1、企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案2017年8月目錄TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 第1章.項目概述i HYPERLINK l bookmark6 o Current Document 項目背景1 HYPERLINK l bookmark8 o Current Document 頊目建設(shè)需求1 HYPERLINK l bookmark10 o Current Document 建設(shè)目標(biāo)1 HYPERLINK l bookmark12 o Current Document 第2章.系統(tǒng)規(guī)劃要求2 HYPERLINK l bookma

2、rk14 o Current Document 高可靠要求2 HYPERLINK l bookmark16 o Current Document 高性能要求2 HYPERLINK l bookmark18 o Current Document 易管理性要求2 HYPERLINK l bookmark20 o Current Document 安全性要求2 HYPERLINK l bookmark22 o Current Document 可擴展性要求3 HYPERLINK l bookmark24 o Current Document 實用性和先進性要求3 HYPERLINK l bookma

3、rk26 o Current Document 經(jīng)濟性要求3 HYPERLINK l bookmark28 o Current Document 第3章.系統(tǒng)總體設(shè)計3 HYPERLINK l bookmark30 o Current Document 第4章.基礎(chǔ)平臺詳細(xì)規(guī)劃5 HYPERLINK l bookmark32 o Current Document 網(wǎng)絡(luò)系統(tǒng)5 HYPERLINK l bookmark34 o Current Document 系統(tǒng)設(shè)計目標(biāo)5系統(tǒng)設(shè)計原則5整體網(wǎng)絡(luò)規(guī)劃5分區(qū)設(shè)計詳解6 HYPERLINK l bookmark52 o Current Documen

4、t 網(wǎng)絡(luò)協(xié)議設(shè)計8設(shè)備選型建議12 HYPERLINK l bookmark64 o Current Document 安全系統(tǒng)12系統(tǒng)設(shè)計目標(biāo)12系統(tǒng)設(shè)計原則13 HYPERLINK l bookmark84 o Current Document 安全體系結(jié)構(gòu)14子系統(tǒng)規(guī)戈I.14設(shè)備選型建議18第1章.項目概述項目背景隨著*公司信息技術(shù)發(fā)展，作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴(yán)重：網(wǎng)絡(luò)負(fù)載加大、網(wǎng)絡(luò)帶寬不足、網(wǎng)絡(luò)安全問題嚴(yán)重、應(yīng)用系統(tǒng)的增加，多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行改造，以滿足*公司信息技術(shù)發(fā)展的需求。項目建設(shè)需求在利用*公司現(xiàn)有網(wǎng)絡(luò)資源的基礎(chǔ)上加以

5、改造，改造后的網(wǎng)絡(luò)需要滿足以下需求：1、根據(jù)用戶對業(yè)務(wù)系統(tǒng)的訪問要求，將現(xiàn)有各個業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進行整合，以達到單個用戶可以訪問不同子網(wǎng)的資源，并通過一定的安全策略，確保各個子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)安全。2、優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)立網(wǎng)絡(luò)匯聚節(jié)點，最終形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。3、實現(xiàn)整個公司網(wǎng)絡(luò)架構(gòu)分等級安全管理。4、建立結(jié)構(gòu)化網(wǎng)絡(luò)安全系統(tǒng)，所有用戶通過認(rèn)證方式接入公司網(wǎng)絡(luò)，訪問自己對應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)。5、實現(xiàn)網(wǎng)絡(luò)終端受控，重要崗位終端行為管理，保證終端規(guī)范化操作。6、實現(xiàn)服務(wù)器及存儲資源的有效

6、利用，建立核心服務(wù)器區(qū)域的安全防護提高運行能力。將現(xiàn)有主要服務(wù)器，如產(chǎn)銷系統(tǒng)、新老線MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠(yuǎn)程計量、人事、原料采購、調(diào)度、質(zhì)量等服務(wù)器集中統(tǒng)一管理。7、實現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中的隔離，保證L2系統(tǒng)安全穩(wěn)定運行。建設(shè)目標(biāo)此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng)，安全系統(tǒng)的建設(shè)。各個系統(tǒng)的功能概述如下：1）網(wǎng)絡(luò)系統(tǒng)：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入條件和機房環(huán)境條件，對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進行全面改造升級，實現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入，簡化網(wǎng)絡(luò)邏輯架構(gòu)。2）安全系統(tǒng)：根據(jù)網(wǎng)絡(luò)總體架構(gòu)和安全需求，設(shè)計部署安全防御體系（包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次），各業(yè)務(wù)系統(tǒng)的安全防范和服務(wù)體系，并實

