企业网络改造项目规划设计方案

《企业网络改造项目规划设计方案》由会员分享，可在线阅读，更多相关《企业网络改造项目规划设计方案（19页珍藏版）》请在装配图网上搜索。

1、企业网络改造规划方案2017年8月目录第 1 章.项目概述 11.1.项目背景 11.2. 项目建设需求 11.3.建设目标 2第 2 章.系统规划要求 22.1. 高可靠要求 22.2. 高性能要求 22.3. 易管理性要求 22.4. 安全性要求 32.5. 可扩展性要求 3 2.6.实用性和先进性要求 32.7.经济性要求 3第 3 章.系统总体设计 3第 4 章.基础平台详细规划 54.1.网络系统 54.1.1. 系统设计目标54.1.2. 系统设计原则54.1.3. 整体网络规划64.1.4. 分区设计详解74.1.5. 网络协议设计94.1.6. 设备选型建议134.2.安全系统

2、 134.2.1. 系统设计目标134.2.2. 系统设计原则144.2.3. 安全体系结构154.2.4. 子系统规划154.2.5. 设备选型建议20专业技术资料分享第1章. 项目概述1.1. 项目背景随着*公司信息技术发展,作为信息载体的网络系统存在问题日益严重：网络负 载加大、网络带宽不足、网络安全问题严重、应用系统的增加,多网融合的需求迫切 网络终端不受控等.这就需要对现有网络系统进行改造,以满足*公司信息技术发展 的需求.1.2. 项目建设需求在利用*公司现有网络资源的基础上加以改造 ,改造后的网络需要满足以下 需求：1、根据用户对业务系统的访问要求,将现有各个业务子网在网络核心层

3、面进 行整合,以达到单个用户可以访问不同子网的资源 ,并通过一定的安全策 略,确保各个子网之间的数据和业务安全.2、优化现有网络规模,设立网络汇聚节点,最终形成以销售部、自动化部自动 化车间、轧钢总降、一炼、二炼、一轧、二轧等七个部位为主的汇聚点, 覆盖全公司、部门、车间的生产区域.3、实现整个公司网络架构分等级安全管理.4、建立结构化网络安全系统,所有用户通过认证方式接入公司网络 ,访问自 己对应的网络资源或系统.5、实现网络终端受控,重要岗位终端行为管理,保证终端规范化操作.6、实现服务器及存储资源的有效利用,建立核心服务器区域的安全防护提高 运行能力.将现有主要服务器,如产销系统、新老线

4、 MES 系统、设备管理系 统、远程计量、人事、原料采购、调度、质量等服务器集中统一管理.7、实现L2系统在网络中的隔离，保证L2系统安全稳定运行.1.3. 建设目标此次网络改造规划方案主要包括：网络系统,安全系统的建设.各个系统的功能概述如下：1) 网络系统：尽量利用现有的网络接入条件和机房环境条件,对现有网络系 统进行全面改造升级,实现生产网、宽带网、设备网之间的融合接入,简 化网络逻辑架构.2) 安全系统：根据网络总体架构和安全需求,设计部署安全防御体系包括 网络层、系统层、应用层等各层次,各业务系统的安全防范和服务体系, 并实现集中的安全管理.第2章. 系统规划要求系统规划要求如下：2

5、.1. 高可靠要求为保证业务系统不间断正常运行 ,整个系统应有足够的冗余 ,设备发生故障 时能以热备份、热切换和热插拔的方式在最短时间内加以修复.可靠性还应充分 考虑系统的性价比,使整个网络具有一定的容错能力,减少单点故障,网络核心和 重点单元设备支持双机备份.2.2. 高性能要求核心网络提供可保证的服务质量和充足的带宽 ,以适应大量数据传输包括多 媒体信息的传输 .整个系统在国内三到五年内保持领先的水平 ,并具有长足的发 展能力,以适应未来网络技术的发展.2.3. 易管理性要求考虑到系统建设后期的维护和管理的需要,在方案设计中充分考虑各个设备 和系统的可管理性,并可以满足用户个性化管理定制的

6、需要 .网站各系统易于管 理,易于维护,操作简单,易学,易用,便于进行配置和发现故障.2.4. 安全性要求对于内部网络以及外部访问的安全必须高度重视 ,设计部署可靠的系统安全 解决方案,避免安全隐患.设计采取防攻击、防篡改等技术措施.制定安全应急预 案.管理和技术并重,全方位构建整个安全保障体系.2.5. 可扩展性要求对*信息化建设规划要长远考虑 ,不但满足当前需要 ,并在扩充模块后满足 可预见需求,考虑本期系统应用和今后网络的发展 ,便于向更新技术的升级与衔 接.留有扩充余量,包括端口数和带宽升级能力.2.6. 实用性和先进性要求系统建设首先要从系统的实用性角度出发,未来的信息传输都将依赖于

