企業(yè)網(wǎng)絡(luò)改造綜合項目規(guī)劃方案專項方案可編輯

企業(yè)網(wǎng)絡(luò)改造計劃方案8月

目錄第1章. 項目概述 21.1. 項目背景 21.2. 項目建設(shè)需求 21.3. 建設(shè)目標 3第2章. 系統(tǒng)計劃要求 42.1. 高可靠要求 42.2. 高性能要求 42.3. 易管理性要求 42.4. 安全性要求 42.5. 可擴展性要求 52.6. 實用性和優(yōu)異性要求 52.7. 經(jīng)濟性要求 5第3章. 系統(tǒng)總體設(shè)計 6第4章. 基礎(chǔ)平臺具體計劃 94.1. 網(wǎng)絡(luò)系統(tǒng) 94.1.1. 系統(tǒng)設(shè)計目標 94.1.2. 系統(tǒng)設(shè)計標準 94.1.3. 整體網(wǎng)絡(luò)計劃 94.1.4. 分區(qū)設(shè)計詳解 114.1.5. 網(wǎng)絡(luò)協(xié)議設(shè)計 164.1.6. 設(shè)備選型提議 214.2. 安全系統(tǒng) 224.2.1. 系統(tǒng)設(shè)計目標 224.2.2. 系統(tǒng)設(shè)計標準 224.2.3. 安全體系結(jié)構(gòu) 234.2.4. 子系統(tǒng)計劃 254.2.5. 設(shè)備選型提議 29

項目概述項目背景伴隨**企業(yè)信息技術(shù)發(fā)展，作為信息載體網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴重：網(wǎng)絡(luò)負載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問題嚴重、應(yīng)用系統(tǒng)增加，多網(wǎng)融合需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行改造，以滿足**企業(yè)信息技術(shù)發(fā)展需求。項目建設(shè)需求在利用**企業(yè)現(xiàn)有網(wǎng)絡(luò)資源基礎(chǔ)上加以改造，改造后網(wǎng)絡(luò)需要滿足以下需求：依據(jù)用戶對業(yè)務(wù)系統(tǒng)訪問要求，將現(xiàn)有各個業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)關(guān)鍵層面進行整合，以達成單個用戶能夠訪問不一樣子網(wǎng)資源，并經(jīng)過一定安全策略，確保各個子網(wǎng)之間數(shù)據(jù)和業(yè)務(wù)安全。優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)置網(wǎng)絡(luò)匯聚節(jié)點，最終形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主匯聚點，覆蓋全企業(yè)、部門、車間生產(chǎn)區(qū)域。實現(xiàn)整個企業(yè)網(wǎng)絡(luò)架構(gòu)分等級安全管理。建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng)，全部用戶經(jīng)過認證方法接入企業(yè)網(wǎng)絡(luò)，訪問自己對應(yīng)網(wǎng)絡(luò)資源或系統(tǒng)。實現(xiàn)網(wǎng)絡(luò)終端受控，關(guān)鍵崗位終端行為管理，確保終端規(guī)范化操作。實現(xiàn)服務(wù)器及存放資源有效利用，建立關(guān)鍵服務(wù)器區(qū)域安全防護提升運行能力。將現(xiàn)相關(guān)鍵服務(wù)器，如產(chǎn)銷系統(tǒng)、新老線MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠程計量、人事、原料采購、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一管理。實現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中隔離，確保L2系統(tǒng)安全穩(wěn)定運行。建設(shè)目標此次網(wǎng)絡(luò)改造計劃方案關(guān)鍵包含：網(wǎng)絡(luò)系統(tǒng)，安全系統(tǒng)建設(shè)。各個系統(tǒng)功效概述以下：網(wǎng)絡(luò)系統(tǒng)：盡可能利用現(xiàn)有網(wǎng)絡(luò)接入條件和機房環(huán)境條件，對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行全方面改造升級，實現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間融合接入，簡化網(wǎng)絡(luò)邏輯架構(gòu)。安全系統(tǒng)：依據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求，設(shè)計布署安全防御體系（包含網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次），各業(yè)務(wù)系統(tǒng)安全防范和服務(wù)體系，并實現(xiàn)集中安全管理。

