計算機(jī)網(wǎng)絡(luò)改造方案

計算機(jī)網(wǎng)絡(luò)改造方案****網(wǎng)絡(luò)建設(shè)方案****網(wǎng)絡(luò)建設(shè)方案**科技有限公司2016年4月目錄 鏈路負(fù)載均衡：部署在互聯(lián)網(wǎng)出口，單位重新申請多條互聯(lián)網(wǎng)鏈路，提高鏈路穩(wěn)定性的同時，提高帶寬利用率，避免單條鏈路故障。安全防護(hù)：部署**內(nèi)網(wǎng)防火墻1臺于外網(wǎng)互聯(lián)網(wǎng)后段，針對用戶的內(nèi)網(wǎng)終端及應(yīng)用服務(wù)器提供安全防護(hù)功能。移動人員接入：針對領(lǐng)導(dǎo)及內(nèi)部員工出差出差辦公，采用SSLVPN進(jìn)行移動接入。2.2總體建設(shè)內(nèi)容集團(tuán)本期網(wǎng)絡(luò)建設(shè)總體內(nèi)容，主要包括以下4個方面：優(yōu)化網(wǎng)絡(luò)架構(gòu)：總部向運(yùn)營商申請多條互聯(lián)網(wǎng)鏈路，出口部署鏈路負(fù)載均衡設(shè)備，保障鏈路穩(wěn)定性，提高鏈路利用率建設(shè)網(wǎng)絡(luò)安全系統(tǒng)：內(nèi)部部署防火墻系統(tǒng)，隔離內(nèi)網(wǎng)網(wǎng)絡(luò)，保障內(nèi)網(wǎng)安全加固應(yīng)用系統(tǒng)接入安全：針對領(lǐng)導(dǎo)及員工需要出差需要訪問內(nèi)部OA及ERP系統(tǒng)，通過sslvpn接入，進(jìn)行應(yīng)用系統(tǒng)訪問權(quán)限的授權(quán)和可信訪問，防止越權(quán)訪問。第3章方案說明3.1優(yōu)化網(wǎng)絡(luò)架構(gòu)現(xiàn)有鏈路出口與其他單位共享，單位申請多條鏈路之后，出口采用**負(fù)載均衡設(shè)備。主要體現(xiàn)如下優(yōu)勢：出/入站鏈路負(fù)載均衡：**AD的出站負(fù)載均衡技術(shù)能夠為內(nèi)部終端上網(wǎng)選擇最佳路徑，均衡分配上網(wǎng)流量。同時，針對外部用戶訪問單位的門戶網(wǎng)站或者內(nèi)部員工在外部訪問內(nèi)部oa系統(tǒng)，AD的入站負(fù)載均衡技術(shù)能夠自動為用戶選擇最優(yōu)鏈路進(jìn)行訪問，從而保障外來用戶的訪問體驗快速、穩(wěn)定。鏈路帶寬資源合理利用，解決擁塞問題：**AD還具有鏈路繁忙控制技術(shù)，可以為特定鏈路設(shè)定相應(yīng)的閥值，再結(jié)合**AD全面的負(fù)載均衡算法，使得當(dāng)某條鏈路達(dá)到閥值之后，用戶的訪問請求將會通過事先設(shè)定的負(fù)載算法分配到其它鏈路之上。另外，**AD設(shè)備的DNS透明代理技術(shù)能同時對多條鏈路同時發(fā)起DNS請求探測，然后根據(jù)實現(xiàn)設(shè)定的負(fù)載策略，為用戶返回相應(yīng)的DNS請求結(jié)果，避免帶寬資源出現(xiàn)閑置的情況，實現(xiàn)對鏈路帶寬資源的合理利用，輕松解決擁塞問題。健全的鏈路健康檢查：**健全的鏈路健康檢查機(jī)制能夠保障校園網(wǎng)出口的連續(xù)性。當(dāng)流量流經(jīng)AD設(shè)備時，AD會通過預(yù)先設(shè)定好的策略判斷每條鏈路的健康狀況（鏈路健康檢查），并決定將流量負(fù)載均衡到哪條鏈路，然后數(shù)據(jù)包的源地址轉(zhuǎn)換成相應(yīng)ISP網(wǎng)段的公網(wǎng)地址，再將該數(shù)據(jù)包發(fā)出。響應(yīng)數(shù)據(jù)包返回到**AD時，**AD將目的地址進(jìn)行轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務(wù)器。3.2網(wǎng)絡(luò)安全建設(shè)在互聯(lián)網(wǎng)出口區(qū)域部署**下一代防火墻，對互聯(lián)網(wǎng)出口流量進(jìn)行流量過濾，提供L2-L7的安全防護(hù)。通過**下一代防火墻設(shè)備能夠阻擋大量初級的攻擊并實現(xiàn)訪問控制、入侵防御、惡意代碼過濾和web安全防護(hù)。