公司網(wǎng)絡(luò)改造專項(xiàng)方案

企業(yè)網(wǎng)絡(luò)改造方案目錄一、現(xiàn)在網(wǎng)絡(luò)情況及特點(diǎn) 21.1、采取一般交換機(jī) 21.2、全部電腦在同一個子網(wǎng) 21.3、文件服務(wù)器缺乏基礎(chǔ)保護(hù) 21.4．外來電腦可任意接入 31.5.上網(wǎng)行為存在安全原因 3二、網(wǎng)絡(luò)整改目和內(nèi)容 3三、處理方案及效果 33.1虛擬局域網(wǎng) 33.2網(wǎng)絡(luò)訪問控制 33.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 43.4PC準(zhǔn)入控制 43.5上網(wǎng)行為管理 43.6資料及數(shù)據(jù)安全方案 4四、改造后網(wǎng)絡(luò)特點(diǎn) 54.1構(gòu)建多個虛擬網(wǎng)絡(luò)。 54.2虛擬網(wǎng)絡(luò)之間訪問控制。 54.3網(wǎng)絡(luò)資源訪問控制。 54.4上網(wǎng)行為管理 5五、日常維護(hù)及工作 5一、現(xiàn)在網(wǎng)絡(luò)情況及特點(diǎn) 現(xiàn)有網(wǎng)絡(luò)無法進(jìn)行安全管理及控制，缺乏可管理和安全性，一旦網(wǎng)絡(luò)出現(xiàn)病毒及網(wǎng)絡(luò)攻擊現(xiàn)象，將影響企業(yè)內(nèi)部全部IT設(shè)備及企業(yè)業(yè)務(wù)運(yùn)作。1.1、采取一般交換機(jī)現(xiàn)在企業(yè)交換機(jī)為TP-LINKTL-sf102410/100M共2臺，全部是二層一般交換機(jī)，功效就是進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。無法登進(jìn)交換機(jī)查看交換機(jī)狀態(tài)、無法查看網(wǎng)絡(luò)流量狀態(tài)、無法依據(jù)網(wǎng)絡(luò)新需求進(jìn)行新配置。1.2、全部電腦在同一個子網(wǎng)全部電腦、服務(wù)器、網(wǎng)絡(luò)設(shè)備在同一個網(wǎng)絡(luò)內(nèi)，這意味著這些設(shè)備之間能夠任意互連互通，任意一臺電腦感染病毒或受黑客控制時候，能夠直接影響企業(yè)全部IT設(shè)備。1.3、文件服務(wù)器缺乏基礎(chǔ)保護(hù)服務(wù)器和電腦設(shè)備在同一個網(wǎng)絡(luò)中，意味著電腦能夠任意訪問服務(wù)器全部端口，而不是依據(jù)應(yīng)用服務(wù)需要去限制只可訪問需要服務(wù)，這么服務(wù)器任何一個漏洞全部能夠被計(jì)算機(jī)利用來攻擊服務(wù)器。影棚文件服務(wù)器，因?yàn)樵摲?wù)器積累了企業(yè)大量關(guān)鍵數(shù)據(jù)，現(xiàn)在該服務(wù)器已使用多年，CPU頻率過低，系統(tǒng)運(yùn)行緩慢，經(jīng)過上次對服務(wù)器檢修，現(xiàn)發(fā)覺主板RAID芯片已壞，且硬盤存放空間已嚴(yán)重不足(8T硬盤，現(xiàn)可用空間為135G)，提議最好更換一臺新服務(wù)器，并作好定時對該服務(wù)器數(shù)據(jù)備份。該部分需要購置一臺新服務(wù)器。1.4．外來電腦可任意接入外來電腦和筆記本能夠任意接進(jìn)企業(yè)網(wǎng)絡(luò)，其電腦上所帶病毒、木馬、惡意工具會影響企業(yè)其它電腦和服務(wù)器安全。更輕易造成企業(yè)內(nèi)部資料外泄。1.5.上網(wǎng)行為存在安全原因訪問不安全網(wǎng)站，如暴力、黃色、賭博、股票等和業(yè)務(wù)無關(guān)網(wǎng)站，會造成病毒和木馬進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)。職員上班時間下載電影或是在線看視頻資料，會占用極大帶寬資源，造成業(yè)務(wù)開展所需要帶寬不夠，收發(fā)郵件變慢。職員上班時間看新聞，軍事，足球，玩網(wǎng)絡(luò)游戲，炒股票等等會影響到職員工作效率。二、網(wǎng)絡(luò)整改目和內(nèi)容為了控制企業(yè)網(wǎng)絡(luò)資源浪費(fèi)和規(guī)范企業(yè)職員上班時間電腦使用行為。企業(yè)職員能正確地使用維護(hù)各辦公室計(jì)算機(jī),有效使用網(wǎng)絡(luò)資，做出以下整改。此次改善方案包含了改善及維護(hù)方案兩大類，關(guān)鍵以改善為主。包含網(wǎng)絡(luò)調(diào)整和職員電腦等。三、處理方案及效果3.1虛擬局域網(wǎng)假如依據(jù)網(wǎng)絡(luò)應(yīng)用不一樣，建立幾套完全獨(dú)立物理網(wǎng)絡(luò)，這么做不可行，首先為這幾套網(wǎng)絡(luò)重新布線，工程量大，其次是不一樣網(wǎng)絡(luò)需要訪問資源不一樣，將這些需要訪問資源再關(guān)聯(lián)起來也不是一件輕易事情，所以提議采取虛擬局域網(wǎng)技術(shù)來達(dá)成網(wǎng)絡(luò)隔離目標(biāo)。