单位网络改造方案

1、疾控中心网络改造方案2014年8月一、概述1二、需求分析1三、方案设计21系统设计原则22网络基础设计3总体架构设计拓扑图 3.总体网络架构设计思路 3.四、设备选用介绍6五、服务承诺20六、费用预算22、概述我中心网络是由140多个信息点组成的中小型网络，目前通过一条10兆广域网线路为本部提供互联网接入服务。二、需求分析目前我中心在内网方面有以下几个方面需要解决。设备更新交换机、路由器、防火墙等设备升级更换；办公楼一楼房间网络线路与36个信息点铺设安装；1-7楼无线网络设施设备安装。三、方案设计1系统设计原则系统性：站在整个信息安全系统体系的高度，统一规划，建 立完善的框架体系，形成对应的规

2、范标准，实现统一的系统 管理；实用性：以采用最小化建设原则为根本宗旨，以较小的资源使用量建设安全系统，使得建成后的体系能够充分发挥作用；专业性：提供了与信息服务相关的各模型，丰富完善的知识库 和安全事件管理预案；经济性：在信息服务系统正常运转的前提下，综合考虑建设 成本、运行成本和维护成本；可伸缩能力：满足未来所支持的应用和用户将有非常大的增长，良好的伸缩能力不仅意味着系统的持续性和稳定性，而且也是满足未来服务、应用增长需要的必备条件；高可靠性与可用性：对于关键性应用，如果网络发生故障或主机发生宕机现象，会造成严重的后果。RAS （可靠、可用、可维护）特性，是系统选型考虑的重点；高性能：服务的

3、响应速度是保证用户服务质量和满意程度的 重要方面。系统高性能确保为用户提供优质的服务，使用户 得到良好的响应时间。2网络基础设计总体架构设计拓扑图总体网络架构设计思路网络设计上要求高带宽、高可靠性、高可扩展性。此次设计遵循网络拓朴结构层次化的总体设计， 网络拓朴结构主要由核心层和接入层组成。各层面设备要求能提供各种网络控制，具体是：一、构建多个虚拟网络单位的网络按部门被虚拟成多个虚拟网络，并可根据需求增加新的虚拟网络。不同的虚拟网络之间是不可以直接访问的， 一个虚拟网络必须经过中心交 换机才可以访问其他虚拟网络的电脑。二、网络资源访问控制在中心交换机上，可以根据需要开通相应的访问权限。三、上网

4、行为管理优化上网行为，提高上网安全。以上设计的优点主要有：(1)可扩展性，网络可模块化增长而不会遇到问题；(2)简单性，通过将网络分成许多虚拟网，降低了网络的整体复杂性，使故 障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；(3)设计的灵活性，使网络容易升级到最新的技术，升级任意层次的网络不 会对其他层次造成影响，无需改变整个环境；(4)可管理性，层次结构使单个设备配置的复杂性大大降低，更易管理。设备选择考虑到使网络更加合理、今后更好地拓展、有利于查出故障症结，建议配置 一台核心交换机。核心交换层是网络的核心交换节点，它将多个边缘汇聚层连接 起来，进行数据高速转发。用户数据通过汇

5、聚层上行到核心层， 通过核心网获取 所需业务。核心交换机：根据需求我们选用 H3c LS-5120-24P-EI交换机作为网络的核心设备，背板带宽192Gbps,包转发率：42Mpps。它是一款部署于企业核心的高新能交换机，在核心网络中的性能、IP服务，冗余性和故障弹性十分重要。H3CLS-5120-24P-EI是H3c公司自主开发的千兆三层以太网交换机，具备丰富的业务特性，通过H3c特有的集群管理管理功能，支持 WEB网管，用户能够简化对 网络的管理。汇聚层交换机：根据需求我们选用H3C S3100-26TP-SI交换机作为网络的汇聚层设备，背 板带宽19.2Gbps,包转发率6.55Mpp

6、SoPOE供电交换机：POE交换机负责给AP供电，直接关系到无线AP的使用，因此我们推荐使 用 H3c 3100-26TP-PWR-EI , H3C 3100-26TP-PWR-EI 以太网端口可以为连接到 该端口的设备进行远程PoE供电，产品支持VLAN戈U分、端口限速、RMON 1, 2, 3, 9 组 MIB、IP+MAC+端口三元素绑定、防 ARP欺骗、ACL、VLAN-ACL、 STP/RSTR静态LACP等功能，可以通过 Telnet、命令行、Web界面、SNMP等多种方式进行管理支持 PoE （Power over Ethernet）技术，通过以太网对所连接的设备（如 Wirel

