1、企業網絡改造規劃方案目錄第1章.項目概述21.1.項目背景21.2.項目建設需求21.3.建設目標3第2章.系統規劃要求42.1.高可靠要求42.2.高性能要求42.3.易管理性要求42.4.安全性要求42.5.可擴展性要求52.6.實用性和先進性要求52.7.經濟性要求5第3章.系統總體設計6第4章.基礎平臺詳細規劃94.1.網絡系統94.1.1.系統設計目標94.1.2.系統設計原則94.1.3.整體網絡規劃94.1.4.分區設計詳解114.1.5.網絡協議設計164.1.6.設備選型建議214.2.安全系統224.2.1.系統設計目標224.2.2.系統設計原則224.2.3.安全體系結

2、構234.2.4.子系統規劃254.2.5.設備選型建議29第1章. 項目概述1.1. 項目背景隨著*公司信息技術發展，作為信息載體的網絡系統存在問題日益嚴重：網絡負載加大、網絡帶寬不足、網絡安全問題嚴重、應用系統的增加，多網融合的需求迫切、網絡終端不受控等。這就需要對現有網絡系統進行改造，以滿足*公司信息技術發展的需求。1.2. 項目建設需求 在利用*公司現有網絡資源的基礎上加以改造，改造后的網絡需要滿足以下需求：1、 根據用戶對業務系統的訪問要求，將現有各個業務子網在網絡核心層面進行整合，以達到單個用戶可以訪問不同子網的資源，并通過一定的安全策略，確保各個子網之間的數據和業務安全。2、 優

3、化現有網絡規模，設立網絡匯聚節點，最終形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產區域。3、 實現整個公司網絡架構分等級安全管理。4、 建立結構化網絡安全系統，所有用戶通過認證方式接入公司網絡，訪問自己對應的網絡資源或系統。5、 實現網絡終端受控，重要崗位終端行為管理，保證終端規范化操作。 6、 實現服務器及存儲資源的有效利用，建立核心服務器區域的安全防護提高運行能力。將現有主要服務器，如產銷系統、新老線MES系統、設備管理系統、遠程計量、人事、原料采購、調度、質量等服務器集中統一管理。7、 實現L2系統在網絡中的隔離，

4、保證L2系統安全穩定運行。1.3. 建設目標此次網絡改造規劃方案主要包括：網絡系統，安全系統的建設。各個系統的功能概述如下：1) 網絡系統：盡量利用現有的網絡接入條件和機房環境條件，對現有網絡系統進行全面改造升級，實現生產網、寬帶網、設備網之間的融合接入，簡化網絡邏輯架構。2) 安全系統：根據網絡總體架構和安全需求，設計部署安全防御體系（包括網絡層、系統層、應用層等各層次），各業務系統的安全防范和服務體系，并實現集中的安全管理。第2章. 系統規劃要求系統規劃要求如下： 1.2.1. 高可靠要求為保證業務系統不間斷正常運行，整個系統應有足夠的冗余，設備發生故障時能以熱備份、熱切換和熱插拔的方式在

5、最短時間內加以修復。可靠性還應充分考慮系統的性價比，使整個網絡具有一定的容錯能力，減少單點故障，網絡核心和重點單元設備支持雙機備份。2.2. 高性能要求核心網絡提供可保證的服務質量和充足的帶寬，以適應大量數據傳輸包括多媒體信息的傳輸。整個系統在國內三到五年內保持領先的水平，并具有長足的發展能力，以適應未來網絡技術的發展。2.3. 易管理性要求考慮到系統建設后期的維護和管理的需要，在方案設計中充分考慮各個設備和系統的可管理性，并可以滿足用戶個性化管理定制的需要。網站各系統易于管理，易于維護，操作簡單，易學，易用，便于進行配置和發現故障。2.4. 安全性要求對于內部網絡以及外部訪問的安全必須高度重

6、視，設計部署可靠的系統安全解決方案，避免安全隱患。設計采取防攻擊、防篡改等技術措施。制定安全應急預案。管理和技術并重，全方位構建整個安全保障體系。2.5. 可擴展性要求對*信息化建設規劃要長遠考慮，不但滿足當前需要，并在擴充模塊后滿足可預見需求，考慮本期系統應用和今后網絡的發展，便于向更新技術的升級與銜接。留有擴充余量，包括端口數和帶寬升級能力。2.6. 實用性和先進性要求系統建設首先要從系統的實用性角度出發，未來的信息傳輸都將依賴于數據網絡系統，所以系統設計必須具有很強的實用性，滿足不同用戶信息服務的實際需要，具有很高的性能價格比，能為多種應用系統提供強有力的支持平臺。2.7. 經濟性要求本

