2、rnet在全球的发展和普及,企业网络技术的发展,以及企业生存和发展的需要促成了企业网的形成。它以TCP/IP协议作为基础,以Web为核心应用,构成统一和便利的信息交换平台。它通过简单的浏览界面,方便地提供诸如E-mail、文件传输(FTP)、电子公告和新闻、数据查询等服务,实现企业内部网上用户对Internet的浏览、查询,同时对外提供信息服务,发布本企业信息,是现行企业网的一般要求。因此,对于企业的中心机房,在考虑其中心机房的装修、配电系统、空调系统、防雷系统、消防安全系统等方面的同时,对于网络服务系统是中心机房的核心部分。所以在本文档(论文)中,是围绕了企业网络中心机房的设备的设计与实现。
3、企业网中心机房的构建是一个系统工程,需要有较大的人力和物力的投入。作为网络的心脏,企业应根据自身实际情况和发展需要,有的放矢地建立适合自己的企业网络机房,只有这样才能充分有效地利用企业网,真正达到促进企业进一步发展的目的。二、公司介绍介绍自己公司情况三、项目概要1、项目背景某公司新迁办公室计划建设自己的公司网络,希望通过这个新建的网络,提供一个安全、可靠、可扩展、高效的网络环境、将办公地点连接到一起,使公司内可以实现网络资源的共享、全网接入Internet的目标,使着整个网络成为一个实用、好用、够用、安全、可靠、经济的公司园区网。这些都是围绕中心机房的建设展开的,作为企业网络的核心内容,对于设
4、备的功能的了解,设备的选择,安全稳定的网络架构,设计思想都是中心机房的建设要着重考虑的。2、总体规划在网络分析中,首先要确保企业中的网络稳定地运行,还要确保网络中安全可靠运行,构建一个高速、安全、可靠、易管理的企业Intranet服务,为此,在本项目中,为满足公司办公网络运营顺畅,应用系统等,通过网络建设,保证了企业信息系统中数据安全性、实时性和有效性。3、设计原则采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投放使用,发挥较好的效能。本系统在软件配置和硬件设备,整个设计上依照以下原则确定。1)先进性网络设备
7、调整变化。6)开放性此网络架构,主要是以服务器、深信服的网络产品为主,但在路由器和防火墙的选择上,也能支持厂家的任意网络产品,任意网络结构,如总线型、星型、环型等。7)可扩展系统应是可扩展的,以便将来有更大需求时,很容易将设备安装进去。系统规模及档次要易于护,可以方便地进行设备扩充和适应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。由于信息技术和人们对新技术的需求发展都非常迅速,为了避免不必要的重复投资,应该选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加设备,而是需要增加一定数量的模块就行。8)经济性整体投资低、维护费用低,系统组成使整体投资达到最小
8、。9)综合性满足系统目标与功能目标,总体方案设计合理,满足用户要求,便于系统维护,以及系统二次开发与移植。根据已制定的网络设计原则,我们所选择的设备必须具有以下特点:网络方案应该采用成熟的技术,并尽可能采用先进的技术。采用国际统一标准,以拥有广泛的支持厂商,最大限度的采用同一厂家的产品。方案应该合理分配带宽,使用户不受“塞车”的影响。应该充分考虑未来可能的应用,如:桌面将承受大型应用软件和多媒体传输需求的压力。该网络方案应该具有高度扩展性,能够为用户未来数目的扩展具有调整、扩充的手段和方法。该网络应该是面向接连的,能够实现虚网络与虚网络连接。考虑对用户现有网络的平滑过度,使公司现有陈旧设备尽量
