集团网络升级改造建设方案Word下载.docx

集团网络升级改造建设方案Word下载.docx

《集团网络升级改造建设方案Word下载.docx》由会员分享，可在线阅读，更多相关《集团网络升级改造建设方案Word下载.docx（8页珍藏版）》请在冰豆网上搜索。

核心网关：

目前公司用的核心网关为2021年采购，且前段时刻已升级最新版本，完全符合公司的后期扩容要求，一样硬件厂家的支持升级年限为五年以上。

上网行为：

标准和限制员工的设备，包括上班时刻禁止看视频、下载大容量文件等，后期网络改造将进行手工配置ip地址的模式，每人都对应自己唯一的ip地址。

公司此刻网络情形总结：

百兆光纤接入，通过百兆路由器千兆互换机接入到弱电井，通过网络线接入到办公室，有相应的上网行为设备的操纵，在效劳器区通过核心网关做映射与外网相连，同时起到平安防护的作用。

缺点：

用户访问外部网络没有平安设备，会造成后期网络访问的数据平安问题；

效劳器区只有核心网关做防护，不能保证效劳器区的足够平安；

各楼层没有光纤互换机，后期扩容带宽受限；

网站没有足够防护，要紧原应是访问量和数据互换较少，临时可不能有大量的数据，可不能引发相关木马等的解决。

之因此公司网络是那个现状要紧缘故是那时集团大楼为临时大楼只为过度利用，申特对网络的要求也很低，同时在线人数也可不能超过100人，网络负载大体知足。

三、网络整改后拓扑介绍

一、接入方式扩容：

光纤接入：

原先为100兆，拟增加到300兆，考虑后期集团大楼人数的增加、应用系统的上线和视频会议的需要。

二、网络层设备：

核心路由器：

改换千兆接口路由器，核心路由器作为各个接入机构的业务数据汇聚点，需知足高性能、高稳固、接口丰硕灵活、可扩展的要求，现有百兆路由器已经不知足需求，建议在出口替换成模块化核心路由器，保证高稳固性，用于各个机构的主链路接入，保证出口快速转发，并方便后期扩展，路由器支持光口、电口、155MCPOS接口、E1/CE1接口、V35同步接口、155MATM接口等，知足各类广域网接入要求。

接入互换机：

现有七台接入互换机无光口，且性能偏低，无法知足现有数据线速转发要求，建议将现有7台互换机升级为光口互换机，各大楼及楼层之间通过光纤直连，提升靠得住性、散布性和易治理性。

平安防护：

目前公司只有一台核心网关，并无相应的平安设备，特新增一台入侵防御系统，针对互联网病毒、蠕虫，黑客解决等入侵行为进行检测、报警和阻断，提供平安检测、流量分析、修正分析、及时准确告警，更好地进行风险分析、风险预警、系统和网络脆弱性分析，构建平安靠得住的信息网络，后期信息系统的通入必然会有大量的数据，入侵防御系统是目前网络平安领域较好的抵御设备，也是目前主流的平安设备，一样的利用年限在五年以上，考虑公司的本钱问题建议采购。

增加入侵防御系统的缘故：

在网络的运行保护中，IT部门仍然发觉网络的带宽利用率居高不下、而应用系统的响应速度愈来愈慢，只好提升带宽并升级效劳器喽，可过不了多久问题再次显现。

而事实上，业务增加速度并无如此快，业务流量占用带宽可不能达到如此的数量，这是目前各大公司网络都可能存在的问题。

并非是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日趋滋长并演变到应用层面（L7）的结果，而这些有害代码老是假装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅依照其工作在L2-L4时的情形考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别假装成正常业务的非法流量，结果蠕虫、解决、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如以下图所示：

这确实是为何用户在部署了防火墙后，仍然蒙受入侵和蠕虫、病毒、拒绝效劳解决的困扰。

事实上，员工的PC都既需要访问Internet又必需访问公司的业务系统，因此存在被病毒感染和黑客操纵的可能，蠕虫能够穿透防火墙并迅速传播，致使主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的DP进行大量文件共享，致使机密泄漏和网络拥塞，对系统的危害极大。

为了能够让防火墙具有深切的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深切检测时，防火墙的在数据流量较大时会迅速崩溃，或虽能够勉强工作，却引入专门大的处置延时，造成业务系统性能的严峻下降，因此基于现有防火墙体系结构增加深切包检测功能的方案存在严峻的性能问题。

防火墙和IPS协同工作：

内部网络和外部网络的连接处一贯是网络平安的重点，防火墙无法阻止黑客间接地通过有权限的主机发起解决。

因此在防火墙以后部署一台IPS，配置爱惜内部网络的平安策略。

通过防火墙过滤掉非法的访问数据，转发开放端口的效劳数据到内部网络中，进入内部网络之前，在通过IPS的深度检测，检查每一个数据包是不是存在病毒或解决代码，能够进行实时阻断。

