1、編號 密級孚日集團股份有限公司網(wǎng)絡改造方案編 寫 青島友訊通用數(shù)碼有限公司審 核 目 錄一、公司介紹3二、公司現(xiàn)狀31信息安全42網(wǎng)絡狀態(tài)和上網(wǎng)行為管理43服務器升級4三、改造與建議31信息化安全改造411 方案設計1912 產(chǎn)品介紹192上網(wǎng)行為管理和流量負載均衡421 方案設計1922 產(chǎn)品介紹193服務器升級431 方案設計1932 產(chǎn)品介紹19一、公司介紹孚日集團股份有限公司是以家用紡織品為主兼營農(nóng)藥化工、熱電、光伏等多元化產(chǎn)業(yè)的大型企業(yè)集團，是中國規(guī)模最大、出口金額最多的專業(yè)從事中高檔巾被系列產(chǎn)品、床上用品、裝飾布系列產(chǎn)品生產(chǎn)和銷售的現(xiàn)代化家用紡織品生產(chǎn)廠商。公司股票于2006年11

2、月在深交所上市。 公司現(xiàn)擁有全球一流水平的染色、織造、印花及整理包裝等各類生產(chǎn)設備，已形成棉紡加工、家用紡織產(chǎn)品制造、國內(nèi)外銷售一體化的完備產(chǎn)業(yè)鏈，產(chǎn)品通過質(zhì)量、環(huán)境、安全健康等系列國際認證，主要銷往日本、美國、歐洲等十幾個國家和地區(qū)，自1999年以來，公司出口數(shù)量和出口金額一直名列全國同行業(yè)第一位。公司曾先后榮獲 “全國出口商品質(zhì)量穩(wěn)定企業(yè)”、“全國守合同重信用企業(yè)”、“山東省質(zhì)量管理獎”、“山東省先進民營企業(yè)”、“山東省高新技術企業(yè)”等榮譽。是北京年奧運會家紡類產(chǎn)品的特許生產(chǎn)和零售商?！版谌铡鄙虡藶橹袊Y名商標；“孚日”牌毛巾系列、裝飾布藝系列產(chǎn)品榮獲“中國名牌”，并雙雙獲得“國家質(zhì)量免檢

3、”稱號；“孚日”牌毛巾系列產(chǎn)品被商務部評為“重點培育和發(fā)展的中國出口名牌”。二、公司現(xiàn)狀1、 信息安全對電腦用戶權(quán)限未作控制，所有用戶都使用本機管理員登陸電腦，很多重要文件都是開放式共享，無法制定統(tǒng)一的集團管理策略，無法有效管控一些信息敏感部門的機密資料，員工可以輕易將機密資料以郵件或者物理拷貝的形式將資料帶出，用于非法用途，使公司蒙受巨大損失。2、 網(wǎng)絡狀態(tài)和上網(wǎng)行為管理公司內(nèi)部網(wǎng)絡全部百兆共享到桌面，公司間千兆光纖直連，網(wǎng)絡比較暢通，但是出口為網(wǎng)通百兆共享，百兆無法滿足公司近千臺電腦的帶寬需求，造成網(wǎng)絡緩慢、時斷時續(xù)的現(xiàn)象；同時存在著一些員工上班期間看電影、玩游戲、炒股及瀏覽與工作無關的網(wǎng)

4、站，造成不良影響；當前公司內(nèi)部的網(wǎng)絡接入無任何限制，任何外來人員都可接入公司網(wǎng)絡，訪問公司程序，對公司的數(shù)據(jù)安全造成隱患。3、 服務器升級目前公司擁有財務物流、人事、銷售、海關報關等10余套應用系統(tǒng)，其對應的服務器都是采購04年左右，由于使用站點數(shù)和功能的增加，已不能滿足運行要求，如物流系統(tǒng)出現(xiàn)了做一張單據(jù)需要等待10分鐘左右的情況，造成工作效率低下。4、 當前公司網(wǎng)絡使用制度還不完善，出現(xiàn)一些使用和管理上的混亂；部分公司或部門獨立實施應用系統(tǒng)或增加網(wǎng)絡設備，造成系統(tǒng)繁多，不統(tǒng)一。三、建議與改造1. 信息安全改造1.1 方案設計1.2 產(chǎn)品介紹2. 上網(wǎng)行為管理和流量負載均衡2.1 方案設計第

