1、疾控中心網絡改造方案2014年8月一、概述1二、需求分析1三、方案設計21系統設計原則22網絡基礎設計3總體架構設計拓撲圖 3.總體網絡架構設計思路 3.四、設備選用介紹6五、服務承諾20六、費用預算22、概述我中心網絡是由140多個信息點組成的中小型網絡，目前通過一條10兆廣域網線路為本部提供互聯網接入服務。二、需求分析目前我中心在內網方面有以下幾個方面需要解決。設備更新交換機、路由器、防火墻等設備升級更換；辦公樓一樓房間網絡線路與36個信息點鋪設安裝；1-7樓無線網絡設施設備安裝。三、方案設計1系統設計原則系統性：站在整個信息安全系統體系的高度，統一規劃，建 立完善的框架體系，形成對應的規

2、范標準，實現統一的系統 管理；實用性：以采用最小化建設原則為根本宗旨，以較小的資源使用量建設安全系統，使得建成后的體系能夠充分發揮作用；專業性：提供了與信息服務相關的各模型，豐富完善的知識庫 和安全事件管理預案；經濟性：在信息服務系統正常運轉的前提下，綜合考慮建設 成本、運行成本和維護成本；可伸縮能力：滿足未來所支持的應用和用戶將有非常大的增長，良好的伸縮能力不僅意味著系統的持續性和穩定性，而且也是滿足未來服務、應用增長需要的必備條件；高可靠性與可用性：對于關鍵性應用，如果網絡發生故障或主機發生宕機現象，會造成嚴重的后果。RAS （可靠、可用、可維護）特性，是系統選型考慮的重點；高性能：服務的

3、響應速度是保證用戶服務質量和滿意程度的 重要方面。系統高性能確保為用戶提供優質的服務，使用戶 得到良好的響應時間。2網絡基礎設計總體架構設計拓撲圖總體網絡架構設計思路網絡設計上要求高帶寬、高可靠性、高可擴展性。此次設計遵循網絡拓樸結構層次化的總體設計， 網絡拓樸結構主要由核心層和接入層組成。各層面設備要求能提供各種網絡控制，具體是：一、構建多個虛擬網絡單位的網絡按部門被虛擬成多個虛擬網絡，并可根據需求增加新的虛擬網絡。不同的虛擬網絡之間是不可以直接訪問的， 一個虛擬網絡必須經過中心交 換機才可以訪問其他虛擬網絡的電腦。二、網絡資源訪問控制在中心交換機上，可以根據需要開通相應的訪問權限。三、上網

4、行為管理優化上網行為，提高上網安全。以上設計的優點主要有：(1)可擴展性，網絡可模塊化增長而不會遇到問題；(2)簡單性，通過將網絡分成許多虛擬網，降低了網絡的整體復雜性，使故 障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；(3)設計的靈活性，使網絡容易升級到最新的技術，升級任意層次的網絡不 會對其他層次造成影響，無需改變整個環境；(4)可管理性，層次結構使單個設備配置的復雜性大大降低，更易管理。設備選擇考慮到使網絡更加合理、今后更好地拓展、有利于查出故障癥結，建議配置 一臺核心交換機。核心交換層是網絡的核心交換節點，它將多個邊緣匯聚層連接 起來，進行數據高速轉發。用戶數據通過匯

5、聚層上行到核心層， 通過核心網獲取 所需業務。核心交換機：根據需求我們選用 H3c LS-5120-24P-EI交換機作為網絡的核心設備，背板帶寬192Gbps,包轉發率：42Mpps。它是一款部署于企業核心的高新能交換機，在核心網絡中的性能、IP服務，冗余性和故障彈性十分重要。H3CLS-5120-24P-EI是H3c公司自主開發的千兆三層以太網交換機，具備豐富的業務特性，通過H3c特有的集群管理管理功能，支持 WEB網管，用戶能夠簡化對 網絡的管理。匯聚層交換機：根據需求我們選用H3C S3100-26TP-SI交換機作為網絡的匯聚層設備，背 板帶寬19.2Gbps,包轉發率6.55Mpp

