网络安全项目网络建设方案模板.doc
《网络安全项目网络建设方案模板.doc》由会员分享,可在线阅读,更多相关《网络安全项目网络建设方案模板.doc(99页珍藏版)》请在咨信网上搜索。
1、网络安全项目网络建设方案99资料内容仅供参考,如有不当或者侵权,请联系本人改正或者删除。广发证券网络安全项目网络部分建设方案书 5目 录1简介32网络安全项目网络部分技术要求及说明33设计总体考虑34网络设计原则45解决方案65.1网络解决方案描述65.2广东数据中心的设计75.3分公司( 区域中心) 网络系统85.4OA总部设计95.5独立营业部设计105.6广域网络的备份105.7IP 语音115.7.1IP语音工作原理115.7.2语音接点的布设及PBX的选择115.7.3带宽要求115.7.4对PBX的要求115.8系统管理125.8.1CISCO 网络设备的管理125.8.2策略的管
2、理125.8.3IP VOICE管理125.8.4CA网管平台136性能分析186.1先进性186.2安全性206.3保证服务质量206.4可扩展性236.5便于向新的技术发展236.6采用工业标准化技术, 具有好的互联特性237实施方案247.1技术细节247.1.1IP 地址规划247.1.2路由协议的选择267.1.3IP语音技术细节317.1.4信息流策略-实现QoS368产品简介448.1Cisco 7500系列路由器448.2Cisco 3600 路由器508.4NSM 高级网络模块介绍53广发证券网络安全项目网络部分建设方案书1 简介本方案书是按照广发证券网络安全项目招标文件网络
3、部分简要技术说明、 广发证券的现状和实际需求而设计的解决方案。2 网络安全项目网络部分技术要求及说明网络安全项目网络部分综合业务信息平台的建设以广东计算中心和全国12家分公司, 87个营业部的广域网连接为主, 其中广州、 上海等12家分公司作为区域中心供本地营业部的接入, 同时考虑建立IP语音的测试平台, 为将来在企业范围内的IP语音和视频应用的推广打好基础。需求: 广域网络结构整体性规划和设计, 包括整体网络拓扑结构的建议, 路由算法的选择和优化等工作。网络性能分析和改进建议, 包括对广域网和局域网的流量分析和统计, 对网络传输性能的优化改进建议。网络管理方案设计和实施, 包括对局域网和广域
4、网的网络管理和监控方案的设计和实施。网络重大故障的技术支持策略。3 设计总体考虑当今网络的发展正远远超出了单纯追求基本连通的历史阶段。我们在网络连通基础上需要更高要求的网络服务内容, 包括QoS网络服务质量, Security安全性服务, Reliability高可靠性, Scalability可扩展性等增值服务。如图所示Cisco所建议的网络方案总体结构基于三层模型: 即网络硬件的互连环境层, 网络软件的增值服务层及多层次网络管理层。其中网络硬件互连环境主要指传统意义上的网络互连设备, 包括交换机, 路由器, 拨号访问服务器等设备环境。Cisco公司建议采用端到端的网络方案, 即采用主要有一
5、家公司的包括交换机, 路由器, 拨号访问服务器软硬件产品。因为只有这样才能真正实现端到端的网络性能, 端到端的网络安全性, 端到端的服务质量以及端到端的网络管理, 从而在节省开销的同时, 大大提高网络的经济效益。广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。4 网络设计原则先进性作为广发证券的新一代信息系统的承载网络, 网络系统处理的信息量是十分庞大的, 要求计算机网络有很高的工作效率。而且随着业务的快速发展, 系统面临的任务也愈来愈艰巨, 因此, 我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率, 技术上的先进性将保证系统工作的灵活性
6、, 技术上的先进性将保证网络的可靠性, 技术上的先进性也使系统的扩充和维护变得十分简单。我们将在网络构架, 硬件设备, 传输速率, 协议选择, 安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。可靠性 在广发证券的宽带广域网网络设计中, 很重要的一点就是网络的可靠性, 即坚固性。在外界环境或内部条件发生突变时, 怎样使系统保持正常工作, 或者在尽量短的时间内恢复正常工作, 在设计时对可靠性的考虑, 能够充分减少或消除因意外或事故造成的损失。安全性随着计算机技术的发展, 特别是网络和网络间互联的规模的扩大, 信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。我们
