【正文】 ，促進(jìn)高水平企業(yè)建設(shè)。5. 從而構(gòu)建安全、穩(wěn)定、高效、協(xié)調(diào)、整合的、信息資源豐富的、集成化的數(shù)字園區(qū)綜合信息服務(wù)平臺(tái)。為了更好地滿足用戶的需求，保證系統(tǒng)能正常穩(wěn)定運(yùn)行，在較長(zhǎng)的時(shí)間內(nèi)不落后，在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中，我們認(rèn)為應(yīng)當(dāng)把握以下幾個(gè)原則：穩(wěn)定性只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素，如網(wǎng)絡(luò)的設(shè)計(jì)，產(chǎn)品的可靠，而選擇一個(gè)具有運(yùn)營(yíng)此類網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商則更為重要。高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國(guó)際先進(jìn)水平。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。標(biāo)準(zhǔn)性和開(kāi)放性選擇統(tǒng)一性的網(wǎng)絡(luò)結(jié)構(gòu)與軟件硬件平臺(tái)，有利于系統(tǒng)的建立與開(kāi)發(fā)。為了實(shí)現(xiàn)與各種網(wǎng)絡(luò)互訪的要求，要選擇開(kāi)放的網(wǎng)絡(luò)體系結(jié)構(gòu)，既要選擇當(dāng)前的主流產(chǎn)品，又要具有開(kāi)放性，以利于今后的擴(kuò)充。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展，還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性：即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下，新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò)；網(wǎng)絡(luò)協(xié)議的易擴(kuò)展：無(wú)論是選擇第三層網(wǎng)絡(luò)路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應(yīng)注意其擴(kuò)展能力。經(jīng)濟(jì)性充分利用原有的軟件、硬件資源，減少投資浪費(fèi)，做到高性能價(jià)格比。由于規(guī)劃貴方網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。符合 IP 發(fā)展趨勢(shì)的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供服務(wù)的網(wǎng)絡(luò)中，對(duì) IP 的支持服務(wù)是最普遍的，而 IP技術(shù)本身又處在發(fā)展變化中，如 IpV6，IP QoS， IP Over SONET 等等新興的技術(shù)不斷出現(xiàn)，貴方網(wǎng)絡(luò)必須跟緊 IP 發(fā)展的步伐，也就是必須選擇處于 IP 發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。 園區(qū)網(wǎng) IPV6 部署和應(yīng)用設(shè)計(jì) 設(shè)計(jì)原則1) 保證現(xiàn)有 IPv4 應(yīng)用的正常應(yīng)用 現(xiàn)有 IPv4 網(wǎng)絡(luò)中的應(yīng)用已經(jīng)支持了大量的用戶，IPv6 網(wǎng)絡(luò)要對(duì)現(xiàn)有 IPv4應(yīng)用提供支持方案，不能對(duì)現(xiàn)有的業(yè)務(wù)造成影響，這種影響包括業(yè)務(wù)性能的影響、網(wǎng)絡(luò)可靠性的影響以及網(wǎng)絡(luò)安全性的影響等多方面。3) 最大限度地保護(hù)既有投資10 / 37在進(jìn)行 IPv6 網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，需要結(jié)合現(xiàn)有園區(qū)網(wǎng)的實(shí)際情況，考慮到現(xiàn)有網(wǎng)絡(luò)的既有投資，提出很好地保護(hù)既有投資的網(wǎng)絡(luò)解決方案。5) 網(wǎng)絡(luò)方案要能夠發(fā)揮 IPv6 的技術(shù)優(yōu)勢(shì) IPv6 技術(shù)的提出主要是為了解決 IP 地址空間不足的問(wèn)題，但也增加了一些其他功能，比如網(wǎng)絡(luò)安全性支持能力、網(wǎng)絡(luò)組播等。 6) 網(wǎng)絡(luò)方案設(shè)計(jì)要考慮周全 在設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)，一方面要考慮到 IPv4/v6 長(zhǎng)期共存，另一方面也要考慮到將來(lái)網(wǎng)絡(luò)全部采用 IPv6 的可能。 　