1、 XX企业园区信息化建设技术方案XX企业新园区信息化建设技术方案成都思蓝网络科技有限公司2012.3目 录前 言3网络子系统41.1 XX企业新园区建设背景41.2 用户需求分析41.3 网络的分层设计原则61.3.1 核心层 Core Layer61.3.2 分布层 Distribution Layer61.3.3 接入层 Access Layer71.4 网络系统方案设计71.4.1 XX企业网络的设计目标71.4.2 网络建设原则要求71.5 园区网IPV6部署和应用设计91.5.1 设计原则91.5.2 设计目标101.5.3 高级应用服务101.6 网络结构设计131.7 园区网络安
2、全规划设计151.8 园区智能无线网络规划设计231.8.1 设计原则231.8.2 设计目标251.8.3 无线网络部署介绍261.8.4 无线网络建设后的目标301.8.5 产品要求32前 言目前,全球已掀起一股信息高速公路规划和建设的高潮,作为其雏形,国际互联网(Internet)上相连的计算机已近达数千万台,全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源,这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。由于计算机网络技术和通信技术的飞速发展,人们对信息的要求越来越强烈,“网络就是计算机
3、”的说法被全世界普遍接受。各国纷纷宣布建设本国的信息高速公路,全球信息一体化局面已指日可待。在数字化、信息化不断发展的今天,各行各业都开始组建自己的网络系统,同国际接轨,希望能与那些同行业的国际公司抗衡。作为XX企业也不甘落后,在新园区建设中向着数字化、信息化、网络化方面发展,并建立一套完整的网络系统,为自己服务。 在信息化越来越发达的今天,XX企业利用网络来统一各子系统进行统一化管理是大趋势。此次项目中,贵单位基于网络子系统就包括:网络设备子系统、周界监控子系统、无线网络系统等。网络子系统1.1 XX企业新园区建设背景重庆市引进的最大外资项目世界化工巨头巴斯夫与市化医集团合作投资的MDI(二
4、苯基甲烷二异氰酸酯)一体化项目。MDI是生产聚氨酯的重要原材料,被广泛应用于汽车仪表盘、建筑外墙保温层及冰箱、运动鞋等多类产品的生产。XX企业一直非常重视信息化建设,网络中心是XX企业重要的信息运维支撑机构,负责XX企业信息化建设与运行,承担着XX企业数字化的研究、规划、建设、运行、维护、用户服务与培训等重要任务。在多年的信息化研究与实践中,XX企业网络中心全国同行一道推动着这一行业的信息化的发展。目前,XX企业新园区没有组建网络,根据贵方要求,需要对园区建筑物部署网络、语音、网周界监控、无线网络覆盖,实现每个点位的网络接入。实现园区信息化统一管理,资源共享。1.2 用户需求分析本次信息化建设
5、还需要把XX企业所有上网帐号进行统一管理,因此,在此次网络建设中必须满足对三个网络的可控可管;功能包括:流控、认证等功能。从园区网安全方面考虑,本次信息化建设必须要有安全设备来保证网络安全。围绕贵企业各个部门职能、业务范围及工作内容进行综合分析,才能真正了解贵单位园区的网络系统建设要求。园区职能分析根据我们考查了解,贵单位主要工作内容:企业管理基本职能: 1)XX企业信息化业务开展 2)XX企业信息化管理3)XX企业教职工人员业务办公4)园区安全保障5)园区人员管理随着计算机多媒体和网络技术的不断发展与普及,网络信息系统的建设,是非常必要及可行。主要表现在:n 当前网络信息系统已经发展到了与国
6、内互联、国际互联、静态资源共享、动态信息发布和协作工作的阶段,发展企业信息现代化的建设提出了越来越高的要求。n 随着各个企业对物信息量依托的不断增多,使社会、大众和管理部门对信息计算机管理和信息服务的要求越来越强烈。n 随着经济发展,我们各个企业对信息化的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机网络设备进入公司和单位。建立起高速智能化、集成化、结构化、扩展性强的计算机网络系统,建立能满足企业管理工作需要的软硬件环境,开发各类信息库和应用系统,实现网上办公、网上业务、开展园区日常监管的工作,为企业提供充分的网络服务。1.3 网络
