国产精品成人网站,日韩视频二区,亚洲成人手机电影,怡红院国产

　　摘要：介紹大亞灣電站在已建成的ATM網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)卜，為與嶺澳核電站實(shí)現(xiàn)資源共享，并充分獲取互聯(lián)網(wǎng)上的信息資源，在對一系列相關(guān)技術(shù)分析、論證的基礎(chǔ)上，分析比較若干技術(shù)方案，圓滿地解決了網(wǎng)絡(luò)互聯(lián)的網(wǎng)絡(luò)安全這相互矛盾的2大難題，成功地將*方案付諸實(shí)施。
　　
　　1．1局域網(wǎng)基礎(chǔ)
　　
　　大亞灣核電站（簡稱“一核”）網(wǎng)絡(luò)系統(tǒng)經(jīng)過近10a的建設(shè)，由當(dāng)初相互獨(dú)立的微機(jī)和單一的IBM大型機(jī)系統(tǒng)，發(fā)展為現(xiàn)在的集主機(jī)、小型機(jī)、PC服務(wù)器、PC機(jī)等多平臺(tái)為一體的，以網(wǎng)絡(luò)計(jì)算為中心、40多個(gè)應(yīng)用系統(tǒng)在不同平臺(tái)上運(yùn)行的網(wǎng)絡(luò)系統(tǒng)。該系統(tǒng)覆蓋5km范圍內(nèi)的01樓、BX樓、BA樓等18座樓宇，連接內(nèi)部采用結(jié)構(gòu)化布線，使用能支持155Mbit／s的5類雙絞線。各樓宇內(nèi)由IBM8271作為ATM主干網(wǎng)的端點(diǎn)設(shè)備，上接155M主干網(wǎng)，下聯(lián)8個(gè)或16個(gè)獨(dú)享10Mbit／s的端口，可連接部門級以太網(wǎng)段、局域網(wǎng)服務(wù)器或IBM8224HUB，1臺(tái)HUB下有16個(gè)共享10Mbit／s的端口，可連接16臺(tái)工作站。2臺(tái)IBM8260多協(xié)議智能交換器分別放在01樓和BX樓，1臺(tái)RS／6000-41T配以IBMNetviewforAⅨ軟件作為網(wǎng)管設(shè)備。
　　
　　與大亞灣核電站相距2km的嶺澳核電站（簡稱“二核”）也采用ATM技術(shù)作為主干網(wǎng)，構(gòu)建了管理計(jì)算機(jī)網(wǎng)絡(luò)。該網(wǎng)絡(luò)以2臺(tái)BAYDOBH和1臺(tái)BAYCl00為主交換設(shè)備，在各配線間安裝BAY28115和BAYC50，通過LBX／LBA樓的綜合布線系統(tǒng)，直接連接用戶工作站或通過BAY28113HUB連接用戶工作站。該網(wǎng)絡(luò)主要覆蓋LBX／LBA樓，此外也覆蓋現(xiàn)場和01樓的部分辦公區(qū)域。
　　
　　1．2聯(lián)網(wǎng)問題的提出
　　
　　隨著一核各項(xiàng)計(jì)算機(jī)應(yīng)用系統(tǒng)不斷發(fā)展，計(jì)算機(jī)系統(tǒng)在生產(chǎn)、維修、行政、財(cái)務(wù)、人事等方面所發(fā)揮的作用越來越大，CBA（計(jì)算機(jī)輔助隔離系統(tǒng)）、WPMS（工作過程控制系統(tǒng)）、AMS（行政管理系統(tǒng)）等40多個(gè)應(yīng)用逐漸成為巨大的生產(chǎn)力資源。隨著二核工程建設(shè)推進(jìn)和生產(chǎn)準(zhǔn)備的開始，一批應(yīng)用系統(tǒng)如移交投產(chǎn)控制系統(tǒng)（TCS）、程序數(shù)據(jù)庫系統(tǒng)，已成為一核、二核必須共用的資源。一、二核間需要在不同的服務(wù)器上運(yùn)行相同軟件或直接共用同一服務(wù)器和同一軟件，一、二核信息交流量已非常大。因此，“一址多堆，群堆管理”、“一、二核共享資源”的指導(dǎo)思想要求一核、二核必須盡快實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)。另外，互聯(lián)網(wǎng)的飛速發(fā)展為大亞灣核電站生產(chǎn)運(yùn)行管理和嶺澳核電站工程建設(shè)管理提供了龐大、豐富的信息資源，能否充分而有效地利用這些資源已成為急待解決的課題。一、二核獨(dú)立的局域網(wǎng)系統(tǒng)迫切需要與互聯(lián)網(wǎng)相聯(lián)。
　　
