河北化工医药职业技术学院校园网建设方案建议.doc

河北化工医药职业技术学院校园网建设方案建议第一章：概述河北化工医药职业技术学院作为一所全日制大专院校，目前在校生已经达到约7000名，且专业设置较多，为了更加有效进行教学制度、教学方法改变以适应目前网络化教学的发展需求，网络建设需要有良好及完善的规划。为了实现全方位、多模式教学的发展需求，化工学院的网络建设完成后应该能够实现：基于网络的教学需求以及校园管理的现代化的需求。因此新建成的网络应该是覆盖范围广、可支撑各种应用、满足当前的教学及管理工作，而且具备一定的扩展性和前瞻性。网络建成后将会有各种网络应用在网络平台上运行，因此需要有相应的手段达到对网络使用的可控性和可管理型，同时还要有对不规范上网行为的的限制手段，对滥用网络资源的行为的制约手段等。网络还应该建设成为一个安全高效的网络，对入侵行为具有较高的防御性，各种资源、各种服务具有很好的综合安全保护手段。总之化工学院的网络建成后应该是一个安全、高效、信息共享、能够辅助教学、辅助管理的一个具有综合性、先进型的校园网络系统。该网络首先要能够提供足够的带宽能力（千兆骨干连接可升级至万兆）；能够提供丰富的应用（DNS、WEB、E-MAIL、网络教学、教务管理、资源点播等）；多种安全和管理手段（防火墙部署、流量计费管理、防病毒等）。第二章：网络平台建设第一节：网络平台的总体设计11系统设计原则设计的总体原则是：按照高效、安全、稳定、满足应用、方便扩展，因此系统配置要充分考虑满足业务系统应用需要，同时建立有效的信息系统安全防护体系，从网络、系统、信息和管理等方面保证整个系统安全；建立性能强大的应用系统运行平台，满足应用持续高速发展的需求。系统需要与多个外部信息系统网络及环境实现互联互通，进行信息交换与共享，这对确保系统安全地工作增加了很多困难。因此，系统应特别注意针对不同的应用和通讯环境，采取不同的防范措施，确保网络系统的安全。信息系统安全保障在整体设计过程中应遵循如下的原则： 标准化、规范化原则化工学院网络系统是一个较大的系统工程，结构复杂，设备种类多，应用多种多样，为了保证信息的安全互通互联互操作，要求系统开发必须采用标准化的设计原则，制定统一的建设标准，提供标准的设备和设计开发平台，不仅将本次项目建设成为高标准的平台，同时考虑到与现有网络的无缝连接。 先进与可扩充性原则采取当前先进、成熟的安全技术和设备进行系统设计，设计的系统应在一定的时期内具有先进性，同时保证投资充分发挥作用；并且随着信息网络技术的不断发展，信息安全技术也在不断的变化，会出现新产品新设备，市劳教所网络中的应用及业务系统也会发生各种变化，为了适应这种情况，安全保障体系的设计要有一定的灵活性，系统的结构、功能和层次应具有可扩展性； 可靠性 选择性能稳定可靠的计算机软件、硬件和网络设备，选用质量优、信誉好、国内广泛应用的产品。保证网络系统的高可靠性，确保网络系统长期稳定的运行。 适用性 以满足当前的应用需求为主，兼顾与已有系统的兼容性和未来发展的可扩展性。 开放性 选择开放性良好的硬件、软件和网络系统，以保证系统之间的兼容和扩展。 先进性和成熟性 选择采用已经形成标准，并得到广泛应用的成熟技术，在此基础上尽量选用当前国内外较先进的产品，使系统不至于在短期内落后。 灵活性 选择的软件、硬件和网络产品具有较强的灵活性、可移植性、易维护性和易管理性。 安全性 整体系统设计选择的软件、硬件和网络产品要具有高的安全性；具有较高的保密和病毒防范机制。 一致性原则为了实现资源共享和系统的有效控制与管理，必须统一设计，统一标准，采用统一的技术和设备。包括统一划分安全域、统一规划IP地址等； 均衡保护原则网络信息系统的安全漏洞是由系统物理上的、操作上的和管理上的各种漏洞所综合造成的。攻击者往往在系统最薄弱点发起进攻。因此，在设计安全系统之前，必须对系统的安全边界和安全内容进行一个充分的分析、评估和检测。以便于能够迅速有效地根据实际情况调整和加强系统中的“安全最低点”的安全功能与性能； 技术与管理相结合原则要实现系统的安全功能和性能，既要采取先进的安全技术，又要对已建立的系统实施有效的安全管理，在进行安全基础设施建设时应注意建立配套的运行管理机制和安全规章制度12设备选型原则设备选型首先要以满足用户需求为基础，同时由于信息技术的飞速发展，新产品和新技术的不断出现，在产品选择上在技术上要有一定的前瞻性；由于化工学院网络信息点较多数据量较大，对安全、带宽等要求非常高，因此系统需要有高可靠性和高安全性。因此我们在设备选型上将从处理能力、高稳定性和高安全性这些方面进行重点考虑。采用国内、国际知名品牌产品以及选进、成熟的网络技术，保证系统的高可靠性、高安全性和灵活方便的升级能力，使网络具有长期稳定的运行能力，以及满足应用不断发展的需求。