xxxxxx网络改造技术标.doc

中原八达系统集成有限公司 计算机网络改造项目计算机网络改造项目技 术 标目 录一、综合设计说明4一、设计目标和原则71、设计目标72、设计原则7二、系统的总体规划81、工程情况说明82、本工程的设计特点83、IP地址规划及子网划分14二、网络交换及路由部分16一、需求分析161、建设目标162、网络功能需求19二、安全网络整体解决方案211、安全网络需要达到的要求212、安全网络模型263、安全网络的部署和实施方案304、安全网络的主要产品组成介绍43三、电子邮件服务系统471、系统设计构成472、Mail System系统功能473、邮件服务器硬件介绍56四、网络及系统管理平台64一、网络管理现状及需求分析641、总体需求642、功能需求65二、中州省xxxx网络与系统管理平台的解决方案671、网络管理672、性能管理813、报表生成功能884、系统权限管理905、客户及资源管理906、系统及应用的管理917、向应用的流量分析1028、好易定制的用户界面和平台展现1039、集中的门户管理10410、安全和可靠性10611、部署方案107五、网站部分108一、方案概述108二、实施意义108三、方案特点109四、解决方案功能介绍1101、八达通讯政务平台STEGRP1112、主要特点：112一、综合设计说明电子政务是社会信息化的“领头羊”，是国民经济和社会信息化的最重要领域之一，某种意义上，它体现了一个国家或地区的综合竞争力。值得注意的是：电子政务的核心不是电子，而是政务，电子是为政务提供支撑和服务的。因此，虽然技术标准的统一可以解决互联互通的技术问题，但要真正实现互联互通，还需要在政务应用上下功夫。从这一意义上来看，电子政务绝对不单纯是技术。对于政府来说，要不断解放思想，转变观念，而IT厂商则需要苦练内功、深刻理解政府业务并长期关注该领域积累项目经验。只有政府和IT厂商之间形成这样的良性互动，才能更好地推动电子政务不断向前。中州省xxxx计算机网络系统改造后，将成为一个拥有1000个接入用户，能够提供包括多媒体、邮件等综合网络服务的大型网络。作为全国解决方案最完善的主导性集成商之一，八达公司长期专注于我国政务信息化的建设。为协助我国政府信息化向更高水平迈进，八达公司部署了电子政务的长期发展战略：持续投入关注计划。八达公司从进入电子政务领域后就从研发、市场、服务以及认证培训持续投入力量。培训计划。由于电子政务是一项环境建设，它要求广大政府工作人员必须掌握一定的网络知识，所以网络教育和培训的开展普及成为了八达公司注重政府信息化一项重要战略；优质服务计划。八达公司一直坚持着“应用实现价值、网络服务为先”的服务理念，以实现客户满意度作为一切工作的服务准绳。在以上的战略发展方向指导下，八达公司凭借着对政府业务的深刻理解，逐渐形成了成熟的方法论，八达公司认为成熟电子政务网络的标准是：首先，安全是关键；其次，应具备完善的端到端的高可靠性；再次，具备一套先进的网络管理系统对进行网络运行维护；最后，网络设备本身要具备丰富的业务承载能力。中州省xxxx网络是电子政务建设的一项重点应用工程，是中州省重要的信息基础设施建设，其建网目标是为中州省委，各级部门提供一个高质量信息服务的宽带网络。政府各机关单位通过中州省xxxx网络进行高效、快捷的网络信息交换，加快政府机关的办事效率，企事业单位、社会公众可以共享政府掌握的信息资源，增加和改善社会公众与政府间信息沟通的渠道。在对业务需求进行深入分析的基础上，八达公司在中州省xxxx网络建设过程中严格遵循国家信息化领导小组关于我国电子政务建设的指导意见，在总体设计上采用业务与网络分层构建、逐层保护的指导原则，为中州省xxxx网络提供了高安全、高可靠、可管理，三网合一的专用解决方案，提供基于802.1X技术的网络受控互访与安全隔离，实现在一个硬件平台下构建多个纵向业务网络，将各机关部门办公系统划分为不同的VPN网络，使各部门办公系统共享同一物理网络的同时，保证逻辑上相互隔离，确保各部门系统内数据不被其他人访问，实现了政府部门之间的信息交换和资源共享的高安全性、高可靠性以及可管理性。中州省xxxx网络的核心节点由凯创公司的核心交换机N3组成，完成各种业务及全网的路由与交换，N3与接入层交换机之间以星型方式组网，互联接口为1G以太网接口。凯创公司的核心交换机N3作为第五代交换机采用了业界高性能网络处理器技术，充分继承了第四代全分布式硬件处理的架构，有机地结合了软件的灵活性和硬件的高性能，即提供线速转发，性能，又具备快速良好的业务升级和扩展能力，保证了中州省xxxx网络核心层的安全性、稳定性和高性能和可扩展性。14个配线间为中兴通讯公司的ZXR10 2826E接入交换机，级联原有的网络交换机。共同作为接入层交换机。提供与用户电脑的接入。整个网络设备硬件与凯创公司的NetSight Atlas Console控制台系统配合，完成对用户的接入、认证、带宽控制等多种功能，对全网的用户实现管理和控制，充分保证中州省xxxx网络的安全。系统运行实效在统一的网络平台上实现院内各机关部门内部的信息交互。