网络搭建技术方案.doc_咨信网zixin.com.cn

资源描述

网络升级改造方案广西博庆食品有限公司网络规划方案 ■ 网络集成商：广西金普威信息系统有限公司 ■ 客户经理：黎雪宁手机：15994372440 ■ 技术经理：严亦孜手机：15077131150 ■ 技术工程师：莫涛手机：15578897811 ■ 联系电话：（0771）5503859/60/61 5503511（FAX） 2013年3月 ※版权所有严禁摘抄※ 目录第1章项目概述 3 1.1 网络改造总体要求 3 1.2 网络运维风险分析 3 第2章网络升级改造方案 5 2.1 网络方案设计原则 5 2.1.1 网络拓扑图 6 2.1.2 办公外网升级改造 7 2.1.3 路由设计规划 8 2.1.4 网络IP地址规划 9 2.2 网络安全运维 10 2.2.1 物理环境安全措施 10 2.2.2 网络传输质量QOS 11 2.2.3 交换网络安全方面考虑和措施 14 2.2.4 计算机终端病防毒措施 18 2.3 网络安全运维管理方案 19 2.3.1 安全体系建设 19 2.3.2 网络安全运维管理制度建设 19 2.3.3 网络安全运维管理手段 21 2.4 网络运维管理平台方案 22 2.5 无线网络部署方案 25 2.5.1 锐捷无线网络架构优势 25 2.5.2 部署便捷，无缝接入现有网络 25 2.5.3 无线设备管理 26 2.5.4 无线AP部署 27 2.6 网络升级改造设备清单 27 第1章项目概述博庆公司目前的构架：总部—分厂—甘蔗站。总部通过100M移动宽带连接因特网；分厂使用20M移动宽带专线连接至总部，各分厂无物理连接；甘蔗站利用2M移动宽带专线连接直属分厂，各甘蔗站无物理连接。博庆目前使用用友ERP套件，包括：财务套件、OA套件；并架设了台域服务器。 1.1 网络改造总体要求由于目前公司互联网络存在管理无序、网络速度慢、网络设备老化等问题，作为外资公司在信息化建设相对滞后，公司目前还没有实现办公区域无线网络覆盖，建议在保障网络安全的前提条件下，实现办公区域实现网络覆盖。 1.2 网络运维风险分析 1、黑客、工业间谍攻击网络黑客或工业间谍的入侵行为往往不易被察觉，就算察觉到了，也很难快速定位网络漏洞在哪里，攻击方式是什么，攻击源在哪里都不容易排查出来。 2、新型木马、蠕虫病毒入侵木马，蠕虫等病毒通常是黑客入侵的第一步，装了杀毒软件和防火墙也很难完全杜绝木马病毒的入侵。博庆公司工作人员网络安全防范意识参差不齐，往往成为攻击的入口。 3、信息泄密博庆公司内部的重要信息通常是通过内网进行传输的，对于防范外部攻击是安全的，但是难以避免 “变质”的人员通过各种手段进行信息截取，把重要信息泄露给敌对势力或商业对手。最近几年已经发生了多起信息泄密的事件，给企业带了无法估量的损失。 4、互联网网络带宽被P2P下载，在线视频占用如果内网出现了P2P下载或在线视频，将会使互联网带宽的出口很快被吞噬殆尽，影响正常的网络应用系统。 5、网络设备老化博庆公司当前使用的网络产品大多数在85年以上，达到的设备强制报废的年限，网络设备参差不齐，不利于后续的网络维护工作。 6、网络管理目前网络管理还没有成立专门的管理部门，网络管理还是处于传统的人工管理阶段，出现网络问题的时候往往依靠网络工程师的经验去判断故障点，反应时间相对滞后。第2章网络升级改造方案 2.1 网络方案设计原则结合实际应用和发展要求，在进行网络系统设计时，主要应遵循以下原则： 1)高性能：网络要求具有数据、语音、视频等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。采用最新科技，以适应大量数据传输以及多媒体信息的传输。整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。如：具有三层及以上线速交换能力；支持灵活的跨网络交换机(主干、部门)的基于端口的VLAN划分功能。 2)高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余，设备在发生故障时能以热备份，热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。 3)标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。 4)可扩充性：所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求。网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。