【正文】 備上使用 FWSM 用以提升內(nèi)部網(wǎng)絡(luò)的 安全性，提升網(wǎng)絡(luò)對于內(nèi)部攻擊的抵御能力；同時(shí)作為對外網(wǎng)絡(luò)的第二道防線，也會(huì)起到積極作用。核心路由器上使用的 NAM模塊有助于管理員準(zhǔn)確的統(tǒng)計(jì)流經(jīng)設(shè)備各接口的數(shù)據(jù)類型，對于判斷網(wǎng)絡(luò)應(yīng)用的發(fā)展和發(fā)現(xiàn)網(wǎng)絡(luò)威脅的早期特征具有積極意義。核心交換使用 Cisco Catalyst 6509進(jìn)行。設(shè)備劃分 VLAN，并使用三層路由的方式匯聚接入層的數(shù)據(jù)。 網(wǎng)絡(luò)邊緣層。網(wǎng)絡(luò)邊緣層主要是各樓層接入交換機(jī)組成。接入交換機(jī)匯聚客戶流量，并在網(wǎng)絡(luò)二層防護(hù)方面發(fā)揮積極作用。 設(shè)計(jì)原則 為了能夠進(jìn)一步提升網(wǎng)絡(luò)的運(yùn)作水平，包括容錯(cuò)、 均衡和可管理能力，使得網(wǎng)絡(luò) 能更好的適應(yīng)未來基于應(yīng)用的交付，決定利用這次機(jī)會(huì)，對整個(gè)網(wǎng)絡(luò)進(jìn)行重新的改造。改造本著適度超前，著眼今后 5 年實(shí)際網(wǎng)絡(luò)發(fā)展的原則，為今后更加復(fù)雜的網(wǎng)絡(luò)應(yīng)用和面對更加嚴(yán)峻的網(wǎng)絡(luò)安全形勢，做好充分的準(zhǔn)備。 網(wǎng)絡(luò)改造遵循以下原則進(jìn)行 ? 開放性標(biāo)準(zhǔn)化 嚴(yán)格按照行業(yè)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)，使網(wǎng)絡(luò)系統(tǒng)具有較長的生命力和擴(kuò)展能力，滿足未來升級(jí)的要求。在網(wǎng)絡(luò)設(shè)計(jì)中充分考慮設(shè)備對標(biāo)準(zhǔn)的支持，保證與多廠商的設(shè)備互連的能力。 ? 高性能擴(kuò)展性 高性能、大容量網(wǎng)絡(luò)設(shè)施可保證對多種高速網(wǎng)絡(luò)技術(shù)，如：千兆以太網(wǎng)、快速以太網(wǎng)和 ATM 等的支持。方案中所推薦的各級(jí)網(wǎng)絡(luò)設(shè)備能針對各類業(yè)務(wù)提供適合的帶寬。模塊化設(shè)備的使用更會(huì)提高網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展能力。 ? 安全性可靠性 核心設(shè)備須具有強(qiáng)大的冗余和容錯(cuò)功能，重要部件（如電源、核心交換引擎等）采用冗余備份設(shè)計(jì)。采用多級(jí)網(wǎng)絡(luò)安全的設(shè)計(jì)思路，推薦使用設(shè)備內(nèi)置的安全功能，能配合專業(yè)的安全產(chǎn)品（如防火墻）還能有效地阻止外部的非法入侵和內(nèi)部的非授權(quán)操作。 ? 可管理性和可維護(hù)性 采用先進(jìn)完善的網(wǎng)絡(luò)管理和監(jiān)控工具，對網(wǎng)絡(luò)實(shí)現(xiàn)一體化管理。通過對網(wǎng)絡(luò)性能的監(jiān)控及時(shí)改善網(wǎng)絡(luò)性能。 ? 