菁茂科技网络整体规划方案

議事錄報告書聯絡書工作令客 戶主 旨菁茂科技网络整体规划方案請回復 請歸檔 請照辦 廠 內受 文 者TO: CC: 發 文 者资讯室 杨晟日 期2006年12月6日地 點薑 堰 出席者副部 門份 數本菁茂科技网络整体规划方案目录一，网络状况及存在问题二，规划方案三，规划方案所需设备清单一， 当前网络状况及存在问题目前公司网络状况在机房内是由电信光纤接入，通过一台D-LINK的交换机，接入路由与VOIP电话，再通过路由接入华为核心交换机连入个网络节点。由于没有设置硬体防火墙，而且文件服务也用做邮件服务器，且使用端口映射对开放，因此在安全性上有很大的问题。公司现有两台服务器，一台是ERP易飞服务器，当前工作比较稳定。另一台IBM服务器，主要提供Web、,Mail、DNS、文件交换，域用户控制管理服务。工作量比较巨大。并且其因为其操作系统是2000 Server，其安全性和易用性都存在问题。对于两台服务器的备份，目前对于ERP服务器采取的是定期光盘刻录备份文件，而文件服务器目前采取的方法是使用Raid卡，做镜像卷来进行系统和数据的备份。公司内部目前没有网络版杀毒软件，各工作站基本都是盗版杀毒软件，两台服务器目前使用的也不是正版杀毒软件。二，整体规划方案整体网络规划分从网络安全性，高效性，可拓展性三方面来设计。1，网络安全性首先，对于网络安全将分别从网络架构安全，数据备份及加密，服务器与工作站系统安全三大部分来考虑。（1），网络架构安全：网络硬体防火墙，网络杀毒软件，VLAN虚拟局域网，数据加密，IDS入侵检测系统网络安全需求原因目前需求网络硬体防火墙需求原因：目前用的是50用户的卓尔安全网关及路由器自带的防火墙，卓尔安全网关一则客户机数量有限，二则功能较杂，适合在专业防火墙之后再对网络数据包过滤之用。而路由器自带的防火墙只适应于小企业应用，对于我司大数据量的网络流量及安全无法达到需要的目标。而且随着公司电脑以及网络的不断拓展，因此急需在大型网络的设计规划阶段采购相适宜的防火墙，一方面可以杜绝内外部非法数据包（垃圾邮件，Ddos,Flood攻击等）与黑客入侵，一方面也保证了网络及公司机密数据的安全性。网络杀毒软件需求原因；公司现在对于网络杀毒软件尚没有进行部署；并且公司内部可以联上互联网的工作站也各行其政，没有部署统一的杀毒软件与安全策略，导致在发生问题时经常需要使用数据包捕获软件进行数据分析从而排除出故障机，而且如果感染蠕虫病毒将可能会造成巨大的损失。并且由于目前AD服务器一方面为域内所有工作站提供域用户管理服务，DNS域名解析服务，一方面又作为邮件服务器、网站服务器、文件交换服务器，并且自身也没有正版杀毒软件与防火墙，所以当遇上网络高峰期时经常出现网络堵塞的状况，因此急需重新部署操作系统并安装正版杀毒软件与防火墙。建议：资讯部结合目前市场应用及网络版杀毒软件的性价比，建议采购瑞星网络版杀毒软件。以上两者对比硬体防火墙主要针对外部入侵，而网络杀毒软件主要针对公司内部网络安全。因此，建议同时架设硬体防火墙与网络杀毒软件。VLAN虚拟局域网需求原因：随着公司网络的不断扩大，并且各部门机密数据存储的不断积累，需要采取更加安全的措施来控制公司内各部门间网络主机的互访。从而达到以下四个目的：1：防止网络发生故障时所有机器均处于瘫痪状态2：防止不同部门间随意访问对方网络，或者使用恶意工具对对方主机进行攻击3：杜绝网络内感染蠕虫病毒时，整体网络瘫痪的状况发生。4：管理员可以通过合理配置VLAN，达到控制整个网络的目的目前我司的核心交换机华为S3526可以配置VLAN应用，但需要各部门提出自身的需求来引导配置VLAN。IDS入侵检测系统 需求原因：防火墙与杀毒软件属于被动防守，而IDS则可以在不影响网络性能的情况下能对网络进行监测，主动探测网络状况，在网络攻击的发生阶段，帮助管理员对付网络攻击。IDS的功能：a.监测并分析用户和系统的活动； b.核查系统配置和漏洞； c.评估系统关键资源和数据文件的完整性； d.识别已知的攻击行为； e.统计分析异常行为； f.操作系统日志管理，并识别违反安全策略的用户活动。 （2），重要数据备份及加密数据备份及加密需求原因目前需求数据备份需求情况：目前公司仅仅为ERP服务器数据提供日常备份。而文件服务器AD目录及数据及其系统都没有进行备份处理，一旦发生状况，问题会相当严峻。