篇一:公安派出所内部安全防范方案
某公安局网络安全方案
(建议稿)
一、 某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到 上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所 和 INTERNET 连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全 部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计 算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。
整个某公安局网络通过统一的出口,64K 的 DDN 专线接入上级省厅及全国各地公安 网站,网络主干网通过一个 Motorla(S520)路由器连接到上级网络。某公安局网络在 物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络 有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个, 规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括 WWW 服务,Mail 服务,DNS 服务等的 一些其他应用,如内部信息等,也已经转移到网络应用之上的 Web 应用主要是用于内 部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览 器/WWW 服务器模式。
某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。
以上是某公安局网络及其应用的现状。
二、 某公安局网络安全需求分析
某公安局网络系统现在的 Web 应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。
网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。
网络安全的需求是分层次的。ISO/OSI 网络模型将网络分为 7 个层次,在不同层次 上的安全需求如上图所示。
某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把 某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安 全管理需求。
目前第一期解决网络层安全需求
1. 网络层安全需求
网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络 层的安全需求是面向系统安全的,包括:
隔离内外部网络;
实现网络的边界安全,在网络的入出口设置安全控制;
实现安全漏洞检测,及时发现网络服务和操作系统存在的安全隐患,
及时采取补救措施,将安全风险降到最低。
具体而言,某公安局网络系统在网络层的安全需求可以描述为:
1) 解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和应用代 理隔离内外网络;
2) 内外网络采用两套不同的 IP 地址,实现地址翻译(NAT)功能;
3) 根据 IP 地址和 TCP 端口进行入出控制;
4) 基于 IP 地址和 MAC 地址的对应防止 IP 盗用;
5) 基于 IP 地址计费和流量控制;
6) 基于 IP 地址的黑白名单;
7) 防火墙对用户身份进行简单认证;
8) 根据用户身份进行入出控制;
9) 基于用户的计费和流量限制;
10) URL 检查和过滤。
2. 应用层安全需求
某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合法用户对 信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规 划,根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。
某公安局网络应用主要是应用于公安局内部的信息管理,因而:
1) 外部非授权用户不得拥有访问公安局内部信息的权限;
2) 内部、外部授权用户只能拥有系统赋予的访问授权;
3) 不同级别的内部用户拥有对信息的不同访问权限;
4) 不同部门的内部用户拥有对信息的不同访问权限;
5) 某个部门的信息可以授予其他部门内部用户一定的访问权限;
6) 授权用户不论在什么地方,什么时间,对信息的访问权限应该是一致的;
某公安局网络应用层的安全威胁主要是:
身份窃取和假冒
数据窃取和篡改
非授权存取
否认与抵赖
以上安全威胁产生的安全需求如下:
数据保密:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进
行保密。数据加密就是用来实现这一目标的。
数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没
有被篡改。数据加密和校验被用来实现这一目标。
身份认证:需要对网络上的用户进行识别,以确认对方的真实身份,
保证身份不被窃取与假冒。
访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息
进行何种操作。访问授权能够防止对系统资源的非授权存取。
审计记录:所有网络活动应该有记录,这种记录要针对用户来进行,
可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自己的行为,
同时提供公证的手段来解决可能出现的争议。
通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标:
1) 面向所有服务的粗粒度的安全控制:
解决网络的整体安全,内外兼防,保护数据和信息安全;
用户和服务器之间实现严格的身份认证;
基于严格身份认证的统一授权管理;
访问控制粒度要求达到 TCP 端口一级;
数据传输时加密以实现数据保密和不可抵赖等;
实现审计记录功能。
2) 面向 Web 服务的细粒度的安全控制:
要求解决 WEB 应用的整体安全,内外兼防,保护数据和信息安全;
解决 HTTP 的安全问题;
解决 CGI 的安全问题;
用户和 WEB 应用服务器之间实现严格的身份认证;
根据用户身份实现 WEB 空间的统一授权管理;
访问控制粒度要求达到文件和页面一级;
实现 WEB 空间的安全单点登录;
实现 WEB 空间的目录服务;
实现信息访问频率和用户访问频率统计。
3) 由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥系统, 支持 SSL 协议;
3. 安全管理需求
3.1 网络层安全管理
网络层的安全管理主要结合网管系统进行,主要内容如下:
完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN
配置(根据端口或 MAC 地址)、IP 过滤配置、TCP 端口访问控制、拨号认证(如 RADIUS。TACACS+等)
配置、路由器加密配置等。
完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的 IP 过滤配置、安全 TCP 端
口及访问授权配置、内容过滤配置、NAT 地址翻译配置等;
堡垒主机配置,包括各应用代理或应用网关的配置。
安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。
3.2 应用层安全管理
完成用户注册,建立用户档案,完成用户分组,形成全网统一一致的用户空间;
完成网络资源的统一配置,形成全网统一的资源空间;
根据用户身份完成访问授权配置,形成全网统一一致的授权管理;
支持单点登录,实现基于单一口令的访问控制;
形成访问记录,为统计和分析提供事实依据,并且防止抵赖,为事故责任分析奠定基础;
通过实用的安全管理软件实现安全管理。
4. 信息资源的安全分类
某公安局网络的信息资源的安全分类如下:
公众信息 - 不需要身份认证和访问控制;
内部信息 - 需要身份验证并根据身份进行相应的访问控制;
敏感信息 - 需要验证身份、根据身份进行相应的访问控制而且在信
息传输过程中采取加密措施。
某公安局网络的服务类型的安全分类如下:
内部服务 - 面向内部的授权注册用户,管理和控制内部用户对信息
资源的访问。根据用户的身份或角色,对用户可使用的服务进行授权,包括对
外的访问。
公众服务资源 - 面向互联网络,防止和抵御外来的攻击。
三、 某公安局网络安全解决方案
某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求,解决某公安局网络系统的安全问题。
采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品,我们为某公安局网络系统 设计了包括网络层、应用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解决方案。
考虑到的实际情况,我们设计了一个两期的方案,可以逐步实现某公安局的完全的安全防范措施。
1.一期解决方案
不论什么情况,考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题。在某公安局网络安全一期解 决方案中也是这样考虑的。
1.1 安全网络拓扑结构
某公安局网络安全系统一期解决方案需要实现网络层和应用层的基本安全配置,包括边界防火墙的配置,应用层安 全服务器的基本配置。
一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和 Internet。在路由器后面设 置了一个带三网卡的 HotTiger 硬件防火墙,实现网络层的安全控制。其他在 3COM1500 路由器后面设置了一个带双 网卡的 HotDog 计费型防火墙,实现网络层的安全控制防火墙后面连接昊普公司的 HotCat 安全认证计费系统,实现 应用层的安全访问控制和安全管理。
1.2 边界防火墙 HotDog 的配置
边界防火墙采用昊普创业 HotTiger 硬件防火墙。其他采用 HotDog 该产品运行在具有安全核心的操作系统的基础上, 保证防火墙的平台安全。
在某公安局网络安全系统一期建设中,将使用带双网卡的 HotDog,并启动其 IP 包过滤、IP 计费、地址翻译 NAT、 IP 和 MAC 地址对应功能以及应用代理服务 SQUID。
边界防火墙 HotDog 上面有两块网卡,可以配置两个不同的 IP 地址,其中一块使用合法的 IP 地址,另一块使用内 部保留地址,如,实现地址翻译 NAT 功能,达到隐藏网络内部地址的作用。
通过 HotDog,可以隔离内外网络,解决网络的边界安全问题。HotDog 具有基于规则的包过滤功能,可以根据 IP 地 址和 TCP 端口进行入出控制。同时 HotDog 可以把 IP 地址和网卡的 MAC 地址对应起来,防止 IP 被盗用的危险。
HotDog 同时是一个应用代理防火墙,可以通过应用代理隔离内外网络。HotDog 支持简单的用户身份认证,可以根 据用户身份进行入出控制。
HotDog 具有比较全面的计费功能。HotDog 的计费是可以根据 IP 和用户进行双向计 费的,就是说可以针对内部网络的 IP 进行流出和流入的计费,也可以针对外部网络 IP 到我们的防火墙的流量对其进行计费,而且对于要求用户验证方式的 Firewall/Proxy ,HotDog 还可以提供基于用户的流量计费。
1.3 应用层安全拨号认证计费服务器 HotCat 的配置
在边界防火墙 HotDog 之后,设置了一个应用层的安全服务器,采用昊普创业 HotCat 拨号认证计费系统 。一期建 设使用一个带 100,000 用户的 HotCat 拨号认证计费安全服务器软件。
某公安局网络运行的应用很多,解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中,配置防 火墙就是解决安全的全部。事实上,网络建设中网络部分仅仅是一个基础,更重要的是建立公安局的网络应用,就 如我们不是为修路而修路,而是为了跑车才修路。
前面我们分析了某公安局网络系统的应用层安全需求,通过 HotCat 拨号认证计费安全服务器软件,将解决这些问 题
HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的 Radius(Remote Authentication Dial In User Service)认证和计费标准,具有良好的扩展性和兼容性。该系统运行于 Unix 和 Linux 系统环境下,与 HOTCAT--网猫 2.1 计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。
此系统包括三个模块:用户身份认证模块,实时记录模块和计费模块。
HotCat--网猫系统可运行在各种常见的 UNIX 平台上。目前经过实际测试的有以下操作系统:
Sun 公司的 Solaris 2.5.1(以上)操作系统;
Linux Redhat 5.0(以上)操作系统。
二、用户身份认证模块(Radius 模块) 用户身份认证模块提供对拨号用户的身份认证和属性设置,它能实现以下功能:
用户身份认证
用户权限设置 1、限制用户的同时上线数目 2、限制用户的上线时间 3、禁止用户上线 三、费用计录模块(Builddbm 模块) HOTCAT--网猫 2.1 计费系统将从该文件中读取信息并进行费用计算。
四、费用计算模块(HotCat--网猫 2.1 模块) 五、系统支撑环境及其运行 5.1 系统运行环境 HotCat--网猫拨号上网认证及计费系统运行在 UNIX 环境下,目前经过测试的系统平台有:
Sun 公司的 Solaris 2.5.1(以上)操作系统 Linux Redhat 5.0(以上) 由于我们同时支持 Solaris 和 Linux 操作系统,因此 HOTCAT--网猫 2.1 计费系统可以运行在 Sun 服务器和低档 PC 服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言,我们并不推荐使用低档 PC 服务器,另一方面, 低档服务器所能容纳的用户数量也较少。
5.2 系统性能评价 到目前为止,已经有两家中等规模(用户数在一到两万人之间)的 ISP 公司购买了 HOTCAT--网猫 2.1 系统,并使用 了近两年。使用的硬件设备是 Sun Ultra 2 服务器,运行环境为 Sun Solaris 2.5.1 操作系统。经统计分析,每台 Sun Ultra 2 服务器大约能支持 8,000 到 10,000 左右的用户,能支持大约 600-800 个同时上线用户;在容纳 10,000 用户的情况下,计费系统每天运算时间大概为 3 至 6 分钟不等,运算期间占用处理器 95%以上的资源,计算时间选 择在凌晨两点进行 5.3 系统的运行
利用 Unix Crontab 可以在每天定时运行 HOTCAT--网猫 2.1 系统,对前一天的用户信息进行统计分析。由于运算要 占用大量的系统资源,因此通常选在凌晨 02:00:00 到 05:00:00 之间进行,这时的网络和服务器都接近空载运行, 因此对系统的影响最小。除了 report32 在月底结算时运行外,其余 ss32、day32、month32 程序都是由 UNIX Crontab 激活,每天凌晨定时运行。在特殊情况下,系统管理员也可以手工运行 HOTCAT--网猫 2.1 系统进行计费运算,除非 系统突然崩溃,造成当天的计费系统没有正常运行,否则不需要手工运行系统。
1.4 某公安局网络安全管理
