【正文】 。 ? 可行性、可靠性原則 在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會(huì)對原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的安全。 . 骨干網(wǎng)關(guān)鍵設(shè)備 SR8800 強(qiáng)大的 安全特性 地址掃描攻擊防護(hù)能力 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的 IP報(bào)文。 SR8800還提供了相應(yīng)的配置命令，用于控制地址掃描攻擊防護(hù)功能是否啟用。 SR8800具有強(qiáng)大的廣播和組播報(bào)文過濾功能。在設(shè)置端口 MAC地址最大學(xué)習(xí)數(shù)目時(shí)，還可以選擇超過部分是否轉(zhuǎn)發(fā)，防止未知單播報(bào)文 VLAN內(nèi)廣播，對其他設(shè)備造成沖擊。 URPF（單播反向路徑查找）檢查能力 所謂 URPF，即單播反向路徑查找，主要用于 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 。當(dāng)檢測到單位時(shí)間內(nèi) CPU收包出現(xiàn)丟包且某些固定源 MAC地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)行 ARP攻擊。 TC/TCN攻擊防護(hù)能力 在啟用 STP情況下，當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備端口的 STP狀。 地址沖突檢測能力 所謂地址沖突，是指網(wǎng)絡(luò)設(shè)備下掛的主機(jī)或者對接的其他網(wǎng)絡(luò)設(shè)備設(shè)置的 IP地址和該網(wǎng)絡(luò)設(shè)備的接口 IP地址沖突，網(wǎng)絡(luò)設(shè)備如果無法檢測到地址沖突，該網(wǎng)絡(luò)設(shè)備下掛的其他主機(jī)的網(wǎng)關(guān) ARP地址有可能會(huì)被更新，導(dǎo)致下掛主機(jī)無法正常上網(wǎng) 。在 URPF功能啟動(dòng)后，通過獲取報(bào)文的源地址和入接口，交換機(jī)以源地址為目的地址在轉(zhuǎn)發(fā)表中查找路由，如果查到的路由出接口和接收該報(bào)文的入接口不匹配，交換機(jī)認(rèn)為該報(bào)文的源地址是偽裝的，丟棄該報(bào)文。用戶可以通過配置靜態(tài)MAC地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過配置靜態(tài) ARP表項(xiàng)，綁定MAC地址和 IP地址，確保 IP地址不會(huì)被偽用戶盜用。同時(shí)，還可以通過 ACL規(guī)則設(shè)置特定端口廣播、組播和未知單 播報(bào)文允許通過的速率。因 為主要是針對服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請求，所以叫拒絕服務(wù)攻擊。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的 CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。 . 網(wǎng)絡(luò)層安全解決方案 . 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施 首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過這些冗余能力，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。今天的網(wǎng)絡(luò)安全現(xiàn)狀和 2020年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。 . 組網(wǎng)方案對比分析 RPR環(huán) 千兆環(huán) /萬兆環(huán) 數(shù)據(jù)轉(zhuǎn)發(fā) 非本節(jié)點(diǎn)接受數(shù)據(jù)直接由硬件二層快速轉(zhuǎn)發(fā) 本節(jié)點(diǎn)和非本節(jié)點(diǎn)接受數(shù)據(jù)均做三層轉(zhuǎn)發(fā) 保護(hù)倒換 基于 IPS技術(shù)， 50ms保護(hù)倒換 路由收斂，重新選擇最佳路由，保護(hù)倒換時(shí)間幾十秒級別 帶寬 5G 1GE/10GE 二層 Qos能力 除鏈路間的 Qos保證外，具有二層的雙隊(duì)列的保證，保證實(shí)施業(yè)務(wù)的抖動(dòng)和時(shí)延 只有鏈路間的 Qos能力 公平算法 環(huán)上各個(gè)節(jié)點(diǎn)流量通過公平算法共享所有鏈路 沒有公平算法，可能出現(xiàn)某些鏈路被獨(dú)占的情況 全連接、 擴(kuò)展能力 即插即用，拓?fù)渥詣?dòng)發(fā)現(xiàn)，具備良好的擴(kuò)展能力 ； 環(huán)上所有節(jié)點(diǎn)全連接 ， 增加節(jié)點(diǎn)后，新增節(jié)點(diǎn)和其他所有節(jié)點(diǎn)全連接。 8） OAM 管理的支持 RPR 環(huán)網(wǎng)提供 OAM 管理特性，主要用于錯(cuò)誤管理、性能管理和配置管理。 由于 RPR環(huán)網(wǎng)的報(bào)文結(jié)構(gòu)與以太網(wǎng)很相似，僅增加環(huán)網(wǎng)頭和部分其他的字段，利用現(xiàn)有的 MAC地址編碼技術(shù)就可以有效地表示組播和廣播報(bào)文，同時(shí)也使得相關(guān)的協(xié)議不需要大的改動(dòng)，具有很好的延續(xù)性。 公平算法是全局的，在公平算法中，節(jié)點(diǎn)首先要確定擁塞門限，并根據(jù)擁塞的情況，確定向上反饋的公告速率以及確定本節(jié)點(diǎn)允許向環(huán)上發(fā)送的速率。 