波鸿集团网络改造及安全整体解决方案1.docx

波鸿集团网络改造及安全整体解决方案波鸿集团网络改造及网络安全整体技术解决方案四川长虹集团四川虹信软件有限公司二零一二年四月目 录第1章 概述5第2章 需求分析6第3章 一期基础网络建设83.1 需求分析83.1.1 方案设计原则93.1.2 网络方案设计113.2 网络拓扑结构介绍113.3 网络拓扑图123.4 网络设计133.4.1 骨干核心层网络设计133.4.2 核心层网络设计133.4.3 汇聚层网络设计143.4.4 接入层网络设计143.4.5 广域网互联设计153.4.6 冗余/负载均衡设计153.4.7 网络设备冗余/负载均衡设计153.4.8 服务器冗余设计163.4.9 IP地址规划原则163.5 方案特点193.6 现有基础网络存在的问题193.7 现有基础网络解决思路203.8 内部网络优化21第4章 二期网络安全规划建设方案234.1 网络安全建设的必要性234.2 网络安全建设的价值234.3 网络拓扑图264.4 网络安全建设内容264.4.1 部署负载均衡264.4.2 网络入侵防御系统274.4.2.1 为什么需要网络入侵防御系统274.4.2.2 网络入侵防御系统284.4.3 WEB应用防火墙294.4.3.1 为什么需要WEB应用防火墙294.4.3.2 WEB应用防火墙304.4.4 远程安全评估系统（漏洞扫描器）314.4.4.1 为什么需要远程安全评估系统314.4.4.2 远程安全评估系统324.4.5 安全审计系统324.4.5.1 为什么需要安全审计系统324.4.5.2 安全审计系统334.4.6 上网管理系统354.4.6.1 安全管理系统364.4.6.2 如何评价内容安全管理系统374.4.7 安全服务384.4.7.1 安全预警通告384.4.7.2 紧急事件响应394.4.7.3 高级维护服务394.4.7.4 信息安全培训40第5章 三期VPN规划建设方案435.1 VPN (虚拟专用网)435.2 安全网关介绍435.3 网络拓扑图46第6章 四川虹信软件有限公司简介476.1 虹信公司简介476.2 虹信软件业务范围516.3 虹信软件核心竞争力536.4 虹信软件部分成功案例简介546.5 虹信公司合作伙伴716.6 虹信获取资质汇总726.7 虹信公司服务体系73第78页 第1章 概述四川波鸿集团创建于1999年，经过13年的飞速发展，已经成长为拥有资产58.3亿元，员工2800余人，年销售收入近40亿元的集制造业、汽车品牌经营、房地产、新能源于一体的综合性集团企业。近年来，随着集团的不断壮大，波鸿集团从发源地、主要生产基地四川绵阳逐步走向全国，面向世界，分别建立了北京战略总部、上海营销总部、成都运营总部，并积极跨出国门与多家国外企业达成了战略合作意向。目前公司旗下拥有：北京耀贵投资控股有限公司、北京园洋金鼎商贸有限责任公司、北京佰利创典商贸有限公司、北京净雅佳商贸有限公司、上海剑门五金工具有限公司、上海祥通商贸有限公司、沈阳路达通实业发展有限公司、四川波鸿科技有限公司、四川绵阳好圣汽车零部件制造有限公司、绵阳宇兴机械制造有限公司、四川绵阳波鸿机电有限公司、成都名鸿汽车销售服务有限公司、成都万鸿汽车零部件制造有限公司、绵阳通美能源科技有限公司、四川超美健生物科技有限公司、绵阳波鸿汽车销售服务有限公司、绵阳波鸿出租汽车有限公司、绵阳申绵汽车销售服务有限公司、乐山天牛汽车销售服务有限公司、眉山天牛汽车销售服务有限公司、广元波鸿汽车销售服务有限公司、四川波鸿生态园林景观工程有限公司、绵阳亲水湾旅游开发有限公司、四川信鸿房地产开发有限公司等30余家全资或控股经营性子公司。公司秉承“诚信经营、客户至上、质量第一、服务为先”的经营理念，以“创新务实、追求卓越”为宗旨，向管理要效益，靠科技求发展，以公平聚人杰，视员工为财富，深化改革，服务社会。公司严格遵守和履行各项规定，不断提高企业的信用等级，树立良好的市场信誉和诚实守信的企业形象。以跨越为主要任务，以发展为奋斗目标，波鸿公司正以坚定的步伐向领域高端不断拓展。第2章 需求分析随着波鸿集团业务的发展以及今后集团在信息化的高度重视下，近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便”的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石。