**網(wǎng)絡(luò)改造工程規(guī)劃方案 -PAGE20-企業(yè)網(wǎng)絡(luò)改造規(guī)劃方案2023年8月

目錄第1章. 工程概述 21.1. 工程背景 21.2. 工程建設(shè)需求 21.3. 建設(shè)目標(biāo) 3第2章. 系統(tǒng)規(guī)劃要求 42.1. 高可靠要求 42.2. 高性能要求 42.3. 易管理性要求 42.4. 平安性要求 42.5. 可擴(kuò)展性要求 52.6. 實(shí)用性和先進(jìn)性要求 52.7. 經(jīng)濟(jì)性要求 5第3章. 系統(tǒng)總體設(shè)計(jì) 6第4章. 根底平臺(tái)詳細(xì)規(guī)劃 94.1. 網(wǎng)絡(luò)系統(tǒng) 94.1.1. 系統(tǒng)設(shè)計(jì)目標(biāo) 94.1.2. 系統(tǒng)設(shè)計(jì)原那么 94.1.3. 整體網(wǎng)絡(luò)規(guī)劃 94.1.4. 分區(qū)設(shè)計(jì)詳解 114.1.5. 網(wǎng)絡(luò)協(xié)議設(shè)計(jì) 164.1.6. 設(shè)備選型建議 214.2. 平安系統(tǒng) 224.2.1. 系統(tǒng)設(shè)計(jì)目標(biāo) 224.2.2. 系統(tǒng)設(shè)計(jì)原那么 224.2.3. 平安體系結(jié)構(gòu) 234.2.4. 子系統(tǒng)規(guī)劃 254.2.5. 設(shè)備選型建議 29

工程概述工程背景隨著**公司信息技術(shù)開展，作為信息載體的網(wǎng)絡(luò)系統(tǒng)存在問題日益嚴(yán)重：網(wǎng)絡(luò)負(fù)載加大、網(wǎng)絡(luò)帶寬缺乏、網(wǎng)絡(luò)平安問題嚴(yán)重、應(yīng)用系統(tǒng)的增加，多網(wǎng)融合的需求迫切、網(wǎng)絡(luò)終端不受控等。這就需要對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造，以滿足**公司信息技術(shù)開展的需求。工程建設(shè)需求在利用**公司現(xiàn)有網(wǎng)絡(luò)資源的根底上加以改造，改造后的網(wǎng)絡(luò)需要滿足以下需求：根據(jù)用戶對(duì)業(yè)務(wù)系統(tǒng)的訪問要求，將現(xiàn)有各個(gè)業(yè)務(wù)子網(wǎng)在網(wǎng)絡(luò)核心層面進(jìn)行整合，以到達(dá)單個(gè)用戶可以訪問不同子網(wǎng)的資源，并通過一定的平安策略，確保各個(gè)子網(wǎng)之間的數(shù)據(jù)和業(yè)務(wù)平安。優(yōu)化現(xiàn)有網(wǎng)絡(luò)規(guī)模，設(shè)立網(wǎng)絡(luò)會(huì)聚節(jié)點(diǎn)，最終形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的會(huì)聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。實(shí)現(xiàn)整個(gè)公司網(wǎng)絡(luò)架構(gòu)分等級(jí)平安管理。建立結(jié)構(gòu)化網(wǎng)絡(luò)平安系統(tǒng)，所有用戶通過認(rèn)證方式接入公司網(wǎng)絡(luò)，訪問自己對(duì)應(yīng)的網(wǎng)絡(luò)資源或系統(tǒng)。實(shí)現(xiàn)網(wǎng)絡(luò)終端受控，重要崗位終端行為管理，保證終端標(biāo)準(zhǔn)化操作。實(shí)現(xiàn)效勞器及存儲(chǔ)資源的有效利用，建立核心效勞器區(qū)域的平安防護(hù)提高運(yùn)行能力。將現(xiàn)有主要效勞器，如產(chǎn)銷系統(tǒng)、新老線MES系統(tǒng)、設(shè)備管理系統(tǒng)、遠(yuǎn)程計(jì)量、人事、原料采購、調(diào)度、質(zhì)量等效勞器集中統(tǒng)一管理。實(shí)現(xiàn)L2系統(tǒng)在網(wǎng)絡(luò)中的隔離，保證L2系統(tǒng)平安穩(wěn)定運(yùn)行。建設(shè)目標(biāo)此次網(wǎng)絡(luò)改造規(guī)劃方案主要包括：網(wǎng)絡(luò)系統(tǒng)，平安系統(tǒng)的建設(shè)。各個(gè)系統(tǒng)的功能概述如下：網(wǎng)絡(luò)系統(tǒng)：盡量利用現(xiàn)有的網(wǎng)絡(luò)接入條件和機(jī)房環(huán)境條件，對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面改造升級(jí)，實(shí)現(xiàn)生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備網(wǎng)之間的融合接入，簡(jiǎn)化網(wǎng)絡(luò)邏輯架構(gòu)。平安系統(tǒng)：根據(jù)網(wǎng)絡(luò)總體架構(gòu)和平安需求，設(shè)計(jì)部署平安防御體系〔包括網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各層次〕，各業(yè)務(wù)系統(tǒng)的平安防范和效勞體系，并實(shí)現(xiàn)集中的平安管理。

系統(tǒng)規(guī)劃要求系統(tǒng)規(guī)劃要求如下：高可靠要求為保證業(yè)務(wù)系統(tǒng)不間斷正常運(yùn)行，整個(gè)系統(tǒng)應(yīng)有足夠的冗余，設(shè)備發(fā)生故障時(shí)能以熱備份、熱切換和熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)。可靠性還應(yīng)充分考慮系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障，網(wǎng)絡(luò)核心和重點(diǎn)單元設(shè)備支持雙機(jī)備份。高性能要求核心網(wǎng)絡(luò)提供可保證的效勞質(zhì)量和充足的帶寬，以適應(yīng)大量數(shù)據(jù)傳輸包括多媒體信息的傳輸。整個(gè)系統(tǒng)在國(guó)內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的開展能力，以適應(yīng)未來網(wǎng)絡(luò)技術(shù)的開展。