內(nèi)外網(wǎng)分離建設(shè)方案喜河水電廠

概 需求分 現(xiàn) 需 方 選型原 具體AP布放設(shè) AP接入層設(shè) 無線熱點(diǎn)部署設(shè) 小開間密集應(yīng)用場(chǎng)景——智分解決方 大開間密集應(yīng)用場(chǎng)景——靈動(dòng)天線解決方 小開間稀疏應(yīng)用場(chǎng)景——WALLAP解決方 終端智能識(shí)別的WEB認(rèn) 基于802.1X的無感知認(rèn) 訪 認(rèn) 3.3.1互聯(lián)網(wǎng)控制網(wǎng) 內(nèi)網(wǎng)方 、.................................................................................................................................................. 附件設(shè)備選型及........................................................................................................................概大唐為《等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))和國(guó)家能源《電力行業(yè)網(wǎng)絡(luò)與管理辦法（國(guó)能安〔2014317號(hào)等相關(guān)管理規(guī)定結(jié)《唐信息化總體規(guī)劃《唐信息化總體規(guī)劃實(shí)施行動(dòng)方案要求制定關(guān)于建“唐公司內(nèi)網(wǎng)與互聯(lián)網(wǎng)分離工作的要求保證唐公（以下簡(jiǎn)稱公司信息網(wǎng)絡(luò)的安全完善企業(yè)信息化建設(shè)現(xiàn)依據(jù)大唐“雙網(wǎng)分離”安全體系建設(shè)目標(biāo)，對(duì)公司下轄二級(jí)單位（含下屬三級(jí)單位）內(nèi)網(wǎng)及互聯(lián)網(wǎng)分離工作做如下安排：各業(yè)務(wù)系統(tǒng)進(jìn)行合理的安全域劃分，區(qū)別防護(hù)，建立健全體系，防范各類安全威脅和安全事故的發(fā)生，及時(shí)處理事件，杜絕次生事故。大唐喜河水電廠作為大唐陜西下屬三級(jí)單位，需要按要求實(shí)施內(nèi)分離需求分現(xiàn)已有一張網(wǎng)絡(luò)，內(nèi)沒有分離Internet現(xiàn)有安全網(wǎng)關(guān)為深信服AC-1200一臺(tái)；LeadsecpowerV60001臺(tái)交換機(jī)為客戶表示現(xiàn)有6臺(tái)備用交換機(jī)，可以拿3臺(tái)在此次內(nèi)分離上使用。但客戶沒有設(shè)備具體型號(hào)。S53002010需建設(shè)1套無線網(wǎng)絡(luò)作為，，原有網(wǎng)絡(luò)斷開Internet連接，作為內(nèi)網(wǎng)內(nèi)添加必要的，更換老舊設(shè)部署一套網(wǎng)絡(luò)管理系統(tǒng)，管理內(nèi)網(wǎng)設(shè)3方整體架構(gòu)設(shè)采用無線覆蓋的方式新建一套系統(tǒng)采用單方案采用獨(dú)立式的無線控制器，以及認(rèn)證系用戶要求無線覆蓋的區(qū)域（詳見《3.1.2AP）序號(hào)設(shè)備部位設(shè)備型號(hào)規(guī)數(shù)量說15（2）7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率42012器8，2SFP32AP2001器31USB2.01DMZ41224口10/100/1000M自適應(yīng)電口(最多支持12口PoE供電或6口PoE+供電4SFPPoE30W，PoE185W，23及APPOE5終端數(shù)；本體包含100終端的，增加1000個(gè)終端16網(wǎng)提供拓?fù)湔故荆?5個(gè)有線，50個(gè)無17室內(nèi)靈動(dòng)天線型無線接入點(diǎn)，內(nèi)置X-sense3靈動(dòng)天線，雙路雙頻，支持2條空間流，整機(jī)最大接入速率1167Mbps，可支持802.11a/b/g/n和802.11ac同時(shí)工作，胖/瘦模式切換、WAPI、雙電口上聯(lián)、PoE和本地供電,，預(yù)留USB接口（PoE18AP，24POE，2，239APAP，6AP 