为了确定工作或事情顺利开展,常常需要预先制定方案,方案是为某一行动所制定的具体行动实施办法细则、步骤和安排等。我们应该重视方案的制定和执行,不断提升方案制定的能力和水平,以更好地应对未来的挑战和机遇。下面是小编为大家收集的方案策划范文,供大家参考借鉴,希望可以帮助到有需要的朋友。
群星闪耀的布线系统
而5e类电缆技术规范的不断完善源于千兆以太网的发展。在制定千兆以太网技术规范期间,低端低档次的5类电缆是否能对这种网络给予支持曾一度引起人们的关注,随之,出现了等电平近端串扰(elfext)和回波损耗等新的关键测试参数,因此,业界制定了5e类电缆技术规范,它的标称速度为100mbps,手感皮厚匝密,皮上通常注“cat5e”,一般是每箱305米;然而,随着6类电缆规范的出台,尽管现有网络或新兴网络还不必太依赖6类解决方案来支持,但可以预见,6类电缆完全成为铜缆布线的主流解决方案只是时间问题;---(学电脑)
7类线缆技术提供高达600mhz的带宽,这是所有类型的铜线缆中最高的带宽,以前的线缆技术基于保守的性能标准,如100mhz的5e类标准和250mhz的6类标准,万兆以太网等新技术的早期采用者或关注环境(如工厂车间)电磁干扰的公司,倾向于使用7类线缆。7类线缆是全屏蔽电缆,每一对线路都利用衬箔屏蔽物屏蔽,而且线缆本身也采用包裹整个线缆的屏蔽层。一些7类线缆还在线缆的护套与屏蔽的线路对之间加入了一层编织物屏幕层,线缆还可以屏蔽外部串音,即来自线缆外套之外的邻近线缆的噪音。直到不久前,5e类和6类线缆一直采用噪音消除技术,处理来自线缆护套内部的噪音,而提供万兆以太网传输的铜电缆存在的最大问题是来自护套外部的噪音。
7类线缆是容量最大的平衡电缆,而它的成本大约是6类电缆的3倍,后者的价格一般为1000英尺380美元,为今后作打算的企业可能能够证明安装7类线缆(电缆和连接器)的费用是合理的,因为与其他可以处理需要更高带宽应用的替代方法相比,7类线缆更节省资金。7类为用户提供了根据安装的连接器类型(rj型和非rj型)做出选择的可能,在使用非rj型连接器时,它提供应用共享功能,而在使用rj型连接器时,基础设施具有向后兼容性和互操作性。
由于这种线缆技术将逐渐进入主流,越来越多的设备制造商必须在他们的硬件上设计7类接口,企业用户也必须逐渐适应这样一种不同的接口,7类线缆具有比6类线缆更大的直径,因为它采用双倍的屏蔽,并且通常采用23awg(美国线缆规格)裸铜线连接器(相比之下,6类、5e类、5类和其他类型的线缆采用的是24awg连接器)。
除了确定7类线缆和连接器的价格外,国家研究测试试验室的认证也非常重要,这意味着该试验室的认证标识将出现在这种线缆的护套上,该标识显示设备在安全性和性能上,通过了国家批准的测试试验室的测试,符合国际7类标准的性能规范。7类产品可以满足新的带宽、接入、存储和速度要求,根据用户的需要和未来的目标,将这种最新铜缆技术与其竞争者的性能进行成本收益比较,可以帮助确定使用什么类型的线缆。
各类布线系统的技术对比
从频率范围看,5e类线缆仍局限在100mhz,而6类线缆已提高到200mhz,并规定在此基础上再加25%余量,即达到250mhz(暂定)。
参数除另有规定外,所有数值以db为单位,所有数值为100mhz处测量值(最差状况-通道)。括号内数值分别为6类电缆在250mhz处和7类电缆在600mhz处的测量值。
综合布线系统方案选择原则
无疑,众多用户关注的是安装,而不是哪一种铜缆布线解决方案。用户就可以根据自己的需求和经济承受能力,在各种方案中加以选择。因此笔者往往建议用户考虑以下问题:
1.用户安装布线系统的用途是什么,估计今后的应用发展如何?大概的进程规划?
如果在今后5年只打算使用100baset,那么5e类电缆就足够了,但如果您考虑不久将随时应用宽带,如实时电视会议、三维模式、桌面印刷等,最好采用6类解决方案。
2.用户所在企业的前景是否明朗?企业发展速度如何?
