智慧园区网建设技术建议书.doc

智慧园区网建设技术建议书智慧园区网建设技术建议书目 录第一章项目背景介绍41.1概况41.2项目背景4第二章项目建设需求分析52.1一张物理网络承载多种应用52.2满足多种应用的隔离62.3结构简单、运行可靠、易于扩展升级62.4安全防护72.5等保合规82.6管理运维简便8第三章项目建设目标10第四章项目建设原则11第五章方案设计思路125.1新的建设模式虚拟园区网125.2虚拟园区网的实现横向一虚多技术135.3网络设计145.3.1网络架构145.3.2横向多虚一虚拟化175.3.3纵向多虚一虚拟化195.4安全设计与等保合规205.4.1安全设计与网络设计同步205.4.2防火墙隔离安全分区215.4.3关键路径进行入侵防御225.4.4全网进行病毒防范235.4.5对终端进行安全访问控制255.4.6漏洞扫描265.4.7WEB安全防护265.4.8上网行为管理及流量控制275.4.9等保合规275.4.10应用及链路优化285.5网安融合285.5.1传统方案的局限性285.5.2真正的L27融合30第六章方案规划与设计356.1物理网络架构366.1.1核心层366.1.2汇聚层376.1.3接入层386.2逻辑网络386.3安全设计396.3.1内网安全设计406.3.2外网安全设计406.4网络安全管理40第七章方案优势说明43第一章 项目背景介绍1.1 概况1.2 项目背景第二章 项目建设需求分析随着云计算、物联网、移动互联网的大规模应用，企业信息化也发生了很大变化。从办公应用IT化，再到多媒体、生产等应用IT化，IT在企业信息化中发挥的作用越来越大。对XX智慧园区网来说，从ERP、生产管理系统等生产应用，到OA、邮件、营销系统、财务系统等办公应用，再到在线交易、在线物流配送、在线融资等电子商务应用系统，都通过网络承载。因此，需要一张能承载所有应用，满足不同应用的特点，同时简单、智能、可靠的网络。具体来说，建设需求如下：2.1 一张物理网络承载多种应用如前所述，XX智慧园区网的网络系统承载众多应用，同时还要考虑园区正常互联网访问需求（包括生活区上网需求及分支机构与总部系统业务对接），且园区业务办公等系统需与互联网访问严格划分，保证隔离。所以实际上整个园区网应建设两套网络：一套内网，承载整个园区网业务、办公管理应用；一套外网，满足园区互联网访问需求。当前，部分企业出于安全性考虑，建设两套物理网，分别作为内网和外网。这种建设多套网络的模式存在以下问题：n 重复投资，多套网络需要重复投资、多套布线n 用户体验差，用户要在多套网络，多套终端间来回切换n 不可持续，难以适应应用飞速增加的趋势n 多套网络需要多套网络设备，使得网络规模变得庞大，管理复杂、整个网络的规划设计复杂因此，对XX来说，需要在一张物理网络上承载所有应用。2.2 满足多种应用的隔离如2.1所述，XX需要在一张物理网络上承载所有应用。但同时，内外网由于使用功能、运行应用、面向人员的不同，对网络可靠性、处理性能、安全要求、服务质量、网络策略的要求也存在不小差异，因此办公网、生产网需要进行隔离。对于隔离的方式，传统技术方式是通过VLAN+ACL逻辑隔离内外网。还有少数规模较大的网络，选择MPLS VPN逻辑隔离内外网。两种方式在实际部署中都存在一些问题：VLAN+ACL的方式隔离效果差，网络存在安全风险，攻击可轻易突破这种隔离方式。的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。采用MPLS VPN的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。 两种逻辑隔离的方式还存在一个最大的问题，就是内外网业务互通时的安全防护，只能采用核心交换机旁挂安全网关或交换机通过松耦合的方式部署安全业务模块，网络配置、运维管理进一步复杂。 因此，对XX来说，需要采用比VLAN+ACL更安全、比MPLS VPN更简单的隔离方式，满足办公网、生产网的业务隔离需求。2.3 结构简单、运行可靠、易于扩展升级本次项目的基础网络系统建设需要重点考虑以下几个方面：1) 稳定、可靠的网络。XX的所有应用都运行在网络上。短时间的业务中断，都可能给中心造成很大的损失。因此网络一定要可靠、稳定。2) 充足的数据转发能力。应保证主要网络设备的处理能力具备冗余空间，满足业务高峰期需要。3) 应用优化能力（应用负载均衡）。一方面保证园区业务系统冗余可靠性，另一方面提升业务系统处理能力，节省服务资源。4) 丰富的扩展能力。当企业需要扩大网络规模、提升网络性能、增加新应用、切换到IPV6而升级网络时，现有网络不需要做大的改动，可以平滑升级。2.4 安全防护对于XX来说，网络安全建设方面需要考虑以下几个方面的建设：1) 基本结构安全与访问控制。对网络进行安全域划分，设置不同安全域的访问控制策略。2) 入侵防护。对系统漏洞、协议弱点、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁进行主动与实时阻断的一体化深层次安全防御。