计算机网络方案

计算机网络方案PAGE1PAGE21计算机网络及安全系统TOC\o"1-3"\u1.概述 32.网络需求分析 32.1网络建设目标 32.2网络系统平台需求 32.3网络需求分析 43.技术架构策略 53.1技术架构总体设计目标 53.1.1高可用性 53.1.2高安全性 53.1.3可扩展性 63.1.4可管理性 63.1.5先进性 63.2技术架构设计原则 63.2.1网络基础设施架构原则 63.2.1.1层次化原则 63.2.1.2模块化原则 73.2.1.3标准化原则 83.2.2安全架构设计原则 83.2.2.1整体性原则 83.2.2.2平衡性原则 83.2.2.3可靠性、安全性原则 93.2.2.4多重保护原则 93.2.2.5可管理、易操作原则 93.2.2.6适应性、灵活性原则 93.2.2.7技术与管理并重原则 93.2.2.8一致性原则 94.网络基础设施架构设计 104.1大厦局域网设计 104.1.1大厦局域网总体设计方案 104.1.2中心交换区域设计 114.1.3楼层交换区域设计 114.1.4无线区域设计 124.1.5网络管理系统 145.网络、桌面、系统整体安全防护体系设计 155.1网络基础设施安全防护 175.2基于身份认证的网络服务 205.3安全系统的部署 215.3.1在系统层面 215.3.2在网络层面 225.3.4在管理层面 22计算机网络方案全文共21页，当前为第1页。

计算机网络及安全系统计算机网络方案全文共21页，当前为第1页。1.概述随着计算机技术和现代通讯技术的迅速发展，先进的科学技术及设备不断的应用到各个领域。人们的信息化意识不断加强，对信息的自动化处理手段的需求也越来越强烈。电子化的发展与普及，高速的信息交流，无不给各行各业的发展带来了强大的推动。基于这一前提,勘探开发研究院信息数据大楼为适应时代的发展，建设一个实用、高效、科学的办公环境是非常必要的。因此，在企业内部采用计算机技术和现代通讯技术，提供一套完善的计算机信息服务网，不仅在内部系统之间传输话音、数据、图像，还可以安全地进行数据交换以及方便地与国内外互通信息、查阅资料，实现资源共享，以适应当今信息全球化的需要。即通过对建筑的结构、系统、服务和管理四个基本要素以及它们之间的内在关联的最优化组合，来提供一个投资合理、又具有高效、实用的工作环境。我们将从技术角度，根据我们对最新、前沿且成熟的技术的理解，为勘探开发研究院信息数据大楼提供专业的建议，并尽我们的努力，提供最好的服务，使网络系统充分满足企业发展的需要。以辅助勘探开发研究院信息数据大楼从高起点上置身于市场竞争中，立足长远、求发展。2.网络需求分析2.1网络建设目标勘探开发研究院信息数据大楼信息系统基础设施建设包括内部网、外部网两个部分。局域网是勘探开发研究院信息数据大楼所有业务应用的底层建筑，因此必须从保障业务系统高效、稳定和安全的运行等方面，优化设计局域网系统。大厦的内部网采用传统的有线网络系统，用于大厦工作人员的日常办公使用。大厦外网系统采用无线覆盖系统，主要用于大厦内的工作人员和访客登录互联网。2.2网络系统平台需求勘探开发研究院信息数据大楼为11层建筑，地上9层，地下2层，每层建筑面积约为……平方米，总共约……平方米。中心机房设在B1层，除F9、B1、B2三层外，每层设置独立的设备间（弱电间）。计算机网络方案全文共21页，当前为第2页。从物理上讲，勘探开发研究院信息数据大楼的网络系统要求隔离成两个独立的网络，即：内网和外网，其中只有外网可以通过网络安全防护系统、在有权限的条件下浏览互联网。计算机网络方案全文共21页，当前为第2页。拟在大厦内部部署无线网络接入点（AP）32个，即1～8层每层部署4个AP，以达到无线无缝覆盖的目的。根据大厦的现状以及基本需求，我们总结出以下扩展的需求：性能需求：以1000Mbps的光纤做主干（预留升级至万兆传输的能力），终端信息点带宽达到10/100/1000Mbps。应用需求：高质量的信息网络。勘探开发研究院信息数据大楼信息平台应用系统主要包括ERP系统、邮件系统、财务系统、人力资源管理系统、办公OA系统等几大应用系统，除了有线应用以外，还要拓展无线网络及其他应用。因此，随着应用水平的提高，在网络上传输的信息不仅仅是数字、文字和图形，将逐步增加语音、视频等高带宽的应用。安全需求：一方面要保证网络内部对Internet以及广域网的安全可靠访问，禁止未经授权的外部非法用户访问；另一方面又要求能有效隔离内部各子网之间未经授权的相互访问。