单位网络改造方案

疾控中心网络改造方案疾控中心网络改造方案 2014 年年 8 月月 疾控中心网络改造升级方案 目目 录录 一、概述.1 二、需求分析.1 三、方案设计.2 1 系统设计原则 .2 2 网络基础设计.3 2.1 总体架构设计拓扑图 .3 2.2 总体网络架构设计思路 .3 四、设备选用介绍.6 五、服务承诺.18 六、费用预算.20 疾控中心网络改造升级方案 1 / 22 一、概述一、概述 我中心网络是由 140 多个信息点组成的中小型网络,目前 通过一条 10 兆广域网线路为本部提供互联网接入服务。 二、需求分析二、需求分析 目前我中心在内网方面有以下几个方面需要解决。 设备更新设备更新 交换机、路由器、防火墙等设备升级更换； 办公楼一楼房间网络线路与 36 个信息点铺设安装； 1-7 楼无线网络设施设备安装。 疾控中心网络改造升级方案 2 / 22 三、三、方案方案设计设计 1系统设计原则系统设计原则 系统性：站在整个信息安全系统体系的高度，统一规划，建 立完善的框架体系，形成对应的规范标准，实现统一的系统 管理； 实用性：以采用最小化建设原则为根本宗旨，以较小的资源 使用量建设安全系统，使得建成后的体系能够充分发挥作用； 专业性: 提供了与信息服务相关的各模型，丰富完善的知识 库和安全事件管理预案； 经济性：在信息服务系统正常运转的前提下，综合考虑建设 成本、运行成本和维护成本； 可伸缩能力：满足未来所支持的应用和用户将有非常大的增 长，良好的伸缩能力不仅意味着系统的持续性和稳定性，而 且也是满足未来服务、应用增长需要的必备条件； 高可靠性与可用性：对于关键性应用，如果网络发生故障或 主机发生宕机现象，会造成严重的后果。RAS（可靠、可用、 可维护）特性，是系统选型考虑的重点； 高性能：服务的响应速度是保证用户服务质量和满意程度的 重要方面。系统高性能确保为用户提供优质的服务，使用户 得到良好的响应时间。 疾控中心网络改造升级方案 3 / 22 2网络基础设计网络基础设计 2.1 总体架构设计总体架构设计拓扑图拓扑图 2.2 总体网络架构设计思路总体网络架构设计思路 网络设计上要求高带宽、高可靠性、高可扩展性。 此次设计遵循网络拓朴结构层次化的总体设计，网络拓朴结构主要由核心 层和接入层组成。各层面设备要求能提供各种网络控制，具体是： 一、构建多个虚拟网络 单位的网络按部门被虚拟成多个虚拟网络，并可根据需求增加新的虚拟 网络。不同的虚拟网络之间是不可以直接访问的，一个虚拟网络必须经过中心 疾控中心网络改造升级方案 4 / 22 交换机才可以访问其他虚拟网络的电脑。 二、网络资源访问控制 在中心交换机上，可以根据需要开通相应的访问权限。 三、上网行为管理 优化上网行为，提高上网安全。 以上设计的优点主要有： (1) 可扩展性，网络可模块化增长而不会遇到问题； (2) 简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使 故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题； (3) 设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络 不会对其他层次造成影响，无需改变整个环境； (4) 可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。 2.32.3 设备选择设备选择 考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，建议配 置一台核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层 连接起来，进行数据高速转发。用户数据通过汇聚层上行到核心层，通过核心 网获取所需业务。 核心交换机核心交换机： 根据需求我们选用 H3C LS-5120-24P-EI 交换机作为网络的核心设备，背 板带宽 192Gbps，包转发率：42Mpps。它是一款部署于企业核心的高新能交换 机，在核心网络中的性能、IP 服务，冗余性和故障弹性十分重要。H3C LS- 5120-24P-EI 是 H3C 公司自主开发的千兆三层以太网交换机，具备丰富的业务 特性，通过 H3C 特有的集群管理管理功能，支持 WEB 网管，用户能够简化对网 络的管理。 疾控中心网络改造升级方案 5 / 22 汇聚层交换机汇聚层交换机： 根据需求我们选用 H3C S3100-26TP-SI 交换机作为网络的汇聚层设备，背 板带宽 19.2Gbps，包转发率 6.55Mpps。 