內(nèi)外網(wǎng)分離建設(shè)方案

中國XX集團(tuán)公司內(nèi)外網(wǎng)分離建設(shè)方案（XX寶雞熱電廠）2015年8月

目錄TOC\o"1-4"\h\z\u1 概述 32 需求分析 32.1現(xiàn)狀 32.2需求 53 外網(wǎng)方案 53.1整體架構(gòu)設(shè)計 53.2無線網(wǎng)絡(luò)設(shè)計 73.2.1選型原則 83.2.2具體AP布放設(shè)計 83.2.3AP接入層設(shè)計 93.2.4無線熱點(diǎn)部署設(shè)計 10（1）小開間密集應(yīng)用場景——智分解決方案 10（2）大開間密集應(yīng)用場景——靈動天線解決方案 11（3）小開間稀疏應(yīng)用場景——WALLAP解決方案 123.3無線接入認(rèn)證設(shè)計 123.2.1終端智能識別的WEB認(rèn)證 123.2.2基于802.1X的無感知認(rèn)證 133.2.3訪客二維碼認(rèn)證 153.4安全設(shè)計 163.3.1防火墻 163.3.2互聯(lián)網(wǎng)控制網(wǎng)關(guān) 174 內(nèi)網(wǎng)方案 184.1、整體架構(gòu)設(shè)計 184.1、網(wǎng)管軟件 204.1、桌面安全管理 214.3、網(wǎng)閘 215 附件設(shè)備選型清單及預(yù)算 21

概述XX集團(tuán)為貫徹落實(shí)公安部《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和國家能源局《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》（國能安全〔2014〕317號）等相關(guān)管理規(guī)定，結(jié)合《中國XX集團(tuán)信息化總體規(guī)劃》和《中國XX集團(tuán)信息化總體規(guī)劃實(shí)施行動方案》要求，制定關(guān)于建設(shè)“中國XX集團(tuán)公司內(nèi)網(wǎng)與互聯(lián)網(wǎng)分離”工作的要求，保證中國XX集團(tuán)公司（以下簡稱集團(tuán)公司）信息網(wǎng)絡(luò)的安全，完善企業(yè)信息化建設(shè)?，F(xiàn)依據(jù)XX集團(tuán)“雙網(wǎng)分離”安全體系建設(shè)目標(biāo)，對集團(tuán)公司下轄二級單位（含下屬三級單位）內(nèi)網(wǎng)及互聯(lián)網(wǎng)分離工作做如下安排：集團(tuán)公司下轄二級單位（含下屬三級單位）通過對現(xiàn)有企業(yè)網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行調(diào)整，對各業(yè)務(wù)系統(tǒng)進(jìn)行合理的安全域劃分，區(qū)別防護(hù)，建立健全網(wǎng)絡(luò)安全體系，防范各類安全威脅和安全事故的發(fā)生，及時處理信息安全事件，杜絕次生信息安全事故。XX寶雞熱電廠作為XX陜西分公司下屬三級單位，需要按要求實(shí)施內(nèi)外網(wǎng)分離。需求分析2.1現(xiàn)狀寶雞熱電廠網(wǎng)絡(luò)如下圖所示，已有一張網(wǎng)絡(luò)，內(nèi)外網(wǎng)沒有分離；核心為兩臺Cisco6509，兩臺配置一致，冷備；數(shù)據(jù)中心到其他建筑已敷設(shè)8芯多模光纖（個別由其他建筑物轉(zhuǎn)接的是4芯多模光纖）有1條200MInternet出口2.2需求建設(shè)1套無線網(wǎng)絡(luò)作為外網(wǎng)，原有網(wǎng)絡(luò)斷開Internet連接，作為內(nèi)網(wǎng)；內(nèi)外網(wǎng)添加必要的安全設(shè)備，更換老舊設(shè)備部署一套網(wǎng)絡(luò)管理系統(tǒng)，統(tǒng)一管理內(nèi)網(wǎng)設(shè)備外網(wǎng)方案3.1整體架構(gòu)設(shè)計如下圖所示，包含以下設(shè)備及功能：采用無線覆蓋的方式新建一套外網(wǎng)系統(tǒng)，采用單核心方案，采用單防火墻（集成有防病毒及信息防泄漏及IPS）及單互聯(lián)網(wǎng)控制網(wǎng)關(guān)（集成上網(wǎng)行為管理、網(wǎng)絡(luò)審計）采用獨(dú)立式的無線控制器，以及身份認(rèn)證系統(tǒng)用戶要求無線覆蓋的區(qū)域（詳見《3.1.2具體AP布放設(shè)計》）新購設(shè)備如下：序號設(shè)備部署位置設(shè)備型號規(guī)格數(shù)量說明1核心交換機(jī)模塊插槽5個（2個用于管理引擎）交換容量7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率2,160Mpps/7,200Mpps，24個千兆以太電口（RJ45），20個千兆以太光口（SFPLC），4個萬兆以太網(wǎng)光口。