计算机网络改造方案设计

网络建设方案 科技有限公司科技有限公司 2016年年4月月 目录 1 1 网络建设方案 1 第1章概述 1 1 1项目背景 1 1 2需求分析 1 1 3设计原则 2 第2章网路方案设计 2 2 1总体网络架构 3 2 2总体建设内容 4 第3章方案说明 5 3 1优化网络架构 5 3 2网络安全建设 6 3 3应用系统接入安全 9 第4章选型参考 13 第1章概述 1 1项目背景 有限责任公司 简称中原乙烯 是由中国石油化工集团公司与河南省 人民政府合资建设 股份公司控股的大型石化企业 目前公司主要业务系统有OA系统以及ERP系统 随着公司的持续稳定发展 越来越依赖于信息化系统建设 优化网络系统结构 集中化的管理 稳定的 网络 是集团业务开展基础 网络系统的安全 应用系统的安全 广域网数据 传输的安全 是集团业务正常开展的保障 高效的信息网络系统 可以整体提 高集团办公效率 1 2需求分析 随着业务的不断发展 IT运用与业务结合的不断深入 集团目前的网络状况已经不能很好 的满足业务发展的需要 有如下问题需要解决 1 链路出口问题 目前单位没有独立的网路出口 与其他单位共享网络出口 日常出口不由 单位进行管理 一旦连接出口网络线路故障 影响整个日常办公 同时存在日 常管理不变 例如针对服务器外联互联网需要开端口映射 需要其他单位协调 单位日常出口流量带宽遭受限制 影响互联网接入速度等等问题 2 外出人员接入 数据安全性及无法保障 众多出差在外的领导和员工需要实现随时随地的接入到总部的OA服务器以及E RP服务器访问应用 实现移动办公 在公司信息平台上的应用数据现在都是未 经加密等安全处理的 跑在互联网这个不安全而又开放的网络上 一旦数据遭 到篡改或窃取 带来的损失将无法估量 3 内网安全问题 随着网络技术的发展 移动互联的普及 新兴应用的不断涌现 在日常管 理使用发现一些不稳定和不安全的因素 如针对OA网站存在SQL注入 网页篡 改 网页挂马等安全事件 网络设备 服务器 主机漏洞攻击等 还有内网用 户更新防毒软件 漏洞不及时 软口令等给网络带来很大的隐患 1 3设计原则 按照公司业务对网络系统的需求 公司信息化部门对网络建设的总体规划 依托现有的网络架构 建设稳定 安全 可靠的集团信息化网络平台 推动 集团业务系统的全面应用 提升公司业务效率 全力打造高质量公司网络系统 因此 本期网络建设通过以下三方面内容建设 将集团网络系统建成的安 全 高效网络系统 1 优化网络架构 对现有的网络进行优化 优化基础网络平台 提升 网络的稳定性和可管理性 2 建设网络系统安全 遵循相关标准 对现有网络系统进行全面的改 造 建成安全的网络系统 3 加固应用系统接入安全 按照集团应用系统的保密级别 业务中重 要性等标准 实现精细化的应用系统安全管理 第2章网路方案设计 2 1总体网络架构 整体网络解决方案总体设计以优化网络架构 建设网络系统安全 加固应用 系统安全为原则 以及考虑到技术的先进性 成熟性 并采用模块化的设计方 法 组网图如下所示 互联网 整 体 网 络 规 划 图 应用服务器区 内网办公区 SSL VPN 下一代防火墙 负载均衡设备 核心交换机 本次方案建议采用 负载均衡设备 下一代防火墙设备 SSL VPN各一台 分别部署在如下位置 链路负载均衡 部署在互联网出口 单位重新申请多条互联网链路 提高 链路稳定性的同时 提高带宽利用率 避免单条链路故障 安全防护 部署 内网防火墙1台于外网互联网后段 针对用户的内网终端及应用服务器提 供安全防护功能 移动人员接入 针对领导及内部员工出差出差办公 采用SSL VPN进行移动接入 2 2总体建设内容 集团本期网络建设总体内容 主要包括以下4个方面 1 优化网络架构 总部向运营商申请多条互联网链路 出口部署链路负载均衡设 备 保障链路稳定性 提高链路利用率 2 建设网络安全系统 内部部署防火墙系统 隔离内网网络 保障内网安全 3 加固应用系统接入安全 针对领导及员工需要出差需要访问内部OA及ERP系统 通过sslvpn 接入 进行应用系统访问权限的授权和可信访问 