網路安全產品選型

㈠ 網路方案設計過程主要分哪幾個步驟

步驟如下：

1，需求調研

2，需求分析

3，概要設計

4，詳細設計

設計方案內容包括：網路拓撲、IP地址規劃、網路設備選型等等。

(1)網路安全產品選型擴展閱讀：

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。

1，實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2，開放性原則

網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。

3，可靠性原則

無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4， 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。

5， 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。

6，易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。

7，可擴展性原則

網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。

㈡ 建設信息網路系統. 一道作業題，計算機信息管理專業。

一、本院建設概況
本院系一家三甲醫院，2004年開始建設新院，從原城區中心位置遷建到新規劃城區的中心位置，新院佔地228畝，建築面積19.2萬平方米，設計床位1500張，至2007年10月底已整體啟用。新院設計網路信息點1萬余個，涉及整個醫院三幢大樓，網路布線設計採用計算機網路信息點與電話通訊一體化六類線設計，醫院內部網路與外部網路（聯接INTERNET）物理分離設計。三幢大樓共設計70個弱電間用於安裝接入層交換機，主機房與每個弱電間至少使用3根四蕊室內光纖聯接，每個弱電間離任一網路信息點的線路路由距離不超過100米。大樓之間不超過500米的採用多模室外光纖，超過500米的採用單模室外光纖聯接。
二、不同功能區域信息點覆蓋
醫院功能分區的多樣性與復雜性決定了醫院網路信息的覆蓋不同於其他辦公大樓。根據醫院的當今應用需求並考慮未來計算機應用的增長適當冗餘，同時在弱電工程設計過程中綜合使用部門與醫院基建部門的意見不斷變更覆蓋需求，最終形成不同功能區域信息點覆蓋的設計需求。在弱電工程施工過程中，使用部門結合實際環境，又對信息點覆蓋進一步提出修改要求。信息點覆蓋范圍，既考慮未來臨床信息系統的應用，也考慮醫療設備、智能設備的網路接入。綜合整個過程，至新院正式啟用.
主要功能區域網路信息點覆蓋情況見表1。

表1 主要功能區域網路信息點覆蓋情況表

功能分區

信息點數量

用途

住院醫生辦公室

內網16個

醫生工作站、電子病歷等

住院護士部

內網6個

護士工作站、電子病歷等

病區走廊天花板

每20米內網1個

用於病房無線覆蓋

住院主任辦公室

內外網各1個

HIS應用及聯接外網

護士長辦公室

內網1個

護士工作站、電子病歷等

主診醫生辦公室

內網1個

醫生工作站、電子病歷等

示教室

內網6個

學生學習與工作

普通病房

外網1個

聯接INTERNET，備用

貴賓病房

外網1個

聯接INTERNET，開通

重症監護室

每床位內網3個，其中2個位於吊臂，1個位於牆面

監護設備聯接

住院大廳

內網1個

觸摸屏

門診診間

內網2個

門診醫生工作站，1備1用

門診診間門框上方

內網1個

排隊信息顯示

診區預檢

內網4個

分診及就診排隊管理

門診掛號及收費

每1.2米櫃面內網2個

收費1個，聯銀行POS機1個

門診大廳

內網8個

自助掛號及檢驗單列印，觸摸屏

手術室

內網6個，其中2個位於吊臂

麻醉監護設備及計算機、醫學影像

復甦室

每床位內網1個，位於設備帶

麻醉監護設備

放射報告室

內網24個

PACS、計算機閱片報告

放射機房控制室

內網4個

放射設備及計算機聯接

放射機房門框上方

內網1個

排隊信息顯示

檢驗科操作室

每五平方內網1個，採用地插

LIS計算機聯接

檢驗收樣室

內網4個

收樣及核收樣本

門診報告發放

內網4個

報告發放

B超室

每機房內網2個

B超報告，一備一用

B超服務台

內網4個

排隊及網路列印機

病理報告室

每工位內網1個

病理閱片報告

停車場

出入口處內網各2個

停車管理及圖像傳輸

門診葯房

每1.2米櫃面內網2個

葯房軟體，一備一用

大會議室

主席台內外網各4個

聯接內外網演示

大小會議室天花板

內外網各1個

用於內外網無線聯接

重點科室門禁

內網1個

用於門禁控制

三、本院網路構架情況
總體網路構架採用二個核心交換機冗餘設計，會聚交換機到核心交換機雙鏈路上行，核心交換機故障不影響業務運轉。接入層按業務性質分關鍵業務區、非關鍵業務區、伺服器區、放射科區，詳見圖1。
（一）關鍵業務區：主要是門診及醫技科室，其業務性質決定計算機網路一旦中斷就會立即影響正常業務運轉，業務高峰停頓五分鍾就會導致大量病人滯留，造成不良影響。故該區域接入層交換機採用雙鏈路上行至會聚層交換機，會聚層交換機採用冗餘設計，任一鏈路、核心交換機、會聚層交換機、上行模塊故障均不會引起業務中斷。
（二）非關鍵業務區：主要是醫院住院病區及職能科室，其業務性質決定計算機網路中斷後在一個小時內修復對業務影響比較小。故該區域接入層交換機採用單鏈路上行至會聚層交換機，如鏈路中斷或上行模塊故障會導致業務中斷。因留有備用鏈路及備用上行模塊，故修復時間可控制在1個小時以內。
（三）伺服器區：其埠用於聯接主機房伺服器，如交換機故障或鏈路故障將影響醫院所有信息系統的正常運行，對醫院業務的影響最大。故該區域接入層交換機先堆疊後採用雙鏈路與核心交換機萬兆聯接，任一主交換機故障或鏈路中斷不影響業務，若任一接入層交換機故障也可在短時間內將聯接伺服器的網路從故障交換機切換到非故障交換機。
（四）放射科區域：因放射科PACS系統信息傳輸流量較大，故接入層交換機採用二條萬兆線路不通過會聚層交換機直接與核心交換機相聯接，千兆傳輸帶寬到桌面，保障圖像傳輸的速度。任一核心交換機故障或鏈路中斷不會影響放射科正常業務。
圖1 本院網路拓撲圖
四、體會
（一）新建醫院在設計階段，醫院信息系統管理部門即需提前介入，為弱電設計公司提供適合醫院未來需要的信息點覆蓋方案。醫院功能分區的專業性、復雜性決定了只有醫院本身的計算機專業技術人員才有可能提供覆蓋需求，也只有在弱電設計公司詳細了解醫院功能與需求的基礎上考慮醫院未來冗餘才有可能設計出符合醫院使用要求的信息網路，防止漏裝信息點影響房間功能使用。本院在建設過程中某些信息點設計時未考慮到，在施工過程中及時予以補救，但也給施工帶來了困難，特別是天花板封頂的情況下，增加信息點致施工異常困難。因此，在設計初期弱電設計公司與醫院信息管理部門詳細溝通並由醫院信息管理部門提供分區域分功能的詳細覆蓋方案是新建醫院信息網路建設初期的重點工作。
現很多醫療設備擁有網路介面可以通過TCP/IP協議傳輸信息，故醫院信息系統覆蓋時除了需要考慮計算機應用，還應考慮諸如監護儀、呼吸機、麻醉機、放射設備等醫療設備通過醫院網路達到監護與診斷信息的共享。智能大樓部署了很多智能型設備，如門禁、樓控、停車場、視頻監視系統以及機房的UPS、精密空調等，均需要通過信息網路進行通訊，故信息點覆蓋時也應綜合考慮上述設備的網路接入。本院在建設過程中未考慮急診ICU、心內科ICU、神經科ICU的監護儀網路接入，在設備采購到位監護儀廠家提出相關問題後著力補救才解決。
弱電設計公司在明確信息點覆蓋方案後，醫院建設部門應及時提供房間傢具分布圖，以方便弱電設計公司根據傢具分布圖確定信息點插座的位置，最大程度避免日後辦公桌在左邊而信息點在右邊，需要從過道走線或重新為網線走線安裝線槽的情況出現。
（二）隨著門診及住院醫生工作站、電子病歷、醫學圖像存檔與傳輸系統等信息系統的全院性應用，對計算機系統的依賴性越來越強，計算機系統故障會導致醫院業務停頓，病人就不能正常就診。因此，建立高可靠性與高穩定性的醫院計算機網路就非常重要。本院在網路設計過程中對門診、醫技等關鍵業務區域進行了交換設備與鏈路冗餘設計，將由於網路故障導致業務停頓的機會降到最少。但對於非關鍵業務區域，接入層採用單鏈路，採用出現故障盡快用備件更換的方法，最大程度減少設備投資。本院這種核心與會聚層冗餘設計，接入層分業務關鍵與非關鍵的網路建設方案，保障了投資的有效性又將網路故障導致大面積信息系統癱瘓的可能性減到最低。
網路設備進行了冗餘設計，但是否能真正達到設計要求起到冗餘作用，在故障發生時不影響業務正常運轉呢？這就需要根據設計方案制訂詳細的演練方案，模擬核心交換機、會聚層交換機故障或冗餘鏈路中斷的情況下，是否真正起到冗餘作用。我院在設備正常運行二個月後制訂詳細演練方案進行正常業務環境下的實戰演練，在按方案陸續強行關閉冗餘設計的核心交換機、會聚層交換機電源以及拔掉冗餘鏈路情況下測試是否會對業務產生影響。通過演練證明了設計的可行性，其演練方案與測試文檔為真正故障情況下從容應對提供了實踐經驗。

