IT基礎(chǔ)架構(gòu)規(guī)劃方案教學(xué)內(nèi)容

1、IT基礎(chǔ)架構(gòu)規(guī)劃方案IT基礎(chǔ)架構(gòu)規(guī)劃方案一（網(wǎng)絡(luò)系統(tǒng)規(guī)劃）背景某集團(tuán)經(jīng)過(guò)多年的經(jīng)營(yíng)，公司業(yè)務(wù)和規(guī)模在不斷發(fā)展，公司管理層和IT部門也認(rèn)識(shí)到通過(guò)信息化手段可以更好地支撐公司業(yè)務(wù)運(yùn)營(yíng)、提高企業(yè)生產(chǎn)和 管理效率。同時(shí)隨著新建辦公大樓、研發(fā)大樓和廠房的落成，IT部門也需要對(duì)整個(gè)集團(tuán)的信息化和企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行規(guī)劃和建設(shè)。目前主要分為以下兩部 分：樓宇智能化規(guī)劃和建設(shè)方案：主要包括視頻監(jiān)控、門禁系統(tǒng)、語(yǔ)音和數(shù) 據(jù)節(jié)點(diǎn)規(guī)劃和布線、CATV、大屏幕電子顯示屏、機(jī)房建設(shè)等。企業(yè)IT基礎(chǔ)架構(gòu)規(guī)劃和解決方案：主要包括企業(yè)局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓?fù)湟?guī) 劃和網(wǎng)絡(luò)設(shè)備選型、互聯(lián)網(wǎng)接入和 VPN接入、IT硬件部署和選型、企業(yè)I

2、T信 息化基礎(chǔ)軟件系統(tǒng)規(guī)劃和選型等。本方案主要是針對(duì)某集團(tuán)企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行規(guī)劃，并提出解決方案和 進(jìn)行投資預(yù)算。而關(guān)于樓宇智能化規(guī)劃和建設(shè)的方案參見(jiàn)其它相關(guān)方案。企業(yè)IT架構(gòu)一般企業(yè)的IT架構(gòu)情況，本方案主要針對(duì)IT基礎(chǔ)架構(gòu)部分進(jìn)行規(guī)劃，并提供 選型和部署參考，關(guān)于企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)部分的規(guī)劃和建設(shè)請(qǐng)參考其它方 案。企業(yè)IT架構(gòu)應(yīng)用系統(tǒng)（ERP系統(tǒng)/企業(yè)門戶/商業(yè)智能）基礎(chǔ)軟件系統(tǒng)（/數(shù)據(jù)庫(kù)/數(shù)據(jù)倉(cāng)庫(kù)/中間件）操作系統(tǒng)（操作系統(tǒng)/虛擬化軟件）網(wǎng)絡(luò)系統(tǒng)規(guī)劃當(dāng)前，企業(yè)一般能給信息化方面投入有限。除了人力有限，還缺少專業(yè)人才， 應(yīng)用能力、維護(hù)能力、開(kāi)發(fā)能力、實(shí)施能力等都普遍較弱，這就要求網(wǎng)絡(luò)架

3、構(gòu) 成熟、穩(wěn)定安全、高可靠、高可用，盡可能少投入人力和金錢進(jìn)行維護(hù)。其 次，由于企業(yè)首要解決的是生存問(wèn)題，根本沒(méi)辦法做到先信息化，再做業(yè)務(wù)”因此網(wǎng)絡(luò)建設(shè)實(shí)施要求必須容易，實(shí)施時(shí)間必須極短。企業(yè)的組網(wǎng)方案主要要素包括：局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和安全性。具 體來(lái)說(shuō)企業(yè)組網(wǎng)需求：?建立安全的網(wǎng)絡(luò)架構(gòu)，總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)連接；?安全網(wǎng)絡(luò)部署，確保企業(yè)正常運(yùn)行；?為出差的人員提供IPSec或者SSL的VPN方式；?提供智能管理特性，支持瀏覽器圖形管理；?網(wǎng)絡(luò)設(shè)計(jì)便于升級(jí)，有利于投資保護(hù)。企業(yè)一般的組網(wǎng)結(jié)構(gòu)如下圖，大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點(diǎn)和冗余線路 的拓?fù)浣Y(jié)構(gòu)，小企業(yè)則單線路的連接方式。核心

