計(jì)算機(jī)網(wǎng)絡(luò)改造專項(xiàng)方案設(shè)計(jì)

****網(wǎng)絡(luò)建設(shè)方案**科技有限公司4月目錄 1**** 1網(wǎng)絡(luò)建設(shè)方案 1第1章概述 11.1項(xiàng)目背景 11.2需求分析: 11.3設(shè)計(jì)原則: 2第2章網(wǎng)路方案設(shè)計(jì) 22.1總體網(wǎng)絡(luò)架構(gòu) 32.2總體建設(shè)內(nèi)容 4第3章方案闡明 53.1優(yōu)化網(wǎng)絡(luò)架構(gòu) 53.2網(wǎng)絡(luò)安全建設(shè) 63.3應(yīng)用系統(tǒng)接入安全 9第4章選型參照 13第1章概述1.1項(xiàng)目背景****有限責(zé)任公司（簡(jiǎn)稱中原乙烯）是由中華人民共和國(guó)石油化工集團(tuán)公司與河南省人民政府合資建設(shè)、**股份公司控股大型石化公司。當(dāng)前公司重要業(yè)務(wù)系統(tǒng)有OA系統(tǒng)以及ERP系統(tǒng)。隨著公司持續(xù)穩(wěn)定發(fā)展，越來(lái)越依賴于信息化系統(tǒng)建設(shè)。優(yōu)化網(wǎng)絡(luò)系統(tǒng)構(gòu)造，集中化管理，穩(wěn)定網(wǎng)絡(luò)，是集團(tuán)業(yè)務(wù)開(kāi)展基本；網(wǎng)絡(luò)系統(tǒng)安全，應(yīng)用系統(tǒng)安全，廣域網(wǎng)數(shù)據(jù)傳播安全，是集團(tuán)業(yè)務(wù)正常開(kāi)展保障；高效信息網(wǎng)絡(luò)系統(tǒng)，可以整體提高集團(tuán)辦公效率。1.2需求分析:隨著業(yè)務(wù)不斷發(fā)展，IT運(yùn)用與業(yè)務(wù)結(jié)合不斷進(jìn)一步，集團(tuán)當(dāng)前網(wǎng)絡(luò)狀況已經(jīng)不能較好滿足業(yè)務(wù)發(fā)展需要，有如下問(wèn)題需要解決：鏈路出口問(wèn)題：當(dāng)前單位沒(méi)有獨(dú)立網(wǎng)路出口，與其她單位共享網(wǎng)絡(luò)出口，尋常出口不由單位進(jìn)行管理。一旦連接出口網(wǎng)絡(luò)線路故障，影響整個(gè)尋常辦公；同步存在尋常管理不變，例如針對(duì)服務(wù)器外聯(lián)互聯(lián)網(wǎng)需要開(kāi)端口映射，需要其她單位協(xié)調(diào)；單位尋常出口流量帶寬遭受限制，影響互聯(lián)網(wǎng)接入速度等等問(wèn)題。外出人員接入，數(shù)據(jù)安全性及無(wú)法保障眾多余差在外領(lǐng)導(dǎo)和員工需要實(shí)現(xiàn)隨時(shí)隨處接入到總部OA服務(wù)器以及ERP服務(wù)器訪問(wèn)應(yīng)用，實(shí)現(xiàn)移動(dòng)辦公。在公司信息平臺(tái)上應(yīng)用數(shù)據(jù)當(dāng)前都是未經(jīng)加密等安全解決，跑在互聯(lián)網(wǎng)這個(gè)不安全而又開(kāi)放網(wǎng)絡(luò)上。一旦數(shù)據(jù)遭到篡改或竊取，帶來(lái)?yè)p失將無(wú)法預(yù)計(jì)。內(nèi)網(wǎng)安全問(wèn)題：隨著網(wǎng)絡(luò)技術(shù)發(fā)展、移動(dòng)互聯(lián)普及、新興應(yīng)用不斷涌現(xiàn)，在尋常管理使用發(fā)現(xiàn)某些不穩(wěn)定和不安全因素。如針對(duì)OA網(wǎng)站存在SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件；網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)漏洞襲擊等。尚有內(nèi)網(wǎng)顧客更新防毒軟件、漏洞不及時(shí)、軟口令等給網(wǎng)絡(luò)帶來(lái)很大隱患。