【文章內(nèi)容簡介】 速交換主干，整個網(wǎng)絡(luò)的關(guān)鍵。核心層應(yīng)該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應(yīng)性、低延時性等。 是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。 向本地網(wǎng)段提供工作站接入。減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。 兩臺核心交換設(shè)備 單臺或兩臺交換機(jī) 固定端口配置交換機(jī) 核心交換機(jī)關(guān)鍵部件采用冗余配置（電源、控制引擎等） 關(guān)鍵部件冗余（電源、引擎等） 可能的情況下配置電源冗余 主干采用 10GB 光纖模塊 采用 10GB 光纖接口，用于上聯(lián)和下聯(lián) 配置雙路 10GB 上聯(lián)光纖接口 配置 10/100/100M 以太網(wǎng)電接口模塊 通常不需要配置電口模塊 例如 Cisco35XX 系列，29XX 系列交換機(jī) 核心設(shè)備通過雙鏈路連接至核心交換機(jī) 例如 Cisco 6500、Cisco4500 系列交換機(jī) 例如 Cisco 6500、Cisco4500系列交換機(jī) 交換機(jī)電接口應(yīng)支持 POE 功能（RJ45）其他設(shè)備WORD 資料 下載可編輯 專業(yè)技術(shù)網(wǎng)絡(luò)中應(yīng)配置相應(yīng)的安全設(shè)備，如路由器、審計(jì)網(wǎng)關(guān)、防火墻、VPN、IDS、防病毒及應(yīng)用服務(wù)器等 網(wǎng)絡(luò)整體設(shè)計(jì)圖： 網(wǎng)絡(luò)拓?fù)鋱DWORD 資料 下載可編輯 專業(yè)技術(shù)WORD 資料 下載可編輯 專業(yè)技術(shù) 核心層設(shè)計(jì)核心層采用雙核心架構(gòu)，規(guī)劃為兩臺核心交換機(jī)，兩臺核心設(shè)備通過兩條千兆光纖互聯(lián)，互為備份，由此可達(dá)到設(shè)備級高可靠性。核心交換機(jī)配置雙引擎、雙電源冗余結(jié)構(gòu)，可有效避免因模塊故障所造成的業(yè)務(wù)中斷。核心交換機(jī)配置千兆光接口，為匯聚設(shè)備以及無線AC設(shè)備提供光纖接入；配置千兆電接口，為服務(wù)器、網(wǎng)管軟件等設(shè)備提供網(wǎng)絡(luò)接入。本方案核心交換機(jī)選型為華為S7706，配置雙主控板，雙交流電源基礎(chǔ)模塊；配置48端口電接口板和24端口光接口板，為匯聚層交換機(jī)、無線控制器AC以及服務(wù)器等設(shè)備提供接入。 匯聚層設(shè)計(jì)匯聚層設(shè)備采用華為全光口交換機(jī)，為接入交換機(jī)提供千兆光纖接入；匯聚層交換機(jī)上行為千兆光接口，雙鏈路上聯(lián)核心交換機(jī)，為網(wǎng)絡(luò)提供鏈路級高可靠性，避免單鏈路故障對業(yè)務(wù)的影響。 接入層設(shè)計(jì)接入層交換機(jī)采用上行千兆光接口，下行千兆電接口設(shè)備；通過光接口單鏈路上聯(lián)匯聚層設(shè)備，并為終端提供千兆接入。結(jié)合業(yè)界主流設(shè)備選型經(jīng)驗(yàn)和WORD 資料 下載可編輯 專業(yè)技術(shù)用戶的需求考慮，建議匯聚層、接入層設(shè)備均可考慮采用華為S5700系列交換機(jī)。S5700支持BFD鏈路快速檢測功能，能為OSPF 、ISIS、VRRP 、PIM等協(xié)議提供毫秒級檢測機(jī)制，提高網(wǎng)絡(luò)可靠性。S5700遵循 IEEE 點(diǎn)到點(diǎn)以太網(wǎng)故障管理功能，可以用于檢測用戶側(cè)最后一公里以太網(wǎng)直連鏈路上的故障。