大型项目承载网组网方案

第一章 承载网络系统设计安防项目的网络建设，一般包括业务网、外网两个物理隔离网络的建设，比如电力、金融、司法等行业，其中安防承载网是业务网的重要组成部分，将提供安防、监控、应急视讯以及未来涉密业务的接入；外网承载门户网站、对外业务及信息公布。安防承载网主要考虑中心与接入层互连的冗余链路结构，同时也要考虑到整体IT资源的统一监控；互联网需要考虑网络安全接入、网络安全可控等内容。1.1 安防承载网部分设计安防承载网系统建设目标主要是运用网络管理手段实现安防系统、及相关工作信息管理的现代化。根据系统化、规范化、科学化和实用性、开放性的原则，提高安保工作的效率和质量，为突发事件的处理提供依据。1.1.1 设计原则1.1.1.1 总体要求系统设计应充分考虑其相互间的独立性和互连性，确保智能管理系统总体结构的先进性、开放性、合理性、兼容性和可扩展性，使整个智能管理系统可以随着信息技术的发展和进步不断得到充实和提高。l 遵循实用性、先进性、专业性、开放性、安全性、可靠性、集成性、经济性、可移植性、可操作性和可扩展性。l 充分考虑系统的分控和总控的控制和管理内容、系统的优化设置和它们之间的信息流通关系。l 根据各个子系统的不同使用功能来考虑系统的设置和设计标准。l 系统设置除考虑建设时的一次性投资外，还应充分考虑系统的运行成本，并使之达到最小化。l 系统设计应遵循全面规划、统一设计的原则；设计应全面、周到，注意预留余量，以适应未来发展的需要。l 综合考虑网络建设的扩展性、安全性、可靠性，在有线网络的基础上，在某些不方便布线的局部区域，可考虑采用WiFi无线网络或运营商3G/LTE网络，对整体承载网络进行必要的补充和完善。1.1.1.2 遵循原则系统总体建设是集数据、语音、监控视频于一体的工程，其设计是否合理将对未来发展以及产生的效益起着极为重要的作用。对于一项系统工程来说，其总体方案的确定，不仅要考虑近期目标，还要为系统的进一步发展和扩充留有余地，应当考虑连接上级主管单位和其它兄弟单位信息网络系统的长远发展，进行统一的设计，必须考虑网络的未来扩展能力以及多厂商、多协议的支持能力。对于具体的项目，承载网络设计进所遵循的原则为：l 网络系统应具有开放性和标准化，宜采用国际标准协议，保证不同系统的网络能够互连且简单易行。比如建议采用标准IP传输协议及SIP信令协议，并为今后开发多种业务应用服务器提供通用接口。l 网络系统的先进性：当今世界，通信技术和计算机技术的发展日新月异，应考虑适应新技术发展的潮流。局域网采用千兆主干带宽，实现第三层多协议IP、IPX和IP多点传送交换，使主干达到更高的传输速度。l 网络系统应具有可靠性，一方面要根据实际情况，选用可靠且先进的设备和技术来组织网络，另一方面应充分考虑网络系统的容错能力，把故障率降到最低，保证网络系统的安全可靠运行。l 网络系统应具有高性能的可扩展性，应采用模块化设计，使系统易于扩充，功能易于加强。系统应支持各种高速网络（快速以太网、千兆以太网），采用全系列交换产品，拓展网络带宽。所建成的承载网必须具有高带宽、低延迟，大规模的网络系统中并考虑支持第三层交换和VLAN功能。l 网络系统应具有安全性，确保网络的安全，可采用先进的软、硬件技术手段，在设备保障、口令保护、存取控制、审计管理、信息加密、计算机病毒防治等方面采用先进的、科学的方法，为整个系统提供一个安全的运行环境。l 网络系统应具有实用性，应根据项目及网络系统的当前及将来发展的需求设计网络，同时又能充分利用现有的投资。l 系统应提供较好的系统和网络管理工具，能够在中心进行统一的管理或者从远程进行管理，并具有较好的错误诊断，处理及快速故障恢复以及报警能力。1.1.1.3 技术选择以太网技术的应用推广和不断发展，已经从最初的10M、100M时代，发展到千兆时代，现在万兆以太网的部署已经成为一种趋势。而且以太网技术不仅在园区网，而且在城域网、广域网的建设上也占有了一席之地。因此选择以太网组网，符合当前技术发展的趋势。网络的骨干采用千兆以太网技术，核心层设备之间支持采用2个千兆双绞线连接，启用虚拟化技术。1.1.2 承载网设计1.1.2.1 组网描述安防承载网作为业务网的重要组成部分，其网络的稳定性、扩展性、可靠性均直接影响整体业务网的承载质量，因此在大规模安防系统承载网建设中，需要考虑中心与各接入层互连的冗余链路结构，网管管理平台建设、服务器平台建设内容。网络建设的网络拓扑可分为两个层次：1. 核心层网络：核心层网络由网络中心核心节点组成；核心节点与接入层通过单模千兆光纤链路互联，如果有上级主管视频访问和监控需要，则一般考虑专网连接，保证上级主管单位可随时浏览每一路视频并能够优先控制和处理；2. 接入层网络：接入层按照接入方式分为两类，一类连接办公用业务信息网的信息点，另一类连接安防系统及其下属子系统的各IP信息点。监控中心的核心交换机采用模块化高端路由交换机，通过单模千兆链路和接入交换机连接；安防系统接入层节点采用千兆以太网交换机，通过千兆光纤链路和核心层的节点连接；监控等信息点通过百兆链路连接接入层以太网交换机。