【文章內容簡介】 到用戶桌面的高速網絡。網絡拓撲圖園區(qū)網絡系統(tǒng)設計：核心設備高背板轉發(fā)、擁有高帶寬、高背板、提供高可靠性。各區(qū)域和核心之間均采用萬兆光纜連接。15 / 37核心設備部署于中心機房、接入設備部署于各樓層弱電井。每個區(qū)域內至少都部署一臺匯聚交換機用于本區(qū)域內點位匯聚。同一棟樓內弱電井間均采用光纖連接。周界安防監(jiān)控采用 IP 監(jiān)控設備，數(shù)據傳輸采取就近引線。 （從就近的多媒體信息箱引接數(shù)據線） 園區(qū)網絡安全規(guī)劃設計企業(yè)園區(qū)網的安全建設可以用短板效應來說明，一個小小的安全隱患，就會影響到整個園區(qū)網的安全建設的全局。所以園區(qū)網的安全建設需要全面考慮、系統(tǒng)規(guī)劃。園區(qū)網安全現(xiàn)狀原因分析? 網絡結構單一和設備防護技術欠缺網絡目前為單核心結構，相應作為骨干區(qū)域的設備級別的保護技術較少。如CPU 的硬件保護，設備防 DOS 攻擊等功能。? 無法進行有效的身份管理園區(qū)網缺少用戶身份認證機制，外來用戶、非法用戶隨意接入；缺少可控的身份集中認證系統(tǒng)，對用戶進行管理難度大；用戶賬號存在被盜用的風險，安全審計無法有效進行。? 無法保證用戶終端合法性Windows 系統(tǒng)補丁未更新，系統(tǒng)存在致命漏洞；沒有按規(guī)定安裝殺毒軟件及防火墻，成為病毒和木馬的溫床；隨意安裝違禁軟件，不規(guī)范使用網絡；上述問題造成了病毒和攻擊在園區(qū)網內的泛濫，影響正常應用的開展。? 內網安全無法有效控制70％以上威脅網絡安全的攻擊行為都是來自園區(qū)網內用戶；內網防御能力弱，病毒、木馬泛濫；“合法用戶”的“非法行為”危害巨大；常規(guī)手段難以及時16 / 37發(fā)現(xiàn)并阻斷攻擊行為；發(fā)生的安全事件不能審計到人，無法進行有效處理。安全網絡設計原則根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照 SSECMM(系統(tǒng)安全工程能力成熟模型)和 ISO17799(信息安全管理標準)等國際標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網絡安全防范體系在整體設計過程中應遵循以下9 項原則： 1) 網絡信息安全的木桶原則 網絡信息系統(tǒng)是一個復雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構成了系統(tǒng)的安全脆弱性，尤其是多用戶網絡系統(tǒng)自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲透原則” ，必然在系統(tǒng)中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統(tǒng)的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的安全最低點的安全性能。 2) 網絡信息安全的整體性原則 要求在網絡發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網絡網絡中心的服務，減少損失。因此，信息安全系統(tǒng)應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統(tǒng)存在的各種安全威脅采取的相應的防護措施，避免非法攻擊的進行。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。 3) 安全性評價與平衡原則 對任何網絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執(zhí)行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體17 / 37的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質和信息的重要程度。 4) 標準化與一致性原則 系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，這樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。 5) 技術與行政管理相結合原則 安全體系是一個復雜的系統(tǒng)工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現(xiàn)。