《计算机网络改造方案.pdf》由会员分享,可在线阅读,更多相关《计算机网络改造方案.pdf(11页珍藏版)》请在三一文库上搜索。
1、 . word 资料 * 网络建设方案 * 科技有限公司 2016 年 4 月 目录 1 * 1 网络建设方案 1 第 1 章概述 1 1.1 项目背景 1 1.2 需求分析 : . 1 1.3 设计原则 : . 1 第 2 章网路方案设计 2 2.1 总体网络架构 2 2.2 总体建设内容 4 第 3 章方案说明 4 3.1 优化网络架构 4 3.2 网络安全建设 5 3.3 应用系统接入安全 7 . word 资料 第 4 章选型参考 . 错误!未定义书签。 . word 资料 第 1 章概述 1.1 项目背景 * 有限责任公司(简称中原乙烯) 是由中国石油化工集团公司与河南省人 民政府合
2、资建设、 * 股份公司控股的大型石化企业。 目前公司主要业务系统有OA系统以及 ERP系统。随着公司的持续稳定发展, 越来越依赖于信息化系统建设。 优化网络系统结构, 集中化的管理,稳定的网络, 是集团业务开展基础; 网络系统的安全, 应用系统的安全, 广域网数据传输的安 全,是集团业务正常开展的保障;高效的信息网络系统, 可以整体提高集团办公 效率。 1.2 需求分析 : 随着业务的不断发展, IT 运用与业务结合的不断深入,集团目前的网络状 况已经不能很好的满足业务发展的需要,有如下问题需要解决: 1. 链路出口问题: 目前单位没有独立的网路出口, 与其他单位共享网络出口, 日常出口不由单
3、 位进行管理。 一旦连接出口网络线路故障,影响整个日常办公; 同时存在日常管 理不变,例如针对服务器外联互联网需要开端口映射,需要其他单位协调; 单位 日常出口流量带宽遭受限制,影响互联网接入速度等等问题。 2. 外出人员接入,数据安全性及无法保障 众多出差在外的领导和员工需要实现随时随地的接入到总部的OA服务器以及 ERP服务器访问应用,实现移动办公。在公司信息平台上的应用数据现在都是未 经加密等安全处理的, 跑在互联网这个不安全而又开放的网络上。一旦数据遭到 篡改或窃取,带来的损失将无法估量。 3. 内网安全问题: 随着网络技术的发展、 移动互联的普及、 新兴应用的不断涌现, 在日常管理
4、使用发现一些不稳定和不安全的因素。如针对 OA网站存在 SQL注入、网页篡改、 网页挂马等安全事件;网络设备、服务器、主机漏洞攻击等。还有内网用户更新 防毒软件、漏洞不及时、软口令等给网络带来很大的隐患。 1.3 设计原则 : 按照公司业务对网络系统的需求,公司信息化部门对网络建设的总体规划, 依托现有的网络架构,建设稳定、安全、可靠的集团信息化网络平台,推动集团 业务系统的全面应用,提升公司业务效率,全力打造高质量公司网络系统。 因此, 本期网络建设通过以下三方面内容建设,将集团网络系统建成的安全、 . word 资料 高效网络系统。 1. 优化网络架构: 对现有的网络进行优化,优化基础网络
5、平台,提升 网络的稳定性和可管理性。 2. 建设网络系统安全:遵循相关标准,对现有网络系统进行全面的改 造,建成安全的网络系统。 3. 加固应用系统接入安全:按照集团应用系统的保密级别,业务中重 要性等标准,实现精细化的应用系统安全管理。 第 2 章网路方案设计 2.1 总体网络架构 整体网络解决方案总体设计以优化网络架构,建设网络系统安全, 加固应用系 统安全为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法, 组网图如下所示: . word 资料 互联网 整 体 网 络 规 划 图 应用服务器区 内网办公区 SSL VPN 下一代防火墙 负载均衡设备 核心交换机 本次方案建议采
6、用 负载均衡设备、 下一代防火墙设备、 SSL VPN各一台,分别部署在如下位置: 链路负载均衡: 部署在互联网出口, 单位重新申请多条互联网链路,提高链 路稳定性的同时,提高带宽利用率,避免单条链路故障。 安全防护:部署 * 内网防火墙 1 台于外网互联网后段, 针对用户的内网终端 及应用服务器提供安全防护功能。 . word 资料 移动人员接入: 针对领导及内部员工出差出差办公,采用SSL VPN进行移动 接入。 2.2 总体建设内容 集团本期网络建设总体内容,主要包括以下4 个方面: 1. 优化网络架构: 总部向运营商申请多条互联网链路,出口部署链路负载均衡设 备,保障链路稳定性,提高链
7、路利用率 2. 建设网络安全系统: 内部部署防火墙系统,隔离内网网络,保障内网安全 3. 加固应用系统接入安全: 针对领导及员工需要出差需要访问内部OA及 ERP系统, 通过 sslvpn 接入,进行应用系统访问权限的授权和可信访问,防止越权访问。 第 3 章方案说明 3.1 优化网络架构 现有链路出口与其他单位共享, 单位申请多条链路之后, 出口采用 * 负载均 衡设备。主要体现如下优势: 出/ 入站链路负载均衡: *AD 的出站负载均衡技术能够为内部终端上网选 择最佳路径, 均衡分配上网流量。 同时,针对外部用户访问单位的门户网站或者 内部员工在外部访问内部oa 系统,AD的入站负载均衡技
