企業(yè)網(wǎng)絡(luò)改造項(xiàng)目規(guī)劃方案新

1、企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案2017年8月目錄TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第1章.項(xiàng)目概述i HYPERLINK l bookmark6 o Current Document 項(xiàng)目背景1 HYPERLINK l bookmark8 o Current Document 頊目建設(shè)需求1 HYPERLINK l bookmark10 o Current Document 建設(shè)目標(biāo)1 HYPERLINK l bookmark12 o Current Document 第2章.系統(tǒng)規(guī)劃要求2 HYPERLINK l bookma

2、rk14 o Current Document 高可靠要求2 HYPERLINK l bookmark16 o Current Document 高性能要求2 HYPERLINK l bookmark18 o Current Document 易管理性要求2 HYPERLINK l bookmark20 o Current Document 安全性要求2 HYPERLINK l bookmark22 o Current Document 可擴(kuò)展性要求3 HYPERLINK l bookmark24 o Current Document 實(shí)用性和先進(jìn)性要求3 HYPERLINK l bookma

3、rk26 o Current Document 經(jīng)濟(jì)性要求3 HYPERLINK l bookmark28 o Current Document 第3章.系統(tǒng)總體設(shè)計(jì)3 HYPERLINK l bookmark30 o Current Document 第4章.基礎(chǔ)平臺(tái)詳細(xì)規(guī)劃5 HYPERLINK l bookmark32 o Current Document 網(wǎng)絡(luò)系統(tǒng)5 HYPERLINK l bookmark34 o Current Document 系統(tǒng)設(shè)計(jì)目標(biāo)5系統(tǒng)設(shè)計(jì)原則5整體網(wǎng)絡(luò)規(guī)劃5分區(qū)設(shè)計(jì)詳解6 HYPERLINK l bookmark52 o Current Documen

4、t 網(wǎng)絡(luò)協(xié)議設(shè)計(jì)8設(shè)備選型建議12 HYPERLINK l bookmark64 o Current Document 安全系統(tǒng)12系統(tǒng)設(shè)計(jì)目標(biāo)12系統(tǒng)設(shè)計(jì)原則13 HYPERLINK l bookmark84 o Current Document 安全體系結(jié)構(gòu)14子系統(tǒng)規(guī)戈I.14設(shè)備選型建議18第1章.項(xiàng)目概述項(xiàng)目背景隨著*公司信息技術(shù)發(fā)展，作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問(wèn)題日益嚴(yán)重：網(wǎng)絡(luò)負(fù)載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問(wèn)題嚴(yán)重、應(yīng)用系統(tǒng)的增加，多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造，以滿(mǎn)足*公司信息技術(shù)發(fā)展的需求。項(xiàng)目建設(shè)需求在利用*公司現(xiàn)有網(wǎng)絡(luò)資源的基礎(chǔ)上加以

5、改造，改造后的網(wǎng)絡(luò)需要滿(mǎn)足以下需求：1、根據(jù)用戶(hù)對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)要求，將現(xiàn)有各個(gè)業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進(jìn)行整合，以達(dá)到單個(gè)用戶(hù)可以訪(fǎng)問(wèn)不同子網(wǎng)的資源，并通過(guò)一定的安全策略，確保各個(gè)子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)安全。2、優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)立網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，最終形成以銷(xiāo)售部、自動(dòng)化部自動(dòng)化車(chē)間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn)，覆蓋全公司、部門(mén)、車(chē)間的生產(chǎn)區(qū)域。3、實(shí)現(xiàn)整個(gè)公司網(wǎng)絡(luò)架構(gòu)分等級(jí)安全管理。4、建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng)，所有用戶(hù)通過(guò)認(rèn)證方式接入公司網(wǎng)絡(luò)，訪(fǎng)問(wèn)自己對(duì)應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)。5、實(shí)現(xiàn)網(wǎng)絡(luò)終端受控，重要崗位終端行為管理，保證終端規(guī)范化操作。6、實(shí)現(xiàn)服務(wù)器及存儲(chǔ)資源的有效

6、利用，建立核心服務(wù)器區(qū)域的安全防護(hù)提高運(yùn)行能力。將現(xiàn)有主要服務(wù)器，如產(chǎn)銷(xiāo)系統(tǒng)、新老線(xiàn)MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠(yuǎn)程計(jì)量、人事、原料采購(gòu)、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一管理。7、實(shí)現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中的隔離，保證L2系統(tǒng)安全穩(wěn)定運(yùn)行。建設(shè)目標(biāo)此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng)，安全系統(tǒng)的建設(shè)。各個(gè)系統(tǒng)的功能概述如下：1）網(wǎng)絡(luò)系統(tǒng)：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入條件和機(jī)房環(huán)境條件，對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面改造升級(jí)，實(shí)現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入，簡(jiǎn)化網(wǎng)絡(luò)邏輯架構(gòu)。2）安全系統(tǒng)：根據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求，設(shè)計(jì)部署安全防御體系（包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次），各業(yè)務(wù)系統(tǒng)的安全防范和服務(wù)體系，并實(shí)

