2022年弱电智能化项目计算机网络设计方案 .pdf

《2022年弱电智能化项目计算机网络设计方案 .pdf》由会员分享，可在线阅读，更多相关《2022年弱电智能化项目计算机网络设计方案 .pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、弱电智能化项目计算机网络方案要建立一个具有高安全性、 高可靠性的信息化网络平台， 使教学和办公等各类信息畅通无阻地传输，就必须提供一个统一、可靠、安全的信息通信平台，支持话音、数据和图像的交换与传输，实现计算机数据、话音、电视会议、图片传输等多种信息通信业务，此外还要具有完备的网络管理系统，实现安全与系统地外网访问。11.1.2.1.网络拓扑采用核心和接入二层拓扑结构，通过交换机级连来扩展。 在弱电井设置24/48 端口的接入层交换机，通过布线系统接入核心交换机（核心交换机连接防火墙与外网） ，再利用虚拟网技术分配到各网络系统中，内部实现千兆网络线路。11.1.2.2.网络技术根据本项目网络线

2、路的复杂性， 考虑到今后 XXXXX 中心网络使用的稳定性和可靠性，我公司将采用以下网络技术：使用 VALN 技术进行广播域隔离，抑制广播风暴；使用 TRUNK 技术实现 VLAN 跨交换机进行访问；STP 技术防止二层环路，避免广播风暴，提高转发效率；采用路由技术实现多出口分流；采用 P2P 限流技术保护带宽资源。11.1.2.3.网络技术指标网络技术指标主要有有时延、 吞吐量、丢包率、时延抖动、路由、带宽、响应时间、利用率和效率。其中，时延、带宽、丢包率被作为网络性能测量中最基本的三大指标。1) 时延名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -

3、- - - - - - 名师精心整理 - - - - - - - 第 1 页，共 14 页 - - - - - - - - - 时延是从网络的一端发送一个比特到网络的另一端接收到这个比特所经历的时间。时延分为传播时延、发送时延、重传时延和排队时延。总的传播时延如下所示：时延 =传播时延 +传输时延 +排队时延传播时延 =距离/ 光在媒体中的速度传输时延 =信息量 / 带宽为了更好精确地分析 IP 网络时延参数，可将网络时延分为：往返时延：往返时延指的是从网络的一段发送一个消息到另一端，然后该消息再返回到发送端所需要的时间。单向时延：单向时延指的是从网络的一端发送一个消息在另一端被接收到所需要的

4、时间。在 Intemet 环境下，路由通常存在不对称性，所以以下公式在一般情况下是不成立的：RTT=2 X OWL 2) 吞吐量吞吐量是单位时间内传输无差错数据的能力，可以使用下面的四种常见的描述参数： (1) 每秒包数 (2) 每秒字符数 (3) 每秒事务数 (4) 每小时事务数3) 丢包率丢包率是在一定的时段内在两点间传输中丢失分组与总的分组发送量的比率。常见系统的丢包率如下：无拥塞时路径丢包率为：0。轻度拥塞时丢包率为：14。严重拥塞时丢包率为：515。4) 时延抖动时延抖动是说明从源到目的地的连续分组到达时间的波动的数据量，一般变化量应小于时延的 l 2。5) 路由名师资料总结 - -

5、 -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 14 页 - - - - - - - - - 在 Internet 中，通信网是通过 IP 路由器互联的， 路由的选择是非常复杂的， 其复杂性体现在如下两个方面：路由选择是网络中的所有相关节点共同协调工作的结果：路由选择的环境往往是在变化的，而这种变化有时无法事先知道。因此， ip 数据系统被认为是不可靠的、尽力而为的、无连接的分组投递系统。6) 带宽带宽是网络数据传输的通道宽度的一个度量，带宽通常是以比特/ 秒(b/s) 表示。7) 响应时间