网络管理需求：建成的网络要求可进行集中式、可视化图形管理，可发现网络拓扑，网络管理员可及时发现网络故障点并予以排除，可依据探测到的MAC地址来确定相应的用户，并可及时隔离非法访问用户，以保证整个网络高效、安全、可靠的运转。2.3网络需求分析结合以上用户应用的实际需求，分析用户的网络需求如下：计算机网络方案全文共21页，当前为第3页。多层分布式网络结构可保证整个网络的高性能运行。计算机网络方案全文共21页，当前为第3页。VLAN技术的应用，一方面保证了网络相对于重要数据的内部安全性，另一方面，VLAN的划分减少了整个网络的广播域，从而提升了网络的整体性能。基于网络设备的管理功能，使得网络管理员利用一台计算机、一个IP地址即可对整个网络进行集中式管理、维护。智能的QoS（质量保证）、PoS（优先队列）服务，以及RSVP（资源预留协议）技术，使得基于应用的网络流量得以进行有效控制，保证了网络中关键数据的可靠传输。硬件防火墙的应用，保证了内部网络的高安全性。硬件入侵检测系统的应用，保证了网络对外的高安全性。3.技术架构策略3.1技术架构总体设计目标3.1.1高可用性对于勘探开发研究院信息数据大楼这类综合信息网络，高可用性是进行网络设计的基本目标。高可用性是指：一方面要保证导致网络不可用的设备的故障时间极短；另一方面，还要保证网络能够满足各类数据传输的需求，不会因性能下降而导致不可接受的响应时间。在达到高可用性的目标网络设计中要把先进的技术与现有的成熟技术结合起来，充分考虑到使用单位的网络应用的现状和未来发展趋势。设计中将采用高可靠性的网络产品和完备的网络备份策略来满足可靠性的要求，对于不同层次的设备和线路进行不同级别的可靠性设计，使网络具有故障自愈的能力。可靠性设计不仅包括网络设备等物理设计的可靠性，同时包括路由等逻辑设计的可靠性。勘探开发研究院信息数据大楼的骨干网络的可用性应当达到99.999%的目标。3.1.2高安全性特殊的业务性质决定了网络安全对于勘探开发研究院信息数据大楼有着极为重要的意义，在网络设计过程中采用一体化的网络安全设计思想，从而充分保证大厦网络核心骨干、边缘接入多个部分网络访问的高安全性，将来可以实现到自防御网络体系的平滑升级。3.1.3可扩展性计算机网络方案全文共21页，当前为第4页。业务的发展对网络的需求是不断变化的，网络应用系统为了满足这些需求也会随之变化。面对不断变化的情况和需求，网络应当能够快速和有效的反应。因此，网络必须具备良好的可扩展性，应支持核心业务系统的不断扩展，适应未来业务的发展和变化。同时，网络结构应当能够变化，具有灵活的伸缩能力，网络设备可以扩充和升级。计算机网络方案全文共21页，当前为第4页。3.1.4可管理性随着网络规模的不断扩大和网络的不断复杂，网络的维护量随之增加。整个网络的可管理性变得尤为重要。因此，数据中心网络系统应当具有统一的可管理性，建立统一的网络管理平台。不仅实现对网络设备的管理，同时实现对网络策略的管理和不同协议的多级维护。3.1.5先进性采用国际领先的网络产品和相关技术，支持业界最丰富的网络应用协议，支持现有业务和将来增加的新业务，保证骨干网上各类业务可靠传输和服务质量，满足勘探开发研究院信息数据大楼未来5年以上业务快速发展的需求。3.2技术架构设计原则设计原则包括了设计方案涉及的范围、设计所要遵循的规则和设计的指导思想。以下在分别介绍网络基础设施的架构设计原则，和安全防护体系的设计原则。3.2.1网络基础设施架构原则3.2.1.1层次化原则在勘探开发研究院信息数据大楼未来网络架构设计中，为了实现一个可管理的、可靠的、高性能网络，我们将采用层次化的方法，将网络分为核心层和接入层两个层次进行设计。这种层次结构划分方法也是目前国内外网络建设中普遍采用的网络拓扑结构。在这种结构下，各个层次的网络设备各司其职又相互协同工作，从而有效保证了整个网络的高可靠性、高性能、高安全性和灵活的扩展性。其每一层的网络设备功能描述如下：核心层：提供高速的二层、三层交换骨干核心层不进行终端系统的连接；核心层不实施影响高速交换性能的ACL等功能。接入层：提供终端系统的网络接入，通过VLAN定义实现接入的隔离。网络接入层具有以下特点：计算机网络方案全文共21页，当前为第5页。接入层接入端口规划容量根据实际使用情况具有一定的扩展性；计算机网络方案全文共21页，当前为第5页。各功能分区的接入层相对独立；不同类型的接入层应各自分开，连接到对应功能区的分布层。上述层次结构内部中的核心层、分布层需要采用冗余的架构来保障该层功能的稳定可靠。