中小企业网络解决方案中小企业网络解决方案
字串7
二、无限制用户安全连接方案
三、无线环境网络方案
四、总部、分支机构安全网络方案
深圳市宝讯达电子有限公司
2008年10月17日
字串5
字串3
我们都知道,在中国中小企业占到全国工业企业的97%以上,是中国的经济命脉。在今天竞争激烈的市场环境下,许多中小型企业都在追求高效的管理与沟通方法,发展跨地区、跨国业务,促进客户服务,增强企业的市场竞争力。特别在当今信息化的现代社会,企业的运作模式也发生了根本性变化。建设企业网络来提高企业运作效率的做法越来越普及。所以近年来,许多中小型企业都建立了自己的网络,但是,由于许多中小企业的决策者对网络的应用和管理,在认识上存有一定的局限,以及受到现有企业条件和信息技术力量的局限,往往会在用网,尤其是在如何管理好企业的网络、挖掘和整合企业网络资源优势、为企业发展核心业务服务等诸多方面,还存有许多不尽如人意的地方,致使不少中小企业的网络系统,从建立网络,到应用网络,直至管理网络,都缺乏一个科学性、有序化和规范化的发展态势,甚至直接影响乃至制约着企业核心业务的持续发展。
1.2 需求
1.2.1企业信息化
企业信息化,是指将信息网络技术、计算机、Internet以及电子商务运用到企业的市场调研、产品研发、技术改造、质量控制、供应链、资金周转、成品物流等全过程,从而实现工业化。企业信息化的目的是为了提高企业运作效率、降低成本、进一步提升企业竞争力。
企业信息化,包括三个层次:网络平台、业务平台和企业应用系统。企业应用系统如ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等,无不是构建在网络平台之上,所以企业信息化,首先是网络建设。华为企业网络平台解决方案能同时满足大、中、小企业对实现数据、话音、视频、电子商务等多业务融合是网络一体化发展的基本要求,讯宜网络解决方案体系结构在基础平台、业务管理、增值业务三个层面提供系统解决方案,构建端到端的可管理、全线速、全业务企业网络平台,全面支持Qos、安全、内容分布、VPN等业务特性及解决方案,通过集群、堆叠、Qos、可控组播、安全技术,提供优良的可管理特性,充分满足语音、数据、视频业务的综合传送。 字串8
1.2.2实现目标
中小型企业网络解决方案实现应用有以下几个方面:首先是资源共享,网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;再次是多媒体应用,该方案支持多媒体组播,具有卓越的服务质量保证;此外,在某些方案中系统支持远程接入。
1.3 方案构成
中小型企业的组网方案主要要素有:局域网、广域网连接、网络管理和安全性。讯宜解决方案充分考虑了这些要素。从总体上看,这些解决方案具有以下共同的特征。第一,它采用高性能、全交换的方案,充分满足了用户需求。第二,网络管理简单,提供友好的基于WEB的界面配置和管理网络,因此网管人员无需专门培训。第三,保证企业数据的安全,保证了业务的连续性。第四,提供安全性VPN访问企业网络。第五,系统安全,保密性高,应用了适合中小型企业的低成本网络安全解决方案。
针对不同用户的不同需求,讯宜推出了50用户安全连接方案、无限制用户安全连接方案、无限环境网络方案、总部与分支机构安全网络方案四种典型的解决方案。
字串4
字串4
字串3
字串8
字串9
字串4
第2章 50用户网络安全连接方案
2.1 企业状况
公司员工人数为50人左右,几乎都在公司内部上班,通过共享一个IP连接到公网;公司只有一个网络管理人员;公司内部员工需访问内部服务器查找资料与资料共享;偶尔有员工需出差,并需访问公司内部网络信息。总的来看,此类公司网络可分为:外网区域、内网区域、服务器区域,有时候也有可能设置一个DMZ区。网络拓扑图如下:
字串4
2.2 防火墙选择
由于Internet的迅速发展,提供了发布信息和检索信息的场所,但它也带来了信息污染和信息破坏的危险,人们为了保护其数据和资源的安全,出现了防火墙。防火墙从本质上说是一种保护装置。它保护的是数据、资源和用户的声誉。
字串9
防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险(病毒、资源盗用等)传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙,更象北京故宫的护城河。它服务于多个目的:(1)限制人们从一个特别的控制点进入;(2)防止侵入者接近你的其它设施;(3)限定人们从一个特别的点离开;(4)有效的阻止破坏者对你的计算机系统进行破坏。 字串6
