《企业网络改造规划方案.docx》由会员分享,可在线阅读,更多相关《企业网络改造规划方案.docx(31页珍藏版)》请在三一办公上搜索。
1、*网络改造项目规划方案 企业网络改造规划方案2017年8月 目录第1章.项目概述21.1.项目背景21.2.项目建设需求21.3.建设目标3第2章.系统规划要求42.1.高可靠要求42.2.高性能要求42.3.易管理性要求42.4.安全性要求42.5.可扩展性要求52.6.实用性和先进性要求52.7.经济性要求5第3章.系统总体设计6第4章.基础平台详细规划94.1.网络系统94.1.1.系统设计目标94.1.2.系统设计原则94.1.3.整体网络规划94.1.4.分区设计详解114.1.5.网络协议设计164.1.6.设备选型建议214.2.安全系统224.2.1.系统设计目标224.2.2
2、.系统设计原则224.2.3.安全体系结构234.2.4.子系统规划254.2.5.设备选型建议29第1章. 项目概述1.1. 项目背景随着*公司信息技术发展,作为信息载体的网络系统存在问题日益严重:网络负载加大、网络带宽不足、网络安全问题严重、应用系统的增加,多网融合的需求迫切、网络终端不受控等。这就需要对现有网络系统进行改造,以满足*公司信息技术发展的需求。1.2. 项目建设需求 在利用*公司现有网络资源的基础上加以改造,改造后的网络需要满足以下需求:1、 根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层面进行整合,以达到单个用户可以访问不同子网的资源,并通过一定的安全策略,确
3、保各个子网之间的数据和业务安全。2、 优化现有网络规模,设立网络汇聚节点,最终形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。3、 实现整个公司网络架构分等级安全管理。4、 建立结构化网络安全系统,所有用户通过认证方式接入公司网络,访问自己对应的网络资源或系统。5、 实现网络终端受控,重要岗位终端行为管理,保证终端规范化操作。 6、 实现服务器及存储资源的有效利用,建立核心服务器区域的安全防护提高运行能力。将现有主要服务器,如产销系统、新老线MES系统、设备管理系统、远程计量、人事、原料采购、调度、质量等服务器集中统一
4、管理。7、 实现L2系统在网络中的隔离,保证L2系统安全稳定运行。1.3. 建设目标此次网络改造规划方案主要包括:网络系统,安全系统的建设。各个系统的功能概述如下:1) 网络系统:尽量利用现有的网络接入条件和机房环境条件,对现有网络系统进行全面改造升级,实现生产网、宽带网、设备网之间的融合接入,简化网络逻辑架构。2) 安全系统:根据网络总体架构和安全需求,设计部署安全防御体系(包括网络层、系统层、应用层等各层次),各业务系统的安全防范和服务体系,并实现集中的安全管理。第2章. 系统规划要求系统规划要求如下: 1.2.1. 高可靠要求为保证业务系统不间断正常运行,整个系统应有足够的冗余,设备发生
5、故障时能以热备份、热切换和热插拔的方式在最短时间内加以修复。可靠性还应充分考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心和重点单元设备支持双机备份。2.2. 高性能要求核心网络提供可保证的服务质量和充足的带宽,以适应大量数据传输包括多媒体信息的传输。整个系统在国内三到五年内保持领先的水平,并具有长足的发展能力,以适应未来网络技术的发展。2.3. 易管理性要求考虑到系统建设后期的维护和管理的需要,在方案设计中充分考虑各个设备和系统的可管理性,并可以满足用户个性化管理定制的需要。网站各系统易于管理,易于维护,操作简单,易学,易用,便于进行配置和发现故障。2.4. 安全性要求
6、对于内部网络以及外部访问的安全必须高度重视,设计部署可靠的系统安全解决方案,避免安全隐患。设计采取防攻击、防篡改等技术措施。制定安全应急预案。管理和技术并重,全方位构建整个安全保障体系。2.5. 可扩展性要求对*信息化建设规划要长远考虑,不但满足当前需要,并在扩充模块后满足可预见需求,考虑本期系统应用和今后网络的发展,便于向更新技术的升级与衔接。留有扩充余量,包括端口数和带宽升级能力。2.6. 实用性和先进性要求系统建设首先要从系统的实用性角度出发,未来的信息传输都将依赖于数据网络系统,所以系统设计必须具有很强的实用性,满足不同用户信息服务的实际需要,具有很高的性能价格比,能为多种应用系统提供