监控设备和办公信息业务网设备接入采用不同Vlan甚至不同的交换机，使监控网和业务网达到逻辑隔离的目的。视频监控组网拓扑示意图网络拓扑结构图：专网监控区域3监控区域2监控区域11.1.2.2 安防承载网设计详细说明1.1.2.2.1 核心层核心层负责整个安防网络的数据交换，同时也是整个监控网络的路由交换中心，全网绝大部分第三层的转发交换都通过核心节点集中进行，为保证核心节点的高可用性，核心节点配置冗余电源，支持采用双机方式，它们之间通过GE速率链路捆绑实现全网状互连，流量在捆绑的多条链路上负载分担和备份。核心节点两台路由交换机构成双机冗余热备结构，达到无单点故障的目的。这样任意核心节点都可以成为安防业务的主要汇总中心，核心节点与接入节点之间支持形成全冗余连接，以增强整体网络的容错和故障隔离能力。核心交换机配置双电源、双引擎等关键部位的冗余组件，同时所有的接入层交换机各自通过光纤连接核心交换机，从而降低接入区域网络中断的影响。核心层交换机支持网络运行监视功能，支持国际通过标准的IPFIX网流分析，可实现整网流量的可视化，方便网络调整、优化及故障定位。1.1.2.2.2 接入层承载网接入交换机，采用千兆上行，百兆接入的以太网交换机，提供两种类型接入交换机，24口交换机和48口交换机。安防承载网接入交换机支持ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施网络中常见的“中间人”攻击，接入层以太网交换机ARP入侵检测功能和DHCP Snooping功能配合使用，可以对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。另外，利用DHCP Snooping的信任端口特性还可以有效杜绝局域网内用户私设DHCP服务器，保证DHCP环境的真实性和一致性。交换机提供完善的端到端服务质量保证（QoS）、灵活丰富的安全策略和基于策略的网络管理。交换机支持端口安全特性可以有效防范基于MAC地址的攻击。可以实现基于MAC地址允许/限制流量，或者设定每个端口允许的MAC地址的最大数量，使得某个特定端口上的MAC地址可以由管理员静态配置，或者由交换机动态学习。交换机支持集中式MAC地址认证和802.1x认证，支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定，同时实现用户策略（VLAN、QOS、ACL）的动态下发；支持配合对在线用户进行实时的管理，及时的诊断和瓦解网络非法行为。1.1.2.2.3 数据平台在数据平台区域配置安防系统存储设备，可实现重要数据的本地集中化的存储和配置管理。部署视频监控平台服务器、安防集成平台服务器，集中录像存储设备，数据库服务器，以及业务系统也可以部署在数据中心区。1.1.2.2.4 运维平台配置承载网的整体运维管理系统，同时对整体的安防监控平台进行统一的监控管理。 随着信息化建设的推进，为了让凝聚了巨大人力物力投入的信息基础设施发挥出其效益，保障整个信息系统的平稳可靠运行，需要有一个可从整体上对包括IP网络，存储，安全等组件在内的IT基础设施环境进行综合管理的平台，并能够提供业务系统运行异常的实时告警和进行图形化问题定位，性能趋势分析和预警，能够基于关键业务系统的角度，以业务重要性为导向进行事件处理和通知。由于信息系统是一个包括了众多软件，硬件技术，设计多厂家产品，从网络，安全，存储，计算到中间件和应用的复杂异构环境，而且随着信息建设的深入和持续优化和发展，这个复杂庞大的基础设施，还会随之不断进行演进，在产品，技术和网络结构，业务关系上不断发生变化，因此，要求针对该环境进行管理的系统具有良好的可扩展性，能够将下层网络和的复杂度有效的通过抽象屏蔽起来，向上层应用和运维流程开放稳定的接口。利用基于统一信息模型的融合抽象建模技术和自动发现技术，实现对全IP网络中各种基于IP技术的基础设施的自动发现和资源化，基于统一信息模型，生成一个可管理，可重用的实时对象库，并通过实时事件和同步技术，保持与实际管理对象的一致性。由于可以在统一的信息模型定义下，针对多厂商，多技术的基础设施进行抽象，从而为解决异构基础设施的融合难题奠定了关键的基础，解决了对IP基础环境的总体把握和全局理解的问题。在此基础之上，进一步的通过关键业务性能评估模型，以业务系统的重要性为导向，对业务系统所依赖的各种下层资源进行具有服务优先级差别的监控和管理，让管理人员可以实时的，针对影响关键业务和关键用户的异常事件进行优先处理，并在问题发生的时候快速判断其影响范围和程度，通过图形化手段快速制定最佳控制和问题解除方案。通过面向关键业务的基础设施管理，让IT投入的效益的到最大化的体现，并能够在网络和信息团队运维资源有限的条件下，让用户按照其重要性体验到服务品质的提升。在目前广大用户基于IP的网络计算环境日益复杂和庞大，业务系统依赖的资源越来越难以掌控的背景下，能够为IT组织提供一个随着IT环境变化不断扩展，但同时又能向上提供稳定的管理接口和管理服务的抽象层中间件，屏蔽硬件的异构性，降低管理复杂度，从而帮助用户构建可持续发展，高回报的IP计算环境，大大降低IT服务管理的复杂度，以可视化，对象化的方式实现IT环境透明化。