产品应该能够满足以下几点：采用先进的安全技术，确保网络系统的安全性采用高性能设备，保证应用系统的高效运行设备具有良好的扩展升级能力设备具有方便智能的管理性产品具备较高的性价比第二节：网络结构设计21网络整体设计综述设计的总体结构如下图所示：网络整体将采用两级星型结构；核心层采用双核心结构，两台核心交换机通过路由冗余技术实现三层路由交换的冗余与负载均衡；二级交换机分别通过两条千兆链路和中心交换机分别相连，最大限度的保证网络的可用性；核心设备之间通过双千兆链路聚合。内部应用服务器采用千兆和中心交换机相连，对于服务器系统的详细设计及功能配置等将在服务器及应用建设一章中进行说明。网络边界安全将采用一台千兆高性能防火墙实现，防火墙首先实现对内部访问的安全控制，同时还可以实现对移动用户的VPN功能实现，保证在不牺牲安全性能的条件下，使出差人员能够轻松实现对内部资源的访问。庞大的网络系统如果没有有效的管理手段，将会极大的束缚网络充分、合理、有效地使用，针对如何有效的对网络管理我们的建议在网络管理设计一节中还会有详细的说明。网络是由基础平台、应用服务以及网络中的终端计算机共同组成，如何实现对整体流量进行控制、对网络用户进行认证与授权以及如何保证终端系统正常运行，都是本方案将要考虑的设计内容。22网络核心设备设计221中心设备的选择原则我公司定位核心层设备应当满足以下条件：在一台设备内提供高度的冗余和可靠性。电源必须满足1:1冗余。采用无缘背板。必须能提供大量千兆线速接口用于核心交换机与分布层交换机互连。并且满足用于网络互连得端口能够实现线速转发以及基于此端口的ACL、QoS等功能实施性能不下降。 良好的兼容性和适应性：该产品应能够平滑地升级，同时提供良好的向后兼容性。该产品应能够提供尽可能丰富的模块种类，适合主干互连、服务器连接，提供不同密度的接口模块用于要求全线速和不要求全线速的环境，以节省成本。功能的丰富性：尽可能提供丰富的QoS和安全、管理等各种功能，更重要的是，这些功能应是实用的、便于实施的、不影响扩展性的，如果功能复杂难以实施应有自动化的方法改进。是业务上可扩展的：该产品能同时提供对IPv6、IP电话、IP视频的支持。是成熟可靠的产品：因为交换机依靠大量的硬件如ASIC提高速度，硬件的设计缺陷往往是灾难性不可修补的，必须重新设计新的硬件。所以一个产品是否经过大量用户数年的实际使用是最能说明问题的，厂商多年的研发经验的积累对于产品品质的保证是至关重要的。据有完善的安全机制：拥有的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持OSPF 、RIP v2 及BGP v4 报文的明文及MD5密文认证；支持URPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。222本方案的核心设备选择：核心交换平台由两台思科CAT4506核心交换机构成，完成化工学院网络系统工程的各种业务的转发及全网的路由与交换。为保证核心层的安全性、稳定性、高带宽。CAT4506交换机最多可以支持到144个千兆口，可扩展到线速万兆接口，为今后业务发展提供了良好扩展性。该设备具备以下技术特点：超高密度丰富接口类型业务板 思科CAT4506系列交换机提供高密度的千兆接入能力，思科CAT4506整机最多支持144个千兆端口，千兆端口密度数在同类型产品中占领先位置。 端口设计灵活，支持多达20种以上类型的业务接口板，在设计时充分考虑了不同领域、不同规模用户的实际需要，单板上同时提供高密度千兆、百兆接入，用最少数量的模块最大限度地满足用户需求，大大提高了模块的扩展能力和性价比。分布式交换架构 CAT4506交换机采用分布式交换架构，各个业务接口模块上均分布有专用ASIC硬件转发引擎，并且拥有独立的CPU、内存等硬件，保证系统内业务端口均可同时达到线速二、三、四层转发。 CAT4506交换机基于高性能的ASIC，采用业界先进的交换矩阵结构，克服共享总线交换结构带宽低、访问效率低、扩展困难等弱点，使整个系统的交换容量具有很强的伸缩扩展能力。高可靠性设计 CAT4506交换机支持电源等关键部件的冗余备份，从而保证核心设备的高可靠性。 主控板和业务接口板支持热插拔；系统采用冗余电源，CAT4506为1+1冗余备份，电源可以支持热拔插。完善网络安全策略 完善的ACL访问控制策略的定制，支持基于用户MAC、IP地址、IP协议（TCP/UDP）、TCP端口号和UDP端口号等用户信息的ACL控制，防止非法用户进入网络。 支持网络管理服务NMS（Network Manage Service）,控制对设备的访问多级授权，防止非法用户对设备的控制，从而具有极高的安全特性。 通过IP+MAC+端口绑定，实现端口反查功能追查恶意访问用户。面向用户的智能QOS服务质量保证 为不同用户、不同业务根据紧急重要程度的不同定制不同的优先级别，支持基于端口、MAC、vlan、IP、应用类型的QOS 丰富的定制优先级别实现机制，支持8个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制 先进的分布式L2/3/4层线速交换，2级包头阻塞预防机制，智能的避免端口阻塞，保证网络畅通。