厂区网络设计方案.doc

网络及电话建设方案 第 1 页 网络及电话设计方案网络及电话设计方案 网络及电话建设方案 第 2 页 目目 录录 第第 1 章章 网络需求分析网络需求分析-3 1.1 需求分析-3 1.2 建设目标-3 第第 2 章章 组网方案规划设计组网方案规划设计-5 2.1 建设原则-5 2.2 层次化设计-6 2.3 高可靠性-6 2.4 网络总体规划-7 第第 3 章章 安全管理安全渗透网络设计安全管理安全渗透网络设计-9 3.1 网络完全实际办法-9 3.2 核心交换机强大内置安全特性 -10 3.3 基层网络安全-11 1、端口IPMAC 地址的绑定：-11 2、MAC 地址盗用的防止-11 3、防止对 DHCP 服务器的攻击-11 4、防止 ARP 的攻击-12 5、组合丰富的 VLAN 功能进行业务隔离-13 6、配置防火墙和 IPS 进行网络区域的隔离-13 3.4 配置全面的网络防病毒系统 -13 集中控管能力：-14 采取用户端点准入防御解决方案-15 第第 4 章章 设备选型设备选型 -15 网络设备-15 4.1 核心交换机-15 产品概述-16 4.2 接入交换机-16 43 外网接入路由器 -17 第第 5 章章 组网优势组网优势 -18 网络及电话建设方案 第 3 页 第第 1 章章 网络需求分析网络需求分析 1.1 需求分析需求分析 总厂办公楼共 3 层，核心机房在 1 楼。整个办公楼大约 150-170 个信息点，车间及办 公室大约 50 个信息点（包括预留）信息点位分布如下表： 楼层 1F2F3F 厂区 电话信息点 位 5202070 网络信息点 位 30303030 本次组网设计为企业内网和互联网两部分，出于安全考虑，设计为内外网物理隔离方 式。 网络设计为接入多功能路由器，核心交换机，接入交换机等，核心线路使用光纤连接， 以达到千兆主干千兆桌面的方案，启动 vlan 和限速功能来合理利用互联网资源。并在多能 路由器上做多种防范攻击措施，保证网络稳定。 本次网络建设总结起来，需要满足以下几个方面的要求： 1：建设一个高可靠、高性能的大楼办公网； 2：由于需要接入 Internet，需要考虑上网的高安全性； 3：在网络边界，需要考虑网络病毒及攻击的防范。 1.2 建设目标建设目标 通过对大楼办公网络需求进行分析， 在以下几个方面需要特别关注： 1 1 1 1、 可靠性。可靠性。可靠性。可靠性。 办公网络是一个承载日常业务的重要平台，随着各种业务办公的自动化程度越来越高， 对网络平台的依赖性也越来越强，因此，首先需要构建一个具有高度可靠性的网络，可靠 性主要体现在业务系统、服务器存储系统和网络系统的稳定性上，针对网络系统的稳定性 有堆叠技术做支撑； 2 2 2 2、 高性能高性能高性能高性能 目前，随着全球信息时代的到来，越来越多的业务都可以承载到 IP 网络平台之上，网 络平台的容量也在急剧上升，而所有容量的 80%来自于局域网，因此，局域网的高性能， 网络及电话建设方案 第 4 页 成为提高工作效率的关键。此次，西安泵阀总厂的网络建设需要充分考虑的网络的高性能 目标。 3 3 3 3、 安全性。安全性。安全性。安全性。 现在病毒、黒客和终端用户是造成整网安全的隐患，尤其是终端用户的安全管理长期 以来没有一个很好的解决方案，这次设计专业网络行为管理设备来对用户的网络接入安全 进行细致安全合理的优化。 4 4 4 4、 高带宽。高带宽。高带宽。高带宽。 网络是一个庞大而且复杂的网络，为了保障全网的高速转发，网全网的组网设计的无 瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心交换机具有高性能、高带宽 的特，整网的核心交换要求能够提供无瓶颈的数据交换。 5 5 5 5、 可增值性。可增值性。可增值性。可增值性。 网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续 发展基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的 宽带增值业务，使网络具有自我造血机制，实现以网养网。 6 6 6 6、 可扩充性。可扩充性。可扩充性。可扩充性。 考虑到用户数量和业务种类发展的不确定性，要求对于核心交换机与汇聚交换机具有强 大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需 求变化，充分留有扩充余地。 7 7 7 7、 可开放性。可开放性。