钢管厂网络升级改造项目技术建议书word档可编辑p

钢管厂网络升级改造项目技术建议书word档可编辑p内容摘要：

现物理故障；2. 边缘端口B P D U 保护双链路冗余保护接入交换机支持D H C P S n o o p i n g和 A R P 入侵检测功能，有效防御各类 A R P 欺骗攻击威胁核心及接入交换机均支持 D L D P协议，实现光纤故障告警配置多个 V R R P组实现负载分担核心交换机配置N e t st r e a m 网流分析板结合 X l o g可对全网数据流量进行实时统计分析核心交换机配置N A T 板可确保服务器和终端 IP 地址不做修改的情况下实现新老网络的互访 核心层设备通过 VRRP协议进行网关备份，在这个网络中，通过合理规划 VRRP group master、生成树实例和生成树实例与 VLAN 映射的关系，可提高网络链路利用率和可靠性。 在核心路由交换机上配置多个 VRRP 组，组 master 和 backup 角色均匀分布在两台核心路由交换机上，使两台网关设备同时完成备份和负载分担功能；通过多生成树实例（ MSTP）规划，使接入设备不同 VLAN业务负载分担在两条上行链路，并且到达的核心设备为第一跳网 关 master；实例 root 与生成树实例映射 VLAN 的三层网关 master 在同一台核心设备上，使 STP协议能够通过计算合理阻塞链路，并且缩小链路故障引起的网络震荡范围；若接入设备上有 VLAN 重叠，汇聚设备设置为二层 TRUNK链路。 一些安全特性的配合使用，更能增强网络的健壮性：在网络边缘直接与用户相连的端口可以配置边缘端口和 BPDU 保护，防止从这些端口接收到 BPDU 报文引起网络拓扑变化；在汇聚网关上配置 TC保护和根保护特性，防止攻击造成拓扑频繁变化；在接入交换机上启用 DHCP Snooping和 ARP 入侵检测 功能，能够有效防御 ARP 欺骗攻击。 由于本次网络升级改造项目所选用的接入交换机均为三层以太网交换机，支持 RIP、 OSPF 等高级动态路由协议。 因此我们建议衡钢在综合业务系统迁移的可靠性，网络的可靠性，网络弹性以及业务对网络收敛速度的要求等多方面考虑后，在接入层和核心层所有设备上启用 OSPF 动态路由协议，提高整个系统的可靠性，吞吐能力和收敛速度。 主要 HA 性能参数 网络故障 收敛性能 核心层设备双机切换 3秒（ VRRP）， 1 秒（ OSPF） 光纤链路单通故障 2秒 接入层 核心层链路故障 /恢复 1秒 核心层设备路由交换处理板主备倒换 50 毫秒 核心层设备单路电源故障 0 秒 4. 网络安全设计 面对现在网络环境越来越多的网络病毒和攻击威胁，衡钢网络升级改造所选网络设备从核心到接入设备应提供强大的网络病毒和攻击防护能力， H3C S 系列以太网交换机设备不仅提供了强大的ACL 功能，同时为了避免非管理人员登陆并操纵网络设备，造成网络传输和安全的影响，核心、汇聚和接入设备还提供了 SSH 加密登陆功能，以及 tel/web登录的源 IP 限制功能； S9500和 S5500系列以太网交换机还支持防源 IP 地址欺骗（ Souce IP Spoofing）、防 DOS/DDOS攻击（ Synflood，Smurf），防扫描（ PingSweep）等能力；同时为了防止由于病毒的原因而引起交换机的路由表溢出；核心交换机 S9508 和接入交换机 S5500EI/S3600EI 具有 LPM（最长匹配）功能，可节约存储空间，病毒和攻击数据直接通过缺省路由转发，不造成存储溢出。 从设备本身的功能即可保证网络安 全。 . H3C EAD 端点准入防御解决方案 目前，在园区网中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业 禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。 保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证网络安全运行的前提，也是目前急需解决的问题。 网络安全从本质上讲是管理问题。 H3C端点准入防御（ EAD， Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第 三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为网络管理人员提供了有效、易用的管理工具和手段。 . 方案概述 对于要接入安全网络的用户， EAD 解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果， EAD 对用户网络准入进行授权和控制。 通过安全认证后，用户可以正常使用网络，与此同时， EAD 可以对用户终端 运行情况和网络使用情况进行审计和监控。 EAD 解决方案对用户网络准入的整体认证过程如下图所示： . 组网模型 如下图所示， EAD 组网模型图中包括安全客户端、安全联动设备、安全策略服务器和第三方服 务器。 H3C EA D 解决方案架构S 9 5 0 8网络中心W X3 0 2 4S3 1 0 0补丁服务器补丁服务器病毒服务器病毒服务器S5 5 0 0 EIS3 6 0 0隔离区不符合安全策略的用户安全客户端安全客户端安全联动设备安全联动设备E A D 安全策略组件安全策略组件S e cP a thL 2 T P /I P S e c通道I n te r n e tL 2 T P /I P S e c通道 最精细的用户权限管理 ：基于 A CL 直接控制用户的访问权限，避免传统 V L A N 控制方式下单端口单用户组网限制 最广泛的接入方式：可与交换机、路由器、防火墙、无线等多种网络设备配合 最便捷的客户端部署 ：支持客户端 W e b 推送、定制安装、静默安装，大大降低部署工作量和维护难度 ； 最灵活的补丁管理 ：可与微软 S M S （ W S US ）无缝集成实现系统补丁自动检测和升级； 最全面的防病毒联动 ： 支持业内所有主流防病毒厂商联动 最严格的终端软件控制： 支持黑白软件检查，保证企业 IT 政令畅通无阻，可与 L A N De sk 、B igF i x 、微软 S M S 等无缝联动W A 2 2 1 0 安全客户端： 是指安装了 H3C iNode 智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。 