【正文】 量避免采用復雜的掩碼方式216。IP地址規(guī)劃的原則216。終端用戶何時訪問了某網(wǎng)站、何時訪問了某網(wǎng)頁、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過日志審計得出結(jié)果。通過NetStream日志的分析，可以使網(wǎng)絡管理員深入地了解當前數(shù)據(jù)網(wǎng)絡中的報文所包含的各種有價值的信息，可以實現(xiàn)網(wǎng)絡監(jiān)控、應用監(jiān)控、用戶監(jiān)控等功能，并為網(wǎng)絡規(guī)劃提供重要參考。 ：開始時間、結(jié)束時間、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型（目前區(qū)分TCP、UDP和ICMP三種協(xié)議）、輸入包個數(shù)、輸出包個數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；：開始時間、結(jié)束時間、源IP地址、目的IP地址、目的端口號、摘要信息（目前支持HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議報文）。其中包含數(shù)據(jù)報文的流量信息和協(xié)議類型信息，包含數(shù)據(jù)報文的摘要信息。：探針型采集器直接從交換機的鏡像端口采集用戶的上網(wǎng)信息，對用戶訪問外部網(wǎng)絡的流進行分類統(tǒng)計，并生成探針（DIG）日志記錄。針對不同的日志類型，管理員可以獲得不同的用戶行為審計信息：：包括經(jīng)過NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問的目的IP、目的端口、協(xié)議號、開始時間、結(jié)束時間等關(guān)鍵信息。同時用戶行為審計系統(tǒng)采用分布式的體系結(jié)構(gòu)，支持多點采集，可以同時采集多個設(shè)備的日志信息，為網(wǎng)絡管理員監(jiān)控網(wǎng)絡提供了靈活有效的支持。記錄認證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無法接入、異常斷線等問題。管理員可以實時監(jiān)控在線用戶，強制非法用戶下線?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳耍娭谱詣由?，確保認證客戶端的安全性?？梢韵拗朴脩舻慕尤霑r段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)?？梢詫崿F(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務器和外部非法網(wǎng)站的訪問（）。嚴格的用戶權(quán)限控制基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡訪問權(quán)限。支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。 支持PAP、CHAP、EAPMDEAPTLS、PEAP等多種身份驗證方式，適應不同安全要求的應用場景。提供了一種低價格、高可靠、高性能的網(wǎng)絡安全和用戶管理解決方案，能夠滿足各種規(guī)模網(wǎng)絡的用戶管理、身份認證、權(quán)限控制的要求?？晒芾硭兄С謽藴蔛NMP網(wǎng)管協(xié)議的網(wǎng)絡設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡提供了統(tǒng)一的管理方式。設(shè)備管理提供設(shè)備管理功能，通過面板圖片，直觀地反映了設(shè)備運行情況。配置管理60%的設(shè)備故障是因為網(wǎng)絡誤配置造成的。 