中信大厦智能楼宇系统设计方案.doc

目录1智能大厦网络结构化布线系统简介11.1通信网络接入方案选择分析11.2布线标准21.3布线距离41.4布线性能41.5建设目标41.6系统需求51.7系统主要功能51.8系统设计51.9设备报价及清单192电视监控系统简介202.1概述202.2设计目标202.3本系统工程实现的功能202.4主机系统的技术参数212.5电视监控系统设备清单及报价233保安巡更系统243.1概述243.2系统介绍243.3系统性能特点253.4巡更设计253.5保安巡更系统设备清单及报价254工程决算261 智能大厦网络结构化布线系统简介智能建筑是传统建筑工程与信息技术结合的产物，是产业化社会向信息化社会发展的必然趋势。九十年代以来我国已建和在建的楼宇中带有“智能建筑”色彩的已有数百幢，其“智能化”程度也在不断完善和提高，目前智能建筑已不再限于单体的大厦形式，而向区域性规划发展。建筑智能化已逐渐成为一种发展方向。其中通信信息网络起着至关重要的作用。随着社会信息化进程的加快，单纯的语音通信已不能满足需要，而逐步转向对语音、数据、图象等多种媒体综合信息的需求，同时对信息的容量和带宽的需求也不断增长，这些因素是刺激通信、信息网络发展的原动力。用户驻地网、接入网由于投资大、业务量小、回报率低等原因，长期处于落后的技术状态，随着宽带大容量通信需求的增长，用户接入网的“瓶颈”现象引起了世界各国的广泛关注，随之出现了五彩纷呈的接入网技术。小区信息网的组建方式也很多。在智能小区通信、信息网络设计中认真分析、研究，选择合适的接入方式和组网方式进行小区网络规划，使之既能适应现在的需要又能面向未来是很有必要的。1.1 通信网络接入方案选择分析 智能建筑的通信、信息网络是人们与信息社会连接的重要通道。智能建筑的“智能”特点能否充分发扬并逐步完善和发展与通信、信息网络的建设有着密切的联系。通信、信息网络的先进性、可靠性、技术延伸性是决定问题的关键。 接入网技术如按传输介质划分可分为五类：纯双绞线铜缆接入网、混合光纤/双绞线铜缆网、混合光纤/同轴电缆网、无线接入网和纯光纤网。混合光纤/双绞线铜缆网是目前受到广泛关注、采用较多的方案，具有很好的发展潜力。目前，各国较为普遍的做法是采用FTTC(光纤到路边)、FTTR(光纤到远端节点)、FTTB(光纤到大楼)等与双绞线混合，是铜缆网向纯光纤网过渡的理想方案。认真分析了各种接入网技术的特点和发展趋势，我们认为，采用光纤到大楼(FTTB)与结构化综合布线(UTP)相结合的接入方式比较适合于智能建筑的建设，智能大厦应该采用FTTB方案。住宅建筑的通信网络一般采用光纤到路边(FTTC)，即到建筑节点，然后再采用普通双绞线铜缆连接到大楼分线箱的光纤/双绞线铜缆接入方式。这样虽然可以节省部分初期投资，但是对于用户的宽带信息需求，必须采用HDSL或ADSL方式来解决，用户投资成本比较高，能够承受的用户不多，因此实际收益不高，投资回报率小。这种接入方式比较适合于已经安装双绞线铜缆网络地区的宽带接入。FTTB/UTP（无屏蔽双绞线）也属混合光纤/双绞线铜缆网。采用这种方式，初期投资虽然大一些，但由于可应用建筑信息网、实现Chinanet、Internet接入、开展多媒体应用等，因此可以吸引大量的用户，实际收益良好，投资回报率也高。另外，光纤与结构化布线相结合是一种典型的宽带接入方式，目前UTP能提供10MHz、100MHz、550MHz的宽带传输能力，支持622Mbps的ATM应用。最近，美国贝尔实验室还提出了1000Mbps(1Gbps)的解决方案。因此FTTB/UTP接入方案虽然不能代替FTTH，但是对于绝大多数的用户，尤其是家庭用户而言，其技术生命力是相当长的。而且从这种接入方式向FTTH发展也很方便、简单，为实现FTTH创造了条件。1.2 布线标准本系统布线规范均指TIA/EIA-568-A（商用建筑电信布线标准）和ISO/IEC11801:1995（E）标准。布线标准的内容包括布线网络拓扑结构、性能、部件、安装实践和现场测试。