1、百聯(lián)下一代網(wǎng)絡（NGN）綜合服務應用解決方案項目建議書上海遠灼經(jīng)貿(mào)有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內(nèi)容前言.3網(wǎng)絡的設計思路及目標.4綜合服務應用業(yè)務定位5第一期工程方案設計6網(wǎng)絡的運營管理及計費功能設計.10主要設備介紹.201.前言在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來了革命性的變化，我們時時刻刻都在享受網(wǎng)絡科技帶來的便利，其中VoIP電話、票務預定、數(shù)碼沖印連鎖等就是現(xiàn)代網(wǎng)絡的典型應用。對于商業(yè)連鎖經(jīng)營者來說，這不但能為便利店等連鎖機構(gòu)帶來巨大的人流量和廣告效益，又能產(chǎn)生巨大的利潤。電信市場的開放導致了電信增值服務提供商之間的激烈竟爭，而這種

2、竟爭在中國孕育了一個高速增長的網(wǎng)絡應用市場。幾乎在同一時間，各個提供商在各個城市都開展了虛擬運營服務平臺的建設，機遇出現(xiàn)的同時，挑戰(zhàn)也出現(xiàn)了。幾乎每個提供商，都面臨著寬帶網(wǎng)如何建設、如何升級、如何運營、如何擴展、如何盈利的問題。上海遠灼經(jīng)貿(mào)有限公司在充分考慮了上海百聯(lián)集團現(xiàn)階段需求和現(xiàn)有的網(wǎng)點資源后，堅持以滿足企業(yè)通訊需求和經(jīng)營需求為目的，基于切實可行的系統(tǒng)造價，以先進的技術(shù)，豐富的組網(wǎng)手段，提出了百聯(lián)綜合服務應用網(wǎng)解決方案。有關這一方案的任何問題，歡迎您隨時與遠灼經(jīng)貿(mào)有限公司VoIP事業(yè)部聯(lián)系。電 話：項 目：技 術(shù)；商 務：2.網(wǎng)絡的設計思路及目標百聯(lián)綜合服務應用網(wǎng)絡的建設目標. 除了提供

3、全市一個綜合業(yè)務信息平臺外，將建設成一個覆蓋全市各經(jīng)營網(wǎng)點，為廣泛用戶提供多項綜合信息服務，VoIP語音、視頻服務和票務預定、數(shù)碼沖印等服務的信息平臺。 最主要的目標是配合配合現(xiàn)有網(wǎng)點的發(fā)展，搶占新興業(yè)務增長點，開辟一個嶄新的數(shù)據(jù)和信息服務市場。因此，整個系統(tǒng)需能夠承載多種服務類型、靈活的用戶接口和從窄帶到寬帶的廣譜的接入帶寬，同時利用現(xiàn)有的寬帶接入、現(xiàn)有設備和百聯(lián)特有優(yōu)勢，通過高速的INTERNET接入和適當?shù)亻_發(fā)符合國情的本地服務為進入通訊服務市場的切入點，形成經(jīng)營特色和造就市場影響，并逐步開展多種通訊類型的綜合服務，以良好的性能價格比和多種業(yè)務綜合為特點。另外，從一個企業(yè)應用網(wǎng)的角度來看

4、，它應該具有以下幾個特性：足夠的帶寬和良好的升級能力；具有承載多種服務類型的能力；具有良好的投資漸進策略，在網(wǎng)絡的有效服務生存周期內(nèi)，具有較高的投資回報能力；具有高可靠性。網(wǎng)絡的接入層應該具有高度的靈活性、易用性，提供多種服務接入能力。從網(wǎng)絡的管理層來看，網(wǎng)絡應具備完善的控制能力和網(wǎng)絡安全性，并提供靈活的計費方式；基于策略的網(wǎng)絡管理和基于物理層、鏈路層和網(wǎng)絡層的性能測量和故障監(jiān)控，并提供遠程配置和故障排除能力。3百聯(lián)綜合服務應用網(wǎng)業(yè)務定位g 在集團內(nèi)部實現(xiàn)點對點零話費解決方案g 在集團內(nèi)部視頻電話及可視電話會議g 為廣大用戶提供便民VoIP公話服務g 電信卡類業(yè)務聯(lián)網(wǎng)銷售平臺g 各類票務代理服

5、務g 網(wǎng)絡數(shù)碼沖印服務4百聯(lián)綜合服務應用網(wǎng)工程方案設計我們在分析了百聯(lián)的實際情況后經(jīng)研究認為百聯(lián)集團雖然已在很多地理區(qū)域內(nèi)有網(wǎng)點資源和寬帶接入優(yōu)勢。但以前對社會各界未開展過VoIP電話等數(shù)據(jù)網(wǎng)絡業(yè)務。也就是說，從內(nèi)部環(huán)境來看，沒有數(shù)據(jù)運維的經(jīng)驗和市場運營策略積累。不管是網(wǎng)絡管理人員還是系統(tǒng)運行維護人員都急需一個起步級的平臺來在實驗中培訓和學習。同時，只有真正發(fā)展部分客戶，才能逐步的進入到網(wǎng)絡應用的市場中去，社會各界才會逐漸認同網(wǎng)絡應用服務提供商的地位。所以，我們不贊同其他集成商一動手就投資一千萬甚至幾千萬來建一個很高級的平臺與其他同類公司一爭高下的做法。我們充分考慮了百聯(lián)集團的現(xiàn)階段需求和今后

6、的平滑升級因素后，堅持以滿足應用需求為目的，基于切實可行的系統(tǒng)造價，豐富的組網(wǎng)手段，所設計的百聯(lián)綜合服務應用網(wǎng)是一個起步門檻很低而又可平滑升級，可持續(xù)發(fā)展的應用網(wǎng)絡。一期工程的拓補結(jié)構(gòu)規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺HP服務器做中心呼叫控制器（CMC），構(gòu)成網(wǎng)絡的核心。配置一臺HP服務器為VoIP呼叫計費服務器。配置兩臺HP內(nèi)容服務器為在線卡類銷售、票務代理、數(shù)碼沖印業(yè)務服務器。配置一臺路由器來聯(lián)接外部的internet出口，可同時設置電信、網(wǎng)通等多個出口。配置一臺硬件防火墻服務器來保護域內(nèi)的信息資料不受外來攻擊。一期工程所規(guī)劃的目標是；A.使用世紀網(wǎng)通cnc200語音網(wǎng)關，將

