售后服务百联下一代网络综合服
务应用方案
百联下一代网络(NGN)综合服务应用解决方案
项目建议书
上海远灼经贸有限公司 VoIP事业部
2004年 6月 5日
本文档包含下列内容
前言………………………………………………………….3
网 络 的 设 计 思 路 及 目
标…………………………………....4
综合服务应用业务定位……………………………………5
第一期工程方案设计………………………………………6
网络的运营管理及计费功能设计………………………..10
主要设备介绍……………………………………………..20
1.前言
在科技飞速发展的今天,Internet给我们的工作、生活
带来了革命性的变化,我们时时刻刻都在享受网络科技带来
的便利,其中 VoIP电话、票务预定、数码冲印连锁等就是现
代网络的典型应用。对于商业连锁经营者来说,这不但能为
便利店等连锁机构带来巨大的人流量和广告效益,又能产生
巨大的利润。
电信市场的开放导致了电信增值服务提供商之间的激烈
竟争,而这种竟争在中国孕育了一个高速增长的网络应用市
场。几乎在同一时间,各个提供商在各个城市都开展了虚拟
运营服务平台的建设,机遇出现的同时,挑战也出现了。几
乎每个提供商,都面临着宽带网如何建设、如何升级、如何
运营、如何扩展、如何盈利的问题。
上海远灼经贸有限公司在充分考虑了上海百联集团现阶
段需求和现有的网点资源后,坚持以满足企业通讯需求和经
营需求为目的,基于切实可行的系统造价,以先进的技术,
丰富的组网手段,提出了百联综合服务应用网解决方案。
有关这一方案的任何问题,欢迎您随时与远灼经贸有限公司 VoIP事业部联系。
电话:
项目:
技术;
商务:
2.网络的设计思路及目标
百联综合服务应用网络的建设目标.除了提供全市一个综合业务信
息平台外,将建设成一个覆盖全市各经营网点,为广泛用户提供多
项综合信息服务,VoIP语音、视频服务和票务预定、数码冲印等服
务的信息平台。最主要的目标是配合配合现有网点的发展,抢占新
兴业务增长点,开辟一个崭新的数据和信息服务市场。
因此,整个系统需能够承载多种服务类型、灵活的用户接口和
从窄带到宽带的广谱的接入带宽,同时利用现有的宽带接入、现有
设备和百联特有优势,通过高速的 INTERNET接入和适当地开发符合
国情的本地服务为进入通讯服务市场的切入点,形成经营特色和造
就市场影响,并逐步开展多种通讯类型的综合服务,以良好的性能
价格比和多种业务综合为特点。
另外,从一个企业应用网的角度来看,它应该具有以下几个特性:
足够的带宽和良好的升级能力;具有承载多种服务类型的能力;
具有良好的投资渐进策略,在网络的有效服务生存周期内,具有
较高的投资回报能力;
具有高可靠性。网络的接入层应该具有高度的灵活性、易用性,
提供多种服务接入能力。
从网络的管理层来看,网络应具备完善的控制能力和网络安全性,
并提供灵活的计费方式;
基于策略的网络管理和基于物理层、链路层和网络层的性能测量
和故障监控,并提供远程配置和故障排除能力。
3.百联综合服务应用网业务定位
在集团内部实现点对点零话费解决方案
在集团内部视频电话及可视电话会议
为广大用户提供便民 VoIP公话服务
电信卡类业务联网销售平台
各类票务代理服务
网络数码冲印服务
4.百联综合服务应用网工程方案设计
我们在分析了百联的实际情况后经研究认为百联集团虽然已在
很多地理区域内有网点资源和宽带接入优势。但以前对社会各界未开
展过 VoIP 电话等数据网络业务。也就是说,从内部环境来看,没有
数据运维的经验和市场运营策略积累。不管是网络管理人员还是系统
运行维护人员都急需一个起步级的平台来在实验中培训和学习。同时,
只有真正发展部分客户,才能逐步的进入到网络应用的市场中去,社
会各界才会逐渐认同网络应用服务提供商的地位。
所以,我们不赞同其他集成商一动手就投资一千万甚至几千万来
建一个很高级的平台与其他同类公司一争高下的做法。
我们充分考虑了百联集团的现阶段需求和今后的平滑升级因素
后,坚持以满足应用需求为目的,基于切实可行的系统造价,丰富的
组网手段,所设计的百联综合服务应用网是一个起步门槛很低而又可
平滑升级,可持续发展的应用网络。
一期工程的拓补结构规划如下所示:
如上图所示:
此方案公司总部选用一台 HP 服务器做中心呼叫控制器(CMC),
构成网络的核心。
配置一台 HP服务器为 VoIP呼叫计费服务器。
配置两台 HP 内容服务器为在线卡类销售、票务代理、数码冲印
业务服务器。
配置一台路由器来联接外部的 internet出口,可同时设置电信、
网通等多个出口。
配置一台硬件防火墙服务器来保护域内的信息资料不受外来攻
击。
一期工程所规划的目标是;
A.使用世纪网通 cnc200语音网关,将个各超市终端与总部联系起来,
实现点对点零话费。
B.通过中心呼叫控制器(CMC)统一接入中国电信,各超市终端实现
VoIP公话经营。
C.建成的网络已带有网管控制和认证计费系统(Smartbilling)。
D.建成电信卡类、票务代理和数码冲印网络平台。
E.一期工程的总造价将控制在 150-200万元之内。系统自身可生成很
多种在其它广电宽带网中已成功运营的市场策略,以弥补百联网络
应用经营经验不足。
该方案的起步投资小,系统的实际容量为注册用户 5000户,2000
个并发用户,最大峰值带宽为 75-95Mbps,采用穿透三层的 WEB 认证
方式。用户端一次性安装 VoIP 电话计费客户端软件即可,软件操作
简单方便。
设备及软件清单;
序号 名称 型号 描述 数量
1 路由器
Cisco3600
冗余 LAN接口 LANtoLAN 1
2 防火墙 DCFW1800 3 个 10/100Base-TXLAN 口,
