|
|
|
|
|
|
|
|
 

 企业信息安全
 网络行为管理
 网络安全方案
 基础网络建设

 
   飞塔高可用性接入方案
 

一、序言

信息技术日新月异的今天,网络技术发展迅猛,信息传输已经不仅仅局限于单纯文本数据,数字数据的传输,随之而来的是视频,音频等多媒体技术的广泛运用。随着技术的发展,网络设备性能和传输介质容量有了极大的提高,但是由于用户需求的日益提高,网络环境的日益复杂,使得网络规划成为一项越发困难的课题,作为企业局域网的规划成败与否,将直接影响到企业网络系统性能的高低,从而影响企业工作的进度和工作效率。

二、网络拓扑设计原则

1、网络可靠性原则:
网络设计过程中网络拓扑应采用稳定可靠的形式,如:双防火墙网络拓扑,环行网络结构。因为它们即可冗余备份,安全性又可以得到保障,核心层交换可采用高端交换设备和光纤技术的主干链路(TRUNK)来实现较高的容错性,这样就可以避免单点故障的出现,网络结构使用双链路,双核心交换设备,双防火墙备份可靠措施,都可以使企业网可靠性和实用性得到大大的提高
2、网络可扩展性原则:
企业网扩展性包含2层意思(一):新的部门能简单的接入现有网络 (二):升级新技术的应用能够无逢的在现有网络上运行
可见,规划企业网络时不但要分析当前的技术指标,而且要对未来的网络增长情况做出估计和预算,以满足新的需求,保证网络可靠性,从而保证企业网络的正常运行。
3、网络实用性和可管理性原则:
企业网系统设计在性能价格比方面要体现系统的实用性,可采用先进的设备,但有要在资金允许的条件下实现建网的目标,企业网应基于简单网络管理协议(SNMP),并支持管理信息库(MIB),利用图形化,可视化管理界面和操作方式,易于管理,这也正体现出了实用性原则,合理的网络规划策略,可提供强大的管理功能,能使管理一体化进行,这就便于日后的企业网更新与维护
4、网络安全性原则
1.
对物理层及网络拓扑结构,操作系统及应用软件要求具备相应的安全检测机制,边界网关应该构筑防火墙,安装杀毒软件,对网关路由器进行必要的安全性过滤,如访问控制列表ACL配置,用户身份认证,数据加密,密钥等技术来实现企业网的安全化
2.
采用静态虚拟局域网技术(静态VLAN)加强内网的管理,因为VLAN是基于逻辑划分而非物理地理划分,这就有效的控制了各个网段的相互访问,从而保证了内网的安全性,同时VLAN又可抑制不必要的广播,从而节约了带宽,又便于管理
3.
TCP/IP四层网际模型为框架建立持续过程的网络安全性措施运行机制,做到维护网络,监测网络,测试网络,改进网络四位一体的网络持续性保卫工作,它是网络安全性管理的核心思想,如下所示:
应用层、传输层、网际层、网络接入

三、需求分析

企业对网络的依赖性很大,因此我们要在保证网络的传输质量上还要保证网络的高冗余性;企业电脑办公员工有1000左右,因此要将整个大网络分成多个VLAN管理。

四、设计的网络拓扑

五、网络拓扑说明

      整个网络网络结构当中,各个楼层划分若个VLAN,在汇聚层和核心层使用STP协议和HSRP协议实现链路冗余;核心层两台三层设备之间使用以太网通道来实现冗余和热备;网络边界采用两台FORTINET620BHA,实现接入负载均衡和热备。

六、防火墙FORTIGATE620B简介

FortiGate-620B是一款新的大型企业综合安全产品,它的高密度端口和无与伦比的防火墙吞吐量能力使之变为强大的安全设备。它采用Fortinet公司革命性的FortiASIC NP(网络处理器)和CP(内容处理器)芯片技术,用来加速UTM处理,在1620个接口上防火墙吞吐量达到线速。管理员可以分区将接口划分为多个安全区域

七、部署防火墙的高可用性(HA

两条十兆光纤分别接入到两台防火墙,防火墙之间连接一条心跳线;两台核心层交换机分别与两台防火墙相连接;当防火墙启用HA后,防火墙会虚拟出一个IP地址,防火墙使用这个虚拟地址跟两台三层核心设备通信;如果其中一台防火墙DOWN以后,内部网络还以通过另外一台防火墙出去;如果三层设备与防火墙之间任意一根线路断了,还可以通过另外一条线路出去;平时设备没有问题的时候,又可以实现网络的负载均衡;因此整个网络通过使用边界HA在出口处将达到一个高度的冗余和良好负载均衡。

Copyright © 2011 深圳市瑞和信科技有限公司. All Rights Reserved-备案/许可证编号: 粤ICP备13052730号-1 网站使用条款 隐私保护条例