包括MForum、CCITT、CENELEC、IEEEANSI802等技术标准以及以下标准：·ANSI/TIA/EIA.568A系统设计和产品标准·ANSI/11A/EIA.569A系统安装标准·ANSI/TIA/EIA.606系统标记标准·ANSI/TIA/EIA.607系统接地标准·ANSI/EIA/TIA-TSB36/40,67,72系统测试及验收标准·ANSI/TIA/EIA.570A家居布线标准·EN50173系统设计和产品··EN50167水平布线电缆·EN50169主干电缆·EN55022信息技术设备的无限干扰特性极限值和测量方法·EN55024信息技术设备的防电磁干扰·ISO/IED/JTC1IS-11801系统设计和产品标准·ISO/IECJTCI/SC25/WG3·ccITTISDN·ANSIX3T9.5.ANSIFDDI/TPDDI·ANSIFDDI、TP.PMD、X3·ATMFORUMPHY、SIG·ATM155Mbps/622bps·IEEE802.310BASE-T,10BASE-F·IEEE802.5·IEEE802.ab1000BASE-T·IEEE802.12100BASE-T·JGJ/T16.92民用建筑电气设计规范·GBJ42.81工业企业通信设计规范·GBJ79.85工业企业通讯接地设计规范·EBD.03.95智能建筑设计标准·cECS72:97建筑和建筑群综合布线系统工程设计规范·cECS89:97建筑和建筑群综合布线系统工程施工及验收规范·YDfT9261.2.1997大楼通信综合布线系统行业标准布线拓扑结构TIA/EIA-568-A和ISO/IEC11801布线标准基于同一基本的布线系统结构，布线系统包括电缆、接插软线以及用于水平布线、建筑物内主干布线和建筑群主干布线的连接器。本系统结构化布线支持布线端接，同时使用接插软线与设备相连或作交叉连接。为保证系统适应技术的发展、保持与技术同步,整个布线系统使用全程屏蔽系统,所有屏蔽部件接地,所有水平配线电缆的屏蔽层均应进行接地连接,所有预埋的暗管、线槽、桥架、线盒等均可靠接地并连接成一体,形成封闭结构,防止意外破坏,以保证全程屏蔽的可靠实施。综合布线系统相关产品按屏蔽型增强型5类标准配置,包括数据系统链路/信道也达到此技术性能要求。信息插座及连接设备的端接跳线器件,全部信息点为FTP屏蔽信息点。信息插座采用单孔或双孔信息插座配置,每个信息点均可应用于电话,也可应用于数据、图像等系统终端连接,并考虑满足数据系统对千兆网的技术性能要求,以适应新技术的发展与应用。所有的数据信息点对应配置终端设备连接电缆、所有光缆信息点对应配置终端设备连接光缆。双绞线是现在最普通的传输介质，它由两条相互绝缘的铜线组成，典型直径为1毫米。两根线绞接在一起是为了防止其电磁感应在邻近线对中产生干扰信号。现行双绞线电缆中一般包含4个双绞线对，具体为橙1/橙2、蓝4/蓝5、绿6/绿3、棕3/棕白7。计算机网络使用12、36两组线对分别来发送和接收数据。双绞线接头为具有国际标准的RJ45插头和插座。双绞线分为屏蔽(shielded)双绞线STP。屏蔽式双绞线具有一个金属甲套(sheath)，对电磁干扰EMI(Electromagnetic Interference)具有较强的抵抗能力，适用于网络流量较大的高速网络协议应用。本系统的水平子系统采用5类屏蔽双绞线，运行100MB以太网时，使用屏蔽双绞线以提高网络在高速传输时的抗干扰特性。在土建过程中根据具体情况埋设暗管或敷设线槽、桥架等,建筑完工后相对固定。对应FTP信息插座采用增强型5类4对FTP屏蔽电缆配置,以防御电磁干扰的影响。用户可根据设备连接需要,随时将任一信息点跳线连接成语音或数据应用。水平线缆均采用IBM屏蔽(STP、FTP)阻燃型线缆产品,满足国家标准CECS72.97的规定。主干作为综合布线系统的骨干部分,连接综合布线系统数据主干采用多芯室外多模光缆,单或多分线箱共用。1.3 布线距离布线距离为水平布线<90米、建筑物主干<500米、园区主干<1500米,布线距离主要取决于实际工作区域(即建筑物楼层区域)。主干布线距离基于实际应用所限定的距离。