公司总部与分支专线组网方案建议书.docx

1、 公司总部与分支专线组网方案建议书 18 2020年4月19日 文档仅供参考 XX 公司总部分支专线组网方案建议书 杭州迪普科技有限公司 -04 目录 1. 项目需求分析 3 1.1 项目背景 3 1.2 项目组网分析 3 1.2.1安全专线组网分析 3 1.2.2 网络安全组网分析 4 1.2.3 网络统一管理分析 5 2. 设计原则 5 3. 组网方案 6 3.1 专线组网方案 6 3.2 详细部署 7 4. 迪普方案优势 7 4.1 迪普防火墙优势 7 4.2 UMC统一管理中心优势 9 6.杭州迪普

2、科技简介 9 7.杭州迪普科技售后服务体系 10 服务概述 10 技术支持服务 10 备件库服务 10 软件支持服务 11 特征库升级服务 11 售后服务联系方式 11 1. 项目需求分析 1.1 项目背景 Xx公司随着业务的发展需要，在全国具有60多家分支机构。公司规模的不断壮大，业务量的增多，网络成为总部与分支机构之间的业务系统的连接是企业了解市场发展动态的桥梁。业务交流与协助，财务系统的实时对接，视频会议与监控系统的建立保证总部和分支之间的无缝连接而高效管理。网络成为总部分支机构之间业务的纽带，网络安全则成为总部和分支之间重要前提条件。数据安全传输和业

3、务的安全访问需要高效安全的解决方案。 XX公司基础建设，即完成了网络连通性，视频会议系统与监控系统的落实。但完全没有防护措施数据其实是相当于“裸跑”的状态，网络的安全问题其实是相当不让人乐观的，网络存在各种各样的隐患和威胁，内部重要服务资源存在泄密、丢失的可能，造成非常恶劣的影响。 怎么处理和解决以上问题带给我们的困扰？这需要在现有网络基础上进行安全改造，实现网络安全加固，达到保障网络安全的目的。各分公司出口处部署应用级防火墙，实现网络威胁抵御，形成动态、立体的全面安全防护，总部与分支之间业务安全。 迪普科技以应用即网络的理念，以高性能、高可靠、易管理、业务安全访问等功能建设需求。全面的

4、组网能力，丰富的防攻击、高性能的VPN加密能力和便利的业务扩展能力等特点在此次项目得到全面的体现。为XX公司提供高效安全的网络解决方案。 1.2 项目组网分析 1.2.1安全专线组网分析 专线组网方式是一种成熟的网络连接解决方案，租用运营商高速链路。当前运营商提供安全专线业务的网络，提供市区“全光网”接入覆盖，满足100M～1000M高速接入需求。现有“全光网”以光纤的方式方便与快捷组网，分支方便选择专线链路实现方便组网，实现XX公司电话、传真、数据的交换，信息的交流，保证公司生产发展。 1.2.2 网络安全组网分析 全球范围内的计算机网络病毒、操作系统漏洞、垃圾邮件等网络安全问题也

5、层出不穷，这可谓网络如江湖，到处暗藏杀机，稍不小心就会中招。企业内部的病毒传播更加难以控制。企业必须把病毒限制在最小的范围以内，最大程度的降低企业的损失。 网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING FLOOD等）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。 安全专线组网解决方案是在传统专线租用使用上提供网络安全防护的网络解决。网络安全组网，网络安全已成为影响企业发展的重要问题，公司企业因安全网络安全问题造成的损伤已成为企业致命的忧患。 防火墙是实现网络逻辑隔离的首选技术，防火墙一般利用IP和TCP包的

6、头信息对进出被保护网络的IP包信息进行过滤，能根据用户的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。 防火墙能够经过包过滤，进行基于地址的粗粒度访问控制，同时，还能够经过口令认证对用户身份进行鉴别，既而实现基于用户的细粒度访问控制。防火墙在网络入口点检查网络通信，屏蔽非法侵入，经过NAT功能，使用一个公网IP即可实现全员上网；有效地控制进出不同网络区域的访问；控制进出不同网络区域的信息流向和信息包；提供使用和流量的日志和审计；隐藏内部IP地

7、址及网络结构的细节。 防火墙必须能够实现网络边界的隔离，具有基于状态检测的包过滤功能，能够实现针对源地址、目的地址、网络协议、服务、时间、带宽等的访问控制，能够实现网络层的内容过滤，支持网络地址转换等功能。 日志和审计功能要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能，同时希望支持第三方的日志软件，实现功能的定制。 1.2.3 网络统一管理分析 网络规模不断升级和扩大，安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，总是会遇到设备无法统一管理、策略无法集中配置、

8、日志和流 量无法全面及时的分析、权限分散无法集中和分级进行管理等难题，往往只能经过对每个单独设备的管理，经过单纯的设备日志查看来进行逐个分析；常规的网管软件能够对实现设备网络级的管理，可是无法对安全事件进行分析，管理员无法及时准确的了解网络中的安全状况，更加无法实现对网络的统一安全管理。 2. 设计原则 本着高可靠性、实用性、安全性、先进性、可扩展性、可管理性、经济性等原则进行设计。 高可靠性 为保证视频会议系统与监控系统分支与总部之间安全业务保障，XX公司网络安全系统必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用