S5700支持自動配置、即插即用、USB 開局、自動批量遠(yuǎn)程升級等功能，便于部署升級和業(yè)務(wù)發(fā)放，簡化后續(xù)的管理和維護(hù)性能。從而大大降低了維護(hù)成本。S5700支持 SNMP V1/V2/V3， CLI命令行、Web網(wǎng)管、TELNET 等多樣化的管理和維護(hù)方式，設(shè)備管理更加靈活。支持NTP、 、TACACS+、RMON、多日志主機(jī)、基于端口的流量統(tǒng)計(jì)，支持NQA 網(wǎng)絡(luò)質(zhì)量分析，有利于進(jìn)一步作好網(wǎng)絡(luò)規(guī)劃和改造。 交換式網(wǎng)絡(luò)架構(gòu)網(wǎng)絡(luò)采用交換式設(shè)計(jì)，可以按照每業(yè)務(wù)區(qū)域一個虛擬局域網(wǎng)，在核心設(shè)備上劃分VLAN ，局域網(wǎng)內(nèi)交換機(jī)均運(yùn)行GVRP協(xié)議，可以完成VLAN 注冊工作；在核心節(jié)點(diǎn)對局域網(wǎng)內(nèi)的VLAN進(jìn)行統(tǒng)一管理?？梢园凑彰繕菍觼韯澐諺LAN，也可以按照每樓層用戶類別劃分VLAN；按照用戶需要可以對VLAN的劃分進(jìn)行靈活的控制。劃分VLAN可以減小局域網(wǎng)的廣播域，增加帶寬的利用率；同時滿足終端用戶與外界的通信。華為設(shè)備支持MUXVLAN ，可支持主VLAN與從VLAN之間，不同從VLAN之間的互通，同時可以控制隔離型從VLAN之間的數(shù)據(jù)隔離；此時可以靈活控制各個邏輯網(wǎng)絡(luò)之間的數(shù)據(jù)通信，和不同類型用戶的通信。華為設(shè)備支持supVLAN，此協(xié)議可以支持在subVLAN上不配置網(wǎng)關(guān)IP 地址，只在supVLAN上配置網(wǎng)關(guān)地址，可在一定程度上為局域網(wǎng)的 IP地址進(jìn)行更合理節(jié)省。華為設(shè)備支持vlan間數(shù)據(jù)的ACL控制，可以更靈活的控制不同VLAN間的數(shù)據(jù)交換。采用交換式網(wǎng)絡(luò)設(shè)計(jì)，底層交換機(jī)的數(shù)據(jù)配置相對簡單，在核心節(jié)點(diǎn)對局WORD 資料 下載可編輯 專業(yè)技術(shù)域網(wǎng)集中管理；從而當(dāng)樓層設(shè)備和網(wǎng)絡(luò)出現(xiàn)故障，不至于對局域網(wǎng)以及網(wǎng)絡(luò)核心部分造成大的影響，對網(wǎng)絡(luò)也增加了可靠性能。 可靠性設(shè)計(jì)核心交換機(jī)采用雙引擎，雙電源模塊，確保設(shè)備避免單硬件故障；環(huán)形架構(gòu)核心部署保證提供網(wǎng)絡(luò)高可靠性，保證業(yè)務(wù)完整運(yùn)行，消除單點(diǎn)網(wǎng)絡(luò)故障；核心交換機(jī)支持運(yùn)行中軟件升級ISSU，ISSU 可以在設(shè)備軟件升級過程中，減少系統(tǒng)業(yè)務(wù)中斷時間，顯著地提高設(shè)備的可靠性。真正使企業(yè)網(wǎng)絡(luò)具備“全天候”提供業(yè)務(wù)能力，實(shí)現(xiàn)設(shè)備軟件升級流量“零”割接，應(yīng)用不中斷 網(wǎng)絡(luò)安全設(shè)計(jì)在網(wǎng)絡(luò)出口部署了防火墻設(shè)備，有效抵御來自外網(wǎng)的非法數(shù)據(jù)訪問和各種攻擊?？