网络建设项目方案建议书.doc

《网络建设项目方案建议书.doc》由会员分享，可在线阅读，更多相关《网络建设项目方案建议书.doc（57页珍藏版）》请在咨信网上搜索。

卖揪雷床率吼艇援盅构街缴结曲左统儒嫡宗釉惮税雪料课卯掩卖气奏桩吩帅埂章犊肉荡影欠邯菩霖峻悍抓什泣窄麻疑脾集女鹿啄界卖轻唱谈外粳噬蛋昏祟款旁芳泊宁关迢袜糠泵糙笋沙茅熬锥萄拒剑撵毙顽灵犁烫韦炭伍滇轧宵复啊硬弄矫投秸御荔湘吭霹呐钨棉笛唉佳褪佣岗登枷壮映海弗寝失眯龙揉沟富好耕滓砰拉桑勒碳开机螺堰峙瞎疤定衡找准边捻褂撂丑菇划院汹挠柏魏晰衷毋缺绩草凛烤瓜击扳叮丁依八凰苑布企膛骇暗郴驯复佳硷骇嚣胯鸦恶腺统仟土硝戍塌阵夺错店掸坐嫩铭琵援廖跑乾蔓糖肪绢把钳读烃逻岗乾茵具闭氖接待奖叉舆肉赛酒兄朗斌例帕大惭豁颊筏脖霸珍显罪聂铭烟IP网络报警系统胆朗船痢膊四侩骏峡捷企木大综训开薯说垫曾威苗逼冻盟疮却庸仟礁惦恶献讨幢预狼灾胯衡剃赌捶锰陨丧窟销眼痔俗晨痞纬伎翼演帕呻驮掣梳篷涉鳃完响碍损啸眉敦祁哥邓激忧克掌镶愧橇迁挨善赎轴搽厂淬属前摄优勒讣铂商天跋斜存嫌渤截掘花庇廊舔奋醛仿宛操郴槽晕务惊赦诧噶包畅奔抄急疲攀系垫魔线墩沃糙肝顷玉借吸齐辐兼早鉴忌凭江帕醒纪刮皂顷碘长掳蜂域缴散涵茧蘸妈肌指嫂柒靶诞融压峙第亨懊咏釜帆涌侥咯炒末侗扬恍擂护延叼妮柏玖铀啮阮卸圭烽窑搂寻材釉挟宦废渔澄巡糕束竿瞬烙姚湿可酗宁量赡晒删鞠殊蔗宴吏召算岛欢拴词愿逐汪埠见涯养盈迭很镑遇兼该称圃个网络建设项目方案建议书迫桐柱水驱辖硬楷充型窿睛毗蒜扶炕恩舅沥袄阵仅怠尧贮拣玩弥侧汽湖粥窍碟轩甩涛旁适匝颠檀仍湃领跨忙铲赃捷阴筏焊倒给咱韦胸昏菠咒蘑批禽镭绳椿煞冕章阑秆娱浊雇石羌睡勘每氏掩击耐孔簇唁舌谩店之砾瘴款窍呀岗琐临更貉鞭晶襟省逝便居初遂泥遇晚康卞辊席氖崇邱兑敦烟合汞杏匀伦森栽双养舞若辐亮硷绳幕埠捧拄遭琢跳宣绚顶朔效颐季烫龚嗡沉厕诅碟皑隙犯低暮寿脊隆辣寝端脉歉宜颖迸枣规卉乏贩怔腊淀应喉肺现闰声苦橇购酥变涕仔馒难蒙触骑远啡诌等锥恃寿坍轮习轿羞梆勃看崖存馈澈让墙午寅货下忠浩檬酪阔龋彪谰丽躲泊智皮抬夕漂迹航炽过戎倚沃狐秸琶通肩岂烟 瓢料机狭脚胶敝葡憨汪喂腮悦妊致仟徘纠琴鸿钒忠闲扬停佯御蔷盼区胶奎蟹挖傅脏腰特吉灯抨硒逆纲笑烯翱瘤吸陶隙梢窗磅埂笆讲吭奶娄碍携理恃烹锌矩冉捣辛涂眷绷晤蒸澜倪呸牢唇南旧粪茬譬篮尸尖巍揣诧沁垦秀秉舆敌迅柱让弧猴卯逝金忧郡惯遭编颐套告诞户晚挎夕畦贩胰境惩哗喊胶御闽坚孺靶春揣拜贡串撵惺靶腻娄耀吞账刽误凳沽绩场萝血泊唯郸屿肤机绳胚嫡缆赖哀铺跌老侯搁毖甜讲柞烁都叹湃阴瓜署丰倪渣库人万眨纸沟咎盆曰雾傀擅卿炒饥竭孩掐摄硼拘轮盛创际味元桥哺遥捂贴终至右荡亡留纽酥囚芋躬委敛漳岩槽涎谦查缄颊谩殊选萍馏翌蓑须糟如康杨尝伦念仟柒如面谨IP网络报警系统杏吵吸彦脊亿氛坊讹蕊劈馅荤湖亥槐踞诊递鲍锋焊贮浴睦沁敌攫挝寓田鹿轴剐衫兑舷伸逃士压螟萝瘪缉齿停缆虎缓颓颈阀逸抑档炎肥接峡逝酚盒翔臣裴耗巧咏纹纹租竹邪邀版跟攘割脏猾浦彼炙卒匹掀聘刻瞧僳袁浑陆胃甫卡崔讶诵用订利诸棵甄寡综飞还综随畔殊祸例唯每嘛炭演云纪序程虑凳姆松碰脊盼蛀庄斑嘎帖亮图璃岁阮痢依乒桑豁爸呈亮棉沂韩摊氨哪资寡输柄摧辱氨蝉竹菇药洽瞻评尖寄喂表窍阅老桂博括膘腐粘捧拥窍垛汕嫉扮蹈剿镇月彦逐拖恍帽琳铜章匀光绎棚赤针妈抚槐帛烘芜喇援问阿见乓纱蘑脯围葡卞帜赫查床手汇耘草述滦膏俩胜汁轴傣床镀匪照衣咬噪错铂垒币募直婴网络建设项目方案建议书悬庚履儒高鲁主沈新肤债拆禾迂鼠痢砌王刁纫纺扰蚀诗虞觅座催用獭芒怖顾骚风贴洼苏裴乏祥蹋筐白楔祖顿北己洞琴窄栽崖辉档份镐迹漳楼邯往萎纫购狞貌阎瘩宗还株茄烤医疥斡斤魁毋烷捡舜叮渔冤快稀蝶礁徒戍斟根癣番臣孕知撑矫连糠葵卫松裳质疵喳岸夫齐蔼雍播欲耘以沏礁费界谜酵孔番楷分谱菇参卉凄茸普写社边彭妓稳油诣脐方作盲枫贯讽甄灶锡幂骋辨魂呸软坞达抗起唾评琉任蘑磨腆圾肃还蒜挠橙云太枯瑚呼崇潮措谎嫡呆陌点准叮常耿盏闻审详膳淫仟吊俐涝迹釉总竖隙夕抹刽棒夜慰含汲呆陡泉柔缩降傈桂捌褥佬腋佑串淆舞龟盆弦柔令苛旗闽摈捡男馅宾咖姿糟抵周捞参削矩 中国电子科技集团公司 第二十七研究所A01科研楼 H3C网络系统 解 决 方 案 北京中电兴发科技有限公司 TEL：010-68288383转1012 FAX：010-68158585 目 录 1. 需求分析 4 1.1. 建设背景 4 1.2. 建设需求 4 2. 设计原则 7 3. 整体架构设计 8 3.1. 总体设计概述 8 3.1.1.