【文章內(nèi)容簡介】 雙主控板，雙交流電源基礎(chǔ)模塊；配置48端口電接口板和24端口光接口板，為匯聚層交換機、無線控制器AC以及服務(wù)器等設(shè)備提供接入。 匯聚層設(shè)計匯聚層設(shè)備采用華為全光口交換機，為接入交換機提供千兆光纖接入；匯聚層交換機上行為千兆光接口，雙鏈路上聯(lián)核心交換機，為網(wǎng)絡(luò)提供鏈路級高可靠性，避免單鏈路故障對業(yè)務(wù)的影響。 接入層設(shè)計接入層交換機采用上行千兆光接口，下行千兆電接口設(shè)備；通過光接口單鏈路上聯(lián)匯聚層設(shè)備，并為終端提供千兆接入。結(jié)合業(yè)界主流設(shè)備選型經(jīng)驗和用戶的需求考慮，建議匯聚層、接入層設(shè)備均可考慮采用華為S5700系列交換機。S5700支持BFD鏈路快速檢測功能，能為OSPF 、ISIS、VRRP 、PIM等協(xié)議提供毫秒級檢測機制，提高網(wǎng)絡(luò)可靠性。S5700遵循 IEEE 點到點以太網(wǎng)故障管理功能，可以用于檢測用戶側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。S5700支持自動配置、即插即用、USB 開局、自動批量遠程升級等功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護性能。從而大大降低了維護成本。S5700支持 SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET 等多樣化的管理和維護方式，設(shè)備管理更加靈活。支持NTP、 、TACACS+、RMON、多日志主機、基于端口的流量統(tǒng)計，支持NQA 網(wǎng)絡(luò)質(zhì)量分析，有利于進一步作好網(wǎng)絡(luò)規(guī)劃和改造。 交換式網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)采用交換式設(shè)計，可以按照每業(yè)務(wù)區(qū)域一個虛擬局域網(wǎng)，在核心設(shè)備上劃分VLAN ，局域網(wǎng)內(nèi)交換機均運行GVRP協(xié)議，可以完成VLAN 注冊工作；在核心節(jié)點對局域網(wǎng)內(nèi)的VLAN進行統(tǒng)一管理?？梢园凑彰繕菍觼韯澐諺LAN，也可以按照每樓層用戶類別劃分VLAN；按照用戶需要可以對VLAN的劃分進行靈活的控制。劃分VLAN可以減小局域網(wǎng)的廣播域，增加帶寬的利用率；同時滿足終端用戶與外界的通信。華為設(shè)備支持MUXVLAN ，可支持主VLAN與從VLAN之間，不同從VLAN之間的互通，同時可以控制隔離型從VLAN之間的數(shù)據(jù)隔離；此時可以靈活控制各個邏輯網(wǎng)絡(luò)之間的數(shù)據(jù)通信，和不同類型用戶的通信。華為設(shè)備支持supVLAN，此協(xié)議可以支持在subVLAN上不配置網(wǎng)關(guān)IP 地址，只在supVLAN上配置網(wǎng)關(guān)地址，可在一定程度上為局域網(wǎng)的 IP地址進行更合理節(jié)省。華為設(shè)備支持vlan間數(shù)據(jù)的ACL控制，可以更靈活的控制不同VLAN間的數(shù)據(jù)交換。采用交換式網(wǎng)絡(luò)設(shè)計，底層交換機的數(shù)據(jù)配置相對簡單，在核心節(jié)點對局域網(wǎng)集中管理；從而當(dāng)樓層設(shè)備和網(wǎng)絡(luò)出現(xiàn)故障，不至于對局域網(wǎng)以及網(wǎng)絡(luò)核心部分造成大的影響，對網(wǎng)絡(luò)也增加了可靠性能。 可靠性設(shè)計核心交換機采用雙引擎，雙電源模塊，確保設(shè)備避免單硬件故障；環(huán)形架構(gòu)核心部署保證提供網(wǎng)絡(luò)高可靠性，保證業(yè)務(wù)完整運行，消除單點網(wǎng)絡(luò)故障；核心交換機支持運行中軟件升級ISSU，ISSU 可以在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時間，顯著地提高設(shè)備的可靠性。