4、層匯聚層接入壊 HYLAMVVUN企業(yè)總部侖份廣威主廣城網(wǎng)網(wǎng)產(chǎn)按建播分支機(jī)構(gòu)AXVUUMWSVLAMiiVLAN通過(guò)對(duì)一般企業(yè)的信息化情況和網(wǎng)絡(luò)規(guī)劃要素進(jìn)行分析，從總體上看，規(guī)劃方 案必須具有以下特點(diǎn)：?網(wǎng)絡(luò)管理簡(jiǎn)單，采用基于易用的瀏覽器方式，以直觀的圖形化界面管理網(wǎng) 絡(luò)。?用戶可以采用多種的廣域網(wǎng)連接方式，從而降低廣域網(wǎng)鏈路費(fèi)用。?無(wú)線接入點(diǎn)覆蓋范圍廣、配置靈活，方便移動(dòng)辦公。?便捷、簡(jiǎn)單的統(tǒng)一通信系統(tǒng)，輕松實(shí)現(xiàn)交互式工作環(huán)境。?帶寬壓縮技術(shù)，高級(jí)QoS的應(yīng)用，有效降低廣域網(wǎng)鏈路流量。?隨著公司業(yè)務(wù)的發(fā)展，所有網(wǎng)絡(luò)設(shè)備均可在升級(jí)原有網(wǎng)絡(luò)后繼續(xù)使用，有效 實(shí)現(xiàn)投資保護(hù)。?系統(tǒng)安全，保密性高，應(yīng)

5、用了適合企業(yè)的低成本網(wǎng)絡(luò)安全解決方案。安全基礎(chǔ)網(wǎng)絡(luò)規(guī)劃方案根據(jù)對(duì)某集團(tuán)的實(shí)際調(diào)研，獲取了企業(yè)的網(wǎng)絡(luò)需求，以此來(lái)制定企業(yè)基礎(chǔ)網(wǎng)絡(luò) 建設(shè)規(guī)劃方案和網(wǎng)絡(luò)設(shè)備選型參考；以下提供基礎(chǔ)版和企業(yè)版兩種規(guī)劃方案1）網(wǎng)絡(luò)需求：企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點(diǎn)為500個(gè)，主要的網(wǎng)絡(luò)需求首先是資源共享，網(wǎng)絡(luò)內(nèi)的各 個(gè)桌面用戶可共享文件服務(wù)器/數(shù)據(jù)庫(kù)、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的 各項(xiàng)功能；其次是通信服務(wù)，最終用戶通過(guò)廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí) 現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問(wèn)；還有就是公司門戶網(wǎng)站 和網(wǎng)絡(luò)通信系統(tǒng)（企業(yè)郵箱、企業(yè)即時(shí)通信和企業(yè)短信平臺(tái)等）的建立。2）基礎(chǔ)版規(guī)劃方案本方案適用于200300

6、臺(tái)電腦聯(lián)網(wǎng)，核心采用 H3C S5500-28C-SI 或S5500-20TP-SI交換機(jī)，以千兆雙絞線/光纖與接入交換機(jī)及服務(wù)器連接；用戶接入H3C S3100-26TP-SI 或S3100-52TP-SI交換機(jī)，千兆銅纜/光纖上連核心交換機(jī)。In ternet出口采用H3C MSR20-1X 多業(yè)務(wù)路由器作為In ternet 出口路由、Secpath F1000-C 或者UTM作為安全網(wǎng)關(guān)和移動(dòng)用戶的VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D如下：設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置數(shù)據(jù)核心交換機(jī)H3C S5500- 28C-SI全千兆三層核心1核心機(jī)房或 H3C S5500