7、現(xiàn)集中的安全管理。第2章.系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下：高可靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運(yùn)行，整個(gè)系統(tǒng)應(yīng)有足夠的冗余，設(shè)備發(fā)生故障時(shí)能以熱備份、熱切換和熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)?？煽啃赃€應(yīng)充分考慮系統(tǒng)的性?xún)r(jià)比,使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障，網(wǎng)絡(luò)核心和重點(diǎn)單元設(shè)備支持雙機(jī)備份。高性能要求核心網(wǎng)絡(luò)提供可保證的服務(wù)質(zhì)量和充足的帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸。整個(gè)系統(tǒng)在國(guó)內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的發(fā)展能力，以適應(yīng)未來(lái)網(wǎng)絡(luò)技術(shù)的發(fā)展。易管理性要求考慮到系統(tǒng)建設(shè)后期的維護(hù)和管理的需要，在方案設(shè)計(jì)中充分考慮各個(gè)設(shè)備和系統(tǒng)的可管理性，并可以滿(mǎn)足用戶(hù)個(gè)性化管理

8、定制的需要。網(wǎng)站各系統(tǒng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行配置和發(fā)現(xiàn)故障。安全性要求對(duì)于內(nèi)部網(wǎng)絡(luò)以及外部訪(fǎng)問(wèn)的安全必須高度重視，設(shè)計(jì)部署可靠的系統(tǒng)安全解決方案,避免安全隱患。設(shè)計(jì)采取防攻擊、防篡改等技術(shù)措施。制定安全應(yīng)急預(yù)案。管理和技術(shù)并重，全方位構(gòu)建整個(gè)安全保障體系?？蓴U(kuò)展性要求對(duì)*信息化建設(shè)規(guī)劃要長(zhǎng)遠(yuǎn)考慮，不但滿(mǎn)足當(dāng)前需要，并在擴(kuò)充模塊后滿(mǎn)足可預(yù)見(jiàn)需求，考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級(jí)與銜接。留有擴(kuò)充余量，包括端口數(shù)和帶寬升級(jí)能力。實(shí)用性和先進(jìn)性要求系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，未來(lái)的信息傳輸都將依賴(lài)于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計(jì)必須具有很強(qiáng)的實(shí)用

9、性，滿(mǎn)足不同用戶(hù)信息服務(wù)的實(shí)際需要，具有很高的性能價(jià)格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)。經(jīng)濟(jì)性要求本次系統(tǒng)建設(shè)中，要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源的價(jià)值。要本著以最少的建設(shè)成本，最少的改造成本，持續(xù)獲得當(dāng)期及未來(lái)建設(shè)的最大利益。第3章.系統(tǒng)總體設(shè)計(jì)此方案設(shè)計(jì)將遵循先進(jìn)性、實(shí)用性、可靠性、易管理性、安全性、擴(kuò)展性、經(jīng)濟(jì)性的原則，為實(shí)現(xiàn)*數(shù)據(jù)集中處理的方式，構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng)，能支持全公司范圍內(nèi)的高可靠實(shí)時(shí)網(wǎng)絡(luò)連接。依據(jù)*網(wǎng)絡(luò)改造建設(shè)的需求，本次方案設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)系統(tǒng)的總體示意圖如下：*網(wǎng)絡(luò)改造總體拓?fù)鋱D注：圖中橙色字體的設(shè)備為此次新增設(shè)備。具體描述：網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)1）

10、整體網(wǎng)絡(luò)結(jié)構(gòu)按照不同的安全級(jí)別，主要分為出口區(qū)域、DMZ區(qū)域、中心服務(wù)器集群區(qū)域、核心交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠(yuǎn)程計(jì)量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域。2）作為整個(gè)網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域，采用兩臺(tái)高端核心交換機(jī)雙機(jī)熱備的方式，保證核心業(yè)務(wù)的正常開(kāi)展。同時(shí)，依據(jù)業(yè)務(wù)的重要程度對(duì)全廠網(wǎng)絡(luò)進(jìn)行分區(qū)、并進(jìn)行可靠安全隔離，避免重要程度較低的業(yè)務(wù)對(duì)重要程度高的核心業(yè)務(wù)造成影響。3）生產(chǎn)網(wǎng)接入?yún)^(qū)域，主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備。根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶(hù)需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，形成以銷(xiāo)售部、自動(dòng)化部自動(dòng)化車(chē)間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的

11、匯聚點(diǎn)，覆蓋全公司、部門(mén)、車(chē)間的生產(chǎn)區(qū)域。4）上述七個(gè)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪(fǎng)問(wèn)和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪(fǎng)問(wèn)的功能。5）規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的服務(wù)器，劃到同一邏輯區(qū)域。考慮到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過(guò)核心區(qū)域的安全設(shè)備來(lái)保證訪(fǎng)問(wèn)安全。使全廠的所有客戶(hù)終端都通過(guò)核心交換來(lái)對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪(fǎng)問(wèn)。6）設(shè)計(jì)新的互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負(fù)載均衡等

12、安全設(shè)備，保證全廠用戶(hù)的上網(wǎng)安全。原有生活區(qū)用戶(hù)不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶(hù)使用單獨(dú)的出口設(shè)備連接互聯(lián)網(wǎng)。7）構(gòu)建DMZ區(qū)域，將WWW、DNS、MAIL等需要同時(shí)服務(wù)內(nèi)外網(wǎng)用戶(hù)的服務(wù)器放到該區(qū)域，設(shè)置VPN、負(fù)載均衡等設(shè)備保證服務(wù)安全。8）能源網(wǎng)和遠(yuǎn)程計(jì)量網(wǎng)由于是獨(dú)立運(yùn)行的物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在的范圍。但此次我們新增的核心交換，在性能、穩(wěn)定性、處理能力方面，均有能力負(fù)載未來(lái)其他多個(gè)網(wǎng)絡(luò)的融合。安全系統(tǒng)設(shè)計(jì)本次*網(wǎng)絡(luò)改造項(xiàng)目建設(shè)將考慮如何建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強(qiáng)安全管理工作和安全應(yīng)急工作。通過(guò)部署防火墻保證網(wǎng)絡(luò)邊界的安全，保證網(wǎng)絡(luò)層的安全；部署入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)安

