北京办公楼网络解决实施方案.docx
《北京办公楼网络解决实施方案.docx》由会员分享,可在线阅读,更多相关《北京办公楼网络解决实施方案.docx(14页珍藏版)》请在冰点文库上搜索。
北京办公楼网络解决实施方案
北京办公楼网络解决实施方案
2021-08
目录第一章方案概述.............................................................................................................................3
1.1
项目背景....................................................................................................................3
1.2
项目建设目标............................................................................................................4
1.3
方案设计思路............................................................................................................4
第二章需求分析.............................................................................................................................5
2.1项目总体设计.....................................................................................................................5
2.2*络安全需求分析.............................................................................................................5
2.3行为审计需求分析............................................................................................................6
2.4无线需求分析.....................................................................................................................6
2.5有线需求分析.....................................................................................................................7
第三章*络总体架构.....................................................................................................................8
3.1*络拓扑............................................................................................................................8
第四章方案价值:
.........................................................................................................................9
4.1安全设计............................................................................................................................9
4.2一体化解决方案,全自研...............................................................................................13
4.3专业的*络才是好用的*络...........................................................................................14
4.4统一无线管理...................................................................................................................14
4.5多种的管理方式和统一管理平台...................................................................................14
4.6全*无缝漫游...................................................................................................................14
