集团网络升级改造建设方案

---集团网络升级改造

建设方案

一、概述

网络是集团信息的基础设施，以集团为中心下属各分支机构及项目部通过与中心节点的连接，实现互联互通。此方案从网络入口、网络安全、数据加密、网站加密等安全防护方面出发，保障公司网络安全与数据互联的畅通。

二、原拓扑介绍：

1、外网接入：

目前公司大楼接入的电信带宽是100兆光纤，较难满足公司后期带宽的需求。

2网络层设备

核心路由器：设备接口为百兆而且是六年前采购的，相关配件已经停产。目前要想提速到300兆必须采购千兆接口路由器，因为千兆端口可以接收更多的并发访问数量，后期相关模块上线使用后会有大量的用户访问集团网络中心，带宽的扩容可以解决此问题。

层交换机：目前公司六层主楼加五层副楼只有四个光口交换机，从网络拓扑角度来讲应该是核心交换机通过光纤直连到层交

换机，还需要采购七台光口交换机，保证300带宽可以到达弱电井，目前的设备只支持最多一百兆带宽到达弱电井，不能满足后期带宽的扩容。

核心网关：目前公司用的核心网关为2013年采购，且前段时间已升级最新版本，完全符合公司的后期扩容要求，一般硬件厂家的支持升级年限为五年以上。

上网行为：规范和限制员工的设备，包括上班时间禁止看视频、下载大容量文件等，后期网络改造将进行手工配置ip地址的模式，每人都对应自己唯一的ip地址。

公司现在网络情况总结：百兆光纤接入，通过百兆路由器千兆交换机接入到弱电井，通过网络线接入到办公室，有相应的上网行为设备的控制，在服务器区通过核心网关做映射与外网相连，同时起到安全防护的作用。缺点：用户访问外部网络没有安全设备，会造成后期网络访问的数据安全问题；服务器区只有核心网关做防护，不能保证服务器区的足够安全；各楼层没有光纤交换机，后期扩容带宽受限；网站没有足够防护，主要原应是访问量和数据交换较少，暂时不会有大量的数据，不会引起相关木马等的攻击。之所以公司网络是这个现状主要原因是当时集团大楼为临时大楼只为过度

使用，申特对网络的要求也很低，同时在线人数也不会超过100人，网络负载基本满足。

三、网络整改后拓扑介绍

1、接入方式扩容：

光纤接入：原先为100兆，拟增加到300兆，考虑后期集团大楼人数的增加、应用系统的上线和视频会议的需要。

2、网络层设备：

核心路由器：更换千兆接口路由器，核心路由器作为各个接入机构的业务数据汇聚点，需满足高性能、高稳定、接口丰富灵活、可扩展的要求，现有百兆路由器已经不满足需求，建议在出口替换成模块化核心路由器，保证高稳定性，用于各个机构的主链路接入，保证出口快速转发，并方便后期扩展，路由器支持光口、电口、155M CPOS接口、E1/CE1接口、V35同步接口、155M ATM接口等，满足各种广域网接入要求。接入交换机：现有七台接入交换机无光口，且性能偏低，无法满足现有数据线速转发要求，建议将现有7台交换机升级为光口交换机，各大楼及楼层之间通过光纤直连，提升可靠性、分布性和易管理性。

安全防护：目前公司只有一台核心网关，并没有相应的安全设备，特新增一台入侵防御系统，针对互联网病毒、蠕虫，黑客攻击等入侵行为进行检测、报警和阻断，提供安全检测、流量分析、修正分析、及时准确告警，更好地进行风险分析、风险预警、系统和网络脆弱性分析，构建安全可靠的信息网络，后期信息系统的通入必然会有大量的数据，入侵防御系

统是目前网络安全领域较好的抵御设备，也是目前主流的安全设备，一般的使用年限

在五年以上，考虑公司的成本问题建议采购。

增加入侵防御系统的原因：在网络的运行维护中，IT部门仍然发现网络的带宽利用率居高不下、而应用系统的响应速度越来越慢，只好提升带宽并升级服务器喽，可过不了多久问题再次出现。而实际上，业务增长速度并没有这样快，业务流量占用带宽不会达到这样的数量，这是目前各大公司网络都可能存在的问题。并不是当初网络设计不周，而是自2003年以来，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：

这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要

访问Internet又必须访问公司的业务系统，所以存在被病

毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，

导致主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的DP进行大量文件共享，导致机密泄漏和网络拥塞，对系统的危害极大。

为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。

防火墙和IPS协同工作：

内部网络和外部网络的连接处一向是网络安全的重点，防火墙无法阻止黑客间接地通过有权限的主机发起攻击。因此在防火墙之后部署一台IPS，配置保护内部网络的安全策略。通过防火墙过滤掉非法的访问数据，转发开放端口的服务数据到内部网络中，进入内部网络之前，在通过IPS的深度检测，检查每一个数据包是否存在病毒或攻击代码，能够进行实时阻断。

Web应用防火墙：主要部署在网站、应用服务器前端，后期应用系统将通过网站访问，如果没有较强的保护措施，后期会对应用的访问造成一定的安全威胁，同时它具备用户访问的行为分析与审计，对页面点击率、客户端地址、访问流量