1、XXXXXX 项 目网络改造设计方案2011 年 4 月 13 日文档更新记录版本号 更新时间 撰写 /修订 审 核 修 改 说 明1.0 2011-04-13 XXX 初始版本目录1. 用户系统现状 11.1 原网络拓扑结构 .11.2 原网络分析 .12. 系统建设需求 22.1 网络要求 .22.2 设备要求 .23. 解决方案 33.1 网络系统改造设计 .33.2 改造后网络拓扑结构 .54. 设备选型 64.1 设备清单一览表 .64.2 设备产品资料 .64.2.1 Quidway S5300 系列全千兆运营级交换机产品说明 64.2.2 天融信入侵防御系统 TopIDP 产品说
2、明 114.3.3 天融信防火墙系统 TopGuard-NGFW4000 系列产品说明 .14广州市协作办网络改造设计方案广东宏景科技有限公司 11. 用户系统现状1.1 原网络拓扑结构1.2 原网络分析现有网络拓扑结构相对简单,直接从政务外网接入核心交换机,无法保障内网安全;核心采用了非网管交换机,对网络的管理造成不便;接入采用百兆交换机,无法满足高速发展的网络时代带来的巨大信息量的传输;三楼只接入了一台 8 口交换机,无法满足 20 个信息点的接入。广州市协作办网络改造设计方案广东宏景科技有限公司 22. 系统建设需求2.1 网络要求为各类应用系统提供方便、快捷的信息通路;具有良好的性能,
3、能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足信息安全的要求,未来升级扩展容易。 整个网络系统采用千兆以太网 1000M 交换,网络协议采用 TCP/IP 协议,交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机支持 VLAN等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象,还要考虑预防瓶颈出现和补救的相应措施。2.2 设备要求根据网络功能需求情况,楼层接入设备需要选择同一型号的设备;网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应
4、该满足现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。广州市协作办网络改造设计方案广东宏景科技有限公司 33. 解决方案3.1 网络系统改造设计针对原网络的不足及用户需求,现对原网络设计方案进行升级改造,改造后网络系统采用二层结构:核心部分核心采用了一台三层可管理交换机(华为 5328C-EI-24S),该交换机具有 24个 100/1000Base-X,4 个 10/100/1000Base-T 千兆 Combo 口,解决
5、了网络管理不便的问题并支持未来子网的扩展,转发性能 96M,端口交换容量 128G,板交换容量达到了 256G,保证了巨大信息量的可靠传输及交换。接入部分整个网络系统共有 110 个信息点,四楼使用两台华为 5352C-SI 千兆交换机直接接入核心交换机,该交换机具有 48 个 10/100/1000Base-T 端口,满足用户终端 90 个信息点接入需求的同时也保证了各个信息点数据的高速传输,三楼将原来的 8 口交换机改为 24 口交换机(华为 5328C-SI) ,也保证了剩下 20 个信息点的接入,解决了原来三楼接入端口不足的问题。由于整个网络系统结构比较简单,传输距离较短,所有交换机具
6、有1000base-T 端口,所以可采用超 5 类或 6 类双绞线连接整个网络,以节约网络系统改造成本。安全方面,在政务外网与核心交换机之间接入防火墙(天融信 NGFW4000 系列的 TG-4514)及入侵防御系统(天融信 TopIDP2000 系列的 TI-2230-IDP) ,该防火墙集成了多种安全引擎,不但有内置的攻击检测能力,还可以和 IPS 产品实现联动。这不仅提高了安全性,还保证了高性能,是国内安全功能最丰富的防火墙产品。入侵防御系统 TI-2230-IDP 可分析网络攻击的组合行为特征来准确识别各种攻击,可以智能地识别出多种攻击隐藏手段及变种攻击。通过智能化检测引擎,能够识别出
7、多种高危网络行为,并可以将此类行为以告警方式通知管理员,达到防患于未然的目的。同时具有强大的木马检测与识别能力,完善的应用攻击检测与防护能力,丰富的网络应用控制能力和及时的应急响应能广州市协作办网络改造设计方案广东宏景科技有限公司 4力,使得内网安全性大大提高。而且,两者都具有硬件 Bypass 功能,即使安全设备出现故障,也不影响整个网络的连通性。改造后网络结构不仅满足用户现有需求,同时对未来网络结构做好扩展准备。改造后的网络系统具有如下特性:1.先进性:系统具有高速传输的能力。系统传输速率达到 1000Mb/s, 同时具有较高的带宽,满足现在和未来数据信息传输的需求; 2.灵活性:系统具有