網(wǎng)絡監(jiān)視網(wǎng)管系統(tǒng)提供了豐富的性能管理功能，幫助用戶主動監(jiān)視網(wǎng)絡的狀況，及時發(fā)現(xiàn)網(wǎng)絡潛在的隱患。支持告警過濾，用戶能夠按照告警級別、告警源、關(guān)鍵詞等過濾條件迅速聚焦到 “真正有價值的告警”；可以靈活定義告警級別，以符合客戶網(wǎng)絡的實際狀況；提供常見問題的修復建議。自動發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)；支持全網(wǎng)設(shè)備的統(tǒng)一拓撲視圖； 可以靈活裁減拓撲視圖，聚焦網(wǎng)絡的關(guān)鍵區(qū)域；可以靈活選擇設(shè)備、背景圖標，構(gòu)建逼近真實網(wǎng)絡的拓撲；可以直接點擊拓撲視圖節(jié)點，快速查看設(shè)備面板；拓撲節(jié)點顏色能夠直觀反映網(wǎng)絡、設(shè)備狀態(tài)；可以靈活定制對設(shè)備狀態(tài)的輪詢間隔； 故障管理網(wǎng)絡故障管理功能為用戶及時發(fā)現(xiàn)問題、深入分析問題、快速解決問題提供了全流程的支持。 網(wǎng)絡拓撲管理網(wǎng)絡管理軟件可以通過拓撲發(fā)現(xiàn)功能，幫助客戶迅速發(fā)現(xiàn)網(wǎng)絡資源。 網(wǎng)絡管理、接入認證、日志審計系統(tǒng)設(shè)計針對太重這種大型的網(wǎng)絡系統(tǒng)，網(wǎng)絡的運維管理變得非常重要，需要采用必要的手段進行能夠網(wǎng)絡的集中監(jiān)控和管理，實現(xiàn)不同廠商產(chǎn)品的統(tǒng)一監(jiān)控和管理，需要采用一個網(wǎng)絡管理平臺；同時為了更好的控制網(wǎng)絡資源訪問權(quán)限，監(jiān)控網(wǎng)上行為，記錄外網(wǎng)訪問記錄、作為事后審計依據(jù)，需要增加以下幾個部分：網(wǎng)絡管理軟件系統(tǒng)接入審計系統(tǒng)日志審計系統(tǒng) 網(wǎng)絡管理系統(tǒng)應該包括以下功能： 網(wǎng)絡管理系統(tǒng)應采用分布式、組件化、跨平臺的開放體系結(jié)構(gòu)，用戶通過選擇安裝不同的業(yè)務組件，可以實現(xiàn)設(shè)備管理、拓撲管理、告警管理、性能管理、配置管理等多種管理功能。 入侵防御系統(tǒng)：配置入侵防御系統(tǒng)，提供4個100M端口，具備1G吞吐量，滿足當前接入帶寬。支持RIP、OSPF、BGP、ISIS等多種路由協(xié)議支持多種網(wǎng)絡接口支持IPV6防火墻：使用原有Juniper防火墻，劃分DMZ區(qū)域，通過原有華為5000千兆交換機，連接門戶服務器及EMAIL服務器等。高性能：，滿足未來千兆線路的全線速轉(zhuǎn)發(fā)。我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來構(gòu)建對外訪問區(qū)。 互聯(lián)網(wǎng)接入設(shè)計對外訪問區(qū)負責全網(wǎng)對INTERNET的訪問，同時承載太重門戶網(wǎng)站的對外發(fā)布和EMAIL系統(tǒng)。完全滿足1G以上的設(shè)備要求，無任何瓶頸。安全控制策略：防火墻設(shè)置為默認拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒有明確的規(guī)則允許通過，全部拒絕以保證安全；在兩臺防火墻上設(shè)定嚴格的訪問控制規(guī)則，配置只有規(guī)則允許用戶能夠訪問數(shù)據(jù)中心中的指定的資源，嚴格限制網(wǎng)絡用戶對數(shù)據(jù)中心服務器的資源，以避免網(wǎng)絡用戶可能會對數(shù)據(jù)中心的攻擊、非授權(quán)訪問以及病毒的傳播，保護數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能、Tracert報文控制功能、帶路由記錄選項IP報文控制功能等，全面防范各種網(wǎng)絡層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對能夠識別MAC地址的主機進行鏈路層控制，實現(xiàn)只有IP/MAC匹配的用戶才能訪問數(shù)據(jù)中心的服務器。