《网络改造解决方案V1.0剖析》由会员分享,可在线阅读,更多相关《网络改造解决方案V1.0剖析(32页珍藏版)》请在金锄头文库上搜索。
1、网络改造解决方案陕西西华科创软件技术有限公司2016年12月目录 设备报价清单一、 需求概述31.1. 需求背景31.2. 问题分析31.2.1. 安全问题31.2.2. 资源问题31.2.3. 内容问题31.2.4. 法律风险41.3. 方案设计原则41.3.1. 基本原则:41.3.2. 网络设备及终端通信可靠:41.3.3. 安全保障:41.3.4. 管理制度监督及落实:4二、 设计方案52.1. 建设目标52.2. 设计目标52.3. 网络部署拓扑52.4. 解决方案设计要点62.5. 华为ASG主要优势介绍82.6 华为6300系列防火墙介绍112.7 华为VPN SVN 5630介
2、绍21设备报价清单设备报价单名称品牌单价/元数量/个总价/元上网行为管理ASG2200华为25550125550华为防火墙USG6350华为15800115800华为 VPN SVN5630华为26000(三年保)126000 合计67350一、 需求概述1.1. 需求背景随着信息化建设的发展,建立了设施完善、带宽充裕、应用丰富的互联网网络。互联网渗透到工作、生活的方方面面,当下无论企业运作,或是个人生活都已离不开网络上的各种应用作为沟通、交流的媒介,如企业中广泛使用的视频会议、ERP、CRM、Email,个人使用的即时通讯、博客、SNS社区、P2P分享等等应用。据最近中国互联网状况白皮书公布
3、的抽样调查统计数据,2009年,中国约有2.3亿人经常使用搜索引擎查询各类信息,约2.4亿人经常利用即时通信工具进行沟通交流,约4,600万人利用互联网学习和接受教育,约3,500万人利用互联网进行证券交易,约1,500万人通过互联网求职,约1,400万人通过互联网安排旅行。1.2. 问题分析1.2.1. 安全问题据国际权威调研机构IDC统计,网络安全事件中40以上是由互联网活动引起的。四通八达的网络,方便的不仅仅是正常信息的获取和交流。恶意代码,比如病毒、蠕虫、间谍软件等等,也在搭乘着便车。籍由网页、Email、聊天工具、下载工具等方式,侵入到网络的各个角落。而现有的安全手段捉襟见肘,不能很
4、好的掌控应用层,乃至内容层面的控制管理,也无法做基于用户的,灵活的策略定制。1.2.2. 资源问题据中国社会科学研究院最新的统计调查表明,70的互联网带宽资源被音乐、电影下载占用着。企业员工平均每天的互联网活动中有近40%是用来在线聊天,浏览新闻娱乐、股票行情、色情网站,或处理个人事务。事实证明,不加管理的互联网活动,严重消耗了带宽资源,导致正常业务得不到应有的资源保障。而宝贵的工作、学习时间被无目的的上网闲逛、聊天占用着,极大地影响了人们的工作、学习效率,人力资源也在无形之中浪费殆尽。我们需要一种有效的资源管理控制手段,确保重要业务的正常运行,避免人力、带宽等重要资源的浪费。1.2.3. 内
