波鸿集团网络改造及安全整体解决方案样本.doc
《波鸿集团网络改造及安全整体解决方案样本.doc》由会员分享,可在线阅读,更多相关《波鸿集团网络改造及安全整体解决方案样本.doc(76页珍藏版)》请在咨信网上搜索。
波鸿集团网络改造及网络安全 整体技术处理方案 四川长虹集团 四川虹信软件 二零一二年四月 目 录 第1章 概述 5 第2章 需求分析 6 第3章 一期基础网络建设 8 3.1 需求分析 8 3.1.1 方案设计标准 9 3.1.2 网络方案设计 11 3.2 网络拓扑结构介绍 11 3.3 网络拓扑图 12 3.4 网络设计 13 3.4.1 骨干关键层网络设计 13 3.4.2 关键层网络设计 13 3.4.3 汇聚层网络设计 14 3.4.4 接入层网络设计 14 3.4.5 广域网互联设计 15 3.4.6 冗余/负载均衡设计 15 3.4.7 网络设备冗余/负载均衡设计 15 3.4.8 服务器冗余设计 16 3.4.9 IP地址计划标准 16 3.5 方案特点 19 3.6 现有基础网络存在问题 19 3.7 现有基础网络处理思绪 20 3.8 内部网络优化 21 第4章 二期网络安全计划建设方案 23 4.1 网络安全建设必需性 23 4.2 网络安全建设价值 23 4.3 网络拓扑图 26 4.4 网络安全建设内容 26 4.4.1 布署负载均衡 26 4.4.2 网络入侵防御系统 27 4.4.2.1 为何需要网络入侵防御系统 27 4.4.2.2 网络入侵防御系统 28 4.4.3 WEB应用防火墙 29 4.4.3.1 为何需要WEB应用防火墙 29 4.4.3.2 WEB应用防火墙 30 4.4.4 远程安全评定系统(漏洞扫描器) 31 4.4.4.1 为何需要远程安全评定系统 31 4.4.4.2 远程安全评定系统 32 4.4.5 安全审计系统 32 4.4.5.1 为何需要安全审计系统 32 4.4.5.2 安全审计系统 33 4.4.6 上网管理系统 35 4.4.6.1 安全管理系统 36 4.4.6.2 怎样评价内容安全管理系统 37 4.4.7 安全服务 38 4.4.7.1 安全预警通告 38 4.4.7.2 紧急事件响应 39 4.4.7.3 高级维护服务 39 4.4.7.4 信息安全培训 40 第5章 三期VPN计划建设方案 43 5.1 VPN (虚拟专用网) 43 5.2 安全网关介绍 43 5.3 网络拓扑图 46 第6章 四川虹信软件介绍 47 6.1 虹信企业介绍 47 6.2 虹信软件业务范围 51 6.3 虹信软件关键竞争力 53 6.4 虹信软件部分成功案例介绍 54 6.5 虹信企业合作伙伴 71 6.6 虹信获取资质汇总 72 6.7 虹信企业服务体系 73 第1章 概述 四川波鸿集团创建于1999年,经过飞速发展,已经成长为拥有资产58.3亿元,职员2800余人,年销售收入近40亿元集制造业、汽车品牌经营、房地产、新能源于一体综合性集团企业。 多年来,伴随集团不停壮大,波鸿集团从起源地、关键生产基地──四川绵阳逐步走向全国,面向世界,分别建立了北京战略总部、上海营销总部、成全部运行总部,并主动跨出国门和多家国外企业达成了战略合作意向。 现在企业旗下拥有:北京耀贵投资控股、北京园洋金鼎商贸有限责任企业、北京佰利创典商贸、北京净雅佳商贸、上海剑门五金工具、上海祥通商贸、沈阳路达通实业发展、四川波鸿科技、四川绵阳好圣汽车零部件制造、绵阳宇兴机械制造、四川绵阳波鸿机电、成全部名鸿汽车销售服务、成全部万鸿汽车零部件制造、绵阳通美能源科技、四川超美健生物科技、绵阳波鸿汽车销售服务、绵阳波鸿出租汽车、绵阳申绵汽车销售服务、乐山天牛汽车销售服务、眉山天牛汽车销售服务、广元波鸿汽车销售服务、四川波鸿生态园林景观工程、绵阳亲水湾旅游开发、四川信鸿房地产开发等30余家全资或控股经营性子企业。 企业秉承“诚信经营、用户至上、质量第一、服务为先”经营理念,以“创新务实、追求卓越”为宗旨,向管理要效益,靠科技求发展,以公平聚人杰,视职员为财富,深化改革,服务社会。企业严格遵守和推行各项要求,不停提升企业信用等级,树立良好市场信誉和老实守信企业形象。 以跨越为关键任务,以发展为奋斗目标,波鸿企业正以坚定步伐向领域高端不停拓展。 