XXX公司网络改造及安全体系建设项目技术建议方案.docx
- 文档编号:54436
- 上传时间:2022-10-01
- 格式:DOCX
- 页数:44
- 大小:502.33KB
XXX公司网络改造及安全体系建设项目技术建议方案.docx
《XXX公司网络改造及安全体系建设项目技术建议方案.docx》由会员分享,可在线阅读,更多相关《XXX公司网络改造及安全体系建设项目技术建议方案.docx(44页珍藏版)》请在冰豆网上搜索。
XXX公司
网络改造和安全体系建设项目
技术建议方案
XX信息系统股份有限公司
二〇〇九年六月
目 录
1方案概述
1.1现状描述
1.2建设目标
1.3总体建设原则
2项目技术方案
2.1网络改造规划
2.1.1网络改造目标
2.1.2网络改造思路
2.1.3网络改造的技术特点
2.1.4XXX网络改造方案
2.2网络安全规划
2.2.1网络安全规划概述
2.2.2网络安全风险分析
2.2.3XXX网络安全解决方案
2.2.4安全产品选型建议
1方案概述
1.1现状描述
网络方面:
全网核心层采用一台Cisco 6509作为单核心,无冗余;呼叫中心网络汇聚层为Cisco 4507R,而其他三个办公点网络都采用两层结构,没有汇聚层;接入设备为Cisco 3560和 2960。
长沙4个办公点通过光纤连接,南京、天津仓库通过专线接入,其他物流中心则通过VPN接入。
网络出口为3条百兆光纤,2条电信,一条网通,通过Radware Linkproof1000实现负载均衡。
无线接入则主要采用胖AP的方式。
安全方面:
部署一台三星防火墙作为网络边界,划分DMZ区放置网站服务器等;ISA服务器作为互联网代理和应用防火墙;部署一台绿盟IDS,实现入侵检测防护;VPN接入则是通过Cisco3825路由器所提供的IP-SecVPN方式。
针对XXX目前网络及安全体系的现状,我们给出如下分析:
XXX的网络建设时间不长,结构较为明晰,便于采用最先进、成熟的技术建立现代化的网络及安全体系;网络连接带宽充足,为建设高速稳定的网络环境提供了条件;数据存储及灾备系统建设较为完善,保证数据的完整性和可靠性;目前国际、国内使用的网络设备、安全技术比较成熟稳定,为XXX建立一个稳定可靠、性能先进的网络及安全体系提供了技术和工程管理方面支持。
但是目前网络核心层未提供冗余,易出现单点故障;网络安全建设相对比较薄弱,难以对公司日益发展的业务提供有效的安全保障,这些都是急待解决的问题。
因此本次项目必须依据现有的有利条件,充分考虑性价比,以最小的投资获取最大的效益,不断完善XXX网络及安全体系,为业务系统创建良好的IT基础,提高XXX的IT管理水平,进而提高企业总体水平和市场竞争能力。
1.2建设目标
经过交流,可明确XXX网络改造及安全体系建设项目的具体建设目标如下:
1、网络核心层实现双机热备冗余,公司本部网络增加汇聚层,减轻核心层的压力。
2、公司网络实现QoS控制,对数据包进行分类、标注、设置优先级,确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
3、无线接入改为瘦AP方式,通过无线控制器统一配置管理。
4、通过在网络设备上增加防火墙模块来实现虚拟防火墙,定制基于VLAN的访问控制策略。
5、实现安全域的划分设计。
6、部署独立的VPN设备,用户可通过SSLVPN和IPSecVPN两种方式接入内网。
7、部署IPS,实现入侵防御。
8、部署上网行为管理系统,规范员工上网行为。
9、部署网络准入控制系统,内部用户不管是通过有线还是无线接入,都进行802.1x认证,认证与AD域集成,实现SSO。
对外部用户开放无线接入,但需进行Portal认证。
在部署准入控制系统时,同时实现补丁管理和桌面电脑的安全状态管理。
1.3总体建设原则
项目的建设应该遵循如下的原则:
—应尽量避免对现网业务的影响;
—必须保护已有的设备投资;
—新增的设备应符合相应标准规范要求;
—新增的设备应具备进一步扩容的可扩展能力;
—新增的设备应具备开放性、灵活性。
2项目技术方案
2.1网络改造规划
2.1.1网络改造目标
