【正文】 許通過的數(shù)據(jù)，其他數(shù)據(jù)都是被拒絕的；? 多層次的安全級別，為不同的安全區(qū)域提供差異化的安全級別，如 DMZ區(qū)域；? 提供多樣的系統(tǒng)安全策略和日志功能。安全控制設(shè)計如下：? 在生產(chǎn)服務(wù)器區(qū)邊界部署專用硬件防火墻，防火墻采用雙機主備工作模式，保障系統(tǒng)可靠性；37 / 87? 在防火墻上部署嚴格的安全控制策略，對數(shù)據(jù)流執(zhí)行雙向控制；? 確定客戶端和服務(wù)器之間的訪問規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上。? 在內(nèi)網(wǎng)區(qū)的路由器上，ACL 雙向部署，控制這些端口出（out）和入（in）的流量。生產(chǎn)服務(wù)器區(qū)安全策略的部署生產(chǎn)服務(wù)器區(qū)作為數(shù)據(jù)中心的關(guān)鍵應(yīng)用區(qū)域，使用硬件防火墻和 IDS 設(shè)備控制進出該區(qū)域的流量。39 / 87外聯(lián)區(qū)安全策略的部署外聯(lián)區(qū)保持現(xiàn)有策略不變。當生產(chǎn)網(wǎng)鏈路或設(shè)備故障后，需要自動切換到管理網(wǎng)鏈路上，而管理網(wǎng)故障不做數(shù)據(jù)流的切換。41 / 87 QoS 流量分類根據(jù)數(shù)據(jù)流的 IP 地址或服務(wù)端口號將數(shù)據(jù)流分為六類，如下表所示：所屬類別 ACL命名 所屬隊列關(guān)鍵業(yè)務(wù)類 Key PQ語音業(yè)務(wù)類 Voice PQ視頻會議類 Video PQ管理數(shù)據(jù)類辦公業(yè)務(wù)類OA缺中心業(yè)務(wù)類CBWFQ? 內(nèi)網(wǎng)互聯(lián)區(qū)管理網(wǎng)路由器的QoS配置模板在配置之前請確認當前設(shè)備的軟件版本是否支持將要配置的 QoS 技術(shù)。中心錦泰保險骨干網(wǎng)的 QoS 部署采用如下的方式：從錦泰保險中心機房通過內(nèi)網(wǎng)區(qū)管理網(wǎng)路由器流向地市分公司管理網(wǎng)路由器的數(shù)據(jù)包，在錦泰保險內(nèi)網(wǎng)區(qū)管理網(wǎng)路由器上同時實施數(shù)據(jù)包的分類和擁塞管理；從地市分公司管理網(wǎng)路由器流向錦泰保險的數(shù)據(jù)包在地市分公司管理網(wǎng)路由器上同時實施數(shù)據(jù)包的分類和擁塞管理。盡管骨干網(wǎng)的不斷完善提高了整個網(wǎng)絡(luò)的性能和帶寬，但更多的帶寬并不能保證網(wǎng)絡(luò)不發(fā)生擁塞，因為網(wǎng)絡(luò)上的各種新的應(yīng)用層出不窮，訪問量急增，對帶寬的占用越來越多，只靠增加帶寬不能保證各個服務(wù)的級別。網(wǎng)絡(luò)設(shè)備自身安全保護為了防止對網(wǎng)絡(luò)設(shè)備的非法入侵，生產(chǎn)服務(wù)器區(qū)交換機和防火墻應(yīng)做好自我保護。? 網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認有軟件 Bug 的網(wǎng)絡(luò)服務(wù)和可能對自身產(chǎn)生安全威脅的服務(wù)；38 / 87? 加密設(shè)備密碼；? 用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對操作有相應(yīng)的授權(quán)、認證和審計）? 網(wǎng)管 SNMP 安全，對 SNMP 訪問設(shè)置 ACL 控制，只允許許可范圍內(nèi)的 IP地址通過 SNMP 管理設(shè)備。