内外网分离建设方案陕西宝鸡电厂V2.docx
《内外网分离建设方案陕西宝鸡电厂V2.docx》由会员分享,可在线阅读,更多相关《内外网分离建设方案陕西宝鸡电厂V2.docx(35页珍藏版)》请在冰点文库上搜索。
内外网分离建设方案陕西宝鸡电厂V2
中国XX集团公司内外网分离建设方案
(XX宝鸡热电厂)
2015年8月
1
概述
XX集团为贯彻落实公安部《信息安全等级保护管理办法》(公通字[2007]43号)和国家能源局《电力行业网络与信息安全管理办法》(国能安全〔2014〕317号)等相关管理规定,结合《中国XX集团信息化总体规划》和《中国XX集团信息化总体规划实施行动方案》要求,制定关于建设“中国XX集团公司内网与互联网分离”工作的要求,保证中国XX集团公司(以下简称集团公司)信息网络的安全,完善企业信息化建设。
现依据XX集团“双网分离”安全体系建设目标,对集团公司下辖二级单位(含下属三级单位)内网及互联网分离工作做如下安排:
集团公司下辖二级单位(含下属三级单位)通过对现有企业网络的结构进行调整,对各业务系统进行合理的安全域划分,区别防护,建立健全网络安全体系,防范各类安全威胁和安全事故的发生,及时处理信息安全事件,杜绝次生信息安全事故。
XX宝鸡热电厂作为XX陕西分公司下属三级单位,需要按要求实施内外网分离。
2需求分析
2.1现状
宝鸡热电厂网络如下图所示,
Ø已有一张网络,内外网没有分离;
Ø核心为两台Cisco6509,两台配置一致,冷备;
Ø数据中心到其他建筑已敷设8芯多模光纤(个别由其他建筑物转接的是4芯多模光纤)
Ø有1条200MInternet出口
2.2需求
Ø建设1套无线网络作为外网,原有网络断开Internet连接,作为内网;
Ø内外网添加必要的安全设备,更换老旧设备
Ø部署一套网络管理系统,统一管理内网设备
3外网方案
3.1整体架构设计
如下图所示,包含以下设备及功能:
Ø采用无线覆盖的方式新建一套外网系统,
Ø采用单核心方案,
Ø采用单防火墙(集成有防病毒及信息防泄漏及IPS)及单互联网控制网关(集成上网行为管理、网络审计)
Ø采用独立式的无线控制器,以及身份认证系统
Ø用户要求无线覆盖的区域(详见《3.1.2具体AP布放设计》)
新购设备如下:
序号
设备部署位置
设备型号规格
数量
说明
1
核心交换机
模块插槽5个(2个用于管理引擎)交换容量7.2Tbps/24Tbps,包转发速率2,160Mpps/7,200Mpps,24个千兆以太电口(RJ45),20个千兆以太光口(SFPLC),4个万兆以太网光口。
20个多模SFP
1
外网核心交换机
2
无线控制器
自带8个千兆电口,2个SFP复用口,默认支持32个AP,最大支持200个AP,增加64个AP许可
1
无线控制器
3
接入交换机
24端口10/100/1000Base-T自适应以太网电口交换机,4个非复用的SFP接口,1个USB2.0接口
1
DMZ区接入交换机
4
POE交换机(千兆上联24口POE,)
24口10/100/1000M自适应电口(最多支持24口PoE供电或12口PoE+远程供电),4口SFP非复用端口,每端口最大PoE功率输出30W,整机输出最大PoE功率为370W,配置2个多模SFP
1
外网终端及AP接入交换机,POE供电
5
POE交换机(千兆上联12口POE)
24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电),4口SFP非复用端口,每端口最大PoE功率输出30W,整机输出最大PoE功率为185W,配置2个多模SFP
5
外网终端及AP接入交换机,POE供电
6
单端口以太网供电适配器
单端口以太网供电适配器
2
与光电转换器配合后为单个AP提供网络连接及供电
7
身份认证软件
