精品文檔2011年4月13日網絡改造設計方案XXXXXX項目文檔更新記錄版本號更新時間撰寫/修訂審 核修 改 說 明1.02011-04-13XXX初始版本目錄1. 用戶系統現狀11.1 原網絡拓撲結構11.2 原網絡分析12. 系統建設需求22.1 網絡要求22.2 設備要求23. 解決方案33.1 網絡系統改造設計33.2 改造后網絡拓撲結構54. 設備選型64.1 設備清單一覽表64.2 設備產品資料64.2.1 Quidway S5300系列全千兆運營級交換機產品說明64.2.2 天融信入侵防御系統TopIDP產品說明114.3.3 天融信防火墻系統TopGuard-NGFW4000系列產品說明143歡迎下載。精品文檔1. 用戶系統現狀1.1 原網絡拓撲結構1.2 原網絡分析現有網絡拓撲結構相對簡單，直接從政務外網接入核心交換機，無法保障內網安全；核心采用了非網管交換機，對網絡的管理造成不便；接入采用百兆交換機，無法滿足高速發展的網絡時代帶來的巨大信息量的傳輸；三樓只接入了一臺8口交換機，無法滿足20個信息點的接入。2. 系統建設需求2.1 網絡要求為各類應用系統提供方便、快捷的信息通路；具有良好的性能，能夠支持大容量和實時性的各類應用；能夠可靠運行，具有較低的故障率和維護要求。提供網絡安全機制，滿足信息安全的要求，未來升級擴展容易。 整個網絡系統采用千兆以太網1000M交換，網絡協議采用TCP/IP協議，交換機要求采用主流、成熟、信譽和售后服務均佳的產品，核心交換機支持VLAN等功能，能較好解決突發數據量和密集服務請求的實時響應問題，在內部用戶終端進行數據交換時交換引擎不會出現過載現象和數據包碰撞、丟失的現象，還要考慮預防瓶頸出現和補救的相應措施。2.2 設備要求根據網絡功能需求情況，樓層接入設備需要選擇同一型號的設備；網絡設備必須在技術上具有先進性、通用性，必須便于管理、維護，應該滿足現有計算機設備的高速接入，應該具備良好的可擴展性、可升級性。網絡設備在滿足功能與性能的基礎上必須具有良好的性價比。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須要有良好的市場形象與售后技術支持。3. 解決方案3.1 網絡系統改造設計針對原網絡的不足及用戶需求，現對原網絡設計方案進行升級改造，改造后網絡系統采用二層結構：核心部分核心采用了一臺三層可管理交換機(華為5328C-EI-24S)，該交換機具有24個100/1000Base-X,4個10/100/1000Base-T千兆Combo口，解決了網絡管理不便的問題并支持未來子網的擴展，轉發性能96M，端口交換容量128G，板交換容量達到了256G，保證了巨大信息量的可靠傳輸及交換。接入部分整個網絡系統共有110個信息點，四樓使用兩臺華為5352C-SI千兆交換機直接接入核心交換機，該交換機具有48個10/100/1000Base-T端口，滿足用戶終端90個信息點接入需求的同時也保證了各個信息點數據的高速傳輸，三樓將原來的8口交換機改為24口交換機（華為5328C-SI），也保證了剩下20個信息點的接入，解決了原來三樓接入端口不足的問題。由于整個網絡系統結構比較簡單，傳輸距離較短，所有交換機具有1000base-T端口，所以可采用超5類或6類雙絞線連接整個網絡，以節約網絡系統改造成本。安全方面，在政務外網與核心交換機之間接入防火墻（天融信NGFW4000系列的TG-4514）及入侵防御系統（天融信TopIDP2000系列的TI-2230-IDP），該防火墻集成了多種安全引擎，不但有內置的攻擊檢測能力，還可以和IPS產品實現聯動。這不僅提高了安全性，還保證了高性能，是國內安全功能最豐富的防火墻產品。入侵防御系統TI-2230-IDP可分析網絡攻擊的組合行為特征來準確識別各種攻擊，可以智能地識別出多種攻擊隱藏手段及變種攻擊。通過智能化檢測引擎，能夠識別出多種高危網絡行為，并可以將此類行為以告警方式通知管理員，達到防患于未然的目的。同時具有強大的木馬檢測與識別能力，完善的應用攻擊檢測與防護能力，豐富的網絡應用控制能力和及時的應急響應能力，使得內網安全性大大提高。而且，兩者都具有硬件Bypass功能，即使安全設備出現故障，也不影響整個網絡的連通性。改造后網絡結構不僅滿足用戶現有需求，同時對未來網絡結構做好擴展準備。改造后的網絡系統具有如下特性：1.先進性：系統具有高速傳輸的能力。系統傳輸速率達到1000Mb/s, 同時具有較高的帶寬，滿足現在和未來數據信息傳輸的需求； 2.靈活性：系統具有較高的適應變化的能力。當用戶的物理位置發生變化時可以在非常簡便的調整下重新連接； 3.實用性：系統具有低成本、使用方便、簡單、易擴展的特點。4.安全性：在核心機與政務外網間接入防火墻和入侵防御系統，大大提高了整個網絡系統的安全性。 3.2 改造后網絡拓撲結構4. 