1.4 布线性能在TIA/EIA-568-A和ISO/IEC11801两个标准中，100欧姆双绞线按5类/5E类规定为100MHz，在本系统中应用为水平布线，10100MHz自适应交换到桌面。主干采用室内多模光纤。光纤为圆柱状，由3个同心部分组成纤芯、包层和护套，每一路光纤包括两根，一根接收，一根发送。用光纤作为网络介质的LAN技术主要是光纤分布式数据接口(Fiberoptic Data Distributed Interface，FDDI)。与同轴电缆比较，光纤可提供极宽的频带且功率损耗小、传输距离长(2公里以上)、传输率高(可达数千Mbps)、抗干扰性强(不会受到电子监听)，是构建安全性网络的理想选择。1.5 建设目标智能建筑的设计建设必须贯彻以人为本的原则。其建设的重点是如何建设一个智能化住宅和与之相适的社区环境，从而构筑一个安全、舒适、适应信息社会发展的居住空间环境。它应具备以下几个基本条件：(1) 建立适用信息社会的家庭网络，实现智能化的家务管理，以及环境控制、信息交流、安全防范、提供文化生活与娱乐等功能。(2) 建立连接家庭网络的社区信息网，提供社区服务，保障社区安全，实现社区管理自动化。(3) 可与社区外部社会实现方便，快捷的连接。 为了实现智能建筑的建设目标，需要一个先进的通信、信息网络把用户家庭网络、社区安防、物业管理、生活服务及办公设施连接起来，实现智能化和最优化。智能建筑的通信系统要能够提供快捷、准确、多样的通信方式；建筑的信息网络要为建筑内物业管理，建筑内信息服务、提供快速、准确的服务平台。1.6 系统需求、保证通信系统具有充分的开放性，用户可以使用各种电信业务和符合标准的通信设备。、高速率的信息传输使用户迅速、准确、完整地进行信息交换，并可为用户提供与外界各种网络连接的多种手段，如可方便地连接公众电话网、分组交换网、数字数据网、综合业务数字网等，并且为安防与其它智能化控制系统提供足够的实时信息传输能力。、建筑的计算机网络系统，应为建筑的物业管理和信息服务提供实用、高效、安全、可靠的运行环境。建筑的网络系统采用客户机/服务器（Client/Server）结构或采用基于Internet/intranet的三层结构，具有开放性和长久的生命力。、实现建筑内部的资源共享、信息共享。1.7 系统主要功能 、提供PDN以及DDN接口，提高与外部网络的连网能力。、提供宽带的用户接入服务，实现高速Internet接入、视频点播等业务。、建立建筑的内部网(Intranet)，提供WWW浏览服务，建筑内各种信息服务的发布，实现网上消费、网上物业报修、交互式物业管理服务以及访问Internet等功能，并建议建立智能大厦WEB发布网站。、利用建筑通信、信息网络进行物业管理，如：住户管理、信息查询、房产管理、公用设备管理、租金和管理费管理、报表处理、故障报修统计和家庭办公等。、利用建筑通信、信息网络开展建筑内信息服务，如：提供就业信息、娱乐信息、电子商务、健康信息、教育信息、旅游交通信息、综合信息、金融动态、股票交易、社区消息，开展会议电视、远程医疗、远程教育、股票交易、网上购物等业务。物业管理中心可建立商务中心，为企业用户提供文档处理、打印等增值服务。、为将来各种通信信息服务升级提供良好的传输媒介与网络（如光纤到户）。1.8 系统设计根据用户提供的设计图纸进行分析结果如下：分别在大厦内分配6个工作区间子系统配线间，每个配线间管理2个楼层，同时将各配线间通过光纤连接到三楼的主配线房。配线设备间及机房设在大楼的第三层，一楼有证劵交易所和银行，分别。二层至五层间的具体分布以办公室为主体；从六层到十五层为出租式分布结构；十六到十八层为办公楼层；十九层为消费场所。根据大楼内部结构，我们将网络设备放置在大楼内的第三层弱点间内，经过上下连线提供网络信息点。因为本大楼内涉及到各个不同类别的公司在同一栋楼内办公，因此各公司内的网络该间接性隔离，从而提高楼宇网络内的安全性，因此我们采用VLAN的方式进行合理性网络架构划分。由于大楼内涉及到证劵交易所，从金融体系的网络设计标准出发民用网络和金融网络是不可混合使用的，我们在这次设计中将不涉及这部分的网络连接。1.8.1 技术特点1.8.1.1 安全特点当一个机构将其内部网络与Internet连接之后，所关心的一个主要问题就是安全。