【正文】 和新化化肥廠專網(wǎng)接入。核心交換H3C S7506R采用機(jī)箱式模塊化設(shè)計(jì)，整機(jī)共8個(gè)槽位，6個(gè)業(yè)務(wù)槽和2個(gè)主控槽。3臺(tái)S7502交換機(jī)通過(guò)雙萬(wàn)兆匯聚到核心交換上。接入層完備的安全策略：H3C S3600系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺(tái)系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動(dòng)的安全體系，通過(guò)對(duì)網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對(duì)病毒、蠕蟲等新興安全威脅的整體防御能力。高達(dá)1Gbps吞吐量的數(shù)據(jù)檢測(cè)，支持100萬(wàn)個(gè)并發(fā)連接。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。用戶管理需求：對(duì)于接入局域網(wǎng)、廣域網(wǎng)或者Internet的內(nèi)網(wǎng)用戶，都需要對(duì)他們的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括進(jìn)行身份認(rèn)證、對(duì)訪問資源的限制、終端安全狀態(tài)檢測(cè)、對(duì)網(wǎng)絡(luò)訪問行為進(jìn)行控制等。同時(shí)在內(nèi)網(wǎng)數(shù)據(jù)中心入口部署1臺(tái)TippingPoint 600E IPS入侵防御系統(tǒng)，對(duì)所有訪問數(shù)據(jù)中心的流量進(jìn)行深度分析與檢測(cè)，實(shí)時(shí)阻斷攻擊，確保正常業(yè)務(wù)流的數(shù)據(jù)交換。通過(guò)全面的數(shù)據(jù)包偵測(cè)，TippingPoint的入侵防御系統(tǒng)提供吉比特速率上的應(yīng)用、網(wǎng)絡(luò)架構(gòu)和性能保護(hù)功能。u 業(yè)界領(lǐng)先的安全威脅分析團(tuán)隊(duì)TippingPoint的安全威脅分析團(tuán)隊(duì)也處于業(yè)界領(lǐng)先的地位。冗余電源和ZPHA可以保證被IPS保護(hù)的網(wǎng)絡(luò)不會(huì)因?yàn)橐隝PS而出現(xiàn)物理級(jí)的單點(diǎn)故障。方案概述EAD解決方案在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并實(shí)時(shí)應(yīng)用實(shí)施。以餅圖的形式展示，并給出產(chǎn)生流量最多的節(jié)點(diǎn)：會(huì)話統(tǒng)計(jì)報(bào)表給出會(huì)話節(jié)點(diǎn)流量TOP分布圖，以及會(huì)話節(jié)點(diǎn)流量TOP列表l支持告警過(guò)濾，用戶能夠按照告警級(jí)別、告警源、關(guān)鍵詞等過(guò)濾條件迅速聚焦到 “真正有價(jià)值的告警”；可以靈活定義告警級(jí)別，以符合客戶網(wǎng)絡(luò)的實(shí)際狀況；提供常見問題的修復(fù)建議。包括：? 支持對(duì)CPU、內(nèi)存資源消耗的監(jiān)視；? 支持對(duì)硬盤使用情況的監(jiān)視；? 支持運(yùn)行進(jìn)程的資源監(jiān)視；管理能力獨(dú)立部署Quidview，最多可以管理多達(dá)6000個(gè)設(shè)備的網(wǎng)絡(luò)規(guī)模。Quidview還提供了按MAC地址或IP地址反查端口的功能。靈活展示網(wǎng)絡(luò)拓?fù)銺uidview網(wǎng)絡(luò)管理軟件可以通過(guò)拓?fù)浒l(fā)現(xiàn)功能，幫助客戶迅速發(fā)現(xiàn)網(wǎng)絡(luò)資源。 靈活、方便的部署與維護(hù)EAD方案部署靈活，維護(hù)方便，可以按照網(wǎng)絡(luò)管理員的要求區(qū)別對(duì)待不同身份的用戶，定制不同的安全檢查和隔離級(jí)別。n保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前企業(yè)網(wǎng)絡(luò)安全管理急需解決的問題。經(jīng)過(guò)精心分析、調(diào)試、驗(yàn)證的數(shù)字疫苗可以在不經(jīng)任何調(diào)整的情況下正常工作，無(wú)需任何調(diào)整即可抵御所有已知的網(wǎng)絡(luò)威脅；經(jīng)過(guò)按照實(shí)際網(wǎng)絡(luò)狀況微調(diào)的數(shù)字疫苗可以使TippingPoint IPS發(fā)揮更高的性能。此外，為防止大量的P2P、IM流量侵占帶寬，TSE還支持對(duì)100多種點(diǎn)到點(diǎn)應(yīng)用的限速功能，保證關(guān)鍵應(yīng)用所需的帶寬。通過(guò)深達(dá)第七層的流量偵測(cè)，TippingPoint的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。因此內(nèi)部局域網(wǎng)要求與外部局域網(wǎng)和Internet保持完全的物理隔離。