公司网络改造方案

年4月19日公司网络改造方案文档仅供参考，不当之处，请联系改正。公司网络改造方案目录一、当前的网络情况及特点 21.1、采用普通的交换机 21.2、所有电脑在同一个子网 21.3、文件服务器缺乏基本的保护 21.4．外来电脑可任意接入 31.5.上网行为存在安全因素 3二、网络整改目和内容 3三、解决方案及效果 33.1虚拟局域网 33.2网络访问控制 33.3网络安全系统设计 43.4PC准入控制 43.5上网行为管理 43.6资料及数据安全方案 4四、改造后的网络特点 54.1构建多个虚拟网络。 54.2虚拟网络之间访问控制。 54.3网络资源访问控制。 54.4上网行为管理 5五、日常维护及工作 5一、当前的网络情况及特点 现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象，将影响公司内部所有IT设备及公司的业务运作。1.1、采用普通的交换机当前公司的交换机为TP-LINKTL-sf102410/100M共2台，都是二层普通交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。1.2、所有电脑在同一个子网所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间能够任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，能够直接影响公司的所有IT设备。1.3、文件服务器缺乏基本的保护服务器与电脑设备在同一个网络中，意味着电脑能够任意访问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都能够被计算机利用来攻击服务器。影棚文件服务器，由于该服务器积累了公司大量的重要的数据，当前该服务器已使用多年，CPU频率过低，系统运行缓慢，经过上次对服务器检修，现发现主板的RAID芯片已坏，且硬盘存储空间已严重不足(8T硬盘，现可用空间为135G)，建议最好更换一台新的服务器，并作好定期对该服务器的数据备份。该部分需要购置一台新的服务器。1.4．外来电脑可任意接入外来电脑和笔记本能够任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。更容易造成公司内部资料外泄。1.5.上网行为存在安全因素访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网络。员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢。员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率。二、网络整改目和内容为了控制公司网络资源浪费和规范公司员工上班时间的电脑使用行为。公司员工能正确地使用维护各办公室的计算机,有效使用网络资，做出以下整改。本次改进方案包括了改进及维护方案两大类，主要以改进为主。涉及网络调整和员工电脑等。三、解决方案及效果3.1虚拟局域网如果根据网络应用的不同，建立几套完全独立的物理网络，这样做不可行，首先为这几套网络重新布线，工程量大，其次是不同的网络需要访问的资源不一样，将这些需要访问的资源再关联起来也不是一件容易的事情，因此建议采用虚拟局域网技术来达到网络隔离的目的。虚拟局域网技术，在一个物理网络中，根据应用的不同，把不同的电脑划分到不同的虚拟局域网中，而这些不同的虚拟局域网之间是不可访问的，该技术成熟并得到广泛应用。3.2网络访问控制在虚拟局域网的基础上，根据应用的不同，控制其能够访问的网络资源。3.3网络安全系统设计内网安全设计：访问控制，经过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对以后所用到的ERP软件及办公自动化平台的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间的防火墙功能；经过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。3.4PC准入控制在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到公司网络的时候，交换机会为外来电脑的MAC地址不属于公司网络，从而禁止外来电脑接入公司网络，从内部加强公司网络的安全性。3.5上网行为管理管理网络带宽。根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。提升工作效率。针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如经过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站，保护员工的合法权益。禁止色情，反动，邪教等非法网站。对传输文件格式进行控制，防止不安全格式的文件进入内网。防DOS攻击3.6资料及数据安全方案考虑到公司客户定单和公司设计资料的安全，能够经过做ACL设置用户访问权限，防止用户访问不该访问的机密电脑资料，而且并部分控制对E-MAIL，QQ等的泄密管道，防止资料外泄，因此加强防火墙的安全管理很重要，能够在防火墙上设置禁止对外的smtp服务，禁止经过外部邮箱outlook传递资料，关于USB的封堵，原来应该靠购买行为软件来规范，或者经过AD域的组策略来实施，但考虑到预算成本，能够经过脚本（一个exe的可执行文件），只需要用管理员的身份登陆电脑，点击一下，就能够完成PC注册表的修改，禁止该电脑的USB口四、改造后的网络特点4.1构建多个虚拟网络。公司的网络被虚拟成决策层、管理层、行政部、财务部、设计部、客服部、品保部、资材部、服务器区等多个虚拟网络。并可根据需求增加新的虚拟网络4.2虚拟网络之间访问控制。不同的虚拟网络之间，是不能够直接访问。一个虚拟网络必须经过中心交换机才能够访问其它虚拟网络的电脑。4.3网络资源访问控制。在中心交换机上，能够根据需要开通相关的访问权限。如只允许办公电脑访问邮件服务器的25和110号两个端口，保障邮件服务器其它端口的安全。4.4上网行为管理优化上网行为，提高上网安全采用双链路，