计算机网络改造方案设计.docx
《计算机网络改造方案设计.docx》由会员分享,可在线阅读,更多相关《计算机网络改造方案设计.docx(13页珍藏版)》请在冰豆网上搜索。
计算机网络改造方案设计
SANGFOR
深信服科技
****
网络建设方案
**科技有限公司
2016年4月
错误!
未定义书签
****错误!
未定义书签
网络建设方案错误!
未定义书签
第1章概述错误!
未定义书签
项目背景错误!
未定义书签
需求分析:
错误!
未定义书签
设计原则:
错误!
未定义书签
第2章网路方案设计错误!
未定义书签
总体网络架构错误!
未定义书签
总体建设内容错误!
未定义书签
第3章方案说明错误!
未定义书签
优化网络架构错误!
未定义书签
网络安全建设错误!
未定义书签
应用系统接入安全错误!
未定义书签
第4章选型参考错误!
未定义书签
第1章概述
项目背景
****有限责任公司(简称中原乙烯)是由中国石油化工集团公司与河南省人民政府合资建设、**股份公司控股的大型石化企业。
目前公司主要业务系统有0A系统以及ERP系统。
随着公司的持续稳定发展,越来越依赖于信息化系统建设。
优化网络系统结构,集中化的管理,稳定的网络,是集团业务开展基础;网络系统的安全,应用系统的安全,广域网数据传输的安全,是集团业务正常开展的保障;高效的信息网络系统,可以整体提高集团办公效率。
需求分析:
随着业务的不断发展,IT运用与业务结合的不断深入,集团目前的网络状
况已经不能很好的满足业务发展的需要,有如下问题需要解决:
1.链路出口问题:
目前单位没有独立的网路出口,与其他单位共享网络出口,日常出口不由单位进行管理。
一旦连接出口网络线路故障,影响整个日常办公;同时存在日常管理不变,例如针对服务器外联互联网需要开端口映射,需要其他单位协调;单位日常出口流量带宽遭受限制,影响互联网接入速度等等问题。
2.外出人员接入,数据安全性及无法保障
众多出差在外的领导和员工需要实现随时随地的接入到总部的0A服务器以
及ERP服务器访问应用,实现移动办公。
在公司信息平台上的应用数据现在都是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。
一旦数据遭到篡改或窃取,带来的损失将无法估量。
3.内网安全问题:
随着网络技术的发展、移动互联的普及、新兴应用的不断涌现,在日常管理使用发现一些不稳定和不安全的因素。
如针对0A网站存在SQL注入、网页篡改、网页挂马等安全事件;网络设备、服务器、主机漏洞攻击等。
还有内网用户更新防毒软件、漏洞不及时、软口令等给网络带来很大的隐患。
设计原则:
按照公司业务对网络系统的需求,公司信息化部门对网络建设的总体规划,
依托现有的网络架构,建设稳定、安全、可靠的集团信息化网络平台,推动集团业务系统的全面应用,提升公司业务效率,全力打造高质量公司网络系统。
因此,本期网络建设通过以下三方面内容建设,将集团网络系统建成的安全、
高效网络系统
1.优化网络架构:
对现有的网络进行优化,优化基础网络平台,提升网络的稳定性和可管理性。
2.建设网络系统安全:
遵循相关标准,对现有网络系统进行全面的改造,建成安全的网络系统。
3.加固应用系统接入安全:
按照集团应用系统的保密级别,业务中重要性等标准,实现精细化的应用系统安全管理。
第2章网路方案设计
总体网络架构
整体网络解决方案总体设计以优化网络架构,建设网络系统安全,加固应用系统安全为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法,组网图如下所示:
本次方案建议采用
负载均衡设备、下一代防火墙设备、SSLVPN各一台,分别部署在如下位
链路负载均衡:
部署在互联网出口,单位重新申请多条互联网链路,提高链路稳定性的同时,提高带宽利用率,避免单条链路故障。
