基础网络解决方案
网络技术方案
系统的主机、网络平台、数据库系统、应用软件均使用目前国际上较先进、较成熟的技术,符合国际标准和规范。
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互联与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP的RIP V1/2,OSPF,BGP-4;信令标准H.232.
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要建设的分配网友良好的兼容性,在采用先进技术的前提下,最大可能的保护已有的资产,并能在已有的网络上扩展多种业务。
随着科技不断发展,新的标准和功能的不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更加灵活的扩展。
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有限的控制网络的访问,灵活的实施网络的安全控制策略。在企业网络中,关键应用服务器,核心网络设备,只有系统管理人员才有操作、控制的权限。客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作,在企业网设备上应该可以进行基于协议、基于MAC地址、基于IP地址的包过滤控制功能。在大规模网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内大量的广播,领一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在企业网络的设计上必须强调网络安全控制能力,使网络可以任意连接,有可以从第二层、第三层、甚至第七层控制网络的访问。
本次方案设计能够保证某药企网络核心系统的7*24小时连续运行,从硬件和软件两方面来保证系统的高可靠性。
硬件可靠:
本次项目除了使用市场上知名度较高,设备运行比较稳定的产品,我们还考虑了在网络的核心节点以及出口几点进行网络冗余设计,例如使用两台核心交换机进行设备堆叠,使用两台防火墙做主备,使用负载均衡对链路进行冗余保障。
软件可靠:
在进行堆叠时,软件会定期探测堆叠的两台设备的状态,
上海某药企,位于中国第一大城市,中国的经济、金融、贸易和航运中心上海。由于办公需求,现某药企预计租赁办公楼,供某药企及用户B办公使用,现需要建设一套基础网络,一套会议系统,一套WIFI无线网络,一套完整的安全系统用于防御外部攻击。
由于规划中某药企与用户B共用一套网络设备,我们在规划中着重考虑了Vlan的划分与隔离,务必保证某药企与用户B在业务上拥有相对独立的空间。且员工与员工之间不能相互访问。
新建的网络体系需要能够满足某药企在未来五年内的安全需求,需要对现有的攻击方式、病毒样本有较系统的防御体系。除了安全防御之外还应满足国家法律法规的相关要求。便于以后的安全扩展。
上海我司根据用户现有的需求,从实际出发为用户设计了一整套完善的解决方案,具体从以下几点体现。
为了满足客户不同预算的需求,我们为客户设计了两套网络架构,其中方案一我们选择了世界上知名程度比较高的厂商设备,在吞吐性能,安全防御机制方面都有较好的表现。在方案二中我们选择了一些性价比较高的国内设备。给用户提供了多种选择。
在方案一和方案二中,我们在互联网接入区放置了两台交换机,进行堆叠配置,此处的好处有以下几点:
1. 随着生产环境的变化,后续增加的Internet线路或者MPLS VPN线路都可以接入此两台交换机。
2. 避免下游设备的接口不足。
3. 为下游设备的冗余切换提供环境。
4. 避免网络格局进行大面积的调整。
5. 减少运维工作量。
6. 方便安全建设。
7. 有效利用出口安全机制,对所有入站流量进行过滤。
负载均衡:
考虑到某药企资本对业务连续性以及带宽利用率的要求,我们认为放置两台F5系列的负载均衡设备可以实现如下几点好处:
1. 提高带宽利用率
2. 可以实现宽带的自动切换。
3. 可实现设备的自动切换。
4. 可以实现内部访问外部的网络速度更优。
5. 可以实现外部访问内部的速度更优。
6. 便于业务发布到不同运营商的网络中。
7. 便于以后的新业务发布。
8. 便于网络的扩展。
防火墙:
在企业网络建设中,一台功能全面的防火墙设备可以抵御日常60-70%左右的安全威胁。在业内,防火墙又被分为传统防火墙和下一代防火墙。传统的防火墙只能实现简单的入站和出战的行为控制,对于目前日益严重安全状况,传统防火墙显得越来越功能薄弱。本次项目中我们推荐用户使用下一代防火墙,下一代防火墙集成了UTM的一些特性,可以针对目前主流的一些攻击方式做比较全面的防护,好处如下:
1. 可在线实时更新的攻击库
2. 比传统防火墙更多的防御手段
3. 冗余架构设计更安全
4. 可以检测更深的攻击方式
上网行为管理:
在一个企业中,网络管理员面临的一个重要挑战是如何识别内部用户的真实身份,以及为这些身份分配不同的上网权限,另外上网行为管理可以更好的帮助用户合理的使用网络资源。上网行为管理可以解决如下几类问题:
1. 带宽使用不均匀的问题
2. 重要业务得不到保障的问题
3. 员工使用一些严重影响其他用户上网体验的软件
4. 规避一些法律责任
5. 对上网的用户进行身份识别
核心交换机:
全新的C9300作为C3850系列的替代品已经在社会上推广了一段时间了,作为CISCO的全新系列C9300无论从性能和功能上都有不错的提升,作为全新平台,收到的用户反馈也比较积极乐观,所以本次项目从长远角度出发,我们建议用户采用此系列交换机。好处如下:
1. 全新架构功能和性能双升级
2. 避免设备停产无处维修
3. 符合网络发展趋势
4. 符合未来扩展需求
5. 备机备件充足
文档统一管理:
支持包括文档同步共享、桌面文件备份共享、内容管理等多个子解决方案,根据用户需求不同提供不同侧重点的解决方案。
业务形态:支持产品方式或者服务方式交付。
架构:支持软硬件一体机产部署、AnyShare Cloud支持OnManaged、OnPublic两种方式部署,支持分布式部署和CDN加速。
1)实用性与先进性相结合的原则
专业的技术人员能够产品文档快速的进行配置满足公司的技术需求,便于后期甲方技术人员进行日常维护。例如通过:CLI命令行、图形界面均可方便快捷进行相关配置。
2)高可用行原则
只有高可靠性网络才能有效防止生产率降低和收入损失,例如:支持堆叠技术、支持端口汇聚增加网络带宽这样可以使数据在网络中快速的转发,降低网络的拥塞率。
3)安全可靠的原则
平均无故障时间可以达到30万小时以上,这样可以确保设备的运行稳定,保障网络的可靠性达到99.999%。
u 根据图纸上网络信息点接入数量,总计部署2台24口交换机互联接入交换机,1台48口交换机以及6台千兆48口PoE交换机。
u 根据所有楼层无线AP接入点位的数量,需要安装13台AP。
u 根据楼层接入交换机、无线AP交换机及服务器等设备接入的要求,核心机房需2台千兆三层网络交换机用于核心交换功能。
u 依照必须满足办公区无线接入并保留扩展无线接入的原则,共需11台无线AP和1台无线控制器。
品牌:华为
型号:S7706
产品描述:
S7700系列是华为公司面向下一代企业网络架构而推出的新一代高端智能路由交换机,广泛应用于园区 网络、数据中心核心/汇聚节点,可对无线、话音、视频和数据融合网络进行先进的控制,帮助企业构 建交换路由一体化的端到端融合网络。
S7700 系列交换机基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能 L2~L4 层交换服务基础上,进一步 提供 MPLS VPN、业务流分析、完善的 HQoS 策略、可控组播、资源负载均衡、一体化安全等智能业务优化手段,同时具备超强 扩展性和可靠性。
设备外观如下图:
品牌:华为
型号:S5730-36C-PWH-HI
产品描述:
S5730-HI千兆以太网交换机系列(以下简称S5730-HI),是华为公司全新研发的新一代敏捷 交换机,提供全千兆接入及万兆上行端口,并提供扩展插槽用于上联端口扩展。
S5730-HI 系列交换机是华为公司推出的新一代敏捷交换机,基于华为公司统一的 VRP(Versatile Routing Platform)软件平 台,具备有线无线深度融合能力,支持随板 AC,最多可管理 1K AP;具备业务随行能力,提供一致的用户体验;具备 VXLAN 能 力,支持网络虚拟化功能,满足园区网络一网多用的需求;同时,该系列交换机内置安全探针,支持异常流量检测、加密流量的 威胁分析,以及全网威胁诱捕等功能,是大中型高端品质园区网分支、小型园区网核心以及数据中心接入的理想选择。
产品特性:
● 该系列交换机内置高速灵活的处理器芯片,针对以太网专属设计,凭借其灵活的报文处理及流量控制能力,深入贴近业务, 满足现在及未来的各种挑战,助力客户构建弹性扩展的网络。
