智慧圖書(shū)館網(wǎng)絡(luò)及安全系統(tǒng)設(shè)計(jì)

智慧圖書(shū)館網(wǎng)絡(luò)及安全系統(tǒng)設(shè)計(jì)

目錄

第一節(jié)網(wǎng)絡(luò)安全概念及其特征.........................................2

第二節(jié)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì).................................................3

一、網(wǎng)絡(luò)系統(tǒng)需求分析.................................................3

二、設(shè)計(jì)原則.................................................................4

三、設(shè)計(jì)目標(biāo).................................................................5

四、邏輯設(shè)計(jì).................................................................6

五、無(wú)線局域網(wǎng)設(shè)計(jì).....................................................6

六、網(wǎng)絡(luò)管理設(shè)計(jì).........................................................8

七、網(wǎng)絡(luò)安全設(shè)計(jì).........................................................9

第三節(jié)網(wǎng)絡(luò)安全解決方案.................................................9

第四節(jié)數(shù)據(jù)備份...............................................................11

第五節(jié)設(shè)備選型...............................................................12

一、防火墻..................................................................12

二、流量控制設(shè)備.......................................................15

三、交換機(jī)..................................................................16

四、服務(wù)器選型...........................................................18

五、無(wú)線AP選型.........................................................18

六、網(wǎng)管軟件的選擇...................................................19

1

第一節(jié)網(wǎng)絡(luò)安全概念及其特征

（投標(biāo)人根據(jù)實(shí)際情況進(jìn)行編寫(xiě)）

構(gòu)建安全的圖書(shū)館包括物理安全、數(shù)據(jù)安全、系統(tǒng)安全、

網(wǎng)絡(luò)安全、應(yīng)用程序安全和用戶安全。一般來(lái)說(shuō)，數(shù)字圖書(shū)

館的網(wǎng)絡(luò)安全是指數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的各個(gè)組成部分不

受偶然的或惡意的原因而遭到破壞、篡改、和泄露，并且確

保數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)能連續(xù)正常運(yùn)行的機(jī)制，其最終目的

是要達(dá)到數(shù)字圖書(shū)館網(wǎng)絡(luò)信息處理和傳輸過(guò)程中保持可靠

的機(jī)密性、完整性、可用性和可控性。

機(jī)密性是指保證圖書(shū)館的信息數(shù)據(jù)不被未授權(quán)的用戶

使用，雖然圖書(shū)館是公共服務(wù)性部門，信息資源大都是公開(kāi)

的，但是公開(kāi)的對(duì)象目前還僅限于在校學(xué)生和教職工，并不

對(duì)社會(huì)開(kāi)放，而且資源中的一小部分是有償使用的，圖書(shū)館

管理人員要針對(duì)不同的資源、不同的用戶實(shí)現(xiàn)資源的機(jī)密

性。

可用性是指被授權(quán)的用戶不受時(shí)間、地點(diǎn)的限制順利使

用圖書(shū)館提供的資源，并不會(huì)因網(wǎng)絡(luò)環(huán)境不同或者某些蓄意

攻擊病毒的影響而導(dǎo)致不能正常使用。

完整性是指保證圖書(shū)館的資源不被任何未經(jīng)授權(quán)的用

戶篡改，資源在發(fā)布、傳遞、使用的過(guò)程中不被破壞、丟失，

能在服務(wù)的過(guò)程中保持資源的完整性。

2

圖書(shū)館的管理人員往往會(huì)疏忽網(wǎng)絡(luò)安全管理，認(rèn)為自己

的圖書(shū)館規(guī)模小，不會(huì)受到惡意攻擊，就算受到攻擊，系統(tǒng)

恢復(fù)一下就行了，或者認(rèn)為安裝了防火墻或者殺毒軟件等就

不會(huì)被攻擊，這些想法都是不可取的。多數(shù)圖書(shū)館對(duì)于網(wǎng)絡(luò)

管理員的崗位職責(zé)和管理制度并不完善，網(wǎng)絡(luò)管理員往往身

兼數(shù)職，技術(shù)水平相對(duì)比較薄弱。數(shù)字圖書(shū)館的網(wǎng)絡(luò)安全必

須要得到管理人員的重視，必須加強(qiáng)自我學(xué)習(xí)和自我管理。

目前，常用的數(shù)字圖書(shū)館網(wǎng)絡(luò)系統(tǒng)安全預(yù)防機(jī)制有：用戶身

份認(rèn)證、防火墻技術(shù)、入侵檢測(cè)技術(shù)、VPN技術(shù)等。除了技

術(shù)方面的應(yīng)用，管理工作的重要性也不容小覷，俗話說(shuō)，“三

分技術(shù)，七分管理”，可見(jiàn)合理的管理制度，嚴(yán)謹(jǐn)?shù)墓芾砹?/p>

程的重要性，增強(qiáng)管理機(jī)制能最大程度降低人為因素造成的

安全隱患。

第二節(jié)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)