7、個各超市終端與總部聯(lián)系起來，實現(xiàn)點對點零話費。B.通過中心呼叫控制器（CMC）統(tǒng)一接入中國電信，各超市終端實現(xiàn)VoIP公話經(jīng)營。C.建成的網(wǎng)絡已帶有網(wǎng)管控制和認證計費系統(tǒng)（Smartbilling）。D. 建成電信卡類、票務代理和數(shù)碼沖印網(wǎng)絡平臺。E.一期工程的總造價將控制在150-200萬元之內(nèi)。系統(tǒng)自身可生成很多種在其它廣電寬帶網(wǎng)中已成功運營的市場策 略，以彌補百聯(lián)網(wǎng)絡應用經(jīng)營經(jīng)驗不足。該方案的起步投資小，系統(tǒng)的實際容量為注冊用戶5000戶，2000個并發(fā)用戶，最大峰值帶寬為75-95Mbps，采用穿透三層的WEB認證方式。用戶端一次性安裝VoIP電話計費客戶端軟件即可，軟件操作簡單方便。

8、設備及軟件清單；序號名 稱型 號描 述數(shù) 量1路由器-Cisco 3600冗余LAN接口 LAN toLAN12防火墻DCFW 18003個10/100Base-TX LAN口，包過濾，NAT13內(nèi)容服務器HPP4 /2.4G/雙CPU/512M/120G熱拔插/RAID卡24數(shù)據(jù)庫服務器PC SERVERP4 2.4MHz/512MHz內(nèi)存/3*120GB SCSI硬盤/RAID卡/Win2000 Advance Server/15中心呼叫控制器HP硬件+世紀網(wǎng)通CMC注冊用戶60000個，并發(fā)10000個16接入服務器D2133 BRAS-20003FastEthernet(Interna

9、l,External&Management) Port, Upto 2000 Online Users, RADUIS/LDAP Supported17企業(yè)級運營管理計費軟件CMC SmartbillingISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License18PC工作站聯(lián)想/天肌P4 2.4G/128M/40G/100M網(wǎng)卡19VoIP語音網(wǎng)關深圳世紀網(wǎng)通CNG300110數(shù)據(jù)庫Oralce

10、 8i5User license15網(wǎng)絡的運營管理及計費功能設計寬帶數(shù)據(jù)接入服務對廣電網(wǎng)絡而言是一門新型業(yè)務，很多廣電網(wǎng)絡公司往往在骨干網(wǎng)上投入巨資興建網(wǎng)絡。卻常常忽視運營管理平臺的建設，很多地方建成的網(wǎng)絡是毫無管理功能的網(wǎng)絡，只能對用戶實行無限制的簡單包月制，導致有限的數(shù)據(jù)資源被無限制的任意使用。而數(shù)據(jù)業(yè)務與電視節(jié)目不同的是電視節(jié)目不會因用戶觀看時間長短而增加成本。但是數(shù)據(jù)業(yè)務的internet資源是要按使用量的多少來支付成本的。所以一個網(wǎng)絡有無流量.帶寬控制及計費功能將直接影響這個網(wǎng)絡的贏利水平。51計費的重要性52運營計費系統(tǒng)的技術(shù)選型53邵陽市寬帶城域網(wǎng)計費服務系統(tǒng)解決方案6主要設備介

11、紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網(wǎng)絡的綜合管理控制平臺。為電信運營商、虛擬運營商、話費代理開展VOIP網(wǎng)絡電話業(yè)務提供強大的后臺支撐，是企業(yè)行業(yè)管理維護IP電話網(wǎng)絡及各級部門間統(tǒng)計結(jié)算的最佳選擇。二、功能模塊包括會話控制器（含GK功能）、EasyTrans?“易穿”媒體控制器、網(wǎng)絡管理中心三部分組成。支持世紀網(wǎng)通嵌入式系統(tǒng)專用硬件平臺及WINDOWSLINUX平臺三種版本三、系統(tǒng)功能特點會話控制器（含傳統(tǒng)GK功能）呼叫認證授權(quán)，本地和遠程認證。靈活的地址翻譯，及主被號碼替換。支持二級/平行網(wǎng)守，支持直連方式和媒體/信令路由方式。支持標準H.323

12、V3/4和SIP協(xié)議，以及不同協(xié)議相互識別、解析、轉(zhuǎn)換。分用戶域管理。可制定多種呼叫策略（費率、MOS值、時段、容量、接通率等）支持H.235安全機制，惡意RTP包頭檢測識別，防網(wǎng)絡攻擊。語音流量負載均衡 EasyTrans“易穿”媒體控制器l 為終端設備建立媒體和信令的專用傳輸隧道，可穿透多級防火墻/NAT設備和多網(wǎng)絡邊界。l 大容量媒體流幀級轉(zhuǎn)發(fā)l 網(wǎng)絡和語音QoS保障網(wǎng)絡管理全網(wǎng)設備輪詢監(jiān)視，及時通知被管設備語音端口和網(wǎng)絡端口的狀態(tài)出現(xiàn)宕機及其它故障時向控制臺報警支持防火墻/私網(wǎng)內(nèi)設備網(wǎng)管圖形化配置和控制終端設備設備軟件及其配置文件的圖形化升級和群升系統(tǒng)自含會話呼叫的統(tǒng)計和日志系統(tǒng)使用日

