计算机网络改造方案(00001)

1、计算机网络改造方案LTSANGFOR 深信服科技'k'k'k'k网络建设方案好科技有限公司2016年4月目录1网络建设方案第1章概述1.1 背景 1.2需求分析;1.3设计原则:2第2章网路方案设计22.1总体网络架构2N2总体建设内容4第3章方案说明43.1优化网络架构4 3.2网络安全建设3.3应用系统接入安全 8第4章选型参考 错误！ 未定义书签。第 1 章概述1.1 项目背景* 有限责任公司（简称中原乙烯）是由中国石油化工集团公司与河南省人 民政府合资建设、 * 股份公司控股的大型石化企业。目前公司主要业务系统有 OA 系统以及 ERP 系统。随着公司的

2、持续稳定发 展，越来越依赖于信息化系统建设。优化网络系统结构，集中化的管理，稳定的 网络，是集团业务开展基础；网络系统的安全，应用系统的安全，广域网数据传 输的安全， 是集团业务正常开展的保障； 高效的信息网络系统， 可以整体提高集 团办公效率。1.2 需求分析 :随着业务的不断发展， IT 运用与业务结合的不断深入，集团目前的网络状 况已经不能很好的满足业务发展的需要，有如下问题需要解决：1. 链路出口问题：目前单位没有独立的网路出口， 与其他单位共享网络出口， 日常出口不由单 位进行管理。 一旦连接出口网络线路故障， 影响整个日常办公； 同时存在日常管 理不变，例如针对服务器外联互联网需要

3、开端口映射， 需要其他单位协调； 单位 日常出口流量带宽遭受限制，影响互联网接入速度等等问题。2. 外出人员接入，数据安全性及无法保障众多出差在外的领导和员工需要实现随时随地的接入到总部的0A服务器以及ERP月艮务器访问应用，实现移动办公。在公司信息平台上的应用数据现在都是未 经加密等安全处理的， 跑在互联网这个不安全而又开放的网络上。 一旦数据遭到 篡改或窃取，带来的损失将无法估量。3. 内网安全问题：随着网络技术的发展、 移动互联的普及、 新兴应用的不断涌现， 在日常管理 使用发现一些不稳定和不安全的因素。如针对 OA 网站存在 SQL 注入、网页篡 改、网页挂马等安全事件；网络设备、服务

4、器、主机漏洞攻击等。还有内网用户 更新防毒软件、漏洞不及时、软口令等给网络带来很大的隐患。1.3 设计原则 :按照公司业务对网络系统的需求，公司信息化部门对网络建设的总体规划， 依托现有的网络架构，建设稳定、安全、可靠的集团信息化网络平台，推动集团 业务系统的全面应用，提升公司业务效率，全力打造高质量公司网络系统。因此，本期网络建设通过以下三方面内容建设， 将集团网络系统建成的安全、 高效网络系统。1. 优化网络架构：对现有的网络进行优化，优化基础网络平台，提升 网络的稳定性和可管理性。2. 建设网络系统安全：遵循相关标准，对现有网络系统进行全面的改 造，建成安全的网络系统。3. 加固应用系统

5、接入安全：按照集团应用系统的保密级别，业务中重 要性等标准，实现精细化的应用系统安全管理。第 2 章网路方案设计2.1 总体网络架构整体网络解决方案总体设计以优化网络架构， 建设网络系统安全， 加固应用系 统安全为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所示:应用服务器区整体网络规划图内网办公区本次方案建议采用负载均衡设备、下一代防火墙设备、SSL VPN各一台，分别部署在如下位置：链路负载均衡： 部署在互联网出口， 单位重新申请多条互联网链路， 提高链 路稳定性的同时，提高带宽利用率，避免单条链路故障。安全防护：部署* 内网防火墙 1 台于外网互联网后段， 针

6、对用户的内网终端 及应用服务器提供安全防护功能。移动人员接入：针对领导及内部员工出差出差办公，采用 SSL VPN 进行移 动接入。2.2 总体建设内容集团本期网络建设总体内容，主要包括以下 4 个方面：1. 优化网络架构：? 总部向运营商申请多条互联网链路，出口部署链路负载均衡设 备，保障链路稳定性，提高链路利用率2. 建设网络安全系统：? 内部部署防火墙系统，隔离内网网络，保障内网安全3. 加固应用系统接入安全：针对领导及员工需要出差需要访问内部 0A及ERP系统，通过sslvpn接入，进行应用系统访问权限的授权和可信访问，防止越权访问。第 3 章方案说明3.1 优化网络架构现有链路出口与