3) 病毒防范。4) 终端接入控制。确保符合安全策略的终端才能接入网络，从源头上保障网络安全。5) 漏洞扫描。及时发现终端设备、服务器、路由/交换/安全设备、操作系统（Windows/Linux/Unix）、应用服务、数据库等设备的漏洞，发现后及时弥补，避免被黑客利用漏洞进行攻击，带来损失。6) WEB安全防护。保障对外Web系统应用安全，防止遭受如SQL注入、溢出攻击，网页篡改等黑客攻击，导致业务瘫痪。7) 上网行为管理及流量控制。作为大型公共互联网服务区域，园区网需满足公安部82号令要求，对园区上万行为进行审计管控，且能够记录上网行为（至少保存60天）；同时整个园区网上网终端数较大，对带宽要求较高，为保障关键业务带宽，减少带宽投资，提升带宽资源利用率并满足上网体验，需要对出口流量进行管理控制。2.5 等保合规信息安全等级保护制度作为我国信息安全建设的基本国策，是必须要满足的。因此，在进行园区网建设时，需要考虑等保的合规问题。2.6 管理运维简便网络规模不断升级和扩大，网络、安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，总是会遇到设备无法统一管理、策略无法集中配置、日志和流量无法全面及时的分析、权限分散无法集中和分级进行管理等难题，往往只能通过对每个单独设备的管理，通过单纯的设备日志查看来进行逐个分析；常规的网管软件可以对实现设备网络级的管理，但是无法对安全事件进行分析，管理员无法及时准确的了解网络中的安全状况，更加无法实现对网络的统一安全管理。管理人员在管理安全设备和安全策略时需要实现网络安全可视化管理，能对全网进行安全策略集中管理、统一日志收集和分析、软件集中升级等功能，对网络事件进行深入的统计分析。第三章 项目建设目标根据第二章的需求分析，本次建设的主要目标是XX集团进行网络建设、安全设计，构建简单、智能、可靠的网络，保障L27全面的安全。具体如下：1) 建设一张承载所有应用，同时实现内外网隔离以及部分内网业务隔离的网络。2) 建设一张稳定、可靠的网络。3) 建设一张具有充足的数据转发能力、满足业务高峰期处理需要的网络。4) 建设一张满足未来发展、能平滑扩容的网络。5) 建设一张实现访问控制、入侵防护、病毒防范、上网行为管理、流量控制、WEB防护、终端接入控制等L27安全的网络。6) 建设一张逻辑结构清晰、安全分区分域的网络7) 建设一张网络和安全能统一配置、统一管理、统一运维的网络。第四章 项目建设原则根据XX园区网网络建设需求及网络技术发展的趋势，我们按以下原则设计方案：1) 实用性：主要技术和产品必须具有成熟、稳定、实用的特点，既要便于用户使用，又要便于系统管理。2) 稳定性：系统需具备高度的稳定性，支持应急保护机制，内置或者外置调电保护装置等，保证网络不会因为设备故障而中断。3) 高可靠性：具有很高的容错能力，具有抵御外界环境影响和人为操作失误的能力，保证单点故障不影响整个网络的正常运行。4) 安全性：要对系统自身具有良好的安全性，能够抵御针对自身的安全威胁。同时提供备份和恢复机制，对管理权限实行分组管理分组授权。5) 先进性：系统设计要采用成熟可靠的体系和软件硬件产品，应支持对主流技术、协议和标准的升级，以及有完备的技术支持团队。6) 扩展性：系统应支持灵活组网和网络改扩建的需要，能够快速部署和随网络结构进行调整，并无需改动平台主体结构和功能。7) 易管理：一个好的网络系统必须是一个易管理的网络系统，本方案中通过配置网管系统软件对整个网络实施高效的管理。第五章 方案设计思路针对XX的建设需求、建设目标，本章详细阐述了XX智慧园区网建设的方案设计思路。5.1 新的建设模式虚拟园区网如前所述，如果为不同应用建设不同的网络（如内外网），则需要建设多套网络，会存在重复投资、用户体验差、设备利用率低等问题。如果将所有应用都承载在一张物理网络上，传统的MPLS VPN和VLAN+ACL的隔离方式又存在建设不安全、管理复杂等问题。因此，未来的园区网应该能在一张物理网络上承载所有应用，又可实现类似于多张物理网络实现的隔离，同时简化网络结构，简化运维管理。这种新的建设模式便是虚拟园区网。图5-1 虚拟园区网在虚拟园区网的建设模式下，所有应用承载在一张物理网络上，通过虚拟化技术，可以在物理网络上虚拟出多张虚拟业务网，用来承载不同的应用。虚拟业务网间相互独立，达到物理隔离的效果。简单来说，虚拟园区网的建设模式具有以下特点：1) 所有应用通过一张物理网络承载。2) 物理网络虚拟出多张逻辑业务网，承载不同的应用，比如办公网、生产网。3) 不同逻辑业务网间相互独立，达到物理隔离的效果。采用虚拟园区网的建设模式，避免了多套网络的重复投资、设备利用率低等问题，又通过虚拟化技术，实现了应用的彼此隔离。隔离级别达到操作系统级，比VLAN+ACL更安全；隔离实现不复杂，比MPLS VPN更简单。因此，本项目中采用虚拟园区网的建设模式，在一套物理网络上实现内网、外网的承载和相互独立。