智能策略网管 智能ASIC技术配合策略网管执行对应用数据流的优先级划分和带宽调度，满足不同应用业务对服务质量的不同要求。23接入层设计231接入技术选择用户端局域网采用10/100兆以太网交换端口到桌面，由于应用的扩展与数据分类的细化，为了实现接入层的安全性以及提高接入层设备的业务能力，对于接入设备还应具有良好的安全机制和带宽管理能力。该系列交换机需要提供完善的路由协议、VLAN控制、流量交换、QoS保证的机制，以及完备的业务控制和用户管理能力。这些智能化的特点非常适合作为关注业务管理控制和网络安全保障能力的办公网、业务网和园区网的汇聚层交换机。为保证网络安全运行，设备需要支持802.1x和Web Portal认证，可通过灵活的MAC、VLAN、PORT任意组合绑定，支持多种ACL访问控制策略，可以有效的防止非法用户访问网络。对蠕虫和冲击波病毒的攻击具有很好的防御能力。具备精细QoS能力和带宽管理能力，支持基于多种复杂流分类，提供了灵活的队列调度算法，可以同时基于端口和队列进行设置。232接入层设备选择接入交换设备采用了锐捷RG-S2126G/ RG-S2150G新一代安全智能交换机，内置强大的智能流识别技术和丰富的ACL（访问控制列表）特性，可根据用户端口、MAC、IP、TCP/UDP端口、协议类型（如FTP，Telnet，Ping等）智能识别，通过多种ACL控制，完全封闭掉由局域网内部用户主动或被动傀儡机发起的攻击；交换机端口、用户IP地址、用户MAC地址三元素联合捆绑功能，既可有效避免IP地址冲突，还可避免非法用户假冒占用合法端口进行IP地址欺骗而入侵内部网络，可完全定位合法用户身份的唯一性，提高了内部网络的安全级别；支持锐捷网络802.1X认证系统（SAM），业界率先实现基于认证的用户特征六元素任意捆绑（用户账号、MAC地址、IP地址、VLAN号、交换机端口、交换机IP地址）技术，彻底保证合法用户的唯一性，在线检测的绑定功能还杜绝了非法用户通过认证欺骗来入侵网络或占用他人上网资源的隐患；支持最高达8台设备的堆叠；全面支持802.1p和DSCP优先级分类标记；可基于交换机物理端口、MAC地址、IP地址、TCP/UDP端口号、协议类型的组合进行带宽限制，限制粒度最小可达1Mbps；应用了IGMP源端口检查技术，可完全限制合法组播在网络中的稳定传输，有效控制非法组播源；支持SNMP v1/v2/v3、Telnet、Web和Console口等多种管理方式。技术参数：产品型号RG-S2126G/S2150G固定端口24/48个10Base-T/100Base-TX RJ45端口扩展模块插槽2个扩展插槽，可扩展最大2个百兆/千兆接口模块模块RG-MGSX 单口千兆短波光纤接口模块RG-MGLX 单口千兆长波光纤接口模块RG-MGT 单口千兆铜缆电接口模块RG-M100FX 单口百兆多模光纤接口模块RG-M100FX-S 单口百兆单模光纤接口模块RG-MSTACK 堆叠模块协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q、IEEEE802.1d、IEEE802.1w、IEEE802.1s管理协议SNMPv1 / v2 / v3、Web（JAVA）、CLI（Telnet/Console）、RMON(1,2,3,9)、集群、SSH、Syslog其它协议BOOTP / DHCP Relay组播协议IGMP Snooping，支持IGMP源端口检查背板12.8Gbps/18.6Gbps包转发速率线速（6.6/10.1 Mpps）MAC地址8K802.1Q VLAN最大256个，支持4K VLAN透传，支持PVLAN端口镜像支持一对多镜像，可分别基于输入/输出流的镜像端口聚合最大6组，每组最大聚合8个百兆端口、2个千兆端口堆叠支持，最大8台堆叠，堆叠体各上联端口仍可支持端口聚合广播风暴抑制支持宽高深440 mm 44 mm240mm电源AC 160V240V，48Hz60Hz温度工作温度： 0 到 40 存储温度：-40 到 70湿度工作湿度: 10% 到 90% RH 存储湿度: 5% 到 90% RH24网络规划设计241VLAN规划化工学院网络作为一个规模较大的园区网络，网络运行和管理要适应本身管理运行的特点。从业务流程和管理特点上来看，要求虚网划分能够适应两个层次的要求：一是二级单位为行政主体进行管理的横向虚网划分；二是以专业应用子系统为主体进行管理的纵向虚网划分。这样才能满足管理上的基本要求。除能满足上述基本要求外，虚网划分要求遵循802.1Q标准，以实现不同设备间的虚网互连，虚网数的要求达到1000个以上，虚网划分的策略以按端口方式为主，因为端口划分方式是目前使用最方便、并能提供最好的网络第二层安全控制及广播控制的的VLAN划分方法。本项目中的CAT4506以及华为S2100系列均遵循802.1Q标准，虚网数可达到4096个。