当前公司的IT网络架构状况

1.网络状况：佛山总部通过租用电信10M光纤接入Internet，接入设备为普通路由设备，网络内部均为桌面型交换机实现互连。

2.应用系统状况：公司部署一套ERP系统，是公司当前最重要的应用系统， OA系统等。

3.计算机数目：佛山总部用户数约170台左右

n  网络架构状况

目前公司网络处于最原始状态。公司内部存在多个独立的二层网络架构，所使用的网络设备全部为不可管理的低端交换机，没有任何的网络层次划分。如下图所示：

在用户数量方面，目前整个厂区在线的用户终端数目大约为160以上，已经达到了中型以上企业的用户数目，并且在未来1、2年内还有用户数量的扩展。在安全方面，全网没有任何的网络安全设备、安全策略、网络防毒系统，安全隐患明显。只对客户机进一步权限的设置控制等。

n  系统基础架构状况

当前，公司的所有桌面计算机系统采用的是MicrosoftWindows系列操作系统平台，服务器系统也采用MicrosoftWindowsServer系列操作系统平台。因此对于这些计算机资源，以及运行于MicrosoftWindows系列操作系统之上的应用软件等的集中统一管理，需要建设一套架构完善、管理方便、功能强大的目录服务体系。

针对以上情况，公司IT基础架构体系方面的规划、调整及建设工作：

以下是网络架构图:

1.    优化网络与安全基础架构

l  方案采用一台企业级网络防火墙，实现电信光纤网络接入、安全区域划分及安全策略。采用一台三层核心交换机，提供24以太网端口，可为桌面计算机接入、服务器接入、二级交换机汇聚、防火墙接入提供高速、安全的交换平台。整个网络方案提供共24个1000Mbps以太网端口，100Mbps到桌面的交换网络。

l  利用核心层交换机 H3C S5510 对网络划分几个虚拟的网络环境(VLAN)，增加网络的安全性, 因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。

l  通过增加网络安全设备，实现安全的Internet接入，划分DMZ区域，保障各种应用系统服务器的安全发布。建立基于三层交换式以太网络，根据部门、网络功能划分虚拟子网（VLAN），并建立VLAN之间的双向访问控制，提高网络安全性。

VLAN与IP地址划分

VLAN划分的考虑可以基于如下原则：

l  将公司服务器划分在单独的VLAN段中，以便控制访问安全；

l  按部门将桌面计算机划分在不同的VLAN段中，以提升网络运行效率；

l  将特殊部门的网络（如财务部门、开发部门）划分在独立的VLAN段中，以便隔离网络访问，提升网络安全；

l  将下列不安全的网络划分在独立的VLAN段中，以便控制网络访问，提升网络安全,

(1)无线访问点（AP）连接的网络（WLAN）,

(2)Internet接入网络（防火墙网段）

(3)VPN远程访问网络等

具体划分情况如下表所示（仅供参考）：

2.    防火墙安全系统设计

l  企业局域网需要通过广域网或互联网与外界网络互联实现信息交换，在网络边界，需要部署防火墙来保证网络访问的安全性，同时对远程用户，如VPN用户提供接入支持，边界防火墙还可作为内部ERP、OA、财务系统发布平台，将内网或中立区服务器发布到互联网。公司需要在本次项目中部署防火墙系统实现网络连接、访问安全控制及服务器发布的需要；

l  为了提供服务器对互联网的访问及满足发布内部服务器到互联网的需求，本方案配置一台硬件防火墙和软件防火墙ISA2006，并通过租用专线（10Mbps）连至互联网，满足了服务器发布要求并提供了良好的访问带宽及访问安全控制。软硬结合，全面防御作用。

防火墙作为网络安全的核心部件，放置在网络的出口，通过区域的合理划分

设置有效的安全策略，实现以下的作用：

1.通过控制对关键服务器的授权访问控制，拦截非法访问；

2.对外网的服务请求加以过滤，只允许正常通讯的数据包到达相应主机，对于各攻击包和探测包一律加以拦截；

3.对内部用户访问外网进行严格控制，普通用户通过硬件防火墙访问互联网需设置明细的访问策略；

4.控制和监测用户源服务器的访问，对于非授权访问和可疑存取及时报警；

5. 利用ISA server 2006作为Internet访问安全控制和缓存代理服务器。

l  为了保证网络整体安全，本方案在互联网出口处的位置配置防火墙，可以将公司内网，服务器群和其他外部网络隔开，负责服务器群与内部办公网络访问策略的控制。有效过滤任何非法入侵。

3.    构建Windows 2003活动目录。

l  建立统一的目录服务架构来管理网络身份和资源安全，并由活动目录支撑诸如邮件系统、办公自动化系统、文件共享服务；(目前，基于MicrosoftWindows2003的活动目录体系（AD）架构是当今Windows网络系统上最为强大的目录服务体系，也是当前各单位建设目录服务体系架构的当然之选)；

l  将公司内计算机以工作姐方式转变为域管理方式，在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器。AD架构建立了一个统一集中的网络身份库，由企业系统管理人员严格管理。整个企业网络系统的安全策略通过windows AD统一快速设置，达致辞标准一致的安全策略。建立了大量企业基础架构、业务应用、系统管理等方面的应用软件的基石，如Excahange邮件系统，ISA防火墙系统等……

l  域控制器由一台主域控制器和一台后备域控制器组成，两台控制器都建立DNS SERVER主机名解析，实现两台DC间的目录服务同步复制，确保在单一服务器故障时，网络计算机仍然正确的名字解析，使网络正常运行。还要规划定期的windows域控制器的备份，并管理好备份介质的存放。在必要时，可以从备份中恢复windwos域控制，保证服务的可用性和数据的连续性。

