【導(dǎo)讀】項目編號文檔名稱XXXX建議書。編寫人XXXX完成日期2021-05-8. 日期修訂版本修訂內(nèi)容修訂人

　　

【正文】 數(shù)據(jù)中心的目的。 同時考慮整個系統(tǒng)的冗余性和可靠性，整個網(wǎng)絡(luò)采用冗余結(jié)構(gòu)和分層分級的設(shè)計思路進行。 由于工業(yè)生產(chǎn)線的自動化要求高，系統(tǒng)要求穩(wěn)定，安全，建議采用兩套網(wǎng)絡(luò)，一套主要用于工業(yè)系統(tǒng)及相關(guān)的工業(yè)需求，一套主要用于 PI、 ERP 等辦公使用網(wǎng)絡(luò)，兩套網(wǎng)絡(luò)物理隔離，之間通過防火墻實現(xiàn)訪問。減少病毒、辦公網(wǎng)絡(luò)環(huán)路和攻擊存在的風(fēng)險。 由于 XXXX 園區(qū)規(guī)模較小，工業(yè)系統(tǒng)及信息系統(tǒng)應(yīng)用， 工作人員 網(wǎng)絡(luò)需求較少 ，建議按照 二 層結(jié)構(gòu)進行規(guī)劃建設(shè)，即核心 和 接入 兩 個網(wǎng)絡(luò)層 次 ，出于保證網(wǎng)絡(luò)核心（層）的可靠性以及網(wǎng)絡(luò)分流等因素考慮， 局域網(wǎng)設(shè)計 冗余核心交換機。 核心層設(shè)計 核心層負責(zé)整個網(wǎng)絡(luò)的數(shù)據(jù)交換，同時也是整個網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過核心節(jié)點集中進行，為保證核心節(jié)點的高可用性，核心節(jié)點采用雙機備份方式，設(shè)計工業(yè)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)核心層各配置兩臺高性能的核心路由交換機，它們之間通過兩條 GE 捆綁實現(xiàn)互連，流量在捆綁的多條鏈路上負載分擔(dān)和備份。兩臺核心設(shè)備構(gòu)成雙機冗余熱備結(jié)構(gòu)，達到無單點故障的目的。這樣任意核心節(jié)點都可以成為是業(yè)務(wù)的主要匯總中心，核心節(jié)點與 匯聚節(jié)點之間形成全冗余連接，以增強整體網(wǎng)絡(luò)的容錯和故障隔離能力。其中工業(yè)網(wǎng)絡(luò)核心交換機設(shè)計為雙引擎，故障發(fā)生后一分鐘內(nèi)完成 failover 切換。 本次設(shè)計中核心層負責(zé)匯聚園區(qū)的數(shù)據(jù)交換使用，同時負責(zé)上聯(lián)核心交換機，下聯(lián)用戶接入層接入，能夠達到線速轉(zhuǎn)發(fā)，具備高速 上行 接 口，保證今后 5 年的業(yè)務(wù)擴展能力。具備 OSPF、 BGP 等路由協(xié)議的三層交換機，適合后續(xù)網(wǎng)絡(luò)發(fā)展的大方向。在 設(shè)計時一般都是將不同部門劃分到不同的VLAN 中去，為了便于部門內(nèi) ACL 策略的統(tǒng)一下發(fā)和管理，要求支持 VLAN ACL 的功能，方便簡單。同時要求 支持 DHCP Snooping、支持動態(tài) ARP 檢測，防止中間人攻擊和 ARP 拒絕服務(wù)等防止攻擊的特性。 