《无线网络及安全系统设计书》由会员分享,可在线阅读,更多相关《无线网络及安全系统设计书(35页珍藏版)》请在金锄头文库上搜索。
1、1. 网络及安全系统设计网络及安全系统设计计算机网络作为一个通信基础设施体系,不仅涉及大量的数据、语音和图像视频传输,同时也对系统的实时性和可靠性提出较高的要求。因此,建设一个先进、高效、合理的计算机网络系统十分的必要。2. 系统建设的原则系统建设的原则系统高可靠性系统高可靠性高效稳定的系统,能提供全年 365 天,每天 24 小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,以确保系统稳定。高性能可扩展性高性能可扩展性能够根据应用需求方便地进行系统扩充和技术扩展,满足应用系统需求。支持各种高速网络技术(千兆以太网,快速以太网) ;全系列的交
2、换产品,拓展网络带宽。网络系统的高安全性网络系统的高安全性划分 VLAN,并通过核心交换机中的三层路由中的包过滤功能,限制和隔离数据报;提高整个网络的安全性。系统的开放性系统的开放性系统在设计时均采用国际标准协议。如网络管理基于 SNMP,并支持 RMON和 RMON2;VLAN 协议支持国际标准 IEEE802.1Q 等。系统的先进性系统的先进性选用当前业界领先且代表主流发展方向的网络技术来设计相应的系统, 3. 系统设计系统设计3.1 网络拓扑图网络拓扑图3.2 网络配置说明网络配置说明3.2.1 防火墙配置说明防火墙配置说明防火墙部署:在 Internet 公网出口部署 1 台 Hill
3、stone SG-6000-M3100 高性能防火墙,实现 Internet 公网与其它各安全区域之间,以及对 Internet 的访问控制和对来自 Internet 的各种攻击进行有效的防御。在应用服务器区部署 1 台 Hillstone SG-6000-M3100 高性能防火墙,实现应用服务器区与其它各安全区域之间,以及对 Internet 的访问控制,同时可有效保护应用服务器区不受各种网络攻击。移动用户的接入安全:移动用户可以采用 SSL VPN 方式,实现对内部资源的安全访问。在 Internet 出口部署的 1 台 Hillstone SG-6000-M3100 设备已集成SSLVP
4、N 功能,用户只需通过 Internet 访问此设备,然后经过认证服务器的认证后,建立 VPN 通道,即可安全地访问被授权的内网资源。HillstoneHillstone SG-6000-M3100SG-6000-M3100 简介:简介:SG-6000 是 Hillstone 山石网科公司全新推出的新一代多核安全网关系列产品。其基于角色,深度应用的多核 PlusG2 安全架构突破了传统防火墙只能基于 IP 和端口的防范限制。处理器模块化设计可以提升整体处理能力,突破传统 UTM 在开启病毒防护或 IPS 等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达 1Gbps,适用于政
5、府机关、企业等机构,可部署在网络的主要结点、总出口及数据中心,为网络提供基于角色,深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。新一代防火墙新一代防火墙 - - 深度应用安全深度应用安全随着网络的快速发展,越来越多的应用都建立在 HTTP/HTTPS 等应用层协议之上。新的安全威胁也随之嵌入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。Hillstone 山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付
6、自如。StoneOS识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括 P2P、IM(即时通讯)、游戏、办公软件以及基于 SIP、H.323、HTTP 等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。全面的全面的 VPNVPN 解决方案解决方案SG-6000 多核安全网关支持多种 IPSecVPN 的部署,它能够完全兼容标准的IPSecVPN。SG-6000 系列产品对 VPN(包括 SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的 VPN 解决方案。Hillstone 独具特色的即插即用 VPN,可以让远端分支
7、机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统 IPSec VPN设备配置难、使用难、维护成本高的缺点。SG-6000 多核安全网关还通过集成第三代 SSL VPN 实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。内容安全内容安全(UTM(UTM Plus)Plus)SG-6000 可选 UTM Plus软件包提供病毒过滤,入侵防御,内容过滤,上网行为管理和应用流量整形等功能,可以防范病毒,间谍软件,蠕虫,木马等网络的攻击。关键字过滤和基于超过 2000 万域名的 Web 页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作
8、效率和控制对不良网站的访问。病毒库,攻击库,URL 库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的 URL 做到及时响应。安全可视化安全可视化 - - 基于角色和应用的管理基于角色和应用的管理没有能见度就谈不上安全。StoneOS的应用和身份识别,能够满足越来越多的深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的内容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”