　　在網(wǎng)絡(luò)互聯(lián)帶來巨大經(jīng)濟(jì)利益的同時(shí)，網(wǎng)絡(luò)安全的重要性尤顯突出。一、二核網(wǎng)絡(luò)互聯(lián)要求一核的生產(chǎn)運(yùn)行和二核的工程建設(shè)互不干擾，核電網(wǎng)與互聯(lián)網(wǎng)的聯(lián)通要求核電網(wǎng)自身安全得到保證。因此，一、二核網(wǎng)絡(luò)互聯(lián)及一、二核與網(wǎng)的互聯(lián)必須解決安全性問題。
　　
　　2聯(lián)網(wǎng)方案
　　
　　2．1一、二核網(wǎng)絡(luò)互聯(lián)方案分析
　　
　　2．1.1聯(lián)網(wǎng)原則
　　
　?。?）一核現(xiàn)有的IBM設(shè)備與二核新購的BAY設(shè)備相連。早在二核確定其網(wǎng)絡(luò)方案前，一、二核網(wǎng)絡(luò)互聯(lián)問題就已提出。很顯然，如果二核的網(wǎng)絡(luò)選用IBM產(chǎn)品，聯(lián)網(wǎng)工作在技術(shù)上就十分簡單，但綜合考慮，二核網(wǎng)絡(luò)仍采用BAY產(chǎn)品。因此，網(wǎng)絡(luò)互聯(lián)工作就必須以客觀現(xiàn)實(shí)為基礎(chǔ)，需要把IBM設(shè)備和BAY設(shè)備相聯(lián)。（2）網(wǎng)絡(luò)互聯(lián)帶寬要達(dá)到100Mbit／s。根據(jù)應(yīng)用系統(tǒng)所涉及的信息流量預(yù)測，網(wǎng)絡(luò)互聯(lián)帶寬zui終要達(dá)到100Mbit／s，但聯(lián)網(wǎng)初期的帶寬要求可適當(dāng)降低。（3）網(wǎng)絡(luò)互聯(lián)后，一、二核網(wǎng)絡(luò)分工管理。考慮到一核網(wǎng)絡(luò)主要用于生產(chǎn)運(yùn)行，二核網(wǎng)絡(luò)現(xiàn)階段主要用于工程建設(shè)，2個(gè)網(wǎng)絡(luò)在安全性、穩(wěn)定性、實(shí)時(shí)性方面的要求不*相同，而且一、二核網(wǎng)絡(luò)屬于不同的成本中心，財(cái)務(wù)分開，從設(shè)備采購和資產(chǎn)管理方面考慮，分開管理較為合適。（4）網(wǎng)絡(luò)互聯(lián)過程中不能對一核網(wǎng)絡(luò)造成破壞性中斷。由于一核網(wǎng)絡(luò)處于實(shí)時(shí)的生產(chǎn)運(yùn)行狀態(tài)，網(wǎng)絡(luò)中斷對生產(chǎn)運(yùn)行會(huì)造成較大影響，因此一核網(wǎng)絡(luò)在一般情況下不可中斷。但在網(wǎng)絡(luò)互聯(lián)過程中，有些試驗(yàn)要求必須停下網(wǎng)絡(luò)系統(tǒng)。在這種情況下，只有盡量完善計(jì)劃、減少停機(jī)次數(shù)、縮短停機(jī)時(shí)間，特別是在對網(wǎng)絡(luò)改動(dòng)時(shí)，要周密考慮，避免因聯(lián)網(wǎng)試驗(yàn)而對網(wǎng)絡(luò)造成破壞。（5）以盡可能低的投資實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)。在保證網(wǎng)絡(luò)互聯(lián)各項(xiàng)功能有效實(shí)現(xiàn)的基礎(chǔ)上，盡可能選用簡單方案、采用便宜的設(shè)備，減少投資費(fèi)用。
　　
　　2．1．2主要試驗(yàn)分析
　　
　　（1）二核網(wǎng)絡(luò)。服務(wù)器：現(xiàn)有服務(wù)器Lanpc-S7，共享出資源Proj98，配置好相應(yīng)的IP、網(wǎng)關(guān)、WINS等參數(shù)；工作站：用1臺(tái)手提電腦，配置好相應(yīng)的IP、網(wǎng)關(guān)、WINS等參數(shù)；網(wǎng)關(guān)：采用1臺(tái)SUNNltra1機(jī)器，安裝Solaris操作系統(tǒng)和Firewall—1forSolaris防火墻軟件，設(shè)置多網(wǎng)卡，配置好相應(yīng)參數(shù)。
　　
　?。?）模擬一核網(wǎng)絡(luò)。安裝1臺(tái)NT服務(wù)器LLC，安裝WINS服務(wù)，共享出資源test，配置好相應(yīng)的網(wǎng)關(guān)等參數(shù)。工作站：用1臺(tái)手提電腦，配置好相應(yīng)的IP、網(wǎng)關(guān)、WINS等參數(shù)。網(wǎng)絡(luò)聯(lián)結(jié)由圖1所示。
　　
