網(wǎng)絡(luò)綜合服務(wù)應(yīng)用解決方案(doc 37頁(yè)).doc

百聯(lián)下一代網(wǎng)絡(luò)（NGN）綜合服務(wù)應(yīng)用解決方案項(xiàng)目建議書(shū)上海遠(yuǎn)灼經(jīng)貿(mào)有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內(nèi)容前言.3網(wǎng)絡(luò)的設(shè)計(jì)思路及目標(biāo).4綜合服務(wù)應(yīng)用業(yè)務(wù)定位5第一期工程方案設(shè)計(jì)6網(wǎng)絡(luò)的運(yùn)營(yíng)管理及計(jì)費(fèi)功能設(shè)計(jì).10主要設(shè)備介紹.201.前言在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來(lái)了革命性的變化，我們時(shí)時(shí)刻刻都在享受網(wǎng)絡(luò)科技帶來(lái)的便利，其中VoIP電話、票務(wù)預(yù)定、數(shù)碼沖印連鎖等就是現(xiàn)代網(wǎng)絡(luò)的典型應(yīng)用。對(duì)于商業(yè)連鎖經(jīng)營(yíng)者來(lái)說(shuō)，這不但能為便利店等連鎖機(jī)構(gòu)帶來(lái)巨大的人流量和廣告效益，又能產(chǎn)生巨大的利潤(rùn)。電信市場(chǎng)的開(kāi)放導(dǎo)致了電信增值服務(wù)提供商之間的激烈竟?fàn)?，而這種竟?fàn)幵谥袊?guó)孕育了一個(gè)高速增長(zhǎng)的網(wǎng)絡(luò)應(yīng)用市場(chǎng)。幾乎在同一時(shí)間，各個(gè)提供商在各個(gè)城市都開(kāi)展了虛擬運(yùn)營(yíng)服務(wù)平臺(tái)的建設(shè)，機(jī)遇出現(xiàn)的同時(shí)，挑戰(zhàn)也出現(xiàn)了。幾乎每個(gè)提供商，都面臨著寬帶網(wǎng)如何建設(shè)、如何升級(jí)、如何運(yùn)營(yíng)、如何擴(kuò)展、如何盈利的問(wèn)題。上海遠(yuǎn)灼經(jīng)貿(mào)有限公司在充分考慮了上海百聯(lián)集團(tuán)現(xiàn)階段需求和現(xiàn)有的網(wǎng)點(diǎn)資源后，堅(jiān)持以滿(mǎn)足企業(yè)通訊需求和經(jīng)營(yíng)需求為目的，基于切實(shí)可行的系統(tǒng)造價(jià)，以先進(jìn)的技術(shù)，豐富的組網(wǎng)手段，提出了百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)解決方案。有關(guān)這一方案的任何問(wèn)題，歡迎您隨時(shí)與遠(yuǎn)灼經(jīng)貿(mào)有限公司VoIP事業(yè)部聯(lián)系。電 話：項(xiàng) 目：技 術(shù)；商 務(wù)：2.網(wǎng)絡(luò)的設(shè)計(jì)思路及目標(biāo)百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)絡(luò)的建設(shè)目標(biāo). 除了提供全市一個(gè)綜合業(yè)務(wù)信息平臺(tái)外，將建設(shè)成一個(gè)覆蓋全市各經(jīng)營(yíng)網(wǎng)點(diǎn)，為廣泛用戶(hù)提供多項(xiàng)綜合信息服務(wù)，VoIP語(yǔ)音、視頻服務(wù)和票務(wù)預(yù)定、數(shù)碼沖印等服務(wù)的信息平臺(tái)。 最主要的目標(biāo)是配合配合現(xiàn)有網(wǎng)點(diǎn)的發(fā)展，搶占新興業(yè)務(wù)增長(zhǎng)點(diǎn)，開(kāi)辟一個(gè)嶄新的數(shù)據(jù)和信息服務(wù)市場(chǎng)。因此，整個(gè)系統(tǒng)需能夠承載多種服務(wù)類(lèi)型、靈活的用戶(hù)接口和從窄帶到寬帶的廣譜的接入帶寬，同時(shí)利用現(xiàn)有的寬帶接入、現(xiàn)有設(shè)備和百聯(lián)特有優(yōu)勢(shì)，通過(guò)高速的INTERNET接入和適當(dāng)?shù)亻_(kāi)發(fā)符合國(guó)情的本地服務(wù)為進(jìn)入通訊服務(wù)市場(chǎng)的切入點(diǎn)，形成經(jīng)營(yíng)特色和造就市場(chǎng)影響，并逐步開(kāi)展多種通訊類(lèi)型的綜合服務(wù)，以良好的性能價(jià)格比和多種業(yè)務(wù)綜合為特點(diǎn)。另外，從一個(gè)企業(yè)應(yīng)用網(wǎng)的角度來(lái)看，它應(yīng)該具有以下幾個(gè)特性：足夠的帶寬和良好的升級(jí)能力；具有承載多種服務(wù)類(lèi)型的能力；具有良好的投資漸進(jìn)策略，在網(wǎng)絡(luò)的有效服務(wù)生存周期內(nèi)，具有較高的投資回報(bào)能力；具有高可靠性。網(wǎng)絡(luò)的接入層應(yīng)該具有高度的靈活性、易用性，提供多種服務(wù)接入能力。從網(wǎng)絡(luò)的管理層來(lái)看，網(wǎng)絡(luò)應(yīng)具備完善的控制能力和網(wǎng)絡(luò)安全性，并提供靈活的計(jì)費(fèi)方式；基于策略的網(wǎng)絡(luò)管理和基于物理層、鏈路層和網(wǎng)絡(luò)層的性能測(cè)量和故障監(jiān)控，并提供遠(yuǎn)程配置和故障排除能力。3百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)業(yè)務(wù)定位g 在集團(tuán)內(nèi)部實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)零話費(fèi)解決方案g 在集團(tuán)內(nèi)部視頻電話及可視電話會(huì)議g 為廣大用戶(hù)提供便民VoIP公話服務(wù)g 電信卡類(lèi)業(yè)務(wù)聯(lián)網(wǎng)銷(xiāo)售平臺(tái)g 各類(lèi)票務(wù)代理服務(wù)g 網(wǎng)絡(luò)數(shù)碼沖印服務(wù)4百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)工程方案設(shè)計(jì)我們?cè)诜治隽税俾?lián)的實(shí)際情況后經(jīng)研究認(rèn)為百聯(lián)集團(tuán)雖然已在很多地理區(qū)域內(nèi)有網(wǎng)點(diǎn)資源和寬帶接入優(yōu)勢(shì)。但以前對(duì)社會(huì)各界未開(kāi)展過(guò)VoIP電話等數(shù)據(jù)網(wǎng)絡(luò)業(yè)務(wù)。也就是說(shuō)，從內(nèi)部環(huán)境來(lái)看，沒(méi)有數(shù)據(jù)運(yùn)維的經(jīng)驗(yàn)和市場(chǎng)運(yùn)營(yíng)策略積累。不管是網(wǎng)絡(luò)管理人員還是系統(tǒng)運(yùn)行維護(hù)人員都急需一個(gè)起步級(jí)的平臺(tái)來(lái)在實(shí)驗(yàn)中培訓(xùn)和學(xué)習(xí)。同時(shí)，只有真正發(fā)展部分客戶(hù)，才能逐步的進(jìn)入到網(wǎng)絡(luò)應(yīng)用的市場(chǎng)中去，社會(huì)各界才會(huì)逐漸認(rèn)同網(wǎng)絡(luò)應(yīng)用服務(wù)提供商的地位。所以，我們不贊同其他集成商一動(dòng)手就投資一千萬(wàn)甚至幾千萬(wàn)來(lái)建一個(gè)很高級(jí)的平臺(tái)與其他同類(lèi)公司一爭(zhēng)高下的做法。