支持本地VLAN划分和跨主干的VLAN划分方式，可以实现横向虚网划分和纵向虚网划分功能。本方案建议使用以二级行政单位为主体进行虚网的划分,即以化工学院各系、处为单位进行划分,另外为了更有效的的对网络设备进行管理,将所有的网络设备的管理地址划归一个VLAN,对于某些特权机器(如网络中心、领导等)划分单独VLAN，并且做相应访问策略。242VLAN间访问策略规划VLAN划分是将机器划归到不同的管理组，这种分组的目的主要是隔离广播数据、便于网络管理。目前多数用户只是做了VLAN的划分，而且通过三层交换设备实现了VLAN间的通讯，但是却忽略了一个重要问题，那就是如何规划不同VLAN间的访问。由于在局域网中我们划分VLAN时便已经赋予了每一个VLAN属于不同的功能域，并不是所有VLAN之间或所有计算机之间都可以不作限制随意访问。从基于安全性考虑我们不会允许网内所有计算机都可以访问网络设备所在的网管VLAN,也不会允许任意计算机可以访问财务部门网段，因此我们需要在不同网段之间进行访问控制设置。目前最常用的主要是使用访问控制列表，通过将功能不同的访问控制列表加载到不同的VLAN接口中，便可以根据自己的实际情况设定相应的访问规则。例子：考虑到内网中的蠕虫等可能也会试图对网络的出口等进行攻击，迫使出口设备出现拒绝服务等现象，因此我们还需要对内网数据对外传输时进行安全过滤，这类过滤主要是对常见的蠕虫病毒端口进行屏蔽，这样尽量避免对网络设备的攻击行为出现。243 IP规划IP地址规划要注意统一考虑的原则，全网要有一个一致的规划方案，要考虑易于管理和分配的原则，为各个部门节点制定统一的划分原则。IP地址的分配要考虑到老校区的使用情况统一来规划，同时还要尽量避免地址的浪费，化工学院在CERNET申请到的C类地址，在这些C类地址中，我们采用VLSM技术，按照行政区域和系统进行划分。鉴于此次工程的的组网规模， IP地址的分配可以根据以下几个层次考虑：三层路由网关：此次核心设备采用双机冗余与负载均衡，对于每一个VLAN都需要分别为两台核心设备分配一个地址，作为每个VLAN的虚拟网关，同时还要分配一个地址作为路由冗余的网关地址。 用户接入地址段：按照各地局域网内主机接入数量和设备数量来分配子网空间，为提高交换网络的效率，建议针对不同职能或部门划分不同的子网。但用户地址网段应当易于汇聚，减少其他子域路由器的路由开销。服务器地址段：为满足服务器接入的需要，需要为服务器分配独立的地址空间。原则上，可根据服务器的应用种类和关联关系，分割成不同的子网网段，防止因同一广播域内，因主机的数量增多而导致的局域网效率的下降。设备管理地址：为了便于网络设备的管理以及设备管理的安全性保护，建议将所有网络设备的管理地址单独划分网段，采用带外管理模式，这样保证了网络中只有专用的网管服务器才能够对网络设备进行管理。244QoS规划思科的系列高性能交换机提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列，3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为8Kbit/s，满足精品宽带网络的要求。我们可以根户用户的业务类型来进行某一类QoS的部署，实现对网络流量的有效控制。第三章：网络安全设计第一节：网络安全综述绝对不能把安全理解为一时一地的安全，安全必须整体考虑，安全必须把人的因素和物的因素综合考虑，安全不能只重实施不重监控，不能忽视策略。我们理解的安全是一个永不停止的车轮，车轮的核心是安全策略的制定，而策略的实施、效果的监控、反馈和评估、策略的改进，如此周而复始的循环才能保证真正的安全。那些把安全视为一个独立的防火墙或者某个设备上的一个特殊功能的做法，是有害无益的。所以，我们理解的安全解决方案涵盖了安全的各个功能部分，通常也需要各种设备通力合作。这些产品现在能实施任何指定的网络安全策略。这些特性将身份鉴别、完整性及审查功能融入到您的网络基础设施上。由于安全策略非常具体、细致，因此，这些要素如何在园区网、拨号和Internet上得以实施会有所不同，究竟有哪些区别取决于不同区域对安全程度的不同要求。某些技术可提供更深入的安全保护，但通常也要求更多的CPU 和存储器。定义安全前应先明确安全要求，然后实施，这样就避免了最后做不必要的技术调整。在实施安全解决方案时, 我们必须遵循的设计原则是：在网络设备中全面集成安全功能；从整体高度应用不同设备的安全功能，不能单打独斗，更不能无视全局。具体到本项目，我们将在以下方面进行安全的策略部署：1. 在网络中配属防火墙，重点放在Internet连接功能区。在设备上启动必要的安全过滤ACL，Cisco 4506交换机支持第2层到第4层的ACL；2. 此次提供的Cisco 4506和S3900交换机全面支持业界标准802.1x用户认证协议。3. 部署网络防病毒系统。4将网络防病毒系统和网络的管理系统进行相结合，将安全控制部署到每一台网络设备直至每一台终端计算机。