什邡明珠电力有限责任公司内网改造技术建议书研究报告.doc

网络技术建议书 华三通信技术有限公司 2009.10.09 网络需求分析 数字化作为全面推进社会信息化进程的一个有效途径，目前已受到全世界的广泛关注。在中国紧锣密鼓地掀起数字化建设浪潮的时候，企业信息化建设更以其信息化发展的龙头作用成为当前数字化建设的一个重点。国家已经把信息化作为非常重要的战略提出来通过网络实现资源共享数据的实时互动使可以真正实现及时的细致的管理，实现流程的自动化和透明化，加快机构运作的同时最大程度的避免组织结构僵化，在不断降低运作成本的同时，提高运作效率。 网络建设方案 网络拓扑 MAC+IP+VLAN绑定描述能够为城域网、园区网、数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。 接入层网络设计 汇聚层主要是为终端信息点提供以太接入端口，采用华三通信公司的S3100-26TP-EI以实现用户的集中接入功能； 局域网将进行综合布线建设，布线标准为1000M主干，100M到桌面。网络系统建设完成后，总部局域网要全面实现千兆主干汇聚、百兆到桌面。 有几十个业务内网数据节点。我们根据办公大楼的具体情况，采用6台千兆上行百兆下行的24口交换机完成信息数据点的接入。其中4台交换机作为汇聚交换机，11台作为接入交换机使用。 综合考虑网络需求及设备性能价格比，我们建议网络接入层设备采用华三通信公司的S3100-26TP-EI千兆以太网交换机，为用户提供二层交换功能，并能够在接入层提供抑止广播，保证接入网络的实时业务可靠转发。 H3C S3100-26TP-EI千兆以太网交换机接入终端用户，华IToIP理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点，满足企业用户多业务融合、高安全、可扩展、易管理的建网需求。网络安全方案 对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。 此外，网络设备的在管理中应该采用如下的安全措施： 关闭不必要的服务，如Finger、BOOTP、DHCP 限制使用Telnet、SNMPv1等不安全的网络协议对设备进行管理，而应该采用SSH、SNMPv3。 限制不必要的路由交换，将接口置为Passive状态。 路由设备在交换路由信息时必须经过验证。验证应该使用加密方式。 将网络上的事件记入日志。 对用户操作进行进行审计。 提供用户验证、授权和计费的手段，并通过上述安全手段对合法用户进行安全保障。 能够禁止用户IP地址仿冒 能够进行地址的真实性校验 能够及时发现和阻断非法用户对网络的刺探和攻击。 网络安全需求 用户通过外网实现与互联网的交互，其网络安全主要来自以下方面： 来自不同安全域的访问控制的风险： 网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。 网络攻击行为的检测和防范的风险： 基于网络协议的缺陷，尤其是TCP/IP协议的开放特性，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。 网络数据传输的机密性和完整性的风险： 网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过程中不被人修改）是非常重要的，尤其是在传递的信息的价值不断提高情况下。 用户主机遭受网络病毒攻击的风险： 网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大是令人吃惊的，特别是最近开始流行的一些蠕虫病毒，更是防不胜防，环境下必须建设全面的网络防病毒系统，层层设防，逐层把关，堵住病毒传播的各种可能途径。 针对用户主机网络攻击的安全风险： 目前Internet上有各种完善的网络攻击工具，在局域网的环境下，这种攻击会更加有效，针对的目标会更加明确，据统计，有97％的攻击是来自内部的攻击，而且内部攻击成功的概率要远远高于来自于Internet的攻击，造成的后果也严重的多。 用户网络访问行为有效控制的风险： 首先需要对用户接入网络的能力进行控制，同时需要