XX集团网络安全解决方案

1、XXXX 集团集团 网络方案建议书网络方案建议书 目目 录录 一. 概述.1 二. 企业网络现状.1 2.1 行为管理防火墙对企业的重要性.2 2.2 网络主干核心交换机对企业的重要性.3 三. 恒盛集团网络安全解决方案.4 3.1 整体网络安全解决方案 .4 3.2 安全网关及上网行为管理解决方案.5 3.3 核心交换机解决方案 .6 一一. 概述概述 针对当前该恒盛集团接入公网的情况完全把服务器和内网暴露在互联网上，只通过 NAT 来拒绝黑客的一部分攻击手段；而对于服务器的安全防护为几乎为零。而随着企业的信息化 建设越来越高，企业员工的上网行为管控难以解决导致内网终端故障频发；同时服务器的

2、安 全也给企业带来的越来多的烦恼，但造成安全问题事后的补救己无法满足企业的日常运行需 求。企业迫切需要对员工进行上网行为管制以减少终端故障率并且合理利用企业的信息化资 源；而对服务器采取必要的安全措施以避免服务器带来的一系列安全问题，提高企业运营的 稳定性和信誉。 二二. 企业网络现状企业网络现状 随着企业采用的是两台锐捷 EG 路由器直接做 NAT 出上，但这样的网络结构复杂不利于 网络问题定位和解决；而对于网络流量无法得到分析，企业网络宽带利用率不高。根据拓扑 我们可以看出企业现在存在以下几个问题： 企业员工行为得不到管控（如上班时间抄股、下载等行为）； 企业宽带利用率不高； 对于在外办公

3、的员工，无法利用企业内部资源； 直接把服务器暴露在互联网上，没有任何的安全措施。 没有明确地划分接入层、分布层和核心层。由于没有进行统一的网络设计，后来的 网络相关设备加入局域网都采用无规划级联方式（根据接入点和现有交换机的物理 距离来决定用级联的交换机，即哪台交换机离我比较近我就连哪台），网络整体上 比较混乱。无法对网络进行集中管理，造成目前网络维护和管理没有可参照的“地 图”，查找固障点比较困难。 网络交换机都是大部分采用不可网管型，因此无法有效的处理网络广播封包，造成 网络本身“体质”差。随着公司现在主机数越来越多，由于没有进行子网划分、管 理，造成广播域非常大，如果网内有任意一台设备乱

4、发数据包或广播，容易造成网 络性能下降，重者就会造成网络堵塞。给企业实施 ERP、CRM 等系统软件带来隐患， 网络流量正将成倍增加，这样更容易造成网络的不稳定。 随着企业规模的扩大，以及网络应用的增多，对交换机之间、以及交换机到服务器 之间带宽的要求越来越高，原有百兆主干以太网标准，肯定不能满足以后企业发展 的网络需求。 2.1 行为管理防火墙对企业的重要性行为管理防火墙对企业的重要性 根据恒盛集团提供的网络拓扑我们可以看出 员工上网行为得不到有效的管控：员工上网行为得不到有效的管控： 员工利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率； 员工访问不良网站，遭受恶意代码、间谍软件及

5、钓鱼式攻击等，影响企业网络正常 运行； 员工随意使用 P2P 下载、在线视频等，严重占用网络带宽，导致正常业务无法获取 足够网络资源； 员工浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导 致国家法律问题； 员工随意通过 EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生； 外出员工无法通过互联网访问企业内部重要资源，信息得不到及时的更新； 服务器等重要信息资源的访问控制：服务器等重要信息资源的访问控制： 对于企业所提供的信息化资源不管对内和对外都需要进行访问控制，提高企业信息 安全；保护企业敏感信息不外泄。 服务器很多端口完全暴露在公网上，导致很多补丁如果没

6、有及时的修复就会给予黑 客更多进行入侵的机会； 应用成为主要攻击的目标，但是我司对应用层的防护完全是靠管理人员人为配置和 处理。这个需要管理人员具有较高的技术和丰富的安全经验； 没有进行安全域划分，内部员工可以对所有服务器进行访问等全部操作，黑客可以 以此为跳板进行攻击； 安全技术型人才缺乏，无法给予长期的安全建设建议。 以上情况给恒盛集团的网络管理带来极大的困扰，也给企业带来了巨大的安全风险。 如果进一步提高整个企业的安全防护是企业目前最需迫切解决的安全问题。 2.2 网络主干核心交换机对企业的重要性网络主干核心交换机对企业的重要性 目前，网络技术发展迅速，用户需求千差万别，厂商产品丰富多彩

