集团信息系统技术方案建议书

《集团信息系统技术方案建议书》由会员分享，可在线阅读，更多相关《集团信息系统技术方案建议书（64页珍藏版）》请在装配图网上搜索。

1、A 集团综合网络信息系统技术方案集团综合网络信息系统技术方案建议书建议书（硬件集成部分）（硬件集成部分）2021 年年 11 月月IT 售前论坛售前论坛 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 1 页 第一章第一章 总则总则.41.1 关于本方案建议书.41.2A 集团综合信息系统现状.41.3A 集团综合信息系统建设目标.4第二章第二章 建设原则建设原则.52.1 先进性.52.2 标准性.52.3 兼容性.62.4 可升级和可扩展性.62.5 安全性.62.6 可靠性.62.7 易操作性.6第三章第三章 网络系统方案网络系统方

2、案.73.1 广域网设计.73.1.1需求分析.73.1.2广域网规划.83.1.3网络互连设计.93.1.2.1 带宽分配.93.1.2.2 QOS 设计.103.1.2.3 网络设备选型.123.1.2.4 网络部署.123.1.2.5VPN 设计.143.1.2.6 网络管理.15第四章第四章 网络安全方案网络安全方案.164.1 安全设计.164.1.1防火墙技术.174.2.1.1 防火墙选型.174.2.1.2 技术细节.174.2.1.3 防火墙部署.244.2.2入侵检测.244.2.2.1 入侵检测技术.254.2.3防病毒设计.274.2.4.1 产品选型.304.2.4.

3、2 防病毒部署.32第五章第五章 主机方案主机方案.365.1 主机选型原则.365.2 小型机选型与设计.375.2.1IBM P650介绍.375.3 双机热备.43 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 2 页 5.3.1系统故障分析.445.3.2 HACMP 功能及双机原理.445.4PC 服务器选型.47第六章第六章 工程管理与实施工程管理与实施.476.1 工程督导.476.1.1 工作目标.476.1.2内容.486.1.2.1 详细工程计划.486.1.2.2 基于工程计划协调工程进展.486.1.2.3 工程

4、管理.486.1.2.4 人力资源和设备资源的统一管理.486.1.2.5 统一协调.496.1.3工程管理计划.496.1.4工程协调会.496.2 工程实施进度一览表.506.3 每一个具体工程阶段的详细描述.516.3.1开箱验收.516.3.2安装环境验收.516.3.3设备的现场安装.516.3.3.1 硬件安装.516.3.3.2 软件安装.526.3.3.3 参数配置.526.3.3.4 现场故障维修.526.3.3.5 网络升级的技术支持.526.3.4单节点测试与验收.526.3.5系统初验和系统试运行.536.3.6系统终验.536.3.7在合同设备保修期内的技术支持.54

5、6.3.7.1 技术支持概念.546.3.7.2 技术人员的培养.546.3.7.3 技术支持的构架.546.3.7.4 灵活有效的技术支持通信环境.556.3.7.5 有效的技术支持措施.55第七章第七章 网络培训计划网络培训计划.567.1 培训规划.577.2 培训目的.577.3 培训方式.577.4 培训对象.587.5 培训教师.587.6 培训课程.587.6.1课程列表.58 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 3 页 第八章第八章 维护和支持维护和支持.618.1 服务的级别.618.2 硬件支持服务.62第

6、九章第九章 结束语结束语.63 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 4 页 第一章第一章 总则总则1.1 关于本方案建议书关于本方案建议书然而“功欲善其事，必先利其器” ，A 集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，A 公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与 A 集团综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现 A 集团网络信息系统的建设。1.2A 集团综合信息系统现状集团综合信息系统现状目前，A 集团尚未在

7、全公司建立统一的企业信息管理系统，主要是在总公司及七大区域性公司之间通过远程异步数据传动方式（Modem 对拔）进行数据采集和邮件传递，共有二十余个基于 Lotus Domino/Notes4.6 开发的数据模块在应用。A 集团拟建的企业信息系统将是覆盖整个 A 集团的专业化网络信息管理系统。该系统将建立一个统一的企业办公、协同运作及管理支撑综合平台，提高办公效率、提高信息综合利用和提高企业管理水平，从而提高企业经济效益。A 集团信息系统的建设最终将达到以下目标：(1)以先进成熟的计算机技术和建筑技术为主要手段，把 A 集团信息系统建成一个覆盖全集团的包括综合办公和各专业管理系统在内的支撑建筑

8、行业的辅助管理系统，建立一个统一的企业办公及运作支撑综合平台，以提高办公效率和企业管理水平，提高信息分析处理能力，从而提高企业经济效益。(2)为 A 集团员工、客户、合作伙伴提供各种方便快捷的交流形式，提高服务质量，增强 A 集团竞争力。(3)加强知识管理，建立企业自身的知识库。1.3A 集团综合信息系统建设目标集团综合信息系统建设目标A集团信息系统主要提供电子邮件服务、日常办公管理、财务管理、行业业务流程处理和知识管理功能。根据A集团目前发展状况，预计到2005 年底共有上网员工约为1000名，2008年底约为2000名。 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建

