网络改造项目解决方案.pptVIP

网络改造解决方案 2018年3月 全省环保网络现状 网络建设现状分析 目前已有的网络主要分为互联网和外网2个区域。 主要存在的问题是安全防护手段不完善、设备数量众多，网络运维困难等问题。 安全建设 省厅安全建设规划 安全建设主要是对原有机房进行安全加固。 提升云平台内的安全防护能力。 提升全网的安全检测能力。 增强统一维护统一管理的水平。 整体互联设计 通过现有的在线监控网和环统专网，实现各处业务互通。 考虑到使用单位较多，使用静态路由较为复杂。本次建设计划采用OSPF和BGP协议。实现各单位的连通。 单点网络建设 本次对各处的3套网络设备进行整合，对原有老旧网络设备进行替换，从而实现设备和链路双层面的冗余。规避单点故障的问题。 同时简化各处网络设备，以分区分域的方式进行安全建设。提升安全防护能力。 网络出口建设整合，并实现冗余部署 局域网改造 原有架构 改造架构 各处出口通过路由器、防火墙等设备实现网络互通和安全防护。 局域网方面，通过2台核心交换机将3套网络进行整合，将下联设备分为核心业务区、安全管理区以及局域网区3个区域。 在核心业务区域前新增数据中心防火墙，提升业务区域安全级别，提升地市业务系统的安全防护能力。 同时淘汰掉原有的IDS、漏洞扫描系统。通过数据中心防火墙功能实现。简化现有地市单位网络架构。 1、三网整合，核心设备冗余部署 2、业务区域安全防护提升 各处网络规划 各处网络出口部署路由器，连接政务外网和环统网，满足链路层面的冗余，实现政务外网和环统网的故障切换。提升县区单位网络稳定性。 路由器下部署综合网关设备满足各处对上网行为管理、应用防火墙等网络设备的要求。 综合网关统一接入到各处集中管控平台，实现对各处设备的集中管理，统一进行策略下发和设备运维。 边界安全 传统边界安全只是在事中堆叠防御 AV IPS WAF FW UTM/NGFW WAF 方案一 方案二 事前 事中 事后 安全日志碎片化 静态策略的防御，无法应对新威胁 割裂的保护手段，难以协同配合 关注事中的攻击，缺乏全过程保护 2、割裂的防御手段 只能看见碎片化的攻击日志 只能看见图形化的统计报表 缺乏资产/风险的视角 1、碎片化的安全认知 碎片化 无效的 难看懂 难管理 投资高 用不好 由此导致安全事件频发 2、攻击日志的关联、防御的联动能有效提升防御的效果 3、持续检测被绕过的安全事件并快速看见快速响应更关键 1、对资产变化、风险状况、策略有效性的预知是安全基础 解决之道-融合安全 让安全更有效、更简单 云平台设计 替换 云平台 - 建设模式 超融合一体机 云平台 - 基础单元 云平台-扩展更简单 按需购买，精确控制成本 扩容简单，业务不停机 横向扩容无瓶颈，支撑业务高性能需求 配置按3-5年规划，超额投资 扩容需要数据迁移，风险高 存在单点瓶颈，无法支撑业务发展 云平台-故障处理更便捷 备件区 超融合机柜 超融合机柜 超融合机柜 更换区 冗余性高，单点故障不影响业务 事后合适时间替换节点，运维压力小 运维零排障，直接快速更换 从备件中替换即可，操作简单 单节点故障，存在业务中断风险 故障处理紧急程度高，运维压力大 设备故障排障难度大，修复周期长 设备返修，替换过程复杂 云平台-业务敏捷交付，所画即所得业务编排 Sangfor cloud 深信服企业级云管理平台 云平台 - 可视化极简运维和排障 所画即所得 分钟级部署 一键定位故障 全资源管理 云平台-全资源统一监控 平台监控 所有资源的监控 主机监控 服务器IPMI 业务监控 业务的健康状态 流量监控 正/异常的流量 云平台-全方位资源预警 完善的平台风险预警机制 云平台-自动运维检测 平台提供自动运维检测功能，支持检测软件故障的同时，也能检测硬件异常 云平台-全网流量可视 全网流量可视，并可以通过联通性探测工具实现一站式的故障定位 云平台-全方位业务监控 招式一：提供大屏监控、业务状态一目了然 通过大屏实时展示所有虚拟机、业务和数据库等健康状态。 招式二：主动探测业务可用性，并实时告警 主动探测业务系统，实时监控业务可用性，当业务出现故障时， 通过多种方式（短信、邮箱）告知管理员进行排障。 招式三：对Oracle、SQLServer、WebLogic等关键应用深入监控 可视化应用内部数据流，提供锁、Session、事件等待、解析、重做日志等细粒度性能指标情况， 让业务人员能更快识别应用瓶颈。 PDU 云平台-真实的物理部署拓扑 云安全设计 云数据中心-深信服云安全设计 aFw分布式防火墙 Anti Virus Center APP Agent OS vNGAF APP Agent OS APP Agent OS APP Agent OS APP Agent OS 风险扫描 漏洞监测 We