13、全狀態(tài)的實(shí)時(shí)監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵，保證主機(jī)的安全；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控；部署抗攻擊系統(tǒng)抵御來(lái)自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對(duì)系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析；部署時(shí)鐘系統(tǒng)使系統(tǒng)的時(shí)鐘同步；部署單點(diǎn)登錄系統(tǒng)方便用戶(hù)在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶(hù)名和密碼來(lái)確定身份；部署統(tǒng)一認(rèn)證系統(tǒng)對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶(hù)認(rèn)證，通過(guò)統(tǒng)一的用戶(hù)認(rèn)證平臺(tái)提供一個(gè)單一的用戶(hù)登陸入口；部署安全管理平臺(tái)實(shí)現(xiàn)系統(tǒng)內(nèi)安全事件的統(tǒng)一管理。我們要通過(guò)相應(yīng)的安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和管理層等多個(gè)方面的完整網(wǎng)絡(luò)安全體系。第4章.基礎(chǔ)平臺(tái)詳細(xì)規(guī)

14、劃網(wǎng)絡(luò)系統(tǒng)系統(tǒng)設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標(biāo)，是要建立統(tǒng)一融合的、覆蓋全公司范圍內(nèi)的、高速高可靠的網(wǎng)絡(luò)平臺(tái)，以支持?jǐn)?shù)據(jù)集中處理的運(yùn)行模式。412系統(tǒng)設(shè)計(jì)原則網(wǎng)絡(luò)系統(tǒng)包括四大部分，一是出口區(qū)域，實(shí)現(xiàn)公司用戶(hù)的上網(wǎng)需求；二是服務(wù)器區(qū)域，對(duì)*現(xiàn)有業(yè)務(wù)系統(tǒng)的主機(jī)存儲(chǔ)進(jìn)行統(tǒng)一管理；三是核心交換區(qū)域，實(shí)現(xiàn)全公司所有功能區(qū)域的互聯(lián)互通；四是二級(jí)接入?yún)^(qū)域，對(duì)整個(gè)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行重新規(guī)劃，形成新的匯聚節(jié)點(diǎn)，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新的管理網(wǎng)絡(luò)中，實(shí)現(xiàn)單一終端對(duì)所有業(yè)務(wù)系統(tǒng)的統(tǒng)一訪(fǎng)問(wèn)。網(wǎng)絡(luò)系統(tǒng)有良好的擴(kuò)展性，保證網(wǎng)絡(luò)在建設(shè)發(fā)展過(guò)程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不斷地?cái)U(kuò)大。網(wǎng)絡(luò)線(xiàn)路及核心、關(guān)鍵設(shè)備有冗余設(shè)計(jì)

15、。核心設(shè)備和關(guān)鍵設(shè)備保證咼性能、咼可靠性、大數(shù)據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)充分考慮系統(tǒng)的安全性。413整體網(wǎng)絡(luò)規(guī)劃按照結(jié)構(gòu)化、模塊化的設(shè)計(jì)原則，實(shí)現(xiàn)高可用、易擴(kuò)展、易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)整體拓?fù)淙缦聢D所示：注：圖中橙色字體的設(shè)備為此次新增設(shè)備。按照“模塊化”設(shè)計(jì)原則，需要對(duì)*整體網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分區(qū)設(shè)計(jì)。根據(jù)*公司業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下:核心交換區(qū)：此區(qū)域用于實(shí)現(xiàn)各分區(qū)之間的數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的核心樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，公司員上網(wǎng)，對(duì)外發(fā)布公司信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心服務(wù)器區(qū)：此區(qū)域部署核心業(yè)務(wù)服務(wù)器，包括MES、0A、人事、安全管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)匯聚區(qū)：實(shí)

16、現(xiàn)公司辦公樓、各分廠等匯聚網(wǎng)絡(luò)接入，二級(jí)單位可以通過(guò)該接入?yún)^(qū)域?qū)崿F(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的訪(fǎng)問(wèn)。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶(hù)和公司核心交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備。414分區(qū)設(shè)計(jì)詳解4141.核心交換區(qū)設(shè)計(jì)此次網(wǎng)絡(luò)改造，建議新增兩臺(tái)高性能的核心交換機(jī)作為*的網(wǎng)絡(luò)核心。核心層作為整個(gè)*網(wǎng)絡(luò)的核心處理層，連接各分布層設(shè)備和*核心服務(wù)器區(qū)，核心層應(yīng)采用兩臺(tái)高性能的三層交換機(jī)采用互為冗余備份的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換機(jī)，同時(shí)，兩臺(tái)核心設(shè)備與分布層各設(shè)備連接，保證每臺(tái)分布層設(shè)備分別與兩臺(tái)核心層設(shè)備具有網(wǎng)絡(luò)連接，通過(guò)鏈路的冗余和設(shè)備冗余的設(shè)計(jì)，保證整個(gè)核心層的高可靠性。兩臺(tái)核心