操作系統(tǒng)、IPSec、流量管理、應(yīng)用控制、用戶管理；1年IPS 權(quán)與升級(jí)、URL過濾與升級(jí)、應(yīng)用協(xié)議庫(kù)升級(jí) 版本升級(jí)和硬件質(zhì)保1能適用600人以下網(wǎng)絡(luò)環(huán)境；1U硬件，電口接入，含操作系統(tǒng)與上網(wǎng)行為管理標(biāo)準(zhǔn)；含一年硬件質(zhì)保服務(wù)。1年版本升級(jí)服務(wù)，提供新版本功能優(yōu)化與性能提升價(jià)值。URL12UPC，2XeonE5-2603V3CPU，16GB，2*1TBSAS3網(wǎng)（外 ，信聯(lián)防泄漏及 理，網(wǎng)絡(luò)審計(jì)DMZ管器網(wǎng)POE無線大唐喜河水電廠示意無線網(wǎng)絡(luò)設(shè) 系統(tǒng)及相應(yīng)，實(shí)現(xiàn)管理。選型原中控室辦公樓、設(shè)備部每層都在12間以下，每層的房間密度較低，采衰減不會(huì)影響使用，因此，通過具有智能天線的無線AP可滿足的無線覆蓋使用。11acAP的辦公在10人以下。采用分布式部署的無線產(chǎn)品，將無線天線部署在AP具體AP布放設(shè)勘測(cè)區(qū)樓層信區(qū)部署方AP接入層APPOE接入層需要開啟以下功能：開啟認(rèn)本方案中支持兩種認(rèn)證方式：802.1X，Portal（802.1x首次安裝稍顯麻煩；其中一種不需用客戶端（PortalWEB開啟安全防所有接入交換機(jī)開啟ARP防御功能，有效阻斷網(wǎng)絡(luò)對(duì)全網(wǎng)照成的影響開啟設(shè)備的CPU保護(hù)功防止終端發(fā)起的對(duì)網(wǎng)絡(luò)設(shè)備的，對(duì)報(bào)文進(jìn)行限速和丟包處理端口環(huán)路防開啟網(wǎng)絡(luò)管理功在接入設(shè)備上開啟SNMP功能，要求能夠通過網(wǎng)絡(luò)管理進(jìn)行管理和控制無線熱點(diǎn)部署設(shè)小開間密集應(yīng)用場(chǎng)景——智分解決方場(chǎng)景特點(diǎn)信號(hào)覆蓋：墻壁全部采用磚混結(jié)構(gòu)、有的房間有金屬防盜門、信號(hào)后衰減大，信號(hào)覆蓋要能滿足、PAD等低功率無線終端的接入。性能要求：普 一般在10人以下，要滿 傳輸需求，對(duì)無線的性能要解決方案AP易于管理和，也節(jié)省了成本。同時(shí)由于集成了兩塊射頻卡，使得性能不再成為瓶頸。大開間密集應(yīng)用場(chǎng)景——靈動(dòng)天線解決方場(chǎng)場(chǎng)景舉例：場(chǎng)景特點(diǎn)覆蓋盲區(qū)的弱點(diǎn)；快速、準(zhǔn)確的識(shí)別到你的終端類型，如果是使用功率較低機(jī)、平板電腦等移動(dòng)終端時(shí)，X-sense辦公生產(chǎn)樓和館采用放裝式吊頂部署AP放置于天花板上部樓宇由于層高較高，為了保證覆蓋效果，可考慮放裝式壁掛部署。小開間稀疏應(yīng)用場(chǎng)景——WALLAP解決方場(chǎng)場(chǎng)景舉例：分散獨(dú)場(chǎng)景特點(diǎn)解決方案分散獨(dú)立采用面板式AP進(jìn)行部署，面板式AP采用標(biāo)準(zhǔn)的86開關(guān)面板盒規(guī)格，而且還集成了以太網(wǎng)口和IP接口。部署簡(jiǎn)便，設(shè)備美觀，整個(gè)部署過程只需要三步POE無線接入認(rèn)證設(shè)終端智能識(shí)別的WEB認(rèn)WEB認(rèn)證就是一種對(duì)用戶網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝的客戶端認(rèn)證，使用普通的瀏覽器就可以進(jìn)行認(rèn)證，是目前無而且隨著近年來iPadAndroidWindowsPhone等各種智能能移動(dòng)終端的日益普及網(wǎng)絡(luò)中不再是清的筆記本電腦終端一個(gè)智能的無線網(wǎng)絡(luò)必須能夠考慮PortalWEBPortal及，提升無線用戶體驗(yàn)。