7、ess AP、IP Camera、IP Phone等）进行远程供电，从而使得不必在使用现 场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成 本。上网行为管理设备：上网行为管理设备选用sangfor公司的设备。它是一款多功能的网络信息安全管理审计系统。可详细记录网内受控人员， 各种常用网络应用的使用情况，传送或接收的信息内容。并可配合网络管理或公 司策略，对常用网络应用的使用情况与内容，进行记录备案以及弹性的策略管控。 同时提供了详尽的统计分析功能，透过图表分析，使管理者对各种应用的使用情 况，及对网络所造成的影响，尽在掌握。本产品是全方位的网络内容安全解决方案，具有 WEB

8、 IM、P2P、FTP等应 用层（LAYER 7延伸服务的内容管理与使用分析，过滤分析技术能涵盖网络层到 应用层，以提供网络内容安全的纵衡防御服务。它可以对不当信息拦截防护、策略管理、统计报表、流量控管 等多种管理功能，特别有助于 对网络的使用 控管。本产品方便管理，不影响网络运作，是企业进行多通讯端口的安全防护。 它能协助企业进行网络有效管理，提升网络资源的使用效益！四、设备选型介绍1、 H3c LS-5120-24P-EI 交换机主要参数产品类型智能交换机应用层级三层传输速率1000Mbps交换方式存储-转发背板带宽192Gbps包转发率42Mpps端口参数端口结构非模块化端口数量28个端

9、口描述24 个 10/100/1000Base-T 以太网端口控制端口1 个 Console 口传输模式支持全双工功能特性VLAN支持基于端口的 VLAN (4K个)QOS支持IEEE 802.1p/DSCP优先级支持优先级映射支持端口信任模式支持端口信任模式支持端口队列调度(SP/WRR/SP+WRR)组播管理支持 IGMP Snoopingv1/v2/v3MLD Snooping支持组播VLAN网络管理支持XModem/FTP/TFTP加载升级支持命令行接口( CLI) , Telnet, Console 口进行配置支持SNMP, WEB网管支持 RMON ( Remote Monitor

10、ing )支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem远端拨号支持NTP支持 Ping , Tracert支持Telnet远程维护支持VCT (Virtual Cable Test )电缆检测功能支持Loopback-detection 端口环回检测安全管理支持用户分级管理和口令保护支持 Radius认证支持SSH 2.0支持802.1X,集中式MAC地 址认证支持Guest VLAN支持端口隔离支持端口安全支持 MAC地址学习数目限制支持IP 源地址保护支持 ARP入侵检测功能支持IP+MAC+端口的绑定支持 EAD支持Triple认证其它参数电源

11、电压AC 100-240V , 50-60Hz产品尺寸440 X160 M3.6mm产品重量420 M3.6mm产品重量400Bypass功能*支持故障时Bypass功能尺寸标准1U机架尺寸部署方 式网关模式*支持网关模式，支持 NAT、路由转发、DHCP等功能；网桥模式支持网桥模式，以透明方式串接在网络中；混杂模式同时开启支持网关和网桥模式网关管理管理界面支持SSL加密WEB方式管理设备；分级管理*不同用户组的管理权限支持分配给不同管理员；告警管理*支持攻击、病毒、服务器入侵、访问行为记录、内容过滤事件、系统日志 告警等；排障工具*提供图形化排障工具，便于管理员排查策略错误等故障；实时监 控

12、设备资源信 息提供设备实时CPU、内存、磁盘占有率、会话数、在线用户数、系统时间、 网络接口等信息；流量状态*实时提供用户流量排名、应用流量排名、所有线路应用流速趋势、流量管 理状态、连接监控信息；安全状态*实时显示当天的安全状况，最后发生安全事件的时间、类型、总次数、源 对象，帮助管理员处理安全事件；防火墙 功能包过滤与状 态检测*可以提供静态的包过滤和动态包过滤功能。 支持的应用层报文过滤，包括： 应用层协议：FTP、HTTP、SMTP、RTSR H.323 (Q.931 , H.245, RTP/RTCP)、 SQLNET、MMS、PPTP、L2TP 等； 传输层协议：TCP、UDP抗攻

13、击特性*支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、 IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、 ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、 支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、 DoS/DDoS攻击防范、ICMP重定向或不可达报文控制等功能，此外还支持 静态和动态黑名单功能、MAC和IP绑定功能。NAT功能支持多个内部地址映射到同一个公网地址、多个内部地址映射到多个公网 地址、