要留有扩充余量，包括端口数量和带宽的升级能力。 5)易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。 6)支持多媒体：支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量(QoS)有很好的支持。 7)安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。 8）实用性：系统建设首先要从系统的实用性角度出发，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。 2.1.1 网络拓扑图总部（PC100台）怀远厂（PC100台）甘蔗站（PC30台）博东厂（PC100台）甘蔗站（PC30台）石别厂（PC100台）甘蔗站（PC30台）防火墙 Internet 二层交换机路由器路由器路由器路由器终端终端 ERP服务器 AD域二层交换机甘蔗站二层交换机甘蔗站二层交换机甘蔗站 100M 20M 2M 从拓扑图，可分析公司目前的网络弊端： 1、公司目前只拥有1台网络安全产品，只能管控从因特网对内部网络的攻击，并且兼顾着路由器的功能； 2、内部网络无上网行为管理软硬件，； 3、路由器不支持动态路由协议，网络庞大后，维护量巨大； 4、公司目前是二层网络，无法控制广播风暴，易造成网络拥塞； 5、用户使用移动终端更换厂区时，需手动设置IP；没有相应的接入认证，易造成他人窃取公司机密。 2.1.2 办公外网升级改造办公楼外网升级改造示意图单位通过以网关、网桥、或旁路模式部署深信服上网行为管理产品，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响业务效率的非业务应用及相关网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率……具体而言，深信服封堵非业务网络应用解决方案，将给我们带来下述价值： 1、全方位封堵p2p ，确保正常办公业务带宽　　P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。鉴于此，深信服上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括BT、eMule、PPLive、QQLive等。对于加密BT、不常用的和未知版本的P2P软件，深信服独有的网络行为智能分析技术使其同样难逃法网。　　有些部门和领导因业务需要使用P2P，在全面封堵的同时，深信服上网行为管理设备还可以提供 P2P流控功能，即允许指定用户使用P2P，但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制，深信服上网行为管理设备可有效平衡公司内部架构要求、提升核心业务办公效率。 2、针对性应用管控，对事张驰有度　　现在，网络应用不断推陈出新，IT管理人员难以及时收集网络及软件版本，并制定相应管理策略；他们即使花费了大量的精力实现了收集工作，也很难实现对其全面的识别和管理。为此，深信服针对不断更新的网络应用软件来收集软件类型与版本，不断更新自己的应用规则识别库。目前，深信服上网行为管理应用规则识别库已成为国内最大的应用规则识别库，超过400条的应用协议规则，数十条的无间断不定期更新数量，专业化的应用规则识别管理团队，这一切都使得深信服上网行为管理设备能精确识别各种网络应用行为，并对其进行有效管理。 3、选择性内容过滤，方式灵活　　除针对网络应用软件外，深信服上网行为管理设备还内置了千万条级的URL库，对URL库按照20个大类进行了划分。基于此，IT管理者可以方便地对娱乐、购物、游戏、影视等网站进行控制和屏蔽，同时用户可手工输入新分类和新URL地址，这进一步增强了网管人员工作的灵活性。同时，深信服上网行为管理设备针对通过HTTP、FTP等上传下载的电影等大文件，可以根据关键字如 avi、rmvb、mpeg进行文件过滤，以保证核心业务的带宽。 4、差异化权限划分，构建和谐组织　　对于以上管控，深信服上网行为管理设备可根据不同用户、不同部门的差异化网络使用权限，人性化管控整个单位。如给销售部门足够的网页浏览权限，以方便其网上寻找客户资源，而对后勤人员则封掉P2P应用、游戏与炒股网站等。 2.1.3 路由设计规划（1）网络的可靠性：通过动态路由协议的实施，在网络拓扑的配合下，避免网络中出现的单故障点，提高网络的生存能力。（2）流量的负载分担：必须使网络的流量能够比较合理地分布在各条电路上。