企业的网络架构与管理

企业的网络架构与管理（共5篇）

企业的网络架构与管理 篇1

在互联网高速发展的时代,实现信息化是面对激烈的市场竞争得以生存发展的重要手段,越来越多的企业管理层开始理解效率管理和科学管理的重要性。国内大型传统制造业的企业管理系统依旧存在纸质手工整理登记转录计算机系统的现象,这种方法人为因素干涉多,而且操作及其不便。随着大工业时代下制造商品的迅猛增加,企业所需要管理的产品数据日趋繁杂,因此管理系统务必要求对企业的人、财、物及其延伸信息进行高效管理。

现代计算机技术的发展尤其是互联网技术的快速发展普及为企业管理系统自动化提供了强有力的技术支持。现代化的企业管理系统能提供较为完备产品数据管理功能,可以全面管理人员、产品、客户关系等相关信息。和传统企业管理系统相比,大大缩短了信息处理查询统计的时间,使企业管理层次分明,为企业的各部门如采购、销售提供了有效的统计数据,节约了大量的企业资源。因此,普及企业信息化,有效管理和利用大数据,已经成为提高企业核心竞争力的重要组成。建立一套行之有效的较为科学完善、规范合理、运转高效的工作机制是企业发展的一种趋势,而企业使用电子平台对客户信息、原材料购买、物流、仓储、销售、等环节进行管理也已成为一种必然。

在很长一段时间里 , 很多企业使用一种基于C/S框架的信息数据库管理系统。C/S结构是众所周知的client/server架构,是一种软件系统的体系结构 , 可以充分利用C/S两端的硬件资源。为了减少系统的通信开销,系统合理地分配任务到client和server端。大多数软件应用程序系统现在已经发展到分布式Web应用程序结构。网络和C/S应用程序可以处理相同的逻辑组件。因此 , 内部的和外部的用户可以访问新的和现有的应用系统。通过现有的逻辑组件 , 开发人员可以设计新的应用程序。客户端和服务器通常分布在两台电脑。客户端程序的任务是提交一个请求到服务器程序 , 然后用一个特定的形式将结果返回给用户。服务器的任务是接收客户端的服务请求并进行处理 , 然后将结果返回给客户端。C/S架构自从上个世纪80年代就受到了广泛的应用,是一种在技术上非常成熟的体系,具有存储行为安全级别高,交互性强,网络通信速度快,利于处理庞大的数据信息。由于公司发展初期数据流还是以局域网传递平台,因此此类系统在90年代中后期得到了迅速推广并取得了显著的管理成效。

尽管传统的C/S架构采用开放模式 ,在系统发展是还是有一定的局限性。对于一个特定的应用程序 , 客户端和服务器端还需要特定的软件支持。因为用户得不到真正的开放的环境、软件与C/S结构 ,开发人员需要针对不同的操作系统开发不同版本。所以,系统维护、升级的重新设计和开发 , 增加了维护和管理的难度。随着公司业务的长足发展和销售渠道的全球化,而C/S结构下的仓储管理系统很难在超过一百台电脑的局域网上同时使用,越来越发达的互联网技术也时刻冲击着EBP系统的根基。因此,系统逐渐向具有灵活多变的多级分布结构的B/S体系演化。

B/S结构即Browser/Server架构。它随着互联网技术的兴起而获得长足的发展,对C/S结构进行了优化和改进。在这种结构中 , 仅需要万维网浏览器或者一部分业务逻辑实现前端来构成用户界面。主要的业务逻辑还是利用一种Three-tier结构在服务器端实现。它大大降低了客户端电脑的负荷 , 减少了系统升级和维护的成本和工作负载。B/S相对简单 , 建立网络应用程序占用的资源更少,使数据库应用程序实现互联网 / 内联网模式。B/S可以让不同的客户端从不同的地方有不同的访问方法 ( 如局域网、广域网、互联网 / 内联网等 ), 访问和操作共同的数据库。它能有效地保护数据平台和管理访问权限 , 并使数据库服务器非常安全。特别是在JAVA语言的出现后实现了跨平台 ,B/S架构管理软件表现地尤其出色。随着互联网和万维网的普及,从前主机终端和C/S结构无法实现的全球信息资源共享,如今已经终于实现了。B/S模式最重要的特点是 , 用户通过www浏览器就可以访问所有文本、数据、图像、动画和视频。这些信息是保存在web服务器 ,web服务器可以通过多种方式相互联系。除了www浏览器 , 客户一般不需要任何用户程序。它可以简单地从Web服务器将程序下载到本地。在下载过程中 , 数据库相关的命令将被发送到数据库服务器的Web服务器端来实现。结果将被返回给Web服务器 , 然后Web服务器再返回发送到用户界面。