网管系统可以实现功能如下：I. 从关键业务系统重要性角度来管理下层IT资源II. 交互性和可视性极强的管理界面III. 智能灵活的告警管理能力IV. 多厂商复杂IP网络、系统和应用组件自动发现能力V. 融合事件、流量、性能和安全信息的多维拓扑呈现能力VI. 智能性能指标监测和趋势告警VII. 可视化的业务和资源建模能力1.1.3 IP地址规划IP地址的合理规划是IP网网络设计中的重要一环，大型计算机网络必须对地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。1.1.3.1 IP地址分配原则内部IP地址采用10. x. x. x或192.x.x.x私网IP地址接入的方式进行建设。要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。1.1.3.2 IP地址规划方案对于相对固定不变的各区域可采用静态分配IP地址，为防止地址盗用，采用IP地址与端口地址绑定；对于流动性大、用户人数多、用户增长快的办公区采用动态分配IP地址，采用By Port的Vlan，小范围地限制地址盗用问题。静态IP地址对于用户来说可以实现对应物理位置的查询，对全网的IP地址与物理位置的对应有全面、可靠的管理。对于服务器、网络设备互连端口地址、设备Loopback地址建议使用静态IP地址，而且各属于不同的IP地址段，有利于骨干路由表的简化与路由的快速处理。1.1.3.3 VLAN规划建议每个物理区域设置为一个VLAN，每个部门和监控区统一规划整个机构的VLAN资源。为了减小广播域，建议VLAN终结在核心的三层交换机上，每个VLAN内的主机数量原则上不要超过250台，建议每个VLAN内的IP设备机数量控制在50台以内。VLAN的划分可以依据不同的业务部门进行也可以依据安防设备所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了安防承载网可控性的需要。根据安防设备的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于地点不同，隔离在不同接入点的IP设备，推荐采用第一种方式。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN：形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN：建议使用802.1X实现动态VLAN功能。VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在网管软件（后台综合访问管理服务器）中，网管软件根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLAN ID下发配置。此时，二层交换机要支持VLAN的动态配置功能。从广播控制角度出发，为了保障网络的高可用和高性能，建议在进行具体VLAN规划时，同一个广播域内（一个VLAN）的通信主机不要超过250台，最好控制在50台以内，对于主机数量超过50的业务部门，可以通过二层隔离，三层交换的方式来解决。作为特殊VLAN 的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网内的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器建议单独设置在一个VLAN中。1.1.4 组播设计目前网络中的流量可以区分为三大类，单播、多播和广播，多播流量由于具有为特定一组用户提供特定数据流的特性，最为适合支撑视频点播、监控等应用，业界对于网络多播技术的研究一直在不断地发展与进步中，目前得到广泛应用的多播技术主要有IGMP V1/V2/V3、PIM-SM/DM、DVMRP等。从网络基础上来说，流媒体根据压缩的情况，需要占用网络很多带宽，而IP组播技术作为一种节省带宽的网络技术，最适合在流媒体应用中使用。为了能保证安防承载网上设计IP组播，必须首先确认网络中的接入交换机支持IGMP Snooping, 解决二层环境中的组播报文泛滥问题。其次，网络核心必须支持PIM-SM、PIM-DM、IGMP，IGMP该协议是主机用来通知路由器或多层交换机他们相连的网络的组播成员关系，以决定对组播流的转发;PIM以便软件能够转发组播数据报文，并且生成组播路由表以及如何转发组播数据报，保证了全网实施端到端的组播设计。具体实现：核心交换机使用PIM-DM/SM协议，实现组播路由的产生汇聚。并实现组播流的维护，包括组播路由的优化和组播流的分发。接入层的二层交换机，通过硬件设计实现组播流的侦听，IGMP-Snooping，抑制组播流在二层网络的泛滥，实现到特定的端口。组播服务器直接接在核心交换机上，完成为所有的用户端提供相应的组播数据流，交换机会对这些组播数据流进行相应的处理，最终发给用户。1.2 外网部分设计1.2.1 整网设计办公区域2办公区域1外网网络拓扑1.2.2 外网核心区设计外网的核心交换机放置在数据中心，通过以太网链路与办公区域的接入交换机相连，建议使用千兆以太网链路。