8、较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接; 3.实用性:系统具有低成本、使用方便、简单、易扩展的特点。4.安全性:在核心机与政务外网间接入防火墙和入侵防御系统,大大提高了整个网络系统的安全性。 广州市协作办网络改造设计方案广东宏景科技有限公司 53.2 改造后网络拓扑结构广州市协作办网络改造设计方案广东宏景科技有限公司 64. 设备选型4.1 设备清单一览表楼层 设备类型 名称 数量 设备配置信息华为 5328C-EI-24S 1端口描述:24 个 100/1000Base-X,4 个10/100/1000Base-T 千兆 Combo 口;转发性能96M
9、,端口交换容量 128G,板交换容量 256G;交换机华为 5352C-SI 2端口描述:48 个 10/100/1000Base-T,上行支持 210GE XFP、41000Base-X SFP、210GE SFP或者 410GE SFP插卡,双电源,可插拔;转发性能 132M,端口交换容量 176G,板交换容量 256G;IPS TopIDP2000 TI-2230-IDP 11U 机架式结构;最大配置为 26 个接口,默认包括 2 个可插拔的扩展槽和 10 个 10/100/1000BASE-T 接口,(作为 HA 口和管理口);默认含 1 年特征库升级吞吐量2.6G;最大并发连接数60
10、W;IPS 性能600M;具有硬件 Bypass 功能四楼防火墙 NGFW4000 TG-4514 11U 机架式结构;最大配置为 12 个接口,包括 4 个10/100/1000BASE-T 接口和 1 个扩展槽吞吐量1G最大并发连接数160W三楼 交换机 华为 5328C-SI 1端口描述:24 个 10/100/1000Base-T,4 个100/1000Base-X 千兆 Combo 口,上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,双电源,可插拔,支持 USB 口;转发性能 96M,端口交换容量128G,板交换容量 256G;
11、4.2 设备产品资料4.2.1 Quidway S5300 系列全千兆运营级交换机产品说明产品概述Quidway S5300 系列全千兆交换机(以下简称 S5300) ,是华为公司为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆高性能以太网交换机,广州市协作办网络改造设计方案广东宏景科技有限公司 7可为客户提供强大的以太网功能服务。S5300 基于新一代高性能硬件和华为公司统一的 VRP(Versatile Routing Platform)软件,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求。S5300 可满足运营商园区网汇聚、企业网汇聚、ID
12、C 千兆接入以及企业千兆到桌面等多种场合的需求。产品外观S5328C-EI-24S:24 个 100/1000Base-X,4 个 10/100/1000Base-T 千兆Combo 口,上行支持 210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,双电源,可插拔;S5352C-SI:48 个 10/100/1000Base-T,上行支持 210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,双电源,可插拔, 支持 USB 口;S5328C-SI:24 个 10/100/1000Base-T,4 个 100/
13、1000 Base-X 千兆 Combo口, 上行支持 210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,双电源,可插拔,支持 USB 口;产品特点 强大的多业务支持能力 广州市协作办网络改造设计方案广东宏景科技有限公司 8S5300 支持增强型灵活 QinQ 功能,确保灵活的外层 VLAN 标签功能的同时不占用 ACL 资源。S5300 能将内层 VLAN 的 CoS 值映射到外层 VLAN,或者修改外层 VLAN 的 CoS 值,可根据业务需要灵活标记 QoS 等级,满足多业务承载的要求。S5300 支持 IGMP Snooping/ IGMP