7、的分层设计原则从逻辑上,大型网络可分为核心层、分布层和接入层,每层都有其特点。层次化设计的优点可以总结为如下几点:l 可扩展性:因为网络可模块化增长而不会遇到问题;l 简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;l 设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;l 可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。1.3.1 核心层 Core Layer核心层为下两层提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应
8、卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。1.3.2 分布层 Distribution Layer分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。在楼宇网络环境中,分布层主要提供如下功能:l 地址的聚集l 工作组的接入l 广播域/多目传输域的定义l Inter VLAN路由l 介质的转换l 安全控制1.3.3 接入层 Access Layer接入层的主要功能是为最终用户提供对网络访问的途径。本层也可以提供进一步的调整,如Access-list Filtering等。在贵方网络环境中,接入层主要提供如下功能:l
9、 Shared Bandwidthl Switched Bandwidthl MAC Layer Filtering(possibly)l Microsegmentation在广域网环境中,接入层主要提供通过Frame Relay、ISDN、Leased Line连入远程节点。1.4 网络系统方案设计1.4.1 XX企业网络的设计目标1. 新一代园区网要以实现有线、无线的网络融合;实现视频、语音、数据业务的融合;实现基于多平台、多协议的IP标准化管理融合为建设目标。2. 要以服务为中心,以人(用户)为本,以提高XX企业核心竞争力;建设智能融合、面向服务的新一代数字园区为目标。3. 更加有效支持
10、XX企业的科研、管理、生产等各项活动,创造和谐的园区环境,促进产品质量、科研水平、管理效率的提高,促进XX企业的改革与发展,促进高水平企业建设。4. 可以实现网络接入方式的融合、网络业务的融合、网络管理方式的融合。5. 从而构建安全、稳定、高效、协调、整合的、信息资源丰富的、集成化的数字园区综合信息服务平台。1.4.2 网络建设原则要求随着现代计算机应用的高速发展,特别是诸如图形、语音、视频等多媒体信息和技术在管理信息系统、科研设计等领域的广泛应用,为网络平台的设计提出了更高的要求。为了更好地满足用户的需求,保证系统能正常稳定运行,在较长的时间内不落后,在本网络系统方案设计中,我们认为应当把握
11、以下几个原则:1、稳定性只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。2、高带宽为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。3、先进性网络硬件、软件平台的先进性,要注意选择性能价格比好的先进技术和硬件和软件组网,保证系统的基础环境十年不落后。4、标准性和开放性选择统一性的网络结构与软
12、件硬件平台,有利于系统的建立与开发。制定信息管理的规范,组织有关人员对管理信息系统进行系统分析,制定数据流图和数据结构,为信息系统的开发奠定基础。为了实现与各种网络互访的要求,要选择开放的网络体系结构,既要选择当前的主流产品,又要具有开放性,以利于今后的扩充。5、可扩展性系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划
13、第二层虚拟网的划分,都应注意其扩展能力。6、容易控制管理因为上网用户很多,如何管理好他们的通信,做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。7、经济性充分利用原有的软件、硬件资源,减少投资浪费,做到高性能价格比。8、安全性网络系统应具有良好的安全性,保证数据的安全及网络使用的安全。由于规划贵方网络连接园区内部所有用户,安全管理十分重要。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。9、符合IP发展趋势的网络在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV
14、6,IP QoS,IP Over SONET等等新兴的技术不断出现,贵方网络必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。在后面的网络技术选型和系统方案中,以上设计原则和思想都将会被贯彻始终。1.5 园区网IPV6部署和应用设计1.5.1 设计原则1) 保证现有IPv4应用的正常应用 现有IPv4网络中的应用已经支持了大量的用户,IPv6网络要对现有IPv4应用提供支持方案,不能对现有的业务造成影响,这种影响包括业务性能的影响、网络可靠性的影响以及网络安全性的影响等多方面。 2) 网络要具有扩展性IPv6技术依然在发展之中,IPv6网络的建设也不可能一步到位,会是一个逐
15、步建设完善的过程,因此当前的IPv6网络方案要易于扩展,方便将来的网络升级。3) 最大限度地保护既有投资在进行IPv6网络方案设计时,需要结合现有园区网的实际情况,考虑到现有网络的既有投资,提出很好地保护既有投资的网络解决方案。4) 要保证网络的稳定性和可靠性和IPv4网络设备相比,现有IPv6网络设备还处于逐步成熟和完善之中,有可能会影响IPv6网络的稳定性和可靠性,因此推荐的IPv6网络方案要能够充分保证网络的稳定性和可靠性,保证不会对网络的服务质量有明显的影响。5) 网络方案要能够发挥IPv6的技术优势 IPv6技术的提出主要是为了解决IP地址空间不足的问题,但也增加了一些其他功能,比如
16、网络安全性支持能力、网络组播等。在组网技术方案中应该考虑如何使这些技术优势得以发挥。 6) 网络方案设计要考虑周全 在设计网络方案时,一方面要考虑到IPv4/v6长期共存,另一方面也要考虑到将来网络全部采用IPv6的可能。因此,网络方案要注意所选技术能够支持网络的平滑过渡,不会形成将来网络过渡的新障碍。 7) 支持IPv4业务与IPv6业务的互通 网络方案要实现IPv4网元与IPv6网元的互联,可以分别支持IPv4业务和IPv6业务,同时要考虑将来能够支持IPv4业务与IPv6业务的业务层面的互通。8) 要考虑IPv6网络对用户认证方式的支持 目前在IPv4网络中,各企业针对园区网都有各自不同
17、的认证方案,在设计IPv6网络方案时要充分考虑对认证方案的支持。1.5.2 设计目标网络实现IPv4网与IPv6网的互联,可以分别支持IPv4业务和IPv6业务,在企业内可以实现IPV6的基础应用和高级应用,使XX企业在IPV6的教学科研和应用上保持学术和技术应用的先进性。1.5.3 高级应用服务园区网门户系统园区网综合信息门户系统是面向用户的大型网络综合应用系统。门户对园区网内的信息和应用系统进行统一的管理和整合,集中控制用户对信息和应用系统的访问,为用户提供统一的访问入口。同时,门户会根据用户的身份提供满足其需求的特定信息和应用系统,为用户提供完善的个性化服务。随着IPv6时代的来临,各种
18、信息化、网络化设备的广泛应用,也充分的使用户享受到信息整合的个性化应用服务。l 资源的管理和整合为实现WEB资源的统一访问,综合信息门户需要管理各种WEB资源的访问地址、访问方式、访问权限和所提供的服务等相关信息;为让园区网用户可通过门户访问这些资源,门户还需管理用户信息,并对不同用户访问不同资源时所拥有的操作权限进行统一的管理,提供多层次和灵活权限管理策略。同时,门户提供的不仅是各种资源的集合,还要根据用户的需求对资源进行整合,包括将独立的应用系统进行应用层次上的松散集成,以服务的形式提供给用户使用;将分布的信息进行分类、编目,以索引方式提供给用户访问;另外,用户可以通过各种IPv6终端访问
19、门户系统,以进行信息资源的查询和管理。l 单点登录、应用漫游在基于应用的访问模式下,访问控制由各资源系统独立完成。统一访问入口应用后,需要将安全访问控制集中在门户中进行,由门户统一控制用户对资源的访问。因此门户具有单点登录、应用漫游等特征。l 个性化的访问环境门户系统改变了原有应用系统的服务模式。原有应用系统实现的是面向功能的服务模式,每个应用系统提供的功能只能满足特定的需求。门户提供的是面向人的服务模式。在这种服务模式下,门户可以提供个性化访问环境。个性化的访问环境包括个性化的界面和个性化的资源整合。视频直播应用利用IPv6组播协议开展高清视频和电视节目的传送,使每一个用户可以享受到高清视频
20、服务,更充分的享受到下一代互联网带来的利益。通过C/S或B/S模式的公共视频直播系统,可以实现用户自主进行视频直播,不要需专业人员的维护,只需要用户通过浏览器或客户端登录专用的公共视频直播服务器,通过门户系统进行身份确认和授权,用户可以很方便的利用该系统,将自己现场活动和各种文档在网上进行直播。视频源的获取视频源的获取需要通过两个手段来获取,首先是直播视频的获取。通过模拟或数字的视频摄像设备,获取实时的视频数据,并将视频数据通过直播机的视频采集卡进行采集,通过直播机进行视频的实时处理和压缩,并将压缩后数据通过视频直播服务器发送到IPv6网络中,供用户实时在线观看。第二种视频数据的获取是非实时的