1.3設(shè)計(jì)原則:按照公司業(yè)務(wù)對(duì)網(wǎng)絡(luò)系統(tǒng)需求，公司信息化部門對(duì)網(wǎng)絡(luò)建設(shè)總體規(guī)劃，依托既有網(wǎng)絡(luò)架構(gòu)，建設(shè)穩(wěn)定、安全、可靠集團(tuán)信息化網(wǎng)絡(luò)平臺(tái)，推動(dòng)集團(tuán)業(yè)務(wù)系統(tǒng)全面應(yīng)用，提高公司業(yè)務(wù)效率，全力打造高質(zhì)量公司網(wǎng)絡(luò)系統(tǒng)。因而，本期網(wǎng)絡(luò)建設(shè)通過(guò)如下三方面內(nèi)容建設(shè)，將集團(tuán)網(wǎng)絡(luò)系統(tǒng)建成安全、高效網(wǎng)絡(luò)系統(tǒng)。優(yōu)化網(wǎng)絡(luò)架構(gòu)：對(duì)既有網(wǎng)絡(luò)進(jìn)行優(yōu)化，優(yōu)化基本網(wǎng)絡(luò)平臺(tái)，提高網(wǎng)絡(luò)穩(wěn)定性和可管理性。建設(shè)網(wǎng)絡(luò)系統(tǒng)安全：遵循有關(guān)原則，對(duì)既有網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面改造，建成安全網(wǎng)絡(luò)系統(tǒng)。加固應(yīng)用系統(tǒng)接入安全：按照集團(tuán)應(yīng)用系統(tǒng)保密級(jí)別，業(yè)務(wù)中重要性等原則，實(shí)現(xiàn)精細(xì)化應(yīng)用系統(tǒng)安全管理。第2章網(wǎng)路方案設(shè)計(jì)2.1總體網(wǎng)絡(luò)架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以優(yōu)化網(wǎng)絡(luò)架構(gòu)，建設(shè)網(wǎng)絡(luò)系統(tǒng)安全，加固應(yīng)用系統(tǒng)安全為原則，以及考慮到技術(shù)先進(jìn)性、成熟性，并采用模塊化設(shè)計(jì)辦法，組網(wǎng)圖如下所示：本次方案建議采用負(fù)載均衡設(shè)備、下一代防火墻設(shè)備、SSLVPN各一臺(tái)，分別布置在如下位置：鏈路負(fù)載均衡：布置在互聯(lián)網(wǎng)出口，單位重新申請(qǐng)多條互聯(lián)網(wǎng)鏈路，提高鏈路穩(wěn)定性同步，提高帶寬運(yùn)用率，避免單條鏈路故障。安全防護(hù)：布置**內(nèi)網(wǎng)防火墻1臺(tái)于外網(wǎng)互聯(lián)網(wǎng)后段，針對(duì)顧客內(nèi)網(wǎng)終端及應(yīng)用服務(wù)器提供安全防護(hù)功能。移動(dòng)人員接入：針對(duì)領(lǐng)導(dǎo)及內(nèi)部員工出差出差辦公，采用SSLVPN進(jìn)行移動(dòng)接入。2.2總體建設(shè)內(nèi)容集團(tuán)本期網(wǎng)絡(luò)建設(shè)總體內(nèi)容，重要涉及如下4個(gè)方面：優(yōu)化網(wǎng)絡(luò)架構(gòu)：總部向運(yùn)營(yíng)商申請(qǐng)多條互聯(lián)網(wǎng)鏈路，出口布置鏈路負(fù)載均衡設(shè)備，保障鏈路穩(wěn)定性，提高鏈路運(yùn)用率建設(shè)網(wǎng)絡(luò)安全系統(tǒng)：內(nèi)部布置防火墻系統(tǒng)，隔離內(nèi)網(wǎng)網(wǎng)絡(luò)，保障內(nèi)網(wǎng)安全加固應(yīng)用系統(tǒng)接入安全：針對(duì)領(lǐng)導(dǎo)及員工需要出差需要訪問(wèn)內(nèi)部OA及ERP系統(tǒng)，通過(guò)sslvpn接入，進(jìn)行應(yīng)用系統(tǒng)訪問(wèn)權(quán)限授權(quán)和可信訪問(wèn)，防止越權(quán)訪問(wèn)。第3章方案闡明3.1優(yōu)化網(wǎng)絡(luò)架構(gòu)既有鏈路出口與其她單位共享，單位申請(qǐng)多條鏈路之后，出口采用**負(fù)載均衡設(shè)備。