中小企業(yè)網(wǎng)絡(luò)改造專項方案

伍子醉網(wǎng)絡(luò)改造方案目錄一、現(xiàn)在網(wǎng)絡(luò)情況及特點 3二、處理方案及效果 42.1虛擬局域網(wǎng) 42.2網(wǎng)絡(luò)訪問控制 52.3PC準(zhǔn)入控制 53.4上網(wǎng)行為管理 5三、方案產(chǎn)品 6四、改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點 74.1改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 74.2新拓?fù)鋱D特點 7一、現(xiàn)在網(wǎng)絡(luò)情況及特點 現(xiàn)有網(wǎng)絡(luò)無法進(jìn)行安全管理及控制，缺乏可管理和安全性，一旦網(wǎng)絡(luò)出現(xiàn)病毒及網(wǎng)絡(luò)攻擊現(xiàn)象，將會包含到部分部門內(nèi)部數(shù)據(jù)丟失及影響相關(guān)業(yè)務(wù)運(yùn)作。1.1采取一般傻瓜式交換機(jī)現(xiàn)在全所各部門采取交換機(jī)基礎(chǔ)上為TP-LINK、D-LINK10/100M傻瓜式桌面型交換機(jī)，這些交換機(jī)全部是一般二層交換機(jī)，功效就是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。既沒有最基礎(chǔ)網(wǎng)管功效，也無法登進(jìn)交換機(jī)查看交換機(jī)狀態(tài)、無法查看網(wǎng)絡(luò)流量狀態(tài)、無法依據(jù)網(wǎng)絡(luò)新需求進(jìn)行新配置等。1.2各部門小局域網(wǎng)內(nèi)全部電腦及外接設(shè)備在同一個子網(wǎng)各部門間外網(wǎng)用交換機(jī)組成小局域網(wǎng)，里面全部電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備及相關(guān)打印設(shè)備全部在同一個網(wǎng)絡(luò)內(nèi)，這意味著這些設(shè)備之間能夠任意互連互通，任意一臺電腦感染病毒或受黑客控制時候，能夠直接影響網(wǎng)內(nèi)全部電腦及外接設(shè)備。嚴(yán)重時可造成系統(tǒng)癱瘓及硬盤數(shù)據(jù)丟失。1.3電信和移動線路之間產(chǎn)生互連互通問題現(xiàn)在企業(yè)擁有財務(wù)ERP服務(wù)器一臺，服務(wù)器在老廠，新廠經(jīng)過廣域網(wǎng)訪問老廠服務(wù)器，不過在實際應(yīng)用過程中常常發(fā)生連接服務(wù)器不通暢、掉線和訪問速度很慢等問題，原因是因為新廠使用移動網(wǎng)絡(luò)，而老廠使用是電信網(wǎng)絡(luò)，兩大運(yùn)行商之間因為競爭關(guān)系而給對方網(wǎng)絡(luò)做出相關(guān)限制，也就是所謂互連互通問題，最終也就造成了新廠訪問老廠服務(wù)器造成部分問題，通信不通暢，而移動企業(yè)經(jīng)多少處理也是治標(biāo)不治本，也只是臨時處理問題，而一段時間后一樣問題還是會產(chǎn)生。1.4外來電腦可任意接入無法監(jiān)管和控制外來筆記本和其它外接設(shè)備能夠任意接入所內(nèi)任一網(wǎng)絡(luò)，其電腦上所帶病毒、木馬、惡意工具會影響所內(nèi)其它電腦和服務(wù)器安全。尤其是所內(nèi)部分關(guān)鍵部門，只要外來筆記本接入其網(wǎng)內(nèi)，該計算就能夠利用木馬程序竊取該部門網(wǎng)內(nèi)計算機(jī)里關(guān)鍵數(shù)據(jù)及文檔，以至于造成泄密事件發(fā)生。