中小企業(yè)網(wǎng)絡(luò)改造方案

CISCO網(wǎng)絡(luò)改造方案目錄一、目前的網(wǎng)絡(luò)情況及特點(diǎn) 2二、解決方案及效果 32.1虛擬局域網(wǎng) 32.2網(wǎng)絡(luò)訪問控制 42.3PC準(zhǔn)入控制 43.4上網(wǎng)行為管理 4三、方案產(chǎn)品 5四、改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點(diǎn) 64.1改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 64.2新拓?fù)鋱D的特點(diǎn) 6一、目前的網(wǎng)絡(luò)情況及特點(diǎn)目前的網(wǎng)絡(luò)拓?fù)鋱D如下：1/5目前網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)：現(xiàn)有網(wǎng)絡(luò)無法進(jìn)行安全管理及控制，缺乏可管理與安全性，一旦網(wǎng)絡(luò)出現(xiàn)病毒及網(wǎng)絡(luò)攻擊現(xiàn)象，將影響公司內(nèi)部所有IT設(shè)備及公司的業(yè)務(wù)運(yùn)作。1、采用普通的交換機(jī)目前的交換機(jī)為Dlink-des1024R10/100M共三臺，都是二層普通交換機(jī)，功能就是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。無法登進(jìn)交換機(jī)查看交換機(jī)狀態(tài)、無法查看網(wǎng)絡(luò)流量狀態(tài)、無法根據(jù)網(wǎng)絡(luò)的新需求進(jìn)行新的配置。2、所有電腦在同一個子網(wǎng)所有的電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備在同一個網(wǎng)絡(luò)內(nèi)，這意味著這些設(shè)備之間可以任意的互連互通，任意一臺電腦感染病毒或受黑客控制的時(shí)候，可以直接影響公司的所有IT設(shè)備。3、應(yīng)用服務(wù)器缺乏基本的保護(hù)服務(wù)器與電腦設(shè)備在同一個網(wǎng)絡(luò)中，意味著電腦可以任意訪問服務(wù)器的所有端口，而不是根據(jù)應(yīng)用服務(wù)的需要去限制只可訪問需要的服務(wù)，這樣服務(wù)器的任何一個漏洞都可以被計(jì)算機(jī)利用來攻擊服務(wù)器。4．外來電腦可任意接入外來電腦和筆記本可以任意接進(jìn)公司網(wǎng)絡(luò)，其電腦上所帶的病毒、木馬、惡意工具會影響公司其它電腦以及服務(wù)器的安全。5.上網(wǎng)行為存在安全因素訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等與業(yè)務(wù)無關(guān)網(wǎng)站，會導(dǎo)致病毒和木馬進(jìn)入公司內(nèi)部網(wǎng)站員工上班時(shí)間下載電影或是在線看視頻資料，會占用極大的帶寬資源，導(dǎo)致業(yè)務(wù)開展所需要的帶寬不夠，收發(fā)郵件變慢員工上班時(shí)間看新聞，軍事，足球，玩網(wǎng)絡(luò)游戲，炒股票等等會影響到員工的工作效率二、解決方案及效果2/52.1虛擬局域網(wǎng)如果根據(jù)網(wǎng)絡(luò)應(yīng)用的不同，建立幾套完全獨(dú)立的物理網(wǎng)絡(luò)，這樣做不可行，首先為這幾套網(wǎng)絡(luò)重新布線，工程量大，其次是不同的網(wǎng)絡(luò)需要訪問的資源不一樣，將這些需要訪問的資源再關(guān)聯(lián)起來也不是一件容易的事情，因此建議采用虛擬局域網(wǎng)技術(shù)來達(dá)到網(wǎng)絡(luò)隔離的目的。