網(wǎng)絡(luò)工程方案設(shè)計原則

1、網(wǎng)絡(luò)工程方案設(shè)計網(wǎng)絡(luò)工程需求分析完成后，應(yīng)形成網(wǎng)絡(luò)工程需求分析報告書，與用戶交流、修改，并通過用戶方組織的評審。網(wǎng)絡(luò)工程設(shè)計方要根據(jù)評審意見，形成可操作和可行性的階段網(wǎng)絡(luò)工程需求分析報告。有了網(wǎng)絡(luò)工程需求分析報告，網(wǎng)絡(luò)系統(tǒng)方案設(shè)計階段就會“水到渠成”。網(wǎng)絡(luò)工程設(shè)計階段包括確定網(wǎng)絡(luò)工程目標(biāo)與方案設(shè)計原則、通信平臺規(guī)劃與設(shè)計、資源平臺規(guī)劃與設(shè)計、網(wǎng)絡(luò)通信設(shè)備選型、網(wǎng)絡(luò)服務(wù)器與操作系統(tǒng)選型、綜合布線網(wǎng)絡(luò)選型和網(wǎng)絡(luò)安全設(shè)計等內(nèi)容。2.1 網(wǎng)絡(luò)工程目標(biāo)和設(shè)計原則1網(wǎng)絡(luò)工程目標(biāo)一般情況下，對網(wǎng)絡(luò)工程目標(biāo)要進行總體規(guī)劃，分步實施。在制定網(wǎng)絡(luò)工程總目標(biāo)時應(yīng)確定采用的網(wǎng)絡(luò)技術(shù)、工程標(biāo)準(zhǔn)、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)系統(tǒng)功能結(jié)

2、構(gòu)、網(wǎng)絡(luò)應(yīng)用目的和范圍。然后，對總體目標(biāo)進行分解，明確各分期工程的具體目標(biāo)、網(wǎng)絡(luò)建設(shè)內(nèi)容、所需工程費用、時間和進度計劃等。對于網(wǎng)絡(luò)工程應(yīng)根據(jù)工程的種類和目標(biāo)大小不同，先對網(wǎng)絡(luò)工程有一個整體規(guī)劃，然后在確定總體目標(biāo)，并對目標(biāo)采用分步實施的策略。一般我們可以將工程分為三步。1) 建設(shè)計算機網(wǎng)絡(luò)環(huán)境平臺。2) 擴大計算機網(wǎng)絡(luò)環(huán)境平臺。3) 進行高層次網(wǎng)絡(luò)建設(shè)。2網(wǎng)絡(luò)工程設(shè)計原則網(wǎng)絡(luò)信息工程建設(shè)目標(biāo)關(guān)系到現(xiàn)在和今后的幾年內(nèi)用戶方網(wǎng)絡(luò)信息化水平和網(wǎng)上應(yīng)用系統(tǒng)的成敗。在工程設(shè)計前對主要設(shè)計原則進行選擇和平衡，并排定其在方案設(shè)計中的優(yōu)先級，對網(wǎng)絡(luò)工程設(shè)計和實施將具有指導(dǎo)意義。1) 實用、好用與夠用性原則計算

3、機與外設(shè)、服務(wù)器和網(wǎng)絡(luò)通信等設(shè)備在技術(shù)性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計中應(yīng)采用成熟可靠的技術(shù)和設(shè)備，充分體現(xiàn)“夠用”、“好用”、“實用”建網(wǎng)原則，切不可用“今天”的錢，買“明、后天”才可用得上的設(shè)備。2) 開放性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開放的標(biāo)準(zhǔn)和技術(shù)，資源系統(tǒng)建設(shè)要采用國家標(biāo)準(zhǔn)，有些還要遵循國際標(biāo)準(zhǔn)(如：財務(wù)管理系統(tǒng)、電子商務(wù)系統(tǒng))。其目的包括兩個方面：第一，有利于網(wǎng)絡(luò)工程系統(tǒng)的后期擴充；第二，有利于與外部網(wǎng)絡(luò)互連互通，切不可“閉門造車”形成信息化孤島。3) 可靠性原則無論是企業(yè)還是事業(yè)，也無論網(wǎng)絡(luò)規(guī)模大小，網(wǎng)絡(luò)系統(tǒng)的可靠性是一個

4、工程的生命線。比如，一個網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵設(shè)備和應(yīng)用系統(tǒng)，偶爾出現(xiàn)的死鎖，對于政府、教育、企業(yè)、稅務(wù)、證券、金融、鐵路、民航等行業(yè)產(chǎn)生的將是災(zāi)難性的事故。因此，應(yīng)確保網(wǎng)絡(luò)系統(tǒng)很高的平均無故障時間和盡可能低的平均無故障率。4) 安全性原則網(wǎng)絡(luò)的安全主要是指網(wǎng)絡(luò)系統(tǒng)防病毒、防黑客等破壞系統(tǒng)、數(shù)據(jù)可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網(wǎng)絡(luò)系統(tǒng)安全，在方案設(shè)計時，應(yīng)考慮用戶方在網(wǎng)絡(luò)安全方面可投入的資金，建議用戶方選用網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防殺毒系統(tǒng)等網(wǎng)絡(luò)安全設(shè)施；網(wǎng)絡(luò)信息中心對外的服務(wù)器要與對內(nèi)的服務(wù)器隔離。5) 先進性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用國際先進、主流、成熟的技術(shù)。比如，局域網(wǎng)可采用千兆以太

