【文章內(nèi)容簡介】 量和INTERNET單獨(dú)分開，分別定制不同的安全策略，最大限度內(nèi)保證業(yè)務(wù)系統(tǒng)的穩(wěn)定，可靠。 各分公司等VPN設(shè)備構(gòu)建（17個(gè)）這17個(gè)單位主要采用ADSL接入，并使用ISDN作為線路備份。以下我們簡要介紹其設(shè)計(jì)方案：接入單位通過Neteye SG500FE2V（靈巧網(wǎng)關(guān)）上連接的ADSL Modem撥號接入Internet后, Neteye SG500FE2V和中心端的NetEye FW4032FE4V1網(wǎng)絡(luò)防火墻之間將建立一條128位加密的虛擬數(shù)據(jù)通道，從而實(shí)現(xiàn)和總部的網(wǎng)絡(luò)連接。在虛擬數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)均是經(jīng)過加密的，可以充分保證數(shù)據(jù)傳輸過程的安全性，同時(shí)并不影響接入單位對互聯(lián)網(wǎng)的訪問。當(dāng)ADSL Modem出現(xiàn)故障后，將手工切換到ISDN Modem,靈巧網(wǎng)關(guān)重新?lián)芴柤纯?。Neteye SG500FE2V內(nèi)置基于狀態(tài)檢測的防火墻固定策略，能夠有效地保證互聯(lián)網(wǎng)訪問的安全性。整個(gè)設(shè)計(jì)思路如下：各基層單位的靈巧網(wǎng)關(guān)與省公司的兩個(gè)VPN大網(wǎng)關(guān)分別建立VPN通道，正常情況靈巧網(wǎng)關(guān)與省公司的Neteye 4032 FE4－V1建立連接，當(dāng)Neteye 4032 FE4－V1或線路出現(xiàn)故障后靈巧網(wǎng)關(guān)將啟用VPN備份通道，與省公司Neteye 4032 FE4－V2大網(wǎng)關(guān)建立連接。各基層單位通過靈巧網(wǎng)關(guān)不但可以實(shí)現(xiàn)對省公司業(yè)務(wù)的訪問，還可以安全訪問INTERNET系統(tǒng)。 單機(jī)或移動(dòng)辦公VPN接入采用Modem（或ISDN）撥號接入的用戶先撥號接入Internet，再通過東軟VPN客戶端軟件和中心的VPN防火墻進(jìn)行連接，形成一條128位加密的虛擬數(shù)據(jù)通道，從而實(shí)現(xiàn)和總部的網(wǎng)絡(luò)連接。在虛擬數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)均是經(jīng)過加密的，可以充分保證數(shù)據(jù)傳輸過程的安全性。為了保證單機(jī)的安全性，這時(shí)不能進(jìn)行互聯(lián)網(wǎng)的訪問，只允許進(jìn)行VPN連接。整個(gè)設(shè)計(jì)思路如下：VPN客戶端除具有VPN撥入功能外，還具有防火墻功能，防止客戶端被黑客攻擊等。當(dāng)省公司VPN大網(wǎng)關(guān)出現(xiàn)故障后，客戶端可以重新對省公司VPN備份大網(wǎng)關(guān)撥入即可。 中心局域網(wǎng)系統(tǒng)設(shè)計(jì)方案 中心局域網(wǎng)實(shí)現(xiàn)的功能中心局域網(wǎng)是**總公司總部的信息平臺(tái)，是**總公司總部的數(shù)據(jù)傳輸平臺(tái)及廣域網(wǎng)數(shù)據(jù)匯集的中心網(wǎng)絡(luò)平臺(tái)，在局域網(wǎng)建設(shè)中應(yīng)該滿足以下功能：實(shí)現(xiàn)功能功能說明計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)產(chǎn)品的互連一個(gè)局域網(wǎng)首先應(yīng)該是內(nèi)部工作站和服務(wù)器以及其他網(wǎng)絡(luò)產(chǎn)品的連接平臺(tái)，對于工作站和服務(wù)器的接入應(yīng)該綜合考慮設(shè)備的不同特性，關(guān)鍵的服務(wù)器（尤其是數(shù)據(jù)庫服務(wù)器）接入應(yīng)該考慮采用較高的接入帶寬。