华迪实习云南学院网络工程设计方案书

年6月23日华迪实习云南学院网络工程设计方案书资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。云南XXX学院校园网改造方案书第四小组方案设计人员()目录第一章概述 -5-1.1.文档大纲 -5-1.2.项目背景 -5-1.3.项目范围 -5-1.4.项目目标 -5-1.5.设计标准与规范 -5-第二章用户需求 -5-2.1.技术目标 -5-2.2.应用系统 -6-2.3.服务器要求 -6-2.4.网络建设需求 -6-2.5.系统集成要求 -7-第三章综合布线设计 -7-3.1.采用综合布线方案概述 -7-3.2工作区子系统设计介绍 -8-3.3水平区子系统设计介绍 -9-3.4垂直主干线子系统设计介绍 -9-3.5设备间子系统设计介绍 -10-3.6建筑群子系统设计介绍 -10-3.7综合布线系统的安装与施工指南 -11-3.8产品选型说明 -12-第四章网络拓扑结构设计 -13-4.1拓扑图设计 -13-4.1.1设计说明 -13-4.2核心层设计 -14-4.2.1双核心热冗余备份设计 -15-4.3出口设计 -16-4.4防火墙 -17-4.5主要设备选型 -18-第五章VLAN与IP规划 -19-5.1VLAN与IP技术介绍 -19-5.1.1VLAN与IP划分方案 -20-第六章网络管理与安全方案 -21-6.1网络管理方案 -21-6.2网络安全方案 -21-第七章工程施工管理 -32-7.1标准化 -32-7.2施工计划表 -32-7.3施工配合 -33-7.4铺设线缆和管道 -33-7.5搭建配线架 -33-第八章测试与验收 -34-8.1测试目标及其验收标准 -34-8.2测试种类 -34-8.3测试需要的网络设备和网络资源 -34-第九章售后服务与技术支持 -34-第十章项目预算 -34-10.1布线材料清单及报价 -34-10.2网络设备清单及报价 -35-第一章概述1.1.文档大纲1.2.项目背景1.3.项目范围1.4.项目目标1.5.设计标准与规范第二章用户需求2.1.技术目标众所周知,电子计算机机房装饰,不同于普通的宾馆、家庭装饰,机房装饰工程是一项系统工程,是现代科学技术和装饰艺术的综合。机房内放置有复杂的电子设备和机电设备,对装饰的要求,主要是满足计算机对机房提出的技术要求,在机房装饰艺术上以既大方舒适,又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。以期达到现代化的装饰水平和视觉效果。网络核心机房是整个校园计算机网络开展应用的中心和关键所在,为消除安全隐患,确保通信设备和通信网络的安全可靠,应该建设在一个安全、可靠、稳定的基础环境中。数据中心机房应符合国际标准和相关规范,在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。2.2.应用系统本次机房建设将包括一下几个子系统:1、机房空调与新风系统;2、电气系统(供配电系统);3、UPS系统;4、建筑装饰系统;5、消防及自动报警系统;6、机房漏水监测系统;7、机房其它配套设备系统2.3.服务器要求由于此处为校园网,主要功能是实现好学校与外部的上网功能,以及实现学校的资源共享,服务器具体功能(安全监控中心、数据中心、存储中心、网管中心),WWW服务,作为信息服务的平台,Email服务,作为信息传递和与外界交流的主要手段。2.4.网络建设需求实用性和先进性采用先进成熟的技术和设备,尽可能采用先进的技术、设备和材料,以适应高速的数据与需要,使整个系统在一段时期内保证技术的先进性,并具有良好的发展潜力,以适应未来业务的发展和技术升级的需要。安全可靠性为保证各项业务应用,网络必须具有高可靠性,决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。灵活性与可扩展性计算机机房必须具有良好的灵活性与可扩展性,能够根据机房业务不断深入发展的需要,扩大设备容量和提高用户数量和质量的功能。应具备支持多种网络传输,多种物理接口的能力,提供技术升级设备更新的灵活性。管理性由于机房具有一定复杂性,随着业务的不断发展,管理的任务必定会日益繁重。因此在机房的设计中,必须建立一套全面、完善的数据中心机房管理和监控系统。所选用的设备应具有智能化、可管理的功能,同时条用先进和管理监控系统设备及软件,实现先进的集中管理监控,实时监控、监测整个机房的运行状况,实时灯光、语音报警,实时事件记录,这样能够迅速确定故障,简化机房管理人员的维护工作,从而为计算机机房的安全、可靠运行提供最有力的保障。2.5.系统集成要求WindowsXP系统,Windowsserver,linux系统,,点播系统(VOD),网络监视系统,报警系统,认证系统,校园系统,局域网管理系统,UPS不间断电源系统,网络管理系统。第三章综合布线设计3.1.采用综合布线方案概述综合布线系统是采用模块化插接件,垂直、水平方向的线路一经布置,只需改变接线间中的跳线,改变集线器,增加接线间的接线模块,便可满足用户对这些系统的扩展和移动。综合布线由六个子系统组成,即工作区子系统(WorkArea)、水平布线子系统(HorizontalCabling)、垂直干线子系统(BackboneCabling)、设备间子系统(EquipmentRooms)、管理子系统(Administration)和建筑群接入子系统(PremisesEntranceFacilities)。