网络拓扑结构层次化的总体设计思想是目前国内外网络中最常用的设计理念，它为勘探开发研究院信息数据大楼网络带来了以下多方面的优点：快速定位故障一旦网络的某一层次出现故障，可以快速进行故障定位而不会影响到其它网络层，这对勘探开发研究院信息数据大楼网络核心数据交易尤为重要；可扩展性： 随着数据中心业务的增加，当核心网络需要扩展时，可以作为一个业务功能模块直接接入到核心网络,具有良好的扩展性；简单性： 通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性： 使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境；可管理性：层次结构使单个网络设备的配置的复杂性大大降低，更易管理；优化的整体结构：采用分层设计，有利于充分优化网络在各个层次上的功能和性能，使各层专注于本层的功能实现。3.2.1.2模块化原则计算机网络方案全文共21页，当前为第6页。为了实现勘探开发研究院信息数据大楼网络的高可用性、高安全性、可扩展性，应采用模块化的方式对整个网络进行安全区域的划分，从而使连接在网络上的各个业务系统应实现一定程度的隔离。通过在局域网第三层设备上要在不同的VLAN间设置访问控制列表，以实现VLAN之间的访问控制，对于核心数据区等的重要区域间需要通过防火墙隔离。计算机网络方案全文共21页，当前为第6页。3.2.1.3标准化原则网络设计中所用的各种管理信令、接口规程、协议须符合国际标准，便于扩展和网络的互连互通。支持国际上各种通用标准的网络协议和标准等，支持大型的动态路由协议，支持策略路由功能。保证与其它网络(如公共数据网、金融网络、银行内其它网络)之间的平滑连接。3.2.2安全架构设计原则网络安全建设是一个系统工程，勘探开发研究院信息数据大楼网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在设计数据中心的网络安全系统时，我们将遵循以下原则：3.2.2.1整体性原则勘探开发研究院信息数据大楼安全方案将运用系统工程的观点、方法，从勘探开发研究院信息数据大楼网络整体角度出发，分析勘探开发研究院信息数据大楼网络的安全问题，提出一个具有相当高度、可扩展性的安全解决方案。从勘探开发研究院信息数据大楼网络的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。而且一个较好的安全体系往往是多种安全技术综合应用的结果。本方案将从系统综合的整体角度去看待和分析各种安全措施的使用。3.2.2.2平衡性原则对任一网络来说，绝对安全难以达到，也不一定必要。对一个网络要进行实际分析，对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。保护成本、被保护信息的价值必须平衡。在设计勘探开发研究院信息数据大楼安全方案时，将均衡考虑各种安全措施的效果，提供具有最优的性能价格比的安全解决方案。安全需要付出代价（资金、性能损失等），但是任何单纯为了安全而不考虑代价的安全方案都是不切实际的。3.2.2.3可靠性、安全性原则计算机网络方案全文共21页，当前为第7页。作为一个工程项目，可靠性是设计网络安全方案的根本，它将直接影响到网络通信平台的畅通，是安全系统和网络通信平台正常运行的保证；而安全性是设计安全方案的最终目的。计算机网络方案全文共21页，当前为第7页。3.2.2.4多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层的保护仍可保护信息的安全。没有任何一个安全系统可以做到绝对的安全，因此在做安全方案设计时不能把整个系统的安全寄托在单一的安全措施或安全产品上，应该采取多重防护原则，确保信息系统安全。3.2.2.5可管理、易操作原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。设计方案应该尽量采用最新的安全技术，实现安全管理的自动化，以减轻安全管理的负担。同时减小因为管理上的疏漏而系统的安全造成的威胁。3.2.2.6适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。要充分考虑今后业务和网络的发展的需求，避免方案单纯因为对系统安全要求的满足而成为今后业务发展的障碍。3.2.2.7技术与管理并重原则网络系统的安全密不可分，安全方案的设计必须有与之相适应的管理制度同步制定，并从管理的角度评估安全设计方案的可操作性。3.2.2.8一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。在设计网络安全方案时就充分考虑在实施中的风险及实施周期和成本，对潜在的风险做了充分的分析并给出相应的解决对策。