通州财政设计方案.doc

通州财政局WLAN网络 覆盖设计方案 联通通州分公司 2023年9月 目录 第一章. 概述 1 1. 概述 1 第二章. 项目需求分析 3 1. 总体规定 3 2. 网络覆盖的范围 3 3. 技术规定 3 第三章. 整体设计 5 1. 设计原则 5 2. 整体区域设计 5 第四章. 方案优势 11 第五章. 产品介绍 13 5.1智能防火墙AF1210 13 5.2上网行为管理AC 15 5.3 WX5500系列多业务无线控制器 17 5.4 S5500-EI 系列以太网互换机 18 5.5 WA2610无线AP 19 第一章. 概述 1. 概述 北京通州财政局是贯彻贯彻国家和本市关于财政、财务、会计管理方面的法律、法规、规章和政策；编制并组织实行本区中长期财政计划；参与拟订本区重大经济决策和措施、办法，研究提出运用财税政策对经济运营实行调控和综合平衡本区财力的建议；执行市与区县、国家与公司的分派政策；拟订完善鼓励公益事业发展的财税相关措施、办法的政府机构，财政局办公大楼重要有办公楼主楼9层，备用楼层4层，包含办公区域、食堂、学习会议室、健身房、地下车库。 无线网络是财政单位的一项基础设施，无线网络是有线网络的有效补充和扩展，采用高速以太技术和802.11a/b/g/n无线网络技术实现财政办公区域网络的全面覆盖，即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化，逐步实现办公网络信息化、现代化的目的。 建设目的 ⑴覆盖办公楼所有空间，涉及办公区域、食堂、学习会议室、健身房、地下车库等等，为办公和会议、健身生活提供切实可用的无线网络环境； ⑵同已有有线网络骨干无缝结合，成为原有办公网的有力补充，可以通畅、安全地访问财政内网，外部网络； ⑶运用各种安全技术，保证无线网及办公网络的安全； 第二章. 项目需求分析 1. 总体规定 目前办公大楼存在固定网络，为了更高效的办公，实现现代化，信息化，需要建立一张无线网络，建立无线网络就需要升级带宽，尚有本来网络的一些小问题需要紧急解决，就是在办公网中，员工私自链接小路由器、小互换机，不仅影响网络的稳定，并且还不安全。由于建造无线网络，需要加大带宽，随之相应本来的带有路由功能的光纤猫就不能满足需求，因此我们需要建造无线网络，使用技术手段解决光纤猫性能和办公网出现的问题。 对于员工上网办公等需要相对安全的网络环境，我们需要审计员工上网行为，上网的记录，发现问题立刻解决，这也是国家对相关部门硬性规定。 2. 网络覆盖的范围 本次建设覆盖范围涉及：地下停车场、办公楼、食堂、备办公楼的员工会议室，健身房等位置。 3. 技术规定 1. 运用技术手段保证无线网络的稳定、安全、有效的运营。 2. 运用技术手段将本来的光纤带宽在防火墙上做分流，一部分 给有线网络，一部分给无线网络使用。 3. 使用硬件应用防火墙保证内网，网络出口数据的转发，相对安全内部网络环境。 4. 使用上网行为管理管理内部网络的迅雷下载、QQ等不应当出现的流量，涉及私接的小路由，小互换的行为导致网络不稳定都可做到有效控制。 5. 对网络设备规定可以远程管理，方便运维人员的管理和排障，在网络出现问题时，有效解决网络故障，恢复网络使用。 第三章. 整体设计 1. 设计原则 网络设计应当遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充足运用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证原则。 2. 整体区域设计 本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构，各区域的设备和重要功能如下： 2.1. 核心互联区 增长性能强大H3C 5500互换机为核心互换机，重要负责与其他各个区域的互联和数据的三层转发，为整个网络提供高速的数据互换，同时保存原有网络架构不变。 2.2. 服务器区 增长防火墙，防止外部对网络袭击，防火墙把整个网络划分为三个区域，一部份为外部网络不可信赖区域，一部分为内部网络可信赖区域，另一部份为DMZ区域，保证服务器的安全稳定运营。 2.3. 内部网络 对于本来单位内部网络不安全，网络出口设备性能不佳，芯片解决速度慢，我们采用深信服的防火墙来做安全设备。如今网络在改变网络已经进一步平常生活 1、大量的新应用建立在HTTP/HTTPS标准协议之上 2、许多威胁依附在应用之中传播肆虐 3、根据报告：75%的袭击来自应用层 4、袭击的多样化、黑客平民化 传统的防火墙基于包头信息不能分辨应用及内容也不能区分用户，更是不能分析记录用户的行为。因此我们采用深信服新一代防火墙设备，它可以做到基于用户和应用做安全控制，规定对用户进行辨认和相应用进行辨认。NGAF具有全面的用户认证系统和海量的应用辨认特性库。