內(nèi)外網(wǎng)改造安全解決方案課件

1、內(nèi)外網(wǎng)改造安全解決方案1 中石化內(nèi)外網(wǎng)改造解決方案中石化內(nèi)外網(wǎng)改造解決方案 公共事業(yè)技術(shù)部 內(nèi)外網(wǎng)改造安全解決方案2 n 內(nèi)外網(wǎng)隔離各種方案介紹內(nèi)外網(wǎng)隔離各種方案介紹 n 電力信息網(wǎng)改造思路電力信息網(wǎng)改造思路 n 參考案例分享參考案例分享 目錄目錄 內(nèi)外網(wǎng)改造安全解決方案3 物理隔離物理隔離 內(nèi)外網(wǎng)隔離方案 邏輯隔離邏輯隔離 廣域網(wǎng)、局域網(wǎng)均物理隔離廣域網(wǎng)、局域網(wǎng)均物理隔離 局域網(wǎng)物理隔離局域網(wǎng)物理隔離 兩套有線網(wǎng)絡(luò)兩套有線網(wǎng)絡(luò) 新建一套無線網(wǎng)絡(luò)新建一套無線網(wǎng)絡(luò) MPLS VPN+EADMPLS VPN+EAD隔離隔離 VLAN+ACLVLAN+ACL隔離隔離 單機雙網(wǎng)卡單機雙網(wǎng)卡+ +硬盤隔

2、離卡硬盤隔離卡 雙機單網(wǎng)卡雙機單網(wǎng)卡 單機單網(wǎng)卡單機單網(wǎng)卡+ +硬盤隔離卡硬盤隔離卡 雙機單網(wǎng)卡雙機單網(wǎng)卡 單機雙網(wǎng)卡單機雙網(wǎng)卡+ +硬盤隔離卡硬盤隔離卡 內(nèi)外網(wǎng)改造安全解決方案4 物理隔離方案介紹物理隔離方案介紹 -電力信息網(wǎng)內(nèi)外網(wǎng)隔離方案電力信息網(wǎng)內(nèi)外網(wǎng)隔離方案 內(nèi)外網(wǎng)改造安全解決方案5 電力二次系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)總體策略 4 4、縱向認證、縱向認證 生產(chǎn)控制大區(qū)生產(chǎn)控制大區(qū) 管理信息大區(qū)管理信息大區(qū) 防火墻防火墻 內(nèi)外網(wǎng)改造安全解決方案6 實時VPN SPDnet 非實時VPN IP認證加密裝置 安安全全區(qū)區(qū)I (實實時時控控制制區(qū)區(qū)) 安安全全區(qū)區(qū)II (非非控控制制生生產(chǎn)產(chǎn)區(qū)區(qū)) 安安全全

3、區(qū)區(qū)III (生生產(chǎn)產(chǎn)管管理理區(qū)區(qū)) 物理隔離裝置 安安全全區(qū)區(qū)IV (管管理理信信息息區(qū)區(qū)) 外部公共因特網(wǎng) 生產(chǎn)VPN SPTnet 管理VPN 防火墻 防火墻 防火墻 IP認證加密裝置 IP認證加密裝置 IP認證加密裝置 防火墻 防火墻 安安全全區(qū)區(qū)I (實實時時控控制制區(qū)區(qū)) 防火墻 安安全全區(qū)區(qū)II (非非控控制制生生產(chǎn)產(chǎn)區(qū)區(qū)) 物理隔離裝置 安安全全區(qū)區(qū)III (生生產(chǎn)產(chǎn)管管理理區(qū)區(qū)) 防火墻 防火墻 防火墻 防火墻 安安全全區(qū)區(qū)IV (管管理理信信息息區(qū)區(qū)) 現(xiàn)有電力數(shù)據(jù)網(wǎng)絡(luò)隔離情況 本次關(guān)注 區(qū)域 內(nèi)外網(wǎng)改造安全解決方案7 電力信息網(wǎng)絡(luò)安全隔離現(xiàn)狀總結(jié) 實現(xiàn)了調(diào)度與管理網(wǎng)絡(luò)的橫