重要體現(xiàn)如下優(yōu)勢(shì)：出/入站鏈路負(fù)載均衡：**AD出站負(fù)載均衡技術(shù)可覺(jué)得內(nèi)部終端上網(wǎng)選取最佳途徑，均衡分派上網(wǎng)流量。同步，針對(duì)外部顧客訪問(wèn)單位門戶網(wǎng)站或者內(nèi)部員工在外部訪問(wèn)內(nèi)部oa系統(tǒng)，AD入站負(fù)載均衡技術(shù)可以自動(dòng)為顧客選取最優(yōu)鏈路進(jìn)行訪問(wèn)，從而保障外來(lái)顧客訪問(wèn)體驗(yàn)迅速、穩(wěn)定。鏈路帶寬資源合理運(yùn)用，解決擁塞問(wèn)題：**AD還具備鏈路繁忙控制技術(shù)，可覺(jué)得特定鏈路設(shè)定相應(yīng)閥值，再結(jié)合**AD全面負(fù)載均衡算法，使得當(dāng)某條鏈路達(dá)到閥值之后，顧客訪問(wèn)祈求將會(huì)通過(guò)事先設(shè)定負(fù)載算法分派到其他鏈路之上。此外，**AD設(shè)備DNS透明代理技術(shù)能同步對(duì)多條鏈路同步發(fā)起DNS祈求探測(cè)，然后依照實(shí)現(xiàn)設(shè)定負(fù)載方略，為顧客返回相應(yīng)DNS祈求成果，避免帶寬資源浮現(xiàn)閑置狀況，實(shí)現(xiàn)對(duì)鏈路帶寬資源合理運(yùn)用，輕松解決擁塞問(wèn)題。健全鏈路健康檢查：**健全鏈路健康檢查機(jī)制可以保障校園網(wǎng)出口持續(xù)性。當(dāng)流量流經(jīng)AD設(shè)備時(shí)，AD會(huì)通過(guò)預(yù)先設(shè)定好方略判斷每條鏈路健康狀況（鏈路健康檢查），并決定將流量負(fù)載均衡到哪條鏈路，然后數(shù)據(jù)包源地址轉(zhuǎn)換成相應(yīng)ISP網(wǎng)段公網(wǎng)地址，再將該數(shù)據(jù)包發(fā)出。響應(yīng)數(shù)據(jù)包返回到**AD時(shí)，**AD將目地址進(jìn)行轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部顧客或服務(wù)器。3.2網(wǎng)絡(luò)安全建設(shè)在互聯(lián)網(wǎng)出口區(qū)域布置**下一代防火墻，對(duì)互聯(lián)網(wǎng)出口流量進(jìn)行流量過(guò)濾，提供L2-L7安全防護(hù)。通過(guò)**下一代防火墻設(shè)備可以阻擋大量初級(jí)襲擊并實(shí)現(xiàn)訪問(wèn)控制、入侵防御、惡意代碼過(guò)濾和web安全防護(hù)。重要體當(dāng)前如下幾方面：網(wǎng)絡(luò)邊界應(yīng)用層訪問(wèn)控制防護(hù)內(nèi)部系統(tǒng)有OA系統(tǒng)以及ERP系統(tǒng)安全規(guī)定比較高，因而，建議采用下一代防火墻設(shè)備將內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)邏輯隔離，加強(qiáng)訪問(wèn)控制同步還可以對(duì)業(yè)務(wù)服務(wù)器進(jìn)行NAT地址轉(zhuǎn)換，隱藏其IP地址，避免被襲擊。通過(guò)布置NGAF產(chǎn)品在數(shù)據(jù)中心區(qū)域安全邊界，提供了更加先進(jìn)訪問(wèn)控制規(guī)則，除了老式五元組設(shè)立，NGAF還設(shè)計(jì)了基于顧客、應(yīng)用、內(nèi)容安全控制方略，實(shí)現(xiàn)了更加全面先進(jìn)八元組訪問(wèn)控制。NGAF還提供了更精細(xì)應(yīng)用層安全控制，辨認(rèn)內(nèi)外網(wǎng)近種應(yīng)用，并支持涉及AD域、Radius等8種顧客身份辨認(rèn)方式，全面保證數(shù)據(jù)中心區(qū)域區(qū)域權(quán)限控制。網(wǎng)絡(luò)邊界入侵防御和web防護(hù)在邊界防護(hù)保障中，網(wǎng)絡(luò)出口布置防火墻重要工作在網(wǎng)絡(luò)層和傳播層，防范大某些基本網(wǎng)絡(luò)襲擊，而對(duì)于整個(gè)互聯(lián)網(wǎng)中襲擊分布，70%以上都來(lái)自應(yīng)用層，這些襲擊都是防火墻所無(wú)法防御。