智慧图书馆网络及安全系统设计

第一节网络安全概念及其特征 1第二节网络安全系统设计 3一、网络系统需求分析 3二、设计原则 3三、设计目标 5四、逻辑设计 5五、无线局域网设计 6六、网络管理设计 8七、网络安全设计 9第三节网络安全解决方案 9第四节数据备份 11第五节设备选型 12一、防火墙 12二、流量控制设备 15三、交换机 16四、服务器选型 18五、无线AP选型 18六、网管软件的选择 19第一节网络安全概念及其特征（投标人根据实际情况进行编写）构建安全的图书馆包括物理安全、数据安全、系统安全、网络安全、应用程序安全和用户安全。一般来说，数字图书馆的网络安全是指数字图书馆网络系统的各个组成部分不受偶然的或恶意的原因而遭到破坏、篡改、和泄露，并且确保数字图书馆网络系统能连续正常运行的机制，其最终目的是要达到数字图书馆网络信息处理和传输过程中保持可靠的机密性、完整性、可用性和可控性。机密性是指保证图书馆的信息数据不被未授权的用户使用，虽然图书馆是公共服务性部门，信息资源大都是公开的，但是公开的对象目前还仅限于在校学生和教职工，并不对社会开放，而且资源中的一小部分是有偿使用的，图书馆管理人员要针对不同的资源、不同的用户实现资源的机密性。可用性是指被授权的用户不受时间、地点的限制顺利使用图书馆提供的资源，并不会因网络环境不同或者某些蓄意攻击病毒的影响而导致不能正常使用。完整性是指保证图书馆的资源不被任何未经授权的用户篡改，资源在发布、传递、使用的过程中不被破坏、丢失，能在服务的过程中保持资源的完整性。图书馆的管理人员往往会疏忽网络安全管理，认为自己的图书馆规模小，不会受到恶意攻击，就算受到攻击，系统恢复一下就行了，或者认为安装了防火墙或者杀毒软件等就不会被攻击，这些想法都是不可取的。多数图书馆对于网络管理员的岗位职责和管理制度并不完善，网络管理员往往身兼数职，技术水平相对比较薄弱。数字图书馆的网络安全必须要得到管理人员的重视，必须加强自我学习和自我管理。目前，常用的数字图书馆网络系统安全预防机制有：用户身份认证、防火墙技术、入侵检测技术、VPN技术等。除了技术方面的应用，管理工作的重要性也不容小觑，俗话说，“三分技术，七分管理”，可见合理的管理制度，严谨的管理流程的重要性，增强管理机制能最大程度降低人为因素造成的安全隐患。第二节网络安全系统设计一、网络系统需求分析图书馆网络系统建设包括图书馆局域网建设及与校园网主干互联。图书馆局域网以交换式千兆以太网为主干，网络不仅支持传送文件，还要支持语音、视频等信息量大的流媒体应用，对网络的响应和带宽要求较高，这就要求网络设备的要有较大的交换容量；同时还要加强网络安全策略，对内防止病毒侵扰、对外防止外部的网络攻击；针对图书馆资源的访问方式，故采用有线网络为主，无线网络为辅的接入方式。二、设计原则1.高可靠性和高性能网络系统稳定可靠是整个系统正常运行的重中之重，在设备选型时，充分考虑冗余能力；制定可靠的备份策略，保证网络系统的正常运行。出现故障时，可以快速的排除。网络在建设时必须保证设备和网络的高吞吐能力，保证信息的传输质量，尽可能采用高性能的网络设备，才能使网络不成为正常使用时的瓶颈。2.先进性和实用性采用先进的技术，使网络在现在到未来一段时间内能够不被淘汰，而且具有发展潜力；按照层次化、模块化设计网络，具有较好的伸缩性，可以不断吸收新方法、新技术，在可以满足应用系统业务和图书馆业务的同时，还要体现出网络的安全性。3.安全性图书馆拥有众多教学和档案管理的重要数据，无论是被损坏、丢弃还是窃取，都会带来重大损失。然而，可以采用内部核心区域架设防火墙的方式，避免图书馆内网核心服务器收到攻击。制定一套健全的安全策略，整体提高网络平台的安全性。4.灵活性和可扩展性对于高校图书馆，经常更换网络设备将是一笔非常大的开支，在组建图书馆网络的过程中，应当考虑到网络的可持续扩展性。采用三层交换机既可以满足当今图书馆网络的需求，也可以满足未来网络的升级和改良，可以应用于千兆链路与万兆链路。三、设计目标图书馆网络系统设计应该考虑到网络的总体框架设计、网络管理设计、网络应用设计、网络安全设计等，要求达到的目标有以下几点：第一，系统的兼容性好，实用性强，开放性好，符合国际标准，支持TCP/IP、IPX/SPX协议。第二，掌握现代信息技术发展，采用先进技术，选用技术成熟的网络产品。系统软硬件配置时需要考虑性能需求和当前技术水平，兼顾系统的现实性和技术领先。第三，整体设计最优原则，在进行设计的时候，需要根据合理性的原则，综合考虑，这种选择，充分顾及到：安全性、可靠性、实用性和经济性。第四，系统安全可靠，便于维护和管理。第五，适应现代化技术的发展，与中国教育科研网(CERNET)等国内和国际互联网相连，实现真正的国际、国内网际互联。