4、向物理隔離 國網(wǎng)區(qū)域電網(wǎng)省網(wǎng)地市縱向貫通 初步實現(xiàn)統(tǒng)一Internet出口(以省為單位) 管理信息網(wǎng)絡(luò)與Internet有邏輯連接 絕大部分網(wǎng)省沒有部署綜合接入認證 上網(wǎng)行為審計系統(tǒng)缺乏 非法外聯(lián)缺乏有效監(jiān)控 安全事件管理與應(yīng)急措施不健全 存在重要信息泄露的隱患 無法滿足等級無法滿足等級 保護的要求保護的要求 內(nèi)外網(wǎng)改造安全解決方案8 改造目標 電力信息系統(tǒng)是涉及到國計民生的信息系統(tǒng)，一旦受到破壞，會對社 會秩序和公共利益造成嚴重損害，或者對國家安全造成（嚴重）損害。根 據(jù)國家對信息安全保障工作的要求，國家電網(wǎng)公司（以下簡稱“國網(wǎng)”） 決定在全公司系統(tǒng)實施網(wǎng)絡(luò)與信息安全隔離方案通過技術(shù)改造將現(xiàn)

5、有 網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)和信息外網(wǎng)并實施有效的安全隔離。 根據(jù)要求，國網(wǎng)下屬各網(wǎng)XX電力、地市電業(yè)局以及三產(chǎn)公司等國網(wǎng)系 統(tǒng)內(nèi)單位須在2008年4月前完成過渡方案的實施，在一年半內(nèi)完成整體網(wǎng) 絡(luò)與信息安全隔離工作。根據(jù)國網(wǎng)公司下發(fā)文件的要求，各個網(wǎng)省、地區(qū)、 縣現(xiàn)有網(wǎng)絡(luò)都不得與Internet互聯(lián)網(wǎng)互通，必須建設(shè)與內(nèi)網(wǎng)物理隔離的信 息系統(tǒng)，以保障內(nèi)網(wǎng)網(wǎng)絡(luò)的信息安全性。新建的外網(wǎng)與內(nèi)網(wǎng)采用網(wǎng)閘等設(shè) 備進行物理隔離，與Internet采取邏輯隔離方式，確保外網(wǎng)信息正常發(fā)布 （營銷、信息、招投標等）及信息安全。國網(wǎng)將通過新建信息外網(wǎng)，完善 域名解析、防病毒、補丁管理，加強終端管理等一系列措施實現(xiàn)網(wǎng)絡(luò)與

6、信 息系統(tǒng)目標安全架構(gòu)。 內(nèi)外網(wǎng)改造安全解決方案9 現(xiàn)有現(xiàn)有 信息信息 網(wǎng)絡(luò)網(wǎng)絡(luò) 改造后 信息信息 內(nèi)網(wǎng)內(nèi)網(wǎng) 信息信息 內(nèi)網(wǎng)內(nèi)網(wǎng) 信息信息 外網(wǎng)外網(wǎng) 電力信息網(wǎng)絡(luò)改造總體策略 內(nèi)外網(wǎng)改造安全解決方案10 改造思路 電力信息網(wǎng)絡(luò)的安全合規(guī)改造除了借鑒以前的電力二次安全防 護標準外(此規(guī)范重點在電力生產(chǎn)業(yè)務(wù)領(lǐng)域,對管理信息側(cè)沒有提出實施細 則),應(yīng)更多地被動采納國家計算機安全防護等級標準,其他重要行業(yè)如政 府、金融、能源等已經(jīng)建設(shè)的經(jīng)驗。 由于電力系統(tǒng)的行業(yè)特殊性及部分業(yè)務(wù)（如電力交易、營銷、三公 信息等）頻繁網(wǎng)上交互的特點，電力信息網(wǎng)絡(luò)的安全合規(guī)改造會把現(xiàn)有信 息網(wǎng)絡(luò)改造成為電力信息內(nèi)網(wǎng)，斷開與