系統(tǒng)計劃要求系統(tǒng)計劃要求以下：高可靠要求為確保業(yè)務(wù)系統(tǒng)不間斷正常運行，整個系統(tǒng)應(yīng)有足夠冗余，設(shè)備發(fā)生故障時能以熱備份、熱切換和熱插拔方法在最短時間內(nèi)加以修復(fù)?？煽啃赃€應(yīng)充足考慮系統(tǒng)性價比，使整個網(wǎng)絡(luò)含有一定容錯能力，降低單點故障，網(wǎng)絡(luò)關(guān)鍵和關(guān)鍵單元設(shè)備支持雙機備份。高性能要求關(guān)鍵網(wǎng)絡(luò)提供可確保服務(wù)質(zhì)量和充足帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包含多媒體信息傳輸。整個系統(tǒng)在中國三到五年內(nèi)保持領(lǐng)先水平，并含有長足發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)發(fā)展。易管理性要求考慮到系統(tǒng)建設(shè)后期維護和管理需要，在方案設(shè)計中充足考慮各個設(shè)備和系統(tǒng)可管理性，并能夠滿足用戶個性化管理定制需要。網(wǎng)站各系統(tǒng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行配置和發(fā)覺故障。安全性要求對于內(nèi)部網(wǎng)絡(luò)和外部訪問安全必需高度重視，設(shè)計布署可靠系統(tǒng)安全處理方案，避免安全隱患。設(shè)計采取防攻擊、防篡改等技術(shù)方法。制訂安全應(yīng)急預(yù)案。管理和技術(shù)并重，全方位構(gòu)建整個安全保障體系?？蓴U展性要求對**信息化建設(shè)計劃要長遠考慮，不僅滿足目前需要，并在擴充模塊后滿足可預(yù)見需求，考慮本期系統(tǒng)應(yīng)用和以后網(wǎng)絡(luò)發(fā)展，便于向更新技術(shù)升級和銜接。留有擴充余量，包含端口數(shù)和帶寬升級能力。實用性和優(yōu)異性要求系統(tǒng)建設(shè)首先要從系統(tǒng)實用性角度出發(fā)，未來信息傳輸全部將依靠于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計必需含有很強實用性，滿足不一樣用戶信息服務(wù)實際需要，含有很高性能價格比，能為多個應(yīng)用系統(tǒng)提供強有力支持平臺。經(jīng)濟性要求此次系統(tǒng)建設(shè)中，要充足考慮原有系統(tǒng)資源有效利用，發(fā)揮原有設(shè)備資源價值。要本著以最少建設(shè)成本，最少改造成本，連續(xù)取適當期及未來建設(shè)最大利益。

系統(tǒng)總體設(shè)計此方案設(shè)計將遵照優(yōu)異性、實用性、可靠性、易管理性、安全性、擴展性、經(jīng)濟性標準，為實現(xiàn)**數(shù)據(jù)集中處理方法，構(gòu)建統(tǒng)一融合網(wǎng)絡(luò)系統(tǒng)，能支持全企業(yè)范圍內(nèi)高可靠實時網(wǎng)絡(luò)連接。依據(jù)**網(wǎng)絡(luò)改造建設(shè)需求，此次方案設(shè)計網(wǎng)絡(luò)平臺系統(tǒng)總體示意圖以下：**網(wǎng)絡(luò)改造總體拓撲圖 注：圖中橙色字體設(shè)備為此次新增設(shè)備。具體描述：網(wǎng)絡(luò)系統(tǒng)設(shè)計整體網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)不一樣安全等級，關(guān)鍵分為出口區(qū)域、DMZ區(qū)域、中心服務(wù)器集群區(qū)域、關(guān)鍵交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠程計量網(wǎng)接入?yún)^(qū)域及其它網(wǎng)絡(luò)接入?yún)^(qū)域。作為整個網(wǎng)絡(luò)關(guān)鍵業(yè)務(wù)區(qū)域，采取兩臺高端關(guān)鍵交換機雙機熱備方法，確保關(guān)鍵業(yè)務(wù)正常開展。同時，依據(jù)業(yè)務(wù)關(guān)鍵程度對全廠網(wǎng)絡(luò)進行分區(qū)、并進行可靠安全隔離，避免關(guān)鍵程度較低業(yè)務(wù)對關(guān)鍵程度高關(guān)鍵業(yè)務(wù)造成影響。生產(chǎn)網(wǎng)接入?yún)^(qū)域，關(guān)鍵以現(xiàn)有生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)接入設(shè)備。依據(jù)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及用戶需求，設(shè)置新網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主匯聚點，覆蓋全企業(yè)、部門、車間生產(chǎn)區(qū)域。上述七個匯聚節(jié)點關(guān)鍵下聯(lián)現(xiàn)有生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)接入設(shè)備融入，構(gòu)建統(tǒng)一網(wǎng)絡(luò)接入平臺，不再反復(fù)建網(wǎng)。新網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)數(shù)據(jù)訪問和外網(wǎng)互聯(lián)需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問功效。計劃統(tǒng)一中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行服務(wù)器，劃到同一邏輯區(qū)域?？紤]到新關(guān)鍵交換高性能，將全部服務(wù)器直接接到關(guān)鍵交換，經(jīng)過關(guān)鍵區(qū)域安全設(shè)備來確保訪問安全。使全廠全部用戶終端全部經(jīng)過關(guān)鍵交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。設(shè)計新互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負載均衡等安全設(shè)備，確保全廠用戶上網(wǎng)安全。原有生活區(qū)用戶不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶使用單獨出口設(shè)備連接互聯(lián)網(wǎng)。構(gòu)建DMZ區(qū)域，將WWW、DNS、MAIL等需要同時服務(wù)內(nèi)外網(wǎng)用戶服務(wù)器放到該區(qū)域，設(shè)置VPN、負載均衡等設(shè)備確保服務(wù)安全。