包过滤,NAT
1
3 内容服务器 HP P4/ 双 CPU/512M/120G
热拔插/RAID卡
2
4 数据库服务器 PCSERVER
3*120GBSCSI 硬 盘 /RAID 卡
/Win2000AdvanceServer/
1
5 中心呼叫控制
器
HP 硬件+世纪网通
CMC
注册用户 60000 个,并发
10000个
1
6 接入服务器
BRAS-2000
3FastEthernet(Internal,E
xternal&Management)Port,
Upto2000OnlineUsers,RADU
IS/LDAPSupported
1
7 企业级运营管
理计费软件
CMC
Smartbilling
ISPOperationBilling&Mana
gementSystem,BasedonORAC
LEPlatform,w/1Adminitrat
or,4,000User,5Account&10
OperatorLicense
1
8 PC工作站 联想/天肌
网
卡
1
9 VoIP 语 音 网
关
深圳世纪网通 CNG300 1
10 数据库 Oralce8i 5Userlicense 1
5.网络的运营管理及计费功能设计
宽带数据接入服务对广电网络而言是一门新型业务,很多广电
网络公司往往在骨干网上投入巨资兴建网络。却常常忽视运营管理平
台的建设,很多地方建成的网络是毫无管理功能的网络,只能对用户
实行无限制的简单包月制,导致有限的数据资源被无限制的任意使用。
而数据业务与电视节目不同的是电视节目不会因用户观看时间长短
而增加成本。但是数据业务的 internet 资源是要按使用量的多少来
支付成本的。所以一个网络有无流量.带宽控制及计费功能将直接影
响这个网络的赢利水平。
5.1计费的重要性
5.2运营计费系统的技术选型
5.3邵阳市宽带城域网计费服务系统解决方案
6.主要设备介绍
附件一中心呼叫控制器(CMC)
一 、 概 述
CMC呼叫管理控制中心是部署 VOIP网络的综合管理控制平台。为电信运营商、虚拟运营商、话费代理
开展 VOIP 网络电话业务提供强大的后台支撑,是企业行业管理维护 IP 电话网络及各级部门间统计结
算的最佳选择。
二 、 功 能 模 块
包括会话控制器(含 GK功能)、EasyTrans?“易穿”媒体控制器、网络管理中心三部分组成。支持世
纪网通嵌入式系统专用硬件平台及 WINDOWS/LINUX平台三种版本
三 、 系 统 功 能 特 点
会 话 控 制 器 ( 含 传 统 G K 功 能 )
呼叫认证授权,本地和远程认证。
灵活的地址翻译,及主被号码替换。
支持二级/平行网守,支持直连方式和媒体/信令路由方式。
支持标准 SIP协议,以及不同协议相互识别、解析、转换。
分用户域管理。
可制定多种呼叫策略(费率、MOS值、时段、容量、接通率等)
支持 安全机制,恶意 RTP包头检测识别,防网络攻击。
语音流量负载均衡
EasyTrans“易 穿 ”媒 体 控 制 器
l为终端设备建立媒体和信令的专用传输隧道,可穿透多级防火墙/NAT设备和多网络边界。
l大容量媒体流帧级转发
l网络和语音 QoS保障
网 络 管 理
全网设备轮询监视,及时通知被管设备语音端口和网络端口的状态
出现宕机及其它故障时向控制台报警
支持防火墙/私网内设备网管
图形化配置和控制终端设备
设备软件及其配置文件的图形化升级和群升
系统自含会话呼叫的统计和日志
系统使用日志
四 、 系 统 性 能
最大呼叫承载能力≤5000 路
最大可管理终端设备容量≤5000
最大并发呼叫数 5000路
附件二 Smartbilling计费系统
附件三 CNG300/800语音网关
指 标 名 称 /型 号 CNG300 CNG800/8 CNG800/16
语音接口数目 2-4路 4-8路 8-16路
VOIP通道数 2-4路 4-8路 8-16路
音频接口
2FXS/FXO , 4FXS/FXO ,
2FXS+2FXO,1FXS+1FXO,
8FXS , 8FXO ,
4FXS+4FXO
16FXS,16FXO,8FXS+8FXO
以太网接口(RJ45) 2个 10/100MBase-T
串行设置接口(RJ45)一个 RS232接口
VOIP协议标准 H323/V4(RAS、、、)、RTP/RTCP;SIP*
语音编码 (
(2Kb/S)
语音质量保障技术支持
语音优先标记(TOS);动态抖动缓冲区(JIFFERBUFFER);语音侦测
(VAD)及舒适背景噪声生成(CNG);Diffserv
网络协议 HTTP、BOOTP、FTP、TFTP、、、SNMP、Diffserv
内嵌 PPPOE及 NAT功能支持
支持 DHCP 自动获取 IP
地址
支持
功能特性
内嵌“易穿”穿透代理模块
支持私网/防火墙下设备的远程网管(网管穿透)
支持私网/防火墙下语音穿透
支持电话按键配置
支持远程升级软件功能
来电显示/来电识别(CallID识别)
系统语音信箱、用户自定义语音提示功能
支持 DNS动态网守地址寻址
回音消除 (16-64ms)
互通特性 CISCO、Notel、Lucent、华为等符合 ITU标准 VOIP系统
—10℃~70℃
工作温度
工作湿度
5%~95%非凝结
工作电源 外接 12V, 内置开关电源 100V-240VAC;50-60HZ
结构尺寸 宽*高*深 16CM*4CM*21CM
标 准 19 英 寸 1U 高 ; 宽 * 高 * 深
44CM**30CM
重量 1KG 约 4KG
附件四方正防火墙
目前,国内所采用的防火墙大都是国外的产品,留有安全方面的隐患,而网络安
