第一篇:企业网络建设整体解决方案
大型企业网络工程解决方案,本方案是一个典型的实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a.物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。
c.网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d.操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e.应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2.楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3.楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4.机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5.UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1.应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2.软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3.数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4.OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5.企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6.网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。LanDesk工作站配置和管理工具,利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。本方案是一个典型的大型企业网络工程解决方案,实际工程可以根据需要和可能,参照此方案灵活应用。
一、企业网络设计
(1)主干网设计
采用千兆以太网技术。千兆以太网技术特点是具有高速数据传输带宽,基本能满足高速交换及多媒体对服务质量的要求。易于网络升级、易于维护、易于管理,具有良好的价格比。
传输介质。千兆传输距离500m以内采用50/125多模光缆;千兆传输距离大于500m、小于5000m时采用9/125单模光缆;百兆传输距离2000m以内采用50/125多模光缆;百兆传输距离大于2000m采用9/125单模光缆。
交换机。主干交换机的基本要求:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二、第三交换,支持各种IP应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。
中心机房配置企业级交换机作为网络中心交换机。为实现网络动态管理和虚拟局域网,在中心交换机上配置第三层交换模块和网络监控模块。主干各结点采用1000Mbps连接,服务器采用双网卡链路聚合200Mbps连接,客户采用交换式10/1000Mbps连接。
(2)楼宇内局域网设计
要求采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
(3)接入Internet设计
Internet接入系统由位于网络中心的非军事区(DMZ)交换机、WWW服务、E-mail服务、防火墙、路由器、Internet光纤接入组成。
(4)虚拟局域网VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,既可以防止不同业务的用户非法监听保密信息、又可隔离广播风暴。不同子网的通信采用三层路由交换完成。
各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。每个VLAN是一个子网,由子网中信息点的数量确定子网的大小。
同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
(5)虚拟专用网VPN设计
如果公司跨地区经营,自己铺设专线不划算,可以通过Internet采用VPN数据加密技术,构成企业内部虚拟专用网。
(6)网络拓扑结构。这部分待续
二、网络安全性设计
网络系统的可靠与安全问题:
a.物理信息安全,主要防止物理通路的损坏和对物理通路的攻击(干扰等)。
b.链路层的网络安全需要保证通过网络链路传送的数据不被GG。主要采用划分VLAN、加密通信等手段。
c.网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
d.操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
e.应用平台的安全要求保证应用软件服务,如数据库服务、电子邮件服务器、Web服务器、ERP服务器的安全。
(1)物理安全
机房要上锁,出入人员要严加限制。注意不可让人从天花板、窗户进入房间。
机房电力要充足、制冷要合适,环境要清洁。
从工作站到配线柜的配线应该布在偷听设备接触不到的地方。配线不应该直接布在地板或天花板上,而应该隐藏在线槽或其他管道里。
应该包括诸如火灾、水灾等自然灾害后的恢复流程。如美国911世贸中心崩塌,大多数公司的数据得不到恢复。
(2)防火墙
防火墙应具管理简单、功能先进等特点,并且能够保证对所有系统实施“防弹”保护。一个优秀的防火墙具有内网保护、灵活的部署、非军事区(DMZ)范围的保护、TCP状态提醒、包过滤技术、TCP/IP堆栈保护、网络地址翻译、VPN等功能。
(3)网络病毒
在网络中心主机安装一台网络病毒控制中心服务器,该服务器既要与Internet相连,又要与企业内网相连。该服务器通过Internet每每更病毒代码及相关文件,企业内部网络中的服务器、客户时刻处于网络病毒控制中心服务的监控下,更新本机的病毒代码库及相文件,对计算机的所有文件和内存实施动态、实时、定时等多种病毒防杀策略,以确保网络系统安全。
(4)网络容错
集群技术。一个服务器集群包含多台拥有共享数据存储空间的服务器,各服务器之间通过内部局域网进行相互通信。当其中一台服务器发生故障时,它所运行的应用程序将由其他的服务器自动接管。在大多数情况下,集群中所有的计算机都拥有一个共同的名称,集群系统内任意一台服务器都可被所有的网络用户所使用。
(5)安全备份与灾难恢复
企业信息管理最重要的资产不是网络硬件,而是网络运行的数据。
理想的备份系统是在软件备份的基础上增加硬件容错系统,使网络更加安全可靠。实际上,备份不仅仅是文件备份,而是整个网络的一套备份体系。备份应包括文件备份和恢复,数据库备份和恢复、系统灾难恢复和备份任务管理。
(6)网络入侵检测、报警、审计技术
入侵检测系统(IDS-Intrusin Detection System)执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
常见的IDS产品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、启明星辰公司的天阗、上海金诺的网安、东软的网眼等。
(7)局域网信息的安全保护技术
密码采用9位以上,每周修改1次
采用多层交换网络的虚拟网划分技术,防止在内部网监听数据
采用NTFS磁盘分区加密技术,使网上邻居只能是信任用户
采用Windows域控制技术,对网络资源实行统一管理
采用SAN(Storage Area Network存储区域网络)与NAS(Network Attached Storage网络连接存储)保护数据。
SAN技术允许将独立的存储设备连接至一台或多台服务器,专用于服务器,而服务器则控制了网络其他部分对它的访问。
NAS将存储设备直接连接至网络,使网络中的用户和网络服务器可以共享此设备,网络对存储设备的访问则由文件管理器这一类设备进行管理。
利用SAN结合集群技术提高系统可靠性、可扩充性和抗灾难性;利用NAS文件服务统一存放管理全公司桌面系统数据。
(8)网络代理
采用Proxy对访问Internet实行统一监控。限制用户访问的时间、访问的内容、访问的网址、访问的协议等等,同时对用户的访问进行审计。
(9)邮件过滤技术。
采用具有过滤技术邮件管理系统,一般是针对“主题词”、“关键字”、“地址(IP、域名)”等信息过滤,防止非法信息的侵入。
(10)重视网络安全的教育,提高安全意识。
三、综合布线与机房设计
1.把服务器、UPS、防火墙、路由器及中心交换机放置在中心机房,把各子系统的配线柜设置在各子系统所在的楼层。
2.楼宇间光缆敷设
采用4芯以上的单模或多模室外金属光缆架空或埋地敷设。
3.楼宇内UTP布线
采用AMP超五类UTP电缆、AMP超五类模块、AMP信息面板、配线架、AMP超五类UTP跳线实现垂直系统、水平子系统、工作区的布线。
4.机房装修
(1)地板。铺设抗静电三防地板,规格600*600*27,板面标高0.20m,地板应符合GB6650-82《计算机机房用活动地板技术条件》
