1、目 錄第一章系統概述.31.1概述31.2設計要求3第二章設計原則及設備選型依據42.1總體設計原則4第三章設計方案53.1網絡設計原則53.2組網方案63.3方案特點83.4IP地址規劃說明93.5VLAN規劃10第四章網絡安全方案建議124.1網絡安全技術概述134.2防火墻解決方案144.3深度安全的防范設計184.3.1部署方案184.3.2應用程序防護194.3.3網絡架構防護194.3.4性能保護194.3.5數字疫苗在線更新機制19第五章課程設計總結.20第一章系統概述1.1概述某市體育中心是主管本市體育工作的市政府直屬機構。主要職責是：貫徹國家體育工作的方針、政策和法規，研究擬

2、訂本市體育工作的法規、政策和發展規劃，并組織實施；負責本市體育體制改革，制訂本市體育發展戰略，編制中長期發展規劃，并組織實施；組織、指導各部門、各行業開展群眾體育活動，推動體育社會化，組織實施全民健身計劃；統籌規劃本市競技運動項目的布局，指導優秀運動隊的建設及業余訓練工作；制訂體育競賽計劃，管理、指導全市性體育競賽；指導體育科研工作，加強科研攻關和科研成果的推廣；組織開展反興奮劑工作；開發體育人才資源等工作職能。某市體育局歷來十分重視信息安全的發展動向，尤其是在體育場所信息管理系統方面，部署力量，保障信息網絡的安全。1.2設計要求XX體育中心計算機網絡系統及計算機管理應用系統的建設應達到以下建

3、設目標：1. 滿足運動會舉辦期間，對各比賽、訓練場館的基本信息化需求。2. 體育中心計算機管理應用系統總體結構歸納為“一個門戶、三個體系和五個層次”；（總體結構適用于軟件解決方案中辦公自動化平臺、財務管理平臺、綜合應用平臺）3. 適應信息技術的發展，滿足XX體育中心業務和辦公中不斷增加的對于信息資源共享的需求；4. 提高辦公效率，實現電子化辦公、無紙辦公，同時大幅提高工作人員的信息化水平； 5. 滿足日益發展的群眾體育運動發展的需求，為廣大群眾的體育鍛煉，提供良好的服務；6. 滿足XX體育中心的經營管理需求；7. 建立代表本單位的Web服務器，對內方便內部工作人員信息的獲取和基于Web的溝通，

4、對外樹立本單位在因特網上的形象，也使網絡成為服務社會的“窗口”；第二章.設計原則及設備選型依據考慮到本工程網絡結構設計的靈活性和可擴展性，要求網絡廠商具有從骨干萬兆以太網交換機、工作組千兆以太網交換機、全系列路由器、網絡安全、網絡管理等全系列產品，與其他廠家的產品互連性好，有良好的服務和技術支持。考慮到網絡系統的穩定性和可靠性，要求所采用的網絡產品必須是經受過大量網上實際應用的考驗，要具備高安全性、高穩定性和高可靠性，保障系統的不間斷運行。同時由于世界上網絡產品供應商之間的激烈競爭，收購和兼并頻繁發生。如果選用較小的供應商的產品，一旦發生收購或兼并，常常導致整個產品系列的停產，使售后服務和產品

5、升級都面臨很大困難。因此，在網絡產品的選型中，必須選擇產品售后服務和支持好的網絡產品供應商。2.1 總體設計原則結合XX體育中心局域網的實際應用和發展要求，在進行本次網絡系統設計時，主要應遵循以下原則：實用性原則：以現行需求為基礎，充分考慮發展的需要來確定系統規模。安全性原則：本次工程項目服務于XX體育中心局域網的需要，對安全級別要求很高。系統應能提供網絡層的安全手段防止系統外部成員的非法侵入以及操作人員的越級操作，保護網絡建設者的合法利益。可靠性原則：系統設計能有效的避免單點失敗，在設備的選擇和關鍵設備的互聯時，應提供充分的冗余備份，一方面最大限度地減少故障的可能性，另一方面要保證網絡能在最