14、 v3 snooping/Filter/Fast Leave/Proxy等协议。S5300 支持线速的跨 VLAN 组播复制功能,支持捆绑端口的组播负载分担,支持可控组播,可以充分满足 IPTV 和其他组播业务的需求。 S5300 支持 MCE 功能,实现了不同 VPN 用户在同一台设备的隔离,有效解决用户数据安全问题,同时降低用户投资成本。 免维护易部署 S5300 采用“一次进站”方案, 支持自动配置、即插即用、USB 开局、自动批量远程升级功能,便于部署升级和业务发放,简化后续的管理和维护性能。从而大大降低了维护成本。S5300 支持 SNMP V1/V2/V3, CLI 命令行、Web
15、 网管、TELNET、HGMP 集群管理等多样化的管理和维护方式,设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计,支持 NQA网络质量分析,有利于进一步作好网络规划和改造。良好的可扩展性 S5300 系列交换机支持智能堆叠 iStack 功能,完全即插即用,插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的业务中断时间。支持智能升级,排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展,单一 IP 管理,大大降低系统扩展以及运
16、维的成本。与传统组网技术相比,在扩展性、可靠性、整体架构等性能方面均具有强大的优势。 简单的可管理特性 广州市协作办网络改造设计方案广东宏景科技有限公司 9S5300 支持 GVRP 实现动态分发、注册和传播 VLAN 属性,从而达到减少网络管理员的手工配置量及保证 VLAN 配置正确的目的。GVRP 是一种 VLAN 的动态配置技术,在复杂的组网环境中应用 GVRP,能够简化 VLAN 配置管理,减少因为配置不一致而导致的网络互通问题。 S5300 支持 MUX VLAN 功能。MUX VLAN 提供了一种在 VLAN 的端口间进行二层流量隔离的机制。采用两层 VLAN 隔离技术,只有上层
17、VLAN 全局可见,下层VLAN 相互隔离。MUX VLAN 通常用于企业内部网,客户端口可以同服务器端口通讯,但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信。 产品规格广州市协作办网络改造设计方案广东宏景科技有限公司 10广州市协作办网络改造设计方案广东宏景科技有限公司 114.2.2 天融信入侵防御系统 TopIDP 产品说明产品概述天融信公司的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术,它通过设置检测与阻断策略对流经 TopIDP 的网络流量进行分析过滤,并对广州市协作办网络改造设计方案广东宏景科技有限公司
18、12异常及可疑流量进行积极阻断,同时向管理员通报攻击信息,从而提供对网络系统内部 IT 资源的安全保护。TopIDP 能够阻断各种非法攻击行为,比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的 DoS 攻击等,安全地保护内部 IT 资源。TopIDP 采用多核处理器硬件平台,将并行处理技术融入到天融信自主研发的安全操作系统 TOS 中,保证了 TopIDP 产品可以做到更高性能地网络入侵的防护。公司内攻防实验室会跟踪分析最新的漏洞和导致的攻击行为,及时更新入侵防御设备的规则库,保证该设备的及时有效的检测能力。TopIDP 是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮
19、件病毒过滤、报文完整性分析为一体的网络安全设备,为用户提供完整的立体式网络安全防护。与现在市场上的入侵防御系统相比,TopIDP 系列入侵防御系统具有更高的性能、更细的安全控制粒度、更完善的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持,代表了最新的网络安全设备和解决方案发展方向,堪称网络入侵检测和防御系统的典范。 产品功能详细功能如下:功能类别 功能项 功能描述工作模式 网络接入 透明、路由、混合、监听、直连 引擎支持路由、交换、混合、直连、监听五种模式支持基于源、目的、规则集、动作的入侵检测规则支持时间对象支持策略改变引擎自动重起DDOS 防御非法报文攻击:land、Smurf、
20、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof 等;统计型报文攻击:Synflood、Icmpflood、Udpflood、Portscan、ipsweep 等;支持主机连接数和半连接数的限制。入侵防御动作支持阻断 drop,检测到策略中设置的数据后,丢弃报文;支持报警 Alert, 检测到策略中设置的数据后,进行报警;支持 TCP Reset,向攻击者发 TCP Reset 包;支持日志 Log,检测到攻击事件后记录日志;支持记录报文,检测到攻击事件后将原始报文完整记录下来;支持防火墙联动,与防火墙联动,仅限 I