软件标准版,直接支持Radius身份认证,可独立运行,无须配合SAM使用;按在线终端数授权;软件本体包含100终端的授权,增加1000个终端授权
1
身份认证软件
8
有线无线一体化网管系统
提供拓扑展示,25个有线许可,100个无线许可
1
外网网管软件
9
放装AP
室内灵动天线型无线接入点,内置X-sense3灵动天线,双路双频,支持2条空间流,整机最大接入速率1167Mbps,可支持802.11a/b/g/n和802.11ac同时工作,胖/瘦模式切换、WAPI、双电口上联、PoE和本地供电,,预留USB接口。
(PoE和本地电源适配器需单独选购)
18
放装AP
10
智分AP
智分+解决方案AP主机,24个千兆POE下联接口,2个千兆上联电口,2个万千自适应SFP+上联光口。
支持最大24个微AP射频模块。
每台主机占用4个无线控制器licence
17
智分AP
11
防火墙
2U硬件,默认6GE网络接口,支持1000人以内,支持个2模块化插槽,支持4GE/4SFP/8GE/8SFP模块扩展;含专用操作系统、防火墙软件、IPSecVPN、流量管理、应用控制、用户管理;1年IPS授权与升级、AV授权与升级、URL过滤授权与升级、应用协议库升级、软件版本升级和硬件质保。
1
外网防火墙,具有防病毒、IPS、信息防泄漏功能
12
互联网控制网关
适用1500人以下网络环境;2U硬件,电口接入,含专用操作系统与上网行为管理标准软件;含一年硬件质保服务。
1年软件版本升级服务,提供新版本功能优化与性能提升价值。
URL库、应用协议库定期更新,保持对网络应用识别与管理的有效性。
1
外网上网行为管理,审计
13
服务器
2U机架式PC服务器,2颗XeonE5-2603V3CPU,16GB内存,2*1TBSAS硬盘,双电源。
含操作系统。
3
外网网管、身份认证、日志服务器
XX宝鸡热电厂外网示意图
3.2无线网络设计
为保证无线网络的稳定性,所有AP都通过PoE交换机实现上行有线接入。
配置独立的无线控制器。
配置有线无线一体化网管系统及相应许可,实现一体化管理。
3.2.1选型原则
办公楼,综合办公楼,检修楼1层,4层,宿舍楼,业修楼,每层一般在20间办公室,房间密度较高,房间深度在6~8米,并且每间办公室的办公人员在10人以下。
采用分布式部署的无线产品,将无线天线部署在办公室内,可以减少AP因穿过过多的墙体而产生较高的衰减。
从而实现优质的无线覆盖效果。
检修楼2层,3层,物资部,燃料楼,每层办公室都在12间以下,每层的房间密度较低,采用楼道放装AP的方式进行覆盖时,无线信号穿透的墙体基本可控制在1堵墙,从而信号衰减不会影响使用,因此,通过具有智能天线的无线AP可满足办公室的无线覆盖使用。
并且采用11ac放装型AP可以满足多个房间终端的高速并发接入。
部分大会议室和大办公室环境下人员密度较高,环境面积较大,为保证无线接入容量以及接效果,建议采用高性能的支持11ac协议的放装型AP进行覆盖。
3.2.2具体AP布放设计
勘测区域
楼层信息
区域
部署方案
办公楼
1L
整层
智分
2L
整层
智分
3L
整层
智分
4L
整层
智分
5L
整层
智分
6L
整层
智分
综合办公楼
2L
整层
智分
3L
整层
智分
检修楼
1L
整层
智分
2L
整层
放装
3L
整层
放装
4L
整层
智分
燃料楼
2L
整层
放装
物资部
1L
整层
放装
2L
整层
放装
宿舍楼
1L
整层
智分
2L
整层
智分
夜休楼
3L
整层
智分
4L
整层
智分
5L
整层
智分
3.2.3AP接入层设计
AP接入层,作为无线用户的终端接入设备,需要实现用户的高速接入,能够满足突发流量对带宽的要求。
本次方案设计使用了千兆POE接入交换机,实现千兆到桌面的高标准要求。
