网络系统设计

第二章　网络系统设计

一、网络系统设计原则

1.先进性:以先进、成熟的网络通信技术进行组网，支持数据、语音和视频等多媒体应用，采用基于交换的技术替代传统的基于路由的技术，并能确保网络技术和网络产品5年内基本满足应用的需求。

2.安全性:信息系统安全问题的中心任务是保证信息网络的畅通，确保授权实体经过该网络安全地获取信息，并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。

3.灵活性:整个网络系统是可扩展的，便于系统升级和改装。

4.可伸缩性:网络的建设是一项持续性的系统工程项目，应坚持网络建设规模的可伸缩性原则，降低网络建设费用，避免不必要的浪费，同时体现网络建设的灵活性。

5.可管理性:网络建设的一项重要内容是网络管理，网络的建设必须保证网络运行的可管理性。优秀的网络管理，将大大提高网络的运行效率，并可迅速简便地进行网络故障的诊断。

6.实用性:根据应用系统的要求确定整个系统的结构，即从系统功能和信息需求出发，网络系统的结构必须满足系统的传输能力、信息安全、人机交互能力及信息处理要求。

二、网络逻辑设计结构的选择

最佳管理的局域网通常是按照下面的分级模型进行设计的，这个模型简化了网络管理并允许可控发展。下面将描述这个分级模型的各组成部分。

1.接入层:网络的接入层是最终用户被许可接入网络的点。该分层能够通过过滤或访问控制列表提供对用户流量的进一步控制，然而，该分层的主要功能是为最终用户提供网络接入。在局域网环境中，接入层的主要功能如下：一是交换的带宽；二是第二层服务，如基于接口或MAC地址的VLAN成员资格和数据流过滤，当然，在这一层也可以提供安全特性。

2.分布层:网络的分布层是网络接入层和核心层之间的分界点。分布层也帮助定义和区分网络核心层。该分层提供了边界定义，并在该处对数据包进行操作处理。在局域网环境中，分布层执行最多的功能是：VLAN的聚合;部门级或工作组接入；广播域或多点广播域定义；VLAN间路由；介质转换；安全。

3.核心层:核心层是局域网的主干。核心层的主要目的是尽可能快速地交换数据。网络的这个分层不应该被牵扯到数据包操作或者任何减慢数据交换的处理。应该避免在核心层中使用，如访问控制列表和数据包过滤这类功能。核心层的主要工作是：提供交换区块间的连接；提供到其他区块(如服务器区块)的访问；尽可能快地交换数据帧或数据包；多层园区网设计最有效地利用多种第3层业务，包括分段、负载分担和故障恢复。

4.本方案网络逻辑结构的选择:温州市图书馆网络系统具有1600多个信息点的计算机网络。由于温州市图书馆是大型公共图书馆，日常应用业务量大，内容重要性高，所以这些大量、重要的数据对计算机网络的安全性、高速性、稳定性等提出了很高的要求。

通过以上对局域网分层模型网络结构的分析，分层网络结构设计是为这种网络而设计的。考虑到温州市图书馆目前的内网网络接入点需求为1600个左右，网络规模不是很大，结合目前的网络布线情况和实际网络应用需求情况等因素，选择3层逻辑结构、2层物理结构的网络结构(或称紧缩型网络结构)。

紧缩骨干网(Collapsed Backbone)一般应用于中型网络中，包括1台或多台第3层交换机，在中心交换机上完成核心层和分布层的工作。这种设计非常适用于中小型园区或大型大楼内的网络。在逻辑上整个网络按照分层化结构设计，分为核心层、分布层、接入层。但由于网络规模不大、单个建筑内信息点数量不多、各配线间到达中心机房的物理线路充足，所以按照节约成本、提高效率的原则，把逻辑上3层结构中的核心层和分布层集中在高性能的3层交换设备上，这样，既节省了设备和管理成本，又提高了原本分布层和核心层之间的数据传输带宽，方便了管理和维护。因此形成了3层逻辑结构、2层物理结构的紧缩型网络结构。

根据网络布线方案，整个布线系统是以六楼网络信息中心机房为中心，以各层配线间为分中心的两级结构。一级是从中心机房到各楼层配线间，二级是从各楼层配线间到各办公室内信息点，这样在网络布线结构上就形成了两层的结构。