接入層設(shè)計 在接入層面，考慮到從用戶接入起就需要有較強的訪問控制，要求交換機必須具備 端口限制接入功能， 能夠支持通常的 數(shù)據(jù) 過濾、流量限速等功能； 為增強接入層的安全，還可考慮重要區(qū)域接 XXXX 機房 規(guī)劃 建議書 20/ 37 入層設(shè)備 支持 DHCP Snooping，防止內(nèi)部人員在局域網(wǎng)私設(shè) DHCP 服務(wù)器，擾亂網(wǎng)絡(luò) IP地址的分配，增強網(wǎng)絡(luò)抵御攻擊的能力，支持動態(tài) ARP 檢測，防止中間人攻擊和 ARP 拒絕服務(wù)，在接入層能夠防止內(nèi)部局域網(wǎng)的 ARP 攻擊，防止病從口 入。 Firewall 防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。同時，它還可以起到 NAT 網(wǎng)關(guān)的作用，防止內(nèi)網(wǎng)地址外泄。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器、限制器和分析器，可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動。防火墻在網(wǎng)絡(luò)間實現(xiàn)訪問控制，比如一個是用戶的安全網(wǎng)絡(luò)，稱之為‘被信任應(yīng)受保護的網(wǎng)絡(luò)’，另外一個是其它的非安全網(wǎng)絡(luò)稱為‘某個不被信任并且不需要保護的網(wǎng)絡(luò)’。防火墻就位于一個受信任的網(wǎng)絡(luò)和 一個不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護受信任網(wǎng)絡(luò)上的信息。 企業(yè)內(nèi)部網(wǎng)絡(luò)通過配置私網(wǎng)地址建立內(nèi)部互聯(lián)，對于互聯(lián)網(wǎng)來說，可以隱藏內(nèi)網(wǎng)的 IP 地址，并且在網(wǎng)絡(luò)邊界部署防火墻，提高安全策略，隔離內(nèi)外網(wǎng)，開啟攻擊防護策略。如有防護不當(dāng)，極有可能由于個別的漏洞而導(dǎo)致整個網(wǎng)絡(luò)的崩潰，因此針對這些區(qū)域的安全防護是要考慮的重點內(nèi)容。 本次設(shè)計中防火墻劃分為 4 個區(qū)域，安全等級從高到低分別是工業(yè)區(qū)、辦公區(qū)、 dmz 區(qū)和外聯(lián)區(qū)。防火墻內(nèi)置了 IPS、 VPN、 failover 功能，在規(guī)劃和配置上嚴(yán)格按照需求執(zhí)行就能實現(xiàn)很高的 安全性和可靠性。 UTM UTM 安全網(wǎng)關(guān)不僅可以對員工訪問 WEB、 FTP、 MAIL 等常用服務(wù)的內(nèi)容進行控制，更可以對 、BT、 MSN、 SKYPE 等各種 P2P 軟件的行為進行限制和控制。豐富的報表功能還可以分析出企業(yè)的Inter 的詳細使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持?；赪eb 的和 LDAP/Radius 集成的用戶認(rèn)證功能，使得對上網(wǎng)用戶的管理變得十分靈活方便。 AntiARP ARP 欺騙攻擊的危害性 當(dāng)您的計算機網(wǎng)絡(luò)連接正常，卻無法打開網(wǎng)頁；當(dāng)您的計算機網(wǎng)絡(luò)出 現(xiàn)頻繁斷線，同時網(wǎng)速變得非常慢。這些都可能是由于存在 ARP 欺騙攻擊及 ARP 中毒，所表現(xiàn)出來的網(wǎng)絡(luò)故障情況。 XXXX 機房 規(guī)劃 建議書 21/ 37 ARP 欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響網(wǎng)絡(luò)的正常運行，更嚴(yán)重的是利用 ARP 欺騙攻擊可進一步實施中間人攻擊。