第2章 需求分析 伴随波鸿集团业务发展和以后集团在信息化高度重视下,多年来企业信息化建设深入,企业运作越来越融入计算机网络,企业沟通、应用、财务、决议、会议等等数据流全部在企业网络上传输,构建一个“安全可靠、性能卓越、管理方便”“高品质”大型企业网络已经成为企业信息化建设成功关键基石。 ü 一期网络计划关键建设内容: 波虹集团为了实现信息化建设,集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息公布及查询为关键,以现代网络技术为依靠,技术优异、扩展性强,将集团多种办公室、多媒体会议室、PC终端设备、应用系统经过网络连接起来,实现内、外沟通现代化计算机网络系统。该网络系统是支持办公自动化、供给链管理、ERP和各应用系统运行基础设施,为了确保这些关键应用系统正常运行、安全和发展,系统必需含有以下特征: 1、 采取优异网络通信技术完成集团企业网建设,实现各分企业信息化; 2、 在整个企业集团内实现全部部门办公自动化,提升工作效率和管理服务水平; 3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻公布; 4、 在整个企业集团内实现财务电算化; 5、 在整个企业集团内实现集中式供给链管理系统和用户服务关系管理系统; 在一期建设中,我们将实现全网在中心本部设置统一Internet出口,提供一台路由器,同时提供一台企业级防火墙,隔离波鸿集团中心网络和Internet,提供DMZ区完成对外信息公布。 从关键设备到接入设备全部采取H3C交换设备,使用万兆连接,关键交换机配置万兆电口模块,经过双绞线同各个接入交换机相连,达成一个合理带宽结构,避免产生任何瓶颈。 ü 二期安全计划关键建设内容: 完善小型服务器群安全防护体系,依据早期业务系统规模进行单链路安全防护体系建设,早期关键针对于承载业务系统服务器安全做建设。此时需要关注就是WEB服务器操作系统本身漏洞管理,大多数安全事件99%全部是因为操作系统本身漏洞造成,所以漏洞管理建设至关关键。WEB服务器群前段则需要有WEB应用防火墙来进行专业WEB应用防护,经过事前预警、事中防护、事后赔偿防护体系来进行WEB应用层安全防护建设。如为了考虑承载业务系统主机操作系统安全,可进行IPS布署,以防范互联网过来安全攻击事件。 伴随业务发展也为了后期扩容考虑,当服务器发展到中型服务器群,就要开始进行安全域划分建设。当承载业务系统服务器数量不停扩容到一定数量级,业务系统需要进行安全域安分,这么能愈加好地依据业务系统严重等级进行分类管理。划分安全域后则需要依据每个域功效不一样进行安全防护设计。每个域安全边界防护,需要有防火墙来进行边界隔离,严格控制各区域访问。同时该业务系统区应有安全审计系统、流量分析系统、安全运维审计系统进行防护。 完成全建设后,此时面临就是怎样愈加好地对外提供业务支撑了。为了保障业务系统连续性,出口处需要布署抗拒绝服务系统,进行DDOS流量防御。此时业务系统已经比较庞大,需要对运维人员进行安全培训,加强安全意识。同时光有防护设备和运维人员安全意识加强还不够,需要经过第三方专业安全服务厂商提供专业安全服务,如安全预警通告、紧急事件响应服务、高级安全运维服务等。 ü 三期VPN计划关键建设内容 因为波鸿集团分企业多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特征能够在Internet上组建世界范围内Intranet VPN。利用Internet线路确保网络互联性,而利用隧道、加密等VPN特征能够确保信息在整个Intranet VPN上安全传输。Intranet VPN 经过一个使用专用连接共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有和专用网络相同政策,包含安全、服务质量 (QoS)、可管理性和可靠性 第3章 一期基础网络建设 3.1 需求分析 为适应企业信息化发展,满足日益增加通讯需求和网络稳定运行,今天大型企业网络建设比传统企业网络建设提出更高要求,关键表现在以下多个方面: 1)现代大型企业网络应含有更高带宽,支持10GE或未来平滑过渡到10GE,更强大性能,以满足用户日益增加通讯需求; 伴随计算机技术高速发展,基于网络多种应用日益增多,今天企业网络已经发展成为一个多业务承载平台,它不仅要继续承载企业办公自动化和WEB浏览等简单数据业务,还要承载包含企业生产运行多种业务应用系统数据,和带宽和时延全部要求很高IP电话、视频会议等多媒体业务,所以数据流量将大大增加,尤其是对关键网络数据交换能力提出前所未有要求。