全又是关系到国家安全的大事,基于安全方面的考虑,决定了我们中国人只能使
用具有自主版权的防火墙产品。
建议邵阳市宽带城域网使用方正防火墙。
.产品概述
FireGate 防火墙是 SHARKS 中的主要安全产品之一。由于防火墙技术的针对性很
强,它已成为实现网络安全的重要保障之一。FireGate防火墙是通过对国外防火
墙产品的综合分析,针对我们国家的具体应用环境,结合国内外防火墙领域里的
最新发展,提出的一种具有强大的信息分析功能、高效包过滤功能、多种反电子
欺骗手段、多种安全措施综合运用的安全可靠的专用防火墙系统。
FireGate不仅仅是一个包过滤的防火墙,还包括了大量的实用模块,可以为用户
提供多方面的服务。
FireGate防火墙所包含的模块示意图如下:
.系统特点
一体化的硬件设计 FireGate采用了一体化的硬件设计,采用了自己的
操作系统,无需其他操作系统的支持,这样能够发
挥硬件的最大性能,同时也提高了系统的安全性。
双机热备份 通过双机热备份,本系统提供可靠的容错/热待机
功能。备份防火墙服务器中存有主防火墙服务器的
设置镜像,当主防火墙因为某些原因不能正常运作,
备份服务器可以在 12 秒钟内取代主服务器运作,
充分保证整个网络系统运作的稳定性。
完善的访问控制 FireGate符合国家最新防火墙安全标准,采用了三
级权限机制,分为管理员,策略员和审计员。管理
员负责防火墙的开关及日常维护,策略员负责配置
防火墙的包过滤和入侵检测规则,审计员负责日志
的管理和审计中的授权机制。这样他们共同地负责
起一个安全的管理平台。
多种工作模式 FireGate 防火墙可以工作在网桥和路由两种模式
下,这样可以方便用户使用。使用网桥模式时在 IP
层透明,使用路由模式时可以作为三个区之间的路
由器,同时提供内网到外网、DMZ 到外网的网络地
址转换。
方正防火墙特点
防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环
境。目前防火墙技术的实现主要有两种手段:一种是基于包过滤技术
(Packetfiltering);一种是基于代理技术(Proxy)。无论是包过滤、还是应用代
理,对系统的安全、基于网络访问的安全研究较多,但对网络上流动的信息内容
本身的安全处理较少。而由于我们国家的特殊需求,需要对网络上的信息安全进
行分析,并加以过滤和控制。因此从我国实际的应用背景出发,不仅要求防火墙
产品实现传统防火墙的技术,同时还要求对网络信息的安全进行分析和控制。
FireGate防火墙主要有以下特点:
工作于透明桥结构之上,实现于数据链路层,无须 IP地址。
实现了 IP地址与 MAC地址绑定的功能,对 IP盗用进行了有效的控制。
多种手段防范电子欺骗;
提供界面友好的控制平台,实现对防火墙安全策略的制定、访问的记录分析、状
态的监控以及其它对防火墙的控制功能;
信息的记录、分析模块实现直观的用户访问以及网上活动的实时监控。提供各种
工具,通过对访问记录及信息的分析、安全审计,发现可疑的连接,及时弥补网
络系统的漏洞或进行责任追究。
分布式模型设计使得在某一主机上运行的管理模块可以管理多台监控主机的运
行。
完全保留以太网的高速度,对网络性能影响极小。
防火墙优势
..多种工作模式
FireGate防火墙可以工作在网桥和路由两种模式下:
A:网桥模式:3个端口构成一个以太网交换机,防火墙本身没有 IP地址,在 IP
层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。当防火墙
工作在交换模式时,内网、DMZ 区和路由器的内部端口构成一个统一的交换式物
理子网,内网和 DMZ区还可以有自己的第二级路由器,这种模式不需要改变原有
的网络拓扑结构和各主机与设备的网络设置。
B:路由模式:防火墙本身构成 3个网络间的路由器,3个界面分别具有不同的 IP
地址。三个网络中的主机通过该路由进行通信。当防火墙工作在路由模式时,可
以作为三个区之间的路由器,同时提供内网到外网、DMZ到外网的网络地址转换,
也就是说,内网和 DMZ 都可以使用保留地址,内网用户通过地址转换访问
Internet,同时隔绝 Internet 对内网的访问,DMZ 区通过反向地址转换对
Internet提供服务。
在没有安装 FireGate防火墙的时候典型网络结构图如下:
在安装了 FireGate防火墙的时候网络结构图如下:
.包过滤防火墙
FireGate包过滤的功能是对指定 IP包进行包过滤,并且按照设定策略对 IP包进
行统计和日志记录,主要根据 IP包的如下信息进行过滤:
源 IP地址
目的 IP地址
协议类型(IP、ICMP、TCP、UDP)
源 TCP/UDP端口
目的 TCP/UDP端口
ICMP报文类型域和代码域
碎片包
其它标志位,如 SYN,ACK位
.高效的过滤
有些防火墙在安装上以后对 WEB服务器的吞吐能力影响很大,造成性能的降低。
由于 FireGate 防火墙采用了 3I(IntelligentIPIdentifying)技术,能够实现
快速匹配。因此 FireGate防火墙不会对性能造成任何影响。
FireGate防火墙优化了算法,使最大并发连接数可以达到 200,000个以上,而一
般的防火墙的最大并发连接只可以达到几万个左右。
.碎片处理功能
由于很多系统平台,包括一些路由器对 IP 碎片的处理存在问题,容易产生欺骗
和拒绝服务等攻击,FireGate 防火墙能够识别出 IP 碎片并且进行控制,这样一
来通过禁止 IP碎片通过 FireGate,防止了这样的问题的产生。
.防 SYNFlood攻击