5、網(wǎng)和全交換以太網(wǎng)技術(shù)。視網(wǎng)絡(luò)規(guī)模的大小(比如網(wǎng)絡(luò)中連接機器的臺數(shù)在250臺以上時)，選用多層交換技術(shù)，支持多層干道傳輸、生成樹等協(xié)議。6) 易用性原則網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備和軟件程序應(yīng)易于安裝、管理和維護。各種主要網(wǎng)絡(luò)設(shè)備，比如核心交換機、匯聚交換機、接入交換機、服務(wù)器、大功率長延時UPS等設(shè)備均要支持流行的網(wǎng)管系統(tǒng)，以方便用戶管理、配置網(wǎng)絡(luò)系統(tǒng)。7) 可擴展性原則網(wǎng)絡(luò)總體設(shè)計不僅要考慮到近期目標(biāo)，也要為網(wǎng)絡(luò)的進一步發(fā)展留有擴展的余地，因此要選用主流產(chǎn)品和技術(shù)。若有可能，最好選用同一品牌的產(chǎn)品，或兼容性好的產(chǎn)品。在一個系統(tǒng)中切不可選用技術(shù)和性能不兼容的產(chǎn)品。比如，對于多層交換網(wǎng)絡(luò)，若要選用兩種品牌

6、交換機，一定要注意他們的VLAN干道傳輸、生成樹等協(xié)議是否兼容，是否可“無縫”連接。這些問題解決了，可擴展性自然是“水到渠成”。2.2 網(wǎng)絡(luò)通信平臺設(shè)計1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要是指園區(qū)網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，因為如今的局域網(wǎng)技術(shù)首選的是交換以太網(wǎng)技術(shù)。采用以太網(wǎng)交換機，從物理連接看拓?fù)浣Y(jié)構(gòu)可以是星型、擴展星型或樹型等結(jié)構(gòu)，從邏輯連接看拓?fù)浣Y(jié)構(gòu)只能是總線結(jié)構(gòu)。對于大中型網(wǎng)絡(luò)考慮鏈路傳輸?shù)目煽啃?，可采用冗余結(jié)構(gòu)。確立網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)是整個網(wǎng)絡(luò)方案規(guī)劃的基礎(chǔ)，物理拓?fù)浣Y(jié)構(gòu)的選擇往往和地理環(huán)境分布、傳輸介質(zhì)與距離、網(wǎng)絡(luò)傳輸可靠性等因素緊密相關(guān)。選擇拓?fù)浣Y(jié)構(gòu)時，應(yīng)該考慮的主要因素有以下幾點。1)

7、地理環(huán)境：不同的地理環(huán)境需要設(shè)計不同的物理網(wǎng)絡(luò)拓?fù)?，不同的網(wǎng)絡(luò)物理拓?fù)湓O(shè)計施工安裝工程的費用也不同。一般情況下，網(wǎng)絡(luò)物理拓?fù)渥詈眠x用星型結(jié)構(gòu)，以便于網(wǎng)絡(luò)通信設(shè)備的管理和維護。2) 傳輸介質(zhì)與距離：在設(shè)計網(wǎng)絡(luò)時，考慮到傳輸介質(zhì)、距離的遠(yuǎn)近和可用于網(wǎng)絡(luò)通信平臺的經(jīng)費投入，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)必須具有在傳輸介質(zhì)、通信距離、可投入經(jīng)費等三者之間權(quán)衡。建筑樓之間互連應(yīng)采用多?；騿文９饫|。如果兩建筑樓間距小于90m，也可以用超五類屏蔽雙絞線，但要考慮屏蔽雙絞線兩端接地問題。3) 可靠性：網(wǎng)絡(luò)設(shè)備損壞、光纜被挖斷、連接器松動等這類故障是有可能發(fā)生的，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計應(yīng)避免因個別結(jié)點損壞而影響整個網(wǎng)絡(luò)的正常運行。若經(jīng)

8、費允許，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的核心層和匯聚層，最好采用全冗余連接，如圖6-1所示。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計與網(wǎng)絡(luò)規(guī)模息息相關(guān)。一個規(guī)模較小的星型局域網(wǎng)沒有匯聚層、接入層之分。規(guī)模較大的網(wǎng)絡(luò)通常為多星型分層拓?fù)浣Y(jié)構(gòu)，如圖6-1所示。主干網(wǎng)絡(luò)稱為核心層，用以連接服務(wù)器、建筑群到網(wǎng)絡(luò)中心，或在一個較大型建筑物內(nèi)連接多個交換機配線間到網(wǎng)絡(luò)中心設(shè)備間。連接信息點的“毛細(xì)血管”線路及網(wǎng)絡(luò)設(shè)備稱為接入層，根據(jù)需要在中間設(shè)置匯聚層。圖6-1 網(wǎng)絡(luò)全冗余連接星型拓?fù)浣Y(jié)構(gòu)圖分層設(shè)計有助于分配和規(guī)劃帶寬，有利于信息流量的局部化，也就是說全局網(wǎng)絡(luò)對某個部門的信息訪問的需求根少(比如：財務(wù)部門的信息，只能在本部門內(nèi)授權(quán)訪問)，這

9、種情況下部門業(yè)務(wù)服務(wù)器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網(wǎng)。2主干網(wǎng)絡(luò)(核心層)設(shè)計主干網(wǎng)技術(shù)的選擇，要根據(jù)以上需求分析中用戶方網(wǎng)絡(luò)規(guī)模大小、網(wǎng)上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言，主干網(wǎng)用來連接建筑群和服務(wù)器群，可能會容納網(wǎng)絡(luò)上5080的信息流，是網(wǎng)絡(luò)大動脈。連接建筑群的主干網(wǎng)一般以光纜做傳輸介質(zhì)，典型的主干網(wǎng)技術(shù)主要有100Mbps-FX以太網(wǎng)、l 000Mbps以太網(wǎng)、ATM等。從易用性、先進性和可擴展性的角度考慮，采用百兆、千兆以太網(wǎng)是目前局域網(wǎng)構(gòu)建的流行做法。3匯聚層和接入層設(shè)計匯聚層的存在與否，取決于網(wǎng)絡(luò)規(guī)模的大小。當(dāng)建筑樓內(nèi)信息點較多(比如大

