项目技术建议书项目技术建议书

　 项目的技术建议书3.1 维修程序规范建议 由于维修离不开用户网络管理人员对网络系统的日常维护，为了提高网络系统的维护效果和提高故障解决效率，必然要求维修记录和配置文件有详实的记录。为协助用户进行有效的日常维护管理工作，根据我们多年的维修经验，在日常维护的内容和规范方面提出以下建议：维护项目内容规划：用户的网络管理人员需要根据明确的维护项目及内容规划。主要内容包括：每年维护项目及内容有：全面建厂各设备的电源告警是否完好、可用检查备用模块和设备功能是否正常每月维护项目及内容有:各与网络管理有关的软件数据的备份统计路由器CPU的利用率、路由器可用率每日维护项目及内容有：硬件设备及处理器、板的状态监测服务器文件系统及主要进程的运行状态线路的状态监测节点设备的状态监测节点设备及机房环境的清洁各种设备连通性测试检查网络路由、及网络畅通 拥塞情况以上工作要随时注意相关数据资料的存档保管、3.2 管理建议 一个好的网络，除了采用性能优越的硬件和先进的网络技术外，如果没有很好的规划措施、缺乏有效的管理手段，其网络的逻辑结构可能是无序和混乱的；网络的运行效果也很难得到保证。为此，我方建议采用一系列网管产品和网管技术来对网络系统进行节点监控、故障预警、性能调配和资源调度等。网络系统支持如下网管功能：故障管理、配置管理、安全管理以及性能管理。这些管理功能由网管和梅州供电局计算机终端共同完成。配置管理包括对网络中各个节点的配置进行管理，例如：可以统一管理节点插板、端口和冗余结构的配置；可以对网络节点访问口令设置和更改等等。性能管理可以实时连续第收集网络运行的相关数据，可用数据和图形的方式显示网络运行地各路情况以及重要程度，需要时可发布指令到各节点，进行网络控制可从相关节点收集业务量数据，进行统计、分类记录归档。并形成报告向上一级中心报告和提示系统管理员。使用这些信息为网络建议提供规划设计依据。故障管理能实时监控故障信息，并对其统计分析，低层网管设备应把重要的故障信息报告给高层网管中心。可形成节点、中继线及用户端口的告警产生，告警内容和告警清除的统计报告，可实时修改状态图反映此故障。安全管理安全管理失职保证运行中的网络安全的一系列功能，应避免非法接入网络，控制接入级别和范围3.3 完善管理制度 为规范网管人员的日常工作，提高工作效率，我公司建议用户根据实际情况制定和完善下列制度：《值班记录制度》： 值班网络管理员应按时详细填写：网络故障记录表、机房出入记录表等网管表格。

　值班人员应该定期（每日或每周）使用相关梅州供电局计算机终端命令，查看计算机终端的状态，并记录相应的有用信息，填写状态观测表。如:Show procmem，Show proc cpu，sh log 等命令。《安全制度》：口令管理：必须哟密码口令管理制度，作到口令专管专用，定期更改并在失密后立即报告；密码本权限；必须有人员调离的安全管理制度。例如，人员调离的同时马上收回钥匙、移交工作、更换口令、取消帐号，并向被调离的工作人员申明其保密义务。机房安全管理，其要点为：身份验证出入，带入带出物品检查；登记手续齐全非经批准不得参观中心机房操作权限管理，必须有人员等级划分，要点为：专人负责启动、关闭网络运行系统；不得无故更改设置和私自重启系统指定计算机或终端操作网络管理员、系统管理员、操作员岗位分离严禁在系统运行地机器上作与工作无关的操作3.4 性能优化3.4.1 优化原则使用性原则：网络优化调整使用利旧设备，需要充分考虑设备的利用能满足业务运行要求，应从设备的性能、规格等多方考虑。层次性原则：有层次的规划可以极大的降低管理的复杂程度，提高网管效率。而良好的层次性能够为网络提供更好的可维护性和可扩展性。可操作性原则：技术方案应保证可行及可操作，不会对业务造成最大的影响。3.4.2 网络现状评估分析 根据信息安全评估原则，通过收集资料并进行风险评估分析，对当前网络构架及信息系统的安全现状及存在的安全问题分析，主要包括：安全策略——网络安全策略的目标是提供管理指导、保证网络安全。管理层应制定一个明确的安全策略方向，并通过在整个组织中发布和维护网络安全策略，表明公司对网络安全的支持和保护责任。

