【正文】 。其著眼點(diǎn)在于：國內(nèi)外領(lǐng)先的廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。 2．業(yè)務(wù)系統(tǒng)的可用性：中小企業(yè)主機(jī)、數(shù)據(jù)庫、應(yīng)用服務(wù)器系統(tǒng)的安全運(yùn)行同樣十分關(guān)鍵，網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問、惡意入侵和破壞。網(wǎng)絡(luò)安全系應(yīng)保證機(jī)密信息在存儲與傳輸時的保密性。 5．網(wǎng)絡(luò)操作的可管理性：對于網(wǎng)絡(luò)安全系統(tǒng)應(yīng)具備審計(jì)和日志功能，對相關(guān)重要操作提供可靠而方便的可管理和維護(hù)功能。（統(tǒng)一威脅管理）更能滿足企業(yè)的網(wǎng)絡(luò)安全需求 、入侵檢測、漏洞掃描、安全審計(jì)、防病毒、流量監(jiān)控等功能產(chǎn)品組成的。而企業(yè)用戶目前急需的是建立一個規(guī)范的安全管理平臺，對各種安全產(chǎn)品進(jìn)行統(tǒng)一管理。UTM安全、管理方便的特點(diǎn)，是安全設(shè)備最大的好處，而這往往也是中小企業(yè)對產(chǎn)品的主要需求。而整合式的UTM產(chǎn)品相對于單獨(dú)購置各種功能，可以有效地降低成本投入。這使得中小企業(yè)可以最大限度地降低對安全供應(yīng)商的技術(shù)服務(wù)要求。 、易于管理，中小企業(yè)能夠在一個統(tǒng)一的架構(gòu)上建立安全基礎(chǔ)設(shè)施，相對于提供單一專有功能的安全設(shè)備，UTM在一個通用的平臺上提供多種安全功能。更為重要的是，用戶可以隨時在這個平臺上增加或調(diào)整安全功能，而任何時候這些安全功能都可以很好地協(xié)同工作。建筑物綜合布線網(wǎng)絡(luò)，需要滿足用戶的近期和長期工作需求, 使其在計(jì)算機(jī)網(wǎng)絡(luò)、通信系統(tǒng)等方面都達(dá)到較高智能化和現(xiàn)代化的水平滿足。以下詳細(xì)對幾種廣域網(wǎng)構(gòu)建方式進(jìn)行了分析和比較，并基于比較分析的結(jié)果，提出蘭州廣域網(wǎng)的構(gòu)建建議、網(wǎng)絡(luò)設(shè)備的規(guī)劃、Internet連接的規(guī)劃。各分公司利用已有的ISDN／電話線路通過遠(yuǎn)程撥號作為主干網(wǎng)絡(luò)的備份網(wǎng)絡(luò)，各個客戶服務(wù)中心和倉庫通過ISDN／電話線路連接到距離最近的分公司，通過分公司和總部連接。公司內(nèi)部上網(wǎng)瀏覽線路使用ADSL寬帶網(wǎng)絡(luò)線路。綜合布線系統(tǒng)具有綜合所有系統(tǒng)和互相兼容的特點(diǎn)，采用光纜或高質(zhì)量的布線部件和連接硬件，能滿足不同生產(chǎn)廠家終端設(shè)備傳輸信號的需要。在綜合布線系統(tǒng)中任何信息點(diǎn)都能連接不同類型的終端設(shè)備，當(dāng)設(shè)備數(shù)量和位置發(fā)生變化時，只需采用簡單的插接工序，實(shí)用方便，其靈活性和適應(yīng)性都強(qiáng)、且節(jié)省工程投資。綜合布線系統(tǒng)的所有布線部件采用積木式的標(biāo)準(zhǔn)件和模塊化設(shè)計(jì)。 一:應(yīng)用帶寬需求按照應(yīng)用系統(tǒng)架構(gòu)的規(guī)劃，蘭州宏宇廣域網(wǎng)涉及的應(yīng)用主要包括：Email系統(tǒng)、知識共享平臺系統(tǒng)、ERP 系統(tǒng)（主要為分公司的財(cái)務(wù)和倉庫管理）、CRM系統(tǒng)（主要為顧客服務(wù)）。該帶寬是根據(jù)各個應(yīng)用系統(tǒng)初期可能的應(yīng)用需求估計(jì)得出，隨著應(yīng)用的不斷深化，帶寬可以隨之不斷增加。2. 蘭州宏宇到目前為止在總部、分公司和顧客服務(wù)中心都已建立了局域網(wǎng)，因此總部、分公司只需分別通過中國電信提供的專線直接接入中國電信的幀中繼網(wǎng)絡(luò)。