相对于C/S结构,B/S类型的仓储管理软件有以下的优缺点 :1. 从分配特点来看,B/S可以执行查询、浏览和其他操作 ;2. 可以更加简单和方便的扩展功能。如果需要额外添加服务器的功能 , 开发人员只需要增加web页面 ;3. 便捷的维护。如果页面进行了修改(更新), 所有用户接收同步的更改(更新);4.B/S结构的研发比C/S应用程序更加简单 , 他们有更强大的共享功能。同时,B/S架构系统也存在一些缺点如:1.多元化和个性化略逊于其他结构。B/S结构不能实现私人定制。( 因为多元化和个性化需要依赖的是软件框架 , 而不是架构 ) ;2. 基本操作依赖鼠标来完成 ,无法满足一些快速操作的需求 ;3. 刷新页面动态结果 , 响应率显著降低 ;4. 和传统C/S结构相比,B/S缺乏一些功能界面 ,所以较难实现部分特殊的功能需求 ;5. 一旦出现互联网外围故障而没有应急方案,则会出现较为严重的数据管理混乱。

企业的网络架构与管理 篇2

基于RFID和WSN的养殖场管理系统网络架构

将RFID和WSN技术相融合,并将其应用于开发大规模现代化养殖场管理系统中去.其中,RFID技术实现牲畜个体识别与追踪,WSN技术完成牲畜健康状况和养殖场环境状况的实时监测,为养殖场的自动化管理、环境污染、疫情防治和食品安全等问题提出了综合的解决办法.为此,深入分析了现有的`RFID和WSN技术融合的几种类型以及养殖场管理系统的性能需求,对基于RFID和WSN技术的大规模养殖场管理系统的网络架构及需要开发的关键部分进行了设计.

作 者：刘国梅 王艳  作者单位：郑州航空工业管理学院,郑州,450015 刊 名：农机化研究  PKU英文刊名：JOURNAL OF AGRICULTURAL MECHANIZATION RESEARCH 年，卷(期)： 32(6) 分类号：S818.5 TP393 关键词：养殖场管理   RFID   WSN   网络架构  

企业统一无线网络架构设计 篇3

关键词：无线网络架构；无线控制器；轻量级无线接入点；LWAPP

中图分类号：TN925文献标识码：A文章编号：1007-9599 (2010) 13-0000-02

Enterprise Unified Wireless Network Architecture Design

Liu Xinjun,Yang Junwei,Chen Xiaoyun,Pan Weiping

(Shanghai Television Station,Shanghai200041,China)

Abstract:This dissertation introduces the traditional structure of enterprise wireless network,including its system manageability,security and roaming flexibility,and analyses the existing defects structure,then highlights the competitive edges of unified wireless network structure.That new network structure is equipped with lightweight wireless LAP,WLC and LWAPP,thus strengthening the availability and security of wireless network.