當(dāng)前OA業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)是B/S架構(gòu)業(yè)務(wù)，存在比較大web安全風(fēng)險(xiǎn)，**下一代防火墻NGAF有效結(jié)合了web襲擊靜態(tài)規(guī)則及基于黑客襲擊過(guò)程動(dòng)態(tài)防御機(jī)制，實(shí)現(xiàn)雙向內(nèi)容檢測(cè)，提供OWASP定義十大安全威脅襲擊防護(hù)能力，有效防止常用web襲擊。（如，SQL注入、XSS跨站腳本、CSRF跨站祈求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁(yè)掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問(wèn)題。系統(tǒng)/應(yīng)用漏洞襲擊防護(hù)針對(duì)于內(nèi)部業(yè)務(wù)系統(tǒng)服務(wù)器存在操作系統(tǒng)底層系統(tǒng)漏洞及業(yè)務(wù)系統(tǒng)安全漏洞，**下一代防火墻NGAF提供了實(shí)時(shí)漏洞發(fā)現(xiàn)功能，可以對(duì)通過(guò)設(shè)備流量進(jìn)行實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析，且不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外流量。實(shí)時(shí)漏洞檢測(cè)功能可以發(fā)現(xiàn)底層軟件漏洞、業(yè)務(wù)發(fā)布軟件漏洞、Web應(yīng)用風(fēng)險(xiǎn)漏洞、插件漏洞、Web不安全配備、弱口令等各種安全缺陷。對(duì)于檢測(cè)到漏洞信息，NGAF還能提供詳細(xì)漏洞闡明，如漏洞類型，數(shù)量，描述，危害闡明等信息。圖7圖8**還創(chuàng)新性將實(shí)時(shí)漏洞檢測(cè)和入侵襲擊行為進(jìn)行結(jié)合，從海量襲擊日記中迅速辨認(rèn)出真正對(duì)網(wǎng)站業(yè)務(wù)應(yīng)用有危害“有效襲擊”，從而大大減少安全運(yùn)維工作，讓IT人員將更多精力放在有效威脅防護(hù)上面。**下一代防火墻NGAF提供基于操作系統(tǒng)和應(yīng)用程序漏洞襲擊防護(hù)，防止襲擊者運(yùn)用操作系統(tǒng)（如windowssever/、linux、unix）及發(fā)布軟件漏洞（如，IIS、Apache等）對(duì)網(wǎng)站進(jìn)行系統(tǒng)提權(quán)、系統(tǒng)破壞、信息竊取等襲擊。3.3應(yīng)用系統(tǒng)接入安全3.3.1更安全SSLVPN在應(yīng)用系統(tǒng)安全加固方面，采用登錄SSLVPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證主線進(jìn)行保障。SSLVPN接入認(rèn)證方式可采用顧客名密碼、USBKEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或各種認(rèn)證組合，多重組合軟硬結(jié)合保證接入身份擬定性。在顧客接入SSLVPN后進(jìn)行應(yīng)用訪問(wèn)權(quán)限劃分對(duì)于享有訪問(wèn)權(quán)限應(yīng)用系統(tǒng)采用主從賬號(hào)綁定SSLVPN登錄賬號(hào)和應(yīng)用系統(tǒng)賬號(hào)。顧客只可采用指定賬號(hào)訪問(wèn)應(yīng)用系統(tǒng)。由于登錄SSLVPN身份已通過(guò)多重認(rèn)證確認(rèn)，而后又進(jìn)行指定應(yīng)用賬號(hào)訪問(wèn)，即可保障登錄應(yīng)用系統(tǒng)人員身份。3.3.2更迅速SSLVPN3.3.2.1多線路智能選路對(duì)于移動(dòng)辦公人員，SSLVPN訪問(wèn)速度直接影響到辦公效率。