二、接入层:一个高性能的政务外网除了核心设备性能要求强劲之外,最重要的一环是数量最大的接入交换机。接入交换机不仅要求保证线速的交换,同时要提供良好的用户认证、管理和安全控制等功能,保证政务外网管理策略的一致性。接入层交换机考虑到接入信息点数量较多,可以采用端口密度较高的接入层千兆交换机如24、48口交换机S5100-24P-EI、S5100-48P-EI,以减少接入层的带宽瓶颈,实现真正千兆到桌面。接入层网络由楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QoS保证,用户接入访问控制等等。楼层交换节点采用24、48口千兆智能全线速接入交换机,接入交换机应提供智能的流分类和完善的QoS特征。具有极高的性价比为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管,最大化满足高速、融合、安全的政务外网新需求;本方案中各接入层交换机通过千兆链路上联到核心层设备,对下联的桌面设备提供千兆,为各类用户提供无阻塞的交换性能,同时要求能够具有不小于4个业务插槽,能够提供堆叠技术。由于扩建大楼每层的信息点数量过多,建议每层放置交换机,通过光纤上联到核心交换机,这样的使用虽然使用了较多的光纤模块,但也让楼层交换机的压力减小,也方便网络管理员的管理。三、整体说明:整个网络采用核心、接入两个层次,Internet的发展是迅猛的,因此在核心交换机的选择上,建议选择高性能的核心交换机,要求交换容量不小于700G,包转发率不小于400Mpps,楼内的接入点主要是实现楼内的信息的互通以及接入层的用户接入。核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是真个网络的核心,因此对核心层的设计以及网络设备的要求十分严格。星型结构是指所有的外围接入用户通过接入层的交换机通过双链路归属到处于网络中心的核心设备上。星型结构的优点是结构简单,易于扩容与维护,但对中心设备和链路有依赖性,中心设备必须保证高可靠性、高性能、支持丰富的应用。特别是考虑到今后骨干网络可以平滑向万兆以太网升级,建议交换容量应大于700Gbps。在本方案设计中,核心配置1台高性能的核心路由交换机,配置双引擎、双电源、高速交换矩阵,硬件支持IPv6,并提供高性能的IPv6服务,实现高可用性、高性能的网络核心。在H3CLS7510E路由核心交换机上配置'H3CS7500ESalienceVI交换路由引擎,另外还配置了H3CS7500E-24端口千兆/百兆以太网光接口模块(SFP,LC),24端口千兆以太网电接口模块(RJ45),对设备做到最大限度集中管理,避免单点故障。在各个区域中,由于其流量巨大、实时性要求高,为保证良好的办公环境和投资保护,接入交换机应全部采用10/100/1000自适交换机。骨干网络包括核心层设备、汇聚层和接入层设备,通过光纤布线,采用万兆核心、千兆以太网技术实现互联;接入网上联采用千兆以太网技术;桌面接入采用10/100/1000M以太网技术。核心路由器采用一台MSR5040路由器,该产品集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了网络建设的初期投资与长期运维成本。针对用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。出口处配置千兆高性能防火墙,SecPath系列产品是H3C公司为中小、大型企业以及运营商用户设计的专业网络安全产品,通过将强大安全抵御功能、专业VPN服务和智能网络特性无缝集成在一个硬件平台上,不但能为用户提供广泛和深入的安全防护和安全连接功能,同时可以降低与安全相关的总体拥有成本以及部署的复杂程度,是网络安全解决方案的理想选择。能提供外部攻击防范、内网安全、流量监控、URL过滤、应用层过滤等功能,有效的保证网络的安全。采用H3CASPF(ApplicationSpecificPacketFilter)应用状态检测技术,实时检测应用层连接状态,实现3-7层安全防护。提供邮件告警、攻击日志、流日志和网络管理监控等功能,协助用户进行网络管理。SecBladeFW模块与基础网络设备融合,具有即插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。SecPath系列产品作为H3C公司SPN(安全渗透网络)解决方案的重要组成部分,已经成为H3C公司IToIP核心理念中的IP自适应安全网络的坚实基础。出口处还在线方式布置了H3CSecPathU200-S,H3CSecPathU200-S是设计的新一代UTM(UnitedThreatManagement,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤和垃圾邮件防护等安全功能。不仅能够全面有效的保证用户网络的安全,还可以帮助用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。完善的防火墙功能:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击。丰富的VPN特性:支持L2TPVPN、GREVPN、IPSecVPN等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理。