真正使企業(yè)網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實現(xiàn)設(shè)備軟件升級流量“零”割接，應(yīng)用不中斷 網(wǎng)絡(luò)安全設(shè)計在網(wǎng)絡(luò)出口部署了防火墻設(shè)備，有效抵御來自外網(wǎng)的非法數(shù)據(jù)訪問和各種攻擊。考慮到外網(wǎng)的安全問題的同時也考慮到內(nèi)網(wǎng)安全問題，選用的核心交換機、Portal 認證；支持RADIUS和HWTACACS用戶登錄認證；支持防范DoS攻擊、TCP的SYN Flood攻擊、UDP Flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊；支持Firewall板卡功能；支持IPSec功能；保證網(wǎng)絡(luò)安全運行。內(nèi)網(wǎng)安全的主要問題在于準入控制，和對內(nèi)網(wǎng)用戶的訪問控制；在準入控制方面，我們可采用網(wǎng)絡(luò)設(shè)備和Radius服務(wù)器聯(lián)動的方式，限制非法用戶接入網(wǎng)絡(luò)，對每個用戶進行端口認證，并根據(jù)不同用戶和用戶組來設(shè)置對應(yīng)訪問策略，以此實現(xiàn)不同用戶和用戶組的權(quán)限控制。對內(nèi)網(wǎng)用戶的訪問控制，我們可在交換機以及其他網(wǎng)絡(luò)設(shè)備上通過ACL方式限制不同vlan之間的靈活訪問控制。此外，在以上前提下，我們還可以在接入層交換機上做綁定，華為交換機支持端口IP地址MAC地址的雙重綁定，保證內(nèi)網(wǎng)的接入安全。 信息安全設(shè)計 業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)包括酒店訂房系統(tǒng)、辦公 OA 等；按照業(yè)務(wù)范圍不同，將大樓整體分為三大區(qū)域：藝術(shù)家協(xié)會、演員酒店區(qū)、商業(yè)區(qū)。這三個區(qū)域都有訪問互聯(lián)網(wǎng)的需求，且藝術(shù)家協(xié)會、商業(yè)區(qū)的辦公人員需要訪問各自的業(yè)務(wù)系統(tǒng)；所以業(yè)務(wù)系統(tǒng)作為辦公的核心重要數(shù)據(jù)，應(yīng)對其重點防護，以免數(shù)據(jù)丟失，造成不必要的損失。 安全風(fēng)險分析兩岸文化交流中心的整個系統(tǒng)現(xiàn)狀主要可以按照兩個層面來看：一個是網(wǎng)絡(luò)層面現(xiàn)狀，一個是系統(tǒng)層面現(xiàn)狀。而所有運行于網(wǎng)絡(luò)系統(tǒng)平臺之上的各種應(yīng)用系統(tǒng)的載體是網(wǎng)絡(luò)中各個終端和服務(wù)器群，這些終端和服務(wù)器群作為基礎(chǔ)計算設(shè)施實際上構(gòu)成了“計算設(shè)施”層面。同時貫穿于整個系統(tǒng)的還有一個重要的系統(tǒng)，就是管理系統(tǒng)，他對網(wǎng)絡(luò)層面、計算設(shè)施層面和應(yīng)用層面都起到直接的監(jiān)控和管理作用，因此管理系統(tǒng)也可以獨立的看作另一個層面：管理層面。所以，總體來看，我們在對兩岸文化交流中心網(wǎng)絡(luò)進行整體安全風(fēng)險及需求分析時，基本上可以按照以下模型來進行綜合分析： 網(wǎng)絡(luò)邊界安全風(fēng)險目前兩岸文化交流中心網(wǎng)絡(luò)邊界可分為外部和內(nèi)部邊界 2 大類，分述如下：? 外部邊界主要指兩岸文化交流中心網(wǎng)絡(luò)平臺的所有外部網(wǎng)絡(luò)邊界，包括：專網(wǎng)外網(wǎng)邊界：該邊界位于中心網(wǎng)絡(luò)與 XX 專網(wǎng)之間。