公司網(wǎng)絡改造專項方案

企業(yè)網(wǎng)絡改造方案目錄一、現(xiàn)在網(wǎng)絡情況及特點 21.1、采取一般交換機 21.2、全部電腦在同一個子網(wǎng) 21.3、文件服務器缺乏基礎保護 21.4．外來電腦可任意接入 31.5.上網(wǎng)行為存在安全原因 3二、網(wǎng)絡整改目和內容 3三、處理方案及效果 33.1虛擬局域網(wǎng) 33.2網(wǎng)絡訪問控制 33.3網(wǎng)絡安全系統(tǒng)設計 43.4PC準入控制 43.5上網(wǎng)行為管理 43.6資料及數(shù)據(jù)安全方案 4四、改造后網(wǎng)絡特點 54.1構建多個虛擬網(wǎng)絡。 54.2虛擬網(wǎng)絡之間訪問控制。 54.3網(wǎng)絡資源訪問控制。 54.4上網(wǎng)行為管理 5五、日常維護及工作 5一、現(xiàn)在網(wǎng)絡情況及特點 現(xiàn)有網(wǎng)絡無法進行安全管理及控制，缺乏可管理和安全性，一旦網(wǎng)絡出現(xiàn)病毒及網(wǎng)絡攻擊現(xiàn)象，將影響企業(yè)內部全部IT設備及企業(yè)業(yè)務運作。1.1、采取一般交換機現(xiàn)在企業(yè)交換機為TP-LINKTL-sf102410/100M共2臺，全部是二層一般交換機，功效就是進行數(shù)據(jù)轉發(fā)。無法登進交換機查看交換機狀態(tài)、無法查看網(wǎng)絡流量狀態(tài)、無法依據(jù)網(wǎng)絡新需求進行新配置。1.2、全部電腦在同一個子網(wǎng)全部電腦、服務器、網(wǎng)絡設備在同一個網(wǎng)絡內，這意味著這些設備之間能夠任意互連互通，任意一臺電腦感染病毒或受黑客控制時候，能夠直接影響企業(yè)全部IT設備。1.3、文件服務器缺乏基礎保護服務器和電腦設備在同一個網(wǎng)絡中，意味著電腦能夠任意訪問服務器全部端口，而不是依據(jù)應用服務需要去限制只可訪問需要服務，這么服務器任何一個漏洞全部能夠被計算機利用來攻擊服務器。影棚文件服務器，因為該服務器積累了企業(yè)大量關鍵數(shù)據(jù)，現(xiàn)在該服務器已使用多年，CPU頻率過低，系統(tǒng)運行緩慢，經(jīng)過上次對服務器檢修，現(xiàn)發(fā)覺主板RAID芯片已壞，且硬盤存放空間已嚴重不足(8T硬盤，現(xiàn)可用空間為135G)，提議最好更換一臺新服務器，并作好定時對該服務器數(shù)據(jù)備份。該部分需要購置一臺新服務器。1.4．外來電腦可任意接入外來電腦和筆記本能夠任意接進企業(yè)網(wǎng)絡，其電腦上所帶病毒、木馬、惡意工具會影響企業(yè)其它電腦和服務器安全。更輕易造成企業(yè)內部資料外泄。1.5.上網(wǎng)行為存在安全原因訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等和業(yè)務無關網(wǎng)站，會造成病毒和木馬進入企業(yè)內部網(wǎng)絡。職員上班時間下載電影或是在線看視頻資料，會占用極大帶寬資源，造成業(yè)務開展所需要帶寬不夠，收發(fā)郵件變慢。職員上班時間看新聞，軍事，足球，玩網(wǎng)絡游戲，炒股票等等會影響到職員工作效率。二、網(wǎng)絡整改目和內容為了控制企業(yè)網(wǎng)絡資源浪費和規(guī)范企業(yè)職員上班時間電腦使用行為。企業(yè)職員能正確地使用維護各辦公室計算機,有效使用網(wǎng)絡資，做出以下整改。此次改善方案包含了改善及維護方案兩大類，關鍵以改善為主。包含網(wǎng)絡調整和職員電腦等。三、處理方案及效果3.1虛擬局域網(wǎng)假如依據(jù)網(wǎng)絡應用不一樣，建立幾套完全獨立物理網(wǎng)絡，這么做不可行，首先為這幾套網(wǎng)絡重新布線，工程量大，其次是不一樣網(wǎng)絡需要訪問資源不一樣，將這些需要訪問資源再關聯(lián)起來也不是一件輕易事情，所以提議采取虛擬局域網(wǎng)技術來達成網(wǎng)絡隔離目標。