易管理性要求考慮到系統(tǒng)建設(shè)后期的維護(hù)和管理的需要，在方案設(shè)計(jì)中充分考慮各個(gè)設(shè)備和系統(tǒng)的可管理性，并可以滿足用戶個(gè)性化管理定制的需要。網(wǎng)站各系統(tǒng)易于管理，易于維護(hù)，操作簡(jiǎn)單，易學(xué)，易用，便于進(jìn)行配置和發(fā)現(xiàn)故障。平安性要求對(duì)于內(nèi)部網(wǎng)絡(luò)以及外部訪問的平安必須高度重視，設(shè)計(jì)部署可靠的系統(tǒng)平安解決方案，防止平安隱患。設(shè)計(jì)采取防攻擊、防篡改等技術(shù)措施。制定平安應(yīng)急預(yù)案。管理和技術(shù)并重，全方位構(gòu)建整個(gè)平安保障體系?？蓴U(kuò)展性要求對(duì)**信息化建設(shè)規(guī)劃要長(zhǎng)遠(yuǎn)考慮，不但滿足當(dāng)前需要，并在擴(kuò)充模塊后滿足可預(yù)見需求，考慮本期系統(tǒng)應(yīng)用和今后網(wǎng)絡(luò)的開展，便于向更新技術(shù)的升級(jí)與銜接。留有擴(kuò)充余量，包括端口數(shù)和帶寬升級(jí)能力。實(shí)用性和先進(jìn)性要求系統(tǒng)建設(shè)首先要從系統(tǒng)的實(shí)用性角度出發(fā)，未來的信息傳輸都將依賴于數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)，所以系統(tǒng)設(shè)計(jì)必須具有很強(qiáng)的實(shí)用性，滿足不同用戶信息效勞的實(shí)際需要，具有很高的性能價(jià)格比，能為多種應(yīng)用系統(tǒng)提供強(qiáng)有力的支持平臺(tái)。經(jīng)濟(jì)性要求本次系統(tǒng)建設(shè)中，要充分考慮原有系統(tǒng)資源的有效利用，發(fā)揮原有設(shè)備資源的價(jià)值。要本著以最少的建設(shè)本錢，最少的改造本錢，持續(xù)獲得當(dāng)期及未來建設(shè)的最大利益。

系統(tǒng)總體設(shè)計(jì)此方案設(shè)計(jì)將遵循先進(jìn)性、實(shí)用性、可靠性、易管理性、平安性、擴(kuò)展性、經(jīng)濟(jì)性的原那么，為實(shí)現(xiàn)**數(shù)據(jù)集中處理的方式，構(gòu)建統(tǒng)一融合的網(wǎng)絡(luò)系統(tǒng)，能支持全公司范圍內(nèi)的高可靠實(shí)時(shí)網(wǎng)絡(luò)連接。依據(jù)**網(wǎng)絡(luò)改造建設(shè)的需求，本次方案設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)系統(tǒng)的總體示意圖如下：**網(wǎng)絡(luò)改造總體拓?fù)鋱D 注：圖中橙色字體的設(shè)備為此次新增設(shè)備。具體描述：網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)整體網(wǎng)絡(luò)結(jié)構(gòu)按照不同的平安級(jí)別，主要分為出口區(qū)域、DMZ區(qū)域、中心效勞器集群區(qū)域、核心交換區(qū)域、生產(chǎn)網(wǎng)接入?yún)^(qū)域、能源網(wǎng)接入?yún)^(qū)域、遠(yuǎn)程計(jì)量網(wǎng)接入?yún)^(qū)域及其他網(wǎng)絡(luò)接入?yún)^(qū)域。作為整個(gè)網(wǎng)絡(luò)的核心業(yè)務(wù)區(qū)域，采用兩臺(tái)高端核心交換機(jī)雙機(jī)熱備的方式，保證核心業(yè)務(wù)的正常開展。同時(shí)，依據(jù)業(yè)務(wù)的重要程度對(duì)全廠網(wǎng)絡(luò)進(jìn)行分區(qū)、并進(jìn)行可靠平安隔離，防止重要程度較低的業(yè)務(wù)對(duì)重要程度高的核心業(yè)務(wù)造成影響。生產(chǎn)網(wǎng)接入?yún)^(qū)域，主要以現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備。根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)會(huì)聚節(jié)點(diǎn)，形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的會(huì)聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。上述七個(gè)會(huì)聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問的功能。規(guī)劃統(tǒng)一的中心效勞器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的效勞器，劃到同一邏輯區(qū)域?？紤]到新的核心交換的高性能，將所有的效勞器直接接到核心交換，通過核心區(qū)域的平安設(shè)備來保證訪問平安。使全廠的所有客戶終端都通過核心交換來對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪問。設(shè)計(jì)新的互聯(lián)網(wǎng)出口區(qū)域，設(shè)置出口防火墻、上網(wǎng)行為管理、負(fù)載均衡等平安設(shè)備，保證全廠用戶的上網(wǎng)平安。原有生活區(qū)用戶不再和辦公區(qū)使用同一出口上網(wǎng)，生活區(qū)用戶使用單獨(dú)的出口設(shè)備連接互聯(lián)網(wǎng)。構(gòu)建DMZ區(qū)域，將WWW、DNS、MAIL等需要同時(shí)效勞內(nèi)外網(wǎng)用戶的效勞器放到該區(qū)域，設(shè)置VPN、負(fù)載均衡等設(shè)備保證效勞平安。能源網(wǎng)和遠(yuǎn)程計(jì)量網(wǎng)由于是獨(dú)立運(yùn)行的物理網(wǎng)絡(luò)，不在此次網(wǎng)絡(luò)改在的范圍。但此次我們新增的核心交換，在性能、穩(wěn)定性、處理能力方面，均有能力負(fù)載未來其他多個(gè)網(wǎng)絡(luò)的融合。平安系統(tǒng)設(shè)計(jì)本次**網(wǎng)絡(luò)改造工程建設(shè)將考慮如何建設(shè)多層次、縱深防御系統(tǒng)。另外，要加強(qiáng)平安管理工作和平安應(yīng)急工作。