云网融合系统解决方案

云网融合系统

解决方案云网融合系统解决方案 V1.0云网融合系统解决方案 V1.0通过防火墙可以有效地监控非信任端接口和内部网之间的活动， 形成保护内部网络的安全边界，保证内部网络和重要子网的安全。在网络中我们设计了1台防火墙，安全区边界部署一台防火墙。如下图所示：图0-1防火墙部署示意图在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的NA砌能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。下面将从几个方面介绍防火墙在信息网的设计Zu0防火墙对各服器群的保护在服务器相对集中的区域，如内网服务器区、 DM型:域，这些区域运行中重要服务器是需要着重保护的地方。通过在应用服务器区前方部署防火墙，配置合理的安全策略可以审核对服务器的访问，过滤非法的的访问请求、隐藏服务器相关信息。防火墙对核心内部不同安全区域的保护对于核心内部不同安全区域部分，在实施策略时，也可以配置防火墙工作与透明模式下，并设置只允许各安全区域间只能访问业务所需的特定服务器和网络服务。也可以在防火墙上配置NA似MAPft略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部安全区域间的系统安全。防火墙对网络边界的保护对于信息网的边界而言，单独地网络系统都是一个独立的网络安全区域， 因此在网络边界处部署高性能防火墙系统，制定安全的访问策略，不仅可以有效地保护内部网络中的系统和数据安全，还可以防止各网络之间有意无意地探测和攻击行为。完整的地址转换网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时

对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态 NAT方式和从地址缓冲池中随机选取转换地址的动态NA*式，可以满足绝大多数网络环境的需求。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，这样能够有效的隐藏内部网络的拓扑结构等信息。 同时内部网用户共享使用这些转换地址，自身使用私有IP地址就可以正常访问公众网，有效的解决了公有 IP地址不足的问题。内部网用户对公众网提供访问服务（如Web、FTP服务等）的服务器如果是私有IP地址，或者想隐藏服务器的真实IP地址，都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP地址的服务器提供服务，同样既可以解决公有IP地址不足的问题，又能有效地隐藏内部服务器信息，对服务器进行保护。网络卫士系列防火墙提供端口映射和IP映射两种反向地址转换方式，端口映射安全性更高、更节省公有IP地址，IP映射则更为灵活方便。建立完整、动态的安全防护体系在防火墙上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；还可以使用防火墙与将要实施的入侵检测系统之间的实时联动功能，形成动态、完整的、安全的防护体系。VPN系统概述在经济全球化的今天，在开展业务的，移动办公人员也随之剧增。在这样的背景下，这些出差移动办公人员与学校都可能经过互联网建立连接通道以进行信息传送，以及学们在校外维护安全维护Intranet。虚拟专用网是校园网网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户与校园网连接起来，构成一个虚拟专用网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个独立的专有网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。之所以采用虚拟专用网是因为 VPNT以下几方面优点：安全传输降低成本容易扩展完全控制主动权全方位的安全保护高的性价比使用和管理方便投资保护虚拟专用网VPNK用了一种称之为隧道的技术。隧道技术的基本过程是在源内部网与公用网的接口处将内部网发送的数据（可以是ISO七层模型中的数据链路层或网络层数据）作为负载封装在一种可以在公用网上传输的数据格式中， 在目的内部网与公用网的接口处将公用网的数据解封装后，取出负载即源内网发送的数据向目的内网传输。由于封装与解封装只在两个接口处由设备按照隧道协议配置进行，内网中的其他设备将不会觉察到这一过程，对与内部网用户来说这一切都是透明的。