【正文】 策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性第3章 一期基礎(chǔ)網(wǎng)絡(luò)建設(shè) 需求分析為適應(yīng)企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，今天的大型企業(yè)網(wǎng)絡(luò)建設(shè)比傳統(tǒng)企業(yè)網(wǎng)絡(luò)建設(shè)提出更高的要求，主要表現(xiàn)在如下幾個(gè)方面：1）現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)具有更高的帶寬，支持10GE或?qū)砥交^渡到10GE，更強(qiáng)大的性能，以滿足用戶日益增長的通訊需求；　　隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，基于網(wǎng)絡(luò)的各種應(yīng)用日益增多，今天的企業(yè)網(wǎng)絡(luò)已經(jīng)發(fā)展成為一個(gè)多業(yè)務(wù)承載平臺(tái)，它不僅要繼續(xù)承載企業(yè)的辦公自動(dòng)化和WEB瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話、視頻會(huì)議等多媒體業(yè)務(wù)，因此數(shù)據(jù)流量將大大增加，尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出前所未有的要求。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，才能有效的保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。l 先進(jìn)性和安全性系統(tǒng)所有的組成要素均應(yīng)充分地考慮其先進(jìn)性。因此需要采取一定的預(yù)防措施，如對(duì)關(guān)鍵應(yīng)用的主干設(shè)備考慮有適當(dāng)?shù)娜哂?。所謂“層次化”模型，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計(jì)分成幾個(gè)層次，每個(gè)層次著重于某些特定的功能，這樣就能夠使一個(gè)復(fù)雜的大問題變成許多簡單的小問題。 網(wǎng)絡(luò)拓?fù)鋱D 網(wǎng)絡(luò)設(shè)計(jì) 骨干核心層網(wǎng)絡(luò)設(shè)計(jì)大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心網(wǎng)主要完成整個(gè)企業(yè)集團(tuán)內(nèi)部不同地域企業(yè)之間的高速數(shù)據(jù)路由轉(zhuǎn)發(fā)，以及維護(hù)全網(wǎng)路由的計(jì)算。 核心層網(wǎng)絡(luò)設(shè)計(jì)　　大型企業(yè)生產(chǎn)辦公網(wǎng)絡(luò)的核心層網(wǎng)絡(luò)主要完成園區(qū)內(nèi)各匯聚層設(shè)備之間的數(shù)據(jù)交換和與骨干核心層網(wǎng)絡(luò)之間的路由轉(zhuǎn)發(fā)。　　H3C智能寬帶接入交換機(jī)是能滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境智能交換機(jī)，具備傳統(tǒng)二層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，進(jìn)一步加強(qiáng)了企業(yè)網(wǎng)絡(luò)對(duì)邊緣接入層面的安全控制能力。部分企業(yè)園區(qū)網(wǎng)在早期的建設(shè)中由于成本的原因并未在設(shè)計(jì)中考慮冗余問題，而在優(yōu)化工作中則需從網(wǎng)絡(luò)鏈路和網(wǎng)絡(luò)設(shè)備兩方面著手。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種廉價(jià)有效的方法擴(kuò)展服務(wù)器帶寬和增加吞吐量，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力，提高網(wǎng)絡(luò)的靈活性和可用性。