【正文】 通過公共網(wǎng)絡(luò)為移動用戶、遠(yuǎn)程站點(diǎn)和業(yè)務(wù)合作伙伴創(chuàng)建安全連接。多業(yè)務(wù)并發(fā)的情況下，各種業(yè)務(wù)功能通過其內(nèi)置專用 處理器進(jìn)行獨(dú)立處理，從而不會影響設(shè)備性能。ASA5520 自適應(yīng)統(tǒng)一威脅平臺由于 ASA5500 系列通過 IPS 模塊的配置可以將 IPS 設(shè)備的部署簡化，以提高其與防火 墻互動性的維護(hù)復(fù)雜性。所以為了使 云宵縣檢察院網(wǎng)絡(luò)邊界的安全部署簡單而高性能，我們建議采用冗余安全平臺網(wǎng)關(guān)的部署方式，在互聯(lián)網(wǎng)出口并行部署兩臺 ASA5540 用于 云宵縣檢察院內(nèi)外網(wǎng)間的安全防范。面向公眾的服務(wù)系統(tǒng)如網(wǎng)站群系統(tǒng)、郵件系統(tǒng)、案件登記 的預(yù)約系統(tǒng)以及其它面向公眾開放的系統(tǒng)配置在在外網(wǎng) DMZ 區(qū)中，既能夠?qū)珯z法系統(tǒng)的 工作人員提供服務(wù)，也能夠?qū)娞峁┓?wù)。電纜斷連或被破壞以太通道（EtherChannel）創(chuàng)建一個(gè)鏈路捆 綁，在提高帶寬的同時(shí)提供了更多傳輸路徑。1. 安裝和配置? 中文快速設(shè)置? Smartports 和 Smartports Advisor? DHCP AutoInstall (IP 地址，配置文件，IOS 鏡像)? 配置更換，能回退配置更改? 使用思科發(fā)現(xiàn)協(xié)議，發(fā)現(xiàn)鄰近設(shè)備? 通過 Telnet 和控制臺接入用戶熟悉的 Cisco IOS 命令行界面Cisco Smartports.Cisco CatalvstCisco Smart.E211。同時(shí)為將網(wǎng)絡(luò)可能存在的風(fēng)險(xiǎn)隔離到最小的區(qū)域建議在 ASA5520 上增配安 全網(wǎng)關(guān)模塊實(shí)現(xiàn)對病毒、垃圾郵件攻擊的防護(hù)。三速 48 端口和 24 端口模塊，再加上自適應(yīng)技術(shù)，能夠提供 局域網(wǎng) 投資保護(hù)，因?yàn)樵谖磥?，快速以太網(wǎng)桌面無需更換線路 卡就能遷移到千兆以太網(wǎng)。網(wǎng)絡(luò)運(yùn)作可以通過基于 Web、GUI 和 CLI 的靈活管理方式得到增強(qiáng)。如果有選擇地或者全部 采用這些特性，網(wǎng)絡(luò)管理員不但能防止非法訪問服務(wù)器或應(yīng)用，讓不同的人用不同的權(quán)限使用同一臺 PC，還能防止網(wǎng)絡(luò)入侵者通過盜竊用戶名和密碼訪問交換機(jī)，或者防止出現(xiàn)有意或意外廣播風(fēng) 暴。● 功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統(tǒng)就可以容易地將所有 系統(tǒng)端口升級到更高交換功能。● 為關(guān)鍵業(yè)務(wù)應(yīng)用提供帶寬保護(hù)：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎 時(shí)，將不會降低轉(zhuǎn)發(fā)性能，Cisco Catalyst 4500 系列平臺將繼續(xù)以完全線速轉(zhuǎn)發(fā)。Cisco Catalyst 4500E 創(chuàng)新、靈活的集中式系統(tǒng)設(shè) 計(jì)有助于順利遷移到線速 IPv6 和萬兆以太網(wǎng)。網(wǎng)絡(luò)核心交 換機(jī)采用單臺設(shè)計(jì)，采用一臺思科 4500E 做為外網(wǎng)交換核心，思科 4500E 具有較好的擴(kuò)展性 以及高穩(wěn)定性、高性能特點(diǎn)。 外網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)外部網(wǎng)絡(luò)連接主要有 Internet 連接專線、1 個(gè)外部服務(wù)器網(wǎng)絡(luò)。