XXX网络优化方案

xxxx网络改造方案

目录

一、方案背景及硬件配置 (2)

1.2上网行为准则 (2)

1.3数据安全 (2)

二、网络现状 (3)

2.1 现状说明 (3)

2.2 网络拓扑图 (3)

2.3采用千兆的交换机 (4)

2.4所有电脑在同一个子网 (4)

2.5应用服务器缺乏基本的保护 (5)

2.6外来电脑可任意接入 (4)

2.7上网行为存在安全因素 (4)

三、解决方案及效果 (5)

3.1建立虚拟局域网 (5)

3.2网络访问控制 (6)

3.3 PC准入规则控制 (6)

3.4上网行为管理 (6)

四、解决硬件需求 (7)

1方案背景及硬件配置

公司目前拥有的PC数量大约为50台（公司为44台左右，闲置台数约为2台紫金建材，自带5台），不含紫金建材电脑设备及网络设备。网络体系架构比较复杂，大部分PC机均在同一网段，这样在目前没有部署企业级杀毒软件的情况下，很容易发生一台电脑中毒，致使整个网络瘫痪的事件；

其二，机房网络结构繁琐，网络布线比较混乱，这样网络管理维护非常的困难；

其三，机房呼叫中心网络由于需要长时间运行，网络带宽系统外部远程VPN需要占用部分网络资源，路由器已不能支持目前的设备运行，该路由器超负荷运行已经严重影响公司的办事效率，由于网络路由器资源有限无法供应即将面临崩溃；

其四，由于公司最初设计的未考虑上网安全管理，目前局域中存在着BT下载，IP地址盗用，以及通过USB接口泄露公司的机密等问题。

1.2 上网行为准则

1.不得利用公司网络制作、下载、复制、查阅、发布、传播反动、淫秽色情等有害信息

2.上班时间内，不得浏览与工作无关的网页内容；不允许使用QQ、MSN等聊天工具聊与工作无关事情；不允许听歌、看电影、玩游戏、网购、网上赌博等。

3.禁止过量下载或上传。

4.员工不得擅自更改电脑系统的网络设置（如IP/MAC地址等信息）。

5.不得使用非法软件盗用他人IP地址，非法入侵他人计算机系统，阅读他人文件或电子邮件，滥用网络资源。不得制造和传播计算机病毒；禁止破坏数据、破坏网络资源，或其它危害网络安全行为。

1.3 数据安全

1.计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生。

2.防病毒软件

3.呼叫中心数据现在通过VPN直接暴露在外网相当不安全

二、网络现状

1.现在随着呼叫中心的上架，公司的网络设备已经超负荷工作，跟不上软件应用的升级。导致公司目前网络状况差，网络不稳定，已经开始影响到了公司网络的正常使用。现公司机房设备已经不符合公司的发展需求，机房线路杂乱，不易维护与升级。

2.公司现网络拓扑图如下：

现有网络无法进行安全管理及控制，缺乏可管理与安全性，一旦网络出现病毒及网络攻击现象，将影响公司内部所有IT设备及公司的业务运作。

1、采用普通的交换机

目前的交换机为Dlink-des1024R 10/100M共三台，都是二层普通交换机，功能就是进行数据转发。无法登进交换机查看交换机状态、无法查看网络流量状态、无法根据网络的新需求进行新的配置。

2、所有电脑在同一个子网

所有的电脑、服务器、网络设备在同一个网络内，这意味着这些设备之间可以任意的互连互通，任意一台电脑感染病毒或受黑客控制的时候，可以直接影响公司的所有IT设备。

3、应用服务器缺乏基本的保护

服务器与电脑设备在同一个网络中，意味着电脑可以任意访问服务器的所有端口，而不是根据应用服务的需要去限制只可访问需要的服务，这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。

4．外来电脑可任意接入

外来电脑和笔记本可以任意接进公司网络，其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。

5. 上网行为存在安全因素

访问不安全网站，如暴力、黄色、赌博、股票等与业务无关网站，会导致病毒和木马进入公司内部网站

员工上班时间下载电影或是在线看视频资料，会占用极大的带宽资源，导致业务开展所需要的带宽不够，收发邮件变慢

员工上班时间看新闻，军事，足球，玩网络游戏，炒股票等等会影响到员工的工作效率

二、解决方案及效果

2.1 建立虚拟局域网

如果根据网络应用的不同，建立几套完全独立的物理网络，这样做不可行，首先为这几套网络重新布线，工程量大，其次是不同的网络需要访问的资源不一样，将这些需要访问的资源再关联起来也不是一件容易的事情，因此建议采用虚拟局域网技术来达到网络隔离的目的。

虚拟局域网技术，在一个物理网络中，根据应用的不同，把不同的电脑划分到不同的虚拟局域网中，而这些不同的虚拟局域网之间是不可访问的，该技术成熟并得到广泛应用。

2.2 网络访问控制

在虚拟局域网的基础上，根据应用的不同，控制其可以访问的网络资源。

2.3 PC准入控制

在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到公司网络的时候，交换机会为外来电脑的MAC地址不属于公司网络，从而禁止外来电脑接入公司网络，从内部加强公司网络的安全性。2.4 上网行为管理

管理网络带宽。根据各个部门业务需求不同，分配不同的最高带宽。同时也根据应用需求的带宽，给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。

提升工作效率。针对URL,聊天工具，上网时间，应用程序进行管理，最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库，禁止员工访问与业务无关的网站，只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻，可根据需要禁止访问其中某些类的网站。

保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站，