能源網(wǎng)和遠程計量網(wǎng)因為是獨立運行物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在范圍。但此次我們新增關(guān)鍵交換，在性能、穩(wěn)定性、處理能力方面，全部有能力負載未來其它多個網(wǎng)絡(luò)融合。安全系統(tǒng)設(shè)計此次**網(wǎng)絡(luò)改造項目建設(shè)將考慮怎樣建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強安全管理工作和安全應(yīng)急工作。經(jīng)過布署防火墻確保網(wǎng)絡(luò)邊界安全，確保網(wǎng)絡(luò)層安全；布署入侵檢測系統(tǒng)實現(xiàn)內(nèi)網(wǎng)安全狀態(tài)實時監(jiān)控；布署防病毒系統(tǒng)預(yù)防病毒入侵，確保主機安全；布署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控；布署抗攻擊系統(tǒng)抵御來自外界InternetDoS/DDoS攻擊；布署漏洞掃描系統(tǒng)對系統(tǒng)主機、網(wǎng)絡(luò)設(shè)備脆弱性進行分析；布署時鐘系統(tǒng)使系統(tǒng)時鐘同時；布署單點登錄系統(tǒng)方便用戶在多個系統(tǒng)間自由穿梭，無須反復(fù)輸入用戶名和密碼來確定身份；布署統(tǒng)一認證系統(tǒng)對不一樣應(yīng)用系統(tǒng)進行統(tǒng)一用戶認證，經(jīng)過統(tǒng)一用戶認證平臺提供一個單一用戶登陸入口；布署安全管理平臺實現(xiàn)系統(tǒng)內(nèi)安全事件統(tǒng)一管理。我們要經(jīng)過對應(yīng)安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和管理層等多個方面完整網(wǎng)絡(luò)安全體系。

基礎(chǔ)平臺具體計劃網(wǎng)絡(luò)系統(tǒng)系統(tǒng)設(shè)計目標網(wǎng)絡(luò)系統(tǒng)建設(shè)總體目標，是要建立統(tǒng)一融合、覆蓋全企業(yè)范圍內(nèi)、高速高可靠網(wǎng)絡(luò)平臺，以支持數(shù)據(jù)集中處理運行模式。系統(tǒng)設(shè)計標準網(wǎng)絡(luò)系統(tǒng)包含四大部分，一是出口區(qū)域，實現(xiàn)企業(yè)用戶上網(wǎng)需求；二是服務(wù)器區(qū)域，對**現(xiàn)有業(yè)務(wù)系統(tǒng)主機存放進行統(tǒng)一管理；三是關(guān)鍵交換區(qū)域，實現(xiàn)全企業(yè)全部功效區(qū)域互聯(lián)互通；四是二級接入?yún)^(qū)域，對整個網(wǎng)絡(luò)現(xiàn)實狀況進行重新計劃，形成新匯聚節(jié)點，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新管理網(wǎng)絡(luò)中，實現(xiàn)單一終端對全部業(yè)務(wù)系統(tǒng)統(tǒng)一訪問。網(wǎng)絡(luò)系統(tǒng)有良好擴展性，確保網(wǎng)絡(luò)在建設(shè)發(fā)展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不停地擴大。網(wǎng)絡(luò)線路及關(guān)鍵、關(guān)鍵設(shè)備有冗余設(shè)計。關(guān)鍵設(shè)備和關(guān)鍵設(shè)備確保高性能、高可靠性、大數(shù)據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)設(shè)計充足考慮系統(tǒng)安全性。整體網(wǎng)絡(luò)計劃根據(jù)結(jié)構(gòu)化、模塊化設(shè)計標準，實現(xiàn)高可用、易擴展、易管理建設(shè)目標。網(wǎng)絡(luò)整體拓撲以下圖所表示： 注：圖中橙色字體設(shè)備為此次新增設(shè)備。根據(jù)“模塊化”設(shè)計標準，需要對**整體網(wǎng)絡(luò)結(jié)構(gòu)進行分區(qū)設(shè)計。依據(jù)**企業(yè)業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)布署描述以下：關(guān)鍵交換區(qū)：此區(qū)域用于實現(xiàn)各分區(qū)之間數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺關(guān)鍵樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，企業(yè)員上網(wǎng)，對外公布企業(yè)信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心服務(wù)器區(qū)：此區(qū)域布署關(guān)鍵業(yè)務(wù)服務(wù)器，包含MES、OA、人事、安全管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)匯聚區(qū)：實現(xiàn)企業(yè)辦公樓、各分廠等匯聚網(wǎng)絡(luò)接入，二級單位能夠經(jīng)過該接入?yún)^(qū)域?qū)崿F(xiàn)對業(yè)務(wù)系統(tǒng)訪問。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶和企業(yè)關(guān)鍵交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛網(wǎng)絡(luò)設(shè)備。分區(qū)設(shè)計詳解關(guān)鍵交換區(qū)設(shè)計此次網(wǎng)絡(luò)改造，提議新增兩臺高性能關(guān)鍵交換機作為**網(wǎng)絡(luò)關(guān)鍵。