17、設(shè)備之間應(yīng)至少保證2Gbps全雙工的速率要求，并能平滑升級(jí)到lOGbps。核心區(qū)是整個(gè)平臺(tái)的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。否則，一旦核心模塊出現(xiàn)異常而不能及時(shí)恢復(fù)的話(huà)，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大。4142互聯(lián)網(wǎng)出口區(qū)設(shè)計(jì)*與外網(wǎng)的出口區(qū)域，目前是通過(guò)建立獨(dú)立的寬帶網(wǎng)，實(shí)現(xiàn)辦公區(qū)和生活區(qū)通過(guò)統(tǒng)一出口訪(fǎng)問(wèn)外網(wǎng)的。在此次網(wǎng)絡(luò)改造中，我們計(jì)劃把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng)隔離開(kāi)，通過(guò)不同的出口訪(fǎng)問(wèn)外網(wǎng)。改造后的生活區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)果如下圖所示：如上圖所示，此次生活區(qū)的網(wǎng)絡(luò)改造會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過(guò)單獨(dú)的出口設(shè)備連接到互聯(lián)網(wǎng)。改在后的廠

18、區(qū)互聯(lián)網(wǎng)出口區(qū)域，如下圖所示：如上圖所示，工作區(qū)的網(wǎng)絡(luò)改造同樣會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，以及上網(wǎng)行為管理等安全設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過(guò)單獨(dú)的出口設(shè)備之間連接到互聯(lián)網(wǎng)。出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包括一個(gè)DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時(shí)服務(wù)內(nèi)、外網(wǎng)用戶(hù)的服務(wù)器放到該區(qū)域，.中心服務(wù)器區(qū)設(shè)計(jì)規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的服務(wù)器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個(gè)區(qū)域接入到核心，而邏輯上可以再劃分為多個(gè)業(yè)務(wù)應(yīng)用區(qū)，根據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)服務(wù)器區(qū)（如ERP等）、辦公服務(wù)器區(qū)（如OA等）、管理服務(wù)器區(qū)（

19、如IT運(yùn)維、管理等系統(tǒng)）等。考慮到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過(guò)核心區(qū)域的安全設(shè)備來(lái)保證訪(fǎng)問(wèn)安全。使全廠的所有客戶(hù)終端都通過(guò)核心交換來(lái)對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪(fǎng)問(wèn)。4144.網(wǎng)絡(luò)匯聚區(qū)設(shè)計(jì)網(wǎng)絡(luò)匯聚區(qū)域，根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶(hù)需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點(diǎn)，形成以銷(xiāo)售部、自動(dòng)化部自動(dòng)化車(chē)間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的匯聚點(diǎn)，覆蓋全公司、部門(mén)、車(chē)間的生產(chǎn)區(qū)域。該區(qū)域的網(wǎng)絡(luò)設(shè)備主要以現(xiàn)有的生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的匯聚設(shè)備，同時(shí)考慮現(xiàn)有匯聚設(shè)備性能不能滿(mǎn)足需求的情況，新增高新能的匯聚設(shè)備。匯聚層設(shè)備通過(guò)雙鏈路的方式與核心層兩臺(tái)核心交換

20、設(shè)備相連，同時(shí)，為保障網(wǎng)絡(luò)的健壯性，以及便于各個(gè)分廠區(qū)之間數(shù)據(jù)交互，各個(gè)分廠區(qū)的匯聚交換機(jī)之間也有線(xiàn)路直連。各匯聚節(jié)點(diǎn)與核心層的連接，應(yīng)全部采用1000Mbps或1000Mbps以上的連接方式，分布層設(shè)備實(shí)現(xiàn)本區(qū)域內(nèi)的各Vlan的路由處理和安全限制。原生產(chǎn)網(wǎng)核心交換機(jī)華為8512、4145接入層部分網(wǎng)絡(luò)匯聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪(fǎng)問(wèn)和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪(fǎng)問(wèn)的功能。接入層設(shè)備與分布層設(shè)備通過(guò)1000M光纖或雙絞線(xiàn)的方式連接，在用戶(hù)量較少的分節(jié)點(diǎn)可以

21、采用100M上聯(lián)方式，與各終端用戶(hù)連接一般采用100M或者1000M雙絞線(xiàn)的方式。生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入，通過(guò)自動(dòng)化車(chē)間和軋鋼總降等匯聚節(jié)點(diǎn)，接入到新的數(shù)據(jù)網(wǎng)絡(luò)中。各個(gè)分廠區(qū)的網(wǎng)絡(luò)接入情況如下圖所示：自動(dòng)化車(chē)間匯聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降匯聚網(wǎng)絡(luò)拓?fù)鋱D4.1.5.網(wǎng)絡(luò)協(xié)議設(shè)計(jì).IP地址和VLAN規(guī)劃IP地址是網(wǎng)絡(luò)設(shè)計(jì)工作中重要的一環(huán)，使用IP地址不當(dāng)會(huì)造成路由表龐大、難以部署安全控制、地址重疊問(wèn)題、地址空間耗盡等問(wèn)題，會(huì)給網(wǎng)絡(luò)運(yùn)行帶來(lái)很大麻煩。為了讓*網(wǎng)絡(luò)建設(shè)項(xiàng)引順利進(jìn)行，我們建議*網(wǎng)絡(luò)采用以下IP地址規(guī)劃原則進(jìn)行適當(dāng)改進(jìn)：1、為公司各個(gè)二級(jí)單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采用統(tǒng)一規(guī)劃，統(tǒng)一分