另外,伴随千兆端口成本连续下降,千兆到桌面应用会在很快未来成为企业网主流。从全球交换机市场分析能够看到,增加最快速就是10G等级机箱式交换机,由此可见,万兆大规模应用已经真正开始。所以今天企业网络已经不能再用百兆到桌面千兆骨干来作为建网标准,它关键层及骨干层必需含有万兆级带宽和处理性能,才能构筑一个通畅无阻“高品质”大型企业网,从而适应网络规模扩大,业务量日益增加需要。 2)现代大型企业网络应含有更全方面可靠性设计,以实现网络通讯实时通畅,保障企业生产运行正常进行; 伴随企业多种业务应用逐步转移到计算机网络上来,网络通讯无中止运行已经成为确保企业正常生产运行关键。现代大型企业网络在可靠性设计方面关键应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现了关键部件冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去考察;其次是业务可靠性设计,这里要注意网络设备在故障倒换过程中是否对业务正常运行有影响;再次是链路可靠性设计,以太网链路安全来自于它多路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效链路自愈手段和快速重路由协议支持。 3)现代大型企业网络需要提供完善端到端QOS保障,以满足企业网多业务承载需求; 大型企业网络承载业务不停增多,单纯提升带宽并不能够有效保障数据交换通畅无阻,正如八车道长安街也常常堵车一样,所以今天大型企业网络建设必需要考虑到网络应能够智能识别应用事件紧急和关键程度,如视频、音频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中资源,确保关键和紧急业务带宽、时延、优先级和无阻塞传送,实现对业务合理调度才是一个大型企业网络提供“高品质”服务保障。 4)现代大型企业网络应提供更完善网络安全处理方案,以阻击病毒和黑客攻击,降低企业经济损失; 传统企业网络安全方法关键是经过布署防火墙、IDS、杀毒软件和配合交换机或路由器ACL来实现对于病毒和黑客攻击防御,但实践证实这些被动防御方法并不能有效处理企业网络安全问题。在企业网络已经成为企业生产运行关键组成部分今天,现代企业网络必需要有一整套从用户接入控制,病毒报文识别到主动抑制一系列安全控制手段,才能有效确保企业网络稳定运行。 5)现代大型企业网络应含有更智能网络管了处理方案,以适应网络规模日益扩大,维护工作愈加复杂需要; 目前网络已经发展成为“以应用为中心”信息基础平台,网络管理能力要求已经上升到了业务层次,传统网络设备智能已经不能有效支持网络管理需求发展。比如,网络调试期间最消耗人力和物力线缆故障定位工作,网络运行期间对不一样用户灵活服务策略布署、访问权限控制、和网络日志审计和病毒控制能力等方面管理工作,因为受网络设备功效本身限制,全部还属于费时、费力,有时甚至是不可能任务,所以现代大型企业网络迫切需要网络设备含有支撑“以应用为中心”智能网络运行维护能力,并能够有一套智能化管理软件,将网络管理人员从繁重工作中解脱出来。 3.1.1 方案设计标准 本方案设计将在追求性能优越、经济实用前提下,本着严谨、慎重态度,从系统结构、技术方法、设备选择、系统应用、技术服务和实施过程等方面综合进行系统总体设计,力图使该系统真正成为符合该中学网络系统。 从技术方法角度来讲,在网络设计和实现中,本方案严格遵守了以下标准: l 实用性和集成性 系统软硬件设计、还是集成,均以适用为第一宗旨,在系统充足适应企业信息化需求基础上进而再来考虑其它性能。该系统所包含内容很多,必需能将多种优异软硬件设备有效地集成在一起,使系统各个组成部分能充足发挥作用,协调一致进行高效工作。 l 标准性和开往性 只有支持标准性和开放性系统,才能支持和其它开放型系统一起协同工作,在网络中采取硬件设备及软件产品应该支持国际工作标准或实际上标准,方便能和不一样厂家开放性产品在同一网络中同时共存。通信中应采取标准通信协议以使不一样操作系统和不一样网络系统及不一样网络之间顺利进行通讯。 l 优异性和安全性 系统全部组成要素均应充足地考虑其优异性。不能一味地追求实用而忽略优异,只有将当今最优异技术和我们实际应用要求紧密结合,才能取得最大系统性能和效益。