5、一， 合理利用VLAN技術;管理好網(wǎng)絡設備集團總部與工業(yè)園區(qū)之間采用千兆光纖互連，保障了集團內(nèi)部網(wǎng)絡暢通，他們之間通過TRUNK的方式或者直接采用三層路由的方式，就能夠確保數(shù)據(jù)的安全有效傳輸。在局域網(wǎng)中按部門劃分VLAN，就是不同的部門具有不同的訪問權(quán)限，減少不必要的流量充斥在網(wǎng)絡中，規(guī)避某些部門VLAN，限定他們只能訪問指定的部門VLAN數(shù)據(jù)，或者禁止其連接互連網(wǎng)，這樣做就能夠有效地提高網(wǎng)絡使用效率，減少數(shù)據(jù)被竊取的機會，不僅如此，這樣能夠減少減輕病毒及ARP攻擊的范圍和程度。在對網(wǎng)絡進行規(guī)劃的過程中，我們一定要考慮到一點，那就是網(wǎng)絡設備的可管理和易管理性，由于孚日集團擁200臺左右的網(wǎng)絡交

6、換設備，如此之多的網(wǎng)絡設置勢必在管理起來顯得力不從心，基于此，我們在后期選擇設備時應該盡量選擇可管理交換機，比如支持SNMP 管理方式，結(jié)合孚日集團實際情況，實現(xiàn)核心與匯聚設備高可管理性，接入設備由不可管理逐步向可管理逐步更新過度。第二， 加強網(wǎng)絡行為管理；保障出口帶寬合理使用孚日集團網(wǎng)絡采用的是單一出口結(jié)構(gòu)，即同一臺設備連接到一個ISP供應商，所租用線路帶寬是100M光纖線路，使用中不可避免遇到帶寬不夠，網(wǎng)絡數(shù)據(jù)傳輸延遲大等狀況。一方面（因此）我們要對內(nèi)部網(wǎng)絡數(shù)據(jù)進行有效的行為管理，限制某些工作之外的流量通過網(wǎng)絡，比如：在工作時間進行BT下載，觀看電影，玩網(wǎng)絡游戲等等，這些行為都能占用大量的

7、網(wǎng)絡帶寬，造成網(wǎng)絡堵塞，同時下載的電影或軟件又可能被病毒所感染，進而更加劇了網(wǎng)絡性能的惡化，造成上網(wǎng)瀏覽網(wǎng)頁速度慢，局域網(wǎng)數(shù)據(jù)傳輸慢等狀況。采用H3C行為管理軟件，能夠有效的監(jiān)控好網(wǎng)絡，管理好網(wǎng)絡，將網(wǎng)絡控制在合理的使用范圍內(nèi)，通過強制性措施就能夠限制用戶使用大部分軟件，對當前大多數(shù)的軟件都具有良好可管理性。另一方面，為了提高網(wǎng)絡整體帶寬，在原來網(wǎng)絡的基礎上要再增加一條100M光纖線路，使孚日集團有兩條對外連接的線路，這樣的好處是非常明顯的，增加100M光纖線路不僅能提高內(nèi)部上網(wǎng)的訪問速度，通過結(jié)合9500上的負載均衡模塊，實現(xiàn)雙線路負載均衡的功效，比如：網(wǎng)通線路與電信線路并存，通過負載均衡模

8、塊，我們就能夠?qū)崿F(xiàn)從網(wǎng)通進入的數(shù)據(jù)返回時還是選擇網(wǎng)通線路，而不是走電信。2.2 產(chǎn)品介紹對于要接入安全網(wǎng)絡的用戶，EAD解決方案首先要對其進行身份認證，通過身份認證的用戶進行終端的安全認證，根據(jù)網(wǎng)絡管理員定制的安全策略進行包括病毒庫更新情況、系統(tǒng)補丁安裝情況、軟件的黑白名單、U盤外設使用情況、軟硬件資產(chǎn)信息等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果，EAD對用戶網(wǎng)絡準入進行授權(quán)和控制。通過安全認證后，用戶可以正常使用網(wǎng)絡，與此同時，EAD可以對用戶終端運行情況和網(wǎng)絡使用情況進行審計和監(jiān)控。EAD解決方案對用戶網(wǎng)絡準入的整體認證過程如下圖所示：組網(wǎng)模型如下圖所示，EAD組網(wǎng)模型圖中包括智能客戶端、聯(lián)動設備

9、、EAD安全策略服務器和第三方服務器。智能客戶端：是指安裝了H3C iNode智能客戶端的用戶接入終端，負責身份認證的發(fā)起和安全策略的檢查。聯(lián)動設備：是指用戶網(wǎng)絡中的交換機、路由器、VPN網(wǎng)關等設備。EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動設備可以根據(jù)需要靈活部署在各層比如網(wǎng)絡接入層和匯聚層。EAD安全策略服務器：它要求和聯(lián)動設備路由可達。負責給客戶端下發(fā)安全策略、接收客戶端安全策略檢查結(jié)果并進行審核，向聯(lián)動設備發(fā)送網(wǎng)絡訪問的授權(quán)指令。第三方服務器：是指補丁服務器、病毒服務器和安全代理服務器等，被部署在隔離區(qū)中。當用戶通過身份認證但安全認證失敗時，將被隔離到隔離區(qū)，此時用戶能且僅能訪問隔離區(qū)中的服

