网络安全项目网络建设方案Word文件下载.docx
- 文档编号:20857578
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:40
- 大小:102.59KB
网络安全项目网络建设方案Word文件下载.docx
《网络安全项目网络建设方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《网络安全项目网络建设方案Word文件下载.docx(40页珍藏版)》请在冰豆网上搜索。
因为只有这样才能真正实现端到端的网络性能,端到端的网络安全性,端到端的服务质量以及端到端的网络管理,从而在节省开销的同时,大大提高网络的经济效益。
广发证券在综合业务信息平台的总体设计思想和第一期建设正是体现了上述思想。
4网络设计原则
先进性
作为广发证券的新一代信息系统的承载网络,网络系统处理的信息量是十分庞大的,要求计算机网络有很高的工作效率。
而且随着业务的快速发展,系统面临的任务也愈来愈艰巨,所以,我们设计的网络在技术上必须体现高度的先进性。
技术上的先进性将保证处理数据的高效率,技术上的先进性将保证系统工作的灵活性,技术上的先进性将保证网络的可靠性,技术上的先进性也使系统的扩充和维护变得十分简单。
我们将在网络构架,硬件设备,传输速率,协议选择,安全控制和虚拟网划分等各个方面充分体现广发证券的宽带广域网网络系统的先进性。
可靠性
在广发证券的宽带广域网网络设计中,很重要的一点就是网络的可靠性,即坚固性。
在外界环境或内部条件发生突变时,怎样使系统保持正常工作,或者在尽量短的时间内恢复正常工作,在设计时对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。
安全性
随着计算机技术的发展,尤其是网络和网络间互联的规模的扩大,信息和网络的安全性日益受到重视。
面临十分严肃的安全性挑战。
我们在网络设计时,将通过访问控制列表、防火墙、IP隧道等技术来保证广发证券的宽带广域网网络系统的安全。
标准化
从发展的眼光看,计算机信息系统就是要实现信息的共享,完成不同制造厂商的设备和计算机软、硬件资源的数据交换。
为此必须建立一个由开放式、标准化的网络结构体系,满足当前可实现的技术,又能适应今后新技术的引进、开发和推广。
我们建议采用的Cisco系列产品是目前业界支持协议最多、接口介质最广泛的网络产品。
可管理性和可维护性
网络设计中,对网络主干的有效管理也是必须考虑的主要因素。
一个有效的网络管理方案不仅要包括建立各级网管中心的设备及软件,而且要包括配置各种设备的必要顾问服务。
尤为重要的是,要能帮助用户制定网管策略和网管中心运作机制。
在网络投入运行初期,提供现场顾问服务也是必须的。
在满足上述多项原则的基础上,尽可能降低工程造价,追求最优的性能/价格比。
当然,高性能与高可靠性是以高投入为代价的。
最终的方案一定是性能与价格折中的产物。
可扩展性
随着广发证券的各项业务的快速发展,网络系统面临的任务将愈来愈艰巨,愈来愈复杂。
为了适应这个变化和日新月异的计算机技术的发展,我们设计的网络十分注重扩充性。
无论是网络硬件还是系统软件,都可以方便的扩充和升级,关键设备的扩充和升级时,系统将无需中断正常的工作。
上述系统设计的原则将自始自终贯穿整个系统的设计和实现。
5解决方案
5.1网络解决方案描述
根据以上网络设计原则,我们对广发证券的宽带广域网部分作如下设计:
由上图可见,广发证券的宽带广域网中心位于计算中心,与总部OA中心、Internet等外联系统连接;
同时提供区域中心、广东地区营业部等接入。
上海、北京等12家分公司作为区域中心供本地营业部的接入;
同时,上海、北京等12家区域中心以及广东地区除分中心管理外的其他营业部(直接连接到信息中心)接入。
整个系统构成了广发证券的综合信息平台,目前主要为广发证券提供交易、办公提供数据应用的支持,同时提供IP语音平台,为将来在企业范围内的IP语音和视频应用的推广打好基础。
系统中的所有区域中心及营业部,主链路均采用中国电信的DDN,按照上述描述连接;
首选的备份链路均采用ISDN/PST;