● 该系列交换机支持完全自定义流量的转发模式、转发行为和查找算法。通过微码编程实现新业务,客户无需更换新的硬件, 快速灵活,6 个月即可上线。
● 该系列交换机在完全覆盖传统交换机能力基础上,通过开放接口和自定义转发流程,满足企业定制化业务诉求。企业既可以 直接利用多层次的开放接口自主开发新的协议、功能,也可以将诉求交由厂商,与厂商共同开发完成,打造企业专属园区网络。
品牌:华为
型号:AP6050DN
性能参数:支持802.11ac wave 2标准,MU-MIMO,2.4GHz和5GHz双射频同时提供业务,2.4G频段最大速率800Mbps,5G频段最大速率1.73Gbps,整机速率2.53Gbps,支持双以太接口的链路聚合,支持FIT/FAT工作模式。
品牌:华为
型号:AC6005
性能参数:支持IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11N, IEEE 802.11ac标准,最高传输4Gbit/s,支持128个无线接入点
品牌:华为
型号:AR2240
产品描述:
AR2200系列路由器采用嵌入式硬件加密,支持语音的数字信号处理器(DSP)插槽、防火墙、呼叫处理、语音信箱以及应用程序服务,覆盖业界最广泛的有线和无线连接模式,如E1/T1、xDSLxPON、CPOS、3G、LTE等。
丰富语音体验 集成多种语音功能,利用数据网络满足企业语音通话需求,为企业提供灵活高效的沟通手段。
• 内置PBX、SIP服务器、SIP接入网关等基础语音功能
• 提供多方通话、IVR排队自动接续、彩铃、同振、顺振、一号通、话单管理、用户管理等丰富的语 音增值业务
• 提供智能呼叫路由等功能,保证语音业务的高可用性
• 实现与NGN/IMS/PBX/终端的主流厂商对接
• 抖动缓冲、回声消除、丢包补偿等机制保证最佳的语音业务体验 安全业务接入 AR2200在业务顺利开展的同时有效地保障企业网的安全,从用户接入控制、报文检测、到主动防御 形成一套完整的安全防护机制,实现用户投资回报最大化。
• 内置防火墙、IPS、URL过滤 • 支持802.1x、MAC地址、Portal认证的端口安全机制
• 实现Radius、HWTACACS等多种认证方式
• 提供IPSec VPN、GRE VPN、DSVPN、A2A VPN、L2TP VPN
负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
针对本此项目我们选用 F5 BIG-IP LTM 3900作为链路负载均衡。
产品描述:
F5 BIG-IP LTM 3900全面的负载均衡,应用状态监控,高可用性和交易保障,广域流量管理器,链路控制器;内容转换,OneConnect,高速缓存,SSL加速和卸载;智能应用交换,智能压缩,灵活的第7层速率整形,TCP Express,iSessions,WAN优化模块,WebAccelerator;资源隐藏和内容安全,定制的应用攻击过滤,基础防火墙功能-数据包过滤,隔离协议攻击,网络攻击防护,有选择的加密,Cookie加密,高级SSL加密标准,先进的客户端验证模块,消息安全模块,协议安全模块,应用安全管理器,访问策略管理器;易于配置和管理,先进的GUI,强大的命令行Shell,系统管理和高可用性,基于简档 (Profile) 的配置,管理域,详尽的系统统计数据,应用模板;集中管理,企业管理器。
功能特性:
u 更好的链路可提高可用性。
完善的链路监控可让您全面了解入站和出站链路性能。凭借出色的可视化功能,BIG-IP Link Controller 可在任何给定时刻快速响应连接需求,根据需要重定向流量并始终确保应用可用。
u 规则由您制定
BIG-IP Link Controller 使用 iRules 脚本语言,因此您可以自定义如何通过多个 WAN 链路和定义的 TCP/IP 参数来路由流量。借助 iRules,您能够基于应用类型、服务质量和客户端类型实施策略,从而提供更可靠的连接和更好的用户体验。
u 最佳链路会胜出。
BIG-IP Link Controller 会测试链路性能,然后将用户路由到可能最佳的连接。此活动监控可调整吞吐量、流量和 ISP 可用性等变量,从而提高应用性能并重新分发流量以减少链路饱和。
u 按需配置流量。
高效的带宽可节省资金并提高性能。BIG-IP Link Controller 通过对流量进行分类和确定优先级,让您能够确定流量资源的使用方式。确定要由上游路由器进行特殊处理的关键流量或应用,设置峰值和爆发限值并聚合经济实惠的链路以降低带宽成本。