虛擬局域網(wǎng)（VLAN）對于一個(gè)局域網(wǎng)性能的優(yōu)化相當(dāng)關(guān)鍵，優(yōu)化性能的途徑非常多，VLAN是較為重要的手段。其主要優(yōu)點(diǎn)有：l 優(yōu)化了網(wǎng)絡(luò)傳輸性能l 靈活的網(wǎng)絡(luò)設(shè)置l 增強(qiáng)了網(wǎng)絡(luò)的安全性基于局域網(wǎng)的網(wǎng)絡(luò)安全一個(gè)局域網(wǎng)除了要保證基本的接入功能和性能優(yōu)化的同時(shí)，還應(yīng)該具有網(wǎng)絡(luò)的安全性。設(shè)備和鏈路冗余數(shù)據(jù)庫服務(wù)器連接在中心局域網(wǎng)，數(shù)據(jù)庫服務(wù)器的網(wǎng)絡(luò)連接應(yīng)該做到高速、可靠，因此交換機(jī)設(shè)備和鏈路的冗余應(yīng)該是局域網(wǎng)實(shí)現(xiàn)的重要功能之一。 局域網(wǎng)建設(shè)方案描述**總公司局域網(wǎng)系統(tǒng)是**公司的中心信息平臺(tái)，因此局域網(wǎng)系統(tǒng)的設(shè)計(jì)應(yīng)該充分分析系統(tǒng)的瓶頸所在，在考慮系統(tǒng)的先進(jìn)性的同時(shí)，還應(yīng)注重局域網(wǎng)系統(tǒng)的經(jīng)濟(jì)性、可靠性（運(yùn)行穩(wěn)定性）、安全性。以下我們在骨干交換機(jī)堆疊與冗余電源設(shè)計(jì)、局域網(wǎng)網(wǎng)絡(luò)連接、內(nèi)部虛擬局域網(wǎng)建設(shè)、局域網(wǎng)的網(wǎng)絡(luò)安全幾個(gè)方面進(jìn)行論述。 局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)圖內(nèi)網(wǎng)整體結(jié)構(gòu)為二級星型網(wǎng)絡(luò)結(jié)構(gòu)，主干采用基于光纖信道的千兆以太網(wǎng)技術(shù)。結(jié)構(gòu)圖如下：從圖中可以看出，網(wǎng)絡(luò)主干中心為兩臺(tái)華為的Quidway S6503路由交換機(jī)，兩臺(tái)主干交換機(jī)之間通過千兆以太網(wǎng)帶寬捆綁聚集技術(shù)，提供高達(dá)4G的互聯(lián)通道，形成網(wǎng)絡(luò)主干設(shè)備群，構(gòu)建起一個(gè)高速、強(qiáng)壯、可靠的網(wǎng)絡(luò)核心。為了實(shí)現(xiàn)主干設(shè)備、服務(wù)器群的高速網(wǎng)絡(luò)連接，兩臺(tái)交換機(jī)配置模塊說明如下：序號模塊名稱用途Quidway S6503（主交換機(jī)）148端口百兆以太網(wǎng)電接口交換板(RJ45)每個(gè)模塊提供48個(gè)10/100Mbps自適應(yīng)的以太網(wǎng)接口，用于與用戶工作站、中心機(jī)房工作站、開發(fā)和培訓(xùn)環(huán)境工作站等設(shè)備的網(wǎng)絡(luò)連接，以及與防火墻、入侵檢測、漏洞掃描等連接。