紤]到外網(wǎng)的安全問題的同時也考慮到內(nèi)網(wǎng)安全問題，選用的核心交換機(jī)、Portal 認(rèn)證；支持RADIUS和HWTACACS用戶登錄認(rèn)證；支持防范DoS攻擊、TCP的SYN Flood攻擊、UDP Flood攻擊、廣播風(fēng)暴攻擊、大流量攻擊；支持Firewall板卡功能；支持IPSec功能；保證網(wǎng)絡(luò)安全運(yùn)行。內(nèi)網(wǎng)安全的主要問題在于準(zhǔn)入控制，和對內(nèi)網(wǎng)用戶的訪問控制；在準(zhǔn)入控制方面，我們可采用網(wǎng)絡(luò)設(shè)備和Radius服務(wù)器聯(lián)動的方式，限制非法用戶接入網(wǎng)絡(luò)，對每個用戶進(jìn)行端口認(rèn)證，并根據(jù)不同用戶和用戶組來設(shè)置對應(yīng)訪問策略，以此實(shí)現(xiàn)不同用戶和用戶組的權(quán)限控制。對內(nèi)網(wǎng)用戶的訪問控制，我們可在交換機(jī)以及其他網(wǎng)絡(luò)設(shè)備上通過ACL方式限制不同vlan之間的靈活訪問控制。此外，在以上前提下，我們還可以在接入層交換機(jī)上做綁定，華為交換機(jī)支持端口IP地址MAC地址的雙重綁定，保證內(nèi)網(wǎng)的接入安全。 信息安全設(shè)計(jì) 業(yè)務(wù)系統(tǒng)分析業(yè)務(wù)系統(tǒng)包括酒店訂房系統(tǒng)、辦公 OA 等；按照業(yè)務(wù)范圍不同，將大樓整WORD 資料 下載可編輯 專業(yè)技術(shù)體分為三大區(qū)域：藝術(shù)家協(xié)會、演員酒店區(qū)、商業(yè)區(qū)。這三個區(qū)域都有訪問互聯(lián)網(wǎng)的需求，且藝術(shù)家協(xié)會、商業(yè)區(qū)的辦公人員需要訪問各自的業(yè)務(wù)系統(tǒng)；所以業(yè)務(wù)系統(tǒng)作為辦公的核心重要數(shù)據(jù)，應(yīng)對其重點(diǎn)防護(hù)，以免數(shù)據(jù)丟失，造成不必要的損失。 安全風(fēng)險分析兩岸文化交流中心的整個系統(tǒng)現(xiàn)狀主要可以按照兩個層面來看：一個是網(wǎng)絡(luò)層面現(xiàn)狀，一個是系統(tǒng)層面現(xiàn)狀。而所有運(yùn)行于網(wǎng)絡(luò)系統(tǒng)平臺之上的各種應(yīng)用系統(tǒng)的載體是網(wǎng)絡(luò)中各個終端和服務(wù)器群，這些終端和服務(wù)器群作為基礎(chǔ)計(jì)算設(shè)施實(shí)際上構(gòu)成了“計(jì)算設(shè)施”層面。同時貫穿于整個系統(tǒng)的還有一個重要的系統(tǒng)，就是管理系統(tǒng)，他對網(wǎng)絡(luò)層面、計(jì)算設(shè)施層面和應(yīng)用層面都起到直接的監(jiān)控和管理作用，因此管理系統(tǒng)也可以獨(dú)立的看作另一個層面：管理層面。所以，總體來看，我們在對兩岸文化交流中心網(wǎng)絡(luò)進(jìn)行整體安全風(fēng)險及需求分析時，基本上可以按照以下模型來進(jìn)行綜合分析： 網(wǎng)絡(luò)邊界安全風(fēng)險目前兩岸文化交流中心網(wǎng)絡(luò)邊界可分為外部和內(nèi)部邊界 2 大類，分述如下：? 外部邊界主要指兩岸文化交流中心網(wǎng)絡(luò)平臺的所有外部網(wǎng)絡(luò)邊界，包括：專網(wǎng)外網(wǎng)邊界：該邊界位于中心網(wǎng)絡(luò)與 XX 專網(wǎng)之間。專網(wǎng)邊界兩側(cè)都WORD 資料 下載可編輯 專業(yè)技術(shù)是內(nèi)部用戶，網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境、用戶身份及規(guī)章制度都很接近，所面臨的網(wǎng)絡(luò)安全風(fēng)險及相應(yīng)的需求也基本類似。