源路由方式的倒換： 當(dāng)環(huán)路上的某個(gè)地方發(fā)生故障時(shí)，數(shù)據(jù)流不需要從發(fā)生故障的的地方環(huán)回，該故障點(diǎn)和類型的信息會(huì)發(fā)送到每個(gè)節(jié)點(diǎn)，拓?fù)湟蚕鄳?yīng)更改，源節(jié)點(diǎn)只需要直接按新的拓?fù)溥M(jìn)行路徑選擇，并根據(jù)新的路由發(fā)送數(shù)據(jù)給目的節(jié)點(diǎn)，已經(jīng)發(fā)出的小部分?jǐn)?shù)據(jù)將在故障點(diǎn)被丟棄。 1）多物理層的支持 由于 RPR 是鏈路層 MAC 層的協(xié)議，與物理層介質(zhì)無關(guān)，因此可支持多種物理層，目前定義的物理層包括 SONET/SDH 和以太網(wǎng)，其中 SONET/SDH 支持 POS 封裝和 ITU 新定義的 GFP 封裝，以太網(wǎng)支持 GE 和 10GE 接口， RPR 通過適配子層同物理層相連。 MAC 控制層實(shí)現(xiàn) RPR 的公平控制、保護(hù)倒換、環(huán)路選擇、拓?fù)浒l(fā)現(xiàn)、 OAM 管理等方面的工作。另外，由國際電信聯(lián)盟 ITU和 ANSI組織負(fù)責(zé) RPR下一些物理層方面的標(biāo)準(zhǔn)的制定。 . 組 建高可靠環(huán)網(wǎng) . RPR 技術(shù) 介紹 以太網(wǎng)技術(shù)以其成本低、簡潔、易擴(kuò)展、適合于 IP 包的傳輸和處理等特點(diǎn)，廣泛應(yīng)用于局域網(wǎng)，但是如果直接將以太網(wǎng)應(yīng)用于城域網(wǎng)或廣域網(wǎng)中，仍然存在問題，它在網(wǎng)絡(luò)規(guī)模、端到端業(yè)務(wù)建立、 QOS 質(zhì)量保證、可管理性、可靠性等方面還存在不少需要克服的難題。數(shù)據(jù)中心容災(zāi)的建設(shè)最終目標(biāo)是“兩地三中心”，即本地主中心、本地備份中心和異地災(zāi)備中心，拓?fù)涫疽馊缦拢? 備份中心和災(zāi)備中心可以根據(jù)允許丟失的數(shù)據(jù)量、允許的恢復(fù)時(shí)間級別進(jìn)行容災(zāi)方案的選擇，主要技術(shù)有三種： （ 1）遠(yuǎn)程數(shù)據(jù)備份業(yè)務(wù)（ Remote Data Backup）：該模式主要針對那些對數(shù)據(jù)業(yè)務(wù)恢復(fù)的 RPO和 RTO要求不高的小型客戶，一般只要求對關(guān)鍵數(shù)據(jù)進(jìn)行災(zāi)備，對業(yè)務(wù)連續(xù)性沒有太多要求。 LB負(fù)載均衡板卡實(shí)施 服務(wù)器的業(yè)務(wù)負(fù)載均衡；通過 TCP和連接管理 方式實(shí)施應(yīng)用加速，提供業(yè)務(wù)的訪問速度，提高用戶響應(yīng)度；通過內(nèi)容加密來對重要的業(yè)務(wù)內(nèi)容實(shí)施可靠性的安全訪問；通過實(shí)施業(yè)務(wù)數(shù)據(jù)壓縮，可以極大的 減輕服務(wù)器壓縮負(fù)擔(dān) 。數(shù)據(jù)中心中的服務(wù)器將會(huì)根據(jù)服務(wù)器上應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個(gè)數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復(fù)浪費(fèi)，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能 區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái)，對數(shù)據(jù)中心 IT資源進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。網(wǎng)絡(luò)層的高可用至少包括高可靠、高安全和先進(jìn)性三個(gè)方面： ? 高可靠： 應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng) 的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。 3. H3C IToIP教育城域網(wǎng)整體解決方案 H3C教育城域網(wǎng) IToIP整體解決方案 是以 IP通信平臺(tái)為基礎(chǔ) ， 實(shí)現(xiàn)環(huán)境 (特別是重點(diǎn)、敏感區(qū)域的視頻監(jiān)控 )、資源（網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源）、到活動(dòng)（網(wǎng)絡(luò)的開放架構(gòu)對定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的 ITOIP解決方案，以 IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用 SOA開放架構(gòu)實(shí)現(xiàn)對整體 IT平臺(tái)的統(tǒng)一集成支撐。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。 獨(dú)立性 ――教育網(wǎng)是基于各學(xué)校為網(wǎng)元構(gòu)建起來的面向教育系統(tǒng)的大型網(wǎng)絡(luò)，獨(dú)立性是教育網(wǎng)需要考慮的一個(gè)基本特性。建設(shè)支持寬帶多媒體業(yè)務(wù)，例如遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室、會(huì)議電視 。 ? 教育數(shù)據(jù)管理中心分為學(xué)校概況、教工管理、學(xué)生管理、校產(chǎn)管理、教育科研、綜合查詢等七大模塊，匯集了學(xué)校、教師、學(xué)生的基本數(shù)據(jù)信息。以教育信息網(wǎng)絡(luò)管理中心 為中心的虛擬閉合網(wǎng)絡(luò)，實(shí)現(xiàn)了 “校校通”。 7. 