7、-20TP-SI接入層 交換機(jī)H3C S3100- 26TP-SI或H3C S3100-52TP-SI接入層支持光電 復(fù)用千兆上行，支持混合堆疊26TP : 15 臺(tái)52TP : 8 臺(tái)各樓層 或機(jī)房路由器H3C MSR20-1x路由器轉(zhuǎn)發(fā)率160Kpps ， 256M內(nèi)存，支 持GE/FE交換模 塊，同異步串口 模塊，E1/PRI模 塊，語(yǔ)音模塊，加密模塊12核心機(jī)房安全防火墻H3C SecPathF1000-C 或 H3CSecPath U200支持應(yīng)用層報(bào)文 過(guò)濾1核心機(jī)房VPN支持DVPN互聯(lián)網(wǎng)接入10M光纖接入電信10M光纖接 入配靜態(tài)IP地址12核心機(jī)房r_*巧二匚 tL-P- I

8、-*-萬(wàn)案特點(diǎn)：?高性價(jià)比：能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟(jì)的網(wǎng)絡(luò)；?簡(jiǎn)易性：結(jié)構(gòu)簡(jiǎn)單、安裝快速、簡(jiǎn)單，維護(hù)無(wú)需配置專職人員；?高性能：最低投資做到千兆骨干、百兆接入；?可擴(kuò)展性：靈活的網(wǎng)絡(luò)架構(gòu)，能根據(jù)用戶需要隨時(shí)擴(kuò)展，并保護(hù)已有投資。3）高級(jí)版規(guī)劃方案：本方案適用于500800 臺(tái)電腦聯(lián)網(wǎng)，三層網(wǎng)絡(luò)結(jié)構(gòu)，萬(wàn)兆骨干，百兆接入； 網(wǎng)絡(luò)核心層采用H3C S7500 交換機(jī)，同時(shí)配置相應(yīng)數(shù)量的千兆端口分別連接 應(yīng)用服務(wù)器、接入交換機(jī)及其他設(shè)備；網(wǎng)絡(luò)匯聚層采用H3C S5500-28C-SI，獨(dú)有智能堆疊系統(tǒng)可實(shí)現(xiàn)高密度千兆端口接入，擁有96 Gbps的全雙工堆疊帶寬，消除網(wǎng)絡(luò)瓶頸，提供優(yōu)于傳統(tǒng)中

9、繼聚合配置的更好的可用性和彈性；接入層可選擇 H3CS3100-26TP-SI 或S3100-52TP-SI 交換機(jī)，千兆銅纜/光纖上連核心交換機(jī)，或 H3C S5100-16/24/48P-SI 全千兆交換機(jī)，千兆到桌面。網(wǎng)絡(luò)拓?fù)鋱D如下：設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置數(shù)據(jù)核心交換機(jī)H3C S7500(E)系列核心支持雙引 擎雙電源，性 價(jià)比最高1核心機(jī)房匯聚層 交換機(jī)H3C S5500- 28C-SI匯聚支持全千兆 咼速轉(zhuǎn)發(fā)，消除 網(wǎng)絡(luò)瓶頸，同時(shí) 支持萬(wàn)兆擴(kuò)展3各樓層 或機(jī)房接入層H3C S3100-接入層根據(jù)不同52TP : 10 臺(tái)各樓層交換機(jī)26/52