預(yù)防惡意代碼的安全控制策略如下：? 根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應(yīng)的 ACL；? 把 ACL 部署在關(guān)鍵的控制點上，這些控制點包括：? 各功能區(qū)的出口交換機上（防火墻默認情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時，也可以部署在功能區(qū)內(nèi)各 VLAN 上，達到更進一步控制惡意代碼傳播的目的。通過網(wǎng)絡(luò)結(jié)構(gòu)的功能分區(qū)，在網(wǎng)絡(luò)安全上實現(xiàn)了以下目標：? 實現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實現(xiàn)了數(shù)據(jù)鏈路層上物理隔離；? 各分區(qū)有單一的出入口；? 分區(qū)之間互訪必須經(jīng)過網(wǎng)絡(luò)層路由；? 為其他安全控制策略的部署奠定了基礎(chǔ)；? 應(yīng)用系統(tǒng)內(nèi)部安全策略。ACL 通過對網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。網(wǎng)絡(luò)設(shè)備自身安全分析網(wǎng)絡(luò)設(shè)備自身的安全風險主要有：? 網(wǎng)絡(luò)設(shè)備的物理安全；? 網(wǎng)絡(luò)設(shè)備操作系統(tǒng) Bug 和對外提供的網(wǎng)絡(luò)服務(wù)風險；? 網(wǎng)絡(luò)管理協(xié)議 SNMP 非授權(quán)訪問的風險；? 設(shè)備訪問密碼安全；? 設(shè)備用戶安全風險；? 安全技術(shù)中心錦泰保險中心機房局域網(wǎng)安全設(shè)計基于基礎(chǔ)設(shè)施總體架構(gòu)設(shè)計中使用的模塊化設(shè)計方案，是基于業(yè)界企業(yè)級網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進行的，包括Cisco SAFE 和 IBM eBusiness reference model 模型，在設(shè)計中考慮了網(wǎng)絡(luò)的擴展性、可用性、管理性、高性能等因素，也重點覆蓋了安全性設(shè)計。? 測試交換機不允許起非測試地址的 VLAN。? 在連接核心交換去的交換機的端口對病毒端口做 in 和 out 兩個方向的ACL 控制。? 管理網(wǎng)用戶區(qū) ACL 規(guī)劃 ? Vlan 之間的互訪暫不控制。? 外聯(lián)區(qū) ACL 規(guī)劃 網(wǎng)絡(luò)訪問控制在外聯(lián)區(qū)接入路由器上通過控制外單位可以學到的網(wǎng)段路由，保證每個外單位只能夠訪問到自己允許被訪問到的網(wǎng)段，而不能隨意訪問到其他外單位的網(wǎng)絡(luò)中，或者訪問到錦泰保險中心機房其他禁止訪問的網(wǎng)段。31 / 87? 需要在連接核心交換區(qū)交換機的端口對病毒端口做 in 和 out 兩個方向的 ACL 控制? 管理網(wǎng)服務(wù)器區(qū) ACL 規(guī)劃 ? 不允許測試區(qū)訪問管理網(wǎng)服務(wù)器區(qū)。在本次四川錦泰保險中心機房局域網(wǎng)改造項目中我們需要實施以下的控制。廣域網(wǎng)路由設(shè)計光域網(wǎng)總體設(shè)計 ACL實施規(guī)劃在計算機系統(tǒng)中，安全機制的核心是訪問控制。外聯(lián)區(qū)的JT_EN_5520_FW_01 和JT_EN_5520_FW_02與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02之間運行靜態(tài)路由。