《xx 公司总部与分支专线组网建议书》由会员分享,可在线阅读,更多相关《xx 公司总部与分支专线组网建议书(11页珍藏版)》请在金锄头文库上搜索。
1、XX 公司总部分支专线组网方案建议书 XX 公司总部分支专线组网方案建议书杭州迪普科技有限公司2012-04目录1.项目需求分析31.1项目背景31.2项目组网分析31.2.1安全专线组网分析31.2.2 网络安全组网分析41.2.3 网络统一管理分析52.设计原则53.组网方案63.1专线组网方案63.2详细部署74.迪普方案优势74.1迪普防火墙优势74.2UMC统一管理中心优势96.杭州迪普科技简介97.杭州迪普科技售后服务体系10服务概述10技术支持服务10备件库服务10软件支持服务11特征库升级服务11售后服务联系方式111. 项目需求分析1.1 项目背景Xx公司随着业务的发展需要,
2、在全国具有60多家分支机构。公司规模的不断壮大,业务量的增多,网络成为总部与分支机构之间的业务系统的连接是企业了解市场发展动态的桥梁。业务交流与协助,财务系统的实时对接,视频会议与监控系统的建立保证总部和分支之间的无缝连接而高效管理。网络成为总部分支机构之间业务的纽带,网络安全则成为总部和分支之间重要前提条件。数据安全传输和业务的安全访问需要高效安全的解决方案。XX公司基础建设,即完成了网络连通性,视频会议系统与监控系统的落实。但完全没有防护措施数据其实是相当于“裸跑”的状态,网络的安全问题其实是相当不让人乐观的,网络存在各种各样的隐患和威胁,内部重要服务资源存在泄密、丢失的可能,造成非常恶劣
3、的影响。怎么处理和解决以上问题带给我们的困扰?这需要在现有网络基础上进行安全改造,实现网络安全加固,达到保障网络安全的目的。各分公司出口处部署应用级防火墙,实现网络威胁抵御,形成动态、立体的全面安全防护,总部与分支之间业务安全。迪普科技以应用即网络的理念,以高性能、高可靠、易管理、业务安全访问等功能建设需求。全面的组网能力,丰富的防攻击、高性能的VPN加密能力和便利的业务扩展能力等特点在此次项目得到全面的体现。为XX公司提供高效安全的网络解决方案。1.2 项目组网分析1.2.1安全专线组网分析专线组网方式是一种成熟的网络连接解决方案,租用运营商高速链路。目前运营商提供安全专线业务的网络,提供市
4、区“全光网”接入覆盖,满足100M1000M高速接入需求。现有“全光网”以光纤的方式方便与快捷组网,分支方便选择专线链路实现方便组网,实现XX公司电话、传真、数据的交换,信息的交流,保证公司生产发展。1.2.2 网络安全组网分析全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也层出不穷,这可谓网络如江湖,到处暗藏杀机,稍不小心就会中招。企业内部的病毒传播更加难以控制。企业必须把病毒限制在最小的范围以内,最大程度的降低企业的损失。网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用 IP欺骗、重放或重演、拒绝服务攻击(SYN FLOOD,PING FLOOD等)、分布式拒绝服务
5、攻击、篡改、堆栈溢出等手段进行攻击。安全专线组网解决方案是在传统专线租用使用上提供网络安全防护的网络解决。网络安全组网,网络安全已成为影响企业发展的重要问题,公司企业因安全网络安全问题造成的损伤已成为企业致命的忧患。防火墙是实现网络逻辑隔离的首选技术,防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据用户的安全政策来控制(允许、拒绝、监测)出入网络的信息流。同时可实现网络地址转换(NAT)、审记与实时告警等功能。由于防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔离作用。防火墙可以通过包过滤,进行基于地址的粗粒度访问控制,同时,还可以
6、通过口令认证对用户身份进行鉴别,既而实现基于用户的细粒度访问控制。防火墙在网络入口点检查网络通信,屏蔽非法侵入,通过NAT功能,使用一个公网IP即可实现全员上网;有效地控制进出不同网络区域的访问;控制进出不同网络区域的信息流向和信息包;提供使用和流量的日志和审计;隐藏内部IP地址及网络结构的细节。防火墙必须能够实现网络边界的隔离,具有基于状态检测的包过滤功能,能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制,能够实现网络层的内容过滤,支持网络地址转换等功能。日志和审计功能要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,
7、能够实现日志的分级管理、自动报表、自动报警功能,同时希望支持第三方的日志软件,实现功能的定制。1.2.3 网络统一管理分析网络规模不断升级和扩大,安全设备在网络中得到大量部署,管理人员在管理安全设备和安全策略时,总是会遇到设备无法统一管理、策略无法集中配置、日志和流 量无法全面及时的分析、权限分散无法集中和分级进行管理等难题,往往只能通过对每个单独设备的管理,通过单纯的设备日志查看来进行逐个分析;常规的网管软件可以对实现设备网络级的管理,但是无法对安全事件进行分析,管理员无法及时准确的了解网络中的安全状况,更加无法实现对网络的统一安全管理。2. 设计原则本着高可靠性、实用性、安全性、先进性、可
8、扩展性、可管理性、经济性等原则进行设计。高可靠性为保证视频会议系统与监控系统分支与总部之间安全业务保障,XX公司网络安全系统必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。实用性(包括简易性)采用成熟、有效、可靠、简单的技术,使用尽少的设备,最少的线路,实现网络质量的最优化,提高设备、线路利用率,避免不必要的浪费,减轻管理负担,确保系统的稳定运行。安全性考虑到各分支机构视频会议系统与监控系统的安全隔离,确保各网络系统的安全可靠,xx公司分支机构设计要有分权限、分等级进行安全