8、术能够自动为用户选择 最优链路进行访问,从而保障外来用户的访问体验快速、稳定。 链路带宽资源合理利用,解决拥塞问题:*AD 还具有链路繁忙控制技术, 可以为特定链路设定相应的阀值,再结合*AD 全面的负载均衡算法,使得当某 条链路达到阀值之后, 用户的访问请求将会通过事先设定的负载算法分配到其它 链路之上。另外,*AD 设备的 DNS 透明代理技术能同时对多条链路同时发起DNS 请求探测, 然后根据实现设定的负载策略,为用户返回相应的DNS 请求结果, 避 免带宽资源出现闲置的情况, 实现对链路带宽资源的合理利用,轻松解决拥塞问 题。 健全的链路健康检查: * 健全的链路健康检查机制能够保障校
9、园网出口的连 续性。当流量流经 AD设备时, AD会通过预先设定好的策略判断每条链路的健康 状况(链路健康检查) ,并决定将流量负载均衡到哪条链路,然后数据包的源地 址转换成相应 ISP 网段的公网地址, 再将该数据包发出。 响应数据包返回到 * AD . word 资料 时,*AD 将目的地址进行转换之后将数据包发给内部的用户或服务器。 3.2 网络安全建设 在互联网出口区域部署 * 下一代防火墙,对互联网出口流量进行流量过滤, 提供 L2-L7 的安全防护。 通过* 下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、入侵防 御、恶意代码过滤和web安全防护。主要体现在以下几方面: 网络
10、边界的应用层访问控制防护 内部系统有 OA系统以及 ERP系统安全要求比较高,因此,建议采用下一 代防火墙设备将内网区域与互联网逻辑隔离,加强访问控制的同时还能够对业务 服务器进行 NAT地址转换,隐藏其 IP 地址,避免被攻击。 通过部署 NGAF 产品在 数据中心区域安全边界, 提供了更加先进的访问控制规则,除了传统的五元组设 置,NGAF还设计了基于用户、应用、内容的安全控制策略,实现了更加全面先 进的八元组访问控制。 NGAF还提供了更精细的应用层安全控制,识别内外网近 2000种应用,并支持包括 AD域、Radius 等 8 种用户身份识别方式, 全面保证数 据中心区域区域的权限控制
11、。 网络边界的入侵防御和web防护 在边界防护保障中, 网络出口部署的防火墙主要工作在网络层和传输层,防 范大部分基础的网络攻击,而对于整个互联网中的攻击分布,70% 以上都来自应 用层,这些攻击都是防火墙所无法防御的。 目前 OA业务系统业务系统是B/S 架构的业务,存在比较大的 web安全风险, * 下一代防火墙 NGAF 有效结合了 web攻击的静态规则及基于黑客攻击过程的动 态防御机制, 实现双向的内容检测, 提供 OWASP定义的十大安全威胁的攻击防护 能力,有效防止常见的web攻击。 (如, SQL注入、 XSS跨站脚本、 CSRF 跨站请 求伪造)从而保护网站免受网站篡改、网页挂
12、马、隐私侵犯、身份窃取、经济损 失、名誉损失等问题。 系统/ 应用漏洞攻击防护 针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安 全漏洞, * 下一代防火墙 NGAF 提供了实时漏洞发现功能,可以对经过设备的流 量进行实时漏洞风险分析, 且不会给网络产生额外的流量。 实时漏洞检测功能能 . word 资料 够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web 不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息,NGAF还能提供 详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。 图 7 图 8 * 还创新性的将实时漏洞检测和入侵攻击行为进行结合,
13、从海量的攻击日志 中快速识别出真正对网站业务应用有危害的“有效攻击”,从而大大减少安全运 维的工作,让 IT 人员将更多的精力放在有效威胁的防护上面。 * 下一代防火墙 NGAF 提供基于操作系统和应用程序的漏洞攻击防护,防止 攻击者利用操作系统(如windows sever2003/2007 、linux 、unix )及发布软件 . word 资料 漏洞(如,IIS 、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻击。 3.3 应用系统接入安全 3.3.1 更安全的 SSL VPN 在应用系统安全加固方面,采用登录SSL VPN身份验证、权限划分、登录应 用身份验证的主线进行保
