集团信息化基础架构建设方案.docx

1、集团信息化基础架构建设方案集团信息化基础架构 建设方案1设计依据国家信息化工程相关标准项目设计委托书现场勘查结果2建设原则在进行本次网络系统设计时，主要应遵循以下原则：1、实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。安全性原则：本次工程项目服务于公安局信息中心机房建设的需要，对安全级别要求很高。2、可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。3、成熟和先进性原则：系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。4、规范

2、性原则：系统设计所采用的技术和设备应符合国际标准、国家标准和业界标准，为系统的扩展升级、与其他系统的互联提供良好的基础。5、开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。6、可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。7、可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和

3、故障诊断。根据用户的实际需求，结合十多年的系统集成经验，提供完善信息化建设解决方案，为用户提供最佳投入产出比的设备、实施和优质服务。3信息化建设3.1公司概况公司放眼于全球战略高度，定位于高起点、高品质、高标准，引进世界一流的高端装备，企业整体设计体现了专业、完善和发展的理念，致力于打造世界领先的高端铝生产企业。3.2建设目标根据公司全球战略高起点、高品质、高标准的要求，建设信息化平台，包括网络、安全防护、应用系统、数据存储等。建设一套完善的信息化平台系统覆盖公司所有的部门，保障生产系统、管理系统、以及互联网系统的正常工作，满足所有用户的接入要求。具备动态备份的网络链路设计、具备病毒等网络攻击

4、的防护能力，具备高效安全的移动办公接入能力，具备不间断的业务应用系统架构，一切以安全生产为核心，保证信息化平台的安全、稳定。3.3网络拓扑图3.4组网说明本部分是以基础网络建设、安全防范为主要内容。基于适用、够用、好用、适度超前、灵活扩展、协议开放的原则进行设计。网络平台建设将整体网络分为生产网、管理网、互联网、移动接入等四大部分，分别进行阐述。3.4.1生产网公司中最重要的信息化网络是生产系统的网络平台，是指所有生产设备、办公、业务需要的信息网络。本次利用流行的新技术进行网络建设，具备高冗余、高可用、高可靠特点。生产网拓扑图：3.4.1.1网络结构生产网对网络的稳定性要求最高，要求关键设备冗

5、余、链路冗余、故障快速解决。系统采用现有通行的二层结构（核心-接入），减少故障点及数据转发延时。并为全网冗余结构提供必要基础。接入交换机均直接跳转到核心设备上，减少网络层次，提高网络转发效率。 本次网络建设拟采用双核心双链路的全冗余结构，单点只存在于网络边缘。提升了网络的稳定度。每配线间接入交换机均单独通过光缆分别连接两台核心交换机，形成全冗余结构。配线间中超过一台接入设备的通过堆叠技术形成虚拟交换机群。全网采用智能弹性架构技术形成虚拟网络。提升网络的处理性能和容灾能力。3.4.1.2核心交换设备选择核心交换设备作为网络的最关键设备承担着网络中全部数据量的转发，他的安全性、稳定性决定了网络结构

6、的稳定和可用性。配置两台核心交换机，形成双核心结构，在网络最关键点形成冗余，消除单点故障，并通过智能弹性架构技术实现两台核心交换机之间的负载均衡。选择处理性能既能满足现有网络应用，又能适应将来网络的扩展和应用增加所带来的处理能力提升的要求。选择模块化插槽式企业级高端多层交换机，利用其自身灵活的扩展、升级能力。通过增加接口卡实现端口的扩容，通过增加功能板卡获得全新的功能，通过增加或更换处理板实现处理性能的提升。根据现有端口要求配置48个千兆电口作为连接服务器等各种电接口设备。配置48个千兆光接口，下联接入交换机。3.4.1.3协议选择传统核心交换机保护机制一般采用双机热备方式，即一主一备的方式实

7、现，这样会造成一台核心交换设备的资源浪费，且切换时间较长，无法满足现有网络环境中的技术要求。目前较多采用的为双核心双链路连接，负载均衡的工作模式，即两台核心交换机同时工作，同时处理数据交换。提升处理能力和缩短切换时间。两台核心交换机的相互关系是通过不同的协议来确定的，常用的如VRRP、HSRP、OSPF、智能弹性架构（IRF1/2）等协议均可实现双核心全冗余结构。但前三种由于技术比较陈旧，会带来或多或少的弊端。本次改造拟采用智能弹性架构（IRF2）技术实现双核心的全冗余结构。智能弹性架构（IRF2）技术可以把多台交换设备虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能

8、力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的故障检测机制，实现毫秒级链路故障检测。3.4.1.4接入设备选择接入交换机根据各配线间的实际信息点位数选择，点位数较多无法通过一台接入交换设备连接的，通过多台接入设备之间进行堆叠进行虚拟化建设，形成虚拟交换组。每配线间虚拟交换机组通过两条光缆千兆上联两台核心交换机。堆叠技术将多台物理交换设备组成逻辑的统一交换设备，通过一个管理地址进行管理，减少了管理工作量，也避免配线间中的多台交换设备形成的多级级联 所造成的拥堵和带宽挤占。3.4.1.