某公安局网络安全管理包括网络层和应用层两方面,网络层主要是通过网管软件的配置来完成的。下面我们重点介 绍应用层的安全管理。
应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。
1.6 小结
通过一期建设,将使某公安局网络系统具有一个基本的安全保障系统,即在网络层和应用层都有相应的安全措施, 网络层防火墙的基本功能基本实现,应用层的基本需求也满足了。但是还存在不足的地方,需要在二期建设中解决, 包括:
1)网络层的安全管理并不是很完善,需要增加安全检测;
2)需要解决应用层对除 Web 服务之外所有服务的安全控制;
3)在应用层,需要解决可靠性和负载平衡问题。
2. 二期解决方案
二期建设主要是解决上面提到的三个问题。
2.1 安全网络拓扑结构
二期建设完成之后,某公安局的安全网络拓扑结构如图所示。
与一期建设的安全拓扑结构相比,二期结构使用一个带三网卡的 HotDog 防火墙,并启动安全检测功能。增加了一 个 HotContorl 安全认证服务器作为 CA。
使用带三网卡的 HotDog 防火墙,可以直接连接 HotContorl 安全认证服务器作为 CA。组成一个非军事化区,以便更 好地隔离内外网络。
2.2 网络安全检测系统
采用 HotEagie—网鹰安全检测软件包,可以及时发现某公安局网络内部存在的安 全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏
洞,模仿多种黑客的攻击方法,不断测试安全漏洞,并将测出的安全漏洞按照危害程 度列表。在安全漏洞检测软件的支持下,通过网管软件或人工配置的方法,可以完备 系统配置,消除多数人为的系统管理安全漏洞(如:必须禁止超级用户的远程登录, 不能使用早期的 SENDMAIL 版本)。安全检测是网络日常管理的重要内容,是网络安全 可靠运行的重要保证。
安全检测是一支“矛”,测出了网络存在的安全漏洞,针对这些漏洞采用安全防护 措施,架设必要的“盾”,是系统安全管理的关键内容。
3.总结
结合网络的层次结构和管理需求,某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理 三个方面。整个安全方案以安全管理为导向,实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了 网络的边界安全,又保证了网络的内部安全,同时实现了系统安全和数据安全,是一个全面解决方案。
某公安局拓扑图
篇二:公安派出所内部安全防范方案
市公安局网络设方案
Ting Bao was revised on January 6, 20021
XX 公安局网络改造方案
目录
网络系统
1 方案概述
一个网络系统包括计算机硬件、软件和网络设备。尽管网络系统的初期 投资要高于单机的安装费用,而网络带来的高生产率有效地保护了投资。网 络可以优化生产流程,消除重复,减少由于缺少协调造成的错误,改善系统 的稳定性。
计算机和网络技术正以前所未有的速度发展,所以,任何网络系统的设 计和安装不仅要满足目前的应用需要,也要能适用于新的技术和标准,如更 快的处理器、更快的网络和更广泛的联接选择。因此,任何网络实施之前的 规划、设计成为一个不可忽视的关键环节。
XX 公安局办公大楼对网络系统的要求是极高的,由于该单位职能的特殊 性,对网络设计具有一定的特殊要求。除了方便办公外,对网络安全也不同于 一般的办公环境。故我们在设计网络结构时就对该大楼按有关规定在物理上分 为内网和外网,将内部办公网与外部网从物理上进行了隔离,以确保网络和网 络信息的安全。外网不在本次改造范围之类,内网则是本次网络改造的重点, 通过本期网络改造后,使孝感公案局以业务为中心,立足公安系统工作的现实 和发展,建成覆盖全市各公安系统的专用信息网络,实现并满足数据、语音和 视频图像信息的传输交换,建设并不断完善网络体系和运行管理体系,建设网 络应用平台、推进业务应用建设,满足 XX 公安局信息化要求及提高工作效率的 需要,为整合信息资源奠定基础。
2 网络系统设计依据和原则
设计依据
本网络系统设计依据是:
国际标准协会(OSI)的Ethernet的七层协议。
国际标准IEEE 。
网络系统策略规划(QOS/COS)。
第三层交换行业标准PPL3。
IEEE (计划在将来的软件中支持) 10BaseT、100BaseTX和1000BastT端口上的IEEE 全双工 IEEE 生成树协议 IEEE CoS优先级 IEEE VLAN IEEE 10BaseT规范 IEEE 100BaseTX规范 IEEE 1000BaseT规范 IEEE 1000BaseX规范 1000BaseX(GBIC) 1000BaseSX 1000BaseLX/LH RMON I和II标准
基本需求分析
在 XX 公安局大楼的网络设计中,我们考虑了客户如下基本需求:
2.2.1 高带宽
现在的网络应用基本是多媒体信息的应用,需要支持数据、话音、视像 多媒体的传输能力,在技术上要达到当前的国际先进水平。要采用最先进的 网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需 求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。
2.2.2 高性能、高可靠性 网络系统应具有高性能、高可靠性,具体到大楼局域网,要求考虑采用
先进的千兆以太网,同时要求有物理层、数据链路层和网络层的备份技术。
2.2.3 可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网 络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着 技术的发展不断升级。
2.2.4 易管理、易维护
由于此网络系统规模庞大,需要网络系统具有良好的可管理性,网管系 统具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和 维护。同时应尽可能选取集成度高、模块可通用的产品,以便于管理和维 护。
2.2.5 安全性
网络系统应具有良好的安全性,由于大楼内有多个业务部门和应用系 统,并要与其它大楼互联,网络系统应支持 VLAN 的划分,并能在 VLAN 之间 进行第三层交换时进行有效的安全控制,以保证系统的安全性。
2.2.6 QOS 保证
当今网络中多媒体的应用越来越多,这类应用对服务质量的要求较高, 新的网络系统应能保证 QOS,以支持这类应用。
2.2.7 IP Multicast
由于网络中存在许多广播信息,往往会占用大量的带宽资源。所以在本 项目中,网络系统应能支持 IP Multicast,可以减少网络中不必要的广播, 节省主干的带宽。
2.2.8 符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩 展能力, 满足将来系统升级的要求。
网络设计中考虑的基本因素
2.3.1 网络的高性能和可扩展性 网络拓扑和地址空间的层次化结构 优先级技术
2.3.2 网络的高可靠性 部分网状拓扑结构 动态路由协议 交换机热备份技术 拨号接入技术
2.3.3 网络的灵活性 多协议支持 可变长子网掩码(VLSM)技术 可伸缩的产品系列
2.3.4 网络的安全性 VLAN的划分 加密技术(Encryption) Internet访问的安全性(防火墙)
设计原则
根据用户的需求和我们的经验,我们认为在网络的设计过程中应该遵循 下面的一些原则:
根据网络的应用决定网络的架构
网络系统的构造提供了信息传输的载体,它的目的是使应用系统上的数 据可靠、有效地在各客户机及服务器之间传输,也就是说,应根据应用系统 的需要来决定网络的架构。因此,构造网络时决不仅仅是构造一个通道,而 是从满足应用系统的需要为出发点,通过应用系统的功能分布(包括声音、 图形、图像等多媒体)来决定网络上的数据流量、数据流和路由选择。建立 统一的建网模式,保证在具体连网时可根据实际情况灵活组网。
技术先进
整个 XX 公安局大楼网络的建设是一项耗资巨大的工程,所以要用长远眼 光规划。在保证网络可靠性的前提下,要充分利用先进技术,满足现有的需 求,并考虑潜在的扩充,使之在一定时期内保持较先进的水平。
可靠性 大楼网络系统的可靠性十分必要。在网络系统中不仅要求网络能安全运
转,同时要求网络设备具有容错能力。由于 XX 公安局大楼中有很多系统在同 时运行,所以在整体网络的设计上,我们充分考虑用户计算机网与其他网络系 统的连接,并考虑有效的、多重的安全措施,使其能够与其他网络进行有效 的信息传输的同时,又能防止不法分子的攻击。
应从如下几个方面来实现网络的可靠与容错:
网络互连设备具有一定的冗余功能。这将体现在网络互连设备的关键部 件、总线、电源热切换等方面的恰当选择。
优秀的网管软件应实现对网络的实时配置,实时发现网络故障,故障隔离 诊断,网络性能优化,网络安全保护,以最大的限度提高全网络的无故障 时间。
人员的配置与安排应能保证一天二十四小时,一星期七天都有网管操作员 在监督网络运行,并且有一套完整和有效的错误处理机制。
保护投资
由于网络建设不是一蹴而成的事情,而是一个长期的建设过程。对于目前 投资的网络产品,应考虑到硬件上的投资,对于某些应用状况良好的应用软 件,亦应加以保护。
可扩展性 网络的建设一定要考虑到将来的扩充和升级,避免设备的重复投资,造
成人力、物力的大量浪费。我们的网络设计在保证网络的先进性的同时,选 择具有良好扩展性和升级能力的网络设备,设计出具有良好扩展性的网络拓 扑,以保证网络系统的可扩展性及升级能力。
遵从标准
我们网络设计的目的是将这些原有的各式各样的设备通过高性能的网 络,连接到各种服务器上,组成分布式的计算环境使其成为提高服务水平的 重要基础。因此必须坚持开放性,采用大多数厂家支持的国际标准协议,才 能把原有的大多数计算机连接起来,将来引进计算机和网络设备才能有较大 的选择余地。
在网络设计上我们从多方面来实现网络的开放性和标准化:
网络协议应选用已成为工业标准的 TCP/IP协议,世界上很多着名的大型计 算机网络均采用TCP/IP实现网络互连。
网络互连设备应支持多种协议,能与其他厂家设备互操作。
网管软件应支持已被广泛接受的工业标准的SNMP协议。
技术原则
层次化设计 模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互
连的网络层次。实质上,模块化方式把网络划分为一个个子网,因此网络节 点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处 理,因为新的子网模块和新的网络技术能被更容易集成进整个系统中,而不 破坏已存在的骨干网。
层次设计方法可为网络带来以下三个优点:
层次性网络的可扩展性
可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网 络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络,而不会遇 到非层次性网络或平面性网络很快所遇上的问题。但是,层次性网络同时也 提出了一定的问题需要仔细考虑。这些问题包括:虚电路的费用,层次设计 (尤其是网状拓扑)的内在复杂联系,以及需要额外的路由器接口来划分网 络层次。
为了获得层次性网络结构的优点,你必须使你的网络层次结构充分与你 所在地区的拓扑相符合。设计取决于你所使用的包交换模式,以及你所想要 的容错能力、网络性能和网络造价。
层次性网络的可管理性 使网络简单化--通过把网络元素划分为小单元、层次化,降低了整个
网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了,同时还 可以提供防止广播风暴、路由循环等其他潜在问题的内在保护机制。
使设计更灵活--层次化设计使得骨干网和分布网之间的包交换形式更 具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数 情况下,可在骨干网部分使用专线而在区域网或本地网接入部分使用包交换 服务。
使路由器管理更容易--由于层次化网络结构使网络分层,相对缩小的 网络区域使路由器的邻居或对等通信端量减少,因此时路由器的配置变得简 单化。
优化广播和多点广播的流量控制 在包交换网络中,减少路由器之间广播信息量的最直接方法就是使用更
少数目的路由器组,通过层次化模块设计可以较好地控制网络中的广播。通 常在包交换网络中最常见的路由器之间的广播信息流量是路由更新信息,如 果在一个区域或一个层次中有太多的路由器,那么就会因为广播的原因而造 成网络瓶颈。层次化的网络结构使你可以对区域网向骨干网的广播作出限 制。
因此,对于 XX 公安局网络改造工程来说,想要建设成为网络性能优良 的、具有很强扩展能力和升级能力的综合网络,那么在网络的设计中就必须 采用层次化的网络设计原则。
根据这种层次化网络设计思想的原则,我们可以把 XX 公安局网络改造工 程的整个网络体系结构分为以下两个层次:核心层和接入层。
冗余设计
新的计算机网络一旦建成,管理局相当一部分业务都要围绕网络展开。
这就对网络系统的可靠性提出了很高的要求。为了确保系统的高可靠性,在 整个网络的建设中,我们建议使用冗余的设计方法来提高系统的可靠性。
线路冗余 在中心层节点与分布层之间,两两互相连结。利用 STP 协议可以保证在
正常情况下整个网络不会出现广播风暴,同时一旦其中任何一条主用线路发 生故障后,网络能够在几分钟内自动完成新的路径选择。
设备自身可靠性 中心交换机在整个系统中具有很重要的位置,因此必须有可靠性措施。
设备应具有以下特点:
冗余引擎 模块支持在线热插拔 双电源 良好的网络管理支持 冗余设计与投资多少是个矛盾的关系,所以,在冗余设计时我们考虑到
XX公安局大楼的网络规模,主要设备采用双电源和支持在线热插拔技术。
我们在 XX 公安局大楼网络设计中,接入层采用 1000M 光纤上连到核心交
换机,接入层交换机则为用户端提供交换的 100M 接入。
3 网络系统方案说明
目前网络现状分析
在经过全省公安系统 2,3 级网络改造后,XX 公安局使用核心路由器 cisco 7304 通过 155M POS 电路与省厅相连接,在孝感市与孝昌、云梦、大 悟、安陆、汉川、应城 6 县之间新增 10M IPOA 电路,改造后的网络实现了孝 感公安系统与全省公安系统各单位、各警种之间的计算机网络互联、数据交 换、专线电话、视频会议等功能的高速互连。
XX 公安局内网使用 Catalyst 4006 L2 作为核心交换机,各应用服务器 以及整个大楼内所有客户端 PC 均直接接入在此交换机上。核心 4006 交换机集 联了 Catalyst 2950/L2, Catalyst 2948/L3, Catalyst 2948/L3,三台交换 机,其中中心的 Catalyst 2950 上接入了孝南分局、孝南分局三里派出所、孝 南分局车站派出所、孝南分局城中派出所、孝南分局书院派出所;开发分局、 开发分局航空路派出所;市局消防支队、市局消防中队、市局交警一大队、市 局交警一中队、市局交警二中队、市局交警三中队、市局治安拘留所、市局押 运公司这些下属单位;孝南 Catalyst 2948 接入了孝南分局各科室、派出所、 市局第一看守所;以及开发分局、消防支队、交警支队的路由;交警 Catalyst 2948 接入了交警支队各科室;以及孝南分局、开发分局、消防支队的路由。
拓扑图如下:
目前网络存在问题:
1 网络机房分散,网络设备零散放置且工作环境较差。XX 公安局办公大楼共 有十层,其中有 3 个机房,cisco 7304 放在九层的东侧机房,但机房环境较 差,cisco 7304 无机柜放置,连接的尾纤摆放没有入线槽线架,是比较大的安 全隐患;Catalyst 4006 核心交换机放在九层西测机房,所有的服务器,以及 楼层客户端 PC 没有规划杂乱的接入到设备中,机柜布线较混乱容易出现断线等 故障;中心的 Catalyst 2950 放在 4 楼,与 ODF 架及光纤混乱放在一起,无机 柜,无散热,极易出故障。
