关于集团网络系统基础架构的研究.pdf

时，能够在不同互联网出口链路中动态地分配和负载均衡，这 墙、上网行为管理、SSLVPN、入侵防护及 WEB应用防火墙， 也被称为出站流量的负载均衡。 上述安全设备功能简单描述如下： (2)互联网络的外部用户在外部访 问内部网站和应用系统 (1)防火墙：是隔离互联网与内网的第一道屏障，用于实 时，也能够动态地在多条链路上平衡分配，并在一条链路 中断 现 内外网隔离。 的时候能够智能地 自动切换到另外一条链路到达服务器和应用 (2)上网行为管理：可以保障企业互联网资源 的有效利用， 系统，这也被称作为入站流量的负载均衡 。 避免单个用户下载行为而造成互联网带宽瓶颈。 3．2 核心层研 究 (3)SSLVPN：通过简单网页方式建立的VPN通道，可以 本研究建议核心层采用两台核心交换机，通过 VRRP实现 保障移动办公人员安全高效地访 问公司的内部资源。 全容错的核心层接入。VRRP全称 VirtualRomerRedundancy (4)入侵防护：可 以及时准确地拦截黑客的各种攻击行为 。 Protocol(虚拟路 由冗余协议)。简单来说，VRRP是一种容错 (5)WEB应用防火墙：可避免网站被篡改而造成各种经济 协议，它保证当主机的下一跳路由器坏掉时，可以及时的由另 及声誉上的损失。 一 台路由器来代替，从而保持通讯的连续性和可靠性。为了使 以上这些网络安全防护设备对于保证企业 网络环境的健 VRRP工作，首先要创建一个虚拟 IP地址和 MAC地址 ，这样 康 、稳定运行缺一不可。 在这个网络中就加入了一个虚拟路由器。而这个网络上的主机 41 互联网边界安全研 究 与虚拟路 由器通信 ，无需了解这个网络上物理路由器的任何信 成功的DDoS攻击 (DistlibutedDenialofservice分布式拒 息。一个虚拟路由器由一个主路 由器 (MASTER)和若干个备 绝服务，即很多DOS攻击源一起攻击某台服务器)所带来的损 份路 由器 (BACKUP)组成，主路 由器实现真正的转发功能。 失是巨大的。DDoS攻击之下的厦门轨道交通集团所有网站性 当主路由器出现故障时，备份路由器成为新的主路 由器 ，接替 能急剧下降，无法正常处理用户的正常访问请求，造成客户访 它的工作。 问失败：服务质量协议 (SLA)也会受到破坏，带来高额 的服 在厦门轨道交通集团中心机房部署两台核心交换机，通过 务赔偿。同时，提供商的信誉也会蒙受损失，而这种危害又常 VRRP及 MSTP技术实现链路及设备冗余及负载，避免单台核 常是长期性的。利润下降、生产效率降低、IT开支增高以及相 心交换机故障而造成整个业务系统的中断。 应 问题诉诸法律而带来 的费用增加等等 ，这些损失都是 由于 考虑网络的安全、稳定可靠性，本研究建议网络设备采用 DDoS攻击造成的。 知名品牌。 厦门轨道交通集团未来基于互联网业务应用 (例如交通信 3．3 接入层研究 息发布、网上购票等)将越来越多，面临DDoS攻击机会将越 为了保证各楼层高可用性、高密度的客户端接入，本研究 来越大。厦门轨道交通集团在互联网边界区必须部署强有力抗 建议每台接入层交换机通过双链路与两台核心交换机对接，并 DDOS攻击能力的防火墙，并实现三大安全区域的划分：外网、 开启生成树避免环路，保证骨干线路千／万兆的链路，另一方面 内网和DMZ (demilitarizedzone隔离区，是为了解决安装防火 通过 trunk将各楼层所需的VLAN传递下来 ，并通过接 口划分 墙后外部网络不能访问内部网络服务器的问题 ，而设立的一个 指定的VLAN。为了保证安全 ，各 VLAN之间互访控制通过核