但提供了网络数据在不安全公网中安全传输的能力。防火墙附带VPN功能防火墙的VPN功能部署如下图所示：用户5.7.10防火墙系统中的用户5.7.10防火墙系统中的VPN作用7一l户通过部署VPN系统，在解决安全传输的前提下，主要为校内员工及学生提供以下服务：通信保密性策略：VPN在传输数据包之前将其加密.以保证数据的保密性，防止数据在通过互联网传输过程中被窃听，造成信息泄露；通信完整性策略：VPN在目的地要验证数据包，以保证该数据包任传输过程中没有被修改或替换，防止数据在通过互联网传输过程中被篡改，造成信息失真，对业务带来破坏；通信身份认证策略：VPN端要验证所有受IPSec保护的数据包，特别是验证远程访问者的身份，确保只有那些合法用户才能建立远程连接，进行访问；抗重放策略：VPN防止了数据包被捕捉并重新投放到网上，即目的地会拒绝老的或重复的数据包，它通过报文的序列号实现。集中管理策略：对于远程用户，通过VPN集中管理器统一分发证书，这样能够很好地保持证书在网络中的唯一性，确保远程建立隧道时身份鉴别的有效性，防止非法的建立隧道并发起访问。网络版杀毒软件设计在传输中心专网上部署统一的网络防病毒软件， 实现全省级联，集中监控，以及实现对全网络防病毒系统的统一管理与病毒查杀、 计算机病毒传播；并生产相关报表，建立病毒爆发预警及预测，保进一步提升用户网络的安全防护能力，确保用户信息化应用安全畅通。本方案设计采用的是金山企业终端防护优化系统V8.0,为用户营造整体防病毒体系，该方案整体防毒的五点基本思想如下：1）、整体防毒体系是全方位、多层次的。在XX用户的方案中，金山企业终端防护优化系统V8.0防毒技术体现了对多种系统平台、多种应用系统的全面支持，保证斩断病毒传播的各种渠道，实现病毒的全面防范。2）、消毒技术是关键。金山企业终端防护优化系统V8.0最新的云安全引擎技术在各个安全节点上高效、彻底地消除各种已知、未知病毒的威胁，使得病毒在安全节点上就得到有效的控制，而不会通过各种渠道进入用户内部，对内部网络资源和系统资源造成消耗和破坏。3）、防患于未然是管理的本质。金山企业终端防护优化系统率先引入“边界防御”概念，结合金山自身的“铠甲防御”、“移动设备5D实时防御”等技术，做到防患于未然，将病毒威胁拦截在系统边界。止匕外，在本方案中，金山企业终端防护优化系统 V8.0强大的管理体现在实现跨多网络的集中管理系统，它保证了整个防毒产品可以从管理系统中及时得到更新，同时向管理人员提供web管理方式，使得管理员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统形成一个有机的整体，保证各个安全节点在高效的指挥下对病毒进行有效的防御。4）、服务是整体防毒系统中的“灵魂”。服务的质量直接影响到防病毒系统建立起来之后，整个系统能否对病毒进行有效的防范。它不但要求安全厂商能及时地提供服务，还取决于安全厂商的技术实力。这需要厂商拥有的全球化的防毒研发体系为基础，同时也要求厂商具有深厚应用系统平台的研发实力，这样才能做到不管是系统使用中出现的问题，还是发现可疑的新病毒，都能进行快速的分析和方案提供。金山安全作为中国最优秀的软件及服务公司，可以全面满足XX用户的服务要求。网络设备选型核心路由设备为保证核心网络的高稳定性，考可靠性，我们采用RUISE力司的SR6600系列高端路由器，其特征为:.业界领先的开发理念路由器基于业界领先紧凑型设计理念，在2U高设备上不仅集成高密度高速端口，支持FIP-20和FIP-10灵活接口设计，还实现了可插拔冗余电源和模块、风扇可插拔功能，在保证设备高可靠性、网络配置灵活性的同时确保业务模块的兼容性， 最大限度保护用户投资。.灵活丰富的接口设计路由器凭借灵活接口平台设计具备强大的扩展能力。 FIP-10可同时支持4个多功能接口模块（MIM,FIP-20可以同时支持2个高速接口模块（HIM）或2个多功能接口模块（MIM,并支持HIM和MIM接口模块之间混插。路由器支持万兆、千兆、百兆以太网接口，支持 POSOC-48/OC-12/OC-3cPOSOC-3（通道化至E3/T3或E1/T1）、ATMOC-3E3/T3、E1/T1、Serial等广域网接口。丰富的接口类型使得路由器既可作为广域网的汇聚接入， 又可作为局域网的接入，一机多能，满足扁平化组网需求，减少网络层次，保护用户投资。在文件系统方面，提供了种类丰富的存储介质，支持外置CF卡和USB除了满足用户日益增长的存储容量需求外，还为用户提供了灵活的存储方式，方便了用户采用不同的接口进行文件管理。.