9、5防火墙设备选择区域边界防火墙根据区域的安全级别进行相应的网络安全防护，禁止其他网络区域对其进行访问，保证网络控制权限被正确安全使用。3.4.2管理网管理网是指公司内部负责运维管理部分，是一个独立的网络，用于业务监控管理、设备监控管理和日常工作管理等事务。该区域主要连接着安全管理区，并且对安全管理区具备管理权限，因此本区域是公司内最高安全级别的区域，需要严格控制接入和访问。通过连接的安全管理区可以实现所有网络设备、IT设备、服务器设备等相关接入网络的设备的监控、管理和控制。拓扑图如下：由于该区域的用户可以控制所有的通过安全管理区的设备监控管理所有网络设备，需要对人员的管理权限进行约束，通过防火

10、墙其他网络的攻击。管理网3.4.2.1网络结构网络架构与生产网相同，但是由于用户较少，接入交换机需要较少。3.4.2.2核心交换设备选择核心交换设备作为网络的最关键设备承担着网络中全部数据量的转发，他的安全性、稳定性决定了网络结构的稳定和可用性。配置两台核心交换机，形成双核心结构，在网络最关键点形成冗余，消除单点故障，并通过智能弹性架构技术实现两台核心交换机之间的负载均衡。选择处理性能既能满足现有网络应用，又能适应将来网络的扩展和应用增加所带来的处理能力提升的要求。选择模块化插槽式企业级高端多层交换机，利用其自身灵活的扩展、升级能力。通过增加接口卡实现端口的扩容，通过增加功能板卡获得全新的功能

11、，通过增加或更换处理板实现处理性能的提升。根据现有端口要求配置24个千兆电口作为连接服务器等各种电接口设备。配置24个千兆光接口，下联接入交换机。3.4.2.3协议选择传统核心交换机保护机制一般采用双机热备方式，即一主一备的方式实现，这样会造成一台核心交换设备的资源浪费，且切换时间较长，无法满足现有网络环境中的技术要求。目前较多采用的为双核心双链路连接，负载均衡的工作模式，即两台核心交换机同时工作，同时处理数据交换。提升处理能力和缩短切换时间。两台核心交换机的相互关系是通过不同的协议来确定的，常用的如VRRP、HSRP、OSPF、智能弹性架构（IRF1/2）等协议均可实现双核心全冗余结构。但前

12、三种由于技术比较陈旧，会带来或多或少的弊端。本次改造拟采用智能弹性架构（IRF2）技术实现双核心的全冗余结构。智能弹性架构（IRF2）技术可以把多台交换设备虚拟成一个“联合设备”，使用和配置都如同一台机器，而且扩展端口数量和交换能力，同时也通过多台设备之间的互相备份增强了设备的可靠性，提供毫秒级的链路收敛能力。简化了管理过程，降低管理成本，并可根据实际需求平滑扩容网络容量。支持基于硬件的故障检测机制，实现毫秒级链路故障检测。3.4.2.4接入设备选择接入交换机根据各配线间的实际信息点位数选择，点位数较多无法通过一台接入交换设备连接的，通过多台接入设备之间进行堆叠进行虚拟化建设，形成虚拟交换组。

13、每配线间虚拟交换机组通过两条光缆千兆上联两台核心交换机。堆叠技术将多台物理交换设备组成逻辑的统一交换设备，通过一个管理地址进行管理，减少了管理工作量，也避免配线间中的多台交换设备形成的多级级联 所造成的拥堵和带宽挤占。3.4.2.5防火墙设备选择区域边界防火墙根据区域的安全级别进行相应的网络安全防护，禁止其他网络区域对其进行访问，保证网络控制权限被正确安全使用。在防护外部攻击的同时，还要对内部的访问情况进行控制，每个办公人员负责指定设备的监控管理，人员控制权限向上递归，下面运维人员缺位时，由直属领导负责监控管理，保证设备可靠运维管理。3.4.3互联网互联网办公人员较多，这是因为公司的宣传、业务