如图:3.2工作区子系统设计介绍工作区子系统是由终端设备连接到信息插座的连线和信息插座组成。室内房间的一系列设备包括标准RJ-45插座、网卡、五类双绞线。另外需要统一线缆连接标准,EIA/TIA568A或EIA/TIA568B。信息点数量(RJ-45插座的数量)应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例如办公室可配置2~3个信息点,另外还应该考虑该办公区是否需要配置专用信息点用于工作组服务器、网络打印机、传真机和视频会议等。对于宿舍,一个房间配备1个信息点。注意,在进行建筑弱电设计时,要严格执行有关综合布线标准,每个信息点到设备间的图纸距离应在70m内,因此,楼宇中的设备间的选择以位于或者尽可能位于本建筑物的地理中心为宜。如图3.3水平区子系统设计介绍水平子系统主要是实现信息插座和管理子系统,及中间配线架间的连接。水平子系统指定的拓扑结构为星型拓扑。选择水平子系统的线缆要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。水平组网子系统包括光纤主干线和各个楼层间的组网。室外主干的光纤电缆采用多模光纤,室内采用超五类非屏蔽双绞线。如图3.4垂直主干线子系统设计介绍垂直主干线子系统提供建筑物主干电缆的路由,实现主配线架与中间配线架、计算机、控制中心与各设备间子系统间的连接。垂直组网在各栋楼中从配线架经过楼道上的桥架连接到设备间。注意,如支持1000Base-TX则必须使用六类双绞线。如图3.5设备间子系统设计介绍设备间子系统由设备室的电缆、连接器和相关支持硬件组成,把各种公用系统设备互相连接起来。本企业网采用多设备间子系统,包括网络中心机房、办公教学楼、宿舍区、其公共场所设备间子系统。网络中心机房设备间配线架、交换机安装在标准机柜中,光纤连接到机柜的光纤连接器上。办公教学楼、宿舍区等设备间子系统配备标准机柜,柜中安装光纤连接器、配线架和交换机等,经过水平干线线缆连接到相应网络机柜的配线架上,经过跳线与交换机相连。如图3.6建筑群子系统设计介绍建筑群子系统主要是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。由连接网络中心和各个设备间子系统的室外电缆组成了园区网建筑群子系统。有线通信线缆中,建筑群子系统多采用62.5/125um多模光纤,起最大传输距离为2km,满足该学院网内的距离需求,并把光纤埋入到地下管道中。如图3.7综合布线系统的安装与施工指南最低配置:适用于综合布线系统中配置标准较低的场合,用铜芯对绞电缆组网。1)每个工作区有1个信息插座;2)每个信息插座的配线电缆为1条4对对绞电缆;3)干线电缆的配置,对计算机网络宜按24个信息插座配2对对绞线,或每一个集线器(HUB)或集线器群(HUB群)配4对对绞线;对电话至少每个信息插座配1对对绞线。基本配置:适用于综合布线系统中中等配置标准的场合,用铜芯对绞电缆组网。1)每个工作区有2个或2个以上信息插座;2)每个信息插座的配线电缆为1条4对对绞电缆;3.8产品选型说明在布线设施设计中,需要的主要材料如下:多模光纤;五类双绞线,在布线实施时,应该尽可能考虑选用防火标准高的线缆;各种信息插座,RJ-45等;电源;塑料槽板;PVC管;供电导线;配线架;第四章网络拓扑结构设计4.1拓扑图设计云南XXX学院校园网改造拓扑图4.1.1设计说明主干是万兆以太网,分别连接网通和电信,这样能够做负载均衡,保证校园网的通畅。核心交换机采用双机热备技术,两个同样的核心交换机,一个做主核心交换机连接个机器使用,一个做备份,只有当主交换机坏了是,备份的交换机会自动启用,提供网络安全保障。SQL服务器采用磁盘阵列,共5个磁盘,两个用来存储数据三个用来备份,这样即使坏了两个数据也不会丢失。汇聚层采用思科4系列交换机,具有处理简单的认证信息和网络管理。外部服务器群放在DMZ区域,当外面的人访问内网,首先同过DMZ区域,在此区域内检测是否有病毒,如果有则处理掉,保证了内网的安全。为了让全校所有的地方都能够上网,本方案还在校园内装无限路由器。4.2核心层设计网络核心交换机是连接各区域并保障各区域高速通信的纽带,因此该设备应采用具有大容量、高密度、模块化体系架构的设备,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计,从而满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。针对xxx学院网络的实际情况,我们部署两台模块化核心交换机RG-S8610。RG-S8610高密度多业务IPv6核心路由交换机提供3.2T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps的二层/三层包转发率可为用户提供高密度端口的高速无阻塞数据交换,具有线速转发数据包的能力。每线卡提供200G的交换能力,满足高密度的千兆/万兆端口线速转发,而且支持未来40G/100G接口的扩展。经过XFP接口万兆线卡下连汇聚层交换机构成万兆骨干链路;千兆端口连接管理工作站、无线控制器、IDS入侵检测设备以及服务器区域交换机。