為了確保信息的安全與暢通，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，進(jìn)行有效的管理和控制，主要體現(xiàn)在以下幾個(gè)方面： 網(wǎng)絡(luò)隔離需求：主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對(duì)不同區(qū)域之間的流量進(jìn)行控制，通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的精細(xì)控制，把可能的安全風(fēng)險(xiǎn)控制在相對(duì)獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。分布性－通過(guò)分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。 專網(wǎng)連接新化化肥廠專網(wǎng)出口配置1臺(tái)SecPath F1000S高性能專業(yè)防火墻。，二/。 內(nèi)網(wǎng)匯聚層設(shè)計(jì)匯聚層設(shè)備位于10層中心機(jī)房。為了更好的抵御來(lái)自Internet的威脅，在外網(wǎng)防火墻與Internet接口間部署IPS入侵防御系統(tǒng)，對(duì)所有流經(jīng)的流量進(jìn)行深度分析與檢測(cè)，從而具備了實(shí)時(shí)阻斷各種網(wǎng)絡(luò)攻擊的能力。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時(shí)采用先進(jìn)的網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)先進(jìn)的分布式管理。網(wǎng)絡(luò)可提供大樓內(nèi)無(wú)線局域網(wǎng)功能及IP電話功能。將**************計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)成實(shí)用、經(jīng)濟(jì)、先進(jìn)、開放、高效、安全、節(jié)能與管理融為一體的現(xiàn)代化辦公系統(tǒng)。（二） 安全可靠性為保證各項(xiàng)業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點(diǎn)故障。網(wǎng)絡(luò)建設(shè)目標(biāo)實(shí)現(xiàn)內(nèi)部局域網(wǎng)和Internet互聯(lián)互通，方便快捷的信息交換，同時(shí)健全安全保障體系，確保網(wǎng)絡(luò)與信息的安全?？伸`活配置百兆、千兆、萬(wàn)兆不同端口密度，不同接口方式的業(yè)務(wù)接口板，滿足用戶多樣化的需求。匯聚層強(qiáng)大的L2/L3轉(zhuǎn)發(fā)性能：H3C S7502交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過(guò)分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實(shí)現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā)，高達(dá)192Gbps的交換容量，提供144Mpps數(shù)據(jù)轉(zhuǎn)發(fā)能力，最大可以實(shí)現(xiàn)96個(gè)GE或8個(gè)10GE的線速轉(zhuǎn)發(fā)，保障了匯聚層網(wǎng)絡(luò)全面升級(jí)至萬(wàn)兆平臺(tái)。H3C S3600支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機(jī)（例如S9500/7500）上，在核心上啟動(dòng)網(wǎng)流分析（Netstream）功能，配合XLOG系統(tǒng)對(duì)監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。 數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）采用1臺(tái)H3C S5600全千兆智能三層交換機(jī)作為匯聚，通過(guò)高密度千兆以太網(wǎng)接口連接內(nèi)網(wǎng)各功能服務(wù)器，通過(guò)雙千兆捆綁高速鏈路連接至內(nèi)網(wǎng)防火墻DMZ區(qū)。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動(dòng)切換到下一條備份路由，實(shí)現(xiàn)上行路由的多級(jí)備份。 H3C網(wǎng)絡(luò)安全解決方案概述H3C根據(jù)在網(wǎng)絡(luò)安全領(lǐng)域內(nèi)多年的知識(shí)和經(jīng)驗(yàn)積累，提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對(duì)外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。H3C SecPath F1000S是華為3Com公司面向大中型企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備。應(yīng)用保護(hù)能力針對(duì)來(lái)自內(nèi)部和外部的攻擊提供快速、精準(zhǔn)、可靠的防護(hù)。