【文章內(nèi)容簡介】 硬件支持IPv6，支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；匯聚交換機：匯聚層在骨干網(wǎng)絡(luò)中起到承上啟下的作用，應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點。采用萬兆核心路由交換機，在本項目中具備如下特色： 引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計，支持多操作系統(tǒng)、多配置文件，保證可靠性； 全面支持分布式IP/MPLS VPN業(yè)務(wù)轉(zhuǎn)發(fā)，保證高性能； 完善的ACL、流量監(jiān)管、多元組綁定等安全機制；硬件支持IPv6，支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；接入交換機：在一個大型園區(qū)網(wǎng)絡(luò)里，接入交換機具有數(shù)量多，部署分散的特點，且直接負責終端的接入，應(yīng)具備可管理性強、端口控制能力強、性價比高的特點。建議選用的三層接入交換機，具備如下優(yōu)勢：支持堆疊，至此對堆疊組虛擬管理，完全可看作一個設(shè)備，使可管理性大幅度提高。具有良好的端點控制能力，支持豐富的MAC、IP端口的靈活綁定?？赏ㄟ^此功能實現(xiàn)對終端接入的控制。VLAN能力強，支持最高的4096個VLAN；網(wǎng)絡(luò)安全系統(tǒng)設(shè)計：數(shù)據(jù)中心是本網(wǎng)絡(luò)最重要的部位，是信息化的神經(jīng)中樞，數(shù)據(jù)中心的設(shè)計應(yīng)具備最高的安全性，同時應(yīng)保證流暢的帶寬和一定的可靠性。作為一個單獨的區(qū)域來建設(shè)，結(jié)合招標文件，我們采用“防火墻+IPS+服務(wù)器交換機”的建設(shè)思路，全部采用雙千兆設(shè)備，全千兆連接的方式，保證給數(shù)據(jù)中心最強大的安全保障能力和數(shù)據(jù)吞吐量。對數(shù)據(jù)中心做如下部署：核心防火墻：防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實現(xiàn)對所有訪問數(shù)據(jù)中心服務(wù)器的網(wǎng)絡(luò)流量進行身份控制，提供對數(shù)據(jù)中心服務(wù)器的保護。除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署我們同時考慮兩個關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；可靠性：所有數(shù)據(jù)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是企業(yè)運行的關(guān)鍵支撐，必須要嚴格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不對網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊懀荒苄纬蓡吸c故障?；谏鲜鰞蓚€的關(guān)鍵特性，我們進行以下設(shè)備部署模式和配置策略：設(shè)備部署模式：我們在兩臺核心交換機上部署兩臺千兆防火墻，以雙鏈路方式和1G的吞吐量保證可靠性和高性能。安全控制策略：防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，配置只有規(guī)則允許用戶能夠訪問數(shù)據(jù)中心中的指定的資源，嚴格限制網(wǎng)絡(luò)用戶對數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會對數(shù)據(jù)中心的攻擊、非授權(quán)訪問以及病毒的傳播，保護數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制，實現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)中心的服務(wù)器。核心入侵防御系統(tǒng)： 在服務(wù)器交換機和核心防火墻之間，部署兩臺入侵防御系統(tǒng)，和服務(wù)器交換機、防火墻設(shè)備采用雙鏈路連接，以阻擋防火墻設(shè)備不能抵御的系統(tǒng)漏洞攻擊、蠕蟲病毒、木馬程序、間諜軟件、DOS/DDOS攻擊等。，完全滿足1G以上的設(shè)備要求，無任何瓶頸。