1、企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案目錄第1章.項(xiàng)目概述21.1.項(xiàng)目背景21.2.項(xiàng)目建設(shè)需求21.3.建設(shè)目標(biāo)3第2章.系統(tǒng)規(guī)劃要求42.1.高可靠要求42.2.高性能要求42.3.易管理性要求42.4.安全性要求42.5.可擴(kuò)展性要求52.6.實(shí)用性和先進(jìn)性要求52.7.經(jīng)濟(jì)性要求5第3章.系統(tǒng)總體設(shè)計(jì)6第4章.基礎(chǔ)平臺(tái)詳細(xì)規(guī)劃94.1.網(wǎng)絡(luò)系統(tǒng)94.1.1.系統(tǒng)設(shè)計(jì)目標(biāo)94.1.2.系統(tǒng)設(shè)計(jì)原則94.1.3.整體網(wǎng)絡(luò)規(guī)劃94.1.4.分區(qū)設(shè)計(jì)詳解114.1.5.網(wǎng)絡(luò)協(xié)議設(shè)計(jì)164.1.6.設(shè)備選型建議214.2.安全系統(tǒng)224.2.1.系統(tǒng)設(shè)計(jì)目標(biāo)224.2.2.系統(tǒng)設(shè)計(jì)原則224.2.3.安全體系結(jié)

2、構(gòu)234.2.4.子系統(tǒng)規(guī)劃254.2.5.設(shè)備選型建議29第1章. 項(xiàng)目概述1.1. 項(xiàng)目背景隨著*公司信息技術(shù)發(fā)展，作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴(yán)重：網(wǎng)絡(luò)負(fù)載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問題嚴(yán)重、應(yīng)用系統(tǒng)的增加，多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造，以滿足*公司信息技術(shù)發(fā)展的需求。1.2. 項(xiàng)目建設(shè)需求 在利用*公司現(xiàn)有網(wǎng)絡(luò)資源的基礎(chǔ)上加以改造，改造后的網(wǎng)絡(luò)需要滿足以下需求：1、 根據(jù)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問要求，將現(xiàn)有各個(gè)業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進(jìn)行整合，以達(dá)到單個(gè)用戶可以訪問不同子網(wǎng)的資源，并通過一定的安全策略，確保各個(gè)子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)安全。2、 優(yōu)

3、化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)立網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，最終形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。3、 實(shí)現(xiàn)整個(gè)公司網(wǎng)絡(luò)架構(gòu)分等級(jí)安全管理。4、 建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng)，所有用戶通過認(rèn)證方式接入公司網(wǎng)絡(luò)，訪問自己對(duì)應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)。5、 實(shí)現(xiàn)網(wǎng)絡(luò)終端受控，重要崗位終端行為管理，保證終端規(guī)范化操作。 6、 實(shí)現(xiàn)服務(wù)器及存儲(chǔ)資源的有效利用，建立核心服務(wù)器區(qū)域的安全防護(hù)提高運(yùn)行能力。將現(xiàn)有主要服務(wù)器，如產(chǎn)銷系統(tǒng)、新老線MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠(yuǎn)程計(jì)量、人事、原料采購、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一管理。7、 實(shí)現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中的隔離，

4、保證L2系統(tǒng)安全穩(wěn)定運(yùn)行。1.3. 建設(shè)目標(biāo)此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng)，安全系統(tǒng)的建設(shè)。各個(gè)系統(tǒng)的功能概述如下：1) 網(wǎng)絡(luò)系統(tǒng)：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入條件和機(jī)房環(huán)境條件，對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面改造升級(jí)，實(shí)現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入，簡(jiǎn)化網(wǎng)絡(luò)邏輯架構(gòu)。2) 安全系統(tǒng)：根據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求，設(shè)計(jì)部署安全防御體系（包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次），各業(yè)務(wù)系統(tǒng)的安全防范和服務(wù)體系，并實(shí)現(xiàn)集中的安全管理。第2章. 系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下： 1.2.1. 高可靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運(yùn)行，整個(gè)系統(tǒng)應(yīng)有足夠的冗余，設(shè)備發(fā)生故障時(shí)能以熱備份、熱切換和熱插拔的方式在

5、最短時(shí)間內(nèi)加以修復(fù)。可靠性還應(yīng)充分考慮系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障，網(wǎng)絡(luò)核心和重點(diǎn)單元設(shè)備支持雙機(jī)備份。2.2. 高性能要求核心網(wǎng)絡(luò)提供可保證的服務(wù)質(zhì)量和充足的帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸。整個(gè)系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。2.3. 易管理性要求考慮到系統(tǒng)建設(shè)后期的維護(hù)和管理的需要，在方案設(shè)計(jì)中充分考慮各個(gè)設(shè)備和系統(tǒng)的可管理性，并可以滿足用戶個(gè)性化管理定制的需要。網(wǎng)站各系統(tǒng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行配置和發(fā)現(xiàn)故障。2.4. 安全性要求對(duì)于內(nèi)部網(wǎng)絡(luò)以及外部訪問的安全必須高度重

