方案详细介绍
设 计 目 标
TL-100互联网功能服务器网络解决方案,是针对目前中国国内IP地址资源紧张,中小企业信息化需求迫切的情况,专门设计的一套便利、安全、经济、稳定的中小企业网络解决方案。
TL-100互联网功能服务器网络解决方案主要解决了目前中小企业的电子邮件、WEB信息浏览、FTP文件传输等常见的互联网服务需求以及网络安全和网络管理服务问题。由于TL-100互联网功能服务器具备远程管理得功能,中小企业可以通过购买TeleByte提供的安全管理服务,享受专业的网络管理和维护服务。
实 施 方 式
通过对于Linux系统的开发,使用户只需填写几项简单的参数,就能完成TL-100互联网功能服务器的INTERNET接入配置和各项网络服务的配置工作。
TL-100互联网功能服务器正对目前国内的网络条件,提供ADSL, ISDN, RJ-45以太网接口三种广域网路接口。对于广域网,通过PPP(PPPoE)协议,实时根据内部网络对于INTERNET访问的需求(web浏览、E-mail等),自动完成连接ISP和挂断ISP线路的工作。(当TL-100互联网功能服务器检测到通往ISP的链路超过300秒无数据时,自动切断于ISP的连接)。
对于中小企业的局域网内部,TL-100互联网功能服务器通过内置的DHCP服务器,DNS服务器,POP3服务器,SMTP服务器,WEB代理服务器等各项互联网常用的服务,使内部网络的计算机通过TL-100互联网功能服务器这扇“大门”访问外部世界。
对于企业内部网络和INTERNET之间的信息传输,TL-100互联网功能服务器设计了非常灵活的控制手段和非常详细的信息流动日志记录。同时,由于采用Linux操作系统,利用Linux的Kernel,实施严格的数据包过滤策略,确保由INTERNET对中小企业内部网络的入侵的几率最小。
针对目前供内IP地址资源紧张的现实情况,TL-100互联网功能服务器通过天傲世纪公司在国内电信设置的邮件服务器的转发,能在没有固定IP的网络条件下实现企业域名内电子邮件的稳定、安全的收发工作。
遵循原则
TeleByte互联网安全解决方案首要考虑的问题是互联网使用过程中的信息安全管理和用户使用得经济性的问题。TeleByte互联网安全解决方案实施中遵循的信息安全原则是:网络信息的流动和网络信息使用方式可分级、可分类、可控制、可审计安全。TeleByte互联网安全解决方案实施中遵循的经济性原则是:尽量节省用户信息系统的整体使用成本(包括硬件、软件、网络通讯费用、系统维护费用)。
安全原则实施
遵照上述安全原则,TeleByte互联网安全解决方案在逻辑上,将网络分为可信网络(TL-100互联网功能服务器连接企业内部网络LAN 和 TL-100互联网功能服务器允许连接的可信网络服务器组成的网络)和不可信网络(INTERNET上其它服务器和主机);将信息分为允许使用的信息和不允许使用的信息;将用户分为可信用户(允许使用网络)和不可信用户(不允许使用网络)。通过上面对信息系统的信息平台、信息流、信息使用人的分类,为我们区别处理不同信息需求提供了依据。依照上述的分类,TL-100互联网功能服务器网络解决方案在网络层、传输层、会话层、应用层都设计了安全防护和审计措施(网络物理链路层目前我们无法控制,但是我们对于从网络物理链路层上传输的敏感信息都作了加密处理),使得TL-100互联网功能服务器网络解决方案做到网络信息流动的整体安全要求达到可接收的平衡。在安全的具体实施上,基于对于信息平台、信息、信息使用人员的分类,我们针对每类处理对象都设计了“链式”处理过程,在“链条”上的每个“节点”的处理中断都造成整个安全处理过程的中断。(采用这种处理过程主要优点我们将在下面的常见问题解答中说明)
经济性原则实施