温州市图书馆内部网络的结构按照分层化结构设计，以中心机房设置两台中心交换机为网络的核心层，同时也肩负着网络分布层的工作，主要负责网络各楼层间的数据交换、VLAN的汇总聚合、部门级或工作组网络的接入、广播域或多点广播域定义VLAN间路由等工作，这样网络的核心层和分布层在物理上相互重叠。

以每个配线间的楼层交换机作为网络的接入层，分别负责楼层内信息点的接入。主要用作交换的带宽控制、VLAN划分和一些第二层服务(如基于接口或MAC地址的VLAN成员资格和数据流过滤)。这样网络在逻辑上就形成了核心层、分布层、接入层的3层结构，其中的核心层和分布层在物理上都处于网络中心交换机上。网络在物理上形成了中心交换机、配线间交换机的2层物理结构。

三、网络技术的选择

在局域网中一般根据网络中位置和作用的不同把局域网分成两部分：一部分是直接与终端用户相连，即网络的接入网部分；另一部分是网络中连接各级交换机之间的链路，成为网络的主干部分。由于接入部分和主干部分在网络中的位置和作用的区别，使得它们有各自不同的需求。

1.主干网络技术的选择

局域网的主干网络主要是指网络的核心交换机和核心链路。骨干网络负责各级交换机之间的数据传送。由于每台交换机上都与众多的客户直接相连，这样每一条主干网络链路都直接负担着数十个或更多的客户的网络流量，所以每条主干网络链路的带宽容量直接关系到整个网络的传输能力。另外，主干网络的稳定性和安全性也直接影响到整个网络的安全与稳定。

目前业界用于局域网主干的高速网络技术主要有FDDI、快速以太网(Fast Ethernet)、ATM和千兆以太网(Gigabit-Fast Ethernet)等。

千兆以太网技术是当今较为先进的技术，并且经过一段时间的发展和完善后现在已经较为成熟，千兆以太网产品的价格已经从刚上市时的高价暴利时期发展到了现在的成熟产品的合理价格期。所以千兆以太网产品是当今具有最高性能价格比的主干网络产品。

2.网络设备的选择

思科系统公司(Cisco System)是世界领先的因特网国际互联厂商。思科的产品和服务通过智能、安全及可靠的网络将信息设备连为一体，给人们提供所需的信息。思科的解决方案是全球数以千计的公司、大学、公益机构和政府部门建立网络的基础,也是全球Internet的一个重要推动力量，全世界多数骨干路由器都来自思科。

在本方案中，根据本项目对设备性能指标的要求，我们选用思科系统公司的网络设备构建用户的局域网络。

四、网络拓扑结构及说明

温州图书馆新馆网络拓扑结构示意图

互联网模块以Cisco7609核心路由器为中心，连接内网2台Cisco Catalyst6509核心交换机、外部网络及其他连接，保证数据的高速转发及结构的优化。

图书馆从电信ISP申请的两条外网线路均为100M单模光纤线路，通过光电转换器转成RJ45接口，连接到Cisco7609的10/100/1000M接口，通过链路捆绑实现流量的负载均衡，从而达到200M的外网连接带宽。如外网线路升级到千兆时可以千兆光纤直接连接到Cisco7609引擎上的千兆光纤口，实现到互联网的千兆连接，同时减少连接设备，减少故障点。

两台核心交换机Cisco Catalyst6509各利用一条千兆光纤链路连接到Cisco7609核心路由器，构成一个全千兆的骨干环网，实现内网数据到外网的快速转发及路由。在两台Catalyst6509上利用HSRP热备份路由协议及OSPF动态路由协议实现3台设备之间的数据负载均衡及链路备份。

图书馆所有需要对外提供服务的服务器，如WEB、视频点播系统服务器等，都直接连接到Cisco7609核心路由器的千兆接口，实现千兆的服务器连接。

在Cisco7609上配置FWSM防火墙服务模块，利用Cisco7609的高速背板，将核心路由器的端口根据连接区域的不同划分成外网、内网、DMZ等不同的安全区域，设定不同的安全策略进行隔离保护；同时在防火墙上启用NAT地址转换，提供内网用户的上网需求。

