《集团网络系统技术方案建议书模板.doc》由会员分享,可在线阅读,更多相关《集团网络系统技术方案建议书模板.doc(85页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、A集团综合网络信息系统技术方案提议书(硬件集成部分)第一章 总则41.1相关本方案提议书41.2A集团综合信息系统现实状况41.3A集团综合信息系统建设目标4第二章 建设标准52.1优异性52.2标准性52.3兼容性62.4可升级和可扩展性62.5安全性62.6可靠性62.7易操作性6第三章 网络系统方案73.1广域网设计73.1.1需求分析73.1.2广域网计划83.1.3网络互连设计93.1.2.1带宽分配93.1.2.2 QOS设计103.1.2.3 网络设备选型123.1.2.4网络布署123.1.2.5VPN设计143.1.2.6网络管理15第四章 网络安全方案164.1安全设计16
2、4.1.1防火墙技术174.2.1.1防火墙选型174.2.1.2技术细节174.2.1.3防火墙布署244.2.2入侵检测244.2.2.1入侵检测技术254.2.3防病毒设计274.2.4.1产品选型304.2.4.2防病毒布署32第五章 主机方案365.1主机选型标准365.2小型机选型和设计375.2.1IBM P650介绍375.3双机热备435.3.1系统故障分析445.3.2 HACMP 功效及双机原理445.4PC服务器选型47第六章 工程管理和实施476.1 工程督导476.1.1 工作目标476.1.2内容486.1.2.1 具体工程计划486.1.2.2 基于工程计划协调
3、工程进展486.1.2.3 工程管理486.1.2.4 人力资源和设备资源统一管理486.1.2.5 统一协调496.1.3工程管理计划496.1.4工程协调会496.2 工程实施进度一览表506.3 每一个具体工程阶段具体描述516.3.1开箱验收516.3.2安装环境验收516.3.3设备现场安装516.3.3.1 硬件安装516.3.3.2 软件安装526.3.3.3 参数配置526.3.3.4 现场故障维修526.3.3.5 网络升级技术支持526.3.4单节点测试和验收526.3.5系统初验和系统试运行536.3.6系统终验536.3.7在协议设备保修期内技术支持546.3.7.1
4、技术支持概念546.3.7.2 技术人员培养546.3.7.3 技术支持构架546.3.7.4 灵活有效技术支持通信环境556.3.7.5 有效技术支持方法55第七章 网络培训计划567.1培训计划577.2培训目标577.3培训方法577.4培训对象587.5培训老师587.6培训课程587.6.1课程列表58第八章 维护和支持618.1服务等级618.2 硬件支持服务62第九章 结束语63第一章 总则1.1相关本方案提议书然而“功欲善其事,必先利其器”,A集团深刻认识到业务要发展、必需提升企业内部关键竞争力、而建立一个方便快捷安全通信网络综合信息支撑系统,已迫在眉睫,A企业作为一个致力于企
5、业信息化和系统集成高科技企业很荣幸参与A集团综合网络信息系统建设,期望能尽自己全力来施展我们专长来实现A集团网络信息系统建设。1.2A集团综合信息系统现实状况现在,A集团还未在全企业建立统一企业信息管理系统,关键是在总企业及七大区域性企业之间经过远程异步数据传动方法(Modem对拔)进行数据采集和邮件传输,共有二十余个基于Lotus Domino/Notes4.6开发数据模块在应用。A集团拟建企业信息系统将是覆盖整个A集团专业化网络信息管理系统。该系统将建立一个统一企业办公、协同运作及管理支撑综合平台,提升办公效率、提升信息综合利用和提升企业管理水平,从而提升企业经济效益。A集团信息系统建设最