10、于22個點)超出一臺交換機的端口密度，而不得不增加交換機擴充端口時，就需要有匯聚交換機。交換機間如果采用級連方式，則將一組固定端口交換機上聯(lián)到一臺背板帶寬和性能較好的匯聚交換機上，再由匯聚交換機上聯(lián)到主干網(wǎng)的核心交換機。如果采用多臺交換機堆疊方式擴充端口密度，其中一臺交換機上聯(lián)，則網(wǎng)絡(luò)中就只有接入層。接入層即直接信息點，通過此信息點將網(wǎng)絡(luò)資源設(shè)備(PC：等)接入網(wǎng)絡(luò)。匯聚層采用級連還是堆疊，要看網(wǎng)絡(luò)信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內(nèi)，且信息點數(shù)已超過一臺或兩臺交換機的容量，則應(yīng)采用交換機堆疊結(jié)構(gòu)。堆疊能夠有充足的帶寬保證，適宜匯聚(樓宇內(nèi))信息點密集的情況。交換機

11、級連則適用于樓宇內(nèi)信息點分散，其配線間不能覆蓋全樓的信息點，增加匯聚層的同時也會使工程成本提高。匯聚層、接入層一般采用l00Base-Tx快速變換式以太網(wǎng)，采用10/100Mbps自適應(yīng)交換到桌面，傳輸介質(zhì)是超五類或五類雙絞線。Cisco Catalyst 3500/4000系列交換機就是專門針對中等密度匯聚層而設(shè)計的。接入層交換機可選擇的產(chǎn)品根多，但要根據(jù)應(yīng)用需求，可選擇支持l2個光端口模塊，支持堆疊的接入層變換機。4廣域網(wǎng)連接與遠(yuǎn)程訪問設(shè)計由于布線系統(tǒng)費用和實現(xiàn)上的限制，對于零散的遠(yuǎn)程用戶接入，利用PSTN電話網(wǎng)絡(luò)進行遠(yuǎn)程撥號訪問幾乎是惟一經(jīng)濟、方便的選擇。遠(yuǎn)程撥號訪問需要設(shè)計遠(yuǎn)程訪問服務(wù)

12、器和Modem設(shè)備，并申請一組中繼線。由于撥號訪問是整個網(wǎng)絡(luò)中惟一的窄帶設(shè)備，這一部分在未來的網(wǎng)絡(luò)中可能會逐步減少使用。遠(yuǎn)程訪問服務(wù)器(RAS)和Modem組的端口數(shù)目一一對應(yīng)，一般按一個端口支持20個用戶計算來配置。廣域網(wǎng)連接是指園區(qū)網(wǎng)絡(luò)對外的連接通道一般采用路由器連接外部網(wǎng)絡(luò)。根據(jù)網(wǎng)絡(luò)規(guī)模的大小、網(wǎng)絡(luò)用戶的數(shù)量，來選擇對外連接通道的帶寬。如果網(wǎng)絡(luò)用戶沒有www、E-mail等具有internet功能的服務(wù)器，用戶可以采用ISDN或ADSL等技術(shù)連接外網(wǎng)。如果用戶有WWW、E-mail等具有internet功能的服務(wù)器，用戶可采用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網(wǎng)。其連

13、接帶寬可根據(jù)內(nèi)外信息流的大小選擇，比如上網(wǎng)并發(fā)用戶數(shù)在150250之問，可以租用2Mbps線路，通過同步口連接Internet。如果用戶與網(wǎng)絡(luò)接入運營商在同一個城市，也可以采用光纖10Mbps100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比，速度越快費用越高。網(wǎng)絡(luò)工程設(shè)計方和用戶方必須清楚的一點就是，能給用戶方提供多大的連接外網(wǎng)的帶寬受兩個因素的制約，一是用戶方租用外連線路的速率，二是用戶方共享運營商連接Internet的速率。5無線網(wǎng)絡(luò)設(shè)計無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。無線網(wǎng)絡(luò)首先適用于很難布線的地方(比如受保護的建筑物、機場等)或者經(jīng)常需要變動

14、布線結(jié)構(gòu)的地方(如展覽館等)。學(xué)校也是一個很重要的應(yīng)用領(lǐng)域，一個無線網(wǎng)絡(luò)系統(tǒng)可以使教師、學(xué)生在校園內(nèi)的任何地方接入網(wǎng)絡(luò)。另外，因為無線網(wǎng)絡(luò)支持十幾公里的區(qū)域，因此對于城市范圍的網(wǎng)絡(luò)接入也能適用，可以設(shè)想一個采用無線網(wǎng)絡(luò)的ISP可以為一個城市的任何角落提供高達10Mbps的互聯(lián)網(wǎng)接入。6網(wǎng)絡(luò)通信設(shè)備選型1) 網(wǎng)絡(luò)通信設(shè)備選型原則 品牌選擇：所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，以便使用戶從網(wǎng)絡(luò)通信設(shè)備的性能參數(shù)、技術(shù)支持、價格等各方面獲得更多的便利。從品牌選擇惟一性這個角度來看，產(chǎn)品線齊全、技術(shù)認(rèn)證隊伍力量雄厚、產(chǎn)品市場占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選。當(dāng)前，要選國際品牌自然首選的是Cisco

15、、3COM等。若從價格因素考慮可以首選國內(nèi)品牌，比如實達、華為、神州數(shù)碼等產(chǎn)品。 擴展性考慮：在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便于將來擴展：低端設(shè)備則夠用即可，因為低端設(shè)備更新較快，易于淘汰。 “量體裁衣”策略：根據(jù)網(wǎng)絡(luò)實際帶寬性能需求、端口類型和端口密度選型。如果是舊網(wǎng)改造項目，應(yīng)盡可能保留可用設(shè)備，減少在資金投入方面的浪費。 性價比高、質(zhì)量可靠的原則：網(wǎng)絡(luò)系統(tǒng)設(shè)備應(yīng)具有較高的可靠性和性價比，工程費用的投入產(chǎn)出應(yīng)達到最大值，能以較低的成本為用戶節(jié)約資金。2) 核心交換機選型策略核心網(wǎng)絡(luò)骨干交換機是寬帶網(wǎng)的核心，應(yīng)具備： 高性能，高速率：二層交換最好能達到線速交換，即交換機