7、現(xiàn)集中的安全管理。第2章.系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下：高可靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運行，整個系統(tǒng)應(yīng)有足夠的冗余，設(shè)備發(fā)生故障時能以熱備份、熱切換和熱插拔的方式在最短時間內(nèi)加以修復(fù)。可靠性還應(yīng)充分考慮系統(tǒng)的性價比,使整個網(wǎng)絡(luò)具有一定的容錯能力，減少單點故障，網(wǎng)絡(luò)核心和重點單元設(shè)備支持雙機備份。高性能要求核心網(wǎng)絡(luò)提供可保證的服務(wù)質(zhì)量和充足的帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸。整個系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的發(fā)展。易管理性要求考慮到系統(tǒng)建設(shè)后期的維護和管理的需要，在方案設(shè)計中充分考慮各個設(shè)備和系統(tǒng)的可管理性，并可以滿足用戶個性化管理

8、定制的需要。網(wǎng)站各系統(tǒng)易于管理，易于維護，操作簡單，易學(xué)，易用，便于進行配置和發(fā)現(xiàn)故障。安全性要求對于內(nèi)部網(wǎng)絡(luò)以及外部訪問的安全必須高度重視，設(shè)計部署可靠的系統(tǒng)安全解決方案,避免安全隱患。設(shè)計采取防攻擊、防篡改等技術(shù)措施。制定安全應(yīng)急預(yù)案。管理和技術(shù)并重，全方位構(gòu)建整個安全保障體系?？蓴U展性要求對*信息化建設(shè)規(guī)劃要長遠(yuǎn)考慮，不但滿足當(dāng)前需要，并在擴充模塊后滿足可預(yù)見需求，考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級與銜接。留有擴充余量，包括端口數(shù)和帶寬升級能力。實用性和先進性要求系統(tǒng)建設(shè)首先要從系統(tǒng)的實用性角度出發(fā)，未來的信息傳輸都將依賴于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計必須具有很強的實用

9、性，滿足不同用戶信息服務(wù)的實際需要，具有很高的性能價格比，能為多種應(yīng)用系統(tǒng)提供強有力的支持平臺。經(jīng)濟性要求本次系統(tǒng)建設(shè)中，要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源的價值。要本著以最少的建設(shè)成本，最少的改造成本，持續(xù)獲得當(dāng)期及未來建設(shè)的最大利益。第3章.系統(tǒng)總體設(shè)計此方案設(shè)計將遵循先進性、實用性、可靠性、易管理性、安全性、擴展性、經(jīng)濟性的原則，為實現(xiàn)*數(shù)據(jù)集中處理的方式，構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng)，能支持全公司范圍內(nèi)的高可靠實時網(wǎng)絡(luò)連接。依據(jù)*網(wǎng)絡(luò)改造建設(shè)的需求，本次方案設(shè)計的網(wǎng)絡(luò)平臺系統(tǒng)的總體示意圖如下：*網(wǎng)絡(luò)改造總體拓?fù)鋱D注：圖中橙色字體的設(shè)備為此次新增設(shè)備。具體描述：網(wǎng)絡(luò)系統(tǒng)設(shè)計1）

10、整體網(wǎng)絡(luò)結(jié)構(gòu)按照不同的安全級別，主要分為出口區(qū)域、DMZ區(qū)域、中心服務(wù)器集群區(qū)域、核心交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠(yuǎn)程計量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域。2）作為整個網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域，采用兩臺高端核心交換機雙機熱備的方式，保證核心業(yè)務(wù)的正常開展。同時，依據(jù)業(yè)務(wù)的重要程度對全廠網(wǎng)絡(luò)進行分區(qū)、并進行可靠安全隔離，避免重要程度較低的業(yè)務(wù)對重要程度高的核心業(yè)務(wù)造成影響。3）生產(chǎn)網(wǎng)接入?yún)^(qū)域，主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備。根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的

11、匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。4）上述七個匯聚節(jié)點主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的功能。5）規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行的服務(wù)器，劃到同一邏輯區(qū)域?？紤]到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。6）設(shè)計新的互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負(fù)載均衡等