（3）网络的扩展性：使得网络的扩展可以在现有的网络的基础上通过简单的增加设备和提高电路带宽的方法来解决。（4）对业务流量模型变化的适应性：未来网络的业务流量模型将会随业务的发展而不断发生变化，因此路由策略可以根据流量变化方便进行调整。（5）降低管理复杂程度：路由协议应使得故障定位和流量的调整的难度和复杂性降低。 2.1.4 网络IP地址规划 IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则: 唯一性：保证网络上面不同时出现两个相同IP地址的设备。连续性：IP地址的连续性有利于路由的聚合，尤其是在目前的分层网络中，能极大的缩减路由表的规模，有利于QOS的部署。业务相关性：同种业务的IP地址尽量在一个地址段中，便于业务的控制。扩展性：IP地址规划时留有一定预留，便于在网络扩展时能延续网络的连续性。节约性：目前公网IP地址非常宝贵，规划时尽量的节约地址。 IP地址分配既要考虑到扩充，又要能做到连续；尽量分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间；在每个地市网络中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。 IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。 2.2 网络安全运维对于博庆公司办公网络系统来说，网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。一个较好的安全措施往往是多种方法适当综合的应用结果。另一方面，网络安全和网络易访问是一对矛盾，因此要掌握好网络安全控制度的问题，不能顾此失彼。大多数人谈到安全，认为只是确保用户只执行被授权的任务，只获得能得到的信息，不破坏数据、应用程序或系统操作环境。其实，安全一方面意味着防止外界的恶意攻击，另一方面还包括控制错误结果和设备故障。再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。 2.2.1 物理环境安全措施保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： ◆ 环境安全对系统所在环境进行安全保护，如区域保护和灾难保护。这要求城域网的网络中心环境，要进行必要的环境安全保护（如环境隔离）和灾难保护（如数据备份）等。 ◆ 设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰、电源保护和设备冗余备份等。这些措施通过严格管理及提高员工的整体安全意识来实现。这要求网络管理人员要严格执行网络中心的安全管理措施，避免非必要人员接触网络系统设备，监督系统环境和周围环境。 ◆ 媒质安全包括媒质数据的安全及媒质本身的安全。显然，为保证信息网络系统的物理安全，除网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这要求网络中心作好必要的数据备份工作和媒质保存工作，同时如果必要还要实行机房的防辐射措施。 2.2.2 网络传输质量QOS 网络业务模型设计业务类别 MPLS VPN IP路由队列和丢包机制业务和业务流举例 EXP（BW Rate） DSCP PHB 网络管理 EXP6 Q7(5%) CS6 BW Queue SNMP、SSH、Syslog 专网语音 EXP5 Q6(15%) EF Priority Queue (PQ) H323、RTP语音流高清会议 EXP4 Q5(20%) CS4 Priority Queue (PQ) MGCP、RTP视频流办公业务 EXP2 Q3(25%) AF2 BW Queue+ DSCP WRED E-Mail、Notes等批量数据 EXP1 Q2(10%) AF1 BW Queue+ DSCP WRED FTP、文件共享、备份尽力转发 EXP0 Q1(25%) Default Default Queue + RED 其他应用说明：业务种类：包括网络管理、专网语音、高清会议、办公业务、批量数据和其他尽力转发类业务。业务识别：按照实际业务类型划分，如对媒体业务采用IP方式进行识别，对数据类业务，采用TCP/UDP端口号进行识别，并对所有业务进行DSCP优先级标识。优先级映射：在PE设备上启用MPLS EXP和IP DSCP的优先级映射关系，H3C设备支持以上表格中的优先级映射关系。带宽分配和限速：可参考上面表中带宽分配比例，实施时需要结合实际业务流量分布和业务规划再做调整。