1. 小区计算机网络
交换快速以太网是通过以太网交换机代替共享介质的集线器（HUB）解决了传统中信息竞争和冲突问题可能出现的瓶颈现象。从而使网络性能明显提高，并且使用交换式以太网后不改变传统用户的所有软件和各种设备配置。因而交换式以太网得到了广泛的应用。通过SWITCH与路由器的结合还可以构成虚拟网，并且SWITCH结构的网络很容易升级到ATM，目前这种网络方案是一性能价格比都比较好的方案选择。本系统采用这种设计方法。

交换机能够提供无阻塞的服务，允许多个对话（两个端口之间的通信）同时发生。由于交换技术可将信息迅速而直接地送至目的地（不象集线器和中继器），同时能够大大提高新兴技术的速度和带宽，在交换机上采用光纤并行双通道技术，可使双向带宽达到400M，主干上无以太网的碰撞，是改善LAN通信量的优先选择方案。

采有局域网的交换技术使得到VLAN技术得以发扬光大。VLAN将广播流量控制在一个广播域的内部，广播封包不会被复制到其它的VLAN中进行广播，有效地防止了广播风暴，提高带宽利用率。同时，物理上位于不同位置的用户可以通过VLAN编入同一逻辑上的工作组，包括那些位于不同楼层，跨越不同交换台机的用户。在CiscoFusion交换式体系结构中，同一个用户或主机可属于多个VLAN，移动用户也可以在不同的时刻属于不同的VLAN，也可根据实际需要，灵活地变动VLAN的划分。由此可见，通过VLAN可以最大限度地实现管理上的灵活性。
　
2.1、 网络结构
- 计算机网络系统的确定原则:
- 满足各分系统集成的要求，在最经济的情况下，选择性能价格比最佳的方案。即在性能可靠性与价格方面做实用的折中选择。
- 网络系统应最大限度地支撑client/server的软件结构体系
- 用户通过网络通讯管道可透明地访问网络内的各个服务器
- 网络具有可扩展性，能在现有的基础上进行扩展，以适应将来的数据量和技术发展的需要。
- 网络系统的结构

根据以上原则，并结合实际情况，网络系统设计如下：
网络采用星型以太网，网络速度100M
本系统包括如下各部分：

1. 中心交换机。
它用于建立高速宽带交换式LAN网，并实现VLAN功能。

2. 中心路由器。
中心路由器用于通过DDN，向上连接Internet，向下连接各部门网点。它支持拨号备用功能，当DDN或线路发生故障或数据流阻塞时，它能自动切换到备用电话线路，使连接不致中断。总部局域网将分成多个虚拟网（VLAN），中心路由器也用于实现VLAN之间在第三层（网络层）的互连。

3. 集线器。
实现桌面100M连接并把它们连接到高速宽带骨干网上。

4. 服务器群。
包括中心数据处理服务器、Intranet/Internet服务器（Web Server、E-mail Server、FTP Server等）、综合信息服务器、 以及用于办公自动化的文件和打印共享服务器等。多个服务器软件系统可运行于同一服务器硬件平台上。
　
网络结构特点:
- 由于采用星型布局，某个节点的故障不会影响到网络的其它部分，容错性强。
- 节省网络投资，提高原有设备的利用率，又能适应长远发展。
- 能支持各种流行的操作系统平台及应用软件，可方便地通过路由器，与总公司网络中心连接，并可建立自己的WWW服务器，发布自己的超文本信息。

2. 2、网络设备

1、中心交换机采用cisco交换式集线器WS－C2924M－XL-A，其特性如下：
- 2Gbps 的交换结构和每秒转发300万个数据包的速率在所有端口上(64字节的数据包)提供线路速度性能。
- CATALYST 2924M XL-A上的2个通用模块插槽提供扩展能力,长距离的纤维连通性的空间,较高速连能性和将来对特性模块的支持。
- 通过一个标准的Web浏览器在网络的任何地方管理交换机的基于WEB的界面。
- 控制台访问的多层安全性防止未经授权的用户修改交换机配置。
- 在单个引导服务器上自动配置网络中的多台交换机。
- 借助FAST EtherChannel在路由器,交换机和服务器之间高达800MBPS的带宽。
- CGMP使一台交换机能够动态和有选择地向目标终端站转发经过种由选择的IP多路播放通信,从而降低总体网络通信量和提高多媒体性能。
- 利用ISL中继的未来VLAN支持提供广播控制,安全性和经过简化的增加,移动和变更操作。
- 2个通用模块插槽向用户提供升级他们的网络的灵活性。
- 将来的千兆位ETHERNET,ATM接口模块提供更高速的链路。
- 24端口的10/100兆端口允许客户轻松地提高端口的密度。
　
2、 部门集线器采用100M/10M自适应的智能集线器，能提供24个 10/100M端口。

