内网网络建设项目设计方案

1 内网网络建设项目设计方案 第一章 用户需求分析 网络建设目标 根据 *的使用性质，其计算机网络系统的设计与建设应当符合当前及今后一段时间的管理及运行要求。根据当前管理与应用的需求，选择性能价格比较高的设备。将 *计算机网络系统建设成实用、经济、先进、开放、高效、安全、节能与管理融为一体的现代化办公系统。 计算机网络系统设计要求 本工程计算机网络系统采用内部局域网（以下简称内网）和外部局域网（以下简称外网）物理隔离方式。要求采用二级星型拓扑结构，在办 公楼 5 层控制机房内设置万兆位核心层网络交换机，在各个单位的网络机柜设置 10/100/1000M 接入层交换机，构成千兆到各单位，百兆到用户端点。中心机房设置光纤点，光纤采用千兆直接到中心机房。独立采用 1 台高性能路由交换机作为中心机房交换机。 12 台接入层交换机分别连接到各个单位的网络机柜。要求各个区域的网络即可以单独构成独立的网络，也可以实现与核心交换机形成统一的网络，共同接入互联网。 接入层内外网需分开配置 。 本工程计算机网络系统采用内部局域网将更换生产部、氨加工分厂库房、动力分厂办公楼、新区总控、合成氨分厂、 供应部库房、设按公司、仪表、供应销售处的多模光缆更换成单模光缆。把以前的生产部的二级机房取消，所有光缆由中心机房直接敷设至接入层交换机。 无线扩容：将来也可以在各层走廊设无线 络可提供大楼内无线局域网功能及 话功能。话用户可根据需要通过网络信息点灵活配置，网络交换机自带在线电源。 本次设计用现有的防火墙及上网行为管理，不考虑系统应从防火墙、入侵检测、漏洞扫描、 全审计、安全恢复和备份、防病毒、物理隔离等多个角度综合全面考虑本工程的网络安全设计。 2 第二章 网络整体设计概述 总体网络设计原则 计算机网络系统设计必须适应当前智能办公系统的各项应用，又可面向未来信息化发展的需要，因此必须是高质量的。在设计网络时，需要遵循以下原则： （一） 实用性和先进性 采用先进成熟的技术满足综合智能化办公业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。 （二） 安全可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设 备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。 （三） 灵活性和可扩展性 计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据合肥新化化肥厂不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。 （四） 开放性和互连性 具备与多种协 议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。 （五） 经济性和投资保护 应以较高的性能价格比构建本计算机网络系统，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。 （六） 可管理性 3 由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络 设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。 体组网方案概述 根据 *计算机网络系统的具体需求，经过合理规划，总体网络设计分为内部办公局域网。网络互联出口分为 入和新化化肥厂专网接入。网络建设目标实现内部局域网和联互通，方便快捷的信息交换，同时健全安全保障体系，确保网络与信息的安全。 （一） 内部局域网： 内网网络拓扑图如下： 4 层次设计： 内部局域网采用标准的三层结构设计。核心层采用高端多业务路由交换机，通过双万兆链路连接各汇聚层交换机；汇聚层采用 全千兆三层交换机 ，通过双千兆链路连接各接入层交换机；接入层采用三层智能交换机，通过智能弹性堆叠，提供高密度百兆到桌面，双千兆上行。并通过百兆连接增强型无线 供楼层无线宽带接入。 数据中心（内网服务器）： 数据中心（内网服务器）采用 全千兆智能三层交换机作为汇 聚 ， 通过双千兆捆绑高速链路连接至内网防火墙 。为保障内网数据中心的高安全需求，在数据中心汇聚交换机与内网防火墙间部署高性能 侵防御系统。实现内网和专网对数据中心的高效访问，同时通过防火墙和入侵防御系统的双重保护，保障数据中心内网服务器的安全。 （二） 外部局域网： 5 外网网络拓扑图如下： 层次设计： 考虑新化化肥厂内网和外网物理结构相同，因此外网也采用标准的三层结构设计。