企業(yè)網(wǎng)絡(luò)如何建設(shè)?很多企業(yè)在初期因?yàn)槿藛T較少,所以配置比較低,但隨著企業(yè)人員的增加,應(yīng)用的增加,無(wú)論是寬帶、出口、安全、管理等已不能滿足當(dāng)前的需求,所以很多的企業(yè)網(wǎng)絡(luò)發(fā)展到一定的階段就需要改造了
本期我們來(lái)通過(guò)實(shí)例來(lái)看下企業(yè)網(wǎng)絡(luò)改造的一些建議。
企業(yè)網(wǎng)絡(luò)改造的六個(gè)方向
一、網(wǎng)絡(luò)出口安全問(wèn)題
公司現(xiàn)有的網(wǎng)絡(luò)出口設(shè)備配備1臺(tái)企業(yè)級(jí)路由器,該產(chǎn)品主要用于集團(tuán)公司上網(wǎng)用戶的IP地址轉(zhuǎn)換,外網(wǎng)光纖鏈路為電信50M,由于路由器未提供安全功能模塊,集團(tuán)公司的網(wǎng)絡(luò)安全受到很大危險(xiǎn),同時(shí)集團(tuán)公司的銷售人員在出差時(shí)需遠(yuǎn)程訪問(wèn)公司內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng),現(xiàn)有設(shè)備沒(méi)有防火墻、入侵檢測(cè)、VPN等功能,某些功能需要購(gòu)買軟件授權(quán)才可以實(shí)現(xiàn)。急需對(duì)全集團(tuán)公司網(wǎng)絡(luò)安全進(jìn)行改造。
解決方案:新購(gòu)一臺(tái)網(wǎng)絡(luò)安全網(wǎng)關(guān)UTM或高性能防火墻,具備高級(jí)功能,同時(shí)提供VPN、AV、IDP等多種功能,UTM區(qū)別于傳統(tǒng)防火墻,能分析網(wǎng)絡(luò)3-4層數(shù)據(jù)報(bào)文,自帶的規(guī)則庫(kù)能識(shí)別90%的病毒,阻止非法的網(wǎng)絡(luò)攻擊,如非法掃描,漏洞探測(cè),僵尸網(wǎng)絡(luò),拒絕垃圾郵件、暴力破解等。通過(guò)配置SSL VPN可以實(shí)現(xiàn)遠(yuǎn)程用戶以安全的虛擬通道連接到集團(tuán)公司內(nèi)網(wǎng)訪問(wèn)業(yè)務(wù)系統(tǒng),SSL VPN支持在手機(jī)、電腦終端任意訪問(wèn),不再限制用戶的訪問(wèn)終端類型。公司領(lǐng)導(dǎo)可以在家、出差,上下班路上,輕松連接到內(nèi)網(wǎng)進(jìn)行相關(guān)工作流程的簽發(fā),實(shí)現(xiàn)了智能終端設(shè)備的安全移動(dòng)辦公。
二、網(wǎng)絡(luò)帶寬管理問(wèn)題
公司網(wǎng)絡(luò)基礎(chǔ)平臺(tái)在2013年左右建設(shè)完成,互聯(lián)網(wǎng)接入電信帶寬只有50M,現(xiàn)階段對(duì)用戶上網(wǎng)的行為,上網(wǎng)的帶寬,訪問(wèn)的應(yīng)用沒(méi)有任何安全控制,如:?jiǎn)T工上網(wǎng)在論壇發(fā)帖,評(píng)論、轉(zhuǎn)發(fā),瀏覽網(wǎng)頁(yè)、非法言論,因公司沒(méi)有相應(yīng)的管控設(shè)備,無(wú)法定位和查看是發(fā)送者身份,將會(huì)給公司造成很大負(fù)面影響。公安部82號(hào)令,要求能夠記錄終端用戶訪問(wèn)網(wǎng)站的日志,對(duì)外發(fā)的內(nèi)容可以進(jìn)行審計(jì)以及關(guān)鍵字過(guò)濾。