ü 一期网络规划的主要建设内容： 波虹集团为了实现信息化建设，集团企业网将建设一个以集团办公自动化、电子商务、业务综合管理、多媒体视频会议、远程通讯、信息发布及查询为核心，以现代网络技术为依托，技术先进、扩展性强，将集团的各种办公室、多媒体会议室、PC终端设备、应用系统通过网络连接起来，实现内、外沟通的现代化计算机网络系统。该网络系统是支持办公自动化、供应链管理、ERP以及各应用系统运行的基础设施，为了确保这些关键应用系统的正常运行、安全和发展，系统必须具备如下的特性：1、 采用先进的网络通信技术完成集团企业网的建设，实现各分公司的信息化；2、 在整个企业集团内实现所有部门的办公自动化，提高工作效率和管理服务水平；3、 在整个企业集团内实现资源共享、产品信息共享、实时新闻发布；4、 在整个企业集团内实现财务电算化；5、 在整个企业集团内实现集中式的供应链管理系统和客户服务关系管理系统；在一期的建设中，我们将实现全网在中心本部设置统一的Internet出口，提供一台路由器，同时提供一台企业级的防火墙，隔离波鸿集团中心网络和Internet，提供DMZ区完成对外信息的发布。从核心设备到接入设备都采用H3C的交换设备，使用万兆连接，核心交换机配置万兆电口模块，通过双绞线同各个接入交换机相连，达到一个合理的带宽结构，避免产生任何瓶颈。ü 二期安全规划的主要建设内容：完善小型服务器群安全防护体系，根据初期的业务系统规模进行单链路安全防护体系建设，初期主要针对于承载业务系统的服务器的安全做建设。此时需要关注的就是WEB服务器操作系统本身的漏洞管理，大多数的安全事件99%都是因为操作系统本身的漏洞导致的，因此漏洞管理的建设至关重要。WEB服务器群前段则需要有WEB应用防火墙来进行专业的WEB应用防护，通过事前预警、事中防护、事后补偿的防护体系来进行WEB应用层的安全防护建设。如为了考虑承载业务系统的主机操作系统的安全，可进行IPS部署，以防范互联网过来的安全攻击事件。随着业务发展也为了后期的扩容考虑，当服务器发展到中型服务器群，就要开始进行安全域划分建设。当承载业务系统的服务器数量不断扩容到一定的数量级，业务系统需要进行安全域安分，这样能更好地根据业务系统的严重级别进行分类管理。划分安全域后则需要根据每个域功能的不同进行安全防护设计。每个域的安全边界防护，需要有防火墙来进行边界隔离，严格控制各区域的访问。同时该业务系统区应有安全审计系统、流量分析系统、安全运维审计系统进行防护。完成全建设后，此时面临的就是如何更好地对外提供业务支撑了。为了保障业务系统的连续性，出口处需要部署抗拒绝服务系统，进行DDOS流量的防御。此时业务系统已经比较庞大，需要对运维人员进行安全培训，加强安全意识。同时光有防护设备和运维人员安全意识的加强还不够，需要通过第三方专业安全服务厂商提供专业的安全服务，如安全预警通告、紧急事件响应服务、高级安全运维服务等。ü 三期VPN规划的主要建设内容由于波鸿集团分公司多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性第3章 一期基础网络建设3.1 需求分析为适应企业信息化的发展，满足日益增长的通讯需求和网络的稳定运行，今天的大型企业网络建设比传统企业网络建设提出更高的要求，主要表现在如下几个方面：1）现代大型企业网络应具有更高的带宽，支持10GE或将来平滑过渡到10GE，更强大的性能，以满足用户日益增长的通讯需求；随着计算机技术的高速发展，基于网络的各种应用日益增多，今天的企业网络已经发展成为一个多业务承载平台，它不仅要继续承载企业的办公自动化和WEB浏览等简单的数据业务，还要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP电话、视频会议等多媒体业务，因此数据流量将大大增加，尤其是对核心网络的数据交换能力提出前所未有的要求。另外，随着千兆端口的成本持续下降，千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年全球交换机市场分析可以看到，增长最迅速的就是10G级别机箱式交换机，由此可见，万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准，它的核心层及骨干层必须具有万兆级带宽和处理性能，才能构筑一个畅通无阻的“高品质”大型企业网，从而适应网络规模扩大，业务量日益增长的需要。 