|
项目概述
广州地铁总公司的新办公场所位于广州市中山五路与解放路交界处的中旅商业城第十六层,面积约为三千七百平方米,集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门,大约将有二百三十多名工作人员在此办公。
广州地铁总公司将在中旅商业城十六层建立计算机网络,该网络是广州地铁总公司企业管理信息系统的平台,他将提供以下的服务:
• 各种数据库管理系统,如财务管理系统、合同管理系统等;
• 办公自动化信息管理,如公文流转、电子邮件系统等;
• 国际互联网 Iternet 接入;
• 六间会议室有少量的多媒体信息传输;
• 要求实现与公司其他总部——位于芳村西朗的运营事业总部、位于北京路广百大厦 29 层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路 204 号的地铁设计院网络互联,构筑广州地铁总公司城域网,实现全公司信息的共享;
• 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。
• 需求分析
• 网络现状分析
• 布线工程已由 广州地铁总公司委托其他公司完成。该布线工程全部采用 Lucent 公司的超五类设备进行施工,将达到 Lucent 公司十五年保用标准。
• 共有三个设备间,其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接,可形成环路。
• 网络布线端口数达到 320 个,每个设备间所联信息点基本一样,大约为 110 个。网络操作系统将采用 MS Windows 2000 Server 。
网络需求分析
根据地铁总公司的要求,这次网络工程的主要内容包括四部分:
• 中旅商业城十六层广州地铁总公司计算机局域网;
• 中旅商业城十六层广州地铁总公司计算机局域网防火墙及防病毒解决方案;
• 广州地铁总公司城域网;
• 中旅商业城十六层广州地铁总公司计算机局域网国际互联网接入。
广州地铁局域网和城域网解决方案
总体设计方案
系统设计原则
高可靠性
计算机网络系统应采用可靠性较高的产品和容错较强的网络结构,以使网络具有高度的可靠性。应采取多层次的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。
高安全性
根据建行的管理制度和网络策略制定一套完善的安全政策,采用合适的技术手段,充分保证网络安全性。
先进性
在技术上要到达当前的国际先进水平。要采用最大先进网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展,保证网络建成后 3-5 年不落后,选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
易管理、易维护
由于计算机网络系统规模庞大,需要网络系统具有良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。
可扩展性
网络系统应具有良好可扩展性,随着业务的增长和应用水平的提高,网络应可平滑地扩展的升级,而不需要对网络结构设备进行大的改动。
· 系统设计概述
网络体系结构和逻辑结构设计
确定网络体系结构及相应的通信协议,对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门,而这些部门有的在使用一些专用的系统,有的需要与其它专用系统相连。因此,要共享网络的资源及在网络中交换信息,就必须实现不同系统间的实体通信,这需要不同系统采用同一协议 . 。
网络体系结构的确定:骨干网络使用交换式快速以太网。本网络大量采用以太网产品,因为以太网发展最为迅速,目前拥有广泛用户和众多的产品,容易得到支持。网络的主干采用 100Mb/S 交换式以太网,原因如下:
• 采用 100Mb/s 以太网交换技术 , 可使网络主干速率成倍增长;
• 便于向千兆位以太网过渡;
• 技术成熟;
• 有大量的成功案例可查。
网络拓扑结构
采用星型网络交换技术。通过相应的管理软件,在不改变网络节点物理位置的情况下,可以对网络的逻辑结构进行合理的划分,即建立虚拟网络,来达到网络信息流量的有效控制。
网络管理系统的确定
人们往往只重视网络的静态性能,而忽视了对网络动态解决方案重要性的认识。实际上,网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点,及时解决问题;也可对网络的信息流量进行有效的控制和分流。要管理网络端口,需要网上每台设备都支持 SNMP 。根据本网络的特点,要求网管程序能够跨越地域对异地的网络节点进行管理。
连接 Internet
在与 Internet 的连接方面,通过代理服务器,利用 ADSL 专线访问服务器,实现与远程客户的信息交流。同时,还设立了网管工作站,监控网络的运行状况,使网络达到最大的利用效率。
广州地铁局域网和城域网解决方案
局域网设计方案
基本网络结构设计
基本网络物理结构
采用 1 台 Cisco 的带第三层路由交换功能的千兆以太网交换机 – Catalyst 2948G-L3 做中心交换机,采用 7 台 Cisco 的 Catalyst 3548 XL Enterprise Edition 交换机(带千兆网堆叠模块)做桌面交换机,每 2 ( 3 )台堆叠成一组,通过一个千兆以太网模块上联至主干,下联至 300 多个客户工作站。各服务器、防火墙主机和路由器通过 100 兆快速以太网端口直接与中心交换机相联。