28端口千兆以太網(wǎng)電接口交換板(RJ45)主要用于關(guān)鍵數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器的連接3交換路由板－iSalience I（帶4個(gè)GX千兆模塊）交換機(jī)引擎板，通過兩根光纖與Quidway S6503（備交換機(jī)）的GX端口連接，實(shí)現(xiàn)兩臺(tái)交換機(jī)的高速互連Quidway S6503（備交換機(jī)）448端口百兆以太網(wǎng)電接口交換板(RJ45)每個(gè)模塊提供48個(gè)10/100Mbps自適應(yīng)的以太網(wǎng)接口，用于與關(guān)鍵數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、用戶工作站、中心機(jī)房工作站、開發(fā)和培訓(xùn)環(huán)境工作站等設(shè)備的網(wǎng)絡(luò)連接，以及與防火墻、入侵檢測、漏洞掃描等連接5交換路由板－iSalience I（帶4個(gè)GX千兆模塊）交換機(jī)引擎板，通過兩根光纖與Quidway S6503（主交換機(jī)）的GX端口連接，實(shí)現(xiàn)兩臺(tái)交換機(jī)的高速互連由于Quidway S6500對VLAN以及路由交換的支持，通過虛擬網(wǎng)的劃分，可以將內(nèi)網(wǎng)的網(wǎng)絡(luò)根據(jù)部門和層次劃分成若干子網(wǎng)，形成“網(wǎng)中網(wǎng)”，各個(gè)子網(wǎng)之間通過路由交換技術(shù)實(shí)現(xiàn)信息的共享和網(wǎng)絡(luò)互聯(lián)，這樣各個(gè)子網(wǎng)的廣播及多播信息不會(huì)蔓延到無關(guān)的子網(wǎng)中，從而對廣播信息進(jìn)行有效的控制，提高網(wǎng)絡(luò)利用率，同時(shí)也可以初步保證網(wǎng)絡(luò)的安全性。 局域網(wǎng)的網(wǎng)絡(luò)安全針對局域網(wǎng)的網(wǎng)絡(luò)安全我們可以采用以下措施進(jìn)行保障。l 劃分虛擬網(wǎng)（VLAN） 通過劃分VLAN的方式，我們可以把局域網(wǎng)上的數(shù)據(jù)流限制在某個(gè)確定的范圍內(nèi)，而在該范圍以外的計(jì)算機(jī)將不能收到在該虛擬網(wǎng)（VLAN）內(nèi)部傳輸?shù)娜魏螖?shù)據(jù)和信號。l 端口－MAC－IP地址綁定 端口－MAC地址的綁定是實(shí)現(xiàn)限制用戶范圍的又一個(gè)措施，通過在相應(yīng)的網(wǎng)絡(luò)設(shè)備端口上設(shè)置MAC地址綁定，我們可以防止該端口被其它主機(jī)盜用。同時(shí)我們可以在骨干交換機(jī)上將IP地址和MAC地址進(jìn)行綁定，這樣我們就可以限定某個(gè)端口上必須連接特定的計(jì)算機(jī)和配置特定的IP地址信息才能接入局域網(wǎng)。l 對IP地址的過濾 在骨干交換機(jī)和路由器上可設(shè)置針對IP地址的訪問控制列表，防止非法TCP/IP工作站入侵重要的VLAN或重要的服務(wù)器。對于訪問控制列表的配置可以針對的IP源和IP目的，也就是說可以控制特定IP的源訪問特定IP的目的。例如我們可以設(shè)置對于財(cái)務(wù)VLAN內(nèi)的計(jì)算機(jī)對外的訪問均允許，而其它VLAN的計(jì)算機(jī)只有符合訪問控制列表規(guī)定的才能訪問財(cái)務(wù)VLAN內(nèi)的主機(jī)。l 對應(yīng)用的過濾同時(shí)訪問控制列表技術(shù)還可以對某些應(yīng)用進(jìn)行過濾，如FTP，TELNET，PAD，HTTP等應(yīng)用。結(jié)合以上的網(wǎng)絡(luò)安全機(jī)制可以初步保證局域網(wǎng)內(nèi)部的網(wǎng)絡(luò)安全。