設(shè)備的先進(jìn)性和成熟性 在網(wǎng)絡(luò)通訊技術(shù)和計(jì) 算機(jī)技術(shù)發(fā)展日新月異的今天，網(wǎng)絡(luò)的選擇既要遵循新技術(shù)的發(fā)展方向，采用最新科技水平，使項(xiàng)目具備國內(nèi)乃至國際領(lǐng)先的地位，又要兼顧技術(shù)上的成熟性，保證系統(tǒng)整體性能，使整體投資達(dá)到最佳。 第二部分 方案 為了能夠更好的滿足需求，現(xiàn)特別準(zhǔn)備了兩套方案，以供選擇。第一套方案傾向高性能和高可靠性，目標(biāo)是滿足今后至少 5 年網(wǎng)絡(luò)情況的發(fā)展，網(wǎng)絡(luò)設(shè)計(jì)有全冗余鏈路，擁有極高的故障恢復(fù)和負(fù)載可控特性。第二套方案傾向于應(yīng)用交付，注重較低的購置成本和較強(qiáng)的通用性。 方案一： 本方案著眼高性能和高可靠性，更換主鏈路設(shè)備，提升內(nèi)部設(shè)備安全水平和可控制水平。使用 Cisco 基于 ASA 算法的新一代防火墻，同時(shí)內(nèi)置 IPS 模塊，除了能夠很好的解決目前網(wǎng)絡(luò)威脅，也可以為今后大量面對 Inter 的服務(wù)器提供良好的保障。 整體網(wǎng)絡(luò)拓?fù)? 本網(wǎng)絡(luò)拓?fù)漭^大的改動(dòng)了網(wǎng)絡(luò)現(xiàn)有狀態(tài)。由于無法驗(yàn)證現(xiàn)在網(wǎng)絡(luò)上使用的UTM 設(shè)備的具體作用因此將此設(shè)備暫時(shí)當(dāng)作網(wǎng)橋看待，所有的流量直接穿越UTM，并在 UTM 上執(zhí)行原有策略。 安全總體設(shè)計(jì) 安裝兩臺(tái)攜帶 IPS 的 Cisco 5540 防火墻。帶有 IPS 作用的一大好處，就是可以借助獨(dú)立的 IPS 硬件，來完成豐富的數(shù)據(jù)檢測功能。 Cisco 防火墻是業(yè)界領(lǐng)先的設(shè)備，基于簽名的數(shù)據(jù)包過濾技術(shù)可以非常容易的發(fā)現(xiàn)已知的攻擊行為，并能進(jìn)行極深度數(shù)據(jù)包檢查，避免夾雜在數(shù)據(jù)包當(dāng)中針對特定系統(tǒng)的語義攻擊，更大限度的自外而內(nèi)保護(hù)網(wǎng)絡(luò)安全。 同時(shí)照顧到未來的服務(wù)器群組， ASA 提供了雙上下文環(huán)境來保證兩臺(tái)設(shè)備的雙 Active 狀態(tài)。通過鏈路檢查和狀態(tài)復(fù)制， ASA 可以保證在任何一臺(tái)設(shè)備實(shí)效的情況下仍能保證數(shù)據(jù)的正常轉(zhuǎn)發(fā)。 IPS 模塊可以成倍的提高防火墻對于攻擊的抵抗能力。因?yàn)楸本V播電臺(tái)從 社會(huì)學(xué)上，屬于社會(huì)地標(biāo)組織，極其容易受到攻擊。因此，相對于 A/S 結(jié)構(gòu)的防火墻冗余， AA 結(jié)構(gòu)更容易面對惡劣環(huán)境。 額外的，帶有多上下文環(huán)境的 ASA 還可以提供 ASR。這種不對稱狀態(tài)技術(shù)可以幫助數(shù)據(jù)包及時(shí)往返路徑不一致的時(shí)候，也仍然可以從另外一臺(tái)防火墻返回網(wǎng)絡(luò)。 冗余 鏈路以下，使用兩臺(tái) F5 LC1500 鏈路負(fù)載均衡器，用以實(shí)現(xiàn)智能網(wǎng)絡(luò)均衡負(fù)載能力?；诖罅康膶?shí)際工程經(jīng)驗(yàn)， F5 LC1500 均衡器使用 SRTT 算法來確認(rèn)鏈路的使用狀況。通過不間斷的對數(shù)據(jù)包的監(jiān)視，設(shè)備就可以了解足夠多的線路狀態(tài)信息。