通州财政设计方案.doc

-EI系列以太网交换机 19概述概述北京通州财政局是贯彻落实国家和本市关于财政、财务、会计管理方面的法律、法规、规章和政策;编制并组织实施本区中长期财政计划;参与拟订本区重大经济决策和措施、办法,研究提出运用财税政策对经济运行实施调控和综合平衡本区财力的建议;执行市与区县、国家与企业的分配政策;拟订完善鼓励公益事业发展的财税相关措施、办法的政府机构,财政局办公大楼主要有办公楼主楼9层,备用楼层4层,包含办公区域、食堂、学习会议室、健身房、地下车库。无线网络是财政单位的一项基础设施,无线网络是有线网络的有效补充和扩展,,即实现办公区域内在任何地方都可以进行网上办公、网上学习、网上科研及网上服务的一种普通计算的办公网络文化,逐步实现办公网络信息化、现代化的目标。建设目标⑴覆盖办公楼所有空间,包括办公区域、食堂、学习会议室、健身房、地下车库等等,为办公和会议、健身生活提供切实可用的无线网络环境;⑵同已有有线网络骨干无缝结合,成为原有办公网的有力补充,可以通畅、安全地访问财政内网,外部网络;⑶利用各种安全技术,保证无线网及办公网络的安全;项目需求分析总体要求目前办公大楼存在固定网络,为了更高效的办公,实现现代化,信息化,需要建立一张无线网络,建立无线网络就需要升级带宽,还有原来网络的一些小问题需要紧急处理,就是在办公网中,员工私自链接小路由器、小交换机,不但影响网络的稳定,而且还不安全。由于建造无线网络,需要加大带宽,随之相应原来的带有路由功能的光纤猫就不能满足需求,因此我们需要建造无线网络,使用技术手段解决光纤猫性能和办公网出现的问题。对于员工上网办公等需要相对安全的网络环境,我们需要审计员工上网行为,上网的记录,发现问题立刻解决,这也是国家对相关部门硬性要求。网络覆盖的范围本次建设覆盖范围包括:地下停车场、办公楼、食堂、备办公楼的员工会议室,健身房等位置。技术要求运用技术手段保证无线网络的稳定、安全、有效的运行。运用技术手段将原来的光纤带宽在防火墙上做分流,一部分给有线网络,一部分给无线网络使用。使用硬件应用防火墙保证内网,网络出口数据的转发,相对安全内部网络环境。使用上网行为管理管理内部网络的迅雷下载、QQ等不应该出现的流量,包括私接的小路由,小交换的行为导致网络不稳定都可做到有效控制。对网络设备要求能够远程管理,方便运维人员的管理和排障,在网络出现问题时,有效解决网络故障,恢复网络使用。整体设计设计原则网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证原则。整体区域设计本次设计将原有网络从一个大二层网络重新规划为相对稳定的三层架构,各区域的设备和主要功能如下:核心互联区增加性能强大H3C5500交换机为核心交换机,主要负责与其他各个区域的互联和数据的三层转发,为整个网络提供高速的数据交换,同时保留原有网络架构不变。服务器区增加防火墙,防止外部对网络攻击,防火墙把整个网络划分为三个区域,一部份为外部网络不可信赖区域,一部分为内部网络可信赖区域,另一部份为DMZ区域,保证服务器的安全稳定运行。内部网络对于原来单位内部网络不安全,网络出口设备性能不佳,芯片处理速度慢,我们采用深信服的防火墙来做安全设备。如今网络在改变网络已经深入日常生活1、大量的新应用建立在HTTP/HTTPS标准协议之上2、许多威胁依附在应用之中传播肆虐3、根据报告:75%的攻击来自应用层4、攻击的多样化、黑客平民化传统的防火墙基于包头信息不能分辨应用及内容也不能区分用户,更是不能分析记录用户的行为。因此我们采用深信服新一代防火墙设备,它可以做到基于用户和应用做安全控制,要求对用户进行识别和对应用进行识别。NGAF具备全面的用户认证系统和海量的应用识别特征库。对于单位的需求完全满足。对于单位员工行为的设计目前单位网络中,员工私自接无线路由,交换等行为一方面影响网络稳定的运行,另一方面单位不允许使用这些小路由,屡劝不该,加之员工互联网风险意识不强,这样做对于内部网络及其不安全,不怀好意的人可以