㈢ 伺服器操作系統中性能監視可以採用什麼工具

網路工程需求析完應形網路工程需求析報告書與用戶交流、修改並通用戶組織評審網路工程設計要根據評審意見形操作行性階段網路工程需求析報告網路工程需求析報告網路系統案設計階段水渠網路工程設計階段包括確定網路工程目標與案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型網路安全設計等內容
2.1
網路工程目標設計原則
1．網路工程目標
般情況網路工程目標要進行總體規劃步實施制定網路工程總目標應確定採用網路技術、工程標准、網路規模、網路系統功能結構、網路應用目范圍總體目標進行解明確各期工程具體目標、網路建設內容、所需工程費用、間進度計劃等
於網路工程應根據工程種類目標同先網路工程整體規劃確定總體目標並目標採用步實施策略般我工程三步
1)
建設計算機網路環境平台
2) 擴計算機網路環境平台
3)
進行高層網路建設
2．網路工程設計原則
網路信息工程建設目標關系現今幾內用戶網路信息化水平網應用系統敗工程設計前主要設計原則進行選擇平衡並排定其案設計優先順序網路工程設計實施具指導意義
1)
實用、用與夠用性原則
計算機與外設、伺服器網路通信等設備技術性能逐步提升同其價格卻逐或逐季降能沒必要實現所謂步位所網路案設計應採用熟靠技術設備充體現夠用、用、實用建網原則切用今錢買明、才用設備
2)
放性原則
網路系統應採用放標准技術資源系統建設要採用家標准些要遵循際標准(：財務管理系統、電商務系統)其目包括兩面：第利於網路工程系統期擴充；第二利於與外部網路互連互通切閉門造車形信息化孤島
3)
靠性原則
論企業事業論網路規模網路系統靠性工程命線比網路系統關鍵設備應用系統偶爾現死鎖於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產災難性事故應確保網路系統高平均故障間盡能低平均故障率
4)
安全性原則
網路安全主要指網路系統防病毒、防黑客等破壞系統、數據用性、致性、高效性、信賴性及靠性等安全問題網路系統安全案設計應考慮用戶網路安全面投入資金建議用戶選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息外伺服器要與內伺服器隔離
5)
先進性原則
網路系統應採用際先進、主流、熟技術比區域網採用千兆太網全交換太網技術視網路規模(比網路連接機器台數250台)選用層交換技術支持層幹道傳輸、樹等協議
6)
易用性原則
網路系統硬體設備軟體程序應易於安裝、管理維護各種主要網路設備比核交換機、匯聚交換機、接入交換機、伺服器、功率延UPS等設備均要支持流行網管系統便用戶管理、配置網路系統
7)
擴展性原則
網路總體設計僅要考慮近期目標要網路進步發展留擴展余要選用主流產品技術若能選用同品牌產品或兼容性產品系統切選用技術性能兼容產品比於層交換網路若要選用兩種品牌交換機定要注意VLAN幹道傳輸、樹等協議否兼容否縫連接些問題解決擴展性自水渠
2.2
網路通信平台設計
1．網路拓撲結構
網路拓撲結構主要指園區網路物理拓撲結構今區域網技術首選交換太網技術採用太網交換機物理連接看拓撲結構星型、擴展星型或樹型等結構邏輯連接看拓撲結構能匯流排結構於型網路考慮鏈路傳輸靠性採用冗餘結構確立網路物理拓撲結構整網路案規劃基礎物理拓撲結構選擇往往理環境布、傳輸介質與距離、網路傳輸靠性等素緊密相關選擇拓撲結構應該考慮主要素幾點
1)
理環境：同理環境需要設計同物理網路拓撲同網路物理拓撲設計施工安裝工程費用同般情況網路物理拓撲選用星型結構便於網路通信設備管理維護
2)
傳輸介質與距離：設計網路考慮傳輸介質、距離遠近用於網路通信平台經費投入網路拓撲結構必須具傳輸介質、通信距離、投入經費等三者間權衡建築樓間互連應採用模或單模光纜兩建築樓間距於90m用超五類屏蔽雙絞線要考慮屏蔽雙絞線兩端接問題
3)
靠性：網路設備損壞、光纜挖斷、連接器松等類故障能發網路拓撲結構設計應避免別結點損壞影響整網路運行若經費允許網路拓撲結構核層匯聚層採用全冗餘連接圖6-1所示
網路拓撲結構規劃設計與網路規模息息相關規模較星型區域網沒匯聚層、接入層規模較網路通星型層拓撲結構圖6-1所示主幹網路稱核層用連接伺服器、建築群網路或較型建築物內連接交換機配線間網路設備間連接信息點毛細血管線路及網路設備稱接入層根據需要間設置匯聚層
圖6-1
網路全冗餘連接星型拓撲結構圖
層設計助於配規劃帶寬利於信息流量局部化說全局網路某部門信息訪問需求根少(比：財務部門信息能本部門內授權訪問)種情況部門業務伺服器即放匯聚層局部信息流量傳輸波及全網
2．主幹網路(核層)設計
主幹網技術選擇要根據需求析用戶網路規模、網傳輸信息種類用戶投入資金等素考慮般言主幹網用連接建築群伺服器群能容納網路50％～80％信息流網路脈連接建築群主幹網般光纜做傳輸介質典型主幹網技術主要100Mbps-FX太網、l
000Mbps太網、ATM等易用性、先進性擴展性角度考慮採用百兆、千兆太網目前區域網構建流行做
3．匯聚層接入層設計
匯聚層存與否取決於網路規模建築樓內信息點較(比於22點)超台交換機埠密度增加交換機擴充埠需要匯聚交換機交換機間採用級連式則組固定埠交換機聯台背板帶寬性能較匯聚交換機再由匯聚交換機聯主幹網核交換機採用台交換機堆疊式擴充埠密度其台交換機聯則網路接入層
接入層即直接信息點通信息點網路資源設備(PC：等)接入網路匯聚層採用級連堆疊要看網路信息點布情況信息點布均距交換機50m半徑內且信息點數已超台或兩台交換機容量則應採用交換機堆疊結構堆疊能夠充足帶寬保證適宜匯聚(樓宇內)信息點密集情況交換機級連則適用於樓宇內信息點散其配線間能覆蓋全樓信息點增加匯聚層同使工程本提高
匯聚層、接入層般採用l00Base-Tx快速變換式太網採用10/100Mbps自適應交換桌面傳輸介質超五類或五類雙絞線Cisco
Catalyst
3500/4000系列交換機專門針等密度匯聚層設計接入層交換機選擇產品根要根據應用需求選擇支持l～2光埠模塊支持堆疊接入層變換機
4．廣域網連接與遠程訪問設計
由於布線系統費用實現限制於零散遠程用戶接入利用PSTN電網路進行遠程撥號訪問幾乎惟經濟、便選擇遠程撥號訪問需要設計遠程訪問伺服器Modem設備並申請組繼線由於撥號訪問整網路惟窄帶設備部未網路能逐步減少使用遠程訪問伺服器(RAS)Modem組埠數目應般按埠支持20用戶計算配置
廣域網連接指園區網路外連接通道．般採用路由器連接外部網路根據網路規模、網路用戶數量選擇外連接通道帶寬網路用戶沒www、E-mail等具internet功能伺服器用戶採用ISDN或ADSL等技術連接外網用戶WWW、E-mail等具internet功能伺服器用戶採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網其連接帶寬根據內外信息流選擇比網並發用戶數150～250問租用2Mbps線路通同步口連接Internet用戶與網路接入運營商同城市採用光纖10Mbps／100Mbps速率連接Internet外部線路租用費用般與帶寬比速度越快費用越高網路工程設計用戶必須清楚點能給用戶提供連接外網帶寬受兩素制約用戶租用外連線路速率二用戶共享運營商連接Internet速率
5．線網路設計
線網路現解決線網路克服困難線網路首先適用於難布線(比受保護建築物、機場等)或者經需要變布線結構(展覽館等)校重要應用領域線網路系統使教師、校園內任何接入網路另外線網路支持十幾公區域於城市范圍網路接入能適用設想採用線網路ISP城市任何角落提供高達10Mbps互聯網接入
6．網路通信設備選型
1)
網路通信設備選型原則
2)
核交換機選型策略
3)
匯聚層/接入層交換機選型策略
4)
遠程接入與訪問設備選型策略