7、强有力的支持平台。2.7. 经济性要求本次系统建设中,要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值。要本着以最少的建设成本,最少的改造成本,持续获得当期及未来建设的最大利益。第3章. 系统总体设计此方案设计将遵循先进性、实用性、可靠性、易管理性、安全性、扩展性、经济性的原则,为实现*数据集中处理的方式,构建统一融合的网络系统,能支持全公司范围内的高可靠实时网络连接。依据*网络改造建设的需求,本次方案设计的网络平台系统的总体示意图如下:*网络改造总体拓扑图注:图中橙色字体的设备为此次新增设备。具体描述:1 网络系统设计1) 整体网络结构按照不同的安全级别,主要分为出口区域、DMZ区域
8、、中心服务器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远程计量网接入区域及其他网络接入区域。2) 作为整个网络的核心业务区域,采用两台高端核心交换机双机热备的方式,保证核心业务的正常开展。同时,依据业务的重要程度对全厂网络进行分区、并进行可靠安全隔离,避免重要程度较低的业务对重要程度高的核心业务造成影响。3) 生产网接入区域,主要以现有的生产网接入设备为主、另外融合了宽带网和设备网的接入设备。根据现有的网络结构及客户需求,设立新的网络汇聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。4) 上述七个
9、汇聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。5) 规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运行的服务器,划到同一逻辑区域。考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安全。使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。6) 设计新的互联网出口区域,设置出口防火墙、上网行为管理、负载均衡等安全设备,保证全厂用户的上网安全。原有生活区用户不
10、再和办公区使用同一出口上网,生活区用户使用单独的出口设备连接互联网。7) 构建DMZ 区域,将WWW、DNS、MAIL等需要同时服务内外网用户的服务器放到该区域,设置VPN、负载均衡等设备保证服务安全。8) 能源网和远程计量网由于是独立运行的物理网络,不在此次网络改在的范围。但此次我们新增的核心交换,在性能、稳定性、处理能力方面,均有能力负载未来其他多个网络的融合。2 安全系统设计本次*网络改造项目建设将考虑如何建设多层次、纵深防御系统。另外,要加强安全管理工作和安全应急工作。通过部署防火墙保证网络边界的安全,保证网络层的安全;部署入侵检测系统实现内网安全状态的实时监控;部署防病毒系统防止病毒
11、入侵,保证主机的安全;部署网络监控系统对网络进行监控;部署抗攻击系统抵御来自外界Internet的DoS/DDoS攻击;部署漏洞扫描系统对系统主机、网络设备的脆弱性进行分析;部署时钟系统使系统的时钟同步;部署单点登录系统方便用户在多个系统间自由穿梭,不必重复输入用户名和密码来确定身份;部署统一认证系统对不同的应用系统进行统一的用户认证,通过统一的用户认证平台提供一个单一的用户登陆入口;部署安全管理平台实现系统内安全事件的统一管理。我们要通过相应的安全技术建设一套包含物理层、网络层、主机层、应用层和管理层等多个方面的完整网络安全体系。第4章. 基础平台详细规划4.1. 网络系统4.1.1. 系统