5.2 虚拟园区网的实现横向一虚多技术作为新一代园区网的建设模式，实现虚拟园区网的关键技术是横向一虚多虚拟化技术，将一套物理网络虚拟化成多套逻辑业务网络。图5-2 横向一虚多虚拟化技术横向一虚多是一种将一台物理设备虚拟成多台逻辑设备的虚拟化技术。图5-3 横向一虚多虚拟化技术如图5-3和5-4所示，经过虚拟化之后，同一台物理设备上的多个逻辑设备都拥有独立的硬件、软件、转发表项、管理平面和日志，各逻辑设备的运行互不影响。虚拟化技术实现了资源和管理的虚拟化，物理设备资源池化后，业务的快速部署和调整不再受限于物理设备本身，实现了节约建设和运维成本、灵活按需部署、完全故障隔离等优点，有效地解决了多业务安全隔离和资源按需分配的问题。为网络和安全向动态的、弹性的云服务模式转变创造了基础条件。5.3 网络设计网络设计的内容包括组网模式、网络结构等等。5.3.1 网络架构网络根据逻辑层次的不同，可分为核心-汇聚-接入的三层架构，或者核心-接入的二层扁平化组网。 三层架构三层架构是网络设计中常见的网络架构。其中核心层设备是企业流量的中心干道，主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。核心层使用L3协议进行设计，应该被设计为能够快速收敛，可靠性高并且稳定。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，以便汇接更多的接入层设备。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。 扁平化组网扁平化组网即将网络可分为核心层和接入层。通过减少物理和逻辑级联级数，压缩掉汇聚节点，减少中间延迟环节，以提供更加快速的数据通道。使接入层设备直接面向核心，从而形成扁平化的网络结构。采用扁平化的前提是核心设备需要高性能和大容量，并配置高密度以太网口(光、电)用以直接下挂大量的接入层设备。 三层与二层架构对比三层方案将基础网络分成核心、汇聚和接入三层架构。通常情况下，核心与汇聚之间通过路由技术进行流量的控制，汇聚层以下普遍采用二层接入，运行STP/MSTP等协议来降低二层环路带来的隐患。三层结构的优点在于： 1) 网络分区清晰，以汇聚层设备区分业务部署，易于扩展、管理和维护；2) 汇聚层可以灵活控制纵向网络的收敛比，不同性能要求的区域按照不同的规划进行设计，降低核心设备的端口压力；3) 布线方式清晰、灵活，不会出现集中布线带来的散热、维护等问题；4) 因接入层设备采用低端产品，汇聚层设备可按照收敛比灵活控制成本，整体组网成本相对较低；三层结构的缺点在于：1) 组网结构复杂，需要部署MSTP和VRRP等冗余协议； 2) 在汇聚层收敛比较大，性能容易出现瓶颈；三层结构在部署时，网关部署在汇聚层，汇聚层以上采用路由协议进行流量控制，而路由收敛较慢，路由路径及节点增多，管理难度加大；汇聚层以下使用二层，仍然存在出现环路的风险；从整体规划上，三层结构较复杂；随着信息技术的不断发展，高端交换机的转发性能和接入密度都在不断的提高，因此汇聚层高端交换机设备具备足够的能力直接提供高密度的千兆接入和万兆上行能力，从而精简大量的接入层设备，使网络架构趋向于扁平化。在核心与汇聚接入层设备之间运行二层交换，vlan配置灵活，并可通过新一代交换机虚拟化功能替代传统的STP/MSTP，通过vlan映射业务分区，网络结构简洁、清晰。二层结构的优点在于：1) 扁平化组网，简化网络拓扑，减少了单点故障和性能瓶颈，易于管理、维护；2) 二层组网均采用高端设备，能够搭建一套具备极高转发性能的数据中心高端网络，同时高端设备的可靠性更高，能够为数据中心应用保驾护航；3) 新一代高端交换机设备支持虚拟化技术，能够消除大量的环路设计，消除STP/MSTP等协议带来的运维、管理的复杂性；4) 适合于大规模、集中部署，且高性能需求较高的园区网、数据中心。二层结构的缺点在于：1) 如果使用二层结构部署，那么布线较复杂，只能采用EOR的方式，对前期施工要求较高；考虑到XX的网络规模，对带宽和性能要求较高，本项目物理结构上采用核心-汇聚-接入的三级网络，但通过纵向多虚一虚拟化技术，可实现汇聚-接入一体化（接入成为汇聚设备扩展接口）。这种设计保留了三层网络架构优势，同时简化了组网复杂结构，也结合了大二层组网优势。 5.3.2 横向多虚一虚拟化采用双星形组网时，网络的可靠性有所提高。但传统的组网模式中，两台核心交换机之间需要运行VRRP，而在网络的二层需要运行STP协议。这种组网存在以下问题：1) 网络复杂：路由规划复杂，VRRP+MSTP设计相对复杂。2) 可靠性不高：双机备份，故障切换时间秒级；节点、链路的故障均引发路由震荡。3) 性价比低：STP阻塞大量链路，链路利用率不高；双机不能负载分担，设备利用率不高。为解决以上问题，本项目采用横向多虚一虚拟化技术。图5-4 横向多虚一虚拟化技术图5-5 多虚一虚拟化技术详解横向多虚一虚拟化技术，是将多台物理设备虚拟化成一台逻辑设备的技术。设备间的协同工作不再需要用户关注，从而使组网和管理得到简化、性能和效率得到提升。