【正文】 、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)。匯聚層豐富的多業(yè)務(wù)支持H3C S7500系列交換機(jī)支持強(qiáng)大的組播功能、靈活QinQ、內(nèi)置DHCPSERVER、NAT、PBR、POE、EPON等多種業(yè)務(wù)特性，這些業(yè)務(wù)特性極大的提高了網(wǎng)絡(luò)業(yè)務(wù)部署的簡(jiǎn)便性和靈活性，同時(shí)增強(qiáng)了對(duì)IP語(yǔ)音、視頻、WLAN的支持能力，為企業(yè)IT系統(tǒng)實(shí)現(xiàn)通信整合提供了便利。 內(nèi)網(wǎng)接入層設(shè)計(jì)內(nèi)網(wǎng)接入層設(shè)備分布于各樓層配線間。統(tǒng)一采用H3C S3600智能彈性三層交換機(jī)，每個(gè)樓層根據(jù)用戶信息接入點(diǎn)的數(shù)量，靈活配置48端口和24端口盒式交換機(jī)，通過(guò)智能彈性堆疊，提供高密度端口擴(kuò)展和統(tǒng)一管理。接入層每個(gè)堆疊組通過(guò)雙千兆捆綁的光纖鏈路連接到匯聚層交換機(jī)。另外每臺(tái)S3600還提供4個(gè)千兆SFP端口，可實(shí)現(xiàn)多千兆捆綁增加上行帶寬，還可以實(shí)現(xiàn)少量千兆到桌面的接入。H3C S3600系列交換機(jī)主要有以下三個(gè)型號(hào)：l S360028P：24個(gè)10/100BaseT以太網(wǎng)端口，4個(gè)1000BaseX SFP千兆以太網(wǎng)端口；l S360028TP：24個(gè)10/100BaseT以太網(wǎng)端口，2個(gè)1000BaseX SFP千兆以太網(wǎng)端口， 2個(gè)10/100/1000BaseT以太網(wǎng)端口；l S360052P：48個(gè)10/100BaseT以太網(wǎng)端口，4個(gè)1000BaseX SFP千兆以太網(wǎng)端口；S360028P/ ，二/。，二/。接入層彈性擴(kuò)展技術(shù)—IRF：H3C S3600系列交換機(jī)采用華為3COM公司創(chuàng)新的IRF（ Intelligent Resilient Framework）智能彈性技術(shù)，與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)的性能方面具有強(qiáng)大的優(yōu)勢(shì)： 擴(kuò)展性—IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，最大擴(kuò)展至384個(gè)10/100M端口；具有即插即用、單一IP管理，同步升級(jí)的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本?？煽啃浴ㄟ^(guò)專(zhuān)利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無(wú)間斷三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。分布性通過(guò)分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。接入層完備的安全策略：H3C S3600系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問(wèn)權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲(chóng)等新興安全威脅的整體防御能力。H3C S3600支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機(jī)（例如S9500/7500）上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功能，配合XLOG系統(tǒng)對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C S3600系列交換機(jī)提供DHCP Snooping(偵聽(tīng))功能，通過(guò)建立和維護(hù)DHCP Snooping綁定表實(shí)現(xiàn)偵聽(tīng)接入用戶的MAC地址、IP地址、租用期、VLANID 接口等信息，解決了 DHCP用戶的IP和端口跟蹤定位問(wèn)題。同時(shí)對(duì)不符合綁定表項(xiàng)的非法報(bào)文（ARP欺騙報(bào)文、擅自修改IP地址的報(bào)文）直接丟棄，保證DHCP環(huán)境的真實(shí)性和一致性。同時(shí)利用DHCP Snooping的信任端口特性可以保證DHCP Server的合法性。接入層多業(yè)務(wù)融合能力：H3C S3600系列交換機(jī)提供豐富的QOS功能，能為數(shù)據(jù)、語(yǔ)音、視頻、多媒體等不同的業(yè)務(wù)提供服務(wù)質(zhì)量保證。H3C S3600系列交換機(jī)通過(guò)支持Voice VLAN技術(shù)和智能POE技術(shù)很好的解決了該類(lèi)設(shè)備的智能檢測(cè)、供電和優(yōu)先級(jí)的調(diào)整問(wèn)題。