關(guān)鍵層作為整個**網(wǎng)絡(luò)關(guān)鍵處理層，連接各分布層設(shè)備和**關(guān)鍵服務(wù)器區(qū)，關(guān)鍵層應(yīng)采取兩臺高性能三層交換機采取互為冗余備份方法實現(xiàn)網(wǎng)絡(luò)關(guān)鍵高速數(shù)據(jù)交換機，同時，兩臺關(guān)鍵設(shè)備和分布層各設(shè)備連接，確保每臺分布層設(shè)備分別和兩臺關(guān)鍵層設(shè)備含有網(wǎng)絡(luò)連接，經(jīng)過鏈路冗余和設(shè)備冗余設(shè)計，確保整個關(guān)鍵層高可靠性。兩臺關(guān)鍵設(shè)備之間應(yīng)最少確保2Gbps全雙工速率要求，并能平滑升級到10Gbps。關(guān)鍵區(qū)是整個平臺樞紐。所以，可靠性是衡量關(guān)鍵交換區(qū)設(shè)計關(guān)鍵指標。不然，一旦關(guān)鍵模塊出現(xiàn)異常而不能立即恢復(fù)話，會造成整個平臺業(yè)務(wù)長時間中止，影響巨大。互聯(lián)網(wǎng)出口區(qū)設(shè)計**和外網(wǎng)出口區(qū)域，現(xiàn)在是經(jīng)過建立獨立寬帶網(wǎng)，實現(xiàn)辦公區(qū)和生活區(qū)經(jīng)過統(tǒng)一出口訪問外網(wǎng)。在此次網(wǎng)絡(luò)改造中，我們計劃把生活區(qū)上網(wǎng)和辦公區(qū)上網(wǎng)隔離開，經(jīng)過不一樣出口訪問外網(wǎng)。改造后生活區(qū)網(wǎng)絡(luò)拓撲結(jié)果以下圖所表示： 如上圖所表示，此次生活區(qū)網(wǎng)絡(luò)改造會增加新防火墻和負載均衡設(shè)備，作為生活區(qū)網(wǎng)絡(luò)安全管理設(shè)備，經(jīng)過單獨出口設(shè)備連接到互聯(lián)網(wǎng)。 改在后廠區(qū)互聯(lián)網(wǎng)出口區(qū)域，以下圖所表示： 如上圖所表示，工作區(qū)網(wǎng)絡(luò)改造一樣會增加新防火墻和負載均衡設(shè)備，和上網(wǎng)行為管理等安全設(shè)備，作為生活區(qū)網(wǎng)絡(luò)安全管理設(shè)備，經(jīng)過單獨出口設(shè)備之間連接到互聯(lián)網(wǎng)。 出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包含一個DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時服務(wù)內(nèi)、外網(wǎng)用戶服務(wù)器放到該區(qū)域，中心服務(wù)器區(qū)設(shè)計計劃統(tǒng)一中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行服務(wù)器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個區(qū)域接入到關(guān)鍵，而邏輯上能夠再劃分為多個業(yè)務(wù)應(yīng)用區(qū)，依據(jù)業(yè)務(wù)屬性不一樣能夠劃分為生產(chǎn)服務(wù)器區(qū)（如ERP等）、辦公服務(wù)器區(qū)（如OA等）、管理服務(wù)器區(qū)（如IT運維、管理等系統(tǒng)）等。考慮到新關(guān)鍵交換高性能，將全部服務(wù)器直接接到關(guān)鍵交換，經(jīng)過關(guān)鍵區(qū)域安全設(shè)備來確保訪問安全。使全廠全部用戶終端全部經(jīng)過關(guān)鍵交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。網(wǎng)絡(luò)匯聚區(qū)設(shè)計網(wǎng)絡(luò)匯聚區(qū)域，依據(jù)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及用戶需求，設(shè)置新網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主匯聚點，覆蓋全企業(yè)、部門、車間生產(chǎn)區(qū)域。該區(qū)域網(wǎng)絡(luò)設(shè)備關(guān)鍵以現(xiàn)有生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)匯聚設(shè)備，同時考慮現(xiàn)有匯聚設(shè)備性能不能滿足需求情況，新增高新能匯聚設(shè)備。匯聚層設(shè)備經(jīng)過雙鏈路方法和關(guān)鍵層兩臺關(guān)鍵交換設(shè)備相連，同時，為保障網(wǎng)絡(luò)健壯性，和便于各個分廠區(qū)之間數(shù)據(jù)交互，各個分廠區(qū)匯聚交換機之間也有線路直連。各匯聚節(jié)點和關(guān)鍵層連接，應(yīng)全部采取1000Mbps或1000Mbps以上連接方法，分布層設(shè)備實現(xiàn)本區(qū)域內(nèi)各Vlan路由處理和安全限制。接入層部分 網(wǎng)絡(luò)匯聚節(jié)點關(guān)鍵下聯(lián)現(xiàn)有生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)接入設(shè)備融入，構(gòu)建統(tǒng)一網(wǎng)絡(luò)接入平臺，不再反復(fù)建網(wǎng)。新網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)數(shù)據(jù)訪問和外網(wǎng)互聯(lián)需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問功效。接入層設(shè)備和分布層設(shè)備經(jīng)過1000M光纖或雙絞線方法連接，在用戶量較少分節(jié)點能夠采取100M上聯(lián)方法，和各終端用戶連接通常采取100M或1000M雙絞線方法。生產(chǎn)網(wǎng)中其它辦公樓及分廠區(qū)網(wǎng)絡(luò)接入，經(jīng)過自動化車間和軋鋼總降等匯聚節(jié)點，接入到新數(shù)據(jù)網(wǎng)絡(luò)中。