公司網絡改造專項方案

企業(yè)網絡改造方案目錄一、現在網絡情況及特點 21.1、采取一般交換機 21.2、全部電腦在同一個子網 21.3、文件服務器缺乏基礎保護 21.4．外來電腦可任意接入 31.5.上網行為存在安全原因 3二、網絡整改目和內容 3三、處理方案及效果 33.1虛擬局域網 33.2網絡訪問控制 33.3網絡安全系統(tǒng)設計 43.4PC準入控制 43.5上網行為管理 43.6資料及數據安全方案 4四、改造后網絡特點 54.1構建多個虛擬網絡。 54.2虛擬網絡之間訪問控制。 54.3網絡資源訪問控制。 54.4上網行為管理 5五、日常維護及工作 5一、現在網絡情況及特點 現有網絡無法進行安全管理及控制，缺乏可管理和安全性，一旦網絡出現病毒及網絡攻擊現象，將影響企業(yè)內部全部IT設備及企業(yè)業(yè)務運作。1.1、采取一般交換機現在企業(yè)交換機為TP-LINKTL-sf102410/100M共2臺，全部是二層一般交換機，功效就是進行數據轉發(fā)。無法登進交換機查看交換機狀態(tài)、無法查看網絡流量狀態(tài)、無法依據網絡新需求進行新配置。1.2、全部電腦在同一個子網全部電腦、服務器、網絡設備在同一個網絡內，這意味著這些設備之間能夠任意互連互通，任意一臺電腦感染病毒或受黑客控制時候，能夠直接影響企業(yè)全部IT設備。1.3、文件服務器缺乏基礎保護服務器和電腦設備在同一個網絡中，意味著電腦能夠任意訪問服務器全部端口，而不是依據應用服務需要去限制只可訪問需要服務，這么服務器任何一個漏洞全部能夠被計算機利用來攻擊服務器。影棚文件服務器，因為該服務器積累了企業(yè)大量關鍵數據，現在該服務器已使用多年，CPU頻率過低，系統(tǒng)運行緩慢，經過上次對服務器檢修，現發(fā)覺主板RAID芯片已壞，且硬盤存放空間已嚴重不足(8T硬盤，現可用空間為135G)，提議最好更換一臺新服務器，并作好定時對該服務器數據備份。該部分需要購置一臺新服務器。1.4．外來電腦可任意接入外來電腦和筆記本能夠任意接進企業(yè)網絡，其電腦上所帶病毒、木馬、惡意工具會影響企業(yè)其它電腦和服務器安全。更輕易造成企業(yè)內部資料外泄。1.5.上網行為存在安全原因訪問不安全網站，如暴力、黃色、賭博、股票等和業(yè)務無關網站，會造成病毒和木馬進入企業(yè)內部網絡。職員上班時間下載電影或是在線看視頻資料，會占用極大帶寬資源，造成業(yè)務開展所需要帶寬不夠，收發(fā)郵件變慢。職員上班時間看新聞，軍事，足球，玩網絡游戲，炒股票等等會影響到職員工作效率。二、網絡整改目和內容為了控制企業(yè)網絡資源浪費和規(guī)范企業(yè)職員上班時間電腦使用行為。企業(yè)職員能正確地使用維護各辦公室計算機,有效使用網絡資，做出以下整改。此次改善方案包含了改善及維護方案兩大類，關鍵以改善為主。包含網絡調整和職員電腦等。三、處理方案及效果3.1虛擬局域網假如依據網絡應用不一樣，建立幾套完全獨立物理網絡，這么做不可行，首先為這幾套網絡重新布線，工程量大，其次是不一樣網絡需要訪問資源不一樣，將這些需要訪問資源再關聯起來也不是一件輕易事情，所以提議采取虛擬局域網技術來達成網絡隔離目標。虛擬局域網技術，在一個物理網絡中，依據應用不一樣，把不一樣電腦劃分到不一樣虛擬局域網中，而這些不一樣虛擬局域網之間是不可訪問，該技術成熟并得到廣泛應用。3.2網絡訪問控制在虛擬局域網基礎上，依據應用不一樣，控制其能夠訪問網絡資源。3.3網絡安全系統(tǒng)設計內網安全設計：訪問控制，經過密碼、口令（不定時修改、定時保留密碼和口令）等嚴禁非授權用戶對服務器訪問，和對以后所用到ERP軟件及辦公自動化平臺訪問和管理、用戶身份真實性驗證、內部用戶訪問權限設置、ARP病毒防御、數據完整、審計統(tǒng)計、防病毒入侵。外網安全設計：安裝軟件、硬件、防火墻，網絡防病毒軟件，用戶端防病毒軟件；利用代理服務器提供Internet和Intranet之間防火墻功效；經過網管實時統(tǒng)計網絡運行狀態(tài)。設置遠程訪問身份認證，預防垃圾郵件等。3.4PC準入控制在交換機端口上綁定企業(yè)電腦MAC地址。當外來電腦接入到企業(yè)網絡時候，交換機會為外來電腦MAC地址不屬于企業(yè)網絡，從而嚴禁外來電腦接入企業(yè)網絡，從內部加強企業(yè)網絡安全性。3.5上網行為管理管理網絡帶寬。依據各個部門業(yè)務需求不一樣，分配不一樣最高帶寬。同時也依據應用需求帶寬，給不一樣業(yè)務分配不一樣帶寬。保障關鍵職員和業(yè)務能夠取得足夠帶寬。提升工作效率。針對URL,聊天工具，上網時間，應用程序進行管理，最大程度降低職員利用上網做和工作無關事情時間。如經過URL庫，嚴禁職員訪問和業(yè)務無關網站，只許可訪問和工作相關網站。同時對上千萬條URL統(tǒng)計分為新聞，可依據需要嚴禁訪問其中一些類網站。保障內網安全。阻止各類假冒網銀和假冒網上證券等釣魚網站，保護職員正當權益。嚴禁色情，反動，邪教等非法網站。對傳輸文件格式進行控制，預防不安全格式文件進入內網。防DOS攻擊3.6資料及數據安全方案考慮到企業(yè)用戶定單和企業(yè)設計資料安全，能夠經過做ACL設置用戶訪問權限，預防用戶訪問不該訪問機密電腦資料，而且并部分控制對E-MAIL，QQ等泄密管道，預防資料外泄，所以加強防火墻安全管理很關鍵，能夠在防火墻上設置嚴禁對外smtp服務，嚴禁經過外部郵箱outlook傳輸資料，相關USB封堵，原來應該靠購置行為軟件來規(guī)范，或經過AD域組策略來實施，但考慮到預算成本，能夠經過腳本（一個exe可實施文件），只需要用管理員身份登陸電腦，點擊一下，就能夠完成PC注冊表修改，嚴禁該電腦USB口四、改造后網絡特點4.1構建多個虛擬網絡。企業(yè)網絡被虛擬成決議層、管理層、行政部、財務部、設計部、客服部、品保部、資材部、服務器區(qū)等多個虛擬網絡。并可依據需求增加新虛擬網絡4.2虛擬網絡之間訪問控制。不一樣虛擬網絡之間，是不能夠直接訪問。一個虛擬網絡必需經過中心交換機才能夠訪問其它虛擬網絡電腦。4.3網絡資源訪問控制。在中心交換機上，能夠依據需要開通相關訪問權限。如只許可辦公電腦訪問郵件服務器25和110號兩個端口，保障郵件服務器其它端口安全。4.4上網行為管理優(yōu)化上網行為，提升上網安全采取雙鏈路，讓光纖和ADSL能夠同時為業(yè)務服務。五、日常維護及工作對電腦進行