1 ) 中心交换机的配置
千兆以太网交换机 Catalyst 2948G-L3 置于主设备间。中心交换机配置 1 块 24Gbps 千兆以太网交换引擎、 1 块 20 端口 10M/100M 自适应以太网交换模块、 1 块 12 端口 10M/100M 自适应第三层交换模块、 8 块 2 端口 1000Base-SX 输入输出模块和 1 块 2 端口 1000Base-LX 输出模块。
2 ) 桌面交换机的配置
桌面交换机根据用户的实际情况采用 7 台 Cisco 的 Catalyst 3548 XL Enterprise Edition 交换机,每 2 ( 3 )台堆叠成一组,共 3 组,每组配置如下:
• Catalyst 3548 XL 带 48 个 10/100Base-T 自适应端口
• Catalyst 3548 XL 堆叠模块
• Catalyst 3548 XL 千兆位上联模块
• 虚拟网( VLAN )的构建
VLAN 是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。 VLAN 的建立是为了提供更好的分段服务,每一个 VLAN 就是一个广播域,也就等于 WinNT 网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。
采用 VLAN 具有下述优势。
1 ) 控制网络上的广播风暴
VLAN 可以提供建立防火墙的机制 , 防止交换网络的过量广播风暴 , 使用 VLAN, 可以将某个交换端口或用户赋于某一个特定的 VLAN 组 , 该 VLAN 组可以在一个交换网中或跨接多个交换机 , 在一个 VLAN 中的广播风暴不会送到 VLAN 之外 , 同样 , 相邻的端口不会收到其他 VLAN 产生的广播风暴。这样 , 可以减少广播流量 , 释放带宽给用户应用 , 减少广播风暴的产生。
2 ) 增加网络的安全性
使用共享式 LAN, 安全性很难保证 ,VLAN 提供了安全性防火墙 , 限制了个别用户的访问 , 控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组 , 被限制的应用程序和资源一般置于安全性 VLAN 中。
3 ) 集中化的管理控制
通过集中化的 VLAN 管理程序 , 网络管理员可以确定 VLAN 组 , 分配特定用户和交换端口给这些 VLAN 组 , 设置安全性等级 , 限制广播域的大小 , 通过冗余链路负载分担网络流量 , 跨越交换机配置 VLAN 通信 , 监控交通流量和 VLAN 使用的网络带宽。这些能力有效的提高了网络管理程序的可控性 , 灵活性和监视功能 , 减少了管理的费用 , 增加了集中管理的功能。
本网络系统分成多个逻辑子网,一个逻辑子网是由交换机设置的 VLAN 。不同 VLAN 之间在数据链路层 ( 第二层 ) 是互不连通的,当他们需要互相访问时,必须通过路由器或具有路由能力的交换机(第三层交换机)使它们在网络层 ( 第三层 ) 连接起来。本系统种所采用的 Catalyst 2948G-L3 具有第三层路由模块,不需要附加路由器, VLAN 之间的通信在 Catalyst 2948G-L3 交换机内部即可解决,能够建立跨过多台交换机而在整个网络中起作用的 VLAN 。
Catalyst 2948G-L3 和 Catalyst 3548 XL Enterprise Edition 都支持 VLAN 划分,同时由于都支持 802.1Q 技术,也就能实现 VLAN 功能,通过 802.1Q ,网络中所有交换机就可以采用相同的 VLAN 设置。服务器可以直接连接到交换机,最高速度可以达到 800M 。 Cisco 公司 IOS 操作系统和 Cisco Works 网管软件的统一应用,以统一的软件平台把各种不同的硬件连接起来,构成有效、无缝的信息系统,更有利于新应用的部署,同时提高了网络的整体性能。
根据端口划分
本网络系统 利用交换机的端口来划分 VLAN 成员,通过虚拟网管理应用程序 , 中心交换机的端口被定义为虚拟网 A 、 B 、 C 三,分配到一个 VLAN 的各个 LAN 网段上的所有站点都在同一个广播域中 , 它们相互可以直接通信,并允许共享型网络的升级。
通过交换机端口来划分网络成员,其配置过程简单明了,采用这种方法还便于直接监控 , 可以对端口进行安全控制。与之相比,基于物理地址的划分方案管理起来不方便,网络管理员经常要进行大量改动;而基于协议的划分方案又没有什么必要,因为网络本身基于 TCP/IP 协议。因此,迄今为止 端口划分 是最常用的一种方式。
• 系统的特点
1 ) 高性能
核心交换机具有先进高速第三层交换功能 , 所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求,主干连接分别采用 100Mb/s 、 100Mb/s Trunk 和千兆以太网,使网络的性能价格比达到最佳点。
• 先进的子网划分方案
VLAN 是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。 VLAN 的建立是为了提供更好的分段服务,每一个 VLAN 就是一个广播域,也就等于 Win95 网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。
• 充分利用 CISCO 产品的技术优势
综上所述,本网络系统的先进性、安全性等特性是显而易见的,但更重要的是它的网络整体性能好,符合用户的需要。
