1、 PAGE 5 公司網絡改造方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc345399766 一、目前的網絡情況及特點 PAGEREF _Toc345399766 h 2 HYPERLINK l _Toc345399767 1.1、采用普通的交換機 PAGEREF _Toc345399767 h 2 HYPERLINK l _Toc345399768 1.2、所有電腦在同一個子網 PAGEREF _Toc345399768 h 2 HYPERLINK l _Toc345399769 1.3、文件服務器缺乏基本的保護 PAGEREF _Toc345399769 h

2、2 HYPERLINK l _Toc345399770 1.4外來電腦可任意接入 PAGEREF _Toc345399770 h 3 HYPERLINK l _Toc345399771 1.5. 上網行為存在安全因素 PAGEREF _Toc345399771 h 3 HYPERLINK l _Toc345399772 二、網絡整改目和內容 PAGEREF _Toc345399772 h 3 HYPERLINK l _Toc345399773 三、解決方案及效果 PAGEREF _Toc345399773 h 3 HYPERLINK l _Toc345399774 3.1 虛擬局域網 PAGE

3、REF _Toc345399774 h 3 HYPERLINK l _Toc345399775 3.2 網絡訪問控制 PAGEREF _Toc345399775 h 3 HYPERLINK l _Toc345399776 3.3網絡安全系統設計 PAGEREF _Toc345399776 h 4 HYPERLINK l _Toc345399777 3.4 PC準入控制 PAGEREF _Toc345399777 h 4 HYPERLINK l _Toc345399778 3.5 上網行為管理 PAGEREF _Toc345399778 h 4 HYPERLINK l _Toc345399779

4、 3.6 資料及數據安全方案 PAGEREF _Toc345399779 h 4 HYPERLINK l _Toc345399780 四、改造后的網絡特點 PAGEREF _Toc345399780 h 5 HYPERLINK l _Toc345399781 4.1 構建多個虛擬網絡。 PAGEREF _Toc345399781 h 5 HYPERLINK l _Toc345399782 4.2 虛擬網絡之間訪問控制。 PAGEREF _Toc345399782 h 5 HYPERLINK l _Toc345399783 4.3 網絡資源訪問控制。 PAGEREF _Toc345399783

5、h 5 HYPERLINK l _Toc345399784 4.4 上網行為管理 PAGEREF _Toc345399784 h 5 HYPERLINK l _Toc345399785 五、 日常維護及工作 PAGEREF _Toc345399785 h 5一、目前的網絡情況及特點 現有網絡無法進行安全管理及控制，缺乏可管理與安全性，一旦網絡出現病毒及網絡攻擊現象，將影響公司內部所有IT設備及公司的業務運作。1.1、采用普通的交換機目前公司的交換機為TP-LINK TL-sf1024 10/100M共2臺，都是二層普通交換機，功能就是進行數據轉發。無法登進交換機查看交換機狀態、無法查看網絡流量

6、狀態、無法根據網絡的新需求進行新的配置。1.2、所有電腦在同一個子網所有的電腦、服務器、網絡設備在同一個網絡內，這意味著這些設備之間可以任意的互連互通，任意一臺電腦感染病毒或受黑客控制的時候，可以直接影響公司的所有IT設備。1.3、文件服務器缺乏基本的保護服務器與電腦設備在同一個網絡中，意味著電腦可以任意訪問服務器的所有端口，而不是根據應用服務的需要去限制只可訪問需要的服務，這樣服務器的任何一個漏洞都可以被計算機利用來攻擊服務器。影棚文件服務器，由于該服務器積累了公司大量的重要的數據，目前該服務器已使用多年，CPU 頻率過低，系統運行緩慢，經過上次對服務器檢修，現發現主板的RAID芯片已壞，且

7、硬盤存儲空間已嚴重不足(8T硬盤，現可用空間為135G)，建議最好更換一臺新的服務器，并作好定期對該服務器的數據備份。該部分需要購置一臺新的服務器。1.4外來電腦可任意接入外來電腦和筆記本可以任意接進公司網絡，其電腦上所帶的病毒、木馬、惡意工具會影響公司其它電腦以及服務器的安全。更容易造成公司內部資料外泄。1.5. 上網行為存在安全因素 訪問不安全網站，如暴力、黃色、賭博、股票等與業務無關網站，會導致病毒和木馬進入公司內部網絡。員工上班時間下載電影或是在線看視頻資料，會占用極大的帶寬資源，導致業務開展所需要的帶寬不夠，收發郵件變慢。員工上班時間看新聞，軍事，足球，玩網絡游戲，炒股票等等會影響到