同时,RG-S8610高密度多业务IPv6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高要求。CPP技术,业界领先的硬件CPU保护技术,经过对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流线速,避免异常报文对CPU的攻击和资源消耗,保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。同时,RG-S8610核心路由交换机还提供其它更多的安全防护能力,例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。支持广播报文抑制,有效控制非法广播流量对设备造成冲击。支持IPv6/IPv6、VLAN、MAC和端口等多种组合绑定方式,提高用户接入控制能力。4.2.1双核心热冗余备份设计为保障网络具有99.999%的电信级高可靠性,实施时采用双核心、双链路的设计方案。该方式的好处在于,任意一台核心交换机的故障,或者任意一条上行链路的故障,均不会影响网络的稳定运行,备用交换机或备用线路会智能地启用起来。图要实现这样的热冗余备份机制,需要在核心交换机上启用VRRP(虚拟热冗余备份协议)和MSTP(多生成树协议)。VRRP协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的IP地址,实现核心设备间的智能热备份;MSTP协议则主要用于避免VLAN内部出现环路,配合VRRP协议实现线路的智能热备份。核心交换机与出口路由器之间启用动态路由协议,实现与VRRP/MSTP的配合切换。根据部分网络信息点建设要求全千兆到桌面的总体设计思想,考虑到万兆、IPv6的建网理念,根据集团各个分部的厂房和库房网络建设的具体情况,考虑到部分信息点数据流量庞大等因素,在攀枝花、西昌、泸州分部核心区域建议采用锐捷RG-S5750-48GT/4SPF-E全千兆三层多业务IPv6交换机。RG-S5750-48GT/4SPF-E全千兆三层多业务交换机具备48口,可容纳多个接入层设备。最重要的是RG-S5750-48GT/4SPF-E三层交换机还具备两个万兆扩展槽,可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块,经过扩展万兆光口实现骨干网络的万兆互联以及部分接入网络的千兆桌面。从RG-S5750-48GT/4SPF-E是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代全千兆带万兆扩展机架式多层交换机。能够提供48个10/100/1000M自适应的千兆电口,还能提供PoE远程供电的接口。4.3出口设计出口区域的网络主要由路由器VPN网关、防火墙组成,以下介绍以路由器为主。我们建议在总部网络出口处部署一台锐捷RG-NPE50E网络出口引擎,RG-NPE50E固化提供了8个光电复用的GE口,可扩展2个扩展糟,定位于中大型网络出口。RG-NPE50E全新融入了智能DNS和多链路负载均衡技术,使得用户对内对外访问都能智能选择最优最快速路径;集成了DPI引擎,让网络管理人员轻松应对P2P等应用的流量控制;重构了WEB界面,让其在设备管理维护层面变得简化。RG-NPE50E网络出口引擎采用MIPS多核处理器体系架构,单个处理器内部基于锐捷网络自主知识产权的虚拟多处理器(vCPU)技术,从而在x-flow框架下构建起一个高性能、高稳定的转发平台。RG-NPE50E网络出口引擎支持的最大并发用户数最多达10000人,4G的DDRII内存,最高达6Mpps的转发能力具有卓越的转发性能。RG-NPE50E网络出口引擎充分利用x-flow技术,实现高速NAT,每秒高达30万条的NAT新建连接会话,最大支持整机200万条并发会话数。64bytes小包转发率可达100Mbps,同时实现出口防火墙功能,在各业务功能全开的情况下,能实现最大3000-10000用户的并发带机量。RG-NPE50E网络出口引擎配有先进的DPI深入分析引擎、行为分析/管理引擎,能够在保证网络出口高效转发的基础上,提供专业的流控功能、出众的URL过滤以及本地化的日志存储/审计服务。另外,RG-NPE50E网络出口引擎还提供WEB认证、IPsec/L2TP/SSLVPN、智能DNS、多链路负载均衡等多种功能的支持。同时可根据网络使用分部情况,RG-NPE50E网络出口引擎提供专业的流量限速策略,用户可根据不同时段指定,分时段限速策略。同时RG-NPE50E的多出口负载均衡,可综合利用不同运营商、不同自费的线路,提升网络带宽的同时,降低线路资费。4.4防火墙根据学院对网络安全的统一规划,需要在网络出口处均部署防火墙产品进行网络安全防护,建议采用RG-WALL1600E防火墙用在内外网间链路上作防护,从而实现对外部的攻击防御,保护内部网络的安全性。RG-WALL1600E防火墙是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL1600E可支持数十个GE接口,能够广泛应用于企业、教育、政府、医疗等行业的千兆网络环境。配合锐捷网络交换机、路由器产品,能够为用户提供完整的端到端解决方案,是大型网络出口和不同策略区域之间安全互联的理想选择。