如果前景不明,为安全起见,可采用6类解决方案,或者您预见到企业将会持续高速发展,那么6类以上解决方案可提供更大的“增长空间”,以备需要网络扩容来支持企业的发展。
3.企业网络于日常运营的重要性如何?
例如,银行网络系统是其运营的生命线,如果停机几分钟,将会给其业务造成很大的损失。因此,从充分的余量、易于安装和可靠性角度考虑,6类线缆是更为理想的解决方案。
4.企业如何考虑预算?
如果预算不受限制,就全部采用光缆了。客观环境是现实的,预算是有限的。所以,您肯定会考虑6类线缆解决方案在经济上的承受能力,毕竟它要比5e类方案的成本约高20-30%,不过,在做决策时千万不要仅着眼于初期成本,这一点至关重要。根据对上述问题及此类情况的分析,您可以知道哪种方案最适合自己的需求,同时成本又在预算范围之内。
不同的声音
在布线系统刚进入我国时,曾给国人一种神秘的感觉,似乎大厦里一旦有了布线系统就立即成了智能大厦,并且各个弱电系统都可以利用这套布线系统,其实不然。从理论上讲,综合布线系统是将大楼内的各个弱电系统的传输介质统一为一种高性能的传输介质,从而使其便于管理、维护及在未来扩展,但目前就开始选择6类或7类综合布线系统确是不必要的,主要原因有三点:
1.造价过高,性能也未必很好;
例如保安监控系统,目前使用的75欧姆同轴电缆价格低廉,传输距离远(超过100米),其带宽也很高;而6类综合布线中用到的8芯双绞线就没有这方面优势。首先,它受到100米最大传输距离的限制,超过100米其所传视频信号的衰减就会很大。此外,用户还需要购买阻抗匹配器,使监控设备的接口与双绞线系统兼容。还有,楼宇自控等弱电系统具有自己的布线系统,通常其布线的拓扑结构为总线型,即在2芯线上可串联很多控制单元,而综合布线系统采用的是星型拓扑结构,要求每根8芯线只能接一个设备。由此可见,如果楼宇自控等弱电系统也采用星型拓扑结构,那将需要大量的线缆,从而使整个系统的造价猛增。
2.我国行业管理的限制;
例如消防保安系统,目前还是单独设计、单独施工、单独管理,像这样的系统采用过好的综合布线是不适宜的。
3.不能充分发挥“豪华类”综合布线的优势。
“豪华类”布线系统为时常变更终端设备的种类和位置的用户提供了极大的灵活性,而像楼宇自控、保安监控等弱电终端设备几乎长期固定在房间或走廊的某一位置,不需要经常改变。
由此可见,过好的综合布线系统并不是全能的,它主要为智能大厦中高性能的通信自动化系统提供了基础。
x.x工程概况
综合布线系统是建筑物或建筑群内的信息传输系统。它使话音和数据通信设备、交换机设备、信息管理系统及设备控制系统、安全系统彼此相连,也使这些设备与外部通信网络相连接。它包括建筑物到外部网络或电话局线路上的连线、与工作区的话音或数据终端之间的所有电缆及相关联的布线部件。布线系统由不同系列的部件组成,其中包括:传输介质、线路管理硬件、连接器、插座、插头、适配器、传输电子线路、电器保护设备和支持硬件。
(工程简介)x.x系统设计目标
xx大楼的综合布线系统包含了语音通信网络和计算机局域网络,涉及的传输介质有光纤、大对数线缆、双绞线等。总体设计思路:“统一设计、统一规划、统一施工、统一管理”的原则。
建立一套先进、完善的综合布线系统,为高性能的网络设备提供平台,为各种应用,包括语音、数据等应用系统提供接入方式,既充分满足xx大楼内各功能区域当前的使用需求,又考虑系统将来发展的需要,从而实现系统配置灵活、易于管理、易于维护、易于扩充的目的。
本项目的网络建设应本着高性能、高稳定性、高可靠性、可扩展性与经济适用的原则。为达到项目网络建设的目标要求,在综合布线方案设计构建中,应坚持以下布线原则:
实用性-实施后的布线系统,将能够在现在和将来适应技术的发展,并且实现数据通信、语音通信、图像通信。
灵活性-布线系统能够满足灵活应用的要求,遵循结构化布线的标准,适应不同拓扑结构的网络,在不改变布线系统情况下,就可以进行设备的移动、更新和升级。即任一信息点能够连接不同类型的设备,如计算机、打印机、终端。经济性-在满足应用要求的基础上,尽可能降低造价。综合布线过程是对各种网络线缆统一规划、统一安装施工过程,减少了不必要的重复布线、重复施工,节约了线材。由于采用综合布线系统,单位避免了重复设置信息机构和重复建设信息网络,从整体上讲节省了投资,避免了大量的重复建设,提高了网络效益。综合布线系统采用标准化的设计,统一安装施工,使整个系统构成一个有机的整体,便于集中管理维护,并减少日后的维护费用。
