通州财政设计方案-新修订

资源描述

《通州财政设计方案-新修订》由会员分享，可在线阅读，更多相关《通州财政设计方案-新修订（29页珍藏版）》请在金锄头文库上搜索。

1、通州财政 WLAN 无线网络覆盖设计方案通州财政局 WLAN 网络覆盖设计方案联通通州分公司联通通州分公司 2014 年年 9 月月通州财政 WLAN 无线网络覆盖设计方案目录第一章. 概述 .1 1. 概述.1 第二章. 项目需求分析 .3 1. 总体要求 .3 2. 网络覆盖的范围 .3 3. 技术要求 .3 第三章. 整体设计 .5 1. 设计原则 .5 2. 整体区域设计 .5 第四章. 方案优势 .11 通州财政 WLAN 无线网络覆盖设计方案第五章. 产品介绍 .13 5.1 智能防火墙 AF1210 .13 5.2 上网行为管理 AC.15 5.3 WX5500

2、系列多业务无线控制器.17 5.4 S5500-EI 系列以太网交换机.18 5.5 WA2610 无线 AP.19 通州财政 WLAN 无线网络覆盖设计方案 1 第一章. 概述 1.概述概述北京通州财政局是贯彻落实国家和本市关于财政、财务、会计管理方面的法律、法规、规章和政策；编制并组织实施本区中长期财政计划；参与拟订本区重大经济决策和措施、办法，研究提出运用财税政策对经济运行实施调控和综合平衡本区财力的建议；执行市与区县、国家与企业的分配政策；拟订完善鼓励公益事业发展的财税相关措施、办法的政府机构，财政局办公大楼主要有办公楼主楼 9 层，备用楼层 4 层，包含办公区域、食堂、

3、学习会议室、健身房、地下车库。无线网络是财政单位的一项基础设施，无线网络是有线网络的有效补充和扩展，采用高速以太技术和 802.11a/b/g/n 无线网络技术实现财政办公区域网络的全面覆盖，即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化，逐步实现办公网络信息化、现代化的目标。建设目标覆盖办公楼所有空间，包括办公区域、食堂、学习会议室、健身房、地下车库等等，为办公和会议、健身生活提供切实可用的无线网络环境；通州财政 WLAN 无线网络覆盖设计方案 2 同已有有线网络骨干无缝结合，成为原有办公网的有力补充，可以通

4、畅、安全地访问财政内网，外部网络；利用各种安全技术，保证无线网及办公网络的安全；通州财政 WLAN 无线网络覆盖设计方案 3 第二章. 项目需求分析 1. 总体要求目前办公大楼存在固定网络，为了更高效的办公，实现现代化，信息化，需要建立一张无线网络，建立无线网络就需要升级带宽，还有原来网络的一些小问题需要紧急处理，就是在办公网中，员工私自链接小路由器、小交换机，不但影响网络的稳定，而且还不安全。由于建造无线网络，需要加大带宽，随之相应原来的带有路由功能的光纤猫就不能满足需求，因此我们需要建造无线网络，使用技术手段解决光纤猫性能和办公网出现的问题。对于员工上网办公等需要相对安

5、全的网络环境，我们需要审计员工上网行为，上网的记录，发现问题立刻解决，这也是国家对相关部门硬性要求。 2. 网络覆盖的范围本次建设覆盖范围包括：地下停车场、办公楼、食堂、备办公楼的员工会议室，健身房等位置。 3. 技术要求 1.运用技术手段保证无线网络的稳定、安全、有效的运行。 2.运用技术手段将原来的光纤带宽在防火墙上做分流，一部分通州财政 WLAN 无线网络覆盖设计方案 4 给有线网络，一部分给无线网络使用。 3.使用硬件应用防火墙保证内网，网络出口数据的转发，相对安全内部网络环境。 4.使用上网行为管理管理内部网络的迅雷下载、QQ 等不应该出现的流量，包括私接的小路由，小

6、交换的行为导致网络不稳定都可做到有效控制。 5.对网络设备要求能够远程管理，方便运维人员的管理和排障，在网络出现问题时，有效解决网络故障，恢复网络使用。通州财政 WLAN 无线网络覆盖设计方案 5 第三章. 整体设计 1. 设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS 保证原则。 2. 整体区域设计本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构，各区域的设备和主要功能如下