在 日常的網(wǎng)絡(luò)管理過程當(dāng)中，經(jīng)常包含下面三個(gè)過程：安裝配置和更改配置、網(wǎng)絡(luò)監(jiān)視和故障 診斷、網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化。五、園區(qū)網(wǎng)管理 Campus ManagerCampus Manager(CM)的主要功能是：建立局域網(wǎng)的二層拓?fù)鋱D(CDP 自動拓?fù)浒l(fā)現(xiàn)要嚴(yán)格限定在局域網(wǎng)內(nèi))； VLAN 管理：在實(shí)際環(huán)境中通過 VLAN 管理功能實(shí)現(xiàn)局域網(wǎng)的 VLAN 管理。網(wǎng)管員應(yīng)及時(shí)掌握網(wǎng)絡(luò)的健康狀況和使用情況，通過 IPM，網(wǎng)管員不必坐等發(fā)生故障后再去救火， 而可以主動解決網(wǎng)絡(luò)響應(yīng)時(shí)間的利用率上的問題，給用戶提供實(shí)時(shí)和歷史數(shù)據(jù)的報(bào)告。CiscoV iew 以圖形方式顯示 Cisco 設(shè)備的物理視圖。（4）變化審計(jì)服務(wù) 可生成針對設(shè)備變更的記錄報(bào)表，檢查網(wǎng)絡(luò)中所有設(shè)備變化，配置修改、設(shè)備軟件的變化情況，將報(bào)表轉(zhuǎn)存為文本文件輸出。RME通過內(nèi) 置的網(wǎng)絡(luò)設(shè)備配置查詢功能，可以定期掃描網(wǎng)絡(luò)中的每臺Cisco網(wǎng)絡(luò)設(shè)備，讀取其配置信息， 這些配置信息被存儲在一個(gè)中央管理數(shù)據(jù)庫中，有了這個(gè)全網(wǎng)設(shè)備的配置數(shù)據(jù)庫，網(wǎng)管員 就可以準(zhǔn)確了解到網(wǎng)絡(luò)中所有設(shè)備的配置狀況，并及時(shí)發(fā)現(xiàn)配置的變更情況。這就需要 Resource manager Essentials（RME），它包含在 CiscoWorks2000 的 LMS 工具中。一個(gè)良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用 戶在很大程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、預(yù)防和及時(shí)排除故障，減少網(wǎng)絡(luò)的維護(hù)費(fèi)用?；A(chǔ)網(wǎng)絡(luò)管理，涵蓋了傳統(tǒng) 網(wǎng)管的主要功能，包括告警管理、性能管理、拓?fù)涔芾淼?。路由協(xié)議包括兩類：靜態(tài)路 由協(xié)議和動態(tài)路由協(xié)議。在一個(gè)交換網(wǎng)絡(luò)中，VLAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。網(wǎng)絡(luò)管理簡單、直觀 對于交換式以太網(wǎng)，如果對某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。 子網(wǎng)劃分VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采 用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。z 路由處理能力此次市級節(jié)點(diǎn)核心路由器采用單機(jī)雙引擎、雙電源配置，整機(jī)性能達(dá)到 32Gbps，同時(shí) 建議再配置一個(gè) 24 個(gè) 1000M 光纖三層以太網(wǎng)接口，用于擴(kuò)展連接其他和設(shè)備。