7、次系統建設中，要充分考慮原有系統資源的有效利用，發揮原有設備資源的價值。要本著以最少的建設成本，最少的改造成本，持續獲得當期及未來建設的最大利益。第3章. 系統總體設計此方案設計將遵循先進性、實用性、可靠性、易管理性、安全性、擴展性、經濟性的原則，為實現*數據集中處理的方式，構建統一融合的網絡系統，能支持全公司范圍內的高可靠實時網絡連接。依據*網絡改造建設的需求，本次方案設計的網絡平臺系統的總體示意圖如下：*網絡改造總體拓撲圖注：圖中橙色字體的設備為此次新增設備。具體描述：1 網絡系統設計1) 整體網絡結構按照不同的安全級別，主要分為出口區域、DMZ區域、中心服務器集群區域、核心交換區域、生產

8、網接入區域、能源網接入區域、遠程計量網接入區域及其他網絡接入區域。2) 作為整個網絡的核心業務區域，采用兩臺高端核心交換機雙機熱備的方式，保證核心業務的正常開展。同時，依據業務的重要程度對全廠網絡進行分區、并進行可靠安全隔離，避免重要程度較低的業務對重要程度高的核心業務造成影響。3) 生產網接入區域，主要以現有的生產網接入設備為主、另外融合了寬帶網和設備網的接入設備。根據現有的網絡結構及客戶需求，設立新的網絡匯聚節點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產區域。4) 上述七個匯聚節點主要下聯現有的生產網接入設備，同

9、時，將原寬帶網和設備網的接入設備融入，構建統一的網絡接入平臺，不再重復建網。新的網絡平臺融合了，生產網的數據訪問和外網互聯的需求，使用同一終端即可實現內外網同時訪問的功能。5) 規劃統一的中心服務器集群區域，將現有生產網、設備管理系統、人事系統中運行的服務器，劃到同一邏輯區域。考慮到新的核心交換的高性能，將所有的服務器直接接到核心交換，通過核心區域的安全設備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業務系統進行統一訪問。6) 設計新的互聯網出口區域，設置出口防火墻、上網行為管理、負載均衡等安全設備，保證全廠用戶的上網安全。原有生活區用戶不再和辦公區使用同一出口上網，生活區用戶使

10、用單獨的出口設備連接互聯網。7) 構建DMZ 區域，將WWW、DNS、MAIL等需要同時服務內外網用戶的服務器放到該區域，設置VPN、負載均衡等設備保證服務安全。8) 能源網和遠程計量網由于是獨立運行的物理網絡，不在此次網絡改在的范圍。但此次我們新增的核心交換，在性能、穩定性、處理能力方面，均有能力負載未來其他多個網絡的融合。2 安全系統設計本次*網絡改造項目建設將考慮如何建設多層次、縱深防御系統。另外，要加強安全管理工作和安全應急工作。通過部署防火墻保證網絡邊界的安全，保證網絡層的安全；部署入侵檢測系統實現內網安全狀態的實時監控；部署防病毒系統防止病毒入侵，保證主機的安全；部署網絡監控系統對

11、網絡進行監控；部署抗攻擊系統抵御來自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統對系統主機、網絡設備的脆弱性進行分析；部署時鐘系統使系統的時鐘同步；部署單點登錄系統方便用戶在多個系統間自由穿梭，不必重復輸入用戶名和密碼來確定身份；部署統一認證系統對不同的應用系統進行統一的用戶認證，通過統一的用戶認證平臺提供一個單一的用戶登陸入口；部署安全管理平臺實現系統內安全事件的統一管理。我們要通過相應的安全技術建設一套包含物理層、網絡層、主機層、應用層和管理層等多個方面的完整網絡安全體系。第4章. 基礎平臺詳細規劃4.1. 網絡系統4.1.1. 系統設計目標網絡系統建設的總體目標，是要建立