对语音、视频业务要进行带宽限速。队列调度和丢包机制：在CE和PE路由器上，分别根据IP DSCP和MPLS EXP进行有差别的队列调度（PQ、CQ、WFQ、CBQ等），其中对于PE设备，基于部门划分和业务类别，推荐采用H-QoS队列和丢包机制。对于拥塞队列，采用WRED进行拥塞避免和处理。WRED在网络的瓶颈处监视并缓解网络的拥塞。一般在接入层出现拥塞的概率比较大。WRED监视网络的负载，当拥塞开始刚出现时，它就开始有选择的丢弃一些包以降低流量。WRED丢包的策略为：低优先级的流先丢，以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行WRED是避免拥塞的较好选择。在具体实现中，为了达到最好的效率，需要对任务进行分工。因为QoS是一个需要消耗很多处理器资源的应用，所以这一任务分配在边缘和核心路由器上运行，以减少对单独路由器的压力。媒体业务QoS设计要求媒体业务交互性单路带宽突发流量时延要求抖动要求丢包要求专网语音是 <100Kbps 无 <150ms <30ms <1% 视频会议是 4～8Mbps 有 <150ms <10ms <0.1% 高清会议是 2～20Mbps 有 <150ms <10ms <0.05% 监控存储否 1～8Mbps 无 <500ms <30ms <3% 监控实况否 1～16Mbps 有 <300ms <10ms <0.5% 监控回放否 1～8Mbps 有 <1000ms <100ms <0.1% 媒体流特征：视频流：带宽2～20Mbps不等（依编解码而不同）每秒30帧，每帧由长度不等的包组成，因此媒体流存在突发流量。抖动的防止：产生的原因：媒体流的突发流量和网络设备的排队时延变化是抖动产生的主要原因。比如排队平均时延是100ms，最小排队时间95ms，最大105ms，那么抖动范围就是10ms。防止的方式：增加沿途设备和媒体终端的Buffer或者在视频转发队列进行整形。对于高清视频，我们建议通过全网QoS设计使抖动不超过10ms。有了合适的网络带宽并不能就完全保证各种业务需要的服务质量。在网络中，数据业务具有突发性特点，还有如FTP（文件传输）这样的“霸道”业务，在这些业务的突发期间将会造成网络的过载及阻塞，虽然网络设备（路由器）具有存储转发及速率适配的功能，但在这个拥塞期间如没有任何措施进行处理，则将影响业务的实时特性，如IP电话断音、视频业务大量丢帧，严重情况下还可能导致整个政务办公系统中断等后果。保证实时业务优先发送，限制“霸道”业务对网络的占用，从边缘接入层就开始部署，是构建QoS保障方案的一个基本思想。在当前网络平台上，有多种需要实时性保障的关键业务，如实时文件传送系统和视频会议系统，都是实时业务，当然，其中假设实时文件系统是关键业务，还有其它业务如内部管理等业务也需要保证一定的互通性，因此当网络发生资源争用时，就不能简单地将关键业务置于优先就可以了，这需要结合多种QoS技术及策略来为各种业务提供需要的服务质量。各种业务能有一个比较均匀的速率在网上进行发送，可以减少网上业务的时延及抖动，这就需要对一些会对网络带宽进行大量占用的非关键霸道业务（如FTP等）进行带宽的限制使用，而为了使关键业务得到较好的服务，又需要对关键业务提供一定的带宽分配和保证，业务可以通过获得网络带宽的占用而达到减少时延的目的。在路由器的QoS保障技术中，可以综合使用CBQ、CAR来提供这样的服务综述：为了构建一个安全、可靠、高效率的政法信息通信网工程络，需要对整个办公业务进行详细的分析，对网络传输带宽进行统一的规划，针对不同类型的业务提供有针对性的QoS保证策略，最终实现消除或者避免网络拥塞，使发生拥塞的网络迅速恢复正常。 2.2.3 交换网络安全方面考虑和措施建立了网络，必然会有人对它进行攻击，目前网络的安全主要受到两方面的威胁，一个是来自黑客的诸如DoS之类的攻击和黑客入侵，另外一个是有可能被病毒感染. 交换机必须能保护与之相连的用户和服务器。不同于那些可对网络产生影响的攻击，很多针对用户和服务器的攻击都是检测不到的。这些常称为“中间人”攻击的攻击采用的是可从互联网上下载的常用工具。这些工具采用多种不同的机制，可以被恶意用户利用来窥探其他网络用户，这可导致机密信息的失窃以及违反保密政策。思科公司的交换机提供了很多内置的安全特性，这些特性可保护LAN里的重要信息。（1）通过生成树增强特性防止非法交换机连接两种生成树增强机制：BPDU Guard，当一个BPDU从某端口进入网络时，可立刻禁用该访问端口，这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。