计算机网络改造方案_第1页
计算机网络改造方案_第2页
计算机网络改造方案_第3页
计算机网络改造方案_第4页
计算机网络改造方案_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

计算机网络改造方案****网络建设方案****网络建设方案**科技有限公司2016年4月目录 链路负载均衡:部署在互联网出口,单位重新申请多条互联网链路,提高链路稳定性的同时,提高带宽利用率,避免单条链路故障。安全防护:部署**内网防火墙1台于外网互联网后段,针对用户的内网终端及应用服务器提供安全防护功能。移动人员接入:针对领导及内部员工出差出差办公,采用SSLVPN进行移动接入。2.2总体建设内容集团本期网络建设总体内容,主要包括以下4个方面:优化网络架构:总部向运营商申请多条互联网链路,出口部署链路负载均衡设备,保障链路稳定性,提高链路利用率建设网络安全系统:内部部署防火墙系统,隔离内网网络,保障内网安全加固应用系统接入安全:针对领导及员工需要出差需要访问内部OA及ERP系统,通过sslvpn接入,进行应用系统访问权限的授权和可信访问,防止越权访问。第3章方案说明3.1优化网络架构现有链路出口与其他单位共享,单位申请多条链路之后,出口采用**负载均衡设备。主要体现如下优势:出/入站链路负载均衡:**AD的出站负载均衡技术能够为内部终端上网选择最佳路径,均衡分配上网流量。同时,针对外部用户访问单位的门户网站或者内部员工在外部访问内部oa系统,AD的入站负载均衡技术能够自动为用户选择最优链路进行访问,从而保障外来用户的访问体验快速、稳定。链路带宽资源合理利用,解决拥塞问题:**AD还具有链路繁忙控制技术,可以为特定链路设定相应的阀值,再结合**AD全面的负载均衡算法,使得当某条链路达到阀值之后,用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。另外,**AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测,然后根据实现设定的负载策略,为用户返回相应的DNS请求结果,避免带宽资源出现闲置的情况,实现对链路带宽资源的合理利用,轻松解决拥塞问题。健全的链路健康检查:**健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时,AD会通过预先设定好的策略判断每条链路的健康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包的源地址转换成相应ISP网段的公网地址,再将该数据包发出。响应数据包返回到**AD时,**AD将目的地址进行转换之后将数据包发给内部的用户或服务器。3.2网络安全建设在互联网出口区域部署**下一代防火墙,对互联网出口流量进行流量过滤,提供L2-L7的安全防护。通过**下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现在以下几方面:网络边界的应用层访问控制防护内部系统有OA系统以及ERP系统安全要求比较高,因此,建议采用下一代防火墙设备将内网区域与互联网逻辑隔离,加强访问控制的同时还能够对业务服务器进行NAT地址转换,隐藏其IP地址,避免被攻击。通过部署NGAF产品在数据中心区域安全边界,提供了更加先进的访问控制规则,除了传统的五元组设置,NGAF还设计了基于用户、应用、内容的安全控制策略,实现了更加全面先进的八元组访问控制。NGAF还提供了更精细的应用层安全控制,识别内外网近2000种应用,并支持包括AD域、Radius等8种用户身份识别方式,全面保证数据中心区域区域的权限控制。网络边界的入侵防御和web防护在边界防护保障中,网络出口部署的防火墙主要工作在网络层和传输层,防范大部分基础的网络攻击,而对于整个互联网中的攻击分布,70%以上都来自应用层,这些攻击都是防火墙所无法防御的。目前OA业务系统业务系统是B/S架构的业务,存在比较大的web安全风险,**下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。系统/应用漏洞攻击防护针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安全漏洞,**下一代防火墙NGAF提供了实时漏洞发现功能,可以对经过设备的流量进行实时漏洞风险分析,且不会给网络产生额外的流量。实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息,NGAF还能提供详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。图7图8**还创新性的将实时漏洞检测和入侵攻击行为进行结合,从海量的攻击日志中快速识别出真正对网站业务应用有危害的“有效攻击”,从而大大减少安全运维的工作,让IT人员将更多的精力放在有效威胁的防护上面。**下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护,防止攻击者利用操作系统(如windowssever2003/2007、linux、unix)及发布软件漏洞(如,IIS、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻击。3.3应用系统接入安全3.3.1更安全的SSLVPN在应用系统安全加固方面,采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。由于登录SSLVPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。3.3.2更快速的SSLVPN3.3.2.1多线路智能选路对于移动办公人员,SSLVPN的访问速度直接影响到办公的效率。造成速度访问低下往往有以下几种情况:跨运营商访问、高丢包高延时的恶劣网络质量,要全面的提高速度,就需要解决以上几个速度瓶颈问题。为了避免线路的单点故障,组织的网络出口通常采用多运营商线路来保证线路级别的稳定。国内有线网络的格局为“北联通、南电信”,使用SSLVPN接入到总部的用户往往办公地点不固定,使用的线路有网通有电信的。但使用电信的用户并不一定由总部的电信线路接入,一旦为跨运营商接入,将面临高丢包率的现象,导致的数据频繁重传将造成传输速度的低下。为了解决跨运营商访问的问题,SANGFORSSLVPN提出了一种基于Web的自动选路方法对用户接入进行最优化选路,从线路级别保证接入速度的最快。当用户在进行SSLVPN接入时,将自动对总部的各条线路进行实时速度探测,并选择最快的线路进行接入。有别于传统SSLVPN解决多线路接入时采用的IP地址库判定方法,SANGFORSSLVPN的多线路智能选路技术更为智能和人性化。传统的IP地址库通过判定用户端所采用的IP属于网通还是电信的IP地址段,并固定的限定电信的必须从总部的电信线路接入,联通的必须从联通的接入。但使用多线路的情况往往会遇到多条线路上带宽、占用率不均的现象。若是电信的线路跑得较满,若电信用户从电信接入的速度反而比从网通接入的速度更慢,这样固化的选路方式反而降低了用户的访问速度。SANGFORSSLVPN多线路智能选路支持设备与多线路直连、通过前置设备(如防火墙等)直连两种方式下的多线路技术。可为线路设置高、中、低三种优先级设置,当用户登录SSLVPN页面发起连接请求时,SSLVPN设备将会根据线路的优先级及时延进行综合优选,从而实现速度与链路权值负载均衡的效果。SANGFORSSLVPN支持多线路下的上网数据选路策略,可配置线路优先选择SSLVPN设置优先级较低的线路,从而实现上网流量与VPN流量在分流、智能快速接入、多线路的主备下的部署。3.3.2.2 HTP快速传输协议无论是边远地区网络线路质量低下,还是移动无线访问,其速度的低下都可反映为网络的高丢包、高延时现象。时延越大直接拖慢了整个传输速度,而丢包现象的严重将进一步的拖滞传输速度。到丢包达到一定程度,甚至双方根本无法建立连接,更不用说进行数据的传输了。网络的高丢包高延时对TCP协议的传输影响尤为重。如图中所示,传统TCP协议的拥塞控制机制为“慢上升、快下降”。网络环境好的时候,传输的滑动窗口大小缓慢的增长,但窗口最大仅为64K。但在传输的过程中,一旦出现丢包现象,窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据包后的所有数据。可见,传统TCP传输速度增长慢、拥塞控制机制应变差、重传机制效率低下,面对高丢包、高延时的网络速度非常的不理想。针对传统TCP“慢上升、快下降”的低效传输机制,SANGFORSSLVPN提出了HTP快速传输协议技术。HTP协议(HighSpeedTransmissionProtocol)是基于UDP的可靠传输协议,通过扩充传输窗口、改善拥塞控

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论