四、逻辑设计网络逻辑设计是建设网络过程中的重要工作，从整体上影响或决定了网络的建筑规模、基本结构、主要应用内容与模式、资金投入和建设周期等重大问题。网络逻辑设计是网络工程技术人员不可或缺的必备专业技术，它是在掌握网络建设的任务与工作程序和理解网络工程建设的技术指标等基本概念的基础之上，根据用户需要确定网络建设的方案。本图书馆局域网络规划中，在网络拓扑结构方面，选用星型的拓扑结构，网络拓扑结构如下图所示。五、无线局域网设计在一个典型的无线局域网环境中，有一些进行数据发送和接收的设备，称为接入点(AP)。通常，一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下，AP可以通过标准的Ethernet电缆与传统的有线网络相联，作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。无线局域网在室外主要有以下几种结构：点对点型、点对多点型、多点对点型和混合型。1.点对点型。该类型常用于固定的要联网的两个位置之间，是无线联网的常用方式，使用这种联网方式建成的网络，优点是传输距离远，传输速率高，受外界环境影响较小。2.点对多点型。该类型常用于有一个中心点，多个远端点的情况下。其最大优点是组建网络成本低、维护简单；其次，由于中心使用了全向天线，设备调试相对容易。该种网络的缺点也是因为使用了全向天线，波束的全向扩散使得功率大大衰减，网络传输速率低，对于较远距离的远端点，网络的可靠性不能得到保证。3.混合型。这种类型适用于所建网络中有远距离的点、近距离的点，还有建筑物或山脉阻挡的点。在组建这种网络时，综合使用上述几种类型的网络方式，对于远距离的点使用点对点方式，近距离的多个点采用点对多点方式，有阻挡的点采用中继方式。所谓无线局域网就是试图形成这样一种在一个大网中处于不同物理位置的各个成员可以不受位置限制而构成，即WLAN，如下图。图书馆无线局域网拓扑图六、网络管理设计根据用户需求分析的结果可知，力行图书馆局域网必须是一个可管理的网络，因此，在我们必须进行网络管理设计。针对图书馆局域网的实际情况，网络管理设计主要解决故障查找、配置与重配置和网络监视问题，而解决这些问题现在一般都借助网络管理软件。所以，在图书馆局域网中，我们选用主干交换设备厂商提供的网络管理软件来完成网络管理工作。七、网络安全设计根据用户需求分析的结果可知，图书馆局域网必须是一个安全的网络，因此，在逻辑网络设计时必须进行网络安全设计。提供网络安全是一种平衡策略，因此，权衡网络安全需要和方便用户需要，在图书馆局域网的安全设计方面主要采用访问控制技术、用户认证技术等来保障网络安全运行。第三节网络安全解决方案保证智慧图书馆内部应用数据的安全是所有安全设计中的重中之重，考虑采用包过滤(防火墙)和Proxy。这种防火墙系统可以说是比较安全的，在定义了“非军事区”(DMZ)网络后，它支持网络层和应用层两方面的安全功能。网络管理员将与Internet交换信息的E-Mai1服务器都放在DMZ网络中。DMZ网络处于Internet和内部网络之间。目前的防火墙有二大类，一类是基于硬件的防火墙，另一类是基于软件的防火墙，硬件防火墙由于采用了专门的操作系统和高速的CPU，因此速度快，可靠性高，安全性高，但价格相对较高。软件防火墙的主要优点是价格相对便宜，但速度和可靠性、安全性不及硬件防火墙，因此我们智慧图书馆采用硬件防火墙，在这里我们采用CiscoPIX525硬件防火墙。对于代理软件，Microsoft公司的InternetSecurityandAccelerationServer2000(ISA)，ISAServer2000能够提供安全、快速和可管理的Internet连接。ISAServer集成了可扩展、多层企业级的防火墙和可伸缩的高性能Web缓存系统。构建在Windows2000的安全特性和目录基础上，提供基于策略的安全、加速和管理。ISAServer包括一个可扩展的多层企业级防火墙，可以用以下特征来描述：包、链路层和应用程序层流量监测，状态监测，广泛的应用程序支持，VPN集成，系统强化，入侵检测集成，智能应用程序过滤器，对所有客户端的透明，高级验证，安全服务器发布等等。对于从Internet进来的访问，外面的路由器用于防范通常的外部攻击(如源地址欺骗和源路由攻击)，并管理Internet到DMZ网络的访问。它只允许外部系统访问E-Mail服务器。里面的防火墙系统对内部网络提供第二层防御，只接受源于DMZ的数据包，负责的是管理DMZ到内部网络的访问。对于去往Internet的数据包，里面的防火墙服务器管理内部网络到DMZ网络的访问。它允许内部系统只访问DMZ中的主机。外面的路由器上的过滤规则使用代理服务(只接受来自堡垒主机的去Internet的数据包)访问Internet。