《IT系统规划方案》由会员分享,可在线阅读,更多相关《IT系统规划方案(12页珍藏版)》请在金锄头文库上搜索。
1、公司 IT系统规划方案当前公司的IT网络架构状况1. 网络状况:佛山总部通过租用电信10M光纤接入Internet,接入设备为普通路由设 备,网络内部均为桌面型交换机实现互连。2. 应用系统状况:公司部署一套ERP系统,是公司当前最重要的应用系统,OA系统 等。3. 计算机数目:佛山总部用户数约170台左右网络架构状况目前公司网络处于最原始状态。公司内部存在多个独立的二层网络架构,所使用的 网络设备全部为不可管理的低端交换机,没有任何的网络层次划分。如下图所示:接入奕换机接汆交换机接入交换机接次交换机在用户数量方面,目前整个厂区在线的用户终端数目大约为160以上,已经达到了中 型以上企业的用户
2、数目,并且在未来1、2年内还有用户数量的扩展。在安全方面,全 网没有任何的网络安全设备、安全策略、网络防毒系统,安全隐患明显。只对客户机进 一步权限的设置控制等。系统基础架构状况当前,公司的所有桌面计算机系统采用的是MicrosoftaWindows系列操作系统平台, 服务器系统也采用MicrosoftaWindowsaServe系列操作系统平台。因此对于这些计算 机资源,以及运行于MicrosoftaWindows系列操作系统之上的应用软件等的集中统一 管理,需要建设一套架构完善、管理方便、功能强大的目录服务体系。针对以上情况,公司IT基础架构体系方面的规划,调整及建设工作:以下是网络架构图
3、:Q VLAN 1 研发中心嘛察防毒服务襦 系统更新服笠器Juniper GGS140H3C S5510核心交换.机V 沐RADIUS认证1. 优化网络与安全S础架构 方案采用一台企业级网络防火墙,实现电信光纤网络接入、安全区域划分及安 全策略。采用一台三层核心交换机,提供24以太网端口,可为桌面计算机接 入、服务器接入、二级交换机汇聚、防火墙接入提供高速、安全的交换平台。整个网络方案提供共24个1000Mbps以太网端口,100Mbps到桌面的交换 网络。 利用核心层交换机H3CS5510对网络划分几个虚拟的网络环境(VLAN)口,增 加网络的安全性,因为一个VLAN就是一个单独的广播域,V
4、LAN之间相互隔 离,这大大提高了网络的利用率,确保了网络的安全保密性。通过增加网络安全设备,实现安全的Internet接入,划分DMZ区域,保障各 种应用系统服务器的安全发布。建立基于三层交换式以太网络,根据部门、网 络功能划分虚拟子网(VLAN),并建立VLAN之间的双向访问控制,提高网 络安全性。口VLAN与IP地址划分VLAN划分的考虑可以基于如下原则: 将公司服务器划分在单独的VLAN段中,以便控制访问安全; 按部门将桌面计算机划分在不同的VLAN段中,以提升网络运行效率;将特殊部门的网络(如财务部门、开发部门)划分在独立的VLAN段中,以便隔离 网络访问,提升网络安全; 将下列不安
5、全的网络划分在独立的VLAN段中,以便控制网络访问,提升网络安全(1)无线访问点(AP)连接的网络(WLAN),(2)Internet接入网络(防火墙网段)口(3)VPN远程访问网络等口具体划分情况如下表所示(仅供参考):口VLANIDIP网段网关说明VLAN1192.168.1.0/24192.168.1.254财务部VLANVLAN2192.168.2.0/24192.168.2.254人力资源部VLANVLAN3192.168.3.0/24192.168.3.254物控采购组VLANVLAN4192.168.4.0/24192.168.4.254无线网络VLANVLAN5192.168.
