辦公網(wǎng)解決方案

1、8442199dfe5aba3d36cf015c23797209.pdf辦公網(wǎng)解決方案 物聯(lián)1421-王珍目錄1 前言11.1 辦公網(wǎng)現(xiàn)狀分析11.2 辦公網(wǎng)需求分析11.2.1 無線接入需求11.2.2 全網(wǎng)統(tǒng)一認(rèn)證需求11.2.3 安全需求21.2.4 網(wǎng)絡(luò)管理需求21.3 辦公網(wǎng)整體解決方案31.4 無線網(wǎng)絡(luò)接入31.5 全網(wǎng)統(tǒng)一認(rèn)證方案41.6 推薦設(shè)備介紹41.6.1 安全網(wǎng)關(guān)（路由設(shè)備）41.6.2 交換設(shè)備51.6.3 機(jī)房建設(shè)完成后的狀態(tài)71 前言目前辦公網(wǎng)的發(fā)展隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，在現(xiàn)有的網(wǎng)絡(luò)的基礎(chǔ)上建立高效、協(xié)調(diào)、集成的辦公自動化系統(tǒng)已成為可能，這也是從根本上提高

2、辦公效率的有效途徑。當(dāng)前，我國信息化建設(shè)的快速發(fā)展，辦公的規(guī)模日益擴(kuò)大，辦公工作的新情況、新問題不斷出現(xiàn)，如何保障管理信息的公開與暢通，管理關(guān)系的協(xié)調(diào)與統(tǒng)一，已成為管理者必須著手解決的主要問題，與此同時,，傳統(tǒng)辦公方式明顯不能辦公的需求，這就要求新型的網(wǎng)絡(luò)化辦公方式出現(xiàn)。1.1 辦公網(wǎng)現(xiàn)狀分析辦公網(wǎng)作為公司業(yè)務(wù)發(fā)展網(wǎng)絡(luò)的一個組成部分，大多辦公系統(tǒng)一起建設(shè)，目前的辦公網(wǎng)大多沒有進(jìn)行接入認(rèn)證，所以對于用戶的管理也是較為混亂的，外來的訪客隨便接一根網(wǎng)線即可以接入到辦公網(wǎng)中。有部分在網(wǎng)絡(luò)出口處有一個基于WebPortal的認(rèn)證網(wǎng)關(guān)，由于沒有做到接入即認(rèn)證，所以造成了安全事情層出不窮，內(nèi)網(wǎng)的防御能力較弱

3、，病毒木馬泛濫，網(wǎng)絡(luò)攻擊事件時有發(fā)生，且在安全事件發(fā)生后也無法追究到人，無法審計進(jìn)行有效的處理。1.2 辦公網(wǎng)需求分析1.2.1 無線接入需求 目前部署了以有線網(wǎng)絡(luò)為基礎(chǔ)的辦公網(wǎng)，然而有線網(wǎng)絡(luò)只能提供用戶固定的、有限的網(wǎng)絡(luò)信息點，隨著社會的信息化發(fā)展與筆記本電腦的普及，很多擁有筆記本電腦，辦公也需要能隨時隨處地獲取網(wǎng)絡(luò)提供的各種資源。公司內(nèi)的很多場所比如會議室、大廳等場所無法提供很多人同時上網(wǎng)，而且公司經(jīng)常舉行一些大型活動，也經(jīng)常有很多外來訪問者，需要無線上網(wǎng)。這樣在無線網(wǎng)絡(luò)環(huán)境下多種用戶類別共存、高安全性、高穩(wěn)定性、可管理以及與已有有線網(wǎng)絡(luò)用戶的無縫整合等，需要有針對性的辦公無線網(wǎng)絡(luò)解決方案

