欢迎来到天天文库
浏览记录
ID:16362790
大小:1.54 MB
页数:25页
时间:2018-08-09
《安全加固项目方案》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、XX单位XX网安全加固方案XX单位XX网安全建设项目安全加固方案XX有限公司二零一五年一月XX单位XX网安全加固方案文档控制XX单位安全加固方案技术方案提交方XX有限公司提交日期2015-1-1版本信息日期版本撰写者审核者描述2015/1/11.1XX单位XX网安全加固方案目录1.1网络现状51.2安全建设需求61.3安全建设建议71.3.1总体安全建设拓扑图71.3.2云计算平台71.3.3网络准入控制和终端管理81.3.4建立全网域控121.3.5TMG(ThreatMangementGateway,统
2、一的威胁管理网关)131.3.5.1高级的防火墙保护141.3.5.2虚拟专用网(VPN)161.3.6流量监控171.3.7网络防病毒181.3.8终端虚拟化191.3.9机顶盒区域201.3.10Exchange升级到2007201.3.10.1升级前提条件211.3.10.2准备AD211.3.10.3准备域和准备所有域221.3.10.4安装Exchange2007软件要求221.3.10.5安装Exchange2007Windows组件要求22XX单位XX网安全加固方案1.3.10.6完成部署23
3、1.3.10.7删除Exchange2000/2003241.3.11域控搬迁24XX单位XX网安全加固方案1.1网络现状XX单位目前有两套业务,一套为全国的业务网,一套为OA网,两套网运行在同一套网络硬件平台上。根据业务不同有三个网络出口,分别为广电出口接入到电信机房的业务服务器,上视出口与电视台合作业务,Internet出口实现外网访问。现有内部人员为500人,今后会扩充至1000人。网络硬件平台方面采用Cisco45系列交换机作为网络核心,开启路由功能实现所有终端用户的路由访问,同时在核心上配置了AC
4、L访问控制列表,对用户访问范围进行了控制。接入层交换机采用h3c二层交换机,并配置了VLAN信息,根据部门和人员物理位置划分,实现不同用户间的隔离。无线采用了h3c的瘦AP解决方案,通过h3cAC配置无线AP的设置实现无线系统的统一管理,无线终端接入采用PSK加密方式,防止非授权用户的接入。安全方面,在互联网出口部署了一台硬件防护墙,实现互联网出口的访问控制和端口控制。内部用户安全仅仅依靠VLAN相互之间划分,通过核心上的ACL列表实现访问控制。XX单位XX网安全加固方案1.1安全建设需求1、实现用户的统一
5、管理,能够为每个用户指定权限,控制其访问范围和内容。2、能够指定统一用户组策略,实现按照用户类别进行管理,能够为用户颁发有限的证书。3、能够实现全网的IP的统一管理和分配,实现全网IP自动分配,同时MAC地址和IP实现一一对应。4、能够区分内部合法用户和外来访客用户,能够区分内部合规用户(满足内部接入规定)和内部非合规用户,并且网络能够自动将不同用户划分到不同的VLAN,实现不同的访问权限。5、能够实现用户终端的管理,实现安全策略管理、防止文件非法外传控制、补丁分发管理、软件分发管理、远程协助与维护等功能。
6、6、实现边界安全综合管理,边界访问控制,边界病毒控制,网络代理,应用层防火墙和VPN等功能。7、实现网络出口流量的有效管理,保证管理外网核心业务的带宽,控制非核心数据流量带宽。8、内部实现整体网络防病毒体系,实现统一病毒升级和补丁分发。9、对于部分核心业务终端,实现终端的虚拟化,实现核心业务数据统一管理和存储,终端不保留任何数据。XX单位XX网安全加固方案1.1安全建设建议1.1.1总体安全建设拓扑图1.1.2云计算平台本次根据实际需要的服务器数量:域控2台,证书服务器2台,准入控制5台,DHCP服务器3台
7、共计12台服务器。需要配置六台刀片服务器和一个刀片机箱,为了充分发挥服务器的系统资源和实现高可用选用虚拟化实现。配置windowsHyper-V将刀片服务器虚拟为12台服务器,将域控服务器、证书服务器、准入控制服务器端、Radius服务器两两分别配置为虚拟集群,每台虚拟服务器分配1颗CPU和8GB内存一块硬盘。通过虚拟化集群服务器平台能够实现7*24*356的运行保障。通过虚拟化集群将域控制服务器和证书服务器分别部署在不同物理机上的虚拟集群中,实现物理硬件和系统服务的双重冗余保护。虚拟机服务器后挂载磁盘阵列
8、,为集群提供统一的数据储存平台,同时还能够实现虚拟机之间的快速切换。XX单位XX网安全加固方案1.1.1网络准入控制和终端管理本次部署两台网络准入控制和桌面安全管理服务器端,同时部署两台Radius服务网络准入控制认证代理服务器,通过Radius服务器与域控服务器的证书进行比对,配置一台网络准入控制访客VLAN管理器,实现对来访用户进行管理的功能。首先,通过网络准入控制技术,确保接入网络的电脑终端符合如下要求:1
此文档下载收益归作者所有