《通州财政设计方案和对策和对策》由会员分享,可在线阅读,更多相关《通州财政设计方案和对策和对策(16页珍藏版)》请在金锄头文库上搜索。
1、通州财政设计方案和对策和对策 无线网络是财政单位的一项基础设施,无线网络是有线网络的有效补充和扩展,采用高速以太技术和802.11a/b/g/n无线网络技术实现财政办公区域网络的全面覆盖,即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化,逐步实现办公网络信息化、现代化的目标。 建设目标覆盖办公楼所有空间,包括办公区域、食堂、学习会议室、健身房、地下车库等等,为办公和会议、健身生活提供切实可用的无线网络环境;同已有有线网络骨干无缝结合,成为原有办公网的有力补充,专业资料参考分享可以通畅、安全地访问财政内网,外部网络;利用各种安全技术,保证无线
2、网及办公网络的安全;,专业资料参考分享第二章.项目需求分析1.总体要求目前办公大楼存在固定网络,为了更高效的办公,实现现代化,信息化,需要建立一张无线网络,建立无线网络就需要升级带宽,还有原来网络的一些小问题需要紧急处理,就是在办公网中,员工私自链接小路由器、小交换机,不但影响网络的稳定,而且还不安全。 由于建造无线网络,需要加大带宽,随之相应原来的带有路由功能的光纤猫就不能满足需求,因此我们需要建造无线网络,使用技术手段解决光纤猫性能和办公网出现的问题。 对于员工上网办公等需要相对安全的网络环境,我们需要审计员工上网行为,上网的记录,发现问题立刻解决,这也是国家对相关部门硬性要求。 2.网络
3、覆盖的范围本次建设覆盖范围包括地下停车场、办公楼、食堂、备办公楼的员工会议室,健身房等位置。 3.技术要求1.运用技术手段保证无线网络的稳定、安全、有效的运行。 2.运用技术手段将原来的光纤带宽在防火墙上做分流,一部分给有线网络,一部分给无线网络使用。 3.使用硬件应用防火墙保证内网,网络出口数据的转发,相对安全内部网络环境。 ,专业资料参考分享4.使用上网行为管理管理内部网络的迅雷下载、QQ等不应该出现的流量,包括私接的小路由,小交换的行为导致网络不稳定都可做到有效控制。 5.对网络设备要求能够远程管理,方便运维人员的管理和排障,在网络出现问题时,有效解决网络故障,恢复网络使用。 第三章.整
4、体设计,专业资料参考分享1.设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证原则。 2.整体区域设计本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构,各区域的设备和主要功能如下2.1.核心互联区增加性能强大H3C5500交换机为核心交换机,主要负责与其他各个区域的互联和数据的三层转发,为整个网络提供高速的数据交换,同时保留原有网络架构不变。 2.2.服务器区增加防火墙,防止外部对网络攻击,防火墙把整
5、个网络划分为三个区域,一部份为外部网络不可信赖区域,一部分为内部网络可信赖区域,另一部份为DMZ区域,保证服务器的安全稳定运行。 2.3.内部网络对于原来单位内部网络不安全,网络出口设备性能不佳,芯片处理速度慢,我们采用深信服的防火墙来做安全设备。 如今网络在改变网络已经深入日常生活 1、大量的新应用建立在/S标准协议之上,专业资料参考分享 2、许多威胁依附在应用之中传播肆虐 3、根据报告75%的攻击应用层 4、攻击的多样化、黑客平民化传统的防火墙基于包头信息不能分辨应用及内容也不能区分用户,更是不能分析记录用户的行为。 因此我们采用深信服新一代防火墙设备,它可以做到基于用户和应用做安全控制,
6、要求对用户进行识别和对应用进行识别。 NGAF具备全面的用户认证系统和海量的应用识别特征库。 对于单位的需求完全满足。 2.4.对于单位员工行为的设计目前单位网络中,员工私自接无线路由,交换等行为一方面影响网络稳定的运行,另一方面单位不允许使用这些小路由,屡劝不该,加之员工互联网风险意识不强,这样做对于内部网络及其不安全,不怀好意的人可以通过这些小路由,交换链接到网络内部,攻击网络,窃取信息,然而就是这些小路由小交换安全做的不够好,无法有效的防御。 网络的发展与普及正在改变人们的生产生活方式,互联网正逐步成为重要的生产资料,组织业务正逐渐向互联网转型。 互联网是一把”双刃剑”,缺乏管理的互联网
7、已经带来诸多问题 1、带宽滥用,上网速度慢(P2P流量超过一半,访问网页,ERP等无法顺利进行,带宽无法有效的分配和利用) 2、工作效率下降(上班时间网络聊天、炒股、网游、看新闻等行为泛滥),专业资料参考分享 3、机密信息被泄露,信息安全遭威胁(上网授权缺失,用户肆意上网,为通过网络泄密提供了通道,泄密后无据可查,责任难追究) 4、违法网络行为为企业带来法律风险(肆意浏览非法、反动网站,若无具体日志记录,无法举证追踪) 5、安全威胁频发、上网环境恶化(互联网威胁越来越多;隐蔽和病毒感染技术越来越先进)因此,我们采用业内比较权威的先进的深信服厂家的上网行为管理设备杜绝这种情况产生。 对于上网行为
8、管理产品,它可以做到一下几个方面 1、应用授权其中包括网站访问、言论发布、文件传输、邮收发、IM/P2P等应用、控制与提醒; 2、带宽管理其中包括多线路流控、用户/组流控、应用流量、文件流控; 3、行为记录其中包括网站访问、外发言论、SSL加密应用、邮件、文件收发、IM聊天等行为、免审计Key 4、报表分析其中包括独立数据中心、统计/对比/趋势、风险智能报表、数据挖掘与分析、内容快速检索、日志权限Key 5、安全防护其中包括终端安全检查、网络准入控制、安全桌面、过滤脚本、插件、危险流量封堵、查杀木马、病毒、无线热点发现;所以上网行为管理设备完全满足我们的需求,而且对于政府部门这类设备是国家规定
