基础网络架构与安全项目技术需求文件.docx
《基础网络架构与安全项目技术需求文件.docx》由会员分享,可在线阅读,更多相关《基础网络架构与安全项目技术需求文件.docx(113页珍藏版)》请在冰豆网上搜索。
基础网络架构与安全项目技术需求文件
基础网络架构与安全项目
技术需求文件
1.项目概述1
1.1项目背景1
1.2建设目标1
1.2.1建设高性能、高安全的园区基础网络平台2
1.2.2建设符合业务目标的信息安全纵身防御体系3
1.2.3建立符合等保三级的信息安全管理体系3
2.技术需求4
3.方案设计4
3.1总体框架设计4
3.1.1网络外联区5
3.1.2核心交换区5
3.1.3媒介融合业务区5
3.2安全防护设计6
3.2.1外联区防护6
3.2.2DMZ区7
3.2.3核心业务区安全:
8
3.2.3业务网的边界防护8
3.2.4安全管理域9
3.2.5统一的身份认证9
3.3数据安全设计11
3.3.1分布式存储11
3.3.2共享式存储11
3.4安全监控管理系统设计12
3.4.1设计思路12
3.4.2监控机房建设方案13
4.产品选型14
5.技术需求15
5.1网络外联域15
5.1.1互联网出口15
5.1.2DMZ区域17
5.2核心业务交换19
5.2.1汇聚层交换机2台19
5.2.2核心防火墙2台22
5.2.3接入交换机11台23
5.3媒介融合业务域25
5.3.1新媒体播出隔离区25
5.3.2数据库区27
5.3.3安全管理区28
5.3.4系统软件40
5.4监控区域40
5.4.1监控系统40
5.4.2其他44
5.5认证及安全服务45
5.6集成服务46
6.项目实施方案及要求47
6.1总体实施要求47
6.2实施地点与建设周期47
6.3细化设计与预研发48
6.4设备到货与集成48
6.5联调、测试、试运行及验收49
7.售后服务要求49
7.1质保期49
7.2投标方质量责任50
7.3免费质保服务要求50
7.3.1维修及备件服务50
7.3.2技术支持服务50
7.3.3软、硬件升级服务51
7.3.4出保后服务要求51
7.4用户培训51
1.项目概述
1.1项目背景
借助某种业宾西新区建设的契机,升级改造现有的信息化基础设施,着力打造某种业信息化的高速公路,构建公司“互联网+农业”的应用架构,整合云计算、移动互联网、物联网和大数据等战略性新型技术,为科研创新、加工生产、市场营销、日常管理等业务的快速发展提供支撑、保障和服务。
本次建设的地点为某种业宾西新区,建设范围覆盖园区的办公楼、科研楼、信息楼、职工宿舍、加工厂、仓储库房等园区楼宇,具体情况如下图所示:
图表1宾西新区的建筑楼宇群落情况
在以上的园区建筑群中,我们中心机房的部署位置选择在信息楼2层,在综合布线方面以信息楼为中心,构建环形+星型的万兆互联通讯网络,楼宇之间采用4主+4备的万兆光缆连接,每个建筑屋内的楼层配线间之间采用万兆光缆联通,配线间到个人桌面采用千兆双绞线方式连接。
在园区办公高速的网路基础上,实现无线全园区覆盖。
1.2建设目标
基础网络与信息安全建设按照“高性能、高质量、既安全、又经济”的方针进行设计,建设高速、安全、可靠的宾西园区基础网络与安全平台,满足某种业园区日常办公的使用需要。
1.2.1建设高性能、高安全的园区基础网络平台
与Intelnet互联接入方面,实现移动、联通宽带的双线接入,拥有主备冗余的双链路数据交换网络。
园区内部建设办公网、无线网络和园区网三张网络,
办公网络从核心交换机到汇聚交换机采用万兆光纤双链路,连接双汇聚交换机,从汇聚交换机到接入层交换机采用万兆光纤双链路,连接单个接入楼层接入交换机,所涉及的楼宇有办公楼、信息楼、科研楼、职工宿舍和加工厂(含仓储库房)。
楼层交换机到墙上的信息点是单链路的千兆六类线,接入的设备有虚拟桌面的瘦客户机、笔记本电脑和台式机等计算设备。