7、其他单位共享， 单位申请多条链路之后， 出口采用 *负载均 衡设备。主要体现如下优势：出/入站链路负载均衡： *AD 的出站负载均衡技术能够为内部终端上网选 择最佳路径， 均衡分配上网流量。 同时，针对外部用户访问单位的门户网站或者 内部员工在外部访问内部 oa 系统， AD 的入站负载均衡技术能够自动为用户选 择最优链路进行访问，从而保障外来用户的访问体验快速、稳定。链路带宽资源合理利用， 解决拥塞问题： *AD 还具有链路繁忙控制技术， 可以为特定链路设定相应的阀值，再结合 *AD 全面的负载均衡算法，使得当某 条链路达到阀值之后， 用户的访问请求将会通过事先设定的负载算法分配到其它 链路

8、之上。另外， *AD 设备的 DNS 透明代理技术能同时对多条链路同时发起 DNS 请求探测，然后根据实现设定的负载策略，为用户返回相应的 DNS 请求结 果，避免带宽资源出现闲置的情况， 实现对链路带宽资源的合理利用， 轻松解决 拥塞问题。健全的链路健康检查： * 健全的链路健康检查机制能够保障校园网出口的连 续性。当流量流经 AD 设备时， AD 会通过预先设定好的策略判断每条链路的健 康状况（链路健康检查） ，并决定将流量负载均衡到哪条链路，然后数据包的源 地址转换成相应 ISP 网段的公网地址，再将该数据包发出。响应数据包返回到 * AD 时， *AD 将目的地址进行转换之后将数据包发

9、给内部的用户或服务器。3.2 网络安全建设在互联网出口区域部署 * 下一代防火墙，对互联网出口流量进行流量过滤， 提供 L2-L7 的安全防护。通过 *下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、 入侵防 御、恶意代码过滤和 web 安全防护。主要体现在以下几方面：网络边界的应用层访问控制防护内部系统有0A系统以及ERP系统安全要求比较高，因此，建议采用下一 代防火墙设备将内网区域与互联网逻辑隔离， 加强访问控制的同时还能够对业务 服务器进行NAT地址转换，隐藏其IP地址，避免被攻击。通过部署 NGAF产品 在数据中心区域安全边界， 提供了更加先进的访问控制规则， 除了传统的五元组

10、设置， NGAF 还设计了基于用户、应用、内容的安全控制策略，实现了更加全面 先进的八元组访问控制。 NGAF 还提供了更精细的应用层安全控制， 识别内外网 近2000种应用，并支持包括AD域、Radius等8种用户身份识别方式，全面保 证数据中心区域区域的权限控制。网络边界的入侵防御和 web 防护在边界防护保障中， 网络出口部署的防火墙主要工作在网络层和传输层， 防 范大部分基础的网络攻击，而对于整个互联网中的攻击分布， 70%以上都来自应 用层，这些攻击都是防火墙所无法防御的。目前OA业务系统业务系统是B/S架构的业务，存在比较大的web安全风险， *下一代防火墙 NGAF 有效结合了

11、web 攻击的静态规则及基于黑客攻击过程的 动态防御机制， 实现双向的内容检测， 提供 OWASP 定义的十大安全威胁的攻击 防护能力，有效防止常见的 web攻击。（如，SQL注入、XSS跨站脚本、CSRF 跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、 经济损失、名誉损失等问题。0 SQLA0 XSSJft z网灵木马4!| IIHI mil* Bill! liFlllliiaii! ii.ill |i-V!IIM-iii0网曲扫負 0 WE0SHELL311 I liailt 1IBIII： Illi HIBII III IIa菁姑请茨極I iiiii mi i&q

12、uot; Hinn iiiiii mi ii! ii mi aiim iiiZ文件包含攻击 z回悲邸匡 叵信謎概击V YVEB整詁衆统届祠SGLJt人攻击是田珈b应用程序开却，浸有对坤户16入翻E的合法 育站脚本攻击C XSS )星由升6硏发者在编写应坤程序时没曹对用户 网页未马宾际上屋faii黒客将WS计的HTUL网瓦肖冃户电可该. »« -"" a«ii» biiu .ill b a i.网站扫頑悬ME日站庶扫描一对WE日站点的绪楓眞祠进行扫損WEBSHELLWEB入穩的一种U本工舄通常情;兄下"昙YASP* Phi I

13、 in mil iai 11 u im I in 、ii cull li： i i 1111 n 、, 11 i m in 跨站请求施(CSRF )通过炖装来目受信任用户的请求未利用受信任lliniill baiilimiHIniilll Hll liiifeilniiiilllivil Ilin UliriaiiiliHilili'iLlIIII Hill in iliiiiiiiiin ill IIHI IliiAiililHilllW llllktllll IbiIIIIiiIIIIIHIII IMI liiBkiiiitaiiiliHi IIIH illki 埃作珈希令攻击昙攻