同时，通过虚拟化的在线扩容和在线升级技术，部署了虚拟化技术的网络环境可以在不改变原有网络拓扑的情况下向现有网络增加虚拟化成员设备，使整个逻辑设备拥有更多硬件和软件资源、更强大的处理能力。虚拟化技术带来的好处有：1) 网络简单，通过L27融合，网络中只需部署两台设备，再通过虚拟化将两台虚拟化成一台设备，整网只增加了一台设备，对现网的改动最小，网络结构简单、清晰，管理运维的工作量也最小。2) 高可靠，传统的双机备份通过VRRP实现，故障切换时间在秒级，通过虚拟化技术，故障切换时间缩短到毫秒级。根据统计，网络设备切换时间在200毫秒以内时，不会影响应用。因此，通过虚拟化技术，即使单块插卡、单台设备出故障，都不会让业务受到任何影响。3) 性价比高。传统的双机备份下，备机平时不工作，对用户来说，部署两台设备却只有一台在使用，性价比低。使用虚拟化技术后，双机负载分担工作，部署两台设备两台都在使用，最大程度保护用户投资。5.3.3 纵向多虚一虚拟化上述提到大2层组网可解决以下问题：1)扁平化组网，简化网络拓扑，减少了单点故障和性能瓶颈，易于管理、维护；2)二层组网均采用高端设备，能够搭建一套具备极高转发性能的数据中心高端网络，同时高端设备的可靠性更高，能够为数据中心应用保驾护航；3)新一代高端交换机设备支持虚拟化技术，能够消除大量的环路设计，消除STP/MSTP等协议带来的运维、管理的复杂性；4)适合于大规模、集中部署，且高性能需求较高的园区网、数据中心。为实现上述目的，本次项目可采用纵向多虚一虚拟化技术。图5-6 纵向多虚一虚拟化技术图5-7 虚拟化技术整合纵向虚拟化技术可以极大简化三层网络结构，通过与横向虚拟化技术整合，最终可实现整网虚拟成一台设备，一个管理节点，并且能够消除大量的环路设计，消除STP/MSTP等协议带来的运维、管理的复杂性，提升链路利用率。同时通过纵向虚拟化技术，可实现对每接入端口的安全防护：上层设备可对每接入端口进行安全策略部署。5.4 安全设计与等保合规5.4.1 安全设计与网络设计同步对于网络来说，光稳定、可靠是不够的，还要保障安全，网络才可用。有的企业在信息化建设中将网络建设和网络安全建设割裂，先建设网络再建设网络安全，这会带来很多问题，比如应用层对权限进行限制后，网络层可能是连通的。此外，网络建设的重要内容是进行网络策略规划，这其中的核心就是安全分区的划分，而安全分区的划分属于网络安全建设范畴。因此，网络安全的设计应与网络设计同步，从一开始就进行网络策略、安全策略的规划。网络安全体系并不是安全功能的简单叠加，而是一个功能联动、相互配合、覆盖L27、从终端到核心的完整的安全体系。本项目的安全体系包括：访问控制、入侵防御、病毒防范、漏洞扫描和终端接入控制。5.4.2 防火墙隔离安全分区在安全设计时，首先要将网络划分为不同的功能区域，用于部署不同的应用，使得整个集团网络的架构具备可伸缩性、灵活性、和高可用性。服务器将会根据服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中，但是由于整个数据中心的很多服务是统一提供的，例如数据备份和系统管理，所以为保持架构的统一性，避免资源不必要的重复浪费，一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。实际部署中，建议通过防火墙实现安全区域的边界隔离与访问控制，防火墙定义为高级的安全访问控制设备，通过位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP/MAC地址绑定等技术，实现对出入网络的信息流进行全面的安区控制（允许通过、拒绝通过、过程监测）。通过防火墙功能实现以下控制策略：n 端口级访问控制：控制进出安全区域的数据包的方法，实时监控网络上数据包的状态，制定基于IP、端口、出入接口、数据流方向的控制策略，实现通过防火墙的数据流的允许、拒绝的明确控制。n 深度内容过滤策略：设置基于HTTP、SMTP、FTP、TELNET、SMTP、POP3等协议的过滤，控制级别到命令级别，针对邮件进行主题、正文、收发件人、附件名等的过滤。n 会话连接控制：针对某一端口或设备进行连接数限制，以此控制网络流量，以及部分DOS、DDOS攻击，对于普通会话连接，会话超时时自动断掉连接，某些特殊服务需要长连接控制，因此对某些服务进行长连接控制，当会话处于非活跃状态下，在一定时长内保持会话的连接状态。n 带宽管理策略：根据业务优先级进行带宽管理设置，保证重要业务的贷款使用，保证业务的可用性。n IP/MAC绑定策略：进行IP与MAC地址绑定，防止地址欺骗n 身份认证策略：采用防火墙本地认证或者与第三方认证系统联动，进行用户级别的访问控制，通过身份控制与授权管理共同确保信息资源的机密性。n 管理权限策略：防火墙的设备管理员权限分级管理，不同管理员权限不同，例如可通过权限控制拨号访问的用户数量等。