《涉密网络建设的方案设计的.docx》由会员分享,可在线阅读,更多相关《涉密网络建设的方案设计的.docx(84页珍藏版)》请在三一办公上搜索。
1、秘级:中国航空工业标准件制造某某公司涉密网设计方案公司年月1 .系统概述32 .设计目标与原如此52. 1设计目标53. 2.设计原如此64. 3.设计依据73 .系统现状分析81. 1.网络状况分析8错误!未定义书签。错误I未定义书签。错误!未定义书签。3. 2.网络应用分析84. 3.系统现有设备95. 4.系统平安现状104 .涉密网设计101. 1.综合布线设计10错误!未定义书签。错误I未定义书签。4. 2.网络设计135. 3.网络可靠性设计156. 4.网络平安措施167. 5.效劳器与备份系统部署208. 6.防病毒系统部署229. 7.防雷接地2310. .机房装修2511.
2、 .门禁系统265 .工程组织266 .系统风险分析271. 1.分析的方法和流程276. 2.效劳器群边界风险分析286. 3.网络与上级边界风险分析287. 4.各级客户端风险分析288. 5.网络层次风险分析29错误!未定义书签。错误I未定义书签。错误I未定义书签。错误I未定义书签。错误I未定义书签。错误I未定义书签。9. 6.现存风险分析结果汇总327.平安总体设计337.1. 总体分析337.2. 平安模型设计347. 3.平安策略设计347. 4.平安需求列表3410. 5.需某某现技术措施358 .平安设计与实施358.1. 总体部署358.2. 2.远程网络平安部署368.3.
3、 访问控制系统部署368.4. 入侵检测系统部署378.5. 网络平安审计系统部署378.6. 终端防护38错误!未定义书签。错误!未定义书签。8.7. 7.设备联动408.8. 机房屏蔽409 .平安某某管理设计419.1. 涉密信息系统平安组织管理41错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。9.2. 2.平安管理机构42错误!未定义书签。错误I未定义书签。错误I未定义书签。9.3. 3.平安人员管理43错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误I未定义书签。错误I未定义书签。9.4. 技术平安管理44错误!未定义书签。错误!
4、未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误!未定义书签。错误I未定义书签。错误!未定义书签。9.5. 平安管理小结5310 .风险解决情况5311 .数据加密5412 .平安某某设备选型541. .1.选型原如此5412. 2.选型依据5413 .系统预算541. .1.总预算5413. 2.产品清单5414 .完毕语5815 .附录一:公司资质5816 .附录二:产品资料5816.1. 应用效劳器曙光5816.2. KVM切换器ATEN4口6116.3. 3.核心交换机华为LS-65036216.4.楼层交换机6516.5路由器6816.6网络管理软件7016.7
5、UPS电源科士达7216.8.门禁系统7316.9.网络平安产品74错误!未定义书签。错误I未定义书签。错误I未定义书签。错误I未定义书签。16.附录三:产品资质841.系统概述1系统名称中国航空工业标准件制造某某公司涉密网;2系统密级本系统用于处理级以下级别的涉密信息:(3)用途用于传输、存储中国航空工业标准件制造某某公司的涉密信息;中国航空工业标准件制造某某公司是我国航空工业唯一的整机、全系列标准件、高强度紧固件与小零件的专业化科研生产基地。公司组建于1993年12月,由始建于二十世纪六十年代中期的原安湖机械厂和庆文机械厂合并异地搬迁而成。在某某省某某市白云区白云经济技术开发区内拥有14万
