通过文章说明赵明遇到的主要问题如下:
网站被***,公司网络断网,
目前主要设备:
其中包含:负载均衡器 1个,Web服务器 2个(一主一备),文件服务器 1个,监控机(只记录日志) 1个,数据库 2个,交换机 1个。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
根据以上要求方案分为土狼派解决方案,学院派解决方案,商务派解决方案,土狼版的方案自然有土狼的精神,问题出在哪里就要在哪里解决,以解决问题为主。学院
版,就是从学术传统解决方案出发,来完成解决方案。商务派的方案就是联系到钱上来看问题。
土狼派解决方案
根据网络图可以说明,赵明的公司不大,所以让赵明公司做到把问题解决,就要在花钱少的情况下,完成公司的基本要求。在成本要求严格的情况下完成。具体方案如下。
该方案的主要目的:
1,
区分办公网络和服务器网络
通过赵明遇到问题,说明办公网络和服务网络都会出现问题。所以,我们要把它们区分开,遇到问题分别对待。应用交换机进行分隔。
2,
加强安全防护
公司有这么多公司级服务器,所以一定要在出口放一个防火墙。防火墙两个主要功能第一,防止******。第二,将内部网络与外部网络分隔开来。
具体方案:
根据方案可以看到,我们可能还需要购买防火墙,核心交换机。下面详细说明防火墙和交换机选择的目的,主要的应用。
防火墙配置及选择:
1,
划分Untrust区和trust区,整合安全策略,将互联网设外untrust区 公司内网设为trust区。
2,
流量分析控制,将服务划分为固定IP,将办公员工划分为DHCP指定地址。基于IP地址的控制。查看每个IP地址接口,流量,主要应用协议等。
3,
审计报警,数据分析完成后,进行接受,拒绝,丢弃等应用。
4, NAT
配置,主要对服务器进行针对性的配置。给服务器相应出口。
5,
防火墙防范常见的***ARP,DDOS,IP冲突,挂马等。
防火墙的选择:
防火墙要有流量控制,审计报警等功能。所以请选择防火墙除了带宽可以足够应用之外,最好是第三代防火墙。
核心交换机配置及选择:
1.
划分VLAN ,服务器VLAN,员工VLAN网段。对该两部分区进行区分。也为以后方便管理。
2. ACL
应用,
a) 财务人员,行政人员,开发人员 不可以访问服务器,防火墙,交换机等
b) IT 人员 可以访问服务器,防火墙,交换机等
c) 除财务人员外,其它人员不可以访问财务部门
3 生成树
配置生成树,保证网络在有环路也可以正常运行。
核心交换机比较重要,所以没能让防火墙做ACL就是希望核心交换机承担更重一些的负担。现在的防火墙很多的时候,真的不如核心交换机让人放心,这只是个人心得。
4 DHCP
员工上网的IP地址要根据用户所在部分进行划分。但服务器要指定IP地址。
核心交换机的选择
现在核心交换机(三层交换机)的功能也很多。但要注意以下几点。
扩展能力:采用模块化结构,必须拥有相当数量的插槽。以适应公司发展变化的网络需求。以可以进行模块冗余。
性能参数:在该设计方案中,对核心工作比较重要,所以根据公司日常流量来选择。
三层交换:核心一定要是三层交换,如果要为四层交换有更多的花钱,我以为没有必要,因为我们选择了第三代防火墙。
还有一些功能,比如QoS,安全性能。可能不是必要的,因为部分可以在防火墙应用。
学院派解决方案
学院派就是要按照传统方法进行,按传统方法的划分就是从哪里区分哪就放防火墙。如果网络比较大就要放防火墙和路由器。但是,我本人太不喜欢用路由器了。因为一些基本的路由,核心就可以完成。如果路由器都是静态路由还好。如果都是动态路由,
debug
时候太困难了。
该方案的主要目的:
将安排
DMZ
区,将网络分为
Internet
区,
Web
服务器区,员工网络区,公司级应用服务器级区。其中员工网络区和公司级应用先放在一起,这里就不多说了。
按照传统理论将网络区分通常要用防火墙,按照传统术方法,需要应用两个防火墙。将
WEB
相关服务器放在
DMZ
区,
DMZ
区服务器到
Internet
策略相对宽松。对公司服务器应该放在相对安全的环境下。所以放在公司网内中。
网络改造后情况
改造后主要增加的设备
根据方案可以看到,我们可能还需要购买两个防火墙,IPS,交换机。下面详细说明防火墙和交换机选择的目的,主要的应用。
防火墙配置及选择:
从Internet到公司的第一个防火墙很重要,所以要有以下的功能。
A 划分Untrust区和trust区,将互联网设为untrust区 公司DM\Z为trust区。
B 流量分析控制,该防火墙作为一个总出口。所以一定要有流量分析。了解公司内网用户的主要行为。
C 审计报警,数据分析完成后,进行接受,拒绝,丢弃等应用。
D NAT配置,主要对服务器进行针对性的配置。WEB服务器相对应的出口。
E防火墙防范常见的***ARP,DDOS,IP冲突,挂马等。主要防止外部的***。
从DMZ区到公司内网的防火墙就要求就不用太高了。只要可以做简单的Policy就可以了。
防火墙配置及选择:
A 划分Untrust区和trust区,将WEB服务器设为untrust区 公司内网设为trust区
B审计报警,数据分析完成后,进行接受,拒绝,丢弃等应用。
C防火墙防范常见的***ARP, IP冲突等。常见内部问题。
交换机配置及选择:
交换机主要起到与服务器的连接的功能,所以不需要有太多的功能,只要质量好一点就Ok了。
但是希望图中原有的机器有以下功能。为了员工网络的安全。
1,划分VLAN ,服务器VLAN,员工VLAN网段。对该两部分区进行区分。也为以后方便管理。
2,ACL应用,
a) 财务人员,行政人员,开发人员 不可以访问服务器,防火墙,交换机等
b) IT 人员 可以访问服务器,防火墙,交换机等
c) 除财务人员外,其它人员不可以访问财务部门
3 生成树
配置生成树,保证网络在有环路也可以正常运行。
核心交换机比较重要,所以没能让防火墙做ACL就是希望核心交换机承担更重一些的负担。现在的防火墙很多的时候,真的不如核心交换机让人放心,这只是个人心得。
4 DHCP
员工上网的IP地址要根据用户所在部分进行划分。但服务器要指定IP地址。
IPS配置及选择:
因看到WEB应用出现了问题所以,WEB常常出现的问题就是挂马,篡改WEB信息。有不少防火墙是有网站安全解决方案。但是,为了更加安全,万无一失传统方案会对症下药。这个样子就比较安心了。网站服务器还是主动的好一些。IPS就比较好一点。
商务派解决方案:
商务派解决方案,一切从钱考虑。从钱考虑就要想到另一个方案。如图:
把公司WEB相关服务器都交给专业的人。比如比较大运营商来做,把自己公司网络做好就好了。因为,看录像了解,公司就赵明一个人,而且也没有专门的制度来管理。如果想针对公司业务进行IT相关管理,专业的人员的费用也很高,而且很可能让公司买很多设备。但是,如果说让专业的人来做专业的事情就好很多。所以选择服务托管方式,或者就用信用好的运营商哪里租用服务器。所以不用对网络进行大量改造。只要把服务给托管就好了。
以上是我想到的主要方案,我本人很实在,方法全部是从用户角度来说。为了避免被人说成软文,所以没有推荐任何网络设备。