一、網(wǎng)絡(luò)系統(tǒng)需求分析

圖書(shū)館網(wǎng)絡(luò)系統(tǒng)建設(shè)包括圖書(shū)館局域網(wǎng)建設(shè)及與校園

網(wǎng)主干互聯(lián)。圖書(shū)館局域網(wǎng)以交換式千兆以太網(wǎng)為主干，網(wǎng)

絡(luò)不僅支持傳送文件，還要支持語(yǔ)音、視頻等信息量大的流

媒體應(yīng)用，對(duì)網(wǎng)絡(luò)的響應(yīng)和帶寬要求較高，這就要求網(wǎng)絡(luò)設(shè)

備的要有較大的交換容量；同時(shí)還要加強(qiáng)網(wǎng)絡(luò)安全策略，對(duì)

內(nèi)防止病毒侵?jǐn)_、對(duì)外防止外部的網(wǎng)絡(luò)攻擊；針對(duì)圖書(shū)館資

3

源的訪問(wèn)方式，故采用有線網(wǎng)絡(luò)為主，無(wú)線網(wǎng)絡(luò)為輔的接入

方式。

二、設(shè)計(jì)原則

1.高可靠性和高性能

網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠是整個(gè)系統(tǒng)正常運(yùn)行的重中之重，在

設(shè)備選型時(shí)，充分考慮冗余能力；制定可靠的備份策略，保

證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。出現(xiàn)故障時(shí)，可以快速的排除。

網(wǎng)絡(luò)在建設(shè)時(shí)必須保證設(shè)備和網(wǎng)絡(luò)的高吞吐能力，保證

信息的傳輸質(zhì)量，盡可能采用高性能的網(wǎng)絡(luò)設(shè)備，才能使網(wǎng)

絡(luò)不成為正常使用時(shí)的瓶頸。

2.先進(jìn)性和實(shí)用性

采用先進(jìn)的技術(shù)，使網(wǎng)絡(luò)在現(xiàn)在到未來(lái)一段時(shí)間內(nèi)能夠

不被淘汰，而且具有發(fā)展?jié)摿?；按照層次化、模塊化設(shè)計(jì)網(wǎng)

絡(luò)，具有較好的伸縮性，可以不斷吸收新方法、新技術(shù)，在

可以滿足應(yīng)用系統(tǒng)業(yè)務(wù)和圖書(shū)館業(yè)務(wù)的同時(shí)，還要體現(xiàn)出網(wǎng)

絡(luò)的安全性。

3.安全性

圖書(shū)館擁有眾多教學(xué)和檔案管理的重要數(shù)據(jù)，無(wú)論是被

損壞、丟棄還是竊取，都會(huì)帶來(lái)重大損失。然而，可以采用

內(nèi)部核心區(qū)域架設(shè)防火墻的方式，避免圖書(shū)館內(nèi)網(wǎng)核心服務(wù)

器收到攻擊。制定一套健全的安全策略，整體提高網(wǎng)絡(luò)平臺(tái)

的安全性。

4.靈活性和可擴(kuò)展性

4

對(duì)于高校圖書(shū)館，經(jīng)常更換網(wǎng)絡(luò)設(shè)備將是一筆非常大的

開(kāi)支，在組建圖書(shū)館網(wǎng)絡(luò)的過(guò)程中，應(yīng)當(dāng)考慮到網(wǎng)絡(luò)的可持

續(xù)擴(kuò)展性。采用三層交換機(jī)既可以滿足當(dāng)今圖書(shū)館網(wǎng)絡(luò)的需

求，也可以滿足未來(lái)網(wǎng)絡(luò)的升級(jí)和改良，可以應(yīng)用于千兆鏈

路與萬(wàn)兆鏈路。

三、設(shè)計(jì)目標(biāo)

圖書(shū)館網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)應(yīng)該考慮到網(wǎng)絡(luò)的總體框架設(shè)計(jì)、

網(wǎng)絡(luò)管理設(shè)計(jì)、網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)、網(wǎng)絡(luò)安全設(shè)計(jì)等，要求達(dá)到

的目標(biāo)有以下幾點(diǎn)：

第一，系統(tǒng)的兼容性好，實(shí)用性強(qiáng)，開(kāi)放性好，符合國(guó)