遵照经济性的原则,TL-100互联网功能服务器网络解决方案中对于用户和互联网连接的时间问题作了比较细微的可控处理。TL-100互联网功能服务器在技术上主要采用PPP协议,由于PPP协议具有稳定、可靠、空闲超时自动断开连接的优点,所以我们利用PPP协议的优点,在对ISP的连接方面做了开发工作,使TL-100互联网功能服务器按照下面的顺序工作:1,如果内部对INTERNET有数据请求,自动拨号连接;2,向TeleByte管理服务器报告自己的IP地址等身份信息;3建立加密信道,与Telebyte邮件中转服务器确认身份;4,到TeleByte邮件中转服务器收取本域的邮件;5,检测内部网络是否还有对INTERNET的数据请求,如果没有对INTERNET的数据请求的情况超过300秒,自动断开与ISP的连接。
通过上面的连接处理过程,TL-100互联网功能服务器网络解决方案做到了最大程度的节省用户的网络通讯使用费用(这是用户使用过程中发生的数额比较大,最易造成浪费的费用)。另外,TL-100互联网功能服务器采用软硬件捆绑的设计方案,根据中小企业的情况,量身定做了既能充分满足企业信息需求,又稳定、可靠的“黑匣子式”的互联网接入功能服务器。无需企业另外采购计算机硬件平台、操作系统、网络服务应用软件、网络安全管理软件和聘请专业管理维护人员。
通过上面的综合的整体设计,TL-100互联网功能服务器网络解决方案满足了对于目前中小企业的信息化需求的整体的最小成本需求。
安全原则和经济性原则实施的基础—统一时间
通过上面的分析,我们会发现对于信息系统的安全性和经济性需求都和时间有关。我们在TL-100互联网功能服务器网络解决方案中充分考虑到时间在系统中的重要性,我们在网络系统的每个关键节点上都安装有网络时间服务器和网络时间服务客户端软件,安装上述软件的主要目的是做到可信网络内部时间基准的统一。整个网络在时间统一的基础上,可以做到自动协调完成某些网络服务工作(如:定时收取邮件、系统数据备份、系统重新启动)。同时,对于流入和流出这个网络系统的每条关键信息,都有可以查询的依据,这样便于整个网络系统的安全维护工作。(信息在网络中留下的“脚印”就是时间)
(图-1)
与同类解决方案比较TL-100互联网功能服务器网络解决方案是一项设计严谨、功能完善、系统化程度很高的整体网络解决方案。其它相似的技术解决方案,或者在技术上或者在成本上同TL-100互联网功能服务器网络解决方案相比都有些欠缺。
方案一
WindowsNT ( Windows 2000 server ) + Proxy + Exchange+WinRoute (或 Checkpoint )
上述软件组合能够实现和TL-100互联网功能服务器网络解决方案相同的包过滤防火墙、邮件服务器、Web浏览代理、Ftp服务代理等功能。但是由于WindowsNT(或Windows2000 server)对于计算机硬件要求比较高,正版软件的价格也比较高,更为重要的是:从技术上来说,上面的方案需要固定的IP地址,这意味着企业每时每刻还需缴纳一笔额外的费用。另外,上述软件还需要专业的系统管理员来维护。(微软的产品有无数的补丁需要你“补上”)
上面的解决方案明显的不太符合目前国内中小企业对于信息化的“性能价格比”要求和维护成本要求。
方案二
Windows98(WindowsNT)+Wingate
这种方案能够实现Web代理和数据包过滤的部分功能,另外,新版本的Wingate还提供网络地址转化功能(NAT)功能和防火墙功能。这个方案的缺点是:系统硬件要求比较高(如果你系统整个系统运行稳定),应用软件和操作系统软件整体成本太高。安全的规则需要专业人士的配置。没有很好的解决企业电子邮件系统的使用需求。另外,部分“高级”功能的实现需要安装“客户端软件”。加重了网络系统的维护负担。
方案三
Windows98 ( WindowsNT) + WinRoute
这种方案在网络代理和防火墙方面的功能和TL-100互联网功能服务器相应的部分都很相似,但前提条件操作系统的配置和网络防护规则的设置需要专业网络人员维护。另外软件升级和“补丁程序”需要专业人员“亲临现场”操作。非常遗憾的是邮件系统未能在这个方案中加以考虑。
方案四
