集團網(wǎng)絡升級改造建設實施計劃方案

1、- 集團網(wǎng)絡升級改造建設方案一、概述網(wǎng)絡是集團信息的基礎設施，以集團為中心下屬各分支機構 及項目部通過與中心節(jié)點的連接， 實現(xiàn)互聯(lián)互通。 此方案從網(wǎng)絡 入口、網(wǎng)絡安全、數(shù)據(jù)加密、網(wǎng)站加密等安全防護方面出發(fā)，保 障公司網(wǎng)絡安全與數(shù)據(jù)互聯(lián)的暢通。二、原拓撲介紹：1 、外網(wǎng)接入：目前公司大樓接入的電信帶寬是 100 兆光纖，較難滿足公 司后期帶寬的需求。2 網(wǎng)絡層設備核心路由器 ：設備接口為百兆而且是六年前采購的， 相關配 件已經(jīng)停產(chǎn)。 目前要想提速到 300 兆必須采購千兆接口路由器， 因為千兆端口可以接收更多的并發(fā)訪問數(shù)量， 后期相關模塊上線 使用后會有大量的用戶訪問集團網(wǎng)絡中心， 帶寬的擴容可

2、以解決 此問題。層交換機 ：目前公司六層主樓加五層副樓只有四個光口交換 機，從網(wǎng)絡拓撲角度來講應該是核心交換機通過光纖直連到層交 換機，還需要采購七臺光口交換機，保證 300 帶寬可以到達弱 電井， 目前的設備只支持最多一百兆帶寬到達弱電井， 不能滿足 后期帶寬的擴容。核心網(wǎng)關 ：目前公司用的核心網(wǎng)關為 2013 年采購， 且前段 時間已升級最新版本， 完全符合公司的后期擴容要求， 一般硬件 廠家的支持升級年限為五年以上。上網(wǎng)行為： 規(guī)范和限制員工的設備， 包括上班時間禁止看視 頻、下載大容量文件等，后期網(wǎng)絡改造將進行手工配置 ip 地址 的模式，每人都對應自己唯一的 ip 地址。 公司現(xiàn)在網(wǎng)

3、絡情況總結： 百兆光纖接入， 通過百兆路由器千兆交 換機接入到弱電井， 通過網(wǎng)絡線接入到辦公室， 有相應的上網(wǎng)行 為設備的控制， 在服務器區(qū)通過核心網(wǎng)關做映射與外網(wǎng)相連， 同 時起到安全防護的作用。 缺點：用戶訪問外部網(wǎng)絡沒有安全設備， 會造成后期網(wǎng)絡訪問的數(shù)據(jù)安全問題； 服務器區(qū)只有核心網(wǎng)關做 防護，不能保證服務器區(qū)的足夠安全；各樓層沒有光纖交換機， 后期擴容帶寬受限； 網(wǎng)站沒有足夠防護， 主要原應是訪問量和數(shù) 據(jù)交換較少， 暫時不會有大量的數(shù)據(jù)， 不會引起相關木馬等的攻 擊。之所以公司網(wǎng)絡是這個現(xiàn)狀主要原因是當時集團大樓為臨時 大樓只為過度使用， 申特對網(wǎng)絡的要求也很低， 同時在線人數(shù)也

4、不會超過 100 人，網(wǎng)絡負載基本滿足。三、網(wǎng)絡整改后拓撲介紹1 、接入方式擴容：光纖接入：原先為 100 兆，擬增加到 300 兆，考慮后期集 團大樓人數(shù)的增加、應用系統(tǒng)的上線和視頻會議的需要。 2、網(wǎng)絡層設備：核心路由器： 更換千兆接口路由器，核心路由器作為各個接 入機構的業(yè)務數(shù)據(jù)匯聚點，需滿足高性能、高穩(wěn)定、接口豐富靈 活、可擴展的要求，現(xiàn)有百兆路由器已經(jīng)不滿足需求，建議在出 口替換成模塊化核心路由器， 保證高穩(wěn)定性， 用于各個機構的主 鏈路接入，保證出口快速轉(zhuǎn)發(fā)，并方便后期擴展，路由器支持光 口、電口、 155M CPOS 接口、 E1/CE1 接口、 V35 同步接口、 155M A