我們充分考慮了百聯(lián)集團(tuán)的現(xiàn)階段需求和今后的平滑升級(jí)因素后，堅(jiān)持以滿(mǎn)足應(yīng)用需求為目的，基于切實(shí)可行的系統(tǒng)造價(jià)，豐富的組網(wǎng)手段，所設(shè)計(jì)的百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)是一個(gè)起步門(mén)檻很低而又可平滑升級(jí)，可持續(xù)發(fā)展的應(yīng)用網(wǎng)絡(luò)。一期工程的拓補(bǔ)結(jié)構(gòu)規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺(tái)HP服務(wù)器做中心呼叫控制器（CMC），構(gòu)成網(wǎng)絡(luò)的核心。配置一臺(tái)HP服務(wù)器為VoIP呼叫計(jì)費(fèi)服務(wù)器。配置兩臺(tái)HP內(nèi)容服務(wù)器為在線卡類(lèi)銷(xiāo)售、票務(wù)代理、數(shù)碼沖印業(yè)務(wù)服務(wù)器。配置一臺(tái)路由器來(lái)聯(lián)接外部的internet出口，可同時(shí)設(shè)置電信、網(wǎng)通等多個(gè)出口。配置一臺(tái)硬件防火墻服務(wù)器來(lái)保護(hù)域內(nèi)的信息資料不受外來(lái)攻擊。一期工程所規(guī)劃的目標(biāo)是；A.使用世紀(jì)網(wǎng)通cnc200語(yǔ)音網(wǎng)關(guān)，將個(gè)各超市終端與總部聯(lián)系起來(lái)，實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)零話費(fèi)。B.通過(guò)中心呼叫控制器（CMC）統(tǒng)一接入中國(guó)電信，各超市終端實(shí)現(xiàn)VoIP公話經(jīng)營(yíng)。C.建成的網(wǎng)絡(luò)已帶有網(wǎng)管控制和認(rèn)證計(jì)費(fèi)系統(tǒng)（Smartbilling）。D. 建成電信卡類(lèi)、票務(wù)代理和數(shù)碼沖印網(wǎng)絡(luò)平臺(tái)。E.一期工程的總造價(jià)將控制在150-200萬(wàn)元之內(nèi)。系統(tǒng)自身可生成很多種在其它廣電寬帶網(wǎng)中已成功運(yùn)營(yíng)的市場(chǎng)策 略，以彌補(bǔ)百聯(lián)網(wǎng)絡(luò)應(yīng)用經(jīng)營(yíng)經(jīng)驗(yàn)不足。該方案的起步投資小，系統(tǒng)的實(shí)際容量為注冊(cè)用戶(hù)5000戶(hù)，2000個(gè)并發(fā)用戶(hù)，最大峰值帶寬為75-95Mbps，采用穿透三層的WEB認(rèn)證方式。用戶(hù)端一次性安裝VoIP電話計(jì)費(fèi)客戶(hù)端軟件即可，軟件操作簡(jiǎn)單方便。設(shè)備及軟件清單；序號(hào)名 稱(chēng)型 號(hào)描 述數(shù) 量1路由器-Cisco 3600冗余LAN接口 LAN toLAN12防火墻DCFW 18003個(gè)10/100Base-TX LAN口，包過(guò)濾，NAT13內(nèi)容服務(wù)器HPP4 /2.4G/雙CPU/512M/120G熱拔插/RAID卡24數(shù)據(jù)庫(kù)服務(wù)器PC SERVERP4 2.4MHz/512MHz內(nèi)存/3*120GB SCSI硬盤(pán)/RAID卡/Win2000 Advance Server/15中心呼叫控制器HP硬件+世紀(jì)網(wǎng)通CMC注冊(cè)用戶(hù)60000個(gè)，并發(fā)10000個(gè)16接入服務(wù)器D2133 BRAS-20003FastEthernet(Internal,External&Management) Port, Upto 2000 Online Users, RADUIS/LDAP Supported17企業(yè)級(jí)運(yùn)營(yíng)管理計(jì)費(fèi)軟件CMC SmartbillingISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License18PC工作站聯(lián)想/天肌P4 2.4G/128M/40G/100M網(wǎng)卡19VoIP語(yǔ)音網(wǎng)關(guān)深圳世紀(jì)網(wǎng)通CNG300110數(shù)據(jù)庫(kù)Oralce 8i5User license15網(wǎng)絡(luò)的運(yùn)營(yíng)管理及計(jì)費(fèi)功能設(shè)計(jì)寬帶數(shù)據(jù)接入服務(wù)對(duì)廣電網(wǎng)絡(luò)而言是一門(mén)新型業(yè)務(wù)，很多廣電網(wǎng)絡(luò)公司往往在骨干網(wǎng)上投入巨資興建網(wǎng)絡(luò)。卻常常忽視運(yùn)營(yíng)管理平臺(tái)的建設(shè)，很多地方建成的網(wǎng)絡(luò)是毫無(wú)管理功能的網(wǎng)絡(luò)，只能對(duì)用戶(hù)實(shí)行無(wú)限制的簡(jiǎn)單包月制，導(dǎo)致有限的數(shù)據(jù)資源被無(wú)限制的任意使用。而數(shù)據(jù)業(yè)務(wù)與電視節(jié)目不同的是電視節(jié)目不會(huì)因用戶(hù)觀看時(shí)間長(zhǎng)短而增加成本。但是數(shù)據(jù)業(yè)務(wù)的internet資源是要按使用量的多少來(lái)支付成本的。所以一個(gè)網(wǎng)絡(luò)有無(wú)流量.帶寬控制及計(jì)費(fèi)功能將直接影響這個(gè)網(wǎng)絡(luò)的贏利水平。51計(jì)費(fèi)的重要性52運(yùn)營(yíng)計(jì)費(fèi)系統(tǒng)的技術(shù)選型53邵陽(yáng)市寬帶城域網(wǎng)計(jì)費(fèi)服務(wù)系統(tǒng)解決方案6主要設(shè)備介紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網(wǎng)絡(luò)的綜合管理控制平臺(tái)。為電信運(yùn)營(yíng)商、虛擬運(yùn)營(yíng)商、話費(fèi)代理開(kāi)展VOIP網(wǎng)絡(luò)電話業(yè)務(wù)提供強(qiáng)大的后臺(tái)支撐，是企業(yè)行業(yè)管理維護(hù)IP電話網(wǎng)絡(luò)及各級(jí)部門(mén)間統(tǒng)計(jì)結(jié)算的最佳選擇。二、功能模塊包括會(huì)話控制器（含GK功能）、EasyTrans?“易穿”媒體控制器、網(wǎng)絡(luò)管理中心三部分組成。支持世紀(jì)網(wǎng)通嵌入式系統(tǒng)專(zhuān)用硬件平臺(tái)及WINDOWSLINUX平臺(tái)三種版本三、系統(tǒng)功能特點(diǎn)會(huì)話控制器（含傳統(tǒng)GK功能）呼叫認(rèn)證授權(quán)，本地和遠(yuǎn)程認(rèn)證。靈活的地址翻譯，及主被號(hào)碼替換。支持二級(jí)/平行網(wǎng)守，支持直連方式和媒體/信令路由方式。支持標(biāo)準(zhǔn)H.323V3/4和SIP協(xié)議，以及不同協(xié)議相互識(shí)別、解析、轉(zhuǎn)換。分用戶(hù)域管理。可制定多種呼叫策略（費(fèi)率、MOS值、時(shí)段、容量、接通率等）支持H.235安全機(jī)制，惡意RTP包頭檢測(cè)識(shí)別，防網(wǎng)絡(luò)攻擊。語(yǔ)音流量負(fù)載均衡 EasyTrans“易穿”媒體控制器l 為終端設(shè)備建立媒體和信令的專(zhuān)用傳輸隧道，可穿透多級(jí)防火墻/NAT設(shè)備和多網(wǎng)絡(luò)邊界。