12、设计目标网络系统建设的总体目标,是要建立统一融合的、覆盖全公司范围内的、高速高可靠的网络平台,以支持数据集中处理的运行模式。4.1.2. 系统设计原则网络系统包括四大部分,一是出口区域,实现公司用户的上网需求;二是服务器区域,对*现有业务系统的主机存储进行统一管理;三是核心交换区域,实现全公司所有功能区域的互联互通;四是二级接入区域,对整个网络现状进行重新规划,形成新的汇聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理网络中,实现单一终端对所有业务系统的统一访问。网络系统有良好的扩展性,保证网络在建设发展过程中业务和系统规模能够不断地扩大。网络线路及核心、关键设备有冗余设计。核心
13、设备和关键设备保证高性能、高可靠性、大数据吞吐能力。网络系统的设计充分考虑系统的安全性。4.1.3. 整体网络规划按照结构化、模块化的设计原则,实现高可用、易扩展、易管理的建设目标。网络整体拓扑如下图所示:注:图中橙色字体的设备为此次新增设备。按照“模块化”设计原则,需要对*整体网络结构进行分区设计。根据*公司业务情况,各区域业务系统部署描述如下:核心交换区:此区域用于实现各分区之间的数据交互,是数据中心网络平台的核心枢纽。出口区域:互联网出口,公司员上网,对外发布公司信息,承载电子商务等业务系统。中心服务器区:此区域部署核心业务服务器,包括MES、OA、人事、安全管理等应用系统。网络汇聚区:
14、实现公司办公楼、各分厂等汇聚网络接入,二级单位可以通过该接入区域实现对业务系统的访问。接入交换区:全厂接入设备连接区域,该区域用于连接终端用户和公司核心交换网络,是网络中最广泛的网络设备。4.1.4. 分区设计详解4.1.4.1. 核心交换区设计此次网络改造,建议新增两台高性能的核心交换机作为*的网络核心。核心层作为整个*网络的核心处理层,连接各分布层设备和*核心服务器区,核心层应采用两台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换机,同时,两台核心设备与分布层各设备连接,保证每台分布层设备分别与两台核心层设备具有网络连接,通过链路的冗余和设备冗余的设计,保证整个核心层的
15、高可靠性。两台核心设备之间应至少保证2Gbps全双工的速率要求,并能平滑升级到10Gbps。核心区是整个平台的枢纽。因此,可靠性是衡量核心交换区设计的关键指标。否则,一旦核心模块出现异常而不能及时恢复的话,会造成整个平台业务的长时间中断,影响巨大。4.1.4.2. 互联网出口区设计*与外网的出口区域,目前是通过建立独立的宽带网,实现办公区和生活区通过统一出口访问外网的。在此次网络改造中,我们计划把生活区上网与办公区上网隔离开,通过不同的出口访问外网。改造后的生活区网络拓扑结果如下图所示:如上图所示,此次生活区的网络改造会增加新的防火墙和负载均衡设备,作为生活区的网络安全管理设备,通过单独的出口
16、设备连接到互联网。改在后的厂区互联网出口区域,如下图所示:如上图所示,工作区的网络改造同样会增加新的防火墙和负载均衡设备,以及上网行为管理等安全设备,作为生活区的网络安全管理设备,通过单独的出口设备之间连接到互联网。出口区域除了网络出口设备外,还包括一个DMZ区域,用于将WWW、DNS、MAIL等,需要同时服务内、外网用户的服务器放到该区域,4.1.4.3. 中心服务器区设计规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运行的服务器,划到同一逻辑区域。该区域物理上为一个区域接入到核心,而逻辑上可以再划分为多个业务应用区,根据业务属性的不同可以划分为生产服务器区(如ERP等
17、)、办公服务器区(如OA等)、管理服务器区(如IT运维、管理等系统)等。考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区域的安全设备来保证访问安全。使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问。4.1.4.4. 网络汇聚区设计网络汇聚区域,根据现有的网络结构及客户需求,设立新的网络汇聚节点,形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点,覆盖全公司、部门、车间的生产区域。该区域的网络设备主要以现有的生产网汇聚设备为主、另外融合了宽带网和设备网的汇聚设备,同时考虑现有汇聚设备性能不能满足需求的情况,新增高新能的汇聚