6、响应时间是从服务请求发出到接收响应所花费的时间。一般来说，用户比较关心这个网络性能参数。影响响应时间的因素为：(1) 连接速度(2) 协议优先机制(3) 主机繁忙程度(4) 网络设备等待时间(5) 网络配置(6) 链路差错率常见的响应时延包括论询时延、连接时延、等待时延、CPU 时延、网卡时延和物理媒体时延。8) 利用率利用率是反映指定设备在使用时所能发挥的最大能力的度量。在网络分析与设计中，通常考虑 CPU 利用率和链路利用率。链路利用率表示能够被有效使用的连接带宽占总带宽的百分比。如线路最大的带宽为： 64Kb/s X 32=2.048Mb/s，如果只是仅有 8 个通道有效，则当前利用率仅

7、达到最大带宽的 25： 64Kb/s X 8=512Kb/s IEEE 通过对 CSMA/CD 的研究提出了：共享式以太网的平均利用率不超过 37 。如果某段网的利用率超过这个值， 那么该网段就必须分成多个共名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 14 页 - - - - - - - - - 享网段或交换网段。这是设计应有的约束条件。9) 效率网络效率表明了为产生所需的输出，要求的系统开销。 它明确了发送通信需要多大的系统开销， 不论这些系统开销是否由冲突、 差错

8、、重定向或确认等原因所致。11.1.2.4.网络设计原则经济实用性原则 : 系统建设首先要从系统的实用性角度出发，用户内部的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。安全性原则 : 网络系统的数据和文件多数要求具有安全性，能防止系统外部成员的非法侵入以及操作人员的越级操作，保证信息系统的正常使用。因此，系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施。同时符合国家关于网络安全标准和管理条例。整个网络的设计充分体现防窃

9、听、防窃取、防攻击、防侵入，具备对入侵者监视和跟踪技术。可靠性原则 : 系统设计在设备的选择和关键设备的互联时，应尽量提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则 : 系统平台所采用的设备和技术一定要体现成熟性和先进性，系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。成熟性是指技术稳定、用户多、推广使用的时间比较长 ; 先进性是指选用的产品和技术是目前市场上的主流技术。开放性和规范性原则: 系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基

10、础。在设计时，要求提供开放性好、标准化程度高的技术方案 ; 设备的各种接口满足开放和标准化原则。可扩充和扩展化原则 : 所有系统设备不但满足当前需要， 并在扩充名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 14 页 - - - - - - - - - 模块或增加设备后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。系统设计的每一个环节在设计上都体现出弹性原则，以满足系统将来的平滑升级，不会因

11、升级而导致系统工作不正常，并且尽可能在升级时要保护原来的设备资源。可管理和可维护性原则 : 整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。灵活性原则：网络平台的设计充分考虑到灵活性，采用分层结构进行设计。11.1.2.5.网络系统总体要求1) 总体网络指标要求连通性：要求有99% 及以上测试路径的连通性达到网络设计的要求。丢包率：使用ICMP 64 字节测试数据包（ 100 个及以上）测试时，有 95% 及以上路径的丢包率小于1% 。平均往返延迟：在使用ICMP 64字节测试数

12、据包的情况下，98% 的跳数小于 6 的路径的往返延迟小于10ms 。吞吐率： 在允许的丢包率小于0.03%的前提下，使用 ICMP 1518字节测试数据包以100% 的利用率传输时， 通过速率不小于理论值的 92% 为优秀，通过速率不小于理论值的88% 为良好，通过速率不小于理论值的83% 为合格。2) 核心交换机核心交换机是整个数据网络系统的核心部件，要求提供足够的接口数量，并且完全满足本技术规格的各项要求。用途：为计算机网络宽带、高速数据交换服务，以满足所有办公及客人网络需求。结构：选用千兆位以太网交换机，配置热插拔模块，具有冗名师资料总结 - - -精品资料欢迎下载 - - - - -

13、 - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 14 页 - - - - - - - - - 余措施；具备线速的二 / 三层交换能力；背板带宽达到64G ，包转发率达到96Mpps 可达 400Mpps ，第三层路由信息达到10K，MAC 地址表存储空间达到1.5M 个；具有多个优先队列，支持组播应用，支持多点传送。要求提供足够的10/100M 端口来满足接入需求，支持IPV6，VPN ，VOIP等。须采用双 CUP 主机，互为备份。选用高性能的机箱式模块化核心交换机，配置冗余电源，每台核心交换机插槽数量6 个，客人网交换机提供2