5、容问题纷繁复杂的网络世界,充斥着各种各样的信息。正如打开窗户,进来的不止是新鲜空气。我们在获取有用信息的同时,也被各种不良内容侵蚀着。同时,联通的网络也会把一些保密信息泄漏出去。任何企业都担心自己内部的机密信息泄露出去,而互联网偏偏又提供了方便的信息交流和传递环境。通过Web电子邮件或MSN、QQ等即时通信工具,任何数字文件都可以方便地通过互联网发送到企业外部。如何确保人们利用网络获取有用信息的同时,免受不良内容的干扰,同时安全保密信息,将直接影响到一个单位的战斗力。1.2.4. 法律风险根据公安部82号令的相关规定,互联网服务提供者必须要保留至少60天的用户上网记录以供审查。为了避免公司员工
6、在互联网上发布某些敏感、违法的言论给单位造成负面影响及不必要的风险,也需要有对用户上网行为和内容进行审查的可靠手段,并且在需要的时候对用户外发的言论进行必要的阻断。1.3. 方案设计原则1.3.1. 基本原则:安全性:l 鉴于网络内容过滤设备的特殊性,设备自身应该提供高安全等级的管理方式,并对非法登录进行记录及屏蔽。l 设备自身应具备本地物理管理能力,提供最直接而安全的控制手段。实用性:l 设备部署后应可以立刻看到效果,可以最快体现出实际价值可操作性:l 设备应采用图形化界面,便于非专业人员操作l 设备的各项配置应主要是勾选方式,提供最简单的控制实现能力1.3.2. 网络设备及终端通信可靠:l
7、 设备应可以实现对互联网应用的识别并进行流量阻断、压缩、保障l 设备应可以实现多线路接入,并可以进行静态的,动态的负载均衡,实现南北互通l 设备应提供故障时的物理回退,并可提供多重的冗余保障机制l 设备应可对接入的客户端进行软件及系统检查,不合规的客户端禁止通过设备1.3.3. 安全保障:l 设备应提供对非法网站专业的控制的能力,并可及时体现非法网站的访问l 设备应可以通过2层地址,3层地址,本地用户名,或与其他系统联动获取的用户名进行身份识别1.3.4. 管理制度监督及落实:l 设备应可以对人员的网页访问,应用使用情况进行实时的记录l 设备应可以对人员通过网页,邮件,IM等外发手段的内容进行
8、记录l 设备可对以上行为中的不合规行为进行阻断,规避法律风险l 设备应可以针对网页,应用,外发,下载等信息进行清晰的行为明细或统计报表呈现,便于自查审核的快速高效的完成。二、 设计方案2.1. 建设目标根据国家对上网的需求和安全行为的管理要求及出差员工或者外部终端对业务系统和信息资源的需求,本次建设需要在现有基础网络设施中部署一套上网行为管理系统,防火墙,sslvpn 以实现外网防护安全,内网对所有用户的上网行为进行跟中记录,保证再发生受到攻击和防护上有数据可以查询;并配备vpn设备,方便BYOD设备对业务系统的访问需要。通过本次建设,应可达到对互联网行为有效的风险规避,减少法律风险,提升工作
9、学习效率,保障出口带宽的使用质量,并可尽最大可能全面监控,审计,管理互联网行为;同时满足数字化中心,办公、宿舍楼、网络地址统一规划,各个网络逻辑隔离,互不影响,既满足现阶段网络资源需求,同时满足未来5年的网络资源需求。2.2. 设计目标1) 实现审计方法的简易化:做为增值类网络产品,要求不能对现有网络造成过大的耦合,可快速部署,快速配置,快速查询。2) 安全、可靠,有效的行为管理系统:做为在链路中串入的设备,必须实现自身安全,自身可靠,原有链路可靠,以及审计后果的有效性。3) 行为管理的长期可持续持续:利用设备标准的,频繁的,持续的更新服务,使得审计工作可持续性的发展,保证长期有效的安全。2.