7、数据 网络系统,所以系统设计必须具有很强的实用性 ,满足不同用户信息服务的实际 需要,具有很高的性能价格比,能为多种应用系统提供强有力的支持平台.2.7. 经济性要求本次系统建设中 ,要充分考虑原有系统资源的有效利用 ,发挥原有设备资源 的价值.要本着以最少的建设成本,最少的改造成本,持续获得当期及未来建设的 最大利益.第3章. 系统总体设计此方案设计将遵循先进性、实用性、可靠性、易管理性、安全性、扩展性、经 济性的原则,为实现*数据集中处理的方式,构建统一融合的网络系统 ,能支持全公 司范围内的高可靠实时网络连接.依据 *网络改造建设的需求 ,本次方案设计的网络平台系统的总体示意图如 下：*

8、网络改造总体拓扑图 注：图中橙色字体的设备为此次新增设备.具体描述：1 网络系统设计1) 整体网络结构按照不同的安全级别，主要分为出口区域、DMZ区域、中心服 务器集群区域、核心交换区域、生产网接入区域、能源网接入区域、远程 计量网接入区域及其他网络接入区域.2) 作为整个网络的核心业务区域 ，采用两台高端核心交换机双机热备的方式 ， 保证核心业务的正常开展 .同时，依据业务的重要程度对全厂网络进行分 区、并进行可靠安全隔离，避免重要程度较低的业务对重要程度高的核心业 务造成影响.3) 生产网接入区域，主要以现有的生产网接入设备为主、另外融合了宽带网和 设备网的接入设备.根据现有的网络结构及客

9、户需求，设立新的网络汇聚节 点，形成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、 二轧等七个部位为主的汇聚点，覆盖全公司、部门、车间的生产区域.4) 上述七个汇聚节点主要下联现有的生产网接入设备 ，同时，将原宽带网和设 备网的接入设备融入，构建统一的网络接入平台 ，不再重复建网 .新的网络 平台融合了，生产网的数据访问和外网互联的需求，使用同一终端即可实现 内外网同时访问的功能.5) 规划统一的中心服务器集群区域，将现有生产网、设备管理系统、人事系统中运行的服务器，划到同一逻辑区域.考虑到新的核心交换的高性能 ，将所 有的服务器直接接到核心交换，通过核心区域的安全设备来保证访问安

10、全. 使全厂的所有客户终端都通过核心交换来对各个业务系统进行统一访问.6) 设计新的互联网出口区域，设置出口防火墙、上网行为管理、负载均衡等安全设备，保证全厂用户的上网安全.原有生活区用户不再和办公区使用同一 出口上网，生活区用户使用单独的出口设备连接互联网.7) 构建 DMZ 区域，将 WWW、DNS、MAIL 等需要同时服务内外网用户的服务器放 到该区域，设置VPN、负载均衡等设备保证服务安全.8) 能源网和远程计量网由于是独立运行的物理网络 ,不在此次网络改在的范围 但此次我们新增的核心交换,在性能、稳定性、处理能力方面 ,均有能力负 载未来其他多个网络的融合.2 安全系统设计 本次*网

11、络改造项目建设将考虑如何建设多层次、纵深防御系统 .另外,要 加强安全管理工作和安全应急工作.通过部署防火墙保证网络边界的安全,保证网络层的安全；部署入侵检测系 统实现内网安全状态的实时监控；部署防病毒系统防止病毒入侵,保证主机的安 全；部署网络监控系统对网络进行监控；部署抗攻击系统抵御来自外界 Internet 的 DoS/DDoS 攻击；部署漏洞扫描系统对系统主机、网络设备的脆弱性进行分析； 部署时钟系统使系统的时钟同步；部署单点登录系统方便用户在多个系统间自 由穿梭,不必重复输入用户名和密码来确定身份；部署统一认证系统对不同的应 用系统进行统一的用户认证 ,通过统一的用户认证平台提供一个

12、单一的用户登 陆入口；部署安全管理平台实现系统内安全事件的统一管理.我们要通过相应的安全技术建设一套包含物理层、网络层、主机层、应用 层和管理层等多个方面的完整网络安全体系.第4章. 基础平台详细规划4.1. 网络系统4.1.1. 系统设计目标网络系统建设的总体目标,是要建立统一融合的、覆盖全公司范围内的、高速高 可靠的网络平台,以支持数据集中处理的运行模式.4.1.2. 系统设计原则网络系统包括四大部分,一是出口区域,实现公司用户的上网需求；二是服务器 区域,对*现有业务系统的主机存储进行统一管理；三是核心交换区域,实现全公司 所有功能区域的互联互通；四是二级接入区域,对整个网络现状进行重新