我們此次選用了思科電信級 的核心路由器 7600 做為省高法核心業(yè)務(wù)路由器，該路由器標(biāo)準(zhǔn)配置了 8 個(gè) 1000M 端口用 于連接縣級下屬單位和與其他網(wǎng)絡(luò)設(shè)備互聯(lián)，該核心路由器除了具有大規(guī)模應(yīng)用案例及良好的用戶口碑之外，還具有以下特點(diǎn)：z 提供豐富的業(yè)務(wù)高品質(zhì) QoS 能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。預(yù)防: IP 源防護(hù)利用 IP 源防護(hù)特性，攻擊者將無法冒用合法用戶的 IP 地址發(fā)動攻擊。預(yù)防: 動態(tài) ARP 檢測這種攻擊可以通過已獲專利的思科安全特性——?jiǎng)討B(tài) ARP 檢測（DAI）有效預(yù)防，這種方法能夠保證接入交換機(jī)只傳輸“合法”的 ARP 請求和答復(fù)。攻擊者可能會發(fā)送帶假冒源地址的 ARP 包，希望默認(rèn)網(wǎng)關(guān)或其它主機(jī)能夠承認(rèn)該地址， 并將其保存在 ARP 表中。預(yù)防: DHCP 監(jiān)聽所有第二層端口都可以支持思科已獲專利的 DHCP 監(jiān)聽特性。當(dāng)某端口分配了安全 MAC 地址，或者動態(tài)學(xué)習(xí)完成之后，端口將禁止轉(zhuǎn)發(fā)該源 地址范圍之外的包。試圖造成該表泛洪或溢出的襲擊將利用交換機(jī)內(nèi)的在 MAC 地址學(xué)習(xí)功能和轉(zhuǎn)發(fā)行為。交換機(jī)的正常行為是在地址表中填寫每個(gè)到達(dá)包的源地址和端口。常見的第二層安全威脅 隨著互聯(lián)網(wǎng)上基于菜單的黑客工具的流行，發(fā)動安全襲擊需要的技能越來越少。通信可以照常進(jìn)行，任何用戶都意識不到其應(yīng)用層信息曾遭到過襲擊。全面的管理：交換機(jī)為所有端口的配置和控制提供了基于 Web 的管理功能，因而可以集中管理重要網(wǎng)絡(luò)特性，如可用性和響應(yīng)能力等。通過有選擇地或全部實(shí)施上述特性，網(wǎng)絡(luò)管理員可防止對于服務(wù)器或應(yīng)用的未 授權(quán)訪問，允許不同的人能以不同的許可權(quán)來使用同一 PC。 接入交換機(jī)采用思科高性能 3560E 萬兆三層路由交換機(jī)，提供全千兆多層交換接入萬兆上聯(lián)能力的交換機(jī)，支持硬件組播處理，單機(jī)能處理多達(dá) 1000 多個(gè)組播項(xiàng)，對于未來開展 組播業(yè)務(wù)提供非常高效可靠的平臺。而且直接連接核心交換機(jī)，服務(wù)器可以更高效率和性能的提供服務(wù)，因?yàn)榉?wù)器交換機(jī)的上聯(lián)只有 2 個(gè)或者 4 個(gè)千兆，而這樣，單臺服務(wù)器就可以有 2 個(gè)千兆的上聯(lián)性能。核心交換機(jī)對于整個(gè)網(wǎng)絡(luò)來書是非常重要的，我們利用思科公司的旗艦型核心交換機(jī)領(lǐng) 先的技術(shù)特性－VSS (虛擬交換系統(tǒng))技術(shù)，將核心建造成一個(gè)虛擬化高效的平臺。我們推薦核心交換機(jī)采用兩臺思科旗艦型高性能交換機(jī) Catalyst 6509，通過萬兆鏈路相 連，組成整個(gè) 云宵縣檢察院內(nèi)網(wǎng)的核心，核心層與匯聚層之間采用雙千兆光纖鏈路，構(gòu)成具有高轉(zhuǎn) 發(fā)能力和高可靠性的網(wǎng)絡(luò)骨干。結(jié)合 云宵縣檢察院信息化平臺的建設(shè)思路，網(wǎng)絡(luò)設(shè)備的選擇需要考慮整體方案的完整性和擴(kuò)展 性，思科做為全球網(wǎng)絡(luò)方案的提供商，其產(chǎn)品和解決方案都是業(yè)界最完善和優(yōu)質(zhì)的，其有線 網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、IP 語音通訊、IP 視頻通訊的統(tǒng)一解決方案處于業(yè)界絕對領(lǐng)先水平，其產(chǎn)品 品質(zhì)、品牌信譽(yù)和產(chǎn)品生命力都是毋庸置疑的。 