網(wǎng)絡(luò)搭建技術(shù)方案

1、word 目錄 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第1章項(xiàng)目概述叁,1 HYPERLINK l bookmark4 o Current Document 網(wǎng)絡(luò)改造總體要求 2 HYPERLINK l bookmark6 o Current Document 網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)分析 2 HYPERLINK l bookmark8 o Current Document 第2章網(wǎng)絡(luò)升級改造方案 3網(wǎng)絡(luò)方案設(shè)計(jì)原則 4網(wǎng)絡(luò)拓?fù)鋱D 5辦公外網(wǎng)升級改造 6路由設(shè)計(jì)規(guī)劃7網(wǎng)絡(luò)IP地址規(guī)劃8網(wǎng)絡(luò)安全運(yùn)維 9物理環(huán)境安全措施 9網(wǎng)絡(luò)傳輸質(zhì)量

2、QOS 10交換網(wǎng)絡(luò)安全方面考慮和措施 12計(jì)算機(jī)終端病防毒措施 17網(wǎng)絡(luò)安全運(yùn)維管理方案 18安全體系建設(shè)18網(wǎng)絡(luò)安全運(yùn)維管理制度建設(shè) 18網(wǎng)絡(luò)安全運(yùn)維管理手段 20網(wǎng)絡(luò)運(yùn)維管理平臺方案 21無線網(wǎng)絡(luò)部署方案 24銳捷無線網(wǎng)絡(luò)架構(gòu)優(yōu)勢 24部署便捷，無縫接入現(xiàn)有網(wǎng)絡(luò) 24無線設(shè)備管理 25無線AP吾B署26網(wǎng)絡(luò)升級改造設(shè)備清單 26第1章項(xiàng)目概述第1章公司目前的構(gòu)架：總部一分廠一站?？偛客ㄟ^100M移動寬帶連接因特網(wǎng)；分廠使用20M 移動專線連接至總部，各分廠無物理連接；站利用2M移動專線連接直屬分廠，各站無物理連接。目前使用用友 ERP套件，包括：財(cái)務(wù)套件、OA套件；并架設(shè)了域服務(wù)器。網(wǎng)絡(luò)

3、改造總體要求由于目前公司網(wǎng)絡(luò)存在管理無序、網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)設(shè)備老化等問題，作為外資公司在信息化建設(shè)相對滯后， 公司目前還沒有實(shí)現(xiàn)辦公區(qū)域無線網(wǎng)絡(luò)覆蓋，建議在保障網(wǎng)絡(luò)安全的前提條件下，實(shí)現(xiàn)辦公區(qū)域?qū)崿F(xiàn)網(wǎng)絡(luò)覆蓋。網(wǎng)絡(luò)運(yùn)維風(fēng)險(xiǎn)分析1、黑客、工業(yè)間諜攻擊網(wǎng)絡(luò)黑客或工業(yè)間諜的入侵行為往往不易被察覺，就算察覺到了，也很難快速定位網(wǎng)絡(luò)漏洞在哪里，攻擊方式是什么，攻擊源在哪里都不容易排查出來。2、新型木馬、蠕蟲病毒入侵木馬，蠕蟲等病毒通常是黑客入侵的第一步，裝了殺毒軟件和防火墻也很難完全杜絕木馬病毒的入侵。博慶公司工作人員網(wǎng)絡(luò)安全防范意識參差不齊，往往成為攻擊的入口。3、信息泄密公司內(nèi)部的重要信息通常是通過內(nèi)

4、網(wǎng)進(jìn)行傳輸?shù)模瑢τ诜婪锻獠抗羰前踩模?但是難以避免 “變質(zhì)”的人員通過各種手段進(jìn)行信息截取，把重要信息泄露給敵對勢力或商業(yè)對 手。最近幾年已經(jīng)發(fā)生了多起信息泄密的事件，給企業(yè)帶了無法估量的損失。4、互聯(lián)網(wǎng)網(wǎng)絡(luò)帶寬被 P2P下載，在線視頻占用如果內(nèi)網(wǎng)出現(xiàn)了 P2P下載或在線視頻，將會使互聯(lián)網(wǎng)帶寬的出口很快被吞噬殆盡，影響正常的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。5、網(wǎng)絡(luò)設(shè)備老化公司當(dāng)前使用的網(wǎng)絡(luò)產(chǎn)品大多數(shù)在5年以上，達(dá)到的設(shè)備強(qiáng)制報(bào)廢的年限， 網(wǎng)絡(luò)設(shè)備參差不齊，不利于后續(xù)的網(wǎng)絡(luò)維護(hù)工作。6、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理還是處于傳統(tǒng)的人工管理階段，出現(xiàn)網(wǎng)絡(luò)問題的時候往往依靠網(wǎng)絡(luò)工程師的經(jīng)驗(yàn)去判斷故障點(diǎn)，反應(yīng)時間相對滯后。第2章

5、網(wǎng)絡(luò)升級改造方案第2章網(wǎng)絡(luò)方案設(shè)計(jì)原則結(jié)合實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時，主要應(yīng)遵循以下原則：1）高性能：網(wǎng)絡(luò)要求具有數(shù)據(jù)、語音、視頻等多媒體實(shí)時通訊能力。主干網(wǎng)應(yīng)提供可保 證的服務(wù)質(zhì)量和充足的帶寬。采用最新科技，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。 整個系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。如：具有三層及以上線速交換能力；支持靈活的跨網(wǎng)絡(luò)交換機(jī)（主干、部門）的基于端口的VLAN劃分功能。2）高可靠性：網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)保證工作日和重點(diǎn)時期不間斷運(yùn)行。整個網(wǎng)絡(luò)應(yīng)有足夠的冗余， 設(shè)備在發(fā)生故障時能以熱備份，

6、熱切換和熱插拔 的方式在最短時間內(nèi)加以修復(fù)。 可靠性還應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的性價比， 使整個網(wǎng)絡(luò)具有一 定的容錯能力，減少單點(diǎn)故障。3）標(biāo)準(zhǔn)化：所有網(wǎng)絡(luò)設(shè)備都應(yīng)符合有關(guān)國際標(biāo)準(zhǔn)以保證不同廠家網(wǎng)絡(luò)設(shè)備之間的互操作 性和網(wǎng)絡(luò)系統(tǒng)的開放性。4）可擴(kuò)充性：所有網(wǎng)絡(luò)設(shè)備不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見將來需求。 網(wǎng)絡(luò)設(shè)計(jì)要考慮本期網(wǎng)絡(luò)系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級與銜接。要留有擴(kuò)充余量，包括端口數(shù)量和帶寬的升級能力。5）易管理性：網(wǎng)絡(luò)設(shè)備應(yīng)易于管理，易于維護(hù)，操作簡單，易學(xué)，易用，便于進(jìn)行網(wǎng)絡(luò) 配置，發(fā)現(xiàn)故障。6）支持多媒體：支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的

7、傳輸、查 詢服務(wù)，具有多種基于優(yōu)先級隊(duì)列的 QoS保證，多媒體應(yīng)用對服務(wù)質(zhì)量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡(luò)對服務(wù)質(zhì)量（QoS）有很好的支持。7）安全性：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，對使用的信息進(jìn)行嚴(yán)格的權(quán)限管理，在技術(shù)上提供先進(jìn)的、可靠的、全面 的安全方案和應(yīng)急措施，確保系統(tǒng)萬無一失。同時符合國家關(guān)于網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和管理?xiàng)l例。8）實(shí)用性：系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，滿足不同用戶信息服務(wù)的實(shí)際需要,具有很高的性能價格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺。2.1.1 網(wǎng)絡(luò)拓?fù)鋱DInternet100M20M2M廠

