百联下一代网络（NGN）综合服务应用方案.DOC

《百联下一代网络（NGN）综合服务应用方案.DOC》由会员分享，可在线阅读，更多相关《百联下一代网络（NGN）综合服务应用方案.DOC（36页珍藏版）》请在咨信网上搜索。

1、百联下一代网络（NGN）综合服务应用解决方案远灼VoIP百联下一代网络（NGN）综合服务应用解决方案项目建议书上海远灼经贸有限公司VoIP事业部2004年6月5日 本文档包含下列内容前言.3网络的设计思路及目标.4综合服务应用业务定位5第一期工程方案设计6网络的运营管理及计费功能设计.10主要设备介绍.201.前言在科技飞速发展的今天，Internet给我们的工作、生活带来了革命性的变化，我们时时刻刻都在享受网络科技带来的便利，其中VoIP电话、票务预定、数码冲印连锁等就是现代网络的典型应用。对于商业连锁经营者来说，这不但能为便利店等连锁机构带来巨大的人流量和广告效益，又能产生巨大的利润。电信

2、市场的开放导致了电信增值服务提供商之间的激烈竟争，而这种竟争在中国孕育了一个高速增长的网络应用市场。几乎在同一时间，各个提供商在各个城市都开展了虚拟运营服务平台的建设，机遇出现的同时，挑战也出现了。几乎每个提供商，都面临着宽带网如何建设、如何升级、如何运营、如何扩展、如何盈利的问题。上海远灼经贸有限公司在充分考虑了上海百联集团现阶段需求和现有的网点资源后，坚持以满足企业通讯需求和经营需求为目的，基于切实可行的系统造价，以先进的技术，丰富的组网手段，提出了百联综合服务应用网解决方案。有关这一方案的任何问题，欢迎您随时与远灼经贸有限公司VoIP事业部联系。电 话：项 目：技 术；商 务：2.网络的

3、设计思路及目标百联综合服务应用网络的建设目标. 除了提供全市一个综合业务信息平台外，将建设成一个覆盖全市各经营网点，为广泛用户提供多项综合信息服务，VoIP语音、视频服务和票务预定、数码冲印等服务的信息平台。 最主要的目标是配合配合现有网点的发展，抢占新兴业务增长点，开辟一个崭新的数据和信息服务市场。因此，整个系统需能够承载多种服务类型、灵活的用户接口和从窄带到宽带的广谱的接入带宽，同时利用现有的宽带接入、现有设备和百联特有优势，通过高速的INTERNET接入和适当地开发符合国情的本地服务为进入通讯服务市场的切入点，形成经营特色和造就市场影响，并逐步开展多种通讯类型的综合服务，以良好的性能价格

4、比和多种业务综合为特点。另外，从一个企业应用网的角度来看，它应该具有以下几个特性：足够的带宽和良好的升级能力；具有承载多种服务类型的能力；具有良好的投资渐进策略，在网络的有效服务生存周期内，具有较高的投资回报能力；具有高可靠性。网络的接入层应该具有高度的灵活性、易用性，提供多种服务接入能力。从网络的管理层来看，网络应具备完善的控制能力和网络安全性，并提供灵活的计费方式；基于策略的网络管理和基于物理层、链路层和网络层的性能测量和故障监控，并提供远程配置和故障排除能力。3百联综合服务应用网业务定位g 在集团内部实现点对点零话费解决方案g 在集团内部视频电话及可视电话会议g 为广大用户提供便民VoI

5、P公话服务g 电信卡类业务联网销售平台g 各类票务代理服务g 网络数码冲印服务4百联综合服务应用网工程方案设计我们在分析了百联的实际情况后经研究认为百联集团虽然已在很多地理区域内有网点资源和宽带接入优势。但以前对社会各界未开展过VoIP电话等数据网络业务。也就是说，从内部环境来看，没有数据运维的经验和市场运营策略积累。不管是网络管理人员还是系统运行维护人员都急需一个起步级的平台来在实验中培训和学习。同时，只有真正发展部分客户，才能逐步的进入到网络应用的市场中去，社会各界才会逐渐认同网络应用服务提供商的地位。所以，我们不赞同其他集成商一动手就投资一千万甚至几千万来建一个很高级的平台与其他同类公司