14、4 个 1000M光纤端口，办公网11 个 1000M光纤端口。技术：支持 IEE802.1q， 提供基于端口 / 协议/MAC地址的 VLAN技术。支持标准的 802.3，802.3U，802.3X，802.1D，802.1Q等多种协议。支持CLI、TELNET 、WEB 、SNMP 、RMON、SMON等多种管理方式。支持多媒体服务，有良好的QoS保证。具有历史、事件、报警、统计等功能。3) 接入层交换机用途：设置于楼层弱电间，为各类多媒体信息终端及楼宇智能化信息系统提供网络交换服务。结构：选用 10/100 兆位以太网交换机， 配置热插拔模块， 具有冗余措施；具备线速的二层可堆栈交换机，

15、堆栈具有冗余功能且无单点故障，配置冗余电源，支持端口隔离；背板带宽达到 8.8G，支持 4 个以上 VLAN ，具有多个队列优先， 支持组播应用，支持多点传送。每台交换机提供12/24/48个10/100M 端口，每个堆栈1000BASE-SX 光纤口 2 个，堆栈带宽达到 2G 。技术：支持多媒体和实时应用，具有QoS控制能力；支持基于 802.p 和 DSCP1 的 CoS服务等级、支持 IPmulticast交换；支持每端口 2 个队列优先级；采用背压式流控防止包丢失和802.3X 流控；支持 Spanning Tree 计算，保证更可靠的网络通信；支持标准的802.1Q VLAN协议，

16、实现交换机互连；支持基于端口 802.X 认证，支持端口隔离，支持端口 +MAC 绑定；支持 CLI、TELNET 、WEB 、SNMP 、RMON、SMON 等多种管理方式。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 14 页 - - - - - - - - - 支持 RMON 性能监视，具有历史、事件、报警、统计等功能。数量：在各弱电井分别配置1 台 12/ 24/48端口的接入层交换机每台交换机千兆接口数量2 个光电复用接口。每个接入交换机的备用接口数量15%

17、。为无线 AP提供网络支持的交换机需具有POE 供电接口。4) 防火墙用途：为网络提供接口，支持信息发布及多用户信息查询。防火墙采用 100M以太网与核心交换机相连。 MTBF=40000 小时，同时最大并发连接数 20万，谈吐率 99Mbps,RTT0.3ms ，支持防火墙双机备份， 采用基于状态检测的过滤防火墙技术。网络技术：支持对非 IP 协议 IPX/NETBEUI的控制， 支持 HTTP 、FTP 、TELNET 、POP3 、SMTP 、NNTP 等协议，支持 TOPSEC 协议；实现 IP 地址与 MAC 地址捆绑、用户与IP 和 MAC 绑定，采用双向网络地址翻译技术，支持静态

18、NAT及动态 NAT ，并能够实现一对一、一对多的地址映像、透明模式、混合模式。通信技术：实现对邮件内容过滤、检查和审记，控制HTTP 、FTP 、 、TELNET 、POP3 、SMTP 、NNTP 等协议命令级；支持VPN ，采用国家鉴定的硬件加密卡所提供的128 位对称加密算法和128 位 HASH 算法，身份认证采用1024 位的非对称算法；支持多种身份认证，控制其访问权限。安全技术：具有对公开服务器保护功能，一旦服务器内容被非法篡改，可以进行快速恢复，并同时告警；可防TCP 、UDP等端口扫描， 防源路由攻击、 DNS/RIP/ICMP攻击、SYN攻击，抗 DOS 、DDOS 攻击；

19、可阻止 ActiveX 、JAVA入侵；能够与第三方 IDS 安全产品联动。操作技术：采用专用硬件平台与专业的安全操作系统，支持对时间的访问控制，实现基于用户、时间的带宽管理；允许网络管理员实时监视、分析和分配供各类网络流量使用的带宽，确保在用户上网浏览时不会损害关键业务流量；能自动发现新的攻击，采取主动防护的概念；实时监控防火墙当前名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 14 页 - - - - - - - - - 的所有连接，监控防火墙主机的当前负载情况。管理

