没有合适的资源?快使用搜索试试~ 我知道了~
信息化项目华为网络、网络安全、存储系统建设方案.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 145 浏览量
2023-06-14
22:57:04
上传
评论
收藏 961KB PDF 举报
温馨提示
试读
16页
信息化项目华为网络、网络安全、存储系统建设方案.pdf
资源推荐
资源详情
资源评论
信息化项目华为网络、网络安全、存储系统
建设方案
1 网络及网络安全方案
根据标书要求及其应用需求,鉴于 AA 重型机械公司各部门的特殊安全性要
求,在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则,利用
标准 IP+MPLS VPN 技术,保证网络的互联互通性,并提供各部门、应用系统网络
间的逻辑隔离(VPN),保证互访的安全控制,同时通过 QOS 和基于 MPLS VPN 的流
量工程(TE),保证关键业务在网络上传输的优先级。
对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据
隔离,我们设计采用 MPLS VPN 技术实现网络横向业务部门的隔离和纵向应用系
统的互通,所采用的传输及网络设备以及整体网络构架都具有良好性能、高可
靠和可扩展性,充分保护用户投资。
根据网络业务不断发展的需求,未来将在现有数据网络平台基础上增加语
音、视频等业务功能,并将各种业务充分融合,统一实现,从而构建一个基于
“三网合一” 概念的企业信息化综合业务平台。
全网分为两部分:骨干网络和网络中心。
骨干网络采用核心层、汇聚层、接入层的部署思路,各部分描述如下:
作为全网数据和业务的核心,网络上所有业务的数据流都要经过核心交换
机进行交换,因此它的安全性、可靠性和高性能对于全网数据和业务应用的正
常开展至关重要。我们采用的华为 3om 公司万兆核心路由交换机 H3C 9512,基于
新一代核心交换机的设计理念,在本项目中具备如下特色:
1、主控引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多
配置文件,保证可靠性;
2、本项目部署采用增强型业务板,全面支持分布式 IP/MPLS VPN 业务转发,
保证高性能;
3、内置的 802.1x SERVER 可以作为接入认证服务器 CAMS 的备份系统;
4、硬件支持 IPv6,支持 10G RPR 高速环网数据接口,满足未来构建企业大
型核心环网要求;
汇聚层在骨干网络中起到承上启下的作用,应具备可靠性、高性能和多业
务兼顾的特点。我们采用的华为 3om 公司万兆核心路由交换机 H3C 9505,在本项
目中具备如下特色:
1、主控引擎、电源等关键部件全部采用冗余设计,支持多操作系统、多
配置文件,保证可靠性;
2、本项目部署采用增强型业务板,全面支持分布式 IP/MPLS VPN 业务转发,
保证高性能;
3、采用逐包转发机制,可抑制各种蠕虫病毒的泛滥;
4、完善的 ACL、流量监管、多元组绑定等安全机制;
5、硬件支持 IPv6,支持 10G RPR 高速环网数据接口,满足未来构建企业大
型核心环网要求;
我们采用华为 3com 公司的网络和安全产品,对数据中心做如下部署:
核心防火墙: 防火墙可以部署在网络内部数据中心的前面,实现对所有访
问数据中心服务器的网络流量进行身份控制,提供对数据中心服务器的保护。
除了完善的隔离控制能力和安全防范能力,数据中心防火墙的部署我们同时考
虑两个关键特性:
高性能:数据中心部署大量的服务器,是整个网络的数据流量的汇集点,
因此要求防火墙必须具备非常高的性能,保证部署防火墙后不会影响这些大流
量的数据传输,不能成为性能的瓶颈;
可靠性:所有数据服务器都部署在数据中心,这些服务器是企业运行的关
键支撑,必须要严格的保证这些服务器可靠性与可用性,因此,部署防火墙以
后,不对网络传输的可靠性造成影响,不能形成单点故障。
基于上述两个的关键特性,我们进行以下设备部署模式和配置策略:
设备部署模式:
我们在两台核心交换机上部署两台F1000-S千兆防火墙,以双链路方式和1G
的吞吐量保证可靠性和高性能。
安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确
的规则允许通过,全部拒绝以保证安全;
在两台防火墙上设定严格的访问控制规则,配置只有规则允许用户能
够访问数据中心中的指定的资源,严格限制网络用户对数据中心服务
器的资源,以避免网络用户可能会对数据中心的攻击、非授权访问以
及病毒的传播,保护数据中心的核心数据信息资产;
配置防火墙全面攻击防范能力,包括 ARP欺骗攻击的防范,提供 ARP主
动反向查询、TCP报文标志位不合法攻击防范、超大 ICMP报文攻击防范、
地址/端口扫描的防范、 ICMP重定向或不可达报文控制功能、 Tracert
报文控制功能、带路由记录选项 IP报文控制功能等,全面防范各种网
络层的攻击行为;
根据需要,配置IP/MAC绑定功能,对能够识别 MAC地址的主机进行链路
层控制,实现只有IP/MAC匹配的用户才能访问数据中心的服务器;
核心入侵防御系统(IPS):随着网络所面临的威胁越来越多,尤其应用层
的攻击与日俱增,传统的防火墙等安全设备已经无法独立应对。对于数据中心
来说,服务器受攻击瘫痪,数据被窃取,病毒感染导致系统停滞,都会给企业
带来无可估量的损失。入侵防御系统(IPS)能够较好的解决应用层安全隐患。
我们采用 IPS 领域最好的产品,华为 3com TippingPoint IPS,为 AA 重型
机械公司数据中心的带来全方位的安全防护能力。具体部署如下:
在服务器交换机和核心防火墙之间,部署两台 TippingPoint 1200E IPS,
和服务器交换机、防火墙设备采用双链路连接,以阻挡防火墙设备不能抵御的
系统漏洞攻击、蠕虫病毒、木马程序、间谍软件、 DOS/DDOS 攻击等。同时
TippingPoint 1200E 入侵防御性能达 1.2Gbps,完全满足 1G 以上的设备要求,
无任何瓶颈。
TippingPoint IPS 的优点如下:
1、安全与高性能相结合
华为 3com TippingPoint 是全球 IPS 领域的领导者。其 IPS 产品(及其配套
的管理和保障产品),凭借强大的攻击检测与实时防御能力、出色的性能、电信
级的高可靠性和易部署、易管理等特性,成为唯一的 NSS(全球最权威的安全产
剩余15页未读,继续阅读
资源评论
hhappy0123456789
- 粉丝: 59
- 资源: 5万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功