公司網(wǎng)絡(luò)改造方案

1、 PAGE 5 公司網(wǎng)絡(luò)改造方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc345399766 一、目前的網(wǎng)絡(luò)情況及特點(diǎn) PAGEREF _Toc345399766 h 2 HYPERLINK l _Toc345399767 1.1、采用普通的交換機(jī) PAGEREF _Toc345399767 h 2 HYPERLINK l _Toc345399768 1.2、所有電腦在同一個(gè)子網(wǎng) PAGEREF _Toc345399768 h 2 HYPERLINK l _Toc345399769 1.3、文件服務(wù)器缺乏基本的保護(hù) PAGEREF _Toc345399769 h

2、2 HYPERLINK l _Toc345399770 1.4外來電腦可任意接入 PAGEREF _Toc345399770 h 3 HYPERLINK l _Toc345399771 1.5. 上網(wǎng)行為存在安全因素 PAGEREF _Toc345399771 h 3 HYPERLINK l _Toc345399772 二、網(wǎng)絡(luò)整改目和內(nèi)容 PAGEREF _Toc345399772 h 3 HYPERLINK l _Toc345399773 三、解決方案及效果 PAGEREF _Toc345399773 h 3 HYPERLINK l _Toc345399774 3.1 虛擬局域網(wǎng) PAGE

3、REF _Toc345399774 h 3 HYPERLINK l _Toc345399775 3.2 網(wǎng)絡(luò)訪問控制 PAGEREF _Toc345399775 h 3 HYPERLINK l _Toc345399776 3.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) PAGEREF _Toc345399776 h 4 HYPERLINK l _Toc345399777 3.4 PC準(zhǔn)入控制 PAGEREF _Toc345399777 h 4 HYPERLINK l _Toc345399778 3.5 上網(wǎng)行為管理 PAGEREF _Toc345399778 h 4 HYPERLINK l _Toc345399779

4、 3.6 資料及數(shù)據(jù)安全方案 PAGEREF _Toc345399779 h 4 HYPERLINK l _Toc345399780 四、改造后的網(wǎng)絡(luò)特點(diǎn) PAGEREF _Toc345399780 h 5 HYPERLINK l _Toc345399781 4.1 構(gòu)建多個(gè)虛擬網(wǎng)絡(luò)。 PAGEREF _Toc345399781 h 5 HYPERLINK l _Toc345399782 4.2 虛擬網(wǎng)絡(luò)之間訪問控制。 PAGEREF _Toc345399782 h 5 HYPERLINK l _Toc345399783 4.3 網(wǎng)絡(luò)資源訪問控制。 PAGEREF _Toc345399783

5、h 5 HYPERLINK l _Toc345399784 4.4 上網(wǎng)行為管理 PAGEREF _Toc345399784 h 5 HYPERLINK l _Toc345399785 五、 日常維護(hù)及工作 PAGEREF _Toc345399785 h 5一、目前的網(wǎng)絡(luò)情況及特點(diǎn) 現(xiàn)有網(wǎng)絡(luò)無法進(jìn)行安全管理及控制，缺乏可管理與安全性，一旦網(wǎng)絡(luò)出現(xiàn)病毒及網(wǎng)絡(luò)攻擊現(xiàn)象，將影響公司內(nèi)部所有IT設(shè)備及公司的業(yè)務(wù)運(yùn)作。1.1、采用普通的交換機(jī)目前公司的交換機(jī)為TP-LINK TL-sf1024 10/100M共2臺(tái)，都是二層普通交換機(jī)，功能就是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。無法登進(jìn)交換機(jī)查看交換機(jī)狀態(tài)、無法查看網(wǎng)絡(luò)流量

