网络安全设计方案
目录
1.需求分析 . ................................................................................................................. 4
1.1 网络安全集中管理的业务目标 . ........................................................................ 4
1.2 方案设计的指导思想 . ........................................................................................ 4
2.总体方案设计目标.................................................................................................. 5
2.1方案综述 . ............................................................................................................ 5
2.2 网络安全中心设计 . ........................................................................................... 5
3. 网络安全中心与分支机构互联边界安全 . ............................................................... 6
3.1防火墙部署 . ........................................................................................................ 6
3.2入侵检测及防护部署 . ........................................................................................ 7
4分支机构网络安全建设 . ............................................................................................ 7
4.1主干网络技术选择 . ............................................................................................ 7
4.2网络拓扑结构的选择 . ........................................................................................ 7
4.3内网的安全及管理 . ............................................................................................ 7
4.4网络设备的选择 . ................................................................................................ 9
4.5软件平台选择方案 . .......................................................................................... 12
4.6综上所诉建立完整的网络拓扑架构图 . .......................................................... 13
5服务与承诺 . .............................................................................................................. 13
5.1 硬件的服务与保证体系 . ................................................................................. 13
5.2工程预算的具体 . .............................................................................................. 14
1.需求分析
1.1 网络安全集中管理的业务目标
1. 由一个主干网和多个子网组成校园局域网(Intranet )。
2. 主干网接入晋中教育城域网后代理接入全球互联信息网外接(Internet ),各子网再接入主干通信网。
3. 主干网接入采用光纤接入宽带网,速率可在1000M 以上
4. 主干为千兆线路,其它线路为超五类双绞线。每个楼中都有局域网,终端PC 机都能接入主干网,通过楼内的交换机接入。网络中心和各分区都用千兆线路连接。
5. 各应用平台的建设均可接入骨干网,构成子网应用平台。
1.2 方案设计的指导思想
就目前对部分需求和网络应用的需求考察结果,并尊重“长远考虑、就地起步”的规划,提出了在技术上遵循开放、标准、成熟、安全、可靠和可扩展的思想,追求技术上的先进性与成熟性、实用性相结合,追求整个系统性能的最佳化、理优化、节省费用等原则原则。
