武汉热线二期扩容网络结构实施方案 (２）.doc

资源描述

《武汉热线二期扩容网络结构实施方案 (２）.doc》由会员分享，可在线阅读，更多相关《武汉热线二期扩容网络结构实施方案 (２）.doc（19页珍藏版）》请在三一办公上搜索。

1、武汉热线二期扩容网络结构实施方案1 网络规划和设计目的和总体要求：整个工程中要求网络技术与国际同步，在拓扑结构上具有开放性和可扩展性，同时简明清晰；在稳定性方面，要求对关键网络设备和网络路由具有冗余，无结构上的单点故障点，骨干上要有较强的承载能力；在功能上应满足基本的互连互通及漫游。11广域网设计网络现状 “武汉热线”目前的骨干网是指由洪山、汉口和鲁巷三个节点组成的核心广域连接。目前这三个节点分别由两台CISCO7513和CISCO7507骨干路由器组成骨干连接，在三个路由设备上插ATM卡并利用OC-3互连，中继线速率为155Mbps（可参看网络拓扑图）。此次骨干网扩容将针对目前网络存在的

2、问题，提供层次化的扩容设计方案，在解决目前网络瓶颈、提供高质量服务和可靠性服务的同时，既能保护现有投资，最大限度地利用现有设备；同时提高骨干传输速率并平滑过渡、升级到未来宽带网络。112 网络设计方案研究了目前武汉热线网络所遇到的问题，充分考虑到武汉热线未来的发展，我们认为武汉热线的骨干网络必须具备以下特点：1) 骨干网络的高可靠性 (High Availability)2) 骨干网络的高性能 (High Performance)3) 骨干网络的高可扩展性 (High Scalability) 4) 骨干网络的高品质的网络服务质量 (QOS)基于上述考虑，我们建议在保护现有投资的前提下，对

3、武汉热线主干网络采用较大幅度的网络重构。最终网络拓扑如下图所示。在上图所描述的网络结构中：我们建议采用Cisco 最新一代第三层大型交换路由器Gigabit Switch Router (GSR) 代替原有的Cisco 7513来组成主干核心网络。建议汉口、武昌各放两台GSR12012, 同时汉口、武昌GSR用光纤直接连接。我们在这里建议采用GSR12012是基于分布式路由结构的、提供第三层千兆位交换能力的大型交换路由器。提供12 槽口，背板交换带宽为15Gbps - 60Gbps。可以通过增加背板交换矩阵，使得背板交换能力达到60Gbps。根据设计，背板的交换能力将来可以扩充到240

4、Gbps。 GSR12012 能支持多达44个155Mb STM-1 或者11个622Mb STM-4的接口同时支持ATM和Packet over SONET/SDH(POS)技术。鉴于武汉地区的地理和网络用户分布的特点，结合具体的网络硬件和人员条件，我们建议改变原有的三环核心结构，将武昌洪山和汉口作为两个核心节点，在两点间用GSR高速骨干相连，数据中心（网络中心）仍设在武昌洪山，POP（网络用户接入点）分布于汉口和洪山，GSR以下均通过Catalyst8500系列三层交换机以千兆方式接入;鲁巷作为一个ICP（信息制作中心）用Catalyst8510以千兆以太网接入洪山Catalyst8540

5、主交换机。三、为保证骨干网络的可靠性，我们建议所有节点都采用双连。两个核心节点各采用两台GSR避免单点故障。汉口的PoP节点分别连到汉口2 台GSR 上，武昌各点也分别连到武昌的2台GSR上，这样确保网络的冗余可靠性。CISCO 路由器支持HSRP协议，可以以每个节点的两台交换机互为备份，当一台出现故障时，其支持的应用很快转移到另一台交换机上；而该交换机恢复工作时，系统又能很快的恢复负载平衡。四、以POS技术代替ATM 技术作为主干网络连接。四台GSR之间通过光纤实现POS连接，连接带宽可以用622Mbps OC12链路。武汉 Online 原来所有的7513和7507均退到边缘用于