6、短時間內修復。成熟和先進性原則：系統結構設計、系統配置、系統管理方式等方面采用國際上先進同時又是成熟、實用的技術。設備廠商和投標商應有相關領域的豐富經驗。規范性原則：系統設計所采用的技術和設備應符合國際標準、國家標準和業界標準，為系統的擴展升級、與其他系統的互聯提供良好的基礎。開放性和標準化原則：在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則。可擴充和擴展化原則：所有系統設備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求，如帶寬和設備的擴展，應用的擴展和辦公地點的擴展等。保證建設完成后的系統在向新的技術升級時，能保護現有的投資。可管理性原則：整個系統

7、的設備應易于管理，易于維護，操作簡單，易學，易用，便于進行系統配置，在設備、安全性、數據流量、性能等方面得到很好的監視和控制，并可以進行遠程管理和故障診斷。第三章.設計方案3.1網絡設計原則根據以上要求，結合體育中心局域網的實際應用和發展要求，在進行本次網絡系統改造設計時，主要應遵循以下原則：1）高性能：網絡要求具有數據、圖像、語音等多媒體實時通訊能力。主干網應提供可保證的服務質量和充足的帶寬。采用最新科技，以適應大量數據傳輸以及多媒體信息的傳輸。整個系統在國內三到五年內保持領先的水平，并具有長足的發展能力，以適應未來網絡技術的發展。2）高可靠性：網絡系統是日常業務和各種應用系統的基礎設施，應

8、保證工作日和重點時期不間斷運行。整個網絡應有足夠的冗余，設備在發生故障時能以熱插拔的方式在最短時間內加以修復。可靠性還應充分考慮網絡系統的性價比，使整個網絡具有一定的容錯能力，減少單點故障。3）標準化：所有網絡設備都應符合有關國際標準以保證不同廠家網絡設備之間的互操作性和網絡系統的開放性。4）可擴充性和可擴展性：所有網絡設備不但滿足當前需要，并在擴充模塊后，滿足可預見將來需求。網絡設計要考慮本期網絡系統應用和今后網絡的發展，便于向更新技術的升級與銜接。要留有擴充余量，包括端口數量和帶寬的升級能力。5）易管理性：網絡設備應易于管理，易于維護，操作簡單，易學，易用，便于進行網絡配置，發現故障。6）

9、支持多媒體：支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的傳輸、查詢服務，具有多種基于優先級隊列的QoS保證，多媒體應用對服務質量有很高的要求，如帶寬，延遲，延遲的變化等，需要網絡對服務質量(QoS)有很好的支持。7） 安全性：網絡系統的數據和文件多數要求具有高度的安全性，因此，網絡系統本身要有較高的安全性，對使用的信息進行嚴格的權限管理，在技術上提供先進的、可靠的、全面的安全方案和應急措施，確保系統萬無一失。同時符合國家關于網絡安全標準和管理條例。8）實用性：系統建設首先要從系統的實用性角度出發，未來企業內部的信息傳輸都將依賴于計算機網絡系統，所以系統設計必須具有很強的實用性，滿足不

10、同用戶信息服務的實際需要，具有很高的性能價格比，能為多種應用系統提供強有力的支持平臺；同時應很好地利用現有設備資源，保護用戶的已有投資。3.2組網方案XX體育中心局域網主要是搭建網絡框架，建立一套獨立的通信平臺，為各種用戶的需要提供基礎網絡平臺，以適應今后對網絡的不斷需求。由于整體網絡的性質，對網絡設備有很高的要求，至少滿足5-10年的發展需要，同時考慮今后的發展，應用逐漸增多，給網絡帶來的壓力。因此需要核心設備具有高性能和豐富的業務功能，在提供高速的轉發的同時，可以靈活設置策略，保障高端用戶能夠得到優質的服務。根據以上分析，我們組建體育中心局域網網絡，具體網絡拓撲圖如下：如上圖所示，核心機房

