某集团IT基础架构建设方案Word文档格式.docx

1、目前，随着通讯技术、计算机技术、网络技术的应用普及和加深，我集团许多业务的开 展不再仅仅局限于同一物理位置上，即使在办事处、分支机构、出差在外、在家中，均可像 在公司总部办公一样开展业务。 另外集团对各项业务的流程，账务流程，行政流程需要统一进行管控，这就需要建立一个安全、快捷、经济、方便的信息交互平台，来满足各分支机构 与集团总部之间的信息交流。另外我集团作为新兴的拥有知识产权的企业 ，信息的敏感性决定了它们历来都是各种居心叵测者的重要关注对象，这提醒我们应该更加注重网络安全的建设。 值得称道的是，公 司领导已经对此引起了高度重视， 并计划逐步进行卓有成效的防护工作。 在这方面，合理借 鉴市

2、场先进经验与理念十分重要。1.2目前IT架构和应用现状分析地点原宽带宽带运 营商网络接入IP地址：动态/固定服务器交换机其它设备深圳总部ADSL动态IP地址K3服务器一 台二层无深圳中心广州越秀中心电信广州天河中心备份服务器一厶上海浦东中心光纤接入北京浦东中心从上表可以看出，我集团 IT 基础架构还处在比较原始的阶段，集团总部和各分支机构没有进行信息网络的互联互通，已经成为制约业务扩大和发展的重要原因。1.3 未来要运行的系统1. CRM 系统2.OA 系统3.IP 电话4. 视频会议5. 邮件系统6. 域管理系统7. 考勤统一管理系统8. 监控统一管理系统9. 账务系统10. 文档统一管理系

3、统11. 数据备份系统12. 网络安全系统13. 医务教学系统根据以上需求，我集团必须构建适合公司未来发展的 IT 基础架构。搭建互 联互通的信息网络和信息平台。为此，必须首先完善 IT 基础架构。第二章 设计原则和设计思想系统的总体设计思想是要体现技术的先进性和决策的前瞻性， 着力于“实用性、 高起点、前瞻性、扩展性” 。具体的我们遵循了以下原则：2.1 安全性原则在公司网络运行的各个环节中， 都应该严格注意安全的问题， 防止其中的任一过程存在着安全的漏洞，从而影响整个公司业务运作的大局。随着计算机网络技术的提高， 网络的安全性也越来越值得人们注意和防范， 在该方案中， 安达通公司时刻强调高

4、度的安全性。我们在进行系统设计时将提供多种手段保障系统的安 全，对相关的网络设备、 主机系统、 应用数据库提供严密的保护。 网络安全需要依靠综合手 段才能够实现。 一方面需要好的安全技术产品，好的安全策略；另一方面， 更为重要的是要 有完善的安全管理制度。 从技术角度来看， 一个完善的网络安全系统应该包括以下三个方面：1. 安全防护2. 主动安全评估3. 安全实时监控安全防护就是通过防火墙或网络物理隔离等设备， 对进出网络的数据包进行控制； 同时 在应用、主机上限制非法用户进入，或者用户越权访问。主动安全评估是基于安全防护的基础上进行的， 在通过了安全防护之后， 可以借助安全 工具或者是有经验

5、的安全专家来进行安全评估。安全实时监控也是属于主动防御范畴。 指在我们对网络上的各种行为进行监控， 例如黑 客攻击一个系统之前， 往往需要了解这个系统的结构或者漏洞， 他们往往会利用网络扫描工 具对某个网段或者主机进行扫描，实时监控系统能够检测到这类行为。2.2 实用性原则系统在设计上一方面将满足双向的数据传送、 实时处理的要求； 另一方面， 又采用先进 的技术，使系统完成后，保持一定时期的领先地位。另外还要考虑成本和费用实用性原则既要做到先进技术与现有成熟技术相兼顾， 又要使系统的高性能低成本与实 用性相结合。2.3 可靠性原则这套系统是企业内网的门户。 它的稳定可靠关系重大， 特别是具体业

6、务项目。 随着使用 的普及， 信息平台的运行不稳定甚至瘫痪将严重影响企业的形象， 也将给为企业带来不便和不可低估的损失。因此可靠性是平台运行的首要保证。我公司将采用相应的手段保证系统、 网络和数据的稳定可靠性， 采用负载均衡技术、 备 份技术就是其中的重要策略。2.4 可扩展性原则网络安全互联建设应该是统一规划、 分步实施、 逐步完善的的过程。 我公司在该方案的 设计中充分考虑它的可扩展性，为将来系统扩展和升级提供基础。2.5 易管理性原则系统的管理和维护工作也是至关重要的。在系统设计时既要充分考虑平台的易管理性， 为平台维护者提供方便的管理工具；同时又要设计规范但不失灵活的工作流程。第三章

