企業(yè)網(wǎng)絡(luò)改造項目規(guī)劃方案

企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案2017年8月目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章.項目概述 2\o"CurrentDocument"項目背景 2\o"CurrentDocument"項目建設(shè)需求 2\o"CurrentDocument"建設(shè)目標 3\o"CurrentDocument"第2章.系統(tǒng)規(guī)劃要求 4\o"CurrentDocument"高可靠要求 4\o"CurrentDocument"高性能要求 4\o"CurrentDocument"易管理性要求 4\o"CurrentDocument"安全性要求 4\o"CurrentDocument"可擴展性要求 5\o"CurrentDocument"實用性和先進性要求 5\o"CurrentDocument"經(jīng)濟性要求 5\o"CurrentDocument"第3章.系統(tǒng)總體設(shè)計 6\o"CurrentDocument"第4章.基礎(chǔ)平臺詳細規(guī)劃 9\o"CurrentDocument"網(wǎng)絡(luò)系統(tǒng) 9\o"CurrentDocument"4.1.1. 系統(tǒng)設(shè)計目標 9\o"CurrentDocument"4.1.2. 系統(tǒng)設(shè)計原則 9\o"CurrentDocument"整體網(wǎng)絡(luò)規(guī)劃 9\o"CurrentDocument"分區(qū)設(shè)計詳解 11\o"CurrentDocument"網(wǎng)絡(luò)協(xié)議設(shè)計 16\o"CurrentDocument"設(shè)備選型建議 21\o"CurrentDocument"安全系統(tǒng) 22\o"CurrentDocument"4.2.1. 系統(tǒng)設(shè)計目標 22\o"CurrentDocument"4.2.2. 系統(tǒng)設(shè)計原則 22\o"CurrentDocument"4.2.3. 安全體系結(jié)構(gòu) 23\o"CurrentDocument"子系統(tǒng)規(guī)劃 25\o"CurrentDocument"設(shè)備選型建議 29第1章.項目概述項目背景隨著**公司信息技術(shù)發(fā)展，作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴重：網(wǎng)絡(luò)負載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問題嚴重、應(yīng)用系統(tǒng)的增加，多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行改造，以滿足**公司信息技術(shù)發(fā)展的需求。項目建設(shè)需求在利用**公司現(xiàn)有網(wǎng)絡(luò)資源的基礎(chǔ)上加以改造，改造后的網(wǎng)絡(luò)需要滿足以下需求：1、 根據(jù)用戶對業(yè)務(wù)系統(tǒng)的訪問要求，將現(xiàn)有各個業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進行整合，以達到單個用戶可以訪問不同子網(wǎng)的資源，并通過一定的安全策略，確保各個子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)安全。2、 優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)立網(wǎng)絡(luò)匯聚節(jié)點，最終形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。3、 實現(xiàn)整個公司網(wǎng)絡(luò)架構(gòu)分等級安全管理。4、 建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng)，所有用戶通過認證方式接入公司網(wǎng)絡(luò)，訪問自己對應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)。5、 實現(xiàn)網(wǎng)絡(luò)終端受控，重要崗位終端行為管理，保證終端規(guī)范化操作。6、 實現(xiàn)服務(wù)器及存儲資源的有效利用，建立核心服務(wù)器區(qū)域的安全防護提高運行能力。將現(xiàn)有主要服務(wù)器，如產(chǎn)銷系統(tǒng)、新老線MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠程計量、人事、原料采購、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一管理。7、 實現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中的隔離，保證L2系統(tǒng)安全穩(wěn)定運行。建設(shè)目標此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng)，安全系統(tǒng)的建設(shè)。各個系統(tǒng)的功能概述如下：網(wǎng)絡(luò)系統(tǒng)：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入條件和機房環(huán)境條件，對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行全面改造升級，實現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入簡化網(wǎng)絡(luò)邏輯架構(gòu)。安全系統(tǒng)：根據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求，設(shè)計部署安全防御體系(包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次)，各業(yè)務(wù)系統(tǒng)的安全防范和服務(wù)體系，并實現(xiàn)集中的安全管理。第2章.系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下：高可靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運行，整個系統(tǒng)應(yīng)有足夠的冗余，設(shè)備發(fā)生故障時能以熱備份、熱切換和熱插拔的方式在最短時間內(nèi)加以修復。可靠性還應(yīng)充分考慮系統(tǒng)的性價比，使整個網(wǎng)絡(luò)具有一定的容錯能力，減少單點故障，網(wǎng)絡(luò)核心和重點單元設(shè)備支持雙機備份。高性能要求核心網(wǎng)絡(luò)提供可保證的服務(wù)質(zhì)量和充足的帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸。整個系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。易管理性要求考慮到系統(tǒng)建設(shè)后期的維護和管理的需要，在方案設(shè)計中充分考慮各個設(shè)備和系統(tǒng)的可管理性，并可以滿足用戶個性化管理定制的需要。網(wǎng)站各系統(tǒng)易于管理，易于維護，操作簡單，易學，易用，便于進行配置和發(fā)現(xiàn)故障。安全性要求對于內(nèi)部網(wǎng)絡(luò)以及外部訪問的安全必須高度重視，設(shè)計部署可靠的系統(tǒng)安全解決方案，避免安全隱患。設(shè)計采取防攻擊、防篡改等技術(shù)措施。制定安全應(yīng)急預案。管理和技術(shù)并重，全方位構(gòu)建整個安全保障體系?？蓴U展性要求對**信息化建設(shè)規(guī)劃要長遠考慮，不但滿足當前需要，并在擴充模塊后滿足可預見需求，考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級與銜接。留有擴充余量，包括端口數(shù)和帶寬升級能力。實用性和先進性要求系統(tǒng)建設(shè)首先要從系統(tǒng)的實用性角度出發(fā)，未來的信息傳輸都將依賴于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計必須具有很強的實用性，滿足不同用戶信息服務(wù)的實際需要，具有很高的性能價格比，能為多種應(yīng)用系統(tǒng)提供強有力的支持平臺。經(jīng)濟性要求本次系統(tǒng)建設(shè)中，要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源的價值。要本著以最少的建設(shè)成本，最少的改造成本，持續(xù)獲得當期及未來建設(shè)的最大利益。防火墻1舞鋼網(wǎng)絡(luò)改造拓撲總圖中心服務(wù)器集群一煉接入網(wǎng)532,56；一軋接入網(wǎng)二煉接入網(wǎng)生產(chǎn)網(wǎng)接入交換機