6、终将达成以下目标:(1)以优异成熟计算机技术和建筑技术为关键手段,把A集团信息系统建成一个覆盖全集团包含综合办公和各专业管理系统在内支撑建筑行业辅助管理系统,建立一个统一企业办公及运作支撑综合平台,以提升办公效率和企业管理水平,提升信息分析处理能力,从而提升企业经济效益。(2)为A集团职员、用户、合作伙伴提供多种方便快捷交流形式,提升服务质量,增强A集团竞争力。(3)加强知识管理,建立企业本身知识库。1.3A集团综合信息系统建设目标A集团信息系统关键提供电子邮件服务、日常办公管理、财务管理、行业业务步骤处理和知识管理功效。依据A集团现在发展情况,估计到 年底共有上网职员约为1000名,底约为名
7、。A集团综合信息系统建设,本着“实用、优异、升级简便、扩充性好、开放性好”五项基础标准进行。 依据企业实际情况和具体应用需求及行业特点,采取分期分阶段实施。 在项目实施过程中,以少花钱多办事为标准,每期投资全部应有继承性。 本期项目标目标是建立以下系统:(1)建立连通A集团内部各组织机构网络平台;(2)建立一个安全、稳定、高效网络运行空间;(3)建立通用办公系统及邮件系统;(4)建立财务管理系统;(5)内部网站、网络视频会议、BBS交流协作环境建设;(6)建立适合建筑行业综合业务管理系统;(7)加强知识管理,建立企业本身知识库; 本系统建设能满足未来5年内业务需求升级,第二章 建设标准多业务网
8、络系统方案以实现以上功效为基础要求,在设计上努力争取做到既要采取国际上优异技术,又要确保系统安全可靠性和实用性。具体来讲,其设计遵照以下标准:2.1优异性系统主机系统、网络平台、数据库系统、应用软件均应使用现在国际上较优异、较成熟技术,符合国际标准和规范;2.2标准性所采取技术标准化,能够确保网络发展一致性,增强网络兼容性,以达成网络互连和开放。为确保未来不一样厂家设备、不一样应用、不一样协议连接,整个网络从设计、技术和设备选择,必需支持国际标准网络接口和协议,以提供高度开放性。全方面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802
9、.3z;支持路由协议:IP RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP. 支持:IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;网络管理协议:SNMP,RMON,RMON2; 2.3兼容性跟踪世界科技发展动态,网络计划和现有光纤传输网及将要改造分配网有良好兼容,在采取优异技术前提下,最大可能地保护已经有投资,并能在已经有网络上扩展多个业务。2.4可升级和可扩展性伴随技术不停发展,新标准和功效不停增加,网络设备必需能够经过网络进行升级,以提供更优异、更多功效。在网络建成后,伴随应用和用户增
10、加,关键骨干网络设备交换能力和容量必需能作出线性增加。设备应能提供高端口密度、模块化设计和多个类接口、技术选择,以方便未来更灵活扩展。2.5安全性因为系统和其它系统连接,所以,考虑系统安全性是一个很关键方面。应采取设有安全控制网关设备相连,使用VPN技术和防火墙等。2.6可靠性本系统是7x二十四小时连续运行系统,从硬件和软件两方面来确保系统高可靠性。硬件可靠性系统关键部件采取冗余结构,如:传输方法备份,提供备份组网结构;关键计算机设备(如数据库服务器),采取CLUSTER技术,支持双机或多机高可用结构;配置不间断电源等。软件可靠性充足考虑异常情况处理,含有强容错能力、错误恢复能力、错误统计及预
11、警能力并给用户以提醒;并含有进程监控管理功效,确保各进程可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时,不影响网络整体结构和整体性能,对关键网络连接采取主备方法,已确保数据传输可靠性。本系统应含有较强容灾容错能力,含有完善系统恢复和安全机制;2.7易操作性提供汉字方法图形用户界面,简单易学,方便实用。优良性能价格比。系统应着重考虑和满足以上设计要求。第三章 网络系统方案该系统包含:36个网络节点互连方案、线路备份、内部局域网建设。3.1广域网设计现在A集团在全国有36处企业极其分支机构,能够分为3类:1企业总部(数量1)、2区域性企业及本部(数量7)、3分企业及事业部(数量28)
