計(jì)算機(jī)網(wǎng)絡(luò)改造方案設(shè)計(jì)_第1頁
計(jì)算機(jī)網(wǎng)絡(luò)改造方案設(shè)計(jì)_第2頁
計(jì)算機(jī)網(wǎng)絡(luò)改造方案設(shè)計(jì)_第3頁
計(jì)算機(jī)網(wǎng)絡(luò)改造方案設(shè)計(jì)_第4頁
計(jì)算機(jī)網(wǎng)絡(luò)改造方案設(shè)計(jì)_第5頁
已閱讀5頁,還剩6頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

9/11****網(wǎng)絡(luò)建立方案**科技2016年4月目錄TOC\o"1-3"\h\z\u****1網(wǎng)絡(luò)建立方案1第1章概述11.1工程背景11.2需求分析:11.3設(shè)計(jì)原那么:2第2章網(wǎng)路方案設(shè)計(jì)22.1總體網(wǎng)絡(luò)架構(gòu)32.2總體建立容4第3章方案說明53.1優(yōu)化網(wǎng)絡(luò)架構(gòu)53.2網(wǎng)絡(luò)平安建立63.3應(yīng)用系統(tǒng)接入平安9第4章選型參考13第1章概述1.1工程背景****某公司〔簡稱中原乙烯〕是由中國石油化工集團(tuán)公司與省人民政府合資建立、**股份公司控股的大型石化企業(yè)。目前公司主要業(yè)務(wù)系統(tǒng)有OA系統(tǒng)以及ERP系統(tǒng)。隨著公司的持續(xù)穩(wěn)定開展,越來越依賴于信息化系統(tǒng)建立。優(yōu)化網(wǎng)絡(luò)系統(tǒng)構(gòu)造,集中化的管理,穩(wěn)定的網(wǎng)絡(luò),是集團(tuán)業(yè)務(wù)開展根底;網(wǎng)絡(luò)系統(tǒng)的平安,應(yīng)用系統(tǒng)的平安,廣域網(wǎng)數(shù)據(jù)傳輸?shù)钠桨?,是集團(tuán)業(yè)務(wù)正常開展的保障;高效的信息網(wǎng)絡(luò)系統(tǒng),可以整體提高集團(tuán)辦公效率。1.2需求分析:隨著業(yè)務(wù)的不斷開展,IT運(yùn)用與業(yè)務(wù)結(jié)合的不斷深入,集團(tuán)目前的網(wǎng)絡(luò)狀況已經(jīng)不能很好的滿足業(yè)務(wù)開展的需要,有如下問題需要解決:鏈路出口問題:目前單位沒有獨(dú)立的網(wǎng)路出口,與其他單位共享網(wǎng)絡(luò)出口,日常出口不由單位進(jìn)展管理。一旦連接出口網(wǎng)絡(luò)線路故障,影響整個(gè)日常辦公;同時(shí)存在日常管理不變,例如針對(duì)效勞器外聯(lián)互聯(lián)網(wǎng)需要開端口映射,需要其他單位協(xié)調(diào);單位日常出口流量帶寬遭受限制,影響互聯(lián)網(wǎng)接入速度等等問題。外出人員接入,數(shù)據(jù)平安性及無法保障眾多出差在外的領(lǐng)導(dǎo)和員工需要實(shí)現(xiàn)隨時(shí)隨地的接入到總部的OA效勞器以及ERP效勞器訪問應(yīng)用,實(shí)現(xiàn)移動(dòng)辦公。在公司信息平臺(tái)上的應(yīng)用數(shù)據(jù)現(xiàn)在都是未經(jīng)加密等平安處理的,跑在互聯(lián)網(wǎng)這個(gè)不平安而又開放的網(wǎng)絡(luò)上。一旦數(shù)據(jù)遭到篡改或竊取,帶來的損失將無法估量。網(wǎng)平安問題:隨著網(wǎng)絡(luò)技術(shù)的開展、移動(dòng)互聯(lián)的普及、新興應(yīng)用的不斷涌現(xiàn),在日常管理使用發(fā)現(xiàn)一些不穩(wěn)定和不平安的因素。如針對(duì)OA存在SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等平安事件;網(wǎng)絡(luò)設(shè)備、效勞器、主機(jī)漏洞攻擊等。還有網(wǎng)用戶更新防毒軟件、漏洞不及時(shí)、軟口令等給網(wǎng)絡(luò)帶來很大的隱患。