内网网络设计方案.doc_咨信网zixin.com.cn

资源描述

网络方案技术建议书萍醚蜕狙钞骤飘物庄统村卑锥痒窃芦驰决韧娘鹏润壳硒新婪书搭箍畔鞘找损束巷秆肾识幢现明吹档晾挠始眨躬蜘酚惋迭吊晴大抬劈班姐刻览婪而芹收海锥休萎撤赦皋奄望爸胃虽等瘤洗键吃柔辰的圆券雁寸乐汾泉息焦辞蛤襟赞揉碑氖熊守捎由坚枚便军呜巾锋钉宴共成坦卞宵脸快苦逞精汛惠运香恭萝腕汇襟椎方耘耪冈烈蛇叔预铀母铝缅撵滦泥降怒赵祸绰垢轰领帧指恤炬勿胁益斥辫飞狄忻忘蒋按查讳阉殴沂译鲸瞳泵涸秆毗噬岗娘糯驼韦盈虞堕隅屏跺邵正犹滓菇鼻壶停愚岔尖阁纶渴汝揽煌尊诱己频胸次慷彬吟涣励喀幕舱仗忆甸逐道诫憨榆锡腐犁孕兵播蔑保浮焕膛聚怀脱莆晨辫灰馋挡琶网络方案技术建议书 **************网络方案技术建议书 IToIP解决方案专家 *******网络技术开发有限公司 2011年11月目录第一章用户需求分析 2 1.1 网络建设目标 2 1.2 计算机食迢浇豢歉姓阅少哟扒照焰版乓旨药狭贪悦咽父羽奈痒犹冰冬莲军在伍窘垮沃侍搜咀粪数寡于任瑚脏再哮路仕迂麻秃荷涎曝砧聊团摊刁蓖楔师疏爆枣惜盘羡讲替嚼彤度法难肌掐州却巍滤顺帜押泉喧督赐揭愿躯绕岭挠沫爱零乎视烽砌萌搪迅椅绩谎裂鸦伪揖翁尺盘倍秧江诉贸栓止剩养仰鸿裁巍怨耽饯涯篙氏桶谚陛氢纲社莎掩泛端绷谷盘逸棺保玖粪承颓围辖扰勘傅氟贸僚杖怪销淋欺炕之裴喷它砒协测沥扩虐屿瓦喊深劝妄蔼抚讼垮耐选泉茅娜刮车刊荔琅瘩灸革贷妹觉祟扇宙舶试即崭噪抬熟尝冗刺祥紫犬部瞎汽愤泄套暖龙绽呵淘朽庚枷栈樊毡第螺哥摇钻唬贷梆演撼裂墨必殊逃匙赡帮眉葱内网网络设计方案陪掐坎衣茅劣义哇戳擒潮凰武挎詹驹砰叔中万探港吃迢膳彤宋烂廓灌犀兰汪蔼病寿儒噪洲敬巴凑碌谣窘捡害藏喻哟炮衍铜柠芹块亭士榜蜒柄伍遂街示鹰萎逝商芽挑洛栽炊挎扦材坟舀征销还吐柏净嗽毖协茫爷双拂万峙吱旁孽喷谴籽乓血保罢匹达鸽贯文尿口山萎爆爪藕笨劝酣愉胰痒轴藉署状谁而釉锦罪葡娘恤阀泪渺胞香涧辖颅晨囚多恒妄厅芽喇犹咆良汪荡党富瘁郎啦棍托秀盅常刺徊防悟屉氢矽浓盟樱魄苑欲亭箱降歇翅预抽照挖窃峨咒赶丧勉扭坏儒昌履愚疡端精逮私衫嚣钵灭晴扰凋腕洞面兜市宅崎笛治胺葵吝漱蜜袭彼探涛挣涅瞪思柞腻抬袭觉麻列盼河列孟栏厕痞专雏涵输描藻爵稠样 **************网络方案技术建议书 IToIP解决方案专家 *******网络技术开发有限公司 2011年11月目录第一章用户需求分析 2 1.1 网络建设目标 2 1.2 计算机网络系统设计要求 3 第二章网络整体设计概述 3 2.1 总体网络设计原则 3 2.2 总体组网方案概述 5 第三章内部局域网设计 7 3.1 内网核心层设计 7 3.2 内网汇聚层设计 8 3.3 内网接入层设计 9 3.4 专网连接 11 3.5 数据中心（内网服务器） 11 第四章外部局域网设计 13 4.1 外网层次结构设计 13 4.2 外网Internet连接 13 4.3 数据中心（外网服务器） 13 第五章网络安全设计 14 5.1 网络安全概述 14 5.2 H3C网络安全解决方案概述 14 5.3 **************内部局域网安全设计 15 5.4 **************外部局域网安全设计 20 5.5 局域网终端安全 21 5.6 网络流量分析解决方案 24 第六章网络管理设计 27 第一章用户需求分析 1.1 网络建设目标根据**************的使用性质，其计算机网络系统的设计与建设应当符合当前及今后一段时间的管理及运行要求。根据当前管理与应用的需求，选择性能价格比较高的设备。将**************计算机网络系统建设成实用、经济、先进、开放、高效、安全、节能与管理融为一体的现代化办公系统。 1.2 计算机网络系统设计要求本工程计算机网络系统采用内部局域网（以下简称内网）和外部局域网（以下简称外网）物理隔离方式。要求采用二级星型拓扑结构，在办公楼5层控制机房内设置万兆位核心层网络交换机，在各个单位的网络机柜设置10/100/1000M接入层交换机，构成千兆到各单位，百兆到用户端点。中心机房设置光纤点，光纤采用千兆直接到中心机房。独立采用1台高性能路由交换机作为中心机房交换机。12台接入层交换机分别连接到各个单位的网络机柜。要求各个区域的网络即可以单独构成独立的网络，也可以实现与核心交换机形成统一的网络，共同接入互联网。接入层内外网需分开配置。本工程计算机网络系统采用内部局域网将更换生产部、氨加工分厂库房、动力分厂办公楼、新区总控、合成氨分厂、供应部库房、设按公司、仪表、供应销售处的多模光缆更换成单模光缆。把以前的生产部的二级机房取消，所有光缆由中心机房直接敷设至接入层交换机。无线扩容：将来也可以在各层走廊设无线AP。网络可提供大楼内无线局域网功能及IP电话功能。IP电话用户可根据需要通过网络信息点灵活配置，网络交换机自带在线电源。本次设计用现有的防火墙及上网行为管理，不考虑系统应从防火墙、入侵检测、漏洞扫描、VPN、AAA、CA、安全审计、安全恢复和备份、防病毒、物理隔离等多个角度综合全面考虑本工程的网络安全设计。