《华迪实习 云南xxx学院网络工程设计 方案书.docx》由会员分享,可在线阅读,更多相关《华迪实习 云南xxx学院网络工程设计 方案书.docx(31页珍藏版)》请在三一办公上搜索。
1、云南XXX学院校园网改造方案书第四小组方案设计人员()目录第一章 概述- 5 -1.1. 文档大纲- 5 -1.2. 项目背景- 5 -1.3. 项目范围- 5 -1.4. 项目目标- 5 -1.5. 设计标准与规范- 5 -第二章 用户需求- 5 -2.1. 技术目标- 5 -2.2. 应用系统- 6 -2.3. 服务器要求- 6 -2.4. 网络建设需求- 6 -2.5. 系统集成要求- 7 -第三章 综合布线设计- 7 -3.1. 采用综合布线方案概述- 7 -3.2 工作区子系统设计介绍- 8 -3.3 水平区子系统设计介绍- 9 -3.4 垂直主干线子系统设计介绍- 9 -3.5 设
2、备间子系统设计介绍- 10 -3.6 建筑群子系统设计介绍- 10 -3.7 综合布线系统的安装与施工指南- 11 -3.8 产品选型说明- 12 -第四章 网络拓扑结构设计- 13 -4.1 拓扑图设计- 13 -4.1.1 设计说明- 13 -4.2 核心层设计- 14 -4.2.1 双核心热冗余备份设计- 15 -4.3 出口设计- 16 -4.4 防火墙- 17 -4.5 主要设备选型- 18 -第五章 VLAN与IP规划- 19 -5.1 VLAN与IP技术介绍- 19 -5.1.1 VLAN与IP划分方案- 20 -第六章 网络管理与安全方案- 21 -6.1 网络管理方案- 21
3、 -6.2 网络安全方案- 21 -第七章 工程施工管理- 32 -7.1 标准化- 32 -7.2 施工计划表- 32 -7.3 施工配合- 33 -7.4 铺设线缆和管道- 33 -7.5 搭建配线架- 33 -第八章 测试与验收- 34 -8.1 测试目标及其验收标准- 34 -8.2 测试种类- 34 -8.3 测试需要的网络设备和网络资源- 34 -第九章 售后服务与技术支持- 34 -第十章 项目预算- 34 -10.1 布线材料清单及报价- 34 -10.2 网络设备清单及报价- 35 -第一章 概述1.1. 文档大纲1.2. 项目背景1.3. 项目范围1.4. 项目目标1.5.
4、 设计标准与规范第二章 用户需求2.1. 技术目标众所周知,电子计算机机房装饰,不同于普通的宾馆、家庭装饰,机房装饰工程是一项系统工程,是现代科学技术和装饰艺术的综合。机房内放置有复杂的电子设备和机电设备,对装饰的要求,主要是满足计算机对机房提出的技术要求,在机房装饰艺术上以既大方舒适,又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。以期达到现代化的装饰水平和视觉效果。网络核心机房是整个校园计算机网络开展应用的中心和关键所在,为消除安全隐患,确保通信设备和通信网络的安全可靠,应该建设在一个安全、可靠、稳定的基础环境中。数据中心机房应符合国际标准和相
5、关规范,在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。2.2. 应用系统本次机房建设将包括一下几个子系统:1、机房空调与新风系统;2、电气系统(供配电系统);3、UPS系统;4、建筑装饰系统;5、消防及自动报警系统;6、机房漏水监测系统;7、机房其他配套设备系统2.3. 服务器要求由于此处为校园网,主要功能是实现好学校与外部的上网功能,以及实现学校的资源共享 ,服务器具体功能(安全监控中心、数据中心、存储中心、网管中心),WWW服务,作为信息服务的平台,Email服务,作为信息传递和与外界交流的主要手段。2.4. 网络建设需求实用性和先进性采
6、用先进成熟的技术和设备,尽可能采用先进的技术、设备和材料,以适应高速的数据与需要,使整个系统在一段时期内保证技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。 安全可靠性 为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。 灵活性与可扩展性 计算机机房必须具有良好的灵活性与可扩展性,能够根据机房业务不断深入发展的需要,扩大设备容量
7、和提高用户数量和质量的功能。应具备支持多种网络传输,多种物理接口的能力,提供技术升级设备更新的灵活性。管理性由于机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。所以在机房的设计中,必须建立一套全面、完善的数据中心机房管理和监控系统。所选用的设备应具有智能化、可管理的功能,同时条用先进和管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个机房的运行状况,实时灯光、语音报警,实时事件记录,这样可以迅速确定故障,简化机房管理人员的维护工作,从而为计算机机房的安全、可靠运行提供最有力的保障。2.5. 系统集成要求WindowsXP系统,Windows2003 serve