第二节：网络设备安全机制局域网必须提高整体的稳定性：在交换机上采用类似CEF的交换技术，避免采用基于Flow的交换技术，后者很容易被网络蠕虫造成的Flow过载导致DoS直至崩溃；尽量避免在全网范围内运行SPT之类的L2协议，即使必须运行，应该能够在交换机上部署Root Guard和BPDU Guard这样的功能来防止由于SPT不稳定造成的VLAN崩溃；所有的交换机应启动Port Security防止导致MAC地址耗尽的攻击，启动Storm Control控制广播风暴；在非交换机互连端口启动Port Fast；交换机应关闭Web管理服务和明文Telnet，或者代之以SSH、SSL，改变标准的Web 80端口号；交换机上最好通过线速ACL和QoS速率限制技术杜绝大流量造成的DoS攻击。具体的做法是，在4500交换机上，可以部署以下的安全机制：转发安全：CEF交换技术；端口安全：Portfast、Root Guard、BPDU Guard、Traffic Storm Control、Port Security、PVLAN；流量过滤：VLAN ACL、Route ACL、QoS ACL；交换机自身防护：SSH、SNMPv3、Radius/TACACS+；防火墙硬件服务模块对ERP业务服务器提供基于状态的防火墙保护；IDS硬件服务模块提供入侵检测保护。在S3900交换机上可以部署以下的安全机制：转发安全：基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全；集中式MAC地址认证和802.1x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。DUD(Disconnect Unauthorised Device)认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等等攻击。第三节：防火墙31防火墙的选择防火墙作为专业的网络安全设备由于本身所具有的特殊性，使得我们在进行该产品选择时应该具备以下特点：u 具有强大的处理能力，完善的功能特点u 自身具备良好的抗攻击能力u 具备高的稳定性u 友好的人机交互界面u 良好的后续开发及支持能力本方案我们推荐使用联想网御POWER V-3203千兆防火墙，对于联想防火墙的特点与优势将在附件资料中介绍。32防火墙策略及部署防火墙系统的成败关键在于防火墙的安全规划与安全策略设计，在本方案中，我们将针对安全策略的规划等进行重点阐述。在化工学院网络建设中，应遵循以下总体安全策略：1未经允许的访问都要严格禁止；2允许的访问都要经过认证、授权；3按照访问需求将整个系统分成若干个安全区域，并设定访问规格在下面的章节中我们将针对目前所面临的问题进行安全策略的规划设计。321边界访问安全策略网络边界安全策略包括： 内部网络对外部访问的控制； 外部网络对内部资源进行访问时的授权与许可；内部网络对外部访问的控制：由于化工学院的网络出口共有2个，即：公网和教育网，因此对于外部的访问我们需要进行基于目标地址或源地址的路由规划。为了保证内部对外访问的可靠性与高效性，可以对源端口及目标端口进行设定。外部网络对内部资源进行访问时的授权与许可：开启的服务越少安全漏洞便会越少，基于这个原则在一般默认情况下我们会设定内网具备最高的安全特性，禁止一切外部访问；但是我们的网络中会有一些主机系统必须允许外部进行访问，这种情况下我们会把相应的主机（或服务器）置于DMZ区域，并仅仅只是开放服务所需端口，并启用主机映射功能。322多DMZ 区保护本次方案推荐的防火墙接口数量为五个。因此部署防火墙的时候一个接口连接公网，一个连接教育网，一个接内网，还有3个接口可以用作DMZ 区，我们可以将其他接口分别进行不同的访问设置，把不同的访问需求服务器至于不同的区域中。如果把这些不同服务器放在内网或同一个安全区域，那么访问需要到内网中取数据，或同一个DMZ区域，这样内网或DMZ区域被整体攻破的基率会增加很多，因此我们建议充分利用这些端口，将不同服务置于不同安全区域。323端口映射加入防火墙后想隐藏服务器的真实IP 地址；同时还要在不增加IP 的情况下远程管理防火墙。这需要防火墙作端口的映射既：访问这个地址的HTTP 服务、FTP 服务转到服务器上，其他服务是访问防火墙本身。这样可以既保证用户网络灵活部署的同时更大程度上保证服务器的安全。324多出口目前化工学院共有2个出口公网和与教育网连接，这时候接入防火墙的时候需要防火墙具有基于规则的路由功能，也就是说：不同主机或者目的地址在防火墙上的网关不同。联想网御防火墙Power V 具有基于策略的路由功能，可以根据源地址、目标地址等设定不同的路由，从而可以满足用户具有多个出口的要求，满足学校的特定接入情况。325带宽保障在当前网络存在问题的分析中我们知道质量监督局的网络中将会增加越来越多的用户及应用系统，而且常常会出现病毒或恶意软件以及BT等导致对流量的大量占用，这种恶意占用最直接的结果就是导致，流量占用严重正常服务无法进行，因此我们必须要有有效的手段来对关键应用或关键主机进行带宽保障策略设计。