网络改造方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络改造方案
新辉灯饰有限公司网络改造方案
目录
一、目前情况及特点........................................2 二、解决方案及效果. (5)
2.1 虚拟局域网 (5)
2.2 网络访问控制 (5)
2.3 PC准入控制 (5)
3.4 上网行为管理 .......................................6 三、改造后的网络拓扑结构图及特点. (6)
3.1 改造后的网络拓扑结构图 (7)
3.2 新拓扑图的特点 (7)
尊敬的公司领导:
您好~
本人进公司这两天以来,经过了解调查和发现,对我们公司的各种电脑设备和网络的使用不紧存在很大浪费和隐患,也使得公司的工作效率得不到很好的提高。本着对工作恪尽职守的态度,先将公司的电脑网络情况和改造写成方案,以供审阅。谢谢~
刘林
2012年6月16日
一、目前的电脑网络情况及特点
目前的网络拓扑图如下:
目前状况:
现有网络无法进行安全管理及控制,缺乏可管理与安全性,公司人事和考勤采用原始的人工登记,集团电话处于半瘫痪状态,一旦网络出现病毒及网络攻击现象和硬件损坏的情况,将影响公司内部所有IT设备及公司的业务运作和公司内部资料的丢失,而给公司带来不可估计的损失。
1、网络结构杂乱
目前的交换机有9台,而工作电脑只有38台,且是串行网络,这样很造成网络的混乱,一但出现紧急问题,排查起来非常复杂,不能及时恢复而影响公司的正常运行。
2、所有电脑在同一个子网
所有的电脑、服务器、网络设备在同一个网络内,这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响公司的所有IT设备。
3、应用服务器缺乏基本的保护
服务器与电脑设备在同一个网络中,意味着电脑可以任意访问服务器的所有端口,而不是根据应用服务的需要去限制只可访问需要的服务,这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。
4(外来电脑可任意接入
外来电脑和笔记本可以任意接进公司网络,其电脑上所带的病毒、木马、恶意工具会影响公司其它电脑以及服务器的安全。
5. 人事资料和考勤
与ERP系统没有结合使用,这样造成人力和物力的浪费,为此公司还得要有专门的人员来负责,并且每天庞大的数据量靠人工登记,出错的几率也随之增加。
6. 公司程控电话
程控电话属于半瘫痪状态,这样极大影响了工作效率,也造成公司人力物力资源的浪费
7. 办公设备
公司打印机等办公设备,采取网络共享的方式,这样很容易的造成网络堵塞,如果打印机的的电脑出现故障,就会导致整个打印机
无法工作,存在极大的安全隐患。
8.软件系统
因暂未了解公司的ERP系统,暂不做表述,如有需要,以后做份补充资料。
二、解决方案及效果
2.1 虚拟局域网
如果根据网络应用的不同,建立几套完全独立的物理网络,这样做不可行,首先为这几套网络重新布线,工程量大,其次是不同的网络需要访问的资源不一样,将这些需要访问的资源再关联起来也不是一件容易的事情,因此建议采用虚拟局域网技术来达到网络隔离的目的。
虚拟局域网技术,在一个物理网络中,根据应用的不同,把不同的电脑划分到不同的虚拟局域网中,而这些不同的虚拟局域网之间是不可访问的,该技术成熟并得到广泛应用。 2.2 网络访问控制
在虚拟局域网的基础上,根据应用的不同,控制其可以访问的网络资源。
2.3 PC准入控制
在交换机端口上绑定公司电脑的MAC地址。当外来电脑接入到
公司网络的时候,交换机会为外来电脑的MAC地址不属于公司网络,从而禁止外来电脑接入公司网络,从内部加强公司网络的安全性。
3.4 上网行为管理
管理网络带宽。根据各个部门业务需求不同,分配不同的最高带宽。同时也根据应用需求的带宽,给不同的业务分配不同的带宽。保障关键的员工和业务能够获得足够的带宽。
提升工作效率。针对URL,聊天工具,上网时间,应用程序进行管理,最大限度减少员工利用上网做与工作无关事情的时间。如通过URL库,禁止员工访问与业务无关的网站,只允许访问与工作相关的网站。同时对上千万条URL记录分为新闻,可根据需要禁止访问其中某些类的网站。
保障内网安全。阻止各类假冒网银和假冒网上证券等钓鱼网站,保护员工的合法权益。禁止色情,反动,邪教等非法网站。对传输文件格式进行控制,防止不安全格式的文件进入内网。防DOS攻击
三、改造后的网络拓扑结构图及特点
3.1 改造后的网络拓扑结构图
3.2 新拓扑图的特点
1. 构建多个虚拟网络。
公司的网络被虚拟成决策层、管理层、行政部、财务部、业务部、生产部、品保部、资材部、服务器区等多个虚拟网络。并可根据需求增加新的虚拟网络
2. 虚拟网络之间访问控制。
不同的虚拟网络之间,是不可以直接访问。一个虚拟网络必须经过中心交换机才可以访问其它虚拟网络的电脑。 3. 网络资源访问控制。
在中心交换机上,可以根据需要开通相关的访问权限。如只允许
办公电脑访问邮件服务器的25和110号两个端口,保障邮件服务器其它端口的安全。
4. 上网行为管理
优化上网行为,提高上网安全