广州地铁局域网和城域网解决方案
网络服务
网络操作系统
Windows 2000 Advanced Server 是为服务器开发的多用途网络操作系统,它支持范围广泛的重要商业应用程序和一系列丰富的开发工具,可为企业用户提供文件打印、软件应用、 Web 功能和通信等各种服务,是一个性能好、工作稳定、容易管理的平台。 Windows 2000 Advanced Server 采用模块化设计 , 能使现有系统和未来优秀的技术相结合 , 因而可以在保持现有投资的基础上进一步采用新技术。
Windows 2000 Advanced Server 具有以下特点 :
1) 平台无关性
Windows 2000 Advanced Server 是一个与硬件平台无关的 , 可伸缩的服务器操作系统。它可运行在 Intel x86 系统、精简指令集计算机 (RISC) 和 DEC Alpha 处理机上 , 从而在选择计算机系统时有多的自由。
2 ) 可扩展性
它可以扩展到对称多处理器上 , 使得需要高性能处理器时还可以加上额外的处理器,支持数达到 8 路。 Windows 2000 Advanced Server 在 Alpha 平台上支持最多 32G 的物理内存,在 Intel 平台上支持最多 8G 的内存。
3 ) 兼容性
Windows 2000 支持 Windows 应用程序 , 以及 NTFS 、 FAT 和 FAT32 文件系统。
• 安全性
Windows 2000 已将安全性内嵌入操作系统 , 有选择的访问控制使你能对单个文件赋予权限。强有力的集中式安全管理 , 即统一帐号、集中验证、安全备份管理。 Windows 2000 支持的安全模板由安全属性的文件( .inf )组成,它将所有现有的安全属性组织到一个位置以简化安全性管理,包含帐户策略、本地策略、时间日志、受限组、文件系统、注册表、系统服务七类安全性信息,也可以用作安全分析。 Windows 2000 用 Kerberos 验证,提供更快、更安全的验证和响应,允许用户只登陆一次就可以访问网络资源。
• 活动目录
活动目录采用可扩展的对象存储方式存储了网络上所有对象的信息,并使得这些信息更容易被查找到。活动目录有灵活的目录结构,允许委派对目录安全的管理,提供更有效率的权限管理。
• 开放性
支持多种传输协议 , 可在多种网络环境下工作
• 可靠性
支持多种容错方式,有较强的容错和出错恢复功能,在多种一般错误发生后一分钟内自动重启应用软件
• 集成 Web 服务
Microsoft Windows 2000 平台上提供 Internet 信息服务( IIS ),该服务可提供在 Intranet 或 Internet 上共享文档和信息的能力。利用 IIS ,可以部署灵活可靠、基于 Web 的应用程序,并可将现有的数据和应用程序转移到 Web 上。
可见 Windows 2000 是十分理想的网络应用平台,可应用于拥有多种操作系统和提供 Internet 服务的部门和应用程序服务器。我们 建议采用 Windows 2000 Advance Server 作为网络服务器的操作系统,用 Windows 2000 Server 作为应用服务器的操作系统。
应用功能
1 ) 办公自动化和电子邮件服务
Microsoft Exchange Server 是带有集成组件的电子信息交换服务器,它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序,可以通过一个集中化的管理程序进行管理。 它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能,而所有应用都可以从通过 Internet 浏览器来访问。与微软 BackOffice 产品相结合,使用通用、熟悉的开发工具, Exchange Server 可以快速提供和实施强大的业务协作解决方案,满足用户对 Intranet 协作的多层次的需求,提高企业竞争实力。
本电子系统构建于 Microsoft Exchange Server 电子交换服务器,安装 Exchange 服务器作为邮局,存储、交换、管理邮件系统中的用户和信件,以电子邮件为基础,处理公司的所有邮件,构成信息传递的基础,并在此基础上构建如下应用:
• 个人级的应用
主要完成公司内部工作人员日常的办公工作管理,构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建 Microsoft Windows98 和 Microsoft Office 97 / 2000 的套件基础上。
• 部门级的应用
通过 Microsoft Exchange Server 的 Schedule+ 和 Microsoft Office 97 / 2000 的 Outlook 来协调部门工作,处理会议请求、资源分配和工作安排等。
• 企业级的应用
构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和 WWW 构建信息发布和查询应用,构建与 Internet Information Server 和 Microsoft SQL Server 的基础上,形成内部的 Intranet 。
2 ) 数据库应用
目前应用比较广泛大型数据库系统主要有 Informix 、 Oracle 、 Sybase 、 Microsoft-SQL Server 根据目前业务系统的特点,充分考虑今后系统开放性、高效 性、联机事务处理的要求,数据库系统应该采用 SQL Server 类型,综合当前 SQL Server 产品现状,
