附件2 广西电子口岸基础网络平台规划方案

附件2 广西电子口岸基础网络平台规划 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 更多资料请访问豆丁达人冰川主页—— 二〇一一年九月 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 附件2 广西电子口岸基础网络 平台规划方案 第1章 总体设计方案 广西电子口岸网络平台，是以网络技术为依托，以各种信息设施为支持，以电子口岸应用为基础，以实现信息化建设和管理为目的，为广西电子口岸网络平台提供全方位应用服务的信息化环境。从总体来说，广西电子口岸网络平台是一个统一的网络系统，广西电子口岸网络平台的目标是将广西电子口岸网络平台的各机构全部联到网络中，最终形成一个区域性的互联、互动、信息交换、资源共享的基础构架 1.1 网络设计原则 广西电子口岸网络平台的信息化建设的计算机网络系统设计必须适应当前广西电子口岸网络平台各项工作的需要，又要适应未来信息化发展的趋势，因此需要遵循以下原则: , 实用性和先进性 建网时应在充分考虑利用和发挥现有设备效益的基础上，采用先进、成熟的技术、设计思想、网络结构和开发工具，采用覆盖率高、 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化和技术成熟的软硬件产品，满足系统收集数据、处理、提供查询等的业务需求，兼顾其他相关的管理需求，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化发展的需要。 同时，着眼未来发展的思想以及广西现今通信线路的状况，本次组网将采用专用光纤通道线路作为互连线路，每条通道带宽需达到2M或以上。 , 安全可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障，欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 建议对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设，能满足分支节点所在的环境、气候条件，抗干扰能力强，网络的设计、选型、安装、调试等环节进行统一规划和分析，确保系统运行可靠。 在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、多层次安全控制手段和事故监控与网络安全保密、建立完善的安全管理体系、可靠的防病毒等措施，提高整个网络系统的安全可靠性，防止数据受侵袭和破坏。 , 灵活性和可扩展性 网络系统必须具有良好的灵活性和可扩展性，能够根据系统业务的不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性，满足因发展需要而实现低成本扩展和升级的需求。 , 开放性和互连性 具备与多种协议计算机办公侦缉网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。 , 经济性和投资保护 应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值:能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益，尽可能保留延长已有系统的投资，充分利用以往在资金与技术方面的投入。 , 可管理性 在网络设计中，必须建立一套全面的网络管理解决方案。采用先进的网络管理软件，实现系统管理，最终实现监控、监测整个网络的运行情况，合理分配网络资源、可以迅速确定网络故障等。以提高网络的运行性能、可靠性，简化网络的维护工作，从而为数据业务开展、管理提供最有力的保障。同时，管理系统应当功能完善，界面友好，兼容性强，使用户最方便地实现各种功能。 以上的原则贯穿在整个广西电子口岸网络平台建设方案中。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.2 网络技术选择分析 1.2.1 网络协议选择 TCP/IP协议作为事实上的工业标准，以其IP Over Everything的思想，简化了网络构建的复杂性，并随着技术的发展，并最终实现Everything Over IP 的网络融合，这种网络发展的趋势是不可逆转的，是由IP技术的竞争优势确定的。IP协议与其它网络协议相比，有以下优势: TCP/IP协议是开放的网络协议，绝大多数生产厂商都支持该标准。特别是90年代后期，随着Internet的爆炸性增长，各类网上应用都基于该标准推出。其中包括了IP电话、图像传输、视频点播、电视会议系统多媒体应用等。采用开放性的协议可以保证网络构建及发展不会受到专有技术的限制。 TCP/IP协议是一个比较完善的协议集，它的扩展性较好，适合于构造大型的计算机网络。 IP协议是网络层协议，应用程序不必关心第二层具体的网络技术。组建IP网络可以灵活的选择通信链路(例如ATM、帧中继、时分复用网络、以太网等)，有利于充分利用运营商提供的网络资源，并实现良好的备份机制(例如 线路的冗余和负载均衡等)。 随着网络通信技术的高速发展，IP的服务质量(QoS)也在不断的完善，可以通过IP层优先级设置、带宽管理和队列技术等在统一平台上有效实现对应用系统传输质量的保证。 综上所述，随着市场的驱动和技术的不断发展完善，IP协议已经逐渐成为主流。我们选择IP协议构建的网络平台，不仅满足今后广西电子口岸平台项目建设的需要，而且也符合网络的发展方向。 1.2.2 广域网线路的选择 , 广域网线路比较: 网络的构建中，初期的设备投资只是整个网络生命周期投资的一小部分，而很大的资费将使用在网络的运行维护中，特别是广域网线路的租用费上。在欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 广域网中，最宝贵的资源是用于网络互连的带宽资源。根据目前我国通讯网络的现状，租用广域网线路的通讯费用是相当昂贵的，选择性能价格比高的运营商线路是降低交通运行费用、保证交通网络可靠高效运行的关键。 , 帧中继(FrameRelay):分布是所有网络中最少的。速率与DDN相当，线路质量和效率较高，费用`远低于DDN，与X.25相当，是目前最经济实用的数据网，但由于其目前分布太少，适用于局部地区的中、小规模网络互联，全部是同步网络。 , DDN网: 分布情况与X.25相当，速率可从9.6K,2048K，线路质量较高，速率较高，统一按月租费收取，费用是所有线路中最高的。适用于流量较大、可靠性要求高，而对线路成本不敏感的场合，全部是同步线路。 , SDH传输网络: 可提供2M、4M、8M、32M、155M、622M、1.2G、2.5G、10G等电路，具有高效、稳定、安全、便宜、自愈等特性，是目前传输的主流技术，网上有大量成熟的应用，也是今后发展趋势。 , ISDN网: 在全国所有省会城市(西藏除外)的ISDN长途均可互联互通。BRI口的ISDN线路速率可有64K和128K两种，传输速率较高，由于是拨号线路，费用与普通电话线相当，但因是同步数字线路，因此可靠性高。这种线路适于作为网络的拨号备份线路使用。 从目前大量的工程规划设计、实施经验来看，采用SDH线路具有很大的优势，应用成熟、性价比高、传输高效、稳定、安全，是广域组网发展的趋势，所以本次广西电子口岸基础广域网络平台组网，建议选择SDH传输网络的数字电路作为组网的主、备用线路。 1.2.3 项目建设技术依据 项目建设依据目前国际国内已经成熟模式及技术，采用成熟先进的网络技术、多层Web软件开发技术、通讯技术。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 项目建设依照国家相关标准实施，主要标准有: , 网络建设标准 中华人民共和国国家标准国际综合布线标准 通信工程建设标准 计算机信息网络国际联网出入口信道管理办法 , 软件工程项目标准 GB 8567-88 计算机软件产品开发文件编制指南 GB/T 12505-90 计算机软件配置管理计划规范 GB/T 12504-90 计算机软件质量保证计划规范 国际标准化组织标准:信息处理——数据流程图、程序流程图、系统 流程图和系统资源图的文件编制符号及约定 , 数据交换标准 互联网联合组织(W3C)提供的XML规范 1.3 整体网络设计方案 从功能划分，广西电子口岸网络平台可以分为核心部分、接入部分、外连中国电子口岸数据中心和广西电子口岸专网部分、外连因特网部分;其中由核心交换机、核心路由器、核心防火墙等系统组成广西电子口岸网络平台核心部分，在核心交换机后部署数据库服务、器应用服务器及存储设备，对应用数据进行处理和存储，同时部署入侵检测系统、防病毒系统，确保核心网络安全。WEB服务器、FTP服务器等前置服务器则通过防火墙和核心部分进行逻辑隔离，部署在另外的交换机上，并通过安全交换系统连接中国电子口岸数据中心和广西电子口岸专网;接入部分则以核心路由器为各个接入单位的汇聚中心，连接各相关单位和口岸现场。外连因特网部分则将广西电子口岸平台接入因特网，为公众、企业用户提供相应服务。 从安全域的角度出发，以核心防火墙系统和安全交换系统为安全边界进行划分，广西电子口岸平台的划分则是以核心防火墙系统为中心，划分为公网区域、安全内网区域、DMZ1内部广域网区域、DMZ2前置服务器区域(安全交换系统再将DMZ2区域、中国电子口岸数据中心、广西电子口岸专网划归不同的欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 安全区域)。安全内网区域部署核心数据库及应用系统;公网区域连接因特网;DMZ1为内部广域网部分，连接相关单位及口岸现场;DMZ2区域部署前置服务器，并通过安全交换系统连接广西电子口岸专网的应用服务器和国家电子口岸数据中心。 下面主要从安全区域的划分方式，对各个安全区域进行简单描述。 , 安全内网部分 安全内网部分主要部署数据库服务器及应用服务器，用冗余的核心交换机为其提供可靠的连接。同时在数据库服务器后部署磁盘阵列和磁带库系统，加上备份服务器，为相应的数据备份提供服务。在内网区域还部署入侵检测系统，对该区域的非法入侵行为进行检测。更详细的设计描述，参考相关章节部分:安全内网区域部分设计。 , DMZ1内部广域网部分，连接相关单位及口岸现场 DMZ1区域部分为内部广域网部分，主要由路由器连接电子口岸相关单位及口岸现场。检验检疫、边防、交通等相关单位以及各口岸现场通过2M数字电路与核心路由器相连。各口岸现场可根据具体情况再进一步将网络延伸至口岸的联检单位。根据广西区政府的安排，今年以凭祥友谊关口岸试点项目为重点，将网络延伸至友谊关联检楼、南山物流园及前置货场。 更详细的设计描述，详见相关章节部分:DMZ1内部广域网部分设计。 , DMZ2区域 主要部署WEB服务器、FTP服务器等前置服务器，接受并处理外部的服务请求，同时根据需要与安全内网部分(通过核心防火墙系统)、广西电子口岸专网应用服务器系统和中国电子口岸数据中心的相关系统(通过安全交换系统)进行交互。同时在该区域还部署网管服务器、防病毒服务器。详见DMZ2区域部分设计。 , 公网区域，与Internet连接 广西电子口岸网络平台核心部分通过防火墙与Internet连接，企业用户在Internet上可方便查询各种资料、办理与通关、物流有关的各种手续。详细设计见2.3.5节。 为保证网络平台的高可靠性，核心交换机、中心路由器、数据库服务器及欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——应用服务器采用双机冗余热备份。相关设备选型及部署建议，详见设备选型及 配置部分。 1.3.1 网络拓朴图 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.3.2 主要的数据流路由分析 电子口岸网中的主要数据流包括 1、与电子口岸业务系统相关的业务数据流; 2、公众、企业用户通过因特网访问门户网站的数据流; 3、内网用户上因特网的数据流; 4、电子口岸应用服务器和广西电子口岸专网中的应用服务器、中国电子 口岸数据中心交互的数据流; 5、网络设备间相关协议(如SNMP等协议)的数据流等; 6、其他非上述的数据流，如病毒产生的数据流，其流向比较复杂，不在 此分析。 对于与电子口岸业务系统相关的业务数据流，主要考虑由应用系统终端往应用服务器访问方向(其他的情况，如公网用户通过门户网站访问前置服务器系统，是通过防火墙来访问相应的服务器，又如和中国电子口岸数据中心、广西电子口岸专网服务器的路由比较简单，主要是通过安全交互系统进行路由)，以凭祥节点为例子:应用系统终端往往在电子口岸相关单位及口岸现场(如凭祥节点的友谊关联检楼)，在网络的末端位置，其业务数据经过相应的线路(如2M数字线路)由接入路由器上到核心路由器，再经过防火墙的检查，来到DMZ2区域的前置服务器，提交相应的服务请求，然后根据业务流程，往安全内网的数据库服务器、应用服务器提交相应服务、提取相应数据，根据实际情况，还可能和中国电子口岸数据中心、广西电子口岸专网内的相应服务器进行交互，同时将结果返还给应用系统终端，如下图示意: 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 在这类数据流的路由过程中，处于DMZ2区域的前置服务器成为这些数据流的“集散地”，由于涉及到多个系统、多个安全区域，这类数据流的路由是最为复杂、也是最为重要、需要重点保障的。 对于公众、企业用户通过因特网访问门户网站的数据流，主要由用户经因特网对广西电子口岸门户网站发起访问，由于电子口岸门户网站服务器位于DMZ2区域(或广西电子口岸专网区域)，门户网站系统针对客户的访问申请情况，和相关的应用服务器(如需要查询数据库系统，则由应用服务器和数据库服务器系统进行交互)进行交互，并将相关的结果返还给客户。这类数据流的路由还是比较简单的，客户的访问和网站的回应数据流只在DMZ2区域和公网区域流动。 对于内网用户上因特网的数据流，主要的是指内部网络末端的用户往因特网发起访问的数据流，其路由路径如下(返回的数据流路由则相反):接入路由器<,>核心路由器<,>核心防火墙系统<,>因特网。由此可见，这类数据流大部分只在DMZ1区域和公网区域流动。 对于电子口岸应用服务器和广西电子口岸专网中的应用服务器、国家电子欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 口岸数据中心交互的数据流，以及同步数据库的数据流，将会以前置服务器为中心，数据流在DMZ2区域、安全内网区域、广西电子口岸专网区域、国家电子口岸数据中心区域间流动，具体的数据流向需要根据实际情况分析。这部分的数据流路由，主要由电子口岸应用系统内部来决定(或者说在设计的时候就已经确定了)，可以看做应用系统间的数据交互，需要在核心防火墙系统、通讯前置服务器间、安全交换系统上开放相应的端口、路由。 对于网络设备间相关协议(如SNMP等协议)的数据流等，以SNMP协议为例(当然最常用的还有OSPF协议等)，只要网络设备上开放了SNMP服务(当然核心防火墙不隔断这类数据流)，网管系统就可以主动去提取网络设备上的这些SNMP数据(或网络设备主动将相应的SNMP数据提交到网管服务器上)，对网络进行分析、排障。这类数据流主要在特定的设备(支持SNMP协议的网络上，如可网管的交换机、路由器、防火墙、服务器等)和处理这些数据的系统(如网管系统、流量监控系统等)之间进行传输。 1.3.3 安全内网区域部分设计 由上面的数据流路由分析可以看到，到安全内网区域的数据流主要是DMZ2区域中的前置服务器、广西电子口岸专网区域内相应服务器和该区域内数据库服务器的交互数据流，以及数据库服务器和国家电子口岸数据中心数据同步的数据流。由于该电子口岸平台刚开始建设，目前在该平台上处理业务数据的压力还不是很大，当然今后随着处理量增大，当前的服务器不足以应付时，可以更换成小型机甚至集群的方式来解决这方面的问题。考虑到今后存储的数据量会很大，需要考虑存储系统来配合存储数据。 由于所有与电子口岸业务系统相关的数据流(不管写入还是查询)，都要进出该区域，而且整个平台都是为电子口岸业务服务，该区域的稳定、可靠、可用性等决定了整个广西电子口岸系统的运行状况，所以对该区域的要求首先是稳定、可靠、安全、高可用，性能次之。 针对以上考虑，采用2台数据库服务器，配置成双机热备的HA工作方式，对于和数据库服务器交互的系统而言，它们看到的只有一台数据库服务器，其IP地址是虚拟的，而双机系统中有一台主用数据库服务器在工作，当其因某种欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——情况出现故障宕机，HA系统会检测到异常，并自动让备用机器接管相关的业务，避免业务中断。同时，数据库服务器系统后面挂接磁盘阵列系统和磁带库系统，为业务系统的数据提供存储服务。 作为安全内网网络平台的基础，内网核心交换机配置成双机热备的方式，为数据库服务器提供高可用、高可靠的稳定连接。同时核心交换机配置中高性能的数据处理引擎，提高数据处理交换能力，避免在该区域出现网络处理能力的瓶颈。 对于核心交换机的配置，在投资允许的情况下，每单台核心交换机配备双处理引擎。这样，在双机热备系统中就配备了二组引擎(对应二台核心交换机)，共四个处理引擎，其中单台核心交换机的引擎组中，一个引擎工作，另一个处于待命状态，当主引擎出现故障停止工作，备用引擎则立刻接管主引擎的工作;当主核心交换机的备用引擎也出现故障停止工作，导致主核心交换机停止工作时，HA系统将指导备份核心交换机接管失效主核心交换机的工作。同样的，备份核心交换机的引擎组里面也是主引擎工作，备份引擎hotstandby，并(当主引擎失效)随时接管主引擎的工作。这样的核心交换机的配置(单机双引擎)可以为核心交换机HA系统提供更可靠的保护，无疑也提高了数据库系统的高可靠性、高可用性、高稳定性。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 为了更好地实现数据备份，部署一台备份服务器，配合盘阵系统、磁带库系统，对DMZ2区域中的应用服务器系统的数据(或应用系统本身)、前置服务器系统等数据进行备份。 由于该区域是安全高敏感区域，需要对发生在该区域的访问行为进行监控，基于这方面的考虑，部署入侵检测系统IDS，对非法的网络入侵行为进行检测、告警，提供相应的信息让网络系统管理员掌控该区域的安全情况。 