l 大容量媒體流幀級(jí)轉(zhuǎn)發(fā)l 網(wǎng)絡(luò)和語(yǔ)音QoS保障網(wǎng)絡(luò)管理全網(wǎng)設(shè)備輪詢(xún)監(jiān)視，及時(shí)通知被管設(shè)備語(yǔ)音端口和網(wǎng)絡(luò)端口的狀態(tài)出現(xiàn)宕機(jī)及其它故障時(shí)向控制臺(tái)報(bào)警支持防火墻/私網(wǎng)內(nèi)設(shè)備網(wǎng)管圖形化配置和控制終端設(shè)備設(shè)備軟件及其配置文件的圖形化升級(jí)和群升系統(tǒng)自含會(huì)話呼叫的統(tǒng)計(jì)和日志系統(tǒng)使用日志四、系統(tǒng)性能最大呼叫承載能力5000路最大可管理終端設(shè)備容量5000最大并發(fā)呼叫數(shù) 5000路 附件二 Smartbilling計(jì)費(fèi)系統(tǒng)附件三 CNG300/800語(yǔ)音網(wǎng)關(guān)指標(biāo)名稱(chēng)/型號(hào)CNG300CNG800/8CNG800/16語(yǔ)音接口數(shù)目2-4路4-8路8-16路VOIP通道數(shù)2-4路4-8路8-16路音頻接口2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO，8FXS，8FXO，4FXS+4FXO16FXS，16FXO，8FXS+8FXO以太網(wǎng)接口（RJ45）2個(gè)10/100M Base-T 串行設(shè)置接口（RJ45）一個(gè)RS232接口VOIP協(xié)議標(biāo)準(zhǔn)H323/V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP*語(yǔ)音編碼G.723.1 (5.3K 6.4K b/S)G.729 A/B(8Kb/s)G.711 A/律(64Kb/S)G.Netcodes (2Kb/S)語(yǔ)音質(zhì)量保障技術(shù)支持語(yǔ)音優(yōu)先標(biāo)記(TOS)；動(dòng)態(tài)抖動(dòng)緩沖區(qū)（JIFFER BUFFER）； 語(yǔ)音偵測(cè)（VAD）及舒適背景噪聲生成（CNG）； Diffserv網(wǎng)絡(luò)協(xié)議HTTP、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv內(nèi)嵌PPPOE及NAT功能支持支持DHCP自動(dòng)獲取IP地址支持功能特性?xún)?nèi)嵌“易穿”穿透代理模塊 支持私網(wǎng) / 防火墻下設(shè)備的遠(yuǎn)程網(wǎng)管(網(wǎng)管穿透) 支持私網(wǎng) / 防火墻下語(yǔ)音穿透 支持電話按鍵配置 支持遠(yuǎn)程升級(jí)軟件功能 來(lái)電顯示/來(lái)電識(shí)別（Call ID識(shí)別) 系統(tǒng)語(yǔ)音信箱、用戶(hù)自定義語(yǔ)音提示功能 支持DNS動(dòng)態(tài)網(wǎng)守地址尋址 回音消除G.168 (16-64ms)互通特性CISCO、Notel、Lucent、華為等符合ITU標(biāo)準(zhǔn)VOIP系統(tǒng)工作溫度10 705% 95%非凝結(jié)工作濕度工作電源外接12V，1.5A內(nèi)置開(kāi)關(guān)電源100V-240V AC；50-60HZ結(jié)構(gòu)尺寸寬*高*深 16CM*4CM*21CM標(biāo)準(zhǔn)19英寸 1U高； 寬*高*深 44CM*4.44CM*30CM重 量1KG約4KG附件四 方正防火墻目前，國(guó)內(nèi)所采用的防火墻大都是國(guó)外的產(chǎn)品，留有安全方面的隱患，而網(wǎng)絡(luò)安全又是關(guān)系到國(guó)家安全的大事，基于安全方面的考慮，決定了我們中國(guó)人只能使用具有自主版權(quán)的防火墻產(chǎn)品。建議邵陽(yáng)市寬帶城域網(wǎng)使用方正防火墻。4.1.產(chǎn)品概述FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對(duì)性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。FireGate防火墻是通過(guò)對(duì)國(guó)外防火墻產(chǎn)品的綜合分析，針對(duì)我們國(guó)家的具體應(yīng)用環(huán)境，結(jié)合國(guó)內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，提出的一種具有強(qiáng)大的信息分析功能、高效包過(guò)濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專(zhuān)用防火墻系統(tǒng)。FireGate不僅僅是一個(gè)包過(guò)濾的防火墻，還包括了大量的實(shí)用模塊，可以為用戶(hù)提供多方面的服務(wù)。FireGate防火墻所包含的模塊示意圖如下：4.2.系統(tǒng)特點(diǎn)一體化的硬件設(shè)計(jì)FireGate采用了一體化的硬件設(shè)計(jì)，采用了自己的操作系統(tǒng)，無(wú)需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時(shí)也提高了系統(tǒng)的安全性。雙機(jī)熱備份通過(guò)雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯(cuò)/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)槟承┰虿荒苷＿\(yùn)作，備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運(yùn)作，充分保證整個(gè)網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。完善的訪問(wèn)控制FireGate符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下，這樣可以方便用戶(hù)使用。使用網(wǎng)橋模式時(shí)在IP層透明，使用路由模式時(shí)可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。方正防火墻特點(diǎn)防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。目前防火墻技術(shù)的實(shí)現(xiàn)主要有兩種手段：一種是基于包過(guò)濾技術(shù)(Packetfiltering)；一種是基于代理技術(shù)(Proxy)。無(wú)論是包過(guò)濾、還是應(yīng)用代理，對(duì)系統(tǒng)的安全、基于網(wǎng)絡(luò)訪問(wèn)的安全研究較多，但對(duì)網(wǎng)絡(luò)上流動(dòng)的信息內(nèi)容本身的安全處理較少。而由于我們國(guó)家的特殊需求，需要對(duì)網(wǎng)絡(luò)上的信息安全進(jìn)行分析，并加以過(guò)濾和控制。因此從我國(guó)實(shí)際的應(yīng)用背景出發(fā)，不僅要求防火墻產(chǎn)品實(shí)現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時(shí)還要求對(duì)網(wǎng)絡(luò)信息的安全進(jìn)行分析和控制。FireGate防火墻主要有以下特點(diǎn)：工作于透明橋結(jié)構(gòu)之上，實(shí)現(xiàn)于數(shù)據(jù)鏈路層，無(wú)須IP地址。實(shí)現(xiàn)了IP地址與MAC地址綁定的功能，對(duì)IP盜用進(jìn)行了有效的控制。多種手段防范電子欺騙；提供界面友好的控制平臺(tái)，實(shí)現(xiàn)對(duì)防火墻安全策略的制定、訪問(wèn)的記錄分析、狀態(tài)的監(jiān)控以及其它對(duì)防火墻的控制功能；信息的記錄、分析模塊實(shí)現(xiàn)直觀的用戶(hù)訪問(wèn)以及網(wǎng)上活動(dòng)的實(shí)時(shí)監(jiān)控。