实现各级机关部门信息的充分共享和广泛使用加强政策宣传和民众教育，建立统一的对外公共信息发布平台，在网上为社会及企业提供方便、快捷、透明的“一站式”电子政务服务。在中州省xxxx网络的网络平台上，充分利用宽带IP技术，实现网络对语音和视频等多媒体业务的良好支持。加强中州省xxxx网络全网网络设备的运行维护，建立统一的网络管理平台，保证整网运行可靠。保证了整网用户的安全和管理，建立统一的政务网用户接入平台和电子政务认证中心，实现对全网的用户统一管理。中州省xxxx网络是一个完全按照国信办17号文件精神将党政各部门业务办公全面与因特网逻辑连接的电子政务网。该网络对推动中部地区信息化建设有着重要意义，同时也对我国大中型城市政务网建设的树立了典范。“以用为本，关注客户的业务发展”是八达公司发展的立身之本。在未来，八达公司将更加主动地把握政府行业用户的新需求，不断增强自身的可持续发展能力，与客户共同成长，与我国电子政务建设一路同行。一、设计目标和原则1、设计目标提高网络的可用性提高网络的可维护性提高网络的安全性满足现代化无纸办公管理的要求有本工程的特色业界一流的高质量工程2、设计原则符合国际、国内相关标准规范先进性实用性可实施性经济性二、系统的总体规划1、工程情况说明本次改造工程中原市金水路，中州省委院内，网络用户分布在南院和北院。本次改造工程由网络设备、应用服务、网络管理、网络安全及防病毒系统、多媒体系统、网络施工等部分组成。整体工程具有多种功能，建成后将具备智能无纸办公、信息发布、电子邮件等多种功能。在设计中，以提高网络可用性、可维护性、安全性并结合网络的多功能性为重点进行设计，突出省委办公厅网络整体设施和管理上的先进性、便捷性和安全性，力求达到并超过国内现有同类机关网络的水平。由于内部功能丰富多样，各功能实现必须根据其具体需求并结合进行有针对性的智能化设计。2、本工程的设计特点在本次设计方案的制作过程中，我们充分考虑了一般计算机网络系统的共性和本工程的特殊性，结合八达公司多年的设计、施工经验精心制作本投标方案。作为一座在新世纪改建的多功能高可靠性的网络系统，一般网络系统所具有的多功能高可靠性功能是一般网络系统的共性。而作为现代化程度高并且集多功能于一体的中州省xxxx网络系统，肯定有其不同于普通网络系统的功能需求，这些明显有别于一般网络系统的要求，就是本工程的个性。以一般网络系统的共性为基础，突出中州省xxxx的个性是本次设计的重点。本工程所具有的基础特点作为现代化的网络系统，通过其内部的各智能化子系统的有机组合，总体功能主要可以从以下几个方面来体现：高可靠性、高可用性保证信息在存取、处理和传输各个环节的安全性、机密性、完整性和可靠性。保证网络系统内部所有软硬设备的正常可靠运行为网络系统内的用户提供可靠的网络运行环境。可管理具有管理大型、多节点网络的能力适应多厂商平台设备、多操作系统的混杂环境界面易于使用，同时提供GUI和Web中文界面支持对所需管理项目的定制有强大的二次开发能力，以便扩展网管功能管理系统不能占用太多网络宽带本身具有健壮的安全可靠性高效满足内部各部门之间和与外部互通信息，实现信息资源共享的需要满足现在乃至较长一段时间内的用户带宽增长要求。本工程的个性本工程的重点在智能化的参观、文物展示环境的建设，所以本工程的个性主要体现在如下方面：网络设备：以可管理、高速、可靠为设计目标，将内部交换、路由、用户认证等系统有机地结合，充分利用现代化的集中管理方法以达到为业主节省投资、方便管理的目的。具体需要达到以下目的：设备共享漫游功能用户管理应用管理按需分配信息资源安全责任到人非法用户隔离配置、管理、维护简单化提供抗内网网络病毒和内网恶意攻击的安全整体解决方案，当网络行为中出现非法操作，恶意攻击时，要求实现自动探测，自动响应，自动防护。系统采用由高效能交换机和网络处理器（NP）组成的开放性网络系统该系统是一套开放的分布式网络系统。本工程设计1个主操作站，对整个系统实行权限分配和监控，并可完成历史数据保存，趋势图，报表生成等功能。系统容量：按照1000个用户点设计。网络系统设备此次方案设计在核心部分采用了美国凯创公司的N3产品，用户接入交换机，采用中兴通讯的接入交换机。认证服务器软件采用WINDOWS2003内的IAS服务器。认证服务器负责全网所有用户在包括交换机接入、上网、邮件等方面的权限分配，角色定义等工作。认证服务器软件安装在FTP服务器的硬件上面。如果条件许可，可以考虑用一台单独的服务器硬件安装认证服务器，以提高认证服务的可靠性和响应速度。应用服务招标文件要求的应用服务包括3部分：电子邮件服务、WWW服务、FTP服务。邮件系统的采用宝德服务器硬件捆绑，亚信科技研发的百万级电子邮件系统AIMC。在目前邮件系统用户不超过1000的现状下，邮件系统的WWW服务器将和邮件转发引擎部分合并在1台服务器硬件上。以后用户数增大后，可以采用分布式扩展方式扩充邮件系统的处理能力。认证服务器软件采用WINDOWS2003内的IAS服务器。认证服务器负责全网所有用户在包括交换机接入、上网、邮件等方面的权限分配，角色定义等工作。