大家都知道图像、语音对延迟要求很高，否则到远端处感觉说话是时断时续，而数据包对延迟要求不高。因此在这样的网络环境中使用防火墙的带宽管理功能十分必要的，同时使用防火墙可以有效的隔离广播，保证无线网络中珍贵的带宽被浪费。联想网御防火墙Power V 具有QoS 功能，使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。联想网御防火墙Power V 通过定义流量策略的方式提供QOS 功能，带宽管理支持基于源IP 地址，目的地址、服务、接口的带宽管理，支持VPN 带宽的管理，能够对VPN 中的封装信息进行基于IP 地址、服务的带宽管理。每条带宽管理策略可以支持最小保证带宽，最大限制带宽，可以支持带宽优先级的设定，不同的通讯具有不同的带宽使用优先级，优先级高的通讯可以最大量的获得防火墙空余的带宽。总体来说，具有以下的特点： 带宽限制可以对用户IP 地址、服务等通过防火墙的带宽进行限制，例如：限制某个用户对外访问最大带宽，或者访问某种服务的最大带宽。 带宽保证保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用，从而保证了重要数据优先通过网络。 优先级控制联想网御防火墙Power V 通过定义管道的方式提供QoS 功能，并且管道没有数量的限制，也就是说优先级控制的等级没有数量的限制，同时可在每一个管道中，可以设定9 个优先级（1-9）,从而可以进行更加细致的流量控制，做到基于IP 用户的流量控制。 动态流量均衡为了保证网络中的所有带宽都得到合理的应用，防火墙提供动态流量均衡功能。例如：假如某网络带宽为256k，设定主机A 的带宽为100k，主机B 带宽为156k,如果主机B 目前只用到120k，而主机A100k 的带宽不够用，此时主机A 可以动态获得主机B 剩余的36K 带宽。如果主机B 某一时刻的突发速率到156K，他会动态的从主机A 那里获得属于他的36K 带宽，从而保证重要服务或者用户优先进行数据传输。在本次工程我们选择的网御防火墙可以针对不同的应用或用户组进行带宽高限和低限进行设定，保证重要主机总是可以获得足够的网络带宽。针对质量监督局的我们可以为一些服务器或重要人员进行带宽保证设置。326过滤，IDS检测为了避免一些反动或恶意的信息被发送，网御防火墙可以启用过滤功能对特殊的关键字以及一些网址等进行过滤；网御防火墙本身具备多种IDS检测能力，及时发现异常行为。而且可以实现与其他品牌的IDS系统以及网络设备等进行联动，对于攻击行为进行阻断等操作。33防火墙VPN功能的部署本方案只是介绍VPN移动用户客户端访问模式，这主要针对经常外出人员需要对内部网络访问时进行设计，这种方案的最大好处在于，我们外出人员，只要能够访问到我们的网络即可建立一条到中心的VPN链路，链路建立后就会获得和内部访问一样的权限，同时数据在传输时其安全性也是非常可靠的。目前联想网御的防火墙设备均支持这种客户端软件访问模式。第四节：访问认证为了避免非授权用户的网络接入，本方案中将针对该问题进行专门设计。对于接入用户的认证我们推荐两种解决方案：1采用802.1x认证模式，该模式需要接入设备支持802.1x协议，同时还需要专门的认证系统及认证服务器。该模式的优点在于目前WINDOWS XP系统已经提供标准的认证客户端软件；可以普遍用于网络中；但是其缺点也是显而易见的首先不同的设备厂家所提供的认证服务器端未完全标准化，还存在不能兼容，且不同的厂家也在推荐使用专有的客户端软件。2采用我公司推荐的CNETMAN网络管理系统（将在后面章节中进行说明），网管系统和网络交换机进行结合对于未经过认证的服务器将拒绝其接入网络。考虑到网络的综合管理及访问控制能力，我们建议使用CNETMAN网络管理系统来实现对端口的访问控制。第五节：网络防病毒病毒目前已经成为网络系统运行的最大威胁，恶意的病毒常常导致你的主机系统变慢甚至崩溃、网络系统发生阻塞、服务无法提供等。因此如何有效的进行病毒查杀已经成为网络建设首要考虑的问题之一，本项目我们为化工学院推荐使用*网络版病毒查杀系统，关于该系统的特点后面章节将有详细介绍。学校机器数量大、分布广，因此要求安装部署简单方便；学生机有很强的自主性，需要对其做必要的限制。学生的好奇心及求知欲一般都很强烈，且校园一直是IT技术应用的前沿，比较容易发生病毒爆发及其他网络安全事件，需要信息安全厂商具有强大的应急处理能力及售后服务保障。系统部署及防护策略：管理：将管理中心及控制台部署在服务器区域，管理员将通过其管理整个网络的防毒节点分级架构：为每个子网部署系统中心，负责管理本子网的客户机。级联升级：在服务器区安装主升级服务器，从Internet自动下载升级文件；各子网分别部署二级升级服务器，自动从主升级服务器获取升级文件并分发给本区域的客户机。