7、互聯(lián)網(wǎng)的連接，重新規(guī)劃一套網(wǎng)絡(luò) 作為信息外網(wǎng)，可能會部署獨立的外網(wǎng)終端。 內(nèi)網(wǎng)與外網(wǎng)之間的隔離方式目前存在爭議，物理網(wǎng)閘的方式對現(xiàn)有 應(yīng)用會造成較大影響，尤其是影響SG186部分試點業(yè)務(wù)的推廣，因此國家 電網(wǎng)認為可采用防火墻+強安全策略的邏輯隔離方式。 加強信息內(nèi)網(wǎng)和外網(wǎng)的安全審計工作，通過終端安全控制，上網(wǎng)行 為監(jiān)控，內(nèi)部安全事件分析管理等手段加強信息網(wǎng)的可管理和可維護性。 內(nèi)外網(wǎng)改造安全解決方案11 國家電網(wǎng)公司信息網(wǎng)改造目標國家電網(wǎng)公司信息網(wǎng)改造目標 內(nèi)外網(wǎng)改造安全解決方案12 H3C電力內(nèi)外網(wǎng)安全改造方案綜述 SecBlade FWSecBlade FW SSL VPNSSL VPN網(wǎng)

8、關(guān)網(wǎng)關(guān) H3C IPSH3C IPS SecPathSecPath IPS IPS EAD終端控制軟件 EADEAD安全策略管理中心安全策略管理中心 SecCenterSecCenter安全管理中心安全管理中心 IMCIMC網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心 網(wǎng)管中心 內(nèi)網(wǎng)服務(wù)器區(qū) 網(wǎng)通 電信 EAD終端控制軟件 H3C FWH3C FW 信息內(nèi)網(wǎng)信息外網(wǎng) H3C ACGH3C ACG 外網(wǎng)服務(wù)器區(qū) 部署部署ACGACG應(yīng)用控制產(chǎn)品實現(xiàn)應(yīng)用控制產(chǎn)品實現(xiàn)InternterInternter區(qū)域的上網(wǎng)行為監(jiān)控區(qū)域的上網(wǎng)行為監(jiān)控( (行為監(jiān)管解決方案行為監(jiān)管解決方案) ) 內(nèi)外網(wǎng)之間使用內(nèi)外網(wǎng)之間使用FWFW

9、和和SecBladeSecBlade核心交換機插卡產(chǎn)品完成內(nèi)外網(wǎng)之間強策略控制核心交換機插卡產(chǎn)品完成內(nèi)外網(wǎng)之間強策略控制( (內(nèi)網(wǎng)控制解決方案內(nèi)網(wǎng)控制解決方案) ) 采用采用EADEAD實現(xiàn)接入綜合認證實現(xiàn)接入綜合認證( (內(nèi)網(wǎng)控制解決方案內(nèi)網(wǎng)控制解決方案) ) 部署部署FW/IPS/UTMFW/IPS/UTM等安全產(chǎn)品實現(xiàn)信息外網(wǎng)等安全產(chǎn)品實現(xiàn)信息外網(wǎng)InternetInternet邊界防護（邊界防護解決方案）邊界防護（邊界防護解決方案） 部署部署SSL VPNSSL VPN完成信息外網(wǎng)的移動辦公（遠程安全接入解決方案）完成信息外網(wǎng)的移動辦公（遠程安全接入解決方案） 部署部署ASE/AFC/

10、SecBalde FWASE/AFC/SecBalde FW對對SG186SG186業(yè)務(wù)數(shù)據(jù)中心進行防護（數(shù)據(jù)中心保護解決方案）業(yè)務(wù)數(shù)據(jù)中心進行防護（數(shù)據(jù)中心保護解決方案） 部署部署SecCenterSecCenter安全管理中心完成整網(wǎng)安全事件的分析和監(jiān)控（統(tǒng)一安全管理平臺）安全管理中心完成整網(wǎng)安全事件的分析和監(jiān)控（統(tǒng)一安全管理平臺） 內(nèi)外網(wǎng)改造安全解決方案13 改造范圍 l網(wǎng)絡(luò)系統(tǒng)改造網(wǎng)絡(luò)系統(tǒng)改造將重新建設(shè)一張與內(nèi)網(wǎng)隔離的網(wǎng)絡(luò)（以下稱“信息外 網(wǎng)”），并部署相應(yīng)安全防范設(shè)備和措施，保障信息、數(shù)據(jù)的安全發(fā)布， 避免可能的信息泄密、黑客、病毒等安全威脅。網(wǎng)絡(luò)主體可考慮用有線方 式、WLAN無線