設備選型4.1 設備清單一覽表樓層設備類型名稱數量設備配置信息四樓交換機華為5328C-EI-24S1端口描述：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口；轉發性能96M，端口交換容量128G，板交換容量256G；華為5352C-SI2端口描述：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP或者410GE SFP插卡，雙電源，可插拔；轉發性能132M，端口交換容量176G，板交換容量256G；IPSTopIDP2000 TI-2230-IDP11U機架式結構；最大配置為26個接口，默認包括2個可插拔的擴展槽和10個10/100/1000BASE-T接口，（作為HA口和管理口）；默認含1年特征庫升級吞吐量2.6G；最大并發連接數60W；IPS性能600M；具有硬件Bypass功能防火墻NGFW4000 TG-4514 11U機架式結構；最大配置為12個接口，包括4個10/100/1000BASE-T接口和1個擴展槽吞吐量1G最大并發連接數160W三樓交換機華為5328C-SI1端口描述:24個10/100/1000Base-T，4個100/1000Base-X 千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,雙電源，可插拔，支持USB口；轉發性能96M，端口交換容量128G，板交換容量256G；4.2 設備產品資料4.2.1 Quidway S5300系列全千兆運營級交換機產品說明產品概述Quidway S5300系列全千兆交換機（以下簡稱S5300），是華為公司為滿足大帶寬接入和以太網多業務匯聚而推出的新一代全千兆高性能以太網交換機，可為客戶提供強大的以太網功能服務。S5300基于新一代高性能硬件和華為公司統一的VRP（Versatile Routing Platform）軟件，具備大容量、高密度千兆端口，可提供萬兆上行，充分滿足客戶對高密度千兆和萬兆上行設備的需求。S5300可滿足運營商園區網匯聚、企業網匯聚、IDC千兆接入以及企業千兆到桌面等多種場合的需求。產品外觀S5328C-EI-24S：24個100/1000Base-X，4個10/100/1000Base-T千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔；S5352C-SI：48個10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔, 支持USB口；S5328C-SI：24個10/100/1000Base-T，4個100/1000 Base-X 千兆Combo口， 上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，雙電源，可插拔，支持USB口；產品特點強大的多業務支持能力 S5300支持增強型靈活QinQ功能，確保靈活的外層VLAN標簽功能的同時不占用ACL資源。S5300能將內層VLAN的CoS值映射到外層VLAN，或者修改外層VLAN的CoS值，可根據業務需要靈活標記QoS等級，滿足多業務承載的要求。 S5300支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等協議。S5300支持線速的跨VLAN組播復制功能，支持捆綁端口的組播負載分擔，支持可控組播，可以充分滿足IPTV和其他組播業務的需求。 S5300支持MCE 功能，實現了不同VPN用戶在同一臺設備的隔離，有效解決用戶數據安全問題，同時降低用戶投資成本。 免維護易部署 S5300采用“一次進站”方案， 支持自動配置、即插即用、USB開局、自動批量遠程升級功能，便于部署升級和業務發放，簡化后續的管理和維護性能。從而大大降低了維護成本。S5300支持SNMP V1/V2/V3， CLI命令行、Web網管、TELNET、HGMP集群管理等多樣化的管理和維護方式，設備管理更加靈活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主機、基于端口的流量統計，支持NQA網絡質量分析，有利于進一步作好網絡規劃和改造。良好的可擴展性 S5300系列交換機支持智能堆疊 iStack功能，完全即插即用，插好堆疊線纜即可自動組建堆疊虛擬框式架構。堆疊成員分為主、備、從三種角色。新增備交換機之后減少了主交換機故障引起的業務中斷時間。支持智能升級，排除用戶給堆疊擴容時為新加入交換機更換軟件版本的煩惱。堆疊技術允許交換機利用互聯電纜實現多臺設備的擴展，單一IP管理，大大降低系統擴展以及運維的成本。與傳統組網技術相比，在擴展性、可靠性、整體架構等性能方面均具有強大的優勢。 