【正文】 、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報文攻擊、防網(wǎng)絡協(xié)議報文攻擊等安全技術。匯聚層豐富的多業(yè)務支持H3C S7500系列交換機支持強大的組播功能、靈活QinQ、內(nèi)置DHCPSERVER、NAT、PBR、POE、EPON等多種業(yè)務特性，這些業(yè)務特性極大的提高了網(wǎng)絡業(yè)務部署的簡便性和靈活性，同時增強了對IP語音、視頻、WLAN的支持能力，為企業(yè)IT系統(tǒng)實現(xiàn)通信整合提供了便利。 內(nèi)網(wǎng)接入層設計內(nèi)網(wǎng)接入層設備分布于各樓層配線間。統(tǒng)一采用H3C S3600智能彈性三層交換機，每個樓層根據(jù)用戶信息接入點的數(shù)量，靈活配置48端口和24端口盒式交換機，通過智能彈性堆疊，提供高密度端口擴展和統(tǒng)一管理。接入層每個堆疊組通過雙千兆捆綁的光纖鏈路連接到匯聚層交換機。另外每臺S3600還提供4個千兆SFP端口，可實現(xiàn)多千兆捆綁增加上行帶寬，還可以實現(xiàn)少量千兆到桌面的接入。H3C S3600系列交換機主要有以下三個型號：l S360028P：24個10/100BaseT以太網(wǎng)端口，4個1000BaseX SFP千兆以太網(wǎng)端口；l S360028TP：24個10/100BaseT以太網(wǎng)端口，2個1000BaseX SFP千兆以太網(wǎng)端口， 2個10/100/1000BaseT以太網(wǎng)端口；l S360052P：48個10/100BaseT以太網(wǎng)端口，4個1000BaseX SFP千兆以太網(wǎng)端口；S360028P/ ，二/。，二/。接入層彈性擴展技術—IRF：H3C S3600系列交換機采用華為3COM公司創(chuàng)新的IRF（ Intelligent Resilient Framework）智能彈性技術，與傳統(tǒng)組網(wǎng)技術相比，在擴展性、可靠性、整體架構的性能方面具有強大的優(yōu)勢： 擴展性—IRF技術允許交換機利用互聯(lián)電纜實現(xiàn)多臺設備的擴展，最大擴展至384個10/100M端口；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本?？煽啃浴ㄟ^專利的路由熱備份技術，在整個堆疊架構內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷三層轉發(fā)，極大的增強了堆疊架構的可靠性和性能，同時消除了單點故障，避免了業(yè)務中斷。分布性通過分布式鏈路聚合技術，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡架構的冗余性和鏈路資源的利用率。接入層完備的安全策略：H3C S3600系列交換機支持EAD（端點準入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補丁修復等終端安全措施與網(wǎng)絡接入控制、訪問權限控制等網(wǎng)絡安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡接入終端的檢查、隔離、修復、管理和監(jiān)控，使整個網(wǎng)絡變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡對病毒、蠕蟲等新興安全威脅的整體防御能力。H3C S3600支持跨交換機的遠程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機（例如S9500/7500）上，在核心上啟動網(wǎng)流分析（Netstream）功能，配合XLOG系統(tǒng)對監(jiān)控端口的業(yè)務和流量進行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3C S3600系列交換機提供DHCP Snooping(偵聽)功能，通過建立和維護DHCP Snooping綁定表實現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLANID 接口等信息，解決了 DHCP用戶的IP和端口跟蹤定位問題。同時對不符合綁定表項的非法報文（ARP欺騙報文、擅自修改IP地址的報文）直接丟棄，保證DHCP環(huán)境的真實性和一致性。