3.1 系统建设原则
总体建设原则:网络运维要有利于管控,最大限度降低网络风险,新建的防火墙,行为审计,IPS能够与原有网络平滑接入,易于总体管理维护。
结合实际应用和发展要求,本次方案还需遵循以下原则:
(1)实用性:以现行需求为基础,充分考虑发展的需要来确定系统规模。
(2)安全性:保障用户接入网络的安全、认证过程中用户名和帐号的安全,用户数据通信过程中用户数据的安全。
(3)可靠性:系统设计最大限度地减少故障的可能性及故障发生后修复的及时性。 (4)规范性:网络所采用的技术和设备应符合国际标准、国家标准和运营商企业标准,为系统的扩展升级、与其他系统的互联提供良好的基础。
(5)开放性和标准化:提供开放性好、标准化程度高的技术方案,采用的设备的各种接口满足开放和标准化原则。
(6)可扩展性:所有设备不但满足当前需要,并在扩充模块后满足可预见将来的需求,建设完成后的系统能及时向新技术升级演进,同时能最大限度保护现有的投资。
(7)可管理性:整个系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行系统配置,在设备、安全性、数据流量及性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
第 4 页 共 15 页
重庆市南岸区教育城域网核心安全解决方案
3.2 网络平台设计方案
3.2.1 网络拓扑图
3.2.2 网络设计说明
网络是基础,我们按逻辑结构分为三层,核心层、汇聚层和接入层,物理结构我们分为了6个部分,即出口区域、核心区域、智能管理综合平台、无线系统区域、业务服务区以及管理平台区。
出口区域:
在整个教育城域网出口,我们需要部署一台一体化安全网关设备来保障出口安全,为网络提供2-7层的安全防护。
部署IPS产品在客户网络的关键路径上,通过对流经该关键路径上的网络数据流进行2到7层的深度分析,能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、
第 5 页 共 15 页
重庆市南岸区教育城域网核心安全解决方案
扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用,同时,H3C SecPath T1000/T5000系列产品还具有强大、实用的带宽管理和URL过滤功能。
为配合公安部82号令的要求,在方案中设计了一台上网行为管理设备,配合网络认证软件,记录并留存重有线/无线用户的登录和退出时间、账号、访问的互联网地址或域名、系统维护日志等。上网行为管理能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制,保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计,进而帮助运维人员全面了解网络应用模型和流量趋势,优化其带宽资源,开展各项业务提供有力的支撑。
核心区域: ① 核心交换机:
此次核心交换机无需再建设,利旧原有的华三 S12508核心交换机作为整个网络的数据核心交换设备。
② 网络管理综合平台
随着信息化建设的大量投入,信息化水平在全国逐渐处于领先水平。而IT信息系统体现应用价值基础是拥有良好的运维保障能力。现在的IT运维人员水平、人数不可能像IT系统建设的速度增长,需要较长时间改善和提升。因此,配套建设一套良好的IT信息运维流程方法、运维产品十分必要,以提升整个信息中心运维管理效率,改善未来面临的多种管理问题。
本次建设方案采用一套网络管理平台,通过数据接口和定制模块来扩充系统能力,以客户化定制来进一步贴近用户业务和服务监控环境,形成一体化、实用化的解决方案。
该系统需全面监控网络硬件、服务器、软件系统、机房环境的运行状态,并用直观的方式展示给管理人员,以求提高信息化的管理水平和管理效率。 汇聚区域:本次不涉及 接入区域:本次不涉及
3.2.3 核心网络设备清单
设备 核心交换机 华三S12508:(已建) 说明 数量 1 第 6 页 共 15 页
重庆市南岸区教育城域网核心安全解决方案 防火墙 上网行为审计 华三 F5020(加IPS组件) 华三 ACG1000-X 1 1 1 智能网络管理平台 H3C IMC:基础管理 3.3 运维管理方案
运营管理组件为管理员提供了灵活的组件选择,同时符合业界主流的SOA架构,具备良好的扩展性,能够满足师生网络管理不断发展的需求。基于Web的管理系统,管理者提供了简便、友好的管理平台。其它组件配合,还可实现设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。
多样化的拓扑管理
业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源,有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构,并在指定建筑物底图上根据真实情况摆放设备,逼近真实网络环境。
3.4 网络设备配置清单
序号 产品名称 品牌 产品型号 NS-SecPath 1 NS-SecPath F5020 H3C F5020 H3C SecPath F5000,IPS 特征2 库升级服务,1年 3 H3C iMC-智能管理平台标准版 H3C iMC-智能管理平台标准版4 -100 License 5 NS-ACG1000-X+LIS-1 上网行 H3C 100 NS-ACG1000-X+台 1
H3C Y H3C SWP-IMC7-IMP LIS-IMC7-IMPC-个 1 个 1 LIS-F5000-IPS-1个 1 台 1 单位 数量 第 7 页 共 15 页
重庆市南岸区教育城域网核心安全解决方案 为管理 6 H3C UIS-Cell 华三云机R390G2-B1 H3C LIS-1 UIS-Cell-R390G2-B1 台 1
4 质保及售后服务
4.1
产品质保期
重庆联通公司为本项目质保服务标准如下: 1、所用产品免费质量保证期不低于2年。
2、本项目所使用的产品均属于厂家原装正品,符合国家质量标准、手续完备。 2、所用产品属于国家规定“三包”范围的,产品质量保证期不得低于“三包”规定。 3、所用产品由制造商(指产品生产制造商,或其负责销售、售后服务机构,以下同)负责标准售后服务的,提供制造商售后服务承诺函。