14、击者揑吏繭mms或者援作葩命令.咖b程 丈件也含漏漣現古星针对PHP弟焦特有的一种厝意玫击岁PHP=交垦. 目录追历影就誣过觅竟詢硼少服务器*目录附加或考. 信息泄蠡課星曰于服务器配置或吉本身存在宝全漏导敎一*：； WEB整姑垂蜿漏洞防护畀-对知名刈帀整站黍统中特迄漏洞进行的实系统/应用漏洞攻击防护针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安 全漏洞，*下一代防火墙NGAF提供了实时漏洞发现功能，可以对经过设备的流 量进行实时漏洞风险分析，且不会给网络产生额外的流量。实时漏洞检测功能能 够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web 不安全配置、

15、弱口令等多种安全缺陷。对于检测到的漏洞信息，NGAF还能提供详细的漏洞说明，如漏洞类型，数量，描述，危害说明等信息。FPF丰FlhLin-Lfl現*ns1Ejrz.Lfl.zz. rcu；|俑L0鑑M9斗1?l»r£E. ?1UJ（1）t1询 Z2.H）I1dmli. aa.siI&*还创新性的将实时漏洞检测和入侵攻击行为进行结合， 从海量的攻击日志 中快速识别出真正对网站业务应用有危害的“有效攻击”，从而大大减少安全运 维的工作，让IT人员将更多的精力放在有效威胁的防护上面。*下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护，防止 攻击者利用操作系统（

16、如 windows sever2003/2007、linux、unix ）及发布软件 漏洞（如，IIS、Apache等）对网站进行系统提权、系统破坏、信息窃取等攻击。3.3应用系统接入安全3.3.1更安全的SSL VPN在应用系统安全加固方面，采用登录 SSL VPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种SSL VPN认证的组合，多重组合软硬结合确保接入身份的确定性。在用户接入 后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL

17、VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。由于登录 SSL VPN 的身份已通过多重认证的确认，而后又进行指定应用账 号访问，即可保障登录应用系统的人员的身份。3.3.2 更快速的 SSL VPN3.3.2.1 多线路智能选路对于移动办公人员， SSL VPN 的访问速度直接影响到办公的效率。 造成速度 访问低下往往有以下几种情况：跨运营商访问、高丢包高延时的恶劣网络质量， 要全面的提高速度，就需要解决以上几个速度瓶颈问题。为了避免线路的单点故障， 组织的网络出口通常采用多运营商线路来保证线 路级别的稳定。国内有线网络的格局为“北联通、南电信”，使用SSL VPN接入

18、到总部的用户往往办公地点不固定， 使用的线路有网通有电信的。 但使用电信的 用户并不一定由总部的电信线路接入， 一旦为跨运营商接入， 将面临高丢包率的 现象，导致的数据频繁重传将造成传输速度的低下。为了解决跨运营商访问的问题， SANGFOR SSL VPN 提出了一种基于 Web 的自动选路方法对用户接入进行最优化选路，从线路级别保证接入速度的最快。 当用户在进行 SSL VPN 接入时，将自动对总部的各条线路进行实时速度探测， 并选择最快的线路进行接入。有别于传统 SSL VPN解决多线路接入时采用的IP地址库判定方法,SANGFOR SSL VPN的多线路智能选路技术更为智能和人性化。传

19、统的 IP地址 库通过判定用户端所采用的IP属于网通还是电信的IP地址段，并固定的限定电 信的必须从总部的电信线路接入， 联通的必须从联通的接入。但使用多线路的情 况往往会遇到多条线路上带宽、占用率不均的现象。若是电信的线路跑得较满， 若电信用户从电信接入的速度反而比从网通接入的速度更慢，这样固化的选路方式反而降低了用户的访问速度。SANGFOR SSL VPN多线路智能选路支持设备与多线路直连、 通过前置设备（如防火墙等）直连两种方式下的多线路技术。可为线路设置高、中、低三种优 先级设置，当用户登录SSL VPN页面发起连接请求时，SSL VPN设备将会根据 线路的优先级及时延进行综合优选，从而实现速度与链路权值负载均衡的效果。SANGFOR SSL VPN支持多线路下的上网数据选路策略， 可配置线路优先选 择SSL VPN设置优先级较低的线路，从而实现上网流量与 VPN流量在分流、智能快速接入、多线路的主备下的部署3.322 HTP快速传输协议无论是边远地区网络线路质量低