6、視，設(shè)計(jì)部署可靠的系統(tǒng)安全解決方案，避免安全隱患。設(shè)計(jì)采取防攻擊、防篡改等技術(shù)措施。制定安全應(yīng)急預(yù)案。管理和技術(shù)并重，全方位構(gòu)建整個(gè)安全保障體系。2.5. 可擴(kuò)展性要求對(duì)*信息化建設(shè)規(guī)劃要長(zhǎng)遠(yuǎn)考慮，不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見需求，考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級(jí)與銜接。留有擴(kuò)充余量，包括端口數(shù)和帶寬升級(jí)能力。2.6. 實(shí)用性和先進(jìn)性要求系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，未來的信息傳輸都將依賴于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計(jì)必須具有很強(qiáng)的實(shí)用性，滿足不同用戶信息服務(wù)的實(shí)際需要，具有很高的性能價(jià)格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)。2.7. 經(jīng)濟(jì)性要求本

7、次系統(tǒng)建設(shè)中，要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源的價(jià)值。要本著以最少的建設(shè)成本，最少的改造成本，持續(xù)獲得當(dāng)期及未來建設(shè)的最大利益。第3章. 系統(tǒng)總體設(shè)計(jì)此方案設(shè)計(jì)將遵循先進(jìn)性、實(shí)用性、可靠性、易管理性、安全性、擴(kuò)展性、經(jīng)濟(jì)性的原則，為實(shí)現(xiàn)*數(shù)據(jù)集中處理的方式，構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng)，能支持全公司范圍內(nèi)的高可靠實(shí)時(shí)網(wǎng)絡(luò)連接。依據(jù)*網(wǎng)絡(luò)改造建設(shè)的需求，本次方案設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)系統(tǒng)的總體示意圖如下：*網(wǎng)絡(luò)改造總體拓?fù)鋱D注：圖中橙色字體的設(shè)備為此次新增設(shè)備。具體描述：1 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)1) 整體網(wǎng)絡(luò)結(jié)構(gòu)按照不同的安全級(jí)別，主要分為出口區(qū)域、DMZ區(qū)域、中心服務(wù)器集群區(qū)域、核心交換區(qū)域、生產(chǎn)

8、網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠(yuǎn)程計(jì)量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域。2) 作為整個(gè)網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域，采用兩臺(tái)高端核心交換機(jī)雙機(jī)熱備的方式，保證核心業(yè)務(wù)的正常開展。同時(shí)，依據(jù)業(yè)務(wù)的重要程度對(duì)全廠網(wǎng)絡(luò)進(jìn)行分區(qū)、并進(jìn)行可靠安全隔離，避免重要程度較低的業(yè)務(wù)對(duì)重要程度高的核心業(yè)務(wù)造成影響。3) 生產(chǎn)網(wǎng)接入?yún)^(qū)域，主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備。根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。4) 上述七個(gè)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同

9、時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問的功能。5) 規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的服務(wù)器，劃到同一邏輯區(qū)域。考慮到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪問。6) 設(shè)計(jì)新的互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負(fù)載均衡等安全設(shè)備，保證全廠用戶的上網(wǎng)安全。原有生活區(qū)用戶不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶使

10、用單獨(dú)的出口設(shè)備連接互聯(lián)網(wǎng)。7) 構(gòu)建DMZ 區(qū)域，將WWW、DNS、MAIL等需要同時(shí)服務(wù)內(nèi)外網(wǎng)用戶的服務(wù)器放到該區(qū)域，設(shè)置VPN、負(fù)載均衡等設(shè)備保證服務(wù)安全。8) 能源網(wǎng)和遠(yuǎn)程計(jì)量網(wǎng)由于是獨(dú)立運(yùn)行的物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在的范圍。但此次我們新增的核心交換，在性能、穩(wěn)定性、處理能力方面，均有能力負(fù)載未來其他多個(gè)網(wǎng)絡(luò)的融合。2 安全系統(tǒng)設(shè)計(jì)本次*網(wǎng)絡(luò)改造項(xiàng)目建設(shè)將考慮如何建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強(qiáng)安全管理工作和安全應(yīng)急工作。通過部署防火墻保證網(wǎng)絡(luò)邊界的安全，保證網(wǎng)絡(luò)層的安全；部署入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)安全狀態(tài)的實(shí)時(shí)監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵，保證主機(jī)的安全；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)

11、網(wǎng)絡(luò)進(jìn)行監(jiān)控；部署抗攻擊系統(tǒng)抵御來自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對(duì)系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析；部署時(shí)鐘系統(tǒng)使系統(tǒng)的時(shí)鐘同步；部署單點(diǎn)登錄系統(tǒng)方便用戶在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份；部署統(tǒng)一認(rèn)證系統(tǒng)對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺(tái)提供一個(gè)單一的用戶登陸入口；部署安全管理平臺(tái)實(shí)現(xiàn)系統(tǒng)內(nèi)安全事件的統(tǒng)一管理。我們要通過相應(yīng)的安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和管理層等多個(gè)方面的完整網(wǎng)絡(luò)安全體系。第4章. 基礎(chǔ)平臺(tái)詳細(xì)規(guī)劃4.1. 網(wǎng)絡(luò)系統(tǒng)4.1.1. 系統(tǒng)設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標(biāo)，是要建立