可靠性還應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障。190。190。 提供各種廣域網(wǎng)接口類型，支持萬兆平臺190。 部署功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略 如 ACL 等。 接入層設(shè)備能夠支持 QoS、組播、限速等業(yè)務(wù)處理能力。2. 接入層：提供 Layer 3 的網(wǎng)絡(luò)接入，－思科 3560E 萬兆全三層智能路由交換機(jī)190。 核心層能夠提供很好的多業(yè)務(wù)并發(fā)處理能力。 各配線間接入層設(shè)備為了減少單點(diǎn)故障和鏈路性能瓶頸的因素，建議萬兆直連到核心。核心采用冗余設(shè)計(jì)，考慮統(tǒng)一集成安全方案，實(shí)現(xiàn)對內(nèi)網(wǎng)重要區(qū)域和應(yīng) 用系統(tǒng)的隔離和防護(hù)，對網(wǎng)絡(luò)流量能夠提供硬件智能檢測分析，圖形化管理。公網(wǎng)出口能夠提供獨(dú)立的安全防護(hù)邊界，除了提供外網(wǎng)安全防火墻功能外還可對 外提供 IPSEC VPN 和 SSLVPN 訪問功能。網(wǎng)絡(luò)區(qū)域?qū)I(yè)務(wù)區(qū)域進(jìn)行的合理劃分、管理、 安全以及與廣域網(wǎng)網(wǎng)絡(luò)的鏈接規(guī)劃，同時(shí)也設(shè)計(jì)對部分區(qū)域的無線訪問解決方案。（2）網(wǎng)絡(luò)信息化建設(shè)總體思路市 云宵縣檢察院新網(wǎng)絡(luò)共分為內(nèi)網(wǎng)和外網(wǎng)兩套物理隔離網(wǎng)絡(luò)，專網(wǎng)用于 云宵縣檢察院 OA 辦公應(yīng)用和上下級單位業(yè)務(wù)專網(wǎng)互聯(lián)，外網(wǎng)用于日?；ヂ?lián)網(wǎng)訪問等業(yè)務(wù)。整個(gè)網(wǎng)絡(luò)應(yīng)有足夠的冗余備份設(shè)計(jì)，包括鏈路冗余、設(shè)備冗余、模塊冗余和數(shù)據(jù)冗余備份等，提高網(wǎng)絡(luò)的容錯(cuò)能力，減少單點(diǎn)故障。從而對 云宵縣檢察院提供一個(gè)相對安全的系統(tǒng)平臺。近期我院將遷移至新址辦公，進(jìn)一步改善業(yè)務(wù) 處理能力和提高辦公效率，以貫徹“科技強(qiáng)院”的工作方針。對于信息化的建設(shè)基礎(chǔ)網(wǎng)絡(luò)起著 至關(guān)重要的作用，基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)規(guī)劃將決定著未來科技信息化的整體框架，所以基礎(chǔ) 網(wǎng)絡(luò)的高標(biāo)準(zhǔn)要求將至關(guān)重要。信息化建設(shè)是一項(xiàng)技術(shù)要求較高的系統(tǒng)工程，所以 云宵縣檢察院在信息化建設(shè)中要注重經(jīng) 實(shí)用、高效，高起點(diǎn)建設(shè)，高水平設(shè)計(jì)，高技術(shù)配置。目前 云宵縣檢察院的機(jī)構(gòu)設(shè)置日趨完善，部門之間職責(zé)范圍的劃分更加科學(xué)、合理、規(guī)范， 基本適應(yīng)了社會發(fā)展和形勢任務(wù)的需要。網(wǎng)絡(luò)信息系統(tǒng)建設(shè)還要遵循以下基本原則：? 通盤考慮原則：站位要高，從業(yè)界發(fā)展的趨勢入手，按照科學(xué)的設(shè)計(jì)框架，兼 顧成熟性和先進(jìn)性，通盤考慮信息系統(tǒng)網(wǎng)絡(luò)的各級建設(shè)；? 投資保護(hù)原則：要充分考慮與現(xiàn)有資源整合，實(shí)現(xiàn)投資保護(hù)；? 安全性原則：在網(wǎng)絡(luò)設(shè)計(jì)中充分考慮安全因素，從各個(gè)層面充分考慮網(wǎng)絡(luò)安全、 系統(tǒng)安全、信息安全的規(guī)劃和設(shè)計(jì)。網(wǎng)絡(luò)必須具備高安全性和高穩(wěn)定性。