4、。1.2.2 全網(wǎng)統(tǒng)一認(rèn)證需求F 如何進(jìn)行有效的身份管理？外來用戶、非法用戶隨意接入。缺少可控的身份集中認(rèn)證系統(tǒng)，管理難度大。F 到底該采用哪種認(rèn)證方式？希望有更高級別安全性，入網(wǎng)即認(rèn)證。某些區(qū)域無支持802.1x的交換機(jī)，也不具備報文穿越的條件。特殊用戶不方便安裝802.1x客戶端，不想改變使用習(xí)慣。F 無線、VPN如何與有線認(rèn)證融合？無線、有線、VPN三套帳號？需要另外購買一套無線認(rèn)證系統(tǒng)嗎？1.2.3 安全需求網(wǎng)絡(luò)安全層面的需求主要是以下三點：F 網(wǎng)絡(luò)訪問控制強(qiáng)制的入網(wǎng)安全以身份、主機(jī)完整性、行為合法性等作為網(wǎng)絡(luò)訪問的條件，不符合條件無法入網(wǎng)，將不安全因素排除在網(wǎng)絡(luò)之外F 軟硬件聯(lián)動一體

5、化的解決方案將軟件、硬件整合起來，避免各自為戰(zhàn)的現(xiàn)象，聯(lián)動、自動的處理安全問題，降低管理、維護(hù)工作量F 多層面控制從根源凈化網(wǎng)絡(luò)身份、主機(jī)、網(wǎng)絡(luò)、行為等多層面的控制，從入網(wǎng)的一刻起，每個動作都要合法1.2.4 網(wǎng)絡(luò)管理需求 面對辦公網(wǎng)絡(luò)專職網(wǎng)絡(luò)維護(hù)管理人員少等特點，網(wǎng)絡(luò)設(shè)備要具有很好的可管理性，能夠很方便地發(fā)現(xiàn)、隔離、排除網(wǎng)絡(luò)故障，很方便地對大量網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)，隨時了解整個網(wǎng)絡(luò)的運行情況，以保障網(wǎng)絡(luò)的健康、穩(wěn)定地運行。辦公網(wǎng)解決方案1.3 辦公網(wǎng)整體解決方案銳捷針對辦公網(wǎng)提供穩(wěn)定可靠的基礎(chǔ)網(wǎng)絡(luò)解決方案，整網(wǎng)采用核心、百兆到桌面的設(shè)計理念。高吞吐量、線速轉(zhuǎn)發(fā)的核心路由器和交換機(jī)，保證了網(wǎng)絡(luò)的穩(wěn)

6、定可靠。銳捷在辦公網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)解決方案拓?fù)鋱D：1.4 無線網(wǎng)絡(luò)接入為了達(dá)到隨時隨地接入的目標(biāo)，需要對有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)進(jìn)行有機(jī)融合。在適合無線網(wǎng)絡(luò)的地方建設(shè)無線網(wǎng)絡(luò)，提供無線接入，將無線作為有線的補充。1.5 全網(wǎng)統(tǒng)一認(rèn)證方案銳捷針對辦公網(wǎng)的安全解決方案包括：安全接入認(rèn)證方案、安全管理解決方案和全局安全網(wǎng)絡(luò)解決方案等。可以在網(wǎng)絡(luò)中實現(xiàn)“讓正確的人，在正確的地方，合法地訪問網(wǎng)絡(luò)”。詳細(xì)的用戶認(rèn)證記錄：誰，在什么時間，以什么IP地址和MAC地址，從哪里（NAS IP、NAS Port）接入網(wǎng)絡(luò)。安全可靠的群集技術(shù)：作為辦公網(wǎng)認(rèn)證的認(rèn)證，保證了核心系統(tǒng)的安全可靠。1.6 推薦設(shè)備介紹1.6.1 安全

7、網(wǎng)關(guān)（路由設(shè)備）【硬件規(guī)格】：配置千兆電口7；配置千兆光口2；光口支持千兆、百兆自適應(yīng)；配置USB2.0接口1；配置SD卡接口1；支持并配置內(nèi)置企業(yè)級SATA硬盤8G；支持硬件Bypass功能；電口內(nèi)置硬件Bypass模塊；【性能】：全功能開啟，吞吐量30Mbps；設(shè)備極限最大吞吐量400Mbps；支持最大在線用戶100人；【部署方式】：必須支持路由模式、橋接模式、旁路模式；支持多路橋接功能；【功能】：（1）、路由轉(zhuǎn)發(fā)：支持靜態(tài)路由、RIP(V1/V2)、OSPF等多種路由協(xié)議；支持DHCP Relay 、DHCP Server；支持NAT，支持多種NAT ALG，包括FTP、H.323、DN

