某工程有限公司网络改造设计方案.doc

*工程有限公司网络改造设计方案第一部分 用户需求，方案设计原则1、网络改造原则2、设备选型原则3、网络接入4、网络安全和管理5、系统部分设计第二部分 需求分析，方案设计1、 网络改造拓扑图2、 网络部分规划 （1）网络接入 （2）网络安全和管理（3）划分VLAN隔离区域3、 系统部分规划（1） 域管理模式（2） 文件服务器（3） 邮件服务器第三部分 方案部署与实施1、 网络部分设备选型2、 系统部分设备选型3、 网络部分方案实施（1） 网络接入设置（2） 内网分组管理（3） 网络安全防护（4） 提供对网络治理、监控、优化的有效手段4、 系统部分方案实施（1） 域管理模式（2） 文件服务器（3） 邮件服务器第四部分 北京欣全向科技有限公司介绍及联络方式 第一部分 用户需求，方案设计原则网络改造原则：1、满足现有需求，解决现有网络问题2、防范未来的威胁，加固网络基础安全3、提供对网络治理、监控、优化的有效手段4、文件服务器、邮件系统等应用服务的架设设备选型原则：1、所有的硬件设备符合国家有关标准和规定，符合国家相关产品质 量标准、安全和电磁学规范 。2、所用设备材料统一先进，适应今后的发展需要。3、由国内外知名厂商生产，技术指标先进。4、考虑用户实际需求并符合经济性、适用性原则。一、网络接入1、要求满足电信宽带的完美接入，保证网络不掉线、不卡不慢2、实时数据库更新电信线路的策略库3、针对不同部门的带宽控制，保证上网流畅、稳定4、支持100终端的并发连接上网5、上网行为管理功能，禁止QQ、网络游戏及其他上网控制功能6、无线接入功能，保证无线网络的流畅使用7、远程管理，方便网管对总部和分支机构的统一管理二、内网安全和管理1、保证内网之间的传输通畅2、防止内网ARP攻击、IP欺骗现象3、防止内网底层协议（Ddos）攻击4、对每一台终端进行可控管理（上网、网速限制）5、全网监控每一台终端的数据流量、攻击发生的详细信息6、记录这些网络发生的信息7、对财务部，行政部，技术部、服务器组进行网络隔离管理8、保证重要部门正常上网，不受其他影响9、针对不同部门，进行上网权限、网速的控制10、架设无线网络，满足无线网络接入三、系统部分设计1、采用windows系统提供的域模式来组织和管理全部系统资源2、提供服务器端口映射、VPN穿透等功能3、分支机构能够访问总部文件服务器等功能4、部署邮件系统，建立统一信息传输平台第二部分 需求分析，方案设计一、网络改造拓扑图图1、*公司网络拓扑图二、网络部分规划 1、网络接入图2、网络接入设计（1） 满足宽带接入必要功能（2） 公网传输速度优化，保证外网通讯流畅（3） 提供内网NAT共享上网过程（4） 配合内网安全管理的接入设备具备安全功能（5） 提供监控全内网每一台终端的上网数据（6） 控制每台终端内网、公网传输限速（7） 支持100终端的并发连接上网（8） 远程管理，方便网管对总部和分支机构的统一管理（9）架设一台无线路由器，适合使用无线网络的便携式电脑2、网络安全和管理（1）保证网络安全稳定流畅，防御各种网络协议、病毒攻击（2）针对不同部门，进行上网权限的控制（3）封锁娱乐性网站及其他网络应用（4）封锁QQ、网络游戏、股票软件及其他上网行为（5）带宽控制，限制终端电脑的网速，保证带宽的有效利用（6）实时查看整网及各个终端电脑网络应用情况（7）快速定位攻击源，及时排除网络问题3、划分VLAN隔离区域，保证重要部门的信息安全、稳定图3、VLAN规划（1）重要部门包括财务室、技术部、服务器等（2）将这些终端用VLAN端口隔离起来，提供安全稳定的上网环境（3）根据实际应用，设置各个部门之间的通讯权限（4）提供可靠安全的公网和内网服务，提高办公效率（5）服务器和终端不受内网底层攻击影响三、系统部分规划1、域名，根据各部门员工名字指定计算机名。2、文件服务器，分支机构能够远程总公司文件服务器3、部署邮件系统，建立统一信息传输平台第三部分 方案部署与实施一、网络部分设备选型 1、公司总部选用免疫网关IWG 18002、分支机构选用免疫墙路由器NUR8366M二、系统部分设备选型三、网络部分方案实施1、网络接入设置（1）、IWG1800满足同时100台终端并发上网（2）、公网传输速度优化，双向转发速度100M通过网关无带宽瓶颈（3）、WAN口满足光纤、ADSL同时接入，保证同时在线和线路故障自动切换，实现多WAN口接入保证外网通讯不间断。