POEPOE 供电交换机：供电交换机： POE 交换机负责给 AP 供电，直接关系到无线 AP 的使用，因此我们推荐使 用 H3C 3100-26TP-PWR-EI，H3C 3100-26TP-PWR-EI 以太网端口可以为连接到该 端口的设备进行远程 PoE 供电，产品支持 VLAN 划分、端口限速、RMON 1，2，3，9 组 MIB、IP+MAC+端口三元素绑定、防 ARP 欺骗、ACL、VLAN- ACL、STPRSTP、静态 LACP 等功能，可以通过 Telnet、命令行、Web 界面、 SNMP 等多种方式进行管理。 支持 PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如 Wireless AP、IP Camera、IP Phone 等）进行远程供电，从而使得不必在使用 现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理 成本。 上网行为管理设备：上网行为管理设备： 上网行为管理设备选用 sangfor 公司的设备。 它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员， 各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或 公司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略 管控。同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用 的使用情况，及对网络所造成的影响，尽在掌握。 疾控中心网络改造升级方案 6 / 22 本产品是全方位的网络内容安全解决方案，具有 WEB、IM、P2P、FTP 等应 用层(LAYER 7)延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到 应用层，以提供网络内容安全的纵衡防御服务。 它可以对不当信息拦截防护、 策略管理、统计报表、流量控管.等多种管理功能，特别有助于 对网络的使 用控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防 护。它能协助企业进行网络有效管理，提升网络资源的使用效益！ 四、四、设备选型介绍设备选型介绍 1、 H3C LS-5120-24P-EI 交换机 主要参数主要参数 产品类型智能交换机 应用层级三层 传输速率1000Mbps 交换方式存储-转发 背板带宽192Gbps 包转发率42Mpps 端口参数端口参数 端口结构非模块化 端口数量28 个 端口描述24 个 10/100/1000Base-T 以太网端口 控制端口1 个 Console 口 传输模式支持全双工 功能特性功能特性 VLAN支持基于端口的 VLAN（4K 个） QOS 支持 IEEE 802.1p/DSCP 优先级 支持优先级映射 支持端口信任模式 支持端口信任模式 支持端口队列调度（SP/WRR/SP+WRR） 疾控中心网络改造升级方案 7 / 22 组播管理 支持 IGMP Snoopingv1/v2/v3 MLD Snooping 支持组播 VLAN 网络管理 支持 XModem/FTP/TFTP 加载升级 支持命令行接口（CLI） ，Telnet，Console 口进行配置 支持 SNMP，WEB 网管 支持 RMON（Remote Monitoring） 支持 iMC 智能管理中心 支持系统日志，分级告警，调试信息输出 支持 HGMPv2 支持 Modem 远端拨号 支持 NTP 支持 Ping，Tracert 支持 Telnet 远程维护 支持 VCT（Virtual Cable Test）电缆检测功能 支持 Loopback-detection 端口环回检测 安全管理 支持用户分级管理和口令保护支持 Radius 认证支持 SSH 2.0 支持 802.1X，集中式 MAC 地址认证支持 Guest VLAN 支持端口隔离支持端口安全支持 MAC 地址学习数目限制支持 IP 源地址保护支持 ARP 入侵检测功能支持 IP+MAC+端口的绑定支持 EAD 支持 Triple 认 证 其它参数其它参数 电源电压AC 100-240V，50-60Hz 产品尺寸44016043.6mm 产品重量3kg 环境标准 工作温度：0-45 工作湿度：10%-90%（非凝露） 保修信息保修信息 保修政策全国联保，享受三包服务 质保时间1 年 质保备注1 年免费保修 客服电话400-810-0504 电话备注24 小时电话服务 详细内容 H3C 软件、硬件的保修期均指自保修期开始日期起，若干天以内。硬件保修期为 1 年， 在产品说明书所述正常使用条件下，保修期内硬件出现工艺或质量问题，H3C 接到申请 后提供返厂维修服务，周期为 H3C 收到设备后 30 天。H3C 有权决定对故障件进行维修 或更换处理，若更换，更换件可能是新设备或为具有同等类别、功能、质量的修复品，更 换下来的故障件归 H3C 所有。 