PAGEPAGE10目錄TOC\o”1—3”\h\z\uHYPERLINK\l”_Toc309056081”一、技術架構 111.2標準的發展和采用 12HYPERLINK\l”_Toc309056084"1。3術語規范化 13_Toc309056086"1。5監管 14_Toc309056088”2.1數據集中式管理 14HYPERLINK\l”_Toc309056089”2.2采用B\S架構 14HYPERLINK\l”_Toc309056090”三、項目實施計劃 15_Toc309056093"3.3實施進度表 16HYPERLINK\l”_Toc309056094"四、網絡安全 164.1網絡可靠性和冗余 16HYPERLINK\l”_Toc309056096"4.2網絡安全技術部署 17HYPERLINK\l”_Toc309056097"4。2。1基于VLAN的端口隔離 174.2。4防IP偽裝 18應用軟件。這種模式統一了客戶端,將系統功能實現的核心部分集中到服務器上，簡化了系統的開發、維護和使用.客戶機上只要安裝一個瀏覽器（Browser）,如_blank"NetscapeNavigator或_blank”InternetExplorer，服務器安裝HYPERLINK”http：///view/15020。htm"\t”_blank”Oracle、Sybase、HYPERLINK”http：///view/11003。htm”Informix或SQLServer等數據庫。瀏覽器通過\t”_blank”WebServer同數據庫進行數據交互.B\S架構大大簡化了客戶端的安裝操作。三、項目實施計劃3。1項目實施流程項目實施流程圖如下:3.2項目實施主計劃項目實施主計劃詳細的描述了項目的進程,并明確了資源配置和項目各階段應該完成的內容。項目共有五個里程碑：項目組成立，系統安裝，系統上線，用戶培訓，項目驗收。3。3實施進度表實施計劃進度簡表項目項目準備需求調研項目啟動會產品定制開發用戶培訓試運行及考試項目驗收項目準備3天需求調研5天項目啟動會1天產品定制開發120天用戶培訓及考試10天試運行30天項目驗收3天備注：以上時間可根據具體實際情況再作調整！四、網絡安全4.1網絡可靠性和冗余本系統將從以下幾個方面考慮高可用設計：網絡設備考慮交換引擎、接口、風扇、電源等冗余配置。服務器接入層交換機成對部署，以支持服務器的多網卡雙歸屬接入方式在服務器接入交換機與匯聚交換機之間部署全交叉的物理鏈路,以實現鏈路的可靠性.當服務器采用二層接入時，應將主匯聚交換機做為第一級服務器的默認網關以及STP的根節點，并將備份匯聚交換機設置為備用網關和備用STP根.將VRRP＋MSTP或交換機虛擬化技術做為保證高可用型的實現技術。4。2網絡安全技術部署4.2。1基于VLAN的端口隔離交換機可以由硬件實現相同VLAN中的兩個端口互相隔離。隔離后這兩個端口在本設備內不能實現二、三層互通。當相同VLAN中的服務器之間完全沒有互訪要求時，可以設置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區域內的服務器之間的安全。4.2。2STPRoot/BPDUGuard基于Root/BPDUGuard（Root/BridgeProtocolDataUnitGuard）方式的二層連接保護保證STP/RSTP(SpanningTreeProtocol/RapidSpanningTreeProtocol）穩定，防止攻擊,保障可靠的二層連接。基于BPDUGuard對于接入層設備，接入端口一般直接與用戶終端(如PC機）或文件服務器相連,此時接入端口被設置為邊緣端口以實現這些端口的快速遷移；當這些端口接受到配置消息（BPDU報文）時系統會自動將這些端口設置為非邊緣端口，重新計算生成樹，引起網絡拓撲的震蕩。這些端口正常情況下應該不會收到生成樹協議的配置消息的。如果有人偽造配置消息惡意攻擊交換機,就會引起網絡震蕩。BPDU保護功能可以防止這種網絡攻擊。交換機上啟動了BPDU保護功能以后,如果邊緣端口收到了配置消息,系統就將這些端口shutdown，同時通知網管。被shutdown的端口只能由網絡管理人員恢復。推薦用戶在配置了邊緣端口的交換機上配置BPDU保護功能。基于ROOTGuard由于維護人員的錯誤配置或網絡中的惡意攻擊,網絡中的合法根交換機有可能會收到優先級更高的配置消息，這樣當前根交換機會失去根交換機的地位，引起網絡拓撲結構的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上,導致網絡擁塞。Root保護功能可以防止這種情況的發生。對于設置了Root保護功能的端口，端口角色只能保持為指定端口。一旦這種端口上收到了優先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態將被設置為偵聽狀態，不再轉發報文（相當于將此端口相連的鏈路斷開）。當在足夠長的時間內沒有收到更優的配置消息時,端口會恢復原來的正常狀態。4.2.3端口安全端口安全（PortSecurity）的主要功能就是通過定義各種安全模式，讓設備學習到合法的源MAC地址，以達到相應的網絡管理效果。對于不能通過安全模式學習到源MAC地址的報文或802.1x認證失敗的設備，當發現非法報文后,系統將觸發相應特性，并按照預先指定的方式自動進行處理,減少了用戶的維護工作量，極大地提高了系統的安全性和可管理性。端口安全的特性包括：NTK：NTK（NeedToKnow）特性通過檢測從端口發出的數據幀的目的MAC地址，保證數據幀只能被發送到已經通過認證的設備上，從而防止非法設備竊聽網絡數據。IntrusionProtection:該特性通過檢測端口接收到的數據幀的源MAC地址或802.1x認證的用戶名、密碼，發現非法報文或非法事件，并采取相應的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此MAC地址的報文，保證了端口的安全性.DeviceTracking：該特性是指當端口有特定的數據包（由非法入侵，用戶不正常上下線等原因引起）傳送時,設備將會發送Trap信息，便于網絡管理員對這些特殊的行為進行監控。4。2.4防IP偽裝病毒和非法用戶很多情況會偽裝IP來實現攻擊.偽裝IP有三個用處：本身就是攻擊的直接功能體.比如smurf攻擊.麻痹網絡中的安全設施。比如繞過利用源IP做的接入控制.隱藏攻擊源設備防止IP偽裝的關鍵在于如何判定設備接收到的報文的源IP是經過偽裝的。這種判定的方式有三種。分別在內網和內外網的邊界使用.在Internet出口處過濾RFC3330和RFC1918所描述的不可能在內外網之間互訪的IP地址。利用IP和MAC的綁定關系網關防御，利用DHCPrelay特性，網關可以形成本網段下主機的IP、MAC映射表。當網關收到一個ARP報文時,會先在映射表中查找是否匹配現有的映射關系。如果找到則正常學習，否則不學習該ARP.這樣偽裝IP的設備沒有辦法進行正常的跨網段通信。?利用IP和MAC的綁定關系網關防御利用DHCPrelay特性，網關可以形成本網段下主機的IP、MAC映射表。當網關收到一個ARP報文時,會先在映射表中查找是否匹配現有的映射關系。如果找到則正常學習，否則不學習該ARP.這樣偽裝IP的設備沒有辦法進行正常的跨網段通信.接入設備防御,利用DHCPSNOOPING特性,接入設備通過監控其端口接收到的DHCPrequest、ACK、release報文,也可以形成一張端口下IP、MAC的映射表。設備可以根據IP、MAC、端口的對應關系,下發ACL規則限制從該端口通過的報文源IP必須為其從DHCP服務器獲取的IP地址。UPRF會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現機制如下：設備接收到報文后，UPRF會比較該報文的源地址在路由表中對應的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文