主要需要考慮防止內(nèi)部的非法訪問以及病毒、蠕蟲等惡性安全事件的快速蔓延?；ヂ?lián)網(wǎng)邊界：互聯(lián)網(wǎng)接入主要用于提供對外基于互聯(lián)網(wǎng)的 WEB 業(yè)務(wù)、各接入單位通過互聯(lián)網(wǎng)接入等，因此在同一個邊界具備兩種屬性。外網(wǎng)邊界直接面臨社會各界用戶，使用環(huán)境復(fù)雜面臨的安全風(fēng)險極大。各類復(fù)合網(wǎng)絡(luò)攻擊手段以及針對網(wǎng)站的流量攻擊均是常見的安全威脅。應(yīng)予以嚴(yán)格的安全防護(hù)手段在此邊界進(jìn)行設(shè)防，維護(hù)整個數(shù)據(jù)中心不被外部侵入。? 內(nèi)部安全域邊界在數(shù)據(jù)中心網(wǎng)絡(luò)中，可以劃分處多個網(wǎng)絡(luò)安全域，包括多個服務(wù)器區(qū)、辦公區(qū)、多個接入?yún)^(qū)、維護(hù)管理區(qū)等等。這些安全域之間存在著內(nèi)部邊界，為能更加有針對性的對各安全域進(jìn)行防護(hù)，在不同的邊界應(yīng)采取不同的邊界防護(hù)措施。 計(jì)算區(qū)域安全風(fēng)險兩岸文化交流中心網(wǎng)絡(luò)作為一個大的計(jì)算區(qū)域，內(nèi)部運(yùn)行著大量的計(jì)算設(shè)施，這其中包括小型機(jī)服務(wù)器、高端 PC 服務(wù)器、低端 PC 服務(wù)器以及大量的終端設(shè)備，這些計(jì)算設(shè)施尤其是服務(wù)器群作為應(yīng)用系統(tǒng)的主要載體，其安全性至關(guān)重要。同時，服務(wù)器群非常容易成為黑客和蠕蟲病毒攻擊的主要目標(biāo)，這也就意味著服務(wù)器群的安全風(fēng)險等級較高；而終端設(shè)備往往部署較為分散，難于統(tǒng)一管理，操作人員的計(jì)算機(jī)水平也參差不齊，因此終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的安全問題?？傮w來說，計(jì)算區(qū)域內(nèi)的計(jì)算設(shè)施面臨的主要安全風(fēng)險有以下幾種：? 終端行為的管理終端設(shè)備部署較為分散，難于統(tǒng)一管理，操作人員的計(jì)算機(jī)水平也參差不齊，因此終端設(shè)備的安全管理成為網(wǎng)絡(luò)管理人員最為棘手的安全問題。終端泄密、非授權(quán)訪問、內(nèi)部攻擊等都都對數(shù)據(jù)中心安全造成威脅。各類終端和服務(wù)器系統(tǒng)的補(bǔ)丁管理同樣是一個重要問題。不及時的給系統(tǒng)打漏洞補(bǔ)丁會造成蠕蟲以及不懷好意者的入侵。WORD 資料 下載可編輯 專業(yè)技術(shù)? 終端防病毒病毒是對計(jì)算環(huán)境造成危害最大的隱患，當(dāng)前病毒威脅非常嚴(yán)峻，特別是蠕蟲病毒的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，這樣會大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴(yán)重下降甚至網(wǎng)絡(luò)通信中斷，嚴(yán)重影響正常業(yè)務(wù)開展。因此必須采取有效手段進(jìn)行查殺，阻止病毒的蔓延危害整個數(shù)據(jù)中心。? 網(wǎng)絡(luò)入侵行為檢測攻擊行為不僅來自于大家公認(rèn)的互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)，在內(nèi)部也要防止攻擊行為。通過部署安全措施，要實(shí)現(xiàn)主動阻斷針對信息系統(tǒng)的各種攻擊，如病毒、木馬、間諜軟件、可疑代碼、端口掃描、DoS/DDoS 等，能防御針對操作系統(tǒng)漏洞的攻擊，能夠?qū)崿F(xiàn)應(yīng)用層的安全防護(hù)，保護(hù)核心信息資產(chǎn)的免受攻擊危害。? 