安全方案设计

1、1/ 12IT架构企业的 IT 架构情况，本方案主要针对 IT 基础架构部分进行规划，并提供选型和部署参考，关于企业IT 业务应用系统部分的规划和建设请参考其它方案。企业 IT 架构网络系统规划当前，企业一般能给信息化方面投入有限。除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等 都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用，尽可能少投入人力和金钱进行维护。其次，由于企业首要解决 的是生存问题，根本没办法做到“先信息化，再做业务”，因此网络建设实施要求必须容易，实施时间必须极短。企业的组网方案主要要素包括：局域网、广域网连接、网络管理和安全性。具体来说企业组

2、网需求：1. 建立安全的网络架构，总部与分支机构的网络连接；2. 安全网络部署，确保企业正常运行；3. 为岀差的人员提供 IPSec 或者 SSL 的 VPN 方式；4. 提供智能管理特性，支持浏览器图形管理；5. 网络设计便于升级，有利于投资保护。企业一般的组网结构如下图，大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构，小企业则单线路的连接方式。应用系统（ERP系统/企业门户/商业智能）ITM础架构2/ 12通过对一般企业的信息化情况和网络规划要素进行分析，从总体上看，规划方案必须具有以下特点:1. 网络管理简单，采用基于易用的浏览器方式，以直观的图形化界面管理网络。2. 用户可以采用

3、多种的广域网连接方式，从而降低广域网链路费用。3. 无线接入点覆盖范围广、配置灵活，方便移动办公。4. 便捷、简单的统一通信系统，轻松实现交互式工作环境。5. 带宽压缩技术，高级 QoS 的应用，有效降低广域网链路流量。6. 随着公司业务的发展，所有网络设备均可在升级原有网络后继续使用，有效实现投资保护。7. 系统安全，保密性高，应用了适合企业的低成本网络安全解决方案。企业总部分支机构份广城主厂域网孩心屢汇康层W*N VVAN V|N VUU43/ 12安全基础网络规划方案根据对某集团的实际调研，获取了企业的网络需求，以此来制定企业基础网络建设规划方案和网络设备选型参考；以下提供 基础版和企业

4、版两种规划方案1）网络需求:企业规划的网络节点为 500 个，主要的网络需求首先是资源共享，网络内的各个桌面用户可共享文件服务器/数据库、共享打印机，实现办公自动化系统中的各项功能；其次是通信服务，最终用户通过广域网连接可以收发电子邮件、实现Web 应用、接入互联网、进行安全的广域网访问；还有就是公司门户网站和网络通信系统（企业邮箱、企业即时通信和企业短信平台等）的建立。2）基础版规划方案本方案适用于 200300 台电脑联网，核心采用H3C S5500-28C-SI 或 S5500-20TP-SI 交换机，以千兆双绞线/光纤与接入交换机及服务器连接；用户接入 H3CS3100-26TP-SI

5、 或 S3100-52TP-SI 交换机，千兆铜缆/光纤上连核心交换机。In ternet 岀口采用 H3C MSR20-1X 多业务路由器作为 In ternet 岀口路由、Secpath F1000-C 或者 UTM 作为安全网关和移动用户的 VPN 接入网关。网络拓扑 图如下：设备选型和部署参考如下:4/ 12配蟹说期H3C 555m-20C-S1或H北S5 500-20TP-SI全干禿三星催亡1蜒心隔H3C S3100-26TP-SI53100-5277-51召豆王砰二三見二二2上核26TP=52TF; 3H3C籃變吏DKppG 256M询存.交持GE/FE*祭 歩禺产步至匚噥決El/

6、PRI.:至舌哽二復心忙瘠箕全迩焙H3C SccPath F1000或 匸SecPatti U2OG1VPN支持OVPN3DR腿X吶光纤环宅垃ID卜匕亍薰儿催心杆青方案特点：1. 高性价比：能够让中小企业低投资拥有高性能、经济的网络；2. 简易性：结构简单、安装快速、简单，维护无需配置专职人员；3. 高性能：最低投资做到千兆骨干、百兆接入；4. 可扩展性：灵活的网络架构，能根据用户需要随时扩展，并保护已有投资。3）高级版规划方案：本方案适用于 500800 台电脑联网，三层网络结构，万兆骨干，百兆接入；网络核心层采用H3C S7500 交换机，同时配置相应数量的千兆端口分别连接应用服务器、接入

7、交换机及其他设备；网络汇聚层采用H3C S5500-28C-SI，独有智能堆叠系统可实现高密度千兆端口接入，拥有 96 Gbps 的全双工堆叠带宽，消除网络瓶颈，提供优于传统中继聚合配置的更好的可用性和弹性；接入 层可选择H3CS3100-26TP-SI 或 S3100-52TP-SI 交换机，千兆铜缆/光纤上连核心交换机，或 H3C S5100-16/24/48P-SI 全千兆交换 机，千兆到桌面。网络拓扑图如下：5/ 12*ftft设备选型和部署参考如下:I:HHSgIVIfli1InternetVIIIIIIIt/*II *I1 :i6/ 12配宜说明H3C 57500(E?.樣心支荐丈