16、背板帶寬所有端口帶寬的總和。如果網(wǎng)絡(luò)規(guī)模較大(聯(lián)網(wǎng)機器的數(shù)量超過250臺)或聯(lián)網(wǎng)機器臺數(shù)較少但為安全考慮需要劃分虛網(wǎng)，這兩種情況均需要配置VLAN，則要求必須有較出色的第三層(路由)交換能力。 便于升級和擴展：具體來說，250個信息點以上的網(wǎng)絡(luò)，適宜于采用模塊化(插槽式機箱)交換機，如Cisco Catalyst 4003；500個左右的信息點網(wǎng)絡(luò)，交換機還必須能夠支持高密度端口和大吞吐量擴展卡，如Cisco Catalyst 4006；250個信息點以下的網(wǎng)絡(luò)，為降低成本，應(yīng)選擇具有可堆疊能力的固定配置交換機作為核心交換機，如Cisco 35002900系列等。 高可靠性：應(yīng)根據(jù)經(jīng)費許可選擇

17、冗余設(shè)計的設(shè)備，如冗余電源、風(fēng)扇等；要求設(shè)備擴展卡支持熱插拔，易于更換維護。 強大的網(wǎng)絡(luò)控制能力，提供Qos和網(wǎng)絡(luò)安全，支持RADIUS、TACACS+等認(rèn)證機制。 良好的可管理性，支持通用網(wǎng)管協(xié)議，如SNMP、RMON、RMON2等。3) 匯聚層/接入層交換機選型策略匯聚層/接入層交換機亦稱二級交換機或邊緣交換機，一般都屬于可堆疊/擴充式固定端口交換機。在大中型網(wǎng)絡(luò)中它用來構(gòu)成多層次的、結(jié)構(gòu)靈活的用戶接入網(wǎng)絡(luò)。在中小型網(wǎng)絡(luò)中它也可能用來構(gòu)成網(wǎng)絡(luò)骨干交換設(shè)備。應(yīng)具備下列要求。 靈活性：提供多種固定端口數(shù)量，可堆疊、易擴展。 高性能：作為大中型網(wǎng)絡(luò)的二級交換設(shè)備，應(yīng)支持千兆/百兆高速上連以及同級

18、設(shè)備堆疊。當(dāng)然還要注意與核心交換機品牌的一致性。如果用做小型網(wǎng)絡(luò)的中心交換機，要求具有較高背板帶寬和三層交換能力的交換機。如Cisco Catalyst 2948G-L3和Inter Express 550T Routing Switch等。 在滿足技術(shù)性能要求的基礎(chǔ)上，最好價格便宜、使用方便、即插即用、配置簡單。 具備一定的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制能力以及端到端的QoS。 如果用于跨地區(qū)企業(yè)分支部門通過公網(wǎng)進行遠(yuǎn)程上聯(lián)的交換機，還應(yīng)支持虛擬專網(wǎng)VPN標(biāo)準(zhǔn)協(xié)議。 支持多級別網(wǎng)絡(luò)管理。4) 遠(yuǎn)程接入與訪問設(shè)備選型策略遠(yuǎn)程接入與訪問設(shè)備可以采用路由器。在現(xiàn)今的網(wǎng)絡(luò)連接中，一般采用同步口或以太口連接廣域網(wǎng)

19、，采用異步口連接遠(yuǎn)程撥號用戶。路由器的首選品牌是Cisco。2.3 網(wǎng)絡(luò)資源平臺設(shè)計1服務(wù)器服務(wù)器系統(tǒng)是網(wǎng)絡(luò)的“靈魂”，也是網(wǎng)絡(luò)應(yīng)用的平臺。服務(wù)器在網(wǎng)絡(luò)中“擺放”位置好壞直接影響網(wǎng)絡(luò)應(yīng)用的效果和網(wǎng)絡(luò)運行效率。服務(wù)器一般分為兩類：一類是為全網(wǎng)提供公共信息服務(wù)、文件服務(wù)和通信服務(wù)，為園區(qū)網(wǎng)絡(luò)提供集中統(tǒng)一的數(shù)據(jù)庫服務(wù)，由網(wǎng)絡(luò)中心管理維護，服務(wù)對象為網(wǎng)絡(luò)全局，適宜放在網(wǎng)管中心。另一類是部門業(yè)務(wù)和網(wǎng)絡(luò)服務(wù)相結(jié)合，主要由部門管理維護，如大學(xué)的圖書館服務(wù)器和企業(yè)的財務(wù)部服務(wù)器，適宜放在部門子網(wǎng)中。服務(wù)器是網(wǎng)絡(luò)中信息流較集中的設(shè)備。其磁盤系統(tǒng)數(shù)據(jù)吞吐量大，傳輸速率也高，要求高帶寬接入。服務(wù)器網(wǎng)絡(luò)接口主要有以下

20、幾種。1) 千兆以太網(wǎng)端口接入：服務(wù)器需要配置多模SX模塊接入交換機的多模光端口中。優(yōu)點：性能好、數(shù)據(jù)吞吐量大；缺點：成本高，對服務(wù)器硬件有要求。適合企業(yè)級數(shù)據(jù)庫服務(wù)器、流媒體服務(wù)器和較密集的應(yīng)用服務(wù)器。2) 雙網(wǎng)卡冗余接入：采用兩塊以上的100Mbps服務(wù)器專用高速以太網(wǎng)卡分別接入網(wǎng)絡(luò)中的兩臺交換機中。通過網(wǎng)絡(luò)管理系統(tǒng)的支持實現(xiàn)負(fù)載均衡，當(dāng)其中一塊網(wǎng)卡失效后不影響服務(wù)器正常運行，這種方案比較流行。3) 單網(wǎng)卡接入：采用一塊服務(wù)器專用網(wǎng)卡接入網(wǎng)絡(luò)，是一種經(jīng)濟的接入方式。信息流密集時可能會因主機CPU占用(主要是緩存處理占用)而使服務(wù)器性能下降。適宜于數(shù)據(jù)業(yè)務(wù)量不是太大的服務(wù)器(如E-mail服