20個多模SFP1外網(wǎng)核心交換機(jī)2無線控制器自帶8個千兆電口，2個SFP復(fù)用口，默認(rèn)支持32個AP，最大支持200個AP,增加64個AP許可1無線控制器3接入交換機(jī)24端口10/100/1000Base-T自適應(yīng)以太網(wǎng)電口交換機(jī)，4個非復(fù)用的SFP接口，1個USB2.0接口1DMZ區(qū)接入交換機(jī)4POE交換機(jī)（千兆上聯(lián)24口POE,）24口10/100/1000M自適應(yīng)電口(最多支持24口PoE供電或12口PoE+遠(yuǎn)程供電)，4口SFP非復(fù)用端口，每端口最大PoE功率輸出30W，整機(jī)輸出最大PoE功率為370W，配置2個多模SFP1外網(wǎng)終端及AP接入交換機(jī)，POE供電5POE交換機(jī)（千兆上聯(lián)12口POE）24口10/100/1000M自適應(yīng)電口(最多支持12口PoE供電或6口PoE+遠(yuǎn)程供電)，4口SFP非復(fù)用端口，每端口最大PoE功率輸出30W，整機(jī)輸出最大PoE功率為185W，配置2個多模SFP5外網(wǎng)終端及AP接入交換機(jī)，POE供電6單端口以太網(wǎng)供電適配器單端口以太網(wǎng)供電適配器2與光電轉(zhuǎn)換器配合后為單個AP提供網(wǎng)絡(luò)連接及供電7身份認(rèn)證軟件軟件標(biāo)準(zhǔn)版，直接支持Radius身份認(rèn)證，可獨(dú)立運(yùn)行，無須配合SAM使用；按在線終端數(shù)授權(quán)；軟件本體包含100終端的授權(quán)，增加1000個終端授權(quán)1身份認(rèn)證軟件8有線無線一體化網(wǎng)管系統(tǒng)提供拓?fù)湔故荆?5個有線許可，100個無線許可1外網(wǎng)網(wǎng)管軟件9放裝AP室內(nèi)靈動天線型無線接入點(diǎn)，內(nèi)置X-sense3靈動天線，雙路雙頻，支持2條空間流，整機(jī)最大接入速率1167Mbps，可支持802.11a/b/g/n和802.11ac同時工作，胖/瘦模式切換、WAPI、雙電口上聯(lián)、PoE和本地供電,，預(yù)留USB接口。（PoE和本地電源適配器需單獨(dú)選購）18放裝AP10智分AP智分+解決方案AP主機(jī)，24個千兆POE下聯(lián)接口，2個千兆上聯(lián)電口，2個萬千自適應(yīng)SFP+上聯(lián)光口。支持最大24個微AP射頻模塊。每臺主機(jī)占用4個無線控制器licence17智分AP11防火墻2U硬件，默認(rèn)6GE網(wǎng)絡(luò)接口,支持1000人以內(nèi)，支持個2模塊化插槽，支持4GE/4SFP/8GE/8SFP模塊擴(kuò)展；含專用操作系統(tǒng)、防火墻軟件、IPSecVPN、流量管理、應(yīng)用控制、用戶管理；1年IPS授權(quán)與升級、AV授權(quán)與升級、URL過濾授權(quán)與升級、應(yīng)用協(xié)議庫升級、軟件版本升級和硬件質(zhì)保。1外網(wǎng)防火墻，具有防病毒、IPS、信息防泄漏功能12互聯(lián)網(wǎng)控制網(wǎng)關(guān)適用1500人以下網(wǎng)絡(luò)環(huán)境；2U硬件，電口接入，含專用操作系統(tǒng)與上網(wǎng)行為管理標(biāo)準(zhǔn)軟件；含一年硬件質(zhì)保服務(wù)。1年軟件版本升級服務(wù)，提供新版本功能優(yōu)化與性能提升價值。URL庫、應(yīng)用協(xié)議庫定期更新，保持對網(wǎng)絡(luò)應(yīng)用識別與管理的有效性。