12、安全設(shè)備，保證全廠用戶的上網(wǎng)安全。原有生活區(qū)用戶不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶使用單獨的出口設(shè)備連接互聯(lián)網(wǎng)。7）構(gòu)建DMZ區(qū)域，將WWW、DNS、MAIL等需要同時服務(wù)內(nèi)外網(wǎng)用戶的服務(wù)器放到該區(qū)域，設(shè)置VPN、負(fù)載均衡等設(shè)備保證服務(wù)安全。8）能源網(wǎng)和遠(yuǎn)程計量網(wǎng)由于是獨立運行的物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在的范圍。但此次我們新增的核心交換，在性能、穩(wěn)定性、處理能力方面，均有能力負(fù)載未來其他多個網(wǎng)絡(luò)的融合。安全系統(tǒng)設(shè)計本次*網(wǎng)絡(luò)改造項目建設(shè)將考慮如何建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強安全管理工作和安全應(yīng)急工作。通過部署防火墻保證網(wǎng)絡(luò)邊界的安全，保證網(wǎng)絡(luò)層的安全；部署入侵檢測系統(tǒng)實現(xiàn)內(nèi)網(wǎng)安

13、全狀態(tài)的實時監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵，保證主機的安全；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控；部署抗攻擊系統(tǒng)抵御來自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對系統(tǒng)主機、網(wǎng)絡(luò)設(shè)備的脆弱性進行分析；部署時鐘系統(tǒng)使系統(tǒng)的時鐘同步；部署單點登錄系統(tǒng)方便用戶在多個系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份；部署統(tǒng)一認(rèn)證系統(tǒng)對不同的應(yīng)用系統(tǒng)進行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺提供一個單一的用戶登陸入口；部署安全管理平臺實現(xiàn)系統(tǒng)內(nèi)安全事件的統(tǒng)一管理。我們要通過相應(yīng)的安全技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機層、應(yīng)用層和管理層等多個方面的完整網(wǎng)絡(luò)安全體系。第4章.基礎(chǔ)平臺詳細(xì)規(guī)

14、劃網(wǎng)絡(luò)系統(tǒng)系統(tǒng)設(shè)計目標(biāo)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標(biāo)，是要建立統(tǒng)一融合的、覆蓋全公司范圍內(nèi)的、高速高可靠的網(wǎng)絡(luò)平臺，以支持?jǐn)?shù)據(jù)集中處理的運行模式。412系統(tǒng)設(shè)計原則網(wǎng)絡(luò)系統(tǒng)包括四大部分，一是出口區(qū)域，實現(xiàn)公司用戶的上網(wǎng)需求；二是服務(wù)器區(qū)域，對*現(xiàn)有業(yè)務(wù)系統(tǒng)的主機存儲進行統(tǒng)一管理；三是核心交換區(qū)域，實現(xiàn)全公司所有功能區(qū)域的互聯(lián)互通；四是二級接入?yún)^(qū)域，對整個網(wǎng)絡(luò)現(xiàn)狀進行重新規(guī)劃，形成新的匯聚節(jié)點，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新的管理網(wǎng)絡(luò)中，實現(xiàn)單一終端對所有業(yè)務(wù)系統(tǒng)的統(tǒng)一訪問。網(wǎng)絡(luò)系統(tǒng)有良好的擴展性，保證網(wǎng)絡(luò)在建設(shè)發(fā)展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不斷地擴大。網(wǎng)絡(luò)線路及核心、關(guān)鍵設(shè)備有冗余設(shè)計

15、。核心設(shè)備和關(guān)鍵設(shè)備保證咼性能、咼可靠性、大數(shù)據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)的設(shè)計充分考慮系統(tǒng)的安全性。413整體網(wǎng)絡(luò)規(guī)劃按照結(jié)構(gòu)化、模塊化的設(shè)計原則，實現(xiàn)高可用、易擴展、易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)整體拓?fù)淙缦聢D所示：注：圖中橙色字體的設(shè)備為此次新增設(shè)備。按照“模塊化”設(shè)計原則，需要對*整體網(wǎng)絡(luò)結(jié)構(gòu)進行分區(qū)設(shè)計。根據(jù)*公司業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下:核心交換區(qū)：此區(qū)域用于實現(xiàn)各分區(qū)之間的數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺的核心樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，公司員上網(wǎng)，對外發(fā)布公司信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心服務(wù)器區(qū)：此區(qū)域部署核心業(yè)務(wù)服務(wù)器，包括MES、0A、人事、安全管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)匯聚區(qū)：實