5.4.3 关键路径进行入侵防御随着网络技术的飞速发展，应用层威胁的日益流行，以木马、间谍软件、网页篡改、DDoS攻击为代表的应用层攻击层出不穷，传统的防火墙防御只能基于网络层针对IP报文头进行检查和规则匹配，无法识别隐藏在正常报文中或跨越几个报文的应用层攻击；而传统的IDS等旁路应用层安全设备由于不能实时阻断安全威胁的传播，缺乏实用性。入侵检测系统是目前实现入侵防范重要设备，建议可通过部署网络入侵检测系统来实现，网络入侵检测系统部署于敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络行为违规模式和未授权的网络访问尝试。通过设置如下安全策略实现入侵防范措施。n 防范网络攻击事件：正如入侵检测系统的安全策略中描述的，针对应急平台敏感数据处理区域，入侵检测系统采用细粒度检测技术，协议分析技术，误用检测技术，协议异常检测，可有效防止各种攻击和欺骗。针对端口扫描类、木马后门、缓冲区溢出、IP碎片攻击等进行监视和报警。n 防范拒绝服务攻击：入侵检测系统在防火墙进行边界防范的基础上，入侵检测系统能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端的各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCP Flood，UDP Flood，Ping Abuse等；n 审计、查询策略：能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、TELNET等）的内容。记录内容包括，攻击源IP、攻击类型、攻击目标、攻击时间等信息，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。同时必须对重要安全事件提供多种报警机制。5.4.4 全网进行病毒防范病毒是企业网中最常见的安全威胁，病毒防范必须立足于系统全网的角度，仅仅在终端部署安装防病毒软件进行终端防护是远远不够的，还应该在网络中部署防病毒网关。这是因为：1) 可控才能安全，这是安全设计的理念。对于网络管理员来说，用户是否装防病毒软件、装什么软件、病毒版本是否最新、病毒防范策略等等，这些用户在终端的行为是不可控的。这就意味着系统存在很多安全漏洞，只要某个用户没有防范，就可能会感染病毒，会给网络带来不可预知的威胁。而在网络中部署防病毒网关，防病毒网关采用什么病毒库、病毒库的版本、防病毒的策略都由网络管理员设定，整网的病毒防范策略处于网络管理员的控制之下，可以保障网络的安全。2) 防病毒软件基于主机进行查杀，由于主机数量众多、系统版本不同、应用软件差异等原因，因此存在着部署复杂、管理困难、病毒库升级不及时等问题，维护成本也很高；防病毒网关部署在网络中，不依赖于主机上的防病毒软件，能够实时查杀网络流量中的各种病毒。3) 防病毒软件主要是对终端进行防护，对终端之间的通信则防护不多。在网络中设置专门的防病毒网关，则可有效地对终端之间的通信进行病毒防范。简单来说，防病毒软件相当于给用户一面盾牌抵挡威胁，防病毒网关则是给用户组成的企业建一道围墙，抵挡病毒。建议通过部署病毒过滤网关设备，并配合主机防病毒软件，共同形成多层次的恶意代码防范措施。防病毒网关主要完成对整个安全区域的安全防护，在网络边缘对恶意代码进行检测和清除，并且恶意代码库定期升级。建议采用以下策略：n 病毒过滤策略：病毒过滤模块对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒扫描和过滤，通过恶意代码特征过滤，对病毒、木马、蠕虫以及移动代码进行过滤、清除和隔离，有效地防止可能的病毒威胁，将病毒阻断在敏感数据处理区域之外；n 恶意代码防护策略：病毒过滤模块支持对数据内容进行检查，可以采用关键字过滤，URL过滤等方式来阻止非法数据进入敏感数据处理区域，同时支持对Java等小程序进行过滤等，防止可能的恶意代码进入敏感数据处理区；此外，防火墙也支持对移动代码如Vbscript、JAVA script、ActiveX、Applet的过滤，能够防范利用上述代码编写的恶意脚本。n 蠕虫防范策略：病毒过滤模块可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从而有效防止信息网络因遭受蠕虫攻击而陷于瘫痪。n 病毒库升级策略：系统采用自动升级的方式，可自动到互联网上的厂家网站搜索最新的病毒库，并进行及时的升级。5.4.5 对终端进行安全访问控制在等保要求中，对边界完整性检查有明确的条文规定：1) 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；2) 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。这都要求对终端进行安全访问控制。目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足。主要表现在：1) 被动防御，缺乏主动抵抗能力。2) 单点防御，对病毒的重复、交叉感染缺乏控制。