2.3
網路資源平台設計
1．伺服器
2．伺服器網連接案
3．網路應用系統

2.4
網路操作系統與伺服器配置
1．網路操作系統選型
目前網路操作系統產品較網路應用提供良選擇性操作系統網路建設敗至重要要依據具體應用選擇操作系統般情況網路系統集網路工程項目要完基礎應用平台三層(網路層、數據鏈路層、物理層)建構選擇操作系統要看網路系統集工程師及用戶系統管理員技術水平網路操作系統使用經驗定工程實施選些家都比較疏伺服器操作系統能使工期延預見性費用加能要請外援做系統培訓維護難度費用要增加
網路操作系統兩類：即面向IA架構PC伺服器操作系統族UNIX操作系統家族UNIX伺服器品質較高、價格昂貴、裝機量少且選擇性高般根據應用系統平台實際需求估計費用瞄準某兩家產品准備即與UNIX伺服器相比Windows
2000 Advanced Server伺服器品牌產品型號謂鋪蓋
般型網路普遍採用
同網路系統需要採用同種網路操作系統選擇結合Windows 2000 Advanced
Server、LinuxUNIX特點網路混合使用通WWW、OA及管理信息系統伺服器採用Windows 2000 Advanced
Server平台E-mail、DNS、Proxy等Internet應用使用Linux／UNIX既享受Windows 2000 Advanced
Server應用豐富、界面直觀、使用便優點享受Linux／UNIX穩定、高效處
2．Windows 2000 Server
伺服器配置
首先應根據需求階段調研比網路規模、客戶數量流量、資料庫規模、所使用應用軟體特殊要求等決定Windows 2000
Advanced Server伺服器檔、配置例伺服器若用於部門文件列印服務普通單處理器Windows 2000Advanced
Server伺服器應付自；用於型資料庫伺服器伺服器至少要256MB內存：作型資料庫伺服器或者E-mail、Internet伺服器內存要達512MB且要使用ECC內存於型企業說般網路要求數十至數百用戶使用資料庫規模選擇部門級伺服器1路至2路CPU、512-1024MB
ECC內存、三36GB(RAID5)或者五36GB硬碟(RAID5)充滿足網路需求希望擴充余些或者伺服器要做OA伺服器、MIS伺服器網路規模比較用戶數據量選擇企業級伺服器即4路或8路SMP結構帶熱插拔RAID磁碟陣列、冗餘風扇冗餘電源系統
其選擇Windows
2000 Advanced Server伺服器伺服器幾關鍵部選取定要關Windows 2000 Advanced
Server雖兼容性相錯操作系統兼容並保證100％用Windows 2000 Advanced
Server伺服器內存必須支持ECC使用非ECC內存SQL資料庫等應用難保證穩定、運行Windows 2000 Advanced
server伺服器主要部件(主板、網卡)定要通微軟Windows 2000 Advanced Server認證通微軟Windows
2000 Advanced Server部件認證產品才能保證其Windows 2000 Advanced
Server100％用性另外伺服器電源否靠伺服器能跑幾歇歇
第三升級已windows 2000
Advanced Server伺服器．則要仔細析原網路伺服器瓶頸所簡單利用Windows 2000 Advanced
Server系統集軟體工具比Windows 2000 Advanced
Server系統性能監視器等查看系統運行狀況析系統各部資源使用情況般說供參考Windows 2000 Advanced
Server伺服器系統升級順序擴充伺服器內存容量、升級伺服器處理器、增加系統處理器數目所於Windows 2000 Advanced
Server伺服器典型應用(SQL資料庫、OA伺服器)說些服務佔用系統主要資源銷內存銷處理器資源銷要求並通擴充伺服器內存容量提高系統用內存資源提高伺服器性能反由於處理器系統其本身佔用系統資源銷高於單處理器佔用所相說增加系統處理器升級案其性價比要比擴充內存容量案差要根據網路應用系統實際情況確定增加伺服器處理器數目比網路應用伺服器要處理量並發訪問、復雜算、量數模型等
3．伺服器群綜合配置與均衡
我所謂PC伺服器、UNIX伺服器、型機伺服器其概念主要限於物理伺服器(硬體)范疇網路資源存儲、應用系統集通伺服器硬體安裝各類應用系統伺服器系統冠相應應用系統名字資料庫伺服器、Web伺服器、E-mail伺服器等其概念屬於邏輯伺服器(軟體)范疇根據網路規模、用戶數量應用密度需要台伺服器硬體專門運行種服務台伺服器硬體需安裝兩種服務程序兩台伺服器需安裝運行同種服務系統說伺服器與其網路職能並麻網路規模用l至2台伺服器區域網達十幾台至數十台企業網校園網何根據應用需求、費用承受能力、伺服器性能同服務程序間硬體佔用特點、合理搭配規劃伺服器配製限度提高效率性能基礎降低本系統集要考慮問題
關伺服器應用配置與均衡建議
1)
型網路伺服器應用配置
2)
型網路伺服器應用配置
3)
型網路或ISP/ICP伺服器群配置

2.5
網路安全設計
網路安全體系設計重點於根據安全設計基本原則制定網路各層安全策略措施確定選用網路安全系統產品
1．網路安全設計原則
盡管沒絕安全網路網路案設計初遵些安全原則網路系統安全保障設計全面考慮消極安全保密措施寄託網管階段種事打補丁思路相危險工程技術角度發設計網路案應該遵守原則
1)
網路安全前期防範
強調信息系統全面進行安全保護家都知道木桶容積取決於短塊木板道理網路安全說效網路信息系統復雜計算機系統本身物理、操作管理種種漏洞構系統安全脆弱性尤其用戶網路系統自身復雜性、資源共享性使單純技術保護防勝防攻擊者使用易滲透性自系統薄弱進行攻擊充、全面、完整系統安全漏洞安全威脅進行析、評估檢測(包括模擬攻擊)設計網路安全系統必要前提條件
2)
網路安全線保護
強調安全防護、監測應急恢復要求網路發攻擊、破壞情況必須盡能快恢復網路信息系統服務減少損失所網路安全系統應該包括3種機制：安全防護機制、安全監測機制、安全恢復機制安全防護機制根據具體系統存各種安全漏洞安全威脅採取相應防護措施避免非攻擊進行：安全監測機制監測系統運行及發現制止系統進行各種攻擊；安全恢復機制安全防護機制失效情況進行應急處理及恢復信息減少攻擊破壞程度
3)
網路安全效性與實用性
網路安全應能影響系統運行合用戶操作前提網路信息安全信息應用矛盾面健全彌補系統缺陷漏洞採取種技術手段管理措施：另面勢必給系統運行用戶使用造負擔麻煩越安全意味著使用越便尤其網路環境實性要求高業務能容忍安全連接安全處理造延網路安全採用布式監控、集式管理
4)
網路安全等級劃與管理
良網路安全系統必同級別包括信息保密程度級(絕密、機密、秘密、普密)用戶操作許可權級(面向及面向群組)網路安全程度級(安全網安全區域)系統結構層級(應用層、網路層、鏈路層等)安全策略針同級別安全象提供全面、選安全算安全體制滿足網路同層各種實際需求
網路總體設計要考慮安全系統設計避免考慮周問題拆東牆補西牆做避免造經濟巨損失避免家、集體造挽損失由於安全與保密問題相復雜問題必須注重網路安全管理要安全策略設備、安全責任、安全機制貫穿整網路系統才能保證網路安全性
5)
網路安全經濟實用
網路系統設計受經費限制考慮安全問題解決案必須考慮性能價格平衡且同網路系統所要求安全側重點各相同般園區網路要具身份認證、網路行審計、網路容錯、防黑客、防病毒等功能網路安全產品實用、用、夠用即
2．網路信息安全設計與實施步驟
第步、確定面臨各種攻擊風險
第二步、確定安全策略
安全策略網路安全系統設計目標原則應用系統完整安全解決案安全策略制定要綜合幾面情況
(1)
系統整體安全性由應用環境用戶需求決定包括各安全機制系統安全目標性能指標
(2)
原系統運行造負荷影響(網路通信延、數據擴展等)
(3) 便於網路管理員進行控制、管理配置
(4)
擴展編程介面便於更新升級
(5) 用戶界面友性使用便性
(6)
投資總額工程間等
第三步、建立安全模型
模型建立使復雜問題簡化更解決安全策略關問題安全模型包括網路安全系統各系統網路安全系統設計實現安全體制、網路安全連接網路安全傳輸三部
(1)
安全體制：包括安全算庫、安全信息庫用戶介面界面
(2) 網路安全連接：包括安全協議網路通信介面模塊
(3)
網路安全傳輸：包括網路安全管理系統、網路安全支撐系統網路安全傳輸系統
第四步、選擇並實現安全服務
(1)
物理層安爭：物理層信息安全主要防止物理通路損壞、物理通路竊聽物理通路攻擊(干擾等)
(2)
鏈路層安全：鏈路層網路安全需要保證通網路鏈路傳送數據竊聽主要採用劃VLAN(區域網)、加密通信(遠程網)等手段
(3)網路層安全：網路層安全需要保證網路給授權客戶使用授權服務保證網路傳輸確避免攔截或監聽
(4)
操作系統安全：操作系統安全要求保證客戶資料、操作系統訪問控制安令同能夠該操作系統應用進行審計
(5)
應用平台安全：應用平台指建立網路系統應用軟體服務資料庫伺服器電郵件伺服器Web伺服器等由於應用平台系統非復雜通採用種技術(SSL等)增強應用平台安全性
(6)
應用系統安全：應用系統用戶提供服務應用系統安全與系統設計實現關系密切應用系統使用應用平台提供安全服務保證基本安全通信內容安全、通信雙認證審計等手段
第五步、安全產品選型
網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等安全產品選型工作要嚴格按照企業(校)信息與網路系統安全產品功能規范要求利用綜合技術手段產品功能、性能與用性等面進行測試企業、校選符合功能要求安全產品