网络安全是事关关键,在一些情况下,宁可牺牲系统部分功效也必需确保系统安全。 l 成熟性和高可靠性 作为信息系统基础网络结构和网络设备配置及带宽应能充足地满足网络通信需要。网络硬件体系结构在实际应用中能经过较长时间考验,在运行速度和性能上全部应是稳定可靠、拥有完善、实用处理方案,并通到较多第三方开发商和用户在全球广泛支持和使用。同时,应从长远技术发展来选择含有很好前景、较为优异技术和产品,以适应系统未来发展需要。 可靠性也是衡量一个计算机应用系统关键标准之一。在确保系统网络环境中单独设备稳定、可靠运行前提下,还需要考虑网络整体容错能力、安全性及稳定性,使系统出现问题和故障时能快速地修复。所以需要采取一定预防方法,如对关键应用主干设备考虑有合适冗余。应急处理信息系统能够全天候工作,达成每七天7*二十四小时工作要求。一个高可用性系统才能使用户投资真正得到回报。 l 可维护性和可管理性 整个信息网络系统中互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大网络,要求有强有力网络管理手段,方便合理管理网络资源,监视网络状态及控制网络运行,所以,网络所选网络设备应支持多个协议,管理员能方便进行网络管理、维护甚至修复。 在设计和实现时,必需充足考虑整个系统便于维护性,以使系统万一发生故障时能提供有效手段立即进行恢复,尽可能降低损失。 l 可扩充性和兼容性 网络拓扑结构应含有可扩展性即网络联结必需在系统结构、系统容量和处理能力、物理接连、产品支持等方面含有扩充和升级换代可能,采取产品要遵照通用工业标准,方便不一样设备能方便灵活地接连入网并满足系统规模扩充要求。 为了使所实现系统能够在应用发生改变情况下保护原有开发投资,在设计系统时,应将系统按功效做成模块化,可依据需要增加和删除功效模块 3.1.2 网络方案设计 3.2 网络拓扑结构介绍 在此次波鸿集团大型企业网设计中,我们采取层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂网络设计分成多个层次,每个层次着重于一些特定功效,这么就能够使一个复杂大问题变成很多简单小问题。层次模型既能够应用于局域网设计,也能够应用于广域网设计。 层次化模型好处: 在大型企业网设计中,使用层次化模型有很多好处,列举以下: 1、节省成本 在采取层次模型以后,各层次各司其职,不再在同一个平台上考虑全部事情。层次模型模块化特征使网络中每一层全部能够很好地利用带宽,降低了对系统资源浪费。 2、易于了解 层次化设计使得网络结构清楚明了,能够在不一样层次实施不一样难度管理,降低了管理成本。 3、易于扩展 在网络设计中,模块化含有特征使得网络增加时网络复杂性能够限制在子网中,而不会蔓延到网络其它地方。而假如采取扁平化和网状设计,任何一个节点变动全部将对整个网络产生很大影响。 4、易于排错 层次化设计能够使网络拓扑结构分解为易于了解子网,网络管理者能够轻易地确定网络故障范围,从而简化了排错过程。 3.3 网络拓扑图 3.4 网络设计 3.4.1 骨干关键层网络设计 大型企业生产办公网络关键网关键完成整个企业集团内部不一样地域企业之间高速数据路由转发,和维护全网路由计算。鉴于大型集团企业用户数量众多,业务复杂,QOS要求较高特点,在本方案中采取H3C高密度多业务关键路由交换机组建高性能关键网络平台。 H3C交换机是含有运行商级容错能力高性能大型网络关键交换机,可为高校和运行商提供基于领先技术卓越性能和可靠性。专为发挥万兆、千兆以太网潜在强大交换能力而设计,超大容量交换背板使得包含万兆端口在内每个端口含有全线速交换能力,确保在巨大网络通信负载下一直能够轻松实现线速第二层和第三层交换,是城域网、数据中心、智能大厦及企业网络骨干级关键路由交换机理想选择。 在骨干关键层中,我们采取H3C关键路由交换机组成一个环形多机热备份关键交换机系统处理方案。为提升关键网络健壮性,实现链路安全保障,本方案骨干关键层环网中能够采取VRRP(虚拟路由器冗余协议)。对于各个业务VLAN能够指向这个虚拟IP地址作为网关,所以应用VRRP技术为关键交换机提供一个可靠网关地址,以实现在关键层关键交换机之间进行设备硬件冗余,一主两备,共用一个虚拟IP地址和MAC地址,经过内部协议传输机制能够自动进行工作角色切换。