16、現(xiàn)公司辦公樓、各分廠等匯聚網(wǎng)絡(luò)接入，二級單位可以通過該接入?yún)^(qū)域?qū)崿F(xiàn)對業(yè)務(wù)系統(tǒng)的訪問。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶和公司核心交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備。414分區(qū)設(shè)計詳解4141.核心交換區(qū)設(shè)計此次網(wǎng)絡(luò)改造，建議新增兩臺高性能的核心交換機作為*的網(wǎng)絡(luò)核心。核心層作為整個*網(wǎng)絡(luò)的核心處理層，連接各分布層設(shè)備和*核心服務(wù)器區(qū)，核心層應(yīng)采用兩臺高性能的三層交換機采用互為冗余備份的方式實現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換機，同時，兩臺核心設(shè)備與分布層各設(shè)備連接，保證每臺分布層設(shè)備分別與兩臺核心層設(shè)備具有網(wǎng)絡(luò)連接，通過鏈路的冗余和設(shè)備冗余的設(shè)計，保證整個核心層的高可靠性。兩臺核心

17、設(shè)備之間應(yīng)至少保證2Gbps全雙工的速率要求，并能平滑升級到lOGbps。核心區(qū)是整個平臺的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計的關(guān)鍵指標(biāo)。否則，一旦核心模塊出現(xiàn)異常而不能及時恢復(fù)的話，會造成整個平臺業(yè)務(wù)的長時間中斷，影響巨大。4142互聯(lián)網(wǎng)出口區(qū)設(shè)計*與外網(wǎng)的出口區(qū)域，目前是通過建立獨立的寬帶網(wǎng)，實現(xiàn)辦公區(qū)和生活區(qū)通過統(tǒng)一出口訪問外網(wǎng)的。在此次網(wǎng)絡(luò)改造中，我們計劃把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng)隔離開，通過不同的出口訪問外網(wǎng)。改造后的生活區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)果如下圖所示：如上圖所示，此次生活區(qū)的網(wǎng)絡(luò)改造會增加新的防火墻和負(fù)載均衡設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨的出口設(shè)備連接到互聯(lián)網(wǎng)。改在后的廠

18、區(qū)互聯(lián)網(wǎng)出口區(qū)域，如下圖所示：如上圖所示，工作區(qū)的網(wǎng)絡(luò)改造同樣會增加新的防火墻和負(fù)載均衡設(shè)備，以及上網(wǎng)行為管理等安全設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)安全管理設(shè)備，通過單獨的出口設(shè)備之間連接到互聯(lián)網(wǎng)。出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包括一個DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時服務(wù)內(nèi)、外網(wǎng)用戶的服務(wù)器放到該區(qū)域，.中心服務(wù)器區(qū)設(shè)計規(guī)劃統(tǒng)一的中心服務(wù)器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運行的服務(wù)器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個區(qū)域接入到核心，而邏輯上可以再劃分為多個業(yè)務(wù)應(yīng)用區(qū)，根據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)服務(wù)器區(qū)（如ERP等）、辦公服務(wù)器區(qū)（如OA等）、管理服務(wù)器區(qū)（

19、如IT運維、管理等系統(tǒng)）等?？紤]到新的核心交換的高性能，將所有的服務(wù)器直接接到核心交換，通過核心區(qū)域的安全設(shè)備來保證訪問安全。使全廠的所有客戶終端都通過核心交換來對各個業(yè)務(wù)系統(tǒng)進行統(tǒng)一訪問。4144.網(wǎng)絡(luò)匯聚區(qū)設(shè)計網(wǎng)絡(luò)匯聚區(qū)域，根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)匯聚節(jié)點，形成以銷售部、自動化部自動化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個部位為主的匯聚點，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。該區(qū)域的網(wǎng)絡(luò)設(shè)備主要以現(xiàn)有的生產(chǎn)網(wǎng)匯聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的匯聚設(shè)備，同時考慮現(xiàn)有匯聚設(shè)備性能不能滿足需求的情況，新增高新能的匯聚設(shè)備。匯聚層設(shè)備通過雙鏈路的方式與核心層兩臺核心交換

20、設(shè)備相連，同時，為保障網(wǎng)絡(luò)的健壯性，以及便于各個分廠區(qū)之間數(shù)據(jù)交互，各個分廠區(qū)的匯聚交換機之間也有線路直連。各匯聚節(jié)點與核心層的連接，應(yīng)全部采用1000Mbps或1000Mbps以上的連接方式，分布層設(shè)備實現(xiàn)本區(qū)域內(nèi)的各Vlan的路由處理和安全限制。原生產(chǎn)網(wǎng)核心交換機華為8512、4145接入層部分網(wǎng)絡(luò)匯聚節(jié)點主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的功能。接入層設(shè)備與分布層設(shè)備通過1000M光纖或雙絞線的方式連接，在用戶量較少的分節(jié)點可以