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規(guī)章制度建設相結合。 6) 統(tǒng)籌規(guī)劃，分步實施原則 由于政策規(guī)定、服務需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規(guī)劃下，根據網絡的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網絡規(guī)模的擴大及應用的增加，網絡應用和復雜程度的變化，網絡脆弱性也會不斷增加，調整或增強安全防護力度，保證整個網絡最根本的安全需求。 7) 等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權限分級，對網絡安全程度分級（安全子網和安全區(qū)域） ，對系統(tǒng)實現(xiàn)結構的分級（應用層、網絡層、鏈路層等） ，從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網絡中不同層次的各種實際需求。 8) 動態(tài)發(fā)展原則 要根據網絡安全的變化不斷調整安全措施，適應新的網絡環(huán)境，滿足新的網絡安全需求。 9) 易操作性原則 首先，安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。安全網絡設計目標為了維護網絡安全和用戶自身利益的考慮，在全網部署安全防護體系。達18 / 37到內網盡量的干凈，從而杜絕現(xiàn)網頻繁出現(xiàn)的 ARP 欺騙和病毒泛濫情況。從而確保企業(yè)內網絡的安全、穩(wěn)定、可靠。1) 確保網絡設備安全網絡設備和相應系統(tǒng)是網絡架構的基礎，一旦網絡設備崩潰和出現(xiàn)軟故障，則網絡造成不可用等高危事故，因此網絡設備的安全保護是安全網絡的基礎。2) 確保網絡數(shù)據流安全安全系統(tǒng)在園區(qū)網內建立起網絡通信防護體系，對網絡數(shù)據流進行實時監(jiān)控，偵測并隔離危險網絡行為。建立全網立體防御 ARP 欺騙功能，從可能遭受ARP 欺騙攻擊的三個層面出發(fā)全面防治 ARP 欺騙帶來的危害。3) 確保用戶身份安全建立成熟可靠的網絡身份管理體系，確保入網用戶身份的合法有效，將非法用戶隔離在內網大門之外。 ，對每一個試圖對接入內網的用戶，都要經過安全系統(tǒng)的身份合法性驗證，包括用戶的賬號、密碼、IP 等關鍵信息。只有當用戶提供了合法有效的身份信息之后，才能允許正常接入并使用網絡。4) 確保用戶終端安全通過建立用戶終端安全防護體系，確保入網用戶主機終端的安全。安全系統(tǒng)能夠通過和多家殺毒軟件的聯(lián)動，強制入網用戶必須正常安裝、運行指定的殺毒軟件。安全系統(tǒng)能夠與內網的 WSUS 服務器進行聯(lián)動，引導用戶使用 WSUS的服務進行 Windows 補丁自動更新，幫助內網的用戶主機及時更新操作系統(tǒng)補丁，避免因為操作系統(tǒng)漏洞帶來的安全隱患威脅。保護園區(qū)網內用戶終端的安全。5) 確保遠程 VPN 用戶訪問網絡的安全企業(yè)外辦公和差旅用戶需要訪問企業(yè)內資源時，認證技術和 VPN 技術則需要良好的配合，保證 VPN 用戶的訪問網絡行為能夠監(jiān)控和內網的安全。6) 確保 web 服務的安全19 / 37企業(yè)的 WEB 應用相當豐富，對于對外宣傳的 WEB 網站則需要進行精心防護，防止篡改網頁并造成不良的公示效應。安全網絡方案設計依據國家信息安全等級保護體系的要求，全面規(guī)劃園區(qū)網的安全建設。使之可以全面衡量園區(qū)網安全建設的情況，保證了園區(qū)網的安全建設有體系、有步驟的完成。國家信息等級保護體系主要包含了：技術要求和管理要求。技術要求從物理安全、網絡安全、主機安全、應用安全和數(shù)據安全幾個方面提出；管理要求從安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理幾個方面提出，技術要求和管理要求是確保信息系統(tǒng)安全不可分割的兩個部分。本方案結合企業(yè)內認證系統(tǒng)和業(yè)界企業(yè)采用和推薦的較為成熟先進的安全理念進行設計。本方案包含網絡設備和架構安全、主機安全、應用安全、網絡安全和數(shù)據安全。