10、務器，通過第三方服務器進行自身安全修復，直到滿足安全策略要求。終端準入控制(行為管理)解決方案（EAD）目前，在企業(yè)網(wǎng)絡中，用戶的終端計算機不及時升級系統(tǒng)補丁和病毒庫、私設代理服務器、私自訪問外部網(wǎng)絡、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴散，進而導致網(wǎng)絡使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡，對用戶的網(wǎng)絡訪問行為進行有效的控制，是保證企業(yè)網(wǎng)絡安全運行的前提，也是目前企業(yè)急需解決的問題。網(wǎng)絡安全從本質(zhì)上講是管理問題。H3C終端準入控制（EAD，End user Admission Domina

11、tion）解決方案從控制用戶終端安全接入網(wǎng)絡的角度入手，整合網(wǎng)絡接入控制與終端安全產(chǎn)品，通過智能客戶端、安全策略服務器、網(wǎng)絡設備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡使用行為，有效地加強了用戶終端的主動防御能力，為企業(yè)網(wǎng)絡管理人員提供了有效、易用的管理工具和手段。EAD特點：全方位準入控制EAD解決方案提供完善的接入控制，可以支持局域網(wǎng)、廣域網(wǎng)、VPN、無線各種接入方式，支持包括HUB在內(nèi)的各種復雜網(wǎng)絡、思科等異構(gòu)網(wǎng)絡環(huán)境下的部署，保證從任何地點、任何方式下的接入安全。嚴格的身份認證除基于用戶名和密碼的身份認證外，EAD還支持支持智能卡、數(shù)字證書

12、認證，增強身份認證的安全性。同時，EAD支持多元素綁定，如帳號、MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口、無線SSID、QinQ等。 完備的安全狀態(tài)評估根據(jù)管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、代理及撥號配置、多網(wǎng)卡檢查、注冊表管理、操作系統(tǒng)密碼管理等； EAD客戶端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動，同時為了更好的滿足客戶的需求，也支持與微軟SMS、LANDesk、BigFix等業(yè)界高端的桌面安全產(chǎn)品的配合使用。

13、例如已經(jīng)購買微軟的桌面管理工具SMS的用戶，EAD可以與SMS配合，由EAD實現(xiàn)終端用戶的準入控制，由SMS實現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求：資產(chǎn)管理、補丁管理、軟件分發(fā)和安裝等?；谟脩舻臏嗜肟刂圃谟脩艚K端通過病毒、補丁等安全信息檢查后，EAD可基于用戶的角色，向聯(lián)動設備下發(fā)事先配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡使用行為。終端用戶的所屬VLAN、ACL訪問策略等安全措施均可由管理員統(tǒng)一配置實施，即使是在HUB環(huán)境，也可區(qū)分不同的用戶并執(zhí)行不同的控制。靈活方便的執(zhí)行模式EAD按照網(wǎng)絡管理員配置的安全策略區(qū)別對待不同身份的用戶，定制不同的安全檢查和處理模式，包括監(jiān)控

14、模式、提醒模式、隔離模式和下線模式。用戶可以根據(jù)自己的實際需要，為VIP客戶、內(nèi)部員工、外來訪客等不同人群，定義不同的安全策略執(zhí)行方式。全面的ARP攻擊防御EAD解決方案通過ARP網(wǎng)關地址自動下發(fā)、自動綁定的功能，使終端用戶免受ARP欺騙攻擊的影響，同時提供了ARP攻擊報文過濾、ARP異常流量檢測等控制措施，杜絕惡意用戶的ARP攻擊行為。桌面資產(chǎn)管理EAD解決方案實現(xiàn)了對終端資產(chǎn)全方位的監(jiān)控和管理，可以對終端軟硬件使用情況、變更情況進行監(jiān)控，同時還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)、遠程協(xié)助、桌面防火墻管理，幫助客戶更有效地管理企業(yè)的桌面資產(chǎn)。U盤審計及外設管理EAD解決方案可以對U盤和外

15、設的訪問過程進行監(jiān)控，可以查看重要文件通過U盤拷貝時，有無存在不當使用行為。EAD還提供了對U盤和其他外設的管理功能，可以對終端用戶的各種外設進行控制，有效防止重要信息的泄密，而且在離線狀態(tài)下依然生效。易于部署的無客戶端EAD解決方案提供了免安裝的易用部署方式，用戶事先不需要安裝客戶端，上網(wǎng)時EAD系統(tǒng)會自動載入客戶端，對用戶身份和終端安全狀態(tài)進行檢查，用戶不需要改變上網(wǎng)習慣的同時，可以享受EAD帶來的安全保障。多種層次的高可用性EAD解決方案提供了雙機冷備和雙機熱備功能，可以避免單臺EAD服務器當機引起的認證中斷，同時還支持單機故障的逃生方案，臨時允許客戶端不用認證就可以使用網(wǎng)絡，保證了經(jīng)濟