对于那些可能导致对根网桥进行重新计算的所有分组，RootGuard会让该端口拒绝接收。（2）DHCP 监听 / DHCP Snooping 多数单位网络都是依靠DHCP来进行IP地址分配的。而DHCP并不是安全的协议，因此就使得与某个网络相连的错误配置或恶意设备能很容易地对DHCP请求作出响应，并向DHCP客户机提供错误或恶意的信息，网络袭击者通常使用恶意DHCP服务器发出IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称为中间人攻击。此外，在互联网上有一些工具会大量耗用某个DHCP范围内的所有可用IP地址，并可导致所有合法主机都不能获取IP地址，进而导致网络不可用。DHCP Snooping可同时提供针对这两种情况的保护。它可建立端口的可信/不可信状态，因此可使网络管理员能确定应允许哪些端口（和相关设备）作为DHCP服务器，并拒绝所有其他端口上的DHCP服务器活动。此外，DHCP Snooping可对DHCP分组进行调查，并确保发送DHCP请求的设备相关的物理MAC地址能匹配该DHCP请求内部的MAC地址。与端口安全相结合，DHCP Snooping不允许耗用地址工具利用DHCP内在的不安全。在很多情况下，DHCP Snooping是与DHCP Option 82一起使用的，后者可使交换机在DHCP分组中插入有关它自己的信息。可以插入的最常见信息就是DHCP请求的物理端口ID。这可通过将IP地址关联到某个具体交换机上的某个具体端口，为网络提供很强的智能性，从而防止恶意设备和服务器的连接。（3）动态 ARP 检测地址解析协议（ARP）的最基本的功能是允许两个站点在LAN网段上通信。攻击者可能会发送带假冒源地址的ARP包，希望默认网关或其它主机能够承认该地址，并将其保存在ARP表中。ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项，从而提高了网络易损性。目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但可以窃取密码和数据，还可以偷听IP电话内容。ARP（地址解析协议）是另一种本身不安全的网络服务，可从互联网上下载Ettercap等软件来实现ARP欺骗，可使恶意用户利用这一行为并成为中间人，进而访问他们不应访问的机密信息，Ettercap是一种“智能化嗅探器”，它可使有点或毫无技术能力的恶意用户实时收集网络里正在传输的的用户名和密码信息等。与DHCP Snooping一起使用时，Dynamic ARP Inspection可防止某个主机在DHCP服务器没有为其分配的IP地址的情况下，发送未经请求的ARP。这种保护可防止ettercap等工具利用ARP内在的不安全。动态ARP检测（DAI）能够保证接入交换机只传输“合法”的ARP请求和答复。DAI能够截获交换机上的每个ARP包，检查ARP信息，然后再更新交换机ARP高速缓存，或者将其转发至相应的目的地。利用ARP协议的攻击是目前博庆公司域网中非常频繁威胁非常大的一种攻击方式。（4）IP Source Guard IP地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地的IP地址。利用IP源防护特性，攻击者将无法冒用合法用户的IP地址发动攻击，该特性只允许转发有合法源地址的包。某个主机还可通过故意配置或恶意企图，从它所没有或不应拥有的某个IP地址获得流量。IP Source Guard与DHCP Snooping配合使用时，可防止某个主机在没有从合法DHCP服务器获得某个IP地址的情况下，获得流量。IP Source Guard会丢弃那些从某个不存在的来源发起的DDOS攻击，即可防止它们利用某个主机从任何来源发送流量的能力，且只允许从通过DHCP获得的IP地址得到的流量。 (5)对交换机第二层转发表的泛洪攻击第二层交换机根据MAC地址建立转发表，根据MAC地址进行转发、过滤和学习。然而，这个表只有有限的空间。MAC泛洪攻击会迫使交换机学习伪MAC地址，使CAM表过载，并使数据从整个第二层VLAN域泛洪传送。虽然这是第二层交换机的标准行为，但它仍可导致网络和主机性能的降低。为防止这种攻击，Cisco交换机提供了端口安全特性，即可限制某个给定端口所能学习的MAC地址的数目。如果有更多地址进入交换机， Cisco交换机会将这些端口置入限制模式，以保护网络免受攻击。这可确保某个给定端口只能学习数目不多的MAC地址，当学习其他地址时就会锁定该端口。