寬帶網(wǎng)接入交換機交換機2IS12808遠程計量網(wǎng)原生產(chǎn)網(wǎng)

核心交換機

華為S8512二軋562,二軋接入網(wǎng)自動化車間自動化車間接入網(wǎng)生產(chǎn)網(wǎng)接入交換機

寬帶網(wǎng)接入交換機銷售部53；銷售部接入網(wǎng)防火墻1舞鋼網(wǎng)絡(luò)改造拓撲總圖中心服務(wù)器集群一煉接入網(wǎng)532,56；一軋接入網(wǎng)二煉接入網(wǎng)生產(chǎn)網(wǎng)接入交換機

寬帶網(wǎng)接入交換機交換機2IS12808遠程計量網(wǎng)原生產(chǎn)網(wǎng)

核心交換機

華為S8512二軋562,二軋接入網(wǎng)自動化車間自動化車間接入網(wǎng)生產(chǎn)網(wǎng)接入交換機

寬帶網(wǎng)接入交換機銷售部53；銷售部接入網(wǎng)生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機軋鋼總降；65(軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接:第3章.系統(tǒng)總體設(shè)計此方案設(shè)計將遵循先進性、實用性、可靠性、易管理性、安全性、擴展性、經(jīng)濟性的原則，為實現(xiàn)**數(shù)據(jù)集中處理的方式，構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng)，能支持全公司范圍內(nèi)的高可靠實時網(wǎng)絡(luò)連接。依據(jù)**網(wǎng)絡(luò)改造建設(shè)的需求，本次方案設(shè)計的網(wǎng)絡(luò)平臺系統(tǒng)的總體示意圖如下：**網(wǎng)絡(luò)改造總體拓撲圖注：圖中橙色字體的設(shè)備為此次新增設(shè)備。具體描述：1．網(wǎng)絡(luò)系統(tǒng)設(shè)計1）整體網(wǎng)絡(luò)結(jié)構(gòu)按照不同的安全級別，主要分為出口區(qū)域、DMZ區(qū)域、中心服