14、联系、公司网站等等许多部门都需要进行外网应用，同时还要部分移动办公人员通过互联网进入内部进行办公。互联网包括多个区域，互联网办公区、DMZ服务区、INTERNET接入区等等。拓扑图如下：3.4.3.1安全分区由于该互联网集成了多个区域，具有出口众多、安全等级不同、可信程度不同的特点，为保证各个连接区域的安全，根据不同的安全要求进行分区，针对不同的分区进行不同的安全防护手段的部署，实现重点防护、多层过滤、完整统一的目的。根据安全要求及可信度来划分区域，可将外网划分为四大区域，根据安全等级从低到高的排序为：1.移动办公用户2.INTERNET接入区、安全防护区3.DMZ服务区4.互联网办公区针对不

15、同区域之间的划分，根据其数据传输方向及数据传输内容来进行界定。3.4.3.2结构布局根据拓扑图，采用多分区多层次防护方式进行布局，各个分区之间均通过不同的安全防护手段进行隔离和管理。首先安全级别最低的是移动办公用户，通过安全防护区到达DMZ服务区，到达SSL VPN设备，经初始认证和授权，授权后将允许对内层互联网办公区进行访问，通过限制其访问范围达到降低安全威胁的目的。其次是INTERNET接入区，安全防护区，在这里要保证互联网链路稳定、安全，作为互联网的边界安全防护。再次是DMZ服务区，该区为公司提供WEB网站发布、SSL VPN用户接入，邮箱收发等功能，是面向互联网的业务提供区。同时因为其

16、对外部互联网的开放性要求，必须对业务应用进行安全防护。这里是外部互联网向内部网络访问的终点，同时也是移动办公用户对内部访问的开始，验证通过的用户可以在内部办公，或者管理网络设备。最后到达互联网办公区是面向互联网开放的最后网络区域，外网流量无法主动访问这里，内部的办公用户可以通过上网行为管理设备进行统一的流量带宽管控，通过有限的网络带宽满足公司日常办公需要，有效解决了BT/下载等抢占网络带宽流量的应用，保证互联网带宽被高效率使用。3.4.3.3出口安全防护互联网的出口链路既是公司内部互联网访问的链路，同时是对外提供信息发布和网上业务处理的链路，也是移动办公用户接入的通道。如出现故障将造成极大的安

17、全威胁，所以出口链路除带宽要求比较高之外，安全性稳定性均有较高的要求。采用流行的两条不同运营商的线路接入方式形成路由智能选择。保证网络出口不间断运行。使用链路负载均衡设备实现多运营商在出口方向上的自动负载均衡功能将保证公司内部用户互联网访问。另外网络仍存在大量的入流量的需求，如VPN的接入和外网门户的使用，因此就需要在链路负载均衡的基础上具有入口的DNS域名解析的自动切换功能。这两个功能的完整实现才是完整的多出口线路保证的充分利用。通过了链路负载均衡，需要进行网络流量清洗，清除大量的互联网DDOS攻击流量，该攻击的特点是简单、粗暴、有效。攻击流程是短时间内集中上万台僵尸主机进行片段攻击，让网络

18、攻击淹没防火墙，致使防火墙等安全设备瘫痪，然后获取设备控制权，一层一层攻击，最终入侵内部网络，截取有价值的信息数据。流量清洗设备是针对性疏导攻击流量的设备，将所有攻击流量简单地导流到空处，而不进行复杂的处理，使得网络可承受的攻击规模有了极大的提升，是面对网络洪水的最好防护机制。经过清洗后的流量进入防火墙，通过多功能、全方位的网络安全检测，清除了常见的网络其他攻击、恶意代码、病毒等，覆盖网络4 - 7层。3.4.3.4 DMZ服务区在DMZ服务区内，需要经过WEB防火墙、SSL VPN等设备。网络出口安全已经解决常规的网络攻击，现在专门针对公司的外网网站进行相关的应用防护，保护网站不被恶意入侵。

19、网站是面向外网提供服务的业务系统，是公司的网络门户，一旦被攻击瘫痪会影响公司的形象。同时邮件服务器部署也位于DMZ区域内，邮箱系统的安全防护比起网站更加重要，一切的公文、客户联系、文件传输，大都通过邮箱进行，是提升网络办公效率的主要手段，但是常常发生大量包含不安全因素的邮箱席卷整个公司邮箱，给我们公司的办公带来很大的网络风险，为了保护邮箱的安全和稳定运行，就需要针对垃圾邮件等邮箱攻击的防护能力。3.4.3.5上网行为管理对于公司最大的安全威胁来自于用户的不规范的上网行为，因此网内防护的控制应采取通过多重手段来进行管理和监控。上网行为管理系统是在网络出口上通过身份验证、权限分配、应用控制、带宽管