在Cisco7609上配置VPN防火墙服务模块，设定内外端口，提供外部用户site-to-site及Remote Access等不同类型VPN访问服务。

接入层采用Cisco3750交换机堆叠，背板32Gbps，每一组堆叠设备之间可以互相备份，这样会使得接入层更加可靠。

各楼层配线间内的接入层交换机都通过两条光纤链路与中心交换机相连，这样就形成了在核心层(含分布层)到接入层设备之间的物理通路。为了实现中心交换机的双机冗余备份，各接入层交换机都要分别用一条连接线连到两台中心交换机上，实现链路和中心交换机的冗余。

由于在网络中所有的第三层交换都集中在中心交换机上进行，所以使第三层交换只在一台设备内部进行，使整个系统的第三层交换能力摆脱了端口和链路等瓶颈的限制，这样既简化了交换环节，又提高了交换效率。同时，由于对网络的安全和访问控制都集中在中心交换机上进行，所以更加方便了网络安全控制的管理，使安全访问控制策略的制定更有全局性和统一性。

虽然由中心交换机同时完成网络核心层和分布层的数据转发、路由、访问控制等工作会加重中心设备的负担，但由于在本方案中选用的中心交换机Cisco6509有着强大的第2、3、4层处理能力，为业界先进水平的骨干智能多层交换机，其处理性能大大高于1000个信息点的网络的基本需要，所以可以胜任这些网络层的处理工作，并且还可以满足未来对网络性能和规模的扩展要求。

在各楼层配线间内使用多台(根据接入信息点的具体数量)Cisco3750系列交换机作为接入交换机，负责接入本配线间内的信息点联网，为各信息点提供100M全交换接入带宽。每组接入层交换机通过2条千兆光纤连接到中心交换机，这样在每组接入层交换机到中心交换机都有2G(全双工)的链路相连。

由于网络的核心层和分布层在物理上的重合，所以减少了骨干网络的结构，大大提高了网络效率。使用Spanning Tree技术可以屏蔽网络环路，避免了广播风暴的发生。另外在各楼层交换机上使用Spanning Tree的UpLink Fast技术也大大提高了Spanning Tree的收敛速度，使网络更加稳定。

整个网络的分层结构化设计也使得网络的故障域变得最小。首先由于网络的核心层和分布层合二为一，所以简化了网络的物理结构和链路环节，减少了故障发生的几率。另外，中心交换机配置了双电源、冗余的交换矩阵，以及可以带电热插拔的模块，这样使网络的核心层和分布层都同时具有了更高的稳定性和高可用性。由于使用了网络的分层化结构设计，所以在网络内的各点发生故障时，其影响的范围就会相应变小，基本不会影响到整个网络的运行。另外这种分层化设计以及与VLAN技术相结合可减少在局域网中的一些常见操作故障，如地址冲突、网卡传输超长等错误的发生几率，并使此类故障点的查找确定更为容易，使网络的管理更加清晰方便。分层化结构也使系统的扩展和升级更加方便快捷。

五、VLAN规划

1.VLAN划分与实现

VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的数据交换技术。VLAN技术的出现，使得管理员可根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了有能将网络划分为多个广播域，有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。

VLAN的实施需要结合设备和新馆的具体需求进行。我馆采用的Cisco6509和Cisco3750交换机都提供基于第三层的VLAN交换，可以通过802.1Q技术实现跨网络的VLAN划分。802.1Q是一个公开的技术标准，可以随着图书馆功能发展和网络升级对VLAN进行更改和扩充。

为了便于管理,提高系统的效率和安全性,根据新馆的功能、应用和部门对新馆的网络进行逻辑设计,VLAV划分的依据主要是根据应用不同来划分，把相互之间联系频繁的节点尽可能划分在一个网段里。在应用不能明确的情况下，再根据部门和安全等级不同进行划分。我馆VLAN划分如下表所示:

2.VLAN之间的路由

上面对新馆VLAN进行了划分，但由于图书馆性质决定了有很多数据是各网段之间共享的，如书目数据的查询。为了实现多个VLAN网段业务之间的数据交换，需要在网络通讯层建立路由连接，每一个VLAN代表一个IP子网，实现不同子网间的通讯，需要采用路由器对数据包进行存储与转发。