務(wù)器集群區(qū)域、核心交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠程計量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域。作為整個網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域，采用兩臺高端核心交換機雙機熱備的方式，保證核心業(yè)務(wù)的正常開展。同時，依據(jù)業(yè)務(wù)的重要程度對全廠網(wǎng)絡(luò)進行分區(qū)、并進行可靠安全隔離，避免重要程度較低的業(yè)務(wù)對重要程度高的核心業(yè)務(wù)造成影響。生產(chǎn)網(wǎng)接入?yún)^(qū)域，主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備。根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。上述七個匯聚節(jié)點主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺，不再重復建網(wǎng)。新的網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的功能。規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行的服務(wù)器，劃到同一邏輯區(qū)域。考慮到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。設(shè)計新的互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負載均衡等安全設(shè)備，保證全廠用戶的上網(wǎng)安全。原有生活區(qū)用戶不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶使用單獨的出口設(shè)備連接互聯(lián)網(wǎng)。構(gòu)建DMZ區(qū)域，將WWW、DNS、MAIL等需要同時服務(wù)內(nèi)外網(wǎng)用戶的服務(wù)器放到該區(qū)域，設(shè)置VPN、負載均衡等設(shè)備保證服務(wù)安全。能源網(wǎng)和遠程計量網(wǎng)由于是獨立運行的物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在的范圍。但此次我們新增的核心交換，在性能、穩(wěn)定性、處理能力方面，均有能力負載未來其他多個網(wǎng)絡(luò)的融合。2．安全系統(tǒng)設(shè)計本次**網(wǎng)絡(luò)改造項目建設(shè)將考慮如何建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強安全管理工作和安全應(yīng)急工作。通過部署防火墻保證網(wǎng)絡(luò)邊界的安全，保證網(wǎng)絡(luò)層的安全；部署入侵檢測系統(tǒng)實現(xiàn)內(nèi)網(wǎng)安全狀態(tài)的實時監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵，保證主機的安全；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控；部署抗攻擊系統(tǒng)抵御來自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對系統(tǒng)主機、網(wǎng)絡(luò)設(shè)備的脆弱性進行分析；部署時鐘系統(tǒng)使系統(tǒng)的時鐘同步；部署單點登錄系統(tǒng)方便用戶在多個系統(tǒng)間自由穿梭，不必重復輸入用戶名和密碼來確定身份；部署統(tǒng)一認證系統(tǒng)對不同的應(yīng)用系統(tǒng)進行統(tǒng)一的用戶認證，通過統(tǒng)一的用戶認證平臺提供一個單一的用戶登陸入口；部署安全管理平臺實現(xiàn)系統(tǒng)內(nèi)安全事件的統(tǒng)一管理。我們要通過相應(yīng)的安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和管理層等多個方面的完整網(wǎng)絡(luò)安全體系。第4章.基礎(chǔ)平臺詳細規(guī)劃網(wǎng)絡(luò)系統(tǒng)系統(tǒng)設(shè)計目標網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標，是要建立統(tǒng)一融合的、覆蓋全公司范圍內(nèi)的、高速高可靠的網(wǎng)絡(luò)平臺，以支持數(shù)據(jù)集中處理的運行模式。4.1.2.系統(tǒng)設(shè)計原則網(wǎng)絡(luò)系統(tǒng)包括四大部分，一是出口區(qū)域，實現(xiàn)公司用戶的上網(wǎng)需求；二是服務(wù)器區(qū)域，對**現(xiàn)有業(yè)務(wù)系統(tǒng)的主機存儲進行統(tǒng)一管理；三是核心交換區(qū)域，實現(xiàn)全公司所有功能區(qū)域的互聯(lián)互通；四是二級接入?yún)^(qū)域，對整個網(wǎng)絡(luò)現(xiàn)狀進行重新規(guī)劃形成新的匯聚節(jié)點，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新的管理網(wǎng)絡(luò)中，實現(xiàn)單一終端對所有業(yè)務(wù)系統(tǒng)的統(tǒng)一訪問。網(wǎng)絡(luò)系統(tǒng)有良好的擴展性，保證網(wǎng)絡(luò)在建設(shè)發(fā)展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不斷地擴大。網(wǎng)絡(luò)線路及核心、關(guān)鍵設(shè)備有冗余設(shè)計。核心設(shè)備和關(guān)鍵設(shè)備保證高性能、高可靠性、大數(shù)據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)的設(shè)計充分考慮系統(tǒng)的安全性。4.1.3.整體網(wǎng)絡(luò)規(guī)劃按照結(jié)構(gòu)化、模塊化的設(shè)計原則，實現(xiàn)高可用、易擴展、易管理的建設(shè)目標。網(wǎng)絡(luò)整體拓撲如下圖所示：