20、理等多种手段通过网关的形式进行严格控制，形成无法逾越的技术屏障。在网络内部通过内网安全统一管理平台基于计算机的底层策略来进行控制，包括内网的行为管理如移动存储介质的管理、访问权限的管理、外设的管理、数据传递的管理等实现全方位的管理控制，与上网行为管理系统配合成为全网终端的行为审计的完整解决方式。3.4.4移动办公接入移动办公接入是指临时离开公司本部的公司员工和在线提供网络设备支持服务的集成公司人员。将本部与各移动接入用户之间的地理距离变为网络零距离。保证公司本部业务的正常开展和设备故障的及时解决。由于接入用户的性质不同，可以采用不同的接入机制保护VPN接入的安全。下属分支单位接入拓扑图：移动办

21、公用户可以通过安全验证的UKEY证书进行CA认证登陆，通过用户名和密码外的其他有效验证手段UKEY等设备进行防护，目前只有一条运营商链路，今后随着业务数据流量的增加以及业务的冗余性要求越来越高，租用另外一条运营商的光纤流量作为备份链路将会很快实现，因此负载均衡设备的部署就尤为重要，因为只有该设备可以提供两个运营商之间的链路探测和路径优化，所有操作完全动态完成，其运营商包含的外网地址库也将保证更新补充。3.5安全策略3.5.1办公网络安全策略3.5.1.1核心交换机采用双机虚拟技术，将两台核心交换机虚拟成为一台，同时处理网络流量，进行数据同步，单台故障不会对网络产生任何影响，IRF2（智能弹性架

22、构）技术的使用使得切换速度更快，负载均衡效果更好。设备采用双电源配置，从物理层保证设备本身的安全，避免电源故障造成的设备频繁切换。核心交换机高达2T的背板带宽确保在需要的时候可通过更换处理引擎来实现更高的处理能力，形成更高的冗余网络处理能力，承载更大的网络应用所需。核心交换机高性能的多层处理能力保证了网络中二层三层转发性能的充足，对现有应用能够很好满足之外，更可在需要的时候增加其他如MPLS VPN（多协议标记交换）等新技术的使用，而不会造成处理能力的不足。支持不间断转发和优雅重启，提供毫秒级的切换时间；支持等价路由，可帮助用户建立多条等值路径，实现流量的负载均衡及冗余备份；保证双上行网络拓扑

23、的业务毫秒级快速切换。通过上述技术，可以保证网络在承载多业务的情况下不间断运行，实现业务的永续。3.5.1.2链路保障接入交换机到核心交换机之间的双链路保障形成网络全冗余模式。保证无论是核心设备的故障宕机或是链路故障中断均无法造成网络的瘫痪。接入交换机的智能化可以保证针对每个端口的精细控制和实施监控，通过启用网络管理平台可控制到每一个交换机的端口，并通过智能判断和自动下发任务的方式针对端口做出处理动作，从而将恶意流量或海量广播隔离在网络的最边缘，将对整体网络的影响降到最低。3.5.1.3接入交换机接入交换机的处理能力保障了端口线速转发，确保了设备大流量长时间的稳定工作，内置的管理能力和精细化控

24、制手段可在网络边缘形成初步的过滤和隔离工作，配合网络管理系统，可实现针对全网的智能发现、智能管理的无缝管理。支持IP+MAC+端口+用户名的多重绑定功能，可避免网络内的地址盗用、权限冒用等安全隐患的发生。特有的ARP（以太网地址解析协议）入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施 “ARP欺骗攻击”，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。3.5.1.4边界防火墙在管理办公网、生产办公网的边界部署防火墙设备，保障区域内部的网络免受网络攻击的影响，有效控制双向的访问用户，验证可以通过统一的CA认证系统进行。网络流量的出入需

25、要验证，同时还可以部署访问控制列表，保护指定目标的IP地址区间。主要实现权限管理和流量过滤功能。3.5.1.5防病毒近年来的蠕虫病毒传播越来越快，传播范围越来越广，破坏性也越来越大，病毒充分利用了网络的开放性，在没有防备的时候迅速进入网络并很快在网络中传播开来，造成各个应用系统网络阻塞等情况，因此我们通过防病毒软件实现指定时间对所有主机进行扫描和查杀。3.5.2安全管理区安全管理区是监控管理所有网络及安全设备的区域，是网络各个信息系统健康运行的有力保障，拓扑图：本区域包括：KVM系统，防垃圾邮件、网络杀毒、补丁分发、安管平台、堡垒机、流量分析、网络管理软件、漏洞扫描、数据库审计等等功能。KVM

