《校校通工程深化方案.doc》由会员分享,可在线阅读,更多相关《校校通工程深化方案.doc(56页珍藏版)》请在三一文库上搜索。
1、朝阳区教育“校校通”工程深化设计方案(网络中心)朝阳区教育“校校通”工程深化设计方案(网络中心)v3.10(三层)北京北控电信通信息技术有限公司2006年2月目 录一.网络中心深化设计31.业务网深化设计方案31.1业务网应用需求分析31.2业务流量需求分析31.3分层的网络设计方案51.4网络拓扑结构图91.5原有设备的利旧101.6原有网络的割接121.7IP地址路由规划深化设计121.8交换设备以及计算机系统时间同步142.安全系统深化设计方案152.1安全系统需求分析152.2防火墙系统深化设计162.3网络入侵检测系统深化设计172.4网络漏洞扫描系统深化设计182.5网络防病毒系统
2、深化设计182.6朝阳区教育信息网网络安全拓扑图193.服务器存储系统的深化设计203.1需求分析203.2服务器的安装与功能分配213.3服务器集群的配置253.4存储系统的深化设计523.5数据备份系统的安装与配置543.6服务器存储系统结构拓扑图55一. 网络中心深化设计1. 业务网深化设计方案1.1 业务网应用需求分析根据朝阳区教育“校校通”工程建设的总体规划,建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的,能够实现全区资源共享、互连互通的网络,该网络的基础是一个利用光纤搭建的基于SDH技术的多业务传送平台(MSTP),我们将其称之为底层传送网或者简称为传送网。而业务网(IP网)
3、是承载于传送网基础之上的数据网络,因此业务网的建设与传送网的业务走向和网络结构有密切的关系。在传送网的建设规划中,以教委信息中心为全部网络的业务发起和终结主节点,传送网的骨干层有五个核心节点,利用10G带宽的链路构建核心主干网络,全部的业务在教委信息中心落地。所以在业务网的建设中网络中心就设置在教委的信息中心,这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。1.2 业务流量需求分析我们根据以往校园网建设经验,并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需
4、求作如下分析。朝阳教育信息网业务流量主要分为两个方面:一方面为网络内部的FTP服务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用,这是相对主要的业务流量。另一方面,Internet互联网出口的浏览查询应用,与市教育信息网内网和区信息平台的公文传递、资源调用等应用,这是相对次要的业务流量。1.2.1 外网流量需求分析针对上述需求,我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能,出现大容量的数据上传、下载的机会相对较少,因此根据以往的经验,通过200M带宽的链路连
5、接Internet就可以满足需要。朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递,不会占用大量的带宽,所以在区公共信息平台出口上的流量也不会太大,而与市教育信息网内网的数据流量主要是些资源的调用,这部分流量的带宽由市教育信息网统一安排。1.2.2 内网流量需求分析目前朝阳区教育信息网上的应用大致分为:网站发布、社会教育、学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、网络视频会议、网络视频教学系统、IP电话应用(VOIP)、视频点播、资源库调用等,我们对以上流量进行分析,将这些流量按照学校通过教委网络中心的流量、学校之间直接流量来分类。现有的应用中,
6、以一个标准学校为例,将每个应用的流量走向情况分析如下:现有应用通过教委的流量学校之间流量网站发布/社会教育及学校及学生家长沟通流量大流量较小教委FTP服务流量大无系统内部的电子邮件流量大流量较小学校的FTP服务无流量大教育管理信息库CMIS流量大流量较小网络视频会议系统流量大流量大分校与主校之间交流无流量较大视频点播系统流量大流量较小IP电话系统流量大流量大学校的资源库应用系统无流量大教委的资源库应用系统流量大无从上表分析,我们可以看出在朝阳区教育信息网中,对于目前网络而言,大部分的数据流量都是由学校到教委之间的流量,学校与学校之间的流量相对较少,然而随着网络规模的扩大,各种应用的深入。学校与