舞鋼網(wǎng)絡(luò)改造拓撲總圖出□區(qū)域Internet聯(lián)通WWWDNSMAIL防火墻2原生產(chǎn)網(wǎng)核心交換機華為S8512一軋匯聚交換機中心服務(wù)器集群質(zhì)量管備管全MES人事采料OA產(chǎn)銷DMZ區(qū)域防火墻1能源網(wǎng)自動化車間銷售部二煉軋鋼總降二軋5365562一煉接入網(wǎng)二煉接入網(wǎng)二軋接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機交換機2舞鋼網(wǎng)絡(luò)改造拓撲總圖出□區(qū)域Internet聯(lián)通WWWDNSMAIL防火墻2原生產(chǎn)網(wǎng)核心交換機華為S8512一軋匯聚交換機中心服務(wù)器集群質(zhì)量管備管全MES人事采料OA產(chǎn)銷DMZ區(qū)域防火墻1能源網(wǎng)自動化車間銷售部二煉軋鋼總降二軋5365562一煉接入網(wǎng)二煉接入網(wǎng)二軋接入網(wǎng)銷售部接入網(wǎng)軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機交換機2S12808:網(wǎng)接入交換機胸接入交換機動化車間接入網(wǎng)生產(chǎn)網(wǎng)寬帶網(wǎng)注：圖中橙色字體的設(shè)備為此次新增設(shè)備。生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng) 一軋接入網(wǎng)按照“模塊化”設(shè)計原則，需要對**整體網(wǎng)絡(luò)結(jié)構(gòu)進行分區(qū)設(shè)計。根據(jù)**公司業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：核心交換區(qū)：此區(qū)域用于實現(xiàn)各分區(qū)之間的數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的核心樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，公司員上網(wǎng)，對外發(fā)布公司信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心服務(wù)器區(qū)：此區(qū)域部署核心業(yè)務(wù)服務(wù)器，包括MES、OA、人事、安全管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)匯聚區(qū)：實現(xiàn)公司辦公樓、各分廠等匯聚網(wǎng)絡(luò)接入，二級單位可以通過該接入?yún)^(qū)域?qū)崿F(xiàn)對業(yè)務(wù)系統(tǒng)的訪問。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶和公司核心交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備。4.1.4.分區(qū)設(shè)計詳解核心交換區(qū)設(shè)計此次網(wǎng)絡(luò)改造，建議新增兩臺高性能的核心交換機作為**的網(wǎng)絡(luò)核心。核心層作為整個**網(wǎng)絡(luò)的核心處理層，連接各分布層設(shè)備和**核心服務(wù)器區(qū)，核心層應(yīng)采用兩臺高性能的三層交換機采用互為冗余備份的方式實現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換機，同時，兩臺核心設(shè)備與分布層各設(shè)備連接，保證每臺分布層設(shè)備分別與兩臺核心層設(shè)備具有網(wǎng)絡(luò)連接，通過鏈路的冗余和設(shè)備冗余的設(shè)計，保證整個核心層的高可靠性。兩臺核心設(shè)備之間應(yīng)至少保證2Gbps全雙工的速率要求，并能平滑升級到10Gbps。核心區(qū)是整個平臺的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計的關(guān)鍵指標。否則，一旦核心模塊出現(xiàn)異常而不能及時恢復的話，會造成整個平臺業(yè)務(wù)的長時間中斷，影響巨大。互聯(lián)網(wǎng)出口區(qū)設(shè)計**與外網(wǎng)的出口區(qū)域，目前是通過建立獨立的寬帶網(wǎng)，實現(xiàn)辦公區(qū)和生活區(qū)通過統(tǒng)一出口訪問外網(wǎng)的。在此次網(wǎng)絡(luò)改造中，我們計劃把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng)隔離開，通過不同的出口訪問外網(wǎng)。改造后的生活區(qū)網(wǎng)絡(luò)拓撲結(jié)果如下圖所示：

如上圖所示，此次生活區(qū)的網(wǎng)絡(luò)改造會增加新的防火墻和負載均衡設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨的出口設(shè)備連接到互聯(lián)網(wǎng)。改在后的廠區(qū)互聯(lián)網(wǎng)出口區(qū)域，如下圖所示：如上圖所示，工作區(qū)的網(wǎng)絡(luò)改造同樣會增加新的防火墻和負載均衡設(shè)備，以及上網(wǎng)行為管理等安全設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨的出口設(shè)備之間連接到互聯(lián)網(wǎng)。出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包括一個DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時服務(wù)內(nèi)、外網(wǎng)用戶的服務(wù)器放到該區(qū)域，中心服務(wù)器區(qū)設(shè)計規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行的服務(wù)器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個區(qū)域接入到核心，而邏輯上可以再劃分為多個業(yè)務(wù)應(yīng)用區(qū)，根據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)服務(wù)器區(qū)（如ERP等）、辦公服務(wù)器區(qū)（如OA等）、管理服務(wù)器區(qū)（如IT運維、管理等系統(tǒng)）等?？紤]到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。中心服務(wù)器集群人事采購OA產(chǎn)銷 LC LA IX f\ II、 I _質(zhì)量管備管理MES網(wǎng)絡(luò)匯聚區(qū)設(shè)計網(wǎng)絡(luò)匯聚區(qū)域，根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。該區(qū)域的網(wǎng)絡(luò)設(shè)備

主要以現(xiàn)有的生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的匯聚設(shè)備，同時考慮現(xiàn)有匯聚設(shè)備性能不能滿足需求的情況，新增高新能的匯聚設(shè)備。匯!二煉

匯聚交換機S5624.一煉接入網(wǎng)生產(chǎn)網(wǎng)接入交換機二煉接入網(wǎng)網(wǎng)接

網(wǎng)接原生產(chǎn)網(wǎng)核心交換機華為8512.二軋匯聚交二軋接入網(wǎng)自動化車間匯聚交換機S6324^自動化車間接入I銷售部匯聚交換”S5324銷售部接入網(wǎng)軋鋼總降匯!二煉

匯聚交換機S5624.一煉接入網(wǎng)生產(chǎn)網(wǎng)接入交換機二煉接入網(wǎng)網(wǎng)接

網(wǎng)接原生產(chǎn)網(wǎng)核心交換機華為8512.二軋匯聚交二軋接入網(wǎng)自動化車間匯聚交換機S6324^自動化車間接入I銷售部匯聚交換”S5324銷售部接入網(wǎng)軋鋼總降軋鋼總降接入網(wǎng)接入層部分網(wǎng)絡(luò)匯聚節(jié)點主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺，不再重復建網(wǎng)。新的網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的功能。接入層設(shè)備與分布層設(shè)備通過1000M光纖或雙絞線的方式連接，在用戶量較少的分節(jié)點可以采用100M上聯(lián)方式，與各終端用戶連接一般采用100M或者1000M雙絞線的方式。生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入，通過自動化車間和軋鋼總降等匯聚節(jié)點，接入到新的數(shù)據(jù)網(wǎng)絡(luò)中。各個分廠區(qū)的網(wǎng)絡(luò)接入情況如下圖所示：自動化車間匯聚網(wǎng)絡(luò)拓撲圖自動化車間

