中小企業(yè)網(wǎng)絡(luò)改造方案

1、伍子醉網(wǎng)絡(luò)改造方案目錄一、目前的網(wǎng)絡(luò)情況及特點(diǎn).2二、解決方案及效果.32.1虛擬局域網(wǎng) .32.2網(wǎng)絡(luò)訪問控制 .42.3 PC 準(zhǔn)入控制 .43.4上網(wǎng)行為管理 .4三、方案產(chǎn)品 .6四、改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點(diǎn).84.1改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖.84.2新拓?fù)鋱D的特點(diǎn) .8一、目前的網(wǎng)絡(luò)情況及特點(diǎn)現(xiàn)有網(wǎng)絡(luò)無法進(jìn)行安全管理及控制，缺乏可管理與安全性，一旦網(wǎng)絡(luò)出現(xiàn)病毒及網(wǎng)絡(luò)攻擊現(xiàn)象， 將會(huì)涉及到個(gè)別部門內(nèi)部數(shù)據(jù)丟失及影響相關(guān)的業(yè)務(wù)運(yùn)作。1.1采用普通傻瓜式交換機(jī)目前全所各部門采用的交換機(jī)基本上為TP-LINK、D-LINK10/100M 傻瓜式桌面型交換機(jī)， 這些交換機(jī)都是普通二層交換機(jī)，

2、 功能就是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。 既沒有最基本的網(wǎng)管功能， 也無法登進(jìn)交換機(jī)查看交換機(jī)狀態(tài)、 無法查看網(wǎng)絡(luò)流量狀態(tài)、 無法根據(jù)網(wǎng)絡(luò)的新需求進(jìn)行新的配置等。1.2 各部門小局域網(wǎng)內(nèi)所有電腦及外接設(shè)備在同一個(gè)子網(wǎng)各部門間的外網(wǎng)用交換機(jī)組成的小局域網(wǎng)，里面所有電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備及相關(guān)打印設(shè)備都在同一個(gè)網(wǎng)絡(luò)內(nèi)， 這意味著這些設(shè)備之間可以任意的互連互通， 任意一臺(tái)電腦感染病毒或受黑客控制的時(shí)候，可以直接影響網(wǎng)內(nèi)的所有電腦及外接設(shè)備。 嚴(yán)重時(shí)可導(dǎo)致系統(tǒng)癱瘓及硬盤數(shù)據(jù)丟失。1.3 電信與移動(dòng)線路之間產(chǎn)生互連互通的問題目前公司擁有財(cái)務(wù) ERP 服務(wù)器一臺(tái)，服務(wù)器位于老廠，新廠通過廣域網(wǎng)訪問老廠服務(wù)器， 但是在實(shí)際

3、應(yīng)用過程中經(jīng)常發(fā)生連接服務(wù)器不暢通、掉線和訪問速度非常慢等問題，原因是因?yàn)樾聫S使用移動(dòng)的網(wǎng)絡(luò)，而老廠使用的是電信的網(wǎng)絡(luò)，兩大運(yùn)營(yíng)商之間由于競(jìng)爭(zhēng)關(guān)系而給對(duì)方網(wǎng)絡(luò)做出相關(guān)限制，也就是所謂的互連互通問題，最終也就導(dǎo)致了新廠訪問老廠服務(wù)器造成的一些問題， 通信不暢通，而移動(dòng)公司經(jīng)多少解決也是治標(biāo)不治本， 也只是暫時(shí)解決問題， 而一段時(shí)間后同樣的問題還是會(huì)產(chǎn)生。1.4 外來電腦可任意接入無法監(jiān)管與控制外來筆記本和其它外接設(shè)備可以任意接入所內(nèi)的任一網(wǎng)絡(luò)，其電腦上所帶的病毒、 木馬、惡意工具會(huì)影響所內(nèi)其它電腦以及服務(wù)器的安全。特別是所內(nèi)個(gè)別重要部門，只要外來筆記本接入其網(wǎng)內(nèi)，該計(jì)算就可以利用木馬程序竊取該部

