1、 网络方案技术建议书*网络方案技术建议书IToIP 解决方案专家*网络技术开发有限公司2011 年 11 月网络方案技术建议书目 录第一章 用户需求分析 21.1 网络建设目标 21.2 计算机网络系统设计要求 3第二章 网络整体设计概述 32.1 总体网络设计原则 32.2 总体组网方案概述 5第三章 内部局域网设计 73.1 内网核心层设计 73.2 内网汇聚层设计 83.3 内网接入层设计 93.4 专网连接 113.5 数据中心(内网服务器) 11第四章 外部局域网设计 134.1 外网层次结构设计 134.2 外网 INTERNET连接 .134.3 数据中心(外网服务器) 13第五
2、章 网络安全设计 145.1 网络安全概述 145.2 H3C网络安全解决方案概述 .145.3 *内部局域网安全设计 155.4 *外部局域网安全设计 205.5 局域网终端安全 215.6 网络流量分析解决方案 24第六章 网络管理设计 27第一章 用户需求分析1.1 网络建设目标根据*的使用性质,其计算机网络系统的设计与建设应当符合当前及今后一段时间的管理及运行要求。根据当前管理与应用的需求,选择性能价格比较高的设备。将*计算机网络系统建设成实用、经济、先进、开放、高效、安全、节能与管理融为一体的现代化办公系统。网络方案技术建议书1.2 计算机网络系统设计要求本工程计算机网络系统采用内部
3、局域网(以下简称内网)和外部局域网(以下简称外网)物理隔离方式。要求采用二级星型拓扑结构,在办公楼 5层控制机房内设置万兆位核心层网络交换机,在各个单位的网络机柜设置 10/100/1000M 接入层交换机,构成千兆到各单位,百兆到用户端点。中心机房设置光纤点,光纤采用千兆直接到中心机房。独立采用 1台高性能路由交换机作为中心机房交换机。12台接入层交换机分别连接到各个单位的网络机柜。要求各个区域的网络即可以单独构成独立的网络,也可以实现与核心交换机形成统一的网络,共同接入互联网。接入层内外网需分开配置。本工程计算机网络系统采用内部局域网将更换生产部、氨加工分厂库房、动力分厂办公楼、新区总控、
4、合成氨分厂、供应部库房、设按公司、仪表、供应销售处的多模光缆更换成单模光缆。把以前的生产部的二级机房取消,所有光缆由中心机房直接敷设至接入层交换机。无线扩容:将来也可以在各层走廊设无线 AP。网络可提供大楼内无线局域网功能及 IP电话功能。IP电话用户可根据需要通过网络信息点灵活配置,网络交换机自带在线电源。本次设计用现有的防火墙及上网行为管理,不考虑系统应从防火墙、入侵检测、漏洞扫描、VPN、AAA、CA、安全审计、安全恢复和备份、防病毒、物理隔离等多个角度综合全面考虑本工程的网络安全设计。第二章 网络整体设计概述2.1 总体网络设计原则计算机网络系统设计必须适应当前智能办公系统的各项应用,
5、又可面向未来信息化发展的需要,因此必须是高质量的。在设计网络时,需要遵循以下原则:(一) 实用性和先进性网络方案技术建议书采用先进成熟的技术满足综合智能化办公业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。(二) 安全可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安
6、全保密等技术措施提高整个网络系统的安全可靠性。(三) 灵活性和可扩展性计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据合肥新化化肥厂不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。(四) 开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。(五) 经济性和投资保护应以较高的性能
7、价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转,提供高效能与高效益。(六) 可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。网络方案技术建议书2.2 总
8、体组网方案概述根据*计算机网络系统的具体需求,经过合理规划,总体网络设计分为内部办公局域网。网络互联出口分为 Internet接入和新化化肥厂专网接入。网络建设目标实现内部局域网和 Internet互联互通,方便快捷的信息交换,同时健全安全保障体系,确保网络与信息的安全。(一) 内部局域网:内网网络拓扑图如下:层次设计:内部局域网采用标准的三层结构设计。核心层采用高端多业务路由交换机,通过双万兆链路连接各汇聚层交换机;汇聚层采用全千兆三层交换机,通过双千兆链路连接各接入层交换机;接入层采用三层智能交换机,通过智能弹性堆叠,提供高密度百兆到桌面,双千兆上行。并通过百兆连网络方案技术建议书接增强型