6、平方米的生产经营场地,在职职工1400余人,其中科研、管理人员289人(其中:中高级职称187人),现拥有固定资产21117万元,资产总值35740万元,拥有各类主要生产检测设备800余台套,其中从美、德、法、日、瑞典、瑞士等国家引进的先进设备占固定资产总值的60%以上。公司相继通过了IS090002000版和QS9000/VDA6.1质量体系认证,并通过了德国群众、某某群众、一汽群众、五羊本田、上汽通用五菱等汽车、摩托车行业的质量检查与评审。在全系列、大批量生产经营航空、航天标准件的同时,亦大量生产汽车、摩托车、工程机械高强度紧固件、齿轮齿条式汽车转向器,集科研、生产、检测为一体。多年来,为
7、飞机、航空发动机、火箭、民用航空与汽车、摩托车、工程机械、纺织机械、化工、制冷压缩机与各类柴、汽油发动机等行业(专业)的开展做出了卓越的奉献。公司航空标准件的制造技术、加工设备居国内领先地位,特别是关键技术、关键检测、关键加工设备已经接近或到达了国际同行业的先进水平。随着信息化在中国航空工业标准件制造某某公司的不断深入,信息化平安的问题也日益突出,特别是涉密信息的管理成为急需解决的问题,因此,中国航空工业标准件制造某某公司提出建立一个计算机涉密信息系统的设想,由于中国航空工业标准件制造某某公司是重要涉密单位,因此其信息化建设必须符合国家某某局和相关部门的要求。4系统总体方案于TCP/IP网络本
8、身的开放性质,随着网络建设与网络应用的开展,在信息网络技术带来了更高工作效率的同时,也带来了信息平安方面的问题。在网络中,各种可能的攻击问题也日益严重,网络系统的平安,对信息系统建设乃至正常工作业务的开展,造成了潜在的威胁。与其信息系统和网络所面临的平安威胁与日俱增,来源也日益广泛,包括计算机攻击、窃取资料、恶意诋毁破坏等行为。危害的来源多种多样,如计算机病毒、计算机黑客行为、拒绝效劳攻击等等,行为呈蔓延之势遍、用意更加险恶,而且更加复杂。网络应用飞速开展的今天,信息平安问题对于任何单位来说,其重要性不言而喻。由于涉密网的特殊性质,使得对网络平安性需求也就更为迫切。涉密网的平安建设,应根据网络
9、具体状况,以最大限度保障网络的核心价值,保证系统的平安稳定运行为目的,定位于有效保障效劳器的平安,并保障内部网络的受控平安运行。我公司根据中国航空工业标准件制造某某公司具体情况,经过反复论证、结合当前技术特性,特提出此网络建设实施方案。根据涉密网的实际情况,本方案从以下几个方面的技术来满足涉密网的需求:计算机网络设计B计算机网络与效劳器C机房装修D防雷接地E系统软件与应用系统网络平安设计1) A、物理平安2) B、运行平安3) C、信息平安某某4) D、平安某某管理5开展目标建成平安、高性能、高可靠性的涉密信息计算机局域网,和上级单位的涉密信息计算机局域网实现连接,传送涉密信息。6设计和实施单
10、位情况某某宏志科技开发某某公司是长期从事计算机网络集成的专业公司,获得国家某某局涉密信息系统集成资质、信息产业部计算机信息系统集成三级资质,具有该工程的设计和施工该工程的能力。2.设计目标与原如此2.1 设计目标系统的平安某某建设是中国航空工业标准件制造某某公司涉密网建设的主要内容和关键措施之一,它的实施必须以信息化开展的现有条件为依据,并在充分整合现有网络资源、信息资源和应用资源的根底上加以进一步完善和提高。根据国家关于涉密计算机网络系统平安某某建设的有关规定,涉密网平安某某方案设计和建设必须首先确保:1 .涉密网的网络与外网(Eterner)网络系统严格的物理隔离。2 .涉密网处理级以下信
11、息。3 .本系统平安稳定运行。4 .采取平安某某技术和管理结合,两手都要硬的整体平安某某措施。5 .系统定期平安评估,与时完成涉密系统技术和设备的升级换代。6 .不断加强和完善信息平安某某管理。涉密网平安某某方案的设计和建设将严格依据中华人民某某指南文件、国家有关计算机办公系统平安某某的规定和标准,并参照国家某某局与国防科技工业办公室相关文件的方案纲要的指导精神进展。2.2 .设计原如此根据国家相关平安某某建设法律法规和相关标准,在保证实现系统平安设计目标的情况下,针对涉密网的特点提出了自己的设计原如此。1平安性平安性是首要问题,该网络是专用涉密信息网络,决定了该网络的运行将承担更高要求的平安
