【文章內(nèi)容簡(jiǎn)介】 議對(duì)整網(wǎng)網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)、用戶進(jìn)行綜合管理，方便管理員進(jìn)行統(tǒng)一管理。9)為幫助管理員方便的對(duì)設(shè)備配置文件和軟件文件進(jìn)行集中管理，包括配置文件的備份、恢復(fù)以及批量更新、設(shè)備軟件的備份和升級(jí)等功能，在iMC上附送了一個(gè)中心業(yè)務(wù)組件iCC。10)為方便管理員對(duì)終端用戶的上網(wǎng)行為進(jìn)行事后審計(jì)，追查用戶的網(wǎng)絡(luò)行為，滿足相關(guān)部門(mén)對(duì)用戶網(wǎng)絡(luò)訪問(wèn)日志進(jìn)行審計(jì)的硬性要求，建議配置一套網(wǎng)絡(luò)行為審計(jì)系統(tǒng)，包括在智能管理中樞iMC上配置一個(gè)網(wǎng)絡(luò)用戶行為審計(jì)組件UBAS，和一個(gè)能生成七層日志的DIG探針。11)建議在外網(wǎng)上部署一套無(wú)線系統(tǒng)，無(wú)線平臺(tái)將依托電子政務(wù)外網(wǎng)平臺(tái)，采用集中控制、分布式部署的模式來(lái)建設(shè)。在電子政務(wù)外網(wǎng)上擴(kuò)展無(wú)線插卡來(lái)實(shí)現(xiàn)對(duì)于全網(wǎng)無(wú)線系統(tǒng)的統(tǒng)一管理和配置，對(duì)前端的無(wú)線AP進(jìn)行統(tǒng)一的配置管理及認(rèn)證管理。由于外網(wǎng)接入層設(shè)備能夠支持較好的POE功能，所以在無(wú)線網(wǎng)絡(luò)部署時(shí)，不需要考慮其電源位置，使無(wú)線AP能夠更加靈活的部署。14電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)電子政務(wù)安全解決方案網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代企業(yè)和個(gè)人共同面臨的挑戰(zhàn)，電子政務(wù)網(wǎng)絡(luò)安全狀態(tài)也很?chē)?yán)峻?，F(xiàn)在計(jì)算機(jī)系統(tǒng)受病毒感染和破壞的情況相當(dāng)嚴(yán)重，電腦黑客活動(dòng)已形成重要威脅，信息基礎(chǔ)設(shè)施面臨網(wǎng)絡(luò)安全的挑戰(zhàn)，信息系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)。本次方案設(shè)計(jì)的H3C的網(wǎng)絡(luò)設(shè)備提供很高的安全性，通過(guò)這些安全特性可用構(gòu)成一個(gè)安全的網(wǎng)絡(luò)環(huán)境。（1）端口＋I(xiàn)P＋MAC地址的綁定用戶上網(wǎng)的安全性非常重要，端口+IP+MAC地址的綁定關(guān)系，H3C交換機(jī)可以支持基于MAC地址的認(rèn)證，整機(jī)最多支持1K個(gè)下掛用戶的認(rèn)證。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。如：每個(gè)用戶分配一個(gè)端口，15電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)并與該用戶主機(jī)的MAC、IP、VLAN等進(jìn)行綁定，當(dāng)用戶通過(guò)客戶端認(rèn)證通過(guò)以后用戶便可以實(shí)現(xiàn)MAC地址＋端口＋I(xiàn)P＋用戶ID的綁定，這種方式具有很強(qiáng)的安全特性：防的攻擊，防止用戶的MAC地址的欺騙，對(duì)于更改MAC地址的用戶（MAC地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。（2）接入層防Proxy的功能考慮到政府系統(tǒng)用戶的技術(shù)性較強(qiáng)，在實(shí)際的應(yīng)用的過(guò)程當(dāng)中應(yīng)當(dāng)充分考慮到Proxy的使用，對(duì)于Proxy的防止，H3C公司交換機(jī)配合H3C公司的的客戶端，一旦檢測(cè)到用戶PC機(jī)上存在兩個(gè)活動(dòng)的IP地址（不論是單網(wǎng)卡還是雙網(wǎng)卡），H3C系列交換機(jī)將會(huì)下發(fā)指令將該用戶直接踢下線。