(2)吊顶。轻钢龙骨铝合金架顶棚、顶部矿棉吸声板饰面。
(3)墙面。涂刮防防瓷、墙壁面刷乳胶漆。
(4)窗户。加装塑钢推拉窗、木制窗帘盒、亚麻竖百叶窗帘。
(5)出入门。安装铝合金玻璃隔断推拉门。
(6)照明。采用高效格栅双管日光灯嵌入安装。
(7)配电。机房配电采用三相五线制,多种电源(动力三相380V、普通220V和UPS输出220V)配电箱。为UPS、空调机、照明等供电。配电箱设有空气开关,线路全部用铜芯穿PVC管。
(8)接地。根据要求设计接地系统,其直流接地电阻小于1Ω、工作保护地和防雷地接地电阻小于4Ω。为保证优良的接地性能,采用JD—1型接地和化学降阻剂,此外,考虑机房抗静电的需求,对抗静电活动地板进行可靠的接地处理,以保证设备和工作人员的安全要求。
(9)空调。主机房3P柜机;分机房1.5壁挂式空调机。
5.UPS后备电源。
采用分散保护,集中管理电源的策略,考虑APC公司提供的电源解决方案。
四、企业网应用系统
1.应用服务器。IBM服务器首选,当然,也可以采用高档PC机,PC机的优点是便于更新换代。
2.软件平台。采用Windows 2003(主要使用Domain域控制器,集成DNS服务),Redhat 9.0,Solaris 9.0(在unix/linux上运行Oracle数据库,SAP/R3系统,基于Lotus Domino/Notes的OA系统)
3.数据库系统。采用Oracle大型数据库,或SQL Server2000数据库。
4.OA办公系统。基于Lotus Domino/Notes的OA系统,Lotus Domino集成Email/HTTP等服务。
5.企业管理综合软件ERP。采用SAP/R3系统,一步解决未来企业国际化问题;或是用友ERP—U8系统。
6.网络存储系统。
五、网络系统管理
1.交换机、路由器管理。设备均是Cisco产品,使用Cisco Works 2000。
2.网络综合管理。HP OpenView集成网络管理和系统管理。OpenView 实现了网络运作从被动无序到主动控制的过渡,使IT部门及时了解整个网络当前的真实状况,实现主动控制。OpenView系统产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
3.桌面系统管理。LanDesk工作站配置和管理工具,利用它的远程控制、远程软件分发和软件计量功能可以节省大量的时间。
第二篇:石化企业网络整体解决方案
石化企业网络整体解决方案
发挥作用
关键词:网络 方案 石化企业
随着科技的迅猛发展,石化企业越来越广泛地采用信息技术,使其成为挖潜增效、赢得市场竞争胜利的重要途径。网络整体解决方案是石化企业信息化工程的重要基础设施,其目标是建设一个先进、可靠、安全的信息通信平台,支
持数据、话音和图像交换,实现传真、图片和电视会议等多种通信业务,覆盖所有网络应用,并具有完备的网络管理系统,能为用户建立面向未来的信息高速公路。
一石化企业网络建设目标
1.石化企业流程特点
石化以原油和天然气为主要原料,生产出燃料、润滑油、石蜡等产品,满足社会需要,同时谋求企业最大经济效益。其流程是连续生产,规模宏大,由许多内部复杂关联的单元操作模块组成,单元模块间由物料流、能量流及设备的相互连接而组成不同石化过程流程。
2.石化企业数据分类
石化企业网上数据,总体上包括:工艺流程数据、油品质量数据、油品罐存数据、公用工程数据、设备管理数据、经营管理数据和办公自动化数据等。特别是现场生产数据,实时性很强,要求较高通信速率,一般在几秒内刷新几千点以上的实时数据。工业电视监控系统视频则要求每秒25幅画面以上的通信速率,才能保证良好的画面效果。
3.光缆覆盖企业全部区域
到目前为止,石化企业的计算机应用,一般都走过了起步、探索和发展3个阶段,经历了单项开发、微机局域网和管理信息系统建设3个过程。在此基础上的网络整体解决方案,光缆敷设一定要覆盖企业全部区域,才能充分发挥出计算机信息系统在企业生产经营和管理决策上实实在在的重要作用,使企业管理模式有一个较大变革。
4.完成生产和管理各项服务职能
石化企业网络建设目的,是搭建信息应用平台,为生产和管理构造一个适应竞争发展的模式,最大限度提高经济效益。在这个宏观思想指导下,所建立起来的网络系统须能支持完成生产和管理各项服务职能,如生产管理、工艺管理、计划管理、计量管理、财务管理、设备管理、储运管理、工程管理、销售管理、工业电视、视频会议、流程模拟、过程控制优化、电子商务、办公自动化和决策支持等。
5.满足企业CIMS和ERP建设需要