1.3設(shè)計(jì)原那么:按照公司業(yè)務(wù)對(duì)網(wǎng)絡(luò)系統(tǒng)的需求,公司信息化部門對(duì)網(wǎng)絡(luò)建立的總體規(guī)劃,依托現(xiàn)有的網(wǎng)絡(luò)架構(gòu),建立穩(wěn)定、平安、可靠的集團(tuán)信息化網(wǎng)絡(luò)平臺(tái),推動(dòng)集團(tuán)業(yè)務(wù)系統(tǒng)的全面應(yīng)用,提升公司業(yè)務(wù)效率,全力打造高質(zhì)量公司網(wǎng)絡(luò)系統(tǒng)。因此,本期網(wǎng)絡(luò)建立通過以下三方面容建立,將集團(tuán)網(wǎng)絡(luò)系統(tǒng)建成的平安、高效網(wǎng)絡(luò)系統(tǒng)。優(yōu)化網(wǎng)絡(luò)架構(gòu):對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)展優(yōu)化,優(yōu)化根底網(wǎng)絡(luò)平臺(tái),提升網(wǎng)絡(luò)的穩(wěn)定性和可管理性。建立網(wǎng)絡(luò)系統(tǒng)平安:遵循相關(guān)標(biāo)準(zhǔn),對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)展全面的改造,建成平安的網(wǎng)絡(luò)系統(tǒng)。加固應(yīng)用系統(tǒng)接入平安:按照集團(tuán)應(yīng)用系統(tǒng)的級(jí)別,業(yè)務(wù)中重要性等標(biāo)準(zhǔn),實(shí)現(xiàn)精細(xì)化的應(yīng)用系統(tǒng)平安管理。第2章網(wǎng)路方案設(shè)計(jì)2.1總體網(wǎng)絡(luò)架構(gòu)整體網(wǎng)絡(luò)解決方案總體設(shè)計(jì)以優(yōu)化網(wǎng)絡(luò)架構(gòu),建立網(wǎng)絡(luò)系統(tǒng)平安,加固應(yīng)用系統(tǒng)平安為原那么,以及考慮到技術(shù)的先進(jìn)性、成熟性,并采用模塊化的設(shè)計(jì)方法,組網(wǎng)圖如下所示:本次方案建議采用負(fù)載均衡設(shè)備、下一代防火墻設(shè)備、SSLVPN各一臺(tái),分別部署在如下位置:鏈路負(fù)載均衡:部署在互聯(lián)網(wǎng)出口,單位重新申請(qǐng)多條互聯(lián)網(wǎng)鏈路,提高鏈路穩(wěn)定性的同時(shí),提高帶寬利用率,防止單條鏈路故障。平安防護(hù):部署**網(wǎng)防火墻1臺(tái)于外網(wǎng)互聯(lián)網(wǎng)后段,針對(duì)用戶的網(wǎng)終端及應(yīng)用效勞器提供平安防護(hù)功能。移動(dòng)人員接入:針對(duì)領(lǐng)導(dǎo)及部員工出差出差辦公,采用SSLVPN進(jìn)展移動(dòng)接入。2.2總體建立容集團(tuán)本期網(wǎng)絡(luò)建立總體容,主要包括以下4個(gè)方面:優(yōu)化網(wǎng)絡(luò)架構(gòu):總部向運(yùn)營商申請(qǐng)多條互聯(lián)網(wǎng)鏈路,出口部署鏈路負(fù)載均衡設(shè)備,保障鏈路穩(wěn)定性,提高鏈路利用率建立網(wǎng)絡(luò)平安系統(tǒng):部部署防火墻系統(tǒng),隔離網(wǎng)網(wǎng)絡(luò),保障網(wǎng)平安加固應(yīng)用系統(tǒng)接入平安:針對(duì)領(lǐng)導(dǎo)及員工需要出差需要訪問部OA及ERP系統(tǒng),通過sslvpn接入,進(jìn)展應(yīng)用系統(tǒng)訪問權(quán)限的授權(quán)和可信訪問,防止越權(quán)訪問。第3章方案說明3.1優(yōu)化網(wǎng)絡(luò)架構(gòu)現(xiàn)有鏈路出口與其他單位共享,單位申請(qǐng)多條鏈路之后,出口采用**負(fù)載均衡設(shè)備。