1外網(wǎng)上網(wǎng)行為管理，審計13服務(wù)器2U機(jī)架式PC服務(wù)器，2顆XeonE5-2603V3CPU，16GB內(nèi)存，2*1TBSAS硬盤，雙電源。含操作系統(tǒng)。3外網(wǎng)網(wǎng)管、身份認(rèn)證、日志服務(wù)器XX寶雞熱電廠外網(wǎng)示意圖3.2無線網(wǎng)絡(luò)設(shè)計為保證無線網(wǎng)絡(luò)的穩(wěn)定性，所有AP都通過PoE交換機(jī)實(shí)現(xiàn)上行有線接入。配置獨(dú)立的無線控制器。配置有線無線一體化網(wǎng)管系統(tǒng)及相應(yīng)許可，實(shí)現(xiàn)一體化管理。3.2.1選型原則辦公樓，綜合辦公樓，檢修樓1層，4層，宿舍樓，業(yè)修樓，每層一般在20間辦公室，房間密度較高，房間深度在6~8米，并且每間辦公室的辦公人員在10人以下。采用分布式部署的無線產(chǎn)品，將無線天線部署在辦公室內(nèi)，可以減少AP因穿過過多的墻體而產(chǎn)生較高的衰減。從而實(shí)現(xiàn)優(yōu)質(zhì)的無線覆蓋效果。檢修樓2層，3層，物資部，燃料樓，每層辦公室都在12間以下，每層的房間密度較低，采用樓道放裝AP的方式進(jìn)行覆蓋時，無線信號穿透的墻體基本可控制在1堵墻，從而信號衰減不會影響使用，因此，通過具有智能天線的無線AP可滿足辦公室的無線覆蓋使用。并且采用11ac放裝型AP可以滿足多個房間終端的高速并發(fā)接入。部分大會議室和大辦公室環(huán)境下人員密度較高，環(huán)境面積較大，為保證無線接入容量以及接效果，建議采用高性能的支持11ac協(xié)議的放裝型AP進(jìn)行覆蓋。3.2.2具體AP布放設(shè)計勘測區(qū)域樓層信息區(qū)域部署方案辦公樓1L整層智分2L整層智分3L整層智分4L整層智分5L整層智分6L整層智分綜合辦公樓2L整層智分3L整層智分檢修樓1L整層智分2L整層放裝3L整層放裝4L整層智分燃料樓2L整層放裝物資部1L整層放裝2L整層放裝宿舍樓1L整層智分2L整層智分夜休樓3L整層智分4L整層智分5L整層智分3.2.3AP接入層設(shè)計AP接入層，作為無線用戶的終端接入設(shè)備，需要實(shí)現(xiàn)用戶的高速接入，能夠滿足突發(fā)流量對帶寬的要求。本次方案設(shè)計使用了千兆POE接入交換機(jī)，實(shí)現(xiàn)千兆到桌面的高標(biāo)準(zhǔn)要求。同時每臺設(shè)備通過千兆線路上聯(lián)到匯聚設(shè)備，并且接入設(shè)備上有足夠的端口冗余，一方面保證了臨時增加終端設(shè)備的需求，一方面可以用來將來對上行帶寬的擴(kuò)展。同時在接入層需要開啟以下功能：然后，為了滿足用戶的靈活接入的方式，要求支持WEB認(rèn)證的需求。同時在接入層需要開啟以下功能：開啟認(rèn)證為了創(chuàng)造良好和諧的上網(wǎng)氛圍，我們需要對辦公網(wǎng)中的所有用戶進(jìn)行接入認(rèn)證，從而達(dá)到實(shí)名審計的要求。本方案中支持兩種認(rèn)證方式：802.1X認(rèn)證，Portal認(rèn)證?？梢愿鶕?jù)各個樓層辦公用戶的實(shí)際情況，靈活選擇接入方式，兩種認(rèn)證方式其中一種認(rèn)證需要安裝客戶端（802.1x），首次安裝稍顯麻煩；其中一種不需用客戶端（Portal），采用WEB認(rèn)證的方式。開啟安全防護(hù)所有接入交換機(jī)開啟ARP攻擊防御功能，有效阻斷網(wǎng)絡(luò)病毒對全網(wǎng)照成的影響。開啟設(shè)備的CPU保護(hù)功能防止終端發(fā)起的對網(wǎng)絡(luò)設(shè)備的攻擊，對攻擊報文進(jìn)行限速和丟包處理。端口環(huán)路防護(hù)為了防止端口環(huán)路，在所有接入設(shè)備上開啟端口環(huán)路防護(hù)功能，一旦下聯(lián)出現(xiàn)環(huán)路，設(shè)備將自動關(guān)閉環(huán)路端口，解除環(huán)路造成的廣播風(fēng)暴。開啟網(wǎng)絡(luò)管理功能在接入設(shè)備上開啟SNMP功能，要求能夠通過網(wǎng)絡(luò)管理軟件進(jìn)行遠(yuǎn)程管理和控制。