18、设备。汇聚层设备通过双链路的方式与核心层两台核心交换设备相连,同时,为保障网络的健壮性,以及便于各个分厂区之间数据交互,各个分厂区的汇聚交换机之间也有线路直连。各汇聚节点与核心层的连接,应全部采用1000Mbps或1000Mbps以上的连接方式,分布层设备实现本区域内的各Vlan的路由处理和安全限制。4.1.4.5. 接入层部分网络汇聚节点主要下联现有的生产网接入设备,同时,将原宽带网和设备网的接入设备融入,构建统一的网络接入平台,不再重复建网。新的网络平台融合了,生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的功能。接入层设备与分布层设备通过1000M光纤或双绞线的方式
19、连接,在用户量较少的分节点可以采用100M上联方式,与各终端用户连接一般采用100M或者1000M双绞线的方式。生产网中其他办公楼及分厂区的网络接入,通过自动化车间和轧钢总降等汇聚节点,接入到新的数据网络中。各个分厂区的网络接入情况如下图所示:自动化车间汇聚网络拓扑图轧钢总降汇聚网络拓扑图4.1.5. 网络协议设计4.1.5.1. IP地址和VLAN规划IP地址是网络设计工作中重要的一环,使用IP地址不当会造成路由表庞大、难以部署安全控制、地址重叠问题、地址空间耗尽等问题,会给网络运行带来很大麻烦。为了让*网络建设项目顺利进行,我们建议*网络采用以下IP地址规划原则进行适当改进:1、 为公司各
20、个二级单位、应用业务、数据中心采用统一规划,统一分配,统一管理的地址设计原则,避免重叠地址的出现。设定专门流程和人员对全公司网络地址进行记录和权限管理。2、 尽可能采用私有地址进行IP地址分配。私有地址就是我们熟知的三类网络地址,分别是A类网中的10.0.0.010.255.255.255范围,B类网中的172.16.0.0172.31.255.255范围,C类网中的192.168.0.0192.168.255.255范围。3、 整网地址规划思路可按照以下方法设计,如10.X.Y.Z,X为不同厂区进行标示,Y为该厂区内不同业务或应用进行标示,Z为主机地址位。4、 同一个区域内部,使用连续的IP
21、子网进行IP地址分配。例如,厂区A内需要有4个C类网络,为了满足地址汇聚需要,应该为连续的C类网络。例如:10.254.128.0/24、10.254.129.0/24、10.254.130.0/24和10.254.131.0/244个网络可以汇聚成10.254.128.0/22。在定义测试区安全策略时,不用将4个网段同时定义成ACL,使用一条ACL就可以包括全部网络。5、 使用可变长掩码规划网络地址,根据IP地址使用对象的特点,部署不同长度子网掩码。例如,应用网段的IP地址,可以采用C类网地址,掩码为24位;区域设备之间的互连地址可以采用29位掩码。6、 不同主机实际网关IP地址与HSRP使
22、用的IP地址应该在整个数据中心统一,使用相同的方式配置,例如:整个厂区均采用X.X.X.1作为主机实际网关IP地址,HSRP采用X.X.X.254为HSRP网关地址。7、 网络互连地址采用IP地址网段的头两个可用地址,核心侧设备接口配置奇数地址,边缘侧设备接口配置偶数地址。例如,设备A与设备B互连,采用10.254.254.0/29网段为互连地址,该网段头两个可用地址为10.254.254.1和10.254.254.2,设备A为核心设备,配置奇数地址10.254.254.1,设备B为边缘设备,配置偶数地址10.254.254.2。8、 网络设备配置环回地址(32位掩码地址),用于网络管理和日志
23、管理。VLAN主要用于将局域网环境划分为多个逻辑网络,从而降低广播风带来的影响,也可提高网络可管理性和安全性。建议在此次网络建设中可按照以下原则对新建VLAN及原有VLAN进行适当调整和修改。1、 VLAN ID的规划可按照应用业务、工作部门、厂区位置等方法定义,这里建议按照原有网络规划方法进行。2、 VLAN ID可以是2-4096任意数字,为了方便标示和管理,建议ID与IP网段地址相关联。如10.18.10.0/24 VLAN10; 10.18.20.0/24VLAN20; 10.18.30.0/24VLAN30等。3、 VLAN规划避免重复,全网VLAN静态手动分配(在根交换机),统一管