14、障。 SSL VPN接入认证方式可采用用户名密码、 USB KEY 、 短信认证、动态令牌、 CA认证、LDAP认证、RADIUS 认证等两种或多种认证的组 合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN后进行应用 访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSL VPN登录账 号和应用系统账号。用户只可采用指定的账号访问应用系统。 由于登录 SSL VPN 的身份已通过多重认证的确认,而后又进行指定应用账号 访问,即可保障登录应用系统的人员的身份。 3.3.2 更快速的 SSL VPN 3.3.2.1多线路智能选路 对于移动办公人员, SSL VPN的访问速
15、度直接影响到办公的效率。造成速度 访问低下往往有以下几种情况:跨运营商访问、高丢包高延时的恶劣网络质量, 要全面的提高速度,就需要解决以上几个速度瓶颈问题。 为了避免线路的单点故障, 组织的网络出口通常采用多运营商线路来保证线 路级别的稳定。国内有线网络的格局为“北联通、南电信”,使用 SSL VPN接入 到总部的用户往往办公地点不固定,使用的线路有网通有电信的。 但使用电信的 用户并不一定由总部的电信线路接入,一旦为跨运营商接入, 将面临高丢包率的 现象,导致的数据频繁重传将造成传输速度的低下。 为了解决跨运营商访问的问题,SANGFOR SSL VPN提出了一种基于 Web的自 动选路方法
16、对用户接入进行最优化选路,从线路级别保证接入速度的最快。当用 户在进行 SSL VPN 接入时,将自动对总部的各条线路进行实时速度探测,并选择 最快的线路进行接入。 有别于传统 SSL VPN 解决多线路接入时采用的IP 地址库判定方法, SANGFOR SSL VPN的多线路智能选路技术更为智能和人性化。传统的IP 地址库通过判定 . word 资料 用户端所采用的 IP 属于网通还是电信的IP 地址段,并固定的限定电信的必须从 总部的电信线路接入, 联通的必须从联通的接入。 但使用多线路的情况往往会遇 到多条线路上带宽、 占用率不均的现象。 若是电信的线路跑得较满, 若电信用户 从电信接入
17、的速度反而比从网通接入的速度更慢,这样固化的选路方式反而降低 了用户的访问速度。 SANGFOR SSL VPN 多线路智能选路支持设备与多线路直连、通过前置设备(如 防火墙等)直连两种方式下的多线路技术。可为线路设置高、中、低三种优先级 设置,当用户登录SSL VPN 页面发起连接请求时, SSL VPN 设备将会根据线路的 优先级及时延进行综合优选,从而实现速度与链路权值负载均衡的效果。 SANGFOR SSL VPN支持多线路下的上网数据选路策略,可配置线路优先选择 SSL VPN设置优先级较低的线路,从而实现上网流量与VPN流量在分流、智能快 速接入、多线路的主备下的部署。 3.3.2
18、.2 HTP快速传输协议 无论是边远地区网络线路质量低下,还是移动无线访问, 其速度的低下都可 反映为网络的高丢包、 高延时现象。 时延越大直接拖慢了整个传输速度,而丢包 现象的严重将进一步的拖滞传输速度。到丢包达到一定程度, 甚至双方根本无法 建立连接,更不用说进行数据的传输了。 网络的高丢包高延时对TCP协议的传输影响尤为重。如图中所示,传统TCP 协议的拥塞控制机制为 “ 慢上升、快下降 ” 。网络环境好的时候,传输的滑动窗口 大小缓慢的增长, 但窗口最大仅为 64K。但在传输的过程中, 一旦出现丢包现象, 窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据 包后的所
19、有数据。可见,传统TCP传输速度增长慢、拥塞控制机制应变差、重传 机制效率低下,面对高丢包、高延时的网络速度非常的不理想。 . word 资料 针对传统 TCP “ 慢上升、快下降 ” 的低效传输机制, SANGFOR SSL VPN提出了 HTP快速传输协议技术。 HTP协议( HighSpeed Transmission Protocol )是基于 UDP 的可靠传输协议,通过扩充传输窗口、改善拥塞控制算法、选择性快速重传 等技术提高 TCP传输效率。如下图所示, 刚好与传统 TCP “ 慢上升、快下降 ” 相对, HTP快速传输协议对于数据传输为“ 快上升、慢下降 ” 。当网络吞吐允许的情况下 以最短的时间将传输速度提高到吞吐量所允许的最高;当遇到高丢包、 高延时等 现象,则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度,保证 传输质量。 通过 HTP快速传输协议, 可显著提升在高丢包、 高延时情况下的网络 传输速度。
链接地址:https://www.31doc.com/p-5613021.html