匯聚交換機

-熔工632?吭「辦公樓

匯聚交換機S5324；S53匯聚S2424其他

匯聚交換機

S5324辦公樓

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入質(zhì)量部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入技改部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入鍛造廠

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入科技部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入人事、財務(wù) 其他生產(chǎn)網(wǎng)接入 生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入 寬帶網(wǎng)接入自動化車間匯聚網(wǎng)絡(luò)拓撲圖自動化車間

匯聚交換機

-熔工632?吭「辦公樓

匯聚交換機S5324；S53匯聚S2424其他

匯聚交換機

S5324辦公樓

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入質(zhì)量部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入技改部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入鍛造廠

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入科技部

生產(chǎn)網(wǎng)接入

寬帶網(wǎng)接入人事、財務(wù) 其他生產(chǎn)網(wǎng)接入 生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入 寬帶網(wǎng)接入自動化車間匯聚網(wǎng)絡(luò)拓撲圖軋鋼總降匯聚網(wǎng)絡(luò)拓撲圖軋鋼總降

匯聚交換機

S650624原料部生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入動力廠生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入原料匯聚交其他生產(chǎn)網(wǎng)接入寬帶網(wǎng)接入動力廠匯聚交換S5324S5324軋鋼總降匯聚網(wǎng)絡(luò)拓撲圖4.1.5.網(wǎng)絡(luò)協(xié)議設(shè)計4?1?5?1?IP地址和VLAN規(guī)劃IP地址是網(wǎng)絡(luò)設(shè)計工作中重要的一環(huán)，使用IP地址不當會造成路由表龐大、難以部署安全控制、地址重疊問題、地址空間耗盡等問題，會給網(wǎng)絡(luò)運行帶來很大麻煩。為了讓**網(wǎng)絡(luò)建設(shè)項目順利進行，我們建議**網(wǎng)絡(luò)采用以下IP地址規(guī)劃原則進行適當改進：1、 為公司各個二級單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采用統(tǒng)一規(guī)劃，統(tǒng)一分配，統(tǒng)一管理的地址設(shè)計原則，避免重疊地址的出現(xiàn)。設(shè)定專門流程和人員對全公司網(wǎng)絡(luò)地址進行記錄和權(quán)限管理。2、 盡可能采用私有地址進行IP地址分配。私有地址就是我們熟知的三類網(wǎng)絡(luò)地址，分別是A類網(wǎng)中的~55范圍，B類網(wǎng)中的~55范圍，C類網(wǎng)中的?192?168?255?255范圍。3、 整網(wǎng)地址規(guī)劃思路可按照以下方法設(shè)計，如10.X.Y.Z,X為不同廠區(qū)進行標示，Y為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進行標示，Z為主機地址位。4、 同一個區(qū)域內(nèi)部，使用連續(xù)的IP子網(wǎng)進行IP地址分配。例如，廠區(qū)A內(nèi)需要有4個C類網(wǎng)絡(luò)，為了滿足地址匯聚需要，應(yīng)該為連續(xù)的C類網(wǎng)絡(luò)。例如:/24、/24、/24和/244個網(wǎng)絡(luò)可以匯聚成/22。在定義測試區(qū)安全策略時，不用將4個網(wǎng)段同時定義成ACL，使用一條ACL就可以包括全部網(wǎng)絡(luò)。5、 使用可變長掩碼規(guī)劃網(wǎng)絡(luò)地址，根據(jù)IP地址使用對象的特點，部署不同長度子網(wǎng)掩碼。例如，應(yīng)用網(wǎng)段的IP地址，可以采用C類網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間的互連地址可以采用29位掩碼。6、 不同主機實際網(wǎng)關(guān)IP地址與HSRP使用的IP地址應(yīng)該在整個數(shù)據(jù)中心統(tǒng)一,使用相同的方式配置，例如：整個廠區(qū)均采用X.X.X.1作為主機實際網(wǎng)關(guān)IP地址，HSRP采用X.X.X.254為HSRP網(wǎng)關(guān)地址。7、 網(wǎng)絡(luò)互連地址采用IP地址網(wǎng)段的頭兩個可用地址，核心側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。例如，設(shè)備A與設(shè)備B互連，采用/29網(wǎng)段為互連地址，該網(wǎng)段頭兩個可用地址為和，設(shè)備A為核心設(shè)備，配置奇數(shù)地址，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址。