同時利用DHCP Snooping的信任端口特性可以保證DHCP Server的合法性。接入層多業(yè)務融合能力：H3C S3600系列交換機提供豐富的QOS功能，能為數(shù)據(jù)、語音、視頻、多媒體等不同的業(yè)務提供服務質(zhì)量保證。H3C S3600系列交換機通過支持Voice VLAN技術和智能POE技術很好的解決了該類設備的智能檢測、供電和優(yōu)先級的調(diào)整問題。接入層高可靠性設計：H3C S3600系列交換機除了支持高可靠性的IRF技術以外，還支持傳統(tǒng)的STP/RSTP/MSTP二層鏈路保護技術，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。 支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構建VRRP備份組。構建故障時的冗余路由拓撲結構，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡穩(wěn)定。支持ECMP（等價路由），通過配置多條等值路徑實現(xiàn)上行路由的冗余備份和負載分擔。采用交流/直流雙輸入設計，設備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。 專網(wǎng)連接新化化肥廠專網(wǎng)出口配置1臺SecPath F1000S高性能專業(yè)防火墻。內(nèi)網(wǎng)核心交換機通過雙千兆捆綁高速鏈路連接內(nèi)網(wǎng)防火墻，內(nèi)網(wǎng)防火墻再通過100/1000M鏈路連接至新化化肥廠專網(wǎng)路由器，實現(xiàn)內(nèi)部局域網(wǎng)到新化化肥廠專網(wǎng)的互聯(lián)，同時內(nèi)網(wǎng)防火墻有效的防御來自新化化肥廠專網(wǎng)對內(nèi)部局域網(wǎng)和數(shù)據(jù)中心的威脅。H3C SecPath F1000S防火墻提供四個千兆以太網(wǎng)接口，其中兩個千兆電口，兩個千兆光電復用接口。還提供兩個MIM插槽，可支持4個百兆或千兆端口擴展。高達1Gbps吞吐量的數(shù)據(jù)檢測，支持100萬個并發(fā)連接。 數(shù)據(jù)中心（內(nèi)網(wǎng)服務器）數(shù)據(jù)中心（內(nèi)網(wǎng)服務器）采用1臺H3C S5600全千兆智能三層交換機作為匯聚，通過高密度千兆以太網(wǎng)接口連接內(nèi)網(wǎng)各功能服務器，通過雙千兆捆綁高速鏈路連接至內(nèi)網(wǎng)防火墻DMZ區(qū)。為保障內(nèi)網(wǎng)數(shù)據(jù)中心的高安全需求，在數(shù)據(jù)中心匯聚交換機與內(nèi)網(wǎng)防火墻間部署1臺TippingPoint 6OOE IPS高性能入侵防御系統(tǒng)。實現(xiàn)內(nèi)網(wǎng)和專網(wǎng)對數(shù)據(jù)中心的高效訪問，同時通過防火墻和入侵防御系統(tǒng)的雙重保護，有效防御來自內(nèi)部局域網(wǎng)和新化化肥廠專網(wǎng)的威脅。H3C TippingPoint系列IPS，具備對2層到7層流量的深度分析與檢測能力，同時配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡上應用的保護、網(wǎng)絡基礎設施的保護和網(wǎng)絡性能的保護。TippingPoint 6OOE IPS可提供8個10/100/1000M以太網(wǎng)接口，光接口和電接口可靈活選擇，可同時保護4個網(wǎng)段；高達400Mbps數(shù)據(jù)檢測吞吐量，200萬并發(fā)連接。很好的解決了數(shù)據(jù)中心高安全性要求和高帶寬保障的矛盾，在保障數(shù)據(jù)中心高度安全的情況下，并不降低數(shù)據(jù)中心的訪問效率，不會讓安全設備成為數(shù)據(jù)中心的帶寬瓶頸。H3C S5600系列交換機產(chǎn)品特性：u 大容量全線速的多層交換S5600系列交換機具有192G/240G的交換容量和66M/102Mpps的二/三層包轉發(fā)能力，支持所有端口線速轉發(fā)。設備最大提供24/48端口10/100/1000M電接口、32個SFP千兆光接口或2個10G接口，充分滿足客戶對高密度GE和萬兆上行設備的需求。設備具備強大的IRF堆疊擴展能力，極大的節(jié)省了用戶對設備的投資。