安全联动设备： 是指用户网络中的交换机、路由器、 VPN 网关等设备。 EAD 提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在网络的各个层次。 衡钢网络升级改造项目中我们将安全联动设备部署在接入层交换机 H3C S5500EI和 H3C S3600EI上，用于认证局域网用户。 安全策略服务器： 它要求和安全联动设备路由可达。 负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。 安全策略服务器由 H3C EAD 桌面安全管理服务器承担。 第三方服务器： 是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区（ GuestVLAN）中。 当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满 足安全策略要求。 . 功能特点  严格的身份认证 除基于用户名和密码的身份认证外， H3C EAD 还支持身份与接入终端的 MAC 地址、 IP 地址、所在 VLAN、接入设备 IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。  完备的安全状态评估 根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的需求， EAD客户端支持和微软 SMS、 LANDesk、 BigFix等业界桌面安全产品的配合使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、 Trend Micro、 Ahn 等国内外主流病毒厂商联动。 例如 EAD 可充分利用微软成熟的桌面管理工具，由 SMS实现各种 Windows 环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。  基于角色的网络授权 在用户终端通过病毒、补丁等安全信息检查后， EAD 可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。 终端用户的所属VLAN、 ACL 访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措 施均可由管理员统一配置实施。  扩展开放的解决方案 EAD 解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。 EAD 广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长； EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。  灵活方便的部署方式 EAD 方案部署灵活，维护方便。 EAD 按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外， EAD还支 持灵活的旧网改造方案和客户端静默安装等特性。 . H3C 防 DHCP 攻击设计 . DHCP 攻击介绍  DHCP 攻击之一 恶意用户通过更换 MAC 地址的方式向 DHCP Server 发送大量的 DHCP 请求，以消耗 DHCP Server 可分配的 IP 地址为目的，使得合法用户的 IP 请求无法实现。 防范：利用交换机端口安全功能： MAC 动态地址锁和端口静态绑定 MAC、 1x端口下的自动动态绑定用户 IP/MAC，来限定交换机某个端口上可以访问网络的 MAC 地址，从而控制：那些通过变化 MAC 地址来恶意请求不同 IP 地址和消耗 IP 资源的 DHCP 攻 击。 当交换机一个端口的 MAC 地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的 MAC 安全地址的包时，交换机则采取措施。  DHCP 攻击之二 非法 DHCP Server，为合法用户的 IP 请求分配不正确的 IP 地址、网关、 DNS 等错误信息， 不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法 DHCP Server，严重影响合法用户的信息安全。 . DHCP 攻击防范设计  启动 DHCP Snooping，将合法 DHCP Server 的端口设为信任端口，其他端口默认情况下 均为非信任端 口；  用户发出 DHCP Request；  攻击者将自己的服务器设置成 DHCP Server 并发出错误的 DHCP Offer；  交换机自动丢弃所有非信任端口发出的 DHCP Offer；  用户采用正确的 DHCP Server 发出 DHCP Offer。 . H3C 防 ARP 欺骗解决方案 . ARP 欺骗攻击的危害性 当您的计算机网络连接正常，却无法打开网页；当您的计算机网络出现频繁断线，同时网速变得非常慢。 这些都可能是由于存在 ARP 欺骗攻击及 ARP 中毒，所表现出来的网络故障情况。 ARP 欺骗攻击不仅导致联网不稳定，极大影响 网络的正常运行，更严重的是利用 ARP 欺骗攻击可进一步实施中间人攻击。 如果局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所有主机和网关，让所有网络流量都经过攻击者主机进行转发，攻击者通过截获的信息可得到游戏、网银、文件服务等系统的用户名和口令，这种攻击行为就称为中间人攻击。 由此可见，中间人攻击是一种非常恶劣的网络恶意攻击行为。 为什么杀毒软件、防火墙都挡不住 ARP 欺骗攻击呢。 主要由于 ARP欺骗攻击的木马程序，通常会伪装成常用软件的一部分被下载并被激活，或者作为网页的一部分自动传送到浏览者的电脑上并被激活，或者通过 U盘、移动硬盘等方式进入网络。 由于木马程序的形态特征都在不断变化和升级，杀毒软件常常会失去作用。 . ARP 欺骗攻击的原理 局域网上的一台主机，如果接收到一个 ARP 报文，即使该报文不是该主机所发送的 ARP 请求的应答报文，该主机也会将 ARP 报文中的发送者的 MAC 地址和 IP 地址更新或加入到 ARP 表中。 以太网 ARP 协议报文结构 ARP 欺骗攻击就利用了这点，攻击者主动发送 ARP 报文，发送者的 MAC 地址为攻击者主机 的 MAC 地址，发送者的 IP 地址为被攻击主机的。