邮件系统的认证服务器和上面提到的交换机接入的认证服务器为同一个服务器，所有用户均同意配置，统一认证。认证服务器软件安装在FTP服务器的硬件上面。如果条件许可，可以考虑用一台单独的服务器硬件安装认证服务器，以提高认证服务的可靠性和响应速度。邮件服务器安装在防火墙的DMZ（非军事区内）。另在防火墙上作静态地址翻译，隐藏邮件服务器IP地址。用户访问邮件服务器的权限，由认证服务器、交换机、防火墙内的访问控制列表功能等共同完成。WWW服务器安装在邮件服务器安装在防火墙的DMZ（非军事区内）。其中内部用户访问权限由认证服务器、交换机内的访问控制列表功能等共同完成。WWW服务器的具体功能，在后面的网站部分详细介绍。FTP服务器安装在邮件服务器安装在防火墙的DMZ（非军事区内）。其中用户访问权限由认证服务器、交换机、防火墙内的访问控制列表功能等共同完成。网络管理网络管理软件共2套，他们在网络系统里面发挥不同的作用。他们分别是凯创公司的NetSight Atlas和北大青鸟公司的网硕。写在招标文件其他部分的防病毒系统、安全隔离与信息交换系统。也在网络管理部分表叙。NetSight Atlas主要是实现用户角色的管理、权限分配、带宽管理、QoS管理、ACL管理等重要工作。管理工作完成后，全部策略均下载到交换机中，在使用的过程中，用户登陆网络的过程中，首先登陆IAS认证服务器，认证服务器在接收到用户登陆请求后，首选将判断用户是否合法，如是合法用户则将该用户的权限信息、带宽信息、策略信息等组合后传入交换机，由核心交换机和接入交换机共同实现用户权限信息、带宽信息、策略信息等的控制。北大青鸟公司的网硕的管理对象为网络交换机、防火墙、服务器系统。网络交换机、防火墙的管理主要通过SNMP协议以及网硕软件针对交换机制作的插件来完成拓扑生成、设备的面板显示，设备配置、运行状态统计、故障定位等全部功能。服务器的管理主要是通过安装在服务器上的“智能代理”软件搜集相关服务器的内存、磁盘、CPU等信息。防病毒系统采用1套网络版的防病毒软件。在本网络环境下，可以实现自动安装防病毒客户端、每天自动定时升级病毒库、每天定时扫描系统、限制拥护删除防病毒软件等。而这些功能的实现均可以在防病毒软件的系统控制台上完成。实现集中管理，大幅度降低管理员的工作强度。本系统拟采用的防病毒系统为赛门铁克公司的Norton Client Security 2.0。安全隔离与信息交换系统，采用了三机的体系结构，由仲裁机担任的“安全检查员”对从TCP包中剥离出来的应用层信息进行安全检查。仲裁系统会对检查结果进行审计。这样一方面防止外网黑客的攻击，另一方面也可以有效地控制内网用户的信息泄漏，减少病毒的泛滥和传播，提高系统的安全等级。同时外端机不向外网用户提供任何服务，以减少知名服务的安全隐患。系统对操作系统进行最大化精简，并做了安全优化和加固。安全隔离与信息交换系统完全可以做到只允许单向的信息交换，这样就防止了内网向外网的泄密，进一步保证了网间隔离的安全。而采用“安全隔离与信息单向传输系统”将Internet信息导入涉密网的方案，将会比通过手动拷盘传输数据方式更安全。 FerryWay采用了内嵌的入侵检测机制，检查外端机上可能的入侵事件。网站系统网站系统采用我公司自行研发的ST-EGRP系统。界面采用JAVA编程，后台使用Linux操作系统+MySQL数据库结构。能够完成和实现包括信息发布与管理、BBS论坛、软件下载、音乐欣赏、信息检索等栏目的发布等功能。电视直播系统电视直播系统采用了嵌入式系统的结构。液晶电视盒出来的音视频接入硬盘录像机的视频输入端口，通过嵌入式硬盘录像机对音视频信号编码后，送入视频中心服务器，再由视频中心服务器转发到各客户端。客户端使用浏览器界面。整个系统的全部设备均为嵌入式系统，稳定性、可靠性均比较高。硬盘录像机使用的是浙江大华生产的DH-DVR0404。液晶电视盒使用的是同维公司的TA-400A产品。综合布线综合布线的主要工作是制作和整理跳线，主要要求是整齐美观。本工程拟主要采用AMP公司的产品。其他部分屏蔽机柜部分主要考虑：包括光纤在内的所有进出机柜的弱电线路均需要通过波导管。波导管及柜体均需要可靠接地。进入屏蔽机柜的电源线，需经过滤波器后接入。安全隔离卡，主要是实现将单一的PC从物理上分隔成两个虚拟工作站，它们分别有自己独立的硬盘和操作系统，并能通过各自的专用接口与网络连接。从而最大限度地保证了安全（内网）与非安全（外网）环境的物理隔离在维护工具方面，拟配置1套AMP公司的专业压线、打线工具。在网络测试仪方面拟配置1套FLUKE公司的MicroScanner Pro 电缆验测仪工具包。它包括：MicroScanner Pro 电缆验测仪，以及配套的IntelliTone 数字音频探头、线序适配器（办公室 ID 4）、同轴线适配器、裸线适配器等。3、IP地址规划及子网划分用户工作站：按照部分划分，每个部门1个子网。从/24开始分配。分配方式采用DHCP方式分配。DHCP服务器由核心交换机：凯创N3担任。