RG-WALL1600E基于锐捷网络自主开发的RG-SecOS和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响。RG-WALL1600E采用独立的安全协议栈,能够自由处理经过协议栈的网络数据,基于网络行为检测多流关联分析技术,支持对网络数据深度状态检测。同时还采用快速流检测引擎,对网络报文处理进行了革命性的改造和优化;内置专用的硬件VPN模块,支持SSL、IPsec、PPTP、L2TPVPN等多种VPN业务模式。在消除通用操作系统漏洞的前提下,完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSecVPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。4.5主要设备选型设备类型设备型号设备说明交换机RG-86103.2T背板带宽、10个(2个用于管理引擎)模块插槽、包转发速率:L2:1190Mpps/L3:1190Mpps、交换容量:1.6TRG-S8606网管功能:SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2背板带宽:1638Gbps包转发率:L2:595MppsL3:595MppsRG-S5750-24GT/8SFP-E24口10/100/1000M自适应端口(支持远程PoE供电),8个SFP光电复用口,2个扩展槽、模块化电源、2个电源插槽、包转发速率:96Mpps,交换容量:360GbpsRG-2352G背板带宽19.2G包转发率13.2Mpps接口数目52口路由器RG-NPE50EMIPS多核处理器、内存:4G、flash:512M、8GE光电复用接口、包转发速率>6Mpps、NAT并发会话数:整机200万。防火墙RG-WALL1600E支持数十个GE接口、独创的分类算法、RG-SecOS、支持对网络数据深度状态检测、快速流检测引擎入侵检测RG-IDS全面检测、分布式结构、高可靠、高性能、低误报率服务器IBM服务器X3850M2标配四个Intel四核XeonE7420处理器(2.13GHz,8ML3缓存),可扩至四路处理器,标配8GBDDR2内存,0GBSAS硬盘,最大可扩充至256GB,标配1块内存板,标配2个热插拔电源,4U机架式,配置2个146GB10K2.5”IBM服务器X3650M22U机架式服务器。配置一颗四核英特尔至强处理器55042.0GHz(4MB三级缓存,最高支持800MHz内存频率,4.8GT/sQPI,支持超线程、TurboBoost功能),可扩展至2个处理器。2x2GBDDR3RDIMM内存,高达16个内存插槽(每处理器配置8个内存插槽)。4个PCI-Express二代插槽;4个x8插槽经过可选的扩展卡可转换为2个x16插槽;经过可选的扩展卡支持PCI-X。配置4个146GB热插拔SAS硬盘,共计12个2.5英寸热插拔硬盘托架。集成双千兆以太网。三年免费保修和服务。第五章VLAN与IP规划5.1VLAN与IP技术介绍(1)VLAN技术即虚拟子网技术起始于1994/1995年的LAN交换技术,VLAN就是一个广播域,是由跨越物理LAN网段的多台终端机组成的相互能够通信的逻辑网段。划分VLAN能够基于端口、MAC地址、第三层的IP、多址广播及混合技术。(2)VLAN的划分能够提供更多的服务网络管理及性能的提高。(3)VLAN能够减少移动及改变的花费;(4)VLAN建立的虚拟工作组能够提供方便管理的可能;(5)一种资源能够属于不同的VLAN,减少对广播的路由,防止局域的网络风暴的产生;(6)更高的安全性,能够在局域只能够建立安全屏障,分割安全等级;(7)高性能,低延迟,提供比路由器高得多的速率,却有更低的价格;5.1.1VLAN与IP划分方案部门VLAN名VLAN号VLANIPIP网段可用范围财务部CWB10/24

～254/24学工部XGB20/24～254/24行政部XZB30/24～254/24教务处JWC40/24～254/24图书馆TSG50/24～254/24内部服务器区NBFWQ60/24～254/24外部服务器区WBFWQ70/24～254/24管理GL80/24～254/24学生区/24～/24教工区/24～/24教学区/24～/24第六章网络管理与安全方案6.1网络管理方案配置管理过程是对处于不断演化、完善过程中的软件产品的管理过程。其最终目标是实现软件产品的完整性、一致性、可控性,使产品极大程度地与用户需求相吻合。它经过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的管理功能。性能管理是对电信设备的性能和网络单元的有效性进行评估,并提出评价报告的一组功能。包括性能测试,性能分析及性能控制。性能管理(PerformanceManagement)性能管理指的是优化网络以及联网的应用系统性能的活动,包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全面的故障排除、基于事实的容量规划和有效地分配网络资源。安全管理:安装系统补丁程序(Patch);采用最新版本的服务方软件;设置系统日志;定期检查系统安全性;6.2网络安全方案6.2.1GSN今天的网络安全正遭受严峻挑战。病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用,以及各种灾难事故的发生,时刻威胁着网络的业务运转和信息安全。但与此同时,大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时,由防毒软件和防火墙等独立安全产品堆砌起来的措施不但漏洞百出,还会处处被动挨打。能够断言:面对复杂的安全隐患,这种”各自为战”的安全系统已彻底失去效力。