Windows98(WindowsNT) + dns2go
这种方案,在Windows操作系统上安装相应的客户端软件,和dns2go站点的DNS服务器协调工作,达到动态域名解析的目的。这种方案能够完成TL-100互联网功能服务器网络解决方案中从TL-100互联网功能服务器到互连网之间的DNS通讯问题,但这种方案对于用户的域名只能在dns2go.net下选择。如果将自己企业的域名转到dns2go上的域名服务器授权解析的工作,dns2go的域名服务器也只做域名解析的工作,不提供其它和域名相关的服务(如电子邮件服务器不在线的邮件接收问题)。另外,这种方案的运行稳定性在通讯线路不佳,造成用户的机器频繁拨号连接ISP而造成的IP地址变动的情况发生时,用户域的主机域名纪录的频繁变动。但是这些变动数据和在互联网上其它DNS服务器缓存中的数据不会随时同,这种情况会造成WEB和E-Mail等需要固定IP的互联网服务无法正常提供服务。(例如:在域名和IP地址变动时,可能造成互联网上用户向本域E-mail投递失败,或将E-mail投递到其它恰巧使用相同解决方案且恰巧有SMTP服务器上)
互联网功能服务器与同类解决方案性价比
|
对比项目 |
TL100互联网功能服务器提供的解决方案 |
价格 |
传统的接入方案 |
价格 |
|
计算机硬件平台 |
稳定的工业级硬件平台 |
-- |
需购硬件平台 |
10,000元左右 |
|
操作系统 |
基于Linux |
-- |
基于Windows |
Windows2000 Server(10用户)12,270元 |
|
代理服务功能 |
HTTP,FTP,TELNET
|
-- |
需购专业软件 |
MS Proxy Server 12,784元 |
|
邮件服务功能 |
企业域名邮箱(用户数量不限, 邮箱容量不限) |
-- |
需购专业软件 |
Exchange(25用户)24,807元 |
|
WEB功能 |
提供100Mweb空间 |
-- |
需租用web空间 |
1,000元/年 |
|
防火墙功能 |
有 |
-- |
需购专业软件 |
CHECKPOINT 30,000元 |
|
方案价格 |
性价比高 |
18,700元 |
实现同样的功能,价 |
90,861元 |
|
服务及管理 |
WEB,MAIL服务,网络安全管理,根据要求提供网络安全状况日制,上网浏览日制,邮件日制,企业 无须专业人员维护 |
2800元/年 |
需专业人员操作维护 |
30,000元/年 (专业人员工资) |
总 结
TL-100互联网功能服务器网络解决方案和上面常见的几种中小企业网络解决方案相比,在成本上有着明显的优势。在技术上,TL-100互联网功能服务器网络解决方案设计时,对企业信息化的成本要求和INTERNET的技术规范之间的矛盾设计了很好的解决方案。我们将WEB,E-mail等在技术规范中需要固定IP的互联网服务,采用“共享”的思路做了很好的处理。
我们将企业的WEB站点采用“虚拟主机”方式来处理,以确保不会发生dns2go方案中出现的域名和IP纪录不对应的情况发生;
我们将企业电子邮件的收取工作,采用到有固定IP地址的SMTP中转服务器收取的方式解决,这样,可以确保企业邮件系统使用的稳定和安全;
对于中小企业局域网内部的各种要求,TL-100互联网功能服务器在功能上上述方案中Wingate等相当,在软硬件和售后服务上的解决上,TL-100互联网功能服务器网络解决方案比其它的方案更胜一筹。
TL-100互联网功能服务器网络解决方案常见问题解答
为什么叫“互联网功能服务器”?
天傲世纪TL-100互联网功能服务器的设计目标是“我们要提供一个使用起来向电冰箱那样方便的产品,用户只需将电冰箱接上电源,它就可以工作了。我们的TL-100互联网功能服务器也是这样的一个产品,用户只需将连接互联网的线路连到TL-100互联网功能服务器上就可以了享受INTERNET服务了”
TL-100互联网功能服务器能为您带来什么?