2）现代大型企业网络应具有更全面的可靠性设计，以实现网络通讯的实时畅通，保障企业生产运营的正常进行；随着企业各种业务应用逐渐转移到计算机网络上来，网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主要应从三方面考虑：首先是设备级可靠性设计，这里不仅要考察网络设备是否实现了关键部件的冗余备份，还要从网络设备整体设计架构、处理引擎种类等多方面去考察；其次是业务的可靠性设计，这里要注意网络设备在故障倒换过程中是否对业务的正常运行有影响；再次是链路的可靠性设计，以太网的链路安全来自于它的多路径选择，所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持。3）现代大型企业网络需要提供完善的端到端QOS保障，以满足企业网多业务承载的需求；大型企业网络承载业务的不断增多，单纯的提高带宽并不能够有效的保障数据交换的畅通无阻，正如八车道的长安街也经常堵车一样，所以今天的大型企业网络建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度，如视频、音频、数据流(MIS、ERP、OA、备份数据)，同时能够调度网络中的资源，保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送，实现对业务的合理调度才是一个大型企业网络提供“高品质”服务的保障。4）现代大型企业网络应提供更完善的网络安全解决方案，以阻击病毒和黑客的攻击，减少企业的经济损失； 传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换机或路由器的ACL来实现对于病毒和黑客攻击的防御，但实践证明这些被动的防御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营的重要组成部分的今天，现代企业网络必须要有一整套从用户接入控制，病毒报文识别到主动抑制的一系列安全控制手段，才能有效的保证企业网络的稳定运行。5）现代大型企业网络应具备更智能的网络管理解决方案，以适应网络规模日益扩大，维护工作更加复杂的需要；当前的网络已经发展成为“以应用为中心”的信息基础平台，网络管理能力的要求已经上升到了业务层次，传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如，网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作，由于受网络设备功能本身的限制，都还属于费时、费力，有时甚至是不可能的任务，所以现代的大型企业网络迫切需要网络设备具备支撑“以应用为中心”的智能网络运营维护的能力，并能够有一套智能化的管理软件，将网络管理人员从繁重的工作中解脱出来。3.1.1 方案设计原则本方案的设计将在追求性能优越、经济实用的前提下，本着严谨、慎重的态度，从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计，力图使该系统真正成为符合该中学的网络系统。从技术措施角度来讲，在网络的设计和实现中，本方案严格遵守了以下原则：l 实用性和集成性系统的软硬件设计、还是集成，均以适用为第一宗旨，在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多，必须能将各种先进的软硬件设备有效地集成在一起，使系统的各个组成部分能充分发挥作用，协调一致的进行高效工作。l 标准性和开往性只有支持标准性和开放性的系统，才能支持与其它开放型系统一起协同工作，在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准，以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。l 先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进，只有将当今最先进的技术和我们的实际应用要求紧密结合，才能获得最大的系统性能和效益。网络的安全是事关重要的，在某些情况下，宁可牺牲系统的部分功能也必须保证系统的安全。