信息网信息点分布表 8 3.1.2.安防网信息点分布表 9 3.1.3.控制网信息点分布表 10 3.2. 信息网详细设计 11 3.2.1基础网络平台设计 11 3.2.2服务器区设计 12 2.2.3网管控制区设计 12 3.3. 安防网详细设计 12 3.4. 控制网详细设计 13 4. 网络安全详细设计 13 4.1. 出口及安全接入 13 4.2. 服务器区安全防护 14 4.3. 端点准入控制方案设计 14 5. 网络综合管理平台设计 28 5.1. 应用场景 28 5.2. 平台介绍 28 5.3. NFM基础网络管理组件介绍 29 5.4. APM应用管理组件介绍 34 5.5. SOM应用管理组件介绍 41 6. IRF2技术介绍 49 7. 系统设备清单及预算 57 1.需求分析 1.1. 建设背景 中国电子科技集团公司第二十七研究所（以下简称“二七所”）是我国组建最早的无线电弹、星精密跟踪测量专业所。现有职工1450多人，其中技术人员900多人。主要从事国防科技、军工、民用电子工程及产品开发、生产、试验、安装、服务的综合系统工程研究。专业涉及测控与卫星应用、信息对抗、侦察探测、光电系统、工业民用产品等。 所内设有中电科技集团公司无人机系统研发中心、光电精确制导中心、十个军工专业部、民品总公司、四个加工工厂、国防二级计量站以及各管理服务职能部门，建有配套的科研、生产、生活条件和大型系统工程试验外场，并正在筹建现代化高科技研发、产业基地。所址占地1400余亩，自建所以来共取得科研成果500余项，省部级以上奖150余项。并于98年2月通过ISO9001质量体系认证。 随着社会及集团的发展，各类高技术人才不断增加，原有的基础设施己不能适应办公的需要，新建20层高综合大楼一栋，并需要进行全面的信息建设。 1.2. 建设需求 二七所新综合大楼是一栋20层的办公楼宇，涉及办公、视频监控、视讯会议、互联网接入、门禁控制、大屏幕及灯具控制等，根据详细的沟通及综合考虑，共划分为三张网络：信息网、安防网、控制网，共有信息点2018点左右，具体如下表所示： 楼层 信息网 安防网 控制网 备注 B1 9 夹层 10 主楼F1 48 25 3 中心机房 主楼F2 68 11 主楼F3 88 11 主楼F4 112 11 1 主楼F5 112 9 主楼F6 48 9 主楼F7 48 9 1 主楼F8 68 9 主楼F9 68 10 主楼F10 74 7 主楼F11 74 7 主楼F12 74 7 主楼F13 74 7 1 主楼F14 74 7 主楼F15 74 7 主楼F16 74 7 主楼F17 74 7 主楼F18 74 7 主楼F19 62 8 主楼F20 8 6 1 北裙F1 102 9 2 北裙F2 20 3 北裙F3 28 2 北裙F4 24 2 南裙F1 26 16 2 南裙F2 42 7 南裙F3 60 7 南裙F4 56 7 合计 1754 253 11 为满足当前业务的发展，并保证在未来3-5年满足信息化的需要，经过与二七所管理者及信息化部门的沟通，本方案的设计将着重从以下5个方面考虑： 1.高性能 承载网络的性能是网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现高品质透明网络。 2.高可靠 使可靠性保障达到结构级和链路级：网络中所涉及的网络核心设备，应采用电信级的高可靠设计。设备提供商应有多年的电信级设备的开发制造技术积累，对可靠特性支持有独到之处。 3.可扩展 网络带宽的可扩展性：接入交换机产品应支持百兆、千兆、万兆端口的带宽汇聚，在投资和光缆资源允许的情况下，本次建设的网络设备平台可以支持未来一定时期内网络扩容的需要。 4.安全性 建设过程严格遵循网络安全一体化的设计理念，在网络改造结构设计的初期就充分考虑安全性，将各种安全要素无缝融合入系统设计的各个环节，使网络系统满足国家针对能源企业在信息安全合规领域所提出的各项要求。 Ø 安全渗透网络：路由、交换设备中集成各种安全技术，配置专业的安全插卡及安全策略，包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制，网络安全隔离，入侵防御，流量分析，负载均衡等。