8、網(wǎng)絡(luò)設(shè)備配置環(huán)回地址(32位掩碼地址)，用于網(wǎng)絡(luò)管理和日志管理。VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個邏輯網(wǎng)絡(luò)，從而降低廣播風帶來的影響，也可提高網(wǎng)絡(luò)可管理性和安全性。建議在此次網(wǎng)絡(luò)建設(shè)中可按照以下原則對新建VLAN及原有VLAN進行適當調(diào)整和修改。1、 VLANID的規(guī)劃可按照應(yīng)用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義，這里建議按照原有網(wǎng)絡(luò)規(guī)劃方法進行。2、 VLANID可以是2-4096任意數(shù)字，為了方便標示和管理，建議ID與IP網(wǎng)段地址相關(guān)聯(lián)。如/24-VLAN10;/24—VLAN20;/24—VLAN30等。3、 VLAN規(guī)劃避免重復，全網(wǎng)VLAN靜態(tài)手動分配(在根交換機)，統(tǒng)一管理和記錄。動態(tài)路由協(xié)議對一個大網(wǎng)絡(luò)來說，選擇一個合適的路由協(xié)議是非常重要的，不恰當?shù)倪x擇有時對網(wǎng)絡(luò)是致命的，路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復、網(wǎng)絡(luò)的靈活擴展都有很重要的影響。目前存在的路由協(xié)議有：RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據(jù)路由算法的性質(zhì)，它們可分為兩類：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/IS-IS)?？捎糜诖笠?guī)模的網(wǎng)絡(luò)同時又基于標準的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計算的最短路徑路由協(xié)議；采用同一種最短路徑算法(Dijkstra)?？紤]到產(chǎn)品對OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經(jīng)驗，建議采用OSPF做為**網(wǎng)絡(luò)的主用動態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF的特征如下：通過維護一個鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法。使用Hello包來建立和維護路由器之間的鄰接關(guān)系。使用域（area）來建立兩個層次的網(wǎng)絡(luò)拓撲。?具有域間路由聚合的能力。?無類（classless）協(xié)議。通過選舉指派路由器（DesignedRouter）來代替網(wǎng)絡(luò)廣播。?具有認證的能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，變化被立即廣播到網(wǎng)絡(luò)中的每一個路由器。每個路由器計算到網(wǎng)絡(luò)的每一目標的一條路徑，創(chuàng)建以它為根的路由拓撲結(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹（SPF樹）。下圖是OSPF分Area的狀態(tài)。OSPFArea的分界處在路由器上，如圖所示，一些接口在一個Area內(nèi)，一些接口在其它Area內(nèi)，當一個OSPF路由器的接口分布在多個Area內(nèi)時，這個路由器就被稱為邊界路由器（ABR）。每個路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。AreaO被作為主干區(qū)域，所有區(qū)域必須與AreaO相鄰接。在ABR（區(qū)域邊界路由器，AreaBorderRouter）上定義了兩個區(qū)域之間的邊界。ABR與Area0和另一個非主干區(qū)域至少分別有一個接口。OSPF允許自治系統(tǒng)中的路由按照虛擬拓撲結(jié)構(gòu)配置，而不需要按照物理互連結(jié)構(gòu)配置。不同區(qū)域可以利用虛擬鏈路連接。允許在無IP情況下，使用點到點鏈路，節(jié)省IP空間。OSPF是一個高效而復雜的協(xié)議，路由器運行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴展性和可管理性四個方面對OSPF進行介紹：＞層次能力通過areas支持層次化邊界在router內(nèi)鏈路狀態(tài)數(shù)據(jù)庫（LSDB）來自網(wǎng)絡(luò)或路由器LSA尺寸一64KBto5000條鏈路的限制穩(wěn)定性依靠路由設(shè)計和實現(xiàn)大型網(wǎng)絡(luò)中使用呈現(xiàn)增強的趨勢＞擴展性使用擴展TLV編碼策略新擴展需開發(fā)時間＞管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗較多此次網(wǎng)絡(luò)建設(shè)項目，我們建議在各個區(qū)域之間開始部署OSPF動態(tài)路由協(xié)議。因為接入交換機多數(shù)為二層交換機，無法一次實現(xiàn)路由到用戶邊界的改造，所以此次僅將各個區(qū)域的核心交換開啟路由進程，今后可逐步實現(xiàn)全網(wǎng)的路由建設(shè)。各個區(qū)域在本次設(shè)計中都部署高性能三層交換機，這些交換機需具備完整的路由支持功能。區(qū)域間核心設(shè)備組建OSPF協(xié)議的骨干area，未來在大范圍部署動態(tài)路由協(xié)議時，可考慮將各個廠區(qū)劃分為areal，area2等等，可以充分做到基于area的路由匯總和控制。