12、风险。网络平安和网络易访问是一对矛盾,因此要掌握好网络平安控制度的问题,不能顾此失彼。平安一方面要确保合法用户执行被授权任务、获取信息、防止外界的恶意攻击,另一方面还包括控制和防止错误结果和设备故障。1先进性在不脱离实际的前提下,选用先进、成熟的网络设备和组网技术,实现网络的高吞吐量,使系统在较长时期内保持一定的先进性;计算机网络技术的开展非常迅速,在计算机应用领域占有越来越重要的地位。必须认识到,建立计算机网络是一个动态的过程。在这个过程中将不断有新技术产生,有新产品出现。因此,网络一定要采用最先进的组网技术,选用当前主流计算机网络产品,才能在未来技术的开展中保持技术领先。1 标准化与开放性
13、采用的设备和技术要规X化、标准化,各种技术指标要符合国家标准。现代计算机网络技术开展的趋势是遵循国际统一标准的开放系统,支持分布式计算和客户机/效劳器应用模式。网络应该是一个能够互联不同厂商的效劳器/计算机,运行多种操作系统、网络协议,遵守国家标准的开放式系统。这样,才能在将来的开展中保持网络配置和应用模式的灵活性,在行政条件与资金许可的情况下,为下一步区县级纪检、监察涉密网的连接提供网络接口。1充足的、可扩展的带宽随着应用软件复杂程度的增加,网络用户数量的增长以与多媒体技术的普与,对网络带宽的需求日益增加。网络系统应该能够为每个用户提供充足的带宽,满足用户的实际应用需求,并且带宽应该是可调整
14、、可扩展的。1规模可扩展性与灵活性在保证今后业务开展时,网络系统必须可灵活扩展,并且又能保证用户当前的投资;随着应用业务不断扩大,技术也会不断的更新,计算机应用水平也会越来越高。要适应这种变化,网络在配置上就必须具有可扩大性。系统网络往往是一个X围很广、结点很多的大系统。设计的灵活性可使网络管理人员能够方便的增加、减少或变动各种结点,或是方便各种逻楫网段和物理网段的划分。1可靠性保证网络系统具备很高的平安性和可靠性,确保单点故障不会使局部网络失去与整个网络的连接,多点故障不会造成整个网络被分成几个互不相连的局部。在网络系统中网络的可靠性是衡量网络成功的一个重要指标。计算机系统必须绝对可靠,网络
15、设计必须对可靠性作重点考虑。从结构的设计、设备的选型以与网络管理上都要对网络的可靠性作出保证。平安性与可靠性同样重要,除了系统要提供多种平安控制的外,网络设计上也要提供保障其平安的。1实用性从目前的网络应用实际出发,根据具体情况确定网络结构和配置,以满足目前业务与将来开展的需要;网络设计一定要充分保护和利用现有的资源,同时要根据实际情况,采用新技术和新设备,还要考虑组网过程要与平台建立与开发同步进展,建立一个实用的网络。力求使网络既能满足目前需要,又能适应将来开展,同时到达较好的性/价比。2 .3.设计依据平安某某网络的设计,必须以国家涉密计算机系统平安某某技术要求为设计根本,严格遵守国家相关
16、法律法规与平安某某规X。本方案设计过程中,严格遵循以下各类标准与文件:1国家某某局中保办发19986号涉与国家的通信、办公自动化和计算机系统审批暂行方法;2中华人民某某指南涉与国家的计算机信息系统平安某某方案设计指南(BMZ2-2001);3中华人民某某指南涉与国家的计算机信息系统某某技术要求(BMZ1-2000);4国家某某标准BMB31999处理涉密信息的电磁屏蔽室的技术要求和测试方法(BMB3一1999);5国家某某标准电磁干扰器技术要求和测试方法(BMB42000);6国家某某标准涉密信息设备使用现场的电磁泄漏发射防护要求(BMB52000);7国家某某局涉与国家的计算机信息系统集成资
17、质管理方法(试行)(国保发20017号文);3 .系统现状分析网络的平安某某建设与具体的网络系统是严密联系的,平安某某必须从系统整体把握,从网络系统的具体情况出发,根据网络结构与应用需求,有的放矢,把握系统平安隐患,采取相应措施来满足网络的平安某某建设要求。为此,首先要明确中国航空工业标准件制造某某公司的网络系统现状。3.1. 网络状况分析将来建成的涉密网是中国航空工业标准件制造某某公司单独的一套网络,独立于Internet、网络物理隔离,是本平安方案设计防护的对象。涉密网有50信息点接入网络、分布在其办公楼的三个楼层与厂区内的厂房之中。涉密网通过租用电信的线路接入金航网。中国航空工业标准件制