專網(wǎng)邊界兩側(cè)都是內(nèi)部用戶，網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、用戶身份及規(guī)章制度都很接近，所面臨的網(wǎng)絡(luò)安全風(fēng)險及相應(yīng)的需求也基本類似。主要需要考慮防止內(nèi)部的非法訪問以及病毒、蠕蟲等惡性安全事件的快速蔓延。互聯(lián)網(wǎng)邊界：互聯(lián)網(wǎng)接入主要用于提供對外基于互聯(lián)網(wǎng)的 WEB 業(yè)務(wù)、各接入單位通過互聯(lián)網(wǎng)接入等，因此在同一個邊界具備兩種屬性。外網(wǎng)邊界直接面臨社會各界用戶，使用環(huán)境復(fù)雜面臨的安全風(fēng)險極大。各類復(fù)合網(wǎng)絡(luò)攻擊手段以及針對網(wǎng)站的流量攻擊均是常見的安全威脅。應(yīng)予以嚴格的安全防護手段在此邊界進行設(shè)防，維護整個數(shù)據(jù)中心不被外部侵入。? 內(nèi)部安全域邊界在數(shù)據(jù)中心網(wǎng)絡(luò)中，可以劃分處多個網(wǎng)絡(luò)安全域，包括多個服務(wù)器區(qū)、辦公區(qū)、多個接入?yún)^(qū)、維護管理區(qū)等等。這些安全域之間存在著內(nèi)部邊界，為能更加有針對性的對各安全域進行防護，在不同的邊界應(yīng)采取不同的邊界防護措施。 計算區(qū)域安全風(fēng)險兩岸文化交流中心網(wǎng)絡(luò)作為一個大的計算區(qū)域，內(nèi)部運行著大量的計算設(shè)施，這其中包括小型機服務(wù)器、高端 PC 服務(wù)器、低端 PC 服務(wù)器以及大量的終端設(shè)備，這些計算設(shè)施尤其是服務(wù)器群作為應(yīng)用系統(tǒng)的主要載體，其安全性至關(guān)重要。同時，服務(wù)器群非常容易成為黑客和蠕蟲病毒攻擊的主要目標，這也就意味著服務(wù)器群的安全風(fēng)險等級較高；而終端設(shè)備往往部署較為分散，難于統(tǒng)一管理，操作人員的計算機水平也參差不齊，因此終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的安全問題。總體來說，計算區(qū)域內(nèi)的計算設(shè)施面臨的主要安全風(fēng)險有以下幾種：? 終端行為的管理終端設(shè)備部署較為分散，難于統(tǒng)一管理，操作人員的計算機水平也參差不齊，因此終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的安全問題。終端泄密、非授權(quán)訪問、內(nèi)部攻擊等都都對數(shù)據(jù)中心安全造成威脅。各類終端和服務(wù)器系統(tǒng)的補丁管理同樣是一個重要問題。不及時的給系統(tǒng)打漏洞補丁會造成蠕蟲以及不懷好意者的入侵。? 終端防病毒病毒是對計算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，這樣會大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴重下降甚至網(wǎng)絡(luò)通信中斷，嚴重影響正常業(yè)務(wù)開展。因此必須采取有效手段進行查殺，阻止病毒的蔓延危害整個數(shù)據(jù)中心。? 網(wǎng)絡(luò)入侵行為檢測攻擊行為不僅來自于大家公認的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也要防止攻擊行為。通過部署安全措施，要實現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS 等，能防御針對操作系統(tǒng)漏洞的攻擊，能夠?qū)崿F(xiàn)應(yīng)用層的安全防護，保護核心信息資產(chǎn)的免受攻擊危害。? 安全加固配置無論是審計、入侵檢測或是防病毒，某種意義上來說都是被動防御，大都不具備主動防御的能力。