无线网络的楼宇汇聚交换机与核心交换机相连,楼宇采用单汇聚单万兆光纤链路,楼宇汇聚交换机到楼层接入交换机采用万兆光纤链路,楼层接入交换机到无线AP采用千兆六类双绞线,接入的设备为无线AP,可分为室内无线AP和室外无线AP。
园区网络是自成体系,有自己的双核心交换机,园区核心交换机与办公网的核心交换机之间采用光纤连接,楼宇采用单汇聚单万兆光纤链路,楼宇汇聚交换机到楼层接入交换机采用万兆光纤链路,楼层接入交换机到设备采用千兆六类双绞线,接入设备包括:
摄像头、门禁、电视(网络电视)、多媒体盒(数据网络)、会议显示系统等设备。
在网络规划的同时,我们同步规划信息安全防护措施,在外网互联区、公共服务区、安全管理区、带外管理区、核心交换区、数据中心区、终端接入区、园区网、科研网等各个区域的边界、区域内都设计了相关安全产品,并且由全局支撑的安全管理中心进行统一管理,满足企业内部网络业务正常运转的安全保障。
1.2.2建设符合业务目标的信息安全纵身防御体系
在安全体系建设方面,按照分区分域的原则整合区域边界,部署防火墙类产品,实现不同区域之间网络边界访问的安全控制;在区域内部的重点区域部署监控类、保护类和管理类的产品,解决区域内部的安全防护;部署全局类的密钥管理、身份管理和监控审计类产品,为整个网络的安全建设提供基础设施的支撑,建成某园区基于网络、智慧园区、信息平台的信息安全纵身防御体系。
图表2信息安全防护体系建设目标
1.2.3建立符合等保三级的信息安全管理体系
根据公安部颁发的《信息安全技术信息系统安全等级保护基本要求》,建立健全信息安全防护体系,按照“同步规划、同步建设、同步运行”的原则,与主体工程同时规划、建设、验收和使用。
本项目的安全设计是按照等保三级要求,设计系统软硬件的防护平台,竣工后能够满足公安部安全等保二级的测评。
图表3等级保护技术要求
2.技术需求
某种业基础网络与信息安全方案设计既要综合考虑网络带宽、链路可靠等基础环境,又要考虑虚拟桌面、一体机、公共服务云、智慧园区等应用环境,还要考虑物理安全、主机安全、应用安全和数据安全等方面的安全需求,从全局出发采用自顶向下、自底向上相结合的方法,进行整体设计、重点加强的推进思路,并配合园区建设的其他项目,提供合理设计和实施方案。
2.1系统基础环境建设需求
本项目建设的网络接入链路两条,分别为联通和移动,其中联通为1GB、移动为300MB。
在网络建设初期,先接入移动的100MB带宽,后期根据需要再扩展接入带宽,并考虑是否接入联通。
系统基础环境建设包括有线、无线和园区网,其中有线、无线公用核心交换机,组合成办公网。
园区网单独核心,园区网与办公网的核心之间通过光纤联通。
在办公网中,有线网从接入到核心采用双链路、双核心的部署方式,汇聚层交换机采用双冗余捆绑方式,实现汇聚层到核心层的备份,从核心到汇聚、到楼层接入交换机都是采用光纤,楼层接入交换机到各个房间是采用六类双绞线连接。
无线网与有线网共用核心交换机,汇聚交换机、接入交换机采用单台部署,楼层接入交换机到各个无线AP之间采用六类双绞线接通。
在园区网中,采用双核心部署,楼宇都设有汇集层交换机,为单台部署。
从核心到汇聚层、接入层都是采用光纤接通,汇集层到接入设备采用六类双绞线,接入设备包括:
摄像头、门禁、电视(网络电视)、多媒体盒(数据网络)、会议显示系统、车辆进出管理、园区广播等设备。
2.2系统安全环境建设需求
本项目建设按照等级保护三级要求设计,系统定级为等保二级。
按照分区分域的访问控制,将系统分为外网互联区、公共服务区、安全管理区、带外管理区、核心交换区、终端接入区、数据中心区、园区网、科研网等9个区域,各个区域之间通过防火墙实现不同区域之间的访问控制。
构建重点区域内的安全监控,采用统一威胁管理(简称:
UTM)、上网行为管理、堡垒主机、数据库审计、入侵监测等安全设备实现网络行为、用户操作行为进行审计。