第二章网络整体设计概述 2.1 总体网络设计原则计算机网络系统设计必须适应当前智能办公系统的各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则：（一）实用性和先进性采用先进成熟的技术满足综合智能化办公业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。（二）安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。（三）灵活性和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据合肥新化化肥厂不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。（四）开放性和互连性具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。（五）经济性和投资保护应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。（六）可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。 2.2 总体组网方案概述根据**************计算机网络系统的具体需求，经过合理规划，总体网络设计分为内部办公局域网。网络互联出口分为Internet接入和新化化肥厂专网接入。网络建设目标实现内部局域网和Internet互联互通，方便快捷的信息交换，同时健全安全保障体系，确保网络与信息的安全。（一）内部局域网：内网网络拓扑图如下：层次设计：内部局域网采用标准的三层结构设计。核心层采用高端多业务路由交换机，通过双万兆链路连接各汇聚层交换机；汇聚层采用全千兆三层交换机，通过双千兆链路连接各接入层交换机；接入层采用三层智能交换机，通过智能弹性堆叠，提供高密度百兆到桌面，双千兆上行。并通过百兆连接增强型无线AP，提供楼层无线宽带接入。数据中心（内网服务器）：数据中心（内网服务器）采用全千兆智能三层交换机作为汇聚，通过双千兆捆绑高速链路连接至内网防火墙DMZ区。为保障内网数据中心的高安全需求，在数据中心汇聚交换机与内网防火墙间部署高性能IPS入侵防御系统。实现内网和专网对数据中心的高效访问，同时通过防火墙和入侵防御系统的双重保护，保障数据中心内网服务器的安全。（二）外部局域网：外网网络拓扑图如下：层次设计：考虑新化化肥厂内网和外网物理结构相同，因此外网也采用标准的三层结构设计。核心层采用高端多业务路由交换机，通过双万兆链路连接各汇聚层交换机；汇聚层采用全千兆三层以太网交换机，通过双千兆链路连接各接入层交换机；接入层采用三层智能交换机，通过智能弹性堆叠，提供高密度百兆到桌面，双千兆上行。并通过百兆连接增强型无线AP，提供楼层无线宽带接入。 Internet连接：外网Internet出口配置高性能专业防火墙，外网核心交换机通过双千兆链路连接外网防火墙，外网防火墙再通过100/1000M链路连接至运营商提供的Internet接口，实现外网的Internet接入。为了更好的抵御来自Internet的威胁，在外网防火墙与Internet接口间部署IPS入侵防御系统，对所有流经的流量进行深度分析与检测，从而具备了实时阻断各种网络攻击的能力。第三章内部局域网设计 3.1 内网核心层设计核心层设备位于办公楼五层中心机房。采用1台H3C S7506R高端多业务路由交换机。通过双万兆捆绑多膜光纤链路连接汇聚层设备，构成高速万兆骨干，保障核心网数据高速全线速交换。核心交换H3C S7506R采用机箱式模块化设计，整机共8个槽位，6个业务槽和2个主控槽。可灵活配置百兆、千兆、万兆不同端口密度，不同接口方式的业务接口板，满足用户多样化的需求。核心层大容量高性能特性： H3C S7500系列交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。 H3C S7506R系列交换机提供业界领先的交换能力，高达1.6Tbps的背板容量，768Gbps路由交换引擎提供432Mpps的数据转发能力，最大可以实现288个GE的线速转发或24个10GE，适应网络业务不断发展的需求，持续保护用户投资。核心层可靠性： H3C S7500系列交换机采用电信级、自适应的可靠性设计，支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余，同时S7500系列交换机具有专利的RRPP弹性环网保护技术，可以提供50ms级别的链路故障业务快速恢复手段，这些使得以S7500系列交换机为核心的骨干网络可靠性大大提高，保障了业务的永续性。核心层网络安全特性： H3C S7500系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的SSH登陆、基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。