12、統一融合的、覆蓋全公司范圍內的、高速高可靠的網絡平臺，以支持數據集中處理的運行模式。4.1.2. 系統設計原則網絡系統包括四大部分，一是出口區域，實現公司用戶的上網需求；二是服務器區域，對*現有業務系統的主機存儲進行統一管理；三是核心交換區域，實現全公司所有功能區域的互聯互通；四是二級接入區域，對整個網絡現狀進行重新規劃，形成新的匯聚節點，將生產網、寬帶網、設備管理、人事系統統一融合到新的管理網絡中，實現單一終端對所有業務系統的統一訪問。網絡系統有良好的擴展性，保證網絡在建設發展過程中業務和系統規模能夠不斷地擴大。網絡線路及核心、關鍵設備有冗余設計。核心設備和關鍵設備保證高性能、高可靠性、大數

13、據吞吐能力。網絡系統的設計充分考慮系統的安全性。4.1.3. 整體網絡規劃按照結構化、模塊化的設計原則，實現高可用、易擴展、易管理的建設目標。網絡整體拓撲如下圖所示：注：圖中橙色字體的設備為此次新增設備。按照“模塊化”設計原則，需要對*整體網絡結構進行分區設計。根據*公司業務情況，各區域業務系統部署描述如下：核心交換區：此區域用于實現各分區之間的數據交互，是數據中心網絡平臺的核心樞紐。出口區域：互聯網出口，公司員上網，對外發布公司信息，承載電子商務等業務系統。中心服務器區：此區域部署核心業務服務器，包括MES、OA、人事、安全管理等應用系統。網絡匯聚區：實現公司辦公樓、各分廠等匯聚網絡接入，二

14、級單位可以通過該接入區域實現對業務系統的訪問。接入交換區：全廠接入設備連接區域，該區域用于連接終端用戶和公司核心交換網絡，是網絡中最廣泛的網絡設備。4.1.4. 分區設計詳解4.1.4.1. 核心交換區設計此次網絡改造，建議新增兩臺高性能的核心交換機作為*的網絡核心。核心層作為整個*網絡的核心處理層，連接各分布層設備和*核心服務器區，核心層應采用兩臺高性能的三層交換機采用互為冗余備份的方式實現網絡核心的高速數據交換機，同時，兩臺核心設備與分布層各設備連接，保證每臺分布層設備分別與兩臺核心層設備具有網絡連接，通過鏈路的冗余和設備冗余的設計，保證整個核心層的高可靠性。兩臺核心設備之間應至少保證2G

15、bps全雙工的速率要求，并能平滑升級到10Gbps。核心區是整個平臺的樞紐。因此，可靠性是衡量核心交換區設計的關鍵指標。否則，一旦核心模塊出現異常而不能及時恢復的話，會造成整個平臺業務的長時間中斷，影響巨大。4.1.4.2. 互聯網出口區設計*與外網的出口區域，目前是通過建立獨立的寬帶網，實現辦公區和生活區通過統一出口訪問外網的。在此次網絡改造中，我們計劃把生活區上網與辦公區上網隔離開，通過不同的出口訪問外網。改造后的生活區網絡拓撲結果如下圖所示：如上圖所示，此次生活區的網絡改造會增加新的防火墻和負載均衡設備，作為生活區的網絡安全管理設備，通過單獨的出口設備連接到互聯網。改在后的廠區互聯網出口

16、區域，如下圖所示：如上圖所示，工作區的網絡改造同樣會增加新的防火墻和負載均衡設備，以及上網行為管理等安全設備，作為生活區的網絡安全管理設備，通過單獨的出口設備之間連接到互聯網。出口區域除了網絡出口設備外，還包括一個DMZ區域，用于將WWW、DNS、MAIL等，需要同時服務內、外網用戶的服務器放到該區域，4.1.4.3. 中心服務器區設計規劃統一的中心服務器集群區域，將現有生產網、設備管理系統、人事系統中運行的服務器，劃到同一邏輯區域。該區域物理上為一個區域接入到核心，而邏輯上可以再劃分為多個業務應用區，根據業務屬性的不同可以劃分為生產服務器區（如ERP等）、辦公服務器區（如OA等）、管理服務器

17、區（如IT運維、管理等系統）等。考慮到新的核心交換的高性能，將所有的服務器直接接到核心交換，通過核心區域的安全設備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業務系統進行統一訪問。4.1.4.4. 網絡匯聚區設計網絡匯聚區域，根據現有的網絡結構及客戶需求，設立新的網絡匯聚節點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產區域。該區域的網絡設備主要以現有的生產網匯聚設備為主、另外融合了寬帶網和設備網的匯聚設備，同時考慮現有匯聚設備性能不能滿足需求的情況，新增高新能的匯聚設備。匯聚層設備通過雙鏈路的方式與核心層