12、統(tǒng)一融合的、覆蓋全公司范圍內(nèi)的、高速高可靠的網(wǎng)絡(luò)平臺(tái)，以支持?jǐn)?shù)據(jù)集中處理的運(yùn)行模式。4.1.2. 系統(tǒng)設(shè)計(jì)原則網(wǎng)絡(luò)系統(tǒng)包括四大部分，一是出口區(qū)域，實(shí)現(xiàn)公司用戶的上網(wǎng)需求；二是服務(wù)器區(qū)域，對(duì)*現(xiàn)有業(yè)務(wù)系統(tǒng)的主機(jī)存儲(chǔ)進(jìn)行統(tǒng)一管理；三是核心交換區(qū)域，實(shí)現(xiàn)全公司所有功能區(qū)域的互聯(lián)互通；四是二級(jí)接入?yún)^(qū)域，對(duì)整個(gè)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行重新規(guī)劃，形成新的匯聚節(jié)點(diǎn)，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新的管理網(wǎng)絡(luò)中，實(shí)現(xiàn)單一終端對(duì)所有業(yè)務(wù)系統(tǒng)的統(tǒng)一訪問。網(wǎng)絡(luò)系統(tǒng)有良好的擴(kuò)展性，保證網(wǎng)絡(luò)在建設(shè)發(fā)展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不斷地?cái)U(kuò)大。網(wǎng)絡(luò)線路及核心、關(guān)鍵設(shè)備有冗余設(shè)計(jì)。核心設(shè)備和關(guān)鍵設(shè)備保證高性能、高可靠性、大數(shù)

13、據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)充分考慮系統(tǒng)的安全性。4.1.3. 整體網(wǎng)絡(luò)規(guī)劃按照結(jié)構(gòu)化、模塊化的設(shè)計(jì)原則，實(shí)現(xiàn)高可用、易擴(kuò)展、易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)整體拓?fù)淙缦聢D所示：注：圖中橙色字體的設(shè)備為此次新增設(shè)備。按照“模塊化”設(shè)計(jì)原則，需要對(duì)*整體網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分區(qū)設(shè)計(jì)。根據(jù)*公司業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：核心交換區(qū)：此區(qū)域用于實(shí)現(xiàn)各分區(qū)之間的數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的核心樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，公司員上網(wǎng)，對(duì)外發(fā)布公司信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心服務(wù)器區(qū)：此區(qū)域部署核心業(yè)務(wù)服務(wù)器，包括MES、OA、人事、安全管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)匯聚區(qū)：實(shí)現(xiàn)公司辦公樓、各分廠等匯聚網(wǎng)絡(luò)接入，二

14、級(jí)單位可以通過該接入?yún)^(qū)域?qū)崿F(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的訪問。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶和公司核心交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備。4.1.4. 分區(qū)設(shè)計(jì)詳解4.1.4.1. 核心交換區(qū)設(shè)計(jì)此次網(wǎng)絡(luò)改造，建議新增兩臺(tái)高性能的核心交換機(jī)作為*的網(wǎng)絡(luò)核心。核心層作為整個(gè)*網(wǎng)絡(luò)的核心處理層，連接各分布層設(shè)備和*核心服務(wù)器區(qū)，核心層應(yīng)采用兩臺(tái)高性能的三層交換機(jī)采用互為冗余備份的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換機(jī)，同時(shí)，兩臺(tái)核心設(shè)備與分布層各設(shè)備連接，保證每臺(tái)分布層設(shè)備分別與兩臺(tái)核心層設(shè)備具有網(wǎng)絡(luò)連接，通過鏈路的冗余和設(shè)備冗余的設(shè)計(jì)，保證整個(gè)核心層的高可靠性。兩臺(tái)核心設(shè)備之間應(yīng)至少保證2G

15、bps全雙工的速率要求，并能平滑升級(jí)到10Gbps。核心區(qū)是整個(gè)平臺(tái)的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。否則，一旦核心模塊出現(xiàn)異常而不能及時(shí)恢復(fù)的話，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大。4.1.4.2. 互聯(lián)網(wǎng)出口區(qū)設(shè)計(jì)*與外網(wǎng)的出口區(qū)域，目前是通過建立獨(dú)立的寬帶網(wǎng)，實(shí)現(xiàn)辦公區(qū)和生活區(qū)通過統(tǒng)一出口訪問外網(wǎng)的。在此次網(wǎng)絡(luò)改造中，我們計(jì)劃把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng)隔離開，通過不同的出口訪問外網(wǎng)。改造后的生活區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)果如下圖所示：如上圖所示，此次生活區(qū)的網(wǎng)絡(luò)改造會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨(dú)的出口設(shè)備連接到互聯(lián)網(wǎng)。改在后的廠區(qū)互聯(lián)網(wǎng)出口

16、區(qū)域，如下圖所示：如上圖所示，工作區(qū)的網(wǎng)絡(luò)改造同樣會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，以及上網(wǎng)行為管理等安全設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨(dú)的出口設(shè)備之間連接到互聯(lián)網(wǎng)。出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包括一個(gè)DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時(shí)服務(wù)內(nèi)、外網(wǎng)用戶的服務(wù)器放到該區(qū)域，4.1.4.3. 中心服務(wù)器區(qū)設(shè)計(jì)規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的服務(wù)器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個(gè)區(qū)域接入到核心，而邏輯上可以再劃分為多個(gè)業(yè)務(wù)應(yīng)用區(qū)，根據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)服務(wù)器區(qū)（如ERP等）、辦公服務(wù)器區(qū)（如OA等）、管理服務(wù)器