城域網(wǎng)綜合安全建設(shè)方案 ..............................................................................................27 . 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 ................................................................................. 27 . 統(tǒng)一安全設(shè)計(jì)原則 ................................................................................. 31 . 網(wǎng)絡(luò)層安全解決方案 .............................................................................. 32 . 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施 可靠性保證措施 ................................................ 32 . 骨干網(wǎng)關(guān)鍵設(shè)備 SR8800強(qiáng)大的安全特性 ....................................... 33 . 配置防火墻和 IPS進(jìn)行網(wǎng)絡(luò)區(qū)域的隔離 .......................................... 38 . 內(nèi)網(wǎng)機(jī)密信息安全訪問解決方案 ................................................... 41 . 城域網(wǎng)流量清洗解決方案 .............................................................. 42 . 城域網(wǎng)出口行為監(jiān)管解決方案 ....................................................... 43 . 教育城域網(wǎng)數(shù)據(jù)中心防護(hù)解決方案 ................................................ 44 . 用戶層解決方案 ..................................................................................... 44 . 配置全面的網(wǎng)絡(luò)防病毒系統(tǒng) .......................................................... 44 . 業(yè)務(wù)層解決方案 ..................................................................................... 46 . 設(shè)備冗余及網(wǎng)絡(luò)存儲(chǔ)配置建議 ....................................................... 46 . 漏洞掃描及安全評估系統(tǒng)的配置 ................................................... 47 . 應(yīng)用系統(tǒng)開發(fā)中加強(qiáng)安全機(jī)制 ....................................................... 47 8. 教育城域網(wǎng)管理中心設(shè)計(jì) ..............................................................................................47 . 集成化管理平臺(tái) ..................................................................................... 47 . 系統(tǒng)安全管理 ............................................................................... 49 . 資源管理 ...................................................................................... 51 . 拓?fù)涔芾? ...................................................................................... 52 . 故障（告警 /事件）管理 ................................................................ 55 . 告警深度關(guān)聯(lián)分析與統(tǒng)計(jì) .............................................................. 56 . 性能管理 ...................................................................................... 59 . 設(shè)備管理組件 ............................................................................... 62 . 校園網(wǎng)絡(luò)全局安全關(guān)聯(lián)分析管理 ............................................................ 63 9. IP地址及路由規(guī)劃 .........................................................................................................68 . IPv4地址規(guī)劃 ................