6、专线接入; 各POP服务网络通过两台Catalyst8500系列的交换机以千兆于GSR 相连。这样,整个武汉Online 的骨干网就形成了以GSR为中心的基于POS的骨干网。POS 技术将IP报直接封装于SDH 帧中，是更加适合于ISP 提供高速IP 服务的一种新的宽带技术。对于IP业务来说，POS 相对于ATM技术有如下几个优点：(1) 实施简单快捷，总体拥有成本低，收回投资周期短；(2)节省信头开销，线路利用率高；(3) 网络结构简单，减少设备重复投资；(4)进一步提高带宽的潜力很大；(5)符合INTERNET 的业务特征，减轻网络设备的额外负担。同时，POS技术提供高的QOS和高可靠性

7、。五、在主干网络中，建议结合使用OSPF和BGP4 路由协议，使得网络路由迅速收敛，也保证一条网络链路断掉后，会迅速找到另外一条网络链路，使网络中断时间最少。稍后将详细论述主干网的路由协议规划。骨干网络性能分析 l 整个网络的QOS 上述建议的网络能很好地满足QOS的要求，因为从网络中心讲，GSR 的带宽将是足够的。可以从目前的622Mb ，上升到OC48 2.4Gb , OC192的9.6Gb这样大的BackBone 带宽，足以满足各种突发的传输要求，从而确保 QoS 。从分中心端点看，7513和7507 能通过CiscoCommited Access Rate(

8、CAR)软件机制很好地确保网络的QoS,CAR可以完成 QoS的方式是带宽管理机制，即可以限制通过路由器某一端口的流量，当某些流量在设定之内，就可以被传输，否则被抛弃。这样，无论从网络中心到各分中心，都能提供良好的QOS 保障。l 高的网络性能整个网络采用Packet Over SONET/SDH 技术，使网络性能从设计角度较大的提高。正如大家所知道，ATM 在传输大容量数据方面是有一定缺陷的，因为ATM采用的是定长cell的传输模式，而数据传输通常是变长的packets ，ATM在每次传输packet的时候，都先将Packets SAR 成cells 。且每一个cells 都要附

9、加一个Header，这样使的网络带宽实际利用率降低，从而也浪费了一些宝贵的网络带宽资源。而Packet over Sonet，则完全克服了ATM 传输数据传输弊端，不需将Packets SAR 成cells ，也无需将传统的IP Packets 进行封装，这样既有效地利用了网络带宽，又增加了网络传输的速度，一般统计，155MB ATM传输带宽，真正有效的数据传输只有20MB 120MB，而 155MB OC-3/STM-1的Packet over SONET/SDH ,真正有效的数据传输在120MB-148MB之间，因为Packet over SONET/SDH是直接将数据的packe

10、ts 在光纤上传输。可见，Packet over SONET/SDH ，在传输数据方面要优于ATM。所以，采用上述以Packet over SONET/SDH的网络结构一定会比现存的网络结构性能快很多。l 网络的可扩展性在中心采用GSR12012，对武汉online讲，网络扩展性将非常可观。因为GSR12012 ，提供12个槽口，最多可提供44个155Mb POS/ATM，或11个622Mb POSIP/ATM，完全可以满足主干网络将来的进一步扩展。将来，POS技术将支持在WDM光纤网上传输，将光纤的传输能力提高几十倍。区域级网络结构在每一个POP节点，都有两台交换机以千兆以太网与主干网

11、GSR连接。逻辑上武昌与汉口两个核心节点也是区域网POP节点之一，所以一共有两个POP节点与主干网相连。为了避免太大的路由表以及路由广播信息地扩散，在路由协议的设计上要仔细考虑。在除了核心节点外的每一个POP节点，都设计用两台局域网交换机Catalyst8510 作为本地交换机，以快速以太网提供足够的带宽。交换机与路由器和接入服务器分别进行交叉连接，保证性能且避免单点故障。两台交换机的性能还可以满足未来企业用户接入的需求。将中心机房已有的Catalyst5000移至防火墙后，来构筑武汉热线自己内部的，安全性要求较高的局域网络，例如计费

