网络改造与安全体系建设项目技术方案建设书.doc

网络改造和安全体系建设项目技术建议方案目录1 方案概述 现状描述 建设目标 总体建设原则 32 项目技术方案 网络改造规划 网络改造目标 网络改造思路 网络改造的技术特点 **网络改造方案 网络安全规划 网络安全规划概述 网络安全风险分析 **网络安全解决方案 安全产品选型建议 33方案概述现状描述网络方面:全网核心层采用一台Cisco6509作为单核心,无冗余;呼叫中心网络汇聚层为Cisco4507R,而其他三个办公点网络都采用两层结构,没有汇聚层;接入设备为Cisco3560和2960。4个办公点通过光纤连接,、仓库通过专线接入,其他物流中心则通过VPN接入。网络出口为3条百兆光纤,2条电信,一条网通,通过RadwareLinkproof1000实现负载均衡。无线接入则主要采用胖AP的方式。安全方面:部署一台三星防火墙作为网络边界,划分DMZ区放置服务器等;ISA服务器作为互联网代理和应用防火墙;部署一台绿盟IDS,实现入侵检测防护;VPN接入则是通过Cisco3825路由器所提供的IP-SecVPN方式。针对**目前网络及安全体系的现状,我们给出如下分析:**的网络建设时间不长,结构较为明晰,便于采用最先进、成熟的技术建立现代化的网络及安全体系;网络连接带宽充足,为建设高速稳定的网络环境提供了条件;数据存储及灾备系统建设较为完善,保证数据的完整性和可靠性;目前国际、国使用的网络设备、安全技术比较成熟稳定,为**建立一个稳定可靠、性能先进的网络及安全体系提供了技术和工程管理方面支持。但是目前网络核心层未提供冗余,易出现单点故障;网络安全建设相对比较薄弱,难以对公司日益发展的业务提供有效的安全保障,这些都是急待解决的问题。因此本次项目必须依据现有的有利条件,充分考虑性价比,以最小的投资获取最大的效益,不断完善**网络及安全体系,为业务系统创建良好的IT基础,提高**的IT管理水平,进而提高企业总体水平和市场竞争能力。建设目标经过交流,可明确**网络改造及安全体系建设项目的具体建设目标如下:1、网络核心层实现双机热备冗余,公司本部网络增加汇聚层,减轻核心层的压力。2、公司网络实现QoS控制,对数据包进行分类、标注、设置优先级,确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。3、无线接入改为瘦AP方式,通过无线控制器统一配置管理。4、通过在网络设备上增加防火墙模块来实现虚拟防火墙,定制基于VLAN的访问控制策略。5、实现安全域的划分设计。6、部署独立的VPN设备,用户可通过SSLVPN和IPSecVPN两种方式接入网。7、部署IPS,实现入侵防御。8、部署上网行为管理系统,规员工上网行为。9、部署网络准入控制系统,部用户不管是通过有线还是无线接入,,认证与AD域集成,实现SSO。对外部用户开放无线接入,但需进行Portal认证。在部署准入控制系统时,同时实现补丁管理和桌面电脑的安全状态管理。总体建设原则项目的建设应该遵循如下的原则:—应尽量避免对现网业务的影响;—必须保护已有的设备投资;—新增的设备应符合相应标准规要求;—新增的设备应具备进一步扩容的可扩展能力;—新增的设备应具备开放性、灵活性。项目技术方案网络改造规划网络改造目标考虑到**未来的业务发展,网络平台应能有效很好地支持各现有和规划中的业务系统、支持广域网连接、具有良好网络结构的扩性、可靠性,同时具有良好的可管理性,最大限度降低网管工作的复杂性。网络改造思路**网络平台的改造应以业务为导向,支撑经营的“规模化”和“差异化”,实现多业务的承载。在实际网络改造中,应结合网络和业务实际情况,充分考虑投资保护因素,提高投资效益。具体建设中需体现以下原则:1、网络层次清晰化。通过二三层网络分离,构建物理和逻辑层次清晰的三层路由网络和二层接入网络。2、网络质量差异化。通过部署区分服务机制,为不同用户和不同业务提供不同QoS等级的差异化服务。3、设备要求规化。新增设备必须符合公司设备技术规和选型结果的要求。应尽量减少网设备厂家数目和型号,核心层、汇聚层每个层面的设备应尽量选用同一厂家产品。网络改造的技术特点开放性与标准化设备使用的各种协议符合网络设备国际标准,基于业界开放性标准,保证本系统能与现有网络及业务系统进行正常互连互通。具有可扩展性设备采用模块化设计,每个模块具有多个千兆接口接入能力,方便扩展设备容量和提升设备性能;具备支持业务处理的灵活配置,业务功能的重组与更新的灵活性。接入设备具足够的快速以太网接入接口,具有线速交换能力。安全可靠性网络各节点提供双交换引擎,双电源保障。提供良