7) 支持 IPv4 業(yè)務(wù)與 IPv6 業(yè)務(wù)的互通 網(wǎng)絡(luò)方案要實(shí)現(xiàn) IPv4 網(wǎng)元與 IPv6 網(wǎng)元的互聯(lián)，可以分別支持 IPv4 業(yè)務(wù)和IPv6 業(yè)務(wù)，同時(shí)要考慮將來(lái)能夠支持 IPv4 業(yè)務(wù)與 IPv6 業(yè)務(wù)的業(yè)務(wù)層面的互通。 設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)實(shí)現(xiàn) IPv4 網(wǎng)與 IPv6 網(wǎng)的互聯(lián)，可以分別支持 IPv4 業(yè)務(wù)和 IPv6 業(yè)務(wù)，在企業(yè)內(nèi)可以實(shí)現(xiàn) IPV6 的基礎(chǔ)應(yīng)用和高級(jí)應(yīng)用，使 XX 企業(yè)在 IPV6 的教學(xué)科研和應(yīng)用上保持學(xué)術(shù)和技術(shù)應(yīng)用的先進(jìn)性。門戶對(duì)園區(qū)網(wǎng)內(nèi)的信息和應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的管理和整合，集中控制用戶對(duì)信息和應(yīng)用系統(tǒng)的訪問(wèn)，為用戶提供統(tǒng)一的訪問(wèn)入口。隨著 IPv6時(shí)代的來(lái)臨，各種信息化、網(wǎng)絡(luò)化設(shè)備的廣泛應(yīng)用，也充分的使用戶享受到信息整合的個(gè)性化應(yīng)用服務(wù)。同時(shí)，門戶提供的不僅是各種資源的集合，還要根據(jù)用戶的需求對(duì)資源進(jìn)行整合，包括將獨(dú)立的應(yīng)用系統(tǒng)進(jìn)行應(yīng)用層次上的松散集成，以服務(wù)的形式提供給用戶使用；將分布的信息進(jìn)行分類、編目，以索引方式提供給用戶訪問(wèn)；另外，用戶可以通過(guò)各種 IPv6 終端訪問(wèn)門戶系統(tǒng)，以進(jìn)行信息資源的查詢和管理。統(tǒng)一訪問(wèn)入口應(yīng)用后，需要將安全訪問(wèn)控制集中在門戶中進(jìn)行，由門戶統(tǒng)一控制用戶對(duì)資源的訪問(wèn)。? 個(gè)性化的訪問(wèn)環(huán)境門戶系統(tǒng)改變了原有應(yīng)用系統(tǒng)的服務(wù)模式。門戶提供的是面向人的服務(wù)模式。個(gè)性化的訪問(wèn)環(huán)境包括個(gè)性化的界面和個(gè)性化的資源整合。通過(guò) C/S 或B/S 模式的公共視頻直播系統(tǒng)，可以實(shí)現(xiàn)用戶自主進(jìn)行視頻直播，不要需專業(yè)人員的維護(hù)，只需要用戶通過(guò)瀏覽器或客戶端登錄專用的公共視頻直播服務(wù)器，通過(guò)門戶系統(tǒng)進(jìn)行身份確認(rèn)和授權(quán)，用戶可以很方便的利用該系統(tǒng)，將自己現(xiàn)場(chǎng)活動(dòng)和各種文檔在網(wǎng)上進(jìn)行直播。通過(guò)模擬或數(shù)字的視頻攝像設(shè)備，獲取實(shí)時(shí)的視頻數(shù)據(jù)，并將視頻數(shù)據(jù)通過(guò)直播機(jī)的視頻采集卡進(jìn)行采集，通過(guò)直播機(jī)進(jìn)行視頻的實(shí)時(shí)處理和壓縮，并將壓縮后數(shù)據(jù)通過(guò)視頻直播服務(wù)器發(fā)送到 IPv6 網(wǎng)絡(luò)中，供用戶實(shí)時(shí)在線觀看。視頻數(shù)據(jù)的分發(fā)為了滿足未來(lái)對(duì)視頻直播服務(wù)的需要，視頻服務(wù)可采用基于 P2P 的模式進(jìn)行視頻數(shù)據(jù)的分發(fā)和傳送，為用戶提供更優(yōu)質(zhì)的視頻服務(wù)。在園區(qū)網(wǎng)內(nèi)部，所有的視頻接收端也是視頻的服務(wù)端，所有用戶對(duì)等的享有由視頻服務(wù)器分發(fā)的視頻數(shù)據(jù)。極大的提高了視頻直播的服務(wù)質(zhì)量。對(duì)于有多個(gè)園區(qū)互聯(lián)的 XX 企業(yè)，對(duì)視頻直播服務(wù)提出了更高的要求，需要能夠?yàn)槎鄨@區(qū)的視頻直播用戶提供高質(zhì)量的視頻直播服務(wù)。通過(guò)應(yīng)用層組播技術(shù)的引入，由用戶端系統(tǒng)來(lái)13 / 37實(shí)現(xiàn)組播轉(zhuǎn)發(fā)的功能，不僅有效地減低了服務(wù)器的性能消耗，同時(shí)可以有效地降低服務(wù)器負(fù)載和帶寬的使用。高清視頻會(huì)議應(yīng)用? 高清視頻會(huì)議系統(tǒng)高清視頻會(huì)議系統(tǒng)與高清電視不同，高清電視是單向廣播的，而高清視頻會(huì)議則是雙向、互動(dòng)、實(shí)時(shí)的傳輸過(guò)程。