公司网络改造实施方案

公司网络改造方案

————————————————————————————————作者：————————————————————————————————日期：

公司网络改造方案

目录

一、目前的网络情况及特点 (4)

1.1、采用普通的交换机 (4)

1.2、所有电脑在同一个子网 (4)

1.3、文件服务器缺乏基本的保护 (4)

1.4．外来电脑可任意接入 (5)

1.5. 上网行为存在安全因素 (5)

二、网络整改目和内容 (5)

三、解决方案及效果 (5)

3.1 虚拟局域网 (5)

3.2 网络访问控制 (5)

3.3网络安全系统设计 (6)

3.4 PC准入控制 (6)

3.5 上网行为管理 (6)

3.6 资料及数据安全方案 (6)

四、改造后的网络特点 (7)

4.1 构建多个虚拟网络。 (7)

4.2 虚拟网络之间访问控制。 (7)

4.3 网络资源访问控制。 (7)

4.4 上网行为管理 (7)

五、日常维护及工作 (7)

一、目前的网络情况及特点

现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象，将影响公司内部所有IT设备及公司的业务运作。

1.1、采用普通的交换机

目前公司的交换机为TP-LINK TL-sf1024 10/100M共2台，都是二层普通交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。

1.2、所有电脑在同一个子网

所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT设备。

1.3、文件服务器缺乏基本的保护

服务器与电脑设备在同一个网络中，意味着电脑可以任意访问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。

影棚文件服务器，由于该服务器积累了公司大量的重要的数据，目前该服务器已使用多年，CPU 频率过低，系统运行缓慢，经过上次对服务器检修，现发现主板的RAID芯片已坏，且硬盘存储空间已严重不足(8T硬盘，现可用空间为135G)，建议最好更换一台新的服务器，并作好定期对该服务器的数据备份。该部分需要购置一台新的服务器。

1.4．外来电脑可任意接入

外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。更容易造成公司内部资料外泄。

1.5. 上网行为存在安全因素

访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网络。

员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢。

员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率。

二、网络整改目和内容

为了控制公司网络资源浪费和规范公司员工上班时间的电脑使用行为。公司员工能正确地使用维护各办公室的计算机,有效使用网络资，做出以下整改。

本次改进方案包括了改进及维护方案两大类，主要以改进为主。涉及网络调整和员工电脑等。

三、解决方案及效果

3.1 虚拟局域网

如果根据网络应用的不同，建立几套完全独立的物理网络，这样做不可行，首先为这几套网络重新布线，工程量大，其次是不同的网络需要访问的资源不一样，将这些需要访问的资源再关联起来也不是一件容易的事情，因此建议采用虚拟局域网技术来达到网络隔离的目的。

虚拟局域网技术，在一个物理网络中，根据应用的不同，把不同的电脑划分到不同的虚拟局域网中，而这些不同的虚拟局域网之间是不可访问的，该技术成熟并得到广泛应用。

3.2 网络访问控制

在虚拟局域网的基础上，根据应用的不同，控制其可以访问的网络资源。

3.3网络安全系统设计

内网安全设计：访问控制，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对以后所用到的ERP软件及办公自动化平台的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。

外网安全设计：安装软件、硬件、防火墙，网络防病毒软件，客户端防病毒软件；利用代理服务器提供Internet与Intranet之间的防火墙功能；通过网管实时记录网络的运行状态。设置远程访问身份认证，防止垃圾邮件等。

3.4 PC准入控制

在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到公司网络的时候，交换机会为外来电脑的MAC地址不属于公司网络，从而禁止外来电脑接入公司网络，从内部加强公司网络的安全性。

3.5 上网行为管理

管理网络带宽。根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。

提升工作效率。针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。

保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站，保护员工的合法权益。禁止色情，反动，邪教等非法网站。对传输文件格式进行控制，防止不安全格式的文件进入内网。防DOS攻击

3.6 资料及数据安全方案

考虑到公司客户定单和公司设计资料的安全，可以通过做ACL设置用户访问权限，防止用户访问不该访问的机密电脑资料，并且并部分控制对E-MAIL，QQ等的泄密管道，防止资料外泄，因此加强防火墙的安全管理很重要，可以在防火墙上设置禁止对外的smtp服务，禁止通过外部邮箱outlook传递资料，关于USB的封堵，本来应该靠购买行为软件来规范，或者通过AD域的组策略来实施，但考虑到预算成本，可以通过脚本（一个exe的可执行文件），只需要用管理员的身份登陆电脑，点击一下，就可以完成PC注册表的修改，禁止该电脑的USB口