9、人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免 IP 盗用或者 PC 终端被盗用引发的数据泄露等问题。全并行处理的安全架构全并行处理的安全架构( (多核多核 PlusPlus G2)G2)Hillstone 山石网科自主开发的 64 位实时安全操作系统 StoneOS,具备强大的并行处理能力。 StoneOS采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC 只负责三层包转发的架构不同;StoneOS实现了从网络层到应用层的多核全并行处理。因此 SG-6000 较业界其他的多核或 NP/ASIC
10、系统在同档的硬件配置下有多达 5 倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。可扩展的模块化设计可扩展的模块化设计( (多核多核 PlusPlus G2)G2)SG-6000-G5150 支持三种类型的扩展模块:接口扩展模块,应用处理扩展模块,存储扩展模块。模块化设计充分保护用户投资。通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以实时记录 NAT 日志,Web 访问记录,Web 内容审计等日志,满足公安部
11、 82 号令的要求。在校园网和小区宽带等大流量的场合,也可以使用外置高性能日志服务器。关键指标关键指标指指 标标SG-6000-M3100SG-6000-M3100 防火墙吞吐量1Gbps IPSec 吞吐量(1)500Mbps 最大并发连接(标配 /最大)40/100 万防病毒吞吐量(2)70Mbps IPS 吞吐量(3)200Mbps 每秒新建连接(4)10,000 IPSec 隧道数1,000 最大 SSL VPN 用户 数500管理接口1 个配置口, 1 个 USB 2.0 口 网络接口8 个千兆电口 电源规格单 45W 电源输入范围交流 100-240V 50/60Hz 外形尺寸 (
12、WDH,mm)1U (442 x 241 x 44)重量5kg 工作环境温度0-40 工作环境湿度10-95%(不结露)3.2.2 入侵检测系统入侵检测系统我们推荐选用入侵防御系统(IPS) ,集成入侵防御与入侵检测功能(IDS) ,即可实现检测功能,也可实现对有害行为进行阻断。我们选用绿盟科技的“冰之眼”网络入侵保护系统。作为入侵检测功能使用(采用旁路模式部署) ,可以实现实时监控和检测网络或系统中的活动状态,一旦发现网络中的可疑行为或恶意攻击,IDS 便可做出及时的报警和响应。在本系统中我们建议采用旁路部署模式,起到入侵检测功能(IDS) ,我们把服务器网段映射到 IDS 端口,检测服务器
13、网段的所有攻击。绿盟 NIPS600A 简介:绿盟网络入侵防护系(NSFOCUS Network Intrusion Prevention System,简称:NSFOCUS NIPS) 是绿盟科技自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。 入侵防护入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S 等恶意流量
14、,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。 WebWeb 威胁防护威胁防护基于互联网 Web 站点的挂马检测结果,结合 URL 信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web 威胁。流量控制流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。用户上网行为监管用户上网行为监管全面监测和管理 IM 即时通讯、P2P 下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。产
15、品型号产品型号规格和性能规格和性能NSFOCUSNSFOCUS NIPSNIPS 600600 SeriesSeriesSOLTSOLT 插槽插槽XSFP+SFP+接口接口XSFPSFP 接口接口XGEGE 接口接口8业务业务接口接口BYPASSBYPASS4 路电口管理接口管理接口1GE管理管理接口接口配置串口配置串口1 个 RS232吞吐量(双向)吞吐量(双向) 600Mbps最大并发最大并发 TCPTCP会话数会话数20 万每秒新增每秒新增 TCPTCP会话数会话数15 万性能性能参数参数时延时延(us)(us)100 s 尺寸尺寸320*428*44.5mm(1U)重量重量5.4 千克
16、电源电源100-240V ,AC, (50-60HZ) ,4A,180W平均无故障时平均无故障时间(间(MTBFMTBF)超过 100,000 小时物理物理指标指标工作温度工作温度0403.2.3 网络安全管理系统网络安全管理系统在本项目中网络安全管理系统采用联软科技 UniAccess 终端准入以及安全管理产品及 UniMon 综合运行监控。3.2.3.1 方案设计原则方案设计原则方案设计遵循如下原则:1)先进性原则:提供一致的管理平台和管理界面,在复杂的 IT 异构环境中实现统一管理,实现分布式、跨平台、跨系统的集中管理。2)开放性原则:能够提供标准的和开放的应用接口及开发工具,符合 IT 技术未来的发展方向。3)可扩展性原则:具有高度可扩充性,能随 IT 系统和企业业务的增长而增长。4)安全性原则:对管理对象性能影响小,安全策略执行有效。5)可靠性原则:系统架构支持高可靠性,避免因为服务宕机或者网络通讯故障导致终端设备不能接入网络的情况,提供备份和冗余的架构和部署方案。6)兼容性原则:系统要能够实现对