强大的路由处理能力路由器支持大容量路由转发表项，同时支持丰富的路由策略和强大的策略路由功能，可对网络流量进行灵活的控制和调度，满足行业和运营商用户不同业务特性要求。止匕外，还全面支持基于IPv4/IPv6静态路由和动态路由协议，如：RIP/RIPng、OSPF/OSPFv3IS-IS/IS-ISv6、BGP/BGP4+。.专业的路由网关随着公网IP地址资源的耗尽以及园区网络用户规模的激增，用户对网络出口路由设备NAT性能要求的逐步提高。凭借其先进的多核高性能处理技术，提供专门的内核处理NAT专发。当并发200万NAT连接时，256字节以及IMIX互联网混合报文的NAT专发性能超过10Gbps上述强大的NATW发性能可充分满足各种超大型园区网出口设备性能要求，以及用户对未来网络的扩容需求。与此同时，越来越多的企业希望利用公共网络组建 VPN连接地理位置不同的多个分支机构。路由器支持全面的L2TP、IPSec以及GRE1道技术，在硬件上支持独立的硬件加密内核，在不增加用户投资的前提下可提供8GbpsIPSec数据加密处理能力，6000条IPSec隧道、18000条L2TP隧道、4000条GREB道，高性能的加密能力以及超大的隧道容量可以满足各种大型加密网关的要求，保证用户数据在广域网的传输安全。止匕外，传统VPN#术在灵活性和可维护性上还存在着不足， 例如企业分支机构通常采用动态地址接入公共网络，通信一方无法事先知道对端公网地址， 以及全连接时配置的打问题等等。RUISEE针对上述用户业务需求，提供专业 DVPN(DynamicVirtualPrivateNetwork,动态虚拟专用网络)解决方案：通过VAM(VPNAddressManagementVPNft址管理)协议收集、维护和分发动态变化的公网地址等信息，解决无法事先获得通信对端公网地址的问题。DVPN可以在企业网各分支机构使用动态地址接入公网的情况下，在各分支机构间建立VPN在组网的灵活性以及维护工作量精简都有大幅提高，此外还提供很多丰富的特性，例如：DVPN艮文的NA松越、安全认证、IPSec的报文加密以及多VPN®等.业务带宽的智能管理广域网上承载着企业重要繁多的业务流量，但是由于广域网自身存在高收敛比、拥塞、延时、丢包等特征，如何在这些不足的环境下最大化利用网络带宽资源， 提高系统可靠传输应用是广域网设备面临的重要课题。 RUISEE通过多年企业网建设经验，积累了很多企业网带宽应用的需求，通过需求分析到最终的需求满足形成一套完善的业务带宽管理机制。主要包括以下几个方面：,主备网络的带宽管理：充分利用备份网络资源，主网络资源紧张的情况下，根据事先设定好的策略，将一部分数据流量重路由到备份网络上进行数据传输， 使闲置的资源可以得到充分利用达到100灿用；•UCMPIE等价路由智能负载：UCMM别于彳^统的ECMP其最大特点是利用权重值来区别对待带宽的使用，使得两条不同带宽的出口，可根据带宽大小不同来承担不同的数据流量传输；・带宽预留与资源共享：网络可以为每部门划分一定独享带宽，保证关键业务质量，剩余带宽为共享带宽，超过独享带宽时使用，满足流量突发需求；•分层CARg高带宽利用率：把传统一层CA敬术实现多级处理，通过多级处理使得带宽可重分配，业务传输带宽利用率大幅提升；・先进的分层队列调度HQoS(HierarchicalQualityofService ):随着用户规模的扩大、业务种类的增多，要求网络设备不仅能够进一步细化区分业务流量， 而且还能够对多个用户、多种业务、多种流量等传输对象进行统一管理和分层调度。显然，这些应用对于传统的QoS技术来说是很难实现的。HQoS^用将调度队列划分为如物理级别、逻辑级别、应用或业务级别等多个调度级别，每一级别可以使用不同的特征进行流量管理，实现了多层次的流量管理，从而可以更好地帮助运营商实现多用户、多业务的服务管理。.全方位网络安全防护路由器内置多种安全特性，为用户的网络提供全方位安全防护：全面的防火墙功能：支持包过滤防火墙、状态防火墙，过滤各种攻击报文，并能提供过滤日志。