【正文】 網(wǎng)絡改造及安全體系建設項目技術(shù)方案建設書網(wǎng)絡改造和安全體系建設項目技術(shù)建議方案 目 錄1 方案概述 1 現(xiàn)狀描述 1 建設目標 2 總體建設原則 32 項目技術(shù)方案 4 網(wǎng)絡改造規(guī)劃 4 網(wǎng)絡改造目標 4 網(wǎng)絡改造思路 4 網(wǎng)絡改造的技術(shù)特點 4 **網(wǎng)絡改造方案 6 網(wǎng)絡安全規(guī)劃 11 網(wǎng)絡安全規(guī)劃概述 11 網(wǎng)絡安全風險分析 13 **網(wǎng)絡安全解決方案 17 安全產(chǎn)品選型建議 33 第 50 頁 1 方案概述 現(xiàn)狀描述網(wǎng)絡方面：全網(wǎng)核心層采用一臺Cisco 6509作為單核心，無冗余；呼叫中心網(wǎng)絡匯聚層為Cisco 4507R，而其他三個辦公點網(wǎng)絡都采用兩層結(jié)構(gòu)，沒有匯聚層；接入設備為Cisco 3560和 2960。長沙4個辦公點通過光纖連接，南京、天津倉庫通過專線接入，其他物流中心則通過VPN接入。網(wǎng)絡出口為3條百兆光纖，2條電信，一條網(wǎng)通，通過Radware Linkproof 1000實現(xiàn)負載均衡。無線接入則主要采用胖AP的方式。安全方面：部署一臺三星防火墻作為網(wǎng)絡邊界，劃分DMZ區(qū)放置網(wǎng)站服務器等；ISA服務器作為互聯(lián)網(wǎng)代理和應用防火墻；部署一臺綠盟IDS，實現(xiàn)入侵檢測防護；VPN接入則是通過Cisco 3825路由器所提供的IPSec VPN方式。針對**目前網(wǎng)絡及安全體系的現(xiàn)狀，我們給出如下分析：**的網(wǎng)絡建設時間不長，結(jié)構(gòu)較為明晰，便于采用最先進、成熟的技術(shù)建立現(xiàn)代化的網(wǎng)絡及安全體系；網(wǎng)絡連接帶寬充足，為建設高速穩(wěn)定的網(wǎng)絡環(huán)境提供了條件；數(shù)據(jù)存儲及災備系統(tǒng)建設較為完善，保證數(shù)據(jù)的完整性和可靠性；目前國際、國內(nèi)使用的網(wǎng)絡設備、安全技術(shù)比較成熟穩(wěn)定，為**建立一個穩(wěn)定可靠、性能先進的網(wǎng)絡及安全體系提供了技術(shù)和工程管理方面支持。但是目前網(wǎng)絡核心層未提供冗余，易出現(xiàn)單點故障；網(wǎng)絡安全建設相對比較薄弱，難以對公司日益發(fā)展的業(yè)務提供有效的安全保障，這些都是急待解決的問題。因此本次項目必須依據(jù)現(xiàn)有的有利條件，充分考慮性價比，以最小的投資獲取最大的效益，不斷完善**網(wǎng)絡及安全體系，為業(yè)務系統(tǒng)創(chuàng)建良好的IT基礎，提高**的IT管理水平，進而提高企業(yè)總體水平和市場競爭能力。 建設目標經(jīng)過交流，可明確**網(wǎng)絡改造及安全體系建設項目的具體建設目標如下：網(wǎng)絡核心層實現(xiàn)雙機熱備冗余，公司本部網(wǎng)絡增加匯聚層，減輕核心層的壓力。公司網(wǎng)絡實現(xiàn)QoS控制，對數(shù)據(jù)包進行分類、標注、設置優(yōu)先級，確保重要業(yè)務量不受延遲或丟棄，同時保證網(wǎng)絡的高效運行。無線接入改為瘦AP方式，通過無線控制器統(tǒng)一配置管理。通過在網(wǎng)絡設備上增加防火墻模塊來實現(xiàn)虛擬防火墻，定制基于VLAN的訪問控制策略。實現(xiàn)安全域的劃分設計。部署獨立的VPN設備，用戶可通過SSL VPN和IPSec VPN兩種方式接入內(nèi)網(wǎng)。部署IPS，實現(xiàn)入侵防御。部署上網(wǎng)行為管理系統(tǒng)，規(guī)范員工上網(wǎng)行為。部署網(wǎng)絡準入控制系統(tǒng)，內(nèi)部用戶不管是通過有線還是無線接入，認證與AD域集成，實現(xiàn)SSO。對外部用戶開放無線接入，但需進行Portal認證。在部署準入控制系統(tǒng)時，同時實現(xiàn)補丁管理和桌面電腦的安全狀態(tài)管理。 