12、系统，网管系统等等。结构图参见下节中核心节点论述。在这里，主要论述企业网络接入的解决方案。为了充分利用现有的ATM 模块和现有的ATM 网络，可以利用ATM 网络较大的覆盖性，提供企业网络的接入。 ATM接入形式保证了用户可以充分利用将来武汉热线提供的多媒体业务，使用户真正享受到武汉热线丰富的网络资源。利用上述现有的网络结构，我们可以扩大用户的网络接入形式，同时可以大量减少DDN 专线用户，使得 PoP 内的路由器的可扩展性大大增强，另一方面，用Frame Relay 替代DDN可以降低用户的接入费用，从而吸引更多的商业用户。路由协议规划对武汉online 这样大I

13、SP 网络来说，合理地规划网络自治域，选择恰当的路由协议，是一件艰苦但非常重要的工作。随着网络规模的逐步扩大，及早给出一个长远而合理的规划，可以避免积累的问题给网络的性能带来影响。 CISCO路由器支持非常丰富的路由协议，因而可以灵活的按照网络结构和实际需求对路由器协议进行设置，有效的对网络进行优化。首先，对于域内的内部网关路由协议的选择来说，开放式最短路径路由协议OSPF的分层体系是一个合理的结构。OSPF是一个具有高度扩展性的路由协议，目前武汉热线已经采用了OSPF 协议，因而继续采用OSPF 协议有利于网络的平滑升级。但现行网络的OSPF 规划中，所有设备处于一个自治域内，不利于网络的

14、扩展。我们建议将主干4 个GSR 路由器设为Area 0 ，而武昌部分和汉口部分的POP 路由器则分别设为Area1和Area 2 ，形成真正的分层结构。随着将来POP节点的进一步发展，可以划出新的OSPF自治域。这种分层构架的OSPF体系结构为网络的扩展提供了较高的能力。对外部网关路由协议的规划来说，接入CHINANET的两台路由器端口可以沿用现在的Default Gateway 方式，也可采用BGP4协议。核心节点局域网设计：121 局域网络现状：现有“武汉热线”网络结构中，局域网交换机Catalyst5000成为网络核心设备。既与CISCO7513上连作为全网络流量出口，又连接局域

15、网内各种服务器设备，同时又与169网关设备连接，另外提供专线用户的路由器也连接其上。在大用户量的情况下，其流量交换的负荷相当大，同时无法保证其可靠性，如果这台设备出现故障，全网即可瘫痪。本次扩容工程设计方案将考虑采用包交换能力（PPS）大的局域网交换机设备，以提高数据交换能力；同时采用双交换机结构，减轻单台设备的负荷，同时提供网络内部部分重要设备的路由备份；保证网络的高可靠性连接，一旦一台局域网交换机出现故障，各种业务服务器仍可通过运行正常的交换机进行数据交换。调整各子网内部设备组成，以减少VLAN之间的互通流量。具体实施方案中，考虑到网络将来向宽带方向的发展，确保网络数据的高速传输，同时又兼

16、顾到现有设备的利旧因素,而性能与安全常常成为互相矛盾的一对要求。本期工程将采用综合性的方案来解决安全性问题而保证网络的总体性能。武汉热线在武昌设数据中心点。在网络中心要解决以下问题：）高可靠性局域网）高可靠性服务)接入模块）中心网络结构和安全1）高可靠性局域网：鉴于目前局域网设备的非可靠性状况，本次扩容建议做可靠性设计方案，对洪山和汉口合作路两个网络数据中心及POP接入点作较为完善的规划，同时考虑现有设备的利用：由于Catalyst5000设备的总线带宽为1.2GB，包交换能力只有1MPPS，而其插槽数量较少（4个slot），不利于将来网络的进一步扩展。建议将此设备用做拨号用户的接入设