用户使用802.1X方式在认证服务器上认证通过后，由N3按照部分分配1个IP地址给终端。DMZ区域服务器：该区域服务器划分为1个独立的子网，子网。DMZ与内网做静态地址翻译，并作访问控制列表。DMZ与外网之间也作静态地址翻译，并作访问控制列表。采用固定方式分配。内网区域服务器及管理工作站：该区域设备划分为1个独立的子网，/24子网。采用固定方式分配。以上只是简单地介绍本次方案设计的内容和目的，更详细的方案设计请参看各个子系统的叙述。二、网络交换及路由部分一、需求分析1、建设目标高可靠性、高可用性 这里所指的可靠性和可用性除了通常意义上的要求设备本身具备全面的冗余设计和整个系统从物理到逻辑结构都具备7x24不间断的运行外，更要求关键业务的连续性工作，特别是能保证正常数据流即使在网络受到类似Blaster等DDOS攻击时也能连续畅通。这就要求网络具备智能，可以对潜在的未知的危险数据流进行防范。高可管理性人员：整个网络系统建成后除了实现对设备级别的管理外，更应该实现对用户级别的集中式管理，用户将可能在不同地点不同计算机上实施登录并应获得相同权限，用户各项信息应能够快速在网络上部署、改动，同时，每台终端将有不同用户实施登录，即用户漫游和终端共享；对管理者来说，应该做到动态监测用户在网络上的运行情况，例如登陆的物理端口，应用权限，发现问题后，可以随时对用户的权限在几秒钟内进行调整。设备：随着信息化的发展，除了PC外，大部分信息化设备均具有网络接口（如：IP电话、IP摄像头，网络打印机，PDA等），系统应能够区分这些设备并分配其网络带宽和访问权限；高安全性。身份识别：安全的第一步是阻止未授权的用户或设备使用或进入网络，每个要接入网络的设备或用户首先要进行身份认证，认证通过后才能进网。接入层设备要同时支持多种认证方式，例如802.1x,Web,MAC, 能同时对用户和设备进行认证。如果条件允许，应更新到智能卡身份认证系统，每人一张IC卡或移动秘钥并结合口令，从根本上杜绝冒用、破解。在实际应用中出现各种法律问题后，能够准确判断使用者身份，可以采用微软活动目录实现对用户的管理，因此要求网络用户能够与微软活动目录和证书融合，降低用户管理难度；权限分配：针对不同的身份，赋予不同的权限。能够实现为每个员工或设备分配一套明确定义的信息资源。通过对用户或设备与应用建立关系，实现对每一个员工或设备建立正确的访问权限。用户或设备不能访问任何未授权的资源。访问控制：在大型复杂网络内部的授权控制问题是日趋突出的，特别是人员流动性大的环境，终端设备使用者也不固定，就对终端授权使用提出迫切需求。解决了终端设备的授权使用，同样面临另外一个困境，如果严格了终端设备的使用权限，将有可能降低了信息系统的应用价值。比较合理的解决方式是：网络应用系统本身具有授权鉴别功能，根据用户身份、角色的不同，授予相应信息资源的访问和操作权限。以便信息资源的合法使用者随时随地获取相应的信息访问与操作权限。合理的访问控制权限部署必须是全网的，不受网络物理端口的限制，也不受虚网VLAN的限制。例如以医院为例，一位专科医生不能只在外科楼能够合法存取信息，在住院部也应具有同样的权限，不能因为物理位置变换，权限丧失，否则将会贻误挽救生命的时机，信息网络也丧失了应用价值。合理的访问权限管理还必须是能够与应用信息系统集成的，支持统一的策略、统一的管理。不能是孤立的，只对一个子应用系统具有权限，必须能够贯彻到全部信息系统中。访问权限的实施也不能是复杂的，或需要大量定制开发的，必须是基于网络功能的，经简单集成就可以大规模部署、实施，否则授权管理的实施将变得十分复杂，后续的维护服务也难以为继。计算机病毒与防范恶意攻击：网络系统要求能够抵御来自外部、内部的已知和未知的恶意攻击，并能够迅速自动定位找出攻击源头，自动启用防范措施，保证网络的持续可靠运行.计算机病毒对网络影响更为严重。当一个数千节点的网络内蠕虫病毒爆发时，所有受到感染的网络设备虽然没有出现硬件故障，网络通信也并没有中断，但网上的传输的却是大量的无用数据包，这些大量无用的数据包占用了几乎全部的网络设备性能和网络传输带宽，导致真正的应用数据包无法被传输。另外，由病毒带来的全网范围的清除工作所需要的开销以及由此造成的相关业务受到的经济和信誉上的损失是不可估量的，这些损失很可能已经远远超出选择使用具有价格较高但具有很好安全控制和管理功能的设备进行组网所需的开销。 此外，来自于内部网络的错误操作、恶意使用及DOS、DDOS拒绝服务攻击已经成为大型网络的主要威胁之一。计算机病毒必须从网络层面加以控制，避免出现泛滥的不堪收拾的局面。比较合理的解决方式是：系统在监测到病毒或其他攻击之后，网络管理系统将很快定位发出攻击的位置，同时自动将受病毒感染的终端从网络上隔离开，并对网上传输的攻击数据流量进行限制，从而保证企业正常应用的开展并降低病毒对全网的感染范围。对于来自网络内部的错误操作、恶意使用及DOS、DDOS拒绝服务攻击，应在网络系统的层次上提供集中的、自动的对网络设备、应用和用户接入的控制能力。保证对各种影响网络安全、网络性能的行为自动作出快速反应，减少这些行为所造成的损失。