9、议书(硬件集成部分硬件集成部分)第 5 页 A 集团综合信息系统建设，本着“实用、先进、升级简便、扩充性好、开放性好”的五项基本原则进行。 根据公司的实际情况和具体的应用需求及行业的特点，采用分期分阶段的实施。 在项目实施过程中，以少花钱多办事为原则，每期的投资都应有继承性。 本期项目的目标是建立如下系统：（1）建立连通 A 集团内部各组织机构的网络平台；（2）建立一个安全、稳定、高效的网络运行空间；（3）建立通用办公系统及邮件系统；（4）建立财务管理系统；（5）内部网站、网络视频会议、BBS 交流协作环境的建设；（6）建立适合建筑行业的综合业务管理系统；（7）加强知识管理，建立企业自身的知识

10、库； 本系统的建设能满足未来 5 年内的业务需求的升级，第二章第二章 建设原则建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，其设计遵循以下原则：2.1 先进性先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；2.2 标准性标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开

11、放性。 全面支持 IEEE 工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的 RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CRTP. 支持：IPsec、L2TP、GRE、MPLS-VPN 规范。 支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM； 网络管理协议：SNMP，RMON，RMON2； A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 6 页 2.3 兼容性兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及

12、将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。2.4 可升级和可扩展性可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。2.5 安全性安全性由于系统和其它系统连接，因此，考虑系统的安全性是一个非常重要的方面。应采用设有安全控制的网关设备相连，使用 VPN 技术和防火墙等。2.6 可靠性可靠

13、性本系统是 7x24 小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性系统的主要部件采用冗余结构，如：传输方式的备份，提供备份组网结构；主要的计算机设备（如数据库服务器） ，采用 CLUSTER 技术,支持双机或多机高可用结构；配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力，具有完善的系统

14、恢复和安全机制；2.7 易操作性易操作性提供中文方式的图形用户界面，简单易学，方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 7 页 第三章第三章 网络系统方案网络系统方案该系统包括：36 个网络节点互连方案、线路备份、内部局域网的建设。3.1 广域网设计广域网设计目前 A 集团在全国有 36 处公司极其分支机构，可以分为 3 类：1 公司总部（数量 1） 、2 区域性公司及本部（数量 7） 、3 分公司及事业部（数量 28） 。3.1.1 需求分析需求分析如下表在全国 A

15、 集团有 36 个节点，其分布如下：公司名称公司名称所属类别所属类别所在地所在地用户数用户数备注备注集团总部总公司杭州100总部A 一建区域性公司东阳50区域性公司A 二建区域性公司杭州100区域性公司A 三建区域性公司上海100区域性公司A 四建区域性公司北京50区域性公司A 五建区域性公司西安100区域性公司A 六建区域性公司武汉50区域性公司A 七建区域性公司广州50区域性公司集团本部总公司东阳50同 A 一建共金华分公司分公司金华隶属 A 一建义东分公司分公司义乌隶属 A 一建温州分公司分公司温州隶属 A 一建衢州分公司分公司衢州隶属 A 一建宁波分公司分公司宁波隶属 A 二建嘉兴分公

16、司分公司嘉兴隶属 A 二建南京分公司分公司南京隶属 A 三建合肥分公司分公司合肥隶属 A 三建天津分公司分公司天津隶属 A 四建内蒙分公司分公司呼和浩特隶属 A 四建 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 8 页 青海分公司分公司西宁隶属 A 五建甘肃分公司分公司酒泉隶属 A 五建湖南分公司分公司长沙隶属 A 六建江西分公司分公司南昌隶属 A 六建A 高级中学子公司东阳子公司杭州天翔房产公司子公司杭州子公司A 房产开发公司子公司东阳子公司西安亚东房产公司子公司西安子公司湖南天翔房产公司子公司长沙子公司上海亚东房产公司子公司上海子

17、公司华天装饰有限公司子公司杭州子公司安装工程有限公司子公司杭州子公司海外工程事业部事业部北京隶属总公司装饰事业部事业部杭州隶属总公司房地产投资事业部事业部上海隶属总公司交通工程事业部事业部杭州隶属总公司项目部项目部分布各地在建项目约 500个3.1.2 广域网规划广域网规划 根据前面的需求分析,考虑到网络的收敛性,经济与安全等因素,我们建议采用星型结构的拓扑,这样可以充分利用带宽资源,整个网络采用 3 级结构：一级节点为：集团总部共 1 个，二级节点为：区域性公司及本部共 7 个，三级节点为 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第

18、 9 页 其他分公司及事业部共 28 个，广域网规划如下：在相应的一级节点和二级节点相应的局域网内部署入侵检测和防火墙，来保证系统的安全。 3.1.3 网络互连设计网络互连设计根据网络互连的需求分析，以及广域网规划，我们建议从以下几个方面来考虑网络的设计：带宽分配、QOS 设计、路由设计、IP 地址分配、网络部署等。3.1.2.1 带宽分配带宽分配为了支持 A 集团多业务系统的可持续发展，考虑的经济组网的原则，我们来分析该集团目前和将来的业务属性、和业务逻辑等因素对网络链路的需求，同时也是设备选型的一个依据。A 集团目前有或将要有的业务有全公司的上网需求、财务系统、视频会议、公司的办公自动化系