　边界设备安全——网络边界一般指网络的入口或者出口，或者是不同区域或者安全域之间的连接区域，称之为边界，整个边界的安全状况对与整个网络的安全具有重要的意义，应对其进行重点的防御和防范。

　访问控制——访问控制管理在BS7799中主要包括：访问控制的业务要求、用户管理要求。3.4.3 计算机终端优化内容在对网络进行全面的评估之后，针对存在问题给出网络优化改进方案。

　3.4.4 计算机终端优化实施 编写和提交网络优化实施方案，包括操作步骤、预期结果，回退操作和应急预案双方协商并确认实施方案 广东竣耀派遣熟悉设备、经验丰富的技术专家和梅州供电局技术人员完成这些任务，派遣工程师具有丰富的经验，完成安装、监理、调试和投运工作，并由他们负责上述工作的质量。3.5保养方案 随着网络规模的不断扩大，构成网络的设备数量在急剧膨胀，设备的品种也在不断地翻新，如果日常对这些设备不进行保养，没有定期进行维护，时间一久就会引发很多莫名其妙的故障，而且这些故障隐蔽性很高，不易发现，令人头痛不已。如果遇到突发情况，如雷电，假若平时没有做好足够的保护措施，轻者断网，重者完全毁坏设备。

　未雨绸缪，防范于未然，平时做好计算机终端的保养、维护和管理，远比发生问题后亡羊补牢要好得多 如果忽视了平时的维护和保养，一旦出现问题时才逐一检测每一个计算机，这样会消耗大量的人力和物力短时间很难准确做出故障定位，带来的后果是显而易见的——轻者耽误正常工作，重者毁坏设备，在信息化建设中，计算机终端就像大厦的奠基，无论服务器如何稳定，如果交换机或者路由器出现问题，客户端仍然是无法正常访问关键服务器，可能导致的是公司正常运作停顿。所以，对的保养和维护是不可忽视的重点。