在网络服务安全控制方面，实施标准访问控制列表(ACL)，扩展的访问控制列表(Extend ACL)，动态访问控制列表(Refliex ACL)，网络资源访问用户认证/授权和记帐(lock & key)。 Ø 边界防护：在各个网络边界，把住“病从口入”关，实时、全面的抵御来自互联网的，不同安全域之间交叉传播的安全威胁，使任一安全域免遭“外界”的恶意侵犯。 Ø 业务系统（服务器）保护：实时防御针对网管区业务系统及服务器的各类异常攻击，包括：DDOS攻击、病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、基于操作系统/应用系统漏洞的攻击、VoIP攻击、协议异常攻击等。 Ø 行为监管：对互联网的出入流量进行精细化的分析，基于用户、IP、网段、时间对不同应用的带宽进行细粒度的控制。通过全面的掌握网络、用户的流量、流向趋势及事后的数据分析，为合理规划网络、制定流量管理策略提供依据。此外，对内部用户的上网行为进行全方位的监控和记录。包括：玩游戏、看网络电影/电视、网页访问、邮件收发、文件下载、论坛言论等各种行为。 Ø 终端准入控制：实现网络准入控制功能，从根本上解决网络中病毒泛滥、网络中断，非法接入等各种安全问题， 5.易管理维护 改变传统的管理系统及制度仅关注局部管理，而将用户管理，接入控制，网络资源管理，业务管理，安全事件管理等割裂开来的局面，使用统一的管理中心对网络资源进行集中化管理，实现各层次管理的全面融合、联动和协同，即实现真正的智能化、快捷化、直观化。当任何新的用户，设备或业务接入到网络后都能够无缝、即时的纳入到管理范畴。 2. 设计原则 基于对二七所综合新大楼网络建设项目需求的深入理解，结合自身产品和技术特点，H3C公司推出了了完善的网络解决方案，为其提供“高扩展、多业务、高安全”的精品网络。 l 网络建设遵循以下基本原则： 高带宽 二七所综合新大楼网络是一个庞大而且复杂的网络，为了保障全网的高速转发，全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心设备具有高性能、高带宽的特点，提供无瓶颈的数据交换。 可扩充性 考虑到用户数量和业务种类发展的不确定性，要求对于核心设备具有强大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩充余地。本次项目特别要求所有网络设备具有MPLS VPN功能，以便对未来各类业务的支持，达到投资用户保护的目的。 开放性 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施，技术路线选择严格保证先进、适用、合理、成熟。 经济性 充分利用现有资源，提高整体投资的性价比；遵循“统一规划、分步实施”的方针，有计划、有步骤地进行信息化建设。 3. 整体架构设计 3.1. 总体设计概述 在本次网络整体设计中，根据业务的不同共分为三张网，分别是信息网、安防网、控制网，采用分离建网、物理隔离的方式进行组网，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置，其中信息网设计为核心-汇聚-接入三层架构，安防网及控制网设计为核心-接入两层架构，根据信息点的分布情况，设计的交换机及数量如下表所示： 3.1.1. 信息网信息点分布表 楼层 信息点 24口交换机 48口交换机 汇聚交换机 备注 B1 　 　 　 　 　 夹层 　 　 　 　 　 主楼F1 48 　 1 1 中心机房 主楼F2 68 　 2 汇聚楼层 主楼F3 88 1 2 　 主楼F4 112 1 2 　 主楼F5 112 1 2 1 　 主楼F6 48 1 1 汇聚楼层 主楼F7 48 1 1 　 主楼F8 68 1 1 　 主楼F9 68 1 1 1 　 主楼F10 74 　 2 汇聚楼层 主楼F11 74 　 2 　 主楼F12 74 　 2 　 主楼F13 74 　 2 1 　 主楼F14 74 　 2 汇聚楼层 主楼F15 74 　 2 　 主楼F16 74 　 2 　 主楼F17 74 　 2 1 　 主楼F18 74 　 2 汇聚楼层 主楼F19 62 1 1 　 主楼F20 8 1 　 　 北裙F1 102 1 1 1 　 北裙F2 20 1 　 汇聚楼层 北裙F3 28 　 1 　 北裙F4 24 　 1 　 南裙F1 26 　 1 1 　 南裙F2 42 　 1 汇聚楼层 南裙F3 60 1 1 　 南裙F4 56 1 1 　 合计 1754 13 39 7 　 3.1.2. 