4.网络基础设施架构设计4.1大厦局域网设计4.1.1大厦局域网总体设计方案计算机网络方案全文共21页，当前为第8页。我们将遵循网络拓扑结构层次化的总体设计，网络拓扑结构主要由核心层和接入层组成；在上述网络拓扑结构层次化的基础上，根据大厦各业务功能分区的不同把网络分为多个功能模块化分区，每个功能模块主要有分布层和接入层组成，统一接入到核心区域，每个功能模块的分布层交换机负责各业务功能模块到核心交换机和提供各种网络控制如：安全、QOS等，同时兼做接入层功能。计算机网络方案全文共21页，当前为第8页。大厦内网拓朴图计算机网络方案全文共21页，当前为第9页。大厦外网拓朴图计算机网络方案全文共21页，当前为第9页。4.1.2中心交换区域设计在具体部署中，核心交换机配置千兆位光线接口连接楼层局域网交换机。而且可以利用楼层的交换机可以实现对用户进行802.1X认证和VLAN动态分配功能，提供身份验证、访问控制和安全策略管理特性，来保护网络连接和资源。4.1.3楼层交换区域设计各个楼层的交换机需要实现VLAN的合理划分和基本的VLAN间路，实现对用户进行802.1X认证和VLAN动态分配，可以实现安全访问策略，同时楼层的交换机还需要连接用户终端设备，如PC机等。要求高端口密度，可连接大量用户设备，每个端口价格相对较低。为了使数据能高速地传到服务器中，要求接入层设备必须有高速通道上连核心层设备，且这种上连的方式要具有很强的可靠性。楼层的可靠性已经不仅关注的是电源的冗余性，而且还要关注处理引擎的可靠性，以及楼层交换机和核心交换机之间采用的快速收敛协议――三层的路由协议。楼层接入交换机选用三层交换机，具有24或48个10/100/1000MB以太网口和2个或4个光纤接口。计算机网络方案全文共21页，当前为第10页。对于安全控制不仅是在核心要加强，而且在接入层要有所控制。接入层的安全控制可以减少不明数据（如蠕虫病毒）对楼层和核心交换机之间大量带宽的占用。同时在接入层的交换机设置好安全控制可以抑制蠕虫病毒的传播。也就是说当某个楼层出现了蠕虫病毒，只要将该楼层的交换机上设置好安全控制，就可以将该病毒限制在这个楼层，抑制了它在网上传播的机会。这样保护了核心交换机，保护了与核心交换机连接的服务器，保证了勘探开发研究院信息数据大楼网络应用的良好运行。计算机网络方案全文共21页，当前为第10页。楼层交换机可以通过第三层交换机的访问控制功能实现在对内部访问的权限控制，可以根据交换机端口MAC地址进行VLAN的划分,并通过访问控制列表ACL等技术对于VLAN之间的通讯进行基于IP地址、网段、TCP/UDP端口号的过滤。通过限速技术实现对局域网核心交换机的保护，通过NAC技术实现对接入设备和人员的认证，通过网络入侵检测系统把网络攻击等恶意代码终结在本地。另外，接入层的网络设备应该提供以下网络安全功能：802.1X认证和VLAN动态分配:中心交换机和各个楼层的交换机利用802.1X认证和VLAN动态分配技术，实现用户安全的接入和交换机VLAN的合理划分，实现对用户进行802.1X认证和VLAN动态分配，可以实现安全访问策略等。端口安全性：能够将交换端口视为特定的MAC地址，如果未授权的设备连接上来，交换机会切断连接并向网络管理站发出一个陷阱(Trap)信息。用户注册：与DHCPUserRegistrationTracking(URT)动态链路相连，与DNS/DNCP服务器动态链接，可以按用户的网络地址及其物理网络位置跟踪用户，从而大大减少了解决问题时所费的时间。TACACS+和Radius验证：将鉴别和认证植入网络设备的命令行接口(CLI)，通过跟踪用户登录，对进入CLI的访问进行记帐。IP特许表：使网络管理人员可以限定只能从某些特定IP网络地址进入CLI、系统控制台和SNMP。SNMPv3：提供加密的用户身份鉴别，用于网络管理的SNMP加密串。MD5路由鉴别：提供加密的路由表更新，防止非法或未授权的路由表信息，因为它们可能会引起网络不稳定或崩溃4.1.4无线区域设计勘探开发研究院信息数据大楼部署1套无线接入系统，无线接入用户只允许接入外网。计算机网络方案全文共21页，当前为第11页。无线区域可以实现外来人员访问Internet的需求，考虑到这一区域的特殊性，我们可以利用无线控制器的功能，实现无线用户只允许访问互联网的应用需求。计算机网络方案全文共21页，当前为第11页。根据具体需求和勘测情况，在此次网络建设的规划、设计和实施中遵循以下原则：先进性和实用性并重系统建设要有一定的前瞻性。在无线网络建成后的3-5年之内，不会由于业务量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平，避免技术环境过于超前造成投资浪费。