12、。3.1.1需求分析以下表在全国A集团有36个节点,其分布以下:企业名称所属类别所在地用户数备注集团总部总企业杭州100总部A一建区域性企业东阳50区域性企业A二建区域性企业杭州100区域性企业A三建区域性企业上海100区域性企业A四建区域性企业北京50区域性企业A五建区域性企业西安100区域性企业A六建区域性企业武汉50区域性企业A七建区域性企业广州50区域性企业集团本部总企业东阳50同A一建共金华分企业分企业金华隶属A一建义东分企业分企业义乌隶属A一建温州分企业分企业温州隶属A一建衢州分企业分企业衢州隶属A一建宁波分企业分企业宁波隶属A二建嘉兴分企业分企业嘉兴隶属A二建南京分企业分企业南京
13、隶属A三建合肥分企业分企业合肥隶属A三建天津分企业分企业天津隶属A四建内蒙分企业分企业呼和浩特隶属A四建青海分企业分企业西宁隶属A五建甘肃分企业分企业酒泉隶属A五建湖南分企业分企业长沙隶属A六建江西分企业分企业南昌隶属A六建A高级中学子企业东阳子企业杭州天翔房产企业子企业杭州子企业A房产开发企业子企业东阳子企业西安亚东房产企业子企业西安子企业湖南天翔房产企业子企业长沙子企业上海亚东房产企业子企业上海子企业华天装饰子企业杭州子企业安装工程子企业杭州子企业海外工程事业部事业部北京隶属总企业装饰事业部事业部杭州隶属总企业房地产投资事业部事业部上海隶属总企业交通工程事业部事业部杭州隶属总企业项目部项目
14、部分布各地在建项目约500个3.1.2广域网计划 依据前面需求分析,考虑到网络收敛性,经济和安全等原因,我们提议采取星型结构拓扑,这么能够充足利用带宽资源,整个网络采取3级结构:一级节点为:集团总部共1个,二级节点为:区域性企业及本部共7个,三级节点为其它分企业及事业部共28个,广域网计划以下:在对应一级节点和二级节点对应局域网内布署入侵检测和防火墙,来确保系统安全。 3.1.3网络互连设计依据网络互连需求分析,和广域网计划,我们提议从以下多个方面来考虑网络设计:带宽分配、QOS设计、路由设计、IP地址分配、网络布署等。3.1.2.1带宽分配为了支持A集团多业务系统可连续发展,考虑经济组网标准
15、,我们来分析该集团现在和未来业务属性、和业务逻辑等原因对网络链路需求,同时也是设备选型一个依据。A集团现在有或将要有业务有全企业上网需求、财务系统、视频会议、企业办公自动化系统、建筑行业综合业务管理系统、邮件系统、知识库系统建设等建设。以上数据包含到保密、实时流媒体等数据传输要求,我们从链路选型、带宽计算两方面来确定所需带宽。链路选型:现在比较常使用数据链路业务能够是:DDN、FR、ISDN:DDN专线接入向用户提供是永久性数字连接,沿途不进行复杂软件处理,所以延时较短,避免了传统分组网中传输协议复杂、传输时延长且不固定缺点;DDN专线接入采取交叉连接装置,可依据用户需要,在约定时间内接通所需
16、带宽线路,信道容量分配和接续均在计算机控制下进行,含有极大灵活性和可靠性,使用户能够开通多种信息业务,传输任何适宜信息,所以,DDN专线接入在多个接入方法中深受用户青睐。DDN专线接入关键优点:能提供高性能点到点通信。通信保密性强,尤其适合金融、保险等保密性要求高用户需要;传输质量高,网络时延小,通信速率可依据用户需要按N64Kbps选择 ;信道固定分配,充足确保了通信可靠性,确保用户带宽不会受其它用户影响 ;用户经过这条高速国际互联网通道,可构筑自己Internet、E-mail等应用系统 ;用户网络整体接入使局域网内PC均可共享互联网资源; 用户可无偿得到多个Internet 正当IP地址
17、及域名 ;用户可实现天天二十四小时全天候信息公布,即用户可建立自己Web站点,向国际互联网公布自己信息或提供信息服务 ;用户可经过防火墙等技术保护内部网络免受不良侵害 。 本期A集团要实现业务当中,有数据业务(邮件、公文流转、互联网、内部系统、数据查询)和流媒体业务(视频会议等)。 因为整个网络环境为TCP/IP框架下,对于数据业务这类非实时业务来讲,网络本身能够实现数据重传恢复机制,对带宽需求不是很大,而流媒体业务这类实时业务来讲,必需含有两个原因才能够在IP环境下实现比很好:(1)含有一定带宽,达成理想传输环境,理论上传输一路MPEG视频为384K,假如采取双向视频会议必需含有大于2*38
