《安全方案设计》由会员分享,可在线阅读,更多相关《安全方案设计(13页珍藏版)》请在金锄头文库上搜索。
1、IT架构企业的IT架构情况,本方案主要针对IT基础架构部分进行规划,并提供选型和部署参考,关于企业IT业务应用系统部分的规 划和建设请参考其它方案。企业IT架构应i目系统(ERP系统/企业门户/商业智能基础软件系统(/数据库/数据仓库/中间件)操作系统(操作系统/虚拟化软件)网络系统规划当前,企业一般能给信息化方面投入有限。除了人力有限,还缺少专业人才,应用能力、维护能力、开发能力、实施能力等 都普遍较弱,这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护。其次,由于企业首要解决 的是生存问题,根本没办法做到“先信息化,再做业务”,因此网络建设实施要求必须容易,实施
2、时间必须极短。企业的组网方案主要要素包括:局域网、广域网连接、网络管理和安全性。具体来说企业组网需求:1. 建立安全的网络架构,总部与分支机构的网络连接;2. 安全网络部署,确保企业正常运行;3. 为出差的人员提供IPSec或者SSL的VPN方式;4. 提供智能管理特性,支持浏览器图形管理;5. 网络设计便于升级,有利于投资保护。企业一般的组网结构如下图,大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构,小企业则单线路的连接方式。通过对一般企业的信息化情况和网络规划要素进行分析,从总体上看,规划方案必须具有以下特点:1. 网络管理简单,采用基于易用的浏览器方式,以直观的图形化界面管理网络。
3、2. 用户可以采用多种的广域网连接方式,从而降低广域网链路费用。3. 无线接入点覆盖围广、配置灵活,方便移动办公。4. 便捷、简单的统一通信系统,轻松实现交互式工作环境。5. 带宽压缩技术,高级QoS的应用,有效降低广域网链路流量。6. 随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护。7. 系统安全,保密性高,应用了适合企业的低成本网络安全解决方案。安全基础网络规划方案根据对某集团的实际调研,获取了企业的网络需求,以此来制定企业基础网络建设规划方案和网络设备选型参考;以下提供 基础版和企业版两种规划方案1)网络需求:企业规划的网络节点为500个,主要的网络需求首
4、先是资源共享,网络的各个桌面用户可共享文件服务器/数据库、共享打印 机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子、实现Web应用、接入互联网、 进行安全的广域网访问;还有就是公司门户和网络通信系统(企业、企业即时通信和企业短信平台等)的建立。2)基础版规划方案本方案适用于200300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机,以千兆双绞线/光纤与接入交换 机及服务器连接;用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机Internet出口采用H3C M
5、SR20-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入网关。网络 拓扑图如下:F1DOQ-C /部门 :部门 :部门设备选型和部署参考如下:业宓设雷典念者配置说明H3C S5500-26C-5I婆HW SS5Da-20TP-SI登旧卦心1修心机.昌技笔文挨机H3C S514JO-26TP-SI或HMC 5310 0-52TP-SI接入厚支持关亶复后+兆 上演堇挣漠合堆叠261P: 15STPr 昭H3C燮堂辛IBCiKppE, 256M 声与主持GE/F殁美媒 蛾,司昌莎号口嗔蛛.EVPRlUfe.落杏炭些-12H3C
6、 Secfarth F1GOO-C 或H3C SecPath U20C食持国隹层龄:过五1根心机舄VPM1UN光皓建入电节:LUM瘙挨人荒吾抢I程址12槌心机昌方案特点:1. 高性价比:能够让中小企业低投资拥有高性能、经济的网络;2. 简易性:结构简单、安装快速、简单,维护无需配置专职人员;3. 高性能:最低投资做到千兆骨干、百兆接入;4. 可扩展性:灵活的网络架构,能根据用户需要随时扩展,并保护已有投资。3)高级版规划方案:本方案适用于500800台电脑联网,三层网络结构,万兆骨干,百兆接入;网络核心层采用H3C S7500交换机,同时配置相 应数量的千兆端口分别连接应用服务器、接入交换机及
7、其他设备;网络汇聚层采用H3C S5500-28C-SI,独有智能堆叠系统可实现 高密度千兆端口接入,拥有96 Gbps的全双工堆叠带宽,消除网络瓶颈,提供优于传统中继聚合配置的更好的可用性和弹性;接 入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机,千兆铜缆/光纤上连核心交换机,或H3C S5100-16/24/48P-SI全千兆交 换机,千兆到桌面。网络拓扑图如下:设备选型和部署参考如下:业务设备典携配宣说明核亡交换机H3C S7500(EDM?j读心支持町号拿以宜氯-性野土最戛1接心H扇汇衰尝交隹 机H3CS55M-2SC-SI汇寨支持垒千非高这望 发.潸嶂阿