通過部署防火墻保證網(wǎng)絡(luò)邊界的平安，保證網(wǎng)絡(luò)層的平安；部署入侵檢測(cè)系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)平安狀態(tài)的實(shí)時(shí)監(jiān)控；部署防病毒系統(tǒng)防止病毒入侵，保證主機(jī)的平安；部署網(wǎng)絡(luò)監(jiān)控系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控；部署抗攻擊系統(tǒng)抵御來自外界Internet的DoS/DDoS攻擊；部署漏洞掃描系統(tǒng)對(duì)系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備的脆弱性進(jìn)行分析；部署時(shí)鐘系統(tǒng)使系統(tǒng)的時(shí)鐘同時(shí)；部署單點(diǎn)登錄系統(tǒng)方便用戶在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份；部署統(tǒng)一認(rèn)證系統(tǒng)對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺(tái)提供一個(gè)單一的用戶登陸入口；部署平安管理平臺(tái)實(shí)現(xiàn)系統(tǒng)內(nèi)平安事件的統(tǒng)一管理。我們要通過相應(yīng)的平安技術(shù)建設(shè)一套包含物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層和管理層等多個(gè)方面的完整網(wǎng)絡(luò)平安體系。

根底平臺(tái)詳細(xì)規(guī)劃網(wǎng)絡(luò)系統(tǒng)系統(tǒng)設(shè)計(jì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)建設(shè)的總體目標(biāo)，是要建立統(tǒng)一融合的、覆蓋全公司范圍內(nèi)的、高速高可靠的網(wǎng)絡(luò)平臺(tái)，以支持?jǐn)?shù)據(jù)集中處理的運(yùn)行模式。系統(tǒng)設(shè)計(jì)原那么網(wǎng)絡(luò)系統(tǒng)包括四大局部，一是出口區(qū)域，實(shí)現(xiàn)公司用戶的上網(wǎng)需求；二是效勞器區(qū)域，對(duì)**現(xiàn)有業(yè)務(wù)系統(tǒng)的主機(jī)存儲(chǔ)進(jìn)行統(tǒng)一管理；三是核心交換區(qū)域，實(shí)現(xiàn)全公司所有功能區(qū)域的互聯(lián)互通；四是二級(jí)接入?yún)^(qū)域，對(duì)整個(gè)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行重新規(guī)劃，形成新的會(huì)聚節(jié)點(diǎn)，將生產(chǎn)網(wǎng)、寬帶網(wǎng)、設(shè)備管理、人事系統(tǒng)統(tǒng)一融合到新的管理網(wǎng)絡(luò)中，實(shí)現(xiàn)單一終端對(duì)所有業(yè)務(wù)系統(tǒng)的統(tǒng)一訪問。網(wǎng)絡(luò)系統(tǒng)有良好的擴(kuò)展性，保證網(wǎng)絡(luò)在建設(shè)開展過程中業(yè)務(wù)和系統(tǒng)規(guī)模能夠不斷地?cái)U(kuò)大。網(wǎng)絡(luò)線路及核心、關(guān)鍵設(shè)備有冗余設(shè)計(jì)。核心設(shè)備和關(guān)鍵設(shè)備保證高性能、高可靠性、大數(shù)據(jù)吞吐能力。網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)充分考慮系統(tǒng)的平安性。整體網(wǎng)絡(luò)規(guī)劃按照結(jié)構(gòu)化、模塊化的設(shè)計(jì)原那么，實(shí)現(xiàn)高可用、易擴(kuò)展、易管理的建設(shè)目標(biāo)。網(wǎng)絡(luò)整體拓?fù)淙缦铝袌D所示： 注：圖中橙色字體的設(shè)備為此次新增設(shè)備。按照“模塊化〞設(shè)計(jì)原那么，需要對(duì)**整體網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行分區(qū)設(shè)計(jì)。根據(jù)**公司業(yè)務(wù)情況，各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：核心交換區(qū)：此區(qū)域用于實(shí)現(xiàn)各分區(qū)之間的數(shù)據(jù)交互，是數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)的核心樞紐。出口區(qū)域：互聯(lián)網(wǎng)出口，公司員上網(wǎng)，對(duì)外發(fā)布公司信息，承載電子商務(wù)等業(yè)務(wù)系統(tǒng)。中心效勞器區(qū)：此區(qū)域部署核心業(yè)務(wù)效勞器，包括MES、OA、人事、平安管理等應(yīng)用系統(tǒng)。網(wǎng)絡(luò)會(huì)聚區(qū)：實(shí)現(xiàn)公司辦公樓、各分廠等會(huì)聚網(wǎng)絡(luò)接入，二級(jí)單位可以通過該接入?yún)^(qū)域?qū)崿F(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的訪問。接入交換區(qū)：全廠接入設(shè)備連接區(qū)域，該區(qū)域用于連接終端用戶和公司核心交換網(wǎng)絡(luò)，是網(wǎng)絡(luò)中最廣泛的網(wǎng)絡(luò)設(shè)備。分區(qū)設(shè)計(jì)詳解核心交換區(qū)設(shè)計(jì)此次網(wǎng)絡(luò)改造，建議新增兩臺(tái)高性能的核心交換機(jī)作為**的網(wǎng)絡(luò)核心。核心層作為整個(gè)**網(wǎng)絡(luò)的核心處理層，連接各分布層設(shè)備和**核心效勞器區(qū)，核心層應(yīng)采用兩臺(tái)高性能的三層交換機(jī)采用互為冗余備份的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心的高速數(shù)據(jù)交換機(jī)，同時(shí)，兩臺(tái)核心設(shè)備與分布層各設(shè)備連接，保證每臺(tái)分布層設(shè)備分別與兩臺(tái)核心層設(shè)備具有網(wǎng)絡(luò)連接，通過鏈路的冗余和設(shè)備冗余的設(shè)計(jì)，保證整個(gè)核心層的高可靠性。