3.2.4無線熱點(diǎn)部署設(shè)計（1）小開間密集應(yīng)用場景——智分解決方案場景特點(diǎn)：狹長走廊：無線信號在狹長的空間中被來回的反射，形成“多徑干擾”信號覆蓋：墻壁全部采用磚混結(jié)構(gòu)、有的房間有金屬防盜門、信號穿透后衰減大，信號覆蓋要能滿足手機(jī)、PAD等低功率無線終端的接入。性能要求：普通辦公室一般在10人以下，要滿足視頻傳輸需求，對無線的性能要求高。解決方案：AP智分方式綜合了放裝解決方案和室分解決方案的優(yōu)點(diǎn)，并加以改良。整體方案由無線控制器，智分AP，饋線，智能天線4部分組成，無需外置功分器、耦合器等。部署簡單，易于管理和維護(hù)，也節(jié)省了成本。同時由于集成了兩塊射頻卡，使得性能不再成為瓶頸。非常適合房間網(wǎng)這樣的密集部署環(huán)境。（2）大開間密集應(yīng)用場景——靈動天線解決方案場景舉例：大辦公室場景特點(diǎn)：人數(shù)多：用戶密度高，對用戶性能要求高空間大：面積大，比較空曠便利性：終端種類多，移動性強(qiáng)解決方案：彩板房區(qū)采用高性能的產(chǎn)品和會思考的的靈動天線，靈動天線徹底解決傳統(tǒng)天線存在覆蓋盲區(qū)的弱點(diǎn)；快速、準(zhǔn)確的識別到你的終端類型，如果是使用功率較低的手機(jī)、平板電腦等移動終端時，X-sense能夠通過動態(tài)信號補(bǔ)償技術(shù)辦公生產(chǎn)樓和圖書館采用放裝式吊頂部署，AP放置于天花板上，部分樓宇由于層高較高，為了保證覆蓋效果，可考慮放裝式壁掛部署。（3）小開間稀疏應(yīng)用場景——WALLAP解決方案場景舉例：分散獨(dú)立辦公室場景特點(diǎn)：信號要求高：磚混厚墻，對無線覆蓋效果影響很大。美觀性：不能破壞整體裝修、對美觀性要求非常高。用戶少：用戶不多，無高并發(fā)終端需求。解決方案：分散獨(dú)立辦公室采用面板式AP進(jìn)行部署，面板式AP采用標(biāo)準(zhǔn)的86開關(guān)面板盒規(guī)格，而且還集成了以太網(wǎng)口和IP電話接口。部署簡便，設(shè)備美觀，整個部署過程只需要三步就能快速實(shí)現(xiàn)無線網(wǎng)絡(luò)覆蓋。第一步、拆去房間內(nèi)原有的有線網(wǎng)絡(luò)的接口面板；第二步、更換原接入交換機(jī)為POE交換機(jī)；第三步、將原有網(wǎng)線插在迷你型上并直接安裝就能即插即用。它打破了以往無線網(wǎng)絡(luò)建設(shè)的老舊方式，無需再拉新的網(wǎng)線，而是有效利用了既有的網(wǎng)絡(luò)，將網(wǎng)絡(luò)新建對房間環(huán)境的影響降到最低，美觀性很好。3.3無線接入認(rèn)證設(shè)計3.2.1終端智能識別的WEB認(rèn)證無線網(wǎng)絡(luò)在提供便捷網(wǎng)絡(luò)服務(wù)的同時，仍需確保只有合法的用戶才能使用無線網(wǎng)絡(luò)。WEB認(rèn)證就是一種對用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的身份認(rèn)證方法，這種認(rèn)證方法不需要用戶安裝專用的客戶端認(rèn)證軟件，使用普通的瀏覽器軟件就可以進(jìn)行身份認(rèn)證，是目前無線主流的認(rèn)證方式之一。而且隨著近年來iPhone、iPad、Android、WindowsPhone等各種智能能移動終端的日益普及，網(wǎng)絡(luò)中不再是清一色的筆記本電腦終端。一個智能的無線網(wǎng)絡(luò)，必須能夠考慮到不同的終端類型、屏幕尺寸對Portal認(rèn)證頁面的不同要求，實(shí)時地對各種終端類型進(jìn)行識別，并推送符合終端屏幕尺寸的WEBPortal頁面，使用戶能夠更為便捷的輸入用戶名及密碼，提升無線用戶體驗(yàn)。無線控制器不僅支持終端自動識別功能和WEBPortal頁面推送，而且推送的認(rèn)證頁面還可以根據(jù)用戶自定義放置一些廣告、通知、業(yè)務(wù)鏈接等，提供更多個性化服務(wù)。若配合SMP認(rèn)證服務(wù)器還可實(shí)現(xiàn)基于終端類型的角色、訪問權(quán)限的劃分等，幫助網(wǎng)絡(luò)運(yùn)維人員實(shí)現(xiàn)更為精細(xì)化的無線用戶管理。圖STYLEREF1\s3SEQ圖示：\*ARABIC\s11自適應(yīng)認(rèn)證頁面3.2.2基于802.1X的無感知認(rèn)證IEEE802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，主要目的是為了解決無線用戶的接入認(rèn)證問題。