上海谦米科技项目实施解决方案.docVIP

上海谦米教育科技有限公司 项目实施解决方案 上海上讯信息技术股份有限公司 2017-04-20  目 录 1. 项目概述 3 1.1 项目背景 3 1.2 客户需求分析 4 2. 整体解决方案 4 2.1 上讯信息的安全建设理念 4 2.2 上讯信息的网络系统建设原则 5 2.3 方案思路 7 2.4 上海谦米科技办公区网络拓扑图 7 2.4.1 全局网络拓扑图 7 2.4.2 办公室无线部署位置图 8 3. 网络安全、网络通信和服务器 9 3.1 网络安全设备 9 3.1.1 山石防火墙——系统出口边界安全防护、入侵防御系统、WEB应用安全防护 9 3.1.2 深信服上网行为管理——流量控制及上网审计 11 3.2 网络通信设备 16 3.2.1 核心层：华为S7706 16 3.2.2 汇聚层：华为S5720-36C-EI-AC 19 3.2.3 接入层：华为S5700-52P-LI-AC 20 3.2.4 无线接入：华三H3C-WA4330-ACN-FIT 22 3.3 服务器 25 3.3.1 服务器选型原则 25 3.3.2 戴尔服务器介绍和参数配置 26 4. 关于上讯信息 27 4.1 上讯信息简介 27 4.2 上讯信息服务体系 27 4.2.1 现场培训 27 4.2.2 售后服务方式 27 项目概述 项目背景 上海谦米教育科技有限公司自2016年创办以来，通过全公司上下齐心协力使得公司业务和规模在得以蓬勃发展，公司管理层和IT部门也认识到通过信息化手段可以更好地支撑公司业务运营、提高企业生产和管理效率。目前的主要需求是，在公司总部部署OA、教育行业的业务应用系统等，管理员工上网行为和应用流量，并通过双线路、双设备来提供高可用性来保证公司网络的稳定流畅，便于公司各项业务能够高效的运作。 客户需求分析 通过对客户系统现状的了解分析，以及与客户的沟通交流，确定本次安全建设需求如下： 系统出口防护：出口安全是整个系统的第一层防护措施，能够保证整个系统整体的安全稳定以及独立性，结合上述的一些功能化的安全措施，从而对内部安全网络形成立体、全面的防护。 网络入侵防御系统：针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击，需要山石防火墙为整网的应用层入侵提供安全保障。 WEB应用安全防护：此次web系统作为对外企业门户网站系统平台，需要考虑在Internet上的安全因素，如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。而WEB应用的安全防护，需要通过主动与被动结合，事前防御和事后弥补的多层次手段来达到防护目的。 流量控制及上网审计需求：根据公安部第82号令，以及企业自身办公效率提升诉求，需要利用上网行为管理对公司出口不同流量进行智能分析处理，保障关键应用流量，限制无关应用，同时规范员工上网行为，防止公司机密信息泄露。 业务系统和公司网络的高可用性：通过两条线路、对每个设备均进行了双机热备，实现整个公司网络和业务系统的高可用性。 整体解决方案 上讯信息的安全建设理念 正确安全理念可以指导户解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方。提出的理念体现了在信息安全方面专业和独到的见解，使其成为客户最可信赖的。IP化、标准化形成了天然难以逾越的矛盾。特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、云计算、物联网、P2P等新技术新应用的不断增多，如何在标准化的网络基础设施上，使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终使IT战略与企业战略保持一致，是所有IT厂商和用户面临的共同课题。 安全：从某种意义上讲安全是叠加于基础网络设施上的一层智能网，它通过安全域划分、访问控制、入侵防御等技术手段形成一套完整的端到端防护体系。但受制于技术积累的不足，传统的防护方案只能用于部分对性能、功能、可靠性要求不高的场景，对大型数据中心、骨干网/城域网、大型园区出口等场景则束手无策。 快速：P2P、网络游戏等的无节制使用，使企业网络流量呈现爆炸式增长，宝贵的网络资源被滥用；病毒等威胁的肆意泛滥，不仅会造成网络流量异常，甚至会导致业务瘫痪。单纯通过扩容网络带宽的方法已无法从根本上解决。 可用：应用服务的不断增多、流量压力的不断增加、访问延迟的不断增大，如何保证在线业务的持续可用？简单的通过扩容网络带宽和增加服务器的方法不仅成本大而且收效甚微。 目前，混合型攻击成为主流，非法访问、蠕虫病毒、垃圾邮件、带宽滥用等安全威胁不再是单兵作战，而是经常一起进行混合攻击，单一的防护技术已根本无法应对。而在网络特别在广域网中同时部署多个安全产品，除了增加用户安全建设的成本之外，还会造成网络结构复杂，单点故障增多，维护和管理难度成几何级增大。 深信服