【正文】 TE, Male, 10 Feet2 MEM360016FC16Mb Flash card for the Cisco 36001 MEM366032U64D32to64MB DRAM Factory Upgrade for the Cisco 36601。，支持用戶撥入和撥號(hào)異步路由功能。，可連接幀中繼，也可連接異步線路。 營(yíng)業(yè)部交換機(jī)（Cisco Catalyst 2924）Catalyst 2924提供24個(gè)10/100兆自適應(yīng)端口，能達(dá)到無(wú)阻交換能力，具有VLAN功能，有很好的性能價(jià)格比。方案中在新增營(yíng)業(yè)部各配置2臺(tái)Catalyst 2924，互為備份。 營(yíng)業(yè)部路由器（Cisco 2611）Cisco 2600系列和3600系列模塊兼容，同樣在一臺(tái)路由器上集成了多種局域網(wǎng)/廣域網(wǎng)、內(nèi)置Modem的撥號(hào)訪問(wèn)服務(wù)、廣域網(wǎng)QoS保障、以及IP電話功能等。方案中在新增營(yíng)業(yè)部各配置Cisco 2611，2611具有2個(gè)以太網(wǎng)接口和2個(gè)廣域網(wǎng)接口卡插槽（配置接口卡連接DDN線路），以及一個(gè)廣域網(wǎng)模塊插槽（日后可用于IP電話、撥號(hào)訪問(wèn)等擴(kuò)充功能）。出于安全性的考慮，每個(gè)營(yíng)業(yè)廳應(yīng)各配置2臺(tái)路由器，由于廣發(fā)目前存有部分Cisco 2500系列路由器，為了充分保護(hù)用戶的原有投資在二期工程中將把這部分路由器配置到新增三級(jí)節(jié)點(diǎn)作為2611的備份。對(duì)于剩余三級(jí)節(jié)點(diǎn)，則配置二臺(tái)Cisco 2611互為熱備份。（ 投資保護(hù)） 防火墻產(chǎn)品概述IBM公司作為Internet的發(fā)起人和積極參與者，在Internet上進(jìn)行了深入的研究，開發(fā)了一系列的Internet產(chǎn)品，運(yùn)行在IBM RS/6000上的防火墻軟件Internet Connection Secured Network Gateway（SNG）就是IBM防火墻產(chǎn)品。全世界最大的企業(yè)網(wǎng)IBM Global Network（IGN）使用SNG巳有10年歷史，到目前尚未被侵入，可見其具有極高的安全性和可靠性。在1995年，IBM公司的防火墻產(chǎn)品更擊敗100多家競(jìng)爭(zhēng)對(duì)手，榮膺COMNET在防火墻產(chǎn)品評(píng)測(cè)中的最高獎(jiǎng)：產(chǎn)品技術(shù)先進(jìn)獎(jiǎng)。1997年，IBM將SNG進(jìn)一步升級(jí)。新版本的防火墻產(chǎn)品除繼續(xù)擁有SNG原有的特點(diǎn)外，還具有以下三大特點(diǎn)：（一）極易使用基于Java的圖形用戶界面（GUI）為管理員提供了易用的、安全的管理工具。因?yàn)镴ava的應(yīng)用程序是安裝在管理員的工作站上，而不是安裝在網(wǎng)絡(luò)上，這對(duì)于安全性提供了非常可靠的保障。通過(guò)這個(gè)導(dǎo)航樹，管理員可以非常方便進(jìn)行所需的各種操作。，使管理員可以快速準(zhǔn)確地得到其所需的幫助。（二）更強(qiáng)大的安全保障56位數(shù)據(jù)加密標(biāo)準(zhǔn)（DES, Data Encryption Standard）是目前業(yè)界最強(qiáng)壯的加密技術(shù)之一。由美國(guó)聯(lián)邦政府認(rèn)可，IBM Firewall已成為提供這種56位加密技術(shù)，增強(qiáng)網(wǎng)絡(luò)及數(shù)據(jù)安全性方面的領(lǐng)導(dǎo)者。另外，IBM Firewall還提供了一個(gè)功能強(qiáng)大的工具，Network Security Auditor（網(wǎng)絡(luò)安全監(jiān)視器），它可以掃描您的網(wǎng)絡(luò)、服務(wù)器以及防火墻，探察潛在的安全隱患。