在本方案中，利用Cisco6509实现VLAN的路由。Cisco6509支持专有的第三层交换和多层交换，不需借助外接的路由器就可实现，以线速进行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）、IPX和IP-multicast路由，同时支持AppleTalk、DecNet、Vines和Cache Engine。VLAN通过路由实现通讯，同时网络管理员可根据安全需要建立VLAN间的访问控制。由于Cisco6509和Cisco3750支持完善的安全功能，所以跨网段的访问是安全受控的。

六、VPN网络设计

1.VPN应用需求

温州图书馆的VPN应用从未来发展看，主要有以下3个方面的应用：

（1）VPN公共图书馆虚拟专用网络系统以市图书馆为中心、县区馆为节点、社区图书馆为支点，建立一个切实可行的温州市公共图书馆自动化网络系统，以实现公共馆一体化操作。实现标准统一、业务规范、结构合理、各种资源（人力、文献、设备、数据）有效共享的区域现代公共馆体系。温州市公共图书馆网络系统建设将分三步走：第一步在市图书馆建立业务自动化中心，进行公共馆自动化扫盲或清零计划，使5个未实现自动化管理的县级图书馆实现计算机管理，2005年1月已启动该计划；第二步，迁到新馆后全市公共馆联网，建立规则，通过两种方式（书目数据集中方式和WEB方式）实现读者一卡通和全市范围内的通借通还及信息资源共建共享；第三步，建立“温州公共图书馆信息服务”门户网站，建立公共图书馆统一网上服务系统，以共有资源、共同规则、同一手段提供网上服务。目前我市县级以上图书馆有12家（包括市馆），社区图书馆20余家。

（2）VPN数字资源服务网主要是针对一些学校、政府机关、社会团体、公司等单位用户，通过VPN技术，解决数字资源只能局限于本馆局域网使用的问题。另一方面，重点读者可以通过VPN软件拨号，使用我馆的数字资源。

（3）温州共享工程VPN网目前我市有共享工程基层中心48家，其中28家是用VPN开通的，按发展计划，我市将在3年内开通基层共享工程中心128家。

3个VPN系统由于运行业务系统进行数字资源的传输，特别是文化共享工程需要传输视频资源，对VPN网络的稳定性和速度都有很高的要求。估计3个VPN网络总用户数3年后最高将达到500家左右，按每家同时建立5路连接计算，考虑到VPN系统至少50%以上冗余，VPN系统设计能力应在5000路以上。

2.VPN技术和核心设备的选择

Cisco为企业网络提供了各种遵循IPSec的VPN产品。其中，CiscoVPN集中器是最佳的远程访问VPN的解决方案，它包括了基于标准、易于使用的VPN客户机，可扩展VPN隧道端接设备、网关和能够使客户方便地安装、配置和管理自己远程访问VPN的客户端管理系统。通过将最先进的高可用性功能结合到独特的专用远程访问体系结构中，VPN集中器使客户能够构建高性能、可扩展和坚固的VPN基础结构以支持自己的关键业务远程访问应用。在我馆的实际测试中，CiscoVPN与NETGEAR的VPN终端设备进行了很好的VPN连接，具备很高的兼容性，没有出现任何问题。

CiscoIPSecVPN服务模块能够为Cisco Catalyst6500系列的端口提供经济有效的VPN性能。CiscoIPSecVPN服务模块提供的主要特性是：模块同时支持Cisco Catalyst6500系列和Cisco7600系列互联网路由器。由于VPN集成在这些基础设施平台中，无需另外添置设备和网络组件就能提高网络安全性。这个模块利用了最新的加密硬件加速技术，能够为大型分组（500字节以上）提供1.9Gpbs的3DES流量，为普通大小的分组（300字节）提供1.6Gbps的3DES流量。另外，它不但能同时端接8000条IPSec通道，还能以高于当前产品的速度设置这些通道。采用IPSecVPN模块后，为网络添加加密、认证和完整性功能变得更加容易。