際標(biāo)準(zhǔn)，支持TCP/IP、IPX/SPX協(xié)議。

第二，掌握現(xiàn)代信息技術(shù)發(fā)展，采用先進(jìn)技術(shù)，選用技

術(shù)成熟的網(wǎng)絡(luò)產(chǎn)品。系統(tǒng)軟硬件配置時(shí)需要考慮性能需求和

當(dāng)前技術(shù)水平，兼顧系統(tǒng)的現(xiàn)實(shí)性和技術(shù)領(lǐng)先。

第三，整體設(shè)計(jì)最優(yōu)原則，在進(jìn)行設(shè)計(jì)的時(shí)候，需要根

據(jù)合理性的原則，綜合考慮，這種選擇，充分顧及到：安全

性、可靠性、實(shí)用性和經(jīng)濟(jì)性。

第四，系統(tǒng)安全可靠，便于維護(hù)和管理。

第五，適應(yīng)現(xiàn)代化技術(shù)的發(fā)展，與中國(guó)教育科研網(wǎng)

(CERNET)等國(guó)內(nèi)和國(guó)際互聯(lián)網(wǎng)相連，實(shí)現(xiàn)真正的國(guó)際、國(guó)內(nèi)

網(wǎng)際互聯(lián)。

5

四、邏輯設(shè)計(jì)

網(wǎng)絡(luò)邏輯設(shè)計(jì)是建設(shè)網(wǎng)絡(luò)過(guò)程中的重要工作，從整體上

影響或決定了網(wǎng)絡(luò)的建筑規(guī)模、基本結(jié)構(gòu)、主要應(yīng)用內(nèi)容與

模式、資金投入和建設(shè)周期等重大問(wèn)題。

網(wǎng)絡(luò)邏輯設(shè)計(jì)是網(wǎng)絡(luò)工程技術(shù)人員不可或缺的必備專

業(yè)技術(shù)，它是在掌握網(wǎng)絡(luò)建設(shè)的任務(wù)與工作程序和理解網(wǎng)絡(luò)

工程建設(shè)的技術(shù)指標(biāo)等基本概念的基礎(chǔ)之上，根據(jù)用戶需要

確定網(wǎng)絡(luò)建設(shè)的方案。

本圖書(shū)館局域網(wǎng)絡(luò)規(guī)劃中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)方面，選用

星型的拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖所示。

五、無(wú)線局域網(wǎng)設(shè)計(jì)

在一個(gè)典型的無(wú)線局域網(wǎng)環(huán)境中，有一些進(jìn)行數(shù)據(jù)發(fā)送

和接收的設(shè)備，稱為接入點(diǎn)(AP)。通常，一個(gè)AP能夠在幾

6

十至上百米的范圍內(nèi)連接多個(gè)無(wú)線用戶。在同時(shí)具有有線和

無(wú)線網(wǎng)絡(luò)的情況下，AP可以通過(guò)標(biāo)準(zhǔn)的Ethernet電纜與傳

統(tǒng)的有線網(wǎng)絡(luò)相聯(lián)，作為無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點(diǎn)。無(wú)

線局域網(wǎng)的終端用戶可通過(guò)無(wú)線網(wǎng)卡等訪問(wèn)網(wǎng)絡(luò)。無(wú)線局域

網(wǎng)在室外主要有以下幾種結(jié)構(gòu)：點(diǎn)對(duì)點(diǎn)型、點(diǎn)對(duì)多點(diǎn)型、多

點(diǎn)對(duì)點(diǎn)型和混合型。

1.點(diǎn)對(duì)點(diǎn)型。該類型常用于固定的要聯(lián)網(wǎng)的兩個(gè)位置之

間，是無(wú)線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)網(wǎng)方式建成的網(wǎng)絡(luò)，

優(yōu)點(diǎn)是傳輸距離遠(yuǎn)，傳輸速率高，受外界環(huán)境影響較小。

2.點(diǎn)對(duì)多點(diǎn)型。該類型常用于有一個(gè)中心點(diǎn)，多個(gè)遠(yuǎn)端

點(diǎn)的情況下。其最大優(yōu)點(diǎn)是組建網(wǎng)絡(luò)成本低、維護(hù)簡(jiǎn)單；其

次，由于中心使用了全向天線，設(shè)備調(diào)試相對(duì)容易。該種網(wǎng)

絡(luò)的缺點(diǎn)也是因?yàn)槭褂昧巳蛱炀€，波束的全向擴(kuò)散使得功

率大大衰減，網(wǎng)絡(luò)傳輸速率低，對(duì)于較遠(yuǎn)距離的遠(yuǎn)端點(diǎn)，網(wǎng)