l 成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验，在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案，并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时，应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品，以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下，还需要考虑网络整体的容错能力、安全性及稳定性，使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施，如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作，达到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。l 可维护性和可管理性整个信息网络系统中的互连设备，应是使用方便、操作简单易学，并便于维护。对复杂和庞大的网络，要求有强有力的网络管理手段，以便合理的管理网络资源，监视网络状态及控制网络的运行，因此，网络所选的网络设备应支持多种协议，管理员能方便进行网络管理、维护甚至修复。在设计和实现时，必须充分考虑整个系统的便于维护性，以使系统万一发生故障时能提供有效手段及时进行恢复，尽量减少损失。l 可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能，采用的产品要遵循通用的工业标准，以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资，在设计系统时，应将系统按功能做成模块化的，可根据需要增加和删除功能模块3.1.2 网络方案设计3.2 网络拓扑结构介绍 在此次波鸿集团大型企业网的设计中，我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计，也能够应用于广域网的设计。层次化模型的好处：在大型企业网设计中，使用层次化模型有许多好处，列举如下：1、节省成本在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。3、易于扩展 在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。4、易于排错 层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。3.3 网络拓扑图3.4 网络设计3.4.1 骨干核心层网络设计大型企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发，以及维护全网路由的计算。鉴于大型集团企业的用户数量众多，业务复杂，QOS要求较高的特点，在本方案中采用H3C高密度多业务核心路由交换机组建高性能的核心网络平台。H3C交换机是具有运营商级容错能力的高性能大型网络核心交换机，可为高校和运营商提供基于领先技术的卓越性能和可靠性。专为发挥万兆、千兆以太网潜在的强大交换能力而设计，超大容量的交换背板使得包括万兆端口在内的每个端口具备全线速交换能力，确保在巨大的网络通信负载下始终能够轻松实现线速的第二层和第三层交换，是城域网、数据中心、智能大厦及企业网络骨干级核心路由交换机的理想选择。在骨干核心层中，我们采用H3C核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性，实现链路的安全保障，本方案骨干核心层环网中可以采用VRRP（虚拟路由器冗余协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。3.4.2 核心层网络设计大型企业生产办公网络的核心层网络主要完成园区内各汇聚层设备之间的数据交换和与骨干核心层网络之间的路由转发。传统解决方案一般采用骨干路由器核心交换机来组建，但这种方式受限于交换机的性能，在提供MPLS VPN的业务能力方面较弱，不适合大型企业网络的建设需求，同时现在的大型企业办公网络具有城域网的特点，网络发展具有网络扁平化的发展方向，因此本方案骨干层网络设备采用H3C核心路由交换机作为大型企业生产办公网络的园区核心路由交换设备，H3C交换机具有强大的业务和路由处交换理能力，能提供如MPLS VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力，并可通过内置防火墙模块实现各种强大的网络安全策略，可以充分满足大型企业不同园区网络的高速数据交换和支持多业务功能的要求，并能够提供完善的安全防御策略，保障企业园区网络的稳定运行。3.4.3 汇聚层网络设计汇聚层网络主要完成企业各园区内办公楼宇和相关单位的内接入交换机的汇聚及数据交换和VLAN终结，在本方案中采用H3C交换机多层交换机作为汇聚层面的交换机。