11、现对每台计算机的访问控制。分析1:考虑到对网络接入和网络安全的管理,所有交换机全部采用可网管型交换机。实现对每台介入计算机的控制,实现Vlan、Pvlan的划分,确保最大限度的网络访问安全。接入层和汇聚层都是用二层固定端口的交换机,核心层交换机则采用三次模块化交换机。需求2:所有重要数据都集中在存储服务器中,不同部门的工作人员对同一数据库进行操作,因此,大量的数据流发生在主干网络,要求骨干网络和核心交换机拥有较高的网络带宽。分析2:汇聚层交换机采用拥有千兆位端口的可网管交换机,实现与核心层交换机的高速连接,避免可能产生的网络颈瓶。选择背板带宽较大的交换机便能够满足大流量数据交换。需求3:考虑到
12、公司的发展,因此交换机需要用前瞻性,除了满足当前的需求,也应该能满足未来公司规模扩大的需求分析3:我们可以选择具有全面向后兼容性的,集群软件升级特性使用户能自动更新的功能的交换机。2)交换机选择核心层根据交换机的需求分析,华为S5730S-48C-EI-AC48全千兆核心交换机。2、接入层S5720S-52P-LI-AC48口千兆可网管企业级交换机3、路由器需求:公司需求接入internet,要求安全一个安全稳定的网络。网络设备支持标准的管理协议,可以使用网管软件和设备对整个网络进行有效的集中管理和维护。,保证网络的传输性能和路由快速收敛性,抑制局域网内的广播风暴,减少数据传输延时。系统具有多
13、层次的安全保护措施,可以满足用户身份鉴别、访问控制、数据完整性和保密性传输等要求。分析:选择的路由器应支持VLAN划分技术、HSRP(热备份路由协、议)技术、OSPF(最短路径优先)技术和EIGRP路由协议和VPN技术等。要求接入internet,需要对路由器配置NAT即可满足。4)路由器选择华为HUAWEIAR2240C-S企业级千兆模块化多业务路由器AR2200企业路由器采用多核CPU无阻塞交换架构,融合路由、交换、语音、安全等多种业务,支持开放业务平台(OSP),可应用于中型企业总部、大中型企业分支,具有灵活的扩展能力。AR2200路由器可以灵活配置,便捷升级,满足多种接入需求。六、应用
14、服务器1、公共服务器七、网络安全1、防火墙1)防火墙需求与分析需求:公司希望添加网络防火墙,保护网络的安全性功能,并通过过滤不安全的服务降低风险。同时希望增加网络的安全性的同时,又降低了用户管理的复杂程度。分析:采用硬件防火墙,硬件防火墙性能上绝对优于软件防火墙,因为它有自己的专用处理器和内存,经过配置,可以独立完成防范网络攻击的功能。需要降低管理复杂度,则使用防火墙透明模式。在选择防火墙的时候主要应该考虑防火墙的基本功能、安全性、高效性、可管理性和适用性等因素。我们选择深信服的AF-1120:深信服下一代防火墙(Next-GenerationApplicationFirewall)NGAF1
15、面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAFS决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。区别于传统的网络层防火墙,NGAfM备L2-L7层的协议的理解能力。不仅能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。区别于传统DPI技术的入侵防御系统,深信服NGAFM备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。同样都能防护web攻击,与we
17、、性能瓶颈以及风险无法统一定位的问题。同时从用户长远利益考虑减少重复无效的投资,实现最优的投资回报。为了解决传统安全设备只针对外部攻击防护的问题,下一代防火墙应该具备双向的内容检测能力。除了能够防护外部攻击以外,需要对服务器响应的反馈内容进行严格的安全检查。以提供防网页篡改,防敏感信息泄露等功能。虽然多功能网关具备部分应用安全防护能力,但其传统安全设备的集成、串行部署的方式,使其在多种功能开启之后性能急剧下降,最终只能当传统防火墙使用。下一代防火墙应该从软件构架、硬件构架两方面彻底改变多功能网关由于多功能堆叠、串行部署导致的性能瓶颈问题,具备应用层高性能实现万兆的吞吐。一、Web安全的挑战互联