对于单位的需求完全满足。 2.4. 对于单位员工行为的设计 目前单位网络中，员工私自接无线路由，互换等行为一方面影响网络稳定的运营，另一方面单位不允许使用这些小路由，屡劝不该，加之员工互联网风险意识不强，这样做对于内部网络及其不安全，不怀好意的人可以通过这些小路由，互换链接到网络内部，袭击网络，窃取信息，然而就是这些小路由小互换安全做的不够好，无法有效的防御。网络的发展与普及正在改变人们的生产生活方式，互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型。 互联网是一把”双刃剑”，缺少管理的互联网已经带来诸多问题： 1、带宽滥用，上网速度慢（P2P流量超过一半，访问网页，ERP等无法顺利进行，带宽无法有效的分派和运用） 2、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥） 3、机密信息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提供了通道，泄密后无据可查，责任难追究) 4、违法网络行为为公司带来法律风险（肆意浏览非法、反动网站，若无具体日记记录，无法举证追踪） 5、安全威胁频发、上网环境恶化（互联网威胁越来越多；隐蔽和病毒感染技术越来越先进） 因此，我们采用业内比较权威的先进的深信服厂家的上网行为管理设备杜绝这种情况产生。对于上网行为管理产品，它可以做到一下几个方面： 1、应用授权其中涉及：网站访问、言论发布、文献传输、邮收发、IM/P2P等应用、控制与提醒； 2、带宽管理其中涉及：多线路流控、用户/组流控、应用流量、 文献流控； 3、行为记录其中涉及：网站访问、外发言论、SSL加密应用、邮件、文献收发、IM聊天等行为、免审计Key 4、报表分析其中涉及：独立数据中心、记录/对比/趋势、风险智能报表、数据挖掘与分析、内容快速检索、日记权限Key 5、安全防护其中涉及：终端安全检查、网络准入控制、安全桌面、过滤脚本、插件、危险流量封堵、查杀木马、病毒、无线热点发现；所以上网行为管理设备完全满足我们的需求，并且对于政府部门这类设备是国家规定必须使用的设备。 对于原有网络架构不变，增长无线网络覆盖，对用户的上网行为进行审计，可以做到针对每个用户可以做到控制，完全严禁员工私自接入小路由，小互换，记录员工上网记录，以及发送内容等。 基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对办公网络进行无缝覆盖的同时,又可以实现对无线网络的灵活管理配置,提高网络维护效率。 由于本次项目所需室内AP数量较多，所以在本次无线网络解决方案采用高端无线控制器H3C EWP-WX3024E-POEP放在网络核心，实现对于无线网络中所有的室内AP的统一管理。H3C EWP-WX3024E-POEP高端无线控制器最大可管理128个AP，完全可以管理本次项目所需的室内AP；室内型AP采用WA2620-E双频AP，WA2620-E支持六个射频模块，可以同时工作在2.4GHz和5GHz，在设备数量不变的情况下，把网络的介入容量提高几倍，以满足WLAN用户快速增长的需求； PoE互换机采用LS5120-28P PoE千兆互换机，H3C S5120系列PoE互换机最大提供AC输入： 523W DC输入： 832W供电功率，可以满足24口同时接AP的供电需求； 管理方面，H3C可以部署iMC智能管理中心，通过在iMC智能管理中心上增长WSM无线业务管理组件的方式实现对无线控制器、室内AP、室外AP设备的统一管理。 简易逻辑组网图如下图所示： 2.5. 无线覆盖汇总 覆盖目的 描述 数量 停车场 四个角落各1个，中间2个 6 一层办公楼 后厨3个，食堂大厅5个，办公楼走廊4个 12 二层办公楼 备楼会议室5个，走廊4个，主楼走廊4个 13 三层办公楼 健身房2个，走廊7个，302会议室4个 11 四层办公楼 办公楼主楼走廊4个 4 五层办公楼 办公楼主楼走廊5个 5 六层办公楼 办公楼主楼走廊5个 5 七层办公楼 办公楼主楼走廊4个 4 八层办公楼 办公楼主楼走廊4个 4 九层办公楼 办公楼主楼走廊4个 4 具体点位图，请参照网络信息图纸。 第四章. 方案优势 4.1全面完整 无线有线统一管控：除了传统的封堵、流控、审计等功能外，深信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网碰到的新问题、新风险，提供了统一全面的管理功能：员工、来宾的统一接入管理，BYOD的权限控制、移动APP/云应用管控和审计。从而简化了IT运维操作，减少了管理难度。 4.2终端辨认与流量控制 通过无线控制器自动辨认终端类型，根据终端类型设立相应的流量控制策略。实现了针对终端精细的流量控制。