统一性-整个建筑的信息网络建设基于一个统一的网络管理中心的模式,不同系统不同网络及不同类型的网络之间的连接完全兼容。
兼容性-综合布线系统的设施可以满足多种系统中的性能。
开放性-综合布线系统中使用开放式系统结构,符合国际上流行的标准。系统对国际上所有著名厂商的产品都应是开放的,可以将不同厂家的不同传输介质和不同设备集成在本系统内。
可靠性-采用高品质的材料和组合压接方式构成一套高标准信息通道,所有线材、器件均通过ul、cas及iso论证。在设计时应符合最新的综合布线标准,如iso/iec 11801、en50173第二版和 tia/eia 568-b接线标准,gb/t 50311-2000《建筑与建筑群综合布线系统工程设计规范》,除符合以上综合布线系统的标准规范外,还应符合在防火、接地、计算机场站地等方面的国家现行的相关强制性或推荐性标准规范的规定。每条信息通道都采用专用测试仪校核线路各种电气性能,以保证质量。建筑物综合布线系统全部采用星形物理拓扑结构,点到点的连接,任何一条线路故障都不影响其他线路的运行,同时也为线路维护和故障抢修提供极大的方便,从而保证了系统的可靠运行。
xx大楼综合布线系统采用国际著名品牌xx综合布线产品进行工程设计和实施。
综合布线是一个模块化、灵活性极高的建筑物内或建筑群之间的信息传输通道,是智能建筑的“信息高速公路”。
它既能使语音、数据、图像设备和交换设备与其它信息管理系统彼此相连,也能使这些设备与外部通信网相连接。它包括建筑物外部网络或电信线路的连线点与应用系统设备之间的所有线缆及相关的连接部件。
综合布线由不同系列和规格的部件组成,其中包括:传输介质,相关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。这些部件可用来构建各种子系统,它们都有各自的具体用途,不仅易于实施,而且能随需求的变化而平稳升级。
xx大楼综合布线系统按照国际标准的结构化综合布线方式,水平布线系统内网部分采用六类屏蔽系统,外网与语音的水平部分采用六类非屏蔽的标准设计和施工,数据主干采用万兆om3多模光缆。
工作区子系统
工作区子系统又称为服务区子系统,它是由跳线与信息插座所连接的设备(中断或工作站)组成,其中信息插座包括墙上型、地面型、桌面型等,常用的终端设备包括计算机、电话机、传真机、报警探头、摄像机、监视器、各种传感器件、音响设备等。
在进行终端设备和i/o连接时可能需要某种传输电子设备,但这种装置并不是工作区系统的一部分。例如,有限距离调制解调器可以作为终端与其他设备之间的兼容性设备,为传输距离的延长提供所需的转换信号,但却不是工作区子系统的一部分。
工作区子系统由信息面板、信息模块、跳线等组成,均采用六类配置,符合eia/tia-568标准,接口形式为rj45型与现行电话系统rj11型接口兼容,可支持千兆数据通讯。
工作区子系统如下图x-x所示:
图x-x 工作区子系统图
工作区子系统配置:
水平子系统是同一楼层的布线系统,与工作区的信息插座及干线子系统相连接。它一般端接在信息插座或区域布线的中转点上,根据本项目的要求,电缆采用4对六类非屏蔽双绞线,能支持大多数现代通讯设备,在需要某些宽带应用场合,可采用光缆。
水平线缆最大长度为90m,如图x-x所示,另有10m分配给线缆和楼层配线架上的接插软线或跳线。其中,接插软线或跳线的长度不应超过5m,且在整个建筑物内应一致。
水平线缆长度的计算按如下公式:
图x-x 水平线缆布线
c=[0.55(f+n)+6]*n(m)式中:
c―每个楼层的用线量
管理间子系统主要是放置配线架的各配线间,由交连、互联和i/o组成。管理间子系统为连接其他子系统提供工具,它是连接垂直干线子系统和水平干线子系统的设备,其主要设备是配线架、交换机、机柜和电源。管理间子系统如下图x-x所示:
图x-x 管理间子系统
管理间水平铜缆的配线架全部采用x口六类非屏蔽模块化配线架;垂直主干数据配线架由x口机架式光纤配线箱组成,楼层主干光缆跳线采用x接口;主干语音配线架采用语音x对110型机架式配线架。
为便于语音和数据的互换和扩展,所有接入楼层配线间的语音水平铜缆,在配线间均须首先接入六类非屏蔽的rj45模块化配线架后,再分别通过rj45-rj45或rj11-110跳线连接至网络交换机或语音110主干配线架上。
垂直干线子系统通常是由主设备间(如计算机房、程控交换机房)提供建筑中最重要的铜线或光纤线主干线路,是整个大楼的信息交通枢纽。一般它提供位于不同楼层的设备间和布线框间的多条联接路径,也可连接单层楼的大片地区。