13、志四、系統(tǒng)性能最大呼叫承載能力5000路最大可管理終端設備容量5000最大并發(fā)呼叫數(shù) 5000路 附件二 Smartbilling計費系統(tǒng)附件三 CNG300/800語音網(wǎng)關指標名稱/型號CNG300CNG800/8CNG800/16語音接口數(shù)目2-4路4-8路8-16路VOIP通道數(shù)2-4路4-8路8-16路音頻接口2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO，8FXS，8FXO，4FXS+4FXO16FXS，16FXO，8FXS+8FXO以太網(wǎng)接口（RJ45）2個10/100M Base-T 串行設置接口（RJ45）一個RS232接口VOIP協(xié)議標準H323/

14、V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP*語音編碼G.723.1 (5.3K 6.4K b/S)G.729 A/B(8Kb/s)G.711 A/律(64Kb/S)G.Netcodes (2Kb/S)語音質(zhì)量保障技術(shù)支持語音優(yōu)先標記(TOS)；動態(tài)抖動緩沖區(qū)（JIFFER BUFFER）； 語音偵測（VAD）及舒適背景噪聲生成（CNG）； Diffserv網(wǎng)絡協(xié)議HTTP、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv內(nèi)嵌PPPOE及NAT功能支持支持DHCP自動獲取IP地址支持功能特性內(nèi)嵌“易穿”穿

15、透代理模塊 支持私網(wǎng) / 防火墻下設備的遠程網(wǎng)管(網(wǎng)管穿透) 支持私網(wǎng) / 防火墻下語音穿透 支持電話按鍵配置 支持遠程升級軟件功能 來電顯示/來電識別（Call ID識別) 系統(tǒng)語音信箱、用戶自定義語音提示功能 支持DNS動態(tài)網(wǎng)守地址尋址 回音消除G.168 (16-64ms)互通特性CISCO、Notel、Lucent、華為等符合ITU標準VOIP系統(tǒng)工作溫度10 705% 95%非凝結(jié)工作濕度工作電源外接12V，1.5A內(nèi)置開關電源100V-240V AC；50-60HZ結(jié)構(gòu)尺寸寬*高*深 16CM*4CM*21CM標準19英寸 1U高； 寬*高*深 44CM*4.44CM*30CM重

16、量1KG約4KG附件四 方正防火墻目前，國內(nèi)所采用的防火墻大都是國外的產(chǎn)品，留有安全方面的隱患，而網(wǎng)絡安全又是關系到國家安全的大事，基于安全方面的考慮，決定了我們中國人只能使用具有自主版權(quán)的防火墻產(chǎn)品。建議邵陽市寬帶城域網(wǎng)使用方正防火墻。4.1.產(chǎn)品概述FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對性很強，它已成為實現(xiàn)網(wǎng)絡安全的重要保障之一。FireGate防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應用環(huán)境，結(jié)合國內(nèi)外防火墻領域里的最新發(fā)展，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用

17、防火墻系統(tǒng)。FireGate不僅僅是一個包過濾的防火墻，還包括了大量的實用模塊，可以為用戶提供多方面的服務。FireGate防火墻所包含的模塊示意圖如下：4.2.系統(tǒng)特點一體化的硬件設計FireGate采用了一體化的硬件設計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。雙機熱備份通過雙機熱備份，本系統(tǒng)提供可靠的容錯/熱待機功能。備份防火墻服務器中存有主防火墻服務器的設置鏡像，當主防火墻因為某些原因不能正常運作，備份服務器可以在12秒鐘內(nèi)取代主服務器運作，充分保證整個網(wǎng)絡系統(tǒng)運作的穩(wěn)定性。完善的訪問控制FireGate符合國家最新防火墻安全

18、標準，采用了三級權(quán)限機制，分為管理員，策略員和審計員。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權(quán)機制。這樣他們共同地負責起一個安全的管理平臺。多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下，這樣可以方便用戶使用。使用網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡地址轉(zhuǎn)換。方正防火墻特點防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。目前防火墻技術(shù)的實現(xiàn)主要有兩種手段：一種是基于包過濾技術(shù)(Packetfiltering)；一種

19、是基于代理技術(shù)(Proxy)。無論是包過濾、還是應用代理，對系統(tǒng)的安全、基于網(wǎng)絡訪問的安全研究較多，但對網(wǎng)絡上流動的信息內(nèi)容本身的安全處理較少。而由于我們國家的特殊需求，需要對網(wǎng)絡上的信息安全進行分析，并加以過濾和控制。因此從我國實際的應用背景出發(fā)，不僅要求防火墻產(chǎn)品實現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時還要求對網(wǎng)絡信息的安全進行分析和控制。FireGate防火墻主要有以下特點：工作于透明橋結(jié)構(gòu)之上，實現(xiàn)于數(shù)據(jù)鏈路層，無須IP地址。實現(xiàn)了IP地址與MAC地址綁定的功能，對IP盜用進行了有效的控制。多種手段防范電子欺騙；提供界面友好的控制平臺，實現(xiàn)對防火墻安全策略的制定、訪問的記錄分析、狀態(tài)的監(jiān)控以及其它對

20、防火墻的控制功能；信息的記錄、分析模塊實現(xiàn)直觀的用戶訪問以及網(wǎng)上活動的實時監(jiān)控。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現(xiàn)可疑的連接，及時彌補網(wǎng)絡系統(tǒng)的漏洞或進行責任追究。分布式模型設計使得在某一主機上運行的管理模塊可以管理多臺監(jiān)控主機的運行。完全保留以太網(wǎng)的高速度，對網(wǎng)絡性能影響極小。4.4.FireGate防火墻優(yōu)勢.4.4.1.多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個端口構(gòu)成一個以太網(wǎng)交換機，防火墻本身沒有IP地址，在IP層透明。可以將任意三個物理網(wǎng)絡連接起來構(gòu)成一個互通的物理網(wǎng)絡。當防火墻工作在交換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器

21、的內(nèi)部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡拓撲結(jié)構(gòu)和各主機與設備的網(wǎng)絡設置。B： 路由模式：防火墻本身構(gòu)成3個網(wǎng)絡間的路由器，3個界面分別具有不同的IP地址。三個網(wǎng)絡中的主機通過該路由進行通信。當防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務。在沒有安裝FireGate防火墻的時候典型網(wǎng)絡結(jié)構(gòu)圖如下:在安

