【正文】 聯(lián)想網(wǎng)御 2022 防火墻采用了基于 SSL 的 HTTP 協(xié)議。只有被PKICA 認證過的管理員才能進入網(wǎng)御防火墻進行管理。網(wǎng)御防火墻操作系統(tǒng)的 TCP/IP 層進行了加固，使得網(wǎng)御防火墻加密防火墻能夠防止黑客常用的攻擊，如：TCPSYN 等 DOS 攻擊。同時，由于防火墻集成了 IDS 功能和防病毒模塊，這些模塊在保護用戶數(shù)據(jù)的同時，也在保護防火墻的操作系統(tǒng)?？?DDOS 攻擊：防火墻的入侵檢測模塊可以對進入防火墻的所有網(wǎng)絡(luò)數(shù)據(jù)進行分析，采用模式匹配技術(shù)實時檢測進入防火墻的網(wǎng)絡(luò)數(shù)據(jù)是否有入侵行為，一旦發(fā)現(xiàn)入侵，則及時設(shè)置安全規(guī)則阻止入侵。入侵檢測模塊可以有效地檢測出 DDOS 分布式拒絕服務(wù)攻擊。操作系統(tǒng)和防火墻軟件具有加密和抗復制特性，操作系統(tǒng)和應(yīng)用程序存放于 DOC（DiskOn Chip）。同時采用基于硬件信息的加密認證措施，使程序既不能拷貝。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 21 頁 共 141 頁交換式透明網(wǎng)關(guān)和 4 層交換式應(yīng)用透明代理網(wǎng)御 2022 防火墻是 4 層交換式防火墻，并在基礎(chǔ)上實現(xiàn)了無 IP 地址的透明代理網(wǎng)關(guān)，為用戶的應(yīng)用帶來了方便。將防火墻接入原網(wǎng)絡(luò)時，不必改變網(wǎng)絡(luò)原有的結(jié)構(gòu)?？梢允狗阑饓υ诰W(wǎng)絡(luò)中不被探測及訪問，提高了防火墻自身的安全性，更有效保護受控網(wǎng)絡(luò)，降低了系統(tǒng)登錄的安全風險?！　。?）交換技術(shù)網(wǎng)關(guān)交換方式是防火墻可用性的重要技術(shù)，也是防火墻每個網(wǎng)口無 IP 的一個安全特征。在 2 層交換方式下的只能實現(xiàn)包過濾功能，而對于防火墻，只有包過濾是無法保證用戶的各類服務(wù)的安全的，特別是內(nèi)容過濾，入侵檢測，代理等。目前的代理和內(nèi)容過濾防火墻都是基于路由方式。在 4 層交換方式下的防火墻實現(xiàn)技術(shù)難度大。目前在國內(nèi)同類技術(shù)很少，國外的防火墻產(chǎn)品也未能實現(xiàn) 4 層交換式防火墻，而聯(lián)想成功地實現(xiàn)了這一技術(shù)難點。　?。?）應(yīng)用層透明代理提供透明的代理服務(wù)功能，受控網(wǎng)絡(luò)中的用戶感覺不到代理的存在。不必改變客戶端配置，就能在授權(quán)范圍內(nèi)與外網(wǎng)通信，減少了網(wǎng)絡(luò)管理員的工作量。可透明地級連原代理。網(wǎng)關(guān)級的病毒檢測及過濾功能網(wǎng)關(guān)級防病毒技術(shù)的發(fā)明填補了國內(nèi)在 Inter 網(wǎng)關(guān)級查殺病毒技術(shù)的空缺，它可實時監(jiān)測流經(jīng) Inter 網(wǎng)關(guān)或防火墻的 HTTP、FTP 和 SMTP等數(shù)據(jù)流，使病毒還沒有進入 Inter 的服務(wù)器或企業(yè)內(nèi)部網(wǎng)之前就被檢測到、被清除或被處理，從而避免了與 Inter 連接的用戶和企業(yè)內(nèi)部網(wǎng)被病毒大范圍感染的危險，大大節(jié)省了企業(yè)的資源和用戶產(chǎn)品的升級、維護費用。同時，采用本項技術(shù)，也可以防止內(nèi)部網(wǎng)用戶主機上的病毒向Inter 和內(nèi)部服務(wù)器的傳播。采用本項技術(shù)的硬件防病毒網(wǎng)關(guān)與被保護的服務(wù)器和客戶機平臺（硬件和操作系統(tǒng)）無關(guān)。