系統(tǒng)部署方案

PAGEPAGE10目錄TOC\o”1—3”\h\z\uHYPERLINK\l”_Toc309056081”一、技術架構 111.2標準的發(fā)展和采用 12HYPERLINK\l”_Toc309056084"1。3術語規(guī)范化 13_Toc309056086"1。5監(jiān)管 14_Toc309056088”2.1數(shù)據(jù)集中式管理 14HYPERLINK\l”_Toc309056089”2.2采用B\S架構 14HYPERLINK\l”_Toc309056090”三、項目實施計劃 15_Toc309056093"3.3實施進度表 16HYPERLINK\l”_Toc309056094"四、網(wǎng)絡安全 164.1網(wǎng)絡可靠性和冗余 16HYPERLINK\l”_Toc309056096"4.2網(wǎng)絡安全技術部署 17HYPERLINK\l”_Toc309056097"4。2。1基于VLAN的端口隔離 174.2。4防IP偽裝 18應用軟件。這種模式統(tǒng)一了客戶端,將系統(tǒng)功能實現(xiàn)的核心部分集中到服務器上，簡化了系統(tǒng)的開發(fā)、維護和使用.客戶機上只要安裝一個瀏覽器（Browser）,如_blank"NetscapeNavigator或_blank”InternetExplorer，服務器安裝HYPERLINK”http：///view/15020。htm"\t”_blank”O(jiān)racle、Sybase、HYPERLINK”http：///view/11003。htm”Informix或SQLServer等數(shù)據(jù)庫。瀏覽器通過\t”_blank”WebServer同數(shù)據(jù)庫進行數(shù)據(jù)交互.B\S架構大大簡化了客戶端的安裝操作。三、項目實施計劃3。1項目實施流程項目實施流程圖如下:3.2項目實施主計劃項目實施主計劃詳細的描述了項目的進程,并明確了資源配置和項目各階段應該完成的內(nèi)容。項目共有五個里程碑：項目組成立，系統(tǒng)安裝，系統(tǒng)上線，用戶培訓，項目驗收。3。3實施進度表實施計劃進度簡表項目項目準備需求調(diào)研項目啟動會產(chǎn)品定制開發(fā)用戶培訓試運行及考試項目驗收項目準備3天需求調(diào)研5天項目啟動會1天產(chǎn)品定制開發(fā)120天用戶培訓及考試10天試運行30天項目驗收3天備注：以上時間可根據(jù)具體實際情況再作調(diào)整！四、網(wǎng)絡安全4.1網(wǎng)絡可靠性和冗余本系統(tǒng)將從以下幾個方面考慮高可用設計：網(wǎng)絡設備考慮交換引擎、接口、風扇、電源等冗余配置。服務器接入層交換機成對部署，以支持服務器的多網(wǎng)卡雙歸屬接入方式在服務器接入交換機與匯聚交換機之間部署全交叉的物理鏈路,以實現(xiàn)鏈路的可靠性.當服務器采用二層接入時，應將主匯聚交換機做為第一級服務器的默認網(wǎng)關以及STP的根節(jié)點，并將備份匯聚交換機設置為備用網(wǎng)關和備用STP根.將VRRP＋MSTP或交換機虛擬化技術做為保證高可用型的實現(xiàn)技術。4。2網(wǎng)絡安全技術部署4.2。1基于VLAN的端口隔離交換機可以由硬件實現(xiàn)相同VLAN中的兩個端口互相隔離。隔離后這兩個端口在本設備內(nèi)不能實現(xiàn)二、三層互通。當相同VLAN中的服務器之間完全沒有互訪要求時，可以設置各自連接的端口為隔離端口。這樣可以更好的保證相同安全區(qū)域內(nèi)的服務器之間的安全。4.2。2STPRoot/BPDUGuard基于Root/BPDUGuard（Root/BridgeProtocolDataUnitGuard）方式的二層連接保護保證STP/RSTP(SpanningTreeProtocol/RapidSpanningTreeProtocol）穩(wěn)定，防止攻擊,保障可靠的二層連接。基于BPDUGuard對于接入層設備，接入端口一般直接與用戶終端(如PC機）或文件服務器相連,此時接入端口被設置為邊緣端口以實現(xiàn)這些端口的快速遷移；當這些端口接受到配置消息（BPDU報文）時系統(tǒng)會自動將這些端口設置為非邊緣端口，重新計算生成樹，引起網(wǎng)絡拓撲的震蕩。這些端口正常情況下應該不會收到生成樹協(xié)議的配置消息的。如果有人偽造配置消息惡意攻擊交換機,就會引起網(wǎng)絡震蕩。