總體建設原則項目的建設應該遵循如下的原則：— 應盡量避免對現(xiàn)網(wǎng)業(yè)務的影響；— 必須保護已有的設備投資；— 新增的設備應符合相應標準規(guī)范要求；— 新增的設備應具備進一步擴容的可擴展能力；— 新增的設備應具備開放性、靈活性。2 項目技術(shù)方案 網(wǎng)絡改造規(guī)劃 網(wǎng)絡改造目標考慮到**未來的業(yè)務發(fā)展，網(wǎng)絡平臺應能有效很好地支持各現(xiàn)有和規(guī)劃中的業(yè)務系統(tǒng)、支持廣域網(wǎng)連接、具有良好網(wǎng)絡結(jié)構(gòu)的擴張性、可靠性，同時具有良好的可管理性，最大限度降低網(wǎng)管工作的復雜性。 網(wǎng)絡改造思路**網(wǎng)絡平臺的改造應以業(yè)務為導向，支撐經(jīng)營的“規(guī)模化”和“差異化”，實現(xiàn)多業(yè)務的承載。在實際網(wǎng)絡改造中，應結(jié)合網(wǎng)絡和業(yè)務實際情況，充分考慮投資保護因素，提高投資效益。具體建設中需體現(xiàn)以下原則：網(wǎng)絡層次清晰化。通過二三層網(wǎng)絡分離，構(gòu)建物理和邏輯層次清晰的三層路由網(wǎng)絡和二層接入網(wǎng)絡。網(wǎng)絡質(zhì)量差異化。通過部署區(qū)分服務機制，為不同用戶和不同業(yè)務提供不同QoS等級的差異化服務。設備要求規(guī)范化。新增設備必須符合公司設備技術(shù)規(guī)范和選型結(jié)果的要求。應盡量減少網(wǎng)內(nèi)設備廠家數(shù)目和型號，核心層、匯聚層每個層面的設備應盡量選用同一廠家產(chǎn)品。 網(wǎng)絡改造的技術(shù)特點 開放性與標準化設備使用的各種協(xié)議符合網(wǎng)絡設備國際標準，基于業(yè)界開放性標準，保證本系統(tǒng)能與現(xiàn)有網(wǎng)絡及業(yè)務系統(tǒng)進行正常互連互通。 具有可擴展性設備采用模塊化設計，每個模塊具有多個千兆接口接入能力，方便擴展設備容量和提升設備性能；具備支持業(yè)務處理的靈活配置，業(yè)務功能的重組與更新的靈活性。接入設備具足夠的快速以太網(wǎng)接入接口，具有線速交換能力。 安全可靠性網(wǎng)絡各節(jié)點提供雙交換引擎，雙電源保障。提供良好的安全可靠性策略，支持多種安全可靠性技術(shù)手段，制定嚴格的安全可靠性管理措施。 先進性采用先進成熟的設備和技術(shù)，確保系統(tǒng)的技術(shù)先進性，保證投資的有效性和延續(xù)性。提供業(yè)務流量的線速轉(zhuǎn)發(fā)，具有QoS保障、完善的安全管理機制，滿足用戶對多業(yè)務、高可靠、大容量和模塊化的需求。 投資保護工程選擇的設備一方面要考慮設備的先進性，另一方面本著資源充分利用的原則，既要保護原有的投資利益，節(jié)約投資，又要保障設備的二次利用。 統(tǒng)一性雖然在以太網(wǎng)交換領(lǐng)域已經(jīng)有了各種國際標準，但不同的廠商在實現(xiàn)交換協(xié)議時都作了較大的增強，為了充分利用這些增強功能，實現(xiàn)無縫的連接，建議選擇網(wǎng)絡產(chǎn)品時應注意統(tǒng)一性。選擇產(chǎn)品系列具有相同軟硬結(jié)構(gòu)設計和功能特性的廠商以保障互操作性和平滑升級能力。 **網(wǎng)絡改造方案 方案概述三層網(wǎng)絡架構(gòu)采用層次化模型設計，即將復雜的網(wǎng)絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網(wǎng)絡架構(gòu)設計的網(wǎng)絡有三個層次：核心層（網(wǎng)絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡）。改造后整個網(wǎng)絡遵循三層網(wǎng)絡架構(gòu)，網(wǎng)絡拓撲如下圖所示。網(wǎng)絡拓撲結(jié)構(gòu)圖 核心層改造方案核心層是網(wǎng)絡的高速交換主干，對整個網(wǎng)絡的連通起到至關(guān)重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網(wǎng)絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網(wǎng)絡性能。