（三）更強(qiáng)大的互聯(lián)性Virtual private networks（VPNs，虛擬私有網(wǎng)絡(luò)）為您提供了一條跨越Internet進(jìn)行通訊的安全通道。通過(guò)這一通道，管理員也可以賦予遠(yuǎn)程用戶同樣的訪問(wèn)內(nèi)部網(wǎng)絡(luò)的能力。Clienttofirewall（客戶至防火墻）技術(shù)使遠(yuǎn)程用戶獲得了與內(nèi)部網(wǎng)之間私有的、安全的通訊鏈路，甚至當(dāng)該鏈路是跨越Internet連接的。這樣，某個(gè)遠(yuǎn)程用戶，例如公司經(jīng)理出差到外地，他只需修改當(dāng)?shù)豂SP提供的IP地址，即可借助Internet繼續(xù)訪問(wèn)遠(yuǎn)程的公司內(nèi)部網(wǎng)，而無(wú)需為安全性擔(dān)心。IBM Firewall技術(shù)特性IBM Firewall的關(guān)鍵技術(shù)包括：FiltersProxy ServerSocks ServerDomain Name SystemNetwork Address Translation（NAT）Safe MailStrong AuthenticationHardeningLogHigh Availability Support 以下我們對(duì)IBM Firewall的技術(shù)逐一進(jìn)行介紹Filters（過(guò)濾器）對(duì)通過(guò)Firewall（防火墻）的IP Packet的地址、TCP/UDP的Port ID（端口標(biāo)識(shí)符）及ICMP（Internet Control Message Protocol）進(jìn)行檢查，即規(guī)定哪些網(wǎng)絡(luò)節(jié)點(diǎn)何時(shí)可通過(guò)Firewall訪問(wèn)外部網(wǎng)絡(luò)，哪些網(wǎng)絡(luò)節(jié)點(diǎn)可訪問(wèn)內(nèi)部網(wǎng)絡(luò)；或者是哪些用戶只能使用，而不能使用Telnet和FTP；或者哪些用戶只能使用Telnet，而不能使用FTP等等。Proxy Server（代理服務(wù)器）在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)，內(nèi)部（或外部）網(wǎng)絡(luò)用戶需首先登錄到防火墻上，通過(guò)驗(yàn)證后，才可使用Network Browser、Telnet或FTP等有效命令訪問(wèn)外部（或內(nèi)部）網(wǎng)絡(luò)，例如，內(nèi)部網(wǎng)的用戶使用Telnet訪問(wèn)外部網(wǎng)絡(luò)時(shí)，首先登錄到作為防火墻的RS/6000上，F(xiàn)irewall檢查其是否被授權(quán)訪問(wèn)外部網(wǎng)，在通過(guò)檢查后，即可再使用Telnet訪問(wèn)外部網(wǎng)絡(luò)的主機(jī)，內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)公共網(wǎng)所使用的IP地址都是Firewall的IP地址。 以Telnet服務(wù)為例，如下圖所示：Socks ServerSocks是一個(gè)網(wǎng)絡(luò)應(yīng)用層的國(guó)際標(biāo)準(zhǔn)，當(dāng)內(nèi)部網(wǎng)絡(luò)Client需要與外部網(wǎng)交換信息時(shí)，在Firewall上的Socks Server檢查Client有User ID、IP源地址和IP目標(biāo)與地址經(jīng)過(guò)確認(rèn)后，才建立連接，對(duì)用戶來(lái)說(shuō)內(nèi)部網(wǎng)外部網(wǎng)的信息交換都是透明的，感覺(jué)不到Firewall的存在，那是因?yàn)榫W(wǎng)絡(luò)用戶不需要登錄到Firewall，但是Client端的應(yīng)用軟件必須支持“Socks ified API”，內(nèi)部網(wǎng)絡(luò)用戶訪問(wèn)使用的IP地址也都是Firewall的IP地址。