19、统、建筑行业的综合业务管理系统、邮件系统、知识库系统的建设等的建设。以上数据涉及到保密、实时流媒体等数据传输要求，我们从链路选型、带宽计算两方面来确定所需的带宽。链路选型：目前比较常使用的数据链路业务可以是：DDN、FR、ISDN：DDN 专线接入向用户提供的是永久性的数字连接，沿途不进行复杂的软件处理，因此延时较短，避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点；DDN 专线接入采用交叉连接装置，可根据用户需要，在约定的时间内接通所需带宽的线路，信道容量的分配和接续均在计算机控制下进行，具有极大的灵活性和可靠性，使用户可以开通各种信息业务，传输任何合适的信息，因此，DDN 专线接

20、入在多种接入方式中深受用户的青睐。DDN 专线接入的主要优点：能提供高性能的点到点通信。通信保密性强，特别适合金融、保险等保密性要 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 10 页 求高的客户需要； 传输质量高，网络时延小，通信速率可根据用户需要按 N64Kbps 选择 ；信道固定分配，充分保证了通信的可靠性，保证用户的带宽不会受其他用户的影响 ；用户通过这条高速的国际互联网通道，可构筑自己的 Internet、E-mail 等应用系统 ；用户网络的整体接入使局域网内的 PC 均可共享互联网资源； 用户可免费得到多个 Intern

21、et 合法 IP 地址及域名 ；用户可实现每天 24小时全天候的信息发布，即用户可建立自己的 Web 站点，向国际互联网发布自己的信息或提供信息服务 ；用户可通过防火墙等技术保护内部网络免受不良侵害 。 本期 A 集团要实现的业务当中，有数据业务（邮件、公文流转、互联网、内部系统、数据查询）和流媒体业务（视频会议等） 。 由于整个网络环境为 TCP/IP 框架下，对于数据业务这类非实时业务来讲，网络自身可以实现数据重传恢复机制，对带宽的需求不是很大，而流媒体业务这类实时业务来讲，必须具备两个因素才可以在 IP 环境下实现的比较好：（1）具备一定的带宽，达到理想的传输环境，理论上传输一路 MPE

22、G 视频为384K，如果采用双向视频会议必须具备大于 2*384=768K 的带宽。 （2）网络具备一定的 QOS 机制（关于 QOS 在 QOS 设计里详细介绍） 。从一级节点到二级节点带宽一级节点到二级节点带宽计算如下（按两路视频会议和 2000 人上网计算）：二级节点平均分配的人数为：2000/7=286 人；根据 Gartner 统计数据分析，一个企业一般只有 10%-20%的人并发上网或发邮件，我们按 15%计算，即：二级节点并发上传或下载数据的人数为：286*15%=43 人；一般 24K/秒的速度数据能确保 2 秒钟正常打开网页，即：二级节点需要广域网链路基本带宽为：43*24K

23、=1028K。由于视频会议不是经常开，当视频会议必要是可以通过 QOS 优先级别抢占 1028K 带宽中的 768K。我们建议采用 1024K 带宽为一级节点到二级的节点带宽，可以满足到未来 2008 年的需求。如果需要额外的视频带宽可以即使方便的向电信申请，而不必更换网络设备的模块。从一级节点到互联网带宽计算一级节点到互联网带宽计算如下：（2000 人上网计算）：到 2008 年，上网人数将达到 2000 人，根据 Gartner 统计数据分析，一个企业一般只有 10%-20%的人并发上网或发邮件，我们按 15%计算，即：二级节点并发上传或下载数据的人数为：2000*15%=300 人；一般

24、 24K/秒的速度数据能确保 2 秒钟正常打开网页，即：二级节点需要广域网链路基本带宽为：300*24K=7200K。在 2008 年左右可以申请 10M 电路，而不会添加用户端设备，完全满足需求，目前我们可以考虑 2M 电路就可以满足了。3.1.2.2 QOS 设计设计 由于考虑到整个综合业务网络信息系统的可靠性和可用性，那么一个质量保证的体系结构是必须具备的，这也是一个设备选型的必须考虑的地方， A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 11 页 要实现网络的稳定质量，最先考虑的就是什么业务对整个网络系统的服务质量最关心，在这里

25、最关键的就是视频会议和数据语音，这两种业务才是最关心服务质量的，视频会议系统一般全面支持 H.323 和 T.120 标准来完成视频、音频、数据的集中和转发。同样，在我们国家，像联通等语音电话采用的是H.323 协议，当然也有像北电的基于软交换功能的语音系统，但是都是要求对时间比较敏感的协议，如 UDP，RTP，CRTP 等，所以 QOS 是一定要保证的，除了数字线路的服务质量以外，就是要考虑接入服务器的 QOS 功能了。 1先进先出（FIFO）先进先出提供了基本的存贮转发功能，也是目前 Internet 使用最广泛的一种方式，它在网络拥塞时存贮分组，在拥塞解除时按分组到达顺序转发分组。是默认

26、的排队方法，因此不需要配置。缺点是不提供 QoS 功能，对突发数据流在传输时间要求严格时，应用程序会引起过多的延迟，并对突发性的存在包丢失的连接公平性较差，对上层的 TCP 快速恢复的效率也较低。2优先级排队算法（priorityQueuing，PQ）优先级排队算法是禁止其它流量的前提下，授权一种类型的流量通过，使用优先级排队给路由接口上传输的数据分配优先级，当有空闲路由时，路由就来回扫描所有队列，将高优先队列数据发出，只有当高优先级队列空了以后，才能为低优先级服务，如果优先级队列满，则扔掉数据包，路由器不处理，优先级排队适用于网络链路不断阻塞的情况。 PQ 的带宽分配独立于数据包大小。因此它

