计算机网络改造方案设计

《计算机网络改造方案设计》由会员分享，可在线阅读，更多相关《计算机网络改造方案设计（13页珍藏版）》请在金锄头文库上搜索。

1、SANGFOR深信服科技*网络建设方案*科技有限公司2016年4月目录 错误!未定义书签*错误!未定义书签网络建设方案错误!未定义书签第1章概述错误!未定义书签项目背景错误!未定义书签需求分析： 错误!未定义书签设计原则： 错误!未定义书签第2章网路方案设计错误!未定义书签总体网络架构错误!未定义书签总体建设内容 错误!未定义书签第3章方案说明 错误!未定义书签优化网络架构错误!未定义书签网络安全建设错误!未定义书签应用系统接入安全 错误!未定义书签第4章选型参考错误!未定义书签第1章概述项目背景*有限责任公司（简称中原乙烯）是由中国石油化工集团公司与河南省人民政府 合资建设、*股份公司控股的

2、大型石化企业。目前公司主要业务系统有0A系统以及ERP系统。随着公司的持续稳定发展，越来 越依赖于信息化系统建设。优化网络系统结构，集中化的管理，稳定的网络，是集团业 务开展基础；网络系统的安全，应用系统的安全，广域网数据传输的安全，是集团业务 正常开展的保障；高效的信息网络系统，可以整体提高集团办公效率。需求分析：随着业务的不断发展，IT运用与业务结合的不断深入，集团目前的网络状况巳经不能很好的满足业务发展的需要，有如下问题需要解决：1. 链路出口问题：目前单位没有独立的网路出口，与其他单位共享网络出口，日常出口不由单位进行 管理。一旦连接出口网络线路故障，影响整个日常办公；同时存在日常管

3、理不变，例如 针对服务器外联互联网需要开端口映射，需要其他单位协调；单位日常出口流量带宽遭 受限制，影响互联网接入速度等等问题。2. 外出人员接入，数据安全性及无法保障众多出差在外的领导和员工需要实现随时随地的接入到总部的0A服务器以及ERP服务器访问应用，实现移动办公。在公司信息平台上的应用数据现在都是未经加密等安全处理的，跑在互联网这个不安全而又开放的网络上。一旦数据 遭到篡改或窃取，带来的损失将无法估量。3. 内网安全问题：随着网络技术的发展、移动互联的普及、新兴应用的不断涌现，在日常管理使用发 现一些不稳定和不安全的因素。如针对0A网站存在SQL注入、网页篡 改、网页挂马等 安全事件；

4、网络设备、服务器、主机漏洞攻击等。还有内网用户更新防毒软件、漏洞不 及时、软口令等给网络带来很大的隐患。设计原则：按照公司业务对网络系统的需求，公司信息化部门对网络建设的总体规划，依托现有的网络架构，建设稳定、安全、可靠的集团信息化网络平台，推动集团业务系统的全面应用，提升公司业务效率，全力打造高质量公司网络系统。因此，本期网络建设通过以下三方面内容建设，将集团网络系统建成的安全、高效网络系统1. 优化网络架构：对现有的网络进行优化，优化基础网络平台，提升网络的稳定性和可管理性。2. 建设网络系统安全：遵循相关标准，对现有网络系统进行全面的改造，建成安全的网络系统。3. 加固应用系统接入安全：

5、按照集团应用系统的保密级别，业务中重要性等 标准，实现精细化的应用系统安全管理。第2章网路方案设计总体网络架构整体网络解决方案总体设计以优化网络架构，建设网络系统安全，加固应用系统安全 为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法，组网图如下所 示：负载均衡设备整体网络规划图本次方案建议采用负载均衡设备、下一代防火墙设备、SSL VPN 各一台，分别部署在如下位链路负载均衡：部署在互联网出口，单位重新申请多条互联网链路，提高链路稳定 性的同时，提高带宽利用率，避免单条链路故障。安全防护：部署*内网防火墙1台于外网互联网后段，针对用户的内网终端 及应用 服务器提供安全防护功能。

6、移动人员接入：针对领导及内部员工出差出差办公，采用SSL VPN进行移 动接入。总体建设内容集团本期网络建设总体内容，主要包括以下4个方面：1. 优化网络架构：总部向运营商申请多条互联网链路，出口部署链路负载均衡设备，保障链路稳定性，提高链路利用率2. 建设网络安全系统：内部部署防火墙系统，隔离内网网络，保障内网安全3. 加固应用系统接入安全：针对领导及员工需要出差需要访问内部oa及ERP系统，通过sslvpn接入，进行应用系统访问权限的授权和可信访问，防止越权访问。第3章方案说明优化网络架构现有链路出口与其他单位共享，单位申请多条链路之后，出口采用*负载均衡设 备。主要体现如下优势：出/入站

7、链路负载均衡：*AD的出站负载均衡技术能够为内部终端上网选 择最佳 路径，均衡分配上网流量。同时，针对外部用户访问单位的门户网站或者内部员工在外部 访问内部oa系统，入。的入站负载均衡技术能够自动为用户选择最优链路进行访问，从而 保障外来用户的访问体验快速、稳定。链路带宽资源合理利用，解决拥塞问题：*AD还具有链路繁忙控制技术，可以为 特定链路设定相应的阀值，再结合*AD全面的负载均衡算法，使得当某条链路达到阀值 之后，用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。另外，*AD 设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测，然后根据实现设定的 负载策略，为用户返