11、方式或者兩者相結(jié)合的方式來解決。 l業(yè)務(wù)系統(tǒng)改造業(yè)務(wù)系統(tǒng)改造對于現(xiàn)有網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)進行分析、評估，對于確實 要對Internet發(fā)布信息的業(yè)務(wù)系統(tǒng)和服務(wù)器平臺，規(guī)劃搬遷部署方案，將 業(yè)務(wù)系統(tǒng)轉(zhuǎn)移到外網(wǎng)核心網(wǎng)絡(luò)，對外網(wǎng)用戶提供相應(yīng)服務(wù)，如營銷、招投 標系統(tǒng)等。 l接入終端改造接入終端改造可采用單PC方式或者雙PC方式解決。單PC方式下，采 用PC機加裝硬盤隔離卡的方式解決，終端改造投資低，但考慮到安裝、維 護復雜，管理不方便，建議采用雙PC方式解決。 整個系統(tǒng)改造主要是網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)建設(shè)部分，尤其是業(yè)務(wù)系統(tǒng)， 必須充分考慮現(xiàn)有部分業(yè)務(wù)移植到外網(wǎng)上以后，如何繼續(xù)正常開展業(yè)務(wù)功 能和提供必要的安

12、全保障。 內(nèi)外網(wǎng)改造安全解決方案14 案案 例例 內(nèi)外網(wǎng)改造安全解決方案15 總結(jié)：H3C電力內(nèi)外網(wǎng)安全方案 SecBlade FWSecBlade FW SSL VPNSSL VPN網(wǎng)關(guān)網(wǎng)關(guān) H3C IPSH3C IPS SecPathSecPath IPS IPS SecPath ASESecPath ASE EAD終端控制軟件 EADEAD安全策略管理中心安全策略管理中心 SecCenterSecCenter安全管理中心安全管理中心 IMCIMC網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)管理中心 網(wǎng)管中心 內(nèi)網(wǎng)服務(wù)器區(qū) 網(wǎng)通 電信 EAD終端控制軟件 H3C FWH3C FW 信息內(nèi)網(wǎng)信息外網(wǎng) H3C ACGH3

13、C ACG 外網(wǎng)服務(wù)器區(qū) 邊界防邊界防 護解決護解決 方案方案 行為監(jiān)行為監(jiān) 控解決控解決 方案方案 遠程安遠程安 全接入全接入 解決方解決方 案案 內(nèi)網(wǎng)控內(nèi)網(wǎng)控 制解決制解決 方案方案 數(shù)據(jù)中數(shù)據(jù)中 心保護心保護 解決方解決方 案案 統(tǒng)一安統(tǒng)一安 全管理全管理 平臺平臺 內(nèi)外網(wǎng)改造安全解決方案16 佳木斯佳木斯 牡丹江牡丹江大慶大慶 綏化綏化 哈爾濱哈爾濱 雞西雞西 鶴崗鶴崗 齊齊哈爾齊齊哈爾 黑河黑河 黑龍江省電力公司信息外網(wǎng)黑龍江省電力公司信息外網(wǎng) 大興安嶺大興安嶺 哈二局哈二局 伊春伊春 千兆直連千兆直連 155M ATM155M ATM 省局省局SR8805SR8805 核心路由器核

14、心路由器 ATMATM西部西部 環(huán)網(wǎng)環(huán)網(wǎng) ATMATM東部東部 環(huán)網(wǎng)環(huán)網(wǎng) 155M POS155M POS 黑龍江省電力公司信息外網(wǎng)省局部署黑龍江省電力公司信息外網(wǎng)省局部署H3CH3C萬兆核心路由器萬兆核心路由器SR8805SR8805，1111個地市電業(yè)局部署個地市電業(yè)局部署H3CH3C多核高多核高 端路由器端路由器SR6608SR6608；同時，省局局域網(wǎng)核心采用；同時，省局局域網(wǎng)核心采用H3C S9512H3C S9512核心交換機，并且采用核心交換機，并且采用S5500-EIS5500-EI千兆接入。千兆接入。 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局S