9、防护。先进性采用先进的技术满足内部应用系统的需求,兼顾其他相关的管理需求,使整个系统在今后很长一段时间适应网络和通信技术的高速发展,以满足更高的数据、视频(多媒体)传输等未来信息化的发展需要。可扩展性(包括开放性和互联性)计算机网络系统是一个不断发展的系统,采用标准和开放网络体系,使其具有良好的灵活性、可扩展性和良好的适应性,具备支持多种应用系统的能力,具备与多种协议计算机通信网络互连互通的特性,能够根据不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量、提升网络性能、增强网络功能,确保本计算机网络系统的基础设施的作用可以充分的发挥,为未来网络建设打下坚实的基础,保障网络系统的可持续发展
10、。可管理性由于XX公司安全系统具有一定复杂性,随着业务的不断发展,网络安全管理的任务必定会日益繁重。所以在网络安全设计中,必须建立一套全面的管理解决方案。网络安全设备必须采用智能化,可管理的设备,通过先进的管理制度,实现监控、监测整个网络安全的运行情况,合理分配资源、迅速确定故障等功能。经济性在优先考虑可靠性、实用性、安全性、先进性、可扩展性、可管理性原则的前提下,采用性价比高的技术和软硬件资源。遵循统筹规划、合理配置的原则,充分发挥规模效应的巨大优势,有效降低信息系统设施的投入,节约运营维护成本,提高网络、设备、软件、信息资源、人力资源、空间场所等的使用效率。3. 组网方案3.1 专线组网方
11、案如果所示为专线组网方案:3.2 详细部署专线网络部署:租用运营商高速链路。目前运营商提供安全专线业务的网络,提供市区“全光网”接入覆盖,满足100M1000M高速接入需求。网络边界安全:边界处部署Dptech FW1000防火墙,提供安全高效网络安全解决方案。1. 实现网络逻辑隔离。防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,能根据用户的安全政策来控制(允许、拒绝、监测)出入网络的信息流。有效地控制进出不同网络区域的访问。2. 实现网络地址转换(NAT)。提供NAT功能实现分支与总部之间网络通信。提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映
12、射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功能3. 深度状态监测机制。具备针对协议的内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。网络统一管理; 部署UMC统一管理中心。总部与分支网络规模不断升级和扩大,安全设备在网络中得到大量部署,管理人员在管理安全设备和安全策略时,需要对设备无法统一管理、策略无法集中配置、日志和流 量无法全面及时的
13、分析、权限分散无法集中和分级进行管理, UMC统一管理中心提供日志和审计,要求防火墙能够对重要关键资源的使用情况应进行有效的监控,防火墙系统应有较强的日志处理能力和日志分析能力,能够实现日志的分级管理、自动报表、自动报警功能。4. 迪普方案优势4.1 迪普防火墙优势 高性能防火墙:FW1000 N系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlat OS安全操作系统,是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性,使得FW1000 N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景;另外,功能丰富并可按需扩展的应用防火墙
14、方案,也简化了网络的安全架构,并大大降低了企业网络总体拥有成本!虚拟防火墙功能,支持至少64个虚拟防火墙,可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。Dptech FW1000对网络层、应用层安全进行融合,并采用独有的“并行流过滤引擎”技术,全部安全策略可以一次匹配完成,即使在应用层功能不断扩展、特征库不断 增加的情况下,也不会造成性能的下降和网络时延的增加。以万兆应用防火墙FW1000-GE-N为例,在开启防火墙、IPSec/SSL VPN、NAT、URL过滤、攻击防护、行
15、为审计功能的情况下,扩展应用控制协议库、URL过滤库等,处理能力依然可达万兆线速。 多VPN 协议支持:Dptech FW1000防火墙支持IPSEC VPN SSL VPN GRE VPN L2TP VPN ,支持二层/三层VPN。Dptech FW1000防火墙支持多种VPN组合,支持GRE-over-IPSECVPN 、L2TP-over-IPSEC VPN功能,能够高效安全数据传输防护。结合内置VPN加密/解密芯片,免费提供高强度加密服务。 组播功能:未来校园会有更多的关于视频、音频的应用基于网络,需要对组播协议有良好支持,满足未来校园网的发展。 3G/WIFI扩展功能:在节点较重要的节点可通过3G/WIFI扩展功能,实现本机的链路级备份,也是必不可少的功能之一。 特征库功能:网络中新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求,需要采用应用级防火墙通过扩展特征库,解决网络和应用相分离的情况。 MSTP功能:支持多实例生成树,全面支持网络协议,更好的融入网络拓扑中,避免对网络拓扑有较大的改动。 支持IPV6: 支持传统路由协议支持:支持动态路由协议,OSPF,RIP,IS-IS,BGP基础上全面支持IPV6协议,支持IPV6组网路由OSPFv3,RIPv3,组播I