进而双引擎、双电源设计为网络高效处理大集中数据提供了可靠保障。 3.4.2 关键层网络设计 大型企业生产办公网络关键层网络关键完成园区内各汇聚层设备之间数据交换和和骨干关键层网络之间路由转发。传统处理方案通常采取骨干路由器+关键交换机来组建,但这种方法受限于交换机性能,在提供MPLS VPN业务能力方面较弱,不适合大型企业网络建设需求,同时现在大型企业办公网络含有城域网特点,网络发展含有网络扁平化发展方向,所以本方案骨干层网络设备采取H3C关键路由交换机作为大型企业生产办公网络园区关键路由交换设备,H3C交换机含有强大业务和路由处交换理能力,能提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可经过内置防火墙模块实现多种强大网络安全策略,能够充足满足大型企业不一样园区网络高速数据交换和支持多业务功效要求,并能够提供完善安全防御策略,保障企业园区网络稳定运行。 3.4.3 汇聚层网络设计 汇聚层网络关键完成企业各园区内办公楼宇和相关单位内接入交换机汇聚及数据交换和VLAN终止,在本方案中采取H3C交换机多层交换机作为汇聚层面交换机。H3C交换机在提供高密度千兆端口接入同时还能够满足汇聚层智能高速处理需要,并能够加灵活布署在网络边缘各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机全部含有较强多业务提供能力,可支持包含智能CCL、MPLS、组播在内多种业务。为用户提供丰富、高性价比组网选择。 3.4.4 接入层网络设计 以往传统企业网络接入层建设中并不关注于安全控制和QOS提供能力,而将网络安全防御方法和QOS保障依靠于网络汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大压力,往往内网病毒泛滥成灾后造成骨干层设备瘫机,使网络没有QOS服务质量保障。 H3C智能宽带接入交换机是能满足高安全、多业务承载、高性能网络环境智能交换机,含有传统二层交换机大容量、高性能等优点,同时还含有领先安全特征,深入加强了企业网络对边缘接入层面安全控制能力。 用户能够依据需要来订制本身安全策略并布署在此交换机上。该产品含有端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功效能够很好帮助用户实现网络管理和维护。除此之外,此交换机还含有多个专用堆叠接口,能够满足楼层,楼宇内多个交换机高性能汇聚需要。 3.4.5 广域网互联设计 针对于大型企业需要良好出口网关设备,我们提议用户选择H3C防火墙。 该防火墙专为千兆位流量网络服务运行商,大型数据中心等骨干网络而设计, 采取2U专用千兆安全平台,完全模块化可扩展结构,含有热插拔特征冗余部件为您提供最大不间断运行时间。 3.4.6 冗余/负载均衡设计 冗余设计是网络设计关键部分,是确保网络整体可靠性能关键手段。不过投资也将增加。部分企业园区网在早期建设中因为成本原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计能够贯穿整个层次化结构,每个冗余设计全部有针对性,能够选择其中一部分或几部分应用到网络中以针对关键应用。万一网络中某条路径失效时,冗余链路能够提供另一条物理路径。可采取GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引发故障。也可采取生成树协议(IEEE802.1d)提供设备级冗余连接。另外,我们在设计中提供不一样物理方向双归属、双路由保护。 3.4.7 网络设备冗余/负载均衡设计 目前,不管在企业网、园区网还是在广域网如Internet上,业务量发展全部超出了过去最乐观估量,上网热潮风起云涌,新应用层出不穷,即使根据当初最优配置建设网络,也很快会感到吃不消。尤其是各个网络关键部分,其数据流量和计算强度之大,使得单一设备根本无法负担。 负载均衡建立在现有网络结构之上,它提供了一个廉价有效方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提升网络灵活性和可用性。它关键完成以下任务:处理网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供愈加好访问质量;提升服务器响应速度;提升服务器及其它资源利用效率;避免了网络关键部位出现单点失效。 