18、兩臺核心交換設備相連，同時，為保障網絡的健壯性，以及便于各個分廠區之間數據交互，各個分廠區的匯聚交換機之間也有線路直連。各匯聚節點與核心層的連接，應全部采用1000Mbps或1000Mbps以上的連接方式，分布層設備實現本區域內的各Vlan的路由處理和安全限制。4.1.4.5. 接入層部分網絡匯聚節點主要下聯現有的生產網接入設備，同時，將原寬帶網和設備網的接入設備融入，構建統一的網絡接入平臺，不再重復建網。新的網絡平臺融合了，生產網的數據訪問和外網互聯的需求，使用同一終端即可實現內外網同時訪問的功能。接入層設備與分布層設備通過1000M光纖或雙絞線的方式連接，在用戶量較少的分節點可以采用100

19、M上聯方式，與各終端用戶連接一般采用100M或者1000M雙絞線的方式。生產網中其他辦公樓及分廠區的網絡接入，通過自動化車間和軋鋼總降等匯聚節點，接入到新的數據網絡中。各個分廠區的網絡接入情況如下圖所示：自動化車間匯聚網絡拓撲圖軋鋼總降匯聚網絡拓撲圖4.1.5. 網絡協議設計4.1.5.1. IP地址和VLAN規劃IP地址是網絡設計工作中重要的一環，使用IP地址不當會造成路由表龐大、難以部署安全控制、地址重疊問題、地址空間耗盡等問題，會給網絡運行帶來很大麻煩。為了讓*網絡建設項目順利進行，我們建議*網絡采用以下IP地址規劃原則進行適當改進：1、 為公司各個二級單位、應用業務、數據中心采用統一規

20、劃，統一分配，統一管理的地址設計原則，避免重疊地址的出現。設定專門流程和人員對全公司網絡地址進行記錄和權限管理。2、 盡可能采用私有地址進行IP地址分配。私有地址就是我們熟知的三類網絡地址，分別是A類網中的10.0.0.010.255.255.255范圍，B類網中的172.16.0.0172.31.255.255范圍，C類網中的192.168.0.0192.168.255.255范圍。3、 整網地址規劃思路可按照以下方法設計，如10.X.Y.Z，X為不同廠區進行標示，Y為該廠區內不同業務或應用進行標示，Z為主機地址位。4、4個網絡可以匯聚成10.254.128.0/22。在定義測試區安全策略時

21、，不用將4個網段同時定義成ACL，使用一條ACL就可以包括全部網絡。5、 使用可變長掩碼規劃網絡地址，根據IP地址使用對象的特點，部署不同長度子網掩碼。例如，應用網段的IP地址，可以采用C類網地址，掩碼為24位；區域設備之間的互連地址可以采用29位掩碼。6、 不同主機實際網關IP地址與HSRP使用的IP地址應該在整個數據中心統一，使用相同的方式配置，例如：整個廠區均采用X.X.X.1作為主機實際網關IP地址，HSRP采用X.X.X.254為HSRP網關地址。7、 網絡互連地址采用IP地址網段的頭兩個可用地址，核心側設備接口配置奇數地址，邊緣側設備接口配置偶數地址。例如，設備A與設備B互連，采用

22、10.254.254.0/29網段為互連地址，該網段頭兩個可用地址為10.254.254.1和10.254.254.2，設備A為核心設備，配置奇數地址10.254.254.1，設備B為邊緣設備，配置偶數地址10.254.254.2。8、 網絡設備配置環回地址（32位掩碼地址），用于網絡管理和日志管理。VLAN主要用于將局域網環境劃分為多個邏輯網絡，從而降低廣播風帶來的影響，也可提高網絡可管理性和安全性。建議在此次網絡建設中可按照以下原則對新建VLAN及原有VLAN進行適當調整和修改。1、 VLAN ID的規劃可按照應用業務、工作部門、廠區位置等方法定義，這里建議按照原有網絡規劃方法進行。2、

23、VLAN ID可以是2-4096任意數字，為了方便標示和管理，建議ID與IP網段地址相關聯。如10.18.10.0/24 VLAN10; 10.18.20.0/24VLAN20; 10.18.30.0/24VLAN30等。3、 VLAN規劃避免重復，全網VLAN靜態手動分配（在根交換機），統一管理和記錄。4.1.5.2. 動態路由協議對一個大網絡來說，選擇一個合適的路由協議是非常重要的，不恰當的選擇有時對網絡是致命的，路由協議對網絡的穩定高效運行、網絡在拓樸變化時的快速收斂、網絡帶寬的充分有效利用、網絡在故障時的快速恢復、網絡的靈活擴展都有很重要的影響。目前存在的路由協議有：RIP(v1&v2

