续上一篇《xxx公司新建网络工程初期规划方案(1)》
3.1. 方案特点
1. 标准化的综合布线以及机房建设,国际标准、兼容性强、可扩展强、方便管理及维护,方便排查故障,寿命长,可节约持续性成本。
2. 在网络的接入层,采用了POE供电方式为AP和摄像机供电,减少电源线路的铺设难度和成本,同时避免隐蔽工程中的安全隐患,以及减少网络故障的节点。
3. 无线网络全覆盖,实现了无缝漫游,提高了用户体验,同时本方案将采用目前较为先进的技术以及高品质的产品,实现无线网络的高速传输,通过本方案可以实现无线RF环境的优化,以降低无线干扰和无线故障的频率,提高用户体验。
WiFi无线覆盖热图示意图
4. 接入层网络支持千兆接入及万兆上联,并且通过双链路与核心网络互联,可以实现任何接入交换机上联链路/端口故障,可以短时间内甚至无感知切换到备用链路/端口,而在无故障时,双链路可以增加互联骨干传输带宽。
5. 核心层网络支持万兆接入和汇聚,在满足现有网络规模情况下,也满足一定时期内的扩展,并且有利于未来的网络升级。
6. 核心网络的冗余设计,可能确保在任何一台核心交换机故障,或任何一骨干链路/端口发生故障,都可以快速切换到互备交换机或链路/端口,不影响用户的业务应用和体验。同时双核心双链路同时运行,提高网络带宽和设备利用率,实现流量的负载分担。
7. 在网络边界采用了单点设备,主要考虑成本的节约,如果有条件,也建议采用冗余设计,提高整个系统的可靠性,减少单点设备或链路故障。
8. 本方案在宽带运营商外线接入时采用双线路方式,通过我们的设计和部署实现双线路之间互为备份,同时流量负载分担。
四、 网络安全解决方案
网络安全应全面统筹,统一规划,壹云互联提供从有线网到无线网、从互联网到物联网,从内部到外部,从准入到准出,从内容到架构,从认证到加密,从检测到防御的360度立体全方位安全解决方案。由于本项目前期对网络安全并不明确,我们按照一般企业网络安全的常规配置,主要出口边界部署了安全防护设备-防火墙,用于阻挡来自互联网的攻击和入侵,同时结合其他网络设备的基本安全措施如ACL,AAA,SSH等实现基本的安全防护。但这些安全防护对于重要安全要求的项目是不远远不足的,因此,如果预算充足,并且,我们还建议部署以下网络安全系统:
4.1. 无线网络安全系统
WiFi无线网络越来越重要,尤其是本项目,基本依赖WiFi无线网络进行办公,那么无线网络安全愈发重要,无线网络也面临着有史以来最严重的网络安全问题,因此导致的无线网络安全事件越来越多,破坏性极强,因为WiFi网络的攻击和入侵非常简单易实现,并且无需接触到任何网络设备和线路就可轻易进入企业内部核心网络实施破坏和窃取机密信息,其破坏能力远远超过来自互联网的攻击。但目前WiFi无线网络的安全没有引起足够的重视,再加上无线网络技术上的难度,目前国内任何单一厂家的无线安全解决方案都有严重的问题和缺陷,而我们在国内最早开展无线网络安全解决方案的研究、设计、部署及管理,拥有多个国内外厂商的支持,提供截止目前最为完整的无线网络安全解决方案和措施,可以解决目前WiFi无线网络面临的安全问题,如:
无线网络威胁来自外部
无线网络威胁来自内部
- l 阻断非法热点\伪热点\蜜罐攻击
- l 阻断非法客户端\MAC欺骗\非法DHCP
- l 阻断非法无线桥接\Ad-hoc连接
- l 阻断无线密码破解
- l 阻断无线DDOS攻击
- l 精确查找和快速追踪无线终端和设备
- l 快速排查无线和定位故障
- l 实时监测和管理无线射频环境
- l 无线传输过程中的端到端的加密
- l 短信/微信/APP/客户端等多样化身份认证
- l 系统及软硬件的健康检查及安全准入策略
4.2. 准入准出及认证系统
本系统采用多样化身份认证方式,它能够对接入内部网络的终端进行严格、高细粒度的管控,保证合法以及安全的终端入网,全过程进行严格管控、全方位的操作审计,实现内网标准化管理,降低内网安全风险,身份认证一般与权限管理是相互联系的,一旦用户的身份通过认证以后,用户便可以访问而且只能访问自己被授权的资源,以实现事前预警,非法可控,合法可管,全网可视,事后追溯的建设目标。
准入认证系统
此方案重点确保身份实名认证,以及符合准入准出的安全策略,进一步确保进入到内部网络的用户是安全可靠、可追踪溯源。
4.3. 其他网络安全系统
除了以上建议部署的关键网络安全系统之外,如果有条件,还建议考虑网络安全运维及审计系统、行为管理及流控系统、负载均衡及流控系统、虚拟专用网络VPN等。