1.3.4 DMZ1内部广域网部分设计 广西电子口岸网络平台要成为广西全区进出口岸业务的互联、互动、信息交换、资源共享的基础构架，除了核心系统要重点建设外，为相关单位及口岸现场提供高效的接入也很关键，只有这样，才能真正发挥电子口岸的价值。所以，DMZ1内部广域网区域是本次网络平台构建的重点，主要是为广西各口岸包括检验防疫、边防等18个相关部门单位和25个口岸现场提供广域网接入。DMZ1区内广域网部分的设备主要是广域组网的路由设备，包括核心路由器、相关单位及口岸现场接入路由器以及局域网交换机等。 为了确保内部广域网的稳定、可靠运行，对于核心路由设备的要求可以归欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 纳如下: , 支持双机备份功能:由于中心的路由设备设计有可能是采用双机备份 的配置方式，所以中心的路由设备必须支持双机备份协议，如VRRP 等。 , 端口需求:要求具有至少三个100Mb/s以太端口(GE口更佳)分别用 于连接核心防火墙系统和双机连接，同时配置对应下接分支节点的2M 数字电路接口。 , 核心路由设备需要具备运行高稳定性。 , 设备应有可靠性的冗余措施，建议采用双主控，两个路由交换单元互 为备份;多电源且电源模块相互备份，所有单板支持在线热插拔功能; 软件上支持高可靠性备份技术，包括链路备份、接口备份、路由备份 等，能够提供足够的扩展插槽，便于扩容。 在此次项目中我们主要考虑通过中心节点核心路由器和相关单位及口岸现场的路由器，结合电信SDH传输网提供的组网数字线路，构建广西电子口岸内部广域网络系统平台。首期接入的相关单位主要有检验检疫、边防、交通等，口岸现场主要是凭祥友谊关口岸。 中心节点:由于需要确保业务的高稳定、高可靠、高可用性，由两台高性能的路由器(建议采用双主控)组成，两台核心路由器可以采用双机热备的方式配置，也可以配置成负载均衡的方式。从提高租用线路的利用率角度出发，建议配置成负载均衡的方式，然后在核心路由器和分支节点路由器之间采用动态路由的方式，利用动态路由协议的特性，如OSPF，实现内部广域网络拓朴自动发现、维护，路由表项的自动更新，同时实现链路的负载均衡。核心路由器上连接下面分支节点2M线路的接口模块选择(有高速串口、E1接口模块、CPOS接口模块可选)，详见下面的核心接口类型分析。 分支节点接入路由器:主要由一台中端性能的路由器组成，通过二条2M电路上连至二台核心路由器，将各个口岸单位的局域网接入到电子口岸广域网中，形成一个统一、整体的网络。接入路由器和核心路由器间采用动态路由，路由协议建议采用OSPF协议。接入路由器后接该分支节点的局域网交换机，为该处的终端用户提供网络接入服务。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 因凭祥友谊关口岸需要作为试点来进行重点建设，其覆盖范围要延伸至前置货场、友谊关联检楼、南山物流园，因为这几个点就在凭祥本地，建议直接采用交换机组网的方式，即前置货场、友谊关联检楼、南山物流园处部署接入交换机，经过当地传输网的2M数字线路直接连接到凭祥节点的局域网交换机上(建议该交换机为三层交换机)。 由于该节点根据实际情况可能还要连接检验检疫、边防、交通等口岸单位，而这些单位对于电子口岸系统本身而言属处于安全区域之外，所以需要增强安全方面的防护，如增设防火墙，对于这些外接单位，在防火墙上配置成只允许相应的业务系统数据进出，其他则拒绝。 有关内部广域网系统更详细的路由设计，请参考下面相关章节的路由设计部分。 DMZ1内部广域网区域拓朴，如下图示: 核心路由器和分支节点路由器之间的连接(2M线路的两端)，因涉及到路由器设备上的接口模块配置问题，选择的接口模块不同，价格也不尽相同，所以还有个路由器设备接口类型的选择问题，主要是核心路由器端的接口选择，即采用传统的V.35接口方式、E1 G.703接口、还是ChannelPOS的方式进行连接。 以下对这几种方式进行简单的分析。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 传统的V.35接口方式，在2M线路从传输网局端拉光纤到核心路由器所在处，经过光端机，分出若干个2M线路(G.703接口)，然后经过协议转换器，上到核心路由器的高速串口模块，连接的路径为:(传输网,光纤，将相应的2M数据从传输网上解复用)-(光端机, G.703)-(协议转换器, G.703转V.35)-(核心路由器高速串口模块，V.35)。 E1 G.703接口方式，与传统V.35方式相比，不同之处在于:1、路由器上的接口模块不同，V.35对应高速串口，E1G.703接口对应E1接口模块;2、不再使用协议转换器。连接的路径为:(传输网,光纤，将相应的2M数据从传输网上解复用)-(光端机, G.703)-(核心路由器高速E1接口模块，G.703)。 ChannelPOS的方式,直接从传输机房拉155M的光纤线路到核心路由器节点，不再需要光端机和协议转换器，光纤跳线直接插入核心路由器上的CPOS接口模块。连接的路径为:(传输网,光纤)-(核心路由器高速CPOS接口模块，从155M线路上将相应的2M数据解复用)。 这几种接口方式的优劣比较:V.35接口方式比较便宜，但是经过协议转换器后，对网络排障增加了难度，因协议转换器不可管理，其出现故障后很难定位，我们大量的工程实施经验表明，网络出现问题很多情况下是由于协议转换器的隐性故障造成的;E1G.703接口方式比V.35方式稍贵，但由于不再使用协议转换器，减少了故障点，利于网络的运维。以上两种方式都还存在一个很大的问题，由于和下面分支节点是一一对应的关系，导致核心节点处的连接线缆繁多。相比而言，CPOS接口方式就十分清爽，只有对应的一条光纤线缆，而且155M线路可以通道化为63个2M线路，具备灵活的扩展性和扩展空间，今后系统扩容的时候无需再增加线缆，只是在传输网上将相应的线路时隙划归这条155M线路，然后在核心路由器上作相应的配置即可，但这种接口方式比较昂贵。 总之，从网络运维的角度出发，不建议采用V.35的接口方式;从性价比方面考虑，建议采用E1G.703的接口方式;将来随着业务的发展，接入单位的增加，采用CPOS方式，相应地，核心路由器上的接口模块也作对应的选择。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.3.5 DMZ2区域部分设计 由上面的数据流路由分析可以看到，处于DMZ2区域的前置服务器成为电子口岸业务数据流的“集散地”，由于涉及到多个系统、跨越多个安全区域，电子口岸业务数据流是本网中最为重要、关键的。在本区域中，主要部署应用服务器系统，对应用系统终端系统提交的数据和命令请求进行处理。根据处理的需要，应用服务器需要跟数据库服务器进行交互，或通过前置服务器和中国电子口岸数据中心、广西电子口岸专网内的系统交换数据。服务器和交换机间采用GE电口连接，避免在此处出现网络瓶颈，而且该交换机到二台核心防火墙都有链路相连。考虑到该交换机的单点故障问题，也可以参照重要交换机的HA配置方式进行部署，而服务器则采用双网卡连接交换机。该区域的拓朴图如下: 由于应用服务器非常关键，一旦应用服务器出现故障，将导致全区的电子口岸系统无法使用，所以建议将二台应用服务器配置成高可用的HA双机热备方式。应用服务器上的数据、应用系统可以通过网络往内网的存储服务器上备份，以防这些应用服务器出现全瘫痪的情况，此时可以从备份系统中将相关操欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 作系统、应用程序系统或配置数据等快速恢复。 因这个区域也是对安全高度敏感的区域，建议部署IDS系统对非法的入侵行为进行检测、告警。 1.3.6 公网区域部分设计 电子口岸平台的核心防火墙系统通过二条10M/100M线路(不同的ISP)连接因特网，为内部用户提供因特网访问服务，为普通公众、企业用户提供Web门户网站服务，企业用户在Internet上可方便查询各种资料、办理与通关、物流有关的各种手续。 核心防火墙系统的DMZ2区放置需要对外提供访问服务的服务器，通过访问策略的控制，公网区域只能访问DMZ2中的门户网站服务器，而不能访问其他安全区域网络。同时通过访问规则、策略，严格控制DMZ2中的主机访问内部网络的权限和端口，只允许所开放的业务的数据进入内部网络，其他的一概禁止。这样，避免DMZ2中的主机被入侵、攻击，也很难将其作为跳板进入其他安全区域，使其对其他内部区域的安全造成的影响最小。同时对内网访问因特网的特定应用类型进行限制，如只能访问网页(对应80端口)，不能进行FTP(对应20、21端口)，避免一些非关键业务占用过多的带宽，对关键业务造成冲击。 从安全角度出发，内部用户上因特网原则上在此统一出口，各个分支节点不再设连接因特网的出口，否则破坏了安全域的规划，将会形成安全隐患、引发安全问题(如果在增设的因特网出口不进行安全防护加固的话)。 由于连接了因特网，普通的公众客户可以访问到电子口岸系统的门户网站，不可避免地，其他别有用心的访问者也会对该系统进行窥探、攻击、破坏等，尤其是电子口岸系统具有的政府背景，很容易受到对政府心存不满的人(包括国外的反动分子)的关注，即使他们进入不了内部，他们也会想方设法的采用其他攻击手段，如DDOS攻击等，对相关的服务进行破坏，迫使相应的业务停止。这些别有用心的访问对电子口岸系统形成了潜在的威胁，同时电子口岸系统可能存在的漏洞、安全弱点等也有可能被别有用心的人所利用，当这些潜在的威胁和系统存在的弱点相互作用，对电子口岸系统就形成了相应的安全风欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——险。 为了降低这些风险，光靠防火墙系统进行保护还是不够的，况且防火墙也是多重任务在身(NAT、精细的访问规则、防护策略等)，为此我们对因特网出口进行增强的安全设计，如下图示意: 在出口链路上，为了提供带宽的有效利用，可以在主链路上部署二台流量控制设备对全网访问因特网的流量进行监控、管理，利用这些流控设备，可以让我们的网管人员更清楚的知道进出网络的网络应用流量类型，并有针对性确保其中关键业务流量的优先级别，保障相关业务的正常运行，如在10M/100M因特网连接带宽中优先保留50%的带宽确保电子口岸业务流量，其他的应用则挤用剩下的50%带宽。根据实际情况还可以对带宽进行更精细的控制。 为了防止目前危害较大的DOS/DDOS攻击，我们建议增加防DOS/DDOS攻击设备，如Radware Defence Pro、绿盟的“黑洞”系统等，对DOS/DDOS攻击进行防范，减轻因这些攻击造成的危害。当然，这些设备还具备其他安全方面的功能可以充分利用。 同时，为了提高内部用户访问因特网网页的响应速度，可增设一个CACHE服务器，部署在公网区域或DMZ1区域，这样还可以在CACHE服务器上对上网行为作些安全设置、过滤，增加系统的安全。 考虑外联单位接入线路的备份以及公众用户接入的特殊要求，在防火墙上开设VPN功能，为外联单位及公众用户提供VPN接入服务。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.4 路由设计及IP地址规划 1.4.1 路由设计 1.4.1.1 路由协议规划选择原则 目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP、DVMRP、PIM等等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素: , 路由协议的开放性 开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅保证了目前网络的互通性，而且保证了将来网络发展的扩充能力和选择空间。 , 网络的拓扑结构 网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。对于广西电子口岸网络平台的通信网络，路由协议还必须支持网络拓扑的变化，在拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使影响最小。 , 网络节点数量 不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。 , 与其他网络的互连要求 通过划分成相对独立管理的网络区域，可以减少网络间的相关性，有利于网络的扩展，路由协议要能支持减少网络间的相关性，是通常划分为一个自治系统(AS)，在AS之间需要采用适当的区域间路由协议。必要时还要考虑路由信息安全因素和对路由交换的限制管理。 , 管理和安全上的要求 通常要求在可以满足功能需求的情况下尽可能简化管理。但有时为了实现比较完善的管理功能或为了满足安全的需要，例如对路由的传播和选用提出一些人为的要求，就需要路由协议对策略的支持。 根据广西电子口岸网络平台的优化设计策略，在选择及规划路由协议时欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 需要按照这些因素进行考虑和设计。 1.4.1.2 路由协议规划设计建议 因广西电子口岸基础网络平台是内部的广西电子口岸业务网，与电信大规模、多业务的网络不同，电子口岸网络规模及使用性质决定了路由协议更适合采用内部网关协议IGP。而在IGP路由协议的选择上，我们建议选择动态路由协议进行部署而非静态路由，因使用静态路由的方式进行网络互连，主要存在有以下的缺点: 1. 静态路由不利于IP地址的更改和大型网络的构建，对以后网络的扩容优化具有很大的局限性; 2. 对于网络维护来说，网络管理员必须了解网络的整个拓扑结构，对每条路由的走向十分了解，才能很好的对网络进行维护，维护工作相当复杂; 3. 如果网络拓扑发生变化，管理员要在大量的routers上手动修改路由表，维护工作相当繁重; 4. 对于这么大的网络来说，如果以后增加新的业务系统，对于静态路由来说，要实现全网互通，工作量很大，几乎需要在全网路由器进行路由添加。 同时建议:动态路由协议的选择，尽量不要采用扩展性差的(RIP)和厂家的私有路由协议(IGRP和EIGRP)，尽量采用工业标准的OSPF或IS-IS协议。 对于OSPF和IS-IS的选择依据为: 基本原理相同(基于链路状态算法)，OSPF用于IP， IS-IS用于ISO的CLNP，也支持IP(“集成IS-IS”);IS-IS结构严谨，OSPF更加灵活，OSPF协议是基于接口的，而IS-IS路由器只能属于一个Area，并且不支持NBMA网络;IS-IS占用网络资源相对较少，支持网络规模大于OSPF，在网络相当庞大时能体现出优势;一个IGP域运行的三层交换机及路由器的数量一般不会超过200台，因此从实际情况来看，运行OSPF和IS-IS对IP城域网/承载网的建设不会有差异;对于网络的稳定性、可扩充性，两种协议都能很好地支持;在大型ISP上，IS-IS与OSPF二者均获得普遍应用;从MPLS草案及现实运行来看，如果要运行MPLS网络的话，OSPF经常被选用做内部IGP，当然IS-IS也有，但是MPLS草案中认为在MPLS环境中运行OSPF更合适;使用MPLS TE的时候，欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 采用IS-IS扩展的较多;从目前很多厂商的设备来看，存在这样一个问题，很多用户的中低端路由器及三层交换机(例如FORE2400)不支持IS-IS，从这个角度讲OSPF比IS-IS有优势，所有的主流路由器及三层交换机都支持OSPF，而且OSPF有更多成熟的应用经历和经验。 OSPF路由协议还具有以下特点: 1. 通过引入区域的概念，OSPF协议建立分层的路由计算结构，减少了路由协议对CPU资源的消耗，也节省了路由信息传播所占用的网络带宽; 2. 支持无类别的路由表查找，支持变长子网掩码，并且通过支持超网，提高路由的可管理性; 3. 采用触发更新机制，路由收敛速度快; 4. 支持在数个费用相同的路径之间进行负载均衡，从而更加有效地利用网络资源; 5. 使用保留的组播地址传递协议控制信息，减少对非OSPF网络设备的影响; 6. 支持路由信息的认证，提供更安全的路由机制; 7. 通过路由标记跟踪外部路由。 考虑到网络的扩展，广西电子口岸网络平台系统使用OSPF动态路由协议，对今后网络的扩展和维护都非常具有前瞻性。 1.4.1.3 OSPF区域规划 根据电子口岸网络的特点，我们将该网划分为一个自治区域AS，在该自治区域中，骨干区域Area0包括二台核心路由器、二台核心防火墙，子区域Area1包括DMZ2中的网络设备，子区域Area2、Area3„„AreaN对应下属的分支节点(N为本次网络分支节点接入的最大数量)。 OSPF区域规划如下图示: 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— OSPF区域规划 应用服务器前置服务器 防DOS/DDOS系统 流量控制系统 1.4.2 IP地址规划 本次IP地址规划主要涉及三部分: 1、广西电子口岸核心平台 2、外联的检验检疫、边防等18个相关部门，和25个口岸现场 3、凭祥电子口岸、及所属检验检疫、边防、前置货场、友谊关联检楼、南山 物流园 地址划分总原则: 广西电子口岸核心平台分配16个C类地址段，分别为:192.168.0.0---192.168.15.255。 由于地址数量充足，所以每种业务我们都分配以确定的某个C类整网段，欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 外联单位的检验检疫、边防等18个相关部门我们给每一个部门分配1个C类地址段，25个口岸现场我们也分配按照每个口岸现场1个C类地址段的方式进行分配。 我们给凭祥电子口岸分配1个C类地址段，其他所属检验检疫、边防、前置货场、友谊关联检楼、南山物流园也是按照每个单位1个C类地址段进行划分。 最终统计: 电子口岸核心平台需要C类地址段16个 需要均分配1个C类地址段的单位有49个 设备之间的互联地址我们均采用192.168.253.X/30，192.168.254.X/30的地址，这样可以最大程度上的节省地址，且根据此地址就可知是一个互联地址段。 