孚日集团改造方案书

1、编号 密级孚日集团股份有限公司网络改造方案编 写 青岛友讯通用数码有限公司审 核 目 录一、公司介绍3二、公司现状31信息安全42网络状态和上网行为管理43服务器升级4三、改造与建议31信息化安全改造411 方案设计1912 产品介绍192上网行为管理和流量负载均衡421 方案设计1922 产品介绍193服务器升级431 方案设计1932 产品介绍19一、公司介绍孚日集团股份有限公司是以家用纺织品为主兼营农药化工、热电、光伏等多元化产业的大型企业集团，是中国规模最大、出口金额最多的专业从事中高档巾被系列产品、床上用品、装饰布系列产品生产和销售的现代化家用纺织品生产厂商。公司股票于2006年11

2、月在深交所上市。 公司现拥有全球一流水平的染色、织造、印花及整理包装等各类生产设备，已形成棉纺加工、家用纺织产品制造、国内外销售一体化的完备产业链，产品通过质量、环境、安全健康等系列国际认证，主要销往日本、美国、欧洲等十几个国家和地区，自1999年以来，公司出口数量和出口金额一直名列全国同行业第一位。公司曾先后荣获 “全国出口商品质量稳定企业”、“全国守合同重信用企业”、“山东省质量管理奖”、“山东省先进民营企业”、“山东省高新技术企业”等荣誉。是北京年奥运会家纺类产品的特许生产和零售商。“孚日”商标为中国驰名商标；“孚日”牌毛巾系列、装饰布艺系列产品荣获“中国名牌”，并双双获得“国家质量免检

3、”称号；“孚日”牌毛巾系列产品被商务部评为“重点培育和发展的中国出口名牌”。二、公司现状1、 信息安全对电脑用户权限未作控制，所有用户都使用本机管理员登陆电脑，很多重要文件都是开放式共享，无法制定统一的集团管理策略，无法有效管控一些信息敏感部门的机密资料，员工可以轻易将机密资料以邮件或者物理拷贝的形式将资料带出，用于非法用途，使公司蒙受巨大损失。2、 网络状态和上网行为管理公司内部网络全部百兆共享到桌面，公司间千兆光纤直连，网络比较畅通，但是出口为网通百兆共享，百兆无法满足公司近千台电脑的带宽需求，造成网络缓慢、时断时续的现象；同时存在着一些员工上班期间看电影、玩游戏、炒股及浏览与工作无关的网

4、站，造成不良影响；当前公司内部的网络接入无任何限制，任何外来人员都可接入公司网络，访问公司程序，对公司的数据安全造成隐患。3、 服务器升级目前公司拥有财务物流、人事、销售、海关报关等10余套应用系统，其对应的服务器都是采购04年左右，由于使用站点数和功能的增加，已不能满足运行要求，如物流系统出现了做一张单据需要等待10分钟左右的情况，造成工作效率低下。4、 当前公司网络使用制度还不完善，出现一些使用和管理上的混乱；部分公司或部门独立实施应用系统或增加网络设备，造成系统繁多，不统一。三、建议与改造1. 信息安全改造1.1 方案设计1.2 产品介绍2. 上网行为管理和流量负载均衡2.1 方案设计第

5、一， 合理利用VLAN技术;管理好网络设备集团总部与工业园区之间采用千兆光纤互连，保障了集团内部网络畅通，他们之间通过TRUNK的方式或者直接采用三层路由的方式，就能够确保数据的安全有效传输。在局域网中按部门划分VLAN，就是不同的部门具有不同的访问权限，减少不必要的流量充斥在网络中，规避某些部门VLAN，限定他们只能访问指定的部门VLAN数据，或者禁止其连接互连网，这样做就能够有效地提高网络使用效率，减少数据被窃取的机会，不仅如此，这样能够减少减轻病毒及ARP攻击的范围和程度。在对网络进行规划的过程中，我们一定要考虑到一点，那就是网络设备的可管理和易管理性，由于孚日集团拥200台左右的网络交