8、（PC100 臺）二層交換機(jī)路由器站（PC30臺）站從拓?fù)鋱D，可分析公司目前的網(wǎng)絡(luò)弊端：1、公司目前只擁有1臺網(wǎng)絡(luò)安全產(chǎn)品，只能管控從因特網(wǎng)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且兼顧著路由器的功能；2、內(nèi)部網(wǎng)絡(luò)無上網(wǎng)行為管理軟硬件，；3、路由器不支持動態(tài)路由協(xié)議，網(wǎng)絡(luò)龐大后，維護(hù)量巨大；4、公司目前是二層網(wǎng)絡(luò)，無法控制廣播風(fēng)暴，易造成網(wǎng)絡(luò)擁塞；5、用戶使用移動終端更換廠區(qū)時，需手動設(shè)置IP;沒有相應(yīng)的接入認(rèn)證，易造成他人竊取公司機(jī)密。2.1.2 辦公外網(wǎng)升級改造辦公樓外網(wǎng)升級改造示意圖單位通過以網(wǎng)關(guān)、 網(wǎng)橋、或旁路模式部署深信服上網(wǎng)行為管理產(chǎn)品，可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理。上班時間，封掉影響

9、業(yè)務(wù)效率的非業(yè)務(wù)應(yīng)用及相關(guān)網(wǎng)站；對擠占公司帶寬資源的應(yīng)用進(jìn)行流量控制，確保主流的辦公應(yīng)用帶寬資源，以提高業(yè)務(wù)應(yīng)用的辦公效率具體而言，深信服封堵非業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用解決方案，將給我們帶來下述價值：1、全方位封堵p2P ,確保正常辦公業(yè)務(wù)帶寬P2P應(yīng)用給用戶帶來了前所未有的速度體驗(yàn)與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個IT管理者頭痛的問題，其所帶來的負(fù)作用日漸凸顯。鑒于此，深信服上網(wǎng)行為管理設(shè)備通過檢測網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對常用軟件進(jìn)行徹底封堵，包括 BT eMule、PPLive、QQLive等。對于加密 BT、不常用的和未知版本的 P2P 軟件，深信服獨(dú)有的

10、網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。有些部門和領(lǐng)導(dǎo)因業(yè)務(wù)需要使用P2P,在全面封堵的同時，深信服上網(wǎng)行為管理設(shè)備還可以提供P2P流控功能，即允許指定用戶使用 P2P,但對其占用的帶寬進(jìn)行控制。對不同用戶，按時間段進(jìn)行P2P應(yīng)用封堵、帶寬分配與流量控制， 深信服上網(wǎng)行為管理設(shè)備可有效平 衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。2、針對性應(yīng)用管控，對事張馳有度現(xiàn)在，網(wǎng)絡(luò)應(yīng)用不斷推陳出新，IT管理人員難以及時收集網(wǎng)絡(luò)及軟件版本，并制定相應(yīng)管理策略；他們即使花費(fèi)了大量的精力實(shí)現(xiàn)了收集工作，也很難實(shí)現(xiàn)對其全面的識別和管理。為此，深信服針對不斷更新的網(wǎng)絡(luò)應(yīng)用軟件來收集軟件類型與版本，不斷更新自己的應(yīng)用

11、規(guī)則識別庫。目前，深信服上網(wǎng)行為管理應(yīng)用規(guī)則識別庫已成為國內(nèi)最大的應(yīng)用規(guī)則識別 庫，超過400條的應(yīng)用協(xié)議規(guī)則， 數(shù)十條的無間斷不定期更新數(shù)量，專業(yè)化的應(yīng)用規(guī)則識別管理團(tuán)隊(duì)，這一切都使得深信服上網(wǎng)行為管理設(shè)備能精確識別各種網(wǎng)絡(luò)應(yīng)用行為，并對其進(jìn)行有效管理。3、選擇性內(nèi)容過濾，方式靈活除針對網(wǎng)絡(luò)應(yīng)用軟件外，深信服上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬條級的URL庫，對URL庫按照20個大類進(jìn)行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等 網(wǎng)站進(jìn)行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進(jìn)一步增強(qiáng)了網(wǎng)管人員工作的靈活性。同時，深信服上網(wǎng)行為管理設(shè)備針對通過HTTP FTP等上

12、傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進(jìn)行文件過濾，以保證核心業(yè)務(wù)的帶寬。4、差異化權(quán)限劃分，構(gòu)建和諧組織對于以上管控，深信服上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、 不同部門的差異化網(wǎng)絡(luò)使用 權(quán)限，人性化管控整個單位。 如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限， 以方便其網(wǎng)上尋找客戶資 源，而對后勤人員則封掉 P2P應(yīng)用、游戲與炒股網(wǎng)站等。2.1.3 路由設(shè)計(jì)規(guī)劃(1)網(wǎng)絡(luò)的可靠性：通過動態(tài)路由協(xié)議的實(shí)施，在網(wǎng)絡(luò)拓?fù)涞呐浜舷?，避免網(wǎng)絡(luò)中出 現(xiàn)的單故障點(diǎn)，提高網(wǎng)絡(luò)的生存能力。(2)流量的負(fù)載分擔(dān)：必須使網(wǎng)絡(luò)的流量能夠比較合理地分布在各條電路上。(3)網(wǎng)絡(luò)的擴(kuò)展性：使得網(wǎng)絡(luò)的擴(kuò)展可以在

13、現(xiàn)有的網(wǎng)絡(luò)的基礎(chǔ)上通過簡單的增加設(shè)備 和提高電路帶寬的方法來解決。(4)對業(yè)務(wù)流量模型變化的適應(yīng)性：未來網(wǎng)絡(luò)的業(yè)務(wù)流量模型將會隨業(yè)務(wù)的發(fā)展而不 斷發(fā)生變化，因此路由策略可以根據(jù)流量變化方便進(jìn)行調(diào)整。(5)降低管理復(fù)雜程度：路由協(xié)議應(yīng)使得故障定位和流量的調(diào)整的難度和復(fù)雜性降低。2.1.4 網(wǎng)絡(luò)IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對 IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性 能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地

14、利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性， 同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：保證網(wǎng)絡(luò)上面不同時出現(xiàn)兩個相同IP地址的設(shè)備。連續(xù)性：IP地址的連續(xù)性有利于路由的聚合，尤其是在目前的分層網(wǎng)絡(luò)中，能極大的 縮減路由表的規(guī)模，有利于QOS勺部署。業(yè)務(wù)相關(guān)性：同種業(yè)務(wù)的 IP地址盡量在一個地址段中，便于業(yè)務(wù)的控制。擴(kuò)展性：IP地址規(guī)劃時留有一定預(yù)留，便于在網(wǎng)絡(luò)擴(kuò)展時能延續(xù)網(wǎng)絡(luò)的連續(xù)性。節(jié)約性：目前公網(wǎng)IP地址非常寶

15、貴，規(guī)劃時盡量的節(jié)約地址。IP地址分配既要考慮到擴(kuò)充，又要能做到連續(xù)；盡量分配連續(xù)的IP地址空間，并為將來的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間；在每個地市網(wǎng)絡(luò)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。IP地址的分配必須采用 VLSM技術(shù)，保證IP地址的利用率；采用 CIDR技術(shù)，可減小路 由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。2.2網(wǎng)絡(luò)安全運(yùn)維對于公司辦公網(wǎng)絡(luò)系統(tǒng)來說，網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。一個較好的安全措施往往是多種方 法適當(dāng)綜合的應(yīng)用結(jié)果。另一方