（3）MAC地址盜用的防止在網(wǎng)絡(luò)的應(yīng)用當(dāng)中IP地址的盜用是最為經(jīng)常的一種非法手段，用戶在認(rèn)證通過(guò)以后將自己的MAC地址進(jìn)行修改，然后在進(jìn)行一些非法操作，網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中我們針對(duì)該問(wèn)題，在接入層交換機(jī)上提供防止MAC地址盜用的功能，用戶在更改MAC地址后，交換機(jī)對(duì)于與綁定MAC地址不相符的用戶直接將下線，其下線功能是由接入系列交換機(jī)來(lái)實(shí)現(xiàn)的。（4）防止對(duì)DHCP服務(wù)器的攻擊使用DHCPServer動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問(wèn)題：一是DHCPServer假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCPServer后會(huì)與局方的DHCPServer沖突；二是用戶DHCPSmurf，用戶使用軟件變換自己的MAC地址，大量申請(qǐng)IP地址，很快將DHCP的地址池耗光。H3C交換機(jī)可以支持多種禁止私設(shè)DHCPServer的方法。（5）PrivateVLAN解決這個(gè)問(wèn)題的方法之一是在桌面交換機(jī)上啟用PrivateVLAN的功能。但在很多環(huán)境中這個(gè)功能的使用存在局限，或者不會(huì)為了私設(shè)DHCP服務(wù)器的緣故去改造網(wǎng)絡(luò)。（6）訪問(wèn)控制列表對(duì)于有三層功能的交換機(jī)，可以用訪問(wèn)列表來(lái)實(shí)現(xiàn)。就是定義一個(gè)訪問(wèn)列表，該訪問(wèn)列表禁止sourceport為67而destinationport為68的UDP報(bào)文通過(guò)。之后把這個(gè)訪問(wèn)列表應(yīng)用到各個(gè)物理端口上。當(dāng)然往端口一個(gè)個(gè)去添加訪16電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)問(wèn)控制組比較麻煩，可以結(jié)合interfacerange命令來(lái)減少命令的輸入量。新的命令因?yàn)樗娜忠饬x，也為了突出該安全功能，建議有如下單條命令的配置：servicedhcpofferdeny[excludeinterfaceinterfacetypeinterfacenumber][interfaceinterfacetypeinterfacenumbert|none]如果輸入不帶選項(xiàng)的命令nodhcpoffer，那么整臺(tái)交換機(jī)上連接的DHCP服務(wù)器都不能提供DHCP服務(wù)。excludeinterfaceinterfacetypeinterfacenumber：是指合法DHCP服務(wù)器或者DHCPrelay所在的物理端口。除了該指定的物理端口以外，交換機(jī)會(huì)丟棄其他物理端口的in方向的DHCPOFFER報(bào)文。interfaceinterfacetypeinterfacenumbert|none：當(dāng)明確知道私設(shè)DHCP服務(wù)器是在哪個(gè)物理端口上的時(shí)候，就可以選用這個(gè)選項(xiàng)。當(dāng)然如果該物理端口下面僅僅下聯(lián)該私設(shè)DHCP服務(wù)器，那么可以直接disable該端口。該選項(xiàng)用于私設(shè)DHCP服務(wù)器和其他的合法主機(jī)一起通過(guò)一臺(tái)不可網(wǎng)管的或不支持關(guān)閉DHCPOffer功能的交換機(jī)上聯(lián)的情況。選擇none就是放開(kāi)對(duì)dhcpoffer的控制。（7）防止ARP的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多，網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于現(xiàn)在用戶具有很強(qiáng)的專(zhuān)業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問(wèn)題屢見(jiàn)不鮮。因此，ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問(wèn)題不僅令網(wǎng)絡(luò)中心的管理人員頭痛不已，也對(duì)網(wǎng)絡(luò)的接入安全提出了新的挑戰(zhàn)。ARP攻擊包括中間人攻擊(ManInTheMiddle)和仿冒網(wǎng)關(guān)兩種類(lèi)型：中間人攻擊：按照ARP協(xié)議的原理，為了減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，一個(gè)主機(jī)，即使收到的ARP應(yīng)答并非自己請(qǐng)求得到的，它也會(huì)將其插入到自己的ARP緩存表中，這樣，就造成了“ARP欺騙”的可能。