數(shù)據(jù)中心區(qū)A絡(luò)核心區(qū)樓層接入A廠區(qū)樓層接入B廠區(qū)樓層接入數(shù)據(jù)中心區(qū)A絡(luò)核心區(qū)樓層接入A廠區(qū)樓層接入B廠區(qū)樓層接入N廠區(qū)OSPFAREANOSPFAREA2AREA0OSPFAREA1互聯(lián)網(wǎng)區(qū)域可按照需要，適當采用靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通。未來可逐漸增加路由的范圍，逐步演變?yōu)槁酚傻接脩暨吔绲男问健?.1.6.設(shè)備選型建議華為產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機華為S12808背板帶寬：32Tbps；包轉(zhuǎn)發(fā)率：9600Mpps；8個業(yè)務(wù)槽位；支持基于Layer2、Layer3、Layer4優(yōu)先級等的組合流分類支；電源功率：W10800W；2華為S9306背板帶寬：6Tbps；包轉(zhuǎn)發(fā)率：1152Mpps；擴展模塊：6個業(yè)務(wù)槽位；支持基于Layer2協(xié)議；安全管理：802.1X認證1生活區(qū)寬帶網(wǎng)核心交換機匯聚交換機華為S632424個GESFP/10GESFP+端口，雙電源槽位，含USB接口，交流供電；轉(zhuǎn)發(fā)性能：715M；交換容量:960G；2華為S532420個10/100/1000Base-T,4個千兆Combo口分交流供電和直流供電兩種機型，支持RPS12V冗余電源，支持USB口，交換容量48G14華三產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機H3CS12508機箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3CS10508機箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)核心交換機匯聚交換機H3CS7506E機箱，雙SalienceVI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3CS5500H3CS5500-52C-EI-以太網(wǎng)交換機主機(48GE+4SFPCombo+2Slots)，4個單模SFP模塊14安全系統(tǒng)4.2.1.系統(tǒng)設(shè)計目標本次**網(wǎng)絡(luò)改造項目建設(shè)目標是通過建立完善的安全體系，在網(wǎng)絡(luò)安全，主機安全和應(yīng)用安全三個層面上，搭建一套立體的安全架構(gòu)。這樣可以實現(xiàn)抵御各個層面的攻擊，防止病毒入侵等功能。同時進行主機的風險評估和安全加固服務(wù)，提前屏蔽漏洞風險。并通過安全管理平臺實現(xiàn)安全審計功能，做到事件追蹤。4.2.2.系統(tǒng)設(shè)計原則整體性原則建設(shè)**安全系統(tǒng)時應(yīng)充分考慮各個層面的因素，總體規(guī)劃各個出入口網(wǎng)關(guān)的安全策略。本次**網(wǎng)絡(luò)改造項目充分考慮各個環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)等，它們在網(wǎng)絡(luò)安全設(shè)計中是非常重要的。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。適應(yīng)性及靈活性原則隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，對網(wǎng)絡(luò)安全策略的需求會不斷變化，所以本次部署的安全策略必須能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及安全需求的變化而變化，要做到容易適應(yīng)、容易修改。一致性原則一致性原則只要指安全策略的部署應(yīng)與其他系統(tǒng)的實施工作同時進行，方案的整體安全架構(gòu)要與網(wǎng)絡(luò)平臺結(jié)構(gòu)相結(jié)合。安全系統(tǒng)的設(shè)計思想應(yīng)該貫穿在整個網(wǎng)絡(luò)平臺設(shè)計中，體現(xiàn)整體平臺的一致安全性。需求、風險、代價平衡的原則對網(wǎng)絡(luò)要進行實際的研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔的風險以及付出的代價進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。易操作性原則安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；同時措施的采用不能影響系統(tǒng)的正常運行。多重保護原則本次**安全系統(tǒng)要建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。經(jīng)濟性原則在滿足**系統(tǒng)安全需求的前提下，選用經(jīng)濟實用的軟硬件設(shè)備，以便節(jié)省投資，即選用高性能價格比的設(shè)備；同時，應(yīng)該充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用潛力，盡可能以最低成本來完成安全系統(tǒng)建設(shè)。4.2.3.安全體系結(jié)構(gòu)**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：