可开放性。可开放性。 技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议， 确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放 的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息 处理功能，实现网络设备的统一管理。 8 8 8 8、 安全可靠性。安全可靠性。安全可靠性。安全可靠性。 设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全 防范措施。 网络及电话建设方案 第 5 页 第第 2 章章 组网方案规划设计组网方案规划设计 2.1 建设原则建设原则 总的建设原则是设备先进、功能齐全、适应发展、突出重点、量力而行。 1 1、实用性原则、实用性原则： 以现行需求为基础，充分考虑发展的需要来确定规模。 2 2、冗余性原则：、冗余性原则： 特别注重网络硬件系统自身在突发事件时的可用性，以冗余备份的设计方式加以保障。 3 3、安全性原则：、安全性原则： 系统应能提供较高的安全手段，防止系统外部成员的非法侵入以及操作人员的越级操 作。安全性是信息化建设的基础保障。出于安全及保密因素，现在信息化建设工程对安全 性有很高的要求。设计的过程中必须依据国家各种有关安全法规政策，对硬件支撑平台的 访问控制、在线监视、信息加密等方面进行完善考虑，在网络建构上根据功能划分相应的 区域，使用如防火墙、入侵检测、加密设备对信息过滤、隔离、数据加密等手段，同时采 用虚拟网划分及目前较流行的 VPN 及安全认证等技术，防止非法用户、非法信息及病毒的 入侵和泄密事件的发生。同时还要在企业内部建立健全各种相关安全管理制度，确保全网 的安全。 4 4、先进性原则：、先进性原则： 系统要采用国际上先进的前沿技术，满足今后一段时期的需要。 5 5、易维护原则：、易维护原则： 系统要易于管理、易于维护。网络需要很高的可管理性，特别是在数据、视频等多业 务的网络系统里，要使用可管理的网络设备，可以识别关键资源，根据流量状况以及网络 性能配置阈值并为不同的应用提供不同的带宽，使所有的服务能够顺利完成。 随着系统的投入运行和系统资源的不断增加，网络系统应具有很好的易维护性，使管 理人员易于维护，减少不必要的额外劳动，提高工作效率。 6 6、易扩展原则：、易扩展原则： 提供开放性好、标准化程度高的技术和设备，便于功能扩展。考虑到业务日益增长的 长远需求，提供网络的可扩充性。用户的数量、需求和应用在不断变化，技术也不断发展， 网络及电话建设方案 第 6 页 随着网络技术的不断发展，网络应用规模在不断扩大。因此，在网络结构上要实现真正开 放，基于国际开放式标准，设计过程中应当保证在用户业务量和业务类型的变化增长的情 况下，硬件支撑平台能够方便的升级并扩展，网络可以自如地扩充容量，支持更多的用户 及应用。网络平台设计时必须按照各种国际通用标准进行，以保证各种设备、网络的兼容 通用。开放的网络使用户可以自由地选择不同厂家的产品，将来网络在实现扩容、升级时 不会受到某些厂家专有标准的限制。网络结构与网络技术的选择，要具有相当的前瞻性， 以确保随着网络技术的不断发展，网络能够平滑地过渡到更先进的技术和设备，充分保障 用户现有的投资和利益。 网络的扩展能力包括设备交换容量的扩展能力、端口密度的扩展能力、主干带宽的扩 展，以及网络规模的扩展能力。 2.2 层次化设计层次化设计 在园区网络整体设计中，采用层次化、模块化的网络设计结构，并严格定义各层功能 模型，不同层次关注不同的特性配置。典型的园区网络结构可以分成二层：接入层、汇聚 层。 1) 接入层：提供网络的第一级接入功能，完成简单的二、三层交换，安全、Qos 和 POE 功能都位于这一层。对于园区网的接入层设备，建议采用千兆三层接入的方式，应该 具有线速三层交换、IRF 智能弹性堆叠技术以及高级 QoS 策略等功能。 2) 汇聚层：汇聚来自配线间的流量和执行策略，当路由协议应用于这一层时，具有负 载均衡、快速收敛和易于扩展等特点，这一层还可作为接入设备的第一跳网关；对于园区 网的汇聚层设备，应该能够承载园区的多种融合业务，能够融合了 MPLS、IPv6、网络安全、 无线、无源光网络等多种业务，提供不间断转发、优雅重启、环网保护等多种高可靠技术， 能够承载园区融合业务的需求。 2.3 高可靠性高可靠性 厂区外网高可靠网络设计方案厂区外网高可靠网络设计方案 网络及电话建设方案 第 7 页 对于厂区外网网络，接入端口数量不多、但可靠性要求较高；对交换容量、带宽要求 较高。