提供各種工具，通過(guò)對(duì)訪問(wèn)記錄及信息的分析、安全審計(jì)，發(fā)現(xiàn)可疑的連接，及時(shí)彌補(bǔ)網(wǎng)絡(luò)系統(tǒng)的漏洞或進(jìn)行責(zé)任追究。分布式模型設(shè)計(jì)使得在某一主機(jī)上運(yùn)行的管理模塊可以管理多臺(tái)監(jiān)控主機(jī)的運(yùn)行。完全保留以太網(wǎng)的高速度，對(duì)網(wǎng)絡(luò)性能影響極小。4.4.FireGate防火墻優(yōu)勢(shì).4.4.1.多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒(méi)有IP地址，在IP層透明。可以將任意三個(gè)物理網(wǎng)絡(luò)連接起來(lái)構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級(jí)路由器，這種模式不需要改變?cè)械木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)與設(shè)備的網(wǎng)絡(luò)設(shè)置。B： 路由模式：防火墻本身構(gòu)成3個(gè)網(wǎng)絡(luò)間的路由器，3個(gè)界面分別具有不同的IP地址。三個(gè)網(wǎng)絡(luò)中的主機(jī)通過(guò)該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時(shí)，可以作為三個(gè)區(qū)之間的路由器，同時(shí)提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說(shuō)，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶(hù)通過(guò)地址轉(zhuǎn)換訪問(wèn)Internet，同時(shí)隔絕Internet對(duì)內(nèi)網(wǎng)的訪問(wèn)，DMZ區(qū)通過(guò)反向地址轉(zhuǎn)換對(duì)Internet提供服務(wù)。在沒(méi)有安裝FireGate防火墻的時(shí)候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了FireGate防火墻的時(shí)候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:.包過(guò)濾防火墻FireGate包過(guò)濾的功能是對(duì)指定IP包進(jìn)行包過(guò)濾，并且按照設(shè)定策略對(duì)IP包進(jìn)行統(tǒng)計(jì)和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過(guò)濾：l 源IP地址l 目的IP地址l 協(xié)議類(lèi)型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報(bào)文類(lèi)型域和代碼域l 碎片包l 其它標(biāo)志位，如SYN，ACK位.高效的過(guò)濾有些防火墻在安裝上以后對(duì)WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于FireGate防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此FireGate防火墻不會(huì)對(duì)性能造成任何影響。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到200,000個(gè)以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬(wàn)個(gè)左右。.碎片處理功能由于很多系統(tǒng)平臺(tái)，包括一些路由器對(duì)IP碎片的處理存在問(wèn)題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，F(xiàn)ireGate防火墻能夠識(shí)別出IP碎片并且進(jìn)行控制，這樣一來(lái)通過(guò)禁止IP碎片通過(guò)FireGate，防止了這樣的問(wèn)題的產(chǎn)生。.防SYN Flood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的ACK消息，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。典型的就是Syn Flood攻擊,通過(guò)大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過(guò)限制每秒鐘通過(guò)的Syn包數(shù)量來(lái)組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒(méi)有安裝FireGate2：安裝FireGateFireGate防火墻使用了兩種方式來(lái)反Syn Flood攻擊，一種方法就是通過(guò)設(shè)置單位時(shí)間內(nèi)的SYN包數(shù)量來(lái)控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。.強(qiáng)大的狀態(tài)檢測(cè)功能FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制，同時(shí)還對(duì)任何網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過(guò)濾只是與規(guī)則表進(jìn)行匹配，而FireGate對(duì)每個(gè)連接，作為一個(gè)數(shù)據(jù)流，通過(guò)規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過(guò)濾系統(tǒng)對(duì)應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢(shì)必會(huì)使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。4.4.輕型/復(fù)雜IDS(入侵檢測(cè)系統(tǒng))4.4.1.反端口掃描一般黑客如果要對(duì)一個(gè)網(wǎng)站發(fā)動(dòng)攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開(kāi)啟的服務(wù)，然后做出相應(yīng)的入侵方式。 FireGate入侵檢測(cè)系統(tǒng)能夠在黑客掃描網(wǎng)站的時(shí)候就能檢測(cè)到并報(bào)警，這樣就能提前將黑客拒之于門(mén)外。FireGate入侵檢測(cè)系統(tǒng)在檢測(cè)到有黑客掃描服務(wù)器端口的時(shí)候會(huì)立即在攻擊者的視野中消失，從而使黑客無(wú)法進(jìn)行后面的攻擊。FireGate入侵檢測(cè)系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對(duì)全部端口同時(shí)進(jìn)行監(jiān)控，同時(shí)也可以忽略指定的端口。這樣就能滿(mǎn)足不同的需求方式。4.4.2.可以防范1500余種攻擊方式1. 檢測(cè)多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務(wù)失效、獨(dú)占或盜用資源以及刪除數(shù)據(jù)。最常見(jiàn)的就是服務(wù)失效方式，通過(guò)DoS攻擊可以使一個(gè)服務(wù)器停止服務(wù)，從而造成巨大的損失。