核心层采用高端多业务路由交换机，通过双万兆链路连接各汇聚层交换机；汇聚层采用 全千兆三层以太网交换机 ，通过双千兆链路连接各接入层交换机 ；接入层采用三层智能交换机，通过智能弹性堆叠，提供高密度百兆到桌面，双千兆上行。并通过百兆连接增强型无线 供楼层无线宽带接入。 接： 外网 口配置高性能专业防火墙，外网核心交换机通过双千兆链路连接外网防火墙，外网防火墙再通过 100/1000M 链路连接至运营商提供的 口，实现外网的 入。为了更好的抵御来自 威胁，在外网防火墙与 口间部署 侵防御系统，对所有流经的流量进行深度分析与检测，从而具备了实时阻 断 各种网络 攻击的能力 。 6 第三章 内部局域网设计 网核心层设计 核心层设备位于办公楼五层中心机房。 采用 1 台 7506R 高端多业务路由交换机。通过双万兆捆绑 多膜 光纤链路连接汇聚层设备，构成高速万兆骨干，保障核心网数据高速全线速交换。 核心交换 7506R 采用机箱式模块化设计，整机共 8 个槽位， 6 个业务槽和 2 个主控槽。可灵活配置百兆、千兆、万兆不同端口密度，不同接口方式的业务接口板，满足用户多样化的需求。 核心层大容量高性能特性： 7500 系列交换机采用先进的全分布式体系结构设计，通过主引擎 和分布式高速业务接口板上内置的 换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能 位于主控引擎上的 同工作，实现 分类、 播等业务的全分布式处理。 7506R 系列交换机提供业界领先的交换能力，高达 背板容量， 768由交换引擎提供 432数据转发能力，最大可以实现 288 个 线速转发或 24 个 10应网络业务不断发展的需求，持续保护用户投资。 核心层可靠性： 7500 系列交换机采用 电信级、自适应的可靠性设计， 支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持 协议实现链路冗余，同时 列交换机具有专利的 性环网保护技术，可以提供 50别的链路故障业务快速恢复手段，这些使得以 列交换机为核心的骨干网络可靠性大大提高，保障了业务的永续性。 核心层网络安全特性： 7500 系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的 陆 、基于用户安全策略的 3、 P+定、 证等安全策略。支持防网络风暴攻击、防 击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。 丰富的多业务支持： 7500 系列交换机 支持强大的组播功能、灵活 置 7 多种业务特性，这些业务特性极大的提高了企业网络业务部署的简便性和灵活性，同时增强了对 音、视频、 支持能力，为企业 统实现通信整合提供了便 利。基于 “P”的体系结构，可以灵活的支持业务功能的不断扩展，通过多功能网络处理器模块，可以进一步支持 多种高级业务特性。 特色的网络流量分析功能： 7500系列交换机可以支持 流分析）功能，通过 可帮助网络管理员轻松的获得详细的网络应用信息，使网络系统变得透明、可见。例如查看 件传输协议 ( 其它著名的 P 应用所占通信资源的百分比，以及用户利用网络和应用资 源的详细情况，进而用于高效地规划和分配资源，并保障网络的安全运营。 网汇聚层设计 汇聚层设备位于 10 层中心机房。 采用 3 台 7502 高端多业务路由交换机，上行通过双万兆捆绑光纤链路连接至核心交换，下行通过双千兆捆绑光纤链路连接各接入层交换机。提供大容量、全线速的数据汇聚转发。 整个综合楼分三个区域汇聚， 15 层以上的楼层接入交换机集中连接到 1 台 换机； 9 至15 楼层接入交换机集中连接到 1 台 换机； 9 层以下楼层接入交换机集中连接到 1 台 3 台 换机通过双万兆汇聚 到核心交换上。 汇聚层强大的 3 转发性能： 7502 交换机采用先进的全分布式体系结构设计，通过分布式高速业务接口板上内置的换网芯片实现板内、板间二、三层流量的线速分布式转发，高达 192交换容量，提供 144据转发能力，最大可以实现 96 个 8 个 10线速转发，保障了汇聚层网络全面升级至万兆平台。 汇聚层电信级可靠性设计： 7500 系列交换机支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持 协议实现链路冗余。 汇聚层完善的网络安全特性 7500 系列交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的 陆、基于用户安全策略的 3、 P+定、 证等安全策略。