7、集团 VPN 网络建设方案3.1 VPN 技术简介VPN（虚拟专用网）技术是指通过公共网络建立私有数据传输通道（即隧道） ，将远程的分支机构、 商业伙伴、 移动办公用户等安全连接起来的一种专用网络技术。 在该网中的主机 将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， VPN可以替代传统租用线来连接计算机或局域网等。而任何 VPN业务都是基于隧道技术实现的，隧道机制是VPN实施的关键。数据通过安全的加密管道”在公共网络中传播。 企业只需要租 用本地的数据专线， 连接上本地的公众信息网，各地的机构就可以互相传递信息； 同时，企 业还可以利用公众信息网的拨号接入设备， 让

8、自己的用户拨号到公众信息网上， 就可以连接 进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、 便于管理和实现全面控制 等好处，是目前和今后企业网络发展的趋势。/软仲I*PN通道PSTN户分埶构A5DNfl）VPNi 备El匚 hd图3-1 VPN组网示意图虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件：保证数据的真实性：通信主机必须是经过授权的，要有抵抗地址冒认（ IP Spoofi ng ）的能力。保证数据的完整性：接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的 能力。保证通道的机密性：提供强有力的加密手段，必须使偷听者不能破解拦截到的通

9、道数据。提供动态密匙交换功能：提供密匙中心管理服务器，必须具备防止数据重演（ Replay）的功能，保证通道不能被重演。提供安全防护措施和访问控制：要有抵抗黑客通过 VPN通道攻击企业网络的能力，并且可以对 VPN道进行访问控制（Access Control ）。虚拟专用网VPN可以使在In ternet中的信息交换有安全保障，大多数的 VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端 的接入技术，例如在一个远程的 PC或笔记本电脑用户与他的公司本部之间建立的加密通道。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。3.2系统设计

10、功能分析3.2.1 VPN的构建方式VPN勺实现有很多种方法，常用的有以下四种：1 硬件VPN某些硬件设备，含有 VPN功能。2. 软件VPN可以通过专用的软件实现 VPN3. 运营商提供VPN可以通过租用运营商的网络实现 VPN3.2.2为企业节省了费用开支采用了 VPN系统，相当于在总部和各地分公司之间建立了安全的专用网络，就可以充 分利用公共网络的资源，在上面运行包含企业内部重要信息的各种应用系统。比较传统的在总部分公司之间拉专线的方式，采用 VPN解决方案，大幅度降低了企业信息系统的投入成本，为企业带来了直接的效益。 并且在安全性上，也得到了提高，因为即使是拉专线，也需要通过网络运营商

11、，而采用 VPN方案，则是真正的将安全掌握在了自己 手中。3.2.6系统的易扩展性VPN系统建立以后，将来的扩展非常方便，如果需要增加一个分公司或者办事处，在该 地安装一台 VPN设备，总部只需要增加一条安全策略即可以实现该分公司或者办事处的接 入。如果增加一个移动用户，只需要配发一个 Sure ID即可。因此扩展非常简单。3.3产品选型软件VPN因性能差，不稳定等因素，在生产环境中，很少部署。现在主流 VPN一般为硬件VPN和运营商提供的VPN.下表为一些供应提供的产品的特点，具体价格详见附件。VPN性能防火墙网络管控网络加速负载均衡第一线良好深信服有中科网威九昌电信费用对比表所需要设备VP

12、N宽带小计19000CISCO 5515（总部2.2W） 分支机构（9000*4）AC1200市 场价格1.5W*5）拨号光纤 （月租金1500*5）设备费用13.3W 线路费用2.6W/ 月200002.75W/ 月总咅E 4.2W 分支机构（8000*4）总部7000分支机构（3000*5）7.2W线路费用2.2W/ 月总部8W分支机构（4W*431.5W 线3.4网络规划与产品部署1集团总部设计方案总部是整个公司的“心脏地带”，重要信息的交互、共享，重要数据的频繁传输，组成 了 XX集团的业务流。随着企业信息化程度的不断加深，各种应用系统会逐步得到应用。目前，集团总部的内部网络，通过电信

13、网络直接接入 In ternet。考虑以后总部业务需求的发展，在总部网络出口处部署一台 ANYSEC-M6600M6600是一款标准1U机架式高性能 VPN安全接入网关。基本配置包括 4个100/1000M以太网接口，采用Intel NP 架构高速网络处理器。最大 VPN隧道数1600条、3DES硬加密性能100Mbps、防火墙吞吐率IGbps、最大并 发会话数 500,000个。支持双机热备、多线路负载均衡。主要功能包括 VPN集中管理、IPSEC/SSL VPN二合一、防火墙、代理上网、应用带宽管理、 IM控制、P2P控制、娱乐控制、用户分级管理、上网行为管理等功能。2、各地驻外机构设计方案由于各地驻外机构需要与杭州总部进行大量的信息交换，并且随着 ERP等应用系统的应用加深，物流、资金流在企业 Intran et网上的频繁传输，为了保证总部与分支机构、分支机构与分支机构之间进行安