圖22網(wǎng)絡(luò)規(guī)劃如上圖所示蘭州宏宇分公司各自通過一條專線接入中國電信的幀中繼主干網(wǎng)，達(dá)到最低的保證速率256K、最高的端口速率512K。蘭州宏宇總部通過一條6M專線接入中國電信幀中繼網(wǎng)絡(luò)，該條專線將采用光纖接入的方式，然后分成三根E1線路接入。一旦主干線路損壞，立即撥號到總公司遠(yuǎn)程撥號接入網(wǎng)（ISDN接入ISDN路由器，電話撥號接入Modem Pool），保證網(wǎng)絡(luò)的連通。VPN方案的網(wǎng)絡(luò)連接圖與幀中繼方案基本一致：蘭州宏宇分公司分別通過一條256K 專線接入VPN網(wǎng)絡(luò)，各客服中心／倉庫分別通過ISDN撥號接入分公司網(wǎng)絡(luò)，再通過分公司網(wǎng)絡(luò)和總部相連。由于采用星型的連接方式構(gòu)建蘭州宏宇廣域網(wǎng)，以后無論是增加新的分公司或是將法人企業(yè)連接進(jìn)入整個網(wǎng)絡(luò)，都會比較容易：只需要增加一條幀中繼或VPN線路進(jìn)入主干系統(tǒng)就可以，不會對網(wǎng)絡(luò)拓?fù)溆杏绊?。上述兩種線路接入方式采用的線路設(shè)備（DTU）具有可升級性，在以后升級網(wǎng)絡(luò)帶寬時無須更換設(shè)備，以保護(hù)投資。由于在大多數(shù)的情況下主干網(wǎng)絡(luò)不會中斷，除非一些特殊情況如電信部門的主干光纖被挖斷。一旦出現(xiàn)意外情況主干損壞，再撥號到總部，運(yùn)行成本很低。目前，隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)作為一種處理信息的工具、網(wǎng)絡(luò)作為當(dāng)今社會人們獲取信息、知識的重要途徑和手段，它們已在各行各業(yè)發(fā)揮著越來越重要的作用。在蘭州宏宇電腦企業(yè)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中選用的是星型結(jié)構(gòu)：如下是星型拓?fù)浣Y(jié)構(gòu)圖：圖23 星型拓?fù)浣Y(jié)構(gòu)示意圖星型結(jié)構(gòu)是以中央節(jié)點(diǎn)為中心與各節(jié)點(diǎn)連接而組成的(如23所示)，各節(jié)點(diǎn)與中央節(jié)點(diǎn)通過點(diǎn)與點(diǎn)方式連接，任何兩個站點(diǎn)要進(jìn)行通信都必須經(jīng)過中央節(jié)點(diǎn)控制。星型結(jié)構(gòu)的優(yōu)點(diǎn)是：網(wǎng)絡(luò)結(jié)構(gòu)簡單，組網(wǎng)容易，便于管理，故障診斷容易，可同時連雙絞線、同軸電纜及光纖等多種媒質(zhì)。1節(jié)點(diǎn)擴(kuò)展、移動方便：節(jié)點(diǎn)擴(kuò)展時只需要從集線器或交換機(jī)等集中設(shè)備中拉一條線即可，而要移動一個節(jié)點(diǎn)只需要把相應(yīng)節(jié)點(diǎn)設(shè)備移到新節(jié)點(diǎn)即可，而不會像環(huán)型網(wǎng)絡(luò)那樣牽其一而動全局； 維護(hù)容易；一個節(jié)點(diǎn)出現(xiàn)故障不會影響其它節(jié)點(diǎn)的連接，可任意拆走故障節(jié)點(diǎn)；2 網(wǎng)絡(luò)傳輸數(shù)據(jù)快：這一點(diǎn)可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。星型網(wǎng)絡(luò)幾乎是Ethernet（以太網(wǎng)）網(wǎng)絡(luò)專用，它是因網(wǎng)絡(luò)中的各工作站節(jié)點(diǎn)設(shè)備通過一個網(wǎng)絡(luò)集中設(shè)備（如集線器或者交換機(jī)）連接在一起，各節(jié)點(diǎn)呈星狀分布。特點(diǎn)是很容易在網(wǎng)絡(luò)中增加新的站點(diǎn)，數(shù)據(jù)的安全性和優(yōu)先級容易控制，易實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控，但中心節(jié)點(diǎn)的故障會引起整個網(wǎng)絡(luò)癱瘓。