7、学校之间的业务流量将近一步增大,所以在业务网络的设计中在考虑网络中心设备的高硬件性能、高可靠性的同时必须兼顾今后网络的可扩展性需求。1.3 分层的网络设计方案根据以上对业务网的需求的分析,并依据高可靠性、高实用性、高可扩展性、高安全性等网络设计原则。我们将朝阳区的业务网设计为典型的三层网络拓扑结构,既将业务网分为核心层、汇聚层、和接入层。其中核心层的主要功能是实现数据的高速交换和转发,其选型和设计任务的重点是设备的冗余能力、链路可靠性和高速的交换能力。汇聚层的主要任务是提供对核心层设备的访问,汇总接入层的数据,并负责选择到不同目的地的最佳路径,利用汇聚层设备的路由功能可以将那些学校之间的数据流
8、量直接转发,不必再经由核心层设备处理从而大大减轻了核心层设备的压力。其设计的重点是设备的高密度接入能力和强大的二、三层交换、路由处理能力。由于本次工程中所有数据业务都要经由教委信息中心落地,所以我们将把汇聚层设备和核心层设备都部署在教委的信息中心,信息中心就成为业务网的网络中心。接入层就是具体接入学校,设备的选择主要考虑交换机支持的 802.1Q VLAN数量,以及端口的转发能力。业务网的建设,分为出口网络、核心网络、汇聚网络、接入网络。其中核心网络又包括主核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块等。1.3.1 出口网络设计根据用户需求,朝阳区教育信息网的出
9、口设计为两部分,一部分指的是上连到北京市教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet),另一部分是指连接到朝阳区政府公用信息平台。即朝阳区教育信息网有三个出口,分别为:1、 北京市教育信息网(内网)2、 通过北京教育信息网上连到国际互联网(Internet)3、 朝阳区政府公用信息平台主要出口为北京市教育信息网(内网)和Internet,辅助和备份出口为朝阳区政府公用信息平台出口(即连接到朝阳区信息办的链路)。三个出口均连接到出口网络中的利旧设备Cisco4003交换机上(网络割接之前可用性能相近交换机替代)。具体出口连接建议说明如下:一、 北京市教育信息网出口(内
10、网,Internet)1、朝阳区教育信息网到北京市教育信息网的出口为两条千兆物理链路,市教委会放置两台设备在朝阳信息中心:Cisco 7609Sup720Cisco Catalyst 4506 Sup V 。朝阳上连的设备为Cisco7609 Sup720,具体端口1000Base-SX和1000Base-T都可以,有2个。2、建议到北京市教育信息网内网的流量和Internet出口流量的线路分开连接,即:一个端口为北京市教育信息网(内网)端口,另一个端口为Internet出口端口,Internet流量的质量根据朝阳教育信息网的需求,由市教委统一的带宽管理设备进行管理,从而保证朝阳区的Inter
11、net带宽需求。这样一来对于朝阳教育信息网来说可以很好的区分到北京市教育信息网内网的流量和Internet(其他外网)的流量,从而更加便于对业务流量的分类和监管。3、由于朝阳教育信息网所用的IP地址为市教育信息网分配的合法IP,所以朝阳教育信息网到北京市教育信息网(内网,Internet)的两条千兆链路不需要进行NAT。但为保证朝阳教育信息网内部安全,建议在到北京市教育信息网(内网,Internet)的两条千兆出口链路上分别放置两台Quidway Secpath1000F千兆防火墙,对朝阳教育信息网内网进行保护。二、 朝阳区政府公用信息平台从朝阳信息中心的传输网设备OpCity8930上下业务
12、,即传输网设备与出口交换机Cisco4003相连,为了安全保证,在传输设备与Cisco4003之间放置专用NAT(MA5200)设备及千兆防火墙。1.3.2 核心网络设计主核心交换区块:由两台核心交换机S8512组成,两台核心路由交换机之间通过link-aggregation(端口聚合)技术绑定两条10G链路,从而构建了双万兆带宽网络核心交换平台。两台核心交换机分别以两条双千兆绑定链路与汇聚层设备Cisco6506相连。两台主核心交换机负责整个业务网的数据交换工作,为了保障网络中心核心设备的正常运行,我们将通过主核心设备双机冗余,主要路由交换板卡、电源均采用冗余备份的方式配置,以提高设备的可靠
13、性。在两台核心路由交换机上运行VRRP虚拟路由协议,当任何一台核心路由交换机发生故障时,另一台核心路由交换机立即接管所有的工作。VRRP协议是一种热备份路由协议,应用于双机热备,其工作原理为:VRRP协议将系统中两台路由交换机组成VRRP组,该组拥有一个虚拟缺省网关地址。在任何时刻,一个组内只有控制虚拟网关地址的路由交换机是活动的(master),并由它来转发数据包,如果活动路由交换机发生了故障,将选择另一个优先权较低的冗余备份路由交换机(backup)来替代活动路由交换机。由于网络内的终端配置的是VRRP虚拟网关地址,因此在它们看来,虚拟路由交换机没有改变。所以主机仍然保持连接,没有受到网络