WEBPortal面還可以根據(jù)用戶自定義放置一些通知業(yè)務(wù)等提供個(gè)性化服務(wù)若配合SMP認(rèn)證服務(wù)器還可實(shí)現(xiàn)基于終端類型的角色、權(quán)限的劃分等幫助網(wǎng)運(yùn)維實(shí)現(xiàn)更為精細(xì)化的無線用戶管理。3-1802.1X的無感知認(rèn)IEEE802.1XIEEE802.11份驗(yàn)證，無線網(wǎng)絡(luò)可以打開或關(guān)閉無線終端接入的接口，同時(shí)還可以根據(jù)其屬性，為VLAN，確保用戶終端接入的安全性。WEBPortal是以明文方式傳輸?shù)?，容易被截獲和偵聽；IEEE802.1X（2-AES）符合IEEE安全性。在便捷性上，WEBPortal認(rèn)證直接通過瀏覽器輸入用戶名及，整個(gè)操作過程較為簡(jiǎn)單快捷；普通的IEEE802.1X認(rèn)證一般需要安裝認(rèn)證客戶端或?qū)Σ僮飨到y(tǒng)原生認(rèn)證客戶IEEE802.1X一個(gè)快速1X配置助手，并完成首次用戶名及的輸入，以后無線終端只要發(fā)現(xiàn)無線信IEEE802.1X3-21：3-32：圖3-4步驟3：輸入完后用戶名和后，即 圖3-5無感知認(rèn)證過訪 認(rèn)PSKWLAN，WLAN對(duì)應(yīng)共享訪客的體驗(yàn)也是較為麻煩不友好等而且這個(gè)極易擴(kuò)散網(wǎng)安全得不到保證，網(wǎng)絡(luò)運(yùn)維需定期的更換這個(gè)WLAN的和對(duì)應(yīng)的標(biāo)貼，極大的增加網(wǎng)絡(luò)運(yùn)維難度。圖3-6傳統(tǒng)WLAN提供的標(biāo)本方案提出了更為先進(jìn)的訪客接待解決方案— 認(rèn)證訪客使用移動(dòng)智能終端無線網(wǎng)絡(luò)后，網(wǎng)絡(luò)的認(rèn)證系統(tǒng)將生成的 送到訪客的終端上，如圖5-15步驟1。 動(dòng)反饋到認(rèn)證系統(tǒng)，如圖5-15步驟2。認(rèn)證系統(tǒng)記錄下訪客和對(duì)應(yīng)接待者的并確認(rèn)臨時(shí)，訪客和接待者收 網(wǎng)絡(luò)，如圖5-15步驟3。安全設(shè)3.3.1功能要求基本功傳統(tǒng)防IPSECSSL集成防集成防集成過互聯(lián)網(wǎng)控制網(wǎng)互聯(lián)網(wǎng)控制應(yīng)該具有以下功網(wǎng)頁(yè)審計(jì)與過Web是互聯(lián)網(wǎng)上內(nèi)容最豐富、量最大的應(yīng)用，然而網(wǎng)頁(yè)內(nèi)容良莠不齊，充斥許以及其它不健康的信息此外大量網(wǎng)絡(luò)應(yīng)用如P2PIM網(wǎng)絡(luò)電視等等，也借助HTTP協(xié)議或者80端口，一方面躲避的封堵，一方面攜帶、術(shù)、URL自動(dòng)分類引擎以及靈活的策略設(shè)置，對(duì)國(guó)家法律、危害企業(yè)安全的內(nèi)容進(jìn)行過濾，避免用戶有意無意包含內(nèi)容的網(wǎng)頁(yè)，凈化網(wǎng)絡(luò)，減少進(jìn)入局域網(wǎng)的幾應(yīng)用控（IM炒股以及音樂等等。未加管理的使用，不可避免地影響員工的工作效率。在一項(xiàng)中，超過80%的員工在上班時(shí)間做過與工作無關(guān)的工作，其中，有60%的被員承認(rèn)其主要是在玩、用/MSN等即時(shí)通訊聊天，以及炒股等等。這些不帶寬管內(nèi)容審計(jì)和過通過互聯(lián)網(wǎng)傳遞信息已經(jīng)成為企業(yè)的關(guān)鍵應(yīng)用，然而信息的性、健康性、政治性等問題也隨之而來。通過互聯(lián)網(wǎng)控制網(wǎng)關(guān)，您可以制定精細(xì)化的信息收發(fā)策略，有效控制信息的范圍，控制敏感信息的，避免可能引起的法律風(fēng)險(xiǎn)。終端控制與準(zhǔn)終端設(shè)備是的主體，不良的使用、防護(hù)系統(tǒng)缺失都可能帶來終端安全隱患，進(jìn)而影響內(nèi)網(wǎng)安全?