防止越权访问 第3章方案说明 3 1优化网络架构 现有链路出口与其他单位共享 单位申请多条链路之后 出口采用 负载 均衡设备 主要体现如下优势 出 入站链路负载均衡 AD的出站负载均衡技术能够为内部终端上网 选择最佳路径 均衡分配上网流量 同时 针对外部用户访问单位的门户网站 或者内部员工在外部访问内部oa系统 AD的入站负载均衡技术能够自动为用户 选择最优链路进行访问 从而保障外来用户的访问体验快速 稳定 链路带宽资源合理利用 解决拥塞问题 AD还具有链路繁忙控制技术 可以为特定链路设定相应的阀值 再结合 AD全面的负载均衡算法 使得当 某条链路达到阀值之后 用户的访问请求将会通过事先设定的负载算法分配到 其它链路之上 另外 AD设备的DNS透明代理技术能同时对多条链路同时发 起DNS请求探测 然后根据实现设定的负载策略 为用户返回相应的DNS请求 结果 避免带宽资源出现闲置的情况 实现对链路带宽资源的合理利用 轻松 解决拥塞问题 健全的链路健康检查 健全的链路健康检查机制能够保障校园网出口的 连续性 当流量流经AD设备时 AD会通过预先设定好的策略判断每条链路的 健康状况 链路健康检查 并决定将流量负载均衡到哪条链路 然后数据包 的源地址转换成相应ISP网段的公网地址 再将该数据包发出 响应数据包返回 到 AD时 AD将目的地址进行转换之后将数据包发给内部的用户或服务器 3 2网络安全建设 在互联网出口区域部署 下一代防火墙 对互联网出口流量进行流量过滤 提供L2 L7的安全防护 通过 下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制 入侵 防御 恶意代码过滤和web安全防护 主要体现在以下几方面 网络边界的应用层访问控制防护 内部系统有OA系统以及ERP系统安全要求比较高 因此 建议采用下一代 防火墙设备将内网区域与互联网逻辑隔离 加强访问控制的同时还能够对业务 服务器进行NAT地址转换 隐藏其IP地址 避免被攻击 通过部署NGAF产品在 数据中心区域安全边界 提供了更加先进的访问控制规则 除了传统的五元组 设置 NGAF还设计了基于用户 应用 内容的安全控制策略 实现了更加全 面先进的八元组访问控制 NGAF还提供了更精细的应用层安全控制 识别内 外网近2000种应用 并支持包括AD域 Radius等8种用户身份识别方式 全面 保证数据中心区域区域的权限控制 网络边界的入侵防御和web防护 在边界防护保障中 网络出口部署的防火墙主要工作在网络层和传输层 防范大部分基础的网络攻击 而对于整个互联网中的攻击分布 70 以上都来 自应用层 这些攻击都是防火墙所无法防御的 目前OA业务系统业务系统是B S架构的业务 存在比较大的web安全风险 下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动 态防御机制 实现双向的内容检测 提供OWASP定义的十大安全威胁的攻击防 护能力 有效防止常见的web攻击 如 SQL注入 XSS跨站脚本 CSRF跨 站请求伪造 从而保护网站免受网站篡改 网页挂马 隐私侵犯 身份窃取 经济损失 名誉损失等问题 系统 应用漏洞攻击防护 针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安 全漏洞 下一代防火墙NGAF提供了实时漏洞发现功能 可以对经过设备的 流量进行实时漏洞风险分析 且不会给网络产生额外的流量 实时漏洞检测功 能能够发现底层软件漏洞 业务发布软件漏洞 Web应用风险漏洞 插件漏洞 Web不安全配置 弱口令等多种安全缺陷 对于检测到的漏洞信息 NGAF 还能提供详细的漏洞说明 如漏洞类型 数量 描述 危害说明等信息 图7 图8 还创新性的将实时漏洞检测和入侵攻击行为进行结合 从海量的攻击日 志中快速识别出真正对网站业务应用有危害的 有效攻击 从而大大减少安 全运维的工作 让IT人员将更多的精力放在有效威胁的防护上面 下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护 