我们建议采用 Microsoft-SQL Server ,并使用独立的数据库服务器以提高性能。 其原因主要有以下几点:
• 由于本系统的体系结构采用客户 / 服务器模式, Microsoft-SQL Server 拥有广泛的客户基础,考虑到本模块主要与控制中心进行数据交换及处理,因此充分估计其它业务及相关系统的要求,采用 Microsoft-SQL Server 便于进行与其它系统的数据转换及处理。
• 本系统面临一逐步推广使用的过程,因此要求在系统构造时充分考虑其扩展性。 MICROSOFT SQL Server 具有开放的体系结构,由于其公开的接口规格,使得现在多数 4GL 程序开发语言均支持对 SQL Server 的联接,因此 MICROSOFT SQL Server 能够面向多种系统的开发,便于处理与其它系统的接口问题。
• 可伸缩性: SQL Server 所有的表、 SQL 代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行,并且它便于向大型、具有并行处理能力的开放系统硬件环境转移。
• 互操作性: MICROSOFT 客户 / 服务器系统能够透明地与其它厂商的产品联结集成,如 DB2 、 Oracle 。
• 分布式数据库支持: MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时,可以把它们的 SQL Server 网络当作一个单一的集成资源来对待。
• MICROSOFT SQL Server 与 Windows 2000 连接紧密:目前 SQL Server 产品较多,但与 Windows 2000 连接紧密且性能优越的当数 MICROSOFT SQL Server 。
• MICROSOFT SQL Server 有良好的安全性,达到 C2 级安全要求。
• 在 SQL Serve 数据库的基础上,可利用各种数据库开发工具开发数据库管理系统,也可使用现在流行的基于 Windows 平台的 MIS 管理系统。
3 ) 域名服务
由于 IP 地址是使用一长串的数字来标注主机鹤其他网络设备,非常难于记忆和不便于使用,因此目前在 Internet 上,采用一种具有直观含义的名字来代替以数字方式表示的 IP 地址,这种名字形式的地址称为域名地址,整个分层的域名地址体系即是域名解析( DNS )。对于企业来说,域名是企业在网上的标志,也是企业推广自身形象的网络门户。
域名解析是当前网络中一种成熟的技术,在本系统中将用 Windows 2000 的 DNS 系统来做域名服务。 Windows2000 包括的 DNS 系统支持新的 DDNS 标准,既支持动态更新,又可以兼容于 NT4 网络,支持手工刷新,结合了 WINS 的动态能力和传统 DNS 的稳定性和健壮性。在 Windows2000 中,活动目录与 DNS 紧密集成在一起,客户可以更容易更迅速地找到目录服务器,企业可以把活动目录直接连接到 Internet 以简化与客户和合作伙伴进行通讯和提供电子商务,网络规划和管理变得更容易。
4 ) 远程访问服务
RAS (远程访问服务)接入提供了协议封装和数据加密功能,允许移动用户通过 Internet 或公共网络建立虚拟专用网络( VPN )模拟点对点专用连接,在计算机之间收发数据,其效果与在专用线路上进行数据传输一样安全、有效。
在本系统中 RAS 服务器配有两个 Modem ,外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。
5 ) Web 服务
Windows 2000 服务器中内置了一个新的 Web 服务器 --Internet Information Server(IIS) 5.0 。 IIS 以其强大的服务能力和丰富的开发手段,使其成为了电子商务的主要服务器平台, 5.0 在原有的基础上,又增加了许多新的功能:
• IIS 5.0 将运行在它上面的 Web 站点应用和 IIS 核心服务隔离开来,而且可以对每个站点应用配置独立的 CPU 使用率,并可以独立停止和重起每个进程。这大大提高了 Web 服务器的可靠性和稳定性,是您建立的电子商务站点运行的更加可靠。
• 在安全性方面, IIS 5.0 可以使用 Windows 2000 Active Directory 实现用户身份的验证,也可以使用证书和 Active Directory 的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。
• IIS 5.0 上的 Web 站点的开发使用的时 Active Server Page (ASP) 3.0 。 ASP 提供了强大的功能和与 Windows 的紧密集成,同时 ASP 3.0 又进一步提高了效率。 ASP 3.0 提供了和 XML 的集成,同时也可以用 ADSI 2.0 对 Windows 2000 Active Directory 进行操作。使用 Microsoft Visual InterDev 6.0 开发工具,您可以快速建立您的电子商务系统,也可以建立一个复杂但是功能强劲的电子商务系统。
因此在本系统中将配置一台 Web 服务器,使用 IIS 5.0 进行 Web 开发,提供完善的 Web 服务。
6 ) 多媒体信息传输
