（可编）安全方案设计.docx

IT架构企业的IT架构情况，本方実主要针対IT基础架构部分进行规划，并提供选型和都暑参考，关于企业IT业务应用系统都分的规 划和建设请参考其它方案企业IT架构应用系统（ERP系统/企业门户/商业智能）基础软件系统（/数据库/数据仓库/中间件）操作系统（操作系统/虚拟化软件）计算机系统（服务器/磁盘存储系统/桌面PC）设网络系统规划当前，企业一般能给信息化方面投入有限除了人力有限，还缺少专业人才，应用能力、维护能力、开发能力、实施能力等 都普遍较弱，这就要求网络架构成熟、稳定安全、高可靠、高可用,尽可能少投入人力和金钱进行维护其次，由于企业首要解决 的是生存问题，根本没办法做到■先信息化，再做业务”，因此网络建设实施要求必须容易.实施时间必须极短企业的组网方案主要要素包括：局域网、广域网连接、网络莒理和安全性具体来说企业组网再求：1 .建立安全的网络架构，总部与分支机构的网络连接;2. 安全网络部署.确保企业正常运行；3. 为出差的人员提供IPSec或者SSL的VPN方式；4. 提供智能管理特性，支持浏览器图形管理；5. 网络设计便于升级，有利于投资保护企业一般的组网结构如下图.大企业网络核心层一般采用冗余节点和冗余线路的拓扑结构.小企业则单线路的连接方式通过对一般企业的信息化情况和网络规划要素进行分析，从总体上有.规划方案必须具有以下特点:1 .网络管理简单，采用基于易用的浏览器方式，以直观的图形化界面管理网络。

2用户可以采用多种的广域网连接方式，从而降低广域网楚路费用3. 无线接入点覆盖国广、配S6灵活，方便移动办公4. 便捷、简单的统一通信系统，軽松实现交互式工作环境5. 带宽压缩技术，高级QoS的应用，有效降低广域网链路流星6. 随首公司业务的发展，所有网络设备均可在升级原有网络后继续使用.有效实现投资保护7. 系统安全，保密性高，应用了适合企业的低成本网络安全解决方案安全基础网络规划方案根据对某集团的实际调研，获取了企业的网络需求，以此来制定企业基础网络建设规划方案和炽络设备选型参考；以下提供 基础版和企业版两种规划方案1）网络需求:企业规划的网络节点为50个.主要的网络需求首先是资源共享.网络的各个桌面用户可共享文件服务器/数据库、共享打印 机，实现办公自动化系统中的各项功能；其次是通信服务，竅终用户通过广域网连接可以收发电子、实现Web应用、接入互联网、 进行安全的广域网访问；还有就是公司门户和网络通信系统（企业、企业即时通信和企业短信平台等）的建立2）基础版规划方案本方案适用于200-300台电脑联网,核心采用H3C S5500-28C-SI或S5500-20TP-SI交换机，以千兆双绞线/光纤与接入交换 机及服务器连接；用户接入H3C S3100-26TP-SI或S3100-52TP-SI交换机.千兆街缆/光纤上连核心交换机。

Internet出口采用H3C MSR2O-1X多业务路由器作为Internet出口路由、Secpath F1000-C或者UTM作为安全网关和移动用户的VPN接入冋关网络 拓扑图如下：网络中心S3100F1000-0/ :U200 MSRInternetS3100设备选型和部暑参者如下:业务敬选型参寿 配宜说明曜 38書位宜*核心交挨机HSC 55500-28C-51 全半共兰零慢心或H3C S5500-20TP-Sr1懐心机度视H3C S3100-26TP-SJ 卖H3C S31C0-52TP-SI盘入尝声挡:光电笈月=光 26TP： 15台上仃， 52TP： 8台支持湼令建叠各些层云凱号H3C MSR20-lxiiii鍔发辜160Kpps. 2S6M 六存.責妙GE/FE交蟆頓 垸，萼歩步M 口靠• E1/PRI窪集.谚音玺垸. 无弥务1-2核心机育安全方火第H3C SecPath F1000-C 或H3C SecPath U200主档也早与华其驟1娯心机房VPN支持DVPN1咬纤棱入圭侶10M光舒雄人 堇善虫I唾泣M2核心机房方案待点：1高性价比：能耍让中小企业低投资拥有高性能、经济的网络；2. 简易性：结构简单、安装快速、简单，维护无需配置专职人员；3. 高性能：最低投资做到千兆冒•干、百兆接入；4. 可扩展性：灵活的网络架枸，能根据用户需要随时扩展，并保护已有投资。

3）高级版规划方案：本方案适用于500~800台电脑联网，三层网络结构，万兆骨千，百兆接入；网络核心层采用H3C S75OO交换机，同时史餐相 应数虽的千兆端口分别连接应用服务器、接入交换机及其他设备；网络汇聚层采用H3C S5500-28C-SI,独有智能堆姦系统可实现 高密度千兆端口接入，拥有96 Gbps的全双工堆登帯宽，消除网络瓶颈，提供优于传统中準聚合配的更好的可用性和弹性；接 入层可选择H3CS3100-26TP-SI或S3100-52TP-SI交换机，千兆铜缆/光纤上连核心女換机，或H3C S5100-16/24/48P-SI全千兆交 换机，千兆到桌面网络拓扑图如下：设备选型和部暑参考如下:业务詩求设备选型S配置说明assftH笹心交换机H3C 57500(E)丟列核心夷持双引辜引电｛切性倚是玄1.校心机另汇袤昱文挨H3CS5500-28C-SI汇赛支挣全平兆W這坏发.：育会两驾矩或.同时支持方與扩震3务楼号卖祢•另接入专史拱机H3CS3100-26/52TP-SI或 H3C E5100-16/24/48P-SI奈入昌桟垂不同丄矣胃表提费巨兆和千兆接入建税52TP： 10 台H3CMSR50-O6^S?jH3C$"—貰受全議主妾M2校心机鳧安金外火羊H3C SecPath F1000-C支特应胃嘻搜文児注11VPN克部VPN20M~50M元芬揍入皂正奸溟入配静窓興坦 1-2核心凱房方案特点：1 .高性能，全分布式交换网络；2. 髙可靠，无间断的通信环境；3. 灵活弹性的网络扩展能力；4. 高效率的网络带寛利用率；5. 全面的QOS部善，多业务融合；6. 完善的网络安全策略，实现深度安全检测，抵御未知风险。

