《无线网络与安全系统设计书》由会员分享,可在线阅读,更多相关《无线网络与安全系统设计书(32页珍藏版)》请在金锄头文库上搜索。
1、 .1. 网络与安全系统设计计算机网络作为一个通信基础设施体系,不仅涉与大量的数据、语音和图像视频传输,同时也对系统的实时性和可靠性提出较高的要求。因此,建设一个先进、高效、合理的计算机网络系统十分的必要。2. 系统建设的原则系统高可靠性高效稳定的系统,能提供全年365天,每天24小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,以确保系统稳定。高性能可扩展性能够根据应用需求方便地进行系统扩充和技术扩展,满足应用系统需求。支持各种高速网络技术(千兆以太网,快速以太网);全系列的交换产品,拓展网络带宽。网络系统的高安全性划分VLAN,并通过核心
2、交换机中的三层路由中的包过滤功能,限制和隔离数据报;提高整个网络的安全性。系统的开放性系统在设计时均采用国际标准协议。如网络管理基于SNMP,并支持RMON和RMON2;VLAN协议支持国际标准IEEE802.1Q等。系统的先进性选用当前业界领先且代表主流发展方向的网络技术来设计相应的系统, 3. 系统设计3.1网络拓扑图3.2 网络配置说明3.2.1 防火墙配置说明防火墙部署:在Internet公网出口部署1台Hillstone SG-6000-M3100高性能防火墙,实现Internet公网与其它各安全区域之间,以与对Internet的访问控制和对来自Internet的各种攻击进行有效的防
3、御。在应用服务器区部署1台Hillstone SG-6000-M3100高性能防火墙,实现应用服务器区与其它各安全区域之间,以与对Internet的访问控制,同时可有效保护应用服务器区不受各种网络攻击。移动用户的接入安全:移动用户可以采用SSL VPN方式,实现对部资源的安全访问。在Internet出口部署的1台Hillstone SG-6000-M3100设备已集成SSLVPN功能,用户只需通过Internet访问此设备,然后经过认证服务器的认证后,建立VPN通道,即可安全地访问被授权的网资源。Hillstone SG-6000-M3100简介:SG-6000是Hillstone山石网科公司
4、全新推出的新一代多核安全网关系列产品。其基于角色,深度应用的多核PlusG2安全架构突破了传统防火墙只能基于IP和端口的防限制。处理器模块化设计可以提升整体处理能力,突破传统UTM在开启病毒防护或IPS等功能所带来的性能下降的局限。SG-6000-M3100处理能力高达1Gbps,适用于政府机关、企业等机构,可部署在网络的主要结点、总出口与数据中心,为网络提供基于角色,深度应用安全的访问控制、IPSec/SSL VPN、应用带宽管理、病毒过滤、入侵防护、上网行为管理等安全服务。新一代防火墙 - 深度应用安全随着网络的快速发展,越来越多的应用都建立在 / S等应用层协议之上。新的安全威胁也随之嵌
5、入到应用之中,而传统基于状态检测的防火墙只能依据端口或协议去设置安全策略,根本无法识别应用,更谈不上安全防护。Hillstone山石网科新一代防火墙可以根据应用的行为和特征实现对应用的识别和控制,而不依赖于端口或协议,即使加密过的数据流也能应付自如。StoneOS识别的应用多达几百种,而且跟随着应用的发展每天都在增加;其中包括P2P、IM(即时通讯)、游戏、办公软件以与基于SIP、H.323、 等协议的应用。同时,应用特征库通过网络服务可以实时更新,无须等待新版本软件发布。全面的VPN解决方案SG-6000多核安全网关支持多种IPSecVPN的部署,它能够完全兼容标准的IPSecVPN。SG-
6、6000系列产品对VPN(包括SSL VPN)都提供硬件加速,结合多核平台的处理能力,可为用户提供高容量、高性能的VPN解决方案。Hillstone独具特色的即插即用VPN,可以让远端分支机构只需简单的用户名和密码即可自动从中心端下载网络和安全配置,完全解决了传统IPSec VPN设备配置难、使用难、维护成本高的缺点。SG-6000多核安全网关还通过集成第三代SSL VPN实现角色访问控制和即插即用特性,为用户提供方便、快捷的安全远程接入服务。容安全(UTM Plus)SG-6000可选UTM Plus软件包提供病毒过滤,入侵防御,容过滤,上网行为管理和应用流量整形等功能,可以防病毒,间谍软件
7、,蠕虫,木马等网络的攻击。关键字过滤和基于超过2000万域名的Web页面分类数据库可以帮助管理员轻松设置工作时间禁止访问的网页,提高工作效率和控制对不良的访问。病毒库,攻击库,URL库可以通过网络服务实时下载,确保对新爆发的病毒、攻击、新的URL做到与时响应。安全可视化 - 基于角色和应用的管理没有能见度就谈不上安全。StoneOS的应用和身份识别,能够满足越来越多的深度安全需求。基于身份和角色的管理(RBNS)让网络配置更加直观和精细化。不同的用户甚至同一用户在不同的地点或时间都可以有不同的管理策略。用户访问的容也可以记录在本机存储模块或专用服务器中,通过用户的名称审阅相关记录使查找更简单。
8、基于角色的管理模式主要包含基于“人”的访问控制、基于“人”的网络资源(服务)的分配、基于”人“的日志审计三大方面。基于角色的管理模式可以通过对访问者身份审核和确认,确定访问者的访问权限,分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题。全并行处理的安全架构(多核Plus G2)Hillstone山石网科自主开发的64位实时安全操作系统StoneOS,具备强大的并行处理能力。 StoneOS采用专利的多处理器全并行架构,和常见的多核处理器或NP/ASIC只负责三层包转发的架构不同;StoneOS实现了从网络层到应用层的多核全并行处理。因此SG-6000较业界其他的