6、一争高下的做法。我们充分考虑了百联集团的现阶段需求和今后的平滑升级因素后，坚持以满足应用需求为目的，基于切实可行的系统造价，丰富的组网手段，所设计的百联综合服务应用网是一个起步门槛很低而又可平滑升级，可持续发展的应用网络。一期工程的拓补结构规划如下所示：如上图所示：此方案公司总部选用一台HP服务器做中心呼叫控制器（CMC），构成网络的核心。配置一台HP服务器为VoIP呼叫计费服务器。配置两台HP内容服务器为在线卡类销售、票务代理、数码冲印业务服务器。配置一台路由器来联接外部的internet出口，可同时设置电信、网通等多个出口。配置一台硬件防火墙服务器来保护域内的信息资料不受外来攻击。一期工程

7、所规划的目标是；A.使用世纪网通cnc200语音网关，将个各超市终端与总部联系起来，实现点对点零话费。B.通过中心呼叫控制器（CMC）统一接入中国电信，各超市终端实现VoIP公话经营。C.建成的网络已带有网管控制和认证计费系统（Smartbilling）。D. 建成电信卡类、票务代理和数码冲印网络平台。E.一期工程的总造价将控制在150-200万元之内。系统自身可生成很多种在其它广电宽带网中已成功运营的市场策 略，以弥补百联网络应用经营经验不足。该方案的起步投资小，系统的实际容量为注册用户5000户，2000个并发用户，最大峰值带宽为75-95Mbps，采用穿透三层的WEB认证方式。用户端一次

8、性安装VoIP电话计费客户端软件即可，软件操作简单方便。设备及软件清单；序号名 称型 号描 述数 量1路由器-Cisco 3600冗余LAN接口 LAN toLAN12防火墙DCFW 18003个10/100Base-TX LAN口，包过滤，NAT13内容服务器HPP4 /2.4G/双CPU/512M/120G热拔插/RAID卡24数据库服务器PC SERVERP4 2.4MHz/512MHz内存/3*120GB SCSI硬盘/RAID卡/Win2000 Advance Server/15中心呼叫控制器HP硬件+世纪网通CMC注册用户60000个，并发10000个16接入服务器D2133 BR

9、AS-20003FastEthernet(Internal,External&Management) Port, Upto 2000 Online Users, RADUIS/LDAP Supported17企业级运营管理计费软件CMC SmartbillingISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License18PC工作站联想/天肌P4 2.4G/128M/40G/100M网卡19VoIP

10、语音网关深圳世纪网通CNG300110数据库Oralce 8i5User license15网络的运营管理及计费功能设计宽带数据接入服务对广电网络而言是一门新型业务，很多广电网络公司往往在骨干网上投入巨资兴建网络。却常常忽视运营管理平台的建设，很多地方建成的网络是毫无管理功能的网络，只能对用户实行无限制的简单包月制，导致有限的数据资源被无限制的任意使用。而数据业务与电视节目不同的是电视节目不会因用户观看时间长短而增加成本。但是数据业务的internet资源是要按使用量的多少来支付成本的。所以一个网络有无流量.带宽控制及计费功能将直接影响这个网络的赢利水平。51计费的重要性52运营计费系统的技术

11、选型53邵阳市宽带城域网计费服务系统解决方案6主要设备介绍附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP网络的综合管理控制平台。为电信运营商、虚拟运营商、话费代理开展VOIP网络电话业务提供强大的后台支撑，是企业行业管理维护IP电话网络及各级部门间统计结算的最佳选择。二、功能模块包括会话控制器（含GK功能）、EasyTrans?“易穿”媒体控制器、网络管理中心三部分组成。支持世纪网通嵌入式系统专用硬件平台及WINDOWSLINUX平台三种版本三、系统功能特点会话控制器（含传统GK功能）呼叫认证授权，本地和远程认证。灵活的地址翻译，及主被号码替换。支持二级/平行网

12、守，支持直连方式和媒体/信令路由方式。支持标准H.323V3/4和SIP协议，以及不同协议相互识别、解析、转换。分用户域管理。可制定多种呼叫策略（费率、MOS值、时段、容量、接通率等）支持H.235安全机制，恶意RTP包头检测识别，防网络攻击。语音流量负载均衡 EasyTrans“易穿”媒体控制器l 为终端设备建立媒体和信令的专用传输隧道，可穿透多级防火墙/NAT设备和多网络边界。l 大容量媒体流帧级转发l 网络和语音QoS保障网络管理全网设备轮询监视，及时通知被管设备语音端口和网络端口的状态出现宕机及其它故障时向控制台报警支持防火墙/私网内设备网管图形化配置和控制终端设备设备软件及其配置文件

