xx 公司总部与分支专线组网方案建议书

XX 公司总部分支专线组网方案建议书杭州迪普科技有限公司2012-04目录1. 项目需求分析 31.1 项目背景 31.2 项目组网分析 .31.2.1 安全专线组网分析 31.2.2 网络安全组网分析 .41.2.3 网络统一管理分析 .52. 设计原则 .53. 组网方案 .63.1 专线组网方案 .63.2 详细部署 74. 迪普方案优势 74.1 迪普防火墙优势 .74.2 UMC 统一管理中心优势 .96.杭州迪普科技简介 97.杭州迪普科技售后服务体系 10服务概述 .10技术支持服务 10备件库服务 .10软件支持服务 11特征库升级服务 11售后服务联系方式 .11XX 公司总部分支专线组网方案建议书 杭州迪普科技有限公司 第 3 页/共 12 页 1.项目需求分析1.1 项目背景Xx 公司随着业务的发展需要，在全国具有 60 多家分支机构。公司规模的不断壮大，业务量的增多，网络成为总部与分支机构之间的业务系统的连接是企业了解市场发展动态的桥梁。业务交流与协助，财务系统的实时对接，视频会议与监控系统的建立保证总部和分支之间的无缝连接而高效管理。网络成为总部分支机构之间业务的纽带，网络安全则成为总部和分支之间重要前提条件。数据安全传输和业务的安全访问需要高效安全的解决方案。XX 公司基础建设，即完成了网络连通性，视频会议系统与监控系统的落实。但完全没有防护措施数据其实是相当于“裸跑”的状态，网络的安全问题其实是相当不让人乐观的，网络存在各种各样的隐患和威胁，内部重要服务资源存在泄密、丢失的可能，造成非常恶劣的影响。怎么处理和解决以上问题带给我们的困扰？这需要在现有网络基础上进行安全改造，实现网络安全加固，达到保障网络安全的目的。各分公司出口处部署应用级防火墙，实现网络威胁抵御，形成动态、立体的全面安全防护，总部与分支之间业务安全。迪普科技以应用即网络的理念，以高性能、高可靠、易管理、业务安全访问等功能建设需求。全面的组网能力，丰富的防攻击、高性能的 VPN 加密能力和便利的业务扩展能力等特点在此次项目得到全面的体现。为 XX 公司提供高效安全的网络解决方案。1.2 项目组网分析1.2.1 安全专线组网分析专线组网方式是一种成熟的网络连接解决方案，租用运营商高速链路。目前运营商提供安全专线业务的网络，提供市区“全光网”接入覆盖，满足 100M1000M 高速接入需求。现有“全光网”以光纤的方式方便与快捷组网，分支方便选择专线链路实现方便组网，实现 XX 公司电话、传真、数据的交换，信息的交流，保证公司生产发展。1.2.2 网络安全组网分析全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷，这可谓网络如江湖，到处暗藏杀机，稍不小心就会中招。企业内部的病毒传播更加难以控制。企业必须把病毒限制在最小的范围以内，最大程度的降低企业的损失。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP 欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD 等） 、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。安全专线组网解决方案是在传统专线租用使用上提供网络安全防护的网络解决。网络安全组网，网络安全已成为影响企业发展的重要问题，公司企业因安全网络安全问题造成的损伤已成为企业致命的忧患。防火墙是实现网络逻辑隔离的首选技术，防火墙一般利用 IP 和 TCP 包的头信息对进出被保护网络的 IP 包信息进行过滤，能根据用户的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT） 、审记与实时告警等功能。由于防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。防火墙可以通过包过滤，进行基于地址的粗粒度访问控制，同时，还可以通过口令认证对用户身份进行鉴别，既而实现基于用户的细粒度访问控制。防火墙在网络入口点检查网络通信，屏蔽非法侵入，通过 NAT 功能，使用一个公网 IP 即可实现全员上网；有效地控制进出不同网络区域的访问；控制进出不同网络区域的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部 IP 地址及网络结构的细节。防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。日志和审计功能要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。