解決方案:新采購(gòu)一臺(tái)上網(wǎng)行為管理設(shè)備,部署在機(jī)房,可以實(shí)現(xiàn)對(duì)公司網(wǎng)絡(luò)帶寬管理、網(wǎng)絡(luò)行為管理,通過(guò)該設(shè)備可以配置相應(yīng)的流量管理策略,可基于用戶角色或者時(shí)間段來(lái)分配帶寬管理策略。
控制下載、在線應(yīng)用,通過(guò)部署了上網(wǎng)行為管理設(shè)備,可以靈活、有效的控制和解決陜西核工業(yè)集團(tuán)公司網(wǎng)絡(luò)帶寬及用戶訪問(wèn)行為,提升網(wǎng)絡(luò)安全,實(shí)現(xiàn)網(wǎng)絡(luò)可視化管理。上網(wǎng)行為管理設(shè)備有如下四大主要功能特點(diǎn):
1、內(nèi)容過(guò)濾;
2、應(yīng)用控制;
3、帶寬管理;
4、內(nèi)容審計(jì);
三、網(wǎng)絡(luò)架構(gòu)問(wèn)題
公司基礎(chǔ)網(wǎng)絡(luò)建設(shè)處于起步階段,ip地址與區(qū)域網(wǎng)絡(luò)未進(jìn)行合理規(guī)劃,網(wǎng)絡(luò)框架混亂,經(jīng)常出現(xiàn)大范圍網(wǎng)速慢,掉線。
解決方案:新購(gòu)置一臺(tái)千兆三層的核心交換機(jī),新購(gòu)的核心交換機(jī)配置為用戶終端網(wǎng)關(guān)設(shè)備,進(jìn)行劃分vlan,按照樓層的辦公區(qū)域劃分不同的VLAN,不同的VLAN之間不能直接訪問(wèn),通過(guò)三層交換機(jī)的路由實(shí)現(xiàn)了不同VLAN的互訪。
配置了VLAN之后,即使有終端機(jī)器感染網(wǎng)絡(luò)病毒產(chǎn)生的廣播報(bào)文只在本部門VLAN內(nèi)廣播,不會(huì)影響其他部門VLAN,這樣大大降低了病毒對(duì)網(wǎng)絡(luò)影響的范圍,保護(hù)了內(nèi)網(wǎng)的安全性。核心交換機(jī)的強(qiáng)大的背板帶寬和包轉(zhuǎn)發(fā)率能保證用戶的數(shù)據(jù)請(qǐng)求無(wú)阻塞的完成轉(zhuǎn)發(fā),沒(méi)有網(wǎng)絡(luò)瓶頸。
四、無(wú)線網(wǎng)絡(luò)覆蓋問(wèn)題
公司辦公樓共6層,幾乎每個(gè)辦公室都需要無(wú)線接入的需求,公司員工的筆記本、手機(jī)都有訪問(wèn)無(wú)線用于移動(dòng)辦公,訪客室、會(huì)議室都要求接入無(wú)線。因?yàn)榍捌跊](méi)有規(guī)劃網(wǎng)絡(luò),很多無(wú)線接入是員工通過(guò)購(gòu)買了家用無(wú)線路由器產(chǎn)品來(lái)實(shí)現(xiàn)的。購(gòu)買的無(wú)線路由器需要逐個(gè)安裝調(diào)試,辦公樓出現(xiàn)了非常多的家用型無(wú)線設(shè)備。
目前的問(wèn)題有:無(wú)線信號(hào)不穩(wěn)定、頻繁掉線、相互之間干擾嚴(yán)重、無(wú)法集中統(tǒng)一管理所有無(wú)線設(shè)備、無(wú)線網(wǎng)絡(luò)安全無(wú)法控制,非法設(shè)備搶占空口資源,管理員經(jīng)常奔波于每個(gè)辦公室處理無(wú)線連接問(wèn)題。