20、技术：面向基于对象的管理配置方式（IP 对象、用户对象、时间对象等）；支持 WEB 及命令行管理方式； 支持本地管理、选程管理和集中管理；支持基于SSH的远程登录管理和基于 SSL的 WEB 方式管理；支持 SMNP 集中管理和监控； 具备完善的日志功能，支持防火墙配置文件信息的备份与恢复；为管理员检查规则配置的正确性、有效性提供方便、快捷、有效的工具。5) 无线 AP（wifi ）为指定的区域设置无线接入点，使用户可使用内置无线网卡的终端设备（笔记本电脑、IPONE等）可在相应的区以无线方式接入 INTERNET 。无线接入点须经过接入交换机、核心交换机、外进线，最终接入 INTERNET

21、，而不能采用地区网络运营商直接提供无线网络覆盖。AP需具有 POE 功能， 由弱电间内楼层交换机通过以太网供电。支持 TCP/IP 协议，符合 IEEE802.11a/b/g 规范， 2.4G/5GHz双频同时运行，平滑过渡到E802.11AC规范。AP点带接力能力，所有的无线网络通过AP转接并经 6 类线最终接入有线网络。数据转发支持数据包二层转发模式，即在 AP本地转发，而不通过控制器； 16M-32M内存；支持 16 个 vlan 用户组；支持16 个 vlan 用户组；支持 WEP 增强；WPA,WPA2 (802.11i)；支持远程配置 telnet http snmp；wirele

22、ss controller管理。接口类型要求：天线支持内置或外置天线；网络接口1 个RJ-45 自适应 10/100/1000 端口。6) 路由器用途：拥有多个模块化接口选项， 提供语音 / 数据集成、 虚拟专网（VPN ） 、拨号访问和多协议数据路由解决方案，可与防火墙相结合。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 14 页 - - - - - - - - - 关键特性：在一个平台中结合拨号访问、先进的局域网络路由服务、 ATM连接以及语音、视频和数据的多服务集

23、成；模块化、可伸缩的设计提供性能、可伸缩性、灵活性和投资保护；高密度 ISDN PRI 功能；预配置的 BRI和 PRI 调制解调器捆绑；支持 Moden-OVER-BRI 功能性；集成 IP IOS 软件；支持 VPN 。7) 无线网络管理控制器管理 AP数量: 本项目要求支持 25 个 AP管理。支持操作系统 :安装平台支持 Windows平台和 Linux 平台；带有供电接口设备，采用POE 供电方式。管理方式 : 采用 HTTPS 的方式远程进行管理， 无需在管理客户端按照任何软件；热图显示: 支持 AP热图分布显示；客户端排错能力 : 支持通过网管对指定无线客户端进行无线信号检查、无

24、线层排错分析、 认证分析等内嵌工具； 配置管理 : 支持大批量 AP或者控制器的配置模板定制功能， 并可通过网管自动下发配置；设备管理 : 支持在网管上查看AP所连客户端数量， AP信道状态，信道使用率，信噪比，信号强度分布，AP状态等信息；非法 AP控制: 实时显示最近活动的非法AP ，可根据情况对非法 AP进行处理，包括纳为合法、继续告警、进行压制等管理模式 : 采取 BS结构，无需在客户端安装任何客户端采用IE 即可访问网管系统；信道分配和AP输出功率设置8) 网络管理软件调配、管理电脑网络系统、局域网交换、路由环境，提供网络配置、管理、监控、故障检测与维修工具，提供可视化的网络管理手段

25、，支持实时流量监控。采用与核心交换机、楼层交换机同一厂商的网管软件。实施视讯信息的整合、通讯、交换、管理，视话信息的整合、通讯、交换、管理，电视信号输入、调配、管理，提供公共安全防范系统、楼宇BA系统、一卡通系统、汽车库系统、多媒体信息系统、 多媒体导航等系统、 自用办公网络接入管理。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 14 页 - - - - - - - - - 具有侦测技术、端口分配工具、高级连接分析和配置管理工具、设备与网络诊断工具等， 具备包括故障管理