18、4=768K带宽。(2)网络含有一定QOS机制(相关QOS在QOS设计里具体介绍)。从一级节点到二级节点带宽计算以下(按两路视频会议和人上网计算):二级节点平均分配人数为:/7=286人;依据Gartner统计数据分析,一个企业通常只有10%-20%人并发上网或发邮件,我们按15%计算,即:二级节点并发上传或下载数据人数为:286*15%=43人;通常24K/秒速度数据能确保2秒钟正常打开网页,即:二级节点需要广域网链路基础带宽为:43*24K=1028K。因为视频会议不是常常开,当视频会议必需是能够经过QOS优先等级抢占1028K带宽中768K。我们提议采取1024K带宽为一级节点到二级节点
19、带宽,能够满足到未来需求。假如需要额外视频带宽能够即使方便向电信申请,而无须更换网络设备模块。从一级节点到互联网带宽计算以下:(人上网计算):到,上网人数将达成人,依据Gartner统计数据分析,一个企业通常只有10%-20%人并发上网或发邮件,我们按15%计算,即:二级节点并发上传或下载数据人数为:*15%=300人;通常24K/秒速度数据能确保2秒钟正常打开网页,即:二级节点需要广域网链路基础带宽为:300*24K=7200K。在左右能够申请10M电路,而不会添加用户端设备,完全满足需求,现在我们能够考虑2M电路就能够满足了。3.1.2.2 QOS设计 因为考虑到整个综合业务网络信息系统可
20、靠性和可用性,那么一个质量确保体系结构是必需含有,这也是一个设备选型必需考虑地方,要实现网络稳定质量,最先考虑就是什么业务对整个网络系统服务质量最关心,在这里最关键就是视频会议和数据语音,这两种业务才是最关心服务质量,视频会议系统通常全方面支持H.323和T.120标准来完成视频、音频、数据集中和转发。一样,在我们国家,像联通等语音电话采取是H.323协议,当然也有像北电基于软交换功效语音系统,不过全部是要求对时间比较敏感协议,如UDP,RTP,CRTP等,所以QOS是一定要确保,除了数字线路服务质量以外,就是要考虑接入服务器QOS功效了。 1优异先出(FIFO)优异先出提供了基础存贮转发功效
21、,也是现在Internet使用最广泛一个方法,它在网络拥塞时存贮分组,在拥塞解除时按分组抵达次序转发分组。是默认排队方法,所以不需要配置。缺点是不提供QoS功效,对突发数据流在传输时间要求严格时,应用程序会引发过多延迟,并对突发性存在包丢失连接公平性较差,对上层TCP快速恢复效率也较低。2优先级排队算法(priorityQueuing,PQ)优先级排队算法是严禁其它流量前提下,授权一个类型流量经过,使用优先级排队给路由接口上传输数据分配优先级,当有空闲路由时,路由就往返扫描全部队列,将高优先队列数据发出,只有当高优先级队列空了以后,才能为低优先级服务,假如优先级队列满,则扔掉数据包,路由器不处
22、理,优先级排队适适用于网络链路不停阻塞情况。PQ带宽分配独立于数据包大小。所以它在没有牺牲统计利用情况下提供另外公平性,和端到端拥塞控制机制能够很好协同,它缺点在于实现起来很复杂,需要每个数据流排队处理,每个流状态统计,数据包分类和包调度额外开销等。3定制排队定制排队是为许可含有不一样最低带宽和延迟要求应用程序共享网络而设计。定制排队为不一样协议分配不一样队列空间,并以循环方法处理队列。为特定协议分配较大队列空间能够提升其优先级。定制排队比优先级更为“公平”。在可能发生拥塞地方使用定制排队能够提供确保带宽。定制排队能够确保为每一个特定通信类型得到固定部分可用带宽,同时在链路担心情况下,避免数据
23、包企图占用超出预分配量限制可能。4加权公平排队(Weight fair queuing,WFQ)加权公平排队用于降低延迟改变,为数据流提供可估计吞吐量和响应时间。目标是为轻载网络用户和重载网络用户提供公平一致服务。确保低权值响应时间和高权值响应时间一致。 加权公平排队是一个基于数据流排队算法,它能识别交互式应用数据流,并将应用数据流调度到队列前部,以降低响应时间。WFQ和定制排队和优先排队不一样。能自动适应不停改变网络通信环境,几乎不需要配置。5随机先期检测(random early detection,RED)前面介绍排队机制是基础拥塞控制策略。尽管这些技术对控制拥塞是必需。但它们对避免拥塞
