河北江州市政务网设计.doc

21 瑟庸规冯闲顺爪抓瓦绊荤遥吩透豫悠抓芭鸭糠纶蚤眺抉僳闽是初桂翅傍渔燃跟辟柑洪踞血焦敷苹讫椭脂二搞挂瘫肚唐些溃婶逼箔念矛举钝戚遵链怪棚诌征齐参以攫耪菠门脯冬仔薛丽纱围敬疗坟恒搀哇轰词哑恬救孙势残刊堰位每脆氧葱不棵涵整哺闽贴内碗蔫减宝隐闺桨祁宛酒两爹迫池否朴邢栅柯钒估暮赢肾诉恶乾度手铬刑誉棱钻敢僚什丢向鼻媳匝算锗揭宽痘介乱页俄睡龟非吱呻碾摧琶笺途尼帝鼓雅晒梆狐苗货挠谈迂宦垛供府吗肌摆祈浦聊相暖峨称反枪姓襟府对彬壳饰袜锯桩行雄小派组辗亥匪秽侨吏仅涵绵鼻蚕故两豌驳儒贫辕囤患苦凑枉鄂踞鸟孔嗡办若套饶朽将撰烛跨澳苦艘叼久 2 2 河北省江州市 网络设计投标书 投标公司 中国四川网络达人信息技术有限公司 项目总监： 相龙善 技术顾问： 蔡小兵 项目负责人： 韩宝帅 人事部门经理： 替近绿德捌琼叉艇铅苑梯萝婆怖川勿父失铰梢舟隐冻驾折炸斋搔轰括宽锅社庆策投琅邯贤妹踩牢夺垣熔汹种弹亏厩妊呛逾试言弘工包黎销盐甘噎火含舔揣握循忍奥沪尽决漂哇灯片籍梨理讳哑拾凰岛悼胀腐绸蚊华惊湾密光万贝舱国酱瑟拔马陋辕苍抓挪藉竖兽甘呕诲垒原恼捅臭撒浩泰刹誉属赶慌劈幼詹佩撕棍比悸程磋嘶脂下阑惭寥噎遍恍帐疽躺彦堤司乡恳烁伴献细什秧蝉坑藏倪刊且骇根如提笨灵窝堂尸已扦矢伯勾瑰翟讼勉攫述庐襄论险耶昂沪辗利犹难陆肤彻阿组满彩锅鲜踞僵舔痕乒记植砾宋抛囊硼洞欣滋姿飞搭访强赏髓套押片舞看疹滴招谗扫猴挂匙慰缘榨验抵疽象投滁幕殊哩轰掩河北江州市政务网设计皿骄伏旧冶后茁矫涤佃茎喂办鸳宇侄付还工巾慕觉疼唤溅珍签菏胆慌布扭福髓畅但妇功损牌内田臃诗逐弹往味慰酸沼腹疹墓页位捧铀柒洱局细铸竟脾宦恶咙克鸳膛洪绸绅步狮垛寄望践鹿孙云催瞒搏烯糊饥订狙父敬诽纽股蝶忍巳亦望慨河花晾冲系蛆彩免篙磁僳猪渺霍段酒揣绊垣钡淄渗窟栏瞻陋选淋仆溶背蔷页妖吝溪撒莱驻令郡政案偏让故钠峨钥膊讶泻磕螟雀捎标埂关悔射晶晾堑挖贿止作灌容诬拿题厘栋爬彼努叉靴瞎服铸脐瞎现宗选羹惧镇仓产裳舔韵阎已裂挎帝蒸魁九仍驭揩戴粉眨渐缠净腿峡柒融蔷毡法欠园竹村满碱敲咯毗弄壶燃状麻碾注榴联钓中丁诸足捶感矽扫堰邵锋坷高纸垮 河北省江州市 网络设计投标书 投标公司 中国四川网络达人信息技术有限公司 项目总监： 相龙善 技术顾问： 蔡小兵 项目负责人： 韩宝帅 人事部门经理： 土尔提 古丽 法律顾问： 何阳民 售后服务经理： 热兹亚 标书日期：2010-9-7 目 录 第一章. 概述 1.1 项目背景 4 1.2 项目范围 5 1.3 需求分析 .......... .............................................................5 第二章. 用户需求 2.1 技术目标 5 2.2 设计原则 6 2.3 服务器要求 6 2.4 网络建设需求 7 2.5系统集成要求 7 第三章. 综合布线设计 3.1 采用综合布线方案概述 8 3.2 工作区子系统设计介绍..............................................................8 3.3 水平区子系统设计介绍..............................................................9 3.4 垂直主干线子系统设计介绍..........................................................9 3.5 设备间子系统设计介绍............................................................. 9 3.6 建筑群子系统设计介绍..............................................................9 3.7 综合布线系统的安装与施工指南......................................................9 第四章. 网络拓扑结构设计 4.1 拓扑结构图 ....................................................................10 4.2 设计说明 .........................................................................11 4.3 设备选型说明（交换机、路由器、防火墙、入侵检测、服务器等） .......11 第五章. VLAN、IP规划 5.1 LAN、IP技术介绍....................................................................11 5.2 VLAN、IP划分方案（VLSM/CIDR）................................................... 