H3C交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。3.4.4 接入层网络设计以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供能力，而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备，这给汇聚层和骨干层设备带来了巨大的压力，往往内网病毒泛滥成灾后导致骨干层设备瘫机，使网络没有QOS服务质量保障。H3C智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机，具备传统二层交换机大容量、高性能等优点，同时还具有领先的安全特性，进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外，此交换机还具备多个专用堆叠接口，可以满足楼层，楼宇内多个交换机高性能汇聚的需要。3.4.5 广域网互联设计针对于大型企业需要良好的出口网关设备，我们建议用户选用H3C防火墙。该防火墙专为千兆位流量的网络服务运营商，大型数据中心等骨干网络而设计, 采用2U专用千兆安全平台，完全模块化可扩展结构，具有热插拔特性的冗余部件为您提供最大的不间断运行时间。3.4.6 冗余/负载均衡设计 冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合（IEEE802.3ad）实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议（IEEE802.1d）提供设备级的冗余连接。此外，我们在设计中提供不同物理方向的双归属、双路由保护。3.4.7 网络设备冗余/负载均衡设计 当前，无论在企业网、园区网还是在广域网如Internet上，业务量的发展都超出了过去最乐观的估计，上网热潮风起云涌，新的应用层出不穷，即使按照当时最优配置建设的网络，也很快会感到吃不消。尤其是各个网络的核心部分，其数据流量和计算强度之大，使得单一设备根本无法承担。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题，服务就近提供，实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中，在网络的每个关键结点，我们在设计时都做到了对其有效的冗余备份和负载均衡。3.4.8 服务器冗余设计 企业网中服务器、大型机，如网络存储服务器，SQL Server服务器，其存储的数据对于企业来说致关重要，一些核心数据被视为企业的生命。一方面它对企业的企业的重要性毋庸质疑，另一方面，由于这些数据的性质决定了其较大的被访问量，这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保障计算机系统的可靠性是重中之重。为此，我们采用的是双机热备技术 ，此技术能够有效的满足核心服务器高效，稳定的高要求。而且相对于其它成本技术来说，这是比较有经济价成效的技术。3.4.9 IP地址规划原则IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效利用是整个Internet发展过程中持续有效的一个极具分量的研究课题。我们在对企业园区网IP地址编址设计和分配利用时，遵循了以下几个原则：1）、自治：整个网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。 2）、有序：我们按照自治原则将网络进行逻辑划分后，就根据地域、设备分布及区域内用户数量来进行子网规划。同时，我们将IP地址规划和网络层次规划、路由协议规划、流量规划等结合起来考虑。在进行地址分配时，为了提高地址分配效率和地址利用率，我们在编址设计时按照了一定的顺序进行。选择的顺序是自上而下的顺序，即采用了业界领先的自顶向下网络设计（Top-Down Network Design）方法。 3）、可持续性：考虑到园区内网络用户数将持续高速增长，网络所要承载的业务量和业务种类越来越多，这使得网络需要频频进行技术升级、改造和扩容。所以，在进行地址分配时本方案充分考虑到了这些因素，为网络的每个部分留有部分地址冗余，这样保证网络的可持续发展。 4）、可聚合：互联网日新月异的发展和日益庞大的规模令当初设计互联网络的专家始料不及，在路由表急剧膨胀情况下，可聚合原则是网络地址分配时所必须遵守的最高原则，可聚合原则要求在进行地址规划时，应提供足够的路由冗余功能。 