内部网络上不断增加的用户需要访问Internet服务，如WWW、电子邮件、Telnet和FTP服务器给大家访问。当机构的内部数据和网络设施暴露给Internet上的黑客时，大家越来越关心的便是网络安全。为了提供所需级别的保护，机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息。即使一个机构没有连接到Internet上，它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护。Ø Internet防火墙 Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查（图1）。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。但不幸的是，防火墙系统一旦被攻击者突破或迂回，就不能提供任何的保护了。 图1安全策略建立的防御范围应给予特别注意的是，Internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合，它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中，告诉用户们他们应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。 Ø Internet防火墙的好处 Internet防火墙负责管理Internet和机构内部网络之间的访问（图2）。在没有防火墙时，内部网络上的每个节点都暴露给Internet上的其它主机，极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定，并且安全性等同于其中最弱的系统。 图2 Internet防火墙的好处集中的网络安全 可作为中心“扼制点” 产生安全报警 监视并记录Internet的使用 NAT的理想位置 WWW和FTP服务器的理想位置 Internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。Internet防火墙能够简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 在防火墙上可以很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到Internet上的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。 过去的几年里，Internet经历了地址空间的危机，使得IP地址越来越少。这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要。Internet防火墙可以作为部署NAT(Network Address Translator，网络地址变换）的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题，并消除机构在变换ISP时带来的重新编址的麻烦。 Internet防火墙是审计和记录Internet使用量的一个最佳地方。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈的位置，并能够根据机构的核算模式提供部门级的记费。 Internet防火墙也可以成为向客户发布信息的地点。Internet防火墙作为部署WWW服务器和FTP服务器的地点非常理想。还可以对防火墙进行配置，允许Internet访问上述服务，而禁止外部对受保护的内部网络上其它系统的访问。 也许会有人说，部署防火墙会产生单一失效点。但应该强调的是，即使到Internet的连接失效，内部网络仍旧可以工作，只是不能访问Internet而已。如果存在多个访问点，每个点都可能受到攻击，网络管理员必须在每个点设置防火墙并经常监视。 Ø Internet防火墙的限制 Internet防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。