主要表達(dá)如下優(yōu)勢:出/入站鏈路負(fù)載均衡:**AD的出站負(fù)載均衡技術(shù)能夠?yàn)椴拷K端上網(wǎng)選擇最正確路徑,均衡分配上網(wǎng)流量。同時(shí),針對(duì)外部用戶訪問單位的門戶或者部員工在外部訪問部oa系統(tǒng),AD的入站負(fù)載均衡技術(shù)能夠自動(dòng)為用戶選擇最優(yōu)鏈路進(jìn)展訪問,從而保障外來用戶的訪問體驗(yàn)快速、穩(wěn)定。鏈路帶寬資源合理利用,解決擁塞問題:**AD還具有鏈路繁忙控制技術(shù),可以為特定鏈路設(shè)定相應(yīng)的閥值,再結(jié)合**AD全面的負(fù)載均衡算法,使得當(dāng)某條鏈路到達(dá)閥值之后,用戶的訪問請(qǐng)求將會(huì)通過事先設(shè)定的負(fù)載算法分配到其它鏈路之上。另外,**AD設(shè)備的DNS透明代理技術(shù)能同時(shí)對(duì)多條鏈路同時(shí)發(fā)起DNS請(qǐng)求探測,然后根據(jù)實(shí)現(xiàn)設(shè)定的負(fù)載策略,為用戶返回相應(yīng)的DNS請(qǐng)求結(jié)果,防止帶寬資源出現(xiàn)閑置的情況,實(shí)現(xiàn)對(duì)鏈路帶寬資源的合理利用,輕松解決擁塞問題。健全的鏈路安康檢查:**健全的鏈路安康檢查機(jī)制能夠保障校園網(wǎng)出口的連續(xù)性。當(dāng)流量流經(jīng)AD設(shè)備時(shí),AD會(huì)通過預(yù)先設(shè)定好的策略判斷每條鏈路的安康狀況〔鏈路安康檢查〕,并決定將流量負(fù)載均衡到哪條鏈路,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成相應(yīng)ISP網(wǎng)段的公網(wǎng)地址,再將該數(shù)據(jù)包發(fā)出。響應(yīng)數(shù)據(jù)包返回到**AD時(shí),**AD將目的地址進(jìn)展轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給部的用戶或效勞器。3.2網(wǎng)絡(luò)平安建立在互聯(lián)網(wǎng)出口區(qū)域部署**下一代防火墻,對(duì)互聯(lián)網(wǎng)出口流量進(jìn)展流量過濾,提供L2-L7的平安防護(hù)。通過**下一代防火墻設(shè)備能夠阻擋大量初級(jí)的攻擊并實(shí)現(xiàn)訪問控制、入侵防御、惡意代碼過濾和web平安防護(hù)。主要表達(dá)在以下幾方面:網(wǎng)絡(luò)邊界的應(yīng)用層訪問控制防護(hù)部系統(tǒng)有OA系統(tǒng)以及ERP系統(tǒng)平安要求比擬高,因此,建議采用下一代防火墻設(shè)備將網(wǎng)區(qū)域與互聯(lián)網(wǎng)邏輯隔離,加強(qiáng)訪問控制的同時(shí)還能夠?qū)I(yè)務(wù)效勞器進(jìn)展NAT地址轉(zhuǎn)換,隱藏其IP地址,防止被攻擊。通過部署NGAF產(chǎn)品在數(shù)據(jù)中心區(qū)域平安邊界,提供了更加先進(jìn)的訪問控制規(guī)那么,除了傳統(tǒng)的五元組設(shè)置,NGAF還設(shè)計(jì)了基于用戶、應(yīng)用、容的平安控制策略,實(shí)現(xiàn)了更加全面先進(jìn)的八元組訪問控制。NGAF還提供了更精細(xì)的應(yīng)用層平安控制,識(shí)別外網(wǎng)近2000種應(yīng)用,并支持包括AD域、Radius等8種用戶身份識(shí)別方式,全面保證數(shù)據(jù)中心區(qū)域區(qū)域的權(quán)限控制。網(wǎng)絡(luò)邊界的入侵防御和web防護(hù)在邊界防護(hù)保障中,網(wǎng)絡(luò)出口部署的防火墻主要工作在網(wǎng)絡(luò)層和傳輸層,防大局部根底的網(wǎng)絡(luò)攻擊,而對(duì)于整個(gè)互聯(lián)網(wǎng)中的攻擊分布,70%以上都來自應(yīng)用層,這些攻擊都是防火墻所無法防御的。