网络改造设计方案

1、目录1. 用户系统现状11.1 原网络拓扑结构11.2 原网络分析12. 系统建设需求22.1 网络要求22.2 设备要求23. 解决方案33.1 网络系统改造设计33.2 改造后网络拓扑结构54. 设备选型64.1 设备清单一览表64.2 设备产品资料64.2.1 Quidway S5300系列全千兆运营级交换机产品说明64.2.2 天融信入侵防御系统TopIDP产品说明114.3.3 天融信防火墙系统TopGuard-NGFW4000系列产品说明141. 用户系统现状1.1 原网络拓扑结构1.2 原网络分析现有网络拓扑结构相对简单，直接从政务外网接入核心交换机，无法保障内网安全；核心采用了

2、非网管交换机，对网络的管理造成不便；接入采用百兆交换机，无法满足高速发展的网络时代带来的巨大信息量的传输；三楼只接入了一台8口交换机，无法满足20个信息点的接入。2. 系统建设需求2.1 网络要求为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持大容量和实时性的各类应用；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足信息安全的要求，未来升级扩展容易。 整个网络系统采用千兆以太网1000M交换，网络协议采用TCP/IP协议，交换机要求采用主流、成熟、信誉和售后服务均佳的产品，核心交换机支持VLAN等功能，能较好解决突发数据量和密集服务请求的实时响应问题，在内部用户

3、终端进行数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象，还要考虑预防瓶颈出现和补救的相应措施。2.2 设备要求根据网络功能需求情况，楼层接入设备需要选择同一型号的设备；网络设备必须在技术上具有先进性、通用性，必须便于管理、维护，应该满足现有计算机设备的高速接入，应该具备良好的可扩展性、可升级性。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须要有良好的市场形象与售后技术支持。3. 解决方案3.1 网络系统改造设计针对原网络的不足及用户需求，现对原网络设计方案进行升级改造，改造后网络系统采用二层结构：核心部

4、分核心采用了一台三层可管理交换机(华为5328C-EI-24S)，该交换机具有24个100/1000Base-X,4个10/100/1000Base-T千兆Combo口，解决了网络管理不便的问题并支持未来子网的扩展，转发性能96M，端口交换容量128G，板交换容量达到了256G，保证了巨大信息量的可靠传输及交换。接入部分整个网络系统共有110个信息点，四楼使用两台华为5352C-SI千兆交换机直接接入核心交换机，该交换机具有48个10/100/1000Base-T端口，满足用户终端90个信息点接入需求的同时也保证了各个信息点数据的高速传输，三楼将原来的8口交换机改为24口交换机（华为5328C

5、-SI），也保证了剩下20个信息点的接入，解决了原来三楼接入端口不足的问题。由于整个网络系统结构比较简单，传输距离较短，所有交换机具有1000base-T端口，所以可采用超5类或6类双绞线连接整个网络，以节约网络系统改造成本。安全方面，在政务外网与核心交换机之间接入防火墙（天融信NGFW4000系列的TG-4514）及入侵防御系统（天融信TopIDP2000系列的TI-2230-IDP），该防火墙集成了多种安全引擎，不但有内置的攻击检测能力，还可以和IPS产品实现联动。这不仅提高了安全性，还保证了高性能，是国内安全功能最丰富的防火墙产品。入侵防御系统TI-2230-IDP可分析网络攻击的组合行

6、为特征来准确识别各种攻击，可以智能地识别出多种攻击隐藏手段及变种攻击。通过智能化检测引擎，能够识别出多种高危网络行为，并可以将此类行为以告警方式通知管理员，达到防患于未然的目的。同时具有强大的木马检测与识别能力，完善的应用攻击检测与防护能力，丰富的网络应用控制能力和及时的应急响应能力，使得内网安全性大大提高。而且，两者都具有硬件Bypass功能，即使安全设备出现故障，也不影响整个网络的连通性。改造后网络结构不仅满足用户现有需求，同时对未来网络结构做好扩展准备。改造后的网络系统具有如下特性：1.先进性：系统具有高速传输的能力。系统传输速率达到1000Mb/s, 同时具有较高的带宽，满足现在和未来