21、采用100M上聯(lián)方式，與各終端用戶連接一般采用100M或者1000M雙絞線的方式。生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入，通過自動化車間和軋鋼總降等匯聚節(jié)點，接入到新的數(shù)據(jù)網(wǎng)絡(luò)中。各個分廠區(qū)的網(wǎng)絡(luò)接入情況如下圖所示：自動化車間匯聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降匯聚網(wǎng)絡(luò)拓?fù)鋱D4.1.5.網(wǎng)絡(luò)協(xié)議設(shè)計.IP地址和VLAN規(guī)劃IP地址是網(wǎng)絡(luò)設(shè)計工作中重要的一環(huán)，使用IP地址不當(dāng)會造成路由表龐大、難以部署安全控制、地址重疊問題、地址空間耗盡等問題，會給網(wǎng)絡(luò)運行帶來很大麻煩。為了讓*網(wǎng)絡(luò)建設(shè)項引順利進行，我們建議*網(wǎng)絡(luò)采用以下IP地址規(guī)劃原則進行適當(dāng)改進：1、為公司各個二級單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采用統(tǒng)一規(guī)劃，統(tǒng)一分

22、配，統(tǒng)一管理的地址設(shè)計原則，避免重疊地址的出現(xiàn)。設(shè)定專門流程和人員對全公司網(wǎng)絡(luò)地址進行記錄和權(quán)限管理。2、盡可能采用私有地址進行IP地址分配。私有地址就是我們熟知的三類網(wǎng)絡(luò)地址，分別是A類網(wǎng)中的55范圍，B類網(wǎng)中的55范圍，C類網(wǎng)中的55范圍。3、整網(wǎng)地址規(guī)劃思路可按照以下方法設(shè)計，如10.X.Y.Z,X為不同廠區(qū)進行標(biāo)示，Y為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進行標(biāo)示，Z為主機地址位。4、同一個區(qū)域內(nèi)部，使用連續(xù)的IP子網(wǎng)進行IP地址分配。例如，廠區(qū)A內(nèi)需要有4個C類網(wǎng)絡(luò)，為了滿足地址匯聚需要，應(yīng)該為連續(xù)的C類網(wǎng)絡(luò)。例如：/24、/24、/24和/244個網(wǎng)絡(luò)可以匯聚成/22。在定義測試區(qū)安全策略時，不

23、用將4個網(wǎng)段同時定義成ACL，使用一條ACL就可以包括全部網(wǎng)絡(luò)。5、使用可變長掩碼規(guī)劃網(wǎng)絡(luò)地址，根據(jù)IP地址使用對象的特點，部署不同長度子網(wǎng)掩碼。例如，應(yīng)用網(wǎng)段的IP地址，可以采用C類網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間的互連地址可以采用29位掩碼。6、不同主機實際網(wǎng)關(guān)IP地址與HSRP使用的IP地址應(yīng)該在整個數(shù)據(jù)中心統(tǒng)一，使用相同的方式配置，例如：整個廠區(qū)均采用X.X.X.1作為主機實際網(wǎng)關(guān)IP地址，HSRP采用X.X.X.254為HSRP網(wǎng)關(guān)地址。7、網(wǎng)絡(luò)互連地址采用IP地址網(wǎng)段的頭兩個可用地址，核心側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。例如，設(shè)備A與設(shè)備B互連，采用/29網(wǎng)段

24、為互連地址，該網(wǎng)段頭兩個可用地址為和，設(shè)備A為核心設(shè)備，配置奇數(shù)地址，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址。8、網(wǎng)絡(luò)設(shè)備配置環(huán)回地址（32位掩碼地址），用于網(wǎng)絡(luò)管理和日志管理。VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個邏輯網(wǎng)絡(luò)，從而降低廣播風(fēng)帶來的影響，也可提高網(wǎng)絡(luò)可管理性和安全性。建議在此次網(wǎng)絡(luò)建設(shè)中可按照以下原則對新建VLAN及原有VLAN進行適當(dāng)調(diào)整和修改。1、VLANID的規(guī)劃可按照應(yīng)用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義，這里建議按照原有網(wǎng)絡(luò)規(guī)劃方法進行。2、VLANID可以是2-4096任意數(shù)字，為了方便標(biāo)示和管理，建議ID與IP網(wǎng)段地址相關(guān)聯(lián)。女口/24-VLAN10;/24VLAN20;/

25、24VLAN303、VLAN規(guī)劃避免重復(fù)，全網(wǎng)VLAN靜態(tài)手動分配（在根交換機），統(tǒng)一管理和記錄。4152動態(tài)路由協(xié)議對一個大網(wǎng)絡(luò)來說，選擇一個合適的路由協(xié)議是非常重要的，不恰當(dāng)?shù)倪x擇有時對網(wǎng)絡(luò)是致命的，路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴展都有很重要的影響。目前存在的路由協(xié)議有：RIP(vl&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據(jù)路由算法的性質(zhì)，它們可分為兩類：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/