各個分廠區(qū)網(wǎng)絡(luò)接入情況以下圖所表示：自動化車間匯聚網(wǎng)絡(luò)拓撲圖軋鋼總降匯聚網(wǎng)絡(luò)拓撲圖網(wǎng)絡(luò)協(xié)議設(shè)計IP地址和VLAN計劃IP地址是網(wǎng)絡(luò)設(shè)計工作中關(guān)鍵一環(huán)，使用IP地址不妥會造成路由表龐大、難以布署安全控制、地址重合問題、地址空間耗盡等問題，會給網(wǎng)絡(luò)運行帶來很大麻煩。為了讓**網(wǎng)絡(luò)建設(shè)項目順利進行，我們提議**網(wǎng)絡(luò)采取以下IP地址計劃標準進行合適改善：為企業(yè)各個二級單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采取統(tǒng)一計劃，統(tǒng)一分配，統(tǒng)一管理地址設(shè)計標準，避免重合地址出現(xiàn)。設(shè)定專門步驟和人員對全企業(yè)網(wǎng)絡(luò)地址進行統(tǒng)計和權(quán)限管理。盡可能采取私有地址進行IP地址分配。私有地址就是我們熟知三類網(wǎng)絡(luò)地址，分別是A類網(wǎng)中~55范圍，B類網(wǎng)中~55范圍，C類網(wǎng)中～55范圍。整網(wǎng)地址計劃思緒可根據(jù)以下方法設(shè)計，如10.X.Y.Z，X為不一樣廠區(qū)進行標示，Y為該廠區(qū)內(nèi)不一樣業(yè)務(wù)或應(yīng)用進行標示，Z為主機地址位。同一個區(qū)域內(nèi)部，使用連續(xù)IP子網(wǎng)進行IP地址分配。比如，廠區(qū)A內(nèi)需要有4個C類網(wǎng)絡(luò)，為了滿足地址匯聚需要，應(yīng)該為連續(xù)C類網(wǎng)絡(luò)。比如：/24、/24、/24和/244個網(wǎng)絡(luò)能夠匯聚成/22。在定義測試區(qū)安全策略時，不用將4個網(wǎng)段同時定義成ACL，使用一條ACL就能夠包含全部網(wǎng)絡(luò)。使用可變長掩碼計劃網(wǎng)絡(luò)地址，依據(jù)IP地址使用對象特點，布署不一樣長度子網(wǎng)掩碼。比如，應(yīng)用網(wǎng)段IP地址，能夠采取C類網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間互連地址能夠采取29位掩碼。不一樣主機實際網(wǎng)關(guān)IP地址和HSRP使用IP地址應(yīng)該在整個數(shù)據(jù)中心統(tǒng)一，使用相同方法配置，比如：整個廠區(qū)均采取X.X.X.1作為主機實際網(wǎng)關(guān)IP地址，HSRP采取X.X.X.254為HSRP網(wǎng)關(guān)地址。網(wǎng)絡(luò)互連地址采取IP地址網(wǎng)段頭兩個可用地址，關(guān)鍵側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。比如，設(shè)備A和設(shè)備B互連，采取/29網(wǎng)段為互連地址，該網(wǎng)段頭兩個可用地址為和，設(shè)備A為關(guān)鍵設(shè)備，配置奇數(shù)地址，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址。網(wǎng)絡(luò)設(shè)備配置環(huán)回地址（32位掩碼地址），用于網(wǎng)絡(luò)管理和日志管理。VLAN關(guān)鍵用于將局域網(wǎng)環(huán)境劃分為多個邏輯網(wǎng)絡(luò)，從而降低廣播風(fēng)帶來影響，也可提升網(wǎng)絡(luò)可管理性和安全性。提議在此次網(wǎng)絡(luò)建設(shè)中可根據(jù)以下標準對新建VLAN及原有VLAN進行合適調(diào)整和修改。VLANID計劃可根據(jù)應(yīng)用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義，這里提議根據(jù)原有網(wǎng)絡(luò)計劃方法進行。VLANID能夠是2-4096任意數(shù)字，為了方便標示和管理，提議ID和IP網(wǎng)段地址相關(guān)聯(lián)。如/24–VLAN10;/24—VLAN20;/24—VLAN30等。VLAN計劃避免反復(fù)，全網(wǎng)VLAN靜態(tài)手動分配（在根交換機），統(tǒng)一管理和統(tǒng)計。動態(tài)路由協(xié)議對一個大網(wǎng)絡(luò)來說，選擇一個適宜路由協(xié)議是很關(guān)鍵，不合適選擇有時對網(wǎng)絡(luò)是致命，路由協(xié)議對網(wǎng)絡(luò)穩(wěn)定高效運行、網(wǎng)絡(luò)在拓樸改變時快速收斂、網(wǎng)絡(luò)帶寬充足有效利用、網(wǎng)絡(luò)在故障時快速恢復(fù)、網(wǎng)絡(luò)靈活擴展全部有很關(guān)鍵影響?，F(xiàn)在存在路由協(xié)議有：RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，依據(jù)路由算法性質(zhì)，它們可分為兩類：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/IS-IS)。可用于大規(guī)模網(wǎng)絡(luò)同時又基于標準IGP路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計算最短路徑路由協(xié)議；采取同一個最短路徑算法（Dijkstra）。考慮到產(chǎn)品對OSPF和IS-IS支持成熟性和OSPF和IS-IS工程經(jīng)驗，提議采取OSPF做為**網(wǎng)絡(luò)主用動態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF特征以下：經(jīng)過維護一個鏈路狀態(tài)數(shù)據(jù)庫，使用基于DijkstraSPF路由算法。使用Hello包來建立和維護路由器之間鄰接關(guān)系。使用域（area）來建立兩個層次網(wǎng)絡(luò)拓撲。含有域間路由聚合能力。無類（classless）協(xié)議。經(jīng)過選舉指派路由器（DesignedRouter）來替換網(wǎng)絡(luò)廣播。