同时每台设备通过千兆线路上联到汇聚设备,并且接入设备上有足够的端口冗余,一方面保证了临时增加终端设备的需求,一方面可以用来将来对上行带宽的扩展。
同时在接入层需要开启以下功能:
然后,为了满足用户的灵活接入的方式,要求支持WEB认证的需求。
同时在接入层需要开启以下功能:
1.开启认证
为了创造良好和谐的上网氛围,我们需要对办公网中的所有用户进行接入认证,从而达到实名审计的要求。
本方案中支持两种认证方式:
802.1X认证,Portal认证。
可以根据各个楼层办公用户的实际情况,灵活选择接入方式,两种认证方式其中一种认证需要安装客户端(802.1x),首次安装稍显麻烦;其中一种不需用客户端(Portal),采用WEB认证的方式。
2.开启安全防护
所有接入交换机开启ARP攻击防御功能,有效阻断网络病毒对全网照成的影响。
3.开启设备的CPU保护功能
防止终端发起的对网络设备的攻击,对攻击报文进行限速和丢包处理。
4.端口环路防护
为了防止端口环路,在所有接入设备上开启端口环路防护功能,一旦下联出现环路,设备将自动关闭环路端口,解除环路造成的广播风暴。
5.开启网络管理功能
在接入设备上开启SNMP功能,要求能够通过网络管理软件进行远程管理和控制。
3.2.4无线热点部署设计
(1)小开间密集应用场景——智分解决方案
场景特点:
狭长走廊:
无线信号在狭长的空间中被来回的反射,形成“多径干扰”
信号覆盖:
墙壁全部采用砖混结构、有的房间有金属防盗门、信号穿透后衰减大,信号覆盖要能满足手机、PAD等低功率无线终端的接入。
性能要求:
普通办公室一般在10人以下,要满足视频传输需求,对无线的性能要求高。
解决方案:
AP智分方式综合了放装解决方案和室分解决方案的优点,并加以改良。
整体方案由无线控制器,智分AP,馈线,智能天线4部分组成,无需外置功分器、耦合器等。
部署简单,易于管理和维护,也节省了成本。
同时由于集成了两块射频卡,使得性能不再成为瓶颈。
非常适合房间网这样的密集部署环境。
(2)大开间密集应用场景——灵动天线解决方案
场景举例:
大办公室
场景特点:
人数多:
用户密度高,对用户性能要求高
空间大:
面积大,比较空旷
便利性:
终端种类多,移动性强
解决方案:
彩板房区采用高性能的产品和会思考的的灵动天线,灵动天线彻底解决传统天线存在覆盖盲区的弱点;快速、准确的识别到你的终端类型,如果是使用功率较低的手机、平板电脑等移动终端时,X-sense能够通过动态信号补偿技术
办公生产楼和图书馆采用放装式吊顶部署,AP放置于天花板上,部分楼宇由于层高较高,为了保证覆盖效果,可考虑放装式壁挂部署。
(3)小开间稀疏应用场景——WALLAP解决方案
场景举例:
分散独立办公室
场景特点:
信号要求高:
砖混厚墙,对无线覆盖效果影响很大。
美观性:
不能破坏整体装修、对美观性要求非常高。
用户少:
用户不多,无高并发终端需求。
解决方案:
分散独立办公室采用面板式AP进行部署,面板式AP采用标准的86开关面板盒规格,而且还集成了以太网口和IP电话接口。
部署简便,设备美观,整个部署过程只需要三步就能快速实现无线网络覆盖。
第一步、拆去房间内原有的有线网络的接口面板;第二步、更换原接入交换机为POE交换机;第三步、将原有网线插在迷你型上并直接安装就能即插即用。
它打破了以往无线网络建设的老旧方式,无需再拉新的网线,而是有效利用了既有的网络,将网络新建对房间环境的影响降到最低,美观性很好。
3.3无线接入认证设计
3.2.1终端智能识别的WEB认证
无线网络在提供便捷网络服务的同时,仍需确保只有合法的用户才能使用无线网络。
WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法,这种认证方法不需要用户安装专用的客户端认证软件,使用普通的浏览器软件就可以进行身份认证,是目前无线主流的认证方式之一。