2 网络设备都已老化淘汰,易出硬件故障。无论从核心交换机 catalyst 4006 还是 2950 以及 2948 都属于 cisco 早期设备,cisco 早已停产,产品的维 修,以及设备一些配件都难以保证,所以硬件故障出现后难以短时间更换。
3 网络结构规划较乱,设备配置不规范,路由非最优路由。核心 4006 接入重 要服务器与楼层客户端 PC 没有合理规划,混乱接入容易导致重要服务器故障增 多;另,4006 没有配置 3 层模块,而且下连的 2950 也为 2 层的设备,所以无 法合理的配置 3 层的路由信息,导致下属的各单位的 3 层路由需要通过下属的 2 台 2948 来配置,路由信息非常混乱。
4 网络设备管理较差,安全性较差。由于没有网络管理软件,网络管理员管 理维护网络设备比较困难,出现问题不能及时发现,网络设备也没有配置相关 认证软件,存在非法登陆等安全性问题。
网络系统改造目标
在本次网络设计方案中,所有设备还是均采用业界领先的 cisco 产品, 办公大楼内网选用 Catalyst 4507R 三层交换机作为核心交换机,Catalyst 4507R 无论在处理性能,冗余性能,市场占有率来说都是排在前列,在接入层 内网配置接入楼层交换机 Catalyst 2960,可以支持内网接入 240 个终端用 户,而且可以方便的扩展到更多的用户。原中心 2950 以及孝南,交警 2948 可以替换为 catalyst 3750 3 层交换机,按照各单位合理的规划接入以及路 由信息,替换的设备可以利旧来替换 cisco 7304 与 cisco 3640 路由器间的 HUB。拓扑图如下:
3.2.1 信息点分布
根据 XX 公安局大楼信息点分部情况,如下:
楼层
信息点
1F
2F
13
3F
11
4F
17
5F
13
6F
7F
37
8F
9F
10F
14
目前整个大楼内共有信息点 119 个,以后逐步要扩展到 200 个点左右,所 以每层配置 24 口的 catalyst 2960 则有 240 个端口,方便以后扩展。
3.2.2 网络结构设计
根据我们的经验和 XX 公安局对网络的需求,建议采用分层的网络设计方 法,把 XX 公安局大楼的网络分为两层,核心层(第一层),分布层(第二 层)。
网络的核心层整合到 9 楼西侧的计算机网络中心机房。一台 cisco4507R 交换机是主干网核心的交换平台,分布层设置 10 台 Catalyst 2960 交换机, 通过千兆光口与 Catalyst 4507R 连接。各类应用服务器都通过千兆以太网接 口(依业务量而定,业务量不大的服务器可以通过百兆快速以太网接口与交 换机相连)与核心交换机互连。整个交换平台可以通过一条或几条(备份和 负荷分担)快速以太网链路下连到 3 台 catalyst 3750 交换机,下属单位则 接入到 3 层的 3750 上。
3.2.3 IP 地址和 VLAN 的设计
IP 地址是运行 IP 协议的网络中分配给每台主机的唯一标识,路由协议就 是通过 IP 地址来寻找网络和主机,进而在任两台主机之间准确地传输数据 的。理论上讲,任何两台主机的 IP 地址是不能重复的,否则势必造成路由的 混乱,整个网络就难以正常运转了。实际上有一部分 IP 地址是可以重复使用 的,这部分地址被称为“保留地址”,是专门给局域网和城域网内部使用 的,与此相对的,那些用于网际通信的必须和主机——对应的 IP 地址被称为 “真实地址”。
IANA(Intenet Assigned Number Authorit)保留给私有网络专用的地址 共有三段:10.0.0.0——整个网络 A 类网段;——共 16 个 B 类网段;——整 个 B 类网段。使用保留地址不必向地址管理机构申请,任何网络只要内部是 私有地址都可以使用这三类地址。在一个大楼网中,一般采用保留地址。所 以,XX 公安局大楼的网络也采用保留地址。
IP 地址的分配包括网段地址分配,主机和服务器地址分配,网络设备地 址分配和客户机的地址分配。
3.2.4 网段地址分配
第一个原则是易用。因为采用保留地址,所以 IP 地址空间不存在问题。
所以网段的 IP 地址的子网掩码可以采用定长方式,一般采用 24 位或 25 位的 掩码长度。这种分配方式,大大节约了分配和管理的难度。而且直观明了。
第二个原则是 IP 地址和 VLAN 必须相互匹配。即一个 VLAN 对应一个 IP 网段。这种方式可以和第三层交换结合起来。也是最常用的方式。
可以采用定点的方式,每个网段的某个区间可以保留给服务器使用。
3.2.5 网络设备地址分配
网络设备的地址包括端口地址和网管地址。这两种地址可以合而为一, 但建议采用分开的方式。对于第二层交换机而言,只存在网管地址,而没有 端口地址。对于第三层设备而言,需要分配端口地址和网管地址,端口地址 的分配原则和主机地址分配原则是相同的。对于网管地址,建议把所有的网 络设备置与同一个 IP 网段中,并且在 VLAN1。
3.2.6 客户机地址分配
由于客户机数量较大,静态分配是一项工作量非常巨大的任务,同时也 难于管理。所以建议采用 DHCP 的方式。具体参见主机设计部分。
3.2.7 网络设备管理
随着网络规模的日益扩大,结构的日益复杂,网络管理和维护的难度也 越来越大,网络管理已成为系统管理中最基本和最重要的组成部分。网络管 理系统的任务是采集网络中的各种设备和设施的工作状态,信息交由网络管 理监视和处理,接收网络管理员的管理指令,并向网络设备和设施发出控制 指令,控制设备和设施的工作状态。
网络性能管理
收集网络运行各种统计信息,例如设备和链路的负载、可用性及可靠 性、网络的可用率等,优化网络性能,消除网络中的瓶颈,实现网络流量分 布的均匀性,实现各种策略管理。
网络配置管理 网络节点部件、端口及路由的配置,收集当前系统状态的有关信息,更
改系统的配置等。
网络故障管理:
维护并检查错误日志,接受错误检测报告并作出反应,跟踪错误检测报 告并作出反应,跟踪及辨认错误,执行诊断测试,纠正错误等。
业务量统计:
对网络节点、设备等的告警产生、告警内容和告警清除的统计;根据 IP 地址,统计业务流量和流向,实现对网管人员操作网管设备过程的记录和统 计。
网络安全管理
包括各种级别、层次的安全防护措施的管理,对网络中各种配置数据必须 有保护措施,当网管系统出现故障时,能自动及人工恢复正常工作,不影响网 络的正常运行。对cisco设备可采取AAA的认证方式来控制登陆人员及操作权 限。
网管软件设置
在每台网络设备上面配置 SNMP 网络管理协议,在核心交换机 Catalyst 4507R 上直连一台网管服务器,推荐使用 SOLARWINDS 网管软件。
防病毒设置
在内网核心交换机 Catalyst 4507R 上直连一台瑞星防病毒服务器,安装 瑞星防病毒服务器软件,所有的内网计算机都将病毒库升级服务器指定为该防 病毒服务器,即可实现病毒库的实时更新,从而建立网络防病毒系统。
4 方案的优点和特点简述
方案改造的优点
对整体的网络带宽和数据传输的性能都大大的提高了,CISCO Catalyst 4507R 作为核心交换机,解决了核心的带宽不够和自己性能所造成的种种问题, 而且 4507R 上两个引擎互为热备,不会因为一个引擎 down 掉而导致全网瘫痪, 然后在孝南分局,(开发分局,派出所,消防支队),交警支队等各干路部署一台 CISCO Catalyst 3750 汇聚交换机,可以让各分局通独自拥有三层交换的功能, 可以随这需求进行各分局的隔离和一些必要的策略,同时也可以把分担核心交 换的数据流,比如孝南分局的内部不同部门有不同的地址,其内部的数据可直 接进行三层交换,这可以通过汇聚交换机 CISCO Catalyst 3750 来现,而不像 以前的老方案通过核心 CISCO 4006 进行三层转发.这样既增加了核心交换机 CPU 负担也降低了核心交换机的性能.
楼层交换机更换为 CISCO2950 等网络设备都已老化淘汰,都属于 cisco 早期设备,cisco 早已停产,易出硬件故障,产品的维修,以及设备一些配件 都难以保证,如果出现坏机会造成相应接入的网络瘫痪,还要另花资金去购买 新的设备,这时时间上不允许的.这会直接影响到各分局的办公效率.我们还可 以利用旧的 cisco 2950 去代替 cisco7304 至 cisco3640 的 HUB,
在成本上面也是很有优势,在核心配置双引擎是非常有必要的,不会因为 主引擎 down 掉导致全网瘫痪造成的经济损失,备用引擎会立刻启动,主备之间 的切换只需几百毫秒,接入直接换新设备,以免带有安全隐患而且又没有维保 的设备带来较大的损失和负面影响.
方案特点
本方案充分利用了 cisco 公司提供的丰富的网络功能和强大的性能,在 网络设计中考虑了各方面因素,使本方案具有以下特点:
清晰的网络结构、层次化的设计
在本方案中,我们对 XX 公安局大楼的网络设计是一个高效的二级交换的 结构,即主干千兆,接入层 100M 到桌面的高速交换结构。中心机房工作站与 服务器可通过 1000M 接入网络,保证访问的极高响应速率。楼层局域网通过 高速千兆骨干网连接构成网络核心交换机,整个网络结构清晰,流量分布合 理,便于管理和扩展。
高带宽、高性能
方案中选择了 cisco 较先进的产品 Catalyst 4507R 多层交换机,作为骨 干交换机的 Catalyst 4507R 的高速交换背板,最高包转发率,同时采用了当 今网络界的一些最先进技术和基于标准的 PIM、IGMP 广播组管理协议、IPQOS 技术等,优化了网络的流量和处理能力,共同保证了网络和高性能。
高可靠性
整个网络方案选用了高可靠性的网络设备,并在设计上层物理层、链路 层到网络层均采用备份冗余式的设计,保证了网络运行的可靠性。网络的主 干是十分重要的部分,必须要保证长时间的不间断运行。在网络的主干配备 双交换机以保证主干的正常运行,在 XX 公安局大楼使用两台 Catalyst 4507R 高 性 能 交 换 机 组 成 一 个 具 有 高 可 靠 性 、 高 性 能 、 高 带 宽 的 交 换 主 干 。
Cisco Catalyst 系列交换机的运行可靠度为%,可满足设备的长时间不间断运行。
可扩展性
下面将逐步对网络中最重要的部分:核心、主干和楼层的网络连接的扩 展性作出分析。
4.6.1 核心的扩展性
Catalyst 4507R 是具有 7 个插槽的交换机,目前方案中的配置只用了 4 个,未来可加其它端口和功能模块。
4.6.2 主干链路的扩展性 目 前 大 楼 局域 网 采用的 是 以 千 兆以 太 网为主 干 的 网 络, 通 过 Ether
Channel 技术可将多条千兆链路捆绑,达到链路带宽扩展的目的,Catalyst 4507R 间最多可以捆绑多条千兆以太网链路。
4.6.3 二级交换机扩展性
根据用户需求,目前配备的内网 10/100Mbps 用户端口数为 240 个;由于 二级交换机采用 cisco 可堆迭的 Catalyst 2960,可以通过交换机的堆迭来扩 展网络规模。所以,此方案的整体设计可满足用户目前的需求和将来的远景 规划。
对 IP 多广播的支持
由于视频会议及其他相关应用的需求(如 VOD 等),网络设备对 IP Multicast 的支持极为重要,cisco 在 IP 多点广播的支持和应用方面一直处 于网络界领先的位置,cisco 的 Catalyst 4507R, Catalyst 3750, Catalyst 2960 等对 PIM、IGMP 和 CGMP 等协议有良好的支持。
IP QOS 的支持
独特的队列技术和 IP 优先级技术为 XX 公安局的网络应用提供了 QOS 保 证。可以想见,随着 XX 公安局业务的发展,如视频会议、网上阅览、办公系 统等等,特别是实时业务的增加,网络对 IP QOS 的支持将决定这些应用系统 正常运作。
Catalyst 4507R 可根据 2、3、4 层信息(如 IP、帧的优先比特位或 4 层 端口号) 提供端到端应用。
还可配置门限的多种队列采用 WRED、 WRR、业务类型/业务级别(ToS/ CoS)映射机制,以确保数据包在第 2 层和 3 层边界传输时,QoS 得到维护。由 于支持多种 QOS 机制,如路由策略、RSVP(资源预留)、CAR、WRED、WFQ, CustomQueue , PriorityQueue,TrafficShaping ( 流 量 整 型 ) 等 , 应 用 这 些 QOS 机制可最大限度提高多服务的性能。
一体化的方便的网络管理和策略型管理
无需更多的投资就可以对整个网络进行统一的管理,能够方便的进行 VLAN 划分、流量监控等一系列网络管理工作。
一体化的安全解决方案
在方案中我们提供了动态 VLAN、多层交换技术和端口捆绑等一系列有助于 实现安全策略的独特技术,同时 cisco 还有众多的硬件和软件的安全产品,为 XX 公安局大楼提供一个全方位的网络解决方案。
5 设备选型、系统功能及产品说明
以下是本方案中所采用的 cisco 各个产品的说明。
Cisco 4500 系列交换机
Cisco Catalyst 4500 系列交换机(如图)将无阻塞第二到四层交换与最 优控制相集成,有助于为部署关键业务应用的大型企业、中小型企业(SMB)和 城域以太网客户提供业务永续性。Cisco Catalyst 4500 系列凭借众多智能服 务将控制扩展到网络边缘,其中包括先进的服务质量 (QoS)、可预测性能、高 级安全性和全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬 件和软件中,缩短了网络停运时间,有助于确保员工的效率、公司利润和客户 成功。Cisco Catalyst 4500 系列的模块化架构、介质灵活性和可扩展性减少 了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了 拥有成本。
投资保护
Cisco Catalyst 4500 系列交换机的主要组件是可以升级和现场更换的,包括 线卡、交换管理引擎、电源和风扇。1999 年只作为第二层设备推出的 Catalyst 4000 系列线卡不但能与当前的 Catalyst 4500 系列完全兼容,还可以完全升级 到第三层交换。
缩短网络停运时间
冗余的电源、交换管理引擎、风扇以及功能透明的线卡能够为关键业务网络奠 定坚实的基础。
网络安全
Cisco Catalyst 4500 系列可以在不降低交换性能的情况下提供先进的检测功 能,防止网络遭受第二层以上的网络袭击。
可扩展性
Cisco Catalyst 4500 可以在一个机箱内扩展到 384 个 10/100/1000 以太网供 电(PoE)端口。
IP 电话
此机箱支持安全的大型 PoE 部署。
融合
利用融合型语音、视频和数据网络,各企业不但能提高生产率和机构灵活性, 还能降低成本,因而能获得极高的竞争优势。
Cisco Catalyst 4500 系列交换机产品线
机箱
引擎插槽
线卡插槽
Catalyst 4503 1
Catalyst 4506 1
最高端口数 116 242
Catalyst 4507R 2
244
Catalyst 4510R 2
388
Cisco Catalyst 4000 和 4500 系列交换管理引擎
Supervisor Engine II-Plus -- 以入门级价格提供增强的第二层特性, 适用于小型第二层配线间以及简单的第三层 QoS 和安全性。
Supervisor Engine II-Plus-TS -- 在 Supervisor Engine II-Plus 的 基础上增加了 20 个线速千兆以太网(GE)端口(12 个千兆以太网 PoE 铜线端口、8 个千兆以太网 SFP 光端口)。只在 Catalyst 4503 机箱中 支持。