8、員工的工作效率。二、網絡整改目和內容 為了控制公司網絡資源浪費和規范公司員工上班時間的電腦使用行為。公司員工能正確地使用維護各辦公室的計算機,有效使用網絡資，做出以下整改。 本次改進方案包括了改進及維護方案兩大類，主要以改進為主。涉及網絡調整和員工電腦等。三、解決方案及效果3.1 虛擬局域網如果根據網絡應用的不同，建立幾套完全獨立的物理網絡，這樣做不可行，首先為這幾套網絡重新布線，工程量大，其次是不同的網絡需要訪問的資源不一樣，將這些需要訪問的資源再關聯起來也不是一件容易的事情，因此建議采用虛擬局域網技術來達到網絡隔離的目的。虛擬局域網技術，在一個物理網絡中，根據應用的不同，把不同的電腦劃分到

9、不同的虛擬局域網中，而這些不同的虛擬局域網之間是不可訪問的，該技術成熟并得到廣泛應用。3.2 網絡訪問控制在虛擬局域網的基礎上，根據應用的不同，控制其可以訪問的網絡資源。3.3網絡安全系統設計內網安全設計：訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對以后所用到的ERP軟件及辦公自動化平臺的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。外網安全設計：安裝軟件、硬件、防火墻，網絡防病毒軟件，客戶端防病毒軟件；利用代理服務器提供Internet與Intranet之間的防火墻功能；通過網管實

10、時記錄網絡的運行狀態。設置遠程訪問身份認證，防止垃圾郵件等。3.4 PC準入控制在交換機端口上綁定公司電腦的MAC地址。當外來電腦接入到公司網絡的時候，交換機會為外來電腦的MAC地址不屬于公司網絡，從而禁止外來電腦接入公司網絡，從內部加強公司網絡的安全性。3.5 上網行為管理管理網絡帶寬。根據各個部門業務需求不同，分配不同的最高帶寬。同時也根據應用需求的帶寬，給不同的業務分配不同的帶寬。保障關鍵的員工和業務能夠獲得足夠的帶寬。提升工作效率。針對URL,聊天工具，上網時間，應用程序進行管理，最大限度減少員工利用上網做與工作無關事情的時間。如通過URL庫，禁止員工訪問與業務無關的網站，只允許訪問與

11、工作相關的網站。同時對上千萬條URL記錄分為新聞，可根據需要禁止訪問其中某些類的網站。保障內網安全。阻止各類假冒網銀和假冒網上證券等釣魚網站，保護員工的合法權益。禁止色情，反動，邪教等非法網站。對傳輸文件格式進行控制，防止不安全格式的文件進入內網。防DOS攻擊3.6 資料及數據安全方案考慮到公司客戶定單和公司設計資料的安全，可以通過做ACL設置用戶訪問權限，防止用戶訪問不該訪問的機密電腦資料，并且并部分控制對E-MAIL，QQ等的泄密管道，防止資料外泄，因此加強防火墻的安全管理很重要，可以在防火墻上設置禁止對外的smtp服務，禁止通過外部郵箱outlook傳遞資料，關于USB的封堵，本來應該靠

12、購買行為軟件來規范，或者通過AD域的組策略來實施，但考慮到預算成本，可以通過腳本（一個exe的可執行文件），只需要用管理員的身份登陸電腦，點擊一下，就可以完成PC注冊表的修改，禁止該電腦的USB口四、改造后的網絡特點4.1 構建多個虛擬網絡。公司的網絡被虛擬成決策層、管理層、行政部、財務部、設計部、客服部、品保部、資材部、服務器區等多個虛擬網絡。并可根據需求增加新的虛擬網絡4.2 虛擬網絡之間訪問控制。不同的虛擬網絡之間，是不可以直接訪問。一個虛擬網絡必須經過中心交換機才可以訪問其它虛擬網絡的電腦。4.3 網絡資源訪問控制。在中心交換機上，可以根據需要開通相關的訪問權限。如只允許辦公電腦訪問郵件服務器的25和110號兩個端口，保障郵件服務器其它端口的安全。4.4 上網行為管理優化上網行