第二份备份链路采用现有的卫星系统保持不变。
安全问题详见安全解决方案。
5.2广东数据中心的设计
信息中心是广发证券宽带广域网的数据中心和通讯中心,采用一台Cisco7507高端路由器作为主干广域网路由器,与中国电信的长途干线网连接,在本期工程中,与区域中心合OA总部的连接采用1Mbps的DDN链路,与营业部的连接采用256Kbps的DDN链路(建议)。
另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器,提供备份接入,它可以自动识别模拟信号和数字信号,调配相应的模拟modem或数字modem与之握手;
同时Cisco3662路由器还起着VoIP语音网关的作用,通过1个E1模块与上海本地的PBX相连接,提供IP电话业务。
在广域网路由器与内部局域网之间采用两台防火墙,互为热备份,完成安全防卫任务,同时提供IPSec的VPN隧道技术的支持。
信息中心的局域网采用原有CiscoCatalyst6509Switch不变,实现与各地网络之间的高速数据交换。
对于在数据中心的外联系统包括Internet和银行等均包含在统一的接入中心交换平台上,使用高端防火墙作安全隔离,接入中心交易平台使用三层交换技术和网络地址翻译技术来确保连接各个不同的单位。
5.3分公司(区域中心)网络系统
分公司是区域数据中心和通讯中心,采用一台Cisco3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接,同时提供下属营业部主链路接入;
另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器,提供与数据中心备份连接,,同时提供下属营业部备份链路接入;
;
同时Cisco3662路由器还起着VoIP语音网关的作用,通过FXO端口与本地PBX相连接,提供IP电话业务。
5.4OA总部设计
OA总部是OA等业务系统中心,采用一台Cisco3662高端路由器作为主干广域网路由器,与数据中心7506主干路由器经DDN连接;
另采用一台Cisco3662多功能路由器作为PSTN/ISDN访问服务器,提供与数据中心备份连接;
5.5独立营业部设计
其他地区的营业部目前在第一期工程时先采用一台Cisco2651多功能路由器通过1条256Kbps的DDN长途链路与信息中心或区域中心主路由器相连接,通过ISDN/PSTN进行主链路的备份。
在广域网路由器与内部局域网之间采用一台防火墙,在完成安全防卫任务。
目前这些营业部包括北京、上海、广东地区等,共87个。
5.6广域网络的备份
在数据中心配置了一台多功能Cisco3660路由器作为VoIP语音网关和ISDN/PSTN备份连接网络接入服务器,可同时容纳30条普通MODEM或数字MODEM进行备份连接,满足广发证券总的备份能力的需求。
同时还可兼作移动用户的接入访问控制服务器。
另外,我们建议采用原有的卫星线路作为第二条备份链路。
5.7IP语音
5.7.1IP语音工作原理
5.7.2语音接点的布设及PBX的选择
针对IP语音的建立,在上海数据中心的3662路由器上增加一个E1端口的语音模块,用于连接PBX;
信息中心的PBX推荐采用数字交换系统,采用该交换机还可为将来的IPCallCenter打下基础。
在区域中心和OA总部的3662则使用8线FXO的两个语音模块连接本地的PBX;
可建立VoIP的平台,作广发证券全面实施IP语音准备。
5.7.3带宽要求
一路语音在传统的TDM电讯系统中传输需占用64K带宽,而利用新的IP技术可将其压缩至10~12K。
当广域网线路的利用率超过70%的时候,网络性能将会呈线性下降。
所以,为保障网络的质量,8路并发语音所需要带宽为:
|8K*10/70%|=114K。
5.7.4对PBX的要求
采用本方案需要总部的PBX支持E1接入。
若不支持则根据具体情况需要更改为路由器的语音接口为E&
M或FX0接口。
5.8系统管理
5.8.1CISCO网络设备的管理
