1、xxx股份有限公司网络系统集成方案编制:日期:目 录一、前言21.1系统概述2二、需求分析:32.1网络需求32.2管理需求42.3总体目标4三、设计方案53.1网络部分设计细节(将内外网逻辑隔离设计包含其中)6四、实施方案:74.1 核心交换机74.2交换机业务特性94.3防火墙94.4 S5700VLAN配置细则124.5 安全策略13五、产品特点与选配说明155.1 核心交换机:华为5700-48TP155.2 接入层交换机:S1700-52R-2T2P-AC165.3 防火墙:深信服AF-1580-WAF18来自互联网的由外而内的安全风险18来自用户由内而外的安全风险20来自终端的安全
2、风险21六、技术支持服务22七、产品选型与报价24一、 前言XXX公司是国家级重点高新技术企业,公司坐落在风景秀美的xxx市。1.1系统概述随着网络建设和信息化程度的不断深入,对信息化网络系统的要求也越来越高,搭建现代化信息平台势在必行。针对XXX公司网络系统建设,要求既能适应网络稳定及安全发展需要,又具备先进的扩展功能,保证网络应用。将以科学发展观为指导思想,应用先进的设计架构和技术,实现网络系统现代化,从而建设完善的智能化网络系统平台。二、 需求分析:非常荣幸我司能够参与此次XXX公司的互联网安全保障与网络设备平台建设项目,希望我司的分析方案,能为贵公司对当前XXX公司网络基础架构与信息安
3、全保障所存在的问题提供一些参考,通过进一步的优化调整、升级,以满足信息化建设及日后的管理、应用以及信息安全的需要。建设成为一体化硬件、一体化安全、一体化管理的现代化系统。保证的办公自动化、内部视频传输、网络资源共享、Web网站等IT应用的高效运营和管理,为办公和工作提供了诸多方便,实现与应用系统的综合承载,对全网资源的统一调配,以及减轻网络运维管理的复杂度。2.1网络需求在目前、网络速度已经进入千兆交换的时代,各种业务系统的数据对网络的接入速度要求越来越高。我司建议选择千兆交换机作为网主干网络,广域网通过合肥市的城域网光纤接入Internet,这样就能够解决内外网所面临的各种性能上的瓶颈。让公
4、司的数据汇总、资源共享、网络应用、城建医院互联等业务能够轻松的开展,能够为XXX公司的网络应用提供一个好的保障,从而建设一个一流的、高速的网络系统。在当前网络现况,XXX公司网线均已布到桌面,那么只需要采用千兆技术交换设备,就可实现千兆直接到桌面,而且从经济的角度来说,也是很划算的,因为目前的计算机系统中,基本上网卡都是10/100M或者1000M自适应的,价格非常便宜,我们只需要考虑网络平台设备的性能、功能选型即可。在与互联网的连接过程中,为了防止网络黑客对于网中各个节点的网的攻击,建议采用专业的硬件应用型防火墙的方式来保证网内部的安全。2.2管理需求XXX公司网络的改造,必然将XXX公司的
5、管理带上一个新的台阶,但是一个好的网系统,必然需要一个强大的网络管理系统,从应用成本考虑,应该尽量采用一些免费的软件系统,这样才能够尽量节省在网络建设、网络管理上的资金。而事实上,通过采用华为的产品,利用交换机自身的管理功能,就可以满足相当多一部分的管理需求,而且是通过底层的方式,更具备稳定、高效等特点,从业务上实现真正的网络管理。l 故障管理,它是网络管理中最基本的功能之一,其功能主要是使管理中心能够实时监测网络中的故障,并能对故障原因作出诊断和进行定位,从而能够对故障进行排除或能对网络故障进行快速隔离,以保证网络能够连续可靠地运行。l 安全管理:制定一套合理的网络规划,包含:IP的合理划分
6、、VLAN细腻的逻辑隔离、一些ACL的访问策略等,通过细致、周详、有条理性的规划现有的网络资源、不仅仅可以为XXX公司的信息化建设节约投资,也可以解决各种业务、安全应用所带来的一部分问题,l 病毒防护:目前XXX公司采用开放式的上网方式、网络中部署防毒网关,随着互联网业务的广泛应用,浏览网页、下载软件、P,都带来了非常繁重的防病毒压力,选择网关杀毒的方式,可以有效的防御外部病毒、木马的入侵l 上网行为管理:时间就是金钱,就是效率,同时随着网络的高速接入,各种P2P类的广泛应用,对XXX公司的带宽利用都带来非常大的压力,如果有效的管理正常上班时间的互联网行为?如何保障正常的互联网应用,如何保证V