　　在二核工作站上，先用二核網(wǎng)絡(luò)ID登錄到二核網(wǎng)絡(luò)，net到防火墻，進(jìn)行用戶身份驗(yàn)證，通過后再退出Windows，以一核網(wǎng)絡(luò)ID登錄到一核網(wǎng)終，這時(shí)就可映射和使用一核的服務(wù)器資源。
　　
　　在一核工作站上，先用一核網(wǎng)絡(luò)ID登錄到一核網(wǎng)絡(luò)，net到防火墻，進(jìn)行用戶身份驗(yàn)證，驗(yàn)證通過后再退出Windows，以二核網(wǎng)絡(luò)ID登錄到二核網(wǎng)絡(luò)，這時(shí)就可映射和使用二核的服務(wù)器資源。
　　
　　2．1．3基本方案
　　
　　類似上述方案，通過對多平臺(tái)、多防火墻軟件的試驗(yàn)和分析，為充分利用一、二核各自己有資源，節(jié)省投資，并考慮到以后的功能擴(kuò)充與發(fā)展，在一核網(wǎng)絡(luò)端設(shè)置路由器和防火墻，而二核網(wǎng)絡(luò)端則利用原有路由設(shè)備和防火墻作對等的路由器和防火墻，如圖2所示。
　　
　　2．2一、二核網(wǎng)絡(luò)互聯(lián)方案實(shí)施
　　
　　2．2．1服務(wù)器硬件配置
　　
　　SUNU1tra2機(jī)器：100M網(wǎng)口，2x200MHzCPU，21英寸顯示器，256MB內(nèi)存，4GB硬盤、鍵盤，10／100M自適應(yīng)以太網(wǎng)卡；SUNCD12forUltra2／E2；3寸軟盤驅(qū)動(dòng)器；磁帶機(jī)。
　　
　　2．2．2服務(wù)器軟件配置
　　
　　SUNSolarisServer2．6中文企業(yè)版；SUNSolsticeFirewall-13.Ob防火墻軟件，無限用戶。
　　
　　2．2．3服務(wù)器調(diào)試過程
　　
　　SUNSolarisServer2．6系統(tǒng)軟件的安裝配置；SUNSolarisFirewall-13.0b軟件的安裝配置；SUNSolarisFirewall-13.0b應(yīng)用中參數(shù)的設(shè)置；SUNSolarisFirewall-13.Ob應(yīng)用中參數(shù)的設(shè)置分3部分：（1）定義Workstation和NetworkObjects。（2）建立用戶和組。（3）建立規(guī)則（Rule），規(guī)則的主要目的如下：對于二核網(wǎng)絡(luò)中的任何用戶，允許從二核網(wǎng)絡(luò)的任何機(jī)器上，經(jīng)一核防火墻驗(yàn)證后，訪問一核網(wǎng)絡(luò)資源（即JVC—LAN網(wǎng)段）；對于一核網(wǎng)絡(luò)中的任何用戶，允許從一核網(wǎng)絡(luò)的任何機(jī)器（即JVC-LAN網(wǎng)段的任何機(jī)器），不用經(jīng)一核防火墻的驗(yàn)證（但需經(jīng)二核防火墻的驗(yàn)證），可訪問二核網(wǎng)絡(luò)資源；此外，拒絕一、二核的任何用戶和任何機(jī)器間的互訪。
　　
　　2．2．4Client端的配置
　　
　　一核Client端的配置；二核Client端的配置。
　　
　　2．2．5網(wǎng)絡(luò)靜態(tài)路由的設(shè)置
　　
　　現(xiàn)有一核ATM網(wǎng)絡(luò)交換機(jī)上MSS中配置有5個(gè)ELAN，各個(gè)ELAN之間采用動(dòng)態(tài)路由，設(shè)有DefaultGateway10.1.3.1，并通過DHCP服務(wù)器將DefaultGateway一起分配給Client端，使得整個(gè)網(wǎng)絡(luò)上各機(jī)器間能自動(dòng)路由、互相訪問。但一、二核網(wǎng)段不同，聯(lián)網(wǎng)時(shí)存在路由問題。解決這一問題，有2種方法：（1）在每臺(tái)服務(wù)器和Client端手動(dòng)設(shè)置靜態(tài)路由。這種方法工作量大，并且每臺(tái)新增的服務(wù)器或共享資源都要設(shè)置靜態(tài)路由，不方便，也不實(shí)用。（2）在ATM網(wǎng)絡(luò)交換機(jī)上MSS中設(shè)置靜態(tài)路由。這種方法Client端不需改動(dòng)，對用戶透明，但要更改MSS配置，必須停運(yùn)ATM網(wǎng)絡(luò)交換機(jī)進(jìn)行設(shè)置；優(yōu)點(diǎn)是對用戶透明，且一勞永逸。本著一切為用戶、不增加用戶工作量、讓用戶使用簡單、對用戶透明，也考慮到對MSS配置的更改是一次性的行為、以后不需再更改，因此采用第2種方法。