防 止攻击者利用操作系统 如windows sever2003 2007 linux unix 及发布软件漏洞 如 IIS Apache等 对网站进 行系统提权 系统破坏 信息窃取等攻击 3 3应用系统接入安全 3 3 1更安全的SSL VPN 在应用系统安全加固方面 采用登录SSL VPN身份验证 权限划分 登录应用身份验证的主线进行保障 SSL VPN接入认证方式可采用用户名密码 USB KEY 短信认证 动态令牌 CA认证 LDAP认证 RADIUS认证等两种或多 种认证的组合 多重组合软硬结合确保接入身份的确定性 在用户接入SSL VPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑 定SSL VPN登录账号和应用系统账号 用户只可采用指定的账号访问应用系统 由于登录SSL VPN的身份已通过多重认证的确认 而后又进行指定应用账号访问 即可保障 登录应用系统的人员的身份 3 3 2更快速的SSL VPN 3 3 2 1多线路智能选路 对于移动办公人员 SSL VPN的访问速度直接影响到办公的效率 造成速度访问低下往往有以下几种情 况 跨运营商访问 高丢包高延时的恶劣网络质量 要全面的提高速度 就需 要解决以上几个速度瓶颈问题 为了避免线路的单点故障 组织的网络出口通常采用多运营商线路来保证 线路级别的稳定 国内有线网络的格局为 北联通 南电信 使用SSL VPN接入到总部的用户往往办公地点不固定 使用的线路有网通有电信的 但 使用电信的用户并不一定由总部的电信线路接入 一旦为跨运营商接入 将面 临高丢包率的现象 导致的数据频繁重传将造成传输速度的低下 为了解决跨运营商访问的问题 SANGFOR SSL VPN提出了一种基于Web的自动选路方法对用户接入进行最优化选路 从线路 级别保证接入速度的最快 当用户在进行SSL VPN接入时 将自动对总部的各条线路进行实时速度探测 并选择最快的线路 进行接入 有别于传统SSL VPN解决多线路接入时采用的IP地址库判定方法 SANGFOR SSL VPN的多线路智能选路技术更为智能和人性化 传统的IP地址库通过判定用户 端所采用的IP属于网通还是电信的IP地址段 并固定的限定电信的必须从总部 的电信线路接入 联通的必须从联通的接入 但使用多线路的情况往往会遇到 多条线路上带宽 占用率不均的现象 若是电信的线路跑得较满 若电信用户 从电信接入的速度反而比从网通接入的速度更慢 这样固化的选路方式反而降 低了用户的访问速度 SANGFOR SSL VPN多线路智能选路支持设备与多线路直连 通过前置设备 如防火墙等 直 连两种方式下的多线路技术 可为线路设置高 中 低三种优先级设置 当用 户登录SSL VPN页面发起连接请求时 SSL VPN设备将会根据线路的优先级及时延进行综合优选 从而实现速度与链路权 值负载均衡的效果 SANGFOR SSL VPN支持多线路下的上网数据选路策略 可配置线路优先选择SSL VPN设置优先级较低的线路 从而实现上网流量与VPN流量在分流 智能快速 接入 多线路的主备下的部署 3 3 2 2HTP快速传输协议 无论是边远地区网络线路质量低下 还是移动无线访问 其速度的低下都 可反映为网络的高丢包 高延时现象 时延越大直接拖慢了整个传输速度 而 丢包现象的严重将进一步的拖滞传输速度 到丢包达到一定程度 甚至双方根 本无法建立连接 更不用说进行数据的传输了 网络的高丢包高延时对TCP协议的传输影响尤为重 如图中所示 传统TC P协议的拥塞控制机制为 慢上升 快下降 网络环境好的时候 传输的滑动窗 口大小缓慢的增长 但窗口最大仅为64K 但在传输的过程中 一旦出现丢包 现象 窗口大小将立即减小到原有窗口的一般 同时丢包后将重新传输窗口内 所丢数据包后的所有数据 可见 传统TCP传输速度增长慢 拥塞控制机制应 变差 重传机制效率低下 面对高丢包 高延时的网络速度非常的不理想 针对传统TCP 慢上升 快下降 的低效传输机制 SANGFOR SSL VPN提出了HTP快速传输协议技