一方面它對(duì)企業(yè)的企業(yè)的重要性毋庸質(zhì)疑，另一方面，由于這些數(shù)據(jù)的性質(zhì)決定了其較大的被訪問量，這個(gè)對(duì)服務(wù)器提出了穩(wěn)定和快速的要求。在進(jìn)行地址分配時(shí)，為了提高地址分配效率和地址利用率，我們?cè)诰幹吩O(shè)計(jì)時(shí)按照了一定的順序進(jìn)行。VLSM是可變長子網(wǎng)掩碼的英文縮寫，它提供了一個(gè)主類（A類、B類、C類）網(wǎng)絡(luò)內(nèi)包含多個(gè)子網(wǎng)掩碼的能力，可以對(duì)一個(gè)子網(wǎng)再進(jìn)行子網(wǎng)劃分。 私有遍址IP電話： ——————————— IP電話+PC在同一交換機(jī)端口上 / / / /—————————－ 最后經(jīng)過我們的計(jì)算，將各部門ip地址分配如下表：IP地址網(wǎng)段VLAN編號(hào)默認(rèn)網(wǎng)關(guān)服務(wù)器功能區(qū)10監(jiān)控功能區(qū)20財(cái)務(wù)功能區(qū)30臨時(shí)、外來訪問功能區(qū)40……(根據(jù)用戶的具體情況定)用戶地址與VLAN劃分Web服務(wù)器IP地址： FTP服務(wù)器IP地址： 路由器出口IP地址： 方案特點(diǎn)本方案很好地解決了用戶要求的四個(gè)問題，即帶寬問題、安全問題、管理問題、靈活擴(kuò)展問題。l 辦公網(wǎng)絡(luò)出口較多該網(wǎng)絡(luò)辦公出口有電信和聯(lián)通兩個(gè)出口，后期可能還要增加出口，所以為了提升網(wǎng)絡(luò)速度和有效利用多個(gè)帶寬出口，有必要配備一臺(tái)鏈路負(fù)載均衡設(shè)備，對(duì)多個(gè)出口進(jìn)行管理。C、將服務(wù)器機(jī)房架設(shè)標(biāo)準(zhǔn)機(jī)柜，并完成服務(wù)器機(jī)房線路改造，做到故障易判斷、線路標(biāo)識(shí)有序。當(dāng)承載業(yè)務(wù)系統(tǒng)的服務(wù)器數(shù)量不斷擴(kuò)容到一定的數(shù)量級(jí)，業(yè)務(wù)系統(tǒng)需要進(jìn)行安全域安分，這樣能更好地根據(jù)業(yè)務(wù)系統(tǒng)的嚴(yán)重級(jí)別進(jìn)行分類管理。 網(wǎng)絡(luò)安全建設(shè)的價(jià)值252。我們將提供了業(yè)界領(lǐng)先的WEB應(yīng)用攻擊防護(hù)能力，保證WEB應(yīng)用的連續(xù)性和高可用性。252。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無法滿足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善?；谀壳熬W(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻，入侵防護(hù)系統(tǒng)（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。u Web安全基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測結(jié)果，結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù)，保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害，及時(shí)、有效地第一時(shí)間攔截Web威脅。在過去的 4個(gè)月中，之前已有 3次大規(guī)模攻擊，受害者包括某知名防病毒軟件廠商網(wǎng)站、歐洲某政府網(wǎng)站和某國際機(jī)構(gòu)網(wǎng)站在內(nèi)的多家互聯(lián)網(wǎng)網(wǎng)站，感染頁面數(shù)最多超過10，000頁面/天。當(dāng)用戶請(qǐng)求訪問某一個(gè)頁面時(shí)，NSFOCUS WAF會(huì)對(duì)服務(wù)器側(cè)響應(yīng)的網(wǎng)頁內(nèi)容進(jìn)行在線檢測，判斷是否被植入惡意代碼，并對(duì)惡意代碼進(jìn)行自動(dòng)過濾。對(duì)于這些已上線、正提供生產(chǎn)的WEB應(yīng)用，由于其定制化特點(diǎn)決定了沒有通用補(bǔ)丁可用，而整改代碼因代價(jià)過大變得較難施行或者需要較長的整改周期。252。