13、的图形化升级和群升系统自含会话呼叫的统计和日志系统使用日志四、系统性能最大呼叫承载能力5000路最大可管理终端设备容量5000最大并发呼叫数 5000路 附件二 Smartbilling计费系统附件三 CNG300/800语音网关指标名称/型号CNG300CNG800/8CNG800/16语音接口数目2-4路4-8路8-16路VOIP通道数2-4路4-8路8-16路音频接口2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO，8FXS，8FXO，4FXS+4FXO16FXS，16FXO，8FXS+8FXO以太网接口（RJ45）2个10/100M Base-T 串行设置接口

14、（RJ45）一个RS232接口VOIP协议标准H323/V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP*语音编码G.723.1 (5.3K 6.4K b/S)G.729 A/B(8Kb/s)G.711 A/律(64Kb/S)G.Netcodes (2Kb/S)语音质量保障技术支持语音优先标记(TOS)；动态抖动缓冲区（JIFFER BUFFER）； 语音侦测（VAD）及舒适背景噪声生成（CNG）； Diffserv网络协议HTTP、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv内嵌PPPOE及NAT功能支

15、持支持DHCP自动获取IP地址支持功能特性内嵌“易穿”穿透代理模块 支持私网 / 防火墙下设备的远程网管(网管穿透) 支持私网 / 防火墙下语音穿透 支持电话按键配置 支持远程升级软件功能 来电显示/来电识别（Call ID识别) 系统语音信箱、用户自定义语音提示功能 支持DNS动态网守地址寻址 回音消除G.168 (16-64ms)互通特性CISCO、Notel、Lucent、华为等符合ITU标准VOIP系统工作温度10 705% 95%非凝结工作湿度工作电源外接12V，1.5A内置开关电源100V-240V AC；50-60HZ结构尺寸宽*高*深 16CM*4CM*21CM标准19英寸 1

16、U高； 宽*高*深 44CM*4.44CM*30CM重 量1KG约4KG附件四 方正防火墙目前，国内所采用的防火墙大都是国外的产品，留有安全方面的隐患，而网络安全又是关系到国家安全的大事，基于安全方面的考虑，决定了我们中国人只能使用具有自主版权的防火墙产品。建议邵阳市宽带城域网使用方正防火墙。4.1.产品概述FireGate防火墙是SHARKS中的主要安全产品之一。由于防火墙技术的针对性很强，它已成为实现网络安全的重要保障之一。FireGate防火墙是通过对国外防火墙产品的综合分析，针对我们国家的具体应用环境，结合国内外防火墙领域里的最新发展，提出的一种具有强大的信息分析功能、高效包过滤功能、

17、多种反电子欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。FireGate不仅仅是一个包过滤的防火墙，还包括了大量的实用模块，可以为用户提供多方面的服务。FireGate防火墙所包含的模块示意图如下：4.2.系统特点一体化的硬件设计FireGate采用了一体化的硬件设计，采用了自己的操作系统，无需其他操作系统的支持，这样能够发挥硬件的最大性能，同时也提高了系统的安全性。双机热备份通过双机热备份，本系统提供可靠的容错/热待机功能。备份防火墙服务器中存有主防火墙服务器的设置镜像，当主防火墙因为某些原因不能正常运作，备份服务器可以在12秒钟内取代主服务器运作，充分保证整个网络系统运作的稳定

18、性。完善的访问控制FireGate符合国家最新防火墙安全标准，采用了三级权限机制，分为管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制。这样他们共同地负责起一个安全的管理平台。多种工作模式FireGate防火墙可以工作在网桥和路由两种模式下，这样可以方便用户使用。使用网桥模式时在IP层透明，使用路由模式时可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换。方正防火墙特点防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前防火墙技术的实现主要有两种手段：一种

19、是基于包过滤技术(Packetfiltering)；一种是基于代理技术(Proxy)。无论是包过滤、还是应用代理，对系统的安全、基于网络访问的安全研究较多，但对网络上流动的信息内容本身的安全处理较少。而由于我们国家的特殊需求，需要对网络上的信息安全进行分析，并加以过滤和控制。因此从我国实际的应用背景出发，不仅要求防火墙产品实现传统防火墙的技术，同时还要求对网络信息的安全进行分析和控制。FireGate防火墙主要有以下特点：工作于透明桥结构之上，实现于数据链路层，无须IP地址。实现了IP地址与MAC地址绑定的功能，对IP盗用进行了有效的控制。多种手段防范电子欺骗；提供界面友好的控制平台，实现对防