對于基于IEEE802.11系列標(biāo)準(zhǔn)的無線局域網(wǎng)，通過對無線用戶的身份驗(yàn)證，無線網(wǎng)絡(luò)可以打開或關(guān)閉無線終端接入的接口，同時還可以根據(jù)其身份屬性，為其分配動態(tài)角色和VLAN，確保用戶終端接入的安全性。在安全性上，WEBPortal認(rèn)證不提供密鑰的生成和交換機(jī)制，因此所有的用戶流量都是以明文方式傳輸?shù)?，容易被截獲和偵聽；IEEE802.1X（WPA2-AES）符合IEEE802.11i安全標(biāo)準(zhǔn)，在用戶認(rèn)證的基礎(chǔ)上，對每個報文采用不同的密鑰進(jìn)行逐包加密，具有更高的安全性。在便捷性上，WEBPortal認(rèn)證直接通過瀏覽器輸入用戶名及密碼，整個操作過程較為簡單快捷；普通的IEEE802.1X認(rèn)證一般需要安裝認(rèn)證客戶端或?qū)Σ僮飨到y(tǒng)原生認(rèn)證客戶端進(jìn)行配置等，操作過程較為復(fù)雜，用戶體驗(yàn)相對較差。為了保證無線用戶接入同時具有較高安全性和便捷性，BYOD（Bringyourowndevice）解決方案中提出了基于IEEE802.1X的無感知認(rèn)證技術(shù)，用戶只需要在第一次認(rèn)證中安裝一個快速1X配置助手，并完成首次用戶名及密碼的輸入，以后無線終端只要發(fā)現(xiàn)無線信號，就會自動進(jìn)行IEEE802.1X的接入認(rèn)證并連接無線網(wǎng)絡(luò)，真正實(shí)現(xiàn)“一次登陸，三步操作，后續(xù)無憂”，帶給用戶最佳的使用體驗(yàn)。圖STYLEREF1\s3SEQ圖示：\*ARABIC\s12步驟1：連接無感知認(rèn)證的SSID后選擇1X快速配置助手圖STYLEREF1\s3SEQ圖示：\*ARABIC\s13步驟2：確認(rèn)運(yùn)行快速配置助手圖STYLEREF1\s3SEQ圖示：\*ARABIC\s14步驟3：輸入完后用戶名和密碼后，即可訪問WLAN圖STYLEREF1\s3SEQ圖示：\*ARABIC\s15手機(jī)無感知認(rèn)證過程3.2.3訪客二維碼認(rèn)證如接待來訪的嘉賓，并需為其提供快捷的無線上網(wǎng)服務(wù)。而傳統(tǒng)的無線網(wǎng)絡(luò)一般會在會議室、接待室等訪客接待區(qū)域啟用一個基于PSK認(rèn)證的WLAN，并在可視區(qū)域貼放這個WLAN對應(yīng)共享密碼，訪客的體驗(yàn)也是較為麻煩，不友好等，而且這個密碼極易擴(kuò)散，網(wǎng)絡(luò)安全得不到保證，網(wǎng)絡(luò)運(yùn)維人員需定期的更換這個WLAN的密碼和對應(yīng)的標(biāo)貼，極大的增加網(wǎng)絡(luò)運(yùn)維難度。圖STYLEREF1\s3SEQ圖示：\*ARABIC\s16傳統(tǒng)WLAN提供的密碼標(biāo)貼本方案提出了更為先進(jìn)的訪客接待解決方案——二維碼認(rèn)證。訪客使用移動智能終端訪問無線網(wǎng)絡(luò)后，網(wǎng)絡(luò)的認(rèn)證系統(tǒng)將生成專用的二維碼推送到訪客的終端上，如圖5-15步驟1。負(fù)責(zé)接待的員工使用自己的已認(rèn)證通過的合法終端對訪客的二維碼進(jìn)行掃描并自動反饋到認(rèn)證系統(tǒng)，如圖5-15步驟2。認(rèn)證系統(tǒng)記錄下訪客和對應(yīng)接待者的身份信息并確認(rèn)臨時開戶，訪客和接待者收到反饋后即可直接訪問網(wǎng)絡(luò)，如圖5-15步驟3。僅需“掃一掃”就可便捷的為訪客提供無線網(wǎng)絡(luò)服務(wù)，這是無線認(rèn)證技術(shù)為提供用戶體驗(yàn)的又一次創(chuàng)新。