疾控中心网络改造升级方案 8 / 22 2、 H3C S3100-26TP-SI 交换机 主要参数主要参数 产品类型智能交换机 应用层级二层 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽19.2Gbps 包转发率6.55Mpps MAC 地址表8K 端口参数端口参数 端口结构非模块化 端口数量28 个 端口描述 24 个 10/100Base-T 以太网端口，2 个 10/100/1000Base-T 以太网端口，2 个 1000Base-X SFP 千兆以太网端口 控制端口1 个 Console 口 传输模式全双工/半双工自适应 功能特性功能特性 堆叠功能可堆叠 VLAN最多支持 4K 个符合 IEEE 802.1Q 标准的 VLAN QOS 每个端口支持 4 个输出队列 支持 802.1p 优先级、DSCP 优先级、ip-precedence 优先级 支持 WRR、HQ+WRR 队列调度算法 支持端口发送和接收方向的双向端口限速 组播管理IGMPv1/v2/v3 Snooping 网络管理 支持命令行接口（CLI） ，Telnet，Console 口配置 支持 SNMP 支持 iMC 网管系统 支持 WEB 网管 支持系统日志 安全管理用户分级管理和口令保护 疾控中心网络改造升级方案 9 / 22 支持端口安全，支持端口MAC 绑定 支持 Guest VLAN 支持 IEEE 802.1X 认证 支持集中 MAC 地址认证 支持 SSH2.0 其它参数其它参数 电源电压AC 100-240V，50-60Hz 电源功率16W 产品尺寸44016043.6mm 产品重量3kg 环境标准 工作温度：0-45 工作湿度：10%-90%（非凝露） 保修信息保修信息 保修政策全国联保，享受三包服务 质保时间1 年 质保备注1 年免费保修 客服电话400-810-0504 电话备注24 小时电话服务 详细内容 H3C 软件、硬件的保修期均指自保修期开始日期起，若干天以内。硬件保修期为 1 年， 在产品说明书所述正常使用条件下，保修期内硬件出现工艺或质量问题，H3C 接到申请 后提供返厂维修服务，周期为 H3C 收到设备后 30 天。H3C 有权决定对故障件进行维修 或更换处理，若更换，更换件可能是新设备或为具有同等类别、功能、质量的修复品，更 换下来的故障件归 H3C 所有。 3、 H3C 3100-26TP-PWR-EI 交换机 主要参数主要参数 产品类型智能交换机 应用层级二层 传输速率10/100/1000Mbps 交换方式存储-转发 背板带宽19.2Gbps 疾控中心网络改造升级方案 10 / 22 包转发率6.6Mpps MAC 地址表8K 端口参数端口参数 端口结构非模块化 端口数量30 个 端口描述 24 个 10/100Base-TX 以太网端口（PoE） ，2 个 10/100/1000Base-T 以太网端口，2 个复用 的 100/1000Base-X SFP 端口 控制端口1 个 Console 口 传输模式支持全双工 功能特性功能特性 堆叠功能可堆叠 VLAN 支持基于端口的 VLAN（4K 个） 支持基于协议的 VLAN 支持 Voice VLAN 支持 GVRP 支持 VLAN VPN（QinQ） ，灵活 QinQ 支持基于端口和全局的 VLAN Mapping QOS 每个端口支持 4 个输出队列 支持 802.1p/DSCP 优先级 支持端口队列调度（SP、WRR、SP+WRR） 支持基于流的包过滤 支持基于流的流量统计 支持基于流的重定向 支持基于流的优先级标记 支持基于流的限速 支持流量整形 组播管理 IGMP Snooping v1/v2/v3 组播 VLAN 网络管理 支持 XModem/FTP/TFTP 加载升级 支持命令行接口（CLI） ，Telnet，Console 口进行配置 支持 HGMP v2 集群管理 支持 SNMP v1/v2/v3，WEB 网管 支持 RMON 1，2，3，9 组 MIB 支持 H3C iMC 智能管理中心 支持系统日志，分级告警 支持 PING、Traceroute，Multicast Traceroute 支持 Telnet 远程维护 疾控中心网络改造升级方案 11 / 22 支持 VCT（Virtual Cable Test）电缆检测功能 支持 DLDP（Device Link Detection Protocol）单向链路检测协议 支持 Loopback-detection 端口环回检测 支持 IPv6 host 网络管理特性族 安全管理 用户分级管理和口令保护 支持 Guest VLAN 支持 IEEE 802.1X 认证/集中 MAC 地址认证 支持 AAA 应用访 问控制 策略 应用访问策 略 *可以提供基于应用识别类型、用户名、接口、安全域、IP 