8、回相应的DNS请求结果，避免带宽资源出现闲置的情况，实现对链路带宽资源的合理利用，轻松解决拥塞问 题。健全的链路健康检查：*健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时，AD会通过预先设定好的策略判断每条链路的健康状况（链 路健康检查），并决定将流量负载均衡到哪条链路，然后数据包的源地址转换成相应虞？ 网段的公网地址，再将该数据包发出。响应数据包返回到* AD时，*AD将目的地址进行 转换之后将数据包发给内部的用户或服务器。网络安全建设在互联网出口区域部署*下一代防火墙，对互联网出口流量进行流量过滤，提供 L2-L7的安全防护。通过*下一代防火墙设备能够阻挡大量初级的

9、攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现在以下几方面：网络边界的应用层访问控制防护内部系统有0A系统以及ERP系统安全要求比较高，因此，建议采用下一代防火 墙设备将内网区域与互联网逻辑隔离，加强访问控制的同时还能够对业 务服务器进行 NAT地址转换，隐藏其IP地址，避免被攻击。通过部署NGAF产 品在数据中心区域安全 边界，提供了更加先进的访问控制规则，除了传统的五元组设置，NGAF还设计了基于用 户、应用、内容的安全控制策略，实现了更加全面先进的八元组访问控制。NGAF还提供 了更精细的应用层安全控制，识别内外网近2000种应用，并支持包括AD域、Radius 等

10、8种用户身份识别方式，全面 保证数据中心区域区域的权限控制。网络边界的入侵防御和web防护在边界防护保障中，网络出口部署的防火墙主要工作在网络层和传输层，防范大部 分基础的网络攻击，而对于整个互联网中的攻击分布，70%以上都来自应用层，这些攻 击都是防火墙所无法防御的。目前。人业务系统业务系统是B/S架构的业务，存在比较大的web安全风险，*下 一代防火墙NGAF有效结合了 web攻击的静态规则及基于黑客攻击过程的动态防御机 制，实现双向的内容检测，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止 常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站

11、免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。0 SQL JtAg 0吐人取击皇曰珈b应用傕序开翁中*澄有龙用户璃入酒的奇去g ”向XSS攻击顼5山瘗站Hr1本攻击（XSSJ星葩于w/研发者在鼎写瞬程序时K肴对厨户10网宜木马网更木马实瓯上是一个逵过黑客精心暖计前HThIL网页.当目户访间IIIIHHid 1 lb i IIIIMIIII* illli hllll Illll I Illl PIIIIV-HII li 1 HIM Illll 111 mil Illll 11111 1111411111 I| lb Mini illli* 1 III* Illll HI1

12、111 1111 IIIIHIII li lllliflllll 1111 IIIIKIIIIII illli fe|4i111 1 1 III I#网站扫喘网赴扫叠昱对WEB站镇氛对W田站点的培构、漏言司遴洌9SLH /VE3SHELLiiii iiiria ui hi I |i iiiiii iiiiini w辞站请求伪造回含命令注A 0 i文佯竟含攻击 0亘录追万攻壬 lilt III II) I 11111111111 illll 0莒肓泄漏攻主WEBSHELL最训E日入融一科 P.Ill Illll IIIIII II 1|11| I 11111111111111111| I Kil

13、l IIPII IIIH 1|11|111111|111 11| III|ni|111111111111| III II HIPIIIIIIHIIIIIBI 1|11| pt IIIIII 11111111| |1 Dll Illl 雕霸涵适（OSRF）通过伪装来自旻信任用户的诗求韶I闻蜜信任崔件幸艮命令珑击星攻击者辱特殊的字符或者翼作案统命令r wehg .袁眸也含漏玫击曲对何。瞄点确的iFn恶寤攻睥HI!1当i1PHP中娈昼.imiriiii “ in ini 亘录遍矛闾祝星通过匹窒器向胆b ,塔禹三肓同录附加一或害.IIIIIH Illll IIIIII 1111111111 I 111

14、111111 IPIII III PllllVillllll il mu 11111111111* IIIIII Pllll Hill ! |1-11111| in （IINlllllli HIIIBI 11111111111 V IIIIII 11111111111 II ! Illl I隹息泄启帚沱昱日刊眼务器配宣或者本星荐在宝全弼 号致-*EH mm MEE帝站至痂凭洞活屋旷并1畜刊每箔英范申特孟漏词建行日勺妄.系统/应用漏洞攻击防护针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安全漏洞，*下一代防火墙NGAF提供了实时漏洞发现功能，可以对经过设备的流量进行实时漏洞风 险分析，且不会给网络产生额外的流量。实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息，NGAF还能提供详细的漏洞说明，如漏洞类型，数量，描述，危害说明等信息。NginxSjl? 4 03评 BSHELL 丈#洲 4.03 h目录棉历4 03图7LA.3Z JK谑ISlSJlE讴西J小niTE.LS.2&LLi3J归m. ILIE