安全防护:
部署**内网防火墙1台于外网互联网后段,针对用户的内网终端及应用服务器提供安全防护功能。
移动人员接入:
针对领导及内部员工出差出差办公,采用SSLVPN进行移动接入。
总体建设内容
集团本期网络建设总体内容,主要包括以下4个方面:
1.优化网络架构:
总部向运营商申请多条互联网链路,出口部署链路负载均衡设备,保障链路稳定性,提高链路利用率
2.建设网络安全系统:
内部部署防火墙系统,隔离内网网络,保障内网安全
3.加固应用系统接入安全:
针对领导及员工需要出差需要访问内部OA及ERP系统,通过sslvpn接入,进行应用系统访问权限的授权和可信访问,防止越权访问。
第3章方案说明
优化网络架构
现有链路出口与其他单位共享,单位申请多条链路之后,出口采用**负载均衡设备。
主要体现如下优势:
出/入站链路负载均衡:
**AD的出站负载均衡技术能够为内部终端上网选择最佳路径,均衡分配上网流量。
同时,针对外部用户访问单位的门户网站或者内部员工在外部访问内部oa系统,AD的入站负载均衡技术能够自动为用户选择最优链路进行访问,从而保障外来用户的访问体验快速、稳定。
链路带宽资源合理利用,解决拥塞问题:
**AD还具有链路繁忙控制技术,可以为特定链路设定相应的阀值,再结合**AD全面的负载均衡算法,使得当某条链路达到阀值之后,用户的访问请求将会通过事先设定的负载算法分配到其它链路之上。
另外,**AD设备的DNS透明代理技术能同时对多条链路同时发起DNS请求探测,然后根据实现设定的负载策略,为用户返回相应的DNS请求结
果,避免带宽资源出现闲置的情况,实现对链路带宽资源的合理利用,轻松解决拥塞问题。
健全的链路健康检查:
**健全的链路健康检查机制能够保障校园网出口的连
续性。
当流量流经AD设备时,AD会通过预先设定好的策略判断每条链路的健康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包的源地址转换成相应ISP网段的公网地址,再将该数据包发出。
响应数据包返回到**AD时,**AD将目的地址进行转换之后将数据包发给内部的用户或服务器。
网络安全建设
在互联网出口区域部署**下一代防火墙,对互联网出口流量进行流量过滤,提供L2-L7的安全防护。
通过**下一代防火墙设备能够阻挡大量初级的攻击并实现访问控制、入侵防
御、恶意代码过滤和web安全防护。
主要体现在以下几方面:
网络边界的应用层访问控制防护
内部系统有0A系统以及ERP系统安全要求比较高,因此,建议采用下一代防火墙设备将内网区域与互联网逻辑隔离,加强访问控制的同时还能够对业务服务器进行NAT地址转换,隐藏其IP地址,避免被攻击。
通过部署NGAF产品在数据中心区域安全边界,提供了更加先进的访问控制规则,除了传统的五元组设置,NGAF还设计了基于用户、应用、内容的安全控制策略,实现了更加全面先进的八元组访问控制。
NGAF还提供了更精细的应用层安全控制,识别内外网近2000种应用,并支持包括AD域、Radius等8种用户身份识别方式,全面保证数据中心区域区域的权限控制。
网络边界的入侵防御和web防护
在边界防护保障中,网络出口部署的防火墙主要工作在网络层和传输层,防范大部分基础的网络攻击,而对于整个互联网中的攻击分布,70%以上都来自应用层,这些攻击都是防火墙所无法防御的。
目前OA业务系统业务系统是B/S架构的业务,存在比较大的web安全风险,**下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。
(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
0
SQLJtA
呂0吐人取击皇曰珈b应用傕序开翁中*澄有龙用户矯入酒的奇去…
lilt'llIlkIlimnill!
