XX集团网络安解决方案.docVIP

XX集团 网络方案建议书 目 录 一. 概述 1 二. 企业网络现状 1 2.1 行为管理防火墙对企业的重要性 2 2.2 网络主干核心交换机对企业的重要性 3 三. 恒盛集团网络安全解决方案 4 3.1 整体网络安全解决方案 4 3.2 安全网关及上网行为管理解决方案 5 3.3 核心交换机解决方案 6 概述 针对当前该恒盛集团 企业网络现状 随着企业采用的是两台锐捷EG路由器直接做NAT出上，但这样的网络结构复杂不利于网络问题定位和解决；而对于网络流量无法得到分析，企业网络宽带利用率不高。根据拓扑我们可以看出企业现在存在以下几个问题： 企业员工行为得不到管控（如上班时间抄股、下载等行为）； 企业宽带利用率不高； 对于在外办公的员工，无法利用企业内部资源； 直接把服务器暴露在互联网上，没有任何的安全措施。 没有明确地划分接入层、分布层和核心层。由于没有进行统一的网络设计，后来的网络相关设备加入局域网都采用无规划级联方式（根据接入点和现有交换机的物理距离来决定用级联的交换机，即哪台交换机离我比较近我就连哪台），网络整体上比较混乱。无法对网络进行集中管理，造成目前网络维护和管理没有可参照的“地图”，查找固障点比较困难。 网络交换机都是大部分采用不可网管型，因此无法有效的处理网络广播封包，造成网络本身“体质”差。随着公司现在主机数越来越多，由于没有进行子网划分、管理，造成广播域非常大，如果网内有任意一台设备乱发数据包或广播，容易造成网络性能下降，重者就会造成网络堵塞。给企业实施ERP、CRM等系统软件带来隐患，网络流量正将成倍增加，这样更容易造成网络的不稳定。 随着企业规模的扩大，以及网络应用的增多，对交换机之间、以及交换机到服务器之间带宽的要求越来越高，原有 员工随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生； 外出员工无法通过互联网访问企业内部重要资源，信息得不到及时的更新； 服务器等重要信息资源的访问控制： 对于企业所提供的信息化资源不管对内和对外都需要进行访问控制，提高企业信息安全；保护企业敏感信息不外泄。 服务器很多端口完全暴露在公网上，导致很多补丁如果没有及时的修复就会给予黑客更多进行入侵的机会； 应用成为攻击的目标。以上情况给络管理带来极大的困扰，也给带来了巨大的安全风险。 恒盛集团网络安全解决方案 整体网络安全解决方案 根据以上分析，我们需要解决网络的安全问题是： 员工的上网行为是否有办法进行管控？ 服务器没有进行端口限制长期暴露在互联网？ 外出员工是否具有访问企业内部重要资源的方式和权限？ 企业内部是否具有简单的安全域划分，并从内外网对企业的服务器进行访问控制？ 按不同的部门采用虚拟VLAN网络管理。基于网络性能的考虑，可以缩小广播域，提高了网络的传输效率，从而提高网络性能；基于安全性的考虑，各虚拟VLAN网之间不能直接进行通讯，而必须通过三层路由转发，为高级的安全控制提供了可能，增强了网络的安全性。 所以建议电信线路上布署一台七层防护的安全网关防火墙。以保障企业的四层的端口控制和七层的应用防护。网络核心层采用智能全千兆三层交换机，保证网络及数据中心的交换能力。具体拓扑如下所示： 安全网关及上网行为管理解决方案 在网络出口布署一台安全网关系统和上网行为管理系统可以对服务器端口进行访问控制、对员工的上网行为进行管制、流量控制、VPN使用，安全网关系统具有如下功能： 支持路由、透明、混合模式部署，可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制。安全网关支持支持基于策略的双向NAT、动态/静态NAT、端口PAT，支持静态路由、动态路由支持基于IP地址、用户/用户组、协议、时间、关键字等多种组合策略，对即时通讯、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理。支持用户自定义关键字，系统可对网页内容、搜索引擎、邮件、论坛、即时通讯等进行基于内容关键字的准确检测、、记录，实现深度内容安全管理。CNS1400 适合于内网用户数400-1200人的组织机构，支持2个百兆网络接口、4个千兆网络接口（1 LAN、1 DMZ、4 WAN）。 核心层是网络的高速交换主干，负责整个网络的数据交换对整个网络的连通起到至关重要的作用。核心层应该保证足够的带宽，快速数据传输具有如下几个特性：可靠性、高效性、容错性、可管理性、适应性、低延时性等服务器是网络环境中重要的硬件设备，无瓶颈的数据通路SMB）和城域以太网客户提供业务永续性。配置灵活性，支持融合网络模式，自动配置智能化网络服务，降低融合应用的部署难度，适应不断变化的业务需求。 to a customer r