服務(wù)器交換機：服務(wù)器交換機負責眾多數(shù)據(jù)庫和應(yīng)用服務(wù)器的接入，在此我們采用一臺服務(wù)器交換機，其設(shè)備在本項目中有如下優(yōu)勢：以高密度千兆接口的全面滿足服務(wù)器接入的要求支持高的交換交換帶寬和轉(zhuǎn)發(fā)性能，為服務(wù)器的雙上行接入提供了更高的帶寬和可靠性支持萬兆接口，為未來的系統(tǒng)全面升級提前做好了準備配置冗余電源系統(tǒng)，進一步提高設(shè)備可靠性。 互聯(lián)網(wǎng)接入設(shè)計對外訪問區(qū)負責全網(wǎng)對INTERNET的訪問，同時承載太重門戶網(wǎng)站的對外發(fā)布和EMAIL系統(tǒng)。雖然現(xiàn)在網(wǎng)絡(luò)上80%的安全隱患都在內(nèi)網(wǎng)，但互聯(lián)網(wǎng)出口的安全問題仍然是對企業(yè)網(wǎng)絡(luò)最具威脅的區(qū)域，黑客入侵、企業(yè)機密數(shù)據(jù)外泄、新病毒的導(dǎo)入都幾乎全部發(fā)生在這里，所以互聯(lián)網(wǎng)接入設(shè)計中，安全設(shè)計仍然放在首位。我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來構(gòu)建對外訪問區(qū)。路由器：路由器是連接內(nèi)外網(wǎng)的紐帶，路由器的性能直接影響對于寶貴帶寬的使用率，此外對于大型園區(qū)網(wǎng)出口，由于內(nèi)部網(wǎng)絡(luò)用戶數(shù)量龐大，路由器應(yīng)該具備高性能的NAT轉(zhuǎn)發(fā)能力。高性能：，滿足未來千兆線路的全線速轉(zhuǎn)發(fā)。強大的NAT能力：具備50萬并發(fā)NAT連接的能力，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計系統(tǒng)，做到對于對外訪問的紀錄和跟蹤。支持RIP、OSPF、BGP、ISIS等多種路由協(xié)議支持多種網(wǎng)絡(luò)接口支持IPV6防火墻：使用原有Juniper防火墻，劃分DMZ區(qū)域，通過原有華為5000千兆交換機，連接門戶服務(wù)器及EMAIL服務(wù)器等。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。 入侵防御系統(tǒng)：配置入侵防御系統(tǒng)，提供4個100M端口，具備1G吞吐量，滿足當前接入帶寬。重點配置對于黑客入侵、蠕蟲病毒、木馬程序的防范。 網(wǎng)絡(luò)管理、接入認證、日志審計系統(tǒng)設(shè)計針對太重這種大型的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)的運維管理變得非常重要，需要采用必要的手段進行能夠網(wǎng)絡(luò)的集中監(jiān)控和管理，實現(xiàn)不同廠商產(chǎn)品的統(tǒng)一監(jiān)控和管理，需要采用一個網(wǎng)絡(luò)管理平臺；同時為了更好的控制網(wǎng)絡(luò)資源訪問權(quán)限，監(jiān)控網(wǎng)上行為，記錄外網(wǎng)訪問記錄、作為事后審計依據(jù)，需要增加以下幾個部分：網(wǎng)絡(luò)管理軟件系統(tǒng)接入審計系統(tǒng)日志審計系統(tǒng) 網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該包括以下功能： 網(wǎng)絡(luò)管理系統(tǒng)應(yīng)采用分布式、組件化、跨平臺的開放體系結(jié)構(gòu)，用戶通過選擇安裝不同的業(yè)務(wù)組件，可以實現(xiàn)設(shè)備管理、拓撲管理、告警管理、性能管理、配置管理等多種管理功能。產(chǎn)品不僅能夠獨立提供完整的網(wǎng)絡(luò)管理平臺，還能夠與OpenView、SNMPc多種主流通用網(wǎng)管平臺靈活集成；不僅能夠管理配置的網(wǎng)絡(luò)設(shè)備，還能夠通過標準MIB管理各主流廠商的網(wǎng)絡(luò)設(shè)備。 網(wǎng)絡(luò)拓撲管理網(wǎng)絡(luò)管理軟件可以通過拓撲發(fā)現(xiàn)功能，幫助客戶迅速發(fā)現(xiàn)網(wǎng)絡(luò)資源。能夠?qū)崟r監(jiān)視所有設(shè)備的運行狀況，通過可視化的網(wǎng)絡(luò)拓撲界面幫助用戶及時了解網(wǎng)絡(luò)的變化。自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)；支持全網(wǎng)設(shè)備的統(tǒng)一拓撲視圖； 可以靈活裁減拓撲視圖，聚焦網(wǎng)絡(luò)的關(guān)鍵區(qū)域；可以靈活選擇設(shè)備、背景圖標，構(gòu)建逼近真實網(wǎng)絡(luò)的拓撲；可以直接點擊拓撲視圖節(jié)點，快速查看設(shè)備面板；拓撲節(jié)點顏色能夠直觀反映網(wǎng)絡(luò)、設(shè)備狀態(tài)；可以靈活定制對設(shè)備狀態(tài)的輪詢間隔； 故障管理網(wǎng)絡(luò)故障管理功能為用戶及時發(fā)現(xiàn)問題、深入分析問題、快速解決問題提供了全流程的支持。