我们推荐高速、无阻塞交换千兆两层扁平组网模型。为用户提供千兆接入、支持语 音和 POE、网络可以运行 OSPF 协议，两层扁平网络结构，易于配置和管理，并能适应用户 未来几年网络应用的需要，提供预留容量。 两层简化扁平网络结构，汇聚、核心合为一层，减少了网络设备数量，易于配置和管 理，为用户提供千兆桌面接入、支持语音和 POE 功能。接入、核心层设备都为机架式，可 用多种不同端口类型的单板组合，使用灵活、可扩充性强，节省网络投资。整网带宽较高、 稳定可靠、可满足多种业务的无阻塞交换。 2.4 网络总体规划网络总体规划 网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性 和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化 的设计方法。 网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。网络设计主要 包含高品质 IP 核心网模块、智能弹性接入网模块、安全渗透网络模块、网络系统综合管理、 自适应无线网、IPv4/v6 地址与路由模块、组播与 QoS 优化模块等主要部分。 新厂区网络均以网线为媒介由办公楼 1 楼机房向厂区各个车间铺设，办公楼主要以网 线铺设，在会议室等场所配备无线 AP 设备，所有网线均从各个机房内铺设。 本建网方案为扁平化结构设计，分为核心和接入两层架构设计。 1、核心采用 1 台核心三层千兆路由交换机。保证有足够的数据转发能力 2、接入采用千兆二层可智能网管交换机，以千兆双归属到核心。 外网结构如下图所示： 网络及电话建设方案 第 8 页 本次方案设计采用二层扁平化方式组网，进一步提高核心网络的可靠性、以及高性能。 星形化结构的优势有以下几点： 层次结构清晰，能够将网络进行充分的规划。 星形化组网使网络复杂度降低，网络稳定性提升，网络维护难度降低。 采用星形化结构还具有高扩展性的特点，在今后网络规模扩大时只需要增加相应 的接入设备，原有的网络配置可以最大限度得到保留，实现平滑网络扩容。 较高的网络带宽可以充分满足多种业务无阻塞交换 网络管理者不必再为每种业务配置不同的服务质量策略，简化了设备的配置与维 护工作。 网络及电话建设方案 第 9 页 第第 3 章章 安全管理安全管理安全渗透网络设计安全渗透网络设计 在规划网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系 化的整体网络安全解决方案： 体系化设计原则体系化设计原则 通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的 安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险， 针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决 可能存在的安全问题。 全局性、均衡性原则全局性、均衡性原则 安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平 衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措 施，提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则可行性、可靠性原则 在采用全面的网络安全措施之后，应该不会对 XX 大学原有的网络，以及运行在此网络 上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网 络及应用的安全强度，保证整个信息资产的安全。 可动态演进的原则可动态演进的原则 方案应该针对泵阀厂制定统一技术和管理方案，采取相同的技术路线，实现统一安全 策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网 络演进，形成一个闭环的动态演进网络安全系统。 3.1 网络完全实际办法网络完全实际办法 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是企业、机构及用户免受 网络安全问题威胁的重要措施。事实上，多数企业、机构都缺乏有效的制度和手段管理网 络安全。