地址分配详细方案 单位 地址段 C类网段数量 说明 192.168.0.0- 16 电子口岸核心平 192.168.15.255 台 192.168.16.0/24 43 外联的检验检 192.168.17.0/24 疫、边防等18个 192.168.18.0/24 相关部门和25个 192.168.19.0/24 口岸现场 192.168.20.0/24 共43个单位 192.168.21.0/24 192.168.22.0/24 . . 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— . 192.168.58.0/24 192.168.59.0/24 1 凭祥电子口岸1 个C类地址段 192.168.60.0/24 3 所属检验检疫、 192.168.61.0/24 边防、交通 192.168.62.0/24 192.168.63.1- 65 外联单位的备用 192.168.127.255地址 (备用) 192.168.254.1/30 2 设备互联地址段 128个互 192.168.254.5/30 联地址 192.168.254.9/30 . . . 192.168.254.253/30 192.168.255.1/30 192.168.255.5/30 192.168.255.9/30 . . . 192.168.255.253/30 192.168.128.1- 126 待分配地址 192.168.253.255 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.5 可靠性设计 网络可靠性总指标为99.99%。 1.5.1 组网的可靠性 在组网上，可靠性和自愈能力包括链路冗余、模块冗余、设备冗余、路由冗余等要求: (1) 链路冗余:在核心设备之间采用链路冗余的方式。主线路切换到备份线路的时间小于1s，以充分体现采用光纤技术的优越性。这种高速的网络自愈特性不会引起业务的瞬间质量恶化，更不会引起业务的中断。 (2) 模块冗余:建议主要设备的所有模块和环境部件应具备1+1或1:N热备份的功能。但是由于这方面的投资巨大，本次的设备没有做相应的冗余配置，但是预留有空间进行扩充，如果用户认为有这方面的需要并且资金允许，可以立即进行部署。 (3) 设备冗余:提供由两台或两台以上设备组成一个虚拟设备的能力。当其中一个设备因故障停止工作时，另一台设备自动接替其工作，并且不引起其他节点的路由表重新计算，从而提高网络的稳定性，在网络中多处地方我们采用了设备冗余的方式，它们之间通过HSRP/VRRP的方式达到这种效果。 (4) 路由冗余:网络的结构设计应提供足够的路由冗余功能，在上述冗余特性仍不能解决问题时，数据流应能寻找其他路径到达目的地址。在本网络环境中，网络连接发生变化时，路由表的收敛时间应小于3秒。核心层运行OSPF协议并提供路由的冗余功能。 1.5.1.1 设备冗余备份 设备的冗余备份:主要为了消除单点故障，设备间使用热备份技术(如HSRP/VRRP等)，保证网络及业务的不间断性; 我们在本次网络中对于骨干网节点配置了高可靠设备，并且采用双电源、双主控模块等高可靠冗余配置。关键设备模块部件都支持热插拔、关键模块引擎支持1+1备份。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 设备备份除设备本身的可靠外，还需要设备之间的热备份，只有这样，才能避免单点故障的存在。在骨干设备之间使用双机热备等协议进行设备之间的热备份，以切实保障及提高网络的可靠性。 1、中心节点采用两台核心路由器，运行双机热备的协议，保证广西电子口岸网络平台的数据流能在核心路由设备上被稳定、高效、正确的路由、转发。 2、采用两台核心交换机，配置成双机热备的方式，保障广西电子口岸的数据库服务器接入，当出现单台设备故障的时候，自动切换到正常的备用设备上，保证内部数据库服务器区域相关设备的正常运转。 3、处于网络中心的两台千兆防火墙设备，配置成负载均衡的HA方式(Active-Active方式)，可靠地连接不同的安全区域。 本次广域网和核心局域网的核心设备均采用双机模式，通过双机热备的方式(主备用或负载均衡)，保证基础网络平台的高可靠性、高可用性，避免发生设备单点故障的情况。 1.5.1.2 组网线路备份 广域网互连线路的备份:主要为了保障广西电子口岸网络平台避免链路和线路上的单链路故障，提高网络路径冗余. 分支节点的接入，采用中国电信的SDH传输网数字线路，双线路接入中心节点，通过动态路由协议OSPF的特性，实现两条链路的流量负载均衡和互相备份的效果，这对于确保广西电子口岸网络平台系统的高可靠性、高可用性、高稳定性有着重要作用。 重要设备，如核心防火墙、核心交换机、核心路由器之间的连接线路也采用全连接的方式，确保核心部分不会因为单链路故障使网络中断，导致中断业务的开展。 通过灵活的备份机制及完善的路由技术，可以充分利用备份线路资源，确保网络互联互通的可靠性及使用效率。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1.5.1.3 路由的备份 路由备份:自动选路和迂回，做到当某部分网络出现意外而发生通路切换时，这些操作对上层业务主机是透明的。路由的备份主要通过OSPF动态路由协议的特性来实现，对于静态路由部分，可以采用多条非等值路由来实现。 1.5.2 设备的可靠性 除了在组网上要考虑可靠性外，设备自身的可靠性设计无疑是更为关键的。 提高网络设备的可靠性需要从设备的硬件系统和软件系统两方面考虑。在硬件系统上，提高设备可靠性的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 包括在关键部件上采用大量的冗余设计方式和降额设计方式，对硬件系统的关键部件进行备份，使用正确的制造工艺，对出厂设备进行老化试验;一般情况下，这样的措施能够保证产品的可靠性，但是不排除因为个别器件异常或环境因素的影响，导致产品出现故障，因此需要使用冗余措施来进一步增强设备的可靠性。在使用1+1备份的情况下，设备的可靠性增加50%，因为备份措施比其它措施更能够有效的保证设备的可靠性，所以在要求很高的传统电信设备中，广泛的使用了备份机制来提高可靠性。 在广西电子口岸网络平台设备设计中引入了电信级的设计思想，高端路由器、高端核心交换机均遵循模块化、分布式、热备份、热插拔、软件补丁等设计思想。 下面以核心层设备为例进行说明: 核心高端路由器主控板、交换总线和电源系统等所有关键部件采用冗余热备份设计，支持N+1电源供电，采用分布式路由转发处理引擎，有效隔离网络故障，采用无源背板，支持真正热插拔、热备份，不需重新启动，不影响业务进行。 核心交换设备采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔操作，电源系统采用1+1冗余热备份设计，并支持双路电源输入，支持STP/RSTP协议和双机热备(如:VRRP)协议，系统从电源、硬件和软件二、三层都考虑到冗余备份，能够满足苛刻的电信级别网络可靠性要求。欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 根据国际通用的可靠性计算公式，采用Bellcore TR-332标准的计数法预计器件的稳态故障率，采用可修系统和马尔可夫模型进行计算系统可靠性，并参照MIL,HDBK,472 Maintainability Prediction 中的可修复产品“时间累积预计法”。计算得出S6500R系列交换机的可靠性指标:可用度约为99.99%。 1.5.3 设备的兼容性 广西电子口岸网络平台的构建中所提供的各类设备能够与现有电子专网网络设备能互联互通，具备良好的稳定性、兼容性和可管理性，并能做到与原有网络设备兼容、关键业务运行可以主干网、非关键业务可以运行备份设备和线路，实现自动切换。我公司将在技术上提供相应的技术支持及解决方案。 中心网络核心设备接入: 中心节点网络配置了两台高端的路由器、核心交换机、高端防火墙作为整个网络的核心，大部分设备的选择全部采用统一厂家的品牌，即使采用了不同品牌的设备，此设备的设计也必须要求符合国际标准设计，因此广西电子口岸网络平台设备选择不存在网络设备的兼容性问题。 广域网网路设备的接入: 汇聚层、接入层的网络设备的接入全部采用统一品牌的设备来接入中心节点网络的同一品牌核心设备，所以核心与接入设备，不存在兼容性问题。 1.5.4 双机热备技术的可靠性 在广西电子口岸网络平台中双机热备技术是保证网络正常运行的必不可少的技术手段之一。但在各厂家的网络设备中，他们所使用的热备技术在标准上是统一的、要求达到的技术效果是一样的，只是所使用的名称有所不同。 我们以思科和华为的设备来说: , 思科设备的双机热备技术为:HSRP冗余协议 , 华为设备的双机热备技术为:VRRP冗余协议 以下我们以华为公司的设备采用的VRRP双机热备技术来叙述一下，在广西电子口岸网络平台上的采用双机热备技术在网络上所起的重要作用: VRRP(Virtual Router Redundency Protocol，虚拟路由冗余协议)是一欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 种容错协议，它保证当主机的下一跳路由器出现故障时，可以及时的由另一台路由器来代替，从而保持通讯的连续性和可靠性。为了使VRRP工作，首先要创建一个虚拟IP地址和MAC地址，这样在这个网络中就加入了一个虚拟路由器。而这个网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器(Master)和若干个备份路由器(Backup)组成，主路由器实现真正的转发功能。当主路由器出现故障时，备份路由器成为新的主路由器，接替它的工作。 本次工程建议采用双机热备技术实现交换机设备间的备份，两台的核心交机通过VRRP优先级原理来实现不同业务主走不同的核心交换机，来达到两台核心交换机都有流量，避免一台核心设备出现空闲。 VRRP将主用交换机和备份交换机组成了一个虚拟的交换机。实际上两台设备各自有自己的实际IP地址(假设A交换机的IP地址为10.24.10.2, B交换机设备的IP地址为10.24.10.3)。网络中的主机仅仅知道这个虚拟交换机网关10.24.10.1，而并不知道具体的物理交换机，他们的缺省网关设置为虚拟的IP地址10.24.10.1。于是，网络内的主机就通过这个虚拟的交换机来与其他网络进行通信。在两台核心交换机上启用VRRP协议，对接入业务起到冗余备份作用，同时可以设置VRRP组的优先级来控制不同业务网段主走不同的核心欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 交换机来实现两台核心交换机的业务分担。如下图所示，在A交换机上设置A业务VRRP优先级为120，因为A设备默认VRRP优先级为100，所以A交换机为Master状态，这时A主机业务流的主走A交换机，同理B主机的业务流主走B交换机，来实现不同业务走不同的核心交换机。 而对于这个虚拟交换机则需要进行如下工作: , 根据优先级的大小挑选三层交换机，优先级大的为主交换机，若优先 级相同，则比较接口的主IP地址，主IP地址大的就成为主交换机， 由它提供实际的路由服务。 , 两台核心交换机直接通过互连链路来传递VRRP报文信息，对于某个 业务，B核心交换机作为备份，随时监测主交换机的状态。当A主交 换机正常工作时，它会每隔一段时间发送一个VRRP广播报文，以通 知B备份交换机，A主交换机处于正常工作状态。当B备份交换机长 时间没有接收到来自主交换机的报文，则将自己转为Master状态。 , 同时我们为了保证两台核心交换机进行流量分担，我们可以将业务进 行分类，例如，A业务系统可以通过调整VRRP组的优先级来主走A交 换机，B业务系统主走B交换机，当其中一台主交换机出现问题时， 自动切换到备用交换机设备。 通过上述过程，实现了核心交换机设备间的负责均衡及设备冗余，充分保证网络可靠性。 1.6 网络设备选择 1.6.1 核心交换的选择 广西电子口岸网络平台的核心层设备包括两台核心高性能的交换机、两台高端的路由器、两台千兆防火墙。核心层设备间的传输必须达到1000m的带宽。 作为广西电子口岸网络平台的核心层，负责各种业务数据流量的路由、转发，是整个网络较为核心部分，它的性能、可靠性将极大地影响整个网络的运行情况。核心层的设计和设备选型需要满足高可靠性、高稳定性及高性能等方面的需求。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 对于本网络的核心层的设备建议采用大容量且具备智能的多层交换功能特性，根据网络技术的发展与产品应用的定位，建议核心设备拥有超过128G的高容量，充分满足上千个使用用户的网络需求，同时提供快速的智能处理过程。考虑到将开展视频点播等业务，网络需具有多种宽带实时业务的能力，这就要具有智能多层交换机，进行大量精确的流处理能力。 在设备的处理结构上，要采用结构化的设计，在高速大容量的总线带宽下，还要提供分布式的处理与结构化的设计，核心不允许有集中式处理机制的存在，这样才避免因各别端口的拥塞而导致整个设备失去控制，对于核心的每个模块要支持热插拔，并且根据将来的扩展要预留扩展槽位。为了保证核心网络的高可用性不允许满配置的核心设备对网络的负载进行单一的规模化，在网络的扩展时，核心设备应支持分担负载的能力。这样才能使整个核心网络大大提升工作效率。 对于核心设备的要求如下: , 支持双机备份协议功能:由于区级单位的设备是实现双机备份的，所 以区级单位的路由设备必需支持双机备份协议VRRP等。 , 端口需求:单台设备具有至少3个100Mb/s以太端口分别用于接入局 域网和双机连接，并要求有相应数量的2M数字电路接口模块， , 设备应有可靠性的冗余措施，采用双主控，两个路由交换单元互为备 份;多电源且电源模块相互备份，所有单板支持在线热插拔功能;软 件上支持高可靠性备份技术，包括链路备份、接口备份、路由备份等， 能够提供足够的扩展插槽，便于扩容。 1.6.2 接入交换的选择 从网络实际应用的角度看接入层交换机。其主要职能是将用户数据快速的送往核心网络交换机。对于大容量的核心设备的责任是处理业务流量，保证网络的正常运行，接入层责任就是配合核心设备体现网络价值的一个重要环节。在接入层只作简单的数据交换，使全网的大容量处理、广播抑制、拥塞管理、流控、整体安全等智能功能完全的依赖核心处理，这使核心网络集中实现规模化。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 接入层主要是将各接入节点的局域网内的计算机终端连接到接入交换机上，通过接入路由器汇聚到汇聚节点路由后，连接到区网络中心，因各接入节点的计算机数量不大，传送的数据量不大，对接入节点的交换、路由的要求不高，所以我们只要选择一些中低端的交换、路由设备作为接入层的数据传送就可以满足各口岸的数据传输。但必须使用保证设备的稳定性和设备的可靠性。 接入交换机根据使用的用途不同分为两种，一种为接入服务器系统和接入各口岸汇聚层的的交换机。另外是接入计算机终端的接入层交换机。 1.6.3 核心路由的选择 局中心是广西电子口岸网络平台系统业务的中心点，也是全区广西电子口岸平台系统网的核心。它承担及实现整个网络高性能、高可靠性的数据转发，是网络良好运行的关键。对于广西电子口岸网络这样的星树型结构网络，网络核心系统的处理性能、稳定性等因素决定了整个网络的性能。 对于核心设备的要求如下: , 支持双机备份协议功能:由于区中心的设备是实现双机备份的，所以 区中心的路由设备必需支持双机备份协议VRRP等。 , 端口需求:区局要求有相应数量的2M线路接入模块，具有至少两个 100Mb/s以太端口分别用于接入局域网、双机连接及备用。 , 设备应有可靠性的冗余措施，采用双主控，两个路由交换单元互为备 份;多电源且电源模块相互备份，所有单板支持在线热插拔功能;软 件上支持高可靠性备份技术，包括链路备份、接口备份、路由备份等， 能够提供足够的扩展插槽，便于扩容。 1.6.4 接入路由器的选择 接入层主要是将接入层的数据流量进行转发，一般在这个层次上终结子网，即下接的信息点的网关所在。接入层节点设备处于接入网络的中心位置，必须具备较高的安全性，由于在网络中处于接入层位置，所以在QOS保证、流分类、流量交换、策略路由等方面具备相关机制保证未来业务的开展。 同时，接入层节点通过一条SDH线路连接到汇聚节点上，确保了接入层节欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 点网络部位的高稳定性、高可靠性是保证接入终端正常访问区中心的资源的重要网络设备。 根据需要在进口或国产的知名品牌中选择各种型号的网络产品。详细清单见下表。 核心平台网络设备 设备名称 安装区域 数量 核心交换机 安全内网区 2 核心路由器 DMZ1区域 2 汇聚交换机 DMZ2区域 2 接入交换机 备用 4 核心平台安全设备 设备名称 描 述 数量 安全交换系统 中国电子口岸数据中心统配 2 7个电口10/100/1000M自适应;160万以上并发防火墙 连接;吞吐率1000Mbps，平均无故障时间600002 小时， 漏洞扫描器 1U硬件平台，一个100M以太网口，一个管理口，1 并发15IP扫描，1个连续C类IP段扫描 拒绝服务器攻击设备 1U硬件平台，硬件BYPASS，两个100/1000M以2 太网口，50IP许可证，含一年免费服务 流量管理分析器 Packeteer6500，100M流量管理器，包括4个接1 口，可以监控两对链路 入侵检测系统 1 凭祥口岸平台网络及安全产品 设备名称及型号 描 述 数量 接入路由器 1 中心路由器 1 汇聚交换机 2 接入交换机 20 防火墙 3个电口10/100/1000M自适应;160万以上并1 防火墙 发连接;吞吐率1000Mbps，平均无故障时间 60000小时， 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 第2章 网络安全及管理 2.1 系统业务安全分析 随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏，或被删除或被复制或被篡改和窃取，数据的安全性和自身的利益受到了严重的威胁。 无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息;还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。黑客的威胁见诸报道的已经屡见不鲜，象不久前的中美黑客大战就曾轰动一时。 