6、换设备，如此之多的网络设置势必在管理起来显得力不从心，基于此，我们在后期选择设备时应该尽量选择可管理交换机，比如支持SNMP 管理方式，结合孚日集团实际情况，实现核心与汇聚设备高可管理性，接入设备由不可管理逐步向可管理逐步更新过度。第二， 加强网络行为管理；保障出口带宽合理使用孚日集团网络采用的是单一出口结构，即同一台设备连接到一个ISP供应商，所租用线路带宽是100M光纤线路，使用中不可避免遇到带宽不够，网络数据传输延迟大等状况。一方面（因此）我们要对内部网络数据进行有效的行为管理，限制某些工作之外的流量通过网络，比如：在工作时间进行BT下载，观看电影，玩网络游戏等等，这些行为都能占用大量的

7、网络带宽，造成网络堵塞，同时下载的电影或软件又可能被病毒所感染，进而更加剧了网络性能的恶化，造成上网浏览网页速度慢，局域网数据传输慢等状况。采用H3C行为管理软件，能够有效的监控好网络，管理好网络，将网络控制在合理的使用范围内，通过强制性措施就能够限制用户使用大部分软件，对当前大多数的软件都具有良好可管理性。另一方面，为了提高网络整体带宽，在原来网络的基础上要再增加一条100M光纤线路，使孚日集团有两条对外连接的线路，这样的好处是非常明显的，增加100M光纤线路不仅能提高内部上网的访问速度，通过结合9500上的负载均衡模块，实现双线路负载均衡的功效，比如：网通线路与电信线路并存，通过负载均衡模

8、块，我们就能够实现从网通进入的数据返回时还是选择网通线路，而不是走电信。2.2 产品介绍对于要接入安全网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单、U盘外设使用情况、软硬件资产信息等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：组网模型如下图所示，EAD组网模型图中包括智能客户端、联动设备

9、、EAD安全策略服务器和第三方服务器。智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。EAD安全策略服务器：它要求和联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向联动设备发送网络访问的授权指令。第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服

10、务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。终端准入控制(行为管理)解决方案（EAD）目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，End user Admission Domina

11、tion）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。EAD特点：全方位准入控制EAD解决方案提供完善的接入控制，可以支持局域网、广域网、VPN、无线各种接入方式，支持包括HUB在内的各种复杂网络、思科等异构网络环境下的部署，保证从任何地点、任何方式下的接入安全。严格的身份认证除基于用户名和密码的身份认证外，EAD还支持支持智能卡、数字证书

12、认证，增强身份认证的安全性。同时，EAD支持多元素绑定，如帐号、MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID、QinQ等。 完备的安全状态评估根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、代理及拨号配置、多网卡检查、注册表管理、操作系统密码管理等； EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动，同时为了更好的满足客户的需求，也支持与微软SMS、LANDesk、BigFix等业界高端的桌面安全产品的配合使用。

13、例如已经购买微软的桌面管理工具SMS的用户，EAD可以与SMS配合，由EAD实现终端用户的准入控制，由SMS实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。基于用户的准入控制在用户终端通过病毒、补丁等安全信息检查后，EAD可基于用户的角色，向联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略等安全措施均可由管理员统一配置实施，即使是在HUB环境，也可区分不同的用户并执行不同的控制。灵活方便的执行模式EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控

14、模式、提醒模式、隔离模式和下线模式。用户可以根据自己的实际需要，为VIP客户、内部员工、外来访客等不同人群，定义不同的安全策略执行方式。全面的ARP攻击防御EAD解决方案通过ARP网关地址自动下发、自动绑定的功能，使终端用户免受ARP欺骗攻击的影响，同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施，杜绝恶意用户的ARP攻击行为。桌面资产管理EAD解决方案实现了对终端资产全方位的监控和管理，可以对终端软硬件使用情况、变更情况进行监控，同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理，帮助客户更有效地管理企业的桌面资产。U盘审计及外设管理EAD解决方案可以对U盘和外

