硬件网络建设情况.doc

阳光财产保险股份有限公司深圳市分公司 硬件设备配置及网络建设情况说明 网络状况 网络总体状况简介 阳光财险采用业务集中处理模式，因此网络结构设计和网络的建设非常重要。深圳市分公司采用2兆中国电信SDH（SynchronosDigitalHierarchy）数据线路与总公司直接连接，备份方式采用ASDL加VPN连接到总公司数据中心，下属各支公司采用ASDL加VPN连接总公司，均使用防火墙将阳光财险内、外网络实现隔离，保证两个网络系统的安全性，并采用MACFEE网络版防毒软件，实现整个系统的自动防护。整个网络采用标准星形以太网络拓扑结构。 连接方式 拓扑结构：采用标准星形以太网拓扑结构。 网络系统： 中心机房核心网络系统交换机：采用2台CISCO2950交换机。其中每台交换机使用六类线连接路由器CISCO3845，提供100M交换到桌面。防火墙采用PIX-515E。 分支机构网络系统交换机：各采用1台24口CISCO 2950交换机，使用六类线连接到路由器CISCO1841，提供100M交换到桌面。防火墙采用PIX-506E。 通讯系统： 远程通讯路由器：采用1台CISCO 3845路由器作为接入总公司的设备。 分支机构备份系统： 各分支机构通过ADSL加VPN的技术连接到总公司数据中心。 系统安全设计 网络结构安全 网络结构的安全性通过以下方面实现： 网络结构符合国际标准，各安全要求不同的部门采用VLAN分隔，并通过三层交换引擎的访问控制列表（ACL）实现VLAN间安全访问。 Cisco交换机提供了MAC地址限制的功能。在特定的端口进行设置，允许固定MAC地址网卡的包通过，只要工作站网卡MAC地址未被该端口登记，这台工作站就无法在网络上工作。这种通过对交换机设置来限制工作站点的方法能够有效阻止非本公司的电脑、便携式电脑等的非法使用，保护了整个网络的安全。 网络设备安全 网络设备大多可以通过远程进行控制，为了防止用户利用网络设备的管理漏洞进行未经授权的修改配置，需要采取以下措施： 根据不同用户在网络设备上定义不同的用户名、密码以及权限。合理分配权限使得无关人员无法对网络设备进行配置。 网络中的所有交换机都应该在一个与用户相隔离的V L A N 中。这样可以防止任何用户或服务器直接访问网络设备。网管工作站必须与交换机位于同一个V L A N 中，从而保证这一附加层的安全性。 通过访问控制列表定义网管工作站的地址，使其他机器无法远程登录网络设备。 我们采用的所有网络设备均支持以上技术，可以轻松地实现安全控制。 防病毒设计 计算机病毒有着巨大的破坏潜力：文件损毁、重要资料消失、业务中断、整个网络当机。防毒解决方案以多层次的防护，对抗已知与未知的病毒以保护网络。 在众多的防病毒软件中，我们选择NAI公司开发的Mcafee防毒软件系列产品。Mcafee防病毒软件的技术优势在于： 全方位的 McAfee 病毒防护McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的 ActiveX 和 Java 对象。 VirusScan 采用的防病毒技术能够对压缩数据进行深入分析，因而能够检测出隐藏在 .zip 或其他类型压缩文件中的威胁。 先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。 潜在“垃圾”程序安全 VirusScan 能够自动检测“垃圾”程序，有效防止隐藏程序跟踪企业和用户的 Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞。 当 ViruScan 侦测到“垃圾”程序时，用户或管理员可选择让 ViruScan 作出下列回应之一（警告、清除、删除、和隔离）。 缓冲区溢出防护（IPS 功能）VirusScan 可防护大约 20 种最常用的软件应用程序和 Microsoft? Windows? OS 服务，其中包括 Microsoft Word、 Excel、Internet Explorer、Outlook 和 SQL Server。 必要时，管理员还可以按程序指定例外情况。 强大的内存扫描VirusScan ?具有强大的了扫描功能，包括可以对病毒、蠕虫和木马进行“按需扫描”或“定时的存储扫描”。 也就是说，VirusScan 能够抵御多种诸如 CodeRed 和 SQLSlammer 的威胁因素，虽然此类威胁不会将代码写入到磁盘中，但 VirusScan Enterprise 却可以从内存中直接清除掉它们的进程。 集中的管理和报告功能VirusScan 集成