网络系统是石化企业信息化建设的重要基础设施,应从企业全局出发,建成一个高起点、有水平、方便使用和管理、易于升级的网络系统,以期满足企业CIMS和ERP建设需要。其建设原则应定位在:统筹规划,分步实施;集中建设,分级管理;共同开发,资源共享;不断优化,滚动发展。
二石化企业网络建设方案
1.网络设计原则
由于网络技术发展十分迅速,产品更新换代日趋缩短,所以方案设计时须采用先进、成熟技术,确保网络结构、设备和软件具有较长生命周期,保护用户投资。同时,要兼顾产品性价比,以适应石化企业信息应用发展需要。网络应充分设计的重要因素:(1)网络实施可行性;(2)性能优异性;(3)使用方便性;(4)可靠性;(5)安全性;(6)生存性;(7)可管理性。
2.主干网类型
主干网连接各部门局域网网段,连接企业级服务器及各种远程网络设备,负责处理网间数据量传输,是石化企业全网数据交换枢纽。为此,要求主干网具有高速交换数据能力、良好技术升级特性和较强稳定可靠性,同时支持多种网络环境、通用网管协议和向未来网络技术平滑过渡。网络主干设计不仅要考虑结构合理,有利于网络分段(分组)、性能优化和安全控制,同时还要考虑原有网络基础设施的充分利用,方便日常维护。目前,石化企业主干网的选型,多以ATM和星型结构的千兆快速以太网为主流。
3.网络模型确定
网络模型是指在确定网络(以太网、FDDI、ATM、快速以太网络等)技术以及网络速率基础上,网络设备、网段的连接方式。就石化企业来说,分公司和下属二级生产企业的信息点总和约几千点,大体可分成3层:第一层为核心层,位于分公司计算机中心机房;第二层为中心层,位于下属二级企业计算机中心机房;第三层为接入层,包括分公司机关处室、下属二级企业管理部门及车间办公室和仪表控制室。核心层是网络高速交换主干、整个分公司信息管理枢纽,应具有高性能、高可靠性和3层交换的能力。中心层是下属二级企业生产数据管理中心,应具有较强数据交换能力,支持3层交换,基本解决二级企业路由,使二级企业信息管理相对
独立,同时减少了分公司核心交换机数据处理压力。接入层为最终用户,是10/100M交换式以太网端口到桌面。
二级企业网络又可分成多级节点拓扑结构:其计算中心为中心节点;1000M主干抵达地为一级节点;企业领导层、单独组网的主要处室(如财务处、机动处、销售处、人事劳资处等)和车间办公室为二级节点;非独立组网的机关处室、仪表
室和车间下属各组为三级节点。节点选择原则有3条:重要程度、地理位置、所管理工作站数量。
对石化企业来说,生产管理的一个十分显著特点,是需实时监控生产装置的流程参数和动态了解公用工程物料能耗数据。对仪表室DCS和微机监测系统采集信息的上网,应通过单设的工控机实现,目的是为避免网络部分闪失给生产装置造成不良影响。DCS、微机监测系统和工控机间的数据交换,在软件上通过DDE或OPC实现。
4.网络拓扑结构
地区石化企业网络拓扑结构一般分为两层:分公司层和下属分厂层。分公司层用于构造分公司机关信息系统网络平台;组建连接下属各分厂的网络管控中心;负责和中石油、Internet对外的统一接口。而下属分厂层,作为分公司整体网络组成部分,则应充分满足分厂和分公司信息化的全部需求。其具体网络拓扑结构见图所示。
5.网络设备选型
网络设备(交换机、集线器、路由器、接口卡和网管软件等)的选择原则,是依据石化企业网络拓扑结构要求,参照其功能、性能、容量和价格等综合因素而确定。
在这一网络设备选择原则的指导下,建议选用主流网络设备厂家Cisco和3COM公司产品,因其都拥有全线网络产品,性价比良好,有着强大技术支持和售后服务能力,并对网络扩展和升级不存在后顾之忧,不仅能使石化企业有效解决网络应用问题,且可降低维护成本,提升企业管理水平。以选用Cisco网络产品为例:分公司核心层主交换机可选用Cisco6000系列产品(如Cisco6506);二级企业中心层主交换机可选用Cisco4000系列产品(如Cisco4006),一级节点网络设备可采用Cisco2900系列产品(如Cisco2912、2924、2948),二级和三级节点可采用Cisco2950等网络设备。
6.网络服务器选择
服务器的选择对一个网络系统来说至关重要,它应具有较强稳定性、可靠性、保密性和安全性,同时方便操作和维护,充分考虑系统的扩充和发展。一般来说,系统主服务器可采用档次较高的SUN服务器,其他如生产(实时)数据服务器、Domino(办公自动化)服务器、代理服务器、域名服务器和拨号服务器等则可采用HP服务器。拨号服务器功能主要用于企业内部临时性办公地点以及领导外出工作时上网之用,通过Modem与拨号路由器实现拨号上网的用户对企业内部网络的访问。
7.域名的划分