考虑到XXX未来的业务发展,网络平台应能有效很好地支持各现有和规划中的业务系统、支持广域网连接、具有良好网络结构的扩张性、可靠性,同时具有良好的可管理性,最大限度降低网管工作的复杂性。
2.1.2网络改造思路
XXX网络平台的改造应以业务为导向,支撑经营的“规模化”和“差异化”,实现多业务的承载。
在实际网络改造中,应结合网络和业务实际情况,充分考虑投资保护因素,提高投资效益。
具体建设中需体现以下原则:
1、网络层次清晰化。
通过二三层网络分离,构建物理和逻辑层次清晰的三层路由网络和二层接入网络。
2、网络质量差异化。
通过部署区分服务机制,为不同用户和不同业务提供不同QoS等级的差异化服务。
3、设备要求规范化。
新增设备必须符合公司设备技术规范和选型结果的要求。
应尽量减少网内设备厂家数目和型号,核心层、汇聚层每个层面的设备应尽量选用同一厂家产品。
2.1.3网络改造的技术特点
2.1.3.1开放性与标准化
设备使用的各种协议符合网络设备国际标准,基于业界开放性标准,保证本系统能与现有网络及业务系统进行正常互连互通。
2.1.3.2具有可扩展性
设备采用模块化设计,每个模块具有多个千兆接口接入能力,方便扩展设备容量和提升设备性能;具备支持业务处理的灵活配置,业务功能的重组与更新的灵活性。
接入设备具足够的快速以太网接入接口,具有线速交换能力。
2.1.3.3安全可靠性
网络各节点提供双交换引擎,双电源保障。
提供良好的安全可靠性策略,支持多种安全可靠性技术手段,制定严格的安全可靠性管理措施。
2.1.3.4先进性
采用先进成熟的设备和技术,确保系统的技术先进性,保证投资的有效性和延续性。
提供业务流量的线速转发,具有QoS保障、完善的安全管理机制,满足用户对多业务、高可靠、大容量和模块化的需求。
2.1.3.5投资保护
工程选择的设备一方面要考虑设备的先进性,另一方面本着资源充分利用的原则,既要保护原有的投资利益,节约投资,又要保障设备的二次利用。
2.1.3.6统一性
虽然在以太网交换领域已经有了各种国际标准,但不同的厂商在实现交换协议时都作了较大的增强,为了充分利用这些增强功能,实现无缝的连接,建议选择网络产品时应注意统一性。
选择产品系列具有相同软硬结构设计和功能特性的厂商以保障互操作性和平滑升级能力。
2.1.4XXX网络改造方案
2.1.4.1方案概述
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。
三层网络架构设计的网络有三个层次:
核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。
改造后整个网络遵循三层网络架构,网络拓扑如下图所示。
网络拓扑结构图
2.1.4.2核心层改造方案
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。
核心层应该具有如下几个特性:
可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。
在核心层中,应该采用高带宽的千兆以上交换机。
因为核心层是网络的枢纽中心,重要性突出。
核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
本次项目将核心层由单核心改造为两台高性能核心交换机构成冗余结构,采用模块化结构,便于网络的扩容与升级。
核心交换机上至少部署16个千兆光纤端口和48个10/100/1000自适应以太网口。
两台核心交换机之间通过四条Cat5eUTP线缆互连,四条链路利用捆绑成千兆以太通道,这样,在全双工模式下两台核心交换机间的链路带宽达到8Gbps,同时多链路捆绑的设计也可确保线路的冗余,提高系统的高可靠性。
两台核心层交换机各加载一个防火墙模块,实现公司网络边界以及各安全域之间的屏障。
2.1.4.3汇聚层改造方案
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。
汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
