擎的可擴展。為日后公司的發(fā)展擴容打好基礎(chǔ)。：cisco6506與其他廠商同類產(chǎn)品相比更有競爭力。 優(yōu)點：● Cisco IOS軟件模塊化——模塊化提高了運營效率，最大限度地縮短了停機時間。實施模塊化后，Cisco IOS子系統(tǒng)能作為獨立、可自行恢復的進程運行，通過故障抑制和狀態(tài)化進程重啟，縮短了計劃外停機時間；通過子系統(tǒng)運行中軟件升級（ISSU）簡化了軟件改動，集成了嵌入式事件管理器（EEM），從而能在進程級自動控制策略 ● 最高PoE 可擴展性——提供了支持高密度PoE 部署所需的電源可擴展性；6 插槽和9 插槽機箱（C6506E和 C6509E 型號）的設(shè)計超越了當前的6000W 電源；E 系列機箱支持所有現(xiàn)有控制引擎、線卡、交換矩陣和軟件版本 ● Supervisor Engine 720 ——面向企業(yè)核心、分布層和數(shù)據(jù)中心：高達720Gbps 的交換矩陣連接和高達40Mpps 的交換性能；支持全新加速思科快速轉(zhuǎn)發(fā)（CEF720）和分布式思科快速轉(zhuǎn)發(fā)（dCEF720）接口模塊；通過硬件支持IPv6 和MPLS；支持第三層路由協(xié)議 ● Supervisor Engine 32——面向智能配線間以及經(jīng)濟高效的低端核心和分布層部署；擁有一條到模塊的32Gbps共享總線連接；支持高達15Mpps的交換性能；集中第二層、第三層轉(zhuǎn)發(fā)，有2種型號：8端口1GE型號或2 端口10GbE 上行鏈路二：匯聚層交換機 （4臺）1. 品牌型號, ：WSC375024TSE，128MB，02 .網(wǎng)絡接口板或GBIC模塊 :無 （1）用戶需求是千兆主干，百兆到桌面。所以為了達到以上用戶需求，考慮到核心層交換機我們必須選擇配有光纖接口的交換設(shè)備，而cisco3750就適合這一要求，具有1000兆光纖接口。 （2）我們考慮到公司日后發(fā)展我們選用cisco3750就能滿足日后的需要。它不僅能支持二層而且還能支持三層服務！ （3）采用與核心交換機相同的cisco的設(shè)備達到系統(tǒng)很好兼容性的要求，便于管理。 優(yōu)點：設(shè)備類型:快速以太網(wǎng)交換機\交換方式:存儲轉(zhuǎn)發(fā)\背板帶寬（Gbps）:32\端口數(shù):24\模塊化插槽數(shù):2 Cisco Catalyst 3750 系列交換機是一款適用于中型機構(gòu)和大型企業(yè)分支機構(gòu)的創(chuàng)新產(chǎn)品。該交換機采用了Cisco StackWise技術(shù)，通過結(jié)合易用性和可堆疊交換機的最高永續(xù)性，提高了局域網(wǎng)運行效率。適用于需要低密度接入，具有交換機堆疊功能、第二層以上或第三層特性，以及一或多條光纖上行鏈路的網(wǎng)絡 ● 可用性——、負載均衡和迅速恢復；Flexlink特性提供了不到100ms的快速收斂；PVST+ 則通過允許流量在冗余鏈路上傳輸，增加了可用帶寬 ● Cisco StackWise 技術(shù)——單一IP 地址和單一命令行界面（CLI）簡化了管理；32Gbps 永續(xù)架構(gòu)加速了收斂；1∶N堆疊采用了冗余和第三層上行鏈路永續(xù)性、跨堆疊Cisco EtherChannel 技術(shù)及QoS，提高了可用性；自動配置和Cisco IOS 軟件版本檢查和升級加速了部署過程；交換機的熱添加和刪除能保持堆疊持續(xù)運行 ● 370W PoE 簡化了IP 電話、無線和視頻監(jiān)視部署；智能電源管理特性增強了控制能力，有助于更好地利用功率預算；PoE 與快速以太網(wǎng)或千兆以太網(wǎng)型號相結(jié)合，能最大限度地利用現(xiàn)有基礎(chǔ)設(shè)施投資三：接入交換機 （36臺）1. 品牌型號, ：CISCO WSC295024，8M，02. GBIC模塊型號：無 （1）為了達到系統(tǒng)最佳的兼容性我們繼續(xù)采用cisco的設(shè)備。 （2）百兆到桌面的要求，cisco2950較低的端口密度和價格，高性能10/100Mbps 連接便能達到要求。 （3）提供24接口支持堆疊。 優(yōu)點：isco Catalyst 2950 系列交換機是小型、獨立、可管理的交換機，帶8 個快速以太網(wǎng)端口和一條集成快速以太網(wǎng)或千兆以太網(wǎng)上行鏈路。 這些交換機是專門為在終端用戶工作間配線間外使用而設(shè)計的，擁有堅固的金屬外殼，無風扇，因此運行安靜，便于在墻壁或桌下安裝，安全的鎖定槽可防竊，它還配備了一條電纜導槽，可以保護以太網(wǎng)電纜和交換機。關(guān)鍵特性 ● 網(wǎng)絡管理——CNA通過利用Cisco Smartports 技術(shù)，提供了集中管理和配置，以簡化部署及后續(xù)維護；基于PC；適用于最多不超過20 個設(shè)備的網(wǎng)絡 ●快速設(shè)置是一種Web 瀏覽器工具，支持簡單的交換機設(shè)置，以便新手也能完成基本配置四：入侵檢測系統(tǒng)：IDS1. 品牌型號：鷹眼入侵檢測分布型NIDS100D1E 2. 接口及帶寬: 百兆引擎，1U，1個探測口，基本型3. 功能模塊型號: 無 選擇理由：（1）鷹眼網(wǎng)絡入侵檢測系統(tǒng)提供強大的入侵檢測功能，目前可以檢測的攻擊類型有24大類，共計900余種入侵行為；（2）功能強大的搜索引擎面對海量的入侵記錄，用戶如何才能找到自己關(guān)心的內(nèi)容？鷹眼網(wǎng)絡入侵檢測系統(tǒng)向用戶提供了強大的搜索引擎，豐富的查詢搜索方式，這樣，用戶可以非常方便，快速的按照自己的需要查找所關(guān)心的入侵記錄；（3）鷹眼網(wǎng)絡入侵檢測系統(tǒng)提供的分析報表形式多樣：既有實時反映當前網(wǎng)絡安全狀態(tài)的的即時分析報表，又有綜合反映周期安全狀況的每日分析報表；既有簡單明了的決策型報表，又有詳細全面的關(guān)聯(lián)型報表。各類報表中包含了網(wǎng)絡安全的整體狀況分析、各項數(shù)據(jù)排名、網(wǎng)絡安全趨勢及建議等內(nèi)容，準確的數(shù)字配以豐富的圖表，令用戶對網(wǎng)絡安全狀況一目了然。同時用戶還可以對分析范圍、分析強度、顯示方式等進行配置，實現(xiàn)個性化的報表分析，得到最符合用戶需求的報表；（4）歷史記錄的統(tǒng)計分析、查詢和下載鷹眼網(wǎng)絡入侵檢測系統(tǒng)在為用戶提供實時報告的同時，提供對歷史記錄的綜合統(tǒng)計報告和高級搜索功能，并對提供了歷史日志文件記錄的高級搜索功能，同時還定期將數(shù)據(jù)打包，供用戶下載；（5）多樣化報警和響應方式。鷹眼網(wǎng)絡入侵檢測系統(tǒng)一旦檢測到入侵行為，可以通過多種方式進行報警，并能夠根據(jù)預定義的策略，選擇切斷攻擊方的所有連接，或通知防火墻，修改過濾規(guī)則，阻斷攻擊，從而保護本地主機的安全。鷹眼網(wǎng)絡入侵檢測系統(tǒng)具有以下六種報警響應方式： （1）數(shù)據(jù)庫報警首先在WEB操作界面左上方有一個報警燈實時反映警報數(shù)據(jù)的變化：l 若燈為綠色，則表示無入侵行為發(fā)生過；l 若燈變?yōu)榧t色，則表示曾有入侵行為發(fā)生過；l 若燈在不停地閃爍，則表示當前有入侵行為正在發(fā)生。同時在界面上可進一步實時查看到所有警報發(fā)生的時間、源地址、源端口、目的地址、目的端口、攻擊類型、建議解決方案等詳細信息。（2）電子郵件報警鷹眼系統(tǒng)能夠依照用戶自定義的郵件發(fā)送策略，將近期檢測到的攻擊通過電子郵件的方式發(fā)送給管理員。管理員不論身處何地，只要能夠接收電子郵件，就能夠了解網(wǎng)絡的安全狀況。（3）SNMP TRAP告警鷹眼系統(tǒng)能夠?qū)⒏婢畔⑼ㄟ^SNMP Trap的方式發(fā)送到用戶指定的SNMP管理中心，使用戶可以通過自己應用環(huán)境中的簡單網(wǎng)管系統(tǒng)查詢到鷹眼告警信息。（4）SYSLOG告警鷹眼系統(tǒng)能夠?qū)⒏婢畔l(fā)送到用戶網(wǎng)絡環(huán)境中任何開放了syslog服務的服務器上，使用戶可以通過查看服務器系統(tǒng)日志的方式查詢到鷹眼的告警信息。