传统域名的划分采用WindowsNT中WI和D相结合的方式,为系统每台设备都设置域名,不仅增加网络广播信息流量,加重网络负担,降低网络性能,且不利于域名系统的维护。现在修正如下:(1)按照分公司规定域名划分方法进行厂级域名规划;(2)取消WI系统;(3)不对分厂级以下的系统进行域名设置。
8.IP地址的分配
IP地址的划分采用分公司分配的IP地址段,分厂在此基础上进行IP地址的分配。IP地址是企业宝贵的计算机软资源,其合理划分对于网络性能优化、安全管理、正常维护都具有重要意义。IP地址的划分,必须在对网络进行全面调研的基础上,根据网段/子网划分原则、网络安全需求以及未来发展进行科学设计。
9.与Internet连接
随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源,更好服务于生产经营,以获得更大利润,现已变得越来越迫切,访问Internet事实上已成为石化企业网络功能的重要组成部分。与Internet连接,是由接入路由器、防火墙和入侵监测设备组成。为统一管理,Internet对外出口应设在分公司,由其信息中心统一控制和配置资源。分厂作为分公司下属生产企业,它与因特网的连接是通过分公司宽带出口实现的。Internet用户的开户管理和邮件管理等,也统一纳入分公司管理之下,由其信息中心来控制具体实施。如有必要,下属分厂也可根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(DHCP)。
10.网络管理软件
网络管理是确保网络正常工作的重要手段,它决定某一特定段信息量,管理一个应用应怎样使用客户内存,以至跟踪某台特定设备的工作是否正常。网络管理一般包括流量、应用程序和设备管理。如Cisco网管软件CiscoView,能出色地承担起网络管理职能;3COM公司Tracend网管软件,也可为该公司的互连设备提供动态网络配置信息和运行状态信息,具有强有力的监视功能。
11.防火墙和防病毒
确保网络安全的基本方法是采用防火墙。简单讲,防火墙是用来控制信息流,通常防火墙都设置在网络基础设施的入口或出口。目前有3类包含不同过滤特性的防火墙:包过滤、网络过滤和应用网关。在确定选择防火墙时,应首先检查环境中可用的信息流控制,主要指通信方向、通信来源、IP地址、端编号、认证和应用内容等。Cisco公司SecurePIX和CA公司的eTrustFire防火墙产品,都具有相当好保护性能,用以保护整个网络业务资源。防火墙设置应由分公司统一设置。
计算机病毒给网络应用带来了相当大的威胁,在网络环境中的防病毒措施与在单机环境下有着很大程度的不同。在网络系统中,须根据对病毒流入网络系统根源的分析,制定全方位、多平台网络防病毒方案。目前部分石化企业采用网络版NortonAntiVirus(企业版),定时对全网络用户查毒杀毒,收到较好效果。
12.数据备份
石化企业的生产、经营、管理和决策数据大都存储在网络环境的服务器中,网络数据安全性极为重要,一旦被破坏或丢失,将对企业正常运行带来重大影响,甚至造成难以弥补的损失。因此,数据备份是网络建设中不可缺少的组成部分。在传统磁带数据备份基础上,适时推出的NAS(网络连接存储)和SAN(存储区域网络)技术,正成为网络数据备份的主流。
三石化企业网络建设环境
1.机房环境设计
好范文版权所有
(1)温度:夏季22℃±2℃,冬季20℃±2℃;(2)湿度:45~65;(3)照明:距地面0.8m处>300Lx;(4)噪声:<70db;(5)电磁:≯800A/m。
2.系统供电设计
(1)电压波动范围-5~ 5,频率变化范围-0.2Hz~ 0.2Hz,波形失真率≤±5;(2)采用U,其容量选用设备容量之和的1.5倍。
3.系统防雷击设计
需配置有效的防雷击隔离器(GB50174-93计算机机房防雷设计规范)。
4.接地设计
(1)交流工作地的接地电阻≯4Ω(2)安全保护地的接地电阻≯4Ω(3)信号地和屏蔽地的接地电阻≯3Ω(4)防雷保护地的接地电阻≯4Ω。
四石化企业网络建设实施
1.符合实际的路由设计
符合实际的路由设计是企业网络系统成功的基础。路由设计是一件十分细致的工作,在大量和反复调研基础上,完成详尽的文档,包括路由走向图和路由明细表。它遵照网络拓扑结构的具体要求,结合企业地理环境的具体情况,因地制宜地采取合理路由方式。路由设计首先考虑利用现有电话通信水泥管井,然后利用仪表和计量槽盒,最大限度减少地下直接掩埋或架空敷设。
2.采用结构化布线
先进的网络系统很重要的一点体现在网络的结构化、合理化、规范化上,以免制约企业网向更高层次的网络建设发展。石化企业网络一般分为建筑群间和楼内布线。公司和分厂之间,以及厂区内的主干,采用光缆;办公楼以及车间内部,铺设超五类双绞线。光缆敷设要根据现场实际情况因地制宜采取合理方式。在网络介质选择上,1000M主干采用单模光纤,其他网段采用多模光纤,为保证网络安全和可靠运行,单模光纤使用6芯(2/3作为备用),多模光纤使用4芯(1/2作为备用)。