11、位于辦公樓，下聯各個不同的匯聚點和接入點，根據布線的情況和網絡最優化設計，組成多級網絡架構。3.21辦公樓核心區如圖所示，在辦公樓核心層配備一臺萬兆核心交換機S9512，配置冗余引擎、冗余電源，實現單核心的可靠性，使故障率降到最低；下行千兆單模光纖連接個匯聚節點（6個）和遠端接入點（6個），實現網絡的連通性。在服務器區，采用直接接入核心交換機的方式，在核心交換機上配置24個千兆電口模塊，通過千兆銅纜與服務器相連。在Internet出口，采用H3C MSR路由器，與運營商（ISP）相連，下聯安全設備H3C IPS T200-A和防火墻 SecPath F1000-S ，形成對外Internet的

12、整體安全策略，保護內網不受外部的影響，從而使整個網絡更加安全、穩定、可靠。3.22辦公樓匯聚區在辦公樓內部，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯千兆光纖到核心交換機，下聯千兆光纖到接入交換機。實現辦公樓的網絡接入。同時與遠端北、東、西入口接入交換機相連，實現遠端接入。3.23XX中心體育場匯聚區在體育中心場匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯千兆光纖到核心交換機，下聯千兆光纖到接入交換機。實現XX中心體育場內部網絡的接入。3.24綜合體育館匯聚區在綜合體育館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯千兆光纖到核心

13、交換機，下聯千兆光纖到綜合體育場內、手球練習館和足球聯系館接入交換機。實現綜合體育館匯聚區內的網絡接入。3.25游泳館匯聚區在游泳館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯千兆光纖到核心交換機，下聯千兆光纖到游泳館內和曲棍球比賽場接入交換機，網球場接入交換機在匯接到曲棍球比賽場，實現游泳館區內的網絡的接入。3.26綜合訓練館匯聚區在綜合訓練館匯聚點，配置一臺匯聚交換機S5510-24F，全千兆光口交換機，上聯千兆光纖到核心交換機，下聯千兆光纖到接入交換機，實現綜合訓練館內部的網絡接入。同連接能源設備機房和總配電室，實現互聯。3.3.方案特點網絡高性能設計：XX體育中

14、心局域網主干采用高速的千兆以太網技術，百兆到終端設備。核心交換機S9512交換容量720Gbps，轉發性能423Mpps；網絡設備的高交換性能，為全網提供數據轉發的可靠保障。網絡高可靠設計：XX體育中心局域網配備了冗余引擎、冗余電源、冗余風扇，其采用電信級的高可靠設計，支持所有模塊的熱插拔，整機可靠性高達99.9999%。網絡的高安全性設計：核心層設備基于最長匹配的路由策略，系統采用逐包轉發方式，保證了所有報文均獲得相同的轉發性能，對某些針對網絡設備的攻擊具有天生的防御能力，有效保證了設備安全。在Internet出口處，配置了千兆防火墻和入侵防御系統IPS，以提高防御Internet上攻擊的能

15、力。網絡的可擴展性設計：建議在部署光纖鏈路實現設備互聯時，能預留出冗余的光纖通道，一方面可用于鏈路備份，另一方面在將來需要骨干網帶寬升級時，可通過多鏈路捆綁方式實現帶寬擴容。 對于設備而言，核心交換機支持引擎升級的方式實現性能和容量的擴展，S9512交換機更新引擎后，設備性能可提升一倍，在支持更高密度和更高性能的業務板的同時，還能兼容使用老的業務單板，長久保護國家奧林匹克體育中心對設備的投資。網絡的可管理設計：XX體育中心局域網設備眾多，布置分散，需要一套易于使用、功能強大的網管系統，來縮短故障定位時間，協作維護人員迅速解決問題，降低網絡維護人員的工作量，IMC智能網管中心除了可獨立完成網絡拓