絡(luò)的可靠性不能得到保證。

3.混合型。這種類型適用于所建網(wǎng)絡(luò)中有遠(yuǎn)距離的點(diǎn)、

近距離的點(diǎn)，還有建筑物或山脈阻擋的點(diǎn)。在組建這種網(wǎng)絡(luò)

時(shí)，綜合使用上述幾種類型的網(wǎng)絡(luò)方式，對(duì)于遠(yuǎn)距離的點(diǎn)使

用點(diǎn)對(duì)點(diǎn)方式，近距離的多個(gè)點(diǎn)采用點(diǎn)對(duì)多點(diǎn)方式，有阻擋

的點(diǎn)采用中繼方式。所謂無(wú)線局域網(wǎng)就是試圖形成這樣一種

在一個(gè)大網(wǎng)中處于不同物理位置的各個(gè)成員可以不受位置

限制而構(gòu)成，即WLAN，如下圖。

圖書(shū)館無(wú)線局域網(wǎng)拓?fù)鋱D

7

六、網(wǎng)絡(luò)管理設(shè)計(jì)

根據(jù)用戶需求分析的結(jié)果可知，力行圖書(shū)館局域網(wǎng)必須

是一個(gè)可管理的網(wǎng)絡(luò)，因此，在我們必須進(jìn)行網(wǎng)絡(luò)管理設(shè)計(jì)。

針對(duì)圖書(shū)館局域網(wǎng)的實(shí)際情況，網(wǎng)絡(luò)管理設(shè)計(jì)主要解決

故障查找、配置與重配置和網(wǎng)絡(luò)監(jiān)視問(wèn)題，而解決這些問(wèn)題

現(xiàn)在一般都借助網(wǎng)絡(luò)管理軟件。所以，在圖書(shū)館局域網(wǎng)中，

我們選用主干交換設(shè)備廠商提供的網(wǎng)絡(luò)管理軟件來(lái)完成網(wǎng)

絡(luò)管理工作。

8

七、網(wǎng)絡(luò)安全設(shè)計(jì)

根據(jù)用戶需求分析的結(jié)果可知，圖書(shū)館局域網(wǎng)必須是一

個(gè)安全的網(wǎng)絡(luò)，因此，在邏輯網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須進(jìn)行網(wǎng)絡(luò)安全

設(shè)計(jì)。提供網(wǎng)絡(luò)安全是一種平衡策略，因此，權(quán)衡網(wǎng)絡(luò)安全

需要和方便用戶需要，在圖書(shū)館局域網(wǎng)的安全設(shè)計(jì)方面主要

采用訪問(wèn)控制技術(shù)、用戶認(rèn)證技術(shù)等來(lái)保障網(wǎng)絡(luò)安全運(yùn)行。

第三節(jié)網(wǎng)絡(luò)安全解決方案

保證智慧圖書(shū)館內(nèi)部應(yīng)用數(shù)據(jù)的安全是所有安全設(shè)計(jì)

中的重中之重，考慮采用包過(guò)濾(防火墻)和Proxy。這種防

火墻系統(tǒng)可以說(shuō)是比較安全的，在定義了“非軍事區(qū)”(DMZ)

網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層兩方面的安全功能。網(wǎng)絡(luò)管

理員將與Internet交換信息的E-Mai1服務(wù)器都放在DMZ網(wǎng)