XX 公司总部分支专线组网方案建议书 杭州迪普科技有限公司 第 5 页/共 12 页 1.2.3 网络统一管理分析网络规模不断升级和扩大，安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，总是会遇到设备无法统一管理、策略无法集中配置、日志和流 量无法全面及时的分析、权限分散无法集中和分级进行管理等难题，往往只能通过对每个单独设备的管理，通过单纯的设备日志查看来进行逐个分析；常规的网管软件可以对实现设备网络级的管理，但是无法对安全事件进行分析，管理员无法及时准确的了解网络中的安全状况，更加无法实现对网络的统一安全管理。2.设计原则本着高可靠性、实用性、安全性、先进性、可扩展性、可管理性、经济性等原则进行设计。高可靠性为保证视频会议系统与监控系统分支与总部之间安全业务保障，XX 公司网络安全系统必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。实用性（包括简易性）采用成熟、有效、可靠、简单的技术，使用尽少的设备，最少的线路，实现网络质量的最优化，提高设备、线路利用率，避免不必要的浪费，减轻管理负担，确保系统的稳定运行。安全性考虑到各分支机构视频会议系统与监控系统的安全隔离，确保各网络系统的安全可靠，xx 公司分支机构设计要有分权限、分等级进行安全防护。先进性采用先进的技术满足内部应用系统的需求，兼顾其他相关的管理需求，使整个系统在今后很长一段时间适应网络和通信技术的高速发展，以满足更高的数据、视频（多媒体）传输等未来信息化的发展需要。可扩展性（包括开放性和互联性）计算机网络系统是一个不断发展的系统，采用标准和开放网络体系，使其具有良好的灵活性、可扩展性和良好的适应性，具备支持多种应用系统的能力，具备与多种协议计算机通信网络互连互通的特性，能够根据不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量、提升网络性能、增强网络功能，确保本计算机网络系统的基础设施的作用可以充分的发挥，为未来网络建设打下坚实的基础，保障网络系统的可持续发展。可管理性由于 XX 公司安全系统具有一定复杂性，随着业务的不断发展，网络安全管理的任务必定会日益繁重。所以在网络安全设计中，必须建立一套全面的管理解决方案。网络安全设备必须采用智能化，可管理的设备，通过先进的管理制度，实现监控、监测整个网络安全的运行情况，合理分配资源、迅速确定故障等功能。经济性在优先考虑可靠性、实用性、安全性、先进性、可扩展性、可管理性原则的前提下，采用性价比高的技术和软硬件资源。遵循统筹规划、合理配置的原则，充分发挥规模效应的巨大优势，有效降低信息系统设施的投入，节约运营维护成本，提高网络、设备、软件、信息资源、人力资源、空间场所等的使用效率。3.组网方案3.1 专线组网方案如果所示为专线组网方案：XX 公司总部分支专线组网方案建议书 杭州迪普科技有限公司 第 7 页/共 12 页 3.2 详细部署专线网络部署：租用运营商高速链路。目前运营商提供安全专线业务的网络，提供市区“全光网”接入覆盖，满足 100M1000M 高速接入需求。网络边界安全：边界处部署 Dptech FW1000 防火墙，提供安全高效网络安全解决方案。1. 实现网络逻辑隔离。防火墙一般利用 IP 和 TCP 包的头信息对进出被保护网络的 IP包信息进行过滤，能根据用户的安全政策来控制（允许、拒绝、监测）出入网络的信息流。有效地控制进出不同网络区域的访问。2. 实现网络地址转换（NAT） 。提供 NAT 功能实现分支与总部之间网络通信。提供多对一、多对多、静态网段、双向转换 、Easy IP 和 DNS 映射等 NAT 应用方式；支持多种应用协议正确穿越 NAT，提供 DNS、FTP、H.323、NBT 等 NAT ALG 功能3. 深度状态监测机制。具备针对协议的内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。网络统一管理； 部署 UMC 统一管理中心。总部与分支网络规模不断升级和扩大，安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，需要对设备无法统一管理、策略无法集中配置、日志和流 量无法全面及时的分析、权限分散无法集中和分级进行管理， UMC 统一管理中心提供日志和审计，要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能。4.迪普方案优势4.1 迪普防火墙优势 高性能防火墙：FW1000 N 系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和 ConPlat OS 安全操作系统，是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使得 FW1000 N 系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本！