特有的ACL加速算法，消除了ACL过滤规则数目对防火墙性能的影响；全面的内置防攻击手段：支持各种ARP防攻击技术，如：ARP艮速、ARP的DHCP&全认证、授权ARPARP主动确认、AR哪MAC-致性检查等等，可以很好地防范内网中日益猖獗的 ARP攻击，保证网络业务运行的稳定性；单包攻击防范：可以对Fraggle、ICMPRedirect、ICMPUnreachable、LANDLargeICMPRouteRecord、Smurf、SourceRoute、TCPFlag、Tracert、WinNuke等单包攻击行为进行有效防范；扫描攻击防范：攻击者运用扫描工具对网络进行主机地址或端口的扫描，通过准确定位潜在目标的位置，探测目标系统的网络拓扑结构和启用的服务类型， 为进一步侵入目标系统做准备；泛洪攻击防范：有效阻止SYNFlood攻击、ICMPFlood攻击、UDPFlood黑名单功能：根据报文的源IP地址进行报文过滤的一种攻击防范特性。同基于ACL（AccessControlList,访问控制列表）的包过滤功能相比，黑名单进行报文匹配的方式更为简单，可以实现报文的高速过滤，从而有效地将特定IP地址发送来的报文屏蔽掉；流量统计辅助攻击防范：主要用于对内外部网络之间的会话建立情况进行统计与分析，具有一定的实时性，可帮助网络管理员及时掌握网络中各类型会话的统计值， 并可作为制定攻击防范策略的一个有效依据；支持URL过滤，避免用户访问非法网站；完备的用户行为跟踪记录：支持完善的日志功能，配合RUISE虫司的iMCUBAS用户行为审计）解决方案，使网络管理员可以方便监控上网用户的行为， 保证网络安全运行。.运营级可靠性设计路由器秉承高端设计理念给用户提供全面的可靠性保障：在硬件上，提供可插拔电源冗余设计，支持交流或直流电源输入，保证用户在一路电源故障的情况下能够继续运行设备；支持全部接口模块的热插拔功能，确保用户在不间断业务的情况下插拔或者更换单独的模块，并提供热补丁技术，实现软件平滑升级。支持MPLSTEFRRFastReRoute，快速重路由）,具备快速路由备份（FRBFastRoutingBackup）特色功能，并结合BFD功能，实现故障链路的快速切换。,支持IPFRR（FastReRoute,快速重路由），可以和静态路由/策略路由/RIP/IS-IS/OSPF进行联动，并可以结合BFM能，实现故障链路的快速路由切换。支持IGP快速收敛。支持虚拟路由冗余协议（VRRP,结合BFD故障检测机制，实现快速的VRR响换能力。此外，还支持增强型虚拟路由冗余协议（VRRPE可实现多个虚拟路由器的负载分担功能。支持OSPF/IS-IS/BGP/MPLSLDP/MPLSRSVP-TEGR（GracefulRestart,完美重启）功能实现主备引擎倒换时不间断转发。5.8.2核心交换设备为保证核心网络的高稳定性，考可靠性，同时考虑到接入全网的数据中心，我们采用RUISE虫司的数据中心级别的S7500E高端路由交换机，其特征为：.基于IRF2(第二代智能弹性架构)技术的虚拟化架构RUISEES7500E(X)面向数据中心技术的演进，推出了IRF2为代表的软件虚拟化技术，提供2-4台主机的协同工作、统一管理和不间断维护功能；IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术，而且对于传统企业网应用， IRF2所提供的高可靠性和无缝升级、扩展能力，也成为RUISEEffl户增值服务的重要组成部分；另外RUISEE的IRF2虚拟化技术还可根据组网的要求支持长距离(80KM的普通以太网万兆光纤堆叠。.全面的MPLSVPLS#务能力RUISEES7500E(X)所有产品均支持Multi-VRF特性，可以作为MC豉备使用；支持三层的MPLSVPM口二层的MPLSVPNMartini、Kompella);支持MPLSOA帏性，方便用户的管理和维护；与RUISEEMPLSVPNManaged合，实现图形化的MPLS?署与维护。全面支持VPLSVLL,还支寸I分层VPLS以及QINQ+VPLSI入方式，提供端到端2层VPNg入方案，支持MPLS/VPL全线速转发，满足VPLSg模部署要求。.高性能IPv4/IPv6业务能力RUISEES7500E(X四持IPv4/IPv6双协议栈，支持多种隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；RUISEES7500E(X)采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；RUISEES7500E(X)已经通过了信息产业部的IPv6入网认证和IPv6Ready第二阶段认证，是成熟商用的IPv6产品。.