內(nèi)聯(lián)區(qū)JTIN3945_RT_01和JTIN3945_RT_02機與2臺核心交換區(qū)的交換機間啟用4 個三層Vlan。運維管理用戶區(qū)的路由設(shè)計：運維管理區(qū)的JT_OM_4948_SW_01與核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02 交換機間使用2 對光纖建立full mesh連接。管理服務(wù)器區(qū)的JT_IS_4506_SW_0JT_IS_4506_SW_02上配置到管理服務(wù)器的網(wǎng)段的匯總靜態(tài)路由，該靜態(tài)路由通過OSPF重分發(fā)靜態(tài)路由的方式發(fā)布到OSPF 鏈路狀態(tài)數(shù)據(jù)庫中，在核心交換區(qū)的JT_CS_4506_SW_01和JT_CS_4506_SW_02形成一條類型１的外部路由。核心服務(wù)器區(qū)的2 臺核心交換機與 2臺核心交換區(qū)的交換機間啟用 4個三層Vlan。地市分公司路由器和錦泰保險分公司路由器之間的鏈路運行ＲＩＰ V２。連接JTIN3945_RT_02和地市分公司管理網(wǎng)路由器的移動ＳＤＨ的鏈路上運行OSPF AREA ２。當?shù)厥蟹止?、錦泰保險分公司的生產(chǎn)網(wǎng)網(wǎng)絡(luò)設(shè)備或鏈路故障時能使用管理網(wǎng)的設(shè)備和鏈路實現(xiàn)自動冗余。某個地市分公司到中心中心管理網(wǎng)線路或設(shè)備故障后，管理網(wǎng)數(shù)據(jù)流不做自動冗余，該地市分公司轄內(nèi)管理網(wǎng)數(shù)據(jù)流均不能正常訪問中心中心管理網(wǎng)服務(wù)器。管理網(wǎng)分離前，管理網(wǎng)和生產(chǎn)網(wǎng)共用相同的網(wǎng)絡(luò)設(shè)備和線路，由于在中心中心和地市分公司之間只有一條廣域網(wǎng)鏈路，地市中心到錦泰保險分公司也只27 / 87有一條廣域網(wǎng)鏈路，所以在廣域網(wǎng)上數(shù)據(jù)不能冗余也不能進行分流。在正常情況下，一部分數(shù)據(jù)流從SW_1 流出該區(qū)域，部分數(shù)據(jù)從 SW_2流出該區(qū)域，在其中一臺交換機故障時，數(shù)據(jù)流從另一臺交換機流出。由于各周邊區(qū)域與核心交換區(qū)之間使用兩條冗余連接，各區(qū)域間通信存在多條路徑。接口工作在三層路由模式無需使用 STP，收斂較快。避免各個交換機之間由于 VTP 非計劃內(nèi)同步導致 VLAN 信息丟失，從而影響關(guān)鍵業(yè)務(wù)。最大可以分配 32 個。（5） E 段定義應(yīng)用類別（4Bits）用于標識生產(chǎn)或管理下的應(yīng)用類別，共可以表示 16 類。二級地域標識有效取值范圍為 00001～11111，即最多可標識 32個二級地域標識節(jié)點。編碼結(jié)構(gòu)IP 地址編碼按地域和功能劃分，編碼結(jié)構(gòu)如下：A B C D E F G5 3 5Bits 4Bits 4Bits 6Bits 5Bits預(yù)留生產(chǎn)、管理應(yīng)用類標識二級地域標識三級地域標識應(yīng)用類別四級地域標識用戶網(wǎng)絡(luò)地址編碼含義（1）A 段定義預(yù)留字段（5Bits）用于標識未來新增的字節(jié)，由于目前沒有定義，在錦泰保險的網(wǎng)絡(luò)中，我20 / 87們?nèi)∫还潭ㄖ?01000，用 10 進制表示為 64。設(shè)備名稱中的英文字母全部采用大寫。核心交換區(qū)與管理用戶區(qū)的連接模式核心交換區(qū)與管理服務(wù)器區(qū)之間采用2條千兆以太網(wǎng)線互聯(lián)。