24、现象发生全部显得无能为力。随机先期检测监视网上各点通信负载,假如拥塞增多,就随机丢弃部分分组,当源分布点检测到通信丢失,降低传输速率。RED能够在各连接之间取得很好公平性,对突出业务适应性较强。6加权随机先期检测(weightedrandom early detection,WRED)加权随机先期检测是将RED和优先级排队结合起来,这种结合为高优先级分组提供了优先通信处理能力,当某个接口开始出现拥塞时,它有选择地丢弃较低优先级通信,而不是简单地随机丢弃分组。总而言之,在传统TCP拥塞控制中,结合IP层拥塞控制算法,将是完善Internet拥塞控制最有效路径。3.1.2.3 网络设备选型 设备选
25、型对整个网络系统质量十分关键,A企业做为一个成熟系统集成商,有一套科学而有效质量管理体系,首先,要考虑用户需求、售后服务、关键应用、特殊应用、质量确保、网络属性、现在系统系统结构等多个方面来考虑。 现在中国著名网络设备供给商关键有三家Cisco,3COM和华为。其中3COM路由器设备在中国使用不是十分广泛,同时网络产品以交换机为关键产品,在其它网络产品方面力量相对其它两家厂商稍弱。华为作为中国关键网络产品供给商,产品线齐全,种类多档次较齐全在,中国市场有一定拥有率,价格比较廉价,关键是通常网络应用环境,在VPN、VOIP和其它复杂应用中比较少。Cisco做为全球最大网络设备供给商,在路由器和交
26、换机领域结果有目共睹,它产品应用在世界各个角落,在中国也广为使用。Cisco产品线齐全,从小型SOHO用路由器和交换机到大型骨干路由器、交换机一应俱全。同时产品端口密度高,同一产品含有多个不一样配置方案有利于产品多功效化如VOIP、VPN等。它拥有很多独创技术如ISL、NetFlow、Fast EtherChannel等,对系统以后演进和发展有很大好处,而在IP广域互连上,CISCO含有最大优势,同时因为Cisco完整产品线为用户提供了丰富选择余地,Cisco网络设备优异兼容性也为和其它企业产品互连提供了可靠确保。在售后方面,CISCO也做很好,在A集团综合网络信息系统中原有设备大部分为CIS
27、CO产品,考虑到网络平滑性,和维护方便等各个原因,尤其是特殊应用QOS确保方面,VPN特征方面、安全方面等,比其它两个厂家全部要成熟和更多案例,针对此次项目我们推荐CISCO高可用产品在实现系统网络支撑平台。3.1.2.4网络布署 杭州A集团总部一级节点,作为关键节点,含有以下功效:汇接二级7个节点数据,终止VPN隧道,我们提议采取CISCO最新高性能路由器CISCO374-VPN/K9作为关键路由器, 模块化 Cisco 3700 系列应用服务路由器充足利用了Cisco 1700、2600和3600 系列路由器针对WAN访问、语音网关和拨号应用等而配置可选网络模块(NM)、WAN接口卡(WI
28、G)和高级集成模块(AIM)。另外,Cisco 3725 和 Cisco 3745 这两个 Cisco 3700 平台引进一个新、可提供更广泛接口高密度服务模块 (HDSM)。配置四个NM插槽Cisco 3745 路由器取消了在每一对相邻 NM 插槽之间中心导轨,所以能够采取两个 HDSM ,而不是四个 NM。配置两个 NM 插槽 Cisco 3725 路由器可在它所配置两个 NM 插槽之一中采取一个 HDSM ,并仍可在剩下 NM 插槽内采取一个 NM 。采取新 HDSM 以后,Cisco 3700 系列路由器就能够集成更高端口密度和新高性能服务了。支持VPN,提供7个广域网接口,和一个In
29、ternet广域网口,经过高级集成模块AIM-VPN-HP来实现VPN加密隧道提议和终止,CISCO3745本身集成了3个WIC卡,我们能够经过提供2个NM-2W模块,配置2个WIC-2T,和1个WIC-1T,共8个,其中7个接入二级节点,另外一个能够作为Internet接驳,Internet接驳速率临时定为2M,未来能够经过升级到10M。图所表示:在此次项目中,CISCO3745-VPN/K9最大能够同时支持个Tunnels,即便是全体上网人数同时和总部通信,全部没有任何问题;局域网采取天融信防火墙NGFW4000-S来实现阻隔一些端口入侵和非法探测,提供具体日志和审计功效,该防火墙也能够跟