一些 TCP/IP 栈的实现只能等待从有限数量的计算机发来的 ACK 消息,因为他们
只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信
息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。典
型的就是 SynFlood攻击,通过大量的虚假的 Syn包使服务器速度变慢,甚至是死
机。一般的防火墙是通过限制每秒钟通过的 Syn 包数量来组织 SynFlood 攻击,
这种方法可以在一定意义上阻止 SynFlood 攻击,但是也有可能将正常的 Syn 包
忽略掉,因此不是一种非常好的方法。
FireGate 防火墙使用了两种方式来反 SynFlood 攻击,一种方法就是通过设置单
位时间内的 SYN 包数量来控制,另外一种方法修改了 TCP/IP 堆栈的算法,使得
新 Syn包始终可以获得连接位。避免了由于大量的攻击 SYN包造成网络的阻塞。
.强大的状态检测功能
FireGate可以根据数据包的地址、协议和端口进行访问控制,同时还对任何网络
连接和会话的当前状态进行分析和监控。传统的防火墙的包过滤只是与规则表进
行匹配,而 FireGate 对每个连接,作为一个数据流,通过规则表与连接表共同
配合,在继承了传统包过滤系统对应用透明的特性外,还极大地提高了系统的性
能和安全性。
其他的防火墙大多采用传统的规则表的匹配方法,随着安全规则
的增加,势必会使防火墙的性能大幅度的减少,造成网络拥塞。
.轻型/复杂 IDS(入侵检测系统)
.反端口扫描
一般黑客如果要对一个网站发动攻击,首先都要扫描目标服务器的端口,确定服
务器上开启的服务,然后做出相应的入侵方式。FireGate入侵检测系统能够在黑
客扫描网站的时候就能检测到并报警,这样就能提前将黑客拒之于门外。
FireGate 入侵检测系统在检测到有黑客扫描服务器端口的时候会立即在攻击者
的视野中消失,从而使黑客无法进行后面的攻击。FireGate入侵检测系统根据配
置文件监控任何和 TCP、UDP 端口的连接。可以对全部端口同时进行监控,同时
也可以忽略指定的端口。这样就能满足不同的需求方式。
.可以防范 1500余种攻击方式
1. 检测多种 DoS攻击
DoS(拒绝服务攻击)包括很多不同的方式。在这些方式中,三种最流行的方式为
使服务失效、独占或盗用资源以及删除数据。最常见的就是服务失效方式,通过
DoS攻击可以使一个服务器停止服务,从而造成巨大的损失。
FireGate 入侵检测系统能够检测包括 IGMP 攻击、TearDrop、LAND、WinNuke 等
多种 DoS 攻击。从而使被托管的服务器处于安全的保护之中。和其它一样,
FireGate入侵检测系统一旦发现有 DoS攻击,立即在线报警,记录日志。
2. 检测多种 DDoS攻击
Yahoo、CNN 等著名网站被黑客攻击使得防黑客成了大家关注的热点。DDoS(分布
式拒绝服务)是本次攻击的主要手段。DDoS攻击的原理是入侵者控制了一些节点,
将它们设计成控制点,这些控制点控制了 Internet 大量的主机,将它们设计成
攻击点,攻击点中装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的
攻击。这种结构使入侵者远离攻击的目标,隐藏了入侵者的具体位置。
FireGate入侵检测系统能够检测包括 TFN、Trin00、shaftsynflood等多种 DDoS
工具的攻击。而这些攻击都是进行 DDoS攻击的主要工具。
3. 检测保护子网中是否存在后门和木马程序
后门和木马程序如果存在于网络中,会造成严重的后果,有些后门程序导致管理
员的密码被盗取,因此检测保护子网中是否存在后门和木马程序成为入侵检测的
一个重要的组成部分。
FireGate 入侵检测系统能够检测网络中是否存在流行的 BO、 BO2000、
NetSphere、DeepThroat、WinCrash、BackConstruction等多种后门或木马程序。
4. 检测多种针对 Finger服务的攻击
Finger服务于查询用户的信息,包括网上成员的真实姓名、用户名、最近的登录
时间、地点等,也可以用来显示当前登录在机器上的所有用户名,这对于入侵者
来说是无价之宝,因为它能告诉他在本机上的有效的登录名。
FireGate 入侵检测系统能够检测针对 Finger 服务攻击的如 FingerBomb、
Fingersearch、FINGER-ProbeNull等扫描和攻击。
5. 检测多种针对 FTP服务的攻击
FireGate 入侵检测系统能够检测针对不同 FTPserver,包括 AIXFTPD、WuFTP、
ProFTPD 、 Serv-UFTPD 、 NCFTPD 、 MsFTPD 发 起 的 FTP-site-exec 、
FTP-user-root、BufferOverflow等多种尝试和攻击行为。
6. 检测基于 NetBIOS的攻击
FireGate 入侵检测系统能够对基于 NetBIOS 的如 NETBIOS-SMB-IPC$access、
NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多种尝试和攻击行为
进行检测。
7. 检测缓冲区溢出类型攻击
FireGate 入 侵 检 测 系 统 能 够 对 OVERFLOW-x86-solaris-nlps 、
OVERFLOW-x86-windows-MailMax 、 OVERFLOW-x86-linux-ntalkd 、
OVERFLOW-DNS-sparc等近百种堆栈溢出攻击进行检测。
8. 检测基于 RPC的攻击