17、區(qū)（如IT運(yùn)維、管理等系統(tǒng)）等。考慮到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪問。4.1.4.4. 網(wǎng)絡(luò)匯聚區(qū)設(shè)計(jì)網(wǎng)絡(luò)匯聚區(qū)域，根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。該區(qū)域的網(wǎng)絡(luò)設(shè)備主要以現(xiàn)有的生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的匯聚設(shè)備，同時(shí)考慮現(xiàn)有匯聚設(shè)備性能不能滿足需求的情況，新增高新能的匯聚設(shè)備。匯聚層設(shè)備通過雙鏈路的方式與核心層

18、兩臺(tái)核心交換設(shè)備相連，同時(shí)，為保障網(wǎng)絡(luò)的健壯性，以及便于各個(gè)分廠區(qū)之間數(shù)據(jù)交互，各個(gè)分廠區(qū)的匯聚交換機(jī)之間也有線路直連。各匯聚節(jié)點(diǎn)與核心層的連接，應(yīng)全部采用1000Mbps或1000Mbps以上的連接方式，分布層設(shè)備實(shí)現(xiàn)本區(qū)域內(nèi)的各Vlan的路由處理和安全限制。4.1.4.5. 接入層部分網(wǎng)絡(luò)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問的功能。接入層設(shè)備與分布層設(shè)備通過1000M光纖或雙絞線的方式連接，在用戶量較少的分節(jié)點(diǎn)可以采用100

19、M上聯(lián)方式，與各終端用戶連接一般采用100M或者1000M雙絞線的方式。生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入，通過自動(dòng)化車間和軋鋼總降等匯聚節(jié)點(diǎn)，接入到新的數(shù)據(jù)網(wǎng)絡(luò)中。各個(gè)分廠區(qū)的網(wǎng)絡(luò)接入情況如下圖所示：自動(dòng)化車間匯聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降匯聚網(wǎng)絡(luò)拓?fù)鋱D4.1.5. 網(wǎng)絡(luò)協(xié)議設(shè)計(jì)4.1.5.1. IP地址和VLAN規(guī)劃IP地址是網(wǎng)絡(luò)設(shè)計(jì)工作中重要的一環(huán)，使用IP地址不當(dāng)會(huì)造成路由表龐大、難以部署安全控制、地址重疊問題、地址空間耗盡等問題，會(huì)給網(wǎng)絡(luò)運(yùn)行帶來很大麻煩。為了讓*網(wǎng)絡(luò)建設(shè)項(xiàng)目順利進(jìn)行，我們建議*網(wǎng)絡(luò)采用以下IP地址規(guī)劃原則進(jìn)行適當(dāng)改進(jìn)：1、 為公司各個(gè)二級(jí)單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采用統(tǒng)一規(guī)

20、劃，統(tǒng)一分配，統(tǒng)一管理的地址設(shè)計(jì)原則，避免重疊地址的出現(xiàn)。設(shè)定專門流程和人員對(duì)全公司網(wǎng)絡(luò)地址進(jìn)行記錄和權(quán)限管理。2、 盡可能采用私有地址進(jìn)行IP地址分配。私有地址就是我們熟知的三類網(wǎng)絡(luò)地址，分別是A類網(wǎng)中的10.0.0.010.255.255.255范圍，B類網(wǎng)中的172.16.0.0172.31.255.255范圍，C類網(wǎng)中的192.168.0.0192.168.255.255范圍。3、 整網(wǎng)地址規(guī)劃思路可按照以下方法設(shè)計(jì)，如10.X.Y.Z，X為不同廠區(qū)進(jìn)行標(biāo)示，Y為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進(jìn)行標(biāo)示，Z為主機(jī)地址位。4、4個(gè)網(wǎng)絡(luò)可以匯聚成10.254.128.0/22。在定義測(cè)試區(qū)安全策略時(shí)

21、，不用將4個(gè)網(wǎng)段同時(shí)定義成ACL，使用一條ACL就可以包括全部網(wǎng)絡(luò)。5、 使用可變長(zhǎng)掩碼規(guī)劃網(wǎng)絡(luò)地址，根據(jù)IP地址使用對(duì)象的特點(diǎn)，部署不同長(zhǎng)度子網(wǎng)掩碼。例如，應(yīng)用網(wǎng)段的IP地址，可以采用C類網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間的互連地址可以采用29位掩碼。6、 不同主機(jī)實(shí)際網(wǎng)關(guān)IP地址與HSRP使用的IP地址應(yīng)該在整個(gè)數(shù)據(jù)中心統(tǒng)一，使用相同的方式配置，例如：整個(gè)廠區(qū)均采用X.X.X.1作為主機(jī)實(shí)際網(wǎng)關(guān)IP地址，HSRP采用X.X.X.254為HSRP網(wǎng)關(guān)地址。7、 網(wǎng)絡(luò)互連地址采用IP地址網(wǎng)段的頭兩個(gè)可用地址，核心側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。例如，設(shè)備A與設(shè)備B互連，采用

22、10.254.254.0/29網(wǎng)段為互連地址，該網(wǎng)段頭兩個(gè)可用地址為10.254.254.1和10.254.254.2，設(shè)備A為核心設(shè)備，配置奇數(shù)地址10.254.254.1，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址10.254.254.2。8、 網(wǎng)絡(luò)設(shè)備配置環(huán)回地址（32位掩碼地址），用于網(wǎng)絡(luò)管理和日志管理。VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個(gè)邏輯網(wǎng)絡(luò)，從而降低廣播風(fēng)帶來的影響，也可提高網(wǎng)絡(luò)可管理性和安全性。建議在此次網(wǎng)絡(luò)建設(shè)中可按照以下原則對(duì)新建VLAN及原有VLAN進(jìn)行適當(dāng)調(diào)整和修改。1、 VLAN ID的規(guī)劃可按照應(yīng)用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義，這里建議按照原有網(wǎng)絡(luò)規(guī)劃方法進(jìn)行。2、