8、r,linux系统,点播系统(VOD),网络监视系统,报警系统,认证系统,校园系统,局域网管理系统,UPS不间断电源系统,网络管理系统。第三章 综合布线设计3.1. 采用综合布线方案概述综合布线系统是采用模块化插接件,垂直、水平方向的线路一经布置,只需改变接线间中的跳线,改变集线器,增加接线间的接线模块,便可满足用户对这些系统的扩展和移动。综合布线由六个子系统组成,即工作区子系统(Work Area)、水平布线子系统(Horizontal Cabling)、垂直干线子系统(Backbone Cabling)、设备间子系统(Equipment Rooms)、管理子系统(Administratio
9、n)和建筑群接入子系统(Premises Entrance Facilities) 。如图:3.2 工作区子系统设计介绍工作区子系统是由终端设备连接到信息插座的连线和信息插座组成。室内房间的一系列设备包括标准RJ-45插座、网卡、五类双绞线。另外需要统一线缆连接标准,EIA/TIA568A或EIA/TIA568B。 信息点数量(RJ-45插座的数量)应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例如办公室可配置23个信息点,此外还应该考虑该办公区是否需要配置专用信息点用于工作组服务器、网络打印机、传真机和视频会议等。对于宿舍,一个房间配备1个信息点。注意,在进行建筑弱电设计时,要严格
10、执行有关综合布线标准,每个信息点到设备间的图纸距离应在70m内,因此,楼宇中的设备间的选择以位于或者尽可能位于本建筑物的地理中心为宜。如图3.3 水平区子系统设计介绍水平子系统主要是实现信息插座和管理子系统,及中间配线架间的连接。水平子系统指定的拓扑结构为星型拓扑。选择水平子系统的线缆要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。水平组网子系统包括光纤主干线和各个楼层间的组网。室外主干的光纤电缆采用多模光纤,室内采用超五类非屏蔽双绞线。如图3.4 垂直主干线子系统设计介绍垂直主干线子系统提供建筑物主干电缆的路由,实现主配线架与中间配线架、计算机、控制中心与各设备间子系统间的连接。
11、垂直组网在各栋楼中从配线架通过楼道上的桥架连接到设备间。注意,如支持1000Base-TX则必须使用六类双绞线。如图3.5 设备间子系统设计介绍设备间子系统由设备室的电缆、连接器和相关支持硬件组成,把各种公用系统设备互相连接起来。本企业网采用多设备间子系统,包括网络中心机房、办公教学楼、宿舍区、其公共场所设备间子系统。 网络中心机房设备间配线架、交换机安装在标准机柜中,光纤连接到机柜的光纤连接器上。办公教学楼、宿舍区等设备间子系统配备标准机柜,柜中安装光纤连接器、配线架和交换机等,通过水平干线线缆连接到相应网络机柜的配线架上,通过跳线与交换机相连。如图3.6 建筑群子系统设计介绍建筑群子系统主
12、要是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。由连接网络中心和各个设备间子系统的室外电缆组成了园区网建筑群子系统。有线通信线缆中,建筑群子系统多采用62.5/125um多模光纤,起最大传输距离为2km,满足该学院网内的距离需求,并把光纤埋入到地下管道中。如图3.7 综合布线系统的安装与施工指南最低配置:适用于综合布线系统中配置标准较低的场合,用铜芯对绞电缆组网。1)每个工作区有1个信息插座; 2)每个信息插座的配线电缆为1条4对对绞电缆; 3)干线电缆的配置,对计算机网络宜按24个信息插座配2对对绞线,或每一个集线器 (HUB)或集线器群(HUB群)配4对对绞线;对电话至少每个信
13、息插座配1对对绞线。基本配置:适用于综合布线系统中中等配置标准的场合,用铜芯对绞电缆组网。1) 每个工作区有2个或2个以上信息插座; 2) 每个信息插座的配线电缆为1条4对对绞电缆; 3.8 产品选型说明 在布线设施设计中,需要的主要材料如下:1. 多模光纤;2. 五类双绞线,在布线实施时,应该尽可能考虑选用防火标准高的线缆;3. 各种信息插座,RJ-45等;4. 电源;5. 塑料槽板;6. PVC管;7. 供电导线;8. 配线架;第四章 网络拓扑结构设计4.1 拓扑图设计云南XXX学院校园网改造拓扑图4.1.1 设计说明主干是万兆以太网,分别连接网通和电信,这样可以做负载均衡,保证校园网的通
14、畅。核心交换机采用双机热备技术,两个同样的核心交换机,一个做主核心交换机连接个机器使用,一个做备份,只有当主交换机坏了是,备份的交换机会自动启用,提供网络安全保障。SQL服务器采用磁盘阵列,共5个磁盘,两个用来存储数据三个用来备份,这样即使坏了两个数据也不会丢失。汇聚层采用思科4系列交换机,具有处理简单的认证信息和网络管理。外部服务器群放在DMZ区域,当外面的人访问内网,首先同过DMZ区域,在此区域内检测是否有病毒,如果有则处理掉,保证了内网的安全。为了让全校所有的地方都可以上网,本方案还在校园内装无限路由器。4.2 核心层设计 网络核心交换机是连接各区域并保障各区域高速通信的纽带,因此该设备
15、应采用具有大容量、高密度、模块化体系架构的设备,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,从而满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。 针对xxx学院网络的实际情况,我们部署两台模块化核心交换机RG-S8610。RG-S8610高密度多业务IPv6核心路由交换机提供3.2T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps的二层/三层包转发率可为用户提供高密度端口的高速无阻塞数据交换,具有线速转发数据包的能力。每线卡提供200G的交换能力,满足高密度的千兆/万兆