26、、 远程监控、流量监控等能力。自动构建网络内各设备端口间的连接关系，并可实时更新；在同一界面中动态准确的表现设备面板；所有端口及状态、 端口连接设备信息 （包括 IP，MAC ，名称等） ；实时更新线路通断情况，并能够以层次方式构建物理拓扑结构。配置面向操作的多种工具， 如故障管理、 可扩展的拓扑检查、路径分析、流量监控、终端工作站工作流应用服务器管理等。采用业界数据共享标准公用信息模型（CIM ）和 XML ，可提供析取数据和与常用网络管理平台产品结合使用的工具。11.1.2.6.IP 地址规划和 DNS 域名服务1) IP 地址规划IP 地址是整个网络系统运行的基石，IP 地址规划不仅应该

27、满足当前的需求， 还应该充分的考虑系统将来的扩展性，以满足将来发展的需要。因此需要对大楼网络系统的 IP 地址进行统一规划。在整个网络环境中必须保持IP 地址的唯一性 ; 根据业务情况，为 每 个 单 位 局 域 网 分 配 一 个 或 多 个C 类 地 址 段 ( 指 掩 码 为255.255.255.0的地址段 ) ，或者使用 VLSM 技术进一步进行细化，如分配 64个( 掩码 255.255.255.192) 或者 32个(掩码 255.255.255.224)地址，满足当前要求，并留有一定的扩充余地(如 23倍) ，便于将来增加节点。地址分配具有层次性和连续性，便于管理，即在 IP

28、地址规划时应该充分的考虑利用路由汇总技术，减少路由波动， 使得各局部的变动不影响整个网络的其它部分，增加网络的稳定性， 同时由于路由汇总技术能够缩减路由表项数，所以还能够提高路由器的处理效率。使用 VLSM 技术， 在划分 IP 地址时应尽可能的减少IP 地址浪费。2) DNS 域名服务域名系统实际上包括了内部域名系统和外部域名系统两个部分。内部域名系统是为内部电子邮件和内部网站域名解析服务，便于内部名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 14 页 - - -

29、- - - - - - 工作人员通过名字来访问各项信息应用系统和其它服务。外部域名系统用于用户网络系统和Internet的信息交换。内部域名系统单独部署一台服务器， 安装 windows server 2003 操作系统，设置 DNS 域名功能。11.1.2.7.网络安全方案由于网络系统是一个大型的综合性信息网络系统，网上运行着网络多媒体、办公自动化、各种应用资源、通信信息服务等应用系统，应用系统的复杂化，使安全成为一个不可忽视的问题。对一个大型网络系统来说， 安全威胁可以来自很多方面。 主要的安全威胁如下所列:(1) 目前流行的许多操作系统均存在一定网络安全漏洞，如 UNIX 服务器、Win

30、dows Server 服务器及 Windows 终端。(2) 来自内部用户的安全威胁。(3) 缺乏有效的网络系统安全监控手段。(4) 来自电子邮件夹带的病毒、通过其他方式传播的病毒。(5)许多应用服务系统在访问控制及安全通讯方面考虑较少，一旦出错就容易造成损失。满足基本的安全要求， 是该网络成功运行的必要条件，在此基础上提供强有力的安全保障， 是网络系统安全的重要原则。 网络系统内部署了众多的网络设备、服务器，建立和实施完整的、多层次的安全措施来保护这些设备的正常运行，维护主要业务系统的安全， 是十分必要的。本项目中网络管理系统， 能够对网络设备进行日常状态监测、故障响应、资源分配和控制等，

31、 同时能够采集网络运行数据进行业务流量、流向分析， 并提供网络发展规划。总体来说所网管系统具有以下功能: 1、对网络上的可管理设备进行监测。 2、了解网络性能和现状，为网络管理维护提供依据。 3、 掌握网络运行负荷及设备运行状态， 对异常情况进行分析，以便采取改进措施来有效利用网络资源，并向用户提供优质服务。 4 、采用分布式集中控制及处理相结合的原则，对网络设备系统进行统一管理及配置。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 14 页 - - - - - - -

32、 - - 5、能够迅速地找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计。根据大型网络服务网管中心的实践经验及有关近年来研究工作的进展，结合目前其它主要运行网管系统的现状以及实践经验，并考虑到网络系统运行和业务特点对网管的要求，该网管体系建设实现了高精度、实时化的原则， 提供对网络单元及运行状态的综合网管的支持。该网络管理系统采用集中式的管理，负责对整个 XXXXX 中心网络系统的进行管理，包括网络配置管理、性能管理、故障管理及生成必要的网管信息报表等。1) 防火墙技术(l) 利用防火墙来最大限度地保证网络的安全随着因特网的不断发展， 互联网上的攻击方式也各种各样。应该