Keywords:WLAN;WLC;LAP;LWAPP

一、引言

隨着无线技术在近年来的飞速发展，无线网络已经迅速成为了企业园区网中所不可或缺的组成部分。无线网络的可扩展性、易获取性等特点让企业的日常工作中效率大大得以提升。然而，无线网络给我们带来便利的同时，也带来了一系列管理难题和安全隐患。

目前，企业所普遍采用的无线网络架构均属于传统方式。在该方式中，无线接入点（Wireless Access Point，下简称AP）相互独立，缺乏统一部署和管理，无线数据流缺少汇聚点，安全策略得不到有效部署。针对上述这些缺点，企业统一无线网络架构做出了诸多方面改进，包括AP的管理模式、无线数据流控制等。企业统一无线网络架构在延续了无线网络优势的同时，更是完善了无线网络的可管理性、安全性和可用性，使其更高效、安全地为企业的各类业务应用提供服务。

二、企业传统无线网络架构

企业传统无线网络架构由四大板块组成，分别是：无线终端层、无线接入层、有线传输层和网络控制层。在该架构中，AP相互独立部署于整个企业的园区内，用户的无线数据终端可通过加密信道将数据发送至AP，由AP再将数据转发至有线传输层，继而访问企业内部资源或是互联网资源，详情可参考图一。

图一：企业传统无线网络架构

（一）企业无线网络传统架构数据流

传统无线网络架构的确扩展了企业园区网络的覆盖范围，实现企业的各类无线业务，使得用户对于应用的获取更为灵活和方便。在传统无线网络架构中，其无线应用的数据流主要以下几个步骤：

1.用户的无线终端设备通过加密信道连接至离自己最近的AP，这也是该架构中唯一可以实施安全性的环节。

2.无线加密数据传输到AP后，由AP负责数据的解密，然后将数据桥接到企业的有线交换网络。

3.桥接至有线交换网络后，无线应用数据流与企业中的有线数据流完全一致。

（二）企业无线网络传统架构缺点

通过上述图一所示以及无线数据流模的描述，可以清楚的知道，在传统无线网络架构中无线数据流缺少统一的汇聚节点，存在着诸多缺点：

1.AP缺乏统一部署和管理。

在企业传统无线网络架构中，各个AP独立运行，企业管理员必须对每个AP进行单独配置，如此分散式的AP部署模式给管理带来很大的不方便性。同时，在网络规划中，一般会将无线用户归入同一个网段，以便在网络中做简单的安全控制。然而，由于AP将部署在企业园区中不同的交换设备，为了满足之前的要求，就不得不将无线网段在所有交换机上互相连通，这样的部署容易造成地址在整个园区网中泛洪，显然这并不符合最佳的网络设计实践的要求。

2.网络安全难以保证。

在企业园区网中，无线网络的出现一方面扩大了网络覆盖范围，但另一方面也带来了更多的安全隐患。由于每个AP独立运行，因此管理无线网络的安全性变得十分困难，每个独立的AP处理其各自的安全策略。无线数据流缺少统一的汇集点，这意味着无法对无线数据流进行集中统一的监控，以实现入侵检测和防范、服务质量、带宽控制等。同时，用户无线终端虽然可以与AP之间通过加密信道进行数据传输，但由于无线通信环境的易获取性和复杂性，黑客可以比较方便地对无线数据进行截取、分析和解密，从而窃取到数据内容。

3.AP间信号重叠，漫游功能欠灵活。

在传统的无线网络架构中，各个AP独立运行，相互之间没有通信机制，因此每个AP都会将功率信号放到最大，这便会使得AP之间的信号重叠区域可能超过20%，而一般合理的信号重叠区域应维持在10%左右。然而在重叠区域的用户无线终端会出现时断时续的现象。此外，由于AP之间相互独立，当用户在从AP1的信号范围移动到AP2时，无线终端需离开AP1范围即造成信号中断后再连接AP2的信号，在整个漫游过程中将造成数据包的大量丢失。

通过上述章节，我们简单回顾了企业传统无线网络架构及数据流，指出该架构的诸多不足之处。那么在接下来的论述中，针对安全和管理的问题，文章引入一种新的架构方式，即企业统一无线网络架构，该架构不但可为企业获取灵活的无线业务应用，同时还能保证其可管理性和安全性。