9、无线 AP,提供楼层无线宽带接入。数据中心(内网服务器):数据中心(内网服务器)采用全千兆智能三层交换机作为汇聚,通过双千兆捆绑高速链路连接至内网防火墙 DMZ区。为保障内网数据中心的高安全需求,在数据中心汇聚交换机与内网防火墙间部署高性能 IPS入侵防御系统。实现内网和专网对数据中心的高效访问,同时通过防火墙和入侵防御系统的双重保护,保障数据中心内网服务器的安全。(二) 外部局域网:外网网络拓扑图如下:层次设计:考虑新化化肥厂内网和外网物理结构相同,因此外网也采用标准的三层结构设计。核心层采用高端多业务路由交换机,通过双万兆链路连接各汇聚层交换机;汇聚层采用全千兆三层以太网交换机,通过双千兆
10、链路连接各接入层交换机;接入层采用三层智能交换机,通过智能弹性堆叠,提网络方案技术建议书供高密度百兆到桌面,双千兆上行。并通过百兆连接增强型无线 AP,提供楼层无线宽带接入。Internet连接:外网 Internet出口配置高性能专业防火墙,外网核心交换机通过双千兆链路连接外网防火墙,外网防火墙再通过 100/1000M链路连接至运营商提供的 Internet接口,实现外网的 Internet接入。为了更好的抵御来自 Internet的威胁,在外网防火墙与 Internet接口间部署 IPS入侵防御系统,对所有流经的流量进行深度分析与检测,从而具备了实时阻断各种网络攻击的能力。第三章 内部局
11、域网设计3.1 内网核心层设计核心层设备位于办公楼五层中心机房。采用 1台 H3C S7506R高端多业务路由交换机。通过双万兆捆绑多膜光纤链路连接汇聚层设备,构成高速万兆骨干,保障核心网数据高速全线速交换。核心交换 H3C S7506R采用机箱式模块化设计,整机共 8个槽位,6 个业务槽和 2个主控槽。可灵活配置百兆、千兆、万兆不同端口密度,不同接口方式的业务接口板,满足用户多样化的需求。核心层大容量高性能特性:H3C S7500系列交换机采用先进的全分布式体系结构设计,通过主引擎和分布式高速业务接口板上内置的 Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式
12、高速业务接口板上内置的高性能 CPU与位于主控引擎上的 CPU协同工作,实现 ACL、流分类、QOS、组播等业务的全分布式处理。H3C S7506R系列交换机提供业界领先的交换能力,高达 1.6Tbps的背板容量,768Gbps 路由交换引擎提供 432Mpps 的数据转发能力,最大可以实现 288 个 GE 的线速转发或 24 个 10GE,适应网络业务不断发展的需求,持续保护用户投资。核心层可靠性:H3C S7500系列交换机采用电信级、自适应的可靠性设计,支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持 STP/RSTP/MSTP/VRRP等协议实现
13、链网络方案技术建议书路冗余,同时 S7500系列交换机具有专利的 RRPP弹性环网保护技术,可以提供 50ms级别的链路故障业务快速恢复手段,这些使得以 S7500系列交换机为核心的骨干网络可靠性大大提高,保障了业务的永续性。核心层网络安全特性:H3C S7500 系列交换机遵从最小服务原则,所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的 SSH 登陆、基于用户安全策略的 SNMP V3、MAC+IP+VLAN 绑定、802.1X 认证等安全策略。支持防网络风暴攻击、防 DOS/DDOS 攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。丰富的多业务支持:H3C
14、S7500 系列交换机支持强大的组播功能、灵活 QinQ、802.1x、内置 DHCP-SERVER、NAT、PBR、POE、EPON 等多种业务特性,这些业务特性极大的提高了企业网络业务部署的简便性和灵活性,同时增强了对 IP语音、视频、WLAN 的支持能力,为企业 IT系统实现通信整合提供了便利。基于 “ASIC+NP”的体系结构,可以灵活的支持业务功能的不断扩展,通过多功能网络处理器模块,可以进一步支持 NAT、PBR 等多种高级业务特性。特色的网络流量分析功能:H3C S7500 系列交换机可以支持 NetStream(网流分析)功能,通过 NetStream 与华为 3COM XLO
15、G 网络分析器相互配合,可帮助网络管理员轻松的获得详细的网络应用信息,使网络系统变得透明、可见。例如查看 Web、文件传输协议(FTP)、Telnet 和其它著名的 TCP/IP 应用所占通信资源的百分比,以及用户利用网络和应用资源的详细情况,进而用于高效地规划和分配资源,并保障网络的安全运营。3.2 内网汇聚层设计汇聚层设备位于 10 层中心机房。采用 3台 H3C S7502高端多业务路由交换机,上行通过双万兆捆绑光纤链路连接至核心交换,下行通过双千兆捆绑光纤链路连接各接入层交换机。提供大容量、全线速的数据汇聚转发。整个综合楼分三个区域汇聚,15 层以上的楼层接入交换机集中连接到 1 台