1.5上網(wǎng)行為存在安全原因訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等和業(yè)務(wù)無關(guān)網(wǎng)站，會造成病毒和木馬進(jìn)入該計算機(jī)。以至于造成系統(tǒng)癱瘓或數(shù)據(jù)丟失。職員上班時間下載電影或是在線看視頻資料，會占用極大帶寬資源，造成業(yè)務(wù)開展所需要帶寬不夠，上網(wǎng)變慢。職員上班時間看新聞，軍事，足球，玩網(wǎng)絡(luò)游戲，炒股票等等會影響到職員工作效率。二、處理方案及效果2.1改造方案依據(jù)我所現(xiàn)在現(xiàn)場環(huán)境及所要達(dá)成效果，現(xiàn)有兩套施工方案。2.2網(wǎng)絡(luò)訪問控制此次外網(wǎng)改造，骨干網(wǎng)不管是從線路還是所采取設(shè)備全部是以千兆網(wǎng)標(biāo)準(zhǔn)進(jìn)行設(shè)計和施工。尤其是此次所采取設(shè)備采取是華為或H3C智能型企業(yè)級交換機(jī)。這類企業(yè)級交換機(jī)是全千兆二層智能以太網(wǎng)交換產(chǎn)品，廣泛應(yīng)用于企業(yè)網(wǎng)和園區(qū)網(wǎng)接入和匯聚層，是含有高密度全千兆以太網(wǎng)端口、豐富業(yè)務(wù)特征、便捷WEB配置，為用戶提供高性能、低成本、可WEB網(wǎng)管千兆處理方案，是千兆匯聚或接入理想選擇。這類關(guān)鍵層交換機(jī)通常提供24個千兆電口、4個千兆上行COMBO端口（光電復(fù)用，光口支持SFP光模塊）和一個Console配置端口。S5024P支持經(jīng)過命令行、Web和telnet登錄進(jìn)行配置。這么一來就完全能夠輕松實現(xiàn)各部門之間網(wǎng)絡(luò)訪問權(quán)限控制，在一個能夠預(yù)防網(wǎng)絡(luò)內(nèi)部非法入侵者從內(nèi)部盜用IP地址攻擊其它接入點可能。2.3PC準(zhǔn)入機(jī)制經(jīng)過在骨干交換機(jī)端口上綁定各信息點電腦MAC地址后。就能夠?qū)崿F(xiàn)當(dāng)外來電腦接入到所內(nèi)網(wǎng)絡(luò)時候，交換機(jī)會為外來電腦MAC地址不屬于所區(qū)網(wǎng)絡(luò)從而嚴(yán)禁掉來電腦接入。這么做同時也預(yù)防各信息點以下在私自接入交換機(jī)達(dá)成多臺電腦上網(wǎng)目標(biāo)。2.4上網(wǎng)行為管理對于上網(wǎng)行為管理，此次我們采取是北京網(wǎng)康科技提供NS-3110系列，同時這款設(shè)備也是國防科工委向全省軍工企業(yè)推薦一款產(chǎn)品。網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)（InternetControlGateway,NS-ICG）是一款軟硬件一體化、性能卓越互聯(lián)網(wǎng)控制管理產(chǎn)品。NS-ICG為網(wǎng)絡(luò)管理者提供多種互聯(lián)網(wǎng)接入環(huán)境中靈活身份確定、合規(guī)準(zhǔn)入、網(wǎng)頁過濾、應(yīng)用控制、帶寬管理、外發(fā)合規(guī)檢驗，內(nèi)容留存審計，結(jié)果分析等功效,其具體功效以下。管理網(wǎng)絡(luò)帶寬：依據(jù)各個部門業(yè)務(wù)需求不一樣，分配不一樣最高帶寬。同時也依據(jù)應(yīng)用需求帶寬，給不一樣業(yè)務(wù)分配不一樣帶寬。保障關(guān)鍵職員和業(yè)務(wù)能夠取得足夠帶寬。