支持防网络风暴攻击、防 击、防扫描窥探攻击、防畸形报文攻击、防网络 8 协议报文攻击等安全技术。 汇聚层丰富的多业务支持 7500 系列交换机 支持强大的组播功能、灵活 置 多种业务特性，这些业务特性极大的提高了网络业务部署的简便性和灵活性，同时增强了对 音、视频、 支持能力，为企业 统实现通信整合提供了便利。 网接入层设计 内网接入层设备分布于各楼层配线间。 统一采用 3600 智能弹性三层交换机，每个楼层根据用户信息接入点的数量，灵活配置 48 端口和 24 端口盒式交换机，通过智能弹性堆叠，提供高密度端口扩展和统一管理。接入层每个堆叠组通过双千兆捆绑的光纤链路连接到汇聚层交换机。另外每台 提供 4 个千兆 口， 可实现多千兆捆绑增加上行带宽，还可以实现少量千兆到桌面的接入。 3600 系列交换机主要有以下三个型号： 24 个 10/100太网端口， 4 个 1000兆以太网端口； 24 个 10/100太网端口， 2 个 1000兆以太网端口， 2个 10/100/1000太网端口； 48 个 10/100太网端口， 4 个 1000兆以太网端口； 换容量为 /三层转发率 换容量为 /三层转发率 接入层弹性扩展技术 3600 系列交换机采用华为 3司创新的 能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势： 扩展性 术允许交换机利用互联电缆实现多台设备的扩展，最大扩展至 384 个 10/100有即插即用、单一 理，同步升级的优点，同时大大降低系统扩展的成本。 可靠性 通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发，极大的增强了堆叠架构的可靠性和性能，同时消除了单点故障，避免了业务中断。 9 分布性 现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。 接入层完备的安全策略： 3600 系列交换机支持 点准入防御）功能，配合后台系统可以将终端防病毒、补 丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 3600 支持跨交换机的远程端口镜像功能（ 可以将接入端口的流量镜像到核心交换机（例如 500）上，在核心上启动网流分析（ 能，配合 统对监控端口的业务和流量进行监控、优化部署和恶 意攻击监控。 3600 系列交换机提供 听 )功能，通过建立和维护 定表实现侦听接入用户的 址、 址、租用期、 口等信息，解决了 户的 端口跟踪定位问题。同时对不符合绑定表项的非法报文（ 骗报文、擅自修改 址的报文）直接丢弃，保证 境的真实性和一致性。同时利用 信任端口特性可以保证 合法性。 接入层多业务融合能力： 3600 系列交换机 提供丰富的 能，能为数据、语音、视频、多媒体等不同的业务提供服务质量保证。 3600 系列交换机通过支持 术和智能 术很好的解决了该类设备的智能检测、供电和优先级的调整问题。 接入层 高可靠性设计： 3600 系列交换机除了支持高可靠性的 术以外，还支持传统的 大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持 拟路由冗余协议，与其他三层交换机构建 份组。构建故障时的冗余路由拓扑 结构，保持通讯的连续性和可靠性，有效保障网络稳定。 支持 价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。 采用交流 /直流双输入设计，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份。 网连接 新化化肥厂专网出口配置 1 台 1000性能专业防火墙。内网核心交换机通过双千 10 兆捆绑高速链路连接内网防火墙，内网防火墙再通过 100/1000M 链路连接至新化化肥厂专网路由器，实现内部局域网到新化化肥厂专网的互联，同时内网防火墙有效的防御来自新化化肥厂专网对内 部局域网和数据中心的威胁。 1000火墙提供四个千兆以太网接口，其中两个千兆电口，两个千兆光电复用接口。还提供两个 槽，可支持 4 个百兆或千兆端口扩展。高达 1吐量的数据检测， 支持 100 万个并发连接。 据中心（内网服务器） 数据中心（内网服务器）采用 1 台 5600 全千兆智能三层交换机作为汇聚 ，通过高密度千兆以太网接口连接内网各功能服务器， 通过双千兆捆绑高速链路连接至内网防火墙 。为保障内网数据中心的高安全需求，在数据中心汇聚交换机与内网防火墙间部署 1 台 性能入侵防御系统。