解決方案:1.簡(jiǎn)單高效的AC+AP網(wǎng)絡(luò)架構(gòu)針對(duì)集團(tuán)公司需要對(duì)網(wǎng)絡(luò)設(shè)備實(shí)行統(tǒng)一管理的要求,采用了AC+AP網(wǎng)絡(luò)架構(gòu),并結(jié)合華為eSight無(wú)線網(wǎng)管功能,不僅可以做到AP的統(tǒng)一配置和集中管理,從無(wú)線網(wǎng)絡(luò)配置、故障定位和快速恢復(fù)等方面,全面提升無(wú)線網(wǎng)絡(luò)的運(yùn)維管理效率,讓公司網(wǎng)絡(luò)管理方既省心又省力;另一方面,使用AC射頻管理調(diào)優(yōu)功能,實(shí)現(xiàn)無(wú)線覆蓋的快速調(diào)整和優(yōu)化,保證無(wú)線網(wǎng)絡(luò)性能。
2、內(nèi)外網(wǎng)統(tǒng)一的無(wú)線訪問(wèn)通過(guò)VAP/SSID,設(shè)置內(nèi)外網(wǎng)為一張物理網(wǎng)絡(luò),并且安全隔離出內(nèi)網(wǎng)、外網(wǎng),極大的簡(jiǎn)化了布線成本和對(duì)施工的要求;并且易于維護(hù),支撐未來(lái)的業(yè)務(wù)擴(kuò)展。
3、穩(wěn)定可靠的無(wú)線連接通過(guò)雙頻、自動(dòng)信道選擇調(diào)整、高可靠的無(wú)線網(wǎng)絡(luò)設(shè)計(jì),保障集團(tuán)公司網(wǎng)絡(luò)干擾小,信號(hào)穩(wěn)定,單設(shè)備故障不影響業(yè)務(wù)等,實(shí)現(xiàn)穩(wěn)定的無(wú)線辦公環(huán)境。
五、桌面運(yùn)維管理問(wèn)題
當(dāng)前企業(yè)在對(duì)人員的管理主要是基于傳統(tǒng)的桌面進(jìn)行管理,主要采用微軟組策略或者第三方的管理軟件或硬件對(duì)終端桌面進(jìn)行控制,例如:
1、禁止USB口,防止用戶利用USB設(shè)備拷貝數(shù)據(jù)
2、禁止藍(lán)牙和紅外設(shè)備,防止用戶通過(guò)藍(lán)牙和紅外設(shè)備傳輸數(shù)據(jù)
3、對(duì)數(shù)據(jù)進(jìn)行加密,防止文件外泄造成信息外流但是這些手段并不能很好地解決當(dāng)前問(wèn)題,對(duì)于有技術(shù)的開(kāi)發(fā)人員,都不是難事,仍然存在一些風(fēng)險(xiǎn)。
解決方案:使用虛擬桌面解決方案可以很好地解決上述問(wèn)題:
1、由于虛擬桌面是基于服務(wù)器計(jì)算的模式,所有的計(jì)算都是發(fā)生在服務(wù)器上,即運(yùn)行在服務(wù)器上的虛擬操作系統(tǒng)(Linux、windows?),所有數(shù)據(jù)都在服務(wù)器上產(chǎn)生,所以可以從根本上控制數(shù)據(jù)的訪問(wèn)和使用,即通過(guò)策略限制將產(chǎn)生的數(shù)據(jù)存儲(chǔ)在本地磁盤,USB設(shè)備上。
2、利用遠(yuǎn)程訪問(wèn)協(xié)議高效性,以及對(duì)數(shù)據(jù)的安全訪問(wèn)機(jī)制,開(kāi)發(fā)團(tuán)隊(duì)可以通過(guò)網(wǎng)絡(luò)包括vpn網(wǎng)絡(luò)遠(yuǎn)程進(jìn)行開(kāi)發(fā),而無(wú)需在企業(yè)規(guī)定的開(kāi)發(fā)場(chǎng)地,占用大量的資源。
3、通過(guò)提供虛擬桌面,企業(yè)無(wú)需為開(kāi)發(fā)方的團(tuán)隊(duì)提供設(shè)備,或者對(duì)這些設(shè)備進(jìn)行全面管理和支持,可以讓開(kāi)發(fā)方使用自己的設(shè)備,只需要網(wǎng)絡(luò)進(jìn)行管理,訪問(wèn)受控的、安全的、開(kāi)發(fā)虛擬桌面。開(kāi)發(fā)環(huán)境被分為可控的虛擬開(kāi)發(fā)環(huán)境與物理的自有環(huán)境,在滿足開(kāi)發(fā)人員的特殊需求同時(shí),能夠管控開(kāi)發(fā)環(huán)境,減少企業(yè)IT人員的管理復(fù)雜性。