21、视频文件,视频提供者通过在自己的终端设备上制作完成视频资料,并发送到视频服务器上,然后视频服务器将需要的视频数据进行压缩转换,并通过视频直播服务器将视频数据数据发送到IPv6网络中,供用户实时在线观看。视频数据的分发为了满足未来对视频直播服务的需要,视频服务可采用基于P2P的模式进行视频数据的分发和传送,为用户提供更优质的视频服务。通过基于P2P的视频分发模式,极大地降低了对视频服务器性能和网络的消耗。在园区网内部,所有的视频接收端也是视频的服务端,所有用户对等的享有由视频服务器分发的视频数据。园区网中的所有参与视频接收的用户同时也将成为视频数据的提供者,用户在接收视频数据的同时,也在利用空闲
22、的资源为其他用户提供视频数据,充分的保证了高质量视频数据实时的分发到每一个需要的用户端。极大的提高了视频直播的服务质量。另外,采取IPv6组播方式分发也可以保证网络带宽不会被重复的数据所浪费。对于有多个园区互联的XX企业,对视频直播服务提出了更高的要求,需要能够为多园区的视频直播用户提供高质量的视频直播服务。为了满足多园区视频直播服务的需要,采用应用层组播技术(ALM)及Internet间接访问基础结构技术等方式,不仅为XX企业内部,同时可以为企业外的合作伙伴、外部用户提供基于P2P的视频直播服务。通过应用层组播技术的引入,由用户端系统来实现组播转发的功能,不仅有效地减低了服务器的性能消耗,同
23、时可以有效地降低服务器负载和带宽的使用。同时,通过建立可控管的IPv6组播服务系统实现视频直播管理和控制,能够对需要接收视频数据的用户进行有效的管理,并在未来提供更高质量的服务的同时,可以获得良好的收益回报。高清视频会议应用l 高清视频会议系统高清视频会议系统与高清电视不同,高清电视是单向广播的,而高清视频会议则是双向、互动、实时的传输过程。高清电视广播仅需要保持固定的信号质量,对延时并不敏感,而视频会议由于需要双向交互,而过多的延时和抖动会增加语音重叠、视音频不同步、交互等待时间过长等问题的出现。利用高速的下一代互联网实现高清视频会议,是IPv6园区网的一个亮点应用。因此在IPv6园区网的Q
24、oS控制中,应对视频会议类型的数据流定义了最高的优先级别,以保证视频会议信号的实时传输。目前高清视频会议系统普遍采用硬件方式予以实现。在各个重要接入点,可部署具有硬件压缩/解压功能的编解码器,能够有效地实现基于IPv6环境下高清多点视频会议的召开,为XX企业科研团队的及时沟通和大型网络会议的召开提供有力的保障。l 超高清远程视频传输系统目前有些企业已和国外大企业积极合作,开展基于国际专线的超级高清视频信号传输。现在该传输研究项目正在积极开展之中,届时将实现超高清全景播放。 IPv6网格技术IPv6网格是继传统因特网、Web之后,信息革命的第三大浪潮,可称之为第三代因特网。如果说传统因特网实现了
25、计算机硬件的连通,Web实现了网页的连通,网格则是试图实现互联网上所有资源的全面连通,即把整个因特网整合成一台巨大的超级计算机,实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源、IPv6设备资源等资源的全面共享。IPv6网格因此被看成是未来的互联网技术。IPv6网格研究的一个共同点是如何消除信息孤岛和知识孤岛,实现包括信息、知识在内的各种资源的智能共享。1.6 网络结构设计考虑到贵企业此次实施为新园区的网络建造,根据贵方要求,我们设计贵园区网络核心交换机放置在核心机房。此外,园区还有N个功能区,各个功能区各设置一个汇聚层交换机,用于汇聚本区域内的所有接入层交换机,再通过光纤连接到
26、核心机房。结合园区信息中心要求及相关规范技术文件,计算机网络系统网络建设成为主干最高可达10000Mbps,1000Mbps速度到用户桌面的高速网络。网络拓扑图园区网络系统设计:1、核心设备高背板转发、拥有高带宽、高背板、提供高可靠性。2、各区域和核心之间均采用万兆光缆连接。3、核心设备部署于中心机房、接入设备部署于各楼层弱电井。4、每个区域内至少都部署一台汇聚交换机用于本区域内点位汇聚。5、同一栋楼内弱电井间均采用光纤连接。6、周界安防监控采用IP监控设备,数据传输采取就近引线。(从就近的多媒体信息箱引接数据线)1.7 园区网络安全规划设计企业园区网的安全建设可以用短板效应来说明,一个小小的