13、规划,形成 新的汇聚节点,将生产网、宽带网、设备管理、人事系统统一融合到新的管理网络中, 实现单一终端对所有业务系统的统一访问.网络系统有良好的扩展性 ,保证网络在建设发展过程中业务和系统规模能够不 断地扩大.网络线路及核心、关键设备有冗余设计.核心设备和关键设备保证高性能、高可 靠性、大数据吞吐能力.网络系统的设计充分考虑系统的安全性.4.1.3. 整体网络规划按照结构化、模块化的设计原则,实现高可用、易扩展、易管理的建设目标 .网 络整体拓扑如下图所示：注：图中橙色字体的设备为此次新增设备.按照模块化设计原则,需要对*整体网络结构进行分区设计.根据*公司业务 情况,各区域业务系统部署描述如

14、下：核心交换区：此区域用于实现各分区之间的数据交互,是数据中心网络平台的核 心枢纽.出口区域：互联网出口,公司员上网,对外发布公司信息,承载电子商务等业务系 统.中心服务器区：此区域部署核心业务服务器，包括MES、0A、人事、安全管理等 应用系统.网络汇聚区：实现公司办公楼、各分厂等汇聚网络接入，二级单位可以通过该接 入区域实现对业务系统的访问.接入交换区：全厂接入设备连接区域，该区域用于连接终端用户和公司核心交换 网络，是网络中最广泛的网络设备.4.1.4. 分区设计详解4.1.4.1. 核心交换区设计此次网络改造,建议新增两台高性能的核心交换机作为*的网络核心.核心层作 为整个*网络的核心

15、处理层,连接各分布层设备和*核心服务器区,核心层应采用两 台高性能的三层交换机采用互为冗余备份的方式实现网络核心的高速数据交换机 , 同时,两台核心设备与分布层各设备连接,保证每台分布层设备分别与两台核心层设 备具有网络连接,通过链路的冗余和设备冗余的设计 ,保证整个核心层的高可靠性. 两台核心设备之间应至少保证 2Gbps 全双工的速率要求,并能平滑升级到 10Gbps.核心区是整个平台的枢纽 .因此,可靠性是衡量核心交换区设计的关键指标 .否 则,一旦核心模块出现异常而不能及时恢复的话,会造成整个平台业务的长时间中断, 影响巨大.4.1.4.2. 互联网出口区设计*与外网的出口区域,目前是

16、通过建立独立的宽带网,实现办公区和生活区通过 统一出口访问外网的.在此次网络改造中,我们计划把生活区上网与办公区上网隔离 开,通过不同的出口访问外网.改造后的生活区网络拓扑结果如下图所示：如上图所示,此次生活区的网络改造会增加新的防火墙和负载均衡设备 ,作为生 活区的网络安全管理设备,通过单独的出口设备连接到互联网.改在后的厂区互联网出口区域,如下图所示： 如上图所示,工作区的网络改造同样会增加新的防火墙和负载均衡设备,以及上 网行为管理等安全设备,作为生活区的网络安全管理设备,通过单独的出口设备之间 连接到互联网.出口区域除了网络出口设备外,还包括一个 DMZ 区域,用于将 WWW、DNS、

17、MAIL 等, 需要同时服务内、外网用户的服务器放到该区域,4.1.4.3. 中心服务器区设计规划统一的中心服务器集群区域,将现有生产网、设备管理系统、人事系统中运 行的服务器,划到同一逻辑区域.该区域物理上为一个区域接入到核心 ,而逻辑上可 以再划分为多个业务应用区,根据业务属性的不同可以划分为生产服务器区 如 ERP 等、办公服务器区如0A等、管理服务器区如IT运维、管理等系统等.考虑到新的核心交换的高性能,将所有的服务器直接接到核心交换,通过核心区 域的安全设备来保证访问安全 .使全厂的所有客户终端都通过核心交换来对各个业 务系统进行统一访问.4.1.4.4. 网络汇聚区设计网络汇聚区域