在美國上市公司必須遵循的“薩班斯(SOX)法案” 中要求對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行評(píng)估，其中涉及對(duì)業(yè)務(wù)系統(tǒng)操作、數(shù)據(jù)庫訪問等業(yè)務(wù)行為的審計(jì)。SAS支持旁路(Sniffer Mode)部署模式，并支持多個(gè)硬件監(jiān)聽口，提供對(duì)多網(wǎng)段的同時(shí)監(jiān)聽能力，典型部署如下0所示：SAS典型部署 上網(wǎng)管理系統(tǒng)隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域正在迅速普及，信息的獲取、共享和傳播更加方便。如何保證企業(yè)網(wǎng)絡(luò)內(nèi)容安全，凈化網(wǎng)絡(luò)環(huán)境，規(guī)范上網(wǎng)行為，符合國家法規(guī)要求，是廣大企業(yè)迫切需要解決的問題。通過內(nèi)容安全管理，企業(yè)可以加強(qiáng)員工上網(wǎng)行為管理，保障網(wǎng)絡(luò)資源合理使用，避免人為的網(wǎng)絡(luò)安全隱患，提升互聯(lián)網(wǎng)使用率，擁有更加安全的網(wǎng)絡(luò)環(huán)境，從而利用網(wǎng)絡(luò)創(chuàng)造更多價(jià)值。 如何評(píng)價(jià)內(nèi)容安全管理系統(tǒng)是否能夠很好地幫助企業(yè)控制互聯(lián)網(wǎng)內(nèi)容、管理網(wǎng)絡(luò)行為是內(nèi)容安全管理系統(tǒng)的基本標(biāo)準(zhǔn)。u 其他安全通告：其他應(yīng)用系統(tǒng)和安全組織（如SANS/CERT等）的安全通告。緊急事件響應(yīng)將以最快的速度趕到現(xiàn)場，協(xié)助波鴻集團(tuán)運(yùn)維人員解決問題，查找受攻擊系統(tǒng)，保存證據(jù)和追查來源。針對(duì)主機(jī)系統(tǒng)、應(yīng)用服務(wù)器主要提供如下的安全加固服務(wù)：n 安裝最新補(bǔ)丁n 帳號(hào)、口令策略調(diào)整n 網(wǎng)絡(luò)與服務(wù)加固n 文件系統(tǒng)權(quán)限增強(qiáng)n 日志審核功能增強(qiáng)n 內(nèi)核安全參數(shù)調(diào)整 信息安全培訓(xùn)信息安全培訓(xùn)是成本最低、最有效利用現(xiàn)有技術(shù)和資源的、效果最快最顯著的信息安全管理措施，借助各項(xiàng)培訓(xùn)課程，專業(yè)培訓(xùn)人員將向波鴻集團(tuán)的各層安全管理人員、維護(hù)人員和系統(tǒng)日常使用人員等傳授從一般性的安全意識(shí)、到具體的安全攻防操作、再到高級(jí)的信息安全管理在內(nèi)的全方位的安全知識(shí)和技能，從而提升波鴻集團(tuán)在信息安全實(shí)踐當(dāng)中“人”這個(gè)決定因素的關(guān)鍵作用，為有效的信息安全提供保障。第5章 三期VPN規(guī)劃建設(shè)方案 VPN (虛擬專用網(wǎng))虛擬專用網(wǎng)(virtual private network)是一種在公用網(wǎng)絡(luò)上通過創(chuàng)建隧道，封裝 數(shù)據(jù)模擬的一種私有專用鏈路。 安全網(wǎng)關(guān)介紹NSASG 產(chǎn)品是集IPSEC VPN和SSL VPN為一體的新一代VPN產(chǎn)品，為客戶實(shí)現(xiàn)安全、易用、高效的連接。終端準(zhǔn)入控制ASG支持對(duì)客戶接入的終端計(jì)算機(jī)進(jìn)行安全掃描，對(duì)于不符合安全接入條件的計(jì)算機(jī)予以屏蔽。適用于大型用戶數(shù)較多的企業(yè)，減輕企業(yè)管理員的工作量模塊化用戶認(rèn)證插件，用戶認(rèn)證類型豐富，全面覆蓋各種用戶場景ASG是一個(gè)綜合用戶認(rèn)證網(wǎng)關(guān)，支持多種靜態(tài)與動(dòng)態(tài)用戶認(rèn)證技術(shù)，用于對(duì)遠(yuǎn)程接入用戶進(jìn)行高精度的認(rèn)證與授權(quán)。