XX集团网络安全解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

XX集团网络方案建议书目录一.概述......................................................................................................................................................1二.企业网络现状.......................................................................................................................................12.1行为管理防火墙对企业的重要性...................................................................................................22.2网络主干核心交换机对企业的重要性...........................................................................................3三.恒盛集团网络安全解决方案...............................................................................................................43.1整体网络安全解决方案...................................................................................................................43.2安全网关及上网行为管理解决方案...............................................................................................53.3核心交换机解决方案.......................................................................................................................6一.概述针对当前该恒盛集团接入公网的情况完全把服务器和内网暴露在互联网上,只通过NAT来拒绝黑客的一部分攻击手段;而对于服务器的安全防护为几乎为零。而随着企业的信息化建设越来越高,企业员工的上网行为管控难以解决导致内网终端故障频发;同时服务器的安全也给企业带来的越来多的烦恼,但造成安全问题事后的补救己无法满足企业的日常运行需求。企业迫切需要对员工进行上网行为管制以减少终端故障率并且合理利用企业的信息化资源;而对服务器采取必要的安全措施以避免服务器带来的一系列安全问题,提高企业运营的稳定性和信誉。二.企业网络现状随着企业采用的是两台锐捷EG路由器直接做NAT出上,但这样的网络结构复杂不利于网络问题定位和解决;而对于网络流量无法得到分析,企业网络宽带利用率不高。根据拓扑我们可以看出企业现在存在以下几个问题:企业员工行为得不到管控(如上班时间抄股、下载等行为);企业宽带利用率不高;对于在外办公的员工,无法利用企业内部资源;直接把服务器暴露在互联网上,没有任何的安全措施。没有明确地划分接入层、分布层和核心层。由于没有进行统一的网络设计,后来的网络相关设备加入局域网都采用无规划级联方式(根据接入点和现有交换机的物理距离来决定用级联的交换机,即哪台交换机离我比较近我就连哪台),网络整体上比较混乱。无法对网络进行集中管理,造成目前网络维护和管理没有可参照的“地图”,查找固障点比较困难。网络交换机都是大部分采用不可网管型,因此无法有效的处理网络广播封包,造成网络本身“体质”差。随着公司现在主机数越来越多,由于没有进行子网划分、管理,造成广播域非常大,如果网内有任意一台设备乱发数据包或广播,容易造成网络性能下降,重者就会造成网络堵塞。给企业实施ERP、CRM等系统软件带来隐患,网络流量正将成倍增加,这样更容易造成网络的不稳定。随着企业规模的扩大,以及网络应用的增多,对交换机之间、以及交换机到服务器之间带宽的要求越来越高,原有百兆主干以太网标准,肯定不能满足以后企业发展的网络需求。2.1行为管理防火墙对企业的重要性根据恒盛集团提供的网络拓扑我们可以看出员工上网行为得不到有效的管控:员工利用工作时间,聊天、炒股、玩网络游戏等行为,影响工作效率;员工访问不良网站,遭受恶意代码、间谍软件及钓鱼式攻击等,影响企业网络正常运行;员工随意使用P2P下载、在线视频等,严重占用网络带宽,导致正常业务无法获取足够网络资源;员工浏览非法网站、发表敏感信息和传播非法言论,造成恶劣社会影响,并可能导致国家法律问题;员工随意通过EMAIL、即时通讯等方式发送敏感业务信息,导致信息外泄事件发生;外出员工无法通过互联网访问企业内部重要资源,信息得不到及时的更新;服务器等重要信息资源的访问控制:对于企业所提供的信息化资源不管对内和对外都需要进行访问控制,提高企业信息安全;保护企业敏感信息不外泄。