22、裝了FireGate防火墻的時候網(wǎng)絡結(jié)構(gòu)圖如下:4.3.4.2.包過濾防火墻FireGate包過濾的功能是對指定IP包進行包過濾，并且按照設定策略對IP包進行統(tǒng)計和日志記錄，主要根據(jù)IP包的如下信息進行過濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報文類型域和代碼域l 碎片包l 其它標志位，如SYN，ACK位4.3.4.3.高效的過濾有些防火墻在安裝上以后對WEB服務器的吞吐能力影響很大，造成性能的降低。由于FireGate防火墻采用了3I（Intelligent IP Identifying）技

23、術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此FireGate防火墻不會對性能造成任何影響。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達到幾萬個左右。4.3.4.4.碎片處理功能由于很多系統(tǒng)平臺，包括一些路由器對IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務等攻擊，F(xiàn)ireGate防火墻能夠識別出IP碎片并且進行控制，這樣一來通過禁止IP碎片通過FireGate，防止了這樣的問題的產(chǎn)生。4.3.4.5.防SYN Flood攻擊一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一

24、緩沖區(qū)充滿了虛假連接的初始信息，該服務器就會對接下來的連接停止響應，直到緩沖區(qū)里的連接企圖超時。典型的就是Syn Flood攻擊,通過大量的虛假的Syn包使服務器速度變慢，甚至是死機。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。FireGate防火墻使用了兩種方式來反Syn Flood攻擊，一種方法就是通過設置單位時間內(nèi)的SYN包數(shù)量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網(wǎng)

25、絡的阻塞。4.3.4.6.強大的狀態(tài)檢測功能FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進行訪問控制，同時還對任何網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進行匹配，而FireGate對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網(wǎng)絡擁塞。4.4.輕型/復雜IDS(入侵檢測系統(tǒng))4.4.1.反端口掃描一般黑客如果要對一個網(wǎng)站發(fā)動攻擊，首先都要掃描目標服務器的端口，確定服務器上

26、開啟的服務，然后做出相應的入侵方式。 FireGate入侵檢測系統(tǒng)能夠在黑客掃描網(wǎng)站的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進行后面的攻擊。FireGate入侵檢測系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對全部端口同時進行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。4.4.2.可以防范1500余種攻擊方式1. 檢測多種DoS攻擊DoS(拒絕服務攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務失效、獨占或盜用資源以及刪除數(shù)據(jù)。最

27、常見的就是服務失效方式，通過DoS攻擊可以使一個服務器停止服務，從而造成巨大的損失。FireGate入侵檢測系統(tǒng)能夠檢測包括IGMP攻擊、TearDrop、LAND、WinNuke等多種DoS攻擊。從而使被托管的服務器處于安全的保護之中。和其它一樣， FireGate入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有DoS攻擊，立即在線報警，記錄日志。2. 檢測多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關注的熱點。DDoS(分布式拒絕服務)是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點，將它們設計成控制點，這些控制點控制了Internet大量的主機，將它們設計成攻擊點，攻擊

28、點中裝載了攻擊程序，正是由這些攻擊點計算機對攻擊目標發(fā)動的攻擊。這種結(jié)構(gòu)使入侵者遠離攻擊的目標，隱藏了入侵者的具體位置。FireGate入侵檢測系統(tǒng)能夠檢測包括TFN、Trin00、shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進行DDoS攻擊的主要工具。3. 檢測保護子網(wǎng)中是否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡中，會造成嚴重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。FireGate入侵檢測系統(tǒng)能夠檢測網(wǎng)絡中是否存在流行的BO、BO2000、NetSphere、DeepThroat、W

29、inCrash、BackConstruction等多種后門或木馬程序。4. 檢測多種針對Finger服務的攻擊Finger服務于查詢用戶的信息，包括網(wǎng)上成員的真實姓名、用戶名、最近的登錄時間、地點等，也可以用來顯示當前登錄在機器上的所有用戶名，這對于入侵者來說是無價之寶，因為它能告訴他在本機上的有效的登錄名。FireGate入侵檢測系統(tǒng)能夠檢測針對Finger服務攻擊的如Finger Bomb、Finger search、FINGER-ProbeNull等掃描和攻擊。5. 檢測多種針對FTP服務的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD、WuF

30、TP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD發(fā)起的FTP-site-exec、 FTP-user-root、Buffer Overflow等多種嘗試和攻擊行為。6. 檢測基于NetBIOS的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)贜etBIOS的如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多種嘗試和攻擊行為進行檢測。7. 檢測緩沖區(qū)溢出類型攻擊FireGate入侵檢測系統(tǒng)能夠?qū)VERFLOW-x86-solaris-nlps、OVERFLOW-x86-wind

31、ows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百種堆棧溢出攻擊進行檢測。8. 檢測基于RPC的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)赗PC的如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進行檢測。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail、E

32、xchange Server、Qmail等所發(fā)起的SMTP-expn-root、SMTP Relaying Denied等試探和攻擊進行檢測。10. 檢測基于Telnet的攻擊FireGate入侵檢測系統(tǒng)能針對基于Telnet的包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多種嘗試和攻擊。11. 檢測網(wǎng)絡上傳輸?shù)牟《竞腿湎xFireGate入侵檢測系統(tǒng)能在計算機病毒和蠕蟲傳輸?shù)剿拗鳈C之前檢測出來，包括流行的Happy99、IloveU、PrettyPark等百種蠕蟲和病毒，防患

33、于未然。12. 檢測CGI攻擊FireGate入侵檢測系統(tǒng)能檢測出包括針對PHF、NPH、pfdisplay.cgi等已知上百種的有安全隱患的CGI進行的探測和攻擊方式。13. 檢測針對WEB Server的FrontPage擴展進行的攻擊14. 檢測針對WEB Server的ColdFusion擴展進行的攻擊15. 檢測針對 MicroSoft IIS server進行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IIS-exec-srch、IIS-asp-srch等已知的漏洞和弱點的攻擊行為。16. 檢測利用ICMP進行的掃描和攻擊。FireGate入侵檢

