【導(dǎo)讀】項(xiàng)目編號文檔名稱XXXX建議書。編寫人XXXX完成日期2021-05-8. 日期修訂版本修訂內(nèi)容修訂人

　　

【正文】 數(shù)據(jù)中心的目的。 同時考慮整個系統(tǒng)的冗余性和可靠性，整個網(wǎng)絡(luò)采用冗余結(jié)構(gòu)和分層分級的設(shè)計(jì)思路進(jìn)行。 由于工業(yè)生產(chǎn)線的自動化要求高，系統(tǒng)要求穩(wěn)定，安全，建議采用兩套網(wǎng)絡(luò)，一套主要用于工業(yè)系統(tǒng)及相關(guān)的工業(yè)需求，一套主要用于 PI、 ERP 等辦公使用網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)物理隔離，之間通過防火墻實(shí)現(xiàn)訪問。減少病毒、辦公網(wǎng)絡(luò)環(huán)路和攻擊存在的風(fēng)險。 由于 XXXX 園區(qū)規(guī)模較小，工業(yè)系統(tǒng)及信息系統(tǒng)應(yīng)用， 工作人員 網(wǎng)絡(luò)需求較少 ，建議按照 二 層結(jié)構(gòu)進(jìn)行規(guī)劃建設(shè)，即核心 和 接入 兩 個網(wǎng)絡(luò)層 次 ，出于保證網(wǎng)絡(luò)核心（層）的可靠性以及網(wǎng)絡(luò)分流等因素考慮， 局域網(wǎng)設(shè)計(jì) 冗余核心交換機(jī)。 核心層設(shè)計(jì) 核心層負(fù)責(zé)整個網(wǎng)絡(luò)的數(shù)據(jù)交換，同時也是整個網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過核心節(jié)點(diǎn)集中進(jìn)行，為保證核心節(jié)點(diǎn)的高可用性，核心節(jié)點(diǎn)采用雙機(jī)備份方式，設(shè)計(jì)工業(yè)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)核心層各配置兩臺高性能的核心路由交換機(jī)，它們之間通過兩條 GE 捆綁實(shí)現(xiàn)互連，流量在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。兩臺核心設(shè)備構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無單點(diǎn)故障的目的。這樣任意核心節(jié)點(diǎn)都可以成為是業(yè)務(wù)的主要匯總中心，核心節(jié)點(diǎn)與 匯聚節(jié)點(diǎn)之間形成全冗余連接，以增強(qiáng)整體網(wǎng)絡(luò)的容錯和故障隔離能力。其中工業(yè)網(wǎng)絡(luò)核心交換機(jī)設(shè)計(jì)為雙引擎，故障發(fā)生后一分鐘內(nèi)完成 failover 切換。 本次設(shè)計(jì)中核心層負(fù)責(zé)匯聚園區(qū)的數(shù)據(jù)交換使用，同時負(fù)責(zé)上聯(lián)核心交換機(jī)，下聯(lián)用戶接入層接入，能夠達(dá)到線速轉(zhuǎn)發(fā)，具備高速 上行 接 口，保證今后 5 年的業(yè)務(wù)擴(kuò)展能力。具備 OSPF、 BGP 等路由協(xié)議的三層交換機(jī)，適合后續(xù)網(wǎng)絡(luò)發(fā)展的大方向。在 設(shè)計(jì)時一般都是將不同部門劃分到不同的VLAN 中去，為了便于部門內(nèi) ACL 策略的統(tǒng)一下發(fā)和管理，要求支持 VLAN ACL 的功能，方便簡單。同時要求 支持 DHCP Snooping、支持動態(tài) ARP 檢測，防止中間人攻擊和 ARP 拒絕服務(wù)等防止攻擊的特性。 接入層設(shè)計(jì) 在接入層面，考慮到從用戶接入起就需要有較強(qiáng)的訪問控制，要求交換機(jī)必須具備 端口限制接入功能， 能夠支持通常的 數(shù)據(jù) 過濾、流量限速等功能； 為增強(qiáng)接入層的安全，還可考慮重要區(qū)域接 XXXX 機(jī)房 規(guī)劃 建議書 20/ 37 入層設(shè)備 支持 DHCP Snooping，防止內(nèi)部人員在局域網(wǎng)私設(shè) DHCP 服務(wù)器，擾亂網(wǎng)絡(luò) IP地址的分配，增強(qiáng)網(wǎng)絡(luò)抵御攻擊的能力，支持動態(tài) ARP 檢測，防止中間人攻擊和 ARP 拒絕服務(wù)，在接入層能夠防止內(nèi)部局域網(wǎng)的 ARP 攻擊，防止病從口 入。 Firewall 防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。同時，它還可以起到 NAT 網(wǎng)關(guān)的作用，防止內(nèi)網(wǎng)地址外泄。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動。