FireGate入侵檢測(cè)系統(tǒng)能夠檢測(cè)包括IGMP攻擊、TearDrop、LAND、WinNuke等多種DoS攻擊。從而使被托管的服務(wù)器處于安全的保護(hù)之中。和其它一樣， FireGate入侵檢測(cè)系統(tǒng)一旦發(fā)現(xiàn)有DoS攻擊，立即在線報(bào)警，記錄日志。2. 檢測(cè)多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關(guān)注的熱點(diǎn)。DDoS(分布式拒絕服務(wù))是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點(diǎn)，將它們?cè)O(shè)計(jì)成控制點(diǎn)，這些控制點(diǎn)控制了Internet大量的主機(jī)，將它們?cè)O(shè)計(jì)成攻擊點(diǎn)，攻擊點(diǎn)中裝載了攻擊程序，正是由這些攻擊點(diǎn)計(jì)算機(jī)對(duì)攻擊目標(biāo)發(fā)動(dòng)的攻擊。這種結(jié)構(gòu)使入侵者遠(yuǎn)離攻擊的目標(biāo)，隱藏了入侵者的具體位置。FireGate入侵檢測(cè)系統(tǒng)能夠檢測(cè)包括TFN、Trin00、shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進(jìn)行DDoS攻擊的主要工具。3. 檢測(cè)保護(hù)子網(wǎng)中是否存在后門(mén)和木馬程序后門(mén)和木馬程序如果存在于網(wǎng)絡(luò)中，會(huì)造成嚴(yán)重的后果，有些后門(mén)程序?qū)е鹿芾韱T的密碼被盜取，因此檢測(cè)保護(hù)子網(wǎng)中是否存在后門(mén)和木馬程序成為入侵檢測(cè)的一個(gè)重要的組成部分。FireGate入侵檢測(cè)系統(tǒng)能夠檢測(cè)網(wǎng)絡(luò)中是否存在流行的BO、BO2000、NetSphere、DeepThroat、WinCrash、BackConstruction等多種后門(mén)或木馬程序。4. 檢測(cè)多種針對(duì)Finger服務(wù)的攻擊Finger服務(wù)于查詢(xún)用戶(hù)的信息，包括網(wǎng)上成員的真實(shí)姓名、用戶(hù)名、最近的登錄時(shí)間、地點(diǎn)等，也可以用來(lái)顯示當(dāng)前登錄在機(jī)器上的所有用戶(hù)名，這對(duì)于入侵者來(lái)說(shuō)是無(wú)價(jià)之寶，因?yàn)樗芨嬖V他在本機(jī)上的有效的登錄名。FireGate入侵檢測(cè)系統(tǒng)能夠檢測(cè)針對(duì)Finger服務(wù)攻擊的如Finger Bomb、Finger search、FINGER-ProbeNull等掃描和攻擊。5. 檢測(cè)多種針對(duì)FTP服務(wù)的攻擊FireGate入侵檢測(cè)系統(tǒng)能夠檢測(cè)針對(duì)不同F(xiàn)TP server，包括AIX FTPD、WuFTP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD發(fā)起的FTP-site-exec、 FTP-user-root、Buffer Overflow等多種嘗試和攻擊行為。6. 檢測(cè)基于NetBIOS的攻擊FireGate入侵檢測(cè)系統(tǒng)能夠?qū)贜etBIOS的如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多種嘗試和攻擊行為進(jìn)行檢測(cè)。7. 檢測(cè)緩沖區(qū)溢出類(lèi)型攻擊FireGate入侵檢測(cè)系統(tǒng)能夠?qū)VERFLOW-x86-solaris-nlps、OVERFLOW-x86-windows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百種堆棧溢出攻擊進(jìn)行檢測(cè)。8. 檢測(cè)基于RPC的攻擊FireGate入侵檢測(cè)系統(tǒng)能夠?qū)赗PC的如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進(jìn)行檢測(cè)。9. 檢測(cè)基于SMTP的攻擊FireGate入侵檢測(cè)系統(tǒng)能夠?qū)︶槍?duì)多種SMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTP-expn-root、SMTP Relaying Denied等試探和攻擊進(jìn)行檢測(cè)。10. 檢測(cè)基于Telnet的攻擊FireGate入侵檢測(cè)系統(tǒng)能針對(duì)基于Telnet的包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多種嘗試和攻擊。11. 檢測(cè)網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x(chóng)FireGate入侵檢測(cè)系統(tǒng)能在計(jì)算機(jī)病毒和蠕蟲(chóng)傳輸?shù)剿拗鳈C(jī)之前檢測(cè)出來(lái)，包括流行的Happy99、IloveU、PrettyPark等百種蠕蟲(chóng)和病毒，防患于未然。12. 檢測(cè)CGI攻擊FireGate入侵檢測(cè)系統(tǒng)能檢測(cè)出包括針對(duì)PHF、NPH、pfdisplay.cgi等已知上百種的有安全隱患的CGI進(jìn)行的探測(cè)和攻擊方式。13. 檢測(cè)針對(duì)WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊14. 檢測(cè)針對(duì)WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊15. 檢測(cè)針對(duì) MicroSoft IIS server進(jìn)行的攻擊FireGate入侵檢測(cè)系統(tǒng)能檢測(cè)View Source exploit、IIS-exec-srch、IIS-asp-srch等已知的漏洞和弱點(diǎn)的攻擊行為。16. 檢測(cè)利用ICMP進(jìn)行的掃描和攻擊。FireGate入侵檢測(cè)系統(tǒng)能對(duì)利用這種方式進(jìn)行的網(wǎng)絡(luò)拓?fù)涮綔y(cè)所產(chǎn)生的PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包進(jìn)行檢測(cè)。17. 檢測(cè)利用Traceroute對(duì)網(wǎng)絡(luò)的探測(cè)18. 檢測(cè)ActiveX，JaveApplet的傳輸FireGate入侵檢測(cè)系統(tǒng)能通過(guò)匹配網(wǎng)絡(luò)包內(nèi)容，可以檢測(cè)特定的ActiveX、JaveApplet等程序在網(wǎng)絡(luò)上的傳輸。20 檢測(cè)對(duì)其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊4.4.3在線升級(jí)和實(shí)時(shí)報(bào)警入侵檢測(cè)系統(tǒng)的庫(kù)文件需要不斷的更新，因此FireGate提供了非常方便的升級(jí)接口，可以通過(guò)我們的網(wǎng)站進(jìn)行在線升級(jí)，而且我們提供了非常方便的用戶(hù)升級(jí)界面，使升級(jí)工作可以非常方便的完成。報(bào)警是否及時(shí)是衡量一個(gè)入侵檢測(cè)系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時(shí)候就能夠做出響應(yīng)，那么管理員會(huì)有足夠的時(shí)間進(jìn)行防護(hù)。 