虛擬局域網(wǎng)技術(shù)，在一個物理網(wǎng)絡(luò)中，根據(jù)應(yīng)用的不同，把不同的電腦劃分到不同的虛擬局域網(wǎng)中，而這些不同的虛擬局域網(wǎng)之間是不可訪問的，該技術(shù)成熟并得到廣泛應(yīng)用。2.2網(wǎng)絡(luò)訪問控制在虛擬局域網(wǎng)的基礎(chǔ)上，根據(jù)應(yīng)用的不同，控制其可以訪問的網(wǎng)絡(luò)資源。2.3PC準(zhǔn)入控制在交換機(jī)端口上綁定公司電腦的MAC地址。當(dāng)外來電腦接入到公司網(wǎng)絡(luò)的時(shí)候，交換機(jī)會為外來電腦的MAC地址不屬于公司網(wǎng)絡(luò)，從而禁止外來電腦接入公司網(wǎng)絡(luò)，從內(nèi)部加強(qiáng)公司網(wǎng)絡(luò)的安全性。3.4上網(wǎng)行為管理管理網(wǎng)絡(luò)帶寬。根據(jù)各個部門業(yè)務(wù)需求不同，分配不同的最高帶寬。同時(shí)也根據(jù)應(yīng)用需求的帶寬，給不同的業(yè)務(wù)分配不同的帶寬。保障關(guān)鍵的員工和業(yè)務(wù)能夠獲得足夠的帶寬。提升工作效率。針對 URL,聊天工具，上網(wǎng)時(shí)間，應(yīng)用程序進(jìn)行管理，最大限度減少員工利用上網(wǎng)做與工作無關(guān)事情的時(shí)間。如通過 URL庫，禁止員工訪問與業(yè)務(wù)無關(guān)的網(wǎng)站，只允許訪問與工作相關(guān)的網(wǎng)站。同時(shí)對上千萬條URL記錄分為新聞，可根據(jù)需要禁止訪問其中某些類的網(wǎng)站。保障內(nèi)網(wǎng)安全。阻止各類假冒網(wǎng)銀和假冒網(wǎng)上證券等釣魚網(wǎng)站，保護(hù)員工的合法權(quán)益。禁止色情，反動，邪教等非法網(wǎng)站。對傳輸文件格式進(jìn)行控制，防止不安全格式的文件進(jìn)入內(nèi)網(wǎng)。防DOS攻擊三、方案產(chǎn)品3/5序號品牌型號數(shù)量功能及特性作用根據(jù)電腦屬于不同的應(yīng)用部門，將電腦劃分到不同的虛擬局域網(wǎng)中支持VLAN、組播、QOS、802.1X、SNMP、STP、IPSourceGuardCISCO2960兩臺具備防雷能力、功耗低、無風(fēng)扇自動散熱等特性1支持路由、ACL、VLAN、組播、QOS、802.1X、各虛擬局域網(wǎng)的連接中心，CISCO3750一臺SNMP、STP、IPSourceGuard，具備防雷控制虛擬局域網(wǎng)之間的訪問能力、大帶寬、高性能、高可靠性等特性及對服務(wù)器的訪問規(guī)則Sinfor5100上網(wǎng)行為管理。提高上網(wǎng)安支持雙鏈路，上網(wǎng)行為管理，URL庫，上全，提高員工工作效率，保一臺網(wǎng)應(yīng)用識別，帶寬管理障關(guān)鍵業(yè)務(wù)和和員工上網(wǎng)所需的帶寬 3四、改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖及特點(diǎn)4.1改造后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖4.2新拓?fù)鋱D的特點(diǎn)1.構(gòu)建多個虛擬網(wǎng)絡(luò)。公司的網(wǎng)絡(luò)被虛擬成決策層、管理層、行政部、財(cái)務(wù)部、業(yè)務(wù)部、生產(chǎn)部、品保部、資材部、服務(wù)器區(qū)等多個虛擬網(wǎng)絡(luò)。并可根據(jù)需求增加新的虛擬網(wǎng)絡(luò)2.虛擬網(wǎng)絡(luò)之間訪問控制。不同的虛擬網(wǎng)絡(luò)之間，是不可以直接訪問。一個虛擬網(wǎng)絡(luò)必須經(jīng)過中心交換機(jī)才可以訪問其它虛擬網(wǎng)絡(luò)的電腦。3.網(wǎng)絡(luò)資源訪問控制。4/5在中心交換機(jī)上，可以根據(jù)需要開通相關(guān)