如在危險來臨之前就能主動加固系統(tǒng)，進行全面的安全配置，增強系統(tǒng)本身的抵御能力，則在實際運行中發(fā)揮十分重要的作用。 應(yīng)用系統(tǒng)安全風(fēng)險兩岸文化交流中心網(wǎng)絡(luò)內(nèi)運行著多種應(yīng)用系統(tǒng)，這其中包括WINDOWS、UNIX、AIX、LINUX 等多種操作系統(tǒng)和多種業(yè)務(wù)應(yīng)用系統(tǒng)。這些應(yīng)用系統(tǒng)真正從主體內(nèi)容構(gòu)上成了兩岸文化交流中心的信息化平臺，為兩岸文化交流中心提供了高效率的信息化處理平臺。一旦這些應(yīng)用系統(tǒng)受到攻擊或破壞，會立即直接影響到兩岸文化交流中心的正常辦公和各種業(yè)務(wù)，需要重點防護。這些應(yīng)用系統(tǒng)所面臨的主要安全風(fēng)險包括以下幾個方面：病毒對應(yīng)用系統(tǒng)的威脅：計算機病毒可以直接破壞操作系統(tǒng)和數(shù)據(jù)文件，使得應(yīng)用系統(tǒng)無法正常運行。近年來，頻繁爆發(fā)的蠕蟲病毒更是令人防不勝防，它通過大量消耗網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓或者服務(wù)器宕機，從而導(dǎo)致應(yīng)用系統(tǒng)也無法正常運行。應(yīng)用系統(tǒng)自身的漏洞：應(yīng)用系統(tǒng)自身由于設(shè)計或程序上的缺陷，可能存在各種漏洞，例如 WEB 應(yīng)用服務(wù)的安全漏洞，可能導(dǎo)致 WEB 服務(wù)器容易被黑客攻擊，篡改網(wǎng)頁，使得 WEB 服務(wù)器無法提供正常 WEB 應(yīng)用訪問服務(wù)。應(yīng)用系統(tǒng)的安全策略：重要的應(yīng)用系統(tǒng)尤其是數(shù)據(jù)庫是否配置了適當(dāng)?shù)陌踩呗詠泶_保應(yīng)用系統(tǒng)的安全，例如數(shù)據(jù)庫的用戶密碼管理、數(shù)據(jù)審計策略等。人員誤操作或違規(guī)操作對應(yīng)用系統(tǒng)的威脅：操作人員可能對應(yīng)用系統(tǒng)進行不當(dāng)操作而威脅到應(yīng)用系統(tǒng)，例如越權(quán)訪問應(yīng)用系統(tǒng)、違規(guī)占用網(wǎng)絡(luò)資源影響應(yīng)用系統(tǒng)等。 管理系統(tǒng)安全風(fēng)險目前，兩岸文化交流中心擁有多套網(wǎng)絡(luò)管理系統(tǒng)，對各節(jié)點的核心設(shè)備和匯聚設(shè)備進行統(tǒng)一的性能監(jiān)控和故障管理，可以及時發(fā)現(xiàn)并上報網(wǎng)絡(luò)故障，并進行記錄。但是，伴隨著本次安全建設(shè)項目，兩岸文化交流中心網(wǎng)絡(luò)還需要針對安全設(shè)備及安全風(fēng)險，進行綜合監(jiān)管響應(yīng)。特別是針對大量部署的防火墻、入侵檢測等設(shè)備，需要通過集中的安全管理平臺，實施統(tǒng)一的設(shè)備監(jiān)控、日志分析、報警響應(yīng)。完整的安全技術(shù)體系的搭建需要眾多的安全設(shè)備和安全系統(tǒng)，型號和品牌不一、物理部署位置分散、技術(shù)人員能力水平差異大。有限的管理人員難以對安全設(shè)備進行集中管理、及時快捷的部署安全策略，全面掌握設(shè)備運行和網(wǎng)絡(luò)運行的風(fēng)險狀況。如何用好安全設(shè)備和安全系統(tǒng)支撐業(yè)務(wù)安全穩(wěn)定運行成了一個棘手的問題。所以，需要建立安全管理中心，實施統(tǒng)一的設(shè)備監(jiān)控、日志分析、報警響應(yīng)。? 集中運行監(jiān)控能夠?qū)崿F(xiàn)對防火墻、VPN、IDS、IPS 、防病毒網(wǎng)關(guān)、漏洞掃描、 UTM、網(wǎng)閘、網(wǎng)絡(luò)設(shè)備、服務(wù)器/主機等設(shè)備的進行全面的監(jiān)控管理，生成拓撲地圖，實時掌握各設(shè)備的部署情況、運行狀況、設(shè)備的接入\斷開變動。