10、3. 网络部署拓扑根据现有的互联网接入网络环境和应用情况,建议在互联网出口处将互联网出口部署华为USG6350防火墙设备,替换原有出口设备,级联华为ASG2200上网行为管理设备管理内网的上网行为,旁挂SVN5630 VPN设备满足BYOD用户对网络资源和业务系统的需求,同时给管理员的维护带来便利。2.4. 解决方案设计要点2.4.1 遵从法律法规与上级部门规定华为作为专业的ICT解决方案提供商,ASG产品提供完备准确的用户互联网行为记录功能,对用户访问互联网的行为能够详细记录到用户名、使用IP、使用MAC、访问的网站IP、目的端口、完整URL地址等,完全满足公安部82号令以及上级主管部门的要
11、求。2.4.2 通过应用控制管理避免员工滥用网络针对员工容易使用互联网进行娱乐,影响工作效率的问题,ASG提供了互联网应用控制功能,能够准确识别各种互联网娱乐应用,根据管理者的管理策略,可以区分用户及应用进行精确控制。通过对开心农场、网络游戏、在线聊天、视频网站等各种互联网娱乐应用进行识别并控制,将员工消耗在互联网娱乐上的时间都解放出来,投入到正常工作当中去。同时,ASG也提供了独到的应用时长限时功能,可以为每个用户、每种应用设置每天使用的时长,比如:员工上班时间禁止玩网络游戏,在非工作时间可以玩2小时,这样就不会影响员工正常工作。2.4.3 使用流量通道技术科学管理出口带宽为了解决出口带宽被
12、大量P2P、在线视频等无关业务抢占,影响正常业务的开展的问题,通过ICG提供的智能流量控制功能,可以划分固定的带宽通道,将P2P下载、在线视频等带宽消耗巨大的流量进行有效控制,使其对出口带宽的占用能够控制在一个有限、可以接受的范围内。同时,ASG也能够支持对单位网站、邮件、OA,视频会议等关键业务的流量进行区分,可以为关键业务划分一个指定的带宽通道,进行专门的流量保障,可以确保在出现病毒攻击、流量激增等非常情况下,也能够为核心业务保留足够可用的带宽,不会受到非正常流量的影响。2.4.4 过滤有害网页信息,营造健康网络环境华为和国际知名安全公司赛门铁克合作成立以来就致力对于中文互联网环境的深入研
13、究和分析,根据中国的文化背景、伦理道德、法律法规、应用领域、上网习惯等,进行全面采集、多级分类,并生成URL分类数据库。通过智能多级分类系统、人工校验审核等多级过滤技术对获取到的URL进行有效性校验和内容分类匹配,截止目前,网康已经建立了容量超过1600万条的庞大URL分类资料库,为业内同类产品中容量最全,基本上覆盖了中国用户能够访问的网页信息。并且为了保持URL数据库的有效性和实时性,华为在杭州安全总部的服务器群时刻都在对既有的URL库进行更新,每天更新的速度超过300万条。这些变化内容可以自动更新到客户的在线设备上,使客户设备与华为URL库保持实时同步。容量齐全的URL数据库,确保了ASG
14、能够准确判断用户所访问的网页类别,对色情、暴力、毒品等各种含有有害内容的网页,能够及时有效地加以识别,并根据单位的管理策略进行记录或者封堵,保证员工远离有害信息困扰,营造一个健康、和谐的上网环境。2.4.5 行为内容完全审计,规避潜在的法律风险ASG提供的内容审计功能也能够完整还原用户访问网络的各种行为记录,包括用户访问网页的快照信息、邮件的完整收发记录、即时聊天工具的对话和文件传输内容以及论坛的发帖、上传记录,都能够得到完整的记录和还原;并且可以进一步设置特定的敏感关键字,当员工外发的信息匹配特定关键字时,能够自动阻断外发信息,并以邮件方式向管理员进行告警,为互联网的信息管理要求提供完善的解
15、决方案。2.5. 华为ASG主要优势介绍互联网络作为单位信息化建设的重要基础设施,网络的稳定性是极其重要的考量指标。华为一直重视网络的可用性和系统健壮性,在多方面进行了大量技术攻关来保障不因任何设备原因造成的客户网络不畅或中断。2.6华为6300系列防火墙介绍华为USG6300(盒式)下一代防火墙当前,智能手机、iPad等终端已经普及,移动应用程序、Web2.0、社交网络应用于企业运营的方 方面面。企业网络边界变得模糊,信息安全问题日益复杂。通过IP和端口进行访问控制的传统的 防护墙无法应对层出不穷的应用层威胁。 华为USG6300(盒式)系列下一代防火墙面向中小企业,通过对应用、用户、内容、威胁、时间、 位置6个维度的全面感知,提供精细的业务访问控制和加速。入侵防御(IPS)和防病毒(AV) 等应用层深度防御与应用识别相结合,有效提高了威胁防御的效率和准确性。具备全面的防护 功能,一机多能,有效降低管理成本。精细的