18、,根据现有的网络结构及客户需求 ,设立新的网络汇聚节点,形 成以销售部、自动化部自动化车间、轧钢总降、一炼、二炼、一轧、二轧等七个 部位为主的汇聚点,覆盖全公司、部门、车间的生产区域.该区域的网络设备主要 以现有的生产网汇聚设备为主、另外融合了宽带网和设备网的汇聚设备,同时考 虑现有汇聚设备性能不能满足需求的情况,新增高新能的汇聚设备.汇聚层设备通过双链路的方式与核心层两台核心交换设备相连,同时,为保 障网络的健壮性,以及便于各个分厂区之间数据交互,各个分厂区的汇聚交换机 之间也有线路直连.各汇聚节点与核心层的连接,应全部采用 1000Mbps 或 1000Mbps 以上的连接方式,分布层设备

19、实现本区域内的各 Vlan 的路由处理和安 全限制.自动化车间汇!二轧接入网自动化车间接入I二炼 汇聚交换机S5624 丄二轧 汇聚交 $562销售部接入网轧钢总降接入网二炼接入网生产网接入交换机原一炼接入网一轧接入网宽带网接入交换机生带网接入交换机销售部 汇聚交换 * $5324轧钢总降 汇聚交换4.1.4.5. 接入层部分网络汇聚节点主要下联现有的生产网接入设备 ,同时,将原宽带网和设备网 的接入设备融入,构建统一的网络接入平台,不再重复建网.新的网络平台融合了, 生产网的数据访问和外网互联的需求,使用同一终端即可实现内外网同时访问的 功能.接入层设备与分布层设备通过 1000M 光纤或双

20、绞线的方式连接,在用户量较 少的分节点可以采用 100M 上联方式 ,与各终端用户连接一般采用 100M 或者 1000M 双绞线的方式.生产网中其他办公楼及分厂区的网络接入,通过自动化车间和轧钢总降等汇 聚节点,接入到新的数据网络中.各个分厂区的网络接入情况如下图所示：自动化车间汇聚网络拓扑图轧钢总降汇聚网络拓扑图4.1.5. 网络协议设计4.1.51IP地址和VLAN规划IP地址是网络设计工作中重要的一环，使用IP地址不当会造成路由表庞大、难 以部署安全控制、地址重叠问题、地址空间耗尽等问题,会给网络运行带来很大麻烦. 为了让*网络建设项目顺利进行，我们建议*网络采用以下 IP 地址规划原

21、则进行适 当改进：1、为公司各个二级单位、应用业务、数据中心采用统一规划，统一分配，统一管 理的地址设计原则，避免重叠地址的出现.设定专门流程和人员对全公司网 络地址进行记录和权限管理.2、尽可能采用私有地址进行IP地址分配私有地址就是我们熟知的三类网络地 址，分别是A类网中的10.0.0.010.255.255.255范围，B类网中的 172.16.0.0172.31.255.255 范围，C 类网中的 192.168.0.0 192.168.255.255 范围.3、整网地址规划思路可按照以下方法设计，如10.X.Y. Z,X为不同厂区进行标 示，丫为该厂区内不同业务或应用进行标示，z为主

22、机地址位.4个网络可以汇聚成10.254.128.0/22.在定义测试区安全策略时,不用将4个 网段同时定义成ACL，使用一条ACL就可以包括全部网络.4、使用可变长掩码规划网络地址，根据IP地址使用对象的特点，部署不同长度 子网掩码例如，应用网段的IP地址，可以采用C类网地址,掩码为24位；区 域设备之间的互连地址可以采用29位掩码.5、不同主机实际网关IP地址与HSRP使用的IP地址应该在整个数据中心统一, 使用相同的方式配置，例如：整个厂区均采用X.X.X.1作为主机实际网关IP 地址，HSRP采用X.X.X.254为HSRP网关地址.6、网络互连地址采用IP地址网段的头两个可用地址，核

23、心侧设备接口配置奇数 地址，边缘侧设备接口配置偶数地址例如，设备A与设备B互连，采用 10.254.254.0/29网段为互连地址，该网段头两个可用地址为10.254.254.1 和10.254.254.2,设备A为核心设备，配置奇数地址10.254.254.1，设备B为 边缘设备，配置偶数地址10.254.254.2.7、网络设备配置环回地址32位掩码地址，用于网络管理和日志管理.VLAN主要用于将局域网环境划分为多个逻辑网络，从而降低广播风带来的影响， 也可提高网络可管理性和安全性.建议在此次网络建设中可按照以下原则对新建 VLAN及原有VLAN进行适当调整和修改.1、VLAN ID的规划

24、可按照应用业务、工作部门、厂区位置等方法定义，这里建 议按照原有网络规划方法进行.2、VLAN ID可以是2-4096任意数字，为了方便标示和管理，建议ID与IP网段地址相关联如 10.18.10.0/24 -VLAN10; 10.18.20.0/24VLAN20； 10.18.30.0/24VLAN30 等.3、VLAN规划避免重复，全网VLAN静态手动分配在根交换机，统一管理和记 录.4.1.5.2. 动态路由协议对一个大网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时 对网络是致命的，路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、 网络带宽的充分有效利用、网络在