兩臺(tái)核心設(shè)備之間應(yīng)至少保證2Gbps全雙工的速率要求，并能平滑升級(jí)到10Gbps。核心區(qū)是整個(gè)平臺(tái)的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。否那么，一旦核心模塊出現(xiàn)異常而不能及時(shí)恢復(fù)的話，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大?；ヂ?lián)網(wǎng)出口區(qū)設(shè)計(jì)**與外網(wǎng)的出口區(qū)域，目前是通過建立獨(dú)立的寬帶網(wǎng)，實(shí)現(xiàn)辦公區(qū)和生活區(qū)通過統(tǒng)一出口訪問外網(wǎng)的。在此次網(wǎng)絡(luò)改造中，我們方案把生活區(qū)上網(wǎng)與辦公區(qū)上網(wǎng)隔離開，通過不同的出口訪問外網(wǎng)。改造后的生活區(qū)網(wǎng)絡(luò)拓?fù)浣Y(jié)果如下列圖所示： 如上圖所示，此次生活區(qū)的網(wǎng)絡(luò)改造會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)平安管理設(shè)備，通過單獨(dú)的出口設(shè)備連接到互聯(lián)網(wǎng)。 改在后的廠區(qū)互聯(lián)網(wǎng)出口區(qū)域，如下列圖所示： 如上圖所示，工作區(qū)的網(wǎng)絡(luò)改造同樣會(huì)增加新的防火墻和負(fù)載均衡設(shè)備，以及上網(wǎng)行為管理等平安設(shè)備，作為生活區(qū)的網(wǎng)絡(luò)平安管理設(shè)備，通過單獨(dú)的出口設(shè)備之間連接到互聯(lián)網(wǎng)。 出口區(qū)域除了網(wǎng)絡(luò)出口設(shè)備外，還包括一個(gè)DMZ區(qū)域，用于將WWW、DNS、MAIL等，需要同時(shí)效勞內(nèi)、外網(wǎng)用戶的效勞器放到該區(qū)域，中心效勞器區(qū)設(shè)計(jì)規(guī)劃統(tǒng)一的中心效勞器集群區(qū)域，將現(xiàn)有生產(chǎn)網(wǎng)、設(shè)備管理系統(tǒng)、人事系統(tǒng)中運(yùn)行的效勞器，劃到同一邏輯區(qū)域。該區(qū)域物理上為一個(gè)區(qū)域接入到核心，而邏輯上可以再劃分為多個(gè)業(yè)務(wù)應(yīng)用區(qū)，根據(jù)業(yè)務(wù)屬性的不同可以劃分為生產(chǎn)效勞器區(qū)〔如ERP等〕、辦公效勞器區(qū)〔如OA等〕、管理效勞器區(qū)〔如IT運(yùn)維、管理等系統(tǒng)〕等。考慮到新的核心交換的高性能，將所有的效勞器直接接到核心交換，通過核心區(qū)域的平安設(shè)備來保證訪問平安。使全廠的所有客戶終端都通過核心交換來對(duì)各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)一訪問。網(wǎng)絡(luò)會(huì)聚區(qū)設(shè)計(jì)網(wǎng)絡(luò)會(huì)聚區(qū)域，根據(jù)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及客戶需求，設(shè)立新的網(wǎng)絡(luò)會(huì)聚節(jié)點(diǎn)，形成以銷售部、自動(dòng)化部自動(dòng)化車間、軋鋼總降、一煉、二煉、一軋、二軋等七個(gè)部位為主的會(huì)聚點(diǎn)，覆蓋全公司、部門、車間的生產(chǎn)區(qū)域。該區(qū)域的網(wǎng)絡(luò)設(shè)備主要以現(xiàn)有的生產(chǎn)網(wǎng)會(huì)聚設(shè)備為主、另外融合了寬帶網(wǎng)和設(shè)備網(wǎng)的會(huì)聚設(shè)備，同時(shí)考慮現(xiàn)有會(huì)聚設(shè)備性能不能滿足需求的情況，新增高新能的會(huì)聚設(shè)備。會(huì)聚層設(shè)備通過雙鏈路的方式與核心層兩臺(tái)核心交換設(shè)備相連，同時(shí)，為保障網(wǎng)絡(luò)的健壯性，以及便于各個(gè)分廠區(qū)之間數(shù)據(jù)交互，各個(gè)分廠區(qū)的會(huì)聚交換機(jī)之間也有線路直連。各會(huì)聚節(jié)點(diǎn)與核心層的連接，應(yīng)全部采用1000Mbps或1000Mbps以上的連接方式，分布層設(shè)備實(shí)現(xiàn)本區(qū)域內(nèi)的各Vlan的路由處理和平安限制。接入層局部 網(wǎng)絡(luò)會(huì)聚節(jié)點(diǎn)主要下聯(lián)現(xiàn)有的生產(chǎn)網(wǎng)接入設(shè)備，同時(shí)，將原寬帶網(wǎng)和設(shè)備網(wǎng)的接入設(shè)備融入，構(gòu)建統(tǒng)一的網(wǎng)絡(luò)接入平臺(tái)，不再重復(fù)建網(wǎng)。新的網(wǎng)絡(luò)平臺(tái)融合了，生產(chǎn)網(wǎng)的數(shù)據(jù)訪問和外網(wǎng)互聯(lián)的需求，使用同一終端即可實(shí)現(xiàn)內(nèi)外網(wǎng)同時(shí)訪問的功能。接入層設(shè)備與分布層設(shè)備通過1000M光纖或雙絞線的方式連接，在用戶量較少的分節(jié)點(diǎn)可以采用100M上聯(lián)方式，與各終端用戶連接一般采用100M或者1000M雙絞線的方式。生產(chǎn)網(wǎng)中其他辦公樓及分廠區(qū)的網(wǎng)絡(luò)接入，通過自動(dòng)化車間和軋鋼總降等會(huì)聚節(jié)點(diǎn)，接入到新的數(shù)據(jù)網(wǎng)絡(luò)中。各個(gè)分廠區(qū)的網(wǎng)絡(luò)接入情況如下列圖所示：自動(dòng)化車間會(huì)聚網(wǎng)絡(luò)拓?fù)鋱D軋鋼總降會(huì)聚網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)協(xié)議設(shè)計(jì)IP地址和VLAN規(guī)劃IP地址是網(wǎng)絡(luò)設(shè)計(jì)工作中重要的一環(huán)，使用IP地址不當(dāng)會(huì)造成路由表龐大、難以部署平安控制、地址重疊問題、地址空間耗盡等問題，會(huì)給網(wǎng)絡(luò)運(yùn)行帶來很大麻煩。