絡(luò)中。DMZ網(wǎng)絡(luò)處于Internet和內(nèi)部網(wǎng)絡(luò)之間。

目前的防火墻有二大類，一類是基于硬件的防火墻，另

一類是基于軟件的防火墻，硬件防火墻由于采用了專門的操

作系統(tǒng)和高速的CPU，因此速度快，可靠性高，安全性高，

但價(jià)格相對(duì)較高。軟件防火墻的主要優(yōu)點(diǎn)是價(jià)格相對(duì)便宜，

但速度和可靠性、安全性不及硬件防火墻，因此我們智慧圖

書(shū)館采用硬件防火墻，在這里我們采用CiscoPIX525硬件

防火墻。對(duì)于代理軟件，Microsoft公司的Internet

SecurityandAccelerationServer2000(ISA)，ISAServer

9

2000能夠提供安全、快速和可管理的Internet連接。ISA

Server集成了可擴(kuò)展、多層企業(yè)級(jí)的防火墻和可伸縮的高性

能Web緩存系統(tǒng)。構(gòu)建在Windows2000的安全特性和目錄基

礎(chǔ)上，提供基于策略的安全、加速和管理。ISAServer包括

一個(gè)可擴(kuò)展的多層企業(yè)級(jí)防火墻，可以用以下特征來(lái)描述：

包、鏈路層和應(yīng)用程序?qū)恿髁勘O(jiān)測(cè)，狀態(tài)監(jiān)測(cè)，廣泛的應(yīng)用

程序支持，VPN集成，系統(tǒng)強(qiáng)化，入侵檢測(cè)集成，智能應(yīng)用

程序過(guò)濾器，對(duì)所有客戶端的透明，高級(jí)驗(yàn)證，安全服務(wù)器

發(fā)布等等。

對(duì)于從Internet進(jìn)來(lái)的訪問(wèn)，外面的路由器用于防范

通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理

Internet到DMZ網(wǎng)絡(luò)的訪問(wèn)。它只允許外部系統(tǒng)訪問(wèn)E-Mail

服務(wù)器。里面的防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)提供第二層防御，只

接受源于DMZ的數(shù)據(jù)包，負(fù)責(zé)的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪

問(wèn)。

對(duì)于去往Internet的數(shù)據(jù)包，里面的防火墻服務(wù)器管

理內(nèi)部網(wǎng)絡(luò)到DMZ網(wǎng)絡(luò)的訪問(wèn)。它允許內(nèi)部系統(tǒng)只訪問(wèn)DMZ

中的主機(jī)。外面的路由器上的過(guò)濾規(guī)則使用代理服務(wù)(只接

受來(lái)自堡壘主機(jī)的去Internet的數(shù)據(jù)包)訪問(wèn)Internet。

采用這種屏蔽子網(wǎng)防火墻系統(tǒng)有如下幾個(gè)特別的好處：

入侵者必須突破若個(gè)不同的設(shè)備(無(wú)法探測(cè))才能侵襲內(nèi)部

網(wǎng)絡(luò)：外部路由器，Proxy，還有內(nèi)部防火墻。由于外部路

由器只能向Internet通告DMZ網(wǎng)絡(luò)的存在，Internet.上的

系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)相對(duì)。這樣網(wǎng)絡(luò)管理員朱可

10

以保證內(nèi)部網(wǎng)絡(luò)是“不可見(jiàn)”的，并且只有在DMZ網(wǎng)絡(luò)上選

定的系統(tǒng)才對(duì)Internet開(kāi)放(通過(guò)路由表和DMZ信息交換)。

由于內(nèi)部防火墻系統(tǒng)只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)

部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部

網(wǎng)絡(luò)上的用戶必須通過(guò)代理服務(wù)才能訪問(wèn)Internet。對(duì)于病

毒防范，采用防病毒軟件，Symantec公司的Norton

AntiVirus以其領(lǐng)先的反病毒技術(shù)在全球反病毒軟件中獨(dú)樹(shù)

一幟，NortonAntiVirus獨(dú)有的智能跟蹤、查殺技術(shù)，不僅

保證系統(tǒng)不受病毒感染，還能有效查殺各種特洛伊木馬

(Trojan-黑客軟件)，如：Back0rifice、NetBus等，而

NortonAntiVirus的智能更新可以不斷從Symantec獲得新

的病毒代碼，在新病毒發(fā)作前就將其查出；如果發(fā)現(xiàn)了新的

病毒還可以將其發(fā)到NortonAntiVirus研究中心。

第四節(jié)數(shù)據(jù)備份

在一個(gè)企業(yè)級(jí)網(wǎng)絡(luò)中，系統(tǒng)數(shù)據(jù)的備份是至關(guān)重要的，

按照智慧圖書(shū)館項(xiàng)目設(shè)計(jì)要求和智慧圖書(shū)館的實(shí)際情況，我

們建議采用磁帶機(jī)進(jìn)行數(shù)據(jù)的備份。

在眾多可選的外部存儲(chǔ)設(shè)備，磁帶機(jī)是最可靠的的數(shù)據(jù)

備份方法，它的主要優(yōu)點(diǎn)如下：

1.每GB的存儲(chǔ)成本低于1.3美元；

2.傳輸率高(數(shù)據(jù)壓縮后可達(dá)10MB/秒)；

11

3.可移動(dòng)的磁帶易于存儲(chǔ)和保管。只需更換磁帶，因此，

容量可以說(shuō)是無(wú)限大的；

4.多數(shù)磁帶機(jī)和磁帶的良好可靠性已被證實(shí)，可將數(shù)據(jù)

