网络升级方案模板doc.docx
- 文档编号:11460735
- 上传时间:2023-03-01
- 格式:DOCX
- 页数:9
- 大小:22.22KB
网络升级方案模板doc.docx
《网络升级方案模板doc.docx》由会员分享,可在线阅读,更多相关《网络升级方案模板doc.docx(9页珍藏版)》请在冰豆网上搜索。
网络升级方案模板doc
网络升级方案-模板
XXXXXX网络升级方案广州XX有限公司11月目录1项目背景32网络现状3网络现状描述3网络现状拓扑53网络中存在问题74详细解决方案8升级1:
非网管型交换机升级为网管型,实现网络设备可管8升级2:
升级上网行为管理设备,实现接入用户可控、网络性能可调10升级3:
全网部署网络版防病毒功能,实现网络病毒可防17升级4:
部署网络流量监控分析系统,实现网络故障可查。
接入层机柜的交换机为非网管理型交换机,主要是提供七、八、九楼办公电脑的接入,不支持远程管理配置,不能查看设备运行、使用状态。
信息点接入情况目前主要有办公用户、住宅用户、无线用户接入到网络中,共享网络资源,通过信息中心办公网访问互联网和电子政务网,大概有二百个信息点。
办公用户主要分布于办公楼三楼、七楼、八楼、九楼,使用办公电脑接入到网络信息点。
部分办公室内有加接小交换机、路由器共用一条主线连到接入层交换机的情况。
住宅用户主要是从办公楼网络中拉线连接到附近的家庭住宅楼用户。
无线设备接入到网络中,作为无线接入点,提供给无线用户接入服务。
桌面电脑使用情况部分办公电脑安装了杀毒软件,“瑞星”、“卡巴斯基”、“360杀毒”等,安装了在线播放视频软件“暴风影音”、“XX影音”、“PPLive”等,也安装了下载软件“迅雷”、“网际快车”等,办公用户可自行安装、卸载软件。
网络现状拓扑整体拓扑汇聚层拓扑上网行为服务过期见如下截图:
3网络现状分析根据目前网络现状的描述,有以下情况:
网络接入层交换机存在非网管型交换机,不支持远程管理配置,不能查看设备运行、使用状态,不便于网络配置的管理和网络故障的分析。
上网行为管理设备使用已旧,过于老化,其设备特征库授权已过期,更新时间于,无法更新最新特征库,未加载上网行为管理策略,不能有效的管理在线用户的上网行为,在线用户可任意使用“暴风影音”、“XX影音”、“PPLive”、“迅雷”等流媒体软件在线播放视频和下载,占用办公上网带宽,影响正常办公网络。
办公用户、住宅用户、无线用户的任意接入,共享网络、服务器资源。
对接入用户不能有效识别和管理,可能会导致非法用户的接入,危害网络、服务器安全。
桌面电脑未统一部署防病毒功能,办公用户并可自行安装、卸载软件,办公用户使用局域网资源时,很容易交叉感染各种病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序,消耗电脑资源、攻击网络设备、泄露敏感信息、破坏文件等。
网络管理中没有对网络流量进行监控分析,以至于不了解网络资源的健康状态,出现网络故障时,无法分析及迅速定位故障点。
为了解决以上网络中所存在的问题,对此次网络升级改造,要求做到“网络设备可管”、“接入用户可控”、“网络病毒可防”、“网络性能可调”、“网络故障可查”,实现“管、控、防、调、查”四个目标。
通过完成以上目标,来打造一个干净、高效的网络办公环境,保证业务系统、网络办公的正常运行,以提高对市民信息化的服务质量和员工的上网办公的效率。
4详细解决方案升级1:
非网管型交换机升级为网管型,实现网络设备可管将接入层非网管型交换机升级为可网管型交换机,建议采用“锐捷”交换机,与核心交换机同品牌,从技术上可以无缝兼容,从服务上可以获取更好的支持。
可采用灵活复用的千兆接口和扩展槽组合的形式,可最灵活满足是否需要多个千兆链路上链或多个千兆服务器的连接,方便用户根据网络架构灵活选择连接形式;可支持设备间的混合堆叠,通过堆叠不仅能统一管理和使用设备,降低管理成本,同时可灵活地组合和扩展端口,平滑扩容,保障了网络的高度灵活和可扩展,网络管理更加简单;锐捷交换机介绍:
RG-S系列交换机是锐捷网络为构架安全稳定的网络推出的基于新一代硬件架构的安全智能交换机,充分融合了网络发展需要的高性能、高安全、多业务、易用性特点,并融入了IPv6的特性,为用户提供全新的技术特性和解决方案。
(产品外观)方便易用易管理SSH(SecureShell)和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。
基于源IP地址控制的Telnet访问控制,更加精细的提供了设备管理控制,保证只有管理员配置的IP地址才能登陆交换机,增强了设备网管的安全性。
支持线缆检测特性,可在网线有断路时自动检测出,并给出断路点离端口的距离,网管人员可根据此信息轻松排除网络故障;支持IPv6网管特性,可直接通过IPv6管理到网络边缘,SNMPv6使全网统一IPv6管理成为可能;多端口同步监控,通过一个端口即可同时监控多个端口的数据流,还可只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;网络时间管理协议/简单网络时间管理协议(NTP/SNTP)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断;Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理;支持使用WEB浏览器配置交换机,无需了解复杂的命令行和终端模拟程序,允许简单、快速的配置交换机,从而降低部署成本。
升级2:
升级上网行为管理设备,实现接入用户可控、网络性能可调内网早期已有部署深信服上网行为管理设备,使用已旧,过于老化,其设备特征库授权已过期,不能满足现有网络带宽、功能的需求。
建议升级更换新设备或升级设备功能授权,以满足现有上网行为需求。
深信服科技有限公司是中国规模最大、创新能力最强的前沿网络产品供应商,致力于通过创新、高品质的产品及卓越的服务,帮助用户的业务向互联网转型。
(产品外观)部署模式:
透明部署产品功能:
启用上网行为管理设备用户身份认证功能,实现接入用户可控;用户身份认证功能基于身份认证技术,上网行为管理可以为组织提供多种身份认证方式,如:
web认证,与常见的第三方服务器结合认证(AD、LDAP、Radius、Rroxy、POP3等),IP/MAC绑定认证等,更高级的还有key认证、硬件认证等。
部分厂商提供单点登录、用户自注册等,方便IT管理员使用。
此外,为了符合公安部关于“互联网公共服务场所”的管理要求,有的产品提供了虚拟账号和真实账号的对应,如游戏账号、IM账号、BBS账号等。
身份认证功能帮助IT管理员建立网络用户管理体系,实现管理与用户的一一对应。
升级上网行为管理设备特征库,实现网络性能可调上网行为及流量可控制、调整功能控制功能:
细致的访问控制,有效管理用户上网对于内网用户的网页访问行为,AC不仅通过内置URL库,关键字过滤等方式进行管控。
对于采用SSL加密的网页,如钓鱼网站等,AC的证书验证链接黑白名单技术同样可以管控。
AC不仅管理用户使用WEB、FTP、EMAIL等常用服务,通过深度内容检测技术,实现对QQ、MSN、SKYPE等IM聊天工具,BT、电骡等P2P下载工具,PPLive、QQLive等在线影音工具,网络游戏,在线炒股等网络应用行为进行管理和控制。
针对目前P2P行为泛滥的趋势,SINFORAC的P2P智能识别技术能够对不常用的、未来可能出现的P2P软件进行有效管控。
并且对P2P行为严重吞噬带宽资源的问题,提供流量控制功能。
AC所具备的多种网络访问控制功能,可以基于用户/用户组、基于时间段、基于不同目标行为进行灵活权限控制,实现人性化管理要求。
带宽及流量管理功能:
强大流量分析及带宽划分与分配SINFORAC的多线路复用专利技术使一台AC可同时连接四条公网线路,扩展带宽、互为备份、流量负载均衡。
通过部署sinforAC网关,可实现智能化选择最快的出口线路,有利于上网速度的提升。