实现内网和专网对数据中心的高效访问，同时通过防火墙和入侵防御系统的双重保护，有效防御来自内部局域网和新化化肥厂专网的威胁。 列 备对 2 层到 7 层流量的深度分析与检测能力，同时配合以精心研究的攻击特征知识库和用户规则，即可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为，也可以对分布在网络中的各种流量进行有效管理，从而达到对网络上应用的保护、网络基础设施的保护和网络性能的保护。 提供 8 个 10/100/1000M 以太网接口，光接口和电接口可灵活选择，可同时保护 4 个网段；高达 400据检测吞吐量， 200 万并发连接。很好的解决了数据中心高安全性要求和高带宽保障的矛盾，在保障数据中心高度安全的情况下，并不降低数据中心的访问效率，不会让安全设备成为数据中心的带宽瓶颈。 5600 系列交换机产品特性： 大容量全线速的多层交换 列交换机具有 192G/240G 的交换容量和 66M/102二 /三层包转发能力，支持所有端口线速转发。 设备最大提供 24/48 端口 10/100/1000M 电接口、 32 个 兆光接口或 2个 10G 接口，充分满足客户对高密度 万兆上行设备的需求。设备具备强大的 叠扩展能力，极大的节省了用户对设备的投资。 11 能弹性架构技术 列交换机采用创新的 能弹性技术，与传统组网技术相比，在扩展性、可靠性、整体架构的性能方面具有强大的优势，主要体现在三个方面； 扩展性 术允许交换机利用互联电缆实现多台设备的扩展，最大实现 8 台设备的弹性扩展；具有即插即用、单一 理，同步升级的 优点，同时大大降低系统扩展的成本。 可靠性 通过专利的路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发，极大的增强了堆叠架构的可靠性和高性能，同时消除了单点故障，避免了业务中断。 分布性 通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份，从而提高整个网络架构的冗余性和链路资源的利用率。 高可靠性 列交换机采用 术组网后，能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大地增强了设备和网络的可靠性，消除了单点故障，避免了业务 中断。同时 5600 系列交换机不仅支持 成树协议，还提供了基于多 生成树 大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。 支持 拟路由冗余协议，与其他三层交换机构建 份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定。支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。采用交、直流双输入电源模块供电，也可以通过更换电源模块来支持 能，提供所有固定端口的 负载。 丰富的 略 5600 系列交换机支持基于源 址、目的 址、源 址、目的 址、端口、协议的 7 复杂流分类；每端口支持 100 个流规则，整机支持 3200/5600 个流规则，充分保障了复杂网络对于 则的要求。 提供灵活的队列调度算法，可以同时基于端口和队列进行设置，支持 种模式；支持 8 个优先级队列。 支持 能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至 64网络带宽的精细化管理提供了手段。 12 第四章 外部局域网设计 外网层次结构设计 考虑 *计算机网络系统外网和内网物理结构完全相同，因此外部局域网与内部局域网采用相同的层次结构设计，核心层、汇聚层和接入层均采用与内部局域网相同的设备选型和配置，采用相同的链路连接方式。外部局域网层次结构设计参见上述内部局域网三层结构设计，这里不再复述。 网 外网 口配置 1 台 1000性能专业防火墙，外网核心交换机通过双千兆捆绑高速链路连接外网防火墙，外网防火墙再通过 100/1000M 链路连接至运营商提供的 口，实现外网的 入。 据中心（外网服务器） 数据中心（外网服务器）采用 1 台 5600 全千兆智能三层交换机作为汇聚 ， 通过双千兆高速链路连接至外网防火墙 ，实现外部局域网和 外网服务器的高效访问，同时外网防火墙有效的防御来自 部局域网和外部服务器的威胁。 第五章 网络安全设 计 网络安全概述 随着计算机网络的不断发展，全球信息化已成为人类发展的大趋势 ， 给政府机构、企事业单位带来了革命性的改革。但由于计算机网络具有联结形式多样性、网络的开放性、互连性等特征，致使网络易受黑客、病毒、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要 13 的问题 。 