网络改造方案（纯方案16页）.docx

《网络改造方案（纯方案16页）.docx》由会员分享，可在线阅读，更多相关《网络改造方案（纯方案16页）.docx（16页珍藏版）》请在第一文库网上搜索。

1、网络改造方案建议书日期：2023年1月目录1 .网络出口安全问题32 .网络带宽管理问题33 .网络架构问题54 .无线网络覆盖问题65 .桌面运维管理问题66 .服务器数据安全问题87 .施工说明98 .预算清单101网络出口安全问题集团公司网络出口设备应配备I台华为路由器，该产品主要用于集团公司上网用户的IP地址转换，外网光纤链路为电信50M,由于路由器未提供安全功能模块，集团公司的网络安全受到很大危险，同时集团公司的销售人员在出差时需远程访问公司内网业务系统，现有设备没有防火墙、入侵检测、VPN等功能，某些功能需要购买软件授权才可以实现。急需对全集团公司网络安全进行改造。解决方案：新购一

2、台网络安全网关UTM,该产品具备高级功能，同时提供VPN、AV、H)P等多种功能，UTM区别于传统防火墙，能分析网络3-4层数据报文，自带的规则库能识别90%的病毒，阻止非法的网络攻击，如非法扫描，漏洞探测，僵尸网络，暴力破解等。通过配置SS1VPN可以实现远程用户以安全的虚拟通道连接到集团公司内网访问业务系统，SS1VPN支持在手机、电脑终端任意访问，不再限制用户的访问终端类型。公司领导可以在家、出差，上下班路上，轻松连接到内网进行相关工作流程的签发，实现了智能终端设备的安全移动办公。2.网络带宽管理问题集团公司网络基础平台2013年建设完成，互联网接入电信带宽50M,现阶段对用户上网的行为

3、，上网的带宽，访问的应用没有任何安全控制，如：员工上网在论坛发帖，评论、转发，撰写法X功，非法言论，因公司没有相应的管控设备，无法定位和查看是发送者身份，将会给集团公司造成很大负面影响。公安部82号令，要求能够记录终端用户访问网站的日志，对外发的内容可以进行审计以及关键字过滤。解决方案：新采购一台上网行为管理设备，部署在机房，可以实现对陕西核工业集团公司网络带宽管理、网络行为管理，通过该设备可以配置相应的流量管理策略，可基于用户角色或者时间段来分配带宽管理策略。控制P2P下载、在线应用，通过部署了上网行为管理设备，可以灵活、有效的控制和解决陕西核工业集团公司网络带宽及用户访问行为，提升网络安全

4、，实现网络可视化管理。上网行为管理设备有如下四大主要功能特点：1、内容过滤；2、应用控制；3、带宽管理；4、内容审计;1,内容过滤-绿化网络环境1,封堵非法违禁网站2.屏蔽安全除患网站/规避法律风险,营造健康网络环境保障企费及用信息安全/提高生产效率A3.审计网页浏览内容网页标题、H煞类别、N页内容、接索关键字等信息2.应用控制-提高工作效率.P2P下载（30余种）IM即时通信（15种）8F；幽I定期380余种网络应用网络游戏（40种）由开心网在线视频so种）youuwQKu6i。土豆网网上交易（30种）淘宝网30IkI,，协议库每周至少一次的育频度更新3.带宽管理-提高网络价值用户用户组今用

5、用宽营建特殊用户可用带宽保障组内每用户带宽平均分配应用工作相关应用带青保障.工作无关应用带宽限制异第溢*阻窸 内容：文件路径、名称、类型、大小、FTP账号 亩计/过述：基于路径、名称、类型 范围:BBS论坛、博客、贴吧. 内容：论坛名称、发帖主题、发帖内容 报警：敏感信息外发邮件报警4,内容审计-保障信息安全 范围:SMTP、P0P3xWebMaiI. 内容：发信人、收信人、主题、正文、附件 亩计/过速：基于敏想关键字、附件类型 范围:QQsMSN、飞信、YAHOOif 内容：聊天内容、群聊内容、文件传输内容3 .网络架构问题集团公司基础网络建设处于起步阶段，新购置一台千兆三层的核心交换机，新