接入層高可靠性設(shè)計(jì)：H3C S3600系列交換機(jī)除了支持高可靠性的IRF技術(shù)以外，還支持傳統(tǒng)的STP/RSTP/MSTP二層鏈路保護(hù)技術(shù)，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。 支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓?fù)浣Y(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持ECMP（等價(jià)路由），通過(guò)配置多條等值路徑實(shí)現(xiàn)上行路由的冗余備份和負(fù)載分擔(dān)。采用交流/直流雙輸入設(shè)計(jì)，設(shè)備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。 專(zhuān)網(wǎng)連接新化化肥廠專(zhuān)網(wǎng)出口配置1臺(tái)SecPath F1000S高性能專(zhuān)業(yè)防火墻。內(nèi)網(wǎng)核心交換機(jī)通過(guò)雙千兆捆綁高速鏈路連接內(nèi)網(wǎng)防火墻，內(nèi)網(wǎng)防火墻再通過(guò)100/1000M鏈路連接至新化化肥廠專(zhuān)網(wǎng)路由器，實(shí)現(xiàn)內(nèi)部局域網(wǎng)到新化化肥廠專(zhuān)網(wǎng)的互聯(lián)，同時(shí)內(nèi)網(wǎng)防火墻有效的防御來(lái)自新化化肥廠專(zhuān)網(wǎng)對(duì)內(nèi)部局域網(wǎng)和數(shù)據(jù)中心的威脅。H3C SecPath F1000S防火墻提供四個(gè)千兆以太網(wǎng)接口，其中兩個(gè)千兆電口，兩個(gè)千兆光電復(fù)用接口。還提供兩個(gè)MIM插槽，可支持4個(gè)百兆或千兆端口擴(kuò)展。高達(dá)1Gbps吞吐量的數(shù)據(jù)檢測(cè)，支持100萬(wàn)個(gè)并發(fā)連接。 數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）采用1臺(tái)H3C S5600全千兆智能三層交換機(jī)作為匯聚，通過(guò)高密度千兆以太網(wǎng)接口連接內(nèi)網(wǎng)各功能服務(wù)器，通過(guò)雙千兆捆綁高速鏈路連接至內(nèi)網(wǎng)防火墻DMZ區(qū)。為保障內(nèi)網(wǎng)數(shù)據(jù)中心的高安全需求，在數(shù)據(jù)中心匯聚交換機(jī)與內(nèi)網(wǎng)防火墻間部署1臺(tái)TippingPoint 6OOE IPS高性能入侵防御系統(tǒng)。實(shí)現(xiàn)內(nèi)網(wǎng)和專(zhuān)網(wǎng)對(duì)數(shù)據(jù)中心的高效訪問(wèn)，同時(shí)通過(guò)防火墻和入侵防御系統(tǒng)的雙重保護(hù)，有效防御來(lái)自內(nèi)部局域網(wǎng)和新化化肥廠專(zhuān)網(wǎng)的威脅。H3C TippingPoint系列IPS，具備對(duì)2層到7層流量的深度分析與檢測(cè)能力，同時(shí)配合以精心研究的攻擊特征知識(shí)庫(kù)和用戶規(guī)則，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。TippingPoint 6OOE IPS可提供8個(gè)10/100/1000M以太網(wǎng)接口，光接口和電接口可靈活選擇，可同時(shí)保護(hù)4個(gè)網(wǎng)段；高達(dá)400Mbps數(shù)據(jù)檢測(cè)吞吐量，200萬(wàn)并發(fā)連接。很好的解決了數(shù)據(jù)中心高安全性要求和高帶寬保障的矛盾，在保障數(shù)據(jù)中心高度安全的情況下，并不降低數(shù)據(jù)中心的訪問(wèn)效率，不會(huì)讓安全設(shè)備成為數(shù)據(jù)中心的帶寬瓶頸。H3C S5600系列交換機(jī)產(chǎn)品特性：u 大容量全線速的多層交換S5600系列交換機(jī)具有192G/240G的交換容量和66M/102Mpps的二/三層包轉(zhuǎn)發(fā)能力，支持所有端口線速轉(zhuǎn)發(fā)。設(shè)備最大提供24/48端口10/100/1000M電接口、32個(gè)SFP千兆光接口或2個(gè)10G接口，充分滿足客戶對(duì)高密度GE和萬(wàn)兆上行設(shè)備的需求。設(shè)備具備強(qiáng)大的IRF堆疊擴(kuò)展能力，極大的節(jié)省了用戶對(duì)設(shè)備的投資。u IRF智能彈性架構(gòu)技術(shù) S5600系列交換機(jī)采用創(chuàng)新的IRF智能彈性技術(shù)，與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)的性能方面具有強(qiáng)大的優(yōu)勢(shì)，主要體現(xiàn)在三個(gè)方面；擴(kuò)展性－IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展，最大實(shí)現(xiàn)8臺(tái)設(shè)備的彈性擴(kuò)展；具有即插即用、單一IP管理，同步升級(jí)的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本?？