針對(duì)某集團(tuán)企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行規(guī)劃�,并提出解決方案和進(jìn)行投資預(yù)算�����。
IT架構(gòu)
一般企業(yè)的IT架構(gòu)情況����,本方案主要針對(duì)IT基礎(chǔ)架構(gòu)部分進(jìn)行規(guī)劃,并提供選型和部署參考���。
網(wǎng)絡(luò)系統(tǒng)規(guī)劃
企業(yè)的組網(wǎng)方案主要要素包括:局域網(wǎng)�、廣域網(wǎng)連接�、網(wǎng)絡(luò)管理和安全性。具體來(lái)說(shuō)企業(yè)組網(wǎng)需求:
Ø 建立安全的網(wǎng)絡(luò)架構(gòu)����,總部與分支機(jī)構(gòu)的網(wǎng)絡(luò)連接;
Ø 安全網(wǎng)絡(luò)部署�,確保企業(yè)正常運(yùn)行;
Ø 為出差的人員提供IPSec或者SSL的VPN方式����;
Ø 提供智能管理特性�,支持瀏覽器圖形管理�����;
Ø 網(wǎng)絡(luò)設(shè)計(jì)便于升級(jí)�����,有利于投資保護(hù)����。
企業(yè)一般的組網(wǎng)結(jié)構(gòu)如下圖,大企業(yè)網(wǎng)絡(luò)核心層一般采用冗余節(jié)點(diǎn)和冗余線路的拓?fù)浣Y(jié)構(gòu)�����,小企業(yè)則選擇單線路的連接方式�。
通過(guò)對(duì)企業(yè)的信息化情況和網(wǎng)絡(luò)規(guī)劃要素進(jìn)行分析,從總體上看��,規(guī)劃方案必須具有以下特點(diǎn):
Ø網(wǎng)絡(luò)管理簡(jiǎn)單�����,采用基于易用的瀏覽器方式,以直觀的圖形化界面管理網(wǎng)絡(luò)�����。
Ø用戶可以采用多種的廣域網(wǎng)連接方式���,從而降低廣域網(wǎng)鏈路費(fèi)用。
Ø無(wú)線接入點(diǎn)覆蓋范圍廣����、配置靈活,方便移動(dòng)辦公����。
Ø便捷、簡(jiǎn)單的統(tǒng)一通信系統(tǒng)�����,輕松實(shí)現(xiàn)交互式工作環(huán)境���。
Ø帶寬壓縮技術(shù)��,高級(jí)QoS的應(yīng)用�,有效降低廣域網(wǎng)鏈路流量。
Ø隨著公司業(yè)務(wù)的發(fā)展����,所有網(wǎng)絡(luò)設(shè)備均可在升級(jí)原有網(wǎng)絡(luò)后繼續(xù)使用,有效實(shí)現(xiàn)投資保護(hù)�。
Ø系統(tǒng)安全,保密性高�,應(yīng)用了適合企業(yè)的低成本網(wǎng)絡(luò)安全解決方案。
安全規(guī)劃方案
根據(jù)對(duì)該企業(yè)的實(shí)際調(diào)研�����,獲取了企業(yè)的網(wǎng)絡(luò)需求����,以此來(lái)制定企業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)規(guī)劃方案和網(wǎng)絡(luò)設(shè)備選型參考;以下提供兩種規(guī)劃方案
1) 網(wǎng)絡(luò)需求:
企業(yè)規(guī)劃的網(wǎng)絡(luò)節(jié)點(diǎn)為500個(gè)���,主要的網(wǎng)絡(luò)需求首先是資源共享����。
2) 基礎(chǔ)版規(guī)劃方案
本方案適用于200~300臺(tái)電腦聯(lián)網(wǎng)�,應(yīng)當(dāng)部署核心交換機(jī),交換機(jī)互聯(lián)方式以千兆雙絞線/光纖與接入交換機(jī)及服務(wù)器連接���;用戶接入交換機(jī)����,千兆銅纜/光纖上連核心交換機(jī)。Internet出口采用多業(yè)務(wù)路由器作為Internet出口路由�、選用防火墻設(shè)備作為安全網(wǎng)關(guān)和移動(dòng)用戶的VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D如下:
方案特點(diǎn):
Ø高性價(jià)比:企業(yè)低投資擁有高性能����、經(jīng)濟(jì)的網(wǎng)絡(luò)���;
Ø簡(jiǎn)易性:結(jié)構(gòu)簡(jiǎn)單���、安裝快速、簡(jiǎn)單���,維護(hù)無(wú)需配置專職人員�;