25、故障时的快速恢复、网络的灵活扩展都有很重要 的影响.目前存在的路由协议有：RIPv1 &v2、OSPF、IGRP、EIGRP、IS-IS、BGP 等， 根据路由算法的性质 ,它们可分为两类：距离矢量 DistanceVector 协议 RIP/IGRP/EIGRP和连接状态LinkState协议OSPF/IS-IS.可用于大规模的网络同时又基于标准的IGP的路由协议有OSPF和IS-IS.两种 路由协议均是基于链路状态计算的最短路径路由协议；采用同一种最短路径算法 .考虑到产品对OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS 工程 经验，建议采用OSPF做为*网络的主用动态路由协议

26、.作为链路状态协议,OSPF的特征如下： 通过维护一个链路状态数据库，使用基于Dijkstra的SPF路由算法. 使用Hello包来建立和维护路由器之间的邻接关系. 使用域area 来建立两个层次的网络拓扑. 具有域间路由聚合的能力. 无类classless 协议. 通过选举指派路由器Desig ned Router来代替网络广播. 具有认证的能力.OSPF 是一套链路状态路由协议，路由选择的变化基于网络中路由器物理连接的 状态与速度，变化被立即广播到网络中的每一个路由器.每个路由器计算到网络的每 一目标的一条路径，创建以它为根的路由拓扑结构树，其中包含了形成路由表基础的 最短路径优先树SPF

27、树.下图是OSPF分Area的状态.OSPF Area的分界处在路由器上，如图所示，一些接 口在一个Area内，-一些接口在其它Area内，当一个OSPF路由器的接口分布在多个 Area内时，这个路由器就被称为边界路由器ABR.每个路由器仅与它们自己区域内 的其它路由器交换 LSA.Area0 被作为主干区域，所有区域必须与 Area0 相邻接.在 ABR区域边界路由器，Area Border Router上定义了两个区域之间的边界.ABR与 AreaO和另一个非主干区域至少分别有一个接口.OSPF 允许自治系统中的路由按照虚拟拓扑结构配置，而不需要按照物理互连结 构配置.不同区域可以利用虚拟

28、链路连接.允许在无IP情况下，使用点到点链路，节省IP空间.OSPF是一个高效而复杂的协议，路由器运行OSPF需要占用更多CPU资源.下面从层次能力、稳定性、扩展性和可管理性四个方面对OSPF进行介绍：层次能力通过areas支持层次化边界在router内链路状态数据库LSDB来自网络或路由器LSA尺寸 一 64 KB to 5000条 链路的限制稳定性依靠路由设计和实现 大型网络中使用呈现增强的趋势扩展性使用扩展 TLV 编码策略新扩展需开发时间管理性企业网中大范围使用 可借鉴经验较多此次网络建设项目，我们建议在各个区域之间开始部署 OSPF 动态路由协议.因 为接入交换机多数为二层交换机，无

29、法一次实现路由到用户边界的改造，所以此次仅 将各个区域的核心交换开启路由进程，今后可逐步实现全网的路由建设.各个区域在 本次设计中都部署高性能三层交换机，这些交换机需具备完整的路由支持功能.区域 间核心设备组建OSPF协议的骨干area,未来在大范围部署动态路由协议时，可考虑 将各个厂区划分为area1,area2等等，可以充分做到基于area的路由汇总和扌空制.互联网区域可按照需要，适当采用静态路由的方式完成园区网与外网的连通. 未来可逐渐增加路由的范围，逐步演变为路由到用户边界的形式.4.1.6. 设备选型建议4.1.6.1. 华为产品选型方案产品类型选型建议配置描述数量备注核心交换机华为

30、S12808背板带宽：32Tbps;包转发率：9600Mpps； 8个业务 槽位；支持基于Layer2、Layer3、Layer4优先级等 的组合流分类支；电源功率：W10800W；2华为S9306背板带宽：6Tbps；包转发率：1152Mpps；扩展模块：6个业务槽位；支持基于Layer2协议；安全管理： 802.1x认证1生活区宽 带网核心 交换机汇聚交换机华为S632424个GE SFP/10 GE SFP+端口，双电源槽位，含USB 接口，交流供电；转发性能：715M；交换容量：960 G；2华为S532420 个 10/100/1000Base-T,4 个千兆 Combo 口 分交流