网络用户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私 设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在 企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还可能使企业蒙 受巨大的商业损失。 网络及电话建设方案 第 10 页 为了解决现有网络安全管理中存在的不足，应对网络安全威胁，北京网康公司的 ICG 上网行为管理设备可以简单易用的完成各种网络审计，应用控制，流量限速等策略。并可 以做到以下几点 1 1、检查：检查： 检查网络接入用户的身份； 检查网络接入用户的访问权限； 检查网络接入用户终端的安全状态； 2 2、隔离隔离 隔离非法用户终端和越权访问； 隔离存在重大安全问题或安全隐患的用户终端； 3 3、修复修复 帮助存在安全问题或安全隐患的用户终端进行安全修复，以便能够正常使用 网络； 4 4、监控监控 实时监控在线用户的终端安全状态，及时获取终端安全信息； 对非法用户、越权访问和存在安全问题的网络终端进行定位统计，为网络安 全管理提供依据； 通过制定新的安全策略，持续保障网络的安全。 3.2 核心交换机强大内置安全特性核心交换机强大内置安全特性 逐包转发机制防止病毒冲击逐包转发机制防止病毒冲击 S5500 路由交换机是采用了逐包转发的机制，它和传统的流转发机制在安全性方面有 着更本的差异。流转发主要存在下面两个问题：（1） 、在网络拓扑频繁变化时，设备的适 应性差，转发性能下降严重；（2）存在一定安全隐患问题，尤其在网络遭受到类似“红色 代码”这类病毒攻击时问题尤为严重。 流转发为一次路由多次交换，它的特点是一旦查找一次路由后，就把查找结果存放在 CACHE 里，以后同样目的地址的包就不用重新查找，直接采用类似二层交换的技术，直接 转发到目的端口去。如果路由表项几乎不变化，则可通过上面所述的硬件精确匹配的方式 能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况，就 会导致无法通过硬件的精确匹配的方式查找到路由，这时三层以太网交换机的就会转为通 过 CPU 软件进行路由查找，查表和转发速度就会急剧下降。这是工作基本上是处于靠 CPU 软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行数据报文转发时主要 网络及电话建设方案 第 11 页 根据数据报文的五元组特征进行精确命中数据转发，对于“红色代码”病毒攻击时由于其 病毒报文的端口号是频繁进行变换，其五元组信息始终处于一个不停变换阶段，这样导致 三层交换机 CPU 不停进行路由查找，由于这类报文另外一个特征就是短时间内产生大量报 文，从而最终导致三层交换机 CPU 在转发过程中瘫机，同时这台交换机下挂的三层交换机 同样接收到大量病毒报文，基于上述原因其 CPU 转发引擎也将瘫机。与此同时当上层交换 机从转发报文中缓解过来时而下层交换机又处于瘫机中，这样网络路由必然就会出现较大 振荡，交换机转发性能急剧下降，最终导致所有交换机瘫机，整个网络不可用。 对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发，进行的是最大匹配方式 路由查找，当数据报文端口号进行变换的情况下，对路由器转发不造成影响，所以一旦遭 受“红色代码”病毒攻击时没有任何问题。 3.3 基层网络安全基层网络安全 1 1、端口、端口IPIPMACMAC 地址的绑定：地址的绑定： 用户上网的安全性非常重要，H3C E100 系列可以做到，端口+IP+MAC 地址的绑定关系， H3C E100 系列交换机可以支持基于 MAC 地址的 802.1X 认证，整机最多支持 1K 个下挂用户 的认证。MAC 地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、 可维护性。如：每个用户分配一个端口，并与该用户主机的 MAC、IP、VLAN 等进行绑定， 当用户通过 802.1X 客户端认证通过以后用户便可以实现 MAC 地址端口IP用户 ID 的 绑定，这种方式具有很强的安全特性：防 D.O.S 的攻击，防止用户的 MAC 地址的欺骗，对 于更改 MAC 地址的用户（MAC 地址欺骗的用户）可以实现强制下线。 