Web应用防火墙：

要紧部署在网站、应用效劳器前端，后期应用系统将通过网站访问，若是没有较强的爱惜方法，后期会对应用的访问造成必然的平安要挟，同时它具有用户访问的行为分析与审计，对页面点击率、客户端地址、访问流量和时刻等维度进行有效行为跟踪和呈现，内置典型解决特点，针对穿山甲等经常使用软甲工具精心优化，阻止SQL注入HTTP参数污染等常见解决。

涵盖OWASPTOP110要挟，并能自动升级。

增加web防火墙的缘故：

从狭义的爱惜角度来看，运算机网络安满是指运算机及其网络系统资源和信息资源不受自然和人为有害因素的要挟和危害；

从其本质上来讲确实是系统上的信息平安。

从广义来讲，凡是涉及到运算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是运算机网络平安的研究领域。

基于共享的网络存在以下一起的风险。

1）操作系统平安的脆弱性

操作系统不平安，是运算机不平安的全然缘故。

要紧表此刻：

操作系统结构体制本身的缺点；

操作系统支持在网络上传输文件、加载与安装程序，包括可执行文件；

操作系统不平安的缘故还在于创建进程，乃至能够在网络的结点上进行远程的创建和激活；

操作系统提供网络文件系统（NFS）效劳，NFS系统是一个基于RPC的网络文件系统，若是NFS设置存在重大问题，那么几乎等于将系统治理权拱手交出；

操作系统安排的无口令人口，是为系统开发人员提供的边界入口，但这些入口也可能被黑客利用；

操作系统还有隐蔽的信道，存在潜在的危险。

2）网络平安的脆弱性

由于Internet／Intranet的显现，网络平安问题加倍严峻。

能够说，利用TCP／IP协议的网络所提供的FTP、E-Mail、RPC和NFS都包括许多不平安的因素，存在许多漏洞。

同时，网络的普及使信息共享达到了一个新的层次，信息被暴露的机遇大大增多。

Intranet网络确实是一个不设防的开放大系统，谁都能够通过未受爱惜的外部环境和线路访问系统内部，随时可能发生搭线窃听、远程监控、解决破坏。

3）数据库治理系统平安的脆弱性

当前，大量的信息存储在各类各样的数据库中，而这些数据库系统在平安方面的考虑却很少。

而且，数据库治理系统平安必需与操作系统的平安相配套。

4）内部资料被窃取

此刻企业信息化进程中上传下达的各类资料大体上都要先通过电脑录入并打印后再送发出去，电脑内一样都留有电子版的备份，假设此电脑直接接入局域网或Intranet，就有可能受到来自内部或外部人员的要挟，其要紧方式有：

利用系统漏洞入侵，阅读、拷贝乃至删除重要文件。

前段时刻在平安界流行一个名为DCOMRPC的漏洞，其涉及范围超级之广，从WindowsNT4．0、Windows2000、WindowsXP到WindowsServer2003。

由于Microsoft

RPC的DCOM（散布式组件对象模块）接口存在缓冲区溢出缺点，若是解决者成功利用了该漏洞，将会取得本地系统权限，并能够在系统上运行任何命令，如安装程序，查看或更改、删除数据或是成立系统治理员权限的帐户等。

目前关于该漏洞的解决代码已经涉及到的相应操作系统和版本已有48种之多，其危害性可见一斑；

电脑操作人员平安意识差，系统配置疏忽大意，随意共享目录；

系统用户利用空口令，或将系统帐号随意转借他人，都会致使重要内容被非法访问，乃至丢失系统操纵权。

5）Web效劳被非法利用

基于网页的入侵及讹诈行为要挟着网站数据的平安性及可信性。

其要紧表此刻：

Web页面讹诈

许多提供各类法律法规及相关专业数据查询的站点都提供了会员效劳，这些会员一样需要缴纳必然的费用才能正式注册成为会员，站点许诺通过信誉卡在线付费的形式注册会员。

解决者能够通过一种被称为Man-In-the-Middle的方式取得会员注册中的灵敏信息。

解决者可通过解决站点的外部路由器，使进出方的所有流量都通过他。

在此进程中，解决者扮演了一个代理人的角色，在通信的受害方和接收方之间传递信息。

代理人是位于正在同心的两台运算机之间的一个系统，而且在大多数情形下，它能在每一个系统之间成立单独的连接。

在此进程中，解决者记录下用户和效劳器之间通信的所有流量，从中挑选自己感爱好的或有价值的信息，对用户造成要挟。

CGI欺骗

CGI（CommonGatewayInterface）即通用网关接口，许多Web页面许诺用户输入信息，进行必然程度的交互。

还有一些搜索引擎许诺用户查找特定信息的站点，这些一样都通过执行CGI程序来完成。

一些配置不妥或本身存在漏洞的CGI程序，能被解决者利用并执行一些系统命令，如创建具有治理员权限的用户，开启共享、系统效劳，上传并运行木马等。

在夺取系统治理权限后，解决者还可在系统内安装嗅探器，记录用户灵敏数据，或随意更改页面内容，对站点信息的真实性及可信性造成要挟。

错误和疏漏

Web治理员、Web设计者、页面制作人员、Web操作员和编程人员有时会无心中犯一些错误，致使一些平安问题，使得站点的稳固性下降、查询效率降低，严峻的可致使系统崩溃、页面被窜改、降低站点的可信度。