3) 分散管理，安全策略不统一，缺乏全局防御能力。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。建议部署终端接入控制软件，从加强终端系统自防御能力入手，通过与网络设备的配合，对尝试接入网络的用户进行身份认证以确定接入用户的合法身份，并根据相应的安全策略进行病毒库更新情况、系统补丁安装情况、终端安全设置等终端安全性检查。对于不符合安全策略的终端系统，可以提醒或强制用户进行安全性加固，比如强制安装操作系统补丁、提醒升级病毒库版本等，并且与网络设备进行联动，即时切断有安全隐患的终端。5.4.6 漏洞扫描针对网络中大量设备存在的漏洞，本方案部署漏洞扫描设备，采用“智能关联扫描引擎”技术，通过多种扫描方法关联校验的方式对漏洞进行扫描，且对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。支持对终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix）、应用服务等进行漏洞管理，具有覆盖2-7层漏洞检测和自动修补等技术，尤其针对Web应用系统进行代码级检测，消除XSS跨站脚本、SQL注入、网页挂马等漏洞威胁，且支持对SSL加密应用的漏洞管理。5.4.7 WEB安全防护信息技术日新月异，各种网络应用不断发展，基于Web的应用日益增多，SQL注入、跨站脚本攻击、网页挂马等各种攻击手段使得Web应用处于高风险的环境中，传统安全设备无法对Web应用提供细粒度的有效防护。考虑到本次智慧园区网在DMZ区部署大量对外Web服务，需通过部署Web应用防火墙（WAF）对HTTP协议进行深入分析，能够为Web应用提供全面的实时有效的防御能力，解决愈演愈烈的Web安全问题，优化业务资源，并且高效保障Web应用的可用性和可靠性。5.4.8 上网行为管理及流量控制作为大型公共互联网服务区域，园区网需满足公安部82号令要求，对园区上万行为进行审计管控，且能够记录上网行为（至少保存60天）；同时整个园区网上网终端数较大，对带宽要求较高，为保障关键业务带宽，减少带宽投资，提升带宽资源利用率并满足上网体验，需要对出口流量进行管理控制。5.4.9 等保合规信息安全等级保护制度（以下简称“等保”）是我国信息安全建设的基本国策。等保的建设过程分为：定级、评估、整改、测评、监管。根据信息系统安全等级保护定级指南，信息系统的定级分为五个等级。在实际等保建设中，大多数的企业的等保在第二级和第三级。等保建设主要依据信息系统安全建设和改造过程中使用的标准信息系统安全等级保护基本要求（以下简称基本要求），进行方案设计。基本要求在整体框架结构上以三种分类为支撑点，自上而下分别为：类、控制点和项。其中，类表示基本要求在整体上大的分类，其中技术部分分为：物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5大类，管理部分分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等5大类，一共分为10大类。控制点表示每个大类下的关键控制点。 具体框架结构如图所示：图5-8 等级保护要求信息安全等级保护工作是个庞大的系统工程，关系信息化建设的方方面面，这就决定了这项工作的开展必须分步骤、分阶段、有计划的实施。5.4.10 应用及链路优化本次园区网建设一套大型业务平台（包含园区公共服务平台和园区管理平台）以及对外业务系统（DMZ区），首先集中性业务平台访问数据量、并发新建数较大、延时较敏感，对服务器性能要求较高，需要通过部署服务器负载均衡在应用层面对应用系统进行健康检测并智能调度。另外在出口部署了多条宽带链路，需考虑对链路进行负载均衡以及对出站流量及入站流量进行智能调度：出站流量根据访问目的调度到相应运营商链路；入站流量根据访问源将资源调度到对应运营商。保证对出口链路以及对外服务的最优使用。5.5 网安融合5.5.1 传统方案的局限性随着云计算、物联网的不断发展，用户的数据业务飞速增长，不仅使网络架构变得非常复杂，也使网络安全、应用体验性、业务持续可用面对巨大挑战。传统的安全解决方法是在大容量交换设备之外部署防火墙、IPS、流量控制、应用交付、漏洞扫描系统和Web应用防火墙等深度业务处理设备。这种解决方法在新的技术发展趋势下，显现出越来越多的问题：1) 园区网裸奔，只在出口做防护。园区网络的安全防护设备通常部署在网络的核心层。传统的盒式安全设备部署一般采用串联的方式部署在园区网外围，不同功能的设备串接在一起，往往会造成核心层网络拓扑变的非常复杂。这种组网方式不但会增加系统故障的隐患，而且给管理员的维护工作也带来诸多不便。更重要的是，这种传统的网络与安全设备独立，“二层到网络，三层到安全”的组网方式，难以实现对园区网络内部的流量进行安全策略控制的目标。此时只能通过在网络设备设置ACL，或者三层网关设在防火墙的方式，来对内部流量进行安全策略控制。