14、中单点故障的影响,这样就较好地解决了路由交换机切换的问题。提高了核心交换区块的可靠性。关键应用服务器区块:主要由SAN网络存储系统备份系统和服务器集群系统组成,在原投标方案中我们建议利用教委已有的CISCO6509充当该区块的主交换机,由于该CISCO6509现正在负责原有网络的连接任务,所以在工程实施过程中可以租用或借用其他同级别的交换机代替。关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连主核心交换区块,以起到链路冗余备份和负载分担的功能,提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。网管网络区块:主要负责整个网络的管理和监护,它采用带外管理与带内管
15、理混合的模式,通常带内管理组网比较简单、灵活,但却要占用承载业务流量的带宽。带外管理不占用承载业务的带宽,网管网络和其他网络设备之间独立成网,该区块的主交换机由利旧的CISCO4006担当,(因为同样的原因该交换机正在使用中,所以也必须考虑替代问题。)而主要网管软件采用华为3COM的iManager Quidview网管系统进行网络管理,对于网络中心的其他网管子系统如:传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等,分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如CISCO6509等设备可由CISCO自带的Works
16、2000网管软件管理,对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件,如Sniffer等来监控。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况,可在第一时间检测到故障。并发出报警讯息,便于网管人员快速准确的排除故障。大流量应用服务器负责提供应用教学资源,该区块由若干服务器集群组成,这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。以起到链路冗余备份的功能提高网络的可靠性。1.3.3 汇聚网络设计将两台利旧的CISCO6506交换机配置在网络中心的核心层与接入层之间充当汇聚层设备,利用其高密度的千兆光纤接口连接由底层传送设备下来
17、的20个GE端口,两台Cisco6506之间采用双千兆链路绑定的方式配置成带宽达到2G的链路,每台cisco6506通过两条双千兆绑定链路分别以UPLINK方式上连两台核心交换机8512,这样在核心层与汇聚层之间形成总带宽达到8G的交换链路,以进一步提高网络的性能和增加网络的可靠性,同时满足由接入层访问数据中心的总带宽不得小于6Gbps的招标要求。Cisco 6506交换机主要用于将接入层的数据进行汇聚并负责分发,或是上传到核心层中或是转发到其他接入层站点,以起到承上启下的数据传输作用和路由分发功能。因此它不但要提供高密度高带宽的接口,还要具备高性能的多层交换能力,能够将一些不需要访问核心层的
18、数据流量通过汇聚层设备转发,这样既提高了网络的效能,又减轻了对核心层网络设备的压力。但由此对Cisco 6506交换机的要求将大幅提升,原有的低速引擎已经不能满足新的性能需求,必须对其进行升级改造。 汇聚层交换设备与传送网的MSTP设备相连,担负着传送网上的数据业务落地的重任。该区块主要设备为传送网的MSTP设备OPCITY 8930,它通过20条千兆光纤链路分别与两台汇聚交换机相连。根据交流,甲方提出要在学校上连教委信息中心的网络带宽中预留2M的安全监控端口,和10M的考试监控端口以及相应的视频带宽,这些需要在传送网技术方面做相应的时隙划分、和端口预留等工作我们将在传送网深化设计方案中给予具
19、体描述。1.3.4 接入网络设计接入层交换机可根据校园网建设的实际情况分为三层交换机和二层交换机,对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能,将网络风暴控制在学校内部,而通过静态路由的方式访问核心层,对于拥有二层交换机的学校,据我们调研学校并不多,可考虑更换三层设备作为接入交换机,或者每个学校作为一个VLAN通过默认网关访问核心层。1.4 网络拓扑结构图(注:本网络拓扑图仅为结构示意图,具体设备和连接方式以实际情况为准。)1.5 原有设备的利旧根据客户要求对原有设备进行利旧,我们在网络中心业务网的深化设计方案中已经对利旧设备的用途做了详细描述,现就这些设备的现状和需要升级或者
20、添加的功能模块做一下说明。朝阳区现有可利旧的设备包括一台思科6509,两台思科6506和一些思科4000系列的三层交换机。下表是主要可利旧设备的清单目前主要可利旧设备清单型号描述数量信息中心核心节点交换机WS-C6509-1300AC=Catalyst 6509 Chassis w/ 1300W AC Power Supply1WS-X6K-S2Catalyst 6500 Supervisor Engine-2, 2GE1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)2WS-G54861000BASE-LX/LH