34、測系統(tǒng)能對利用這種方式進行的網(wǎng)絡拓撲探測所產(chǎn)生的PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包進行檢測。17. 檢測利用Traceroute對網(wǎng)絡的探測18. 檢測ActiveX，JaveApplet的傳輸FireGate入侵檢測系統(tǒng)能通過匹配網(wǎng)絡包內(nèi)容，可以檢測特定的ActiveX、JaveApplet等程序在網(wǎng)絡上的傳輸。20 檢測對其他可能的網(wǎng)絡服務進行的攻擊4.4.3在線升級和實時報警入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網(wǎng)站進行在線升級，而且我們提

35、供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。報警是否及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進行攻擊的時候就能夠做出響應，那么管理員會有足夠的時間進行防護。 FireGate的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應，通過Email或手機通知管理員。同時會啟動自動防范系統(tǒng)進行防范。4.4.4.入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡的多種掃描，檢測到對網(wǎng)絡的攻擊行為，并能夠?qū)粜袨檫M行響應，包括自動防范及用戶自定義安全響應策略等。系統(tǒng)支持“DMZ到外部網(wǎng)”和“內(nèi)部網(wǎng)到外部網(wǎng)”的地址轉(zhuǎn)換

36、和反向地址轉(zhuǎn)換，也就是說內(nèi)部網(wǎng)主機和DMZ區(qū)的主機都可以采用保留地址，從而減少注冊IP地址的使用。通過地址轉(zhuǎn)換轉(zhuǎn)換可以更有效地利用IP地址資源，并且提供更好的安全性。4.5.代理服務器功能對于WEB用戶來說，F(xiàn)ireGate是一個高性能的代理緩存服務器，F(xiàn)ireGate支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個單獨的、非模塊化的、I/O驅(qū)動的進程來處理所有的客戶端請求。FireGate將數(shù)據(jù)元緩存在內(nèi)存中，同時也緩存DNS查詢的結(jié)果。除此之外，F(xiàn)ireGate還支持非模塊化的DNS查詢，對失敗的請求進行消極緩存。FireGate支持SSL，支持訪問

37、控制。用戶可以通過編輯“黑名單”和“白名單”設置“禁止用戶訪問的站點”和“僅允許訪問的站點”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，F(xiàn)ireGate防火墻可以對該列表進行匹配，禁止對列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。FireGate防火墻提供的URL級的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動的主頁等。另外通過對內(nèi)部網(wǎng)的WWW服務器的某些URL屏蔽，可以消除服務器本身的安全漏洞，從而對WWW服務器進行保護。4.6.雙機熱備FireGate防火墻系統(tǒng)能夠在網(wǎng)絡中智能地尋找與其對等的備份機，并且使備份機自動進入等待狀態(tài)，而一旦

38、備份機發(fā)現(xiàn)主工作機失效，可及時啟動，防止網(wǎng)絡中斷事故的發(fā)生。 其智能識別技術(shù)甚至可以支持多于兩臺以上的FireGate在網(wǎng)絡上互為備份，適用于對可靠性要求極高的場合。4.7.強大的審計功能審計功能是FireGate非常強大的一個部分，目前國內(nèi)防火墻的審計功能都非常不完善，F(xiàn)ireGate提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于過于復雜的日志比較難以理解，我們將日志記錄分成了若干部分，而且每一個部分都是可以單獨進行查詢和管理的，這樣一來就可以使用戶對防火墻的情況有一個非常透徹的了解。FireGate中審計功能有著非常完善的權(quán)限管理，有專門的審計員來對審計內(nèi)容進行管理，在審計中又分成了若干

39、級別的權(quán)限。這樣可以方便管理員管理審計內(nèi)容。4.8.基于PKI的高級授權(quán)認證PKI（Public Key Infrastructure）是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務安全的一種體系，是一種基礎設施，網(wǎng)絡通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)（CA/RA）是PKI不可缺的組成部分。網(wǎng)絡，特別是Internet網(wǎng)絡的安全應用已經(jīng)離不開 PKI技術(shù)的支持。網(wǎng)絡應用中的機密性、真實性、完整性、不可否認性和存取控制等安全需 求只有P

40、KI技術(shù)才能滿足。PKI在國外已經(jīng)開始實際應用。在美國，隨著電 子商務的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實際中得到了一定程度的應用，就連某些國家都已經(jīng)開始接受電子簽名的檔案。FireGate的授權(quán)認證是基于PKI基礎之上，因此完全性極高。有些防火墻的認證機制采用OTP（Once Time Password），或者采用了靜態(tài)口令機制。比如說，靜態(tài)密碼是用戶和機器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機器所認為的那個人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機器之間必須共知一條通行短語，而這通行短語對外界是完全保密的。和靜態(tài)口令不同的是，這個通行短

41、語并不在網(wǎng)絡上進行傳輸，所以黑客通過網(wǎng)絡竊聽是不可能的。但是使用起來沒有使用證書認證方便。因此FireGate基于PKI的高級授權(quán)認證機制在技術(shù)上面非常的先進，超越了大部分的防火墻產(chǎn)品。4.9.集中管理根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當復雜，要想成功的維護防火墻，要求防火墻管理員對網(wǎng)絡安全攻擊的手段及其與系統(tǒng)配置的關系有相當深刻的了解，而且防火墻的安全策略無法進行集中管理，這些都造成了安全策略的失效。而FireGate防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理

42、界面直觀，易于操作。可以通過一個控制機對多臺FireGate進行集中式的管理。4.10.實時控制和日志轉(zhuǎn)存管理員可以通過控制界面對防火墻進行實時的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于FireGate每天都會記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此FireGate的日志監(jiān)視系統(tǒng)會將服務器上面的日志下載到管理員的機器上面，管理員可以對它進行編輯和保存。4.11.靈活的配置方式4.11.1.可視化配置FireGate的配置都是在Windows下面的圖形界面中進行的，因此配置起來比較方便，對于用戶而言，無需了解過多的安全知識，就可以配置

