《计算机网络改造方案设计.docx》由会员分享,可在线阅读,更多相关《计算机网络改造方案设计.docx(12页珍藏版)》请在三一办公上搜索。
1、SANGFOR深信服科技*网络建设方案*科技有限公司2016年4月目录错误!未定义书签*错误!未定义书签网络建设方案错误!未定义书签第1章概述错误!未定义书签项目背景错误!未定义书签需求分析:错误!未定义书签设计原则:错误!未定义书签第2章网路方案设计错误!未定义书签总体网络架构错误!未定义书签总体建设内容错误!未定义书签第3章方案说明错误!未定义书签优化网络架构错误!未定义书签网络安全建设错误!未定义书签应用系统接入安全 错误!未定义书签第4章选型参考错误!未定义书签第1章概述项目背景*有限责任公司(简称中原乙烯)是由中国石油化工集团公司与河南省人 民政府合资建设、*股份公司控股的大型石化企
2、业。目前公司主要业务系统有0A系统以及ERP系统。随着公司的持续稳定发 展,越来越依赖于信息化系统建设。优化网络系统结构,集中化的管理,稳定的 网络,是集团业务开展基础;网络系统的安全,应用系统的安全,广域网数据传 输的安全,是集团业务正常开展的保障;高效的信息网络系统,可以整体提高集 团办公效率。需求分析:随着业务的不断发展,IT运用与业务结合的不断深入,集团目前的网络状况已经不能很好的满足业务发展的需要,有如下问题需要解决:1. 链路出口问题:目前单位没有独立的网路出口,与其他单位共享网络出口,日常出口不由单 位进行管理。一旦连接出口网络线路故障,影响整个日常办公;同时存在日常管 理不变,
3、例如针对服务器外联互联网需要开端口映射, 需要其他单位协调;单位 日常出口流量带宽遭受限制,影响互联网接入速度等等问题。2. 外出人员接入,数据安全性及无法保障众多出差在外的领导和员工需要实现随时随地的接入到总部的0A服务器以及ERP服务器访问应用,实现移动办公。在公司信息平台上的应用数据现在都 是未经加密等安全处理的,跑在互联网这个不安全而又开放的网络上。一旦数据 遭到篡改或窃取,带来的损失将无法估量。3. 内网安全问题:随着网络技术的发展、移动互联的普及、新兴应用的不断涌现,在日常管理 使用发现一些不稳定和不安全的因素。如针对 0A网站存在SQL注入、网页篡 改、网页挂马等安全事件;网络设
4、备、服务器、主机漏洞攻击等。还有内网用户 更新防毒软件、漏洞不及时、软口令等给网络带来很大的隐患。设计原则:按照公司业务对网络系统的需求,公司信息化部门对网络建设的总体规划,依托现有的网络架构,建设稳定、安全、可靠的集团信息化网络平台,推动集团 业务系统的全面应用,提升公司业务效率,全力打造高质量公司网络系统。因此,本期网络建设通过以下三方面内容建设,将集团网络系统建成的安全、高效网络系统1. 优化网络架构:对现有的网络进行优化,优化基础网络平台,提升 网络的稳定性和可管理性。2. 建设网络系统安全:遵循相关标准,对现有网络系统进行全面的改 造,建成安全的网络系统。3. 加固应用系统接入安全:
5、 按照集团应用系统的保密级别,业务中重 要性等标准,实现精细化的应用系统安全管理。第2章网路方案设计总体网络架构整体网络解决方案总体设计以优化网络架构,建设网络系统安全,加固应用系 统安全为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法, 组网图如下所示:负载均衡设备整体网络规划图内网办公区本次方案建议采用负载均衡设备、下一代防火墙设备、SSL VPN各一台,分别部署在如下位链路负载均衡:部署在互联网出口,单位重新申请多条互联网链路,提高链 路稳定性的同时,提高带宽利用率,避免单条链路故障。安全防护:部署*内网防火墙1台于外网互联网后段,针对用户的内网终端 及应用服务器提供安全防
6、护功能。移动人员接入:针对领导及内部员工出差出差办公,采用 SSL VPN进行移 动接入。总体建设内容集团本期网络建设总体内容,主要包括以下 4个方面:1. 优化网络架构:总部向运营商申请多条互联网链路,出口部署链路负载均衡设 备,保障链路稳定性,提高链路利用率2. 建设网络安全系统:内部部署防火墙系统,隔离内网网络,保障内网安全3. 加固应用系统接入安全:针对领导及员工需要出差需要访问内部 OA及ERP系统,通过sslvpn 接入,进行应用系统访问权限的授权和可信访问,防止越权访问。第3章方案说明优化网络架构现有链路出口与其他单位共享,单位申请多条链路之后,出口采用*负载均 衡设备。主要体现