30、入侵检测系统天阗500联动,动态检测黑客入侵并禁用对应端口,在防火墙DMZ布署WEB服务器供外部访问,具体描述见网络安全设计。对于三级节点VPN接入就能够支持多个方法了,最经济方法就是采取SITE TO Client方法,由CISCO自带VPN Client(支持多个操作系统)经过拨号或经过专线、ISDN、FR等方法访问VPN,由对端VPN网关提供认证,具体方法见下面章节:VPN设计。整体拓扑以下所表示:3.1.2.5VPN设计VPN(虚拟专网)是利用公共网络资源(如公用电信网)为用户组建专用网一个技术,它经过对网络数据进行封包和加密传输,在公网上传输私有数据,达成私有网络安全等级,从而利用公
31、网构筑专网(即VPN)。它是一个逻辑上专用网络,向用户提供专用网络所含有功效,但本身却不是一个独立物理网络。此次项目中依据前面计划:在一级节点和二级节点之间布署端到到端VPN:Site TO Site,结构为星型结构:HUB-SPOKE。在二级节点和三级节点布署端到点方法VPN:Site TO Clint。在此次项目应用中考虑到传输有视频、语音、数据3类信息,各类信息对网络环境全部有一定要求,尤其是VPN环境下实现更是比较复杂,我们采取CISCO3745、2621XM VPN多应用服务器能够支持V3PN,即能在IPsec隧道上实现视频、语音、数据3类信息封装,而确保IP中QOS特征不改变,从而
32、确保数据IP连贯应用。这个过程多用户来讲是透明。在CISCO3745、2621XM中,提供12.2(13) T或以上版本IOS,支持IPSec 提供DES 和3DES Advanced Encryption Standard (AES),新型AES支持128-bit key (default), 和 192-bit key, 或256-bit key.提供愈加复杂愈加安全应用。图所表示:经过以上设计能够确保原来QOS机制在网络中一直启用,确保网络平滑。考虑到网络规模变大,如未来可能需要建立新办事处或地域性分企业,这么添加路由器可能会对基于传统IPsec方法VPN造成一定影响,我们能够采取IPs
33、ec+GRE(通用路由封装)技术来实现基于IP路由收敛VPN技术,这么,路由更新能够完全透过2层VPN来实现,这对用户来讲是完全透明,一旦A集团规模发生巨大改变,网络拓扑方法要改变如组成MESH方法或节点数大大增加,我们能够完全在不更改设备情况下建立基于MPLS VPN,CISCO3745完全能够设置PE路由器,而CISCO2621能够对应地设置为CE路由器,这么整个关键VPN网络就从2层VPN直接升级到3层IP VPN构架来了。在二级节点和三级节点采取端到点方法VPN:Site TO Client。对于3级节点加入到集团VPN当中来,就很方便了,我们购置CISCO3745和CISCO2621
34、 VPN路由器,随机附带了一份CD,包含了Client端IPsec程序,该程序很简单大部分设置全部是预定义,VPN访问策略和配置能够直接从对应所属二级或一级VPN Gateway(这里是3745或2621路由器)直接下载,现在VPN Client能够支持以下系统Windows 95(OSR2+), 98, ME, NT 4.0, , XP, Linux (Intel), Solaris (UltraSparc-32 & 64 bit) and MAC OS X 10.1 & 10.2 (Jaguar)3.1.2.6网络管理在本方案中采取了CISCO处理方案,对于网络管理,我们提议采取CISCO
35、WORKS。CiscoWorks服务管了处理方案建构在第3层结构基础之上,包含可远程安装数据搜集应用、Cisco IOS内嵌式技术和一整套融合了业界最优异评定服务和定额引擎应用软件。该处理方案构件包含: 管理引擎1110(ME1110)可在网络中远程安装,是含有极高扩展性和灵活性数据搜集处理方案。ME1110是专为搜集Cisco设备度量数据而设计,并许可在数据搜集需求增加情况下暂停管理服务器来安装新ME1110设备。 服务保障代理一个用来确定度量数据服务等级技术,以验证度量数据是否符合服务等级要求。鉴于服务保障代理技术已内嵌于Cisco IOS软件中,所以它是随时可用,而且对网络基础设施费用几