标准、开放与互联网络建设不是一蹴而就的，是按需建设，逐步发展的。从时间角度来看，在若干年内保持网络设备的一致性、统一品牌是比较困难的，因此必须考虑设备的兼容问题，特别是向后兼容的问题。从空间分布上，即使在一个网络内部也可能出于经济的考虑，高端采用一个品牌、中低端采用另外一个品牌。网络的设备的统一品牌、统一结构也许在一个局部、一个时间段是可能的，但从发展角度来看，异构是普遍存在的。所以，必须考虑网络设备的兼容性问题，关键是不同品牌网络设备之间的兼容性问题。2、网络功能需求当前，网络上的应用系统越来越多，中州省xxxx网络扩建之后，网上需要承载包括电视直播、电子邮件、公文流转、网站信息发布、FTP等多种业务应用，依据中州省xxxx网络扩建后的业务应用模型和功能要求，八达公司把具体而实用的要求可以归纳为以下9点：设备共享在一台PC终端上访问多个系统、多个应用；或是多个人共用一终端。终端与应用的连通根据人员的身份、权限确定，这种权限是随着人走的，因此，不受终端的限制。对于同一终端来说，如果不同身份、权限的人使用，终端连接的应用也是不同的。漫游功能 用户无论移动到网络的任何一点、任何时间都可以访问到正确的应用。用户的移动性和办公地点的不固定性越来越强，不管是通过有线还是无线连接，不管是在本地还是分支机构，需要在不同地点通过不同终端访问应用。因此，网络系统应具有统一的安全策略和认证机制。要求，无论使用任何终端获得的权限、访问应用都应是一致的。用户管理 实现对网络的使用者以及操作行为进行管理的功能。集中保存网络中的每个用户的个人资料。即，用户所拥有的与其身份对应的服务选项，以及可以进行的合法操作，无论用户身处何地，都可实现对其身份的管理。可与windows活动目录绑定对用户身份进行认证识别，并得到相应的网络使用权限。应用管理 在完成用户与应用的匹配过程中，实现对网络中可访问的各种应用信息的管理。按需分配信息资源 能够实现为每个工作人员分配一套明确定义的信息资源。安全责任到人 通过对用户与应用建立关系，实现对每一个工作人员建立正确的访问权限。在确保连通性的同时极大限度的保证安全性。非法用户隔离 用户不能访问任何未授权的资源，也不能相互访问。最大限度的保护各信息资源。配置、管理、维护简单化 网络一旦配置好，可实现终端即插即用。具备建立用户与应用匹配关系的功能，可集中配置、管理、维护，能够快速连接匹配、设置，缩短开通失陷。极大地简化了配置和故障排除工作。提供抗内网网络病毒和内网恶意攻击的安全整体解决方案。当网络行为中出现非法操作，恶意攻击时，要求实现自动探测，自动响应，自动防护。二、安全网络整体解决方案八达公司针对中州省xxxx网络的安全网络提出的与一般所指的网络安全是一个完全不同的设计理念。安全网络设计指的是通过全盘的、整体性的安全措施为用户提供一个集成的、具有很好扩展性和可用性的数据通信网络解决方案。在现在大多数的网络设计中，安全措施只是作为零散的、打补丁性质的手段被应用到网络建设中，这些安全措施是零散的、未经统一规划的一些安全手段，不具有协调工作和自动控制的能力，难于满足网络的性能优化、网络扩展、灵活的业务应用要求。八达公司将此方案应用到中州省xxxx网络。具体如下：1、安全网络需要达到的要求网络提供服务的连续性 内容的关联性 网络的可控性 规则的一致性 系统的整合性业务的连续性八达公司推荐的安全网络的连续性是在提供传统网络的可靠性的基础上保证正常数据流即使在网络受到类似Blaster等DDOS攻击时也能保证业务的连续畅通运行。传统的网络设计中为了减少网络故障所带来的影响，技术人员会选择冗余的系统硬件，采用设备的可冗余配置并且在网络结构方面作出仔细的选择，同时，技术人员会在使用一些网络技术（如：VRRP、Trunk）来减少网络中的故障点，从而提高网络平台的连续可用性。即网络传统设计理念中的高可靠性（Availability）。但是，现在我们可以看到原来网络高可靠设计理念中存在的缺陷：单纯网络系统可靠并不能保证支持网络业务的可靠运行，而支持用户网络业务的可靠运行才是用户关心的目标：比如蠕虫病毒爆发后，所有的网络设备并没有出现硬件故障，网络通信并没有中断，只是网上的传输的是大量（超过98%）的无用数据包，这些大量无用的数据包占用了几乎全部的网络设备性能和网络传输带宽，导致真正的应用数据包无法被传输。除了蠕虫病毒以外，对用户威胁最大的拒绝服务攻击（DOS）和分布式拒绝服务攻击（DDOS）也造成大量的威胁- 网络的可靠并不能保证服务或网络业务的稳定运行。八达公司提出的业务连续性指的不仅仅是网络设备的性能、网络的带宽、网络设备的可靠性和网络结构上的稳固性，而且还强调系统对正常应用正常运行的保障能力。他要求网络系统具有对网上应用进行调节和保护能力。在网络上存在众多无用应用（如：病毒、大量的与业务无关的ftp）的情况下，网络系统能够识别这些应用并对这些应用的数据流量进行限制或丢弃这些无用应用的数据包，从而保证正常应用能够获得正常运行所需的网络带宽。