建设全网的安全基础设施,统一的身份认证与访问控制系统,系统认证方式支持多级认证与双因子认证,实现与应用系统的安全整合与集成。
采用集中安全管理(简称:
SOC)实现安全事件日志的统一收集、分析,发现未知或潜在风险。
采用统一的补丁管理系统,实现全网的补丁统一管理。
采用统一的杀毒软件,实现物理计算机、虚拟桌面、虚拟服务器的杀毒统一管理。
2.3系统监控运维建设需求
构建网络设备的运维监控平台,基于网管软件,实现全网的网络设备管理;基于网络准入控制,实现全网的无线接入监控运维;基于Windows域,实现全网的运行系统的统一运维平台。
构建安全产品的运维监控平台,采用集中安全管理平台(简称:
SOC),实现全网安全设备所产生事件的集中监控管理。
2.4安全管理体系建设需求
按照等保三级要求建立并完善安全管理体系,提供专业的安全咨询服务,包括:
脆弱性监测、安全加固、安全管理制度,协助某通过第三方的等保测评的咨询服务。
3.方案设计
3.1总体框架设计
遵循面向业务需求的设计思路,基于业务场景化、模块化的设计方法,实现IT基础架构模块与业务模块松耦合,保证基础网络与信息安全的动态扩展和新业务快速上线。
本项目解决方案的总体架构如下所示。
图表4分区分域网络拓扑结构示意图
其中园区网有以下几个功能区域组成,即核心交换区、安全管理区、数据中心区、操作运维区、楼层接入区合安防网络,具体设计如下:
核心交换区:
应用两台高性能交换机通过物理连接,并应用交换机虚拟化技术,三层端口链路捆绑以及动态路由技术组成两台高性能交换机虚拟为一台逻辑交换机的核心交换区;
安全管理区:
应用两台交换机通过物理连接,并应用交换机虚拟化技术,逻辑Vlan以及动态路由技术组成两台交换机虚拟为一台交换机的安全管理区;通过防火墙与其他区域隔离增强业务的安全性;
数据中心区:
应用两台中高性能交换机通过物理连接,并应用交换机虚拟化技术,逻辑Vlan以及动态路由技术组成两台交换机虚拟为一台逻辑交换机的数据中心区;考虑网络的扩展性,未来可以进行下联接入交换机的方式进行扩展;通过防火墙与其他区域隔离,增强业务的安全性;
操作运维区:
应用两台中端交换机通过物理连接,并用Trunk、逻辑Vlan以及动态路由技术组成两台中高端交换机相互热备的操作运维区、并与核心区形成链路冗余;
楼层安防网接入区:
应用一台汇聚交换机通过物理连接,三层端口及动态路由技术组成安防网络楼层汇聚层。
楼层办公网络接入区:
应用两台汇聚交换机通过物理连接,并应用交换机虚拟化技术,三层端口链路捆绑及动态路由技术组成两台汇聚交换机虚拟为一台逻辑交换机的办公网络楼层汇聚层。
楼层无线网络接入区:
应用一台汇聚交换机通过物理连接,三层端口及动态路由技术组成无线网络楼层汇聚层。
3.2园区网络设计
3.2.1外网互联区
该区域主要是处理内部用户访问互联网,同时某园区对外提供互联网访问控制,为此设置了专门的公共服务区(又称:
DMZ),该区域的上联带宽未来预计最大为1GB+300MB(暂定),由此部署在该区域的设备吞吐量为1.5GB,物理线路为千兆电口,具体情况如下:
图表5外网互联区的设备部署示意图
⏹来自业务网两条线路分别接入路由器,实现内外部网络地址的NAT转换,路由器从运营商接入的为光纤,下联设备采用的六类双绞线;
⏹路由器之后,部署两台抗DDOS设备,开启抗攻击、异常流量功能,通过心跳线连接实现双活,设备上联、下联均为为电口,采用六类双绞线连接;
⏹抗DDOS设备之后,部署两台负载均衡设备,实现多链路负载均衡,设备上联、下联均为为电口,采用六类双绞线连接;
⏹负载均衡设备之后,部署2台统一威胁管理(简称:
UTM)设备,开启IPS/AV等UTM功能进行安全防护;具备基于应用层的流量控制功能,能够提供可靠的流量管理服务,设备上联、下联均为为电口,采用六类双绞线连接。
设备
性能参数
接口参数
数量
路由器
千兆电口≥5个;
千兆光口≥3个(带模块);
