安全方案设计概览.doc

IT 架构企业的 IT 架构情况,本方案主要针对 IT 基础架构部分进行规划,并提供选型和部署参考,关于企业 IT 业务应用系统部分的规划和建设请参考其它方案。网络系统规划当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等都普遍较弱, 这就要求网络架构成熟、稳定安全、高可靠、高可用, 尽可能少投入人力和金钱进行维护。其次, 由于企业首要解决的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施时间必须极短。企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求: 1. 建立安全的网络架构,总部与分支机构的网络连接; 2. 安全网络部署,确保企业正常运行; 3. 为出差的人员提供 IPSec 或者 SSL 的 VPN 方式; 4. 提供智能管理特性,支持浏览器图形管理; 5. 网络设计便于升级,有利于投资保护。企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点: 1. 网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。 2. 用户可以采用多种的广域网连接方式,从而降低广域网链路费用。 3. 无线接入点覆盖范围广、配置灵活,方便移动办公。 4. 便捷、简单的统一通信系统,轻松实现交互式工作环境。 5. 带宽压缩技术,高级 QoS 的应用,有效降低广域网链路流量。 6. 随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。 7. 系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。安全基础网络规划方案根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供基础版和企业版两种规划方案 1) 网络需求: 企业规划的网络节点为 500 个, 主要的网络需求首先是资源共享, 网络内的各个桌面用户可共享文件服务器/ 数据库、共享打印机, 实现办公自动化系统中的各项功能; 其次是通信服务, 最终用户通过广域网连接可以收发电子邮件、实现 Web 应用、接入互联网、进行安全的广域网访问;还有就是公司门户网站和网络通信系统(企业邮箱、企业即时通信和企业短信平台等)的建立。 2) 基础版规划方案本方案适用于 200~300 台电脑联网,核心采用 H3C S5500-28C-SI 或 S5500-20TP-SI 交换机,以千兆双绞线/ 光纤与接入交换机及服务器连接; 用户接入 H3C S3100-26TP-SI 或 S3100-52TP-SI 交换机, 千兆铜缆/ 光纤上连核心交换机。 出口采用 H3C MSR20-1X 多业务路由器作为 出口路由、 Secpath F1000-C 或者 UTM 作为安全网关和移动用户的 VPN 接入网关。网络拓扑图如下: 设备选型和部署参考如下: 方案特点: 1. 高性价比:能够让中小企业低投资拥有高性能、经济的网络; 2. 简易性:结构简单、安装快速、简单,维护无需配置专职人员; 3. 高性能:最低投资做到千兆骨干、百兆接入; 4. 可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。 3) 高级版规划方案: 本方案适用于 500~800 台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用 H3C S7500 交换机,同时配置相应数量的千兆端口分别连接应用服务器、接入交换机及其他设备;网络汇聚层采用 H3C S5500-28C-SI ,独有智能堆叠系统可实现高密度千兆端口接入, 拥有 96 Gbps 的全双工堆叠带宽, 消除网络瓶颈, 提供优于传统中继聚合配置的更好的可用性和弹性; 接入层可选择 H3CS3100-26TP-SI 或 S3100-52TP-SI 交换机,千兆铜缆/ 光纤上连核心交换机,或 H3C S5100-16/24/48P-SI 全千兆交换机,千兆到桌面。网络拓扑图如下: 设备选型和部署参考如下: 方案特点: 1. 高性能,全分布式交换网络; 2. 高可靠,无间断的通信环境; 3. 灵活弹性的网络扩展能力; 4. 高效率的网络带宽利用率; 5. 全面的 QOS 部署,多业务融合; 6. 完善的网络安全策略,实现深度安全检测,抵御未知风险。安全无线网络规划方案无线网络的部署, 能够增大员工接入网络的范围, 提供更大的上网便利性-- 无论是在办公室、会议室还是在空间复杂的车间, 员工都能与网络保持连接, 随时随地访问企业资源, 而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效率和协作能力,也能