内部工作人员的不小心甚至充当间谍，据统计分析，70%的安全问题来自于单位内部。内部工作人员能较多地接触内部信息，工作中的任何有意行为或者不小心都可能给信息安全带来危险，这些都使信息安全问题越来越复杂。 竞争对手的非法入侵。现在社会竞争越来越激烈，竞争对手通过网络非法访问对方内部信息的事件也屡见不鲜。 在广西电子口岸网络平台上运行核心业务和经营管理业务系统，存储数据涉及国家核心秘密的信息，若网络系统被非法攻击将会直接影响国家业务并造成损失，核心数据的丢失或泄露，将威胁单位的生存，其影响是难以估量的。 综上所述，整个电子口岸网络必须有足够强的安全措施。无论是在局域网还是在广域网中，安全措施都应能全方位地应付各种不同的安全威胁和系统脆弱性，这样才能确保信息系统的保密性、完整性和可用性。 一般而言，涉及整体的安全技术因素有:网络基础结构、网络安全、操作系统平台安全、应用平台安全、应用数据安全等多个方面，他们之间的关系可以用下图来表示: 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 由上图可知，网络的安全覆盖系统的各个层面，基本可以分为“物理级安全、网络级安全、应用级安全、系统级安全和管理级安全”五个层次组成。在物理层次的安全主要依靠物理线路的可靠保障、维护等措施防护，对于一些不同机密的内外网隔离，可采用一些物理隔离设备实现信息摆渡。而系统级层次的安全主要依靠操作系统的可靠性、漏洞补救、病毒防护等措施保障，该层次的安全性可以结合网络层、应用层和管理层的措施共同防护。 安全体系架构主要由路由器、以太网交换机、防火墙、网管、业务平台多个网络设备支撑，由安全认证、访问控制、过滤检测、扫描、IDS检测、VPN、审计分析、策略服务管理等多方面构成完善的防护体系。 安全认证安全认证 审计分析审计分析访问控制访问控制 SwitchSwitch FireWallFireWall过滤检测过滤检测扫描扫描/IDS/IDS RouterRouter VPNVPN 策略服务策略服务 CA/PKICA/PKI管理管理 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 安全网络体系架构 一个健全的网络安全系统整体安全包括如下几个部分: , 策略安全，包括安全的范围、等级、公司的政策、标准。 , 安全评估，包括威胁评估、漏洞评估、制度评估。 , 物理安全，包括门禁系统、防静电防磁、防火防盗、多路供电。 , 系统安全，包括系统漏洞扫描、系统加固、系统入侵侦测和响应、主 机访问控制、集中认证。 , 网络安全，包括网络漏洞扫描、网络入侵侦测和响应、路由器访问控 制列表(ACL)、集中认证、防火墙、VLAN、QoS、路由欺骗、地址欺骗。 , 数据库安全，包括数据库漏洞扫描，数据库安全管理。 , 数据和内容安全，包括网络和网关式病毒扫描服务、VPN加密。 , 应用安全，包括应用层的数据保密，安全认证(CA)系统，数字签名 所以网络的安全解决方案应该主要从三个层次解决:网络层、应用层和管理层。包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠技术方面的安全保护和管理方面的安全管理进行全面防护。 其中在技术方面主要由数据安全识别、防御、传送、监控四个部分支撑;在管理方面需要进行实时的安全保护、审计、分析、智能管理。此外，仅仅依靠安全技术和安全的管理是无法彻底解决安全问题的，解决安全问题是个循序的过程，还需要对紧急事件进行及时的处理响应并完善更新策略规则，增强整个系统安全性。 2.1.1 安全体系安全因素的划分 从网络、系统和应用出发，网络的安全因素可以划分到如下的五个安全层中，即物理层、网络层、系统层、应用层和安全管理。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.1.1.1 物理层安全 网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用，而造成网络系统的不可用。它是整个网络系统安全的前提。在网络安全考虑时，首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。所以我们在本电子口岸建设的过程中必须要考虑以上方面，保证在物理层方案是足够安全。 2.1.1.2 网络层安全 , 网络传送安全 重要业务数据泄漏:由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。 重要数据被破坏:由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。存储数据对于网络系统来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将导致难以想象的后果，这也是网络犯罪的最大特征。 , 网络服务安全 由于广西电子口岸网络处于一个较为开放的网络环境中，而且该网络是要提高给第三方单为接入，来实现“大通过”业务受理。第三方网络很可能与INTERNET网络进行互连，所以中间业务网络环境的复杂性和开放性成为中间业务网络系统潜在威胁的最大来源。 网络安全不仅来自外部网络，同样存在于内部网，而且来自内部的攻击更严重、更难防范。如果业务系统没有采取相应安全措施，同样是内部网用户的个别员工可能访问到他本不该访问的信息。还可能通过可以访问的条件制造一些其它不安全因素(伪造、篡改数据等)。或者在别的用户关机后，盗用其IP进行非法操作，来隐瞒自已的身份。 网络系统中使用大量的网络设备，如交换机、路由器等。使得这些设备的欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 自身安全性也会直接关系的系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。 2.1.1.3 应用层安全 网络应用系统中主要存在以下安全风险:各业务网之间的非法访问;中间业务的安全;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;由于网络对外提供网上WWW服务，因此存在外网非法用户对服务器攻击。 , 与INTERNET连接带来的安全隐患 为满足部分内部用户上网需求，同时电子报关业务也必须提高给公网用户进行访问，所以网络必须与INETRNET直接连接，这样网络结构信息极易为攻击者所利用，有人可能在未经授权的情况下非法访问应用服务器区域的业务，窃取信息同时由于二者之间尚无专门的安全防护措施，服务器主机所提供的网络服务也极易被攻击者所利用，发动进一步攻击。 , 身份认证漏洞 服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。 , 高速局域网服务器群安全 广西电子口岸网络内部部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是网络的基本安全需求。对于各种各样的网络攻击，如何在提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段，是一项需要解决的问题。 与普通网络应用不同的是，业务系统服务器是网络应用的核心。对于业务系统服务器应该具有最高的网络安全措施。业务系统服务器面临以下安全问题: (1)对业务服务器的非授权访问 (2)对业务服务器的攻击 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— (3)业务服务器的带宽要求 (4)业务系统服务器应保障: 访问控制，确保业务系统不被非法访问，业务系统资源不被其他应用非法占用。 数据安全，保证数据库软硬件系统的整体安全性和可靠性和数据传输的安全性。 入侵检测，对于试图破坏业务系统的恶意行为能够及时发现、记录和跟踪，提供非法攻击的犯罪证据。 来自网络内部其他系统的破坏，或误操作造成的安全隐患。 对业务服务器信息流应有相应的审计功能。 , 内部管理服务平台的安全分析 管理公用服务平台指由网络提供给网内客户的公共信息服务，公用服务平台有可能受到来自内部网络人员资源非法占用和做攻击性测试。 公用服务平台的安全要求: 访问控制 (1) (2) 服务器实时安全监控 (3) 应用系统的通讯安全 2.1.1.4 系统层安全 系统级的安全风险分析主要针对专用网络采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。专用网络通常采用的操作系统(主要为UNIX)本身在安全方面有一定考虑，但通常服务器、数据库的安全级别较低，存在很高的安全隐患。 2.1.1.5 管理层安全 安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等)，无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 和管理解决方案的结合。 2.2 安全建议 针对上述对网络安全全面的分析，在此次广西电子口岸网络平台中应该要对以下几方面考虑安全: , 需要对不同业务之间进行访问控制，避免一些非法用户越权操作;考 虑网络设备的安全管理、路由的安全设计、接入用户的安全控制; , 建议在整个网络中部署防病毒系统，因为目前病毒是网络危害的一大 杀手，往往一台电脑感染病毒，将会对影响到整个网络; , 建议在网络中部署流量管理系统，来确保关键业务的正常带宽，同时 通过流量管理系统我们可以清楚的知道网络中的流量类型，流量的发 起者与接收者; , 整个网络的安全域划分，当然更少不了防火墙，通过防火墙来控制不 同区域之间的互访关系。重要业务布放在安全级别高的区域;我们建 议在整个广西电子口岸的网络规划中将分成四个的区域，即内部区域 (核心数据库区域)、DMZ1区域(各电子口岸分支)、DMZ2区域(应 用服务器区域)、公网区域(INTERNET); , 同时建议在关键业务区域部署入侵检测系统(NIDS)和漏洞扫描系统， 用来监控核心业务是否被非法访问，时时刻刻检测我们关键业务系统 存在的漏洞; , 在公网出口处部署抗拒绝服务设备(DDOS)，来确保内部应用系统的 安全; 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——各个业务之间的互访 在路由器、三层交换机等三层设备上，都会有各个VLAN对应逻辑IP接口作为该VLAN的网关，将VLAN终结。默认情况下，VLAN与VLAN之间就可以通过三层设备上的网关实现互通。 按照VLAN的规划，一个业务系统对应一个VLAN，不同业务系统的VLAN必须作隔离，例如网管VLAN的终端只允许访问网管服务器，OA系统VLAN的终端只允许访问OA服务器，电子报关系统VLAN的终端只允许访问报关系统服务器等等。 VLAN之间的通信是通过三层设备实现的，因此我们可以在三层设备上相应VLAN的逻辑IP接口上应用IP访问列表(IP ACL)即可隔离VLAN之间的双向、单向的互访通信。 2.2.2 阻止网络蠕虫病毒 针对流行的网络蠕虫病毒的特征，在各相应的路由器和三层交换机上采用相应的IP ACL封闭相应的四层通信端口，阻断蠕虫在网内传播泛滥。 2.2.3 网络安全设计 2.2.3.1 网络的可靠性 网络安全是一个很广的概念。从组网结构上看，要求重要的骨干路由器和交换机通过双归属星形连接，使得任意一条连接出现故障时，可以通过另外一条连接提供服务，而不会导致服务暂停。 在设备配置时，骨干层设备采用双主控、双电源、双交换网实现冗余备份，故障时能够自动倒换，并支持热插拔和更换。倒换时不影响转发。同时支持HSRP(Hot Standby Router Protocol)/VRRP(Virtual Router Redundancy Protocol，虚拟路由器冗余协议)，以实现双机热备份。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.2.3.2 设备管理安全 设备级安全主要指保障设备配置不被非法篡改或者查阅。实现此级安全的措施包括如下几方面的建议:串口配置LOGIN口令，系统配置ENABLE口令，配置TELNET登录口令，广域网口配置列表过滤非指定地址段的TELNET请求。 在广西电子口岸网络中通过以下的手段来保障远程用户的访问内网的安全: , 建立系统管理员的登陆权限; , 配置设备的登陆密钥; , 建立访问控制列表(ACL)来限制用户的远程访问; , 必要时可通过对远程登陆用户密钥进行加密来保障网路的安全; , 设置路由器、交换机的Consle口登录认证密码。 , 从防攻击看，关闭不必要的服务，如Finger、BOOTP、DHCP。 在广西电子口岸网络中我们通过设置登陆用户的不同权限来保障设备配置不被非法篡改，我们把用户的权限分为几个等级:如: , 一级的系统管理员有登陆电子口岸平台核心、各电子口岸分支机构、 各接入点路由器、交换机和修改系统配置的等所有的超级用户的权限。 , 二级的系统管理员有登陆各电子口岸分支机构、各接入点路由器、交 换机和修改系统配置的的权限，但他不具有登陆核心平台路由器和修 改电子口岸的路由器的用户权限。 , 三级的系统管理员有登陆各接入点路由器的权限，但他不具有修改路 由器和登陆其他路由器的用户权限。 , 将网络设备上的事件记入日志。 , 对用户操作进行审计，用户分级分权，不同级别的用户可以访问和管 理不同的网络资源。 2.2.3.3 路由安全设计 从路由协议上看，要求网络运行动态路由协议。路由设备在交换路由信息时必须经过验证。验证应该使用加密方式。此次整个网络建议使用OSPF动态路由协议，路由安全总体来说就是路由设备在交换路由信息时必须经过验证，欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 而且是MD5密文验证。把不需交换路由信息的运行OSPF的端口指定为Silent状态，该接口的直连路由仍可以发布出去，但接口的OSPF呼叫报文将被阻塞，接口上无法建立邻居关系，这样可以增强OSPF的组网适应能力，减少系统资源的消耗。 通过使用OSPF邻居验证，可以加强OSPF路由发布的安全级别，避免一些恶意的路由发布到整个网络，如果其他网络中一台路由器启动OSPF，该路由器在不知到OSPF认证密码的的情况下，该路由器是无法与平台中其他路由器建立邻居，从而该路由器上的路由器信息就不会发布到整个网络当中，引起路由的混乱。因为广西电子口岸网络是一个综合并且复杂的网络，与其他单位存在很多的互通，所以OSPF启用认证加密是非常重要的。 2.2.3.4 用户接入安全 通过划分VLAN的方式，将不同业务网络与个人用户二层分离;通过配置NAT、包过滤或防火墙等功能，限制各网络三层之间的相互访问。 用户接入我们可以采用VLAN+MAC+IP绑定，就是为了防止用户私设IP地址，非法接入网络的现象。传统的路由器和交换机一般都允许用户使用静态IP地址，而且对用户IP地址的分配和使用不做监控。为用户建立IP+MAC+VLAN的绑定关系，用户非法配置IP地址，也不能上网。这就在一定程度上保证了网络的安全性。 2.3 防病毒系统设计 2.3.1 计算机病毒的发展趋势 网络是病毒传播的最好、最快的途径之一，病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入业务网络。病毒的传播途径如此众多，传播速度如此之快，因此，病毒的危害是不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有可能受感染的主机，可能造成信息泄漏、文件丢失、机器宕机等不安全因素。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 广西电子口岸网络平台中存在大量的Windows平台主机，这就不可避免的会面临病毒特别是网络型蠕虫病毒的安全威胁。一旦遭到网络型病毒的感染，受感染主机所发送的数据包可能在很短的时间内填满业务网络，会对整个网络的正常运行带来极大的影响。 因此，必须在病毒可能进入网络的各个通路对病毒进行有效查杀，并通过其他技术手段提高网络中Windows平台主机的系统安全性和健壮性，避免网络遭受病毒的攻击。 在现今的网络时代，病毒的发展呈现出以下趋势: , 病毒与黑客程序相结合 , 蠕虫病毒更加泛滥 , 病毒破坏性更大 , 制作病毒的方法更简单 , 病毒传播速度更快，传播渠道更多 , 网关防毒已成趋势 , 网络层病毒的防范越来越迫切 2.3.2 病毒入侵渠道分析 目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。正如一个国家如果只让每个公民进行自我保护是低效和不可控制的，必须设立专门的机构，对进入本地的人员进行检查，以便将外来的威胁阻止在本地的入口。因此，对于每一个病毒可能的入口，部署相应的防病毒软件，实时检测其中是否有病毒，是构建一个完整有效防病毒体系的关键。 , 来自系统外部(INTERNET或外网)的病毒入侵:这是目前病毒进入最 多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高、耗 费资源最少的措施，可以使进入内部系统的病毒数量大为减少。 , 内容保护:由于目前邮件系统的使用异常方便，造成了用户很容易在欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 不经意间将重要的、机密的或是不当的信息通过邮件发送出去;另一 方面，来自INTERNET上的垃圾邮件也到处都是，导致大量宝贵的 带宽消耗在无谓的数据交换上，用户还需要花费大量的精力和时间去 处理垃圾邮件，大大抵消了互联网给人们带来的工作、生活便利。因 此不仅过滤邮件中可能存在的病毒代码，同时对往来邮件内容进行过 滤也变得日益重要起来。 , 移动介质:随着U盘、光盘刻录设备的普及，最终客户进行的海量数 据移动更加辩解，除去存在已久的文件型病毒能够借助该途径进入网 络外，新兴的网络蠕虫类型病毒、黑客代理程序等有害代码，也越来 越多地借助该途径进入网络。 , 电子邮件:当前的病毒大多具有自行搜索地址簿并发送带毒邮件的特 性。当INTERNET出现新病毒的时候，用户将面临大量染毒邮件的 攻击，一旦有一只病毒实例进入网络，将迅速以各种方式感染网络中 的其它计算机，并形成难以遏制的病毒爆发风暴。 , 系统漏洞:从目前的统计来看，病毒利用系统或应用程序漏洞进行攻 击已成为网络系统的安全大敌，从2001年的红色代码、尼姆达，到 2003年的蠕虫王、冲击波，每一次病毒的泛滥，都对全球网络形成 极大的破坏，虽然它不象传统病毒会破坏文件，但它却可以在短时间 内将整个网络系统瘫痪; , 网络共享:网络中数以千计的设备中出于管理、应用、测试等多种目 的，存在着大量的网络共享，虽然绝大部分的客户遵循管理 规章制度 食品安全规章制度下载关于安全生产规章制度关于行政管理规章制度保证食品安全的规章制度范本关于公司规章制度 ， 对网络共享进行了密码和权限的保护，但是，伴随着病毒传播的隐蔽 性加强和对系统漏洞的利用，共享依然是网络病毒感染的一条主要途 径。 , 管理不统一:由于各下属单位网络建设和应用发展的不一致，导致防 毒产品、防毒策略、管理规章都存在很多不统一的地方。这种情况是 防病毒工作的大敌，千里之堤，溃于蚁穴，任何一个节点被突破都会 给网络整体性能带来巨大的危害。例如 “MYDOOM”病毒、“米虫”病 毒、“冲击波”病毒，染毒的客户端会不停地发送垃圾数据到网络上， 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 形成一台机器感染，整个网络瘫痪的恶果。 2.3.3 广西电子口岸网络基本情况 广西电子口岸网络结构非常复杂，除了拥有自身的业务系统，还有其他系统单位的应用服务，同时包括对外部企业用户(INTERNET用户)实时提供服务的应用窗口。因此，必须对整个网络安全方面高度重视。广西电子口岸网络平台方面对此投入了很大的资源。包括像高端交换机的双链路冗余、防火墙的冗余、IDS设备等等安全设备，以确保企业网络的安全。 广西电子口岸网络平台最核心的部分是两台高端的数据库服务器及其后的磁盘阵列，所有相关的应用业务数据都会通过链路集中在这里。根据目前网络情况考虑，建议着重在这里部署了相关的安全产品及方案，包括IDS、防火墙、双链路备份等，以此确保数据的稳定性。 由于广西电子口岸网络平台与INTERNET以及办公网存在网络的连接，因此，来自INTERNET以及内部办公网络的网络病毒依然威胁着广西电子口岸网络平台运行的稳定性。 2.3.4 整体防毒设计思想 本建议书是针对目前广西电子口岸网络现状，结合我们在防毒领域的经验提供的整体防毒系统建议。主要对广西电子口岸网络现状、病毒主要入侵管道、病毒主要集散地、部署哪些产品及如何部署、如何管理等方面作了说明，我们非常期望通过双方密切的合作，在广西电子口岸网络构建一个严密的整体防毒系统。 本建议书详尽描述了企业级防毒产品为广西电子口岸网络构建的整体防毒系统，在方案设计中我们贯彻了如下七点整体防毒的基本思想: , 防毒一定要实现全方位、多层次防毒。我们根据广西电子口岸网络的 实际情况，部署了多层次病毒防线，分别是应用服务器防毒、客户端 防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面 防范; , 网络层防毒是整体防毒的高效防线。在本方案中，我们将网络病毒的欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 防范作为最重要的防范对象，通过在网络接口和重要安全区域部署网 络病毒网关，在网络层全面消除外来病毒的威胁，使得网络病毒不能 再肆意传播，同时结合病毒所利用的传播途径，对整个安全策略进行 贯彻。 , 防毒不能完全依靠病毒代码，要实现对病毒发作整个生命周期的管 理。当一个恶性病毒入侵时，整个防毒系统有完善的预警机制、清除 机制、修复机制来保障病毒的高效处理，特别是对那些利用系统漏洞、 端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。即防 毒系统在病毒代码到来之前，就可以通过可疑信息过滤、端口屏蔽、 共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控 制，使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除 与修复阶段又可以对这些病毒高效清除，快速恢复系统至正常状态。 , 没有管理的防毒系统是无效的防毒系统。在网络中，我们构建了跨广 域网的集中管理系统，保证了整个防毒产品可以从管理系统中及时得 到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器 对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理 人员随时管理，保证整个防毒系统有效、及时地拦截病毒。 , 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后， 能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服 务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为 基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管 是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快 速的分析和方案提供，可以全面满足广西电子口岸网络多层次的服务 要求。 2.3.5 防毒部署产品 目前市场上有诸多防毒产品，如趋势科技、赛门铁克、喀吧斯机、瑞星、 冠群金辰等。在此次防病毒产品部署中我们可以采用趋势科技的产品也可以采 用赛门铁克产品。这两个都是国际大品牌，在防毒领域一直处于世界的前列。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.3.6 防毒具体部署 在应用服务器区域(DMZ2)区域部署一套防病毒服务器，做为整个防病毒系统的管理、控制策略下发。同时在各分子节点部署客户端软件，在核心服务器、应用服务器区域部署专有服务器客户端软件。客户端软件部署方式可以通过Web安装、FTP下载安装、服务器推送安装等方法。在中心服务器会配置相应策略，定时自动从互联网进行病毒库更新，内部客户端，通过配置策略定时从中心服务器下载更新病毒库软件，考虑带宽问题，我们可以将更新策略制定在晚上，如果分支机构接入客户端达到一定数量的情况下，可以在分支级别部署二级服务器。二级服务器主要负责管理当地分支机构的客户端，包括策略、病毒更新等。同时病毒服务器发现客户端感染病毒，该病毒防护系统具有主动屏蔽病毒客户端通信功能，阻止病毒向网络扩散。 2.3.7 防毒系统总体部署示意图 防病毒产品部署示意图 服务器客户端Internet 数据库服务器备份服务器DMZ2区域 病毒代码、补丁以及集中管理服务器安全策略等自动下发内网区域一级服务器核心交换机病毒事件报警 服务器客户端服务器客户端 二级服务器二级服务器DMZ1区域二级服务器 客户端防毒客户端防毒客户端防毒 各分子口岸N各分子口岸1各分子口岸2 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.4 网络流量管理设计 随着计算机网络技术和互联网的飞速发展,网络数据海量增长,这就给网络带来很大压力,面临着严峻的挑战。对广西电子口岸网络平台来说，目前普遍缺乏对异常网络流量的主动鉴别的能力，需要一种更好的方法来测量，图像化，并且保护我们的网络，为广西电子口岸网络平台及其他用户提供优良的网络性能。 通过对整个广西电子口岸网络业务类型和网络结构的分析，我们总结出广西电子口岸的流量分析的安全需求如下: , 网络流量分析系统所能对网络流量进行细致的分析 因为广西电子口岸网络平台将承载各种业务，系统流量比较复杂，带宽占满以及异常流量问题会影响我们的重要业务，所以网络流量分析工具要能对目前的网络流量进行细致有效的分析，以指导我们及时采取有效的安全措施。 , 要求能够做到针对带宽进行流量分析 “大通关”业务飞速发展，对带宽的需求也日趋严峻，所以要求网络流量分析系统能够对整个电子口岸网络的带宽利用进行有效分析，得出不同分支、不同业务系统的网络带宽现状，从而为整个网络进行带宽优化提供有力的依据。 , 要求根据网络流量分析的结论能对现有网络的扩充进行指导 网络流量分析要能够对广西电子口岸网络平台整个网络业务系统的流量的增长进行统计，得出网络业务系统增长规律，从而更好指导业务系统的设备和规模扩充。 2.4.1 流量监控简介 经过多年来的信息化建设和网络建设，已经具备了从网络最底层物理层的硬件如主机、网卡、光纤、铜线;到第二层的以太网、帧中继、DDN等;到第三层的路由;到第四层的负载均衡;到第五层的安全设备等各层次的基础设施。网络最后需要完备的基础设施就是第七层。 第七层网络基础设施敷设的目的是要使网络上流动的各种应用有序合理欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 地使用资源，保障广西电子口岸网络平台最关键业务能全天候顺畅运行，新业务实施能顺利完成，突发异常流量得以受到及时预警和抑制，非关键和娱乐性流量得以受控，使网络资源远期规划更合理、更具前瞻力、更简易、更节省，使资源使用与广西电子口岸网络平台业务发展有机相符。 以上战略性思维可在—TCP整流技术(TCP Rate Shaping) 的实施应用中得以很好的实现。在此结合我们对广西电子口岸网络平台业务和网络的现状和可能的发展需要的有限了解，尝试向广西电子口岸网络平台提出我们的解决方案。在此我们推荐使用流量监控技术。TCP整流技术是通过对TCP滑动窗口的尺寸和TCP确认封包时延的精确控制，达到了对TCP突发特性的调控。这个技术对网络中每对对话的信息源进行流量监听、跟踪、计算和干预，对信息源向网络所发送信息的量、发送时间和频率进行控制，从根本上解决网络的阻塞问题。 经过TCP整流技术处理后的信流变得很平滑，不再严重突发影响其他信流，传输效率大大提高，使广域网资源得到充分利用。由于TCP整流技术不采用队列技术，大大地减少了信息包的丢失，降低了信息包重发率。利用TCP整流技术，网络中所有机器的发送量都受到统一控制，从路由器流过的流量如果被控制到与广域网瓶颈带宽相一致，路由器上再不会有大量的队列，这就减轻了路由器的负担使信息包通过路由器的所需时间大大减少。 2.4.2 需求分析 2.4.2.1 潜在的问题 目前网络的带宽可以满足现有业务的需要，并不意味着现有网络资源的使用是合理的。而且，随着新业务的增加，一些潜在的隐患也会随之而显现。我们不想看到出现一个新问题就给网络新打一块补丁的情形继续下去。所以我们考虑的是利用现代化管理技术搭建一个坚实的舞台，好让广西电子口岸网络平台根据业务发展不同时期出台的各项目能在这舞台上很好地演绎。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.4.2.2 网络的关键应用得不到保障 广西电子口岸网络平台的某些应用是要考虑响应时间的，比如报关业务。业务量很大，需要有效的数据库系统，否则效率就会受到影响。关键应用得不到网络平台的很好保障，也是目前网络中的一个隐患。而最值得注意的是，关键业务并不是由于真正业务量大或者是更重要的业务而受到影响，而是由于被很多无价值，突发的数据业务影响。 2.4.2.3 分析结果 根据上面分析的情况，并结合广西电子口岸网络平台的战略思想和精神，我们可以大致地做出一个需求分析: , 必须满足广西电子口岸网络平台网络现状，无须改变网络结构; , 对关键业务应用能够具有可视能力，区分所有应用类型; , 具备对关键应用的运行性能进行保障的能力，并对未被批准的应用进 行抑制，而不需使用行政手段; , 能为今后业务发展提供依据; , 能够为广西电子口岸网络平台的安全问题提供依据; 因此，在业务上，这张网应该是可以满足多种媒体需求的网; 其次，在管理上，要能够高效地为业务提供服务和保障;例如:优先保证主营业务的资源占用，其次满足管理等其他业务的资源占用。 此外，还应该根据具体的应用特性，合理地调配网络资源的使用，将应用和网络基础资源紧密地结合在一起。 2.4.3 针对电子口岸网络的解决方案 2.4.3.1 高可扩展性 在本次建议中，我们不但要考虑现在广西电子口岸网络平台的基础设施状况和应用环境状况，而且应该考虑未来几年内，尤其是新平台搭建之后对网络方面的需求。使得我们在一开始就要主动做一个具有整体性和前瞻性、能够快欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 速适应变化的平台，自然也就脱离了“只见树木，不见森林”的老路。 2.4.3.2 我们的建议 对于广西电子口岸网络平台这样一张拓扑复杂，应用繁多的业务支撑网，想要一天解决所有的问题是不可能的。因此，我们建议，可以分成四步走，第一步，先通过在网络的部分主要节点部署流量管理设备，对整个网络的流量进行分类;第二步，需要根据第一步监测到的流量信息，进行分析，甄别导致整个业务效率低下的问题，包括应用方面的问题和网络方面的问题;第三步，根据分析的结果，对症下药，在网络相应节点增加部署，并设置相应的策略，以解决现有的问题，提高业务的使用效率;最后，可以通过报表反映修复过的网络和应用情况，并不断重复以上三步，保障网络和应用的“健康”。 2.4.3.3 安全控制 流量管理运用基于网络七层的强大分析能力对所有经过其设备的流量进行详细分析，一旦发现可疑现象(流量或应用)，可快速使用流量管理设备的强大控制能力进行抑制，此时我们可以不用考虑是哪种病毒或攻击(因为此时病毒或防攻击还没有发布升级补丁)，只要碰到类似流量就进行控制，防止该类流量通过网络快速扩张感染。由于使用七层分类技术，所以对于原有的网络应用又能够保证其顺畅穿越网络，保障通讯线路畅通。 2.4.3.4 具体部署 根据此次广西电子口岸网络平台规划的考虑，我们建议在整个网络出口处部署流量管理系统。如下图所示: 欢迎加入豆丁社区管理资料团—— 广西电子口岸网络平台(使用) 中国电子口岸门户网站中国电子口岸应用系统盘阵系统带库系统 更多资料请访问豆丁达人冰川主页—— 国家电子口岸区域 安全交换系统MQ通讯服务器 电子帐册通讯服务器应用服务器电子帐册通讯服务器 备份服务器QuickPass服务器数据库服务器QuickPass服务器 IDSSDH 核心交换机DMZ2区域2M广西电子口岸专网区域 核心防火墙系统GE公众用户 GE10M/100M内网区域 DMZ1区域因特网GE,10M/100M 流量管理设备公网区域核心路由器 企业用户 SDH 2M2M2M 接入路由器凭祥节点接入路由器接入路由器汇聚交换机 交换机N×2M交换机2MSDH2M2M局域网接入交换机局域网 检验检疫、边防等18个相关部门单位和25个口岸现场前置货场友谊关联检楼检验检疫、边防等口岸单位南山物流园 如上部署是通过以下分析得出，考虑到目前广西电子口岸网络平台对于电子口岸专网与应用服务器的带宽访问将是十分充足的，同时各口岸分支机构的报关业务的在2个2M的带宽下也是可以得到保障的。所以我们认为整个专网带宽质量是可以保证的，目前最关键的是此次建设的网络平台将要为公众用户和企业用户提供“大通关”业务受理，所以出口链路的带宽一定要得到保障，包括对出口链路的承载了那些流量，是那些外网用户在访问我们的核心应用系统，是正常的业务访问还是非法的工具流量，我们都必须十分清楚。在网络规划中，如果广西电子口岸网络平台允许各分支口岸访问INTERNET应用，我们建议各分支口岸机构统一从中心节点访问INTERNET，统一整个网络的出口是减少风险的重要手段之一。从而更加要保证出口网络的带宽，监控各分支机构的上网需求，对于一些非法的流量要进行杜绝，通过杜绝非法下载流量来保证我们分支机构上行链路业务的带宽需求。所以在整个网络的出口处部署流量管欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 理系统去减少非法流量影响到“大通关”业务非常关键。 2.5 防火墙系统设计 目前，针对企业网络系统的网络攻击事件越来越多，一方面黑客利用各种病毒和专用工具进行攻击，另一方面，内部人员和外部人员串通进行破坏活动。从网络层面分析网络安全现状，为了确保广西电子口岸网络平台上承载的业务系统安全稳定的运行，我们建议在不同安全区域之间部署两台防火墙。 2.5.1 防火墙的部署策略 对于一个复杂的网络而言，仅仅依靠单点的网络访问控制是不能满足实际需求的，最好是进行多点的、立体的网络访问控制。防火墙其时就是典型的安全域划分控制的重要工具。 2.5.1.1 安全域划分方法 安全域划分是根据信息系统中不同安全等级进行的区域划分，边界整合则是将功能类似的安全域的边界进行统一，加强管理。安全域划分和边界整合都基于信息系统的安全等级划分。 本次广西电子口岸网络系统安全域划分工程中的安全域可分为安全计算域、安全用户域和安全网络域，其中，安全计算域的安全等级是确定一个信息系统安全保护和等级划分的基础。 2.5.1.2 安全计算域 安全计算域是在局域范围内存储，传输、处理同类数据，进行相同安全等级保护的单一计算机(主机/服务器)或多个计算机组成的计算域，不同数据类在计算机的上分布情况，是确定安全计算域的基本依据。 根据计算域，可以将计算机系统划分为核心处理区域、访问区域，这些计算域可以访问的数据如下: 公开数据 内部数据 重要数据 安全等级 核心处理域 集中存储、处理 高 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 访问域 数据浏览 数据交互 低 2.5.1.3 安全用户域 安全用户域是能访问同类数据的用户端计算机、需要进行相同级别保护的用户域，安全用户域的划分应以用户所能访问的计算域中的数据类和用户计算机所处的物理位置来确定。能访问同类数据，并且物理位置较近的用户端计算机，可以组成一个安全用户域，以便于进行相同级别的安全保护。安全用户域的安全等级与其所能访问的安全计算域的安全等级有关。当一个用户域中的端计算机只能访问一个安全计算域时，该用户域的安全等级应与这些计算域的最高安全等级相同。安全用户域应有明确的边界，以便于进行保护。根据用户域，可以将计算机系统划分为管理员域、内部用户域、外部用户域。 公开数据 内部数据 重要数据 安全等级 管理员 ? ? ? 高 内部用户 ? ? 中 外部用户 ? 低 2.5.1.4 安全网络域 安全网络域是由连接具有相同安全等级的计算域和(或)用户域组成的网络域。网络域的安全等级的确定与网络所连接的安全用户域和(或)安全计算域的安全等级有关。