1基于路由器和交换机的局部网间的互联是最好的解决方案。因此,网络协议方面,以网际协议(IP )作为校园网网络系统的公用网络协议实行标准化。因为IP 是Internet 的母语,并作为网络通信的通用语言而在世界范围内广泛使用。由于使用IP 作为标准传输协议,在以后对网络进行扩充以与其它的网络互连时,可以跨越多个平台自然而然地提供互操作能力和无缝连接功能。所以,IP 优化网络允许用户访问电子邮件、校园内部网和利益复杂的Internet 应用。 2网络服务器要更换为世界知名品牌,可提供最优良的系统设备和优质的售后服务。
3在主干网建设时,我们选择极具竞争力的价格提供所有技术,还拥有明确的技术方向,有助于未来应用的发展。为我们提供一个集成化、高性能、灵活、可伸缩、安全和高性能价格比的解决方案的标准。
4在局部网建设方面,选择可伸缩的结构和高性能的设备,能够高速传输数据,同时通过技术保证,安全地接入Internet 和一体化的网络解决方案。 5在选择最合适的产品提供解决方案的过程中,计算机终端设备的选型既考虑性能、价格比、设备的运行维护费用,不贪图眼前的利益,也考虑设备的可扩充性,今天的投入是今后发展积累的基础,确保系统主要设备的投入在整个系统的生命周期内能得到充分利用并具有强健灵活的体系结构。同时,也考虑局部子网对硬件和信息流量的要求,必须能够提供专用的高速带宽,以处理日常数据信息和峰值操作,并能够支持各种新技术和新增用户。
6安全性是另一个关键要求,以晋中教育城域网代理接入Internet 能够保证安全地接入Internet 。
2.总体方案设计目标
2.1方案综述
综合以上的各种信息,结合当前的国外各类计算机系统应用情况,本网要实现的目标是:
满足日常工作的处理电子化、日常办公自动化、领导决策科学化,和信息交流快捷方便化。即实现业务系统处理、日常办公、领导决策计算机化、信息交流国际化的先进系统。即:以先进的计算机及通讯为手段建立内部网络,纵向向上与Internet 互联网相连,向下与各管理子网点相连接,横向与其它单位相连接的计算机综合网络系统。在统一思想、统一信息交换标准、统一技术规范的原则下,系统达到以下目标:
2.2 网络安全中心设计
为各办公室提供宽带网络支持
1. 提供公用信息交换平台
2. 提供Web 发布信息等Internet 的信息服务;
3. 提供日常工作的处理网络化、电子化的日常办公自动化环境
4. 电子档案的信息查询,提供先进和更多的服务手段, 提高效率和质量;
5. 为调控、科学决策提供有力的支持;
6. 为内部网提供有力的技术保障,增加内部系统的安全性
7. 增强校园的教学信息的领先优势。
3. 网络安全中心与分支机构互联边界安全
3.1防火墙部署
3.1.1我们根据学校的网络设计要求对防火墙的部署设计:
在学校的内网个外网之间使用防火墙隔开,所有经过防火墙的流量都根据策略进行控制和筛选,只有符合防火墙规则的数据才能够正常的到达目的。
3.1.2产品选型
防火墙参数:
3.2入侵检测及防护部署
入侵检测及防护功能集成在防火墙上,这样减少了网络中的串联设备,同时排除了串联过多造成设备的网络瓶颈
入侵检测可以通过路由,桥接和端口镜像这三种工作方式,其中哭有何桥接模式可以对大的入侵进行阻止但必须串联在网络中。
4分支机构网络安全建设
4.1主干网络技术选择
在网络工程中,主要考虑的是该网络在完成日常办公和现代化管理及对外交流中充分的功能,应用现有的、先进的网络技术,利用最新的交换式网络设备,充分拓展带宽,以满足日益增长的需求。同时,该网络是建立在综合布线基础上的,采用了世界上最流行的 PDS 综合布线系统,为网络的架设提供良好的平台。
4.2网络拓扑结构的选择
计算机网络技术种类很多,采用星型结构的以太网是目前最为安全成熟的技术,并且,从应用角度讲,星形结构是综合布线系统的推荐网络拓扑结构,可以与综合布线系统紧密结合,得整个网络系统的通信瓶颈从以往的网络电缆转移至中央网络设备上。在中央设备之间,而采用交换以太网络设备配合星形结构来实现对局域网络的需求,使得中央结点与卫星结点的网络吞吐能力大大加强,对多媒体的支持也更加完美,既而提高整个系统的吞吐能力。
所以在网络方案中,整个系统采用星型结构与高速交换以太网技术相结合的网络拓扑结构。
4.3内网的安全及管理
1. 网络的协议采用TCP/IP:
为使网络系统的互联、管理、应用软件开发等工作简单化,维持一致性,本方案中,网络通信协议采用最为广泛的TCP/IP。TCP/IP协议已成为异型机、异型网络互连的公认标准,并在国内外得以广泛的应用,国际上几乎所有的软硬件
厂商均支持TCP/IP协议。采用此种协议,也便于使网络系统在将来与Internet 实现连接。
2. 网络设备必须能够支持各类标准网络协议。
网络设备必须遵守各类标准网络协议,如IEEE802.3u 、IEEE802.3、10BaseT 、10BaseFL 、802.1d 、SNMP V1等,这样才可能较好地实现与其他厂家的网络设备连通。
3. 网络设备可考虑采用全面支持虚拟网络的设备。
网络设备如能够全面支持虚拟网络,虚拟网络的划分简单可靠。虚拟网络的划分必须真正支持跨交换机虚拟网络划分。虚拟网络的划分必须真正支持到所有交换机端口。
4. 为支持虚拟网络,交换机需支持第三层交换。
这样可以不用路由器,就可以实现各虚拟网络之间的互相访问,且应选择性能优越的产品。虚拟网络的通信由其完成,为避免由于虚拟网络的划分所产生的网络瓶颈。故与交换机的连接应尽量高速,且应选择性能优越的产品,以避免网络瓶颈的产生。
5. 主干采用光纤,全双工运作方式;
服务器连接采用100Mbps 或1000Mbps 。对于位于网络中心的服务器,可采用1000M 连接。整个网络可由许多子网组成,对于性能要求较高的子网,也可以选择1000M 以高速率连接子网服务器。
6. 对于带宽要求较高的工作站给予10/100M。
性能较高的工作站,我们将采用独享100M 速率连接;
7. 中心交换机应具有良好的可扩充性。
随需求的增长,楼内工作站必将增长,因此,我们将采用的中心交换机应具有良好的可扩充性。例如模块化中心交换机;端口多MAC 地址支持,以支持设备级连等。