核心的作用就是为各个区域提供无阻塞的高速转发，对于各区域之间的访问控制策略建议部署在核心交换机上。在核心区部署一台高性能交换机作为互联网核心交换机，配置千兆光口负责与各区域的互联，未防护网络安全，可以在出口位置配置防火墙设备，本次可以考虑配置具备流控、安全审计、日志记录等功能的防火墙设备。在办公区域的各个楼层放置千兆以太网接入交换机，上行与核心交换机直接连接，下行百兆到桌面。随着目前网络的攻击日益泛滥，对网络的安全要求越来越高，以及越来越多对URL过滤的要求，因此应采用一个高性能的千兆防火墙，以提升了网络设备的安全业务能力，为用户提供全面的安全防护。提供了高性能的千兆防火墙设备，能提供外部攻击防范、网络安全、流量监控、URL过滤、应用层过滤等功能，有效的保证网络的安全。提供对邮件、FTP、BBS等上网行为的审计功能，同时内置的大容量硬盘可以对所有用户的上网行为进行日志记录，保证网络事件的可控和可追溯性。1.2.3 外网用户接入区设计部署千兆交换机作为外网接入区的接入交换机，为终端提供百兆接入服务。在接入交换机的选择上考虑采用能提供千兆光电复用接口的交换机，主要是体现高带宽、高安全的优点：根据网络实际使用环境，接入交换机交换机可同时支持Web认证和802.1x认证，对进入网络的用户实行严格且灵活的控制，有效的防止非法用户获取网络资源，充分保障合法用户才能进入网络。通过对攻击报文的判断并对其限速甚至隔离，接入交换机交换机可轻松应对针对交换机本身的攻击行为，维护设备的稳定，从而保证全网的稳定，让网络永续的服务于应用的开展，而带来持续的价值。通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。通过将端口设为保护端口即可简单方便地隔离用户之间信息互通，保障了信息安全，同时不必占用VLAN资源。专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网。支持DHCP Snooping，可只允许信任端口的DHCP响应，防止未经管理员许可私自架设DHCP Server，扰乱IP地址的分配和管理，影响用户的正常上网；并在DHCP监听的基础上，通过动态监测ARP和检查源IP，可有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗。基于源IP地址控制的Telnet和Web设备访问控制，增强了设备网管的安全性，避免黑客恶意攻击和控制设备。SSH（Secure Shell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备，保护网络免遭干扰和窃听。通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制（如专家级ACL、时间ACL等）、基于数据流的带宽限速、用户安全接入控制的多元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。基础网络保护（NFPP）通过将报文分类限速（管理类、转发类、协议类），并对报文进行攻击监测，双重保障保护CPU和信道带宽资源免受攻击烦扰，保证报文的正常转发以及协议状态的正常，维护网络的稳定。支持生成树协议802.1d、802.1w、802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；PortFast大大缩减了标准的30-50秒的生成树协议收敛时间，而BPDU Guard功能则避免了生成树协议环路的出现。1.2.4 安全管理平台设计网络基础架构的建设完成，代表着网络“铺路”阶段已经告一段落，接下来的工作，就是如何丰富网络的应用，来让这条宽阔的马路上车水马龙，物尽其用。而正是随着越来越多的、越来越重要的应用的上线，也使得网络安全问题凸显出来，非法访问、病毒、攻击、木马、蠕虫把网络搞得乌烟瘴气，辛辛苦苦铺起来的路，正在被这些非法的数据所占据，而作为终端的计算机也正在饱受这些违法行为的侵害，重要数据被窃取，系统无法正常运行，业务无法正常开展为了解决这些问题，许多单位采购了大量的安全软、硬件，筑起层层壁垒，但并不能真正的解决这些问题，相反，这些各自为战的安全软硬件反而给管理人员带来了巨大的工作量，如何行之有效的解决网络安全问题，并形成一套自动、联动的解决方案，是每个网络管理维护人员都想得到的法宝。 安全管理平台，致力于通过软硬件联动、计算机与网络联动的整体解决方案，通过传统的网络设备和安全设备等硬件，配合后台系统、客户端等软件，联动的实现了对于用户身份、主机健康性以及网络通信等多方面的保障，轻松实现“让正确的人，使用健康的主机，访问安全的网络，做规范的事”的目标。 作为一套网络访问控制的解决方案，安全管理平台可以帮助客户实现从用户身份管理、主机管理到网络通信管理等多方面的功能。可以把安全管理平台的网络安全三部曲与乘坐飞机的过程做一个比较。 