6、狀態(tài)、無法根據(jù)網(wǎng)絡(luò)的新需求進(jìn)行新的配置。1.2、所有電腦在同一個(gè)子網(wǎng)所有的電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備在同一個(gè)網(wǎng)絡(luò)內(nèi)，這意味著這些設(shè)備之間可以任意的互連互通，任意一臺(tái)電腦感染病毒或受黑客控制的時(shí)候，可以直接影響公司的所有IT設(shè)備。1.3、文件服務(wù)器缺乏基本的保護(hù)服務(wù)器與電腦設(shè)備在同一個(gè)網(wǎng)絡(luò)中，意味著電腦可以任意訪問服務(wù)器的所有端口，而不是根據(jù)應(yīng)用服務(wù)的需要去限制只可訪問需要的服務(wù)，這樣服務(wù)器的任何一個(gè)漏洞都可以被計(jì)算機(jī)利用來攻擊服務(wù)器。影棚文件服務(wù)器，由于該服務(wù)器積累了公司大量的重要的數(shù)據(jù)，目前該服務(wù)器已使用多年，CPU 頻率過低，系統(tǒng)運(yùn)行緩慢，經(jīng)過上次對(duì)服務(wù)器檢修，現(xiàn)發(fā)現(xiàn)主板的RAID芯片已壞，且

7、硬盤存儲(chǔ)空間已嚴(yán)重不足(8T硬盤，現(xiàn)可用空間為135G)，建議最好更換一臺(tái)新的服務(wù)器，并作好定期對(duì)該服務(wù)器的數(shù)據(jù)備份。該部分需要購(gòu)置一臺(tái)新的服務(wù)器。1.4外來電腦可任意接入外來電腦和筆記本可以任意接進(jìn)公司網(wǎng)絡(luò)，其電腦上所帶的病毒、木馬、惡意工具會(huì)影響公司其它電腦以及服務(wù)器的安全。更容易造成公司內(nèi)部資料外泄。1.5. 上網(wǎng)行為存在安全因素 訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等與業(yè)務(wù)無關(guān)網(wǎng)站，會(huì)導(dǎo)致病毒和木馬進(jìn)入公司內(nèi)部網(wǎng)絡(luò)。員工上班時(shí)間下載電影或是在線看視頻資料，會(huì)占用極大的帶寬資源，導(dǎo)致業(yè)務(wù)開展所需要的帶寬不夠，收發(fā)郵件變慢。員工上班時(shí)間看新聞，軍事，足球，玩網(wǎng)絡(luò)游戲，炒股票等等會(huì)影響到

8、員工的工作效率。二、網(wǎng)絡(luò)整改目和內(nèi)容 為了控制公司網(wǎng)絡(luò)資源浪費(fèi)和規(guī)范公司員工上班時(shí)間的電腦使用行為。公司員工能正確地使用維護(hù)各辦公室的計(jì)算機(jī),有效使用網(wǎng)絡(luò)資，做出以下整改。 本次改進(jìn)方案包括了改進(jìn)及維護(hù)方案兩大類，主要以改進(jìn)為主。涉及網(wǎng)絡(luò)調(diào)整和員工電腦等。三、解決方案及效果3.1 虛擬局域網(wǎng)如果根據(jù)網(wǎng)絡(luò)應(yīng)用的不同，建立幾套完全獨(dú)立的物理網(wǎng)絡(luò)，這樣做不可行，首先為這幾套網(wǎng)絡(luò)重新布線，工程量大，其次是不同的網(wǎng)絡(luò)需要訪問的資源不一樣，將這些需要訪問的資源再關(guān)聯(lián)起來也不是一件容易的事情，因此建議采用虛擬局域網(wǎng)技術(shù)來達(dá)到網(wǎng)絡(luò)隔離的目的。虛擬局域網(wǎng)技術(shù)，在一個(gè)物理網(wǎng)絡(luò)中，根據(jù)應(yīng)用的不同，把不同的電腦劃分到

9、不同的虛擬局域網(wǎng)中，而這些不同的虛擬局域網(wǎng)之間是不可訪問的，該技術(shù)成熟并得到廣泛應(yīng)用。3.2 網(wǎng)絡(luò)訪問控制在虛擬局域網(wǎng)的基礎(chǔ)上，根據(jù)應(yīng)用的不同，控制其可以訪問的網(wǎng)絡(luò)資源。3.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)安全設(shè)計(jì)：訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對(duì)服務(wù)器的訪問，以及對(duì)以后所用到的ERP軟件及辦公自動(dòng)化平臺(tái)的訪問和管理、用戶身份真實(shí)性的驗(yàn)證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計(jì)記錄、防病毒入侵。外網(wǎng)安全設(shè)計(jì)：安裝軟件、硬件、防火墻，網(wǎng)絡(luò)防病毒軟件，客戶端防病毒軟件；利用代理服務(wù)器提供Internet與Intranet之間的防火墻功能；通過網(wǎng)管實(shí)