万兆光口≥1个(无模块);
机箱规格≥4U机箱;
Console接口1*RJ45;
带外管理接口1个;
USB接口2个;
双电源;
支持SNMPv1.2以上协议;
1
抗DDOS设备
千兆电口≥6个;
SFP插槽≥4个;
转发延迟时间≤20微秒;
三层网络吞吐量≥4Gbps;
4~7层网络吞吐≥1.5Gbps;
抗攻击能力≥140万PPS;
混合攻击处理能力≥1.5Gbps;
机箱规格≥2U机箱;
Console接口1*RJ45;
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.2以上协议;
2
链路负载均衡
千兆电口≥6个;
SFP插槽≥2个;
最大并发连接数≥300W;
4层每秒新建连接数≥2W;
标配吞吐≥1.5Gbps;
最大有效吞吐(4/7层)≥2Gbps/1Gbps;
SSL每秒新建(2048位)≥150个;
SSL卸载性能(bps)≥100Mbps;
HTTP压缩(bps)≥100Mbps;
机箱规格≥2U机箱;
Console接口1*RJ45;
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.3以上协议;
2
统一威胁管理
(简称:
UTM)
千兆电口≥6个;
最大整机吞吐量≥3.5Gbps;
IPS吞吐量≥3Gbps,
防病毒吞吐量1.5Gbps;
每秒新建连接数2万;
最大并发连接数200万
机箱规格≥2U机箱;
Console接口1*RJ45;
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.4以上协议;
2
图表6外网互联区设备选型性能和接口参数
3.2.2公共服务区
该区域主要是对外网提供企业服务,利用现有的DELL服务器,采用VMWare构建应用虚拟服务器群,对内、对外提供企业网站、邮件、电商等公共服务,部署SSLVPN为外部分子公司、合作单位、内部员工外出办公等提供互联网安全接入的通道,该区域的上联带宽未来预计最大为1.5GB,下联为万兆光纤,为此部署在该区域的设备吞吐量的计算:
对外提供服务的SSLVPN为千兆级,对内提供服务的为万兆级,具体情况如下:
图表7公共服务区的设备部署示意图
⏹公共服务区交换机,上联外网互联区(千兆六类双绞线),下联防火墙(万兆光纤),中间连接公共服务区的各个设备;
⏹上网行为管理设备旁挂在交换机上,开启上网行为监控、流量监控等功能,提供上网行为的管控措施。
⏹在网络外服务区内部署WEB服务器、邮件服务器、电商服务器等对外提供服务的应用服务器,服务器部署在VMWare虚拟化服务器之上,连接采用万兆光纤。
⏹在WEB服务器、电商服务器中分别部署1套网页防篡改软件,(支持Linux版本或Windows版本)。
⏹部署2台SSLVPN为通过互联网访问的人员提供安全接入链路,两台设备采用双机热备方式部署,与交换机之间的连接为千兆六类双绞线。
⏹交换机与下联核心交换区之间部署2台防火墙,采用双活的方式部署,连接采用万兆光纤。
设备
性能参数
接口参数
数量
24口交换机
机箱规格≥2U机箱;
Console接口1*RJ45;
双电源
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.5以上协议;
2
万兆防火墙
万兆光口≥6个
SFP插槽≥4个
整机吞吐率(bps)≥20G
最大并发连接数≥320万
每秒新建连接数≥16万
IPSecVPN隧道数≥9000条
机箱规格≥2U机箱;
Console接口1*RJ45;
双电源
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.5以上协议;
2
SSLVPN
千兆电口≥6个
整机吞吐率≥2Gbps;
最大并发连接数≥180万;
每秒新建连接数≥1.2万;