除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署我們同時考慮兩個關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務器，是整個網(wǎng)絡的數(shù)據(jù)流量的匯集點，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；可靠性：所有數(shù)據(jù)服務器都部署在數(shù)據(jù)中心，這些服務器是企業(yè)運行的關(guān)鍵支撐，必須要嚴格的保證這些服務器可靠性與可用性，因此，部署防火墻以后，不對網(wǎng)絡傳輸?shù)目煽啃栽斐捎绊懀荒苄纬蓡吸c故障。作為一個單獨的區(qū)域來建設(shè)，結(jié)合招標文件，我們采用“防火墻+IPS+服務器交換機”的建設(shè)思路，全部采用雙千兆設(shè)備，全千兆連接的方式，保證給數(shù)據(jù)中心最強大的安全保障能力和數(shù)據(jù)吞吐量。，可通過此功能實現(xiàn)對終端接入的控制。建議選用的三層接入交換機，具備如下優(yōu)勢：支持堆疊，至此對堆疊組虛擬管理，完全可看作一個設(shè)備，使可管理性大幅度提高。 引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計，支持多操作系統(tǒng)、多配置文件，保證可靠性； 全面支持分布式IP/MPLS VPN業(yè)務轉(zhuǎn)發(fā)，保證高性能； SERVER可以作為接入認證服務器的備份系統(tǒng)；硬件支持IPv6，支持10G RPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；匯聚交換機：匯聚層在骨干網(wǎng)絡中起到承上啟下的作用，應具備可靠性、高性能和多業(yè)務兼顧的特點。核心交換機：作為全網(wǎng)數(shù)據(jù)和業(yè)務的核心，網(wǎng)絡上所有業(yè)務的數(shù)據(jù)流都要經(jīng)過核心交換機進行交換，因此它的安全性、可靠性和高性能對于全網(wǎng)數(shù)據(jù)和業(yè)務應用的正常開展至關(guān)重要。 核心網(wǎng)絡設(shè)計根據(jù)招標文件結(jié)合用戶實際需求，本次采用“雙核心”、“雙歸屬”的方式，構(gòu)建核心匯聚骨干網(wǎng)絡，匯聚接入千兆連接。各匯聚點至接入層交換機，可根據(jù)各匯聚區(qū)域的具體情況和實際距離，通過千兆光/電接口靈活連接。總體結(jié)構(gòu)圖： 傳輸信道設(shè)計 采用現(xiàn)有光纜資源，以網(wǎng)絡中心輻射至各匯聚點。在整個網(wǎng)絡環(huán)境中，匯聚層主要提供如下功能：部門和工作組的接入和匯聚，VLAN的路由，MPLS VPN的封裝，實現(xiàn)MPLS VPN對多種業(yè)務的安全隔離和帶寬保障，安全控制等。匯聚層：每個匯聚節(jié)點的匯聚交換機通過2個1000M光口與集團公司數(shù)據(jù)中心的2臺核心交換機相聯(lián)，構(gòu)成雙核心，雙歸屬的骨干網(wǎng)絡。核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點與核心節(jié)點之間高速通信的需要。全網(wǎng)分為兩部分：骨干網(wǎng)絡和網(wǎng)絡中心。