10、TP-SI 或 H3C S5100-16/24/48P-SI業(yè)務(wù)需求提供百 兆和千兆接入兩 種選擇或機(jī)房路由器H3C MSR50-06路由器H3C新一代安全 路由器12核心機(jī)房安全防火墻H3C SecPathF1000-C支持應(yīng)用層報(bào)文過(guò)濾11VPN支持DVPN互聯(lián)網(wǎng)接入20M50M 光纖接入電信 20M50M 光纖接入配靜態(tài)IP地址12核心機(jī)房r_*巧二匚 tL-P- I-*- 萬(wàn)案特點(diǎn):?高性能，全分布式交換網(wǎng)絡(luò)；?高可靠，無(wú)間斷的通信環(huán)境；?靈活彈性的網(wǎng)絡(luò)擴(kuò)展能力；?高效率的網(wǎng)絡(luò)帶寬利用率；?全面的QOS部署，多業(yè)務(wù)融合；?完善的網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)深度安全檢測(cè)，抵御未知風(fēng)險(xiǎn)。安全無(wú)線網(wǎng)絡(luò)

11、規(guī)劃方案無(wú)線網(wǎng)絡(luò)的部署，能夠增大員工接入網(wǎng)絡(luò)的范圍，提供更大的上網(wǎng)便利性-無(wú)論是在辦公室、會(huì)議室還是在空間復(fù)雜的車間，員工都能與網(wǎng)絡(luò)保持連接，隨 時(shí)隨地訪問(wèn)企業(yè)資源，而且可以簡(jiǎn)化場(chǎng)所的網(wǎng)絡(luò)布線。安全無(wú)線網(wǎng)絡(luò)解決方案 不但能提高員工的生產(chǎn)效率和協(xié)作能力，也能為合作伙伴/客戶提供方便的上網(wǎng)服務(wù)。根據(jù)企業(yè)情況，可以采用 FAT AP方案：1）無(wú)線網(wǎng)絡(luò)需求：能夠獲得較高的用戶接入速率，構(gòu)建便利的移動(dòng)辦公環(huán)境，實(shí)現(xiàn)企業(yè)的移動(dòng)網(wǎng) 絡(luò)辦公，成本投入不高，適合簡(jiǎn)單、小規(guī)模的無(wú)線部署。2）規(guī)劃方案：采用 WA1208E +iMC+ CAMS進(jìn)行組網(wǎng)，配合 CAMS實(shí)現(xiàn)802.1x 的認(rèn)證， 可以實(shí)現(xiàn)基于時(shí)長(zhǎng)、流

12、量和包月的計(jì)費(fèi)；整網(wǎng)通過(guò) iMC統(tǒng)一管理。網(wǎng)絡(luò)拓?fù)鋱D 如下：GEInternet A 制* * * 1 設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置無(wú)線無(wú)線接入WA1208E雙 802.11g模塊無(wú)線8各樓層無(wú)線安全H3C CAMS滿足用戶管理、身 份認(rèn)證、權(quán)限控制 和計(jì)費(fèi)的要求1核心機(jī)房無(wú)線 管理H3C iMC 網(wǎng) 管系統(tǒng)支持與HPOpenview 、SNMPc等通用網(wǎng)管平臺(tái)的集成1核心機(jī)房r_*巧二匚 tL-P- I*- 萬(wàn)案特點(diǎn):?全面支持802.11i安全機(jī)制、802.11e QoS 機(jī)制、802.11f L2 切換機(jī) 制；?大范圍覆蓋：高接收靈敏度，達(dá)到-97dB

13、m （普通AP-95dBm ），保證更 遠(yuǎn)覆蓋；?多VLAN支持：虛擬AP方式支持多VLAN，最多支持8個(gè)虛擬SSID的 VLAN劃分，每個(gè)VLAN用戶可以獨(dú)立認(rèn)證；?兼作網(wǎng)橋使用：WDS模式支持PTP、PTMP工作模式；支持連接速率鎖 定、傳輸報(bào)文整合，提高傳輸效率；?負(fù)載均衡：支持基于用戶數(shù)的負(fù)載均衡、基于流量的負(fù)載均衡；?針對(duì)各類室外、特殊室內(nèi)應(yīng)用如倉(cāng)庫(kù)等復(fù)雜環(huán)境，可以提供專門的型號(hào)。廣域網(wǎng)互聯(lián)VPN規(guī)劃方案伴隨企業(yè)和公司的不斷擴(kuò)張，公司分支機(jī)構(gòu)及客戶群分布日益分散，合作伙伴 日益增多，越來(lái)越多的現(xiàn)代企業(yè)迫切需要利用公共In ternet資源來(lái)進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨

14、詢活動(dòng)，這為VPN的應(yīng)用奠定了廣闊市場(chǎng)。在VPN方式下，VPN客戶端和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界的 VPN網(wǎng)關(guān)使用隧道 協(xié)議，利用In ternet或公用網(wǎng)絡(luò)建立一條 隧道”作為傳輸通道，同時(shí)VPN連 接采用身份認(rèn)證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過(guò)程中受到偵聽(tīng)和篡改，從 而保證數(shù)據(jù)的完整性、機(jī)密性和合法性。通過(guò) VPN方式，企業(yè)可以利用現(xiàn)有的 網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)，不但節(jié)省了大量的 資金，而且具有很高的安全性。另外，隨著企業(yè)規(guī)模的擴(kuò)大，分散辦公也越來(lái)越普遍，如何實(shí)現(xiàn)小型分支、出 差員工、合作伙伴的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)也被越來(lái)越多的企業(yè)關(guān)注。從成本、易用 性、易管理等多方面綜合考慮

15、，SSL VPN無(wú)疑是一種最合適的方案：只需要在 總部部署一臺(tái)設(shè)備，成本更低，管理維護(hù)也很容易；無(wú)需安裝客戶端、無(wú)需配 置，登陸網(wǎng)頁(yè)就能使用。1）網(wǎng)絡(luò)需求1IPSec VPN和SSL VPN各有所長(zhǎng)，功能互補(bǔ)，對(duì)企業(yè)來(lái)說(shuō)都是需要的： IPSec VPN用于總部和中大型分支互連，SSL VPN用于為小型分支、合作伙 伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)。但傳統(tǒng)方法下，企業(yè)總部需要采購(gòu)兩臺(tái)設(shè)備 來(lái)支持兩種VPN，不僅成本更高，而且可能存在 VPN策略沖突，導(dǎo)致性能下 降、管理困難。2）規(guī)劃方案融合VPN針對(duì)企業(yè)的實(shí)際需要，一臺(tái)設(shè)備融合 IPSec / SSL 兩種VPN，只需 部署在總部，既可以用于為合作

16、伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)，也可以和 分支機(jī)構(gòu)進(jìn)行IPSec VPN互連，幫助企業(yè)降低采購(gòu)、部署、維護(hù)三方面成 本。VPN網(wǎng)關(guān)選擇方面，H3C的防火墻、路由器都能夠?qū)崿F(xiàn)融合 VPN，提供給企 業(yè)更加靈活的選擇。例如，如果企業(yè)非常強(qiáng)調(diào)網(wǎng)絡(luò)安全、 VPN性能，就選擇防 火墻；如果企業(yè)更注重多業(yè)務(wù)處理能力，如 IP語(yǔ)音通信、3G上網(wǎng)、無(wú)線接入 等，推薦選擇路由器。在總部局域網(wǎng)In ternet邊界防火墻后面配置一臺(tái)或兩臺(tái)雙機(jī)熱備的 VPN網(wǎng) 關(guān)，在分支機(jī)構(gòu)In ternet邊界防火墻后面配置一臺(tái) VPN網(wǎng)關(guān)，由此兩端的 VPN網(wǎng)關(guān)建立IPSec VPN隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；另外，通過(guò)總