而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及,网络中不再是清一色的笔记本电脑终端。
一个智能的无线网络,必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求,实时地对各种终端类型进行识别,并推送符合终端屏幕尺寸的WEBPortal页面,使用户能够更为便捷的输入用户名及密码,提升无线用户体验。
无线控制器不仅支持终端自动识别功能和WEBPortal页面推送,而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等,提供更多个性化服务。
若配合SMP认证服务器还可实现基于终端类型的角色、访问权限的划分等,帮助网络运维人员实现更为精细化的无线用户管理。
图31自适应认证页面
3.2.2基于802.1X的无感知认证
IEEE802.1X协议是一种基于端口的网络接入控制协议,主要目的是为了解决无线用户的接入认证问题。
对于基于IEEE802.11系列标准的无线局域网,通过对无线用户的身份验证,无线网络可以打开或关闭无线终端接入的接口,同时还可以根据其身份属性,为其分配动态角色和VLAN,确保用户终端接入的安全性。
在安全性上,WEBPortal认证不提供密钥的生成和交换机制,因此所有的用户流量都是以明文方式传输的,容易被截获和侦听;IEEE802.1X(WPA2-AES)符合IEEE802.11i安全标准,在用户认证的基础上,对每个报文采用不同的密钥进行逐包加密,具有更高的安全性。
在便捷性上,WEBPortal认证直接通过浏览器输入用户名及密码,整个操作过程较为简单快捷;普通的IEEE802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等,操作过程较为复杂,用户体验相对较差。
为了保证无线用户接入同时具有较高安全性和便捷性,BYOD(Bringyourowndevice)解决方案中提出了基于IEEE802.1X的无感知认证技术,用户只需要在第一次认证中安装一个快速1X配置助手,并完成首次用户名及密码的输入,以后无线终端只要发现无线信号,就会自动进行IEEE802.1X的接入认证并连接无线网络,真正实现“一次登陆,三步操作,后续无忧”,带给用户最佳的使用体验。
图32步骤1:
连接无感知认证的SSID后选择1X快速配置助手
图33步骤2:
确认运行快速配置助手
图34步骤3:
输入完后用户名和密码后,即可访问WLAN
图35手机无感知认证过程
3.2.3访客二维码认证
如接待来访的嘉宾,并需为其提供快捷的无线上网服务。
而传统的无线网络一般会在会议室、接待室等访客接待区域启用一个基于PSK认证的WLAN,并在可视区域贴放这个WLAN对应共享密码,访客的体验也是较为麻烦,不友好等,而且这个密码极易扩散,网络安全得不到保证,网络运维人员需定期的更换这个WLAN的密码和对应的标贴,极大的增加网络运维难度。
图36传统WLAN提供的密码标贴
本方案提出了更为先进的访客接待解决方案——二维码认证。
Ø访客使用移动智能终端访问无线网络后,网络的认证系统将生成专用的二维码推送到访客的终端上,如图5-15步骤1。
Ø负责接待的员工使用自己的已认证通过的合法终端对访客的二维码进行扫描并自动反馈到认证系统,如图5-15步骤2。
Ø认证系统记录下访客和对应接待者的身份信息并确认临时开户,访客和接待者收到反馈后即可直接访问网络,如图5-15步骤3。
仅需“扫一扫”就可便捷的为访客提供无线网络服务,这是无线认证技术为提供用户体验的又一次创新。
3.4安全设计
3.3.1防火墙
功能要求:
Ø基本防火墙功能
Ø传统攻击防护
