局域網網絡安全解決方案
前言
由于信息化建設速度越來越快,而目前企業的網絡建設年代久遠,其間經過多次擴容和改建,初步形成了全網互聯互通,但沒能從根本上解決網絡安全問題。員工電腦中毒,內網ARP病毒、DOS攻擊泛濫,嚴重時整個內網癱瘓;P2P下載占用大量帶寬,有限的帶寬資源得不到合理分配,影響辦公正常業務。所以企業的網絡改造已迫在眉睫。
一、網絡現狀
企業目前從電信申請兩根光纖接入,其中一根通過網絡管理服務器專門提供給單位領導使用;另外一根光纖接入防火墻—>下聯交換機,各個分支機關再通過光纖接入到交換機。網絡管理服務器上設置PPPoE Sevrer,內網采用PPPoE認證撥號上網,網絡比較穩定。分支機關采用固定IP接入到防火墻上網。
二、存在的問題
由于防火墻年代已久,功能的局限,根本無法對用戶的應用進行限制。ARP病毒、P2P造成帶寬濫用和內網DOS攻擊嚴重影響辦公正常業務使用。防火墻下聯交換機為普通型交換機,不具備管理能力,內網廣播風暴容易導致網絡擁堵。
三、改造方案
(一)方案之一,拓撲圖如下:
方案一拓撲圖
該方案采用單網關控制各個機關上網。具體實施步驟如下:
1. 網關:采用具備PPPoE服務器功能的高性能64位處理器的防火墻網關作為機關接入互聯網的接入控制。開啟PPPoE服務器,機關電腦PPPoE撥入到網關,可以徹底解決內網ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認開啟防止DOS/DDOS攻擊防止常見病毒攻擊。
PPPoE服務器
防止內網攻擊
2.核心交換機:采用管理型交換機,具備廣播風暴抑制、VLAN隔離功能。廣播風暴抑制、VLAN隔離降低內網安全風險,同時減少大量廣播包對PPPoE撥號的影響。
#p#
(二)方案之二,拓撲圖如下:
方案二拓撲圖
該方案采用多網關控制各個機關上網。具體實施步驟如下:
采用具備PPPoE服務器功能的防火墻網關作為機關接入互聯網的接入控制。開啟PPPoE服務器,機關電腦PPPoE撥入到網關,可以徹底解決內網ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認開啟防止DOS/DDOS攻擊,防止常見病毒攻擊。不同機關接入到不同網關,各個機關相對獨立。每個網關需要一個公網IP。
PPPoE服務器
防止內網攻擊
四、方案對比
方案一特點:各個企業通過同一個網關接入,在個局域網,服務器接入到核心交換機,實現資源共享更加方便。網關具備64位處理器,強大的處理能力以及擴展性。
方案二特點:各個企業從物理上隔離,安全性更高,但是資源共享需要通過互聯網。
五、推薦產品
方案一
名稱數量單位單價
(元)總價
(元)備注
UTT 5830G1臺支持500個PPPoE賬號
交換機
SG 21241臺核心管理型交換機
方案二
名稱數量單位單價
(元)總價
(元)備注
HIPER 4640G實際需求臺支持200個PPPoE賬號
【編輯推薦】