在广发证券的语音网络中我们配置了CiscoWorks2000LANManagement和CiscoWorks2000RoutedWANManagement,为广发证券提供配置、管理、监控和故障诊断工具。
其具有基于Web的解决方案带有管理交换和路由环境的应用。
5.8.2策略的管理
在广发证券的语音网络中我们配置了CiscoWorks2000CiscoSecurePolicyManager,是一个用于Cisco防火墙和虚拟专网(VPN)网关的可伸缩、强大的安全政策管理系统。
通过CiscoSecurePolicyManager,Cisco客户可以集中定义、分发、执行和审计网络范围的安全政策。
该产品使管理复杂网络安全部件的任务流程化,例如周边访问控制、网络地址转换(NAT)和基于IPSec的VPN。
通过CiscoSecurePolicyManager的图形用户界面,管理员可以直观地为多个Cisco防火墙和VPN网关定义高级安全政策。
在创建时,这些政策可以集中分发,从而消除了逐设备实施安全命令的代价高昂、耗费时间的实践。
此外,该产品还提供系统审计功能,包括事件通知和一个基于Web的报告系统。
作为Cisco端到端安全产品线的管理基础,CiscoSecurePolicyManager在Cisco网络内简化了安全产品和服务的部署。
同时系统还配置了CiscoQoSPolicyManager,它是一个全特性的政策系统,它简化了为企业网络配置和部署QoS政策的复杂性。
5.8.3IPVOICE管理
在广发证券的语音网络中我们配置了CiscoWorks2000VoiceManager2.0(CVM),CVM提供了基于Web的语音管理和报告的解决方案。
它具备了配置语音端口以及建立/更改VoiceOverIP网络中的拨号计划的能力。
它能自动检测网络状况,包含有检测网络故障的工具以及通话的详细资料,如通话质量、历史数据等。
CiscoVoiceManager是通过TCP/IP网络与VoIP的设备建立联系。
即用户使用通常的web浏览器(Netscape、IE)通过标准的超文本协议(HTTP)与CiscoVoiceManagerServer进行通讯。
同时,CiscoVoiceManagerServer则通过简单网络管理协议(SNMP)与支持语音的设备进行通讯。
因此也就实现了用户通过WEB浏览器来管理VoIP网的功能。
5.8.4CA网管平台
5.8.4.1系统运行状况和可用性管理
概念和范围
系统运行状况和可用性监控是确保整个IT系统顺利、高效运作的最基本的功能,他通过监控网络线路、设备、服务器、数据库和应用系统的可用性和运行状况,为其他各种ESM管理功能提供数据来源。
我们建议首期广发证券网络系统运行状况和可用性管理的范围是:
广发证券网络系统数据中心局域网络/设备管理
广发证券网络系统广域网线路/设备管理
广发证券网络系统中心关键服务器操作系统
广发证券网络系统关键数据库系统(如SQL)
对这些对象进行性能管理的目标是实时监控其关键参数的运行状态和故障情况,通过直观简洁的图形用户界面集中表现出来。
发生不同严重程度的警告和故障,以直观的发生呈现给管理员,以便及时处理。
实现方案
为了在上述范围内实现集中的可用性和故障管理,我们建议在网络中心采用一台PC服务器,通过Unicenter的相关管理模块完成可用性和故障管理功能。
另外,对操作系统、数据库和应用系统的管理需要这些服务器的参与-在这些计算机上部署CA相关管理软件。
我们建议的广发证券网络系统运行状况、可用性和故障管理由如下不同部分组成:
UnicenterNSM,负责收集管理范围内所有的网络线路、设备、服务器、数据库系统的运行状况、可用性和故障信息,通过直观用户界面实时展示给客户。
广发证券网络系统各个被管理服务器上的NSM模块负责监视本机操作系统,收集可用性和故障数据,通过管理主控台集中反映。
监控内容包括网络设备处理器、缓冲区、端口、线路故障和可用性,操作系统CPU、内存、交换区、文件系统、文件、磁盘、进程、日志文件等。
UnicenterNSMAdvancedNetworkOperations,该模块安装在管理主控台上,负责对不同网络设备、资源的特性进行进一步监控和管理。