聪明的用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能（图3）。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。 图3 绕过防火墙系统的连接Internet防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。防火墙也不能防范这样的攻击：伪装成超级用户或诈称新雇员，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对雇员们进行教育，让它们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。 Internet防火墙也不能防止传送已感染病毒得软件或文件。这是因为病毒的类型太多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同。所以不能期望Internet防火墙去对每一个文件进行扫描，查出潜在的病毒。对病毒特别关心的机构应在每个桌面部署防病毒软件，防止病毒从软盘或其它来源进入网络系统。 最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。1.8.1.2 机构的安全策略 如前所述，Internet防火墙并不是独立的它是机构总体安全策略的一部分。机构总体安全策略定义了安全防御的方方面面。为确保成功，机构必须知道其所有保护的是什么。安全策略必须建立在精心进行的安全分析、风险评估以及商业需求分析基础之上。如果机构没有详尽的安全策略，无论如何精心构建的防火墙都会被绕过去，从而整个内部网络都暴露在攻击面下。 机构能够负担起什么样的防火墙？简单的包过滤防火墙的费用最低，因为机构至少需要一个路由器才能连入Internet，并且包过滤功能包括在标准的路由器配置中。商业的防火墙系统提供了附加的安全功能，具体价格要看系统的复杂性和要保护的系统的数量。如果一个机构有自己的专业人员，也可以构建自己的防火墙系统，但是仍旧有开发时间和部署防火墙系统等的费用问题。还有，防火墙系统需要管理，一般性的维护、软件升级、安全上的补漏、事故处理等，这些都要产生费用。 图4 包过滤路由器1.8.1.3 防火墙系统的组成在确定了防火墙的姿态、安全策略、以及预算问题之后，就能够确定防火墙系统的特定组件。典型的防火墙有一个或多个构件组成： 包过滤路由器 应用层网关（或代理服务器） 电路层网关 在后面我们将讨论每一种构件，并描述其如何一起构成一个有效的防火墙系统。Ø 构件：包过滤路由器 包过滤路由器（图4）对所接收的每个数据包做允许拒绝的决定。路由器审查每个数据报以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目标端地址、内装协（ICP、UDP、ICMP、或IP Tunnel）、TCP/UDP目标端口、ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包，那么该数据包就会按照路由表中的信息被转发。如果匹配并且规则拒绝该数据包，那么该数据包就会被丢弃。如果没有匹配规则，用户配置的缺省参数会决定是转发还是丢弃数据包。 1.8.1.4 与服务相关的过滤 包过滤路由器使得路由器能够根据特定的服务允许或拒绝流动的数据，因为多数的服务收听者都在已知的TCP/UDP端口号上。例如，Telnet服务器在TCP的23号端口上监听远地连接，而SMTP服务器在TCP的25号端口上监听人连接。为了阻塞所有进入的Telnet连接，路由器只需简单的丢弃所有TCP端口号等于23的数据包。为了将进来的Telnet连接限制到内部的数台机器上，路由器必须拒绝所有TCP端口号等于23并且目标IP地址不等于允许主机的IP地址的数据包。 一些典型的过滤规则包括： 允许进入的Telne会话与指定的内部主机连接 允许进入的FTP会话与指定的内部主机连接 允许所有外出的Telne会话 允许所有外出的FTP会话 拒绝所有来自特定的外部主机的数据包 1.8.1.5 与服务无关的过滤 有几种类型的攻击很难使用基本的包头信息来识别，因为这几种攻击是与服务无关的。