26、IS-IS)?？捎糜诖笠?guī)模的網(wǎng)絡(luò)同時又基于標(biāo)準(zhǔn)的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計算的最短路徑路由協(xié)議；采用同一種最短路徑算法(Dijkstra)。考慮到產(chǎn)品對OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經(jīng)驗，建議采用OSPF做為*網(wǎng)絡(luò)的主用動態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF的特征如下：通過維護一個鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法。使用Hello包來建立和維護路由器之間的鄰接關(guān)系。使用域(area)來建立兩個層次的網(wǎng)絡(luò)拓?fù)?。具有域間路由聚合的能力。無類(classless)協(xié)議。通過選舉指派路由器(Design

27、edRouter)來代替網(wǎng)絡(luò)廣播。具有認(rèn)證的能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度,變化被立即廣播到網(wǎng)絡(luò)中的每一個路由器。每個路由器計算到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹(SPF樹)。下圖是OSPF分Area的狀態(tài)。OSPFArea的分界處在路由器上，如圖所示，一些接口在一個Area內(nèi)，一些接口在其它Area內(nèi)，當(dāng)一個OSPF路由器的接口分布在多個Area內(nèi)時，這個路由器就被稱為邊界路由器(ABR)。每個路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有

28、區(qū)域必須與Area0相鄰接。在ABR(區(qū)域邊界路由器，AreaBorderRouter)上定義了兩個區(qū)域之間的邊界。ABR與Area0和另一個非主干區(qū)域至少分別有一個接口。OSPF允許自治系統(tǒng)中的路由按照虛擬拓?fù)浣Y(jié)構(gòu)配置，而不需要按照物理互連結(jié)構(gòu)配置。不同區(qū)域可以利用虛擬鏈路連接。允許在無IP情況下，使用點到點鏈路，節(jié)省IP空間。OSPF是一個高效而復(fù)雜的協(xié)議，路由器運行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴展性和可管理性四個方面對OSPF進行介紹：層次能力通過areas支持層次化邊界在router內(nèi)鏈路狀態(tài)數(shù)據(jù)庫（LSDB）來自網(wǎng)絡(luò)或路由器LSA尺寸一64KBto5000

29、條鏈路的限制穩(wěn)定性依靠路由設(shè)計和實現(xiàn)大型網(wǎng)絡(luò)中使用呈現(xiàn)增強的趨勢擴展性使用擴展TLV編碼策略新擴展需開發(fā)時間管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗較多此次網(wǎng)絡(luò)建設(shè)項目，我們建議在各個區(qū)域之間開始部署OSPF動態(tài)路由協(xié)議。因為接入交換機多數(shù)為二層交換機，無法一次實現(xiàn)路由到用戶邊界的改造，所以此次僅將各個區(qū)域的核心交換開啟路由進程，今后可逐步實現(xiàn)全網(wǎng)的路由建設(shè)。各個區(qū)域在本次設(shè)計中都部署高性能三層交換機，這些交換機需具備完整的路由支持功能。區(qū)域間核心設(shè)備組建OSPF協(xié)議的骨干area，未來在大范圍部署動態(tài)路由協(xié)議時，可考慮將各個廠區(qū)劃分為areal,area2等等，可以充分做到基于area的路由匯總和

30、控制。互聯(lián)網(wǎng)區(qū)域可按照需要，適當(dāng)采用靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通。未來可逐漸增加路由的范圍，逐步演變?yōu)槁酚傻接脩暨吔绲男问健?16設(shè)備選型建議41.61華為產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機華為S12808背板帶寬：32Tbps;包轉(zhuǎn)發(fā)率：9600Mpps;8個業(yè)務(wù)槽位；支持基于Layer2、Layer3、Layer4優(yōu)先級等的組合流分類支；電源功率：V10800W；2華為S9306背板帶寬:6Tbps;包轉(zhuǎn)發(fā)率：1152Mpps;擴展模塊：6個業(yè)務(wù)槽位；支持基于Layer2協(xié)議；安全管理：802.1X認(rèn)證1生活區(qū)寬帶網(wǎng)核心交換機匯聚交換機華為S632424個GES