Domain Name System（域名系統(tǒng)DNS）在防火墻上提供域名系統(tǒng)，對(duì)于保護(hù)安全網(wǎng)絡(luò)上原有的域名服務(wù)器免受外部非安全網(wǎng)絡(luò)的非法入侵具有很大幫助。從外部網(wǎng)絡(luò)看防火墻，防火墻上的域名系統(tǒng)只知道其自身、外部、公開的主機(jī)地址信息，而不會(huì)將任何內(nèi)部網(wǎng)絡(luò)的IP信息發(fā)布到外部網(wǎng)絡(luò)；而從內(nèi)部網(wǎng)絡(luò)看，則可依照防火墻上的授權(quán)定義訪問(wèn)Internet。NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換,Network Address Translate)眾所周知，當(dāng)一個(gè)內(nèi)部網(wǎng)連接到Internet上，內(nèi)部網(wǎng)的用戶若需要訪問(wèn)Internet，則其必須使用一個(gè)合法的Internet IP地址，但由于合法的Internet IP地址有限，而且內(nèi)部網(wǎng)絡(luò)往往有自己的一套IP地址規(guī)劃（非正式的Internet地址），為此FireWall提供了一個(gè)NAT的功能，在Firewall上有一個(gè)IP Address Pool（正式的Internet地址）。當(dāng)內(nèi)部網(wǎng)的某一個(gè)用戶要上Internet時(shí)，F(xiàn)irewall會(huì)動(dòng)態(tài)地從IP Address Pool中選一個(gè)未分配的IP地址分配給這個(gè)用戶，該用戶就可以用這個(gè)合法地址進(jìn)行通訊，同時(shí)，對(duì)于Server(如Web Server),NAT允許為其分配一個(gè)固定的合法地址，外部網(wǎng)絡(luò)的用戶就可通過(guò)Firewall來(lái)訪問(wèn)內(nèi)部的Server。NAT支持基于UDP以及TCP的應(yīng)用程序。Safe Mail（安全郵件技術(shù)）從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)用戶發(fā)送郵件，由于只知道Firewall的IP地址和Domain Name,因此郵件只能發(fā)送到Firewall,經(jīng)檢查，如果允許發(fā)送郵件的原地址通過(guò)，那么Firewall將郵件的地址進(jìn)行轉(zhuǎn)換，送到內(nèi)部的Mail Server上，由內(nèi)部的Mail Server進(jìn)行存貯轉(zhuǎn)發(fā)。Safe Mail支持SMTP(Simple Mail Transfer Protocol)、MIME(Multipurpose Internet Mail Extensions)協(xié)議。Strong AuthenticationIBM Firewall提供多種方法認(rèn)證用戶(Authenticating Users)。您可以僅使用口令字方式，但是在某些情況下，這種方式不能保證足夠安全。特別是當(dāng)用戶從一個(gè)非安全網(wǎng)絡(luò)登錄時(shí)，偷竊者可以輕易地翻譯出該口令字。IBM Firewall提供了一種Strong Authentication方式，即Security Dynamics Secure ID card?；赟ecurity Dynamics的方式包括用戶ID以及Secure ID Card。當(dāng)用戶從遠(yuǎn)程登錄時(shí)，可以從Secure ID card獲得口令字。而口令字每60秒更換一次，每個(gè)口令字僅使用一次。這樣，即便網(wǎng)絡(luò)黑客通過(guò)一個(gè)開放網(wǎng)絡(luò)破獲了您的口令字，他所竊取的口令字在下一次使用時(shí)也是無(wú)效的。另外，IBM Firewall還提供了一組API，允許用戶定義自己的認(rèn)證技術(shù)。Hardening（加固安全）在UNIX系統(tǒng)及TCP/IP協(xié)議中，有些服務(wù)和協(xié)議不具備安全性，當(dāng)安裝防火墻產(chǎn)品時(shí)容易造成安全策略上的隱患。