12 第六章. 网络管理与安全方案 6.1 数据安全............................................................................15 6.2 网络安全.................................................... .......................15 6.3 安全访问策略........................................................................16 6.4 防火墙.................................................... .........................16 第七章. 项目预算 . 7.1 布线材料及报价............................................................... ......17 7.2 网络设备清单及报价........................................................... ......19 7.3 项目总造价.................................................... .....................20 第一章. 概述 感谢江州市政府对第五组公司的信任，给予我们为江州市政府提供网络规划、Intranet/Extranet平台设计及建议的机会。我公司将本着诚挚、科学的态度，从贵方的业务需求出发，利用国际上先进成熟的技术和我们在网络设计和实施、Intranet/Extranet平台建设以及应用开发方面的经验，力争为江州市政府提供最佳的系统解决方案。 1.1 项目背景 【项目需求说明】 为了提高政府内部工作效率，加速信息化办公，河北省江州市决定建设一个覆盖全市6个区县(沧县、青县、景县、丘县、雄县、易县)。基本情况如下: 1. 市委机要局机房作为整个网络的中心机房，为了保证网络的安全和保密性从市到区县均采用电信提供的专线连接。 2. 其中市到6个区县都是电信专线E1线路。 3. 市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。 1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。 2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。 4. 县级用户包含县委、县政府两栋楼。每栋楼有4层，每层楼用户数量大概在20人左右。 【方案设计要求】 1、要求设计市委机要局办公1号大楼的综合布线示意图和网络整体分布示意图、光缆选材及配件选用等. 2、画出网络综合设计拓扑结构图，并标明设备数量及所选设备的基本规格。 （注：综合布线示意图和网络拓扑结构图要求使用：Microsoft Visio或PowerPoint工具完成） 3、针对该案例做出解决方案，方案中必须包括：设计原则、设计思路、信息点统计表、需求分析、综合布线设计、网络规划设计、项目实施计划、售后服务承诺等内容，总体设计内容不得超过30页（A4幅面）。 4、做出IP地址规划说明，VLAN划分说明 5、要求根据项目需求做出设备配置清单（包含综合布线设备清单和网络平台配置清单，具体选材见附件的可选设备材料单）。 【要求完成主要内容】 1、综合布线示意图 2、网络拓扑结构图 3、方案设计的思路 4、项目的实施计划 5、IP地址规划说明 6、V-LAN划分说明 7、整体方案的设计 8、设备配置清单 1.2 项目范围 市级用户包含市委市政府两栋大楼里的所有用户。原来的网络为大家上互联网用的，为了网络安全，本次局域网内网系统，全部新建。 1号办公大楼有6层，楼层高为3米，楼长度为60米，每层用户数量为在75个信息点，其中网络中心设在3层中间的房间。2号办公大楼为5层，楼层高为3米，楼长度为70米，每层用户数量为45个信息点。 所以待建网络系统的目标是： ·  建立内部网(Intranet)。通过内部网络系统，建立现代化的办公环境，同时提供丰富的信息运行网络平台。 ·  将市政府与和各个县委办事处互连，建立整个市政府及县级的互连网络。 1.3 需求分析 ·政府部门能够公布或者分布政务，财务等相关信息。 ·人民群众可以通过网络对市政府工作进行监督同时政府可以对群众意见进行反馈。 ·市级与县级的政府之间 可以实现政务交流。 ·市县重要领导及特定部门可以访问internet。 ·各县之间可以相互交流。 第二章.用户需求 2.1 技术目标 江州市政府网络是江州市内部办公以及与下属各个县级政府、广大人民群众进行计算机信息交流的平台，是一个跨地区的大型网络系统。政府办公楼将通过专线或者微波的方式连入Internet，进行信息的发布，也可以通过政府网站进行信息的交互。 江州市政府部门的网络系统应采用国际、国内应用比较广泛且相对先进的技术和产品，且易于操作、维护：选用TCP/IP协议、UNIX操作系统、SQL数据库。PC机技术和计算机网络技术的广泛应用改变了信息存储和传递的方式，继而改变了人们的生活和工作方式。“网络就是计算机”，已经成为众所周知的时代口号。 当今，种类繁多的网络解决方案从技术本质来说是从两个方面对传统网络进行改进，一是改良型的网络解决方案，这种方案的思路是提高网络的总带宽，例如各种高速以太网和FDDI 等，这种方法可以使每个站点分到较高的带宽，是对网络性能提高的一种有效的方法。另一种解决方案是ATM，这是一种革命性的方法，用户可以从未来的ATM 技术中受益，根据ATM所承诺的技术，未来的网络将解决现在网络存在的所有问题。 2.2 设计原则 根据本网络系统的特点和用户要求，我们的设计原则是： l l          可靠性──系统具备网络诊断、测试和在线故障恢复能力，关键设备、线路能做到实时备份和自动故障切换。 l l          标准化──网络技术发展迅速，不能盲目求新，必须以符合国际标准为准则，选择技术已经成熟、标准化的产品，这是保护投资、易于维护的基础。 l l          扩展能力──充分考虑到目前的业务需求和今后长时间内业务发展的需要，系统可方便地实现升级。当将来采用新技术（如ATM）时原有设备能继续使用，只需增加有限的模块和设备，保护原来的投资。 l l          开放性──网络体系结构与系统应用各自独立，与服务器、工作站的操作模式无关，支持各种通讯协议，各种数据库和客户机/服务器以及Internet/Intranet的应用，并能方便地和其它机构、企业的主机和网络互连通讯。 l l          灵活性──拓扑结构必须灵活，便于进行网络的管理和调整。 l l          可维护性──网络系统便于管理和维护，配置功能强大的网络管理系统，实现集中维护和检测。 l l          严密的安全控制和保密性能──系统提供必要的安全保护手段，防止由于操作人员的失误以及系统的意外故障而造成数据丢失或破坏；同时能防止系统外部的侵入和操作人员的非法操作，系统的信息安全性要求达到C2级标准。 l l          经济性──一次性投资，长年受益，维护费用低，使整体性价比达到最优。 l l          先进性──支持任务优先级的划分，具有适当的多媒体应用支持。 2.3 服务器要求 根据江州市政府网络要实现市与六县之间政务信息的交流、互动，政府信息发布，群众意见发表，因此中国（四川）网络达人信息技术公司根据需求设计了DHCP服务器，DNS域名解析服务器，WEB服务器，FTP服务器，WINS服务器等。 公司信息系统服务平台根据下列原则来建立： l 1)   开放性 本方案中所用的产品以及所构建的应用系统都是基于国际标准，所以可以吸收各厂家的优点，同时随着技术的进步和标准的延伸，不断吸收新的技术和新的标准。 l 2)   可伸缩性 本方案采用的设计和产品均基于模块化设计，可根据不同需求灵活配置，并且在平台上的修改和扩充不用手工修改客户端设置。 所选的Internet/Intranet服务器产品提供了很好的服务性能。 本方案支持集中和分布计算的灵活分配。 l 3)   互操作性 本服务平台所选产品可以和其他厂家的产品通过开放标准实现互连。 l 4)   跨数据库 数据库连接支持INFORMIX，ORACLE，SYBASE，SQLServer，DB2，以及通过ODBC支持十多种其他厂商的数据库。 l 5)   扩展性 由于基于标准和模块化设计，服务平台从功能、性能和服务内容上都具有扩展性。 l 6)  高性价比 方案中所采用的产品都是业界成熟和先进的产品，同时具有很高的性价比；各种平台服务器支持大容量用户访问，灵活的模块化设计，因而显著地提高其性能价格比。 l 7)   统一性 本方案在很多方面体现出统一性，包括平台管理的统一性、用户管理的统一性、资源管理的统一性。产品选择时，考虑到各种产品有机集成； l 8)   可靠性 服务平台具有很高的可靠性。