　　
　　2．2．6登錄對方網(wǎng)絡(luò)步驟
　　
　　一核登錄到二核網(wǎng)絡(luò)步驟；二核登錄到一核網(wǎng)絡(luò)步驟。
　　
　　2．3核電網(wǎng)與網(wǎng)互聯(lián)方案分析
　　
　　2．3．1入網(wǎng)方式選擇
　　
　　企業(yè)如何根據(jù)自己的實(shí)際情況正確選擇合適的入網(wǎng)方式和合適的ISP是企業(yè)接人互聯(lián)網(wǎng)所面臨的首要問題。上網(wǎng)方式一般可使用單機(jī)撥號、ISDN、ADSL、DDN等方式，其中DDN方式適合于具備了路由器、集線器、服務(wù)器、工作站等一定規(guī)模的網(wǎng)絡(luò)系統(tǒng)，且可用于發(fā)布Web站點(diǎn)，適合大型企業(yè)或信息服務(wù)商。大亞灣核電站原有13個(gè)單機(jī)撥號上網(wǎng)帳號，但公司有數(shù)百個(gè)網(wǎng)絡(luò)用戶需要訪問Internet。數(shù)以百計(jì)的單機(jī)用戶上網(wǎng)，在管理上將十分復(fù)雜，因此從傳輸速率和費(fèi)用平衡上分析，在管理上將十分復(fù)雜，因此從傳輸速率和費(fèi)用平衡上分析，從網(wǎng)頁發(fā)布和管理上考慮，大亞灣核電站決定采用DDN專線方式接人Internet。
　　
　　2．3．2入網(wǎng)出口點(diǎn)選擇
　　
　　由于大亞灣核電站位于深圳遠(yuǎn)郊的大鵬鎮(zhèn)，距市區(qū)70km，故人網(wǎng)出口點(diǎn)有2個(gè)選擇：*，以深圳市中區(qū)的長城大廈為出口點(diǎn)，利用長城大廈到大亞灣的通信線路及線路兩端的G.703接口，在市區(qū)和大亞灣分別建立路由器，網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)在大亞灣，長城大廈以外利用深圳市數(shù)據(jù)通信局的專線接人Chinanet。第二，以大鵬鎮(zhèn)郵局為出口點(diǎn)，從大亞灣利用大鵬鎮(zhèn)郵局的線路聯(lián)人Chinanet。前一方案入網(wǎng)層次高，受路由影響少，線路穩(wěn)定，不需施工，可預(yù)留接口與位于深圳市區(qū)的廣東核電集團(tuán)公司聯(lián)網(wǎng)，但需增加1個(gè)路由器的投資，工作量相對較大；后一方案工作量相對較少，技術(shù)簡單，但入網(wǎng)層次低，受路由影響大，大鵬分局人員技術(shù)和服務(wù)水平相對較低，線路不穩(wěn)，可能存在施工問題。通過上述優(yōu)劣比較，大亞灣核電站選擇了長城大廈作為Internet專線出口點(diǎn)。
　　
　　2．3．3防火墻選擇
　　
　　有效地保護(hù)公司內(nèi)部網(wǎng)絡(luò)安全，又可使內(nèi)部用戶地訪問Intemet資源，這是防火墻的標(biāo)準(zhǔn)要求。在選擇時(shí)，考慮的因素有3個(gè)方面：安全性、穩(wěn)定性、高性能。
　　
　　就Cisco的PIXFirewall而言，它是基于硬件的防火墻，可有效地隱藏內(nèi)部網(wǎng)絡(luò)地址，對外只是1個(gè)或若干個(gè)虛擬地址，而真正的主機(jī)及用戶則在進(jìn)行NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）或PAT（口地址轉(zhuǎn)換）后，*隱藏起來，具有很高的安全性。此外，PIX使用的控制微碼不同于軟件防火墻的源代碼，黑客不易獲得，從而進(jìn)一步提高了安全性。PIXFirewall的安全算法也較特殊，基于Unix或其它操作系統(tǒng)的CPU集中式的防火墻，是在應(yīng)用層對每個(gè)數(shù)據(jù)包進(jìn)行大量處理，而PIXFirewall采用安全實(shí)時(shí)的嵌入式系統(tǒng)，在網(wǎng)絡(luò)層及以下層次對數(shù)據(jù)進(jìn)行處理。
　　