20、火墙安全策略的制定、访问的记录分析、状态的监控以及其它对防火墙的控制功能；信息的记录、分析模块实现直观的用户访问以及网上活动的实时监控。提供各种工具，通过对访问记录及信息的分析、安全审计，发现可疑的连接，及时弥补网络系统的漏洞或进行责任追究。分布式模型设计使得在某一主机上运行的管理模块可以管理多台监控主机的运行。完全保留以太网的高速度，对网络性能影响极小。4.4.FireGate防火墙优势.4.4.1.多种工作模式FireGate防火墙可以工作在网桥和路由两种模式下：A：网桥模式：3个端口构成一个以太网交换机，防火墙本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物

21、理网络。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机与设备的网络设置。B： 路由模式：防火墙本身构成3个网络间的路由器，3个界面分别具有不同的IP地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet，同时隔绝Internet对内网的访问，DMZ区通过反向地址转换对Internet提供服务。在没有

22、安装FireGate防火墙的时候典型网络结构图如下:在安装了FireGate防火墙的时候网络结构图如下:4.3.4.2.包过滤防火墙FireGate包过滤的功能是对指定IP包进行包过滤，并且按照设定策略对IP包进行统计和日志记录，主要根据IP包的如下信息进行过滤：l 源IP地址l 目的IP地址l 协议类型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP报文类型域和代码域l 碎片包l 其它标志位，如SYN，ACK位4.3.4.3.高效的过滤有些防火墙在安装上以后对WEB服务器的吞吐能力影响很大，造成性能的降低。由于FireGate防火墙采用了3I（

23、Intelligent IP Identifying）技术，能够实现快速匹配。因此FireGate防火墙不会对性能造成任何影响。FireGate防火墙优化了算法，使最大并发连接数可以达到200,000个以上，而一般的防火墙的最大并发连接只可以达到几万个左右。4.3.4.4.碎片处理功能由于很多系统平台，包括一些路由器对IP碎片的处理存在问题，容易产生欺骗和拒绝服务等攻击，FireGate防火墙能够识别出IP碎片并且进行控制，这样一来通过禁止IP碎片通过FireGate，防止了这样的问题的产生。4.3.4.5.防SYN Flood攻击一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK

24、消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。典型的就是Syn Flood攻击,通过大量的虚假的Syn包使服务器速度变慢，甚至是死机。一般的防火墙是通过限制每秒钟通过的Syn包数量来组织Syn Flood攻击，这种方法可以在一定意义上阻止Syn Flood攻击，但是也有可能将正常的Syn包忽略掉，因此不是一种非常好的方法。1：没有安装FireGate2：安装FireGateFireGate防火墙使用了两种方式来反Syn Flood攻击，一种方法就是通过设置单位时间内的SYN包数量来控制，另

25、外一种方法修改了TCP/IP堆栈的算法，使得新Syn包始终可以获得连接位。避免了由于大量的攻击SYN包造成网络的阻塞。4.3.4.6.强大的状态检测功能FireGate可以根据数据包的地址、协议和端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进行匹配，而FireGate对每个连接，作为一个数据流，通过规则表与连接表共同配合，在继承了传统包过滤系统对应用透明的特性外，还极大地提高了系统的性能和安全性。其他的防火墙大多采用传统的规则表的匹配方法，随着安全规则的增加，势必会使防火墙的性能大幅度的减少，造成网络拥塞。4.4.轻型/复杂IDS(入侵

26、检测系统)4.4.1.反端口扫描一般黑客如果要对一个网站发动攻击，首先都要扫描目标服务器的端口，确定服务器上开启的服务，然后做出相应的入侵方式。 FireGate入侵检测系统能够在黑客扫描网站的时候就能检测到并报警，这样就能提前将黑客拒之于门外。FireGate入侵检测系统在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消失，从而使黑客无法进行后面的攻击。FireGate入侵检测系统根据配置文件监控任何和TCP、UDP端口的连接。 可以对全部端口同时进行监控，同时也可以忽略指定的端口。这样就能满足不同的需求方式。4.4.2.可以防范1500余种攻击方式1. 检测多种DoS攻击DoS(拒