3.充分利用原有网络资源好范文版权所有
石化企业的计算机应用工作起步较早,各单位网络建设也都实现了不同程度的应用。现在所提出的网络整体方案,一定要考虑充分利用原有网络资源。其利用是多方面的,光缆、用户工作站、集线器都可利用,交换机也可降级利用。这不仅仅是资金上的节省,而且也是人们心理上的期望。
4.工程组织和实施
(1)组织管理
项目工程领导小组、光缆敷设管理小组、网络性能优化管理小组、网络安全实施管理小组、文档资料管理小组。
(2)进度安排
设备采购、光缆敷设、设备安装与调试、系统联调及试运行、系统性能技术测试、交付文档资料、项目验收。
(3)质量管理
(a)项目工程领导小组,负责项目方案敲定、人员安排、进度掌握和甲乙双方间的协调;
(b)光缆敷设管理小组,负责光缆敷设,确保工程遵循技术规范、按照进度时间要求完成施工;
(c)网络性能优化管理小组,负责工程竣工前对网络性能测试,并进行优化调试;
(d)网络安全实施管理小组,负责实施网络安全策略,实现防火墙和防病毒的落实,确保网络安全和保密;
(e)文档资料管理小组,负责提供完整和实用的文档资料,以备网络日常的管理和维护。
(4)费用预算
光缆及网络交换设备费用、光缆敷设工程费用、网络管理软硬件费用、网络安全管理软硬件费用、网络防病毒软硬件费用、网络性能测试费用。
(5)技术培训
(6)测试验收
(7)文档资料
工程进度一览表、网络拓扑结构图、光缆敷设路由设计图、网络域名划分表、网络IP地址分配表、硬件接线明细表、光缆布线工程测试报告。
第三篇:网络印刷整体解决方案
网络印刷整体解决方案
背景
近年来随着互联网行业的飞速发展,以及市场对电子商务的熟悉及认可,网络印刷也越来越多地被市场认同。仅淘宝网每年的印刷业务量就高达28亿元,加上大宗电子商务印刷实现总产值超过400亿。其中以商务短版印刷为主。凭借计算机技术的发展以及网络电子商务的普及,网络印刷正以每年超过200%速度递增,预计2012年底全国网络印刷占比将达到8%。欧美电子商务印刷起步较早,占整个印刷行业的比例高达78%,并开始朝着个性化、数字化、立体化方向发展。
印刷企业面临多重挑战:
1、反复报价、售前工作量繁重。
2、成交率低、报价单和成交量比例严重失衡。
3、文件传输工作混乱。
4、市场需求模糊,属于被动型销售,业务量过山车变化。
5、客户管理失控(容易出现飞单现象)。
简介
协发网络印刷系统是协发网(深圳市协发科技有限公司)针对印刷、广告、设计行业推出的网络印刷整体解决方案。它涵盖了网络印刷自助报价、在线下单与订单管理、在线名片设计、在线上传文件、在线交流、会员管理、发货单管理等印刷中的绝大部分环节。协发网络印刷系统是互联网与传统印刷行业相结合的产物。
系统优势
协发网络印刷系统提供四大工具可以助力印刷企业实现质的飞跃:
一、印刷自助报价。
二、在线设计。
三、完善的订单流程
四、完善的客户管理。
总之,以自助报价为基础,以在线设计为导引,加上完善的订单流程和客户管理,构筑网络印刷核心竞争优势。
系统组成与功能
1、协发印刷自助报价系统:
只需选择或输入印刷品相关的纸张尺寸、纸张类型、印刷色彩、过胶、UV、啤型、装订等各种不同的参数要求,协发印刷自助报价系统就能自动算出成品印刷价格。由于印刷品种类繁多,不同种类的报价计算方式差异很大,因此协发印刷自助报价系统同时支持多种常用类别印刷品报价,通常包括:名片、贺卡、彩页单张、画册、快印、封套、纸袋、PVC卡、信封、信纸、联单、餐台纸、酒水牌、彩色不干胶、专色不干胶、菜谱、胶袋、挂历、台历、环保袋等。用于前台用户来说,无需下载安装任何软件或插件,所有的报价通过浏览器可以轻松实现。
协发印刷自助报价系统
2、协发在线名片设计系统
传统名片设计一般需要专业设计人员使用专业名片设计软件如Coredraw,Photoshop等进行。随着互联网和网络印刷的发展,出现了协发在线名片设计系统,无需专业知识和技能,无需安装任何专业软件或插件,通过浏览器即可输入、移动文字、上传图片或背景,并实现“所见即所得”,轻松完成名片设计。
协发在线名片设计系统具有如下优势:
1、轻松设计,高效实用。无需专业知识和技能,通过大量的分类模版和完善的在线名片设计功能,普通用户可以轻松设计出专业水准的名片。
2、使用方便,安全可靠。无需安装任何专业软件或插件,一切都在浏览器上完成。用户只要能上互联网,即可轻松完成设计,且无需担心病毒软件或插件。