主要體現(xiàn)在以下幾方面：網(wǎng)絡(luò)邊界的應(yīng)用層訪問控制防護(hù)內(nèi)部系統(tǒng)有OA系統(tǒng)以及ERP系統(tǒng)安全要求比較高，因此，建議采用下一代防火墻設(shè)備將內(nèi)網(wǎng)區(qū)域與互聯(lián)網(wǎng)邏輯隔離，加強(qiáng)訪問控制的同時還能夠?qū)I(yè)務(wù)服務(wù)器進(jìn)行NAT地址轉(zhuǎn)換，隱藏其IP地址，避免被攻擊。通過部署NGAF產(chǎn)品在數(shù)據(jù)中心區(qū)域安全邊界，提供了更加先進(jìn)的訪問控制規(guī)則，除了傳統(tǒng)的五元組設(shè)置，NGAF還設(shè)計了基于用戶、應(yīng)用、內(nèi)容的安全控制策略，實現(xiàn)了更加全面先進(jìn)的八元組訪問控制。NGAF還提供了更精細(xì)的應(yīng)用層安全控制，識別內(nèi)外網(wǎng)近2000種應(yīng)用，并支持包括AD域、Radius等8種用戶身份識別方式，全面保證數(shù)據(jù)中心區(qū)域區(qū)域的權(quán)限控制。網(wǎng)絡(luò)邊界的入侵防御和web防護(hù)在邊界防護(hù)保障中，網(wǎng)絡(luò)出口部署的防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，防范大部分基礎(chǔ)的網(wǎng)絡(luò)攻擊，而對于整個互聯(lián)網(wǎng)中的攻擊分布，70%以上都來自應(yīng)用層，這些攻擊都是防火墻所無法防御的。目前OA業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)是B/S架構(gòu)的業(yè)務(wù)，存在比較大的web安全風(fēng)險，**下一代防火墻NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)則及基于黑客攻擊過程的動態(tài)防御機(jī)制，實現(xiàn)雙向的內(nèi)容檢測，提供OWASP定義的十大安全威脅的攻擊防護(hù)能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護(hù)網(wǎng)站免受網(wǎng)站篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。系統(tǒng)/應(yīng)用漏洞攻擊防護(hù)針對于內(nèi)部業(yè)務(wù)系統(tǒng)服務(wù)器存在操作系統(tǒng)底層的系統(tǒng)漏洞及業(yè)務(wù)系統(tǒng)的安全漏洞，**下一代防火墻NGAF提供了實時漏洞發(fā)現(xiàn)功能，可以對經(jīng)過設(shè)備的流量進(jìn)行實時漏洞風(fēng)險分析，且不會給網(wǎng)絡(luò)產(chǎn)生額外的流量。實時漏洞檢測功能能夠發(fā)現(xiàn)底層軟件漏洞、業(yè)務(wù)發(fā)布軟件漏洞、Web應(yīng)用風(fēng)險漏洞、插件漏洞、Web不安全配置、弱口令等多種安全缺陷。對于檢測到的漏洞信息，NGAF還能提供詳細(xì)的漏洞說明，如漏洞類型，數(shù)量，描述，危害說明等信息。圖7圖8**還創(chuàng)新性的將實時漏洞檢測和入侵攻擊行為進(jìn)行結(jié)合，從海量的攻擊日志中快速識別出真正對網(wǎng)站業(yè)務(wù)應(yīng)用有危害的“有效攻擊”，從而大大減少安全運(yùn)維的工作，讓IT人員將更多的精力放在有效威脅的防護(hù)上面。**下一代防火墻NGAF提供基于操作系統(tǒng)和應(yīng)用程序的漏洞攻擊防護(hù)，防止攻擊者利用操作系統(tǒng)（如windowssever2003/2007、linux、unix）及發(fā)布軟件漏洞（如，IIS、Apache等）對網(wǎng)站進(jìn)行系統(tǒng)提權(quán)、系統(tǒng)破壞、信息竊取等攻擊。3.3應(yīng)用系統(tǒng)接入安全3.3.1更安全的SSLVPN在應(yīng)用系統(tǒng)安全加固方面，采用登錄SSLVPN身份驗證、權(quán)限劃分、登錄應(yīng)用身份驗證的主線進(jìn)行保障。SSLVPN接入認(rèn)證方式可采用用戶名密碼、USBKEY、短信認(rèn)證、動態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合，多重組合軟硬結(jié)合確保接入身份的確定性。在用戶接入SSLVPN后進(jìn)行應(yīng)用訪問權(quán)限的劃分對于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號綁定SSLVPN登錄賬號和應(yīng)用系統(tǒng)賬號。