FireGate 入侵检测系统能够对基于 RPC 的如 portmap-request-amountd、
portmap-request-bootparam 、 RPCInfoQuery 、 portmap-request-ypserv 、
RPCttdbservSolarisOverflow等多种尝试和攻击行为进行检测。
9. 检测基于 SMTP的攻击
FireGate 入侵检测系统能够对针对多种 SMTPserver,包括 Sendmail、
ExchangeServer、Qmail等所发起的 SMTP-expn-root、SMTPRelayingDenied等试
探和攻击进行检测。
10. 检测基于 Telnet的攻击
FireGate入侵检测系统能针对基于 Telnet的包括 AttemptedSUfromwronggroup、
setld_preload、setld_library_path、LoginIncorrect等多种尝试和攻击。
11. 检测网络上传输的病毒和蠕虫
FireGate入侵检测系统能在计算机病毒和蠕虫传输到宿主机之前检测出来,包括
流行的 Happy99、IloveU、PrettyPark等百种蠕虫和病毒,防患于未然。
12. 检测 CGI攻击
FireGate入侵检测系统能检测出包括针对 PHF、NPH、等已知上百
种的有安全隐患的 CGI进行的探测和攻击方式。
13. 检测针对 WEBServer的 FrontPage扩展进行的攻击
14. 检测针对 WEBServer的 ColdFusion扩展进行的攻击
15. 检测针对 MicroSoftIISserver进行的攻击
FireGate 入 侵 检 测 系 统 能 检 测 ViewSourceexploit 、 IIS-exec-srch 、
IIS-asp-srch等已知的漏洞和弱点的攻击行为。
16. 检测利用 ICMP进行的扫描和攻击。
FireGate 入侵检测系统能对利用这种方式进行的网络拓扑探测所产生的
PING-ICMPDestinationUnreachable、PING-ICMPTimeExceeded 等 ICMP 包进行检
测。
17. 检测利用 Traceroute对网络的探测
18. 检测 ActiveX,JaveApplet的传输
FireGate 入侵检测系统能通过匹配网络包内容,可以检测特定的 ActiveX、
JaveApplet等程序在网络上的传输。
20检测对其他可能的网络服务进行的攻击
在线升级和实时报警
入侵检测系统的库文件需要不断的更新,因此 FireGate 提供了非常方便的升级
接口,可以通过我们的网站进行在线升级,而且我们提供了非常方便的用户升级
界面,使升级工作可以非常方便的完成。
报警是否及时是衡量一个入侵检测系统的重要因素之一,如果在黑客刚刚进行攻
击的时候就能够做出响应,那么管理员会有足够的时间进行防护。FireGate的报
警系统和入侵检测系统的协调工作几乎是一致的,一旦入侵检测系统检测到攻击,
报警系统会马上做出反应,通过 Email或手机通知管理员。同时会启动自动防范
系统进行防范。
.入侵检测和防火墙的互动
通过通信行为跟踪,防火墙能够检测到对网络的多种扫描,检测到对网络的攻击
行为,并能够对攻击行为进行响应,包括自动防范及用户自定义安全响应策略等。
系统支持“DMZ 到外部网”和“内部网到外部网”的地址转换和反向地址转换,
也就是说内部网主机和 DMZ 区的主机都可以采用保留地址,从而减少注册 IP 地
址的使用。通过地址转换转换可以更有效地利用 IP 地址资源,并且提供更好的
安全性。
.代理服务器功能
对于 WEB 用户来说,FireGate 是一个高性能的代理缓存服务器,FireGate 支持
FTP、gopher 和 HTTP 协议。和一般的代理缓存软件不同,FireGate 用一个单独
的、非模块化的、I/O驱动的进程来处理所有的客户端请求。
FireGate 将数据元缓存在内存中,同时也缓存 DNS 查询的结果。除此之外,
FireGate 还支持非模块化的 DNS 查询,对失败的请求进行消极缓存。FireGate
支持 SSL,支持访问控制。
用户可以通过编辑“黑名单”和“白名单”设置“禁止用户访问的站点”和“仅
允许访问的站点”,同时还可以建立 URL 级的访问限制,通过建立禁止用户访问
的 URL列表,FireGate防火墙可以对该列表进行匹配,禁止对列表中的 URL的访
问。违反限制规则的访问企图将被记录到系统日志中。FireGate 防火墙提供的
URL 级的屏蔽功能,可以使管理员屏蔽某些 URL,如色情、反动的主页等。另外
通过对内部网的 WWW服务器的某些 URL屏蔽,可以消除服务器本身的安全漏洞,
从而对 WWW服务器进行保护。
.双机热备
FireGate防火墙系统能够在网络中智能地寻找与其对等的备份机,并且使备份机
自动进入等待状态,而一旦备份机发现主工作机失效,可及时启动,防止网络中
断事故的发生。其智能识别技术甚至可以支持多于两台以上的 FireGate 在网络
上互为备份,适用于对可靠性要求极高的场合。
.强大的审计功能
审计功能是 FireGate 非常强大的一个部分,目前国内防火墙的审计功能都非常
不完善,FireGate提供了大量的审计内容和对审计内容的查询功能,由于过于复
杂的日志比较难以理解,我们将日志记录分成了若干部分,而且每一个部分都是
可以单独进行查询和管理的,这样一来就可以使用户对防火墙的情况有一个非常
透彻的了解。
FireGate中审计功能有着非常完善的权限管理,有专门的审计员来对审计内容进
