南京造币厂机房造方案v1.0.docVIP

江苏省南京造币厂 设计方案 二〇〇九年八月 目 录 1 需求分析 3 1.1 客户需求 3 1.2 应用系统建设需求 3 1.2.1 应用系统的建设内容 3 1.2.2 应用系统的建设方式 4 1.3 网络架构建议 4 1.3.1 网络承载 4 1.3.2 网络架构设计 4 1.4 安全架构建议 4 1.4.1网络级安全 5 1.4.2 应用层数据安全 5 1.5 应用系统服务器建议 5 1.5.1 负载均衡建议 5 2设计拓扑 6 2.1拓扑设计依据 6 2.2什么是OSI模型 6 2.3 可能存在的问题 9 3 建设目标与任务 9 3.1 建设目标 9 3.2 建设任务 9 3.2.1 建立稳定可靠的网络系统 9 3.2.2 建立强大资源信息安全系统 10 3.2.3 建立可扩展的应用系统 10 4 网络架构设计 11 4.1 设计依据 11 4.2 设计原则 12 4.3 术语及解释 14 4.4 网络结构 15 4.4.1 网络结构 15 4.4.2 存在的问题 15 5 安全系统设计 16 5.1 设计依据 16 5.2 设计原则 16 5.3 建设思想 17 5.4安全系统设计 19 5.4.1 网络安全系统VPN设计 19 技术实现 20 1、 基于IPSEC协议，提供安全、高效、灵活的隧道协议 20 2、 完备的接入鉴权和硬件绑定CA认证机制 21 3、 集成USB Key的硬件身份识别功能 22 4、 更细致的权限粒度 23 5.4.2网络安全系统IPS设计 24 技术实现 26 5.4.3网络安全系统设计重要性 27 5.4.2 应用层数据安全设计 28 技术实现 28 数据安全设计重要性 28 5.4.4 负载均衡设计 30 负载均衡技术实现 30 6 产品介绍 36 6.1 SonicWall 36 6.2 McAfee NSP 37 6.3 F5 BIGIP－LTM 39 6.4 深信服IPSec VPN 40 1、接入服务、对移动IP的全面实现 40 2、 支持各种接入方式，随时随地移动办公 41 3、安全策略随时携带，客户端零配置 41 3、 完善的日志功能 42 4、 简单方便的配置备份和恢复 42 5、 支持远程部署和模块升级 42 7 产品相关案例 43 8 实施计划 43 1 需求分析 1.1 客户需求 自南京造币厂中钞设备集团成立以来，经过不断的建设发展，积累了大量的业务数据，无论是业务系统的运行，还是数据交换、电子政务平台、办公自动化以及电子公文网上传输等系统建设都需要网络系统的支持。因此，建设一个覆盖省、市、县（市、区）级的资源共享网络体系势在必行，为其它地区的银行提供信息的发布和汇总。同时这次的建设计划作为全国的同类型试点。该系统不采用实时在线形式。 1.2 应用系统建设需求 通过软件架构，建立起一个稳定和扩展性强的信息发布系统，在编程语言上使用通用和可用性高的语言。 1.2.1 应用系统的建设内容 按照总体建设要求，我省将逐步开展货币防伪信息发布相关应用系统、数据综合统计分析与决策支持系统和信息服务系统建设。搭建高效的快速的信息同步系统。 1.2.2 应用系统的建设方式 建立业务系统模型：以全省相关银行电子信息平台为基础，建立集统一数据资源管理、统一业务规则管理、统一组织机构管理和统一可视化集成管理为一体的全省统一的信息共享和发布应用系统建设技术框架和运行环境，为今后开发新的应用软件提供基础保障和参照原则，更为全国同类型信息发布实现业务一体化管理奠定技术基础和参考点。 1.3 网络架构建议 考虑到信息发布的业务数据量不是很大，采用联通3G无线基础传输网络提供的10M链路带宽来保证数据传输的及时性和性价比。 1.3.1 网络承载 充分考虑数据的上行和下载，面对这种集中式非实时性业务系统，考虑网络设备和处理系统的承受能力。 1.3.2 网络架构设计 因为是一种非实时性业务系统，所以不考虑网络冗余性。但是这样存在一定的风险。 1.4 安全架构建议 由于数据保密性强，其业务系统的安全关乎国计民生、社会稳定。因此，在进行网络建设时必须考虑到网络的安全性。例如：在业务专网边界处部署安全防火墙或者IPS等设备，实现数据摆渡和安全数据交换，利用VPN设备对链路层数据进行加密处理。系统应用上使用数据加密设计。 1.4.1网络级安全 由于所有数据是通过共享型联通3G网传输，所以不排除数据被窃听和截获的可能，对于网络层数据需要加密处理。 1.4.2 应用层数据安全 由于数据保密性强，其业务系统的安全关乎国计民生、社会稳定。在应用层数据上必须采用加密形式传输。 1.5 应用系统服务器建议 因为数据的重要性，在应用和数据服务器