16、端口线速转发,并且支持未来40G/100G接口的扩展。通过XFP接口万兆线卡下连汇聚层交换机构成万兆骨干链路;千兆端口连接管理工作站、无线控制器、IDS入侵检测设备以及服务器区域交换机。 同时,RG-S8610高密度多业务IPv6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高要求。CPP技术,业界领先的硬件CPU保护技术,通过对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流线速,避免异常报文对CPU的攻击和资源消耗,保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。同时,RG-S8610核心路由交换机
17、还提供其他更多的安全防护能力,例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。支持广播报文抑制,有效控制非法广播流量对设备造成冲击。支持IPv6/IPv6、VLAN、MAC和端口等多种组合绑定方式,提高用户接入控制能力。4.2.1 双核心热冗余备份设计 为保障网络具有99.999%的电信级高可靠性,实施时采用双核心、双链路的设计方案。该方式的好处在于,任意一台核心交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来。图 要实现这样的热冗余备份机制,需要在核心交换机上启用VRRP(虚拟热
18、冗余备份协议)和MSTP(多生成树协议)。VRRP协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的IP地址,实现核心设备间的智能热备份;MSTP协议则主要用于避免VLAN内部出现环路,配合VRRP协议实现线路的智能热备份。核心交换机与出口路由器之间启用动态路由协议,实现与VRRP/MSTP的配合切换。 根据部分网络信息点建设要求全千兆到桌面的总体设计思想,考虑到万兆、IPv6的建网理念,根据集团各个分部的厂房和库房网络建设的具体情况,考虑到部分信息点数据流量庞大等因素,在攀枝花、西昌、泸州分部核心区域建议采用锐捷RG-S5750-48GT/4SPF-E全千兆三层多业务IPv6交换机。R
19、G-S5750-48GT/4SPF-E全千兆三层多业务交换机具备48口,可容纳多个接入层设备。最重要的是RG-S5750-48GT/4SPF-E三层交换机还具备两个万兆扩展槽,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块,通过扩展万兆光口实现骨干网络的万兆互联以及部分接入网络的千兆桌面。从RG-S5750-48GT/4SPF-E是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代全千兆带万兆扩展机架式多层交换机。可以提供48个10/100/1000M自适应的千兆电口,还能提供PoE远程供电的接口。4.3 出口设计出口区域的网络主要由路由器VPN网关、防火墙组成,以下介绍以路由器为主。
20、我们建议在总部网络出口处部署一台锐捷RG-NPE50E网络出口引擎,RG-NPE50E固化提供了8个光电复用的GE口,可扩展2个扩展糟,定位于中大型网络出口。RG-NPE50E全新融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;集成了DPI引擎,让网络管理人员轻松应对P2P等应用的流量控制;重构了WEB界面,让其在设备管理维护层面变得简化。RG-NPE50E网络出口引擎采用MIPS多核处理器体系架构,单个处理器内部基于锐捷网络自主知识产权的虚拟多处理器 (vCPU)技术,从而在x-flow框架下构建起一个高性能、高稳定的转发平台。RG-NPE50E网络出口
21、引擎支持的最大并发用户数最多达10000人,4G的DDR II内存,最高达6Mpps的转发能力具有卓越的转发性能。RG-NPE50E网络出口引擎充分利用x-flow技术,实现高速NAT,每秒高达30万条的NAT新建连接会话,最大支持整机200万条并发会话数。64bytes小包转发率可达100Mbps,同时实现出口防火墙功能,在各业务功能全开的情况下,能实现最大3000-10000用户的并发带机量。RG-NPE50E网络出口引擎配有先进的DPI深入分析引擎、行为分析/管理引擎,能够在保证网络出口高效转发的基础上,提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。此外,RG-NP
22、E50E网络出口引擎还提供WEB认证、IPsec/L2TP/SSL VPN、智能DNS、多链路负载均衡等多种功能的支持。同时可根据网络使用分部情况,RG-NPE50E网络出口引擎提供专业的流量限速策略,用户可根据不同时段指定,分时段限速策略。同时RG-NPE50E的多出口负载均衡,可综合利用不同运营商、不同自费的线路,提升网络带宽的同时,降低线路资费。4.4 防火墙根据学院对网络安全的统一规划,需要在网络出口处均部署防火墙产品进行网络安全防护,建议采用RG-WALL 1600E防火墙用在内外网间链路上作防护,从而实现对外部的攻击防御,保护内部网络的安全性。RG-WALL 1600E防火墙是面向