换登机牌是乘坐飞机的第一步，这个过程是要保证乘机人身份的正确性，乘机人需要出示他的有效证件来证明他的身份。安全管理平台采用了基于802.1X协议和Radius协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。同时，可以采用用户名、密码、用户IP、用户MAC、认证交换机IP、认证交换机端口号、硬盘序列号等多达7个元素的灵活绑定，来保障用户的身份正确性，更可以根据用户身份的不同，来给用户赋予灵活的网络权限访问控制，让“经济舱”的用户进不了“头等舱”。在完成换登机牌的值机过程后，乘客并不能直接登上飞机，还要经过一个很重要的过程，那就是安检，在这个过程中，乘客的一些违禁物品如刀具、爆炸物等都将被没收，以保障飞机飞行的安全性。在安全管理平台全局安全网络体系中，用户完成了身份认证之后，将进行主机端点防护的检测和修复，简单的说，就是对用户用来上网的计算机的健康情况进行检测，检测内容包括用户的软件安装情况、用户的进程启用情况、用户的后台服务运行情况、用户的注册表关键键值情况、用户的Windows补丁更新情况、用户的防病毒软件运行情况，甚至用户的外连接口（光驱、软驱、USB接口等）启用情况。通过对这些元素的检测，安全管理平台有效的保障了用户的主机的健康性，避免中毒的主机进入网络带来病毒的疯狂传播，也及时的补全了主机的漏洞，避免用户入网后遭到别的主机的攻击。在对用户的主机健康情况检测完成后，安全管理平台还能够根据制定好的策略对用户进行自动修复，来完善用户的主机健康情况。完成安检之后，乘客已经可以登机了，但这并不表示乘客可以在飞机上为所欲为，在飞机上需要遵守飞行过程中的安全规定，例如不许使用移动电话，不许吸烟等等。用户在完成了身份认证和主机端点防护之后，就可以接入网络了，但用户在网络中的行为依然受到安全管理平台全局安全网络系统的管理和规范。通过与专业入侵检测设备IDS的联动，安全管理平台可以对用户的网络流量进行分析，并通过内置的安全事件库对网路安全事件进行及时的检测和上报，并通过后台系统的联动处理来自动的处理发生的网络安全事件。而通过后台服务器、网关设备、接入设备与客户端的多重联动而实现的ARP欺骗三重立体防御功能，更是安全管理平台的拿手好戏，通过后台服务器RG-SMP安全管理平台作为可信的第三方，来向网关设备和客户端提供可信的ARP信息，避免了由ARP协议本身的漏洞带来的ARP欺骗现象的发生，解决了网络管理人员的一大难题。虽说飞机是最安全的交通工具，但不怕一万，就怕万一，仍然会发生一些事故、空难，在发生了问题之后，除了救人之外，第一个要做的事情就是寻找黑匣子，这样才能确切的知道当时发生了什么事情，避免以后再次发生同样的问题。从网络安全的角度来说，同样需要这样一种“黑匣子”机制，那就是完善的审计功能，通过审计功能，我们可以知道哪些用户在什么时间访问了什么网站，发布了什么信息，包括邮件、即时通讯工具等，都可以纳入审计的范围，以便发生安全事件时的详细追查。同时，对于通过移动存储设备进行文件的传递，也可以纳入审计的范围，避免通过U盘或移动硬盘将重要的数据泄漏出去，这种完善的审计功能，就是网络安全的黑匣子。安全管理平台全局安全解决方案通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和处理及审计，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。1.3 安防安全防护部分设计1.3.1 安全防护设计原则根据以往信息系统建设的经验和要求，系统安全体系设计应该遵守以下设计原则：可扩展性原则：安全体系的设计必须考虑到未来发展的需要，具有良好的可扩展性和良好的可升级性，充分保护当前以及以后的投资和利益。实用性原则：安全体系能最大限度满足当前网络现状的需求，结合一般项目和网络的实际情况，在对业务系统进行设计和优化的基础上进行设计。安全性原则：国家机关和政府部门对信息系统安全性的要求极其重要。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。物理隔离原则：部分行业要求进行不同网络的物理隔离，如需要与互联网进行连接，必须使用物理隔离设备进行互联，严格控制信息交互。可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。1.3.2 安全设计方案安全设计除了常规的防火墙等网络安全防护外，还包括机房的物理安全、数据库的安全等方面。1.3.2.1 物理安全设计保证信息化系统各种硬件设备的物理安全是保障整个信息安全体系的前提工作，只有建立可靠的物理安全保障环境才能保证信息化平台各种设备的良好运行。我们需要从以下两个方面设计物理层面的安全。1、 加强机房的安全建设UPS不间断电源保护、静电防护等，机房安全要求符合现有数据机房建设的标准要求。2、 设备安全措施在设备安全性方面，主要需要采用以下一些措施： 外场设备采用具有高稳定性、可靠性的产品，避免系统不受工作环境的影响； 外场设备的设计及安装要考虑防盗、自动报警等功能； 外场设备采用2级防雷； 采用低辐射的设备，并对关键设备和线路进行屏蔽设计或者是抗电磁干扰措施；具体物理设施安全可以参见本文的“机房设计”章节。