内外网分离建设方案

中国XX集团公司内外网分离建设方案（XX宝鸡热电厂）2015年8月

目录TOC\o"1-4"\h\z\u1 概述 32 需求分析 32.1现状 32.2需求 53 外网方案 53.1整体架构设计 53.2无线网络设计 73.2.1选型原则 83.2.2具体AP布放设计 83.2.3AP接入层设计 93.2.4无线热点部署设计 10（1）小开间密集应用场景——智分解决方案 10（2）大开间密集应用场景——灵动天线解决方案 11（3）小开间稀疏应用场景——WALLAP解决方案 123.3无线接入认证设计 123.2.1终端智能识别的WEB认证 123.2.2基于802.1X的无感知认证 133.2.3访客二维码认证 153.4安全设计 163.3.1防火墙 163.3.2互联网控制网关 174 内网方案 184.1、整体架构设计 184.1、网管软件 204.1、桌面安全管理 214.3、网闸 215 附件设备选型清单及预算 21

概述XX集团为贯彻落实公安部《信息安全等级保护管理办法》(公通字[2007]43号)和国家能源局《电力行业网络与信息安全管理办法》（国能安全〔2014〕317号）等相关管理规定，结合《中国XX集团信息化总体规划》和《中国XX集团信息化总体规划实施行动方案》要求，制定关于建设“中国XX集团公司内网与互联网分离”工作的要求，保证中国XX集团公司（以下简称集团公司）信息网络的安全，完善企业信息化建设。现依据XX集团“双网分离”安全体系建设目标，对集团公司下辖二级单位（含下属三级单位）内网及互联网分离工作做如下安排：集团公司下辖二级单位（含下属三级单位）通过对现有企业网络的结构进行调整，对各业务系统进行合理的安全域划分，区别防护，建立健全网络安全体系，防范各类安全威胁和安全事故的发生，及时处理信息安全事件，杜绝次生信息安全事故。XX宝鸡热电厂作为XX陕西分公司下属三级单位，需要按要求实施内外网分离。需求分析2.1现状宝鸡热电厂网络如下图所示，已有一张网络，内外网没有分离；核心为两台Cisco6509，两台配置一致，冷备；数据中心到其他建筑已敷设8芯多模光纤（个别由其他建筑物转接的是4芯多模光纤）有1条200MInternet出口2.2需求建设1套无线网络作为外网，原有网络断开Internet连接，作为内网；内外网添加必要的安全设备，更换老旧设备部署一套网络管理系统，统一管理内网设备外网方案3.1整体架构设计如下图所示，包含以下设备及功能：采用无线覆盖的方式新建一套外网系统，采用单核心方案，采用单防火墙（集成有防病毒及信息防泄漏及IPS）及单互联网控制网关（集成上网行为管理、网络审计）采用独立式的无线控制器，以及身份认证系统用户要求无线覆盖的区域（详见《3.1.2具体AP布放设计》）新购设备如下：序号设备部署位置设备型号规格数量说明1核心交换机模块插槽5个（2个用于管理引擎）交换容量7.2Tbps/24Tbps，包转发速率2,160Mpps/7,200Mpps，24个千兆以太电口（RJ45），20个千兆以太光口（SFPLC），4个万兆以太网光口。20个多模SFP1外网核心交换机2无线控制器自带8个千兆电口，2个SFP复用口，默认支持32个AP，最大支持200个AP,增加64个AP许可1无线控制器3接入交换机24端口10/100/1000Base-T自适应以太网电口交换机，4个非复用的SFP接口，1个USB2.0接口1DMZ区接入交换机4POE交换机（千兆上联24口POE,）24口10/100/1000M自适应电口(最多支持24口PoE供电或12口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为370W，配置2个多模SFP1外网终端及AP接入交换机，POE供电5POE交换机（千兆上联12口POE）24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为185W，配置2个多模SFP5外网终端及AP接入交换