如监控、控制局域网VLAN划分、监控网络路径可用性、基于PVC监控帧中继线路可用性和故障等等
本方案建议的系统管理功能从各种不同的来源采集数据:
广域网络内的各地分公司安装一套UnicenterNSM,负责采集本网络内的有关系统信息,同时受信息中心的UnicenterNSMConsole统一管理;
网络线路和设备可用性和故障管理通过SNMP协议,采集网络设备的MIBII以及设备专用的MIB信息库完成;
同时通过ICMP协议定期Ping各个节点,探测设备可用性;
系统、数据库和应用系统故障和可用性管理由安装在被管机上的模块监视系统,收集数据。
利用Unicenter的Agent技术透过SNMP向管理主控台传递数据。
5.8.4.2性能管理和容量规划
性能管理主要是针对IT系统中网络线路和设备、操作系统和数据库系统的性能情况进行监控和分析的。
与系统可用性和故障不同,系统性能降低虽然不会立刻导致系统瘫痪,但延长了业务的响应时间,浪费了系统软件的投资和业务人员的时间,降低了工作效率。
如果系统性能问题长时间得不到解决,还可能积累起来,形成严重的故障。
因此,系统性能管理也是确保整个IT系统可靠、稳定、高效运作的关键,是网络正常运行的重要的部分之一。
为了实现有效的性能管理策略,广发证券网络系统的技术支持人员应该从两个基本方面进行工作:
日常系统性能监控,发现和处理各种性能问题;
定期进行长期的性能趋势分析和规划。
对这些对象进行性能管理的目标是为每一项性能参数设置门限值,产生实时和历史的性能报表,性能指标超过门限值时产生报警并通知事件管理功能(实现自动响应动作和通过帮助台的人工响应)。
该目标也包括端到端的响应时间监控。
对性能管理的高级目标是通过性能管理功能提供的专家建议和性能优化工具,帮助管理员更快、更正确地进行性能调整。
为了在上述范围内实现集中的性能管理和容量规划功能,我们建议在中心采用两台PC服务器,通过Unicenter的相关性能管理模块完成性能管理功能。
使用两台服务器做事件管理是为了增加冗余度,提高系统可用性和可靠性。
建议该服务器与系统运行状况和可用性管理共享硬件设备。
另外,对操作系统、数据库和应用系统的性能管理需要这些服务器的参与-在这些计算机上部署CA性能管理软件。
我们建议的广发证券网络系统性能管理由以下不同部分组成:
UnicenterPerformanceManagement,负责收集管理范围内所有的网络线路和设备的性能数据,集中保存、汇总这些数据,生成实时和历史性能报告,检测和记录性能问题,并通过事件管理功能自动响应,通过帮助台系统人工响应;
本方案建议的性能管理功能从各种不同的来源采集数据:
网络线路和设备性能管理通过SNMP协议,采集网络设备的MIBII、RMONV1、RMONV2以及设备专用的MIB信息库完成;
系统和数据库性能管理由安装在被管机上的模块收集数据,进行性能调整。
他们之间通过CA通用服务CAFT数据传送机制传输数据,采集的数据包括CPUUtilization、DiskInfo、FileAccessinfo、BufferActivity、SystemCallStatistics、MemoryFreeingActivity、Message&
SemaphoreActivity、PagingActivity、Queuelength、MemoryUsage、SwappingActivity、TerminalActivity、TotalLoggedinUsers、Filestoreusage、Processinformation等等
5.8.4.3角色和责任
广发证券网络系统ESM性能管理功能主要有三种业务人员:
技术支持、日常操作和管理。
技术支持人员负责性能管理策略的制定和实施过程;
日常操作人员通过性能管理工具进行日常的性能监控、和性能问题处理;
管理人员通过性能分析报表完成性能趋势分析和容量规划。
技术支持人员定制性能管理策略并通过性能管理软件部署这些策略,操作人员监视日常性能状况,出现性能问题后调用自动处理过程进行调整,或者通过事件管理或帮助台系统通知技术支持人员,技术支持人员人工优化解决性能问题。