18、网技术的高速发展,使得Web业务成为当前互联网应用为广泛的业务。大量的在线应用业务都依托于Web服务进行,Web业务不断更新,大量web应用快速上线。而由于资金、进度、意识方面的影响,这些Web应用系统没有进行充分的安全评估从而产生大量可利用漏洞。根据Gartner的调查,安全攻击有75%都是发生在Web应用层,2/3的Web系统都十分脆弱,易受攻击。根据2011年7月CNCERT数据显示:境内被篡改网站数量为2613个,其中被篡改政府网站数量为182个,Web安全形势不容乐观!如常见的web业务系统:在线交易系统:存储了用户的机密信息包括账户,身份证,交易信息等等,一旦瘫痪,或后台数据已被窃
19、取,将造成企业或个人巨大的损失。门户网站:门户网站承担着“宣传经济发展、对外交流、公开信息”等重要功能,是服务于和谐社会的窗口。一旦受到黑客攻击,不仅影响网站的正常工作,同时还降低网站的公信力,严重的情况下会导致重要信息的泄密,危及政府和企业形象。二、Web安全的问题:针对Web的攻击往往隐藏在正常访问业务行为中,导致传统防火墙、入侵防御系统无法发现和阻止这些攻击。Web业务系统面临的安全问题是不是单方面的,概括起来主要有以下四个方面:1)开发时期遗留问题:由于Web应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等
20、。2)系统底层漏洞问:Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。3)运维管理中的问题:业务系统中由于管理的问题也存在诸多安全隐患,如弱口令、管理员界面等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。4)破坏手段多样问题:Web系统所处的环境的网络安全状况也影响着Web系统的安全,比如网络中存在的DoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web系统的稳定运行。三、NGAF解决之道深信服NGAF提供对Web业务系统的三维立体防护
21、解决方案,深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发,提供全面的安全防护手段,保护web业务系统不受来自各方的侵害。基于事件周期的设计,攻击的防护不可能实现百分百的安全。Web系统的安全建设必须贯穿到整个Web安全Web业务安全解决方案文档密级:公开事件周期中,设立事前、事中、事后三道安全防线分阶段进行防护。NGAF提供事前策略自检、事中攻击防护、事后防止篡改的整体安全防护。事前策略自检*:在配置完安全策略后,NGAF可以自动进行扫描和探测,查看系统还存在哪些安全策略漏洞和隐患;事中攻击防护:2-7层完整的安全防护,包括:Web攻击防护、漏洞防护、病毒防护等;事后
22、网页篡改响应*:可以针对被篡改的静态网页进行告警、替换、还原等功能。基于攻击过程的安全防护传统的web安全防护采用的是防火墙+IPS+WAF割裂式的安全防护体系,针对各类的攻击总是被动的增补相应功能的安全设备。而对于Web安全防护不是单一攻击手段的防护,而需要对黑客攻击动机与时机进行分析,基于黑客的攻击过程的每一个环节进行统一防护。NGAF的设计是基于黑客攻击过程的完整Web系统安全防护,针对黑客入侵三步曲即扫描、入侵、破坏进行统一的安全防护:扫描过程:提供防端口/服务扫描、防弱口令暴力破解、关键URL防护、应用信息隐藏等,攻击过程:提供强化的Web攻击防护(防SQL注入、OS命令注入、XSS