27、在没有牺牲统计利用的情况下提供另外的公平性，与端到端的拥塞控制机制可以较好的协同，它的缺点在于实现起来很复杂，需要每个数据流的排队处理，每个流状态统计，数据包的分类以及包调度的额外开销等。3定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同的协议分配不同的队列空间，并以循环方式处理队列。为特定的协议分配较大的队列空间可以提高其优先级。定制排队比优先级更为“公平”。在可能发生拥塞的地方使用定制排队可以提供保证的带宽。定制排队可以保证为每一个特定的通信类型得到固定部分的可用带宽，同时在链路紧张的情况下，避免数据包企图占用超出预分配量限制的可能。4加权公平排

28、队（Weight fair queuing，WFQ） 加权公平排队用于减少延迟变化，为数据流提供可预测的吞吐量和响应时间。目标是为轻载网络用户和重载网络用户提供公平一致的服务。保证低权值的响应时间与高权值的响应时间一致。 加权公平排队是一种基于数据流的排队算法，它能识别交互式应用的数据流，并将应用的数据流调度到队列前部，以减少响应时间。WFQ 与定制排队和优先排队不同。能自动适应不断变化的网络通信环境，几乎不需要配置。 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 12 页 5随机先期检测（random early detection，

29、RED） 前面介绍的排队机制是基本的拥塞控制策略。尽管这些技术对控制拥塞是必须的。但它们对避免拥塞现象的发生都显得无能为力。 随机先期检测监视网上各点的通信负载，如果拥塞增多，就随机丢弃一些分组，当源分布点检测到通信丢失，降低传输速率。RED 可以在各连接之间获得较好的公平性，对突出业务适应性较强。6加权随机先期检测（weightedrandom early detection，WRED） 加权随机先期检测是将 RED 与优先级排队结合起来，这种结合为高优先级分组提供了优先通信处理能力，当某个接口开始出现拥塞时，它有选择地丢弃较低优先级的通信，而不是简单地随机丢弃分组。 总之，在传统 TCP

30、拥塞控制中，结合 IP 层拥塞控制算法，将是完善Internet 拥塞控制最有效的途径。3.1.2.3 网络设备选型网络设备选型 设备的选型对整个网络系统的质量十分重要，A 公司做为一个成熟的系统集成商，有一套科学而有效的质量管理体系，首先，要考虑用户的需求、售后服务、关键应用、特殊应用、质量保证、网络属性、目前系统系统结构等几个方面来考虑。 现在国内的著名网络设备的供应商主要有三家 Cisco,3COM 和华为。其中3COM 的路由器设备在中国使用不是十分广泛，同时网络产品以交换机为主要产品，在其他网络产品方面力量相对其他两家厂商稍弱。华为作为中国重要的网络产品供应商，产品线齐全，种类多档次

31、较齐全在，中国市场有一定的占有率，价格比较便宜，主要是通常的网络应用环境，在 VPN、VOIP 和其他复杂应用中比较少。Cisco 做为全球最大的网络设备供应商，在路由器和交换机领域的成果有目共睹，它的产品应用在世界各个角落，在中国也广为使用。Cisco 产品线齐全，从小型的 SOHO 用路由器和交换机到大型骨干路由器、交换机一应俱全。同时产品端口密度高，同一产品具有多种不同配置方案有利于产品的多功能化如 VOIP、VPN 等。它拥有许多独创的技术如ISL、NetFlow、Fast EtherChannel 等，对系统今后的演进和发展有很大好处，而在 IP 广域互连上，CISCO 具有最大的优

32、势，同时由于 Cisco 完整的产品线为用户提供了丰富的选择余地，Cisco 网络设备的优秀兼容性也为和其他公司产品互连提供了可靠的保证。在售后方面，CISCO 也做的很好，在 A 集团综合网络信息系统中原有设备大部分为 CISCO 产品，考虑到网络的平滑性，和维护方便等各个原因，特别是特殊应用 QOS 的保证方面，VPN 特性方面、安全方面等，比其他两个厂家都要成熟和更多的案例，针对本次项目我们推荐CISCO 高可用的产品在实现系统的网络支撑平台。 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 13 页 3.1.2.4 网络部署网络部

33、署 杭州 A 集团总部一级节点,作为核心节点,具备如下功能:汇接二级 7 个节点的数据,终结 VPN 隧道,我们建议采用 CISCO 最新高性能路由器 CISCO374-VPN/K9 作为核心路由器, 模块化 Cisco 3700 系列应用服务路由器充分利用了Cisco 1700、2600 和 3600 系列路由器针对 WAN 访问、语音网关和拨号应用等而配备的可选的网络模块(NM)、WAN 接口卡(WIG)和高级集成模块(AIM)。此外，Cisco 3725 和 Cisco 3745 这两个 Cisco 3700 平台引进一种新的、可提供更广泛接口的高密度服务模块 (HDSM)。配备四个 N

34、M 插槽的 Cisco 3745 路由器取消了在每一对相邻 NM 插槽之间的中心导轨，因此可以采用两个 HDSM ，而不是四个 NM。配备两个 NM 插槽的 Cisco 3725 路由器可在它所配备的两个 NM 插槽之一中采用一个 HDSM ，并仍可在剩余的 NM 插槽内采用一个 NM 。采用新的 HDSM 之后，Cisco 3700 系列路由器就能够集成更高端口密度和新的高性能服务了。支持 VPN,提供 7 个广域网接口,和一个Internet 广域网口,通过高级集成模块 AIM-VPN-HP 来实现 VPN 加密隧道的发起与终结,CISCO3745 本身集成了 3 个 WIC 卡，我们可以