3.4安全設(shè)計3.3.1防火墻功能要求：基本防火墻功能傳統(tǒng)攻擊防護(hù)IPSECVPNSSLVPN鏈路負(fù)載均衡流量控制訪問控制用戶識別應(yīng)用識別集成入侵防御集成防病毒集成網(wǎng)址過濾主動防御信息防泄漏3.3.2互聯(lián)網(wǎng)控制網(wǎng)關(guān)互聯(lián)網(wǎng)控制網(wǎng)管應(yīng)該具有以下功能網(wǎng)頁訪問審計與過濾Web是互聯(lián)網(wǎng)上內(nèi)容最豐富、訪問量最大的應(yīng)用，然而網(wǎng)頁內(nèi)容良莠不齊，充斥許多反動、暴力、色情以及其它不健康的信息；此外，大量網(wǎng)絡(luò)應(yīng)用，如P2P，IM，網(wǎng)絡(luò)電視、游戲等等，也借助HTTP協(xié)議或者80端口，一方面躲避防火墻的封堵，一方面攜帶病毒、惡意軟件，為內(nèi)網(wǎng)用戶帶來安全風(fēng)險，擠占網(wǎng)絡(luò)帶寬?；ヂ?lián)網(wǎng)控制網(wǎng)關(guān)通過預(yù)分類過濾技術(shù)、URL自動分類引擎以及靈活的策略設(shè)置，對違反國家法律、危害企業(yè)安全的內(nèi)容進(jìn)行過濾，避免用戶有意無意訪問包含非法內(nèi)容的網(wǎng)頁，凈化網(wǎng)絡(luò)，減少病毒進(jìn)入局域網(wǎng)的幾率，降低企業(yè)法律風(fēng)險，創(chuàng)造文明健康的上網(wǎng)環(huán)境。應(yīng)用控制隨著技術(shù)的迅猛發(fā)展，各種互聯(lián)網(wǎng)應(yīng)用層出不窮，如即時通訊（IM）、網(wǎng)絡(luò)游戲、在線炒股以及在線音樂視頻等等。未加管理的使用，不可避免地影響員工的工作效率。在一項(xiàng)調(diào)查中，超過80%的員工在上班時間做過與工作無關(guān)的工作，其中，有60%的被調(diào)查員工承認(rèn)其主要是在玩網(wǎng)絡(luò)游戲、用QQ/MSN等即時通訊軟件聊天，以及炒股等等。這些不當(dāng)網(wǎng)絡(luò)活動大大降低了員工的工作效率，造成了企業(yè)人力資源的嚴(yán)重浪費(fèi)。帶寬管理網(wǎng)絡(luò)應(yīng)用層出不窮，對帶寬資源的占用也越來越高，特別是以P2P為代表的下載軟件，如果不加限制，會嚴(yán)重消耗企業(yè)的帶寬資源，從而影響正常的業(yè)務(wù)數(shù)據(jù)的傳輸?；ヂ?lián)網(wǎng)控制網(wǎng)關(guān)支持應(yīng)用層的帶寬分配與流量管理，可以針對用戶或部門、按照時間段，對每一種應(yīng)用協(xié)議進(jìn)行帶寬限制?；ヂ?lián)網(wǎng)控制網(wǎng)關(guān)像一臺網(wǎng)絡(luò)協(xié)議分析儀，能夠識別并統(tǒng)計網(wǎng)絡(luò)上有哪些類型的數(shù)據(jù)在傳輸，哪些應(yīng)用在運(yùn)行，哪些協(xié)議在使用，哪些服務(wù)器的流量占用了主要的帶寬資源，哪個用戶的上網(wǎng)行為顯著消耗了帶寬等。根據(jù)這些量化的統(tǒng)計數(shù)據(jù)，通過預(yù)先設(shè)定若干個虛擬的帶寬通道，將帶寬通道與具體的用戶或網(wǎng)絡(luò)應(yīng)用綁定，從而對其流量進(jìn)行限制、整形，達(dá)到帶寬管理的目的。內(nèi)容審計和過濾通過互聯(lián)網(wǎng)傳遞信息已經(jīng)成為企業(yè)的關(guān)鍵應(yīng)用，然而信息的機(jī)密性、健康性、政治性等問題也隨之而來。通過互聯(lián)網(wǎng)控制網(wǎng)關(guān)，您可以制定精細(xì)化的信息收發(fā)監(jiān)控策略，有效控制信息的傳播范圍，控制敏感信息的泄露，避免可能引起的法律風(fēng)險。終端控制與準(zhǔn)入終端設(shè)備是網(wǎng)絡(luò)安全的主體，不良軟件的使用、防護(hù)系統(tǒng)缺失都可能帶來終端安全隱患，進(jìn)而影響內(nèi)網(wǎng)安全?；ヂ?lián)網(wǎng)控制網(wǎng)關(guān)設(shè)備能夠通過統(tǒng)一下發(fā)的客戶端軟件，結(jié)合統(tǒng)一的策略配置，檢測終端系統(tǒng)的進(jìn)程、文件、注冊表、操作系統(tǒng)及補(bǔ)丁、殺毒軟件及病毒庫等信息，制定準(zhǔn)入規(guī)則。查詢統(tǒng)計與報表分析對用戶網(wǎng)絡(luò)行為進(jìn)行記錄與分析，是上網(wǎng)行為管理產(chǎn)品必備的重要功能。對日志的存留與分析，既是對國家法律法規(guī)的遵從，也是真正管理好企業(yè)員工上網(wǎng)、有效利用網(wǎng)絡(luò)資源的需要。