8、绍密,同时3机H3CS31D0-2&/52TP-SI或 H3C 55LQ0;- 16/24/48P-SI时百兆祎平兆侵入呢样5ZTP. 10 含1-2接心f肩主尝H3C SeePath F1000-C变薄鱼目垣报丈过匪11VPM互感匪妾R20M-50M:A亘栏阳闭-就M光竺釜入12核心松有方案特点:1. 高性能,全分布式交换网络;2. 高可靠,无间断的通信环境;3. 灵活弹性的网络扩展能力;4. 高效率的网络带宽利用率;5. 全面的QOS部署,多业务融合;6. 完善的网络安全策略,实现深度安全检测,抵御未知风险。安全无线网络规划方案无线网络的部署,能够增大员工接入网络的围,提供更大的上网便利性
9、-无论是在办公室、会议室还是在空间复杂的车间,员 工都能与网络保持连接,随时随地访问企业资源,而且可以简化场所的网络布线。安全无线网络解决方案不但能提高员工的生产效 率和协作能力,也能为合作伙伴/客户提供方便的上网服务。根据企业情况,可以采用FAT AP方案:1)无线网络需求:能够获得较高的用户接入速率,构建便利的移动办公环境,实现企业的移动网络办公,成本投入不高,适合简单、小规模的 无线部署。2)规划方案:采用WA1208E+iMC+CAMS进行组网,配合CAMS实现802.1x的认证,可以实现基于时长、流量和包月的计费;整网通 过iMC统一管理。网络拓扑图如下:设备选型和部署参考如下:灌求
10、设蓄造型奏考酒矗讽明或里部署位置无线无线接入WA1208E802. lig无荒模块8各楼层无线安全H3C CAMS浦足用户管埋、身份认证、 秋限控制和计费的要求1核心机房无线管理H3C管系统支持与 HP Open view、SKMPc等通用网管平台的 集成1核心机房方案特点:1. 全面支持802.11i安全机制、802.11e QoS机制、802.11f L2切换机制;2. 大围覆盖:高接收灵敏度,达到-97dBm (普通AP-95dBm),保证更远覆盖;3. 多VLAN支持:虚拟AP方式支持多VLAN,最多支持8个虚拟SSID的VLAN划分,每个VLAN用户可以独立认证;4. 兼作网桥使用:
11、WDS模式支持PTP、PTMP工作模式;支持连接速率锁定、传输报文整合,提高传输效率;5. 负载均衡:支持基于用户数的负载均衡、基于流量的负载均衡;6. 针对各类室外、特殊室应用如仓库等复杂环境,可以提供专门的型号。广域网互联VPN规划方案伴随企业和公司的不断扩,公司分支机构及客户群分布日益分散,合作伙伴日益增多,越来越多的现代企业迫切需要利用公 共Internet资源来进行促销、销售、售后服务、培训、合作及其它咨询活动,这为VPN的应用奠定了广阔市场。在VPN方式下, VPN客户端和设置在部网络边界的VPN网关使用隧道协议,利用Internet或公用网络建立一条“隧道”作为传输通道,同时VP
12、N 连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改,从而保证数据的完整性、机密性和合法性。通过VPN 方式,企业可以利用现有的网络资源实现远程用户和分支机构对部网络资源的访问,不但节省了大量的资金,而且具有很高的安全 性。另外,随着企业规模的扩大,分散办公也越来越普遍,如何实现小型分支、出差员工、合作伙伴的远程网络访问也被越来越 多的企业关注。从成本、易用性、易管理等多方面综合考虑,SSL VPN无疑是一种最合适的方案:只需要在总部部署一台设备,成 本更低,管理维护也很容易;无需安装客户端、无需配置,登陆网页就能使用。1)网络需求1IPSec VPN和SSL VPN各有所长
13、,功能互补,对企业来说都是需要的:IPSec VPN用于总部和型分支互连,SSL VPN用于 为小型分支、合作伙伴、出差人员提供远程网络访问。但传统方法下,企业总部需要采购两台设备来支持两种VPN,不仅成本更 高,而且可能存在VPN策略冲突,导致性能下降、管理困难。2)规划方案融合VPN针对企业的实际需要,一台设备融合IPSec / SSL两种VPN,只需部署在总部,既可以用于为合作伙伴、出差人员 提供远程网络访问,也可以和分支机构进行IPSec VPN互连,帮助企业降低采购、部署、维护三方面成本。VPN网关选择方面,H3C的防火墙、路由器都能够实现融合VPN,提供给企业更加灵活的选择。例如,
14、如果企业非常强调网 络安全、VPN性能,就选择防火墙;如果企业更注重多业务处理能力,如IP语音通信、3G上网、无线接入等,推荐选择路由器。在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关,在分支机构Internet边界防火墙后面配置一台 VPN网关,由此两端的VPN网关建立IPSec VPN隧道,进行数据封装、加密和传输;另外,通过总部的VPN网关提供SSL VPN 接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网部或Internet 边界部署H3C BIMS系统,实现对分支机构VPN网关设备的自动配置和策略部署。如下图:小堕找奏节桂人陋由株SSCPJIhFIOCK千羽VPNiq是VFNMansgrrw甬m PintInternet设备选型和部署参考如下:业务设备造型釜考酉强说明数ft部署位置网络互连UPN网关H3C SecPath F1OOOVPN 网关H3C SecPath F1OO UPN 网关或H3C MSR50蹈由器H3C MSR2O-1X 蹈由器总部和大型机构SEmfiooo 型号中小型机构酉睫FWQ型号总部1台分支机构按需核心机房网络管理H3C VPN Manager