27、绝服务攻击) 包括很多不同的方式。在这些方式中，三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。最常见的就是服务失效方式，通过DoS攻击可以使一个服务器停止服务，从而造成巨大的损失。FireGate入侵检测系统能够检测包括IGMP攻击、TearDrop、LAND、WinNuke等多种DoS攻击。从而使被托管的服务器处于安全的保护之中。和其它一样， FireGate入侵检测系统一旦发现有DoS攻击，立即在线报警，记录日志。2. 检测多种DDoS攻击Yahoo、CNN等著名网站被黑客攻击使得防黑客成了大家关注的热点。DDoS(分布式拒绝服务)是本次攻击的主要手段。DDoS 攻击的原理是入

28、侵者控制了一些节点，将它们设计成控制点，这些控制点控制了Internet大量的主机，将它们设计成攻击点，攻击点中装载了攻击程序，正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标，隐藏了入侵者的具体位置。FireGate入侵检测系统能够检测包括TFN、Trin00、shaft synflood等多种DDoS工具的攻击。而这些攻击都是进行DDoS攻击的主要工具。3. 检测保护子网中是否存在后门和木马程序后门和木马程序如果存在于网络中，会造成严重的后果，有些后门程序导致管理员的密码被盗取，因此检测保护子网中是否存在后门和木马程序成为入侵检测的一个重要的组成部分。FireGa

29、te入侵检测系统能够检测网络中是否存在流行的BO、BO2000、NetSphere、DeepThroat、WinCrash、BackConstruction等多种后门或木马程序。4. 检测多种针对Finger服务的攻击Finger服务于查询用户的信息，包括网上成员的真实姓名、用户名、最近的登录时间、地点等，也可以用来显示当前登录在机器上的所有用户名，这对于入侵者来说是无价之宝，因为它能告诉他在本机上的有效的登录名。FireGate入侵检测系统能够检测针对Finger服务攻击的如Finger Bomb、Finger search、FINGER-ProbeNull等扫描和攻击。5. 检测多种针对F

30、TP服务的攻击FireGate入侵检测系统能够检测针对不同FTP server，包括AIX FTPD、WuFTP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD发起的FTP-site-exec、 FTP-user-root、Buffer Overflow等多种尝试和攻击行为。6. 检测基于NetBIOS的攻击FireGate入侵检测系统能够对基于NetBIOS的如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多种尝试和攻击行为进行检测。7. 检测缓冲区溢出类型攻击FireGa

31、te入侵检测系统能够对OVERFLOW-x86-solaris-nlps、OVERFLOW-x86-windows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百种堆栈溢出攻击进行检测。8. 检测基于RPC的攻击FireGate入侵检测系统能够对基于RPC的如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多种尝试和攻击行为进行检测。9. 检测

32、基于SMTP的攻击FireGate入侵检测系统能够对针对多种SMTP server，包括Sendmail、Exchange Server、Qmail等所发起的SMTP-expn-root、SMTP Relaying Denied等试探和攻击进行检测。10. 检测基于Telnet的攻击FireGate入侵检测系统能针对基于Telnet的包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多种尝试和攻击。11. 检测网络上传输的病毒和蠕虫FireGate入侵检测系统能在计算机病毒和蠕虫

33、传输到宿主机之前检测出来，包括流行的Happy99、IloveU、PrettyPark等百种蠕虫和病毒，防患于未然。12. 检测CGI攻击FireGate入侵检测系统能检测出包括针对PHF、NPH、pfdisplay.cgi等已知上百种的有安全隐患的CGI进行的探测和攻击方式。13. 检测针对WEB Server的FrontPage扩展进行的攻击14. 检测针对WEB Server的ColdFusion扩展进行的攻击15. 检测针对 MicroSoft IIS server进行的攻击FireGate入侵检测系统能检测View Source exploit、IIS-exec-srch、IIS-a

34、sp-srch等已知的漏洞和弱点的攻击行为。16. 检测利用ICMP进行的扫描和攻击。FireGate入侵检测系统能对利用这种方式进行的网络拓扑探测所产生的PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包进行检测。17. 检测利用Traceroute对网络的探测18. 检测ActiveX，JaveApplet的传输FireGate入侵检测系统能通过匹配网络包内容，可以检测特定的ActiveX、JaveApplet等程序在网络上的传输。20 检测对其他可能的网络服务进行的攻击4.4.3在线升级和实时报警入侵检测系统的库