21、 long haul GBIC (singlemode or multimode)6WS-G5484=1000BASE-SX 6朝阳教委核心节点交换机WS-C6506-1000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WS-X6K-S2Catalyst 6500 Supervisor Engine-2, 2GE1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)2WS-G54871000Base-ZX extended reach GBIC(singlemod
22、e)1WS-G54861000BASE-LX/LH long haul GBIC (singlemode or multimode)7WS-G5484=1000BASE-SX 1广播局核心节点交换机WS-C6506-1000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WS-X6K-S2Catalyst 6500 Supervisor Engine-2, 2GE1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)1WS-G54871000Base-ZX exten
23、ded reach GBIC(singlemode)2WS-G54861000BASE-LX/LH long haul GBIC (singlemode or multimode)6WS-G5484=1000BASE-SX 0在深化设计方案中思科6509用来连接关键服务器区的20台应用服务器,所以至少需要20个GE端口,而目前6509只有16个GE端口,所以需要增加一块8个GE端口的板卡。两台6506用作汇聚层交换机,分别连接由骨干传输设备下来的20个GE端口,同时分别利用两条双千兆链路上连核心交换机。而现在两台6506上只有24个GE端口,因此也需要增加三块8GE端口的板卡。另外一个需要注意
24、的问题是三台思科设备的引擎都是低速的引擎,而作为汇聚层设备高速的交换能力是主要的选型指标之一,因此建议将两台6506的交换引擎升级增加交换矩阵模块,该交换矩阵模块将使6506的交换能力达到256G,可以满足高速数据交换的要求。下面是需要升级和增加的模块一览表:需升级和增加的模块清单型号描述数量信息中心核心节点交换机WS-X6500-SFM2Catalyst 6500 Switch Fabric Module 21WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)1WS-G5484=1000BASE-SX 12朝阳教委
25、核心节点交换机WS-X6500-SFM2Catalyst 6500 Switch Fabric Module 21MEM-MSFC2-128MBCatalyst 6000 MSFC-2 Mem, 128MB DRAM Option1WS-C3512-XL-ENCatalyst 3512 XL Enterprise Edition1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)1WS-G5484=1000BASE-SX 16广播局核心节点交换机WS-X6500-SFM2Catalyst 6500 Switch Fa
26、bric Module 21WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)2WS-G5484=1000BASE-SX 161.6 原有网络的割接教委信息中心正在负责30余所学校的Internet接入工作,在本次工程的施工过程中要求这30余所学校的网络不得中断,因此负责该30余所学校网络连通的设备如CISCO6509等交换机不能另做他用,只有当工程竣工以后,网络试运行正常时,才能将原有的网络割接到现有网络中。在这个过程中只有通过借用或者租用其他同档次的交换机替代的方式来解决问题。在本次工程中这些学校都是区域网络中的
27、一个节点,所以在施工过程中对这些学校按原计划铺设光纤配置传输设备,不会影响到学校网络的正常连通。待割接完毕后将空闲下来的交换设备按设计方案应用到业务网络中去。这样即保证原有的网络不会中断,又最大限度的保护了前期投资节约了成本。关于朝阳教委新址的网络接入问题,为了保证在施工过程中朝阳教委所带的网络不致中断,待朝阳教委移至新址后,优先铺设一条光纤连接到教委信息中心的核心交换机上,当工程完工后朝阳教委所带的10于所学校通过传送网的透传直接连到信息中心,而朝阳教委到信息中心的光纤则予以保留。1.7 IP地址路由规划深化设计1.7.1 IP深化设计朝阳教育信息网所使用的IP地址由北京市教育信息网统一进行