16、面，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)易訪問是一對矛盾，因此要掌握好網(wǎng)絡(luò)安全控制度的問題，不能顧此失彼。大多數(shù)人談到安全，認(rèn)為只是確保用戶只執(zhí)行被授權(quán)的 任務(wù)，只獲得能得到的信息，不破壞數(shù)據(jù)、應(yīng)用程序或系統(tǒng)操作環(huán)境。其實(shí)，安全一方面意 味著防止外界的惡意攻擊，另一方面還包括控制錯誤結(jié)果和設(shè)備故障。再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實(shí)現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認(rèn)真的分析管理所帶來的安全風(fēng)險(xiǎn)，并采取相應(yīng)的安全措施。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得

17、一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時的檢測、監(jiān)控、報(bào)告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)， 即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點(diǎn)的訪問活動進(jìn)行多層次的記 錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解 決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。物理環(huán)境安全措施保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)

18、絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。它主要包括三個方面：環(huán)境安全對系統(tǒng)所在環(huán)境進(jìn)行安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)。這要求城域網(wǎng)的網(wǎng)絡(luò)中心環(huán)境，要進(jìn)行必要的環(huán)境安全保護(hù)（如環(huán)境隔離）和災(zāi)難保 護(hù)（如數(shù)據(jù)備份）等。設(shè)備安全設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁 干擾、電源保護(hù)和設(shè)備冗余備份等。這些措施通過嚴(yán)格管理及提高員工的整體安全意識來實(shí) 現(xiàn)。這要求網(wǎng)絡(luò)管理人員要嚴(yán)格執(zhí)行網(wǎng)絡(luò)中心的安全管理措施，避免非必要人員接觸網(wǎng)絡(luò) 系統(tǒng)設(shè)備，監(jiān)督系統(tǒng)環(huán)境和周圍

19、環(huán)境。媒質(zhì)安全包括媒質(zhì)數(shù)據(jù)的安全及媒質(zhì)本身的安全。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除 網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。這要求網(wǎng)絡(luò)中心作好必要的數(shù)據(jù)備份工作和媒質(zhì)保存工作，同時如果必要還要實(shí)行機(jī) 房的防輻射措施。網(wǎng)絡(luò)傳輸質(zhì)量QOS網(wǎng)絡(luò)業(yè)務(wù)模型設(shè)計(jì)業(yè)務(wù)類別MPLS VPNIP路由隊(duì)列和丟包

20、機(jī)制業(yè)務(wù)和業(yè)務(wù)流舉例EXP (BW Rate)DSCP PHB網(wǎng)絡(luò)管理EXP6 Q7(5%)CS6BW QueueSNMP SSH Syslog專網(wǎng)語音EXP5 Q6(15%)EFPriority Queue (PQ)H323、RTP音流高清會議EXP4 Q5(20%)CS4Priority Queue (PQ)MGCP RTPB頻流辦公業(yè)務(wù)EXP2 Q3(25%)AF2BW Queue+ DSCP WREDE-Mail、Notes 等批量數(shù)據(jù)EXP1 Q2(10%)AF1BW Queue+ DSCP WREDFTP、文件共享、備份盡力轉(zhuǎn)發(fā)EXP0 Q1(25%)DefaultDefault

21、Queue + RED其他應(yīng)用說明：業(yè)務(wù)種類：包括網(wǎng)絡(luò)管理、專網(wǎng)語音、高清會議、辦公業(yè)務(wù)、批量數(shù)據(jù)和其他盡力轉(zhuǎn) 發(fā)類業(yè)務(wù)。業(yè)務(wù)識別：按照實(shí)際業(yè)務(wù)類型劃分，如對媒體業(yè)務(wù)采用IP方式進(jìn)行識別，對數(shù)據(jù)類業(yè)務(wù),采用TCP/UD踹口號進(jìn)行識別，并對所有業(yè)務(wù)進(jìn)行DSC優(yōu)先級標(biāo)識。優(yōu)先級映射：在 P豉備上啟用MPLS EX林DIP DSCP的優(yōu)先級映射關(guān)系，H3強(qiáng)備支持以上表格中的優(yōu)先級映射關(guān)系。帶寬分配和限速：可參考上面表中帶寬分配比例，實(shí)施時需要結(jié)合實(shí)際業(yè)務(wù)流量分布 和業(yè)務(wù)規(guī)劃再做調(diào)整。對語音、視頻業(yè)務(wù)要進(jìn)行帶寬限速。隊(duì)列調(diào)度和丟包機(jī)制：在 CEFDPE由器上，分別根據(jù)IP DSCP和MPLS EX進(jìn)行

22、有差別的 隊(duì)列調(diào)度（PQ CQ WFQ CB降），其中對于P豉備，基于部門劃分和業(yè)務(wù)類別，推薦采用 H-QoSa列和丟包機(jī)制。對于擁塞隊(duì)列，采用WRED行擁塞避免和處理。WRED網(wǎng)絡(luò)的瓶頸處監(jiān)視并緩解網(wǎng)絡(luò)的擁塞。一般在接入層出現(xiàn)擁塞的概率比較大。WRED視網(wǎng)絡(luò)的負(fù)載，當(dāng)擁塞開始剛出現(xiàn)時， 它就開始有選擇的丟棄一些包以降低流量。WRED包的策略為：低優(yōu)先級的流先丟，以保證高優(yōu)先級的流可以順暢通過。在可能發(fā)生擁塞的端口運(yùn)行 WRED避免擁塞的較好選擇。在具體實(shí)現(xiàn)中，為了達(dá)到最好的效率，需要對任務(wù)進(jìn)行分工。因?yàn)镼o曝一個需要消耗很多處理器資源的應(yīng)用，所以這一任務(wù)分配在邊緣和核心路由器上運(yùn)行，以減少對

23、單獨(dú)路由器的壓力。 媒體業(yè)務(wù)Qo毀計(jì)要求媒體業(yè)務(wù)交互性單路帶寬突發(fā)流量時延要求抖動要求丟包要求專網(wǎng)語音是100Kbps無150ms30ms1%視頻會議是4 8Mbps有150ms10ms0.1%高清會議是220Mbps有150ms10ms0.05%監(jiān)控存儲否1 8Mbps無500ms30ms3%監(jiān)控實(shí)況否1 16Mbps有300ms10ms0.5%監(jiān)控回放否1 8Mbps有1000ms100ms0.1%媒體流特征:視頻流：帶寬220Mbp杯等（依編解碼而不同）每秒 30幀，每幀由長度不等的包組成， 因此媒體流存在突發(fā)流量。抖動的防止：產(chǎn)生的原因：媒體流的突發(fā)流量和網(wǎng)絡(luò)設(shè)備的排隊(duì)時延變化是抖動產(chǎn)

24、生的主要原因。比如排隊(duì)平均時延是100ms,最小排隊(duì)時間95ms,最大105ms,那么抖動范圍就是10mso防止的方式：增加沿途設(shè)備和媒體終端的Buffer或者在視頻轉(zhuǎn)發(fā)隊(duì)列進(jìn)行整形。對于高清視頻，我們建議通過全網(wǎng) Qo殷計(jì)使抖動不超過10mso有了合適的網(wǎng)絡(luò)帶寬并不能就完全保證各種業(yè)務(wù)需要的服務(wù)質(zhì)量。在網(wǎng)絡(luò)中，數(shù)據(jù)業(yè)務(wù)具有突發(fā)性特點(diǎn)，還有如 FTP （文件傳輸）這樣的“霸道”業(yè)務(wù)，在這些業(yè)務(wù)的突發(fā)期間將會造成網(wǎng)絡(luò)的過載及阻塞，雖然網(wǎng)絡(luò)設(shè)備（路由器）具有存儲轉(zhuǎn)發(fā)及速率適配的功能，但在這個擁塞期間如沒有任何措施進(jìn)行處理，則將影響業(yè)務(wù)的實(shí)時特性，如IP電話斷音、視頻業(yè)務(wù)大量丟幀，嚴(yán)重情況下還可能導(dǎo)