7、PN数据互联的速度?2.3总体目标XXX公司在建设过程中,将对整个网络进行统一规划、统一建设、统一管理。充分利用现有的资源,建成专用的网。同时,建成的网络是集办公、管理和信息发布为一体的综合服务体系,能够适应各种应用的要求,完成各种形式的信息传递的功能,集成文本、数据、表格、图象、语音、视频的通信,突破传统的数据和音像分割的局面,做到一网多用,避免重复建设。在通过与信息中心各位领导以及专工的沟通与交流,根据对贵公司的业务特点、网络现有情况的了解,提出以下四个企业内外网改造思路:2.3.2提高安全性信息的便利性犹如双刃剑,带来快捷的同时,也不可避免的带来让人忧虑的安全隐患,那么当我们将公司的接入
8、互联网时、在实现互通的情况下,我们需要更多考虑信息的安全性2.3.3增强管理能力 没有规矩、不成方圆。就像在安全性的描述一样,带来了便捷,就可能意味着增加了管理的复杂性、增加了管理的难度性、如何增强管理,同样是我们在做信息规划时不能忽视的一部分2.3.4 提高骨干网络的速率XXX公司以及分公司信息化应用的不断增加、与总部之间业务往来不断的加深,都对网络带来了新的要求。通过实施千兆网络设备升级,接入层设备端口聚合,提升核心网络交换速率,来满足今后一段周期的带宽需求。2.3.6 高性价比利用我们丰富的实施经验,结合贵公司真实需求,在考虑性能、质量、服务的前提下,高可靠性、高性价比,充分的利用现有设
9、备与新选型的设备来实现以最低的成本来满足贵公司的生产需求三、 设计方案根据XXX公司企业内外网的规模和管理情况,本解决方案将根据以下原则进行内网保护方案的设计:1. 方案应该统一规划,分步实施,实施各个阶段应该保持良好的衔接;2. 方案的选型必须是基于现有的成熟产品和系统,具有可靠的稳定性;3. 方案应具有良好的可管理性和可维护性,具备良好的管理性、安全性;4. 方案必须具有良好的易用性和兼容性,不会改变业务系统的主要结构,也不会对网络管理的操作人员带来过多的操作习惯;3.1网络部分设计细节(将内外网逻辑隔离设计包含其中) XXX公司采用千兆接入、千兆汇聚的方式进行网络平台的搭建3.1.1、增
10、加汇聚层核心交换机,将内网接入核心交换网络口中,通过接口定义,实现逻辑隔离,此项功能实现要求边界网关具备多网络与路由接口,方便日后新的业务需求,随时增加,而不需要增加额外设备。3.1.2、在汇聚层核心交换机上添加若干VLAN网段,内外网分别接在不同VLAN号中,并设置原内网与外网之间通讯的访问策略,仅开通部分常用端口;3.1.3、VLAN划分对象可设置成以楼层、部门等定义方式,有针对性的定义不同VLAN的访问权限,以完善当前PC接入的情况,通过底层的方式控制一部分因网络病毒等形式的网络攻击造成的网络问题,各VLAN之间互访通过核心交换机控制。3.1.5、公司内网全部通过核心交换实行IP-MAC
11、地址绑定,避免外来PC未经许可就可随意接入公司内网,并可防护一定的ARP病毒攻击,在无法快速定位攻击源的同时,降低网络中其他PC、网络受到的攻击影响(也可以通过防火墙的方式进行IP-MAC绑定)。3.1.6、配置端口隔离,可以基于楼层或者基于交换机的方式,配置端口隔离,更快速和便捷的减少不不要的数据流量3.1.7、划分多个子网,虚拟VLAN,并对应不同VLAN,制作IPMAC对应表、VLAN分配表、接口对应表。3.1.8、由于XXX公司公司的业务特点与需求、遵循“内网可以访问限制的外网,外网可以访问内网”的原则,我们通过防火墙的3层网络层,与7层应用层的方式,定义更细腻的访问内容与访问方式3.