24、)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據路由算法的性質，它們可分為兩類：距離矢量(DistanceVector)協議(RIP/IGRP/EIGRP)和連接狀態(LinkState)協議(OSPF/IS-IS)。可用于大規模的網絡同時又基于標準的IGP的路由協議有OSPF和IS-IS。兩種路由協議均是基于鏈路狀態計算的最短路徑路由協議；采用同一種最短路徑算法（Dijkstra）。 考慮到產品對OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經驗，建議采用OSPF做為*網絡的主用動態路由協議。作為鏈路狀態協議，OSPF的特征如下：l 通過維護一個鏈路狀態數據庫，

25、使用基于Dijkstra的SPF路由算法。l 使用Hello包來建立和維護路由器之間的鄰接關系。l 使用域（area）來建立兩個層次的網絡拓撲。l 具有域間路由聚合的能力。l 無類（classless）協議。l 通過選舉指派路由器（Designed Router）來代替網絡廣播。l 具有認證的能力。OSPF是一套鏈路狀態路由協議，路由選擇的變化基于網絡中路由器物理連接的狀態與速度，變化被立即廣播到網絡中的每一個路由器。每個路由器計算到網絡的每一目標的一條路徑，創建以它為根的路由拓撲結構樹，其中包含了形成路由表基礎的最短路徑優先樹（SPF樹）。下圖是OSPF分Area的狀態。OSPF Area的

26、分界處在路由器上，如圖所示，一些接口在一個Area內，一些接口在其它Area內，當一個OSPF路由器的接口分布在多個Area內時，這個路由器就被稱為邊界路由器（ABR）。每個路由器僅與它們自己區域內的其它路由器交換LSA。Area0被作為主干區域，所有區域必須與Area0相鄰接。在ABR（區域邊界路由器，Area Border Router）上定義了兩個區域之間的邊界。ABR與Area0和另一個非主干區域至少分別有一個接口。OSPF允許自治系統中的路由按照虛擬拓撲結構配置，而不需要按照物理互連結構配置。不同區域可以利用虛擬鏈路連接。 允許在無IP情況下，使用點到點鏈路，節省IP空間。OSPF是

27、一個高效而復雜的協議，路由器運行OSPF需要占用更多CPU資源。下面從層次能力、穩定性、擴展性和可管理性四個方面對OSPF進行介紹： 層次能力通過 areas支持層次化邊界在router 內鏈路狀態數據庫（LSDB）來自網絡或路由器LSA 尺寸 64 KB to 5000 條鏈路的限制 穩定性依靠路由設計和實現大型網絡中使用呈現增強的趨勢 擴展性使用擴展 TLV 編碼策略新擴展需開發時間 管理性企業網中大范圍使用可借鑒經驗較多此次網絡建設項目，我們建議在各個區域之間開始部署OSPF動態路由協議。因為接入交換機多數為二層交換機，無法一次實現路由到用戶邊界的改造，所以此次僅將各個區域的核心交換開啟

28、路由進程，今后可逐步實現全網的路由建設。各個區域在本次設計中都部署高性能三層交換機，這些交換機需具備完整的路由支持功能。區域間核心設備組建OSPF協議的骨干area，未來在大范圍部署動態路由協議時，可考慮將各個廠區劃分為area1，area2等等，可以充分做到基于area的路由匯總和控制。互聯網區域可按照需要，適當采用靜態路由的方式完成園區網與外網的連通。未來可逐漸增加路由的范圍，逐步演變為路由到用戶邊界的形式。4.1.6. 設備選型建議4.1.6.1. 華為產品選型方案產品類型選型建議配置描述數量備注核心交換機華為 S12808背板帶寬：32Tbps；包轉發率：9600Mpps；8個業務槽位

29、；支持基于Layer2、Layer3、Layer4優先級等的組合流分類支；電源功率：10800W；2華為 S9306背板帶寬：6Tbps；包轉發率：1152Mpps；擴展模塊：6個業務槽位；支持基于Layer2協議；安全管理：802.1x認證1生活區寬帶網核心交換機匯聚交換機華為 S632424個GE SFP/10 GE SFP+端口,雙電源槽位,含USB接口，交流供電；轉發性能:715 M；交換容量:960 G；2華為 S532420個10/100/1000Base-T，4個千兆Combo口分交流供電和直流供電兩種機型, 支持RPS 12V冗余電源，支持USB口,交換容量48G144.1.6