27、安全隐患,就会影响到整个园区网的安全建设的全局。所以园区网的安全建设需要全面考虑、系统规划。园区网安全现状原因分析l 网络结构单一和设备防护技术欠缺网络目前为单核心结构,相应作为骨干区域的设备级别的保护技术较少。如CPU的硬件保护,设备防DOS攻击等功能。l 无法进行有效的身份管理园区网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存在被盗用的风险,安全审计无法有效进行。l 无法保证用户终端合法性Windows系统补丁未更新,系统存在致命漏洞;没有按规定安装杀毒软件及防火墙,成为病毒和木马的温床;随意安装违禁软件,不规范使用网络;上
28、述问题造成了病毒和攻击在园区网内的泛滥,影响正常应用的开展。l 内网安全无法有效控制70以上威胁网络安全的攻击行为都是来自园区网内用户;内网防御能力弱,病毒、木马泛滥;“合法用户”的“非法行为”危害巨大;常规手段难以及时发现并阻断攻击行为;发生的安全事件不能审计到人,无法进行有效处理。安全网络设计原则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
29、 1) 网络信息安全的木桶原则 网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的安全最低点的安全性能。 2) 网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络网络中心的服务
30、,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。 3) 安全性评价与平衡原则 对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标
31、,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 4) 标准化与一致性原则 系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。 5) 技术与行政管理相结合原则 安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6) 统筹规划,分步实施原则 由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可
32、在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。 7) 等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。 8) 动态发展原则 要根据网
33、络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。 9) 易操作性原则 首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。安全网络设计目标为了维护网络安全和用户自身利益的考虑,在全网部署安全防护体系。达到内网尽量的干净,从而杜绝现网频繁出现的ARP欺骗和病毒泛滥情况。从而确保企业内网络的安全、稳定、可靠。1) 确保网络设备安全网络设备和相应系统是网络架构的基础,一旦网络设备崩溃和出现软故障,则网络造成不可用等高危事故,因此网络设备的安全保护是安全网络的基础。2) 确保网络数据流安全安全系统在园区网内建
34、立起网络通信防护体系,对网络数据流进行实时监控,侦测并隔离危险网络行为。建立全网立体防御ARP欺骗功能,从可能遭受ARP欺骗攻击的三个层面出发全面防治ARP欺骗带来的危害。3) 确保用户身份安全建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外。,对每一个试图对接入内网的用户,都要经过安全系统的身份合法性验证,包括用户的账号、密码、IP等关键信息。只有当用户提供了合法有效的身份信息之后,才能允许正常接入并使用网络。4) 确保用户终端安全通过建立用户终端安全防护体系,确保入网用户主机终端的安全。安全系统能够通过和多家杀毒软件的联动,强制入网用户必须正常安装、
35、运行指定的杀毒软件。安全系统能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。保护园区网内用户终端的安全。5) 确保远程VPN用户访问网络的安全企业外办公和差旅用户需要访问企业内资源时,认证技术和VPN技术则需要良好的配合,保证VPN用户的访问网络行为能够监控和内网的安全。6) 确保web 服务的安全企业的WEB 应用相当丰富,对于对外宣传的WEB 网站则需要进行精心防护,防止篡改网页并造成不良的公示效应。安全网络方案设计依据国家信息安全等级保护体系的要求,全面规划园区网