可以对路由器配置以便防止这几种类型的攻击。但是它们很难指定，因为过滤规则需要附加的信息，并且这些信息只能通过审查路由表和特定的IP选项、检查特定段的内容等等才能学习到。下面是这几种攻击类型的例子： 源IP地址欺骗式攻击（Sowrce IP Address Spoofing Attacks）。这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。 源路由攻击（Source Rowing Attacks）。这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。 极小数据段式攻击（Tiny Fragment Attacks）。这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IP FragmentOffset等于1的数据包就可安然无恙。 1.8.1.6 包过滤路由器的优点 已部署的防火墙系统多数只使用了包过滤器路由器。除了花费时间去规划过滤器和配置路由器之外，实现包过滤几乎不再需要费用（或极少的费用），因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量适中并定义较少过滤器时对路由器的性能几乎没有影响。另外，包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。 1.8.1.7 包过滤路由器的缺点 定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式、以及每个域的意义有非常深入的理解。如果必须支持非常复杂的过滤，过滤规则集合会非常的大和复杂，因而难于管理和理解。另外，在路由器上进行规则配置之后，几乎没有什么工具可以用来难过滤规则的正确性，因此会成为一个脆弱点。 任何直接经过路由器的数据包都有被用做数据驱动式攻击的潜在危险。我们已经知道数据驱动式攻击从表面上来看是由路由器转发到内部主机上没有害处的数据。该数据包括了一些隐藏的指令，能够让主机修改访问控制和与安全有关的文件，使得入侵者能够获得对系统的访问权。 一般来说，随着过滤器数目的增加，路由器的吞吐量会下降。可以对路由器进行这样的优化抽取每个数据包的目的IP地址，进行简单的路由表查询，然后将数据包转发到正确的接口上去传输。如果打开过滤功能，路由器不仅必须对每个数据包作出转发决定，还必须将所有的过滤器规则施用给每个数据包。这样就消耗了CPU时间并影响系统的性能。 IP包过滤器可能无法对网络上流动的信息提供全面的控制。包过滤路由器能够允许或拒绝特定的服务，但是不能理解特定服务的上下文环境/数据。例如，网络管理员可能需要在应用层过滤信息以便将访问限制在可用的FTP或Telnet命令的子集之内，或者阻塞邮件的进入及特定话题的新闻进入。这种控制最好在高层由代理服务和应用层网关来完成。 Ø 构件：应用层网关 应用层网关使得网络管理员能够实现比包过滤路由器更严格的安全策略。应用层网关不用依赖包过滤工具来管理Internet服务在防火墙系统中的进出，而是采用为每种所需服务而安装在网关上特殊代码（代理服务）的方式来管理Internet服务。如果网络管理员没有为某种应用安装代理编码，那么该项服务就不支持并不能通过防火墙系统来转发。同时，代理编码可以配置成只支持网络管理员认为必须的部分功能。 这样增强的安全带来了附加的费用：购买网关硬件平台、代理服务应用、配置网关所需的时间和知识、提供给用户的服务水平的下降、由于缺少透明性而导致缺少友好性的系统。同以往一样，仍要求网络管理员在机构安全需要和系统的易于使用性方面作出平衡。允许用户访问代理服务是很重要的，但是用户是绝对不允许注册到应用层网关中的。假如允许用户注册到防火墙系统中，防火墙系统的安全就会受到威胁，因为入侵者可能会在暗地里进行某些损害防火墙有效性运动作。例如，入侵者获取Root权限，安装特洛伊马来截取口令，并修改防火墙的安全配置文件。 