3.基层VPN接入设备建议及配置

考虑到在本次工程建设好后，图书馆的VPN网络将在短时间内急剧扩大，连接的VPN网点不仅是各地分馆，同时将扩展到社会企事业单位及移动用户等，需提供图书馆各种现代化的数字服务。基层图书馆建议采用Cisco公司的集成多业务路由器作为小型网点的VPN接入设备。

七、建立WLAN无线网络系统

无线网络作为与有线网络相互补充的新型技术，发展至今日，技术已日渐成熟。为方便读者使用图书馆信息资源，全面提升图书馆信息服务水平，温州图书馆需建设无线网络系统，读者可以很方便地利用无线网络使用图书馆提供的各种数字化服务。

1.WLAN组网方案

温州图书馆WLAN网在设计上要遵循2004年5月12日我国正式发布中国境内唯一合法的无线网络技术标准WAPI(WLAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构)，严防把WLAN网辐射到临近建筑物（如档案馆）。结合当今网络技术的发展趋势，我馆采用802.11g无线局域网桥接的解决方案，无线局域网提供灵活机动、高速且廉价的高速接入。根据图书馆功能布局，无线网络的接入点布放如下表所示：

温州图书馆WLAN覆盖范围

2.WLAN组网安全部署

温州图书馆无线局域网安全防范点主要有未经授权用户的接入、网上邻居的攻击、非法用户截取无线链路中的数据、非法AP的接入、内部未经授权的跨部门使用。

采取的措施主要包括：

（1）利用ESSID进行部门分组，可以有效地避免任意漫游带来的安全问题；MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源。

（2）使用802.1X端口认证技术和可扩展认证协议（EAP）配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络盗用数据或进行破坏。WEP采用RSA开发的RC4对称加密算法，在链路层加密数据，防止非法用户截取数据。

（3）通过无线客户端二层隔离技术，在无线局域网覆盖区域，为确保不同无线工作站之间的数据流隔离，无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离，用户机器不能通过无线网络互相访问，确保用户的安全。

（4）在无线网络与有线网络接入处部署防火墙等安全访问控制设备，对无线接入用户的数据访问进行有效控制。

八、网络管理系统设计

1.网络管理系统的逻辑设计

有效的网络管理对网络平稳可靠起着至关重要的作用，为了网络的正常运行，必须注重以下管理要素：对网络上不同的主机和网络设备能进行有效管理；随时了解整个网络系统的配置和分布；监视当前系统和网络设备的运行状态；自动进行故障检测、关联和解决；可进行网络流量分析与统计；提前检测系统和网络可能出现的故障并及时处理；对重要的应用能够进行监控管理及性能分析。

通过以上各个管理要素的实现，将系统和网络故障时间减到最短。以上这些工作仅通过系统管理员的人工行为是不可能完成的，必须拥有强有力的网络管理工具自动处理大部分的系统和网络管理任务，使得系统管理人员有更多的精力用于网络的优化、升级和扩展工作上，提高整个网络的管理水平，确保网络系统持续稳定的通信要求。

网络与系统管理重点针对网络、系统、应用和其他资源的管理，每一个管理功能都涵盖了所有资源：网络、系统、数据库和应用。

2.网络与管理系统应具备的基本功能

温州图书馆网络是一个中型网络，涉及大量不同的技术、设备。要使这些资源得到很好的利用，必须依靠良好的系统管理。本方案建立的网络与系统资源管理系统应该是：

（1）端到端的管理系统网络的构成层次从下至上为网络层、系统层、数据库层及信息系统应用层，只有做到从网络层到应用层端到端的管理，才能全面管理好系统资源。

（2）开放的管理系统系统应采用业界标准。提供对当前主流平台、数据库、系统管理、Internet和应用厂商的支持，可以运行在现有的所有主要操作平台上，支持第三方厂商的应用集成。提供开放API，支持用户应用软件的集成。

（3）本管理系统还应具有安全可靠、易于扩展、跨平台等特性，为用户网络提供高效、易用的管理解决方案。

网络管理是保证维护网络正常运行的重要子系统，网络管理的复杂程度取决于网络本身的大小和复杂程度。它是一个集软件、硬件、操作系统及人员安排于一体的综合网络系统。

网络管理就是控制一个复杂的数据网络去获得最大效益和生产率的过程，为了更好地定义网络管理的范围，国际标准化组织把网管的任务划分为5个功能：网络的故障管理、配置管理、性能管理、安全管理和记账管理。