22、配，統(tǒng)一管理的地址設(shè)計(jì)原則，避免重疊地址的出現(xiàn)。設(shè)定專(zhuān)門(mén)流程和人員對(duì)全公司網(wǎng)絡(luò)地址進(jìn)行記錄和權(quán)限管理。2、盡可能采用私有地址進(jìn)行IP地址分配。私有地址就是我們熟知的三類(lèi)網(wǎng)絡(luò)地址，分別是A類(lèi)網(wǎng)中的55范圍，B類(lèi)網(wǎng)中的55范圍，C類(lèi)網(wǎng)中的55范圍。3、整網(wǎng)地址規(guī)劃思路可按照以下方法設(shè)計(jì)，如10.X.Y.Z,X為不同廠區(qū)進(jìn)行標(biāo)示，Y為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進(jìn)行標(biāo)示，Z為主機(jī)地址位。4、同一個(gè)區(qū)域內(nèi)部，使用連續(xù)的IP子網(wǎng)進(jìn)行IP地址分配。例如，廠區(qū)A內(nèi)需要有4個(gè)C類(lèi)網(wǎng)絡(luò)，為了滿(mǎn)足地址匯聚需要，應(yīng)該為連續(xù)的C類(lèi)網(wǎng)絡(luò)。例如：/24、/24、/24和/244個(gè)網(wǎng)絡(luò)可以匯聚成/22。在定義測(cè)試區(qū)安全策略時(shí)，不

23、用將4個(gè)網(wǎng)段同時(shí)定義成ACL，使用一條ACL就可以包括全部網(wǎng)絡(luò)。5、使用可變長(zhǎng)掩碼規(guī)劃網(wǎng)絡(luò)地址，根據(jù)IP地址使用對(duì)象的特點(diǎn)，部署不同長(zhǎng)度子網(wǎng)掩碼。例如，應(yīng)用網(wǎng)段的IP地址，可以采用C類(lèi)網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間的互連地址可以采用29位掩碼。6、不同主機(jī)實(shí)際網(wǎng)關(guān)IP地址與HSRP使用的IP地址應(yīng)該在整個(gè)數(shù)據(jù)中心統(tǒng)一，使用相同的方式配置，例如：整個(gè)廠區(qū)均采用X.X.X.1作為主機(jī)實(shí)際網(wǎng)關(guān)IP地址，HSRP采用X.X.X.254為HSRP網(wǎng)關(guān)地址。7、網(wǎng)絡(luò)互連地址采用IP地址網(wǎng)段的頭兩個(gè)可用地址，核心側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。例如，設(shè)備A與設(shè)備B互連，采用/29網(wǎng)段

24、為互連地址，該網(wǎng)段頭兩個(gè)可用地址為和，設(shè)備A為核心設(shè)備，配置奇數(shù)地址，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址。8、網(wǎng)絡(luò)設(shè)備配置環(huán)回地址（32位掩碼地址），用于網(wǎng)絡(luò)管理和日志管理。VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個(gè)邏輯網(wǎng)絡(luò)，從而降低廣播風(fēng)帶來(lái)的影響，也可提高網(wǎng)絡(luò)可管理性和安全性。建議在此次網(wǎng)絡(luò)建設(shè)中可按照以下原則對(duì)新建VLAN及原有VLAN進(jìn)行適當(dāng)調(diào)整和修改。1、VLANID的規(guī)劃可按照應(yīng)用業(yè)務(wù)、工作部門(mén)、廠區(qū)位置等方法定義，這里建議按照原有網(wǎng)絡(luò)規(guī)劃方法進(jìn)行。2、VLANID可以是2-4096任意數(shù)字，為了方便標(biāo)示和管理，建議ID與IP網(wǎng)段地址相關(guān)聯(lián)。女口/24-VLAN10;/24VLAN20;/

25、24VLAN303、VLAN規(guī)劃避免重復(fù)，全網(wǎng)VLAN靜態(tài)手動(dòng)分配（在根交換機(jī)），統(tǒng)一管理和記錄。4152動(dòng)態(tài)路由協(xié)議對(duì)一個(gè)大網(wǎng)絡(luò)來(lái)說(shuō)，選擇一個(gè)合適的路由協(xié)議是非常重要的，不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的，路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。目前存在的路由協(xié)議有：RIP(vl&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據(jù)路由算法的性質(zhì)，它們可分為兩類(lèi)：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/

26、IS-IS)。可用于大規(guī)模的網(wǎng)絡(luò)同時(shí)又基于標(biāo)準(zhǔn)的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議；采用同一種最短路徑算法(Dijkstra)。考慮到產(chǎn)品對(duì)OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經(jīng)驗(yàn)，建議采用OSPF做為*網(wǎng)絡(luò)的主用動(dòng)態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF的特征如下：通過(guò)維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫(kù)，使用基于Dijkstra的SPF路由算法。使用Hello包來(lái)建立和維護(hù)路由器之間的鄰接關(guān)系。使用域(area)來(lái)建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)洹＞哂杏蜷g路由聚合的能力。無(wú)類(lèi)(classless)協(xié)議。通過(guò)選舉指派路由器(Design