25、致整個政務(wù)辦公系統(tǒng)中斷等后果。保證實(shí)時業(yè)務(wù)優(yōu)先發(fā)送，限制“霸道”業(yè)務(wù)對網(wǎng)絡(luò)的占用，從邊緣接入層就開始部署，是構(gòu)建QoS呆障方案的一個基本思想。在當(dāng)前網(wǎng)絡(luò)平臺上，有多種需要實(shí)時性保障的關(guān)鍵業(yè)務(wù)，如實(shí)時文件傳送系統(tǒng)和視頻會議系統(tǒng)，都是實(shí)時業(yè)務(wù)，當(dāng)然，其中假設(shè)實(shí)時文件系統(tǒng)是關(guān)鍵業(yè)務(wù)，還有其它業(yè)務(wù)如內(nèi)部管理等業(yè)務(wù)也需要保證一定的互通性，因此當(dāng)網(wǎng)絡(luò)發(fā)生資源爭用時，就不能簡單地將關(guān)鍵業(yè)務(wù)置于優(yōu)先就可以了，這需要結(jié)合多種Qo皴術(shù)及策略來為各種業(yè)務(wù)提供需要的服務(wù)質(zhì)量。各種業(yè)務(wù)能有一個比較均勻的速率在網(wǎng)上進(jìn)行發(fā)送，可以減少網(wǎng)上業(yè)務(wù)的時延及抖動，這就需要對一些會對網(wǎng)絡(luò)帶寬進(jìn)行大量占用的非關(guān)鍵霸道業(yè)務(wù)（如FTP等）

26、進(jìn)行帶寬的限制使用，而為了使關(guān)鍵業(yè)務(wù)得到較好的服務(wù)，又需要對關(guān)鍵業(yè)務(wù)提供一定的帶寬分配和保證，業(yè)務(wù)可以通過獲得網(wǎng)絡(luò)帶寬的占用而達(dá)到減少時延的目的。在路由器的QoS保障技術(shù)中，可以綜合使用CBQ CAR提供這樣的服務(wù)綜述：為了構(gòu)建一個安全、可靠、高效率的政法信息通信網(wǎng)工程絡(luò)，需要對整個辦公業(yè)務(wù)進(jìn)行詳細(xì)的分析，對網(wǎng)絡(luò)傳輸帶寬進(jìn)行統(tǒng)一的規(guī)劃，針對不同類型的業(yè)務(wù)提供有針對性的QoS保證策略，最終實(shí)現(xiàn)消除或者避免網(wǎng)絡(luò)擁塞，使發(fā)生擁塞的網(wǎng)絡(luò)迅速恢復(fù)正常。交換網(wǎng)絡(luò)安全方面考慮和措施建立了網(wǎng)絡(luò)，必然會有人對它進(jìn)行攻擊，目前網(wǎng)絡(luò)的安全主要受到兩方面的威脅，一個是來自黑客的諸如 DoS之類的攻擊和黑客入侵，另外一

27、個是有可能被病毒感染交換機(jī)必須能保護(hù)與之相連的用戶和服務(wù)器。不同于那些可對網(wǎng)絡(luò)產(chǎn)生影響的攻擊， 很多針對用戶和服務(wù)器的攻擊都是檢測不到的。這些常稱為“中間人”攻擊的攻擊采用的是可從互聯(lián)網(wǎng)上下載的常用工具。這些工具采用多種不同的機(jī)制，可以被惡意用戶利用來窺探其他網(wǎng)絡(luò)用戶，這可導(dǎo)致機(jī)密信息的失竊以及違反保密政策。思科公司的交換機(jī)提供了很多內(nèi)置的安全特性，這些特性可保護(hù)LAN里的重要信息。(1)通過生成樹增強(qiáng)特性防止非法交換機(jī)連接兩種生成樹增強(qiáng)機(jī)制：BPDU Guard,當(dāng)一個BPDUM某端口進(jìn)入網(wǎng)絡(luò)時，可立刻禁用該 訪問端口，這可防止非法交換機(jī)連接到網(wǎng)絡(luò)并對生成樹設(shè)計(jì)造成潛在的破壞。對于那些可能導(dǎo)

28、致對根網(wǎng)橋進(jìn)行重新計(jì)算的所有分組，RootGuard會讓該端口拒絕接收。(2) DHCP 監(jiān)聽 / DHCP Snooping多數(shù)單位網(wǎng)絡(luò)都是依靠 DHC睞進(jìn)行IP地址分配的。而 DHC所不是安全的協(xié)議，因此 就使得與某個網(wǎng)絡(luò)相連的錯誤配置或惡意設(shè)備能很容易地對DHCW求作出響應(yīng)，并向DHCP客戶機(jī)提供錯誤或惡意的信息，網(wǎng)絡(luò)襲擊者通常使用惡意 DHCP艮務(wù)器發(fā)出IP主機(jī)地址，并將其作為默認(rèn)網(wǎng)關(guān)，在兩個端點(diǎn)之間重新轉(zhuǎn)發(fā)正常流量，從而竊取這兩個端點(diǎn)之間的所有流量。因此，這種襲擊也稱為中間人攻擊。此外，在互聯(lián)網(wǎng)上有一些工具會大量耗用某個DHCP范圍內(nèi)的所有可用IP地址，并可導(dǎo)致所有合法主機(jī)都不能獲取

29、 IP地址，進(jìn)而導(dǎo)致網(wǎng)絡(luò)不可 用。DHCPSnooping可同時提供針對這兩種情況的保護(hù)。它可建立端口的可信/不可信狀態(tài)，因此可使網(wǎng)絡(luò)管理員能確定應(yīng)允許哪些端口(和相關(guān)設(shè)備)作為DHCP艮務(wù)器，并拒絕所有其他端口上的DHCP艮務(wù)器活動。此外， DHCPSnooping可對DHCP組進(jìn)行調(diào)查，并確保發(fā) 送DHCP青求的設(shè)備相關(guān)的物理 MACM址能匹配該DHCP青求內(nèi)部的MACM址。與端口安全相 結(jié)合，DHCP Snooping不允許耗用地址工具利用DHC兩在的不安全。在很多情況下，DHCPSnooping是與DHCP Option 82 一起使用的，后者可使交換機(jī)在DHCP組中插入有關(guān)它自己的信

30、息?？梢圆迦氲淖畛Ｒ娦畔⒕褪荄HCP青求的物理端口 ID。這可通過將IP地址關(guān)聯(lián)到某個具體交換機(jī)上的某個具體端口，為網(wǎng)絡(luò)提供很強(qiáng)的智能性，從而防止惡意設(shè)備和服務(wù)器的連接。(3)動態(tài)ARP檢測地址解析協(xié)議(ARP的最基本的功能是允許兩個站點(diǎn)在LAN網(wǎng)段上通信。攻擊者可能會發(fā)送帶假冒源地址的ARP包，希望默認(rèn)網(wǎng)關(guān)或其它主機(jī)能夠承認(rèn)該地址，并將其保存在ARP表中。ARP協(xié)議不執(zhí)行任何驗(yàn)證或過濾就會在目標(biāo)主機(jī)中為這些惡意主機(jī)生成記錄項(xiàng)， 從而提高了網(wǎng)絡(luò)易損性。目前，惡意主機(jī)可以在端點(diǎn)毫不知情的情況下竊取兩個端點(diǎn)之間的 談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽IP電話內(nèi)容。ARP(地址解析協(xié)議