FireGate的報(bào)警系統(tǒng)和入侵檢測(cè)系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測(cè)系統(tǒng)檢測(cè)到攻擊，報(bào)警系統(tǒng)會(huì)馬上做出反應(yīng)，通過(guò)Email或手機(jī)通知管理員。同時(shí)會(huì)啟動(dòng)自動(dòng)防范系統(tǒng)進(jìn)行防范。4.4.4.入侵檢測(cè)和防火墻的互動(dòng)通過(guò)通信行為跟蹤，防火墻能夠檢測(cè)到對(duì)網(wǎng)絡(luò)的多種掃描，檢測(cè)到對(duì)網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動(dòng)防范及用戶(hù)自定義安全響應(yīng)策略等。系統(tǒng)支持“DMZ到外部網(wǎng)”和“內(nèi)部網(wǎng)到外部網(wǎng)”的地址轉(zhuǎn)換和反向地址轉(zhuǎn)換，也就是說(shuō)內(nèi)部網(wǎng)主機(jī)和DMZ區(qū)的主機(jī)都可以采用保留地址，從而減少注冊(cè)IP地址的使用。通過(guò)地址轉(zhuǎn)換轉(zhuǎn)換可以更有效地利用IP地址資源，并且提供更好的安全性。4.5.代理服務(wù)器功能對(duì)于WEB用戶(hù)來(lái)說(shuō)，F(xiàn)ireGate是一個(gè)高性能的代理緩存服務(wù)器，F(xiàn)ireGate支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來(lái)處理所有的客戶(hù)端請(qǐng)求。FireGate將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢(xún)的結(jié)果。除此之外，F(xiàn)ireGate還支持非模塊化的DNS查詢(xún)，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。FireGate支持SSL，支持訪問(wèn)控制。用戶(hù)可以通過(guò)編輯“黑名單”和“白名單”設(shè)置“禁止用戶(hù)訪問(wèn)的站點(diǎn)”和“僅允許訪問(wèn)的站點(diǎn)”，同時(shí)還可以建立URL級(jí)的訪問(wèn)限制，通過(guò)建立禁止用戶(hù)訪問(wèn)的URL列表，F(xiàn)ireGate防火墻可以對(duì)該列表進(jìn)行匹配，禁止對(duì)列表中的URL的訪問(wèn)。違反限制規(guī)則的訪問(wèn)企圖將被記錄到系統(tǒng)日志中。FireGate防火墻提供的URL級(jí)的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動(dòng)的主頁(yè)等。另外通過(guò)對(duì)內(nèi)部網(wǎng)的WWW服務(wù)器的某些URL屏蔽，可以消除服務(wù)器本身的安全漏洞，從而對(duì)WWW服務(wù)器進(jìn)行保護(hù)。4.6.雙機(jī)熱備FireGate防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對(duì)等的備份機(jī)，并且使備份機(jī)自動(dòng)進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時(shí)啟動(dòng)，防止網(wǎng)絡(luò)中斷事故的發(fā)生。 其智能識(shí)別技術(shù)甚至可以支持多于兩臺(tái)以上的FireGate在網(wǎng)絡(luò)上互為備份，適用于對(duì)可靠性要求極高的場(chǎng)合。4.7.強(qiáng)大的審計(jì)功能審計(jì)功能是FireGate非常強(qiáng)大的一個(gè)部分，目前國(guó)內(nèi)防火墻的審計(jì)功能都非常不完善，F(xiàn)ireGate提供了大量的審計(jì)內(nèi)容和對(duì)審計(jì)內(nèi)容的查詢(xún)功能，由于過(guò)于復(fù)雜的日志比較難以理解，我們將日志記錄分成了若干部分，而且每一個(gè)部分都是可以單獨(dú)進(jìn)行查詢(xún)和管理的，這樣一來(lái)就可以使用戶(hù)對(duì)防火墻的情況有一個(gè)非常透徹的了解。FireGate中審計(jì)功能有著非常完善的權(quán)限管理，有專(zhuān)門(mén)的審計(jì)員來(lái)對(duì)審計(jì)內(nèi)容進(jìn)行管理，在審計(jì)中又分成了若干級(jí)別的權(quán)限。這樣可以方便管理員管理審計(jì)內(nèi)容。4.8.基于PKI的高級(jí)授權(quán)認(rèn)證PKI（Public Key Infrastructure）是一種新的安全技術(shù)，它由公開(kāi)密鑰密碼技術(shù)、數(shù)字證書(shū)、證書(shū)發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開(kāi)密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來(lái)保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)（CA/RA）是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開(kāi) PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全需 求只有PKI技術(shù)才能滿(mǎn)足。PKI在國(guó)外已經(jīng)開(kāi)始實(shí)際應(yīng)用。在美國(guó)，隨著電 子商務(wù)的日益興旺，電子簽名、數(shù)字證書(shū)已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用，就連某些國(guó)家都已經(jīng)開(kāi)始接受電子簽名的檔案。FireGate的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP（Once Time Password），或者采用了靜態(tài)口令機(jī)制。比如說(shuō)，靜態(tài)密碼是用戶(hù)和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶(hù)若知道這個(gè)口令，就說(shuō)明用戶(hù)是機(jī)器所認(rèn)為的那個(gè)人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶(hù)和機(jī)器之間必須共知一條通行短語(yǔ)，而這通行短語(yǔ)對(duì)外界是完全保密的。和靜態(tài)口令不同的是，這個(gè)通行短語(yǔ)并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過(guò)網(wǎng)絡(luò)竊聽(tīng)是不可能的。但是使用起來(lái)沒(méi)有使用證書(shū)認(rèn)證方便。因此FireGate基于PKI的高級(jí)授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。4.9.集中管理根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無(wú)用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無(wú)法進(jìn)行集中管理，這些都造成了安全策略的失效。而FireGate防火墻采用基于Windows GUI的用戶(hù)界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)FireGate進(jìn)行集中式的管理。4.10.