三、企业统一无线网络架构

与传统无线网络架构一样，统一无线网络架构也可分为四大区域。其中，无线接入层和网络控制层的设备部署与传统架构相比存在较大不同：

1.在网络控制层中，该架构增加了无线控制器（Wireless Lan Controller，下简称WLC）和无线控制系统（Wireless Control System，下简称WCS）。WLC主要对AP进行统一集中管理，以实现网络的安全性和管理的灵活性，是无线网络统一架构的关键设备之一。WCS属于配套管理系统，在该架构中可查看整个无线网络覆盖的信号强度和范围，并能管理连接无线的用户，查看其身份，IP地址和具体的位置等功能，为统一无线架构的更是增加了灵活方便的元素。

2.在无线接入层中，该架构部署的AP为轻量级AP（LAP），俗称“瘦AP”，其意义在于LAP并不需要单独配置，其配置通过WLC处自动下发获取，LAP与WLC之间实现基于LWAPP隧道封装的通信机制，以确保无线网络系统的统一性和安全性，详情可参考图二。

图二：企业统一无线网络架构

（一）企业统一无线网络架构数据流

统一无线网络架构针对传统无线网络架构中的诸多缺点，有了各方面的改进。在论述该架构之前，我们先对该架构中的无线数据流进行必要的描述：

1.用户无线终端设备通过加密的无线信道接入至附近的LAP。

2.LAP接收到用户无线终端的数据，以LWAPP协议在二层通道对数据进行隧道封装（可参考图二中的数据流描述），并通过证书方式對WLC进行认证。合法的WLC在通过认证后，LAP才会将封装后的用户数据发送至WLC。此时，LAP不负责对用户数据进行解密，解密过程由远端WLC完成。

3.WLC接收到LAP发送的数据，先对LWAPP隧道进行解封装，如果数据加密则进行解密，完成后根据原数据包目标地址按路由转发，同时将原数据包源地址更改为自身设备的出口地址。

4.由于WLC在转发数据前将原数据包的源地址更改成自身设备的接口地址，因此回包数据将先被统一转发至WLC，再由WLC进行LWAPP隧道封装发送给相应的LAP，LAP收到数据进行解封装后发送至用户的无线终端设备。其中，加密解密过程分别由WLC和用户无线终端分别进行，LAP并不参与。

（二）企业统一无线网络架构优点

根据对该架构数据流的描述，不难发现企业统一无线网络架构的优势主要有以下几点：

1.统一的AP管理和控制。

在该架构中，LAP并非独立部署于企业园区中，它们的配置策略和运行情况由WLC进行统一管理和协调。接入的LAP会自动同步WLC上的配置文件。在WLC中也能够管理所有已注册的合法LAP，当某个LAP发生故障时，WLC能够及时针对指定LAP进行排障。这使得管理员对于LAP的部署和管理非常的灵活便捷。

于此同时，由于用户无线终端与目标应用间的通信被LAP和WLC用LWAPP协议进行隧道封装传送，因此无线用户可以被设计在同一个网段中而并不需要对整个网络进行二层的贯通，LAP本身的地址可以与归属的二层交换机同一网段。这样的设计并不会对企业园区网造成地址泛洪的影响，是比较优化的网络设计实践。

2.网络安全性有保障。

在传统无线网络架构中，无线数据流缺少集中的汇聚点，这导致安全策略难以集中统一部署。然而在该架构中的无线数据流在WLC处有统一的汇聚点。在该汇聚点上，管理员可统一实施相应的安全策略，如认证授权、防入侵检测、服务质量控制等一系列的管理功能，这将大大提升无线网络的自身的安全性。同时，在此架构中，无线数据的加密解密分别由用户的无线终端与WLC之相互交替进行，并且在整个传输过程中都是被隧道封装在LWAPP隧道中，这使得黑客比较难以从中通过对数据包的监听到而实施破解，也从另一个方面加强了无线数据的安全性。

3.支持灵活漫游机制。

企业的网络架构与管理 篇4

能够熟练的掌握WEB服务的基本原理和架构;

能够IIS服务包含的主要服务;

能够掌握默认网站的基本配置以及原理;