为了确保信息的安全与畅通 ， 网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性， 进行有效的管理和控制，主要体现在以下几个方面： 网络隔离需求： 主要是指能够对网络区域进行分割，对不同区域之间的流量进行控制，通过对数据包 的源地址、目的地址、源端口、目的端口、网络协议等参数，可以实现对网络流量的精细控制，把可能的安全风险控制在相对独立的区域内，避免安全风险的大规模扩散。 攻击防范能力： 由于 P 协议的开放特性，缺少足够的安全特性的考虑，带来了很大的安全风险，常见的 址假冒、网络端口扫描以及危害非常大的拒绝服务攻击（ ，必须能够提供有效的检测和防范措施。 网络优化需求： 对于用户应用网络，必须提供灵活的流量管理能力，保证关键用户和关键应用的网络带宽，同时应该提供完善的 制，保证 数据传输的质量。另外，应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如支持 滤，支持 别并限流等能力。 用户管理需求： 对于接入局域网、广域网或者 内网用户，都需要对他们的网络应用行为进行管理，包括进行身份认证、对访问资源的限制、终端安全状态检测、对网络访问行为进行控制等。 据在网络安全领域内多年的知识和经验积累，提出以下的安全分区设计模型，主要包括内网办公区、数据中心区、外联数据区、互联网连接区、对外连接区 、网络管理区、广域网连接区等区域。 通过以上的分区设计和网络现状， 出了以防火墙、应用层防御系统、 点准入防御为支撑的深度安全解决方案： 防火墙 防火墙是最主流也是最重要的安全产品，是安全解决方案的核心。它可以对整个网络进行区域分割，提供基于 址和 P 服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、 14 端口扫描、 骗、 用等进行有效防护；并提供 址转换、流量限制、用户认证、 定、智能蠕虫防护等安全增强措施。 应用层防御 传统的安全解决方案中，防火墙和入侵检 测系统 (已经被普遍接受，但仅仅有防火墙和 不足以完全保护网络不受攻击。防火墙作为一个网络层的安全设备，不能充分地分析应用层协议数据中的攻击信号，而 不能阻挡检测到的攻击。因此，即使在网络中已部署了防火墙、 基础网络安全产品， 门仍然发现网络的带宽利用率居高不下、应用系统的响应速度越来越慢。产生这个问题的原因并不是当初网络设计不周，而是近年来蠕虫、 马等安全威胁日益滋长并演变到应用层面的结果，必须有相应的技术手段和 解决方案来解决针对应用层的安全威胁。 以入侵防御系统 ( 为代表的应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御的问题，并且变革了管理员构建网络防御的方式。通过在线部署，检测并直接阻断恶意流量。 终端准入防御 决方案在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终 端具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。 *内部局域网安全设计 *内部局域网安全组网示意图： 15 内部办公局域网是 *信息化办公的主要平台，内部局域网的安全问题直接影响着新化化肥厂的日常工作，内部的很多资料和信息需要高度保密和通信安全。因此内部局域网要求与外部局域网和 持完全的物理隔离。 新化化肥厂专网相对于公共的 环境要安全很多，但也不能排除安全威胁的存在 ，因此内部局域网与新化化肥厂专网互联采用一台 1000性能防火墙，隔离来自专网的网络攻击和非法数据流，避免专网和内网的安全威胁相互扩散。 内网数据中心是信息化建设的核心，掌控建设单位的众多信息资源，其重要性不言而喻。 将内网数据中心部署在内网防火墙的 ，确保内网数据中心与内网和专网的安全隔离。同时在内网数据中心入口部署 1 台 00E 侵防御系统， 对所有 访问数据中心的 流量进行深度分析与检测，实时阻断攻击 ，确保正常业务流的数据交换。 1000华为 3司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用 用状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持多种 务，如 态 ，可以构建多种形式的 供基本的路由能力，支持 16 由策略及策略路由；支持丰富的 性，提供流量监管、流量整形及多种队列调度策略。 