3、可自动直接生成印刷用的pdf文件和JPG缩略效果图。通过和网络印刷系统的对接,印刷公司可为客户提供极有竞争力和高用户粘性的服务。
4、完全兼容Internet Explorer(IE,包括以IE为内核的其它浏览器,如360浏览器、搜狐浏览器等)、Chrome、FireFox(火狐)等各主流浏览器。
5、支持模版分类与数量无限扩充。
6、通过协发在线名片设计系统,印刷公司可为客户提供具有独特竞争力的服务,以开创彩色名片印刷的蓝海,避免陷入低层次价格战。
7、支持百度账户、QQ账户等开放平台账户直接登录,无需另外注册。方便用户,并直接吸引各开放平台现有的海量用户,让网站流量和客户暴涨。
8、具有完整丰富的在线设计功能,包括文字、图片、背景、线条、色块、文本分行与整体移动,完全由用户自主控制,是当前技术最先进的在线名片设计系统。而不是像有些简单的“系统”只能改文字,其它都是不能变的。
9、模块化结构,可灵活扩充。可以很方便的升级到完整的协发网络印刷系统,也可以和印刷公司现有的网站对接。
协发在线名片设计系统模板及分类
协发在线名片设计系统设计界面
3、协发在线文件智能传送系统
协发文件智能传送系统是一种针对经常性大量电子文件传送需求(如印刷、广告、菲林输出等行业)开发的在线系统。它可以让用户通过互联网在线上传文件,服务器端自动接收并智能分类管理,并自动推送到指定电脑终端,从而实现7*24小时无人值守文件传送与接收功能。
4、协发在线订单管理系统
协发在线订单管理系统提供在线下单、订单状态追踪等功能。
5、协发发货单管理系统
协发发货单管理系统提供自动根据订单(可多个订单自动合并)生成发货单、快递单打印等功能。
6、协发在线交流系统
协发在线交流系统提供双向在线反馈交流的功能。
第四篇:网络营销-企业网络营销整体解决方案
网络营销-企业网络营销整体解决方案
网络营销的概念简单说就是充分利用网络资源进行企业产品和服务的营销。网络资源是指形成互通联系的人力、物力、资金、产品、技术、信息及社会团体组织等的存在关系。当今人们通常所指的网络营销是狭义的互联网的网络营销(以下简称网络营销),是企业网络营销其中的一种营销含义。
网络营销并不是所谓的网络推广和网络信息发布,在互联网上进行的信息发布与推广仅属于网络营销整体解决方案中的其中一项。我们把网络营销的整体方案解析为十个步骤如下:
网络营销整体解决方案第一步:分析互联网媒体的推广发布运行方式。
1、互联网的种类分析。如:新闻网类别、行政网类别、社会团体网类别、文化教育网类别(包括学校)、影视娱乐网类别、社会综合网类别(如新浪等)、商务综合网类别(电子商务等)、行业网类别(电子商务,包括行业产业、商业流通、服务业、物流、金融及等)、电子邮箱类、家庭个人网及非常网等。
2、企业网络营销分析:互联网电子商务分析。如广义的电子商务则将利用包括Internet、Intranet(企业内联网)和Extranet(企业外联网)等各种不同形式网络在内的一切计算机网络进行的所有商贸活动都归属于电子商务。按交易对象分类,可分为企业与企业之间的电子商务(B2B模式)、企业与消费者之间的电子商务(B2C模式)、企业与政府间的电子商务(B2A模式)、消费者与政府间的电子商务(C2A模式)等四种类型。
3、电子商务网站的运行推广分析。主要两种:一是搜索引擎,二是自我发布(略)。
第二步:了解电子商务载体推广发布的能力与效果。
第三步:选择电子商务载体的组合、套餐等是否适合企业,找出最佳途径。
第四步:投资价值分析(包括综合,专业网的推广费用和回报比较)。
第五步:起草拟定网络营销计划(包括推广发布计划和网下营销配合计划)。
第六步:培训企业内部的企业网络营销专员(包括电话营销培训,重点是沟通技巧)。
第七步:制定网络营销的阶段计划(如开始三个月通过推广发布整合市场资源,修正和调整目标客户及潜在客户的裆案,并制定跟进计划等,二阶段、三阶段等发展巩固措施等。)
第八步:重组网络营销构架,达到更优化目标(包括网上网下配合分工划区,立体网络营销模式的应用等)。
第九步:企业网络营销的策划跟进和企业整体战略的调整与实施。
第十步:总结企业网络营销运行与效果,明确下一个PDCA循环。
网络营销整体解决方案:网络营销推广方面主要采取三种模式
1、综合电子商务门户网站的搜索引擎模式:例如百度、雅虎、谷歌、阿里巴巴、慧聪、当当、通用、一搜等网为综合搜索引擎,他们一般都是通过注册关键词,通过大型的电脑服务器技术利用中文自动归类进行相关企业或者行业的搜索。
这种模式优点是通过互联网的大量信息资源整合为你需要的类别,然后用户在类别里查找需要的信息。