6、购的核心交换机配置为用户终端网关设备，通过虚拟局域网(V1AN)技术按照楼层的办公区域划分不同的V1AN,不同的V1AN之间不能直接访问，通过三层交换机的路由实现了不同V1AN的互访，配置了V1AN之后，即使有终端机器感染网络病毒产生的广播报文只在本部门V1AN内广播，不会影响其他部门V1AN,这样大大降低了病毒对网络影响的范围，保护了内网的安全性。核心交换机的强大的背板带宽和包转发率能保证用户的数据请求无阻塞的完成转发，没有网络瓶颈。4 .无线网络覆盖问题集团公司办公楼共11层，几乎每个办公室都需要无线接入的需求，公司员工的笔记本、手机都有访问无线用于移动办公，访客室、会议室都要求接入无线。

7、现阶段无线接入是通过购买了家用型磊科无线路由器产品来实现的。购买的无线路由器需要逐个安装调试，按照这样的发展趋势，办公楼出现了非常多的家用型无线设备。出现常见的问题有：无线信号不稳定、频繁掉线、相互之间干扰严重、无法集中统一管理所有无线设备、无线网络安全无法控制，非法设备抢占空口资源，管理员经常奔波于每个办公室处理无线连接问题。解决方案：1简单高效的AC+瘦AP网络架构针对集团公司需要对网络设备实行统一管理的要求，采用了AC+瘦AP网络架构，并结合功能强大的华为eSight无线网管功能，不仅可以做到AP的统一配置和集中管理，从无线网络配置、故障定位和快速恢复等方面，全面提升无线网络的运维管理效

8、率，让公司网络管理方既省心又省力；另一方面，在AC射频管理中采用华为自研的高级优化算法，实现无线覆盖的快速调整和优化，保证无线网络性能。2 .内外网统一的无线访问通过VAP/SSID,设置内外网为一张物理网络，并且安全隔离出内网、外网，极大的简化了布线成本和对施工的要求；并且易于维护，支撑未来的业务扩展。3 .稳定可靠的无线连接通过双频、自动信道选择调整、高可靠的无线网络设计，保障集团公司网络干扰小，信号稳定，单设备故障不影响业务等，实现稳定的无线办公环境。5 .桌面运维管理问题集团公司计算终端约30台，当前企业在对人员的管理主要是基于传统的桌面进行管理，主要采用微软组策略或者第三方的管理软件

9、或硬件对终端桌面进行控制，例如：禁止USB口，防止用户利用USB设备拷贝数据禁止蓝牙和红外设备，防止用户通过蓝牙和红外设备传输数据 对数据进行加密，防止文件外泄造成信息外流但是这些手段并不能很好地解决当前问题，仍然存在以下风险： 目前需要第三方的软件禁止USB访问，但是都在客户端实现，具有技术背景的开发人员可以绕开软件，通过USB设备将数据拷贝出来 目前的的软件对蓝牙和红外设备的管理能力有限 对数据进行加密，开发人员可以通过各种手段进行反向破解 移动设备的普及使得用户可以不通过传统存储设备，利用蓝牙和红外将数据传输到手机等设备上 用户也可以通过将硬盘PC上拆卸下来，带走通过其他PC进行拷贝，而

10、这些手段实施也存在以下的问题和局限：当前解决方案都是在客户端实现，而开发人员可以通过各种手段将并不处于管理员可控范围内的客户端上的数据拷贝出来；开发人员使用桌面上各种应用的行为无法记录，对于不合理行为无法进行控制；采用多种软硬件技术进行管控，成本高,效果差，像补丁一样对各个潜在风险进行修补，无法根本上解决问题；为了满足业务需求，目前开发人员都必须得在企业进行开发，占用企业大量的设备，场地，整个开发成本高。使用虚拟桌面解决方案可以很好地解决上述问题： 由于虚拟桌面是基于服务器计算的模式，所有的计算都是发生在服务器上，即运行在服务器上的虚拟操作系统(xp,vista,windows7),所有数据都