18、造某某公司在涉密网之外,另有一套网络用于内部办公,该网络与涉密网使用同一台核心交换机与网络平安产品,并采用VPN技术进展将办公内网与涉密网进展逻辑隔离。为了保证信息交互,中国航空工业标准件制造某某公司建立了另一套单独的外网系统。外网通过电信网络与Internet联接,与中国航空工业标准件制造某某公司涉密网和办公内网物理隔离,外网不在本方案设计X围内。3. 2.网络应用分析目前,中国航空工业标准件制造某某公司已经建立了一定程度的信息系统应用,将来的主要应用分为以下几类:1 内部Web系统2业务数据库系统3内部电子系统4办公自动化系统0A5业务处理系统3. 3.系统现有设备系统信息资产分析的最终目
19、标是对信息资产进展适当的保护。确定资产的责任帮助确保能够提供适当的保护。应确定所有主要资产的所有者,并分配维护该资产的责任。在此过程中,可以委托负责实施控制措施的责任。资产的责任由资产的指定所有责负责。物质资产主要指计算机设备处理器、监视器、膝上型电脑、调制解调器、通讯设备路由器、PBX、机、应答机、磁介质磁带和磁盘、其它技术设备电源、空调器、家具、机房等,列表如下:序号物品数量作用责任人1.办公计算机44台职工工作使用使用者2.打印机43台针式、喷墨、激光打印机使用者3.扫描仪8台使用者5 .中国航空工业标准件制造某某公司与信息系统相关的各类资产中,最具价值的为信息资产,主要表现为各个应用系
20、统的数据库内容。一旦发生丧失或被黑客窃取,将带来巨大的损失。6 .效劳器,作为物质资产的一种,是信息资产的载体,如果此载体发生损坏,而数据在没有备份的情况下,也会对信息资产造成破坏7 .网络设备,如交换机、路由器,一旦发生损坏,将对整个网络的正常运行造成损坏。8 .软件资产系统软件,如果发生损坏,虽然重装不一定会带来直接经济损失,但对业务停顿造成的影响,会非常大,甚至在损坏时直接影响数据库,造成信息资产的损坏。其次,如果软件资产本身存在隐患,将对寄托于软件平台的信息资产的存在平安和访问平安造成威胁。9 .机房,即场地,作为物质资产的一环,它承载了效劳器、交换机、路由器等多类关键设备,如果发生水
21、灾、火灾等灾难,将是席卷一切的灾难。3.4. 系统平安现状中国航空工业标准件制造某某公司涉密网的平安建设是一个比较薄弱的环节,在网络内部目前没有任何平安措施进展防护,对于当前网络中的各种高技术的攻击,内部的不法分子与黑客很容易进展不法活动。4.涉密网设计4.1. 综合布线设计本次厂区主干通讯线路子系统的建设涉与到7栋建筑物,分别是:一号、二号、三号、四号、十七号、六号、六-A号,其中涉密网的中心机房设在一号楼的三层,从中心机房主配线柜引多模四芯光纤至各厂房分配线柜,光纤的四芯中其中两芯用于涉密网与办公内网接入,另外两芯用于接入外网Internet。光纤采用国产室外多模四芯产品,用钢缆将其架设在
22、厂区的电线杆之上。建筑物内的综合布线系统主要以一号办公楼的信息点数量比较多,因此,重点做该建筑物内的设计。考虑到该布线系统是整个网络的核心,因此在设计上应该采用先进的产品和技术,以保证系统将来的扩展。由于办公楼内的信息点比较集中、楼层数量少,因此采用集中式布线方案。在产品的选型方面,根据用户对布线网络运行的要求,选用法国一阿尔卡特公司耐克森的超五类屏蔽布线产品。1、信息插座对于标准办公区信息插座是采用EIATIA568A标准的RJ45信息插座,即可接1台计算机;均布于墙面,根据房间的结构或内装修方案,确定信息插座的位置采用墙面出口。这里我们主要使用耐克森NEXANS(AICateI公司提供所有
23、超五类信息出口插座,且所有模块均为超五类屏蔽模块。其具有以下特点: 无印刷电路板,无焊接点,性能稳定 无需打线工具,安装简便,可反复安装10次 超5类的性能,性价比高考虑到信息出口的美观和一致性,以与未来信息点扩大问题,将所有信息出口都设计为双口86国标面板。水平系统的终端,包括用于连接主干与水平系统的跳线架和用于本地的网络设备。2、配线机柜在主机房设有配线机柜19英寸40U,以安装配线架和网络设备等,对各层信息点提供灵活、平安、整洁的管理场所。3、施工方案(1)水平线路此水平布线设计从信息点引至配线间。每个信息插座对应一根UTP超五类线,用于数据。水平线走线:吊顶走线向下引线到信息插座;走廊