行管理,在审计中又分成了若干级别的权限。这样可以方便管理员管理审计内容。
.基于 PKI的高级授权认证
PKI(PublicKeyInfrastructure)是一种新的安全技术,它由公开密钥密码技术、
数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成
的。PKI 是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络
通讯、网上交易是利用它来保证安全的。从某种意义上讲,PKI 包含了安全认证
系统,即安全认证系统(CA/RA)是 PKI不可缺的组成部分。网络,特别是 Internet
网络的安全应用已经离不开 PKI技术的支持。网络应用中的机密性、真实性、完
整性、不可否认性和存取控制等安全需求只有 PKI 技术才能满足。PKI 在国外已
经开始实际应用。在美国,随着电子商务的日益兴旺,电子签名、数字证书已经
在实际中得到了一定程度的应用,就连某些国家都已经开始接受电子签名的档案。
FireGate的授权认证是基于 PKI基础之上,因此完全性极高。有些防火墙的认证
机制采用 OTP(OnceTimePassword),或者采用了静态口令机制。比如说,静态密
码是用户和机器之间共知的一种信息,而其他人不知道,这样用户若知道这个口
令,就说明用户是机器所认为的那个人,那么就很容易的控制防火墙。而一次性
口令也一样,用户和机器之间必须共知一条通行短语,而这通行短语对外界是完
全保密的。和静态口令不同的是,这个通行短语并不在网络上进行传输,所以黑
客通过网络窃听是不可能的。但是使用起来没有使用证书认证方便。
因此 FireGate 基于 PKI 的高级授权认证机制在技术上面非常的先进,超越了大
部分的防火墙产品。
.集中管理
根据美国财经杂志统计资料表明,30%的入侵发生在有防火墙的情况下,这些入
侵的主要原因并非是防火墙无用,而是由于一般的防火墙的管理及配置相当复杂,
要想成功的维护防火墙,要求防火墙管理员对网络安全攻击的手段及其与系统配
置的关系有相当深刻的了解,而且防火墙的安全策略无法进行集中管理,这些都
造成了安全策略的失效。而 FireGate防火墙采用基于 WindowsGUI的用户界面进
行远程集中式管理,配置管理界面直观,易于操作。可以通过一个控制机对多台
FireGate进行集中式的管理。
.实时控制和日志转存
管理员可以通过控制界面对防火墙进行实时的控制和调整,可以修改其策略和工
作方式。
管理员可以将日志保存起来,供以后分析使用,由于 FireGate 每天都会记录大
量的日志信息,而且一些日志记录是非常有用的信息,因此 FireGate 的日志监
视系统会将服务器上面的日志下载到管理员的机器上面,管理员可以对它进行编
辑和保存。
.灵活的配置方式
.可视化配置
FireGate的配置都是在 Windows下面的图形界面中进行的,因此配置起来比较方
便,对于用户而言,无需了解过多的安全知识,就可以配置好 FireGate,而且让
之工作起来。
.预置包过滤规则集
预置的包过滤规则集是对常见的防火墙应用进行总结归纳出的防火墙规则模板,
每个预置的包过滤规则集都对应了一种比较典型的网络布置情况。对于常规的应
用,用户可以直接调用预置的包过滤规则集来完成,大大简化了用户对防火墙的
设置工作。由于 FireGate 防火墙是一种包过滤类型的防火墙,因此通过规则集
来进行包的检查,而不同的网络布置情况决定了不同的包过滤规则集,因此
FireGate防火墙预置了对应多种网络布置情况的包过滤规则供用户选择使用。
FireGate防火墙可以灵活地满足不同的安全需要,为企业,托管服务器等提供一
个不同层次和不同方位的安全保障。而且完善的审计记录和流量统计信息为用户
提供了大量有用的记录和信息。
FireGate典型应用于 IDC、金融、证券需要重点保护的计算机网络,大、中、小
型企业的计算机网络以及 ICP、ISP的托管主机群。
附件五 Cisco3600路由器
Cisco3600 是世界第一个真正的多功能应用支持平台,在单独一个服务器上广泛
支持分支机构/企业拨号访问应用,LAN到 LAN或者路由选择应用以及多服务应用。
它提供前所未有的模块化选项,可使用多种不同的网络模块,它还具有强大的灵
活性,可针对客户的不同应用环境,提供各种配置选项,而且最重要的是,它具
有支持所有这些应用的优质运行性能。
作为一个多功能解决方案,你可以依靠 Cisco3600平台的出众性能、安全性以及
灵活性来满足你未来多年的需要。与具有综合管理、配置以及单供应商支持的一
台多功能设备相比,管理、配置以及支持多台设备。
此外,CiscoIOSTM软件包含许多可提供安全性、可靠性以及 WAN 优化的功能,在
任何应用环境中,都可以使用 CiscoIOSA 功能来控制不断上升的 WAN 费用。
CiscoIOS 软件支持在帧中继、专线以及拨号网络上的数据压缩。CiscoIOS 软件
拥有广泛的多媒体功能,可以支持诸如在 WAN上的电话会议那样的新型应用。资
源预保留协议(RSVP)、非协议依赖性的多点广播(PIM)以及加权公平排队
(WF)等功能可以保证一贯的服务质量以及较高的应用可用性。
提供的多种功能
Cisco3600 的目标是满足不断发展的需要。Cisco3600 在一个模块化的机箱中有
不同的模块选择可以最大限度地保护用户投资,其性能可以处理上述不同的需要,
而且还有能力满足将来的发展需求。例如,作为一个 ISDN 连接解决方案,配有
集成数字调制解调器的 Cisco3600ISDNPRI 连接服务器非常适合那些机架空间有
限的机构。Cisco3600 配有冗余 LAN 接口,包括提供数据回拖到聚合点,同时,