①故障管理

故障管理是检测和确定网络环境中异常操作所需要的一组设施，完成网络系统中问题的发现、定位、修复；同时提供诊断的功能，以定位和解决问题。问题的日志记录提供诊断和分析的依据。作为一个网络系统，故障的发生是难免的。当网络发生问题时，迅速定位故障的位置和原因，并尽快地解决以保证系统最大的可用性。同时对常规问题的自动化处理可以大大简化问题处理步骤，减少人员和时间的投入。

故障管理的四项主要活动为：

a.故障检测。正常操作中，通过执行监控过程和生成故障报告来检测；在执行配置测试时发现错误；通过预先设置门限并动态监控状态变化来预测潜在的故障。

b.故障诊断：通过分析涉及管理对象的故障和事件报告，或执行诊断测试程序，使管理对象的故障得到重现。

c.故障修复：一般通过配置管理工具或操作员的干预，获得修复管理对象故障的能力。

d.故障记录：以日志的形式记录告警、诊断和处理结果。

②配置管理

配置管理完成对资源的识别、配置和控制，使网络管理人员可以生成、查询和修改软硬件的运行参数和条件，以保持网络的正常工作。通过系统管理的配置管理，能够统一管理计算机资源，完成网络设备的在线配置。配置管理通过集中、自动的管理操作，可以减少人员、时间和资金的投入，缩短配置管理周期，保证质量，提高管理人员的工作效率。

③性能管理

性能管理主要负责评价网络管理对象的行为和通讯活动的有效性，通过收集各类统计数据来分析网络的趋势，得到网络的长期评价，并将网络性能控制在一个可接受的水平。其主要功能是：通过对管理设备的监控或轮询，获取有关网络运行的信息及统计数据，并能提供网络的性能统计，如设备可利用率、CPU利用率、故障率、流量统计、业务量统计、时延统计等,对历史数据的统计分析功能,优化网络性能。

④安全管理

安全管理是对网络中获得信息过程的控制，其主要功能如下：网管系统可采取高级别、多层次的安全防护措施；对各种配置数据和统计数据采取备份、保护措施；网管系统提供严格的操作控制和存取控制。

⑤记账管理

记账管理涉及跟踪每个或一组用户使用网络资源的情况，也涉及注册或取消进入网络的资格。利用网络计费管理软件，可以迅速了解每个用户使用网络的情况。

3.网络管理系统的具体配置

由于在用户内部网络设计中，我们选择了Cisco公司的网络设备，而要实现对这些网络设备更深层次的管理必须配置相应网络设备厂商开发的网络管理软件。而内网设备多、管理任务较复杂，因此我们选择Cisco在局域网上的多功能网络管理软件CiscoWorks2000LAN Management，该软件也可以与第三方网络管理平台集成在一起完成对整个网络的管理。Cisco Works2000LAN Management包括Resource Manager Essential、Computers Manager、Cisco view、n Genius Real-Time Monitor、Device Fault Manager、Content Flow Monitor6个主要模块，可以完成设备、配置、文件、故障等复杂管理。

九、网络安全系统设计

1.防火墙系统

防火墙是近年使用最为广泛的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下提供内外网络通讯。

（1）防火墙的作用

①保护脆弱的服务：通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包。

②控制对系统的访问：防火墙可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的MailServer和WebServer。

③集中的安全管理：防火墙对企业内部网实行集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无需在内部网每台机器上分别设立安全策略。如在防火墙可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

④增强的保密性：使用防火墙能阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。

⑤记录和统计网络利用数据以及非法使用数据：防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，并且还可以提供统计数据来判断可能的攻击和探测。

⑥策略执行：防火墙提供了制定和执行网络安全策略的手段。未设置防火墙时，网络安全取决于每台主机的用户。

（2）防火墙的设置要素

①网络策略：影响防火墙系统设计、安装和使用的网络策略可分为两级。高级的网络策略定义允许和禁止的服务以及如何使用服务；低级的网络策略描述防火墙如何限制和过滤在高级策略中定义的服务。