24、或房间的吊顶上安装塑料线槽;房间内,水平线缆从吊顶线管引出、线槽安装沿墙壁而下,到各信息插座,见上图。2室内施工对于本工程,信息出口安装方式如下:大楼内有四壁的小房间办公室,信息插座只需要安装于墙上,采用墙面明装,信息出口可设在三线单相电源插座的旁边20Crn处;信息插座和电源插座的低边距地面30cm。见如下列图如果有大开间办公环境,而办公区是由隔板划分的,信息出口可以安装在办公隔板上,同样在信息插座旁20Cm处可设一个三线单相电源插座。见如下列图水平布线设计和安装要求:考虑到信息时代技术的飞速开展,建议一次布线到位,水平线全部采用超五类双线线UTP,用于传输数据信号,其数据传输速率可在100
25、米X国内到达100Mbps;由于水平线全部采用一样的超五类双绞线,信息出口可以灵活地更换设备而不受传输介质的影响。抗干扰综合布线系统所传输的信号绝大多数是弱电信号,因此存在强电对弱电干扰的问题。计算机网络对强电信号的干扰特别敏感,所以这是施工中应注意的施工工艺。ElA/TIA568A对综合布线系统与强电系统的隔离作了特别的规定,施工将按此规定进展。强电类型综合布线系统与强电系统的隔离距离平行走线垂直相交低电压AC42.4V无要求无要求DC60V低压AC1OOOVDC1OOOVDC1500V1.单芯强电线,2.至少45Omm3.多芯强电线,4.至少30OmrTl单芯强电线,至少45Omm多芯强电
26、线,至少30Omm4施工工艺A、弱电综合布线管路方案一:金属桥架采用走吊顶的轻型装配式槽形电缆桥架的方案,这种方式适用于大型建筑物,为水平系统提供机械保护和支持。装配式槽型电缆桥架是一种闭合式的金属托架,安装在吊顶内,从弱电竖井引向设有信息点的各展区,再由预埋在墙内不同的金属管,引至墙内或竖头的暗装铁盒内。另外,对地面预埋的信息点,在从弱电竖井引向设有信息的各展区后通过垂直桥架引向地面线槽,并由地面线槽引向展项的地埋铁盒内。结构化布线是幅射型的,线缆量较多,所以线槽容量的计算十分重要。按照标准的线槽设计方法,应据水平缆径来确定线槽的容量:线槽的横截面积X40%2水平线缆截面积和线槽材料多为冷轧
27、合金板外表可进展相应处理。如镀锌,喷塑等。线槽根据情况选用不同的规格。为保证线缆的弯曲半径,线槽须配以相应规格的分支辅件。为确保线路的平安,应使槽体有良好的接地端,金属软管、电缆桥架与各种配线箱均需要整体连接后良好接地。接地的方式视建筑物结构,以采用网状或星状接地形式。方案二:PVC槽板采用走吊顶的PVC槽板的方案,PVC槽板是一种闭合式的PVC托架,安装在吊顶内,从弱电竖井引向设有信息点的各展区,再由预埋在墙内不同的PVC管,引至墙内的明装盒内,该方案的特点是投资小、安装方便。B、管线敷设方式、要求与抗干扰措施电缆敷设应符合如下要求:电缆的弯曲半径应大于电缆直径15倍;电源线宜于信号线、控制
28、线分开敷设;尽量防止电缆的接续,做到一线到位。敷设管道电缆应符合如下要求:预先清涮管孔;管内预设一根镀铁丝;穿放电缆时宜涂抹黄油或滑石粉。管口放设护圈:管道连接用束节或接线盒,但要用电焊连接:管道弯头不用直角弯,要用月弯;穿时不应损伤线缆护套。管线敷设应尽可能地远强电等干扰源。4.2.网络设计本工程中涉与到的硬件主要是效劳器和网络产品,其中网络产品决定采用目前华为3的产品,华为的数据通讯产品目前全球市场占有率与思科已经非常接近,这说明其产品的性能已经非常优秀;同时考虑到华为在本地有售后效劳机构,可以提供快捷、高效的效劳;曙光效劳器作为国内最优秀的效劳器产品在企业行业得到广泛的应用,其高性能价格
29、比是我们选择的重要原因。核心网络:采用华为S6503高端多业务交换机构建电信级高可靠、高性能、高平安且具备强大扩展能力的数据中心,在该交换机上安装交换路由引擎一块,实现路由,安装冗余电源一个,安装10/100/100OM光纤模块四块,满足四个厂区内厂房的楼层交换机的接入需要,安装48口IOTOoToooM电口模块,满足一号办公楼的各部门的信息点的接入,该建筑物不在另配接入交换机。采用华为RT2631路由器通过租用电信的通讯线路与上级的网络联接。RT263I 路由器 f机 必NlOM3防火墙UlS3928TP交换机S392K交换机J打印机W打印机十七号楼六号楼S592STP交换机W打印机三号楼防