它的冗余 LAN接口,包括提供快速以太网以及令牌网的功能,可以灵活地置于各
种不同的 LAN环境中。
提供多协议拨号连接
成功的远程连接意味着能够几次透明地连接到任何地点的用户,同时可支持任何
协议。远程和移动用户的不同需要使 ISDN 和异步连接都变得十分必要,今天,
用户希望获得与本地访问同样的连接服务质量。为了满足这种要求,远程访问服
务器必须成为整个网络解决方案的一部分,并且和它一起扩展以满足不断增长的
远程访问的需要。
C.系统功能
.全功能的 CiscoISO
Cisco3600 是 Cisco 整套端到端连接解决方案中的一部分。没有任何其它的供应
商能够向远程用户提供这么多的 Intermir访问以及扩展选择。而且 CiscoISO软
件有能力在用户负担得起的前提下布置拨号虚拟专用网络(DialVPNS),使 Cisco
产品的功能又得到了相应的提升。用户还能够通过数据压缩等带宽优化技术来节
省开支,并且可以布置高质量的网络安全防火墙以及数据加密功能。
.安全性
安全已成为今天大多数网络管理者关心的主要问题,Cisco3600,问题配合广为
流行、功能强大的 CiscoISO 软件,可以为客户核心网络提供全面的安全保障。
对于远程用户环境,Cisco3600 将该项已被证明是有效的核心安全技术扩展到混
合介质拨入站点。CiscoISO软件支持的安全功能包括访问清单、侵入事件记录、
远程访问拨入用户服务(RADIUS)、KerberosV以及具有验证、授权和记帐(AAA)
的 TACACS。
.管理
Cisco3600 提供一套称为 CiscoWorks 的完善的图形用户界面(GUI)管理工具,
可对 Cisco3600机箱及其相关网络模块进行图形化的配置、监控和调试。
Cisco 配置管理功能向网络管理者提供对网络统计数据的完全控制以及在一个中
央控制中心配置和调节网络操作的能力。CiscoISO软件包含全面的故障分析工具,
可以大大减少问题隔离和恢复所需的时间和费用。
针对 Cisco3600提供的内部调制解调器,一套先进的可选调制解调器管理功能可
供使用,它提供广泛的带宽优化功能,可以帮助分支机构和企业客户降低运行地
理位置分散的广域网络的重复费用。调制解调器管理功能集包括呼人过程监视
hardandbusyout、分组、一个用户定义的警告域值以及统计功能。管理人员可查
看调制解调器的调制配置、调制解调器协议、调制解调器 EIA/TI-B2信号状态。
调制解调器发送和接收速率以及模拟信噪比等实时(当时或以前的呼叫)。调制
解调器可以用管理网络其它部分的相同工具来管理,从而为网络管理者提供了一
个在中央管理点进行管理的解决方案。
.可扩展性
多链路点到点协议(MP)使用户可利用 ISDN 连接的优势,并且可以使用两个 B
通道达到 128kbps数据吞吐量。异步用户如果在其工作站上获得支持,使用两个
通过两条电话线连接的调制器,他们也能够受益于该功能。为了满足用户不断增
长的需求,需要扩展 Cisco3600解决方案,而 MMP支持是实现这种扩展的一个关
键因素。MMP 使呼叫能够被"链接"起来,而不管每个呼叫被置于哪个物理机箱,
从而能将 Cisco3600机箱堆放起来并视为一个拨入池。
系列概览
下表详细列出了目前可提供的 Cisco3600系列的平台和网模块。对于邮电客户来
说,直流电源是唯一选择,Cisco3600 产品提供直流型号这些电源也可作为备用
件订购,而且它们都是现场可替换部件(FRUs),备用电源在清单的编号为 PWR3620
-DC=3640-DC。
Cisco3600 系列是一个具有优越性能和灵活性的全面解决方案,您可以依赖它,
迎接未来的挑战。你知道你正在和一个可以依赖的供应商合作。Cisco 系统公司
以其出色的服务和支持,以及世人皆知的高性、高可靠性和标准的高技术,支持
每一个它生产的产品。
附件六宽带服务路由器 CMTS
ACE/RiverDeltaBSR1000
宽 带 服 务 路 由 器
RiverDeltaBSR1000 是小型的低成本
的解决方案,适用于小型分区分配中心
或宽带服务市场发展的早期阶段中较
大场所。它可作为单独放置的设备使用,或作为低成本有线网络廷伸所需的小型设
备中的一种。这种增加用户进行的简单易用的分配 CMTS 可以帮助运营商们发展
在定义、配置及管理方面极具优势的宽带服务
它执行 NetworksSmartflow的单数据包处理,低成本有效的廷伸丰富的 QoS
支持,传送给多用户商。可节省空间的 BSR1000的体积非常小巧,是小型分区分
配中心理想的选择。它可以由非技术人员进行安装用于扩大服务范围,它可发当
作第 2层桥接器使用或作为有增强的安全性特色功能的 CMTS路由器使用。
新一代分配平台 BSR1000是根据 、、及
标准设计的。这种简洁的 CMTS与快速以太网上行传输相配置可连本地数据网络;
或与可选的双向上行传输(千兆比特光接口或快速以太网接口)相配置可连接光
传输环并支持链接。BSR1000有节省空间的 IU“压缩式”盒状底盘,允许 MSO在
空间非常珍贵的最小型的场所内充分利用宽带服务结构。当数据集中到运营商级
的 BSR6400的时候,系统实行可测量的 SLA来进行隔离、监控和地址管理。这种
解决方案可以进行低成本有效地服务领域的扩大,并且它可以传送数据形态使
SLA跨越 HFC网络进行端对端传送。
分配 QoS和多服务支持宽带有线网络传达室送的能力要求满足集中的数据、
声音、多媒体服务的传送,BSR1000是一个灵活平台使这些新一代的服务通过 IP
实现。它提供宽带多种服务的支持并且运营商可以从创新的新服务项目中迅速更