防火墻在網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制，比如一個是用戶的安全網(wǎng)絡(luò)，稱之為‘被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)’，另外一個是其它的非安全網(wǎng)絡(luò)稱為‘某個不被信任并且不需要保護(hù)的網(wǎng)絡(luò)’。防火墻就位于一個受信任的網(wǎng)絡(luò)和 一個不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護(hù)受信任網(wǎng)絡(luò)上的信息。 企業(yè)內(nèi)部網(wǎng)絡(luò)通過配置私網(wǎng)地址建立內(nèi)部互聯(lián)，對于互聯(lián)網(wǎng)來說，可以隱藏內(nèi)網(wǎng)的 IP 地址，并且在網(wǎng)絡(luò)邊界部署防火墻，提高安全策略，隔離內(nèi)外網(wǎng)，開啟攻擊防護(hù)策略。如有防護(hù)不當(dāng)，極有可能由于個別的漏洞而導(dǎo)致整個網(wǎng)絡(luò)的崩潰，因此針對這些區(qū)域的安全防護(hù)是要考慮的重點(diǎn)內(nèi)容。 本次設(shè)計(jì)中防火墻劃分為 4 個區(qū)域，安全等級從高到低分別是工業(yè)區(qū)、辦公區(qū)、 dmz 區(qū)和外聯(lián)區(qū)。防火墻內(nèi)置了 IPS、 VPN、 failover 功能，在規(guī)劃和配置上嚴(yán)格按照需求執(zhí)行就能實(shí)現(xiàn)很高的 安全性和可靠性。 UTM UTM 安全網(wǎng)關(guān)不僅可以對員工訪問 WEB、 FTP、 MAIL 等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對 、BT、 MSN、 SKYPE 等各種 P2P 軟件的行為進(jìn)行限制和控制。豐富的報(bào)表功能還可以分析出企業(yè)的Inter 的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持?；赪eb 的和 LDAP/Radius 集成的用戶認(rèn)證功能，使得對上網(wǎng)用戶的管理變得十分靈活方便。 AntiARP ARP 欺騙攻擊的危害性 當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)連接正常，卻無法打開網(wǎng)頁；當(dāng)您的計(jì)算機(jī)網(wǎng)絡(luò)出 現(xiàn)頻繁斷線，同時網(wǎng)速變得非常慢。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。 XXXX 機(jī)房 規(guī)劃 建議書 21/ 37 ARP 欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響網(wǎng)絡(luò)的正常運(yùn)行，更嚴(yán)重的是利用 ARP 欺騙攻擊可進(jìn)一步實(shí)施中間人攻擊。如果局域網(wǎng)內(nèi)某臺主機(jī)運(yùn)行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機(jī)進(jìn)行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。由此可見，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。 為什么殺毒軟件、防火墻 都擋不住 ARP 欺騙攻擊呢？主要由于 ARP 欺騙攻擊的木馬程序，通常會偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活，或者通過 U 盤、移動硬盤等方式進(jìn)入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級，殺毒軟件常常會失去作用。 由于 ARP 欺騙攻擊，利用了 ARP 協(xié)議的設(shè)計(jì)缺陷，光靠包過濾、 IP＋ MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。 通過對 ARP 欺騙攻擊原理的剖析，如果要防御該類型攻擊，最理想的辦法是在接入層對 ARP 報(bào)文進(jìn)行內(nèi)容有效性檢查，對于沒有通過檢查的報(bào)文進(jìn)行丟 棄處理。在接入層交換機(jī)上采取的這種技術(shù)，我們稱為 ARP 入侵檢測。 在網(wǎng)絡(luò)實(shí)際部署中，有時候不能在所有的接入層部署 ARP 入侵檢測。為了防止出現(xiàn) ARP 中毒引起的中間人攻擊，最好在網(wǎng)絡(luò)核心交換機(jī)或者匯聚三層交換機(jī)上部署 ARP 欺騙防御策略。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫。 對于不能在全網(wǎng)接入交換機(jī)部署 ARP 入侵檢測的網(wǎng)絡(luò)，不能單純靠網(wǎng)絡(luò)設(shè)備進(jìn)行 ARP 欺騙攻擊防御。