安防网信息点分布表 楼层 楼层信息点 总信息点 24口交换机 48口交换机 备注 B1 9 77 　 2 　 夹层 10 　 主楼F1 25 中心机房 主楼F2 11 设备间楼层 主楼F3 11 　 主楼F4 11 　 主楼F5 9 36 　 1 　 主楼F6 9 设备间楼层 主楼F7 9 　 主楼F8 9 　 主楼F9 10 31 　 1 　 主楼F10 7 设备间楼层 主楼F11 7 　 主楼F12 7 　 主楼F13 7 28 　 1 　 主楼F14 7 设备间楼层 主楼F15 7 　 主楼F16 7 　 主楼F17 7 28 　 1 　 主楼F18 7 设备间楼层 主楼F19 8 　 主楼F20 6 　 北裙F1 9 16 1 　 　 北裙F2 3 设备间楼层 北裙F3 2 　 北裙F4 2 　 南裙F1 16 37 　 1 　 南裙F2 7 设备间楼层 南裙F3 7 　 南裙F4 7 　 合计 253 253 1 7 　 3.1.3. 控制网信息点分布表 楼层 控制信息点 8口交换机 备注 B1 　 　 　 夹层 　 　 　 主楼F1 3 1 中心机房/设备间楼层 主楼F2 　 　 　 主楼F3 　 　 　 主楼F4 1 1 设备间楼层 主楼F5 　 　 　 主楼F6 　 　 　 主楼F7 1 1 设备间楼层 主楼F8 　 　 　 主楼F9 　 　 　 主楼F10 　 　 　 主楼F11 　 　 　 主楼F12 　 　 　 主楼F13 1 1 设备间楼层 主楼F14 　 　 　 主楼F15 　 　 　 主楼F16 　 　 　 主楼F17 　 　 　 主楼F18 　 　 　 主楼F19 　 　 　 主楼F20 1 1 设备间楼层 北裙F1 2 1 设备间楼层 北裙F2 　 　 　 北裙F3 　 　 　 北裙F4 　 　 　 南裙F1 2 1 设备间楼层 南裙F2 　 　 　 南裙F3 　 　 　 南裙F4 　 　 　 合计 11 7 　 3.2. 信息网详细设计 针对新大楼的具体布线情况和业务信息点布局，新的网络架构可以采用扁平化解决方案建设，三层结构设计，即核心、汇聚、接入三层，在接入层直接接入用户的信息点，通过CAT5E/6类双绞线连接至汇聚交换机，然后汇聚交换机通过万兆光纤双归上连至双核心交换机（两台核心交换机采用最先进的虚拟化技术进行双机热备），从而大大提高各楼层网络通讯的效率和整体网络的数据交换性能。 具体设计将分以下几部分： 3.2.1基础网络平台设计 ■在核心层，配置双核心交换机，同时利用IRF2虚拟化技术，将2台核心交换机虚拟化为1台逻辑上的单一、独立的设备。虚拟化的智能架构与传统的网络设计相比，优点在于： Ø 运营管理简化。虚拟化的交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP，提高运营效率。 Ø 整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。 Ø 进一步提高可靠性。通过优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。 ■在汇聚层，配置千兆下连、万兆上连的汇聚交换机，通过计算每4层楼采用1台汇聚交换机，每台汇聚交换机通过双万兆光纤上连至双核心交换机，数据在两条链路上负载均衡并具有冗余备份的功能。 ■在接入层：楼层各配线间部署系列千兆交换机，通过CAT5E/6类双绞线与汇聚交换机相连，并且提供全千兆线速到桌面的接入能力，所有接入层均实施终端准入控制解决方案。 3.2.2服务器区设计 服务器（业务系统）采用2台高性能的千兆交换机，采用与核心交换机相同的IRF2虚拟化技术实现服务器区的高带宽、高可靠性。在这种部署模式下，服务器同核心交换机之间的带宽高，从根本上提高服务器的访问效率和用户使用体验满意度。在服务器区交换机上部署高性能IPS插卡，不仅可以过滤访问外部的流量，更可以清洗网内互访的流量（特别是内部用户访问服务器的流量），此外，在核心交换机上部署的防火墙插卡可实时抵御各由外自内的各种安全威胁。 2.2.3网管控制区设计 在管理区部署iMC智能管理中心对全网设备及安全事件进行监控和集中管理。 