本次項目將核心層由單核心改造為兩臺高性能核心交換機構(gòu)成冗余結(jié)構(gòu)，采用模塊化結(jié)構(gòu)，便于網(wǎng)絡的擴容與升級。核心交換機上至少部署16個千兆光纖端口和48個 10/100/1000自適應以太網(wǎng)口。兩臺核心交換機之間通過四條Cat5e UTP線纜互連，四條鏈路利用捆綁成千兆以太通道，這樣，在全雙工模式下兩臺核心交換機間的鏈路帶寬達到8Gbps，同時多鏈路捆綁的設計也可確保線路的冗余，提高系統(tǒng)的高可靠性。兩臺核心層交換機各加載一個防火墻模塊，實現(xiàn)公司網(wǎng)絡邊界以及各安全域之間的屏障。 匯聚層改造方案匯聚層是網(wǎng)絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該采用支持三層交換技術(shù)和VLAN的交換機，以達到網(wǎng)絡隔離和分段的目的。目前核心層交換機所有光電口全部在使用狀態(tài)，不利于今后網(wǎng)絡的擴展，因此建議將公司本部網(wǎng)絡改造為三層結(jié)構(gòu)，增加兩臺匯聚交換機，以減輕核心層設備負荷，并為今后網(wǎng)絡的擴容打下良好的網(wǎng)絡架構(gòu)基礎。另外大溪地和T2區(qū)用戶數(shù)不多，目前的網(wǎng)絡結(jié)構(gòu)能夠滿足今后一段時間內(nèi)的發(fā)展，而且增加匯聚層等于在網(wǎng)絡中多增加了一個故障點，因此從保障網(wǎng)絡穩(wěn)定以及節(jié)省投資等方面考慮，建議這兩個網(wǎng)絡區(qū)域最好維持現(xiàn)狀暫不增加匯聚層。出于規(guī)范化的考慮，本次匯聚層改造的原則及設備選型應盡可能與大金馬機房保持一致。另外為了給本部無線AP提供POE供電，配置至少48個 10/100/1000自適應以太網(wǎng)口。 接入層改造方案接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術(shù)的普通交換機。公司本部接入層交換機均通過雙鏈路分別接入兩臺匯聚交換機，以提供冗余的線路保障。 無線接入方式WLAN技術(shù)可以替代現(xiàn)有的傳統(tǒng)有線網(wǎng)絡或者作為其延伸以拓展它的覆蓋范圍和容量。在室內(nèi)應用時，無線可以同時支持移動和有線連接計算。在會議室、辦公區(qū)、客戶等候區(qū)等位置配置無線AP，對該區(qū)域進行無線覆蓋，為無線用戶提供1154M的網(wǎng)絡接入，提高辦公人員的機動性。無線接入方式采用瘦AP模式，在中心機房安裝無線控制器，所有無線AP接受無線控制器的統(tǒng)一管理與配置，減輕用戶在無線網(wǎng)配置上的負擔。為簡化線路，要求無線AP滿足IEEE ，支持POE（以太網(wǎng)供電），若接入交換機不支持IEEE ，則無線AP需要配置電源。，可獲得最高54Mbps的接入速度。根據(jù)每AP最佳并發(fā)接入30個用戶的標準，以及Wlan所需覆蓋的辦公區(qū)域面積測算，公司無線接入共需設立約16個無線接入點，其中公司本部需要6個，大金馬3個，大溪地4個，T2區(qū)3個。其中公司本部的6個接入點可由新購的匯聚層交換機提供POE供電；大金馬以及大溪地的7個接入點可由現(xiàn)有的Cisco 3560提供POE供電；T2區(qū)接入交換機不能提供POE供電，因此3個接入點需要考慮配置電源。 網(wǎng)絡管理方案局域網(wǎng)管理解決方案是一套強大的管理工具，可簡化公司網(wǎng)絡的配置、管理、監(jiān)測和故障排除，優(yōu)化局域網(wǎng)管理，大大提高網(wǎng)絡管理員的工作精度和效率。為了對網(wǎng)絡中的交換機路由器，訪問服務器，集線器等網(wǎng)絡設備進行有效的管理，我們需要配置這樣一套綜合的，經(jīng)濟有效的，功能強大的網(wǎng)絡管理工具。由于每個網(wǎng)絡設備廠商都有自己的網(wǎng)絡管理產(chǎn)品，可對其出品的網(wǎng)絡設備提供更好的管理支持，因此我們建議采用與公司現(xiàn)有網(wǎng)絡設備配套的局域網(wǎng)管理系統(tǒng)。 