針對用戶上網(wǎng)行為以及相關(guān)內(nèi)容查詢統(tǒng)計，能夠?qū)τ脩舻木W(wǎng)絡(luò)活動進(jìn)行較長時間的回溯與反查，幫助管理員全面了解網(wǎng)絡(luò)的使用情況，為改進(jìn)網(wǎng)絡(luò)管理提供詳實(shí)準(zhǔn)確的依據(jù)。內(nèi)網(wǎng)方案4.1、整體架構(gòu)設(shè)計如下圖所示，內(nèi)網(wǎng)只更新核心交換機(jī)及安全設(shè)備，不改變接入層設(shè)備及接入方式：采用雙核心交換機(jī)架構(gòu)防火墻（集成有防病毒及信息防泄漏及IPS，與外網(wǎng)防火墻一樣）網(wǎng)絡(luò)審計（包含終端準(zhǔn)入，與外網(wǎng)互聯(lián)網(wǎng)控制網(wǎng)關(guān)是同一設(shè)備）網(wǎng)管軟件桌面安全管理系統(tǒng)新購設(shè)備如下：序號設(shè)備部署位置設(shè)備型號規(guī)格數(shù)量說明1核心交換機(jī)模塊插槽5個（2個用于管理引擎）交換容量7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率2,160Mpps/7,200Mpps，24個千兆以太電口（RJ45），20個千兆以太光口（SFPLC），4個萬兆以太網(wǎng)光口。20個單模SFP2內(nèi)網(wǎng)核心（雙核心）2防火墻2U硬件，默認(rèn)6GE網(wǎng)絡(luò)接口,支持1000人以內(nèi)，支持個2模塊化插槽，支持4GE/4SFP/8GE/8SFP模塊擴(kuò)展；含專用操作系統(tǒng)、防火墻軟件、IPSecVPN、流量管理、應(yīng)用控制、用戶管理；1年IPS授權(quán)與升級、AV授權(quán)與升級、URL過濾授權(quán)與升級、應(yīng)用協(xié)議庫升級、軟件版本升級和硬件質(zhì)保。1外網(wǎng)防火墻，具有防病毒、IPS、信息防泄漏功能3網(wǎng)絡(luò)審計適用1500人以下網(wǎng)絡(luò)環(huán)境；2U硬件，電口接入，含專用操作系統(tǒng)與上網(wǎng)行為管理標(biāo)準(zhǔn)軟件；含一年硬件質(zhì)保服務(wù)。1年軟件版本升級服務(wù)，提供新版本功能優(yōu)化與性能提升價值。URL庫、應(yīng)用協(xié)議庫定期更新，保持對網(wǎng)絡(luò)應(yīng)用識別與管理的有效性。1外網(wǎng)上網(wǎng)行為管理，審計4桌面管理每終端授權(quán)，適用終端數(shù)量范圍X-X，含1年升級服務(wù)（具體按桌面數(shù)定，暫定500）含移動介質(zhì)管理500桌面管理軟件及許可5網(wǎng)管軟件涵蓋內(nèi)網(wǎng)網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲管理；整個陜西分公司作為一個大網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，各電廠獲得授權(quán)只管理自有電廠網(wǎng)絡(luò)，每個電廠有1臺數(shù)據(jù)采集服務(wù)器，總網(wǎng)管服務(wù)器在省分公司1內(nèi)網(wǎng)網(wǎng)管軟件6網(wǎng)閘XX先一網(wǎng)閘（單向）1內(nèi)外網(wǎng)通訊7服務(wù)器2U機(jī)架式PC服務(wù)器，2顆XeonE5-2603V3CPU，16GB內(nèi)存，2*1TBSAS硬盤，雙電源。含操作系統(tǒng)。3內(nèi)網(wǎng)網(wǎng)管、桌面管理認(rèn)證、日志服務(wù)器XX寶雞熱電廠內(nèi)網(wǎng)示意圖4.1、網(wǎng)管軟件完成對不同廠商的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、中間件、無線設(shè)備、虛擬化設(shè)備等IT基礎(chǔ)架構(gòu)的監(jiān)控功能，也可以實(shí)現(xiàn)對機(jī)房環(huán)境信息的監(jiān)控管理，并對各項(xiàng)資源進(jìn)行數(shù)據(jù)采集，建模分析實(shí)現(xiàn)業(yè)務(wù)視角IT管理，為CIO提供信息化管理決策依據(jù)。