服务器很多端口完全暴露在公网上,导致很多补丁如果没有及时的修复就会给予黑客更多进行入侵的机会;应用成为主要攻击的目标,但是我司对应用层的防护完全是靠管理人员人为配置和处理。这个需要管理人员具有较高的技术和丰富的安全经验;没有进行安全域划分,内部员工可以对所有服务器进行访问等全部操作,黑客可以以此为跳板进行攻击;安全技术型人才缺乏,无法给予长期的安全建设建议。以上情况给恒盛集团的网络管理带来极大的困扰,也给企业带来了巨大的安全风险。如果进一步提高整个企业的安全防护是企业目前最需迫切解决的安全问题。2.2网络主干核心交换机对企业的重要性目前,网络技术发展迅速,用户需求千差万别,厂商产品丰富多彩。但就其从用户网络的应用需求类型特点,网络技术的发展水平来说,通常目前主干网的技术策略有五种,即:快速以太网;FDDI;ATM;千兆以太网;万兆以太网。快速以太网及FDDI主干带宽限于100M,对于企业局域网主干而言已不在考虑之列。ATM交换骨干(OC-3155Mbps或OC-12622Mbps)网络设备的价格通常比较高,而且采用ATM势必需运用ATM以太网仿真技术,将会增加交换的延时并影响多媒体对服务质量的保证。千兆以太网的第3层交换骨干技术成熟,千兆以太网在企业网、园区网、城域网和局域网骨干上取代了传统的ATM。千兆以太网交换骨干技术特点是:具有高速数据传输带宽(1Gbps),提供高速交换能力;易于网络移植、易于维护;简单易于管理;具有良好的性能价格比。在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准,为广大用户所选择,在建设企业主干网时将技术策略定位于千兆以太网技术。三.恒盛集团网络安全解决方案3.1整体网络安全解决方案根据以上分析,我们需要解决网络的安全问题是:员工的上网行为是否有办法进行管控?服务器没有进行端口限制长期暴露在互联网?外出员工是否具有访问企业内部重要资源的方式和权限?企业内部是否具有简单的安全域划分,并从内外网对企业的服务器进行访问控制?按不同的部门采用虚拟VLAN网络管理。基于网络性能的考虑,可以缩小广播域,提高了网络的传输效率,从而提高网络性能;基于安全性的考虑,各虚拟VLAN网之间不能直接进行通讯,而必须通过三层路由转发,为高级的安全控制提供了可能,增强了网络的安全性。所以建议电信线路上布署一台七层防护的安全网关防火墙。以保障企业的四层的端口控制和七层的应用防护。网络核心层采用智能全千兆三层交换机,保证网络及数据中心的交换能力。具体拓扑如下所示:3.2安全网关及上网行为管理解决方案在网络出口布署一台安全网关系统和上网行为管理系统可以对服务器端口进行访问控制、对员工的上网行为进行管制、流量控制、VPN使用,安全网关系统具有如下功能:支持路由、透明、混合模式部署,可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。安全网关支持支持基于策略的双向NAT、动态/静态NAT、端口PAT,支持静态路由、动态路由。IPSECVPN可以让外出员工通过VPN方式登陆到本地内网,用来保障外出员工可以有效的进行企业内部资源共享和更新;可以对出口流量进行合理分配和对员工使用互联网流量进行限制,保障重要企业资源的带宽使用;支持基于IP地址、用户/用户组、协议、时间、关键字等多种组合策略,对即时通讯、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理。支持用户自定义关键字,系统可对网页内容、搜索引擎、邮件收发、论坛、即时通讯等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原,实现深度内容安全管理,避免网络信息外泄、非法言论传播。上网行为建议更换CN-1400:CNS1400适合于内网用户数400-1200人的组织机构,支持2个百兆网络接口、4个千兆网络接口(1LAN、1DMZ、4WAN)。3.3核心交换机解决方案公司整个内部网络采用核心层,分布层与接入层混合的模式。核心层是网络的高速交换主干,负责整个网络的数据交换,对整个网络的连通起到至关重要的作用。核心层应该保证足够的带宽,快速数据传输,同时应具有如下几个特性:可靠性、高效性、容错性、可管理性、适应性、低延时性等。而应用服务器群是放置在网络中心,直接连到核心交换机,考虑到服务器是网络环境中重要的硬件设备,支撑公司所有的业务系统,要求具有足够的网络带宽,能为工作站的访问提供无瓶颈的数据通路。因此,中心机房的核心交换机应该选择高性能骨干多层交换机。1、在本项目中选用的是H3CS5120千兆交换机为中心主干交换机,提供了无阻塞第二到四层交换与最优控制相集成,有助于为部署关键业务应用的大型企业、中小型企业(SMB)和城域以太网客户提供业务永续性。同时它配置的灵活性,支持融合网络模式,能够自动配置智能化网络服务,降低融合应用的部署难度,完全可以适应不断变化的业务需求。2、服务器是内部网所有业务系统的运行平台,是整个网络的重中之重,因些要求网络具有高可靠性、可用性。因些,本方案将服务器群直接连接到H3CS5120核心交换机上,可实现千兆互连,从而提高整体的访问性能,提高可靠性,有效避免网络传输瓶颈。建议采用H3CS5800系统交换机作为核心交换机

1 / 8
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功