　对计算机终端的保养主要就是从湿度、温度、洁净度、防静电、电磁环境、防雷击等方面入手。3.5.1 保持机房的洁净 计算机终端对机房的环境的洁净度要求很高，因为灰尘对的运行安全也是一大危害，因为计算机终端在工作的时候，会产生一定的静电场、磁场，加上由于风冷散热的电源和风扇运转产生的吸力，会使室内悬浮在空气的灰尘颗粒吸入机体内，造成静电吸附，使金属接插件或金属接点接触不良、绝缘性能下降、霉变、散热不良导致温升过高，不但会影响设备寿命，而且容易造成故障。当室内相对湿度偏低时，更易产生郑重静电吸附。除灰尘外，计算机终端对空气中所含的盐、酸、硫化物也有严格的要求，因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。所以，洁净度的要求是比较高的。要达到洁净度的要求，就必须了解灰尘是如何产生的。用于维持整个机房环境的温度和湿度的空调系统，不可避免的会将一部分灰尘带入机房。机房在维护过程中，进出的人员会将一部分灰尘带入机房建筑物本身产生的灰尘，机房的门窗（特别是未经防尘处理的普通房间）容易流入大量灰尘。而机房本身的老化，如：墙壁、地面、顶棚等表面产生的表皮脱落形成的灰尘机房设备本身产生的灰尘，如打印机等在运转过程中产生的纸屑与墨粉颗粒机房处于负压环境，大多数机房在运行时对机房外部都是负压，及外界气压高于机房高压，造成机房内灰尘洁净度严重超标。知道了灰尘产生的途径，我们就可以这样从源头上尽可能杜绝灰尘的产生，依据是《电子计算机机房设计规范》和《电子计算机场地通用规范》GB/T2887-2000（2000版）、《电子信息系统机房设计规范》征求意见稿：机房分区控制，对于大型机房，条件允许的情况下应进行区域化管理，将易受灰尘干扰的设备尽量与进入机房的人员分开，减少其与灰尘接触的机会。例如将机房分为三个区域，服务器主机区，控制区，数据处理终端区。并设置专门的参观通道，通道与主机区用玻璃幕墙隔开。定期检查机房密封性。定期检查机房的门窗、清洗空调过滤系统，封堵与外界接触的缝隙，杜绝灰尘的来源，维持机房空气清洁。维持机房环境湿度，严格控制机房空气湿度，即要保证减少扬尘、同时还要避免空气湿度过大，设备产生锈蚀和短路严格控制人员出入，设置门禁系统，不允许未获准进入机房的人进入机房。进入机房的人员的活动区域也要严格控制，尽量避免其进入主机区域。做好预先除尘措施机房应配备专用工作服和拖鞋，并经常清洗。进入机房的人员，无论是本机房人员还是其他经允许进入机房的人员，都必须更滑专用拖鞋或使用鞋套。尽量减少进入机房人员穿着纤维类或其他容易产生静电附着灰尘的服装进入。六、提高机房压力，建议有条件的机房采用正压防灰尘，即通过一个类似打气桶的设备箱机房内部持续的源源不断的输入新鲜、过滤好的空气，加大机房内部的气压，由于机房内外的压差，使机房内的空气通过密闭不严的窗户、门等缝隙向外泄气，从而达到防尘的效果。3.5.2 防雷击 我国处于温带和亚热带地区，雷暴活动十分频繁，所有雷暴是我国的主要天气灾害之一，根据一项调查，30%的梅州供电局计算机终端故障都与雷击有直接的关系。虽然很多的时候雷击所造成的感应电压并不能一次就把路由器彻底报销，但是即使当时没有造成网络故障，但路由器若再经常受到过压冲击，就很容易引起路由器设备零件的老化，大大地缩短了其使用寿命，对于旧的路由器彻底报销，但是即使当时没有造成网络故障，但路由器若再经常受到过压冲击，就很容易引起路由器设备零件的老化，大大地缩短了其使用寿命，对于旧的路由器来说就更佳容易遭受破坏，严重影响网络的稳定运行。尽管现在的路由器一般都在防雷击方面做了大量的考虑，也采取了必要措施，但是在雷击强度超过一定范围时，仍然有可能对路由器造成损害。为达到更好的防雷效果，要切实做好防雷击措施，可以铜鼓做好设备接地装置和安装有效的防雷保护系统者两种方法来防雷击，具体的措施如下：保证计算机终端的保护地用保护地线与大地保持良好接触；保证电源插座的接地点与大地良好接触；为增强电源的防雷击效果，可以考虑在电源的输入前端加入电源避雷器，这样可大大增强电源的抗雷击能力；使用无线AP作讯号桥接减少设备外露；为保护网络信号系统，可考虑使用网络防雷器。网络防雷器则大致上分为空气间隙间隔式和半导体式，目前市面上的网络防雷器多采用不同器件组合成三级方式，第一级由大通流量的气体放电管进行初级保护，以降低残压并把大部分雷电流释放入大地；第二级采用去耦电阻或PTC进行阻流延时和分压，以配合第一、三级的元件的特性要求；第三级采用TVC进行精细保护，以进一步降低残压，使其达到设备的安全电压要求。例如：捷瑞（JaRa)3207终端设备防雷器、平宇SJ05FF4H 入层防雷器、雷迅（ASP)RJ45-XE系列骨干网防雷器都是不错的选择。3.5.3 保持适当的温度和湿度 由于计算机终端是由许多紧密的电子元件组成的，为保证计算机终端正常工作，并延长使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电、电路短路，引发火灾事故，还会发生材料机械性能变化、金属部件锈蚀等现象，尤其是网线和电话前的水晶头接触处会霉变、氧化，造成接触不良，导致网咯速度减慢；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，在干燥的气候环境下，还容易产生静电，危害计算机终端的CMOS电路；温度过高危害更大，因为高温会加速绝缘材料的老化过程，使计算机终端的可靠性大大降低，严重影响其使用寿命。

　应使用机房专用空调，机房对温度，湿度和洁净度有比较严格的要求，而普通舒适空调不能安祖这个要求。相比普通舒适空调，机房专用空调有如下特点：在设计上采用严格控制蒸发器内蒸发压力，增大送风量是蒸发器表面温度高于空气露点温度而不除湿，产生的冷量全部用来降温，提高了工作效率，降低了湿量损失，即由于送风量大，送风焓差减小； 送风量大，机房换气次数高（通常每小时30-60次），整个机房内能形成整体的的气流循环，使机房的所有设备均能平均得到冷却。