36、的安全建设。使之可以全面衡量园区网安全建设的情况,保证了园区网的安全建设有体系、有步骤的完成。国家信息等级保护体系主要包含了:技术要求和管理要求。技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个方面提出;管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,技术要求和管理要求是确保信息系统安全不可分割的两个部分。本方案结合企业内认证系统和业界企业采用和推荐的较为成熟先进的安全理念进行设计。本方案包含网络设备和架构安全、主机安全、应用安全、网络安全和数据安全。网络基础平台安全网络设备和架构的安全是园区网安全建设的基础,为保证网络设备和架构的安全
37、,网络提供以下技术保证企业内网络设备的健壮和可靠:1. CPU及引擎保护技术CPP技术随着交换机应用的逐渐普及,以及网络攻击的不断增多,越来越需要为数据交换机提供一种保护机制,对发往交换机CPU的数据流,进行流分类和优先级分级处理,以及CPU的带宽限速,以确保在任何情况下CPU都不会出现负载过高的状况,这种保护机制就是CPU Protect Policy,简称CPP。CPP功能早期只是作为某些单一功能出现的,如ARP check,IP sys guard,这一种CPP主要是反攻击的。随着市场应用的逐渐增多,对于CPU保护提出了更高的要求,第二种cpp应用需要对trap到CPU的管理报文进行分类
38、处理,第一类是作为维护基础协议的BPDU、GVRP和VRRP,第二类是作为维护路由协议的PIM,OSPF,IGMP,RIP报文,第三类是作为需要CPU处理的IP数据报文,第四类是堆叠中的管理报文,通过对这些报文的分级处理,确定优先关系,确保在CPU高负载的情况下仍能保证基本的网络拓扑稳定。CPP的第三种应用是对各种报文的带宽限制,这种方式主要根据具体的网络应用环境确定各类报文的带宽限制,以及CPU可以处理的最高总带宽限制。网络CPP技术保证了网络的路由稳定可靠,最大程度上避免网络受到攻击的的拓扑震荡。从而为用户提供一个稳定的网络环境。2. NFPP-基础网络保护策略(Network Found
39、ation Protection Policy)目前业界已开发了一些用于防攻击的功能模块(比如:ACL、QOS、URPF、SysGuard 等等),通过这些功能模块自行建立攻击检测和保护的机制,并提供对外的管理接口。但实现得不够系统,基本是针对一个问题解决一个问题,在体系上没有统一的框架。从现有的数据帧实现的流程来看,缺乏从流的主干上考虑实施防攻击保护。为了在这个日益重视安全性的环境中应对日益复杂的攻击,锐捷网络开发出一套完整的网络基础保护体系,称之为基础网络保护策略(Network Foundation Protection Policy),简称NFPP。NFPP技术能够对设备本身实施保护,
40、通过对报文流进行限制、隔离,以保证设备及网络可靠、安全、有效地运行。针对交换机设备而言,数据的路由和交换过程主要由硬件来完成,而CPU主要对控制流、管理流和部分交换芯片无法处理的数据流进行处理,并同时提供交互界面供用户进行本地管理配置。大量的报文流送向CPU,占用了整个送CPU的报文通路的带宽,导致正常的控制流和管理流无法达到CPU,从而带来协议振荡无法管理,进而影响到数据面的转发,如果是核心设备将导致整个网络无法正常运行。NFPP接受报文的端口或者发送到CPU通过对送往CPU的报文进行攻击检测,的场景进行安全检测,采取相应保护措施,从而达到对管理面、数据面和控制面的保护作用。NFPP技术特点
41、有:l 防止多种攻击NFPP能够防止目前网络上常见的多种攻击手段,包括ARP攻击、ICMP攻击、IP扫描攻击及DHCP耗竭攻击等,形成一套完整的保护体系,为用户提供一个安全可靠的网络平台。l 配置灵活方便NFPP的用户界面CLI命令设计简单方便,这样使用户无需对相关专业知识有很深认识的情况下,也能完成配置。NFPP所实现的防攻击技术如ARP防攻击、ICMP防攻击都集中在NFPP配置模式下进行配置,且对各种类型防攻击的配置基本相仿,使得用户只须熟悉其中一种配置就可以了。同时,用户可以根据实际需要选择相应功能,即可以选择打开ARP防攻击功能而关闭ICMP防攻击功能。l 整网设备联动结合锐捷网络的I