23、VLAN ID可以是2-4096任意數(shù)字，為了方便標(biāo)示和管理，建議ID與IP網(wǎng)段地址相關(guān)聯(lián)。如10.18.10.0/24 VLAN10; 10.18.20.0/24VLAN20; 10.18.30.0/24VLAN30等。3、 VLAN規(guī)劃避免重復(fù)，全網(wǎng)VLAN靜態(tài)手動(dòng)分配（在根交換機(jī)），統(tǒng)一管理和記錄。4.1.5.2. 動(dòng)態(tài)路由協(xié)議對(duì)一個(gè)大網(wǎng)絡(luò)來說，選擇一個(gè)合適的路由協(xié)議是非常重要的，不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的，路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。目前存在的路由協(xié)議有：RIP(v1&v2

24、)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據(jù)路由算法的性質(zhì)，它們可分為兩類：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/IS-IS)。可用于大規(guī)模的網(wǎng)絡(luò)同時(shí)又基于標(biāo)準(zhǔn)的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議；采用同一種最短路徑算法（Dijkstra）。 考慮到產(chǎn)品對(duì)OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經(jīng)驗(yàn)，建議采用OSPF做為*網(wǎng)絡(luò)的主用動(dòng)態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF的特征如下：l 通過維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫，

25、使用基于Dijkstra的SPF路由算法。l 使用Hello包來建立和維護(hù)路由器之間的鄰接關(guān)系。l 使用域（area）來建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)洹 具有域間路由聚合的能力。l 無類（classless）協(xié)議。l 通過選舉指派路由器（Designed Router）來代替網(wǎng)絡(luò)廣播。l 具有認(rèn)證的能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，變化被立即廣播到網(wǎng)絡(luò)中的每一個(gè)路由器。每個(gè)路由器計(jì)算到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹（SPF樹）。下圖是OSPF分Area的狀態(tài)。OSPF Area的

26、分界處在路由器上，如圖所示，一些接口在一個(gè)Area內(nèi)，一些接口在其它Area內(nèi)，當(dāng)一個(gè)OSPF路由器的接口分布在多個(gè)Area內(nèi)時(shí)，這個(gè)路由器就被稱為邊界路由器（ABR）。每個(gè)路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有區(qū)域必須與Area0相鄰接。在ABR（區(qū)域邊界路由器，Area Border Router）上定義了兩個(gè)區(qū)域之間的邊界。ABR與Area0和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口。OSPF允許自治系統(tǒng)中的路由按照虛擬拓?fù)浣Y(jié)構(gòu)配置，而不需要按照物理互連結(jié)構(gòu)配置。不同區(qū)域可以利用虛擬鏈路連接。 允許在無IP情況下，使用點(diǎn)到點(diǎn)鏈路，節(jié)省IP空間。OSPF是

27、一個(gè)高效而復(fù)雜的協(xié)議，路由器運(yùn)行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴(kuò)展性和可管理性四個(gè)方面對(duì)OSPF進(jìn)行介紹： 層次能力通過 areas支持層次化邊界在router 內(nèi)鏈路狀態(tài)數(shù)據(jù)庫（LSDB）來自網(wǎng)絡(luò)或路由器LSA 尺寸 64 KB to 5000 條鏈路的限制 穩(wěn)定性依靠路由設(shè)計(jì)和實(shí)現(xiàn)大型網(wǎng)絡(luò)中使用呈現(xiàn)增強(qiáng)的趨勢(shì) 擴(kuò)展性使用擴(kuò)展 TLV 編碼策略新擴(kuò)展需開發(fā)時(shí)間 管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗(yàn)較多此次網(wǎng)絡(luò)建設(shè)項(xiàng)目，我們建議在各個(gè)區(qū)域之間開始部署OSPF動(dòng)態(tài)路由協(xié)議。因?yàn)榻尤虢粨Q機(jī)多數(shù)為二層交換機(jī)，無法一次實(shí)現(xiàn)路由到用戶邊界的改造，所以此次僅將各個(gè)區(qū)域的核心交換開啟

28、路由進(jìn)程，今后可逐步實(shí)現(xiàn)全網(wǎng)的路由建設(shè)。各個(gè)區(qū)域在本次設(shè)計(jì)中都部署高性能三層交換機(jī)，這些交換機(jī)需具備完整的路由支持功能。區(qū)域間核心設(shè)備組建OSPF協(xié)議的骨干area，未來在大范圍部署動(dòng)態(tài)路由協(xié)議時(shí)，可考慮將各個(gè)廠區(qū)劃分為area1，area2等等，可以充分做到基于area的路由匯總和控制。互聯(lián)網(wǎng)區(qū)域可按照需要，適當(dāng)采用靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通。未來可逐漸增加路由的范圍，逐步演變?yōu)槁酚傻接脩暨吔绲男问健?.1.6. 設(shè)備選型建議4.1.6.1. 華為產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機(jī)華為 S12808背板帶寬：32Tbps；包轉(zhuǎn)發(fā)率：9600Mpps；8個(gè)業(yè)務(wù)槽位