15、R6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 地市局地市局SR6608SR6608 核心路由器核心路由器 內(nèi)外網(wǎng)改造安全解決方案17 東電新大樓外網(wǎng)東電新大樓外網(wǎng) 服務(wù)器 SecCenterSecCenter S5100-EI IMC、EA

16、D服務(wù)器 EAD EAD EAD EAD S5100-EI SecBlade FWSecBlade FW2 2 SecBlade IPSSecBlade IPS2 2 SecBlade LBSecBlade LB S9500S9500 SecBlade FWSecBlade FW S9500S9500 SecBlade FWSecBlade FW 中電飛華 網(wǎng)通 S7506E 內(nèi)外網(wǎng)改造安全解決方案18 內(nèi)外網(wǎng)改造安全解決方案19 邏輯隔離方案介紹邏輯隔離方案介紹 內(nèi)外網(wǎng)改造安全解決方案20 n二層二層VLANVLAN：二層隔離技術(shù)，在三層終結(jié)。不易擴展，STP維護復雜、 難以管理和定位，適合

17、小型網(wǎng)絡(luò) n分布式分布式ACLACL：需要嚴格的策略控制，靈活性差，可能配置錯誤，擴 展性、管理性差，適合某些特定場合 nVRF/MPLS VPNVRF/MPLS VPN：三層隔離技術(shù)，業(yè)務(wù)隔離性好，每個VPN獨立 轉(zhuǎn)發(fā)表， 擴展性好。 支持多種靈活的接入方式，配置管理簡單、支 持QoS，能夠滿足大型復雜園區(qū)的應(yīng)用 n推薦組合：推薦組合：VRF+MPLS VPN。二三層隔離的融合，安全性高，避 免大量的ACL配置問題，直觀、易維護、易擴展 內(nèi)外網(wǎng)改造安全解決方案21 n用戶端點準入控制用戶端點準入控制 n對用戶的安全認證和權(quán)限管理，使用H3C EAD解決方案（支持 portal、802.1X、

18、VPN等認證方式），在接入邊緣設(shè)備作認證 n可以與無線終端與AP聯(lián)動，對無線接入用戶進行認證 n根據(jù)用戶認證的結(jié)果動態(tài)下發(fā)VPN歸屬，控制訪問權(quán)限 n業(yè)務(wù)邏輯隔離業(yè)務(wù)邏輯隔離 n共用物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLS VPN技術(shù) n用戶通過CEMCE設(shè)備接入，實現(xiàn)端到端的VPN隔離 n核心用MPLS標簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專用的 VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi) 部業(yè)務(wù)邏輯隔離和物理隔離 n支持端到端的QoS 內(nèi)外網(wǎng)改造安全解決方案22 n集中服務(wù)管理集中服務(wù)管理 n為園區(qū)內(nèi)用戶提供統(tǒng)一的InternetWAN出口，進行集中監(jiān)控、管 理 n網(wǎng)

19、絡(luò)管理使用H3C iMC智能管理中心，內(nèi)嵌的MPLS VPN Manager支持對MPLS VPN的專業(yè)管理 n各種管理策略服務(wù)器、應(yīng)用服務(wù)器、存儲設(shè)備等統(tǒng)一部署在數(shù) 據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略服務(wù) n數(shù)據(jù)中心邏輯上分成三個區(qū)域： n內(nèi)部專有數(shù)據(jù)區(qū)：僅為單部門或業(yè)務(wù)提供服務(wù) n內(nèi)部共享數(shù)據(jù)區(qū)：為網(wǎng)絡(luò)內(nèi)部全部或部分用戶提供共享服務(wù) n外部服務(wù)區(qū)：為通過Internet接入的用戶提供應(yīng)用服務(wù)，如網(wǎng)上銀行、 門戶網(wǎng)站等 內(nèi)外網(wǎng)改造安全解決方案23 PEPE vpn1VPN2vpn3VPN4 用戶名：密碼下發(fā)VLAN CAMS： VLAN對應(yīng)VPN VLAN11VPN1 VLAN22VPN2