15、设的访问过程进行监控，可以查看重要文件通过U盘拷贝时，有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能，可以对终端用户的各种外设进行控制，有效防止重要信息的泄密，而且在离线状态下依然生效。易于部署的无客户端EAD解决方案提供了免安装的易用部署方式，用户事先不需要安装客户端，上网时EAD系统会自动载入客户端，对用户身份和终端安全状态进行检查，用户不需要改变上网习惯的同时，可以享受EAD带来的安全保障。多种层次的高可用性EAD解决方案提供了双机冷备和双机热备功能，可以避免单台EAD服务器当机引起的认证中断，同时还支持单机故障的逃生方案，临时允许客户端不用认证就可以使用网络，保证了经济

16、敏感用户的利益。扩展开放的解决方案EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；EAD与第三方认证服务器、联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。9500负载均衡卡： 负载均衡业务模块外观产品特点：业务模块强大的硬件平台SecBlade LB/SSL VPN/FW/IPS/ACG等业务模块均采用先进的多核硬件架构，并利用快转技术，做到一次运算多次转发，实现了高性能的负载均衡、安全功能。在高速处理应用请求的同时，交换机的原有业务处理不会受到任何影响。高

17、效的健康检测算法SecBlade LB业务模块支持丰富的健康检测算法，可从网络层、应用层全方位的探测、检查服务器和防火墙的运行状态。在进行健康检测时，采用H3C公司专利NQA（Network Quality Analyzer，网络质量分析）技术，确保健康检测占用最小的系统资源开销，从而保证负载均衡业务的性能。健康检查算法适用于4-7层负载均衡、链路负载均衡、全局负载均衡。丰富的负载均衡调度算法SecBlade LB业务模块支持丰富的负载均衡调度算法，可根据具体的应用场景，采用不同的算法。支持的算法包括：轮询、加权轮询、最少连接、加权最少连接、随机、加权随机、源地址HASH等算法。以上负载均衡算

18、法适用于4-7层负载均衡、链路负载均衡和全局负载均衡。7层负载均衡还支持特有的HTTP内容、RTSP URL算法。4-7层负载均衡支持丰富的4-7层负载均衡特性。4层负载均衡：基于TCP，UDP的各种业务应用，如HTTP、FTP、POP3、SMTP等业务进行负载均衡。7层负载均衡支持基于HTTP Request-URI、HTTP Host、HTTP User-Agent、HTTP Accept-Language、HTTP Accept-Encoding、HTTP Cookie的分析。支持多种持续性保持算法：包括HTTP URL、HTTP Coockie、SSLID，并且支持TCP长连接，确保用

19、户在处理业务时的连续性，提高访问效率。全局负载均衡支持高效的全局负载均衡特性。通过各个负载均衡交换机之间的动态协商以及对各个站点服务器健康状态的检测，智能的为每个用户选择最优的访问站点，大大提高数据传输的效率。链路负载均衡支持多出口情况下，实现多链路的路由智能选择。保证企业网内部用户，选择最优线路访问Internet。通过对链路状态实时精确的检测，来选择最适合的调度算法，包括轮询、加权轮询、最小连接、加权最小连接、随机、加权随机、源地址HASH、目的地址HASH、源地址端口HASH等，确保数据流量在各条链路上的均衡分配。支持3DNS功能，在多运营商接入的情况下，为Internet用户智能选路，

20、通过最优线路访问企业内部服务器。通过KeepLastHop技术实现源地址保持，确保用户在处理业务时的连续性，提高访问的效率。支持丰富的SSL算法支持RSA数字签名算法，支持MD5、SHA1摘要算法以及RC4、DES、3DES、AES等加密算法，实现了对端到端传输数据的安全加密。通过SSL加速功能，大大降低了服务器的处理负荷，提高整体数据访问速度。全面的安全防护支持对DoS/DDoS攻击、ARP欺骗攻击、TCP报文标志位不合法攻击、超大ICMP报文攻击、地址/端口扫描、ICMP重定向或不可达攻击、Tracert攻击、带路由记录选项IP报文、Java/ActiveX Blocking和SQL注入攻击等威胁的防范；可以有效的识别和控制网络中的各种P2P应用；支持静态和动态黑名单、MAC绑定、安全区域控制、系统统计等安全功能。强大的入侵防御能力