16、撲結構顯示，故障管理、性能管理、配置管理等功能以外，還針對國內用戶的特色需求，做了很多個性化開發。3.4 IP地址規劃說明IP地址的合理規劃是網絡設計中的重要一環，大型計算機網絡必須對IP地址進行統一規劃并得到實施。IP地址規劃的好壞，影響到網絡路由協議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將直接影響到網絡應用的進一步發展。IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于IP地址的分配應該盡可能地利用申請到的地址空間，充分考慮到地址空間的合理使用，保證實現最佳的網絡內地址分配及業務流量的均勻分布。IP地址的分配和網絡組織、路由策略以及網絡管理等

17、都有密切的關系，具體的IP地址分配將通常在工程實施時統一規劃實施，這里主要描述IP地址分配的原則。主要的原則描述為：l IP地址分配要盡量給每個區域分配連續的IP地址空間，有利于路由聚合以及安全控制；l IP地址的規劃與劃分應該考慮到用戶的發展，能夠滿足未來發展的需要；即要滿足本期工程對IP地址的需求，同時要充分考慮未來業務發展，預留相應的地址段；l 地址分配是由業務驅動，按照業務量的大小分配各地的地址段；l IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；l 采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網絡中廣播的路由信息的大

18、小；l 在公有地址有保證的前提下，盡量使用公有地址，主要包括設備loopback地址、設備間互連地址。l 充分合理利用已申請的地址空間，提高地址的利用效率。IP地址規劃應該是網絡整體規劃的一部分，即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。IP地址的規劃應盡可能和網絡層次相對應，應該是自頂向下的一種規劃。3.5VLAN規劃3.51劃分VLAN的必要性VLAN是建立在各種交換技術基礎之上的。所謂交換實質上只是物理網絡上的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網絡。利用交換設備中的虛網功能，不必改變網絡的物理基礎，即可重新配置網絡。采用

19、虛網功能，網絡性能可以獲得較大的改善：1、虛網技術能對工作組業務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網絡總的吞吐量。2、采用虛網技術可以將不同區域的設備組成一個網段而不用更改布線，因為虛網技術是從邏輯角度而非物理角度來劃分子網的，所以采用虛網技術能減輕系統的擴容壓力，將遷移費用降至最小。3、采用虛網技術能有效隔離網絡設備，增加網絡的安全性和保密性。虛擬網絡的安全策略采用的主要協議為IEEE802.1Q，此協議結合有鑒別和加密技術以確保整個網絡內部數據的保密性和完整性。4、虛網技術能對屬于同一工作組的用戶提供廣播服務，但與傳統的局域網協議所不同的是，虛擬局域網能限制廣播的區域，

20、從而節省網絡帶寬。5、虛擬局域網可以建立在不同的物理網絡上，用封裝的辦法支法支持不同的網絡協議絡協議，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好。3.52 VLAN劃分說明：按照體育館的業務要求，合理地對不同的業務劃分VLAN,有利于業務之間的的隔離、縮小廣播域、并對IP地址規劃和QoS、安全設計等有直接的支持作用。劃分原則：把功能（應用）相近的設備群組（端口）劃分到同一VLAN，將不同性質的設備（端口）劃分到不同VLAN。各VLAN成員之間不能直接訪問，不同VLAN之間的流量必須經過路由。在辦公網現有規劃的基礎上，進行VLAN的設計及劃分，如下：賽事專網：

21、VLAN 10；技術部門：VLAN 11；辦公新聞官員服務：VLAN 12；第四章.網絡安全方案建議隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的破壞,或被刪除或被復制或被篡改和竊取，數據的安全性和自身的利益受到了嚴重的威脅。無論是有意的攻擊，還是無意的誤操作，都將會給系統帶來不可估量的損失。攻擊者可以竊聽網絡上的信息，竊取用戶的口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，攻擊者可以刪除數據庫內容，摧毀網絡節點，釋放計算機病毒等等。黑客的威脅見諸報道的已經屢見不鮮，像不久