新和增加收益渠道。BSR1000 允许电缆运营商支持一个供应商提供多种服务,同
时也允许多个服务商每个仅供提供一种服务。运营商能够通过 CableModem 将可
测量的 QoS发送到多个服务商的网络中心。通过将多个 BSR1000中的数据流集中
到分区端的一个 BSR6400里,运营商能够提供低成本有效的电缆接入同时保证按
内容分类的路由处理。SmartFlow 允许运营商根据数据包内容将数据包分类到数
据流中并且为 HFC 网络中使用 、的每个数据流进行适合的 QoS 处理或
为分区及骨干网络提 Diff-Serv或 MPSL。Qos的处理-例如:Diff-Serv的服务类
型(TOS)再映射-就是由根据每个服务商规定的条款制定的。系统可以提供用户
使用静态统计且可以保证并书面约定第个商的可以通过普通的有线网络结构有
效的传送到用户。
增强的安全性。运营商可以将 BSR1000 作为一个自设置 CMTS 路由器或第 2
层 CMTS 使用。当作为一个安全的、自设置的第 2 层 CMTS 使用时,BSR1000 能够
隔离 CableModem 的媒体接入控制(MAC)领域,并防止任何 CableModem 的使用
者想绕过系统设置的网关进入系统的企图。这允许运营商在开放式接入应用中用
MAC 地址约束网络服务供应商(ISP),或限制对只提供给授权的用户的特殊内容
的访问。只有被确诊的 modem 才能允许接入 HFC 网络。如果 CableModem 的 MAC
地址没有被确认,在路由方式的操作下,BSR1000 会拒绝其接入网络或改变其对
话方式将其转到自服务器上。另处,当处于路由方式的操作下,BSR1000 支持代
理地址解决协议(ARP)来映象 CableModem的地址。
网络管理及控制。BSR1000为管理、控制和实施提供几种选取项。即使在人
员条件有限的前端,BSR1000的故障解决方式也很简单易懂的 LEDs进行诊断,同
时遥控管理的能力也支持服务供应.配置和故障判断的功能应用。分割管理允许
每一个供应商查看它自己的网络管理环境,并控制它在 HFC网络协议等到的资源。
系统支持简单网络管理协议(SNMP)v1和 v3。ACE则支持所有标准的 MIB,并为
提供 MIB 来监测和控制 BSR1000 增值特色功能系统支持文件传送(FTP)可进行
大量数据的传输,能与现有的网络管理设备相兼容。BSR1000 也提供与 Cisco 相
兼容的 CLI,使用简便;并同传统设备系统也兼容。CLI 支持各种书写版本,并
能支持 ASCII版命令文件的上载,下载和运行。
用户管理。BSR1000 用户管理及供应系统是一个强大的服务建立及供应的系
统,它瞄准的是那些想为对成千上万的用户提供的快速定义及配置的,高度用户
化的 IP 服务的运营商。它在分区前端与一个 BSR1000 连接,并跨越 BSR6400 和
分配的 BSR1000 平台提供用户管理。BSR 用户管理和服务提供系统是可升级的开
放式接入软件解决方案,可使宽带有线网络的竞争性的接入更加简单并易于管理。
运营商能创建 QoS规定和服务简介并应用于单个用户或集团用户,它们可以简化
服务供应和迅速增加新用户。用户管理的特色功能是基于开放式系统接口创建的,
并允许 MSO建立并强制执行以每个用户为基础的服务分类的规定。电缆运营商能
将 BSR 系弄设备与现有的用于计费和客户服务的运营支持系统(OSS)结构完好
地结合。它使现有的 OSS与计费系统通过开放式接口集成,包括 CORBA和 LDAP。
系统通过 XML 同样支持用户交换.QoS 和服务数据。计量服务可提供用多种多样
的计费方法,运营商可以通过利用详细数据追踪,生成精确的发柰,来从广大用
户和服务供应合作伙伴处获得最大限度的利润。他们可以为每一位使用者建立简
介页面甚至允许他们通过 Web 接口进行自给服务。MSO 可以提供域名命名系统
(DNS)服务器.动态主机配置协议(DHCP)服务器和其他 Web 服务器同计费和
用户使用统计应用的互用。用户管理和服务供应系统通过目录进行交流,以便储
存服务简介和 QoS规定以及用户和供应商信息,并与传统系统互用。
性能指标
网络管理和服务提供 简洁的分配式 CMTS
*CiscoCLI *形状:1U高的“压缩式”盒状
*SNMPv1HE *高:英寸、
*ACEMIBS *宽:19英寸、
*LDAPv3 *长:英寸、
*COPS客户 *全配置重量:磅、公斤
*RADIUS互用性 *VxWorks实时操作系统
*供应、统计和收费应用的开发式接口 *电源:90-260V;47-63Hz
*HTTP/Java/XML的集成 *工作温度:-5~50度
*DHCP继电器
*不能工作的温度:-25~0 度,50~70
度
*多水平的帐号/密码鉴定 *工作温度:10%-90%,无凝结
*安全的远程登录
*不能工作的温度:5%以下,90%以上,
无
*多团体排列 凝结网络接口
支持全射频频谱 *快速以太网
*4路上行 DOCSIS接收
*可选双接口-光的快速或千兆比特以
太网桥
*上行调制-------QPSK和 16QAM 接和路由
*上行每频道比特率~兆比特/秒 *第 2层桥接
*上行输入频率范围-5~42MHz *第 3层路由处理
*下行 DOCSIS传输 *RIPv1和 v2
*射频 RF输出的集成上变频器
**SmartFlow 线速度传送和数据流分
类
*下行调制-64QAM和 256QAM *线速度 QoS
*下行输出频率范围-----88~857MHz(频道中心)
*输出频率步幅大小
*每频道下行比特率----27兆比特/秒(64QAM)
和 38兆比特/秒(256QAM)