因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。
字串7
防火墙的优点
(1)防火墙能强化安全策略 字串6
因为Internet上每天都有上百万人在那里收集信息、交换信息,不可避免地会出现个别品德不良的人,或违反规则的人,防火墙是为了防止不良现象发生的"交通警察",它执行站点的安全策略,仅仅容许"认可的"和符合规则的请求通过。
(2)防火墙能有效地记录Internet上的活动 字串6
因为所有进出信息都必须通过防火墙,所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点,防火墙能在被保护的网络和外部网络之间进行记录。
(3)防火墙限制暴露用户点
防火墙能够用来隔开网络中一个网段与另一个网段。这样,能够防止影响一个网段的问题通过整个网络传播。 字串9
(4)防火墙是一个安全策略的检查站
所有进出的信息都必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝于门外。 字串2
防火墙的缺点 字串2
(1)不能防范恶意的知情者
防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘、磁带上,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙是无能为力的。内部用户偷窃数据,破坏硬件和软件,并且巧妙地修改程序而不接近防火墙。对于来自知情者的威胁只能要求加强内部管理,如主机安全和用户教育等。 字串4
(2)不能防范不通过它的连接 字串4
防火墙能够有效地防止通过它进行传输信息,然而不能防止不通过它而传输的信息。例如,如果站点允许对防火墙后面的内部系统进行拨号访问,那么防火墙绝对没有办法阻止入侵者进行拨号入侵。
字串6
(3)不能防备全部的威胁
防火墙被用来防备已知的威胁,如果是一个很好的防火墙设计方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的新的威胁。 字串1
(4)防火墙不能防范病毒 字串5
防火墙不能消除网络上的PC机的病毒。
字串1
字串5
2.2.1 Check Point防火墙
现今的安全挑战是复杂而多变的。为了跟上目前信息网络的多变性与复杂性,您需要一个专属伙伴提供安全解决方案,才能赶得上您的业务需求,并协助确保您未来的安全。在 Check Point, 我们「完全」着重于提供世界上最先进的安全解决方案,同时为信息网络与企业数据提供保护。安全,是我们全副心力所投注的重点。我们一半以上的员工都是安全专业人员,有超过 700 人全力投入安全研究与开发。让贵组织完全安心,知道 Check Point 随时待命协助您处理任何可能的威胁。 字串7
现今组织所面临的最大挑战之一,是他们的安全解决方案越来越多。这几年下来,随着新的安全威胁出现,新的单点解决方案逐渐加入防御网络,成为深度防御策略的一部份。全世界的组织已经花了数十亿元扩充安全基础架构以防御其网络,但有提升安全吗?如今的攻击可以横跨多个系统,黑客拥有新工具可以制造更强大的攻击,而攻击系统所花的时间也大幅减少。然而扩充出来的安全基础架构,虽然提供多阶层的安全,但也妨碍了组织协调及监控其安全解决方案以对抗复杂攻击的能力,以及以最新防御来更新系统的能力。 字串4
2.2.2 产品功能特点
适用于小型企业的 Safe@Office 500 是一种 UTM 设备,可以为小型企业提供企业级且验证有效的安全防护。所有解决方案都包含 Check Point 已取得专利的状态式侦测防火墙、VPN、政策控制式网关防毒、使用者易于使用的网页式管理、可选购的整合式 ADSL2/2+ 调制解调器及其它更多产品。所有解决方案都可以由小型企业以本机方式管理,或外包给信任的协力厂商。Safe@Office 500W 解决方案也包含整合式安全无线基地台 (兼容于 802.11b、801.11g与Super G)及USB打印机服务器。
字串1
1.全方位的统一安全管理设备
字串3
2. 防火墙/IPS功能功能:CheckPoint状态检测防火墙技术,防止非法的网络访问CheckPoint入侵防护技术(IPS),保护用户网络抵御黑客攻击、蠕虫