另外還配有知識庫、自動巡檢、流量分析等功能方便運(yùn)維人員的日常管理工作。4.1、桌面安全管理桌面安全管理為用戶構(gòu)建能夠有效抵御已知病毒、0day漏洞、未知惡意代碼和APT攻擊的新一代終端安全防御體系，并提供企業(yè)安全統(tǒng)一管控、終端硬件準(zhǔn)入、軟件準(zhǔn)入、上網(wǎng)行為管理等諸多管理類功能。安全趨勢監(jiān)控安全運(yùn)維管理惡意軟件防護(hù)終端軟件管理外設(shè)與移動存儲管理XP防護(hù)硬件資產(chǎn)管理企業(yè)軟件統(tǒng)一管理終端流量管理終端準(zhǔn)入管理遠(yuǎn)程技術(shù)支持日志報表查詢4.3、網(wǎng)閘用于內(nèi)外網(wǎng)特殊業(yè)務(wù)通訊，如確認(rèn)沒有該需求，建議不用網(wǎng)閘。附件設(shè)備選型清單及預(yù)算5.1、外網(wǎng)設(shè)備序號設(shè)備部署位置設(shè)備型號規(guī)格數(shù)量預(yù)算單價預(yù)算小計1核心交換機(jī)模塊插槽5個（2個用于管理引擎）交換容量7.2Tbps/24Tbps，包轉(zhuǎn)發(fā)速率2,160Mpps/7,200Mpps，24個千兆以太電口（RJ45），20個千兆以太光口（SFPLC），4個萬兆以太網(wǎng)光口。20個多模SFP1￥181,425.00￥181,425.002無線控制器自帶8個千兆電口，2個SFP復(fù)用口，默認(rèn)支持32個AP，最大支持200個AP,增加64個AP許可1￥30,550.00￥30,550.003接入交換機(jī)24端口10/100/1000Base-T自適應(yīng)以太網(wǎng)電口交換機(jī)，4個非復(fù)用的SFP接口，1個USB2.0接口1￥7,665.00￥7,665.004POE交換機(jī)（千兆上聯(lián)24口POE,）24口10/100/1000M自適應(yīng)電口(最多支持24口PoE供電或12口PoE+遠(yuǎn)程供電)，4口SFP非復(fù)用端口，每端口最大PoE功率輸出30W，整機(jī)輸出最大PoE功率為370W，配置2個多模SFP1￥9,850.00￥9,850.005POE交換機(jī)（千兆上聯(lián)12口POE）24口10/100/1000M自適應(yīng)電口(最多支持12口PoE供電或6口PoE+遠(yuǎn)程供電)，4口SFP非復(fù)用端口，每端口最大PoE功率輸出30W，整機(jī)輸出最大PoE功率為185W，配置2個多模SFP5￥8,400.00￥42,000.006單端口以太網(wǎng)供電適配器單端口以太網(wǎng)供電適配器2￥687.50￥1,375.007身份認(rèn)證軟件軟件標(biāo)準(zhǔn)版，直接支持Radius身份認(rèn)證，可獨(dú)立運(yùn)行，無須配合SAM使用；按在線終端數(shù)授權(quán)；軟件本體包含100終端的授權(quán)，增加1000個終端授權(quán)1￥45,000.00￥45,000.008有線無線一體化網(wǎng)管系統(tǒng)提供拓?fù)湔故荆?5個有線許可，100個無線許可1￥44,660.00￥44,660.009放裝AP室內(nèi)靈動天線型無線接入點(diǎn)，內(nèi)置X-sense3靈動天線，雙路雙頻，支持2條空間流，整機(jī)最大接入速率1167Mbps，可支持802.11a/b/g/n和802.11ac同時工作，胖/瘦模式切換、WAPI、雙電口上聯(lián)、PoE和本地供電,，預(yù)留USB接口。（PoE和本地電源適配器需單獨(dú)選購）18￥3,000.00￥54,000.0010智分AP智分+解決方案AP主機(jī)，24個千兆POE下聯(lián)接口，2個千兆上聯(lián)電口，2個萬千自適應(yīng)SFP+上聯(lián)光口。支持最大24個微AP射頻模塊。每臺主機(jī)占用4個無線控制器licence17￥24,750.00￥420,750.0011防火墻2U硬件，默認(rèn)6GE網(wǎng)絡(luò)接口,支持1000人以內(nèi)，支持個2模塊化插槽，支持4GE/4SFP/8GE/8SFP模塊擴(kuò)展；含專用操作系統(tǒng)、防火墻軟件、IPSecVPN、流量管理、應(yīng)用控制、用戶管理；1年IPS授權(quán)與升級、AV授權(quán)與升級