16、S7502 交换机;9至 15 楼层接入交换机集中连接到 1 台 S7502 交换机;9 层以下楼层接入交换机集中连接到 1 台S7502 交换机。 3 台 S7502 交换机通过双万兆汇聚到核心交换上。汇聚层强大的 L2/L3 转发性能:H3C S7502 交换机采用先进的全分布式体系结构设计,通过分布式高速业务接口板上内置的网络方案技术建议书Crossbar 交换网芯片实现板内、板间二、三层流量的线速分布式转发,高达 192Gbps的交换容量,提供 144Mpps 数据转发能力,最大可以实现 96 个 GE 或 8 个 10GE 的线速转发,保障了汇聚层网络全面升级至万兆平台。 汇聚层电信
17、级可靠性设计:H3C S7500系列交换机支持无源背板,支持双路电源供电,支持引擎、电源、风扇的冗余,支持单板热插拔,并可以支持 STP/RSTP/MSTP/VRRP等协议实现链路冗余。 汇聚层完善的网络安全特性H3C S7500 系列交换机遵从最小服务原则,所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的 SSH 登陆、基于用户安全策略的 SNMP V3、MAC+IP+VLAN 绑定、802.1X 认证等安全策略。支持防网络风暴攻击、防 DOS/DDOS 攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。汇聚层丰富的多业务支持H3C S7500 系列交换机支持强大
18、的组播功能、灵活 QinQ、802.1x、内置 DHCP-SERVER、NAT、PBR、POE、EPON 等多种业务特性,这些业务特性极大的提高了网络业务部署的简便性和灵活性,同时增强了对 IP语音、视频、WLAN 的支持能力,为企业 IT系统实现通信整合提供了便利。3.3 内网接入层设计内网接入层设备分布于各楼层配线间。统一采用 H3C S3600智能弹性三层交换机,每个楼层根据用户信息接入点的数量,灵活配置 48端口和 24端口盒式交换机,通过智能弹性堆叠,提供高密度端口扩展和统一管理。接入层每个堆叠组通过双千兆捆绑的光纤链路连接到汇聚层交换机。另外每台 S3600还提供 4个千兆 SFP
19、端口,可实现多千兆捆绑增加上行带宽,还可以实现少量千兆到桌面的接入。H3C S3600 系列交换机主要有以下三个型号: S3600-28P:24 个 10/100Base-T 以太网端口,4 个 1000Base-X SFP 千兆以太网端口; S3600-28TP:24 个 10/100Base-T 以太网端口,2 个 1000Base-X SFP 千兆以太网端口, 2 个 10/100/1000Base-T 以太网端口; S3600-52P:48 个 10/100Base-T 以太网端口,4 个 1000Base-X SFP 千兆以太网端口;S3600-28P/ S3600-28TP 交换容
20、量为 12.8Gbps,二/三层转发率 9.6Mpps。S3600-52P 交换容量为 17.6Gbps,二/三层转发率 13.2Mpps。网络方案技术建议书接入层弹性扩展技术IRF:H3C S3600 系列交换机采用华为 3COM 公司创新的 IRF( Intelligent Resilient Framework)智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势: 扩展性IRF 技术允许交换机利用互联电缆实现多台设备的扩展,最大扩展至 384 个10/100M 端口;具有即插即用、单一 IP 管理,同步升级的优点,同时大大降低系统扩展的成本。可靠性通过专
21、利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发,极大的增强了堆叠架构的可靠性和性能,同时消除了单点故障,避免了业务中断。分布性-通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。接入层完备的安全策略:H3C S3600 系列交换机支持 EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散
22、管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S3600 支持跨交换机的远程端口镜像功能(RSPAN),可以将接入端口的流量镜像到核心交换机(例如 S9500/7500)上,在核心上启动网流分析(Netstream )功能,配合 XLOG 系统对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。H3C S3600 系列交换机提供 DHCP Snooping(侦听)功能,通过建立和维护 DHCP Snooping绑定表实现侦听接入用户的 MAC 地址、IP 地址、租用期、VLAN-ID 接口等信息,解决了 DHCP用户的 IP 和端口跟踪定位问题。同时对不符