5、TM 接口等，滿足各種廣域網(wǎng)接入要求。接入交換機： 現(xiàn)有七臺接入交換機無光口，且性能偏低，無 法滿足現(xiàn)有數(shù)據(jù)線速轉(zhuǎn)發(fā)要求， 建議將現(xiàn)有 7 臺交換機升級為光 口交換機，各大樓及樓層之間通過光纖直連，提升可靠性、分布 性和易管理性。安全防護： 目前公司只有一臺核心網(wǎng)關， 并沒有相應的安全 設備，特新增一臺入侵防御系統(tǒng)，針對互聯(lián)網(wǎng)病毒、蠕蟲，黑客 攻擊等入侵行為進行檢測、報警和阻斷，提供安全檢測、流量分 析、修正分析、及時準確告警， 更好地進行風險分析、 風險預警、 系統(tǒng)和網(wǎng)絡脆弱性分析， 構建安全可靠的信息網(wǎng)絡， 后期信息系 統(tǒng)的通入必然會有大量的數(shù)據(jù)， 入侵防御系統(tǒng)是目前網(wǎng)絡安全領 域較好的抵

6、御設備， 也是目前主流的安全設備， 一般的使用年限 在五年以上，考慮公司的成本問題建議采購。增加入侵防御系統(tǒng)的原因 ：在網(wǎng)絡的運行維護中， IT 部門仍 然發(fā)現(xiàn)網(wǎng)絡的帶寬利用率居高不下、 而應用系統(tǒng)的響應速度越來 越慢，只好提升帶寬并升級服務器嘍， 可過不了多久問題再次出 現(xiàn)。而實際上，業(yè)務增長速度并沒有這樣快，業(yè)務流量占用帶寬 不會達到這樣的數(shù)量，這是目前各大公司網(wǎng)絡都可能存在的問 題。并不是當初網(wǎng)絡設計不周，而是自 2003 年以來，蠕蟲、點 到點，入侵技術日益滋長并演變到應用層面（ L7 ）的結果，而 這些有害代碼總是偽裝成客戶正常業(yè)務進行傳播， 目前部署的防 火墻其軟硬件設計當初僅按照

7、其工作在 L2-L4 時的情況考慮， 不具有對數(shù)據(jù)流進行綜合、 深度監(jiān)測的能力， 自然就無法有效識 別偽裝成正常業(yè)務的非法流量，結果蠕蟲、攻擊、間諜軟件、點 到點應用等非法流量輕而易舉地通過防火墻開放的端口進出網(wǎng) 絡，如下圖所示：這就是為何用戶在部署了防火墻后， 仍然遭受入侵以及蠕蟲、 病毒、拒絕服務攻擊的困擾。事實上，員工的 PC 都既需要訪問 Internet 又必須訪問公司的業(yè)務系統(tǒng)， 所以存在被病毒感染和黑 客控制的可能， 蠕蟲可以穿透防火墻并迅速傳播， 導致主機癱瘓， 吞噬寶貴網(wǎng)絡帶寬， P2P 等應用，利用 80 端口進行協(xié)商，然后 利用開放的 DP 進行大量文件共享，導致機密泄漏

8、和網(wǎng)絡擁塞， 對系統(tǒng)的危害極大。為了能夠讓防火墻具備深入的監(jiān)測能力，許多廠商都基于現(xiàn) 有的平臺增加了 L4-L7 分析能力，但問題是僅僅將上千個基于 簡單模式匹配過濾器同時打開來完成對數(shù)據(jù)包的 L4-L7 深入檢 測時， 防火墻的在數(shù)據(jù)流量較大時會迅速崩潰， 或雖可以勉強工 作，卻引入很大的處理延時，造成業(yè)務系統(tǒng)性能的嚴重下降，所 以基于現(xiàn)有防火墻體系結構增加深入包檢測功能的方案存在嚴 重的性能問題。防火墻和 IPS 協(xié)同工作： 內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接處一向是網(wǎng)絡安全的重點，防火 墻無法阻止黑客間接地通過有權限的主機發(fā)起攻擊。 因此在防火 墻之后部署一臺 IPS ，配置保護內(nèi)部網(wǎng)絡的安全策略