異地機(jī)構(gòu)互連總部與分支機(jī)構(gòu)之間采用端到端的局域網(wǎng)互連，實(shí)現(xiàn)跨越地理位置的大局域網(wǎng)，終端用戶無需配置客戶端，無感知訪問遠(yuǎn)端資源專線備份重要的專線資源要求全年業(yè)務(wù)無中斷，但是專線質(zhì)量受到物理鏈路影響不能保證無故障，可采用VPN技術(shù)為專線建立備份鏈路，保證業(yè)務(wù)質(zhì)量非教育網(wǎng)訪問教育網(wǎng)資源加速運(yùn)營商網(wǎng)絡(luò)訪問局域網(wǎng)資源緩慢已經(jīng)成為一種現(xiàn)象，運(yùn)營商網(wǎng)絡(luò)采用VPN接入教育網(wǎng)從而訪問教育網(wǎng)內(nèi)的資源可以實(shí)現(xiàn)訪問速度的成倍增長移動(dòng)網(wǎng)絡(luò)安全加固WLAN網(wǎng)絡(luò)由于其開放性，用戶和數(shù)據(jù)的安全無法得到保證，ASG的高強(qiáng)度用戶認(rèn)證、多種數(shù)據(jù)加密可以加固移動(dòng)網(wǎng)絡(luò)的安全 網(wǎng)絡(luò)拓?fù)鋱D第6章 四川虹信軟件有限公司簡介 虹信公司簡介長虹始創(chuàng)于1958年，從軍工立業(yè)、彩電興業(yè)，到信息電子的多元拓展，已成為集軍工、消費(fèi)電子、核心器件研發(fā)與制造為一體的綜合型跨國企業(yè)集團(tuán)，并正向具有全球競爭力的信息家電內(nèi)容與服務(wù)提供商挺進(jìn)。我們的資質(zhì)178。 Juniper認(rèn)證178。他們能針對(duì)不同類型的項(xiàng)目，制定對(duì)應(yīng)的施工方案，采取有效的保證措施，嚴(yán)格控制進(jìn)度與質(zhì)量。 售后服務(wù)當(dāng)有合作意向時(shí)，我們將委派設(shè)計(jì)師勘察現(xiàn)場會(huì)同客戶一起研究探討，提供最優(yōu)化的設(shè)計(jì)方案，保證用戶獲得最終滿意。世界著名企業(yè)：虹信公司與IBM、微軟、思科、華為、Honeywell、松下、sony、三洋西蒙、德國西門子等建立了長期戰(zhàn)略伙伴關(guān)系，在合作中不斷學(xué)習(xí)國際先進(jìn)技術(shù)。虹信軟件大力推進(jìn)服務(wù)能力建設(shè)與自主創(chuàng)新，取得了軟件著作權(quán)10余項(xiàng)，通過了軟件企業(yè)認(rèn)定、ISO9000認(rèn)證，承擔(dān)了國家科技部863計(jì)劃、現(xiàn)代服務(wù)業(yè)示范工程等國家級(jí)重大項(xiàng)目，并于2009年入選國家發(fā)改委十二家信息化外包服務(wù)試點(diǎn)企業(yè)。支持虹信發(fā)展的各界人士智能建筑領(lǐng)域的專家、政府領(lǐng)導(dǎo)、公司優(yōu)秀忠誠的員工。 用戶培訓(xùn)我們將為客戶培訓(xùn)維修及使用人員，以使用戶準(zhǔn)確掌握產(chǎn)品特點(diǎn)操作規(guī)范維護(hù)相關(guān)知識(shí)。我們的質(zhì)保體系質(zhì)量是企業(yè)的生命，信譽(yù)的保證。 數(shù)據(jù)保護(hù)備份178。 ISO9000認(rèn)證178。ASG支持的認(rèn)證技術(shù)包括：本地?cái)?shù)據(jù)庫認(rèn)證、Radius認(rèn)證、Windows域/AD認(rèn)證、LDAP認(rèn)證、UKey認(rèn)證、CALIS認(rèn)證、證書認(rèn)證、硬件特征碼認(rèn)證、IP地址認(rèn)證、一次性口令卡認(rèn)證、短信動(dòng)態(tài)口令認(rèn)證（需短信網(wǎng)關(guān)配合）。日志報(bào)表ASG可以對(duì)系統(tǒng)管理員的登錄與操作、用戶登錄信息、應(yīng)用資源的使用以及系統(tǒng)錯(cuò)誤都形成日志，并且提供了豐富的信息統(tǒng)計(jì)與報(bào)表工具。SSL VPNASG使用安全套接層（SSL協(xié)議）提供數(shù)據(jù)加密，保證數(shù)據(jù)在公網(wǎng)上傳輸?shù)陌踩?。由于?shù)據(jù)本身也要進(jìn)行加密，所 以即使通過公共網(wǎng)絡(luò)，它仍然是安全的，因?yàn)榧幢銛?shù)據(jù)包在通過網(wǎng)絡(luò)結(jié)點(diǎn)時(shí)被攔 截（如經(jīng)過服務(wù)器時(shí)）但只要攔截者沒有密鑰。標(biāo)準(zhǔn)培訓(xùn)示意圖初級(jí)安全培訓(xùn)（安全意識(shí)普及培訓(xùn)）：面向組織的一般員工、非技術(shù)人員以及所有信息系統(tǒng)的用戶，目的是提高普遍的安全意識(shí)和人員安全防護(hù)能力，使波鴻集團(tuán)組織范疇內(nèi)員工充分了解既定的安全策略，并能夠切實(shí)執(zhí)行。 