河北水文水资源信息网

首页

省内新闻

外埠新闻

行业介绍

业务信息

水文测验

简报公报

当前位置：

首页 >> 水文科技动态 >> 水文技术 >> 正文

一个实用的网络改造方案——第二篇外网交换网络改造设计

来源：省局文章作者：荷塘录入时间：09-10-13 10:54:35

第一章外网改造设计原则

实用性和经济性

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则建设网络系统，保护用户的投资。

先进性和成熟性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵单位网络建设的领先地位，为此我们为河北省水文水资源勘测局设计了一套主流、成熟稳定的企业网络。

可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，其产品的可靠性和稳定性是一流的。

安全性和保密性

网络安全管理工作事关重大，各相关职能部门要尽职尽责，使网络能更好地为企业服务。网络管理部门要提供完善的技术支持。所以在网络方案的设计上要充分保证网络的高安全性，从技术方面为安全提供足够的保证。

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括防火墙隔离、全网接入认证、上网审计、系统安全机制、数据存取的权限控制等，充分考虑安全性，针对客户的各种应用，有多种的保护机制，如划分 VLAN、 MAC地址绑定、配合 RG-SAM、 ACL、 NAT、 802.1x认证机制、上网日志记录等具体技术提升整个网络的安全性。

可扩展性和可管理性

为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，接入层设备最好采用支持堆叠的产品，便于将来升级和扩展。

第二章外网核心设计

河北省水文水资源勘测局作为重要的水文信息采集、整理、分析、统计和发布部门，数据处理量较大。外网系统对外有网站、邮件、视频会议、水资源系统、水文 VPN系统等多种应用。外网用户数为 100个，桌面接入带宽为百兆，对核心交换机的性能要求很高。部署华为 S5624P 作为核心交换机。交换容量为 192Gbit/s，包转发率为 66Mpps ； VLAN 支持 4000个，符合 IEEE 802.1Q 标准的 VLAN支持基于端口的 VLAN。交换机的性能完全满足要求。 Quidway S5600全千兆智能弹性交换机是华为公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为公司创新的 IRF（ Intelligent Resilient Framework，智能弹性架构）技术，支持高达 96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络、园区网和驻地网的汇聚层以及数据中心的服务器接入设备。

第三章外网防火墙设计

第一节防火墙设计原则

防火墙的可靠性设计

防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。

保证防火墙的高可靠性主要依靠如下几点技术来保证：

高可靠的硬件设计，硬件设计是任何网络设备可靠运行的基础。网络设备不同于普通 PC等个人、家用系统，网络设备必须要求可以 24小时不间断正常工作，对其主板、 CPU、风扇、板卡等各种硬件设备都是一个严格的考验。为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。

双机备份技术。由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。

链路备份技术。链路备份是为了防止因为物理链路故障而导致服务的终止，实现链路备份的具体技术可能有多样。一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务。

热备份技术。热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。在大部分介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，防火墙设备需要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。

防火墙设备的可靠性设计反映出了防火墙在设计方面的一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。

防火墙的性能模型

前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。

业界现在衡量防火墙的性能的时候，主要使用吞吐量 /最大并发连接数 /延迟等指标。吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用 BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。

除了吞吐量 /最大并发连接数 /延迟之外，在衡量防火墙性能的时候还要考察下面几个指标：

1 、小包转发能力

防火墙的吞吐量在业界一般都是使用 1K～ 1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是 200字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。

2 、规则数目对转发效率的影响

防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。

3 、每秒建立连接速度

指的是每秒钟可以通过防火墙建立起来的完整 TCP连接。由于防火墙的连接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指标偏低的时候防火墙无法在实际的网络环境中体现优异的性能，尤其是遭受 DOS攻击的时候，如果该指标偏低防火墙会停止工作。

以上是衡量防火墙性能的一些基本数据，在实际选择防火墙的时候也可以根据具体的组网要求衡量一些其他的指标。由于防火墙本身是一个“处理复杂业务”的数据通信设备，涉及的性能指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，防火墙的性能指标同时反映了一台防火墙的综合指标，包括软件设计、硬件设计等各个方面，是选择防火墙设备的一个重要依据。