1.3.2.2 网络安全设计在网络安全设计中，将重点考虑访问控制、防火墙等安全措施。可以根据信息系统网络运行状况及建设实际需要进行分期分步部署，逐步加强网络的安全防护能力。1、 访问控制ACL（Access Control List，访问控制列表）可以通过配置对报文的匹配规则和处理操作来实现包过滤的功能。通过对报文进行过滤，可以有效防止非法用户对网络的访问，同时也可以控制流量，节约网络资源，以保证网络资源的合理控制和分配。ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。网络建设采用的接入交换机和核心交换机都支持丰富的ACL访问控制功能，可以很方便地在网络中进行访问控制的规划，达到一定的安全控制功能。2、 防火墙防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。防火墙在网络间实现访问控制，比如一个是用户的安全网络，称之为被信任应受保护的网络，另外一个是其它的非安全网络称为某个不被信任并且不需要保护的网络。防火墙就位于一个受信任的网络和一个不受信任的网络之间，通过一系列的安全手段来保护受信任网络上的信息。1.4 网络安全设备要求1.4.1 内网核心交换机 （RG-S8606）序号参数指标要求1. 背板带宽1.5T2. 包转发率590Mpps3.支持冗余引擎、冗余电源支持4. 满配主控引擎后，业务插槽数（为机箱物理槽位，非母卡承载的子卡槽位）4支持5. 支持IPFIX技术（国际标准），多业务卡实现万兆性能，提供官方网站链接证明和截图证明，为防止虚假应标保留测试权力支持6. 具备硬件CPU保护技术，提供官方网站链接证明和截图证明支持7. 主机自带显示屏，可直接显示设备当前运行状态等信息支持8.支持硬件虚拟化模块，通过虚拟化模块可以将2台物理设备虚拟化为一台逻辑设备,提供产品模块型号和产品模块资料，并提供国家权威测试机构测试报告作为证明。支持9.引擎外置USB接口，便于扩展存储配置文件、日志系统等支持10.支持RIPv1/v2、OSPF、BGP、VRRP、硬件方式实现策略路由；支持11.支持硬件IPv6数据处理和转发，支持IPv6单播路由、ACL for IPv6、ICMPv6、DHCPv6等支持12.支持SP、RR、WRR、DRR、SP+WRR、SP+DRR等多种QoS队列调度算法支持13.支持802.1d/w/s、支持ECMP、WCMP扩展路由技术支持14. 投标设备应具有自主技术，能保证设备在开启大容量ACL情况下的二、三层转发性能均能达到万兆线速，提供国家级别权威测试机构报告作为证明材料。支持15. 提供公安部对防火墙板卡的测试报告提供16.项目配置如下：2块管理引擎，2块交流电源模块，1块24口千兆电口及12口千兆光口复用线卡，2块24口SFP千兆光口线卡，41块千兆兆光纤模块配置1.4.2 内网接入交换机 （RG-S3250E）序号指标项目要求1. 24端口交换机固化百兆端口24;固化千兆端口248端口交换机固化百兆端口48;固化千兆端口2支持2.提供扩展槽，可进行2端口千兆光电模块的扩展或堆叠扩展支持3. 交换容量32G4. 24端口交换机包转发率12Mpps48端口交换机包转发率16Mpps支持5.可创建VLAN的数量40006.MAC地址表16K7.支持链路聚合支持8.支持SPANRSPAN支持9.支持硬件CPP技术(CPU保护策略CPU Protect Policy) 支持10. 交换机同一端口能够同时启用802.1X和Web准入功能，提供第三方安全特性专项权威测试报告证明文件支持11. 交换机支持抗攻击能力，支持CPU报文限速，能够限制非法的报文对CPU的攻击，提供第三方安全特性专项权威测试报告证明文件支持12. 交换机支持防攻击能力，支持端口ACL配置，支持防IP防扫描攻击、防ARP攻击等功能，提供第三方安全特性专项权威测试报告证明文件支持13. 交换机准入功能，交换机抗攻击功能，交换机防攻击功能能够同时启用，相互不会冲突、制约，提供第三方安全特性专项权威测试报告证明文件支持14.支持IPv6协议及编址结构、DNS client v6、DHCP v6 snooping、DHCP v6 Client、SNMP over IPv6、Ping/traceroute for IPv6提供15. 与核心交换机同品牌支持1.4.3 内网网络管理平台 （RG-SNC-Pro智能网络指挥官）序号参数指标要求1. 支持对出口路由器、交换机等网络设备进行统一管理支持2.可以对设备及定制好的分组进行导入导出操作支持3. 可呈现所见即所得的设备面板,并在面板页面直接对设备进行操作支持4.界面上实现对交换设备VLAN划分的图形化配置工作支持5.界面上实现对设备端口的绑定支持6.可通过多种方式检测设备连通状态，并提供报告支持7. 支持定时抓取设备的配置文件，同步到管理组件服务器支持8. 可以比较配置变更并通知管理员支持9. 可以对多台设备进行批量的设备软件升级，提供官网截图证明（截图需包含URL链接地址），并加盖厂商公章支持10. 