云宵縣檢察院新網(wǎng)絡(luò)建設(shè)后要能夠?yàn)樵汗ぷ鞯闹悄芑?、自動化提供一個(gè)高可靠、高性能的信息 平臺，徹底改善辦公、辦案條件，為完成日益繁重的工作任務(wù)提供了強(qiáng)有力的物質(zhì)保障。同時(shí) 云宵縣檢察院內(nèi)網(wǎng)需要與上 下級 云宵縣檢察院內(nèi)網(wǎng)互連，與外部網(wǎng)絡(luò)實(shí)行物理隔離，要求能夠滿足整個(gè)大樓各個(gè)辦公室之間高 速、安全、保密的信息交互與內(nèi)部信息發(fā)布和數(shù)據(jù)共享，能夠滿足現(xiàn)有和未來發(fā)展的政法信 息服務(wù)和內(nèi)部辦公自動化的要求，形成一個(gè)智能化綜合信息平臺，可整合廣播、數(shù)據(jù)、視頻、 監(jiān)控等應(yīng)用，實(shí)現(xiàn)多網(wǎng)合一的高效辦公網(wǎng)?？紤]到外網(wǎng)數(shù)據(jù)流 量模型主要用于桌面終端到互聯(lián)網(wǎng)的訪問特點(diǎn)，整體網(wǎng)絡(luò)采用千兆光纖骨干(接入－核心)， 百兆桌面接入的方式，考慮到外網(wǎng)每個(gè)配線間信息點(diǎn)較少，接入交換機(jī)可采用級聯(lián)方式連接 中心機(jī)房。根據(jù)院建筑設(shè)計(jì)結(jié)構(gòu)圖（A、B 兩個(gè)樓體中間通過聯(lián)體相連），結(jié)合先進(jìn)的以太網(wǎng)技術(shù)特 點(diǎn)以及辦公應(yīng)用在數(shù)據(jù)訪問流量方面的特點(diǎn)，內(nèi)網(wǎng)總體網(wǎng)絡(luò)結(jié)構(gòu)采用扁平化層次化結(jié)構(gòu)，通 過接入層設(shè)備直接連接核心的兩層架構(gòu)，保證網(wǎng)絡(luò)的最優(yōu)化設(shè)計(jì)，提供最小的數(shù)據(jù)交換延時(shí) 和最高的吞吐帶寬。內(nèi)網(wǎng)網(wǎng)絡(luò)終端采用千兆以太網(wǎng)技術(shù)，提供至少 1000M 交換到桌面的接入方式。190。 核心層做為數(shù)據(jù)交換中心，除了提供高性能高可靠的平臺外，還提供集成安全、應(yīng)用加速、語音視頻優(yōu)化等多業(yè)務(wù)處理。 接入層設(shè)備能夠很好的隔離二、三層攻擊190。 各功能分區(qū) IP 地址或路由區(qū)域的匯聚.190。3. 核心路由：作為廣域網(wǎng)匯聚 －思科 7600 萬兆智能路由平臺190。 集成多種硬件服務(wù)功能，并發(fā)處理各種網(wǎng)絡(luò)服務(wù)。 能夠?qū)崿F(xiàn)對鏈路狀態(tài)智能識別，能夠完成自愈管理。整個(gè)網(wǎng)絡(luò)應(yīng)有足夠的冗余，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)。 產(chǎn)品的備板、備件也要較為充足，以保證在用戶硬件出現(xiàn)問題時(shí)能夠及時(shí)更換，保護(hù)用戶原 有投資。我們在核心層設(shè)計(jì)時(shí)，充分考慮了系統(tǒng)的擴(kuò)展性和成本投入高效性，故我們提出兩種核心架 構(gòu)的解決方案。4. 系統(tǒng)虛擬化－核心完全虛擬化成單一邏輯中心，減少由于網(wǎng)絡(luò)設(shè)備變化、配置變化等導(dǎo)致的網(wǎng)絡(luò)恢復(fù)和管理時(shí)間，進(jìn)一步提高系統(tǒng)性能和穩(wěn)定性。 服務(wù)器區(qū)設(shè)計(jì)關(guān)鍵業(yè)務(wù)服務(wù)器直接通過兩條千兆鏈路連接兩臺核心交換機(jī)，這兩條鏈路捆綁，這樣不 但可以充分利用 VSS 的功能，兩條鏈路捆綁，性能加倍且可靠性高，無需服務(wù)器和系統(tǒng)的額外協(xié)議支持。接入層需要規(guī)范網(wǎng)絡(luò)訪問行為，在網(wǎng)絡(luò)的訪問功能和管理功能中具有重要的作用。做為接入層設(shè)備除了能夠承上啟下提供高性能鏈路樞紐之