机，POE供电6单端口以太网供电适配器单端口以太网供电适配器2与光电转换器配合后为单个AP提供网络连接及供电7身份认证软件软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；按在线终端数授权；软件本体包含100终端的授权，增加1000个终端授权1身份认证软件8有线无线一体化网管系统提供拓扑展示，25个有线许可，100个无线许可1外网网管软件9放装AP室内灵动天线型无线接入点，内置X-sense3灵动天线，双路双频，支持2条空间流，整机最大接入速率1167Mbps，可支持802.11a/b/g/n和802.11ac同时工作，胖/瘦模式切换、WAPI、双电口上联、PoE和本地供电,，预留USB接口。（PoE和本地电源适配器需单独选购）18放装AP10智分AP智分+解决方案AP主机，24个千兆POE下联接口，2个千兆上联电口，2个万千自适应SFP+上联光口。支持最大24个微AP射频模块。每台主机占用4个无线控制器licence17智分AP11防火墙2U硬件，默认6GE网络接口,支持1000人以内，支持个2模块化插槽，支持4GE/4SFP/8GE/8SFP模块扩展；含专用操作系统、防火墙软件、IPSecVPN、流量管理、应用控制、用户管理；1年IPS授权与升级、AV授权与升级、URL过滤授权与升级、应用协议库升级、软件版本升级和硬件质保。1外网防火墙，具有防病毒、IPS、信息防泄漏功能12互联网控制网关适用1500人以下网络环境；2U硬件，电口接入，含专用操作系统与上网行为管理标准软件；含一年硬件质保服务。1年软件版本升级服务，提供新版本功能优化与性能提升价值。URL库、应用协议库定期更新，保持对网络应用识别与管理的有效性。1外网上网行为管理，审计13服务器2U机架式PC服务器，2颗XeonE5-2603V3CPU，16GB内存，2*1TBSAS硬盘，双电源。含操作系统。3外网网管、身份认证、日志服务器XX宝鸡热电厂外网示意图3.2无线网络设计为保证无线网络的稳定性，所有AP都通过PoE交换机实现上行有线接入。配置独立的无线控制器。配置有线无线一体化网管系统及相应许可，实现一体化管理。3.2.1选型原则办公楼，综合办公楼，检修楼1层，4层，宿舍楼，业修楼，每层一般在20间办公室，房间密度较高，房间深度在6~8米，并且每间办公室的办公人员在10人以下。采用分布式部署的无线产品，将无线天线部署在办公室内，可以减少AP因穿过过多的墙体而产生较高的衰减。从而实现优质的无线覆盖效果。检修楼2层，3层，物资部，燃料楼，每层办公室都在12间以下，每层的房间密度较低，采用楼道放装AP的方式进行覆盖时，无线信号穿透的墙体基本可控制在1堵墙，从而信号衰减不会影响使用，因此，通过具有智能天线的无线AP可满足办公室的无线覆盖使用。并且采用11ac放装型AP可以满足多个房间终端的高速并发接入。部分大会议室和大办公室环境下人员密度较高，环境面积较大，为保证无线接入容量以及接效果，建议采用高性能的支持11ac协议的放装型AP进行覆盖。3.2.2具体AP布放设计勘测区域楼层信息区域部署方案办公楼1L整层智分2L整层智分3L整层智分4L整层智分5L整层智分6L整层智分综合办公楼2L整层智分3L整层智分检修楼1L整层智分2L整层放装3L整层放装4L整层智分燃料楼2L整层放装物资部1L整层放装2L整层放装宿舍楼1L整层智分2L整层智分夜休楼3L整层智分4L整层智分5L整层智分3.2.3AP接入层设计AP接入层，作为无线用户的终端接入设备，需要实现用户的高速接入，能够满足突发流量对带宽的要求。本次方案设计使用了千兆POE接入交换机，实现千兆到桌面的高标准要求。同时每台设备通过千兆线路上联到汇聚设备，并且接入设备上有足够的端口冗余，一方面保证了临时增加终端设备的需求，一方面可以用来将来对上行带宽的扩展。同时在接入层需要开启以下功能：然后，为了满足用户的灵活接入的方式，要求支持WEB认证的需求。