17、备，可提供较为充裕的以太网端口，以减少占用骨干局域网交换机的端口，对鲁巷的Catalyst5000建议加上一块RSM交换模块，增加第三层交换功能,同时于Catalyst8510相结合,增加其接入以太网端口。采用较强的包交换能力（PPS）和具有第三层交换能力的局域网交换机：在洪山、汉口两节点POP及洪山数据中心分别采用两台具有第三层交换功能的局域网交换机，建议用Cisco 公司的 Catalyst8510核心交换机，其可利用插槽数量为5个，提供POS和ATM的接入，将来还可提供GigaBit以太网连接能力，直接连入核心GSR。采用上述设备可做到： . 部分设备负载分担，可减轻局域网核心交换机的

18、负荷； . 交换机的冗余性，同时支持硬件和网络冗余。电源和线路模块均可带电热插拔。另外CISCO IOS提供软件冗余性能结合Server和核心路由的备份冗余保证全网无单点故障。 . 可保证每个子网VLAN有高速上行链路，能够提供大型网络所需的带宽和扩展性。做到高可靠性、容错设计； . 提供第三层交换功能，减轻核心路由器的路由负担； . 提供多种连接方式，如FastEthernet、FastEtherChannel、千兆以太网、ATM、POS(Packet Over Sonet); 原Cisco7513退下作为POP节点的接入设备，提供丰富的专线接入手段。2）高可靠性服务：2.1 用户管理、计费

19、服务器和WWW/DB服务器是全网重要的设备，需采用高可靠性设计方案如HA，以确保所提供服务的高可靠性； -建议用户管理、计费服务器采用原方案设计，即两台SUN E3000带磁盘阵列，采用HA的方式，保证在一台设备出故障的情况下能自动切换到另一台； -WWW/DB仍采用上述HA方式；-原设备SUN E3000均为单CPU、167MHZ，建议本次工程增加CPU的数量和主频，建议主频升为336MHZ，CPU暂升为四个；为保证用户快速访问WWW信息，减少出口中继流量，设置Cache Server； -数据中心（洪山节点）设置Cache Server，并采用主备方式，以满足大用户量下用户访问WWW站

20、点，节省出口带宽；-配置性能相对较高的硬件设备以更好的实现Proxy或Cache Server功能要求；2.2 CacheEngine CacheEngine 在局部的网络上或 POP 处实现了 WEB 内容的网络缓存共享，从而消除了同一内容在广域网上的重复传输，有效利用带宽并减少 WEB 服务器的负载。在 CISCO 提供该产品之前， ISP 早就注意到了网络缓存的重要性并通常采用 PROXY SERVER 来用作页面的缓

21、存，这种方法为 INTERNET带来了很大的好处，但也给用户带来了一些不便，因为用户必须知道、记住这些 PROXY SERVER 的名字和有关的端口号，对于不同的网址，也许还需要重新配置不同的 PROXY SERVER，非常麻烦。这种缓存方式在可靠性方面也存在不少缺陷。 CacheEngine 则作为专门的网络缓存，具有许多的技术优势。 CacheEngine 通过

22、快速以太网与路由器连接。在运行过程中，当用户访问某一页面时，路由器根据缓存控制协议，将 WEB 请求重定向到 CacheEngine 上，如果 CacheEngine中有该页面内容，则直接将该页面送给用户，若没有，路由器再将请求传给相应的 WEB 服务器，并在 WEB 服务器返回页面给用户时，同时将该页面传给 CacheEngine 以备下一次或下一位用户

23、同样请求时使用。 CacheEngine 支持三种数据刷新方式：强行刷新、定时刷新、和相对时间刷新。 WEB 服务器对于实时数据 (如股票信息 )可以规定不准进行缓存而强行刷新每次数据。在定时刷新模式下，服务器对准实时数据 (如气象消息 )则规定刷新时间， CacheEngine将根据该时间要求刷新数据。若 WEB 页面没有对次作出任何规定，则进入相