在此方案中,在网络每个关键结点,我们在设计时全部做到了对其有效冗余备份和负载均衡。 3.4.8 服务器冗余设计 企业网中服务器、大型机,如网络存放服务器,SQL Server服务器,其存放数据对于企业来说致关关键,部分关键数据被视为企业生命。首先它对企业企业关键性毋庸质疑,其次,因为这些数据性质决定了其较大被访问量,这个对服务器提出了稳定和快速要求。假如宕机,后果是技术是保障计算机系统可靠性是重中之重。为此,我们采取是双机热备技术 ,此技术能够有效满足关键服务器高效,稳定高要求。而且相对于其它成本技术来说,这是比较有经济价成效技术。 3.4.9 IP地址计划标准 IP地址组成了整个Internet基础,IP地址资源是整个Internet基础关键资源,IP地址资源合理分配和有效利用是整个Internet发展过程中连续有效一个极具分量研究课题。 我们在对企业园区网IP地址编址设计和分配利用时,遵照了以下多个标准: 1)、自治:整个网络被划分成多个大自治区域,每个大自治区域中又被划分成多个小自治区域。 2)、有序:我们根据自治标准将网络进行逻辑划分后,就依据地域、设备分布及区域内用户数量来进行子网计划。同时,我们将IP地址计划和网络层次计划、路由协议计划、流量计划等结合起来考虑。在进行地址分配时,为了提升地址分配效率和地址利用率,我们在编址设计时根据了一定次序进行。选择次序是自上而下次序,即采取了业界领先自顶向下网络设计(Top-Down Network Design)方法。 3)、可连续性:考虑到园区内网络用户数将连续高速增加,网络所要承载业务量和业务种类越来越多,这使得网络需要频频进行技术升级、改造和扩容。所以,在进行地址分配时本方案充足考虑到了这些原因,为网络每个部分留有部分地址冗余,这么确保网络可连续发展。 4)、可聚合:互联网日新月异发展和日益庞大规模令当初设计互联网络教授始料不及,在路由表急剧膨胀情况下,可聚合标准是网络地址分配时所必需遵守最高标准,可聚合标准要求在进行地址计划时,应提供足够路由冗余功效。 5)、尽可能节省IPv4地址:因为IPv4地址越来越少,所以对于IPv4地址使用需要格外节省。IPv4地址节省能够经过动态编址技术和NAT技术等来实现。 6)、闲置IP地址回收利用:对于已分配出去静态IP地址进行定时追踪管理,对长时间闲置IP地址可经过确定后回收反复利用。 VLSM是可变长子网掩码英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码能力,能够对一个子网再进行子网划分。 VLSM优点 ·对IP地址更为有效使用 ·应用路由归纳能力更强 所以我们采取vlsm对网络进行编址,以达成节省ip地址,能够使用路由汇总目标。 首先采取一个A类网址对园区网主体结构进行编址,至上而下设计思绪有利于设计最终成型和网络健壮性。 其次,在语音电话系统中,每一个ip电话需要一个ip地址和诸如子网掩码、默认网关等相关信息。实际上,这意味着一个组织需要指派两倍于ip电话ip地址给目前全部pc用户,这个由DHCP提供。我们使用私有遍址IP电话作为语音电话遍址方案。 私有遍址IP电话: 10.2.8.3 172.16.8.5 IP电话使用172.16.0.0网络 ——————————— IP电话+PC在同一交换机端口上 / / / / —————————- 最终经过我们计算,将各部门ip地址分配以下表: IP地址网段 VLAN编号 默认网关 服务器功效区 192.168.10.0/24 10 192.168.0.254/24 监控功效区 192.168.20.0/24 20 192.168.0.254/24 财务功效区 192.168.30.0/24 30 192.168.0.254/24 临时、外来访问功效区 192.168.40.0/24 40 192.168.0.254/24 ……(依据用户具体情况定) 用户地址和VLAN划分 Web服务器IP地址: 192.168.100.1/24 FTP服务器IP地址: 192.168.100.2/24 路由器出口IP地址: 222.18.44.3/24 3.5 方案特点 本方案很好地处理了用户要求四个问题,即带宽问题、安全问题、管理问题、灵活扩展问题。 l 带宽问题:使用万兆互连双关键结构,使网络关键设备不仅能够相互备份,而且有效减轻流量负荷,使设备时刻保持稳定和高效。 