TL-100互联网功能服务器是针对目前中国国内IP地址资源紧张,中小企业信息化需求迫切 的情况, 专门设计的一套便利、安全、经济、稳定的中小企业网络解决方案。主要解决了目前 中小企业的电子邮件、WEB信息浏览 、FTP文件传输等常见的互联网服务需求以及网络安全和网 络管理服务问题。 针对目前供内IP地址资源紧张的现实情况,TL-100互联网功能服务器通过天傲世纪公司在 国内电信设置的邮件服务器的转发,能在没有固定IP的网络条件下实现企业域名内电子邮件的、 安全稳定的收发工作。 由于TL-100互联网功能服务器具备远程管理得功能,中小企业可以通过购买TL-100提供的 安全管理服务,享受专业的网络管理和维护服务。
TL-100互联网功能服务器与传统接入方式的比较
 |
 |
| 对比项目 | TL-100功能服务器提供的解决方案 | 价格 | 传统服务器方案 | 价格 |
| 计算机硬件平台 | 稳定的工业级硬件平台 | -- | 需购硬件平台 | 10,000元左右 |
| 操作系统 | 基于Linux | -- | 基于Microsoft NT | Windows2000 Server(10用户)12,270元 |
| 代理服务功能 | HTTP,FTP,TELNET | -- | 需购专业软件 | MS Proxy Server12,784元 |
| 邮件服务功能 | 企业域名邮箱(用户 数量不限, 邮箱容 量不限) |
-- |
需购专业软件且需要有固定的IP地址 |
Exchange(25用户)24,807元 |
|
WEB功能
|
提供100Mweb空间 | -- | 需租用web空间 | 1,000元/年 |
| 防火墙功能 | 有 | -- | 需购专业软件 | CHECKPOINT 30,000元 |
|
方案价格
|
性价比高 | 18,700/ 元 |
实现同样的功能,价格几倍于前者 | 90,861元 |
| 服务及管理 | WEB,MAIL服务,网络安 全管理,根据要求提供 网络安全状况日制,上网浏览日制,邮件日制 企业无须专业人员维护 |
2800元/ 年 |
需专业人员操作维护 | 30,000元/年(专业人员工资) |
为什么说TL-100互联网功能服务器稳定、可靠?
TL-100互联网功能服务器通过硬件平台和软件平台来确保系统运行的稳定、可靠。
在硬件平台上,TL-100互联网功能服务器采用工业级平台,使系统可以长时间,高效率的稳定工作。
在软件上,TL-100互联网功能服务器采用以运行稳定著称的Linux多用户操作系统,对于重要数据采用软件RAID技术保证重要数据在其中一块硬盘工作失效的情况,可恢复。TL-100互联网功能服务器内含相关的定时备份数据程序,定时重启系统计划(在每天凌晨备份数据,每周非工作日重新启动系统)。通过数据备份和重新启动系统,确保TL-100互联网功能服务器能及时保存重要数据和及时删除系统的无用数据。
通过上面提到的一系列技术措施,确保TL-100互联网功能服务器的稳定、可靠。
TL-100互联网功能服务器如何保证企业的网络安全?
TL-100互联网功能服务器在网络数据传输的不同层次上设计了防护和管理措施来保证企业网络的安全。
在网络层,我们采用IP数据包防火墙过滤掉不可信的IP数据包;在网络传输层,我们采用“TCP验证技术”,确保TCP会话的真实性;在应用层,对于部分应用服务,我们采用用户身份认证、用户使用授权技术,确保企业网络资源不被“滥用”;由于采用NTP(网络时间协议),所有和INTERNET连接的TL-100互联网功能服务器都按照整个INTERNET统一的时间标准记录信息流动的过程,这样,可以确保在TL-100互联网功能服务器网络解决方案中流动的信息的可审计,便于及时发现系统入侵事件。
TL-100互联网功能服务器能像其它的防火墙那样使用NAT(网络地址转换)功能吗?
