单位内网网络升级方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络升级改造方案

为加快本单位的信息化建设步伐,使单位网络能适应新形势下对网络速度、稳定性以及安全性的要求,从而建立更丰富的网络应用平台及网络资源,特针对单位原有网络进行提高网络速度和安全的升级改造。

一、原有网络分析

现有网络拓扑结构

通过对现有网络的性能与安全分析,发现存在以下几个问题:

1、网络中安全防护措施。外部军网与我单位内网的连接处只是通过网关进行了简单的接入,没有设置网络数据的安全策略,等同于把我单位网络直接暴露给了外部网络,一旦外部网络对单位内网进行渗透和入侵,内网将毫无防御的能力。

2、网络中存在传输瓶颈。网关接入带宽为千兆,各个接入楼层交换机均为百兆带宽,而核心交换机目前只是使用了ZXR10 2826A交换机,该交换机为百兆接入交换机,不能胜任多个楼层交换机之间的数据交换,形成了整个网络链路中的瓶颈。

3、网络规划不合理。现有网络中所有部门、网络设备及服务器同属于一个网段,各个

部门均可以相互访问,网络内部不存在访问控制的限制,容易造成数据信息在内网中扩散,特别对于保密部门来说这将是大忌。另外随着网络规模的不断扩大,一个C类网段将不能满足需求,而更改为更大的网段又会非常麻烦,影响了网络的可扩展性。

4、服务器使用不合理。网络中仅有一台服务器,网站服务器、FTP服务器、数据服务器全部部署在一台设备上,该台服务器一旦宕机,网络资源将全部瘫痪。而且网站服务器的信息更新目前采用人工手动方式,不能及时快速的完成更新。FTP服务器没有角色划分,不能完成个人数据的安全存储。网站数据库目前采用ACCESS模式,不能承担大的访问量,并且访问速度缓慢,安全性低,数据不能有效备份。

二、改造后网络特点

新网络拓扑结构

网络升级及改进建议:

1、网络入口出增加天融信防火墙。使用该防火墙对进出网络的数据进行深度筛选和过滤,将有害信息和无用数据拒之门外,构建起单位内网的第一道防线。

2、更换核心交换机为华为S5700千兆核心交换机,打通网络中的链路传输瓶颈,使单

位内网工作在高速运转的状态。

3、将单位各个部门划分为不同的VLAN,Vlan之间使用访问控制策略进行控制,确保部门数据的安全,同时不同VLAN使用不同的IP地址段,提高网络的可扩展能力。

4、增加一台服务器器,将网络应用程序和应用数据分别放在两台不同的服务器上,更改网站数据库,由原来的ACCESS数据库改为SQL SERVER数据库,设置定时数据备份,提高数据访问速度和数据安全。在WEB服务器上安装网站数据采集系统,对指定网站进行定时或不定时的数据更新,丰富单位网站的内容。架设新FTP服务器,为用户划分不同的账号密码,从而保证个人数据的安全。

三、网络升级设备及软件汇总表

四、施工及调试费用表

附件一:

品牌: 天融信

配置为4个10/100/1000MBase-T端口,2个SFP插槽

整机吞吐率:>2.8Gbps

最大并发连接数:>220W

l 基础功能

网络接入

2 路由、透明、混合及直连部署模式;

2 静态路由、动态路由、策略路由及多播路由,支持ECMP/WCMP多路径算法;

2 支持VLAN、TRUNK、STP、QinQ等二层特性;

2 ADSL、链路聚合、虚拟线及子接口等多种网络接入方式;

2 支持IPv6(接口配置、路由、ICMPv6、ND、DHCPv6等);

2 支持双栈、NAT-PT及隧道封装(手工、Auto、6to4、ISATAP、GRE)的IPv4/IPv6过渡技术;

2 IPv6安全策略部署(ACL、AV、IPS等);

安全防护

2 基于传统五元组、用户、应用、内容、QoS、时间等多元组一体化访问控制;

2 访问控制自动生成;

2 源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略;

2 支持H.323、SIP、FTP、RTSP、SQL*NET、MMS、RPC、TFTP、PPTP等动态端口协议;

2 MPLS报文解析与访问控制,以及非IP协议的协议透传;

高可用性

2 AA(负载均衡)、AS(主备)及SP(连接保护)双机工作模式;

2 支持多机(集群)部署;

2 双系统引导、备份与系统还原;

身份认证

2 采用内网终端与远程接入终端统一管理的集中式认证系统;

2 支持本地认证与第三方外部认证(如RADIUS、TACACS、LDAP、域认证等);

2 集成PKI服务,内置CA并支持第三方CA;

2 支持客户端认证与WEB认证;

2 支持用户名/口令、证书、短信等认证方式以及多因子组合认证;

2 支持可信接入;

2 提供DHCP服务器/客户端/中继、DNS代理、DDNS、NTP、CDP等网络服务;

2 防共享上网功能;

2 支持服务器系统信息屏蔽;

2 支持跨越三层设备进行IP/MAC绑定;

2 支持网关虚拟化技术;

系统管理

2 基于SSH、HTTPS安全协议的配置交互界面;

2 管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全配置;

2 支持管理员外部认证;

2 系统资源、硬件状态、网络流量、安全事件的可视化监控;

2 邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式;

2 采用Welf、Syslog日志格式,支持分级和按类型输出以及日志加密传输;

2 支持SNMP协议,兼容通用网管平台;

2 图形界面与命令行方式进行系统升级;

2 提供报文调试功能及系统健康记录,支持端口镜像;

l 负载均衡

2 多运营商接入,支持多种路由均衡算法及路由备份功能;

2 多条ADSL线路接入

2 采用链路有效性探测实现智能链路切换;

2 支持多线路接入下报文的源路径返回;

2 支持服务器负载均衡,提供多种负载均衡算法并支持服务器的应用有效性探测;

l 流量管理

2 基于访问控制的QoS策略管理模式;

2 根据IP、用户、应用、接口、时间等多元组组合方式进行细粒度的带宽策略定义;

2 支持保证带宽、限制带宽及带宽优先级设置;

2 支持DSCP和COS的流量管理模式;

l 反垃圾邮件

2 提供邮件、IP地址黑白名单功能;

2 实时黑名单(RBL)及反向DNS解析(RDNS);

2 支持对邮件主题、正文、收发件人、附件等进行关键字过滤;

2 灰名单功能;

l 攻击防护

2 DDoS攻击防护,包括非法报文攻击及统计型报文攻击;

2 ARP攻击检测与防护;

2 支持IDS联动,以及自动生成黑、白名单功能;

2 内置11大类,超过4000条入侵防御实时规则库并支持自定义规则与规则集;

2 支持各类攻击的日志记录、报警及统计分析功能;

相关文档
最新文档