35、文件需要不断的更新，因此FireGate提供了非常方便的升级接口，可以通过我们的网站进行在线升级，而且我们提供了非常方便的用户升级界面，使升级工作可以非常方便的完成。报警是否及时是衡量一个入侵检测系统的重要因素之一，如果在黑客刚刚进行攻击的时候就能够做出响应，那么管理员会有足够的时间进行防护。 FireGate的报警系统和入侵检测系统的协调工作几乎是一致的，一旦入侵检测系统检测到攻击，报警系统会马上做出反应，通过Email或手机通知管理员。同时会启动自动防范系统进行防范。4.4.4.入侵检测和防火墙的互动通过通信行为跟踪，防火墙能够检测到对网络的多种扫描，检测到对网络的攻击行为，并能够对攻击行

36、为进行响应，包括自动防范及用户自定义安全响应策略等。系统支持“DMZ到外部网”和“内部网到外部网”的地址转换和反向地址转换，也就是说内部网主机和DMZ区的主机都可以采用保留地址，从而减少注册IP地址的使用。通过地址转换转换可以更有效地利用IP地址资源，并且提供更好的安全性。4.5.代理服务器功能对于WEB用户来说，FireGate是一个高性能的代理缓存服务器，FireGate支持FTP、gopher和HTTP协议。和一般的代理缓存软件不同，FireGate用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。FireGate将数据元缓存在内存中，同时也缓存DNS查询的结果。除此之外

37、，FireGate还支持非模块化的DNS查询，对失败的请求进行消极缓存。FireGate支持SSL，支持访问控制。用户可以通过编辑“黑名单”和“白名单”设置“禁止用户访问的站点”和“仅允许访问的站点”，同时还可以建立URL级的访问限制，通过建立禁止用户访问的URL列表，FireGate防火墙可以对该列表进行匹配，禁止对列表中的URL的访问。违反限制规则的访问企图将被记录到系统日志中。FireGate防火墙提供的URL级的屏蔽功能，可以使管理员屏蔽某些URL，如色情、反动的主页等。另外通过对内部网的WWW服务器的某些URL屏蔽，可以消除服务器本身的安全漏洞，从而对WWW服务器进行保护。4.6.双

38、机热备FireGate防火墙系统能够在网络中智能地寻找与其对等的备份机，并且使备份机自动进入等待状态，而一旦备份机发现主工作机失效，可及时启动，防止网络中断事故的发生。 其智能识别技术甚至可以支持多于两台以上的FireGate在网络上互为备份，适用于对可靠性要求极高的场合。4.7.强大的审计功能审计功能是FireGate非常强大的一个部分，目前国内防火墙的审计功能都非常不完善，FireGate提供了大量的审计内容和对审计内容的查询功能，由于过于复杂的日志比较难以理解，我们将日志记录分成了若干部分，而且每一个部分都是可以单独进行查询和管理的，这样一来就可以使用户对防火墙的情况有一个非常透彻的了解

39、。FireGate中审计功能有着非常完善的权限管理，有专门的审计员来对审计内容进行管理，在审计中又分成了若干级别的权限。这样可以方便管理员管理审计内容。4.8.基于PKI的高级授权认证PKI（Public Key Infrastructure）是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统（CA/RA）是PKI不可缺的组成部分。网络，特别是Internet网络的安全

40、应用已经离不开 PKI技术的支持。网络应用中的机密性、真实性、完整性、不可否认性和存取控制等安全需 求只有PKI技术才能满足。PKI在国外已经开始实际应用。在美国，随着电 子商务的日益兴旺，电子签名、数字证书已经在实际中得到了一定程度的应用，就连某些国家都已经开始接受电子签名的档案。FireGate的授权认证是基于PKI基础之上，因此完全性极高。有些防火墙的认证机制采用OTP（Once Time Password），或者采用了静态口令机制。比如说，静态密码是用户和机器之间共知的一种信息，而其他人不知道，这样用户若知道这个口令，就说明用户是机器所认为的那个人，那么就很容易的控制防火墙。而一次性口