3、路由器采用ciscoAS2610，能提供一个LAN接口和二个WAN接口，并具有远程访问服务功能。

4、服务器选用IBM Netfinity5000服务器。
配置如下：
采用Intel Pentium III 500MHz CPU
支持2/4路SMP
512KB L2 Cache
512MB ECC DIMM RAM(最大1/2GB)
2个热插拔13.0GBHD(最大6个)（镜像）
热插拔冗余电源,热插拔冗余风扇
集成在主板上的双通路
Wide Ultra SCSI RAID PCI控制卡
6/4个热插拔/热添加PCI控制卡
高级PCI系统管理适配卡
Light-Path光通路技术
Netfinity Manager管理软件
Lotus Domino R5 Application server
IBM ServerGuide光盘

5、网络工作站的选型：
工作站配置如下:
Celeron 433A CPU
64MB RAM
10G HD
SVGA显示器
网卡
PWIN98

6、网络外设
- 网络打印机
- 彩色喷墨打印机
- 彩色扫描仪
- 不间断电源：采用KSAT后备式1000VA 1小时UPS。
- 触摸屏：采用台湾GROOVY TECHNOLOGY的G-TOUCH第三代新型电阻式触控屏。

2.3、网络安全解决方案

1、防火墙
在大型网络系统与Internet互连的第一道屏障就是防火墙。
防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。
Gauntlet防火墙
Gauntlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力(70Mbps)，很好的解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务，Gauntlet提供了该领域最安全的解决方案，从而对访问的控制更加细致。

2、防病毒的安全解决方案
众所周知，计算机病毒对生产的形响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了数年，并已取得了可喜的成绩，但是随着INTERNET的发展，计算机病毒的种类急聚增多，扩散速度大大加快，对企业及个人用户的破坏性加大。
网络整体病毒防护方案：

(1)、客户端的防病毒系统
由于50%以上的病毒是通过软盘进入企业的网络系统，因此对桌面系统的病毒应采用严加防范，网络系统采用Windows 95/98操作系统，本部分可以采用VirusScan Security Suite产品。

(2)、服务器的防病毒系统
网络系统的服务器包括Windows NT和NetWare和Unix等多种平台。由于服务器若被感染，其感染文件将成为病毒感染的源头，它们会迅速从桌面感染发展到整个网络的病毒爆发。因此，基于服务器的病毒保护已成为当务之急。NetShield Security Suite提供了全面的基于服务器的病毒保护。可以从单独的直观控制台上远程管理这些服务器平台。

(3)、Internet的防病毒系统
根据ICSA的报告，一般公司的电脑感染病毒的来源有超过20%是通过网络下载文档感染，另外有26%是经电子邮件的附加文档所感染，由于大型网络系统已连入Interent，因此，此部分将成为防范的重点。
Internet Security Suite载Interent网关上可以提供全面的病毒防卫系统，封锁病毒所有可能的进入点。透过管理控制台可直接在任何服务器或工作站上进行远程管理。

(4)、电子邮件的防病毒系统
现在普遍采用的内部电子邮件系统为：Lotus Notes, MS Exchange Server, 或Novell的GroupWise Server。 Internet连接采用SMTP协议，内部电子邮件系统与Internet连接采用SMTP Gateway。
系统在Internet网关处采用Internet Security Suite可以防止从Internet上的病毒感染。
内部的电子邮件系统可以在服务器上安装GroupShield: 群件服务器的防病毒方案。可以扫描Microsoft Exchange，Lotus Notes/Domino的病毒。

3、防黑客的安全解决方案
1. 入侵检测技术
　
利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够,因为：
入侵者可寻找防火墙背后可能敞开的后门。
入侵者可能就在防火墙内。
由于性能的限制，防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要，首先它能够对付来自内部网络的攻击，其次它能够阻止hacker的入侵。
入侵检测系统可分为两类：
- 基于主机
- 基于网络
基于主机的安全监控系统具备如下特点：

(1) 精确，可以精确地判断入侵事件。

(2) 高级，可以判断应用层的入侵事件。

(3) 对入侵时间立即进行反应。

(4) 针对不回操作系统特点。

(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点：

(1) 能够监视经过本网段的任何活动。

(2) 实时网络监视。

(3) 监视粒度更细致。

(4) 精确度较差。

(5) 防入侵欺骗的能力较差。

(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式：

1. 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上
传证据，提供跨平台的入侵监视解决方案。

2. 在需要监视网络路径上，放置监视模块(sensor),分别向管理服务器报告及
上传证据，提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是：
(1)协议分析及检测能力。
(2)解码效率(速度)。
(3)自身安全的完备性。

3. 精确度及完整度，防欺骗能力。模式更新速度。
　
1. 对网络系统的保护
　
采用CyberCop Network可以对网络系统进行保护。
CyberCop Sensor可以配置在网络内以下地点：
(1) 广域网连接
(2) 拨入连接
(3) 服务器群
(4) 关键路径
主要特点：
(1) 实时安全
(2) 自动攻击识别
(3) 高速
(4)安全
1. 证据跟踪文件
　
1. 对关键服务器的保护
　
使用CyberCop Server可以保证服务器系统的可靠性。