今天,网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转”各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御(自御)、自动修复(自愈)与自动学习(自育)等三大自”YU”功能于一体的GSN全局安全网络解决方案。GSN强调”多兵种协同作战”,将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。在此基础上,GSN不但能够满足现阶段网络安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。GSN,即GlobalSecurityNetwork,中文名称”全局安全网络”。GSN经过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时针对网络环境的变化和新的网络行为进行学习,达到对未知安全事件的防范。GSN方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSN由三个层面组成;后台服务层面:身份认证系统——身份认证系统能够提供严格的用户接入控制,经过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网,提供入网控制功能,同时,认证系统还能够实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定,保证用户入网身份唯一。安全管理平台——安全管理平台是安全防御体系的管理与控制中心,是统一安全管理平台的核心组成部分。经过安全管理平台,能够对系统内的安全设备与系统安全策略进行管理,实现全系统安全策略的统一配置、分发和管理,并能有效的配置和管理全局安全设备,从而实现全局安全设备的集中管理,起到安全网管的作用。经过统一的技术方法,将系统所有的安全日志、安全事件集中收集管理,实现集中的日志分析、审计与报告。同时经过集中的分析审计,发现潜在的攻击征兆和安全发展趋势,确保安全事件、事故得到及时的响应和处理。安全修复系统——安全修复系统的作用是跟踪安全漏洞的变化,能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略,点到面自动强制分发部署补丁程序。网络层面:安全联动设备——安全联动设备是校园网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口,同交换机、路由器、防火墙、IDS等各类网络设备实现安全联动。用户层面:安全客户端——安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息,包括对防病毒软件信息的收集。同时安全客户端能够评估操作系统的版本、补丁程度等信息,而且把这些信息传递到安全管理平台,没有进行适当升级的主机将被隔离到网络修复区域,从而保障网络的安全运行。与传统的解决方案不同,安全客户端经过对用户终端设备信息的搜集,可预先识别和防止用户对网络的恶意行为,排除潜在的已知和未知的安全风险。GSN的优势:(1)提供统一、严格的用户入网身份验证机制GSN提供了统一的身份管理模式,对接入内网的用户进行身份合法性验证没有合法身份的用户被隔离在内网之外,无法登录访问网络。图(2)支持对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口六元素进行灵活绑定(3)灵活的用户访问权限管理①不同部门和组织的用户往往需要约束不同的访问控制权限②财务部门的数据服务器不允许其它部门访问③访客用户不能访问所有内网资源,但允许访问外网及内网的DNS④GSN提供了灵活的访问权限控制功能充分满足用户权限控制的多样化需求(4)GSN端点防护体系,检验终端无漏洞、病毒、木马后方能进入网络(5)与杀毒软件、IDS等联动经过对网络结构、网络安全风险分析,再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。6.2.2需求1、物理上安全需求针对重要信息可能经过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计,如构建屏蔽室。采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行备份;对重要系统进行备份等安全保护。2、访问控制需求防范非法用户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全,如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式,对有攻出击目的的人而言,根本就不是一种障碍。