网络改造方案建议书南京普惠数码科技有限公司日期：二零壹零年六月目录一．网络状态分析 (3)1、企业总部约有150信息点，外部各售楼中心关键信息点不超过50个。

2、在总部大楼设有一中心机房，为企业数据交汇传输存储的唯一节点，总部副楼设有2个小型机房，作为楼宇间数据交换使用。

3、现有一条10M动态电线线路，负责公司总部员工用于外联公网。

贵公司计划2010年7月前上主营业务ERP软件，并同时增加一条8M左右固态IP电信电路为此软件应用服务。

4、公司目前正常上网速度较慢，并且缺乏专业安全防护。

5、后台数据应用服务器为IBM3950服务器一台，并在本机做了RADE5。

缺少业务数据备份。

的工作。

通过有效的网络带宽管理、有区别的网络行为限制，加强对外网的使用监管，规范上网行为，保障网络畅通，确保关键应用。

二、网络建设目标根据实际考察和相互交流，本次网络设计的目标为：A)尽量保留用户现有网络中的设备，在确保用户正常业务使用的前提下减少用户投资。

B)企业各计算机等终端设备之间良好的连通性是需要满足的基本条件，网络环境就是提供需要通信的计算机设备之间互通的环境，以实现丰富多彩的网络应用。

C)许多现有网络在初始建设时不仅要考虑到如何实现数据传输，还要充分考虑网络的冗余与可靠，否则一旦运行过程网络发生故障，系统又不能很快恢复工作，所带来的后果便是企业的经济损失，影响企业的声誉和形象。

D)在商品竞争日益激烈的今天，企业对网络的安全性有非常高的要求。

在很多企业在局域网和广域网络中传递的数据都是相当重要的信息，因此一定要保证数据安全保密，防止非法窃听和恶意破坏，在网络建设的开始就考虑采用严密的网络安全措施。

E)随着网络规模的日益扩大，网络设备的数据和种类日益增加，网络应用日益多样化，网络管理也日益重要。

良好的网络管理要重视网络管理人力和财力的事先投入，主动控制网络，不仅能够进行定性管理，而且还能够定量分析网络流量，了解网络健康状况。

有预见性地发现网络上的问题，并将其消灭于萌芽状态，降低网络故障所带来的损失，使网络管理的投入达到事半功倍的效果。

F)网络建设为未来的发展提供良好的扩展接口是非常理智的选择。

随着企业规模的扩大、业务的增长，网络的扩展和升级是不可避免的问题。

思科通过模块化的网络结构设计和模块化的网络产品，能为用户的网络提供很强的扩展和升级能力。

G)由于视频会议、视频点播、IP电话等多媒体技术的日趋成熟，网络传输的数据已不再是单一数据了，多媒体网络传输成为世界网络技术的趋势。

企业着眼于未来，对网络的多媒体支持是有很多需求的。

同时，在网络带宽非常宝贵的情况下，丰富的QoS机制，如：IP优先、排队、组内广播和链路压缩等优化技术能使实时的多媒体和关键业务得到有效的保障。

三、网络改造总体设计2.网络改造建议拓扑图全网设计说明选用SonicWall NSA2400防火墙作为出口网关设备双线路链接至Internet ,10M动态IP 线路提供给内部用户访问Internet使用，8M静态IP线路用于业务软件访问使用。

NSA2400同时开启网络防毒功能模块，对于流量可以进行实时扫描，针对间谍软件、恶意网页病毒等可有效防护，保证业务系统以及内部用户的网络安全。

现有网络中的SonicWall防火墙设备作为冷备份，一旦新设备出现故障问题，原有设备可临时替换使用，保证用户的网络应用的不间断。

满足审安全是最大的网络安全隐患。

网络安全防火墙设备选择需要考虑：非法入侵：攻击者通过系统漏洞、木马、窃听等手段获得相应权限，从而窃取数据和破坏系统。

病毒攻击：目前绝大多数蠕虫、病毒均可通过互联网进行传播，蠕虫、病毒一旦爆发，就会侵占网络资源，最终可导致网络瘫痪。

拒绝服务攻击：通过拒绝服务攻击，可导致服务器当机和网络拥堵，最终造成服务中断。

网络安全防火墙设备：网络安全设备采用SonicWall防火墙。

H3C LS-5500-28C-SI交换机是一款部署于企业核心的高性能交换机，在核心网络中网络的性能、IP服务、冗余性和故障弹性十分重要。

H3C S5500-SI系列交换机是H3C公司自主开发的全千兆三层以太网交换机产品，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。

通过H3C特有的集群管理功能，用户能够简化对网络的管理。

S5500-SI系列千兆以太网交换机定位为企业网和城域网的汇聚或接入，同时还可以用于数据中心服务器群的连接。

上网行为管理设备选择：上网行为管理是一种约束和规范企业员工遵守工作纪律，提高工作效率的工具，是行政管理的电子化辅助手段。

上网行为管理设备无疑对企业网络访问的制度化管理起到了良好的辅助作用。

IM、MAIL根据贵公司工程师所提出的网络改造关键点，对于网络的优化改造补充说明如下：1、防病毒软件计算机病毒的预防技术计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。