43、好FireGate，而且讓之工作起來。4.11.2.預置包過濾規(guī)則集預置的包過濾規(guī)則集是對常見的防火墻應用進行總結(jié)歸納出的防火墻規(guī)則模板，每個預置的包過濾規(guī)則集都對應了一種比較典型的網(wǎng)絡布置情況。對于常規(guī)的應用，用戶可以直接調(diào)用預置的包過濾規(guī)則集來完成，大大簡化了用戶對防火墻的設置工作。由于FireGate防火墻是一種包過濾類型的防火墻，因此通過規(guī)則集來進行包的檢查，而不同的網(wǎng)絡布置情況決定了不同的包過濾規(guī)則集，因此FireGate防火墻預置了對應多種網(wǎng)絡布置情況的包過濾規(guī)則供用戶選擇使用。FireGate防火墻可以靈活地滿足不同的安全需要，為企業(yè)，托管服務器等提供一個不同層次和不同方位的安全

44、保障。而且完善的審計記錄和流量統(tǒng)計信息為用戶提供了大量有用的記錄和信息。FireGate典型應用于IDC、金融、證券需要重點保護的計算機網(wǎng)絡，大、中、小型企業(yè)的計算機網(wǎng)絡以及ICP、ISP的托管主機群。附件五 Cisco 3600路由器Cisco 3600是世界第一個真正的多功能應用支持平臺，在單獨一個服務器上廣泛支持分支機構(gòu)/企業(yè)撥號訪問應用，LAN到LAN或者路由選擇應用以及多服務應用。它提供前所未有的模塊化選項，可使用多種不同的網(wǎng) 絡模塊，它還具有強大的靈活性，可針對客戶的不同應用環(huán)境，提供各種配置選項，而且最重要的是，它具有支持所有這些應用的優(yōu)質(zhì)運行性能。-作為一個多功能解決方案，你可

45、以依靠Cisco 3600平臺的出眾性能、安全性以及靈活性來滿足你未來多年的需要。與具有綜合管理、配置以及單供應商支持的一臺多功能設備相比，管理、配置以及支持多臺設備。 此外，Cisco IOSTM軟件包含許多可提供安全性、可靠性以及WAN優(yōu)化的功能，在任何應用環(huán)境中，都可以使用Cisco IOSA功能來控制不斷上升的WAN費用。Cisco IOS軟件支持在幀中繼、專線以及撥號網(wǎng)絡上的數(shù)據(jù)壓縮。Cisco IOS軟件擁有廣泛的多媒體功能，可以支持諸如在WAN上的電話會議那樣的新型應用。資源預保留協(xié)議（RSVP）、非協(xié)議依賴性的多點廣播（PIM）以及加權(quán)公平排隊（WF）等功能可以保證一貫的服務質(zhì)

46、量以及較高的應用可用性。A.Cisco 3600提供的多種功能 Cisco 3600的目標是滿足不斷發(fā)展的需要。Cisco 3600在一個模塊化的機箱中有不同的模塊選擇可以最大限度地保護用戶投資，其性能可以處理上述不同的需要，而且還有能力滿足將來的發(fā)展需求。例如，作為一個ISDN連接解決方案，配有集成數(shù)字調(diào)制解調(diào)器的Cisco 3600ISDN PRI連接服務器非常適合那些機架空間有限的機構(gòu)。Cisco 3600配有冗余LAN接口，包括提供數(shù)據(jù)回拖到聚合點，同時，它的冗余LAN接口，包括提供快速以太網(wǎng)以及令牌網(wǎng)的功能，可以靈活地置于各種不同的LAN環(huán)境中。B.Cisco 3600提供多協(xié)議撥號

47、連接成功的遠程連接意味著能夠幾次透明地連接到任何地點的用戶，同時可支持任何協(xié)議。遠程和移動用戶的不同需要使ISDN和異步連接都變得十分必要，今天，用戶希望獲得與本地訪問同樣的連接服務質(zhì)量。為了滿足這種要求，遠程訪問服務器必須成為整個網(wǎng)絡解決方案的一部分，并且和它一起擴展以滿足不斷增長的遠程訪問的需要。 C.系統(tǒng)功能 5.3.1.全功能的Cisco ISO -Cisco 3600是Cisco 整套端到端連接解決方案中的一部分。沒有任何其它的供應商能夠向遠程用戶提供這么多的Intermir訪問以及擴展選擇。而且Cisco ISO軟件有能力在用戶負擔得起的前提下布置撥號虛擬專用網(wǎng)絡（Dial VPN

48、S），使Cisco 產(chǎn)品的功能又得到了相應的提升。用戶還能夠通過數(shù)據(jù)壓縮等帶寬優(yōu)化技術(shù)來節(jié)省開支，并且可以布置高質(zhì)量的網(wǎng)絡安全防火墻以及數(shù)據(jù)加密功能。5.3.2.安全性 -安全已成為今天大多數(shù)網(wǎng)絡管理者關心的主要問題，Cisco 3600，問題配合廣為流行、功能強大的Cisco ISO軟件，可以為客戶核心網(wǎng)絡提供全面的安全保障。對于遠程用戶環(huán)境，Cisco 3600將該項已被證明是有效的核心安全技術(shù)擴展到混合介質(zhì)撥入站點。Cisco ISO軟件支持的安全功能包括訪問清單、侵入事件記錄、遠程訪問撥入用戶服務（RADIUS）、Kerberos V以及具有驗證、授權(quán)和記帳（AAA）的TACACS。

49、5.3.3.管理 -Cisco 3600提供一套稱為CiscoWorks的完善的圖形用戶界面（GUI）管理工具，可對Cisco 3600機箱及其相關網(wǎng)絡模塊進行圖形化的配置、監(jiān)控和調(diào)試。Cisco配置管理功能向網(wǎng)絡管理者提供對網(wǎng)絡統(tǒng)計數(shù)據(jù)的完全控制以及在一個中央控制中心配置和調(diào)節(jié)網(wǎng)絡操作的能力。Cisco ISO軟件包含全面的故障分析工具，可以大大減少問題隔離和恢復所需的時間和費用。-針對Cisco 3600提供的內(nèi)部調(diào)制解調(diào)器，一套先進的可選調(diào)制解調(diào)器管理功能可供使用，它提供廣泛的帶寬優(yōu)化功能，可以幫助分支機構(gòu)和企業(yè)客戶降低運行地理位置分散的廣域網(wǎng)絡的重復費用。調(diào)制解調(diào)器管理功能集包括呼人過