同时在接入层需要开启以下功能：开启认证为了创造良好和谐的上网氛围，我们需要对办公网中的所有用户进行接入认证，从而达到实名审计的要求。本方案中支持两种认证方式：802.1X认证，Portal认证。可以根据各个楼层办公用户的实际情况，灵活选择接入方式，两种认证方式其中一种认证需要安装客户端（802.1x），首次安装稍显麻烦；其中一种不需用客户端（Portal），采用WEB认证的方式。开启安全防护所有接入交换机开启ARP攻击防御功能，有效阻断网络病毒对全网照成的影响。开启设备的CPU保护功能防止终端发起的对网络设备的攻击，对攻击报文进行限速和丢包处理。端口环路防护为了防止端口环路，在所有接入设备上开启端口环路防护功能，一旦下联出现环路，设备将自动关闭环路端口，解除环路造成的广播风暴。开启网络管理功能在接入设备上开启SNMP功能，要求能够通过网络管理软件进行远程管理和控制。3.2.4无线热点部署设计（1）小开间密集应用场景——智分解决方案场景特点：狭长走廊：无线信号在狭长的空间中被来回的反射，形成“多径干扰”信号覆盖：墙壁全部采用砖混结构、有的房间有金属防盗门、信号穿透后衰减大，信号覆盖要能满足手机、PAD等低功率无线终端的接入。性能要求：普通办公室一般在10人以下，要满足视频传输需求，对无线的性能要求高。解决方案：AP智分方式综合了放装解决方案和室分解决方案的优点，并加以改良。整体方案由无线控制器，智分AP，馈线，智能天线4部分组成，无需外置功分器、耦合器等。部署简单，易于管理和维护，也节省了成本。同时由于集成了两块射频卡，使得性能不再成为瓶颈。非常适合房间网这样的密集部署环境。（2）大开间密集应用场景——灵动天线解决方案场景举例：大办公室场景特点：人数多：用户密度高，对用户性能要求高空间大：面积大，比较空旷便利性：终端种类多，移动性强解决方案：彩板房区采用高性能的产品和会思考的的灵动天线，灵动天线彻底解决传统天线存在覆盖盲区的弱点；快速、准确的识别到你的终端类型，如果是使用功率较低的手机、平板电脑等移动终端时，X-sense能够通过动态信号补偿技术办公生产楼和图书馆采用放装式吊顶部署，AP放置于天花板上，部分楼宇由于层高较高，为了保证覆盖效果，可考虑放装式壁挂部署。（3）小开间稀疏应用场景——WALLAP解决方案场景举例：分散独立办公室场景特点：信号要求高：砖混厚墙，对无线覆盖效果影响很大。美观性：不能破坏整体装修、对美观性要求非常高。用户少：用户不多，无高并发终端需求。解决方案：分散独立办公室采用面板式AP进行部署，面板式AP采用标准的86开关面板盒规格，而且还集成了以太网口和IP电话接口。部署简便，设备美观，整个部署过程只需要三步就能快速实现无线网络覆盖。第一步、拆去房间内原有的有线网络的接口面板；第二步、更换原接入交换机为POE交换机；第三步、将原有网线插在迷你型上并直接安装就能即插即用。它打破了以往无线网络建设的老旧方式，无需再拉新的网线，而是有效利用了既有的网络，将网络新建对房间环境的影响降到最低，美观性很好。3.3无线接入认证设计3.2.1终端智能识别的WEB认证无线网络在提供便捷网络服务的同时，仍需确保只有合法的用户才能使用无线网络。WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，是目前无线主流的认证方式之一。而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEBPortal页面，使用户能够更为便捷的输入用户名及密码，提升无线用户体验。无线控制器不仅支持终端自动识别功能和WEBPortal页面推送，而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等，提供更多个性化服务。若配合SMP认证服务器还可实现基于终端类型的角色、访问权限的划分等，帮助网络运维人员实现更为精细化的无线用户管理。图STYLEREF1\s3SEQ图示：\*ARABIC\s11自适应认证页面3.2.2基于802.1X的无感知认证IEEE802.1X协议是一种基于端口的网络接入控制协议，主要目的是为了解决无线用户的接入认证问题。