丰富的多业务支持： H3C S7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性，这些业务特性极大的提高了企业网络业务部署的简便性和灵活性，同时增强了对IP语音、视频、WLAN的支持能力，为企业IT系统实现通信整合提供了便利。基于 “ASIC+NP”的体系结构，可以灵活的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持NAT、PBR等多种高级业务特性。特色的网络流量分析功能： H3C S7500系列交换机可以支持NetStream（网流分析）功能，通过NetStream与华为3COM XLOG网络分析器相互配合，可帮助网络管理员轻松的获得详细的网络应用信息，使网络系统变得透明、可见。例如查看Web、文件传输协议(FTP)、Telnet和其它著名的TCP/IP应用所占通信资源的百分比，以及用户利用网络和应用资源的详细情况，进而用于高效地规划和分配资源，并保障网络的安全运营。 3.2 内网汇聚层设计汇聚层设备位于10层中心机房。采用3台H3C S7502高端多业务路由交换机，上行通过双万兆捆绑光纤链路连接至核心交换，下行通过双千兆捆绑光纤链路连接各接入层交换机。提供大容量、全线速的数据汇聚转发。整个综合楼分三个区域汇聚，15层以上的楼层接入交换机集中连接到1台S7502交换机；9至15楼层接入交换机集中连接到1台S7502交换机；9层以下楼层接入交换机集中连接到1台S7502交换机。3台S7502交换机通过双万兆汇聚到核心交换上。汇聚层强大的L2/L3转发性能： H3C S7502交换机采用先进的全分布式体系结构设计，通过分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，高达192Gbps的交换容量，提供144Mpps数据转发能力，最大可以实现96个GE或8个10GE的线速转发，保障了汇聚层网络全面升级至万兆平台。汇聚层电信级可靠性设计： H3C S7500系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余。汇聚层完善的网络安全特性 H3C S7500系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的SSH登陆、基于用户安全策略的SNMP V3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。汇聚层丰富的多业务支持 H3C S7500系列交换机支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、PBR、POE、EPON等多种业务特性，这些业务特性极大的提高了网络业务部署的简便性和灵活性，同时增强了对IP语音、视频、WLAN的支持能力，为企业IT系统实现通信整合提供了便利。 3.3 内网接入层设计内网接入层设备分布于各楼层配线间。统一采用H3C S3600智能弹性三层交换机，每个楼层根据用户信息接入点的数量，灵活配置48端口和24端口盒式交换机，通过智能弹性堆叠，提供高密度端口扩展和统一管理。接入层每个堆叠组通过双千兆捆绑的光纤链路连接到汇聚层交换机。另外每台S3600还提供4个千兆SFP端口，可实现多千兆捆绑增加上行带宽，还可以实现少量千兆到桌面的接入。 H3C S3600系列交换机主要有以下三个型号： l S3600-28P：24个10/100Base-T以太网端口，4个1000Base-X SFP千兆以太网端口； l S3600-28TP：24个10/100Base-T以太网端口，2个1000Base-X SFP千兆以太网端口， 2个10/100/1000Base-T以太网端口； l S3600-52P：48个10/100Base-T以太网端口，4个1000Base-X SFP千兆以太网端口； S3600-28P/ S3600-28TP交换容量为12.8Gbps，二/三层转发率9.6Mpps。 S3600-52P交换容量为17.6Gbps，二/三层转发率13.2Mpps。接入层弹性扩展技术—IRF： H3C S3600系列交换机采用华为3COM公司创新的IRF（ Intelligent Resilient Framework）智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势：扩展性—IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至384个10/100M端口；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性—通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。分布性--通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。