31、 供电和直流供电两种机型，支持RPS 12V冗余电源， 支持USB 口，交换容量48G144.1.6.2. 华三产品选型方案产品类型选型建议配置描述数量备注核心交换机H3C S12508机箱，主控板，8端口万兆光口板，48端口千兆电口 板，流量分析业务板，冗余电源2H3C S10508机箱，主控引擎，48 口千兆电口板，48 口千兆光口 板,4端口万兆光口板，防火墙业务板，冗余电源1生活区宽 带网核心 交换机汇聚交换机H3C S7506E机箱，双Salience VI引擎，2*24 口千兆电口板，12 口千兆光口板，冗余电源2H3C S5500H3C S5500-52C-EI-以太网交换机主机

32、48GE+4SFPCombo+2Slots，4 个单模 SFP 模块144.2. 安全系统4.2.1. 系统设计目标本次*网络改造项目建设目标是通过建立完善的安全体系,在网络安全,主机安全和应用安全三个层面上,搭建一套立体的安全架构.这样可以实现抵御各个层面的攻击,防止病毒入侵等功能.同时进行主机的风险评估和安全加固服务,提前屏蔽漏 洞风险.并通过安全管理平台实现安全审计功能,做到事件追踪.4.2.2. 系统设计原则4.2.2.1. 整体性原则建设*安全系统时应充分考虑各个层面的因素 ,总体规划各个出入口网关的安 全策略.本次*网络改造项目充分考虑各个环节,包括设备、软件、数据等,它们在网 络

33、安全设计中是非常重要的.只有从系统整体的角度去看待和分析才可能得到有效, 可行的措施.4.2.2.2. 适应性及灵活性原则随着互联网技术的高速发展,对网络安全策略的需求会不断变化,所以本次部署 的安全策略必须能够随着网络等系统性能及安全需求的变化而变化 ,要做到容易适 应、容易修改.4.2.2.3. 一致性原则一致性原则只要指安全策略的部署应与其他系统的实施工作同时进行 ,方案的 整体安全架构要与网络平台结构相结合 .安全系统的设计思想应该贯穿在整个网络 平台设计中,体现整体平台的一致安全性.4.2.2.4. 需求、风险、代价平衡的原则对网络要进行实际的研究包括任务、性能、结构、可靠性、可维护

34、性等,并对 网络面临的威胁及可能承担的风险以及付出的代价进行定性与定量相结合的分析 , 然后制定规范和措施,确定系统的安全策略.4.2.2.5. 易操作性原则安全措施需要人去完成 ,如果措施过于复杂,对人的要求过高,本身就降低了安 全性；同时措施的采用不能影响系统的正常运行.4.2.2.6. 多重保护原则本次*安全系统要建立一个多重保护系统,各层保护相互补充,当一层保护被攻 破时,其它层保护仍可保护信息的安全.4.2.2.7. 经济性原则在满足*系统安全需求的前提下,选用经济实用的软硬件设备 ,以便节省投资, 即选用高性能价格比的设备；同时,应该充分挖掘现有系统软硬件设备的使用潜力, 尽可能以

35、最低成本来完成安全系统建设.4.2.3. 安全体系结构*网络系统安全区域划分示意图如下：*网络系统安全区域划分如上图所示，*网络系统划分为多个安全区域，分别为：出口区域、DMZ区域、 管理网接入区域、中心服务器区域和核心交换区.其中,出口区域和 DMZ 区域设备可 访问In ter net,部分设备也可由In ter net访问，但均不可由公网直接路由到，安全级 别为中；管理网接入求负责公司二级接入网络同中心服务器及出口区域的数据交互， 安全级别为高；中心服务器区域设备为*核心数据，在公网不可以访问，内网用户只 能经授权后访问特定服务，安全级别最高.接入层的安全级别如上图所示：管理网中，可以上

36、外网的 Internet 接入终端的 安全级别低；只能访问管理网业务系统的接入终端，安全级别较高.4.2.4. 子系统规划4.2.4.1. 网络隔离系统1. 出口防火墙通过部署两台千兆出口防火墙实现 Internet 与*内网的隔离.两台防火墙一主 一备,提高出口可靠性.出口防火墙划分的内外网之间的访问策略为：内网到公网基本不做限制,主要是 考虑到内网的上网终端上网需求,另有些设备需要到公网升级；公网到备内网只针对 DMZ 区域开放相应端口.部署在出口区域的设备如有和内网核心服务器通讯 的需求,在出口防火墙上对这些需求打开相应的 IP 和端口.2. 内网防火墙通过内网防火墙实现核心内网区域之间