6）网络效劳的潜在平安隐患

一切网络功能的实现，都基于相应的网络效劳才能实现，如

IIS效劳、FTP效劳、E-Mail效劳等。

但这些有着壮大功能的效劳，在一些有针对性的解决眼前，也显得十分脆弱。

以以下举几种常见的解决手腕。

散布式拒绝效劳解决

解决者向系统或网络发送大量信息，使系统或网络不能响应。

对任何连接到Intranet上并提供基于TCP的网络效劳（如Web效劳器、FrP效劳器或邮件效劳器）的系统都有可能成为被解决的目标。

大多数情形下，蒙受解决的效劳很难接收进新的连接，系统可能会因此而耗尽内存、死机或产生其他问题。

口令解决

基于网络的办公进程中不免会有利用共享、FTP或网页形式来传送一些灵敏文件，这些形式都能够通过设置密码的方式来提高文件的平安性，但多数八会利用一些诸如123、work、happy等大体数字或单词作为密码，或是用自己的生日、姓名作为口令，由于人们主观方面的缘故，使得这些密码形同虚设，解决者可通过词典、组合或暴力破解等手腕取得用户密码，从而达到访问灵敏信息的目的。

网页防窜改软件针对网站群实现平安防护。

防范数据窜改、网站暗链、页面窜改、后台治理、文件包括、目录遍历、文件上传、信息泄露、解决痕迹、中间件。

部署于效劳器前端，串联，针对网站平安漏洞、解决手腕及最终解决结果，行扫描、防护及诊断，对网站进行应用层防护，避免窜改，保障数据完整性。

对网站进行应用层防护，避免窜改，保障数据完整性，内核操纵、本地备份、异地备份等多种组合防护方法，保证网站免遭窜改，保护网站形象，同时保证网站和应用系统的前端平安。

整改后的网络介绍：

通过路由器接入外网，核心网关、上网行为、ips主动防御部署在主路上，web防火墙部署在网站和应用前端，网页防窜改系统部署在网站和应用效劳器上，保证整条链路的平安和访问速度，同时核心互换于层互换机光口相连，保证三百兆带宽直达弱电井。

四、配置清单

序号

产品规格

描述

数量

1

侵防御系统

标准2U机架式设备，冗余电源，液晶屏；

吞吐率≥1.5Gbps，并发连接数≥200万；

全模块化配置，支持万兆接口；

配置有6个千兆接口,1个扩展插槽；

配置2路IPS许可。

内置软/硬bybass，最大支持2路IPS和1路IDS。

防范系统漏洞、网站木马、跨站脚本、危险端口、文件上传、信息泄露、攻击痕迹、中间件。

部署于WAF之前，串联，针对互联网病毒、蠕虫，黑客攻击等入侵行为进行检测、报警和防护，提供安全检测、流量分析、修正分析、及时准确告警，帮助安全管理员更好地进行风险分析、风险预警、系统和网络脆弱性分析

1台

2

Web应用防火墙

标准机架式，6个千兆电口，2个SFP插槽，至少2路硬件ByPass，网络吞吐量≥2Gbps，HTTP新建速率≥2万/s，HTTP最大并发≥100万；

具备2个USB接口，可通过USB短信猫针对攻击和篡改行为实时短信告警。

3

网页防篡改系统

网页防篡改软件针对网站群实现安全防护。

防范数据篡改、网站暗链、页面篡改、后台管理、文件包含、目录遍历、文件上传、信息泄露、攻击痕迹、中间件。

部署于服务器前端，串联，针对网站安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，对网站进行应用层防护，防止篡改，保障数据完整性。

对网站进行应用层防护，防止篡改，保障数据完整性，内核控制、本地备份、异地备份等多种组合防护措施，保证网站免遭篡改，维护网站形象。

1套

4

路由器

完整主机（含机框、风扇、软件）、双电源、双主控、灵活接口平台240,4个HIM插槽,210/100/1000MWAN端口（RJ45andSFPCombo）

5

（带4个光口千兆）交换机

24个千兆以太网电口,4个千兆光口（可网管型二层交换机）

7台

五、实施周期

包括招标及实施周期在一个月内。

六、机房面积的扩容

目前机房面积为30平米左右，后期视频会议、效劳器等设备的增加需要更多的机柜摆放，整个机房机柜之间距离应有足够大，目前机房偏小，无益于散热和设备摆放，建议档案室划分或隔壁增盖。