地址、端口、 时间进行应用访问控制列表的制定 *支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁 进行检测； 威胁检 测机制 威胁检测引 擎 *支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测 防护攻击类 型 包括蠕虫/木马/后门/DoS/DDoS 攻击探测/扫描/间谍软件/利用漏洞的攻击/ 缓冲区溢出攻击/协议异常/ IPS 逃逸攻击等 防护对象分 类 *漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如 “高” 、 “中” 、 “低”等。 漏洞描述 漏洞详细信息显示：漏洞 ID、漏洞名称、漏洞描述、攻击对象、危险等 级、参考信息、地址等内容，便于维护 策略制定 可根据源区域、目的区域、目的 IP 组，目的 IP 组支持多选进行 IPS 策略 的配置 IPS 漏洞 防护 特征库数量*攻击特征库: 2200+，并且能够自动或者手动升级 疾控中心网络改造升级方案 16 / 22 防躲避*支持 TCP 协议的乱序重传、TCP 分包 处理动作*支持自动拦截、记录日志、上传灰度威胁到“云端” Web 攻击防护 *保护服务器免受基于 Web 应用的攻击，如 SQL 注入防护、XSS 攻击防护、 CSRF 攻击防护、支持根据网站登录路径保护口令暴力破解 Web 服务隐藏 *支持 Web 网站隐藏，包括 HTTP 响应报文头和 HTTP 出错页面的过滤， web 响应报文头可自定义 策略制定 配置选项:可设置源、目的区域、目的 IP 和端口号，端口号支持设置 Web 应用、FTP、mysql、telnet、ssh 服务的端口号 其他应用防 护 支持 FTP 隐藏、ftp 弱口令防护、telnet 弱口令防护 服务器 防护 访问权限控 制 支持文件上传服务器过滤、支持指定 URL 的黑名单、加入排除 URL 目 录功能 病毒引擎 *基于流引擎查毒技术，可以针对 HTTP、FTP、SMTP、POP3 等协议进行查 杀 防护类型 *能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚 拟脱壳和行为判断技术，准确查杀各种变种病毒、未知病毒。 病毒库数量*支持 10 万条以上的病毒库，并且可以自动或者手动升级 病毒防 护 处理动作*检测到病毒后的操作：支持记录日志、阻断连接 URL 过滤 *对用户 web 行为进行过滤，保护用户免受攻击；支持只过滤 HTTP GET、HTTP POST、HTTPS 等应用行为；并进行阻断和记录日志 文件类型过 滤 支持针对上传、下载等操作进行文件过滤；支持自定义文件类型进行过 滤；支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日 志 ActiveX 过滤 *支持基于签名证书的 ActiveX 过滤；支持添加白名单和合法网站列表； 支持基于应用类型的 ActiveX 过滤，如视频、在线杀毒、娱乐等； WEB 安全 防护 脚本过滤 *支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、 威胁对象调用、恶意图片等 多线路技术*网关 能同时连接多条外网线路，且支持多线路复用和智能选路技术 虚拟多线路支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控； 父子通道支持流量父子通道技术，且至少支持三级父子通道； 应用流控*支持基于应用类型划分与分配带宽 网站流控支持基于网站类型划分与分配带宽； 文件流控*支持基于文件类型划分与分配带宽； 时间控制支持基于时间段的带宽划分与分配策略； 目标 IP 流控支持基于访问行为的目标 IP 实现带宽划分与分配； *流量管 理 流量配额支持对单个用户用户组设置日流量、月流量配额功能； 本地认证支持触发式 WEB 认证，静态用户名密码认证等； 第三方认证支持 LDAP、Radius、POP3、Proxy 等第三方认证； 双因素认证 支持以 USB-Key 方式实现双因素身份认证； IP、MAC 认证支持 IP 认证、MAC 认证，及 IP/MAC 绑定认证等； *根据新用户的源 IP 网段实现： 用户管 理 新用户认证 1、新用户差异化账户创建规则； 疾控中心网络改造升级方案 17 / 22 2、新用户差异化自动分组规则； 3、新用户差异化认证规则； 4、新用户差异化 IP、MAC 绑定规则； 公用账户*支持多人使用同一帐号登录，且支持重复登陆检测机制； 账户有效期*指定账户支持有效期限制，并支持自动过期； *支持 AD、POP3、Proxy 单点登录，简化用户操作； 单点登录 *可强制指定用户、指定 IP 段的用户 使用单点登录； 