考虑到大学用户的技术性较强，在实际的应用的过程当中应当充分考虑到 Proxy 的使 用，对于 Proxy 的防止，H3C 公司 E100 系列交换机配合 H3C 公司的 802.1X 的客户端，一 旦检测到用户 PC 机上存在两个活动的 IP 地址（不论是单网卡还是双网卡） ，E100 系列交 换机将会下发指令将该用户直接踢下线。 2 2、MACMAC 地址盗用的防止地址盗用的防止 在网的应用当中 IP 地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自 己的 MAC 地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接 入层交换机上提供防止 MAC 地址盗用的功能，用户在更改 MAC 地址后，E100 系列交换机对 于与绑定 MAC 地址不相符的用户直接将下线，其下线功能是由 E100 系列交换机来实现的。 3 3、防止对、防止对 DHCPDHCP 服务器的攻击服务器的攻击 使用 DHCP Server 动态分配 IP 地址会存在两个问题：一是 DHCP Server 假冒，用户将自 己的计算机设置成 DHCP Server 后会与局方的 DHCP Server 冲突；二是用户 DHCP Smurf， 用户使用软件变换自己的 MAC 地址，大量申请 IP 地址，很快将 DHCP 的地址池耗光。 H3C E100 系列交换机可以支持多种禁止私设 DHCP Server 的方法。 PrivatePrivate VLANVLAN 网络及电话建设方案 第 12 页 解决这个问题的方法之一是在桌面交换机上启用 Private VLAN 的功能。但在很多环境 中这个功能的使用存在局限，或者不会为了私设 DHCP 服务器的缘故去改造网络。 访问控制列表访问控制列表 对于有三层功能的交换机，可以用访问列表来实现。 4 4、防止、防止 ARPARP 的攻击的攻击 随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于 网用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题 屡见不鲜。因此，ARP 攻击、地址仿冒、MAC 地址攻击、DHCP 攻击等问题不仅令网络中心 的老师头痛不已，也对网络的接入安全提出了新的挑战。 ARP 攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型： 中间人攻击： 按照 ARP 协议的原理，为了减少网络上过多的 ARP 数据通信，一个主机，即使收到 的 ARP 应答并非自己请求得到的，它也会将其插入到自己的 ARP 缓存表中，这样，就造 成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过 交换机相连） ，他会分别给这两台主机发送一个 ARP 应答包，让两台主机都“误”认为对 方的 MAC 地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上 都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只 需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在 主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所 在的中转主机的。 仿冒网关： 攻击者冒充网关发送免费 ARP，其它同一网络内的用户收到后，更新自己的 ARP 表项， 后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。 而攻击者可以凭借此攻击而独占上行带宽。 在 DHCP 的网络环境中，使能 DHCP Snooping 功能，E100 交换机会记录用户的 IP 和 MAC 信息，形成 IP+MAC+Port+VLAN 的绑定记录。E100 交换机利用该绑定信息，可以判断用 户发出的 ARP 报文是否合法。使能对指定 VLAN 内所有端口的 ARP 检测功能，即对该 VLAN 内端口收到的 ARP 报文的源 IP 或源 MAC 进行检测，只有符合绑定表项的 ARP 报文才允许转 发；如果端口接收的 ARP 报文的源 IP 或源 MAC 不在 DHCP Snooping 动态表项或 DHCP Snooping 静态表项中，则 ARP 报文被丢弃。这样就有效的防止了非法用户的 ARP 攻击。 