设备间是一个装有进出线设备和主配线架,并进行布线系统系统管理和维护的场所,设备间子系统应由综合布线系统的建筑物进线设备,如语音、数据、图像等各种设备,及其配线设备和主配线架等组成。
设备间的主要设备,如电话主机(数字程控交换机)、数据处理机(计算机主机),可放在一起,也可分别设置。在较大型的综合布线子系统,一般将计算机主机、数字程控交换机、楼宇自动化控制设备分别设置机房;把与综合布线系统密切相关的硬件设备放在设备间,如计算机网络系统中路由器、主交换机等。
大楼的主设备间位于大楼x层的网络信息中心机房;对管理间引入的主干线缆,信息点均在机房内采用标准19英寸机柜安装,机房内,均需设计并安装各机柜至垂直桥架的金属走线架。
该子系统将一个建筑物的电缆延伸到建筑群的另外一些建筑物中的通信设备和装置上,是结构化布线系统的一部分,支持提供楼群之间通信所需的硬件。它由电缆、光缆和入楼处的过流过压电气保护设备等相关硬件组成,常用介质是光缆。
建筑群子系统布线有以下三种方式:
地下管道敷设方式:在任何时候都可以敷设电缆,且电缆的敷设和扩充都十分方便,它能保持建筑物外貌与表面的整洁,能提供最好的机械保护。它的缺点是要挖通沟道,成本比较高。
直埋沟内敷设方式:能保持建筑物与道路表面的整齐,扩充和更换不方便,而且给线缆提供的机械保护不如地下管道敷设方式,初次投资成本比较低。
架空方式:如果建筑物之间本来有电线杆,则投资成本是最低的,但它不能提供任何机械保护,因此安全性能较差,同时也会影响建筑物外观的美观性。
此处请根据用户实际情况做简要分析
网络威胁、风险分析
针对xxx企业现阶段网络系统的网络结构和业务流程,结合xxx企业今后进行的网络化应用范围的拓展考虑,xxx企业网主要的安全威胁和安全漏洞包括以下几方面:
2.1内部窃密和破坏
由于xxx企业网络上同时接入了其它部门的网络系统,因此容易出现其它部门不怀好意的人员(或外部非法人员利用其它部门的计算机)通过网络进入内部网络,并进一步窃取和破坏其中的重要信息(如领导的网络帐号和口令、重要文件等),因此这种风险是必须采取措施进行防范的。
2.2 搭线(网络)窃听
这种威胁是网络最容易发生的。攻击者可以采用如sniffer等网络协议分析工具,在internet网络安全的薄弱处进入internet,并非常容易地在信息传输过程中获取所有信息(尤其是敏感信息)的内容。对xxx企业网络系统来讲,由于存在跨越internet的内部通信(与上级、下级)这种威胁等级是相当高的,因此也是本方案考虑的重点。
2.3 假冒
这种威胁既可能来自xxx企业网内部用户,也可能来自internet内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户,诱骗其他用户或系统管理员,从而获得用户名/口令等敏感信息,进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。
2.4 完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于xxx企业网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.5 其它网络的攻击
xxx企业网络系统是接入到internet上的,这样就有可能会遭到internet上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
2.6 管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。
由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
2.7 雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
注:部分描述地方需要进行调整,请根据用户实际情况叙述。
安全系统建设原则
xxx企业网络系统安全建设原则为:
1)系统性原则
xxx企业网络系统整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2)技术先进性原则
