中小企业网络改造方案

1、伍子醉网络改造方案目录一、目前的网络情况及特点.2二、解决方案及效果.32.1虚拟局域网 .32.2网络访问控制 .42.3 PC 准入控制 .43.4上网行为管理 .4三、方案产品 .6四、改造后的网络拓扑结构图及特点.84.1改造后的网络拓扑结构图.84.2新拓扑图的特点 .8一、目前的网络情况及特点现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象， 将会涉及到个别部门内部数据丢失及影响相关的业务运作。1.1采用普通傻瓜式交换机目前全所各部门采用的交换机基本上为TP-LINK、D-LINK10/100M 傻瓜式桌面型交换机， 这些交换机都是普通二层交换机，

2、 功能就是进行数据转发。 既没有最基本的网管功能， 也无法登进交换机查看交换机状态、 无法查看网络流量状态、 无法根据网络的新需求进行新的配置等。1.2 各部门小局域网内所有电脑及外接设备在同一个子网各部门间的外网用交换机组成的小局域网，里面所有电脑、服务器、网络设备及相关打印设备都在同一个网络内， 这意味着这些设备之间可以任意的互连互通， 任意一台电脑感染病毒或受黑客控制的时候，可以直接影响网内的所有电脑及外接设备。 严重时可导致系统瘫痪及硬盘数据丢失。1.3 电信与移动线路之间产生互连互通的问题目前公司拥有财务 ERP 服务器一台，服务器位于老厂，新厂通过广域网访问老厂服务器， 但是在实际

3、应用过程中经常发生连接服务器不畅通、掉线和访问速度非常慢等问题，原因是因为新厂使用移动的网络，而老厂使用的是电信的网络，两大运营商之间由于竞争关系而给对方网络做出相关限制，也就是所谓的互连互通问题，最终也就导致了新厂访问老厂服务器造成的一些问题， 通信不畅通，而移动公司经多少解决也是治标不治本， 也只是暂时解决问题， 而一段时间后同样的问题还是会产生。1.4 外来电脑可任意接入无法监管与控制外来笔记本和其它外接设备可以任意接入所内的任一网络，其电脑上所带的病毒、 木马、恶意工具会影响所内其它电脑以及服务器的安全。特别是所内个别重要部门，只要外来笔记本接入其网内，该计算就可以利用木马程序窃取该部

4、门网内计算机里的重要数据及文档，以至于造成泄密事件的发生。1.5 上网行为存在安全因素访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入该计算机。以至于造成系统瘫痪或数据丢失。员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，上网变慢。员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率。二、解决方案及效果2.1 改造方案根据我所目前的现场环境及所要达到的效果，现有两套施工方案。2.2 网络访问控制此次外网改造，骨干网不管是从线路还是所采用的设备都是以千兆网的标准进行设计和施工的。特别是此次所采用的设

5、备采用的的是华为或者H3C 智能型企业级交换机。此类企业级交换机是全千兆二层智能以太网交换产品，广泛应用于企业网和园区网的接入和汇聚层，是具有高密度的全千兆以太网端口、丰富的业务特性、便捷的WEB 配置，为用户提供高性能、低成本、可WEB 网管的千兆解决方案，是千兆汇聚或接入的理想选择。此类核心层交换机一般提供24 个千兆电口、4 个千兆上行COMBO 端口（光电复用，光口支持SFP 光模块）和一个Console 配置端口。 S5024P 支持通过命令行、Web 和 telnet 登录进行配置。这样一来就完全可以轻松实现各部门之间网络访问权限的控制，在一个可以防止网络内部非法入侵者从内部盗用

6、IP 地址攻击其他接入点的可能。2.3PC 准入机制通过在骨干交换机端口上绑定各信息点电脑的MAC地址后。就可以实现当外来电脑接入到所内网络的时候，交换机会为外来电脑的MAC地址不属于所区网络从而禁止掉来电脑的接入。这样做同时也防止各信息点以下在私自接入交换机达到多台电脑上网的目的。2.4 上网行为管理对于上网行为管理，此次我们采用的是北京网康科技有限公司提供的 NS-3110 系列，同时这款设备也是国防科工委向全省军工企业推荐的一款产品。网康互联网控制网关（Internet Control Gateway,NS-ICG ）是一款软硬件一体化、性能卓越的互联网控制管理产品。NS-ICG 为网络

7、管理者提供各种互联网接入环境中的灵活身份确认、合规准入、网页过滤、应用控制、带宽管理、外发合规检查，内容留存审计，结果分析等功能,其具体功能如下。管理网络带宽：根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。提升工作效率：针对URL, 聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL 记录分为新闻，可根据需要禁止访问其中某些类的网站。保障网内安全：阻止各类假冒网银和假冒网上

8、证券等钓鱼网站，保护员工的合法权益。禁止色情，反动，邪教等非法网站。对传输文件格式进行控制，防止不安全格式的文件进入网内。实时监控审计：查看上线用户的网络使用时间与流量信息，及时发现异常用户并加以处理全面了解用户上网行为，包括网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等所有互联网活动对于用户通过邮件、聊天、论坛等外发的言论信息进行合理监控，及时过滤有害信息等。终端用户准入：20 余种用户身份识别/ 认证方式，确保入网用户身份合法有效，避免外来隐患对计算机终端环境进行管理，帮助管理者实施计算机准入规范如：必须安装杀毒软件方可上网；禁止安装、运行与工作无关的应用程序等。三、方案产品序号品牌型

9、号数量安装位置1华为 3800一台中心机房2CISCO 3750一台3Sinfor 5100一台45功能及特性作用支持 VLAN、组播、 QOS、802.1X、 SNMP、STP 、 IP Source Guard根据电脑属于不同的应用部门，将电脑划分具备防雷能力、功耗低、无风扇自动散到不同的虚拟局域网中热等特性支持路由、ACL、VLAN、组播、QOS、802.1X、SNMP 、 STP 、 IP Source Guard，具备防各虚拟局域网的连接中心，控制虚拟局域网雷能力、大带宽、高性能、高可靠性等之间的访问及对服务器的访问规则特性支持双链路，上网行为管理，URL 库，上上网行为管理。 提高上网安全， 提高员工工作效率，保障关键业务和和员工上网所需的网应用识别，带宽管理带宽四、改造后的网络拓扑结构图及特点4.1 改造后的网络拓扑结构图4.2 新拓扑图的特点中心机房统一管理统一维护此次网络改造主要是根据军工保密资格审查认证工作指导手册中的相关条文及国六条中第一条“禁止私自在机关、单位登录互联网”等要求，以及企业或单位内部的互联网必须要有统一的监管和维护措施，为了达到此次改造的目的，中心机房可以作为以后全所外网控制、监管及维护中心。各部门之间的访问控制。不同部门间的访问权限可以通过