能够掌握虚拟目录的基本配置;

能够熟练的掌握虚拟主机的配置;

能够增强网站安全性的基本方法;

实验拓扑：

实验步骤：

第一步：安装Internet信息服务组件：

WWW服务，及万维网服务，只在网上发布的，那么WWW为什么能在网上发布呢?WWW服务建立是通过WEB站点来完成的，

那么我们肯定知道在windows中我们用的是IIS而在linux中我们则用的是apache，下面我们来通过试验来揭开IIS神秘的面纱。首先我们知道IIS是windows中的一个组建而已!现在最新的是IIS6.0。IIS6.0为用户提供了集成、可靠、可扩展、安全即可管理的web服务器解决方案。现在经过改善已经满足了企业和用户的基本需求：

IIS6.0由下面几部分组成：

分别是万维网www、文件传输协议ftp、简单邮件传输协议smtp service、nntp Internet信息服务管理器、以及后台智能传输服务服务器扩展

(1)、在“开始”菜单中选择“控制面板”中“添加删除程序”如图所示：：：

(2)、然后点击“添加删除组建”在弹出的“组建向导”中我们选择“应用程序服务器”然后单击“详细信息“即可完成;

(3)、在弹出的“应用程序服务器”窗口中，可以看见默认安装的子组建，我们在这里不做任何改动，如果在以后中我们还需要再添加相应的组建。

(4)、如图所示就是IIS安装的具体过程;

(5)、按照系统提示，插入的光盘或者指定的路径，单击“确定”就完成了IIS6.0的安装;

第二步：创建以及配置默认网站：

(1)、安装完IIS之后，我们选择“开始—程序—管理工具—IIS管理器”即可打开IIS管理器。如图下图所示：

(2)、如下图所示是默认网站的界面：

下面我们共同来了解一下默认站点上的一些具体信息;

1. IP地址与TCP端口：要访问一个WEB站点，首先配置网站的IP地址和TCP端口。在默认站点的属性中我们选择“网站”即可看到他的一些具体的详细信息;在“IP地址”这一栏中我们可以选择“全部未分派”或者“指定本地的IP地址”，“TCP端口”为“80”，表示web服务器默认的站点，如果我们还可以来修改TCP端口来访问WEB站点，但是在一般的情况下，TCP端口是保留默认的。

还有一些像其他的基本描述：

描述：：通俗易懂的是让我们明白他是干什么的，也就是说他是用来做标记的!!!

连接超时：就是说当你连接和没有连接之前的超时等待;但在一般情况下，默认超时的时间是120秒。

保持HTTP连接可以与客户端一起来保持连接，进一步的时候我们是不需要重新连接就即可访问了;

(3)、在配置默认站点的之前我们首先先创建一个文件夹并为他设置访问的网页;如图所示我们在C盘为默认网站创建了一个默认文件夹并为他设置了要访问的网页：

(4)、配置“默认网站”的主目录：

在配置主目录的时候在这里有三个选项一般情况下，我们会选择第一种情况“如图示”但是我们还可以选择第二种和第三种来完成WEB站点的访问。

此计算机上的目录：他可以将该网站的网页存放在本地的计算机的路径中。

另一台计算机上的共享：选择该选项，可以将网页存放在网络存放在网络的其他的计算机，但是他要UNC路径来确定。

重定向到URL：如果选择这项，客户端访问的时候他会指定到其他的网站：

在这里要注意我们只能选择“读取”来完成，一般情况下他是不会选择“写入”的。如果那样对于网页是不安全的!!!