當(dāng)然，針對局域網(wǎng)內(nèi)部的安全還有一些其它方面的技術(shù)，我們將在第六章《安全與輔助系統(tǒng)設(shè)計(jì)方案》中進(jìn)行詳細(xì)論述。 INTERNET接入設(shè)計(jì)方案我們在VPN接入設(shè)計(jì)中已經(jīng)介紹了，采用了東軟（Neteye 4032 FE4－V）防火墻系統(tǒng)構(gòu)建VPN接入和Internet接入。對于Internet的接入，網(wǎng)絡(luò)的安全性極為重要，因?yàn)椋琁nternet的環(huán)境相對局域網(wǎng)和內(nèi)部廣域網(wǎng)更為復(fù)雜。因此，對于防火墻的安全策略配置極為重要，《防火墻部署建議和策略配置》。 IP地址的規(guī)劃在網(wǎng)絡(luò)規(guī)劃中，IP地址方案的設(shè)計(jì)至關(guān)重要，好的IP地址方案不僅可以減少網(wǎng)絡(luò)負(fù)荷，還能為以后的網(wǎng)絡(luò)擴(kuò)展打下良好的基礎(chǔ)。系統(tǒng)平臺(tái)建成后，**公司的網(wǎng)絡(luò)具備一定的規(guī)模，IP地址規(guī)劃的混亂將造成網(wǎng)絡(luò)管理的混亂，并將影響將來網(wǎng)絡(luò)規(guī)模的拓展。IP地址的規(guī)劃應(yīng)了解相關(guān)IP地址規(guī)劃的相關(guān)知識，確立IP地址規(guī)劃的原則。 IP地址規(guī)劃的相關(guān)知識IP地址用于在網(wǎng)絡(luò)上標(biāo)識唯一一臺(tái)機(jī)器。根據(jù)RFC791的定義，IP地址由32位二進(jìn)制數(shù)組成(四個(gè)字節(jié))，表示為用圓點(diǎn)分成每組3位的12位十進(jìn)制數(shù)字()每個(gè)3位數(shù)代表8位二進(jìn)制數(shù)(一個(gè)字節(jié))。由于1個(gè)字節(jié)所能表示的最大數(shù)為255，因此IP地址中每個(gè)字節(jié)可含有0～255之間的值。但0和255有特殊含義，255代表廣播地址：IP地址中0用于指定網(wǎng)絡(luò)地址號(若0在地址末端)或結(jié)點(diǎn)地址(若0在地址開始)。例如。根據(jù)IP地址中表示網(wǎng)絡(luò)地址字節(jié)數(shù)的不同將IP地址劃分為三類，A類，B類，C類。A類用于超大型網(wǎng)絡(luò)(百萬結(jié)點(diǎn))，B類用于中等規(guī)模的網(wǎng)絡(luò)(上千結(jié)點(diǎn))，C類用于小網(wǎng)絡(luò)(最多254個(gè)結(jié)點(diǎn))。A類地址用第一個(gè)字節(jié)代表網(wǎng)絡(luò)地址，后三個(gè)字代表結(jié)點(diǎn)地址。B類地址用前兩個(gè)字節(jié)代表網(wǎng)絡(luò)地址，后兩個(gè)字節(jié)表示結(jié)點(diǎn)地址。C類地址則用前三個(gè)字節(jié)表示網(wǎng)絡(luò)地址，第四個(gè)字節(jié)表示結(jié)點(diǎn)地址。網(wǎng)絡(luò)設(shè)備根據(jù)IP地址的第一個(gè)字節(jié)來確定網(wǎng)絡(luò)類型。A類網(wǎng)絡(luò)第一個(gè)字節(jié)的第一個(gè)二進(jìn)制位為0；B類網(wǎng)絡(luò)第一個(gè)字節(jié)的前兩個(gè)二進(jìn)制位為10；C類網(wǎng)絡(luò)第一個(gè)字節(jié)的前三位二進(jìn)制位為110。換算成十進(jìn)制可見A類網(wǎng)絡(luò)地址從1～127，B類網(wǎng)絡(luò)地址從128～191，C類網(wǎng)絡(luò)地址從192～223。