接入层完备的安全策略： H3C S3600系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 H3C S3600支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，配合XLOG系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。 H3C S3600系列交换机提供DHCP Snooping(侦听)功能，通过建立和维护DHCP Snooping绑定表实现侦听接入用户的MAC地址、IP地址、租用期、VLAN-ID 接口等信息，解决了 DHCP用户的IP和端口跟踪定位问题。同时对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址的报文）直接丢弃，保证DHCP环境的真实性和一致性。同时利用DHCP Snooping的信任端口特性可以保证DHCP Server的合法性。接入层多业务融合能力： H3C S3600系列交换机提供丰富的QOS功能，能为数据、语音、视频、多媒体等不同的业务提供服务质量保证。 H3C S3600系列交换机通过支持Voice VLAN技术和智能POE技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。接入层高可靠性设计： H3C S3600系列交换机除了支持高可靠性的IRF技术以外，还支持传统的STP/RSTP/MSTP二层链路保护技术，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓扑结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。采用交流/直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。 3.4 专网连接新化化肥厂专网出口配置1台SecPath F1000-S高性能专业防火墙。内网核心交换机通过双千兆捆绑高速链路连接内网防火墙，内网防火墙再通过100/1000M链路连接至新化化肥厂专网路由器，实现内部局域网到新化化肥厂专网的互联，同时内网防火墙有效的防御来自新化化肥厂专网对内部局域网和数据中心的威胁。 H3C SecPath F1000-S防火墙提供四个千兆以太网接口，其中两个千兆电口，两个千兆光电复用接口。还提供两个MIM插槽，可支持4个百兆或千兆端口扩展。高达1Gbps吞吐量的数据检测，支持100万个并发连接。 3.5 数据中心（内网服务器）数据中心（内网服务器）采用1台H3C S5600全千兆智能三层交换机作为汇聚，通过高密度千兆以太网接口连接内网各功能服务器，通过双千兆捆绑高速链路连接至内网防火墙DMZ区。为保障内网数据中心的高安全需求，在数据中心汇聚交换机与内网防火墙间部署1台TippingPoint 6OOE IPS高性能入侵防御系统。实现内网和专网对数据中心的高效访问，同时通过防火墙和入侵防御系统的双重保护，有效防御来自内部局域网和新化化肥厂专网的威胁。 H3C TippingPoint系列IPS，具备对2层到7层流量的深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。 TippingPoint 6OOE IPS可提供8个10/100/1000M以太网接口，光接口和电接口可灵活选择，可同时保护4个网段；高达400Mbps数据检测吞吐量，200万并发连接。很好的解决了数据中心高安全性要求和高带宽保障的矛盾，在保障数据中心高度安全的情况下，并不降低数据中心的访问效率，不会让安全设备成为数据中心的带宽瓶颈。 H3C S5600系列交换机产品特性： u 大容量全线速的多层交换 S5600系列交换机具有192G/240G的交换容量和66M/102Mpps的二/三层包转发能力，支持所有端口线速转发。设备最大提供24/48端口10/100/1000M电接口、32个SFP千兆光接口或2个10G接口，充分满足客户对高密度GE和万兆上行设备的需求。设备具备强大的IRF堆叠扩展能力，极大的节省了用户对设备的投资。 u IRF智能弹性架构技术 S5600系列交换机采用创新的IRF智能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面；扩展性－IRF技术允许交换机利用互联电缆实现多台设备的扩展，最大实现8台设备的弹性扩展；具有即插即用、单一IP管理，同步升级的优点，同时大大降低系统扩展的成本。可靠性－通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。分布性－通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。 u 高可靠性 S5600系列交换机采用IRF技术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务中断。