网络隔离

防火墙的本质功能就是隔离网络，通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。在防火墙技术体系中，灵活的网络隔离特性是防火墙非常重要的一个特性，只有合理的划分了网络区域，安全策略也可以更有效的实施。防火墙是否具有合理的网络隔离，可以根据以下一些情况考察：

n 整个防火墙的网络隔离体系是否具有清晰的逻辑结构，使得防火墙可以适应不同的场合。例如，防火墙至少应该具有单独的 DMZ 区域。

n 网络区域应该可以和各种物理接口配合工作，并且不依赖于物理接口提供网络隔离的划分。如果依靠物理接口进行网络隔离，很明显不能满足各种方案的灵活实施，网络隔离是一个逻辑上面的概念，必须可以灵活设定才能更好的满足业务的实施。

n 网络隔离的时候，是不是考虑了针对隧道、 VPN 、 VLAN 接口等各种虚拟接口的实施。现在网络业务灵活多变， VPN 、 VLAN 隔离是各种网络经常实施的一些业务，区域隔离必须考虑各种虚拟接口的实施以及和各种 VPN 、 VLAN 等业务的配合实施。

n 在整个体系当中，是否考虑防火墙本身的安全问题。防火墙是一个网络隔离的控制点，因此防火墙本身的安全问题是一个非常重要的问题，如果防火墙本身得不到保证，整个网络的安全性就无法保证。如何保证被防火墙分隔的网络中对防火墙本身的访问也必须是网络隔离中考虑的一个问题。

访问控制

防火墙另外一个重要功能就是访问控制，在防火墙中主要涉及如下几种访问控制技术：

IP 访问控制列表

IP 访问控制列表主要是对 IP报文的 IP报头及所承载的上层协议（如 TCP）报头的每个域进行控制，通常会用到 IP报文的以下属性：

u IP 的源、目的地址及协议域；

u TCP 或 UDP的源、目的端口；

u ICMP 码、 ICMP的类型域；

u TCP 的标志域

u 表示请求连接的单独的 SYN

u 表示连接确认的 SYN/ACK

u 表示正在使用的一个会话连接

u 表示连接终断的 FIN

可以由这些域的各式各样的组合形成不同的规则。

二层的访问控制列表

二层的访问控制列表主要利用了 VLAN、 MAC地址等二层信息，定义的访问控制规则，一个二层的访问控制列表，主要可以通过以下一些参数定义访问控制规则：

u 以太网承载的报文协议类型，例如 ip、 arp、 rarp等

u 以太网的格式类型，例如 ether_ii、 802.3、 802.3/802.2、 802.3snap等

u 报文类型，例如单播、广播、多播等

u VLAN 的标签

u 源 VLAN ID

u 源 IP地址

u 源地址通配符

u 源接口信息

u 目的 VLAN ID

u 目的 IP地址

u 目的地址通配符

通过报文的特征定义一系列的规则，通过这些规则特征可以控制通过防火墙报文。访问控制特性是防火墙最重要的特性。由于在一些复杂场合，防火墙需要设定大量的规则，因此针对大量规则的性能指标也是衡量防火墙性能和功能的一个重要条件。

基于流的状态检测技术

在访问控制中应用的较多的是基于 ACL的 IP包过滤技术，这种技术简单可靠，但缺乏一定的灵活性。对于类似于应用 FTP协议进行通信的多通道协议来说，配置防火墙则是困难的。 FTP包含一个预知端口的 TCP控制通道和一个动态协商的 TCP数据通道，对于一般的防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。基于状态检测的技术可以解决这样的问题，通过对数据包的状态进行检测，可以动态的发现应该打开的端口，这样可以保证在通信的过程中动态的决定哪些数据包可以通过防火墙。

基于流的状态检测技术可以提供更高的转发性能，因为基于 ACL的包过滤技术是逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。

现在主流的防火墙产品基本上都采用了状态防火墙技术，因此在选择防火墙的时候应该优先考虑状态防火墙。

业务支撑能力

防火墙一般都是部署在一个网络业务的控制点，而网络安全解决方案的一个重要手段就是在“开放”和“安全”之间找到一个平衡点，因为防火墙本身的技术特点有时候会导致当引入防火墙设备到网络的时候会导致某些业务受到影响。为了满足网络的业务扩展能力的提高，在部署防火墙的时候需要考察防火墙的业务支撑能力。

n 基于流的状态检测特性是否考虑了对丰富业务的支持，随着网络带宽资源的丰富，各种基于宽带应用的业务日益丰富，在使用基于流的状态检测技术的同时一定得保证该技术对各种业务的支持能力。

n 具有对多媒体业务的支持能力，在宽带业务中多媒体业务占很大的比例，例如基于 H.323、 SIP、 RTSP的语音视频业务，因此防火墙应该全面支持 H.323、 SIP、 RTSP等多媒体业务。

n 防火墙必须支持强大的地址转换功能。由于现在 IPV4的公有地址十分短缺，因此地址转换已经是提供业务的必须手段，由于防火墙的特殊位置，在防火墙上提供地址转换是最常用的业务之一。同时使用地址转换技术可以有效的屏蔽内部网络，也是一个保证网络安全的非常有效的手段之一。

n 防火墙需要支持必要的组播业务。

n 防火墙需要支持各种保证 QoS（服务质量）的手段。

地址转换能力

随着 Internet的发展， IP地址短缺问题已经成为了一个越来越严重的问题。在 IPV6使用之前，地址转换（ Network Address Translation）技术是解决这个问题的一个最主要的技术手段。