利用高速的下一代互聯(lián)網(wǎng)實(shí)現(xiàn)高清視頻會(huì)議，是 IPv6 園區(qū)網(wǎng)的一個(gè)亮點(diǎn)應(yīng)用。目前高清視頻會(huì)議系統(tǒng)普遍采用硬件方式予以實(shí)現(xiàn)。? 超高清遠(yuǎn)程視頻傳輸系統(tǒng)目前有些企業(yè)已和國(guó)外大企業(yè)積極合作，開(kāi)展基于國(guó)際專線的超級(jí)高清視頻信號(hào)傳輸。 IPv6 網(wǎng)格技術(shù)IPv6 網(wǎng)格是繼傳統(tǒng)因特網(wǎng)、Web 之后，信息革命的第三大浪潮，可稱之為第三代因特網(wǎng)。IPv6 網(wǎng)格因此被看成是未來(lái)的互聯(lián)網(wǎng)技術(shù)。 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)考慮到貴企業(yè)此次實(shí)施為新園區(qū)的網(wǎng)絡(luò)建造，根據(jù)貴方要求，我們?cè)O(shè)計(jì)貴園區(qū)網(wǎng)絡(luò)核心交換機(jī)放置在核心機(jī)房。結(jié)合園區(qū)信息中心要求及相關(guān)規(guī)范技術(shù)文件，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)建設(shè)成為主干最高可達(dá) 10000Mbps，1000Mbps 速度到用戶桌面的高速網(wǎng)絡(luò)。各區(qū)域和核心之間均采用萬(wàn)兆光纜連接。每個(gè)區(qū)域內(nèi)至少都部署一臺(tái)匯聚交換機(jī)用于本區(qū)域內(nèi)點(diǎn)位匯聚。周界安防監(jiān)控采用 IP 監(jiān)控設(shè)備，數(shù)據(jù)傳輸采取就近引線。所以園區(qū)網(wǎng)的安全建設(shè)需要全面考慮、系統(tǒng)規(guī)劃。如CPU 的硬件保護(hù)，設(shè)備防 DOS 攻擊等功能。? 無(wú)法保證用戶終端合法性Windows 系統(tǒng)補(bǔ)丁未更新，系統(tǒng)存在致命漏洞；沒(méi)有按規(guī)定安裝殺毒軟件及防火墻，成為病毒和木馬的溫床；隨意安裝違禁軟件，不規(guī)范使用網(wǎng)絡(luò)；上述問(wèn)題造成了病毒和攻擊在園區(qū)網(wǎng)內(nèi)的泛濫，影響正常應(yīng)用的開(kāi)展。安全網(wǎng)絡(luò)設(shè)計(jì)原則根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照 SSECMM(系統(tǒng)安全工程能力成熟模型)和 ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過(guò)程中應(yīng)遵循以下9 項(xiàng)原則： 1) 網(wǎng)絡(luò)信息安全的木桶原則 網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。因此，充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析，評(píng)估和檢測(cè)（包括模擬攻擊）是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。 2) 網(wǎng)絡(luò)信息安全的整體性原則 要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)網(wǎng)絡(luò)中心的服務(wù)，減少損失。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。 4) 標(biāo)準(zhǔn)化與一致性原則 系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度分級(jí)，對(duì)用戶操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域） ，對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等） ，從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。 9) 易操作性原則 首先，安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。安全網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)為了維護(hù)網(wǎng)絡(luò)安全和用戶自身利益的考慮，在全網(wǎng)部署安全防護(hù)體系。從而確保企業(yè)內(nèi)網(wǎng)絡(luò)的安全、穩(wěn)定、可靠。2) 確保網(wǎng)絡(luò)數(shù)據(jù)流安全安全系統(tǒng)在園區(qū)網(wǎng)內(nèi)建立起網(wǎng)絡(luò)通信防護(hù)體系，對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)控，偵測(cè)并隔離危險(xiǎn)網(wǎng)絡(luò)行為。