4、門網(wǎng)內(nèi)計(jì)算機(jī)里的重要數(shù)據(jù)及文檔，以至于造成泄密事件的發(fā)生。1.5 上網(wǎng)行為存在安全因素訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等與業(yè)務(wù)無關(guān)網(wǎng)站，會(huì)導(dǎo)致病毒和木馬進(jìn)入該計(jì)算機(jī)。以至于造成系統(tǒng)癱瘓或數(shù)據(jù)丟失。員工上班時(shí)間下載電影或是在線看視頻資料，會(huì)占用極大的帶寬資源，導(dǎo)致業(yè)務(wù)開展所需要的帶寬不夠，上網(wǎng)變慢。員工上班時(shí)間看新聞，軍事，足球，玩網(wǎng)絡(luò)游戲，炒股票等等會(huì)影響到員工的工作效率。二、解決方案及效果2.1 改造方案根據(jù)我所目前的現(xiàn)場(chǎng)環(huán)境及所要達(dá)到的效果，現(xiàn)有兩套施工方案。2.2 網(wǎng)絡(luò)訪問控制此次外網(wǎng)改造，骨干網(wǎng)不管是從線路還是所采用的設(shè)備都是以千兆網(wǎng)的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)和施工的。特別是此次所采用的設(shè)

5、備采用的的是華為或者H3C 智能型企業(yè)級(jí)交換機(jī)。此類企業(yè)級(jí)交換機(jī)是全千兆二層智能以太網(wǎng)交換產(chǎn)品，廣泛應(yīng)用于企業(yè)網(wǎng)和園區(qū)網(wǎng)的接入和匯聚層，是具有高密度的全千兆以太網(wǎng)端口、豐富的業(yè)務(wù)特性、便捷的WEB 配置，為用戶提供高性能、低成本、可WEB 網(wǎng)管的千兆解決方案，是千兆匯聚或接入的理想選擇。此類核心層交換機(jī)一般提供24 個(gè)千兆電口、4 個(gè)千兆上行COMBO 端口（光電復(fù)用，光口支持SFP 光模塊）和一個(gè)Console 配置端口。 S5024P 支持通過命令行、Web 和 telnet 登錄進(jìn)行配置。這樣一來就完全可以輕松實(shí)現(xiàn)各部門之間網(wǎng)絡(luò)訪問權(quán)限的控制，在一個(gè)可以防止網(wǎng)絡(luò)內(nèi)部非法入侵者從內(nèi)部盜用

6、IP 地址攻擊其他接入點(diǎn)的可能。2.3PC 準(zhǔn)入機(jī)制通過在骨干交換機(jī)端口上綁定各信息點(diǎn)電腦的MAC地址后。就可以實(shí)現(xiàn)當(dāng)外來電腦接入到所內(nèi)網(wǎng)絡(luò)的時(shí)候，交換機(jī)會(huì)為外來電腦的MAC地址不屬于所區(qū)網(wǎng)絡(luò)從而禁止掉來電腦的接入。這樣做同時(shí)也防止各信息點(diǎn)以下在私自接入交換機(jī)達(dá)到多臺(tái)電腦上網(wǎng)的目的。2.4 上網(wǎng)行為管理對(duì)于上網(wǎng)行為管理，此次我們采用的是北京網(wǎng)康科技有限公司提供的 NS-3110 系列，同時(shí)這款設(shè)備也是國(guó)防科工委向全省軍工企業(yè)推薦的一款產(chǎn)品。網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關(guān)（Internet Control Gateway,NS-ICG ）是一款軟硬件一體化、性能卓越的互聯(lián)網(wǎng)控制管理產(chǎn)品。NS-ICG 為網(wǎng)絡(luò)

7、管理者提供各種互聯(lián)網(wǎng)接入環(huán)境中的靈活身份確認(rèn)、合規(guī)準(zhǔn)入、網(wǎng)頁(yè)過濾、應(yīng)用控制、帶寬管理、外發(fā)合規(guī)檢查，內(nèi)容留存審計(jì)，結(jié)果分析等功能,其具體功能如下。管理網(wǎng)絡(luò)帶寬：根據(jù)各個(gè)部門業(yè)務(wù)需求不同，分配不同的最高帶寬。同時(shí)也根據(jù)應(yīng)用需求的帶寬，給不同的業(yè)務(wù)分配不同的帶寬。保障關(guān)鍵的員工和業(yè)務(wù)能夠獲得足夠的帶寬。提升工作效率：針對(duì)URL, 聊天工具，上網(wǎng)時(shí)間，應(yīng)用程序進(jìn)行管理，最大限度減少員工利用上網(wǎng)做與工作無關(guān)事情的時(shí)間。如通過URL庫(kù)，禁止員工訪問與業(yè)務(wù)無關(guān)的網(wǎng)站，只允許訪問與工作相關(guān)的網(wǎng)站。同時(shí)對(duì)上千萬條URL 記錄分為新聞，可根據(jù)需要禁止訪問其中某些類的網(wǎng)站。保障網(wǎng)內(nèi)安全：阻止各類假冒網(wǎng)銀和假冒網(wǎng)上