224～239間的數(shù)有時(shí)稱為D類，239以上的網(wǎng)絡(luò)號保留。子網(wǎng)掩碼用于找出IP地址中網(wǎng)絡(luò)及結(jié)點(diǎn)地址部分。子網(wǎng)掩碼長32位，其中1表示網(wǎng)絡(luò)部分，0表示結(jié)點(diǎn)地址部分。A類，B類，C類網(wǎng)絡(luò)的子網(wǎng)掩碼，，結(jié)點(diǎn)地址為195。有時(shí)為了方便網(wǎng)絡(luò)管理，需要將網(wǎng)絡(luò)劃分為若干個(gè)網(wǎng)段。為此，必須打破傳統(tǒng)的8位界限，從結(jié)點(diǎn)地址空間中“搶來”幾位作為網(wǎng)絡(luò)地址。具體說來，建立子網(wǎng)掩碼需要以下兩步： 確定運(yùn)行IP的網(wǎng)段數(shù) 確定子網(wǎng)掩碼首先，確定運(yùn)行IP的網(wǎng)段數(shù)。在確定了IP網(wǎng)段數(shù)后，再確定從結(jié)點(diǎn)地址空間中截取幾位才能為每個(gè)網(wǎng)段創(chuàng)建一個(gè)子網(wǎng)絡(luò)號。方法是計(jì)算這些位數(shù)的組合值。比如，取兩位，有四種組合(00、011)，取三位有八種組合(000、00001100、101111)。在這些組中須除去全0和全1的組合，因?yàn)樵贗P協(xié)議中規(guī)定了全0和全1的組合代表了網(wǎng)絡(luò)地址和廣播地址，所以如果我們需要將C類網(wǎng)絡(luò)()劃分為4個(gè)網(wǎng)段，需要截取結(jié)點(diǎn)地址的前3位作為網(wǎng)絡(luò)地址，()?？梢?，采用以上子網(wǎng)絡(luò)方案，每個(gè)子網(wǎng)絡(luò)有30個(gè)結(jié)點(diǎn)地址。通過從結(jié)點(diǎn)地址空間中截取幾位作為網(wǎng)絡(luò)地址的方法，可將網(wǎng)絡(luò)劃分為若干網(wǎng)段，方便了網(wǎng)絡(luò)管理。 **公司系統(tǒng)平臺(tái)IP地址規(guī)劃原則對于**公司IP地址的規(guī)劃我們建議采用以下原則：l 根據(jù)**公司內(nèi)部單位的組織結(jié)構(gòu)和業(yè)務(wù)性質(zhì)進(jìn)行地址的劃分，以利于對IP地址的管理。**公司各單位按照組織結(jié)構(gòu)可以分為三類：機(jī)關(guān)職能部門、直屬單位、合資合作參股單位。建議組織結(jié)構(gòu)類似的單位采取連續(xù)地址段分配。l 根據(jù)**公司的網(wǎng)絡(luò)規(guī)模大小和將來的業(yè)務(wù)拓展可能，我們建議采用A類保留地址段進(jìn)行規(guī)劃，以利于將來網(wǎng)絡(luò)的拓展。l 為了便于網(wǎng)絡(luò)主機(jī)設(shè)備的地址管理，建議各機(jī)構(gòu)根據(jù)網(wǎng)絡(luò)主機(jī)設(shè)備數(shù)量的不同，確定固定的網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備地址范圍。如：服務(wù)器地址固定為所分配地址段的前15－20位，網(wǎng)絡(luò)設(shè)備地址采用分配地址段的后15－20位，網(wǎng)關(guān)地址采用廣播地址的前一位等等。l 結(jié)合各機(jī)構(gòu)規(guī)模大小和計(jì)算機(jī)數(shù)量的不同，確定不同的IP掩碼大小，以利于IP地址的合理利用。l 應(yīng)該保留一定的IP地址以便于將來網(wǎng)絡(luò)規(guī)模的拓展。