9、硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。 实用性（包括简易性） 采用成熟、有效、可靠、简单的技术，使用尽少的设备，最少的线路，实现网络质量的最优化，提高设备、线路利用率，避免不必要的浪费，减轻管理负担，确保系统的稳定运行。 安全性 考虑到各分支机构视频会议系统与监控系统的安全隔离，确保各网络系统的安全可靠，xx公司分支机构设计要有分权限、分等级进行安全防护。 先进性 采用先进的技术满足内部应用系统的需求，兼顾其它相关的管理需求，使整个系统在今后很长一段时间适应网络和通信技术的高速发展，以满足更高的数据、视频（多媒体）传输等未来信息化的发展需要。 可扩展性（包括开放性和

10、互联性） 计算机网络系统是一个不断发展的系统，采用标准和开放网络体系，使其具有良好的灵活性、可扩展性和良好的适应性，具备支持多种应用系统的能力，具备与多种协议计算机通信网络互连互通的特性，能够根据不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量、提升网络性能、增强网络功能，确保本计算机网络系统的基础设施的作用能够充分的发挥，为未来网络建设打下坚实的基础，保障网络系统的可持续发展。 可管理性 由于XX公司安全系统具有一定复杂性，随着业务的不断发展，网络安全管理的任务必定会日益繁重。因此在网络安全设计中，必须建立一套全面的管理解决方案。网络安全设备必须采用智能化，可管理的设备，经过先

11、进的管理制度，实现监控、监测整个网络安全的运行情况，合理分配资源、迅速确定故障等功能。 经济性 在优先考虑可靠性、实用性、安全性、先进性、可扩展性、可管理性原则的前提下，采用性价比高的技术和软硬件资源。遵循统筹规划、合理配置的原则，充分发挥规模效应的巨大优势，有效降低信息系统设施的投入，节约运营维护成本，提高网络、设备、软件、信息资源、人力资源、空间场所等的使用效率。 3. 组网方案 3.1 专线组网方案 如果所示为专线组网方案： 3.2 详细部署 专线网络部署：租用运营商高速链路。当前运营商提供安全专线业务的网络，提供市区“全光网”接入覆盖，满足100M～1000M高速接入

12、需求。 网络边界安全：边界处部署Dptech FW1000防火墙，提供安全高效网络安全解决方案。 1. 实现网络逻辑隔离。防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据用户的安全政策来控制（允许、拒绝、监测）出入网络的信息流。有效地控制进出不同网络区域的访问。 2. 实现网络地址转换（NAT）。提供NAT功能实现分支与总部之间网络通信。提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能 3. 深度状态监测机制。具备针对协议的内容

13、检查、清除病毒的能力，同时经过实施安全策略能够在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但能够保护内部资源不受外部网络的侵犯，同时能够阻止内部用户对外部不良资源的滥用。防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。 网络统一管理； 部署UMC统一管理中心。总部与分支网络规模不断升级和扩大，安全设备在网络中得到大量部署，管理人员在管理安全设备和安全策略时，需要对设备无法统一管理、策略无法集中配置、日志和流 量无法全面及时的分析、权限分散无法集中和分级进行管理， UMC统一管理中心提供日志和审计，要求防火墙能够对重要关键资源的使用情况应进行有效的监控，防火墙系统应有较强

14、的日志处理能力和日志分析能力，能够实现日志的分级管理、自动报表、自动报警功能。 4. 迪普方案优势 4.1 迪普防火墙优势 ü 高性能防火墙： FW1000 N系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlat OS安全操作系统，是当前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使得FW1000 N系列能够放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体拥有成本！虚拟防火墙功能，支持至少64个虚拟防火墙，能够将一台防火墙在逻辑上

15、划分成多台虚拟的防火墙，每个虚拟防火墙系统都能够被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。Dptech FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略能够一次匹配完成，即使在应用层功能不断扩展、特征库不断 增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用防火墙FW1000-GE-N为例，在开启防火墙、IPSec/SSL VPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。 ü 多VPN 协议支持： Dptech F

16、W1000防火墙支持IPSEC VPN SSL VPN GRE VPN L2TP VPN ,支持二层/三层VPN。Dptech FW1000防火墙支持多种VPN组合，支持GRE-over-IPSECVPN 、L2TP-over-IPSEC VPN功能，能够高效安全数据传输防护。结合内置VPN加密/解密芯片，免费提供高强度加密服务。 ü 组播功能： 未来校园会有更多的关于视频、音频的应用基于网络，需要对组播协议有良好支持，满足未来校园网的发展。 ü 3G/WIFI扩展功能： 在节点较重要的节点可经过3G/WIFI扩展功能，实现本机的链路级备份，也是必不可少的功能之一。 ü 特征库功能：