4.7云精准营销平台,易部署无线*优设计.......................................................................15
第五章产品选型:
.......................................................................................................................20
5.1出口*关介绍...................................................................................................................20
5.2核心交换介绍...................................................................................................................20
5.4防火墙选型介绍...............................................................................................................21
5.6有线交换机选型介绍......................................................................................................22
5.7POE交换机选型介绍......................................................................................................22
5.8监控交换机选型介绍.......................................................................................................23
5.9无线室内AP选型介绍....................................................................................................23
第一章方案概述此次企业*络建设方案有安全防火墙、有线和无线*络部分,加防火墙将为内*各个区域提供安全的防护,有线为办公桌面提供稳定可靠的*络接入,无线*将覆盖整个办公区域。
通过此次建设的*络,实现员工随时随地访问公司内*及互联*资源,改善*络接入体验,增强*络安全性,保证内*数据不被攻击。
1.1项目背景中民集团成立于2021年,隶属于国家民族事务委员会,是中国民族经济开发总公司下属的国有全资核心企业。
集团总部设立在北京,业务覆盖北京、上海、重庆、深圳、广州、石家庄、成都、昆明、遵义、海口、南通、柳州等三十余个省市地区,获得银行综合信用等级评定AA级。
集团公司经营领域多点分布:
一是提供商务出行的公务机航空服务;二是以商业保理、股权投资、风险投资、基金管理、融资租赁为主的金融服务;三是发展临床科室合作共建、设计建设医养综合体的医疗健康领域;四是以立体多维全景式发展的文旅产业;五是以规模化低成本和轻资产运营为核心的综合酒店地产开发;六是以生态环境治理修复为主的新型智能环保服务;七是集投融资、建设、运营于一体的市政基础设施建设。
集团公司运用PPP、EPC、FEPC等项目运作模式,结合自身核心能力打造了以社会资本、政府平台金融服务、投资建设及运营管理为一体的综合运营模式,提供高质量的项目设计规划、投融资、施工建设、运营管理等服务。
面向未来,中民集团将主动服务于新时代的国家经济发展战略,注重统筹国内国际资源,以“做强国内、拓展海外”为发展方向,在持续加强国内城市基础设施建设的前提下,积极参与国家一带一路建设,加速拓展海外市场,加快走出去的步伐。
坚持“诚实守信、创新驱动、绿色发展、开放共享”的发展理念,强化企业核心竞争力,力争成为管理理念先进、机制灵活高效、经营绩效卓越的国内一流知名企业。
1.2项目建设目标
本方案的总体目标分为两步一是安全设计,实现内*安全,防止内外*入侵攻击。
二是设计出企业*络实体结构的无线信号覆盖,实现安全而便捷的无线、有线*络接入,提升员工的*络使用体验,促进公司的信息化管理和服务的发展。
具体建设内容包括:
1.防火墙建设,通过相应策略手段防护内*安全,重点防护服务器安全。
2.有线*建设,满足有线办公需求;3.此次无线*搭建,需使用大量无线优化技术,来保证内*无线体验效果;1.3方案设计思路1.3.1多维度应用层高安全防护通过在边界部署防护墙,满足内*用户访问外*的安全性,保证内*数据安全,避免木马、病毒等不安全因素影响内*的安全。
1.3.2稳定的无线覆盖无线信号由于周边环境及已经部署在其他区域无线信号源的干扰,确保新建无线信号的稳定是本次建设的首要解决的问题。
通过实际环境地勘,测试无线信号等方法,确定影响本次无线建设的各种因素,进行综合分析,确保新建无线*络在信号稳定的覆盖。
1.3.3安全的无线覆盖无线*络通过广播SSID的方式,为信号覆盖范围内的终端提供无线接入的信息点,由于无线信号的开放性,如何有效阻止未授权员工接入无线*络是确保无线*络稳定的前提。
在无线*络覆盖安全方面,将采用无线控制器设置ppoe认证或者传统的认证密码认证,确保接入无线*络员工的合法性与安全性。
1.3.4千兆有线到桌面本次项目建设为办公区内每个工位提供千兆有线接入,满足员工的有线接入需求,同时提供备用链路选择。