23、攻击、CSRF攻击)、多对象漏洞利用防护等破坏过程:提供抗应用层DOS攻击、可执行程序上传过滤、上行病毒木马清洗等多维对象的全面防护,安全的漏洞就像木桶的短板,任何可以被黑客利用的机会都可能导致所有的防护措施形同虚设。对众多用户网络安全现状分析后,发现安全问题是多角度、多方面的,在Web安全规划中,一味强调Web服务器的防护是远远不够的。面对防护全面的Web应用服务器,黑客往往以退为进采用“跳板式攻击”,先突破漏洞较多的内网终端,通过内网终端窃取密码后堂而皇之的入侵Web服务器。NGAF不仅提供强化的服务器安全防护,针对网内存在巨大安全风险,很有可能成为“肉鸡”被黑客利用的终端也采取了严格的防
24、护措施。基于终端漏洞防护,终端的病毒防护,恶意插件、脚本过滤NGAF是充分考虑安全事件周期性,基于黑客攻击行为的过程,提供多维对象防护的完整Web安全解决方案。除此之外,NGAF涵盖了L2-L7全面的安全功能,可以替代FW、IPS、WAF节省投资。同时,简化了组网,统一了管理,极大地提升运维工作效率。四、价值体现:通过部署NGAF保护Web业务系统安全,可以为您提供以下价值:防止因安全问题造成公司股价下跌、形象受损、客户信誉降低等问题,保护机密信息、敏感数据不被泄露,减少因泄露信息而产生法律诉讼的可能性,满足有关法规对Web系统安全的规定。五、方案优势1)Web业务三维立体防护:Web业务安全
26、在以下几个方面:带宽滥用随着互联网的普及,企业业务几乎都依托于互联网进行。ERPCRMOAMail、电子商务、视频会议等系统已成为基础设施,共同构成业务信息化平台。但是在内部网络中,除了这些关键业务系统外,还存在着P2P下载、在线视频、网络炒股、购物、游戏、在线小说等非关键业务应用,形成了复杂的网络应用“脉络”。在众多的网络应用中,尤以P2P应用的带宽侵蚀性最为强烈。据调查统计,P2P应用对带宽占用比大致是40%60%在极端情况下占用比会达到80%90%同时,再加上其他与工作无关的应用占用了带宽资源。因此,在日常办公当中带宽有效利用率不到30%工作效率低下网络的普及改变了传统的办公方式,而企业
28、。安全隐患互联网的开放给企业带来了信息共享的便利,为业务系统提供了传输平台,但是正因为互联网的开放,网络病毒、蠕虫、木马等不安全因素也随之出现。某些网络安全意识薄弱的员工,在互联网上随意打开网页、点击链接,中毒受感染,并且在内部网络中传播导致大范围严重影响。因此,如何避免来自互联网的侵袭,解决内网安全管理问题,是信息化系统建设中需要考虑的重点问题。通过针对企业信息网络业务需求分析,结合上网行为管理系统建设原则,总结出本次方案的设计思路:1、在网络出口处部署上网行为管理系统,对企业网络的进出数据流量进行管理。2、根据企业组织架构和人员分布,建立用户组树形结构,匹配企业目前组织架构,为后续网络管理
29、奠定基础。3、通过上网行为管理系统,对员工在日常办公中与工作无关的网络应用进行控制,例如禁止P2P下载、在线视频、浏览购物网站、网络游戏等。解决带宽滥用问题,提高带宽有效利用率。同时,禁止工作无关应用,提高企业员工工作效率,为企业带来效益增长。4、在部署上网行为管理系统后,通过定义关键字的方式,实现对发送邮件、网上搜索、网上发布、文件外发等行为进行过滤,从而避免敏感信息泄露问题给企业带来经济损失。同时,有效防止不良信息外发行为,避免引起法律纠纷。5、通过利用上网行为管理系统中的安全功能,抵御外网安全攻击行为,有效隔离内网,提高内网安全性。6、由于大规模部署了上网行为管理系统,因此,为了对整体系
30、统实行有效管理,在总部部署一台集中管理设备,对全网的上网行为管理系统进行统一管理,降低管理成本,提高可管理性。产品参数:九、监控系统设备对现代化安全防范系统需求的不断增长,建设一套安全、高久、配置合理的安全防范及电视监控系统已经成为办公室监控现代化管理中不可缺少的组成部分。本G高水准、高质量,提高产品的性能价格比,在设计上充分体现建设者的意图,根据各种不同场所的要,从办公室的具体实际出发,做到配置合理,留有扩展余地,技术先进,性能价格比高,确保系统性能高质量,高可靠性.并考虑到今后使用者的维护、使用、保养的方便性,结合贵单位要求,增设了监控方案。闭路电视监控系统的主要功能是对现场实况进行监视.