為了讓**網(wǎng)絡(luò)建設(shè)工程順利進(jìn)行，我們建議**網(wǎng)絡(luò)采用以下IP地址規(guī)劃原那么進(jìn)行適當(dāng)改良：為公司各個(gè)二級(jí)單位、應(yīng)用業(yè)務(wù)、數(shù)據(jù)中心采用統(tǒng)一規(guī)劃，統(tǒng)一分配，統(tǒng)一管理的地址設(shè)計(jì)原那么，防止重疊地址的出現(xiàn)。設(shè)定專門流程和人員對(duì)全公司網(wǎng)絡(luò)地址進(jìn)行記錄和權(quán)限管理。盡可能采用私有地址進(jìn)行IP地址分配。私有地址就是我們熟知的三類網(wǎng)絡(luò)地址，分別是A類網(wǎng)中的~55范圍，B類網(wǎng)中的~55范圍，C類網(wǎng)中的～55范圍。整網(wǎng)地址規(guī)劃思路可按照以下方法設(shè)計(jì)，如10.X.Y.Z，X為不同廠區(qū)進(jìn)行標(biāo)示，Y為該廠區(qū)內(nèi)不同業(yè)務(wù)或應(yīng)用進(jìn)行標(biāo)示，Z為主機(jī)地址位。同一個(gè)區(qū)域內(nèi)部，使用連續(xù)的IP子網(wǎng)進(jìn)行IP地址分配。例如，廠區(qū)A內(nèi)需要有4個(gè)C類網(wǎng)絡(luò)，為了滿足地址會(huì)聚需要，應(yīng)該為連續(xù)的C類網(wǎng)絡(luò)。例如：/24、/24、/24和/244個(gè)網(wǎng)絡(luò)可以會(huì)聚成/22。在定義測(cè)試區(qū)平安策略時(shí)，不用將4個(gè)網(wǎng)段同時(shí)定義成ACL，使用一條ACL就可以包括全部網(wǎng)絡(luò)。使用可變長(zhǎng)掩碼規(guī)劃網(wǎng)絡(luò)地址，根據(jù)IP地址使用對(duì)象的特點(diǎn)，部署不同長(zhǎng)度子網(wǎng)掩碼。例如，應(yīng)用網(wǎng)段的IP地址，可以采用C類網(wǎng)地址，掩碼為24位；區(qū)域設(shè)備之間的互連地址可以采用29位掩碼。不同主機(jī)實(shí)際網(wǎng)關(guān)IP地址與HSRP使用的IP地址應(yīng)該在整個(gè)數(shù)據(jù)中心統(tǒng)一，使用相同的方式配置，例如：整個(gè)廠區(qū)均采用X.X.X.1作為主機(jī)實(shí)際網(wǎng)關(guān)IP地址，HSRP采用X.X.X.254為HSRP網(wǎng)關(guān)地址。網(wǎng)絡(luò)互連地址采用IP地址網(wǎng)段的頭兩個(gè)可用地址，核心側(cè)設(shè)備接口配置奇數(shù)地址，邊緣側(cè)設(shè)備接口配置偶數(shù)地址。例如，設(shè)備A與設(shè)備B互連，采用/29網(wǎng)段為互連地址，該網(wǎng)段頭兩個(gè)可用地址為和，設(shè)備A為核心設(shè)備，配置奇數(shù)地址，設(shè)備B為邊緣設(shè)備，配置偶數(shù)地址。網(wǎng)絡(luò)設(shè)備配置環(huán)回地址〔32位掩碼地址〕，用于網(wǎng)絡(luò)管理和日志管理。VLAN主要用于將局域網(wǎng)環(huán)境劃分為多個(gè)邏輯網(wǎng)絡(luò)，從而降低播送風(fēng)帶來的影響，也可提高網(wǎng)絡(luò)可管理性和平安性。建議在此次網(wǎng)絡(luò)建設(shè)中可按照以下原那么對(duì)新建VLAN及原有VLAN進(jìn)行適當(dāng)調(diào)整和修改。VLANID的規(guī)劃可按照應(yīng)用業(yè)務(wù)、工作部門、廠區(qū)位置等方法定義，這里建議按照原有網(wǎng)絡(luò)規(guī)劃方法進(jìn)行。VLANID可以是2-4096任意數(shù)字，為了方便標(biāo)示和管理，建議ID與IP網(wǎng)段地址相關(guān)聯(lián)。如/24–VLAN10;/24—VLAN20;/24—VLAN30等。VLAN規(guī)劃防止重復(fù)，全網(wǎng)VLAN靜態(tài)手動(dòng)分配〔在根交換機(jī)〕，統(tǒng)一管理和記錄。動(dòng)態(tài)路由協(xié)議對(duì)一個(gè)大網(wǎng)絡(luò)來說，選擇一個(gè)適宜的路由協(xié)議是非常重要的，不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的，路由協(xié)議對(duì)網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時(shí)的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時(shí)的快速恢復(fù)、網(wǎng)絡(luò)的靈巧擴(kuò)展都有很重要的影響。目前存在的路由協(xié)議有：RIP(v1&v2)、OSPF、IGRP、EIGRP、IS-IS、BGP等，根據(jù)路由算法的性質(zhì)，它們可分為兩類：距離矢量(DistanceVector)協(xié)議(RIP/IGRP/EIGRP)和連接狀態(tài)(LinkState)協(xié)議(OSPF/IS-IS)?？捎糜诖笠?guī)模的網(wǎng)絡(luò)同時(shí)又基于標(biāo)準(zhǔn)的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議；采用同一種最短路徑算法〔Dijkstra〕?？紤]到產(chǎn)品對(duì)OSPF和IS-IS的支持的成熟性以及OSPF和IS-IS工程經(jīng)驗(yàn)，建議采用OSPF做為**網(wǎng)絡(luò)的主用動(dòng)態(tài)路由協(xié)議。作為鏈路狀態(tài)協(xié)議，OSPF的特征如下：通過維護(hù)一個(gè)鏈路狀態(tài)數(shù)據(jù)庫，使用基于Dijkstra的SPF路由算法。使用Hello包來建立和維護(hù)路由器之間的鄰接關(guān)系。使用域〔area〕來建立兩個(gè)層次的網(wǎng)絡(luò)拓?fù)洹＞哂杏蜷g路由聚合的能力。無類〔classless〕協(xié)議。通過選舉指派路由器〔DesignedRouter〕來代替網(wǎng)絡(luò)播送。具有認(rèn)證的能力。OSPF是一套鏈路狀態(tài)路由協(xié)議，路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，變化被立即播送到網(wǎng)絡(luò)中的每一個(gè)路由器。每個(gè)路由器計(jì)算到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)立以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含了形成路由表根底的最短路徑優(yōu)先樹〔SPF樹〕。