23、大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL 1600E可支持数十个GE接口,可以广泛应用于企业、教育、政府、医疗等行业的千兆网络环境。配合锐捷网络交换机、路由器产品,可以为用户提供完整的端到端解决方案,是大型网络出口和不同策略区域之间安全互联的理想选择。RG-WALL 1600E基于锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响。RG-WALL 1600E采用独立的安全协议栈,可以自由处理通过协议栈的网络数据,基于网络行为检测多流关联分析技术,支持对网络数据深度状态检测。同时还采用快速流检测引擎,对网络报文处理进行了革命
24、性的改造和优化;内置专用的硬件VPN模块,支持SSL、IPsec、PPTP、L2TP VPN等多种VPN业务模式。在消除通用操作系统漏洞的前提下,完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSec VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。4.5 主要设备选型设备类型设备型号设备说明交换机RG-86103.2T背板带宽、10个(2个用于管理引擎)模块插槽、包转发速率:L2:1190Mpps/L3:1190Mpps、交换容量:1.6TRG-S8606网管功能:SNMP v1/v2/v3、Telnet、Console、WEB、R
25、MON、SSHv1/v2背板带宽:1638Gbps 包转发率:L2: 595MppsL3: 595MppsRG-S5750-24 GT/8SFP-E24口10/100/1000M自适应端口(支持远程PoE供电),8个SFP光电复用口,2个扩展槽、模块化电源、2个电源插槽、包转发速率:96Mpps,交换容量:360GbpsRG-2352G背板带宽19.2G 包转发率13.2Mpps 接口数目52口 路由器RG-NPE50EMIPS多核处理器、内存:4G、flash:512M、8GE光电复用接口、包转发速率6Mpps、NAT并发会话数:整机200万。防火墙RG-WALL1600E支持数十个GE接口
26、、独创的分类算法、RG-SecOS、支持对网络数据深度状态检测、快速流检测引擎入侵检测RG-IDS2000全面检测、分布式结构、高可靠、高性能、低误报率服务器IBM服务器X3850M2标配四个Intel 四核Xeon E7420处理器(2.13GHz, 8M L3缓存),可扩至四路处理器,标配8GB DDR2内存,0GB SAS硬盘,最大可扩充至256GB,标配1块内存板,标配2个热插拔电源,4U机架式,配置2个146GB 10K 2.5” SAS Hot-Swap HDDIBM服务器X3650M22U机架式服务器。配置一颗四核英特尔至强处理器5504 2.0GHz(4MB三级缓存,最高支持8
27、00MHz内存频率,4.8 GT/s QPI,支持超线程、TurboBoost功能), 可扩展至2个处理器。2x2GB DDR3 RDIMM内存,高达16个内存插槽(每处理器配置8个内存插槽)。4个PCI-Express二代插槽;4个x8插槽通过可选的扩展卡可转换为2个x16插槽;通过可选的扩展卡支持PCI-X。配置4个146GB热插拔SAS硬盘,共计12个2.5英寸热插拔硬盘托架。集成双千兆以太网。三年免费保修和服务。第五章 VLAN与IP规划5.1 VLAN与IP技术介绍(1) VLAN技术即虚拟子网技术起始于1994/1995年的LAN交换技术,VLAN就是一个广播域,是由跨越物理LAN
28、网段的多台终端机组成的相互可以通信的逻辑网段。划分VLAN可以基于端口、MAC地址、第三层的IP、多址广播及混合技术。(2) VLAN的划分可以提供更多的服务网络管理及性能的提高。(3) VLAN可以减少移动及改变的花费;(4) VLAN建立的虚拟工作组可以提供方便管理的可能;(5) 一种资源可以属于不同的VLAN,减少对广播的路由,防止局域的网络风暴的产生;(6) 更高的安全性,可以在局域只能够建立安全屏障,分割安全等级;(7) 高性能,低延迟,提供比路由器高得多的速率,却有更低的价格;5.1.1 VLAN与IP划分方案部门VLAN名VLAN号VLAN IPIP网段可用范围财务部CWB101
29、92.168.10.1192.168.10.0/24192.168.10.2 254/24学工部XGB20192.168.20.1192.168.20.0/24192.168.20.2254/24行政部XZB30192.168.30.1192.168.30.0/24192.168.30.2254/24教务处JWC40192.168.40.1192.168.40.0/24192.168.40.2254/24图书馆TSG50192.168.50.1192.168.50.0/24192.168.50.2254/24内部服务器区NBFWQ60192.168.60.1192.168.60.0/24192
