一、 项目概要
天津市中环电子计算机有限公司(注:下面简称计算机公司)是1987年组建的国家计算机重点企业,依托计算机工业小区良好的投资环境和雄厚的自身实力,公司与国际著名公司共同成立了十几个合资企业,使计算机公司在整体规模、产品结构、机制转换,经济效益取得飞跃的发展,但是随着日益增长的内部网络需求和现代信息技术发展, 计算机公司网络的承载及防护能力的压力越来越大,对公司信息化办公造成安全隐患和部分影响。
二、 需求分析
1、目前计算机公司网络专线使用的是天津联通10M共享专线,承载公司近200人规模的上网用户。
2、目前计算机公司网络存在的主要问题有:
一、网络攻击导致公司外网邮件系统及运行网站、研发测试服务器不能被外网访问。
二、由于邮件用户的激增,邮件系统的存储空间严重不足。特别是邮件系统及网关的服务只有两年,到期后的后续技术支持费用过高。导致未能及时续费,网关垃圾邮件过滤和防病毒库已经长达三年未更新。
三、随着公司上网用户的增加,对公司整体出口带宽及网络中枢设备吞吐量的需求增高。
3、计算机公司网络现状拓扑图如下:
三、 网络规划
未来规划目标及结构示意图如下:
2009年计算机公司针对当时网络情况进行网络升级改造,但随着互联网技术的发展及计算机公司业务对信息化要求的提高,目前计算机公司网络承载压力大,针对未来网络信息化发展需要,特别是信息安全的重要性,需要在计算机公司目前网络状况下进行升级改造。考虑到公司网络建设需要投入大量的资金,为减轻公司网络信息化资金投入的压力,建议采取整体规划分步实施,逐步完善。
1、初期网络规划
从安全性方面,建议增加外层硬件防火墙及入侵检测系统,以抵御一定规模的网络攻击,保证公司最外层网络入口及外网服务器集群的安全。
从业务需求方面,在解决安全问题后,再寻找便于公司员工操作及使用的邮件系统。
2、中远期网络规划
从网络稳定性方面,随着计算机公司网络用户的快速增长,对外网带宽及内部网络吞吐量的要求越来越高,建议对内部网络的核心设备继续升级,比如:网络内部的核心交换机,作为网络的中枢设备,必须做到性能稳定、高效。然后逐步根据网络各节点的需求更新升级网络子中枢设备,使内部网络运行畅通。
从上网需求方面,如果公司内部用户及外网应用服务对带宽的要求很高,可以扩充计算机公司光纤专线带宽来解决。
四、 解决方案
1、初期解决方案
初期建议购买增设硬件防火墙,使用后,可以为公司对外服务应用的服务器集群提供安全DMZ区域(DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”)。DMZ区域在内部网络和外部网络之间构造了一个安全地带,能够极大缓解目前计算机公司网络存在的攻击影响。通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
外网硬件防护设备选型
产品品牌 名称 型号 规格参数 功能描述 防火墙 网御Power V 星云 6000-U1323-ZH 防火墙 思科 ASA5540-K8 标准1U设备; 2x10/100MBase-TX 包含防火墙、防病毒、入6x10/100/1000MBase-TX ; 侵防护等功能。 整机最大吞吐2Gbps,最大并发连接数180万。 并发连接数:400000 VPN支持:支持 网络吞吐量:650Mbps 纠错 入侵检测:DoS 安全过滤带宽:325Mbps 管理:思科安全管理器用户数限制:无用户数限制 (CS-Manager),Web安全标网络端口:准:UL 1950,CSA C22.2 No. 4*10/100/1000,1*10/100,1*SSC/SSM 950,EN 60950 IEC 控制端口:console,2个RJ-45 60950,AS/NZS3260,TS001 对比:
一款是联想网御硬件安全产品,针对国内的网络级黑客攻击、病毒侵袭,防御效果好。另一款是思科硬件防火墙产品,针对国外网络
及黑客攻击、病毒侵袭防御效果好。两者针对的防御侧重点方向不同,一个主要针对国内,一个主要针对国外。
由于斯诺登事件的曝光,网络入侵造成的泄密危险越来越高,同时考虑到我公司性质,建议使用国产的联想网御硬件安全产品,避免由于网络防御产品自身的漏洞和后门,导致公司网络出现安全问题。在性能上,国产安全设备的性能指标及参数高于国外同类产品,性能优异可以减少未来几年公司在信息安全上的资金投入,对网络发展适应的时间更长。
初期通过增配硬件防火墙设备,结合之前已有的软件防火墙ISA Server,形成内外两道安全防护。
李耀华 科技质量部 2014年03月13日
因篇幅问题不能全部显示,请点此查看更多更全内容