ØIPSECVPN
ØSSLVPN
Ø链路负载均衡
Ø流量控制
Ø访问控制
Ø用户识别
Ø应用识别
Ø集成入侵防御
Ø集成防病毒
Ø集成网址过滤
Ø主动防御
Ø信息防泄漏
3.3.2互联网控制网关
互联网控制网管应该具有以下功能
网页访问审计与过滤
Web是互联网上内容最丰富、访问量最大的应用,然而网页内容良莠不齐,充斥许多反动、暴力、色情以及其它不健康的信息;此外,大量网络应用,如P2P,IM,网络电视、游戏等等,也借助HTTP协议或者80端口,一方面躲避防火墙的封堵,一方面携带病毒、恶意软件,为内网用户带来安全风险,挤占网络带宽。
互联网控制网关通过预分类过滤技术、URL自动分类引擎以及灵活的策略设置,对违反国家法律、危害企业安全的内容进行过滤,避免用户有意无意访问包含非法内容的网页,净化网络,减少病毒进入局域网的几率,降低企业法律风险,创造文明健康的上网环境。
应用控制
随着技术的迅猛发展,各种互联网应用层出不穷,如即时通讯(IM)、网络游戏、在线炒股以及在线音乐视频等等。
未加管理的使用,不可避免地影响员工的工作效率。
在一项调查中,超过80%的员工在上班时间做过与工作无关的工作,其中,有60%的被调查员工承认其主要是在玩网络游戏、用QQ/MSN等即时通讯软件聊天,以及炒股等等。
这些不当网络活动大大降低了员工的工作效率,造成了企业人力资源的严重浪费。
带宽管理
网络应用层出不穷,对带宽资源的占用也越来越高,特别是以P2P为代表的下载软件,如果不加限制,会严重消耗企业的带宽资源,从而影响正常的业务数据的传输。
互联网控制网关支持应用层的带宽分配与流量管理,可以针对用户或部门、按照时间段,对每一种应用协议进行带宽限制。
互联网控制网关像一台网络协议分析仪,能够识别并统计网络上有哪些类型的数据在传输,哪些应用在运行,哪些协议在使用,哪些服务器的流量占用了主要的带宽资源,哪个用户的上网行为显著消耗了带宽等。
根据这些量化的统计数据,通过预先设定若干个虚拟的带宽通道,将带宽通道与具体的用户或网络应用绑定,从而对其流量进行限制、整形,达到带宽管理的目的。
内容审计和过滤
通过互联网传递信息已经成为企业的关键应用,然而信息的机密性、健康性、政治性等问题也随之而来。
通过互联网控制网关,您可以制定精细化的信息收发监控策略,有效控制信息的传播范围,控制敏感信息的泄露,避免可能引起的法律风险。
终端控制与准入
终端设备是网络安全的主体,不良软件的使用、防护系统缺失都可能带来终端安全隐患,进而影响内网安全。
互联网控制网关设备能够通过统一下发的客户端软件,结合统一的策略配置,检测终端系统的进程、文件、注册表、操作系统及补丁、杀毒软件及病毒库等信息,制定准入规则。
查询统计与报表分析
对用户网络行为进行记录与分析,是上网行为管理产品必备的重要功能。
对日志的存留与分析,既是对国家法律法规的遵从,也是真正管理好企业员工上网、有效利用网络资源的需要。
针对用户上网行为以及相关内容查询统计,能够对用户的网络活动进行较长时间的回溯与反查,帮助管理员全面了解网络的使用情况,为改进网络管理提供详实准确的依据。
4内网方案
4.1、整体架构设计
如下图所示,
Ø内网只更新核心交换机及安全设备,不改变接入层设备及接入方式:
Ø采用双核心交换机架构
Ø防火墙(集成有防病毒及信息防泄漏及IPS,与外网防火墙一样)
Ø网络审计(包含终端准入,与外网互联网控制网关是同一设备)
Ø网管软件
Ø桌面安全管理系统
新购设备如下:
序号
设备部署位置
设备型号规格
数量
说明
1
核心交换机
模块插槽5个(2个用于管理引擎)交换容量7.2Tbps/24Tbps,包转发速率2,160Mpps/7,200Mpps,24个千兆以太电口(RJ45),20个千兆以太光口(SFPLC),4个万兆以太网光口。
20个单模SFP