因?yàn)椴还苁?ARP 入侵檢測，還是 ARP 欺騙防御，都不能防止終端主機(jī)受到 ARP 中毒攻擊，也不能對發(fā)起 ARP 欺騙攻擊的終端 PC 進(jìn)行強(qiáng)制 下線懲罰。因此對于不能在全網(wǎng)接入交換機(jī)部署 ARP入侵檢測的情況，還需要通過部署端點(diǎn)準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)（ iMC/EAD 系統(tǒng)），進(jìn)一步加強(qiáng) ARP 欺騙攻擊的控制和管理。 根據(jù)客戶實(shí)際的網(wǎng)絡(luò)環(huán)境，結(jié)合接入交換機(jī)、核心交換機(jī)，可以為您部署全面的 ARP 欺騙攻擊防御方案。以下就從這三個方面描述如何能做到有效防御 ARP 欺騙攻擊的。 接入層交換機(jī)部署 ARP 入侵檢測 交換機(jī)要防御 ARP 攻擊，就必須能夠識別并讀取 ARP 報(bào)文內(nèi)容，然后根據(jù)報(bào)文內(nèi)容判斷是否存在欺騙攻擊行為，對于 ARP 欺騙報(bào)文進(jìn)行丟棄處理。 在接入層就是利 用接入交換機(jī)的 ARP 入侵檢測（ ARP Intrusion Inspection）功能，進(jìn)行 ARP 欺騙攻擊防御。 XXXX 機(jī)房 規(guī)劃 建議書 22/ 37 ARP 入侵檢測在接入交換機(jī)進(jìn)行部署，接入交換機(jī)同時啟用 DHCP Snooping 對 DHCP 報(bào)文進(jìn)行監(jiān)測。 DHCP Snooping 通過監(jiān)測 DHCP 報(bào)文記錄了用戶的 IP/MAC/LEASE/TYPE/VLAN/PORT 等信息，并形成一個 DHCP Snooping 綁定表。交換機(jī)端口接收到的 ARP 報(bào)文后，通過查找 DHCP Snooping 建立的綁定關(guān)系表，來判斷 ARP 應(yīng)答報(bào)文的發(fā)送者源 IP、源 MAC 是否 合法。若 ARP 報(bào)文中的發(fā)送者源 MAC、IP 匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報(bào)文，允許通過；否則認(rèn)為是欺騙攻擊報(bào)文，就進(jìn)行丟棄。 ARP 入侵檢測能夠防止接入終端發(fā)起任何 ARP 欺騙攻擊，如果全網(wǎng)部署 AII 功能，可有效解決ARP 欺騙攻擊問題。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報(bào)文，消耗網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源，造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機(jī)還需要部署 ARP 報(bào)文限速，對每個端口單位時間內(nèi)接收到的 ARP 報(bào)文進(jìn)行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機(jī) CPU 資源。 核心交換機(jī)部署 ARP 欺騙防御 如果網(wǎng)絡(luò)中的某臺接入層交換機(jī)沒有部署 ARP 入侵檢測， ARP 欺騙攻擊就會在該交換機(jī)所屬的一個廣播域內(nèi)得逞，這樣在局部范圍內(nèi)會發(fā)生 ARP 中毒行為，甚至可能會引起中間人攻擊。 為了防止因 ARP 欺騙而發(fā)生的中間人攻擊行為，需要在網(wǎng)絡(luò)核心交換機(jī)交換機(jī)上部署 ARP 欺騙防御技術(shù)。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫，既避免網(wǎng)關(guān)設(shè)備發(fā)生 VPN 隨 著信息化程度的不斷推進(jìn)，越來越多的企業(yè)開始享受信息化所帶來的高效率和便利，這其中很多企業(yè)在全國各地都擁有自身的分支機(jī)構(gòu)。對于這些企業(yè)，對分支機(jī)構(gòu)進(jìn) 行信息化建設(shè) ，企業(yè)網(wǎng)跨地域互聯(lián) 的時候，會比較注意經(jīng)濟(jì)性的考慮，對成本比較敏感。 VPN（ Virtual Private Network） 具有非常出色的經(jīng)濟(jì)實(shí)用性，與其他 WAN 解決方案相比， VPN能夠幫助您更加快速經(jīng)濟(jì)地實(shí)現(xiàn)業(yè)務(wù) “全球化 ”，大大降低一般性成本并獲得快速的投資回報(bào)。通過VPN，用戶可將關(guān)鍵任務(wù)應(yīng)用擴(kuò)展到遠(yuǎn)程 分支機(jī)構(gòu) 和外部網(wǎng)合作伙伴，使企業(yè)更具競爭力，并提高客戶服務(wù)質(zhì)量。 VPN 可以說是 Intra 在公用網(wǎng)絡(luò)上的延伸，能提供和專用網(wǎng)一樣的安全性、可管理性和傳輸性能 。 