5）、尽量节约IPv4地址：由于IPv4地址越来越少，所以对于IPv4地址的使用需要格外节约。IPv4地址的节约可以通过动态编址技术和NAT技术等来实现。 6）、闲置IP地址回收利用：对于已分配出去的静态IP地址进行定期追踪管理，对长时间闲置的IP地址可经过确认后回收重复利用。VLSM是可变长子网掩码的英文缩写，它提供了一个主类（A类、B类、C类）网络内包含多个子网掩码的能力，可以对一个子网再进行子网划分。VLSM的优点·对IP地址更为有效的使用·应用路由归纳的能力更强 所以我们采取vlsm对网络进行编址，以达到节约ip地址，能够使用路由汇总的目的。 首先采用一个A类网址对园区网主体结构进行编址，至上而下的设计思路有利于设计的最后成型和网络的健壮性。 其次，在语音电话系统中，每一个ip电话需要一个ip地址以及诸如子网掩码、默认网关等的相关信息。事实上，这意味着一个组织需要指派两倍于ip电话的ip地址给当前所有的pc用户，这个由DHCP提供。我们使用私有遍址的IP电话作为语音电话遍址方案。 私有遍址IP电话：10.2.8.3 172.16.8.5 IP电话使用172.16.0.0网络 IP电话+PC在同一交换机端口上 / / / / 最后经过我们的计算，将各部门ip地址分配如下表：IP地址网段VLAN编号默认网关服务器功能区192.168.10.0/2410192.168.0.254/24监控功能区192.168.20.0/2420192.168.0.254/24财务功能区192.168.30.0/2430192.168.0.254/24临时、外来访问功能区192.168.40.0/2440192.168.0.254/24(根据用户的具体情况定)用户地址与VLAN划分Web服务器IP地址： 192.168.100.1/24FTP服务器IP地址： 192.168.100.2/24路由器出口IP地址： 222.18.44.3/243.5 方案特点本方案很好地解决了用户要求的四个问题，即带宽问题、安全问题、管理问题、灵活扩展问题。l 带宽问题：使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且有效的减轻流量负荷，使设备时刻保持稳定和高效。l 安全问题：网络核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。l 管理问题： 统一管理，提高工作效率，保障网络的可用性和稳定性；l 灵活扩展问题：核心层使用的路由交换机有良好的扩展性，可以为将来的网络实现轻松扩展。3.6 现有基础网络存在的问题l 交换机功能支持性较弱根据对现有网络调查发现，目前部署的交换机功能支持性已经明显不能满足网络发展需要，由于缺乏网络区分能力，所有办公电脑、无线笔记本、监控及服务器都只能属于同一网段。现阶段风险如下：A、目前的交换机性能参数过低，容易导致网络频繁拥塞；B、目前的交换机使用时间较长，网络稳定性存在极大隐患；C、不能有效支撑视频、监控等业务的正常运行；D、目前的交换机不能根据未来网络发展需要，进行相应的配置；E、无法将各功能部门划分，避免病毒引起的风暴扩散；F、整网没有任何保护措施，完全公开透明，服务器等重要核心资料全网共享，容易造成重要文件泄密、丢失。l 服务器存在安全隐患服务器配置双IP地址（一个内网IP一个外网IP地址），虽然有效解决了内网、外网的访问正常，但把服务器直接裸露在外网上，容易造成外网直接攻击该服务器，导致服务器运行不正常、服务器文件被盗等情况。现阶段风险如下：A、服务器完全暴露于外网，没有防火墙阻挡外网攻击；B、服务器资料容易泄漏；C、电信、网通出口分别投资相同功能的服务器，投入服务器的成本增加；D、服务器数量过多，不容易管理；E、相同功能的服务器资料不同步。l 办公网络出口较多该网络办公出口有电信和联通两个出口，后期可能还要增加出口，所以为了提升网络速度和有效利用多个带宽出口，有必要配备一台链路负载均衡设备，对多个出口进行管理。l 安全防护能力较弱由于目前整体信息平台没有对办公网络进行保护，很容易受到来自外部互联网黑客的攻击。现阶段风险如下：A、没有对公司网络进行必要的保护；B、没有对员工电脑的严格管理控制，如：病毒、补丁；C、没有对公司数据库服务器、ERP服务器进行必要的保护。3.7 现有基础网络解决思路根据对现状中存在的一些问题进行沟通，结合打造稳定、安全和高效的办公网络目标，特对现有信息化应用提出建议。