　　PIX的高性能還得益于它的直通代理特性，即外部訪問一旦被證實(shí)符合控制系統(tǒng)要求，就轉(zhuǎn)換對話流，使通信直接在雙方間迅速流動(dòng)，從而加快運(yùn)行速度，可大幅度降低普通防火墻在用戶驗(yàn)證上所耗費(fèi)的大量資源。由于是基于硬件體系，執(zhí)行速度極快，吞吐量也很高，在滿負(fù)荷時(shí)，其運(yùn)行速率超過45Mbit／s，支持T3速度，并可同時(shí)支持多達(dá)16000TCP對話，該性能是基于Unix防火墻的幾倍。配置管理簡易也是PIX突出優(yōu)點(diǎn)，且一經(jīng)配置，基本無需經(jīng)常性維護(hù)。在本系統(tǒng)中，采用3網(wǎng)卡配置，加強(qiáng)安全性、靈活性。將傳統(tǒng)上置于外部網(wǎng)的WebServer、MailServer也放在Firewall保護(hù)之下（即DMZ區(qū)），為將來高安全等級應(yīng)用如電子商務(wù)應(yīng)用留下充裕的安全空間。因此，大亞灣核電站選用了硬件防火墻PIXFirewall作為Internet防火墻。
　　
　　2．3．4服務(wù)器選擇
　　
　　服務(wù)器是系統(tǒng)核心，能否正確選擇和成功安裝服務(wù)器軟硬件，是整個(gè)系統(tǒng)成功的根本；能否在成功安裝了服務(wù)器軟硬件之后有效利用它們，是系統(tǒng)運(yùn)行效率的保證。對服務(wù)器的選擇一般從可靠性、安全性和處理能力3方面考慮。關(guān)于服務(wù)器的具體選擇，曾設(shè)計(jì)了4套解決方案，如下表1所列。在上述4套方案中，SUN服務(wù)器加CiscoPIXFirewall的解決方案優(yōu)點(diǎn)較多。SUNUltra硬件平臺(tái)加NetraInternet軟件的組合是專為解決Intemet聯(lián)網(wǎng)問題的方案，此方案在硬件結(jié)構(gòu)、可靠性、伸展性等方面有較強(qiáng)大的功能，適用于規(guī)模較大的企業(yè)。因此，在服務(wù)器選型上，大亞灣核電站Intemet系統(tǒng)選用SUNUltra服務(wù)器。
　　
　　2．3．5客戶端軟硬件選擇
　　
　　硬件直接利用大亞灣核電站網(wǎng)絡(luò)上已有的各類型號PC機(jī)，客戶端軟件也是直接利用現(xiàn)有的中文Windows95，這樣做一方面節(jié)省投資；另一方面使各部門用戶可在原有軟硬件基礎(chǔ)上使用Intemet，減少了用戶培訓(xùn)和軟件安裝方面的工作量，用戶也會(huì)感到簡單易用。

　　
　　2．3．6路由器選擇
　　
　　在大亞灣核電站Internet接人線路中，有2處需要設(shè)置路由器，即深圳長城大廈16號樓和大亞灣核電站01樓。結(jié)合大亞灣核電站現(xiàn)有網(wǎng)絡(luò)情況，有2類路由器可供選擇，一種是IBM2210路由器，一種是Cisc04500路由器。其它品牌和型號的路由器無特別優(yōu)勢。相比較而言，IBM2210和Cisco4500特性和選項(xiàng)較廣泛，價(jià)格較便宜，在互聯(lián)網(wǎng)節(jié)點(diǎn)連接中使用率較高，便于，特別是Cisc04500系統(tǒng)軟件映像被壓縮存儲(chǔ)在閃速存儲(chǔ)器中，閃速存儲(chǔ)器比磁盤更可靠，便于開發(fā)和維護(hù)。因此，在大亞灣核電站Internet接人方案中選用Cisc04500。
　　
　　2．4核電網(wǎng)與網(wǎng)互聯(lián)方案實(shí)施
　　
　　2．4．1基本功能
　　
　　建立128KDDN專線，通過專線將核電站的Internet系統(tǒng)接人Chinanet骨干網(wǎng)，該DDN專線支持基于Intemet的絕大部分協(xié)議。對內(nèi)部用戶開通標(biāo)準(zhǔn)的Intemet服務(wù)，包括Web瀏覽、FTP、net及基于POP3/SMTP的服務(wù)。對外部用戶開通本公司的Web站點(diǎn)。系統(tǒng)還可提供BBS、目錄服務(wù)等。隨著Internet應(yīng)用的深入，新的服務(wù)還將加到系統(tǒng)中。
　　
　　2．4．2系統(tǒng)配置功能
　　
　?。?）SUN服務(wù)器。配置：SunUltra10Server，CPU300MHzUltraSvarc、硬盤4.3G、128M內(nèi)存、24xCDROM、1.44M，軟驅(qū)、10M／100MEthernet網(wǎng)卡，512KCache、基于Solaris2．6中文操作系統(tǒng)，運(yùn)行Netral3．2群件；功能：WebServer為Netra13．2群件捆綁的NetscapeEnterpriseServer3．0；服務(wù)：Sendmail提供，是操作系統(tǒng)的內(nèi)置部件；DNS服務(wù)：BIND，是流行的基于Unix的通用免費(fèi)軟件；BBS服務(wù)：共享軟件，從Intemet下載。
　　