实时的病毒防护:采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。垃圾邮件防护:可以拦截各种传统垃圾邮件,解决垃圾邮件对正常工作的干扰问题。URL过滤:实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁NAT应用:提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能。3.4.2网络中心网络建设本方案中描述的核心层网络有一个核心节点——网络中心节点。网络中心节点作为政务外网的心脏,必须提供全线速的数据交换,当网络流量较大时,对关键业务的服务质量提供保障。另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在核心节点的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。方案中采用1台高性能的路由交换机,作为核心层路由交换设备来保证整个政务网的应用需求。核心层交换机跟接入层交换机之间的千兆链路可以根据链路状况实行捆绑,从而实现带宽的灵活扩展。3.4.3接入层网络建设接入层的设备选择,遵循了千兆桌面的思路,选用的产品同电子政务内网。3.4.4政务外网接入平台建设政务外网接入平台提供以下功能:连接互联网;对外提供政务服务;防火墙和UTM保护内部资源的安全;NAT(网络地址转换),保护内部网络资源的安全,解决IP地址不足问题。出口配置千兆级别的高性能防火墙、路由器,NAT功能在路由器上实现。防火墙用来抵御外部和内部的非法网络攻击,保护企业网络的正常运行。政务外网所有对外提供信息服务的服务器,全部连接在防火墙的非军事化区上,外部不能直接访问政务网内部的资源。3.5网络安全设计3.5.1概述网络为人们提供了极大的便利,但由于构成网络的TCP/IP协议本身缺乏安全性,提供一种开放式的环境,网络安全成为一个在开放式环境中必要的技术,成为必须面对的一个实际问题。而由于目前网络应用的自由性、广泛性以及黑客的“流行”,网络面临着各种安全威胁,存在着各种类型的机密泄漏和攻击方式,包括:窃听报文——攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据彻底不受窃听,基本是不可能的。IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。端口扫描—通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,DistributedDenialOfService,简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。应用层攻击——有多种形式,包括探测应用软件的漏洞、“特洛依木马”等等。另外,网络本身的可靠性与线路安全也是值得关注的问题。随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务、政府机关等)的应用,网络安全成为日益迫切的重要需求。网络安全包括两层内容:其一是网络资源的安全性,其二是数据交换的安全性。网络设备作为网络资源和数据通讯的关键设备,有必要提供充分的安全保护功能,交换机、路由器、防火墙、网管、业务平台等产品提供了多种网络安全机制,为网络资源和数据交换提供了有力的安全保护。下面将对其技术与实现作详细的介绍。3.5.2网络安全层次分析为了便于分析网络安全分析和设计网络安全解决方案,我们采取对网络分层的方法,并且在每个层面上进行细致的分析,根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。从网络、系统和应用出发,网络的安全因素可以划分到如下的五个安全层中,即物理层、网络层、系统层、应用层和安全管理。物理层安全网络的物理安全主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。在网络安全考虑时,首先要考虑物理安全。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。除此之外,在一些特殊机密的网络应用中,由于专用网络涉及业务网核心机密与管理网普同机密两个不同的密级,因此在方案中可利用“物理隔离”技术,将两个网络从物理上隔断而保证逻辑上连通实现所谓的“信息摆渡”。网络层安全1、网络传送安全重要业务数据泄漏:由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,其中包括登录通行字和一些敏感信息,可能被侵袭者搭线窃取和篡改,造成泄密。重要数据被破坏:由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于网络系统来说极为重要,如果由于通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。2、网络服务安全入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对政务内网进行攻击。入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录