7、如下优势:出/入站链路负载均衡:*AD的出站负载均衡技术能够为内部终端上网选 择最佳路径,均衡分配上网流量。同时,针对外部用户访问单位的门户网站或者 内部员工在外部访问内部oa系统,AD的入站负载均衡技术能够自动为用户选择 最优链路进行访问,从而保障外来用户的访问体验快速、稳定。链路带宽资源合理利用,解决拥塞问题:*AD还具有链路繁忙控制技术, 可以为特定链路设定相应的阀值,再结合*AD全面的负载均衡算法,使得当某 条链路达到阀值之后,用户的访问请求将会通过事先设定的负载算法分配到其它 链路之上。另外,*AD设备的DNS透明代理技术能同时对多条链路同时发起 DNS请求探测,然后根据实现设定的负
8、载策略,为用户返回相应的DNS请求结果,避免带宽资源出现闲置的情况,实现对链路带宽资源的合理利用,轻松解决 拥塞问题。健全的链路健康检查:*健全的链路健康检查机制能够保障校园网出口的连续性。当流量流经AD设备时,AD会通过预先设定好的策略判断每条链路的健 康状况(链路健康检查),并决定将流量负载均衡到哪条链路,然后数据包的源 地址转换成相应ISP网段的公网地址,再将该数据包发出。响应数据包返回到* AD时,*AD将目的地址进行转换之后将数据包发给内部的用户或服务器。网络安全建设在互联网出口区域部署*下一代防火墙,对互联网出口流量进行流量过滤, 提供L2-L7的安全防护。通过*下一代防火墙设备能
9、够阻挡大量初级的攻击并实现访问控制、入侵防御、恶意代码过滤和web安全防护。主要体现在以下几方面:网络边界的应用层访问控制防护内部系统有0A系统以及ERP系统安全要求比较高,因此,建议采用下 一代防火墙设备将内网区域与互联网逻辑隔离, 加强访问控制的同时还能够对业 务服务器进行NAT地址转换,隐藏其IP地址,避免被攻击。通过部署NGAF产 品在数据中心区域安全边界,提供了更加先进的访问控制规则,除了传统的五元 组设置,NGAF还设计了基于用户、应用、内容的安全控制策略,实现了更加全 面先进的八元组访问控制。NGAF还提供了更精细的应用层安全控制, 识别内外 网近2000种应用,并支持包括AD域
10、、Radius等8种用户身份识别方式,全面 保证数据中心区域区域的权限控制。网络边界的入侵防御和web防护在边界防护保障中,网络出口部署的防火墙主要工作在网络层和传输层, 防 范大部分基础的网络攻击,而对于整个互联网中的攻击分布, 70%以上都来自应 用层,这些攻击都是防火墙所无法防御的。目前OA业务系统业务系统是B/S架构的业务,存在比较大的web安全风险, *下一代防火墙NGAF有效结合了 web攻击的静态规则及基于黑客攻击过程的 动态防御机制,实现双向的内容检测,提供 OWASP定义的十大安全威胁的攻击 防护能力,有效防止常见的 web攻击。(如,SQL注入、XSS跨站脚本、CSRF 跨
11、站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、 经济损失、名誉损失等问题。0SQL JtA呂0吐人取击皇曰珈b应用傕序开翁中*澄有龙用户矯入酒的奇去lilt ll Ilk I lim nill! iilii illli illii i llli Hlitullll n llm illli ulli i 11111111111 nilli liiu iiilll lull Ih aiinn nili n ihi i illli lillii llli illll ailll lb iiini iiiiii ii ii 111111)111 iin i iiin illl k
12、eiilii* liiiiuiii i li III i回XSS攻击瘗站Hl本攻击(XSS 星葩于we研发者在鼎写瞬程序时責肴对厨户0网宜木马网更木马实瓯上是一个逵过黑客精心暖计前HThIL网页.当冃户访间儼IIIIHHid 1 lb i IIIIMIIII* illli hllll Illll I Illl PIIIIV-HII li 1 HIM Illll 111 mil Illll 11111 IIII4IIIII I| lb Mini illli* 1 III* Illll Illll 1111 IIIIHIII li lllliflllll llll IIIIKIIIIII illl