u 更出色的集成
F5 的产品、技术和解决方案可以共同确保您的应用时刻受到保护并能够实现应有的性能。通过将其与以下产品相结合来扩展 Link Controller 的有效性。
上网行为管理是基于对客户需求的深刻洞察以及先进的技术,让组织的上网行为合规无忧, 为您提供大数据日志中心平台,让您的上网数据更有价值 。
功能特性:
u 高价值的上网数据分析平台
丰富的高价值业务报表模板,基于MapReduce框架的可扩展的大数据集模型,数据分析更加全面精准 。采用多维度分析和下钻式查询,更加贴近用户的业务和使用习惯。
u 智能精准的流量管理技术
独有3大流量管理技术,可以提高30%以上的带宽利用率。其动态流控功能可以动态调节流控策略,智能分配空闲时带宽资源。智能流控功能精准控制P2P上下行流量,真正“管住”P2P流量。对用户流量“套餐”定制,分配指定流量套餐,对“套餐”超额的用户进行人性化带宽限制
u 强大的应用及内容识别控制功能
针对网络应用的管控更全面、精准、便捷。具备大规模的应用识别特征库,可识别2100条网络应用、700多条移动应用,每2周更新一次 。针对应用的细分功能精准控制,如区分网盘的上传和下载等动作。标签化的批量管理模式,极大提高了管理效率。
u 用户终端统一管控
有效管控有线和无线网络,做到全网全终端统一管控。具备丰富灵活的认证方式全面保证接入安全可控,支持如用户名密码、IP/MAC绑定等多种传统认证方式,以及增值营销认证(二维码、短信、微信、APP、支付宝等) 。基于用户、应用、位置、终端类型的权限控制。
针对本次项目,我们推荐Check Point安全设备作为本项目的防火墙。
产品描述:
Check Point 集成的硬件平台解决方案通过整合经验证的Check Point安全软件解决方案和基于IBM 系统X 系列服务器与刀片式中央平台的高性能硬件,从而允许IT部门根据自己的独特要求设计符合自己环境的全面安全解决方案。通过来自Check Point的集成和支持,这些解决方案能够符合企业的每一个要求并且可以和UTM-1 、Power-1 等其他Check Point的硬件产品相媲美。这使得企业能够轻易的部署企业级的安全基础构架。集成的硬件平台解决方案同样能够与来自Check Point硬件平台合作伙伴和经认证的开放式服务器等解决方案无缝集成工作,为整个企业的安全构架设计带来终极的灵活性选择。
产品特性
u 通过用户自定义化设计来满足您的需求
Check Point 能够帮助您设计独特的安全系统来符合您的体系构架和安全策略愿景规划。通过合适的硬件平台匹配合适的Check Point软件,Check Point能够帮助您灵活的创建和设计符合您特殊安全需求的自定义化安全解决方案-----支持的企业规模从远程办公室到大型数据中心或电信中央办公室。
Check Point集成的硬件平台解决方案的基础是预定义的M系列平台。可以选择来自Check Point的软件诸如VPN-1 UTM ,VPN-1 Power 和VPN-1 Power VSX 虚拟安全服务平台,还可以选择Connectra SSL VPN 解决方案,SmartCenter 管理平台和专为大型部署使用的分隔安全域管理解决方案Povider-1 。您可以修改M系列默认的硬件配置来构建完全自定义化的平台。然后Check Point把软件和硬件集成到一个单一的,经认证的解决方案中,在用户的网络中提供提供简单、有效的部署能力。
u 降低安全总体拥有成本的标准化方式
通过Check Point集成的硬件平台解决方案,您可以从标准化和定制化中获得很多好处和利益。您可以与Check Point一起定制Check Point硬件设备和硬件组件,然后最终把它们设计到一个标准的企业安全平台中去。然后创建一个单一的支持和获得方式来显著的简化管理负担。这允许您客户 的工程师团队有能力节约资格认证的时间,并且有精力投入到新的项目中,通过量化降低的成本来获得节约措施的建立,从而管理开发标准的操作流程来提供服务质 量和遵从性。
u 高安全,高性能
因为Check Point集成的硬件平台解决方案总是围绕着诸如多核处理器等最新的硬件革命性技术来构建,所以您可以部署一个更高水平的安全等级。企业可以在多千兆性能 级别通过SmartDefense 激活严格的入侵防护策略。同时通过Check Point更新他们的软件,可以在不需要硬件升级的情况下获得性能上的提升。
