【正文】 Microsoft Exchange Server 是帶有集成組件的電子信息交換服務(wù)器，它使通訊交流更容易。它提供了業(yè)界最強(qiáng)的擴(kuò)展性、可靠性和安全性和最高的處理性能，而所有應(yīng)用都可以從通過Internet瀏覽器來訪問。 本電子系統(tǒng)構(gòu)建于Microsoft Exchange Server電子交換服務(wù)器，安裝Exchange服務(wù)器作為郵局，存儲(chǔ)、交換、管理郵件系統(tǒng)中的用戶和信件，以電子郵件為基礎(chǔ)，處理公司的所有郵件，構(gòu)成信息傳遞的基礎(chǔ)，并在此基礎(chǔ)上構(gòu)建如下應(yīng)用：l 個(gè)人級(jí)的應(yīng)用主要完成公司內(nèi)部工作人員日常的辦公工作管理，構(gòu)建電子辦公室環(huán)境。構(gòu)建Microsoft Windows98和Microsoft Office 97 / 2000的套件基礎(chǔ)上。l 企業(yè)級(jí)的應(yīng)用 構(gòu)造公文自動(dòng)處理系統(tǒng)和檔案自動(dòng)管理系統(tǒng)等辦公自動(dòng)化應(yīng)用。2）數(shù)據(jù)庫(kù)應(yīng)用目前應(yīng)用比較廣泛大型數(shù)據(jù)庫(kù)系統(tǒng)主要有Informix、Oracle、Sybase、MicrosoftSQL Server根據(jù)目前業(yè)務(wù)系統(tǒng)的特點(diǎn)，充分考慮今后系統(tǒng)開放性、高效 性、聯(lián)機(jī)事務(wù)處理的要求，數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)該采用SQL Server類型，綜合當(dāng)前SQL Server 產(chǎn)品現(xiàn)狀，我們建議采用MicrosoftSQL Server，并使用獨(dú)立的數(shù)據(jù)庫(kù)服務(wù)器以提高性能。n 本系統(tǒng)面臨一逐步推廣使用的過程，因此要求在系統(tǒng)構(gòu)造時(shí)充分考慮其擴(kuò)展性。n 可伸縮性：SQL Server所有的表、SQL代碼、存儲(chǔ)過程、規(guī)則、觸發(fā)器都能夠在不同的平臺(tái)上運(yùn)行。n 互操作性：MICROSOFT 客戶/服務(wù)器系統(tǒng)能夠透明地與其它廠商的產(chǎn)品聯(lián)結(jié)集成，如DBOracle。較大的機(jī)構(gòu)建立應(yīng)用時(shí)，可以把它們的SQL Server網(wǎng)絡(luò)當(dāng)作一個(gè)單一的集成資源來對(duì)待。n MICROSOFT SQL Server有良好的安全性，達(dá)到C2級(jí)安全要求。3）域名服務(wù) 由于IP地址是使用一長(zhǎng)串的數(shù)字來標(biāo)注主機(jī)鶴其他網(wǎng)絡(luò)設(shè)備，非常難于記憶和不便于使用，因此目前在Internet上，采用一種具有直觀含義的名字來代替以數(shù)字方式表示的IP地址，這種名字形式的地址稱為域名地址，整個(gè)分層的域名地址體系即是域名解析（DNS）。 域名解析是當(dāng)前網(wǎng)絡(luò)中一種成熟的技術(shù)，在本系統(tǒng)中將用Windows 2000的DNS系統(tǒng)來做域名服務(wù)。在Windows2000中，活動(dòng)目錄與DNS緊密集成在一起，客戶可以更容易更迅速地找到目錄服務(wù)器，企業(yè)可以把活動(dòng)目錄直接連接到Internet以簡(jiǎn)化與客戶和合作伙伴進(jìn)行通訊和提供電子商務(wù)，網(wǎng)絡(luò)規(guī)劃和管理變得更容易。在本系統(tǒng)中RAS服務(wù)器配有兩個(gè)Modem ，外出的工作人員可通過電話網(wǎng)撥號(hào)遠(yuǎn)程接入與公司進(jìn)行安全的信息交換。IIS以其強(qiáng)大的服務(wù)能力和豐富的開發(fā)手段，使其成為了電子商務(wù)的主要服務(wù)器平臺(tái)，又增加了許多新的功能：l IIS ，而且可以對(duì)每個(gè)站點(diǎn)應(yīng)用配置獨(dú)立的CPU使用率，并可以獨(dú)立停止和重起每個(gè)進(jìn)程。l 在安全性方面，IIS 2000 Active Directory實(shí)現(xiàn)用戶身份的驗(yàn)證，也可以使用證書和Active Directory的結(jié)合來驗(yàn)證用戶。 