虚拟防火墙功能，支持至少 64 个虚拟防火墙，可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。Dptech FW1000 对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断 增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用防火墙 FW1000-GE-N 为例，在开启防火墙、IPSec/SSL VPN、 NAT、URL 过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL 过滤库等，处理能力依然可达万兆线速。 多 VPN 协议支持：Dptech FW1000 防火墙支持 IPSEC VPN SSL VPN GRE VPN L2TP VPN ,支持二层/三层VPN。Dptech FW1000 防火墙支持多种 VPN 组合，支持 GRE-over-IPSECVPN 、L2TP-over-IPSEC VPN 功能，能够高效安全数据传输防护。结合内置 VPN 加密/解密芯片，免费提供高强度加密服务。 组播功能：未来校园会有更多的关于视频、音频的应用基于网络，需要对组播协议有良好支持，满足未来校园网的发展。 3G/WIFI 扩展功能：XX 公司总部分支专线组网方案建议书 杭州迪普科技有限公司 第 9 页/共 12 页 在节点较重要的节点可通过 3G/WIFI 扩展功能，实现本机的链路级备份，也是必不可少的功能之一。 特征库功能：网络中新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，需要采用应用级防火墙通过扩展特征库，解决网络和应用相分离的情况。 MSTP 功能：支持多实例生成树，全面支持网络协议，更好的融入网络拓扑中，避免对网络拓扑有较大的改动。 支持 IPV6: 支持传统路由协议支持:支持动态路由协议,OSPF,RIP,IS-IS,BGP 基础上全面支持 IPV6协议，支持 IPV6 组网路由 OSPFv3，RIPv3,组播 IPV6 协议等。4.2 UMC 统一管理中心优势 全面的统一管理功能：全面集成日志采集器、数据库、日志分析、审计、报表等功能部件，支持对防火墙、IPS 、UAG、防毒墙、TAC、漏洞扫描、网站防护等产品的统一安全管理，全面的网络流量分析和上网行为审计，帮助管理员实时了解全网安全状况。 安全事件智能分析：对安全信息与事件进行分析，关联聚合常见的安全问题，过滤重复信息，发现隐藏的安全问题，使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口，并能根据预先制定的策略做出快速的响应，保障网络安全 安全策略集中配置管理：支持对安全设备进行集中管理，可通过访问控制策略的配置，实现大规模部署环境下的灵活、便捷的安全策略管理，阻止敏感信息外泄和非核心业务的滥用，确保网络的整体安全。 灵活的部署方式 ：支持集中管理和分级管理两种模式。集中管理可以在 UMC 上针对网络中所有安全设备进行统一的配置和安全事件管理；对于较大规模和分区域的网络环境， UMC 还支持通过分级管理的方式进行总部和分部的统一管理。 方便安全的远程管理 ：UMC 统一管理中心采用 B/S 架构，内建 HTTP 服务器，管理员可以在任意地方通过 HTTP 或 HTTPS 方式对 UMC 进行监控和管理。6.杭州迪普科技简介杭州迪普科技有限公司（以下简称“迪普科技” ）是在网络安全领域集研发、生产、销售于一体的高科技企业，它专注于网络内容及网络安全，为用户提供深度的安全检测与防御、以及深度的内容识别与加速的整体解决方案。公司总部位于杭州，具有一支业界领先的开发团队，基于多年的研究与积累，拥有自主开发的高性能的内容识别与加速芯片以及核心软件平台，目前已推出具有自主知识产权的应用防火墙、UTM、IPS、UAG、DPX 深度业务交换网关、ADX 应用交付平台及工业交换机等系列化产品。通过强有力的服务支撑体系，可为用户提供完善的技术支持与信息咨询服务。迪普科技将以满足用户需求为企业发展的根本动力，通过持续的技术创新，为用户创造更大价值。公司愿景成为网络安全及应用交付领域领先的解决方案提供商。7.杭州迪普科技售后服务体系服务概述杭州迪普科技是全球领先的网络安全产品和解决方案提供商，我们将为用户提供具有针对性和实际可操作性的应用安全交付解决方案，协助您的企业更有效地利用 IT 建立强大的竞争优势。同时，迪普科技通过本身以及合作伙伴的不断努力和广大最终用户的配合，针对客户的不同的需求和独特的要求，向最终用户提供独具特色的、充分考虑最终用户利益的服务方式，并建立了一个完善的体系来满足您的要求。XX 公