图4、网络连接状态（4）、VLAN功能分别将财务室、行政部，技术部，服务器组进行网络隔离管理。实现各部门之间安全互不影响的效果。图5、VLAN功能（5）、提供服务器端口映射，及VPN穿透，分支机构能够访问总部文件服务器等功能图6、虚拟服务器功能图7、VPN穿透功能2、分组管理功能（1）对各个部门进行分组管理图8、部门成员分组（2）URL关键字过滤，可对指定网站进行封锁，不允许访问娱乐网站或者带有关键字的下载等。图9、URL关键字过滤（3）针对不同的部门，设置相应的权限，包括内网、外网上传、下载速度，免疫安全策略等图10、免疫安全策略-带宽控制（4）上网行为管理控制，封锁聊天、网络游戏、下载等应用图11、上网行为管理功能3、网络安全防护措施（1）接入网关具备ARP先天免疫、免疫防火墙、滤窗技术等安全功能。能够主动防御协议、病毒的攻击图12、网络安全DOS防火墙图13、ARP先天免疫（2）网络可信接入，防范网络攻击设置严格的上网策略，校验免疫驱动，没有驱动不准上网。要求组内成员必须是可信接入身份，IP-MAC及免疫驱动三者同时真实可靠。防止拦截篡改MAC、拦截ARP欺骗、过滤虚假IP、拦截IP分片、超大Ping包过滤等安全功能。图13、免疫上网驱动下载（3）通过驱动校验驱动和MAC地址过滤，控制非法无线网络接入4、提供对网络治理、监控、优化的有效手段 （1）全网监控，对每台终端的内网、公网传输，协议使用等监督图14、免疫网关系统监控（2）对终端的身份确认及上网管控 （3）定位攻击信息源 （4）全网带宽使用率的分析（5）历史日志报告统计5、网络应用与安全功能升级 （1）、免疫网关 IWG1500功能升级（官网提供）（2）、整体策略更新（自动）如：对ARP、UDP、ICMP等底层协议攻击特性升级 （3）、应用功能更新（选择）如：应用流控管理、网络审计、行为记录等（4）、硬件特定功能升级（选择）如：支持VPN服务、隧道建立（SSL加密）等四、系统部分实施1、使用windows域管理，整个公司采用统一的安全策略启用密码审核策略，启用审核登录事件，启用审核对象访问设置所有电脑使用统一的桌面背景2、文件服务器使用服务器自带的windows系统搭建，根据不同部门创建账号，设置访问文件服务器的权限3、邮件系统使用XXXX搭建，注册公网域名（如）,根据不同部门创建邮箱账号，设置邮箱权限第四部分、北京欣全向科技有限公司介绍北京欣全向科技有限公司2003年11月成立，注册于北京中关村高科技开发区，作为IT高科技企业，享受到国家对科技企业优惠政策的支持。欣全向公司定位于后宽带时代网络安全和管理领域，是软硬件产品、应用和服务的提供商。公司致力于为广大企业提供全新的网络安全和管理方案，用精湛的技术为现代企业信息化建设服务。“助力宽带新生活”是我们的经营理念。 “欣向”是我们宽带路由器系列产品的注册商标。欣全向是中国多WAN技术的首倡者。欣向多WAN路由器、网吧专用路由器、免疫墙路由器等产品久负盛名。自公司成立以来，已经有海内外成千上万用户正在体验“欣向”卓越的产品、技术和服务。“巡路”是我们网络安全产品和方案的注册商标。“巡路”ARP工具、免疫墙软件、免疫网关、免疫网络解决方案是“巡路”的主要产品。目前，我们的免疫网络终端客户已经突破了100万的在线数量，而且这个数字仍在不断飙升。欣全向的产品和技术业界领先。目前已经耳熟能详的多WAN已经从第一代发展到第四代应用，就是欣全向在中国率先倡导并进行成功地产品推广的。如今，经过多年的研发，我们拥有了“免疫墙”这一独创专有技术，成功地推广“巡路免疫网络解决方案”，帮助广大的现代化企业建立免疫网络，满足了企业信息化组建稳定、高速、安全、可管理网络的迫切需求。在技术研发上，除了自身强大的技术力量外，我们还与来自美国、台湾的资深技术专家紧密合作，组成强大的技术团队，长期以来围绕中国的用户需求和网络环境不断进行技术创新，推出前所未有的新产品，开辟新兴的宽带网络产业。欣全向拥有一流的经营团队，其中不乏高级的管理