六、 效果图
电源标签安装图
用户线标签安装图
方案
8、 机房设备整改方案建设
8.1 优化后信息化建设拓扑图
8.2 IP地址及区域设计
根据本项目需求,本方案将重新设计IP地址编址,重设计网络区域结构。具体如下:
区域 外网 办公区 领导区 应用区 数据库 文件存储 / 独立VLAN1 独立VLAN2 独立VLAN200 独立VLAN500 独立VLAN100 VLAN 安全域 非信任域 独立安全域 独立安全域 独立安全域 独立安全域 独立安全域 8.3 路由设计
本技术改造方案主要通过路由技术,采用静态路由技术引导数据流向走向,分离业务流量,提升业务效率。
方案
设备 防火墙 防病毒 网络行为审计系统 ZTE三层交换 入侵防御系统 数据库审计系统 网络地址 防火墙模式 网关部署 透明部署 DHCP内网核心 透明部署 旁路部署 下一跳地址 根据用户现场实际环境规划
8.4 区域设计
本方案设计的网络结构呈现出区域化,层次化构架,主要目的是为了便于网络管理、维护以及安全策略的针对性部署。各区域结构如下所述:
(1)Internet区域
Internet区域将原有启明防火墙部署为互联网防火墙,连接新增的100M光纤链路,为档案局内网区域所有需要上网的终端和服务器提供Internet代访问的防护,并设置相应管理策略,控制Internet访问权限和访问应用类型,保证Internet安全访问的需求。
(2)楼层接入区域
方案
楼层接入区域为如10.1.x.0/24网段,与原网络构架保持不变。其访问安全策略主要由其他区域的网关防火墙根据源端进行设置。
(3)核心网区域
部署防病毒网关做为出口网关设备,具备高速转发的能力,在数据进行内外网交换机的时候并发进行蠕虫病毒的防护和杀毒过滤,保证上网内网的安全。满足82号令的要求进行网络综合行为的管控设计、存储日志的能力到达60天以上,并且具备公安部门认证资质,在下一阶段安全评测做好基础服务。
(4)服务器区域
服务器区域设计为如10.1.100.0/24网段,所有服务器网关指向核心交换机服务器区区域接口,即如10.1.100.1。
服务器区域主要有档案信息化应用服务器、WEB服务器、信息化数据库服务器、文件服务器、存储区域网络(SAN)设备等。
方案
所有服务器流量均由山石网科入侵防御系统根据安全策略控制访问,开启3000种入侵规则防护策略,应用防护策略。安全策略采用白名单方式,根据源目IP地址以及目标端口进行设置,最大限度的保证外部区域对服务器区域的安全访问。
(5)内容终端区域
开启此技术特有功能,有效对内网数据、设备接口进行控制
网络及终端安全设计方案
(二)网络系统拓扑图
方案
机房整改解决方案 doc - 图文