相 比較而言， Radware 的 Echo 技術(shù)大量的消耗自身的上游設(shè)備資源，嚴(yán)重的增加了網(wǎng)絡(luò)設(shè)備處理數(shù)據(jù)包的負(fù)擔(dān)。一般認(rèn)為，網(wǎng)絡(luò)設(shè)備在處理小型數(shù)據(jù)包時(shí)候?qū)?huì)付出更多的網(wǎng)絡(luò)資源。 核心進(jìn)行小幅的調(diào)整，用以提高整個(gè)網(wǎng)絡(luò)的可靠性水平和可管理能力。為兩臺(tái)設(shè)備購置次級(jí)備份設(shè)備，以求在不顯著增加成本的前提下，大幅度提高網(wǎng)絡(luò)應(yīng)對突發(fā)故障或者設(shè)備崩潰的能力。為 Cisco7600進(jìn)行備份的設(shè)備是 Cisco 7204VXR，7204 是緊湊型 ISP 邊緣路由器，擁有 NPE200/400 等各型號(hào)的高速處理器，并能夠部分兼容 Cisco 7600的板卡，并且總造價(jià)不高，可以極大地提升網(wǎng)絡(luò)可控水平，當(dāng)網(wǎng)絡(luò)遭受嚴(yán)重物理破壞或者極端攻擊時(shí)候，擁有足夠的處理能力來進(jìn)行平滑和處理。同時(shí)，將核心設(shè)備上的防火墻模塊轉(zhuǎn)移到 Cisco Catalyst 6509 上 ，新購買NAM 模塊安裝到 Cisco6509 上，用以提供更為詳細(xì)的流量統(tǒng)計(jì)報(bào)告 。 性能和可管理 作為三層交換的核心設(shè)備， 6509 擁有至少 720G 的傳輸能力，并且高效的三層交換能力可以使得 6509比 7600路由器更加適合處理這種大量用戶數(shù)據(jù)簡單匯聚的工作。 FWSM 經(jīng)過小心的配置，可以更為有效的工作 在這種環(huán)境下。同時(shí)，購買第二塊引擎和電源，以便于從物理結(jié)構(gòu)上增加 設(shè)備的可靠程度。當(dāng)接口數(shù)目不足的情況下，可以購買另外的接口板，確保所有內(nèi)部用戶都在 FWSM 的控制之下。 同樣的，在 Cisco6509 上也添加 IDS 模塊。作為 Cisco 安全網(wǎng)絡(luò)不可或缺組成部分，應(yīng)用在內(nèi)部網(wǎng)絡(luò)的 IDS 將會(huì)和 FWSM 一起，一次性永久解決內(nèi)部網(wǎng)絡(luò)訪問控制問題。歷年的網(wǎng)絡(luò)安全會(huì)議強(qiáng)調(diào)，網(wǎng)絡(luò)中來自受信任區(qū)域的網(wǎng)絡(luò)攻擊占到網(wǎng)絡(luò)攻擊總數(shù)的 80%，盡管可以有集團(tuán)化放病毒軟件或者防毒墻存在，但是我們?nèi)匀粺o法忽視來自受信任區(qū)域發(fā)起攻擊所帶來的嚴(yán) 重后果。兩套 IDS 與防火墻、核心路由器和核心交換機(jī)進(jìn)行聯(lián)動(dòng)，確?？梢詼?zhǔn)確及時(shí)的消除網(wǎng)絡(luò)攻擊帶來的隱患。 網(wǎng)絡(luò)增值 為了更好的管理北京廣播電臺(tái)內(nèi)部的瘦 AP，實(shí)現(xiàn)給予 的接入認(rèn)證和無縫漫游，應(yīng)該購置無線局域網(wǎng)控制器以完成這個(gè)工作。單獨(dú)購買的無線局域網(wǎng)控制器擁有很好的部署靈活性。結(jié)合預(yù)認(rèn)證和功率分布分析等等功能，可以為用戶提供非常好的無線接入體驗(yàn)?；? 的質(zhì)詢則可以大幅度減少無線網(wǎng)絡(luò)需要人工配制的項(xiàng)目的數(shù)量，擁有 OTP 或者密碼的用戶可以接入內(nèi)網(wǎng)，而其他用戶則只能限制在一個(gè)較小的區(qū)域內(nèi)。 