1000火墙充分考虑网络应用对高可靠性的要求，采用互为冗余备份的双电源（ 1 1 备份）模块，支持交、直流输入电源模块；业务接口卡支持热插拔，充分满足网络维护、升级、优化的需求；支持双机状态热备，支持 种工作模式。提供机箱内部环境温度检测功能，并支持网 管。 市场领先的安全防护功能 增强型状态安全过滤：支持基础、扩展和基于接口的状态检测包过滤技术，支持按照时间段进行过滤；支持华为 3有 用层报文过滤（ 议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对 括 ）应用层协议的状态监控，支持 用的状态监控。 抗攻击防范能力：包括多种 击防范、 骗攻击的防范、提供 动反向查询、 文标志位不合法攻击防范、超大 文攻击防范、地址 /端口扫描的防范、 定向或不可达报文控制功能、 文控制功能、带路由记录选项 文控制功能；静态和动态黑名单功能； 定功能；支持智能防范蠕虫病毒技术。 应用层内容过滤：可以有效的识别网络中的 各种 式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供 题和内容过滤；支持网页过滤，提供 内容过滤；支持应用层过滤，提供 入攻击防范。 多种安全认证服务：支持 议及域认证；支持基于 系的数字证书（ 式）认证功能；在 路上支持 证协议；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限。 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。 全面 用支持：提 供多对一、多对多、静态网段、双向转换 、 P 和 射等 用方式；支持多种应用协议正确穿越 供 能。 17 入侵防御系统 能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、 击以及点到点应用滥用。通过深达第七层的流量侦测， 入侵防御系统能够在发生损失之前阻断恶意流量。利用 供的数字疫苗 服务，入侵防御系统能得到及时的特征、漏 洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外， 入侵防御系统是目前能够提供微秒级时延、高达 5G 的吞吐能力和带宽管理能力的最强大的入侵防御系统。 通过全面的数据包侦测， 入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力， 入侵防御系统保护 统、路由器、交换机、 其他网络基础设施免遭恶意攻击和防止流 量出现异常。 入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和 源，从而确保网路资源的合理配置并保证关键业务的性能。 品特点： 主动式的入侵防御 以被“ 部署到网络当中去，对所有流经的流量进行深度分析与检测，从而具备了实时阻断攻击的能力，同时对正常流量不产生任何影响。基于其高速和可扩展的硬件平台， 断优化检测性能，使其能够达到与交换机同等级别的高吞 吐量和低延时，同时可以对所有主要网络应用进行分析，精确鉴别和阻断攻击。 无与伦比的高性能 00 备绝对领先的能与交换机媲美的性能指标：高达 200吐量的线速检测、转发；低时延（最大时延 215 微秒）；精确检测攻击并实时阻断；支持 200 万个并发连接；支持每秒 25 万个新建立连接。 威胁抑制引擎（ 于 术开发的威胁抑制引擎（ 高性能和精确检测的基础。该核心架构提供的大规模并行处理机制（ 10,000 条以上并行过滤器），使得 一个报文从 2 层到 7 层所有信息的检测可以在 215 微秒内完成，并且保证处理时间与检测特征数量无线性关系。采用流水线与大规模并行处理融合技术的 以对一个报文同时进行几千种检测，从而将整体的处理性能提高到最佳水平。在具备高速检测功能的同时， 提供增值的流量分类、流量管理和流量整形功能。 以自动统计和计算正常状况下网络内各种应用流量的分布，并且基于 该统计形成流量框架模型；当 击发生，或者 18 短时间内大规模爆发的病毒导致网络内流量发生异常时， 根据已经建立的流量框架模型限制或者丢弃异常流量，保证关键业务的可达性和通畅性。此外，为防止大量的 量侵占带宽，支持对 100 多种点到点应用的限速功能，保证关键应用所需的带宽。 安全保障无处不在 跟踪流状态的基础上，对报文进行 2 层到 7 层信息的深度检测，可以在蠕虫、病毒、木马、 门、 虫、连接劫持、带宽滥用等威胁发生 前成功地检测并阻断，而且， 能够有效防御针对路由器、交换机、 务器等网络重要基础设施的攻击。 