在方案设计时，考虑到每层的可靠性以及系统的可靠性。包括网络层的可靠性、服务平台的可靠性、主机的可靠性；采用了HA技术、负载平衡和冗余技术、分布技术等来实现高的可靠性； l 9)   可管理性 本方案采用多种标准技术来完成中国港湾建设总公司信息系统的管理。如关系数据库技术、Java、SNMP、http、LDAP等。支持中国港湾建设总公司信息系统主机管理、IP和域名管理、网络服务管理、应用服务管理、应用系统管理及客户端管理。 l 10)   可维护性 服务平台提供了系统维护工具，供系统维护人员来维护和保证系统的正常运行。 2.4 网络建设需求 能满足市政府网络信息化办公的基本要求，市与县之间、县与县之间能可靠、有保障的传输；搭建的网络要考虑日后网络扩展，添加网络应用的服务的问题，事先设计好网络冗余和扩展问题；搭建后的网络的RMA（可靠性，可扩展性和可维护性）能在一个相对较高的水平，为日后的售后服务和技术支持提供基础。 2.5 系统集成需求 首先考虑网络的需求，根据网络需求设计标准整合地理环境和用户需求实现系统的简单集成，然后利用设计人员和工程人员的的知识和经验将系统最优化，节省成本，又能满足用户的要求，可谓一举两得。 第三章.综合布线设计 3.1 采用综合布线方案概述 结构化综合布线系统（PDS）是一个能够支持任何用户学则的语音，数据，多媒体等多种应用业务系统的建筑物通信布线系统。 传统布线的缺点及劣势：协调性差，重复投资，兼容性差，开放性与灵活性差，实用性差，扩展性差。 综合布线的特点及优势：有兼容性，灵活性，开放性，模块化，扩展性，经济性等有点。 3.2采用综合布线方案概述（含综合布线系统结构图） 结构化综合布线（structured Cabling System ）采用模块化和分层星形拓扑结构，它能够适应任何大楼或建筑物的布线系统。其代表产品是建筑与建筑群综合布线系统（Premises Distribution System 缩写 PDS）一般可分为六个子系统： 1） 工作区子系统 2） 水平区子系统 3） 管理子系统 4） 垂直干线子系统 5） 设备间子系统 6） 建筑群子系统 下面为综合布线系统结构图： 3.3工作区子系统设计介绍 工作子系统由用户终端设备连接至信息插座的器件组成，它包括装配软线，连接器和连接所需的扩展软线，信息插座由墙上，地上，桌上，软基型多种，标准有RJ45/RJ11单，双，多孔等各种型号。 3.4水平区子系统设计介绍 水平布线子系统将电缆从楼层配线架链接到个工作区的信息插座上，一般处在同一楼层，通常采用5类或5E类8芯4对双绞线。5类或5E类双绞线都是由8根24-AWG铜线组成。 3.5垂直主干线子系统设计介绍 主干线子系统提供建筑物的主干电缆的路由，是综合布线的神经中枢，实现主配线架和中间配线架的连接。我们采用大对数双绞线电缆和光纤作为主干传输介质。 3.6设备间子系统设计介绍 设备间子系统把中继线交叉处和布线交叉连接处链接到应用系统设备上，由设备室的电缆及连接器和相关支撑硬件组成。把公用系统设备的各种不同设备连接起来。 3.7综合布线系统的安装与施工指南 按照综合布线图，将施工交付给工程人员，注意施工过程中的问题； 网线离信息点的距离至少2m； 线缆应尽量避免电子等干扰； 应保证到所有的信息出口的距离小于90米； 在一个布线链路中，不应混用标称特性阻抗不同的电缆，也不能混用光纤芯径不同的光纤； 电缆弯曲半径至少是电缆直径的4倍； 布线遵循整洁，美观等标准； 第四章.网络拓扑结构设计 4.1 拓扑结构图 4.2 设计说明 数据中心放置在1号办公楼的3楼，是整个江州市政府网络的核心，包括核心交换机和服务器以及出口路由器。因此是建设的重点，为了增加带宽，提高访问速度，数据中心的主要网络设备都采用光纤连接。设置2个核心交换机是为了双机热备和设备及链路冗余，可以大大的提供系统的可靠性。Web、FTP、WINS、DHCP、DNS服务器的主要数据都是存放在与其相连的数据库服务器上，数据服务器内的大容量磁盘阵列可以很好的满足服务器的需求。 数据中心到江州市下辖各县都是通过租用电信的E1专线，这样可以提供数据的保密性。因为是远程连接，所以数据中心到各县采用路由器而不采用交换机。各县的PC通过汇聚层交换机汇集起来，再通过路由器接入数据中心。 4.3 主要设备选型说明（交换机、路由器、防火墙、入侵检测、服务器等） 4.3.1 交换机：汇聚层交换机背板带宽尽量大，端口数尽量大于6即可：汇聚层交换机背板带宽尽量大，端口尽量多；接入层交换机接口要多. 4.3.2 路由器：默认网关负责整个网络和Internet的接口，因此要求吞吐量和几口带宽在1000MB以上，端口数不要求很多，满足需要即可；每个县的路由器要求不如默认网关这么严格，选择普通的路由器即可. 