為了實現(xiàn)高可用性，兩臺路由器之間互聯(lián)的EtherChannel使用不同引擎上的兩個光接口。兩臺管理服務(wù)器交換機之間采用兩條不同介質(zhì)的千兆鏈路做PortChannel 鏈路捆綁。一條用作二層交換，一條作為三層接口，用于三層路由。管理網(wǎng)用戶區(qū)：錦泰保險生產(chǎn)辦公用戶通過現(xiàn)有鏈路訪問與核心交換連接。在此區(qū)域部署2臺外聯(lián)路由器和2 臺外聯(lián)防火墻。核心交換區(qū)：核心交換區(qū)作為整個局域網(wǎng)的核心，連接不同的功能區(qū)域，實現(xiàn)數(shù)據(jù)的高速轉(zhuǎn)發(fā)。在本次局域網(wǎng)改造中，將中心中心的局域網(wǎng)劃分為八個功能區(qū)域（Zone），分別是：13 / 87? 核心交換區(qū)（Core Switch Zone）；? 生產(chǎn)服務(wù)器區(qū)（DB Server Zone）；? 管理服務(wù)器區(qū)（Information Server Zone）；? 外聯(lián)區(qū)（ExterNal Zone）；? 內(nèi)聯(lián)區(qū)（IntraNet Zone）。為了保證更好的網(wǎng)絡(luò)性能，核心交換區(qū)只提供實現(xiàn)高速轉(zhuǎn)發(fā)功能，安全控制在各邊緣區(qū)域中實現(xiàn)。畫出各應(yīng)用數(shù)據(jù)流圖，并整理各應(yīng)用系統(tǒng)服務(wù)器訪問關(guān)系表。12 / 87? 外網(wǎng)網(wǎng)絡(luò)區(qū)域現(xiàn)狀中心錦泰保險外網(wǎng)防火墻的部署，所有合作單位與錦泰保險的信息交互都必須通過外網(wǎng)防火墻進行過濾。? 地市及網(wǎng)點路由現(xiàn)狀地市路由器與縣級路由器運行在 OSPF AREA X 中。在錦泰保險核心交換機上，分別有一個核心服務(wù)器VLAN，和一個辦公VLAN通過OSPF AREA 1直接宣告。分公司通過2M SDH數(shù)字線路接入到中心機房，分公司只有辦公設(shè)備，沒有服務(wù)器。中心機房通過A和B運營商各一條線路接入到INTERNET，目前INTERNET的作用是供員工上網(wǎng)和收發(fā)郵件，要求在INTERNET接入處安放一臺鏈路均衡儀，但暫時不需要具備冗余備份。 總的來說，思科解決方案的目的在于，為客戶提供一個高可用性、高安全性和高服務(wù)質(zhì)量的網(wǎng)絡(luò)，提供一個一致的端到端單廠家解決方案，今后可以隨時部署IP電話、無線、數(shù)據(jù)中心等等的解決方案。安全性已經(jīng)不再是部署防火墻和入侵檢測和殺毒軟件等傳統(tǒng)概念，而是對信息獲取、傳輸、交易、處理和存儲的端到端的全方位保障。思科解決方案中的基礎(chǔ)設(shè)施可以無縫地集成到網(wǎng)絡(luò)的總體安全之中，使安全運行管理者能高枕無憂，同時又能使網(wǎng)絡(luò)運行管理者預(yù)防從與其網(wǎng)絡(luò)相連的終端站故意或無意發(fā)出的威脅和攻擊。 思科產(chǎn)品其他特點8 / 87下面是CISCO解決方案提供的業(yè)內(nèi)絕無僅有的特點：（1） 高可用性和高永續(xù)性的層次化架構(gòu) 思科的解決方案首先從設(shè)計和架構(gòu)上著重于創(chuàng)建一種高可用和高永續(xù)性的設(shè)計。（3）Cisco做為發(fā)起者，號召和聯(lián)合國內(nèi)外著名的廠商（微軟、NAI、賽門鐵克、Trend Micro、IBM、CA等）推出了NAC（網(wǎng)絡(luò)準入控制）技術(shù)，讓Cisco的路由器和交換機也參與殺毒防蠕蟲（如沖擊波），從而可以真正的殺毒防蠕蟲，即殺毒防蠕蟲需要所有的設(shè)備（尤其是病毒和蠕蟲傳播要經(jīng)歷的網(wǎng)絡(luò)設(shè)備）都參與，僅靠殺毒防蠕蟲軟件是不可行的。