30、.168.60.2254/24外部服务器区WBFWQ70192.168.70.1192.168.70.0/24192.168.70.2254/24管理GL80192.168.80.1192.168.80.0/24192.168.80.2254/24学生区192.168.90.0/24192.168.150.0/24教工区192.168.160.0/24192.168.170.0/24教学区192.168.180.0/24192.168.190.0/24第六章 网络管理与安全方案6.1 网络管理方案 配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。其最终目标是实现软件产品的完整性、
31、一致性、可控性,使产品极大程度地与用户需求相吻合。它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的管理功能。性能管理是对电信设备的性能和网络单元的有效性进行评估,并提出评价报告的一组功能。包括性能测试,性能分析及性能控制。性能管理(Performance Management)性能管理指的是优化网络以及联网的应用系统性能的活动,包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全面的故障排除、基于事实的容量规划和有效地分配网络资源。安全管理:安装系统补丁程序(Patch) ;采用最新版本的服务方软件;设置系统日志;定期检查系统安全性;6.2 网络安全方案 6
32、.2.1 GSN今天的网络安全正遭受严峻挑战。病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出,还会处处被动挨打。可以断言:面对复杂的安全隐患,这种“各自为战”的安全系统已彻底失去效力。今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。业界领先的网络设备及解决方案供应商锐捷
33、网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不仅能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。GSN,即 Global Security Network,中文名称“全局安全网络”。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中,达到对网络安全威胁的自动防
34、御,网络受损系统的自动修复,同时针对网络环境的变化和新的网络行为进行学习,达到对未知安全事件的防范。GSN方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSN由三个层面组成;(1) 后台服务层面:身份认证系统身份认证系统能够提供严格的用户接入控制,通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网,提供入网控制功能,同时,认证系统还可以实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定,保证用户入网身份
35、唯一。安全管理平台安全管理平台是安全防御体系的管理与控制中心,是统一安全管理平台的核心组成部分。通过安全管理平台,可以对系统内的安全设备与系统安全策略进行管理,实现全系统安全策略的统一配置、分发和管理,并能有效的配置和管理全局安全设备,从而实现全局安全设备的集中管理,起到安全网管的作用。通过统一的技术方法,将系统所有的安全日志、安全事件集中收集管理,实现集中的日志分析、审计与报告。同时通过集中的分析审计,发现潜在的攻击征兆和安全发展趋势,确保安全事件、事故得到及时的响应和处理。安全修复系统安全修复系统的作用是跟踪安全漏洞的变化,能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。
36、针对不同的安全策略,点到面自动强制分发部署补丁程序。(2) 网络层面:安全联动设备安全联动设备是校园网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口,同交换机、路由器、防火墙、IDS等各类网络设备实现安全联动。(3) 用户层面:安全客户端安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息,包括对防病毒软件信息的收集。同时安全客户端可以评估操作系统的版本、补丁程度等信息,并且把这些信息传递到安全管理平台,没有进行适当升级的主机将被隔离到网络修复区域,从而保障网络的安全运行。
37、与传统的解决方案不同,安全客户端通过对用户终端设备信息的搜集,可预先识别和防止用户对网络的恶意行为,排除潜在的已知和未知的安全风险。GSN的优势:(1)提供统一、严格的用户入网身份验证机制GSN提供了统一的身份管理模式,对接入内网的用户进行身份合法性验证没有合法身份的用户被隔离在内网之外,无法登录访问网络。图(2)支持对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口六元素进行灵活绑定(3)灵活的用户访问权限管理不同部门和组织的用户往往需要约束不同的访问控制权限财务部门的数据服务器不允许其它部门访问访客用户不能访问所有内网资源,但允许访问外网及内网的DNSGSN提供了灵活的访问权限控
38、制功能充分满足用户权限控制的多样化需求(4)GSN端点防护体系,检验终端无漏洞、病毒、木马后方能进入网络(5)与杀毒软件、IDS等联动通过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。 6.2.2 需求 1、物理上安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。 2、访问控制需求 防范非法用户非法访问非法用户的非法访问也