但是，通过这种方式来实现，当网络规模逐步扩大时，会极大的增加系统的维护复杂度，或者对防火墙设备的性能提出高的要求，且很难在防火墙与交换机之间增加IPS等其他安全设备，实践上几乎是不可行的。2) 整网可靠性低。网络中要增加防火墙、IPS、流量控制、应用交付、漏洞扫描系统、上网行为审计、Web应用防火墙等大量的安全设备，使整网的可靠性降低。如果都是单台设备“串糖葫芦式”的组网带来大量单点故障。如果采用双机部署，盒式安全设备的双机备份时间往往在秒级，甚至十秒级，可靠性不高。3) 网络规划复杂。大量的安全设备部署到网络中，设备如何部署、以什么模式部署、设备之间的组网关系、如何进行流量规划、网络策略规划都变得非常复杂。4) 运维管理复杂。多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展。同时网络、安全设备无法统一管理。5) 时延高。数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加。6) 网络特性支持不完善，如MPLS VPN、IPv6、虚拟化等。7) 性能不高。难以在大容量线速无阻塞转发条件下，保证网络及业务的安全、快速、可用。8) 扩展性差。后续增加新的安全功能，或是网络性能扩容时，会让网络更加复杂。5.5.2 真正的L27融合针对以上问题，网络安全融合已是业界达成的共识。在具体实现上，业界有两种实现方式：n 交换机+插卡，实现网络安全的整合。n 融合安全网关，真正实现网络安全的融合。融合与整合存在质的区别，主要有以下几方面：1) 同一台设备能提供L27所有功能，包括交换、访问控制、入侵防御、病毒防范、流量控制、行为审计、负载均衡等功能；而不是仅提供两到三种功能，比如防火墙、IPS。2) 同一个IP。整机对外呈现一个IP地址，在网络中为一个节点。3) 同一个管理界面。L27所有功能均通过一个管理界面，而不是单独的管理界面去管理。4) 同一个操作系统。L27所有功能均为一个操作系统，而不是多个操作系统。5) 引流轻松惬意。实现L27功能时，用户无需进行复杂的引流设置和规划。 同一台设备图5-9 L27融合本方案中，交换、访问控制、入侵防御、病毒防范、流量控制、行为审计、负载均衡等L27的安全功能，均可通过融合式安全网关实现。 同一个IP网络与应用融合的大趋势下，传统的OSI七层架构正在受到挑战，网络厂商也越来越重视其产品对应用层的支持能力。越来越多的交换机厂商在其核心交换机推出越来越多种类的安全与应用交付业务板。从业界来看，这些“交换机+业务板”的设备，主要有两种情况：1) 交换设备对外一个IP地址，每块业务板卡一个IP地址。如图所示，整机部署两块防火墙板卡、两块应用交付板卡、一块IPS板卡后，整机对外5个IP地址。2) 交换设备对外一个IP地址，同类型业务板卡一个IP地址。部分厂商可以将同类型的业务板卡通过VRRP方式对外一个IP地址。如图所示，整机对外3个IP地址。但不管怎么说，这些“交换机+业务板”的设备对外仍然是网络归网络、应用归应用，多个IP地址在网络中就意味着多个逻辑节点。网络、应用仍是两张皮。本次项目需采用融合式网关，真正实现了网络、应用的无缝融合，即使部署所有类型的业务板卡，整机对外也是一个IP地址，一个逻辑节点。 同一个管理界面本方案中，L27所有的功能通过融合式网关的一个管理界面去集中配置、管理和日志集中分析。 同一个操作系统对于传统网络厂商来说，其操作系统的网络特性支持完善，但应用层功能几乎没有。对于传统安全厂商来说，其操作系统对应用层功能支持完善，但网络特性往往只支持基础的二三层转发功能，对MPLS、大二层、IPv6等特性支持不完善。其实，网络、应用分属不同的操作系统，正是“交换机+插卡” 对外体现出多个IP地址的原因。所以考虑上述问题，本次项目必须选用融合业务网关，真正实现了L27的融合。 智能引流在“交换机+插卡”的整合方式下，当交换机部署插卡时（比如防火墙、IPS、流量控制），需要进行详细的流量规划：1) 流量从交换机背板如何牵引到插卡（二层/三层）；2) 插卡（如防火墙）的部署模式（二层还是三层）；3) 流量从插卡如何牵引到交换机背板（二层还是三层）；对于不同的插卡，部署模式还会不同。当交换机部署多插卡时，规划更为复杂。以部署防火墙、IPS、流控插卡为例，需要规划：1) 通过防火墙、IPS、流控板卡的顺序（假设为防火墙、IPS、流控）2) 流量从交换机背板如何牵引到防火墙；3) 防火墙插卡的部署模式；4) 防火墙插卡出去的流量如何牵引到IPS；5) IPS插卡的部署模式；6) IPS插卡出去的流量如何牵引到流控；7) 流控插卡的部署模式；8) 流控插卡出去的流量如何牵引到交换机；在规划单向流量后，还要进行双向流量的规划。不仅要配置业务插卡，还要配置交换机的内联接口。并且，在“交换机+插卡”的整合方式下，插卡支持数量有限、类型有限。只能在有限的产品型号、有限的组网模式下才能多插卡组网。如此复杂的流量规划、有限的产品支持，不仅在网络规划时给网管人员带来极大的工作量，在后期运维时更是难以持续。