37、的隔离.由于数据流较大,两台防火墙采 用双活方式工作,不同业务的数据流分别通过不同的防火墙,实现数据流的动态分担 实现安全的同时兼顾传输效率.部署内网防火墙后,要针对业务的情况制订特定的访问策略,策略制定完成后只 开放特定主机的IP与服务端口，其他访问一律禁止.4.2.4.2. 入侵检测系统*网络系统需在网络的关键位置部署入侵防御系统.建议在网络前端核心 设备部署两台IPS设备.可监控内网与公网之间的数据交互、公网对DMZ区域的访问 数据、监控接入/DMZ区域终端对核心内网的数据交互.4.2.4.3. 漏洞扫描系统为了防止网站被黑客入侵，需要在网络系统中部署漏洞扫描系统，通过漏洞扫瞄 系统可以

38、定期对网络系统进行安全性分析，发现并修正存在的弱点和漏洞.漏洞扫瞄 系统是管理员监控网络通信数据流、发现网络漏洞并解决问题的有力工具.针对本系统的网络设计，我们将漏洞扫瞄系统部署在核心内网管理区域，使漏洞 扫描系统能够尽量不受限制的对待评估系统进行访问.漏洞扫描系统部署后，将会对*的各个业务系统以及安全系统设备进行扫描，根 据扫描评估结果可以及时发现系统漏洞并及时采取措施.4.2.4.4. 安管平台系统安全管理审计工作作为安全体系的重要组成部分，需要部署安全管理平台系统 其中安全管理平台服务器部署在*核心内网管理区域,由防火墙提供保护,外网用户 不允许访问该服务器.被管对象和安全管理平台服务器

39、有数据传输,它们之间要路由 可达.本次安全管理平台需要管理重要服务器和所有安全设备 ,收集日志后并做出分 析,分出告警级别.也可以通过声光电或邮件、短信等方式报警,及时提醒管理员.4.2.4.5. 防病毒系统防病毒系统的建设首先要依据本次系统设计的总体结构 ,从网络中业务系统的 模式和主要可能感染病毒的系统和区域进行设计和考虑.通过分析*网络系统的特点,可以总结病毒感染的途径如下： 部分服务器如windows平台容易受到病毒攻击； 公司内部员工若有访问互联网的权限，则可能感染网络病毒，并通过HTTP、FTP等流量把病毒和恶意的移动代码带入网站； 通过 U 盘传播病毒； 各种蠕虫病毒主动地通过网

40、络传播.从以上的分析入手，本系统的病毒防范工作必须从病毒防护的主体着手，根据他 们之间的访问关系施加防护及病毒监控.本次方案防病毒系统采用防病毒网关与网络防病毒系统相互结合的方式 ，建立 完整的防病毒体系.其中防病毒网关服务可集成在出口防火墙上，在内网部署网络防 病毒系统，实现对系统中的关键服务器以及内部终端进行病毒防护，严防病毒感染关 键服务器以及终端后造成业务系统受病毒影响.4.2.4.6. 统一用户/身份管理用户是 IT 系统中各类活动的实体，如人、组织、虚拟团队等.用户管理是指在 IT 系统中对用户和权限的控制，包括了身份管理、用户授权、用户认证等，身份管理 是基础，用户授权和认证是之

41、上的服务 .身份是一个实体区别于其它实体的特性 ，IT 系统中的身份通常指一个人在信息系统中的抽象，也可以是硬件、组织等实体的抽象， 是属于一个特定的实体的属性的集合.身份属性具有一些特点：往往是较短的数据元素如名称、邮件、照片、数字证书等.身份管理就是产生和维护身份属性的过程，也是管理不同实体之间关系的能力. 身份管理ldentity Management是用户管理User Administration的一部分.统一用户管理UUM 就是对不同的应用系统进行统一的用户认证，通过统一的用 户认证平台提供一个单一的用户登陆入口.用户在操作系统域登陆时经过统一用户 管理平台认证，就具备了使用相关应用

42、的权利同时统一用户管理平台还提供对长时 间无应用操作的超时重认证功能，更加可靠的保证安全.统一用户管理为用户提供多种登陆手段，包括传统的口令登陆以及安全性能更 高的CA、USB Key等，使用户在使用统一身份认证平台上有更灵活的选择在认证手 段上，统一用户管理提供支持LDAP/AD协议的认证中心管理，支持多种认证中心认证, 保证用户信息的安全、可靠.4247单点登录1.客户端向应用服务器请求访问某资源。2.应用服务器垂定向到開0服务器请求单点登录SSO,Single Sign-on是一种方便用户访问多个系统的技术，用户只 需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名和

