工程有限公司网络改造设计方案

1、 . . . 工程网络改造设计方案第一部分 用户需求，方案设计原则1、网络改造原则2、设备选型原则3、网络接入4、网络安全和管理5、系统部分设计第二部分 需求分析，方案设计1、 网络改造拓扑图2、 网络部分规划 （1）网络接入 （2）网络安全和管理（3）划分VLAN隔离区域3、 系统部分规划（1） 域管理模式（2） 文件服务器（3） 服务器第三部分 方案部署与实施1、 网络部分设备选型2、 系统部分设备选型3、 网络部分方案实施（1） 网络接入设置（2） 网分组管理（3） 网络安全防护（4） 提供对网络治理、监控、优化的有效手段4、 系统部分方案实施（1） 域管理模式（2） 文件服务器（3）

2、服务器第四部分 欣全向科技介绍与联络方式第一部分 用户需求，方案设计原则网络改造原则：1、满足现有需求，解决现有网络问题2、防未来的威胁，加固网络基础安全3、提供对网络治理、监控、优化的有效手段4、文件服务器、系统等应用服务的架设设备选型原则：1、所有的硬件设备符合国家有关标准和规定，符合国家相关产品质 量标准、安全和电磁学规 。2、所用设备材料统一先进，适应今后的发展需要。3、由国外知名厂商生产，技术指标先进。4、考虑用户实际需求并符合经济性、适用性原则。一、网络接入1、要求满足电信宽带的完美接入，保证网络不掉线、不卡不慢2、实时数据库更新电信线路的策略库3、针对不同部门的带宽控制，保证上网

3、流畅、稳定4、支持100终端的并发连接上网5、上网行为管理功能，禁止 、网络游戏与其他上网控制功能6、无线接入功能，保证无线网络的流畅使用7、远程管理，方便网管对总部和分支机构的统一管理二、网安全和管理1、保证网之间的传输通畅2、防止网ARP攻击、IP欺骗现象3、防止网底层协议（Ddos）攻击4、对每一台终端进行可控管理（上网、网速限制）5、全网监控每一台终端的数据流量、攻击发生的详细信息6、记录这些网络发生的信息7、对财务部，行政部，技术部、服务器组进行网络隔离管理8、保证重要部门正常上网，不受其他影响9、针对不同部门，进行上网权限、网速的控制10、架设无线网络，满足无线网络接入三、系统部分

4、设计1、采用windows系统提供的域模式来组织和管理全部系统资源2、提供服务器端口映射、VPN穿透等功能3、分支机构能够访问总部文件服务器等功能4、部署系统，建立统一信息传输平台第二部分 需求分析，方案设计一、网络改造拓扑图图1、*公司网络拓扑图二、网络部分规划 1、网络接入图2、网络接入设计（1） 满足宽带接入必要功能（2） 公网传输速度优化，保证外网通讯流畅（3） 提供网NAT共享上网过程（4） 配合网安全管理的接入设备具备安全功能（5） 提供监控全网每一台终端的上网数据（6） 控制每台终端网、公网传输限速（7） 支持100终端的并发连接上网（8） 远程管理，方便网管对总部和分支机构的统

5、一管理（9）架设一台无线路由器，适合使用无线网络的便携式电脑2、网络安全和管理（1）保证网络安全稳定流畅，防御各种网络协议、病毒攻击（2）针对不同部门，进行上网权限的控制（3）封锁娱乐性与其他网络应用（4）封锁 、网络游戏、股票软件与其他上网行为（5）带宽控制，限制终端电脑的网速，保证带宽的有效利用（6）实时查看整网与各个终端电脑网络应用情况（7）快速定位攻击源，与时排除网络问题3、划分VLAN隔离区域，保证重要部门的信息安全、稳定图3、VLAN规划（1）重要部门包括财务室、技术部、服务器等（2）将这些终端用VLAN端口隔离起来，提供安全稳定的上网环境（3）根据实际应用，设置各个部门之间的通讯

6、权限（4）提供可靠安全的公网和网服务，提高办公效率（5）服务器和终端不受网底层攻击影响三、系统部分规划1、域名psp.，根据各部门员工名字指定计算机名。2、文件服务器，分支机构能够远程总公司文件服务器3、部署系统，建立统一信息传输平台第三部分 方案部署与实施一、网络部分设备选型 1、公司总部选用免疫网关IWG 18002、分支机构选用免疫墙路由器NUR8366M二、系统部分设备选型三、网络部分方案实施1、网络接入设置（1）、IWG1800满足同时100台终端并发上网（2）、公网传输速度优化，双向转发速度100M通过网关无带宽瓶颈（3）、WAN口满足光纤、ADSL同时接入，保证同时在线和线路故障

7、自动切换，实现多WAN口接入保证外网通讯不间断。图4、网络连接状态（4）、VLAN功能分别将财务室、行政部，技术部，服务器组进行网络隔离管理。实现各部门之间安全互不影响的效果。图5、VLAN功能（5）、提供服务器端口映射，与VPN穿透，分支机构能够访问总部文件服务器等功能图6、虚拟服务器功能图7、VPN穿透功能2、分组管理功能（1）对各个部门进行分组管理图8、部门成员分组（2）URL关键字过滤，可对指定进行封锁，不允许访问娱乐或者带有关键字的下载等。图9、URL关键字过滤（3）针对不同的部门，设置相应的权限，包括网、外网上传、下载速度，免疫安全策略等图10、免疫安全策略-带宽控制（4）上网行为

8、管理控制，封锁聊天、网络游戏、下载等应用图11、上网行为管理功能3、网络安全防护措施（1）接入网关具备ARP先天免疫、免疫防火墙、滤窗技术等安全功能。能够主动防御协议、病毒的攻击图12、网络安全DOS防火墙图13、ARP先天免疫（2）网络可信接入，防网络攻击设置严格的上网策略，校验免疫驱动，没有驱动不准上网。要求组成员必须是可信接入身份，IP-MAC与免疫驱动三者同时真实可靠。防止拦截篡改MAC、拦截ARP欺骗、过滤虚假IP、拦截IP分片、超大Ping包过滤等安全功能。图13、免疫上网驱动下载（3）通过驱动校验驱动和MAC地址过滤，控制非法无线网络接入4、提供对网络治理、监控、优化的有效手段 （1）全网监控，对每台终端的网、公网传输，协议使用等监督图14、免疫网关系统监控（2）对终端的身份确认与上网管控 （3）定位攻击信息源 （4）全网带宽使用率的分析（5）历史日志报告统计5、网络应用与安全功能升级 （1）、免疫网关 IWG1500功能升级（2）、整体策略更新（自动）如：对ARP、UDP、ICMP等底层协议攻击特性升级 （3）、应用功能更新（选择）如：应用流控管理、网络审计、行为记录等（4）、硬件特定功能升级（选择）如：支持VPN服务、隧道建立（SSL加密）等四、系统部分实施1、使用windows域管理，整个公司采用统一的安全策略