實(shí)時(shí)控制和日志轉(zhuǎn)存管理員可以通過(guò)控制界面對(duì)防火墻進(jìn)行實(shí)時(shí)的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來(lái)，供以后分析使用，由于FireGate每天都會(huì)記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此FireGate的日志監(jiān)視系統(tǒng)會(huì)將服務(wù)器上面的日志下載到管理員的機(jī)器上面，管理員可以對(duì)它進(jìn)行編輯和保存。4.11.靈活的配置方式4.11.1.可視化配置FireGate的配置都是在Windows下面的圖形界面中進(jìn)行的，因此配置起來(lái)比較方便，對(duì)于用戶(hù)而言，無(wú)需了解過(guò)多的安全知識(shí)，就可以配置好FireGate，而且讓之工作起來(lái)。4.11.2.預(yù)置包過(guò)濾規(guī)則集預(yù)置的包過(guò)濾規(guī)則集是對(duì)常見(jiàn)的防火墻應(yīng)用進(jìn)行總結(jié)歸納出的防火墻規(guī)則模板，每個(gè)預(yù)置的包過(guò)濾規(guī)則集都對(duì)應(yīng)了一種比較典型的網(wǎng)絡(luò)布置情況。對(duì)于常規(guī)的應(yīng)用，用戶(hù)可以直接調(diào)用預(yù)置的包過(guò)濾規(guī)則集來(lái)完成，大大簡(jiǎn)化了用戶(hù)對(duì)防火墻的設(shè)置工作。由于FireGate防火墻是一種包過(guò)濾類(lèi)型的防火墻，因此通過(guò)規(guī)則集來(lái)進(jìn)行包的檢查，而不同的網(wǎng)絡(luò)布置情況決定了不同的包過(guò)濾規(guī)則集，因此FireGate防火墻預(yù)置了對(duì)應(yīng)多種網(wǎng)絡(luò)布置情況的包過(guò)濾規(guī)則供用戶(hù)選擇使用。FireGate防火墻可以靈活地滿(mǎn)足不同的安全需要，為企業(yè)，托管服務(wù)器等提供一個(gè)不同層次和不同方位的安全保障。而且完善的審計(jì)記錄和流量統(tǒng)計(jì)信息為用戶(hù)提供了大量有用的記錄和信息。FireGate典型應(yīng)用于IDC、金融、證券需要重點(diǎn)保護(hù)的計(jì)算機(jī)網(wǎng)絡(luò)，大、中、小型企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)以及ICP、ISP的托管主機(jī)群。附件五 Cisco 3600路由器Cisco 3600是世界第一個(gè)真正的多功能應(yīng)用支持平臺(tái)，在單獨(dú)一個(gè)服務(wù)器上廣泛支持分支機(jī)構(gòu)/企業(yè)撥號(hào)訪問(wèn)應(yīng)用，LAN到LAN或者路由選擇應(yīng)用以及多服務(wù)應(yīng)用。它提供前所未有的模塊化選項(xiàng)，可使用多種不同的網(wǎng) 絡(luò)模塊，它還具有強(qiáng)大的靈活性，可針對(duì)客戶(hù)的不同應(yīng)用環(huán)境，提供各種配置選項(xiàng)，而且最重要的是，它具有支持所有這些應(yīng)用的優(yōu)質(zhì)運(yùn)行性能。-作為一個(gè)多功能解決方案，你可以依靠Cisco 3600平臺(tái)的出眾性能、安全性以及靈活性來(lái)滿(mǎn)足你未來(lái)多年的需要。與具有綜合管理、配置以及單供應(yīng)商支持的一臺(tái)多功能設(shè)備相比，管理、配置以及支持多臺(tái)設(shè)備。 此外，Cisco IOSTM軟件包含許多可提供安全性、可靠性以及WAN優(yōu)化的功能，在任何應(yīng)用環(huán)境中，都可以使用Cisco IOSA功能來(lái)控制不斷上升的WAN費(fèi)用。Cisco IOS軟件支持在幀中繼、專(zhuān)線以及撥號(hào)網(wǎng)絡(luò)上的數(shù)據(jù)壓縮。Cisco IOS軟件擁有廣泛的多媒體功能，可以支持諸如在WAN上的電話會(huì)議那樣的新型應(yīng)用。資源預(yù)保留協(xié)議（RSVP）、非協(xié)議依賴(lài)性的多點(diǎn)廣播（PIM）以及加權(quán)公平排隊(duì)（WF）等功能可以保證一貫的服務(wù)質(zhì)量以及較高的應(yīng)用可用性。A.Cisco 3600提供的多種功能 Cisco 3600的目標(biāo)是滿(mǎn)足不斷發(fā)展的需要。Cisco 3600在一個(gè)模塊化的機(jī)箱中有不同的模塊選擇可以最大限度地保護(hù)用戶(hù)投資，其性能可以處理上述不同的需要，而且還有能力滿(mǎn)足將來(lái)的發(fā)展需求。例如，作為一個(gè)ISDN連接解決方案，配有集成數(shù)字調(diào)制解調(diào)器的Cisco 3600ISDN PRI連接服務(wù)器非常適合那些機(jī)架空間有限的機(jī)構(gòu)。Cisco 3600配有冗余LAN接口，包括提供數(shù)據(jù)回拖到聚合點(diǎn)，同時(shí)，它的冗余LAN接口，包括提供快速以太網(wǎng)以及令牌網(wǎng)的功能，可以靈活地置于各種不同的LAN環(huán)境中。B.Cisco 3600提供多協(xié)議撥號(hào)連接成功的遠(yuǎn)程連接意味著能夠幾次透明地連接到任何地點(diǎn)的用戶(hù)，同時(shí)可支持任何協(xié)議。遠(yuǎn)程和移動(dòng)用戶(hù)的不同需要使ISDN和異步連接都變得十分必要，今天，用戶(hù)希望獲得與本地訪問(wèn)同樣的連接服務(wù)質(zhì)量。為了滿(mǎn)足這種要求，遠(yuǎn)程訪問(wèn)服務(wù)器必須成為整個(gè)網(wǎng)絡(luò)解決方案的一部分，并且和它一起擴(kuò)展以滿(mǎn)足不斷增長(zhǎng)的遠(yuǎn)程訪問(wèn)的需要。 C.系統(tǒng)功能 5.3.1.全功能的Cisco ISO -Cisco 3600是Cisco 整套端到端連接解決方案中的一部分。沒(méi)有任何其它的供應(yīng)商能夠向遠(yuǎn)程用戶(hù)提供這么多的Intermir訪問(wèn)以及擴(kuò)展選擇。而且Cisco ISO軟件有能力在用戶(hù)負(fù)擔(dān)得起的前提下布置撥號(hào)虛擬專(zhuān)用網(wǎng)絡(luò)（Dial VPNS），使Cisco 產(chǎn)品的功能又得到了相應(yīng)的提升。用戶(hù)還能夠通過(guò)數(shù)據(jù)壓縮等帶寬優(yōu)化技術(shù)來(lái)節(jié)省開(kāi)支，并且可以布置高質(zhì)量的網(wǎng)絡(luò)安全防火墻以及數(shù)據(jù)加密功能。5.3.2.安全性 -安全已成為今天大多數(shù)網(wǎng)絡(luò)管理者關(guān)心的主要問(wèn)題，Cisco 3600，問(wèn)題配合廣為流行、功能強(qiáng)大的Cisco ISO軟件，可以為客戶(hù)核心網(wǎng)絡(luò)提供全面的安全保障。對(duì)于遠(yuǎn)程用戶(hù)環(huán)境，Cisco 3600將該項(xiàng)已被證明是有效的核心安全技術(shù)擴(kuò)展到混合介質(zhì)撥入站點(diǎn)。Cisco ISO軟件支持的安全功能包括訪問(wèn)清單、侵入事件記錄、遠(yuǎn)程訪問(wèn)撥入用戶(hù)服務(wù)（RADIUS）、Kerberos V以及具有驗(yàn)證、授權(quán)和記帳（AAA）的TACACS。 5.3.3.管理 -Cisco 3600提供一套稱(chēng)為CiscoWorks的完善的圖形用戶(hù)界面（GUI）管理工具，可對(duì)Cisco 3600機(jī)箱及其相關(guān)網(wǎng)絡(luò)模塊進(jìn)行圖形化的配置、監(jiān)控和調(diào)試。