27、edRouter)來(lái)代替網(wǎng)絡(luò)廣播。具有認(rèn)證的能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度,變化被立即廣播到網(wǎng)絡(luò)中的每一個(gè)路由器。每個(gè)路由器計(jì)算到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹(shù)，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹(shù)(SPF樹(shù))。下圖是OSPF分Area的狀態(tài)。OSPFArea的分界處在路由器上，如圖所示，一些接口在一個(gè)Area內(nèi)，一些接口在其它Area內(nèi)，當(dāng)一個(gè)OSPF路由器的接口分布在多個(gè)Area內(nèi)時(shí)，這個(gè)路由器就被稱(chēng)為邊界路由器(ABR)。每個(gè)路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有

28、區(qū)域必須與Area0相鄰接。在ABR(區(qū)域邊界路由器，AreaBorderRouter)上定義了兩個(gè)區(qū)域之間的邊界。ABR與Area0和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口。OSPF允許自治系統(tǒng)中的路由按照虛擬拓?fù)浣Y(jié)構(gòu)配置，而不需要按照物理互連結(jié)構(gòu)配置。不同區(qū)域可以利用虛擬鏈路連接。允許在無(wú)IP情況下，使用點(diǎn)到點(diǎn)鏈路，節(jié)省IP空間。OSPF是一個(gè)高效而復(fù)雜的協(xié)議，路由器運(yùn)行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴(kuò)展性和可管理性四個(gè)方面對(duì)OSPF進(jìn)行介紹：層次能力通過(guò)areas支持層次化邊界在router內(nèi)鏈路狀態(tài)數(shù)據(jù)庫(kù)（LSDB）來(lái)自網(wǎng)絡(luò)或路由器LSA尺寸一64KBto5000

29、條鏈路的限制穩(wěn)定性依靠路由設(shè)計(jì)和實(shí)現(xiàn)大型網(wǎng)絡(luò)中使用呈現(xiàn)增強(qiáng)的趨勢(shì)擴(kuò)展性使用擴(kuò)展TLV編碼策略新擴(kuò)展需開(kāi)發(fā)時(shí)間管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗(yàn)較多此次網(wǎng)絡(luò)建設(shè)項(xiàng)目，我們建議在各個(gè)區(qū)域之間開(kāi)始部署OSPF動(dòng)態(tài)路由協(xié)議。因?yàn)榻尤虢粨Q機(jī)多數(shù)為二層交換機(jī)，無(wú)法一次實(shí)現(xiàn)路由到用戶(hù)邊界的改造，所以此次僅將各個(gè)區(qū)域的核心交換開(kāi)啟路由進(jìn)程，今后可逐步實(shí)現(xiàn)全網(wǎng)的路由建設(shè)。各個(gè)區(qū)域在本次設(shè)計(jì)中都部署高性能三層交換機(jī)，這些交換機(jī)需具備完整的路由支持功能。區(qū)域間核心設(shè)備組建OSPF協(xié)議的骨干area，未來(lái)在大范圍部署動(dòng)態(tài)路由協(xié)議時(shí)，可考慮將各個(gè)廠區(qū)劃分為areal,area2等等，可以充分做到基于area的路由匯總和

30、控制?；ヂ?lián)網(wǎng)區(qū)域可按照需要，適當(dāng)采用靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通。未來(lái)可逐漸增加路由的范圍，逐步演變?yōu)槁酚傻接脩?hù)邊界的形式。416設(shè)備選型建議41.61華為產(chǎn)品選型方案產(chǎn)品類(lèi)型選型建議配置描述數(shù)量備注核心交換機(jī)華為S12808背板帶寬：32Tbps;包轉(zhuǎn)發(fā)率：9600Mpps;8個(gè)業(yè)務(wù)槽位；支持基于Layer2、Layer3、Layer4優(yōu)先級(jí)等的組合流分類(lèi)支；電源功率：V10800W；2華為S9306背板帶寬:6Tbps;包轉(zhuǎn)發(fā)率：1152Mpps;擴(kuò)展模塊：6個(gè)業(yè)務(wù)槽位；支持基于Layer2協(xié)議；安全管理：802.1X認(rèn)證1生活區(qū)寬帶網(wǎng)核心交換機(jī)匯聚交換機(jī)華為S632424個(gè)GES

31、FP/10GESFP+端口，雙電源槽位，含USB接口，交流供電；轉(zhuǎn)發(fā)性能：715M;交換容量:960G;2華為S532420個(gè)10/100/1000Base-T,4個(gè)千兆Combo口分交流供電和直流供電兩種機(jī)型，支持RPS12V冗余電源，支持USB口，交換容量48G144162華三產(chǎn)品選型方案產(chǎn)品類(lèi)型選型建議配置描述數(shù)量備注核心交換機(jī)H3CS12508機(jī)箱，主控板，8端口萬(wàn)兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3CS10508機(jī)箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬(wàn)兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)核心交換機(jī)匯聚交換機(jī)H3CS7506E機(jī)箱，