13、i fe|4illl l 1 III I#网站扫囁网赴扫脅昱对WEB站碩気对W田站点的培构、漏詞遴洌9SLH /VE3SHELLiiii iiiria ui hi I |i iiiiii iiiiiniinii ni|i ihimi ii|iw辞站请求伪造回倉命令注入i I i i r 111 I llii iliiiiiiii Hll i iin mi n0文佯覺含攻击0亘录追万攻壬liltIII II) I lllllllllll illll kllll Illll | 1111 Illll0営肓泄漏攻主III! III!* i|giaii|!gi ibii! |biiiiWEBSHELL
14、最训E日入融一科P.Ill Illll IIIIII II l|ll| I 11111111111111111| I Kill IIPII IIIH 1|11|111111|111 ll| III|ni|llllllllllll| III II HIPIIIIIIHIIIIIBI l|ll| pt IIIIII llllllll| |l Dll Illl 雕覇涵适(OSRF)通过伪裝来自旻信任用户的诗求韶I闻蜜信任 崔件報命令珑击星攻击者辱特殊的字符或者翼作案统命令r wehg . ii iiusi liiia iilii i iiaiiiii-aiili ianii lib ina!inr
15、in inn iiiiii iiiibii iriin miii nl lii iii”hi ! line nil 11 iiiiii nil rrnbir imiriiii in ini 袁眸也含漏調玫击曲对PH瞄点确的F恶憲攻睥当PHP中娈昼亘录遍矛闾詞祝星通过匹窒器向胆b駁塔禹三肓同录附加或書.IIIIIH Illll IIIIII llllllllll Illlllllll IPIII III PllllVillllll il mu lllllllllll* IIIIII Pllll Hill ! |1-11111| in (IINlllllli HIIIBI lllllllllll
16、V IIIIII lllllllllll II ! Illl I隹息泄歸沱昱日刊託眼务器配宣或者本星荐在宝全彌 号致-*eh mm lllllllllll Hiienhipii!iv!ii ! iip.Biiigviiiigi iniRiiiipaiiiiiMiiiiifaBiiiiimiiiii iMEE孫站至痂凭洞活屋旷并1畜刊毎箔英范申特孟漏词逹行旳妄.系统/应用漏洞攻击防护针对于内部业务系统服务器存在操作系统底层的系统漏洞及业务系统的安 全漏洞,*下一代防火墙NGAF提供了实时漏洞发现功能,可以对经过设备的 流量进行实时漏洞风险分析,且不会给网络产生额外的流量。实时漏洞检测功能 能够发
17、现底层软件漏洞、业务发布软件漏洞、Web应用风险漏洞、插件漏洞、Web不安全配置、弱口令等多种安全缺陷。对于检测到的漏洞信息,NGAF还能提供详细的漏洞说明,如漏洞类型,数量,描述,危害说明等信息。NginxSjI? 4 03 评BSHELL丈枠洲 4.03 h聞嗣1 2 1 Oft黑链 45.56目录棉历4 03图7LA.3Z JK谑ISlSJlE讴西J小niTE.LS.2&LLi3J归m. ILIE u34SQLsD5m. tfi.aE- an1D4in. iLiE j皿网(1)Q图8*还创新性的将实时漏洞检测和入侵攻击行为进行结合, 从海量的攻击日志 中快速识别出真正对网站业务应用有危害
18、的“有效攻击”,从而大大减少安全运 维的工作,让IT人员将更多的精力放在有效威胁的防护上面。攻击趙势*下一代防火墙NGAF提供基于操作系统和应用程序的漏洞攻击防护,防止攻击者利用操作系统(如 windows sever2003/2007 linux、unix)及发布软件 漏洞(如,IIS、Apache等)对网站进行系统提权、系统破坏、信息窃取等攻击。应用系统接入安全更安全的SSL VPN在应用系统安全加固方面,采用登录 SSL VPN身份验证、权限划分、登录 应用身份验证的主线进行保障。SSL VPN接入认证方式可采用用户名密码、USB KEY、短信认证、动态令牌、CA认证、LDAP认证、RA