下列圖是OSPF分Area的狀態(tài)。OSPFArea的分界處在路由器上，如下圖，一些接口在一個(gè)Area內(nèi)，一些接口在其它Area內(nèi)，當(dāng)一個(gè)OSPF路由器的接口分布在多個(gè)Area內(nèi)時(shí)，這個(gè)路由器就被稱為邊界路由器〔ABR〕。每個(gè)路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有區(qū)域必須與Area0相鄰接。在ABR〔區(qū)域邊界路由器，AreaBorderRouter〕上定義了兩個(gè)區(qū)域之間的邊界。ABR與Area0和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口。OSPF允許自治系統(tǒng)中的路由按照虛擬拓?fù)浣Y(jié)構(gòu)配置，而不需要按照物理互連結(jié)構(gòu)配置。不同區(qū)域可以利用虛擬鏈路連接。允許在無IP情況下，使用點(diǎn)到點(diǎn)鏈路，節(jié)省IP空間。OSPF是一個(gè)高效而復(fù)雜的協(xié)議，路由器運(yùn)行OSPF需要占用更多CPU資源。下面從層次能力、穩(wěn)定性、擴(kuò)展性和可管理性四個(gè)方面對(duì)OSPF進(jìn)行介紹：層次能力通過areas支持層次化邊界在router內(nèi)鏈路狀態(tài)數(shù)據(jù)庫〔LSDB〕來自網(wǎng)絡(luò)或路由器LSA尺寸—64KBto5000條鏈路的限制穩(wěn)定性依靠路由設(shè)計(jì)和實(shí)現(xiàn)大型網(wǎng)絡(luò)中使用呈現(xiàn)增強(qiáng)的趨勢(shì)擴(kuò)展性使用擴(kuò)展TLV編碼策略新擴(kuò)展需開發(fā)時(shí)間管理性企業(yè)網(wǎng)中大范圍使用可借鑒經(jīng)驗(yàn)較多此次網(wǎng)絡(luò)建設(shè)工程，我們建議在各個(gè)區(qū)域之間開始部署OSPF動(dòng)態(tài)路由協(xié)議。因?yàn)榻尤虢粨Q機(jī)多數(shù)為二層交換機(jī)，無法一次實(shí)現(xiàn)路由到用戶邊界的改造，所以此次僅將各個(gè)區(qū)域的核心交換開啟路由進(jìn)程，今后可逐步實(shí)現(xiàn)全網(wǎng)的路由建設(shè)。各個(gè)區(qū)域在本次設(shè)計(jì)中都部署高性能三層交換機(jī)，這些交換機(jī)需具備完整的路由支持功能。區(qū)域間核心設(shè)備組建OSPF協(xié)議的骨干area，未來在大范圍部署動(dòng)態(tài)路由協(xié)議時(shí)，可考慮將各個(gè)廠區(qū)劃分為area1，area2等等，可以充分做到基于area的路由匯總和控制?；ヂ?lián)網(wǎng)區(qū)域可按照需要，適當(dāng)采用靜態(tài)路由的方式完成園區(qū)網(wǎng)與外網(wǎng)的連通。未來可逐漸增加路由的范圍，逐步演變?yōu)槁酚傻接脩暨吔绲男问健?/p>

設(shè)備選型建議華為產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機(jī)華為S12808背板帶寬：32Tbps；包轉(zhuǎn)發(fā)率：9600Mpps；8個(gè)業(yè)務(wù)槽位；支持基于Layer2、Layer3、Layer4優(yōu)先級(jí)等的組合流分類支；電源功率：≤10800W；2華為S9306背板帶寬：6Tbps；包轉(zhuǎn)發(fā)率：1152Mpps；擴(kuò)展模塊：6個(gè)業(yè)務(wù)槽位；支持基于Layer2協(xié)議；平安管理：802.1x認(rèn)證1生活區(qū)寬帶網(wǎng)核心交換機(jī)會(huì)聚交換機(jī)華為S632424個(gè)GESFP/10GESFP+端口,雙電源槽位,含USB接口，交流供電；轉(zhuǎn)發(fā)性能:715M；交換容量:960G；2華為S532420個(gè)10/100/1000Base-T，4個(gè)千兆Combo口分交流供電和直流供電兩種機(jī)型,支持RPS12V冗余電源，支持USB口,交換容量48G14華三產(chǎn)品選型方案產(chǎn)品類型選型建議配置描述數(shù)量備注核心交換機(jī)H3CS12508機(jī)箱，主控板，8端口萬兆光口板，48端口千兆電口板，流量分析業(yè)務(wù)板，冗余電源2H3CS10508機(jī)箱，主控引擎，48口千兆電口板，48口千兆光口板，4端口萬兆光口板，防火墻業(yè)務(wù)板，冗余電源1生活區(qū)寬帶網(wǎng)核心交換機(jī)會(huì)聚交換機(jī)H3CS7506E機(jī)箱，雙SalienceVI引擎，2*24口千兆電口板，12口千兆光口板，冗余電源2H3CS5500H3CS5500-52C-EI-以太網(wǎng)交換機(jī)主機(jī)(48GE+4SFPCombo+2Slots)，4個(gè)單模SFP模塊14平安系統(tǒng)系統(tǒng)設(shè)計(jì)目標(biāo)本次**網(wǎng)絡(luò)改造工程建設(shè)目標(biāo)是通過建立完善的平安體系，在網(wǎng)絡(luò)平安，主機(jī)平安和應(yīng)用平安三個(gè)層面上，搭建一套立體的平安架構(gòu)。這樣可以實(shí)現(xiàn)抵御各個(gè)層面的攻擊，防止病毒入侵等功能。同時(shí)進(jìn)行主機(jī)的風(fēng)險(xiǎn)評(píng)估和平安加固效勞，提前屏蔽漏洞風(fēng)險(xiǎn)。并通過平安管理平臺(tái)實(shí)現(xiàn)平安審計(jì)功能，做到事件追蹤。系統(tǒng)設(shè)計(jì)原那么整體性原那么建設(shè)**平安系統(tǒng)時(shí)應(yīng)充分考慮各個(gè)層面的因素，總體規(guī)劃各個(gè)出入口網(wǎng)關(guān)的平安策略。本次**網(wǎng)絡(luò)改造工程充分考慮各個(gè)環(huán)節(jié)，包括設(shè)備、軟件、數(shù)據(jù)等，它們?cè)诰W(wǎng)絡(luò)平安設(shè)計(jì)中是非常重要的。只有從系統(tǒng)整體的角度去看待和分析才可能得到有效，可行的措施。適應(yīng)性及靈巧性原那么隨著互聯(lián)網(wǎng)技術(shù)的高速開展，對(duì)網(wǎng)絡(luò)平安策略的需求會(huì)不斷變化，所以本次部署的平安策略必須能夠隨著網(wǎng)絡(luò)等系統(tǒng)性能及平安需求的變化而變化，要做到容易適應(yīng)、容易修改。