她们能够经过对网络上信息的监听,得到用户名及口令或者经过猜测用户及口令,这都将不是难事,而且能够说只要花费很少的时间。因此,要采取一定的访问控制手段,防范来自非法用户的攻击,严格控制只在合法用户才能访问合法资源。防范合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了她本不该访问的资源。一般来说,每个成员的主机系统中,有一部份信息是能够对外开放,而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息,但她同时经过一些手段越权访问了别人不允许她访问的信息,因此而造成她人的信息泄密。因此,还得加密访问控制的机制,对服务及访问仅限过行严格控制。防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户能够访问资源。那么,入侵者便会在用户下班或关机的情况下,假冒合法用户的IP地址或用户名等资源进行非法访问。因此,必须从访问控制上做到防止假冒而过行的非法访问。3、加密机需求加密传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取,数据也可能因为在链路上被截获、被篡改后传输给对方,造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密,使得在网上传的数据以密文传输,因为数据是密文。因此,即使,在传输过程中被截获,入侵者也读不懂,而且加密机还能经过先进行技术手段,对数据传输过程中的完整性、真实性进行鉴别。能够保证数据的保密性、完整性及可靠性。因此,必须配备加密设备对数据进行传输加密。4、入侵检测系统需求可能有人认为,网络配了防火墙就安全了,就能够高枕无忧了。其实,这是一种错误的认识,网络安全是整体的,动态的,不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙能够对所有的访问进行严格控制(允许、禁止、报警)。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。因此确保网络更加安全必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。5、安全风险评估系统需求网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者一般都是经过一些程来探测网络中系统中存在的一些安全漏洞,然后经过发现的安全漏洞,采取相就技术进行攻击,因此,必须配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填补系统漏洞,对网络设备等存在的不安全配置重新进行安全配置。6、防病毒系统需求针对防病毒危害性极大而且传播极为迅速,必须配备从客户端到网关的整套防病毒软件,实现全网的病毒安全防护。6.2.3安全管理体制健全的人的安全意识能够经过安全常识培训来提高。人的行为的约束只能经过严格的管理体制,并利用法律手段来实现。6.2.4构建CA系统由于网络系统必须采用加密措施。而加密系统一般都经过加密密钥来实现,而密钥的分发及管理的可靠性却存在安全问题,构建CA系统就是在这个基础上提出的。经过信任的第三方来确保通信双方互相交换信息。6.2.5安全目标基于以上的需求分析,我们认为网络系统能够实现以下安全目标:•保护网络系统的可用性•保护网络系统服务的连续性•防范网络资源的非法访问及非授权访问•防范入侵者的恶意攻击与破坏•保护校园信息经过网上传输过程中的机密性、完整性•防范病毒的侵害•实现网络的安全管理。6.2.6网络安全实现策略及产品选型原则网络安全防范是经过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品?在进行网络安全产品选型时,应该要求网络安全产品满足两方面的要求:一是安全产品必须符合国家有关安全管理部门的政策要求;二是安全产品的功能与性能要求。1、满足国家管理部门的政策性方面要求针对相关的安全产品必须查看其是否得到相应的许可证,如:•密码产品满足国家密码管理委员会的要求。•安全产品获得国家公安部颁发的销售许可证。•安全产品获得中国信息安全产品测评认证中心的测评认证。•安全产品获得总参谋部颁发的国防通信网设备器材进网许可证。•符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。2、安全产品的选型原则从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性,而且对安全产品,还必须考查其产品自身的安全性。6.2.7网络安全方案设计原则在进行网络系统安全方案设计、规划时,应遵循以下原则:1、需求、风险、代价平衡分析的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。2、综合性、整体性原则应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节,包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等,在网络安全中的地位和影响作用,也只有从系统整体的角度去看待、分析,才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。