提升工作效率：針對URL,聊天工具，上網(wǎng)時間，應(yīng)用程序進(jìn)行管理，最大程度降低職員利用上網(wǎng)做和工作無關(guān)事情時間。如經(jīng)過URL庫，嚴(yán)禁職員訪問和業(yè)務(wù)無關(guān)網(wǎng)站，只許可訪問和工作相關(guān)網(wǎng)站。同時對上千萬條URL統(tǒng)計分為新聞，可依據(jù)需要嚴(yán)禁訪問其中一些類網(wǎng)站。保障網(wǎng)內(nèi)安全：阻止各類假冒網(wǎng)銀和假冒網(wǎng)上證券等釣魚網(wǎng)站，保護(hù)職員正當(dāng)權(quán)益。嚴(yán)禁色情，反動，邪教等非法網(wǎng)站。對傳輸文件格式進(jìn)行控制，預(yù)防不安全格式文件進(jìn)入網(wǎng)內(nèi)。實時監(jiān)控審計：查看上線用戶網(wǎng)絡(luò)使用時間和流量信息，立即發(fā)覺異常見戶并加以處理全方面了解用戶上網(wǎng)行為，包含網(wǎng)頁訪問、郵件收發(fā)、即時聊天、論壇發(fā)帖、網(wǎng)絡(luò)娛樂等全部互聯(lián)網(wǎng)活動對于用戶經(jīng)過郵件、聊天、論壇等外講話論信息進(jìn)行合理監(jiān)控，立即過濾有害信息等。終端用戶準(zhǔn)入：20余種用戶身份識別/認(rèn)證方法，確保入網(wǎng)用戶身份正當(dāng)有效，避免外來隱患對計算機(jī)終端環(huán)境進(jìn)行管理，幫助管理者實施計算機(jī)準(zhǔn)入規(guī)范如：必需安裝殺毒軟件方可上網(wǎng)；嚴(yán)禁安裝、運(yùn)行和工作無關(guān)應(yīng)用程序等。三、方案產(chǎn)品序號品牌型號數(shù)量安裝位置功效及特征作用1華為3800一臺中心機(jī)房支持VLAN、組播、QOS、802.1X、SNMP、STP、IPSourceGuard含有防雷能力、功耗低、無風(fēng)扇自動散熱等特征依據(jù)電腦屬于不一樣應(yīng)用部門，將電腦劃分到不一樣虛擬局域網(wǎng)中2CISCO3750一臺支持路由、ACL、VLAN、組播、QOS、802.1X、SNMP、STP、IPSourceGuard，含有防雷能力、大帶寬、高性能、高可靠性等特征各虛擬局域網(wǎng)連接中心，控制虛擬局域網(wǎng)之間訪問及對服務(wù)器訪問規(guī)則3Sinfor5100一臺支持雙鏈路，上網(wǎng)行為管理，URL庫，上網(wǎng)應(yīng)用識別，帶寬管理上網(wǎng)行為管理。提升上網(wǎng)安全，提升職員工作效率，保障關(guān)鍵業(yè)務(wù)和和職員上網(wǎng)所需帶寬45四、改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點4.1改造后網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖4.2新拓?fù)鋱D特點中心機(jī)房統(tǒng)一管理統(tǒng)一維護(hù)此次網(wǎng)絡(luò)改造關(guān)鍵是依據(jù)《軍工保密資格審查認(rèn)證工作指導(dǎo)手冊》中相關(guān)條文及國六條中第一條“嚴(yán)禁私自在機(jī)關(guān)、單位登錄互聯(lián)網(wǎng)”等要求，和企業(yè)或單位內(nèi)部互聯(lián)網(wǎng)必需要有統(tǒng)一監(jiān)管和維護(hù)方法，為了達(dá)成此次改造目標(biāo)，中心機(jī)房能夠作為以后全所外網(wǎng)控制、監(jiān)管及維護(hù)中心。各部門之間訪問控制。不一樣部門間訪