有线无线一体化，有源无源一体化RUISEES7500E(X)集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoSffiXtIPv6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。RUISEES7500E(X足业界最高密度的以太网无源光网络(EPON设备，其提供高可靠的EPON(统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。EAD®点准入防护技术RUISEES7500E(X住持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EA皿全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供 Portal认证功能。.三平面安全保障机制RUISEES7500E(X)提供完善的安全防护机制，可从控制、管理、转发三平面全面保障网络的安全：在控制平面，内置协议报文攻击识别模块，防止TCNAR琳协议报文攻击，OSPF/BGP/IS-IS路由协议采用MD5佥证，防止非法路由更新报文导致的网络瘫痪；在管理平面，SNMPv3］管协、议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性；在转发平面，支持IP、VLAN、MAG口端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，采用最长匹配逐包转发机制，有效抵御病毒的攻击。 RUISEES7500E(X还支持内置的高性能防火墙、异常流量清洗等模块，将专业的安全融入到交换机之中。.有线无线全面支持EADRUISEES7500E(X足EAD®点准入防御解决方案的重要组成部分，S7500E(X)可以动态的接收来自安全策略服务器的控制策略，根据终端的安全状态给予下发相应的访问权限。RUISEES7500E(X既支持有线终端用户的EAD也支持无线终端用户的EAD能够做到终端安全防范无漏洞。.增强的ACL#性RUISEES7500E(X)系列产品支持强大的ACK力：支持标准和扩展ACL支持基于VLAN的ACL方便用户配置，节省ACL资源；支持出方向和入方向的ACL满足金融等行业访问权限严格控制的需求。.电信级高可靠性设计RUISEES7500E(X)采用无单点故障设计，所有关键部件，如主控板、交换网、电源和风扇等采用冗余设计；无源背板避免了机箱出现单点故障；所有单板和电源模块支持热插拔功能； RUISEES7500E(X)系列可以在恶劣的环境下长时间稳定运行，达到 99.999%的电信级可靠性。.多业务高可靠性运行RUISEES7500E(X)支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；支持RRP映速环网保护协议；支持Smart-Link协议，保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术，RUISEES7500E(X可以在承载多业务的情况下不间断运行，实现业务的永续。.基于IRF2架构的HAIRF2技术可以把多台S7500E(X)虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAMC障检测机制，实现毫秒级链路故障检测。5.8.328个接入级设备县路由器设备采用RUISEE勺MSR系列多业务路由器。.先进的技术支撑•采用RUISEE成熟的Comware网络操作系统，提供更智能的业务调度管理机制，支持业务模块化的松耦合，并能实现进程和补丁的动态加载♦卓越的高性能多核CPLM理器，极大提升多业务并发处理能力♦支持OAAF放式应用架构，支持云业务平台CVKVMWARe域网优化（WAN、Lync协同办公、客户第三方的业务等开放式应用,自主创新的智能链路引擎CUBES术，不仅提升了SIC卡的总线带宽，还可以自动灵活分配接口资源.强大的安全功能♦业务安全《报文过滤功能，支持状态过滤、MAC!址过滤、IP和端口号过滤、时间段过滤等c支持业务流量实时分析等•网络安全£多样化的VPNM术，包括IPsec、L2TRGREMPLS/PN以及多种VPNg术的叠加使用£支持路由器协议的安全防护，支持OSPF/RIP/IS-IS/BGP动态路由协议认证、支持OSPFv3/RIPng/IS-ISv6/BGP的IPSec力口密、支持丰富的路由策略控制功能♦终端接入安全《一体化的终端接入绑定认证，包括EA汝全检查认证、802.1x认证、终端MAO址认证