12、1.9、通过VPN准入策略来定义接入终端的系统环境,强制性的要求分公司PC遵循公司内部网络接入准则,来更好,更低成本的实现内部业务系统的安全。3.1.10、配置防火墙的上网行为管理功能,关闭成人、钓鱼、病毒URL内置库、开启关闭已知木马代理、控制游戏、股票、P2P等资源应用、开启带宽控制,保障正常上网与VPN、服务器的带宽保障,设置网络应用审计,提供分析报表供管理员进行网络与行为分析等。3.1.12、设置防火墙包过滤,仅开启部分可用端口,关闭其他所有端口,同时开启防QOS攻击、IP攻击、扫描等攻击,提升边界安全防护性,同时设置基于应用层的访问防护,比如针对80的端口控制的同时,限制上网URL的
13、访问范围,限制通过80端口访问的有害连接等四、 实施方案: 根据XXX公司的需求,核心交换机使用华为5700-48TP做为整体网络的核心,华为S1724G为接入层交换机,各网段、服务器、内网用户、外网用户、内外兼网用户等设置不同的访问权限,根据安全策略来实现不同的访问问划分主要设备如下:4.1 核心交换机-S5700-48TP主要参数产品类型千兆以太网交换机 纠错 应用层级三层 纠错 传输速率10/100/1000Mbps 纠错 交换方式存储-转发 纠错 背板带宽256Gbps 纠错 包转发率96Mpps 纠错 MAC地址表16K 纠错 端口参数端口结构非模块化 纠错 端口数量28个 纠错 端
14、口描述24个10/100/1000Base-T端口,4个100/1000Base-X千兆Combo口 纠错 扩展模块2个扩展插槽 纠错 传输模式全双工/半双工自适应 纠错 功能特性网络标准IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3z,IEEE 802.3x,IEEE 802.1Q,IEEE 802.1d,IEEE 802.1X 纠错 堆叠功能可堆叠 纠错 VLAN支持4K个VLAN支持Guest VLAN、Voice VLAN支持基于MAC/协议/IP子网/策略/端口的VLAN支持1:1和N:1 VLAN交换功能 纠错 QOS支持对端口接收和发
15、送报文的速率进行限制支持报文重定向支持基于端口的流量监管,支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度算法支持报文的802.1p和DSCP优先级重新标记支持L2(Layer 2)-L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能 纠错 组播管理支持对端口接收和发送报文的速率进行限制支持报文重定向支持基于端口的流量监管,支持双速三色CAR功能每端口支持8个队列支持WRR、DRR、SP、WRRSP、DRR+SP队列调度
16、算法支持报文的802.1p和DSCP优先级重新标记支持L2(Layer 2)-L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议、VLAN的非法帧过滤功能支持基于队列限速和端口Shapping功能 纠错 网络管理支持堆叠支持MFF支持虚拟电缆检测(Virtual Cable Test)支持端口镜像和RSPAN(远程端口镜像)支持Telnet远程配置、维护支持SNMPv1/v2/v3支持RMON支持网管系统、支持WEB网管特性支持集群管理HGMP支持系统日志、分级告警支持GVRP协议支持MUX VLAN功能 纠错 安全管理用户分级管理和口
17、令保护支持防止DOS、ARP攻击功能、ICMP防攻击支持IP、MAC、端口、VLAN的组合绑定支持端口隔离、端口安全、Sticky MAC支持黑洞MAC地址支持MAC地址学习数目限制支持IEEE 802.1X认证,支持单端口最大用户数限制支持AAA认证,支持Radius、TACACS+、NAC等多种方式支持SSH V2.0支持HTTPS支持CPU保护功能支持 黑名单和白名单 纠错 其它参数电源电压AC 100-240V 纠错 电源功率56W 纠错 产品尺寸25018043.6mm 纠错 产品重量 acl number 3000 3000 rule 0 permit tup source 192
18、.168.100.192 0.0.0.255 destination 192.168.168.133 0.0.0.255 EQ 80应用到接口华为-E1/0/5 packet-filter inbound ip-group XXX公司以次类推,将所有等级VLAN中的网段输入到7503中来。4.5 安全策略使用基于S5700-48TP设备自身所带的一些安全性功能,来提高网络抵御病毒、网络攻击所带来防范能力5.1 开启远程TELNET登录保护:针对在网络中有攻击,或者各种原因造成CPU占用率高的情况下,设置特定IP来实现优先远程登录5.2 将常用的ACL防病毒表加入到核心交换中,来抵御目前部分已知