虛擬局域網(wǎng)技術(shù)，在一個物理網(wǎng)絡(luò)中，依據(jù)應(yīng)用不一樣，把不一樣電腦劃分到不一樣虛擬局域網(wǎng)中，而這些不一樣虛擬局域網(wǎng)之間是不可訪問，該技術(shù)成熟并得到廣泛應(yīng)用。3.2網(wǎng)絡(luò)訪問控制在虛擬局域網(wǎng)基礎(chǔ)上，依據(jù)應(yīng)用不一樣，控制其能夠訪問網(wǎng)絡(luò)資源。3.3網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)安全設(shè)計(jì)：訪問控制，經(jīng)過密碼、口令（不定時修改、定時保留密碼和口令）等嚴(yán)禁非授權(quán)用戶對服務(wù)器訪問，和對以后所用到ERP軟件及辦公自動化平臺訪問和管理、用戶身份真實(shí)性驗(yàn)證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒防御、數(shù)據(jù)完整、審計(jì)統(tǒng)計(jì)、防病毒入侵。外網(wǎng)安全設(shè)計(jì)：安裝軟件、硬件、防火墻，網(wǎng)絡(luò)防病毒軟件，用戶端防病毒軟件；利用代理服務(wù)器提供Internet和Intranet之間防火墻功效；經(jīng)過網(wǎng)管實(shí)時統(tǒng)計(jì)網(wǎng)絡(luò)運(yùn)行狀態(tài)。設(shè)置遠(yuǎn)程訪問身份認(rèn)證，預(yù)防垃圾郵件等。3.4PC準(zhǔn)入控制在交換機(jī)端口上綁定企業(yè)電腦MAC地址。當(dāng)外來電腦接入到企業(yè)網(wǎng)絡(luò)時候，交換機(jī)會為外來電腦MAC地址不屬于企業(yè)網(wǎng)絡(luò)，從而嚴(yán)禁外來電腦接入企業(yè)網(wǎng)絡(luò)，從內(nèi)部加強(qiáng)企業(yè)網(wǎng)絡(luò)安全性。3.5上網(wǎng)行為管理管理網(wǎng)絡(luò)帶寬。依據(jù)各個部門業(yè)務(wù)需求不一樣，分配不一樣最高帶寬。同時也依據(jù)應(yīng)用需求帶寬，給不一樣業(yè)務(wù)分配不一樣帶寬。保障關(guān)鍵職員和業(yè)務(wù)能夠取得足夠帶寬。提升工作效率。針對URL,聊天工具，上網(wǎng)時間，應(yīng)用程序進(jìn)行管理，最大程度降低職員利用上網(wǎng)做和工作無關(guān)事情時間。如經(jīng)過URL庫，嚴(yán)禁職員訪問和業(yè)務(wù)無關(guān)網(wǎng)站，只許可訪問和工作相關(guān)網(wǎng)站。同時對上千萬條URL統(tǒng)計(jì)分為新聞，可依據(jù)需要嚴(yán)禁訪問其中一些類網(wǎng)站。保障內(nèi)網(wǎng)安全。阻止各類假冒網(wǎng)銀和假冒網(wǎng)上證券等釣魚網(wǎng)站，保護(hù)職員正當(dāng)權(quán)益。嚴(yán)禁色情，反動，邪教等非法網(wǎng)站。對傳輸文件格式進(jìn)行控制，預(yù)防不安全格式文件進(jìn)入內(nèi)網(wǎng)。防DOS攻擊3.6資料及數(shù)據(jù)安全方案考慮到企業(yè)用戶定單和企業(yè)設(shè)計(jì)資料安全，能夠經(jīng)過做ACL設(shè)置用戶訪問權(quán)限，預(yù)防用戶訪問不該訪問機(jī)密電腦資料，而且并部分控制對E-MAIL，QQ等泄密管道，預(yù)防資料外泄，所以加強(qiáng)防火墻安全管理很關(guān)鍵，能夠在防火墻上設(shè)置嚴(yán)禁對外smtp服務(wù)，嚴(yán)禁經(jīng)過外部郵箱outlook傳輸資料，相關(guān)USB封堵，原來應(yīng)該靠購置行為軟件來規(guī)范，或經(jīng)過AD域組策略來實(shí)施，但考慮到預(yù)算成本，能夠經(jīng)過腳本（一個exe可實(shí)施文件），只需要用管理員身份登陸電腦，點(diǎn)擊一下，就能夠完成PC注冊表修改，嚴(yán)禁該電腦USB口四、改造后網(wǎng)絡(luò)特點(diǎn)4.1構(gòu)建多個虛擬網(wǎng)絡(luò)。企業(yè)網(wǎng)絡(luò)被虛擬成決議層、管理層、行政部、財(cái)務(wù)部、設(shè)計(jì)部、客服部、品保部、資材部、服務(wù)器區(qū)等多個虛擬網(wǎng)絡(luò)。并可依據(jù)需求增加新虛擬網(wǎng)絡(luò)4.2虛擬網(wǎng)絡(luò)之間訪問控制。不一樣虛擬網(wǎng)絡(luò)之間，是不能夠直接訪問。一個虛擬網(wǎng)絡(luò)必需經(jīng)過中心交換機(jī)才能夠訪問其它虛擬網(wǎng)絡(luò)電腦。4.3網(wǎng)絡(luò)資源訪問控制。在中心交換機(jī)上，能夠依據(jù)需要開通相關(guān)訪問權(quán)限。如只許可辦公電腦訪問郵件服務(wù)器25和110號兩個端口，保障郵件服務(wù)器其它端口安全。4.4上網(wǎng)行為管理優(yōu)化上網(wǎng)行為，提升上網(wǎng)安全采取雙鏈路，讓光纖和ADSL能夠同時為業(yè)務(wù)服務(wù)。五、日常維護(hù)及工作對電腦進(jìn)行