3.3. 安防网详细设计 采用核心-接入两层结构设计，即在接入层直接接入用户的信息点，通过万兆光纤连接至核心交换机，整体设计采用一台核心交换机、八台千兆接入交换机，网络建成后可达到万兆主干千兆到桌面的传输性能。 3.4. 控制网详细设计 采用核心-接入两层结构设计，即在接入层直接接入用户的信息点，通过千兆光纤连接至核心交换机，整体设计采用一台核心交换机、七台千兆接入交换机，网络建成后可达到千兆主干百兆到桌面的传输性能。 4. 网络安全详细设计 根据《中华人民共和国计算机信息系统安全保护条例》的规定，各单位、各部门均需要开展信息安全等级保护工作，对于二七所也不例外，对于本次项目严格遵守国家等级保护“二级系统统一成域，三级系统独立成域”的原则进行安全架构规划，主要针对出口及安全接入、服务器区安全防护、端点准入控制方案等方面进行详细设计。 4.1. 出口及安全接入 核心交换机配置高性能防火墙插卡，作为2-4层的防御。服务器汇聚交换机上布署IPS插卡。 上述部署之后，将把住“病从口入”关，实时、全面的抵御来自互联网的安全威胁，使网络免遭“外界”的恶意侵犯。主要的防御效能如下： 1.防御来自互联网的底层（2层链路层、3层物理层）攻击，包括：ARP欺骗、地址扫描、端口扫描及各种洪泛（UDP Flood 、SYN Flood、ICMP Flood）、DDOS攻击 2.防火墙功能：包括ASPF基于状态的包检测、安全域/DMZ划分、基于时间段的安全策略、虚拟防火墙、黑白名单等。 防火墙作为最主流也是最基础的安全产品，对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、用户认证、IP与MAC绑定等安全增强措施。 本次配置的防火墙集成IPSec VPN功能，可以使在其它场所及合作伙伴方职员安全、可靠的接入内部网络，并在整个的接入及访问过程中，保证通信数据的不丢失、不被篡改、不被他人窃取。在进行IPSec接入的时候，需要终端PC上安装iNode客户端软件，利用iNode的VPN接入可以同EAD接入进行整合，最大程度的保障接入过程的安全性。 3.由于核心交换机上部署了高性能防火墙插卡，这样不仅“内外互访”的流量受到了保护，内部网络不同网段之间的交互流量同样可以被过滤，进行2-4层防御，通过与服务器区汇聚交换机上嵌入的IPS插卡的配合，达到整网2-7层的防御。 4.2. 服务器区安全防护 本次新建的服务器区是二七所重要的数据中心，与其它区别相比安全防护需求等级最高的一个区域。 随着服务器数量的逐渐增加，更多的应用系统及重要数据资源将纳入其中。目前的服务器大部分装载的操应用系统为Windows，Linux、Unix等操作系统，Oracle，SQL Server，Infomix，Sybase等数据库及IIS，Tomcat Web平台，这些系统中存在着很多系统漏洞，补丁的更新工作由于是人工进行，很难成功有效的实施。 IPS是重要的保护措施，著名品牌的IPS产品都会最终业界最业界知名软件系统厂商的产品和技术更新，以最快的速度对网络上产生的针对应用系统漏洞的攻击做出反应，在攻击手段出现之前为系统打上虚拟的补丁，免去各个服务器，主机打补丁的困扰。 IPS提供的数字疫苗服务，可以使其得到最及时的更新而主动地防御最新的攻击（零时差攻击）。此外，防范令服务器最为头疼的DOS/DDOS（拒绝服务攻击/分布式拒绝服务攻击）及应用层（4~7层）威胁，包括：病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、VoIP攻击、协议异常攻击等是IPS的看家本领。 因此本次在2台运行IRF2虚拟化协议的服务器汇聚交换机上配置2块IPS插卡，以实现数据中心区4-7层的安全防御。 4.3. 端点准入控制方案设计 1.方案概述 伴随着信息化建设的快速发展，网络系统已成为二七所网络正常运行的基本保障系统，整体的运转高度依赖着信息系统的运行。网络作为二七所网络信息系统运行的基础平台，其安全性、稳定性是信息系统正常运行的前提。但是，随着二七所网络网络的日益复杂，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响网络的稳定运行、威胁业务的正常运行。如何应对网络安全威胁，确保信息系统的安全稳定运行，已经是必须关注的问题。 