網絡基礎平臺安全網絡設備和架構的安全是園區(qū)網安全建設的基礎，為保證網絡設備和架構的安全，網絡提供以下技術保證企業(yè)內網絡設備的健壯和可靠：1. CPU 及引擎保護技術——CPP 技術隨著交換機應用的逐漸普及，以及網絡攻擊的不斷增多，越來越需要為數(shù)據交換機提供一種保護機制，對發(fā)往交換機 CPU 的數(shù)據流，進行流分類和優(yōu)先級分級處理，以及 CPU 的帶寬限速，以確保在任何情況下 CPU 都不會出現(xiàn)負載過高的狀況，這種保護機制就是 CPU Protect Policy，簡稱 CPP。20 / 37CPP 功能早期只是作為某些單一功能出現(xiàn)的，如 ARP check，IP sys guard，這一種 CPP 主要是反攻擊的。隨著市場應用的逐漸增多，對于 CPU 保護提出了更高的要求，第二種 cpp 應用需要對 trap 到 CPU 的管理報文進行分類處理，第一類是作為維護基礎協(xié)議的 BPDU、GVRP 和 VRRP，第二類是作為維護路由協(xié)議的 PIM，OSPF，IGMP，RIP 報文，第三類是作為需要 CPU 處理的 IP 數(shù)據報文，第四類是堆疊中的管理報文，通過對這些報文的分級處理，確定優(yōu)先關系，確保在 CPU 高負載的情況下仍能保證基本的網絡拓撲穩(wěn)定。CPP 的第三種應用是對各種報文的帶寬限制，這種方式主要根據具體的網絡應用環(huán)境確定各類報文的帶寬限制，以及 CPU 可以處理的最高總帶寬限制。網絡 CPP 技術保證了網絡的路由穩(wěn)定可靠，最大程度上避免網絡受到攻擊的的拓撲震蕩。從而為用戶提供一個穩(wěn)定的網絡環(huán)境。2. NFPP基礎網絡保護策略(Network Foundation Protection Policy)目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊(比如：ACL、QOS、URPF、SysGuard 等等)，通過這些功能模塊自行建立攻擊檢測和保護的機制，并提供對外的管理接口。但實現(xiàn)得不夠系統(tǒng)，基本是針對一個問題解決一個問題，在體系上沒有統(tǒng)一的框架。從現(xiàn)有的數(shù)據幀實現(xiàn)的流程來看，缺乏從流的主干上考慮實施防攻擊保護。為了在這個日益重視安全性的環(huán)境中應對日益復雜的攻擊，銳捷網絡開發(fā)出一套完整的網絡基礎保護體系，稱之為21 / 37基礎網絡保護策略(Network Foundation Protection Policy)，簡稱NFPP。NFPP 技術能夠對設備本身實施保護，通過對報文流進行限制、隔離，以保證設備及網絡可靠、安全、有效地運行。針對交換機設備而言，數(shù)據的路由和交換過程主要由硬件來完成，而 CPU 主要對控制流、管理流和部分交換芯片無法處理的數(shù)據流進行處理，并同時提供交互界面供用戶進行本地管理配置。大量的報文流送向 CPU，占用了整個送 CPU的報文通路的帶寬，導致正常的控制流和管理流無法達到 CPU，從而帶來協(xié)議振蕩無法管理，進而影響到數(shù)據面的轉發(fā)，如果是核心設備將導致整個網絡無法正常運行。NFPP 接受報文的端口或者發(fā)送到 CPU 通過對送往 CPU 的報文進行攻擊檢測，的場景進行安全檢測，采取相應保護措施，從而達到對管理面、數(shù)據面和控制面的保護作用。NFPP 技術特點有：? 防止多種攻擊NFPP 能夠防止目前網絡上常見的多種攻擊手段，包括 ARP 攻擊、ICMP 攻擊、IP掃描攻擊及 DHCP 耗竭攻擊等，形成一套完整的保護體系，為用戶提供一個安全可靠的網絡平臺。? 配置靈活方便NFPP 的用戶界面 CLI 命令設計簡單方便，這樣使用戶無需對相關專業(yè)知識有很深認識的情況下，也能完成配置。NFPP 所實現(xiàn)的防攻擊技術如 ARP 防攻擊、ICMP 防攻擊都集中在 NFPP 配置模式下進行配置，且對各種類型防攻擊的配置基本相仿，使得用戶只須熟悉其中一種配置就可以了。同時，用戶可以根據實際需要選擇相應功能，即可以選擇打開 ARP 防攻擊功能而關閉 ICMP 防攻擊功能。? 整網設備聯(lián)動結合銳捷網絡的 IPFIX 流量監(jiān)控技術，可以基于端口進行流量檢測，將流量發(fā)送到上層網絡管理中心。一旦有異常流量，安全管理平臺就立即協(xié)助網絡管理者發(fā)現(xiàn)網絡中的非法數(shù)據源，并由網絡設備聯(lián)動整網下發(fā) NFPP 安全策略，最終杜絕攻擊保證全網安全。? 支持特權用戶NFPP 支持特權用戶，即管理者能夠設置一些可信任用戶為特權用戶。設置為特22 / 37權用戶后，就不會對該用戶進行監(jiān)控，即該用戶不會被限速，更不會被