灵活部署：办公行政子网的客户机都已加入域，对其采用域脚登录脚本安装以Email等方式发布安装链接，在其他客户机通过点击安装链接自动完成安装；以远程安装方式为所有服务器安装服务器端。防护策略：将各子网的学生机分别划入一个特别的组，对其进行严格的权限设置，防止其随意关闭及卸载客户端第四章：网络管理设计第一节：网络综合管理11产品简介CNetMan 提供网络逻辑结构、网络物理结构、网络行政结构三种网络表现结构。构建了对路由器、交换机、服务器、终端设备的全方位管理。可以管理路由器和广域网线路，可以管理交换机和局域网线路，可以管理大、中、小型机、服务器等重要网络设备，可以管理所有终端计算机，并对Windows、Unix等不同运行环境进行监督和管理，提供了入网安全检查、病毒防、查、杀、MAC和IP管理、流量监测告警一整套完善的安全体系，可以对所有硬件、软件资产进行统一管理，可以通过网络对网络中任何一台设备进行远程指导以及远程维护的工作，可以批量分发软件和信息进行软件升级等工作，详实记录网络中发生的各种正常和异常操作，可以迅速发现网络线路和设备的故障以及迅速找到故障点，缩短了各类网络故障诊断和修复时间，极大地提高了网络管理效率，节省了大量的人力、物力、财力，保证各单位业务的正常运行。12产品特点CNetMan网络管理系统采用软件系统平台技术，采用三层结构，包括网管服务器，网管控制台，客户端程序。CNetMan网络管理系统构架了先进的软件框架结构，高度集成众多的网络管理模块，图形界面形象逼真表现网络，操作朴实无华、简单方便，多角度描述网络结构，适合多方面人员使用，将复杂的网络管理变成简易的操作。在对网络设备的管理中，突破了设备品牌的限制，能对绝大部分的网络设备（可网管的网络设备）进行管理。能对各种类型的计算机进行管理，突破了操作系统的限制。不管网络规模的大小，网络环境的复杂程度，CNetMan网络管理者都能很好的解决网络管理中的问题 。1、友好的使用界面以图形化方式形象准确地描述出各种网络设备及终端设备在网络上不同的结构关系和设备及线路变化状态。在全中文的界面下，操作非常简便，能够自动、及时、完整反映管理信息。2、广普的系统适应能力能管理可网管的网络设备；跨区域、跨网段、跨平台的严密高效的分级管理；适应各类网络拓扑结构；支持SNMP V1 V2。可管理各种系统下的终端计算机。3、完备的网络管理机制提供灵活强大的用户组及用户模块管理功能，用户能够自主设置网管员级别、赋予记录操作过程。不同管理权限，适应各种管理人员使用。合理划分管理内容和管理范围，运用任务调度机制、资源分配机制、统一协调机制、信息汇总机制、数据转发机制、网络安全机制等一系列管理策略，实现对网络的分层次、多级别、立体化的管理，满足各级网络管理者的需求。4、强大的功能模块群组清晰明了的网络拓扑结构；对网络设备、终端设备、网络线路的故障进行实时诊断，迅速判定故障源；实时监测统计网络中流量分布，协助网管员预防广播风暴和蠕虫病毒的扩散；强大的告警机制，对定义的网络事件采用多种告警方式；具有严密高效的安全防范机制。具有强大的日志管理和事件管理功能；与主流品牌网络版杀毒软件进行捆绑，将病毒查、杀、防机制纳入网络管理范畴。13网络管理解决方案131拓扑结构的管理CNetMan网络综合管理平台为管理员提供多种拓扑关系，来给不同的管理人员提供网络的视图。目前有3种视图结构，其中物理结构视图（包括整体拓扑结构和详细连接结构）、逻辑结构视图主要是为技术人员进行网络维护提供的，行政结构式图主要为非技术人员使用，提供一种直观的管理工具。下面分别对各种结构进行简单介绍：网络整体拓扑结构整体拓扑结构主要用于展示网络中的网络设备（包括路由器交换机等）连接关系，此结构主要提供一种用户网络的整体拓扑关系概念，直观的显示用户网络中网络设备的总体情况及工作状态。其视图结构如下图所示：网络整体结构拓扑示图这种结构展示出网络的整体拓扑关系，另外该结构可以直接转换到网络的详细物理连接关系拓扑（下一节介绍）。这样管理员既可以实时对整个网络情况进行监视，当某台设备或者其下联设备（包括所直接连接的计算机、服务器等）发生故障告警时，可以直接转至故障发生设备，查看详细故障问题。网络详细的物理拓扑结构详细拓扑结构展示的内容主要包括：交换机的端口列表、端口状态、线路状态以及端口和计算机等设备的对应关系，同时能够标识出级联端口等，另外可以对设备信息进行描述性定义（比如位置等）。下图就是对详细连接结构的示意：网络详细的物理拓扑结构视图上图中我们可以看到对于交换机的每一个端口都有其序号描述与状态描述（使用/空闲/禁用）；同时结构还清楚展示出了每一个端口所连接设备，此拓扑结构为系统的其他相关联的功能实现，提供了最基础的条件（相关功能将在后面章节介绍）；箭头标识出此设备的级联端口，双机箭头转入到此设备的上级级联设备拓扑；选中端口单击鼠标右键可以实现对端口的控制功能；双击交换机描述（例如此图是二楼交换机）可以获得该设备的SNMP信息；选中交换机描述鼠标右键可以对端口流量信息进行提取；该拓扑还清楚的展示出连接线路的关系和状态，对于烦乱的布线结构提供清晰的对应关系。