9、。通過防火 墻過濾掉非法的訪問數(shù)據(jù)， 轉(zhuǎn)發(fā)開放端口的服務數(shù)據(jù)到內(nèi)部網(wǎng)絡 中，進入內(nèi)部網(wǎng)絡之前， 在通過 IPS 的深度檢測， 檢查每一個數(shù) 據(jù)包是否存在病毒或攻擊代碼，能夠進行實時阻斷。Web 應用防火墻：主要部署在網(wǎng)站、應用服務器前端，后期 應用系統(tǒng)將通過網(wǎng)站訪問， 如果沒有較強的保護措施， 后期會對 應用的訪問造成一定的安全威脅， 同時它具備用戶訪問的行為分 析與審計，對頁面點擊率、客戶端地址、訪問流量和時間等維度 進行有效行為跟蹤和呈現(xiàn)， 內(nèi)置典型攻擊特征， 針對穿山甲等常 用軟甲工具精心優(yōu)化，阻止 SQL 注入 HTTP 參數(shù)污染等常見攻 擊。涵蓋 OWASPTOP110 威脅，并能自

10、動升級。增加 web 防火墻的原因： 從狹義的保護角度來看， 計算機網(wǎng) 絡安全是指計算機及其網(wǎng)絡系統(tǒng)資源和信息資源不受自然和人 為有害因素的威脅和危害； 從其本質(zhì)上來講就是系統(tǒng)上的信息安 全。從廣義來說，凡是涉及到計算機網(wǎng)絡上信息的保密性、完整 性、可用性、 真實性和可控性的相關技術和理論都是計算機網(wǎng)絡 安全的研究領域?；诠蚕淼木W(wǎng)絡存在以下共同的風險。1) 操作系統(tǒng)安全的脆弱性 操作系統(tǒng)不安全， 是計算機不安全的根本原因。 主要表現(xiàn)在： 操作系統(tǒng)結構體制本身的缺陷； 操作系統(tǒng)支持在網(wǎng)絡上傳輸文件、加載與安裝程序，包括 可執(zhí)行文件；操作系統(tǒng)不安全的原因還在于創(chuàng)建進程， 甚至可以在網(wǎng)絡的結點上進

11、行遠程的創(chuàng)建和激活；操作系統(tǒng)提供網(wǎng)絡文件系統(tǒng) (NFS)服務， NFS 系統(tǒng)是一個 基于 RPC 的網(wǎng)絡文件系統(tǒng)， 如果 NFS 設置存在重大問題， 則幾 乎等于將系統(tǒng)管理權拱手交出；操作系統(tǒng)安排的無口令人口， 是為系統(tǒng)開發(fā)人員提供的邊 界入口，但這些入口也可能被黑客利用；操作系統(tǒng)還有隱蔽的信道，存在潛在的危險。2) 網(wǎng)絡安全的脆弱性由于 Internet Intranet 的出現(xiàn)，網(wǎng)絡安全問題更加嚴重。 可以說，使用 TCP IP 協(xié)議的網(wǎng)絡所提供的 FTP 、E-Mail 、RPC 和 NFS 都包含許多不安全的因素，存在許多漏洞。同時，網(wǎng)絡的普及使信息共享達到了一個新的層次，信息被 暴露