l IIS Server Page (ASP) 。ASP ，同時(shí)也可以用ADSI 2000 Active Directory進(jìn)行操作。因此在本系統(tǒng)中將配置一臺(tái)Web服務(wù)器，使用IIS ，提供完善的Web服務(wù)。. 備份服務(wù)（建議采用） 使用計(jì)算機(jī)系統(tǒng)處理日常業(yè)務(wù)在提高效率的同時(shí)， 有一個(gè)問題越來越不容忽視， 即數(shù)據(jù)失效問題。 所以企業(yè)信息化程度越高， 備份和災(zāi)難恢復(fù) 措施就越重要。ARCserve 是一 個(gè) 跨平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)備份軟件，在數(shù)據(jù)保護(hù)、災(zāi)難恢復(fù)、病毒防護(hù)方面均提供全面的產(chǎn)品支持，目前已成為了業(yè)界的事實(shí)標(biāo)準(zhǔn)。全球最大的500家企業(yè)中有95%使用了CA公司的產(chǎn)品。l 對(duì)連網(wǎng)設(shè)備自動(dòng)識(shí)別程序可以用色彩鮮明的分級(jí)網(wǎng)絡(luò)視IP IPX 網(wǎng)生成網(wǎng)絡(luò)拓樸圖； l 能為Cisco 設(shè)備獲取端口狀態(tài)，帶寬使用率，流量統(tǒng)計(jì)，協(xié)議信息及其它網(wǎng)絡(luò)性 能統(tǒng)計(jì)等擴(kuò)展數(shù)據(jù)；l 繪圖功能靈活，可快速記錄和分析可能輸出到文件以備電子數(shù)據(jù)表或其它工具 使用的歷史數(shù)據(jù)；l 管理信息 率（MIB）編輯器和測(cè)覽器可以管理第三方SNMP設(shè)備；l 可以定多種性能變量設(shè)置，以便產(chǎn)生報(bào)警或事件通知； l 事件篩選器可以篩選出有用信息以加速故障排除； l 設(shè)備配置特性用于在Cisco 交換機(jī)內(nèi)配置簡(jiǎn)單的虛擬LAN（VLAN）。 其中，前三個(gè)方面的風(fēng)險(xiǎn)能夠通過增強(qiáng)對(duì)網(wǎng)絡(luò)環(huán)境的抗自然災(zāi)害的能力、加強(qiáng)網(wǎng)絡(luò)設(shè)備管理維護(hù)、系統(tǒng)操作管理等手段來加以完善，盡可能將風(fēng)險(xiǎn)降低到能夠被控制和管理的程度。且不僅僅能夠通過加強(qiáng)對(duì)網(wǎng)絡(luò)環(huán)境及人員的安全管理所能夠?qū)崿F(xiàn)的，盡管安全管理非常重要。這也是本安全方案所要詳細(xì)闡述的。 對(duì)于風(fēng)險(xiǎn)來說，它應(yīng)包括那些可以被管理但又不能被清除的，以及那些能夠中斷網(wǎng)絡(luò)工作流并對(duì)工作環(huán)境造成破壞性的威脅。. 需求分析 網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞，確保網(wǎng)絡(luò)服務(wù)的可用性。 . 安全管理需求分析 如前所述，能否制定一個(gè)統(tǒng)一的安全策略，在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的安全管理，對(duì)于信息網(wǎng)來說就至關(guān)重要了。內(nèi)部安全管理主要采取行政手段和技術(shù)手段相結(jié)合的方法。采用用戶和口令認(rèn)證機(jī)制加強(qiáng)對(duì)用戶的管理，可以通過財(cái)務(wù)軟件本身和一些網(wǎng)絡(luò)層的管理工具來實(shí)現(xiàn)。. 網(wǎng)絡(luò)設(shè)備的安全配置信息網(wǎng)中，整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問網(wǎng)絡(luò)任意的網(wǎng)絡(luò)通訊設(shè)備（例如：路由器，集線器等）。. 對(duì)服務(wù)器訪問的控制對(duì)于服務(wù)器用戶可以設(shè)置不同的用戶權(quán)限，如“非特權(quán)”和“特權(quán)”兩種訪問權(quán)限，非特權(quán)訪問權(quán)限允許用戶在服務(wù)器上查詢某些公眾信息但無法對(duì)服務(wù)器進(jìn)行配置；特權(quán)訪問權(quán)限則允許用戶對(duì)服務(wù)器進(jìn)行完全的配置。CheckPoint FireWall1產(chǎn)品包括以下模塊：l 基本模塊：252。 