当一个网络所连接的计算域和(或)用户域具有单一安全级别时，该网络域的安全等级应与该安全等级相同;当一个网络所连接的计算域和(或)用户域具有多安全级别时，应尽量组成不同安全等级的网络安全域，为这些计算域和(或)用户域中的不同安全级别提供不同的支持;如果确实无法分别提供支持，则应按这些计算域和(或)或用户域中的最高安全级别提供安全支持，组成与最高安全级别相同安全等级的网络安全域。根据网络域，可以将计算机系统划分为内部区、接入区和外部区。 公开数据 内部数据 重要数据 安全等级 内部区 ? ? ? 高 接入区 ? ? 中 外部区 ? 低 针对上述安全域划分原则，建议首先在INTERNET与内部网络之间放置防火墙，主要控制互联网对DMZ服务区的访问以及对内部网络的访问，由于公网欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— IP资源有限，而且为了防止INTERNET对内部网络直接发动网络攻击需要隐藏内部网络地址，需要在内部网络和INTERNET之间做NAT，防火墙要具有NAT技术。同时为了将应用服务器与各分支节点进行划分，分别设在DMZ1区域与DMZ2区域。 针对广西电子口岸网络系统的环境，整个网络分成4个区域，内网区域(核心数据区域)、DMZ1区域(各分支区域)、DMZ2区域(应用服务器区域)、公网区域(INTERNET);其时这四大区域就是我们常说的安全域划分。我们可以通过下表得出互访关系，在默认情况下低级别是不能访问高级别，高级别是可以访问低级别。 区域 核心数据区 应用服务器区分支机构区公网区域 安全级别 域 域 1级 2级 3级 4级 核心数据区为1级、应用服务器区域2级、分支机构区域为3级、公网区域为4级; 为了达到防外抑内(针对非法访问)的安全目标，在内部网络还要实行更为细致的网络访问控制。 建议:在核心数据区域与分支口岸、应用服务器区域、公网区域的汇聚处，部署两台千兆防火墙，以Active/Active方式实现负载分担和业务备份，是通过两组VRRP组来实现该功能。在防火墙配置严格的访问控制策略，严格限制各区域之间的数据交互，可以防止来自于外部网络访问或者恶意攻击;设计了两台防火墙的Active/Active部署，可以保持网络的高可用性，即便保证一台防火墙故障的情况下，仍然能够进行正常的数据传输。同时借助在出口处的DDOS设备将一些非法流量进行过虑，使防火墙功效得到最大释放;并且在防火墙的策略设计上，应该严格遵循业务系统之间的访问控制关系和数据流走向，访问控制策略尽量细化，以保证接口访问控制的有效性和严格性。 注:根据目前网络架构分析，防火墙是网络中核心数据交换与核心路由转发的关键欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 点，所以该防火墙必须采用性能极高的型号，从而来保证整个网络的可靠性。 防火墙部署图: 中国电子口岸门户网站中国电子口岸应用系统盘阵系统带库系统 国家电子口岸区域 前置服务器应用服务器安全交换系统MQ通讯服务器电子帐册通讯服务器电子帐册通讯服务器备份服务器QuickPass服务器数据库服务器QuickPass服务器 漏洞扫描 SDH核心交换机2MDMZ2区域广西电子口岸专网区域IDS核心防火墙系统GE公众用户 防DOS/DDOS系统GE内网区域 DMZ1区域因特网GE10M/100M 流量控制系统核心路由器公网区域企业用户 SDH 2M2M2M 接入路由器凭祥节点接入路由器接入路由器汇聚交换机 交换机N×2M交换机2MSDH2M2M局域网接入交换机局域网 检验检疫、边防等18个相关部门单位和25个口岸现场前置货场友谊关联检楼检验检疫、边防等口岸单位南山物流园 2.5.2 防火墙的配置策略 防火墙必须能够建立多个安全级别不同的安全功能区域，而且能够对不同安全级别区域之间的访问做不同的访问控制，在防火墙上面，这些访问控制是通过安全策略的设定来实现的，通过安全策略可以实现自己制定的网络安全策略。防火墙策略的制定要在具体的网络安全策略指导下完成。进行防火墙墙策略设定时，需要从下面几个方面考虑: , 因特网(公网区域) , 应用服务器区(DMZ2) , 分支口岸(DMZ1) 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— , 核心数据库(内部区域) 2.5.2.1 应用服务器(DMZ2)和核心数据库(内部区域)之间 应用服务器区域只能通过固定端口对内部核心服务器发起主动访问，内部核心数据库网络只能访问应用服务器区域的固定主机的某些服务(应用服务以及一些管理端口)，其他的访问都要禁止。 2.5.2.2 分支口岸(DMZ1)和核心数据库(内部区域)之间 分支口岸网络是禁止访问核心数据库网络，数据核心网络也不能对分支口岸网络进行任何访问，也就是两者之间是完全禁止。 2.5.2.3 INTERNET(公网区域)与核心数据库(北部区域)之间 公网与核心数据库之间是完全禁止，不开放任何访问权限。 2.5.2.4 分支口岸(DMZ1)和应用服务器(DMZ2)之间 分支口岸区域只能通过固定端口对应用服务器发起主动访问，应用服务器不能主动向分支口岸发起访问，其他与业务无关的访问都要禁止。 2.5.2.5 分支口岸(DMZ1)和INTERNET(公网区域)之间 分支口岸区域是能够访问公网区域，但是公网区域是不能主动向分支口岸区域发起访问，同时为了控制上网，在防火墙上只开放某些不需的端口，其他非常的访问都要禁止。 2.5.2.6 INTERNET(公网区域)与应用服务器(DMZ2)区域之间 公网是能够访问应用服务器区域的门户网站，而且只能通过固定的端口，其他应用全部关闭。应用服务器区域是禁止主动向公网区域发起访问请求。从而提高应用服务器区域的安全性。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.5.3 防火墙系统的管理策略 对于防火墙本身的管理也是防火墙自身安全的一种加强方式，可以允许不同的用户进行安全级别不同的操作，比如根管理员、可读写管理员、可读管理员，通过对管理员进行权限分配，能够保证防火墙本身的安全。另外也可以允许不同的用户通过不同的方式进行管理，比如通过WEB GUI、TELNET、SSH等不同的方式，或者是本地管理、远程管理等等。虽然可以进行管理的方式很多，但是为了管理方面的安全性，只允许内部网络的某台安全管理主机对防火墙进行管理。 防火墙设备可以通过配置，从而使用本地数据库或者一个或多个外部认证服务器验证用户。远程认证拨号的用户服务 (RADIUS) 是一个用于认证服务器的协议，它最多可支持几万个用户。RADIUS 客户端通过客户端与服务器之间的一系列通信对用户进行认证。通常， RADIUS 会要求登录人员输入其用户名和密码。然后，它将这些值与其数据库中的对应值比较，用户通过认证后，客户端即允许其访问相应的网络服务。要针对 RADIUS来 配置防火墙 设备，必须指定 RADIUS 服务器的 IP 地址并定义共享机密 — 与 RADIUS 服务器上的定义相同。共享机密是一个密码， RADIUS 服务器用它来生成密钥，以便对 防火墙和 RADIUS 设备之间的信息流进行加密。 2.5.3.1 防火墙系统的日志管理策略 对防火墙产生的日志进行有效管理对于安全应用来说很重要，防火墙处理大量网络流量所产生的日志也是很庞大的，防火墙本身的存储空间肯定不能满足安全策路对日志记录的要求，所以防火墙要具有专门的工具来进行日志记录，能够对日志数据进行专门的存储，能够提供管理和分析查询的功能。 2.6 入侵检测与扫描系统设计 2.6.1 IDS系统的目标策略 在攻击与防御的较量中，实时监测(D)是处在一个安全动态防御体系欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— (P2DR)中核心的地位。在实时监测中，入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。 在该网络系统采用IDS系统的主要策略为以下三方面: , 针对网络系统的黑客入侵、非法访问、误操作、危害国家安全的信息等威 胁采用IDS系统进行侵入自动发现、实时监控和报警的策略。 , 采用有效方法提高信息安全事件的发现效率，减少误报率和漏报率策略。 , 提高安全事件判定的准确率，有效地判定攻击行为/事件类型、方式、危害 程度、来源等的策略。 2.6.2 IDS系统的使用策略 入侵检测系统是动态安全模型中唯一一个全天候运行的系统。利用入侵检测系统可以了解网络的运行状况和发生的安全事件，并根据安全事件来调整安全策略和防护手段，同时改进实时响应和事后恢复的有效性，为定期的安全评估和分析提供依据，从而提高网络安全的整体水平。 我们采用IDS入侵检测系统监控整个网络，动态监视网络上流过的所有数据包，通过检测和实时分析，及时甚至提前发现非法或异常行为，并进行响应。通过采取告警、阻断和在线帮助等事件响应方式，以最快的速度阻止入侵事件的发生。IDS入侵检测系统能够全天候进行日志记录和管理，进行离线分析，对特殊事件进行智能判断和回放。 2.6.3 IDS与扫描系统具体部署 架设一个入侵监测系统(IDS)是非常必要的，处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。IDS是被动的，它监测你的网络上所有的包(packets)。其目的就是扑捉危险或有恶意动作的信息包。IDS是按你指定的规则运行的，记录是庞大的，所以我们必须制定合适的规则对他进行正确的配置，如果IDS没有正确的配置，其效果如同没有一样。IDS能够帮助系统对付网络欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。 根据整个广西电子口岸网络安全域划分来分析，网络分为内网区域、DMZ1区域、DMZ2区域、公网区域，我们建议在内网区域(核心数据区域)和DMZ2区域(应用服务器区域)部署一套NIDS系统。对整个网络的分析来看，应用服务器区域其实是非常关键的区域，不管是分支机构、还是电子专网、公众用户、企业用户都需要与应用服务器进行数据通信。所以在核心区域与应用服务器区域部署一套入侵检测系统(NIDS)，用来监控这两个核心区域，来分析这两个区域的数据流特征十分重要。同时建议在核心区域部署一台漏洞扫描系统，通过扫描系统来检查目前核心服务器与应用服务器的漏洞，及时发现问题，尽早杜绝安全隐患。 示意图: 盘阵系统带库系统 应用服务器 扫描器备份服务器 数据库服务器 核心交换机DMZ2区域 IDS GE内网区域 2.6.4 IDS系统的配置策略 在安装完IDS系统之后，需对系统做相关的配置，可按以下建议进行日常的管理工作。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 2.6.4.1 策略调整前期工作 策略定制前，建议采用扫描软件对整体构建好的网络做一次全面检查，记录重要资料的主机的操作系统、补丁状况、开放服务以及存在漏洞的类型和分布，对应IDS的事件种类，确定对实际的系统造成危害的高风险级的攻击进行重点监测。 2.6.4.2 策略定制的依据 将IDS衍生出最大事件集策略，可以由用户更改，修改策略定义，重命名及进行删除操作。 , 参考防火墙访问控制策略，可以只对防火墙允许的通过的协议类型做检测， 简化策略配置; , 了解被检测网络的地址分布，明确IP地址和用户的对应关系，便于做事件 追查; , 记录重点设备的地址，可以对重点设备的防护做重点监测和定义主动响应; , 明确网络中的特殊应用，如WEB服务器、数据库服务器、网络防病毒服务 器，为避免出现大量无效报警，可以做策略定制过滤。 2.6.4.3 修改优化成最适合的策略 当初次使用 IDS入侵检测的时候，一般应用的是最大策略集，在实际网络应用的时候，会报出大量事件。在运行一段时间之后，可以更改IDS衍生出最大事件集策略，对待报警事件，要明确如下几点看法: 不是每个事件都是入侵事件。有些网络正常应用(特别是内网环境)也会符合事件特征，产生事件。因此，要注意对这些网络应用的过滤。 不是每个事件都会产生攻击效果，攻击的成功依赖于目标系统环境。有些只是一种攻击尝试，参考事件帮助，如果目标系统对这种攻击事件有抵御能力，对于外网事件可以忽略，对于内网事件保持关注。 不要因为报警事件过多而放弃使用入侵检测，只有通过一段时间和网络环欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 境的磨合，调整检测策略，入侵检测才会发挥应有作用。 对于目前网络布置来说，如交换机、路由器等硬件网络设备一旦配置完毕，为了保证网络的各种应用，在相当长的时间中是无须调整的，同样 IDS也是如此。 另一方面，网络中的服务和应用是不断变化的，而IDS的日常工作就是检查网络的数据流、主机的状态中是否存在攻击行为，所以 IDS的软件配置也需要做相应的调整来适应这个动态的系统。 我们推荐对IDS的最大事件集策略中所有事件进行日志记录。 2.7 抗拒绝服务攻击系统设计 DoS(Denial of Service 拒绝服务)攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。拒绝服务攻击可以有各种分类方法，如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资源消耗指攻击者试图消耗目标的合法资源。 一些典型的DoS攻击包括UDP Flood、ICMP Flood、ACKFlood、连接耗尽等。如果攻击者控制了大量的傀儡主机，利用这些分布在不同网络中的这些主机，同时发起前面谈到的一种或者多种拒绝服务攻击，则是目前危害最大的攻击手段DDoS(分布式拒绝服务攻击)。 由于这些网络层的拒绝服务攻击有的利用了网络协议的漏洞，有的则抢占网络或者设备有限的处理能力，使得对拒绝服务攻击的防治，成为了一个令管理员非常头痛的问题。 所以部署抗DOS攻击产品来解决广西电子口岸网络平台中的重要服务器被拒绝服务攻击问题。抗拒绝服务产品可以以透明方式实施在需要保护的重要主机或者网络前方。根据目前整个广西电子口岸网络规划的拓扑来分析，我们建议将DDoS设备部署在整个网络的出口处，因为部署在整个网络的出口处不仅可以保护门户网站的服务器，而且能够为核心防火墙减轻防攻击的压力。防火墙虽然具有一定的抗攻击能力，但是对于专业的DDoS攻击，目前业界的防火墙是存在一些不足之处，通常情矿下，一台普通的100M防火墙能够顶住50M左右的DDoS流量已经是相当不错了，所以我们建议采用如下方式部署DDoS欢迎加入豆丁社区管理资料团—— 广西电子口岸网络平台(使用) 更多资料请访问豆丁达人冰川主页—— 设备。具体部署拓扑: DMZ2区域 核心防火墙系统公众用户防DOS/DDOS系统 内网区域 10M/100M 因特网DMZ1区域 流量控制系统接入路由器 公网区域企业用户 2.8 网络管理设计 2.8.1 网络管理的特点 针对广西电子口岸网络平台管理需求，管理系统在管理特性上具有下列特点: 1(基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共享和数据交换，所有管理体系中的其它管理工具和模块都与之进行集成，由其作为整个管理系统的支撑平台。 (模块化设计。包含了一组提供不同管理功能的管理工具，各管理工具2 即可以独立工作也可以通过集成共享管理信息。在网元设备管理层，通过选择集成在其管理框架上的不同网元设备模块，网络管理员可以管理网络中的任何网元硬件设备。在服务和业务管理层，网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统，节省用户的投资。 3(高系统强壮性。管理软件自身具有良好的系统强壮性，符合广西电子口岸用户对管理系统高可用性的要求。 4(优秀的规模可扩展性。管理服务器不但支持单机中央处理模式，也同时支持多服务器分布式处理模式，并能实现从中央处理模式向分布式处理模式欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。 5(高容错性。管理系统中的管理工具都支持双机主备工作方式，当主管理服务器出现故障时，备用管理服务器可以接管主服务器的管理职能，保障管理系统的不间断运行。 6(支持多种网络和设备管理标准。在网络层支持SNMPv3管理标准。 7(提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理，这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制，定义每一个登录的管理员所拥有的管理权限，进一步确保每个管理员只能管理他职责范围内网络资源。 以下列举的网管软件必须满足以上的基本条件。 2.8.2 网络管理软件的选择 在此次广西电子口岸网络平台的设备中，采用了不同厂家的网络设备，所以在选择网管软件的时候，我们必须考虑此网管软件平台能支持多种不同厂家设备的管理功能。 在此我们根据此次选用的设备来比较各厂家设备管理自身设备的性能和功能来描述各厂家网管功能的特点和优略，以思科、华为、北塔三个厂家的网管软件来说明广西电子口岸网络平台的网管系统。 , 如选用思科的设备，思科的网管是最好的选择 , 如选用华为的设备，华为的网管是最好的选择 , 如选用北塔的网管，作为第三方的网管软件，它不但可以管理思科、 华为的设备、还能够管理其他厂家的网络设备、服务器系统、和终端 PC。 下面我们将对以上三各网管系统作进一步的描述，说明各网管系统的在此次广西电子口岸网络平台构建中的部署和优势: 2.8.3 华为网管解决方案 本次广西电子口岸网络平台构建中我们将部署一套全新的Quidview网络欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 管理框架版网管系统，不仅能够对网络设备进行管理配置，还能对网拓扑进行监控。建议采用集中部署分域分权的网管系统，如下图: 网管系统采用集中部署、分域分权的方式来实现，在中心节点新增一台网管服务器，部署一套华为的Quidview网络框架版网管系统。该网管系统不但能够对网络设备进行管理，还能够对整个网络的拓扑结果进行有效管理。比如对网络链路的监控，如果出现链路故障，在网管系统上将会有相应的声光告警。 网管系统采用分域管理的模式，各地分别管理本地的设备。建议每口岸配置一台PC终端，安装Quidview客户端管理软件。在中心节点网管上创建各口 岸和单位网络管理员帐户密码，网管人员通过客户端系统登录到中心节点网管平台对本地所有华为设备进行管理与监控。 