通州财政设计方案.docx

通州财政局WLAN网络覆盖设计方案联通通州分公司2014年9月目录第一章. 概述11. 概述1第二章. 项目需求分析31. 总体要求32. 网络覆盖的范围33. 技术要求3第三章. 整体设计51. 设计原则52. 整体区域设计5第四章. 方案优势11第五章. 产品介绍135.1智能防火墙AF1210135.2上网行为管理AC155.3 WX5500系列多业务无线控制器175.4 S5500-EI 系列以太网交换机185.5 WA2610无线AP19第一章. 概述1. 概述北京通州财政局是贯彻落实国家和本市关于财政、财务、会计管理方面的法律、法规、规章和政策；编制并组织实施本区中长期财政计划；参与拟订本区重大经济决策和措施、办法，研究提出运用财税政策对经济运行实施调控和综合平衡本区财力的建议；执行市与区县、国家与企业的分配政策；拟订完善鼓励公益事业发展的财税相关措施、办法的政府机构，财政局办公大楼主要有办公楼主楼9层，备用楼层4层，包含办公区域、食堂、学习会议室、健身房、地下车库。无线网络是财政单位的一项基础设施，无线网络是有线网络的有效补充和扩展，采用高速以太技术和802.11a/b/g/n无线网络技术实现财政办公区域网络的全面覆盖，即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化，逐步实现办公网络信息化、现代化的目标。建设目标覆盖办公楼所有空间，包括办公区域、食堂、学习会议室、健身房、地下车库等等，为办公和会议、健身生活提供切实可用的无线网络环境；同已有有线网络骨干无缝结合，成为原有办公网的有力补充，可以通畅、安全地访问财政内网，外部网络；利用各种安全技术，保证无线网及办公网络的安全；第二章. 项目需求分析1. 总体要求目前办公大楼存在固定网络，为了更高效的办公，实现现代化，信息化，需要建立一张无线网络，建立无线网络就需要升级带宽，还有原来网络的一些小问题需要紧急处理，就是在办公网中，员工私自链接小路由器、小交换机，不但影响网络的稳定，而且还不安全。由于建造无线网络，需要加大带宽，随之相应原来的带有路由功能的光纤猫就不能满足需求，因此我们需要建造无线网络，使用技术手段解决光纤猫性能和办公网出现的问题。对于员工上网办公等需要相对安全的网络环境，我们需要审计员工上网行为，上网的记录，发现问题立刻解决，这也是国家对相关部门硬性要求。2. 网络覆盖的范围本次建设覆盖范围包括：地下停车场、办公楼、食堂、备办公楼的员工会议室，健身房等位置。3. 技术要求1. 运用技术手段保证无线网络的稳定、安全、有效的运行。2. 运用技术手段将原来的光纤带宽在防火墙上做分流，一部分 给有线网络，一部分给无线网络使用。3. 使用硬件应用防火墙保证内网，网络出口数据的转发，相对安全内部网络环境。4. 使用上网行为管理管理内部网络的迅雷下载、QQ等不应该出现的流量，包括私接的小路由，小交换的行为导致网络不稳定都可做到有效控制。5. 对网络设备要求能够远程管理，方便运维人员的管理和排障，在网络出现问题时，有效解决网络故障，恢复网络使用。第三章. 整体设计1. 设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证原则。2. 整体区域设计本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构，各区域的设备和主要功能如下：2.1. 核心互联区增加性能强大H3C 5500交换机为核心交换机，主要负责与其他各个区域的互联和数据的三层转发，为整个网络提供高速的数据交换，同时保留原有网络架构不变。2.2. 服务器区增加防火墙，防止外部对网络攻击，防火墙把整个网络划分为三个区域，一部份为外部网络不可信赖区域，一部分为内部网络可信赖区域，另一部份为DMZ区域，保证服务器的安全稳定运行。2.3. 内部网络 对于原来单位内部网络不安全，网络出口设备性能不佳，芯片处理速度慢，我们采用深信服的防火墙来做安全设备。如今网络在改变网络已经深入日常生活 1、大量的新应用建立在HTTP/HTTPS标准协议之上2、许多威胁依附在应用之中传播肆虐3、根据报告：75%的攻击来自应用层4、攻击的多样化、黑客平民化传统的防火墙基于包头信息不能分辨应用及内容也不能区分用户，更是不能分析记录用户的行为。因此我们采用深信服新一代防火墙设备，它可以做到基于用户和应用做安全控制，要求对用户进行识别和对应用进行识别。NGAF具备全面的用户认证系统和海量的应用识别特征库。对于单位的需求完全满足。2.4. 对于单位员工行为的设计目前单位网络中，员工私自接无线路由，交换等行为一方面影响网络稳定的运行，另一方面单位不允许使用这些小路由，屡劝不该，加之员工互联网风险意识不强，这样做对于内部网络及其不安全，不怀好意的人可以通过这些小路由，交换链接到网络内部，攻击网络，窃取信息，然而就是这些小路由小交换安全做的不够好，无法有效的防御。网络的发展与普及正在改变人们的生产生活方式，互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型。 互联网是一把”双刃剑”，缺乏管理的互联网已经带来诸多问题：1、带宽滥用，上网速度慢（P2P流量超过一半，访问网页，ERP等无法顺利进行，带宽无法有效的分配和利用）2、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥）3、机密信息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提供了通道，泄密后无据可查，责任难追究)4、违法网络行为为企业带来法律风险（肆意浏览非法、反动网站，若无具体日志记录，无法举证追踪）5、安全威胁频发、上网环境恶化（互联网威胁越来越多；隐蔽和病毒感染技术越来越先进）因此，我们采用业内比较权威的先进的深信服厂家的上网行为管理设备杜绝这种情况产生。