　空气循环好，同时因具有专用空气过滤器，能及时高效的滤掉空气中的尘埃，保持机房的洁净度； 因大多数机房内的电子设备均是连续运行地，工作时间长，因此要求机房专用空调在设计上大负荷常年连续运转，并要保持极高的可靠性。舒适性空调较难满足要求，尤其是在冬季，计算机机房因其密封性好而发热设备又多，仍需空调机组正常制冷工作，此时，一般舒适性空调由于室外冷凝压力过低已很难正常工作，机房专用空调通过可控的室外冷凝器，仍能正常保证制冷循环工作； 机房专用空调一般配备了专用加湿系统，高效率的除湿系统及电加热补偿系统，通过微处理器，根据各传感器反馈会来的数据能够精确的控制机房内的温度和湿度，而舒适性空调一般不配备加湿系统，高效率的除湿系统及电加热补偿系统，通过微处理器，根据各传感器反馈回来的数据能够精确的控制机房内的温度和湿度，而舒适性空调一般不配备加湿系统，职能控制温度且精度较低，湿度则较难控制，不能满足机房设备的需要。3.5.4 尽量降低电池干扰 简单地讲，电磁干扰就是设备间无用的电磁作用。过大的电磁干扰会降低网络传输的可靠性，误码率增加，并使网络传输时间延长。电磁兼容性（EMC）是要求设备工作于电磁环境中时，不能对其他设备造成不良影响。在布线中既要考虑外界干扰不能过大，也要考虑布线系统不能过分干扰其他系统。国际上对电磁干扰的评估以欧洲89/336/EEC条例（EMC条例）要求较为严格，所以该条例使屏蔽布线系统在欧洲非常流行。ISO（国际标准化组织）对相关内容也有要求，但也并不严格。EIA/TIA（美国电子/电气工业协会）甚至对EMI/EMC没有加以严格限制，这就使得非屏蔽系统在欧洲以外的地区大量使用。

　数据在网线中传输，会受到多方面的影响，电磁干扰就是主要的一个方面，所以进行布线的时候网线就应当避开电磁干扰区域。布好线以后还要进行保养，除了不要时常对网线进行弯曲拉扯以及用重物压以外，例如电动机、音箱和无线电收发装置等也要离网线以及计算机远一点，确保网络信号不会免受外界辐射影响。还有，在计算机内部的网卡发生干扰的情况也会经常出现，因为网卡和显卡由于插得太近也会产生干扰。干扰不严重时，网卡能勉强工作，数据通信量不大时用户往往感觉不到，但在进行大数据量通信时，在Window98下就会出现“网络资源不足”的提示，造成机器死机现象。

　计算机终端使用中可能的干扰源，无论是来自设备或应用系统外部，还是来自内部，都是以电容耦合、电感耦合、电磁波辐射、公共阻抗（包括接地系统）耦合的传导方式对设备产生影响，因此为达到抗干扰的要求，应做到：对供电系统采取有效的防电网干扰措施；计算机终端工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些；远离强功率无线电发射台、雷达发射台、高频率大电流设备；必要时采取电磁屏蔽的方法。3.5.5 采取好防静电措施 静电很容易造成计算机一级外设的硬件损坏，所以，计算机终端同样难逃静电厄运。静电是无处不在的随着计算机终端芯片工艺的进步，芯片的速度和功能都得以提升，但芯片却变得更加脆弱。一个不太高的静电放电的电压就能将晶体管击穿，一个不太大的静电放电的电流就能将连线熔断。尽管现在的计算机终端在防静电方面做了大量的考虑，采取了多种措施，但当静电超过一定限度时，仍会对单板电路乃至路由器整机产生巨大的破坏作用。在计算机终端器连接的通信网中，静电感应主要来自两个方面：一是室外高压输电线、雷电等外界电场二是室内环境、地板材料、整机结构等内部系统。因此为防静电损伤，应做到正确的防范措施：设备良好、可靠的接地。重点设备应在其外围进行屏蔽和隔离室内防尘保持适当的温度、湿度条件。使用配备专用加湿系统的机房专用空调，如不能配备此空调者，在北方地区，冬季应使用加湿器，防止静电大量积累接触电路板时，应戴防静电手腕，穿防静电工作服将拆卸下的电路板面朝上放置在抗静电的工作台上或放入静电袋中当观察或转移拆卸了的电路板时，请用手接触电路板的外边缘，避免用手直接触摸电路板上的元器件。对于不具备专业防静电手段的普通用户而言，可先切断电源，并将手放在墙壁或水管上一会儿，以放掉自身静电。3.5.6 防断电 在现今经常供电不足的形势下，市电对企业实施拉闸限电已是常见的现象，而且供电过程中出现电压忽高忽低的不稳定和时断时续问题，会导致局域网帐路由器、交换机、服务器等各类设备无法连续正常工作，轻则影响了上网的质量，长期会大大缩短设备的寿命。所以要保障计算机终端的正常运行，就要为他们配备性能优良稳定的UPS电源系统。UPS电源可以解决电网存在的诸如：断电、雷击尖峰、浪涌、频率震荡、电压突变、电压波动、频率漂移、电压跌落、脉冲干扰等等问题，而精密的计算机终端更是不允许电力有间断的，故此以服务器、大型交换机、路由器为核心的网络中心要配备UPS更是不言而喻了。