31、FP/10GESFP+端口，雙電源槽位，含USB接口，交流供電；轉(zhuǎn)發(fā)性能：715M;交換容量:960G;2華為S532420個10/100/1000Base-T,4個千兆Combo口分交流供電和直流供電兩種機型，支持RPS12V冗余電源，支持USB口，交換容量48G144162華三產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機H3CS12508機箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3CS10508機箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)核心交換機匯聚交換機H3CS7506E機箱，

32、雙SalienceVI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3CS5500H3CS5500-52C-EI-以太網(wǎng)交換機主機(48GE+4SFPCombo+2Slots)，4個單模SFP模塊14安全系統(tǒng)421系統(tǒng)設(shè)計目標(biāo)本次*網(wǎng)絡(luò)改造項目建設(shè)目標(biāo)是通過建立完善的安全體系，在網(wǎng)絡(luò)安全，主機安全和應(yīng)用安全三個層面上，搭建一套立體的安全架構(gòu)。這樣可以實現(xiàn)抵御各個層面的攻擊，防止病毒入侵等功能。同時進行主機的風(fēng)險評估和安全加固服務(wù)，提前屏蔽漏洞風(fēng)險。并通過安全管理平臺實現(xiàn)安全審計功能，做到事件追蹤。422系統(tǒng)設(shè)計原則4221整體性原則建設(shè)*安全系統(tǒng)時應(yīng)充分考慮各個層面的因素，總體規(guī)劃

33、各個出入口網(wǎng)關(guān)的安全策略。本次*網(wǎng)絡(luò)改造項目充分考慮各個環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)等，它們在網(wǎng)絡(luò)安全設(shè)計中是非常重要的。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。4222適應(yīng)性及靈活性原則隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，對網(wǎng)絡(luò)安全策略的需求會不斷變化，所以本次部署的安全策略必須能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及安全需求的變化而變化，要做到容易適應(yīng)、容易修改。422.3.一致性原則一致性原則只要指安全策略的部署應(yīng)與其他系統(tǒng)的實施工作同時進行，方案的整體安全架構(gòu)要與網(wǎng)絡(luò)平臺結(jié)構(gòu)相結(jié)合。安全系統(tǒng)的設(shè)計思想應(yīng)該貫穿在整個網(wǎng)絡(luò)平臺設(shè)計中，體現(xiàn)整體平臺的一致安全性。4224需求、風(fēng)險、代價平衡的原則對網(wǎng)

34、絡(luò)要進行實際的研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等）并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險以及付出的代價進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施,確定系統(tǒng)的安全策略。4225易操作性原則安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性；同時措施的采用不能影響系統(tǒng)的正常運行。4226多重保護原則本次*安全系統(tǒng)要建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。紅？.？.？.經(jīng)濟性原則在滿足*系統(tǒng)安全需求的前提下，選用經(jīng)濟實用的軟硬件設(shè)備，以便節(jié)省投資，即選用高性能價格比的設(shè)備；同時，應(yīng)該充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用

35、潛力，盡可能以最低成本來完成安全系統(tǒng)建設(shè)。4.23.安全體系結(jié)構(gòu)*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分示意圖如下：*網(wǎng)絡(luò)系統(tǒng)安全區(qū)域劃分如上圖所示，*網(wǎng)絡(luò)系統(tǒng)劃分為多個安全區(qū)域，分別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心服務(wù)器區(qū)域和核心交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪問Internet,部分設(shè)備也可由Internet訪問，但均不可由公網(wǎng)直接路由到，安全級別為中；管理網(wǎng)接入求負(fù)責(zé)公司二級接入網(wǎng)絡(luò)同中心服務(wù)器及出口區(qū)域的數(shù)據(jù)交互，安全級別為高；中心服務(wù)器區(qū)域設(shè)備為*核心數(shù)據(jù)，在公網(wǎng)不可以訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后訪問特定服務(wù)，安全級別最高。接入層的安全級別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的Int

36、ernet接入終端的安全級別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，安全級別較高。424子系統(tǒng)規(guī)劃4241網(wǎng)絡(luò)隔離系統(tǒng)1.出口防火墻通過部署兩臺千兆出口防火墻實現(xiàn)Internet與*內(nèi)網(wǎng)的隔離。兩臺防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)基本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級；公網(wǎng)到備內(nèi)網(wǎng)只針對DMZ區(qū)域開放相應(yīng)端口（如80）。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心服務(wù)器通訊的需求，在出口防火墻上對這些需求打開相應(yīng)的IP和端口。2.內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺防火墻采用雙活方式工