1.8.1.8 堡垒主机（Bastion host） 与包过滤路由器（其允许数据包在内部系统和外部系统之间直接流入和流出）不同，应用层网关允许信息在系统之间流动，但不允许直接交换数据包。允许在内部系统和外部系统之间直接交换数据包的主要危险是驻留在受保护网络系统上的主机应用避免任何由所允许服务带来的威胁。 一个应用层网关常常被称做“堡垒主机”（Bastion Host）。因为它是一个专门的系统，有特殊的装备，并能抵御攻击。有几种特点是专门设计给堡垒主机来提供安全性的： 堡垒主机的硬件执行一个安全版本的操作系统。例如，如果堡垒主机是一个UNIX平台，那么它执行UNIX操作系统的安全版本，其经过了特殊的设计，避免了操作系统的脆弱点，保证防火墙的完整性。 只有网络管理员认为必需的服务才能安装在堡垒主机上。原因是如果一个服务没有安装，它就不能受到攻击。一般来说，在堡垒主机上安装有限的代理服务，如Telnet，DNS，FTP，SMTP以及用户认证等。 用户在访问代理服务之前堡垒主机可能要求附加认证。比如说，堡垒主机是一个安装严格认证的理想位置。在这里，智能卡认证机制产生一个唯一的访问代码。另外每种代理可能在授予用户访问权之前进行其自己的授权。 对代理进行配置，使得其只支持标准应用的命令集合的子集。如果代理应用不支持标准的命令，那么很简单，被认证的用户没有使用该命令的权限。 对代理进行配置，使得其只允许对特定主机的访问。这表明，有限的命令/功能只能施用于内部网络上有限数量的主机。 每个代理都通过登记所有的信息、每一次连接、以及每次连接的持续时间来维持一个详细的审计信息。审计记录是发现和终止入侵者攻击的一个基本工具。 每个代理都是一个简短的程序，专门为网络安全目的而设计。因此可以对代理应用的源程序代码进行检查，以确定其是否有纰漏和安全上的漏洞。比如说，典型的UNIX邮件应用可能包括20,000行代码，而邮件代理只有不到1,000行的程序。 在堡垒主机上每个代理都与所有其它代理无关。如果任何代理的工作产生问题，或在将来发现脆弱性，只需简单的卸出，不会影响其它代理的工作。并且，如果一些用户要求支持新的应用，网络管理员可以轻而易举的在堡垒主机上安装所需应用。 代理除了读取初始化配置文件之外，一般不进行磁盘操作。这使得入侵者很难在堡垒主机上安装特洛伊马程序或其它的危险文件。 每个代理在堡垒主机上都以非特权用户的身份运行在其自己的并且是安全的目录中。1.8.1.9 防火墙实例Ø 1：包过滤路由器 最常见的防火墙是放在Internet和内部网络之间的包过滤路由器（图8）。包过滤路由器在网络之间完成数据包转发的普通路由功能，并利用包过滤规则来允许或拒绝数据包。一般情况下，是这样来定义过滤规则的：内部网络上的主机可以直接访问Internet，Internet上的主机对内部网络上的主机进行访问是有限制的。这种类型的防火墙系统的外部姿态是对没有特别允许的数据包都拒绝。图8包过滤路由器防火墙尽管这种防火墙系统有价格低和易于使用的优点，但同时也有缺点，如配置不当的路由器可能受到攻击，以及利用将攻击包裹在允许服务和系统内进行攻击等。由于允许在内部和外部系统之间直接交换数据包，那么攻击面可能会扩展到所有主机和路由器所允许的全部服务上。这就意味着可以从Internet上直接访问的主机要支持复杂的用户认证，并且网络管理员要不断地检查网络以确定网络是否受到攻击。另外，如果有一个包过滤路由器被渗透，内部网络上的所有系统都可能会受到损害。 Ø 2：屏蔽主机防火墙 这第二个防火墙系统采用了包过滤路由器和堡垒主机组成（图9）。这个防火墙系统提供的安全等级比上一个例子中的防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。 图9屏蔽主机防火墙（单宿堡垒主机）对于这种防火墙系统，堡垒主机配置在内部网络上，而包过滤路由器则放置在内部网络和Internet之间。在路由器上进行规则配置，使得外部系统只能访问堡垒主机，去往内部系统上其它主机的信息全部被阻塞。由于内部主机与堡垒主机处于同一个网络，内部系统是否允许直接访问Internet，或者是要求使用堡垒主机上的代理服务来访问Internet由机构的安全策略来决定。