l 安全问题:网络关键层、汇聚层、楼层汇聚层所使用产品全部含有网络病毒和攻击防护能力,而且防DOS/DDOS攻击,所以能够在不一样环境中做到安全防护,足以应对突发事件,保持网络稳定、通畅。 l 管理问题: 统一管理,提升工作效率,保障网络可用性和稳定性; l 灵活扩展问题:关键层使用路由交换机有良好扩展性,能够为未来网络实现轻松扩展。 3.6 现有基础网络存在问题 l 交换机功效支持性较弱 依据对现有网络调查发觉,现在布署交换机功效支持性已经显著不能满足网络发展需要,因为缺乏网络区分能力,全部办公电脑、无线笔记本、监控及服务器全部只能属于同一网段。 现阶段风险以下: A、现在交换机性能参数过低,轻易造成网络频繁拥塞; B、现在交换机使用时间较长,网络稳定性存在极大隐患; C、不能有效支撑视频、监控等业务正常运行; D、现在交换机不能依据未来网络发展需要,进行对应配置; E、无法将各功效部门划分,避免病毒引发风暴扩散; F、整网没有任何保护方法,完全公开透明,服务器等关键关键资料全网共享,轻易造成关键文件泄密、丢失。 l 服务器存在安全隐患 服务器配置双IP地址(一个内网IP一个外网IP地址),即使有效处理了内网、外网访问正常,但把服务器直接裸露在外网上,轻易造成外网直接攻击该服务器,造成服务器运行不正常、服务器文件被盗等情况。 现阶段风险以下: A、服务器完全暴露于外网,没有防火墙阻挡外网攻击; B、服务器资料轻易泄漏; C、电信、网通出口分别投资相同功效服务器,投入服务器成本增加; D、服务器数量过多,不轻易管理; E、相同功效服务器资料不一样时。 l 办公网络出口较多 该网络办公出口有电信和联通两个出口,后期可能还要增加出口,所以为了提升网络速度和有效利用多个带宽出口,有必需配置一台链路负载均衡设备,对多个出口进行管理。 l 安全防护能力较弱 因为现在整体信息平台没有对办公网络进行保护,很轻易受到来自外部互联网黑客攻击。 现阶段风险以下: A、没有对企业网络进行必需保护; B、没有对职员电脑严格管理控制,如:病毒、补丁; C、没有对企业数据库服务器、ERP服务器进行必需保护。 3.7 现有基础网络处理思绪 依据对现实状况中存在部分问题进行沟通,结合打造稳定、安全和高效办公网络目标,特对现有信息化应用提出提议。我企业提议贵企业进行以下5个技术方面改造及1个定制服务网络优化改造: l 内部网络优化 l 负载均衡 l 网络安全 内网改造前后效果对比 改善项目 改造前 改造后 交换机功效支持 轻易拥塞、业务支持差、病毒泛滥缺乏控制 业务有效区划,业务之间不影响。有序控制流量,避免网络拥塞,有效控制病毒 服务器安全问题 服务器基础没有安全防护,轻易被黑客利用 经过专业化防火墙产品进行安装防护,同时经过流量控制,避免服务器负担过大 出口带宽问题 出口带宽缺乏监控,非关键流量占用比列过大 经过专业化带宽约束设备,有效避免上班时间职员使用和工作无关网络应用,最大程度提升办公效率 终端安全防护问题 终端缺乏统一安全策略,对联网终端没有控制能力 经过建立准入控制机制,有效避免内部网络中多种终端非法链接,从而避免各类信息非法盗用情况 3.8 内部网络优化 优化说明: A、原TP-Link S系列48口交换机替换为含有三层功效48口交换机,该交换机可对现有办公网络及监控网络区域根据功效不一样进行具体Vlan和网段划分,比如: l 服务器功效区 l 监控功效区 l 财务功效区 l 临时、外来访问功效区等 这么能够将现有网络进行细化,相关组别归类。首先能够加强管理,预防不一样功效区域直接互访,其次能够降低因为病毒扩散带来全网瘫痪。 B、将现有服务器机房交换机替换为2层可网管交换机,提升服务器区域网络效率,并将服务器区域和视频监控区域隔离,预防相互数据干扰。 C、将服务器机房架设标准机柜,并完成服务器机房线路改造,做到故障易判定、线路标识有序。 D、计划改造后功效区域、网段。 调整后意义: A、提升交换机处理能力,为ERP系统提供愈加好网络带宽资源; B、将各功效区域划分开,使各功效区域互不干扰; C、将职员按功效分开,初步做到功效区域各自独立; D、预防因病毒引发网络中止,避免病毒扩散; E、服务器机房交换机结合PRTG流量监控软件,实时观察各服务器流量吞吐情况; F、易判定故障出处,减小故障影响面积。 