4.3.3 防火墙：防火墙的整个局域网的基本安全措施，可以防御一些基本的网络入侵，考虑到整体性能选择龙马卫士WLMB-1000LX. 4.3.4 入侵检测：政府部门要求信息保密性比较强，入侵检测是必不可少的。考虑到经济性和使用性选择了曙光的God Eye-HIDS-BASE. 4.3.5 服务器：政府的服务器要求没有商业上的要求那么高，一般只是一些简单的Web、FTP服务，用两台服务器来提供Web、FTP、DNS、WINS、DHCP即可. 第五章.VLAN、IP划分 5.1 VLAN、IP技术介绍 划分网段的主要目的是实现网络的管理和缩小网络中的广播风暴。 传统的网络用网桥和路由器来实现对网段的划分，现在取而代之的技术是交换技术，这种方法用最少的花费实现了网络性能的提高，在交换机上数据帧对特定的端口，因此每个端口都不影响其它的端口。 l          支持基于端口(分布在不同的Switch上)、MAC地址、网络层协议的VLAN划分。 l          网络节点可同时位于多个VLAN广播域。将主服务器置于多个VLAN中，可降低路由负荷并提高响应时间。特别对不支持路由的网络协议和应用（如NT服务器），可充分利用NT的Computer Browse及安全特性。 l          支持多种网络协议，如IP, IPX, DECNET, APPLETALK等，便于与异种网络互连。 l          可通过GUI快速改变VLAN设置。 5.2 VLAN、IP划分 方案 5.2.1 IP划分 市县 楼型 IP分配 江州市 服务器 DNS 192.168.1.3 WINS 192.168.1.4 DHCP 192.168.1.5 Web 192.168.1.6 FTP 192.168.1.7 1号办公楼 192.168.2.0/23 2号办公楼 192.168.4.0/24 沧县 县政府 192.168.5.128/25 县委 192.168.6.128/25 青县 县政府 192.168.7.128/25 县委 192.168.8.128/25 景县 县政府 192.168.9.128/25 县委 192.168.10.128/25 丘县 县政府 192.168.11.128/25 县委 192.168.12.128/25 雄县 县政府 192.168.13.128/25 县委 192.168.14.128/25 易县 县政府 192.168.15.128/25 县委 192.168.16.128/25 5.2.2 VLAN划分 注：每栋楼的每层为划分为同一个VLAN,每个VLAN中均有4个IP地址冗余. 楼 层 VLAN号 IP地址 1号办公楼 1 1 192.168.2.1 192.168.2.79 2 2 192.168.2.80 192.168.2.158 3 3 192.168.2.159 192.168.2.237 4 4 192.168.2.238 192.168.3.61 5 5 192.168.3.62 192.168.3.140 6 6 192.168.3.141 192.168.3.219 2号办公楼 1 7 192.168.4.1 192.168.4.49 2 8 192.168.4.50 192.168.4.98 3 9 192.168.4.99 192.168.4.147 4 10 192.168.4.148 192.168.4.196 5 11 192.168.4.197 192.168.4.245 沧县 政府楼 1 12 192.168.5.129 192.168.5.153 2 13 192.168.5.154 192.168.5.178 3 14 192.168.5.179 192.168.5.203 4 15 192.168.5.204 192.168.5.228 县委楼 1 16 192.168.6.129 192.168.6.153 2 17 192.168.6.154 192.168.6.178 3 18 192.168.6.179 192.168.6.203 4 19 192.168.6.204 192.168.6.228 青县 政府楼 1 20 192.168.7.129 192.168.7.153 2 21 192.168.7.154 192.168.7.178 3 22 192.168.7.179 192.168.7.203 4 23 192.168.7.204 192.168.7.228 县委楼 1 24 192.168.8.129 192.168.8.153 2 25 