|
政府信息化網(wǎng)絡(luò)規(guī)劃及網(wǎng)絡(luò)安全管理方案
資源天下 2019/8/21 17:34:27
(接上頁)身份始終如一���,并有效管理用戶IP地址分配����,控制用戶訪問內(nèi)外網(wǎng)的權(quán)限;
3)為解決目前常見的ARP病毒和攻擊的問題�,要求具備全面的防ARP功能。如:支持端口ARP檢查�����,嚴(yán)格防范ARP主機(jī)欺騙行為��、支持專用的防范ARP網(wǎng)關(guān)欺騙功能���,保護(hù)網(wǎng)關(guān)不被欺騙�����,保障用戶的正常上網(wǎng)����;
4)為了防止非法組播源任意播放����,節(jié)約網(wǎng)絡(luò)帶寬,要求接入交換機(jī)支持IGMP Snooping v1/v2/v3����,支持IGMP源端口檢查����,適應(yīng)多種組播環(huán)境����;
5)為了實(shí)現(xiàn)方便快捷的管理,要求接入交換機(jī)提供豐富的管理功能�。如:支持SNMPv1/v2c/v3,支持SSH��,保證交換機(jī)管理信息的安全性�,防止黑客攻擊和控制設(shè)備;支持Telnet����、Web訪問的源IP授權(quán)控制����;RMON 1/2/3/9,Syslog�����,支持CLI/Telnet/WEB網(wǎng)管�;
3.2.6 網(wǎng)絡(luò)安全系統(tǒng)建設(shè)
網(wǎng)絡(luò)安全越來越為人們所重視���,據(jù)統(tǒng)計,局域網(wǎng)安全事件占到網(wǎng)絡(luò)安全事件的75%左右���,所以此次網(wǎng)絡(luò)建設(shè)����,必須構(gòu)建一個全局的內(nèi)網(wǎng)安全體系���,從用戶層面�、主機(jī)層面����、網(wǎng)絡(luò)層面等各個層次保障內(nèi)網(wǎng)的安全,特別是保護(hù)局域網(wǎng)服務(wù)器區(qū)域不受攻擊�����。因此要求局域網(wǎng)安全系統(tǒng)具有以下基本功能:
對局域網(wǎng)用戶的認(rèn)證����。從用戶層面確保使用網(wǎng)絡(luò)的用戶為合法用戶,并確保出現(xiàn)安全問題可以準(zhǔn)確追查到個人�����,提供完善的用戶審計功能。從而提高網(wǎng)絡(luò)管理的整體效率和水平�。
對主機(jī)進(jìn)行完整性檢驗(yàn)。從主機(jī)層面確保接入網(wǎng)絡(luò)的主機(jī)都是安全的�。避免不安全的系統(tǒng)接入網(wǎng)絡(luò),同時可以提供整網(wǎng)安全策略的規(guī)劃和部署�����,提高安全管理效率�。
提供對ARP欺騙的徹底防范,避免ARP病毒影響網(wǎng)絡(luò)�����,同時提供自動綁定功能�����,降低管理的難度和工作量��。
可以實(shí)現(xiàn)內(nèi)網(wǎng)統(tǒng)一安全策略的部署��,減少網(wǎng)絡(luò)安全管理的難度��。
所有的網(wǎng)絡(luò)安全功能都是自動完成的���,提高網(wǎng)絡(luò)安全防護(hù)的效率��。
考慮到越來越多的網(wǎng)頁篡改及掛馬問題��,建議在服務(wù)器區(qū)域部署一套WG網(wǎng)頁防護(hù)系統(tǒng)��,解決主頁被篡改和掛馬的問題�����。
2.3.7 網(wǎng)絡(luò)管理系統(tǒng)建設(shè)
整個網(wǎng)絡(luò)規(guī)模比較大��,單交換機(jī)就有將近30多臺�����,網(wǎng)絡(luò)管理的工作量將大大增加�,所以建議在網(wǎng)絡(luò)中部署一套網(wǎng)絡(luò)管理軟件負(fù)責(zé)整個網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)和設(shè)備的管理���,并做到實(shí)時的網(wǎng)絡(luò)流量監(jiān)控及預(yù)警功能����,通過這套軟件可以讓網(wǎng)管人員足不出戶就可以管理到網(wǎng)絡(luò)中的每一臺設(shè)備和每一個端口,另外結(jié)合安全認(rèn)證系統(tǒng)就可以管理到每個端口下面的所有用戶���,大大提高網(wǎng)管人員的管理效率和整個網(wǎng)絡(luò)的安全性�。