6、5.0/24192.168.5.254各部门VLANVLAN6192.168.6.0/24192.168.6.254服务器群组VLAN192.168.11.0/24192.168.11.254远程VPN子网12. 防火墙安全系统设计 企业局域网需要通过广域网或互联网与外界网络互联实现信息交换,在网络边 界,需要部署防火墙来保证网络访问的安全性,同时对远程用户,如VPN用 户提供接入支持,边界防火墙还可作为内部ERP、OA、财务系统发布平台, 将内网或中立区服务器发布到互联网。公司需要在本次项目中部署防火墙系统 实现网络连接、访问安全控制及服务器发布的需要;为了提供服务器对互联网的访问及满足发布
7、内部服务器到互联网的需求,本方 案配置一台硬件防火墙和软件防火墙ISA2006,并通过租用专线(10Mbps) 连至互联网,满足了服务器发布要求并提供了良好的访问带宽及访问安全控 制。软硬结合,全面防御作用。防火墙作为网络安全的核心部件,放置在网络的出口,通过区域的合理划分 设置有效的安全策略,实现以下的作用:口1. 通过控制对关键服务器的授权访问控制,拦截非法访问;口2. 对外网的服务请求加以过滤,只允许正常通讯的数据包到达相应主机,对于 各攻击包和探测包一律加以拦截;3. 对内部用户访问外网进行严格控制,普通用户通过硬件防火墙访问互联网需 设置明细的访问策略;4. 控制和监测用户源服务器的
8、访问,对于非授权访问和可疑存取及时报警;5. 利用ISAserver2006作为Internet访问安全控制和缓存代理服务器。为了保证网络整体安全,本方案在互联网出口处的位置配置防火墙,可以将公 司内网,服务器群和其他外部网络隔开,负责服务器群与内部办公网络访问策 略的控制。有效过滤任何非法入侵。3. 构建Windows 2003活动目录。建立统一的目录服务架构来管理网络身份和资源安全,并由活动目录支 撑诸如邮件系统、办公自动化系统、文件共享服务;(目前,基于 MicrosoftnWindowsn20C|的活动目录体系(AD)架构是当今Windows 网络系统上最为强大的目录服务体系,也是当前
9、各单位建设目录服务体 系架构的当然之选);将公司内计算机以工作姐方式转变为域管理方式,在域”模式下,至 少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于 一个单位的门卫一样,称为域控制器。AD架构建立了一个统一集中的 网络身份库,由企业系统管理人员严格管理。整个企业网络系统的安全 策略通过windows AD统一快速设置,达致辞标准一致的安全策略。建 立了大量企业基础架构、业务应用、系统管理等方面的应用软件的基石, 如Excahange邮件系统,ISA防火墙系统等.域控制器由一台主域控制器和一台后备域控制器组成,两台控制器都建 立DNSSERVER主机名解析,实现两台DC间的目录
10、服务同步复制,确保 在单一服务器故障时,网络计算机仍然正确的名字解析,使网络正常运 行。还要规划定期的windows域控制器的备份,并管理好备份介质的存 放。在必要时,可以从备份中恢复windwos域控制,保证服务的可用性 和数据的连续性。4. 公司内部架设企业邮件服务器出于安全考滤,加强内部安全信息管理。企业级邮件系统,具有海量、高效、 安全、可靠等特点,能够满足企业级用户对邮件交换的需求,更能够作为企 业电子商务的信息交换平台,仍然能够保持较高的邮件处理速度。所有的邮 件经邮件服务器向外发送,所以有邮件存放于服务器中,也可以对员工对邮 件作监控,商业机密保密,也对以后查讯作一种惩证。构建E