簡單的可管理特性 S5300支持GVRP實現動態分發、注冊和傳播VLAN屬性，從而達到減少網絡管理員的手工配置量及保證VLAN配置正確的目的。GVRP是一種VLAN的動態配置技術，在復雜的組網環境中應用GVRP，能夠簡化VLAN配置管理，減少因為配置不一致而導致的網絡互通問題。 S5300支持MUX VLAN功能。MUX VLAN提供了一種在VLAN的端口間進行二層流量隔離的機制。采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。MUX VLAN通常用于企業內部網，客戶端口可以同服務器端口通訊，但客戶端口之間不能通訊。用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。產品規格4.2.2 天融信入侵防御系統TopIDP產品說明產品概述天融信公司的“網絡衛士入侵防御系統 TopIDP”是基于新一代并行處理技術，它通過設置檢測與阻斷策略對流經TopIDP的網絡流量進行分析過濾，并對異常及可疑流量進行積極阻斷，同時向管理員通報攻擊信息，從而提供對網絡系統內部IT資源的安全保護。TopIDP能夠阻斷各種非法攻擊行為，比如利用薄弱點進行的直接攻擊和增加網絡流量負荷造成網絡環境惡化的DoS攻擊等，安全地保護內部IT資源。TopIDP采用多核處理器硬件平臺，將并行處理技術融入到天融信自主研發的安全操作系統TOS中，保證了TopIDP產品可以做到更高性能地網絡入侵的防護。公司內攻防實驗室會跟蹤分析最新的漏洞和導致的攻擊行為，及時更新入侵防御設備的規則庫，保證該設備的及時有效的檢測能力。TopIDP是集訪問控制、透明代理、數據包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析為一體的網絡安全設備，為用戶提供完整的立體式網絡安全防護。與現在市場上的入侵防御系統相比，TopIDP系列入侵防御系統具有更高的性能、更細的安全控制粒度、更完善的內容攻擊防御、更大的功能擴展空間、更豐富的服務和協議支持，代表了最新的網絡安全設備和解決方案發展方向，堪稱網絡入侵檢測和防御系統的典范。 產品功能詳細功能如下：功能類別功能項功能描述工作模式網絡接入透明、路由、混合、監聽、直連 入侵防御引擎支持路由、交換、混合、直連、監聽五種模式支持基于源、目的、規則集、動作的入侵檢測規則支持時間對象支持策略改變引擎自動重起DDOS防御非法報文攻擊：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；統計型報文攻擊：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；支持主機連接數和半連接數的限制。動作支持阻斷drop，檢測到策略中設置的數據后，丟棄報文；支持報警Alert， 檢測到策略中設置的數據后，進行報警；支持TCP Reset，向攻擊者發TCP Reset包；支持日志Log，檢測到攻擊事件后記錄日志；支持記錄報文，檢測到攻擊事件后將原始報文完整記錄下來；支持防火墻聯動，與防火墻聯動，僅限IDS模式運行；支持自定義組合，可以將以上操作的組合做為一個新的動作。報表Webui支持實時顯示按發生次數累計的攻擊事件排名；支持Top10攻擊者、Top10被攻擊者、Top10事件統計報表；支持按時間統計的IPS流量報表；支持選定時間、網絡攻擊分類的統計報表；支持日報、周報、月報、季報等統計報表；支持報表輸出，輸出格式可以為PDF、DOC、HTML格式。規則庫維護支持自定義規則庫導入、導出；支持系統規則庫手動、自動升級。系統規則預置系統規則集包含認證類、木馬類、拒絕服務類、即時通訊類、p2p類、溢出攻擊類、掃描類、系統漏洞類、webcgi類、蠕蟲類、游戲類、HTTP攻擊類、RPC攻擊類、高風險類、中風險類、低風險類和所有事件等。自定義規則支持自定義規則；支持自定義規則集。網絡適應性路由支持靜態路由；支持基于源/目的地址、接口、Metric的策略路由；支持Vlan路由，能夠在不同的VLAN虛接口間實現路由功能。VLAN支持802.1Q，能進行封裝和解封。在同一個Vlan內能進行二層交換。ARP支持ARP代理、ARP學習。可設置靜態ARP。高可用性雙機熱備*支持雙機熱備（Active-Active模式）。（注：高端IDP產品只支持AS方式）支持連接同步Bypass提供專業的硬件ByPass功能，保證網絡通暢負載均衡支持輪詢、加權輪叫、最少連接、加權最少鏈接等多種服務器負載均衡算法。備份系統支持備份系統，主系統破壞后可以通過備份系統啟動運行。系統管理管理方式支持WEB圖形配置、命令行配置；支持本地配置、遠程配置；支持基于SSH、SSL的安全配置。SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；與當前通用的網絡管理平臺兼容，如HP Openview 等；豐富的私有MIB系統信息。監控和報警支持網絡接口、CPU利用率、內存使用率等；內置了“管理”、“系統”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發報警的事件類；支持郵件、SNMP、控制臺等多種組合報警方式。日志支持Welf、Syslog等多種日志格式的輸出；支持通過第三方軟件來查看日志；支持日志分級；支持對接收到的日志進行緩沖存儲。其它系統升級，支持遠程維護和系統升級；系統升級，支持TFTP、FTP、HTTP方式升級；配置恢復，可進行配置文件的備份、下載、刪除、恢復和上載；時鐘調整，支持網絡時鐘協議NTP，可自動根據NTP服務器時鐘調整本機時間。4.3.3 天融信防火墻系統TopGuard-NGFW4000系列產品說明產品概述十幾年來，天融信專注于信息安全，第一家開發出自主防火墻系統，第一家提出TOPSEC聯動技術體系。網絡衛士防火墻歷經了包過濾、應用代理、核檢測等技術階段，目前已進入以自主安全操作系統TOS（Topsec Operating System）為基礎，以完全內容檢測為標志的技術階段，集成了防火墻、VPN、帶寬管理、防病毒、入侵防御、內容過濾等多種安全功能。網絡衛士防火墻系列在政府、銀行、電力、軍工、電信、稅務、教育、能源、交通等行業中廣泛應用，全國20,000多網絡和業務在其保護下平穩運行。天融信基于多年的技術積累和用戶信賴，連續多年蟬聯國內第一防火墻品牌。網絡衛士防火系列市場占有量巨大，它保護的網絡遍布在祖國大江南北，并已走出國門在一些全球性的業務網絡上成功實施，為廣大用戶的信息安全建設立下了汗馬功勞。NGFW4000 (TG-4514)產品功能類別功能詳細描述工作模式 支持透明、路由、混合、直連（虛擬線）模式網絡安全性內容過濾 采用完全內容檢測（Complete Content Inspection）技術。 支持基于流、數據包、透明代理的過濾方式。 支持對HTTP、SMTP、POP3、IMAP、FTP等協議的深度內容過濾。 支持URL過濾。 支持DNS過濾。 支持web重定向。 支持HTTP URL長度限制。 支持偽裝http連接識別。 支持DNS過濾。 支持RSH命令過濾。 支持telnet命令過濾。 支持對移動代碼如Java applet、Active-X、VBScript、Java script的過濾。 支持對郵件的收發郵件地址、文件名、文件類型過濾。 支持對郵件主題、正文、收發件人、附件名、附件內容等關鍵字匹配過濾。 支持反垃圾郵件功能（用戶配置黑白名單） 支持MSN，QQ，Skype等Instant Messenger通信，并可以對于這些應用進行登陸限制和帳號過濾。 可限制BT，eMule，eDonkey，迅雷等P2P應用。 可屏蔽受保護主機/服務器系統信息，如替換服務器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。網絡安全性訪問控制 基于狀態檢測的動態包過濾。 基于源/目的IP地址、MAC地址、端口和協議、時間、用戶的訪問控制。 支持基于用戶的PPTP的訪問控制。 支持報文合法性檢查。 動態端口支持協議：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可實現IP/MAC綁定。 會話收集整理，由收集數據生成訪問控制策略。 訪問控制策略分組管理。 地址對象源目的發起連接數控制，支持全網段地址。 支持大數量級的策略匹配加速算法。 支持對于策略重復和策略沖突的檢查。安全管理用戶認證 支持使用一次性口令認證（OTP）、本地認證、雙因子認證（SecurID）以及數字證書（CA）等常用的安全認證方式。 支持使用第三方認證，如RADIUS、TACACS/TACACS+、LDAP、域認證等安全認證方式。 支持Session認證、HTTP會話認證。 支持認證保活功能。 可將認證用戶信息加密存放在本地數據庫。日志 支持Welf、Syslog日志格式的輸出。 支持日志分級和按類型輸出。 支持通過第三方軟件來查看日志。 可對日志進行加密傳輸。 支持安全審計系統（TA-L），獲得更詳盡的日志分析和審計功能。 TA-L除接受防火墻日志外還能接受交換機、路由器、操作系統、應用系統和其他安全產品的日志進行聯合分析。監控 支持網絡接口、CPU利用率、內存使用率、操作系統狀況、網絡狀況、硬件系統、進程、進程內存、加密卡狀況的監測。 可根據配置文件進行錯誤恢復。報警 內置了“管理”、“系統”、“安全”、“策略”、“通信”、“硬件”、“容錯”、“測試”等多種觸發報警的事件類。 支持郵件、NETBIOS、聲音、SNMP、控制臺等多種組合報警方式。流量統計 支持基于IP對session數