含有認證能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇改變基于網(wǎng)絡(luò)中路由器物理連接狀態(tài)和速度，改變被立即廣播到網(wǎng)絡(luò)中每一個路由器。每個路由器計算到網(wǎng)絡(luò)每一目標一條路徑，創(chuàng)建以它為根路由拓撲結(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)最短路徑優(yōu)先樹（SPF樹）。下圖是OSPF分Area狀態(tài)。OSPFArea分界處于路由器上，圖所表示，部分接口在一個Area內(nèi)，部分接口在其它Area內(nèi)，當一個OSPF路由器接口分布在多個Area內(nèi)時，這個路由器就被稱為邊界路由器（ABR）。每個路由器僅和它們自己區(qū)域內(nèi)其它路由器交換LSA。Area0被作為主干區(qū)域，全部區(qū)域必需和Area0相鄰接。在ABR（區(qū)域邊界路由器，AreaBorderRouter）上定義了兩個區(qū)域之間邊界。ABR和Area0和另一個非主干區(qū)域最少分別有一個接口。OSPF許可自治系統(tǒng)中路由根據(jù)虛擬拓撲結(jié)構(gòu)配置，而不需要根據(jù)物理互連結(jié)構(gòu)配置。不一樣區(qū)域能夠利用虛擬鏈路連接。許可在無IP情況下，使用點到點鏈路，節(jié)省IP空間。OSPF是一個高效而復(fù)雜協(xié)議，路由器運行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴展性和可管理性四個方面對OSPF進行介紹：層次能力經(jīng)過areas支持層次化邊界在router內(nèi)鏈路狀態(tài)數(shù)據(jù)庫（LSDB）來自網(wǎng)絡(luò)或路由器LSA尺寸—64KBto5000條鏈路限制穩(wěn)定性依靠路由設(shè)計和實現(xiàn)大型網(wǎng)絡(luò)中使用展現(xiàn)增強趨勢擴展性使用擴展TLV編碼策略新擴展需開發(fā)時間管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗較多此次網(wǎng)絡(luò)建設(shè)項目，我們提議在各個區(qū)域之間開始布署OSPF動態(tài)路由協(xié)議。因為接入交換機多數(shù)為二層交換機，無法一次實現(xiàn)路由到用戶邊界改造，所以此次僅將各個區(qū)域關(guān)鍵交換開啟路由進程，以后可逐步實現(xiàn)全網(wǎng)路由建設(shè)。各個區(qū)域在此次設(shè)計中全部布署高性能三層交換機，這些交換機需含有完整路由支持功效。區(qū)域間關(guān)鍵設(shè)備組建OSPF協(xié)議骨干area，未來在大范圍布署動態(tài)路由協(xié)議時，可考慮將各個廠區(qū)劃分為area1，area2等等，能夠充足做到基于area路由匯總和控制?；ヂ?lián)網(wǎng)區(qū)域可根據(jù)需要，合適采取靜態(tài)路由方法完成園區(qū)網(wǎng)和外網(wǎng)連通。未來可逐步增加路由范圍，逐步演變?yōu)槁酚傻接脩暨吔缧问健?/p>

設(shè)備選型提議華為產(chǎn)品選型方案產(chǎn)品類型選型提議配置描述數(shù)量備注關(guān)鍵交換機華為S12808背板帶寬：32Tbps；包轉(zhuǎn)發(fā)率：9600Mpps；8個業(yè)務(wù)槽位；支持基于Layer2、Layer3、Layer4優(yōu)先級等組合流分類支；電源功率：≤10800W；2華為S9306背板帶寬：6Tbps；包轉(zhuǎn)發(fā)率：1152Mpps；擴展模塊：6個業(yè)務(wù)槽位；支持基于Layer2協(xié)議；安全管理：802.1x認證1生活區(qū)寬帶網(wǎng)關(guān)鍵交換機匯聚交換機華為S632424個GESFP/10GESFP+端口,雙電源槽位,含USB接口，交流供電；轉(zhuǎn)發(fā)性能:715M；交換容量:960G；2華為S532420個10/100/1000Base-T，4個千兆Combo口分交流供電和直流供電兩種機型,支持RPS12V冗余電源，支持USB口,交換容量48G14華三產(chǎn)品選型方案產(chǎn)品類型選型提議配置描述數(shù)量備注關(guān)鍵交換機H3CS12508機箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3CS10508機箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)關(guān)鍵交換機匯聚交換機H3CS7506E機箱，雙SalienceVI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3CS5500H3CS5500-52C-EI-以太網(wǎng)交換機主機(48GE+4SFPCombo+2Slots)，4個單模SFP模塊14安全系統(tǒng)系統(tǒng)設(shè)計目標此次**網(wǎng)絡(luò)改造項目建設(shè)目標是經(jīng)過建立完善安全體系，在網(wǎng)絡(luò)安全，主機安全和應(yīng)用安全三個層面上，搭建一套立體安全架構(gòu)。這么能夠?qū)崿F(xiàn)抵御各個層面攻擊，預(yù)防病毒入侵等功效。同時進行主機風(fēng)險評定和安全加固服務(wù)，提前屏蔽漏洞風(fēng)險。并經(jīng)過安全管理平臺實現(xiàn)安全審計功效，做到事件追蹤。系統(tǒng)設(shè)計標準整體性標準建設(shè)**安全系統(tǒng)時應(yīng)充足考慮各個層面原因，總體計劃各個出入口網(wǎng)關(guān)安全策略。此次**網(wǎng)絡(luò)改造項目充足考慮各個步驟，包含設(shè)備、軟件、數(shù)據(jù)等，它們在網(wǎng)絡(luò)安全設(shè)計中是很關(guān)鍵。只有從系統(tǒng)整體角度去看待和分析才可能得到有效，可行方法。