4、由于在工作過(guò)程中,虛擬桌面也是需要連接到網(wǎng)絡(luò)進(jìn)行工作的,所以虛擬桌面本身并不能解決數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸外泄的風(fēng)險(xiǎn),但是由于只有這一條潛在外泄通道,企業(yè)IT管理人員可以通過(guò)網(wǎng)絡(luò)工具和設(shè)備來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行管理,解決這一問(wèn)題。
5、從整體對(duì)比來(lái)看,虛擬桌面解決方案從數(shù)據(jù)安全的角度,相對(duì)于傳統(tǒng)本地桌面,從成本,管理,安全和環(huán)保層面,都有很大優(yōu)勢(shì),而且已經(jīng)成為了未來(lái)趨勢(shì)。
六、服務(wù)器數(shù)據(jù)安全問(wèn)題
公司現(xiàn)應(yīng)配備服務(wù)器1臺(tái),用于支撐公司財(cái)務(wù)系統(tǒng)運(yùn)行,財(cái)務(wù)數(shù)據(jù)保存在服務(wù)器本地硬盤。財(cái)務(wù)報(bào)表等數(shù)據(jù)是集團(tuán)公司*機(jī)密的信息,一旦服務(wù)器系統(tǒng)損壞或者硬盤故障,將面臨集團(tuán)公司無(wú)法訪問(wèn)財(cái)務(wù)系統(tǒng),嚴(yán)重情況下將會(huì)導(dǎo)致數(shù)據(jù)丟失。同時(shí)現(xiàn)有服務(wù)器只承載了一個(gè)業(yè)務(wù)系統(tǒng),服務(wù)器的CPU,內(nèi)存等物理資源長(zhǎng)期利用率在3%以下,造成資源了極大浪費(fèi),但因?yàn)楝F(xiàn)有的服務(wù)器建設(shè)架構(gòu)無(wú)法提高服務(wù)器硬件資源利用率,需改變現(xiàn)在服務(wù)器部署模式來(lái)改善這些問(wèn)題。
解決方案:為了提升服務(wù)器硬件資源利用率,保護(hù)財(cái)務(wù)系統(tǒng)數(shù)據(jù)安全性,即使服務(wù)器系統(tǒng)及硬件出現(xiàn)故障仍能保持業(yè)務(wù)連續(xù)性,我們建議客戶采用服務(wù)器虛擬化的解決方案來(lái)改善集團(tuán)公司業(yè)務(wù)的部署模式。新購(gòu)3臺(tái)服務(wù)器及一套統(tǒng)一存儲(chǔ),新購(gòu)的兩臺(tái)服務(wù)器和現(xiàn)有一臺(tái)服務(wù)器,用于構(gòu)建一套資源池,通過(guò)虛擬化軟件實(shí)現(xiàn)CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)等資源的池化,可以針對(duì)某個(gè)應(yīng)用按需分配資源,實(shí)現(xiàn)服務(wù)器高可用,保護(hù)數(shù)據(jù)安全可高,服務(wù)器只用來(lái)承載業(yè)務(wù)系統(tǒng),業(yè)務(wù)系統(tǒng)產(chǎn)生的生產(chǎn)數(shù)據(jù)通過(guò)高速光纖鏈路傳送到存儲(chǔ)上。
滬公網(wǎng)安備31011702889367號(hào)
由童孚科技云平臺(tái)驅(qū)動(dòng)
后臺(tái)登錄入口
使用條款