SinforAC支持父通道中嵌套子通道,可支持8级子通道,最多能形成11级流量通道,为用户提供细致的流量管理手段,实现大流量划分成小流量通道,分级管理。
IT管理者需要详细了解当前带宽资源的使用情况,这可以通过访问AC的数据中心实现,如查看指定时间周期内应用流量分布情况,用户流量分布和排名等。
下一步IT管理者就需要对非业务流量如P2P行为等进行带宽限制,对领导的视频会议系统等业务流量需求进行满足,这通过AC智能流量管理系统轻松实现,基于不同用户/用户组、时间段、应用类型/网站类型/上传下载文件类型、结合QoS优先级机制,进行带宽划分和分配,实现带宽资源利用率的最大化。
功能详细介绍功能例表:
权限控制提供基于时间、应用、用户(基本元素)的上网权限控制。
权限控制功能帮助组织建立与组织文化、业务职能、用户职权相匹配的上网权限管理体系,防止越权访问,防范法律和泄密风险。
流量管理提供基于时间、应用、用户组/用户、上下行带宽(基本元素)的流量控制,帮助用户限制与业务无关应用的带宽占用情况,保障核心用户、核心业务的带宽需求。
识别率与流控粒度是评判产品优劣的重要标准。
应用行为记录提供上网行为记录、数据挖掘、日志定位功能,一方面帮助组织提供满足主管部门要求的上网行为记录,避免安全事故发生后无据可查的情况,另一方面帮助组织进行业务分析,了解网络利用情况,应用行为记录功能也常常被作为信息安全防护、防泄密方案的重要组成部分。
安全防护主流的专业上网行为管理产品都是硬件产品,作为管理产品其具有对网络威胁的识别和防御技术,一方面对网络威胁的防御(如防止DOS攻击、防ARP欺骗)能保护产品本身的稳定安全,进而保障网络可靠性;另一方面识别并拦截网络中的异常流量,可以避免威胁扩散而给组织造成不良影响。
高级功能终端安全检测与修复上网行为管理的“核心技术”之一“终端安全识别”包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等等。
但仅仅发现问题并不能满足IT管理员的需求。
为此,部分上网行为管理厂商提供了扩展功能,支持和第三方的安全服务器结合,一旦发现存在安全隐患的终端,自动向终端发起提醒或主动运行相关程序,修复安全短板。
局域网准入控制网络行为的管理不仅仅包括互联网行为的管理,也包括内网行为的管理。
为此,部分上网行为管理厂商提供了局域网准入控制功能,依据对终端安全级别评估的结果,设立虚拟化的隔离区,将不同用户、不同安全级别的终端划入相应隔离区。
IT管理员可依据各隔离区的安全级别设置网络服务控制策略、分配互联网访问权限和与其他隔离区的通讯权限,拒绝安全级别较低的隔离区中的终端与正常通过安全策略检测的终端进行通讯。
虚拟化的多隔离区帮助IT管理员在终端识别的基础上有效区分对待安全级别不同的终端,避免存在安全隐患、不符合安全策略的终端随意接入内网,威胁其他用户,有效地遏制了病毒、蠕虫和间谍软件等损害网络安全。
服务器访问分析与控制受“互联网应用分析与控制”的启发,许多组织将上网行为管理产品应用于业务流量分析与控制。
据此,组织可以了解主页网站、电子商务网站的被访问情况,包括访问时间、次数、流量等,可以为服务器组进行带宽控制,避免访问流量过大影响其他用户的访问体验或影响服务器稳定。
借助上网行为管理产品的报表,管理者可以导出自己需要的报表,据此做出更快更准确的决策。
免过度记录功能许多组织在部署应用行为记录方案时都不可避免地遭遇来自各方面的管理阻力和舆论阻力,网络管理部门必须考虑包括“如何避免对关键人员(如组织高层领导)的过度记录”、”如何解决对日志的保护和保密工作”、“如何控制对日志的查看权限”等问题。
对此,大部分厂商都提供了基于软件的和对日志的软保护,但因为控制权在产品管理员手中,仍有高层管理者对此表示顾虑。
部分厂商提供了更人性化的手段,使用硬件鉴权如USB-key的方式,免除对特定人员的行为记录,使用“key+密码”的方式限制对日志的查看权限,更进一步的,可以采用“两人分别持有key和密码,并且在第三者在场监督的情况下才允许查看日志”的方式,保障日志安全。
升级3:
全网部署网络版防病毒功能,实现网络病毒可防建议采用“趋势”网络版防病毒,趋势产品是全球网络防病毒领导厂商产品,有较高的产品知名度;具有全球性病毒检测能力;综合性的防护能力:
采用业界最先进的云安全技术——网页信誉技术(WRT)和文件信誉技术(FRT),在云端提供快速、实时的安全状态查找功能。
最防护海量病毒有效手段。
它使计算机免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;降低资源消耗:
减少针对新出现的威胁提供防护所需的总体时间。
减少在特征码更新期间占用的网络带宽。
大多数特征码定义更新只需要传送到云端,而不是许多端点。
减少整个公司范围内特征码部署所涉及的成本和开销。
降低端点上的内核内存占用。
内存占用随时间的推移以最低限度增加。
部署模式:
总体安全部署示意图如下:
防毒墙网络版(OfficeScan)系统,对全网的OfficeScan客户端进行监控和管理,其中包括统一安全策略部署、病毒码/反病毒引擎的升级、集中日志管理等。
产品功能:
Web信誉技术(WRT)l防御基于Web的恶意软件、数据窃取、生产力损失和信誉损害l对数以百万计的Web站点进行动态评级,确定其安全性l不论使用何种连接类型以及网络连接方案,都可以提供实时防护l私有云技术完成本地服务器同步并提升Web性能和隐私性卓越的恶件防护l针对病毒(Virus)、特洛伊木马病毒(Trojan)、蠕虫(Worm)、间谍软件(Spyware)和新变种病毒提供强大防护l以全新的技术侦测并清除活动和隐藏中的Rootkitsl新设备控制技术可依照企业的规定安全地处理可移动媒介l对客户机的POP3电子邮件以及Outlook文件夹进行威胁扫描,保护终端邮箱文件信誉技术(FRT)l用户访问某文件前将自动在云端查询该文件的最新安全等级,并阻止用户对低安全等级文件的访问l病毒代码部署时间从原有的数小时甚至数天,缩短至几秒l不论是否与企业网络连接,都可为终端提供零时差防护l文件病毒代码移至云端,对终端性能和资源占用节省40%桌面虚拟化特别优化l自动识别客户端运行环境于物理终端或虚拟终端,从而提供更好的防护目标l通过设置将桌面虚拟器的扫描和特征码的更新作业排程,防止发生网络、CPU和存储器冲突l利用初始母版和白名单技术,记录扫描内容,从而缩短虚拟桌面的扫描时间虚拟补丁技术(入侵防护模块插件)l安装补丁之前保护终端免受漏洞攻击l提供零日防护,尤其针对无法轻易安装补丁的终端l比传统补丁更快速、更容易地部署扩展的平台支持l与您的Microsoft基础架构精准的结合,提供向WindowsServer的信息化建设,核心业务、办公自动化系统、人事、财务、档案等相关业务信息增多,对网络系统的依赖性日益加强,机房规模不断扩大,网络设备的种类、数量及网络应用服务的越来越多。
所有这些,都对系统的稳定性、可靠性和安全性、以及IT管理服务提出了更高的要求。
为进一步做好IT管理服务工作,就必须与旧俱进,需要不断学习和掌握最新的网络技术,熟悉各种不同厂商的网络设备,要以专业的技术、丰富的经验、雄厚的技术实力为IT管理提供服务。
培训方案培训教材编写原则根据网络实际情况编写培训教材,务求在培训内容上作到理论与实际紧密的结合。
培训方式为使培训对象更好的掌握培训内容,我司在培训课程的安排上将保证,即有理论讲解,又有实际操作,并根据业主的要求合理安排理论课与实操课的比例。
培训的目标使用管理操作人员能熟练掌握各个系统的基本操作;使系统管理员有进行日常维护的能力。
使管理人员能对整个系统全面了解,熟悉日常维护工作,有能力处理一般性问题,并消除系统因使用或操作不当而引起的故障,减少突发故障的发生。
培训计划科目内容讲师学时理论培训对相关产品的功能、理论及网络通用技术进行介绍资深工程师1天操作培训对网络中所运行设备的实际操作的培训资深工程师2天维护培训对网络中所运行设备的日常维护及常见故障模拟排除的培训资深工程师1天
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 升级 方案 模板 doc