20、VLAN33VPN3 VLAN44VPN4 PE： vlan11 vlan22 vlan33 vlan44 用戶名1：密碼 VLAN11 用戶名2：密碼 VLAN22 用戶名3：密碼 VLAN33 用戶名4：密碼 VLAN44 內(nèi)外網(wǎng)改造安全解決方案24 核心交換層 網(wǎng)管中心網(wǎng)管中心 匯聚層 接入層 數(shù)據(jù)中心數(shù)據(jù)中心 FIT AP FIT AP MCE/CEMCE/CE PEPE EADEAD認證認證MPLS VPNMPLS VPN通道通道 企業(yè)企業(yè)/ /園區(qū)網(wǎng)園區(qū)網(wǎng) PEPEPEPEPEPE MCE/CEMCE/CE P PP P P PP P PEPE OSPFOSPF ospf/靜態(tài)路由

21、/RIP MPLS L3 VPNMPLS L3 VPN提供端到提供端到 端的業(yè)務(wù)隔離能力，端的業(yè)務(wù)隔離能力， 并且通過并且通過RTRT屬性控制屬性控制 VPNVPN間業(yè)務(wù)互訪間業(yè)務(wù)互訪 內(nèi)外網(wǎng)改造安全解決方案25 園區(qū)網(wǎng)絡(luò)園區(qū)網(wǎng)絡(luò) 1.1.用戶用戶A A可訪問可訪問 InternetInternet，不能，不能 訪問辦公網(wǎng)絡(luò)訪問辦公網(wǎng)絡(luò) 2.2.用戶用戶A A可訪問可訪問 辦公網(wǎng)絡(luò)，不能辦公網(wǎng)絡(luò)，不能 訪問訪問InternetInternet 3.3.用戶用戶B B可訪問可訪問 辦公網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)，A A和和B B 訪問權(quán)限不同訪問權(quán)限不同 用戶用戶A A用戶用戶B B用戶用戶CC用戶用戶D

22、D 辦公網(wǎng)絡(luò)辦公網(wǎng)絡(luò)InternetInternet 用戶用戶A A、B B、CC、D D 分屬不同的部門，分屬不同的部門， 訪問權(quán)限不同訪問權(quán)限不同 用戶多次獲取不同用戶多次獲取不同 的訪問權(quán)限，滿足的訪問權(quán)限，滿足 InternetInternet、辦公上、辦公上 網(wǎng)及隔離的要求網(wǎng)及隔離的要求 不同訪問權(quán)限的用不同訪問權(quán)限的用 戶安全隔離，以免戶安全隔離，以免 資源被非法訪問資源被非法訪問 CAMSCAMS 內(nèi)外網(wǎng)改造安全解決方案26 園區(qū)網(wǎng)絡(luò)園區(qū)網(wǎng)絡(luò) 1.1.用戶默認屬于用戶默認屬于 Guest VlanGuest Vlan，無，無 須認證須認證 2.2. Internet Intern

23、et與與 Guest VlanGuest Vlan能能 夠互通夠互通 辦公網(wǎng)絡(luò)辦公網(wǎng)絡(luò) GVLAN 10GVLAN 10 GVLAN 20GVLAN 20GVLAN 30GVLAN 30GVLAN 40GVLAN 40 InternetInternet 用戶用戶A A用戶用戶B B用戶用戶CC用戶用戶D D 內(nèi)外網(wǎng)改造安全解決方案27 園區(qū)網(wǎng)絡(luò)園區(qū)網(wǎng)絡(luò) 2.2.動態(tài)動態(tài)VLANVLAN與與 辦公網(wǎng)絡(luò)互通辦公網(wǎng)絡(luò)互通 辦公網(wǎng)絡(luò)辦公網(wǎng)絡(luò)InternetInternet 1.1.用戶啟動用戶啟動EADEAD 認證，動態(tài)下發(fā)認證，動態(tài)下發(fā) VLANVLAN和和ACLACL 用戶用戶A A用戶用戶B B