50、程監(jiān)視hard and busy out、分組、一個用戶定義的警告域值以及統(tǒng)計功能。管理人員可查看調(diào)制解調(diào)器的調(diào)制配置、調(diào)制解調(diào)器協(xié)議、調(diào)制解調(diào)器EIA/TIB2信號狀態(tài)。調(diào)制解調(diào)器發(fā)送和接收速率以及模擬信噪比等實時（當時或以前的呼叫）。調(diào)制解調(diào)器可以用管理網(wǎng)絡其它部分的相同工具來管理，從而為網(wǎng)絡管理者提供了一個在中央管理點進行管理的解決方案。5.3.4.可擴展性 多鏈路點到點協(xié)議（MP）使用戶可利用ISDN連接的優(yōu)勢，并且可以使用兩個B通道達到128kbps數(shù)據(jù)吞吐量。異步用戶如果在其工作站上獲得支持，使用兩個通過兩條電話線連接的調(diào)制器，他們也能夠受益于該功能。為了滿足用戶不斷增長的需求，需

51、要擴展Cisco 3600解決方案，而MMP支持是實現(xiàn)這種擴展的一個關鍵因素。MMP使呼叫能夠被鏈接起來，而不管每個呼叫被 置于哪個物理機箱，從而能將Cisco 3600機箱堆放起來并視為一個撥入池。5.5.Cisco 3600系列概覽 下表詳細列出了目前可提供的Cisco 3600系列的平臺和網(wǎng)模塊。對于郵電客戶來說，直流電源是唯一選擇，Cisco 3600產(chǎn)品提供直流型號這些電源也可作為備用件訂購，而且它們都是現(xiàn)場可替換部件（FRUs），備用電源在清單的編號為PWR 3620DC3640DC。 Cisco 3600系列是一個具有優(yōu)越性能和靈活性的全面解決方案，您可以依賴它，迎接未來的挑戰(zhàn)。

52、你知道你正在和一個可以依賴的供應商合作。Cisco 系統(tǒng)公司以其出色的服務和支持，以及世人皆知的高性、高可靠性和標準的高技術(shù)，支持每一個它生產(chǎn)的產(chǎn)品。附件六 寬帶服務路由器CMTSACE/RiverDelta BSR1000寬帶服務路由器RiverDelta BSR1000是小型的低成本的解決方案，適用于小型分區(qū)分配中心或?qū)拵Х帐袌霭l(fā)展的早期階段中較大場所。它可作為單獨放置的設備使用，或作為低成本有線網(wǎng)絡廷伸所需的小型設備中的一種。這種增加用戶進行的簡單易用的分配CMTS可以幫助運營商們發(fā)展在定義、配置及管理方面極具優(yōu)勢的寬帶服務它執(zhí)行Networks Smartflow的單數(shù)據(jù)包處理，低成

53、本有效的廷伸豐富的QoS支持，傳送給多用戶商。可節(jié)省空間的BSR1000的體積非常小巧，是小型分區(qū)分配中心理想的選擇。它可以由非技術(shù)人員進行安裝用于擴大服務范圍，它可發(fā)當作第2層橋接器使用或作為有增強的安全性特色功能的CMTS路由器使用。新一代分配平臺 BSR1000是根據(jù)DOCSIS1.0、DOCSIS1.1、及PacketCable1.0標準設計的。這種簡潔的CMTS與快速以太網(wǎng)上行傳輸相配置可連本地數(shù)據(jù)網(wǎng)絡；或與可選的雙向上行傳輸（千兆比特光接口或快速以太網(wǎng)接口）相配置可連接光傳輸環(huán)并支持鏈接。BSR1000有節(jié)省空間的IU“壓縮式”盒狀底盤，允許MSO在空間非常珍貴的最小型的場所內(nèi)充分

54、利用寬帶服務結(jié)構(gòu)。當數(shù)據(jù)集中到運營商級的BSR6400的時候，系統(tǒng)實行可測量的SLA來進行隔離、監(jiān)控和地址管理。這種解決方案可以進行低成本有效地服務領域的擴大，并且它可以傳送數(shù)據(jù)形態(tài)使SLA跨越HFC網(wǎng)絡進行端對端傳送。 分配QoS和多服務支持寬帶有線網(wǎng)絡傳達室送的能力要求滿足集中的數(shù)據(jù)、聲音、多媒體服務的傳送，BSR1000是一個靈活平臺使這些新一代的服務通過IP實現(xiàn)。它提供寬帶多種服務的支持并且運營商可以從創(chuàng)新的新服務項目中迅速更新和增加收益渠道。BSR1000允許電纜運營商支持一個供應商提供多種服務，同時也允許多個服務商每個僅供提供一種服務。運營商能夠通過Cable Modem將可測量的

55、QoS發(fā)送到多個服務商的網(wǎng)絡中心。通過將多個BSR1000中的數(shù)據(jù)流集中到分區(qū)端的一個BSR6400里，運營商能夠提供低成本有效的電纜接入同時保證按內(nèi)容分類的路由處理。SmartFlow允許運營商根據(jù)數(shù)據(jù)包內(nèi)容將數(shù)據(jù)包分類到數(shù)據(jù)流中并且為HFC網(wǎng)絡中使用DOCSIS1.1、的每個數(shù)據(jù)流進行適合的QoS處理或為分區(qū)及骨干網(wǎng)絡提Diff-Serv或MPSL。Qos的處理-例如：Diff-Serv的服務類型（TOS）再映射-就是由根據(jù)每個服務商規(guī)定的條款制定的。系統(tǒng)可以提供用戶使用靜態(tài)統(tǒng)計且可以保證并書面約定第個商的可以通過普通的有線網(wǎng)絡結(jié)構(gòu)有效的傳送到用戶。 增強的安全性。運營商可以將BSR100