43、密 码来确定身份.单点登录的实质就是安全上下文Security Con text或凭证 Credential在多个应用系统之间的传递或共享.当用户登录系统时，客户端软件根 据用户的凭证例如用户名和密码为用户建立一个安全上下文，安全上下文包含用 于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否具有访 问系统资源的权限.3. 如果用户未登录阴0安全域.SS0S 务器将请求璽定向到身份认证衆务-4用户通过身份认证后，SSD务器为其 生成身阶折识，并签发身份斷言.5. SS0服务署重定向到撞用服务器，应用 服务器验证断言有效性，从断言中荻得 用户身份信息。本次访问结朿。目前业界已有很

44、多产品支持SSO,但各家SSO产品的实现方式也不尽相同如通 过Cookie记录认证信息，通过Session共享认证信息.Cookie是一种客户端机制，它 存储的内容主要包括：名字、值、过期时间、路径和域,路径与域合在一起就构成了 Cookie的作用范围，因此用Cookie方式可实现SSO,但域名必须相同；Session是一 种服务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的 SessionID,以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指 定,因此用Session方式实现SSO,不能在多个浏览器之间实现单点登录，但却可以跨 域.4.2.4.8. 上网行为管理系

45、统针对内部上网的人员,一方面从安全角度考虑,需对网站资源进行筛选过滤,对 非授权人员访问互联网,以及内部人员访问恶意站点等行为进行阻断；另一方面从管 理角度考虑,需对内部人员上网方式进行管理,使上网访问资源可控.针对这种需求,我们建议将上网行为管理设备部署在互联网出口处.对所有上网 终端进行安全防护,实现对内网用户的上网行为进行管理、过滤和审计,可通过用户 身份认证、上网时间管理、网页访问控制、IM管理、邮件管理、论坛管理、P2P管 理、游戏管理等方式对上网行为进行限制和审计.4.2.4.9. 终端安全管理系统由于目前互联网安全问题突出,针对内部上网终端只有防病毒系统是远远不够 的.需要对终端

46、安全情况进行统一管理,包括硬件资产管理、补丁管理、软件管理、 进程管理、安全软件管理等.对终端的安全情况进行加固后方允许接入网络,否则不 允许接入.提高整个内部局域网的安全准入能力.4.2.4.10. 时钟系统由于对数据库的访问需要各业务系统保证时钟的统一 ,因此建议在网络中部署 一台时钟服务器,网络中其它设备通过 NTP 协议将自己的时钟与该服务器上的时间 信息进行同步,从而统一内网服务器的时间.在为信息系统时钟系统进行设计时,充 分考虑到时钟系统的可靠性与准确性,保证内网的时间是准确和稳定的.4.2.5. 设备选型建议产品选型信息如下表所示：序号产品名称选型建议配置描述数量1防火墙网御Po

47、werV-3220UTM 或启 明星辰2010D标准2U机箱，冗余电源，配4个10/100/1000MBase-T 接口，可选配 IPS、VPN 和防 病毒模块62入侵防御设备天清入侵防御系统 NIPS3060D包括NIPS3060D硬件平台一台，NIPS3060D千兆检 测引擎软件一套，天清入侵防御系统NIPS数据中 心软件一套，带一年的入侵防御特征库升级授权23链路负载均衡 设备Array-3520-NAPV3520 NetVelocity Edition 链路负载均衡，12 千兆电口 +4千兆光口SFP，LC，多模，冗余电源44应用负载均衡 设备般固BG-ADC-2000-L8个10/1

48、00/1000Mbps端口，4个可选千兆光纤端 口，1 个 Core 2 Duo 处理器，4GB 内存，220V AC 冗 余电源25时钟系统DNTS-82-OGGPS，双网口 10/100M内置恒温晶振，高精度保 持,LCD,RS232/485,1pps，本地告警，机架式16漏洞扫描系统绿盟 NSFOCUSRSAS X绿盟NSFOCUS RSAS X远程安全评估系统，硬件产 品，支持256个IP扫描，三年服务17统一认证和单 点登录系统统一认证系统统一认证系统含50用户USBKey18安管平台系统启明星辰安全 管理中心软件启明星辰安全管理中心软件，包含事件收集、事件 监控、域与资产管理、风险管理、告警和预警、 报表管理等模块，支持20台安全设备管理19防病毒系统瑞星企业专用版防病毒系统瑞星企业专用版防病毒系统,5个服务器端，1个 管理中心，25个客户端110上网行为管理系统深信服上网优化网关SG-6500-L包括上网加速、带宽管理、上网安全、上网认证、 上网代理、访问控制、外发管理、审计、监控、 报表211终端安全管理 系统北信源或BTA 终端安全管理 系统终端安全管理软件,3000客户端1