37、作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實現(xiàn)數(shù)據(jù)流的動態(tài)分擔(dān)。實現(xiàn)安全的同時兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機的IP與服務(wù)端口，其他訪問一律禁止。4242入侵檢測系統(tǒng)*網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)（IPS）。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺IPS設(shè)備。可監(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對DMZ區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對核心內(nèi)網(wǎng)的數(shù)據(jù)交互。4243漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，發(fā)現(xiàn)并修正存在的弱點和漏洞。漏洞掃瞄系

38、統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。針對本系統(tǒng)的網(wǎng)絡(luò)設(shè)計，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對待評估系統(tǒng)進行訪問。漏洞掃描系統(tǒng)部署后，將會對*的各個業(yè)務(wù)系統(tǒng)以及安全系統(tǒng)設(shè)備進行掃描，根據(jù)掃描評估結(jié)果可以及時發(fā)現(xiàn)系統(tǒng)漏洞并及時采取措施。4244安管平臺系統(tǒng)安全管理審計工作作為安全體系的重要組成部分，需要部署安全管理平臺系統(tǒng)。其中安全管理平臺服務(wù)器部署在*核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護，外網(wǎng)用戶不允許訪問該服務(wù)器。被管對象和安全管理平臺服務(wù)器有數(shù)據(jù)傳輸，它們之間要路由可達。本次安全管理平臺需要管理重要服務(wù)器和所有安全設(shè)備，收集

39、日志后并做出分析，分出告警級別。也可以通過聲光電或郵件、短信等方式報警，及時提醒管理員。4245防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進行設(shè)計和考慮。通過分析*網(wǎng)絡(luò)系統(tǒng)的特點，可以總結(jié)病毒感染的途徑如下：部分服務(wù)器如windows平臺容易受到病毒攻擊；公司內(nèi)部員工若有訪問互聯(lián)網(wǎng)的權(quán)限，則可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP等流量把病毒和惡意的移動代碼帶入網(wǎng)站；通過U盤傳播病毒；各種蠕蟲病毒主動地通過網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護及病毒監(jiān)控。本次

40、方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)服務(wù)可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實現(xiàn)對系統(tǒng)中的關(guān)鍵服務(wù)器以及內(nèi)部終端進行病毒防護，嚴(yán)防病毒感染關(guān)鍵服務(wù)器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。4246統(tǒng)一用戶/身份管理用戶是IT系統(tǒng)中各類活動的實體，如人、組織、虛擬團隊等。用戶管理是指在IT系統(tǒng)中對用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是基礎(chǔ)，用戶授權(quán)和認(rèn)證是之上的服務(wù)。身份是一個實體區(qū)別于其它實體的特性，IT系統(tǒng)中的身份通常指一個人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實體的抽象，是屬于一個特定的實體的

41、屬性的集合。身份屬性具有一些特點：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產(chǎn)生和維護身份屬性的過程，也是管理不同實體之間關(guān)系的能力。身份管理(IdentityManagement)是用戶管理(UserAdministration)的一部分。統(tǒng)一用戶管理(UUM)就是對不同的應(yīng)用系統(tǒng)進行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺提供一個單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時經(jīng)過統(tǒng)一用戶管理平臺認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時統(tǒng)一用戶管理平臺還提供對長時間無應(yīng)用操作的超時重認(rèn)證功能，更加可靠的保證安全。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及安

42、全性能更高的CA、USBKey等，使用戶在使用統(tǒng)一身份認(rèn)證平臺上有更靈活的選擇。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持LDAP/AD協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的安全、可靠。4247單點登錄單點登錄(SSO,SingleSign-on)是一種方便用戶訪問多個系統(tǒng)的技術(shù)，用戶只需在登錄時進行一次注冊，就可以在多個系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點登錄的實質(zhì)就是安全上下文(SecurityContext)或憑證(Credential)在多個應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時，客戶端軟件根據(jù)用戶的憑證(例如用戶名和密碼)為用戶建立一個安全上下文，安全上下文包含用于驗證用戶的安全信息，系統(tǒng)用這個安全上下文和安全策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。目前業(yè)界已有很多產(chǎn)品支持SSO，但各家SSO產(chǎn)品的實現(xiàn)方式也不盡相同。如通過Cookie記錄認(rèn)證信息，通過Session共享認(rèn)證信息。Cookie是一種客戶端機制，它存儲的內(nèi)容主要包括：名字、值、過期時間、路徑和域，路徑與域合在一起就構(gòu)成了Cookie的作用范圍，因此用Cookie方式可實現(xiàn)SSO，但域名必須相同；Session是一種服務(wù)器端機制，當(dāng)客戶端訪問服務(wù)器時，服務(wù)器為客戶端創(chuàng)建一個惟一的SessionlD，以使在整個