24、对时间刷新状态，CacheEngine 将根据文件最后修改时间的长短决定何时对数据进行刷新。 CacheEngine 利用一个专门为缓存系统设计的高性能文件系统，避免产生文件碎片和通用文件系统造成的长时间目录搜索。 CacheEngine安全、实时的内嵌操作系统还免除了通用文件系统相对较高的上下处理负担。 CacheEngine 支持基于对象文件的缓存

25、，即可以在页面数据更新的情况下，缓存部分不变的内容，如一些固定的图标。多个 CacheEngine 可以组成缓存场，每个新增的 CacheEngine 将增加 24GB的存储量。一个缓存场至多能包括 32 个 CacheEngine，存储 768GB的信息并同时支持 28800个会话。结合上述原理，不难理解 CacheEngine 具有如下特点：对 Web 浏览器透明：CiscoIOS路由器将与CacheEn

26、gine配合完成全部工作，而用户的 Web 浏览器无需做任何配置，可以关闭任何 Proxy Server 功能。尽管网络中可能有多个 CacheEngine ，它们也可能负责不同的内容，但用户完全不用关心它们的存在，更不用去记住 PortNumber 之类的参数。可伸缩和高性能：可以根据需要增加缓存空间，线性提高性能。专门的缓存文件系统也提供了高性能的

27、操作。容错性：一个缓存场的所有 CacheEngine 之间可以作负载均衡与相互备份。即使所有 CacheEngine 都失效，路由器也能自动识别并取消缓存功能但继续提供 Web 访问服务，避免了从前 Proxy server 死机导致配置了该 Proxy server 的用户不可访问网络的问题。为了进一步减少昂贵的国际线路的压力，以及考虑到核心节点接入的 ICP较多，

28、建议在洪山节点配置两台 CacheEngine。两台缓存还可以互为备份。两台缓存处于同一网段中，与路由器的一个端口相连，节点网络图如下。目前武汉热线到 ChinaNet的出口已出现严重阻塞，忙时出现丢包。除了增加带宽的解决方案外， CacheEngine 也将很好的帮助解决问题。 CacheEngine 的扩展非常灵活。当发现其容量不够时，增加 CacheEngi

29、ne十非常容易，不会影响网络的正常运行状态。 2.3 大用户量Radius数据备份和负载分担如何提高大用户量下用户上网的身份验证速度、确保用户接入的负载分担，同时能做到用户数据的可靠性备份，也是影响网络运营服务质量的关键因素。本期扩容工程建议采用下述设计方案：-全网设置两个Radius服务器E3000（设在洪山数据中心），采用互为主备工作方式。Radius1主要负责洪山节点的PSTN用户接入验证，Radius2主要负责汉口节点的接入验证，Radius1和Radius2间采用双机冗余，互为彼此的备份；-在洪山节点内部采用负载分担的工作方式，即分别设置Radi

30、us1和Radius2服务器，由AccessServer 分别指定Primary和secondary Radius，从而实现大用户量下用户身份验证的负载分担；-用户数据可做到全网同步，即一次用户数据可同时写入两个Radius；- Radius服务器选型建议采用SUN E3000，在硬件上提高用户验证处理能力；-对AccessServer同样可做到负载分担；图：Radius数据同步、备份和分担 2个Radius服务器的用户数据应与User Database用户数据持同步。这样在用户的接入方面形成备份和负荷分担，如果Radius1出现重大故障，“武汉热线”的用户仍然可以通过Radius2进行接入

31、验证2.4 Load Balance随着互联网络的发展，用户数量的增多，对网络中作为信息源的Web服务器、用户的E-mail服务器等的要求也大大提高，流量过大将导致服务器的失效。一种改进方法是提高服务器的性能，增加存储量，但这种方法仅仅适用较小的网址，不适用于大用户流量的、提供相对重要服务的的主机。对于这类网址我们希望多台服务器共同分担对此站点的请求，如何在几台服务器之间进行协调呢，最好的解决方案是在网络上为服务器加装Load Balancer。Load Balancer就是为它所连接的多台服务器提供流量分配的装置，同时它还可以对所连接的服务器状态进行监测。所有连接在Load Balancer