28、分配,根据目前确定的分配给朝阳教育信息网的IP地址,我们在深化设计中给出如下设计:北京市教育信息网分配给朝阳教育信息网的IP地址全部为合法IP,共1个半的B类地址。在此种情况下,朝阳教育信息网内的所有单位均使用真实IP。包括朝阳教育信息中心,朝阳教委新办公网及所有接入学校,每台上网的设备均使用真实IP,使得所有的连网设备都具有可溯性。在此种情况,我们设计IP地址的使用情况大致如下:1、接入学校约为240所,每个学校根据信息点数和电脑数量的不同分别可分配1-3个C类的地址。点数少的学校可把一个C类地址分成多个子网给多个学校,点数及上网电脑多的学校可分配多个C类地址,这样平均下来,我们预计绝大多数
29、学校使用一个C类地址(254个可用地址)即够用。2、根据用户需求,建议分配给每个学校的地址段中拿出2-5个地址作为学校可对外发布的地址(大校前5个可用IP地址,普通学校前2个可用IP地址)。学校的发布地址由中心统一管理,学校在需要的时候上报信息中心开通。学校的其他IP地址由中心作策略一律不允许对外发布。3、信息中心预留10个C类地址(包括办公及各类服务器,所有的服务器均使用真实IP,无须再做NAT)。4、朝阳教委预留4个C类地址(局机关办公网络)。以上的IP地址分配方式大致只用了1个完整的B类地址,还有半个B类地址可用,可以根据实际情况再进行分配。有关“合法IP地址的问题”市教委信息中心会召开
30、会议或者通知方式进行说明。现在可以确定的是,经过合理的IP地址规划,即保证每台接入网络的计算机都有合法IP地址 ,又保证IP地址的使用有效性,不闲置不浪费。朝阳区教育信息网到市教育信息网络(内网,Internet)的出口不需要进行NAT,但到朝阳区政府公用信息平台(朝阳区信息办)需要NAT转换。1.7.2 路由规划建成后的朝阳教育信息网的业务流量包括学校间的流量和从学校到信息中心的流量,业务流量将在信息中心落地和进行路由交换。鉴于这一典型的业务集中式网络,每个接入单位(学校)都有三层交换设备,因此可以将广播域控制在接入单位内部,为每个接入单位分配连续的地址网段,以静态路由的方式指向网络中心的汇
31、聚层设备。信息中心的汇聚层设备和核心交换设备之间启用OSPF动态路由协议,构成骨干区域area 0,负责所有的路由转发工作,这样既可保证学校IP地址的相对固定和信息中心IP地址使用的灵活性又可实现路由的快速收敛。网络中心三个出口的路由可采用缺省静态路由指向,或根据对端接入要求采用动态路由协议。1.8 交换设备以及计算机系统时间同步华为的SYNLOCK V3 BITS设备提供时间输出接口,该接口为标准的以太网接口,因此我们将其作为此次时间同步方案的一级时间服务器。在网管网络中设置一台服务器,作为网络中心的二级时间服务器,该服务器配置两块网卡,通过两条链路分别连接一级时间服务器SYNLOCK V3
32、的时间输出接口,和网管网络交换机,为该二级时间服务器设定相应的IP地址,网络中心的核心骨干交换机S8512和其他利旧的思科交换机都支持时间同步协议NTP,因此利用以太网络,只要可以访问二级时间服务器的IP地址,即可以得到时间同步信息,并将其传送到其他网络设备和计算机系统中。网络中心内所有的工作站、服务器等计算机系统可以大致按操作系统分为UNIX、LINUX操作系统,WINDOWS操作系统,对于UNIX和LINUX操作系统本身支持NTP协议,可以直接通过IP地址访问时间服务器获得时间同步,而对于WINDOWS系统尤其是WINDOWS 2000 和WINDOWS XP操作系统不提供NTP服务,因此
33、必须配备相应的NTP客户端软件来同时间服务器进行时间同步。2. 安全系统深化设计方案2.1 安全系统需求分析朝阳区教育信息网按功能和防护区域可划分为:外网和内网。我们按照不同区域的安全等级,以及安全特性来规划不同的安全防范措施。n 外网所谓外网,我们将其分为两部分,一部分指的是上连到北京市教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet),另一部分是指连接到朝阳区政府公用信息平台。出口均设在朝阳教育信息网的出口网络中的Cisco4003上。出口网络是朝阳教育信息网同外部网络的唯一接口,与北京市教育信息网是双千兆链路连接,一路接北京市教育信息网(内网),一路通过北京教育信