根据客户的需求,本系统采用 Microsoft NetMeeting 构建多媒体会议系统。
广州地铁局域网和城域网解决方案
备份服务(建议采用)
使用计算机系统处理日常业务在提高效率的同时, 有一个问题越来越不容忽视, 即数据失效问题。 一旦发生数据失效, 企业就会陷入困境: 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非, 如果系统无法顺利恢复, 最终结局将不堪设想。 所以企业信息化程度越高, 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求,我们建议 在本系统中采用 CA 公司的 ARC serve 备份系统。
ARCserve 是一 个 跨平台的网络数据备份软件,在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持,目前已成为了业界的事实标准。 CA 公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的 500 家企业中有 95% 使用了 CA 公司的产品。
产品特性:
• 全面保护 Windows 操作系统
• 支持打开文件备份
• 支持对各种数据库如 Betrieve 、 Sybase 、 Oracle 等的备份
• 支持从服务器到工作站的全面网络备份
• 可以实现无人值守的自动备份
• 备份前扫描病毒,可以实现无毒备份
• 支 持灾难恢复
广州地铁局域网和城域网解决方案
Cisco 网络管理
CiscoWorksWindows 是全面的网络管理软件,它提供一整套强有力的工具,可用于管理小型到中型企业网或工作组。
• 对连网设备自动识别程序可以用色彩鲜明的分级网络视 IP IPX 网生成网络拓朴图;
• 能为 Cisco 设备获取端口状态,带宽使用率,流量统计,协议信息及其它网络性 能统计等扩展数据;
• 绘图功能灵活,可快速记录和分析可能输出到文件以备电子数据表或其它工具 使用的历史数据;
• 管理信息 率( MIB )编辑器和测览器可以管理第三方 SNMP 设备;
• 可以定多种性能变量设置,以便产生报警或事件通知;
• 事件筛选器可以筛选出有用信息以加速故障排除;
• 设备配置特性用于在 Cisco 交换机内配置简单的虚拟 LAN ( VLAN )。
广州地铁局域网和城域网解决方案
局域网防火墙及防病毒解决方案
网络安全风险分析
对于信息网所面临的安全风险涉及网络环境多方面,包括:
• 自然灾害——水灾、火灾、地震等;
• 电子化系统故障——系统硬件、电力系统故障等;
• 人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏等;
• 人员蓄意行为——网络环境可用性破坏、恶意攻击等。
其中,前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善,尽可能将风险降低到能够被控制和管理的程度。
而对于第四方面的安全风险,对整个信息网的安全环境所构成的危害最大,同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的,尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。
对于在信息网环境中,采取何种安全技术手段且如何实现,就需要通过对前面提到第四方面的安全风险的分析的基础上,针对信息网安全需求来确定。
对于风险来说,它应包括那些可以被管理但又不能被清除的,以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中,主要包括:
• 对于网络应用服务的非授权访问
• 信息交互的保密性
• 网络病毒的传播与渗入
• 网络黑客行为
通过对以上主要的网络威胁分析,使我们能够准确把握信息网的网络安全需求。
需求分析
网络安全需求是保护网络不受破坏,确保网络服务的可用性。对于信息网络内部安全需求,包括:
• 能够满足信息网络内的授权用户对相关专用网络资源访问;
• 能够对于非授权用户的访问进行有效控制和报警;
• 能够坚决杜绝病毒和其他危险程序进入网络;
• 能够对于远程访问用户进行安全管理;
• 加强对于整个信息网络资源和人员的安全管理与培训。
安全管理需求分析
如前所述,能否制定一个统一的安全策略,在全网范围内实现统一的安全管理,对于信息网来说就至关重要了。
安全管理主要包括两个方面:
• 内部安全管理
主要是建立内部安全管理制度,如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等,并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。
• 网络安全管理
在网络上设置防病毒安全检测系统后,必须保证防病毒系统的设置正确,且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理,可以通过财务软件本身和一些网络层的管理工具来实现。
安全方案
根据对信息网现阶段的安全需求分析,我们在设计本安全方案时,将采取一切有力的措施,来实现信息网现阶段的安全目标,考虑到现阶段对网络病毒的管理要求,本方案提出对网络病毒防范和管理控制建议,并提出了现阶段的网络安全管理方案。
网络设备的安全配置
信息网中,整个网络的安全首先要确保网络设备的安全,保证非授权用户不能访问网络任意的网络通讯设备(例如:路由器,集线器等)。对不同型号、厂家的网络设备,要防范的内容是一样的,但具体的配置方法须依照设备要求来实现。