12、的機會大大增多。 Intranet 網(wǎng)絡就是一個不設防的開放大 系統(tǒng)，誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部， 隨時可能發(fā)生搭線竊聽、遠程監(jiān)控、攻擊破壞。3) 數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性 當前，大量的信息存儲在各種各樣的數(shù)據(jù)庫中，而這些數(shù)據(jù) 庫系統(tǒng)在安全方面的考慮卻很少。 而且，數(shù)據(jù)庫管理系統(tǒng)安全必 須與操作系統(tǒng)的安全相配套。4) 內(nèi)部資料被竊取 現(xiàn)在企業(yè)信息化過程中上傳下達的各種資料基本上都要先經(jīng) 過電腦錄入并打印后再送發(fā)出去， 電腦內(nèi)一般都留有電子版的備 份，若此電腦直接接入局域網(wǎng)或 Intranet ，就有可能受到來自 內(nèi)部或外部人員的威脅，其主要方式有： 利用系統(tǒng)漏洞入侵，瀏

13、覽、拷貝甚至刪除重要文件。前段 時間在安全界流行一個名為 DCOM RPC 的漏洞，其涉及范圍非 常之廣，從 Windows NT4 0、Windows 2000 、Windows XP 到 WindowsServer 2003 。由于 Microsoft RPC 的 DCOM（ 分 布式組件對象模塊 ）接口存在緩沖區(qū)溢出缺陷，如果攻擊者成功 利用了該漏洞， 將會獲得本地系統(tǒng)權限， 并可以在系統(tǒng)上運行任 何命令，如安裝程序，查看或更改、刪除數(shù)據(jù)或是建立系統(tǒng)管理 員權限的帳戶等。 目前關于該漏洞的攻擊代碼已經(jīng)涉及到的相應 操作系統(tǒng)和版本已有 48 種之多，其危害性可見一斑； 電腦操作人員安全意識

14、差，系統(tǒng)配置疏忽大意，隨意共享 目錄；系統(tǒng)用戶使用空口令，或?qū)⑾到y(tǒng)帳號隨意轉(zhuǎn)借他人，都會 導致重要內(nèi)容被非法訪問，甚至丟失系統(tǒng)控制權。5）Web 服務被非法利用 基于網(wǎng)頁的入侵及欺詐行為威脅著網(wǎng)站數(shù)據(jù)的安全性及可信 性。其主要表現(xiàn)在：Web 頁面欺詐 許多提供各種法律法規(guī)及相關專業(yè)數(shù)據(jù)查詢的站點都提供了 會員服務，這些會員一般需要繳納一定的費用才能正式注冊成為 會員，站點允許通過信用卡在線付費的形式注冊會員。 攻擊者可 以通過一種被稱為 Man-In-the-Middle 的方式得到會員注冊中 的敏感信息。攻擊者可通過攻擊站點的外部路由器，使進出方的所有流量 都經(jīng)過他。在此過程中，攻擊者扮演了

15、一個代理人的角色，在通 信的受害方和接收方之間傳遞信息。 代理人是位于正在同心的兩 臺計算機之間的一個系統(tǒng)， 而且在大多數(shù)情況下， 它能在每個系 統(tǒng)之間建立單獨的連接。 在此過程中， 攻擊者記錄下用戶和服務 器之間通信的所有流量，從中挑選自己感興趣的或有價值的信 息，對用戶造成威脅。CGI 欺騙CGI(Common Gateway Interface)即通用網(wǎng)關接口，許多Web 頁面允許用戶輸入信息，進行一定程度的交互。還有一些 搜索引擎允許用戶查找特定信息的站點，這些一般都通過執(zhí)行 CGI 程序來完成。一些配置不當或本身存在漏洞的 CGI 程序， 能被攻擊者利用并執(zhí)行一些系統(tǒng)命令， 如創(chuàng)建具

16、有管理員權限的 用戶，開啟共享、系統(tǒng)服務，上傳并運行木馬等。在奪取系統(tǒng)管 理權限后，攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器， 記錄用戶敏感數(shù)據(jù)， 或隨意更改頁面內(nèi)容，對站點信息的真實性及可信性造成威脅。錯誤和疏漏Web 管理員、 Web 設計者、頁面制作人員、 Web 操作員以 及編程人員有時會無意中犯一些錯誤， 導致一些安全問題， 使得 站點的穩(wěn)定性下降、查詢效率降低，嚴重的可導致系統(tǒng)崩潰、頁 面被篡改、降低站點的可信度。6) 網(wǎng)絡服務的潛在安全隱患一切網(wǎng)絡功能的實現(xiàn)，都基于相應的網(wǎng)絡服務才能實現(xiàn)，如IIS 服務、 FTP 服務、 E-Mail 服務等。但這些有著強大功能的 服務，在一些有針對性的攻擊