23、合绑定表项的非法报文(ARP 欺骗报文、擅自修改 IP地址的报文)直接丢弃,保证 DHCP 环境的真实性和一致性。同时利用 DHCP Snooping 的信任端口特性可以保证 DHCP Server 的合法性。接入层多业务融合能力:H3C S3600 系列交换机提供丰富的 QOS 功能,能为数据、语音、视频、多媒体等不同的业务提供服务质量保证。H3C S3600 系列交换机通过支持 Voice VLAN 技术和智能 POE 技术很好的解决了该类设备的智能检测、供电和优先级的调整问题。接入层高可靠性设计:网络方案技术建议书H3C S3600 系列交换机除了支持高可靠性的 IRF 技术以外,还支持
24、传统的 STP/RSTP/MSTP二层链路保护技术,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。 支持 VRRP 虚拟路由冗余协议,与其他三层交换机构建 VRRP 备份组。构建故障时的冗余路由拓扑结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持 ECMP(等价路由),通过配置多条等值路径实现上行路由的冗余备份和负载分担。采用交流/直流双输入设计,设备既可以采用交流电源输入,也可以直流电源输入,二者之间热备份。3.4 专网连接新化化肥厂专网出口配置 1台 SecPath F1000-S高性能专业防火墙。内网核心交换机通过双千兆捆绑高速链路连接内网防火墙,内网防火墙再通过 1
25、00/1000M链路连接至新化化肥厂专网路由器,实现内部局域网到新化化肥厂专网的互联,同时内网防火墙有效的防御来自新化化肥厂专网对内部局域网和数据中心的威胁。H3C SecPath F1000-S防火墙提供四个千兆以太网接口,其中两个千兆电口,两个千兆光电复用接口。还提供两个 MIM插槽,可支持 4个百兆或千兆端口扩展。高达 1Gbps吞吐量的数据检测,支持 100万个并发连接。3.5 数据中心(内网服务器)数据中心(内网服务器)采用 1台 H3C S5600 全千兆智能三层交换机作为汇聚,通过高密度千兆以太网接口连接内网各功能服务器,通过双千兆捆绑高速链路连接至内网防火墙 DMZ区。为保障内
26、网数据中心的高安全需求,在数据中心汇聚交换机与内网防火墙间部署 1台 TippingPoint 6OOE IPS高性能入侵防御系统。实现内网和专网对数据中心的高效访问,同时通过防火墙和入侵防御系统的双重保护,有效防御来自内部局域网和新化化肥厂专网的威胁。H3C TippingPoint 系列 IPS,具备对 2 层到 7 层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。TippingPoint
27、6OOE IPS可提供 8个 10/100/1000M以太网接口,光接口和电接口可灵活选择,网络方案技术建议书可同时保护 4个网段;高达 400Mbps数据检测吞吐量,200 万并发连接。很好的解决了数据中心高安全性要求和高带宽保障的矛盾,在保障数据中心高度安全的情况下,并不降低数据中心的访问效率,不会让安全设备成为数据中心的带宽瓶颈。H3C S5600 系列交换机产品特性: 大容量全线速的多层交换S5600 系列交换机具有 192G/240G 的交换容量和 66M/102Mpps 的二/三层包转发能力,支持所有端口线速转发。设备最大提供 24/48 端口 10/100/1000M 电接口、3
28、2 个 SFP 千兆光接口或 2个 10G 接口,充分满足客户对高密度 GE 和万兆上行设备的需求。设备具备强大的 IRF 堆叠扩展能力,极大的节省了用户对设备的投资。 IRF 智能弹性架构技术S5600 系列交换机采用创新的 IRF 智能弹性技术,与传统组网技术相比,在扩展性、可靠性、整体架构的性能方面具有强大的优势,主要体现在三个方面;扩展性IRF 技术允许交换机利用互联电缆实现多台设备的扩展,最大实现 8 台设备的弹性扩展;具有即插即用、单一 IP 管理,同步升级的优点,同时大大降低系统扩展的成本。可靠性通过专利的路由热备份技术,在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和
29、无间断的三层转发,极大的增强了堆叠架构的可靠性和高性能,同时消除了单点故障,避免了业务中断。分布性通过分布式链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率。 高可靠性S5600 系列交换机采用 IRF 技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极大地增强了设备和网络的可靠性,消除了单点故障,避免了业务中断。同时H3C S5600 系列交换机不仅支持 STP/RSTP 生成树协议,还提供了基于多 VLAN 的生成树MSTP,极大提高了链路的冗余备份,提高容错能力,保证网络的稳定运行。支持 VRRP 虚拟路由冗余协议