24、理和记录。4.1.5.2. 动态路由协议对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。目前存在的路由协议有:RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等,根据路由算法的性质,它们可分为两类:距离矢量(DistanceVector)协议(RIP/IGRP/EIGRP)和连接状态(LinkState)协议(OSPF/IS-IS)。可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和I
25、S-IS。两种路由协议均是基于链路状态计算的最短路径路由协议;采用同一种最短路径算法(Dijkstra)。 考虑到产品对OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程经验,建议采用OSPF做为*网络的主用动态路由协议。作为链路状态协议,OSPF的特征如下:l 通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法。l 使用Hello包来建立和维护路由器之间的邻接关系。l 使用域(area)来建立两个层次的网络拓扑。l 具有域间路由聚合的能力。l 无类(classless)协议。l 通过选举指派路由器(Designed Router)来代替网络广播。l 具有认证的能
26、力。OSPF是一套链路状态路由协议,路由选择的变化基于网络中路由器物理连接的状态与速度,变化被立即广播到网络中的每一个路由器。每个路由器计算到网络的每一目标的一条路径,创建以它为根的路由拓扑结构树,其中包含了形成路由表基础的最短路径优先树(SPF树)。下图是OSPF分Area的状态。OSPF Area的分界处在路由器上,如图所示,一些接口在一个Area内,一些接口在其它Area内,当一个OSPF路由器的接口分布在多个Area内时,这个路由器就被称为边界路由器(ABR)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0被作为主干区域,所有区域必须与Area0相邻接。在ABR(区域边
27、界路由器,Area Border Router)上定义了两个区域之间的边界。ABR与Area0和另一个非主干区域至少分别有一个接口。OSPF允许自治系统中的路由按照虚拟拓扑结构配置,而不需要按照物理互连结构配置。不同区域可以利用虚拟链路连接。 允许在无IP情况下,使用点到点链路,节省IP空间。OSPF是一个高效而复杂的协议,路由器运行OSPF需要占用更多CPU资源。下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF进行介绍: 层次能力通过 areas支持层次化边界在router 内链路状态数据库(LSDB)来自网络或路由器LSA 尺寸 64 KB to 5000 条链路的限制 稳定性依
28、靠路由设计和实现大型网络中使用呈现增强的趋势 扩展性使用扩展 TLV 编码策略新扩展需开发时间 管理性企业网中大范围使用可借鉴经验较多此次网络建设项目,我们建议在各个区域之间开始部署OSPF动态路由协议。因为接入交换机多数为二层交换机,无法一次实现路由到用户边界的改造,所以此次仅将各个区域的核心交换开启路由进程,今后可逐步实现全网的路由建设。各个区域在本次设计中都部署高性能三层交换机,这些交换机需具备完整的路由支持功能。区域间核心设备组建OSPF协议的骨干area,未来在大范围部署动态路由协议时,可考虑将各个厂区划分为area1,area2等等,可以充分做到基于area的路由汇总和控制。互联网
29、区域可按照需要,适当采用静态路由的方式完成园区网与外网的连通。未来可逐渐增加路由的范围,逐步演变为路由到用户边界的形式。4.1.6. 设备选型建议4.1.6.1. 华为产品选型方案产品类型选型建议配置描述数量备注核心交换机华为 S12808背板带宽:32Tbps;包转发率:9600Mpps;8个业务槽位;支持基于Layer2、Layer3、Layer4优先级等的组合流分类支;电源功率:10800W;2华为 S9306背板带宽:6Tbps;包转发率:1152Mpps;扩展模块:6个业务槽位;支持基于Layer2协议;安全管理:802.1x认证1生活区宽带网核心交换机汇聚交换机华为 S632424