xxx企业网络系统整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3)管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。
安全系统实施方案的设计和施工单位应具备相应资质并可信。
4)适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5)技术与管理相结合原则
xxx企业网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6)测评认证原则
xxx企业网络系统作为重要的政务系统,其系统的安全方案和工程设计必须通过国家有关部门的评审,采用的安全产品和保密设备需经过国家主管理部门的认可。
7)系统可伸缩性原则
xxx企业网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
网络安全总体设计
一个网络系统的安全建设通常包括许多方面,包括物理安全、数据安全、网络安全、系统安全、安全管理等,而一个安全系统的安全等级,又是按照木桶原理来实现的。根据xxx企业各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点,本方案主要从以下几个方面进行安全设计:
l 网络系统安全;
l 应用系统安全;
l 物理安全;
l 安全管理;
4.1 安全设计总体考虑
根据xxx企业网络现状及发展趋势,主要安全措施从以下几个方面进行考虑:
l 网络传输保护
主要是数据加密保护
l 主要网络安全隔离
通用措施是采用防火墙
l 网络病毒防护
采用网络防病毒系统
l 广域网接入部分的入侵检测
采用入侵检测系统
l 系统漏洞分析
采用漏洞分析设备
l 定期安全审计
主要包括两部分:内容审计和网络通信审计
l 重要数据的备份
l 重要信息点的防电磁泄露
l 网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展
l 网络防雷
4.2 网络安全
由于xxx企业中心内部网络存在两套网络系统,其中一套为企业内部网络,主要运行的是内部办公、业务系统等;另一套是与internet相连,通过adsl接入,并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越internet的企业集团内部局域网,并通过网络进行数据交换、信息共享。而internet本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
由于现在越来越多的政府、金融机构、企业等用户采用vpn技术来构建它们的跨越公共网络的内联网系统,因此在本解决方案中对网络传输安全部分推荐采用vpn设备来构建内联网。可在每级管理域内设置一套vpn设备,由vpn设备实现网络传输的加密保护。根据xxx企业三级网络结构,vpn设置如下图所示:
图4-1三级 vpn设置拓扑图
每一级的设置及管理方法相同。即在每一级的中心网络安装一台vpn设备和一台vpn认证服务器(vpn-ca),在所属的直属单位的网络接入处安装一台vpn设备,由上级的vpn认证服务器通过网络对下一级的vpn设备进行集中统一的网络化管理。可达到以下几个目的:
l 网络传输数据保护;
l 网络隔离保护;
与internet进行隔离,控制内网与internet的相互访问
l 集中统一管理,提高网络安全性;
l 降低成本(设备成本和维护成本);
其中,在各级中心网络的vpn设备设置如下图:
图4-2 中心网络vpn设置图
由一台vpn管理机对ca、中心vpn设备、分支机构vpn设备进行统一网络管理。将对外服务器放置于vpn设备的dmz口与内部网络进行隔离,禁止外网直接访问内网,控制内网的对外访问、记录日志。这样即使服务器被攻破,内部网络仍然安全。
下级单位的vpn设备放置如下图所示:
图4-3 下级单位vpn设置图
从图4-4可知,下属机构的vpn设备放置于内部网络与路由器之间,其配置、管理由上级机构通过网络实现,下属机构不需要做任何的管理,仅需要检查是否通电即可。由于安全设备属于特殊的网络设备,其维护、管理需要相应的专业人员,而采取这种管理方式以后,就可以降低下属机构的维护成本和对专业技术人员的要求,这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。