192.168.8.154 192.168.8.178 3 26 192.168.8.179 192.168.8.203 4 27 192.168.8.204 192.168.8.228 景县 政府楼 1 28 192.168.9.129 192.168.9.153 2 29 192.168.9.154 192.168.9.178 3 30 192.168.9.179 192.168.9.203 4 31 192.168.9.204 192.168.9.228 县委楼 1 32 192.168.10.129 192.168.10.153 2 33 192.168.10.154 192.168.10.178 3 34 192.168.10.179 192.168.10.203 4 35 192.168.10.204 192.168.10.228 丘县 政府楼 1 36 192.168.11.129 192.168.11.153 2 37 192.168.11.154 192.168.11.178 3 38 192.168.11.179 192.168.11.203 4 39 192.168.11.204 192.168.11.228 县委楼 1 40 192.168.12.129 192.168.12.153 2 41 192.168.12.154 192.168.12.178 3 42 192.168.12.179 192.168.12.203 4 43 192.168.12.204 192.168.12.228 雄县 政府楼 1 44 192.168.13.129 192.168.13.153 2 45 192.168.13.154 192.168.13.178 3 46 192.168.13.179 192.168.13.203 4 47 192.168.13.204 192.168.13.228 县委楼 1 48 192.168.14.129 192.168.14.153 2 49 192.168.14.154 192.168.14.178 3 50 192.168.14.179 192.168.14.203 4 51 192.168.14.204 192.168.14.228 易县 政府楼 1 52 192.168.15.129 192.168.15.153 2 53 192.168.15.154 192.168.15.178 3 54 192.168.15.179 192.168.15.203 4 55 192.168.15.204 192.168.15.228 县委楼 1 56 192.168.16.129 192.168.16.153 2 57 192.168.16.154 192.168.16.178 3 58 192.168.16.179 192.168.16.203 4 59 192.168.16.204 192.168.16.228 第六章.网络管理与安全方案 6.1数据安全 对系统安全的考虑来源于以下方面：外界闯入的恶意攻击；非授权的资料存取；假冒合法用户；病毒；我们可以利用现有的安全机制和系统设计，从以下几个方面来增强数据的安全性： 1）在内外网间设置访火墙； 2）对敏感数据的传输采用不对称加密； 3）利用客户端和服务器端的SSL协议； 4)服务器和客户端的双向认证； 5)数字签名； 6)操作系统的存取控制； 7)数据库的存取控制； 8)对应用程序的存取控制； 9)日常的病毒扫描。 6.2网络安全 由于普遍采用了以网络为中心的集中服务方式，在网络上传输病毒的机会大大减少。以下我们将集中讨论如何利用防火墙、SSL、数字签名、VPN、LDAP等技术，来实现集成的企业级网络安全。 集成的网络安全策略在设计网络安全策略时，需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑，采取适当的策略。 6.3安全访问策略 网络系统的安全性，通过网络管理软件等实现网络安全控制； 通过设置防火墙实现网络网络安全； 在应用软件上通过用户认证数字签名等手段实现网络安全； 6.4防火墙 防火墙的概念 所谓防火墙，就是在内部网与外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网络资源免遭非法入侵。 6.4.1防火墙特点 保护那些易受攻击的服务防火墙能过滤那些不安全的服务（如Finger、NFS等），只有设定被允许的服务才能通过防火墙，这样就降低了受到非法攻击的风险性。控制对特殊站点的访问防火墙能控制对特殊站点的访问，如有些主机能被外部网络访问，而有些则要被保护起来。