服務器負載均衡建議**提供對外服務的服務器共有45臺，包括WWW、CMS、SCM和BBS等幾種服務，目前這些服務都只有單臺服務器進行支撐。隨著**業(yè)務的不斷發(fā)展，訪問者數(shù)量快速增加，服務器需要具備提供大量并發(fā)訪問服務的能力。單臺服務器的性能總是有限的，一般來講，一臺PC服務器所能提供的并發(fā)訪問處理能力大約為1000個，更為高檔的專用服務器能夠支持30005000個并發(fā)訪問，這樣的能力還是無法滿足負載較大的網(wǎng)站的要求。因此建議逐步采用多臺服務器提供這些網(wǎng)絡服務，并將網(wǎng)絡請求分配給這些服務器分擔，實現(xiàn)服務器的負載均衡，這樣才能提供處理大量并發(fā)服務的能力，使之不再成為企業(yè)發(fā)展的瓶頸。 對布線系統(tǒng)的要求新辦公大樓布線系統(tǒng)(數(shù)據(jù)布線系統(tǒng))分為水平布線和垂直布線： 水平布線系統(tǒng)：水平布線系統(tǒng)以滿足樓層數(shù)據(jù)網(wǎng)點數(shù)為原則，為達到1000M到桌面的目的，一般要求使用超五類雙絞線； 垂直布線系統(tǒng)：垂直布線系統(tǒng)為光纖，用于各樓層與核心機房的核心設備千兆以太網(wǎng)連接； 遠程接入規(guī)劃遠程接入規(guī)劃示意圖遠程接入建議采用IPSEC/SSL VPN一體化的方式，以適應Lan to Lan 和End to Lan兩種不同應用。VPN提供了遠遠高于防火墻訪問控制功能的安全性，具體優(yōu)勢如下：1) VPN不僅支持數(shù)據(jù)包的加密防止入侵者偵聽傳輸內(nèi)容，同時也支持數(shù)據(jù)包的來源認證防止入侵者假冒合法用戶進入網(wǎng)絡，以及數(shù)據(jù)包完整性校驗防止數(shù)據(jù)傳輸途中被別人篡改，所有這些安全機制運用于通訊雙方的每一個數(shù)據(jù)包，以確保萬無一失。2) VPN加密和認證的密鑰可動態(tài)更新，即使理論上密鑰可以被解密，但是使用最快的計算機來處理也需要一定的時間，這時密鑰已改變，所以實際上基本不可能破譯。3) 不同用戶之間、同一對用戶不同應用之間都可以建立不同的VPN通道，使用不同的加密算法、不同的密鑰和不同的認證算法，以保證絕對安全。對于普通應用的數(shù)據(jù)，可以使用ACL表進行過濾，不經(jīng)過VPN通道傳輸，以減輕路由器的負載?？蛻舳巳绻褂肰PN客戶軟件，通過Split Tuning功能指定到哪些地址的流量進入VPN ，到哪些地址的流量不經(jīng)過VPN。4) VPN通道的建立需要經(jīng)過雙方嚴格的身份校驗，客戶端用戶使用此通道前還需另外的身份認證，客戶通過認證后，其虛擬VPN地址的分配、允許訪問的網(wǎng)絡資源、通訊時間、最多建立的會話數(shù)等安全策略都可以根據(jù)注冊的用戶名由中心端控制，不同外網(wǎng)性質(zhì)的用戶可以限制他們只允許訪問對應的服務器。另外，VPN通過虛擬私有加密通道實現(xiàn)用戶之間數(shù)據(jù)的安全傳送?？稍?*內(nèi)部用戶訪問的網(wǎng)段前部署專業(yè)級硬件VPN集中器，遠程客戶端可以有多種連接方式，既可安裝VPN軟件，也可采用客戶端硬件VPN設備。通信線路既可采用專線，也可采用寬帶線路，或兩種方式同時共存。需要注意的是，目前**應用存在B/S、C/S等多種模式，因此SSL VPN應該能通過用戶可選的客戶端插件形式為終端用戶分配虛擬IP，并通過SSL隧道建立三層隧道，實現(xiàn)與傳統(tǒng)IPSEC VPN客戶端一樣的終端網(wǎng)絡功能。 網(wǎng)絡安全規(guī)劃 網(wǎng)絡安全規(guī)劃概述一個全方位的計算機網(wǎng)絡安全體系結(jié)構(gòu)包含安全管理、物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和業(yè)務連續(xù)性等。充分利用各種先進的主機安全技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、網(wǎng)絡反病毒技術(shù)、安全審計技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測技