42、PFIX流量监控技术,可以基于端口进行流量检测,将流量发送到上层网络管理中心。一旦有异常流量,安全管理平台就立即协助网络管理者发现网络中的非法数据源,并由网络设备联动整网下发NFPP安全策略,最终杜绝攻击保证全网安全。l 支持特权用户NFPP支持特权用户,即管理者能够设置一些可信任用户为特权用户。设置为特权用户后,就不会对该用户进行监控,即该用户不会被限速,更不会被隔离。需要注意的是,特权用户是针对某种攻击而言,即若该用户为ARP特权用户,仅表示该用户的ARP报文不受监控。因此NFPP涵盖了设备硬件级别的各种安全措施;作为园区网安全建设的第一道防护线,可以隔绝大多数的安全隐患。同时,给网络带来
43、设备硬件级别的安全,而不会影响数据的转发。 远程接入安全针对企业外需要访问企业内资源的差旅人员,本方案设计了使用专用千兆VPN网关进行提供园区办公人员的企业外访问。该VPN网关为出口区域的安全防火墙,该设备工作在透明模式也可以作为VPN网关使用。VPN技术上可以选择SSL VPN、IPSEC VPN方式,同时VPN网关认证和SAM 进行联动,使VPN用户认证和访问网络的信息都可以实时记录。建议该类型帐户企业内认证账号和VPN账号相同,便于管理。认证方式,该类型用户在企业内可以使用802.1x,企业外选择无客户端的SSL VPN的WEB 登陆认证方式。从而使得VPN用户和企业内用户账号信息进行了
44、统一,更加便于管理。用户访问企业内资源通过VPN隧道,也最大程度上保障了用户信息和数据信息的安全。 入网主机安全园区网内,主机的安全问题最为常见,也是大部分安全问题源头,主机安全涉及到统一身份认证和主机安全防护体系两大部分。通过园区网身份认证和主机防护来实现园区网的主机安全目标;1) 园区网统一身份认证系统:实现了办公网、生产网统一认证;有线、无线的统一认证;企业内、企业外的VPN统一认证;同时针对各种接入方式的用户认证,实现了多种信息元素的校验,例如有线1X认证中的用户IP、MAC、NAS IP等;无线1X接入的AP MAC等信息。用户只有符合这些预先设定的认证校验信息,才可以通过认证;确保
45、了用户的主机身份合法,安全接入;2) 园区网统主机安全防护系统:园区网主机防护体系可以实现多种用户主机防护的内容,时刻保证用户的主机的完整性、健康性。主机接入网络前就要进行健康检查,只有符合规定的健康的主机才可以接入网络。例如:Windows补丁的检查和修复;防毒软件的检测和修复等等;园区网主机防护体系全面的保障了主机的完整性、安全性; ARP 防御体系用户在完成了身份认证和主机端点防护之后,就可以接入网络,但用户在网络中的行为依然受到安全系统全局安全网络系统的管理和规范。通过后台服务器、网关设备、接入设备与客户端的多重联动而实现的ARP欺骗三重立体防御功能。可通过后台服务器平台作为可信的第三
46、方,来向网关设备和客户端提供可信的ARP信息,避免了由ARP协议本身的漏洞带来的ARP欺骗现象的发生。该防御体系通过在用户的主机、接入交换机、三层网关,三个部分,绑定的策略有SMP服务器进行对客户端进行绑定网关地址,接入交换机上为自动绑定用户IP和ARP表项。自动进行ARP可信任的列表绑定实现了ARP病毒的全面防御,彻底地解决了ARP病毒泛滥的问题。 业务数据安全数据,已经成为企业信息化建设中最宝贵的资源,其重要性已经越来越得到重视。园区网的安全建设中,数据安全是一个不可忽视的方面。数据的遗失或损坏对于XX企业而言,其后果不可想象。 园区网数据容灾方案可以采用业界推崇和先进的基于SAN网络层容
47、灾技术架构,采用虚拟化引擎和FC光纤阵列共同实现,实现应用级容灾,来保证数据安全。数据安全方案支持零时间故障自动恢复,体现高性能、高稳定性、高扩展性,特别为SAM系统的财务和账务数据提供可靠的数据安全保障。完善的日志审计体系日志体系包含了网络流量分析系统和出口日志审计系统;实现内网了安全违法行为进行审查和记录,做到安全违法事件发生后,有据可查,可以追溯到终端用户。通过网络流量分析系统,有助于网络优化、网络规划、异常流量检测。可以及时发现网络中的异常情况,发现安全事件的前兆,为网络中心提供决策的数据。通过出口日志审计系统,可以详细记录五元组流日志、NAT转换日志、URL日志、用户身份:姓名、帐号,上网位置、上网主机(MAC)、上网时间,当发生安全时间的时候,可以准确定位追溯到人。同时能够清晰提供 NAT转换日志,满足公安部82令的行政要求:详细的NAT和访问记录信息。提供详细的用户访问外网的URL日志园区网安全日志审计方案实现了网络流量的透明化;全面地实现了基于用户身份的安全行为记录、
浙ICP备2021020529号-1 | 浙B2-20240490 