内容的关联性八达公司推荐的安全网络的关联性是将网络上流通的信息不仅仅看作一个个地数据包，而是将网络通信应用和使用网络的人相联系，如：谁发了这个数据包、是用什么应用发的、谁接受了这个数据包，这种相关性可以有效的防止类似MyDoom这类Email病毒。具体而言，他指的是网络系统具有将每一个特定数据流与实际应用环境中的人(网络的使用者)以及网络应用进行关联的能力。该能力将大大提高网络系统的可管理性和安全性。传统的网络系统中，网络设备具有ACL、数据包分类和数据包过滤功能，但这些针对数据包的控制与分析能力只能将数据包通过MAC地址/IP地址的方式与物理设备关联起来，在现在越来越复杂的网络使用环境中，一台物理设备是有可能被多个人使用，同时由于IP地址盗用和MAC地址修改技术的公开以及DHCP的广泛使用，MAC地址/IP地址与物理设备已难于做到一一对应，这给网络管理和网络安全带来了很大的挑战，同时也大大限制了网络的可扩展性和网络的灵活性。以大家常用的Telnet功能来举例，网络安全和网络管理要求系统管理员可以使用telnet方式登录网络设备，但其他学生则不能使用telnet登录；在传统的网络中，一般员工使用系统管理员的设备是可以telnet到网络设备上的。若系统具有关联能力，系统就可以识别该telnet请求是由系统管理员发出的还是有一般员工发出的，从而决定是否允许登录到网络设备上。这样就保证了系统管理员使用任何一台设备都可以使用telnet登录网络设备，而一般学生即使使用系统管理设备也无法使用telnet登录网络设备，从而在保证网络安全性和网络可管理性的同时，保证网络的灵活性和扩展性。网络的可控性八达公司推荐的安全网络的可控性是指要对网络的安全隐患进行迅速有效的反应和防范必须在整个网络系统的具有自动的中央控制机制，而不仅仅局限在某个路由器、防火墙上提供手动的控制。在系统的层次上提供集中的、自动的对网络设备、应用和用户接入的控制能力。他能够保证对各种影响网络安全、网络性能的行为自动作出快速反应，减少这些行为所造成的损失。由于具有系统层次的控制能力，他能实现单点管理全网，保证企业安全策略的集中控制和管理，实现网络配置、定位服务、基于角色的策略制定的自动化，完成威胁的检测、定位及网络配置的自动响应。现在病毒在网上的扩散速度越来越快，从开始的平均扩散时间几十分钟/台降低到现在的几分钟/台，由于传统的网络安全技术不具有自动反应能力，需要手工对相关的设备进行重新配置，病毒很容易在网络内部扩善。利用凯创公司的安全网络解决方案，系统在监测到病毒攻击之后，网络管理系统将很快定位发出攻击的位置，同时自动将受病毒感染的终端从网络上隔离开，并对网上传输的攻击数据流量进行限制，从而保证企业正常应用的开展并降低病毒对全网的感染范围。系统与中州省xxxx管理规则的一致性八达公司推荐的安全网络的规则性指的是可以将中州省xxxx已有的管理规定完全的、顺滑的应用到网络系统中，并且网络系统能够根据中州省xxxx管理运行规则的改变进行快速的调整，保证中州省xxxx的各种规章制度在网络这个虚拟的环境中得到实现。八达公司推荐的安全网络解决方案可以将现实中的用户映射到网络上的一个角色，将各种资源映射成网络上的业务，将资源的使用和管理规定映射成网络系统中的各种策略，这些策略将被设置在网络系统的边缘，通过在边远设备上对每个使用网络的人进行认证与授权，最终将相关的策略应用到该人接入的物理端口上，从而保证中州省xxxx的各种规章制度在网络系统中得到实现。由于安全网络具有集中的管理能力，系统管理员可以更具最新的各种规定建立起相对应的角色、业务和策略，因此，安全网络解决方案具有很好的适应性。系统的整合性八达公司推荐的安全网络的整合性是网络要能够整合所有的现有和未来的应用（如数据、话音和视频等等），并且将多个逻辑上分离的网络系统整合应用到一套网络平台中。具体而言，他指的是一个网络系统具有支持多种应用在同一个物理平台上运行并能够保证各种应用的运行效果和安全要求的能力。八达公司推荐的安全网络解决方案可以自动识别不同应用的数据流并根据该应用的运行要求提供端到端的QoS保证，保证各种应用的顺利开展。同时安全网络解决方案具有的基于用户的安全控制能力，保证了适当的人才能使用适当的应用。除此之外，整合还包括可以将第三方的网络产品纳入到安全网络框架下，实现对非凯创设备的管理。八达公司根据前面所提到的5C理念所指功能进行硬件产品的设计与实现、并运用到软件的体系结构/功能设计上来，为用户提供了一个实现按需构建的、安全的、开放而又具有良好整合能力的网络。2、安全网络模型八达公司推荐的凯创网络产品的突出特色：全网统一的基于应用角色的安全认证和策略分发对于前面所述的网络功能的需求，传统LAN技术无法满足。传统LAN技术的特点是以技术为核心而非以业务为核心。业务模式被强制按照技术改变。另外，传统LAN技术在安全性、可管理性等方面存在先天不足。虽然一些厂商开始提供用户认证功能，但不支持全面的安全策略（包括链路层、网络层、应用层的访问控制列表、流量优先级、QoS/CoS和速度限制），不支持集中的角色管理和安全策略配置，因此不构成完整的解决方案，无法满足上述业务需求。