这样，就能立刻阻止攻击。（6）对交换机第三层转发表的泛洪攻击我们都知道蠕虫感染了一台电脑后，就会从该电脑往外发大量的包，目的地址都是随机的，这些包先到交换机，如果交换机的安全能力很弱，则交换机的CPU和内存很快就会被过度用完，最后，这些交换机就瘫痪了，指示灯一个颜色，全红，而且灯不会闪，对外部不做任何反映。很多蠕虫都会改变来源和目的地IP地址或TCP/UDP端口号，迫使交换机不得不学习成千上万的新流量。通过改变IP、TCP或UDP信息，会导致交换机的CPU过载，如果交换机采用了基于流的交换机制，甚至会引起交换机瘫痪。交换机不再交换或学习合法流量，而路由网络也会受到严重影响。有这种危害的最新蠕虫包括红色代码（Code Red）、Slammer和Witty等。Cisco交换机均采用了基于网络拓扑结构而非流的交换机制Cisco 快速转发 (CEF)。当路由协议（OSPF、EIGRP等）生成路由表时，会根据网络前缀（IP子网的网络部分），而非IP源-和目的地址的流信息来生成硬件转发表。这种技术最初设计用来提高网络对针对路由振荡的弹性，也可直接应用于防止蠕虫攻击。因为CEF并不关心网络中的流量，所以第三层转发表不会受到影响，控制层面的保护在这里得到体现。（7）对交换机CPU的攻击蠕虫和攻击会产生大量的目的地址都是随机的包，如slammer蠕虫，一秒会发出50M位的包，导致网络设备的CPU和内存被过度使用而瘫痪或死机，消耗网络资源，网络通信中断。可见，这样的攻击比攻击计算机厉害。因此，网络设备本身不安全，容易被黑客和蠕虫攻击而瘫痪或死机。尤其是网络的核心设备，本身的安全能力和抗攻击的能力，对网络安全起着举足轻重影响全博庆公司的的作用。除攻击交换机的转发表之外，还可通过向CPU发送ARP分组等需要处理的控制信息来攻击设备本身的CPU。处理能力和容量有限的CPU就会过载，并导致路由更新或BPDU等真正的控制分组被丢弃。很多网络管理者都熟知CPU以100%利用率运行时的后果：设备和网络会变得不稳定，设备死机。Cisco交换机可支持控制面板速率限制功能，它可限制向CPU发送分组的速率。在正常运行时，不太可能有大量流量被送往CPU，除非启用基于软件的特性。更不可能出现这些攻击中所使用的那些类型的流量以很高数据速率传送给CPU的情况。这些类型的分组包括ICMP不能到达、ICMP重定向、CEF无路由、TTL超时以及进出访问控制列表等。通过限制这些类型的分组发送给CPU的速率，丢弃超过特定速率的过多分组，确保CPU能够处理（很可能是丢弃）恶意分组，而不会发生故障。Cisco交换机可支持多个速率限制器，因此能限制攻击所产生的分组等“坏流量”的速率，而允许路由协议等“好”流量通过。这就使CPU甚至在遭受攻击时也能继续处理正常系统任务。当CPU和Memory的利用率到一定值（如80%）时，Cisco的网络设备会报警且开启自我保护功能以防止黑客和蠕虫针对网络设备的CPU和内存的攻击。（7）网络设备安全措施从针对网络设备的攻击方式、种类进行统计和分析，我们建议针对城域网的设备的配置应采取最小化配置原则，既关闭所有默认开启但是不必需的服务。原则如下（该部分原则针对全网设备，因此考虑了多厂家因素）： u 关闭TCP和UDP的小服务； u 关闭finger服务； u 关闭http服务； u 关闭ftp服务； u 关闭bootp服务； u 关闭source-route、ARP代理、定向广播服务避免引发地址欺骗和DDoS攻击； u 关闭ICMP网络不可达、IP重定向、路由器掩码回应服务，避免引发ARP欺骗、地址欺骗和DDoS攻击； u 对SNMP服务的community RO和RW字符串采取高强度（8位以上，包含特殊字符、大小写和数字），同时严格配置其访问控制范围； u 为BGP配置邻居的口令机制，防范针对BGP的DDoS攻击； u 严格限制路由器VTY、AUX、Console访问范围、登陆方式和超时时间； u 用户验证配置：配置用户验证方式以增强系统访问的安全性； u AAA方式配置：配置AAA方式来增加用户访问安全性；路由命令审计配置：配置AAA命令记账来增强系统访问安全性等。 2.2.4 计算机终端病防毒措施病毒是系统中最常见、威胁最大的安全问题来源，建立一个全方位的病毒防范系统是城域网安全体系建设的重要任务。目前主要采用病毒防范系统解决病毒查找、清杀问题。病毒防范系统的安装实施要求为： u 能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成； u 防病毒客户端安装在系统的关键主机中，如关键服务器、工作站和网管终端； u 在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略； u 能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。 