防火墻模塊（FireWall Module）：包含一個(gè)狀態(tài)檢測(cè)模塊，另外提供用戶認(rèn)證、內(nèi)容安全和多防火墻同步功能；252。 連接控制（Connect Control）：為提供相同服務(wù)的多個(gè)應(yīng)用服務(wù)器提供負(fù)載平衡功能；252。 其它模塊，如加密模塊等。 策略編輯器：維護(hù)管理對(duì)象、建立安全規(guī)則、把安全規(guī)則施加到安全策略執(zhí)行點(diǎn)上去；252。 系統(tǒng)狀態(tài)查看器：查看所有被保護(hù)對(duì)象的狀態(tài)。252。252。企業(yè)級(jí)產(chǎn)品的不同模塊可以安裝在不同的機(jī)器上。FireWall1狀態(tài)檢測(cè)模塊分析所有的包通訊層，汲取相關(guān)的通信和應(yīng)用程序的狀態(tài)信息。狀態(tài)檢測(cè)模塊截獲、分析并處理所有試圖通過防火墻的數(shù)據(jù)包，保證網(wǎng)絡(luò)的高度安全和數(shù)據(jù)完整。狀態(tài)檢測(cè)模塊可以識(shí)別不同應(yīng)用的服務(wù)類型，還可以通過以前的通信及其它應(yīng)用程序分析出狀態(tài)信息。狀態(tài)檢測(cè)模塊把相關(guān)的狀態(tài)和狀態(tài)之間的關(guān)聯(lián)信息存儲(chǔ)到動(dòng)態(tài)連接表中并隨時(shí)更新，通過這些數(shù)據(jù)，F(xiàn)ireWall1可以檢測(cè)到后繼的通信。FireWall1提供的INSPECT語(yǔ)言，結(jié)合FireWall1的安全規(guī)則、應(yīng)用識(shí)別知識(shí)、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)構(gòu)成了一個(gè)強(qiáng)大的安全系統(tǒng)。通過策略編輯器制定的規(guī)則存為一個(gè)用INSPECT寫成的腳本文件，經(jīng)過編譯生成代碼并被加載到安裝有狀態(tài)檢測(cè)模塊的系統(tǒng)上。OPSECCheckPoint是開放安全企業(yè)互聯(lián)聯(lián)盟(OPSEC)的組織和倡導(dǎo)者之一。OPSEC通過把FireWall1嵌入到已有的網(wǎng)絡(luò)平臺(tái)（如Unix、NT服務(wù)器、路由器、交換機(jī)以及防火墻產(chǎn)品），或把其它安全產(chǎn)品無縫集成到FireWall1中，為用戶提供一個(gè)開放的、可擴(kuò)展的安全框架。企業(yè)級(jí)防火墻安全管理FireWall1允許企業(yè)定義并執(zhí)行統(tǒng)一的防火墻中央管理安全策略。規(guī)則庫(kù)里存放的是一些有序的規(guī)則，每條規(guī)則分別指定了源地址、目的地址、服務(wù)類型（HTTP、FTP、TELNET等）、針對(duì)該連接的安全措施（放行、拒絕、丟棄或者是需要通過認(rèn)證等）、需要采取的行動(dòng)（日志記錄、報(bào)警等）、以及安全策略執(zhí)行點(diǎn)（是在防火墻網(wǎng)關(guān)還是在路由器或者其它保護(hù)對(duì)象上上實(shí)施該規(guī)則）。這些系統(tǒng)和管理工作站之間的通信必須先經(jīng)過認(rèn)證，然后通過加密信道傳輸。l 安全策略編輯器：維護(hù)被保護(hù)對(duì)象，維護(hù)規(guī)則庫(kù)，添加、編輯、刪除規(guī)則，加載規(guī)則到安裝了狀態(tài)檢測(cè)模塊的系統(tǒng)上。l 系統(tǒng)狀態(tài)查看器：提供實(shí)時(shí)的系統(tǒng)狀態(tài)、審計(jì)和報(bào)警功能。FireWall1由基本模塊（防火墻模塊、狀態(tài)檢測(cè)模塊和管理模塊）和一些可選模塊組成。管理模塊包括了圖形用戶界面和管理員定義的相關(guān)管理對(duì)象—規(guī)則庫(kù)，網(wǎng)絡(luò)對(duì)象，服務(wù)、用戶等。FireWall1的客戶機(jī)/服務(wù)器結(jié)構(gòu)是完全集成的，只有一個(gè)統(tǒng)一的安全策略和一個(gè)規(guī)則庫(kù)，通過一個(gè)單一的防火墻管理工作站，管理多個(gè)裝載了防火墻模塊、狀態(tài)檢測(cè)模塊或可選模塊的系統(tǒng)。FireWall1可以在不修改本地服務(wù)器或客戶應(yīng)用程序的情況下，對(duì)試圖訪問內(nèi)部服務(wù)器的用戶進(jìn)行身份認(rèn)證。