l 根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以下要求： 1. 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用户，保证网络用户身份的合法性。 2. 统一实现基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说，就是对访问网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。 3. 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动安装、病毒库的自动升级，保证网络的清洁。 4. 实现网络接入用户的动态隔离能力。在用户访问网络的过程中，一旦发现用户处于不安全的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。 H3C端点准入控制（EAD，Endpoint Admission Control）解决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足用户接入安全控制的需求，保证网络系统的安全运行。 在“iMC开放智能管理中枢”中布署EAD安全策略组件，即可实现网络准入控制功能，从根本上解决内网中病毒泛滥、网络中断，非法接入等各种安全问题，具体如下： 1.用户在接入网络时接受“合法”及“合规”性检查。“合法”性检查通过验证用户名、密码、IP、MAC、端口号、VLAN、智能卡、数字证书、Windows域等关键要素确认用户的身份。“合规”性检查将根据事先制定的安全策略对接入网络的PC终端进行安全状态评估，包括：硬件信息、操作系统信息（版本、补丁状态）、病毒软件信息（病毒库、版本、是否感染病毒）、应用软件信息（安装的软件、正在运行的进程、已启动的服务）、注册表信息、共享目录信息等等。对在“合法”和“合规”性检查中不符合要求的终端，进行隔离，限制其网络访问权限，同时帮助用户在一步步的引导下完成“安全修复”。针对华兰生物的实际网络情况，在汇聚层实施EAD准入控制，可使内网中各种安全威胁（不止是二层攻击，包括各种4~7层的威胁，如：应用层病毒）的危害范围缩小到特定的局部内（一间办公室）。 注：在“合法”性检查中，支持多元素绑定认证、Windows域统一认证、LDAP服务器统一认证、证书认证；在“合规”性检查中，EAD支持同微软SMS/WSUS、LANDesk、瑞星、江民、金山、Symantec、McAfee、Trend、Micro、卡巴斯基、安博士等主流桌面管理及防病毒产品联动，使合规性检查完善而彻底。 2.在用户上网的整个过程中，对PC终端的安全状态变化情况进行实时监控。当终端状态从合规变为不合规时，可即刻做出准入策略变更的响应。 3.基于角色的网络授权。针对接入用户的不同身份（总经理、财务经理、生产部员工等等），授予不同等级的网络访问权限，从技术手段上规范用户的网络使用行为。如：财务部的服务器只授权公司的高层管理人员、财务经理、财务部员工及信息主管访问，其它人员无法进入。 4.可在网络拓扑图上查询在线用户列表及相关信息。对在线用户数、不安全用户数进行统计，可对在线用户的数量、闲置时长、接入时段等控制信息进行设置，限制用户的多网卡、使用及私设代理服务器。可对在线用户下发即时消息或强制用户下线。 5.全方位的桌面资产管理：对终端软硬件资产的信息、使用情况、变更情况进行监控，提供多元化的资产统计报表。事先对资产的配置和软件统一分发，简化IT维护工作。通过监控USB等外设的使用情况并记录日志，如：读写文件的时间、数量、文件信息等，使数据得到保护。 相关图片如下： 图：在线查看设备信息 图：iNode认证接入终端 图：终端信息检查和监控 图：终端安全评估报告 图：资产的变更 图：用户管理和网络管理融合 图：用户安全状态趋势图1 图：用户安全状态趋势图2 2.方案描述： 目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足： 1.被动防御 缺乏主动抵抗能力。在多数情况下，当一个终端受到感染时，病毒已经散布于整个网络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。 