2.3 网络安全运维管理方案 2.3.1 安全体系建设 ◆ 安全体系建设规范我们知道，整个网络的安全需要一套统一的安全体系建设规范，此规范应结合城域网的实际情况制定，然后统一实施。 ◆ 安全组织体系建设实施安全应先行管理，安全组织体系的建设势在必行。在城域网建立网络安全体系时应建设领导委员会，该委员会应由主管领导、网络管理员、安全操作员等人员组成，负责安全系统的总体实施。主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合；领导整个部门不断提高系统的安全等级。网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术和实施策略。安全操作员负责安全系统的具体实施。 2.3.2 网络安全运维管理制度建设面对网络安全的脆弱性，除在网络设计上增加安全服务功能、完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。制定安全管理制度，实施安全管理的原则为： ² 多人负责原则：每项与安全有关的活动都必须有两人或多人在场，这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作； ² 任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的； ² 职责分离原则：除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。其具体工作为： ² 确定该系统的安全等级； ² 根据确定的安全等级，确定安全管理的范围； ² 制定安全管理制度。完整的安全管理制度必须包括以下几个方面： ² 人员安全管理制度； ² 操作安全管理制度； ² 场地与设施安全管理制度； ² 设备安全使用管理制度； ² 操作系统和数据库安全管理制度； ² 运行日志安全管理制度； ² 备份安全管理制度； ² 异常情况管理制度； ² 系统安全恢复管理制度； ² 安全软件版本管理制度； ² 技术文档安全管理制度； ² 应急管理制度； ² 审计管理制度； ² 运行维护安全规定； ² 第三方服务商的安全管理制度； ² 对系统安全状况的定期评估策略； ² 对技术文档媒体报废管理制度； 2.3.3 网络安全运维管理手段安全技术管理体系是实施安全管理制度的技术手段，是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。网络安全管理主要安全体系的防火墙、入侵检测系统等网络安全设备进行管理。应用安全管理主要对安全体系的应用安全系统进行管理，如用户认证系统的管理、病毒防范系统的管理。下面详细描述安全管理技术。 ◆ 网络安全管理在网管平台、网管应用软件的控制下，网管控制台通过SNMP、RMON协议与被管设备、主机、服务进行通信，实现有关的安全管理；维护并识别被管设备、主机、服务的身份，防止非法设备、主机、服务的接入，防止设备、主机、服务之间的非法操作；实时监视被管设备、主机、服务的运行，发生异常时向管理员报警；维护被管设备、主机、服务的配置信息，防止非授权修改，配置遭到破坏时可自动恢复；维护网络的安全拓扑，确保网络的正常运行,配置网络的安全策略，设置网络边界安全设备的访问控制规则和数据包加解密处理方式；审计、分析网络安全事件日志，形成安全决策报告；实现网络安全风险集中统一管理，如入侵检测系统、漏洞扫描系统的管理。 ◆ 应用安全管理在应用安全管理平台的支持下，安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以：建立和维护用户账号；建立和维护被管资源的连接和目录；建立和维护访问控制列表；统计、分析审计记录信息；配置、维护安全平台； 2.4 网络运维管理平台方案为了更好的维护博庆公司网络，实现科学化管理提高运维管理服务质量，建议博庆公司组件独立的网络运维管理平台。平台聚焦于IT服务管理，整合以往对网络、服务器与业务应用、安全设备和客户端PC等的分割管理，提供包括网络管理，系统管理，安全管理和值班管理等功能于一身，并融合了事件管理，故障管理，变更管理，配置管理和发布管理等ITIL标准的一体化的IT运维支撑平台。达到了技术、功能、服务三方面的完全整合，实现了IT 服务支持过程的标准化、流程化、

展开阅读全文