（5）主動切斷鷹眼系統(tǒng)能夠基于用戶的定制策略在發(fā)現(xiàn)TCP和ICMP協(xié)議的攻擊行為時，向攻擊方和被攻擊主機發(fā)送切斷數(shù)據(jù)包，實施主動切斷，以阻止攻擊行為的進一步發(fā)生。（6）防火墻聯(lián)動響應在發(fā)現(xiàn)一些危險性較大的攻擊行為，僅僅依靠IDS無法有效阻止攻擊時，鷹眼系統(tǒng)將自動發(fā)送阻斷請求到實現(xiàn)聯(lián)動的防火墻，通知防火墻修改過濾規(guī)則，及時阻止攻擊行為的進一步發(fā)生。五：服務器：（５臺）1. 品牌型號：IBMXA322. CPU：Intel Xeon MP3. RAM：32GB4. SCSI：36*2 選擇理由：（1）IBM174。 BladeCenter 在機箱中集成了各種網(wǎng)絡組件，以簡化基礎(chǔ)設(shè)施復雜性和可管理性，同時降低總體擁有成本。（2）智能管理工具(如IBM導控器)可幫助提供全面的系統(tǒng)管理創(chuàng)新、靈活的模塊化技術(shù)使用IBM Power處理器的刀片服務器集成到IBM eServer BladeCenter架構(gòu)之中新的BladeCenter備用隨需容量可在您需要時提供額外的容量。（3）創(chuàng)新的模塊化技術(shù)實現(xiàn)了卓越的性能密度和經(jīng)濟的可用性。其有效的擴展結(jié)構(gòu)是企業(yè)應用的理想選擇，使您能夠按需增加容量，邊增長邊付費。（4）行業(yè)標準機柜(42U)中最多可以安裝42 臺服務器，平均每臺1U的高度熱插拔設(shè)計—允許您在不中斷其它機箱操作的情況下增加容量六：防火墻 （1臺）：龍馬衛(wèi)士防火墻 WLMB1000SX ：2*1000M+1*100M選購理由：（1）傳統(tǒng)防火墻一般是以IP地址為核心進行訪問監(jiān)控，而新一代的龍馬衛(wèi)士防火墻是以用戶為核心進行訪問監(jiān)控，實現(xiàn)了用戶的認證，授權(quán)，記帳（AAA）功能。認證（Authentication）：用來證明用戶的真實身份，如：“我是用戶Bob，我的密碼證明了我確實是?！碑斢脩敉ㄟ^防火墻進行訪問時，首先需要對其身份進行認證，認證方式簡單方便，認證的工具可以是任何支持認證的網(wǎng)頁瀏覽器如Microsoft Internet Explorer（IE）或Netscape，身份認證是基于密碼技術(shù)的，對管理員用戶名和口令在傳輸時進行加密，并且，對防火墻和控制端之間通過網(wǎng)絡傳輸?shù)乃袛?shù)據(jù)全部加密，這樣有效地防止了在網(wǎng)絡傳輸過程中數(shù)據(jù)被竊聽、篡改，達到更高可靠性的身份認證。龍馬衛(wèi)士防火墻支持多種認證方式，如用戶名和口令，一次性口令認證（OTP）、PAM、PAP/CHAP、MSCHAP、NTDomain、Radius、Kerberos、LDAP等，并可以根據(jù)用戶需求擴展其他認證方式。授權(quán)（Authorization）：在經(jīng)過了認證后，授權(quán)決定了該用戶可以進行何種訪問活動，如：“用戶Bob可以對主機NT_host進行Telnet訪問?！饼堮R衛(wèi)士防火墻可以對所有用戶進行分組管理，對用戶組進行授權(quán)。認證通過后確定用戶所屬的用戶組，系統(tǒng)將檢查安全策略中對此用戶組的授權(quán)。用戶被授權(quán)后所有的資源訪問能夠進行記錄實現(xiàn)記帳。記帳（Accounting）：記錄了用戶實際上進行的訪問活動，如某個用戶進行了何種訪問，對誰進行了訪問等信息，如：“用戶早10：00從自己的主機對主機NT_host進行了Telnet訪問?！饼堮R衛(wèi)士防火墻跟蹤所有用戶的訪問記錄，為系統(tǒng)審計，發(fā)現(xiàn)入侵活動等提供分析依據(jù)。龍馬衛(wèi)士防火墻的AAA模塊主要由網(wǎng)絡訪問服務器（NAS）以及認證控制服務器（ACS）兩部分組成。認證控制服務器是一個標準的Radius認證服務器，完全遵循RFC2862866和部分2869的規(guī)范。并以用戶為核心，同時具有授權(quán)和記帳等功能。