支持基于访问控制列表（ 检测、基于统计的检测、基于协议跟踪的检测、基于应用异常的检测、报文规范检测（ 文重组和 恢复。以上机制协同工作， 以对流量进行细微粒度的识别与控制，有效检测流量激增、缓冲区溢出、漏洞探测、 避等一些已知的、甚至未知的攻击。 业界领先的安全 威胁分析团队 安全威胁分析团队也处于业界领先的地位。该团队是安全威胁快讯 主要撰稿人， 周定期向其全球范围内 30 万专业订阅者摘要披露最新安全威胁的公告，内容包含最新发现的漏洞、漏洞所带来的影响、表现形式，而且指导用户如何采取防范措施。 告可以在 数字疫苗 （ 保障实时安全 时更新、发布 的数字疫苗 （ 是网络免疫的保障与基础。在撰写 告的同时， 专业团队同时跟踪其它知名安全组织和厂商发布的安全公告；经过跟踪、分析、验证所有这些威胁，生成供 用的可以保护这些漏洞的特征知识库 - 数字疫苗，它针对漏洞的本质进行保护，而不是根据特定的攻击特征进行防御。数字疫苗以定期（每周）和紧急（当重大安全漏洞被发现）两种方式发布，并且能够通过内容发布网络自动地分发到用户驻地的 备中，从而使得用户 的 备在漏洞被公布的同时立刻具备防御零时差攻击的能力。 与全球著名的系统软件厂商，如 ，保持了良好的合作关系。在某个漏洞被发现后， 够在第一时间（即厂商公布安全公告之前）获得该漏洞的详细信息，并且利用这一时间差及时制作可以防御该漏洞的数字疫苗，使得用户的网络免遭这种“零时差攻击”（ 无缝部署 简易、高性能、无冲击 19 设计遵循了一个很重要的原则：无缝部署 。基于这个原则，无论对已经建成的网络，还是正在建设中的网络，都可以很容易地将 入进任何部分，并且不会对网络的拓扑、性能、运行带来任何改动。从逻辑上来看， 好像一根智能的线，这根智能的线却从根本上解决了困扰网络的安全问题。 这样的无缝部署主要体现在以下方面：嵌入式部署（ 型保证最简化的部署步骤，而不需要进行交换机镜像等复杂的配置，更不需要更改网络拓扑；检测接口不需要 址，也不需要址，一旦接入网络，立刻开始保护网络；同时 保证自身对攻击源是隐身的，增强整网的安全性；高性能、低时延使得 论被部署在网络内部还是边缘，都可以提供线速的精确检测和实时阻断能力，对网络业务的效率没有任何的损伤。同时，卓越的带宽管理能力将加速异常情况下的业务应用。 经过精心分析、调试、验证的数字疫苗可以在不经任何调整的情况下正常工作，无需任何调整即可抵御所有已知的网络威胁；经过按照实际网络状况微调的数字疫苗可以使 挥更高的性能。 多重高可靠性（ 多重高可靠（ 保证网络与业务的永续性而开发的专利技术，该技术面向业务传送的所有层面进行高可靠保护，使得在任何情况下业务都不会因为 故障而中断。 物理级保护和掉电事故保护：按照电信标准设计的 用冗余电源供电，并且支持在线更换；掉电保护设备 辅助设备。该设 备可以在 源被不慎碰掉的情况下，将网络流量自动绕开 路到下一站设备上去；当 测到 源丢失并发出告警、管理员恢复电源供给后， 会自动禁止旁路功能，所有流量将再度流经 受检测。冗余电源和 以保证被 护的网络不会因为引入 出现物理级的单点故障。 系统软件故障保护：内置的监测模块以很高的频率定时地监测 备的健康状况。一旦探测到软件系统故障，该模块会将 置成一个简单的二层交换设备，网络流量将在两个接口之间直接贯通；软件故障恢复后，所有流量贯通被自 动取消，恢复的 新开始保护整个网络。 *外部局域网安全设计 *内部局域网安全组网示意图： 20 *外部局域网主要用于办公平台对 访问，利用 泛的信息资源为信息化办公提供服务。同时也将自己的信息平台为广泛的 户提供服务。由于 一个开放的，公共的网络平台，其网络环境复杂性和不安全性可想而知，对于外部局域网 此建议在 口部署 1 台 1000火墙 1 台00E 侵防御系统。 通过防火墙和入侵防御系统的双重保护，防御来自 2 到 威胁。 为了实现外部局域网用户通过共享少量的公网 址访问 时也避免外部局域网终端直接暴露在公网上，减少公网的直接威胁，在外网防火墙的 口启用 能，实现私网 公网 地址转换。 域网终端安全 目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。在企业网 中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急 21 需解决的问题。 传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。 点准入防御（ 决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 方案概述 决方案在用户接入网络前，强制检查用户终端的