41、令也一样，用户和机器之间必须共知一条通行短语，而这通行短语对外界是完全保密的。和静态口令不同的是，这个通行短语并不在网络上进行传输，所以黑客通过网络窃听是不可能的。但是使用起来没有使用证书认证方便。因此FireGate基于PKI的高级授权认证机制在技术上面非常的先进，超越了大部分的防火墙产品。4.9.集中管理根据美国财经杂志统计资料表明，30%的入侵发生在有防火墙的情况下，这些入侵的主要原因并非是防火墙无用，而是由于一般的防火墙的管理及配置相当复杂，要想成功的维护防火墙，要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，而且防火墙的安全策略无法进行集中管理，这些都造成了

42、安全策略的失效。而FireGate防火墙采用基于Windows GUI的用户界面进行远程集中式管理，配置管理界面直观，易于操作。可以通过一个控制机对多台FireGate进行集中式的管理。4.10.实时控制和日志转存管理员可以通过控制界面对防火墙进行实时的控制和调整，可以修改其策略和工作方式。管理员可以将日志保存起来，供以后分析使用，由于FireGate每天都会记录大量的日志信息，而且一些日志记录是非常有用的信息，因此FireGate的日志监视系统会将服务器上面的日志下载到管理员的机器上面，管理员可以对它进行编辑和保存。4.11.灵活的配置方式4.11.1.可视化配置FireGate的配置都是在

43、Windows下面的图形界面中进行的，因此配置起来比较方便，对于用户而言，无需了解过多的安全知识，就可以配置好FireGate，而且让之工作起来。4.11.2.预置包过滤规则集预置的包过滤规则集是对常见的防火墙应用进行总结归纳出的防火墙规则模板，每个预置的包过滤规则集都对应了一种比较典型的网络布置情况。对于常规的应用，用户可以直接调用预置的包过滤规则集来完成，大大简化了用户对防火墙的设置工作。由于FireGate防火墙是一种包过滤类型的防火墙，因此通过规则集来进行包的检查，而不同的网络布置情况决定了不同的包过滤规则集，因此FireGate防火墙预置了对应多种网络布置情况的包过滤规则供用户选择使

44、用。FireGate防火墙可以灵活地满足不同的安全需要，为企业，托管服务器等提供一个不同层次和不同方位的安全保障。而且完善的审计记录和流量统计信息为用户提供了大量有用的记录和信息。FireGate典型应用于IDC、金融、证券需要重点保护的计算机网络，大、中、小型企业的计算机网络以及ICP、ISP的托管主机群。附件五 Cisco 3600路由器Cisco 3600是世界第一个真正的多功能应用支持平台，在单独一个服务器上广泛支持分支机构/企业拨号访问应用，LAN到LAN或者路由选择应用以及多服务应用。它提供前所未有的模块化选项，可使用多种不同的网 络模块，它还具有强大的灵活性，可针对客户的不同应用

45、环境，提供各种配置选项，而且最重要的是，它具有支持所有这些应用的优质运行性能。-作为一个多功能解决方案，你可以依靠Cisco 3600平台的出众性能、安全性以及灵活性来满足你未来多年的需要。与具有综合管理、配置以及单供应商支持的一台多功能设备相比，管理、配置以及支持多台设备。 此外，Cisco IOSTM软件包含许多可提供安全性、可靠性以及WAN优化的功能，在任何应用环境中，都可以使用Cisco IOSA功能来控制不断上升的WAN费用。Cisco IOS软件支持在帧中继、专线以及拨号网络上的数据压缩。Cisco IOS软件拥有广泛的多媒体功能，可以支持诸如在WAN上的电话会议那样的新型应用。资

46、源预保留协议（RSVP）、非协议依赖性的多点广播（PIM）以及加权公平排队（WF）等功能可以保证一贯的服务质量以及较高的应用可用性。A.Cisco 3600提供的多种功能 Cisco 3600的目标是满足不断发展的需要。Cisco 3600在一个模块化的机箱中有不同的模块选择可以最大限度地保护用户投资，其性能可以处理上述不同的需要，而且还有能力满足将来的发展需求。例如，作为一个ISDN连接解决方案，配有集成数字调制解调器的Cisco 3600ISDN PRI连接服务器非常适合那些机架空间有限的机构。Cisco 3600配有冗余LAN接口，包括提供数据回拖到聚合点，同时，它的冗余LAN接口，包括提供快速以太网以及令牌网的功能，可以灵活地置于各种不同的LAN环境中。B.Cisco 3600提供多协议拨号连接成功的远程连接意味着能够几次透明地连接到任何地点的用户，同时可支持任何协议。远程和移动用户的不同需要使ISDN和异步连接都