30、病毒系8身份认证系统应用服务器,3久换gS3928TP交换机SI928TPN换机入段检利数据库服务器数据库安仝中 计系统管理机卷 打印机UlW打卬机双绞线二号楼一号楼光纤接入层:采用华为3的S3116C作为各建筑物的楼层交换机,安装IoOOM光纤模块与核心交换机进展连接,实现千兆主干传输,100M到桌面。通过华为SNMPC+QuidView网络管理系统实现整网的拓扑和设备管理,还可以采用CAMS软件实现对用户的平安管理。方案特点:1网络结构清晰,带宽配置合理整个网络结构清晰、层次清楚,便于维护管理、扩展和使用,符合企业局域网的流量工程模型,并且不会造成浪费。2平安可靠通过交换机的全面平安联动构
31、建全方位的平安体系架构。3管理方便整个系统可以使用华为公司的网管系统SNMPC和QUidVieW进展统一管理,并且以后整个网络增大,还可以采用分级网管进展分级别的管理。可以监控系统状态和告警,并可以远程配置数据,做到对整个网络设备的运行情况了如指掌。4方便扩展由于华为公司网络设备的系列性与良好的扩大性,整个网络满足最近3-5年的应用,并且具有良好的扩展性,以后需要增加带宽,只需要增加相应的模块即可,保护投资,节省本钱。4. 3.网络可靠性设计中国航空工业标准件制造某某公司涉密网的平安运行,对信息网网络的可靠性提出了很高的要求。可以说一旦网络/效劳器等中断,将会使整个网络陷于瘫痪,引起严重的后果
32、。因此在中国航空工业标准件制造某某公司涉密网网络实施中必须对网络的可靠性进展详尽的考虑和设计。网络系统的可靠性由两个大局部组成,即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由效劳器、存储设备、应用程序、数据库等的可靠性构成,在其它系统建议中说明;承载网络的可靠性如此包括网络拓扑组网结构的可靠性与组网设备可靠性。(1)组网结构可靠性设计网络组网结构的可靠性:1)中国航空工业标准件制造某某公司涉密网网络的互联是星型拓扑结构,核心层实现了关键部件冗余,具备99.999%的电信级高可靠性。2)在故障出现的时候,通过热补丁等机制,保证网络数据自动迂回切换到备用部件上,保证通信的正常进展。2
33、设备可靠性设计线路的备份主要解决了网络互通路径的问题,而节点设备的可靠如此解决网络的有效运转。要保证网络系统的可靠性,必须要选用具备电信级可靠性的网络设备进展组网,才能使网络具有自动恢复能力、降低人工维护工作,到达准电信的可靠运行。设备的高可靠性从硬件、软件、保护机制等几个方面表现:1、采用分布式体系结构:分布式体系结构是提高可靠性的根底,与集中式体系设备相比较,分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外,更为关键的是将管理、路由、接口处理等功能分配在不同的部件上,协同工作,分布式体系可以分散故障风险、隔离故障、提供冗余配置,提高系统的自动恢复能力;如管理部件故障,只需要更
34、换这局部板件,不影响其他功能。2、关键部件冗余:采用分布式体系下,对设备的关键部件,如主控管理单元、交换单元等,进展冗余构造配置,保证系统在工作中不会全部失效。3、实时热备份机制:在系统软件与硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。4、热插拔特性:设备任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的7X24小时不连续运行。5、冗余电源支持:冗余电源负载分担与备份供电可保障系统具有可靠的能量源。6、散热系统:散热系统使设备长时间运行而不至因为
35、系统升温过高出现故障,冗余风扇等散热装置可以增加设备的运行时间与减少故障发生。4.4. 网络平安措施1、承载网网络平安概述网络平安成为目前必须面对的一个实际问题。网络上存在着各种类型的攻击方式,包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝效劳攻击应用层攻击等。另外,网络本身的可靠性与线路平安也是值得关注的问题。2、承载网网络平安措施组网结构上,广域网链路设计都采用备份方式,使得任意一条链路、或者任意一点设备出现故障时,可以通过另外一条连接提供效劳,而不会导致效劳暂停。充分保证了网络的可靠性。整个网络运行动态路由OSPF协议,通过动态路由实现网络层次的自动备份。在广域网路由器选用上充分