对于基于IEEE802.11系列标准的无线局域网，通过对无线用户的身份验证，无线网络可以打开或关闭无线终端接入的接口，同时还可以根据其身份属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。在安全性上，WEBPortal认证不提供密钥的生成和交换机制，因此所有的用户流量都是以明文方式传输的，容易被截获和侦听；IEEE802.1X（WPA2-AES）符合IEEE802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。在便捷性上，WEBPortal认证直接通过浏览器输入用户名及密码，整个操作过程较为简单快捷；普通的IEEE802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等，操作过程较为复杂，用户体验相对较差。为了保证无线用户接入同时具有较高安全性和便捷性，BYOD（Bringyourowndevice）解决方案中提出了基于IEEE802.1X的无感知认证技术，用户只需要在第一次认证中安装一个快速1X配置助手，并完成首次用户名及密码的输入，以后无线终端只要发现无线信号，就会自动进行IEEE802.1X的接入认证并连接无线网络，真正实现“一次登陆，三步操作，后续无忧”，带给用户最佳的使用体验。图STYLEREF1\s3SEQ图示：\*ARABIC\s12步骤1：连接无感知认证的SSID后选择1X快速配置助手图STYLEREF1\s3SEQ图示：\*ARABIC\s13步骤2：确认运行快速配置助手图STYLEREF1\s3SEQ图示：\*ARABIC\s14步骤3：输入完后用户名和密码后，即可访问WLAN图STYLEREF1\s3SEQ图示：\*ARABIC\s15手机无感知认证过程3.2.3访客二维码认证如接待来访的嘉宾，并需为其提供快捷的无线上网服务。而传统的无线网络一般会在会议室、接待室等访客接待区域启用一个基于PSK认证的WLAN，并在可视区域贴放这个WLAN对应共享密码，访客的体验也是较为麻烦，不友好等，而且这个密码极易扩散，网络安全得不到保证，网络运维人员需定期的更换这个WLAN的密码和对应的标贴，极大的增加网络运维难度。图STYLEREF1\s3SEQ图示：\*ARABIC\s16传统WLAN提供的密码标贴本方案提出了更为先进的访客接待解决方案——二维码认证。访客使用移动智能终端访问无线网络后，网络的认证系统将生成专用的二维码推送到访客的终端上，如图5-15步骤1。负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统，如图5-15步骤2。认证系统记录下访客和对应接待者的身份信息并确认临时开户，访客和接待者收到反馈后即可直接访问网络，如图5-15步骤3。仅需“扫一扫”就可便捷的为访客提供无线网络服务，这是无线认证技术为提供用户体验的又一次创新。3.4安全设计3.3.1防火墙功能要求：基本防火墙功能传统攻击防护IPSECVPNSSLVPN链路负载均衡流量控制访问控制用户识别应用识别集成入侵防御集成防病毒集成网址过滤主动防御信息防泄漏3.3.2互联网控制网关互联网控制网管应该具有以下功能网页访问审计与过滤Web是互联网上内容最丰富、访问量最大的应用，然而网页内容良莠不齐，充斥许多反动、暴力、色情以及其它不健康的信息；此外，大量网络应用，如P2P，IM，网络电视、游戏等等，也借助HTTP协议或者80端口，一方面躲避防火墙的封堵，一方面携带病毒、恶意软件，为内网用户带来安全风险，挤占网络带宽。互联网控制网关通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置，对违反国家法律、危害企业安全的内容进行过滤，避免用户有意无意访问包含非法内容的网页，净化网络，减少病毒进入局域网的几率，降低企业法律风险，创造文明健康的上网环境。