用戶只可采用指定的賬號訪問應(yīng)用系統(tǒng)。由于登錄SSLVPN的身份已通過多重認(rèn)證的確認(rèn)，而后又進(jìn)行指定應(yīng)用賬號訪問，即可保障登錄應(yīng)用系統(tǒng)的人員的身份。3.3.2更快速的SSLVPN3.3.2.1多線路智能選路對于移動辦公人員，SSLVPN的訪問速度直接影響到辦公的效率。造成速度訪問低下往往有以下幾種情況：跨運(yùn)營商訪問、高丟包高延時的惡劣網(wǎng)絡(luò)質(zhì)量，要全面的提高速度，就需要解決以上幾個速度瓶頸問題。為了避免線路的單點故障，組織的網(wǎng)絡(luò)出口通常采用多運(yùn)營商線路來保證線路級別的穩(wěn)定。國內(nèi)有線網(wǎng)絡(luò)的格局為“北聯(lián)通、南電信”，使用SSLVPN接入到總部的用戶往往辦公地點不固定，使用的線路有網(wǎng)通有電信的。但使用電信的用戶并不一定由總部的電信線路接入，一旦為跨運(yùn)營商接入，將面臨高丟包率的現(xiàn)象，導(dǎo)致的數(shù)據(jù)頻繁重傳將造成傳輸速度的低下。為了解決跨運(yùn)營商訪問的問題，SANGFORSSLVPN提出了一種基于Web的自動選路方法對用戶接入進(jìn)行最優(yōu)化選路，從線路級別保證接入速度的最快。當(dāng)用戶在進(jìn)行SSLVPN接入時，將自動對總部的各條線路進(jìn)行實時速度探測，并選擇最快的線路進(jìn)行接入。有別于傳統(tǒng)SSLVPN解決多線路接入時采用的IP地址庫判定方法，SANGFORSSLVPN的多線路智能選路技術(shù)更為智能和人性化。傳統(tǒng)的IP地址庫通過判定用戶端所采用的IP屬于網(wǎng)通還是電信的IP地址段，并固定的限定電信的必須從總部的電信線路接入，聯(lián)通的必須從聯(lián)通的接入。但使用多線路的情況往往會遇到多條線路上帶寬、占用率不均的現(xiàn)象。若是電信的線路跑得較滿，若電信用戶從電信接入的速度反而比從網(wǎng)通接入的速度更慢，這樣固化的選路方式反而降低了用戶的訪問速度。SANGFORSSLVPN多線路智能選路支持設(shè)備與多線路直連、通過前置設(shè)備（如防火墻等）直連兩種方式下的多線路技術(shù)?？蔀榫€路設(shè)置高、中、低三種優(yōu)先級設(shè)置，當(dāng)用戶登錄SSLVPN頁面發(fā)起連接請求時，SSLVPN設(shè)備將會根據(jù)線路的優(yōu)先級及時延進(jìn)行綜合優(yōu)選，從而實現(xiàn)速度與鏈路權(quán)值負(fù)載均衡的效果。SANGFORSSLVPN支持多線路下的上網(wǎng)數(shù)據(jù)選路策略，可配置線路優(yōu)先選擇SSLVPN設(shè)置優(yōu)先級較低的線路，從而實現(xiàn)上網(wǎng)流量與VPN流量在分流、智能快速接入、多線路的主備下的部署。3.3.2.2 HTP快速傳輸協(xié)議無論是邊遠(yuǎn)地區(qū)網(wǎng)絡(luò)線路質(zhì)量低下，還是移動無線訪問，其速度的低下都可反映為網(wǎng)絡(luò)的高丟包、高延時現(xiàn)象。時延越大直接拖慢了整個傳輸速度，而丟包現(xiàn)象的嚴(yán)重將進(jìn)一步的拖滯傳輸速度。到丟包達(dá)到一定程度，甚至雙方根本無法建立連接，更不用說進(jìn)行數(shù)據(jù)的傳輸了。網(wǎng)絡(luò)的高丟包高延時對TCP協(xié)議的傳輸影響尤為重。如圖中所示，傳統(tǒng)TCP協(xié)議的擁塞控制機(jī)制為“慢上升、快下降”。網(wǎng)絡(luò)環(huán)境好的時候，傳輸?shù)幕瑒哟翱诖笮【徛脑鲩L，但窗口最大僅為64K。但在傳輸?shù)倪^程中，一旦出現(xiàn)丟包現(xiàn)象，窗口大小將立即減小到原有窗口的一般。同時丟包后將重新傳輸窗口內(nèi)所丟數(shù)據(jù)包后的所有數(shù)據(jù)。可見，傳統(tǒng)TCP傳輸速度增長慢、擁塞控制機(jī)制應(yīng)變差、重傳機(jī)制效率低下，面對高丟包、高延時的網(wǎng)絡(luò)速度非常的不理想。針對傳統(tǒng)TCP“慢上升、快下降”的低效傳輸機(jī)制，SANGFORSSLVPN提出了HTP快速傳輸協(xié)議技術(shù)。HTP協(xié)議（HighSpeedTransmissionProtocol）是基于UDP的可靠傳輸協(xié)議，通過擴(kuò)充傳輸窗口、改善擁塞控