7、在网络设计时, 将经过访问控制列表、 防火墙、 IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。标准化从发展的眼光看, 计算机信息系统就是要实现信息的共享, 完成不同制造厂商的设备和计算机软、 硬件资源的数据交换。为此必须建立一个由开放式、 标准化的网络结构体系, 满足当前可实现的技术, 又能适应今后新技术的引进、 开发和推广。我们建议采用的Cisco 系列产品是当前业界支持协议最多、 接口介质最广泛的网络产品。可管理性和可维护性网络设计中, 对网络主干的有效管理也是必须考虑的主要因素。一个有效的网络管理方案不但要包括建立各级网管中心的设备及软件, 而且要包括配置各种设备的必要顾问服务
8、。尤为重要的是, 要能帮助用户制定网管策略和网管中心运作机制。在网络投入运行初期, 提供现场顾问服务也是必须的。在满足上述多项原则的基础上, 尽可能降低工程造价, 追求最优的性能/价格比。当然, 高性能与高可靠性是以高投入为代价的。最终的方案一定是性能与价格折中的产物。可扩展性随着广发证券的各项业务的快速发展, 网络系统面临的任务将愈来愈艰巨, 愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展, 我们设计的网络十分注重扩充性。无论是网络硬件还是系统软件, 都能够方便的扩充和升级, 关键设备的扩充和升级时, 系统将无需中断正常的工作。上述系统设计的原则将自始自终贯穿整个系统的设计和实现。
9、5 解决方案5.1 网络解决方案描述根据以上网络设计原则, 我们对广发证券的宽带广域网部分作如下设计: 由上图可见, 广发证券的宽带广域网中心位于计算中心, 与总部OA中心、 Internet等外联系统连接; 同时提供区域中心、 广东地区营业部等接入。上海、 北京等12家分公司作为区域中心供本地营业部的接入; 同时, 上海、 北京等12家区域中心以及广东地区除分中心管理外的其它营业部(直接连接到信息中心)接入。整个系统构成了广发证券的综合信息平台, 当前主要为广发证券提供交易、 办公提供数据应用的支持, 同时提供IP语音平台, 为将来在企业范围内的IP语音和视频应用的推广打好基础。系统中的所有
10、区域中心及营业部, 主链路均采用中国电信的DDN,按照上述描述连接; 首选的备份链路均采用ISDN/PST; 第二份备份链路采用现有的卫星系统保持不变。安全问题详见安全解决方案。5.2 广东数据中心的设计信息中心是广发证券宽带广域网的数据中心和通讯中心, 采用一台Cisco 7507高端路由器作为主干广域网路由器, 与中国电信的长途干线网连接, 在本期工程中, 与区域中心合OA总部的连接采用1Mbps的DDN链路, 与营业部的连接采用256Kbps的DDN链路( 建议) 。另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器, 提供备份接入, 它能够自动识别模拟信号和数字
11、信号, 调配相应的模拟modem或数字modem与之握手; 同时Cisco 3662路由器还起着VoIP语音网关的作用, 经过1个E1模块与上海本地的PBX相连接, 提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙, 互为热备份, 完成安全防卫任务, 同时提供IPSec的VPN隧道技术的支持。信息中心的局域网采用原有Cisco Catalyst 6509 Switch不变, 实现与各地网络之间的高速数据交换。对于在数据中心的外联系统包括Internet和银行等均包含在统一的接入中心交换平台上, 使用高端防火墙作安全隔离, 接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连