21、DS 模式运行;支持自定义组合,可以将以上操作的组合做为一个新的动作。广州市协作办网络改造设计方案广东宏景科技有限公司 13报表Webui 支持实时显示按发生次数累计的攻击事件排名;支持 Top10 攻击者、Top10 被攻击者、Top10 事件统计报表;支持按时间统计的 IPS 流量报表;支持选定时间、网络攻击分类的统计报表;支持日报、周报、月报、季报等统计报表;支持报表输出,输出格式可以为 PDF、DOC、HTML 格式。规则库维护 支持自定义规则库导入、导出;支持系统规则库手动、自动升级。系统规则预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p 类、溢出攻击类、扫描类、系
22、统漏洞类、webcgi 类、蠕虫类、游戏类、HTTP 攻击类、RPC 攻击类、高风险类、中风险类、低风险类和所有事件等。自定义规则 支持自定义规则;支持自定义规则集。路由支持静态路由;支持基于源/目的地址、接口、Metric 的策略路由;支持 Vlan 路由,能够在不同的 VLAN 虚接口间实现路由功能。VLAN支持 802.1Q,能进行封装和解封。在同一个 Vlan 内能进行二层交换。网络适应性ARP支持 ARP 代理、ARP 学习。可设置静态 ARP。双机热备*支持双机热备(Active-Active 模式) 。 (注:高端 IDP 产品只支持 AS 方式)支持连接同步Bypass 提供专
23、业的硬件 ByPass 功能,保证网络通畅负载均衡 支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡算法。高可用性备份系统 支持备份系统,主系统破坏后可以通过备份系统启动运行。管理方式支持 WEB 图形配置、命令行配置;支持本地配置、远程配置;支持基于 SSH、SSL 的安全配置。SNMP支持 SNMP 的 v1 、v2 、v2c 、v3 版本;与当前通用的网络管理平台兼容,如 HP Openview 等;丰富的私有 MIB 系统信息。系统管理监控和报警支持网络接口、CPU 利用率、内存使用率等;内置了“管理” 、 “系统” 、 “安全” 、 “策略” 、 “通信” 、 “硬件”
24、 、“容错” 、 “测试”等多种触发报警的事件类;支持邮件、SNMP、控制台等多种组合报警方式。广州市协作办网络改造设计方案广东宏景科技有限公司 14日志支持 Welf、Syslog 等多种日志格式的输出;支持通过第三方软件来查看日志;支持日志分级;支持对接收到的日志进行缓冲存储。其它系统升级,支持远程维护和系统升级;系统升级,支持 TFTP、FTP、HTTP 方式升级;配置恢复,可进行配置文件的备份、下载、删除、恢复和上载;时钟调整,支持网络时钟协议 NTP,可自动根据 NTP 服务器时钟调整本机时间。4.3.3 天融信防火墙系统 TopGuard-NGFW4000 系列产品说明产品概述十几
25、年来,天融信专注于信息安全,第一家开发出自主防火墙系统,第一家提出 TOPSEC 联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段,目前已进入以自主安全操作系统 TOS(Topsec Operating System)为基础,以完全内容检测为标志的技术阶段,集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、交通等行业中广泛应用,全国 20,000 多网络和业务在其保护下平稳运行。天融信基于多年的技术积累和用户信赖,连续多年蝉联国内第一防火墙品牌。网络卫士防火系列市场占有量巨大,它保护
26、的网络遍布在祖国大江南北,并已走出国门在一些全球性的业务网络上成功实施,为广大用户的信息安全建设立下了汗马功劳。NGFW4000 (TG-4514)产品功能类别 功能 详细描述工作模式 支持透明、路由、混合、直连(虚拟线)模式广州市协作办网络改造设计方案广东宏景科技有限公司 15类别 功能 详细描述网络安全性内容过滤 采用完全内容检测(Complete Content Inspection)技术。 支持基于流、数据包、透明代理的过滤方式。 支持对 HTTP、SMTP、POP3、IMAP、FTP 等协议的深度内容过滤。 支持 URL 过滤。 支持 DNS 过滤。 支持 web 重定向。 支持 H