安全无线网络规划方案无线网络的部署，能够增大员工接入网络的围，提供更大的上网便利性-无论是在办公室、会议室还是在空间宣杂的丰间，员 工都能与网络保持连接，随时随地访问企业资源，而旦可以简化场所的网络布线安全无线网絡解决方案不但能提高员工的生产效 率和协作能力，也能为合作伙伴/客户提供方便的上网服务根据企业悟况，可以采用FAT AP方案：1）无线网络需求:能够获得较高的用户接入速率,构建便利的移动办公环墳，实现企业的移动网络办公.成本投入不高，适合简单、小规標的 无线部署2）规划方案：采用WA1208E+iMC+CAMS进行组网，配合CAMS实现802.lx的认证，可以实现基于时长、流量和包月的计费；整网通 过iMC统一官理网络拓扑图如下：设备选型和部看参考如下:业务圭求设备选型拳考配置说明数里部署位置无线无线接入WA1208E玖802.llg无线植块8各楼层无线安全H3C CAMS翁足用户管理、身份认证、权限控制和计寇的要求1核心机房无线管理H3CiMC网管系统支持与 HP Open view >SNMPc等通用冋管平台的 集成1核心机房方案特点:1 .全面支持802.111安全机制、802.1 le QoS机制、802.11 f L2切换机制；2. 大国覆盖：高接收灵敏度.达到-97dBm （晉通AP-95dBm）.保证更远覆盖；3. 多VLAN支持：虚拟AP方式支持多VLAN,竅多支持8个虚拟SSID的VLAN划分，每个VLAN用户可以独立认证；4. 兼作网桥使用：WDS模式支持PTP、PTMPI作槿式；支持连接速率锁定、传输报文装合，提高传输效率；5. 负载均衡：支持基于用户数的员载均衡、基于流星的员载均衡；6. 针对各类室外、特殊室应用如仓库等复杂环境，可以提供专门的型号。

广域网互联VPN规划方案伴逋企业和公司的不断扩，公司分支机构及客户群分布日益分散.合作伙伴日益増多，越来越多的现代企业迫切需要利用公 共Internet IS源来进行促销、销鱼、隹后服务、培训、合作及其它咨询活动，这为VPN的应用奠定了广阔市场在VPN方式下. VPN客户端和设要在部网络边界的VPN网关使用謎道协议，利用Internet或公用网絡建立一条“隧道”作为传输通道，同时VPN 连接采用身份认证和数据加密等技术避免数据在传輸过程中受到侦听和篡改，从而保证数据的完皇性、机密性和合法性通过VPN 方式，企业可以利用现有的网络资源实现远程用户和分支机构对部网络资源的访问，不但节省了大虽的资金，而旦具有很高的安全 性另外，随着企业规槿的扩大，分散办公也越来越普遍，如何实现小型分支、出差员工、合作伙伴的远程网络访问也讀越来越 多的企业关注从成本、易用性、易莒理等多方面综合考虑，SSL VPN无疑是一种最合适的方案：只需要在总部都暑一台设备，成 本更低，菖理维护也很容易；无需安装客户端、无需配盅，登陆网页就能使用1） 网络需求UPSec VPN^QSSL VPN各有所长，功能互补，对企业来说都是费要的：IPSecVPN用于总部和型分支互连，SSL VPN用于 为小型分支、合作伙伴、出差人员提供远程网络访问。

但传统方法下，企业总部需要采购两台设备来支持两种VPN.不仅成本更 高，而旦可能存在VPN策略冲突，导致性能下降、莒理困难2） 规划方案班合VPN针对企业的实际需要.一台设备职合IPSec / SSL两种VPN,只雷部暑在总部，既可以用于为合作伙伴、出差人员 提供远程网络访问，也可以和分支机构进行IPSecVPN互连，帮助企业降低采购、葡署、维护三方面成本VPN网关选择方面，H3C的防火墙、路由器都能够实现駝合VPN.提供给企业更加灵活的选择例如.如果企业非常强谓网 洛安全、VPN性能，就选择防火墙；如果企业更注重多业务处理能力，如IP语音通信、3G上网、无线接入等，推荐选择路由器在总部局域网Internet边界防火墙后面配置一台或两台双机热备的VPN网关，在分支机构Internet边界防火港后面紀谖一台 VPN网关，W此两端的VPN网关建立IPSecVPN隧道，进行数据封装、加容和传输；另外，通过总部的VPN网关提供SSL VPN 接入业务;在总部局域网数据中心部署H3C VPN Manager组件,实现对VPN网关的部署管理和监控;在总部局域网部或Internet 边界部署H3CBIMS系统，实现对分支机枸VPN网关设备的自动配屋和策略部署。

如下图：设备选型和部看参考如下:业务需求设备选槊参考配置说明数重部著位置网络互连UPN网关H3C SecPath F1000VPN冋美H3C SecPath F100 VPN 冋关或H3C MSR50路由器H3C MSR2。