9、多核或NP/ASIC系统在同档的硬件配置下有多达5倍的性能提升,为同时开启多项防护功能奠定了性能基础,突破了传统安全网关的功能实用性和性能的无法两全的局限。可扩展的模块化设计(多核Plus G2)SG-6000-G5150支持三种类型的扩展模块:接口扩展模块,应用处理扩展模块,存储扩展模块。模块化设计充分保护用户投资。通过增加接口扩展模块提高设备的连接性,使设备不会因为网络带宽或应用系统的升级而过时;增加应用处理扩展模块,可以提高本机应用处理能力,让应用处理不再成为性能瓶颈;存储扩展模块可以实时记录NAT日志,Web访问记录,Web容审计等日志,满足公安部82号令的要求。在校园网和小区宽带等大
10、流量的场合,也可以使用外置高性能日志服务器。关键指标防火墙吞吐量1GbpsIPSec吞吐量(1)500Mbps最大并发连接(标配/最大)40/100万防病毒吞吐量(2)70MbpsIPS吞吐量(3)200Mbps每秒新建连接(4)10,000IPSec隧道数1,000最大SSL VPN 用户数500管理接口1个配置口, 1个USB 2.0口网络接口8个千兆电口电源规格单45W 电源输入围交流 100-240V 50/60Hz外形尺寸(WDH,mm)1U (442 x 241 x 44)重量5kg工作环境温度0-40工作环境湿度10-95%(不结露)3.2.2入侵检测系统我们推荐选用入侵防御系统
11、(IPS),集成入侵防御与入侵检测功能(IDS),即可实现检测功能,也可实现对有害行为进行阻断。我们选用绿盟科技的“冰之眼”网络入侵保护系统。作为入侵检测功能使用(采用旁路模式部署),可以实现实时监控和检测网络或系统中的活动状态,一旦发现网络中的可疑行为或恶意攻击,IDS便可做出与时的报警和响应。在本系统中我们建议采用旁路部署模式,起到入侵检测功能(IDS),我们把服务器网段映射到IDS端口,检测服务器网段的所有攻击。绿盟 NIPS600A简介:绿盟网络入侵防护系(NSFOCUS Network Intrusion Prevention System,简称:NSFOCUSNIPS) 是绿盟科技
12、自主知识产权的新一代安全产品,作为一种在线部署的产品,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足,提供动态的、深度的、主动的安全防御,为企业提供了一个全新的入侵保护解决方案。 入侵防护实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。 Web威胁防护基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的时不受侵害,与时、有效地
13、第一时间拦截Web威胁。流量控制阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。用户上网行为监管全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以与在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。 产品型号规格和性能NSFOCUS NIPS 600 Series业务接口SOLT插槽XSFP+接口XSFP接口XGE接口8BYPASS4路电口管理接口管理接口1GE配置串口1个RS232性能参数吞吐量(双向)600Mbps最大并发TCP会话数20万每秒新增TCP会话数15
14、万时延(us)100 s物理指标尺寸320*428*44.5mm(1U)重量5.4千克电源100-240V ,AC,(50-60HZ),4A,180W平均无故障时间(MTBF)超过100,000小时工作温度0403.2.3 网络安全管理系统在本项目中网络安全管理系统采用联软科技UniAccess终端准入以与安全管理产品与UniMon综合运行监控。3.2.3.1 方案设计原则方案设计遵循如下原则:1) 先进性原则:提供一致的管理平台和管理界面,在复杂的IT异构环境中实现统一管理,实现分布式、跨平台、跨系统的集中管理。2) 开放性原则:能够提供标准的和开放的应用接口与开发工具,符合IT技术未来的发
15、展方向。3) 可扩展性原则:具有高度可扩充性,能随IT系统和企业业务的增长而增长。4) 安全性原则:对管理对象性能影响小,安全策略执行有效。5) 可靠性原则:系统架构支持高可靠性,避免因为服务宕机或者网络通讯故障导致终端设备不能接入网络的情况,提供备份和冗余的架构和部署方案。6) 兼容性原则:系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机、Windows版本的管理,是一个采用国际、国家或者行业标准的开放系统,以便能够支持升级后的IT系统管理7) 易用性原则:提供运行维护管理平台与工具,简单、友好的界面,进行直观的操作和管理,提供丰富准确的报表和统计数据。3.2.3.2 方案设计思路1. 遵循ITIL标准在“IT管理”方面,目前全球各大企业均在部署实施IT服务管理系统,IT服务管理是用来提升IT服务效率,协调IT服务部门部运作,改善IT部门与业务部门之间的沟通,帮助企业对信息化系统的规划、研发、实施