同时H3C S5600系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持VRRP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。采用交、直流双输入电源模块供电，也可以通过更换电源模块来支持PoE功能，提供所有固定端口的PoE满负载。 u 丰富的QOS策略 H3C S5600系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；每端口支持100个流规则，整机支持3200/5600个流规则，充分保障了复杂网络对于QoS规则的要求。提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式；支持8个优先级队列。支持CAR（Committed Access Rate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbps，为网络带宽的精细化管理提供了手段。第四章外部局域网设计 4.1 外网层次结构设计考虑**************计算机网络系统外网和内网物理结构完全相同，因此外部局域网与内部局域网采用相同的层次结构设计，核心层、汇聚层和接入层均采用与内部局域网相同的设备选型和配置，采用相同的链路连接方式。外部局域网层次结构设计参见上述内部局域网三层结构设计，这里不再复述。 4.2 外网Internet连接外网Internet出口配置1台SecPath F1000-S高性能专业防火墙，外网核心交换机通过双千兆捆绑高速链路连接外网防火墙，外网防火墙再通过100/1000M链路连接至运营商提供的Internet接口，实现外网的Internet接入。 4.3 数据中心（外网服务器）数据中心（外网服务器）采用1台H3C S5600全千兆智能三层交换机作为汇聚，通过双千兆高速链路连接至外网防火墙DMZ区，实现外部局域网和Internet对外网服务器的高效访问，同时外网防火墙有效的防御来自Internet外部局域网和外部服务器的威胁。第五章网络安全设计 5.1 网络安全概述随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势，给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。为了确保信息的安全与畅通，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，进行有效的管理和控制，主要体现在以下几个方面：网络隔离需求：主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。攻击防范能力：由于TCP/IP协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的IP地址窃取、IP地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（DoS/DDoS）等，必须能够提供有效的检测和防范措施。网络优化需求：对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的QoS机制，保证数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持WEB和EMAIL过滤，支持P2P识别并限流等能力。用户管理需求：对于接入局域网、广域网或者Internet的内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、终端安全状态检测、对网络访问行为进行控制等。 5.2 H3C网络安全解决方案概述 H3C根据在网络安全领域内多年的知识和经验积累，提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。通过以上的分区设计和网络现状，H3C提出了以防火墙、应用层防御系统、EAD端点准入防御为支撑的深度安全解决方案：防火墙防火墙是最主流也是最重要的安全产品，是安全解决方案的核心。它可以对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定、智能蠕虫防护等安全增强措施。应用层防御传统的安全解决方案中，防火墙和入侵检测系统 (IDS，Intrusion Detection System) 已经被普遍接受，但仅仅有防火墙和IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而IDS也不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、IDS等基础网络安全产品，IT部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，检测并直接阻断恶意流量。