24、用戶用戶CC用戶用戶D D DVLAN 110DVLAN 110 DVLAN 120DVLAN 120DVLAN 130DVLAN 130 DVLAN 140DVLAN 140 內(nèi)外網(wǎng)改造安全解決方案28 園區(qū)網(wǎng)絡(luò)園區(qū)網(wǎng)絡(luò) 1.1.用戶分配多個用戶分配多個 域后綴域后綴 InternetInternet， shuiwushuiwu等，對等，對 應(yīng)多個服務(wù)應(yīng)多個服務(wù) 辦公網(wǎng)絡(luò)辦公網(wǎng)絡(luò) DVLAN 10DVLAN 10 DVLAN 20DVLAN 20DVLAN 30DVLAN 30DVLAN 140DVLAN 140 InternetInternet 用戶用戶A A用戶用戶B B用戶用戶CC用戶

25、用戶D D 2.2.用戶使用用戶使用 InternetInternet認證，認證， 下發(fā)下發(fā)InternetInternet訪訪 問權(quán)限問權(quán)限 3.3.用戶用戶D D使用使用 caizhengcaizheng認認 證，下發(fā)財政訪證，下發(fā)財政訪 問權(quán)限問權(quán)限 內(nèi)外網(wǎng)改造安全解決方案29 案案 例例 內(nèi)外網(wǎng)改造安全解決方案30 省網(wǎng)管電子政省網(wǎng)管電子政 務(wù)中心務(wù)中心 SR8812SR8812 SR8812SR8812 SR8812SR8812 內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚1 1 內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚2 2內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚3 3內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚4 4內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚5 5 內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚1212內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚1

26、111內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚1010內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚9 9內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚8 8 內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚6 6 內(nèi)網(wǎng)匯聚內(nèi)網(wǎng)匯聚7 7 行政中心原區(qū)外市行政中心原區(qū)外市 級遠程接入單位級遠程接入單位 網(wǎng)管中心網(wǎng)管中心 市屬遠程撥號接市屬遠程撥號接 入單位入單位 行政中心原區(qū)外縣行政中心原區(qū)外縣 區(qū)遠程接入單位區(qū)遠程接入單位 MPLS-VPN P/PE區(qū)域 核心設(shè)備核心設(shè)備 匯聚設(shè)備匯聚設(shè)備 匯聚設(shè)備匯聚設(shè)備 S7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E S7506ES7506E S7506ES7506E S7506ES7506ES

27、7506ES7506ES7506ES7506ES7506ES7506ES7506ES7506E S7506ES7506E S7506ES7506E 昆明市行政中心網(wǎng)絡(luò)昆明市行政中心網(wǎng)絡(luò) 內(nèi)外網(wǎng)改造安全解決方案31 海南電子政務(wù)網(wǎng)海南電子政務(wù)網(wǎng) WX5002WX5002 政務(wù)網(wǎng)核心政務(wù)網(wǎng)核心 APAP EADiMC 病毒庫補丁 海南行政大樓政務(wù)中心海南行政大樓政務(wù)中心 接入接入交換機交換機 S3600/PWRS3600/PWR 外聯(lián)單位接入外聯(lián)單位接入 匯聚交換機匯聚交換機 S5626FS5626F S9512S9512 互聯(lián)網(wǎng)核心互聯(lián)網(wǎng)核心 S7506ES7506E 省數(shù)據(jù)中心省數(shù)據(jù)中心 服務(wù)器接入交換機服務(wù)器接入交換機 S5500EIS5500EI 海南省電子政務(wù)網(wǎng)絡(luò)海南省電子政務(wù)網(wǎng)絡(luò) 內(nèi)外網(wǎng)改造安全解決方案32 淄博電子政務(wù)外網(wǎng)淄博電子政務(wù)外網(wǎng) 內(nèi)外網(wǎng)改造安全解決方案33 服務(wù)器群服務(wù)器群 廣州市電子廣州市電子 MPLS VPNMPLS VPN 防火墻防火墻 千兆光纖千兆光纖 千兆電千兆電 S5500EI-PWRS5500EI-PWR S9508S9508（內(nèi)置防火墻）（內(nèi)置防火墻） S3600S3600 S9508S9508（內(nèi)置防火墻）（內(nèi)置防火墻） S3600S3600 S3600S3600 廣州市政務(wù)中心網(wǎng)絡(luò)項目，整網(wǎng)采用H3C公司產(chǎn)品，涵蓋交換、無線、安全