应用控制随着技术的迅猛发展，各种互联网应用层出不穷，如即时通讯（IM）、网络游戏、在线炒股以及在线音乐视频等等。未加管理的使用，不可避免地影响员工的工作效率。在一项调查中，超过80%的员工在上班时间做过与工作无关的工作，其中，有60%的被调查员工承认其主要是在玩网络游戏、用QQ/MSN等即时通讯软件聊天，以及炒股等等。这些不当网络活动大大降低了员工的工作效率，造成了企业人力资源的严重浪费。带宽管理网络应用层出不穷，对带宽资源的占用也越来越高，特别是以P2P为代表的下载软件，如果不加限制，会严重消耗企业的带宽资源，从而影响正常的业务数据的传输。互联网控制网关支持应用层的带宽分配与流量管理，可以针对用户或部门、按照时间段，对每一种应用协议进行带宽限制。互联网控制网关像一台网络协议分析仪，能够识别并统计网络上有哪些类型的数据在传输，哪些应用在运行，哪些协议在使用，哪些服务器的流量占用了主要的带宽资源，哪个用户的上网行为显著消耗了带宽等。根据这些量化的统计数据，通过预先设定若干个虚拟的带宽通道，将带宽通道与具体的用户或网络应用绑定，从而对其流量进行限制、整形，达到带宽管理的目的。内容审计和过滤通过互联网传递信息已经成为企业的关键应用，然而信息的机密性、健康性、政治性等问题也随之而来。通过互联网控制网关，您可以制定精细化的信息收发监控策略，有效控制信息的传播范围，控制敏感信息的泄露，避免可能引起的法律风险。终端控制与准入终端设备是网络安全的主体，不良软件的使用、防护系统缺失都可能带来终端安全隐患，进而影响内网安全。互联网控制网关设备能够通过统一下发的客户端软件，结合统一的策略配置，检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息，制定准入规则。查询统计与报表分析对用户网络行为进行记录与分析，是上网行为管理产品必备的重要功能。对日志的存留与分析，既是对国家法律法规的遵从，也是真正管理好企业员工上网、有效利用网络资源的需要。针对用户上网行为以及相关内容查询统计，能够对用户的网络活动进行较长时间的回溯与反查，帮助管理员全面了解网络的使用情况，为改进网络管理提供详实准确的依据。内网方案4.1、整体架构设计如下图所示，内网只更新核心交换机及安全设备，不改变接入层设备及接入方式：采用双核心交换机架构防火墙（集成有防病毒及信息防泄漏及IPS，与外网防火墙一样）网络审计（包含终端准入，与外网互联网控制网关是同一设备）网管软件桌面安全管理系统新购设备如下：序号设备部署位置设备型号规格数量说明1核心交换机模块插槽5个（2个用于管理引擎）交换容量7.2Tbps/24Tbps，包转发速率2,160Mpps/7,200Mpps，24个千兆以太电口（RJ45），20个千兆以太光口（SFPLC），4个万兆以太网光口。20个单模SFP2内网核心（双核心）2防火墙2U硬件，默认6GE网络接口,支持1000人以内，支持个2模块化插槽，支持4GE/4SFP/8GE/8SFP模块扩展；含专用操作系统、防火墙软件、IPSecVPN、流量管理、应用控制、用户管理；1年IPS授权与升级、AV授权与升级、URL过滤授权与升级、应用协议库升级、软件版本升级和硬件质保。1外网防火墙，具有防病毒、IPS、信息防泄漏功能3网络审计适用1500人以下网络环境；2U硬件，电口接入，含专用操作系统与上网行为管理标准软件；含一年硬件质保服务。1年软件版本升级服务，提供新版本功能优化与性能提升价值。URL库、应用协议库定期更新，保持对网络应用识别与管理的有效性。1外网上网行为管理，审计4桌面管理每终端授权，适用终端数量范围X-X，含1年升级服务（具体按桌面数定，暂定500）含移动介质管理500桌面管理软件及许可5网管软件涵盖内网网络设备、服务器、存储管理；整个陕西分公司作为一个大网络进行统一管理，各电厂获得授权只管理自有电厂网络，每个电厂有1台数据采集服务器，总网管服务器在省分公司1内网网管软件6网闸XX先一网闸（单向）1内外网通讯7服务器2U机架式PC服务器，2颗XeonE5-2603V3CPU，16GB内存，2*1TBSAS硬盘，双电源。