8、弓輙电紙 性护王昂窃1汇斫交換H3C S5Q0-2&CSI汇星支抒金干夬冨世夷 发.消除鬧垢趣*間时3ftH3C S3100-2&/52TP-SI或卄孑匚S5LQ&16/24/4SP-SI姜人誠幷不同业赛苇亲5ZTP： 10舍各議笔壺机岳H3C MSR50-Q6HEtS匚 L 叫下全痔宝話12匚SecPath FioaaA中rrtr-i”桂kJ8由H10/ 12网络性能指标要求局域网春户直煙服势闔lOMbW上，推eiOOMb各服箸器之间：200M以上，推荐1000Mt丢包率小于0.1 %延迟小于广撼两分支机构带总 每容户端128Kb总部出口带毎侵大并彪”3x 128Kb

9、总却服魂之间：200M上，推荐1000Mb舌包率小于2%延迟小于50ms网络安全规划网络安全是整个系统安全运行的基础，是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面：1. 网络边界安全需求2. 入侵监测与实时监控需求3. 安全事件的响应和处理需求分析这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。我们针对企业网络层的安全策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向内多级防护的总体策略。根据安全需求和应用系统的目的，整个网络可划分为六个不同的安全层次。具体是：1. 核心层：核心数据库；2. 安全层：应用信息系统中间件服务器等应用；3. 基本安全层：

10、内部局域网用户；4. 可信任层：公司本部与营业部网络访问接口；5. 危险层：In ter net 。信息系统各安全域中的安全需求和安全级别不同，网络层的安全主要是在各安全区域间建立有效的安全控制措施，使网间的 访问具有可控性。具体的安全策略如下：11/ 12核心数据库采用物理隔离策略应用系统采用分层架构方式，客户端只需要访问中间件服务器即可进行日常业务处理，从物理上不能直接访问数据库服务器，保障了核心层数据的高度安全。应用系统中间件服务器采取综合安全策略：应用系统中间件的安全隐患主要来自局域网内部，为了保障应用系统中间件服务的安全，在局域网中可通过划分虚拟子网对 各安全区域、 用户和安全域间实

11、施安全隔离，提供子网间的访问控制能力。同时，中间件服务器本身可以通过配置相应的安全策略，限定经过授权的工作站、用户方能访问系统服务，保障了中间件服务器的安全性；内部局域网采取信息安全策略：公司本部及营业部内部局域网处于基本安全层的网络，主要是对于安全防护能力较弱的终端用户在使用，因此考虑的重点在 于两个方面，一个是客户端的病毒防护，另一个是防止内部敏感信息的对外泄露。因此，通过选用网络杀毒软件达到内部局域网的 病毒防护，同时，使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护，通过访问控制ACL 等安全策略的配置，有效地控制内部终端用户和外部网络的信息交换，实现内部局域网的信息安全。公司

12、本部与下属机构之间网络接口采取通讯安全策略：处于可信任层的网络，其安全主要考虑各下属单位上传的业务数据的保密安全，因此，可采用数据层加密方式，通过硬件防 火墙提供的 VPN 隧道进行加密，实现关键敏感性信息在广域网通信信道上的安全传输。Internet 采取通讯加密策略：Internet 属于非安全层和危险层， 由于 Internet 存在着大量的恶意攻击， 因此考虑的重点是要避免涉密信息在该层次中的流 动。通过硬件防火墙提供专业的网络防护能力，并对所有访问请求进行严格控制，对所有的数据通讯进行加密后传输。同时，建议设置严格的机房管理制度，严禁非授权的人员进入机房，也能够进一步提升整个网络系统

13、的安全。1) 广域网安全规划企业广域网安全，主要是通过防火墙和VPN 等设备或技术来保障。防火墙对流经它的网络通信进行扫描，能够过滤掉一些攻击，防火墙还可以关闭不使用的端口，防火墙具有很好的保护作用，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机，所以出于安全考虑，企业必须购置防火墙以保证其服务器安全，将 应用系统服务器放置在防火墙内部专门区域。一般硬件防火墙比软件防火墙的性能更好，建议选择企业级的硬件防火墙，硬件防火 墙市场知名度高的品牌有 CISCO Check Point、Juniper、H3C 天融信、华为赛门铁克、联想网御等，用户应根据应用情况选择 合适的防火墙。VPN 即虚

14、拟专用网 (Virtual Private Networks) 提供了一种通过公共非安全介质 ( 如 Internet) 建立安全专用连接的技术。使 用 VPN 技术，甚至机密信息都可以通过公共非安全的介质进行安全传送。VPN 技术的发展与成熟，可为企业的商业运作提供一个无处不在的、可靠的、安全的数据传输网络。VPN 通过安全隧道建立一个安全的连接通道，将分支机构、远程用户、合作伙伴等和企业网络互联，形成一个扩展的企业网络。VPN 基本特征：1.使企业享受到在专用网中可获得的相同安全性、可靠性和可管理性。12/ 122.网络架构弹性大无缝地将 Intranet 延伸到远端办事处、移动用户和远程工作者。3.可以通过 Extra net 连接企业合作伙伴、供应商和主要客户（建立绿色信息通道），以提高客户满意度、降低经营成本VPN 实现方式：1. 硬件设备：带 VPN 功能模块的路由器、防火墙、专用 VPN 硬件设备等，如 Cisco、H3C深信服、天融信等。2. 软件实现：Windows 自带 PPTP 或 L2TP、第三方软件（如深信服等）。3. 服务提供商（ISP）:中国电信、联通、网通等。目前一