3.远程访问VPN可安全地连接远程位置与员工。内置CheckPoint SecureRemote VPN软件,移动办公用户可以通过拨号VPN,安全的访问内部网络;site to site通过Internet进行两个网络之间安全的访问,Safe@Office通过IPSEC加密通过Internet传输的数据 字串7
4.可以搭配配合式WLAN与ADSL/ADSL2+调制解调器,并支持行动电话透过USB调制解调器联机
5.定期自动更新软件与防病毒定义档 字串3
6.网页过滤
7.网页式管理
字串7
8.透通的桥接器模式 字串5
9.选购的Power Pack扩充升级,包含更好的防火墙与VPN、支持保护热点安全、额外的远程访问使用者与站台间通道、先进的流量塑形器 (QoS)、支持自动错误回复、VLAN (以通讯端口/标记为基础) 支持,以及动态路由 (OSPF) 支持
字串6
另外,对于企业的管理员要求也不是很高,主要是该类设备是支持多种管理模式:如HTTP、HTTPS、SSH、SNMP、以及基于WEB的管理向导。另外由于详细的日志管理和监控功能、网络访问日志、流量监控、活动主机监控、活动连接监控、无线局域网状态监控、VPN 隧道监控,所以对于管理员来说,网络的情况也是很透明的。
字串6
字串1
2.2.3产品可选类型
Check point 的safe@office有分为500系列、500W系列、500ADSL系列、500W ADSL系列,每种系列有5用户型、25用户型、无限制用户型。可根据具体情况具体选择。在50用户型网络连接中推荐使用Safe@Office 500 UTM ,CPSB-500G-U-FAE其属性为:用户数:无限制 - Firewall/VPN 效能(150/30Mbps),并行防火墙连接 8000,网关病毒防御,远程接入VPN用户数量 5,站到站VPN (IPSec) 通道15,可选带有PowerPack Upgrade。 字串9
2.3交换机选择
以太网交换机,也称为交换式集线器,是简化(典型)的网桥,一般用于互连相同类型的LAN(例如:以太网/以太网的互连)。交换机和网桥的不同在于:交换机端口数较多;交换机的数据传输效较高。 以太网交换机采用存储转发(Store-Forward)技术或直通(Cut-Through)技术来实现信息帧的转发。 字串9
直通交换 :当接收到一个帧的目的地址(MAC地址)后马上决定转发的目的端口,并开始转发,而不必等待接收到一个帧的全部字节后再进行转发。相对存储转发技术而言,降低了传输延迟,但在传输过程中不能进行校验,同时也可能传递广播风暴。
字串7
存储转发交换 :从功能上讲,就是网桥所使用的技术,等到全部数据都接收后再进行处理,包括校验、转发等。相对于直通技术而言,传输延迟较大。
字串1
一些交换机可以同时使用上述两种技术。当网络误码率较低时采用直通技术,当网络误码率较高时则采用存储转发技术。这种交换机被称为自适应交换机。
2.3.1 Netgear交换机
Netgeat公司成立于1996年1月,总部位于美国加利福尼亚州硅谷(Santa Clara,California) 。是全球成长型商用网络和家庭网络市场的领导者。主要有四大类产品线:交换机;无线局域网;VPN防火墙;CPE设备(xDSL、cable、住宅VOIP、企业网关、定制化数字家庭产品)。其交换机等产品是cisco、华为、D-LINK等同类公司的强劲对手。其交换机分为非网管交换机、基本智能网管、增强智能交换机、全网管交换机产品。另外,2006年全球智能交换机发货量,Netgear高居榜首。 字串8
2.3.2 Netgear智能网管交换机
在中小企业中,存在这样一种情况:用户在使用全网管交换机时,一般只会使用其中60%最常用的功能,而对于其余大约40%的功能都是用不着的,导致花多了钱买来不必要的功能。而非网管交换机的功能又太简单,往往不能满足用户常有的需求,例如远程网管SNMP,划分VLAN等。 字串9
这时中小企业就提出了,他们所需的交换机的定位。其特点如下:功能定位:具有一般企业级产品当中最常用的功能;价格定位:处于非网管交换机与全网管交换机之间;管理简单,不需要专门的IT维护人员;有更好的性能价格比。 字串3
如此,NETGEAR公司推荐使用智能网管交换机,智能网管交换机以最优的价格,就可以获得满意的功能,使投入更合理,更有效率。 字串5
2.3.3 产品功能特点