八达公司推荐的安全网络解决方案是一套基于角色和策略的完整的企业网络解决方案，该解决方案实现了在网络系统上实施业务规则，保证了网络系统与业务模式的协调一致。基于角色的管理模式是IT和业务部门都必须考虑的。这可以通过创建Enterasys关系分层来实现。我们可以注意到，业务功能位于模型顶部（角色），技术功能则在模型底部（数据包分类规则），而服务层则是两者之间的桥梁（如下图所示）。通过将数据包处理细节推到模型中的服务层，简化了业务角色的分配。高层主要考虑组织中的角色如何分配，以及如何为其提供合适的服务。而实现每种服务所需的分配规则细节，则可以留给技术人员来考虑。如下图所示。 安全网络用户策略模型传统的LAN都是基于VLAN技术，最大的弊端就是无法对VLAN内部的用户进行管理。而凯创的安全解决方案早在2001年就提出角色的概念，在VLAN之上加入了用户角色的管理，实现了同一网段下不同用户角色具有不同身份和权限的管理。安全网络的核心原理 安全网络解决方案是建立在四个核心原理之上：弹性网络架构、角色服务、自动执行、动态响应。弹性网络架构将安全网络的实现部署在边缘接入层设备或汇聚层设备当建立新的网络环境时，边缘设备可以直接选用凯创的接入交换机。当接入层已有其他厂商的产品时，通过改造汇聚层设备， 也可实现凯创安全网络的效果。安全网络访问在弹性架构当中，实现所有访问点的认证访问利用访问控制降低拒绝访问（DoS）的威胁，凯创的边缘交换机支持ACL访问控制功能和L2/3/4流分类功能。角色服务“用户角色”映射根据实际的组织结构给用户定义不同的角色，给角色赋予不同的服务内容和权限。在网络中角色是统一的识别标志。广泛的认证体系，包括802.1X,Web, MAC, 802.1X+MAC，最全的认证手段。实现“单一登录”,利用微软的证书授权系统，可实现一次认证登录就可以获取多个网络或资源的授权。网络资源与组织角色结合强制性网络资源使用策略，只允许授权的角色访问指定的应用。将角色与策略的分配实现动态结合，策略一旦制订好，即存储在接入交换机上，不同的角色登录时，交换机上启用不同的策略，不会影响交换机的性能。自动实现集中式管理所有的角色由中央策略管理平台来管理，角色定义后立即生效，实现对全网业务的策略、安全和网络资源的管理。访问终端无需做任何配置。服务的提供方式将用户和终端彻底分开，用户的使用权限完全根据角色，与使用的终端的物理位置和逻辑结构无关。适用于移动用户环境。动态响应企业安全策略的实施在一个控制点，就可以自动分发修改整个企业网络架构的安全策略。主动事件响应 对全企业范围的蠕虫病毒和入侵可以快速高效地响应，并实施事先设定的防范策略。 利用定位与网络资源服务实现对网络资产和安全控制点的跟踪。 通过自动检测与预防能力实现高级入侵管理。 如果在网络环境当中出现新的应用或服务，具有快速高效地响应能力。抑制拒绝服务（DoS）入侵。抑制技术(Containment Technology)如果用户对网络进行非法使用，能够根据此事件自动将该用户设置为更严格的安全策略状态。安全网络解决方案将安全技术集成到网络架构当中，这样就提供了一种对服务可用性保障的基础，可以事先防止已知的威胁，并对重要安全事件做出主动响应。安全网络的产品组成部分八达公司推荐的安全网络解决方案由下列四种产品组成：支持Web认证、802.1x认证和MAC地址认证的凯创Matrix交换机。构建基于应用服务的网络（一个可以为合适的人提供合适业务的网络）需要高度灵活的基础设施，并且可以在网络服务的边缘或汇聚层支持非常复杂和细致的规则。可以在接入或汇聚部署相应的Matrix产品，在本次网络改造过程中，已经有其他品牌的接入产品。我们选择了Matrix N3系列作为汇聚。进行角色和安全策略管理的凯创NetSight Secure Networks Suite策略和安全管理平台。采用Java技术开发，可以在Windows 2000/XP, Linux, Solaris上运行。该平台只作为事先的用户角色规划用途，一旦角色定义完成，可下发到交换机中，除非修改，否则不再需要策略服务器了。 完成用户认证的Radius服务器可以采用任何标准的RADIUS软件，例如微软Windows Advance Server中自带的IAS认证服务器，无需购买。根据本网络的具体情况，我们拟采用微软公司的IAS认证服务器。这些部件组成一套完整的解决方案，支持全面的安全策略，包括链路层、网络层、应用层的访问控制列表、流量优先级、QoS/CoS和速度限制，支持集中的角色管理和安全策略配置3、安全网络的部署和实施方案安全网络实现流程整个实现过程如图所示：第一步：安全策略制订与分发安全策略是一套面向全网的统一的安全规则。制定一套完整严密的安全策略是满足业务需求的前提。安全策略包括链路层、网络层、应用层的访问控制列表、流量优先级、QoS/CoS和速度限制。安全策略中的关键名词包括：角色（Role） 将现实环境中的用户根据他的业务要求和权限划分成不同的角色，一个角色可以包括一类用户，一个用户可以具备多种角色。每个用户有自己的用户名和口令。