含操作系统。3内网网管、桌面管理认证、日志服务器XX宝鸡热电厂内网示意图4.1、网管软件完成对不同厂商的网络设备、服务器、操作系统、中间件、无线设备、虚拟化设备等IT基础架构的监控功能，也可以实现对机房环境信息的监控管理，并对各项资源进行数据采集，建模分析实现业务视角IT管理，为CIO提供信息化管理决策依据。另外还配有知识库、自动巡检、流量分析等功能方便运维人员的日常管理工作。4.1、桌面安全管理桌面安全管理为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系，并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。安全趋势监控安全运维管理恶意软件防护终端软件管理外设与移动存储管理XP防护硬件资产管理企业软件统一管理终端流量管理终端准入管理远程技术支持日志报表查询4.3、网闸用于内外网特殊业务通讯，如确认没有该需求，建议不用网闸。附件设备选型清单及预算5.1、外网设备序号设备部署位置设备型号规格数量预算单价预算小计1核心交换机模块插槽5个（2个用于管理引擎）交换容量7.2Tbps/24Tbps，包转发速率2,160Mpps/7,200Mpps，24个千兆以太电口（RJ45），20个千兆以太光口（SFPLC），4个万兆以太网光口。20个多模SFP1¥181,425.00¥181,425.002无线控制器自带8个千兆电口，2个SFP复用口，默认支持32个AP，最大支持200个AP,增加64个AP许可1¥30,550.00¥30,550.003接入交换机24端口10/100/1000Base-T自适应以太网电口交换机，4个非复用的SFP接口，1个USB2.0接口1¥7,665.00¥7,665.004POE交换机（千兆上联24口POE,）24口10/100/1000M自适应电口(最多支持24口PoE供电或12口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为370W，配置2个多模SFP1¥9,850.00¥9,850.005POE交换机（千兆上联12口POE）24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电)，4口SFP非复用端口，每端口最大PoE功率输出30W，整机输出最大PoE功率为185W，配置2个多模SFP5¥8,400.00¥42,000.006单端口以太网供电适配器单端口以太网供电适配器2¥687.50¥1,375.007身份认证软件软件标准版，直接支持Radius身份认证，可独立运行，无须配合SAM使用；按在线终端数授权；软件本体包含100终端的授权，增加1000个终端授权1¥45,000.00¥45,000.008有线无线一体化网管系统提供拓扑展示，25个有线许可，100个无线许可1¥44,660.00¥44,660.009放装AP室内灵动天线型无线接入点，内置X-sense3灵动天线，双路双频，支持2条空间流，整机最大接入速率1167Mbps，可支持802.11a/b/g/n和802.11ac同时工作，胖/瘦模式切换、WAPI、双电口上联、PoE和本地供电,，预留USB接口。（PoE和本地电源适配器需单独选购）18¥3,000.00¥54,000.0010智分AP智分+解决方案AP主机，24个千兆POE下联接口，2个千兆上联电口，2个万千自适应SFP+上联光口。支持最大24个微AP射频模块。每台主机占用4个无线控制器licence17¥24,750.00¥420,750.0011防火墙2U硬件，默认6GE网络接口,支持1000人以内，支持个2模块化插槽，支持4GE/4SFP/8GE/8SFP模块扩展；含专用操作系统、防火墙软件、IPSecVPN、流量管理、应用控制、用户管理；1年IPS授权与升级、AV授权与升级