7、。但就其从用户 网络的应用需求类型特点，网络技术的发展水平来说，通常目前主干网的技术策略有五 种，即：快速以太网；FDDI；ATM；千兆以太网；万兆以太网。快速以太网及 FDDI 主 干带宽限于 100M，对于企业局域网主干而言已不在考虑之列。 ATM 交换骨干(OC3 155Mbps 或 OC12 622Mbps)网络设备的价格通常比较高， 而且采用 ATM 势必需运用 ATM 以太网仿真技术，将会增加交换的延时并影响多媒体对 服务质量的保证。 千兆以太网的第 3 层交换骨干技术成熟，千兆以太网在企业网、园区网、城域网和 局域网骨干上取代了传统的 ATM。 千兆以太网交换骨干技术特点是：具有

8、高速数据传输带宽(1Gbps)，提供高速交换 能力；易于网络移植、易于维护；简单易于管理；具有良好的性能价格比。 在选型时考虑到千兆以太网已成为局域网主干技术策略的事实上的标准，为广大用 户所选择，在建设企业主干网时将技术策略定位于千兆以太网技术。 三三. 恒盛集团网络安全恒盛集团网络安全解决方案解决方案 3.1 整体网络安全解决方案整体网络安全解决方案 根据以上分析，我们需要解决网络的安全问题是： 员工的上网行为是否有办法进行管控？ 服务器没有进行端口限制长期暴露在互联网？ 外出员工是否具有访问企业内部重要资源的方式和权限？ 企业内部是否具有简单的安全域划分，并从内外网对企业的服务器进行访问

9、控 制？ 按不同的部门采用虚拟 VLAN 网络管理。基于网络性能的考虑，可以缩小广播 域，提高了网络的传输效率，从而提高网络性能；基于安全性的考虑，各虚拟 VLAN 网之间不能直接进行通讯，而必须通过三层路由转发，为高级的安全控制 提供了可能，增强了网络的安全性。 所以建议电信线路上布署一台七层防护的安全网关防火墙。以保障企业的四层的端口控 制和七层的应用防护。网络核心层采用智能全千兆三层交换机，保证网络及数据中心的交换 能力。具体拓扑如下所示： 3.2 安全网关及上网行为管理解决方案安全网关及上网行为管理解决方案 在网络出口布署一台安全网关系统和上网行为管理系统可以对服务器端口进行访问控制、

10、 对员工的上网行为进行管制、流量控制、VPN 使用，安全网关系统具有如下功能： 支持路由、透明、混合模式部署，可实现基于源/目的 IP 地址、协议/端口、时间、 用户、VLAN、VPN、安全区的访问控制。安全网关支持支持基于策略的双向 NAT、动态/静态 NAT、端口 PAT，支持静态路由、动态路由。 IPSEC VPN 可以让外出员工通过 VPN 方式登陆到本地内网，用来保障外出员工可 以有效的进行企业内部资源共享和更新； 可以对出口流量进行合理分配和对员工使用互联网流量进行限制，保障重要企业资 源的带宽使用； 支持基于 IP 地址、用户/用户组、协议、时间、关键字等多种组合策略，对即时通

11、讯、在线视频、P2P 下载、网络游戏、炒股、文件上传下载等行为进行全面监控管 理。 支持用户自定义关键字，系统可对网页内容、搜索引擎、邮件收发、论坛、即时通 讯等进行基于内容关键字的准确检测、阻断、告警、记录和信息还原，实现深度内 容安全管理，避免网络信息外泄、非法言论传播。 上网行为建议更换上网行为建议更换 CN-1400：CNS1400 适合于内网用户数 400-1200 人的组织机 构，支持 2 个百兆网络接口、4 个千兆网络接口（1 LAN、1 DMZ、4 WAN）。 3.3 核心交换机解决方案核心交换机解决方案 公司整个内部网络采用核心层，分布层与接入层混合的模式。 核心层是网络的高

12、速交换主干，负责整个网络的数据交换,对整个网络的连通起到至关重要的 作用。核心层应该保证足够的带宽，快速数据传输，同时应具有如下几个特性：可靠性、高 效性、容错性、可管理性、适应性、低延时性等。而应用服务器群是放置在网络中心，直接 连到核心交换机，考虑到服务器是网络环境中重要的硬件设备，支撑公司所有的业务系统， 要求具有足够的网络带宽，能为工作站的访问提供无瓶颈的数据通路。因此，中心机房的核 心交换机应该选择高性能骨干多层交换机。 1、在本项目中选用的是 H3C S5120 千兆交换机为中心主干交换机，提供了无阻塞第二到四 层交换与最优控制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和 城域以太网客户提供业务永续性。同时它配置的灵活性，支持融合网络模式，能够自动配置 智能化网络服务，降低融