　计算机终端的保护神UPS使用简单但自身却又比较娇气耳穴的保养和维护才会延长UPS的寿命。保养的方法包括：尽量不接电感性负载。不宜满载或过度轻载，长期满载状态将直接影响UPS寿命，一般情况下，在线式的UPS的负载量应该控制在70%-80%，而后备式的UPS的负载量应该控制在60%-70%。另外还要保护好蓄电池，虽然表面上它不需要维护，但照顾不周，同样会出毛病，蓄电池是要求在0-30℃环境中工作，25℃时效率最高。因此，在冬、夏季一定要注意UPS的工作环境，温度高了会缩短电池寿命，温度低了，将达不到标称的延时。另外还要定期维护，如果当地长期不停电，必须定期三个月人为中断供电，使UPS带负载放电。最后还应把UPS放在通风散热良好的地方。3.6 系统安全策略建议 随着INTERNET 的不断发展及网络商业用途的增加，网络系统的安全得到了越来越多的重视。作为基于INTERNET 技术的电子商务网络系统，其安全性问题更需要放在一个重要的位置。

　从计算机安全学的观点分层进行分析，计算机网络的安全包括以下几个方面：首先是物理层的安全，即主机及路由器等网络硬件设备物理上的安全；其次是网络结构的安全，即整个网络不应该由于局部的故障而导致瘫痪；第三层是网络操作系统的安全；最高层则为网络应用，包括信息传输的安全。在以上四层的安全性问题中，物理层的安全主要由硬件设备及机房的设计来保证，网络结构的安全，主要由网络拓扑结构设计及网络协议的选用来保证。在这里我们将主要描述操作系统及应用层的安全问题。另外，作为一个电子商务网络，还必须考虑交易系统的安全性、信源及用户的安全性，交易系统的安全性设计在第三章已有详细设计，对于信源及用户的安全性我们将从防火墙的设计数据的存贮及传输等方面予以阐述。3.6.1 计算机物理安全 计算机终端的物理安全问题主要有：网络硬件设备本省的故障；因机房环境，火灾等导致的设备故障问题；因机房结构设计或管理所导致的主机设备物理入侵问题。为提高网络的物理安全性，主要对策有：选用高可靠性硬件设备，对于重要的服务器采用双机或多机的冗余设计方案；提高对机房的环境及检测报警系统的的要求，注意工程的配套设计及工程质量；加强机房的防盗管理及操作人员的安全意识培训，以避免设备被盗或从终端被入侵。3.6.2网络结构安全网络结构安全主要由网络拓扑结构的设计及网络协议的选用来保证，主要有以下几方面：在网络拓扑结构设计中考虑冗余路由，包括传输线路的冗余及拓扑结构上的冗余。在全网采用动态路由协议，如OSPF等采用防火墙进行访问控制3.6.3 操作系统安全 操作系统的安全问题是当前网络安全中最为重要的，也是最复杂的。长期以来，UNIX一直作为INTERNET 的支撑操作系统而存在，（或者说，INTERNET 是和UNIX共同发展起来的，）由于INTERNET 及UNIX从体系结构到通信协议的广泛开放性（甚至UNIX的源码也是公开的），系统发展中一些不可避免的安全漏洞就必然的暴露于网络黑客（HACKER）并且被广泛的传播，从而造成了很多的安全问题。（必须提出的是，虽然UNIX厂商解决如果随时注意安装补丁（PATCH）或最新版的软件，UNIX操作系统的安全性仍然是有保证的。）固然操作系统有着已经发现或仍然没有发电的安全漏洞，但是大部分的安全问题却是由于系统管理所导致的，例如：密码设置不当且不定期修改，文件权限设置不对，NFS、WWW服务器配置不当。