完整設計案應包括基本內容：
1．設計總說明
系統工程起背景進行簡要說明：主要包括：
(1)
技術普及與應用
(2)
業主發展需要（需求析書進行概括）
2．設計總則
部闡述整系統設計總體原則主要包括：
(1)
系統設計思想
(2) 總體目標
(3)
所遵循標准
3．技術案設計
所採用技術進行詳細說明給全面技術案主要包括：
(1) 整體設計概要
(2)
設計思想與設計原則
(3) 綜合布線系統設計
(4) 網路系統設計
(5) 網路應用系統平台設計
(6)
伺服器系統安全策略
4．預算
整系統項目進行預算主要內容包括：列整系統設備、材料用量表及費用；本析；綜合單價給整系統預算表
5．項目實施管理
整項目實施進行管理控制主要包括：
(1)
項目實施組織構架及管理
(2) 獎懲體系
(3) 施工案
(4) 技術措施案
(5) 項目進度計劃
(5)
業主配合要求
6．供貨計劃、式
主要描述項目材料、設備達現場計劃供貨式
請看清楚問題 ；我問伺服器監控軟體

㈣ 計算機網路設計教程(第二版)習題解答陳明

網路工程需求分析完成後，應形成網路工程需求分析報告書，與用戶交流、修改，並通過用戶方組織的評審。網路工程設計方要根據評審意見，形成可操作和可行性的階段網路工程需求分析報告。有了網路工程需求分析報告，網路系統方案設計階段就會「水到渠成」。網路工程設計階段包括確定網路工程目標與方案設計原則、通信平台規劃與設計、資源平台規劃與設計、網路通信設備選型、網路伺服器與操作系統選型、綜合布線網路選型和網路安全設計等內容。
2.1
網路工程目標和設計原則
1．網路工程目標
一般情況下，對網路工程目標要進行總體規劃，分步實施。在制定網路工程總目標時應確定採用的網路技術、工程標准、網路規模、網路系統功能結構、網路應用目的和范圍。然後，對總體目標進行分解，明確各分期工程的具體目標、網路建設內容、所需工程費用、時間和進度計劃等。
對於網路工程應根據工程的種類和目標大小不同，先對網路工程有一個整體規劃，然後在確定總體目標，並對目標採用分步實施的策略。一般我們可以將工程分為三步。
1)
建設計算機網路環境平台。
2) 擴大計算機網路環境平台。
3)
進行高層次網路建設。
2．網路工程設計原則
網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。
1)
實用、好用與夠用性原則
計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2)
開放性原則
網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。
3)
可靠性原則
無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。
4)
安全性原則
網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。
5)
先進性原則
網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。
6)
易用性原則
網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。
7)
可擴展性原則
網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。比如，對於多層交換網路，若要選用兩種品牌交換機，一定要注意他們的VLAN幹道傳輸、生成樹等協議是否兼容，是否可「無縫」連接。這些問題解決了，可擴展性自然是「水到渠成」。
2.2
網路通信平台設計
1．網路拓撲結構
網路的拓撲結構主要是指園區網路的物理拓撲結構，因為如今的區域網技術首選的是交換乙太網技術。採用乙太網交換機，從物理連接看拓撲結構可以是星型、擴展星型或樹型等結構，從邏輯連接看拓撲結構只能是匯流排結構。對於大中型網路考慮鏈路傳輸的可靠性，可採用冗餘結構。確立網路的物理拓撲結構是整個網路方案規劃的基礎，物理拓撲結構的選擇往往和地理環境分布、傳輸介質與距離、網路傳輸可靠性等因素緊密相關。選擇拓撲結構時，應該考慮的主要因素有以下幾點。
1)
地理環境：不同的地理環境需要設計不同的物理網路拓撲，不同的網路物理拓撲設計施工安裝工程的費用也不同。一般情況下，網路物理拓撲最好選用星型結構，以便於網路通信設備的管理和維護。
2)
傳輸介質與距離：在設計網路時，考慮到傳輸介質、距離的遠近和可用於網路通信平台的經費投入，網路拓撲結構必須具有在傳輸介質、通信距離、可投入經費等三者之間權衡。建築樓之間互連應採用多模或單模光纜。如果兩建築樓間距小於90m，也可以用超五類屏蔽雙絞線，但要考慮屏蔽雙絞線兩端接地問題。
3)
可靠性：網路設備損壞、光纜被挖斷、連接器松動等這類故障是有可能發生的，網路拓撲結構設計應避免因個別結點損壞而影響整個網路的正常運行。若經費允許，網路拓撲結構的核心層和匯聚層，最好採用全冗餘連接，如圖6-1所示。
網路拓撲結構的規劃設計與網路規模息息相關。一個規模較小的星型區域網沒有匯聚層、接入層之分。規模較大的網路通常為多星型分層拓撲結構，如圖6-1所示。主幹網路稱為核心層，用以連接伺服器、建築群到網路中心，或在一個較大型建築物內連接多個交換機配線間到網路中心設備間。連接信息點的「毛細血管」線路及網路設備稱為接入層，根據需要在中間設置匯聚層。
圖6-1
網路全冗餘連接星型拓撲結構圖
分層設計有助於分配和規劃帶寬，有利於信息流量的局部化，也就是說全局網路對某個部門的信息訪問的需求根少(比如：財務部門的信息，只能在本部門內授權訪問)，這種情況下部門業務伺服器即可放在匯聚層。這樣局部的信息流量傳輸不會波及到全網。
2．主幹網路(核心層)設計
主幹網技術的選擇，要根據以上需求分析中用戶方網路規模大小、網上傳輸信息的種類和用戶方可投入的資金等因素來考慮。一般而言，主幹網用來連接建築群和伺服器群，可能會容納網路上50％～80％的信息流，是網路大動脈。連接建築群的主幹網一般以光纜做傳輸介質，典型的主幹網技術主要有100Mbps-FX乙太網、l
000Mbps乙太網、ATM等。從易用性、先進性和可擴展性的角度考慮，採用百兆、千兆乙太網是目前區域網構建的流行做法。
3．匯聚層和接入層設計
匯聚層的存在與否，取決於網路規模的大小。當建築樓內信息點較多(比如大於22個點)超出一台交換機的埠密度，而不得不增加交換機擴充埠時，就需要有匯聚交換機。交換機間如果採用級連方式，則將一組固定埠交換機上聯到一台背板帶寬和性能較好的匯聚交換機上，再由匯聚交換機上聯到主幹網的核心交換機。如果採用多台交換機堆疊方式擴充埠密度，其中一台交換機上聯，則網路中就只有接入層。
接入層即直接信息點，通過此信息點將網路資源設備(PC：等)接入網路。匯聚層採用級連還是堆疊，要看網路信息點的分布情況。如果信息點分布均在距交換機為中心的50m半徑內，且信息點數已超過一台或兩台交換機的容量，則應採用交換機堆疊結構。堆疊能夠有充足的帶寬保證，適宜匯聚(樓宇內)信息點密集的情況。交換機級連則適用於樓宇內信息點分散，其配線間不能覆蓋全樓的信息點，增加匯聚層的同時也會使工程成本提高。
匯聚層、接入層一般採用l00Base-Tx快速變換式乙太網，採用10/100Mbps自適應交換到桌面，傳輸介質是超五類或五類雙絞線。Cisco
Catalyst
3500/4000系列交換機就是專門針對中等密度匯聚層而設計的。接入層交換機可選擇的產品根多，但要根據應用需求，可選擇支持l～2個光埠模塊，支持堆疊的接入層變換機。
4．廣域網連接與遠程訪問設計
由於布線系統費用和實現上的限制，對於零散的遠程用戶接入，利用PSTN電話網路進行遠程撥號訪問幾乎是惟一經濟、方便的選擇。遠程撥號訪問需要設計遠程訪問伺服器和Modem設備，並申請一組中繼線。由於撥號訪問是整個網路中惟一的窄帶設備，這一部分在未來的網路中可能會逐步減少使用。遠程訪問伺服器(RAS)和Modem組的埠數目一一對應，一般按一個埠支持20個用戶計算來配置。
廣域網連接是指園區網路對外的連接通道．一般採用路由器連接外部網路。根據網路規模的大小、網路用戶的數量，來選擇對外連接通道的帶寬。如果網路用戶沒有www、E-mail等具有internet功能的伺服器，用戶可以採用ISDN或ADSL等技術連接外網。如果用戶有WWW、E-mail等具有internet功能的伺服器，用戶可採用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網。其連接帶寬可根據內外信息流的大小選擇，比如上網並發用戶數在150～250之問，可以租用2Mbps線路，通過同步口連接Internet。如果用戶與網路接入運營商在同一個城市，也可以採用光纖10Mbps／100Mbps的速率連接Internet。外部線路租用費用一般與帶寬成正比，速度越快費用越高。網路工程設計方和用戶方必須清楚的一點就是，能給用戶方提供多大的連接外網的帶寬受兩個因素的制約，一是用戶方租用外連線路的速率，二是用戶方共享運營商連接Internet的速率。
5．無線網路設計
無線網路的出現就是為了解決有線網路無法克服的困難。無線網路首先適用於很難布線的地方(比如受保護的建築物、機場等)或者經常需要變動布線結構的地方(如展覽館等)。學校也是一個很重要的應用領域，一個無線網路系統可以使教師、學生在校園內的任何地方接入網路。另外，因為無線網路支持十幾公里的區域，因此對於城市范圍的網路接入也能適用，可以設想一個採用無線網路的ISP可以為一個城市的任何角落提供高達10Mbps的互聯網接入。
6．網路通信設備選型
1)
網路通信設備選型原則
2)
核心交換機選型策略
3)
匯聚層/接入層交換機選型策略
4)
遠程接入與訪問設備選型策略