如果局域網(wǎng)內(nèi)某臺主機運行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和網(wǎng)關(guān)，讓所有網(wǎng)絡(luò)流量都經(jīng)過攻擊者主機進行轉(zhuǎn)發(fā)，攻擊者通過截獲的信息可得到游戲、網(wǎng)銀、文件服務(wù)等系統(tǒng)的用戶名和口令，這種攻擊行為就稱為中間人攻擊。由此可見，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。 為什么殺毒軟件、防火墻 都擋不住 ARP 欺騙攻擊呢？主要由于 ARP 欺騙攻擊的木馬程序，通常會偽裝成常用軟件的一部分被下載并被激活，或者作為網(wǎng)頁的一部分自動傳送到瀏覽者的電腦上并被激活，或者通過 U 盤、移動硬盤等方式進入網(wǎng)絡(luò)。由于木馬程序的形態(tài)特征都在不斷變化和升級，殺毒軟件常常會失去作用。 由于 ARP 欺騙攻擊，利用了 ARP 協(xié)議的設(shè)計缺陷，光靠包過濾、 IP＋ MAC＋端口綁定等傳統(tǒng)辦法是比較難解決的。 通過對 ARP 欺騙攻擊原理的剖析，如果要防御該類型攻擊，最理想的辦法是在接入層對 ARP 報文進行內(nèi)容有效性檢查，對于沒有通過檢查的報文進行丟 棄處理。在接入層交換機上采取的這種技術(shù)，我們稱為 ARP 入侵檢測。 在網(wǎng)絡(luò)實際部署中，有時候不能在所有的接入層部署 ARP 入侵檢測。為了防止出現(xiàn) ARP 中毒引起的中間人攻擊，最好在網(wǎng)絡(luò)核心交換機或者匯聚三層交換機上部署 ARP 欺騙防御策略。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫。 對于不能在全網(wǎng)接入交換機部署 ARP 入侵檢測的網(wǎng)絡(luò)，不能單純靠網(wǎng)絡(luò)設(shè)備進行 ARP 欺騙攻擊防御。因為不管是 ARP 入侵檢測，還是 ARP 欺騙防御，都不能防止終端主機受到 ARP 中毒攻擊，也不能對發(fā)起 ARP 欺騙攻擊的終端 PC 進行強制 下線懲罰。因此對于不能在全網(wǎng)接入交換機部署 ARP入侵檢測的情況，還需要通過部署端點準(zhǔn)入系統(tǒng)或者安全接入認(rèn)證系統(tǒng)（ iMC/EAD 系統(tǒng)），進一步加強 ARP 欺騙攻擊的控制和管理。 根據(jù)客戶實際的網(wǎng)絡(luò)環(huán)境，結(jié)合接入交換機、核心交換機，可以為您部署全面的 ARP 欺騙攻擊防御方案。以下就從這三個方面描述如何能做到有效防御 ARP 欺騙攻擊的。 接入層交換機部署 ARP 入侵檢測 交換機要防御 ARP 攻擊，就必須能夠識別并讀取 ARP 報文內(nèi)容，然后根據(jù)報文內(nèi)容判斷是否存在欺騙攻擊行為，對于 ARP 欺騙報文進行丟棄處理。 在接入層就是利 用接入交換機的 ARP 入侵檢測（ ARP Intrusion Inspection）功能，進行 ARP 欺騙攻擊防御。 XXXX 機房 規(guī)劃 建議書 22/ 37 ARP 入侵檢測在接入交換機進行部署，接入交換機同時啟用 DHCP Snooping 對 DHCP 報文進行監(jiān)測。 DHCP Snooping 通過監(jiān)測 DHCP 報文記錄了用戶的 IP/MAC/LEASE/TYPE/VLAN/PORT 等信息，并形成一個 DHCP Snooping 綁定表。交換機端口接收到的 ARP 報文后，通過查找 DHCP Snooping 建立的綁定關(guān)系表，來判斷 ARP 應(yīng)答報文的發(fā)送者源 IP、源 MAC 是否 合法。