35、通过提供 2 个 NM-2W 模块，配置 2 个 WIC-2T，和 1 个 WIC-1T，共 8 个，其中 7 个接入二级节点，另外一个可以作为 Internet 接驳，Internet 接驳速率暂时定为 2M，将来可以通过升级到 10M。如图所示：在本次项目中，CISCO3745-VPN/K9 最大可以同时支持 2000 个 Tunnels，即便是 2008 年全体上网人数同时与总部通信，都没有任何问题；局域网采用天融 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 14 页 信防火墙 NGFW4000-S 来实现阻隔某些端口的入侵和非

36、法探测，提供详细的日志与审计功能，该防火墙也可以跟入侵检测系统天阗 500 联动，动态检测黑客的入侵并禁用相应端口，在防火墙的 DMZ 部署 WEB 服务器供外部访问，详细描述见网络安全设计。对于三级节点的 VPN 接入就可以支持多种方式了，最经济的方式就是采用SITE TO Client 方式，由 CISCO 自带的 VPN Client（支持多种操作系统）通过拨号或通过专线、ISDN、FR 等方式访问 VPN，由对端的 VPN 网关提供认证，具体方式见下面章节：VPN 设计。整体拓扑如下所示：3.1.2.5VPN 设计设计VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网

37、的一种技术，它通过对网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即 VPN） 。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。本次项目中根据前面规划：在一级节点与二级节点之间部署端到到端 VPN：Site TO Site，结构为星型 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 15 页 结构：HUB-SPOKE。在二级节点与三级节点部署端到点方式 VPN：Site TO Clint。在本次项目应用中考虑到传输的有视频、语音、数据 3 类信息

38、，各类信息对网络环境都有一定的要求，特别是 VPN 环境下的实现更是比较复杂，我们采用 CISCO3745、2621XM VPN 多应用服务器可以支持 V3PN，即能在 IPsec隧道上实现视频、语音、数据 3 类信息的封装，而保证 IP 中的 QOS 特性不改变，从而保证数据的 IP 连贯应用。这个过程多用户来讲是透明的。在 CISCO3745、2621XM 中，提供 12.2(13) T 或以上版本的 IOS，支持IPSec 提供 DES 和 3DES 的 Advanced Encryption Standard (AES)，新型的AES 支持 128-bit key (default),

39、 和 192-bit key, 或 256-bit key.提供更加复杂更加安全的应用。如图所示：通过以上设计可以保证原来的 QOS 机制在网络中一直启用，保证网络的平滑。考虑到网络规模的变大，如将来可能需要建立新的办事处或地域性分公司，这样添加的路由器可能会对基于传统 IPsec 方式的 VPN 造成一定的影响，我们可以采用 IPsec+GRE（通用路由封装）技术来实现基于 IP 路由收敛的 VPN 技术，这样，路由的更新可以完全透过 2 层 VPN 来实现，这对用户来讲是完全透明的，一旦 A 集团的规模发生巨大的变化，网络拓扑方式要变化如构成MESH 方式或节点数大大增加，我们可以完全在不

40、更改设备的情况下建立基于MPLS VPN，CISCO3745 完全可以设置 PE 路由器，而 CISCO2621 可以相应地设置为 CE 路由器，这样整个核心 VPN 网络就从 2 层 VPN 直接升级到 3 层 IP VPN 构架来了。在二级节点与三级节点采用端到点方式 VPN：Site TO Client。对于 3 级节点加入到集团 VPN 当中来，就非常方便了，我们购买的CISCO3745 和 CISCO2621 VPN 路由器，随机附带了一份 CD，包含了 Client端 IPsec 程序，该程序非常简单大部分的设置都是预定义的，VPN 访问策略和配置可以直接从相应所属的二级或一级 V

41、PN Gateway（这里是 3745 或 2621 路由器）直接下载，目前 VPN Client 可以支持如下系统 Windows 95(OSR2+), 98, ME, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc-32 & 64 bit) and MAC OS X 10.1 & 10.2 (Jaguar) A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 16 页 3.1.2.6 网络管理网络管理在本方案中采用了 CISCO 的解决方案，对于网络的管理，我们建议采用CISCOW

42、ORKS2000。CiscoWorks2000 服务管理解决方案建构在第 3 层结构基础之上，包括可远程安装的数据收集应用、Cisco IOS 的内嵌式技术以及一整套融合了业界最先进的评估服务和定额引擎的应用软件。该解决方案的构件包括： 管理引擎 1110（ME1110）可在网络中远程安装，是具有极高扩展性和灵活性的数据收集解决方案。ME1110 是专为收集 Cisco 设备的度量数据而设计，并允许在数据收集需求增长的情况下暂停管理服务器来安装新的 ME1110 设备。 服务保障代理一种用来确定度量数据服务级别的技术，以验证度量数据是否符合服务级别的要求。鉴于服务保障代理技术已内嵌于 Cisc