对服务器访问的控制
对于服务器用户可以设置不同的用户权限,如“非特权”和“特权”两种访问权限,非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置;特权访问权限则允许用户对服务器进行完全的配置。
对服务器访问的控制建议使用以下的方式:
• 控制台访问控制
• 限制访问空闲时间
• 口令的保护
• 多级管理员权限
CheckPoint FireWall-1 4.0
作为开放安全企业互联联盟 (OPSEC) 的组织和倡导者之一, CheckPoint 公司致力于企业级网络安全产品的研发,据 IDC 的最近统计,其 FireWall-1 防火墙在市场占有率上已超过 44% ,《财富》排名前 100 的大企业里近 80% 选用了 CheckPoint FireWall-1 防火墙。
CheckPoint FireWall-1 产品包括以下模块:
• 基本模块:
• 状态检测模块( Inspection Module ):提供访问控制、客户机认证、会话认证、地址翻译和审计功能;
• 防火墙模块( FireWall Module ):包含一个状态检测模块,另外提供用户认证、内容安全和多防火墙同步功能;
• 管理模块( Management Module ):对一个或多个安全策略执行点(安装了 FireWall-1 的某个模块,如状态检测模块、防火墙模块或路由器安全管理模块等的系统)提供集中的、图形化的安全管理功能;
• 可选模块
• 连接控制( Connect Control ):为提供相同服务的多个应用服务器提供负载平衡功能;
• 路由器安全管理模块( Router Security Management ):提供通过防火墙管理工作站配置、维护 3Com , Cisco , Bay 等路由器的安全规则;
• 其它模块,如加密模块等。
• 图形用户界面( GUI ):是管理模块功能的体现,包括
• 策略编辑器:维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去;
• 日志查看器:查看经过防火墙的连接,识别并阻断攻击;
• 系统状态查看器:查看所有被保护对象的状态。
FireWall-1 提供单网关和企业级两种产品组合。
• 单网关产品:只有防火墙模块(包含状态检测模块)、管理模块和图形用户界面各一个,且防火墙模块和管理模块必须安装在同一台机器上。
• 企业级产品:可以有若干基本模块和可选模块以及图形用户界面组成,特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。
广州地铁局域网和城域网解决方案
状态检测机制
FireWall-1 采用 CheckPoint 公司的状态检测( Stateful Inspection )专利技术,以不同的服务区分应用类型,为网络提供高安全、高性能和高扩展性保证。
FireWall-1 状态检测模块分析所有的包通讯层,汲取相关的通信和应用程序的状态信息。状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用。
状态检测模块截获、分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整。网络和各种应用的通信状态动态存储、更新到动态状态表中,结合预定义好的规则,实现安全策略。
状态检测模块可以识别不同应用的服务类型,还可以通过以前的通信及其它应用程序分析出状态信息。状态检测模块检验 IP 地址、端口以及其它需要的信息以决定通信包是否满足安全策略。
状态检测模块把相关的状态和状态之间的关联信息存储到动态连接表中并随时更新,通过这些数据, FireWall-1 可以检测到后继的通信。
状态检测技术对应用程序透明,不需要针对每个服务设置单独的代理,使其具有更高的安全性、高性能、更好的伸缩性和扩展性,可以很容易把用户的新应用添加到保护的服务中去。
FireWall-1 提供的 INSPECT 语言,结合 FireWall-1 的安全规则、应用识别知识、状态关联信息以及通信数据构成了一个强大的安全系统。
INSPECT 是一个面向对象的脚本语言,为状态检测模块提供安全规则。通过策略编辑器制定的规则存为一个用 INSPECT 写成的脚本文件,经过编译生成代码并被加载到安装有状态检测模块的系统上。脚本文件是 ASCII 文件,可以编辑,以满足用户特定的安全要求。
OPSEC
CheckPoint 是开放安全企业互联联盟 (OPSEC) 的组织和倡导者之一。 OPSEC 允许用户通过一个开放的、可扩展的框架集成、管理所有的网络安全产品。
OPSEC 通过把 FireWall-1 嵌入到已有的网络平台(如 Unix 、 NT 服务器、路由器、交换机以及防火墙产品),或把其它安全产品无缝集成到 FireWall-1 中,为用户提供一个开放的、可扩展的安全框架。
目前已有包括 IBM 、 HP 、 Sun 、 Cisco 、 BAY 等超过 135 个公司加入到 OPSEC 联盟。
企业级防火墙安全管理
FireWall-1 允许企业定义并执行统一的防火墙中央管理安全策略。企业的防火墙安全策略都存放在防火墙管理模块的一个规则库里。规则库里存放的是一些有序的规则,每条规则分别指定了源地址、目的地址、服务类型( HTTP 、 FTP 、 TELNET 等)、针对该连接的安全措施(放行、拒绝、丢弃或者是需要通过认证等)、需要采取的行动(日志记录、报警等)、以及安全策略执行点(是在防火墙网关还是在路由器或者其它保护对象上上实施该规则)。
