数据南京造币厂机房改造方案v

1

江苏省南京造币厂

设计方案

二〇〇九年八月

目 录

1需求分析................................................................................................................................................................3a

1

1.1客户需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

1.2应用系统建设需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

121应用系统的建设内容 3

122应用系统的建设方式 4

1.3网络架构建议. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.3.1网络承载. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.3.2网络架构设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.4安全架构建议. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.4.1网络级安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.4.2应用层数据安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.5应用系统服务器建议. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

1.5.1负载均衡建议. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2设计拓扑.................................................................................................................................................................6

2.1拓扑设计依据. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2.2什么是OSI模型. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2.3可能存在的问题. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3建设目标与任务..................................................................................................................................................9

3.1建设目标. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.2建设任务. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

321建立稳定可靠的网络系统 9

322建立强大资源信息安全系统 10

323建立可扩展的应用系统 104网络架构设计.....................................................................................................................................................11

4.1设计依据. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.2设计原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

4.3术语及解释. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4.4网络结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

441网络结构 15

442存在的问题 155安全系统设计.....................................................................................................................................................16

5.1设计依据. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

5.2设计原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

5.3建设思想. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

5.4安全系统设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

541网络安全系统VPN设计 19

5.4.1.1 技术实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20a

1

1、 基于IPSEC协议提供安全、高效、灵活的隧道协议 20

2、 完备的接入鉴权和硬件绑定CA认证机制 21

3、 集成USBKey的硬件身份识别功能 22

4、 更细致的权限粒度 23

5.4.2网络安全系统IPS设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

5.4.2.1技术实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

5.4.3网络安全系统设计重要性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27

542应用层数据安全设计 28

5.4.2.1技术实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

5.4.2.2数据安全设计重要性. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28

5.4.4负载均衡设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

5.4.4.1负载均衡技术实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30

6产品介绍..............................................................................................................................................................36

6.1 SONICWALL.................................................................................................................................................36

6.2 MCAFEE NSP................................................................................................................................................37

6.3 F5 BIGIPLTM............................................................................................................................................39

6.4深信服IPSEC VPN......................................................................................................................................40

1、接入服务、对移动IP的全面实现 40

2、 支持各种接入方式随时随地移动办公 41

3、安全策略随时携带客户端零配置 41

3、 完善的日志功能 42

4、 简单方便的配置备份和恢复 42

5、 支持远程部署和模块升级 427产品相关案例.....................................................................................................................................................43

8实施计划..............................................................................................................................................................43a

1

1需求分析

1.1客户需求

自南京造币厂中钞设备集团成立以来经过不断的建设发展积累了大量的业务数据无论是业务系统的运行还是数据交换、电子政务平台、办公自动化以及电子公文网上传输等系统建设都需要网络系统的支持。因此建设一个覆盖省、市、县市、区级的资源共享网络体系势在必行为其它地区的银行提供信息的发布和汇总。同时这次的建设计划作为全国的同类型试点。该系统不采用实时在线形式。

1.2应用系统建设需求

通过软件架构建立起一个稳定和扩展性强的信息发布系统在编程语言上使用通用和可用性高的语言。

1.2.1应用系统的建设内容

按照总体建设要求我省将逐步开展货币防伪信息发布相关应用系统、数据综合统计分析与决策支持系统和信息服务系统建设。搭建高效的快速的信息同步系统。a

1

1.2.2应用系统的建设方式

建立业务系统模型 以全省相关银行电子信息平台为基础建立集统一数据资源管理、统一业务规则管理、统一组织机构管理和统一可视化集成管理为一体的全省统一的信息共享和发布应用系统建设技术框架和运行环境为今后开发新的应用软件提供基础保障和参照原则更为全国同类型信息发布实现业务一体化管理奠定技术基础和参考点。

1.3网络架构建议

考虑到信息发布的业务数据量不是很大采用联通3G无线基础传输网络提供的10M链路带宽来保证数据传输的及时性和性价比。

1.3.1网络承载

充分考虑数据的上行和下载面对这种集中式非实时性业务系统考虑网络设备和处理系统的承受能力。

1.3.2网络架构设计

因为是一种非实时性业务系统所以不考虑网络冗余性。但是这样存在一定的风险。a

1

1.4安全架构建议

由于数据保密性强其业务系统的安全关乎国计民生、社会稳定。因此在进行网络建设时必须考虑到网络的安全性。例如在业务专网边界处部署安全防火墙或者IPS等设备实现数据摆渡和安全数据交换利用VPN设备对链路层数据进行加密处理。系统应用上使用数据加密设计。

1.4.1网络级安全

由于所有数据是通过共享型联通3G网传输所以不排除数据被窃听和截获的可能对于网络层数据需要加密处理。

1.4.2应用层数据安全

由于数据保密性强其业务系统的安全关乎国计民生、社会稳定。在应用层数据上必须采用加密形式传输。

1.5应用系统服务器建议

因为数据的重要性在应用和数据服务器方面采用主备冗余性设计。

1.5.1负载均衡建议

应用和数据服务器方面采用主备冗余性设计如果不采用负载均衡设计会出现主备服务器处理数据不平衡 出现冷备状态不利于投资性能最大化。a

1

2设计拓扑

2.1拓扑设计依据

依据国际标准OSI七层搭建

2.2什么是OSI模型

OSI模型 即开放式通信系统互联参考模型(Open SystemInterconnection,OSI/RM,Open Systems Interconnection ReferenceModel)是国际标准化组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架简称OSI。a

1

OSI各层的功能

物理层

物理层规定了激活、维持、关闭通信端点之间的机械特性、电气特性、功能特性以及过程特性。该层为上层协议提供了一个传输数据的物理媒体。在这一层数据的单位称为比特bit 。属于物理层定义的典型规范代表包括 EIA/TIA RS-232、 EIA/TIA RS-449、

V.35、 RJ-45等。a

1

数据链路层

数据链路层在不可靠的物理介质上提供可靠的传输。该层的作用包括物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。在这一层数据的单位称为帧frame 。数据链路层协议的代表包括 S DLC、HDLC、 PPP、 STP、帧中继等。

网络层

网络层负责对子网间的数据包进行路由选择。 网络层还可以实现拥塞控制、 网际互连等功能。在这一层数据的单位称为数据包p acket 。网络层协议的代表包括 IP、 IPX、 RIP、O SPF等传输层

传输层是第一个端到端 即主机到主机的层次。传输层负责将上层数据分段并提供端到端的、可靠的或不可靠的传输。此外传输层还要处理端到端的差错控制和流量控制问题。在这一层数据的单位称为数据段s egment 。传输层协议的代表包括 T CP、UDP、SPX等。

会话层

会话层管理主机之间的会话进程 即负责建立、管理、终止进程之间的会话。会话层还利用在数据中插入校验点来实现数据的同步。表示层a