29、；支持基于Layer2、Layer3、Layer4優(yōu)先級(jí)等的組合流分類支；電源功率：10800W；2華為 S9306背板帶寬：6Tbps；包轉(zhuǎn)發(fā)率：1152Mpps；擴(kuò)展模塊：6個(gè)業(yè)務(wù)槽位；支持基于Layer2協(xié)議；安全管理：802.1x認(rèn)證1生活區(qū)寬帶網(wǎng)核心交換機(jī)匯聚交換機(jī)華為 S632424個(gè)GE SFP/10 GE SFP+端口,雙電源槽位,含USB接口，交流供電；轉(zhuǎn)發(fā)性能:715 M；交換容量:960 G；2華為 S532420個(gè)10/100/1000Base-T，4個(gè)千兆Combo口分交流供電和直流供電兩種機(jī)型, 支持RPS 12V冗余電源，支持USB口,交換容量48G144.1.6

30、.2. 華三產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機(jī)H3C S12508機(jī)箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3C S10508機(jī)箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)核心交換機(jī)匯聚交換機(jī)H3C S7506E機(jī)箱，雙Salience VI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3C S5500H3C S5500-52C-EI-以太網(wǎng)交換機(jī)主機(jī)(48GE+4SFP Combo+2Slots)，4個(gè)單模SFP模塊144.2. 安全系統(tǒng)4.2.1. 系統(tǒng)設(shè)計(jì)目標(biāo)

31、本次*網(wǎng)絡(luò)改造項(xiàng)目建設(shè)目標(biāo)是通過建立完善的安全體系，在網(wǎng)絡(luò)安全，主機(jī)安全和應(yīng)用安全三個(gè)層面上，搭建一套立體的安全架構(gòu)。這樣可以實(shí)現(xiàn)抵御各個(gè)層面的攻擊，防止病毒入侵等功能。同時(shí)進(jìn)行主機(jī)的風(fēng)險(xiǎn)評(píng)估和安全加固服務(wù)，提前屏蔽漏洞風(fēng)險(xiǎn)。并通過安全管理平臺(tái)實(shí)現(xiàn)安全審計(jì)功能，做到事件追蹤。4.2.2. 系統(tǒng)設(shè)計(jì)原則4.2.2.1. 整體性原則建設(shè)*安全系統(tǒng)時(shí)應(yīng)充分考慮各個(gè)層面的因素，總體規(guī)劃各個(gè)出入口網(wǎng)關(guān)的安全策略。本次*網(wǎng)絡(luò)改造項(xiàng)目充分考慮各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)等，它們?cè)诰W(wǎng)絡(luò)安全設(shè)計(jì)中是非常重要的。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。4.2.2.2. 適應(yīng)性及靈活性原則隨著

32、互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，對(duì)網(wǎng)絡(luò)安全策略的需求會(huì)不斷變化，所以本次部署的安全策略必須能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及安全需求的變化而變化，要做到容易適應(yīng)、容易修改。4.2.2.3. 一致性原則一致性原則只要指安全策略的部署應(yīng)與其他系統(tǒng)的實(shí)施工作同時(shí)進(jìn)行，方案的整體安全架構(gòu)要與網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)相結(jié)合。安全系統(tǒng)的設(shè)計(jì)思想應(yīng)該貫穿在整個(gè)網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)中，體現(xiàn)整體平臺(tái)的一致安全性。4.2.2.4. 需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)以及付出的代價(jià)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。4.2.2.5

33、. 易操作性原則安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；同時(shí)措施的采用不能影響系統(tǒng)的正常運(yùn)行。4.2.2.6. 多重保護(hù)原則本次*安全系統(tǒng)要建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。4.2.2.7. 經(jīng)濟(jì)性原則在滿足*系統(tǒng)安全需求的前提下，選用經(jīng)濟(jì)實(shí)用的軟硬件設(shè)備，以便節(jié)省投資，即選用高性能價(jià)格比的設(shè)備；同時(shí)，應(yīng)該充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用潛力，盡可能以最低成本來完成安全系統(tǒng)建設(shè)。4.2.3. 安全體系結(jié)構(gòu)*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示，*網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)安全區(qū)域，分

34、別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪問Internet，部分設(shè)備也可由Internet訪問，但均不可由公網(wǎng)直接路由到，安全級(jí)別為中；管理網(wǎng)接入求負(fù)責(zé)公司二級(jí)接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互，安全級(jí)別為高；中心服務(wù)器區(qū)域設(shè)備為*核心數(shù)據(jù)，在公網(wǎng)不可以訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后訪問特定服務(wù)，安全級(jí)別最高。接入層的安全級(jí)別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的Internet接入終端的安全級(jí)別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級(jí)別較高。4.2.4. 子系統(tǒng)規(guī)劃4.2.4.1. 網(wǎng)絡(luò)隔離系統(tǒng)1. 出口防火墻通過部署兩臺(tái)千

35、兆出口防火墻實(shí)現(xiàn)Internet與*內(nèi)網(wǎng)的隔離。兩臺(tái)防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級(jí)；公網(wǎng)到備內(nèi)網(wǎng)只針對(duì)DMZ區(qū)域開放相應(yīng)端口（如80）。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對(duì)這些需求打開相應(yīng)的IP和端口。2. 內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實(shí)現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺(tái)防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實(shí)現(xiàn)數(shù)據(jù)流的動(dòng)態(tài)分擔(dān)。實(shí)現(xiàn)安全的同時(shí)兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對(duì)業(yè)務(wù)的情況制訂特定的訪問策