31、)是另一種本身不安全的網(wǎng)絡(luò)服務(wù)，可從互聯(lián)網(wǎng)上下載Ettercap等軟件來實(shí)現(xiàn) ARP欺騙，可使惡意用戶利用這一行為并成為中間人，進(jìn)而訪問他們不應(yīng)訪問的機(jī)密信息，Ettercap 是一種“智能化嗅探器”，它可使有點(diǎn)或毫無技術(shù)能力的惡意用戶實(shí)時收集網(wǎng)絡(luò)里正在傳輸?shù)?的用戶名和密碼信息等。與DHCP Snooping一起使用時，Dynamic ARP Inspection 可防止某個主機(jī)在DHCF務(wù)器沒有為其分配的IP地址的情況下，發(fā)送未經(jīng)請求的ARP這種保護(hù)可防止ettercap 等工具利用ARP內(nèi)在的不安全。動態(tài)ARP檢測(DAI)能夠保證接入交換機(jī) 只傳輸“合法”的 ARP請求和答復(fù)。DAI能

32、夠截獲交換機(jī)上的每個 ARP包，中查ARP信息， 然后再更新交換機(jī) ARP高速緩存，或者將其轉(zhuǎn)發(fā)至相應(yīng)的目的地。利用ARP協(xié)議的攻擊是目前博慶公司域網(wǎng)中非常頻繁威脅非常大的一種攻擊方式。(4) IP Source GuardIP地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙?；ヂ?lián)網(wǎng)蠕蟲可以使用欺騙技術(shù)隱藏攻擊原發(fā)地的IP地址。利用IP源防護(hù)特性，攻擊者將無法冒用合法用戶的IP地址發(fā)動攻擊，該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。某個主機(jī)還可通過故意配置或惡意企圖，從它所沒有或不應(yīng)擁有的某個IP地址獲得流量。IPSource Guard與DHCP Snooping配合

33、使用時，可防止某個主機(jī)在沒有從合法DHCF務(wù)器獲得某個IP地址的情況下，獲得流量。IP Source Guard 會丟棄那些從某個不存在的來源發(fā) 起的DDO抽擊，即可防止它們利用某個主機(jī)從任何來源發(fā)送流量的能力，且只允許從通過 DHC城得的IP地址得到的流量。(5)對交換機(jī)第二層轉(zhuǎn)發(fā)表的泛洪攻擊第二層交換機(jī)根據(jù) MACM址建立轉(zhuǎn)發(fā)表，根據(jù)MACM址進(jìn)行轉(zhuǎn)發(fā)、過濾和學(xué)習(xí)。然而，這個表只有有限的空間。MAC乏洪攻擊會迫使交換機(jī)學(xué)習(xí)偽MACM址，使CAM1過載，并使數(shù)據(jù)從整個第二層 VLAN域泛洪傳送。雖然這是第二層交換機(jī)的標(biāo)準(zhǔn)行為，但它仍可導(dǎo)致網(wǎng) 絡(luò)和主機(jī)性能的降低。為防止這種攻擊，Cisco交換

34、機(jī)提供了端口安全特性，即可限制某個給定端口所能學(xué)習(xí)的 MACM址的數(shù)目。如果有更多地址進(jìn)入交換機(jī)，Cisco交換機(jī)會將這些端口置入限制模式，以保護(hù)網(wǎng)絡(luò)免受攻擊。這可確保某個給定端口只能學(xué)習(xí)數(shù)目不多的 MACM址，當(dāng)學(xué)習(xí)其他地址時就會鎖定該端口。這樣，就能立刻阻止攻擊。(6)對交換機(jī)第三層轉(zhuǎn)發(fā)表的泛洪攻擊我們都知道蠕蟲感染了一臺電腦后，就會從該電腦往外發(fā)大量的包，目的地址都是隨機(jī)的，這些包先到交換機(jī)， 如果交換機(jī)的安全能力很弱，則交換機(jī)的CPlffi內(nèi)存很快就會被過度用完，最后，這些交換機(jī)就癱瘓了，指示燈一個顏色，全紅，而且燈不會閃，對外部不做 任何反映。很多蠕蟲都會改變來源和目的地IP地址或T

35、CP/UDP端口號，迫使交換機(jī)不得不學(xué)習(xí)成千上萬的新流量。通過改變IP、TCP或UDP言息，會導(dǎo)致交換機(jī)的 CPU載，如果交換機(jī)采用了基于流的交換機(jī)制，甚至?xí)鸾粨Q機(jī)癱瘓。 交換機(jī)不再交換或?qū)W習(xí)合法流量，而路由網(wǎng)絡(luò)也會受到嚴(yán)重影響。 有這種危害的最新蠕蟲包括紅色代碼(Code Red)、Slammer和Witty等。Cisco交換機(jī)均采用了基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)而非流的交換機(jī)制Cisco快速轉(zhuǎn)發(fā)(CEF)。當(dāng)路由協(xié)、議(OSPF EIGRP等)生成路由表時，會根據(jù)網(wǎng)絡(luò)前綴( IP子網(wǎng)的網(wǎng)絡(luò)部分)，而非 IP源-和目的地址的流信息來生成硬件轉(zhuǎn)發(fā)表。這種技術(shù)最初設(shè)計(jì)用來提高網(wǎng)絡(luò)對針對路由振蕩的彈性，也

36、可直接應(yīng)用于防止蠕蟲攻擊。因?yàn)镃EF并不關(guān)心網(wǎng)絡(luò)中的流量，所以第三層轉(zhuǎn)發(fā)表不會受到影響，控制層面的保護(hù)在這里得到體現(xiàn)。(7)對交換機(jī)CPU的攻擊蠕蟲和攻擊會產(chǎn)生大量的目的地址都是隨機(jī)的包，如slammer蠕蟲，一秒會發(fā)出 50M位的包，導(dǎo)致網(wǎng)絡(luò)設(shè)備的CPU內(nèi)存被過度使用而癱瘓或死機(jī)，消耗網(wǎng)絡(luò)資源，網(wǎng)絡(luò)通信中斷?？梢姡@樣的攻擊比攻擊計(jì)算機(jī)厲害。因此，網(wǎng)絡(luò)設(shè)備本身不安全，容易被黑客和蠕蟲 攻擊而癱瘓或死機(jī)。 尤其是網(wǎng)絡(luò)的核心設(shè)備，本身的安全能力和抗攻擊的能力，對網(wǎng)絡(luò)安全起著舉足輕重 影響全博慶公司的的作用。除攻擊交換機(jī)的轉(zhuǎn)發(fā)表之外，還可通過向CPU發(fā)送ARP分組等需要處理的控制信息來攻擊設(shè)備本身

37、的CPU處理能力和容量有限的 CPU!會過載，并導(dǎo)致路由更新或BPDU?真正的控制分組被丟棄。很多網(wǎng)絡(luò)管理者都熟知CPU以100%RJ用率運(yùn)行時的后果：設(shè)備和網(wǎng)絡(luò)會變得不穩(wěn)定，設(shè)備死機(jī)。Cisco交換機(jī)可支持控制面板速率限制功能，它可限制向CPUt送分組的速率。 在正常運(yùn)行時，不太可能有大量流量被送往CPU除非啟用基于軟件的特性。更不可能出現(xiàn)這些攻擊中所使用的那些類型的流 量以很高數(shù)據(jù)速率傳送給CPU的情況。這些類型的分組包括ICMP不能到達(dá)、ICMP重定向、CEF無路由、TTL超時以及進(jìn)出訪問控制列表等。通過限制這些類型的分組發(fā)送給CPU的速率，丟棄超過特定速率的過多分組，確保CPU能夠處理