網(wǎng)關(guān)級防病毒技術(shù)將安全代理技術(shù)和病毒掃描技術(shù)結(jié)合，工作在應(yīng)用層，可實時、快速的監(jiān)測流經(jīng)防病毒網(wǎng)關(guān)的任何一種方向的 HTTP、FTP 和 SMTP等數(shù)據(jù)流，如果發(fā)現(xiàn)有病毒，則攔截并殺除，同時記錄病毒日志和向管理員湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 22 頁 共 141 頁報警，然后將無病毒的數(shù)據(jù)流通過代理轉(zhuǎn)發(fā)到目的地，這樣就極大地增強了Inter 網(wǎng)站和企業(yè)內(nèi)部網(wǎng)絡(luò)的實時病毒防范能力。　　當防火墻系統(tǒng)檢測到病毒時，系統(tǒng)會自動將檢測報告寄往報警郵箱，并可以在忽略、刪除、隔離、自動殺毒中選擇合適的操作，同時將事件記錄到日志中。多樣靈活的升級方式，到聯(lián)想網(wǎng)御的售后服務(wù)網(wǎng)站注冊后，用戶將享受到多樣靈活的升級方式：用戶可以到服務(wù)網(wǎng)站下載升級包，然后進行手動升級，也可以設(shè)置自動更新選項（需保證防火墻與 INTERNET 相通），防火墻將自動更新病毒庫和掃描引擎，使企業(yè)不再為新病毒的發(fā)作而擔憂。實時入侵檢測提供實時檢測和自動響應(yīng)功能，一旦發(fā)現(xiàn)有入侵行為，實時報警，并自動切斷該可疑連接。支持入侵檢測庫升級，為查出最新的攻擊手段提供保障。用戶可以定制入侵檢測策略，可以自定義檢測規(guī)則，建立自己的入侵檢測規(guī)則庫。入侵檢測的關(guān)鍵技術(shù)包括：　　網(wǎng)絡(luò)協(xié)議解碼技術(shù)。系統(tǒng)對捕獲的每一個數(shù)據(jù)包在不同的網(wǎng)絡(luò)層次進行協(xié)議解析，在數(shù)據(jù)鏈路層，系統(tǒng)可針對以太網(wǎng)、令牌環(huán)及 PPP 協(xié)議等進行解碼；在網(wǎng)絡(luò)層，系統(tǒng)可針對 IP、IPX、ARP 及 ICMP 等協(xié)議進行解碼；在傳輸層，系統(tǒng)可針對 TCP 和 UDP 協(xié)議進行解碼?！　∫?guī)則模式匹配技術(shù)。系統(tǒng)將大量規(guī)則以雙向鏈表形式讀入內(nèi)存，提高檢索速度。模式匹配算法采用改進的 AhoCorasick BoyerMoore（AC_BM）算法，有效地加快了匹配速度，減少了對防火墻整體性能的影響。自動響應(yīng)技術(shù)。系統(tǒng)可自動對檢測到的可疑地址進行阻斷，封鎖可疑用戶的訪問，并在一定的時間間隔后解鎖。日志審計日志服務(wù)器軟件對日志進行審計，以科學的方法對日志進行分析，幫助網(wǎng)絡(luò)管理員及時發(fā)現(xiàn)危害企業(yè)內(nèi)部網(wǎng)的行為。入侵者無法涂抹日志服務(wù)器上的日志，因此入侵足跡將留了下來，為分析黑客入侵手段、追查黑客提供重要依據(jù)。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 23 頁 共 141 頁內(nèi)容過濾根據(jù)郵件的特征，如郵件主題、郵件內(nèi)容、收件人、發(fā)件人、附件名等對郵件進行內(nèi)容過濾。使企業(yè)免受垃圾郵件、反動郵件的困擾。電子郵件是病毒傳播的最主要的途徑之一，對郵件的過濾必然遏制病毒的傳播。為了對郵件內(nèi)容進行精確過濾，聯(lián)想集團對大量中文數(shù)據(jù)進行分析研究，提出了中文文本數(shù)據(jù)過濾方案，通過在訓練端（PC 機）做訓練，提取文本相似性特征及其在內(nèi)容上的相關(guān)性，形成過濾類特征，將此過濾類特征導入到防火墻上做過濾的依據(jù)，對中文內(nèi)容的郵件內(nèi)容和附件內(nèi)容過濾。內(nèi)容過濾的核心技術(shù)是對文本主要內(nèi)容的抽取，與自動文摘的技術(shù)是相通的。文本抽取的主要思路是：根據(jù)一些語言模型將文本內(nèi)容進行量化，找出文本內(nèi)容和一些關(guān)鍵概念的關(guān)聯(lián)程度，以及這些概念在文本內(nèi)容中的重要程度，從而抽取出與文本主要內(nèi)容相關(guān)的概念和相應(yīng)語句。如果對這些內(nèi)容和概念設(shè)置一定的過濾條件，則可以完成內(nèi)容過濾。 易用的圖形化管理界面，強大的管理能力　?。?）易用的圖形化管理界面基于 WEB 的圖形化中文配置管理界面。