若 ARP 報文中的發(fā)送者源 MAC、IP 匹配綁定表中的內(nèi)容，則認(rèn)為是合法的報文，允許通過；否則認(rèn)為是欺騙攻擊報文，就進行丟棄。 ARP 入侵檢測能夠防止接入終端發(fā)起任何 ARP 欺騙攻擊，如果全網(wǎng)部署 AII 功能，可有效解決ARP 欺騙攻擊問題。 另外由于 ARP 欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的 ARP 報文，消耗網(wǎng)絡(luò)帶寬資源和交換機 CPU 資源，造成網(wǎng)絡(luò)速度的速度降低。因此接入交換機還需要部署 ARP 報文限速，對每個端口單位時間內(nèi)接收到的 ARP 報文進行限制，很好地保障了網(wǎng)絡(luò)帶寬資源和交換機 CPU 資源。 核心交換機部署 ARP 欺騙防御 如果網(wǎng)絡(luò)中的某臺接入層交換機沒有部署 ARP 入侵檢測， ARP 欺騙攻擊就會在該交換機所屬的一個廣播域內(nèi)得逞，這樣在局部范圍內(nèi)會發(fā)生 ARP 中毒行為，甚至可能會引起中間人攻擊。 為了防止因 ARP 欺騙而發(fā)生的中間人攻擊行為，需要在網(wǎng)絡(luò)核心交換機交換機上部署 ARP 欺騙防御技術(shù)。 ARP 欺騙防御可以避免網(wǎng)關(guān)設(shè)備的 ARP 表被攻擊者非法改寫，既避免網(wǎng)關(guān)設(shè)備發(fā)生 VPN 隨 著信息化程度的不斷推進，越來越多的企業(yè)開始享受信息化所帶來的高效率和便利，這其中很多企業(yè)在全國各地都擁有自身的分支機構(gòu)。對于這些企業(yè)，對分支機構(gòu)進 行信息化建設(shè) ，企業(yè)網(wǎng)跨地域互聯(lián) 的時候，會比較注意經(jīng)濟性的考慮，對成本比較敏感。 VPN（ Virtual Private Network） 具有非常出色的經(jīng)濟實用性，與其他 WAN 解決方案相比， VPN能夠幫助您更加快速經(jīng)濟地實現(xiàn)業(yè)務(wù) “全球化 ”，大大降低一般性成本并獲得快速的投資回報。通過VPN，用戶可將關(guān)鍵任務(wù)應(yīng)用擴展到遠程 分支機構(gòu) 和外部網(wǎng)合作伙伴，使企業(yè)更具競爭力，并提高客戶服務(wù)質(zhì)量。 VPN 可以說是 Intra 在公用網(wǎng)絡(luò)上的延伸，能提供和專用網(wǎng)一樣的安全性、可管理性和傳輸性能 。 企業(yè)內(nèi)部分支機構(gòu)、移動辦公人員，如何能夠安全接入到企業(yè)網(wǎng)內(nèi)部也是企業(yè)比較關(guān)系的問題，用戶可以通過 SSL VPN 或則 IPSEC VPN 的安全加密隧道直接連接到內(nèi)部網(wǎng)絡(luò)，解決內(nèi)部應(yīng)用系統(tǒng)訪問需求。 XXXX 機房 規(guī)劃 建議書 23/ 37 SSL VPN： 提供 方便、快捷的遠程安全接入 ， 直接使用 瀏覽器 訪問 內(nèi)部網(wǎng)絡(luò)資源 ，無需 安裝客戶端軟件 ，主要用于移動辦公人員，為用戶提供高經(jīng)濟、低成本的遠程移動安全接入方式。 IPSEC VPN： 通過公眾 IP 網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來，減輕企業(yè)的遠程訪問費用負擔(dān)，并且提供安全的端到端數(shù)據(jù)通訊。 本次設(shè)計考慮通過防火墻做 VPN 網(wǎng)關(guān)。 