3) 確保用戶身份安全建立成熟可靠的網(wǎng)絡(luò)身份管理體系，確保入網(wǎng)用戶身份的合法有效，將非法用戶隔離在內(nèi)網(wǎng)大門之外。只有當(dāng)用戶提供了合法有效的身份信息之后，才能允許正常接入并使用網(wǎng)絡(luò)。安全系統(tǒng)能夠通過(guò)和多家殺毒軟件的聯(lián)動(dòng)，強(qiáng)制入網(wǎng)用戶必須正常安裝、運(yùn)行指定的殺毒軟件。保護(hù)園區(qū)網(wǎng)內(nèi)用戶終端的安全。6) 確保 web 服務(wù)的安全19 / 37企業(yè)的 WEB 應(yīng)用相當(dāng)豐富，對(duì)于對(duì)外宣傳的 WEB 網(wǎng)站則需要進(jìn)行精心防護(hù)，防止篡改網(wǎng)頁(yè)并造成不良的公示效應(yīng)。使之可以全面衡量園區(qū)網(wǎng)安全建設(shè)的情況，保證了園區(qū)網(wǎng)的安全建設(shè)有體系、有步驟的完成。技術(shù)要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)方面提出；管理要求從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理幾個(gè)方面提出，技術(shù)要求和管理要求是確保信息系統(tǒng)安全不可分割的兩個(gè)部分。本方案包含網(wǎng)絡(luò)設(shè)備和架構(gòu)安全、主機(jī)安全、應(yīng)用安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全。20 / 37CPP 功能早期只是作為某些單一功能出現(xiàn)的，如 ARP check，IP sys guard，這一種 CPP 主要是反攻擊的。CPP 的第三種應(yīng)用是對(duì)各種報(bào)文的帶寬限制，這種方式主要根據(jù)具體的網(wǎng)絡(luò)應(yīng)用環(huán)境確定各類報(bào)文的帶寬限制，以及 CPU 可以處理的最高總帶寬限制。從而為用戶提供一個(gè)穩(wěn)定的網(wǎng)絡(luò)環(huán)境。但實(shí)現(xiàn)得不夠系統(tǒng)，基本是針對(duì)一個(gè)問(wèn)題解決一個(gè)問(wèn)題，在體系上沒(méi)有統(tǒng)一的框架。為了在這個(gè)日益重視安全性的環(huán)境中應(yīng)對(duì)日益復(fù)雜的攻擊，銳捷網(wǎng)絡(luò)開(kāi)發(fā)出一套完整的網(wǎng)絡(luò)基礎(chǔ)保護(hù)體系，稱之為21 / 37基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略(Network Foundation Protection Policy)，簡(jiǎn)稱NFPP。針對(duì)交換機(jī)設(shè)備而言，數(shù)據(jù)的路由和交換過(guò)程主要由硬件來(lái)完成，而 CPU 主要對(duì)控制流、管理流和部分交換芯片無(wú)法處理的數(shù)據(jù)流進(jìn)行處理，并同時(shí)提供交互界面供用戶進(jìn)行本地管理配置。NFPP 接受報(bào)文的端口或者發(fā)送到 CPU 通過(guò)對(duì)送往 CPU 的報(bào)文進(jìn)行攻擊檢測(cè)，的場(chǎng)景進(jìn)行安全檢測(cè)，采取相應(yīng)保護(hù)措施，從而達(dá)到對(duì)管理面、數(shù)據(jù)面和控制面的保護(hù)作用。? 配置靈活方便NFPP 的用戶界面 CLI 命令設(shè)計(jì)簡(jiǎn)單方便，這樣使用戶無(wú)需對(duì)相關(guān)專業(yè)知識(shí)有很深認(rèn)識(shí)的情況下，也能完成配置。同時(shí)，用戶可以根據(jù)實(shí)際需要選擇相應(yīng)功能，即可以選擇打開(kāi) ARP 防攻擊功能而關(guān)閉 ICMP 防攻擊功能。一旦有異常流量，安全管理平臺(tái)就立即協(xié)助網(wǎng)絡(luò)管理者發(fā)現(xiàn)網(wǎng)絡(luò)中的非法數(shù)據(jù)源，并由網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)整網(wǎng)下發(fā) NFPP 安全策略，最終杜絕攻擊保證全網(wǎng)安全。設(shè)置為特22 / 37權(quán)用戶后，就不會(huì)對(duì)該用戶進(jìn)行監(jiān)控，即該用戶不會(huì)被限速，更不會(huì)被隔離。因此 NFPP 涵蓋了設(shè)備硬件級(jí)別的各種安全措施；作為園區(qū)網(wǎng)安全建設(shè)的第一道防護(hù)線，可以隔絕大多數(shù)的安全隱患。 遠(yuǎn)程接入安全針對(duì)企業(yè)外需要訪問(wèn)企業(yè)內(nèi)資源的差旅人員，本方案設(shè)計(jì)了使用專用千兆VPN 網(wǎng)關(guān)進(jìn)行提供園區(qū)辦公人員的企業(yè)外訪問(wèn)。VPN 技術(shù)上可以選擇 SSL VPN、IPSEC VPN 方式，同時(shí) VP