一旦遇到设备升级、网络调整，或是网管人员变动，繁杂的网络设计更是让网管人员头疼不已，维护成本极高。相比之下，真正的融合业务网关，在配置界面中定义数据流之后，直接选择数据流通过哪些板卡，通过板卡的顺序即可。配置过程极其简单，将网管人员的工作效率提高70%，并且后期维护成本也很低，彻底实现了L27融合，给用户带来不可替代的价值。总结来说，交换机+插卡的方案存在诸多限制，只是实现了网络与安全的整合，其根本上还是与安全不相容。需部署融合业务网关实现网络与应用的融合，在解决以上问题的同时，让网络可以根据应用进行交换、路由、控制、加速，从而保障用户信息安全、提升用户体验，降低用户总体拥有成本（TCO）。第六章 方案规划与设计根据对XX园区网的需求分析，本次设计方案规划如下：图6-1 智慧园区网设计物理拓扑图6-2 智慧园区网设计逻辑拓扑如图6-1、6-2所示，XX园区网内外网需要隔离，既需考虑使用效果，又需要考虑建设与运维成本的投入。面对这样的需求，需建设一套简单、可靠的物理网上承载内外网两部分业务，两部分的隔离效果与物理隔离相当，并且确保两套网络内部的安全防护，整体安全防护水平满足等级保护网络安全部分的所有要求。6.1 物理网络架构如上所述，XX园区网采用一套物理网络，承载内外网，实现安全隔离。物理网络采用“核心-汇聚-接入”组网架构，基于100G的核心设备、骨干万兆、千兆到桌面，满足办公人员的上网需求。6.1.1 核心层核心区负责园区网网络数据的高速转发，是整网的关键区域，设备承载的压力较大。因此核心节点的扩建，通常必须遵循以下几个原则：1) 必须具备高可靠性及高冗余性；2) 必须具备模块化产品设计；3) 必须具有迅速升级能力；4) 必须具有较少的时延和好的可管理性；5) 必须具有多业务应用扩展性；本方案在核心区部署两台Clos架构大缓存数据中心级别交换机，通过横向多虚一技术将两台设备虚拟化成一台逻辑设备。核心交换机在网络特性上，需支持IPv4/IPv6、三层/二层MPLS VPN、OSPF等丰富的网络特性，并提供千兆电、千兆光、万兆电、万兆光等各种高密端口。可靠性上，方案部署双核心，采用横向多虚一技术虚拟化成一台逻辑设备。所有接入设备通过双链路上行，提高链路可靠性。设备自身可靠性上，提供主控冗余、交换网板冗余、N+M电源、不间断重启等技术，确保99.999的电信级可靠性。6.1.2 汇聚层汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，以便汇接更多的接入层设备。通常也同样必须遵循以下几个原则：6) 必须具备高可靠性及高冗余性；7) 必须具备模块化产品设计；8) 必须具有迅速升级能力；9) 必须具有较少的时延和好的可管理性；10) 必须具有多业务应用扩展性；本方案在每个汇聚层部署两台机框式交换机，通过横向多虚一技术将两台设备虚拟化成一台逻辑设备。汇聚交换机在网络特性上，需支持IPv4/IPv6、三层/二层MPLS VPN、OSPF等丰富的网络特性，并提供千兆电、千兆光、万兆电、万兆光等各种高密端口。可靠性上，方案部署双核心，采用横向多虚一技术虚拟化成一台逻辑设备。所有接入设备通过双链路上行，提高链路可靠性。设备自身可靠性上，提供主控冗余、交换网板冗余、N+M电源、不间断重启等技术，确保99.999的电信级可靠性。本次方案安全均部署在汇聚层及出口，并以插卡模式与汇聚交换机完全融合并同步虚拟化，所以要求本次汇聚交换机能够支持至少FW、IPS、WAF、漏洞扫描、负载均衡、上网行为管理及流控等业务模块扩展。6.1.3 接入层接入层设备负责高密的接入，根据网络的信息点数量，分别部署24口交换机和48口交换机。接入交换机通过万兆光纤上连至汇聚交换机。接入层交换机需具备高性能L2-4业务处理能力和和高密千兆端口，并可根据应用场景灵活扩展万兆上行和PoE+端口供电能力，充分满足园区多业务汇聚、中小企业核心、千兆到桌面等多种应用场景需求。此外，环境感知、环境监控和0-70宽工作温度等环境增强设计，降低维护成本，简化网络管理，使网络应用率先进入低碳时代。6.2 逻辑网络如2.1节所述，内外网由于使用功能、运行应用、面向人员的不同，需要进行隔离。在本方案中，通过横向一虚多虚拟化技术可以将以上的一套物理网进行操作系统级虚拟化，虚拟化为内外两套网络。两套网络之间实现类似物理隔离的效果。如图6-3所示。图6-3 智慧园区网设计逻辑拓扑6.3 安全设计安全设计与网络设计密不可分，安全设备在网络中的部署时间分为两种情况：一、网络设计、实施已经完成，用户才考虑加入安全设备，以添加安全的方式设计的网络安全会使设计人员在设计、实施过程中疲于奔命，并且涉及结果会影响网络性能，造成网络运行的负担；二、设计网络时同时考虑安全设计，达成安全设施与其他网络基础设施的一种平衡，这样不仅提高网络安全，也提高了网络可靠性与伸缩性。因此本方案在进行网络设计的同时，进行安全设计。在设计思路上，整网安全核心与网络核心一体化，实现L27融合的简单、智能、可靠的网络。安全设计内容上，包括几方面的内容：内网安全、外网安全。6