16、敏感用戶的利益。擴展開放的解決方案EAD解決方案為客戶提供了一個擴展、開放的結(jié)構(gòu)框架，最大限度的保護了用戶已有的投資。EAD廣泛、深入的和國內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開合作，融合各家所長；EAD與第三方認證服務器、聯(lián)動設備等之間的交互基于標準、開放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。9500負載均衡卡： 負載均衡業(yè)務模塊外觀產(chǎn)品特點：業(yè)務模塊強大的硬件平臺SecBlade LB/SSL VPN/FW/IPS/ACG等業(yè)務模塊均采用先進的多核硬件架構(gòu)，并利用快轉(zhuǎn)技術，做到一次運算多次轉(zhuǎn)發(fā)，實現(xiàn)了高性能的負載均衡、安全功能。在高速處理應用請求的同時，交換機的原有業(yè)務處理不會受到任何影響。高

17、效的健康檢測算法SecBlade LB業(yè)務模塊支持豐富的健康檢測算法，可從網(wǎng)絡層、應用層全方位的探測、檢查服務器和防火墻的運行狀態(tài)。在進行健康檢測時，采用H3C公司專利NQA（Network Quality Analyzer，網(wǎng)絡質(zhì)量分析）技術，確保健康檢測占用最小的系統(tǒng)資源開銷，從而保證負載均衡業(yè)務的性能。健康檢查算法適用于4-7層負載均衡、鏈路負載均衡、全局負載均衡。豐富的負載均衡調(diào)度算法SecBlade LB業(yè)務模塊支持豐富的負載均衡調(diào)度算法，可根據(jù)具體的應用場景，采用不同的算法。支持的算法包括：輪詢、加權(quán)輪詢、最少連接、加權(quán)最少連接、隨機、加權(quán)隨機、源地址HASH等算法。以上負載均衡算

18、法適用于4-7層負載均衡、鏈路負載均衡和全局負載均衡。7層負載均衡還支持特有的HTTP內(nèi)容、RTSP URL算法。4-7層負載均衡支持豐富的4-7層負載均衡特性。4層負載均衡：基于TCP，UDP的各種業(yè)務應用，如HTTP、FTP、POP3、SMTP等業(yè)務進行負載均衡。7層負載均衡支持基于HTTP Request-URI、HTTP Host、HTTP User-Agent、HTTP Accept-Language、HTTP Accept-Encoding、HTTP Cookie的分析。支持多種持續(xù)性保持算法：包括HTTP URL、HTTP Coockie、SSLID，并且支持TCP長連接，確保用

19、戶在處理業(yè)務時的連續(xù)性，提高訪問效率。全局負載均衡支持高效的全局負載均衡特性。通過各個負載均衡交換機之間的動態(tài)協(xié)商以及對各個站點服務器健康狀態(tài)的檢測，智能的為每個用戶選擇最優(yōu)的訪問站點，大大提高數(shù)據(jù)傳輸?shù)男?。鏈路負載均衡支持多出口情況下，實現(xiàn)多鏈路的路由智能選擇。保證企業(yè)網(wǎng)內(nèi)部用戶，選擇最優(yōu)線路訪問Internet。通過對鏈路狀態(tài)實時精確的檢測，來選擇最適合的調(diào)度算法，包括輪詢、加權(quán)輪詢、最小連接、加權(quán)最小連接、隨機、加權(quán)隨機、源地址HASH、目的地址HASH、源地址端口HASH等，確保數(shù)據(jù)流量在各條鏈路上的均衡分配。支持3DNS功能，在多運營商接入的情況下，為Internet用戶智能選路，

20、通過最優(yōu)線路訪問企業(yè)內(nèi)部服務器。通過KeepLastHop技術實現(xiàn)源地址保持，確保用戶在處理業(yè)務時的連續(xù)性，提高訪問的效率。支持豐富的SSL算法支持RSA數(shù)字簽名算法，支持MD5、SHA1摘要算法以及RC4、DES、3DES、AES等加密算法，實現(xiàn)了對端到端傳輸數(shù)據(jù)的安全加密。通過SSL加速功能，大大降低了服務器的處理負荷，提高整體數(shù)據(jù)訪問速度。全面的安全防護支持對DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、地址/端口掃描、ICMP重定向或不可達攻擊、Tracert攻擊、帶路由記錄選項IP報文、Java/ActiveX Blocking和SQL注入攻擊等威脅的防范；可以有效的識別和控制網(wǎng)絡中的各種P2P應用；支持靜態(tài)和動態(tài)黑名單、MAC綁定、安全區(qū)域控制、系統(tǒng)統(tǒng)計等安全功能。強大的入侵防御能力