32、的服务器共同具有一个唯一的IP地址叫作虚（virtual）IP地址，对于访问此网址的用户来说，他们所需要知道的只是这个虚（virtual）IP地址，在Load Balancer的内部有一个地址对应表，引导访问请求到后端的服务器。Load Balancer对流量进行分配的方法有很多种，包括roundrabin, least connections, weighted roundrabin, weighted least conns, 以及一些更为高级的算法，目的只有一个，就是将为进来的请求找一个合适的服务器Cisco 的LocalDirctor提供了一种智能的、基于一种

33、叫作会话分布算法的机制，能够发现服务器场中各台服务器当前的状态，从而选择一台可用资源最高 (最空闲 ) 的服务器接受当前的查询。 LocalDirector 本身则充当虚拟服务器的角色，接受所有相关的查询。 LocalDirector同时支持 700000 个 TCP会话，完全透明的支持 WEB、 FTP、 TELNET、 SMTP等协议。并提供待机自动恢复功能。 LocalDirect

34、or支持服务器的动态加入。在这种基于最优化策略的服务器选择方法中，业务流量不会盲目的轮流使用服务器而不管此时服务器的实际负载如何。负载较重的服务器业务处理能力相对较差，但在轮流服务方式下，高峰时业务流将会仍仍然源源不断的送来，使其处理能力更差，形成恶性循环；而负担较轻的服务器则一直处于比较空闲的状态，设

35、备不能得到有效的利用。事实上，在这种机制中， ISP很难用不同性能的设备进行负载分担，在进行网络扩容时，旧的设备往往成了嚼之无味弃之可惜的鸡肋。显然， LocalDirector则避免了这种情况，使 ISP 的扩容工作轻松自如。由于武汉热线的许多服务器现已趋于饱和，要提供更大规模的服务，又要保护现有投资，势必在增加新的服务器的同时需要保持原有服务器的功能。如果配以功能强大的LocalDirector，则可以进一步保护

36、投资，有效利用所有的服务器。由于现在的DNS服务分别有三台不同用途、不同档次的服务器负担，为了便于管理和用户使用，本期工程考虑在DNS配备两台LocalDirector(冗余备份 )，技术，实现DNS服务器的负载分担和一致性。3）接入模块根据2000年用户发展需求，针对“武汉热线”100，000用户量，建议扩容工程采用节点分布接入、本地负载分担的方式，以满足大用户量下对系统的要求： -洪山、汉口分别提供用户接入（拨号用户和专线用户）； -用户数量分布按6：4比例，即洪山承担60，000用户，汉口接入40，000用户量； -接入服务器亦按上述比例分节点提供接入，考虑到接入服务器会

37、占用较多的交换机端口，建议单独上连至Catalyst8510交换机或直连到核心GSR，以较高的可扩展性满足大用户量增长需求；根据用户发展的实际变化，局方只需连入接入服务器即可，同时便于扩展； -本地接入服务器亦可做到负载分担； -专线接入可用从核心退下的CISCO7513提供。 -为加强各种宽带业务的发展,可直接在GSR上插ATM卡进行ATM接入,满足ADSL等多种运用。4）数据中心网络结构和安全4.1 局域网的划分根据网络大用户量设计方案，同时考虑现有设备及子网划分情况，建议局域网的网段重新划分，各个VLAN设备情况如下：VLAN1：用户接入子网，包括用户接入服务器、用于用户身份验证的2台

38、Radius服务器（负载分担方式），其中由于接入服务器占用较多的交换机端口，同时随用户数量的增加便于扩展（模块化设计），建议利用现有的Catalyst5000接入并上连至局域网交换机；VLAN2：用户E-Mail子网，包括SMTP服务器、POP3服务器和满足60，000用户邮件需求的磁盘阵列（容量120GB）；VLAN3：信息子网包括采用HA设计的WWW服务器和全网主域名服务器DNS；VLAN4：包括用户管理、计费服务器，此子网放置在软件防火墙后；VLAN5: 全网网管服务器NMS，此子网放置在软件防火墙后；考虑到服务器的备份路由设置，可采用预留交换机端口的方式，即在两台LAN 交换机上分别划