高級(jí)維護(hù)服務(wù)1. 安全設(shè)備維護(hù)隨著網(wǎng)絡(luò)安全的不斷發(fā)展，波鴻集團(tuán)在信息安全方面的投資也越來越多，各種安全產(chǎn)品在的各個(gè)層面部署。被標(biāo)注為緊急級(jí)別的安全漏洞，還將通過用戶傳真和電話通知的方式進(jìn)行及時(shí)的通知。 安全服務(wù)通過與專業(yè)的安全服務(wù)公司合作，為波鴻集團(tuán)提供專業(yè)的網(wǎng)絡(luò)安全服務(wù)，主要包括安全預(yù)警通告、緊急事件響應(yīng)服務(wù)、高級(jí)安全運(yùn)維服務(wù)等。內(nèi)容安全管理系統(tǒng)作為一種在線部署的產(chǎn)品，其設(shè)計(jì)目標(biāo)旨在通過對(duì)網(wǎng)絡(luò)通信內(nèi)容、網(wǎng)絡(luò)行為和流量進(jìn)行分析、過濾和控制，實(shí)現(xiàn)對(duì)網(wǎng)站訪問、郵件收發(fā)、P2P下載、論壇、在線視頻等事件的全面有效管理。其中由于網(wǎng)站訪問、郵件收發(fā)、P2P下載、即時(shí)通訊、論壇、在線視頻等正常網(wǎng)絡(luò)行為導(dǎo)致的企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、員工工作效率低下、敏感信息外泄等網(wǎng)絡(luò)安全事件呈急劇上升的形勢(shì)；而且隨著互聯(lián)網(wǎng)應(yīng)用的深入，越來越多的網(wǎng)絡(luò)安全事件發(fā)生在應(yīng)用層和內(nèi)容層?；ヂ?lián)網(wǎng)也給企業(yè)帶來前所未有的混合威脅的風(fēng)險(xiǎn)。如何有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播，準(zhǔn)確掌握網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行安全事件定位分析，事后追查取證，滿足合規(guī)性審計(jì)要求，是企業(yè)迫切需要解決的問題。 針對(duì)網(wǎng)絡(luò)資產(chǎn)的安全漏洞進(jìn)行詳細(xì)分析，采用權(quán)威的風(fēng)險(xiǎn)評(píng)估模型量化風(fēng)險(xiǎn)，提供專業(yè)的解決方案；252。NSFOCUS WAF提供的Web應(yīng)用安全解決方案切實(shí)可行，在客戶修補(bǔ)補(bǔ)丁或整改代碼較為困難時(shí)，提供虛擬補(bǔ)丁功能，應(yīng)對(duì)各類WEB應(yīng)用安全挑戰(zhàn)，協(xié)助客戶滿足安全合規(guī)要求。2. WEB站點(diǎn)可能包含一些不在正常網(wǎng)站數(shù)據(jù)目錄樹內(nèi)的URL鏈接，比如一些網(wǎng)站擁有者不想被公開訪問的目錄、網(wǎng)站的WEB管理界面入口及以前曾經(jīng)公開過但后來被隱藏的鏈接。2. WEB應(yīng)用交付方面，降低服務(wù)響應(yīng)時(shí)間、顯著改善終端用戶體驗(yàn)，優(yōu)化業(yè)務(wù)資源和提高應(yīng)用系統(tǒng)敏捷性，提高數(shù)據(jù)中心的效率和服務(wù)器的投資回報(bào)率(ROI) 。 WEB應(yīng)用防火墻 為什么需要WEB應(yīng)用防火墻WEB的開放性帶來豐富資源、高效率、新工作方式的同時(shí)，傳統(tǒng)網(wǎng)絡(luò)邊界正逐漸消失，機(jī)構(gòu)的重要資產(chǎn)暴露在越來越多的威脅中。IPS是通過直接串聯(lián)到網(wǎng)絡(luò)鏈路中而實(shí)現(xiàn)這一功能的，即IPS接收到外部數(shù)據(jù)流量時(shí)，如果檢測到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。u 有些主動(dòng)或被動(dòng)的攻擊行為是來自防火墻內(nèi)部的，防火墻無法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。而計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全越來越成為一種專門的技術(shù)和服務(wù)。252。這種工具不僅僅能夠精確