Supervisor Engine IV -- 中等配线间和第三层网络、提供增强的安全 特性和第三层路由(EIGRP,OSPF,IS-IS 协议,BGP)。
Supervisor Engine V -- 高级性能和先进特性,在 Catalyst 4510R 机 箱中支持 242 个端口。
Supervisor Engine V-10GE -- 在 Supervisor Engine V 的基础上添加 了两条万兆以太网上行链路和 NetFlow。在 Catalyst 4510R 机箱中最多 支持 384 个端口。
线卡
百兆以太网铜线 -- 百兆以太网线卡包括 24 端口和 48 端口连接类型, 都带可任选 PoE。
百兆以太网光纤 -- 支持多模光纤和单模光纤,以及 FX、LX 和 BX 收发 器。
千兆以太网铜线 -- 提供 24 端口或 48 端口,带或不带 PoE。
千兆以太网光纤 -- 千兆以太网光纤卡提供高性能千兆以太网上行链路 和服务器群连接。提供多种端口数和光接口类型(千兆位接口转换器 [GBIC]和 SFP 光接口)。
集中式架构
为实现特性丰富的线速性能,明智的以太网交换机厂商采用了三重内容可定址 内存(TCAM)。Cisco Catalyst 4500 系列交换机使用独立 TCAM 资源,以独立 于线速智能服务处理的方式处理第三层路由。其架构让每个功能和特性都拥有 大量专用 TCAM 空间,以保证获得出色性能。
Cisco Catalyst 4500 系列的主要特性和优势
特性
功能和说明
优势
机箱
模块化 3、6、7 和 10 插槽 Cisco Catalyst 4500 系列 机箱
支持交换管理引擎(Cisco Catalyst 4507R 和 Catalyst 4510R 上可支持 2 个),带集成 PoE 的电源。
提供了具备高级集成永续性的 通用架构,可以根据园区内联 网的要求标准化。
状态化切换(SSO)和不间断转 提供双交换管理引擎,故障转换可在不 大幅度缩短了网络停机时间,
发(NSF)感知
到一秒内完成。保持第二层会话。路由 有助于确保业务的持续性和提
事件期间,继续第三层转发。
高生产效率。
灵活的交换模块—基于标 准、自动检测和自动协商
提供众多接口选择:10/100Mbps 以太 支持 IP 园区的 LAN 带宽扩 网和 10/100/1000、1000Mbps 千兆位以 展,可在扩展网络时提供方便 太网或 10000Mbps 万兆位以太网。
的移植。
64Gbps 容量背板 (Cisco Catalyst 4503)
每秒转发超过 4800 万 64 字节以太网分 可以满足一个系统所有接口以
组。
线速全面运行的吞吐量要求。
100Gbps 容量背板 (Cisco Catalyst 4506 和 Catalyst 4507R)
为线速、无阻塞 75 mpps 转发提供了 充足的容量。
可以满足一个系统所有接口以 线速全面运行的最糟糕情况下 的吞吐量要求(无阻塞矩阵要 求配备 Supervisor Engine II-Plus、IV 或 V 或 V10GE)。
136Gbps 容量背板 (Cisco 为线速、无阻塞 102 mpps 转发提供了 无阻塞、高密度应用。
Catalyst 4510R)
充足的容量,支持多达 8 个接口模块。
集成 Cisco IOS 软件增强了 以千兆位速度提供基于 ASIC 的 IP 路 第三层交换(Cisco Catalyst 由。
4000/4500 supervisor engines IV 和 V)
提供了网络流量的第三层子网 控制功能;成熟的路由协议。
多层 QoS
为第二层 CoS 和第三层 ToS、流量整 为网络流量优先排序提供了集 形、共享、监督和带动态缓冲限制 中控制功能;可方便地创建和 (DBL)的拥塞避免机制,提供了 QoS 管理策略,以保护关键任务应 功能。在每个端口上提供了多个队列。
用。
入口和出口监督(Cisco
在每个端口基础上,在入口识别分组, 根据用户定义的流量分类方
Catalyst supervisor
在出口重新分类和重新标记分组。
法,提供了精确的流量控制功
engines II-Plus、IIPlus-
能,确保了 QoS 策略的实施。
TS、IV、V 和 V-10GE) 集成 PoE
全面的安全性 ,用于基于身份的网络服务
ACL 专用 VLAN 受密码保护的管理界面
为连接到支持 PoE 的 Cisco Catalyst 为桌面提供了单一线路;无需 4500 系列交换机端口的设备提供电 办公间不间断电源(UPS)。
源。设备包括 IP 电话、接入点、摄像 机和其他符合思科或 IEEE 标准的设 施。
使用经过思科增强的协议,无论用户位 允许不同的人员使用相同 PC,
于何处或使用什么设备,网络都可根据 但拥有不同功能,以便用户无
用户登陆信息来授予许可权。
论采用何种方式登陆网络,都
只能获得他们指定的权利—防
止了未授权访问。
仅限用户访问网络的指定区域,防止对 防止针对服务器和应用的未授 于所有其他应用和信息的未授权访问。
权访问;只允许指定用户访问
特定服务器。
防止用户看到其他人在同一交换机上生 有助于确保同一交换机上用户
成的流量。
的保密性。
需密码来通过 Telnet 或 SSH 进行本地 提供针对未授权配置修改的保
或远程访问。
护。
Catalyst 3750 交换机
产品概述
思科新推出的 Cisco Catalyst 3750 系列交换机是一个创新的产品系列,它结 合业界领先的易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网 中的工作效率。这个新的产品系列采用了最新的思科 StackWise 技术,不但实 现高达 32Gbps 的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集 成在一起,便于用户建立一个统一、高度灵活的交换系统--就好像是一整台交 换机一样。这代表了堆叠式交换机新的工业技术水平和标准。
对于中型组织和企业分支机构而言,Cisco Catalyst 3750 系列可以通过提供 配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应 用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750 系列 针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接 入、汇聚或者小型网络骨干网连接需求的交换机。
图 1 Cisco Catalyst 3750 系列交换机
产品简介
对于中型机构和企业分支机构来说, Cisco Catalyst 3750 系列通过提供配置 灵活性、支持融合网络模式及自动进行智能网络服务配置,简化了融合应用的 部署,并可针对不断变化的业务需求进行调整。此外,Cisco Catalyst 3750 系列针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接 入、汇聚或小型网络骨干连接需求。
Cisco Catalyst 3750 系列可采用标准多层软件镜像(SMI)或增强多层软件镜 像(EMI)。SMI 特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL), 以及基本静态和路由信息协议(RIP)路由功能。EMI 则提供了更为丰富的企业级 特性集,包括先进的基于硬件的 IP 单播和组播路由
Cisco Catalyst 3750G-48TS—48 个以太网 10/100/1000 端口和 4 条 SFP 上行 链路
Cisco Catalyst 3750 系列可采用标准多层软件镜像(SMI)或增强多层软件镜 像(EMI)。SMI 特性集包括高级服务质量(QoS)、限速、访问控制列表(ACL), 以及基本静态和路由信息协议(RIP)路由功能。EMI 则提供了更为丰富的企业级 特性集,包括先进的基于硬件的 IP 单播和组播路由。
Cisco StackWise 技术—实现可堆叠永续性新标准
Cisco StackWise 技术是一种针对千兆位以太网而优化的重要堆叠架构。该技 术的设计旨在保持稳定性能的同时进行交换机的添加、拆除和重部署。Cisco StackWise 技术使用特殊的堆叠互联电缆和堆叠软件,可将最多 9 个独立 Cisco
Catalyst 3750 交换机整合到单一逻辑单元中,由从中选出的主交换机管理。
主交换机自动创建和更新所有交换和可选路由表。工作中的堆叠能在不影响服 务的情况下接收新成员或拆除旧成员。
主要特性和优势 易于使用—“即插即用”配置
工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时,主交换机自动 将堆叠上运行的 Cisco IOS 软件版本加载到新交换机上,加载全局配置参数, 并更新所有路由表来反映变化。更新同时普遍地应用于堆叠的所有成员。
Cisco Catalyst 3750 系列可将 9 个交换机堆叠为单一逻辑单元,共提供 468 个以太网或 PoE 10/100 端口,或 468 个以太网 10/100/1000 端口或 PoE 10/100/1000 端口,或是 9 个万兆位以太网端口。随着网络需求的发展,能以 任意组合添加 10/100、 10/100/1000 和万兆位以太网端口。
通过降低运营成本而实现投资回报
对全局配置参数的 Cisco IOS 软件版本自动检查和加载提供了第一级的运营时 间节约。在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有 交换机堆叠中拆除,并将其换为另一交换机时,主交换机将认为这是一次维护 停运,无需用户干预,即可自动重载以前交换机的端口级配置。这使 IT 经理 可让远程地点的当地人员执行维护任务,而不必花费大量成本地派遣技术人员 前往现场。
混合和匹配交换机类型—随您对网络的扩展而付费
堆叠可用 Cisco Catalyst 3750 交换机的任意组合来创建。需混合 10/100 和 10/100/1000 端口、PoE 和布线室汇聚功能的客户可以逐步开发接入环境,只为 他们所需的性能付费。当需要增加上行链路容量时,您可方便地升级您的带
宽,只需向堆叠添加一个万兆位以太网版本,另外,您也可在现有光纤上将您 的千兆位以太网链路升级为万兆位以太网。
可用性—第二层和第三层的不间断性能
Cisco Catalyst 3750 系列提高了可堆叠交换机的可用性。每个交换机既可作 为主控制器,也可作为转发处理器运行。堆叠中的每个交换机都可作为主交换 机,为网络控制创建了一个 1:N 可用性体系。万一有一个设备发生故障,其他 所有设备会继续转发流量,维持运行。
智能组播—为融合网络提高新效率水平
凭借 Cisco StackWise 技术,Cisco Catalyst 3750 效率为视频等组播应用提 供了更高效率。每个数据分组仅被在背板上处理一次,从而为更多数据流提供 更为有效的支持。
出色的服务质量—以线速在整个堆叠上提供
Cisco Catalyst 3750 系列以千兆位以太网速度提供了使一切顺畅运行的智能 服务-其速度甚至达到了普通网速的 10 倍。业界领先的标记、分类和排队机制 为数据、话音和视频流量提供了最佳性能-且均以线速提供。
网络安全性—对于接入环境的精细控制
Cisco Catalyst 3750 系列支持用于连接和接入控制的全面安全特性集,包括 ACL、身份验证、端口级安全性,以及带 和扩展、基于身份的网络服务。这一 全面的特性集不仅有助于防御外部攻击,而且还可保护网络免遭“中间人”攻 击,这是当前业务环境中的一个主要安全问题。
简单的 IP 管理—多个交换机,一个地址
每个 Cisco Catalyst 3750 系列堆叠都作为单一对象管理,采用单一 IP 地址。
对于故障检测、VLAN 创建和修改、网络安全及 QoS 控制等活动,进行单一 IP 管理。
巨型帧—支持高要求应用
Cisco Catalyst 3750 系列支持 10/100/1000 配置中的巨型帧,用于需极大型 帧的高级数据和视频应用。Catalyst 3750 系列在硬件中支持 IPv6 路由,可实 现最高性能。随着网络设备的增多,对于更大型编址和更高安全性的需求日益 关键,Catalyst 3750 系列将作好满足这些需求的准备。
标准 PoE 支持—顺畅地添加 IP 通信
Cisco Catalyst 3750 和 3750G PoE 支持思科 IP 电话和 Cisco Aironet?无线 LAN (WLAN) 接入点,以及任意符合 IEEE 标准的终端设备。Catalyst 3750 和 3750G 24 端口版本可同时支持 24 个的全加电 PoE 端口,实现最高水平的受电 设备支持。48 端口版本的功率可支持 24 个端口、48 个端口,或是它们的任意 组合。
万兆位以太网支持—为千兆位以太网部署增加上行链路带宽
Cisco Catalyst 3750 系列允许网络管理员在其布线室或 GRID 集群中逐步添加 符合 IEEE 标准的万兆位以太网连接,进一步增强和优化千兆位以太网网络。
这为希望使用其现有光纤设施、向交换堆叠添加上行链路带宽容量的客户,以 及想为应用和用户提供最高性能的客户提供了投资保护。
管理选项
Cisco Catalyst 3750 系列(图 5)提供了一个用于具体配置的出色命令行界面 (CLI),和一个可根据预设模板快速配置的、基于 Web 的工具,Cisco Network Assistant 软件。此外,CiscoWorks 支持 Catalyst 3750 系列的网络级管理。
产品规格 性能
第二层和第三层交换矩阵的最大转发带宽为 32Gbps 64 字节分组的堆叠转发速率为 mpps
转发速率:
mpps (Cisco Catalyst 3750-24TS 和 Catalyst 375024PS), mpps (Catalyst 3750-48TS 和 Catalyst 3750-48PS), mpps (Catalyst 3750G-12S), mpps (Catalyst 3750G-24T), (Catalyst 3750G-24TS) mpps (Catalyst 3750G-16TD), mpps (Catalyst 3750G24TS-1U), mpps (Catalyst 3750G-24PS), mpps (Catalyst 3750G48TS), mpps (Catalyst 3750G-48PS) 128 MB DRAM 和 16 MB 闪存(Cisco Catalyst 3750G-24TS,Catalyst 3750G-24T,Catalyst 3750G-12S,Catalyst 3750-24TS,Catalyst 3750-24PS, Catalyst 3750-48TS,Catalyst 3750-48PS 和 Catalyst 3750G-16TD);128 MB DRAM 和 32 MB 闪存 (Cisco Catalyst 3750G24TS-1U,Catalyst 3750G-24PS,Catalyst 3750G-48TS, Catalyst 3750G-48PS) 可配置多达 12,000 个 MAC 地址 (Cisco Catalyst 3750G-24TS, Catalyst 3750G-24T, Catalyst 3750G-12S, Catalyst 3750-24TS, Catalyst 3750-24PS, Catalyst 3750-48TS, Catalyst 3750-48PS, Catalyst 3750G-24TS-1U, Catalyst 3750G-24PS, Catalyst 3750G48TS, Catalyst 3750G-48PS 和 Catalyst 3750G-16TD) 可配置多达 20,000 条单播路由 (Cisco Catalyst 3750G-12S) 和多达 11,000 条单播路由(Catalyst 3750G-24TS, Catalyst 3750G-24T, Catalyst 3750-24TS, Catalyst 3750-24PS, Catalyst 3750-48TS, Catalyst 3750-48PS, Catalyst 3750G-24TS-1U, Catalyst 3750G24PS, Catalyst 3750G-48TS, Catalyst 3750G-48PS 和 Catalyst 3750G-16TD) 可配置多达 1000 个 IGMP 组和组播路由 (Cisco Catalyst 3750G-24TS, Catalyst 3750G-24T, Catalyst 3750G-12S, Catalyst 3750-24TS, Catalyst 3750-24PS, Catalyst 3750-48TS,, Catalyst 3750-48PS, Catalyst 3750G-24TS-1U, Catalyst 3750G-24PS, Catalyst 3750G48TS, Catalyst 3750G-48PS 和 Catalyst 3750G-16TD)