3.3. 內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
內(nèi)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)拓?fù)淙缦拢?br>
圖2 電子政務(wù)內(nèi)拓?fù)浣Y(jié)構(gòu)
3.3.1方案整體架構(gòu)規(guī)劃
內(nèi)網(wǎng)網(wǎng)絡(luò)建設(shè)目標(biāo)是對政務(wù)內(nèi)網(wǎng)進(jìn)行全網(wǎng)規(guī)劃設(shè)計��,主要包括:骨干網(wǎng)(包含核心和接入以及兩者之間的鏈路)���、安全管理系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)規(guī)劃�����。最大程度地設(shè)計高的網(wǎng)絡(luò)的運(yùn)行效率��、穩(wěn)定性和易管理性�����,為政務(wù)信息化建設(shè)奠定堅實(shí)的基礎(chǔ)��。
根據(jù)全網(wǎng)業(yè)務(wù)功能及性能的要求�,規(guī)劃骨干鏈路為全萬兆鏈路�。
3.3.2 內(nèi)網(wǎng)核心層設(shè)計
由于網(wǎng)絡(luò)中心核心設(shè)備的穩(wěn)定和安全性能是整個網(wǎng)絡(luò)最重要的保障��,因此骨干網(wǎng)建議采用雙核心雙鏈路設(shè)計,滿足整網(wǎng)核心7×24小時不間斷工作����;要求核心交換機(jī)具有優(yōu)良的性能和高可靠性,必須采用超大交換容量的交換背板�,以保證任何情況下網(wǎng)絡(luò)的每個端口均可具備全線速多層交換能力,能夠保證傳輸帶寬和數(shù)據(jù)傳輸優(yōu)化等關(guān)鍵應(yīng)用�,從而為整個網(wǎng)絡(luò)提供了穩(wěn)定和快速的基礎(chǔ)。要求每臺核心都能提供12個下行萬兆單模光口���,滿足兩棟樓的接入交換機(jī)進(jìn)行接入�����。每臺提供2個萬兆多模光口��,實(shí)現(xiàn)兩臺之間的VSU互聯(lián)���。同時提供24個的10/100/1000M電口。
考慮到內(nèi)網(wǎng)的規(guī)模及信息點(diǎn)分布情況��,內(nèi)網(wǎng)采用兩層結(jié)構(gòu)��。
3.3.3 內(nèi)網(wǎng)接入層設(shè)計
網(wǎng)絡(luò)接入層計算機(jī)數(shù)量大,訪問流量相對比較大���,所以建議接入層到核心層采用萬兆互連��。另外�����,接入層是部署網(wǎng)絡(luò)安全的重要區(qū)域����,如果接入設(shè)備不具備豐富的安全功能���,就無法對常見的病毒和攻擊從最低層進(jìn)行防范����,所以建議采用安全接入交換�。同時網(wǎng)絡(luò)管理也是比較重要的,如果沒有該功能�,那么網(wǎng)絡(luò)管理的難度將加大,故障排查不方便�����,所以建議采用可網(wǎng)管交換機(jī)。
所以接入層設(shè)備設(shè)計���,要求接入層設(shè)備具備以下特點(diǎn):
1)提供萬兆上行口����,實(shí)現(xiàn)和核心交換機(jī)的萬兆互連����,為提供靈活的配置特性����,滿足不同信息點(diǎn)數(shù)的需求,要求能支持堆疊功能��,并能實(shí)現(xiàn)混合堆疊�,提供靈活(未完,下一頁)
|