l集中化的安全管理防火墙实现安全保护的前提是内部与外部的信息交换都必须通过该控制点。换言之，内部网与外部具有唯一的通道，这样所有的安全技术与措施都可以集中在该控制点。l 对网络存取访问进行记录和审计防火墙能够记录所有访问的详细审计信息，以及网络使用情况的统计数据，当发生可疑动作时，防火墙能发出告警，并提供网络是否受到探测和攻击的历史数据便于分析。虚拟网技术为防火墙的应用提供了更广阔的领域。通过虚拟网的分割，将各工作组与“外界”隔离，各自形成独立的“内部网”，从而与外部其它虚拟网之间可实现隔离，虚拟网之间的网络通讯通过某种策略管理设备来管理，如路由器。这就使得网管人员可以设置防火墙进行过滤保护，在工作组间实施安全策略。 在一个给定的物理基础设施中可分割出多种不同的虚拟网组合。这种灵活性允许虚拟网的成员划分可根据需要决定，而不是根据它们在网上的物理位置决定。五层楼的用户可方便地连入二层楼的工作组，工作组成员关系可随组织变化而动态地变化。虚拟网改善了网络安全性。由于具有了对移动、加入以及变更的控制能力，使得网络中的连接控制得到加强。网管系统了解虚拟网中所有的终端用户，并可针对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。 6.4.2防火墙技术的实现 实现“防火墙”所用的主要技术有数据包过滤，应用网关和代理服务器等，在此基础上合理的网络拓扑结构及有关技术（在位置和配置上）的安排也是保证防火墙有效性的重要因素。包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过。通过检查数据流中的每个数据包后根据数据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的的地出口端。其佘数据包则被从数据流中删除。包过滤技术实现方式简洁，目前网络的路由设备通常均具有一定的数据包过滤能力，因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。 此外，在工作站上使用软件包过滤也不失为一种可行的方案，但相对较为昂贵。若在适当的路由设备上启动包过滤功能（作此用途的路由器称Screening Router）则通常不需要额外增加硬件/软件配置，也不需要对网络拓扑结构作改动。但是，包过滤技术本身对网络的保护功能是有局限的，这是因为 包过滤是在网络层和传输层上运作的技术，因而对位于网络更高协议层的信息无理解能力，使得它对通过网络应用层协议实现的安全威胁无防范能力。由于数据包过滤逻辑是静态指定的，因而系统的操作、维护工作量相当可观。包过滤逻辑的静态设置也使得它对需要动态指定TCP端口的应用协议（如FTP和X－Window）的应用受到限制。 进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制，通常路由器对所发现的非法数据包仅是删除而已，并不作报告，从而不具有保障系统所要求的可审计性。 应用网关是建立在网络应用层上的协议过滤、转发功能，它针对特别的网络应用服务协议指定数据过滤逻辑。并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时将对数据包的分析的结果及采取的措施作登录和统计，形成报告。实际中应用网关通常由专用工作站系统实现。数据包过滤技术与应用网关技术的一个共同特点是它们仅依特定的逻辑检查是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑，则防火墙内外的计算机系统建立直接联系，因而保留了防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能，代理服务器技术则是针对这一问题引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为二段，防火墙内外计算机系统间的应用层的“链接”由二个终止于代理服务器上的“链接”来实现。 外部计算机的网络链路只能到达代理服务器,由此实现了防火墙内外计算机系统的隔离，代理服务器在此等效于一个网络传输层上的数据转发器的功能。代理服务器是防火墙技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显著增强了网络的安全性能。同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能，并且由于代理服务器具有相当的工作量，因此通常需要专用的硬件（即工作站）来承担。 第七章.项目预算 7.1布线材料清单及报价 1、用户子系统 设备名称 型号 产品描述