7、数据信息传输的需求； 2.灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接； 3.实用性：系统具有低成本、使用方便、简单、易扩展的特点。4.安全性：在核心机与政务外网间接入防火墙和入侵防御系统，大大提高了整个网络系统的安全性。 3.2 改造后网络拓扑结构4. 设备选型4.1 设备清单一览表楼层设备类型名称数量设备配置信息四楼交换机华为5328C-EI-24S1端口描述：24个100/1000Base-X，4个10/100/1000Base-T千兆Combo口；转发性能96M，端口交换容量128G，板交换容量256G；华为5352C-SI2端口描述：

8、48个10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP或者410GE SFP插卡，双电源，可插拔；转发性能132M，端口交换容量176G，板交换容量256G；IPSTopIDP2000 TI-2230-IDP11U机架式结构；最大配置为26个接口，默认包括2个可插拔的扩展槽和10个10/100/1000BASE-T接口，（作为HA口和管理口）；默认含1年特征库升级吞吐量2.6G；最大并发连接数60W；IPS性能600M；具有硬件Bypass功能防火墙NGFW4000 TG-4514 11U机架式结构；最大配置为12个接口，包括4

9、个10/100/1000BASE-T接口和1个扩展槽吞吐量1G最大并发连接数160W三楼交换机华为5328C-SI1端口描述:24个10/100/1000Base-T，4个100/1000Base-X 千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡,双电源，可插拔，支持USB口；转发性能96M，端口交换容量128G，板交换容量256G；4.2 设备产品资料4.2.1 Quidway S5300系列全千兆运营级交换机产品说明产品概述Quidway S5300系列全千兆交换机（以下简称S5300），是华为公司为满足大带宽接入

10、和以太网多业务汇聚而推出的新一代全千兆高性能以太网交换机，可为客户提供强大的以太网功能服务。S5300基于新一代高性能硬件和华为公司统一的VRP（Versatile Routing Platform）软件，具备大容量、高密度千兆端口，可提供万兆上行，充分满足客户对高密度千兆和万兆上行设备的需求。S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。产品外观S5328C-EI-24S：24个100/1000Base-X，4个10/100/1000Base-T千兆Combo口，上行支持210GE XFP、41000Base-X SFP、210GE SFP、

11、410GE SFP插卡，双电源，可插拔；S5352C-SI：48个10/100/1000Base-T，上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，双电源，可插拔, 支持USB口；S5328C-SI：24个10/100/1000Base-T，4个100/1000 Base-X 千兆Combo口， 上行支持210GE XFP、41000Base-X SFP、210GE SFP、410GE SFP插卡，双电源，可插拔，支持USB口；产品特点强大的多业务支持能力 S5300支持增强型灵活QinQ功能，确保灵活的外层VLAN标签功能的同时不占用

12、ACL资源。S5300能将内层VLAN的CoS值映射到外层VLAN，或者修改外层VLAN的CoS值，可根据业务需要灵活标记QoS等级，满足多业务承载的要求。 S5300支持IGMP Snooping/ IGMP v3 snooping/Filter/Fast Leave/Proxy等协议。S5300支持线速的跨VLAN组播复制功能，支持捆绑端口的组播负载分担，支持可控组播，可以充分满足IPTV和其他组播业务的需求。 S5300支持MCE 功能，实现了不同VPN用户在同一台设备的隔离，有效解决用户数据安全问题，同时降低用户投资成本。 免维护易部署 S5300采用“一次进站”方案， 支持自动配置、

13、即插即用、USB开局、自动批量远程升级功能，便于部署升级和业务发放，简化后续的管理和维护性能。从而大大降低了维护成本。S5300支持SNMP V1/V2/V3， CLI命令行、Web网管、TELNET、HGMP集群管理等多样化的管理和维护方式，设备管理更加灵活。支持NTP、SSHv2.0、TACACS+、RMON、多日志主机、基于端口的流量统计，支持NQA网络质量分析，有利于进一步作好网络规划和改造。良好的可扩展性 S5300系列交换机支持智能堆叠 iStack功能，完全即插即用，插好堆叠线缆即可自动组建堆叠虚拟框式架构。堆叠成员分为主、备、从三种角色。新增备交换机之后减少了主交换机故障引起的