26、系统：通过KVM系统管理众多的服务器硬件架构。防垃圾邮件：是专门为外网邮箱部署的设备，还邮箱一个晴朗的青山补丁分发：建立补丁更新机制，可以有效地降低系统漏洞的网络攻击行为。安管平台：安全的网络运维管理、安全故障检测和灾难恢复、网络攻击预警和防御堡垒机：单点登录功能、账号管理、身份认证、资源授权、访问控制、操作审计流量分析：获取网络的历史流量分析报表，流量趋势预警，网络异常流量检测，用户上网行为分析以及整网或者具体的网络设备、接口和资源组细粒度流量信息报表等信息，让客户及时全面了解网络运行情况，有效防范网络安全隐患网管系统：运维管理系统具备的强大管理功能为网络的整体管理、快速发现问题、快速解决问

27、题等提供了必要的技术手段，减轻了日常维护量，使故障窗口减小。漏洞扫描：基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。数据库审计：能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。3.5.3互联网安全策略3.5.3.1上网行为管理公司用户的主要需求是对互联网的访问，网络环境的特定化，确定了互联办公网

28、用户的网络访问要求多种多样，各种对带宽消耗极大的应用很有可能造成其他应用的不可用。这将丧失互联网多用途可控可管理的状态。在防火墙与互联网办公区之间部署上网行为管理系统，针对网内用户的互联网访问的需求进行分析和管理，并将有限的带宽进行有效合理的分配和管理，确保关键业务的顺畅进行。基于时间、用户、应用、目的的多重控制手段，将网络访问需求细化，灵活高效的针对每一个用户进行精细到每次访问的控制，并进行详细日志记录，实现网络出口的可控化和事后反查的要求。3.5.3.2防火墙配置防火墙将允许未经验证的用户访问DMZ区，以实现外网门户的可用。但未经验证用户仅能访问DMZ区，不能访问任何其他的区域。通过VPN

29、接入的用户则必须经过严格权限授予及身份令牌的多重验证后才能在访问DMZ区之外再获得访问其他区域的额外权限。3.5.3.3负载均衡 网络出口单纯增加单一运营商带宽的方式无法解决网络不间断运行的问题，多个运营商线路的接入既可以实现带宽的增容，同时又可以获得良好的冗余备份效果。通过负载均衡的智能选择，可以将多个运营商的链路虚拟成为统一的网络出口，同时可以在多条线路之间形成互为备份，另外可以在访问不同的网站选择最快的链路也是对用户提供的很好的功能。在其他用户访问外网门户时，智能路由分别绑定两个服务商的公网地址，解析来自两个ISP服务商的DNS解析请求。ISP1的用户访问通过ISP1的线路访问内部，其他

30、的用户访问通过ISP2的线路来访问内部，这有效实现了外部访问的链路负载。3.6设备清单序号类型区域名称功能数量单位1网络生产网核心交换机插槽式交换机、双电双引、插槽数=6、光接口=24、万兆光接口=2、电接口=48、万兆光模块=22台2接入交换机二层交换机、千兆电接口=48、光接口=4、千兆光模块=420台3服务器接入交换机三层交换机、千兆电接口=48、光接口=4、万兆光模块=42台4管理网核心交换机插槽式交换机、双电双引、插槽数=6、光接口=24、万兆光接口=2、电接口=48、万兆光模块=22台5接入交换机二层交换机、千兆电接口=48、光接口=4、千兆光模块=420台6服务器接入交换机三层交

31、换机、千兆电接口=48、光接口=42台7互联网核心交换机插槽式交换机、双电双引、插槽数=6、光接口=144、万兆光接口=2、电接口=48、万兆光模块=22台8接入交换机二层交换机、千兆电接口=24、光接口=2、千兆光模块=4135台7DMZ服务区交换机三层交换机、千兆电接口=48、光接口=42台8安全管理区交换机三层交换机、千兆电接口=48、光接口=42台9安全运维Internet接入区UTM安全网关千兆级安全网关，千兆电口=10，扩展槽=1，支持IPsec VPN2台10上网行为管理支持上网认证，终端检查，访问控制，行为监控，外发管理，带宽管理，行为审计，统计报表和安全增强等功能，3年URL规则库升级服务2台11流量清洗防御大规模的网络攻击、抵御网络暴力攻击2台12负载均衡互联网多出口链路冗余选择，流量负载均衡2台13DMZ服务区WEB安全网关千兆级WEB安全网关，千兆电口=8，千兆光口=4，存储扩展插槽=1,支持冗余电源1台14SSL