②服务访问策略：服务访问策略集中在外部网络访问（如拨入策略、SLIP/PPP连接等）。服务访问策略必须是可行的和合理的。可行的策略必须在阻止已知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下可以从外部访问某些内部主机和服务；允许内部用户访问指定的外部主机和服务。

③增强的认证：许多发生在网络上的入侵事件源于脆弱的传统用户/口令机制。多年来，用户被告知使用难于猜测和破译的口令，虽然如此，攻击者仍然在外部网络监视传输的口令明文，使传统的口令机制形同虚设。增强的认证机制包含智能卡、认证令牌、生理特征(指纹)以及基于软件(RSA)等技术来克服传统口令的弱点。虽然存在多种认证技术，它们均使用增强的认证机制产生难于被攻击者重用的口令和密钥。目前许多流行的增强认证机制只使用一次有效的口令和密钥(如Smart Card和认证令牌)。

（3）温州市图书馆防火墙设备配置

随着温州市图书馆搬迁新馆，信息网络得到了扩大，目前整个图书馆的信息点在弱电项目中达到了近1600个。随着应用系统规模的不断扩大及服务的完善，全馆员工每天都需要通过图书馆网络进行各种数据的访问、Internet获取资源及进行信息交流，同时各地分馆及社会企事业单位及个人都需要通过互联网访问图书馆的网上服务。所以，网络上的数据流量及并发连接数都将达到很高的数量级。所有服务器、骨干环网及未来的外网连接都将以千兆连接，这就使得百兆防火墙产品无法满足性能及端口要求，但如果采用普通千兆防火墙，则会造成网络单点故障增加、网络复杂度增加。而且，在中心机房等服务器密集的地方或是网络出口的地方只部署一台千兆防火墙的话，也会造成网络处理的性能瓶颈。

根据以上分析，普通的硬件防火墙不能满足温州市图书馆新馆网络平台的需求，所以，我们采用在核心路由器上配置防火墙模块实现网络的安全防范及数据过滤方案。

Cisco防火墙服务模块（FWSM）安装在Cisco Catalyst6500/7600系列交换机中，不但适合作为数据中心和外部网的边缘分布层，制定服务器流量策略，还适合作为网络管理层。对于需要防火墙功能、入侵检测、虚拟专用网以及多层LAN、WAN和MAN交换功能的基地平台来讲，防火墙服务模块（FWSM）是首选硬件防火墙。

Cisco FWSM是业界性能最高的防火墙解决方案，每个模块的吞吐量能够扩展到5GB以上，借助多个模块，带宽可高达20GB。FWSM完全支持VLAN，提供动态路由，而且可以完全集成在Cisco Catalyst6500系列交换机内。FWSM基于Cisco PIXTM防火墙技术，因而能够提供与屡获大奖的Cisco PIXTM安全设备系列相同的安全性和可靠性。FWSM采用了通过软件下载增强特性的网络处理器技术，能最大限度地适应未来需求和特性。

主要特性包括：

①可扩展性。能够以业界最高的性能生成受防火墙保护的多个安全域，从而消除来自企业园区网的越来越多的安全威胁。每个FWSM模块提供5GB吞吐量。如果安装多个模块，每个机箱的总带宽可以扩展到20GB。

②可靠性。以Cisco PIX技术为基础，FWSM使用了同一个经过时间检验的Cisco PIX操作系统，这是一种安全的硬化实时操作系统。借助切实可行的Cisco PIX分组检查机制，FWSM能够在一个平台上同时提供高性能和高安全性。另外，它还能在活跃/等待FWSM环境中提供基于LAN的故障恢复。

③易于使用。FWSM使用大家非常熟悉且切实可行的CiscoPIX管理界面，保持安全性及网络管理界面的独立性。Cisco管理框架和Cisco AVVID（集成化视频、视频和数据体系结构）合作伙伴都支持FWSM的配置和监控。

（4）防火墙模块配置

温州市图书馆新馆网络方案中，在Cisco7609核心路由器上配置一块FWSM防火墙服务模块，实现图书馆内外网及服务器各区域之间的安全隔离及保护。具体配置策略如下：