17、 部的VPN網(wǎng)關(guān)提供SSL VPN接入業(yè)務(wù)；在總部局域網(wǎng)數(shù)據(jù)中心部署 H3C VPN Manager組件，實(shí)現(xiàn)對(duì)VPN網(wǎng)關(guān)的部署管理和監(jiān)控；在總部局域網(wǎng)內(nèi)部 或In ternet邊界部署H3C BIMS系統(tǒng)，實(shí)現(xiàn)對(duì)分支機(jī)構(gòu) VPN網(wǎng)關(guān)設(shè)備的自 動(dòng)配置和策略部署。如下圖：設(shè)備選型和部署參考如下:業(yè)務(wù)需求設(shè)備選型參考配置說(shuō)明數(shù)量部署位置網(wǎng)絡(luò) 互連VPN網(wǎng)關(guān)H3C SecPath F1000VPN 網(wǎng)關(guān)H3C SecPathF100 VPN 網(wǎng)關(guān)或H3C MSR50 路由 器總部和大型機(jī)構(gòu)配置F1000型號(hào)中小型機(jī)構(gòu)配置F100型號(hào)總部1臺(tái)分支機(jī) 構(gòu)按需 求配置核心機(jī)房H3C MSR20-1X路由器

18、網(wǎng)絡(luò) 管理H3C VPNMan agerH3C BIMS幫助用戶部署、管理VPN網(wǎng)絡(luò)1核心機(jī)房如果省內(nèi)分支機(jī)構(gòu)較多、較分散，但對(duì)速率要求不高的連鎖型單位，也可以選 用電信或ISP商的VPDN服務(wù)；如果多個(gè)分支機(jī)構(gòu)間有多點(diǎn)對(duì)多點(diǎn)通信需求的企業(yè)、商業(yè)機(jī)構(gòu)，也可以直接選 用電信或ISP商的MPLS VPN服務(wù)。網(wǎng)絡(luò)性能指標(biāo)要求類型帶寬要求線路質(zhì)量要求局域網(wǎng)客戶端到服務(wù)器：10Mb以上，推薦 100Mb各服務(wù)器之間：200M以上，推薦1000Mb丟包率小于0.1%延遲小于20ms廣域網(wǎng)分支機(jī)構(gòu)帶寬：每客戶端128Kb 總部出口帶寬：（最大并發(fā)數(shù)/3） X128Kb總部服務(wù)器之間：200M以上，推薦 1

19、000Mb丟包率小于2%延遲小于50ms網(wǎng)絡(luò)安全規(guī)劃網(wǎng)絡(luò)安全是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)，是保證系統(tǒng)安全運(yùn)行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng) 的安全需求包括以下幾個(gè)方面：?網(wǎng)絡(luò)邊界安全需求?入侵監(jiān)測(cè)與實(shí)時(shí)監(jiān)控需求?安全事件的響應(yīng)和處理需求分析這些需求在各個(gè)應(yīng)用系統(tǒng)上的不同組合就要求把網(wǎng)絡(luò)分成不同的安全層次。我們針對(duì)企業(yè)網(wǎng)絡(luò)層的安全策略采用硬件保護(hù)與軟件保護(hù)，靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級(jí)防護(hù)的總體策略。根據(jù)安全需求和應(yīng)用系統(tǒng)的目的，整個(gè)網(wǎng)絡(luò)可劃分為六個(gè)不同的安全層次。具 體是：?核心層：核心數(shù)據(jù)庫(kù)；?安全層：應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用；?基本安全層：內(nèi)部局域網(wǎng)用戶；?可信任層：公司本部與營(yíng)業(yè)部網(wǎng)絡(luò)訪問(wèn)

20、接口；?危險(xiǎn)層：In ternet 。信息系統(tǒng)各安全域中的安全需求和安全級(jí)別不同，網(wǎng)絡(luò)層的安全主要是在各安 全區(qū)域間建立有效的安全控制措施，使網(wǎng)間的訪問(wèn)具有可控性。具體的安全策 略如下：核心數(shù)據(jù)庫(kù)采用物理隔離策略應(yīng)用系統(tǒng)采用分層架構(gòu)方式，客戶端只需要訪問(wèn)中間件服務(wù)器即可進(jìn)行日常業(yè) 務(wù)處理，從物理上不能直接訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器，保障了核心層數(shù)據(jù)的高度安 全。應(yīng)用系統(tǒng)中間件服務(wù)器采取綜合安全策略：應(yīng)用系統(tǒng)中間件的安全隱患主要來(lái)自局域網(wǎng)內(nèi)部，為了保障應(yīng)用系統(tǒng)中間件服 務(wù)的安全，在局域網(wǎng)中可通過(guò)劃分虛擬子網(wǎng)對(duì)各安全區(qū)域、用戶和安全域間實(shí) 施安全隔離，提供子網(wǎng)間的訪問(wèn)控制能力。同時(shí)，中間件服務(wù)器本身可以通過(guò)