支持告警快速定位到網(wǎng)絡(luò)拓撲；支持多種告警通知方式，包括：告警聲光提示、告警轉(zhuǎn)Email和手機短信；支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、自動確認相關(guān)告警等。支持告警過濾，用戶能夠按照告警級別、告警源、關(guān)鍵詞等過濾條件迅速聚焦到 “真正有價值的告警”；可以靈活定義告警級別，以符合客戶網(wǎng)絡(luò)的實際狀況；提供常見問題的修復(fù)建議。同時用戶可以根據(jù)實際的維護經(jīng)驗，不斷完善豐富維護經(jīng)驗庫。 網(wǎng)絡(luò)監(jiān)視網(wǎng)管系統(tǒng)提供了豐富的性能管理功能，幫助用戶主動監(jiān)視網(wǎng)絡(luò)的狀況，及時發(fā)現(xiàn)網(wǎng)絡(luò)潛在的隱患。同時，豐富的歷史性能統(tǒng)計數(shù)據(jù)為用戶升級擴容網(wǎng)絡(luò)提供了客觀準確的參考。配置管理60%的設(shè)備故障是因為網(wǎng)絡(luò)誤配置造成的。網(wǎng)絡(luò)管理員需要定期備份配置文件，跟蹤設(shè)備配置變化，以保證一旦發(fā)生網(wǎng)絡(luò)故障時，能夠利用歷史配置備份將網(wǎng)絡(luò)立刻恢復(fù)正常。設(shè)備管理提供設(shè)備管理功能，通過面板圖片，直觀地反映了設(shè)備運行情況。通過面板圖標直觀地反映設(shè)備的模塊、風(fēng)扇、CPU、端口等關(guān)鍵部件的運行狀能夠查看、設(shè)置設(shè)備端口狀態(tài)；能夠查看路由、VLAN等配置信息；能夠查看端口流量、丟包率、錯包率等關(guān)鍵統(tǒng)計數(shù)據(jù)；支持對堆疊的管理；支持多廠商設(shè)備的統(tǒng)一管理?？晒芾硭兄С謽藴蔛NMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。自動發(fā)現(xiàn)多廠商設(shè)備，展示多廠商設(shè)備組成的網(wǎng)絡(luò)拓撲；監(jiān)視設(shè)備性能，包括接口的流量、錯包率、丟包率等指標；接收和解析設(shè)備告警，提供告警分析和查詢功能；接入認證系統(tǒng)設(shè)計認證系統(tǒng)應(yīng)采用分布式、模塊化、跨平臺的開放體系結(jié)構(gòu)和基于TCP/IP的通信機制，可以平滑擴容、靈活擴展、按需定制。提供了一種低價格、高可靠、高性能的網(wǎng)絡(luò)安全和用戶管理解決方案，能夠滿足各種規(guī)模網(wǎng)絡(luò)的用戶管理、身份認證、權(quán)限控制的要求。接入認證系統(tǒng)的功能：強大的用戶身份認證、PPPoE、Portal、VPN接入、無線接入等多種認證接入方式。 支持PAP、CHAP、EAPMDEAPTLS、PEAP等多種身份驗證方式，適應(yīng)不同安全要求的應(yīng)用場景。支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證，增強用戶認證的安全性，防止賬號盜用和非法接入。支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。支持多區(qū)域用戶漫游。嚴格的用戶權(quán)限控制基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS；）、限制用戶的同時在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用。可以實現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問（）?？梢韵拗朴脩鬒P地址分配策略，防止IP地址盜用和沖突。可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳耍娭谱詣由?，確保認證客戶端的安全性。詳盡的用戶行為監(jiān)控提供“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。支持消息下發(fā)，管理員可以通過向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。記錄認證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。