由于网络安全的是一个综合的系统工程,是由许多因素决定的,而不是仅仅采用高档的安全产品就能解决,因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理,因而很容易因为某个设备的设置不当,而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的,因此,容易出现上述现象;同时,每个维护人员的水平也有差异,容易出现相互配置上的错误使网络中断。所以,在安全设备的选择上应当选择可以进行网络化集中管理的设备,这样,由少量的专业人员对主要安全设备进行管理、配置,提高整体网络的安全性和稳定性。
4.2.2 访问控制
由于xxx企业广域网网络部分通过公共网络建立,其在网络上必定会受到来自internet上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制最成熟的是采用防火墙技术来实现的,本方案中选择带防火墙功能的vpn设备来实现网络安全隔离,可满足以下几个方面的要求:
l 控制外部合法用户对内部网络的网络访问;
l 控制外部合法用户对服务器的访问;
l 禁止外部非法用户对内部网络的访问;
l 控制内部用户对外部网络的网络;
l 阻止外部用户对内部的网络攻击;
l 防止内部主机的ip欺骗;
l 对外隐藏内部ip地址和网络拓扑结构;
l 网络监控;
l 网络日志审计;
详细配置拓扑图见图4-
1、图4-
2、图4-3。
由于采用防火墙、vpn技术融为一体的安全设备,并采取网络化的统一管理,因此具有以下几个方面的优点:
l 管理、维护简单、方便;
l 安全性高(可有效降低在安全设备使用上的配置漏洞);
l 硬件成本和维护成本低;
l 网络运行的稳定性更高
由于是采用一体化设备,比之传统解决方案中采用防火墙和加密机两个设备而言,其稳定性更高,故障率更低。
4.2.3 入侵检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须配相应的安全产品。作为必要的补充,入侵检测系统(ids)可与安全vpn系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送e-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。
入侵检测系统的设置如下图:
从上图可知,入侵检测仪在网络接如上与vpn设备并接使用。入侵检测仪在使用上是独立网络使用的,网络数据全部通过vpn设备,而入侵检测设备在网络上进行疹听,监控网络状况,一旦发现攻击行为将通过报警、通知vpn设备中断网络(即ids与vpn联动功能)等方式进行控制(即安全设备自适应机制),最后将攻击行为进行日志记录以供以后审查。
基本型适用于综合布线系统中配置标准较低的场合,使用铜芯双绞线组网,其配置如下:
每个工作区有一个信息插座
每个工作区配线电缆为1条4对双绞电缆
采用夹接式交接硬件
每个工作区的干线电缆至少有2对双绞线
基本型综合布线系统大都能支持话音/数据,其特点如下:
能支持所有话音和数据的应用,是一种富有价格竞争力的综合布线方案
应用于话音、话音/数据或高速数据
便于技术人员管理
采用气体放电管式过压保护和能够自恢复的过渡保护
能支持多种计算机系统数据的传输
增强型
增强型适用于综合布线系统中中等配置标准的场合,使用钢芯双绞线组网,其配置如下:
每个工作区有两个或以上信息插座
每个工作区的配线电缆为2条4对双绞线电缆
采用直接式或插接交接硬件
每个工作区的干线电缆至少有3对双绞线
增强型综合布线系统不仅具有增强功能,而且还可提供发展余地,
它支持话音和数据应用,并可按需要利用端子板进行管理。增强型综合布线系统具有以下特点:
每个工作区有两个信息插座,不仅机动灵活,而且功能齐全
任何一个信息插座都可提供话音和高速数据应用
可统一色标,按需要可利用端子板进行管理
是一种能为多个数据设备创造部门环境服务的经济有效的综合布线方案
采用气体放电管式过压保护和能够自恢复的过流保护
综合型
综合型适用于综合布线系统中配置标准较高的场合,使用光缆和铜芯双绞线组网。综合型综合布线系统应在基本型和增强型综合布线系统的基础上增设光缆系统。综合型布线系统的主要特点是引入光缆,能适用于规模较大的智能大厦,其余与基本型或增强型相同。
综合布线系统等级之间的差异
所有基本型、增强型和综合型综合布线系统都能支持话音/数据等业务,能随智能建筑工程的需要升级布线系统,它们之间的主要差异体现以下两个方面:
支持话音和数据业务所采用的方式
在移动和重新布局时实施线路管理的灵活性
fddi/cddi(光纤/铜线分布式数据接口)
这是一种成熟的、非载波侦听的、100m带宽共享的网络技术,采用了令牌传递服务策略,网络设备之间有主环和副环相联,在网络线路或网络设备出现故障时,有很强的自重构能力。同时其站管理(smt)功能十分强大,适合于作主干网络。但其技术难度高、价格昂贵、扩展性较差,呈环行布线,与atm不太兼容。
atm(异步传输模式)
这是一种基于光纤传输系统、应用了统计复用技术、采用了短信元交换技术的先进异步模式。它直接支持数据、视频、音频等多媒体传输。速率相当快(达成155m,622m),由于采用了异步模式,共效率相当高,比较适合于作主干网格。但它仍然是一项有争议的技术,许多标准尚待完善,不同厂家产品之间的互操作及通用性有待于进一步改善。
fastethernet(快速以太网)
现在的高速以太网技术一般包括两种:100mvg-anylan和100m-t。这里主要谈是后者--快速交换式以太网。100mag-anylan虽然提供了多媒体功能,但它的兼容性差、价格高、复杂度高,这里不作考虑。100base-t是10base-t的改良变种,它在原来的基础上采用将网格分割为若干网段,分割冲突域,并采有了缓冲交换,使网格上传输速率和传输效率大大提高。
快速以太网具有实用(兼容了原以太网,软件、硬件丰富),先进(速度快--100mbps),升级方便(向atm或更快的网格转换方便),扩展性好(通过互连设备,交换机,路由器容易扩展),开放性好(软硬件协议开放),价格便宜(相比于atm、fddi),支持的厂家多(得到intel、sun、3com、bay、accton等大公司的支持)等特点。对于多媒体网格应用,快速以太网也能很好的满足要求。
虽然以太网的网格设备之间的有效距离较短(100米),适合于部门级的小局域网,但可采用心光纤电转换器和光纤来延长传输距离。快速以太网具有极好的扩充性,使用交换式集线器和普通集线器,用户数的扩展对网格没有影响(正在使用时可以扩展),方便将来子网接入。
基于以上分析,结合综合布线系统和网格技术的要点,这里向读者提供三种综合布线方案。
采用全双绞线结构布线方案(快速以太网技术)
缺点是:如果楼层较高,这就有可能导致某些住处点的接线长度超过100米,众所周知,根据布线原则,双绞线一般不允许超过100米,这样会造成信号衰减以至畸变。
其次由于所有的接线都从中心机房通过垂直子系统向其他楼层辐射,对竖井要求较高。再其次是全双绞线结构难于升级为atm技术或千兆位以太网技术,atm技术和千兆位以太网技术需要使用单模/多模光纤来连接构成主干。
采用以光纤构成垂直主干、双绞线为边缘的布线方案(atm技术)
这种方案的垂直子系统采用光纤结构,其他子系统采用五类双绞线布线,网络技术是atm技术。
优点是:首先布线造价较便宜(与方案一相比,只略高一点)。
其次垂直子系统大大简化,只需从中心机房向其他楼层辐射光纤,每个楼层分配一条光纤(最好加备份线),在每楼层中再采用五类双绞线布线,布线的时间复杂度和空间复杂度大大下降,而且100米长度限制的问题不复存在,因为光纤不受短距离限制(单模15公里,多模1.5-2公里)。再其次是一步到位,直接使用先进的atm交换技术,会使网络响应速度大大提高。
缺点:主要是网络设备和主机设备相当昂贵。由于采用了atm先进的交换技术,必须配置相应的atm交换机、atm仿真桥、atm适配器,这些设备是极为昂贵的。而且atm交换机需要专人管理,基于现在的技术,atm的交换功能尚不能达到完全自动,而要根据人们的设置参数进行工作,管理上受一定的限制。
综合方案一和方案二的优缺点,这里提出第三方案。
采用以光纤构成垂直主干、双绞线为边缘的布线方案(快速以太网技术)
即采用方案一的网络技术和方案二的布线方式。在垂直子系统采用光纤,其他子系统用五类双绞线构成。网络技术使用快速交换式以太网。
优点:布线造价便宜;网络设备造价合理;主机设备也无需特殊配置;易于升级。而且以太网交换技术无须人工干预。实行全自动交换,管理方便。而且当需要升级到atm或千兆位以太网技术时,只需要更换网络设备,无须更换布线设备,真正达到”一次布线,终身受用“的目标。但是系统需要升级时,还须更换部分网络设备。
布线方案各有优缺点,然而,从网络硬件配备来看,考虑到性能价格的关系以及以后的升级和维护,在当前的网络技术下,选取第三种布线方案较为合理科学。