27、TTP URL 长度限制。 支持伪装 http 连接识别。 支持 DNS 过滤。 支持 RSH 命令过滤。 支持 telnet 命令过滤。 支持对移动代码如 Java applet、Active-X、VBScript、Java script 的过滤。 支持对邮件的收发邮件地址、文件名、文件类型过滤。 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。 支持反垃圾邮件功能(用户配置黑白名单) 支持 MSN,QQ,Skype 等 Instant Messenger 通信,并可以对于这些应用进行登陆限制和帐号过滤。 可限制 BT,eMule,eDonkey,迅雷等 P2P 应用。 可
28、屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的 BANNER 信息。网络安全性访问控制 基于状态检测的动态包过滤。 基于源/目的 IP 地址、MAC 地址、端口和协议、时间、用户的访问控制。 支持基于用户的 PPTP 的访问控制。 支持报文合法性检查。 动态端口支持协议:H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可实现 IP/MAC 绑定。 会话收集整理,由收集数据生成访问控制策略。 访问控制策略分组管理。 地址对象源目的发起连接数控制,支持全网段地址。 支持大数量级的策略匹配加速算法。 支
29、持对于策略重复和策略冲突的检查。安全管理用户认证 支持使用一次性口令认证(OTP)、本地认证、双因子认证(SecurID)以及数字证书(CA)等常用的安全认证方式。 支持使用第三方认证,如 RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。 支持 Session 认证、HTTP 会话认证。 支持认证保活功能。 可将认证用户信息加密存放在本地数据库。广州市协作办网络改造设计方案广东宏景科技有限公司 16类别 功能 详细描述日志 支持 Welf、Syslog 日志格式的输出。 支持日志分级和按类型输出。 支持通过第三方软件来查看日志。 可对日志进行加密传输。 支持安全审计
30、系统(TA-L),获得更详尽的日志分析和审计功能。 TA-L 除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。监控 支持网络接口、CPU 利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。 可根据配置文件进行错误恢复。报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。 支持邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式。流量统计 支持基于 IP 对 session 数的统计,并有阀值报警功能。 支持基于 IP 对流量的统计。 支持基
31、于传输层端口进行流量、session 数的统计。 支持 NETFLOW 协议版本 5,支持设置过滤条件。QoS流量整形 QOS 带宽管理。 根据 IP、协议、网络接口、时间定义带宽分配策略。 支持最小保证带宽和最大限制带宽。 支持分层的带宽管理。 支持根据源/目的进行独享的带宽管理方式。带宽管理优先级 支持 8 级优先级控制。双机热备 支持双机热备(Active-Standby)。 支持负载均衡模式(Active-Active)。 支持连接保护模式(Session Protect)。 支持系统故障切换,包括主设备抢状态开关功能,控制主设备是否在设备恢复正常情况时抢回主设备状态。 支持 VPN
32、网关的双机热备功能。 支持接口 Metric 值。 支持连接同步确认。 支持自动的配置同步功能。 支持多台设备的配置同步。高可用性其它功能 支持链路备份功能。 *支持双系统引导。 支持 Watchdog 功能。配置方式 支持 WEB 图形配置、命令行配置。 支持 TP 管理。 支持基于 SSH、HTTPS 的安全配置。配置管理命令行 支持配置命令分级保护。 支持中英文。 支持命令历史、命令补齐、命令错误提示等功能。广州市协作办网络改造设计方案广东宏景科技有限公司 17类别 功能 详细描述WEBUI 支持初装配置向导。 支持配置即时定义。 支持即时的配置和状态提示。 支持中文联机帮助。 支持 HTTPS 客户端证书认证方式。SNMP 支持 SNMP 的 v1 、v2 、v2c 、v3 版本。 与当前通用的网络管理平台兼容,如 HP Openview 等。系统升级 *支持双系统升级。 支持远程维护和系统升级。 支持 TFTP 升级。 支持 webui 升级。 支持 ftp 升级。报文调试 提供强大的报文调试功能,可以帮助网络管理员或安全管理员发现、调试和解决问题。 支持发送虚拟报文。配置恢复 可以进行完整配置的下载备份、上载恢复 可以进行部分配置本地和异地的批量导出和导入。时钟调整 支持网络时钟协议 SNTP,可自动根据 NTP 服务器时钟调整本机时间。