针对广西电子口岸网络平台的组网特点，本期工程的网管系统将采用带内网管的方式来实现。带内组网的特点是组网灵活，不用附加的设备，缺点是维护信息占用业务通道，被维护设备故障时无法维护。由于电子口岸网组网设备欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——数量大，比较适合采用带内方式，具体实际网络拓扑中将采取直连的方式，即将网管服务器采用1000M网卡的方式直接连到DMZ2区上。组网方式如下: 2.8.4 思科网管解决方案 思科Works是思科基于Internet的网络管理革新产品，它融传统路由器和交换机管理的最佳功能与基于Web的最新技术于一体。既充分利用了现有工具和设备中内置的管理数据，也为快速发展的大型企业网络提供了新型网络管理工具。思科Works产品在业界独一无二，它提出了建立“管理内部网”来链接多厂商管理应用的理念，且给出了一个可节约时间和减少错误的任务范例。 思科Works系列网络管理解决方案在广西电子口岸网络平台中主要集中 于几个主要领域:广域网络管理、局域网络管理、思科 QoS Policy Manager解决方案、思科 Service-Level Management Solution解决方案、思科 NetworkRegistrar解决方案、。这些思科网络管理解决方案使广西电子口岸的网络平台管理员能随时随地灵活应用端到端网络管理。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 局域网络解决方案: 提供了管理园区网所需的主要功能和应用，其具体应用可用于管理Catalyst交换机环境。此套件适用于WindowsNT、或Solaris服务器，包括以下部件: , Campus Manager—为查看和配置基于交换机的虚拟LAN(VLAN)和异 步传输模式(ATM)环境提供了工具，还提供集成拓扑和用户跟踪工 具。 , 思科View—提供思科交换机和路由器设备的图形显示，实现端口级配 置和监控。 , Traffic Monitor—用于监控LAN和WAN流量并排除故障，为网络设 备提供图形报告以及实时和历史趋势。其它功能可通过使用思科探测 设备获得。 , Resource Manager Essentials—为路由器和交换机提供设备管理， 包括可用性、资产、系统记录过滤器、软件分布、配置管理和变更审 核。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 思科Works路由WAN管理解决方案: 思科Works路由WAN管理解决方案提供了用于管理多服务广域网路由器元素的全套应用软件。此解决方案专门用于WindowsNT和Solaris服务器，包括以下部件: , Access Control List (ACL) Manager(访问控制列表管理程序)-- 提供了基于模板的简化方法，针对WAN中的流量过滤管理和优化访问 控制列表。 , Internet Performance Monitor(互连网性能监控程序)--用思科IOS 内置技术测定往返响应时间，诊断延迟和抖动，找出网络瓶颈，分析 响应时间趋势并确定设备可用性。 , Traffic Monitor软件——监控通过思科WAN探测器收集到的WAN流 量并排除故障，为ATM和帧中继第二层网络提供图形报告以及实时和 历史趋势，并详细分析网络使用情况和应用软件性能。 , Resource Manager Essentials—针对广域网设备配置、库存管理、 系统记录、更改报告和软件版本管理提供了新的功能。 , 思科View—提供思科View基于Web的新版本，为实时设备状态以及 运作和配置功能提供基于图形的管理，从标准Web浏览器进行管理。 , 思科Works管理服务器——将思科解决方案中的基本管理组件与安全 特性进行了结合。 思科 QoS Policy Manager解决方案: 关键业务应用对高可用性和可预测性能的需求与对高级语音及媒体业务的需要相结合，急需对网络流量进行特色化处理。通过在局域网(LAN)和广域网(WAN)交换设备中实施服务质量(QoS)机制及通过高级思科 IOS软件实现的应用识别技术，思科 QoS Policy Manager(QPM)为企业网络提供了集中策略控制和自动策略实施。 作为思科 Content Networking的有机组成部分(思科 Content Neworking 为可动态识别Internet业务应用的智能化网络体系结构)，QPM允许网络管理员保护关键业务应用的性能。作为全功能的QoS策略管理系统，QPM还可为基于Web的应用、语音流量、Web主机和关键业务处理提供特色化服务，确保网欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页——络密集型关键应用的QoS。 思科 Service-Level Management Solution解决方案: 思科公司思科 Service-Level Management解决方案提供了一个基于策略的规划级管理解决方案，借助这一方案，网络管理员可以定义、监控并评测网络连接性、安全性和性能策略，同时在发生故障时迅速予以排除。 思科NetworkRegistrar解决方案: 思科 Network Registrar(CNR)是一种DNS/DHCP解决方案，专门提供可扩展的命名和编址服务以及面向企业网络的IP地址管理。思科 Network Registrar大大提高了企业网络命令与编址服务的可靠性，为针对思科 Assure策略连网的用户注册服务奠定了基础。 Network Registrar包含一个符合标准的DNS服务器，该服务器具有业界最先进的特性集，支持增量区域转换，动态更新和通知。Network Registrar还包括一个多重DHCP服务器，它具有动态DNS更新特性并可通过LDAPV3与目录服务集成。借助CNR独特的客户机级功能，网络管理员还可在企业网上提供各种级别的服务。 2.8.5 北塔网管解决方案 上海北塔通讯网络科技发展有限公司针对市场现状，面向各级企业用户，自主开发了BT_NM网络资源管理系统。BT_NM网络资源管理系统作为第三方开发的网管系统能集成管理国内外各主流网络厂商的产品，如Cisco, 3COM, HuaWei, Nortel, Digital China等。提供完全中文化的网络管理平台，真正满足国内客户的使用习惯。 软件本身符合IETF颁布的SNMPv1及SNMPv2C规范。北塔BT_NM网络资源管理系统将协助维护用户的网络系统正常运转，帮助企业用户更好的对于网络进行管理，通过系统设置达到最佳的应用效果;通过网络平台，及时获取对改进、监控、分析应用有价值的第一手定量信息;使用更简单、更高效、更实用。 总之，北塔BT_NM网络资源管理软件是一套基于平台层、功能全面、简单易用、价格合理的网络管理软件，是用户理想的选择。 北塔网络资源管理系统主要由三个主要的功能系统组成，分别是北塔网络欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 资源管理系统、北塔数据流分析系统和北塔网络服务器管理系统，其中还包含有若干个功能模块。 在此我们主要针对网络资源管理系统进行描述: 北塔网络资源管理系统产品结构: , 支持多用户多级管理、跨地域管理操作; , 基于.net架构; , 服务器支持Windows 2000、Windows XP,2003等操作系统; , 缺省使用内置数据库，可以选择输出到其他流行数据库(如:Oracle、 SQL Server等)。 , 可以支持个至少40到无限网元运行维护; 北塔网络资源管理系统包括一下的模块: 1) 网络物理拓扑管理 2) 网络设备管理 3) 故障告警与定位 4) 用户信息管理 5) 远程监控平台管理 6) 数据流量分析管理 7) 安全管 8) 性能管理 模块主要性能指标如下: 功能 描述 1( 支持多用户多级管理、跨地域管理操作; 2( 基于.net架构; 产品结构 3( 服务器支持Windows 2000、Windows XP,2003等操作系统; 4( 缺省使用内置数据库，可以选择输出到其他流行数据库(如:Oracle、SQL Server等)。 5( 可以支持个至少40到无限网元运行维护; 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1(能管理所有支持SNMP的节点，自动勾画出整个网络的物理拓扑结构，网 络用户可以为每条设备间连接加以注释，为每台设备设置中文设备名称， 能够自动辨别线路连接类型; 2(支持将整个管理区域分为若干拓扑子图;支持拓扑结构图的无级缩放、 * 区域内设备整体拖动; 3(支持采用SNMP管理协议各厂商网络产品，包括无线网络产品、网络防火 墙、安全产品、打印机、主机系统，能自动辨识各生产厂商，并在网络 结构图上加以显示; 跨厂商的拓4(对所有管理对象进行标注; 扑图管理 5(提供帧流量与广播流量、丢包情况拓扑显示，瞬时发现网络运维阶段问 题。* 6(针对Cisco网络环境提供CDP算法，提供复杂网络环境下多SNMP共同体网络物理 名称的匹配算法，根据国内厂商产品的特点提供多种参数获取手段;* 拓扑管理 7(提供拓扑添加算法;* 8(在拓扑图上能显示线路帧流量，错包个数占用比，丢包个数占用比，广 播流量，线路带宽占用比，对网络异常监视;* 9(提供Cisco、华为、3Com、Avaya、D-Link、Fore、Juniper、FounDry、 Marconi、Maipu、TCL、Allied等市场主流设备真实面板图。 1(分层跨地域的管理，实施多点跨地域的统一网络管理，可以在核心网络 * 管理中心直接调阅各下属网络实时物理拓扑结构;地域层次化2(支持在网络结构图上直接以不同颜色显示设备CPU负载、Mem利用率，的统一管理 直接以不同颜色显示各设备间每条线路实时数据流量; 3(支持所有的管理拓扑对象:设备、主机系统、线路、拓扑图名称等等， 均可以定义中文名称。 1( 支持故障管理与故障预警管理，提供IP Ping失效告警、Snmp 管理失 效告警、设备端口Down告警;通过设置"阀值"，可以不断监测设备负设备故障管载(CPU 负载/Mem利用率 )是否超标、线路流量是否正常、端口是否理与故障预有持续错包等现象; 警管理 2( 提供设备连续运行时间监视，对网络异常监视;* 3( 按不同颜色显示，三种级别，显示当前设备运行状况及线路负载;* 网络设备4( 在面板图上显示各端口的发往各种协议的广播包、非广播包，并提供数管理 据的实时查询。* 真实设备面提供主流网络设备的面板图管理，在设备面板图上真实、实时地显示设备各 板图管理 端口连接状态。对于某个具体端口，提供与该端口连接的主机名称、相对应 的IP地址、MAC物理地址，以及提供端口关闭或开启操作。 设备端口状在面板图上真实显示各端口的实时流量情况，并提供以下各主要数据的实时 态分析 查询。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 1(被管理设备IP Ping 连通情况; 2(被管理设备Snmp 管理是否有效; 3(设备的 CPU负载是否超标; 4(设备内存利用率是否超标; 5(设备端口是否发生异常关闭或开启; 6(设备端口流量是否超标; 网络告警与7(设备端口入或出流量是否超标; 管理告警 8(设备端口有无持续的错包增长; 9(TCP端口服务是否确实打开或关闭; 10、不加装Agent的情况下，提供直接的Web、Mail、FTP、中间件、ODBC 服务监视;实时监视Windows、UNIX服务器的常见资源使用情况，如磁盘占故障用空间情况、当前运行的进程情况，进程状况查看/阀值告警，关键进程监告警视、内存占用情况等。可以同时显示多个服务器的实时CPU负载情况和内存与定占用情况对比分析，。 位 11(报警能显示所在设备以及所在设备端口。* 故障告警 能用声音、应用程序、手机短信息，可执行脚本、电子邮件等多种告警方式 自动通知相关人员; UPS 性能监支持对电源UPS的管理，对其温度、负载、电压等告警;支持对机房的湿度、 控 温度的管理(湿温度感应检测器需另外购置)，可对 设备机房、机柜内部、 弱电间等场所，用以监测其温度、湿度，对每一不同感应监测器支持设置不 同监视、告警门限，支持短消息等告警方式，支持告警时驱动第三方应用程 序以采取不同的响应策略，防止失控。 告警日志 能够统计、汇总所发生的各类告警事件，告警信息应包含如下指标:故障源、 发生时间、故障描述等; 告警类型 能够对多种不同类型发出告警，并可根据需要自行添加告警; 门限值设定 1( 定义不同级别的告警值并能自行定义门限种类。 2( 通过触发告警直接分断设备，关闭端口。* 1(允许管理人员查询用户IP地址、MAC地址、主机名称等信息; 2(能在用户指定的地址范围内搜索Activate IP地址; 3(提供跨地域的IP地址资源查询，可以在用户指定的地址范围内部搜索Activate IP地 用户信息址，了解地址真实分布状况; 管理 4(服务分布查询;* 5(提供地址簿功能，提供完整MAC-位置-主机名称-VLAN 等信息，能实时提供完整的用户 物理网络分布位置;* 6(能显示交换机各个端口所连PC设备的IP地址、主机名称及MAC物理地址等信息。* 支持分层次级别的访问权限管理，BT_NM提供Client/Server远程管理模式，可以支持多个 用户异地管理的操作支持异地管理操作，安全性更高。提供完备的操作日志管理、故障日 志管理，支持按不同时段、不同对象查寻日志，支持日志打印输出、报表输出。客户端/服远程监控 务器结构，在一台服务器安装了后台软件后，在任何授权的客户端都可以安装客户端软件平台管理 来进行管理操作，包括支持异地管理操作;可通过远程调试功能由厂家工程师进行日常的 辅助维护和调试; 数据流1. IP网段的实时一到三层流量分析、查看;* 量分析管2. 支持IP Accounting 流量分析; 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 理 3. 建立数据滤取规则，筛选有应用分析价值的数据流;* 4. 用户定制数据流滤取规则、指定时段进行数据历史记录;* 5. 捕捉跨 IP网段的扫描、攻击行为，捕捉跨 IP网段的病毒扩散源头。* 6. 支持Netfiow、datafollow，Sflow数据流分析,支持以图形方式或数据表提供实时数据 流分析，支持流媒体有效性监视和告警。提供 Syslog 保存与分析服务。 7. 可以立即得到网络第二至第四层的数据实时分析，分析、了解网络应用状况。 8. 在数据的图形输出上，支持按时间展开数据流，或按TopN排序方式展示各数据分量的 即时比特流、帧流量、Sessions对话数; 9. 在数据的表格输出方式上支持将某时刻原始数据进行全面展示，允许在原始数据基础 上进行排序、归类、过滤等分析操作; 10. 支持用户定制数据流滤取规则，对指定时段进行数据历史记录，筛选有应用分析价值 的数据流。对网络中异常情况(如网络扫描、大流量下载、非法访问等能够进行告警。) 11. 可以保留“此刻以前后10分钟原始数据”以供事后分析，可以进行“数据回放”分析。 1( MAC变动时告警，网络管理软件提供一张IP-MAC信息表，此表可导出， 用户可做修改;修改正确后，可导入变成标准的对照表，以后以此为标 准，当网络中出现MAC地址与IP地址不相符时，系统自动告警，并提IP-MAC绑定 供跨网段，跨Vlan的ip定位功能; 2( 当出现对照表中不存在的IP地址时，系统自动告警，并自动关闭端口， 迅速隔离非法设备进入网络; 安全管理 3( 当IP地址不属于用户规定的特定范围时，系统会告警。 网络络连接1(当系统中的设备跟交换机或路由器的端口绑定后，成为了标准结构(对位置变动时照表)，一旦系统中的某个MAC地址变动时，系统会告警;* 告警 2(新增对照表中不存在的MAC地址时，系统会告警;* 3(客户可以定义在特定的设备中有一定的MAC地址，当某一MAC地址突然 不出现在指定的特定设备上时，系统会报告。* 1(能监控网络设备的网络网络总流量、各端口的流量和状况、设备响应时间、设备资源使 用率、丢包率、错误率; 2(能监控主机设备的内存使用率、CPU使用率、硬盘使用率等; 性能管理 3(拓扑图上设备连接线根据线路流量的大小，定义占用率的百份比，采用由浅到深的颜色 显示，能更直观的向用户传达线路负载情况;* 4(能够在设备真实面板图上关闭\开启端口，迅速隔离故障源。* 2.8.6 网管相关参数说明 本次广西电子口岸网络平台中网管的相关参数都使用统一规划的数据，如 IP地址、用户名、密码等，待全网稳定运行后各地可根据需要自行修改用户名 和密码，各口岸和接入单位数据详见下表。 网管初次参数规划原则: 1、网管名:地点简称，wg 2、root用户密码:地点简称，wg01 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 3、mapview用户密码:地点简称，wg01 2.8.7 设备侧参数配置说明 设备侧网管参数包括:版本信息、读写团体名、管理员的标识和联系方法、是否发送trap报文、设备的位置、Trap发送的源地址、Trap发送的目的地址、网管访问列表。 网管参数设置: 1、使用SNMP V1; 2、读团体名public、写团体名private; 3、管理员的标识和联系方法，填写设备维护单位的联系方式; 4、使能发送trap报文; 5、填写设备所在 点名称; 6、设置trap发送的目标地址为网管server地址; 7、设置trap发送的源地址为设备loopback端口地址 第3章 服务器系统的构建 3.1 核心服务器及存储设备性能要求 由于广西电子口岸平台承担业务量大，且关系到国家利益，业务非常重要，为了满足今后3至5年乃至更长时间核心平台数据业务的可靠性，我们建议核心数据库服务器和应用服务器采用双机热备的集群方式工作，提供更高的可靠性，而前置服务器目前配置2台，如将来访问需求量大、网站业务飞速扩展，可通过采用专用的负载均衡器，横向扩展前置服务器的数量，以满足前台业务要求。 根据以上的现状分析，提出采用如下系统来为广西电子口岸构建电子口岸平台信息系统，电子口岸平台信息系统平台核心部分采用的主机设备包括2台数据库服务器、2台应用服务器(核心部分)、2台前置服务器。 