第二章需求分析2.1项目总体设计此次*络建分为三步,一是*络安全建设,要求防护外*来自外*的攻击的同时,对内*尤其服务器区域提供可靠的安全防护,进而为整个*络安全防护提供保证。
二是有线*络建设,为每一个办公为提供千兆的有线接入。
三无线*络建设,本次无线*络覆盖需求为整个办公区域。
要求完成全方位立体式无线覆盖,让员工们可以在这些区域随时随地、无拘束的连接到*络,职工可以依托无线完成各项办公事务,外来来宾可以通过加密认证顺畅的访问*络资源。
2.2*络安全需求分析企业*络服务器曾受到外*的攻击,所以企业领导对*络的安全性要求特别高,所以企业领导对*络信息安全很重视,因此做好安全需求分析对保证整个*络信息系统安全时很重要的。
通过对目前*络的调研、分析企业*络的安全需求,具体应从以下几个方面考虑1访问控制需求,通过对特定*段、服务建立的访问控制体系,将绝大数攻击阻止在到达攻击目标之前。
2检查安全漏洞需求,通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大数攻击无效。
3病毒防护需求,随着*络技术的快速发展,病毒技术也在快速发展提高,它们的传播途径越来越广,传播速度越来越快,造成的危害越来越大,因此需要一个强大的病毒库并能够实时支持病毒库在线支持。
4入侵检测安全需求,通过对特定*段、服务器建立的攻击监控体系,可实时检测出绝大数攻击,并采取相应的行动(如记录攻击过程、跟踪攻击源等)
5加密通讯需求,主动的加密通讯,可使攻击者不能了解、修改敏感信息。
6备份和恢复需求,良好的备份和恢复机制,可在攻击造成损失时,尽快恢复数据和系统服务。
7热备需求,当防火墙出现宕机时,不能中断内*安全防护,要确保内*安全防护永不中断。
2.3行为审计需求分析随着计算机、宽带技术的迅速发展,*络办公日益流行,互联*已经成为人们工作、生活、学习过程中不可或缺、便捷高效的工具。
但是,在享受着电脑办公和互联*带来的便捷同时,员工非工作上*现象越来越突出,企业普遍存在着电脑和互联*络滥用的严重问题。
*上购物、在线聊天、在线欣赏音乐和电影、P2P工具下载等与工作无关的行为占用了有限的带宽,严重影响了正常的工作效率。
上*行为管理产品及技术是专用于防止非法信息恶意传播,避免国家机密、商业信息、科研成果泄漏的产品;并可实时监控、管理*络资源使用情况,提高整体工作效率。
上*行为管理产品系列适用于需实施内容审计与行为监控、行为管理的*络环境,尤其是按等级进行计算机信息系统安全保护的相关单位或部门。
所以需要对互联*用户控制和管理,其包括对*页访问过滤、*络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
2.4无线需求分析2.3.1在覆盖环境下,如何确保无线信号的全覆盖项目覆盖范围广,由于整个办公区域属于大开间、高密度、强干扰关键,对无线AP的部署带来了一定程度的调整,在无线AP点位设计过程中,需要考虑无线AP的抗干扰能力、并发能力,合理分配无线接入点的部署位置。
2.3.2如何满足员工对无线*络质量的诉求搭建无线*,是为了更好的为员工提供快速、便捷的无线*络环境,无线*
络传输的质量直接影响到员工使用相关应用的关键,为了给员工提供高性能的无线*络环境,在方案设计及产品选型方面,将综合考虑单位区域内员工的分布情况、员工使用*络的情况。
2.5有线需求分析满足部分员工只能连接有线*络,且有线*络具有可靠的稳定性。
是一个办公*络最佳备份之选。
第三章*络总体架构3.1*络拓扑
该*络项目出口部署采用最新推出的NBR6210-E高性能企业级综合*关,RG-NBR6200-E系列产品不仅拥有业务加速通道、精准流控、上*行为管理、VPN总分互联、智能/应用选路…等强大功能,并支持对接锐捷云平台(MACC免费云平台)实现远程云运维和集中管理,很好的满足了多种场景要求的全面一体化的*络需求。
NBR6210-E系列*关广域*优化技术适用于总部分支型*络,在总部和分支双边部署模式下,通过TCP协议优化、应用层协议优化、数据优化、低
质量链路优化等关键性技术,实现分支访问总部业务系统的加速功能。
保证跨广域*访问业务系统能够达到局域*相接近的访问体验,提升业务系统的应用交付能力。
核心采用锐捷RG-NBS5750-E系列高性能、强安全、集成多业务的新一代以太*交换机,该系列交换机采用高效硬件架构设计,搭载锐捷*络的RGOS11.X模块化操作系统,提供更大的表项规格、更快的硬件处理性能、更便捷的操作使用体验。
接入方面我们使用的是千兆高性能的POE交换机,POE交换机不仅要对AP供电,还要进行数据的转发,而且还要保证接入层的安全,我们选择基于*络安全和易用好管理的理念推出的新一代全千兆安全智能弱三层和有线用交换机和无线用交换机,为用户完整的提供了智能、安全、高速、简单管理的千兆到桌面的解决方案。
第四章方案价值:
4.1安全设计边界采用全新的下一代防火墙RG-wall1600防火墙进行安全防护,是出口*络设计中必不可少的内容。
针对出口*络中所部署的安全防护,主要有以下几个方面
*络隔离和安全过滤锐捷防火墙基于状态检测包过滤技术,可以针对IP地址、服务、端口等参数决定是否允许数据包通过,在第三层(*络层)和第四层(传输层)进行数据过滤。
如上图所示,防火墙功能可以对访问的源和目标的IP地址、端口等进行过滤,例如可以允许或拒绝
内*的部分IP地址访问外*,也可以允许或拒绝外*的部分IP地址访问内*。
ALG(应用层*关)
对于H.323、SIP、RTSP、MMS、MGCP等多媒体协议,FTP、Oracle等特殊应用,需要根据会话进程随机开放数据端口。
锐捷防火墙支持超过二十种*络应用的ALG,可以识别这些协议并在会话控制过程中动态开放和关闭端口,在NAT模式下还需要对数据包的payload进行修改,最大程度地保证应用的可用性。
应用层安全(NGFW)
