您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > 安全网络建设项目技术建议书
***电业局安全存储网络建设技术建议书二零零九年十月目录安全存储网络建设技术建议书.....................................................11概述......................................................................31.1项目建设背景需求......................................................31.1.1网络现状.........................................................................................................................31.2网络建设目标..........................................................31.3网络建设原则..........................................................32整体方案设计..............................................................42.1组网方案..............................................................42.2方案建议及设备选型依据.................................................43网络解决方案..............................................................53.1IP地址规划...........................................................53.2VLAN规划..............................................................63.3路由规划..............................................................63.4QOS设计..............................................................63.5设备介绍..............................................................83.5.1S9300系列交换机系统特性..........................................................................................83.5.2OceanspaceS2000系列存储系统..............................................................................154安全解决方案.............................................................204.1安全体系层次设计.....................................................204.1.1层次一:物理环境的安全性(物理层安全)...........................................................204.1.2层次二:操作系统的安全性(系统层安全)...........................................................204.1.3层次三:网络的安全性(网络层安全)...................................................................204.1.4层次四:应用的安全性(应用层安全)...................................................................214.1.5层次五:管理的安全性(安全管理).......................................................................214.1.6总体部署.......................................................................................................................214.2入侵检测系统部署.....................................................224.2.1安全风险分析...............................................................................................................224.2.2安全风险解决...............................................................................................................224.2.3智能网络入侵检测设备...............................................................................................234.2.4NIP1000性能指标......................................................................................................284.3终端安全管理系统部署.................................................304.3.1终端安全管理系统.......................................................................................................304.3.2安全监控功能...............................................................................................................324.3.3资产管理应用功能.......................................................................................................334.3.4安全接入控制网关应用...............................................................................................334.3.5Secospace系统性能指标............................................................................................331概述1.1项目建设背景需求1.1.1网络现状***电业局网络建设主要分为内部办公网络和外部互联网络两部分,现有核心设备是用的是华为5500系列交换机,交换机使用年限已久,随着网络规模的不断扩大,现有网络接口已逐渐不能满足网络的需求;内部服务器数量已达到10台左右,数据量增加的比较快,需要一套网络存储设备。内部安全需要进一步的管理。1.2网络建设目标为了提高整网核心的可靠性,设计考虑设备冗余(电源、超级引擎采用双配置),为整网提供更加稳定的网络服务。华为核心设备最多支持144个光接口,能够极大地满足现在及将来网络的需求。1.3网络建设原则我单位针对***电业局存储及安全工程将采用华为先进的高端电信级设备作为构建网络的基础单元,建立一个高带宽、高可用性及高可靠性的数据网络,为濮阳县电业局业务系统提供强有力的保证,本次工程基于以下原则进行:综合性:将网络建设成为不仅支撑现有濮阳县电业局数据业务,而且支撑未来实时业务的综合业务传送平台。支持QOS:能根据业务的要求提供不同等级的服务并保证服务质量,提供资源预留,拥塞控制,报文分类,流量整形等强大的IPQOS功能。高可靠性:具有很高的容错能力,具有抵御外界环境和人为操作失误的能力,保证任何单点故障都不影响整个网络的正常运作。高性能:在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。安全性:具有保证系统安全,防止系统被人为破坏的能力。扩展性:易于增加新设备、新用户,易于和各种公用网络连接,随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资利益。开放性:符合开放性规范,方便接入不同厂商的设备和网络产品。标准化:通讯协议和接口符合国际标准。实用性:具有良好的性能价格比,经济实用,拓扑结构和技术符合骨干网信息量大、信息流集中的特点。2整体方案设计2.1组网方案出于安全性和稳定性的要求,工程中采用电信级核心层交换机从而提高整网结构的健壮性、可靠性,高效性。在存储方面采用华为2300的存储,可提供96T的存储容量,满足将来存储的需求。2.2方案建议及设备选型依据根据***电业局数据库项目的技术规范要求以及华为公司全系列数通产品及解决方案特点,本着满足业务优先、先进实用、平滑演进等原则,我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下:网络档次高、层次分明:采用最高能力交换机,按照网络层次依次选择合理产品,各层次产品之间系列化程度高,可靠性强。负载分担的网络:以最大化网络资源负载分担为原则,通过设备间链路的分配调整,实现网络资源合理分布,增加可靠性。安全的双平面的设计:本次为网络结构通过充分利用两期建设中的设备,充分保证网络安全备份及冗余性,整体提高网络的可靠性等级系数。良好网络兼容性能:在现网大量的应用环境中,华为设备表现出与其他设备厂商良好的互通性,在各大电信运营商网络都有商用。优化的网络性能:华为建议的部署方案,能够保证网络在故障情况下快速实现业务流量疏导,提高整个网络质量,保证网络能够承载。多业务的IP网络:优化后的网络具备极强的可扩展性能,除了具备大流量承载能力,还可提供IPTV等多种业务。平滑的割接方案:华为公司有丰富的网络割接经验,可以保证网络调整到合理的结构,并保证现网业务尽可能的不受影响,保证平滑割接。平滑的向IPv6过渡:我单位本次采用的华为产品具备IPv6高性能转发,满足未来性能要求,并支持多种过渡解决方案,例如IPv4/IPv6双栈、多种过渡隧道等等,是业界过渡方案中最好的产品,能够极大方便实际网络IPv4-IPv6过渡的灵活性。3网络解决方案3.1IP地址规划IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。需要在所分配的IP地址网段中尽可能地利用地址空间,充分考虑地址空间的合理使用,保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系,将***电业局业务工作的可用性、可靠性和有效性以及保密性产生显著影响。通常合理的地址规划是使连续的地址尽量集中在一个区域内。因此,核心层应象一个区域或一个节点一样,被分配一段连续的地址。IP地址规划遵循以下原则:1.IP地址的规划与
本文标题:安全网络建设项目技术建议书
链接地址:https://www.777doc.com/doc-771530 .html