38、（很可能是丟棄）惡意分組，而不會發(fā)生故障。Cisco交換機(jī)可支持多個速率限制器，因此能限制攻擊所產(chǎn)生的分組等“壞流量”的速率，而允許路由協(xié)議等“好”流量通過。這就使CPU甚至在遭受攻擊時也能繼續(xù)處理正常系統(tǒng)任務(wù)。當(dāng) CPU和Memory的利用率到一定值（如 80%時，Cisco的網(wǎng)絡(luò)設(shè)備會報(bào)警且 開啟自我保護(hù)功能以防止黑客和蠕蟲針對網(wǎng)絡(luò)設(shè)備的CPU內(nèi)存的攻擊。（7）網(wǎng)絡(luò)設(shè)備安全措施從針對網(wǎng)絡(luò)設(shè)備的攻擊方式、種類進(jìn)行統(tǒng)計(jì)和分析，我們建議針對城域網(wǎng)的設(shè)備的配 置應(yīng)采取最小化配置原則，既關(guān)閉所有默認(rèn)開啟但是不必需的服務(wù)。原則如下（該部分原則針對全網(wǎng)設(shè)備，因此考慮了多廠家因素）：關(guān)閉TCP和UDP勺小

39、服務(wù)；關(guān)閉finger服務(wù)；關(guān)閉http服務(wù)；關(guān)閉ftp服務(wù)；關(guān)閉bootp服務(wù)；關(guān)閉source-route 、ARP代理、定向廣播服務(wù)避免引發(fā)地址欺騙和DDo或擊；關(guān)閉ICMP網(wǎng)絡(luò)不可達(dá)、IP重定向、路由器掩碼回應(yīng)服務(wù)，避免引發(fā)ARP欺騙、地址欺騙和DDoS擊；對SNMP艮務(wù)的community RO和RM符串采取高強(qiáng)度（8位以上，包含特殊字符、大小寫和數(shù)字），同時嚴(yán)格配置其訪問控制范圍；為BG理已置鄰居的口令機(jī)制，防范針對BGPW DDoSC擊；嚴(yán)格限制路由器 VTY AUX Console訪問范圍、登陸方式和超時時間；用戶驗(yàn)證配置：配置用戶驗(yàn)證方式以增強(qiáng)系統(tǒng)訪問的安全性；AAA方式配置

40、：配置AAA方式來增加用戶訪問安全性；路由命令審計(jì)配置：配置 AAA命令記賬來增強(qiáng)系統(tǒng)訪問安全性等。2.2.4計(jì)算機(jī)終端病防毒措施病毒是系統(tǒng)中最常見、威脅最大的安全問題來源，建立一個全方位的病毒防范系統(tǒng)是城域網(wǎng)安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。病毒防范系統(tǒng)的安裝實(shí)施要求為：能夠配置成分布式運(yùn)行和集中管理，由防病毒代理和防病毒服務(wù)器端組成；防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機(jī)中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端；在防病毒服務(wù)器端能夠交互式地操作防病毒客戶端進(jìn)行病毒掃描和清殺，設(shè)定病 毒防范策略；能夠從多層次進(jìn)行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有

41、相應(yīng)的防毒軟件提供完整的、全面的防病毒保護(hù)。網(wǎng)絡(luò)安全運(yùn)維管理方案安全體系建設(shè)安全體系建設(shè)規(guī)范我們知道，整個網(wǎng)絡(luò)的安全需要一套統(tǒng)一的安全體系建設(shè)規(guī)范，此規(guī)范應(yīng)結(jié)合城域網(wǎng) 的實(shí)際情況制定，然后統(tǒng)一實(shí)施。安全組織體系建設(shè)實(shí)施安全應(yīng)先行管理，安全組織體系的建設(shè)勢在必行。在城域網(wǎng)建立網(wǎng)絡(luò)安全體系時 應(yīng)建設(shè)領(lǐng)導(dǎo)委員會，該委員會應(yīng)由主管領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理員、安全操作員等人員組成，負(fù)責(zé)安 全系統(tǒng)的總體實(shí)施。主管領(lǐng)導(dǎo)應(yīng)領(lǐng)導(dǎo)安全體系的建設(shè)實(shí)施，在安全實(shí)施過程中取得相關(guān)部門的配合；領(lǐng)導(dǎo)整個部門不斷提高系統(tǒng)的安全等級。網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識和實(shí)際經(jīng)驗(yàn)，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)和實(shí)施策略。安全操作員負(fù)責(zé)安全系

42、統(tǒng)的具體實(shí)施。網(wǎng)絡(luò)安全運(yùn)維管理制度建設(shè)面對網(wǎng)絡(luò)安全的脆弱性，除在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能、完善系統(tǒng)的安全保密措 施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理。制定安全管理制度，實(shí)施安全管理的原則為：多人負(fù)責(zé)原則：每項(xiàng)與安全有關(guān)的活動都必須有兩人或多人在場，這些人應(yīng)是系 統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠可靠，能勝任此項(xiàng)工作；任期有限原則：一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤 認(rèn)為這個職務(wù)是專有的或永久性的；職責(zé)分離原則：除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽、 了解或參與職責(zé)以外、與安全有關(guān)的任何事情。其具體工作為：確定該系統(tǒng)的安全等級；根據(jù)確定的安全等級，確定安全管理的

43、范圍;制定安全管理制度。完整的安全管理制度必須包括以下幾個方面：人員安全管理制度；操作安全管理制度；場地與設(shè)施安全管理制度；設(shè)備安全使用管理制度；操作系統(tǒng)和數(shù)據(jù)庫安全管理制度；運(yùn)行日志安全管理制度；備份安全管理制度；異常情況管理制度；系統(tǒng)安全恢復(fù)管理制度；安全軟件版本管理制度；技術(shù)文檔安全管理制度；應(yīng)急管理制度；審計(jì)管理制度；運(yùn)行維護(hù)安全規(guī)定；第三方服務(wù)商的安全管理制度；對系統(tǒng)安全狀況的定期評估策略；對技術(shù)文檔媒體報(bào)廢管理制度；網(wǎng)絡(luò)安全運(yùn)維管理手段安全技術(shù)管理體系是實(shí)施安全管理制度的技術(shù)手段，是安全管理智能化、程序化、自動化的技術(shù)保障。安全技術(shù)管理對OSI的各層進(jìn)行綜合技術(shù)管理。網(wǎng)絡(luò)安全管理主

44、要安全體系的防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備進(jìn)行管理。應(yīng)用安全管理主要對安全體系的應(yīng)用安全系統(tǒng)進(jìn)行管理，如用戶認(rèn)證系統(tǒng)的管理、病毒防范系統(tǒng)的管理。下面詳細(xì)描述安全管理技術(shù)。網(wǎng)絡(luò)安全管理在網(wǎng)管平臺、網(wǎng)管應(yīng)用軟件的控制下，網(wǎng)管控制臺通過SNMP RMON、議與被管設(shè)備、主機(jī)、服務(wù)進(jìn)行通信，實(shí)現(xiàn)有關(guān)的安全管理；維護(hù)并識別被管設(shè)備、主機(jī)、服務(wù)的身份，防止非法設(shè)備、主機(jī)、服務(wù)的接入，防止設(shè)備、主機(jī)、服務(wù)之間的非法操作；實(shí)時監(jiān)視被管設(shè)備、主機(jī)、服務(wù)的運(yùn)行，發(fā)生異常時向管理員報(bào)警；維護(hù)被管設(shè)備、主機(jī)、服務(wù)的配置信息，防止非授權(quán)修改，配置遭到破壞時可自動恢 復(fù)；維護(hù)網(wǎng)絡(luò)的安全拓?fù)洌_保網(wǎng)絡(luò)的正常運(yùn)行，配置網(wǎng)