22、前的中美黑客大戰就曾轟動一時。內部工作人員的不小心甚至充當間諜，據統計分析，70%的安全問題來自于內部。內部工作人員能較多地接觸內部信息，工作中的任何有意行為或者不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越復雜。在國家奧林匹克體育中心局域網中運行著各種管理業務系統，存儲數據涉及核心秘密的信息，若網絡系統被非法攻擊將會直接影響地下商業的各個企業業務并造成損失，其影響是難以估量的。綜上所述，在國家奧林匹克體育中心局域網必須有足夠強的安全措施。無論是在局域網還是在Internet出口處，網絡的安全措施都應能全方位地應付各種不同的安全威脅和系統脆弱性，這樣才能確保網絡信息的保密性、完整性

23、和可用性。4.1網絡安全技術概述網絡安全技術包括：防火墻，身份認證，入侵檢測和漏洞掃描，VPN安全通道，安全策略管理和防病毒。1、防火墻技術，一般用于內部網絡和外部網絡交界處的安全，主要包括因特網出口處以及內部單位之間的安全，Internet出口處的安全措施一般采取加防火墻的方法，實施地址轉換，隱藏內部網絡結構，限制外部用戶訪問內部網絡的權限和可到達的區域等，防火墻目前包括硬件防火墻和軟件防火墻2種，由于硬件防火墻的高性能和更好的安全性，目前被更加廣泛的使用，新型的防火墻具有的透明防火墻功能更多的被用于內部網絡之間進行訪問控制，提高網絡的安全性和可管理性。2、身份認證，包括用戶身份鑒別、用戶訪

24、問權限授權、用戶訪問資源計帳。3、漏洞掃描，檢查安全基礎設施的有效性，包括新系統安裝檢查，發現惡意入侵行為的措施等。安全掃描工具主要用于主動的發現內部網絡上所有設備存在的安全漏洞，可以提示用戶進行相應的措施加以解決。 4、安全通道，指數據的保密性，涉及數據在傳輸過程特別是在公網信道上不被竊取，保證數據的目標用戶可以容易解讀加密的數據。包括有硬件信道加密以及二層VPN、三層VPN等技術。5、防病毒，當今計算機電腦病毒對用戶網絡、計算機、重要資料造成的損害越來越大，而且傳播途徑多種多樣，必須建立網絡病毒檢測、預防和治理相結合的完善防病毒體系。6、安全策略，主要由用戶根據網絡內部不同部分的重要性的差

25、別，以及功能差別等因素，定制處不同的安全策略，包括Internet網絡用戶對內部網絡的訪問以及內部用戶的不同的訪問權限等，安全策略的制定將直接影響到網絡的安全性能。4.2防火墻解決方案在國家奧林匹克體育中心局域網系統中，在Internet出口處使用硬件防火墻，更好的完成對內部網絡的安全防護功能。隨著Internet的越來越普及，應用的越廣泛，病毒的危害也越來越大。總是不停的有新的病毒出現，并造成破壞，人們特別是系統管理員的工作量也越來越大，因此，如何構筑一個更加有效的防病毒體制，成為了一個企業不得不去面對的問題。防火墻的主要功能都使用包過濾、網絡地址轉換、代理服務三個基本方法。包過濾功能拒絕接

26、受從未授權的主機發送的TCP/IP 包，并拒絕接受使用未授權服務的連接請求。網絡地址轉換翻譯內部主機的IP 地址而使外部監視器無法探測它們。代理服務代表內部主機進行高層應用連接，完全中斷內部主機與外部主機的網絡層連接。大多數防火墻還執行加密的身份認證和加密通道兩個重要的安全服務。加密的身份認證允許公共網絡上的用戶從外部網絡為獲得專用網絡的訪問權證實他們的身份。通過公共網絡（如Internet）為兩個專用網絡之間建立一個安全的加密通道來進行通信。由于內部網絡要和外部網絡發生業務聯系，又要保證網絡的安全性，故在內部網絡和INTERNET出口路由器之間設置華三公司的硬件防火墻H3C SecPath