IPSecVPN隧道数≥5000条;
IPSec加密吞吐率≥120Mbps;
SSLVPN并发用户数≥1万;
SSLVPN加密吞吐100M;
SSLVPN并发连接数9万;
SSLVPN每秒新建连接100
机箱规格≥1U机箱;
Console接口1*RJ45;
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.6以上协议;
2
网页防篡改
千兆电口≥4个
支持所有网页文件的自动检测与自动恢复,如:
静态页面/动态脚本/多媒体文件等;
网页WEB服务器的发布;
支持Windows和Linux两种系统,并支持双机冗余发布;
访问响应时间:
防篡改功能启动后,接收网页平均时间增加值≤5%。
软硬一体产品
机箱规格≥1U;
Console接口1*RJ45;
USB2个;
带外管理口1;
支持硬件ByPass;
支持SNMPv1.2以上协议
2
图表8公共服务区设备选型性能和接口参数
3.2.3核心交换区
通过双汇聚层的核心交换机建立主备冗余交换网络。
旁路部署1台支持千兆网络的入侵监测,实时监控网络数据流,及时发现网络中的攻击行为;部署1台支持千兆网络的漏洞扫描设备,定期扫描内网设备、系统和应用的漏洞情况,评估安全状态并及时打补丁修复存在的漏洞;部署网络准入控制系统1套,实现无线接入网络的身份认证、VLan的自动分配,解决外部访客的访问控制。
具体部署情况如下图:
图表9核心交换区的设备部署示意图
核心交换机为高端万兆交换机,堆叠可实现80GB的交换流量,上下联接为万兆光纤,与网络准入控制设备、入侵监测设备、漏洞扫描设备都是万兆光纤,到设备端是万兆/千兆自适应的光模块。
设备
性能参数
接口参数
数量
核心交换机
2
网络准入控制
2
入侵检测系统
万兆光口≥4个,其中万兆监听口≥2个
SFP插槽≥4个
TCP会话数≥100万
实际网络环境处理能力(混合包、混合流)≥4Gbps
软硬一体产品
机箱规格≥2U;
Console接口1*RJ45;
USB2个;
带外管理口1;
支持硬件ByPass;
支持SNMPv1.2以上协议
2
漏洞扫描系统
千兆光口≥4个;
SFP插槽≥4个;
单任务可扫描100个C类网段,单任务可并发扫描40IP;
支持并发扫描主机数设置,最大支持40台并发;
每台主机最大并发线程数设置,最大支持100个线程。
软硬一体产品
机箱规格≥2U;
Console接口1*RJ45;
USB2个;
带外管理口1;
支持硬件ByPass;
支持SNMPv1.2以上协议
1
图表10核心交换区设备选型性能和接口参数
3.2.4终端接入区
基于有线网络、无线网络的办公终端接入,包括:
办公楼、科研楼、信息楼、职工宿舍、加工厂(含仓储库房)等园区楼宇内办公瘦终端、笔记本、台式机的接入。
在全园区覆盖的无线网络中,通过手机、iPad、笔记本、条码扫描枪等设备接入网络,主要是为了方便办公、生产,另外还有一部分为外部访客或合作伙伴联合办公,他们以访客身份接入,只能访问外部互联网或内部指定的特定区域。
3.2.4.1办公楼楼层汇聚连接设计
图表11办公楼楼层汇聚连接示意图
办公楼有线网络:
接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。
其中距离较远的北门卫需要采用单模千兆光纤双链路接入到汇聚交换机。
办公楼无线网络:
接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。
其中距离较远的北门卫需要采用单模千兆光纤接入到汇聚交换机。
3.2.4.2科研楼楼层汇聚连接设计
图表12科研楼楼层汇聚连接示意图
科研楼有线网络:
接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。
其中距离较远的人工气候室需要采用单模千兆光纤接入到汇聚交换机。