服务器系统结构图如下: 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 带库系统盘阵系统 应用服务器 备份服务器扫描器 数据库服务器 核心交换机DMZ2区域IDS 核心防火墙 内网区域GE 广西电子口岸信息系统平台数据库建设的过程中，由于采用了前置业务、中间件、数据后台的分层体系设计，对数据后台服务器要求高，特别是中间服务器对后台数据查询、填报、更新等业务操作时，对话连接数多的情况下，对应数据后台服务器的I/O队列非常多，因而对处理性能要求高。又因后台通常属于核心区域设计，将来升级、扩展、迁移工作量大、易造成对业务影响，我们建议采用高性能的服务器作为数据库服务器，做后台业务处理，设计数据库服务器性能需求的时候尽可能提高，以延长业务后台的使用周期。 前置服务器、中间应用服务器相对处于边缘层，通过服务器横向扩展相对于数据库服务器较容易得到计算能力、I/O、容量的提升，因此设计性能需求时我们会尽量按照用户当前和未来一段时间内的需求进行规划，而不至于造成太大的浪费和性能闲置。 因此我们设计了由2台高性能4路至强MP处理器服务器组成高可用性双机热备集群方案，2台高性能数据库服务器采用光纤通道连接1台高性能磁盘阵列存储用于数据库的数据存储;2台高性能采用至强处理器的应用服务器与2台前置服务器一起放置于电子口岸平台核心部分的防火墙DMZ2区内，其配置欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 性能要求如下: 设备名配件名称 配置要求(注:配置要求为单台配置需达到的技术要数称 求) 量 数据库 操作系统采用Windows2000高级服务器版或2 服务器 Windows2003 企业版，通过Rose集群软件进行 Cluster双机集群(集群方式建议采用双机热备方式) CPU XeonMP2.83GHz/4MB L3以上 4 总线及主板支持4CPU SMP/667MHz 前端总线/2*Giga Ethernet/ 1 要求 内存 1G DDR2 多重ECC内存 8 硬盘 146GB 10K rpm HDD(UltraSCSI 320以上) 3 阵列卡 带64MB缓冲以上高级SCSI阵列卡 1 光纤通道卡 2 Gb PCI-X Fibre Channel HBA光纤通道卡 1 光纤接口模Short Wave(R) SFP Module光纤接口模块 2 块 磁盘阵 1列 套 阵列主机 双控制器 (主机)，512MB以上控制器缓冲 1 硬盘 146GB 10K HDD 1 4 光纤交换机 8口光纤存储交换机，满配8个GBIC口 1 光纤跳线 5 M LC-LC Fibre Channel Cable 8 自动备 份 自动磁带库1个LTO-2驱动器以上，支持200GB/400GB，30个SLOTS1 系统 以上，带光纤模块及至少2个主机光纤端口 台 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 备份磁带，200GB/400GB每盒，带标签 1 0盒 备份服务器 单路XEON 3.0GHz CPU，1GB DDR2内存，146GB 10K SCSI 1 HDD，2×千兆以太网卡，1个2Gb FC HBA通道卡 台 自动备份软支持Windows2000 /2003 Server平台，带SQL Agent，1 件 自动磁带库备份软件模块 套 服务器 1机柜 套 2U 15"折叠液晶套件 带节省空间键盘 1 42U标准机柜(含两个PDU) 1 8口KVM控制器 1 应用服 操作系统采用Windows2000高级服务器版或 务器 Windows2003 企业版，通过Rose集群软件进行 Cluster双机集群(集群方式建议采用双机热备方式) CPU Xeon DP 3.16GHz EMT64/1MB二级缓存以上 2 总线及主板支持4CPU SMP/667MHz 前端总线/2*Giga Ethernet/ 1 要求 内存 1G DDR2 多重ECC内存 2 硬盘 73GB 10K rpm HDD(UltraSCSI 320以上) 3 阵列卡 带64MB缓冲以上高级SCSI阵列卡 1 前置服 操作系统采用Windows2000高级服务器版或 务器 Windows2003 企业版 CPU Xeon DP 3.16GHz EMT64/1MB二级缓存以上 2 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 总线及主板支持4CPU SMP/667MHz 前端总线/2*Giga Ethernet/ 1 要求 内存 1G DDR2 多重ECC内存 2 硬盘 73GB 10K rpm HDD(UltraSCSI 320以上) 3 阵列卡 带64MB缓冲以上高级SCSI阵列卡 1 3.2 品牌型号建议 为了确保广西电子口岸平台系统的高可靠、可用性，保障业务系统顺畅运营和业务开展、使用，我们根据以上设备性能要求，以及运营系统对设备电气、物理设计、抗震、抗摔、老化、恶劣环境条件下的确保业务运营系统连续可靠的苛刻要求，我们推荐采用业界最好的品牌、型号，如下: 设备名推荐参考品推荐型号(改型号详细配置参见总配置表) 数量 称 牌(两种) 数据库IBM xSeries460 2台 服务器 HP DL740 2台 磁盘阵IBM DS400 1台 列、机柜 HP MSA1000 1台 自动磁OverLand OverLand NEO2000 1台 带库 STK STK L40 1台 自动备Veritas Veritas NetBackup5.0 1套 份软件 备份服IBM xSeries336 1台 务器 HP DL360 1台 应用、前IBM xSeries366 2台 置服务HP DL580 2台 器 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 操作系Microsoft Windows2003 Enterprise Server企业服务器版( 2 1套 统 Lincense ) Windows2003 Standard Server标准服务器版 ( 8 1套 Lincense ) 3.3 服务器部署建议 3.3.1 数据库服务器部署 运行电子口岸平台信息系统的中心数据库系统是一个综合的业务及各系统群件平台，是电子口岸平台信息系统的核心业务系统，它对主机的性能要求较高，同时对系统的可靠性可用性要求也非常高，不能因为主机系统的故障而影响系统的正常运行，更不能因为主机的故障而使系统的数据丢失，为了保证系统的稳定、安全、高效运行，建议采用共用一台磁盘阵列的两台服务器组成CLUSTER，一台运行中心数据库系统，另一台Standby或根据情况做为开发测试机。 假设两台数据库服务器一台为A(主生产服务器)，另一台为B(备用服务器)，一台作为服务器主机，另一台作为服务器备机，两台服务器配置相同;那么: 将关键的中心数据库应用做成双机热备(Hot Standby)，当主用生产服务器A发生机器故障时(如系统宕机)，其上的Service IP地址自动漂移到备用服务器B上，服务器B可以马上接管并自动启动数据库，自动接管共享磁盘阵列，并从磁盘阵列上读取数据库表内容，承担原有主用服务器的全部生产工作。从而可以保证系统的高可靠性、稳定性，保障数据库业务连续可用。这种集群配置是高性能、低价格、高稳定性、高可靠性、扩展性强的主机组合。 一个群集中可以有好几个资源组，它们可以分别是不同类型;不同类型的资源组对应不同的接管方式。因此，资源接管的方式可以多种多样，配置十分灵活。 以最简单的2-node集群为例。Node A和node B都是资源组a的成员，该资源组a被设置成node A对其拥有最高优先级。因此node A在cluster中处欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 于active状态时，它会控制资源组a中的所有资源，此时node B相对应资源 组a是处于闲置(idle)状态，仅当node A down掉，node B才会接管资源组a， 而且一旦node A重新加入cluster，node B将不得不释放资源组a, node A 将重新控制资源组a。 如果node B发生任何故障，不会发生任何事件。该过程如图1所示。 Server A Fails ClusterClusterServerAServerBServerAServerB ResourceGroup ResourceGroup DownOnline 图1-1 图1-2 Onlineidle aServerA Reintegrates And Restarts Servicea Cluster ServerAServerB ResourceGroup 图1,3 Backidle a Online 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 图2 idle-standby示意图 数据库服务器选择2台高性能配备4路Intel XeonMP处理器的机架式服务器，要求最大可支持4个CPU以上，32GB以上内存，支持业界UNIX、Linux、Windows等操作系统。2台核心数据库服务器通过Rose集群软件组成高可用性双机集群，共享磁盘阵列，访问同一份数据库数据，以避免其他集群方式因数据同步造成的I/O占用而导致速度极其缓慢，影响业务可用性。 3.3.2 应用服务器部署 对于应用服务器，我们建议采用2台配备2路高性能Intel XeonDP处理器的服务器，要求支持4路以上CPU，16GB以上内存，支持业界UNIX、Linux、Windows等操作系统，以及良好的标准U体系，方便将来对服务器进行纵向、横向扩展计算。同时采用Rose集群软件对两台应用服务器进行集群，确保应用服务器连续、可靠、可用。由于应用服务器本身数据量较少，通常调度、转换操作进程多，例如对前置服务器的操作请求转换，对后台数据库反馈的数据排列、调度、响应前置服务器等，因此需要配置较大的内存，以确保中转、调度的顺利畅通，而硬盘亦需按高速I/O、合适容量的策略配置。 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 3.4 数据备份部署建议 3.4.1 部署磁带备份系统的必要性 经过以上设计的广西电子口岸系统虽然已经部署了无单点故障(No Single Point Of Failure)的主机系统，可以在任何的可更换部件发生故障的情况下，仍然保障对数据访问的可用性。磁盘阵列也有RAID保护，但是当磁盘阵列出现更严重的问题，或者由于系统软件或应用软件出现故障，直接将数据破坏时，就需要进一步部署的数据保护方案来提高整个环境的数据可靠性，通过它来备份或恢复关键数据。 人工备份的方式繁杂、工作量大，容易受人的感性情绪影响，非常容易备份错误，或备份不全，造成反复的工作量和应急情况下发现无法正常恢复应用系统等许多缺点，所以建议选择自动备份作为广西电子口岸平台信息系统的备份策略。 鉴于数据后台建立了光纤存储交换机来连接数据库服务器和磁盘阵列，我们建议在以上设计的基础上，建立一个小型SAN光纤存储区域网，对数据进行专用通路设计，选用一台自动备份磁带库连接到光纤存储交换机，加入SAN光纤存储区域，进行高速的数据备份，形成一个快速可靠的数据后台中心，对数据高速处理、生产、传送、存储、备份、恢复，最大限度保障后台数据业务系统运营可靠。 3.4.2 备份部署及策略建议 , 备份部署 由于采用自动备份策略，因此需要配置具备人工智能的自动备份管理软件，对数据状态进行自动监控、备份、恢复等操作，管理员可根据需要自由设定自动备份的时间、数据关键点等备份策略，并可自动恢复系统和数据。 我们设计选用业界最好、应用最广泛、最成熟的Veritas自动备份软件，是出于对数据库业务系统的高可靠性备份、恢复考虑，是经过相关行业多年使用经验作推荐，我们在选用的时候已经作过主流备份软件的对比测试，Veritas欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 的备份方式最迎合数据库系统和复杂环境下的多点备份。 我们设计专用的备份服务器，采用Veritas NetBackup备份软件，安装Server端，对数据库服务器采用高速、高性能、专用、可靠、安全的SAN备份方式(即通过SAN光纤存储区域网进行系统、业务数据备份、恢复等操作);同时对应用服务器、前置服务器，可安装Client端，作LAN备份(即通过以太网进行系统、应用等数据进行备份、恢复操作)，通过SAN+LAN的备份方式，灵活解决了广西电子口岸平台核心数据库服务器和应用、前置服务器处于不同防火墙区域内的备份难点，并且保证了安全区域的安全策略有效。 , 备份策略的设计 要为广西电子口岸平台信息系统建立一个好的备份系统，除了需要配备有好的软硬件产品之外，更需要有良好的备份策略和管理规划来进行保证。备份策略的选择，要统筹考虑需备份的总数据量，线路带宽、数据吞吐量、时间窗口以及对恢复时间的要求等因素。目前的备份策略主要有全量备份、增量备份和差分备份。全量备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全量备份最可靠。增量备份和差分备份所需的备份介质和备份时间都较全量备份少，但是数据恢复麻烦。根据不同业务对数据备份的时间窗口和灾难恢复的要求，可以选择不同的备份方式，亦可以将这几种备份方式进行组合应用，以得到更好的备份效果。 全量备份(Full Backup)，所谓全量备份，就是对整个系统包括系统文件和应用数据进行的完全备份。这种备份方式的优点是数据恢复所需时间短。缺点是备份数据中有大量内容是重复的，这些重复的数据浪费了大量的磁带空间，无形中增加了数据备份的成本;再者，由于需要备份的数据量相当大，因此备份所需时间相对较长。 增量备份(Incremental Backup)，增量备份指每次备份的数据只是相当于上一次备份后增加的和修改过的数据。这种备份的优点很明显:没有重复的备份数据，节省磁带空间，又缩短了备份时间。但它的缺点在于当发生灾难时，恢复数据比较麻烦，需进行多次数据恢复才能恢复至最新的数据状态。 差分备份(Differential Backup)，差分备份就是每次备份的数据是相对于上一次全量备份之后新增加的和修改过的数据。差分备份无需每次都做系统欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 完全备份，因此备份所需时间短，并节省磁带空间;另外，差分备份的灾难恢复也很方便，系统管理员只需两次备份数据，即全量备份的数据磁带与发生灾难前一天的备份数据磁带，就可以将系统完全恢复。 随着数据量的增加，做全备份所需要的时间将不断延长，因此需要制定一个基于未来大数据量的备份策略。 备份策略包括两个部分，一、操作系统和应用程序代码的备份策略，二、业务数据的备份策略。 操作系统和应用程序代码的备份策略比较简单，一般可先对所有系统做一次全备份，然后每周对关键系统做一次全备份;此外，每台机器做过软件安装或系统升级后，应立刻做一次全量备份。当操作系统和应用程序代码出现故障时，将全量备份的数据按照相应的办法恢复即可。 业务数据的日常备份策略可按如下制订: 1.每周在访问量比较小的时候做一次全量备份; 2.每天对业务数据做一次差分备份或增量备份; 3.每次业务数据做大调整后应立即做一次全备份。 为了校验数据备份的有效性，建议定期对备份出来的数据在试验环境下进行还原测试，以确认所备份的数据可用。 3.5 主机存储备份系统设计特点 在这次方案设计过程中，我们的方案充分地体现了高性能、高可靠性、高扩展性、高安全性以及开放性，在故障管理方面更具特色，同时我们的方案也是切实可行的、经济实用和易于管理的。 以下是对这些特点的具体分析。 3.5.1 系统的高可靠性 单系统的高可用性:优秀的操作系统，服务器与外存设备保证高可用性的第一项措施是确保服务器本身具有尽可能强的高可用性或故障恢复能力，这种特点源出于高质量的控制过程，从产品的一开始便把质量与良好性能的设计与制造原则纳入到了硬件与软件之中。在以上设计中，建立了类似小型机的高可欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 用性，诸如内存高可用性、处理机高可用性、预防性诊断、以及可加载的内核模块等等。这些特性使我们的服务器能识别及隔离出故障部件，并把工作负菏转移到无故障的其它部件上，从而避免停机，而且，在许多情况下，这种向其它部件转移的操作，对用户来说是透明的或接近透明的，可使常规的系统维护任务不影响应用系统的工作。 我们选择的服务器除了采用工业界通用的热交换电源、风扇之外，还采用更多特有的措施来进一步地保证系统的高可靠性: , 动态处理器恢复和应用程序的故障隔离; , 存储器页面的故障隔离; , 内置故障管理系统，有单独的支持处理器和总线，通过持续主动的故 障纠错、检测和反馈，提供可靠的系统运行时间; , 服务器内部存储提供镜像(mirroring)能力，以保护系统、应用和关 键数据。 , 阵列卡内的高速缓存可以镜像使用，保证高速缓存的数据可靠性。 在外存设备机箱内，RAID或镜像技术的应用，完全避免因磁盘子系统部件故障而引起的停机。先进的可带电插拔特性，使得可在应用系统不间断运行条件下对故障部分进行维修。 3.5.2 高可用性咨询服务:包括全面的计算环境 理解企业的计算需求是增强高可用性的第一步。我们还提供了广泛的一套咨询服务项目来帮助企业评估与分析其整个计算环境一包括技术、人员与过程一从而找出可能导致服务中断的潜在薄弱环节并加以改正。力求把我们提供的知识、经验及“最好的实践”全部带给客户，使客户可直接从中国电信多年积累的有关高可用性计算环境经验中得到好处。 3.6 相关支撑软件 3.6.1 操作系统 设备 操作系统 数量 欢迎加入豆丁社区管理资料团—— 更多资料请访问豆丁达人冰川主页—— 前置服务器 Windows 2003标准版 2套 应用服务器 Windows 2003企业版 2套 数据库服务器 Windows 2003企业版 2套 网络管理服务器 Windows 2003标准版 1套 工作站 Windows XP 根据实际情况配 置 3.6.2 数据库系统 设备 数据库 数量 网站数据库服务器 Microsoft SQL Server简体中文标2套 准版，4CPU 3.6.3 J2EE应用平台 设备 应用平台 数量 应用服务器 BEA WebLogic8.13/IBM Websphere，2套 2CPU 3.6.4 开发工具 根据实际需要选用。 欢迎加入豆丁社区管理资料团——