認證控制服務器可以為任何支持Radius協(xié)議的其他防火墻，路由器和撥號服務器等提供認證服務。認證控制服務器支持多種認證方式，并可以根據(jù)用戶需求擴展其他認證方式。同時，認證控制服務器還支持認證代理，可以將認證轉(zhuǎn)發(fā)給其他的Radius認證服務器。龍馬衛(wèi)士防火墻的認證控制服務器的結(jié)構(gòu)高度模塊化，具有良好的可擴展性，并能夠擴展新的認證方式。龍馬衛(wèi)士防火墻還為AAA服務提供管理工具。管理工具采用B/S結(jié)構(gòu)，通過瀏覽器來管理認證服務器上的用戶、進程、日志等，并且可以進行遠程管理，界面友好，使用方便。（2） 實時的連接狀態(tài)監(jiān)控功能包過濾是防火墻中的一項主要安全技術(shù)，它通過防火墻對進出網(wǎng)絡的數(shù)據(jù)流進行控制與操作。龍馬衛(wèi)士防火墻不僅根據(jù)數(shù)據(jù)包的地址、方向、協(xié)議、服務、端口、訪問時間進行訪問控制，同時還對任何網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)防火墻的包過濾只是與規(guī)則表進行匹配，對符合規(guī)則的數(shù)據(jù)包進行處理，不符合規(guī)則的丟棄。由于是基于規(guī)則的檢查，屬于同一連接的不同包毫無任何聯(lián)系，每個包都要依據(jù)規(guī)則順序過濾，這樣隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的降低，造成網(wǎng)絡擁塞。甚至黑客會采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個合法的連接。這樣的包過濾既缺乏效率又容易產(chǎn)生安全漏洞。（3） 龍馬衛(wèi)士防火墻采用了基于連接狀態(tài)檢查的包過濾，將屬于同一連接的所有包作為一個整體的數(shù)據(jù)流看待，通過規(guī)則表與連接狀態(tài)表的共同配合，大大地提高了系統(tǒng)的性能和安全性。龍馬衛(wèi)士防火墻在進行包的檢測時不僅將其看成是獨立的單元，同時還要考慮與它的前面包的關(guān)聯(lián)性。而無連接的包過濾規(guī)則沒有考慮這些內(nèi)在的關(guān)聯(lián)信息，對每個數(shù)據(jù)包都進行孤立的規(guī)則檢測，這樣就降低了傳輸效率和安全性。尤其值得一提的是，對于基于UDP協(xié)議、ICMP的應用來說，是很難用簡單的包過濾技術(shù)進行處理的，因為UDP協(xié)議本身對于順序錯誤或丟失的包，是不做糾錯或重傳的。而ICMP與IP位于同一層，它被用來傳送IP的差錯和控制信息。龍馬衛(wèi)士防火墻在對基于UDP協(xié)議的連接處理時，會為UDP建立虛擬的連接，同樣能夠?qū)B接過程狀態(tài)進行監(jiān)控。通過規(guī)則與連接狀態(tài)的共同配合，達到包過濾的高效與安全?？梢赃@么說，能夠?qū)崿F(xiàn)對UDP、ICMP協(xié)議的實時狀態(tài)監(jiān)控，是龍馬衛(wèi)士防火墻有別于其它廠商防火墻的顯著特點之一。（4） 動態(tài)過濾技術(shù),在進行網(wǎng)絡通訊時，應用程序的端口必須打開才能進行通訊。傳統(tǒng)防火墻一般采用的是靜態(tài)過濾技術(shù)，即事先打開很多端口以滿足各種應用的需要，但是有時某些應用程序的端口是動態(tài)變化的，如Ftp、視頻會議等應用，事先打開的端口很難滿足這種動態(tài)變化的需要，而且如果事先打開的端口過多，可能造成很多不安全的隱患，為了解決這些問題，在龍馬衛(wèi)士防火墻中，使用了動態(tài)過濾技術(shù)。動態(tài)過濾技術(shù)指的是根據(jù)實際應用的需要，為合法的訪問連接動態(tài)地打開其所需要的端口，在訪問結(jié)束時自動地將打開的端口關(guān)閉。這樣在實際應用中，事先只需打開極少數(shù)必須打開的端口，在建立合法的訪問連接時再適當打開某些需要的端口，當連接結(jié)束時，自動地關(guān)閉相應的端口，這樣能夠有效的防止系