(5)、配置“默认网站”的文档：

在配置文档的时候我们要知道设置“文档”其实是设置网站的首页;在这里我们也可以添加主页：如图是我们在为他添加的;

(6)、下面是为它配置添加完成的如图所示：

(7)、下面我们来访问自己的创建的WEB服务器：

第三步：配置虚拟目录：

在做之前我们首先要明白配置虚拟目录有说明好处，配置虚拟目录可以将数据分散保存到不同的磁盘或者计算机上，便于管理和维护;如果当你的数据移动到其他物理位置的时候，不会影响WEB站点的逻辑结构;

还是和上面一样我们在创建虚拟目录之前我们来创建文件夹以及为他创建文件夹的内容;如图所示：

创建虚拟目录：

(1)、选中默认站点然后选择“新建”虚拟主机：如图所示：

他会弹出一个向导界面看你是不是继续“下一步”;

(2)、在“虚拟目录创建向导”的“虚拟目录别名”文本框中键入“要输入的别名的名字”下一步;

(3)、在“网站内容目录”中我们选择输入文本的路径(但是此文件夹必须是包含网页的文件的目录)

(4)、配置完他的路径我们在配置他的首页，及他的文档;具体如图所示：

(5)、然后选择他的“权限”，我们只是勾选他的“读取”即可完成;

(6)、完成上面的配置即可完成!如图所示：

(7)、我们来访问虚拟目录是不是完成了：

第四步：配置不同的虚拟主机：

配置虚拟主机一般有三种方法：

使用不同的IP地址;

使用相同的IP地址、不同的TCP端口;

使用相同的IP地址和TCP端口、不同的主机头：

一、通过不同的IP地址来访问;

在这里我们配置两个IP地址;192.168.1.2和192.168.1.3，在这里我们添加192.168.1.3，

下面是添加IP地址完成界面：

我们在创建第二个网站;

(1)、创建新的网站：

选择站点右键新建即可完成如图所示：

(2)、在创建的新建的界面中会出现如图所示的向导界面：

(3)、下面是对新建站点的描述，

我们在这里输入“dr”即可下一步：

(4)、在新创建的网站中输入新添加的IP地址：

5)、在这里我们指定他的目录的是新建的网站的具体目录：

(6)、在这儿和上面一样我们选择“读取”下一步：

(7)、完成上面的步骤新创建的网站就完成了，注意：创建网站和创建虚拟目录基本上一样!

(8)、在创建上面的网站，我们来配置新建的网站：

(9)、添加新的文档首页，(在这里配置是在上面刚创建的)

10)、这是添加后的文档：：

(11)、下面我们来访问一下看是不是能够访问：

二、配置不同的TCP端口;

如果两个网站的IP地址和TCP端口完全相同那么会出现怎么样的情况呢?

如下图所示：

如图所示：他会出现这两种情况：

我们来修改他的TCP端口就可以完成访问了：如图所示：(把自己的端口修改成其他的)

下面我们来访问通过设置不同的端口设置后的网页：

三、配置主机头：

在配置主机头之前我们先创建DNS服务，因为DNS他可以将域名解析成IP地址，将IP地址解析成域名：主机头的形式相当于FQDN，如果当出现相同的IP地址和TCP端口的时候我们会选择主机头来完成相应的配置;

在DNS服务器上创建DNS服务;

选择主要区域来完成DNS的构建;

填写相应的区域名称;我们在这里来设置区域的名是benet.com

完成上面的提示他会出现DNS服务的文件名我们在这里选择默认的即可;

我们还是和上一步一样选择默认的OK了，我们也可以选择其他的;在本例中我们就选择默认的：

完成上面的步骤就OK了

那么现在新建区域我们已经创建好了，我们就为区域创建主机：

如图所示是新创建好的主机：注意他们的IP地址是相同的：

(1)、下图是我们为默认的网站配置的主机头，点击“编辑”就OK;

(2)、如图是出现编辑的界面：我们为他配置IP地址和TCP端口：

(3)、下图是我们为新建的网站配置的主机头，点击“编辑”就OK;

(4)、如图是出现编辑的界面：我们为他配置IP地址和TCP端口：

(5)、我们来通过不同的主机头来访问不同的网站：但是我们应该注意当我们配置了主机头我们就不能在用IP地址来访问了：

四、WEB站点的安全性;

(1)、我们在这里可以，通过身份验证和访问控制;在默认站点的窗口中，选择目录的安全性的选项;

(2)、我们为了试验的效果更明显我们可以来创建两个用户：

(3)、我们在这里选择允许匿名访问的时候我们可以选择我们新创建的用户的名字;具体如图所示：

(4)、当你确定的时候他会出现确认密码让你来确定：如图：

(5)、下面我们来看看效果是不是就变了呢?(注意：当我们勾选匿名访问的时候我们通过实验该明白，只要是user中的用户都可以匿名访问但还是要相应的权限来完成!其中系统默认的用户他是属于Gusts中的)

(6)、当我们把“启用匿名访问”的勾去掉访问的时候他就需要授权了!!!!