適應(yīng)性及靈活性標準伴隨互聯(lián)網(wǎng)技術(shù)高速發(fā)展，對網(wǎng)絡(luò)安全策略需求會不停改變，所以此次布署安全策略必需能夠伴隨網(wǎng)絡(luò)等系統(tǒng)性能及安全需求改變而改變，要做到輕易適應(yīng)、輕易修改。一致性標準一致性標準只要指安全策略布署應(yīng)和其它系統(tǒng)實施工作同時進行，方案整體安全架構(gòu)要和網(wǎng)絡(luò)平臺結(jié)構(gòu)相結(jié)合。安全系統(tǒng)設(shè)計思想應(yīng)該貫穿在整個網(wǎng)絡(luò)平臺設(shè)計中，表現(xiàn)整體平臺一致安全性。需求、風(fēng)險、代價平衡標準對網(wǎng)絡(luò)要進行實際研究（包含任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨威脅及可能負擔(dān)風(fēng)險和付出代價進行定性和定量相結(jié)合分析，然后制訂規(guī)范和方法，確定系統(tǒng)安全策略。易操作性標準安全方法需要人去完成，假如方法過于復(fù)雜，對人要求過高，本身就降低了安全性；同時方法采取不能影響系統(tǒng)正常運行。多重保護標準此次**安全系統(tǒng)要建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息安全。經(jīng)濟性標準在滿足**系統(tǒng)安全需求前提下，選擇經(jīng)濟實用軟硬件設(shè)備，方便節(jié)省投資，即選擇高性能價格比設(shè)備；同時，應(yīng)該充足挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備使用潛力，盡可能以最低成原來完成安全系統(tǒng)建設(shè)。安全體系結(jié)構(gòu)**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖以下：**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所表示，**網(wǎng)絡(luò)系統(tǒng)劃分為多個安全區(qū)域，分別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和關(guān)鍵交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪問Internet，部分設(shè)備也可由Internet訪問，但均不可由公網(wǎng)直接路由到，安全等級為中；管理網(wǎng)接入求負責(zé)企業(yè)二級接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域數(shù)據(jù)交互，安全等級為高；中心服務(wù)器區(qū)域設(shè)備為**關(guān)鍵數(shù)據(jù)，在公網(wǎng)不能夠訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后訪問特定服務(wù)，安全等級最高。 接入層安全等級如上圖所表示：管理網(wǎng)中，能夠上外網(wǎng)Internet接入終端安全等級低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)接入終端，安全等級較高。子系統(tǒng)計劃網(wǎng)絡(luò)隔離系統(tǒng)出口防火墻經(jīng)過布署兩臺千兆出口防火墻實現(xiàn)Internet和**內(nèi)網(wǎng)隔離。兩臺防火墻一主一備，提升出口可靠性。出口防火墻劃分內(nèi)外網(wǎng)之間訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基礎(chǔ)不做限制，關(guān)鍵是考慮到內(nèi)網(wǎng)上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級；公網(wǎng)到備內(nèi)網(wǎng)只針對DMZ區(qū)域開放對應(yīng)端口（如80）。布署在出口區(qū)域設(shè)備如有和內(nèi)網(wǎng)關(guān)鍵服務(wù)器通訊需求，在出口防火墻上對這些需求打開對應(yīng)IP和端口。內(nèi)網(wǎng)防火墻經(jīng)過內(nèi)網(wǎng)防火墻實現(xiàn)關(guān)鍵內(nèi)網(wǎng)區(qū)域之間隔離。因為數(shù)據(jù)流較大，兩臺防火墻采取雙活方法工作，不一樣業(yè)務(wù)數(shù)據(jù)流分別經(jīng)過不一樣防火墻，實現(xiàn)數(shù)據(jù)流動態(tài)分擔(dān)。實現(xiàn)安全同時兼顧傳輸效率。布署內(nèi)網(wǎng)防火墻后，要針對業(yè)務(wù)情況制訂特定訪問策略，策略制訂完成后只開放特定主機IP和服務(wù)端口，其它訪問一律嚴禁。入侵檢測系統(tǒng)**網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)關(guān)鍵位置布署入侵防御系統(tǒng)（IPS）。提議在網(wǎng)絡(luò)前端關(guān)鍵設(shè)備布署兩臺IPS設(shè)備。可監(jiān)控內(nèi)網(wǎng)和公網(wǎng)之間數(shù)據(jù)交互、公網(wǎng)對DMZ區(qū)域訪問數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對關(guān)鍵內(nèi)網(wǎng)數(shù)據(jù)交互。漏洞掃描系統(tǒng)為了預(yù)防網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中布署漏洞掃描系統(tǒng)，經(jīng)過漏洞掃瞄系統(tǒng)能夠定時對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，發(fā)覺并修正存在弱點和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)覺網(wǎng)絡(luò)漏洞并處理問題有力工具。