FireWall-1 管理员通过一个防火墙管理工作站管理该规则库,建立、维护安全策略,加载安全规则到装载了防火墙或状态检测模块的系统上。这些系统和管理工作站之间的通信必须先经过认证,然后通过加密信道传输。
FireWall-1 直观的图形用户界面为集中管理、执行企业安全策略提供了强有力的工具。
• 安全策略编辑器:维护被保护对象,维护规则库,添加、编辑、删除规则,加载规则到安装了状态检测模块的系统上。
• 日志管理器:提供可视化的对所有通过防火墙网关的连接的跟踪、监视和统计信息,提供实时报警和入侵检测及阻断功能。
• 系统状态查看器:提供实时的系统状态、审计和报警功能。
分布的客户机 / 服务器结构
FireWall-1 通过分布式的客户机 / 服务器结构管理安全策略,保证高性能、高伸缩性和集中控制。
FireWall-1 由基本模块(防火墙模块、状态检测模块和管理模块)和一些可选模块组成。这些模块可以通过不同数量、平台的组合配置成灵活的客户机 / 服务器结构。
管理模块包括了图形用户界面和管理员定义的相关管理对象—规则库,网络对象,服务、用户等。防火墙模块、状态检测模块以及其它可选模块用来执行安全策略,安装了这些模块的系统称为受保护对象( Firewalled System ),又称为安全策略执行点( Security Enforcement Point )。
FireWall-1 的客户机 / 服务器结构是完全集成的,只有一个统一的安全策略和一个规则库,通过一个单一的防火墙管理工作站,管理多个装载了防火墙模块、状态检测模块或可选模块的系统。
认证( Authentication )
远程用户和拨号用户可以经过 FireWall-1 的认证后,访问内部资源。 FireWall-1 可以在不修改本地服务器或客户应用程序的情况下,对试图访问内部服务器的用户进行身份认证。 FireWall-1 的认证服务集成在其安全策略中,通过图形用户界面集中管理,通过日志管理器监视、跟踪认证会话。
FireWall-1 提供三种认证方法:
• 用户认证( User Authentication ):针对特定服务提供的基于用户的透明的身份认证,服务限于 FTP 、 TELNET 、 HTTP 、 HTTPS 、 RLOGIN 。
• 客户机认证( Client Authentication ):基于客户机 IP 的认证,对访问的协议不做直接的限制。客户机认证不是透明的,需要用户先登录到防火墙认证 IP 和用户身份之后,才允许访问应用服务器。客户机不需要添加任何附加的软件或做修改。当用户通过用户认证或会话认证后,同时也就已经通过客户机认证。
• 会话认证( Session Authentication ):提供基于服务会话的的透明认证,与 IP 无关。采用会话认证的客户机必须安装一个会话认证代理,访问不同的服务时必须单独认证。
• FireWall-1 提供多种认证机制供用户选择: S/Key , FireWall-1 Password , OS Password , LDAP , SecureID , RADIUS , TACACS 等。
地址翻译( NAT )
FireWall-1 支持三种不同的地址翻译模式:
• 静态源地址翻译:当内部的一个数据包通过防火墙出去时,把其源地址(一般是一个内部保留地址)转换成一个合法地址。静态源地址翻译与静态目的地址翻译通常是配合使用的。
• 静态目的地址翻译:当外部的一个数据包通过防火墙进入内部网时,把其目的地址(合法地址)转换成一个内部使用的地址(一般是内部保留地址)。
• 动态地址翻译(也称为隐藏模式):把一个内部网的地址段转换成一个合法地址,以解决企业的合法 IP 地址太少的问题,同时隐藏内部网络结构,提高网络安全性能。
广州地铁局域网和城域网解决方案
内容安全
FireWall-1 的内容安全服务保护网络免遭各种威胁,包括病毒、 Jave 和 ActiveX 代码攻击等。内容安全服务可以通过定义特定的资源对象,制定与其它安全策略类似的规则来完成。内容安全与 FireWall-1 的其它安全特性集成在一起,通过图形用户界面集中管理。 OPSEC 提供应用开发接口( API )以集成第三方内容过滤系统。
FireWall-1 的内容安全服务包括:
• 利用第三方的防病毒服务器,通过防火墙规则配置,扫描通过防火墙的文件,清除计算机病毒;
• 根据安全策略,在访问 WEB 资源时,从 HTTP 页面剥离 Java Applet , ActiveX 等小程序及 Java , Script 等代码;
• 用户定义过滤条件,过滤 URL ;
• 控制 FTP 的操作,过滤 FTP 传输的文件内容;
• SMTP 的内容安全(隐藏内部地址、剥离特定类型的附件等);
• 可以设置在发现异常时进行记录或报警;
• 通过控制台集中管理、配置、维护。
连接控制
FireWall-1 的连接控制模块提供了负载平衡功能,在提供相同服务的多个应用服务器之间实现负载分担,应用服务器不要求都放在防火墙后面。用户可选用不同的负载均衡算法:
• Server Load —该方法由服务器提供负载均衡算法,需要在应用服务器端安装负载测量引擎;
• Round Trip — FireWall-1 利用 ping 命令测定防火墙到各个应用服务器之间的循回时间,选用循回时间最小者响应用户请求;