存儲(chǔ)很長(zhǎng)時(shí)間，磁帶機(jī)已為大型計(jì)算機(jī)存儲(chǔ)極重要的數(shù)據(jù)超

過(guò)30年，并且證明了他們獲得了優(yōu)良的記錄；

5.磁帶機(jī)允許無(wú)人操作的自動(dòng)備份，使用好的備份軟件

可使您隨心所欲地使用磁帶機(jī)，為用戶提供了一-種簡(jiǎn)單的

方法。允許在無(wú)人值守的情況下可為大型網(wǎng)絡(luò)備份數(shù)據(jù)，甚

至可以為數(shù)據(jù)庫(kù)進(jìn)行“在線”備份；

6.磁帶庫(kù)、自動(dòng)加載磁帶機(jī)的應(yīng)用為網(wǎng)絡(luò)備份提供了更

為可靠的選擇。

備份工作主要通過(guò)操作系統(tǒng)一AIX內(nèi)置的備份程序來(lái)進(jìn)

行，在定義了備份策略后由操作系統(tǒng)自動(dòng)進(jìn)行備份。當(dāng)然在

需要的時(shí)候也可以進(jìn)行人工備份。

第五節(jié)設(shè)備選型

一、防火墻

（一）設(shè)備選型

根據(jù)核心交換機(jī)的選型，防火墻采用H3CSecBlade防火

墻插卡，該防火墻插卡采用了H3C公司最新的硬件平臺(tái)和體

系架構(gòu)，是H3C公司面向大型企業(yè)和運(yùn)營(yíng)商用戶開(kāi)發(fā)的新--

代電信級(jí)防火墻設(shè)備。通過(guò)SecBlade防火墻插卡，用戶可

12

靈活、迅速的在主網(wǎng)絡(luò)設(shè)備上實(shí)現(xiàn)網(wǎng)絡(luò)和安全防護(hù)的高度一

體化。

SecBlade防火墻插卡已經(jīng)完全實(shí)現(xiàn)了三層網(wǎng)絡(luò)設(shè)備的

轉(zhuǎn)發(fā)機(jī)制，可以靈活地應(yīng)用在多層交換網(wǎng)絡(luò)中，同時(shí)又能提

供強(qiáng)大的安全保護(hù)。它是基于H3C領(lǐng)先的OAA(Open

ApplicationArchitecture)架構(gòu)開(kāi)發(fā)，采用了多核高性能處

理器和高速存儲(chǔ)器，可以插在主網(wǎng)絡(luò)設(shè)備上的多個(gè)槽位上，

而且同一個(gè)主網(wǎng)絡(luò)設(shè)備上可以插入多塊SecBlade防火墻插

卡。

（二）功能介紹

SecBlade防火墻插卡支持的主要功能有：

1.支持驗(yàn)證、授權(quán)和計(jì)帳(AAA)服務(wù)。包括：基于

RADIUS/HWTACACS+、CHAP、PAP的認(rèn)證，支持域認(rèn)證等；

2.支持虛擬防火墻。可在業(yè)務(wù)板上劃分多個(gè)虛擬防火

墻，每個(gè)虛擬防火墻有自己的策略，并且可以分別進(jìn)行管理；

3.支持包過(guò)濾。通過(guò)在安全區(qū)域間使用標(biāo)準(zhǔn)或擴(kuò)展訪問(wèn)

控制規(guī)則，借助報(bào)文中UDP或TCP端口等信息實(shí)現(xiàn)對(duì)數(shù)據(jù)包

的過(guò)濾。此外，還可以按照時(shí)間段進(jìn)行過(guò)濾；

4.支持應(yīng)用層狀態(tài)包過(guò)濾(ASPF)功能。通過(guò)檢查應(yīng)用層

協(xié)議信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP

協(xié)議的應(yīng)用層協(xié)議)，并監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，