31、它使管理人员在控制室中能观察到所有重要地点的情况,将监测区的情况以图像方式实时传送到管理中心,值班人员通过主控显示器可以随时解这些重要场所的情况.闭路电视监控系统依结构可分为:摄像、传输、控制和显示记录四部分.部分之间关系如下图所示,摄像部分:是安装在现场的,它包括摄像机、镜头、防护罩、支架和电云台.它的任务是对被摄体进行摄像,并把获得的光信号转换成电信号.传输部分:把现场摄像机出的电信号传送到控制室,它一般包括线缆、线路驱动设备等,显示与记录部分:把现场传来的信号转换成图像在监视设备上显示,并且可以把图像用硬盘录像机保存下来;所以,它主要包括视器、硬盘录像机等设备.控制部分:负责所有设备的控
32、制与图像信号的处理.在输入与输出之间0上视频切换设备(视频矩阵),负责视频信号的切换.设备组成:1、前端设备主要有:摄像机、镜头、防护罩、解码器等.2、传输设备有:视频传输电缆、控制传输线、接线箱等.3、显示记录设备有:主控显示器、打印机等.4、控制设备主要有:硬盘录像机、控制软件包等。产品选型:监控系统设备监控枪机/半球DS-2CD2T25-I3200万星光级P0E:个海康26监安支第DS-1292ZJ但像机专用支架个海康26硬盘录掾机DS-S632N-K332路台海康1监控级硬盘4TMJ40PURX,41,IntelliPower,3.5个西数5显示器10B0P台海康1十、无线覆盖当前大部
40、的经验与松安光电现有系统的特点,针对松安光电的不同需求,开发了独具特色的技术服务产品。我公司服务工程师以获得厂商专业认证的工程技术人员为骨干,以厂商的紧密支持为后盾,以完善的服务管理体系为依托,推出针对用服务器搭建的现有系统的专业技术服务。我公司服务以全面提高您的服务器系统的可靠性、稳定性、安全性为己任。我公司拥有由多名工程师组成的技术专家组。为您提供完善系统规划和工程实施中的技术疑难问题提供强有力的支持。他们在金融,工商企业,教育,政府等服务器系统建设中有长期丰富的实施经验。精通大型系统设计,方案部署,实施策略,维护。为您的信息化系统的建设提供全套的解决方案。2、安装调试服务无论工程大小,我
41、公司专业服务人员都为您服务,我们有专业的技术专家组和训练有素的工程师队伍。我公司充分理解信息系统建设在企业业务开展的基础作用,坚决按时按质完成最艰难的工程任务。无论是建设一个全新的系统,还是升级、扩容原有的系统,我公司均以专业的服务态度,以德丰地产公司的技术,精益求精做好每一项工作。1、为您的企业提供统一的联络接口:对每个工程项目,我公司均指定合适的项目经理。项目经理作为企业的联络接口,将在整个项目周期中执行全面的组织、协调工作。高素质的我公司项目经理不仅在技术上,还是在项目管理上都具有丰富经验,胜任工程中大量的繁琐工作。2、统一的项目管理方法论:我公司建立了一套行之有效的项目管理方法论,实现
42、跨部门、跨地域的全面管理。结合企业的实际情况。我公司的项目管理方法论严密又灵活。方法论包括五个阶段:A、售前阶段:在项目尚未最终确定时,我公司专业服务部门即成立项目小组,建立起高效的项目沟通机制。通过与企业的反复协商界定项目范围,即提供对需求的定义与验证,形成具体、详细建议的基础。B、项目启动:定义项目所需要的角色、职责,部署资源,并在企业现场收集各种详细信息C、项目规划:记录、分析所有有关信息来完成技术设计,并且确定项目组织机构、做出项目成本预算以及制定项目实施程序步骤,最后形成完整的项目计划。D、项目执行:根据项目计划进行从现场勘察到安装、调试的全程部署。即使是看上去非常简单的服务器系统,在实际安装调试时也