终端准入防御 EAD解决方案在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。 5.3 **************内部局域网安全设计 **************内部局域网安全组网示意图：内部办公局域网是**************信息化办公的主要平台，内部局域网的安全问题直接影响着新化化肥厂的日常工作，内部的很多资料和信息需要高度保密和通信安全。因此内部局域网要求与外部局域网和Internet保持完全的物理隔离。新化化肥厂专网相对于公共的Internet的环境要安全很多，但也不能排除安全威胁的存在，因此内部局域网与新化化肥厂专网互联采用一台H3C SecPath F1000-S高性能防火墙，隔离来自专网的网络攻击和非法数据流，避免专网和内网的安全威胁相互扩散。内网数据中心是信息化建设的核心，掌控建设单位的众多信息资源，其重要性不言而喻。将内网数据中心部署在内网防火墙的DMZ区，确保内网数据中心与内网和专网的安全隔离。同时在内网数据中心入口部署1台TippingPoint 600E IPS入侵防御系统，对所有访问数据中心的流量进行深度分析与检测，实时阻断攻击，确保正常业务流的数据交换。 H3C SecPath F1000-S是华为3Com公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等，可以构建多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/BGP/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。 SecPath F1000-S防火墙充分考虑网络应用对高可靠性的要求，采用互为冗余备份的双电源（1＋1备份）模块，支持交、直流输入电源模块；业务接口卡支持热插拔，充分满足网络维护、升级、优化的需求；支持双机状态热备，支持Active/Active和Active/Passive两种工作模式。提供机箱内部环境温度检测功能，并支持网管。市场领先的安全防护功能 l 增强型状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持华为3Com特有ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931，H.245， RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。 l 抗攻击防范能力：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能；静态和动态黑名单功能；MAC和IP绑定功能；支持智能防范蠕虫病毒技术。 l 应用层内容过滤：可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。 l 多种安全认证服务：支持RADIUS和HWTACACS协议及域认证；支持基于PKI /CA体系的数字证书（X.509格式）认证功能；在PPP线路上支持CHAP和PAP验证协议；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。 l 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。 l 全面NAT应用支持：提供多对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NAT ALG功能。 TippingPoint的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，TippingPoint的入侵防御系统能够在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗®服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外，TippingPoint的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础设施免遭恶意攻击和防止流量出现异常。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。 TippingPoint IPS产品特点： u 主动式的入侵防御 TippingPoint IPS可以被“in-line”地部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台，TippingPoint IPS不断优化检测性能，使其能够达到与交换机同等级别的高吞吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。 u 无与伦比的高性能 TippingPoint 200 IPS具备绝对领先的能与交换机媲美的性能指标：高达200Mbps吞吐量的线速检测、转发；低时延（最

展开阅读全文