地址转换主要是因为 Internet地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（ Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务，如： WWW、 FTP、 TELNET、 SMTP、 POP3等。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（ NAT）和同时转换地址和端口（ PAT）两种形式。

现在地址短缺的问题在很多地方非常严重，由于防火墙的位置和技术特点，在防火墙上提供地址转换技术是非常合适的，因此在防火墙设备上提供完善的 NAT服务是防火墙的一个非常必要的特性。

攻击防范能力

攻击防范的能力是防火墙的一个核心功能，防火墙必须具有高效、可靠的攻击防范的能力，防火墙需要具有如下基本功能防范能力：

n 防火墙必须具有针对 Dos（拒绝式服务攻击）的防范能力。

n 防火墙必须具有各种畸形报文进行防范的能力，可以智能的识别出攻击包。

n 防火墙必须可以抵御各种扫描等窥探攻击。

n 防火墙必须的防御手段必须健全和丰富，因为 Dos攻击手段种类比较多，因此必须具有丰富的防御手段，才可以保证真正的抵御 Dos攻击。

n 防火墙必须具有优秀的处理性能，因为 Dos攻击的一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理 Dos攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御 Dos攻击。因为 Dos攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则 Dos攻击的目的就达到了。

n 防火墙必须具有准确的识别攻击能力。很多防火墙在处理 Dos攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的 Dos攻击防御的目的。

防火墙的组网适应能力

由于网络部署的复杂性，要求防火墙本身应该具有优秀的组网适应能力，保证防火墙有利于更灵活的组建业务网络。优秀的组网能力主要反映在以下几个方面：

n 支持比较丰富的接口类型，接口类型的丰富可以满足物理连接层面上的组网适应能力。

n 支持路由协议，大部分防火墙都不支持动态路由协议，一般都是使用静态路由协议。但是在很多场合，支持动态路由协议可以有效的提高防火墙的组网适应能力。

n 防火墙应该支持透明模式。透明模式使得防火墙可以工作在二层方式下，当防火墙加入到网络中的时候可以不影响网络现在的拓扑。

n 支持各种虚拟接口，比如 VLAN子接口、隧道接口等。防火墙一般可以提供的物理接口是有限的，为了可以使得防火墙可以适应更复杂的组网，防火墙设备应该支持虚拟接口，通过虚拟接口使得防火墙可以提供更复杂的组网支持。

VPN 业务

防火墙由于处于企业网络的边缘，因此防火墙设备一般都可以提供 VPN业务，通过防火墙强大的控制能力，可以通过防火墙建立企业之间的 VPN连接服务。通过防火墙一般可以提供如下一些 VPN服务：

n 通过防火墙提供企业分支机构之间的互联互通的 VPN服务，一般可以提供 IPSEC加密隧道提供非常可靠安全的 VPN服务。

n 通过防火墙为企业移动办公人员提供 VPN接入服务，这要求防火墙支持二层的 VPN协议，现在最通用的二层 VPN协议是 L2TP，通过 L2TP可以使得远程出差员工通过帐户、密码安全的接入到企业内部，提供 VPN服务。

n 防火墙需要提供高效的加密服务。

n 防火墙应该支持完备的 VPN协议，例如 GRE、 IPSEC、 L2TP等。

n 各种 VPN协议应该严格按照 RFC或者相关标准实施，保证可以和其他厂商的 VPN设备互联互通。

防火墙管理系统

n 防火墙应该具有良好的人机界面，可以通过多种方式对防火墙设备进行管理。

n 防火墙设备应该具有方便的升级手段，可以实现热补丁等在线升级功能。

n 防火墙应该支持图形化管理方式，方便防火墙的配置和策略管理等功能。

n 防火墙应该支持远程维护、监控的手段。

n 远程登陆应该支持安全可靠的方式，例如支持通过 SSH进行远程登陆。

防火墙的日志系统

系统日志提供了一种事后审计的方式，防火墙设备针对各种操作记录、攻击信息等情况应该可以提供详细的日志，并且可以提供日志查询、过滤等的手段，可以方面的进行日志查找、分析等功能。

第二节防火墙选型

根据河北省水文水资源勘测局网络现状和需求分析，设计部署华为防火墙为 Eudemon 100E。 Eudemon 100E是华为公司推出的新一代硬件防火墙，基于华为专业的硬件平台以及强大的 VRP软件平台，为用户的网络提供强大转发性能。同时具备优异的攻击防范处理能力，提供对多种 VPN的支持，能够为用户提供更多的 VPN组网的选择，灵活的地址转换 (NAT)和地址映射功能，可以更好地满足客户的实际需要。该系列产品还支持丰富的多媒体协议、路由协议以及 QoS特性，为用户提供多种组网方式的便利，非常适合河北省水文水资源勘测局外网使用。