例如严禁手机完微博、炒股、斗地主等等，对于应用的杂乱无章，难以管控，本方案中无线控制器通过内置全国最大的应用辨认库和URL库，自动辨认无线流量类型，并根据终端类型设立相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障，防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P下载，视频浏览进行带宽限制，防止此类应用对于带宽的过度抢占，从而保障了政府正常的办公网络 4.3智能联动： 互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能，将上网终端和用户身份信息进行同步关联，让用户只需要认证一次就可以让AC同步辨认身份信息，便于后续的报表分析、威胁定位、合规审计等。从而，也极大的减少IT管理员配置、运维工作量。 4.4更便捷的安全管理 二维码认证 通过二维码认证，访客从接入无线到通过审核、时间就在十秒之内完毕，解决了便捷认证、防蹭网、责任溯源三大访客认证难点。 802.1X自动配置 802.1X能有效保证北京市通州区地税局单位网络的安全性,但802.1X复杂的配置往往令802.1X认证实行碰到巨大阻力。对此，深信服方案为北京市通州区地税局单位提供了802.1X自动配置工具，让各个部门的人可以轻松使用802.1X认证。大大减少了802.1X认证的推广实行难度 帐号、MAC自动绑定 为了实现针对北京市通州区地税局单位领导等人员帐号需要重点保障的情况，深信服针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。并且一个账号最多绑定5个MAC，实现了安全性与灵活性的兼顾。 第五章. 产品介绍 5.1智能防火墙AF1210 AF 1210 产品是一款基于应用层设计和开发的新一代应用防火墙，与传统安全设备相比它可以针对丰富的应用提供更完整的、可视化的内容安全保护方案。 AF解决了传统安全设备在应用可视化、应用管控、应用防护、未知威胁解决方面的巨大局限性，同时启动所有功能后性能不会大幅下降。 产品特点： 更完整的安全防护:单次解析引擎: 传统的 UTM产品通常为多设备的叠加，未实现真正的功能集成 , 一个数据包通过各个模块的串行解决，速度急剧下降。为了解决统一防护后设备性能急剧下降的难题，深信服科技采用了独有的 “单次解析引擎 ”技术，多种业务并发解决，将所有内容扫描功能融合在一个模块完毕，这样所有数据流只会有一次扫描，即使在多功能同时启动、威胁库不断增长的情况下，也不会导致性能的衰减和网络时延的增长。其中应用安全防护功能模块可以帮助用户抵御漏洞运用、病毒蠕虫、 Web入侵（ SQL注入等）、恶意网站、木马后门等多种应用威胁。 从而，AF避免了安全设备串糖葫芦式的部署模式，可认为用户提供更高性价比、功能更完整、可靠性更好、性能更高的防护方案。可视化的业务安全：精确制定应用访问策略。 AF独创的应用可视化引擎： AF独创的应用可视化引擎，可以根据应用的行为和特性实现相应用的辨认和控制，而不仅仅依赖于端口或协议，摆脱了过去只能通过IP地址来控制的尴尬,即使加密过的数据流也能应付自如。目前，深信服AF 1210的应用可视化引擎不仅可以辨认600多种的应用及其应用动作，还可以与多种认证系统（AD、LDAP、Radius等）、应用系统（POP3、SMTP等）无缝对接，自动辨认出网络当中IP地址相应的用户信息，并建立组织的用户分组结构；既满足了普通互联网边界行为管控的规定，同时还满足了在内网数据中心和广域网边界的部署规定，可以辨认和控制丰富的内网应用。 因此，通过应用可视化引擎制定的L3-L7一体化应用控制策略, 可认为用户提供更加精细和直观化控制界面，在一个界面下完毕多套设备的运维工作，提高工作效率 内容的安全辨认：灰度未知威胁感知技术： 为了解决未知威胁的智能辨认和解决，深信服 NGAF采用了“威胁关联分析引擎”，不再是单一的去检查一种威胁，而是将病毒、漏洞、木马、恶意网站、入侵等技术手段视为一个袭击行为的多种袭击动作来进行统一的分析和辨认，由于可以最大限度的提高检测精度和辨认出未知威胁。因此， NGAF规避了传统安全设备对未知袭击的防范能力较弱的缺陷，可以发现未知威胁，减少误报率，提高响应速度。 5.2上网行为管理AC 上网行为管理是大中型公司的网络行为管理设备，可以帮助公司用户更好的管控网络行为和网络资源，最大化运用有限的网络带宽并保障网络安全。AC系列产品是目前网络行为辨认率最高、性能最强的专业上网行为管理设备。拥有着领先的网络行为辨认能力，除了辨认普通的明文数据外，AC还可辨认加密的流量和应用，并通过基于记录学的网络行为智能检测技术（NBID），对用户最新面临的应用进行管理，进而提高用户的工作效率，避免机密信息的泄漏。