移動出口區(qū)域舞鋼網(wǎng)絡(luò)安全區(qū)域劃分圖安全級別低聯(lián)通—安全級別最高MAIL防火墻2管理網(wǎng)區(qū)域安全級別高核心交換機1-.華為S128質(zhì)量設(shè)備管理MES DMZ區(qū)域,....安全級別中WWW—DNS-中心服務(wù)器集群原料人事采購OA'X移動出口區(qū)域舞鋼網(wǎng)絡(luò)安全區(qū)域劃分圖安全級別低聯(lián)通—安全級別最高MAIL防火墻2管理網(wǎng)區(qū)域安全級別高核心交換機1-.華為S128質(zhì)量設(shè)備管理MES DMZ區(qū)域,....安全級別中WWW—DNS-中心服務(wù)器集群原料人事采購OA'X占□□□防火墻1能源網(wǎng)__核心交換機2華為S12808遠程計量網(wǎng)自動化車間銷售部二煉軋鋼總降一軋二軋56銷售部接入網(wǎng)原生產(chǎn)網(wǎng)核心交換機華為S8512-生產(chǎn)網(wǎng)接入交換機網(wǎng)接入交換機 生?入交換機生帶網(wǎng)接入交換機生產(chǎn)網(wǎng)接入交換機軋鋼總降接入網(wǎng)生產(chǎn)網(wǎng)接入交換機寬帶網(wǎng)接入交換機一煉接入網(wǎng)、C—軋接入網(wǎng) —煉接入網(wǎng) 一軋接入網(wǎng)”自動化車間接入網(wǎng)1**網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示，**網(wǎng)絡(luò)系統(tǒng)劃分為多個安全區(qū)域，分別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪問Internet，部分設(shè)備也可由Internet訪問，但均不可由公網(wǎng)直接路由到，安全級別為中；管理網(wǎng)接入求負責公司二級接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互，安全級別為高；中心服務(wù)器區(qū)域設(shè)備為**核心數(shù)據(jù)，在公網(wǎng)不可以訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后訪問特定服務(wù)，安全級別最高。安全級別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級別較高。4.2.4.子系統(tǒng)規(guī)劃網(wǎng)絡(luò)隔離系統(tǒng)出口防火墻通過部署兩臺千兆出口防火墻實現(xiàn)Internet與**內(nèi)網(wǎng)的隔離。兩臺防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級；公網(wǎng)到備內(nèi)網(wǎng)只針對DMZ區(qū)域開放相應(yīng)端口（如80）。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對這些需求打開相應(yīng)的IP和端口。內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實現(xiàn)數(shù)據(jù)流的動態(tài)分擔。實現(xiàn)安全的同時兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機的IP與服務(wù)端口，其他訪問一律禁止。入侵檢測系統(tǒng)**網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（IPS）。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺IPS設(shè)備?？杀O(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對DMZ區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對核心內(nèi)網(wǎng)的數(shù)據(jù)交互。漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，發(fā)現(xiàn)并修正存在的弱點和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。針對本系統(tǒng)的網(wǎng)絡(luò)設(shè)計，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進行訪問。漏洞掃描系統(tǒng)部署后，將會對**的各個業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進行掃描，根據(jù)掃描評估結(jié)果可以及時發(fā)現(xiàn)系統(tǒng)漏洞并及時采取措施。安管平臺系統(tǒng)安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統(tǒng)。其中安全管理平臺服務(wù)器部署在**核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護，外網(wǎng)用戶不允許訪問該服務(wù)器。被管對象和安全管理平臺服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達。本次安全管理平臺需要管理重要服務(wù)器和所有安全設(shè)備，收集日志后并做出分析，分出告警級別。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進行設(shè)計和考慮。通過分析**網(wǎng)絡(luò)系統(tǒng)的特點，可以總結(jié)病毒感染的途徑如下：部分服務(wù)器如windows平臺容易受到病毒攻擊；公司內(nèi)部員工若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP等流量把病毒和惡意的移動代碼帶入網(wǎng)站；?通過U盤傳播病毒；各種蠕蟲病毒主動地通過網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護及病毒監(jiān)控。本次方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進行病毒防護，嚴防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。統(tǒng)一用戶/身份管理用戶是IT系統(tǒng)中各類活動的實體，如人、組織、虛擬團隊等。用戶管理是指在IT系統(tǒng)中對用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認證等，身份管理是基礎(chǔ)，用戶授權(quán)和認證是之上的服務(wù)。身份是一個實體區(qū)別于其它實體的特性，IT系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的屬性的集合。身份屬性具有一些特點：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產(chǎn)生和維護身份屬性的過程，也是管理不同實體之間關(guān)系的能力。身份管理(IdentityManagement)是用戶管理(UserAdministration)的一部分。統(tǒng)一用戶管理(UUM)就是對不同的應(yīng)用系統(tǒng)進行統(tǒng)一的用戶認證，通過統(tǒng)一的用戶認證平臺提供一個單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時經(jīng)過統(tǒng)一用戶管理平臺認證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時統(tǒng)一用戶管理平臺還提供對長時間無應(yīng)用操作的超時重認證功能，更加可靠的保證安全。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安全性能更高的CA、USBKey等，使用戶在使用統(tǒng)一身份認證平臺上有更靈活的選擇。在認證手段上，統(tǒng)一用戶管理提供支持LDAP/AD協(xié)議的認證中心管理，支持多種認證中心認證，保證用戶信息的安全、可靠。

4?2?4?7?單點登錄單點登錄(SSO,SingleSign-on)是一種方便用戶訪問多個系統(tǒng)的技術(shù)，用戶只需在登錄時進行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復輸入用戶名和密碼來確定身份。單點登錄的實質(zhì)就是安全上下文(SecurityContext)或憑證(Credential)在多個應(yīng)用系統(tǒng)之間的傳遞或共享。當用戶登錄系統(tǒng)時，客戶端軟件根據(jù)用戶的憑證(例如用戶名和密碼)為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限?？蛻舳讼驊?yīng)用服務(wù)誰請求訪問某資源?應(yīng)用服務(wù)器垂定向到開0服務(wù)器請求如杲用戶未登錄陰0安全域.SS0S務(wù)器將請求堇定向到身份認證衆(zhòng)務(wù)-用戶通過身份認證后，逼0服務(wù)器為其生成身階標識，并簽發(fā)身份斷言.SS0衆(zhòng)務(wù)署重定向到撞用服務(wù)器，應(yīng)用服務(wù)器驗證斷言有效性，從斷