　?。?）備份DNS服務(wù)器。配置：1臺(tái)基于NTServer4.0的PCServer；功能：作為主DNS的備份，在主DNS失效（如down機(jī)等）時(shí)起作用解析本公司的域名。
　　
　?。?）代理服務(wù)器。配置：PCServer，雙SCSI硬盤，基于NTServer4．0，運(yùn)行MSProxyServer2.0；功能：（0作為用戶訪問Internet的代理，包括WebProxy和WinsockProxy，其中WebProxy實(shí)現(xiàn)HTYP、n7、Gopher、SSL等瀏覽器協(xié)議，并配置了本地高速緩存Cache。WinsockProxy則開通其它協(xié)議，包括POP3／SMTP郵件協(xié)議，作為郵局的代理，從而使Winsock的客戶端可透明地與郵件服務(wù)器通信。②用戶管理：ProxyServer擔(dān)負(fù)用戶身份驗(yàn)證，流量監(jiān)控，用戶記帳等管理任務(wù)。
　　
　?。?）PIXFirewall。配置：Cisco公司的專業(yè)硬件防火墻，帶3個(gè)10／100M自適應(yīng)以太網(wǎng)卡，1024個(gè)同步會(huì)話licenses，配置信息均寫入內(nèi)置的FlashMemory上；功能：PIXFirewall防火墻提供網(wǎng)絡(luò)層一級的安全保護(hù)，作為系統(tǒng)分隔內(nèi)外網(wǎng)絡(luò)及DMZ（公共安全區(qū)域）網(wǎng)段的安全網(wǎng)關(guān)，通過地址映射將內(nèi)部網(wǎng)絡(luò)隱藏起來，阻止黑客對內(nèi)部網(wǎng)的攻擊。配置必要的協(xié)議管道（WWW，DNS等）供外部用戶訪問。
　　
　?。?）路由器。配置：2臺(tái)Cisco4500模塊式路由器，其中1臺(tái)配有1個(gè)4口G．703模塊和1個(gè)雙串口模塊，另1臺(tái)配備1個(gè)4口G．703模塊和1個(gè)雙以太口模塊；功能：Cisc04500是Cisco公司的產(chǎn)品，支持E1（T1）線路連接。在本系統(tǒng)中，路由器4500除作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)路由外，還有1個(gè)重要用途是：利用G．703模塊實(shí)現(xiàn)深圳市長城大廈到大亞灣之間2M帶寬的通信，并可實(shí)現(xiàn)光纖／微波通信熱備份。
　　
　?。?）DTU。NewBridge2603同步數(shù)據(jù)傳輸單元，與數(shù)據(jù)郵局對端的DDN網(wǎng)絡(luò)節(jié)點(diǎn)機(jī)相連，實(shí)現(xiàn)Internet信息數(shù)據(jù)的同步通信。
　　
　?。?）Hub。3comOfficeConneet智能型集線器，輕便簡易，用于網(wǎng)段擴(kuò)充及設(shè)備到終端信號中轉(zhuǎn)之用。
　　
　　2．5核電網(wǎng)絡(luò)的安全策略
　　
　　2．5．1一、二核網(wǎng)絡(luò)之間
　　
　　通過防火墻相互*控制，一方面限制了相互之間人為攻擊；另一方面也控制了廣播風(fēng)暴等技術(shù)因素對網(wǎng)絡(luò)的影響。
　　
　　2．5．2從外部網(wǎng)到內(nèi)部網(wǎng)無直接通道。有防火墻及代理網(wǎng)關(guān)（ProxyServer）2道屏障，外部用戶無法訪問內(nèi)部網(wǎng)任何資源。
　　
　　2．5．3從外部網(wǎng)到DMZ子網(wǎng)需通過防火墻（PIX／Firewall），是外部用戶*可訪問的網(wǎng)段，公司的Internet主機(jī)——SunServer就在DMZ子網(wǎng)上。防火墻進(jìn)行嚴(yán)格的安全設(shè)置：DMZ子網(wǎng)使用的是Intemet的保留IP地址，其外部網(wǎng)和DMZ之間建立地址映射管道，外部用戶訪問的只是DMZ上主機(jī)的映射IP地址，并不知道真正的IP，不能直接訪問，從而實(shí)現(xiàn)IP地址轉(zhuǎn)換及屏蔽，有效地阻止IP欺詐等黑客常用的伎倆。
　　
　　2．5．4從DMZ到內(nèi)部網(wǎng)
　　
　　有防火墻及代理網(wǎng)關(guān)2道屏障，無直接管道。
　　
　　2．5．6從內(nèi)部網(wǎng)到外部網(wǎng)
　　
　　通過PIX／Firewall／proxy，可透明訪問Internet資源（接已開通的服務(wù)）。對網(wǎng)關(guān)及PIX進(jìn)行適當(dāng)配置后，可細(xì)致地調(diào)節(jié)對外的各項(xiàng)訪問服務(wù)，可過濾所有IP包，監(jiān)控所有訪問信息。