4.    公司内部架设企业邮件服务器

出于安全考滤，加强内部安全信息管理。企业级邮件系统，具有海量、高效、安全、可靠等特点，能够满足企业级用户对邮件交换的需求，更能够作为企业电子商务的信息交换平台，仍然能够保持较高的邮件处理速度。所有的邮件经邮件服务器向外发送，所以有邮件存放于服务器中，也可以对员工对邮件作监控，商业机密保密，也对以后查讯作一种惩证。构建Exchange server 2007是邮件系统解决方案。邮件将会成为日后公司重要信息来往的必经通道,所以确保邮件服务器不间断地正常工作,我们将建多一台后备邮件服务器来切换使用,当邮件服务器出于故障(不排除硬件方面),将后备服务器切换使用,使公司邮件系统正常动作,不影响公司业务来往,将突发事件影响降到最低。

网络架构图

5.    构建补丁修补管理系统

目前公司网络存在许多安全隐患，如系统补丁，IE漏洞，outlook experss漏洞等，这些漏洞给公司内部网络带来巨大的安全隐患，许多病毒及木马的攻击主要是针对操作系统，IE的漏洞。

面对大量服务器及桌面客户机操作系统漏洞对企业信息安全构成极大威胁，为了保证操作系统安全，必须构建一套补丁修补管理系统，以实现对Windows操作系统补丁的及时快速自动更新，以保证操作系统的安全性，同时掌控企业计算机操作系统补丁的修补情况。公司将在本次项目中构建一套补丁修补管理系统，以满足补丁修补及有效管理的需要；

针对此情况，考滤使用windwos server update server-WSUS补丁升级服务器软件或购买LANDESK管理套件(比wsus功能更强大)，能够实现软件分发，补丁管理，软件许可监控，IT资产管理。保证企业终端补丁的最新及防范病毒，木马攻击，加强了企业内部网络的安全。

6.    构建病毒防护系统

病毒的防范是保证信息系统安全的关键，公司需要构建一套集中的病毒防范体系，实现集中式的、基于网络的统一防病毒，便于用统一策略保护企业桌面客户机及掌握信息系统的病毒感染及防范状况。

部署诺顿网络版杀毒软件系统，以实现对公司网络病毒集中管理。企业网内的终端数量庞大，各自归属的管理网段不一。因为建议对客户端的安全防护按不同的需求部署。针对企业网的全网防病毒系统的升级，每天自动升级信息中心的一级单位子防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略），所以客户端可自动地到防病毒服务器上升级。

7.    构建核心数据安全保密系统

随着公司规模的不断壮大和内外部网络安全要求与核心资料保密要求的日益突出，对公司内部网络安全保护提出了更高的要求，需要对内网网络行为和核心图纸、设计数据等进行全面保护和管理控制。强制性保护公司机密文件，防止外部非法入侵者非法盗取公司内部重要信息，防止内部人员未经许可非法获得公司内部重要信息等。

8．文件服务器架设

   文件服务器作为企业办公平台的重要支柱在企业网络服务中中着举足轻重的地位。无论实现操作系统的快速部署、用户桌面环境的管理、应用软件的分布管理，都需要文件服务的支持。还可以购买Symantec Buckup Exec2010软件将服务器数据库、邮件服务器、AD等数据保存到文件服务器上，实现异地数据安全保护。公司部门共享文件夹将会建立于文件服务器上，方便管理。

９．计划实施情况

电脑已成为日常办工必要工具，而网络是将各电脑连成一个体系，从而运行各种的系统，办公自动化。任何一个公司的网络都存在安全隐患，病毒入侵的风险,数据安全等等问题。特别面对现今信息化时代，所带来的方便也带来害处。网络安全是关键在于有效控制对网络资源非法占用，制止和防御攻击。所以计划公司IT系统规划进一步改进，实现以防为主，将新技术应用到网络系统中，实现网络信息安全。

分为以下几个阶段进行实施

l  首先，于公司研发中心属于独立子网络，将加密软件应用到研发中心设计机器上，并应用相关的安全策略（因为研发中心属于独立网络，也要考滤到网络安全，如系统安全的漏洞及病毒防御也要考滤清楚），

l  在公司三楼装修时，借助网络产品将公司网络初步结构建好，核心交换机vlan的划分，统一电脑IP规范。防火墙应用到网络中，提高网络安全，详细部署网络规范化。于公司网络产生较大变化，相对的调整也比较多(网络架构图请看上面)，

l  网络安全初步架构建立好后，相对的办公室搬迁移动也稳定下来。将开始对2003域安全目录和杀毒软件升级服务建立，并将全公司客户机逐步加入到域服务器统一管理，并应用杀毒软件安全策略等，

l  2010年十月份，将建立公司内部补丁升级服务器，并应用到全部客户机当中，安全在于防御，弥补系统本身漏洞带来的安全威胁，

l  2011年，将设立邮件服务器并应用到需要收发邮件的用户，将信息安全提高进一步提高和控制。

１０．ＥＲＰ服务安全备用方案

    Ｋ３－ERP是公司日常正常运作重要系统，其中现状Ｋ３－ERP 是由两台服务器并起应用（一台提供中间层服务作用，一台作为数据库使用）。当其中一台服务器出现系统或硬件问题时，Ｋ３系统就停止下来，直到Ｋ３恢复工作时才可以运作，在这停机或维修时间当中，公司的日常动作会受到极重的影响。为此，我们建议多一台ＥＲＰ服务器作为备用服务器并连接指定帐套使用。当出现问题时，可以切换服务器临时维持K3正常使用。以确保公司日常工作正常运行。

１1．价格预算表

硬件产品价格

软件产品价格

注:

l  以上产品为参考价,软件数以实际使用情况计算