19、DIUS认证等两种或多 种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSL VPN 后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定 SSL VPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。由于登录SSL VPN的身份已通过多重认证的确认,而后又进行指定应用账 号访问,即可保障登录应用系统的人员的身份。更快速的SSL VPN多线路智能选路对于移动办公人员,SSL VPN的访问速度直接影响到办公的效率。造成速 度访问低下往往有以下几种情况:跨运营商访问、高丢包高延时的恶劣网络质量, 要全面的提高速度,就需要解决以上几个速度瓶颈问题。为了避免线
20、路的单点故障,组织的网络出口通常采用多运营商线路来保证线 路级别的稳定。国内有线网络的格局为“北联通、南电信”,使用SSL VPN接入 到总部的用户往往办公地点不固定, 使用的线路有网通有电信的。但使用电信的 用户并不一定由总部的电信线路接入, 一旦为跨运营商接入,将面临高丢包率的 现象,导致的数据频繁重传将造成传输速度的低下。为了解决跨运营商访问的问题,SANGFOR SSL VPN提出了一种基于 Web 的自动选路方法对用户接入进行最优化选路,从线路级别保证接入速度的最快。 当用户在进行SSL VPN接入时,将自动对总部的各条线路进行实时速度探测, 并选择最快的线路进行接入。押能丁机、FD
21、有别于传统 SSL VPN解决多线路接入时采用的IP地址库判定方法,SANGFOR SSL VPN的多线路智能选路技术更为智能和人性化。传统的IP地址库通过判定用户端所采用的IP属于网通还是电信的IP地址段,并固定的限定电 信的必须从总部的电信线路接入, 联通的必须从联通的接入。但使用多线路的情 况往往会遇到多条线路上带宽、占用率不均的现象。若是电信的线路跑得较满, 若电信用户从电信接入的速度反而比从网通接入的速度更慢,这样固化的选路方式反而降低了用户的访问速度。SANGFOR SSL VPN多线路智能选路支持设备与多线路直连、 通过前置设备 (如防火墙等)直连两种方式下的多线路技术。可为线路
22、设置高、中、低三种优 先级设置,当用户登录SSL VPN页面发起连接请求时,SSL VPN设备将会根据 线路的优先级及时延进行综合优选,从而实现速度与链路权值负载均衡的效果。SANGFOR SSL VPN支持多线路下的上网数据选路策略,可配置线路优先选 择SSL VPN设置优先级较低的线路,从而实现上网流量与 VPN流量在分流、智 能快速接入、多线路的主备下的部署。事疑品上常數棒诛滋亍嘯土u集蹈:=诧毎融臨歼炼上匸带宽优先捷择就點j帀环I配所有溟跨悔鼻碗曲因亢區晖前苗酩自判于吒所1焙1戏山空用录先启书片且是菽如ifeSK”兰轴睦出氐苗M不可用时*自韵灯噸PF杀刁甩媾典.HTP快速传输协议无论是
23、边远地区网络线路质量低下, 还是移动无线访问,其速度的低下都可 反映为网络的高丢包、高延时现象。时延越大直接拖慢了整个传输速度, 而丢包 现象的严重将进一步的拖滞传输速度。到丢包达到一定程度,甚至双方根本无法 建立连接,更不用说进行数据的传输了。网络的高丢包高延时对TCP协议的传输影响尤为重。如图中所示,传统TCP 协议的拥塞控制机制为 慢上升、快下降”。网络环境好的时候,传输的滑动窗口 大小缓慢的增长,但窗口最大仅为64K。但在传输的过程中,一旦出现丢包现象, 窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据 包后的所有数据。可见,传统 TCP传输速度增长慢、拥塞控制机
24、制应变差、重 传机制效率低下,面对高丢包、高延时的网络速度非常的不理想。遼率(bps)针对传统TCP“慢上升、快下降”的低效传输机制,SANGFOR SSL VPN提出 了 HTP快速传输协议技术。HTP协议(Highspeed Transmission Protocc)是基于 UDP的可靠传输协议,通过扩充传输窗口、改善拥塞控制算法、选择性快速重 传等技术提高TCP传输效率。如下图所示,刚好与传统 TCP“慢上升、快下降” 相对,HTP快速传输协议对于数据传输为 快上升、慢下降”当网络吞吐允许的 情况下以最短的时间将传输速度提高到吞吐量所允许的最高;当遇到高丢包、高延时等现象,则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速 度,保证传输质量。通过 HTP快速传输协议,可显着提升在高丢包、高延时情 况下的网络传输速度。