21、 配置相應(yīng)的安全策略，限定經(jīng)過(guò)授權(quán)的工作站、用戶方能訪問(wèn)系統(tǒng)服務(wù)，保障 了中間件服務(wù)器的安全性；內(nèi)部局域網(wǎng)采取信息安全策略：公司本部及營(yíng)業(yè)部?jī)?nèi)部局域網(wǎng)處于基本安全層的網(wǎng)絡(luò)，主要是對(duì)于安全防護(hù)能 力較弱的終端用戶在使用，因此考慮的重點(diǎn)在于兩個(gè)方面，一個(gè)是客戶端的病 毒防護(hù)，另一個(gè)是防止內(nèi)部敏感信息的對(duì)外泄露。因此，通過(guò)選用網(wǎng)絡(luò)殺毒軟 件達(dá)到內(nèi)部局域網(wǎng)的病毒防護(hù)，同時(shí)，使用專用網(wǎng)絡(luò)安全設(shè)備（如硬件防火 墻）建立起有效的安全防護(hù)，通過(guò)訪問(wèn)控制 ACL等安全策略的配置，有效地控 制內(nèi)部終端用戶和外部網(wǎng)絡(luò)的信息交換，實(shí)現(xiàn)內(nèi)部局域網(wǎng)的信息安全。公司本部與下屬機(jī)構(gòu)之間網(wǎng)絡(luò)接口采取通訊安全策略：處于可信任層的

22、網(wǎng)絡(luò)，其安全主要考慮各下屬單位上傳的業(yè)務(wù)數(shù)據(jù)的保密安 全，因此，可采用數(shù)據(jù)層加密方式，通過(guò)硬件防火墻提供的VPN隧道進(jìn)行加密，實(shí)現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸。In ternet采取通訊加密策略：In ternet屬于非安全層和危險(xiǎn)層，由于In ternet存在著大量的惡意攻擊，因 此考慮的重點(diǎn)是要避免涉密信息在該層次中的流動(dòng)。通過(guò)硬件防火墻提供專業(yè)的網(wǎng)絡(luò)防護(hù)能力，并對(duì)所有訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格控制，對(duì)所有的數(shù)據(jù)通訊進(jìn)行加 密后傳輸。同時(shí)，建議設(shè)置嚴(yán)格的機(jī)房管理制度，嚴(yán)禁非授權(quán)的人員進(jìn)入機(jī)房，也能夠進(jìn) 一步提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。1)廣域網(wǎng)安全規(guī)劃企業(yè)廣域網(wǎng)安全，主要是通過(guò)防火墻和 VPN等設(shè)備或技術(shù)來(lái)保障。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，能夠過(guò)濾掉一些攻擊，防火墻還可以關(guān) 閉不使用的端口，防火墻具有很好的保護(hù)作用，入侵者必須首先穿越防火墻的 安全防線，才能接觸目標(biāo)計(jì)算機(jī)，所以出于安全考慮，企業(yè)必須購(gòu)置防火墻以 保證其服務(wù)器安全，將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門區(qū)域。一般硬件 防火墻比軟件防火墻的性能更好，建議選擇企業(yè)級(jí)的硬件防火墻，硬件防火墻 市場(chǎng)知名度高的品牌有 CISCO、Check Point、Juniper、H3C、天融信、華 為賽門鐵克、聯(lián)想網(wǎng)御等，用