兼容性网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合和调整。选用的通信协议符合国际标准或工业标准，网络的硬件环境、通信环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络的互联。自动负载均衡有线网络在本质上具有确定性――第二层（以太网）和第三层（IP）交换机和路由器都是便于理解、可以预测的。但是，用户在无线网络中的体验则依赖于无线信号的传播和建筑物的其他特性。这些特性可能会迅速发生变化，从而影响连接速度和错误率。一个位于城区的办公场所的RF环境在早上10点和3点时是完全不同的。在早上10点，有数以百计的用户在移动使用网络。而在早上3点，办公室的大门紧锁，没有人在办公，而且附近的办公室和咖啡厅也不会产生RF干扰。更多的情况下，在同一时间，大家从各自的办公室汇聚到会议厅，特别是当人数比较多，超出了1个AP的承受范围，那么带宽会慢的无法工作；为了保障带宽，如果在AP设置了限制，那么后来的人员无法得到无线连接服务，因为在后台控制器的模式，可以对AP自动的负载均衡，将终端分别发送到不同的AP，自动计算和对终端的流量进行均衡，比如，当这个AP的利用率到了80%，那么控制器自动将用户引导到另外的空闲的相邻AP上面，而在我们的设计中，所有的AP部署已经考虑了人员的位置和可能的集中的情况，完全可以智能的处理动态的负载变化。自动频道管理和跨IP域漫游无线局域网802.11b标准使用3个不重复的频道，1、6、11，为了实现自动漫游，需要对频道的管理。无线系统由于采用了后台集中控制的方式，能够当AP布防后，通过实时射频监测，然后自动对频道进行分配，并地图方式显示在网管上。计算机网络方案全文共21页，当前为第12页。无线局域网的AP如果处于不同的子网，在漫游的过程中，需要处理三层的漫游，在后台保持用户的DHCP得来的IP租用，认证的会话密钥等，控制器可以自动完成三层无线漫游。计算机网络方案全文共21页，当前为第12页。安全性无线网络支持最多的安全特性，采用集中认证，对每个数据包进行加密。通过对射频的实时监测，发现并定位恶意的AP，恶意AP是未经授权的人员通过自己设置一个AP，吸引无线终端连接到恶意AP从而非法获得数据的黑客方法。对恶意AP的扫描配合采用安全无线认证协议，能够解决AP和无线之间的相互信任问题。目前无线局域网领域标准主要有思科和微软等公司，能够支持最多的安全保障和扩展的端口安全管理。终端定位配合射频实时监测功能，射频指纹扫描能够对终端所在的位置进行定位，当一个移动终端变换位置时，能够实现3-5米的定位，同时和门禁系统结合，对外来的临时人员进行RFID的定位，人员佩戴RFID标示的腰扣终端，可以将人员位置显示在网络管理界面的大楼地理图上。方便对无线终端的监控和管理。在网络管理系统上有针对ERP系统和安全管理系统的API，可以结合ERP和安全管理系统将定位信息集成到工作流程的管理中。地理化图形管理界面网络管理界面全部图形化，能够输入商品交易所的平面图，并且能够进行微调，能够输入障碍物等信息，在网管上面可以操作全部的无线功能。在AP上无需任何配置。4.1.5网络管理系统对于一个大型的网络管理方案不可能是一个或两个简单的网络管理软件就可以做到的事情，而是需要一系列的网络管理软件各司其职，又相互配合，来共同实现一个完善的网络管理系统。在本次的设计方案中我们配置了网管产品和安全监控、分析和响应系统。网管功能包括：自动发现和绘制勘探开发研究院信息数据大楼业务网的二层或三层网络拓扑图；采集设备的软/硬件配置信息生成Inventory数据库；计算机网络方案全文共21页，当前为第13页。Web浏览器界面对网络设备进行参数配置、VLAN划分以及显示设备面板、指示灯的工作状态；计算机网络方案全文共21页，当前为第13页。实时监视网络链路的端口流量等等包括的管理工具包括：Web浏览器界面察看Cisco设备面板状态和端口流量；二/三层网络拓扑管理、VLAN配置；设备的资产管理、配置管理和软件维护和升级；Web浏览器界面的RMON协议实时性能分析工具；设备的网元级故障分析工具。5.网络、桌面、系统整体安全防护体系设计随着勘探开发研究院信息数据大楼业务的不断发展，网络应用也不断深入和广泛，同时网络自身安全的威胁和问题也愈发严重和复杂，常见的问题包括：蠕虫/病毒/垃圾邮件在网上泛滥；黑客恶意攻击，DDoS拒绝服务攻击；管理人员对网络设备的简单配置和随意部署；内部用户任意下载/拷贝；内部人员无意或有益尝试闯入敏感区域；……这些问题，都对网络自身的稳定运行带来极大的安全隐患，问题一旦发作，会导致网络设备资源耗尽，网络带宽被塞满，网络系统无法正常工作，使得企业业务不能有效进行，应用系统被侵入或篡改，造成的损失非常巨大，后果极为严重。