30、,与其他三层交换机构建 VRRP 备份组。构建故障时的冗余路由拓朴结构,保持通讯的连续性和可靠性,有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份。采用交、直流双输入电源模块供电,也可以通过更换电源模块来支持 PoE 功能,提供所有固定端口的 PoE 满负载。 丰富的 QOS 策略网络方案技术建议书H3C S5600 系列交换机支持基于源 MAC 地址、目的 MAC 地址、源 IP 地址、目的 IP 地址、端口、协议的 L2L7 复杂流分类;每端口支持 100 个流规则,整机支持 3200/560
31、0 个流规则,充分保障了复杂网络对于 QoS 规则的要求。提供灵活的队列调度算法,可以同时基于端口和队列进行设置,支持 SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR 三种模式;支持 8 个优先级队列。支持 CAR(Committed Access Rate)功能,可以实现基于端口和基于流的速率限制,限制的粒度可以精确至 64Kbps,为网络带宽的精细化管理提供了手段。第四章 外部局域网设计4.1 外网层次结构设计考虑*计算机网络系统外网和内网物理结构完全相同,因此外部局域网与内部局域网采用相同的层次结构设计,核心层、汇聚层和接入层均采
32、用与内部局域网相同的设备选型和配置,采用相同的链路连接方式。外部局域网层次结构设计参见上述内部局域网三层结构设计,这里不再复述。4.2 外网 Internet 连接外网 Internet出口配置 1台 SecPath F1000-S 高性能专业防火墙,外网核心交换机通过双千兆捆绑高速链路连接外网防火墙,外网防火墙再通过 100/1000M链路连接至运营商提供的 Internet接口,实现外网的 Internet接入。4.3 数据中心(外网服务器)数据中心(外网服务器)采用 1台 H3C S5600全千兆智能三层交换机作为汇聚,通过双千兆高速链路连接至外网防火墙 DMZ区,实现外部局域网和 In
33、ternet对外网服务器的高效访问,同时外网防火墙有效的防御来自 Internet外部局域网和外部服务器的威胁。网络方案技术建议书第五章 网络安全设计5.1 网络安全概述随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。为了确保信息的安全与畅通,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,进行有效的管理和控制,主要体现在以下几个方面: 网络隔离需求:主要是指能够对网络区域进
34、行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数,可以实现对网络流量的精细控制,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。攻击防范能力:由于 TCP/IP协议的开放特性,缺少足够的安全特性的考虑,带来了很大的安全风险,常见的IP地址窃取、IP 地址假冒、网络端口扫描以及危害非常大的拒绝服务攻击(DoS/DDoS)等,必须能够提供有效的检测和防范措施。网络优化需求:对于用户应用网络,必须提供灵活的流量管理能力,保证关键用户和关键应用的网络带宽,同时应该提供完善的 QoS机制,保证数据传输的质量。另外,应该能够对一些常见
35、的高层协议,提供细粒度的控制和过滤能力,比如支持 WEB和 EMAIL过滤,支持 P2P识别并限流等能力。用户管理需求:对于接入局域网、广域网或者 Internet的内网用户,都需要对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、终端安全状态检测、对网络访问行为进行控制等。5.2 H3C 网络安全解决方案概述H3C 根据在网络安全领域内多年的知识和经验积累,提出以下的安全分区设计模型,主要包括网络方案技术建议书内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区、网络管理区、广域网连接区等区域。通过以上的分区设计和网络现状,H3C 提出了以防火墙、应用层防御系统、EA
36、D 端点准入防御为支撑的深度安全解决方案:防火墙防火墙是最主流也是最重要的安全产品,是安全解决方案的核心。它可以对整个网络进行区域分割,提供基于 IP地址和 TCP/IP服务端口等的访问控制;对常见的网络攻击,如拒绝服务攻击、端口扫描、IP 欺骗、IP 盗用等进行有效防护;并提供 NAT地址转换、流量限制、用户认证、IP 与MAC绑定、智能蠕虫防护等安全增强措施。应用层防御传统的安全解决方案中,防火墙和入侵检测系统 (IDS,Intrusion Detection System) 已经被普遍接受,但仅仅有防火墙和 IDS还不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备,不能充分地分