30、个GE SFP/10 GE SFP+端口,双电源槽位,含USB接口,交流供电;转发性能:715 M;交换容量:960 G;2华为 S532420个10/100/1000Base-T,4个千兆Combo口分交流供电和直流供电两种机型, 支持RPS 12V冗余电源,支持USB口,交换容量48G144.1.6.2. 华三产品选型方案产品类型选型建议配置描述数量备注核心交换机H3C S12508机箱,主控板,8端口万兆光口板,48端口千兆电口板,流量分析业务板,冗余电源2H3C S10508机箱,主控引擎,48口千兆电口板,48口千兆光口板,4端口万兆光口板,防火墙业务板,冗余电源1生活区宽带网核心交
31、换机汇聚交换机H3C S7506E机箱,双Salience VI引擎,2*24口千兆电口板,12口千兆光口板,冗余电源2H3C S5500H3C S5500-52C-EI-以太网交换机主机(48GE+4SFP Combo+2Slots),4个单模SFP模块144.2. 安全系统4.2.1. 系统设计目标本次*网络改造项目建设目标是通过建立完善的安全体系,在网络安全,主机安全和应用安全三个层面上,搭建一套立体的安全架构。这样可以实现抵御各个层面的攻击,防止病毒入侵等功能。同时进行主机的风险评估和安全加固服务,提前屏蔽漏洞风险。并通过安全管理平台实现安全审计功能,做到事件追踪。4.2.2. 系统设
32、计原则4.2.2.1. 整体性原则建设*安全系统时应充分考虑各个层面的因素,总体规划各个出入口网关的安全策略。本次*网络改造项目充分考虑各个环节,包括设备、软件、数据等,它们在网络安全设计中是非常重要的。只有从系统整体的角度去看待和分析才可能得到有效,可行的措施。4.2.2.2. 适应性及灵活性原则随着互联网技术的高速发展,对网络安全策略的需求会不断变化,所以本次部署的安全策略必须能够随着网络等系统性能及安全需求的变化而变化,要做到容易适应、容易修改。4.2.2.3. 一致性原则一致性原则只要指安全策略的部署应与其他系统的实施工作同时进行,方案的整体安全架构要与网络平台结构相结合。安全系统的设
33、计思想应该贯穿在整个网络平台设计中,体现整体平台的一致安全性。4.2.2.4. 需求、风险、代价平衡的原则对网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险以及付出的代价进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。4.2.2.5. 易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;同时措施的采用不能影响系统的正常运行。4.2.2.6. 多重保护原则本次*安全系统要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。4.2.2.7. 经济性原则在
34、满足*系统安全需求的前提下,选用经济实用的软硬件设备,以便节省投资,即选用高性能价格比的设备;同时,应该充分挖掘现有系统软硬件设备的使用潜力,尽可能以最低成本来完成安全系统建设。4.2.3. 安全体系结构*网络系统安全区域划分示意图如下:*网络系统安全区域划分如上图所示,*网络系统划分为多个安全区域,分别为:出口区域、DMZ区域、管理网接入区域、中心服务器区域和核心交换区。其中,出口区域和DMZ区域设备可访问Internet,部分设备也可由Internet访问,但均不可由公网直接路由到,安全级别为中;管理网接入求负责公司二级接入网络同中心服务器及出口区域的数据交互,安全级别为高;中心服务器区域
35、设备为*核心数据,在公网不可以访问,内网用户只能经授权后访问特定服务,安全级别最高。接入层的安全级别如上图所示:管理网中,可以上外网的Internet接入终端的安全级别低;只能访问管理网业务系统的接入终端,安全级别较高。4.2.4. 子系统规划4.2.4.1. 网络隔离系统1. 出口防火墙通过部署两台千兆出口防火墙实现Internet与*内网的隔离。两台防火墙一主一备,提高出口可靠性。出口防火墙划分的内外网之间的访问策略为:内网到公网基本不做限制,主要是考虑到内网的上网终端上网需求,另有些设备需要到公网升级;公网到备内网只针对DMZ区域开放相应端口(如80)。部署在出口区域的设备如有和内网核心
