IT系统规划方案.docVIP

公司IT系统规划方案 当前公司的IT网络架构状况 1.网络状况：佛山总部通过租用电信10M光纤接入Internet，接入设备为普通路由设备，网络内部均为桌面型交换机实现互连。 2.应用系统状况：公司部署一套ERP系统，是公司当前最重要的应用系统， OA系统等。 3.计算机数目：佛山总部用户数约170台左右 网络架构状况 目前公司网络处于最原始状态。公司内部存在多个独立的二层网络架构，所使用的网络设备全部为不可管理的低端交换机，没有任何的网络层次划分。如下图所示： 在用户数量方面，目前整个厂区在线的用户终端数目大约为160以上，已经达到了中型以上企业的用户数目，并且在未来1、2年内还有用户数量的扩展。在安全方面，全网没有任何的网络安全设备、安全策略、网络防毒系统，安全隐患明显。只对客户机进一步权限的设置控制等。 系统基础架构状况 当前，公司的所有桌面计算机系统采用的是MicrosoftWindows系列操作系统平台，服务器系统也采用MicrosoftWindowsServer系列操作系统平台。因此对于这些计算机资源，以及运行于MicrosoftWindows系列操作系统之上的应用软件等的集中统一管理，需要建设一套架构完善、管理方便、功能强大的目录服务体系。 针对以上情况，公司IT基础架构体系方面的规划、调整及建设工作： 以下是网络架构图: 优化网络与安全基础架构 方案采用一台企业级网络防火墙，实现电信光纤网络接入、安全区域划分及安全策略。采用一台三层核心交换机，提供24以太网端口，可为桌面计算机接入、服务器接入、二级交换机汇聚、防火墙接入提供高速、安全的交换平台。整个网络方案提供共24个1000Mbps以太网端口，100Mbps到桌面的交换网络。 利用核心层交换机?H3C?S5510?对网络划分几个虚拟的网络环境(VLAN)，增加网络的安全性, 因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。 通过增加网络安全设备，实现安全的Internet接入，划分DMZ区域，保障各种应用系统服务器的安全发布。建立基于三层交换式以太网络，根据部门、网络功能划分虚拟子网（VLAN），并建立VLAN之间的双向访问控制，提高网络安全性。 VLAN与IP地址划分 VLAN划分的考虑可以基于如下原则： 将公司服务器划分在单独的VLAN段中，以便控制访问安全； 按部门将桌面计算机划分在不同的VLAN段中，以提升网络运行效率； 将特殊部门的网络（如财务部门、开发部门）划分在独立的VLAN段中，以便隔离网络访问，提升网络安全； 将下列不安全的网络划分在独立的VLAN段中，以便控制网络访问，提升网络安全, (1)无线访问点（AP）连接的网络（WLAN）, (2)Internet接入网络（防火墙网段） (3)VPN远程访问网络等 具体划分情况如下表所示（仅供参考）： VLAN ID IP网段 网关 说明 VLAN 1 192.168.1.0/24 192.168.1.254 财务部VLAN VLAN 2 192.168.2.0/24 192.168.2.254 人力资源部VLAN VLAN 3 192.168.3.0/24 192.168.3.254 物控采购组VLAN VLAN4 192.168.4.0/24 192.168.4.254 无线网络VLAN VLAN5 192.168.5.0/24 192.168.5.254 各部门VLAN ...... ……. …… …… VLAN6 192.168.6.0/24 192.168.6.254 服务器群组VLAN 192.168.11.0/24 192.168.11.254 远程VPN子网1 …… …… …… …… 防火墙安全系统设计 企业局域网需要通过广域网或互联网与外界网络互联实现信息交换，在网络边界，需要部署防火墙来保证网络访问的安全性，同时对远程用户，如VPN用户提供接入支持，边界防火墙还可作为内部ERP、OA、财务系统发布平台，将内网或中立区服务器发布到互联网。公司需要在本次项目中部署防火墙系统实现网络连接、访问安全控制及服务器发布的需要； 为了提供服务器对互联网的访问及满足发布内部服务器到互联网的需求，本方案配置一台硬件防火墙和软件防火墙ISA2006，并通过租用专线（10Mbps）连至互联网，满足了服务器发布要求并提供了良好的访问带宽及访问安全控制。软硬结合，全面防御作用。 防火墙作为网络安全的核心部件，放置在网络的出口，通过区域的合理划分 设置有效的安全策略，实现以下的作用： 1.通过控制对关键服务器的授权访问控制，拦截非法访问； 2.对外网的服务请求加以过滤，只允许正常通讯的数据包到