37、析应用层协议数据中的攻击信号,而 IDS也不能阻挡检测到的攻击。因此,即使在网络中已部署了防火墙、IDS 等基础网络安全产品,IT 部门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周,而是近年来蠕虫、P2P、木马等安全威胁日益滋长并演变到应用层面的结果,必须有相应的技术手段和解决方案来解决针对应用层的安全威胁。以入侵防御系统 (IPS, Intrusion Prevention System ) 为代表的应用层安全设备,作为防火墙的重要补充,很好的解决了应用层防御的问题,并且变革了管理员构建网络防御的方式。通过在线部署,检测并直接阻断恶意
38、流量。终端准入防御EAD 解决方案在用户接入网络前,强制检查用户终端的安全状态,并根据对用户终端安全状态的检查结果,强制实施用户接入控制策略,对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作;在保证用户终端具备自防御能力并安全接入的前提下,合理控制用户的网络行为,提升整网的安全防御能力。5.3 *内部局域网安全设计*内部局域网安全组网示意图:网络方案技术建议书内部办公局域网是*信息化办公的主要平台,内部局域网的安全问题直接影响着新化化肥厂的日常工作,内部的很多资料和信息需要高度保密和通信安全。因此内部局域网要求与外部局域网和 Internet 保持完全的物理隔
39、离。新化化肥厂专网相对于公共的 Internet 的环境要安全很多,但也不能排除安全威胁的存在,因此内部局域网与新化化肥厂专网互联采用一台 H3C SecPath F1000-S 高性能防火墙,隔离来自专网的网络攻击和非法数据流,避免专网和内网的安全威胁相互扩散。内网数据中心是信息化建设的核心,掌控建设单位的众多信息资源,其重要性不言而喻。 将内网数据中心部署在内网防火墙的 DMZ区,确保内网数据中心与内网和专网的安全隔离。同时在内网数据中心入口部署 1台 TippingPoint 600E IPS 入侵防御系统,对所有访问数据中心的流量进行深度分析与检测,实时阻断攻击,确保正常业务流的数据交
40、换。H3C SecPath F1000-S 是华为 3Com 公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用 ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种 VPN 业务,如 L2TP VPN、GRE VPN 、IPSec VPN、动态 VPN 等,可以构建多种形式的 VPN;提供基本
41、的路由能力,网络方案技术建议书支持 RIP/OSPF/BGP/路由策略及策略路由;支持丰富的 QoS 特性,提供流量监管、流量整形及多种队列调度策略。SecPath F1000-S 防火墙充分考虑网络应用对高可靠性的要求,采用互为冗余备份的双电源(11 备份)模块,支持交、直流输入电源模块;业务接口卡支持热插拔,充分满足网络维护、升级、优化的需求;支持双机状态热备,支持 Active/Active 和 Active/Passive 两种工作模式。提供机箱内部环境温度检测功能,并支持网管。市场领先的安全防护功能 增强型状态安全过滤:支持基础、扩展和基于接口的状态检测包过滤技术,支持按照时间段进行
42、过滤;支持华为 3Com 特有 ASPF 应用层报文过滤( Application Specific Packet Filter)协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对FTP、HTTP 、 SMTP、RTSP 、H.323 (包括 Q.931,H.245, RTP/RTCP 等)应用层协议的状态监控,支持 TCP/UDP 应用的状态监控。 抗攻击防范能力:包括多种 DoS/DDoS 攻击防范、ARP 欺骗攻击的防范、提供 ARP 主动反向查询、TCP 报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、
43、Tracert 报文控制功能、带路由记录选项IP 报文控制功能;静态和动态黑名单功能; MAC 和 IP 绑定功能;支持智能防范蠕虫病毒技术。 应用层内容过滤:可以有效的识别网络中的 BT、Edonkey、Emule 等各种 P2P 模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP 邮件地址、标题和内容过滤;支持网页过滤,提供 HTTP URL 和内容过滤;支持应用层过滤,提供 Java/ActiveX Blocking 和 SQL 注入攻击防范。 多种安全认证服务:支持 RADIUS 和 HWTACACS 协议及域认证;支持基于 PKI /CA 体系