19、的病毒:创建aclacl number 100禁pingrule deny icmp source any destination any用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source anydestination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny
20、 udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination a
21、ny destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule
22、deny tcp source any destination any destination-port eq 445rule deny tcp source any destination any destination-port eq 5554rule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制 Worm_MSBlast.A 蠕虫的传播rule deny udp source
23、any destination any destination-port eq 1434下面的不出名的病毒端口号 (可以不作)rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any d
24、estination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination any destination-port eq 3208rule deny tcp source any destination any destination-port eq 1871rule deny tcp sour
25、ce any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557五、 产品特点与选配说明5.1 核心交换机:华为5700-48TP产品特点:更多的端口组合S5700支持多种上行扩展
26、插卡,提供高密度的GE/10GE上行接口。其中S5710-HI具有4个扩展插槽,可实现48*GE(电)48GE(光)8*10GE4*40GE,96GE(电)8*10GE+4*40GE,或96*GE(电)12*10GE等不同端口组合,充分满足不同用户对带宽升级的实际需求,保护用户投资。轻松的运行维护S5700支持华为Easy Operation简易运维方案,提供新入网设备Zero-Touch安装、故障设备更换免配置、USB开局、设备批量配置、批量远程升级等功能,便于安装、升级、业务发放和其他管理维护工作,大大降低了运维成本。S5700支持SNMPV1/V2/V3、CLI(命令行)、Web网管、T
27、ELNET、SSHv2.0等多样化的管理和维护方式;支持RMON、多日志主机、端口流量统计和网络质量分析,便于网络优化和改造。S5700支持GVRP,实现VLAN的动态分发、注册和属性传播,减少手工配置量,保证配置正确性。S5700还支持MUX VLAN功能,MUX VLAN分为主VLAN和从VLAN,从VLAN又分为互通型从VLAN和隔离型从VLAN。主VLAN与从VLAN之间可以相互通信;互通型从VLAN内的端口之间互相通信;隔离型从VLAN内的端口之间不能互相通信。杰出的网流分析S5700支持Netstream网络流量分析功能。作为网络流量输出器,S5700根据用户配置,实时采集指定的数
28、据流量,通过标准的V5/V8/V9报文格式,将数据上送给网络流量收集器,这些数据被进一步处理,可以实现动态报表生成、属性分析、流量异常告警等功能,帮助用户及时优化网络结构、调整资源部署。S5700支持sFlow功能。S5700按照标准定义的方式,对转发的流量按需采样,并实时地将采样流量上送到收集器,用于生成统计信息图表,为企业用户的日常维护提供了极大的方便。灵活的以太组网S5700不仅支持传统的STP/RSTP/MSTP生成树协议,还支持华为自主创新的SEP智能以太保护技术和业界最新的以太环网标准协议ERPS。SEP是一种专用于以太链路层的环网协议,适用于半环、整环、级连环等各种组网,其协议简