36、考虑了设备的可靠平安性,核心设备均采用双主控、双电源、双交换网实现冗余备份,故障时能够自动倒换,并支持热插拔和更换。倒换时不影响。同时支持VRRPVirtuaIRouterRedundancyProtocol,虚拟路由器冗余协议,以实现双机热备份。同时设备通过完善的QoS功能能够严格的控制网络流量,提高网络效率,在局域网通过VLAN划分来隔离网络传输风暴,并且可以在全网进展MPLSVPN规划,保证相互间数据传送的平安性。对关键的主机系统和子网,能够进展网络资源检查,并与时发现问题。使用平安扫描软件,对关键的主机系统和网络定期进展扫描,可以检查出网络弱点和策喀配置上的问题。根据扫描软件发现的问题
37、,与时更新操作系统补丁,查杀病毒,更新平安策略。定期强制更新用户口令,并制定用户口令规如此,禁止使用不符合规如此的口令。定期检查文件系统的访问权限。3、华为QUidWay网络设备平安设计Quidway系列网络设备能提供充分的平安保护功能Quidway系列路由器提供了多种网络平安机制,为内部网络与外部数据提供了有力的平安保护。针对网络存在各种平安隐患,平安路由器必须具有如下的平安特性:可靠性与线路平安、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防X、平安管理等方面的内容。QUidWay系列网络设备提供一个全面的网络平安解决方案,包括线路可靠、用户验证、授权、数据保护、智能访问控制等等。所
38、采用的平安技术包括:1 CalIBaCk技术2备份中心3AAA4CA技术5包过滤技术6地址转换7VPN技术8加密与密钥交换技术9智能防火墙10平安管理11VLAN划分12其他平安技术与措施1CalIBaCk技术CaIIBaCk技术即回呼技术,最初由Client端发起呼叫,要求SerVer端向本端回呼;而SerVer端承受呼叫,并决定是否向CIient端发起回呼。利用CaIIBaCk技术可增强平安性。回呼处理中,SerVer端根据本端配置的呼叫呼叫CIient端,从而可防止因用户名、口令失密而导致的不平安性。另外,SerVer端还可根据本端的配置,对呼人请求进展分类,即拒绝呼叫、接收呼叫不回呼或
39、接收回呼,从而可以对不同的CIient端实施不同的限制,并且SerVer端在外部呼入时可以实现资源访问的主动性。2备份中心为了提高网络的可靠性,QUidWay系列路由器提出了特有的备份中心的概念,实现完善的备份功能。备份中心具有如下特点:2可为路由器上除拨号口以外的任意接口提供备份接口。3路由器上的任一接口可以作为其它接口或逻辑链路的备份接口。4可对接口上的某条逻辑链路提供备份。备份接口可以是一个接口,也可以是接口上的某条逻辑通道这里所指的逻辑通道可以是X.25、帧中继、ATM或ADSL的虚电路,也可以是拨号口的某一条dialermap)o5对一个主接口,可为它提供多个备份接口。当主接口出现故
40、障时,多个备份接口可以根据优先级来决定使用顺序。6对于具有多个物理通道的接口如BRI和PRI接口,可为多个主接口提供备份。7主接口和备份接口可以进展负载分担。当主接口的流量到达设定的门限时,启动备份接口;当主接口和备份接口的流量和小于设定的另一门限时,关闭备份接口。3AAAAAA提供了对用户的脸证、授权与记帐功能。验证一用户包括LOgin用户、PPP接入用户等在被允许访问网络资源之前需要先经过验证,验证时可以选择是采用路由器本身维护的用户数据库,还是采用RADlUS效劳器所维护的用户数据库对用户进展脸证。授权一通过定义一组属性来描述用户的权限信息,用以决定用户的实际访问权限。信息存储在RADl
41、US所维护的数据库中。对于接入用户,还可以由用户的“fiIterID”属性来确定采用哪类规如此对用户的报文进展过滤。记帐一AAA的计费功能允许对用户的访问网络资源等情况进展跟踪审计。当AAA的计费功能翻开后,网络接入效劳器按照一定的计费格式向RADlUS效劳器发送用户的活动信息,信息被储存在效劳器上,可以用来进展网络运行情况的分析、用户帐单的生成等。AAA网络平安效劳提供了一个实现身份认证以与访问控制的主框架。AAA使用RADlUS、TACACS+、KerberOS等协议来实现对网络的访问控制。QUidWay系列平安路由器实现时采用了使用最广泛的RADIUS协议。4CA技术CA技术是平安认证技