對于基于同一傳輸網(wǎng)絡之上的多個不同部門、應用系統(tǒng)之間的業(yè)務和數(shù)據(jù)隔離，我們設(shè)計采用MPLS VPN技術(shù)實現(xiàn)網(wǎng)絡橫向業(yè)務部門的隔離和縱向應用系統(tǒng)的互通，所采用的傳輸及網(wǎng)絡設(shè)備以及整體網(wǎng)絡構(gòu)架都具有良好性能、高可靠和可擴展性，充分保護用戶投資。網(wǎng)絡安全管理軟件部署存儲系統(tǒng)建設(shè)： 存儲系統(tǒng)建設(shè)。調(diào)整網(wǎng)絡結(jié)構(gòu)，由原來的多級代理改為直接連接，保證了C/S應用的訪實現(xiàn)與原有網(wǎng)絡設(shè)備的連接。在Internet入口處部署防火墻（原有NS25）、入侵防御系統(tǒng)，保證網(wǎng)絡邊界安全，構(gòu)建DMZ區(qū)域，部署交換機（原有的華為S5000交換機）實現(xiàn)對外的信息發(fā)布。在Internet的出口處部署路由器，實現(xiàn)到Internet的連接。 在重工、起重機公司、輪軸公司、油膜輪軸公司部署匯聚交換機，通過千兆光纖實現(xiàn)實現(xiàn)到兩臺核心交換機的冗余連接。 網(wǎng)絡建設(shè)的主要內(nèi)容有； 核心網(wǎng)絡系統(tǒng)建設(shè)，通過雙核心交換機實現(xiàn)核心的高性能和高可靠性。成功應用針對ERP系統(tǒng)這種關(guān)鍵業(yè)務應用，所選擇的設(shè)備必須要經(jīng)過長時間的成功應應用檢驗，具有非常高的市場占有率。先進性和成熟性網(wǎng)絡設(shè)備采用先進的技術(shù)和制造工藝，對于路由協(xié)議支持、數(shù)據(jù)流量分配，抵御網(wǎng)絡攻擊、高性能方面保持技術(shù)領(lǐng)先，網(wǎng)絡結(jié)構(gòu)和路由協(xié)議采用成熟的、普遍應用的并被證明是可靠的結(jié)構(gòu)模型和技術(shù)。支持故障自動報警?？蓴U展性根據(jù)未來業(yè)務的增長和變化，系統(tǒng)可平滑擴充和升級，避免在系統(tǒng)擴展時對網(wǎng)絡架構(gòu)的大幅度調(diào)整。 建設(shè)網(wǎng)絡安全管理系統(tǒng)，實現(xiàn)對設(shè)備、人員、網(wǎng)絡行為、終端設(shè)備的安全管理。第3章 網(wǎng)絡建設(shè)目標、原則 網(wǎng)絡建設(shè)的目標 本次物流公司網(wǎng)絡建設(shè)的主要目標為： 建設(shè)覆蓋本次應用軟件系統(tǒng)所涉及的所有單位和用戶，利用千兆以太網(wǎng)技術(shù)構(gòu)建高性能、高可靠性、安全、可管理的網(wǎng)絡平臺。采取安全措施，實現(xiàn)網(wǎng)上行為的審計，進行事中、事后分析。 采用安全措施，加強對核心服務器系統(tǒng)的保護。 網(wǎng)絡安全系統(tǒng)需求信息化網(wǎng)絡建設(shè)，涉及與Internet的連接，涉及到與多個下屬部分單位的連接。因而，對作為企業(yè)信息化建設(shè)支撐平臺的數(shù)據(jù)存儲系統(tǒng)，提出了以下的要求：容量可在線的擴展，能夠適應未來數(shù)據(jù)快速膨脹的需求；性能可同步的增加，能夠支持更多的應用系統(tǒng)對更多的數(shù)據(jù)進行處理；功能可靈活的升級，包括未來對企業(yè)園區(qū)里多個信息中心建設(shè)的支持、數(shù)據(jù)的園區(qū)網(wǎng)內(nèi)充分共享、重要數(shù)據(jù)的異地容災系統(tǒng)建設(shè)。從而充分避免了硬件故障、軟件錯誤、人為誤操作、病毒侵襲、惡意攻擊等對信息系統(tǒng)的危害，保護企業(yè)穩(wěn)定運作。 一個有效的解決辦法：利用數(shù)據(jù)存儲平臺可回退到任一時間點的特性，使軟件、數(shù)據(jù)可迅速恢復到故障發(fā)生之前的時刻，避開不穩(wěn)定的因素，保持繼續(xù)運行，同時快速調(diào)配相關(guān)資源進行攻關(guān)，解決系統(tǒng)隱患。