网络及电话建设方案 第 13 页 5 5、组合丰富的、组合丰富的 VLANVLAN 功能进行业务隔离功能进行业务隔离 大部分网络设备都可以提供对 VLAN 功能的完善的支持，通过 VLAN 的划分，可以区分 不同的业务，灵活的根据端口、MAC 等进行 VLAN 的划分，实现对各种业务的有效的隔离。 同时，通过各种特性 VLAN 的部署，可以更加灵活的实现网络流量和业务的隔离，比如， 通过 PVLAN 技术，可以实现同一个 VLAN 内部服务器之间相互访问的隔离；通过动态 VLAN 的部署，可以实现用户在任何位置接入网络都能被隔离到自己所属的 VLAN 中。 6 6、配置防火墙和、配置防火墙和 IPSIPS 进行网络区域的隔离进行网络区域的隔离 防火墙是网络层的核心防护措施，它可以对整个网络进行网络区域分割，提供基于 IP 地址和 TCP/IP 服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ） 、端口扫描（port scanning） 、IP 欺骗(ip spoofing)、IP 盗用等进行有效防护；并提供 NAT 地址转换、流量 限制、用户认证、IP 与 MAC 绑定等安全增强措施。 3.4 配置全面的网络防病毒系统配置全面的网络防病毒系统 网络环境下的防病毒必须层层设防，逐层把关，堵住病毒传播的各种可能途径，为 XX 大学网络系统提供一个稳定高效、技术一流、方便管理、服务周全的网络病毒防护体系， 网络防病毒体系主要包括： 网关防病毒： Internet 是现在病毒传播的一个最主要的路径，访问 Internet 网站可能会感染蠕 虫病毒，从 Internet 下载软件和数据可能会同时把病毒、黑客程序都带进来，对外开 放的 WEB 服务器也可能在接受来自 Internet 的访问时被感染上病毒。因此需要在公司 与 Internet 接口处重点防范病毒的传播。 邮件防病毒： 邮件附件是当前网络病毒传播的一个重要途径，因此要在邮件服务器上配置邮件 防病毒软件，检查所有从邮件服务器发送和接收的邮件，特别是其邮件附件。另一方 面，防范邮件病毒传播要加强对用户的安全教育，对于所有来源不明的邮件不要轻易 打开，特别是其附带的邮件附件。在打开邮件之前，最好打电话与发件人确认，因为 很多邮件病毒是自动从通讯录中查找收件人的。发送邮件时，最好不要使用复杂的格 式，可以直接使用纯文本格式，这样邮件带病毒传播的机会就很小了。 网络及电话建设方案 第 14 页 服务器防病毒： 对重要的服务器，配置服务器防病毒软件，包含了大量复杂的应用系统，需要大 量的不同平台的服务器，我们建议对这些服务器分别安装防病毒系统，加强这些重点 服务器的病毒防范能力。 主机防病毒： 网络中的主要用户使很多主机终端，因此必须为所有的单机，特别是一些处理关 键业务的用户机配置主机防病毒软件。 集中控管能力：集中控管能力： 防病毒需要具有集中控管能力，对所有的防病毒产品模块提供一个集中的管理机 制，监控各个防毒产品的防杀状态，病毒码及杀毒引擎的更新升级等，并在各个防毒 产品上收集病毒防护情况的日志，并进行分析报告。 设备选型建议：设备选型建议： 我们建议选择赛门铁克或者卡巴的网络防病毒解决方案； 网络及电话建设方案 第 15 页 采取用户端点准入防御解决方案采取用户端点准入防御解决方案 根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方 案应该满足以下要求： 1、 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制， 只有授权的用户，才能接入网络，有效阻断非法接入网络的用户，保证网络用户 身份的合法性。 2、 统一实现基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说， 就是对公司网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不 仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。 3、 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解 决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁，未安 装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动 安装、病毒库的自动升级，保证网络的清洁。 