為了解決日益突出的網(wǎng)絡(luò)安全問題，Cisco戰(zhàn)略性地研發(fā)了SDN(自防御網(wǎng)絡(luò))技術(shù)。其產(chǎn)品的穩(wěn)定性、可靠性、技術(shù)先進性是肯定的, 其產(chǎn)品的技術(shù)參數(shù)和指標沒有任何水分。網(wǎng)絡(luò)設(shè)備應(yīng)具有良好的可擴展性，以適應(yīng)今后多年網(wǎng)絡(luò)的發(fā)展，在滿足對當前及未來網(wǎng)絡(luò)技術(shù)的需求（包括Ipv6的支持，無線網(wǎng)絡(luò)的支持，IP電話的支持，服務(wù)器負載均衡的支持等等），又能未來做出投資保護。絡(luò)的高可靠性和高安全性及可管理性是本次網(wǎng)絡(luò)建設(shè)的目標。整個網(wǎng)絡(luò)實現(xiàn)包括數(shù)據(jù)傳輸、安全、存儲備份等綜合性服務(wù)的功能。對于所需要的網(wǎng)絡(luò)設(shè)備，要求必須是久經(jīng)考驗的網(wǎng)絡(luò)設(shè)備，在業(yè)界有良好的口碑，具備真實的技術(shù)參數(shù)，不能做虛假的夸大。其產(chǎn)品及設(shè)備的軟件久經(jīng)考驗，非常成熟可靠。Cisco公司通過自己獨特的QoS技術(shù)解決了網(wǎng)絡(luò)大塞車的問題，Cisco公司的產(chǎn)品（交換機、路由器）均內(nèi)置了端到端的成熟的QoS技術(shù)，解決了網(wǎng)絡(luò)大塞車的問題，通過夸大的不切實際的大背板來解決網(wǎng)絡(luò)擁塞是不可行的。（2）Cisco公司產(chǎn)品全面，Cisco能提供在一個項目中所需要的幾乎是所有網(wǎng)絡(luò)技術(shù)和所有網(wǎng)絡(luò)產(chǎn)品，如交換機、路由器、安全產(chǎn)品（UTM,防火墻，IPS，VPN）、IP電話/IP視頻產(chǎn)品、IP呼叫中心、無線產(chǎn)品、SAN交換機、負載均衡交換機、WAN加速產(chǎn)品、Cable、ADSL、光傳輸、網(wǎng)管軟件、用戶身份認證軟件等等，這為今后網(wǎng)絡(luò)的良性發(fā)展提供了堅實的統(tǒng)一基礎(chǔ)，幫助用戶方便靈活地建設(shè)各種類型的網(wǎng)絡(luò)，同時，由于擁有最多的在各種環(huán)境下部署網(wǎng)絡(luò)系統(tǒng)的實施經(jīng)驗，Cisco能夠提供多種多樣的解決方案和解決實際問題的能力。而目前其它公司的產(chǎn)品對整個網(wǎng)絡(luò)的發(fā)展和一些關(guān)鍵問題（如殺毒殺蠕蟲、高穩(wěn)定性）并沒有起到作用，只能提供一個基本的局域網(wǎng)而已，不能提供投資保護和增值業(yè)務(wù)。企業(yè)LAN管理者都希望自己的路由器和交換機具有內(nèi)在的安全功能，從而為設(shè)備本身乃至與之相連的用戶提供保護。沒有安全基礎(chǔ)設(shè)施可能產(chǎn)生的另一個情況就是信息盜竊。 （3）對延展性和業(yè)務(wù)靈活性的支持 思科智能企業(yè)網(wǎng)解決方案所建議的思科架構(gòu)可滿足未來的發(fā)展需求，能適應(yīng)今后IP電話和無線聯(lián)網(wǎng)的網(wǎng)絡(luò)需求。10 / 87中心機房（擬租用機房）安放核心交換機、路由器、鏈路均衡儀、防火墻、核心服務(wù)器等設(shè)備，交換機、路由器、防火墻等核心設(shè)備具備冗余備份。總公司機房（在總公司辦公職場內(nèi)）通過兩條4M MSTP或者SDH數(shù)字線路接入到中心機房，接入