核心網(wǎng)絡(luò)的設(shè)備以及 Cisco 防火墻上，使用包括逆向路徑校驗(yàn)和復(fù)雜隊(duì)列技術(shù)、深度數(shù)據(jù)包檢查，來徹底的進(jìn)行網(wǎng)絡(luò)流量的人工控制。 逆向路徑結(jié)合 bogonACL 過濾技術(shù)可以大幅減少網(wǎng)絡(luò)欺騙攻擊的數(shù)量和效果，避免使用虛假地址的 TCP SYN 攻擊給服務(wù)器帶來的難以估量的壓力；相對的，復(fù)雜隊(duì)列技術(shù)可以保證關(guān)鍵業(yè)務(wù)可以首先通過 ，特別是在未來可能實(shí)現(xiàn)對外的流媒體服務(wù)器，或者是內(nèi)部進(jìn)行的視頻會(huì)議等等，都可以直接從中得益，面對過量的攻擊壓力的時(shí)候，復(fù)雜隊(duì)列 技術(shù)是保證網(wǎng)絡(luò)正常工作的唯一途徑。 深度數(shù)據(jù)包檢查可以結(jié)合 IPS 一同使用。必要時(shí)侯，使用 ZBF 來進(jìn)一步強(qiáng)化網(wǎng)絡(luò)的整體安全性。深度數(shù)據(jù)報(bào)檢測可以檢查數(shù)據(jù)包的七層載荷，避免畸形數(shù)據(jù)包對于網(wǎng)絡(luò)的毀滅性打擊。 網(wǎng)絡(luò)管理使用 CiscoWorksLMS 群件。群件使用 Cisco 定義設(shè)備特性集，可以準(zhǔn)確的繪制網(wǎng)絡(luò)拓?fù)?，精確描述設(shè)備間電纜連接狀況 ；同時(shí)，具有強(qiáng)大的記錄功能，基于 SNMP 的 Trap 和 CiscoWorks 輪詢確保了數(shù)據(jù)的完整性。 現(xiàn)在網(wǎng)絡(luò)的接入曾交換機(jī)還在使用部分的 3Com 設(shè)備，建議本次統(tǒng)一更換為 Cisco 設(shè)備，除了擁有更好的性能，也為了能夠使用 CiscoWorks 更好的管理，今后也可以成為網(wǎng)絡(luò) NAC 體系的一部分。 Cisco MARS 成為本方案當(dāng)中最后可以可選件。 MARS 是 Cisco 威脅聯(lián)動(dòng)部件的核心設(shè)備。它可以工作在簽名和簡檔兩種模式中，因此具有非常低的誤報(bào)和對新形態(tài)攻擊的敏感性雙重優(yōu)點(diǎn)。結(jié)合網(wǎng)絡(luò)中的 IPS/IDS， NAM 模塊， MARS 具有更加豐富和準(zhǔn)確的數(shù)據(jù)源，因此可以發(fā)揮更好的作用。 總結(jié) 此方案具有較高的一次性造價(jià)，但是從長遠(yuǎn)來看，網(wǎng)絡(luò)的基本形態(tài)不論是從單體設(shè)備性能，還是冗余能力，或者是 人為可控的管理能力上而言，相對于現(xiàn)在都有很大的提升。多業(yè)務(wù)設(shè)備選擇和針對安全的強(qiáng)化，將會(huì)使得網(wǎng)絡(luò)能夠更好的適應(yīng)今后網(wǎng)絡(luò)的發(fā)現(xiàn)。 縱觀網(wǎng)絡(luò)發(fā)展史，老舊網(wǎng)絡(luò)的衰落和換代無一不是應(yīng)用交付程序的暴發(fā)性增長所致。而這種增長對于商用型網(wǎng)絡(luò)而言，沒有任何意義。類似迅雷， Emule 和BT 的應(yīng)用，將會(huì)給網(wǎng)絡(luò)帶來極其沉重的壓力。因此，對于商用網(wǎng)絡(luò)核心業(yè)務(wù)的保護(hù)和對應(yīng)用交付