采用这种屏蔽子网防火墙系统有如下几个特别的好处：入侵者必须突破若个不同的设备(无法探测)才能侵袭内部网络：外部路由器，Proxy，还有内部防火墙。由于外部路由器只能向Internet通告DMZ网络的存在，Internet.上的系统不需要有路由器与内部网络相对。这样网络管理员朱可以保证内部网络是“不可见”的，并且只有在DMZ网络上选定的系统才对Internet开放(通过路由表和DMZ信息交换)。由于内部防火墙系统只向内部网络通告DMZ网络的存在，内部网络上的系统不能直接通往Internet，这样就保证了内部网络上的用户必须通过代理服务才能访问Internet。对于病毒防范，采用防病毒软件，Symantec公司的NortonAntiVirus以其领先的反病毒技术在全球反病毒软件中独树一帜，NortonAntiVirus独有的智能跟踪、查杀技术，不仅保证系统不受病毒感染，还能有效查杀各种特洛伊木马(Trojan-黑客软件)，如：Back0rifice、NetBus等，而NortonAntiVirus的智能更新可以不断从Symantec获得新的病毒代码，在新病毒发作前就将其查出；如果发现了新的病毒还可以将其发到NortonAntiVirus研究中心。第四节数据备份在一个企业级网络中，系统数据的备份是至关重要的，按照智慧图书馆项目设计要求和智慧图书馆的实际情况，我们建议采用磁带机进行数据的备份。在众多可选的外部存储设备，磁带机是最可靠的的数据备份方法，它的主要优点如下：1.每GB的存储成本低于1.3美元；2.传输率高(数据压缩后可达10MB/秒)；3.可移动的磁带易于存储和保管。只需更换磁带，因此，容量可以说是无限大的；4.多数磁带机和磁带的良好可靠性已被证实，可将数据存储很长时间，磁带机已为大型计算机存储极重要的数据超过30年，并且证明了他们获得了优良的记录；5.磁带机允许无人操作的自动备份，使用好的备份软件可使您随心所欲地使用磁带机，为用户提供了一-种简单的方法。允许在无人值守的情况下可为大型网络备份数据，甚至可以为数据库进行“在线”备份；6.磁带库、自动加载磁带机的应用为网络备份提供了更为可靠的选择。备份工作主要通过操作系统一AIX内置的备份程序来进行，在定义了备份策略后由操作系统自动进行备份。当然在需要的时候也可以进行人工备份。第五节设备选型一、防火墙（一）设备选型根据核心交换机的选型，防火墙采用H3CSecBlade防火墙插卡，该防火墙插卡采用了H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新--代电信级防火墙设备。通过SecBlade防火墙插卡，用户可灵活、迅速的在主网络设备上实现网络和安全防护的高度一体化。SecBlade防火墙插卡已经完全实现了三层网络设备的转发机制，可以灵活地应用在多层交换网络中，同时又能提供强大的安全保护。它是基于H3C领先的OAA(OpenApplicationArchitecture)架构开发，采用了多核高性能处理器和高速存储器，可以插在主网络设备上的多个槽位上，而且同一个主网络设备上可以插入多块SecBlade防火墙插卡。（二）功能介绍SecBlade防火墙插卡支持的主要功能有：1.支持验证、授权和计帐(AAA)服务。包括：基于RADIUS/HWTACACS+、CHAP、PAP的认证，支持域认证等；2.支持虚拟防火墙。可在业务板上划分多个虚拟防火墙，每个虚拟防火墙有自己的策略，并且可以分别进行管理；3.支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤；4.支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议)，并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃；5.支持P2P流量控制功能。通过对流量采用深度检测的方法—即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制；6.支持URL过滤，可对指定的URL进行屏蔽；7.支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大ICMP报文、地址扫描、支端口扫描等攻击防范。还包括针对SYNFlood、UPDFlood、ICMPFlood、分片Flood等常见DDoS攻击的检测防御；8.支持ICMP重定向或不可达报文控制功能；9.支持Tracert报文控制功能；10.支持带路由记录选项IP报文控制功能；11.支持静态和动态黑名单；12.支持NAT和NAT多实例；13.支持VPN功能。包括：支持IPSec、支持IKE和PKI、支持GRE隧道。支持硬件VPN处理加速；14.支持丰富的路由协议。