21、務(wù)器)使用。2服務(wù)器子網(wǎng)連接方案服務(wù)器子網(wǎng)連接的兩種方案如圖6-2所示。圖6-2 服務(wù)器子網(wǎng)的兩種連接方案圖中左邊的服務(wù)器直接連接核心層交換機，優(yōu)點是直接利用核心層交換機的高帶寬，缺點是需要占太多的核心層交換機端口，使成本上升。圖中右邊的服務(wù)器是在兩臺核心層交換機上連接一臺專用服務(wù)器子網(wǎng)交換機，優(yōu)點是可以分擔(dān)帶寬，減少核心層交換機端口占用，可為服務(wù)器組提供充足的端口密度，缺點是容易形成帶寬瓶頸，且存在單點故障。3網(wǎng)絡(luò)應(yīng)用系統(tǒng)在網(wǎng)絡(luò)方案設(shè)計中服務(wù)器的選擇配置以及服務(wù)器群的均衡技術(shù)是非常關(guān)鍵的技術(shù)之一，也是衡量網(wǎng)絡(luò)系統(tǒng)集成商水平的重要指標(biāo)。很多系統(tǒng)集成商的方案偏重的是網(wǎng)絡(luò)設(shè)備集成而不是應(yīng)用集成，在

22、應(yīng)用問題上缺乏高度認(rèn)識和認(rèn)真細(xì)致的需求分析，待昂貴的服務(wù)器設(shè)備購進來后發(fā)現(xiàn)與應(yīng)用軟件不配套或不夠用或造成資源浪費必然會使預(yù)算超支，直接導(dǎo)致網(wǎng)絡(luò)方案失敗。選擇服務(wù)器首先要看其具體的網(wǎng)絡(luò)應(yīng)用，應(yīng)用系統(tǒng)所采用的開發(fā)工具和運行環(huán)境建立在應(yīng)用平臺的基礎(chǔ)上。基礎(chǔ)應(yīng)用平臺與網(wǎng)絡(luò)操作系統(tǒng)關(guān)系緊密，其支持是有選擇的(如SQL Server數(shù)據(jù)庫不支持Tru64 UNIX操作系統(tǒng)等)，有時基礎(chǔ)應(yīng)用平臺也是網(wǎng)絡(luò)操作系統(tǒng)的組成部分(如IIS Web服務(wù)平臺就是Windows 2000 Server和Windows 2000 Advanced Server的一部分)。眾所周知，不同的服務(wù)器硬件支持的操作系統(tǒng)大相徑庭，因

23、此，選服務(wù)器硬件事實上將使網(wǎng)絡(luò)操作系統(tǒng)定下來。2.4 網(wǎng)絡(luò)操作系統(tǒng)與服務(wù)器配置1網(wǎng)絡(luò)操作系統(tǒng)選型目前，網(wǎng)絡(luò)操作系統(tǒng)產(chǎn)品較多，為網(wǎng)絡(luò)應(yīng)用提供了良好的可選擇性。操作系統(tǒng)對網(wǎng)絡(luò)建設(shè)的成敗至天重要，要依據(jù)具體的應(yīng)用選擇操作系統(tǒng)。一般情況下，網(wǎng)絡(luò)系統(tǒng)集成方在網(wǎng)絡(luò)工程項目中要完成基礎(chǔ)應(yīng)用平臺以下三層(網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層)的建構(gòu)。選擇什么操作系統(tǒng)，也要看網(wǎng)絡(luò)系統(tǒng)集成方的工程師以及用戶方系統(tǒng)管理員的技術(shù)水平和對網(wǎng)絡(luò)操作系統(tǒng)的使用經(jīng)驗而定。如果在工程實施中選一些大家都比較生疏的服務(wù)器和操作系統(tǒng)，有可能使工期延長，不可預(yù)見性費用加大，可能還要請外援做系統(tǒng)培訓(xùn)，維護的難度和費用也要增加。網(wǎng)絡(luò)操作系統(tǒng)分為兩個

24、大類：即面向IA架構(gòu)PC服務(wù)器的操作系統(tǒng)族和UNIX操作系統(tǒng)家族。UNIX服務(wù)器品質(zhì)較高、價格昂貴、裝機量少而且可選擇性也不高，一般根據(jù)應(yīng)用系統(tǒng)平臺的實際需求，估計好費用，瞄準(zhǔn)某一兩家產(chǎn)品去準(zhǔn)備即可。與UNIX服務(wù)器相比，Windows 2000 Advanced Server服務(wù)器品牌和產(chǎn)品型號可謂“鋪天蓋地”， 一般在中小型網(wǎng)絡(luò)中普遍采用。同一個網(wǎng)絡(luò)系統(tǒng)中不需要采用同一種網(wǎng)絡(luò)操作系統(tǒng)，選擇中可結(jié)合Windows 2000 Advanced Server、Linux和UNIX的特點，在網(wǎng)絡(luò)中混合使用。通常WWW、OA及管理信息系統(tǒng)服務(wù)器上可采用Windows 2000 Advanced Se

25、rver平臺，E-mail、DNS、Proxy等Internet應(yīng)用可使用LinuxUNIX，這樣，既可以享受到Windows 2000 Advanced Server應(yīng)用豐富、界面直觀、使用方便的優(yōu)點，又可以享受到LinuxUNIX穩(wěn)定、高效的好處。2Windows 2000 Server 服務(wù)器配置首先，應(yīng)根據(jù)需求階段的調(diào)研成果，比如網(wǎng)絡(luò)規(guī)模、客戶數(shù)量流量、數(shù)據(jù)庫規(guī)模、所使用的應(yīng)用軟件的特殊要求等，決定Windows 2000 Advanced Server服務(wù)器的檔次、配置。例如，服務(wù)器若是用于部門的文件打印服務(wù)，那么普通單處理器Windows 2000Advanced Server服務(wù)