历史性能报表提交管理人员,作为趋势分析和容量规划的依据。
5.8.4.4业务流程
性能问题处理流程
该流程定义日常工作中性能参数超过定义的门限值时采取的步骤和动作。
性能管理软件监测到性能超过定义门限,把问题自动报告到事件管理。
事件管理根据问题性质在三种处理方式中选择:
执行预定义的调整和修复动作
通知技术支持人员手工处理
自动在帮助台系统生成问题定义,由帮助台系统分派、跟踪问题的处理。
日常操作流程
该流程定义操作人员日常对网络、系统和应用性能管理的监控和处理过程。
性能报表处理流程
该流程定义历史性能报表的产生和处理过程。
对网络、性能和应用的性能数据采集器定期把数据上送到管理主控台,管理主控台自动存储汇总这些数据。
技术支持人员定期生成性能月报,并提交给规划管理人员,管理人员审查性能报报告,进行容量规划。
5.8.4.5管理方案
前一章按照不同的管理功能和流程描述理CA推荐广发证券网络系统应该部署的功能、范围以及实现方案。
本章从软硬件方案的角度描述CA实现这些功能所采取的方案。
硬件要求
在我们的管理方案中,ESM的管理利用广发证券网络系统现有的网络设施实现ESM相关功能,同时需要增加下列服务器资源:
(1)网络系统主控台一台(位于广域网中心)
建议采用高档PC服务器作为系统管理机,分别担任不同管理功能的服务器和主控台。
oIntelPentiumIII666MHzorhigher
o1024MBRAM
oEthernetNIC
oColor1024x768SVGA
oCD-ROMdrive
oMinimum40GBSCSIharddisk
oWindowsNTServer4.0withServicePack4orwindows2000server
oMS-SQLServerv6.5orhigher
oMicrosoftExcel
oMicrosoftInternetInformationServer4.0
oTCP/IPconnectivity
oSNMPserviceenabled
(2)各地分公司建议采用高档的PC机做本地管理中心
oIntelPentiumII266MHzMMXminimumorhigher
o256MBRAM
oMinimum20GBharddisk
(2)各营业部建议采用废弃的PC机做本地信息收集机
软件配置
1)主控台上部署如下产品,完成系统运行状况和可用性管理、性能管理和容量规划、事件管理功能。
UnicenterNSM,网络、服务器、数据库的运行状况、可用性和故障管理模块;
并结合安装在各分公司的子模块和客户端上的Agent统一进行日志管理和事件管理。
UnicenterAdvancedNetworkOperations,该模块安装在管理主控台上,负责对不同网络设备、资源的特性进行进一步监控和管理。
UnicenterPerofrmanceManagement,对网络、服务器性能进行管理的模块。
2)在各地分公司的本地管理中心上:
UnicenterNSM,作为广域网中心的子模块,负责本地分公司和营业部的网络、服务器、数据库的运行状况、可用性和故障管理模块;
并结合安装在各客户端上的Agent统一进行日志管理和事件管理。
6性能分析
6.1先进性
我们在广发证券宽带广域网系统中所采用的Cisco7500系列,Cisco3662系列等都是Cisco公司的高档高性能产品。
它们功能强大,性能卓越,提供了高性能,高可靠性,高扩充性和灵活简易的管理功能。
传统的网络层交换中,每个数据包要顺序经过多次任务处理,因而会影响网络性能,并且不保留网络的连接状态,如下图所示:
NetFlowSwitching旨在优化CiscoIOS网络层的交换性能,NetFlowSwitching可以确定互联网中端到端的数据流,仅仅对于数据流中的第一个数据包进行处理,然后基于端到端的连接进行数据包的交换,如下图所示。
利用Cisco在其整个产品系列中实现的NetFlow功能,当网络节点大量增加时,我们仍然可以得到高的包吞吐量。
NetFlowSw
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 项目 网络 建设 方案