2.3
網路資源平台設計
1．伺服器
2．伺服器子網連接方案
3．網路應用系統

2.4
網路操作系統與伺服器配置
1．網路操作系統選型
目前，網路操作系統產品較多，為網路應用提供了良好的可選擇性。操作系統對網路建設的成敗至天重要，要依據具體的應用選擇操作系統。一般情況下，網路系統集成方在網路工程項目中要完成基礎應用平台以下三層(網路層、數據鏈路層、物理層)的建構。選擇什麼操作系統，也要看網路系統集成方的工程師以及用戶方系統管理員的技術水平和對網路操作系統的使用經驗而定。如果在工程實施中選一些大家都比較生疏的伺服器和操作系統，有可能使工期延長，不可預見性費用加大，可能還要請外援做系統培訓，維護的難度和費用也要增加。
網路操作系統分為兩個大類：即面向IA架構PC伺服器的操作系統族和UNIX操作系統家族。UNIX伺服器品質較高、價格昂貴、裝機量少而且可選擇性也不高，一般根據應用系統平台的實際需求，估計好費用，瞄準某一兩家產品去准備即可。與UNIX伺服器相比，Windows
2000 Advanced Server伺服器品牌和產品型號可謂「鋪天蓋地」，
一般在中小型網路中普遍採用。
同一個網路系統中不需要採用同一種網路操作系統，選擇中可結合Windows 2000 Advanced
Server、Linux和UNIX的特點，在網路中混合使用。通常WWW、OA及管理信息系統伺服器上可採用Windows 2000 Advanced
Server平台，E-mail、DNS、Proxy等Internet應用可使用Linux／UNIX，這樣，既可以享受到Windows 2000 Advanced
Server應用豐富、界面直觀、使用方便的優點，又可以享受到Linux／UNIX穩定、高效的好處。
2．Windows 2000 Server
伺服器配置
首先，應根據需求階段的調研成果，比如網路規模、客戶數量流量、資料庫規模、所使用的應用軟體的特殊要求等，決定Windows 2000
Advanced Server伺服器的檔次、配置。例如，伺服器若是用於部門的文件列印服務，那麼普通單處理器Windows 2000Advanced
Server伺服器就可以應付自如；如果是用於小型資料庫伺服器，那麼伺服器上至少要有256MB的內存：作為小型資料庫伺服器或者E-mail、Internet伺服器，內存要達到512MB，而且要使用ECC內存。對於中小型企業來說，一般的網路要求是有數十個至數百個用戶，使用的資料庫規模不大，此時選擇部門級伺服器。1路至2路CPU、512-1024MB
ECC內存、三個36GB(RAID5)或者五個36GB硬碟(RAID5)可以充分滿足網路需求。如果希望以後擴充的餘地大一些，或者伺服器還要做OA伺服器、MIS伺服器，網路規模比較大，用戶數據量大，那麼最好選擇企業級伺服器，即4路或8路SMP結構，帶有熱插拔RAID磁碟陣列、冗餘風扇和冗餘電源的系統。
其次，選擇Windows
2000 Advanced Server伺服器時，對伺服器上幾個關鍵部分的選取一定要把好關。因為Windows 2000 Advanced
Server雖然是兼容性相對不錯的操作系統，但兼容並不保證100％可用。Windows 2000 Advanced
Server伺服器的內存必須是支持ECC的，如果使用非ECC的內存，SQL資料庫等應用就很難保證穩定、正常地運行。Windows 2000 Advanced
server伺服器的主要部件(如主板、網卡)一定要是通過了微軟Windows 2000 Advanced Server認證的。只有通過了微軟Windows
2000 Advanced Server部件認證的產品才能保證其在Windows 2000 Advanced
Server下的100％可用性。另外，就是伺服器的電源是否可靠，因為伺服器不可能是跑幾天歇一歇的。
第三，在升級已有的windows 2000
Advanced Server伺服器時．則要仔細分析原有網路伺服器的瓶頸所在，此時可簡單利用Windows 2000 Advanced
Server系統中集成的軟體工具，比如Windows 2000 Advanced
Server系統性能監視器等。查看系統的運行狀況，分析系統各部分資源的使用情況。一般來說，可供參考的Windows 2000 Advanced
Server伺服器系統升級順序是擴充伺服器內存容量、升級伺服器處理器、增加系統的處理器數目。之所以這樣是因為，對於Windows 2000 Advanced
Server伺服器上的典型應用(如SQL資料庫、OA伺服器)來說，這些服務佔用的系統主要資源開銷是內存開銷，對處理器的資源開銷要求並小多，通過擴充伺服器內存容量提高系統的可用內存資源，將大大提高伺服器的性能。反過來，由於多處理器系統其本身佔用的系統資源開銷大大高於單處理器的佔用。所以相對來說，增加系統處理器的升級方案，其性價比要比擴充內存容量方案差。因此，要根據網路應用系統實際情況來確定增加伺服器處理器的數目，比如網路應用伺服器要處理大量的並發訪問、復雜的演算法、大量的數學模型等。
3．伺服器群的綜合配置與均衡
我們所謂的PC伺服器、UNIX伺服器、小型機伺服器，其概念主要限於物理伺服器(硬體)范疇。在網路資源存儲、應用系統集成中。通常將伺服器硬體上安裝各類應用系統的伺服器系統冠以相應的應用系統的名字，如資料庫伺服器、Web伺服器、E-mail伺服器等，其概念屬於邏輯伺服器(軟體)范疇。根據網路規模、用戶數量和應用密度的需要，有時一台伺服器硬體專門運行一種服務，有時一台伺服器硬體需安裝兩種以上的服務程序，有時兩台以上的伺服器需安裝和運行同一種服務系統。也就是說，伺服器與其在網路中的職能並不是一一對麻的。網路規模小到只用l至2台伺服器的區域網，大到可達十幾台至數十台的企業網和校園網，如何根據應用需求、費用承受能力、伺服器性能和不同服務程序之間對硬體佔用特點、合理搭配和規劃伺服器配製，最大限度地提高效率和性能的基礎上降低成本，是系統集成方要考慮的問題。
有關伺服器應用配置與均衡的建議如下。
1)
中小型網路伺服器應用配置
2)
中型網路伺服器應用配置
3)
大中型網路或ISP/ICP的伺服器群配置