防火墻界面、用戶認證界面、日志審計界面用管理主機統(tǒng)一配置管理。通過防火墻配置管理界面可以進入認證服務(wù)器的配置管理界面，也可以進入日志服務(wù)器的配置管理界面。貼近用戶，簡明易懂。　?。?）安全管理基于硬件的一次性口令對管理員身份進行驗證，管理員還可以使用 SSL安全信道對防火墻進行遠程管理。管理員身份無法假冒。利用安全管理證書，集成策略集中管理多個防火墻。本地管理：通過防火墻 Console 口進行命令行/ Web 圖形界面的配置管理。遠程安全管理：通過防火墻以太網(wǎng)進行基于 WEB 的配置管理，管理的通信協(xié)議為 HTTPS，基于 SSL 方式。　?。?）強大的管理功能湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 24 頁 共 141 頁升級：本地升級/網(wǎng)站升級。網(wǎng)站下載通過加密信道傳輸 　　防火墻處理完整日志的方法：日志可定期自動轉(zhuǎn)存、備份、導出，防火墻上保存 4K 大小的日志內(nèi)容，防火墻和日志服務(wù)器之間用安全專用信道。提供自動日志掃描/分析功能，提供自動報表及日志報告書寫器（syslog）警告通知機制：日志存儲溢出報警，syslog，Email，指示燈按照用戶 ID 或 IP 地址提供簡要報表。3．4．1．服務(wù)器由于校園網(wǎng)的應(yīng)用有大量的圖像等多媒體數(shù)據(jù)，要求網(wǎng)絡(luò)服務(wù)器有高的處理速度和網(wǎng)絡(luò)性能，因此數(shù)據(jù)庫服務(wù)器、WWW 服務(wù)器和 E_MAIL 服務(wù)器應(yīng)直接與骨干交換機的千兆端口連接，保證有足夠的帶寬，其他服務(wù)器接百兆端口，提供各種網(wǎng)絡(luò)服務(wù)。根據(jù)某市高中的網(wǎng)絡(luò)需求，選擇惠普 Netserver/康柏 ProLiant 系列服務(wù)器,具體見 《網(wǎng)絡(luò)中心服務(wù)器選型》3．4．1．UPS 不間斷電源為了保護數(shù)據(jù)的安全以及網(wǎng)絡(luò)設(shè)備的有效性，服務(wù)器、交換機和路由器都需要連接 UPS 電源，由于中心機房的設(shè)備較多，我們選用 APC 10KVA 4 小時持續(xù)供電的職能型在線式 UPS 電源，它的特點是：雙向轉(zhuǎn)換 IGBT 模塊（基準）真在線。 單向控制板設(shè)計，不需調(diào)整，易于保養(yǎng)。獨一無二的液晶顯示功能，可顯示輸入輸出電壓。頻率電量負載量，甚至可顯示貴公司名稱。適用于惡劣環(huán)境中使用。獨特的超載容量設(shè)計，內(nèi)部裝有 220V/5A 的電池充電器，毋需額外的充電器。內(nèi)部裝有分離變壓器，確保輸入與輸出之間完全分離。獨特的氣流控制，有效 的陰擋灰塵。電線安裝及維修都位于前端易于操作。湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 25 頁 共 141 頁裝有載重輪和手提處便于挪移與手提。 智能型交流軟件，顯示操作系統(tǒng)平臺，便于讀取信息。、各節(jié)點網(wǎng)絡(luò)方案各節(jié)點包括一號教學樓、二號教學樓 二號教學樓 三號教學樓、行政樓、實驗樓、圖書館、食堂二級節(jié)點以及一號教學樓 4 樓電腦教室和 5 樓電腦教室三級節(jié)點。在各個節(jié)點放置一臺或幾臺交換機堆疊，匯聚本節(jié)點所管轄的所有信息點，再通過光纖上聯(lián)至上級骨干交換機，在各節(jié)點交換機上根據(jù)功能群的不同劃分 VLAN，以達到網(wǎng)絡(luò)的安全性和可管理性的要求。、節(jié)點交換機根據(jù)某市高中二級節(jié)點網(wǎng)絡(luò)的具體要求，我們選用 cisco catalyst 3550 系列交換機，Cisco Catalyst 3550 系列智能化以太網(wǎng)交換機是一個新型的、可堆疊的、多層企業(yè)級交換機系列，可以提供高水平的可用性、可擴展性、安全性和控制能力，從而提高網(wǎng)絡(luò)的運行效率。因為具有多種快速以太網(wǎng)和千兆以太網(wǎng)配置，因此 Catalyst 3550 系列既可以作為一個功能強大的接入層交換機，用于中型企業(yè)的布線室；也可以作為一個骨干網(wǎng)交換機，用于中型網(wǎng)絡(luò)?？