工程有限公司网络改造设计方案48429.pdf

工程网络改造设计方案 第一部分用户需求、程序设计原则 一、网络改造原理 二、设备选型原则 3.网络访问 4.网络安全与管理 5.部分系统设计 第二部分需求分析、方案设计 1、网络重构拓扑图 2、网络部分规划(1)网络访问(2)网络安全与管理(3)划分VLAN隔离区 3、系统部分规划（1）域管理模式（2）文件服务器（3）服务器 第三部分 计划部署与实施 1、网络部分设备选型 2、部分系统设备选型 3、实施部分网络计划（1）网络访问设置（2）网络群组管理（3）网络安全防护（4）为网络治理、监控和优化提供有效手段 4、部分系统实现（1）域管理模式（2）文件服务器（3）服务器 第四部分为新泉科技简介及联系方式 第一部分用户需求、程序设计原则 网络改造原理：1.满足现有需求，解决现有网络问题 2.防范未来威胁，加强基础网络安全 3.为网络治理、监控和优化提供有效手段 4、文件服务器、系统等应用服务的安装 设备选型原则：1、所有硬件设备符合国家相关标准和法规，符合国家相关产品质量标准、安全和电磁法规。2、所用设备、材料统一先进，适应未来发展需要。3、由国外知名厂家生产，技术指标先进。4、考虑用户的实际需求，符合经济适用性原则。1.网络访问 1、要求满足电信宽带完美接入，保证网络不掉线、不卡顿、不慢 2、电信线路实时数据库更新策略库 3.不同部门的带宽控制，保证上网流畅稳定 4.支持100台终端同时连接上网 5.上网行为管理功能、禁止、网络游戏等上网控制功能 6.无线接入功能，保证无线网络的流畅使用 7、远程管理，便于网管对总部和分支机构进行统一管理 2.网络安全与管理 1.保证网络间的顺畅传输 2.防止网络ARP攻击和IP欺骗 3.防止网络底层协议（Ddos）攻击 4.各终端可控管理（上网、限速）5、监控各终端的数据流量及全网攻击的详细信息 6.记录在这些网络上发生的事情 7、对财务部、行政部、技术部、服务器组进行网络隔离管理 8、保证重要部门能正常上网，不受其他影响 9、针对不同部门，控制上网的权限和速度 10.设置无线网络，满足无线网络接入 3.部分系统设计 1、使用windows系统提供的域模式来组织和管理所有系统资源 2.提供服务器端口映射、VPN穿透等功能 3.分支机构可以访问总部文件服务器等功能 4、部署系统，建立统一的信息传输平台 第二部分需求分析、方案设计 1.网络变换拓扑 图1、*公司网络拓扑 2.部分网络规划 1.网络访问 图 2.网络接入设计（1）满足宽带接入必备功能（2）优化公网传输速度，保证外网通信畅通（3）提供网络NAT共享上网过程（4）配合网络安全管理的接入设备具备安全功能（5）提供全网各终端上网数据监控（6）控制每个终端网络和公共网络的传输速度限制（7）支持100台终端同时连接上网（8）远程管理，方便网络管理员对总部和分支机构进行统一管理(9)设置无线路由器，适用于使用无线网络的便携电脑 2.网络安全与管理（一）保证网络安全、稳定、畅通，防御各种网络协议和病毒攻击(2)控制不同部门的访问权限(3)屏蔽娱乐等网络应用（四）封锁、网络游戏、炒股软件等网络行为(5)带宽控制，限制终端计算机的网速，保证带宽的有效利用(6)实时查看各终端的全网及计算机网络应用（7）快速定位攻击源头，及时排除网络问题 3、划分VLAN隔离区域，保障重要部门信息安全稳定 图 3.VLAN 规划（一）重要部门包括财务处、技术部、服务器等。（2）将这些终端用VLAN端口隔离，提供安全稳定的上网环境(3)根据实际应用，设置各部门之间的通讯权限（4）提供可靠、安全的公网和网络服务，提高办公效率（5）服务器和终端不受底层网络攻击的影响 3.部分系统规划 1.域名为psp.，根据每个部门员工的姓名指定计算机名。2.文件服务器，分公司可以远程总公司文件服务器 3、部署系统，建立统一的信息传输平台 第三部分 计划部署与实施 一、网络设备的选择 1、公司总部选用免疫网关IWG 1800 2、分公司采用免疫墙路由器NUR8366M 2.部分系统设备选型 三、部分网络规划的实施 1.网络访问设置(1)、IWG1800可满足100台终端同时上网(2)优化公网传输速度，通过网关双向转发速度100M，无带宽瓶颈。（3）WAN口满足光纤和ADSL同时接入，保证在线和线路故障同时自动切换，实现多WAN口接入，保证外网通信不中断。图 4.网络连接状态(4)VLAN功能将财务室、行政部、技术部、服务器组分开，进行网络隔离管理。达到各部门安全互不影响的效果。图 5.VLAN 功能(5)、提供服务器端口映射，以及VPN穿透，分支机构可以访问总部文件服务器等功能 图 6.虚拟服务器功能 图 7.VPN 穿透功能 2.群组管理功能(1)各部门的集团化管理 图 8.部门成员分组（2）URL关键字过滤，可以屏蔽指定，不允许访问娱乐或带有关键字的下载。图 9.URL 关键字过滤（3）针对不同部门，设置相应的权限，包括网络、外网上传、下载速度、免疫安全策略等。图 10.免疫安全策略-带宽控制（4）上网行为管理控制，屏蔽聊天、网络游戏、下载等应用 图 11.上网行为管理功能 三、网络安全保护措施(1)接入网关具有ARP先天免疫、免疫防火墙、过滤窗口技术等安全功能。能够主动防御协议和病毒攻击 图 12.网络安全 DOS 防火墙 图 13.ARP 先天免疫(2)网络可信访问，防止网络攻击 设置严格的上网策略，验证免疫驱动，无驱动禁止上网。要求组成员必须是可信的访问身份，IP-MAC和免疫驱动都是真实可靠的。防止拦截和篡改MAC，拦截ARP欺骗，过滤假IP，拦截IP分片，过滤大Ping数据包。图 13.Immune Internet 驱动程序下载(3)通过驱动验证和MAC地址过滤控制非法无线网络访问 4.为网络治理、监控和优化提供有效手段(1)监控全网，监控各个终端的网络和公网传输、协议的使用等。图 14.免疫网关系统监测(2)终端的身份确认和上网控制 (3)定位攻击信息源 （4）全网带宽利用率分析 (5)历史日志报表统计 5.网络应用及安全功能升级（一）免疫网关IWG1500功能升级(2)、整体策略更新（自动）例如：升级ARP、UDP、ICMP等底层协议的攻击特性(3)、应用功能更新（选择）如：应用流控管理、网络审计、行为记录等。(4)、硬件特定功能升级（可选）如：支持VPN服务、隧道建立（SSL加密）等。4.系统的部分实现 1、采用windows域管理，全公司采用统一的安全策略 启用密码审核策略，启用审核登录事件，启用审核对象访问 将所有计算机设置为使用相同的桌面背景 2、文件服务器采用服务器自带的Windows系统搭建。根据不同部门创建账户，并设置访问文件服务器的权限。3.系统用XXXX搭建，注册公有域名（如psp.），根据不同部门创建账号，设置权限