某集團網絡設計

 

一、 網絡整體設計

1、 設計思路

某集團新辦公樓網絡采用核心、匯聚、接入三層網絡結構設計,按照信息安全等級保護標準進行安全域劃分。

2、 網絡拓撲

二、 互聯網接入區設計

互聯網接入區的主要功能是提供互聯網訪問服務,共設計有防火墻及上網行為管理設備,采用集群/熱備方式工作,性能均滿足1500人訪問互聯網需要。

Ø 互聯網防火墻:采用下一代防火墻,具備訪問控制、入侵防御、防病毒、鏈路負載均衡及DDos防御功能,設備本身具有良好的硬件擴展性及較高的可靠性。

Ø 上網行為管理:采用專業的上網行為管理設備,具備按照不同部門、時段進行互聯網訪問控制及流量管理功能,保存互聯網訪問記錄不少于60天,支持硬件BYPASS功能。

三、 VPN外聯區設計

VPN外聯區的主要功能是通過VPN技術,將需要訪問核心業務區的在外辦公單位及人員安全的接入至內部網絡。為保障VPN接入服務的可靠性,同樣采用兩臺同時支持IPSEC VPN及SSL VPN功能的下一代防火墻以集群/熱備方式工作,設備性能支持至少50個IPSEC VPN隧道及300個SSL VPN隧道。

Ø 在外辦公單位:通過VPN設備,采用IPSEC VPN隧道接入至內部網絡。

Ø 在外辦公人員:使用USB KEY及密碼組合方式進行認證,通過SSL VPN方式接入至內部網絡。

四、 核心交換區設計

核心交換區的主要功能是為網絡提供可靠、高速的數據轉發,并提從入侵檢測功能,并對業務系統訪問進行審計。

Ø 核心交換機:采用機箱式交換機,2臺核心交換機通過虛擬化組成內部網絡的核心,單臺交換機至少具備至少6個業務擴展槽位,配置不少于24個千兆電接口、48個千兆光接口,未來可擴展萬兆接口。設備本身具有部件冗余特性,電源、交換引擎等無單點故障。

Ø 入侵檢測:千兆級入侵檢測設備,符合信息安全等級保護標準,兼容第三方日志管理中心。

Ø 業務審計系統:千兆級吞吐量,支持以業務系統為單位,對訪問該業務系統的行為進行審計,并具備歷史記錄導出、異常告警功能。

五、 終端接入區設計

終端接入區包括承載辦公終端接入的匯聚交換機及接入交換機,與核心交換機采用相同品牌,兩種交換機均采用能夠達到千兆線速交換。

Ø 匯聚交換機:采用具備冗余電源的全光接口三層交換機作為匯聚交換機。每臺匯聚交換機通過端口聚合方式,采用光纖分別連接至兩臺核心交換機,達到2G/4G交換主干。

Ø 接入交換機:采用支持網絡管理功能的全千兆智能交換機作為接入交換機,上行通過千兆光纖連接至匯聚交換機。接入交換機具備ARP攻擊防護、廣播風暴抑制功能。

六、 核心業務區

核心業務區即是數據中心,包括企業門戶網站、OA辦公系統等重要應用系統,應同時具備較高的網絡安全性及運行可靠性。防火墻及交換機均采用雙機集群/熱備方式工作,無單點故障。

Ø 數據中心防火墻:選擇采用最新技術的“智能防火墻”作為數據中心防火墻,除支持傳統的訪問控制、入侵防御、防病毒等功能外,還能夠支持對未知的安全威脅進行防護,最大程度保障數據中心安全。

Ø 數據中心交換機:多臺數據中心交換機以虛擬化方式工作。具備DOS、ARP、ICMP攻擊防護功能,同時設備具有極高的性能及可靠性,具備冗余電源。

七、 安全管理區

安全管理區的主要功能是對整個IT系統進行安全、運維管理及審計,能夠實時對網絡整體運行環境、安全狀態進行管理及監控。安全管理區主要由安全管理系統、運維管理系統及運維審計系統及配套設備組成。

Ø 運維管理系統:采用B/S架構設計,能夠對網絡中的交換設備、安全設備、服務器設備、數據存儲設備等工作狀態進行監控,通過圖形介面展示IT系統運行情況,及時發現IT系統故障,并能對異常行為進行告警。

Ø 安全管理系統:與運維管理系統不同,安全管理系統是對網絡安全進行管理。通過收集網絡安全設備日志,使網絡管理人員能夠快速掌握IT系統整體安全情況、分析網絡威脅行為,并及時對網絡威脅進行處理,保障IT系統運行安全。

Ø 運維審計系統:又被稱作“堡壘機”,其主要功能是對網絡管理員的網絡、系統管理行為進行認證及審計,避免非授權人員對網絡設備、應用系統進行非法訪問、篡改,造成網絡癱瘓、系統宕機及數據外泄。