基础网络架构与安全项目技术需求文件.docx

1、基础网络架构与安全项目技术需求文件基础网络架构与安全项目技术需求文件1.项目概述 11.1项目背景 11.2建设目标 11.2.1建设高性能、高安全的园区基础网络平台 21.2.2建设符合业务目标的信息安全纵身防御体系 31.2.3建立符合等保三级的信息安全管理体系 32.技术需求 43.方案设计 43.1总体框架设计 43.1.1网络外联区 53.1.2核心交换区 53.1.3媒介融合业务区 53.2安全防护设计 63.2.1外联区防护 63.2.2DMZ区 73.2.3核心业务区安全： 83.2.3业务网的边界防护 83.2.4安全管理域 93.2.5统一的身份认证 93.3数据安全设计

2、113.3.1分布式存储 113.3.2共享式存储 113.4安全监控管理系统设计 123.4.1设计思路 123.4.2监控机房建设方案 134.产品选型 145.技术需求 155.1网络外联域 155.1.1互联网出口 155.1.2DMZ区域 175.2核心业务交换 195.2.1汇聚层交换机 2台 195.2.2核心防火墙2台 225.2.3接入交换机11台 235.3媒介融合业务域 255.3.1新媒体播出隔离区 255.3.2数据库区 275.3.3安全管理区 285.3.4系统软件 405.4监控区域 405.4.1监控系统 405.4.2其他 445.5认证及安全服务 455.

3、6集成服务 466.项目实施方案及要求 476.1总体实施要求 476.2实施地点与建设周期 476.3细化设计与预研发 486.4设备到货与集成 486.5联调、测试、试运行及验收 497.售后服务要求 497.1质保期 497.2投标方质量责任 507.3免费质保服务要求 507.3.1维修及备件服务 507.3.2技术支持服务 507.3.3软、硬件升级服务 517.3.4出保后服务要求 517.4 用户培训 51 1.项目概述1.1项目背景借助某种业宾西新区建设的契机，升级改造现有的信息化基础设施，着力打造某种业信息化的高速公路，构建公司“互联网+农业”的应用架构，整合云计算、移动互联

4、网、物联网和大数据等战略性新型技术，为科研创新、加工生产、市场营销、日常管理等业务的快速发展提供支撑、保障和服务。本次建设的地点为某种业宾西新区，建设范围覆盖园区的办公楼、科研楼、信息楼、职工宿舍、加工厂、仓储库房等园区楼宇，具体情况如下图所示：图表1宾西新区的建筑楼宇群落情况在以上的园区建筑群中，我们中心机房的部署位置选择在信息楼2层，在综合布线方面以信息楼为中心，构建环形+星型的万兆互联通讯网络，楼宇之间采用4主+4备的万兆光缆连接，每个建筑屋内的楼层配线间之间采用万兆光缆联通，配线间到个人桌面采用千兆双绞线方式连接。在园区办公高速的网路基础上，实现无线全园区覆盖。1.2建设目标基础网络与

5、信息安全建设按照“高性能、高质量、既安全、又经济”的方针进行设计，建设高速、安全、可靠的宾西园区基础网络与安全平台，满足某种业园区日常办公的使用需要。1.2.1建设高性能、高安全的园区基础网络平台与Intelnet互联接入方面，实现移动、联通宽带的双线接入，拥有主备冗余的双链路数据交换网络。园区内部建设办公网、无线网络和园区网三张网络，办公网络从核心交换机到汇聚交换机采用万兆光纤双链路，连接双汇聚交换机，从汇聚交换机到接入层交换机采用万兆光纤双链路，连接单个接入楼层接入交换机，所涉及的楼宇有办公楼、信息楼、科研楼、职工宿舍和加工厂（含仓储库房）。楼层交换机到墙上的信息点是单链路的千兆六类线，接

6、入的设备有虚拟桌面的瘦客户机、笔记本电脑和台式机等计算设备。无线网络的楼宇汇聚交换机与核心交换机相连，楼宇采用单汇聚单万兆光纤链路，楼宇汇聚交换机到楼层接入交换机采用万兆光纤链路，楼层接入交换机到无线AP采用千兆六类双绞线，接入的设备为无线AP，可分为室内无线AP和室外无线AP。园区网络是自成体系，有自己的双核心交换机，园区核心交换机与办公网的核心交换机之间采用光纤连接，楼宇采用单汇聚单万兆光纤链路，楼宇汇聚交换机到楼层接入交换机采用万兆光纤链路，楼层接入交换机到设备采用千兆六类双绞线，接入设备包括：摄像头、门禁、电视（网络电视）、多媒体盒（数据网络）、会议显示系统等设备。在网络规划的同时，我