45、絡(luò)的安全策略，設(shè)置網(wǎng)絡(luò)邊界安全設(shè)備的訪問控制規(guī)則和數(shù)據(jù)包加解密處理方式；審計(jì)、分析網(wǎng)絡(luò)安全事件日志，形成安全決策報(bào)告；實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中統(tǒng)一管理，如入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)的管理。應(yīng)用安全管理在應(yīng)用安全管理平臺的支持下，安全管理員使用安全控制臺實(shí)施應(yīng)用安全管理策略。安全管理員可以：建立和維護(hù)用戶賬號；建立和維護(hù)被管資源的連接和目錄；建立和維護(hù)訪問控制列表；統(tǒng)計(jì)、分析審計(jì)記錄信息；配置、維護(hù)安全平臺；網(wǎng)絡(luò)運(yùn)維管理平臺方案為了更好的維護(hù)博慶公司網(wǎng)絡(luò)，實(shí)現(xiàn)科學(xué)化管理提高運(yùn)維管理服務(wù)質(zhì)量，建議博慶公司組件獨(dú)立的網(wǎng)絡(luò)運(yùn)維管理平臺。平臺聚焦于IT服務(wù)管理，整合以往對網(wǎng)絡(luò)、服務(wù)器與業(yè)務(wù)應(yīng)用、安全設(shè)備和客

46、戶端 PC等的分割管理，提供包括網(wǎng)絡(luò)管理，系統(tǒng)管理，安全管理和值班管理等功能于一身，并融合了事件管理，故障管理，變更管理，配置管理和發(fā)布管理等ITIL標(biāo)準(zhǔn)的一體化的IT運(yùn)維支撐平臺。達(dá)到了技術(shù)、功能、服務(wù)三方面的完全整合，實(shí)現(xiàn)了 IT服務(wù)支持過程的標(biāo)準(zhǔn)化、流程化、規(guī)范化。極大地提高了故障應(yīng)急處理能力，提升了信息部門的管理效率和服務(wù)水平。IT運(yùn)維管理平臺能夠幫助用戶整合支離的IT服務(wù)，幫助用戶實(shí)現(xiàn)由博慶公司部、單項(xiàng)、按部門開展運(yùn)維服務(wù)向全博慶公司的、一體化的IT運(yùn)維服務(wù)轉(zhuǎn)變，能夠幫助用戶由被動的“救火”的服務(wù)轉(zhuǎn)變成科學(xué)有效的流程服務(wù)化管理；能夠幫助用戶從根本上解決傳統(tǒng)運(yùn)維工作中所存在的基礎(chǔ)臺帳管

47、理不規(guī)范、故障發(fā)現(xiàn)和解決滯后、運(yùn)維知識不能共享、設(shè)備資產(chǎn)底數(shù)不清等突出問題。解決的問題：? 實(shí)時監(jiān)控博慶公司當(dāng)前公安交警專網(wǎng)設(shè)備運(yùn)行情況；? 實(shí)時監(jiān)控博慶公司防火墻入侵檢測系統(tǒng)，掌控整體網(wǎng)絡(luò)安全運(yùn)維情況；? 提供主機(jī)、服務(wù)器、數(shù)據(jù)庫中間件應(yīng)用運(yùn)維管理；? 大屏幕展示交警中隊(duì)信息中心整體運(yùn)行情況；篋中運(yùn)行管理平臺COSS運(yùn)行管理服務(wù)濠程曾也維一運(yùn)行席班 曼源管理知識除數(shù)交接據(jù)揉口費(fèi)恭送拴NCC數(shù)居接口適配黑系皖,源監(jiān)授通黃潺曉桂B(yǎng)CCDCC防火場曲/防隔看主機(jī)/觸照中叵h/底用直面喇i網(wǎng)絡(luò)資源監(jiān)控（NCC）? 自動、準(zhǔn)確、及時地發(fā)現(xiàn)各類異構(gòu)復(fù)雜網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；? 可持續(xù)地監(jiān)視、報(bào)告網(wǎng)絡(luò)的運(yùn)行情況

48、；? 提供網(wǎng)絡(luò)運(yùn)行狀態(tài)和性能的多角度分析與統(tǒng)計(jì)；? 攔截非法接入，保障網(wǎng)絡(luò)系統(tǒng)安全；? 監(jiān)控異常流量及 ARP欺騙等病毒；? 對網(wǎng)絡(luò)、安全設(shè)備告警事件進(jìn)行采集和跨類型、跨廠商的分析；? 可將處理后的告警信息自動關(guān)聯(lián)到知識庫，協(xié)助處理。系統(tǒng)資源監(jiān)控（BCC）? 資源監(jiān)測子系統(tǒng)監(jiān)控企業(yè)的服務(wù)器、中間件、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用及安全設(shè)備的運(yùn)行狀況；建立性能基線；發(fā)現(xiàn)系統(tǒng)異常并及時告警。圍繞IT業(yè)務(wù)和IT資源，采用人性化多層導(dǎo)航呈現(xiàn)模式，由全公司到公司部、由粗線條到細(xì)顆粒度地逐層展現(xiàn)業(yè)務(wù)應(yīng)用的運(yùn)行狀況。集中運(yùn)行管理（COSS）? IT資源監(jiān)測結(jié)果綜合展現(xiàn)；? 統(tǒng)一告警展現(xiàn)；提供各種報(bào)表和視圖，呈現(xiàn)IT資源的

49、運(yùn)行狀況和運(yùn)行趨勢;網(wǎng)絡(luò)管理拓?fù)湔故緹o線網(wǎng)絡(luò)部署方案銳捷無線網(wǎng)絡(luò)架構(gòu)優(yōu)勢建議本次的無線網(wǎng)絡(luò)采用基于銳捷的瘦 AP無線架構(gòu)，以更好的支持企業(yè)移動和多媒體 應(yīng)用，簡化網(wǎng)絡(luò)部署和管理， 提供卓越的性能、安全性和可擴(kuò)展性，并支持新興的射頻技術(shù);并且能夠?yàn)槠髽I(yè)網(wǎng)絡(luò)提供強(qiáng)大的容錯能力、特殊服務(wù)質(zhì)量 (QoS)以及增強(qiáng)的語音能力、完整 的安全功能。銳捷提供的無線交換機(jī)專為企業(yè)部署而設(shè)計(jì)的， 提供強(qiáng)大的可擴(kuò)展性支持無縫 企業(yè)移動。稻匕，林修部署便捷，無縫接入現(xiàn)有網(wǎng)絡(luò)1)AP零配置銳捷的AP部署是為企業(yè)級無線網(wǎng)絡(luò)而設(shè)計(jì)。AP真正無需任何配置，即插即用。所有對無線網(wǎng)絡(luò)的配置都在無線交換機(jī)上完成。AP支持PoE供電

50、，在連接上網(wǎng)線后，AP可以通過DHC防式自動獲取 Wireless Switch的地址列表，然后通過 WISPe(Wireless Switch Protocol enhanced) 與 Wireless Switch 進(jìn)行通信。這樣省卻了胖 AP模式下對AP復(fù)雜的配置；也避免了其他瘦 AP廠家需要在AP上手工配 置Wireless Switch配置的情況。在部署大型無線網(wǎng)絡(luò)時候，工作量大大降低，極大地縮短了部署時間。2）無須改造現(xiàn)有企業(yè)網(wǎng)絡(luò)銳捷的AP可以無縫接入現(xiàn)有企業(yè)網(wǎng)絡(luò)。遠(yuǎn)程 AP使用DHC昉式獲取地址后就可以跨越3層交換機(jī)，與 Wireless Switch 進(jìn)行自動連接。AP的部署無

51、需對企業(yè)內(nèi)部網(wǎng)絡(luò)作任何修改。由于使用DHC昉式，網(wǎng)絡(luò)的規(guī)劃、網(wǎng)絡(luò)的擴(kuò)展可以集中而簡單地對 DHCP乍配置即可，而無需去修改分散各地的成百上千的遠(yuǎn)程AP。這樣，網(wǎng)絡(luò)規(guī)劃與擴(kuò)展將十分輕松方便。3）快速部署臨時的無線環(huán)境當(dāng)需要在企業(yè)辦公的環(huán)境外部署無線網(wǎng)絡(luò)的時候，銳捷快速部署的特性更容易顯示出 來。例如在會議室臨時部署 AR只需要將AP加電，連入互聯(lián)網(wǎng)絡(luò)，AP可以自動與放置于企 業(yè)內(nèi)部的無線交換機(jī)進(jìn)行通信。這個臨時的無線網(wǎng)絡(luò)擁有與與其他AP完全相同的特性。這時所有的問題都迎刃而解.4）更換和升級AP方便銳捷的所有配置維護(hù)都可以在中心機(jī)房完成。接入端的維護(hù)更是無需專業(yè)管理人員，可以作到像更換電燈泡一樣