17、 网络中新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，需要采用应用级防火墙经过扩展特征库，解决网络和应用相分离的情况。  ü MSTP功能： 支持多实例生成树，全面支持网络协议，更好的融入网络拓扑中，避免对网络拓扑有较大的改动。 ü 支持IPV6: 支持传统路由协议支持:支持动态路由协议,OSPF,RIP,IS-IS,BGP基础上全面支持IPV6协议，支持IPV6组网路由OSPFv3，RIPv3,组播IPV6协议等。 4.2 UMC统一管理中心优势 ü 全面的统一管理功能： 全面集成日志采集器、数据库、日志分析、审

18、计、报表等功能部件，支持对防火墙、IPS、UAG、防毒墙、TAC、漏洞扫描、网站防护等产品的统一安全管理，全面的网络流量分析和上网行为审计，帮助管理员实时了解全网安全状况。 ü 安全事件智能分析： 对安全信息与事件进行分析，关联聚合常见的安全问题，过滤重复信息，发现隐藏的安全问题，使管理员能够轻松了解突发事件的起因、发生位置、被攻击设备和端口，并能根据预先制定的策略做出快速的响应，保障网络安全 ü 安全策略集中配置管理： 支持对安全设备进行集中管理，可经过访问控制策略的配置，实现大规模部署环境下的灵活、便捷的安全策略管理，阻止敏感信息外泄和非核心业务的滥用，确保网络的整体安全。

19、ü 灵活的部署方式 ： 支持集中管理和分级管理两种模式。集中管理能够在UMC上针对网络中所有安全设备进行统一的配置和安全事件管理；对于较大规模和分区域的网络环境， UMC还支持经过分级管理的方式进行总部和分部的统一管理。 ü 方便安全的远程管理 ： UMC统一管理中心采用B/S架构，内建HTTP服务器，管理员能够在任意地方经过HTTP或HTTPS方式对UMC进行监控和管理。 6.杭州迪普科技简介 杭州迪普科技有限公司（以下简称“迪普科技”）是在网络安全领域集研发、生产、销售于一体的高科技企业，它专注于网络内容及网络安全，为用户提供深度的安全检测与防御、以及深度的内容识别与加速的整体

20、解决方案。 公司总部位于杭州，具有一支业界领先的开发团队，基于多年的研究与积累，拥有自主开发的高性能的内容识别与加速芯片以及核心软件平台，当前已推出具有自主知识产权的应用防火墙、UTM、IPS、UAG、DPX深度业务交换网关、ADX应用交付平台及工业交换机等系列化产品。 经过强有力的服务支撑体系，可为用户提供完善的技术支持与信息咨询服务。 迪普科技将以满足用户需求为企业发展的根本动力，经过持续的技术创新，为用户创造更大价值。公司愿景——成为网络安全及应用交付领域领先的解决方案提供商。 7.杭州迪普科技售后服务体系 服务概述 杭州迪普科技是全球领先的网络安全产品和解决方案提供商，我们

21、将为用户提供具有针对性和实际可操作性的应用安全交付解决方案，协助您的企业更有效地利用IT建立强大的竞争优势。 同时，迪普科技经过本身以及合作伙伴的不断努力和广大最终用户的配合，针对客户的不同的需求和独特的要求，向最终用户提供独具特色的、充分考虑最终用户利益的服务方式，并建立了一个完善的体系来满足您的要求。 技术支持服务 为保证迪普科技设备上运行应用安全交付产品的用户，能够及时地解决遇到的问题。 迪普科技提供如下服务内容： 提供快速备件更换、远程技术支持、维护性软件版本支持以及网站和论坛支持等，能够有效帮助客户的现场技术支持人员维护网络，满足客户对高效、稳定的IT环境的需求； 迪普科技

22、设有客户服务热线和网上问题提交，7x24接受服务请求，提供全天候无间断的产品技术咨询、故障申报、硬件维修RMA受理、培训需求受理、以及服务政策咨询等服务内容。 备件库服务 迪普科技遍布全国的本地备件，能够发送大大减少返修、换件等等的用户等待时间，大大提高用户的满意度。 软件支持服务 在服务有效期内，迪普科技能向客户提供其所购设备的主机软件的维护性版本或升级版本以及该软件配套的文档资料。获得软件后，客户将享有与原有软件相同的许可权利，但不得用于商业目的的传播。 具有特殊功能并单独销售的主机软件不在提供范围以内。进行License控制与销售的软件产品，如管理软件，只提供软件补丁，不提供新的License或新版本的软件本身。 特征库升级服务 为了保障您对迪普科技应用安全交付的投资，迪普科技不断地为用户建立和更新攻击特征库、病毒库、协议特征库等来保护用户的系统。在购买的特征库服务有效期内，迪普科技能向客户提供特征库升级服务。 售后服务联系方式 如果您有任何服务需求，请经过以下方式联系我们： 服务热线：400-6100-598 Email：