39、分5个VALN，如果一台局域网交换机出现故障，则可方便的切换到另一台交换机上，从而保证服务的可靠性；同时，VLAN4和VLAN5的防火墙也互为冗余备份，避免意外事故的发生。 4.2 网络安全在网络主要服务器网段设置防火墙及相应安全技术，以确保用户管理/计费服务器、网管服务器和系统的安全；根据对安全技术的研究和实践经验，我们建议采用如下的基本防范措施： 4.2.1 在用户管理、计费、网管VLAN及重要服务VLAN配置防火墙设备由于防火墙会对网络的效率造成影响，因此为了提高效率，减小由于增加防火墙结构对系统访问速度的影响，可以采用效率较高的硬件防火墙（CISCO公司的PIX Firewall、

40、PIX10000等），把主要的服务器放在防火墙内部，把较次要的服务器放在防火墙外部以提供网络的运行效率。为了提高防火墙的可靠性，还可以对PIX采用冗余备份。 Cisco的PIX是一种防火墙设备。PIX有效地对Internet网上“黑客”隐蔽客户地址。它的核心是基于适应安全算法（ASA：adaptive security algorithm）保护模式。状态化的面向ASA连接的安全方法根据源和目的地址、TCP包序号、端口号和其它TCP标帜建立会话流。这些信息存储在一个表中，并且对所有进入的包跟表中相应项进行比较，只有在有效通道上的合适连接的访问是允许通过PIX防火墙的。这种设置让内部用户和未认证的

41、外部用户透明地访问您的内部网络的同时防止对内部网络的非授权访问。基于软件的防火墙设计随着网络防火墙技术的不断发展，软件防火墙已成为目前网络安全战略的重要技术。基于软件的防火墙具有较强的可扩展性，数据传输效率有很大提高，同时软件防火墙具有详尽的记录和更多的安全控制，可以在限制用户防问权限的同时跟踪异常访问的源地址，这些优点在对WEB服务及邮件服务的防护上具有特别的意义，而且有于系统管理人员更好地维护。建议采用一些成熟的软件防火墙产品，如Checkpoint、SUN Firewall-1、TIS Gauntlet等。上述两种方案各有优劣，基于硬件的防火墙效率较高，操作配置简单，用户管理和维护方

42、便，但可扩展性不强，不能随着应用变化而有效可靠地防范；基于软件的防火墙虽然对网管员要求较高，配置相对复杂，但具有较强的可扩展性，防火墙设计灵活，数据传输效率也较高，对硬件要求相对不高，建议本期工程采用软件防火墙结构，通过对现在通用的防火墙产品的比较和选型，我们建议用目前国际上最流行的软件防火墙产品CheckPoint Firewall。 CheckPoint Firewall防火墙所起的主要功能1 定义和强制安全策略，实施常见服务的代理和路由过滤。2 能有效的记录网络活动，产生监控报警，便于实施对入侵行为的追踪。3 能有效地屏蔽内部网的信息，增加网络的安全。待添加的隐藏文字内容3防火墙配置说明

43、根据武汉热线网络现状，我们建议在重要服务子网络配置防火墙，将记费子网络（主要是认证计费和网管子网络）通过防火墙与骨干Internet隔离。记费子网配置双防火墙，运行热切换软件实现当单机故障时热切换。防火墙主机硬件平台建议采用SUN 工作站，每台防火墙均配置四块网卡，分别用于连接Internet、连接热切换防火墙、连接认证计费网段、连接网管网段。将认证计费网段和网管网段隔离的目的是加强系统的安全，以避免不同级别的系统管理人员对无关网段主机的操作。我们建议配置的防火墙模块包括：v ESC模块。用于实现对全网中所有防火墙的集中管理，其中包括策略制定、集中监控、集中日志等。建议为市局中心子网配置一个E