如果黑客想探聽(tīng)同一網(wǎng)絡(luò)中兩臺(tái)主機(jī)之間的通信（即使是通過(guò)交換機(jī)相連），他會(huì)分別給這兩臺(tái)主機(jī)發(fā)送一個(gè)ARP應(yīng)答包，讓兩臺(tái)主機(jī)都“誤”認(rèn)為對(duì)方的MAC17電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)地址是第三方的黑客所在的主機(jī)，這樣，雙方看似“直接”的通信連接，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的。黑客一方面得到了想要的通信內(nèi)容，另一方面，只需要更改數(shù)據(jù)包中的一些信息，成功地做好轉(zhuǎn)發(fā)工作即可。在這種嗅探方式中，黑客所在主機(jī)是不需要設(shè)置網(wǎng)卡的混雜模式的，因?yàn)橥ㄐ烹p方的數(shù)據(jù)包在物理上都是發(fā)送給黑客所在的中轉(zhuǎn)主機(jī)的。仿冒網(wǎng)關(guān)：攻擊者冒充網(wǎng)關(guān)發(fā)送免費(fèi)ARP，其它同一網(wǎng)絡(luò)內(nèi)的用戶收到后，更新自己的ARP表項(xiàng)，后續(xù)，受攻擊用戶發(fā)往網(wǎng)關(guān)的流量都會(huì)發(fā)往攻擊者。此攻擊導(dǎo)致用戶無(wú)法正常和網(wǎng)關(guān)通信。而攻擊者可以憑借此攻擊而獨(dú)占上行帶寬。在DHCP的網(wǎng)絡(luò)環(huán)境中，使能DHCPSnooping功能，交換機(jī)會(huì)記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。H3C交換機(jī)利用該綁定信息，可以判斷用戶發(fā)出的ARP報(bào)文是否合法。使能對(duì)指定VLAN內(nèi)所有端口的ARP檢測(cè)功能，即對(duì)該VLAN內(nèi)端口收到的ARP報(bào)文的源IP或源MAC進(jìn)行檢測(cè)，只有符合綁定表項(xiàng)的ARP報(bào)文才允許轉(zhuǎn)發(fā)；如果端口接收的ARP報(bào)文的源IP或源MAC不在DHCPSnooping動(dòng)態(tài)表項(xiàng)或DHCPSnooping靜態(tài)表項(xiàng)中，則ARP報(bào)文被丟棄。這樣就有效的防止了非法用戶的ARP攻擊。本次方案設(shè)計(jì)的華三核心設(shè)備都是支持專(zhuān)業(yè)的安全板卡，可以在保護(hù)用戶投資的情況下，增加這些板卡讓網(wǎng)絡(luò)具有更高的安全性。如果硬件安全板卡的性能不能滿足流量的要求的時(shí)候，可以通過(guò)增加多個(gè)板卡起到動(dòng)態(tài)擴(kuò)容，負(fù)載分擔(dān)的作用。18電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)4網(wǎng)絡(luò)平臺(tái)QOS保障QoS及其功能在傳統(tǒng)的IP網(wǎng)絡(luò)中，所有的報(bào)文都被無(wú)區(qū)別的等同對(duì)待，每個(gè)路由器對(duì)所有的報(bào)文均采用先入先出FIFO的策略進(jìn)行處理，它盡最大的努力BestEffort將報(bào)文送到目的地，但對(duì)報(bào)文傳送的可靠性、傳送延遲等性能不提供任何保證。網(wǎng)絡(luò)發(fā)展日新月異，隨著IP網(wǎng)絡(luò)上新應(yīng)用的不斷出現(xiàn)，對(duì)IP網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求，例如IP監(jiān)控等實(shí)時(shí)業(yè)務(wù)就對(duì)報(bào)文的傳輸延遲提出了較高要求，如果報(bào)文傳送延時(shí)太長(zhǎng)，將是用戶所不能接受的（相對(duì)而言EMail和FTP業(yè)務(wù)對(duì)時(shí)間延遲并不敏感）。為了支持具有不同服務(wù)需求的監(jiān)控、視頻以及數(shù)據(jù)等業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信進(jìn)而為之提供相應(yīng)的服務(wù)傳統(tǒng)IP網(wǎng)絡(luò)的盡力服務(wù)不可能識(shí)別和區(qū)分出網(wǎng)絡(luò)中的各種通信類(lèi)別而具備通信類(lèi)別的區(qū)分能力正是為不同的通信提供不同服務(wù)的前提所以說(shuō)傳統(tǒng)網(wǎng)絡(luò)的盡力服務(wù)模式已不能滿足應(yīng)用的需要QoS。