14、内部地址到公网地址一一映射、源地址和目的地址同时转换、外部 网络主机访问内部服务器、支持 DNS映射功能可配置支持地址转换的有效时间支持多种 NAT ALG,包括 DNS、FTP、H.323、SIP 等IPSec VPN 功能支持AH、ESP协议、手工或通过IKE自动建立安全联盟、ESP支持DES、3DES、AE&国密办算法多种加密算法支持MD5及SHA-1验证算法支持IKE主模式及野蛮模式支持NAT穿越支持使用LZO高速压缩算法应用访 问控制 策略应用识别*支持对600种以上应用、用户名进行识别，可以识别P2P、IM、OA办公应 用、数据库应用、ERP应用、软件升级应用、木马外联、炒股软件、

15、视频应用、代理软件、网银等协议；支持 https(ssl)协议和sangforvpn (即公 共平台的VPN,不包括SSL VPN)数据的识别；支持自定义规则；应用访问策 略*可以提供基于应用识别类型、用户名、接口、安全域、IP地址、端口、时间进行应用访问控制列表的制定威胁检 测机制威胁检测引 擎*支持基于特征匹配、协议异常检测、智能应用识别等方式针对已知威胁进 行检测；*支持基于威胁关联分析的检测机制，针对未知威胁进行分析检测IPS漏洞防护防护攻击类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻 击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等防护对象分 类*

16、漏洞分为保护服务器和保护客户端两大类，同时具备安全界别分类：如 “高”、“中”、“低”等。漏洞描述漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、 参考信息、地址等内容，便于维护策略制定可根据源区域、目的区域、目的IP组，目的IP组支持多选进行IPS策略的 配置特征库数量*攻击特征库：2200+,并且能够自动或者手动升级防躲避*支持TCP协议的乱序重传、TCP分包处理动作*支持自动拦截、记录日志、上传灰度威胁到“云端服务器 防护Web攻击防护*保护服务器免受基于 Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解Web

17、服务隐*支持Web网站隐藏,包括 HTTP响应报文头和HTTP出错页面的过滤，藏web响应报文头可自定义策略制定配置选项：可设置源、目的区域、目的IP和端口号，端口号支持设置Web应用、FTP、mysql、telnet、ssh服务的端口号其他应用防护支持FTP隐藏、ftp弱口令防护、telnet弱口令防护访问权限控制支持文件上传服务器过滤、支持指定URL的黑名单、加入排除URL目录功能病毒防护病毒引擎*基于流引擎查毒技术，可以针对HTTP、FTP、SMTP、POP3等协议进行查杀防护类型*能实时查杀大量文件型、网络型和混合型等各类病毒；并采用新一代虚拟 脱壳和行为判断技术，准确查杀各种变种病毒

18、、未知病毒。病毒库数量*支持10万条以上的病毒库，并且可以自动或者手动升级处理动作*检测到病毒后的操作：支持记录日志、阻断连接WEB安全防护URL过滤*对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GETHTTP POST、HTTPS等应用行为；并进行阻断和记录日志文件类型过滤支持针对上传、下载等操作进行文件过滤； 支持自定义文件类型进行过滤； 支持基于时间表的策略制定；支持的处理动作包括：阻断和记录日志ActiveX 过滤*支持基于签名证书的 ActiveX过滤；支持添加白名单和合法网站列表；支 持基于应用类型的 ActiveX过滤,如视频、在线杀毒、娱乐等；脚本过滤*支持

19、基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威 胁对象调用、恶意图片等*流量管理多线路技术*网关能同时连接多条外网线路，且支持多线路复用和智能选路技术虚拟多线路支持将多条外网线路虚拟映射到设备上，实现对多线路的分别流控；父子通道支持流量父子通道技术，且至少支持三级父子通道；应用流控*支持基于应用类型划分与分配带宽网站流控支持基于网站类型划分与分配带宽；文件流控*支持基于文件类型划分与分配带宽；时间控制支持基于时间段的带宽划分与分配策略；目标IP流控支持基于访问行为的目标IP实现带宽划分与分配；流量配额支持对单个用户 用户组设置日流量、月流量配额功能；用户管理本地认证支持触发式WE

20、B认证，静态用户名密码认证等；第三方认证支持LDAP、Radius、POP3、Proxy等第三方认证；双因素认证支持以USB-Key方式实现双因素身份认证；IP、MAC认证支持IP认证、MAC认证，及IP/MAC绑定认证等；新用户认证*根据新用户的源IP网段实现：1、新用户差异化账户创建规则；2、新用户差异化自动分组规则；3、新用户差异化认证规则；4、新用户差异化IP、MAC绑定规则；公用账户*支持多人使用同一帐号登录，且支持重复登陆检测机制；账户有效期*指定账户支持有效期限制，并支持自动过期；单点登录*支持AD、POP3、Proxy单点登录，简化用户操作；*可强制指定用户、指定IP段的用户使