36、略，策略制定完成后只開放特定主機(jī)的IP與服務(wù)端口，其他訪問一律禁止。4.2.4.2. 入侵檢測(cè)系統(tǒng)*網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（IPS）。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺(tái)IPS設(shè)備。可監(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對(duì)DMZ區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對(duì)核心內(nèi)網(wǎng)的數(shù)據(jù)交互。4.2.4.3. 漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。針對(duì)本系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理

37、區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對(duì)待評(píng)估系統(tǒng)進(jìn)行訪問。漏洞掃描系統(tǒng)部署后，將會(huì)對(duì)*的各個(gè)業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進(jìn)行掃描，根據(jù)掃描評(píng)估結(jié)果可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)采取措施。4.2.4.4. 安管平臺(tái)系統(tǒng)安全管理審計(jì)工作作為安全體系的重要組成部分，需要部署安全管理平臺(tái)系統(tǒng)。其中安全管理平臺(tái)服務(wù)器部署在*核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護(hù)，外網(wǎng)用戶不允許訪問該服務(wù)器。被管對(duì)象和安全管理平臺(tái)服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達(dá)。本次安全管理平臺(tái)需要管理重要服務(wù)器和所有安全設(shè)備，收集日志后并做出分析，分出告警級(jí)別。也可以通過聲光電或郵件、短信等方式報(bào)警，及時(shí)提醒管理員。4.2.4.5. 防病毒

38、系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計(jì)的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計(jì)和考慮。通過分析*網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以總結(jié)病毒感染的途徑如下：l 部分服務(wù)器如windows平臺(tái)容易受到病毒攻擊；l 公司內(nèi)部員工若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP等流量把病毒和惡意的移動(dòng)代碼帶入網(wǎng)站；l 通過U盤傳播病毒；l 各種蠕蟲病毒主動(dòng)地通過網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護(hù)的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護(hù)及病毒監(jiān)控。本次方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中

39、防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進(jìn)行病毒防護(hù)，嚴(yán)防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。4.2.4.6. 統(tǒng)一用戶/身份管理用戶是IT系統(tǒng)中各類活動(dòng)的實(shí)體，如人、組織、虛擬團(tuán)隊(duì)等。用戶管理是指在IT系統(tǒng)中對(duì)用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是基礎(chǔ)，用戶授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個(gè)實(shí)體區(qū)別于其它實(shí)體的特性，IT系統(tǒng)中的身份通常指一個(gè)人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實(shí)體的抽象，是屬于一個(gè)特定的實(shí)體的屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照

40、片、數(shù)字證書等。身份管理就是產(chǎn)生和維護(hù)身份屬性的過程，也是管理不同實(shí)體之間關(guān)系的能力。身份管理（Identity Management）是用戶管理(User Administration)的一部分。統(tǒng)一用戶管理（UUM）就是對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺(tái)提供一個(gè)單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時(shí)經(jīng)過統(tǒng)一用戶管理平臺(tái)認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時(shí)統(tǒng)一用戶管理平臺(tái)還提供對(duì)長(zhǎng)時(shí)間無應(yīng)用操作的超時(shí)重認(rèn)證功能，更加可靠的保證安全。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安全性能更高的CA、USB Key等，使用戶在使用統(tǒng)一身份認(rèn)證平臺(tái)上有更靈

41、活的選擇。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持LDAP/AD協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的安全、可靠。4.2.4.7. 單點(diǎn)登錄單點(diǎn)登錄（SSO，Single Sign-on）是一種方便用戶訪問多個(gè)系統(tǒng)的技術(shù)，用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文（Security Context）或憑證（Credential）在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時(shí)，客戶端軟件根據(jù)用戶的憑證（例如用戶名和密碼）為用戶建立一個(gè)安全上下文，安全上下文包含用于驗(yàn)證用戶的安全信息，系統(tǒng)用這個(gè)安全上下文

42、和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。目前業(yè)界已有很多產(chǎn)品支持SSO，但各家SSO產(chǎn)品的實(shí)現(xiàn)方式也不盡相同。如通過Cookie記錄認(rèn)證信息，通過Session共享認(rèn)證信息。Cookie是一種客戶端機(jī)制，它存儲(chǔ)的內(nèi)容主要包括：名字、值、過期時(shí)間、路徑和域，路徑與域合在一起就構(gòu)成了Cookie的作用范圍，因此用Cookie方式可實(shí)現(xiàn)SSO，但域名必須相同；Session是一種服務(wù)器端機(jī)制，當(dāng)客戶端訪問服務(wù)器時(shí)，服務(wù)器為客戶端創(chuàng)建一個(gè)惟一的SessionID，以使在整個(gè)交互過程中始終保持狀態(tài)，而交互的信息則可由應(yīng)用自行指定，因此用Session方式實(shí)現(xiàn)SSO，不能在多個(gè)瀏覽器之間實(shí)現(xiàn)單點(diǎn)登