安全加固配置無論是審計(jì)、入侵檢測或是防病毒，某種意義上來說都是被動防御，大都不具備主動防御的能力。如在危險來臨之前就能主動加固系統(tǒng)，進(jìn)行全面的安全配置，增強(qiáng)系統(tǒng)本身的抵御能力，則在實(shí)際運(yùn)行中發(fā)揮十分重要的作用。 應(yīng)用系統(tǒng)安全風(fēng)險兩岸文化交流中心網(wǎng)絡(luò)內(nèi)運(yùn)行著多種應(yīng)用系統(tǒng)，這其中包括WINDOWS、UNIX、AIX、LINUX 等多種操作系統(tǒng)和多種業(yè)務(wù)應(yīng)用系統(tǒng)。這些應(yīng)用系統(tǒng)真正從主體內(nèi)容構(gòu)上成了兩岸文化交流中心的信息化平臺，為兩岸文化交流中心提供了高效率的信息化處理平臺。一旦這些應(yīng)用系統(tǒng)受到攻擊或破壞，會立即直接影響到兩岸文化交流中心的正常辦公和各種業(yè)務(wù)，需要重點(diǎn)防護(hù)。這些應(yīng)用系統(tǒng)所面臨的主要安全風(fēng)險包括以下幾個方面：病毒對應(yīng)用系統(tǒng)的威脅：計(jì)算機(jī)病毒可以直接破壞操作系統(tǒng)和數(shù)據(jù)文件，使得應(yīng)用系統(tǒng)無法正常運(yùn)行。近年來，頻繁爆發(fā)的蠕蟲病毒更是令人防不勝防，它通過大量消耗網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓或者服務(wù)器宕機(jī)，從而導(dǎo)致應(yīng)用系統(tǒng)也無法正常運(yùn)行。WORD 資料 下載可編輯 專業(yè)技術(shù)應(yīng)用系統(tǒng)自身的漏洞：應(yīng)用系統(tǒng)自身由于設(shè)計(jì)或程序上的缺陷，可能存在各種漏洞，例如 WEB 應(yīng)用服務(wù)的安全漏洞，可能導(dǎo)致 WEB 服務(wù)器容易被黑客攻擊，篡改網(wǎng)頁，使得 WEB 服務(wù)器無法提供正常 WEB 應(yīng)用訪問服務(wù)。應(yīng)用系統(tǒng)的安全策略：重要的應(yīng)用系統(tǒng)尤其是數(shù)據(jù)庫是否配置了適當(dāng)?shù)陌踩呗詠泶_保應(yīng)用系統(tǒng)的安全，例如數(shù)據(jù)庫的用戶密碼管理、數(shù)據(jù)審計(jì)策略等。人員誤操作或違規(guī)操作對應(yīng)用系統(tǒng)的威脅：操作人員可能對應(yīng)用系統(tǒng)進(jìn)行不當(dāng)操作而威脅到應(yīng)用系統(tǒng)，例如越權(quán)訪問應(yīng)用系統(tǒng)、違規(guī)占用網(wǎng)絡(luò)資源影響應(yīng)用系統(tǒng)等。 管理系統(tǒng)安全風(fēng)險目前，兩岸文化交流中心擁有多套網(wǎng)絡(luò)管理系統(tǒng)，對各節(jié)點(diǎn)的核心設(shè)備和匯聚設(shè)備進(jìn)行統(tǒng)一的性能監(jiān)控和故障管理，可以及時發(fā)現(xiàn)并上報網(wǎng)絡(luò)故障，并進(jìn)行記錄。但是，伴隨著本次安全建設(shè)項(xiàng)目，兩岸文化交流中心網(wǎng)絡(luò)還需要針對安全設(shè)備及安全風(fēng)險，進(jìn)行綜合監(jiān)管響應(yīng)。特別是針對大量部署的防火墻、入侵檢測等設(shè)備，需要通過集中的安全管理平臺，實(shí)施統(tǒng)一的設(shè)備監(jiān)控、日志分析、報警響應(yīng)。完整的安全技術(shù)體系的搭建需要眾多的安全設(shè)備