6、SoPOE供電交換機：POE交換機負責給AP供電，直接關系到無線AP的使用，因此我們推薦使 用 H3c 3100-26TP-PWR-EI , H3C 3100-26TP-PWR-EI 以太網端口可以為連接到 該端口的設備進行遠程PoE供電，產品支持VLAN戈U分、端口限速、RMON 1, 2, 3, 9 組 MIB、IP+MAC+端口三元素綁定、防 ARP欺騙、ACL、VLAN-ACL、 STP/RSTR靜態LACP等功能，可以通過 Telnet、命令行、Web界面、SNMP等多種方式進行管理支持 PoE （Power over Ethernet）技術，通過以太網對所連接的設備（如 Wirel

7、ess AP、IP Camera、IP Phone等）進行遠程供電，從而使得不必在使用現 場為設備部署單獨的電源系統，能夠極大地減少部署終端設備的布線和管理成 本。上網行為管理設備：上網行為管理設備選用sangfor公司的設備。它是一款多功能的網絡信息安全管理審計系統。可詳細記錄網內受控人員， 各種常用網絡應用的使用情況，傳送或接收的信息內容。并可配合網絡管理或公 司策略，對常用網絡應用的使用情況與內容，進行記錄備案以及彈性的策略管控。 同時提供了詳盡的統計分析功能，透過圖表分析，使管理者對各種應用的使用情 況，及對網絡所造成的影響，盡在掌握。本產品是全方位的網絡內容安全解決方案，具有 WEB

8、 IM、P2P、FTP等應 用層（LAYER 7延伸服務的內容管理與使用分析，過濾分析技術能涵蓋網絡層到 應用層，以提供網絡內容安全的縱衡防御服務。它可以對不當信息攔截防護、策略管理、統計報表、流量控管 等多種管理功能，特別有助于 對網絡的使用 控管。本產品方便管理，不影響網絡運作，是企業進行多通訊端口的安全防護。 它能協助企業進行網絡有效管理，提升網絡資源的使用效益！四、設備選型介紹1、 H3c LS-5120-24P-EI 交換機主要參數產品類型智能交換機應用層級三層傳輸速率1000Mbps交換方式存儲-轉發背板帶寬192Gbps包轉發率42Mpps端口參數端口結構非模塊化端口數量28個端

9、口描述24 個 10/100/1000Base-T 以太網端口控制端口1 個 Console 口傳輸模式支持全雙工功能特性VLAN支持基于端口的 VLAN (4K個)QOS支持IEEE 802.1p/DSCP優先級支持優先級映射支持端口信任模式支持端口信任模式支持端口隊列調度(SP/WRR/SP+WRR)組播管理支持 IGMP Snoopingv1/v2/v3MLD Snooping支持組播VLAN網絡管理支持XModem/FTP/TFTP加載升級支持命令行接口( CLI) , Telnet, Console 口進行配置支持SNMP, WEB網管支持 RMON ( Remote Monitor

10、ing )支持iMC智能管理中心支持系統日志，分級告警，調試信息輸出支持HGMPv2支持Modem遠端撥號支持NTP支持 Ping , Tracert支持Telnet遠程維護支持VCT (Virtual Cable Test )電纜檢測功能支持Loopback-detection 端口環回檢測安全管理支持用戶分級管理和口令保護支持 Radius認證支持SSH 2.0支持802.1X,集中式MAC地 址認證支持Guest VLAN支持端口隔離支持端口安全支持 MAC地址學習數目限制支持IP 源地址保護支持 ARP入侵檢測功能支持IP+MAC+端口的綁定支持 EAD支持Triple認證其它參數電源

11、電壓AC 100-240V , 50-60Hz產品尺寸440 X160 M3.6mm產品重量420 M3.6mm產品重量400Bypass功能*支持故障時Bypass功能尺寸標準1U機架尺寸部署方 式網關模式*支持網關模式，支持 NAT、路由轉發、DHCP等功能；網橋模式支持網橋模式，以透明方式串接在網絡中；混雜模式同時開啟支持網關和網橋模式網關管理管理界面支持SSL加密WEB方式管理設備；分級管理*不同用戶組的管理權限支持分配給不同管理員；告警管理*支持攻擊、病毒、服務器入侵、訪問行為記錄、內容過濾事件、系統日志 告警等；排障工具*提供圖形化排障工具，便于管理員排查策略錯誤等故障；實時監 控