實施工作組在系統(tǒng)開發(fā)、測試的過程中，必然涉及大量的文件、數(shù)據(jù)、軟件、資料等信息共享和傳播的過程，要求數(shù)據(jù)存儲平臺能夠提供一個資料信息集中共享的場所，并能夠為不同的角色定義不同的控制權(quán)限，一方面提高實施效率，另一方面也保證資料數(shù)據(jù)的安全。而開發(fā)/測試系統(tǒng)和培訓系統(tǒng)的配置以滿足需求，經(jīng)濟實用為原則，本次需配置2臺相同機型的開發(fā)/測試系統(tǒng)和培訓系統(tǒng)服務器，最大用戶數(shù)為50人，使用模塊與生產(chǎn)系統(tǒng)相同。隨著ERP系統(tǒng)的上線運行，太重的主要業(yè)務完全依賴該系統(tǒng)，必須保證系統(tǒng)7*24小時連續(xù)運行。數(shù)據(jù)庫服務器和應用服務器分開配置，提高性能。因此，作為數(shù)據(jù)庫服務器的機型應具備較高的可擴充性，單機性能至少應能滿足3年內(nèi)的擴展要求。 數(shù)據(jù)庫服務器負責進行數(shù)據(jù)的處理，而應用服務器負責與前端客戶機的聯(lián)系，接受處理請求并進行相應處理。所有服務器都要具有很好的擴展能力，保證未來的35年內(nèi)的性能擴展。為了保證生產(chǎn)系統(tǒng)的穩(wěn)定，所有的軟件必須要在測試環(huán)境中經(jīng)過驗證后，才可以上線運行，需要準備一套開發(fā)測試以及內(nèi)部培訓的環(huán)境。 ERP系統(tǒng)對于主機運行平臺的需求： ERP項目牽涉到的單位多，訪問用戶量大，訪問頻繁。 服務器系統(tǒng)需求 ERP服務器設(shè)計的范圍包括太重集團ERP項目的所有模塊，即Oracle eBusiness Suite R11i 。 為了保證網(wǎng)絡的運維管理，所有網(wǎng)絡設(shè)備必須支持網(wǎng)絡管理，實現(xiàn)對端口級別的管理和控制。 ERP應用有大量的數(shù)據(jù)在網(wǎng)絡進行傳輸，并且在特定的階段有傳輸高峰的出現(xiàn)，對網(wǎng)絡帶寬提出了很高的要求。 現(xiàn)有網(wǎng)絡設(shè)備性能過低，基本不具備安全控制功能，無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡平臺的要求。備份及容災實現(xiàn)為保證數(shù)據(jù)的完整需要進行數(shù)據(jù)的安全保存和快速恢復，在業(yè)務高峰時，需要同時兼顧業(yè)務處理和數(shù)據(jù)備份，對存儲設(shè)備和備份系統(tǒng)提出較高的要求。容災系統(tǒng)：建議目前采用數(shù)據(jù)級的容災，實現(xiàn)數(shù)據(jù)的高可靠性。主機配置：內(nèi)存容錯、硬盤RAID技術(shù)、網(wǎng)卡（HBA卡）冗余、冗余風扇電源網(wǎng)絡設(shè)備：背板冗余、電源冗余、VRRP實現(xiàn)交換機之間冗余網(wǎng)絡線路：多條線路之間的負載均衡、故障切換網(wǎng)絡協(xié)議、路由協(xié)議：采用主流技術(shù)，實現(xiàn)故障自動切換。實現(xiàn)人員上網(wǎng)的自動化管理控制。針對標段二中的設(shè)備和軟件，系統(tǒng)地具體需求為： 針對本次項目建設(shè)的特點，系統(tǒng)需要保證業(yè)務7*24小時的連續(xù)性，可用性?，F(xiàn)有網(wǎng)絡設(shè)備性能過低，基本不具備安全控制功能，無法滿足企業(yè)大規(guī)模ERP的部署和企業(yè)未來幾年信息化對網(wǎng)絡平臺的要求。此外，從國際經(jīng)驗來看，轉(zhuǎn)口貿(mào)易是從國際自由貿(mào)易區(qū)設(shè)立和發(fā)展中受益最大的一種貿(mào)易活動，也是國際自由貿(mào)易