智慧园区网技术建议书.docx

智慧园区网建设技术建议书项目背景介绍概况项目背景项目建设需求分析随着云计算、物联网、移动互联网的大规模应用，企业信息化也发生了很大变化。从办公应用IT化，再到多媒体、生产等应用IT化，IT在企业信息化中发挥的作用越来越大。对XXXXX智慧园区网来说，从ERP、生产管理系统等生产应用，到OA、邮件、营销系统、财务系统等办公应用，再到在线交易、在线物流配送、在线融资等电子商务应用系统，都通过网络承载。因此，需要一张能承载所有应用，满足不同应用的特点，同时简单、智能、可靠的网络。具体来说，建设需求如下：一张物理网络承载多种应用如前所述，XXXXX智慧园区网的网络系统承载众多应用，同时还要考虑园区正常互联网访问需求（包括生活区上网需求及分支机构与总部系统业务对接），且园区业务办公等系统需与互联网访问严格划分，保证隔离。所以实际上整个园区网应建设两套网络：一套内网，承载整个园区网业务、办公管理应用；一套外网，满足园区互联网访问需求。当前，部分企业出于安全性考虑，建设两套物理网，分别作为内网和外网。这种建设多套网络的模式存在以下问题：重复投资，多套网络需要重复投资、多套布线用户体验差，用户要在多套网络，多套终端间来回切换不可持续，难以适应应用飞速增加的趋势多套网络需要多套网络设备，使得网络规模变得庞大，管理复杂、整个网络的规划设计复杂因此，对XXXXX来说，需要在一张物理网络上承载所有应用。满足多种应用的隔离如2.1所述，XXXXX需要在一张物理网络上承载所有应用。但同时，内外网由于使用功能、运行应用、面向人员的不同，对网络可靠性、处理性能、安全要求、服务质量、网络策略的要求也存在不小差异，因此办公网、生产网需要进行隔离。对于隔离的方式，传统技术方式是通过VLAN+ACL逻辑隔离内外网。还有少数规模较大的网络，选择MPLS VPN逻辑隔离内外网。两种方式在实际部署中都存在一些问题：■?VLAN+ACL的方式隔离效果差，网络存在安全风险，攻击可轻易突破这种隔离方式。的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。■?采用MPLS VPN的隔离方式，使网络配置变得极为复杂，运维管理成本高，大部分企业难于维护。两种逻辑隔离的方式还存在一个最大的问题，就是内外网业务互通时的安全防护，只能采用核心交换机旁挂安全网关或交换机通过松耦合的方式部署安全业务模块，网络配置、运维管理进一步复杂。 因此，对XXXXX来说，需要采用比VLAN+ACL更安全、比MPLS VPN更简单的隔离方式，满足办公网、生产网的业务隔离需求。结构简单、运行可靠、易于扩展升级本次项目的基础网络系统建设需要重点考虑以下几个方面：稳定、可靠的网络。XXXXX的所有应用都运行在网络上。短时间的业务中断，都可能给中心造成很大的损失。因此网络一定要可靠、稳定。充足的数据转发能力。应保证主要网络设备的处理能力具备冗余空间，满足业务高峰期需要。应用优化能力（应用负载均衡）。一方面保证园区业务系统冗余可靠性，另一方面提升业务系统处理能力，节省服务资源。丰富的扩展能力。当企业需要扩大网络规模、提升网络性能、增加新应用、切换到IPV6而升级网络时，现有网络不需要做大的改动，可以平滑升级。安全防护对于XXXXX来说，网络安全建设方面需要考虑以下几个方面的建设：基本结构安全与访问控制。对网络进行安全域划分，设置不同安全域的访问控制策略。入侵防护。对系统漏洞、协议弱点、DDoS攻击、网页篡改、间谍软件、恶意攻击、流量异常等威胁进行主动与实时阻断的一体化深层次安全防御。病毒防范。终端接入控制。确保符合安全策略的终端才能接入网络，从源头上保障网络安全。漏洞扫描。及时发现终端设备、服务器、路由/交换/安全设备、操作系统（Windows/Linux/Unix）、应用服务、数据库等设备的漏洞，发现后及时弥补，避免被黑客利用漏洞进行攻击，带来损失。WEB安全防护。保障对外Web系统应用安全，防止遭受如SQL注入、溢出攻击，网页篡改等黑客攻击，导致业务瘫痪。上网行为管理及流量控制。作为大型公共互联网服务区域，园区网需满足公安部82号令要求，对园区上万行为进行审计管控，且能够记录上网行为（至少保存60天）；同时整个园区网上网终端数较大，对带宽要求较高，为保障关键业务带宽，减少带宽投资，提升带宽资源利用率并满足上网体验，需要对出口流量进行管理控制。等保合规信息安全等级保护制度作为我国信息安全建设的基本国策，是必须要满足的。因此，在进行园区网建设时，需要考虑等保的合规问题。管理运维简便网络规模不断升级和扩大，网络、安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，总是会遇到设备无法统一管理、策略无法集中配置、日志和流量无法全面及时的分析、权限分散无法集中和分级进行管理等难题，往往只