企业网络信息安全整体解决方案.docx

企业网络信息平安整体解决方案技术白皮书 目 录 一、完善、优化企业内部网络架构 4. 1、域结构管理模式 4. 2、网络拓扑结构设计 4. 3、三层交换与 VLAN 结合 5. 4、企业网管软件 6. HYPERLINK \l “_TOC_250002“ 二、构建全方位的数据泄漏防护系统 13 1、文档平安管理系统 14 2、企业 U 盘认证系统 15 3、打印监控系统 17 HYPERLINK \l “_TOC_250001“ 三、建立一体化的本地/异地备份与容灾体系 18 HYPERLINK \l “_TOC_250000“ 四、建立防火墙、防入侵及一体化平安网关解决方案 21 1、趋势科技防毒墙-服务器版（SP）： 22 2、Juniper 防火墙： 23 随着计算机技术的飞速进展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简洁连接的内部网络的内部业务处理、办公自动化等，进展到基于简单的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接力量连接范围大幅度提高的同时，基于网络连接的内部网络平安、数据信息平安、资源安排以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题，我们可以从几方面入手：首先，完善、优化企业内部网络架构；其次，构建全方位的数据泄漏防护系统；再次，建立一体化的本地/异地备份与容灾体系；最终，建立防火墙、防入 侵及一体化平安网关解决方案，达到净化企业内部网络环境提升员工工作效率的目的。 一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时，应从企业应用为最基本动身点，将企业当前和各类应用和将来会上的应用都必需全部考虑进来，特殊是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、平安网关、服务器等)的选购决策，以 及打算企业互联网总出口带宽的大小和企业网络的最终拓扑及规模 。同时网络架构应当具有很高的机敏性和可扩展性，可以任凭增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是接受对等网模式（工作组），在这种工作模式下任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是格外简洁被破解。 在由 Windows 9x 构成的对等网中，数据的传输是格外担忧全的。同时也无法对网络内部的计算机进行集中化的管理，导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域把握器 (Domain Controller，简写为DC)”。域把握器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域把握器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。假如以上信息有一样不正确，那么域把握器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限爱护的资源，他只能以对等网用户的方式访问 Windows 共享出来的资源， 这样就在肯定程度上爱护了网络上的资源。域把握器的功能除了上面说到的可以做身份验证之外，还可以对属于域的全部计算机的操作权限（安装/卸载软件、更改 IP 地址、更改计算机设置等）进行有效的把握，以达到集中化管理的目的。 2、网络拓扑结构设计 组网方式：树形组网方案 该方案引入二级联网方式，骨干层交换机接受了高性能的千兆级二层交换机，连接服务器、路由器与网 络打印机。二级交换机接受 24+2 口交换机，其中的两个端口为 1000M，用于接入骨干交换机，其余 10/100M 端口连接相对分散的桌面用户。 方案特点：二级联网方式更好的将数据通过骨干交换机分散处理，它与服务器之间通过 1000M 高速交换端口连接，以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则接受了快速以太网通道 （FEC）技术，有效的扩展了网络的带宽。这项技术能够把 2-4 个物理链路聚合在一起，在全双工工作模式下达到 400-800M 的带宽，FEC 技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简洁机敏，格外便于扩充。而且所需电缆长度很短，削减了安装费用，易于布线和维护工作。 3、三层交换与 VLAN 结合 很多企业在网络设计初期接受二层交换技术的网络架构，核心交换机接受二层交换技术，在原先只有几十到 100 多台工作站的状况下，网络性能较抱负。但是随着网络规模在不断扩大，工作站增加到 200 台左右时，网络性能明显下降。另外，对于