43、o IOS 软件中，因此它是随时可用的，并且对网络基础设施的费用几乎不会构成任何影响。 服务级别管理器建构于开放的 XML 应用程序接口基础上，可提供给合作伙伴以用于第三方的应用集成。 - CiscoWorks2000 服务管理解决方案使网络经理能够验证他们为广域连接和网络服务提供的服务级别。它将基于标准的开放式管理应用程序接口、Cisco 内嵌式 IOS 代理、可扩展服务级别的管理应用与第三方产品相结合，从而具有了端到端服务级检查和全面管理能力。因此，客户现在可以完全放心地使用这些新的应用，比如 VoIP、IP 电话、虚拟专网和电子商务解决方案等，可轻松地获得不同的服务和更好的终端用户满意度

44、，执行同时监视多个服务级协议，调试并改进网络以及定制故障报告。与此同时，第三方应用开发人员和系统集成人员能够连续地获得有关网络层的数据，并对定义和收集到的服务级度量信息进行标准化。 第四章第四章 网络安全方案网络安全方案4.1 安全设计安全设计网络面临的安全威胁大体可分为两种：一是对网络数据的威胁； 二是对网络设备的威胁。这些威胁可能来源于各种因素：可能是源于网络外部的， 也可能是内部人员造成的； 总结起来，最主要威胁是来自外部和内部人员的恶意攻击和入侵，这是企业信息化等顺利发展的最大障碍。基于 VPN 的网络基本上安全了，但是考虑到 Internet 的应用，内部人员的网络入侵、资料盗取、恶

45、意破坏，病毒入侵等因素，综合的安全设计还是必要的， A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 17 页 我们建议针对这些因素提出如下安全防护措施：1、防火墙技术2、IDS 入侵检测系统3、防病毒系统4、备份（关于备份的配置，我们在主机设计里描述）4.1.1 防火墙技术防火墙技术防火墙是一种成熟的技术,目前防火墙的功能也越来越强大,技术越来越统一,考虑到企业信息系统的安全级别,在选型上注重国产的,具备一定的应用案例,选型原则如下:4.2.1.1 防火墙选型防火墙选型由于网络信息化系统网络安全的重要性，并结合网络信息化系统信息安全工作的

46、实际条件及情况，我们确定如下选型原则：防火墙必须具有自我系统保护能力。防火墙必须具有强大 NAT 转换功能。防火墙支持各类加密算法和 VPN 功能。防火墙的端口是可扩展的。防火墙产品应提供避免或禁止内外网络用户进入系统的手段，即使对安全管理员而言，也应遵循对系统操作的最小授权原则。防火墙产品硬件/软件必须具备经国家授权部门测试认证的安全等级。防火墙产品遇故障工作失效，系统应自动转为缺省禁止状态。防火墙产品必须至少具有履行所需安全服务的最小能力。防火墙产品所采用的技术，不单纯追求先进、完善，而必须保证实用和成熟性，相关技术标准应采用、引用和接近国家标准。防火墙产品的接入不影响原网络拓扑结构，防火

47、墙产品的运行最小影响原网络系统的运行效率。防火墙产品如果涉及密码技术的使用，必须获得国家密码管理委员会办公室的立项和鉴定批准；防火墙产品如涉及密码算法必须按国家密码委员会办公室的规定进行申请和使用。防火墙产品须经过国家信息安全产品认证机构的认证。通过以上分析，我们建议采用国内著名防火墙厂商天融信防火墙的产品 NG FW4000，其强大的性能处理和全面的控制规则得到诸多企业和企业的青睐。4.2.1.2 技术细节技术细节采用独创的最新最先进的技术采用独创的最新最先进的技术-核检测技术，即基于OS 内核的会话检测技术，在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲，不但更加成功

48、地实现了对 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 18 页 应用层的细粒度控制，同时，更有效保证了防火墙的性能。采用独创的先进的设计思想采用独创的先进的设计思想-面向资源的进行设计，对不同对象的具体的组成资源，如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等，直接进行控制，极大的提高了安全性，并保证了配置的方便性。先进独特的防火墙策略体系先进独特的防火墙策略体系-面向资源的防火墙策略体系。建立独立的防火区域，通过中央管理接口、管理端口协议、不同节点对象（网络邻居、自定义网路、防火墙所在子网等）、协议类型、

49、应用行为等不同资源配置策略，使防火墙的策略配置更加简单，且便于维护。分层式管理结构分层式管理结构防火墙的管理采用集中的层次管理结构，实现“防火墙防火区-对象资源”的安全策略定义结构。配置简单、配置安全性高；管理简单、维护方便；更好的保证了性能。支持支持 TOPSEC 技术体系的核心技术技术体系的核心技术支持TOPSEC技术体系的核心技术，可以实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动，并支持TopsecManager综合管理系统和SAS安全审计系统。 适用更广泛的网络及应用环境适用更广泛的网络及应用环境支持众多网络通信协议和应用协议，如DHCP 、VLAN 、ADSL 、IP

50、X 、RIP 、ISL 、802.1Q 、Spanning tree 、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP、pppoe协议等，使4000防火墙适用网络的范围更加广泛，保证用户的网络应用。方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。支持多种工作模式支持多种工作模式可以支持透明、路由和混合工作模式。其中，独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现，并在 NGFW4000 中进行了重新设计和实现，进一步得到了优化，方便适用于复杂网络结构和应用的接入。 支持远程集中管理支持远