8、證券等釣魚網(wǎng)站，保護(hù)員工的合法權(quán)益。禁止色情，反動(dòng)，邪教等非法網(wǎng)站。對(duì)傳輸文件格式進(jìn)行控制，防止不安全格式的文件進(jìn)入網(wǎng)內(nèi)。實(shí)時(shí)監(jiān)控審計(jì)：查看上線用戶的網(wǎng)絡(luò)使用時(shí)間與流量信息，及時(shí)發(fā)現(xiàn)異常用戶并加以處理全面了解用戶上網(wǎng)行為，包括網(wǎng)頁(yè)訪問、郵件收發(fā)、即時(shí)聊天、論壇發(fā)帖、網(wǎng)絡(luò)娛樂等所有互聯(lián)網(wǎng)活動(dòng)對(duì)于用戶通過郵件、聊天、論壇等外發(fā)的言論信息進(jìn)行合理監(jiān)控，及時(shí)過濾有害信息等。終端用戶準(zhǔn)入：20 余種用戶身份識(shí)別/ 認(rèn)證方式，確保入網(wǎng)用戶身份合法有效，避免外來隱患對(duì)計(jì)算機(jī)終端環(huán)境進(jìn)行管理，幫助管理者實(shí)施計(jì)算機(jī)準(zhǔn)入規(guī)范如：必須安裝殺毒軟件方可上網(wǎng)；禁止安裝、運(yùn)行與工作無關(guān)的應(yīng)用程序等。三、方案產(chǎn)品序號(hào)品牌型

9、號(hào)數(shù)量安裝位置1華為 3800一臺(tái)中心機(jī)房2CISCO 3750一臺(tái)3Sinfor 5100一臺(tái)45功能及特性作用支持 VLAN、組播、 QOS、802.1X、 SNMP、STP 、 IP Source Guard根據(jù)電腦屬于不同的應(yīng)用部門，將電腦劃分具備防雷能力、功耗低、無風(fēng)扇自動(dòng)散到不同的虛擬局域網(wǎng)中熱等特性支持路由、ACL、VLAN、組播、QOS、802.1X、SNMP 、 STP 、 IP Source Guard，具備防各虛擬局域網(wǎng)的連接中心，控制虛擬局域網(wǎng)雷能力、大帶寬、高性能、高可靠性等之間的訪問及對(duì)服務(wù)器的訪問規(guī)則特性支持雙鏈路，上網(wǎng)行為管理，URL 庫(kù)，上上網(wǎng)行為管理。 提高上網(wǎng)安全， 提高員工工作效率，保障關(guān)鍵業(yè)務(wù)和和員工上網(wǎng)所需的網(wǎng)應(yīng)用識(shí)別，帶寬管理帶寬四、改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點(diǎn)4.1 改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖4.2 新拓?fù)鋱D的特點(diǎn)中心機(jī)房統(tǒng)一管理統(tǒng)一維護(hù)此次網(wǎng)絡(luò)改造主要是根據(jù)軍工保密資格審查認(rèn)證工作指導(dǎo)手冊(cè)中的相關(guān)條文及國(guó)六條中第一條“禁止私自在機(jī)關(guān)、單位登錄互聯(lián)網(wǎng)”等要求，以及企業(yè)或單位內(nèi)部的互聯(lián)網(wǎng)必須要有統(tǒng)一的監(jiān)管和維護(hù)措施，為了達(dá)到此次改造的目的，中心機(jī)房可以作為以后全所外網(wǎng)控制、監(jiān)管及維護(hù)中心。各部門之間的訪問控制。不同部門間的訪問權(quán)限可以通過