u 比你想象的更简单
Check Point 为集成的硬件平台解决方案提供全面的技术支持,包括三种级别的根据支持等级和位置决定的全球高级替换服务。作为一种可选的订阅服 务,SmartDefense 能够提供集成入侵防护能力的最新SmartDefense 签名更新,从而一直确保对最新实时威胁的抑制和防护能力。
本此项目,文档管理服务器我们选用爱数/EX6020。
产品描述:
u 多种操作系统,多种终端平台适配
支持 Windows、Mac、iOS、Android 多种操作系统,用户可以随时随地在任何设备上进行文件访问和共享协作,满足更多的使用场景;用户可以在本地客户端或Web端使AnyShare,灵活选择使用方式,办公不受终端限制
u 虚拟盘操作,只提高效率不改变习惯
Windows/Mac 文件操作体验与网盘在线共享协作特性的完美结合;在熟悉的 Windows/Finder 文件夹操作云端文件,零学习成本,不改变用户使用习惯;离线断网状态下,也能进行文件操作,重新上线后再次同步,降低了对网络的依赖;可以直接调用本地应用程序打开虚拟盘中的文件,没有文件类型限制;多目录自动备份,云端操作与本地操作无缝衔接
u 统一的用户管理
统一的身份认证:支持基于本地用户系统、LDAP 协议的域用户系统、第三方用户系统的身份认证机制;统一的权限管控:登录权限管控:IP 地址段登录限制;设备绑定登录限制;共享权限管控:黑白名单共享限制;共享范围有效管控;离职人员数据交接:离职人员的办公数据一键迁移至文档库,防止资料交接断层,管控文件不被丢失泄露。
产品描述:
安全感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
产品特性:
u 安全运营中心
安全感知平台是深信服整个安全体系架构的核心组件,能够和NGAF、STA、AC、EDR、VSS、VPN等安全产品对接,是深信服在客户侧实现深度分析、威胁检测、防御联动和服务响应的安全运营中心
u 全局可视化
安全感知平台的全局可视化分为2种类型,一种是宏观领导视角,结合攻击趋势、有效攻击、业务资产脆弱性对全网安全态势进行整体评价,以业务系统的视角进行呈现,可有效的把握整体安全态势进行安全决策分析;一种是微观运维视角,通过失陷主机检测和访问关系可视等技术帮助运维人员快速发现安全风险,并提供处理建议,简化运维。
u 内部威胁检测
当前防御体系侧重于互联网出口和边界防护,一旦边界防御被绕过,攻击者将一马平川。深信服安全感知平台帮助客户定位异常与违规行为,检测出内网的高级潜伏威胁,解决安全黑洞与安全洼地的问题。
核心技术优势
随着Web应用的日益广泛及其中蕴藏价值的不断提升,引发了黑客的攻击热潮,如网站内容被篡改、页面被植入木马、DDoS攻击造成业务中断、网站机密信息被窃取等安全事件的反复发生,极大地困扰着网站提供者,给企业形象、信息网络甚至核心业务造成严重的破坏。
产品描述:
若能够主动的发现网站的风险隐患,并及时采取修补措施,则可以降低风险、减少损失。绿盟科技基于多年对Web应用安全的研究与积累,推出绿盟WEB应用漏洞扫描系统(NSFOCUS Web Vulnerability Scanning System,简称:NSFOCUS WVSS),以其便捷的配置、全面快速的检测能力和多环境适应性成为Web应用安全评估的利器。该系统可自动获取网站包含的相关信息,并全面模拟网站访问的各种行为,比如按钮点击、鼠标移动、表单复杂填充等,通过内建的"安全模型"检测Web应用系统潜在的各种漏洞,同时为用户构建从急到缓的修补流程,满足安全检查工作中所需要的高效性和准确性。
产品特性:
u 采用高效稳定的扫描引擎,基于嵌入式系统平台,通过内核级优化,运用智能页面爬取、资源动态调节、代理缓存机制和实时任务调度等技术,实现了对大规模网站的快速、稳定的扫描。
u 全面的Web应用安全检测,检测范围覆盖了各企事业单位的门户网站、电子政务的互动平台和政务信息公开服务系统等,覆盖了论坛、内容管理系统(CMS)和电子商务应用系统等平台。
u 采用多视角风险评估模型,同时提供了安全评估和风险自评两种模式,既可以周期性的进行全面安全检测,还可以结合实际业务系统进行深入的安全评估。
u 专家级统计分析报告,融入漏洞修补流程和漏洞精确定位技术,既可以展示各站点的整体风险等级和对比风险情况,还可以直观、便捷的查看每个漏洞的详细信息及修补建议,很好的帮助用户分步骤的修补漏洞以及验证修补效果。