7、们同步规划信息安全防护措施，在外网互联区、公共服务区、安全管理区、带外管理区、核心交换区、数据中心区、终端接入区、园区网、科研网等各个区域的边界、区域内都设计了相关安全产品，并且由全局支撑的安全管理中心进行统一管理，满足企业内部网络业务正常运转的安全保障。1.2.2建设符合业务目标的信息安全纵身防御体系在安全体系建设方面，按照分区分域的原则整合区域边界，部署防火墙类产品，实现不同区域之间网络边界访问的安全控制；在区域内部的重点区域部署监控类、保护类和管理类的产品，解决区域内部的安全防护；部署全局类的密钥管理、身份管理和监控审计类产品，为整个网络的安全建设提供基础设施的支撑，建成某园区基于网络、

8、智慧园区、信息平台的信息安全纵身防御体系。图表2信息安全防护体系建设目标1.2.3建立符合等保三级的信息安全管理体系根据公安部颁发的信息安全技术 信息系统安全等级保护基本要求，建立健全信息安全防护体系，按照“同步规划、同步建设、同步运行”的原则，与主体工程同时规划、建设、验收和使用。本项目的安全设计是按照等保三级要求，设计系统软硬件的防护平台，竣工后能够满足公安部安全等保二级的测评。图表3等级保护技术要求2.技术需求某种业基础网络与信息安全方案设计既要综合考虑网络带宽、链路可靠等基础环境，又要考虑虚拟桌面、一体机、公共服务云、智慧园区等应用环境，还要考虑物理安全、主机安全、应用安全和数据安全等

9、方面的安全需求，从全局出发采用自顶向下、自底向上相结合的方法，进行整体设计、重点加强的推进思路，并配合园区建设的其他项目，提供合理设计和实施方案。2.1系统基础环境建设需求本项目建设的网络接入链路两条，分别为联通和移动，其中联通为1GB、移动为300MB。在网络建设初期，先接入移动的100MB带宽，后期根据需要再扩展接入带宽，并考虑是否接入联通。系统基础环境建设包括有线、无线和园区网，其中有线、无线公用核心交换机，组合成办公网。园区网单独核心，园区网与办公网的核心之间通过光纤联通。在办公网中，有线网从接入到核心采用双链路、双核心的部署方式，汇聚层交换机采用双冗余捆绑方式，实现汇聚层到核心层的备

10、份，从核心到汇聚、到楼层接入交换机都是采用光纤，楼层接入交换机到各个房间是采用六类双绞线连接。无线网与有线网共用核心交换机，汇聚交换机、接入交换机采用单台部署，楼层接入交换机到各个无线AP之间采用六类双绞线接通。在园区网中，采用双核心部署，楼宇都设有汇集层交换机，为单台部署。从核心到汇聚层、接入层都是采用光纤接通，汇集层到接入设备采用六类双绞线，接入设备包括：摄像头、门禁、电视（网络电视）、多媒体盒（数据网络）、会议显示系统、车辆进出管理、园区广播等设备。2.2系统安全环境建设需求本项目建设按照等级保护三级要求设计，系统定级为等保二级。按照分区分域的访问控制，将系统分为外网互联区、公共服务区、

11、安全管理区、带外管理区、核心交换区、终端接入区、数据中心区、园区网、科研网等9个区域，各个区域之间通过防火墙实现不同区域之间的访问控制。构建重点区域内的安全监控，采用统一威胁管理（简称：UTM）、上网行为管理、堡垒主机、数据库审计、入侵监测等安全设备实现网络行为、用户操作行为进行审计。建设全网的安全基础设施，统一的身份认证与访问控制系统，系统认证方式支持多级认证与双因子认证，实现与应用系统的安全整合与集成。采用集中安全管理（简称：SOC）实现安全事件日志的统一收集、分析，发现未知或潜在风险。采用统一的补丁管理系统，实现全网的补丁统一管理。采用统一的杀毒软件，实现物理计算机、虚拟桌面、虚拟服务器

12、的杀毒统一管理。2.3系统监控运维建设需求构建网络设备的运维监控平台，基于网管软件，实现全网的网络设备管理；基于网络准入控制，实现全网的无线接入监控运维；基于Windows域，实现全网的运行系统的统一运维平台。构建安全产品的运维监控平台，采用集中安全管理平台（简称：SOC），实现全网安全设备所产生事件的集中监控管理。2.4安全管理体系建设需求按照等保三级要求建立并完善安全管理体系，提供专业的安全咨询服务，包括：脆弱性监测、安全加固、安全管理制度，协助某通过第三方的等保测评的咨询服务。3.方案设计3.1总体框架设计遵循面向业务需求的设计思路，基于业务场景化、模块化的设计方法，实现IT基础架构模块