30、.2. 華三產品選型方案產品類型選型建議配置描述數量備注核心交換機H3C S12508機箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業務板，冗余電源2H3C S10508機箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業務板，冗余電源1生活區寬帶網核心交換機匯聚交換機H3C S7506E機箱，雙Salience VI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3C S5500H3C S5500-52C-EI-以太網交換機主機(48GE+4SFP Combo+2Slots)，4個單模SFP模塊144.2. 安全系統4.2.1. 系統設計目標

31、本次*網絡改造項目建設目標是通過建立完善的安全體系，在網絡安全，主機安全和應用安全三個層面上，搭建一套立體的安全架構。這樣可以實現抵御各個層面的攻擊，防止病毒入侵等功能。同時進行主機的風險評估和安全加固服務，提前屏蔽漏洞風險。并通過安全管理平臺實現安全審計功能，做到事件追蹤。4.2.2. 系統設計原則4.2.2.1. 整體性原則建設*安全系統時應充分考慮各個層面的因素，總體規劃各個出入口網關的安全策略。本次*網絡改造項目充分考慮各個環節，包括設備、軟件、數據等，它們在網絡安全設計中是非常重要的。只有從系統整體的角度去看待和分析才可能得到有效，可行的措施。4.2.2.2. 適應性及靈活性原則隨著

32、互聯網技術的高速發展，對網絡安全策略的需求會不斷變化，所以本次部署的安全策略必須能夠隨著網絡等系統性能及安全需求的變化而變化，要做到容易適應、容易修改。4.2.2.3. 一致性原則一致性原則只要指安全策略的部署應與其他系統的實施工作同時進行，方案的整體安全架構要與網絡平臺結構相結合。安全系統的設計思想應該貫穿在整個網絡平臺設計中，體現整體平臺的一致安全性。4.2.2.4. 需求、風險、代價平衡的原則對網絡要進行實際的研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險以及付出的代價進行定性與定量相結合的分析，然后制定規范和措施，確定系統的安全策略。4.2.2.5

33、. 易操作性原則安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；同時措施的采用不能影響系統的正常運行。4.2.2.6. 多重保護原則本次*安全系統要建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。4.2.2.7. 經濟性原則在滿足*系統安全需求的前提下，選用經濟實用的軟硬件設備，以便節省投資，即選用高性能價格比的設備；同時，應該充分挖掘現有系統軟硬件設備的使用潛力，盡可能以最低成本來完成安全系統建設。4.2.3. 安全體系結構*網絡系統安全區域劃分示意圖如下：*網絡系統安全區域劃分如上圖所示，*網絡系統劃分為多個安全區域，分

34、別為：出口區域、DMZ區域、管理網接入區域、中心服務器區域和核心交換區。其中，出口區域和DMZ區域設備可訪問Internet，部分設備也可由Internet訪問，但均不可由公網直接路由到，安全級別為中；管理網接入求負責公司二級接入網絡同中心服務器及出口區域的數據交互，安全級別為高；中心服務器區域設備為*核心數據，在公網不可以訪問，內網用戶只能經授權后訪問特定服務，安全級別最高。接入層的安全級別如上圖所示：管理網中，可以上外網的Internet接入終端的安全級別低；只能訪問管理網業務系統的接入終端，安全級別較高。4.2.4. 子系統規劃4.2.4.1. 網絡隔離系統1. 出口防火墻通過部署兩臺千

35、兆出口防火墻實現Internet與*內網的隔離。兩臺防火墻一主一備，提高出口可靠性。出口防火墻劃分的內外網之間的訪問策略為：內網到公網基本不做限制，主要是考慮到內網的上網終端上網需求，另有些設備需要到公網升級；公網到備內網只針對DMZ區域開放相應端口（如80）。部署在出口區域的設備如有和內網核心服務器通訊的需求，在出口防火墻上對這些需求打開相應的IP和端口。2. 內網防火墻通過內網防火墻實現核心內網區域之間的隔離。由于數據流較大，兩臺防火墻采用雙活方式工作，不同業務的數據流分別通過不同的防火墻，實現數據流的動態分擔。實現安全的同時兼顧傳輸效率。部署內網防火墻后，要針對業務的情況制訂特定的訪問策