44、的数字证书(X.509 格式)认证功能;在 PPP 线路上支持 CHAP 和 PAP 验证协议;支持用户身份管理,不同身份的用户拥有不同的命令执行权限;支持用户视图分级,不同级别的用户赋予不同的管理配置权限。 集中管理与审计:提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。 全面 NAT 应用支持:提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映射等 NAT 应用方式;支持多种应用协议正确穿越 NAT,提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP 等 NAT ALG 功能。网络方案技术建议书TippingPoint
45、 的入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP 攻击以及点到点应用滥用。通过深达第七层的流量侦测,TippingPoint 的入侵防御系统能够在发生损失之前阻断恶意流量。利用 TippingPoint 提供的数字疫苗服务,入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外,TippingPoint 的入侵防御系统是目前能够提供微秒级时延、高达 5G 的吞吐能力和带宽管理能力的最强大的入侵防御系统。通过全面的数据包侦测,TippingPoint 的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保
46、护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力,TippingPoint 的入侵防御系统保护 VOIP 系统、路由器、交换机、DNS 和其他网络基础设施免遭恶意攻击和防止流量出现异常。TippingPoint 的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和 IT 资源,从而确保网路资源的合理配置并保证关键业务的性能。TippingPoint IPS 产品特点: 主动式的入侵防御TippingPoint IPS 可以被“ in-line”地部署到网络当中去,对所有流经的流量进行深度分析与检测,从而具备了实时阻断攻击的能力,同时对正常流量不
47、产生任何影响。基于其高速和可扩展的硬件平台,TippingPoint IPS 不断优化检测性能,使其能够达到与交换机同等级别的高吞吐量和低延时,同时可以对所有主要网络应用进行分析,精确鉴别和阻断攻击。 无与伦比的高性能TippingPoint 200 IPS 具备绝对领先的能与交换机媲美的性能指标:高达 200Mbps 吞吐量的线速检测、转发;低时延(最大时延215 微秒);精确检测攻击并实时阻断;支持 200 万个并发连接;支持每秒 25 万个新建立连接。 威胁抑制引擎(TSE,Threat Suppression Engine)TippingPoint 基于 ASIC、FPGA 和 NP
48、技术开发的威胁抑制引擎(TSE,Threat Suppression Engine)是高性能和精确检测的基础。该核心架构提供的大规模并行处理机制(10,000 条以上并行过滤器),使得 TippingPoint IPS 对一个报文从 2 层到 7 层所有信息的检测可以在 215 微秒内完成,并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的TSE 可以对一个报文同时进行几千种检测,从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时,TSE 还提供增值的流量分类、流量管理和流量整形功能。TSE 可以自动统计和计算正常状况下网络内各种应用流量的分布,并且基于该
49、统计形成流量框架模型;当 DoS/DDoS网络方案技术建议书攻击发生,或者短时间内大规模爆发的病毒导致网络内流量发生异常时,TSE 将根据已经建立的流量框架模型限制或者丢弃异常流量,保证关键业务的可达性和通畅性。此外,为防止大量的P2P、IM 流量侵占带宽, TSE 还支持对 100 多种点到点应用的限速功能,保证关键应用所需的带宽。 安全保障无处不在TippingPoint IPS 在跟踪流状态的基础上,对报文进行 2 层到 7 层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in 蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,而且,TippingPoint IPS 也能够有效防御针对路由器、交换机、 DNS 服务器等网络重要基础设施的攻击。TippingPoint IPS 还支持基于访问控制列表(ACL)的检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测(Norma
