杭州国家软件园区基地公共服务与技术支撑平台作为一个大的IP园区网网络，为整个杭州的软件企业提供了IDC主机托管、电子教学、信息平台、Internet接入、综合测试实验室等多种服务，所有的数据都通过骨干网络进行转发。随着平台网络的扩展及接入软件企业的迅速增加，开放性、自由性的增加的同时，网络系统的安全风险也变的更加严重和复杂，从而对网络所具有的安全性提出了更高的要求。

• 

方案特点：

• FWSM

• 在基地中心，中心服务器不仅要给各企业用户和公网用户提供各类服务，同时还要为企业提供多种应用平台。而且各中心服务区之间也存在多种访问策略关系。因此基地中心的网络系统相对较复杂，安全性也显得尤为重要了。

• 为保障基地中心主机的安全，在基地中心现有骨干路由交换机Catalyst6509上使用防火墙模块FWSM实现全网的安全防范及数据过滤。Cisco FWSM是业界性能最高的防火墙解决方案，每个模块的吞吐量能够扩展到5GB以上。FWSM完全支持VLAN，提供动态路由，可支持多达100个的DMZ。将基地服务中心各服务区域划分到不同的DMZ区，根据其安全级别分配不同的权限，除必要的访问策略外，同时关闭所有不必要的各端口，从而有效确保基地中心服务器的安全。

• IDSM

• 防火墙虽然能抵御网络外部安全威胁，但对网络内部发起的攻击无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时入侵监测技术。监控网络上的数据流，从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击。

• 此方案中，我们选用Cisco IDSM-2, 其每秒500Mb（Mbps）的IDS检测能力可以提供高速的分组检查功能，让用户可以为各种类型的网络和流量提供更多的保护。在数据流的捕捉上，模块支持以VLAN访问控制列表（VACL）和SPAN获取功能来提供对数据流的访问权限。其中VACL技术可以支持无限个VLAN，而且可以根据用户需要，动态的调整自己感兴趣的VLAN，IP地址或某些端口，从而确保有效而准确的捕捉网络流量。

• VPN

• 出差员工或者在家办公员工采用公网网络进行连接，其最大的弱点在于缺乏足够的安全性。为此，我们使用VPN的解决方案。VPN用其特有的IPSec隧道加密技术对公网中的数据进行加密，保障数据在公网传输的安全性。

• 在6509上配以VPN模块，提供外网的VPN接入终结，这个模块利用了最新的加密硬件加速技术，能够为大型分组（500字节以上）提供1.9Gpbs的3DES流量，为普通大小的分组（300字节）提供1.6Gbps的3DES流量。另外，它不但能同时端接8000条IPSec通道，还能以高于当前产品的速度设置这些通道。同时使用ACS身份认证服务器，对VPN拨入用户的认证、记账及权限策略分配，这样，不同的用户以不同的身份进行登陆，以限制其可访问区域，从而大大提高移动用户网络使用的安全性。

• 网管软件VMS

• 由于该项目中网络情况较复杂，对设备的调试配置要求更高。为更有效的对网络安全设备进行配置及监控，我们选用了Ciscoworks2000 VMS网管软件。它可以对上述FWSM、IDSM和VPN模块进行图形化界面的配置外，还可以对FWSM及IDSM进行事件监控，使得各设备更易于配置管理，更加善于检测和响应威胁，同时还能对潜在的攻击向管理人员发出警报。网管可以轻松的在自己的桌面PC上，对所有网络安全设备进行统一的管理和监控，大大提高了网络维护的效率，也使得网管可以更及时准确的对各种网络安全隐患或问题做出响应。