7、：通州财政 WLAN 无线网络覆盖设计方案 6 2.1.核心互联区增加性能强大 H3C 5500 交换机为核心交换机，主要负责与其他各个区域的互联和数据的三层转发，为整个网络提供高速的数据交换，同时保留原有网络架构不变。 2.2.服务器区增加防火墙，防止外部对网络攻击，防火墙把整个网络划分为三个区域，一部份为外部网络不可信赖区域，一部分为内部网络可信赖区域，另一部份为 DMZ 区域，保证服务器的安全稳定运行。 2.3.内部网络对于原来单位内部网络不安全，网络出口设备性能不佳，芯片处理速度慢，我们采用深信服的防火墙来做安全设备。如今网络在改变网络已经深入日常生活 1、大量的

8、新应用建立在 HTTP/HTTPS 标准协议之上 2、许多威胁依附在应用之中传播肆虐 3、根据报告：75%的攻击来自应用层 4、攻击的多样化、黑客平民化传统的防火墙基于包头信息不能分辨应用及内容也不能区分通州财政 WLAN 无线网络覆盖设计方案 7 用户，更是不能分析记录用户的行为。因此我们采用深信服新一代防火墙设备，它可以做到基于用户和应用做安全控制，要求对用户进行识别和对应用进行识别。NGAF 具备全面的用户认证系统和海量的应用识别特征库。对于单位的需求完全满足。 2.4.对于单位员工行为的设计目前单位网络中，员工私自接无线路由，交换等行为一方面影响网络稳定的运行，另一方面单

9、位不允许使用这些小路由，屡劝不该，加之员工互联网风险意识不强，这样做对于内部网络及其不安全，不怀好意的人可以通过这些小路由，交换链接到网络内部，攻击网络，窃取信息，然而就是这些小路由小交换安全做的不够好，无法有效的防御。网络的发展与普及正在改变人们的生产生活方式，互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型。互联网是一把”双刃剑”，缺乏管理的互联网已经带来诸多问题： 1、带宽滥用，上网速度慢（P2P 流量超过一半，访问网页， ERP 等无法顺利进行，带宽无法有效的分配和利用） 2、工作效率下降（上班时间网络聊天、炒股、网游、看新闻等行为泛滥） 3、机密信

10、息被泄露，信息安全遭威胁（上网授权缺失，用户肆意上网，为通过网络泄密提供了通道，泄密后无据可查，责任通州财政 WLAN 无线网络覆盖设计方案 8 难追究) 4、违法网络行为为企业带来法律风险（肆意浏览非法、反动网站，若无具体日志记录，无法举证追踪） 5、安全威胁频发、上网环境恶化（互联网威胁越来越多；隐蔽和病毒感染技术越来越先进）因此，我们采用业内比较权威的先进的深信服厂家的上网行为管理设备杜绝这种情况产生。对于上网行为管理产品，它可以做到一下几个方面： 1、应用授权其中包括：网站访问、言论发布、文件传输、邮收发、IM/P2P 等应用、控制与提醒； 2、带宽管理其中包括：多

11、线路流控、用户/组流控、应用流量、文件流控； 3、行为记录其中包括：网站访问、外发言论、SSL 加密应用、邮件、文件收发、IM 聊天等行为、免审计 Key 4、报表分析其中包括：独立数据中心、统计/对比/趋势、风险智能报表、数据挖掘与分析、内容快速检索、日志权限 Key 5、安全防护其中包括：终端安全检查、网络准入控制、安全桌面、过滤脚本、插件、危险流量封堵、查杀木马、病毒、无线热点发现；所以上网行为管理设备完全满足我们的需求，而且对于政府部通州财政 WLAN 无线网络覆盖设计方案 9 门这类设备是国家规定必须使用的设备。对于原有网络架构不变，增加无线网络覆盖，对用户的上网行为

12、进行审计，可以做到针对每个用户可以做到控制，完全禁止员工私自接入小路由，小交换，记录员工上网记录，以及发送内容等。基于网络的先进性考虑,本次无线网络项目采用目前主流的无线控制器+瘦AP的架构,在实现对办公网络进行无缝覆盖的同时,又能够实现对无线网络的灵活管理配置,提高网络维护效率。由于本次项目所需室内 AP 数量较多，所以在本次无线网络解决方案采用高端无线控制器 H3C EWP-WX3024E-POEP 放在网络核心，实现对于无线网络中所有的室内 AP 的统一管理。H3C EWP- WX3024E-POEP 高端无线控制器最大可管理 128 个 AP，完全能够管理本次项目所需的室内 AP；室内型 AP 采用 WA2620-E 双频 AP， WA2620-E 支持六个射频模块，可以同时工作在 2.4GHz 和 5GHz，在设备数量不变的情况下，把网络的介入容量提高几倍，以满足 WLAN 用户快速增长的需求； PoE

展开阅读全文