可配置的最大传输单元(MTU)为 9000 字节,在千兆位以太网端口上桥接 的以太网帧最大为 9018 字节(巨型帧),在快速以太网端口上桥接和路 由的帧最大为 1546 字节
连接器和布线
10BASE-T 端口:RJ-45 连接器, 2 对第 3(Cat-3)、4 或 5 类非屏蔽双绞 线(UTP)布线 100BASE-TX 端口:RJ-45 连接器,2 对第 5 类 UTP 布线 1000BASE-T 端口:RJ-45 连接器,2 对第 5 类 UTP 布线 基于 SFP 的 1000BASE-T 端口:RJ-45 连接器,2 对第 5 类 UTP 布线 基于 SFP 的 1000BASE-SX, -LX/LH, -ZX 和 CWDM 端口:LC 光纤连接器 (单模或多模光纤) 基于 XENPAK 的 10GBASE-ER 端口 (单模) 基于 XENPAK 的 10GBASE-LR 端口 (单模) 基于 XENPAK 的 10GBASE-SR 端口 (多模) 基于 XENPAK 的 10GBASE-LX4 端口 (多模) 基于 XENPAK 的 10GBASE-CX4 端口(Infiniband 铜缆) Cisco StackWise 堆叠端口:
基于铜缆的 Cisco StackWise 布线 管理控制台端口:
RJ-45 到 DB9 电缆,用于 PC 连接
指示灯
每端口状态 LED:表示链路完整性、禁用、活动、速度和全双工 系统状态 LED:
表示系统、RPS 和带宽利用率
平均无故障时间 (MTBF)
188,574 小时 (Cisco Catalyst 3750G-24TS) 210,936 小时(Cisco Catalyst 3750G-24T) 215,000 小时(Cisco Catalyst 3750G-12S) 217,824 小时(Cisco Catalyst 3750-48TS)
294,928 小时(Cisco Catalyst 3750-24TS) 166,408 小时(Cisco Catalyst 3750-48PS) 209,170 小时(Cisco Catalyst 3750-24PS) 184,422 小时(Cisco Catalyst 3750G-16TD) 165,243 小时(Cisco Catalyst 3750G-48TS) 141,005 小时(Cisco Catalyst 3750G-48PS) 221,150 小时(Cisco Catalyst 3750G-24TS-1U) 182,373 小时(Cisco Catalyst 3750G-24PS)
标准
IEEE IEEE IEEE IEEE IEEE 全双工,在 10BASE-T、100BASE-TX 和 1000BASE-T 端口上 IEEE 生成树协议 IEEE IEEE IEEE IEEE IEEE IEEE 全双工,在 10BASE-T、 100BASE-TX 和 1000BASE-T 端口上 IEEE 生成树协议
服务和支持
思科系统公司致力于降低总体拥有成本(TCO)。思科提供了一系列技术支持服 务,以确保思科产品高效运行、保持高可用性,并受益于最新系统软件。
Catalyst 2960 交换机
产品概述
Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立 设备系列,提供桌面快速以太网和千兆以太网连接,可为入门级企业、中型市 场和分支机构网络提供增强 LAN 服务。Catalyst 2960 系列具有集成安全特 性,包括网络准入控制(NAC)、高级服务质量(QoS)和永续性,可为网络边缘提 供智能服务。
Cisco Catalyst 2960 系列提供:
为网络边缘提供了智能特性,如先进的访问控制列表 (ACL)和增强安全 特性 双介质上行链路端口提供了千兆以太网上行链路灵活性,可以使用铜缆 或光纤上行链路端口—每个介质上行链路端口都有一个 10/100/1000 以 太网端口和一个小型可插拔(SFP)千兆以太网端口,在使用时其中一个端 口激活,但不能同时使用这两个端口 通过高级 QoS、精确速率限制、ACL 和组播服务,实现了网络控制和带宽 优化 通过多种验证方法、数据加密技术和基于用户、端口和 MAC 地址的网络 准入控制,实现了网络安全性 通过思科网络助理,简化了网络配置、升级和故障诊断 使用 Smartports 自动配置特定应用
配置
Cisco Catalyst 2960 系列包括以下交换机(如图 1 所示):
Cisco Catalyst 2960-24TT:24 个 10/100 以太网端口和 2 个 10/100/1000 固定以太网上行链路端口;1 机架单元(RU)
Cisco Catalyst 2960-48TT:48 个 10/100 以太网端口和 2 个 10/100/1000 固定以太网上行链路端口;1 RU Cisco Catalyst 2960-24TC:24 个 10/100 以太网端口和 2 个双介质上 行链路端口;1 RU Cisco Catalyst 2960-48TC:48 个 10/100 以太网端口和 2 个双介质上 行链路端口;1 RU Cisco Catalyst 2960G-24TC:20 个 10/100/1000 以太网端口,其中 4 个为双介质端口;1 RU
Cisco Catalyst 2960 系列交换机
Cisco Catalyst 2960 系列软件镜像提供了一系列丰富的智能服务,包括高级 QoS、速率限制和 ACL。SFP 千兆以太网端口可安装多种 SFP 收发器,包括 Cisco 1000BASE-SX、1000BASE-LX、1000BASE-BX、1000BASE-ZX、100BASEFX、100BASE-LX10、100BASE-BX 和粗波分多路复用 (CWDM) SFP 收发器。
千兆以太网 千兆以太网以 1000 Mbps 的速度,提供了可满足新网络和扩展网络的需求的带 宽,消除了瓶颈,提升了性能,同时提高了现有基础设施投资的回报。目前, 工作人员都对网络有着更高需求,在网络上同时运行多个应用。例如,一位员 工通过 IP 视频会议而参加小组会议,向与会者发送一个 10MB 的电子表格,将 最新营销视频广播给整个小组以供评估,此外还查询客户关系管理(CRM)数据 库,以获得最新实时反馈。同时,后台开始了一个多 GB 的系统备份,并向客户 端提供最新防病毒软件的升级。
网络智能性
当今的网络正在不断发展,在网络边缘出现了四种新趋势:
桌面计算能力提高 带宽密集型应用出现 高敏感数据在网络中扩展 出现了多种设备类型,如 IP 电话、WLAN 接入点和 IP 视频摄像头
这些新需求正与许多已有关键任务应用争夺资源。因此,IT 专业人员必须将网 络边缘看作有效管理信息和应用的提供的关键。
随着公司日益依赖网络,将其作为战略性业务基础设施,确保网络的高可用 性、安全性、可扩展性和对它的全面控制就比以前更为重要。通过为 LAN 接入 添加思科智能功能,客户现可部署遍布整个网络的智能服务,从而一致地满足 从桌面到核心再到 WAN 的要求。
通过 Cisco Catalyst 智能以太网交换机,思科可帮助公司获得向其网络添加智 能服务的全面优势。为进一步优化网络运行,部署具备以下特性的功能是十分 关键的:能使网络基础设施高度可用以达到关键时间要求、可扩展以便于公司 发展、高度安全以保护保密信息,且能区分和控制流量。
增强安全性
凭借 Cisco Catalyst 2960 系列提供的广泛安全特性,企业可保护重要信息, 防止未授权人员接入网络,确保私密性及维持不间断运行。
思科基于身份的网络服务(IBNS)解决方案提供了身份验证、访问控制和安全策 略管理,可保护网络连接和资源。Catalyst 2960 系列中的 IBNS 可防止未授权 接入,并确保用户只获得其指定权利。它能动态管理网络接入的具体层次。使 用标准和思科安全访问控制服务器(ACS),无论用户在何处连接到网络中,都 可在验证基础上分配到一个 VLAN。此设置使 IT 部门能在不影响用户移动性的 情况下,以最低管理开销实施强大的安全策略。
为防止拒绝服务攻击和其他攻击,可用 ACL 根据源和目的地 MAC 地址、IP 地址 或 TCP/UDP 端口来拒绝分组,从而限制对网络敏感部分的访问。ACL 查询在硬 件中完成,故此在实施基于 ACL 的安全性时不会影响转发性能。
端口安全性可根据与以太网端口相连的设备的 MAC 地址,来限制以太网端口上 的访问。它也可用于限制插入一个交换机端口的总设备数目,因此可使交换机 免遭 MAC 泛洪攻击,降低了恶意无线接入点或集线器接入的风险。
凭借动态主机配置协议(DHCP)监听,可以只允许来自不可信用户端口的 DHCP 请 求(但不允许响应)进入网络,从而防止 DHCP 电子欺骗。此外,DHCP 接口跟 踪器(选项 82) 特性可为主机 IP 地址请求添加交换机端口 ID,有助于实现对于 IP 地址分配的精确控制。
MAC 地址通知特性可向管理站发送报警,从而监控网络和跟踪用户,以使网络 管理员知道用户何时、从何处进入网络。SSHv2 和 SNMPv3 对管理和网络管理信 息加密,保护网络免遭干扰或窃听。TACACS+或 RADIUS 验证实现了交换机的集 中访问控制,并限制未授权用户改变配置。此外,可在交换机上配置本地用户 名和密码数据库。交换机控制台上的 15 个授权级别和 Web 管理界面上的 2 个级 别提供了向不同管理员分配不同配置功能级别的能力。
可用性和可扩展性
Cisco Catalyst 2960 系列配备了强大的特性集,通过组播过滤和旨在第二层 网络中提供最高可用性的全套生成树协议改进,实现了网络可扩展性及更高可 用性。
对标准生成树协议的改进,如 PVST+、UplinkFast 和 PortFast,可实现最长网 络正常运行时间。PVST+可在冗余链路上进行第二层负载共享,以有效使用冗余 设计中的额外容量。UplinkFast、PortFast 和 BackboneFast 都大大缩减了标 准的 30 到 60 秒生成树协议收敛时间。Flexlink 提供了不到 100ms 的双向、快 速收敛。对环路保护和网桥协议数据单元(BPDU)保护的增强避免了生成树协 议环路的出现。
高级 QoS
Cisco Catalyst 2960 提供了出色的多层 QoS 特性,确保网络流量进行了分类 和优先级划分,并以最好的方式避免了拥塞。QoS 的配置通过自动 QoS(Auto QoS)大大得到了简化,这是一个可发现思科 IP 电话并自动配置交换机以进行 正确分类和输出排序的特性。这优化了流量优先级划分和网络可用性,且不会 带来复杂配置的问题。
Catalyst 2960 可对进入的分组分类、再分类、监管、标记、排序和排程,并 能在出口处对分组排序和排程。分组分类使网络元素可区分不同流量,并根据 第二层和第三层 QoS 实施策略。
为实现 QoS,Catalyst 2960 系列交换机首先确认分组或流量组,再使用 DSCP 字段或服务级别(CoS)字段对这些组分类和再分类。分类和再分类可根据源或 目的地 IP 地址、源或目的地 MAC 地址或者第 4 层 TCP/UDP 端口等标准进行。在 入口,Catalyst 2960 也将进行监管,以确定分组是在小组内还是在小组外, 标记以改变分类标签,传输或丢弃小组分组,并根据类别对分组排序。所有端 口上都支持控制平面和数据平面 ACL,确保每个分组得到正确的处理。
Cisco Catalyst 2960 支持每端口 4 个输出队列,使网络管理员能更好地进行 控制,为 LAN 上的各种应用分配优先级。在出口,交换机执行排程和拥塞控 制。排程是一种确定队列处理顺序的算法或进程。Catalyst 2960 系列交换机 支持整形循环(SRR)和严格优先级队列。SRR 算法有助于确保个性化优先级划 分。
这些 QoS 特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级, 其中包括企业资源规划(ERP)、语音(IP 电话流量)和计算机辅助设计及制 造(CAD/CAM)等,而将 FTP 或电子邮件等对应用划为较低优先级。例如,下载 一个目的地为交换机上某一端口的大型文件,而这会增加目的地为此交换机上 另一端口的语音流量的延迟,这种情况是用户极为不愿看到的。通过确保语音 流量在网络中得到正确分类和优先级划分,可避免此情况。Web 浏览等其他应 用则可作为较低优先级对待。
Catalyst 2960 系列能通过对思科承诺信息速率(CIR)功能的支持而执行速率 限制。通过 CIR,能以低至 8kbps 的增量保证带宽。带宽的分配根据若干标准 进行,包括 MAC 源地址、MAC 目的地地址、IP 源地址、IP 目的地地址和 TCP/UDP 端口号。在需服务级别协议的网络环境中或需控制授予某些用户的带 宽时,带宽分配非常重要。
管理
新的思科快速设置特性简化了交换机的初始配置。用户现可选择通过 Web 浏览 器设置交换机,无需更多复杂的终端模拟程序和命令行界面(CLI)。快速设置 允许没有丰富技术知识的人员简单、快速地设置交换机,从而降低了部署成 本。
思科网络助理是一个基于 PC 的网络管理应用,适用于用户数目不超过 250 名的 LAN。思科网络助理为思科交换机、路由器和 WLAN 接入点提供了集中管理。它 支持范围广泛的 Cisco Catalyst 智能交换机-从 Cisco Catalyst 2960 直至 Cisco Catalyst 4506。通过一个便于使用的 GUI,用户可以配置和管理多种交 换机功能,启动思科路由器和思科无线接入点的设备管理器。只需点击几次鼠 标,即能实施思科建议的安全性、可用性和 QoS 特性,无需查询具体的设计指 南。安全向导可自动限制对于有敏感数据的服务器的未授权访问。Smartports 和向导能节约网络管理员数小时的时间、消除人为错误,并有助于确保交换机 的配置针对这些应用进行了优化。思科网络助理可从思科网站上免费下载。
除思科网络助理之外,Catalyst 2960 系列交换机还使用 CiscoWorks for Switched Internetworks 等 SNMP 网络管理平台实现了扩展管理。通过 CiscoWorks,可配置和管理 Cisco Catalyst 交换机,提供端到端的设备、 VLAN、流量和策略管理。此外,一款基于 Web 的管理工具,CiscoWorks Resource Manager Essentials,能进行自动库收集、软件部署、方便地跟踪网 络变化、查看设备可用性和快速隔离故障区。