9、必须使用的设备。 ,专业资料参考分享对于原有网络架构不变,增加无线网络覆盖,对用户的上网行为进行审计,可以做到针对每个用户可以做到控制,完全禁止员工私自接入小路由,小交换,记录员工上网记录,以及发送内容等。 基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对办公网络进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。 由于本次项目所需室内AP数量较多,所以在本次无线网络解决方案采用高端无线控制器H3C EWP-WX3024E-POEP放在网络核心,实现对于无线网络中所有的室内AP的统一管理。 H3C EWP-WX3024E-POEP高端
10、无线控制器最大可管理128个AP,完全能够管理本次项目所需的室内AP;室内型AP采用WA2620-E双频AP,WA2620-E支持六个射频模块,可以同时工作在2.4GHz和5GHz,在设备数量不变的情况下,把网络的介入容量提高几倍,以满足WLAN用户快速增长的需求;PoE交换机采用LS5120-28P PoE千兆交换机,H3C S5120系列PoE交换机最大提供AC输入523W DC输入832W供电功率,可以满足24口同时接AP的供电需求;管理方面,H3C可以部署iMC智能管理中心,通过在iMC智能管理中心上增加WSM无线业务管理组件的方式实现对无线控制器、室内AP、室外AP设备的统一管理。
11、简易逻辑组网图如下图所示,专业资料参考分享2.5.无线覆盖汇总覆盖目标描述数量停车场四个角落各1个,中间2个6一层办公楼后厨3个,食堂大厅5个,办公楼走廊4个12二层办公楼备楼会议室5个,走廊4个,主楼走廊4个13三层办公楼健身房2个,走廊7个,302会议室4个11四层办公楼办公楼主楼走廊4个4五层办公楼办公楼主楼走廊5个5六层办公楼办公楼主楼走廊5个5七层办公楼办公楼主楼走廊4个4,专业资料参考分享八层办公楼办公楼主楼走廊4个4九层办公楼办公楼主楼走廊4个4具体点位图,请参照网络信息图纸。 第四章.方案优势,专业资料参考分享4.1全面完整无线有线统一管控除了传统的封堵、流控、审计等功能外,深
12、信服的上网行为管理针对无线、有线网络的各种PC、移动终端上网遇到的新问题、新风险,提供了统一全面的管理功能员工、来宾的统一接入管理,BYOD的权限控制、移动APP/云应用管控和审计。 从而简化了IT运维操作,降低了管理难度。 4.2终端识别与流量控制通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。 实现了针对终端精细的流量控制。 例如禁止手机完微博、炒股、斗地主等等,对于应用的杂乱无章,难以管控,本方案中无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。 对于重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止
13、了其流量被抢占。 对于高耗流量的风行、迅雷、电驴等P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了政府正常的办公网络4.3智能联动互联网出口上网行为管理设备和无线网络上网行为管理设备之间需要通过用户认证信息的联动、单点登录等功能,将上网终端和用户身份信息进行同步关联,让用户只需要认证一次就可以让AC同步识别身份信息,便于后续的报表分析、威胁定位、合规审计等。 从而,也极大的减少IT管理员配置、运维工作量。 ,专业资料参考分享4.4更便捷的安全管理二维码认证通过二维码认证,访客从接入无线到通过审核、时间就在十秒之内完成,解决了便捷认证、防蹭网、责任溯源三大访客认证难点。
14、802.1X自动配置802.1X能有效保证北京市通州区地税局单位网络的安全性,但802.1X复杂的配置往往令802.1X认证实施遇到巨大阻力。 对此,深信服方案为北京市通州区地税局单位提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。 大大降低了802.1X认证的推广实施难度帐号、MAC自动绑定为了实现针对北京市通州区地税局单位领导等人员帐号需要重点保障的情况,深信服针对重点帐号使用帐号、MAC自动绑定。 防止越权访问的同时减少管理员繁琐的操作。 而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。 第五章.产品介绍,专业资料参考分享5.1智能防火墙AF121
15、0AF1210产品是一款基于应用层设计和开发的新一代应用防火墙,与传统安全设备相比它可以针对丰富的应用提供更完整的、可视化的内容安全保护方案。 AF解决了传统安全设备在应用可视化、应用管控、应用防护、威胁处理方面的巨大不足,同时开启所有功能后性能不会大幅下降。 产品特点更完整的安全防护:单次解析引擎:传统的UTM产品通常为多设备的叠加,未实现真正的功能集成,一个数据包经过各个模块的串行处理,速度急剧下降。 为了解决统一防护后设备性能急剧下降的难题,深信服科技采用了独有的“单次解析引擎”技术,多种业务并发处理,将所有内容扫描功能融合在一个模块完成,这样所有数据流只会有一次扫描,即使在多功能同时开启、威胁库不断增加的情况下,也不会造成性能的衰减和网络时延的增加。 其中应用安全防护功能模块可以帮助用户抵御漏洞利用、病毒蠕虫、Web入侵(SQL注入等)、恶意网站、木马后门等多种应用威胁。 从而,AF避免了安全设备串糖葫芦式的部署模式,可以为用户提供更高性价比、功能更完整、可靠性更好、性能更高的防护方案。 可视化的业务安