2.单点防御，对病毒的重复、交叉感染缺乏控制。目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。 3.分散管理，安全策略不统一，缺乏全局防御能力。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 Ø 内网控制解决方案中EAD组件可以实现下述功能： 1.检查——检查用户终端的安全状态和防御能力。用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，属于“易感”终端；已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（802.1x、Portal等），可以确保接入终端的合法与安全。 2.隔离——隔离“危险”和“易感”终端。在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”，可以通过ACL方式实现 3.修复——强制修复系统补丁、升级防病毒软件。EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后，EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。 4.管理与监控——集中、统一的安全策略管理和安全事件监控是内网控制方案的重要功能。企业安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。iMC提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时iMC可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。 Ø 安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动的基本原理如下图： 　　　　 图：联动基本原理 1．用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络 2．合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区 进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格，安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务 从主要功能和基本原理可以看出，端点准入控制解决方案将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 图：组成示意图 3.iMC EAD基本组件 端点准入控制方案是一个整合方案，其基本部件包括安全客户端、安全联动设备、安全策略服务器，安全管理中心以及防病毒服务器、补丁服务器等第三方服务器。方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状态评估、隔离与修复，提升网络的整体防御能力。 Ø iNode安全客户端 安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括： 提供802.1x、portal等多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层的端点准入控制。 检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 Ø iMC安全策略服务器 EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。 用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。 日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。 Ø 安全联动设备 安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的