表 1 列出了 Cisco Catalyst 2960 系列的特性和优点。表 2 为硬件规格,表 3 为电源规格,表 4 列出了管理和标准支持,表 5 则提供了安全和法规符合性消 息。
表 1 Cisco Catalyst 2960 系列的特性和优点
特性
优点
便于使用和部署
快速设置通过 Web 浏览器简化了初始配置,无需更复杂的终端模 拟程序和 CLI 知识。
利用 DHCP,由一个引导服务器对多个交换机进行自动配置,从而 简化了交换机的部署。
自动的 QoS(AutoQoS)可以通过发布用于检测思科 IP 电话、区分 流量类别和配置出口队列的接口和全局交换机命令,简化 VoIP 网 络的 QoS 设置。
每个 10/100 端口上的自动检测功能可以检测到所连设备的速度, 并自动地将该端口设为 10 或 100Mbps,从而可以在混有 10 和 100 Mbps 的环境中简化交换机的部署。
所有端口上的自动协商功能可以自动地选择半双工或者全双工传 输模式,以优化带宽。
动态端口汇聚协议(DTP)可以在所有交换机端口上实现动态端口 汇聚设置。
端口汇聚协议(PAgP)可以自动创建思科快速 EtherChannel 群组 或者千兆位 EtherChannel,以便连接到另外一个交换机、路由器 或者服务器。
端口汇聚控制协议(LACP)让用户可以利用符合 IEEE 的设备创建 以太网通道。这种功能类似于思科 EtherChannel 技术和 PAgP。
DHCP 服务器是一种方便的部署选择,适于在没有专用 DHCP 服务器 的网络中分配 IP 地址。
DHCP 中继让一个 DHCP 中继代理可以将 DHCP 请求广播到网络 DHCP 服务器。
1000BASE-SX、1000BASE-LX/LH、1000BASE-ZX、1000BASE-BX、 100BASE-FX、100BASE-LX10、100BASE-BX 和粗波分(CWDM)物理 接口可以通过一个可以现场更换的 SFP 模块,在交换机部署中提 供前所未有的灵活性。
为了确保交换机可以迅速地连接到网络,并可以利用最低限度的 人为干预传输流量,闪存中存有一个缺省的配置。
如果在铜缆端口上安装了某种错误的电缆类型(交叉或者直 通),依赖于介质的接口交叉(自动 MDIX)可以自动地调整发送 和接收对。
时域反射计(TDR)可诊断并解决铜缆端口上的布线问题。
可用性和可扩展性
用于故障备份的出色冗 余
Cisco UplinkFast 和 BackboneFast 技术可确保快速故障恢复,增 强网络整体稳定性和可靠性。
IEEE 快速生成树协议可以提供独立于生成树计数器的快速生成树 收敛和分布式处理的好处。
PVRST+可以在每个 VLAN 生成树的基础上实现快速生成树重新收 敛,而不需要部署生成树实例。
思科网络助理软件所实现的命令交换机冗余让用户可以指定一个 备用命令交换机,在主命令交换机发生故障时接管集群管理功 能。
单向连接检测协议(UDLD)和主动 UDLD 让用户可检测或者禁用单
内部集成的 Cisco IOS 软件功能有助于优化带 宽
QoS 和控制 高级 QoS
精确的速率限制
向连接,以避免生成树环路等问题的发生。
交换机端口自动恢复(可禁止)可以自动尝试重新建立由于网络 错误而禁用的连接。
思科冗余电源系统 675(RPS 675)支持可以为最多 6 个思科网络 设备提供出色的内部电源冗余,从而提高容错性和网络正常运行 时间。
通过思科千兆位 EtherChannel 技术和思科快速 EtherChannel 技 术,带宽汇聚分别可以达到 8Gbps 和 800Mbps,从而可以增强容错 性,可以为交换机之间,以及交换机到路由器和单个服务器之 间,提供更高的总带宽。
基于单个端口的广播、组播和单播风暴控制可以防止发生故障的 基站降低整个系统的性能。
IEEE 生成树协议支持冗余的骨干网连接和无环路的网络,从而可 以简化网络配置,提高容错性。
PVST+可以在冗余连接上实现第二层负载共享,从而可以有效地利 用冗余设计中的额外容量。
IEEE MSTP 可以建立针对单个 VLAN 的生成树实例,从而可以在冗 余连接上实现第二层负载共享。
输出承诺速率(ECR)保证可以实现负载均衡和冗余。
ARP 可以与专用 VLAN 边缘共用,最大限度地减少广播,增加可用 带宽。
VLAN1 最小化让用户可以在任何一个 VLAN 端口汇聚连接上禁用 VLAN。
VTP 修剪功能可以通过仅在用于连接目的地设备的端口汇聚连接上 进行广播流量泛洪,限制 VTP 端口汇聚连接的带宽使用。
IGMPv3 监听功能可以让客户端迅速地加入或者退出组播流,将占 用带宽很高的视频流量只限提供给发出请求的用户。
IGMP 过滤可过滤出非授权用户并限制每端口的同时组播流数,以 提供组播验证。
MVR 可以连续不断地在一个组播 VLAN 中发送组播流,同时由于带 宽和安全原因将数据流和用户 VLAN 隔离开。
提供了 CoS 和 DSCP 现场分类,可以利用源和目的地 IP 地址、源 和目的地 MAC 地址或者第四层 TCP/UDP 端口号进行基于单个分组 的标记和重新分类。
所有端口上的思科控制平面和数据平面 QoS ACL 可以确保在单个 分组的基础上进行正确的标记。
每个端口的 4 个输出队列让用户可以对堆叠中最多四种流量类型 进行不同的管理。
SRR 调度确保了用户可以通过智能化地服务于输入和输出队列,为 数据流量提供不同的优先级。
加权队尾丢弃(WTD)可以在发生中断之前,为输入和输出队列提 供拥塞避免功能。
严格优先级排序可以确保优先级最高的分组先于所有其他流量获 得服务。
高度精确的 QoS 功能不会对性能造成任何影响。
思科 CIR 功能能够以低达 1Mbps 的精确度保障带宽。
速率限制基于源和目的地 IP 地址、源和目的地 MAC 地址、第四层 TCP/UDP 信息或者这些字段的任意组合,并利用 QoS ACL(IP ACL 或者 MAC ACL)、级别图和策略图提供。
安全
覆盖整个网络的安全功 能
利用输入策略控制和输出整形,可以方便地管理来自于基站或者 上行链路的异步上行和下行数据流。
每个快速以太网或者千兆以太网端口最多可以支持 64 个汇总或者 单独策略控制器。
IEEE 可以实现动态的、基于端口的安全,提供用户身份认证功 能。
带有 VLAN 分配功能的 IEEE 可以为某个特定的用户提供一个动态 的 VLAN,而无论用户连接到什么地方。
支持语音 VLAN 的 IEEE 允许一个 IP 电话接入语音 VLAN,而无论 端口是否经过授权。
IEEE 和端口安全可以对端口进行身份认证,并能管理所有 MAC 地 址的网络接入权限,包括客户端的访问权限。
具有来宾 VLAN 的 IEEE 允许没有 IEEE 客户端的来宾对来宾 VLAN 进行有限的网络访问。
用于第二层接口的、基于端口的 ACL(PRAC)让用户可以将安全策 略用于各个交换机端口。
单播 MAC 过滤可通过一个匹配 MAC 地址来防止转发任意类型的分 组。
未知单播和组播端口阻塞可过滤出交换机还未学会如何转发的分 组,实现紧密控制。
SSHv2 和 SNMPv3 可以通过在 Telnet 和 SNMP 连接中加密管理员流 量,提供网络安全。由于美国出口法律的限制,SSHv2 和 SNMPv3 的加密版本需要一种特殊的加密软件。
SPAN 端口上的双向数据支持让思科安全入侵检测系统(IDS)可以 在检测到某个入侵者时采取行动。
TACACS+和 RADIUS 身份认证可以对交换机进行集中控制,并防止 未经授权的用户更改配置。
MAC 地址通知让管理员可以在网络添加或者删除用户时获得通知。
DHCP 监听让管理员可确保 IP 地址到 MAC 地址的一致映射。这可用 于防止试图破坏 DHCP 绑定数据库的攻击,并对进入交换机端口的 DHCP 流量限速。
DHCP 接口跟踪器(选项 82)可为主机 IP 地址请求附上交换机端 口 ID。
端口安全可以根据 MAC 地址,保障对某个接入或者汇聚端口的访 问权限。
在一段特定的时间之后,老化功能可以将 MAC 地址从交换机中删 除,以便让另外一个设备连接到同一个端口。
可信边界可以在加入一个 IT 电话时提供 QoS 优先级设置,并在该 IP 电话被移除时禁用信任设置,从而防止恶意用户盗用网络的优 先级策略。
控制台访问权限的多级安全可以防止未经授权的用户更改交换机 配置。
可由用户选择的地址学习模式可以简化配置和加强安全。
BPDU 保护装置可以在接收到用以避免偶然出现的拓扑环路的 BPDU 时,关闭支持生成树协议 PortFast 的接口。
STRG 防止不处于网络管理员控制范围的边缘设备成为生成树协议 根节点。
IGMP 过滤可以通过滤除非指定用户的访问者,提供组播身份认 证,限制每个端口上可用的并发组播流的数量。
动态 VLAN 通过部署 VMPS 客户端功能而获得支持,它可以在指定 端口加入 VLAN 方面提供灵活性。动态 VLAN 可以实现 IP 地址的快 速指派。
可管理性 出色的可管理性
思科网络助理软件
思科网络助理软件安全向导可以降低安全功能的部署难度,这些 功能可以限制用户对于某个服务器或者部分或全部网络的访问权 限。
支持 512 个 ACE,分为两类:安全(384 个安全 ACL 项和 128 个 QoS 策略),和 QoS(128 个个安全 ACL 项和 384 个 QoS 策略)。
Cisco IOS CLI 支持可以为所有的思科路由器和 Cisco Catalyst 桌面交换机提供通用的用户界面和指令集。
思科服务保证代理(SAA)支持可以在整个 LAN 中进行服务级别的 管理。
用于安全和 QoS 的交换数据库管理器模板让管理员可以根据针对 部署的特定需求,方便地调整内存分配,更好地实现所需要的功 能。
VLAN 端口汇聚可以利用基于标准的标记,从任何一个端口创建。
每个交换机或者堆叠最多可以支持 255 个 VLAN,每个交换机最多 可以支持 128 个生成树实例。
支持 4000 个 VLAN ID。
语音 VLAN 可以通过将语音流量放在一个单独的 VLAN 上,简化电 话安装步骤,实现更加方便的管理和诊断。
思科 VTP 可以在所有交换机中支持动态的 VLAN 和动态的端口汇聚 配置。
IGMPv3 监听功能可以让客户端迅速地加入或者退出组播流,将占 用带宽很高的视频流量仅传输到发出请求的用户。
远程 SPAN(RSPAN)让管理员可以从一个第二层交换网络中的任何 一台交换机远程监控同一个网络中另外一台交换机上的端口。
为了加强对流量的管理、监控和分析,内嵌远程监控(RMON)软 件代理支持 4 个 RMON 群组(历史、统计、警报和事件)。
第二层跟踪路由程序可以通过确定某个分组从源到目的地所经过 的物理途径,降低诊断难度。
所有 RMON 群组都可以通过一个 RMON 端口获得支持,它允许用户 从一个单一的网络分析器或者 RMON 监测器监控某个端口、某组端 口或者整个堆叠的流量。
DNS 可以通过用户指定的设备名称解析 IP 地址。
TFTP 可以通过从一个集中地点下载升级软件,降低软件升级的管 理成本。
NTP 可以为内联网中的所有交换机提供准确的、统一的时间。
每个端口上的多功能 LED 可以显示端口状态;半双工和全双工模 式;10BASE-T、100BASE-T 和 1000BASE-T 指示,交换机级状态 LED 可以用于显示系统、冗余电源、带宽的利用率,它们可以提供 一个全面的、方便的可视管理系统。
思科网络助理软件是一个基于 Windows 的免费应用,可简化用户 数目不超过 250 名的网络的管理。它支持范围广泛的 Cisco Catalyst 智能交换机。凭借思科网络助理,用户可以管理 Cisco Catalyst 交换机,并启动思科集成多业务路由器和 Cisco Aironet WLAN 接入点的设备管理器。
易于使用的图形化界面提供了集群和堆叠的拓扑图和前面板视 图。
思科 AVVID(集成化语音、视频和数据架构)向导只需要用户输入 少量信息,就可以自动地配置交换机,使其以最优的方式处理不 同类型的流量:语音、视频、组播和高优先级数据。
它提供了一个安全向导,以限制未经授权的用户对于应用、服务 器和网络的访问。
思科快速设置 CiscoWorks 支持
通过单击式升级,Cisco Catalyst 交换机上的 Cisco IOS 软件升 级只需点击鼠标即可完成。
经过扩展,思科 CMS 软件目前包括多层功能配置,例如路由协 议、ACL 和 QoS 参数。
思科网络助理支持多层特性配置,如路由协议、ACL 和 QoS 参数 等。
多设备和多端口配置功能让管理员可以通过同时设置多个交换机 和端口的特性,节约大量的时间。
针对用户定制的界面让用户可以更改思科轮询周期、表格视图和 其他设置。
警报通知功能可以针对网络故障和警报阈值自动发出电子邮件通 知。
思科快速设置特性通过 Web 浏览器简化了交换机的初始配置,无 需更多复杂的终端模拟程序和对于命令行界面(CLI)的了解。
Web 界面允许没有丰富技术知识的人员简单、快速地设置交换机, 从而降低了部署成本。
CiscoWorks 网络管理软件可以提供基于单个端口、单个交换机的 管理功能,为思科路由器、交换机和集线器提供一个通用的管理 界面。
SNMP v1、v2c 和 v3,以及 Telnet 接口支持,可以提供全面的带 内管理。一个基于 CLI 的管理控制台可以提供精确的带外管理。
思科发现协议版本 1 和 2 可以建立一个能够自动发现交换机的 CiscoWorks 网络管理站。
CiscoWorks LAN 管理解决方案支持 Cisco Catalyst 2960 系列
设备选型分析
5.4.1 核心设备 XX 公安局大楼内网中核心交换机选用 Catalyst 4507R,选者依据如下:
1 由于内网中有视频服务器,监控服务器等多种核心应用的服务器,因此选者核 心交换机的首要需求就是其稳定性. Catalyst 4500 系列中只有 Catalyst 4507R 和 Catalyst 4510R(暂不做考虑)专门提供 1,2 两个槽位作为双引擎热备, 稳定性和冗余性完全可以达到 XX 公安局内网中的要求. 2 此次方案中为 Catalyst 4507R 配置了 Supervisor IV 代引擎,第二层和第 三层基于思科快速转发(CEF)的交换性能最高可达 100Gbps,75Mpps,因此对于 XX 公安局中各项应用都能满足。
4507R 可以提供高达 240 个 10/100、100-FX、1000BASE-X 或者 10/100/100BASE-T 和 2 个 10GbE 端口的端口密度,结合 XX 公安局中具体的需求, 给大楼的 4507R 各配置了一快具有 18 个千兆光口的板卡来互连接入层交换机, 然后各配置了一快 24 口的千兆电口板卡用来连接服务器。
5.4.2 接入设备
XX 公安局中内网接入层交换机采用 Catalyst 3750 用来连接下属单位,楼层接 入交换机采用 Catalyst 2960 交换机,选者依据如下:
1 内网接入层交换机采用 3 台 48 口 Catalyst 3750,可以提供 144 个 10/100/1000 兆用户接入,并且提供 4 个 SFP 上联端口,其背板带宽为 32Gbps,所以作为接入层的交换机其性能优势比较明显。
2 作为性价比的考虑,楼层接入交换机采用 Catalyst 2960,这款 cisco 新推 出的接入层设备在集成安全特性,包括网络准入控制(NAC)、高级服务质量(QoS) 和永续性等方面,特别在价格方面都是 XX 公安局网络设计中楼层接入交换机首 选者。
篇三:公安派出所内部安全防范方案
.
错误 !未指定书签。
专业资料
.
目录
一、 概述 ..........................................................................................................................................4...