NETGEAR公司的智能交换机的支持较多管理方式:1.可用浏览器的图形化WEB界面对交换机的各项功能进行方便的管理和配置;2.支持SNMP v1远程网管协议,配合网管软件统一管理;3.专用管理工具软件:此实用软件可查找和发现多达254台智能交换机,并对交换机进行基本参数的配置。
其智能交换机分为基本智能交换机与增强型智能交换机。但他们相同的功能主要有:
1.可对交换机端口进行各项配置和监控 字串3
2.支持基于802.1p的流量服务质量控制(每端口2个优先级队列)
3.支持基于端口和802.1Q的VLAN,最多64个802.1Q的VLAN 字串9
4.支持802.3ad端口链路聚合(Port Trunk),多至4组捆绑聚合
字串9
5.支持端口镜像功能(Port Mirror)
6.支持交换机配置文件的备份下载和上传 字串9
7.支持设定交换机管理用户的IP地址范围
字串7
8.支持STP生成树协议(802.1D) 字串8
如下图所示,
字串5
增强智能交换机就是在基本智能型之上增加堆叠和安全的功能。如下图 字串3
字串1
字串3
增强型智能交换机增强功能如下图 字串2
字串1
2.3.4产品可选类型
对于50用户的公司与企业来说,我们一般推荐Netgear交换机分类中的基本智能交换机例如FS726T或者FS726TP(带POE)。如果公司希望在安全、流量控制、管理与维护、可靠性方面有较高的要求,可以选择增强型智能交换机。
字串4
字串3
2.4解决方案
方案1
|
设备名称 字串8 |
设备型号 字串2 |
数量 字串3 |
描述 字串2 |
|
防火墙 字串4 |
CPSB-500G-U-FAE 字串5 |
1 字串3
|
50用户 字串8
|
|
交换机 字串4 |
Netgear FS726T 字串2 |
2 字串7 |
24端口 字串3
|
方案2
|
设备名称 字串6
|
设备型号 字串1 |
数量 字串1 |
描述 字串2
|
|
防火墙 字串2 |
CPSB-500G-U-FAE 字串9
|
1 字串6 |
50用户 字串9 |
|
交换机 字串6
|
Netgear FS726TP 字串6 |
2 字串1
|
24端口(POE) 字串3 |
第3章 无限制用户安全连接方案
3.1企业状况
公司处于发展中,几乎都在公司内部上班,通过共享一个IP连接到公网;公司有1~2个网络管理人员;公司内部员工需访问内部服务器查找资料与资料共享;偶尔有员工需出差,并需访问公司内部网络信息。总的来看,此类公司网络可分为:外网区域、内网区域、服务器区域,有时候也有可能设置一个DMZ区。网络拓扑图如下:
3.2 防火墙选择
现今的安全挑战是复杂而多变的。为了跟上目前信息网络的多变性与复杂性,您需要一个专属伙伴提供安全解决方案,才能赶得上您的业务需求,并协助确保您未来的安全。在 Check Point, 我们「完全」着重于提供世界上最先进的安全解决方案,同时为信息网络与企业数据提供保护。安全,是我们全副心力所投注的重点。我们一半以上的员工都是安全专业人员,有超过 700 人全力投入安全研究与开发。让贵组织完全安心,知道 Check Point 随时待命协助您处理任何可能的威胁。
字串3
现今组织所面临的最大挑战之一,是他们的安全解决方案越来越多。这几年下来,随着新的安全威胁出现,新的单点解决方案逐渐加入防御网络,成为深度防御策略的一部份。全世界的组织已经花了数十亿元扩充安全基础架构以防御其网络,但有提升安全吗?如今的攻击可以横跨多个系统,黑客拥有新工具可以制造更强大的攻击,而攻击系统所花的时间也大幅减少。然而扩充出来的安全基础架构,虽然提供多阶层的安全,但也妨碍了组织协调及监控其安全解决方案以对抗复杂攻击的能力,以及以最新防御来更新系统的能力。 字串9
3.2.1 Check Point防火墙
现今的安全挑战是复杂而多变的。为了跟上目前信息网络的多变性与复杂性,您需要一个专属伙伴提供安全解决方案,才能赶得上您的业务需求,并协助确保您未来的安全。在 Check Point, 我们「完全」着重于提供世界上最先进的安全解决方案,同时为信息网络与企业数据提供保护。安全,是我们全副心力所投注的重点。我们一半以上的员工都是安全专业人员,有超过 700 人全力投入安全研究与开发。让贵组织完全安心,知道 Check Point 随时待命协助您处理任何可能的威胁。 字串6