當(dāng)網(wǎng)絡(luò)資源和設(shè)備受到攻擊，或運行異常時，會以告警等信息方式，通知管理員。? 統(tǒng)一風(fēng)險管理實現(xiàn)集中采集防火墻、VPN、IDS、IPS 、防病毒網(wǎng)關(guān)、漏洞掃描、 UTM、網(wǎng)閘、網(wǎng)絡(luò)設(shè)備、服務(wù)器/主機等設(shè)備的安全日志和事件，并進行統(tǒng)一的存儲、備份、管理和統(tǒng)計分析，能夠協(xié)助管理員實時監(jiān)測網(wǎng)絡(luò)中的攻擊行為和安全風(fēng)險，以及時調(diào)整安全設(shè)備策略，積極應(yīng)對安全威脅，從而實現(xiàn)網(wǎng)絡(luò)的整體安全。總體來看，兩岸文化交流中心網(wǎng)絡(luò)主要面臨的安全風(fēng)險主要涵蓋四個層面：網(wǎng)絡(luò)邊界層面、計算區(qū)域?qū)用?、?yīng)用系統(tǒng)層面和管理系統(tǒng)層面。網(wǎng)絡(luò)邊界層面風(fēng)險威脅到網(wǎng)絡(luò)基礎(chǔ)平臺，計算區(qū)域?qū)用骘L(fēng)險威脅到計算基礎(chǔ)設(shè)施（主機和終端），應(yīng)用系統(tǒng)層面風(fēng)險威脅到各種應(yīng)用系統(tǒng)，管理系統(tǒng)層面風(fēng)險則貫穿于以上所有層面，威脅到全網(wǎng)的安全風(fēng)險管理。 方案詳細說明 安全區(qū)域劃分兩岸文化交流中心的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進行全方位的安全防護，不是對整個系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不同等級的保護。因此，安全域劃分是進行信息安全保護的首要步驟。需要通過合理的劃分網(wǎng)絡(luò)安全域，針對各自的特點而采取不同的技術(shù)及管理手段。從而構(gòu)建一整套有針對性的安防體系。安全域是具有相同或相似安全要求和策略的 IT 要素的集合，是同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。 配置方案為了對抗全新的混合威脅，安全技術(shù)也在不斷進化，包括深度包檢測防火墻、應(yīng)用網(wǎng)關(guān)防火墻、內(nèi)容過濾、反垃圾郵件、SSL VPN、基于網(wǎng)絡(luò)的防病毒和入侵防御系統(tǒng)（IPS ）等新技術(shù)不斷被應(yīng)用。采用 UTM 設(shè)備來構(gòu)成本方案的核心產(chǎn)品既有效節(jié)約了建設(shè)資金，又達到了更好的防護效果?？筛鶕?jù)實際需要開啟相應(yīng)的功能模塊，采用網(wǎng)御 UTM 部署在安全域邊界是一個一舉兩得的解決方案。網(wǎng)御 UTM 是一個集防火墻、防病毒、入侵檢測/阻斷、 VPN（虛擬專用網(wǎng)）和內(nèi)容過濾、反垃圾郵件等多項功能于一身的綜合安全網(wǎng)關(guān)，包括內(nèi)容處理器和 VSP 操作系統(tǒng)，突破了芯片設(shè)計、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點，超越了傳統(tǒng)防火墻僅能在網(wǎng)絡(luò)層進行粗粒度的包過濾的安全層次，能夠從網(wǎng)絡(luò)層到應(yīng)用層提供全方位的安全保護。通過在 UTM 防火墻上配置防火墻、病毒防護、入侵檢測、內(nèi)容過濾、反垃圾郵件等安全設(shè)置，便可對進出網(wǎng)絡(luò)的流量互訪進行黑客攻擊、病毒、入侵、不良內(nèi)容和垃圾郵件等的全方位過濾。? 防火墻網(wǎng)御 UTM 基于狀態(tài)檢測包過濾技術(shù)，實現(xiàn)完整防火墻功能?？梢葬槍?IP 地址、服務(wù)、端口等參數(shù)決定是否允許數(shù)據(jù)包通過，在第三