二、 公安门户安全建设必要性 .....................................................................................................4..
2.1
合规性要求 ............................................................................................................5...
2.2
面临的威胁 ............................................................................................................6...
2.3
公安门户安全现状分析 .........................................................................................9..
三、 面临的典型攻击 ...................................................................................................................1..0
3.1
跨站脚本 .......................................................................................................................1..0
3.2
信息泄漏 .......................................................................................................................1..1
3.3
SQL 注入 .....................................................................................................................1..2
3.4
DDOS 攻击 ..................................................................................................................1..2
四、 公安系统门户安全防护 ......................................................................................................1..4
五、 安全可靠的防御手段 ..........................................................................................................1..5
5.1
绿盟科技下一代防火墙( NF ) .................................................................................1.7
5.2
绿盟网络入侵防御系统( NSFOCUS NIPS ) ........................................................1. 7
专业资料
.
5.3
绿盟科技 WEB 应用防护系统( WAF ) ..................................................................1. 8
六、 总结 .......................................................................................................................................1..8.
附件 部署产品列表 ...........................................................................................................................1..9
专业资料
.
一、 概述
对于公安门户来说,公安系统发布的消息是比较权威的,同时公安门户也是与民互动, 实现执法办公公开的一个最基本的保障,因此公安门户是公安相关职能部门信息化建设的 重要容,主要实现 对公安门户的三大功能定位:法律法规信息公开、公民在线办事、政法 与民互动。
公安门户是提高公安系统服务质量、服务效率、公众认知度和满意度的关键环 节,是重要信息系统之一。
而近年来,随着所运行业务的重要性逐渐增加以及其公众性质使其越来越成为攻击和
威胁的主要目标,公安门户所面临的 Web 应用安全问题越来越复杂, 安全威胁正在飞速增
长,尤其混合威胁的风险,如网页篡改、蠕虫病毒、
DDoS 攻击、 SQL 注入、跨站脚本、
Web 应用安全漏洞利用等,极大地困扰着政府职能单位和公众用户,给公安系统的公众形
象、信息网络和核心业务造成严重的破坏。
因此一个优秀的安全建设是公安政务门户是否能取得成效、充分发挥职能的基础,而 合规、有效、全面的信息安全体系建设对保障其正常运行至关重要。
篇四:公安派出所内部安全防范方案
某公安局网络安全方案
〔建议稿〕
一、 某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络 开通到上级省厅与全国各地公安的数字专线出口,与局内各楼、其它一些分局与 派出所和 INTERNET 连接。某公安局网络提供公安局各单位的互联通道,实现机 关局域网络全部节点与终端设备的网络互联和系统集成,实现以信息交换,信息 发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术 支持手段。
整个某公安局网络通过统一的出口,64K 的 DDN 专线接入上级省厅与全国各 地公安,网络主干网通过一个 Motorla〔S520〕路由器连接到上级网络。某公安 局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上, 某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网 络系统分布在整个,规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括 WWW 服务,Mail 服务,DNS 服 务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的 Web 应用主 要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/ 服务器模式与浏览器/WWW 服务器模式。
1 / 11
某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。
以上是某公安局网络与其应用的现状。
二、 某公安局网络安全需求分析
某公安局网络系统现在的 Web 应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。
网络安全的目标是保护和管理网络资源〔包括网络信息和网络服务〕。
网络安全的需求是分层次的。ISO/OSI 网络模型将网络分为 7 个层次,在不 同层次上的安全需求如上图所示。
某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。
可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安 全需求和安全管理需求。
2 / 11
目前第一期解决网络层安全需求
1. 网络层安全需求
网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网 络网络层的安全需求是面向系统安全的,包括:
隔离内外部网络;
实现网络的边界安全,在网络的入出口设置安全控制;
实现安全漏洞检测,与时发现网络服务和操作系统存在的安全隐患, 与时采取补救措施,将安全风险降到最低。
具体而言,某公安局网络系统在网络层的安全需求可以描述为:
1〕 解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和应 用代理隔离内外网络;
2〕 内外网络采用两套不同的 IP 地址,实现地址翻译〔NAT〕功能;
3〕 根据 IP 地址和 TCP 端口进行入出控制;
4〕 基于 IP 地址和 MAC 地址的对应防止 IP 盗用;
5〕 基于 IP 地址计费和流量控制;
6〕 基于 IP 地址的黑白;
7〕 防火墙对用户身份进行简单认证;
8〕 根据用户身份进行入出控制;
9〕 基于用户的计费和流量限制;
10〕URL 检查和过滤。
3 / 11
2. 应用层安全需求
某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合法 用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统 而周密的规划,根据规划采取相应的安全管理手段来保证系统的实用、可靠和安 全性。
某公安局网络应用主要是应用于公安局内部的信息管理,因而:
1〕 外部非授权用户不得拥有访问公安局内部信息的权限;
2〕 内部、外部授权用户只能拥有系统赋予的访问授权;
3〕 不同级别的内部用户拥有对信息的不同访问权限;
4〕 不同部门的内部用户拥有对信息的不同访问权限;
5〕 某个部门的信息可以授予其他部门内部用户一定的访问权限;
6〕 授权用户不论在什么地方,什么时间,对信息的访问权限应该是一致的;
某公安局网络应用层的安全威胁主要是:
身份窃取和假冒 数据窃取和篡改 非授权存取 否认与抵赖 以上安全威胁产生的安全需求如下:
数据 XX:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进 行 XX。数据加密就是用来实现这一目标的。
4 / 11
数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没 有被篡改。数据加密和校验被用来实现这一目标。
身份认证:需要对网络上的用户进行识别,以确认对方的真实身份, 保证身份不被窃取与假冒。
访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息 进行何种操作。访问授权能够防止对系统资源的非授权存取。
审计记录:所有网络活动应该有记录,这种记录要针对用户来进行, 可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自己 的行为,同时提供公证的手段来解决可能出现的争议。
通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标:
1〕 面向所有服务的粗粒度的安全控制:
解决网络的整体安全,内外兼防,保护数据和信息安全;
用户和服务器之间实现严格的身份认证;
基于严格身份认证的统一授权管理;
访问控制粒度要求达到 TCP 端口一级;
数据传输时加密以实现数据 XX 和不可抵赖等;
实现审计记录功能。
2〕 面向 Web 服务的细粒度的安全控制:
要求解决 WEB 应用的整体安全,内外兼防,保护数据和信息安全;
解决的安全问题;
解决 CGI 的安全问题;
5 / 11
用户和 WEB 应用服务器之间实现严格的身份认证;
根据用户身份实现 WEB 空间的统一授权管理;
访问控制粒度要求达到文件和页面一级;
实现 WEB 空间的安全单点登录;
实现 WEB 空间的目录服务;
实现信息访问频率和用户访问频率统计。
3〕 由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥系
统,支持 SSL 协议;
3. 安全管理需求
3.1 网络层安全管理
网络层的安全管理主要结合网管系统进行,主要内容如下:
完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN 配置〔根据端口或 MAC 地址〕、IP 过滤配置、TCP 端口访问控制、拨号认证〔如 RADIUS。TACACS +等〕配置、路由器加密配置等。
完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的 IP 过滤配置、安全 TCP 端 口与访问授权配置、内容过滤配置、NAT 地址翻译配置等;
堡垒主机配置,包括各应用代理或应用网关的配置。
安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。
篇五:公安派出所内部安全防范方案
某公安局网络安全方案
(建议稿)
一、 某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网 络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一 些分局及派出所和 INTERNET 连接。某公安局网络提供公安局各单位的互联通 道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信 息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策 提供先进的技术支持手段。
整个某公安局网络通过统一的出口,64K 的 DDN 专线接入上级省厅及全国各 地公安网站,网络主干网通过一个 Motorla(S520)路由器连接到上级网络。
某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在 逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接 入服务。网络系统分布在整个,规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括 WWW 服务,Mail 服务,DNS 服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的 Web 应 用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客 户/服务器模式与浏览器/WWW 服务器模式。
某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。
以上是某公安局网络及其应用的现状。
二、 某公安局网络安全需求分析
某公安局网络系统现在的 Web 应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。
网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。
网络安全的需求是分层次的。ISO/OSI 网络模型将网络分为 7 个层次,在不 同层次上的安全需求如上图所示。
某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需 求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应 用层安全需求和安全管理需求。
目前第一期解决网络层安全需求
1.