針對本系統(tǒng)網(wǎng)絡(luò)設(shè)計，我們將漏洞掃瞄系統(tǒng)布署在關(guān)鍵內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡可能不受限制對待評定系統(tǒng)進行訪問。漏洞掃描系統(tǒng)布署后，將會對**各個業(yè)務(wù)系統(tǒng)和安全系統(tǒng)設(shè)備進行掃描，依據(jù)掃描評定結(jié)果能夠立即發(fā)覺系統(tǒng)漏洞并立即采取方法。安管平臺系統(tǒng)安全管理審計工作作為安全體系關(guān)鍵組成部分，需要布署安全管理平臺系統(tǒng)。其中安全管理平臺服務(wù)器布署在**關(guān)鍵內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護，外網(wǎng)用戶不許可訪問該服務(wù)器。被管對象和安全管理平臺服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達。此次安全管理平臺需要管理關(guān)鍵服務(wù)器和全部安全設(shè)備，搜集日志后并做出分析，分出告警等級。也能夠經(jīng)過聲光電或郵件、短信等方法報警，立即提醒管理員。防病毒系統(tǒng)防病毒系統(tǒng)建設(shè)首先要依據(jù)此次系統(tǒng)設(shè)計總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)模式和關(guān)鍵可能感染病毒系統(tǒng)和區(qū)域進行設(shè)計和考慮。經(jīng)過分析**網(wǎng)絡(luò)系統(tǒng)特點，能夠總結(jié)病毒感染路徑以下：部分服務(wù)器如windows平臺輕易受到病毒攻擊；企業(yè)內(nèi)部職員若有訪問互聯(lián)網(wǎng)權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并經(jīng)過HTTP、FTP等流量把病毒和惡意移動代碼帶入網(wǎng)站；經(jīng)過U盤傳輸病毒；多種蠕蟲病毒主動地經(jīng)過網(wǎng)絡(luò)傳輸。從以上分析入手，本系統(tǒng)病毒防范工作必需從病毒防護主體著手，依據(jù)她們之間訪問關(guān)系施加防護及病毒監(jiān)控。此次方案防病毒系統(tǒng)采取防病毒網(wǎng)關(guān)和網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合方法，建立完整防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)布署網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對系統(tǒng)中關(guān)鍵服務(wù)器和內(nèi)部終端進行病毒防護，嚴防病毒感染關(guān)鍵服務(wù)器和終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。統(tǒng)一用戶/身份管理用戶是IT系統(tǒng)中各類活動實體，如人、組織、虛擬團體等。用戶管理是指在IT系統(tǒng)中對用戶和權(quán)限控制，包含了身份管理、用戶授權(quán)、用戶認證等，身份管理是基礎(chǔ)，用戶授權(quán)和認證是之上服務(wù)。身份是一個實體區(qū)分于其它實體特征，IT系統(tǒng)中身份通常指一個人在信息系統(tǒng)中抽象，也能夠是硬件、組織等實體抽象，是屬于一個特定實體屬性集合。身份屬性含有部分特點：往往是較短數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產(chǎn)生和維護身份屬性過程，也是管理不一樣實體之間關(guān)系能力。身份管理（IdentityManagement）是用戶管理(UserAdministration)一部分。統(tǒng)一用戶管理（UUM）就是對不一樣應(yīng)用系統(tǒng)進行統(tǒng)一用戶認證，經(jīng)過統(tǒng)一用戶認證平臺提供一個單一用戶登陸入口。用戶在操作系統(tǒng)域登陸時經(jīng)過統(tǒng)一用戶管理平臺認證，就含有了使用相關(guān)應(yīng)用權(quán)利。同時統(tǒng)一用戶管理平臺還提供對長時間無應(yīng)用操作超時重認證功效，愈加可靠確保安全。統(tǒng)一用戶管理為用戶提供多個登陸手段，包含傳統(tǒng)口令登陸和安全性能更高CA、USBKey等，使用戶在使用統(tǒng)一身份認證平臺上有更靈活選擇。在認證手段上，統(tǒng)一用戶管理提供支持LDAP/AD協(xié)議認證中心管理，支持多個認證中心認證，確保用戶信息安全、可靠。單點登錄單點登錄（SSO，SingleSign-on）是一個方便用戶訪問多個系統(tǒng)技術(shù)，用戶只需在登錄時進行一次注冊，就能夠在多個系統(tǒng)間自由穿梭，無須反復(fù)輸入用戶名和密碼來確定身份。單點登錄實質(zhì)就是安全上下文（SecurityContext）或憑證（Credential）在多個應(yīng)用系統(tǒng)之間傳輸或共享。當用戶登錄系統(tǒng)時，用戶端軟件依據(jù)用戶憑證（比如用戶名和密碼）為用戶建立一個安全上下文，安全上下文包含用于驗證用戶安全信息，系統(tǒng)用這個安全上下文和安全策略來判定用戶是否含有訪問系統(tǒng)資源權(quán)限。現(xiàn)在業(yè)界已經(jīng)有很多產(chǎn)品支持SSO，但各家SSO產(chǎn)品實現(xiàn)方法也不盡相同。如經(jīng)過Cookie統(tǒng)計認證信息，經(jīng)過Session共享認證信息。Cookie是一個用戶端機制，它存放內(nèi)容關(guān)鍵包含：名字、值、過期時間、路徑和域，路徑和域合在一起就組成了Cookie作用范圍，所以用Cookie方法可實現(xiàn)SSO，但域名必需相同；Session是一個服務(wù)器端機制，當用戶端訪問服務(wù)器時，服務(wù)器為用戶端創(chuàng)建一個惟一SessionID，以使在整個交互過程中一直保持狀態(tài)，而交互信息則可由應(yīng)用自行指定，所以用Session方法實現(xiàn)SSO，不能在多個瀏覽器之間實現(xiàn)單點登錄，但卻能夠跨域。