iiliiillliilliii>llli■Hlitullllnllmillliulli>"i11111111111nilliliiuiiillllullIhaiinnnili"nihiiilllilillii>llliillllaillllbiiiniiiiiii>iiii"111111)111iin>iiiinilllkeiilii*■liiiiuiiiiliIIIi
回XSS攻击瘗站Hl本攻击(XSS}星葩于we研发者在鼎写瞬程序时責肴对厨户…
0网宜木马网更木马实瓯上是一个逵过黑客精心暖计前HThIL网页.当冃户访间儼…
IIIIHHid>1lbiIIIIMIIII*illlihllllIllllI"IlllPIIIIV-HIIli>1HIMIllll>111■milIllll■>11111■IIII4IIIII>I|lbMiniillli*>1III*Illll■Illll>1111^IIIIHIIIlilllliflllll>llll>■IIIIKIIIIIIilllife||||4i>llll>>1IIII
#网站扫囁网赴扫脅昱对WEB站碩気对W田站点的培构、漏詞遴洌9SL
H'/VE3SHELL
iiiiiiiriauihiI|||i[iiiiiiiiiiiniiniini|iihimiii||i
w辞站请求伪造
回倉命令注入
iIiir111■・'Illi^iiliiiiiiiiHlli>iinmin
0文佯覺含攻击
0亘录追万攻壬
liltIIIII)IlllllllllllillllkllllIllll|>1111Illll
0営肓泄漏攻主
III!
!
!
■■■III!
*■i||giaii|!
giibii!
!
■||||biiii
WEBSHELL最训E日入融一科<市二員逋常tf况F>P..
Ill[[[■IllllIIIIIIIIl|||ll|||||I1111111]1111111111||IKillIIPIIIIIH1||||11|111111||111ll||]■III]|ni|llllllllllll|IIIIIHIPIIIIIIHIIIIIBIl|||ll||||ptIIIIIIlllll■lll||lDllIlll■
雕覇涵适(OSRF)通过伪裝来自旻信任用户的诗求韶I闻蜜信任…崔件報命令珑击星攻击者辱特殊的字符或者翼作案统命令rwehg..
■iiiiusiliiiaiiliiiiiaii'iii-aiiliianiilib■■ina!
inrininniiiiiiiiiibiiiriin・miiinlliii・ii”・hi!
■linenil・11・■iiiiiinilrrnbir■imiriiii■■inini■
袁眸也含漏調玫击曲对PH瞄点确的F恶憲攻睥当PHP中娈昼
亘录遍矛闾詞祝星通过匹窒器向胆b駁塔禹三肓同录附加—或書.
■IIIIIHIllllIIIIII"■llllllllllI>lllll«llllIPIIIIIIPllllVillllllilmulllllllllll*IIIIIIPllllHill!
■|||||1-«11111«|||in>■(IINlllllliHIIIBIlllllllllllVIIIIIIlllllllllllII■!
IlllI
隹息泄歸沱昱日刊託眼务器配宣或者本星荐在宝全彌<号致-*•
ehmm■■lllllllllllHiienhipii!
i!
ii■■■■!
iip.Biiigviiiigi■iniRiiiipaiiiiiMiiiiifaBiiiiimiiiiii・
M'EE孫站至痂凭洞活屋旷并1畜刊毎箔英范申特孟漏词逹行旳妄.
系统/应用漏洞攻击防护
针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安全漏洞,**下一代防火墙NGAF提供了实时漏洞发现功能,可以对经过设备的流量进行实时漏洞风险分析,且不会给网络产生额外的流量。
实时漏洞检测功能能够发现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、
Web不安全配置、弱口令等多种安全缺陷。
对于检测到的漏洞信息,NGAF还能
提供详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。
NginxSjI?