　为提高操作系统的安全性，我们在系统设计中综合采用以下对策：通过防火墙或路由器中ACL（ACCESS CONTROL LIST）的设计，静止本次拨号用户及网络黑客对没有必要开放的主机及端口的访问； 在主机上利用TCP WRAPPER 控制特定服务所允许的客户机地址范围，并进行记录（LOG）；向用户直接提供服务的主机必须加强安全管理，其功能应尽量单一；关闭各服务商不需要运行地服务进程；禁止使用或设置不经授权即可共享的系统资源，包括硬盘及服务；加强密码管理，提醒或强制管理员定期修改密码，禁止使用安全性不高的密码；管理员利用CRACK、COPS、SATAN 等安全检查工具软件定期检查系统的安全问题。3.6.4 应用层安全 应用层的安全问题主要包括授权、认证及加密传输，我公司综合采用以下的策略或技术来提高应用层的安全性，可以为客户解决从授权到使用的一系列的安全需求。系统之间或系统各模块之间的通信必须授权或认证，传输数据必须进行加密（ENERYPT）电子签名（MESSAGE DIGEST）；利用防火墙（FIREWALL）或TCP WRAPPER 限制应用服务可被访问的客户地址段，降低被攻击的可能性；加强服务器中心子网上各主机的安全管理，严格禁止用户以各种途径执行系统级的指令，以避免黑客通过SNIFFER等工具软件侦听密码或其它信息；传输中所用的加密算法根据不同情况选用公开密钥（PUBLIC KEY）或私有密钥（PUBLIC KEY)算法。为保证传输信息不被篡改，可采用MD5 等数字签名（MESSAGE DIGEST）算法；基于WWW的应用其加密传输的协议可选用SSL、SHTTP或我公司自己的基于COOKIE 机制及DES、MD5 算法的电子身份证认证机制，此外还可考虑即将成为RFC标准的DIGEST AUTHENTICATION。3.6.5 信息源安全 作为一个信息服务平台，必须考虑为接入网络的信息源提供安全防护，可以采用的主要措施有：通过防火墙（FIREWALL）或路由的ACL，控制用户通过接入设备或广域网对信源进行非法访问。提供统一的授权及认证机制，限制用户对信源的非授权访问。采用保留IP地址等方法，将信源与公众网络隔开，而利用代理或NAT实现信息访问。需要指出的是，信源的安全还应该包括对信源所提供的信息的控制，即通过代理或PACKET STRING FILTING 实现基于关键字（KEYWORD）的过滤。3.6.6 用户安全用户安全的主要问题及对策包括以下几个方面：用户注册信息（用户名、密码、访问权限等），网络使用信息，信源的访问信息，计费信息等重要数据在数据库中的安全。可加强主机的安全管理，禁止一般用户对这些书的访问。用户的应用信息，包括用户的E-mail，FTP文件等在应用服务器中的安全。这可通过设定用户的访问权限，分配用户的磁盘存储空间等办法来保证。用户密码在登录及节点间传送过程中的安全。采用UNIX中的加密算法，防止密码被截取及破译。用户对自己使用的帐号负责，不得与他人共享同一帐号，系统定期提醒用户应经常变更自己的口令。与信源的安全问题雷士，用户安全问题也要考虑对用户的控制。在拨号接入层，RADIUS Server 与接入服务器相配合，以实现基于用户民的访问控制，即对不同用户赋予不同的网络访问权限。具体的权限为以下三类控制的特定组合：允许/禁止访问某子网；允许/禁止访问某主机；允许/禁止访问TCP或UDP 的特定端口（PORT）即不同的服务。