科研楼无线网络:
接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。
其中距离较远的人工气候室需要采用单模千兆光纤接入到汇聚交换机。
3.2.4.3信息楼楼层汇聚连接设计
图表13信息楼楼层汇聚连接示意图
信息楼有线网络:
接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。
其中距离较远的配电中心需要采用单模千兆光纤接入到汇聚交换机。
信息楼无线网络:
接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。
其中距离较远的配电中心需要采用单模千兆光纤接入到汇聚交换机。
3.2.4.4仓储库房楼层汇聚连接设计
图表14仓储库房楼层汇聚连接示意图
仓储库房有线网络:
接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。
其中距离较远的加工厂和南门卫需要采用单模千兆光纤接入到汇聚交换机。
仓储库房无线网络:
接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。
其中距离较远的加工厂和南门卫需要采用单模千兆光纤接入到汇聚交换机。
3.2.4.5宿舍楼楼层汇聚连接设计
图表15宿舍楼楼层汇聚连接示意图
宿舍楼有线网络:
接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。
宿舍楼无线网络:
接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。
3.2.5数据中心区
该区域部署有企业核心业务、虚拟桌面以及部分高性能服务器,详细连接部署情况如下:
图表16数据中心区的设备部署示意图
防火墙作为数据中心区域的边界设备,采用双机热备的方式上联核心交换机,下联两台捆绑堆叠的数据中心区域交换机,IBM一体机、虚拟桌面都是双链路接入到交换机,该区域的网络连接均采用万兆光纤相连。
IBM一体机中部署了企业的关键核心业务系统,如:
ERP、SOA、协同OA、种子条码管理等。
采用VMWare或Citrix部署虚拟桌面,初期为300个,该部分设计见虚拟桌面专项设计。
一体机、虚拟桌面之间的访问数据通过Trunk方式上传到防火墙,通过防火墙实现虚拟桌面与一体机之间的访问控制。
在虚拟桌面中部署支持虚拟化的杀毒软件,采用无代理方式,防止杀毒风暴影响主机性能。
在数据中心区域交换机上旁路部署数据库审计设备1台,考虑到外部数据库访问流量不大,本次设计采用千兆级设备,通过万兆光纤相连,设备端配有千兆/万兆自适应光口。
设备
性能参数
接口参数
数量
万兆防火墙
万兆光口≥6个
千兆电口≥4个
整机吞吐率(bps)≥40G
最大IPS吞吐量≥16G
最大防病毒吞吐量≥16G
每秒新建连接数≥16万
最大并发连接数≥320万
每秒新建连接数≥16万
IPSecVPN隧道数≥9000条
机箱规格≥2U机箱;
Console接口1*RJ45;
双电源
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.5以上协议;
2
48口交换机
2
数据库审计
千兆光口≥4个
抓包速度(bps)≥1GB
入库速度≥5000条/秒;
日处理事件数≥300万条;
机箱规格≥2U机箱;
Console接口1*RJ45;
双电源;
带外管理接口1个;
USB接口2个;
支持硬件ByPass;
支持SNMPv1.5以上协议;
2
图表17数据中心区设备选型性能和接口参数
3.2.6智慧园区网
智慧园区与核心交换区连接,中间采用防火墙进行区域隔离,详细连接部署情况如下:
图表18智慧园区网与核心交换区连接图
如上图所示,防火墙与智慧园区网的核心交换机相连,核
升级会员 