支持静态路由、策略路由，以及BGP、RIP、OSPF等动态路由协议；15.支持安全日志；16.支持流量监控统计、管理；17.支持全部WEB方式进行管理。二、流量控制设备（一）设备选型我馆的流量控制设备采用F7OptimalQoS5000E产品，将其部署在防火墙与核心路由交换机之间，对全馆的网络进行实时监控和合理规划。F7OptimalQoS的技术亮点是：系统可部署于用户的互联网出口、广域网的各个节点，互联网和广域网交互网络的出口处和各分支节点，实现对全网的实时监控、和对网络资源进行重新规划和合理分配，以充分提高网络运行效率及应用价值。系统可以帮助网络管理员清晰直观地了解网络运行状况和运行趋势，并能知道哪些是贪婪吞噬带宽资源的应用，哪些是无关的应用，直观反映出网络通道的拥挤程度。系统是对网络各种应用进行分析细分并做流量整形，整形后的流量变成了可视可控可追溯的流量，对每种流量能达到每一个session的监管，基于对网络应用协议和网络用户的管理优化功能，可根据应用和用户的优先级别不同，进行区别管理，可实现保障核心应用和核心用户的带宽，促进内网非核心用户的用网公平，控制无关应用抢占带宽资源，动态管理网络出口带宽，使整个网络处于高效并可管理的状态。（二）功能介绍5000E的功能分三方面，一是对实时网络流量的检测，二是策略管理，即针对IP和七层应用协议的带宽、会话数、优先级别等进行限制，三是对过往流量使用情况进行统计。5000E实时监测平台实现的功能：主要功能是实时监测，监测对象包括单个IP、网段、单个应用、应用组等，监测的内容有流入和流出包速度，字节数等。显示方式分堆叠式、饼图、柱状图和列表。5000E管理平台上实现的功能：(1)核心模块管理：可以对流控设备的核心信息进行管理，包括管理员账号、权限，流控设备个数、地址，特征库升级等；(2)策略管理：对网段和应用等进行带宽限制；(3)报表管理：按时间段和应用类别进行流量统计，并能以WORD和PDF的方式导出。5000E设备具备Bypass功能，能够保证不管设备处于什么状态下，包括未启动，启动过程中，都能保证网络是通畅的，不会影响业务的正常运行。Bypass就是旁路功能，也就是说可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的系统，而直接物理上导通，所以有了Bypass后，当网络安全设备故障以后，还可以让连接在这台设备.上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。三、交换机1.CiscoCatalyst2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。集成安全特性，包括网络准入控制(NAC)；高级服务质量(QoS)和永续性，为网络边缘提供智能服务，为网络边缘提供了智能特性，如先进的访问控制列表(ACL)和增强安全特性，双介质上行链路端口提供了千兆以太网上行链路灵活性，可以使用铜缆或光纤上行链路端口一每个介质上行链路端口都有一个10/100/1000以太网端口和一个小型可插拔(SFP)千兆以太网端口，在使用时其中一个端口激活，但不能同时使用这两个端口。通过高级QoS、精确速率限制、ACL和组播服务，实现了网络控制和带宽优化，通过多种验证方法、数据加密技术和基于用户、端口和MAC地址的网络准入控制，实现了网络安全性，通过思科网络助理，简化了网络配置、升级和故障诊断。2.CiscoCatalyst3560-X系列交换机是独立式交换机的企业级产品。这些交换机通过IEEE802.3at增强型以太网供电(PoE+)配置、可选网络模块、冗余电源和媒体访问控制安全(MACsec)等创新功能，提供无间断连接性、可扩展性、安全性、能效性和易操作性。CiscoCatalyst3560-X为实现无边界网络体验，启用了IP电话、无线和视频等应用程序，提高了生产效率。CiscoCatalyst3560-X系列交换机24和48，10/100/1000PoE+和非PoE型号，可选的4个千兆以太网(GbE)SFP或2个10GbESFP+上行链路网络模块，业内第一个PoE+，所有端口上都提供30W功率，1个机架装置(RU)的外形设计，双冗余，模块化电源和风扇、媒体访问控制安全(MACsec)的基于硬件的加密，IPv4和IPv6路由、多播路由、高级服务质量(QoS)和硬件中的安全功能。增强型有限终身保修(LLW)、下一工作日(NBD)硬件备件先行更换和90天思科技术支持中心(TAC)支持，增强型CiscoEnergyWise，可测量PoE设备的实际功耗，进行报告，并降低网络能耗，从而优化运营成本，USBA型和B型端口，以及带外以太网管理端口。四、服务器选型本次方案中需要架设DHCP服务器并且安装热点认证系统及防火墙安