36、服务器通讯的需求,在出口防火墙上对这些需求打开相应的IP和端口。2. 内网防火墙通过内网防火墙实现核心内网区域之间的隔离。由于数据流较大,两台防火墙采用双活方式工作,不同业务的数据流分别通过不同的防火墙,实现数据流的动态分担。实现安全的同时兼顾传输效率。部署内网防火墙后,要针对业务的情况制订特定的访问策略,策略制定完成后只开放特定主机的IP与服务端口,其他访问一律禁止。4.2.4.2. 入侵检测系统*网络系统需在网络的关键位置部署入侵防御系统(IPS)。建议在网络前端核心设备部署两台IPS设备。可监控内网与公网之间的数据交互、公网对DMZ区域的访问数据、监控接入/DMZ区域终端对核心内网的数据
37、交互。4.2.4.3. 漏洞扫描系统为了防止网站被黑客入侵,需要在网络系统中部署漏洞扫描系统,通过漏洞扫瞄系统可以定期对网络系统进行安全性分析,发现并修正存在的弱点和漏洞。漏洞扫瞄系统是管理员监控网络通信数据流、发现网络漏洞并解决问题的有力工具。针对本系统的网络设计,我们将漏洞扫瞄系统部署在核心内网管理区域,使漏洞扫描系统能够尽量不受限制的对待评估系统进行访问。漏洞扫描系统部署后,将会对*的各个业务系统以及安全系统设备进行扫描,根据扫描评估结果可以及时发现系统漏洞并及时采取措施。4.2.4.4. 安管平台系统安全管理审计工作作为安全体系的重要组成部分,需要部署安全管理平台系统。其中安全管理平台
38、服务器部署在*核心内网管理区域,由防火墙提供保护,外网用户不允许访问该服务器。被管对象和安全管理平台服务器有数据传输,它们之间要路由可达。本次安全管理平台需要管理重要服务器和所有安全设备,收集日志后并做出分析,分出告警级别。也可以通过声光电或邮件、短信等方式报警,及时提醒管理员。4.2.4.5. 防病毒系统防病毒系统的建设首先要依据本次系统设计的总体结构,从网络中业务系统的模式和主要可能感染病毒的系统和区域进行设计和考虑。通过分析*网络系统的特点,可以总结病毒感染的途径如下:l 部分服务器如windows平台容易受到病毒攻击;l 公司内部员工若有访问互联网的权限,则可能感染网络病毒,并通过HT
39、TP、FTP等流量把病毒和恶意的移动代码带入网站;l 通过U盘传播病毒;l 各种蠕虫病毒主动地通过网络传播。从以上的分析入手,本系统的病毒防范工作必须从病毒防护的主体着手,根据他们之间的访问关系施加防护及病毒监控。本次方案防病毒系统采用防病毒网关与网络防病毒系统相互结合的方式,建立完整的防病毒体系。其中防病毒网关服务可集成在出口防火墙上,在内网部署网络防病毒系统,实现对系统中的关键服务器以及内部终端进行病毒防护,严防病毒感染关键服务器以及终端后造成业务系统受病毒影响。4.2.4.6. 统一用户/身份管理用户是IT系统中各类活动的实体,如人、组织、虚拟团队等。用户管理是指在IT系统中对用户和权限
40、的控制,包括了身份管理、用户授权、用户认证等,身份管理是基础,用户授权和认证是之上的服务。身份是一个实体区别于其它实体的特性,IT系统中的身份通常指一个人在信息系统中的抽象,也可以是硬件、组织等实体的抽象,是属于一个特定的实体的属性的集合。身份属性具有一些特点:往往是较短的数据元素如名称、邮件、电话、照片、数字证书等。身份管理就是产生和维护身份属性的过程,也是管理不同实体之间关系的能力。身份管理(Identity Management)是用户管理(User Administration)的一部分。统一用户管理(UUM)就是对不同的应用系统进行统一的用户认证,通过统一的用户认证平台提供一个单一的
41、用户登陆入口。用户在操作系统域登陆时经过统一用户管理平台认证,就具备了使用相关应用的权利。同时统一用户管理平台还提供对长时间无应用操作的超时重认证功能,更加可靠的保证安全。统一用户管理为用户提供多种登陆手段,包括传统的口令登陆以及安全性能更高的CA、USB Key等,使用户在使用统一身份认证平台上有更灵活的选择。在认证手段上,统一用户管理提供支持LDAP/AD协议的认证中心管理,支持多种认证中心认证,保证用户信息的安全、可靠。4.2.4.7. 单点登录单点登录(SSO,Single Sign-on)是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在多个系统间自由穿梭,不必