企業(yè)內(nèi)部分支機(jī)構(gòu)、移動辦公人員，如何能夠安全接入到企業(yè)網(wǎng)內(nèi)部也是企業(yè)比較關(guān)系的問題，用戶可以通過 SSL VPN 或則 IPSEC VPN 的安全加密隧道直接連接到內(nèi)部網(wǎng)絡(luò)，解決內(nèi)部應(yīng)用系統(tǒng)訪問需求。 XXXX 機(jī)房 規(guī)劃 建議書 23/ 37 SSL VPN： 提供 方便、快捷的遠(yuǎn)程安全接入 ， 直接使用 瀏覽器 訪問 內(nèi)部網(wǎng)絡(luò)資源 ，無需 安裝客戶端軟件 ，主要用于移動辦公人員，為用戶提供高經(jīng)濟(jì)、低成本的遠(yuǎn)程移動安全接入方式。 IPSEC VPN： 通過公眾 IP 網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，減輕企業(yè)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，并且提供安全的端到端數(shù)據(jù)通訊。 本次設(shè)計(jì)考慮通過防火墻做 VPN 網(wǎng)關(guān)。 Wireless 無線網(wǎng)絡(luò)系統(tǒng)主要由以下兩 部分組成： 無線交換機(jī) (Wireless Switch)； 無線接入點(diǎn) (AP) 目前流行的第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)），實(shí)現(xiàn)了基于無線網(wǎng)絡(luò)交換機(jī)，以AP 為單元交換的無線網(wǎng)絡(luò)系統(tǒng)。 第三代無線系統(tǒng)采用了 Wireless Switch＋ AP 構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功 能轉(zhuǎn)移到集中的 WLAN 交換機(jī)中實(shí)現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、 AP 間自適應(yīng)、無線安管、 RF 監(jiān)測、無縫漫游以及 QoS 保證。 第三代無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。 在無線網(wǎng)絡(luò)融合到現(xiàn)有有線網(wǎng)絡(luò)方面，第三代無線系統(tǒng)所獨(dú)有的三層路由穿透技術(shù)可以不更改原有有線網(wǎng)絡(luò)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實(shí)施非常方便。 在無線安全性方面，第三代無線系統(tǒng)同樣具備多種用戶認(rèn)證方式、并提供基于用戶的狀態(tài)防火墻、 VPN 加密、 無線入侵偵測、無線接入病毒防護(hù)功能以及集中的安全管理。 考慮到網(wǎng)絡(luò)的兼容性和高可用性，本項(xiàng)目無線網(wǎng)絡(luò)采用第三代無線交換機(jī)（控制器）＋瘦 AP解決方案。 接入網(wǎng)絡(luò)部分：無線 AP 通過 POE 交換機(jī)提供電源平均分布于辦公區(qū)域。 無線 控制 交換機(jī) 、 無線網(wǎng)絡(luò)交換機(jī)管理系統(tǒng) 分布于網(wǎng)絡(luò)核心層，設(shè)計(jì) 采用了目前基于最先進(jìn)的第三代無線網(wǎng)絡(luò)技術(shù)的無線交換機(jī)對整個無線網(wǎng)路進(jìn)行統(tǒng)一的管理。可采用兩臺無線控制交換機(jī)實(shí)現(xiàn)設(shè)備冗余并對全網(wǎng) AP進(jìn)行集中管理和控制，各覆蓋區(qū)域內(nèi) AP 通過有線連接至 POE 交換機(jī)，實(shí)現(xiàn)了無線集中控制。 考慮到網(wǎng)絡(luò)的兼容性和 高可用性，本次設(shè)計(jì)無線網(wǎng)絡(luò)采用第三代無線交換機(jī)（控制器）＋瘦 AP解決方案。整個廠區(qū)包括物流倉庫、月臺部署 8 個瘦 AP，生產(chǎn)線部署 4 個 瘦 AP， 2 樓辦公室部署 4個瘦 AP，一共 16 個瘦 AP 做全建筑的無線信號覆蓋，并統(tǒng)一集中管理。 AP 無線有效覆蓋半徑 30 米 XXXX 機(jī)房 規(guī)劃 建議書 24/ 37 50 米左右，設(shè)計(jì)圖 如下： AAA AAA 認(rèn)證服務(wù)器系統(tǒng)主要用于 驗(yàn)證、授權(quán)和記賬。其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。 主要用于帳號統(tǒng)一管理與認(rèn)證，并且可以審計(jì)外部用戶通過互聯(lián)網(wǎng) VPN 進(jìn)行企業(yè)網(wǎng)絡(luò)操作。當(dāng)認(rèn)證用戶數(shù)量不多的情況下，可以考慮使用系統(tǒng)本地認(rèn)證的方式實(shí)現(xiàn)安全認(rèn)證，特點(diǎn)是成本低，工作量大。 本次設(shè)計(jì)中考慮 AAA 服務(wù)中采用外