14、业务中断时间。支持智能升级，排除用户给堆叠扩容时为新加入交换机更换软件版本的烦恼。堆叠技术允许交换机利用互联电缆实现多台设备的扩展，单一IP管理，大大降低系统扩展以及运维的成本。与传统组网技术相比，在扩展性、可靠性、整体架构等性能方面均具有强大的优势。 简单的可管理特性 S5300支持GVRP实现动态分发、注册和传播VLAN属性，从而达到减少网络管理员的手工配置量及保证VLAN配置正确的目的。GVRP是一种VLAN的动态配置技术，在复杂的组网环境中应用GVRP，能够简化VLAN配置管理，减少因为配置不一致而导致的网络互通问题。 S5300支持MUX VLAN功能。MUX VLAN提供了一种在V

15、LAN的端口间进行二层流量隔离的机制。采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。MUX VLAN通常用于企业内部网，客户端口可以同服务器端口通讯，但客户端口之间不能通讯。用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。产品规格4.2.2 天融信入侵防御系统TopIDP产品说明产品概述天融信公司的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术，它通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。Top

16、IDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等，安全地保护内部IT资源。TopIDP采用多核处理器硬件平台，将并行处理技术融入到天融信自主研发的安全操作系统TOS中，保证了TopIDP产品可以做到更高性能地网络入侵的防护。公司内攻防实验室会跟踪分析最新的漏洞和导致的攻击行为，及时更新入侵防御设备的规则库，保证该设备的及时有效的检测能力。TopIDP是集访问控制、透明代理、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文完整性分析为一体的网络安全设备，为用户提供完整的立体式网络安全防护。与现在市场上的入侵防御系统相比，TopIDP系列

17、入侵防御系统具有更高的性能、更细的安全控制粒度、更完善的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。 产品功能详细功能如下：功能类别功能项功能描述工作模式网络接入透明、路由、混合、监听、直连 入侵防御引擎支持路由、交换、混合、直连、监听五种模式支持基于源、目的、规则集、动作的入侵检测规则支持时间对象支持策略改变引擎自动重起DDOS防御非法报文攻击：land、Smurf、Pingofdeath、winnuke、tcp_sscan、ip_option、teardrop、targa3、ipspoof等；统计型

18、报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep等；支持主机连接数和半连接数的限制。动作支持阻断drop，检测到策略中设置的数据后，丢弃报文；支持报警Alert， 检测到策略中设置的数据后，进行报警；支持TCP Reset，向攻击者发TCP Reset包；支持日志Log，检测到攻击事件后记录日志；支持记录报文，检测到攻击事件后将原始报文完整记录下来；支持防火墙联动，与防火墙联动，仅限IDS模式运行；支持自定义组合，可以将以上操作的组合做为一个新的动作。报表Webui支持实时显示按发生次数累计的攻击事件排名；支持Top10攻击者、Top10被攻击

19、者、Top10事件统计报表；支持按时间统计的IPS流量报表；支持选定时间、网络攻击分类的统计报表；支持日报、周报、月报、季报等统计报表；支持报表输出，输出格式可以为PDF、DOC、HTML格式。规则库维护支持自定义规则库导入、导出；支持系统规则库手动、自动升级。系统规则预置系统规则集包含认证类、木马类、拒绝服务类、即时通讯类、p2p类、溢出攻击类、扫描类、系统漏洞类、webcgi类、蠕虫类、游戏类、HTTP攻击类、RPC攻击类、高风险类、中风险类、低风险类和所有事件等。自定义规则支持自定义规则；支持自定义规则集。网络适应性路由支持静态路由；支持基于源/目的地址、接口、Metric的策略路由；支

20、持Vlan路由，能够在不同的VLAN虚接口间实现路由功能。VLAN支持802.1Q，能进行封装和解封。在同一个Vlan内能进行二层交换。ARP支持ARP代理、ARP学习。可设置静态ARP。高可用性双机热备*支持双机热备（Active-Active模式）。（注：高端IDP产品只支持AS方式）支持连接同步Bypass提供专业的硬件ByPass功能，保证网络通畅负载均衡支持轮询、加权轮叫、最少连接、加权最少链接等多种服务器负载均衡算法。备份系统支持备份系统，主系统破坏后可以通过备份系统启动运行。系统管理管理方式支持WEB图形配置、命令行配置；支持本地配置、远程配置；支持基于SSH、SSL的安全配置。