36、略，策略制定完成后只開放特定主機的IP與服務端口，其他訪問一律禁止。4.2.4.2. 入侵檢測系統*網絡系統需在網絡的關鍵位置部署入侵防御系統（IPS）。建議在網絡前端核心設備部署兩臺IPS設備。可監控內網與公網之間的數據交互、公網對DMZ區域的訪問數據、監控接入/DMZ區域終端對核心內網的數據交互。4.2.4.3. 漏洞掃描系統為了防止網站被黑客入侵，需要在網絡系統中部署漏洞掃描系統，通過漏洞掃瞄系統可以定期對網絡系統進行安全性分析，發現并修正存在的弱點和漏洞。漏洞掃瞄系統是管理員監控網絡通信數據流、發現網絡漏洞并解決問題的有力工具。針對本系統的網絡設計，我們將漏洞掃瞄系統部署在核心內網管理

37、區域，使漏洞掃描系統能夠盡量不受限制的對待評估系統進行訪問。漏洞掃描系統部署后，將會對*的各個業務系統以及安全系統設備進行掃描，根據掃描評估結果可以及時發現系統漏洞并及時采取措施。4.2.4.4. 安管平臺系統安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統。其中安全管理平臺服務器部署在*核心內網管理區域，由防火墻提供保護，外網用戶不允許訪問該服務器。被管對象和安全管理平臺服務器有數據傳輸，它們之間要路由可達。本次安全管理平臺需要管理重要服務器和所有安全設備，收集日志后并做出分析，分出告警級別。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員。4.2.4.5. 防病毒

38、系統防病毒系統的建設首先要依據本次系統設計的總體結構，從網絡中業務系統的模式和主要可能感染病毒的系統和區域進行設計和考慮。通過分析*網絡系統的特點，可以總結病毒感染的途徑如下：l 部分服務器如windows平臺容易受到病毒攻擊；l 公司內部員工若有訪問互聯網的權限，則可能感染網絡病毒，并通過HTTP、FTP等流量把病毒和惡意的移動代碼帶入網站；l 通過U盤傳播病毒；l 各種蠕蟲病毒主動地通過網絡傳播。從以上的分析入手，本系統的病毒防范工作必須從病毒防護的主體著手，根據他們之間的訪問關系施加防護及病毒監控。本次方案防病毒系統采用防病毒網關與網絡防病毒系統相互結合的方式，建立完整的防病毒體系。其中

39、防病毒網關服務可集成在出口防火墻上，在內網部署網絡防病毒系統，實現對系統中的關鍵服務器以及內部終端進行病毒防護，嚴防病毒感染關鍵服務器以及終端后造成業務系統受病毒影響。4.2.4.6. 統一用戶/身份管理用戶是IT系統中各類活動的實體，如人、組織、虛擬團隊等。用戶管理是指在IT系統中對用戶和權限的控制，包括了身份管理、用戶授權、用戶認證等，身份管理是基礎，用戶授權和認證是之上的服務。身份是一個實體區別于其它實體的特性，IT系統中的身份通常指一個人在信息系統中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的屬性的集合。身份屬性具有一些特點：往往是較短的數據元素如名稱、郵件、電話、照

40、片、數字證書等。身份管理就是產生和維護身份屬性的過程，也是管理不同實體之間關系的能力。身份管理（Identity Management）是用戶管理(User Administration)的一部分。統一用戶管理（UUM）就是對不同的應用系統進行統一的用戶認證，通過統一的用戶認證平臺提供一個單一的用戶登陸入口。用戶在操作系統域登陸時經過統一用戶管理平臺認證，就具備了使用相關應用的權利。同時統一用戶管理平臺還提供對長時間無應用操作的超時重認證功能，更加可靠的保證安全。統一用戶管理為用戶提供多種登陸手段，包括傳統的口令登陸以及安全性能更高的CA、USB Key等，使用戶在使用統一身份認證平臺上有更靈

41、活的選擇。在認證手段上，統一用戶管理提供支持LDAP/AD協議的認證中心管理，支持多種認證中心認證，保證用戶信息的安全、可靠。4.2.4.7. 單點登錄單點登錄（SSO，Single Sign-on）是一種方便用戶訪問多個系統的技術，用戶只需在登錄時進行一次注冊，就可以在多個系統間自由穿梭，不必重復輸入用戶名和密碼來確定身份。單點登錄的實質就是安全上下文（Security Context）或憑證（Credential）在多個應用系統之間的傳遞或共享。當用戶登錄系統時，客戶端軟件根據用戶的憑證（例如用戶名和密碼）為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統用這個安全上下文