2.5
網路安全設計
網路安全體系設計的重點在於根據安全設計的基本原則，制定出網路各層次的安全策略和措施，然後確定出選用什麼樣的網路安全系統產品。
1．網路安全設計原則
盡管沒有絕對安全的網路，但是，如果在網路方案設計之初就遵從一些安全原則，那麼網路系統的安全就會有保障。設計時如不全面考慮，消極地將安全和保密措施寄託在網管階段，這種事後「打補丁」的思路是相當危險的。從工程技術角度出發，在設計網路方案時，應該遵守以下原則。
1)
網路安全前期防範
強調對信息系統全面地進行安全保護。大家都知道「木桶的最大容積取決於最短的一塊木板」，此道理對網路安全來說也是有效的。網路信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶網路系統自身的復雜性、資源共享性，使單純的技術保護防不勝防。攻擊者使用的是「最易滲透性」，自然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測(包括模擬攻擊)，是設計網路安全系統的必要前提條件。
2)
網路安全在線保護
強調安全防護、監測和應急恢復。要求在網路發生被攻擊、破壞的情況下，必須盡可能快地恢復網路信息系統的服務。減少損失。所以，網路安全系統應該包括3種機制：安全防護機制、安全監測機制、安全恢復機制。安全防護機制是根據具體系統存在的各種安全漏洞和安全威脅採取的相應防護措施，避免非法攻擊的進行：安全監測機制是監測系統的運行，及時發現和制止對系統進行的各種攻擊；安全恢復機制是在安全防護機制失效的情況下，進行應急處理和及時地恢復信息，減少攻擊的破壞程度。
3)
網路安全有效性與實用性
網路安全應以不能影響系統的正常運行和合法用戶方的操作活動為前提。網路中的信息安全和信息應用是一對矛盾。一方面，為健全和彌補系統缺陷的漏洞，會採取多種技術手段和管理措施：另一方面，勢必給系統的運行和用戶方的使用造成負擔和麻煩，「越安全就意味著使用越不方便」。尤其在網路環境下，實時性要求很高的業務不能容忍安全連接和安全處理造成的時延。網路安全採用分布式監控、集中式管理。
4)
網路安全等級劃分與管理
良好的網路安全系統必然是分為不同級別的，包括對信息保密程度分級(絕密、機密、秘密、普密)，對用戶操作許可權分級(面向個人及面向群組)，對網路安全程度分級(安全子網和安全區域)，對系統結構層分級(應用層、網路層、鏈路層等)的安全策略。針對不同級別的安全對象，提供全面的、可選的安全演算法和安全體制，以滿足網路中不同層次的各種實際需求。
網路總體設計時要考慮安全系統的設計。避免因考慮不周，出了問題之後「拆東牆補西牆」的做法。避免造成經濟上的巨大損失，避免對國家、集體和個人造成無法挽回的損失。由於安全與保密問題是一個相當復雜的問題。因此必須注重網路安全管理。要安全策略到設備、安全責任到人、安全機制貫穿整個網路系統，這樣才能保證網路的安全性。
5)
網路安全經濟實用
網路系統的設計是受經費限制的。因此在考慮安全問題解決方案時必須考慮性能價格的平衡，而且不同的網路系統所要求的安全側重點各不相同。一般園區網路要具有身份認證、網路行為審計、網路容錯、防黑客、防病毒等功能。網路安全產品實用、好用、夠用即可。
2．網路信息安全設計與實施步驟
第一步、確定面臨的各種攻擊和風險。
第二步、確定安全策略。
安全策略是網路安全系統設計的目標和原則，是對應用系統完整的安全解決方案。安全策略的制定要綜合以下幾方面的情況。
(1)
系統整體安全性，由應用環境和用戶方需求決定，包括各個安全機制的子系統的安全目標和性能指標。
(2)
對原系統的運行造成的負荷和影響(如網路通信時延、數據擴展等)。
(3) 便於網路管理人員進行控制、管理和配置。
(4)
可擴展的編程介面，便於更新和升級。
(5) 用戶方界面的友好性和使用方便性。
(6)
投資總額和工程時間等。
第三步、建立安全模型。
模型的建立可以使復雜的問題簡化，更好地解決和安全策略有關的問題。安全模型包括網路安全系統的各個子系統。網路安全系統的設計和實現可以分為安全體制、網路安全連接和網路安全傳輸三部分。
(1)
安全體制：包括安全演算法庫、安全信息庫和用戶方介面界面。
(2) 網路安全連接：包括安全協議和網路通信介面模塊。
(3)
網路安全傳輸：包括網路安全管理系統、網路安全支撐系統和網路安全傳輸系統。
第四步、選擇並實現安全服務。
(1)
物理層的安爭：物理層信息安全主要防止物理通路的損壞、物理通路的竊聽和對物理通路的攻擊(干擾等)。
(2)
鏈路層的安全：鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN(區域網)、加密通信(遠程網)等手段。
(3)網路層的安全：網路層的安全需要保證網路只給授權的客戶使用授權的服務，保證網路傳輸正確，避免被攔截或監聽。
(4)
操作系統的安全：操作系統安全要求保證客戶資料、操作系統訪問控制的安令，同時能夠對該操作系統上的應用進行審計。
(5)
應用平台的安全：應用平台指建立在網路系統之上的應用軟體服務，如資料庫伺服器，電子郵件伺服器，Web伺服器等。由於應用平台的系統非常復雜，通常採用多種技術(如SSL等)來增強應用平台的安全性。
(6)
應用系統的安全：應用系統是為用戶提供服務，應用系統的安全與系統設計和實現關系密切。應用系統使用應用平台提供的安全服務來保證基本安全，如通信內容安全、通信雙方的認證和審計等手段。
第五步、安全產品的選型
網路安全產品主要包括防火牆、用戶身份認證、網路防病系統統等。安全產品的選型工作要嚴格按照企業(學校)信息與網路系統安全產品的功能規范要求，利用綜合的技術手段，對產品功能、性能與可用性等方面進行測試，為企業、學校選出符合功能要求的安全產品。

一個完整的設計方案，應包括以下基本內容：
1．設計總說明
對系統工程起動的背景進行簡要的說明：主要包括：
(1)
技術的普及與應用
(2)
業主發展的需要（對需求分析書進行概括）
2．設計總則
在這一部分闡述整個系統設計的總體原則。主要包括：
(1)
系統設計思想
(2) 總體目標
(3)
所遵循的標准
3．技術方案設計
對所採用的技術進行詳細說明，給出全面的技術方案。主要包括：
(1) 整體設計概要
(2)
設計思想與設計原則
(3) 綜合布線系統設計
(4) 網路系統設計
(5) 網路應用系統平台設計
(6)
伺服器系統安全策略
4．預算
對整個系統項目進行預算。主要內容包括：列出整個系統的設備、材料用量表及費用；成本分析；以綜合單價法給出整個系統的預算表。
5．項目實施管理
對整個項目的實施進行管理控制的方法。主要包括：
(1)
項目實施組織構架及管理
(2) 獎懲體系
(3) 施工方案
(4) 技術措施方案
(5) 項目進度計劃