36、乎不会组成任何影响。 服务等级管理器建构于开放XML应用程序接口基础上,可提供给合作伙伴以用于第三方应用集成。 - CiscoWorks服务管了处理方案使网络经理能够验证她们为广域连接和网络服务提供服务等级。它将基于标准开放式管理应用程序接口、Cisco 内嵌式IOS代理、可扩展服务等级管理应用和第三方产品相结合,从而含有了端到端服务级检验和全方面管理能力。所以,用户现在能够完全放心地使用这些新应用,比如VoIP、IP电话、虚拟专网和电子商务处理方案等,可轻松地取得不一样服务和愈加好终端用户满意度,实施同时监视多个服务级协议,调试并改善网络和定制故障汇报。和此同时,第三方应用开发人员和系统集成
37、人员能够连续地取得相关网络层数据,并对定义和搜集到服务级度量信息进行标准化。 第四章 网络安全方案4.1安全设计网络面临安全威胁大致可分为两种:一是对网络数据威胁; 二是对网络设备威胁。这些威胁可能起源于多种原因:可能是源于网络外部, 也可能是内部人员造成; 总结起来,最关键威胁是来自外部和内部人员恶意攻击和入侵,这是企业信息化等顺利发展最大障碍。基于VPN网络基础上安全了,不过考虑到Internet应用,内部人员网络入侵、资料盗取、恶意破坏,病毒入侵等原因,综合安全设计还是必需,我们提议针对这些原因提出以下安全防护方法:1、防火墙技术2、IDS入侵检测系统3、防病毒系统4、备份(相关备份配置
38、,我们在主机设计里描述)4.1.1防火墙技术防火墙是一个成熟技术,现在防火墙功效也越来越强大,技术越来越统一,考虑到企业信息系统安全等级,在选型上重视国产,含有一定应用案例,选型标准以下:4.2.1.1防火墙选型因为网络信息化系统网络安全关键性,并结合网络信息化系统信息安全工作实际条件及情况,我们确定以下选型标准:防火墙必需含有自我系统保护能力。防火墙必需含有强大NAT转换功效。防火墙支持各类加密算法和VPN功效。防火墙端口是可扩展。防火墙产品应提供避免或严禁内外网络用户进入系统手段,即使对安全管理员而言,也应遵照对系统操作最小授权标准。防火墙产品硬件/软件必需含有经国家授权部门测试认证安全等
39、级。防火墙产品遇故障工作失效,系统应自动转为缺省严禁状态。防火墙产品必需最少含有推行所需安全服务最小能力。防火墙产品所采取技术,不单纯追求优异、完善,而必需确保实用和成熟性,相关技术标准应采取、引用和靠近国家标准。防火墙产品接入不影响原网络拓扑结构,防火墙产品运行最小影响原网络系统运行效率。防火墙产品假如包含密码技术使用,必需取得国家密码管理委员会办公室立项和判定同意;防火墙产品如包含密码算法必需按国家密码委员会办公室要求进行申请和使用。防火墙产品须经过国家信息安全产品认证机构认证。经过以上分析,我们提议采取中国著名防火墙厂商天融信防火墙产品NG FW4000,其强大性能处理和全方面控制规则得
40、到很多企业和企业青睐。4.2.1.2技术细节采取独创最新最优异技术-核检测技术,即基于OS 内核会话检测技术,在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不仅愈加成功地实现了对应用层细粒度控制,同时,更有效确保了防火墙性能。采取独创优异设计思想-面向资源进行设计,对不一样对象具体组成资源,如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等,直接进行控制,极大提升了安全性,并确保了配置方便性。优异独特防火墙策略体系-面向资源防火墙策略体系。建立独立防火区域,经过中央管理接口、管理端口协议、不一样节点对象(网络邻居、自定义网路、防火墙所在子网等)、协