日志審計軟件主要功能包括兩大部分：安全事件管理用戶行為審計在本次項目中我們采用的用戶行為審計模塊，具有如下功能：1) 全面的日志采集用戶行為審計系統(tǒng)可支持多種網(wǎng)絡(luò)日志的采集（、NetStream V5），對于不支持上述日志的設(shè)備。同時用戶行為審計系統(tǒng)采用分布式的體系結(jié)構(gòu)，支持多點采集，可以同時采集多個設(shè)備的日志信息，為網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)提供了靈活有效的支持。2) 強大的日志審計功能用戶行為審計系統(tǒng)可根據(jù)用戶需要，通過各種條件的組合對網(wǎng)絡(luò)日志進行快速分析。針對不同的日志類型，管理員可以獲得不同的用戶行為審計信息：：包括經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議號、開始時間、結(jié)束時間等關(guān)鍵信息。：包括源IP、目的IP、源端口、目的端口、流起始時間、結(jié)束時間等關(guān)鍵信息。：探針型采集器直接從交換機的鏡像端口采集用戶的上網(wǎng)信息，對用戶訪問外部網(wǎng)絡(luò)的流進行分類統(tǒng)計，并生成探針（DIG）日志記錄。，其中包含數(shù)據(jù)報文的流量信息和協(xié)議類型信息，包含數(shù)據(jù)報文的摘要信息。，可以實現(xiàn)對用戶網(wǎng)絡(luò)行為的監(jiān)控，審查用戶的Email信息、訪問信息、使用的應(yīng)用信息等，全面審查用戶的網(wǎng)絡(luò)使用行為。 ：開始時間、結(jié)束時間、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型（目前區(qū)分TCP、UDP和ICMP三種協(xié)議）、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；：開始時間、結(jié)束時間、源IP地址、目的IP地址、目的端口號、摘要信息（目前支持HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議報文）。NetStream V5日志：包括日志的開始時間、結(jié)束時間、協(xié)議類型、源IP地址、目的IP地址、服務(wù)類型、入接口、出接口、報文數(shù)、字節(jié)數(shù)、流 數(shù)、總激活時間、操作字、日志類型等信息。通過NetStream日志的分析，可以使網(wǎng)絡(luò)管理員深入地了解當前數(shù)據(jù)網(wǎng)絡(luò)中的報文所包含的各種有價值的信息，可以實現(xiàn)網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控、用戶監(jiān)控等功能，并為網(wǎng)絡(luò)規(guī)劃提供重要參考。通過用戶行為審計系統(tǒng)網(wǎng)絡(luò)管理員可以從海量的網(wǎng)絡(luò)日志中精確審計終端用戶的上網(wǎng)行為。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果。 IP地址規(guī)劃IP地址是網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)，合理的IP地址規(guī)劃將大大方便網(wǎng)絡(luò)的維護和管理。IP地址規(guī)劃的原則216。 唯一性：保持整個網(wǎng)絡(luò)中IP地址的唯一性216。 簡單性：盡量避免采用復(fù)雜的掩碼方式216。 連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表項，提高路由器的處理效率216。 可擴充性：為一個網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機節(jié)點增加時仍然能夠保持地址的連續(xù)性216。 可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其他部分216。 地域性：盡量考慮IP的地域特性，以便于統(tǒng)一管理和規(guī)劃216。 全面性：統(tǒng)一規(guī)劃局域網(wǎng)和廣域網(wǎng)IP地址，保證網(wǎng)絡(luò)有效連通和管理IP地址規(guī)劃策略對太重信息化系統(tǒng)IP地址規(guī)劃可以采用以下兩種方式：采用Internet網(wǎng)合法地址由于要實現(xiàn)與Internet的連接，對外發(fā)布信息；在DMZ區(qū)中的服務(wù)器建議采用合法的由電信服務(wù)商分配的地址。本系統(tǒng)自行規(guī)劃I