目前OA業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)是B/S架構(gòu)的業(yè)務(wù),存在比擬大的web平安風(fēng)險(xiǎn),**下一代防火墻NGAF有效結(jié)合了web攻擊的靜態(tài)規(guī)那么及基于黑客攻擊過程的動(dòng)態(tài)防御機(jī)制,實(shí)現(xiàn)雙向的容檢測,提供OWASP定義的十大平安威脅的攻擊防護(hù)能力,有效防止常見的web攻擊?!踩?,SQL注入、XSS跨站腳本、CSRF跨站請(qǐng)求偽造〕從而保護(hù)免受篡改、網(wǎng)頁掛馬、隱私侵犯、身份竊取、經(jīng)濟(jì)損失、名譽(yù)損失等問題。系統(tǒng)/應(yīng)用漏洞攻擊防護(hù)針對(duì)于部業(yè)務(wù)系統(tǒng)效勞器存在操作系統(tǒng)底層的系統(tǒng)漏洞及業(yè)務(wù)系統(tǒng)的平安漏洞,**下一代防火墻NGAF提供了實(shí)時(shí)漏洞發(fā)現(xiàn)功能,可以對(duì)經(jīng)過設(shè)備的流量進(jìn)展實(shí)時(shí)漏洞風(fēng)險(xiǎn)分析,且不會(huì)給網(wǎng)絡(luò)產(chǎn)生額外的流量。實(shí)時(shí)漏洞檢測功能能夠發(fā)現(xiàn)底層軟件漏洞、業(yè)務(wù)發(fā)布軟件漏洞、Web應(yīng)用風(fēng)險(xiǎn)漏洞、插件漏洞、Web不平安配置、弱口令等多種平安缺陷。對(duì)于檢測到的漏洞信息,NGAF還能提供詳細(xì)的漏洞說明,如漏洞類型,數(shù)量,描述,危害說明等信息。圖7圖8**還創(chuàng)新性的將實(shí)時(shí)漏洞檢測和入侵攻擊行為進(jìn)展結(jié)合,從海量的攻擊日志中快速識(shí)別出真正對(duì)業(yè)務(wù)應(yīng)用有危害的“有效攻擊〞,從而大大減少平安運(yùn)維的工作,讓IT人員將更多的精力放在有效威脅的防護(hù)上面。**下一代防火墻NGAF提供基于操作系統(tǒng)和應(yīng)用程序的漏洞攻擊防護(hù),防止攻擊者利用操作系統(tǒng)〔如windowssever2003/2007、linux、unix〕及發(fā)布軟件漏洞〔如,IIS、Apache等〕對(duì)進(jìn)展系統(tǒng)提權(quán)、系統(tǒng)破壞、信息竊取等攻擊。3.3應(yīng)用系統(tǒng)接入平安3.3.1更平安的SSLVPN在應(yīng)用系統(tǒng)平安加固方面,采用登錄SSLVPN身份驗(yàn)證、權(quán)限劃分、登錄應(yīng)用身份驗(yàn)證的主線進(jìn)展保障。SSLVPN接入認(rèn)證方式可采用用戶名密碼、USBKEY、短信認(rèn)證、動(dòng)態(tài)令牌、CA認(rèn)證、LDAP認(rèn)證、RADIUS認(rèn)證等兩種或多種認(rèn)證的組合,多重組合軟硬結(jié)合確保接入身份確實(shí)定性。在用戶接入SSLVPN后進(jìn)展應(yīng)用訪問權(quán)限的劃分對(duì)于享有訪問權(quán)限的應(yīng)用系統(tǒng)采用主從賬號(hào)綁定SSLVPN登錄賬號(hào)和應(yīng)用系統(tǒng)賬號(hào)。用戶只可采用指定的賬號(hào)訪問應(yīng)用系統(tǒng)。由于登錄SSLVPN的身份已通過多重認(rèn)證確實(shí)認(rèn),而后又進(jìn)展指定應(yīng)用賬號(hào)訪問,即可保障登錄應(yīng)用系統(tǒng)的人員的身份。3.3.2更快速的SSLVPN3.3.2.1多線路智能選路對(duì)于移動(dòng)辦公人員,SSLVPN的訪問速度直接影響到辦公的效率。造成速度訪問低下往往有以下幾種情況:跨運(yùn)營商訪問、高丟包高延時(shí)的惡劣網(wǎng)絡(luò)質(zhì)量,要全面的提高速度,就需要解決以上幾個(gè)速度瓶頸問題。為了防止線路的單點(diǎn)故障,組織的網(wǎng)絡(luò)出口通常采用多運(yùn)營商線路來保證線路級(jí)別的穩(wěn)定。