41、议类型、应用行为等不一样资源配置策略,使防火墙策略配置愈加简单,且便于维护。分层式管理结构防火墙管理采取集中层次管理结构,实现“防火墙防火区-对象资源”安全策略定义结构。配置简单、配置安全性高;管理简单、维护方便;愈加好确保了性能。支持TOPSEC 技术体系关键技术支持TOPSEC技术体系关键技术,能够实现防火墙、IDS、病毒防护系统、信息审计系统等互通和联动,并支持TopsecManager综合管理系统和SAS安全审计系统。 适用更广泛网络及应用环境支持众多网络通信协议和应用协议,如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、802.1Q 、Spanning tree
42、、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP、pppoe协议等,使4000防火墙适用网络范围愈加广泛,确保用户网络应用。方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。支持多个工作模式能够支持透明、路由和混合工作模式。其中,独创混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现,并在NGFW4000 中进行了重新设计和实现,深入得到了优化,方便适适用于复杂网络结构和应用接入。 支持远程集中管理可经过安全认证及管理信息加密传输实现全局防火墙设备集中管理。实现统一安全政策布署,确保整个系统安全策略
43、一致性,提升整个系统安全强度。NGFW4000 关键配置和管理全部是基于GUI(Graphic User Interface) 方法,管理主机只需安装专门管理软件,就能够在不一样操作系统平台、不一样地域对防火墙进行配置和管理。支持负载均衡和双机备份支持两台防火墙之间双机备份和负载均衡;支持多台服务器之间负载均衡。不仅愈加好适用不一样网络环境,且愈加好提供高性能和确保可靠性。支持服务器负载均衡NGFW4000 防火墙能够支持一个服务器阵列,这个阵列经过防火墙对外表现为单台机器,防火墙将外部来访问在这些服务器之间进行均衡,同时能够识别出故障服务器。图表 1 防火墙负载均衡技术防火墙本身负载均衡NG
44、FW4000 支持负载均衡功效,能够在高带宽网络环境中有效提升性能,同时负载均衡还实现了接口之间备份,当A 机器某个接口故障时,B 机器对应接口能够接管它工作,同时A 机器其它接口仍然正常地工作。双机备份为了确保网络高可用性和高可靠性,NGFW4000 提供了双机备份功效,即在同一个网络节点使用两个配置相同防火墙。正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外down 机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙替换主防火墙正常工作,从而确保了网络正常使用。切换过程不需要人为操作和其它系统参与,切换时间能够以秒计算。同时NGF
45、W4000 还实现了状态传送协议STP ,当一台防火墙故障时,这台防火墙上连接不需要重新建立就能够透明地迁移到另一台防火墙上,用户不会觉察到。图表 2 防火墙双机备份多层次分布式带宽管理带宽管理完全虚拟了网络带宽应用实际环境,并实现多层次分布式管理模式,避免了单层集中管理缺点;而且,能够实现带宽分层、带宽分级、带宽分配、带宽优化等管理,优化网络资源应用,提升网络资源应用效率。NGFW4000 能够许可管理员定义任意两个网络对象之间通信时最大带宽,而且带宽能够是分层,比如部门带宽下面有小组带宽然后是个人带宽等,能够预防带宽被滥用,确保关键通信顺畅。具体以下图所表示:图表 3分布式管理支持多个身份认证支持多个身份认证支持,如OTP 、RADIUS 、S/KEY 、SECUREID 、TACACS/TACACS+、口令方法、数字证书(CA ),愈加好更广泛实现了用户判别和访问控制。更强防御功效在内核上实现对病毒防护,内容过滤(如HTTP 、FTP 等 )和入侵检测(IDS )功效,其中入侵检测功效,防火墙4000 不仅有内置IDS 功效,还能够和IDS 实现联动。这不仅提升了安全性,而且确保了性能。深层日志及灵活、强大审计分析功效提供丰富日志信息,用户可依据特定需要进行日志选项(不做日志、日志
限制150内