为了应对网络平台日益泛滥的安全问题，普通的技术解决方案是针对问题的出现区域增加专门的安全设备，包括：服务器和桌面系统安装防病毒/蠕虫软件；经常性升级代码库和操作系统的补丁；网络出口安装防火墙；网络中心或关键区域安装IDS/IPS入侵监测；网络接入增加加密设备；……计算机网络方案全文共21页，当前为第14页。但由于在网络设计的初期，缺少对网络安全的整体考虑，特别是没有网络自身层面去规划安全的要素，导致“头痛医头，脚痛医脚”，完全是“救火式”网络安全保护，结果自然是：计算机网络方案全文共21页，当前为第14页。网络安全各个部分相互独立，各行其是；网络设备没有安全保护，只是区域的边界安全；安全防范效果不明显，原有安全问题依然存在；对于新出现的攻击、病毒和蠕虫不能适应，难以承受，被动响应；即使发现问题，也缺乏跟踪定位，有效隔离，快速消除的能力；安全已经不是网络中的一个选项，安全是网络中必不可少的重要组成部分，通过智能集成，分工协作，全局部署，做到真正融于网络内部，真正成为网络规划的核心，真正确保整体网络的稳定、可靠、高效运营。建立全面安全防护体系需要运用多种安全防护手段、需要在网络、桌面和系统的多个层面、多个位置部署安全防护措施。上文在第4章网络基础设施架构设计中已经对网络基础设施中的安全部署进行了说明。但网络基础设施的安全仅仅是建立整体安全防护体系的一个部分，要实现自防御网络的愿景，实现集成化安全、协同性安全和自适应威胁防御的原则还需要考虑端点安全、访问控制和网络准入等其他方面。本章中将从整体安全防护体系的角度出发，分网络基础设施安全、端点安全防护技术、访问控制和网络准入技术、安全传输技术及网络监控和安全响应技术五各方面进一步介绍此次网络架构设计的相关技术及部署方案。在本次设计方案中设计的安全防护体系包括5个方面，分别是：网络基础设施安全：作为网络安全最重要的防护手段，网络基础设施安全是本次设计的重点；端点安全：端点安全包括恶意代码防护和系统加固两个组成部分，本章中分别介绍了两个方案的需求、技术和部署方案。访问控制和网络准入：作为访问控制和网络准入的两个阶段，本部分分别介绍了建立在802.1x标准之上的基于身份的网络服务，以及在此技术上协作式安全的具体实现：网络准入控制方案；传输安全：对于可能暴露在企业外部的数据传输路径，必须采用相应的传输安全防护手段。计算机网络方案全文共21页，当前为第15页。网络监控和安全响应：有了分散在各层的安全防护设备和措施后，但网络攻击来临时，还需要有相应的手段站在全网的高度使具有快速感知威胁，适应威胁，消除威胁，因此勘探开发研究院信息数据大楼需要在全网建立一套完整的紧急网络安全监控机制和响应机制。计算机网络方案全文共21页，当前为第15页。5.1网络基础设施安全防护网络自身安全解决方案，通过网络基础架构的主要组成部分－网络设备的安全保护，各自分工，系统协作，全面部署，从网络到主机，从核心层到分布层、接入层，我们要采取全面的企业安全策略来保护整个网络基础构架和其所连接的系统，即使当攻击，蠕虫和病毒发生时，思科的网络基础设施要具备相当的抵抗和承受能力，在自动适应“变化”的基础上，充分利用网络基础平台的优势，协助专门的安全系统，定位问题，提供数据，有效隔离，快速清楚，确保整体网络的稳定运行。内部局域网络承担着整个企业网络的通讯枢纽功能，连接着所有的应用服务器和数据系统，任何网络安全问题都会扰乱企业的正常运转，给企业带来不可弥补的损失。目前企业在内部局域网中遇到的问题主要有以下几种：IP地址的管理问题，包括IP地址非法使用、IP地址冲突和IP地址欺骗利用ARP欺骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题攻击或病毒源机器的快速定位、隔离问题IP地址管理问题IP的地址管理一直是长期困扰企业局域网安全稳定运行的首要问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址，从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。非法的IP地址即IP地址不在规划的局域网范围内重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害计算机网络方案全文共21页，当前为第16页。