对于上网行为管理产品，它可以做到一下几个方面： 1、应用授权其中包括：网站访问、言论发布、文件传输、邮收发、IM/P2P等应用、控制与提醒； 2、带宽管理其中包括：多线路流控、用户/组流控、应用流量、文件流控； 3、行为记录其中包括：网站访问、外发言论、SSL加密应用、邮件、文件收发、IM聊天等行为、免审计Key 4、报表分析其中包括：独立数据中心、统计/对比/趋势、风险智能报表、数据挖掘与分析、内容快速检索、日志权限Key 5、安全防护其中包括：终端安全检查、网络准入控制、安全桌面、过滤脚本、插件、危险流量封堵、查杀木马、病毒、无线热点发现；所以上网行为管理设备完全满足我们的需求，而且对于政府部门这类设备是国家规定必须使用的设备。对于原有网络架构不变，增加无线网络覆盖，对用户的上网行为进行审计，可以做到针对每个用户可以做到控制，完全禁止员工私自接入小路由，小交换，记录员工上网记录，以及发送内容等。基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对办公网络进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。由于本次项目所需室内AP数量较多，所以在本次无线网络解决方案采用高端无线控制器H3C EWP-WX3024E-POEP放在网络核心，实现对于无线网络中所有的室内AP的统一管理。H3C EWP-WX3024E-POEP高端无线控制器最大可管理128个AP，完全能够管理本次项目所需的室内AP；室内型AP采用WA2620-E双频AP，WA2620-E支持六个射频模块，可以同时工作在2.4GHz和5GHz，在设备数量不变的情况下，把网络的介入容量提高几倍，以满足WLAN用户快速增长的需求；PoE交换机采用LS5120-28P PoE千兆交换机，H3C S5120系列PoE交换机最大提供AC输入： 523W DC输入： 832W供电功率，可以满足24口同时接AP的供电需求；管理方面，H3C可以部署iMC智能管理中心，通过在iMC智能管理中心上增加WSM无线业务管理组件的方式实现对无线控制器、室内AP、室外AP设备的统一管理。简易逻辑组网图如下图所示：2.5. 无线覆盖汇总 覆盖目标描述数量 停车场四个角落各1个，中间2个6一层办公楼后厨3个，食堂大厅5个，办公楼走廊4个12二层办公楼备楼会议室5个，走廊4个，主楼走廊4个13三层办公楼健身房2个，走廊7个，302会议室4个11四层办公楼办公楼主楼走廊4个4五层办公楼办公楼主楼走廊5个5六层办公楼办公楼主楼走廊5个5七层办公楼办公楼主楼走廊4个4八层办公楼办公楼主楼走廊4个4九层办公楼办公楼主楼走廊4个4具体点位图，请参照网络信息图纸。第四章. 方案优势4.1全面完整无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，降低了管理难度。4.2终端识别与流量控制通过无线控制器自动识别终端类型，根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机完微博、炒股、斗地主等等，对于应用的杂乱无章，难以管控，本方案中无线控制器通过内置全国最大的应用识别库和URL库，自动识别无线流量类型，并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P下载，视频浏览进行带宽限制，防止此类应用对于带宽的过分抢占，从而保障了政府正常的办公网络4.3智能联动：互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步识别身份信息，便于后续的报表分析、威胁定位、合规审计等。从而，也极大的减少IT管理员配置、运维工作量。4.4更便捷的安全管理 二维码认证通过二维码认证，访客从接入无线到通过审核、时间就在十秒之内完成，解决了便捷认证、防蹭网、责任溯源三大访客认证难点。 802.1X自动配置802.1X能有效保证北京市通州区地税局单位网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。对此，深信服方案为北京市通州区地税局单位提供了802.1X自动配置工具，让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度 帐号、MAC自动绑定为了实现针对北京市通州区地税局单位领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。第五章. 产品介绍5.1智能防火墙AF1210AF 1210 产品是一款基于应用层设计和开发的新一代应用防火墙，与传统安全设备相比它可以针对丰富的应用提供更完整的、可视化的内容安全保护方案。 AF解决了传统安全设备在应用可视化、应用管控、应用防护、未知威胁处理方面的巨大不足，同时开启所有功能后性能不会大幅下降。产品特点：更完整的安全防护:单次解析引擎:传统的 UTM产品通常为多设备的叠加，未实现真正的功能集成 , 一个数据包经过各个模块的串行处理，速度急剧下降。为了解决统一防护后设备性能急剧下降的难题，深信服科技采用了独有的 “单次解析引擎 ”技术，多种业务并发处理，将所有内容扫描功能融合在一个模块完成，这样所有数据流只会有一次扫描，即使在多功能同时开启、威胁库不断增加的情况下，也不会造成性能的衰减和网络时延的增加。其中应用安全防护功能模块可以帮助用户抵御漏洞利用、病毒蠕虫、 Web入侵（ SQL注入等）、恶意网站、木马后门等多种应用威胁。从而，AF避免了安全设备串糖葫芦式的部署模式，可以为用户提供更高性价比、功能更完整、可靠性更好、性能更高的防护方案。可视化的业务安全：精确制定应用访问策略。AF独创的应用可视化引擎：AF独创的应用可视化引擎，可以根据应用的行为和特征实现对应用的识别和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前，深信服AF 1210的应用可视化引擎不但可以识别600多种的应用及其应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动识别出网络当中IP地址对应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的要求，同时还满足了在内网数据中心和广域网边界的部署要求，可以识别和控制丰富的内网应用。 