13、与业务模块松耦合，保证基础网络与信息安全的动态扩展和新业务快速上线。本项目解决方案的总体架构如下所示。图表4分区分域网络拓扑结构示意图其中园区网有以下几个功能区域组成，即核心交换区、安全管理区、数据中心区、操作运维区、楼层接入区合安防网络，具体设计如下：核心交换区：应用两台高性能交换机通过物理连接，并应用交换机虚拟化技术，三层端口链路捆绑以及动态路由技术组成两台高性能交换机虚拟为一台逻辑交换机的核心交换区；安全管理区：应用两台交换机通过物理连接，并应用交换机虚拟化技术，逻辑Vlan以及动态路由技术组成两台交换机虚拟为一台交换机的安全管理区；通过防火墙与其他区域隔离增强业务的安全性；数据中心区：

14、应用两台中高性能交换机通过物理连接，并应用交换机虚拟化技术，逻辑Vlan以及动态路由技术组成两台交换机虚拟为一台逻辑交换机的数据中心区；考虑网络的扩展性，未来可以进行下联接入交换机的方式进行扩展；通过防火墙与其他区域隔离，增强业务的安全性；操作运维区：应用两台中端交换机通过物理连接，并用Trunk、逻辑Vlan以及动态路由技术组成两台中高端交换机相互热备的操作运维区、并与核心区形成链路冗余；楼层安防网接入区：应用一台汇聚交换机通过物理连接，三层端口及动态路由技术组成安防网络楼层汇聚层。楼层办公网络接入区：应用两台汇聚交换机通过物理连接，并应用交换机虚拟化技术，三层端口链路捆绑及动态路由技术组成

15、两台汇聚交换机虚拟为一台逻辑交换机的办公网络楼层汇聚层。楼层无线网络接入区：应用一台汇聚交换机通过物理连接，三层端口及动态路由技术组成无线网络楼层汇聚层。3.2园区网络设计3.2.1外网互联区该区域主要是处理内部用户访问互联网，同时某园区对外提供互联网访问控制，为此设置了专门的公共服务区（又称：DMZ），该区域的上联带宽未来预计最大为1GB+300MB(暂定)，由此部署在该区域的设备吞吐量为1.5GB,物理线路为千兆电口，具体情况如下：图表5外网互联区的设备部署示意图 来自业务网两条线路分别接入路由器，实现内外部网络地址的NAT转换，路由器从运营商接入的为光纤，下联设备采用的六类双绞线； 路由

16、器之后，部署两台抗DDOS设备，开启抗攻击、异常流量功能，通过心跳线连接实现双活，设备上联、下联均为为电口，采用六类双绞线连接； 抗DDOS设备之后，部署两台负载均衡设备，实现多链路负载均衡，设备上联、下联均为为电口，采用六类双绞线连接； 负载均衡设备之后，部署2台统一威胁管理（简称：UTM）设备，开启IPS/AV等UTM功能进行安全防护；具备基于应用层的流量控制功能，能够提供可靠的流量管理服务，设备上联、下联均为为电口，采用六类双绞线连接。设备性能参数接口参数数量路由器千兆电口 5个；千兆光口 3个（带模块）;万兆光口 1个（无模块）;机箱规格4U机箱；Console接口1*RJ45； 带外

17、管理接口1个；USB接口2个；双电源；支持SNMPv1.2以上协议；1抗DDOS设备千兆电口 6个；SFP插槽 4个；转发延迟时间 20微秒；三层网络吞吐量4Gbps；47层网络吞吐1.5Gbps；抗攻击能力140万PPS；混合攻击处理能力1.5Gbps；机箱规格2U机箱；Console接口1*RJ45； 带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.2以上协议；2链路负载均衡千兆电口 6个；SFP插槽 2个；最大并发连接数300W；4层每秒新建连接数2W；标配吞吐1.5 Gbps；最大有效吞吐（4/7层）2Gbps/1Gbps；SSL每秒新建（2048位）150个

18、；SSL卸载性能（bps）100Mbps；HTTP压缩（bps）100Mbps；机箱规格2U机箱；Console接口1*RJ45； 带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.3以上协议；2统一威胁管理（简称：UTM）千兆电口 6个；最大整机吞吐量 3.5Gbps；IPS吞吐量 3Gbps，防病毒吞吐量 1.5Gbps；每秒新建连接数 2万；最大并发连接数 200万机箱规格2U机箱；Console接口1*RJ45； 带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.4以上协议；2图表6外网互联区设备选型性能和接口参数3.2.2公共服务区该区