强制 AD 认证*指定用户 用 AD 域账户登录操作系统，否则禁止上网； 认证失败*支持为认证失败用户提供基本网络访问权限机制； *认证成功的用户支持页面跳转： 1、跳转到用户原本输入的 URL 地址； 2、跳转到管理员指定的 URL 地址； 3、跳转到该用户上网信息排行页面； 页面跳转 4、跳转到注销页面; 认证后公告*支持向认证通过的用户显示指定网页； *支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/ 密码等信息；帐户导入 *支持从 LDAP 服务器导入账户及分组信息； 组织结构*用户分组支持树形结构，支持父组、子组、组内套组等； 用户状态查 询 支持用户登录注销历史查询，包括显示上网流量 IP 服务ARP、域名解析、IP UNNUMBERED、DHCP 中继、DHCP 服务器、DHCP 客户端 路由服务支持静态路由、RIP v1/2、OSPF、策略路由 *独立数据中心 内置 MySQL，无需单独安装其他数据库； 日志分级审 查 *管理员登录数据中心只能审计指定用户组的日志； 统计报表 *支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安 全风险、终端安全风险、上网行为、网络流量等内容，并形成报表； 趋势报表 *支持自定义统计指定 IP/用户组/用户/应用在指定时间段内的服务器安 全风险、终端安全风险、上网行为、网络流量等内容形成报表； 汇总报表 *支持将指定时间段、指定应用的流量、行为、用户访问分布等汇总并输 出报表； 汇总对比报 表 * 支持将所有用户/用户组/IP 的所有安全风险的统计/流量/趋势等与前 一天/前一周/前一月对比并输出报表； 指定对比报 表 * 支持将指定用户/用户组/IP 的指定安全风险的统计/流量/趋势等与前 一天/前一周/前一月对比并输出报表； IPS服务器 防护统计 支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数 和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统 计； 网络协 议 病毒信息统 计 * 支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为 次数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、 恶意插件信息统计新增恶意 URL 排行； 疾控中心网络改造升级方案 18 / 22 危险行为报 表 * 支持对终端发生的危险行为(木马、间谍软件、垃圾邮件发送)进行统 计和报表输出； 风险智能报 表 * 能根据管理者自定义的风险行为特征自动挖掘并输出风险行为智能报 表； 流速趋势报 表 * 支持将指定时间段内、指定用户组/用户/应用的网络流量以条带叠加 图的形式直观显示； 报表订阅*支持将统计/趋势/查询等报表自动发送到指定邮箱； 报表导出支持导出统计/趋势/查询等报表，包括 Excel、PDF 等格式； 疾控中心网络改造升级方案 19 / 22 五、五、服务承诺服务承诺 1. 远程技术支持服务： 验收合格 1 年内，我方为需求方免费提供远程技术支 持服务，即：出现网络故障，通过电话支持无法解决 的情况下，可通过远程调试技术支持服务予以协助解 决。 2. 上门服务 验收合格 1 年内，我方负责维护系统及相关系统的接 口。在出现网络故障，电话支持、远程协助等方式无 法解决的情况下，我方工程师会在您提出上门要求后， 积极响应并赶赴现场，帮助解决相关的故障。 3. 设备更换 验收合格 1 年内，由非人为因素造成的设备损坏，我 方负责予以免费更换及现场安装调试；由人为因素造 成的设备损坏，我方负责提供备件予以更换，并提供 现场安装调试服务，备件价格按照成本价的标准收取。 4. 质保期后服务承诺 我方继续提供免费电话支持服务。需求方可和我方 签订维护保障合同，详列如下： A A、维护保障合同服务期为 1 年，合同金额按本次合同 疾控中心网络改造升级方案 20 / 22 金额的 10计算 B B、我方在 1 年的维护保障期内提供远程技术支持服务， 并继续提供固件升级服务，保障系统网络适应最新的 网络发展需求 C C、在远程技术支持无法解决问题的情况下，我方提供 上门支持服务。 D D、设备更换：我方负责提供备件予以更换，并提供现场 安装调试服务，备件价格按照本报价书的标准收取。 现场安装差旅费用参照上门支持服务标准。 疾控中心网络改造升级方案 21 / 22 六、六、费用预算费用预算 方案一：网关设备使用方案一：网关设备使用 SangforAC-1250-L1SangforAC-1250-L1 （支持内网用户数（支持内网用户数250250 人）人） 网络材料单价 单价 （元） 总数 量 合计金额 （元） 序