10、時(shí)記錄網(wǎng)絡(luò)的運(yùn)行狀態(tài)。設(shè)置遠(yuǎn)程訪問身份認(rèn)證，防止垃圾郵件等。3.4 PC準(zhǔn)入控制在交換機(jī)端口上綁定公司電腦的MAC地址。當(dāng)外來電腦接入到公司網(wǎng)絡(luò)的時(shí)候，交換機(jī)會(huì)為外來電腦的MAC地址不屬于公司網(wǎng)絡(luò)，從而禁止外來電腦接入公司網(wǎng)絡(luò)，從內(nèi)部加強(qiáng)公司網(wǎng)絡(luò)的安全性。3.5 上網(wǎng)行為管理管理網(wǎng)絡(luò)帶寬。根據(jù)各個(gè)部門業(yè)務(wù)需求不同，分配不同的最高帶寬。同時(shí)也根據(jù)應(yīng)用需求的帶寬，給不同的業(yè)務(wù)分配不同的帶寬。保障關(guān)鍵的員工和業(yè)務(wù)能夠獲得足夠的帶寬。提升工作效率。針對(duì)URL,聊天工具，上網(wǎng)時(shí)間，應(yīng)用程序進(jìn)行管理，最大限度減少員工利用上網(wǎng)做與工作無關(guān)事情的時(shí)間。如通過URL庫(kù)，禁止員工訪問與業(yè)務(wù)無關(guān)的網(wǎng)站，只允許訪問與

11、工作相關(guān)的網(wǎng)站。同時(shí)對(duì)上千萬條URL記錄分為新聞，可根據(jù)需要禁止訪問其中某些類的網(wǎng)站。保障內(nèi)網(wǎng)安全。阻止各類假冒網(wǎng)銀和假冒網(wǎng)上證券等釣魚網(wǎng)站，保護(hù)員工的合法權(quán)益。禁止色情，反動(dòng)，邪教等非法網(wǎng)站。對(duì)傳輸文件格式進(jìn)行控制，防止不安全格式的文件進(jìn)入內(nèi)網(wǎng)。防DOS攻擊3.6 資料及數(shù)據(jù)安全方案考慮到公司客戶定單和公司設(shè)計(jì)資料的安全，可以通過做ACL設(shè)置用戶訪問權(quán)限，防止用戶訪問不該訪問的機(jī)密電腦資料，并且并部分控制對(duì)E-MAIL，QQ等的泄密管道，防止資料外泄，因此加強(qiáng)防火墻的安全管理很重要，可以在防火墻上設(shè)置禁止對(duì)外的smtp服務(wù)，禁止通過外部郵箱outlook傳遞資料，關(guān)于USB的封堵，本來應(yīng)該靠

12、購(gòu)買行為軟件來規(guī)范，或者通過AD域的組策略來實(shí)施，但考慮到預(yù)算成本，可以通過腳本（一個(gè)exe的可執(zhí)行文件），只需要用管理員的身份登陸電腦，點(diǎn)擊一下，就可以完成PC注冊(cè)表的修改，禁止該電腦的USB口四、改造后的網(wǎng)絡(luò)特點(diǎn)4.1 構(gòu)建多個(gè)虛擬網(wǎng)絡(luò)。公司的網(wǎng)絡(luò)被虛擬成決策層、管理層、行政部、財(cái)務(wù)部、設(shè)計(jì)部、客服部、品保部、資材部、服務(wù)器區(qū)等多個(gè)虛擬網(wǎng)絡(luò)。并可根據(jù)需求增加新的虛擬網(wǎng)絡(luò)4.2 虛擬網(wǎng)絡(luò)之間訪問控制。不同的虛擬網(wǎng)絡(luò)之間，是不可以直接訪問。一個(gè)虛擬網(wǎng)絡(luò)必須經(jīng)過中心交換機(jī)才可以訪問其它虛擬網(wǎng)絡(luò)的電腦。4.3 網(wǎng)絡(luò)資源訪問控制。在中心交換機(jī)上，可以根據(jù)需要開通相關(guān)的訪問權(quán)限。如只允許辦公電腦訪問郵件服務(wù)器的25和110號(hào)兩個(gè)端口，保障郵件服務(wù)器其它端口的安全。4.4 上網(wǎng)行為管理優(yōu)化上網(wǎng)行