27、F1000-S來保證網絡內系統的安全。H3C SecPath F1000-S提供完善的安全特性，如包過濾防火墻、狀態防火墻、驗證、加密等功能和完善的VPN服務。1)、NAT 特性通過防火墻的NAT/PAT則可以用來實現私有網絡地址與公有網絡地址之間的轉換。地址轉換的優點在于屏蔽了內部網絡的實際地址，外部網絡基本不可能穿過地址轉換層直接訪問國家奧林匹克體育中心局域網。地址轉換能夠將網內服務器發出的報文的源地址全部映射成一個外部地址。地址轉換使網內用戶通過路由器訪問Internet的同時保證網絡內部的安全性。2)、包過濾防火墻特性H3C SecPath F1000-S提供完善的包過濾防火墻特性：A

28、、 可以根據IP包的目的地址、源地址，TCP/UDP的目的端口、源端口，ICMP報文的類型、Code等信息進行包過濾。B、可以針對分片報文指定專門的過濾規則。C、可以針對分片報文進行精確的四層匹配。D、可以對違反規則的報文做日志。E、配置ACL安全規則的時候，可以提供自動排序或者按照配置順序排序兩種規則排序方式，極大的方便了用戶配置安全規則。F、可以根據收到報文的接口進行包過濾，例如可以禁止從Eth0接口進入的報文從Eth1接口轉發。G、黑名單過濾惡意主機為了更快捷地發現并屏蔽某些惡意主機的攻擊行為，H3C SecPath F1000-S系列防火墻提供主動防御措施（即動態、手工兩種方式維護黑名

29、單列表），將某些報文源IP地址記錄在黑名單中，從而實現高速的報文過濾。H、防范假冒IP地址H3C SecPath F1000-S系列防火墻根據用戶配置，將MAC和IP地址的綁定并形成關聯關系，從而過濾IP地址和MAC地址不匹配的報文，從而有效避免IP地址假冒攻擊的行為。3)、應用層狀態檢測傳統的包過濾技術雖然簡單，但缺乏一定的靈活性，對類似于FTP這樣的多通道應用來說，配置包過濾是困難的；FTP應用包含一個預知端口的TCP控制通道和一個動態協商的TCP數據通道，配置安全策略時無法預知數據通道的端口號，因此無法確定數據通道的入口。H3C SecPath F1000-S 系列防火墻提供的ASPF（

30、Application Specific Packet Filter，基于應用層規范的包過濾）特性可以解決這個問題。ASPF是一種高級通信過濾，它檢測基于TCP和UDP應用的報文應用層信息，監控每一個連接的應用層協議狀態，并動態地根據報文的內容創建和刪除臨時的ACL表項。每一個連接狀態信息都將被ASPF維護并用于動態地決定數據包是否被允許通過防火墻或丟棄，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。H3C SecPath F1000-S 的ASPF特性還可以檢測基于TCP SYN的DoS攻擊；由于ASPF維護并記錄每一個TCP連接狀態，因此根據TCP SYN狀態的

31、數目及速率等方式（是否超過一個預定的閾值）來判定系統是否正在遭受DoS攻擊，從而可以防止DoS攻擊。目前提供如下檢測：標準TCP、UDP報文檢測分片報文檢測FTP協議數據通道和協議狀態檢測SMTP協議狀態檢測RTSP（Real Time Streaming Protocol）協議媒體通道和協議狀態檢測H.323協議多通道和協議狀態檢測HTTP協議狀態檢測Java Blocking保護和ActiveX Blocking保護Java小程序由Internet瀏覽器進行解釋并在客戶端執行，因此它把安全風險直接從服務器端轉移到了客戶端。H3C SecPath F1000-S系列防火墻通過在兩個區域之間對

32、較高安全級別的區域實施Java Blocking保護，確保網絡傳輸（通過HTTP方式傳送的Java信息）不受有害Java applets的破壞。同樣，H3C SecPath F1000-S系列防火墻也能有效實施ActiveX Blocking保護，從而避免ActiveX控件給Internet瀏覽器端造成安全威脅。端口到應用的映射：由于所有應用層協議都使用一些系統預定義的（知名）端口號通信，為了防范惡意用戶進行端口掃描，從而攻擊系統，系統管理員可以對不同應用在系統定義的端口號之外指定一組新的端口號，外界主機與這些新端口號發起連接，從而隱藏內部知名端口，從而提供良好的安全機制。目前支持兩類映射機制