　　
　　2．5．7從內(nèi)部網(wǎng)到DMZ
　　
　　開通HTTP、net及POP等協(xié)議，*用戶的可透明訪問此網(wǎng)段。
　　
　　2．5．8從DMZ到外部網(wǎng)
　　
　　透過防火墻，可透明訪問外部網(wǎng)。
　　
　　以上策略主要是針對外部黑客的直接入侵而設(shè)置的，但黑客也可通過間接手段進(jìn)行攻擊，主要是：郵件傳遞及內(nèi)部用戶下載染毒的文件，這已屬于病毒的范疇。目前在內(nèi)部網(wǎng)上，除Unix主機(jī)外，均裝有實(shí)時(shí)監(jiān)測病毒的軟件（CA的CheyenneAntiVirus）它可有效地監(jiān)測文件的傳遞、執(zhí)行等，理論上講可防止染毒文件傳播。隨著網(wǎng)絡(luò)技術(shù)發(fā)展，核電網(wǎng)絡(luò)的安全策略也在不斷完善。一、二核主干網(wǎng)不同ATM的聯(lián)接雖然ATM技術(shù)經(jīng)過這幾年發(fā)展，其穩(wěn)定性、安全性、可管理性已較強(qiáng)，但畢竟還存在體系結(jié)構(gòu)復(fù)雜、各廠商協(xié)議不統(tǒng)一的問題，這為IBM的ATM與BAY的ATM聯(lián)接帶來困難。
　　
　　3．2一、二核2個(gè)網(wǎng)絡(luò)不同的管理方式處理
　　
　　一核網(wǎng)絡(luò)主要用于生產(chǎn)運(yùn)行，二核網(wǎng)絡(luò)現(xiàn)階段主要用于工程建設(shè)；一核網(wǎng)絡(luò)覆蓋面廣，除生產(chǎn)系統(tǒng)外，財(cái)務(wù)、人事、勞資、行政等管理系統(tǒng)也在其上運(yùn)行。2個(gè)網(wǎng)絡(luò)在組網(wǎng)方式、網(wǎng)段劃分、虛擬網(wǎng)設(shè)置等管理方式上很不一樣，為網(wǎng)絡(luò)互聯(lián)帶來困難。
　　
　　3．3聯(lián)網(wǎng)過程實(shí)驗(yàn)條件困難
　　
　　一核網(wǎng)絡(luò)處于運(yùn)行狀態(tài)，一般不能中斷；二核網(wǎng)絡(luò)不具備完整的實(shí)際環(huán)境，而且聯(lián)網(wǎng)設(shè)備在實(shí)際方案沒有確定之前又不可能購買，因此只能先以模擬方式進(jìn)行聯(lián)網(wǎng)試驗(yàn)，并作理論推測，然后研究、選擇、確定聯(lián)網(wǎng)方案，采購相關(guān)設(shè)備。這樣的過程，對初期的實(shí)驗(yàn)來說，較為困難且存在風(fēng)險(xiǎn)。
　　
　　3．4核電網(wǎng)與網(wǎng)遠(yuǎn)程通信
　　
　　在本系統(tǒng)中，Internet的接人點(diǎn)在深圳市區(qū)的長城大廈，而服務(wù)器及公司用戶均在大亞灣，兩地相距70km。如何可靠地跨越這段距離并有效地傳輸信息是一個(gè)很有挑戰(zhàn)性的問題。本系統(tǒng)采用2臺(tái)Cisco4500路由器作為端設(shè)備，利用光纖及微波通路，成功解決這一問題。
　　
　　Cisco4500是模塊化路由器，其標(biāo)準(zhǔn)的G.703模塊上集成了4個(gè)2M（E1）的端口，同時(shí)使用時(shí)可提供高達(dá)8M的帶寬。接成2條E1線可設(shè)置成熱備份，在一條通路故障時(shí)，可自動(dòng)地?fù)Q到另一條，而*時(shí)，2條E1線并發(fā)傳輸，利用這一特性實(shí)現(xiàn)光纖／微波的熱備份。在通信調(diào)試中，初始發(fā)現(xiàn)誤碼率高達(dá)40％，后經(jīng)多方查找原因，重新設(shè)置Timeout值和相關(guān)的參數(shù)后，該碼率降至幾個(gè)PPM（百萬分之幾），傳輸質(zhì)量優(yōu)于Intemet信號對傳輸信道的質(zhì)量要求。
　　
　　3．5核電網(wǎng)用戶管理及WebCache（高速緩存）
　　
　　3．5．1穩(wěn)定可靠的用戶驗(yàn)證、日志、流量統(tǒng)計(jì)等是聯(lián)網(wǎng)管理的重要內(nèi)容
　　