㈤ 邏輯安全包括訪問控制加密安全管理及用戶身份認證對嗎

網路系統安全
網路信息系統的安全技術體系通常是在安全策略指導下合理配置和部署：網路隔離與訪問控制、入侵檢測與響應、漏洞掃描、防病毒、數據加密、身份認證、安全監控與審計等技術設備，並且在各個設備或系統之間，能夠實現系統功能互補和協調動作。
網路系統安全具備的功能及配置原則
1．網路隔離與訪問控制。通過對特定網段、服務進行物理和邏輯隔離，並建立訪問控制機制，將絕大多數攻擊阻止在網路和服務的邊界以外。
2．漏洞發現與堵塞。通過對網路和運行系統安全漏洞的周期檢查，發現可能被攻擊所利用的漏洞，並利用補丁或從管理上堵塞漏洞。
3．入侵檢測與響應。通過對特定網路（段）、服務建立的入侵檢測與響應體系，實時檢測出攻擊傾向和行為，並採取相應的行動（如斷開網路連接和服務、記錄攻擊過程、加強審計等）。
4．加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息（如VPN方式）或數據加密通信方式；對保密或敏感數據進行加密存儲，可防止竊取或丟失。
5．備份和恢復。良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。
6．監控與審計。在辦公網路和主要業務網路內配置集中管理、分布式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日誌記錄；另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。
邊界安全解決方案
在利用公共網路與外部進行連接的「內」外網路邊界處使用防火牆，為「內部」網路（段）與「外部」網路（段）劃定安全邊界。在網路內部進行各種連接的地方使用帶防火牆功能的VPN設備，在進行「內」外網路（段）的隔離的同時建立網路（段）之間的安全通道。
1．防火牆應具備如下功能：
使用NAT把DMZ區的伺服器和內部埠影射到Firewall的對外埠；
允許Internet公網用戶訪問到DMZ區的應用服務：http、ftp、smtp、dns等；
允許DMZ區內的工作站與應用伺服器訪問Internet公網；
允許內部用戶訪問DMZ的應用服務：http、ftp、smtp、dns、pop3、https；
允許內部網用戶通過代理訪問Internet公網；
禁止Internet公網用戶進入內部網路和非法訪問DMZ區應用伺服器；
禁止DMZ區的公開伺服器訪問內部網路；
防止來自Internet的DOS一類的攻擊；
能接受入侵檢測的聯動要求，可實現對實時入侵的策略響應；
對所保護的主機的常用應用通信協議（http、ftp、telnet、smtp）能夠替換伺服器的Banner信息，防止惡意用戶信息刺探；
提供日誌報表的自動生成功能，便於事件的分析；
提供實時的網路狀態監控功能，能夠實時的查看網路通信行為的連接狀態（當前有那些連接、正在連接的IP、正在關閉的連接等信息），通信數據流量。提供連接查詢和動態圖表顯示。
防火牆自身必須是有防黑客攻擊的保護能力。
2．帶防火牆功能的VPN設備是在防火牆基本功能（隔離和訪問控制）基礎上，通過功能擴展，同時具有在IP層構建端到端的具有加密選項功能的ESP隧道能力，這類設備也有SVPN的，主要用於通過外部網路（公共通信基礎網路）將兩個或兩個以上「內部」區域網安全地連接起來，一般要求SVPN應具有一下功能：
防火牆基本功能，主要包括：IP包過慮、應用代理、提供DMZ埠和NAT功能等（有些功能描述與上相同）；
具有對連接兩端的實體鑒別認證能力；
支持移動用戶遠程的安全接入；
支持IPESP隧道內傳輸數據的完整性和機密性保護；
提供系統內密鑰管理功能；
SVPN設備自身具有防黑客攻擊以及網上設備認證的能力。
入侵檢測與響應方案
在網路邊界配置入侵檢測設備，不僅是對防火牆功能的必要補充，而且可與防火牆一起構建網路邊界的防禦體系。通過入侵檢測設備對網路行為和流量的特徵分析，可以檢測出侵害「內部」網路或對外泄漏的網路行為和流量，與防火牆形成某種協調關系的互動，從而在「內部」網與外部網的邊界處形成保護體系。
入侵檢測系統的基本功能如下：
通過檢測引擎對各種應用協議，操作系統，網路交換的數據進行分析，檢測出網路入侵事件和可疑操作行為。
對自身的資料庫進行自動維護，無需人工干預，並且不對網路的正常運行造成任何干擾。
採取多種報警方式實時報警、音響報警，信息記錄到資料庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日誌報警、Windows消息報警信息，並按照預設策略，根據提供的報警信息切斷攻擊連接。
與防火牆建立協調聯動，運行自定義的多種響應方式，及時阻隔或消除異常行為。
全面查看網路中發生的所有應用和連接，完整的顯示當前網路連接狀態。
可對網路中的攻擊事件，訪問記錄進行適時查詢，並可根據查詢結果輸出圖文報表，能讓管理人員方便的提取信息。
入侵檢測系統猶如攝像頭、監視器，在可疑行為發生前有預警，在攻擊行為發生時有報警，在攻擊事件發生後能記錄，做到事前、事中、事後有據可查。
漏洞掃描方案
除利用入侵檢測設備檢測對網路的入侵和異常流量外，還需要針對主機系統的漏洞採取檢查和發現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞，並提醒系統管理員對該缺陷和漏洞進行修補或堵塞。
對於漏洞掃描的結果，一般可以按掃描提示信息和建議，屬外購標准產品問題的，應及時升級換代或安裝補丁程序；屬委託開發的產品問題的，應與開發商協議修改程序或安裝補丁程序；屬於系統配置出現的問題，應建議系統管理員修改配置參數，或視情況關閉或卸載引發安全漏洞的程序模塊或功能模塊。
漏洞掃描功能是協助安全管理、掌握網路安全態勢的必要輔助，對使用這一工具的安全管理員或系統管理員有較高的技術素質要求。
考慮到漏洞掃描能檢測出防火牆策略配置中的問題，能與入侵檢測形成很好的互補關系：漏洞掃描與評估系統使系統管理員在事前掌握主動地位，在攻擊事件發生前找出並關閉安全漏洞；而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標，而且關系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品，不但可以簡化管理，而且便於漏洞掃描、入侵檢測和防火牆之間的協調動作。
網路防病毒方案
網路防病毒產品較為成熟，且有幾種主流產品。本方案建議，網路防病毒系統應具備下列功能：
網路&單機防護—提供個人或家庭用戶病毒防護；
文件及存儲伺服器防護—提供伺服器病毒防護；
郵件伺服器防護—提供LotusNotes,MicrosoftExchange等病毒防護；
網關防護—在SMTP,HTTP,和FTPservergateway阻擋計算機病毒；
集中管理—為企業網路的防毒策略，提供了強大的集中控管能力。
關於安全設備之間的功能互補與協調運行
各種網路安全設備（防火牆、入侵檢測、漏洞掃描、防病毒產品等），都有自己獨特的安全探測與安全保護能力，但又有基於自身主要功能的擴展能力和與其它安全功能的對接能力或延續能力。因此，在安全設備選型和配置時，盡可能考慮到相關安全設備的功能互補與協調運行，對於提高網路平台的整體安全性具有重要意義。
防火牆是目前廣泛用於隔離網路（段）邊界並實施進/出信息流控制的大眾型網路安全產品之一。作為不同網路（段）之間的邏輯隔離設備，防火牆將內部可信區域與外部危險區域有效隔離，將網路的安全策略制定和信息流動集中管理控制，為網路邊界提供保護，是抵禦入侵控制內外非法連接的。
但防火牆具有局限性。這種局限性並不說明防火牆功能有失缺，而且由於本身只應該承擔這樣的職能。因為防火牆是配置在網路連接邊界的通道處的，這就決定了它的基本職能只應提供靜態防禦，其規則都必須事先設置，對於實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的，對一些協議細節無法做到完全解析。而且，防火牆無法自動調整策略設置以阻斷正在進行的攻擊，也無法防範基於協議的攻擊。
為了彌補防火牆在實際應用中存在的局限，防火牆廠商主動提出了協調互動思想即聯動問題。防火牆聯動即將其它安全設備（組件）（例如IDS）探測或處理的結果通過介面引入系統內調整防火牆的安全策略，增強防火牆的訪問控制能力和范圍，提高整體安全水平。
目前，防火牆形成聯動的主要有以下幾種方式：
1．與入侵檢測實現聯動
目前，實現入侵檢測和防火牆之間的聯動有兩種方式。一種是實現緊密結合，即把入侵檢測系統嵌入到防火牆中，即入侵檢測系統的數據來源不再來源於抓包，而是流經防火牆的數據流。但由於入侵檢測系統本身也是一個很龐大的系統，從目前的軟硬體處理能力來看，這種聯動難於達到預期效果。第二種方式是通過開放介面來實現聯動，即防火牆或者入侵檢測系統開放一個介面供對方調用，按照一定的協議進行通信、警報和傳輸，這種方式比較靈活，不影響防火牆和入侵檢測系統的性能。
防火牆與入侵檢測系統聯動，可以對網路進行動靜結合的保護，對網路行為進行細顆粒的檢查，並對網路內外兩個部分都進行可靠管理。【網路安全設計方案3篇】網路安全設計方案3篇。
2．與防病毒實現聯動
防火牆處於內外網路信息流的必經之地，在網關一級對病毒進行查殺是網路防病毒的理想措施。目前已有一些廠商的防火牆可以與病毒防治軟體進行聯動，通過提供API定義非同步介面，將數據包轉發到裝載了網關病毒防護軟體的伺服器上進行檢查，但這種聯動由於性能影響，目前並不適宜部署在網路邊界處。
3．與日誌處理間實現聯動
防火牆與日誌處理之間的聯動，目前國內廠商做的不多。比較有代表性的是CheckPoint的防火牆，它提供兩個API：LEA（LogExportAPI）和ELA（EventLoggingAPI），允許第三方訪問日誌數據。報表和事件分析採用LEAAPI，而安全與事件整合採用ELAAPI。防火牆產品利用這個介面與其他日誌伺服器合作，將大量的日誌處理工作由專門的服務設備完成，提高了專業化程度。
內部網路監控與審計方案
上面的安全措施配置解決了網路邊界的隔離與保護，網路與主機的健康（防病毒）運行，以及用戶訪問網路資源的身份認證和授權問題。
然而，縣衛生局網路內部各辦公網路、業務網路的運行秩序的維護，網路操作行為的監督，各種違規、違法行為的取證和責任認定，以及對操作系統漏洞引發的安全事件的監視和控制等問題，則是必須予以解決的問題。因此有必要在各種內部辦公網路、業務網內部部署集中管理、分布式控制的監控與審計系統。這種系統通過在區域網（子網）內的管理中心安裝管理器，在各台主機（PC機）中安裝的代理軟體形成一個監控與審計（虛擬網路）系統，通過對代理軟體的策略配置，使得每台工作主機（PC機）按照辦公或業務操作規范進行操作，並對可能經過主機外圍介面（USB口、串/並口、軟硬碟介面等）引入的非法入侵（包括病毒、木馬等），或非法外連和外泄的行為予以阻斷和記錄；同時管理器通過網路還能及時收集各主機上的安全狀態信息並下達控制命令，形成「事前預警、事中控制和事後審計」的監控鏈。
監控與審計系統應具有下列功能：
管理器自動識別區域網內所有被監控對象之間的網路拓撲關系，並採用圖形化顯示，包括被監控主機的狀態（如在線、離線）等；
支持對包含有多個子網的區域網進行全面監控；
系統對被監控對象的USB移動存儲設備、光碟機、軟碟機等外設的使用以及利用這些設備進行文件操作等非授權行為進行實時監視、控制和審計；
系統對被監控對象的串/並口等介面的活動狀態進行實時監視、控制和審計；
系統對進出被監控對象的網路通信(www,ftp,pop,smtp)數據包進行實時攔截、分析、處理和審計，對telnet通信數據包進行攔截；
系統可根據策略規定，禁止被監控對象進行撥號(普通modem撥號、ADSL撥號、社區寬頻撥號)連接，同時提供審計；
系統對被監控對象運行的所有進程進行實時監視和審計；
系統支持群組管理，管理員可以根據被監控對象的屬性特徵，將其劃分成不同的安全組，對每個組制定不同的安全策略，所有組的成員都根據該策略執行監控功能；
支持多角色管理，系統將管理員和審計員的角色分離，各司其職；
強審計能力，系統具有管理員操作審計、被監控對象發送的事件審計等功能；
系統自身有極強的安全性，能抗欺騙、篡改、偽造、嗅探、重放等攻擊。