建议备份方案：1， 对于系统和分区数据，使用软件GHOST10.0版本，定时对服务器进行系统及重要数据备份，可以让其在系统上层按时备份当日数据，如果出现问题，可以轻松恢复系统和数据。2， 而对于硬盘本身及系统热备份而言，使用Raid阵列卡将三块硬盘搭建Raid-5，一方面可以创建镜像卷，如果在主硬盘发生故障时，可以将镜像卷直接挂载工作，减少因硬盘损伤导致的严重后果，并且通过Raid-5也可以加快硬盘读写速度，提高工作效率。建议：方案1可应用与ERP服务器，公司网站、邮箱服务器等，建议购买5人个人版，可应用于将来的网络扩展后的需要。方案2可应用于文件服务器，并且方案2目前已在筹划实施中。数据加密需求原因：公司各部门间现在采取的方法是将所有的数据都存储在公司文件服务器上，并且这些所有的数据都是采用服务器系统的权限设置来控制其使用的，在大多数时候数据都没有进行过加密。而且员工帐号的密码设置相对而言比较简单，如果其帐户被恶意使用的话，其管辖区域下的数据就没有任何安全性所言了。因此建议对极其重要的数据采取软件加密的方法，再上传到服务器。建议使用优化大师等软件进行加密处理，如极重要的软件可以联系资讯部提供软件进行加密（3）服务器与工作站系统安全服务器与工作站系统需求原因目前需求服务器操作系统更换需求原因：由于操作系统领域的发展，目前我公司使用的2000 Server产品无论在安全性或者功能和易用性方面已略显疲态。并且Microsoft已停止对Win2000系列服务器进行销售与升级服务支持。 与2000Server相比，2003具有以下特性：1，对于原内核处理技术进行了更大程度的改良，在安全性能上相对以前版本有很大的提升，在管理功能上增加了许多流行的新技术。 2，操作易用性是除了XP以外最人性化的版本，安全性是目前为止Windows全系列服务器产品中最好的，线程处理速度跟随硬件的发展有不小的提升，管理能力也有不小的提升，是目前Windows服务器中主流产品。 3，大大改进了核心服务器基础架构，包括计算平台的可扩展性、可靠性、安全性和可管理性以及技术创新，Windows Server 2003使各种规模的企业都有机会大大降低成本，提高工作效率。部署该产品的客户取得的初步成效包括： 整合：服务器数量减少20到30 性能：所有工作负载的速度都提高了1倍 管理：总成本降低了20 工作效率：35的客户将IT人员重新分配给了价值更高的项目客户机操作系统更换需求原因：对于现在所使用的WIN 2000系统而言，XP系统由于更加人性化，安全性，易管理性的原因，建议将所有部门操作系统都依次更换为WIN XP，该方案已在实施中。1， 网络高效性对于网络高效性而言，可以从分散目前文件服务器上的服务， 防止网络资源被滥用方面来考虑。网络高效性需求原因目前需求分散服务器服务需求原因：当前公司两台服务器，一台主要用于企业ERP易飞服务器。另一台提供文件服务器，DNS，Web，Mail，域用户控制服务。易飞服务器当前运行效率等，都很正常。而文件服务器由于操作系统的性能，易用性和开了太多服务的关系，导致运行速度时快时慢，而且在用户大批量登录的时候有可能发生DOWN机的现象。因此，建议将该服务器仅仅作为公司主要文件服务器，运行域用户控制服务和文件存储服务。另采购一台服务器作为邮件与网站、网络杀毒服务端，从而达到网络分流的目的，提高网络性能。防止网络资源滥用需求原因；由于网内有部分用户需要连接到互联网下载所需要的软件，因此会使用迅雷，BT，Emule等下载工具，如果不节制使用，将会占用大量网络带宽。因此，目前从两方面来控制。1， 使用路由器直接屏蔽掉所有P2P下载软件，但这个比较直接，也同时会使一部分正常用户无法下载软件。2， 使用软件监控，限制下载速度来达到网络资源被大量占用的情况，从而解决该问题。3， 可拓展性公司网络的拓展主要从几方面来看，一是实际网络设备的拓展，一是提供网络服务的拓展。可扩展性需求原因当前所需设备核心交换机，服务器需求原因：如果将来网络主机持续增加，需要将一台服务器专门作为域用户管理服务器和少量文件交换服务；将文件服务进行分流到几台服务器上。而核心交换机在于当网络节点的数量太多不容易控制时，进行VLAN设计并且为更高的网络性能服务。网络服务需求原因：在将来当网络节点与工作人员越来越多时可以考虑搭建各类服务器，比如FTP服务器，让用户可以便捷的安装软件；Exchange服务器，可以在发送邮件的同时，让用户可以记录下每天的工作安排和记录，并且可以让公司主管布置任务，明白工作进