19、域主要是对外网提供企业服务，利用现有的DELL服务器，采用VMWare构建应用虚拟服务器群，对内、对外提供企业网站、邮件、电商等公共服务，部署SSL VPN为外部分子公司、合作单位、内部员工外出办公等提供互联网安全接入的通道，该区域的上联带宽未来预计最大为1.5GB，下联为万兆光纤，为此部署在该区域的设备吞吐量的计算：对外提供服务的SSL VPN为千兆级，对内提供服务的为万兆级，具体情况如下：图表7公共服务区的设备部署示意图 公共服务区交换机，上联外网互联区（千兆六类双绞线），下联防火墙（万兆光纤），中间连接公共服务区的各个设备； 上网行为管理设备旁挂在交换机上，开启上网行为监控、流量监控等功

20、能，提供上网行为的管控措施。 在网络外服务区内部署WEB服务器、邮件服务器、电商服务器等对外提供服务的应用服务器，服务器部署在VMWare虚拟化服务器之上，连接采用万兆光纤。 在WEB服务器、电商服务器中分别部署1套网页防篡改软件，（支持Linux版本或Windows版本）。 部署2台SSL VPN为通过互联网访问的人员提供安全接入链路，两台设备采用双机热备方式部署，与交换机之间的连接为千兆六类双绞线。 交换机与下联核心交换区之间部署2台防火墙，采用双活的方式部署，连接采用万兆光纤。设备性能参数接口参数数量24口交换机机箱规格2U机箱；Console接口1*RJ45； 双电源带外管理接口1个；

21、USB接口2个；支持硬件ByPass；支持SNMPv1.5以上协议；2万兆防火墙万兆光口6个SFP插槽4个整机吞吐率(bps)20G最大并发连接数320万每秒新建连接数16万IPSec VPN隧道数9000条机箱规格2U机箱；Console接口1*RJ45； 双电源带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.5以上协议；2SSL VPN千兆电口6个整机吞吐率2Gbps; 最大并发连接数180万; 每秒新建连接数1.2万；IPSec VPN隧道数5000条；IPSec加密吞吐率120Mbps；SSL VPN并发用户数1万；SSL VPN加密吞吐 100M；SSL V

22、PN并发连接数 9万；SSL VPN每秒新建连接 100机箱规格1U机箱；Console接口1*RJ45； 带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.6以上协议；2网页防篡改千兆电口4个支持所有网页文件的自动检测与自动恢复，如：静态页面/动态脚本/多媒体文件等；网页WEB服务器的发布；支持Windows和Linux两种系统，并支持双机冗余发布；访问响应时间：防篡改功能启动后，接收网页平均时间增加值5%。软硬一体产品机箱规格1U；Console接口1*RJ45；USB 2个；带外管理口 1；支持硬件ByPass；支持SNMPv1.2以上协议2图表8公共服务区设备选

23、型性能和接口参数3.2.3核心交换区通过双汇聚层的核心交换机建立主备冗余交换网络。旁路部署1台支持千兆网络的入侵监测，实时监控网络数据流，及时发现网络中的攻击行为；部署1台支持千兆网络的漏洞扫描设备，定期扫描内网设备、系统和应用的漏洞情况，评估安全状态并及时打补丁修复存在的漏洞；部署网络准入控制系统1套，实现无线接入网络的身份认证、VLan的自动分配，解决外部访客的访问控制。具体部署情况如下图：图表9核心交换区的设备部署示意图核心交换机为高端万兆交换机，堆叠可实现80GB的交换流量，上下联接为万兆光纤，与网络准入控制设备、入侵监测设备、漏洞扫描设备都是万兆光纤，到设备端是万兆/千兆自适应的光模

24、块。设备性能参数接口参数数量核心交换机2网络准入控制2入侵检测系统万兆光口4个，其中万兆监听口 2个SFP插槽4个TCP会话数100万实际网络环境处理能力（混合包、混合流）4Gbps软硬一体产品机箱规格2U；Console接口1*RJ45；USB 2个；带外管理口 1；支持硬件ByPass；支持SNMPv1.2以上协议2漏洞扫描系统千兆光口4个；SFP插槽4个；单任务可扫描100个C类网段，单任务可并发扫描40IP；支持并发扫描主机数设置，最大支持40台并发；每台主机最大并发线程数设置，最大支持100个线程。软硬一体产品机箱规格2U；Console接口1*RJ45；USB 2个；带外管理口 1