现今组织所面临的最大挑战之一,是他们的安全解决方案越来越多。这几年下来,随着新的安全威胁出现,新的单点解决方案逐渐加入防御网络,成为深度防御策略的一部份。全世界的组织已经花了数十亿元扩充安全基础架构以防御其网络,但有提升安全吗?如今的攻击可以横跨多个系统,黑客拥有新工具可以制造更强大的攻击,而攻击系统所花的时间也大幅减少。然而扩充出来的安全基础架构,虽然提供多阶层的安全,但也妨碍了组织协调及监控其安全解决方案以对抗复杂攻击的能力,以及以最新防御来更新系统的能力。 字串8
3.2.2 产品功能特点
适用于中小型企业的 Safe@Office 500 是一种 UTM 设备,可以为小型企业提供企业级且验证有效的安全防护。所有解决方案都包含 Check Point 已取得专利的状态式侦测防火墙、VPN、政策控制式网关防毒、使用者易于使用的网页式管理、可选购的整合式 ADSL2/2+ 调制解调器及其它更多产品。所有解决方案都可以由小型企业以本机方式管理,或外包给信任的协力厂商。Safe@Office 500W 解决方案也包含整合式安全无线基地台 (兼容于 802.11b、801.11g与Super G)及USB打印机服务器。
1.全方位的统一安全管理设备 字串2
2. 防火墙/IPS功能功能:CheckPoint状态检测防火墙技术,防止非法的网络访问CheckPoint入侵防护技术(IPS),保护用户网络抵御黑客攻击、蠕虫 字串8
3.远程访问VPN可安全地连接远程位置与员工。内置CheckPoint SecureRemote VPN软件,移动办公用户可以通过拨号VPN,安全的访问内部网络;site to site通过Internet进行两个网络之间安全的访问,Safe@Office通过IPSEC加密通过Internet传输的数据
字串4
4.可以搭配配合式WLAN与ADSL/ADSL2+调制解调器,并支持行动电话透过USB调制解调器联机 字串5
5.定期自动更新软件与防病毒定义档
6.网页过滤 字串1
7.网页式管理 字串9
8.透通的桥接器模式 字串7
9.选购的Power Pack扩充升级,包含更好的防火墙与VPN、支持保护热点安全、额外的远程访问使用者与站台间通道、先进的流量塑形器 (QoS)、支持自动错误回复、VLAN (以通讯端口/标记为基础) 支持,以及动态路由 (OSPF) 支持
另外,对于企业的管理员要求也不是很高,主要是该类设备是支持多种管理模式:如HTTP、HTTPS、SSH、SNMP、以及基于WEB的管理向导。另外由于详细的日志管理和监控功能、网络访问日志、流量监控、活动主机监控、活动连接监控、无线局域网状态监控、VPN 隧道监控,所以对于管理员来说,网络的情况也是很透明的。 字串1
3.2.3 产品可选类型
Check point 的safe@office有分为500系列、500W系列、500ADSL系列、500W ADSL系列,每种系列有5用户型、25用户型、无限制用户型。可根据具体情况具体选择。在无限制用户型网络连接中推荐使用Safe@Office 500W UTM ,CPSB-500WG-U-World其属性为:用户数:无限制 - Firewall/VPN 效能(150/30Mbps),并行防火墙连接 8000,USB接口打印机,网关病毒防御,远程接入VPN用户数量 5,站到站VPN (IPSec) 通道2,支持108Mbps无线,USB打印机服务器。电源符合RoHS标准。 字串7
3.3 交换机选择
以太网交换机,也称为交换式集线器,是简化(典型)的网桥,一般用于互连相同类型的LAN(例如:以太网/以太网的互连)。交换机和网桥的不同在于:交换机端口数较多;交换机的数据传输效较高。 以太网交换机采用存储转发(Store-Forward)技术或直通(Cut-Through)技术来实现信息帧的转发。
字串9
直通交换 :当接收到一个帧的目的地址(MAC地址)后马上决定转发的目的端口,并开始转发,而不必等待接收到一个帧的全部字节后再进行转发。相对存储转发技术而言,降低了传输延迟,但在传输过程中不能进行校验,同时也可能传递广播风暴。 字串3
存储转发交换 :从功能上讲,就是网桥所使用的技术,等到全部数据都接收后再进行处理,包括校验、转发等。相对于直通技术而言,传输延迟较大。 字串2
一些交换机可以同时使用上述两种技术。当网络误码率较低时采用直通技术,当网络误码率较高时则采用存储转发技术。这种交换机被称为自适应交换机。 字串5
3.3.1 Netgear交换机
Netgeat公司成立于1996年1