該團(tuán)隊(duì)是安全威脅快訊SANS Risk的主要撰稿人，SANS Risk每周定期向其全球范圍內(nèi)30萬(wàn)專業(yè)訂閱者摘要披露最新安全威脅的公告，內(nèi)容包含最新發(fā)現(xiàn)的漏洞、漏洞所帶來(lái)的影響、表現(xiàn)形式，而且指導(dǎo)用戶如何采取防范措施。系統(tǒng)軟件故障保護(hù)：內(nèi)置的監(jiān)測(cè)模塊以很高的頻率定時(shí)地監(jiān)測(cè)IPS設(shè)備的健康狀況。系統(tǒng)應(yīng)用示意圖如下所示：n同時(shí)用戶可以根據(jù)實(shí)際的維護(hù)經(jīng)驗(yàn)，不斷完善豐富維護(hù)經(jīng)驗(yàn)庫(kù)。如果Quidview集成在第三方網(wǎng)管平臺(tái)上，其組網(wǎng)能力依賴于網(wǎng)管平臺(tái)的組網(wǎng)能力。當(dāng)用戶報(bào)告網(wǎng)絡(luò)接入存在問題時(shí)，網(wǎng)絡(luò)管理員不需要到達(dá)用戶現(xiàn)場(chǎng)，直接通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，實(shí)現(xiàn)用戶側(cè)端口的遠(yuǎn)程診斷。產(chǎn)品不僅能夠獨(dú)立提供完整的網(wǎng)絡(luò)管理平臺(tái)，還能夠與OpenView、SNMPc多種主流通用網(wǎng)管平臺(tái)靈活集成；不僅能夠管理華為3COM公司的全線數(shù)據(jù)通信設(shè)備，還能夠通過(guò)標(biāo)準(zhǔn)MIB管理CISCO、3COM等各主流廠商的數(shù)據(jù)通訊設(shè)備。l用戶上網(wǎng)過(guò)程中，如果終端發(fā)生感染病毒等安全事件，EAD系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)”終端?！笆Э亍钡挠脩艚K端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散。同時(shí)，卓越的帶寬管理能力將加速異常情況下的業(yè)務(wù)應(yīng)用。TSE可以自動(dòng)統(tǒng)計(jì)和計(jì)算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計(jì)形成流量框架模型；當(dāng)DoS/DDoS攻擊發(fā)生，或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時(shí)，TSE將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達(dá)性和通暢性。TippingPoint的入侵防御系統(tǒng)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。 **************內(nèi)部局域網(wǎng)安全設(shè)計(jì)**************內(nèi)部局域網(wǎng)安全組網(wǎng)示意圖：內(nèi)部辦公局域網(wǎng)是**************信息化辦公的主要平臺(tái)，內(nèi)部局域網(wǎng)的安全問題直接影響著新化化肥廠的日常工作，內(nèi)部的很多資料和信息需要高度保密和通信安全。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題?？煽啃裕ㄟ^(guò)專利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無(wú)間斷的三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和高性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。采用交流/直流雙輸入設(shè)計(jì)，設(shè)備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。H3C S3600系列交換機(jī)主要有以下三個(gè)型號(hào)：l S360028P：24個(gè)10/100BaseT以太網(wǎng)端口，4個(gè)1000BaseX SFP千兆以太網(wǎng)端口；l S360028TP：24個(gè)10/100BaseT以太網(wǎng)端口，2個(gè)1000BaseX SFP千兆以太網(wǎng)端口， 2個(gè)10/100/1000BaseT以太網(wǎng)端口；l S360052P：48個(gè)10/100BaseT以太網(wǎng)端口，4個(gè)1000BaseX SFP千兆以太網(wǎng)端口；S360028P/ ，二/。例如查看Web、文件傳輸協(xié)議(FTP)、Telnet和其它著名的TCP/IP應(yīng)用所占通信資源的百分比，以及用戶利用網(wǎng)絡(luò)和應(yīng)用資源的詳細(xì)情況，進(jìn)而用于高效地規(guī)劃和分配資源，并保障網(wǎng)絡(luò)的安全運(yùn)營(yíng)。Internet連接：外網(wǎng)Internet出口配置高性能專業(yè)防火墻，外網(wǎng)核心交換機(jī)通過(guò)雙千兆鏈路連接外網(wǎng)防火墻，外網(wǎng)防火墻再通過(guò)100/1000M鏈路連接至運(yùn)營(yíng)商提供的Internet接