(7)、如果启用“启用匿名访问”那么会出现下面的对话框!!!

(8)、我们还可以通过”IP地址和域名限制“来访问。

(9)、当我们选中“启用匿名访问”时候会出现下面的界面：我们在这里设置的是客户机的IP地址;

(10)、我们在客户机上来测试一下，如图：：

(11)、在其他的客户机上我们还是可以访问如图：

企业的网络架构与管理 篇5

新一代安全网关在内容安全方面以内容过滤、行为监控功能为主，提供Web页面的内容过滤、邮件内容过滤、URL地址过滤、病毒过滤、垃圾邮件过滤、行为识别与控制(对QQ、MSN、SKYPE、BT、edonkey、迅雷等常用的IM工具和P2P工具的监控等)、行为记录与审计等功能；在网络安全方面提供访问控制、流量控制、NAT、IPSECVPN、SSL VPN、IP MAC绑定、身份认证功能等。在管理方面采用灵活多样的方式，支持集中和分布式相结合的部署方式，可以通过安全管理平台进行统一管理，也可以通过B/S方式进行无客户端的管理。

新一代安全网关(NGsG)的处理机制

NGSG包含了如图1所示的组成部分。整个系统采用层次结构，在通用的安全架构基础上增加了内容过滤加速模块和密码加速模块。

采用通用X86硬件平台架构，当添加大量内容过滤规则、开启网络行为识别与记录后，系统的处理能力就会急剧下降，会严重影响网络的通信质量，但不启用这些功能又会形成严重的安全隐患。解决方法就是采用基于全包多任务并行内容查询与过滤的加速模块，其简单结构如图2。它不仅能够实现常用的基于协议、IP地址、服务端口的访问控制功能，还能够实现基于报文特征和内容字段的全包查询功能，将CPU从繁忙的规则匹配、内容匹配中释放出来，更好地为复杂的分析、处理和调度功能服务。网络报文在该系统中的处理过程如下：CPU将收到的报文通过Memory和SCFC(special ContentFilter Channels)发送给CFC(ContentFilter Core)，CFC将查询的结果信息通过SCFC返回给CPU，根据结果信息，CPU对报文作后续的处理(状态刷新、地址转换、记录日志等)，高速地完成报文转发。

强大的加解密功能也是这款设备的亮点之一。结合IP加密处理技术，实现了内容过滤模块与IP加密模块的有机融合，达到内容过滤与IP加密双加速的目的，在充分保证内容安全和通信安全的前提下提供了高质量的通信带宽保障。为了保证处理的效率，内容过滤加速模块只对加密前和解密后的报文作内容安全处理。

如图3是一个NGSG的典型应用场景。Intranetl和Intranet2是分布于不同地域的有上下级关系的内部网络，分别部署了NGSGl和NGSG2，都安装了统一安全管理平台和行为记录与审计服务器。NGSGl与NGSG2之间通过建立高速的VPN通信通道，保证两个内网间的业务通信过程安全(机密、完整、有效)；配合高速内容过滤模块，保证内网与内网间、内网与外网间的内容安全，同时保证内部的重要内容通过网络可控传送。NGSG2行为记录信息可发送给上级行为记录与审计服务器NGSGl，同时本地保留相同记录信息，保证上级对下级的上网行为进行监视、审计和管理。同时，上级通过安全管理平台，可以对下级NGSG2进行配置管理或状态查询等操作，保证了上级可对下级上网行为进行控制。