51、程集中管理可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全政策布署，保证整个系统的安全策略的一致性，提高整个系统的安全强度。NGFW4000 的主要配置和管理都是基于 GUI（Graphic User Interface） 方式的，管理主机只需安装专门的管理软件，就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。支持负载均衡和双机备份支持负载均衡和双机备份支持两台防火墙之间的双机备份和负载均衡；支持多台服务器之间的负载均衡。不但更好的适用不同的网络环境，且更好的提供高性能和保证可靠性。支持服务器的负载均衡支持服务器的负载均衡NGFW4000 防火墙可以支

52、持一个服务器阵列，这个阵列经过防火墙对外表现为单台的机器，防火墙将外部来的访问在这些服务器之间进行均衡，同时可以识别出故障的服务器。 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 19 页 图表 1 防火墙的负载均衡技术防火墙自身的负载均衡防火墙自身的负载均衡NGFW4000 支持负载均衡功能，可以在高带宽的网络环境中有效的提高性能，同时负载均衡还实现了接口之间的备份，当 A 机器的某个接口故障时，B 机器的相应接口可以接管它的工作，同时 A 机器的其他接口仍然正常地工作。双机备份双机备份为了保证网络的高可用性与高可靠性，NGFW400

53、0 提供了双机备份功能，即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态，为主防火墙，另一个处于备份状态，为从防火墙。当主防火墙发生意外down 机、网络故障、硬件故障等情况时，主从防火墙自动切换工作状态，从防火墙代替主防火墙正常工作，从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与，切换时间可以以秒计算。同时 NGFW4000 还实现了状态传送协议 STP ，当一台防火墙故障时，这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上，用户不会觉察到。图表 2 防火墙双机备份多层次分布式带宽管理多层次分布式带宽管理带宽管理完全虚拟了网络带宽应用的

54、实际环境，并实现多层次的分布式管理模式，避免了单层集中管理的缺点；而且，可以实现带宽分层、带宽分级、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。NGFW4000 能够允许管理员定义任意两个网络对象之间通信时的最大带宽，而且带宽可以是分层的，例如部门带宽下面有小组带宽然后是个人带宽等，可以防止带宽被滥用，保证重要的通信的顺畅。具体如下图所示： A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 20 页 图表 3 分布式管理支持多种身份认证支持多种身份认证支持多种身份认证支持，如 OTP 、RADIUS 、S/KEY 、

55、SECUREID 、TACACS/TACACS+、口令方式、数字证书（CA ） ，更好更广泛的实现了用户鉴别和访问控制。更强的防御功能更强的防御功能在内核上实现对病毒防护，内容过滤（如 HTTP 、FTP 等 ）和入侵检测（IDS ）功能，其中的入侵检测功能，防火墙 4000 不但有内置的 IDS 功能，还可以和 IDS 实现联动。这不但提高了安全性，而且保证了性能。深层日志及灵活、强大审计分析功能深层日志及灵活、强大审计分析功能提供丰富的日志信息，用户可根据特定的需要进行日志选项（不做日志、日志会话（即传统的日志） 、日志命令） 。独创的网络实时监测信息，可详细审计命令级操作，便于入侵行为的

56、分析和追踪。大大提高防火墙的审计分析的有效性。一个安全防护体系中的审计系统的作用是记录安全系统发生的事件、状态的改变历史、通过该节点的符合安全策略的访问和不符合安全策略的企图，使管理员可以随时审核系统的安全效果、追踪危险事件、调整安全策略。进行信息审计的前提是必须有足够的多的日志信息。NGFW4000 提供了非常强大的日志功能，用户可以根据需要对不同的通讯会话记录不同的日志。NGFW4000 的审计日志包括如下两个部分：日志会话、日志命令。日志会话也就是传统的防火墙日志，负责记录通讯时间、源地址、目的地址、源端口、目的端口、字节数、是否允许通过。日志会话信息用来进行流量分析已经足够，但是用来进

57、行安全性分析还远远不够；应用层日志命令在日志会话的基础之上记录下各个应用层命令及其参数，比如 HTTP 请求及其要取的网页名；访问日志则是在应用层命令日志的基础之上记录下用户对网络资源的访问，它和应用层日志命令的区别是：应用层日志命令可以记录下大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对 FTP 协议，日志会话只记录下读、写文件的动作；日志命令则是在访问日志的基础之上，记录如用户发送的邮件，用户取下的网页等。天融信新一代防火墙产品可以根据用户的不同需要对不同的访问策略做不同的日志，例如有一条访问策略允许外界用户取 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术

58、方案建议书(硬件集成部分硬件集成部分)第 21 页 FTP 服务器上的文件，如果做命令日志，用户就可以知道到底是哪些文件被取走了。4 .14 管理安全、方便灵活管理安全、方便灵活防火墙 4000 经过简单的配置即可接入网络进行通信和访问控制，GUI 管理界面提供了清晰的管理结构，每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密（支持 SSL 和 SSH ） ，并进行严格的审计，实现了真正的安全远程管理。同时，可以支持 SNMP 与当前通用的网络管理平台兼容，如 HP Openview 等，方便管理和维护。优秀的性价比优秀的性价比强大完善的功能、优秀的性能、高的稳定性和可靠性，及方

59、便扩展 VPN 、IDS 、认证、计费、审计等安全服务，体现了优秀的性价比，可有效地保护客户投资。独立的防火区域独立的防火区域NGFW4000 防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略。也可以设定是否允许从该区域 PING 、TELNET 防火墙。面向资源的管理机制面向资源的管理机制NGFW4000 中采用面向各种对象的不同组成资源的管理机制。对象是由许多种资源组成的实体，规则建立在这种实体的基础上。资源的概念比对象控制更加细化，简化了用户规则，使规则更为直观；同时，提