11、在服务器上产生，所以可以从根本上控制数据的访问和使用，即通过策略限制将产生的数据存储在本地磁盘，USB设备上。 利用远程访问协议高效性，以及对数据的安全访问机制，开发团队可以通过网络包括VPn网络远程进行开发，而无需在企业规定的开发场地，占用大量的资源。 通过提供虚拟桌面，企业无需为开发方的团队提供设备，或者对这些设备进行全面管理和支持，可以让开发方使用自己的设备，只需要网络进行管理，访问受控的、安全的、开发虚拟桌面。开发环境被分为可控的虚拟开发环境与物理的自有环境，在满足开发人员的特殊需求同时，能够管控开发环境，减少企业IT人员的管理复杂性。 可以利用服务器的资源动态进行调整，满足用户的需求

12、，而不需要采购新的PC满足需求。 虚拟桌面最大限度共享资源，大大降低能源消耗和碳排放量。当然虚拟桌面解决方案本身实施中也有一些需要克服的障碍： 需要采用虚拟桌面的解决方案，将传统的桌面计算转换到服务器计算，所以需要投入一定数量的服务器与软件 已有的投入的桌面由于计算压力的调整，可能无法充分发挥其计算能力 虚拟桌面方案需要网络的支持，实现不受地域的访问，当然对于企业的应用开发，网络连接是最起码的基础要求 由于桌面使用方式产生了一定的变化，需要对用户的使用习惯进行调整 由于在工作过程中，虚拟桌面也是需要连接到网络进行工作的，所以虚拟桌面本身并不能解决数据通过网络传输外泄的风险，但是由于只有这一条潜

13、在外泄通道，企业IT管理人员可以通过网络工具和设备来对网络进行管理，解决这一问题 从整体对比来看，虚拟桌面解决方案从数据安全的角度，相对于传统本地桌面，从成本，管理，安全和环保层面，都有很大优势，而且已经成为了未来趋势。6 .服务器数据安全问题集团公司现应配备联想服务器1台，用于支撑公司财务系统运行，财务数据保存在服务器本地硬盘。财务报表等数据是集团公司最机密的信息，一旦服务器系统损坏或者硬盘故障，将面临集团公司无法访问财务系统，严重情况下将会导致数据丢失。同时现有服务器只承载了一个业务系统，服务器的CPU,内存等物理资源长期利用率在3%以下，造成资源了极大浪费，但因为现有的服务器建设架构无法

14、提高服务器硬件资源利用率，需改变现在服务器部署模式来改善这些问题。解决方案：为了提升服务器硬件资源利用率，保护财务系统数据安全性，即使服务器系统及硬件出现故障仍能保持业务连续性，我们建议客户采用服务器虚拟化的解决方案来改善集团公司业务的部署模式。新购3台服务器及一套统一存储，新购的两台服务器和现有一台服务器，用于构建一套资源池，通过虚拟化软件实现CPU、内存、硬盘、网络等资源的池化，可以针对某个应用按需分配资源，实现服务器高可用，保护数据安全可高，服务器只用来承载业务系统，业务系统产生的生产数据通过高速光纤链路传送到存储上。7 .施工说明集团会议室是8M*6M的投影的位置在两个半径的中心交叉点

15、，每个房间的东面、西面和南面要保证一个5孔插座和RJ45接口面板，会议室与视频会议需要对接，辅材需要一根电源线和2跟VGA视频连接线。视频线和电源线的长度为地面高度和房间半径长度总和延长2米。建议长度9M8 .预算清单基础网络部分序号名称型号内容描述数量单位单价总价备注1核心交换机华为S7703ES0B00770300S7703总装机箱1台4,618.004,618.00核心交换机机箱EsodoomcuaooS7703主控处理单元A2个6,179.0012,358.00核心交阕胜控板ES0DG48CEAT036端口十兆危兆/千兆以太网电接口和12端口百兆/千兆以太网光接口板(EA,RJ45SFP)1个31,359.0031,359.00千兆48端口业务板卡W2PSA0800800W交流电源模块(黑色)2个4,199.008,398.00核心交换机配置双电源SFP-GE-1X-SM1310光模块-eSFP-GE-单模模块(1310nm,IOkm11C)