局域网改造方案.docx

哈药集团三精千鹤望奎制药有限公司局域网改造方案一、目前的网络情况及特点目前网络结构的特点：现有局域网络无独立机房且设备配置低，无法进行安全管理及控制，缺乏可管理与安全性，而且局域网中已经出现ARP病毒及网络攻击现象，以影响到公司内部所有网络设备及公司的业务运作。1、目前局域网中采用普通的路由器和交换机目前的路由器为普通的路由器，无防火墙功能，不能有效的阻止网络攻击。交换机为二层普通交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。2、目前局域网中所有电脑在同一个子网所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有网络设备。3外来电脑可任意接入外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。4. 无独立机房且设备配置低 现有网络设备都在项目环保部内，这对整个网络的维护及项目环保部的日常工作都带来了很大的影响。且设备配置低，加大了网络延时，已影响到了业务运作。5. 上网行为存在安全因素员工上班时间使用私人电脑，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢。影响到员工的工作效率。二、解决方案及效果1. 虚拟局域网如果根据网络应用的不同，建立几套完全独立的物理网络，这样做不可行，是不同的网络需要访问的资源不一样，将这些需要访问的资源再关联起来也不是一件容易的事情，因此建议采用虚拟局域网技术来达到网络隔离的目的，虚拟局域网所需的设备如：华为S3700-28TP-SI-AC 华为24口三层可网管智能交换机等网络设备，详情见附表虚拟局域网技术，在一个物理网络中，根据应用的不同，把不同的电脑划分到不同的虚拟局域网中，而这些不同的虚拟局域网之间是不可访问的。 2. 网络访问控制在虚拟局域网的基础上，根据应用的不同，控制其可以访问的网络资源。3. PC准入控制在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到公司网络的时候，交换机会为外来电脑的MAC地址不属于公司网络，从而禁止外来电脑接入公司网络，从内部加强公司网络的安全性。4. 建立独立机房更换老旧设备将局域网设备安装在独立的机房，这样便于管理人员维护。重新为办公楼内的各个部门进行科学合理的布线更换老旧设备，以避免网络延时的情况发生。5. 上网行为管理管理网络带宽。根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。提升工作效率。针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站，保护员工的合法权益。对传输文件格式进行控制，防止不安全格式的文件进入内网。防DOS攻击序号品牌型号数量功能及特性作用单价1华为（Huawei）S3700-28TP-SI-AC 华为24口三层可网管智能交换机一台支持VLAN、组播、QOS、802.1X、SNMP、STP、IP Source Guard具备防雷能力、功耗低、无风扇自动散热等特性根据电脑属于不同的应用部门，将电脑划分到不同的虚拟局域网中3000元/台2TP-LINKTL-ER6120VPN路由器一台支持路由、ACL、VLAN、组播、QOS、802.1X、SNMP、STP、IP Source Guard，具备防雷能力、大带宽、高性能、高可靠性等特性。支持双链路，上网行为管理，URL库，上网应用识别，带宽管理各虚拟局域网的连接中心，控制虚拟局域网之间的访问及对服务器的访问规则上网行为管理。提高上网安全，提高员工工作效率，保障关键业务和和员工上网所需的带宽2000元/台3华为（HUAWEI）S1700-24GR 24口千兆交换机五台无阻塞高速转发，便捷管理维护二层普通交换机进行数据交换1800元/台4华为（Huawei）USG2160 华赛企业级安全网关百兆VPN硬件防火墙一台基础安全防御：状态防火墙、NAT、身份认证、Anti-DDos等。外部安全防御：IPS入侵防御、AV网关防病毒。防止黑客入侵及内网病毒爆发。4500元/台5网线、水晶头以实际使用为准连接网络设备到PC网线：3元/米水晶头：1元/个总计：21000元三、方案产品四、改造后的网络特点1. 构建多个虚拟网络。公司的网络被虚拟成决策层、管理层、行政部、财务部、项目管理部、生产技术部、质量部、物料部、一车间、二车间、服务器区等多个虚拟网络。并可根据需求增加新的虚拟网络2. 虚拟网络之间访问控制。不同的虚拟网络之间，是不可以