①在Cisco7609上，将WS-4148接口模块及引擎上的2个千兆端口划分为3个VLAN，分别连接外网ISP电信的两条百兆线路、内网两台核心Cat6509交换机及WEB服务器群。

②在防火墙上将Cisco7609上的3个VLAN设定为防火墙接口，划分为不同的安全区域：外网区、内网区及DMZ区。

③在内网到外网之间启用PAT地址转换，提供内网用户访问互联网，同时隐蔽内网IP地址，防止从外网对内网客户端的攻击。

④在DMZ区到外网接口间启用NAT地址转换，将DMZ区所有服务器分别映射为公网IP地址，对互联网用户提供访问服务；同时对服务器进行安全保护。

⑤在内网到DMZ区之间启用单向路由，保证内网合法用户能够访问DMZ区的服务器，进行数据更新及数据库连接；杜绝所有由DMZ区主动发起的到内网的连接请求，防止对外服务器成为外部非法用户的跳板，攻击内网核心服务器及内网用户。

FWSM防火墙服务模块策略配置及数据流向示意如右图所示。

2.防病毒系统

温州市图书馆网络系统可以按功能分为内部网和外部网。内部网通过防火墙与因特网相连，用户使用转换后的IP地址。网络平台以Win2K、UNIX平台为主，网络工作站平台主要为WindowsXP。网络中心总共拥有20多台服务器，本网络共有280个工作站。

由于网络结构比较复杂，而且涉及远程服务器的管理和多部门、多系统之间的协调，如果不加控制，病毒一旦发作，带来的损失是不可估量的，而在信息被破坏后再杀毒也无法挽回已经造成的损失。所以对于我馆，对付计算机病毒将是防毒和杀毒相结合，以防为主。在病毒可能流传的各个渠道中都设有监控，结合定时病毒扫描和自动更新，确保整个系统的安全。针对我馆目前的网络架构，在网络中心设置一台专用的防病毒服务器，安装趋势科技服务器端软件。网络中的计算机可以通过上述方式安装客户机防病毒软件。

如上图所示，我馆网络中计算机防病毒体系达到如下效果:

（1）一体化的管理机制OfficeScan服务器统一控管整个网络的OfficeScan客户端，包括防病毒策略的设定和配置，日志的收集，病毒码、扫描引擎等组件的更新；以点盖面大大简化整个防病毒系统，防病毒管理人员只需利用有IE浏览器的计算机就可以对OfficeScan服务器进行操作，移动地进行远程Web管理，从而确保我馆能够用最少的人力资源维护好整个网络的计算机防病毒。

（2）分组管理的机制根据我馆内部不同的部门在OfficeScan中设置不同的管理组，便于防病毒管理员针对不同的组设定不同的策略，开放不同的权限。

（3）集成病毒专杀工具，清除病毒更彻底病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱了传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，从而造成数量巨大。此项技术能够使我馆防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前，手动执行不同种类的专杀工具，反复重启计算机，同时，客户机也可以手动点击按钮，触发专杀工具清除病毒。

（4）病毒爆发预防策略OfficeScan应用该策略能够有选择性地关闭某些病毒攻击网络、服务器和客户机的端口，或共享文件夹等，阻挡大量的蠕虫病毒在网络中大面积爆发，从而保护用户网络中的所有计算机不受到病毒攻击。当温州图书馆网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发预防策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不来，让已经进来的病毒无法扩散。

（5）集成网络版防火墙和IDSOfficeScan网络版防火墙和通过在客户机和网络之间创建屏障，来帮助保护OfficeScan网络版客户机免受黑客和网络病毒的侵扰，同时，IDS确保客户机不受到内部或外部的入侵，确保内部计算机的系统安全和资料安全。

（6）病毒爆发监控病毒爆发监控可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前，提前向防病毒管理人员预警，防患于未然。

（7）扫描有防病毒漏洞的计算机通过趋势科技OfficeScan自带的TMVS客户机漏洞扫描工具，可以将温州图书馆网络中所有客户机做一个整体扫描，将没有安装OfficeScan客户端软件的计算机的IP地址、计算机名字、操作系统等详细信息生成报表，便于防病毒管理人员及时定位网络的未安装OfficeScan的计算机。