8. 选用先进的网管软件来解决网络管理。
选用基于SNMP 的网络管理平台的网络管理软件,各个厂家提供的MIB 则可使网络管理进一步图形化,网络管理将变得非常简单。
4.4网络设备的选择
1.网络设备的选型是网络运行性能和售后服务的关键,根据我们济南科技市场考察的情况总结出以下几点在选购材料时应注意的因素。 1.网络中心的中心设备,承担着整个网络性能好坏的关键,我建议选用比较高档的中心设备,既能保证满足服务的需要,不会出现广播风暴或通信瓶颈问题;又能保证几年之内设备不会过时;
2.选择品牌时考虑比较多的是:生产厂商的可靠性和稳定性、技术领先性和成熟性、设备的完整系列性、设备的可升级性、是否具备完善的售后服务体系来支持用户的应用、是否为主流产品(这将决定用户接收产品熟悉产品的成本和产品的通用性)、在国内是否有比较完备的备件库和维护维修能力、其安全性是否适合用户的要求。
在本方案中,网络结构采用星型,主干速率采用1000M ,所以我们选用国际上著名的3com 或arlotto 网络产品作为网络的中心交换、路由和分支交换设备: 交换机的主要参数值:
基本规
格 交换机类型 传输速率
应用层级
交换方式
背板带宽
包转发率
端口结构
内存
MAC 地址表
VLAN 功能
网络 网络标准
网络协议
传输模式
网管功能
堆叠功能
端口 接口数量
接口类型
模块化插槽数
其它 是否支持全双
工
网管支持
网络中心下连的其它子系统,配置的边缘100M 交换机边缘交换机与主中心交换机的连接速率为1000M ;。
子交换机的类型与规格参数: 可网管型 千兆以太网交换机 10/100/1000 三层 存储-转发 32Gbps 38.7Mpps 固定端口 128MB DRAM 12000K 支持 IEEE 802.3, 802.3u, 802.3z, 802.3ab IEEE 802.3, 802.3u, 802.3z, 802.3ab 全双工 SNMP, CLI, Web, 管理软件 能堆叠 24个 10/100Base-TX, 1000Base-FX/SX 4个 全双工
基本规
格 交换机类型 传输速率
应用层级
交换方式
背板带宽
包转发率
端口结构
内存
MAC 地址表
VLAN 功能
网络 网络标准
传输模式
网管功能
堆叠功能
端口 接口数量
接口类型
其它 是否支持全
双工
网管支持 非网管型 非网管交换机 10/100 二层 存储-转发 4.8Gbps 10 Mbps: 14,800 pps ,100 Mbps: 148,800 pps 固定端口 2.5M 8K 不支持 IEEE802.3 10Base-T、IEEE802.3u 100Base-TX 全双工 无 不可堆叠 24个 10BASE-T/100Base-TX 全、半双工
我们将把全校的所有网络设备和计算机设备(其中包括服务器、工作站、外设等)有机地连接在一起,使其发挥相应的作用,形成一个综合性的、统一的一体化现代园区高速网络系统。
这样就组建了目前技术先进的千兆以太网1000BASE-TX ,速度1000M ,各科室为快速以太网,速度为100M/200M。
各楼层之间网络连接的主干线采用千兆线路,主要考虑网络的速度、将来网络的扩容以及与有关网络连接,其它分支采用100M 双绞线。采用AMP 结构化布线系统(PDS )进行网络布线
中心交换机使用千兆机;连接边缘高速百兆交换机;整个网络以一级千兆为中心,组成一个星型网络;这样就组建了目前先进、流行的千兆以太网和以太网(Ethernet )、快速以太
网(Fast Ethernet)网络的组合, 主干是1000M 网络。其它分支为快速以太网 100BASE-TX ,速度 100M/200Mbps。
4.5软件平台选择方案
4.5.1基于Web-client/Server的体系构架
以网络为基础的、强调分布式信息处理的Web-Client/Server体系结构,已成为当前信息处理的主流,Iternet/Intranet各种服务中,E-Meil 、FTP 、Web 、DNS 、Telnet 、数据库查询等都是基于Web-Clientl/Server结构有如下优点: 服务器作为数据处理的焦点,便于对数据处理的集中管理; 充分利用服务器的系统资源;
降低了对可户机的要求;
减少了网络传输的数据量,减少了网络负荷;
Web 技术流行后,浏览器成了客户端的标准配置,Web 服务器成了服务器端标准的、必不可少的应用服务器。浏览器向用户提供各种服务的界面,服务器负责从各种服务器收集结果并返回客户端浏览器。
4.5.2服务器和客户端软件平台的选择
根据实际情况和需求,我们选择WINDOWS 2000做为文件服务器操作系统平台,采用随PC 机自带的WIN98操作系统作为客户端软件。
操作系统是软件平台的核心,网络操作系统所具备的功能和性能决定了网络系统的整体水平,同时也决定了应用及技术的发展方向。 Microsoft公司的WINDOWS 2003操作平台是在PC 和LAN (局域网)的基础上发展起来的32位操作系统,由于功能强大且易于使用,市场占有份额不断上升,这一产品与传统的Office 办公系统如Word 、Excel 和PowerPoint 一起,为信息发布,综合信息查询,信息交流提供了一个完整的解决方案。
当前,Microsoft 公司的Windows 操作系统为世界PC 机主流的产品,其优越的可视化界面和强大的功能,使它成为绝大部分人的选择。我们选择WINXP 作为本局域网客户端操作系统。
4.6综上所诉建立完整的网络拓扑架构图
5服务与承诺
5.1 硬件的服务与保证体系
服务体系包括以下几个方面: 1. 成立专门的客户服务部门
2. 制定专职技术负责人和商务负责人 3. 建立完整的客户档案 4. 客户的投诉由专人负责
5. 定期的通过电话调查客户对服务的满意度 6. 技术人员和商务人员的定期回访客户 7. 技术支持
5.2工程预算的具体