42、和安全策略來判斷用戶是否具有訪問系統資源的權限。目前業界已有很多產品支持SSO，但各家SSO產品的實現方式也不盡相同。如通過Cookie記錄認證信息，通過Session共享認證信息。Cookie是一種客戶端機制，它存儲的內容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構成了Cookie的作用范圍，因此用Cookie方式可實現SSO，但域名必須相同；Session是一種服務器端機制，當客戶端訪問服務器時，服務器為客戶端創建一個惟一的SessionID，以使在整個交互過程中始終保持狀態，而交互的信息則可由應用自行指定，因此用Session方式實現SSO，不能在多個瀏覽器之間實現單點登

43、錄，但卻可以跨域。4.2.4.8. 上網行為管理系統針對內部上網的人員，一方面從安全角度考慮，需對網站資源進行篩選過濾，對非授權人員訪問互聯網，以及內部人員訪問惡意站點等行為進行阻斷；另一方面從管理角度考慮，需對內部人員上網方式進行管理，使上網訪問資源可控。針對這種需求，我們建議將上網行為管理設備部署在互聯網出口處。對所有上網終端進行安全防護，實現對內網用戶的上網行為進行管理、過濾和審計，可通過用戶身份認證、上網時間管理、網頁訪問控制、IM管理、郵件管理、論壇管理、P2P管理、游戲管理等方式對上網行為進行限制和審計。4.2.4.9. 終端安全管理系統由于目前互聯網安全問題突出，針對內部上網終端

44、只有防病毒系統是遠遠不夠的。需要對終端安全情況進行統一管理，包括硬件資產管理、補丁管理、軟件管理、進程管理、安全軟件管理等。對終端的安全情況進行加固后方允許接入網絡，否則不允許接入。提高整個內部局域網的安全準入能力。4.2.4.10. 時鐘系統由于對數據庫的訪問需要各業務系統保證時鐘的統一，因此建議在網絡中部署一臺時鐘服務器，網絡中其它設備通過NTP協議將自己的時鐘與該服務器上的時間信息進行同步，從而統一內網服務器的時間。在為信息系統時鐘系統進行設計時，充分考慮到時鐘系統的可靠性與準確性，保證內網的時間是準確和穩定的。4.2.5. 設備選型建議產品選型信息如下表所示：序號產品名稱選型建議配置描

45、述數量1防火墻網御Power V-3220UTM或啟明星辰2010D標準2U機箱，冗余電源，配4個10/100/1000MBase-T接口,可選配IPS、VPN和防病毒模塊62入侵防御設備天清入侵防御系統NIPS3060D包括NIPS3060D硬件平臺一臺，NIPS3060D千兆檢測引擎軟件一套，天清入侵防御系統NIPS數據中心軟件一套，帶一年的入侵防御特征庫升級授權23鏈路負載均衡設備Array-3520-NAPV3520 NetVelocity Edition 鏈路負載均衡,12千兆電口+4千兆光口(SFP，LC，多模)，冗余電源44應用負載均衡設備般固BG-ADC-2000-L8個10/

46、100/1000Mbps端口，4個可選千兆光纖端口，1個 Core 2 Duo 處理器，4GB內存，220V AC 冗余電源25時鐘系統DNTS-82-OGGPS,雙網口10/100M內置恒溫晶振,高精度保持,LCD,RS232/485,1pps,本地告警,機架式16漏洞掃描系統綠盟NSFOCUS RSAS X綠盟NSFOCUS RSAS X遠程安全評估系統，硬件產品，支持256個IP掃描，三年服務17統一認證和單點登錄系統統一認證系統統一認證系統含50用戶USBKey18安管平臺系統啟明星辰安全管理中心軟件啟明星辰安全管理中心軟件，包含事件收集、事件監控、域與資產管理、風險管理、告警和預警、報表管理等模塊，支持20臺安全設備管理19防病毒系統瑞星企業專用版防病毒系統瑞星企業專用版防病毒系統，5個服務器端，1個管理中心，25個客戶端110上網行為管理系統深信服上網優化網關SG-6500-L包括上網加速、帶寬管理、上網安全、上網認證、上網代理、訪問控制、外發管理、審計、監控、報表211終端安全管理系統北信源或BTA終端安全管理系統終端安全管理軟件，3000客戶端1