实际上这是一种动态判定技术，即一种行为规则判定技术。

也就是说，计算机病毒的预防是采用对病毒的规则进行分类处理，而后在程序运作中凡有类似的规则出现则认定是计算机病毒。

具体来说，计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作，尤其是写操作。

表示该文件或数据段完整性已遭到破坏，感染上了病毒，从而检测到病毒的存在。

清除病毒技术计算机病毒的清除技术是计算机病毒检测技术发展的必然结果，是计算机病毒传染程序的一种逆过程。

目前，清除病毒大都是在某种病毒出现后，通过对其进行分析研究而研制出来的具有相应解毒功能的软件。

这类软件技术发展往往是被动的，带有滞后性。

而且由于计算机软件所要求的精确性，解毒软件有其局限性，对有些变种病毒的清除无能为力。

有了企业版防病毒软件，结合贵公司现有的桌面管理软件，可以实现全面的身份验证和企业用户安全管理。

在防火墙之类的安全网关的防护下，企业内部网络可以大大提高抗，它不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。

这一点对于拥有大量机器（包括家用机，工作机和客户机等等）需要与公司内网相连接的用户至关重要。

SSL VPN提供智能的安全管理功能。

与传统VPN不同，SSL VPN提供安全、可代理连接，只有经认证的用户才能对资源进行访问。

SSL VPN是应用级VPN，能对加密隧道进行细分，从而使得终端用户能够同时接入Internet和访问内部企业网资源。

另外，SSL VPN还能细化接入控制功能，易于将不同访问权限赋予不同用户，实现伸缩性访问。

有了SSL VPN设备外网访问公司内部的核心数据可以大大提高安全性，大大减少公司核心业务数据被窃取、恶意破坏的可能性，增加企业的竞争力。

1全级别，但整体成本更大且难以管理，同时，不易控制网络误用，并在抵御多方位攻击时也差强人意。

SonicWALL?网络安全设备（NSA）系列则引发了网络安全革命，采用了突破性多核设计以及具有专利的免重组深度包检测（RFDPI TM）技术*，让您无需牺牲网络性能即可获得全方位的安全保护。

SonicWALL E-Class NSA 系列首次采用了该平台，如今该平台也适用于中型企业。

NSA 系列克服了现有安全解决方案的各种局限性，它能实时地对每一个数据包执行整体扫描，以检测当前出现的内部及外部威胁。

依靠高速多核处理平台，NSA 系列能执行深度包检测功能，同时不会影响关键网络及应用的性能。

NSA系列采用了新一代统一威胁管理（UTM）技术来抵御各种攻击，同时具有入侵防御、防病毒及反间谍软件功能以及SonicWALL应用智能服务的应用层控制功能。

NSA 系列利用先进的路由、全状态高可用性以及高速 IPSec 和 SSL VPN 技术让您的分支机构、中央区域及分布式中小型企业网络倍添安全性、可靠性、功能性及生产力，同时还将成本及复杂高性能及更低的总拥有成本（TCO）通过同时使用多核处理能力而实现，极大地增加了吞吐量和并行检测能力，同时降低了功耗。

先进的路由服务及网络功能结合了先进的网络安全技术，包括 802.1q VLAN、WAN/WAN容错功能、基于域和对象的管理、负载均衡、先进的 NAT 模式及更多技术，为您提供灵活的细粒度配置及全面的安全防护能力。

标准VoIP功能为 VoIP 基础架构的每一个单元，从通信设备到适用于 VoIP 的设备，如SIP Proxies 、 H.323 Gatekeepers 以及CallServer，提供最高级别的安全保护。

安全的分布式无线LAN服务让设备能够起到安全无线交换机及控制器的作用，它能够自动侦别并配置 SonicPoints TM，SonicWALL 无线访问点保障了分布式网络环境中的远程访问安NSA 网络安全设备系列通过连续自动的安全更新提供动态的网络保护，对新出现的及不断演变的病毒进行清除而无需请求管理员干预。

统一威胁管理负载均衡包含了多种保护技术的单处理器设计受到单个中央处理器的严格限制。

SonicWALL UTM负载均衡技术将高速深度包检测及流量分类引擎应用到多个安全内核上，并行扫描应用程序和文件，而不会对网络性能或可扩展性产生显着影响。

这就使在承载带宽密集和延时敏感的应用和业务的网络上扫描和控制安全威胁成为可能。

SonicWALL Clean VPN TNSA 网络安全设备系列包括了极富创造性的 SonicWALL Clean VPN TM技术，该技术让远程移动用户及分支机构的信息进入企业网络之前，就对其漏洞利用及恶意代码进行清除，而无需用户干预。

集中化策略管理可利用 SonicWALL 全球管理系统（GMS）对NSA 网络安全设备系列进行管理，该系统提供了强大、灵活、直观的管理工具，可对各种配置执行集中管理，实时查看监控数据并将策略与合规性报告结合在一起。

SonicWALL NSA 网络安全设备解决方案都采用了突破性多核硬件设计以及具有专利的免重组深度包检测（RFDPI TM）技术，针对各种内部和外部网络保护，提供新一代统一威胁管理保护，而无需牺牲网络性能。

每一款 NSA 系列产品都融合了高速入侵防御、文档和内容检测、强大的应用智能服务控制以及众多先进的、具有高度灵活性的网络和配置功能。

NSA 系列所采用的平台不仅易用性强，而且价格合理，便于在各种类型的企业、分支机构和分布式网络环境中部署和管理。

网关防病毒、反间谍软件、入侵防御服务及应用智能服务提供智能实时的网络安全保护，以抵御复杂的应用层以及基于内容的攻击，包括病毒、蠕虫、木马、间谍软件及软件漏洞利用（如缓存溢出）。

应用智能服务能提供一整套可配置的管理工具，这些工具是专为防止数据泄漏并且提供细粒度应用层控制而设计的。

强制客户端和服务器防病毒及反间谍软件利用一个单一的集成客户端为笔记本电脑、台式机及服务器提供全面的病毒及间谍软件防护，同时还能提供网络范围内的防病毒及反间谍软件策略、定义及软件更新的自动强制。