因此當(dāng)安裝IBM Firewall產(chǎn)品時(shí)，安裝進(jìn)程將自動(dòng)停止相應(yīng)的應(yīng)用程序，用戶帳戶及系統(tǒng)操作，以確保此時(shí)安裝防火墻的機(jī)器的本地及網(wǎng)絡(luò)安全性。Virtual Private Network(VPN,虛擬私有網(wǎng)絡(luò))VPN是一組由一個(gè)或多個(gè)IP安全通道組成的。它允許在兩個(gè)基于標(biāo)準(zhǔn)的Firewall之間的公共網(wǎng)絡(luò)(例如Internet)上建立一條安全通道，即將從某個(gè)內(nèi)部網(wǎng)絡(luò)中發(fā)送出的IP包在Firewall上進(jìn)行加密，形成新的IP包，通過(guò)公共網(wǎng)絡(luò)傳送到另一個(gè)內(nèi)部網(wǎng)絡(luò)的Firewall上，由Firewall進(jìn)行解密，從而借助公共網(wǎng)絡(luò)構(gòu)成了一個(gè)虛擬和企業(yè)專用網(wǎng)。Log（記錄）對(duì)進(jìn)出Firewall的文件進(jìn)行管理，并可通過(guò)簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）報(bào)告給網(wǎng)管軟件，如IBM的TME10，由網(wǎng)絡(luò)管理員監(jiān)視Firewall的情況；同時(shí)還可通過(guò)實(shí)用程序?qū)⑾到y(tǒng)記錄匯報(bào)數(shù)據(jù)存入關(guān)系型數(shù)據(jù)庫(kù)，如IBM的DB2。高可用性支持*HACMP支持利用IBMRS/6000系統(tǒng)上HACMP的能力，滿足7*24小時(shí)不間斷工作的防火墻需求。*SP2支持利用IBM RS/6000系統(tǒng)并行機(jī)SP2的優(yōu)勢(shì)，滿足高可用性、高伸縮性的防火墻需求。例如在IBM Global Network（IGN）上的防火墻就是由一臺(tái)IBMSP2并行機(jī)與IBM Firewall所組成的系統(tǒng)。 投資保護(hù)二期方案中網(wǎng)絡(luò)出于安全性的考慮以及加入VOIP功能，需要在營(yíng)業(yè)廳配置2臺(tái)Cisco 2611互為熱備份。而廣發(fā)現(xiàn)有網(wǎng)絡(luò)中已有一批2500系列路由器（廣發(fā)原有各營(yíng)業(yè)廳現(xiàn)有38臺(tái)Cisco 2501）。為了保護(hù)已有投資的考慮，二期方案中計(jì)劃在原有營(yíng)業(yè)廳保存已有的2501路由器，并另增一臺(tái)Cisco 2611作為主路由器，并在該2611中加入VOIP模塊，而已存在的2501作為2611的線路備份。但2501不能提供相應(yīng)的VOIP功能的備份。在剩余的新增營(yíng)業(yè)廳中，二期方案將配置2臺(tái)Cisco 2611，其中一臺(tái)加入VOIP功能模塊作為主路由器，另一臺(tái)2611作為該路由器的線路備份，不提供VOIP功能的備份。另外網(wǎng)絡(luò)中心現(xiàn)有6臺(tái)Cisco 2522，二期方案計(jì)劃將該6臺(tái)2522加入到二期工程新增的大區(qū)中心（一個(gè)大區(qū)中心配置一臺(tái)2522）。在這些配置了2522的新增大區(qū)中心中再配置一臺(tái)Cisco 3640作為主路由器，2522作為3640的線路和備份。同理，2522也不能提供相應(yīng)的VOIP功能的備份。另外廣發(fā)證券現(xiàn)存兩臺(tái)Cisco 3640路由器。二期方案計(jì)劃將這兩臺(tái)Cisco 3640加入到新增大區(qū)中心中作為主路由器，另外加入了這些路由器的各大區(qū)中心再配置一臺(tái)Cisco 3640作為熱備份。其它的新增大區(qū)中心則配置兩臺(tái)Cisco 3640互為熱備份。 通過(guò)以上措施，二期方案在保證二期網(wǎng)絡(luò)需要的基礎(chǔ)上，保護(hù)了廣發(fā)網(wǎng)已有的投資。47 / 47