l 由于**公司的網(wǎng)絡(luò)和Internet相連，因此，應(yīng)該采用互聯(lián)網(wǎng)保留地址段進(jìn)行地址規(guī)劃。 **公司系統(tǒng)平臺(tái)IP地址規(guī)劃下表是我們對**公司IP地址進(jìn)行的初步規(guī)劃，采用A類保留地址段（）當(dāng)然，該規(guī)劃只是一個(gè)初步規(guī)劃，將來可以在預(yù)留的地址中進(jìn)行規(guī)劃。單位Ip地址范圍子網(wǎng)掩碼備注省公司總部，通過掩碼進(jìn)行VLAN地址的規(guī)劃分公司福州分公司同上各支公司通過掩碼進(jìn)一步細(xì)分莆田分公司同上同上泉州分公司同上同上廈門分公司同上同上漳州分公司同上同上龍巖分公司同上同上三明分公司同上同上南平分公司同上同上寧德分公司同上同上將來分公司使用合資子公司省**進(jìn)出口公司同上晶惠碘鹽廠同上晶輝山莊同上秀嶼**裝運(yùn)站同上廈門鹽管處同上將來使用參股公司中鹽****有限公司同上控股公司省銀華房地產(chǎn)公司同上平潭晶嵐輕化有限公司同上泉港晶海輕化有限公司同上廈門閩鹽鐳射全息圖像有限公司同上 網(wǎng)絡(luò)系統(tǒng)特性網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則嚴(yán)格遵照第三章《總體規(guī)劃》中總體設(shè)計(jì)原則和招標(biāo)文件標(biāo)書中規(guī)定《系統(tǒng)技術(shù)要求》，具體的說就是網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)應(yīng)滿足技術(shù)先進(jìn)性、經(jīng)濟(jì)實(shí)用性、系統(tǒng)開放性、運(yùn)行穩(wěn)定性、數(shù)據(jù)安全性、平臺(tái)可擴(kuò)展性、系統(tǒng)可管理性等要求。以下我們總結(jié)一下網(wǎng)絡(luò)系統(tǒng)的特性。 技術(shù)先進(jìn)性 廣域網(wǎng)系統(tǒng)的先進(jìn)性l 設(shè)備的先進(jìn)性采用了業(yè)界領(lǐng)先的東軟VPN防火墻構(gòu)建廣域網(wǎng)系統(tǒng)。NetEye 防火墻VPN的主要技術(shù)優(yōu)勢包括：強(qiáng)大的網(wǎng)絡(luò)與信息安全保護(hù)功能、專用的硬件及增強(qiáng)安全性的操作系統(tǒng)保證系統(tǒng)性能與安全、嚴(yán)密的、基于PKI／KMC架構(gòu)的密鑰管理框架、清晰簡潔的密鑰管理流程、直觀明了的加密隧道設(shè)置與管理等等。l 廣域網(wǎng)接入的先進(jìn)性廣域網(wǎng)接入根據(jù)接入單位業(yè)務(wù)類型、規(guī)模大小、地理位置的不同，采用了多種網(wǎng)絡(luò)接入技術(shù)（包含VPN接入、撥號備用等），專線接入采用幀中繼鏈路接入，傳輸效率高，傳輸質(zhì)量好，采用訪問控制列表對專線接入有初步的安全保障；VPN接入方式具有較強(qiáng)的靈活性，通過128位數(shù)據(jù)加密保障了數(shù)據(jù)傳輸?shù)陌踩浴? 局域網(wǎng)系統(tǒng)的先進(jìn)性整個(gè)內(nèi)網(wǎng)網(wǎng)絡(luò)采用千兆以太網(wǎng)做為主干，集成了先進(jìn)的網(wǎng)絡(luò)交換、路由交換、虛擬網(wǎng)、QoS等網(wǎng)絡(luò)技術(shù)，保證了整個(gè)網(wǎng)絡(luò)系統(tǒng)能夠適應(yīng)現(xiàn)在乃至未來幾年的網(wǎng)絡(luò)發(fā)展，為應(yīng)用系統(tǒng)提供先進(jìn)的網(wǎng)絡(luò)平臺(tái)。局域網(wǎng)建設(shè)主要采用了以下多