34、息网上连到国际互联网(Internet)。为保证朝阳内部网络的安全,建议在这两条千兆链路上分别采用两台千兆防火墙,作为朝阳教育信息网的对外安全防护。在到朝阳区政府公用信息平台的出口链路上部署专用NAT设备和千兆级防火墙来提供地址转换和安全机制。同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对所有进出朝阳教育信息网的数据信息进行甄别,以提防外部人员的恶意入侵和破坏,以及对不良网站、非法信息进行阻隔。根据用户需求,朝阳教育信息网基本防护策略为:由内向外的连接基本允许,但由外向内的访问和连接一定要经过审核。n 内网所谓内网,我们认为可以分为接入网络和核心网络两部分。建议在朝阳教育信息网内网中
35、的核心交换机和汇聚交换机上通过ACL屏蔽掉Ping,Telnet,NetBIUE等服务和协议(特定的用户可放开)。l 接入网络由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理,每一个学校或用户分配不同网段的IP地址,在核心节点处的多层交换机上利用VLAN技术和ACL 对这些不同子网进行策略路由,以达到最理想的网络安全。l 核心网络核心网络包括:核心交换网、网管网络和数据中心(IDC)。核心网络是整个朝阳教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位,它的安全系统应从以下几方面着手设计:1) 防火墙防范来自
36、外部和内部的网络攻击和破坏。2) 防拒绝服务攻击使用防火墙来防范拒绝服务型攻击。3) 漏洞扫描系统时刻监控网络以及服务器的安全漏洞。4) 入侵检测系统专门对服务器集群进行探测来防范并记录非法和危险的网络操作。5) 网络防病毒系统设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。2.2 防火墙系统深化设计u 防火墙分布位置方案采用六台华为Quidway SecPath 1000F 防火墙和一台利旧的NETEYE千兆防火墙,配置在朝阳教育信息网网络中心的5个逻辑地点,构成整个业务网络的防火墙系统。具体分布连接如下:1在出口网络中的Cisco4003到北京市教育信息网(内网)的千兆链路
37、上部署一台SecPath 1000F千兆防火墙。对朝阳教育信息网内网进行保护。2在出口网络中的Cisco4003到Internet的千兆链路上部署一台SecPath 1000F千兆防火墙,对朝阳教育信息网内网进行保护。同时Internet服务器区的WWW、MAIL、FTP、DNS等对外服务器连接在该防火墙的DMZ区。3在出口网络中的Cisco4003到朝阳区政府公用信息平台的链路上设置一台NETEYE和一台专用NAT设备。具体连接: NETEYE放置在出口网络的Cisco4003到朝阳区政府公用信息平台的传输设备的链路上。内网卡接Cisco4003,外网卡接NAT设备(MA5200);专用NA
38、T设备(MA5200)的一个千兆口接NETEYE,另一个千兆端口与传输设备OpCity8930相连。4网管网络到核心网的接口处设置两台SecPath 1000F:每台SecPath 1000F的千兆外网卡分别与核心网的两台Quidway S8512相连,每台SecPath 1000F的千兆内网卡连接到网管网络的Cisco4003,两台SecPath 1000F之间通过1GE端口相连,两台SecPath 1000F做负载分担/冗余备份,对网管网络进行保护。5数据中心的关键应用服务器区到核心交网的接口处设置两台SecPath 1000F:每台SecPath 1000F的千兆外网卡分别与核心网的两台
39、Quidway S8512连接,每台SecPath 1000F的一块千兆内网卡连接关键应用服务器区的Cisco6509,两台SecPath 1000F之间通过1GE端口相连,两台SecPath 1000F做负载分担/冗余备份,对关键应用服务器区进行保护。u 防火墙配置在防火墙设置上我们按照以下原则配置来提高网络安全性:1)根据总体安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对内网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则和“由内向外的连接基本允许,但由外向内的访问和连接一定要经过
40、审核”的策略。2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。4)在防火墙上进行防拒绝服务攻击(DoSDDoS)配置。5)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。通过对以上5个地点配置防火墙,并在网管网络中安装一台防火墙集中管理服务器,对处于不同子网中的多个防火墙进行集中管理和配置,就组成了朝阳教育信息网的防火墙系统,构成了整个朝阳教育信息网安全防护的第一道屏障。防火墙系统连接见