• Round Robin — FireWall-1 根据其记录表中的情况,简单地指定下一个应用服务器响应;
• Random — FireWall-1 随机选取应用服务器响应;
• Domain — FireWall-1 按照域名最近的原则,指定最近的应用服务器响应。 路由器安全管理
• 可以通过 FireWall-1 的管理工作站对企业范围内的路由器提供集中的安全管理:
• 通过图形用户界面生成路由器的过滤和配置;
• 引入、维护路由器的访问控制列表;
• 记录路由器事件(需要路由器支持日志功能);
• 在路由器上执行通过图形用户界面制定的安全策略。
FireWall-1 可以集中管理以下路由器:
• Bay Networks routers, version 7.x - 12.x
• Cisco routers, IOS version 9 - 11
• Cisco PIX Firewall , version 3.0, 4.0
• 3Com NetBuilder, version 9.x
• Microsoft RAS(Steelhead) Routers for Windows NT server 4.x
• 防火墙及防病毒解决方案
软件要求
• Checkpoint FireWall-1 4.1(50 用户 )for Windows 2000
• Norton Antivirus 6.0 for Windows 2000
• 网络管理软件
硬件要求
• Cisco 2610 模块式路由器
• 服务器(双网卡,一块为内部网用一块为外部网使用)
防火墙网络图
<
广州地铁局域网和城域网解决方案
城域网建设
基本概述
地铁设计院城域网的建设范围由中旅商业城十六层广州地铁总公司(地铁中心机房)、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路 204 号地铁设计院 5 个部组成。租用电信线路,采用帧中继技术组建广州地铁城域网,同时支持电话拨号访问(租用一条 256K 帧中继线和 3 条电话线供拨号访问)。
城域网的建设包括如下几方面内容:
• 路由器的安装、配置和调试
• 通讯服务器的安装、调试
• Web 服务器的安装、调试
• Mail 服务器的安装、调试
• 防火墙的安装、设置
• 城域网网管系统的安装、调试
• 城域网网络的测试
在城域网的建设中的关键要素有:路由器的选型、路由器与通讯服务器的安装、配置和调试以及“防火墙“的组建和网管系统的安装、调试。
• 通讯线路和拨号访问服务
广州地铁设计院网络建设中城域网所用的通讯线路或传输技术主要有两种:一为 FR 、二为 PSTN ,采用租用 256K 帧中继线和 3 条电话线供拨号访问
• 虚拟专用网 VPN 技术
VPN 是一个虚拟的网,其重要的意义在于 " 虚拟 " 和 " 专用 " 。为了实现在公网之上传输私有数据,必须满足其安全性。 VPN 技术主要体现在两个技术要点上: Tunnel 、相关隧道协议(包括 PPTP , L2F , L2TP ),数据安全协议( IPSEC )。下面针对这几项技术做一介绍。加密和用户授权为在公司网上进行个人通信提供了安全保证。
隧道( Tunneling )技术介绍
VPN 在表面上是一种联网的方式,比起专线网络来,它具有许多优点。在 VPN 中,通过采用一种所谓 " 隧道 " 的技术,可以通过公共路由网络传送数据分组,例如 Internet 网或其他商业性网络。 这里,专有的 " 隧道 " 类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。 通过 TUNNEL 的建立,可实现以下功能:
• 将数据流量强制到特定的目的地
• 隐藏私有的网络地址
• 在 IP 网上传输非 IP 协议数据包
• 提供数据安全支持
• 协助完成用户基于 AAA 的管理。
在安全方面可提供数据包认证、数据加密以及密钥管理等手段。 拨号 VPNs 使用隧道技术远程访问服务器把用户数据打包进 IP 信息包中,这些信息包通过电信服务提供商网络传递,在 Internet 里,则需要穿过不同的网络,最后到达隧道终点 ,然后数据拆包,转发成最初的形式。 VPN 允许网络协议的转换,还允许对来自许多源的流量进行区别,这样可以指定特定的目的地,接受指定级别的服务。公司网进行远程访问通信,从电路交换的,长距离的本地电信服务提供商到 ISPs 和 Internet 需要采用隧道技术。隧道技术使用点对点通信协议,代替了交换连接,通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术,隧道技术也禁止未授权的访问。
• 网管软件平台和网管软件
网管软件平台是一种综合网络管理软件,他不但具有网络管理的基本功能,而且用户可以利用他开发新的网络管理应用软件。目前公认的三大网管软件平台: IBM NetView 、 HP OpenView 和 SUN NetManger ,此外还有 CA 的网管软件平台。
广州地铁设计院的城域网网管,它管理中旅商业城十六层广州地铁总公司(地铁中心机房)、芳村坑口运营事业总部、广百商业大厦二十九层资源开发总部、公园前控制中心建设事业总部、环市西路 204 号地铁设计院 5 节点。
其建设要考虑网络硬件平台、操作系统平台、协议平台、网管平台、网管应用等各个方面,建议铁设计院采用 IBM NetView 网管平台和 Cisco Works 网管软件的网络管理系统。
|
发表评论
打印本文
推荐本文
加入收藏
返回顶部
关闭窗口
地铁专用无线通信系统方案设计