25、；支持硬件ByPass；支持SNMPv1.2以上协议1图表10核心交换区设备选型性能和接口参数3.2.4终端接入区基于有线网络、无线网络的办公终端接入，包括：办公楼、科研楼、信息楼、职工宿舍、加工厂（含仓储库房）等园区楼宇内办公瘦终端、笔记本、台式机的接入。在全园区覆盖的无线网络中，通过手机、iPad、笔记本、条码扫描枪等设备接入网络，主要是为了方便办公、生产，另外还有一部分为外部访客或合作伙伴联合办公，他们以访客身份接入， 只能访问外部互联网或内部指定的特定区域。3.2.4.1办公楼楼层汇聚连接设计 图表11办公楼楼层汇聚连接示意图办公楼有线网络：接入层部署千兆交换机双链路万兆多模光纤上联汇

26、聚层两台万兆交换机。其中距离较远的北门卫需要采用单模千兆光纤双链路接入到汇聚交换机。办公楼无线网络：接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。其中距离较远的北门卫需要采用单模千兆光纤接入到汇聚交换机。3.2.4.2科研楼楼层汇聚连接设计图表12科研楼楼层汇聚连接示意图科研楼有线网络：接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。其中距离较远的人工气候室需要采用单模千兆光纤接入到汇聚交换机。科研楼无线网络：接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。其中距离较远的人工气候室需要采用单模千兆光纤接入到汇聚交换机。3.2.4.3信息楼楼层汇

27、聚连接设计图表13信息楼楼层汇聚连接示意图信息楼有线网络：接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。其中距离较远的配电中心需要采用单模千兆光纤接入到汇聚交换机。信息楼无线网络：接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。其中距离较远的配电中心需要采用单模千兆光纤接入到汇聚交换机。3.2.4.4仓储库房楼层汇聚连接设计图表14仓储库房楼层汇聚连接示意图仓储库房有线网络：接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。其中距离较远的加工厂和南门卫需要采用单模千兆光纤接入到汇聚交换机。仓储库房无线网络：接入层部署千兆交换机单链路千兆多模光纤上

28、联汇聚层单台千兆交换机。其中距离较远的加工厂和南门卫需要采用单模千兆光纤接入到汇聚交换机。3.2.4.5宿舍楼楼层汇聚连接设计图表15宿舍楼楼层汇聚连接示意图宿舍楼有线网络：接入层部署千兆交换机双链路万兆多模光纤上联汇聚层两台万兆交换机。宿舍楼无线网络：接入层部署千兆交换机单链路千兆多模光纤上联汇聚层单台千兆交换机。3.2.5数据中心区该区域部署有企业核心业务、虚拟桌面以及部分高性能服务器，详细连接部署情况如下：图表16数据中心区的设备部署示意图防火墙作为数据中心区域的边界设备，采用双机热备的方式上联核心交换机，下联两台捆绑堆叠的数据中心区域交换机，IBM一体机、虚拟桌面都是双链路接入到交换机

29、，该区域的网络连接均采用万兆光纤相连。IBM一体机中部署了企业的关键核心业务系统，如：ERP、SOA、协同OA、种子条码管理等。采用VMWare或Citrix部署虚拟桌面，初期为300个，该部分设计见虚拟桌面专项设计。一体机、虚拟桌面之间的访问数据通过Trunk方式上传到防火墙，通过防火墙实现虚拟桌面与一体机之间的访问控制。在虚拟桌面中部署支持虚拟化的杀毒软件，采用无代理方式，防止杀毒风暴影响主机性能。在数据中心区域交换机上旁路部署数据库审计设备1台，考虑到外部数据库访问流量不大，本次设计采用千兆级设备，通过万兆光纤相连，设备端配有千兆/万兆自适应光口。设备性能参数接口参数数量万兆防火墙万兆光

30、口6个千兆电口4个整机吞吐率(bps)40G最大IPS吞吐量16G最大防病毒吞吐量16G每秒新建连接数16万最大并发连接数320万每秒新建连接数16万IPSec VPN隧道数9000条机箱规格2U机箱；Console接口1*RJ45； 双电源带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.5以上协议；248口交换机2数据库审计千兆光口4个抓包速度(bps)1GB入库速度5000条/秒 ;日处理事件数300万条;机箱规格2U机箱；Console接口1*RJ45； 双电源；带外管理接口1个；USB接口2个；支持硬件ByPass；支持SNMPv1.5以上协议；2图表17数据中心区设备选型性能和接口参数3.2.6智慧园区网智慧园区与核心交换区连接，中间采用防火墙进行区域隔离，详细连接部署情况如下：图表18智慧园区网与核心交换区连接图 如上图所示，防火墙与智慧园区网的核心交换机相连，核