17、面前，也顯得十分脆弱。以下列舉 幾種常見的攻擊手段。分布式拒絕服務攻擊攻擊者向系統(tǒng)或網(wǎng)絡發(fā)送大量信息， 使系統(tǒng)或網(wǎng)絡不能響應。 對任何連接到 Intranet 上并提供基于 TCP 的網(wǎng)絡服務 （如 Web 服務器、 FrP 服務器或郵件服務器 ）的系統(tǒng)都有可能成為被攻擊 的目標。大多數(shù)情況下，遭受攻擊的服務很難接收進新的連接， 系統(tǒng)可能會因此而耗盡內(nèi)存、死機或產(chǎn)生其他問題?？诹罟艋诰W(wǎng)絡的辦公過程中不免會有利用共享、 FTP 或網(wǎng)頁形式 來傳送一些敏感文件， 這些形式都可以通過設置密碼的方式來提 高文件的安全性， 但多數(shù)八會使用一些諸如 123 、work 、 happy 等基本數(shù)字或單詞

18、作為密碼， 或是用自己的生日、 姓名作為口令， 由于人們主觀方面的原因， 使得這些密碼形同虛設， 攻擊者可通 過詞典、 組合或暴力破解等手段得到用戶密碼， 從而達到訪問敏 感信息的目的。網(wǎng)頁防篡改軟件針對網(wǎng)站群實現(xiàn)安全防護。防范數(shù)據(jù)篡改、 網(wǎng)站暗鏈、頁面篡改、后臺管理、文件包含、目錄遍歷、文件上 傳、信息泄露、攻擊痕跡、中間件。部署于服務器前端，串聯(lián)， 針對網(wǎng)站安全漏洞、攻擊手段及最終攻擊結果，行掃描、防護及診斷，對網(wǎng)站進行應用層防護，防止篡改，保障數(shù)據(jù)完整性。對網(wǎng)站進行應用層防護，防止篡改，保障數(shù)據(jù)完整性，內(nèi)核控制、本地備份、異地備份等多種組合防護措施，保證網(wǎng)站免遭篡改， 維護網(wǎng)站形象，同時

19、保證網(wǎng)站和應用系統(tǒng)的前端安全。 整改后的網(wǎng)絡介紹：通過路由器接入外網(wǎng)，核心網(wǎng)關、上網(wǎng)行為、 ips 主動防御 部署在主路上， web 防火墻部署在網(wǎng)站和應用前端，網(wǎng)頁防竄 改系統(tǒng)部署在網(wǎng)站和應用服務器上， 保證整條鏈路的安全和訪問 速度，同時核心交換于層交換機光口相連， 保證三百兆帶寬直達 弱電井。四、配置清單序 號產(chǎn)品規(guī)格描述數(shù) 量1侵防御系 統(tǒng)標準 2U 機架式設備，冗余電源，液晶屏；吞吐率 1.5Gbps ，并 發(fā)連接數(shù) 200 萬；全模塊化配置，支持萬兆接口；配置有 6 個千 兆接口 ,1 個擴展插槽； 配置 2 路 IPS 許可。 內(nèi)置軟 / 硬 bybass ，最 大支持 2 路 IPS 和 1 路 IDS 。防范系統(tǒng)漏洞、 網(wǎng)站木馬、 跨站腳本、 危險端口、文件上傳、信息泄露、攻擊痕跡、中間件。部署于 WAF 之前，串聯(lián)，針對互聯(lián)網(wǎng)病毒、蠕蟲，黑客攻擊等入侵行為進行檢 測、報警和防護，提供安全檢測、流量分析、修正分析、及時準確 告警，幫助安全管理員更好地進