12、設備資源信 息提供設備實時CPU、內存、磁盤占有率、會話數、在線用戶數、系統時間、 網絡接口等信息；流量狀態*實時提供用戶流量排名、應用流量排名、所有線路應用流速趨勢、流量管 理狀態、連接監控信息；安全狀態*實時顯示當天的安全狀況，最后發生安全事件的時間、類型、總次數、源 對象，幫助管理員處理安全事件；防火墻 功能包過濾與狀 態檢測*可以提供靜態的包過濾和動態包過濾功能。 支持的應用層報文過濾，包括： 應用層協議：FTP、HTTP、SMTP、RTSR H.323 (Q.931 , H.245, RTP/RTCP)、 SQLNET、MMS、PPTP、L2TP 等； 傳輸層協議：TCP、UDP抗攻

13、擊特性*支持防御 Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、 IP Spoofing、CC、SYN Flood、ICMP Flood、UDP Flood、DNS Query Flood、 ARP欺騙攻擊防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、 支持IP SYN速度限制、超大ICMP報文攻擊防范、地址/端口掃描的防范、 DoS/DDoS攻擊防范、ICMP重定向或不可達報文控制等功能，此外還支持 靜態和動態黑名單功能、MAC和IP綁定功能。NAT功能支持多個內部地址映射到同一個公網地址、多個內部地址映射到多個公網 地址、

14、內部地址到公網地址一一映射、源地址和目的地址同時轉換、外部 網絡主機訪問內部服務器、支持 DNS映射功能可配置支持地址轉換的有效時間支持多種 NAT ALG,包括 DNS、FTP、H.323、SIP 等IPSec VPN 功能支持AH、ESP協議、手工或通過IKE自動建立安全聯盟、ESP支持DES、3DES、AE&國密辦算法多種加密算法支持MD5及SHA-1驗證算法支持IKE主模式及野蠻模式支持NAT穿越支持使用LZO高速壓縮算法應用訪 問控制 策略應用識別*支持對600種以上應用、用戶名進行識別，可以識別P2P、IM、OA辦公應 用、數據庫應用、ERP應用、軟件升級應用、木馬外聯、炒股軟件、

15、視頻應用、代理軟件、網銀等協議；支持 https(ssl)協議和sangforvpn (即公 共平臺的VPN,不包括SSL VPN)數據的識別；支持自定義規則；應用訪問策 略*可以提供基于應用識別類型、用戶名、接口、安全域、IP地址、端口、時間進行應用訪問控制列表的制定威脅檢 測機制威脅檢測引 擎*支持基于特征匹配、協議異常檢測、智能應用識別等方式針對已知威脅進 行檢測；*支持基于威脅關聯分析的檢測機制，針對未知威脅進行分析檢測IPS漏洞防護防護攻擊類型包括蠕蟲/木馬/后門/DoS/DDoS攻擊探測/掃描/間諜軟件/利用漏洞的攻 擊/緩沖區溢出攻擊/協議異常/ IPS逃逸攻擊等防護對象分 類*

16、漏洞分為保護服務器和保護客戶端兩大類，同時具備安全界別分類：如 “高”、“中”、“低”等。漏洞描述漏洞詳細信息顯示：漏洞ID、漏洞名稱、漏洞描述、攻擊對象、危險等級、 參考信息、地址等內容，便于維護策略制定可根據源區域、目的區域、目的IP組，目的IP組支持多選進行IPS策略的 配置特征庫數量*攻擊特征庫：2200+,并且能夠自動或者手動升級防躲避*支持TCP協議的亂序重傳、TCP分包處理動作*支持自動攔截、記錄日志、上傳灰度威脅到“云端服務器 防護Web攻擊防護*保護服務器免受基于 Web應用的攻擊，如SQL注入防護、XSS攻擊防護、CSRF攻擊防護、支持根據網站登錄路徑保護口令暴力破解Web