3、一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。4、易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。5、适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。6、多重保护原则任何安全措施都不是绝对安全的,都可能被攻破。可是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。7、可评价性原则如何预先评价一个安全设计并验证其网络的安全性,这需要经过国家有关网络信息安全测评认证机构的评估来实现。网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段。安全设备不是指单一的某种安全设备,而是指几种安全设备的综合。网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全。因此,建立网络安全系统不是一劳永逸的事情。针对安全体系的特性,我们能够采用"统一规划、分步实施"的原则。具体而言,我们能够先对网络做一个比较全面的安全体系规划,然后,根据我们网络的实际应用状况,先建立一个基础的安全防护体系,保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加,再在原来基础防护体系之上,建立增强的安全防护体系。对于学校行业网络安全体系的建立,我们建议采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护--检测--响应的基础的安全防护体系,提高整个网络基础的安全性,保证应用系统的安全性。6.2.8网络安全体系结构经过对网络应用的全面了解,按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统能够从以下几个方面分述:物理安全、系统安全、网络安全、应用安全、管理安全。1、物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:1.1环境安全对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》1.2设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份;经过严格管理及提高员工的整体安全意识来实现。1.3媒体安全包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统经过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,一般是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。对终端设备辐射的防范。终端机特别是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,当前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改进工作环境,使人感到在普通机房内一样工作。2、系统安全2.1网络结构安全网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余;路由是否冗余,防止单点失败等。工行网络在设计时,比较好的考虑了这些因素,能够说网络结构是比较合理的、比较安全的。2.2操作系统安全对于操作系统的安全防范能够采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常见却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制;加强口令字的使用(增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令),并及时给系统打补丁、系统内部的相互调用不对外公开。经过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现其中存在的安全漏洞,并有针对性地进行对网络设备重新配置或升级。2.3应用系统安全在应用系统安全上,应用服务器尽量不要开放一些没有经常见的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,能够关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性;并严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。3、网络安全网络安全是整个安全解决方案的关键,从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。3.1隔离与访问控制3.1.1严格的管理制度可制定的制度《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。