56、0作為一個自設置CMTS路由器或第2層CMTS使用。當作為一個安全的、自設置的第2層CMTS使用時，BSR1000能夠隔離Cable Modem的媒體接入控制（MAC）領域，并防止任何Cable Modem的使用者想繞過系統(tǒng)設置的網(wǎng)關進入系統(tǒng)的企圖。這允許運營商在開放式接入應用中用MAC地址約束網(wǎng)絡服務供應商（ISP），或限制對只提供給授權(quán)的用戶的特殊內(nèi)容的訪問。只有被確診的modem才能允許接入HFC網(wǎng)絡。如果Cable Modem的MAC地址沒有被確認，在路由方式的操作下，BSR1000會拒絕其接入網(wǎng)絡或改變其對話方式將其轉(zhuǎn)到自服務器上。另處，當處于路由方式的操作下，BSR1000支持代理

57、地址解決協(xié)議（ARP）來映象Cable Modem的地址。 網(wǎng)絡管理及控制。BSR1000為管理、控制和實施提供幾種選取項。即使在人員條件有限的前端，BSR1000的故障解決方式也很簡單易懂的LEDs進行診斷，同時遙控管理的能力也支持服務供應配置和故障判斷的功能應用。分割管理允許每一個供應商查看它自己的網(wǎng)絡管理環(huán)境，并控制它在HFC網(wǎng)絡協(xié)議等到的資源。系統(tǒng)支持簡單網(wǎng)絡管理協(xié)議（SNMP）v1和v3。ACE則支持所有標準的MIB，并為提供MIB來監(jiān)測和控制BSR1000增值特色功能系統(tǒng)支持文件傳送（FTP）可進行大量數(shù)據(jù)的傳輸，能與現(xiàn)有的網(wǎng)絡管理設備相兼容。BSR1000也提供與Cisco相兼容

58、的CLI，使用簡便；并同傳統(tǒng)設備系統(tǒng)也兼容。CLI支持各種書寫版本，并能支持ASCII版命令文件的上載，下載和運行。 用戶管理。BSR1000用戶管理及供應系統(tǒng)是一個強大的服務建立及供應的系統(tǒng)，它瞄準的是那些想為對成千上萬的用戶提供的快速定義及配置的，高度用戶化的IP服務的運營商。它在分區(qū)前端與一個BSR1000連接，并跨越BSR6400和分配的BSR1000平臺提供用戶管理。BSR用戶管理和服務提供系統(tǒng)是可升級的開放式接入軟件解決方案，可使寬帶有線網(wǎng)絡的競爭性的接入更加簡單并易于管理。運營商能創(chuàng)建QoS 規(guī)定和服務簡介并應用于單個用戶或集團用戶，它們可以簡化服務供應和迅速增加新用戶。用戶管理

59、的特色功能是基于開放式系統(tǒng)接口創(chuàng)建的，并允許MSO建立并強制執(zhí)行以每個用戶為基礎的服務分類的規(guī)定。電纜運營商能將BSR系弄設備與現(xiàn)有的用于計費和客戶服務的運營支持系統(tǒng)（OSS）結(jié)構(gòu)完好地結(jié)合。它使現(xiàn)有的OSS與計費系統(tǒng)通過開放式接口集成，包括CORBA和LDAP。系統(tǒng)通過XML同樣支持用戶交換QoS和服務數(shù)據(jù)。計量服務可提供用多種多樣的計費方法，運營商可以通過利用詳細數(shù)據(jù)追蹤，生成精確的發(fā)柰，來從廣大用戶和服務供應合作伙伴處獲得最大限度的利潤。他們可以為每一位使用者建立簡介頁面甚至允許他們通過Web接口進行自給服務。MSO可以提供域名命名系統(tǒng)（DNS）服務器動態(tài)主機配置協(xié)議（DHCP）服務器和

60、其他Web服務器同計費和用戶使用統(tǒng)計應用的互用。用戶管理和服務供應系統(tǒng)通過目錄進行交流，以便儲存服務簡介和QoS規(guī)定以及用戶和供應商信息，并與傳統(tǒng)系統(tǒng)互用。性能指標 網(wǎng)絡管理和服務提供簡潔的分配式CMTS*Cisco CLI *形狀：1U高的“壓縮式”盒狀*SNMP v1HE *高：1.75英寸、4.45cm*ACE MIBS *寬：19英寸、48.3cm*LDAP v3 *長：16.75英寸、42.5cm*COPS 客戶*全配置重量：9.8磅、5.4公斤*RADIUS互用性 *V xWorks 實時操作系統(tǒng)*供應、統(tǒng)計和收費應用的開發(fā)式接口 *電源：90-260V；47-63Hz*HTTP/

61、Java/XML 的集成*工作溫度：-550度*DHCP 繼電器*不能工作的溫度：-250度，5070度*多水平的帳號/密碼鑒定*工作溫度：10%-90%，無凝結(jié)*安全的遠程登錄*不能工作的溫度：5%以下，90%以上，無*多團體排列 凝結(jié)網(wǎng)絡接口支持全射頻頻譜 *快速以太網(wǎng)*4路上行DOCSIS接收 *可選雙接口-光的快速或千兆比特以太網(wǎng)橋*上行調(diào)制-QPSK和16QAM 接和路由*上行每頻道比特率-0. 32010.24 兆比特/秒*第2層橋接*上行輸入頻率范圍-542 MHz*第3層路由處理*下行DOCSIS傳輸 *RIP v1和v2*射頻RF輸出的集成上變頻器*SmartFlow 線速度傳送和數(shù)據(jù)流分類*下行調(diào)制-64QAM 和256QAM *線速度QoS*下行輸出頻率范圍-88857MHz (頻道中心)*輸出頻率步幅大小-32. 0KHz*每頻道下行比特率-27兆比特/秒（64QAM）和38兆比特/秒（256QAM）