17、服務隱*支持Web網站隱藏,包括 HTTP響應報文頭和HTTP出錯頁面的過濾，藏web響應報文頭可自定義策略制定配置選項：可設置源、目的區域、目的IP和端口號，端口號支持設置Web應用、FTP、mysql、telnet、ssh服務的端口號其他應用防護支持FTP隱藏、ftp弱口令防護、telnet弱口令防護訪問權限控制支持文件上傳服務器過濾、支持指定URL的黑名單、加入排除URL目錄功能病毒防護病毒引擎*基于流引擎查毒技術，可以針對HTTP、FTP、SMTP、POP3等協議進行查殺防護類型*能實時查殺大量文件型、網絡型和混合型等各類病毒；并采用新一代虛擬 脫殼和行為判斷技術，準確查殺各種變種病毒

18、、未知病毒。病毒庫數量*支持10萬條以上的病毒庫，并且可以自動或者手動升級處理動作*檢測到病毒后的操作：支持記錄日志、阻斷連接WEB安全防護URL過濾*對用戶web行為進行過濾，保護用戶免受攻擊；支持只過濾HTTP GETHTTP POST、HTTPS等應用行為；并進行阻斷和記錄日志文件類型過濾支持針對上傳、下載等操作進行文件過濾； 支持自定義文件類型進行過濾； 支持基于時間表的策略制定；支持的處理動作包括：阻斷和記錄日志ActiveX 過濾*支持基于簽名證書的 ActiveX過濾；支持添加白名單和合法網站列表；支 持基于應用類型的 ActiveX過濾,如視頻、在線殺毒、娛樂等；腳本過濾*支持

19、基于操作類型的腳本過濾，如注冊表讀寫、文件讀寫、變形腳本、威 脅對象調用、惡意圖片等*流量管理多線路技術*網關能同時連接多條外網線路，且支持多線路復用和智能選路技術虛擬多線路支持將多條外網線路虛擬映射到設備上，實現對多線路的分別流控；父子通道支持流量父子通道技術，且至少支持三級父子通道；應用流控*支持基于應用類型劃分與分配帶寬網站流控支持基于網站類型劃分與分配帶寬；文件流控*支持基于文件類型劃分與分配帶寬；時間控制支持基于時間段的帶寬劃分與分配策略；目標IP流控支持基于訪問行為的目標IP實現帶寬劃分與分配；流量配額支持對單個用戶 用戶組設置日流量、月流量配額功能；用戶管理本地認證支持觸發式WE

20、B認證，靜態用戶名密碼認證等；第三方認證支持LDAP、Radius、POP3、Proxy等第三方認證；雙因素認證支持以USB-Key方式實現雙因素身份認證；IP、MAC認證支持IP認證、MAC認證，及IP/MAC綁定認證等；新用戶認證*根據新用戶的源IP網段實現：1、新用戶差異化賬戶創建規則；2、新用戶差異化自動分組規則；3、新用戶差異化認證規則；4、新用戶差異化IP、MAC綁定規則；公用賬戶*支持多人使用同一帳號登錄，且支持重復登陸檢測機制；賬戶有效期*指定賬戶支持有效期限制，并支持自動過期；單點登錄*支持AD、POP3、Proxy單點登錄，簡化用戶操作；*可強制指定用戶、指定IP段的用戶使

21、用單點登錄；強制AD認證*指定用戶用AD域賬戶登錄操作系統，否則禁止上網；認證失敗*支持為認證失敗用戶提供基本網絡訪問權限機制；頁面跳轉*認證成功的用戶支持頁面跳轉：1、跳轉到用戶原本輸入的 URL地址；2、跳轉到管理員指定的 URL地址；3、跳轉到該用戶上網信息排行頁面；4、跳轉到注銷頁面；認證后公告*支持向認證通過的用戶顯示指定網頁；帳戶導入*支持從本地導入和掃描導入，支持以文本導入帳戶/分組/IP/MAC/描述/密碼等信息；*支持從LDAP服務器導入賬戶及分組信息；組織結構*用戶分組支持樹形結構，支持父組、子組、組內套組等；用戶狀態查 詢支持用戶登錄注銷歷史查詢，包括顯示上網流量網絡協