第三节防火墙特点 - Eudemon 100E

灵活的组网方式

Eudemon 100E/200/200S 防火墙支持路由、透明和混合三种工作模式。为用户提供多种灵活的网络部署方式。支持完善的路由特性，可支持 RIPv1/v2、 OSPF动态路由协议，支持 MSDP、 IGMP、 PIM-SM、 PIM-DM等组播路由协议；可以为用户提供基于路由和安全融合的解决方案，另外 Eudemon 100E/200/200S防火墙在路由模式和透明模式下均可支持双机热备、负载均衡，保证用户网络的高可用性。

优异的攻击防范能力

Eudemon 100E/200/200S 防火墙能高效防范多种常见攻击，如 SYN FLOOD、 UDP FLOOD、 ICMP FLOOD、 Land、 Smurf、 Fraggle、 WinNuke、 IP Spoofing、 ICMP重定向、 ICMP不可达、地址扫描、端口扫描等，并且具有蠕虫病毒流量的识别和防范能力，为中小型企业用户提供了全面的 DDoS防范。

对多种协议流量控制

Eudemon100E 、 200、 200S防火墙基于华为强大的协议分析能力，能够精确识别用户网络中的各种流量，支持对包括“ BitTorrent（ BT）、迅雷、 Poco、 KuGoo、 PPLive、 PPStream、 PPMate、 QQLive、沸点电视网、 UUSee、 TVKoo、 TVAnts”等多种 P2P流量进行过滤和限流，有效保护用户的带宽资源。支持包括 FIFO、 PQ、 CQ、 WFQ、 CQC、 CBWFQ、 WRED、 LR、 CAR、 GTS等多种 QoS特性，精细化管理用户网络带宽资源，支持对多种流量的监控和统计，包括基本会话监控、承诺访问速率、实时流量统计以及对流量的分类、监控、整形、拥塞管理、拥塞避免等，提供分时段、网段、用户带宽等级等管理功能，为用户实现多种网络流量控制方案。

完善的 VPN网关特性

Eudemon 100E/200/200S 防火墙可以为用户提供 L2TP、 GRE、 IPSec、 L2TP Over IPSec等多种 VPN组网方式，支持 DES、 3DES、 AES标准加密算法，并率先实现了国密 SCB2算法。采用华为公司研发的专用加解密芯片，转发性能卓越，结合华为公司全系列的 VPN产品，能够为用户的网络提供完整的 VPN解决方案。

深度检测

Eudemon 100E/200/200S 防火墙为用户提供了华为特有的 ASPF（ Application Specific Packet Filter）技术，可基于会话进行深层协议过滤，检查应用层协议信息并且监控基于连接的应用层协议状态，能够对应用层的攻击加以检测和防范，包括对于 FTP命令字、 SMTP命令的检测、 HTTP的 Java、 ActiveX控件等的检测，为用户提供多层协议的安全防护。

完备的 NAT功能

Eudemon 100E/200/200S 防火墙提供一对一、多对一、多对多的地址转换及地址映射，并可以根据多种安全过滤策略进行地址转换，为用户提供丰富的 NAT功能。采用华为公司成熟稳定的协议栈分析技术，支持视频会议、语音和电话等多媒体应用，支持 QQ、 MSN、 NetMeeting等即时通信软件穿越。

丰富的接口类型

Eudemon 200 防火墙不仅支持以太网接口，同时还支持各种低速接口，如 E1、 T1、 CE1、 CT1等接口，为用户提供多种可选的接入链路类型。基于电信级硬件架构，提供了丰富的硬件扩展能力，支持 4个扩展插槽，最大可支持 10个 FE接口，可接入多个用户网络，为用户提供更多的安全域划分。

Eudemon 100E/200/200S 防火墙是基于华为专业电信级硬件平台和 VRP软件平台，其中 Eudemon 200支持双电源备份，电源支持热拔插；机箱支持温度监控，风扇转速可自动调节；风扇、接口卡均支持热拔插。具有优异的处理性能、灵活的业务和路由特性、完善的配置管理和高可靠性。 Eudemon系列防火墙满足中国、北美、欧洲、澳洲、日本等国家和地区的 UL、 CE、 FCC等安规认证，并获得公安部的销售许可、国家信息安全测评认证中心、保密局、解放军等权威机构的资质认证，同时 Eudemon也获得了 ICSA（国际计算机安全协会实验室， ICSA Labs）认证。