蛻粲惺芬詠淼谝淮慰梢栽谡麄€網(wǎng)絡(luò)中部署智能化的服務(wù)，例如先進的服務(wù)質(zhì)量（QoS） ，速度限制，Cisco 安全訪問控制列表，多播管理和高性能的 IP 路由同時保持了傳統(tǒng) LAN 交換的簡便性。Catalyst 3550 系列中內(nèi)嵌了 Cisco 集群管理套件（CMS）軟件，該軟件使用戶可以利用一個標準的 Web 瀏覽器同時配置和診斷多個 Catalyst 桌面交換機并為其排除故障。Cisco CMS 軟件提供了新的配置向?qū)?，它可以大幅度簡化整合式?yīng)用和網(wǎng)絡(luò)級服務(wù)的部署。 的交換矩陣（Catalyst 355048） ， 的交換矩陣（Catalyst 355024） 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 26 頁 共 141 頁第二層和第三層最大傳輸帶寬 （Catalyst 355048） ，第二層和第三層最大傳輸帶寬 （Catalyst 355024） ， 64 字節(jié)的包傳輸速率可達 （Catalyst 355048） ，64 字節(jié)的包傳輸速率可達 （Catalyst 355024） 由所有端口共享的 2MB 內(nèi)存架構(gòu)（Catalyst 355048） ，由所有端口共享的 4 MB 內(nèi)存架構(gòu)（Catalyst 355024） 32MB DRAM 和 8MB 閃存 可以配置多達 8000 個 MAC 地址 可以配置多達 16000 條單播路徑 可以配置多達 2022 條多播路徑 可以配置的最大傳輸單元（MTU）高達 1590 字節(jié)，用于連接 MPLS 標記幀對于三級接入交換機，選用實達公司生產(chǎn)的 StarS1924F 網(wǎng)管型交換機，實達 STARS1924F 網(wǎng)管型交換機,具有 24 個 10M/100M 自適應(yīng)的 RJ45 端口和 1個百兆光纖擴展模塊,同時 S1924F 具有網(wǎng)管功能,是建立小型,中型或大型網(wǎng)絡(luò)網(wǎng)絡(luò)的理想產(chǎn)品,專門為需要快速連接和寬帶服務(wù)的工作組而設(shè)計。實達S1924F 交換機具有完備的網(wǎng)管功能,可以進行系統(tǒng)信息,IP 設(shè)置,端口管理,端口監(jiān)控,VLAN,TRUNK，Spanning Tree 協(xié)議,TRAP 發(fā)送設(shè)置,安全信息等方面的設(shè)置,支持 RS232 帶外,Tel,Web,Snmp 管理,同時支持 TFTP 協(xié)議. 主要特性如下:網(wǎng)管型交換機 實達 STARS1924F 交換機具有標準的網(wǎng)絡(luò)網(wǎng)管功能,支持ARP，ICMP，IP，TCP，UDP，SNMP，TELNET，HTTP，STP 等協(xié)議,可以對系統(tǒng)信息，IP 設(shè)置,端口管理,端口監(jiān)控，VLAN，TRUNK，Spanning Tree 協(xié)議,TRAP 發(fā)送設(shè)置,安全信息等方面進行設(shè)置,可以通過 RS232 接口實現(xiàn)帶外管理,通過 SNMP，TELNET 以及 HTTP 方式實現(xiàn)帶內(nèi)管理,對 S1924F進行設(shè)置。支持 TFTP 協(xié)議,可通過網(wǎng)絡(luò)進行遠程下載和更新. 湖北省某市市某市高中校園網(wǎng)系統(tǒng)設(shè)計方案第 27 頁 共 141 頁光纖模塊 實達 STARS1924F 交換機內(nèi)置插槽,使用可選的擴展模塊,可以使用百兆光纖作為傳輸介質(zhì),增加交換機可連接范圍,擴大了網(wǎng)絡(luò)的規(guī)模.快速可靠的傳輸機制 STARS1924F 交換機的背板帶寬為 ,支持多達 1K 的 MAC 地址,交換緩沖區(qū)為 6M 字節(jié),采用可靠的存儲轉(zhuǎn)發(fā)機制,提供真正無阻塞的,線速的傳輸速度.簡單方便的使用方法 STARS1924F 每一個 RJ45 端口都支持 10M/100M 速率,自動識別并且自動高速到端口所連接的設(shè)備速率,不必進行設(shè)置和管理就可以連接位于網(wǎng)絡(luò)