26、器就可以應(yīng)付自如；如果是用于小型數(shù)據(jù)庫服務(wù)器，那么服務(wù)器上至少要有256MB的內(nèi)存：作為小型數(shù)據(jù)庫服務(wù)器或者E-mail、Internet服務(wù)器，內(nèi)存要達到512MB，而且要使用ECC內(nèi)存。對于中小型企業(yè)來說，一般的網(wǎng)絡(luò)要求是有數(shù)十個至數(shù)百個用戶，使用的數(shù)據(jù)庫規(guī)模不大，此時選擇部門級服務(wù)器。1路至2路CPU、512-1024MB ECC內(nèi)存、三個36GB(RAID5)或者五個36GB硬盤(RAID5)可以充分滿足網(wǎng)絡(luò)需求。如果希望以后擴充的余地大一些，或者服務(wù)器還要做OA服務(wù)器、MIS服務(wù)器，網(wǎng)絡(luò)規(guī)模比較大，用戶數(shù)據(jù)量大，那么最好選擇企業(yè)級服務(wù)器，即4路或8路SMP結(jié)構(gòu)，帶有熱插拔RAID磁盤

27、陣列、冗余風(fēng)扇和冗余電源的系統(tǒng)。其次，選擇Windows 2000 Advanced Server服務(wù)器時，對服務(wù)器上幾個關(guān)鍵部分的選取一定要把好關(guān)。因為Windows 2000 Advanced Server雖然是兼容性相對不錯的操作系統(tǒng)，但兼容并不保證100可用。Windows 2000 Advanced Server服務(wù)器的內(nèi)存必須是支持ECC的，如果使用非ECC的內(nèi)存，SQL數(shù)據(jù)庫等應(yīng)用就很難保證穩(wěn)定、正常地運行。Windows 2000 Advanced server服務(wù)器的主要部件(如主板、網(wǎng)卡)一定要是通過了微軟Windows 2000 Advanced Server認(rèn)證的。只有

28、通過了微軟Windows 2000 Advanced Server部件認(rèn)證的產(chǎn)品才能保證其在Windows 2000 Advanced Server下的100可用性。另外，就是服務(wù)器的電源是否可靠，因為服務(wù)器不可能是跑幾天歇一歇的。第三，在升級已有的windows 2000 Advanced Server服務(wù)器時則要仔細(xì)分析原有網(wǎng)絡(luò)服務(wù)器的瓶頸所在，此時可簡單利用Windows 2000 Advanced Server系統(tǒng)中集成的軟件工具，比如Windows 2000 Advanced Server系統(tǒng)性能監(jiān)視器等。查看系統(tǒng)的運行狀況，分析系統(tǒng)各部分資源的使用情況。一般來說，可供參考的Wind

29、ows 2000 Advanced Server服務(wù)器系統(tǒng)升級順序是擴充服務(wù)器內(nèi)存容量、升級服務(wù)器處理器、增加系統(tǒng)的處理器數(shù)目。之所以這樣是因為，對于Windows 2000 Advanced Server服務(wù)器上的典型應(yīng)用(如SQL數(shù)據(jù)庫、OA服務(wù)器)來說，這些服務(wù)占用的系統(tǒng)主要資源開銷是內(nèi)存開銷，對處理器的資源開銷要求并小多，通過擴充服務(wù)器內(nèi)存容量提高系統(tǒng)的可用內(nèi)存資源，將大大提高服務(wù)器的性能。反過來，由于多處理器系統(tǒng)其本身占用的系統(tǒng)資源開銷大大高于單處理器的占用。所以相對來說，增加系統(tǒng)處理器的升級方案，其性價比要比擴充內(nèi)存容量方案差。因此，要根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)實際情況來確定增加服務(wù)器處理器

30、的數(shù)目，比如網(wǎng)絡(luò)應(yīng)用服務(wù)器要處理大量的并發(fā)訪問、復(fù)雜的算法、大量的數(shù)學(xué)模型等。3服務(wù)器群的綜合配置與均衡我們所謂的PC服務(wù)器、UNIX服務(wù)器、小型機服務(wù)器，其概念主要限于物理服務(wù)器(硬件)范疇。在網(wǎng)絡(luò)資源存儲、應(yīng)用系統(tǒng)集成中。通常將服務(wù)器硬件上安裝各類應(yīng)用系統(tǒng)的服務(wù)器系統(tǒng)冠以相應(yīng)的應(yīng)用系統(tǒng)的名字，如數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、E-mail服務(wù)器等，其概念屬于邏輯服務(wù)器(軟件)范疇。根據(jù)網(wǎng)絡(luò)規(guī)模、用戶數(shù)量和應(yīng)用密度的需要，有時一臺服務(wù)器硬件專門運行一種服務(wù)，有時一臺服務(wù)器硬件需安裝兩種以上的服務(wù)程序，有時兩臺以上的服務(wù)器需安裝和運行同一種服務(wù)系統(tǒng)。也就是說，服務(wù)器與其在網(wǎng)絡(luò)中的職能并不是一一對麻

31、的。網(wǎng)絡(luò)規(guī)模小到只用l至2臺服務(wù)器的局域網(wǎng)，大到可達十幾臺至數(shù)十臺的企業(yè)網(wǎng)和校園網(wǎng)，如何根據(jù)應(yīng)用需求、費用承受能力、服務(wù)器性能和不同服務(wù)程序之間對硬件占用特點、合理搭配和規(guī)劃服務(wù)器配制，最大限度地提高效率和性能的基礎(chǔ)上降低成本，是系統(tǒng)集成方要考慮的問題。有關(guān)服務(wù)器應(yīng)用配置與均衡的建議如下。1) 中小型網(wǎng)絡(luò)服務(wù)器應(yīng)用配置小型網(wǎng)絡(luò)由于缺乏專業(yè)的技術(shù)人員。資金相對緊張，所以要求服務(wù)器群必須易于維護，功能齊全，而且還必須考慮資金的限制。建議在費用許可的情況下，應(yīng)盡可能提高硬件配置，利用硬件資源共享的特點，均衡網(wǎng)絡(luò)應(yīng)用負(fù)載，把網(wǎng)絡(luò)中所需的所有服務(wù)集成到2至3臺物理服務(wù)器上。比如，把對磁盤系統(tǒng)要求不高、對