BPDU保護功能可以防止這種網(wǎng)絡攻擊。交換機上啟動了BPDU保護功能以后,如果邊緣端口收到了配置消息,系統(tǒng)就將這些端口shutdown，同時通知網(wǎng)管。被shutdown的端口只能由網(wǎng)絡管理人員恢復。推薦用戶在配置了邊緣端口的交換機上配置BPDU保護功能?；赗OOTGuard由于維護人員的錯誤配置或網(wǎng)絡中的惡意攻擊,網(wǎng)絡中的合法根交換機有可能會收到優(yōu)先級更高的配置消息，這樣當前根交換機會失去根交換機的地位，引起網(wǎng)絡拓撲結構的錯誤變動。這種不合法的變動，會導致原來應該通過高速鏈路的流量被牽引到低速鏈路上,導致網(wǎng)絡擁塞。Root保護功能可以防止這種情況的發(fā)生。對于設置了Root保護功能的端口，端口角色只能保持為指定端口。一旦這種端口上收到了優(yōu)先級高的配置消息，即其將被選擇為非指定端口時，這些端口的狀態(tài)將被設置為偵聽狀態(tài)，不再轉發(fā)報文（相當于將此端口相連的鏈路斷開）。當在足夠長的時間內(nèi)沒有收到更優(yōu)的配置消息時,端口會恢復原來的正常狀態(tài)。4.2.3端口安全端口安全（PortSecurity）的主要功能就是通過定義各種安全模式，讓設備學習到合法的源MAC地址，以達到相應的網(wǎng)絡管理效果。對于不能通過安全模式學習到源MAC地址的報文或802.1x認證失敗的設備，當發(fā)現(xiàn)非法報文后,系統(tǒng)將觸發(fā)相應特性，并按照預先指定的方式自動進行處理,減少了用戶的維護工作量，極大地提高了系統(tǒng)的安全性和可管理性。端口安全的特性包括：NTK：NTK（NeedToKnow）特性通過檢測從端口發(fā)出的數(shù)據(jù)幀的目的MAC地址，保證數(shù)據(jù)幀只能被發(fā)送到已經(jīng)通過認證的設備上，從而防止非法設備竊聽網(wǎng)絡數(shù)據(jù)。IntrusionProtection:該特性通過檢測端口接收到的數(shù)據(jù)幀的源MAC地址或802.1x認證的用戶名、密碼，發(fā)現(xiàn)非法報文或非法事件，并采取相應的動作，包括暫時斷開端口連接、永久斷開端口連接或是過濾此MAC地址的報文，保證了端口的安全性.DeviceTracking：該特性是指當端口有特定的數(shù)據(jù)包（由非法入侵，用戶不正常上下線等原因引起）傳送時,設備將會發(fā)送Trap信息，便于網(wǎng)絡管理員對這些特殊的行為進行監(jiān)控。4。2.4防IP偽裝病毒和非法用戶很多情況會偽裝IP來實現(xiàn)攻擊.偽裝IP有三個用處：本身就是攻擊的直接功能體.比如smurf攻擊.麻痹網(wǎng)絡中的安全設施。比如繞過利用源IP做的接入控制.隱藏攻擊源設備防止IP偽裝的關鍵在于如何判定設備接收到的報文的源IP是經(jīng)過偽裝的。這種判定的方式有三種。分別在內(nèi)網(wǎng)和內(nèi)外網(wǎng)的邊界使用.在Internet出口處過濾RFC3330和RFC1918所描述的不可能在內(nèi)外網(wǎng)之間互訪的IP地址。利用IP和MAC的綁定關系網(wǎng)關防御，利用DHCPrelay特性，網(wǎng)關可以形成本網(wǎng)段下主機的IP、MAC映射表。當網(wǎng)關收到一個ARP報文時,會先在映射表中查找是否匹配現(xiàn)有的映射關系。如果找到則正常學習，否則不學習該ARP.這樣偽裝IP的設備沒有辦法進行正常的跨網(wǎng)段通信。?利用IP和MAC的綁定關系網(wǎng)關防御利用DHCPrelay特性，網(wǎng)關可以形成本網(wǎng)段下主機的IP、MAC映射表。當網(wǎng)關收到一個ARP報文時,會先在映射表中查找是否匹配現(xiàn)有的映射關系。如果找到則正常學習，否則不學習該ARP.這樣偽裝IP的設備沒有辦法進行正常的跨網(wǎng)段通信.接入設備防御,利用DHCPSNOOPING特性,接入設備通過監(jiān)控其端口接收到的DHCPrequest、ACK、release報文,也可以形成一張端口下IP、MAC的映射表。設備可以根據(jù)IP、MAC、端口的對應關系,下發(fā)ACL規(guī)則限制從該端口通過的報文源IP必須為其從DHCP服務器獲取的IP地址。UPRF會檢測接收到的報文中的源地址是否和其接收報文的接口相匹配。其實現(xiàn)機制如下：設備接收到報文后，UPRF會比較該報文的源地址在路由表中對應的出接口是否和接收該報文的接口一致。如果兩者不一致，則將報文