動(dòng)態(tài)的決定數(shù)據(jù)包是被允許通過(guò)防火墻或者是被丟棄；

5.支持P2P流量控制功能。通過(guò)對(duì)流量采用深度檢測(cè)的

13

方法—即通過(guò)將網(wǎng)絡(luò)報(bào)文與P2P協(xié)議報(bào)文特征進(jìn)行匹配，可

以精確的識(shí)別P2P流量，以達(dá)到對(duì)P2P流量進(jìn)行管理的目的，

同時(shí)可提供不同的控制策略，實(shí)現(xiàn)靈活的P2P流量控制；

6.支持URL過(guò)濾，可對(duì)指定的URL進(jìn)行屏蔽；

7.支持豐富的攻擊防范功能。包括：Land、Smurf、

Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片

報(bào)文、ARP欺騙、ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法

超大ICMP報(bào)文、地址掃描、支端口掃描等攻擊防范。還包

括針對(duì)SYNFlood、UPDFlood、ICMPFlood、分片F(xiàn)lood等

常見(jiàn)DDoS攻擊的檢測(cè)防御；

8.支持ICMP重定向或不可達(dá)報(bào)文控制功能；

9.支持Tracert報(bào)文控制功能；

10.支持帶路由記錄選項(xiàng)IP報(bào)文控制功能；

11.支持靜態(tài)和動(dòng)態(tài)黑名單；

12.支持NAT和NAT多實(shí)例；

13.支持VPN功能。包括：支持IPSec、支持IKE和

PKI、支持GRE隧道。支持硬件VPN處理加速；

14.支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，

以及BGP、RIP、OSPF等動(dòng)態(tài)路由協(xié)議；

15.支持安全日志；

16.支持流量監(jiān)控統(tǒng)計(jì)、管理；

17.支持全部WEB方式進(jìn)行管理。

14

二、流量控制設(shè)備

（一）設(shè)備選型

我館的流量控制設(shè)備采用F7OptimalQoS5000E產(chǎn)品，將

其部署在防火墻與核心路由交換機(jī)之間，對(duì)全館的網(wǎng)絡(luò)進(jìn)行

實(shí)時(shí)監(jiān)控和合理規(guī)劃。

F7OptimalQoS的技術(shù)亮點(diǎn)是：系統(tǒng)可部署于用戶的互

聯(lián)網(wǎng)出口、廣域網(wǎng)的各個(gè)節(jié)點(diǎn)，互聯(lián)網(wǎng)和廣域網(wǎng)交互網(wǎng)絡(luò)的

出口處和各分支節(jié)點(diǎn)，實(shí)現(xiàn)對(duì)全網(wǎng)的實(shí)時(shí)監(jiān)控、和對(duì)網(wǎng)絡(luò)資

源進(jìn)行重新規(guī)劃和合理分配，以充分提高網(wǎng)絡(luò)運(yùn)行效率及應(yīng)

用價(jià)值。系統(tǒng)可以幫助網(wǎng)絡(luò)管理員清晰直觀地了解網(wǎng)絡(luò)運(yùn)行

狀況和運(yùn)行趨勢(shì)，并能知道哪些是貪婪吞噬帶寬資源的應(yīng)

用，哪些是無(wú)關(guān)的應(yīng)用，直觀反映出網(wǎng)絡(luò)通道的擁擠程度。

系統(tǒng)是對(duì)網(wǎng)絡(luò)各種應(yīng)用進(jìn)行分析細(xì)分并做流量整形，整形后

的流量變成了可視可控可追溯的流量，對(duì)每種流量能達(dá)到每

一個(gè)session的監(jiān)管，基于對(duì)網(wǎng)絡(luò)應(yīng)用協(xié)議和網(wǎng)絡(luò)用戶的管

理優(yōu)化功能，可根據(jù)應(yīng)用和用戶的優(yōu)先級(jí)別不同，進(jìn)行區(qū)別

管理，可實(shí)現(xiàn)保障核心應(yīng)用和核心用戶的帶寬，促進(jìn)內(nèi)網(wǎng)非

核心用戶的用網(wǎng)公平，控制無(wú)關(guān)應(yīng)用搶占帶寬資源，動(dòng)態(tài)管

理網(wǎng)絡(luò)出口帶寬，使整個(gè)網(wǎng)絡(luò)處于高效并可管理的狀態(tài)。

（二）功能介紹

5000E的功能分三方面，一是對(duì)實(shí)時(shí)網(wǎng)絡(luò)流量的檢測(cè)，

二是策略管理，即針對(duì)IP和七層應(yīng)用協(xié)議的帶寬、會(huì)話數(shù)、

優(yōu)先級(jí)別等進(jìn)行限制，三是對(duì)過(guò)往流量使用情況進(jìn)行統(tǒng)計(jì)。

15

5000E實(shí)時(shí)監(jiān)測(cè)平臺(tái)實(shí)現(xiàn)的功能：主要功能是實(shí)時(shí)監(jiān)測(cè)，

監(jiān)測(cè)對(duì)象包括單個(gè)IP、網(wǎng)段、單個(gè)應(yīng)用、應(yīng)用組等，監(jiān)測(cè)的

內(nèi)容有流入和流出包速度，字節(jié)數(shù)等。顯示方式分堆疊式、

餅圖、柱狀圖和列表。

5000E管理平臺(tái)上實(shí)現(xiàn)的功能：(1)核心模塊管理：可以

對(duì)流控設(shè)備的核心信息進(jìn)行管理，包括管理員賬號(hào)、權(quán)限，

流控設(shè)備個(gè)數(shù)、地址，特征庫(kù)升級(jí)等；(2)策略管理：對(duì)網(wǎng)