Wireless 無線網(wǎng)絡(luò)系統(tǒng)主要由以下兩 部分組成： 無線交換機 (Wireless Switch)； 無線接入點 (AP) 目前流行的第三代無線局域網(wǎng)技術(shù)采用無線交換網(wǎng)絡(luò)架構(gòu)），實現(xiàn)了基于無線網(wǎng)絡(luò)交換機，以AP 為單元交換的無線網(wǎng)絡(luò)系統(tǒng)。 第三代無線系統(tǒng)采用了 Wireless Switch＋ AP 構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功 能轉(zhuǎn)移到集中的 WLAN 交換機中實現(xiàn)，同時加入了許多重要新功能，諸如無線網(wǎng)管、 AP 間自適應(yīng)、無線安管、 RF 監(jiān)測、無縫漫游以及 QoS 保證。 第三代無線系統(tǒng)不但具有一、二代無線產(chǎn)品所有的功能，并且在無線網(wǎng)的規(guī)劃、管理、安全方面都有著與一代和二代產(chǎn)品不可比擬的優(yōu)勢。 在無線網(wǎng)絡(luò)融合到現(xiàn)有有線網(wǎng)絡(luò)方面，第三代無線系統(tǒng)所獨有的三層路由穿透技術(shù)可以不更改原有有線網(wǎng)絡(luò)的路由設(shè)定，使得無線網(wǎng)絡(luò)的規(guī)劃和實施非常方便。 在無線安全性方面，第三代無線系統(tǒng)同樣具備多種用戶認(rèn)證方式、并提供基于用戶的狀態(tài)防火墻、 VPN 加密、 無線入侵偵測、無線接入病毒防護功能以及集中的安全管理。 考慮到網(wǎng)絡(luò)的兼容性和高可用性，本項目無線網(wǎng)絡(luò)采用第三代無線交換機（控制器）＋瘦 AP解決方案。 接入網(wǎng)絡(luò)部分：無線 AP 通過 POE 交換機提供電源平均分布于辦公區(qū)域。 無線 控制 交換機 、 無線網(wǎng)絡(luò)交換機管理系統(tǒng) 分布于網(wǎng)絡(luò)核心層，設(shè)計 采用了目前基于最先進的第三代無線網(wǎng)絡(luò)技術(shù)的無線交換機對整個無線網(wǎng)路進行統(tǒng)一的管理。可采用兩臺無線控制交換機實現(xiàn)設(shè)備冗余并對全網(wǎng) AP進行集中管理和控制，各覆蓋區(qū)域內(nèi) AP 通過有線連接至 POE 交換機，實現(xiàn)了無線集中控制。 考慮到網(wǎng)絡(luò)的兼容性和 高可用性，本次設(shè)計無線網(wǎng)絡(luò)采用第三代無線交換機（控制器）＋瘦 AP解決方案。整個廠區(qū)包括物流倉庫、月臺部署 8 個瘦 AP，生產(chǎn)線部署 4 個 瘦 AP， 2 樓辦公室部署 4個瘦 AP，一共 16 個瘦 AP 做全建筑的無線信號覆蓋，并統(tǒng)一集中管理。 AP 無線有效覆蓋半徑 30 米 XXXX 機房 規(guī)劃 建議書 24/ 37 50 米左右，設(shè)計圖 如下： AAA AAA 認(rèn)證服務(wù)器系統(tǒng)主要用于 驗證、授權(quán)和記賬。其主要目的是管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對正在使用網(wǎng)絡(luò)資源的用戶進行記賬。 主要用于帳號統(tǒng)一管理與認(rèn)證，并且可以審計外部用戶通過互聯(lián)網(wǎng) VPN 進行企業(yè)網(wǎng)絡(luò)操作。當(dāng)認(rèn)證用戶數(shù)量不多的情況下，可以考慮使用系統(tǒng)本地認(rèn)證的方式實現(xiàn)安全認(rèn)證，特點是成本低，工作量大。 本次設(shè)計中考慮 AAA 服務(wù)中采用外