；ヂ?lián)網(wǎng)控制網(wǎng)關(guān)設(shè)備能夠通過下發(fā)的客戶端，結(jié)合的策略配置，檢測(cè)終端系統(tǒng)的進(jìn)程、文件、表、操作系統(tǒng)及補(bǔ)丁、殺毒及庫(kù)查詢統(tǒng)計(jì)與報(bào)表留與分析，既是對(duì)國(guó)家的遵從，也是真正管理好企業(yè)員工上網(wǎng)、有效利用網(wǎng)絡(luò)資內(nèi)網(wǎng)方、整體架構(gòu)設(shè)內(nèi)網(wǎng)只更新交換機(jī)及，不改變接入層設(shè)備及接入方式采交換機(jī)架（集成有防及信息防泄漏及IPS，與一樣網(wǎng)絡(luò)審計(jì)（包含終端準(zhǔn)入，與互聯(lián)網(wǎng)控制網(wǎng)關(guān)是同一設(shè)備設(shè)備型號(hào)規(guī)數(shù)說15（2）7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率LC），4202（ 2 、IPSec、流量管理、應(yīng)用控制、用戶管理；1年IPS與升級(jí)、 與升級(jí)、URL過濾與升級(jí)、應(yīng)用協(xié)議庫(kù)升級(jí)、版本升級(jí)和硬件13理標(biāo)準(zhǔn)；含一年硬件質(zhì)保服務(wù)。1年版本升級(jí)服務(wù)，提供新版本功能優(yōu)化與性能提升價(jià)值。URL11每終端，適用終端數(shù)量范圍X-X，含1年升級(jí)服務(wù)（具體按桌面數(shù)定，2涵蓋內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器 管理；整個(gè)陜西作為一個(gè)大網(wǎng)絡(luò)進(jìn) 13大唐先一網(wǎng)閘（單向1內(nèi)通42UPC，2XeonE5-2603V3CPU，16GB，2*1TBSAS3機(jī)機(jī)4M4M專路由（集 防泄漏安 與信息交換網(wǎng)會(huì)議會(huì)議終網(wǎng)絡(luò)審交網(wǎng)絡(luò)終端接入交換辦公區(qū)接入終桌面安全日志服 服務(wù)其他原服務(wù) 服務(wù)、ITCIO識(shí)庫(kù)、自動(dòng)巡檢、流量分析等功能方便運(yùn)維的日常管理工作。、桌面安全管桌面安全管理為用戶構(gòu)建能夠有效抵御已知、0day、未知代碼和APT攻終端管外設(shè)與移動(dòng)管XP企業(yè)管、網(wǎng)用于內(nèi)特殊業(yè)務(wù)通訊，如確認(rèn)沒有該需求，建議不用網(wǎng)閘附件設(shè)備選型、設(shè)序號(hào)設(shè)備部位設(shè)備型號(hào)規(guī)數(shù)量單小1模塊插槽5個(gè)（2個(gè)用于管理引擎）交換容量7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率2,160Mpps/7,200Mpps，24個(gè)千兆以太電口（RJ45），20（SFPLC），42012器8，2SFP32AP2001324端口10/100/1000Base-T自適應(yīng)以太網(wǎng)電換機(jī)，4個(gè)非SFP接口，1USB2.0接口14POE12PoE+供電)，4口SFP非復(fù)用端口，每端口最大PoE功率輸30W，PoE185W，2SFP35標(biāo)準(zhǔn)版，直接支持 認(rèn)證，可獨(dú)立運(yùn)行，無須合SAM使用按終端數(shù) 增加1000個(gè)終端16網(wǎng)提供拓?fù)湔故荆?5個(gè)有線，50個(gè)無17室內(nèi)靈動(dòng)天線型無線接入點(diǎn)，內(nèi)置X-sense3靈動(dòng)天線，雙路21167Mbps，可支持源適配器需單獨(dú)選購(gòu)18439APAP，61U6GE＋4SFP500操作系統(tǒng)、、IPSec、流量管理、應(yīng)用控制、用戶管理；1年IPS與升級(jí)、AV與升級(jí)、URL過濾與升級(jí)、應(yīng)用協(xié)議庫(kù)升級(jí)、版本升級(jí)和硬件質(zhì)保。1適用600人以下網(wǎng)絡(luò)環(huán)境；1U硬件，電口接入，含操作系1SAS3小、內(nèi)網(wǎng)設(shè)序號(hào)設(shè)備部位設(shè)備型號(hào)規(guī)數(shù)量單小1模塊插槽5個(gè)（2個(gè)用于管理引擎）交換容量7.2Tbps/24Tbps，