43、錄，但卻可以跨域。4.2.4.8. 上網(wǎng)行為管理系統(tǒng)針對(duì)內(nèi)部上網(wǎng)的人員，一方面從安全角度考慮，需對(duì)網(wǎng)站資源進(jìn)行篩選過濾，對(duì)非授權(quán)人員訪問互聯(lián)網(wǎng)，以及內(nèi)部人員訪問惡意站點(diǎn)等行為進(jìn)行阻斷；另一方面從管理角度考慮，需對(duì)內(nèi)部人員上網(wǎng)方式進(jìn)行管理，使上網(wǎng)訪問資源可控。針對(duì)這種需求，我們建議將上網(wǎng)行為管理設(shè)備部署在互聯(lián)網(wǎng)出口處。對(duì)所有上網(wǎng)終端進(jìn)行安全防護(hù)，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶的上網(wǎng)行為進(jìn)行管理、過濾和審計(jì)，可通過用戶身份認(rèn)證、上網(wǎng)時(shí)間管理、網(wǎng)頁訪問控制、IM管理、郵件管理、論壇管理、P2P管理、游戲管理等方式對(duì)上網(wǎng)行為進(jìn)行限制和審計(jì)。4.2.4.9. 終端安全管理系統(tǒng)由于目前互聯(lián)網(wǎng)安全問題突出，針對(duì)內(nèi)部上網(wǎng)終端

44、只有防病毒系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。需要對(duì)終端安全情況進(jìn)行統(tǒng)一管理，包括硬件資產(chǎn)管理、補(bǔ)丁管理、軟件管理、進(jìn)程管理、安全軟件管理等。對(duì)終端的安全情況進(jìn)行加固后方允許接入網(wǎng)絡(luò)，否則不允許接入。提高整個(gè)內(nèi)部局域網(wǎng)的安全準(zhǔn)入能力。4.2.4.10. 時(shí)鐘系統(tǒng)由于對(duì)數(shù)據(jù)庫的訪問需要各業(yè)務(wù)系統(tǒng)保證時(shí)鐘的統(tǒng)一，因此建議在網(wǎng)絡(luò)中部署一臺(tái)時(shí)鐘服務(wù)器，網(wǎng)絡(luò)中其它設(shè)備通過NTP協(xié)議將自己的時(shí)鐘與該服務(wù)器上的時(shí)間信息進(jìn)行同步，從而統(tǒng)一內(nèi)網(wǎng)服務(wù)器的時(shí)間。在為信息系統(tǒng)時(shí)鐘系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，充分考慮到時(shí)鐘系統(tǒng)的可靠性與準(zhǔn)確性，保證內(nèi)網(wǎng)的時(shí)間是準(zhǔn)確和穩(wěn)定的。4.2.5. 設(shè)備選型建議產(chǎn)品選型信息如下表所示：序號(hào)產(chǎn)品名稱選型建議配置描

45、述數(shù)量1防火墻網(wǎng)御Power V-3220UTM或啟明星辰2010D標(biāo)準(zhǔn)2U機(jī)箱，冗余電源，配4個(gè)10/100/1000MBase-T接口,可選配IPS、VPN和防病毒模塊62入侵防御設(shè)備天清入侵防御系統(tǒng)NIPS3060D包括NIPS3060D硬件平臺(tái)一臺(tái)，NIPS3060D千兆檢測(cè)引擎軟件一套，天清入侵防御系統(tǒng)NIPS數(shù)據(jù)中心軟件一套，帶一年的入侵防御特征庫升級(jí)授權(quán)23鏈路負(fù)載均衡設(shè)備Array-3520-NAPV3520 NetVelocity Edition 鏈路負(fù)載均衡,12千兆電口+4千兆光口(SFP，LC，多模)，冗余電源44應(yīng)用負(fù)載均衡設(shè)備般固BG-ADC-2000-L8個(gè)10/

46、100/1000Mbps端口，4個(gè)可選千兆光纖端口，1個(gè) Core 2 Duo 處理器，4GB內(nèi)存，220V AC 冗余電源25時(shí)鐘系統(tǒng)DNTS-82-OGGPS,雙網(wǎng)口10/100M內(nèi)置恒溫晶振,高精度保持,LCD,RS232/485,1pps,本地告警,機(jī)架式16漏洞掃描系統(tǒng)綠盟NSFOCUS RSAS X綠盟NSFOCUS RSAS X遠(yuǎn)程安全評(píng)估系統(tǒng)，硬件產(chǎn)品，支持256個(gè)IP掃描，三年服務(wù)17統(tǒng)一認(rèn)證和單點(diǎn)登錄系統(tǒng)統(tǒng)一認(rèn)證系統(tǒng)統(tǒng)一認(rèn)證系統(tǒng)含50用戶USBKey18安管平臺(tái)系統(tǒng)啟明星辰安全管理中心軟件啟明星辰安全管理中心軟件，包含事件收集、事件監(jiān)控、域與資產(chǎn)管理、風(fēng)險(xiǎn)管理、告警和預(yù)警、報(bào)表管理等模塊，支持20臺(tái)安全設(shè)備管理19防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)瑞星企業(yè)專用版防病毒系統(tǒng)，5個(gè)服務(wù)器端，1個(gè)管理中心，25個(gè)客戶端110上網(wǎng)行為管理系統(tǒng)深信服上網(wǎng)優(yōu)化網(wǎng)關(guān)SG-6500-L包括上網(wǎng)加速、帶寬管理、上網(wǎng)安全、上網(wǎng)認(rèn)證、上網(wǎng)代理、訪問控制、外發(fā)管理、審計(jì)、監(jiān)控、報(bào)表211終端安全管理系統(tǒng)北信源或BTA終端安全管理系統(tǒng)終端安全管理軟件，3000客戶端1