42、重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。目前业界已有很多产品支持SSO,但各家SSO产品的实现方式也不尽相同。如通过Cookie记录认证信息,通过Session共享认证信息。Cookie是一种客户端机制,它存储的内容主要包括:名字、值、过期时间、路径和域,路径与域合在一起就构成了Cook
43、ie的作用范围,因此用Cookie方式可实现SSO,但域名必须相同;Session是一种服务器端机制,当客户端访问服务器时,服务器为客户端创建一个惟一的SessionID,以使在整个交互过程中始终保持状态,而交互的信息则可由应用自行指定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登录,但却可以跨域。4.2.4.8. 上网行为管理系统针对内部上网的人员,一方面从安全角度考虑,需对网站资源进行筛选过滤,对非授权人员访问互联网,以及内部人员访问恶意站点等行为进行阻断;另一方面从管理角度考虑,需对内部人员上网方式进行管理,使上网访问资源可控。针对这种需求,我们建议将上网行为管理设
44、备部署在互联网出口处。对所有上网终端进行安全防护,实现对内网用户的上网行为进行管理、过滤和审计,可通过用户身份认证、上网时间管理、网页访问控制、IM管理、邮件管理、论坛管理、P2P管理、游戏管理等方式对上网行为进行限制和审计。4.2.4.9. 终端安全管理系统由于目前互联网安全问题突出,针对内部上网终端只有防病毒系统是远远不够的。需要对终端安全情况进行统一管理,包括硬件资产管理、补丁管理、软件管理、进程管理、安全软件管理等。对终端的安全情况进行加固后方允许接入网络,否则不允许接入。提高整个内部局域网的安全准入能力。4.2.4.10. 时钟系统由于对数据库的访问需要各业务系统保证时钟的统一,因此
45、建议在网络中部署一台时钟服务器,网络中其它设备通过NTP协议将自己的时钟与该服务器上的时间信息进行同步,从而统一内网服务器的时间。在为信息系统时钟系统进行设计时,充分考虑到时钟系统的可靠性与准确性,保证内网的时间是准确和稳定的。4.2.5. 设备选型建议产品选型信息如下表所示:序号产品名称选型建议配置描述数量1防火墙网御Power V-3220UTM或启明星辰2010D标准2U机箱,冗余电源,配4个10/100/1000MBase-T接口,可选配IPS、VPN和防病毒模块62入侵防御设备天清入侵防御系统NIPS3060D包括NIPS3060D硬件平台一台,NIPS3060D千兆检测引擎软件一套
46、,天清入侵防御系统NIPS数据中心软件一套,带一年的入侵防御特征库升级授权23链路负载均衡设备Array-3520-NAPV3520 NetVelocity Edition 链路负载均衡,12千兆电口+4千兆光口(SFP,LC,多模),冗余电源44应用负载均衡设备般固BG-ADC-2000-L8个10/100/1000Mbps端口,4个可选千兆光纤端口,1个 Core 2 Duo 处理器,4GB内存,220V AC 冗余电源25时钟系统DNTS-82-OGGPS,双网口10/100M内置恒温晶振,高精度保持,LCD,RS232/485,1pps,本地告警,机架式16漏洞扫描系统绿盟NSFOCUS RSAS X绿盟NSFOCUS RSAS X远程安全评估系统,硬件产品,支持256个IP扫描,三年服务17统一认证和单点登录系统统一认证系统统一认证系统含50用户USBKey18安管平台系统启明星辰安全管理中心软件启明星辰安全管理中心软件,包含事件收集、事件监控、域与资产管理、风险管理、告警和预警、报表管理等模块,支持20台安全设备管理19防病毒系统瑞星企业专用版防病毒系统瑞星企业专用版防病毒系统,5个服务器端,1个管理中心,25个客户端110上网行为管理系统深信服上网优化网关SG-6500-L包括上网加速、带宽管理、上网安全、上网认证、上网代理、访