32、雙SalienceVI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3CS5500H3CS5500-52C-EI-以太網(wǎng)交換機(jī)主機(jī)(48GE+4SFPCombo+2Slots)，4個(gè)單模SFP模塊14安全系統(tǒng)421系統(tǒng)設(shè)計(jì)目標(biāo)本次*網(wǎng)絡(luò)改造項(xiàng)目建設(shè)目標(biāo)是通過(guò)建立完善的安全體系，在網(wǎng)絡(luò)安全，主機(jī)安全和應(yīng)用安全三個(gè)層面上，搭建一套立體的安全架構(gòu)。這樣可以實(shí)現(xiàn)抵御各個(gè)層面的攻擊，防止病毒入侵等功能。同時(shí)進(jìn)行主機(jī)的風(fēng)險(xiǎn)評(píng)估和安全加固服務(wù)，提前屏蔽漏洞風(fēng)險(xiǎn)。并通過(guò)安全管理平臺(tái)實(shí)現(xiàn)安全審計(jì)功能，做到事件追蹤。422系統(tǒng)設(shè)計(jì)原則4221整體性原則建設(shè)*安全系統(tǒng)時(shí)應(yīng)充分考慮各個(gè)層面的因素，總體規(guī)劃

33、各個(gè)出入口網(wǎng)關(guān)的安全策略。本次*網(wǎng)絡(luò)改造項(xiàng)目充分考慮各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)等，它們?cè)诰W(wǎng)絡(luò)安全設(shè)計(jì)中是非常重要的。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。4222適應(yīng)性及靈活性原則隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，對(duì)網(wǎng)絡(luò)安全策略的需求會(huì)不斷變化，所以本次部署的安全策略必須能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及安全需求的變化而變化，要做到容易適應(yīng)、容易修改。422.3.一致性原則一致性原則只要指安全策略的部署應(yīng)與其他系統(tǒng)的實(shí)施工作同時(shí)進(jìn)行，方案的整體安全架構(gòu)要與網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)相結(jié)合。安全系統(tǒng)的設(shè)計(jì)思想應(yīng)該貫穿在整個(gè)網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)中，體現(xiàn)整體平臺(tái)的一致安全性。4224需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)網(wǎng)

34、絡(luò)要進(jìn)行實(shí)際的研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等）并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)以及付出的代價(jià)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施,確定系統(tǒng)的安全策略。4225易操作性原則安全措施需要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性；同時(shí)措施的采用不能影響系統(tǒng)的正常運(yùn)行。4226多重保護(hù)原則本次*安全系統(tǒng)要建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。紅？.？.？.經(jīng)濟(jì)性原則在滿(mǎn)足*系統(tǒng)安全需求的前提下，選用經(jīng)濟(jì)實(shí)用的軟硬件設(shè)備，以便節(jié)省投資，即選用高性能價(jià)格比的設(shè)備；同時(shí)，應(yīng)該充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用

35、潛力，盡可能以最低成本來(lái)完成安全系統(tǒng)建設(shè)。4.23.安全體系結(jié)構(gòu)*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示，*網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)安全區(qū)域，分別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪(fǎng)問(wèn)Internet,部分設(shè)備也可由Internet訪(fǎng)問(wèn)，但均不可由公網(wǎng)直接路由到，安全級(jí)別為中；管理網(wǎng)接入求負(fù)責(zé)公司二級(jí)接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互，安全級(jí)別為高；中心服務(wù)器區(qū)域設(shè)備為*核心數(shù)據(jù)，在公網(wǎng)不可以訪(fǎng)問(wèn)，內(nèi)網(wǎng)用戶(hù)只能經(jīng)授權(quán)后訪(fǎng)問(wèn)特定服務(wù)，安全級(jí)別最高。接入層的安全級(jí)別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的Int

36、ernet接入終端的安全級(jí)別低；只能訪(fǎng)問(wèn)管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級(jí)別較高。424子系統(tǒng)規(guī)劃4241網(wǎng)絡(luò)隔離系統(tǒng)1.出口防火墻通過(guò)部署兩臺(tái)千兆出口防火墻實(shí)現(xiàn)Internet與*內(nèi)網(wǎng)的隔離。兩臺(tái)防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪(fǎng)問(wèn)策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級(jí)；公網(wǎng)到備內(nèi)網(wǎng)只針對(duì)DMZ區(qū)域開(kāi)放相應(yīng)端口（如80）。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對(duì)這些需求打開(kāi)相應(yīng)的IP和端口。2.內(nèi)網(wǎng)防火墻通過(guò)內(nèi)網(wǎng)防火墻實(shí)現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺(tái)防火墻采用雙活方式工

37、作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過(guò)不同的防火墻，實(shí)現(xiàn)數(shù)據(jù)流的動(dòng)態(tài)分擔(dān)。實(shí)現(xiàn)安全的同時(shí)兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對(duì)業(yè)務(wù)的情況制訂特定的訪(fǎng)問(wèn)策略，策略制定完成后只開(kāi)放特定主機(jī)的IP與服務(wù)端口，其他訪(fǎng)問(wèn)一律禁止。4242入侵檢測(cè)系統(tǒng)*網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（IPS）。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺(tái)IPS設(shè)備?？杀O(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對(duì)DMZ區(qū)域的訪(fǎng)問(wèn)數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對(duì)核心內(nèi)網(wǎng)的數(shù)據(jù)交互。4243漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過(guò)漏洞掃瞄系統(tǒng)可以定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。漏洞掃瞄系