因此，通过应用可视化引擎制定的L3-L7一体化应用控制策略, 可以为用户提供更加精细和直观化控制界面，在一个界面下完成多套设备的运维工作，提升工作效率内容的安全识别：灰度未知威胁感知技术：为了解决未知威胁的智能识别和处理，深信服 NGAF采用了“威胁关联分析引擎”，不再是单一的去检查一种威胁，而是将病毒、漏洞、木马、恶意网站、入侵等技术手段视为一个攻击行为的多种攻击动作来进行统一的分析和识别，因为可以最大限度的提升检测精度和识别出未知威胁。因此， NGAF规避了传统安全设备对未知攻击的防范能力较弱的缺点，可以发现未知威胁，降低误报率，提升响应速度。5.2上网行为管理AC上网行为管理是大中型企业的网络行为管理设备，能够帮助企业用户更好的管控网络行为和网络资源，最大化利用有限的网络带宽并保障网络安全。AC系列产品是目前网络行为识别率最高、性能最强的专业上网行为管理设备。拥有着领先的网络行为识别能力，除了识别普通的明文数据外，AC还可识别加密的流量和应用，并通过基于统计学的网络行为智能检测技术（NBID），对用户最新面临的应用进行管理，进而提高用户的工作效率，避免机密信息的泄漏。由于采用了高性能的硬件平台，以及不受硬盘空间限制、可独立部署的数据中心，深信服NC的性能领先于其他同类产品，更好的满足了大规模网络的苛刻要求。1300万条URL过滤，人工智能网页分析，1000种网络应用库，应用访问控制，报表和检索，流量分析，带宽管理，防DOS攻击，防ARP欺骗。产品特点：防止带宽资源滥用AC系列上网行为管理产品通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。防止无关网络行为影响工作效率AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。记录上网轨迹满足法规要求AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。 管控外发信息，降低泄密风险AC系列上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风险。掌握组织动态、优化员工管理AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工，并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表能够自动提示管理者关注离职倾向、泄密风险、工作效率降低等员工管理风险，而关键字报表和热贴排行等报表将有助于组织深入了解员工的思想动态，并以此为基础实施组织文化建设、制度改进等针对性措施，从而提高员工管理水平。防止病毒木马等网络风险通过部署深信服AC系列上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。5.3 WX5500系列多业务无线控制器WX5500系列无线控制器具有大容量、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。产品特点：支持智能AP负载分担802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。支持7层移动安全检测/防御(wIDS/wIPS)WX5500系列无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如：DoS攻击，Flood攻击、中间人攻击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法攻击源(AP或终端等)，实现可视的物理位置跟踪监控和交换机物理端口移除。5.4 S5500-EI 系列以太网交换机S5500增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。产品特点：弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运行。高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，实现1：N的协议可靠性。高性能 对于高端交换机来说，性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。5.5 WA2610无线APWa2610是新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相当于传统802.11a/b/g网络6倍以上的无线接入速率，能够覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。产品特点：提供本地转发功能当WA2610AP (Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WA2610 系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。提供EAD无线接入终端准入控制(EAD，End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实施企业安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的处理，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。支持远程探针分析WA2610 AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备，供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，