33、引起我们充分注意的攻击方式有 IP 欺骗、各式木马、 拒绝服务攻击等等。防火墙防火墙的基本功能有: 包过滤、支持路由、应用代理和 IP 地址转换 ; 增强功能有 : 攻击检测、实时报警、用户认证负载平衡和计费等功能。 防火墙是内部网络连接外部网络的唯一出口，可以检测并控制所有通过的数据，对相关事件进行日志记录。防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯， 根据客户设定的安全规则， 在保护内部网络安全的前提下，提供内、外网网络通讯。选择防火墙的基本原则: 安全性 :即是否通过了严格的入侵测试。抗攻击能力 :对典型攻击的防御能力性能: 是否能够提供足够的网络吞吐能力自

34、我完备能力 : 自身的安全性， Fail-close 可管理能力 :是否支持 SNMP 网管VPN 支持认证和加密特性服务的类型和原理名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 14 页 - - - - - - - - - 网络地址转换能力在 Intranet/Internet接入网络系统和内部局域网之间配备硬件防火墙以增加内部网络系统的安全保密性。该网关能利用防火墙的 IP 包过滤功能以及访问列表控制功能，规定只有指定地址的机器和网络服务才可跨网访问，即可防止非法

35、用户入侵内部网络、又能控制内部用户对外部的访问。通过防火墙将网络划分不同安全级别的区。具体有几个安全级别和区可以根据具体情况来确定。一般可以根据防火墙的端口来确定，一般为三个。 根据计算机网络系统的结构和业务流量特点，可将其划分为三个区。分别连接至防火墙的 LAN、 DMZ 、 WAN 端口。其中 DMZ 端口连接邮件系统、信息发布系统等服务器，LAN 端口连接内部网络，WAN 端口连接至 INTERNET 。在这三个端口上采用不同的安全策略以分别对网络上的用户和资源进行控制。在设置防火墙时， 应采用所有未被允许的都应禁止这一原则。在防火墙处只对防火墙外暴露允许访问的内部 IP 地址。防火墙具

36、备基于 IP 地址、端口号、服务类型等方面的访问权限控制管理功能，并能自动生成日志文件。防火墙本身具有可靠的安全管理机制，能对威胁内部网络安全的潜在危险事件进行自动侦测、跟踪，并及时告警。原则上，只允许网络内部的用户通过防火墙访问外部网络，限制或禁止外部网络对内部网的访问。2) 入侵监测系统网络的攻击方式多种多样， 任何防火墙都不可能永远防止网络上的黑客攻击。因此，实时监测系统，及时发觉网络受到的攻击并采取相应的措施也是十分有必要的。 入侵检测被认为是防火墙之后的第二道安全闸门， 是防火墙的合理补充。 在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、 外部攻击和误操作的实时保护。

37、入侵检测帮助系统对付网络攻击， 扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从网络中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。通过入侵检测系统，我们可以及时发现网络受到的攻击。入侵检测系统既可以检名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 14 页 - - - - - - - - - 测内部网络和外部网络的网络行为，而且也可以检测内部网络中的非授权行为。因此在

38、所有需要检测的地方放置探测器，这些探测器将探测到的内容发送给主控器。作为防火墙的第二道安全闸门， 入侵检测系统需要和防火墙进行互动，互动的意思就是指一旦入侵检测系统发现有异常的攻击事件，应当在第一时间的反应到防火墙那里，这样一来就可以堵截这次攻击事件。入侵检测系统集成了网络监听监控、实时协议分析、基于入侵行为分析及详细日志审计跟踪，对黑客入侵进行全方位的检测。在和防火墙的互动上面，防火墙可以采用自动报警和自动防范结合的方法，一旦在入侵检测系统检测到攻击事件，立即会通知防火墙封禁该IP 地址，这样一来可能黑客在扫描主机的时候就被防火墙封禁掉。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 14 页 - - - - - - - - -