- 1、本文档共50页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
XXX公司
网络改造和安全体系建设项目
技术建议方案
XX信息系统股份有限公司
二〇〇九年六月
目 录
1 方案概述 1
1.1 现状描述 1
1.2 建设目标 2
1.3 总体建设原则 3
2 项目技术方案 4
2.1 网络改造规划 4
2.1.1 网络改造目标 4
2.1.2 网络改造思路 4
2.1.3 网络改造的技术特点 4
2.1.4 XXX网络改造方案 6
2.2 网络安全规划 11
2.2.1 网络安全规划概述 11
2.2.2 网络安全风险分析 13
2.2.3 XXX网络安全解决方案 17
2.2.4 安全产品选型建议 33
方案概述
现状描述
网络方面:全网核心层采用一台Cisco 6509作为单核心,无冗余;呼叫中心网络汇聚层为Cisco 4507R,而其他三个办公点网络都采用两层结构,没有汇聚层;接入设备为Cisco 3560和 2960。长沙4个办公点通过光纤连接,南京、天津仓库通过专线接入,其他物流中心则通过VPN接入。网络出口为3条百兆光纤,2条电信,一条网通,通过Radware Linkproof 1000实现负载均衡。无线接入则主要采用胖AP的方式。
安全方面:部署一台三星防火墙作为网络边界,划分DMZ区放置网站服务器等;ISA服务器作为互联网代理和应用防火墙;部署一台绿盟IDS,实现入侵检测防护;VPN接入则是通过Cisco 3825路由器所提供的IP-Sec VPN方式。
针对XXX目前网络及安全体系的现状,我们给出如下分析:
XXX的网络建设时间不长,结构较为明晰,便于采用最先进、成熟的技术建立现代化的网络及安全体系;网络连接带宽充足,为建设高速稳定的网络环境提供了条件;数据存储及灾备系统建设较为完善,保证数据的完整性和可靠性;目前国际、国内使用的网络设备、安全技术比较成熟稳定,为XXX建立一个稳定可靠、性能先进的网络及安全体系提供了技术和工程管理方面支持。
但是目前网络核心层未提供冗余,易出现单点故障;网络安全建设相对比较薄弱,难以对公司日益发展的业务提供有效的安全保障,这些都是急待解决的问题。
因此本次项目必须依据现有的有利条件,充分考虑性价比,以最小的投资获取最大的效益,不断完善XXX网络及安全体系,为业务系统创建良好的IT基础,提高XXX的IT管理水平,进而提高企业总体水平和市场竞争能力。
建设目标
经过交流,可明确XXX网络改造及安全体系建设项目的具体建设目标如下:QoS控制,对数据包进行分类、标注、设置优先级,确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。体现以下原则:
1、网络层次清晰化。通过二三层网络分离,构建物理和逻辑层次清晰的三层路由网络和二层接入网络。
、网络质量差异化。通过部署区分服务机制,为不同用户和不同业务提供不同QoS等级的差异化服务。
、设备要求规范化。提供业务,QoS保障完善的安全管理机制,满足用户对多业务、高可靠、大容量和模块化的需求。
选择产品系列具有相同软硬结构设计和功能特性的厂商以保障互操作性和平滑升级能力。
XXX网络改造方案
方案概述
三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有三个层次:核心层(网络的高速交换主干)、汇聚层(提供基于策略的连接)、接入层(将工作站接入网络)。改造后整个网络遵循三层网络架构,网络拓扑如下图所示。
网络拓扑结构图
核心层改造方案
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。
本次项目将核心层由单核心改造为两台高性能核心交换机构成冗余结构,采用模块化结构,便于网络的扩容与升级。核心交换机上至少部署16个千兆光纤端口和48个 10/100/1000自适应以太网口。两台核心交换机之间通过四条Cat5e UTP线缆互连,四条链路利用捆绑成千兆以太通道,这样,在全双工模式下两台核心交换机间的链路带宽达到8Gbps,同时多链路捆绑的设计也可确保线路的冗余,提高系统的高可靠性。
两台核心层交换机各加载一个防火墙模块,实现公司网络边界以及各安全域之间的屏障。
汇聚层改造方案
汇聚层是网络接入层和核心层的“中介”,就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层具有实施策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。在汇聚层中,应该采用支持三层交换技术和VLAN的交
文档评论(0)