33、：通用端口映射和基于標準ACL的主機端口映射。通用端口映射將用戶自定義端口號和應用層協議建立映射關系，這樣目的端口號就決定了該報文類別。主機端口映射利用標準ACL規則，將來自某些特定主機的報文、端口號和應用協議之間建立映射關系。4)、防范攻擊隨著Internet的廣泛應用，網絡攻擊手段越來越高明，并且越加隱蔽。按照攻擊采用的方式，網絡攻擊大致可以分為：DoS（Denial of Service，拒絕服務）攻擊、掃描窺探攻擊、其它攻擊。H3C SecPath F1000-S系列防火墻提供強大的攻擊防范機制，對設備進行安全保護，防止非法報文對內部網絡造成危害。防范多種DoS攻擊：可以有效地檢測出這

34、些類攻擊報文，避免攻擊行為，記錄日志。包括：SYN Flood攻擊、ICMP Flood、UDP Flood攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位（如ACK、SYN、FIN等）不合法、Ping of Death攻擊、Tear Drop攻擊等等。防范掃描窺探：H3C SecPath F1000-S防火墻通過比較分析，可以靈活高效地檢測出這類掃描窺探報文，預先避免后續的攻擊行為。可防止的掃描窺探包括：地址掃描、端口掃描、IP源站選路選項、IP路由記錄選項、tracert窺探網絡結構：Tracert利用TTL限定的IC

35、MP或UDP報文，發現報文到達目的地所經過的路徑，從而窺探網絡結構。防范其它攻擊：IP Spoofing 攻擊：在基于IP地址驗證的應用中，入侵者通常偽造報文的源地址從而獲得對系統的訪問權。5)、重要數據加密H3C SecPath F1000-S系列防火墻支持IETF制訂的IPSec系列協議，通過采用自動協商密鑰的方式，在傳輸或隧道模式下能夠單獨或組合應用AH（Authentication Header ，確認報頭）和ESP（Extended Services Processor，擴展業務處理器）安全協議，對整個IP報文或數據載荷內容進行不同粒度級別的加密和認證，從而提供驗證數據源、校驗數據完

36、整性和防止報文重放等（ESP還提供加密）功能，結合ACL訪問控制列表共同確保數據信息在Internet上傳送的安全保密性。H3C SecPath F1000-S遵照ISAKMP（Internet Security Association and Key Management Protocol，因特網相關安全和密鑰管理協議）協議框架和IKE（Internet Key Exchange，因特網密鑰交換）協議實現自動密鑰交換功能，簡化了IPSec的使用和管理。4.3深度安全的防范設計由于防火墻的功能主要集中在四層以下的攻擊防范，針對上層入侵、病毒、蠕蟲和拒絕服務攻擊的新特點，防火墻的處理能力相對較弱

37、，為了能更好地完成對外的防范目的，保護內部的安全，必須采用創新的硬件和軟件技術來應對主動入侵防御系統。4.31部署方案主動式入侵防御系統部署方案如下圖所示：在Internet出口處配置H3C SecPath T200-A IPS，網絡的吞吐量為200M，提供高吞吐量和低時延，幫助IT管理員完成對應用、網絡架構以及網絡和應用系統性能保護這三個關鍵任務。H3C 提供業界最完整的入侵偵測防御功能，遠遠超出傳統IPS 的能力。 H3C定義的三大入侵偵測防御功能包括：應用程序防護、網絡架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防御各種形式的網絡攻擊行為，如：病毒、Spyware、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。4.32應用程序防護H3C IPS提供擴展至用戶端、服務器、及第二至第七層的網絡型攻擊防護，如：病毒、蠕蟲與木馬程序。利用深層檢測應用層數據包的技術，H3C IPS可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術，輕易的穿透防火墻。而H3C IPS運用重組TCP 流量以檢視應用層數