52、簡單的即插即用，節(jié)省了日常維護(hù)成本。在 AP出現(xiàn)故障時，可以 簡單地將新的AP插上即可。無需任何配置。在Wireless Switch作升級后，可以自動對所有 AP作升級，避免對每個 AP手工升級的 繁瑣工作。無線設(shè)備管理1）銳捷無線交換技術(shù)特有的易于管理特性傳統(tǒng)的AP作為一種單點(diǎn)設(shè)備，每一個AP都需要企業(yè)的網(wǎng)絡(luò)管理人員進(jìn)行單獨(dú)的設(shè)置，管理和維護(hù)。這些設(shè)置不僅僅包括IP地址等簡單配置，往往還包括大量的服務(wù)、安全、 Qos等等配置。當(dāng)無線網(wǎng)絡(luò)規(guī)模趨于大型化時，原本帶來方便的無線網(wǎng)絡(luò)卻給IT人員帶來了莫大的麻煩。管理和維護(hù)一個多接點(diǎn)的無線網(wǎng)絡(luò)需要大量的人力投入。D-LINK無線交換體系能夠?qū)τ谟布?/p>

53、、軟件配置和網(wǎng)絡(luò)策略進(jìn)行統(tǒng)一管理，所有配置在 無線交換機(jī)上完成即可。向所有接入點(diǎn)自動部署配置，大大降低了初始化工作量。同時D-LINK的無線交換系統(tǒng)維護(hù)非常方便。傳統(tǒng)AP一旦出現(xiàn)故障，往往需要IT管理人員趕到現(xiàn)場，進(jìn)行處理。D-LINK的所有配置維護(hù)都可以在中心機(jī)房完成。接入端的維護(hù)更是無需專業(yè)管理人員， 可以作到像更換電燈泡一樣簡單的即插即用，節(jié)省了日常維護(hù)成本。無線AP部署由于AP較多，應(yīng)注意 AP的信道規(guī)劃。相鄰3個區(qū)域內(nèi)要采用完全不干擾的頻段，如信道 1、6、11。因?yàn)閷?shí)際施工中，建筑材料、辦公環(huán)境差異很大，故對信號影響也很大（見下表）如果實(shí)測信號穿透情況良好，方案可以進(jìn)一步優(yōu)化，每層

54、只需要放置更少數(shù)量的AP即可。AP的數(shù)量視現(xiàn)場實(shí)際勘測情況而定。為了保障無線網(wǎng)絡(luò)系統(tǒng)處于最佳運(yùn)營狀態(tài)。因此，為了保證在發(fā)生突發(fā)事件的情況下系統(tǒng)的正常運(yùn)行，設(shè)計(jì)中需規(guī)劃一定的冗余數(shù)量的AP以及無線信號的冗余。網(wǎng)絡(luò)升級改造設(shè)備清單根據(jù)技術(shù)需求分析，從整體出發(fā)，本次網(wǎng)絡(luò)規(guī)劃方案涉及到以下幾個部分的建 設(shè)：防火墻、流控與行為審計(jì)、無線接入系統(tǒng)（核心交換機(jī)、接入交換機(jī)、無 線AP等關(guān)聯(lián)設(shè)備）、網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)（根據(jù)客戶目前的投入定）。（備注：具體報(bào)價詳見客戶經(jīng)理報(bào)價方案）網(wǎng)絡(luò)設(shè)備清單產(chǎn)品型號產(chǎn)品說明數(shù)量說明網(wǎng)絡(luò)出口安全流控行 為審計(jì)AC1600深信服AC-2000-D ,用戶人數(shù)：600-800 ,網(wǎng)絡(luò)

55、吞 吐量：95Mbps, 100M流量。并發(fā)連接數(shù)：300000。8個10/100/1000M 自適應(yīng)電口，吞吐量3Gbps,提供應(yīng)用控制、帶寬管理、URL過濾、惡意軟件防護(hù)、數(shù)據(jù)防泄漏、行為審計(jì)等多項(xiàng)功能；提供上網(wǎng)安全 防護(hù)。包含一年URL庫升級，1年質(zhì)保，終身維護(hù)。1出口應(yīng) 用防火 墻AF-1620-V6個千兆電口，吞吐量3G,并發(fā)數(shù)6000001支持2-7層安全防護(hù)，并能實(shí)現(xiàn)功能的智能聯(lián)動，防應(yīng)用攻擊，制定基于用戶與應(yīng)用的安全策略。深入內(nèi)容的安全防護(hù)，有效過濾風(fēng)險(xiǎn)內(nèi)容，具備更完整的安全防護(hù)功能單次解析構(gòu)架、多核并行處理有效提升應(yīng)用層性能滿足帶寬要求總部核心交 換機(jī)S8606-Bse ri

56、es6擴(kuò)展槽主機(jī)箱（含風(fēng)扇陣列柜，不含電源和管理 引擎模塊），電源只能配合 RG-PA800IF使用1放置于核心 總機(jī)房（光模 塊型號根據(jù) 移動專線給 的對應(yīng)型號 選擇對應(yīng)的 多模還是單模，用于總部 與三個廠區(qū)互聯(lián)）M8606-CMII LITE二代管理引擎模塊 （可以冗余，提供USB管理接口，配合多業(yè)務(wù)卡使用，但不支持MPLS業(yè)務(wù)卡和WS多業(yè)務(wù)卡）1RG-PA800IF交流電源模塊（可以冗余， 800VV配10A電源線和 電源插頭，長度1.5M）,只供S8606-Bserie機(jī)箱 使用1M8600-24GT/12SFP-EC24個10/100/1000M自適應(yīng)電口 +12個復(fù)用SFP千兆通用

57、接口 EC線卡2Mini-GBIC-SX1000BASE-SX mini GBIC 轉(zhuǎn)換模塊（850nm0Mini-GBIC-LX1000BASE-LX mini GBIC 轉(zhuǎn)換模塊（1310nm）024 口接入交換 機(jī)RG-S2628G-I24 口 10/100M 自適應(yīng)電口交換機(jī)，2個 10/100/1000M自適應(yīng)電口， 2個千兆SFP光口（非復(fù)用）2100個信息點(diǎn)，其中一24 口用于連 接服務(wù)器區(qū)48 口接 入交換 機(jī)RG-S2652G-I48 口 10/100M 自適應(yīng)電口交換機(jī)，2個 10/100/1000M自適應(yīng)電口， 2個千兆SFP光口（非復(fù)用）2無線控 制器RG-WS5302千兆無線控制器，2個10/100/1000M自適應(yīng)電口和2個復(fù)用的千兆SFP接口，默認(rèn)支持16個AP,可通過擴(kuò)展License 最大控制 64個AP1LIC-WS-16WS系列無線控制器產(chǎn)品專用升級許可證License ,每套可支持增加16個AP的控制權(quán)，只適附于 WS53021無線APRG-AP220-I室內(nèi)無線接入點(diǎn)，米用內(nèi)置天線，雙路雙頻，可支持802.11a/n和802.11b/g/n 同時工作、胖/瘦模式 切換、WAPL PoE和本地供電（PoE和本地電源適配 器需單獨(dú)選購）11無線POE適配器RG-E-120單端口