29、单可靠、维护方便,并提供50ms的快速业务倒换。多样的安全控制S5700支持MAC地址认证和802.1x认证,实现用户策略(VLAN、QoS、ACL)的动态下发。S5700支持完善的DoS类防攻击、用户类防攻击。其中,DoS类防攻击主要针对交换机本身的攻击,包括SYN Flood、Land、Smurf、ICMP Flood;用户类防攻击涉及DHCP服务器仿冒攻击、IP/MAC 欺骗、DHCP request flood、改变DHCP CHADDR值等等。5.2 接入层交换机:S1700-52R-2T2P-AC产品特点 无阻塞高速转发S1700系列交换机所有端口提供二层线速交换的能力,保证所有端
30、口无阻塞地进行报文转发。S1700支持“光+电”GE上行,方便客户灵活接入的同时,大幅提升性价比。S1700全系列提供高达8K的MAC地址,为企业用户后续扩容提供了条件。极大方便了用户的扩展和应用。便捷的管理维护手段S1700提供便捷的管理维护手段,PC化简易操作,机身前面有“一键操作”按钮,短按重启,长按可以恢复出厂配置。S1700 web管理型设备可通过web可视化的界面,对交换机的各种功能进行简单方便的操作。S1700全网管系列交换机支持SNMP网管对设备进行配置管理,为中小企业客户集中设备管理提供了便利。优异的安全性能S1700支持丰富的安全特性,如802.1x、RADIUS、NAC等
31、安全认证方式。还支持MAC地址过滤和端口过滤功能,能有效防范黑客、病毒攻击,提供安全可靠的网络服务。强大的组网和带宽扩展能力S1700提供LACP、STP/RSTP/MSTP等功能,可有效实现链路扩展及备份。 SNMP管理型交换机支持高达8个MSTP实例,让组网无忧。5.3 防火墙:深信服AF-1580-WAF产品特点与安全防护来自互联网的由外而内的安全风险调查显示,我国每年遇到过病毒或木马攻击的网民达到2.17亿,目前以经济利益为目的的网络攻击,以各种热点话题为吸引点,以微博、论坛、邮件等方式进行大量传播,并通过盗取用户信息、企业信息谋取利益。互联网资源的丰富性与复杂性导致组织员工在访问互联
32、网网页时,用户往往肉眼无法判断其访问的网页是否合法。一些挂马、含有恶意脚本的网站常常让用户防不慎防。一些插件未等用户反应看清插件名字时,已自动安装。这些网页中包含的链接和脚本程序被黑客植入木马,用户在点击网页后,在不知不觉中感染病毒。而网络使用者一旦上网感染木马病毒,直接泄露的就是个人隐私,各种照片门、工资门、网络钓鱼、密码窃取的事件屡见不鲜,带来的不仅是名誉损害,更多的是经济损失。而当前黑客技术的普遍性使越来越多的人以利益为驱动对企业或组织内网发动攻击,这些网络攻击往往具有一定的破坏性,且技术手段则倾向于应用化、内容化、混合化。所谓应用化,基于应用的漏洞利用、命令注入、恶意脚本/插件等威胁就
33、成为了黑客争相研究的方向。而漏洞利用也从原来侧重OS底层漏洞转变为基于应用程序的漏洞,比如根据卡巴斯基2011年Q1漏洞排行榜,Adobe Reader、Flash Player的包揽前三甲。所谓内容化,黑客在成功入侵后更加关注的是IT系统中的内容,比如客户账号、通讯方式、银行账户、企业机密、电子订单等。因此,通过木马、后门、键盘记录等方式可以不断获取这些关键内容,并进行非法利用而牟利。所谓混合化,在黑客一次攻击行为中使用了多种技术手段,而非原来单一的病毒蠕虫或者漏洞利用。比如,黑客要想入侵一台Web服务器上传木马的过程:端口/应用扫描、口令爆破、漏洞利用、OS命令注入、SQL注入、跨站脚本、
34、木马上传等。 因此,面对上述由外而内的安全风险,给我们的网络安全提出了新的问题:1、 网关安全产品对病毒、木马的查杀:面对互联网中数亿病毒及木马,网关产品本身需要自带强大的可靠的杀毒引擎以应对这些安全威胁。当含有病毒、木马的数据流经过网关产品时,经过流量清洗,禁止病毒文件进入内部网络系统,保护内网与终端的安全。2、 针对黑客的恶意攻击,能提供充分的保护:面对多种安全威胁的混合型攻击,我们需要一个完整的应用层安全防护方案。同时,针对黑客对内容的关注,需要基于应用的内容做安全检查,包括扫描所有应用内容,过滤有风险的内容,甚至让用户自定义哪些内容可以进出,哪些内容不能进出。3、 对具有风险网站的过滤:网络出口设备需要包含恶意网站的URL匹配库,可以禁止用户对这些危险性较大的