41、朝阳教育信息网网络安全连接图。2.3 网络入侵检测系统深化设计每台NISD_1000E配置2个1000BASE-T标准监控接口,控制中心设在网管网络中的一台服务器上。NISD_1000E的配置分布如下:1. 出口网络与核心网之间部署一台NISD_1000E2个GE探头分别配置在出口网络中的Cisco4003与两台核心交换机S8512相连的两条千兆链路上。2. 关键应用服务器区与核心网之间部署一台NISD_1000E2个GE探头分别配置在关键应用服务器区与核心网络之间的两台防火墙后面。2.4 网络漏洞扫描系统深化设计在内网中采用一套先进的网络安全性分析系统ISExplorer漏洞扫描系统。网络安
42、全性分析系统ISExplorer可安装在一台笔记本电脑上,定期对不同网段的工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。2.5 网络防病毒系统深化设计1)在网管网络中的一台服务器上安装Symantec AntiVirus Corporate Edition网络版杀毒软件的系统中心,负责管理网络中心不少于100台的服务器和30台PC机。2)在网络中心的主机上安装Symantec AntiVirus Corporate Edition网络版的服务器端和客户端。3)安装完Symantec AntiVirus Corp
43、orate Edition网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4)Symantec AntiVirus Corporate Edition系统中心负责整个网络中心的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到Symantec全球网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它100多个服务器端和30个客户端,并自动对Symantec AntiVirus Corporate Edition杀毒软件网络版进行更新。采取这种升级方
44、式,一方面确保网络中心内的Symantec AntiVirus Corporate Edition杀毒软件的更新保持同步,使整个网络中心都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。2.6 朝阳区教育信息网网络安全拓扑图3. 应用服务系统深化设计3.1 需求分析服务器作为整个系统硬件的核心,承担了整个系统运行数据的建立、存储、查询、操作、备份以及整个后台应用程序的运行任务根据客户的要求,从业务上我们把应用分为数据库服务、INTERNET应用服务、办公管理服
45、务、大流量数据服务,计费管理服务和网管服务等。WEB服务是以服务器建立起供广大教师和学生登陆及浏览的WEB页面,提供各种教育信息、新闻、实事动态、多媒体教学资源库、课件制作等等,随着信息和资源的积累,WEB服务器会需要比较大的空间来存放这些数据。而这些数据的特点是文件比较小,但是同时并发的数量众多,这就要求服务器和存储设备都具有高速、稳定、高数据吞吐量的性能。对于存储设备来说,基于全光纤结构的SAN架构可以满足这种需求。Internet的快速增长使多媒体网络服务器,特别是Web服务器,面对的访问者数量快速增加,网络服务器需要具备提供大量并发访问服务的能力。因此对于提供大负载Web服务的服务器来
46、讲,CPU、I/O处理能力很快会成为瓶颈。 简单的提高硬件性能并不能真正解决这个问题,因为单台服务器的性能总是有限的,一般来讲,一台PC服务器所能提供的并发访问处理能力大约为1000个,更为高档的专用服务器能够支持3000-5000个并发访问,这样的能力还是无法满足负载较大的网站的要求。必须采用多台服务器提供网络服务,并将网络请求分配给这些服务器分担,才能提供处理大量并发服务的能力。 目前负载均衡技术大多数是用于提高诸如WEB服务器、FTP服务器和其它关键任务服务器上的Internet服务器程序的可用性和可伸缩性。当使用多台服务器来分担负载的时候,可以按服务器的功能进行分割,将一台服务器用于提
47、供静态页面访问,而另一些用于提供CGI等需要大量消耗资源的动态页面访问。然而由于网络访问的突发性,使得很难确定那些页面造成的负载太大,如果将服务的页面分割的过细就会造成很大浪费。事实上造成负载过大的页面常常是在变化中的,如果要经常按照负载变化来调整页面所在的服务器,那么势必对管理和维护造成极大的问题。因此这种分割方法只能是大方向的调整,对于大负载的网站,根本的解决办法还需要应用负载均衡技术。 随着业务的不断扩展和系统稳定性要求的不断提高,需要对现有的服务器进行负载均衡。为了保证各台服务器的负载均匀分布,合理地分流用户,需要一种服务器负载均衡设备对多台服务器进行负载均衡,同时该设备还要提供高度的安全性。教育中心的Email服务。由于学生数量众多,加上也要为每一位教师提供Email信箱,所以Email服务器的数据存