u IRF智能彈性架構技術 S5600系列交換機采用創(chuàng)新的IRF智能彈性技術，與傳統(tǒng)組網(wǎng)技術相比，在擴展性、可靠性、整體架構的性能方面具有強大的優(yōu)勢，主要體現(xiàn)在三個方面；擴展性－IRF技術允許交換機利用互聯(lián)電纜實現(xiàn)多臺設備的擴展，最大實現(xiàn)8臺設備的彈性擴展；具有即插即用、單一IP管理，同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。可靠性－通過專利的路由熱備份技術，在整個堆疊架構內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉發(fā)，極大的增強了堆疊架構的可靠性和高性能，同時消除了單點故障，避免了業(yè)務中斷。分布性－通過分布式鏈路聚合技術，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡架構的冗余性和鏈路資源的利用率。u 高可靠性S5600系列交換機采用IRF技術組網(wǎng)后，能夠在整個堆疊組內(nèi)實現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強了設備和網(wǎng)絡的可靠性，消除了單點故障，避免了業(yè)務中斷。同時H3C S5600系列交換機不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機構建VRRP備份組。構建故障時的冗余路由拓樸結構，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡穩(wěn)定。支持在設備上配置多條等價路由的方式實現(xiàn)上行路由的冗余備份，當主上行路由發(fā)生故障時自動切換到下一條備份路由，實現(xiàn)上行路由的多級備份。采用交、直流雙輸入電源模塊供電，也可以通過更換電源模塊來支持PoE功能，提供所有固定端口的PoE滿負載。u 豐富的QOS策略H3C S5600系列交換機支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2~L7復雜流分類；每端口支持100個流規(guī)則，整機支持3200/5600個流規(guī)則，充分保障了復雜網(wǎng)絡對于QoS規(guī)則的要求。提供靈活的隊列調(diào)度算法，可以同時基于端口和隊列進行設置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三種模式；支持8個優(yōu)先級隊列。支持CAR（Committed Access Rate）功能，可以實現(xiàn)基于端口和基于流的速率限制，限制的粒度可以精確至64Kbps，為網(wǎng)絡帶寬的精細化管理提供了手段。第四章 外部局域網(wǎng)設計 外網(wǎng)層次結構設計考慮**************計算機網(wǎng)絡系統(tǒng)外網(wǎng)和內(nèi)網(wǎng)物理結構完全相同，因此外部局域網(wǎng)與內(nèi)部局域網(wǎng)采用相同的層次結構設計，核心層、匯聚層和接入層均采用與內(nèi)部局域網(wǎng)相同的設備選型和配置，采用相同的鏈路連接方式。外部局域網(wǎng)層次結構設計參見上述內(nèi)部局域網(wǎng)三層結構設計，這里不再復述。 外網(wǎng)Internet連接外網(wǎng)Internet出口配置1臺SecPath F1000S高性能專業(yè)防火墻，外網(wǎng)核心交換機通過雙千兆捆綁高速鏈路連接外網(wǎng)防火墻，外網(wǎng)防火墻再通過100/1000M鏈路連接至運營商提供的Internet接口，實現(xiàn)外網(wǎng)的Internet接入。 數(shù)據(jù)中心（外網(wǎng)服務器）數(shù)據(jù)中心（外網(wǎng)服務器）采用1臺H3C S5600全千兆智能三層交換機作為匯聚，通過雙千兆高速鏈路連接至外網(wǎng)防火墻DMZ區(qū)，實現(xiàn)外部局域網(wǎng)和Internet對外網(wǎng)服務器的高效訪問，同時外網(wǎng)防火墻有效的防御來自Internet外部局域網(wǎng)和外部服務器的威脅。第五章 網(wǎng)絡安全設計 網(wǎng)絡安全概述隨著計算機網(wǎng)絡的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、網(wǎng)絡的開放性、互