一致性原那么一致性原那么只要指平安策略的部署應(yīng)與其他系統(tǒng)的實(shí)施工作同時(shí)進(jìn)行，方案的整體平安架構(gòu)要與網(wǎng)絡(luò)平臺(tái)結(jié)構(gòu)相結(jié)合。平安系統(tǒng)的設(shè)計(jì)思想應(yīng)該貫穿在整個(gè)網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)中，表達(dá)整體平臺(tái)的一致平安性。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原那么對(duì)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究〔包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等〕，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承當(dāng)?shù)娘L(fēng)險(xiǎn)以及付出的代價(jià)進(jìn)行定性與定量相結(jié)合的分析，然后制定標(biāo)準(zhǔn)和措施，確定系統(tǒng)的平安策略。易操作性原那么平安措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了平安性；同時(shí)措施的采用不能影響系統(tǒng)的正常運(yùn)行。多重保護(hù)原那么本次**平安系統(tǒng)要建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的平安。經(jīng)濟(jì)性原那么在滿足**系統(tǒng)平安需求的前提下，選用經(jīng)濟(jì)實(shí)用的軟硬件設(shè)備，以便節(jié)省投資，即選用高性能價(jià)格比的設(shè)備；同時(shí)，應(yīng)該充分挖掘現(xiàn)有系統(tǒng)軟硬件設(shè)備的使用潛力，盡可能以最低本錢來完成平安系統(tǒng)建設(shè)。平安體系結(jié)構(gòu)**網(wǎng)絡(luò)系統(tǒng)平安區(qū)域劃分示意圖如下：**網(wǎng)絡(luò)系統(tǒng)平安區(qū)域劃分如上圖所示，**網(wǎng)絡(luò)系統(tǒng)劃分為多個(gè)平安區(qū)域，分別為：出口區(qū)域、DMZ區(qū)域、管理網(wǎng)接入?yún)^(qū)域、中心效勞器區(qū)域和核心交換區(qū)。其中，出口區(qū)域和DMZ區(qū)域設(shè)備可訪問Internet，局部設(shè)備也可由Internet訪問，但均不可由公網(wǎng)直接路由到，平安級(jí)別為中；管理網(wǎng)接入求負(fù)責(zé)公司二級(jí)接入網(wǎng)絡(luò)同中心效勞器及出口區(qū)域的數(shù)據(jù)交互，平安級(jí)別為高；中心效勞器區(qū)域設(shè)備為**核心數(shù)據(jù)，在公網(wǎng)不可以訪問，內(nèi)網(wǎng)用戶只能經(jīng)授權(quán)后訪問特定效勞，平安級(jí)別最高。 接入層的平安級(jí)別如上圖所示：管理網(wǎng)中，可以上外網(wǎng)的Internet接入終端的平安級(jí)別低；只能訪問管理網(wǎng)業(yè)務(wù)系統(tǒng)的接入終端，平安級(jí)別較高。子系統(tǒng)規(guī)劃網(wǎng)絡(luò)隔離系統(tǒng)出口防火墻通過部署兩臺(tái)千兆出口防火墻實(shí)現(xiàn)Internet與**內(nèi)網(wǎng)的隔離。兩臺(tái)防火墻一主一備，提高出口可靠性。出口防火墻劃分的內(nèi)外網(wǎng)之間的訪問策略為：內(nèi)網(wǎng)到公網(wǎng)根本不做限制，主要是考慮到內(nèi)網(wǎng)的上網(wǎng)終端上網(wǎng)需求，另有些設(shè)備需要到公網(wǎng)升級(jí)；公網(wǎng)到備內(nèi)網(wǎng)只針對(duì)DMZ區(qū)域開放相應(yīng)端口〔如80〕。部署在出口區(qū)域的設(shè)備如有和內(nèi)網(wǎng)核心效勞器通訊的需求，在出口防火墻上對(duì)這些需求翻開相應(yīng)的IP和端口。內(nèi)網(wǎng)防火墻通過內(nèi)網(wǎng)防火墻實(shí)現(xiàn)核心內(nèi)網(wǎng)區(qū)域之間的隔離。由于數(shù)據(jù)流較大，兩臺(tái)防火墻采用雙活方式工作，不同業(yè)務(wù)的數(shù)據(jù)流分別通過不同的防火墻，實(shí)現(xiàn)數(shù)據(jù)流的動(dòng)態(tài)分擔(dān)。實(shí)現(xiàn)平安的同時(shí)兼顧傳輸效率。部署內(nèi)網(wǎng)防火墻后，要針對(duì)業(yè)務(wù)的情況制訂特定的訪問策略，策略制定完成后只開放特定主機(jī)的IP與效勞端口，其他訪問一律禁止。入侵檢測(cè)系統(tǒng)**網(wǎng)絡(luò)系統(tǒng)需在網(wǎng)絡(luò)的關(guān)鍵位置部署入侵防御系統(tǒng)〔IPS〕。建議在網(wǎng)絡(luò)前端核心設(shè)備部署兩臺(tái)IPS設(shè)備?？杀O(jiān)控內(nèi)網(wǎng)與公網(wǎng)之間的數(shù)據(jù)交互、公網(wǎng)對(duì)DMZ區(qū)域的訪問數(shù)據(jù)、監(jiān)控接入/DMZ區(qū)域終端對(duì)核心內(nèi)網(wǎng)的數(shù)據(jù)交互。漏洞掃描系統(tǒng)為了防止網(wǎng)站被黑客入侵，需要在網(wǎng)絡(luò)系統(tǒng)中部署漏洞掃描系統(tǒng)，通過漏洞掃瞄系統(tǒng)可以定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行平安性分析，發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。漏洞掃瞄系統(tǒng)是管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解決問題的有力工具。針對(duì)本系統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)，我們將漏洞掃瞄系統(tǒng)部署在核心內(nèi)網(wǎng)管理區(qū)域，使漏洞掃描系統(tǒng)能夠盡量不受限制的對(duì)待評(píng)估系統(tǒng)進(jìn)行訪問。