FireWall1提供三種認(rèn)證方法：l 用戶認(rèn)證（User Authentication）：針對(duì)特定服務(wù)提供的基于用戶的透明的身份認(rèn)證，服務(wù)限于FTP、TELNET、HTTP、HTTPS、RLOGIN?？蛻魴C(jī)認(rèn)證不是透明的，需要用戶先登錄到防火墻認(rèn)證IP和用戶身份之后，才允許訪問應(yīng)用服務(wù)器。當(dāng)用戶通過用戶認(rèn)證或會(huì)話認(rèn)證后，同時(shí)也就已經(jīng)通過客戶機(jī)認(rèn)證。采用會(huì)話認(rèn)證的客戶機(jī)必須安裝一個(gè)會(huì)話認(rèn)證代理，訪問不同的服務(wù)時(shí)必須單獨(dú)認(rèn)證。地址翻譯（NAT）FireWall1支持三種不同的地址翻譯模式：l 靜態(tài)源地址翻譯：當(dāng)內(nèi)部的一個(gè)數(shù)據(jù)包通過防火墻出去時(shí)，把其源地址（一般是一個(gè)內(nèi)部保留地址）轉(zhuǎn)換成一個(gè)合法地址。l 靜態(tài)目的地址翻譯：當(dāng)外部的一個(gè)數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)部網(wǎng)時(shí)，把其目的地址（合法地址）轉(zhuǎn)換成一個(gè)內(nèi)部使用的地址（一般是內(nèi)部保留地址）。內(nèi)容安全FireWall1的內(nèi)容安全服務(wù)保護(hù)網(wǎng)絡(luò)免遭各種威脅，包括病毒、Jave和ActiveX代碼攻擊等。內(nèi)容安全與FireWall1的其它安全特性集成在一起，通過圖形用戶界面集中管理。FireWall1的內(nèi)容安全服務(wù)包括：l 利用第三方的防病毒服務(wù)器，通過防火墻規(guī)則配置，掃描通過防火墻的文件，清除計(jì)算機(jī)病毒；l 根據(jù)安全策略，在訪問WEB資源時(shí)，從HTTP頁(yè)面剝離Java Applet，ActiveX等小程序及Java，Script等代碼；l 用戶定義過濾條件，過濾URL；l 控制FTP的操作，過濾FTP傳輸?shù)奈募?nèi)容；l SMTP的內(nèi)容安全（隱藏內(nèi)部地址、剝離特定類型的附件等）；l 可以設(shè)置在發(fā)現(xiàn)異常時(shí)進(jìn)行記錄或報(bào)警；l 通過控制臺(tái)集中管理、配置、維護(hù)。用戶可選用不同的負(fù)載均衡算法：l Server Load—該方法由服務(wù)器提供負(fù)載均衡算法，需要在應(yīng)用服務(wù)器端安裝負(fù)載測(cè)量引擎；l Round Trip—FireWall1利用ping命令測(cè)定防火墻到各個(gè)應(yīng)用服務(wù)器之間的循回時(shí)間，選用循回時(shí)間最小者響應(yīng)用戶請(qǐng)求；l Round Robin—FireWall1根據(jù)其記錄表中的情況，簡(jiǎn)單地指定下一個(gè)應(yīng)用服務(wù)器響應(yīng)；l Random—FireWall1隨機(jī)選取應(yīng)用服務(wù)器響應(yīng)；l Domain—FireWall1按照域名最近的原則，指定最近的應(yīng)用服務(wù)器響應(yīng)。FireWall1可以集中管理以下路由器：l Bay Networks routers, version l Cisco routers, IOS version 9 11l Cisco PIX Firewall，version , l 3Com NetBuilder, version l Microsoft RAS(Steelhead) Routers for Windows NT server  防火墻及防病毒解決方案軟件要求l Checkpoint FireWall1 (50用戶)for Windows 2000l Norton Antivirus for Windows 2000l 網(wǎng)絡(luò)管理軟件硬件要求l Cisco 2610模塊式路由器l 服務(wù)器（雙網(wǎng)卡，一塊為內(nèi)部網(wǎng)用一塊為外部網(wǎng)使用）防火墻網(wǎng)絡(luò)圖. 城域網(wǎng)建設(shè). 基本概述地鐵設(shè)計(jì)院城域網(wǎng)的建設(shè)范圍由中旅商業(yè)城十六層廣州地鐵總公司（地鐵中心機(jī)房）、芳村坑口運(yùn)營(yíng)事業(yè)總部、廣百商業(yè)大廈二十九層資源開發(fā)總部、公園