由于TL-100互联网功能服务器采用Linux操作系统,Linux操作系统的Kernel (系统内核)拥有非常优秀的NAT功能。所以,TL-100互联网功能服务器能够实现NAT的功能。但是目前TL-100互联网功能服务器出于信息安全和企业网络系统管理得综合考虑没有使用NAT功能。
TL-100互联网功能服务器和NETSCREEN之类的防火墙有什么区别?
TL-100互联网功能服务器是适合中小企业应用的防火墙。NETSCREEN是针对于电信等部门的数据包过滤防火墙。两者适用环境,成本,应用要求都不同。TL-100互联网功能服务器在数据包过滤方面,强调适用于中小规模数据流量的情况下(中小企业使用情况),而NETSCREEN强调适用于电信等骨干、高数据流量网络环境;TL-100互联网功能服务器强调IP数据包过滤、应用安全和使用成本最小化的综合因素。
TL-100互联网功能服务器有什么缺点?
TL-100互联网功能服务器的主要缺点是对于同ISP连接的链路的传输质量比较敏感(尤其是ISDN用户)。如果发现TL-100互联网功能服务器经过正确设置的TL-100互联网功能服务器在正常使用一段时间后,突然无法正常联网。问题往往出在ISDN的电信局端的设备接口上,或者用户使用的ISDN NT1+ 终端上。请首先联系122故障服务台,请求对方更换用户使用号码的链路接口。在确认没有问题的情况下,请检查ISDN NT1+设备。
一般情况下,如果上述链路和设备的故障排除后,TL-100互联网功能服务器都能正常完成INTERNET服务工作。
TL-100互联网功能服务器如何做到使用变化的IP来提供稳定和安全的INTERNET电子邮件服务?
在TL-100互联网功能服务器网络解决方案中,我们通过“关键资源共享”的思路来处理互联网上对TL-100互联网功能服务器所在域的邮件收发矛盾。
在TL-100互联网功能服务器网络解决方案中,我们在国内骨干网络节点上设置了邮件转发服务器。邮件转发服务器在TL-100互联网功能服务器网络解决方案中担当“邮件分捡中心”的角色。邮件转发服务器统一收取所有联网的TL-100互联网功能服务器的邮件。然后根据每个TL-100互联网功能服务器所在域的不同,通过加密的隐含网络通道,将邮件投递到正确的TL-100互联网功能服务器中的邮件服务器上。当然,在TL-100互联网功能服务器和邮件转发服务器建立加密的隐含网络通道时,需要验证不同TL-100互联网功能服务器的身份。通过上述技术手段,确保电子邮件投递的准确性。
TL-100互联网功能服务器网络解决方案中为什么选用邮件转发的技术方案?
我们采用邮件转发服务器的技术方案主要确保互联网上的用户能够准确的将电子邮件投递到IP地址变化的邮件服务器上。应为遵照INTERNET电子邮件的技术标准,用户的电子邮件地址和用户的域名记录是紧密结合的,但是DNS信息在INTERNET上的变更有个过程,(就像在一杯水中投入一块冰糖,杯中的水不会立即变甜,这会有个过程)这个过程的快慢依照互联网上所有的DSN服务器上相关记录的刷新时间长短的设置情况的不同而不同。当DNS记录中的IP和主机名频繁变动时,会造成互联网上的计算机按照域名访问相关服务(如:WEB,FTP,Mail等)时,实际访问的IP和域名所指向的机器不同的情况发生。在这种情况下,对于电子邮件这种时效性很强的互联网服务,会造成误投的情况发生(将发个本该发给张三的邮件投递给了李四)。误投的情况如果发生在企业正式的商业电子函件的收发过程中,将会给企业造成很坏的影响。
为了有效避免这种情况的发生,我们采用邮件中转服务的技术方案。通过IP地址固定的邮件中转服务器,收取不同域的邮件,当TL-100互联网功能服务器拨号连接互联网时,TL-100互联网功能服务器内置的特殊程序会到程序制定的邮件中转服务器上收取自己域的邮件。这样,可以将避免上面提到的域名和IP地址不相符造成的邮件收发问题。
采用TL-100互联网功能服务器网络解决方案收发邮件,企业需要做什么工作?