QualityofService服務(wù)質(zhì)量技術(shù)的出現(xiàn)便致力于解決這個(gè)問(wèn)題。QoS旨在針對(duì)各種應(yīng)用的不同需求為其提供不同的服務(wù)質(zhì)量例如提供專(zhuān)用帶寬減少報(bào)文丟失率降低報(bào)文傳送時(shí)延及時(shí)延抖動(dòng)等為實(shí)現(xiàn)上述目的QoS提供了下述功能：216。 報(bào)文分類(lèi)和著色216。 網(wǎng)絡(luò)擁塞管理216。 網(wǎng)絡(luò)擁塞避免216。 流量監(jiān)管和流量整形如果隨著電子政務(wù)網(wǎng)絡(luò)的擴(kuò)展出現(xiàn)擁塞，可采用的QOS技術(shù)有：IP優(yōu)先級(jí)分類(lèi)、CAR、WRED、WFQ、CBWFQ、ATMCOS等。19電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)QOS是一個(gè)需要消耗很多處理器資源的應(yīng)用，為了達(dá)到全網(wǎng)最好的使用效率，建議無(wú)論是采用VLAN+ACL方案，還是采用MPLSBGPVPN方案，建議均采用DiffServ機(jī)制。在充分計(jì)算了各類(lèi)業(yè)務(wù)流量的前提下，在接入路由器上采用CAR技術(shù)對(duì)各類(lèi)業(yè)務(wù)流做流量限定、設(shè)定IP優(yōu)先級(jí)；在路由器廣域網(wǎng)接口上采用CBWFQ技術(shù)為每一類(lèi)業(yè)務(wù)提供確定帶寬；通過(guò)上述技術(shù)可實(shí)現(xiàn)QoS。電子政務(wù)網(wǎng)絡(luò)QOS設(shè)計(jì)原則建議QoS設(shè)計(jì)符合下面的原則:252。 差異性:為不同的業(yè)務(wù)提供不同的QoS保證；252。 可管理:靈活的帶寬控制策略；252。 經(jīng)濟(jì)性:有效利用網(wǎng)絡(luò)資源，包括帶寬、VLAN、端口等；252。 高可用性:設(shè)計(jì)備份路徑，采用具備熱備份、熱插拔能力的設(shè)備，并對(duì)關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行冗余備份；252。 可擴(kuò)展性:采用能夠在帶寬、業(yè)務(wù)種類(lèi)增加時(shí)平滑擴(kuò)容、升級(jí)的設(shè)備。體系結(jié)構(gòu)的選擇為了在IP網(wǎng)絡(luò)上提供QoS，IETF提出了許多服務(wù)模型和協(xié)議，其中比較突出的有IntServ(IntegratedServices)模型和DiffServ(DifferentiatedServices)模型。IntServ模型要求網(wǎng)絡(luò)中的所有節(jié)點(diǎn)(包括核心節(jié)點(diǎn))都記錄每個(gè)經(jīng)過(guò)的應(yīng)用流的資源預(yù)留狀態(tài)，需要通過(guò)IP包頭識(shí)別出所有的用戶應(yīng)用流(進(jìn)行MF分類(lèi))，同時(shí)為每個(gè)經(jīng)過(guò)的應(yīng)用流設(shè)置單獨(dú)的內(nèi)部隊(duì)列以分別進(jìn)行監(jiān)管(Policing)、調(diào)度(Scheduling)、整形(Shaping)等操作。對(duì)于現(xiàn)在大型運(yùn)營(yíng)網(wǎng)絡(luò)中的節(jié)點(diǎn)，這種應(yīng)用流(活動(dòng)的)的數(shù)量非常龐大，會(huì)遠(yuǎn)遠(yuǎn)超出節(jié)點(diǎn)設(shè)備所能夠處理的能力，而且可擴(kuò)展性差，僅適合在小規(guī)模網(wǎng)絡(luò)中使用。20電子政務(wù)網(wǎng)建設(shè)技術(shù)建議書(shū)DiffServ模型的基本原理是將網(wǎng)絡(luò)中的流量分成多個(gè)類(lèi)，每個(gè)類(lèi)接受不同的處理，尤其是網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)不同的類(lèi)會(huì)享受不同的優(yōu)先處理，從而得到不同的丟棄率、時(shí)延以及時(shí)延抖動(dòng)。在DiffServ的體系結(jié)構(gòu)下，IETF已經(jīng)定義了EF(ExpediteForwarding)、AF1AF4(Assured16