可以对网内使用的设备软件版本号进行统计，提供官网截图证明（截图需包含URL链接地址），并加盖厂商公章支持11.可以分析映射表表，发现异常并通知管理员支持12. 提供软件登记证、软件著作权登记证提供13. 项目配置：提供50台网络设备的管理权限配置14. 为便于统一管理，与核心交换机同品牌支持1.4.4 内网IT运维管理平台序号指标项目要求1. 能够自动发现或手工，依据各应用系统的逻辑依存关系，以适当方式显示包括应用程序、服务程序、操作系统、数据库、物理服务器、SAN存储之间的逻辑关系支持2. 能够支持基于JDBC，HTTP，TELNET等访问方式的应用系统响应仿真监测支持3. 能够从仿真监测界面直接关联到相关的网络和应用资源的运行指标状态，进行相关性分析支持4. 能够通过图形化建模方式将IT资源（网络，服务器，应用）组合成业务应用，并提供业务整体健康度、繁忙程度评估指标的监测和视图，报表。支持5. 能够以多维视图透视应用系统：网络层，计算层，应用层，逻辑层（以网络层、计算层、应用层的角度分层显示承载业务的IT资源，并可定义跨层间的依赖关系。）支持6. 能够提供网络实时链路上下行流量染色图，给不同负载的链路显示不同的颜色，并直接显示链路占用率数值。支持7. 依据系统各组成部分的运行状态数据标识其繁忙度及某一设备发生故障后的影响，并以适当方式通知管理与值班人员支持8.能够进行灵活的管理员权限控制，可以自定义角色，并为角色指定可使用的功能，可看到的资源（网络，系统），可查看的视图，以及读写权限支持9.能够进行二层网络的自动发现，支持CDP，HDP等发现协议支持10.能够灵活选择拓扑图的任意部分生成新的视图，并通过权限控制给特定的管理员查看支持11.能够进行三层网络的自动发现，支持在拓扑图上同时显示三层和二层链路支持12. 能够基于拓扑图用图形方式定义管理域，并定义管理域的边界安全设备，然后能够对这些边界安全设备的状态进行监测支持13.能够图形方式定义资源和业务系统的安全等级，并能够通过业务系统的安全等级自动计算所关联的资源的安全等级支持14.能够接收和管理资源相关的安全事件支持15.能够定义业务的相关用户组，并指定用户组的重要性支持16.能够在同一界面中呈现业务用户，业务系统运行状态和网络资源的实时状态支持17.以安全设备为边界，对网络Topo划分安全域， 对安全域边界进行监控支持18.对用户的网络Topo图划分安全域，自动新增节点，手动新增、删除节点支持19.直观显示业务系统的健康度、繁忙度、告警信息（业务概况中）支持20. 监控业务系统IT资源的构成分层；业务构成直观的查看业务系统的运行架构，包括组成业务系统的所有IT资源，这些资源依据在业务系统的架构关系，被分在三层（应用层、计算层、网络层）支持21. 监控业务系统IT资源的依赖关系；业务系统构成页面中，依据依赖关系建立资源之间的连接，业务系统Topo图连线体现资源之间的依赖关系，可依用户需要添加或删除支持22.用户可依据需要选择业务系统要监控的资源、资源的部件、部件的指标以及指标的权重支持23.检查业务系统URL服务的状态支持24. 为便于统一管理，与核心交换机同品牌支持1.4.5 外网核心交换机 （RG-S5760）序号指标项目要求1. 固定端口总数32个，其中至少24个千兆电口，至少8个千兆SFP光电复用口支持2. 包转发率150Mpps3. 万兆扩展槽数24. 要求设备支持冗余电源支持5.支持万兆端口汇聚，支持聚合万兆端口数4支持6.设备支持OSPFv2,OSPF V3，BGP4,BGP4+,ISIS，在官网有宣传可查证，提供厂商总部网址链接，且招标人保留对该指标的测试权利。支持7.支持IPv6静态路由、手工隧道、自动隧道、PBR、IPv4 Over IPv6等IPv6路由协议支持8.支持DHCP/BOOTP Client，DHCP Server，DHCP Relay，DHCP Snooping，DHCP Snooping Trust，DHCPv6 Server，DHCPv6 Snooping支持9. 支持双向转发检测协议BFD。支持BFD与OSPF、LDP、PBR联动，在官网有宣传可查证，提供厂商总部网址链接，招标人保留对该指标的测试权利支持10.支持时间ACL、支持单向输入方向ACL和单向输出方向ACL，IPv6 ACL, 以便于灵活实现数据包过滤支持11.支持在网络繁忙情况的拓扑保护技术 支持12.支持WEB准入认证m功能，提供国家权威测试机构的测试报告支持13.支持802.1x认证，同一端口支持同时启用802.1x和web准入功能，提供国家权威测试机构的测试报告支持14.支持CPU报文限速，限制非法的报文对CPU攻击，官网上有宣传，可公开查询，提供国家权威测试机构的测试报告提供15.支持PIM-DM，PIM-SM，DVMR，PIM-SSM、PIM-SM for ipv6,PIM-DM for ipv6支持16.支持SNTP协议，支持Radius v6、Tacacs+ v6、SSH v6支持17.提供投标产品IPv6 Ready第一阶段和第二阶段认证，并出具证明材料提供18. 