12、接各个不同的单位。5.3 分公司( 区域中心) 网络系统分公司是区域数据中心和通讯中心, 采用一台Cisco 3662高端路由器作为主干广域网路由器, 与数据中心7506主干路由器经DDN连接, 同时提供下属营业部主链路接入; 另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器, 提供与数据中心备份连接, , 同时提供下属营业部备份链路接入; ; 同时Cisco 3662路由器还起着VoIP语音网关的作用, 经过FXO端口与本地PBX相连接, 提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙, 互为热备份, 完成安全防卫任务, 同时提供IPSec的VPN隧
13、道技术的支持。5.4 OA总部设计OA总部是OA等业务系统中心, 采用一台Cisco 3662高端路由器作为主干广域网路由器, 与数据中心7506主干路由器经DDN连接; 另采用一台Cisco 3662多功能路由器作为PSTN/ISDN访问服务器, 提供与数据中心备份连接; 同时Cisco 3662路由器还起着VoIP语音网关的作用, 经过FXO端口与本地PBX相连接, 提供IP电话业务。在广域网路由器与内部局域网之间采用两台防火墙, 互为热备份, 完成安全防卫任务, 同时提供IPSec的VPN隧道技术的支持。5.5 独立营业部设计其它地区的营业部当前在第一期工程时先采用一台Cisco 265
14、1多功能路由器经过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接, 经过ISDN/PSTN进行主链路的备份。在广域网路由器与内部局域网之间采用一台防火墙, 在完成安全防卫任务。当前这些营业部包括北京、 上海、 广东地区等, 共87个。5.6 广域网络的备份在数据中心配置了一台多功能Cisco 3660路由器作为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器, 可同时容纳30条普通MODEM或数字MODEM进行备份连接, 满足广发证券总的备份 能力的需求。同时还可兼作移动用户的接入访问控制服务器。另外, 我们建议采用原有的卫星线路作为第二条备份链路。5.7 IP
15、 语音5.7.1 IP语音工作原理5.7.2 语音接点的布设及PBX的选择针对IP语音的建立, 在上海数据中心的3662路由器上增加一个E1端口的语音模块, 用于连接PBX; 信息中心的PBX推荐采用数字交换系统, 采用该交换机还可为将来的IP Call Center打下基础。在区域中心和OA总部的3662则使用8线FXO的两个语音模块连接本地的PBX; 可建立VoIP的平台, 作广发证券全面实施IP 语音准备。5.7.3 带宽要求 一路语音在传统的TDM电讯系统中传输需占用64K带宽, 而利用新的IP技术可将其压缩至1012K。当广域网线路的利用率超过70%的时候, 网络性能将会呈线性下降。
16、因此, 为保障网络的质量, 8路并发语音所需要带宽为: |8K*10/70%|=114K。5.7.4 对PBX的要求 采用本方案需要总部的PBX 支持E1接入。若不支持则根据具体情况需要更改为路由器的语音接口为E&M或FX0接口。5.8 系统管理页: 19加入策略管理、 IP VOICE 管理5.8.1 CISCO 网络设备的管理在广发证券的语音网络中我们配置了CiscoWorks LAN Management和CiscoWorks Routed WAN Management, 为广发证券提供配置、 管理、 监控和故障诊断工具。其具有基于 Web 的解决方案带有管理交换和路由环境的应用。5.8
17、.2 策略的管理在广发证券的语音网络中我们配置了CiscoWorks Cisco Secure Policy Manager, 是一个用于 Cisco 防火墙和虚拟专网(VPN)网关的可伸缩、 强大的安全政策管理系统。经过 Cisco Secure Policy Manager, Cisco 客户能够集中定义、 分发、 执行和审计网络范围的安全政策。该产品使管理复杂网络安全部件的任务流程化, 例如周边访问控制、 网络地址转换(NAT)和基于 IPSec 的 VPN。经过 Cisco Secure Policy Manager的图形用户界面, 管理员能够直观地为多个 Cisco 防火墙和 VPN