32、內(nèi)存和CPU要求較高的DNS、Web和對磁盤系統(tǒng)和IO吞吐量要求高、對緩存和CPU要求較低的文件服務(wù)器(含F(xiàn)TP)安裝在一臺配置中等的部門級服務(wù)器內(nèi)：把對硬件整體性能要求較高的數(shù)據(jù)庫服務(wù)和Email服務(wù)安裝在一臺較高配置的高檔部門級服務(wù)器上。當(dāng)然，Web服務(wù)器對系統(tǒng)IO的需求也較高。當(dāng)用戶方訪問數(shù)量增加時，系統(tǒng)的實時響應(yīng)和IO處理需求也會急劇增加，但FTP訪問偶發(fā)性強，Web訪問密度比較均勻，二者正好可以互補。另外，如果采用Linux操作系統(tǒng)，利用其資源占用低、Internet服務(wù)程序豐富的特點，可將所有Internet服務(wù)集中到一臺服務(wù)器上，另外再配置一臺應(yīng)用服務(wù)器，網(wǎng)絡(luò)效率可能會成倍提高。

33、2) 中型網(wǎng)絡(luò)服務(wù)器應(yīng)用配置中型網(wǎng)絡(luò)注重實際應(yīng)用，可將應(yīng)用分布在更多的物理服務(wù)器上。宜采用功能相關(guān)性配置方案，將相關(guān)應(yīng)用集成在一起。比如，遠(yuǎn)程同絡(luò)應(yīng)用主要是Web平臺，Web服務(wù)器需要頻繁地與數(shù)據(jù)庫服務(wù)器交換信息，把Web服務(wù)和數(shù)據(jù)庫服務(wù)安裝在一臺高檔服務(wù)器內(nèi)，毫無疑問會提高效率，減輕網(wǎng)絡(luò)IO負(fù)擔(dān)。對于企業(yè)網(wǎng)絡(luò)，可能需要一些工作流應(yīng)用系統(tǒng)(如OA系統(tǒng)的公文審批流轉(zhuǎn)、文件下發(fā)等)，需要依賴E-mail服務(wù)時，就可以采用群件服務(wù)器(如Lotus Notes DoMino)，把E-mail和News服務(wù)集成進去。對于像VOD這樣的流媒體專用服務(wù)器，必須要單列，并發(fā)用戶多時還要采用服務(wù)器集群技術(shù)。3)

34、 大中型網(wǎng)絡(luò)或ISP/ICP的服務(wù)器群配置大中型網(wǎng)絡(luò)應(yīng)用場合要求系統(tǒng)安全可靠、穩(wěn)定高效。大型企業(yè)網(wǎng)站和ISP供應(yīng)商需要向用戶提供多種服務(wù)，建設(shè)先進的電子商務(wù)系統(tǒng)，甚至需要向用戶提供免費E-mail服務(wù)、免費軟件下載、免費主頁空間等。所以要求網(wǎng)站服務(wù)器必須能夠滿足全方面的需求、功能完備、具有高度的可用性和可擴展性，保證系統(tǒng)連續(xù)穩(wěn)定地運行。如果服務(wù)器數(shù)量過多則會為管理和運行帶來沉重負(fù)擔(dān)，導(dǎo)致環(huán)境惡劣(僅機房噪聲就令人無法忍受)。為此，建議采用機架式服務(wù)器。其Web、E-mail、FTP和防火墻等應(yīng)用均采用負(fù)載均衡集群系統(tǒng)，以提高系統(tǒng)的I/O能力和可用性；數(shù)據(jù)庫及應(yīng)用服務(wù)器系統(tǒng)采用雙機容錯高可用性(

35、HA)系統(tǒng)，以提高系統(tǒng)的可用性。專業(yè)的數(shù)據(jù)庫系統(tǒng)為用戶方提供了強大的數(shù)據(jù)底層支持，專業(yè)E-mail系統(tǒng)可提供大規(guī)模郵件服務(wù)，防火墻系統(tǒng)可以保證用戶方網(wǎng)絡(luò)和數(shù)據(jù)的安全。2.5 網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全體系設(shè)計的重點在于根據(jù)安全設(shè)計的基本原則，制定出網(wǎng)絡(luò)各層次的安全策略和措施，然后確定出選用什么樣的網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品。1網(wǎng)絡(luò)安全設(shè)計原則盡管沒有絕對安全的網(wǎng)絡(luò)，但是，如果在網(wǎng)絡(luò)方案設(shè)計之初就遵從一些安全原則，那么網(wǎng)絡(luò)系統(tǒng)的安全就會有保障。設(shè)計時如不全面考慮，消極地將安全和保密措施寄托在網(wǎng)管階段，這種事后“打補丁”的思路是相當(dāng)危險的。從工程技術(shù)角度出發(fā)，在設(shè)計網(wǎng)絡(luò)方案時，應(yīng)該遵守以下原則。1) 網(wǎng)絡(luò)安全前期

36、防范強調(diào)對信息系統(tǒng)全面地進行安全保護。大家都知道“木桶的最大容積取決于最短的一塊木板”，此道理對網(wǎng)絡(luò)安全來說也是有效的。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性，使單純的技術(shù)保護防不勝防。攻擊者使用的是“最易滲透性”，自然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊)，是設(shè)計網(wǎng)絡(luò)安全系統(tǒng)的必要前提條件。2) 網(wǎng)絡(luò)安全在線保護強調(diào)安全防護、監(jiān)測和應(yīng)急恢復(fù)。要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞的情況下，必須盡可能快地恢復(fù)網(wǎng)絡(luò)信息系統(tǒng)的服