对路由器的过滤规则进行配置，使得其只接受来自堡垒主机的内部数据包，就可以强制内部用户使用代理服务。 这种防火墙系统的优点之一是提供公开的信息服务的服务器，如Web，FTP等，可以放置在由包过滤路由器和堡垒主机共用的网段上。如果要求有特别高的安全特性，可以让堡垒主机运行代理服务，使得内部和外部用户在与信息服务器通信之前，必须先访问堡垒主机。如果较低的安全等级已经足够，则将路由器配置让外部用户直接去访问公共的信息服务器。 用双宿堡垒主机甚至可以构造更加安全的防火墙系统（图10）。双宿堡垒主机有两个网络接口，但是主机在两个端口之间直接转发信息的功能（其能旁路代理服务）被关掉了。这种物理结构强行将让所有去往内部网络的信息经过堡垒主机，并且在外部用户被授予直接访问信息服务器的权利时，提供附加的安全性。图10屏蔽防火墙系统（双宿堡垒主机）由于堡垒主机是唯一能从Internet上直接访问的内部系统，所以有可能受到攻击的主机就只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁。这是因为，对于入侵者来说，如果允许注册，破坏堡垒主机相对比较容易。牢固可靠，避免被渗透和不允许用户注册对堡垒主机来说是至关重要的。Ø 3：DMZ或屏蔽子网防火墙 最后这个防火墙系统的实例采用了两个包过滤路由器和一个堡垒主机（图11）。这个防火墙系统建立的是最安全的防火墙系统，因为在定义了“非军事区”（DMZ）网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机，信息服务器，Modem组，以及其它公用服务器放在DMZ网络中。DMZ网络很小，处于Internet和内部网络之间。在一般情况下对DMZ配置成使用Internet和内部网络系统能够访问DMZ网络上数目有限的系统，而通过DMZ网络直接进行信息传输是严格禁止的。图11屏子网防火墙系统- 对于进来的信息，外面的这个路由器用于防范通常的外部攻击（如源地址欺骗和源路由攻击），并管理Internet到DMZ网络的访问。它只允许外部系统访问堡垒主机（还可能有信息服务器）。里面的这个路由器提供第二层防御，只接受源于堡垒主机的数据包，负责的是管理DMZ到内部网络的访问。 - 对于去往Internet的数据包，里面的路由器管理内部网络到DMZ网络的访问。它允许内部系统只访问堡垒主机（还可能有信息服务器）。外面的路由器上的过滤规则要求使用代理服务（只接受来自堡垒主机的去往Internet的数据包）。 - 部署屏蔽子网防火墙系统有如下几个特别的好处： 入侵者必须突破3个不同的设备（夫法探测）才能侵袭内部网络：外部路由器，堡垒主机，还有内部路由器。 由于外部路由器只能向Internet通告DMZ网络的存在，Internet上的系统不需要有路由器与内部网络相对。这样网络管理员就可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放（通过路由表和DNS信息交换）。 由于内部路由器只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet。 包过滤路由器直接将数据引向DMZ网络上所指定的系统，消除了堡垒主机双宿的必要。 内部路由器在作为内部网络和Internet之间最后的防火墙系统时，能够支持比双宿堡垒主机更大的数据包吞吐量。 由于DMZ网络是一个与内部网络不同的网络，NAT（网络地址变换）可以安装在堡垒主机上，从而避免在内部网络上重新编址或重新划分子网。 1.8.1.10 总结 - 设计和部署Internet防火墙从来就没有唯一的正确答案。各个机构的网络安全决定可能会受到许多因素的影响，诸如安全策略、职员的技术背景、费用、以及估计可能受到的攻击等等。本文着重于构建Internet防火墙的诸多问题，包括它们的优缺点，构件，以及防火墙系统拓扑结构的实例。由于与Internet连接的好处很可能大于其费用支持，因此网络管理员应充分了解其危险，并采取适当的预防措施，保证网络有其必要的安全性。1.