18、 网关定义高级安全政策。在创立时, 这些政策能够集中分发, 从而消除了逐设备实施安全命令的代价高昂、 耗费时间的实践。另外, 该产品还提供系统审计功能, 包括事件通知和一个基于 Web 的报告系统。作为 Cisco 端到端安全产品线的管理基础, Cisco Secure Policy Manager 在 Cisco 网络内简化了安全产品和服务的部署。同时系统还配置了Cisco QoS Policy Manager , 它是一个全特性的政策系统, 它简化了为企业网络配置和部署 QoS 政策的复杂性。5.8.3 IP VOICE管理在广发证券的语音网络中我们配置了CiscoWorks Voice
19、Manager 2.0 (CVM), CVM提供了基于Web的语音管理和报告的解决方案。它具备了配置语音端口以及建立/更改Voice Over IP网络中的拨号计划的能力。它能自动检测网络状况, 包含有检测网络故障的工具以及通话的详细资料, 如通话质量、 历史数据等。Cisco Voice Manager是经过TCP/IP网络与VoIP的设备建立联系。即用户使用一般的web浏览器( Netscape、 IE) 经过标准的超文本协议( HTTP) 与Cisco Voice Manager Server进行通讯。同时, Cisco Voice Manager Server则经过简单网络管理协议(
20、SNMP) 与支持语音的设备进行通讯。因此也就实现了用户经过WEB浏览器来管理VoIP网的功能。5.8.4 CA网管平台5.8.4.1 系统运行状况和可用性管理概念和范围系统运行状况和可用性监控是确保整个IT系统顺利、 高效运作的最基本的功能, 她经过监控网络线路、 设备、 服务器、 数据库和应用系统的可用性和运行状况, 为其它各种ESM管理功能提供数据来源。我们建议首期广发证券网络系统运行状况和可用性管理的范围是: 广发证券网络系统数据中心局域网络/设备管理广发证券网络系统广域网线路/设备管理广发证券网络系统中心关键服务器操作系统广发证券网络系统关键数据库系统( 如SQL) 对这些对象进行性
21、能管理的目标是实时监控其关键参数的运行状态和故障情况, 经过直观简洁的图形用户界面集中表现出来。发生不同严重程度的警告和故障, 以直观的发生呈现给管理员, 以便及时处理。实现方案为了在上述范围内实现集中的可用性和故障管理, 我们建议在网络中心采用一台PC服务器, 经过Unicenter的相关管理模块完成可用性和故障管理功能。另外, 对操作系统、 数据库和应用系统的管理需要这些服务器的参与-在这些计算机上部署CA相关管理软件。我们建议的广发证券网络系统运行状况、 可用性和故障管理由如下不同部分组成: Unicenter NSM, 负责收集管理范围内所有的网络线路、 设备、 服务器、 数据库系统的
22、运行状况、 可用性和故障信息, 经过直观用户界面实时展示给客户。广发证券网络系统各个被管理服务器上的NSM模块负责监视本机操作系统, 收集可用性和故障数据, 经过管理主控台集中反映。监控内容包括网络设备处理器、 缓冲区、 端口、 线路故障和可用性, 操作系统CPU、 内存、 交换区、 文件系统、 文件、 磁盘、 进程、 日志文件等。Unicenter NSM Advanced Network Operations, 该模块安装在管理主控台上, 负责对不同网络设备、 资源的特性进行进一步监控和管理。如监控、 控制局域网VLAN划分、 监控网络路径可用性、 基于PVC监控帧中继线路可用性和故障等等
23、本方案建议的系统管理功能从各种不同的来源采集数据: 广域网络内的各地分公司安装一套Unicenter NSM, 负责采集本网络内的有关系统信息, 同时受信息中心的Unicenter NSM Console统一管理; 网络线路和设备可用性和故障管理经过SNMP协议, 采集网络设备的MIB II以及设备专用的MIB信息库完成; 同时经过ICMP协议定期Ping各个节点, 探测设备可用性; 系统、 数据库和应用系统故障和可用性管理由安装在被管机上的模块监视系统, 收集数据。利用Unicenter的Agent技术透过SNMP向管理主控台传递数据。5.8.4.2 性能管理和容量规划概念和范围性能管理主要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 项目 网络 建设 方案 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。