國有線網(wǎng)絡(luò)的格局為“北聯(lián)通、南電信〞,使用SSLVPN接入到總部的用戶往往辦公地點(diǎn)不固定,使用的線路有網(wǎng)通有電信的。但使用電信的用戶并不一定由總部的電信線路接入,一旦為跨運(yùn)營商接入,將面臨高丟包率的現(xiàn)象,導(dǎo)致的數(shù)據(jù)頻繁重傳將造成傳輸速度的低下。為了解決跨運(yùn)營商訪問的問題,SANGFORSSLVPN提出了一種基于Web的自動(dòng)選路方法對(duì)用戶接入進(jìn)展最優(yōu)化選路,從線路級(jí)別保證接入速度的最快。當(dāng)用戶在進(jìn)展SSLVPN接入時(shí),將自動(dòng)對(duì)總部的各條線路進(jìn)展實(shí)時(shí)速度探測,并選擇最快的線路進(jìn)展接入。有別于傳統(tǒng)SSLVPN解決多線路接入時(shí)采用的IP地址庫判定方法,SANGFORSSLVPN的多線路智能選路技術(shù)更為智能和人性化。傳統(tǒng)的IP地址庫通過判定用戶端所采用的IP屬于網(wǎng)通還是電信的IP地址段,并固定的限定電信的必須從總部的電信線路接入,聯(lián)通的必須從聯(lián)通的接入。但使用多線路的情況往往會(huì)遇到多條線路上帶寬、占用率不均的現(xiàn)象。假設(shè)是電信的線路跑得較滿,假設(shè)電信用戶從電信接入的速度反而比從網(wǎng)通接入的速度更慢,這樣固化的選路方式反而降低了用戶的訪問速度。SANGFORSSLVPN多線路智能選路支持設(shè)備與多線路直連、通過前置設(shè)備〔如防火墻等〕直連兩種方式下的多線路技術(shù)。可為線路設(shè)置高、中、低三種優(yōu)先級(jí)設(shè)置,當(dāng)用戶登錄SSLVPN頁面發(fā)起連接請(qǐng)求時(shí),SSLVPN設(shè)備將會(huì)根據(jù)線路的優(yōu)先級(jí)及時(shí)延進(jìn)展綜合優(yōu)選,從而實(shí)現(xiàn)速度與鏈路權(quán)值負(fù)載均衡的效果。SANGFORSSLVPN支持多線路下的上網(wǎng)數(shù)據(jù)選路策略,可配置線路優(yōu)先選擇SSLVPN設(shè)置優(yōu)先級(jí)較低的線路,從而實(shí)現(xiàn)上網(wǎng)流量與VPN流量在分流、智能快速接入、多線路的主備下的部署。3.3.2.2 HTP快速傳輸協(xié)議無論是遙遠(yuǎn)地區(qū)網(wǎng)絡(luò)線路質(zhì)量低下,還是移動(dòng)無線訪問,其速度的低下都可反映為網(wǎng)絡(luò)的高丟包、高延時(shí)現(xiàn)象。時(shí)延越大直接拖慢了整個(gè)傳輸速度,而丟包現(xiàn)象的嚴(yán)重將進(jìn)一步的拖滯傳輸速度。到丟包到達(dá)一定程度,甚至雙方根本無法建立連接,更不用說進(jìn)展數(shù)據(jù)的傳輸了。網(wǎng)絡(luò)的高丟包高延時(shí)對(duì)TCP協(xié)議的傳輸影響尤為重。如圖中所示,傳統(tǒng)TCP協(xié)議的擁塞控制機(jī)制為“慢上升、快下降〞。網(wǎng)絡(luò)環(huán)境好的時(shí)候,傳輸?shù)幕瑒?dòng)窗口大小緩慢的增長,但窗口最大僅為64K。但在傳輸?shù)倪^程中,一旦出現(xiàn)丟包現(xiàn)象,窗口大小將立即減小到原有窗口的一般。同時(shí)丟包后將重新傳輸窗口所丟數(shù)據(jù)包后的所有數(shù)據(jù)。可見,傳統(tǒng)TCP傳輸速度增長慢、擁塞控制機(jī)制應(yīng)變差、重傳機(jī)制效率低下,面對(duì)高丟包、高延時(shí)的網(wǎng)絡(luò)速度非常的不理想。針對(duì)傳統(tǒng)TCP“慢上升、快下降〞的低效傳輸機(jī)制,SANGFORSSLVPN提出了HTP快速傳輸協(xié)議技術(shù)。HTP協(xié)議〔H

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論