㈥ 大中型高校校園網網路設備選型

下面的是我做的方案的設備選型：核心交換機（數量為2）WS-C4507R-E Cat4500 E-Series 6-Slot Chassis, fan, no ps（機箱）WS-X45-SUP6L-ECatalyst 4500 E-Series Sup 6-E Lite, 2x10GE(X2) w/ Twin Gig（引擎） PWR-C45-1000ACCatalyst 4500 1000W AC Power Supply (Data Only) （電源）CAB-AC16A-CH16A AC Power Cord For China（電源線）S45EIPBK9-12253SGCisco CAT4500E IOS IP BASE SSH（IOS）WS-X4506-GB-TCatalyst 4500 6-Port 10/100/1000 PoE or SFP (Optional)（板卡）匯聚交換機WS-C3750G-48TS-SCatalyst 3750 48 10/100/1000T + 4 SFP + IPB Image接入層交換機WS-C2960-48TT-SCatalyst 2960 48 10/100 + 2 1000BT LAN Lite ImageWS-C2960-24TC-SCatalyst 2960 24 10/100 + 2 T/SFP LAN Lite Image安全設備ASA5520-BUN-K9ASA 5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES

㈦ 網路安全都有哪些就業方向

網路安全專業就是一個研究加密與反加密，破譯與反破譯的一個專業。
它是融合了計算機，通信，數學，法律，管理，人工智慧，物聯網等學科的一個交叉學科。
目的在於維護網路正常運行，保證網路空間環境安全，主要研究確保網路安全的科學與技術。
這個專業培養能夠從事計算機，通信工程，電子商務，電子政務，電子金融等領域的網路安全高級專門人才。
這個專業以信息，信息過程和信息系統的基本理論為基礎，著重學習通信，編碼，信息網路與系統信息與保密安全，信息對抗等基本理論，基本原理和技術，學習在信息，信息過程和信息系統等方面進行網路安全與保密關鍵技術的研究方法，典型的設備，部件的分析，設計，研究，開發的方法和能力，具有創新思維和國際視野的高級應用型專門人才。

㈧ 實施網路內網安全防護策略時，應注意哪些方面

實施網路內網安全防護策略時，應注意哪些方面？
子政務網建設原則

為達到電子政務網路的目標要求，華為公司建議在電子政務建設過程中堅持以下建網原則：從政府的需求出發，建設高安全、高可靠、可管理的電子政務體系!

統一的網路規劃

建議電於政務的建設按照國家信息化領導小組的統一部署，制定總體的網路規劃，分層推進，分步實施，避免重復建設。

完善的安全體系

網路安全核心理念在於技術與管理並重。建議遵循信息安全管理標准－ISO17799，安全管理是信息安全的關鍵，人員管理是安全管理的核心，安全策略是安全管理的依據，安全工具是安全管理的保證。

嚴格的設備選型

在電子政務網建設的過程中，網路設備選擇除了要考慮滿足業務的需求和發展、技術的可實施性等因素之外，同時為了杜絕網路後門的出現，在滿足功能、性能要求的前提下，建議優先選用具備自主知識產權的國內民族廠商產品，從設備選型上保證電子政務網路的安全性。

集成的信息管理

信息管理的核心理念是統一管理，分散控制。制定IT的年度規劃，提供IT的運作支持和問題管理，管理用戶服務水平，管理用戶滿意度，配置管理，可用性管理，支持IT設施的管理，安全性管理，管理IT的庫存和資產，性能和容量管理，備份和恢復管理。提高系統的利用價值，降低管理成本。

電子政務網體系架構

《國家信息化領導小組關於我國電子政務建設的指導意見》中明確了電子政務網路的體系架構：電子政務網路由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯網之間邏輯隔離。政務內網主要是傳送涉密政務信息，所以為保證黨政核心機密的安全性，內網必須與外網物理隔離。政務外網是政府的業務專網，主要運行政務部門面向社會的專業性服務業務和不需在內網上運行的業務，外網與互聯網之間邏輯隔離。而從網路規模來說，政務內網和政務外網都可以按照區域網、城域網、廣域網的模式進行建設；從網路層次來說，內網和外網也可以按照骨幹層、匯聚層和接入層的模式有規劃地進行建設。

圖1：電子政務網路的體系架構

根據電子政務設計思想及應用需求，鑒於政府各部門的特殊安全性要求，嚴格遵循《國家信息化領導小組關於我國電子政務建設的指導意見》，在電子政務內、外網在總體建設上採用業務與網路分層構建、逐層保護的指導原則，在邏輯層次及業務上，網路的構建實施如下分配：

圖2：電子政務內、外網邏輯層次

互聯支撐層是電子政務網路的基礎，由網路中心統一規劃、構建及管理，支撐層利用寬頻IP技術，保證網路的互聯互通性，提供具有一定QOS的帶寬保證，並提供各部門、系統網路間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統是指通過認證、加密、許可權控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監控系統，它與互聯支撐層相對獨立，由網路中心與各部門單位共同規劃，分布構建。

業務應用層就是在安全互聯的基礎上實施政務網的各種應用，由網路中心與各系統單位統一規劃，分別實施。

華為公司電子政務解決方案的核心理念

全面的網路安全

建設安全的電子政務網路是電子政務建設的關鍵。電子政務的安全建設需要管理與技術並重。在技術層面，華為公司提供防禦、隔離、認證、授權、策略等多種手段為網路安全提供保證；在設備層面，華為公司自主開發的系列化路由器、交換機、防火牆設備、CAMS綜合安全管理系統和統一的網路操作系統VRP可以保證電子政務網路安全。

針對於政府系統的網路華為公司提供了i3安全三維度端到端集成安全體系架構，在該架構中，除了可以從熟悉的網路層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備......

㈨ 堡壘機為什麼是具有中國特色的網路安全產品，國外在運維審計管理上使用什麼產品來實現類似的功能呢

隨著信息化水平的不斷提高，我國各大行業的IT信息系統日趨成熟，網路規模迅速擴大、設備數量激增，建設重點逐步從網路平台建設轉向以深化應用、提升效益為特徵的運行維護階段，因此，IT系統的運行維護與安全管理正逐漸趨於全面融合。由於IT信息系統的安全運行直接關繫到企業的效益，所以構建一個全面的IT運維安全管理體系對於各大行業的信息化發展至關重要，同時也對信息系統的運行維護安全性提出了更高、更明確的要求。
目前，面對日趨復雜的IT信息系統，不同背景、不同水平的的運維管理人員已給IT信息系統的安全運行帶來較大潛在風險，主要表現在：
1. 賬號與密碼管理無序，存在混亂與交叉使用的情況，無法保證賬號的唯一性；
2. 粗放式許可權管理，極易因許可權過大導致監管與調查審計的盲點和死角；
3.系統日誌深淺不一，粒度較粗糙，不便於解讀，難以准確定位安全事件；
4.運維管理人員技術水平參差不齊，如發生誤操作則無法准確定位責任人；
5.第三方代維人員流動性較強，當出現惡意操作則無法進行追查與問責；
6.傳統網路審計產品無法理解、跟蹤和審計主流的運維協議，如SSL、VNC；
7.政策法規對安全運維管理也提出了更為嚴格的要求；
等等…
上述風險導致的運維安全事件和審計監管問題目前已成為各行各業信息系統安全運行的嚴重隱患，並且制約了業務的發展，影響企業效益，因此基於該背景，傳統IT運維安全管理方式的變革已顯得刻不容緩。為了加強IT信息系統的運維風險管理，應採用積極有效的技術手段為IT信息系統建立全面、可靠、完整的運行維護管理機制，提高IT信息系統的運維事件監控、安全運維指導、安全事件風險控制、安全事件調查審計的能力，同時也進一步提高信息系統的法規遵從性，使網路設備單元、業務應用單元、技術管理水平和人員安全意識均達到全面合規，因此對於堡壘機能夠應用到的場景，和以後的市場趨勢來說都必不可少的，應對大數據和虛擬化的演變，個人感覺堡壘機的發展方向應該是朝著虛擬資料庫審計方向前進，換句話說若干年之後可能看到的是企業網沒有自己的IT部門，沒有自己的機房，自己公司的數據全部存儲在雲空間上，公司只需要派專人盯著網路下發帳號即可。