44、SC模块，安装在中心子网内的一台主机上。其他子网不再安装此模块。v FW模块。此模块是CheckPoint防火墙的核心模块，包含了安全控制、集中认证、内容安全接口等功能。建议为两台防火墙均配置此模块。v EM加密模块。主要实现在FW模块之间数据传递时的加密和解密功能。通过此模块，防火墙间可以安全地在Internet上传递网管、用户等数据。建议为两台防火墙均配置此模块。v Connect Control模块。主要实现多台主机（如认证服务器）之间的负载均衡。建议两台防火墙配置此模块。v SeOS安全模块。主要用于加强作为防火墙的SUN工作站的安全。SeOS安全模块是CheckPoint的伙伴公司产

45、品，作为操作系统的补丁，可以弥补SUN Solaris中的安全漏洞。建议为两台防火墙主机均配置此模块。v RSC模块。主要用于通过GUI界面实现对网络中的路由器的访问控制列表（Access List）的统一设置。目前RSC模块支持的路由器包括Cisco和Bay等。通过友善的界面，系统管理员可以非常方便的进行统一设置并下载到网络中的多台路由器中去。建议在市局中心配置一套此模块，用于全网集中管理。v StoneBeat模块。这是CheckPoint伙伴公司的产品，用于提供两台防火墙之间的故障热切换。当其中一台（主）防火墙发生故障时，通过此模块可以自动切换到另外一台（从）防火墙，而IP地址、MAC地

46、址等均能由其自动接管。4.2.2 基于主机的保护1）ISS产品ISS是目前业界领先的安全扫描和实时监测产品厂商。我们建议采用ISS部分产品模块实现对武汉热线主机的安全扫描以及实时攻击和非法操作监测。我们建议的ISS模块包括：v RealSecure模块。用于实时监测网络中的攻击和非法操作并按照预先设置进行响应。根据RealSecure的运行模式，需要对每个网段配置一套，而且局域网的HUB或交换机必须支持监控方式（Sniffer方式），RealSecure可以实时监测同网段上的TCP/IP包和各种服务请求，并按安全管理员定义的策略进行审计和告警，同时可与防火墙结合起来中断危险的网络连接。建议配置

47、3套RealSecure用于保护3个局域子网（认证计费网段、网管网段，多媒体制作网段）。v SSS模块。用于扫描局域网络中的主机的安全漏洞，包括不安全的口令、不安全的文件属性等。建议配置一套50个节点的模块，可以对指定50个IP地址对应的主机进行扫描。v FS模块。用于扫描网络中的防火墙的设置漏洞，包括防火墙所在主机的漏洞、防火墙策略的漏洞等。建议配置一套3个节点的模块，可以对3个指定IP地址的防火墙进行扫描。v WS模块。用于扫描WEB服务器的设置漏洞，包括WEB服务器软件中的一些设置“backdoor”等。建议配置一套10个节点的模块，可以对10个指定IP地址的WEB服务器进行扫描。2）

48、ACE软件系统安全软件ACE为业界优秀的网络安全产品，它为单个系统提供一种更为有效的保障系统安全的手段。它能够为系统用户提供一个动态的PASSWORD,所谓动态PASSWORD,即密码随每分钟变化，系统管理员可携带与ACE SERVER相同步的Security ID 卡来获得实时密码；对于要求安全级别较高的服务器，通过ACE软件和Security ID卡可极大的提高单机安全性。建议此次对几台主要设备（如Radius服务器、记费服务器、网管等）安装ACE软件。4.2.3 其他安全保障不难发现，在我们前面的方案建议中，处处可以看到对网络安全性方面的考虑。事实上，现代网络的安全性问题，绝不是靠一两种产品就可以得到充分的解决，相反，它是一个综合的安全策略问题。我们将根据网

展开阅读全文