中小企业网络改造专项方案

伍子醉网络改造方案目录一、现在网络情况及特点 3二、处理方案及效果 42.1虚拟局域网 42.2网络访问控制 52.3PC准入控制 53.4上网行为管理 5三、方案产品 6四、改造后网络拓扑结构图及特点 74.1改造后网络拓扑结构图 74.2新拓扑图特点 7一、现在网络情况及特点 现有网络无法进行安全管理及控制，缺乏可管理和安全性，一旦网络出现病毒及网络攻击现象，将会包含到部分部门内部数据丢失及影响相关业务运作。1.1采取一般傻瓜式交换机现在全所各部门采取交换机基础上为TP-LINK、D-LINK10/100M傻瓜式桌面型交换机，这些交换机全部是一般二层交换机，功效就是进行数据转发。既没有最基础网管功效，也无法登进交换机查看交换机状态、无法查看网络流量状态、无法依据网络新需求进行新配置等。1.2各部门小局域网内全部电脑及外接设备在同一个子网各部门间外网用交换机组成小局域网，里面全部电脑、服务器、网络设备及相关打印设备全部在同一个网络内，这意味着这些设备之间能够任意互连互通，任意一台电脑感染病毒或受黑客控制时候，能够直接影响网内全部电脑及外接设备。严重时可造成系统瘫痪及硬盘数据丢失。1.3电信和移动线路之间产生互连互通问题现在企业拥有财务ERP服务器一台，服务器在老厂，新厂经过广域网访问老厂服务器，不过在实际应用过程中常常发生连接服务器不通畅、掉线和访问速度很慢等问题，原因是因为新厂使用移动网络，而老厂使用是电信网络，两大运行商之间因为竞争关系而给对方网络做出相关限制，也就是所谓互连互通问题，最终也就造成了新厂访问老厂服务器造成部分问题，通信不通畅，而移动企业经多少处理也是治标不治本，也只是临时处理问题，而一段时间后一样问题还是会产生。1.4外来电脑可任意接入无法监管和控制外来笔记本和其它外接设备能够任意接入所内任一网络，其电脑上所带病毒、木马、恶意工具会影响所内其它电脑和服务器安全。尤其是所内部分关键部门，只要外来笔记本接入其网内，该计算就能够利用木马程序窃取该部门网内计算机里关键数据及文档，以至于造成泄密事件发生。1.5上网行为存在安全原因访问不安全网站，如暴力、黄色、赌博、股票等和业务无关网站，会造成病毒和木马进入该计算机。以至于造成系统瘫痪或数据丢失。职员上班时间下载电影或是在线看视频资料，会占用极大带宽资源，造成业务开展所需要带宽不够，上网变慢。职员上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到职员工作效率。二、处理方案及效果2.1改造方案依据我所现在现场环境及所要达成效果，现有两套施工方案。2.2网络访问控制此次外网改造，骨干网不管是从线路还是所采取设备全部是以千兆网标准进行设计和施工。尤其是此次所采取设备采取是华为或H3C智能型企业级交换机。这类企业级交换机是全千兆二层智能以太网交换产品，广泛应用于企业网和园区网接入和汇聚层，是含有高密度全千兆以太网端口、丰富业务特征、便捷WEB配置，为用户提供高性能、低成本、可WEB网管千兆处理方案，是千兆汇聚或接入理想选择。这类关键层交换机通常提供24个千兆电口、4个千兆上行COMBO端口（光电复用，光口支持SFP光模块）和一个Console配置端口。S5024P支持经过命令行、Web和telnet登录进行配置。这么一来就完全能够轻松实现各部门之间网络访问权限控制，在一个能够预防网络内部非法入侵者从内部盗用IP地址攻击其它接入点可能。2.3PC准入机制经过在骨干交换机端口上绑定各信息点电脑MAC地址后。就能够实现当外来电脑接入到所内网络时候，交换机会为外来电脑MAC地址不属于所区网络从而严禁掉来电脑接入。这么做同时也预防各信息点以下在私自接入交换机达成多台电脑上网目标。2.4上网行为管理对于上网行为管理，此次我们采取是北京网康科技提供NS-3110系列，同时这款设备也是国防科工委向全省军工企业推荐一款产品。网康互联网控制网关（InternetControlGateway,NS-ICG）是一款软硬件一体化、性能卓越互联网控制管理产品。NS-ICG为网络管理者提供多种互联网接入环境中灵活身份确定、合规准入、网页过滤、应用控制、带宽管理、外发合规检验，内容留存审计，结果分析等功效,其具体功效以下。管理网络带宽：依据各个部门业务需求不一样，分配不一样最高带宽。同时也依据应用需求带宽，给不一样业务分配不一样带宽。保障关键职员和业务能够取得足够带宽。提升工作效率：针对URL,聊天工具，上网时间，应用程序进行管理，最大程度降低职员利用上网做和工作无关事情时间。如经过URL库，严禁职员访问和业务无关网站，只许可访问和工作相关网站。同时对上千万条URL统计分为新闻，可依据需要严禁访问其中一些类网站。保障网内安全：阻止各类假冒网银和假冒网上证券等钓鱼网站，保护职员正当权益。严禁色情，反动，邪教等非法网站。对传输文件格式进行控制，预防不安全格式文件进入网内。实时监控审计：查看上线用户网络使用时间和流量信息，立即发觉异常见户并加以处理全方面了解用户上网行为，包含网页访问、邮件收发、即时聊天、论坛发帖、网络娱乐等全部互联网活动对于用户经过邮件、聊天、论坛等外讲话论信息进行合理监控，立即过滤有害信息等。终端用户准入：20余种用户身份识别/认证方法，确保入网用户身份正当有效，避免外来隐患对计算机终端环境进行管理，帮助管理者实施计算机准入规范如：必需安装杀毒软件方可上网；严禁安装、运行和工作无关应用程序等。三、方案产品序号品牌型号数量安装位置功效及特征作用1华为3800一台中心机房支持VLAN、组播、QOS、802.1X、SNMP、STP、IPSourceGuard含有防雷能力、功耗低、无风扇自动散热等特征依据电脑属于不一样应用部门，将电脑划分到不一样虚拟局域网中2CISCO3750一台支持路由、ACL、VLAN、组播、QOS、802.1X、SNMP、STP、IPSourceGuard，含有防雷能力、大带宽、高性能、高可靠性等特征各虚拟局域网连接中心，控制虚拟局域网之间访问及对服务器访问规则3Sinfor5100一台支持双链路，上网行为管理，URL库，上网应用识别，带宽管理上网行为管理。提升上网安全，提升职员工作效率，保障关键业务和和职员上网所需带宽45四、改造后网络拓扑结构图及特点4.1改造后网络拓扑结构图4.2新拓扑图特点中心机房统一管理统一维护此次网络改造关键是依据《军工保密资格审查认证工作指导手册》中相关条文及国六条中第一条“严禁私自在机关、单位登录互联网”等要求，和企业或单位内部互联网必需要有统一监管和维护方法，为了达成此次改造目标，中心机房能够作为以后全所外网控制、监管及维护中心。各部门之间访问控制。不一样部门间访