導(dǎo)致速度訪問(wèn)低下往往有如下幾種狀況：跨運(yùn)營(yíng)商訪問(wèn)、高丟包高延時(shí)惡劣網(wǎng)絡(luò)質(zhì)量，要全面提高速度，就需要解決以上幾種速度瓶頸問(wèn)題。為了避免線路單點(diǎn)故障，組織網(wǎng)絡(luò)出口普通采用多運(yùn)營(yíng)商線路來(lái)保證線路級(jí)別穩(wěn)定。國(guó)內(nèi)有線網(wǎng)絡(luò)格局為“北聯(lián)通、南電信”，使用SSLVPN接入到總部顧客往往辦公地點(diǎn)不固定，使用線路有網(wǎng)通有電信。但使用電信顧客并不一定由總部電信線路接入，一旦為跨運(yùn)營(yíng)商接入，將面臨高丟包率現(xiàn)象，導(dǎo)致數(shù)據(jù)頻繁重傳將導(dǎo)致傳播速度低下。為理解決跨運(yùn)營(yíng)商訪問(wèn)問(wèn)題，SANGFORSSLVPN提出了一種基于Web自動(dòng)選路辦法對(duì)顧客接入進(jìn)行最優(yōu)化選路，從線路級(jí)別保證接入速度最快。當(dāng)顧客在進(jìn)行SSLVPN接入時(shí)，將自動(dòng)對(duì)總部各條線路進(jìn)行實(shí)時(shí)速度探測(cè)，并選取最快線路進(jìn)行接入。有別于老式SSLVPN解決多線路接入時(shí)采用IP地址庫(kù)鑒定辦法，SANGFORSSLVPN多線路智能選路技術(shù)更為智能和人性化。老式IP地址庫(kù)通過(guò)鑒定顧客端所采用IP屬于網(wǎng)通還是電信IP地址段，并固定限定電信必要從總部電信線路接入，聯(lián)通必要從聯(lián)通接入。但使用多線路狀況往往會(huì)遇到多條線路上帶寬、占用率不均現(xiàn)象。若是電信線路跑得較滿，若電信顧客從電信接入速度反而比從網(wǎng)通接入速度更慢，這樣固化選路方式反而減少了顧客訪問(wèn)速度。SANGFORSSLVPN多線路智能選路支持設(shè)備與多線路直連、通過(guò)前置設(shè)備（如防火墻等）直連兩種方式下多線路技術(shù)?？蔀榫€路設(shè)立高、中、低三種優(yōu)先級(jí)設(shè)立，當(dāng)顧客登錄SSLVPN頁(yè)面發(fā)起連接祈求時(shí)，SSLVPN設(shè)備將會(huì)依照線路優(yōu)先級(jí)及時(shí)延進(jìn)行綜合優(yōu)選，從而實(shí)現(xiàn)速度與鏈路權(quán)值負(fù)載均衡效果。SANGFORSSLVPN支持多線路下上網(wǎng)數(shù)據(jù)選路方略，可配備線路優(yōu)先選取SSLVPN設(shè)立優(yōu)先級(jí)較低線路，從而實(shí)現(xiàn)上網(wǎng)流量與VPN流量在分流、智能迅速接入、多線路主備下布置。3.3.2.2 HTP迅速傳播合同無(wú)論是邊遠(yuǎn)地區(qū)網(wǎng)絡(luò)線路質(zhì)量低下，還是移動(dòng)無(wú)線訪問(wèn)，其速度低下都可反映為網(wǎng)絡(luò)高丟包、高延時(shí)現(xiàn)象。時(shí)延越大直接拖慢了整個(gè)傳播速度，而丟包現(xiàn)象嚴(yán)重將進(jìn)一步拖滯傳播速度。到丟包達(dá)到一定限度，甚至雙方主線無(wú)法建立連接，更不用說(shuō)進(jìn)行數(shù)據(jù)傳播了。網(wǎng)絡(luò)高丟包高延時(shí)對(duì)TCP合同傳播影響尤為重。如圖中所示，老式TCP合同擁塞控制機(jī)制為“慢上升、快下降”。網(wǎng)絡(luò)環(huán)境好時(shí)候，傳播滑動(dòng)窗口大小緩慢增長(zhǎng)，但窗口最大僅為64K。但在傳播過(guò)程中，一旦浮現(xiàn)丟包現(xiàn)象，窗口大小將及時(shí)減小到原有窗口普通。同步丟包后將重新傳播窗口內(nèi)所丟數(shù)據(jù)包后所有數(shù)據(jù)。可見(jiàn)，老式TCP傳播速度增長(zhǎng)慢、擁塞控制機(jī)制應(yīng)變差、重傳機(jī)制效率低下，面對(duì)高丟包、高延時(shí)網(wǎng)絡(luò)速度非常不抱負(fù)。針對(duì)老式TCP“慢上升、快下降”低效傳播機(jī)制，SANGFORSSLVPN提出了HTP迅速傳播合同技術(shù)。HTP合