服务（Service）不同的角色可以使用不同的网络应用，例如Web浏览，收发电子邮件，访问数据库，IP电话，MP3下载，简单地说，每种应用可以称为一个服务（Service）,一项服务组可以包含几种服务。一个角色可以拥有多项服务，一项服务可以被多个角色拥有。 规则（Rule）在实际工作中，每一项服务都是由具体的规则组成，一条规则可以是一条抽象的命令，也可以是一组抽象的命令，这些规则对应交换机上的具体执行命令。例如，设置一项服务叫做高优先级邮件处理，在这项服务中包含了多条规则，如class of service（流分类）, 过滤，速率限制，访问控制。高级用户包含了这项服务，普通用户则可能使用的是低优先级邮件服务。安全策略的制订 首先将用户根据不同权限划分为不同角色。划分角色的原则是：不同部门角色不同。同一部门不同人员角色不同。如管理人员、办公人员划为不同角色。将角色同组织中的功能类型进行匹配最易于实现，也是我们所推荐的。因为这样将不用改变组织的结构。企业可以节省已经在建模工作上投入的时间和努力。八达公司建议对角色的命名最好同组织中现有结构相同。在很多情况下，这也是NT域或者Netware目录服务器（NDS）为团体用户提供的命名规则。在进行角色配置时，网络管理人员可以为该角色配置一些默认的参数。对角色的默认设置可以包括对经过符合该角色的用户的所有流量的QoS、CoS（包括802.1p、TOS以及Diffserv）或VLAN设置。这些基本设置提供了一种简单的方法，只需很少的配置就可以为不同用户组提供不同的行为特性。服务的建立实际上可以通过创建分类规则的组合来配置，这些规则可以满足用户所希望的网络行为。例如，通过简单地创建一条分类规则，将一个802.1p、ToS或者DiffServ值添加到所有的SMTP流量上，就可以实现给所有电子邮件流量分配一个优先级的服务。服务还可以包括一些复杂的分类规则，例如优先级、过滤、速率限制以及VLAN分配等的组合。分类规则和服务的复杂性只能根据给定环境的需求或者系统实施者的设想来确定。安全策略的实施制订好安全策略，要在Netsight Policy Manager策略服务器中将安全策略加载到Matrix接入交换机中。注意：策略的分发是集中分发的，一旦分发成功，策略会存储在交换机上，此时策略服务器的任务已经完成，除非重新或修改策略，就不再需要同NetSight策略管理器进行更多的通信。用户通过 Radius认证服务器的认证后，Matrix接入交换机会打开接入端口并根据用户的角色分配相应安全策略。安全策略的存放制订好的安全策略可以生成一个文本文件（*.pmd）来存储，一旦需要重新安装Policy Manager时，只要打开*.pmd就可以工作，无需再重新制订安全策略了。第二步：用户接入认证当用户需访问网络时，首先通过802.1x认证方式得到RADIUS认证服器认可后授权打开端口，并获得通过NetSight策略管理服务器设置的角色，然后用户才可访问网络资源。要使策略规则设置同策略应用对象很好地匹配起来，安全验证非常重要。 在部署支持安全验证的Enterasys安全网络的时候，交换机存在三种基本的端口状态：安全验证关闭/端口打开；安全验证开启/端口关闭；以及默认状态：安全验证开启/端口打开。Enterasys可以为用户安全验证提供四种主要的机制, 认证方式包括WEB认证、802.1x认证方式、802.1x+MAC和MAC认证方式。凯创的Matrix交换机在网络中可以同时支持所有方式。在本次针对中州省xxxx网络的改造中，我们拟采用802.1x+MAC方式认证。在没有通过认证之前，用户在拥有合法IP地址的情况下也无法接入到网络。这种方法解决了传统的使用MAC+端口+IP的绑定方法中存在的盗用IP地址和MAC地址所带来的不可管理性。传统的MAC+端口+IP的绑定方法最多只能控制到某台设备，但无法控制到使用设备的人。基于Web的安全验证。想要接受网络服务的用户可以通过浏览器访问一个安全web页面（web服务器实际上位于每一个交换机中），然后系统会要求用户提供用户名和口令。这些口令被转发到RADIUS服务器，这个服务器或者对其进行鉴别，或者再将口令转发到其它合适的鉴别设备，如NT服务器、活动目录，或者NDS服务器等。Enterasys安全网络设计的关键旨在利用现有的安全系统、用户名和证书数据库，不需要实施者再去安装和配置一个重复的数据库用于基于网络的安全验证。基于802.1X标准的用户安全验证。 这种标准可以在多厂商环境中提供广泛而可互操作的验证功能。微软Windows 2000和XP最新版本增加了对802.1X的支持，很快其它操作系统也将支持802.1X。 基于MAC地址的安全认证。对于一些设备，如网络打印机，IP摄像头可以采用这种认证方式。需要强调的是，正是由于安全验证过程能够发现网络系统用户的真实身份，才使其成为构成安全网络的三个关键部分之一。所以，安全验证是将动态网络策略分配给组织中“个人”的关键的第一步。一旦个人用户的身份得到确认，为他分配相应策略的过程就可以开始。 第三步：授权和角色分配Enterasys并没有在RADIUS系统上实施任何专用的功能添加，但