　　zui初采用基于PIX的ACS驗(yàn)證方式，但未能達(dá)到預(yù)期目標(biāo)，后來采用代理服務(wù)器，并做了仔細(xì)的配置和性能調(diào)節(jié)，圓滿解決了對聯(lián)網(wǎng)管理所提出的復(fù)雜要求，實(shí)現(xiàn)了：（1）穩(wěn)定的安全驗(yàn)證，用戶*，并解決與公司內(nèi)部網(wǎng)絡(luò)主域統(tǒng)一協(xié)調(diào)的問題，即一次登錄，一次驗(yàn)證，透明使用*的服務(wù)。（2）較詳盡的監(jiān)控功能，包括系統(tǒng)性能監(jiān)視器和實(shí)時(shí)用戶狀態(tài)監(jiān)控。（3）用戶日志，日志內(nèi)容包括：用戶ID、登錄時(shí)間、信息流量、服務(wù)類型、訪問的資源等，并可導(dǎo)人數(shù)據(jù)庫，便于管理。
　　
　　3．5．2建立本地超高速緩存，是改善用戶響應(yīng)性能的關(guān)鍵
　　
　　在采用Proxy實(shí)現(xiàn)用戶管理后，也采用Proxy的Cache，主要為增大Proxy的相應(yīng)硬盤空間。它可主動(dòng)、定期地高速緩存用戶訪問過的文件，保證數(shù)據(jù)的可用性。通過Cache，極大改善了對網(wǎng)絡(luò)資源的控制，減少出口Internet的擁擠，也節(jié)約了昂貴的信息費(fèi)。事實(shí)上，內(nèi)部用戶訪問的Internet響應(yīng)速度很大程度上取決于高速Cache的性能。
　　
　　3．6客戶端配置
　　
　　3．6．1關(guān)于defaultgateway設(shè)置
　　
　　公司內(nèi)部網(wǎng)有多個(gè)子網(wǎng)：10.1.x.x，10.2.x.x,10.3.x.x等，要使不同網(wǎng)段的用戶可順利實(shí)現(xiàn)資源共享，必須設(shè)置正確的defaultgateway。在方案實(shí)施初期，PIX內(nèi)部以太口連人10.1.X.X網(wǎng)段，用戶端要通過PIX訪問Internet，必須將defaultgateway指向PIX的內(nèi)部以太口，但其它網(wǎng)段的用戶將無法訪問Internet。為此，首先在IBM8260Switch（主干上的智能交換機(jī)）上設(shè)置靜態(tài)路由，將Internet網(wǎng)關(guān)指向該P(yáng)IX端口。但對已穩(wěn)定運(yùn)行的公司主干網(wǎng)影響較大，而且公司網(wǎng)上的一些應(yīng)用是24h不間斷的，因此又采用代理服務(wù)方式，在用戶端設(shè)置代理網(wǎng)關(guān)，在確保對現(xiàn)有內(nèi)部網(wǎng)不作變更的前提下，較好地實(shí)現(xiàn)這一路由問題。
　　
　　3．6．2內(nèi)部用戶訪問公司外部主頁
　　
　　公司主頁在DMZ網(wǎng)段（1P:192.168.x.x），獨(dú)立于外部Internet和內(nèi)部網(wǎng)，內(nèi)部用戶不能到外面訪問此主頁。公司Internetserver上的DNS對公司主頁地址的解析是202.104.137.x（注冊的IP地址），如果內(nèi)部用戶也用此解析，將不能正確訪問本公司主頁。解決該問題的方法是在公司內(nèi)部的DNS上增加該主頁（）的解析，并指向192.168.X.X，通過DHCP機(jī)制動(dòng)態(tài)分發(fā)此配置，這樣用戶端在獲得IP地址的同時(shí)也將獲得的DNS，避免域名解析的沖突。
　　
　　3．6．3瀏覽器和郵件工具
　　
　　原有的客戶端軟件主要是Windows95+office97，包括Internetmail，IE3．0和Outlook97。由于IE3．0版本偏低，不支持很多網(wǎng)絡(luò)互聯(lián)的功能，且速度較慢，所以均升級到IE4．0。而1E4打包的OutlookExpress是一個(gè)的工具，很適合用來收發(fā)郵件及閱讀新聞組。還有一個(gè)選擇是使用現(xiàn)成的Outlook97，但涉及到Outlook97是Exchangeserver（內(nèi)部郵件服務(wù)器）的客戶端，功能過于復(fù)雜、龐大，起動(dòng)緩慢。為不相互影響、混淆內(nèi)外郵件，選擇Outlookexpress作為獨(dú)立的工具，經(jīng)一段時(shí)間試用，用戶反映良好。
　　
　　至此，大亞灣核電站成功完成了網(wǎng)絡(luò)互聯(lián)并有效實(shí)現(xiàn)了安全控制。此項(xiàng)技術(shù)不僅對現(xiàn)有一、二核的生產(chǎn)和建設(shè)具有積極的推動(dòng)作用，而且對未來三核、四核的發(fā)展及其它企業(yè)的網(wǎng)絡(luò)互聯(lián)具有很大的推廣價(jià)值。