8、S等；支持QoS（PQ、CQ、FIFO、WFQ、CBWFQ等）；（2）、應(yīng)用識別和流量管理：內(nèi)嵌自主知識產(chǎn)權(quán)的DPI應(yīng)用識別引擎，具備完善的應(yīng)用協(xié)議庫，能覆蓋國內(nèi)主流的網(wǎng)絡(luò)應(yīng)用；協(xié)議識別數(shù)量800種，支持基于用戶、應(yīng)用、時間對象的流量管控和策略設(shè)置，支持的流控策略組100個，整機(jī)支持的流控策略8000條，支持帶寬通道優(yōu)先級的定義，保障核心業(yè)務(wù)擁有帶寬保障，支持空閑帶寬借用，實現(xiàn)帶寬資源統(tǒng)計復(fù)用；（3）、URL識別過濾：內(nèi)置自主研發(fā)的URL中文數(shù)據(jù)庫，URL條目數(shù)600萬條；支持URL的黑白名單；支持基于用戶/時間的URL過濾規(guī)則；支持顯示當(dāng)天站點訪問TOPN，支持歷史URL審計信息的統(tǒng)計；UR

9、L審計的時效性5秒，即某用戶訪問的URL要在5秒內(nèi)能夠被審計出來；（4）、網(wǎng)絡(luò)安全：支持對機(jī)器狗等網(wǎng)絡(luò)病毒的防護(hù)；支持對DDoS攻擊、Syn flood、端口掃描等攻擊的防護(hù)；支持IPSec VPN和SSL VPN （5）、日志審計：支持NAT日志、URL日志記錄；支持本地化至少60天日志存儲和遠(yuǎn)程Web檢索；（6）、內(nèi)容審計：支持對通過smtp、pop3和webmail等方式的郵件收發(fā)和內(nèi)容的審計；支持IM上下線和聊天內(nèi)容審計，如QQ、MSN等；支持BBS論壇內(nèi)容審計，如天涯社區(qū)、貓撲、動網(wǎng)等；支持加密內(nèi)容審計、UDP內(nèi)容審計 (7）、設(shè)備管理：支持中文WEB界面和CLI命令行配置、管理和監(jiān)

10、控；支持SNMPv1/v2；【售后服務(wù)】：支持URL規(guī)則庫和應(yīng)用識別特征庫定期自動HTTP在線升級，不需用戶手動升級；URL規(guī)則庫、應(yīng)用識別特征庫升級服務(wù)終身免費1.6.2 交換設(shè)備【形態(tài)】：全千兆交換機(jī)，配置24口10/100/1000M自適應(yīng)端口，4個SFP光口；【性能】：交換容量205G，包轉(zhuǎn)發(fā)率50Mpps【功能】：L2功能：4K IEEE802.1Q (支持GVRP)、IEEEE802.1d（STP）、IEEE802.1w（RSTP）、IEEE802.1s（MSTP）、IGMP Snooping v1/v2/v3；L3功能：支持靜態(tài)路由；IPv6：支持IPv6主機(jī)管理相關(guān)協(xié)議；【AC

11、L&QoS】：配置ACL功能：標(biāo)準(zhǔn)IP ACL、擴(kuò)展IP ACL、MAC擴(kuò)展ACL、專家級ACL （可同時基于VLAN號、以太網(wǎng)類型、MAC地址、IP地址、TCP/UDP端口號、協(xié)議類型、時間等靈活組合的硬件ACL）、時間ACL等；配置支持源/目的IPv6地址、源/目的端口的硬件IPv6 ACL 和IPv6 QoS；【認(rèn)證計費】：支持802.1x和WEB認(rèn)證/計費功能，且交換機(jī)端口802.1x和WEB認(rèn)證可以同時開啟，不會相互沖突制約（提供國家權(quán)威機(jī)構(gòu)測試報告）；【安全功能】：在交換機(jī)端口啟用802.1x和WEB認(rèn)證后，仍然能支持CPU報文限速，限制非法的報文對CPU的攻擊，保護(hù)交換機(jī)穩(wěn)定工作；仍然能夠禁止非法用戶的ARP欺騙報文，防止合法用戶的數(shù)據(jù)被竊?。煌瑫r交換機(jī)支持ARP網(wǎng)關(guān)欺騙防御功能，能夠防止非法用