涟钢采制样信息系统联网设计方案.docVIP

涟钢采制样信息系统联网设计方案 一、概要 本需求用于建立涟钢采制样信息系统（以下简称“本系统”）的虚拟专网，充分利用涟钢现有网络资源，在涟钢现有ERP网络上使用VPN技术组成虚拟专网，并配合网络技术安全手段，结合涟钢计算机网络的实际情况和特点，在适当增加网络安全设备、链路的前提下，保证本系统安全、可靠、高速运行。 二、需求 2.1联网需求 由质检中心8个原检业务检验点组成一个专用网络，具体情况如下表： 序号 检验点 地理位置 检验业务 1 取样一班 新交接站 铁矿石取样 2 取样二班 3号门卫汽车煤取样点 喷吹煤、焦炭取样 3 合金班 二轧钢合金库 合金取样 4 集中制样 四拱桥 原检物料制样 5 化三室 十一五综合楼五楼 原检物料化检 6 化一室 一炼轧办公楼 生铁化检 7 质检中心 质检中心新办公楼 原检业务管理监控 8 *新汽车煤取样 冷轧靠近娄涟公路旁 喷吹煤取样 注：*新汽车煤取样取样点属于在建项目，暂不纳入本方案，建设新汽车煤取样点时按本方案设计予以建设。 2.2目前联网情况 各检验点目前除新汽车煤取样点以外，其余各点已经全部与涟钢ERP网络联网，网络接入情况见下表： 序号 检验点 上级结点 传输介质 1 取样一班 物流中心新信号楼 光纤 2 取样二班 三号楼 光纤 序号 检验点 上级结点 传输介质 3 合金班 物流中心合金班 双绞线 4 集中制样 三号楼 光纤 5 化三室 综合楼四楼HUB柜 双绞线 6 化一室 一炼轧办公楼机房 双绞线 7 质检中心 信息中心机房 光纤 注：物流中心新信号楼到取样一班的光纤目前正在铺设。 2.3安全保密需求 安全性：具备较强的防攻击能力，能有效控制非授权计算机接入，能有效控制非法访问（保证本系统内的所有PC不能相互访问，而只能访问代理服务器），对网络中各种异常数据及时记录和提示。 保密性：关闭所有不必要的端口，应用层使用加密传输。 稳定性：网络在一个较低故障率下运行，确保原检业务正常开展。 2.4网络结构 使用VPN网关组成虚拟专用网络，核心VPN网关放置在质检中心新建机房内，各业务点客户端采用桌面型VPN网关，限制客户端计算机相互访问和隔离公司ERP网络。 2.5设备清单及预算 设备名称 型号 单位 数量 单价 总价 交换机 WS-C3750-24PS-E 台 1 30000 30000 服务端VPN网关 （带防火墙功能） NGFWARES TG-1508-VPN 台 1 52000 52000 客户端VPN网关 NGFWARES TG-1105-VPN 台 8 10000 80000 入侵保护系统 中联绿盟 iceye 200P-03 台 1 80000 80000 光收 LERC-512-FE-S1 台 5 2700 13500 光收 LERC-512-FE-M 台 5 2200 11000 接入交换机 CISCO M-2400 台 9 2500 22500 网络线 AMP 超五类非屏蔽双绞线 箱 1 750 750 服务器 　 台 1 30000 30000 设备安装调试费用 30000 30000 349750 注：其他设备由取制样信息系统开发商提供。 2.6网络部署要求 质检中心新办公楼的核心VPN网关、数据库主备服务器、负载均衡服务器、中转服务器、交换机，一起放置在机柜内，并上锁；所有接入的线缆，必须预留1米的长度在机柜内，并用线卡等卡住锁死；所有网络设备的不用的口子全部封闭。 各接入点的桌面型VPN网关和交换机等网络设备，一起放置在机柜内，并上锁；所有网络设备不用的口子全部封闭，不允许随意接入；所有接入的线缆，预留1米的长度在机柜内，并用线卡等卡住锁死；线缆的另一端绑死（焊接）到PC的网卡上。 在核心VPN网关上生成密钥和认证证书等，并在桌面型VPN网关上导入。密钥和认证证书等建议由专人定期更换。 在核心VPN网关上设置策略，技术上保证只允许指定的桌面型VPN网关才能接入本系统。 在核心VPN网关上设置策略，技术上保证本系统内的各桌面型VPN网关之间不能相互访问。 在核心VPN网关上设置策略，技术上本系统内的各PC之间不能相互访问，而只能访问代理服务器。 在核心VPN网关上设置策略，技术上保证本系统外的任意系统或设备不能接入或访问本系统。 在各接入点的顶层交换机上设置策略，技术上保证本系统之外的任意系统或设备不能访问本系统内的任何PC和服务器。 在各个接入点的桌面型VPN网关上设置策略，技术上保证接入到该桌面型VPN网关下的各PC之间不能相互访问，而只能访问代理服务器。 在各个接入点的底层的交换机上设置策略，技术上保证该交换机下的各PC之间不能相互访问，而只能访问代理服务器。 所有网络