60、高了配置管理员的效率，提高了配置的灵活性。NGFW4000 提供了很多种资源，如，网络节点、子网、第三方用户、用户数据库、防火区域、端口协议、文件资源、VLAN 、特殊端口。支持透明接入支持透明接入NGFW4000 支持透明接入。将 NGFW4000 配置为透明工作模式，无需更改用户网络的拓扑结构就能接入用户网络中，用户网络中的主机也无需更改任何网络配置就能通过防火墙进行访问（当然是要在防火墙规则允许的情况下） 。透明接入极大的方便了防火墙的接入，同时并不降低网络的安全性。NGFW4000 还能工作在透明和路由的混合模式下，更能适应各种不同网络环境的接入。多级过滤的立体访问控制多级过滤的立体访

61、问控制为保证系统的安全性和提高防护能力，增强控制的灵活性，NGFW4000 采用了多级过滤措施：以基于 OS 内核的会话检测技术为核心，在 IP 层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及 TCP 、UDP 端口进行过滤；在应用层通过重写通讯会话的部分或者全部提供对高层应用协议命令、访问路径、内容、访问的文件资源的过滤；同时还直接支持第三方认证服务器提供用户级的鉴别和过滤控制。NGFW4000 的多级过滤形成了立体的全面的访问控制机制。强大的地址转换能力强大的地址转换能力NGFW4000 拥有强大的地址转换能力。NGFW4000 同时支持正向、反向地址转换，能为用户提供完整的

62、地址转换解决方案。正向地址转换用于使用保留 IP 地址的内部网用户通过防火墙访问公众网 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 22 页 中的地址时对源地址进行转换。NGFW4000 支持依据源或目的地址指定转换地址的静态 NAT 方式和从地址缓冲池中随机选取转换地址的动态 NAT 方式，两种方式总共可以有多达 32 个的不同转换地址，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用

63、保留 IP 地址就可以正常访问公众网，有效的解决了全局 IP 地址不足的问题。内部网用户对公众网提供访问服务（如 Web 、FTP 服务等）的服务器如果是保留 IP 地址，或者想隐藏服务器的真实 IP 地址，都可以使用NGFW4000 的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留 IP 地址的服务器提供服务，同样既可以解决全局 IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。NGFW4000 提供端口映射和 IP 映射两种反向地址转换方式，端口映射安全性更高、更节省全局 IP 地址，IP 映射则更为灵活方便。透明应用代理透明应用代理

64、NGFW4000 提供对常用高层应用服务（HTTP 、FTP 、SMTP 、POP3 、NNTP ）的透明代理。用户不需要在自己的主机上作任何的有关代理服务器的设置，只需管理员在防火墙上配置相关的规则，用户通过防火墙进行的上述应用访问就会由防火墙进行代理，这些配置对用户来说完全是透明的，极大的方便了用户使用代理。同时 NGFW4000 还对上述服务做了更详细控制，如HTTP 对命令（GET 、POST 、HEAD 、DELETE 、OPTION 、PUT 、TRACE 等）和 URL 以及脚本类型进行过滤，FTP 对命令（GET 、PUT ）及访问路径进行控制，SMTP 、POP3 对收发信人

65、进行控制，NNTP 对命令（POST 、GROUP ）以及新闻组进行控制，这使得用户使用代理访问 Internet 更为安全。 内嵌内嵌 VPN 功能支持功能支持NGFW4000 内建了 VPN 的主要功能。用户启用 NGFW4000 的 VPN 功能，就能够与 VPN 体系中的其它网关 VPN 、Windows 客户端、当然也包括另外的启用了 VPN 功能的 NGFW4000 互通，建立加密隧道进行加密通信，形成虚拟专用网在异地局域网间通过互联网提供安全可靠的网络使用环境。在功能上就相当于一台 VPN 的网关 VPN 与一台 NGFW4000 两台设备组合起来，在硬件上仅为一台设备，而且由于

66、是内建的功能支持，功能间的结合更加平滑易用。安全服务器网络（安全服务器网络（SSN ）保护）保护NGFW4000 采用多穴主机体系，可以定义某个接口连接的网络为安全服务器网络（SSNSecurity Server Network ） ，将提供信息访问服务的服务器安装于该网络区域内，与内、外网络从物理上隔离开来，并提供专门的安全保护。NGFW4000 提出的 SSN 概念有别于传统的所谓 DMZ 停火区模式，它是一种更为积极的安全防护理念：一般情况下，SSN 主机不允许主动向内、外网发起连接请求，只允许向内、外网回应其请求数据包；外网用户也只能访问SSN 上的主机，不能访问内部网主机。即 SSN 与外部网之间受防火墙保护，同时 SSN 与内部网之间也受防火墙保护，即使 SSN 受破坏，内部网络仍处于防火墙保护之下。同时 NGFW4000 提供的 SSN 保护功能针对用户最常提供 A 集团综合网络信息系统技术方案建议书集团综合网络信息系统技术方案建议书(硬件集成部分硬件集成部分)第 23 页 的 Web 访问服务进行专门保护，能定时检查 SSN 区 Web 服务器，进行校验，一旦发现服务器