39、就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻出击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听,得到用户名及口令或者通过猜测用户及口令,这都将不是难事,而且可以说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只在合法用户才能访问合法资源。 防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是可以对外开放,而有些信息是要求保密或具有
40、一定的隐私性。外部用户被允许正常访问的一定的信息,但他同时通过一些手段越权访问了别人不允许他访问的信息,因此而造成他人的信息泄密。所以,还得加密访问控制的机制,对服务及访问仅限过行严格控制。 防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必需从访问控制上做到防止假冒而过行的非法访问。 3、 加密机需求加密传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完
41、整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上传的数据以密文传输,因为数据是密文。所以,即使,在传输过程中被截获,入侵者也读不懂,而且加密机还能通过先进行技术手段,对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此,必需配备加密设备对数据进行传输加密。 4、入侵检测系统需求也许有人认为,网络配了防火墙就安全了,就可以高枕无忧了。其实,这是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻
42、击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。 5、安全风险评估系统需求网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞,然后通过发现的安全漏洞,采取相就技术进行攻击,因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。 6、防病毒系统需求针对防病毒危害性极大并且传播极为迅速,必须配备从客户端到网关的
43、整套防病毒软件,实现全网的病毒安全防护。6.2.3 安全管理体制健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制,并利用法律手段来实现。6.2.4 构建CA系统由于网络系统必须采用加密措施。而加密系统通常都通过加密密钥来实现,而密钥的分发及管理的可靠性却存在安全问题,构建CA系统就是在这个基础上提出的。通过信任的第三方来确保通信双方互相交换信息。6.2.5 安全目标基于以上的需求分析,我们认为网络系统可以实现以下安全目标: 保护网络系统的可用性 保护网络系统服务的连续性 防范网络资源的非法访问及非授权访问防范入侵者的恶意攻击与破坏保护校园信息通过网上传输过程中
44、的机密性、完整性防范病毒的侵害实现网络的安全管理。6.2.6 网络安全实现策略及产品选型原则网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品?在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品必须符合国家有关安全管理部门的政策要求;二是安全产品的功能与性能要求。1、满足国家管理部门的政策性方面要求针对相关的安全产品必须查看其是否得到相应的许可证,如: 密码产品满足国家密码管理委员会的要求。 安全产品获得国家公安部颁发的销售许可证。 安全产品获得中国信息安全产品测评认证中心的测评认证。 安全产品获得总参谋部颁发的国防
45、通信网设备器材进网许可证。符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。2、安全产品的选型原则从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性,并且对安全产品,还必须考查其产品自身的安全性。6.2.7 网络安全方案设计原则在进行网络系统安全方案设计、规划时,应遵循以下原则:1、需求、风险、代价平衡分析的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。2、综合性、整体性原则应运用系统工程的观点、
46、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。3、一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。4、易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。5、适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修