第4章 二期网络安全计划建设方案 4.1 网络安全建设必需性 完善小型服务器群安全防护体系,依据早期业务系统规模进行单链路安全防护体系建设,早期关键针对于承载业务系统服务器安全做建设。此时需要关注就是WEB服务器操作系统本身漏洞管理,大多数安全事件99%全部是因为操作系统本身漏洞造成,所以漏洞管理建设至关关键。WEB服务器群前段则需要有WEB应用防火墙来进行专业WEB应用防护,经过事前预警、事中防护、事后赔偿防护体系来进行WEB应用层安全防护建设。如为了考虑承载业务系统主机操作系统安全,可进行IPS布署,以防范互联网过来安全攻击事件。 伴随业务发展也为了后期扩容考虑,当服务器发展到中型服务器群,就要开始进行安全域划分建设。当承载业务系统服务器数量不停扩容到一定数量级,业务系统需要进行安全域安分,这么能愈加好地依据业务系统严重等级进行分类管理。划分安全域后则需要依据每个域功效不一样进行安全防护设计。每个域安全边界防护,需要有防火墙来进行边界隔离,严格控制各区域访问。同时该业务系统区应有安全审计系统、入侵检测系统、堡垒机加强网络运维管理。 完成上述安全建设后,此时面临就是怎样愈加好地对外提供业务支撑了。为了保障业务系统连续性,出口处需要布署抗拒绝服务系统,进行DDOS流量防御。此时业务系统已经比较庞大,需要对运维人员进行安全培训,加强安全意识。同时光有防护设备和运维人员安全意识加强还不够,需要经过第三方专业安全服务厂商提供专业安全服务,如安全预警通告、紧急事件响应服务、高级安全运维服务等。 4.2 网络安全建设价值 ü 网络入侵防御系统价值 为了填补现在安全设备(防火墙、入侵检测等)对攻击防护能力不足,我们需要一个新工具用于保护业务系统不受黑客攻击影响。这种工具不仅仅能够正确识别多种黑客攻击,而且必需在不影响正常业务流量前提下对攻击流量进行实时阻断。 入侵防护系统提供了业界领先实时、主动防护能力,经过新一代入侵防护技术,入侵防护系统产品和技术能够有效阻断攻击,确保正当流量正常传输,这对于保障业务系统运行连续性和完整性有着极为关键意义。 ü WEB应用防火墙价值 为了填补现在安全设备,如防火墙/IPS对WEB应用攻击防护能力不足,我们需要一个新安全工具用于保护关键信息系统不受WEB应用攻击影响。这种工具不仅仅能够检测现在复杂WEB应用攻击,而且必需在不影响正常业务流量前提下对攻击流量进行实时阻断。这类工具相对于现在常见安全产品,必需含有更细粒度攻击检测和分析机制。 我们将提供了业界领先WEB应用攻击防护能力,确保WEB应用连续性和高可用性。同时,针对目前热点问题,如SQL注入攻击、网页篡改、网页挂马、敏感信息泄漏等,NSFOCUS WAF提供最好安全-成本平衡点,有效降低安全风险。 ü 远程安全评定系统价值 依靠中国权威汉字漏洞知识库和已在国际上享受盛名安全小组,我们将提供国际领先漏洞管理产品,配合专业Web扫描模块,它能够定时和连续地给用户提供全方面可靠安全评定服务,满足多个应用需求,而且提供完整漏洞管理机制,有效降低用户网络和主机风险,更大程度地确保用户网络和系统安全性和稳定性。 ü 安全审计系统价值 经过在网络信息系统布署,能够有效掌握网络安全状态,预防敏感涉密信息外泄,实现对内部网络信息整体智能关联分析、评定、调查及安全事件正确跟踪定位,为整体安全策略制订提供权威可靠支持。 ü 堡垒机价值 经过布署堡垒机产品,可帮助企业建立面向用户集中、有序、主动运维安全管控平台,经过基于唯一身份标识集中账号和访问控制策略,和各服务器、网络设备等无缝连接,实现集中精细化运维操作管控和审计, 降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。 ü 安全服务价值 波鸿集团网络建设和发展是一个长久任务,需要伴随技术发展和业务更新,立即地制订设计新安全方案,调整已经有安全策略。而计算机技术和网络技术含有复杂性和多样性,使得网络安全越来越成为一个专门技术和服务。怎样确保网络连续安全,我们依据多年来网络安全从业经验,给出了更为专业安全服务理念,做巨人背后教授,保障用户业务顺畅运行。 4.3 网络拓扑图 4.4 网络安全建- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 集团 网络 改造 安全 整体 解决方案 样本
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文