锐捷防火墙除具备传统防火墙功能外,还可对*络层至应用层的各种安全威胁和滥用进行检测和过滤,这类产品目前被称之为NGFW(下一代防火墙)或UTM(统一威胁管理)。
捷防火墙的更多高级功能如下:
基于专用ASIC芯片的超高防火墙性能
防火墙作为*络安全的枢纽设备,必须具备极强的性能,否则很容易成为*络的瓶颈,从而降低*络的可用性。
锐捷公司为了解决性能难题,研发了多款专用ASIC芯片,并不断推陈出新,刷新防火墙性能的记录。
锐捷防火墙使用的ASIC芯片名为ASIC-NP。
ASIC-NP是对*络流量进行高速处理的硬件设备。
如下图所示,它以在线的方式放置在CPU和*络接
口之间,直接接收*络流量并自动执行某些操作,通过ASIC-NP的工作,可以大大减轻系统其他部分的负载,提高防火墙的吞吐量、包转发率、延迟等关键性能指标。
ASIC能够处理很多基本维护工作,比如会话表的维护、数据包处理转发、加密/解密和NAT相关的任务。
锐捷防火墙通过特有的ASIC-NP处理器,可实现万兆小包(64字节)的线速转发,同时达到极低的的*络延迟(<5us),还可达到数十Gbps的IPSecVPN加解密性能,数倍于市场上的同类产品。
锐捷防火墙无与伦比的性能对于日益增长的*络流量来说是非常必要的。
僵尸*络(Botnet)防御僵尸/木马是恶意软件中的一类,用户一旦感染僵尸或木马,黑客可通过*络远程遥控这台终端,获得了极大的权限。
从此黑客可以随时窃取该主机上的数据,以这台主机为跳板去攻击、渗透*络上的其它设备(例如*管主机中了木马,成为了黑客的“肉鸡”,黑客便可轻易获得路由器、防火墙等的管理权限),后果非常严重。
黑客还可通过同时操纵数以万计的“肉鸡”发动DoS攻击,形成威力极强的DDoS,大型商业*站都难以抵挡这种DDoS攻击。
僵尸*络是APT攻击的重要一环,黑客通过不断的种植僵尸/木马,在*络中渗透,最终达到最核心的数据,实现攻击目标。
切断黑客对“肉鸡”的控制,便可打破APT的链条,斩断伸向内*的黑手。
锐捷防火墙通过如下技术实现对僵尸*络的防御:
恶意软件特征识别——通过恶意软件过滤和应用程序控制技术阻挡恶意软件或危险应用。
除了病毒、木马、僵尸等恶意软件外,一些远程控制类应用(如TeamViewer)也可能成为*络安全的漏洞。
另外,某些应用程序的bug也可能使其成为黑客操纵的对象,在应用软件厂商尚未发布补丁修复bug前,用户可使用锐捷防火墙的应用控制功能禁止该应用软件的使用,防止其成为黑客攻击的突破口。
IP信誉技术——锐捷防火墙特征库服务器不断跟踪并记录互联*上的安全事件,形成了一个不断更新的IP信誉数据库。
如果内*用户试图与一个已知的危险IP或端口(例如僵尸*络的控制中心)通信,会被防火墙根据IP信誉数据库直接切断,并记录日志。
通过这些方法,锐捷防火墙便有效地阻止了僵尸*络的蔓延,切断APT的攻击链条。
恶意软件特征检测及过滤
如上图所示,锐捷防火墙ATP解决方案使用多重手段防御恶意软件,基础手段是特征匹配。
特征匹配是根据已知恶意软件特征(如文件内的一个字符
串或文件的校验和等)来匹配待检测文件,从而判断其是否恶意。
特征检测的特点是高精确度、低误报率、高性能,但是需要不断更新特征库,才能维持安全能力。
锐捷防火墙内置数百万种恶意软件特征,根据其危险及活跃程度,将它们分为了“基础特征库”、“扩展特征库”、“完整特征库”,用户可以根据业务特点、安全需求的不同,对不同业务或*段的流量应用不同的特征库,在确保安全的前提下获得更高的处理性能。
三种特征库的特点如下所示:
发现病毒等恶意软件后,锐捷防火墙会丢弃恶意文件,并向用户发出告警,同时还可选择隔离染毒文件及病毒来源(IP)。
为了及时发现并处理最新的恶意软件,不断跟踪捕获各地的全新恶意软件,每天1次通过锐捷特征库服务器发布特征库更新。
锐捷防火墙产品可通过在线、离线、手动、自动、推送等多种方式进行恶意软件特征库的更新,第一时间响应最新安全威胁。
4.2一体化解决方案,全自研提供端到端的一体化解决方案,基础*络设备、统一*络运维管理、用户无线接入认证及信息留存、精准营销推送、大数据采集,软硬件无缝对接,功能集成度高。
4.3专业的*络才是好用的*络RG-RAP220(EV2),专为室外的使用区域设计的企业级无线AP,整机1167Mbps和1767Mbps的吞吐让您感受极速无线体验。
AC+AP,方便整个园区室外无线AP的部署及管理。
4.4统一无线管理无线的部署带来大量的无线设备,最多的就是分布在各地的AP,如何实现AP的统一管理是方案必须要考虑的内容。
无线控制器是锐捷*络推出的面向下一代高速无线*络的无线控制器产品,专为中小型无线*络设计,可突破三层*络保持与AP的通信,部署在任何2层或3层*络结构中,无需改动任何*络架构和硬件设备,从而提供无缝的安全无线*络控制。
4.5多种的管理方式和统一管理平台无线控制器支持命令行、WEB界面等多种管理方式,可对全*AP实施集中、有效、低成本的计划、部署、监视和管理,不仅轻松搞定无线配置,更能够整体运营无线*络,通过AC的Web界面还能够管理AP还能管理AP下联的用户,可以对用户进行限速和限制用户连入*络等行为,方便运维人员对无线的规划和运维。
4.6全*无缝漫游无线控制器支持先进的无线控制器集群技术,当无线用户漫游时,通过集群内对用户的信息和授权信息的共享,使得用户可以跨越整个无线*络,并保持良好的移动性和安全性,保持IP地址与认证状态不变,从而实现快速漫游和语音的支持。
4.7云精准营销平台,易部署无线*优设计无线的不确定和不稳定性使得无线*络的可视化成为运维管理第一需求。
本次方案设计提供了免费的无线优化服务,通过WIS系统为用户提供持续好用的无线*络。
WIS系统是一款专业管理无线的智能系统。
它与传统管理软件的区别在于,它管理的是用户体体验,而非设备和拓扑,它可视化的也是用户体验。
*络环境和用户体验的数字化使得WIS可以感知*络
升级会员 