傳統(tǒng)的邊界式防火墻是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的一道屏障,但是其無法對內(nèi)部網(wǎng)絡(luò)訪問進(jìn)行控制，也沒有對黑客行為進(jìn)行入侵檢測和阻斷的功能。用戶對服務(wù)器的訪問的請求與服務(wù)器反饋給用戶的信息，都需要經(jīng)過防火墻的轉(zhuǎn)發(fā),因此，很多防火墻具備網(wǎng)關(guān)的能力。 如果有必要，其實(shí)防火墻是完全可以將攻擊行為都記錄下來的，但是由于出于效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了。方正防火墻3000系列防火墻采用專用硬件、具有先進(jìn)的檢測技術(shù)和國內(nèi)自主知識版權(quán)的安全操作系統(tǒng)。在新一代方正防火墻產(chǎn)品中，對原有的智能IP識別技術(shù)進(jìn)行了大幅度的提升和擴(kuò)充，除了能夠提高網(wǎng)絡(luò)數(shù)據(jù)檢測效率外，還能在防火墻內(nèi)核中針對應(yīng)用進(jìn)行多元化的訪問控制，大大擴(kuò)展了防火墻的控制能力，使得防火墻和應(yīng)用能夠更緊密的結(jié)合。用戶在使用防火墻時最主要的功能就是通過防火墻進(jìn)行訪問控制，隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，原有針對IP包的控制已經(jīng)不能滿足用戶的需求，用戶希望有一種防火墻可以密切和應(yīng)用相結(jié)合，針對具體的網(wǎng)絡(luò)應(yīng)用進(jìn)行訪問控制。方正防火墻可控對象除了傳統(tǒng)的IP包的相關(guān)信息（源地址、目的地址、協(xié)議、源端口、目的端口、報(bào)文代碼、碎片和SYN/ACK等標(biāo)識位）外，還引入了智能IP識別技術(shù)，增加時間、用戶、應(yīng)用及其操作等控制對象，擴(kuò)展了防火墻的防護(hù)功能，使得防火墻和應(yīng)用的結(jié)合更為緊密。對于不同的會話，方正防火墻先通過狀態(tài)檢測技術(shù)在內(nèi)核中進(jìn)行會話的組裝，將檢測對象從數(shù)據(jù)包提升到會話，提高了防火墻的過濾效率。方正防火墻內(nèi)置獨(dú)立可配置的入侵檢測模塊。 防火墻內(nèi)置入侵檢測模塊能夠在黑客掃描節(jié)點(diǎn)的時候就能檢測到并報(bào)警，這樣就能提前將黑客拒之于門外。防火墻內(nèi)置入侵檢測模塊根據(jù)配置文件監(jiān)控任何和TCP，UDP端口的連接。這樣就能滿足不同的需求方式。報(bào)警是否能夠及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時候就能夠做出響應(yīng)，那么管理員會有足夠的時間進(jìn)行防護(hù)。同時會啟動自動防范系統(tǒng)進(jìn)行防范。方正防火墻可增加安全評估模塊。檢測內(nèi)容包括各種端口掃描，各種服務(wù)掃描和CGI掃描，還可以獲取被掃描主機(jī)的信息。完成漏洞掃描后，管理員可以查看掃描結(jié)果和統(tǒng)計(jì)信息，及時獲取掃描的結(jié)果信息，以便針對系統(tǒng)中的漏洞進(jìn)行補(bǔ)救，達(dá)到防范非法攻擊的目的。系統(tǒng)會列出所有被掃描的主機(jī)，管理員可以有選擇的查看主機(jī)的掃描信息，以及相關(guān)的端口掃描結(jié)果、帳號和弱密碼的情況和系統(tǒng)中漏洞的信息。方正防火墻還給出了漏洞的類型，以及受影響的操作系統(tǒng)、漏洞描述和解決方法等，為管理員及時發(fā)現(xiàn)系統(tǒng)漏洞和采取補(bǔ)救，例如升級系統(tǒng)等，提供了方便。方正防火墻支持源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換等NAT模式，可以實(shí)現(xiàn)一對多，多對多，動態(tài)地址轉(zhuǎn)換等多種NAT應(yīng)用方式。2． 目的地址轉(zhuǎn)換（反向NAT），即外部地址向內(nèi)訪問時，被訪問的IP地址（可含端口號