段和應(yīng)用等進(jìn)行帶寬限制；(3)報(bào)表管理：按時(shí)間段和應(yīng)用

類別進(jìn)行流量統(tǒng)計(jì)，并能以WORD和PDF的方式導(dǎo)出。

5000E設(shè)備具備Bypass功能，能夠保證不管設(shè)備處于什

么狀態(tài)下，包括未啟動(dòng)，啟動(dòng)過(guò)程中，都能保證網(wǎng)絡(luò)是通暢

的，不會(huì)影響業(yè)務(wù)的正常運(yùn)行。Bypass就是旁路功能，也就

是說(shuō)可以通過(guò)特定的觸發(fā)狀態(tài)(斷電或死機(jī))讓兩個(gè)網(wǎng)絡(luò)不

通過(guò)網(wǎng)絡(luò)安全設(shè)備的系統(tǒng)，而直接物理上導(dǎo)通，所以有了

Bypass后，當(dāng)網(wǎng)絡(luò)安全設(shè)備故障以后，還可以讓連接在這臺(tái)

設(shè)備.上的網(wǎng)絡(luò)相互導(dǎo)通，當(dāng)然這個(gè)時(shí)候這臺(tái)網(wǎng)絡(luò)設(shè)備也就

不會(huì)再對(duì)網(wǎng)絡(luò)中的封包做處理了。

三、交換機(jī)

1.CiscoCatalyst2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全

新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和

10/100/1000千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市場(chǎng)

和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。集成安全特性，包括網(wǎng)

絡(luò)準(zhǔn)入控制(NAC)；高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，為網(wǎng)絡(luò)邊

緣提供智能服務(wù)，為網(wǎng)絡(luò)邊緣提供了智能特性，如先進(jìn)的訪

16

問(wèn)控制列表(ACL)和增強(qiáng)安全特性，雙介質(zhì)上行鏈路端口提

供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行

鏈路端口一每個(gè)介質(zhì)上行鏈路端口都有一個(gè)10/100/1000以

太網(wǎng)端口和一個(gè)小型可插拔(SFP)千兆以太網(wǎng)端口，在使用

時(shí)其中一個(gè)端口激活，但不能同時(shí)使用這兩個(gè)端口。

通過(guò)高級(jí)QoS、精確速率限制、ACL和組播服務(wù)，實(shí)現(xiàn)

了網(wǎng)絡(luò)控制和帶寬優(yōu)化，通過(guò)多種驗(yàn)證方法、數(shù)據(jù)加密技術(shù)

和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了網(wǎng)絡(luò)

安全性，通過(guò)思科網(wǎng)絡(luò)助理，簡(jiǎn)化了網(wǎng)絡(luò)配置、升級(jí)和故障

診斷。

2.CiscoCatalyst3560-X系列交換機(jī)是獨(dú)立式交換機(jī)的

企業(yè)級(jí)產(chǎn)品。這些交換機(jī)通過(guò)IEEE802.3at增強(qiáng)型以太網(wǎng)供

電(PoE+)配置、可選網(wǎng)絡(luò)模塊、冗余電源和媒體訪問(wèn)控制安

全(MACsec)等創(chuàng)新功能，提供無(wú)間斷連接性、可擴(kuò)展性、安

全性、能效性和易操作性。CiscoCatalyst3560-X為實(shí)現(xiàn)無(wú)

邊界網(wǎng)絡(luò)體驗(yàn)，啟用了IP電話、無(wú)線和視頻等應(yīng)用程序，

提高了生產(chǎn)效率。

CiscoCatalyst3560-X系列交換機(jī)24和48，

10/100/1000PoE+和非PoE型號(hào)，可選的4個(gè)千兆以太網(wǎng)

(GbE)SFP或2個(gè)10GbESFP+上行鏈路網(wǎng)絡(luò)模塊，業(yè)內(nèi)第一個(gè)

PoE+，所有端口上都提供30W功率，1個(gè)機(jī)架裝置(RU)的外

形設(shè)計(jì)，雙冗余，模塊化電源和風(fēng)扇、媒體訪問(wèn)控制安全

(MACsec)的基于硬件的加密，IPv4和IPv6路由、多播路由、

高級(jí)服務(wù)質(zhì)量(QoS)和硬件中的安全功能。

17

增強(qiáng)型有限終身保修(LLW)、下一工作日(NBD)硬件備件

先行更換和90天思科技術(shù)支持中心(TAC)支持，增強(qiáng)型Cisco

EnergyWise，可測(cè)量PoE