38、統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問(wèn)題的有力工具。針對(duì)本系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對(duì)待評(píng)估系統(tǒng)進(jìn)行訪(fǎng)問(wèn)。漏洞掃描系統(tǒng)部署后，將會(huì)對(duì)*的各個(gè)業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進(jìn)行掃描，根據(jù)掃描評(píng)估結(jié)果可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)采取措施。4244安管平臺(tái)系統(tǒng)安全管理審計(jì)工作作為安全體系的重要組成部分，需要部署安全管理平臺(tái)系統(tǒng)。其中安全管理平臺(tái)服務(wù)器部署在*核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護(hù)，外網(wǎng)用戶(hù)不允許訪(fǎng)問(wèn)該服務(wù)器。被管對(duì)象和安全管理平臺(tái)服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達(dá)。本次安全管理平臺(tái)需要管理重要服務(wù)器和所有安全設(shè)備，收集

39、日志后并做出分析，分出告警級(jí)別。也可以通過(guò)聲光電或郵件、短信等方式報(bào)警，及時(shí)提醒管理員。4245防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計(jì)的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計(jì)和考慮。通過(guò)分析*網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以總結(jié)病毒感染的途徑如下：部分服務(wù)器如windows平臺(tái)容易受到病毒攻擊；公司內(nèi)部員工若有訪(fǎng)問(wèn)互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過(guò)HTTP、FTP等流量把病毒和惡意的移動(dòng)代碼帶入網(wǎng)站；通過(guò)U盤(pán)傳播病毒；各種蠕蟲(chóng)病毒主動(dòng)地通過(guò)網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護(hù)的主體著手，根據(jù)他們之間的訪(fǎng)問(wèn)關(guān)系施加防護(hù)及病毒監(jiān)控。本次

40、方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進(jìn)行病毒防護(hù)，嚴(yán)防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。4246統(tǒng)一用戶(hù)/身份管理用戶(hù)是IT系統(tǒng)中各類(lèi)活動(dòng)的實(shí)體，如人、組織、虛擬團(tuán)隊(duì)等。用戶(hù)管理是指在IT系統(tǒng)中對(duì)用戶(hù)和權(quán)限的控制，包括了身份管理、用戶(hù)授權(quán)、用戶(hù)認(rèn)證等，身份管理是基礎(chǔ)，用戶(hù)授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個(gè)實(shí)體區(qū)別于其它實(shí)體的特性，IT系統(tǒng)中的身份通常指一個(gè)人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實(shí)體的抽象，是屬于一個(gè)特定的實(shí)體的

41、屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱(chēng)、郵件、電話(huà)、照片、數(shù)字證書(shū)等。身份管理就是產(chǎn)生和維護(hù)身份屬性的過(guò)程，也是管理不同實(shí)體之間關(guān)系的能力。身份管理(IdentityManagement)是用戶(hù)管理(UserAdministration)的一部分。統(tǒng)一用戶(hù)管理(UUM)就是對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶(hù)認(rèn)證，通過(guò)統(tǒng)一的用戶(hù)認(rèn)證平臺(tái)提供一個(gè)單一的用戶(hù)登陸入口。用戶(hù)在操作系統(tǒng)域登陸時(shí)經(jīng)過(guò)統(tǒng)一用戶(hù)管理平臺(tái)認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時(shí)統(tǒng)一用戶(hù)管理平臺(tái)還提供對(duì)長(zhǎng)時(shí)間無(wú)應(yīng)用操作的超時(shí)重認(rèn)證功能，更加可靠的保證安全。統(tǒng)一用戶(hù)管理為用戶(hù)提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安

42、全性能更高的CA、USBKey等，使用戶(hù)在使用統(tǒng)一身份認(rèn)證平臺(tái)上有更靈活的選擇。在認(rèn)證手段上，統(tǒng)一用戶(hù)管理提供支持LDAP/AD協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶(hù)信息的安全、可靠。4247單點(diǎn)登錄單點(diǎn)登錄(SSO,SingleSign-on)是一種方便用戶(hù)訪(fǎng)問(wèn)多個(gè)系統(tǒng)的技術(shù)，用戶(hù)只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶(hù)名和密碼來(lái)確定身份。單點(diǎn)登錄的實(shí)質(zhì)就是安全上下文(SecurityContext)或憑證(Credential)在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶(hù)登錄系統(tǒng)時(shí)，客戶(hù)端軟件根據(jù)用戶(hù)的憑證(例如用戶(hù)名和密碼)為用戶(hù)建立一個(gè)安全上下文，安全上下文包含用于驗(yàn)證用戶(hù)的安全信息，系統(tǒng)用這個(gè)安全上下文和安全策略來(lái)判斷用戶(hù)是否具有訪(fǎng)問(wèn)系統(tǒng)資源的權(quán)限。目前業(yè)界已有很多產(chǎn)品支持SSO，但各家SSO產(chǎn)品的實(shí)現(xiàn)方式也不盡相同。如通過(guò)Cookie記錄認(rèn)證信息，通過(guò)Session共享認(rèn)證信息。Cookie是一種客戶(hù)端機(jī)制，它存儲(chǔ)的內(nèi)容主要包括：名字、值、過(guò)期時(shí)間、路徑和域，路徑與域合在一起就構(gòu)成了Cookie的作用范圍，因此用Cookie方式可實(shí)現(xiàn)SSO，但域名必須相同；Session是一種服務(wù)器端機(jī)制，當(dāng)客戶(hù)端訪(fǎng)問(wèn)服務(wù)器時(shí)，服務(wù)器為客戶(hù)端創(chuàng)建一個(gè)惟一的SessionlD，以使在整個(gè)