3.1.2划分虚拟子网(VLAN)内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网(VLAN),在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。经过虚拟子网的划分,能够实较粗略的访问控制。3.1.3配备防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙经过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。而且防火墙能够实现单向或双向控制,对一些高层协议实现较细粒的访问控制。3.2通信保密数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。能够选择以下几种方式:3.2.1链路层加密对于连接各涉密网节点的广域网线路,根据线路种类不同能够采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送,以防止非授权用户读懂、篡改传输的数据。链路加密机由于是在链路级,加密机制是采用点对点的加密、解密。即在有相互访问需求而且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。经过两端加密机的协商配合实现加密、解密过程。3.2.2网络层加密鉴于网络分布较广,网点较多,而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用,同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备(VPN),VPN是网络加密机,是实现端至端的加密,即一个网点只需配备一台VPN加密机。根据具体策略,来保护内部敏感信息和企业秘密的机密性、真实性及完整性。IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它经过利用跨越不安全的公共网络的线路建立IP安全隧道,能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置,能够让网络内的某些主机经过加密隧道,让另一些主机仍以明文方式传输,以达到安全、传输效率的最佳平衡。一般来说,VPN设备能够一对一和一对多地运行,并具有对数据完整性的保证功能,它安装在被保护网络和路由器之间的位置。设备配置见下图。当前全球大部分厂商的网络安全产品都支持IPsec标准。由于VPN设备不依赖于底层的具体传输链路,它一方面能够降低网络安全设备的投资;而另一方面,更重要的是它能够为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对学校行业网络系统这样一种大型的网络,VPN设备能够使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点,应根据企业具体需求,在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。3.3入侵检测利用防火墙并经过严格配置,能够阻止各种不安全访问经过防火墙,从而降低安全风险。可是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测系统就是最好的安全产品,入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成多大影响。3.4扫描系统网络扫描系统能够对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。系统扫描系统能够对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。3.5病毒防护由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力。我们都知道,学校网络系统中使用的操作系统一般均为WINDOWS系统,比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术:3.5.1预防病毒技术预防病毒技术经过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。3.5.2检测病毒技术检测病毒技术是经过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。3.5.3杀毒技术杀毒技术经过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。6.2.9应用安全1内部OA系统中资源共享严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有经过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。2信息存储对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常见的网络服务。对数据库服务器中的数据库必须做安全备份。经过网络备份系统,能够对数据库进行远程备份存储。6.2.10构建CA体系针对信息的安全性、