煽啃裕ㄟ^(guò)專(zhuān)利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無(wú)間斷的三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和高性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。分布性－通過(guò)分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。u 高可靠性S5600系列交換機(jī)采用IRF技術(shù)組網(wǎng)后，能夠在整個(gè)堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強(qiáng)了設(shè)備和網(wǎng)絡(luò)的可靠性，消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。同時(shí)H3C S5600系列交換機(jī)不僅支持STP/RSTP生成樹(shù)協(xié)議，還提供了基于多VLAN的生成樹(shù)MSTP，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動(dòng)切換到下一條備份路由，實(shí)現(xiàn)上行路由的多級(jí)備份。采用交、直流雙輸入電源模塊供電，也可以通過(guò)更換電源模塊來(lái)支持PoE功能，提供所有固定端口的PoE滿負(fù)載。u 豐富的QOS策略H3C S5600系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復(fù)雜流分類(lèi)；每端口支持100個(gè)流規(guī)則，整機(jī)支持3200/5600個(gè)流規(guī)則，充分保障了復(fù)雜網(wǎng)絡(luò)對(duì)于QoS規(guī)則的要求。提供靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種模式；支持8個(gè)優(yōu)先級(jí)隊(duì)列。支持CAR（Committed Access Rate）功能，可以實(shí)現(xiàn)基于端口和基于流的速率限制，限制的粒度可以精確至64Kbps，為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。第四章 外部局域網(wǎng)設(shè)計(jì) 外網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)考慮**************計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)外網(wǎng)和內(nèi)網(wǎng)物理結(jié)構(gòu)完全相同，因此外部局域網(wǎng)與內(nèi)部局域網(wǎng)采用相同的層次結(jié)構(gòu)設(shè)計(jì)，核心層、匯聚層和接入層均采用與內(nèi)部局域網(wǎng)相同的設(shè)備選型和配置，采用相同的鏈路連接方式。外部局域網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)參見(jiàn)上述內(nèi)部局域網(wǎng)三層結(jié)構(gòu)設(shè)計(jì)，這里不再?gòu)?fù)述。 外網(wǎng)Internet連接外網(wǎng)Internet出口配置1臺(tái)SecPath F1000S高性能專(zhuān)業(yè)防火墻，外網(wǎng)核心交換機(jī)通過(guò)雙千兆捆綁高速鏈路連接外網(wǎng)防火墻，外網(wǎng)防火墻再通過(guò)100/1000M鏈路連接至運(yùn)營(yíng)商提供的Internet接口，實(shí)現(xiàn)外網(wǎng)的Internet接入。 數(shù)據(jù)中心（外網(wǎng)服務(wù)器）數(shù)據(jù)中心（外網(wǎng)服務(wù)器）采用1臺(tái)H3C S5600全千兆智能三層交換機(jī)作為匯聚，通過(guò)雙千兆高速鏈路連接至外網(wǎng)防火墻DMZ區(qū)，實(shí)現(xiàn)外部局域網(wǎng)和Internet對(duì)外網(wǎng)服務(wù)器的高效訪問(wèn)，同時(shí)外網(wǎng)防火墻有效的防御來(lái)自Internet外部局域網(wǎng)和外部服務(wù)器的威脅。第五章 網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)安全概述隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類(lèi)發(fā)展的大趨勢(shì)，給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、網(wǎng)絡(luò)的開(kāi)放性、互