21、SNMP支持SNMP 的v1 、v2 、v2c 、v3 版本；与当前通用的网络管理平台兼容，如HP Openview 等；丰富的私有MIB系统信息。监控和报警支持网络接口、CPU利用率、内存使用率等；内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类；支持邮件、SNMP、控制台等多种组合报警方式。日志支持Welf、Syslog等多种日志格式的输出；支持通过第三方软件来查看日志；支持日志分级；支持对接收到的日志进行缓冲存储。其它系统升级，支持远程维护和系统升级；系统升级，支持TFTP、FTP、HTTP方式升级；配置恢复，可进行配置文件的备份

22、、下载、删除、恢复和上载；时钟调整，支持网络时钟协议NTP，可自动根据NTP服务器时钟调整本机时间。4.3.3 天融信防火墙系统TopGuard-NGFW4000系列产品说明产品概述十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出TOPSEC联动技术体系。网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段，目前已进入以自主安全操作系统TOS（Topsec Operating System）为基础，以完全内容检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能。网络卫士防火墙系列在政府、银行、电力、军工、电信、税务、教育、能源、

23、交通等行业中广泛应用，全国20,000多网络和业务在其保护下平稳运行。天融信基于多年的技术积累和用户信赖，连续多年蝉联国内第一防火墙品牌。网络卫士防火系列市场占有量巨大，它保护的网络遍布在祖国大江南北，并已走出国门在一些全球性的业务网络上成功实施，为广大用户的信息安全建设立下了汗马功劳。NGFW4000 (TG-4514)产品功能类别功能详细描述工作模式 支持透明、路由、混合、直连（虚拟线）模式网络安全性内容过滤 采用完全内容检测（Complete Content Inspection）技术。 支持基于流、数据包、透明代理的过滤方式。 支持对HTTP、SMTP、POP3、IMAP、FTP等协议

24、的深度内容过滤。 支持URL过滤。 支持DNS过滤。 支持web重定向。 支持HTTP URL长度限制。 支持伪装http连接识别。 支持DNS过滤。 支持RSH命令过滤。 支持telnet命令过滤。 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。 支持对邮件的收发邮件地址、文件名、文件类型过滤。 支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。 支持反垃圾邮件功能（用户配置黑白名单） 支持MSN，QQ，Skype等Instant Messenger通信，并可以对于这些应用进行登陆限制和帐号过滤。 可限制BT，eMu

25、le，eDonkey，迅雷等P2P应用。 可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。网络安全性访问控制 基于状态检测的动态包过滤。 基于源/目的IP地址、MAC地址、端口和协议、时间、用户的访问控制。 支持基于用户的PPTP的访问控制。 支持报文合法性检查。 动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP。 可实现IP/MAC绑定。 会话收集整理，由收集数据生成访问控制策略。 访问控制策略分组管理。 地址对象源目的发起连接数控制，支持全网段地址。 支持大数量

26、级的策略匹配加速算法。 支持对于策略重复和策略冲突的检查。安全管理用户认证 支持使用一次性口令认证（OTP）、本地认证、双因子认证（SecurID）以及数字证书（CA）等常用的安全认证方式。 支持使用第三方认证，如RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。 支持Session认证、HTTP会话认证。 支持认证保活功能。 可将认证用户信息加密存放在本地数据库。日志 支持Welf、Syslog日志格式的输出。 支持日志分级和按类型输出。 支持通过第三方软件来查看日志。 可对日志进行加密传输。 支持安全审计系统（TA-L），获得更详尽的日志分析和审计功能。 TA-L除接受防火墙日志外还能接受交换机、路由器、操作系统、应用系统和其他安全产品的日志进行联合分析。监控 支持网络接口、CPU利用率、内存使用率、操作系统状况、网络状况、硬件系统、进程、进程内存、加密卡状况的监测。 可根据配置文件进行错误恢复。报警 内置了“管理”、“系统”、“安全”、“策略”、“通信”、“硬件”、“容错”、“测试”等多种触发报警的事件类。 支持邮件、NETBIO