网络层安全需求
网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局
网络网络层的安全需求是面向系统安全的,包括:
隔离内外部网络;
实现网络的边界安全,在网络的入出口设置安全控制;
实现安全漏洞检测,及时发现网络服务和操作系统存在的安全隐患, 及时采取补救措施,将安全风险降到最低。
具体而言,某公安局网络系统在网络层的安全需求可以描述为:
1) 解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和 应用代理隔离内外网络;
2) 内外网络采用两套不同的 IP 地址,实现地址翻译(NAT)功能;
3) 根据 IP 地址和 TCP 端口进行入出控制;
4) 基于 IP 地址和 MAC 地址的对应防止 IP 盗用;
5) 基于 IP 地址计费和流量控制;
6) 基于 IP 地址的黑白名单;
7) 防火墙对用户身份进行简单认证;
8) 根据用户身份进行入出控制;
9) 基于用户的计费和流量限制;
10)URL 检查和过滤。
2.
应用层安全需求
某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合
法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行 系统而周密的规划,根据规划采取相应的安全管理手段来保证系统的实用、可 靠和安全性。
某公安局网络应用主要是应用于公安局内部的信息管理,因而:
1) 外部非授权用户不得拥有访问公安局内部信息的权限;
2) 内部、外部授权用户只能拥有系统赋予的访问授权;
3) 不同级别的内部用户拥有对信息的不同访问权限;
4) 不同部门的内部用户拥有对信息的不同访问权限;
5) 某个部门的信息可以授予其他部门内部用户一定的访问权限;
6) 授权用户不论在什么地方,什么时间,对信息的访问权限应该是一致 的;
某公安局网络应用层的安全威胁主要是:
身份窃取和假冒 数据窃取和篡改 非授权存取 否认与抵赖
以上安全威胁产生的安全需求如下:
数据保密:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进 行保密。数据加密就是用来实现这一目标的。
数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没 有被篡改。数据加密和校验被用来实现这一目标。
身份认证:需要对网络上的用户进行识别,以确认对方的真实身份, 保证身份不被窃取与假冒。
访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息 进行何种操作。访问授权能够防止对系统资源的非授权存取。
审计记录:所有网络活动应该有记录,这种记录要针对用户来进行, 可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自 己的行为,同时提供公证的手段来解决可能出现的争议。
通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标:
1) 面向所有服务的粗粒度的安全控制:
解决网络的整体安全,内外兼防,保护数据和信息安全;
用户和服务器之间实现严格的身份认证;
基于严格身份认证的统一授权管理;
访问控制粒度要求达到 TCP 端口一级;
数据传输时加密以实现数据保密和不可抵赖等;
实现审计记录功能。
2) 面向 Web 服务的细粒度的安全控制:
要求解决 WEB 应用的整体安全,内外兼防,保护数据和信息安全;
解决 HTTP 的安全问题;
解决 CGI 的安全问题;
用户和 WEB 应用服务器之间实现严格的身份认证;
根据用户身份实现 WEB 空间的统一授权管理;
访问控制粒度要求达到文件和页面一级;
实现 WEB 空间的安全单点登录;
实现 WEB 空间的目录服务;
实现信息访问频率和用户访问频率统计。
3) 由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥 系统,支持 SSL 协议;
3.
安全管理需求
3.1 网络层安全管理
网络层的安全管理主要结合网管系统进行,主要内容如下:
完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN 配置(根据端口或 MAC 地址)、IP 过滤配置、TCP 端口访问控制、拨号认证(如 RADIUS。
TACACS+等)配置、路由器加密配置等。
完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的 IP 过滤配置、安全 TCP 端 口及访问授权配置、内容过滤配置、NAT 地址翻译配置等;
堡垒主机配置,包括各应用代理或应用网关的配置。
安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。
篇六:公安派出所内部安全防范方案
网络安全工作方案
为进一步加强网络安全管理工作,增强生产系统和关键信息 基础设施防护能力,根据 XXXX 通知的要求,特制订本方案。
一、指导思想 贯彻落实国家《网络安全法》和《中华人民共和国计算机信 息系统安全保护条例》相关要求,坚持积极防御、综合防范相结 合的方针,创建安全稳定、健康可靠的网络环境。
二、工作目标 全面提高员工网络安全意识,建立健全网络安全管理体系, 落实公司网络安全管理制度,排查生产网络风险,有效控制和抵 御网络安全风险,提高网络安全防范能力,增强网络安全事故应 急处置能力,确保生产系统安全稳定运行。
三、工作安排 (一)完善规章制度,规范管理流程 XXX 负责结合公司相关要求,梳理并完善网络安全相关管 理制度,主要从机房管理、人员管理、系统安全管理、数据保护 等方面生产系统做出明确管理要求,并从权限申请与分配、信息 发布、系统维护、应急处置等方面规范生产系统操作流程,通过 固化流程实现网络系统管理标准化,从而建立健全网络安全制度 体系。
第-1-页共7页
(二)全面排查风险,加强安全防范 XXX 负责排查管理区域内生产系统存在的网络安全风险隐 患,主要从物理安全、网络安全、应用安全、主机安全、数据安 全、管理安全六个方面,根据排查结果建立网络安全风险隐患电 子台账。
1.物理安全:主从要机房环境、机房建设、机房管理、防静 电措施、设备供电与接地、电磁干扰等方面进行排查;
2.网络安全:主要从网络防病毒措施、系统业务处理能力、 网络边界设备的访问控制、各子系统子网划分、用户身份鉴别等 方面进行排查; 3.主机安全:主要从登录系统和数据库用户身份鉴别、权限 分配、防病毒软件安装等方面进行排查;
4.应用安全:主要从系统对登录用户的身份鉴别能力、登录 失败处理措施、文件自动保护及服务预警措施等方面进行排查;
5.数据安全:主要从数据备份与恢复、重要业务数据完整性 保护措施、主要网络设备与传输通道冗余等方面进行排查;
6.管理安全:主要从网络安全管理制度、系统操作人员管理、 网络安全培训、软件升级审批等方面进行排查。
(三)加强宣传培训,达到全员知晓 各 XX 将网络安全培训纳入年度安全培训计划,每季度至少 培训一次。
(四)定期组织演练,提升应急能力
第-2-页共7页
各 XX 将网络安全应急演练纳入年度演练计划,每季度至少 开展一次。
四、工作要求 (一)提高认识,压实责任。各科室要把生产系统网络安全 提升到生产安全的高度,切实加强领导,压实责任。根据“谁主 管、谁负责,谁使用、谁负责”的要求,严格落实生产系统网络 安全保护责任,积极解决生产系统网络安全管理方面存在的漏 洞,清除隐患,提升防范能力。
(二)合理规划,积极推进。各科室要根据方案要求,制定 详细的培训和演练计划,并合理设置网络故障开展网络安全应急 演练,积极推进生产系统网络安全各项工作进度。
(三)定期检查,责任考核。将生产系统及办公网络安全列 入联合检查项目,对未按要求开展工作或工作开展不到位的 XX 进行考核。
附件 1:网络安全检查记录表 附件 2:网络安全风险隐患登录表
XXXXXXXX 公司 20XX 年 XX 月 XX 日
第-3-页共7页
附件 1:网络安全检查记录表
机房是否具备防震、防风和防雨能力:□ 是 □ 否 机房是否安排专人值守,控制、鉴别和记录进入的人员:□ 是 □ 否 进入机房的来访人员是否需要经过申请和审批流程,并限制和监控其活动范围:
□是 □否 机房是否配置电子门禁系统,控制、鉴别和记录进入的人员:□ 是 □ 否 机房是否设置接地排,设备是否已接地:□ 是 □ 否 机房是滞设置防静电地板,主要设备是否采用必有要防静电措施:□ 是 □ 否 机房是否采用具有耐火等级的建筑材料:□ 是 □ 否 物 理 机房是否设置温、湿度自动调节设施,使用机温、湿度的变化在设备运行所允许的范围 之内:□ 是 □ 否 安 全 机房是否设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火:
□是 □否 主要设备或机柜顶正上方是否有消防洒水喷头:□ 是 □ 否 通信线缆是否全部铺设在线槽和管道内:□ 是 □ 否 通信线缆和电源线是否隔离铺设,避免互相干扰:□ 是 □ 否 设备供电是否配置稳压器和过压防护设备:□ 是 □ 否 设备是否配置后备电源,防止在外部电源供电中断时,满足主要设备的正常进行:
□是 □否 主要设备是否设置冗余或并行的电力电缆为其供电:□ 是 □ 否 系统是否与外部信息系统互联:□ 是 □ 否 系统是否安装防病毒软件,并维护恶意代码库的升级和检测系统的更新:
□是 □否 主要网络设备的业务处理能力是否具备冗余空间,满足业务高峰期需要:
□是 □否 网络边界是否部署访问控制设备,并启用访问控制功能:□ 是 □ 否 是否绘制与当前运行情况相符的网络拓扑结构图:□ 是 □ 否 网 是否能够在会话处于非活跃一定时间或会话结束后终止网络连接:
络 □是 □否 安 各子系统是否划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分 全 配地址段: □ 是 □ 否 是否对系统中的网络设备运行状况、网络流量、用户行为等进行日志记录:
□是 □否 应在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出 攻击、IP 碎片攻击和网络蠕虫攻击等行为:□ 是 □ 否 当检测到攻击行为时,系统是否能够记录攻击源 IP、攻击类型、攻击目的、攻击时间, 在发生严重入侵事件时应提供报警:□ 是 □ 否 在网络边界处是否能够对恶意代码进行检测和清除:□ 是 □ 否
第-4-页共7页
是否能对登录网络设备的用户进行身份鉴别:□ 是 □ 否 身份鉴别信息是否具有不易被冒用的特点,口令应有复杂度要求并定期更换:
□是 □否 用户登录失败,是否可以结束会话、限制非法登录次数和当网络登录连接超时自动退出 等措施:□ 是 □ 否 对登录操作系统和数据库系统的用户是否具备身份标识和鉴别:
□是 □否 操作系统和数据库系统管理用户身份标识是否具有不易被冒用的特点,口令复杂度是否 符合要求并定期更换:□ 是 □ 否 操作系统和数据库系统的不同用户是否分配不同的用户名,并确保用户名具有唯一性:
主 □是 □否 机 安 是否能够根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所 需的最小权限:□ 是 □ 否 全 是否安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库: □是 □否 审计范围是否覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户:□ 是 □否 系统内是否存在多余的、过期的帐户,是否有共享帐户的存在:□ 是 □ 否 是否能够提供专用的登录控制模块对登录用户进行身份标识和鉴别:
□是 □否 是否能够提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重 复用户身份标识,身份鉴别信息不易被冒用:□ 是 □ 否 应 是否能够提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措 用 施:□ 是 □ 否 安 是否能够提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问:
全 □是 □否 是否能够提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行 恢复: □ 是 □ 否 是否能够对系统服务水平降低到预先规定的最小值进行检测和报警:
□是 □否 是否能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏, 并在检测到完整性错误时采取必要的恢复措施:□ 是 □ 否 是否能够提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存 数 放:□ 是 □ 否 据 是否能够提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地:
安 □是 □否 全 是否能够提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用 性:□ 是 □ 否 是否采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性: □是 □否
第-5-页共7页
是否制定网络安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、 原则和安全框架等:□ 是 □ 否 是否对安全管理活动中的各类管理内容建立安全管理制度:□ 是 □ 否 是否指定或授权专门的部门或人员负责安全管理制度的制定:□ 是 □ 否 安全管理制度是否通过正式、有效的方式发布:□ 是 □ 否 是否成立指导和管理网络安全工作的委员会或领导小组、是否设立系统管理员、网络管 理员、安全管理员等岗位,并定义各个工作岗位的职责: □ 是 □ 否 是否对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序 执行审批过程,对重要活动建立逐级审批制度: □ 是 □ 否 管 理 安全管理员是否定期对系统进行安全检查,检查内容包括系统日常运行、系统漏洞和数 安 据备份等情况:□ 是 □ 否 全 是否定期开展安全教育和培训工作,针对不同岗位制定不同的培训计划,对网络安全基 础知识、岗位操作规程等进行培训:□ 是 □ 否 是否对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照 规定执行:□ 是 □ 否 是否指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理:
□是 □否 是否建立介质安全管理制度,对介质的存放环境、使用、维护等方面作出规定:
□是 □否 软件升级,是否会根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现 有的重要文件进行备份:是 □ 否
第-6-页共7页
附件 2:网络安全风险隐患登记表
网络安全风险隐患登记表
科室:
时间:20XX 年第 X 季度
存在隐患(问题)及原
整改时间
序号 分类 检查时间 系统名称
因分析
整改意见
(前)
主办单位
配合单位
整改情况 整改人 备注
注:1.隐患初步分类为:物理安全、管理安全、人员安全、系统安全、主机安全、网络安全等。
2.“主办单位”、“整改时间(前)”能确定则及时填写;“配合单位”应至少包括隐患发现单位,作好问题的跟踪。
3.季度排查有新增、完成整改项目在电子台账中标明颜色区分。
第-7-页共7页