2
内网核心(双核心)
2
防火墙
2U硬件,默认6GE网络接口,支持1000人以内,支持个2模块化插槽,支持4GE/4SFP/8GE/8SFP模块扩展;含专用操作系统、防火墙软件、IPSecVPN、流量管理、应用控制、用户管理;1年IPS授权与升级、AV授权与升级、URL过滤授权与升级、应用协议库升级、软件版本升级和硬件质保。
1
外网防火墙,具有防病毒、IPS、信息防泄漏功能
3
网络审计
适用1500人以下网络环境;2U硬件,电口接入,含专用操作系统与上网行为管理标准软件;含一年硬件质保服务。
1年软件版本升级服务,提供新版本功能优化与性能提升价值。
URL库、应用协议库定期更新,保持对网络应用识别与管理的有效性。
1
外网上网行为管理,审计
4
桌面管理
每终端授权,适用终端数量范围X-X,含1年升级服务(具体按桌面数定,暂定500)含移动介质管理
500
桌面管理软件及许可
5
网管软件
涵盖内网网络设备、服务器、存储管理;整个陕西分公司作为一个大网络进行统一管理,各电厂获得授权只管理自有电厂网络,每个电厂有1台数据采集服务器,总网管服务器在省分公司
1
内网网管软件
6
网闸
XX先一网闸(单向)
1
内外网通讯
7
服务器
2U机架式PC服务器,2颗XeonE5-2603V3CPU,16GB内存,2*1TBSAS硬盘,双电源。
含操作系统。
3
内网网管、桌面管理认证、日志服务器
XX宝鸡热电厂内网示意图
4.1、网管软件
完成对不同厂商的网络设备、服务器、操作系统、中间件、无线设备、虚拟化设备等IT基础架构的监控功能,也可以实现对机房环境信息的监控管理,并对各项资源进行数据采集,建模分析实现业务视角IT管理,为CIO提供信息化管理决策依据。
另外还配有知识库、自动巡检、流量分析等功能方便运维人员的日常管理工作。
4.1、桌面安全管理
桌面安全管理为用户构建能够有效抵御已知病毒、0day漏洞、未知恶意代码和APT攻击的新一代终端安全防御体系,并提供企业安全统一管控、终端硬件准入、软件准入、上网行为管理等诸多管理类功能。
Ø安全趋势监控
Ø安全运维管理
Ø恶意软件防护
Ø终端软件管理
Ø外设与移动存储管理
ØXP防护
Ø硬件资产管理
Ø企业软件统一管理
Ø终端流量管理
Ø终端准入管理
Ø远程技术支持
Ø日志报表查询
4.3、网闸
用于内外网特殊业务通讯,如确认没有该需求,建议不用网闸。
5附件设备选型清单及预算
5.1、外网设备
序号
设备部署位置
设备型号规格
数量
预算单价
预算小计
1
核心交换机
模块插槽5个(2个用于管理引擎)交换容量7.2Tbps/24Tbps,包转发速率2,160Mpps/7,200Mpps,24个千兆以太电口(RJ45),20个千兆以太光口(SFPLC),4个万兆以太网光口。
20个多模SFP
1
¥181,425.00
¥181,425.00
2
无线控制器
自带8个千兆电口,2个SFP复用口,默认支持32个AP,最大支持200个AP,增加64个AP许可
1
¥30,550.00
¥30,550.00
3
接入交换机
24端口10/100/1000Base-T自适应以太网电口交换机,4个非复用的SFP接口,1个USB2.0接口
1
¥7,665.00
¥7,665.00
4
POE交换机(千兆上联24口POE,)
24口10/100/1000M自适应电口(最多支持24口PoE供电或12口PoE+远程供电),4口SFP非复用端口,每端口最大PoE功率输出30W,整机输出最大PoE功率为370W,配置2个多模SFP
1
¥9,850.00
¥9,850.00
5
POE交换机(千兆上联12口POE)
24口10/100/1000M自适应电口(最多支持12口PoE供电或6口PoE+远程供电),4口SFP非复用端口,每端口最
升级会员 