在汇聚层中,应该采用支持三层交换技术和VLAN的交换机,以达到网络隔离和分段的目的。
目前核心层交换机所有光电口全部在使用状态,不利于今后网络的扩展,因此建议将公司本部网络改造为三层结构,增加两台汇聚交换机,以减轻核心层设备负荷,并为今后网络的扩容打下良好的网络架构基础。
另外大溪地和T2区用户数不多,目前的网络结构能够满足今后一段时间内的发展,而且增加汇聚层等于在网络中多增加了一个故障点,因此从保障网络稳定以及节省投资等方面考虑,建议这两个网络区域最好维持现状暂不增加汇聚层。
出于规范化的考虑,本次汇聚层改造的原则及设备选型应尽可能与大金马机房保持一致。
另外为了给本部无线AP提供POE供电,汇聚层交换机应支持802.3af标准,配置至少48个10/100/1000自适应以太网口。
2.1.4.4接入层改造方案
接入层向本地网段提供工作站接入。
在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
接入层可以选择不支持VLAN和三层交换技术的普通交换机。
公司本部接入层交换机均通过双链路分别接入两台汇聚交换机,以提供冗余的线路保障。
2.1.4.5无线接入方式
WLAN技术可以替代现有的传统有线网络或者作为其延伸以拓展它的覆盖范围和容量。
在室内应用时,无线可以同时支持移动和有线连接计算。
在会议室、办公区、客户等候区等位置配置无线AP,对该区域进行无线覆盖,为无线用户提供11-54M的网络接入,提高办公人员的机动性。
无线接入方式采用瘦AP模式,在中心机房安装无线控制器,所有无线AP接受无线控制器的统一管理与配置,减轻用户在无线网配置上的负担。
为简化线路,要求无线AP满足IEEE802.3af标准要求,支持POE(以太网供电),若接入交换机不支持IEEE802.3af标准要求,则无线AP需要配置电源。
无线局域网采用IEEE802.11a/b/g标准,在使用支持IEEE802.11g的终端接入时,可获得最高54Mbps的接入速度。
根据每AP最佳并发接入30个用户的标准,以及Wlan所需覆盖的办公区域面积测算,公司无线接入共需设立约16个无线接入点,其中公司本部需要6个,大金马3个,大溪地4个,T2区3个。
其中公司本部的6个接入点可由新购的汇聚层交换机提供POE供电;大金马以及大溪地的7个接入点可由现有的Cisco3560提供POE供电;T2区接入交换机不能提供POE供电,因此3个接入点需要考虑配置电源。
2.1.4.6网络管理方案
局域网管理解决方案是一套强大的管理工具,可简化公司网络的配置、管理、监测和故障排除,优化局域网管理,大大提高网络管理员的工作精度和效率。
为了对网络中的交换机路由器,访问服务器,集线器等网络设备进行有效的管理,我们需要配置这样一套综合的,经济有效的,功能强大的网络管理工具。
由于每个网络设备厂商都有自己的网络管理产品,可对其出品的网络设备提供更好的管理支持,因此我们建议采用与公司现有网络设备配套的局域网管理系统。
2.1.4.7服务器负载均衡建议
XXX提供对外服务的服务器共有4-5台,包括WWW、CMS、SCM和BBS等几种服务,目前这些服务都只有单台服务器进行支撑。
随着XXX业务的不断发展,访问者数量快速增加,服务器需要具备提供大量并发访问服务的能力。
单台服务器的性能总是有限的,一般来讲,一台PC服务器所能提供的并发访问处理能力大约为1000个,更为高档的专用服务器能够支持3000-5000个并发访问,这样的能力还是无法满足负载较大的网站的要求。
因此建议逐步采用多台服务器提供这些网络服务,并将网络请求分配给这些服务器分担,实现服务器的负载均衡,这样才能提供处理大量并发服务的能力,使之不再成为企业发展的瓶颈。
2.1.4.8对布线系统的要求
新办公大楼布线系统(数据布线系统)分为水平布线和垂直布线:
1、水平布线系统:
水平布线系统以满足楼层数据网点数为原则,为达到1000M到桌面的目的,一般要求使用超五类双绞线;
2、垂直布线系统:
垂直布线系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XXX 公司 网络 改造 安全 体系 建设项目 技术 建议 方案