漏洞掃描系統(tǒng)部署后，將會(huì)對(duì)**的各個(gè)業(yè)務(wù)系統(tǒng)以及平安系統(tǒng)設(shè)備進(jìn)行掃描，根據(jù)掃描評(píng)估結(jié)果可以及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并及時(shí)采取措施。安管平臺(tái)系統(tǒng)平安管理審計(jì)工作作為平安體系的重要組成局部，需要部署平安管理平臺(tái)系統(tǒng)。其中平安管理平臺(tái)效勞器部署在**核心內(nèi)網(wǎng)管理區(qū)域，由防火墻提供保護(hù)，外網(wǎng)用戶不允許訪問該效勞器。被管對(duì)象和平安管理平臺(tái)效勞器有數(shù)據(jù)傳輸，它們之間要路由可達(dá)。本次平安管理平臺(tái)需要管理重要效勞器和所有平安設(shè)備，收集日志后并做出分析，分出告警級(jí)別。也可以通過聲光電或郵件、短信等方式報(bào)警，及時(shí)提醒管理員。防病毒系統(tǒng)防病毒系統(tǒng)的建設(shè)首先要依據(jù)本次系統(tǒng)設(shè)計(jì)的總體結(jié)構(gòu)，從網(wǎng)絡(luò)中業(yè)務(wù)系統(tǒng)的模式和主要可能感染病毒的系統(tǒng)和區(qū)域進(jìn)行設(shè)計(jì)和考慮。通過分析**網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)，可以總結(jié)病毒感染的途徑如下：局部效勞器如windows平臺(tái)容易受到病毒攻擊；公司內(nèi)部員工假設(shè)有訪問互聯(lián)網(wǎng)的權(quán)限，那么可能感染網(wǎng)絡(luò)病毒，并通過HTTP、FTP等流量把病毒和惡意的移動(dòng)代碼帶入網(wǎng)站；通過U盤傳播病毒；各種蠕蟲病毒主動(dòng)地通過網(wǎng)絡(luò)傳播。從以上的分析入手，本系統(tǒng)的病毒防范工作必須從病毒防護(hù)的主體著手，根據(jù)他們之間的訪問關(guān)系施加防護(hù)及病毒監(jiān)控。本次方案防病毒系統(tǒng)采用防病毒網(wǎng)關(guān)與網(wǎng)絡(luò)防病毒系統(tǒng)相互結(jié)合的方式，建立完整的防病毒體系。其中防病毒網(wǎng)關(guān)效勞可集成在出口防火墻上，在內(nèi)網(wǎng)部署網(wǎng)絡(luò)防病毒系統(tǒng)，實(shí)現(xiàn)對(duì)系統(tǒng)中的關(guān)鍵效勞器以及內(nèi)部終端進(jìn)行病毒防護(hù)，嚴(yán)防病毒感染關(guān)鍵效勞器以及終端后造成業(yè)務(wù)系統(tǒng)受病毒影響。統(tǒng)一用戶/身份管理用戶是IT系統(tǒng)中各類活動(dòng)的實(shí)體，如人、組織、虛擬團(tuán)隊(duì)等。用戶管理是指在IT系統(tǒng)中對(duì)用戶和權(quán)限的控制，包括了身份管理、用戶授權(quán)、用戶認(rèn)證等，身份管理是根底，用戶授權(quán)和認(rèn)證是之上的效勞。身份是一個(gè)實(shí)體區(qū)別于其它實(shí)體的特性，IT系統(tǒng)中的身份通常指一個(gè)人在信息系統(tǒng)中的抽象，也可以是硬件、組織等實(shí)體的抽象，是屬于一個(gè)特定的實(shí)體的屬性的集合。身份屬性具有一些特點(diǎn)：往往是較短的數(shù)據(jù)元素如名稱、郵件、電話、照片、數(shù)字證書等。身份管理就是產(chǎn)生和維護(hù)身份屬性的過程，也是管理不同實(shí)體之間關(guān)系的能力。身份管理〔IdentityManagement〕是用戶管理(UserAdministration)的一局部。統(tǒng)一用戶管理〔UUM〕就是對(duì)不同的應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一的用戶認(rèn)證，通過統(tǒng)一的用戶認(rèn)證平臺(tái)提供一個(gè)單一的用戶登陸入口。用戶在操作系統(tǒng)域登陸時(shí)經(jīng)過統(tǒng)一用戶管理平臺(tái)認(rèn)證，就具備了使用相關(guān)應(yīng)用的權(quán)利。同時(shí)統(tǒng)一用戶管理平臺(tái)還提供對(duì)長(zhǎng)時(shí)間無應(yīng)用操作的超時(shí)重認(rèn)證功能，更加可靠的保證平安。統(tǒng)一用戶管理為用戶提供多種登陸手段，包括傳統(tǒng)的口令登陸以及平安性能更高的CA、USBKey等，使用戶在使用統(tǒng)一身份認(rèn)證平臺(tái)上有更靈巧的選擇。在認(rèn)證手段上，統(tǒng)一用戶管理提供支持LDAP/AD協(xié)議的認(rèn)證中心管理，支持多種認(rèn)證中心認(rèn)證，保證用戶信息的平安、可靠。單點(diǎn)登錄單點(diǎn)登錄〔SSO，SingleSign-on〕是一種方便用戶訪問多個(gè)系統(tǒng)的技術(shù)，用戶只需在登錄時(shí)進(jìn)行一次注冊(cè)，就可以在多個(gè)系統(tǒng)間自由穿梭，不必重復(fù)輸入用戶名和密碼來確定身份。單點(diǎn)登錄的實(shí)質(zhì)就是平安上下文〔SecurityContext〕或憑證〔Credential〕在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。當(dāng)用戶登錄系統(tǒng)時(shí)，客戶端軟件根據(jù)用戶的憑證〔例如用戶名和密碼〕為用戶建立一個(gè)平安上下文，平安上下文包含用于驗(yàn)證用戶的平安信息，系統(tǒng)用這個(gè)平安上下文和平安策略來判斷用戶是否具有訪問系統(tǒng)資源的權(quán)限。目前業(yè)界已有很多產(chǎn)品支持SSO，但各家SSO產(chǎn)品的實(shí)現(xiàn)方式也不盡相同。如通過Cookie記錄認(rèn)證信息，通過Session共享認(rèn)證信息。Cookie是一種客戶端機(jī)制，它存儲(chǔ)的內(nèi)容主要包括：名字、值、過期時(shí)間、路徑和域，路徑與域合在一起就構(gòu)成了Cookie的作用范圍，因此用Cookie方式可實(shí)現(xiàn)SSO，但域名必須相同；Session是一種效勞器端機(jī)制，當(dāng)客戶端訪問效勞器時(shí)，效勞器為客戶端創(chuàng)立一個(gè)惟一的SessionID，以使在整個(gè)交互過程中始終保持狀態(tài)，而交互的信息那么可由應(yīng)用自行指定，因此用Session方式實(shí)現(xiàn)SSO，不能在多