Ø高性能:最低投資做到千兆骨干�、百兆接入;
Ø可擴(kuò)展性:靈活的網(wǎng)絡(luò)架構(gòu)��,能根據(jù)用戶需要隨時(shí)擴(kuò)展���,并保護(hù)已有投資�����。
3)高級(jí)規(guī)劃方案:
本方案適用于500~800臺(tái)電腦聯(lián)網(wǎng)����,三層網(wǎng)絡(luò)結(jié)構(gòu),萬(wàn)兆骨干��,千兆接入提供優(yōu)于傳統(tǒng)中繼聚合配置的更好的可用性和彈性��;或全千兆交換機(jī)�,千兆到桌面。網(wǎng)絡(luò)拓?fù)鋱D如下:
方案特點(diǎn):
Ø高性能��,全分布式交換網(wǎng)絡(luò)��;
Ø高可靠�,無(wú)間斷的通信環(huán)境;
Ø靈活彈性的網(wǎng)絡(luò)擴(kuò)展能力����;
Ø高效率的網(wǎng)絡(luò)帶寬利用率;
Ø全面的QOS部署�����,多業(yè)務(wù)融合;
Ø完善的網(wǎng)絡(luò)安全策略�����,實(shí)現(xiàn)深度安全檢測(cè)�����,抵御未知風(fēng)險(xiǎn)��。
安全無(wú)線網(wǎng)絡(luò)規(guī)劃方案
安全無(wú)線網(wǎng)絡(luò)解決方案不但能提高員工的生產(chǎn)效率和協(xié)作能力�����,也能為合作伙伴/ 客戶提供方便的上網(wǎng)服務(wù)��。根據(jù)企業(yè)情況�����,可以采用FAT AP方案:
1)無(wú)線網(wǎng)絡(luò)需求:
能夠獲得較高的用戶接入速率�����,構(gòu)建便利的移動(dòng)辦公環(huán)境��,實(shí)現(xiàn)企業(yè)的移動(dòng)網(wǎng)絡(luò)辦公��,成本投入不高�����,適合簡(jiǎn)單���、小規(guī)模的無(wú)線部署�����。
2)規(guī)劃方案:
采用硬件加軟件進(jìn)行組網(wǎng)��,實(shí)現(xiàn)802.1x的認(rèn)證��,可以實(shí)現(xiàn)基于時(shí)長(zhǎng)�����、流量和包月的計(jì)費(fèi)�;整網(wǎng)通過(guò)管理軟件統(tǒng)一管理���。網(wǎng)絡(luò)拓?fù)鋱D如下:
方案特點(diǎn):
Ø全面支持802.11i安全機(jī)制�����、802.11e QoS機(jī)制���、802.11f L2切換機(jī)制�����;
Ø大范圍覆蓋:高接收靈敏度���,達(dá)到-97dBm(普通AP-95dBm),保證更遠(yuǎn)覆蓋����;
Ø多VLAN支持:虛擬AP方式支持多VLAN����,最多支持8個(gè)虛擬SSID的VLAN劃分,每個(gè)VLAN用戶可以獨(dú)立認(rèn)證��;
Ø兼作網(wǎng)橋使用:WDS模式支持PTP�、PTMP工作模式����;支持連接速率鎖定�、傳輸報(bào)文整合,提高傳輸效率���;
Ø負(fù)載均衡:支持基于用戶數(shù)的負(fù)載均衡����、基于流量的負(fù)載均衡�;
Ø針對(duì)各類(lèi)室外、特殊室內(nèi)應(yīng)用如倉(cāng)庫(kù)等復(fù)雜環(huán)境��,可以提供專門(mén)的型號(hào)��。
廣域網(wǎng)互聯(lián)VPN規(guī)劃方案
伴隨企業(yè)和公司的不斷擴(kuò)張�,公司分支機(jī)構(gòu)通過(guò)VPN方式,企業(yè)可以利用現(xiàn)有的網(wǎng)絡(luò)資源實(shí)現(xiàn)遠(yuǎn)程用戶和分支機(jī)構(gòu)對(duì)內(nèi)部網(wǎng)絡(luò)資源的訪問(wèn)����,不但節(jié)省了大量的資金,而且具有很高的安全性����。
2) 規(guī)劃方案
VPN針對(duì)企業(yè)的實(shí)際需要可以和分支機(jī)構(gòu)進(jìn)行IPSec VPN互連 VPN網(wǎng)關(guān)在分支機(jī)構(gòu)Internet邊界防火墻后面配置一臺(tái)VPN網(wǎng)關(guān)���,由此兩端的VPN網(wǎng)關(guān)建立IPSec VPN隧道實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)VPN網(wǎng)關(guān)設(shè)備的對(duì)接。如下圖:
網(wǎng)絡(luò)安全規(guī)劃
網(wǎng)絡(luò)安全是整個(gè)系統(tǒng)安全運(yùn)行的基礎(chǔ)�����,是保證系統(tǒng)安全運(yùn)行的關(guān)鍵����。網(wǎng)絡(luò)系統(tǒng)的安全需求包括以下幾個(gè)方面:
Ø 網(wǎng)絡(luò)邊界安全需求
Ø 入侵監(jiān)測(cè)與實(shí)時(shí)監(jiān)控需求
Ø 安全事件的響應(yīng)和處理需求分析
我們針對(duì)企業(yè)網(wǎng)絡(luò)層的安全策略采用硬件保護(hù)與軟件保護(hù),靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)相結(jié)合����,由外向內(nèi)多級(jí)防護(hù)的總體策略。
根據(jù)安全需求和應(yīng)用系統(tǒng)的目的����,整個(gè)網(wǎng)絡(luò)可劃分為六個(gè)不同的安全層次。具體是:
Ø核心層:核心數(shù)據(jù)庫(kù)��;
Ø安全層:應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用��;
Ø基本安全層:內(nèi)部局域網(wǎng)用戶���;
Ø可信任層:公司本部與營(yíng)業(yè)部網(wǎng)絡(luò)訪問(wèn)接口����;
Ø危險(xiǎn)層:Internet�����。
信息系統(tǒng)各安全域中的安全需求和安全級(jí)別不同��,網(wǎng)絡(luò)層的安全主要是在各安全區(qū)域間建立有效的安全控制措施�,使網(wǎng)間的訪問(wèn)具有可控性。具體的安全策略如下:
核心數(shù)據(jù)庫(kù)采用物理隔離策略
應(yīng)用系統(tǒng)采用分層架構(gòu)方式�,中間件服務(wù)器本身可以通過(guò)配置相應(yīng)的安全策略,限定經(jīng)過(guò)授權(quán)的工作站���、用戶方能訪問(wèn)系統(tǒng)服務(wù)�����,保障了中間件服務(wù)器的安全性���;
內(nèi)部局域網(wǎng)采取信息安全策略:
通過(guò)硬件防火墻提供的VPN隧道進(jìn)行加密,實(shí)現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上的安全傳輸���。
Internet采取通訊加密策略:
建議設(shè)置嚴(yán)格的機(jī)房管理制度�����,嚴(yán)禁非授權(quán)的人員進(jìn)入機(jī)房����,也能夠進(jìn)一步提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。
1) 廣域網(wǎng)安全規(guī)劃
將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門(mén)區(qū)域�����。一般硬件防火墻比軟件防火墻的性能更好��,建議選擇企業(yè)級(jí)的硬件防火墻�����。
VPN基本特征:
Ø 使企業(yè)享受到在專用網(wǎng)中可獲得的相同安全性�����、可靠性和可管理性��。
Ø 網(wǎng)絡(luò)架構(gòu)彈性大——無(wú)縫地將Intranet延伸到遠(yuǎn)端辦事處���、移動(dòng)用戶和遠(yuǎn)程工作者��。
VPN實(shí)現(xiàn)方式:
Ø硬件設(shè)備:帶VPN功能模塊的路由器�����、防火墻��、專用VPN硬件設(shè)備等���。
Ø軟件實(shí)現(xiàn):Windows 自帶PPTP或L2TP、第三方軟件(如CheckPoint��、深信服等)��。
Ø服務(wù)提供商(ISP):中國(guó)電信����、聯(lián)通、網(wǎng)通等���。目前一些ISP推出了MPLS VPN�����,線路質(zhì)量更有保證����,推薦使用。
2)內(nèi)網(wǎng)安全規(guī)劃
企業(yè)內(nèi)網(wǎng)安全系統(tǒng)包括防病毒系統(tǒng)���、內(nèi)網(wǎng)安全管理系統(tǒng)���,上網(wǎng)行為管理系統(tǒng)等。
防病毒系統(tǒng)可以采用網(wǎng)絡(luò)版防病毒系統(tǒng)或防毒墻等產(chǎn)品��。