虛擬局域網(wǎng)技術，在一個物理網(wǎng)絡中，依據(jù)應用不一樣，把不一樣電腦劃分到不一樣虛擬局域網(wǎng)中，而這些不一樣虛擬局域網(wǎng)之間是不可訪問，該技術成熟并得到廣泛應用。3.2網(wǎng)絡訪問控制在虛擬局域網(wǎng)基礎上，依據(jù)應用不一樣，控制其能夠訪問網(wǎng)絡資源。3.3網(wǎng)絡安全系統(tǒng)設計內網(wǎng)安全設計：訪問控制，經(jīng)過密碼、口令（不定時修改、定時保留密碼和口令）等嚴禁非授權用戶對服務器訪問，和對以后所用到ERP軟件及辦公自動化平臺訪問和管理、用戶身份真實性驗證、內部用戶訪問權限設置、ARP病毒防御、數(shù)據(jù)完整、審計統(tǒng)計、防病毒入侵。外網(wǎng)安全設計：安裝軟件、硬件、防火墻，網(wǎng)絡防病毒軟件，用戶端防病毒軟件；利用代理服務器提供Internet和Intranet之間防火墻功效；經(jīng)過網(wǎng)管實時統(tǒng)計網(wǎng)絡運行狀態(tài)。設置遠程訪問身份認證，預防垃圾郵件等。3.4PC準入控制在交換機端口上綁定企業(yè)電腦MAC地址。當外來電腦接入到企業(yè)網(wǎng)絡時候，交換機會為外來電腦MAC地址不屬于企業(yè)網(wǎng)絡，從而嚴禁外來電腦接入企業(yè)網(wǎng)絡，從內部加強企業(yè)網(wǎng)絡安全性。3.5上網(wǎng)行為管理管理網(wǎng)絡帶寬。依據(jù)各個部門業(yè)務需求不一樣，分配不一樣最高帶寬。同時也依據(jù)應用需求帶寬，給不一樣業(yè)務分配不一樣帶寬。保障關鍵職員和業(yè)務能夠取得足夠帶寬。提升工作效率。針對URL,聊天工具，上網(wǎng)時間，應用程序進行管理，最大程度降低職員利用上網(wǎng)做和工作無關事情時間。如經(jīng)過URL庫，嚴禁職員訪問和業(yè)務無關網(wǎng)站，只許可訪問和工作相關網(wǎng)站。同時對上千萬條URL統(tǒng)計分為新聞，可依據(jù)需要嚴禁訪問其中一些類網(wǎng)站。保障內網(wǎng)安全。阻止各類假冒網(wǎng)銀和假冒網(wǎng)上證券等釣魚網(wǎng)站，保護職員正當權益。嚴禁色情，反動，邪教等非法網(wǎng)站。對傳輸文件格式進行控制，預防不安全格式文件進入內網(wǎng)。防DOS攻擊3.6資料及數(shù)據(jù)安全方案考慮到企業(yè)用戶定單和企業(yè)設計資料安全，能夠經(jīng)過做ACL設置用戶訪問權限，預防用戶訪問不該訪問機密電腦資料，而且并部分控制對E-MAIL，QQ等泄密管道，預防資料外泄，所以加強防火墻安全管理很關鍵，能夠在防火墻上設置嚴禁對外smtp服務，嚴禁經(jīng)過外部郵箱outlook傳輸資料，相關USB封堵，原來應該靠購置行為軟件來規(guī)范，或經(jīng)過AD域組策略來實施，但考慮到預算成本，能夠經(jīng)過腳本（一個exe可實施文件），只需要用管理員身份登陸電腦，點擊一下，就能夠完成PC注冊表修改，嚴禁該電腦USB口四、改造后網(wǎng)絡特點4.1構建多個虛擬網(wǎng)絡。企業(yè)網(wǎng)絡被虛擬成決議層、管理層、行政部、財務部、設計部、客服部、品保部、資材部、服務器區(qū)等多個虛擬網(wǎng)絡。并可依據(jù)需求增加新虛擬網(wǎng)絡4.2虛擬網(wǎng)絡之間訪問控制。不一樣虛擬網(wǎng)絡之間，是不能夠直接訪問。一個虛擬網(wǎng)絡必需經(jīng)過中心交換機才能夠訪問其它虛擬網(wǎng)絡電腦。4.3網(wǎng)絡資源訪問控制。在中心交換機上，能夠依據(jù)需要開通相關訪問權限。如只許可辦公電腦訪問郵件服務器25和110號兩個端口，保障郵件服務器其它端口安全。4.4上網(wǎng)行為管理優(yōu)化上網(wǎng)行為，提升上網(wǎng)安全采取雙鏈路，讓光纖和ADSL能夠同時為業(yè)務服務。五、日常維護及工作對電腦進行