无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果，如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的IP地址所拥有的特权，威胁网络安全；利用欺骗性的IP地址进行网络攻击，如富有侵略性的TCPSYN洪泛攻击来源于一个欺骗性的IP地址，它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式，一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。计算机网络方案全文共21页，当前为第16页。为了防止非法使用IP地址，增强网络安全，最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址，从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问，同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址，然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表，不仅工作量繁重，而且也难以维护和管理。ARP欺骗另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议（ARP，AddressResolutionProtocol）最基本的功能是用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术，该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息。同时，这种ARP欺骗又极具隐蔽性，攻击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知。病毒入侵计算机网络方案全文共21页，当前为第17页。病毒入侵问题也是所有企业普遍关心的问题。这些病毒，可以在极短的时间内迅速感染大量系统，甚至造成网络瘫痪和信息失窃，给企业造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码，而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。如“网吧传奇杀手”（Trojan.PSW.LMir.qh）木马病毒就是一个专门窃取“传奇”游戏密码的恶性木马病毒，其工作原理是对局域网中的机器进行ARP欺骗，虚拟内部的网关地址，以此来收集局域网中传奇游戏登录信息，通过解析加密方式从而得到用户信息的破坏性软件。在局域网中运行这个病毒后，就可以获得整个局域网中“传奇”玩家的帐户和密码等信息。例如“局域网终结者”（Win32.Hack.Arpkill）病毒，通过伪造ARP包来欺骗网络主机，使指定的主机网络中断，严重影响到网络的运行。计算机网络方案全文共21页，当前为第17页。攻击病毒定位最后，令网络管理员头痛的问题是如何准确定位。当出现IP地址被非法使用、IP地址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为了查找这些IP地址的机器，一般采用如下步骤：1.确定出现问题的IP地址。2.查看当前网络设备的ARP表，从中获得网卡的MAC地址。3.检查交换机的MAC地址列表，确定机器位置。这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口，而对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重的后果，即使在网络恢复正常后隐患依然存在。以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，其来源可概括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静，但对于信息安全要求高的企业危害是极大的。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。计算机网络方案全文共21页，当前为第18页。网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计OSI模型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变