42、术的一种,它基于公开密钥体系通过平安证书来实现。平安证书采用国际标准的X.509证书格式,主要包括证书的版本号、发证CA的身份信息、持证用户的身份信息、持证用户的公钥、证书的有效期以与其他一些附加信息。并且证书是由发证CA数字签名的,保证了证书不可伪造并且不能被更改。平安证书由CA中心分发并维护。QUidWay系列路由器对CA中心的支持,包含两方面的内容,其一是针对CA中心的管理功能完成与CA中心的交互;其二即是路由器作为通信实体的认证功能。一般来说,平安证书的操作采取离线分发、本地脸证的方式。5包过滤技术IP报文的IP报头与所承载的上层协议如TCP报头的每个域包含了可以由路由器进展处理的信息
43、。包过滤通常用到IP报文的以下属性:1 IP的源、目的地址与协议域:2 TCP或UDP的源、目的端口;3 ICMP码、ICMP的类型域;4 TCP的标志域5表示请求连接的单独的SYN6 表示连接确认的SYN/ACK7表示正在使用的一个会话连接8 表示连接终断的FIN9 可以由域的各式各样的组合形成不同的规如此。比方,要禁止从主机到主机的FTP连接,包过滤可以创立这样的规如此用于丢弃相应的报文:IP目的地址IP源地址IP的协议域=6TCP目的端口=21FTP其他的域一般情况下不用考虑。QUidWay系列平安路由器提供了基于接口的包过滤,即可以在一个接口的进出两个方向上对报文进展过滤。同时还提供了
44、基于时间段的包过滤,可以规定过滤规如此发生作用的时间X围,比方上例中可设置每周一的8:00至20:00允许FTP报文进入以完成必要的效劳,而其余时间如此禁止FTP连接。在时间段的设置上,可以采用绝对时间段和周期时间段以与连续时间段和离散时间段配合使用,在应用上具有极大的灵活性。并且这样的时间段可以方便地提供应其他的功能模块使用,如地址转换、IPSeC等。6地址转换地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址:外部网络根本上不可能穿过地址代理来直接访问内部网络。QUidWay系列平安路由器实现的地址转换能够将网内用户发出的报文的源地址全部映射
45、成一个接口的地址。与按需拨号相结合,使局域网内用户通过一台路由器即可轻松上网。QUidWay系列平安路由器支持带访问控制列表的地址转换。通过配置,用户可以指定能够通过她址转换的主机,以有效地控制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。QUidWay系列平安路由器可以提供灵活的内部效劳器的支持,对外提供WEB、FTP、SMTP等必要的效劳。而效劳器放置在内部网络中,既保证了平安,又可方便地进展效劳器的维护。7VPN技术虚拟私有网VirtualPrivateNetwork)简称为VPN,是近年来随着IITternet的开展而迅速开展起来
46、的一种技术。现代企业部门越来越多地利用IlTternet资源来进展电子政务、办公自动化活动。许多企业部门趋向于利用Internet来替代它们的私有数据网络。相对于企业部门原有的Intranet,这种利用Irlternet的虚拟链路来传输私有信息而形成的逻辑网络就称为虚拟私有网。在二层支持这种tunneling技术的协议有PPTP(PointtoPointTunneIingProtocol,点对点通道协议,L2FLayer2Forwarding,二层协议和L2TP(Layer2TunneIingProtocol,二层隧道协议。L2TP结合了前两个协议的优点,为众多公司所承受。三层的tunneling技术有IPSeC和GRE。其中IPSeC通过加密能够保证传输的私有信息的数据平安性。将在下一节具体介绍。Quidway系列路由器支持L2TP、IPSeC和GRE。4.5. 效劳器与备份系统部署(1)效劳器采用曙光公司的天阔A