4、 实现网络接入用户的动态隔离能力。在用户访问网络的过程中，一旦发现用户处 于不安全的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。 第第 4 章章 设备选型设备选型 网络设备网络设备 4.14.1 核心交换机核心交换机 本次方案推荐采用 H3C S5500 高性能路由交换机。 网络及电话建设方案 第 16 页 产品概述产品概述 H3C S5500-SI 系列交换机是 H3C 公司自主开发的全千兆三层以太网交换机产品，具备丰富 的业务特性，提供 IPv6 转发功能以及最多 4 个 10GE 扩展接口。通过 H3C 特有的集群管理 功能，用户能够简化对网络的管理。S5500-SI 系列千兆以太网交换机定位为企业网和城域 网的汇聚或接入，同时还可以用于数据中心服务器群的连接。 H3C S5500-SI 系列以太网交换机目前包含如下型号： S5500-28C-SI：24 个 10/100/1000Base-T 以太网端口，4 个复用的 SFP 千兆端口 （Combo） ，两个扩展槽位； S5500-52C-SI：48 个 10/100/1000Base-T 以太网端口，4 个复用的 SFP 千兆端口 （Combo） ，两个扩展槽位； S5500-28C-PWR-SI：24 个 10/100/1000Base-T 以太网 PoE 端口，4 个复用的 SFP 千兆端 口（Combo） ，两个扩展槽位； S5500-52C-PWR-SI：48 个 10/100/1000Base-T 以太网 PoE 端口，4 个复用的 SFP 千兆端 口（Combo） ，两个扩展槽位； S5500-20TP-SI：12 个 SFP 千兆端口，8 个 10/100/1000Base-T 以太网端口。 4.24.2 接入交换机接入交换机 本次方案选用 H3C S3100-EI 系列交换机 产品概述 H3C S3100-EI 系列交换机是 H3C 公司为构建高安全、高智能网络需求而专门设计的新一代 以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网 络管理维护易用性，是理想的安全易用接入层交换机。 用户对于网络的要求不断提高，接入交换机不只是提供简单的数据交换功能，而是越来越 多地面临着安全威胁、管理维护复杂、多业务融合和扩展等诸多问题和挑战： 如何实现用户安全的接入控制，防止病从口入？如何能够准确定位并抑制层出不穷的恶 意欺骗攻击，将安全隐患拒之门外？ 如何提高网络管理和维护的易用性？如何自动检测网络中是否存在问题并快速准确定位 故障点，如何批量对网络的管理和维护进行批量操作，以提高网络维护效率，降低维护成 本？ 网络及电话建设方案 第 17 页 如何满足园区网多业务融合的需求，并批量实现网络资源灵活分配和调度？如何提高网 络设备的业务扩展能力，节省用户未来对 IPv6 业务应用的追加投资？ H3C S3100-EI 系列交换机在以上各方面为用户提供了全新的技术特性和解决方案，完美地 解决了当前网络接入设备面临的各种问题。 H3C S3100-EI 系列以太网交换机目前包含如下型号： S3100-8TP-EI： 8 个 10/100Base-TX 以太网端口，1 个 10/100/1000Base-T 以太网端口 和 1 个复用的 100/1000Base-X SFP 端口； S3100-16TP-EI：16 个 10/100Base-TX 以太网端口，2 个 10/100/1000Base-T 以太网端口 和 2 个复用的 100/1000Base-X SFP 端口； S3100-26TP-EI：24 个 10/100Base-TX 以太网端口，2 个 10/100/1000Base-T 以太网端口 和 2 个复用的 100/1000Base-X SFP 端口； S3100-8TP-PWR-EI-F：8 个 10/100Base-TX 以太网端口（PoE），1 个 10/100/1000Base- T 以太网端口和 1 个复用的 100/1000Base-X SFP 端口； S3100-8TP-PWR-EI-DC：8 个 10/100Base-TX 以太网端口（PoE），1 个 10/100/1000Base-T 以太网端口和 1 个复用的 100/1000Base-X SFP 端口； S3100-16TP-PWR-EI-F：16 个 10/100Base-TX 以太网端口（PoE），2 个 10/100/1000Base-T 以