由于采用了高性能的硬件平台，以及不受硬盘空间限制、可独立部署的数据中心，深信服NC的性能领先于其他同类产品，更好的满足了大规模网络的苛刻规定。1300万条URL过滤，人工智能网页分析，1000种网络应用库，应用访问控制，报表和检索，流量分析，带宽管理，防DOS袭击，防ARP欺骗。  产品特点： 防止带宽资源滥用  　　AC系列上网行为管理产品通过基于应用类型、网站类别、文献类型、用户/用户组、时间段等的细致带宽分派策略限制P2P、在线视频、大文献下载等不良应用所占用的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提高上网速度和网络办公应用的使用效率。 　　防止无关网络行为影响工作效率  　　AC系列上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同规定进行授权的灵活调整，涉及基于不同用户身份差异化授权、智能提醒等。 　　记录上网轨迹满足法规规定  　　AC系列上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关规定、规避也许的法规风险。 管控外发信息，减少泄密风险  　　AC系列上网行为管理产品充足考虑网络使用中的积极泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，减少网络风险。 　　掌握组织动态、优化员工管理  　　AC系列上网行为管理产品通过风险智能报表来自动发现存在离职风险或有工作效率问题的员工，并通过关键字报表和热贴报表来反映员工思想动态。风险智能报表可以自动提醒管理者关注离职倾向、泄密风险、工作效率减少等员工管理风险，而关键字报表和热贴排行等报表将有助于组织进一步了解员工的思想动态，并以此为基础实行组织文化建设、制度改善等针对性措施，从而提高员工管理水平。 　　防止病毒木马等网络风险  　　通过部署深信服AC系列上网行为管理产品，运用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，保证组织安全上网。 5.3 WX5500系列多业务无线控制器 WX5500系列无线控制器具有大容量、高可靠、业务类型丰富等特点，集精细的用户控制管理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵活的QoS控制、IPv4&IPv6双栈等多功能于一体，提供强大的有线、无线一体化接入能力。 产品特点： 支持智能AP负载分担 802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅由于某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。 智能负载分担方法可以实时地分析无线客户端的位置，动态地拟定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，并且支持按照用户流量负载的分担。 支持7层移动安全检测/防御(wIDS/wIPS) WX5500系列无线控制器支持的移动安全防御模式有：黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层袭击检测与反制(例如：DoS袭击，Flood袭击、中间人袭击)等。配合无线应用控制台内置的海量智能专家知识库，可以获得灵活的无线安全策略判断依据，对于明确的非法袭击源(AP或终端等)，实现可视的物理位置跟踪监控和互换机物理端口移除。 5.4 S5500-EI 系列以太网互换机 S5500增强型IPv6强三层万兆以太网互换机产品，具有业界盒式互换机最先进的硬件解决能力和最丰富的业务特性。支持最多4个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户可以从容应对即将带来的IPv6时代；除此以外，其杰出的安全性，可靠性和多业务支持能力使其成为大型公司网络和园区网的汇聚，中小公司网核心、以及城域网边沿设备的第一选择。 产品特点： 弹性扩展 可以按照用户需求实现弹性扩展，保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”，不影响其他设备的正常运营。 高可靠 IRF的高可靠性体现在链路，设备和协议三个方面。成员设备之间物理端口支持聚合功能，IRF系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了链路的可靠性；IRF系统由多台成员设备组成，一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的1：N备份；IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备，实现1：N的协议可靠性。 