37、務(wù)。減少損失。所以，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括3種機制：安全防護機制、安全監(jiān)測機制、安全恢復(fù)機制。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取的相應(yīng)防護措施，避免非法攻擊的進行：安全監(jiān)測機制是監(jiān)測系統(tǒng)的運行，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊；安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和及時地恢復(fù)信息，減少攻擊的破壞程度。3) 網(wǎng)絡(luò)安全有效性與實用性網(wǎng)絡(luò)安全應(yīng)以不能影響系統(tǒng)的正常運行和合法用戶方的操作活動為前提。網(wǎng)絡(luò)中的信息安全和信息應(yīng)用是一對矛盾。一方面，為健全和彌補系統(tǒng)缺陷的漏洞，會采取多種技術(shù)手段和管理措施：另一方面，勢必給系統(tǒng)的運行和用戶方的使用造成負(fù)擔(dān)和麻煩，“越

38、安全就意味著使用越不方便”。尤其在網(wǎng)絡(luò)環(huán)境下，實時性要求很高的業(yè)務(wù)不能容忍安全連接和安全處理造成的時延。網(wǎng)絡(luò)安全采用分布式監(jiān)控、集中式管理。4) 網(wǎng)絡(luò)安全等級劃分與管理良好的網(wǎng)絡(luò)安全系統(tǒng)必然是分為不同級別的，包括對信息保密程度分級(絕密、機密、秘密、普密)，對用戶操作權(quán)限分級(面向個人及面向群組)，對網(wǎng)絡(luò)安全程度分級(安全子網(wǎng)和安全區(qū)域)，對系統(tǒng)結(jié)構(gòu)層分級(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)的安全策略。針對不同級別的安全對象，提供全面的、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。網(wǎng)絡(luò)總體設(shè)計時要考慮安全系統(tǒng)的設(shè)計。避免因考慮不周，出了問題之后“拆東墻補西墻”的做法。避免造成經(jīng)濟上的

39、巨大損失，避免對國家、集體和個人造成無法挽回的損失。由于安全與保密問題是一個相當(dāng)復(fù)雜的問題。因此必須注重網(wǎng)絡(luò)安全管理。要安全策略到設(shè)備、安全責(zé)任到人、安全機制貫穿整個網(wǎng)絡(luò)系統(tǒng)，這樣才能保證網(wǎng)絡(luò)的安全性。5) 網(wǎng)絡(luò)安全經(jīng)濟實用網(wǎng)絡(luò)系統(tǒng)的設(shè)計是受經(jīng)費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網(wǎng)絡(luò)系統(tǒng)所要求的安全側(cè)重點各不相同。一般園區(qū)網(wǎng)絡(luò)要具有身份認(rèn)證、網(wǎng)絡(luò)行為審計、網(wǎng)絡(luò)容錯、防黑客、防病毒等功能。網(wǎng)絡(luò)安全產(chǎn)品實用、好用、夠用即可。2網(wǎng)絡(luò)信息安全設(shè)計與實施步驟第一步、確定面臨的各種攻擊和風(fēng)險。第二步、確定安全策略。安全策略是網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的目標(biāo)和原則，是對應(yīng)用系統(tǒng)完整

40、的安全解決方案。安全策略的制定要綜合以下幾方面的情況。(1) 系統(tǒng)整體安全性，由應(yīng)用環(huán)境和用戶方需求決定，包括各個安全機制的子系統(tǒng)的安全目標(biāo)和性能指標(biāo)。(2) 對原系統(tǒng)的運行造成的負(fù)荷和影響(如網(wǎng)絡(luò)通信時延、數(shù)據(jù)擴展等)。(3) 便于網(wǎng)絡(luò)管理人員進行控制、管理和配置。(4) 可擴展的編程接口，便于更新和升級。(5) 用戶方界面的友好性和使用方便性。(6) 投資總額和工程時間等。第三步、建立安全模型。模型的建立可以使復(fù)雜的問題簡化，更好地解決和安全策略有關(guān)的問題。安全模型包括網(wǎng)絡(luò)安全系統(tǒng)的各個子系統(tǒng)。網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計和實現(xiàn)可以分為安全體制、網(wǎng)絡(luò)安全連接和網(wǎng)絡(luò)安全傳輸三部分。(1) 安全體制：包

41、括安全算法庫、安全信息庫和用戶方接口界面。(2) 網(wǎng)絡(luò)安全連接：包括安全協(xié)議和網(wǎng)絡(luò)通信接口模塊。(3) 網(wǎng)絡(luò)安全傳輸：包括網(wǎng)絡(luò)安全管理系統(tǒng)、網(wǎng)絡(luò)安全支撐系統(tǒng)和網(wǎng)絡(luò)安全傳輸系統(tǒng)。第四步、選擇并實現(xiàn)安全服務(wù)。(1) 物理層的安爭：物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。(2) 鏈路層的安全：鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN(局域網(wǎng))、加密通信(遠(yuǎn)程網(wǎng))等手段。(3)網(wǎng)絡(luò)層的安全：網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)傳輸正確，避免被攔截或監(jiān)聽。(4) 操作系統(tǒng)的安全：操作系統(tǒng)安全要求保證客

42、戶資料、操作系統(tǒng)訪問控制的安令，同時能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進行審計。(5) 應(yīng)用平臺的安全：應(yīng)用平臺指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)器，電子郵件服務(wù)器，Web服務(wù)器等。由于應(yīng)用平臺的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)(如SSL等)來增強應(yīng)用平臺的安全性。(6) 應(yīng)用系統(tǒng)的安全：應(yīng)用系統(tǒng)是為用戶提供服務(wù)，應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計和實現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全，如通信內(nèi)容安全、通信雙方的認(rèn)證和審計等手段。第五步、安全產(chǎn)品的選型網(wǎng)絡(luò)安全產(chǎn)品主要包括防火墻、用戶身份認(rèn)證、網(wǎng)絡(luò)防病系統(tǒng)統(tǒng)等。安全產(chǎn)品的選型工作要嚴(yán)格按照企業(yè)(學(xué)校)信息與網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品的功能規(guī)范要求，利用綜合的技術(shù)手段，對產(chǎn)品功能、性能與可用性等方面進行測試，為企業(yè)、學(xué)校選出符合功能要求的安全產(chǎn)品。網(wǎng)絡(luò)工程設(shè)計方案書寫2008-02-13 11:313.1 方案的基本內(nèi)容一個完整的設(shè)計