Cisco配置管理功能向網(wǎng)絡(luò)管理者提供對(duì)網(wǎng)絡(luò)統(tǒng)計(jì)數(shù)據(jù)的完全控制以及在一個(gè)中央控制中心配置和調(diào)節(jié)網(wǎng)絡(luò)操作的能力。Cisco ISO軟件包含全面的故障分析工具，可以大大減少問(wèn)題隔離和恢復(fù)所需的時(shí)間和費(fèi)用。-針對(duì)Cisco 3600提供的內(nèi)部調(diào)制解調(diào)器，一套先進(jìn)的可選調(diào)制解調(diào)器管理功能可供使用，它提供廣泛的帶寬優(yōu)化功能，可以幫助分支機(jī)構(gòu)和企業(yè)客戶(hù)降低運(yùn)行地理位置分散的廣域網(wǎng)絡(luò)的重復(fù)費(fèi)用。調(diào)制解調(diào)器管理功能集包括呼人過(guò)程監(jiān)視hard and busy out、分組、一個(gè)用戶(hù)定義的警告域值以及統(tǒng)計(jì)功能。管理人員可查看調(diào)制解調(diào)器的調(diào)制配置、調(diào)制解調(diào)器協(xié)議、調(diào)制解調(diào)器EIA/TIB2信號(hào)狀態(tài)。調(diào)制解調(diào)器發(fā)送和接收速率以及模擬信噪比等實(shí)時(shí)（當(dāng)時(shí)或以前的呼叫）。調(diào)制解調(diào)器可以用管理網(wǎng)絡(luò)其它部分的相同工具來(lái)管理，從而為網(wǎng)絡(luò)管理者提供了一個(gè)在中央管理點(diǎn)進(jìn)行管理的解決方案。5.3.4.可擴(kuò)展性 多鏈路點(diǎn)到點(diǎn)協(xié)議（MP）使用戶(hù)可利用ISDN連接的優(yōu)勢(shì)，并且可以使用兩個(gè)B通道達(dá)到128kbps數(shù)據(jù)吞吐量。異步用戶(hù)如果在其工作站上獲得支持，使用兩個(gè)通過(guò)兩條電話線連接的調(diào)制器，他們也能夠受益于該功能。為了滿(mǎn)足用戶(hù)不斷增長(zhǎng)的需求，需要擴(kuò)展Cisco 3600解決方案，而MMP支持是實(shí)現(xiàn)這種擴(kuò)展的一個(gè)關(guān)鍵因素。MMP使呼叫能夠被鏈接起來(lái)，而不管每個(gè)呼叫被 置于哪個(gè)物理機(jī)箱，從而能將Cisco 3600機(jī)箱堆放起來(lái)并視為一個(gè)撥入池。5.5.Cisco 3600系列概覽 下表詳細(xì)列出了目前可提供的Cisco 3600系列的平臺(tái)和網(wǎng)模塊。對(duì)于郵電客戶(hù)來(lái)說(shuō)，直流電源是唯一選擇，Cisco 3600產(chǎn)品提供直流型號(hào)這些電源也可作為備用件訂購(gòu)，而且它們都是現(xiàn)場(chǎng)可替換部件（FRUs），備用電源在清單的編號(hào)為PWR 3620DC3640DC。 Cisco 3600系列是一個(gè)具有優(yōu)越性能和靈活性的全面解決方案，您可以依賴(lài)它，迎接未來(lái)的挑戰(zhàn)。你知道你正在和一個(gè)可以依賴(lài)的供應(yīng)商合作。Cisco 系統(tǒng)公司以其出色的服務(wù)和支持，以及世人皆知的高性、高可靠性和標(biāo)準(zhǔn)的高技術(shù)，支持每一個(gè)它生產(chǎn)的產(chǎn)品。附件六 寬帶服務(wù)路由器CMTSACE/RiverDelta BSR1000寬帶服務(wù)路由器RiverDelta BSR1000是小型的低成本的解決方案，適用于小型分區(qū)分配中心或?qū)拵Х?wù)市場(chǎng)發(fā)展的早期階段中較大場(chǎng)所。它可作為單獨(dú)放置的設(shè)備使用，或作為低成本有線網(wǎng)絡(luò)廷伸所需的小型設(shè)備中的一種。這種增加用戶(hù)進(jìn)行的簡(jiǎn)單易用的分配CMTS可以幫助運(yùn)營(yíng)商們發(fā)展在定義、配置及管理方面極具優(yōu)勢(shì)的寬帶服務(wù)它執(zhí)行Networks Smartflow的單數(shù)據(jù)包處理，低成本有效的廷伸豐富的QoS支持，傳送給多用戶(hù)商?？晒?jié)省空間的BSR1000的體積非常小巧，是小型分區(qū)分配中心理想的選擇。它可以由非技術(shù)人員進(jìn)行安裝用于擴(kuò)大服務(wù)范圍，它可發(fā)當(dāng)作第2層橋接器使用或作為有增強(qiáng)的安全性特色功能的CMTS路由器使用。新一代分配平臺(tái) BSR1000是根據(jù)DOCSIS1.0、DOCSIS1.1、及PacketCable1.0標(biāo)準(zhǔn)設(shè)計(jì)的。這種簡(jiǎn)潔的CMTS與快速以太網(wǎng)上行傳輸相配置可連本地?cái)?shù)據(jù)網(wǎng)絡(luò)；或與可選的雙向上行傳輸（千兆比特光接口或快速以太網(wǎng)接口）相配置可連接光傳輸環(huán)并支持鏈接。BSR1000有節(jié)省空間的IU“壓縮式”盒狀底盤(pán)，允許MSO在空間非常珍貴的最小型的場(chǎng)所內(nèi)充分利用寬帶服務(wù)結(jié)構(gòu)。當(dāng)數(shù)據(jù)集中到運(yùn)營(yíng)商級(jí)的BSR6400的時(shí)候，系統(tǒng)實(shí)行可測(cè)量的SLA來(lái)進(jìn)行隔離、監(jiān)控和地址管理。這種解決方案可以進(jìn)行低成本有效地服務(wù)領(lǐng)域的擴(kuò)大，并且它可以傳送數(shù)據(jù)形態(tài)使SLA跨越HFC網(wǎng)絡(luò)進(jìn)行端對(duì)端傳送。 分配QoS和多服務(wù)支持寬帶有線網(wǎng)絡(luò)傳達(dá)室送的能力要求滿(mǎn)足集中的數(shù)據(jù)、聲音、多媒體服務(wù)的傳送，BSR1000是一個(gè)靈活平臺(tái)使這些新一代的服務(wù)通過(guò)IP實(shí)現(xiàn)。它提供寬帶多種服務(wù)的支持并且運(yùn)營(yíng)商可以從創(chuàng)新的新服務(wù)項(xiàng)目中迅速更新和增加收益渠道。BSR1000允許電纜運(yùn)營(yíng)商支持一個(gè)供應(yīng)商提供多種服務(wù)，同時(shí)也允許多個(gè)服務(wù)商每個(gè)僅供提供一種服務(wù)。運(yùn)營(yíng)商能夠通過(guò)Cable Modem將可測(cè)量的QoS發(fā)送到多個(gè)服務(wù)商的網(wǎng)絡(luò)中心。通過(guò)將多個(gè)BSR1000中的數(shù)據(jù)流集中到分區(qū)端的一個(gè)BSR6400里，運(yùn)營(yíng)商能夠提供低成本有效的電纜接入同時(shí)保證按內(nèi)容分類(lèi)的路由處理。SmartFlow允許運(yùn)營(yíng)商根據(jù)數(shù)據(jù)包內(nèi)容將數(shù)據(jù)包分類(lèi)到數(shù)據(jù)流中并且為HFC網(wǎng)絡(luò)中使用DOCSIS1.1、的每個(gè)數(shù)據(jù)流進(jìn)行適合的QoS處理或?yàn)榉謪^(qū)及骨干網(wǎng)絡(luò)提Diff-Serv或MPSL。Qos的處理-例如：Diff-Serv的服務(wù)類(lèi)型（TOS）再映射-就是由根據(jù)每個(gè)服務(wù)商規(guī)定的條款制定的。系統(tǒng)可以提供用戶(hù)使用靜態(tài)統(tǒng)計(jì)且可以保證并書(shū)面約定第個(gè)商的可以通過(guò)普通的有線網(wǎng)絡(luò)結(jié)構(gòu)有效的傳送到用戶(hù)。 增強(qiáng)的安全性。運(yùn)營(yíng)商可以將BSR1000作為一個(gè)自設(shè)置CMTS路由器或第2層CMTS使用。當(dāng)作為一個(gè)安全的、自設(shè)置的第2層CMTS使用時(shí)，BSR1000能夠隔離Cable Modem的媒