前面提到,电子邮件系统和域名紧密相关,如果企业采用TL-100互联网功能服务器网络解决方案中电子邮件的解决方案,企业需要将自己在中国互联网管理中心的域名注册信息做适当的变更(如果企业已有自己的域名),或者企业在中国互联网管理中心注册自己的域名。相关的详细信息请拨打:010-82822888向技术人员查询。
如果企业没有自己的域名,能否适用TL-100互联网功能服务器中的电子邮件服务器?
如果企业没有自己的域名,并且想使用TL-100互联网功能服务器中的电子邮件服务,我们有两种解决方法。方法一:只对企业内部网络电子邮件服务; 方法二:在telebyte.com.cn域下注册子域,利用这个子域和INTERNET进行电子邮件的往来。(如公司名为: goldenpass , 注册子域名为:goldenpass.telebyte.com.cn , 外部发往这个域的邮件地址为:sale@goldenpass.telebyte.com.cn )
TL-100互联网功能服务器提供的电子邮箱和目前互联网上提供的“企业邮箱”服务有什么不同?
TL-100互联网功能服务器提供的电子邮箱和目前互联网上提供的“企业邮箱”最本质的不同是:TL-100互联网功能服务器中拥有自己的电子邮件服务器,可以更具企业人员的变动情况灵活设置邮件账号和邮箱的空间,对于收到的电子邮件信息TL-100互联网功能服务器采用了特别的技术手段来确保数据的安全。而所谓的“企业邮箱”只是在邮件服务器上为企业设置的几个用户。并且限制邮箱的空间。
TL-100互联网功能服务器为什么提供企业用户WWW浏览访问控制?
合理的使用WWW资源能够提高员工的工作效率。但是如果员工利用企业的网络资源浏览与工作无关的信息或者有害信息,则会降低员工的工作效率。国际著名的HP公司就发生过员工在工作时间浏览黄色网站而被辞退的事件。
为了采用有效的技术手段督促员工合理的利用公司资源提高工作效率,TL-100互联网功能服务器内部设计了对于企业内部员工非常灵活的访问控制手段。
TL-100互联网功能服务器对于企业员工WWW访问有那些控制手段?
TL-100互联网功能服务器通过密码分配,对不同的员工采取不同的www访问控制策略。例如:允许部分员工在指定的时间访问www站点;禁止员工访问访问与工作无关的站点;限制公司内部的计算机对于WWW的访问;记录员工对于www访问的情况,便于公司监督员工www的使用情况。
如果限制员工访问www,员工能使用收发电子邮件吗?
TL-100互联网功能服务器对于员工的WWW访问和邮件使用采用不同的控制手段。如果限制员工在指定的时间访问WWW,并不会影响员工收发电子邮件。
TL-100互联网功能服务器的“包过滤”防火墙是什么?
TL-100互联网功能服务器的防火墙是基于IP“包过滤”的代理型防火墙;可以通过禁止内部主机和外部网络或主机的直接连接保护商业网的安全。对内部网络用户来说,可以通过代理服务器得到所需的网络服务,避免用户直接访问外部网络。它的功能是允许合法的数据包通过服务器和拒绝非法的网络,从而达到使网络访问更加安全的目的。
TL-100互联网功能服务器为什么要拒绝有些数据包?
目前在互联网上有许多心怀叵测的人利用恶意程序在自动执行扫描工作,他们利用扫描程序来分析网络漏洞,并且伺机利用他们得到的网络漏洞发动破坏性的攻击或窃取信息。为了防止外部网络对于TL-100互联网功能服务器所连接的内部网络扫描,TL-100互联网功能服务器内部配置了严格数据包过滤策略,通过这种策略,有效的防止外部网络对于企业内部网络信息的“嗅探”。 下图是TL-100互联网功能服务器拒绝的部分非法数据包。
如何获得更多的关于TL-100互联网功能服务器网络解决方案的信息?
如果想获得更多的关于TL-100互联网功能服务器网络解决方案的信息,请与我们联系
电话:65229920 65278056
传真:65223354