为便于统一管理，与核心交换机同品牌支持1.4.6 外网接入交换机 （RG-S1924GT）序号指标项目要求1. 固化百兆端口24;固化千兆端口4支持2.提供扩展槽，可进行2端口千兆光电模块的扩展或堆叠扩展支持3. 交换容量32G4. 包转发率14Mpps支持5.可创建VLAN的数量40006.MAC地址表16K7.支持链路聚合支持8.支持SPANRSPAN支持9.支持硬件CPP技术(CPU保护策略CPU Protect Policy) 支持10. 交换机同一端口能够同时启用802.1X和Web准入功能，提供第三方安全特性专项权威测试报告证明文件支持11. 交换机支持抗攻击能力，支持CPU报文限速，能够限制非法的报文对CPU的攻击，提供第三方安全特性专项权威测试报告证明文件支持12. 交换机支持防攻击能力，支持端口ACL配置，支持防IP防扫描攻击、防ARP攻击等功能，提供第三方安全特性专项权威测试报告证明文件支持13. 交换机准入功能，交换机抗攻击功能，交换机防攻击功能能够同时启用，相互不会冲突、制约，提供第三方安全特性专项权威测试报告证明文件支持14.支持IPv6协议及编址结构、DNS client v6、DHCP v6 snooping、DHCP v6 Client、SNMP over IPv6、Ping/traceroute for IPv6提供15. 与核心交换机同品牌支持1.4.7 防火墙设备 （RG-WALL 1600S）序号参数指标要求1. 固化千兆电口6；支持独立管理口；支持2. 固化千兆光口1；光口支持千兆、百兆自适应支持3. 支持USB2.0接口1；支持SD卡接口1；支持4. 内置企业级SATA硬盘160G；支持5.支持硬件Bypass功能；电口内置硬件Bypass模块；支持6.包转发率800Kpps支持7.NAT最大并发连接数80万；支持8.必须支持路由模式、桥接模式、旁路模式；支持9.支持多路桥接功能，至少支持三进三出桥接模式支持10.支持静态路由、RIP(V1/V2)、OSPF等多种路由协议：支持11.支持DHCP Relay 、DHCP Server支持12.支持NAT，支持多种NAT ALG，包括FTP、H.323、DNS等支持13.支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）支持14.内嵌自主知识产权的DPI应用识别引擎支持15. 具备完善的应用协议库，能覆盖国内主流的网络应用；协议识别数量500种支持16.支持基于用户、应用、时间对象的流量管控和策略设置支持17.支持的流控策略组100个，整机支持的流控策略8000条支持18.支持带宽通道优先级的定义，保障核心业务拥有带宽保障支持19.支持空闲带宽借用，实现带宽资源统计复用支持20. 内置自主研发的URL中文数据库，URL条目数600万条支持21. 支持URL的黑白名单；支持基于用户/时间的URL过滤规则；支持22.内置状态检测防火墙，支持对内外网的安全防护支持23.支持IPSec VPN和SSL VPN支持24.支持NAT日志、URL日志记录支持25.支持对通过smtp、pop3和webmail等方式的邮件收发和内容的审计；支持26.支持IM上下线和聊天内容审计，如QQ、MSN等；支持27.支持BBS论坛内容审计，如天涯社区、猫扑、动网等支持28.支持中文WEB界面和CLI命令行配置、管理和监控；支持29. URL规则库、特征库升级服务终身免费支持30. 提供入网许可证、公安部销售许可证、软件著作权登记证提供31. 投标产品生产企业应是自主研发、技术创新的企业，应有独立的企业技术中心，受国家的认可，并提供证明文件及网站查询地址；如是代理商投标，请提供生产厂商的相关证明文件及网站查询地址并且厂家盖章支持32. 与核心交换机同品牌支持1.4.8 安全管理平台序号指标项目要求1.支持802.1X身份认证支持2. 可将认证信息转发给第三方Radius服务器进行认证，即实现统一身份源支持3.联动交换机实现Web认证支持4.与第三方身份源系统对接，获取用户身份信息，实现统一身份认证支持5. 硬盘序列号学习和绑定支持6. 用户上线后弹出网页支持7. MAC地址防篡改支持8.上网帐号过期控制支持9. 硬件变动日志：当用户硬件信息发生变动时，进行日志记录，包括CPU、内存、主板、硬盘等信息支持10. 无论用户在内网还是外网，可限制用户对于互联网的访问，一旦访问则进行日志记录，并禁用所有网络连接支持11.防止认证用户被ARP欺骗支持12.防止网关设备被ARP欺骗支持13. 采用硬件化产品形态，无需购买单独的服务器、操作系统和数据库均需采用正版支持14.支持分布式管理模式，提供中央服务器和分支服务器。可由中心服务器集中管理部署在各跨区域分支机构的分支服务器。支持15.分支机构的用户信息、安全策略通过中央服务器集中下发，并可授权分支机构进行增删改查等管理支持16. 分支机构用户可以自己帐号登陆总部管理服务器，配置且仅能配置其所负责用户的开户、关户、信息修订、黑名单等操作支持17. 与核心交换机同品牌支持