11、xchangeserver 2007是邮件系统解决方案。邮件将会成为日后公司重要信息来往的必经通道, 所以确保邮件服务器不间断地正常工作,我们将建多一台后备邮件服务器来 切换使用,当邮件服务器出于故障(不排除硬件方面),将后备服务器切换使用,使公司邮件系统正常动作,不影响公司业务来往,将突发事件影响降到最低。Internet公司总部内部网络DMZ网络架构图5. 构建补丁修补管理系统目前公司网络存在许多安全隐患,如系统补丁,IE漏洞,outlookexperss 漏洞等,这些漏洞给公司内部网络带来巨大的安全隐患,许多病毒及木马的 攻击主要是针对操作系统,IE的漏洞。面对大量服务器及桌面客户机操作
12、系统漏洞对企业信息安全构成极大威胁,为了保 证操作系统安全,必须构建一套补丁修补管理系统,以实现对Windows操作系统 补丁的及时快速自动更新,以保证操作系统的安全性,同时掌控企业计算机操作系 统补丁的修补情况。公司将在本次项目中构建一套补丁修补管理系统,以满足补丁 修补及有效管理的需要;口针对此情况,考滤使用windwosserverupdateserver-WSUS补丁升级服 务器软件或购买LANDESKW理套件(比wsus功能更强大),能够实现软件分发,补丁管理,软件许可监控,IT资产管理。保证企业终端补丁的最新及防范病毒,木马攻击,加强了企业内部网络的安全。6. 构建病毒防护系统病毒
13、的防范是保证信息系统安全的关键,公司需要构建一套集中的病毒防范 体系,实现集中式的、基于网络的统一防病毒,便于用统一策略保护企业桌 面客户机及掌握信息系统的病毒感染及防范状况。部署诺顿网络版杀毒软件系统,以实现对公司网络病毒集中管理。企业网内 的终端数量庞大,各自归属的管理网段不一。因为建议对客户端的安全防护 按不同的需求部署。针对企业网的全网防病毒系统的升级,每天自动升级信 息中心的一级单位子防病毒服务器的病毒定义码、扫描引擎、特征库(漏洞 特征库和攻击特征库)和安全规则(防火墙策略),所以客户端可自动地到 防病毒服务器上升级。7. 构建核心数据安全保密系统随着公司规模的不断壮大和内外部网络
14、安全要求与核心资料保密要求的日 益突出,对公司内部网络安全保护提出了更高的要求,需要对内网网络行为 和核心图纸、设计数据等进行全面保护和管理控制。强制性保护公司机密文 件,防止外部非法入侵者非法盗取公司内部重要信息,防止内部人员未经许 可非法获得公司内部重要信息等。8. 文件服务器架设文件服务器作为企业办公平台的重要支柱在企业网络服务中中着举足轻重的地位。无论实现操作系统的快速部署、用户桌面环境的管理、应用软件的 分布管理,都需要文件服务的支 持。还可以购买Symantec Buck up Exec2010软件将服务器数据库、邮件服务器、AD等数据保存到文件服务 器上,实现异地数据安全保护。公
15、司部门共享文件夹将会建立于文件服务器 上,方便管理。9. 计划实施情况电脑已成为日常办工必要工具,而网络是将各电脑连成一个体系,从而运行 各种的系统,办公自动化。任何一个公司的网络都存在安全隐患,病毒入侵 的风险,数据安全等等问题。特别面对现今信息化时代,所带来的方便也带来 害处。网络安全是关键在于有效控制对网络资源非法占用,制止和防御攻击。 所以计划公司IT系统规划进一步改进,实现以防为主,将新技术应用到网络 系统中,实现网络信息安全。分为以下几个阶段进行实施首先,于公司研发中心属于独立子网络,将加密软件应用到研发中心设 计机器上,并应用相关的安全策略(因为研发中心属于独立网络,也要 考滤到网络安全,如系统安全的漏洞及病毒防御也要考滤清楚),在公司三楼装修时,借助网络产品将公司网络初步结构建好,核心交换 机vlan的划分,统一电脑IP规范。防火墙应用到网络中,提高网络安全, 详细部署网络规范化。于公司网络产生较大变化,相对的调整也比较多(网 络架构图请看上面),网络安全初步架构建立好后,相对的办公室搬迁移动也稳定下来。将开始对2003域安全目录和杀毒软件升级服务建立,并将全公司客户机逐步 加入到域服务器统一管理,并应用