我公司建议贵公司进行以下5个技术方面改造及1个定制服务的网络优化改造：l 内部网络优化l 负载均衡l 网络安全内网改造前后效果对比改进项目改造前改造后交换机功能支持容易拥塞、业务支持差、病毒泛滥缺乏控制业务有效区划，业务之间不影响。有序控制流量，避免网络拥塞，有效控制病毒服务器安全问题服务器基本没有安全防护，容易被黑客利用通过专业化的防火墙产品进行安装防护，同时通过流量控制，避免服务器负担过大出口带宽问题出口带宽缺乏监控，非重要流量占用比列过大通过专业化的带宽约束设备，有效避免上班时间员工使用与工作无关的网络应用，最大限度提高办公效率终端安全防护问题终端缺乏统一安全策略，对联网终端没有控制能力通过建立准入控制机制，有效避免内部网络中各种终端非法链接，从而避免各类信息的非法盗用情况3.8 内部网络优化优化说明：A、原TP-Link S2000系列48口交换机替换为具备三层功能的48口交换机，该交换机可对现有办公网络及监控网络区域按照功能不同进行详细的Vlan和网段的划分，例如：l 服务器功能区l 监控功能区l 财务功能区l 临时、外来访问功能区等这样可以将现有网络进行细化，相关组别归类。一方面可以加强管理，防止不同功能区域的直接互访，另一方面可以降低因为病毒扩散带来的全网瘫痪。B、将现有服务器机房的交换机替换为2层可网管交换机，提升服务器区域网络效率，并将服务器区域和视频监控区域隔离，防止相互数据干扰。C、将服务器机房架设标准机柜，并完成服务器机房线路改造，做到故障易判断、线路标识有序。D、规划改造后的功能区域、网段。调整后的意义：A、提升交换机处理能力，为ERP系统提供更好的网络带宽资源；B、将各功能区域划分开，使各功能区域互不干扰；C、将员工按功能分开，初步做到功能区域各自独立；D、防止因病毒引起的网络中断，避免病毒扩散；E、服务器机房交换机结合PRTG流量监控软件，实时观察各服务器流量吞吐情况；F、易判断故障出处，减小故障影响面积。第4章 二期网络安全规划建设方案4.1 网络安全建设的必要性 完善小型服务器群安全防护体系，根据初期的业务系统规模进行单链路安全防护体系建设，初期主要针对于承载业务系统的服务器的安全做建设。此时需要关注的就是WEB服务器操作系统本身的漏洞管理，大多数的安全事件99%都是因为操作系统本身的漏洞导致的，因此漏洞管理的建设至关重要。WEB服务器群前段则需要有WEB应用防火墙来进行专业的WEB应用防护，通过事前预警、事中防护、事后补偿的防护体系来进行WEB应用层的安全防护建设。如为了考虑承载业务系统的主机操作系统的安全，可进行IPS部署，以防范互联网过来的安全攻击事件。随着业务发展也为了后期的扩容考虑，当服务器发展到中型服务器群，就要开始进行安全域划分建设。当承载业务系统的服务器数量不断扩容到一定的数量级，业务系统需要进行安全域安分，这样能更好地根据业务系统的严重级别进行分类管理。划分安全域后则需要根据每个域功能的不同进行安全防护设计。每个域的安全边界防护，需要有防火墙来进行边界隔离，严格控制各区域的访问。同时该业务系统区应有安全审计系统、入侵检测系统、堡垒机加强网络运维的管理。完成上述的安全建设后，此时面临的就是如何更好地对外提供业务支撑了。为了保障业务系统的连续性，出口处需要部署抗拒绝服务系统，进行DDOS流量的防御。此时业务系统已经比较庞大，需要对运维人员进行安全培训，加强安全意识。同时光有防护设备和运维人员安全意识的加强还不够，需要通过第三方专业安全服务厂商提供专业的安全服务，如安全预警通告、紧急事件响应服务、高级安全运维服务等。4.2 网络安全建设的价值ü 网络入侵防御系统的价值为了弥补目前安全设备（防火墙、入侵检测等）对攻击防护能力的不足，我们需要一种新的工具用于保护业务系统不受黑客攻击的影响。这种工具不仅仅能够精确识别各种黑客攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。入侵防护系统提供了业界领先的实时、主动的防护能力，通过新一代的入侵防护技术，入侵防护系统的产品和技术能够有效的阻断攻击，保证合法流量的正常传输，这对于保障业务系统的运行连续性和完整性有着极为重要的意义。ü WEB应用防火墙的价值为了弥补目前安全设备，如防火墙/IPS对WEB应用攻击防护能力的不足，我们需要一种新的安全工具用于保护重要信息系统不受WEB应用攻击的影响。这种工具不仅仅能够检测目前复杂的WEB应用攻击，而且必须在不影响正常业务流量的前提下对攻击流量进行实时阻断。这类工具相对于目前常见的安全产品，必须具备更细粒度的攻