高性能 对于高端互换机来说，性能和端口密度的提高会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此，IRF技术可以容易的将设备的互换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。 5.5 WA2610无线AP Wa2610是新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相称于传统802.11a/b/g网络6倍以上的无线接入速率，可以覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。 新一代基于终端感知型硬件智能天线覆盖技术的超百兆高速无线接入设备(以下简称AP)，可提供相称于传统802.11a/b/g网络6倍以上的无线接入速率，可以覆盖更大的范围。该系列无线产品上行链路采用千兆以太网接口，突破了百兆速率的限制，使无线多媒体应用成为现实。 产品特点： 提供本地转发功能 当WA2610AP (Fit模式)通过广域网方式转发时，无线接入设备部署在分支机构，而无线控制器部署在总部，所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。WA2610 系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不通过无线控制器，而是在本地进行转发，大大节约了有线带宽。 提供EAD无线接入 终端准入控制(EAD，End user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，对接入网络的用户终端强制实行公司安全策略，通过与安全策略服务器的联动，可以对感染病毒或存在系统漏洞等不合格的无线客户端进行下线、隔离、提醒或监控等多种方式的解决，只有无线客户端符合相应的安全策略之后才允许正常访问网络，从而提高了无线网络的整体安全性。 支持远程探针分析 WA2610 AP支持作为远程探针分析的Sensor设备，可以对覆盖区内的Wi-Fi报文进行侦听捕获并实时镜像到本地分析设备，供网络管理员进行故障排查、优化分析。远程探针分析功能既可以针对工作信道进行无收敛镜像，也可以对所有信道轮询采样，灵活满足无线网络监控运维规定。 内置射频优化引擎(ROE) WA2610系列AP内置射频优化引擎(RF Optimizing Engine)，通过基于特性和协议的射频优化，有效提高无线部署中高密度接入、流媒体传输等场景中的应用加速能力和质量保障效果。其中包含：多用户公平调度、混合接入公平、过滤干扰、速率最优、频谱导航、组播增强(IPv4/IPv6)、逐包功率控制和智能带宽保障等。 支持智能负载均衡 WA2610系列AP支持按接入用户数量和流量的复杂均衡方式，当无线控制器发现无线接入设备的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周边是否尚有负载较轻的无线接入设备可供用户接入，假如有则会拒绝用户的关联请求，用户会转而接入其他负载较轻的无线接入设备，但假如无线用户不在重叠覆盖区内，传统的负载均衡方式往往会导致连接不上网络，导致误均衡。H3C公司创新性的支持智能负载均衡技术，保证只对处在覆盖重叠区的无线用户才启动负载均衡功能，有效的避免误均衡的出现，从而最大限度的提高了无线网络容量。 提供only 11n接入功能 由于802.11n向下兼容802.11a/b/g协议，故通常情况下，802.11a/b/g用户也能接入到802.11n的无线接入设备上。但这种兼容能力的提供，会导致具有802.11n接入能力的用户实际使用性能产生一定限度的下降。H3C支持将无线接入设备的某一射频设立为only 11n接入模式，使得802.11n用户的带宽得到保证。对于部分可以提供同时双频接入能力的802.11n无线接入设备，在工作时建议设立5GHz射频为only 11n接入模式，保证802.11n接入用户的高速带宽和接入性能；而2.4GHz射频设立为兼容接入模式，保证原有802.11b/g用户可以正常接入。 全面支持智能型有线无线一体化管理 为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具有良好的扩展性，可以满足客户网络管理不断发展的需求。基于Web的管理系统，为无线业务管理者提供了简便、和谐的管理平台。与iMC智能管理平台及其它组件配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文献管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现智能型有线无线一体化管理。