逻辑结构逻辑结构拓扑是根据网段的划分来生成，对于主机系统的网段归属提供快速准确查询。逻辑结构视图行政结构行政结构作为CNetMan网络管理平台最具中国化管理特色的体现，更直接的展示了设备使用者的行政隶属关系，充分贴合了目前学校以行政管理体制来进行网络管理的特点。这中结构为非技术型的管理者提供了，最直接简单的操作依据，因为设备的管理主要是对使用的管理，也就是对使用者的规范操作与正常使用的管理。行政结构的建立是通过管理人员手动建立的，它详实的展现了设备所属部门，使设备管理和规范使用者的操作直接的联系起来。再配合电子地图还可以清楚展示出各行政部门的地域分部情况；行政结构同时提供分部门的IT资产统计信息。行政结构视图132网络设备管理网络设备的管理是基于SNMP协议的，系统实现了对网络设备状态的监视，信息的提取等。通过对信息的提取，生成网络设备的物理连接关系和端口的连接结构。管理内容：交换机的实时流量监测：采集交换机端口流量变化、通过多种形式表现流量情况、流量对比，通过监测发现网络中流量异常情况。交换机的流量统计：统计过去任何一段时间，交换机在每月、每天、每一小时的输入、输出、总流量以及丢包率、错包率。帮助管理员对重点设备的运行情况、负载情况有清楚的了解。交换机的端口管理：调整交换机端口的功能，可以在紧急情况下，隔离网络与故障设备的线路连接。关闭及打开交换机端口在安全机制下使用可以有效保障网络。对于重要设备，加入保护列表禁止关闭交换机端口。端口关系的自定义：有时只是简单的IP地址或者拼音的命名规则，会让管理员一头雾水，搞不清详细的连接关系，CNetMan管理平台允许用户对设备端口连接关系进行定义，这样管理员可以更清楚的知道，各设备的连接关系。如详细物理结构图上显示的是从设备MIB库里提出的端口号，我们可以将PORT12更名为级联交换机等。133个人计算机的管理计算机的信息查看：采集计算机动态的系统、硬件、软件信息。硬件信息包括CPU类型、内存、显示、外设、硬盘分区及使用率、网卡；软件及系统信息包括操作系统、服务进程等。使用者信息：系统可以对计算机的使用者信息进行登记，包括姓名、照片等信息。以便于落实对计算机使用的管理，实现定人、定岗、定职能的考核等。常规告警：对计算机使用中的一些性能的临界告警，包括硬盘使用率、CPU负载、内存使用率、带宽使用率、错包率、丢包率等，设定阈值当达到临界值时系统会产生相关告警，这会提示网络管理员对相关设备等进行处理，比如通知或者直接处理。节点计算机流量统计：统计局域网内安装网管节点程序的每台终端计算机的每月、每天、每小时的流量，有效监控计算机流量的异常变大，防止人为操作对网络带宽的占用。计算机的上网告警：对网络中计算机违反规定通过拨号等未经许可方式上互联网告警非法软件告警：被管理计算机上运行被定义为非法或不允许运行的程序，系统会将相关告警发送到管理平台，管理员会依据管理规定对该事件进行登记，或者提示使用者停止该非法进程，或者强制关闭该程序直至关闭该计算机。远程指导和维护：通过网络对远程计算机的操作进行观察和指导，该操作由于可能涉及到敏感信息，为避免不必要的麻烦发生，可以采用被控端许可模式、被控端主动模式或被控端被动模式等。软件分发信息发送：批量向节点计算机分发软件和数据（与远程监控结合使用可以进行软件升级及安装的工作）。发送短消息、通知或者对违规操作者进行告诫，可以针对某个IP的终端设备进行软件发送和升级工作，也可对网上所有的终端设备同时或定时进行批量的软件分发和升级工作。134服务器管理服务器的管理不仅要考虑相关信息的获得以及操作，同时还要考虑到服务器的安全性以及对服务器资源的占用等，因此对服务器的管理采用不进行节点安装的管理方式，这样首先将相关服务器作为特殊节点保护方式，管理时使用专用的服务器管理工具进行。服务器管理内容与在本机的管理一样方便，服务器管理主要包括以下内容：管理内容详细描述进程管理查看、监测服务器进程信息；可以终止任意进程。服务管理查看：列举服务器上所有服务；停止，开始，暂停，继续某一个服务 日志信息按照日志种类列举服务器的所有日志信息注册表管理查看：查看服务器的注册表表项和值操作：删除，新建、修改注册表项 磁盘信息查看：列举服务器的磁盘信息用户组管理查看：列举服务器上所有的本地用户组和全局用户组（域用户组），查看任意一个用户组的属性操作：新建，删除用户组 用户管理查看：列举服务器上所有用户，查看任意用户的属性操作：新建，删除用户组，修改用户属性。 系统属性查看：列举服务器的一些系统属性，包括：操作系统、 显示适配器和环境变量 关闭/重启关闭，重新启动服务器或者将服务器的当前用户注销资源使用查看服务器的实时CPU利用率和各个进程的CPU利用率信使服务发送短消息给服务器（服务器必须运行信使服务）135安全管理病毒管理：病毒管理可以采用2种方式与主流病毒软件捆绑（目前支持的网络版防病毒软件包括：N