22、議IP服務ARP、域名解析、IP UNNUMBERED、 DHCP 中繼、DHCP 服務器、DHCP 客戶端路由服務支持靜態路由、RIP v1/2、OSPF、策略路由*獨立數據中心 內置MySQL,無需單獨安裝其他數據庫；日志分級審 查*管理員登錄數據中心只能審計指定用戶組的日志；統計報表*支持自定義統計指定IP/用戶組/用戶/應用在指定時間段內的服務器安全 風險、終端安全風險、上網行為、網絡流量等內容，并形成報表；趨勢報表*支持自定義統計指定IP/用戶組/用戶/應用在指定時間段內的服務器安全 風險、終端安全風險、上網行為、網絡流量等內容形成報表；匯總報表*支持將指定時間段、指定應用的流量、行

23、為、用戶訪問分布等匯總并輸出 報表；匯總對比報 表*支持將所有用戶/用戶組/IP的所有安全風險的統計/流量/趨勢等與前一 天/前一周/前一月對比并輸出報表；指定對比報 表*支持將指定用戶/用戶組/IP的指定安全風險的統計/流量/趨勢等與前一 天/前一周/前一月對比并輸出報表；服務器防 護統計支持將應用的受攻擊對象進行統計排行和報表輸出，支持按照行為次數 和應用的排行統計各攻擊類型名稱；支持各種攻擊類型的報表輸出和統 計；病毒信息統 計*支持將內網可能中毒的用戶進行統計排行和報表輸出，支持按照行為次 數和用戶數的排行統計各新增病毒名稱，支持根據病毒、惡意腳本、惡意插件信息統計新增惡意 URL排行

24、；危險行為報 表*支持對終端發生的危險行為（木馬、間諜軟件、垃圾郵件發送 ）進行統計 和報表輸出；風險智能報 表*能根據管理者自定義的風險行為特征自動挖掘并輸出風險行為智能報 表；流速趨勢報 表*支持將指定時間段內、指定用戶組 /用戶/應用的網絡流量以條帶疊加圖 的形式直觀顯示；報表訂閱*支持將統計/趨勢/查詢等報表自動發送到指定郵箱；報表導出支持導出統計/趨勢/查詢等報表，包括 Excel、PDF等格式；五、服務承諾.遠程技術支持服務：驗收合格1年內，我方為需求方免費提供遠程技術支持 服務，即：出現網絡故障，通過電話支持無法解決的情 況下，可通過遠程調試技術支持服務予以協助解決。.上門服務驗

25、收合格1年內，我方負責維護系統及相關系統的接 口。在出現網絡故障，電話支持、遠程協助等方式無法 解決的情況下，我方工程師會在您提出上門要求后， 積 極響應并趕赴現場，幫助解決相關的故障。.設備更換驗收合格1年內，由非人為因素造成的設備損壞，我方 負責予以免費更換及現場安裝調試；由人為因素造成的 設備損壞，我方負責提供備件予以更換，并提供現場安 裝調試服務，備件價格按照成本價的標準收取。.質保期后服務承諾我方繼續提供免費電話支持服務。需求方可和我方簽訂維護保障合同，詳列如下：維護保障合同服務期為1年，合同金額按本次合同金額的10%計算我方在1年的維護保障期內提供遠程技術支持服務，并繼續提供固件升級服務，保障系統網絡適應最新 的網絡發展需求在遠程技術支持無法解決問題的情況下，我方提供 上門支持服務。設備更換：我方負責提供備件予以更換，并提供現 場安裝調試服務，備件價格按照本報價書的標準收取。 現場安裝差旅費用參照上門支持服務標準。六、費用預算網絡材料單價單價（元）總數量合計金額（元）序號材料名稱品牌規格單位1面板及模塊套71.1