21、用单点登录；强制AD认证*指定用户用AD域账户登录操作系统，否则禁止上网；认证失败*支持为认证失败用户提供基本网络访问权限机制；页面跳转*认证成功的用户支持页面跳转：1、跳转到用户原本输入的 URL地址；2、跳转到管理员指定的 URL地址；3、跳转到该用户上网信息排行页面；4、跳转到注销页面；认证后公告*支持向认证通过的用户显示指定网页；帐户导入*支持从本地导入和扫描导入，支持以文本导入帐户/分组/IP/MAC/描述/密码等信息；*支持从LDAP服务器导入账户及分组信息；组织结构*用户分组支持树形结构，支持父组、子组、组内套组等；用户状态查 询支持用户登录注销历史查询，包括显示上网流量网络协

22、议IP服务ARP、域名解析、IP UNNUMBERED、 DHCP 中继、DHCP 服务器、DHCP 客户端路由服务支持静态路由、RIP v1/2、OSPF、策略路由*独立数据中心 内置MySQL,无需单独安装其他数据库；日志分级审 查*管理员登录数据中心只能审计指定用户组的日志；统计报表*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全 风险、终端安全风险、上网行为、网络流量等内容，并形成报表；趋势报表*支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全 风险、终端安全风险、上网行为、网络流量等内容形成报表；汇总报表*支持将指定时间段、指定应用的流量、行

23、为、用户访问分布等汇总并输出 报表；汇总对比报 表*支持将所有用户/用户组/IP的所有安全风险的统计/流量/趋势等与前一 天/前一周/前一月对比并输出报表；指定对比报 表*支持将指定用户/用户组/IP的指定安全风险的统计/流量/趋势等与前一 天/前一周/前一月对比并输出报表；服务器防 护统计支持将应用的受攻击对象进行统计排行和报表输出，支持按照行为次数 和应用的排行统计各攻击类型名称；支持各种攻击类型的报表输出和统 计；病毒信息统 计*支持将内网可能中毒的用户进行统计排行和报表输出，支持按照行为次 数和用户数的排行统计各新增病毒名称，支持根据病毒、恶意脚本、恶意插件信息统计新增恶意 URL排行

24、；危险行为报 表*支持对终端发生的危险行为（木马、间谍软件、垃圾邮件发送 ）进行统计 和报表输出；风险智能报 表*能根据管理者自定义的风险行为特征自动挖掘并输出风险行为智能报 表；流速趋势报 表*支持将指定时间段内、指定用户组 /用户/应用的网络流量以条带叠加图 的形式直观显示；报表订阅*支持将统计/趋势/查询等报表自动发送到指定邮箱；报表导出支持导出统计/趋势/查询等报表，包括 Excel、PDF等格式；五、服务承诺.远程技术支持服务：验收合格1年内，我方为需求方免费提供远程技术支持 服务，即：出现网络故障，通过电话支持无法解决的情 况下，可通过远程调试技术支持服务予以协助解决。.上门服务验

25、收合格1年内，我方负责维护系统及相关系统的接 口。在出现网络故障，电话支持、远程协助等方式无法 解决的情况下，我方工程师会在您提出上门要求后， 积 极响应并赶赴现场，帮助解决相关的故障。.设备更换验收合格1年内，由非人为因素造成的设备损坏，我方 负责予以免费更换及现场安装调试；由人为因素造成的 设备损坏，我方负责提供备件予以更换，并提供现场安 装调试服务，备件价格按照成本价的标准收取。.质保期后服务承诺我方继续提供免费电话支持服务。需求方可和我方签订维护保障合同，详列如下：维护保障合同服务期为1年，合同金额按本次合同金额的10%计算我方在1年的维护保障期内提供远程技术支持服务，并继续提供固件升级服务，保障系统网络适应最新 的网络发展需求在远程技术支持无法解决问题的情况下，我方提供 上门支持服务。设备更换：我方负责提供备件予以更换，并提供现 场安装调试服务，备件价格按照本报价书的标准收取。 现场安装差旅费用参照上门支持服务标准。六、费用预算网络材料单价单价（元）总数量合计金额（元）序号材料名称品牌规格单位1面板及模块套71.1