计算机网络改造方案设计
《计算机网络改造方案设计》由会员分享,可在线阅读,更多相关《计算机网络改造方案设计(12页珍藏版)》请在文档大全上搜索。
1、SANGFOR深信服科技*网络建设方案*科技有限公司2016年4月目录错误!未定义书签*错误!未定义书签网络建设方案错误!未定义书签第1章概述错误!未定义书签项目背景错误!未定义书签需求分析:错误!未定义书签设计原则:错误!未定义书签第2章网路方案设计错误!未定义书签。总体网络架构错误!未定义书签。总体建设内容第3章方案说明优化网络架构错误!未定义书签错误!未定义书签错误!未定义书签网络安全建设错误!未定义书签。应用系统接入安全错误!未定义书签。第4章选型参考错误!未定义书签。第1章概述项目背景*有限责任公司(简称中原乙烯)是由中国石油化工集团公司与河南省人民政府合资建设、*股份公司控股的大型
2、石化企业。目前公司主要业务系统有OA系统以及ERP系统。随着公司的持续稳定发展,越来越依赖于信息化系统建设。优化网络系统结构,集中化的管理,稳定的网络,是集团业务开展基础;网络系统的安全,应用系统的安全,广域网数据传输的安全,是集团业务正常开展的保障;高效的信息网络系统,可以整体提高集团办公效率。需求分析:随着业务的不断发展,IT运用与业务结合的不断深入,集团目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:1 .链路出口问题:目前单位没有独立的网路出口,与其他单位共享网络出口,日常出口不由单位进行管理。一旦连接出口网络线路故障,影响整个日常办公;同时存在日常管理不变,例如针
3、对服务器外联互联网需要开端口映射,需要其他单位协调;单位日常出口流量带宽遭受限制,影响互联网接入速度等等问题。2 .外出人员接入,数据安全性及无法保障众多出差在外的领导和员工需要实现随时随地的接入到总部的OA服务器以及ERP服务器访问应用,实现移动办公。在公司信息平台上的应用数据现在都是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。一旦数据遭到篡改或窃取,带来的损失将无法估量。3 .内网安全问题:随着网络技术的发展、移动互联的普及、新兴应用的不断涌现,在日常管理使用发现一些不稳定和不安全的因素。如针对OA网站存在SQL注入、网页篡改、网页挂马等安全事件;网络设备、服务器、主机漏洞
4、攻击等。还有内网用户更新防毒软件、漏洞不及时、软口令等给网络带来很大的隐患。设计原则:按照公司业务对网络系统的需求,公司信息化部门对网络建设的总体规划,依托现有的网络架构,建设稳定、安全、可靠的集团信息化网络平台,推动集团业务系统的全面应用,提升公司业务效率,全力打造高质量公司网络系统。因此,本期网络建设通过以下三方面内容建设,将集团网络系统建成的安全、高效网络系统1 .优化网络架构:对现有的网络进行优化,优化基础网络平台,提升网络的稳定性和可管理性。2 .建设网络系统安全:遵循相关标准,对现有网络系统进行全面的改造,建成安全的网络系统。3 .加固应用系统接入安全:按照集团应用系统的保密级别,
5、业务中重要性等标准,实现精细化的应用系统安全管理。第2章网路方案设计总体网络架构整体网络解决方案总体设计以优化网络架构,建设网络系统安全,加固应用系统安全为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,组网图如下所示:互联网整体网络初划图内网办公区本次方案建议采用负载均衡设备、下一代防火墙设备、SSLVPN各一台,分别部署在如下位置:链路负载均衡:部署在互联网出口,单位重新申请多条互联网链路,提高链路稳定性的同时,提高带宽利用率,避免单条链路故障。安全防护:部署*内网防火墙1台于外网互联网后段,针对用户的内网终端及应用服务器提供安全防护功能。移动人员接入:针对领导及内部员工出差
6、出差办公,采用SSLVPN进行移动接入。总体建设内容集团本期网络建设总体内容,主要包括以下4个方面:1 .优化网络架构:总部向运营商申请多条互联网链路,出口部署链路负载均衡设备,保障链路稳定性,提高链路利用率2 .建设网络安全系统:内部部署防火墙系统,隔离内网网络,保障内网安全3 .加固应用系统接入安全:针对领导及员工需要出差需要访问内部OA及ERP系统,通过sslvpn接入,进行应用系统访问权限的授权和可信访问,防止越权访问。第3章方案说明优化网络架构现有链路出口与其他单位共享,单位申请多条链路之后,出口采用*负载均衡设备。主要体现如下优势:出/入站链路负载均衡:*AD的出站负载均衡技术能够
7、为内部终端上网选择最佳路径,均衡分配上网流量。同时,针对外部用户访问单位的门户网站或者内部员工在外部访问内部oa系统,AD的入站负载均衡技术能够自动为用户选择最优链路进行访问,从而保障外来用户的访问体验快速、稳定。链路带宽资源合理利用,解决拥塞问题:*AD还具有链路繁忙控制技术,可以为特定链路设定相应的阀值,再结合*AD全面的负载均衡算法,使得当某条链路达到阀值之后,用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。另外,*AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测,然后根据实现设定的负载策略,为用户返回相应的DNS请求结果,避免带宽资源出现闲置的情况,实现对
8、链路带宽资源的合理利用,轻松解决拥塞问题。健全的链路健康检查:*健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时,AD会通过预先设定好的策略判断每条链路的健康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包的源地址转换成相应ISP网段的公网地址,冉将该数据包发出。响应数据包返回到*AD时,*AD将目的地址进行转换之后将数据包发给内部的用户或服务器。网络安全建设在互联网出口区域部署*下一代防火墙,对互联网出口流量进行流量过滤,提供L2-L7的安全防护。通过*下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现
9、在以下几方面:网络边界的应用层访问控制防护内部系统有OA系统以及ERP系统安全要求比较高,因此,建议采用下一代防火墙设备将内网区域与互联网逻辑隔离,加强访问控制的同时还能够对业务服务器进行NAT地址转换,隐藏其IP地址,避免被攻击。通过部署NGAF产品在数据中心区域安全边界,提供了更加先进的访问控制规则,除了传统的五元组设置,NGAF还设计了基于用户、应用、内容的安全控制策略,实现了更加全面先进的八元组访问控制。NGAF还提供了更精细的应用层安全控制,识别内外网近2000种应用,并支持包括AD域、Radius等8种用户身份识别方式,全面保证数据中心区域区域的权限控制。网络边界的入侵防御和web
10、防护在边界防护保障中,网络出口部署的防火墙主要工作在网络层和传输层,防范大部分基础的网络攻击,而对于整个互联网中的攻击分布,70%以上都来自应用层,这些攻击都是防火墙所无法防御的。Ml0 SQLJtA llltiihiiailllll iin min0文件包含攻击0以录通力攻击 lilt ii| II) I lllllllllll il| k|HUI | | PHU0信守泄漏攻击!lll il!Qklll ! IIIMHlinillllhllliillllinliiiiikiillliiilIIIiliiliiiilliailHIMUHIiiilllHillItliiitiilidnillii