403^评BSHELL丈枠洲4.03h
目录棉历403
图7
LA.3ZJK
谑ISlSJlE讴西J
小
n
iTE.LS.2&
LLi
3J
归
m.ILIEu
3
4
SQL
s
D
5
m.tfi.aE-an
1
D
4
in.iLiE«j
皿网
(1)
Q
图8
**还创新性的将实时漏洞检测和入侵攻击行为进行结合,从海量的攻击日志中快速识别出真正对网站业务应用有危害的“有效攻击”,从而大大减少安全运维的工作,让IT人员将更多的精力放在有效威胁的防护上面。
攻击趙势
**下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护,防
止攻击者利用操作系统(如windowssever2003/2007linux、unix)及发布软件漏洞(如,IIS、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻击。
应用系统接入安全
更安全的SSLVPN
在应用系统安全加固方面,采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。
SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。
在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。
用户只可采用指定的账号访问应用系统。
由于登录SSLVPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
更快速的SSLVPN
多线路智能选路
对于移动办公人员,SSLVPN的访问速度直接影响到办公的效率。
造成速度访问低下往往有以下几种情况:
跨运营商访问、高丢包高延时的恶劣网络质量,要全面的提高速度,就需要解决以上几个速度瓶颈问题。
为了避免线路的单点故障,组织的网络出口通常采用多运营商线路来保证线路级别的稳定。
国内有线网络的格局为“北联通、南电信”,使用SSLVPN接入到总部的用户往往办公地点不固定,使用的线路有网通有电信的。
但使用电信的用户并不一定由总部的电信线路接入,一旦为跨运营商接入,将面临高丢包率的现象,导致的数据频繁重传将造成传输速度的低下。
为了解决跨运营商访问的问题,SANGFORSSLVPN提出了一种基于Web的自动选路方法对用户接入进行最优化选路,从线路级别保证接入速度的最快。
当用户在进行SSLVPN接入时,将自动对总部的各条线路进行实时速度探测,并选择最快的线路进行接入。
押能丁•机、FD\
有别于传统SSLVPN解决多线路接入时采用的IP地址库判定方法,
SANGFORSSLVPN的多线路智能选路技术更为智能和人性化。
传统的IP地址
库通过判定用户端所采用的IP属于网通还是电信的IP地址段,并固定的限定电信的必须从总部的电信线路接入,联通的必须从联通的接入。
但使用多线路的情况往往会遇到多条线路上带宽、占用率不均的现象。
若是电信的线路跑得较满,若电信用户从电信接入的速度反而比从网通接入的速度更慢,这样固化的选路方
式反而降低了用户的访问速度。
SANGFORSSLVPN多线路智能选路支持设备与多线路直连、通过前置设备(如防火墙等)直连两种方式下的多线路技术。
可为线路设置高、中、低三种优先级设置,当用户登录SSLVPN页面发起连接请求时,SSLVPN设备将会根据线路的优先级及时延进行综合优选,从而实现速度与链路权值负载均衡的效果。
SANGFORSSLVPN支持多线路下的上网数据选路策略,可配置线路优先选择SSLVPN设置优先级较低的线路,从而实现上网流量与VPN流量在分流、智能快速接入、多线路的主备下的部署。
事疑品上常數棒诛滋亍嘯
土u集蹈:
=诧毎融臨歼炼上匸带宽优先捷择就點
j帀环I配所有溟跨悔鼻碗
曲因亢區晖前苗酩自判于吒所1焙1
戏山空用录先启书片且是菽如ifeSK”兰轴睦出氐苗M不可用时*自韵灯噸PF—杀刁甩媾典.
HTP快速传输协议
无论是边远地区网络线路质量低下,还是移动无线访问,其速度的低下都可反映为网络的高丢包、高延时现象。
时延越大直接拖慢了整个传输速度,而丢包现象的严重将进一步的拖滞传输速度。
到丢包达到一定程度,甚至双方根本无法建立连接,更不用说进行数据的传输了。
网络的高丢包高延时对TCP协议的传输影响尤为重。
如图中所示,传统TCP协议的拥塞控制机制为慢上升、快下降”。
网络环境好的时候,传输的滑动窗口大小缓慢的增长,但窗口最大仅为64K。
但在传输的过程中,一旦出现丢包现象,窗口大小将立即减小到原有窗口的一般。
同时丢包后将重新传输窗口内所丢数据包后的所有数据。
可见,传统TCP传输速度增长慢、拥塞控制机制应变差、重传机制效率低下,面对高丢包、高延时的网络速度非常的不理想。
遼率(bps)
针对传统TCP“慢上升、快下降”的低效传输机制,SANGFORSSLVPN提出了HTP快速传输协议技术。
HTP协议(HighspeedTransmissionProtocc)是基于UDP的可靠传输协议,通过扩充传输窗口、改善拥塞控制算法、选择性快速重传等技术提高TCP传输效率。
如下图所示,刚好与传统TCP“慢上升、快下降”相对,HTP快速传输协议对于数据传输为快上升、慢下降”当网络吞吐允许的情况下以最短的时间将传输速度提高到吞吐量所允许的最高;当遇到高丢包、高
延时等现象,则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度,保证传输质量。
通过HTP快速传输协议,可显着提升在高丢包、高延时情况下的网络传输速度。
升级会员 