缺点是:如果你搜索的类别很大,或者一个关键词多家注册,你所查找的目标排列到几百名甚至几千名之后,一般每个页面局限10家发布,你要翻查数页也会找到,用户很难有耐心。因此,各大综合门户就开始了让用户购买关键词排名的方式把你要发布的关键词进行竞价,谁出的费用多谁就排在前面,这样用户搜索你类别在第一页就找到了你。但是用户的鼠标每点你一次你就要支付一次费用(按照每台电脑的一个IP地址算一次,这样避免恶意用户不停点击)。如果你一个信息注册了很多个关键词(为扩大用户查找你的概率),你所付出的费用就越大。
综合门户的另一个发布模式是在综合网站上内部搜索,即把网页设置了静态展区和网店,用户查找类别直接到达行业的类别里找到你所要的目标,里面有大的行业,小的行业等,大的行业也要购买排名才能直接在第一页找到。例如:阿里巴巴、新浪、网易、腾讯、慧聪、当当网等。
2、专业门户网站的行业引擎模式:如食品、服装、日用品、建材、化工等行业门户,他们通过行业自行推广和通过综合门户推广的方式来发布行业甚至细分小行业的信息。
这种模式的优点是专业性强,通过把行业的大类自行归类,把行业企业全部经过人工登记注册,不用关键词搜索归类。这样避免了因为企业没有中文注册网站就不能被大型自动搜索到的问题。同时以销售服务为主体的行业可以用多动态的推广模式把推广对象打包推广到各大小数以千计的网站上,这一点是综合门户网做不到的,除非大门户放下以品牌为身价的大架子,在网络竞争的目前阶段是不会这样做的。另外在商业渠道方面,用户非常愿意到专业市场买卖产品,不会去杂货铺或者综合市场买卖,试想,谁买服装特别是想大宗采购不到服装大市场而去到综合市场买卖呢?有些行业网站为了大量搜集和发布信息资源不惜代价在推广方面和整合营销方面获得用户信赖,国内目前这样做的有中国化工网、中国服装网、中国食品产销网等。
缺点是:网络处于发展初期时,人们愿意凑热闹,都愿意到人群集中的大众区寻找目标,行业还没被大众重视,一些个别行业还没具备大量信息资源,用户找不到最希望的目标,同时个别小行业网站采取静态发布(不舍得费用到各综合网上推广)在自己网上的信息没有广泛推广,入会企业没有什么效果。
3、小门户网站及网店模式:如服装店,电子玩具、各种服务产品通过综合网和专业网连接推广模式。
这种模式的优点是大众服务,从小做起,比较灵活。一个小的店可以把不同的多种产品推广买卖,可以通过各家小店进行互补品类和地区服务,对于直接消费者提供了方便。这种模式做的比较成功的是阿里巴巴网店交易,主要是通过支付宝完成信誉支架的。
缺点是:只局限于小范围小商户和个别消费者的服务。同时,这种模式在消费者心目中的地位和信誉还不够,很难达成批量交易。不太适合企业推广。
网络营销推广费用和效果
网络营销推广主要是通过互联网平台进行广告。目前中国有2000多家电子商务网站,其中,大型综合网站有30多家,大行业网站有100多家,子行业和小型推广网站有1000多家。工商业和服务业的企业就达1000多万家,其中企业自行建立网站有几十万家。在这样一个网络的海洋里,企业要把自己推广出去,同时还要达到营销目的,应该说不懂得网络结构和网络营销的解析是很难达到目的的,即使盲目投入了很多费用也未必达到营销效果。对此,我们要对网络营销途径作出准确的选择。通过后面的网络营销解析图比较你就不难发现,你如何选择推广,而且只有推广是远远不够的,推广不能代替营销;推广只是让人家知道,营销是让人家与你建立买卖关系。所以,我们选择推广的同时也要选择营销效果。以下我们从网络营销推广费用和营销效果的综合比较中来判断,然后你再作出选择!
1、选择大型综合网站推广要看该网站是否是自动搜索引擎,自动搜索引擎和网站内搜索不是一回事,前者是用企业中文注册网站的关键词自动搜索归类,后者是用网站内部的产品归类和企业类别进行小范围的搜索。一般来说,选择综合网站的搜索引擎就选择中国前十大门户比较可行。但是这些仅仅限于推广,让大众都知道你和你的产品在那里,一些行家是不通过这种方式来找买卖对象的,处于查找更多的资料来看有必要多搜索一下。这就象你在百货大楼里发现一种新产品或者更多厂家的产品,你可以在这里买样品或零售消费,你不可能在这里批量买了再出去卖,这里是你的信息提供窗口,你要做这个生意一定要寻找专卖行或者行业市场。不难看出,大型综合网络引擎是用户要找的最初信息,是发布推广的大众窗口。
2、选择行业网站推广和营销是行家聪明之举,但也要看这个网站自身的资源是否有动态推广和营销效果。
现在行业网站从经营服务和推广方式上看有四种:
第一种是静态推广网站,主要用自己的网站通过有关媒体推广自己的知名度,甚至通过炒作来宣扬自己如何为合作企业创造了效益等等,这样的网站寿命不会太长。
第二种是动态推广网站,主要是通过与一些综合门户网合作支付一定费用连接自己的网站。这种网站从综合推广效果看比综合网和静态网强了很多,但也仅仅限于推广。
第三种是静态加动态推广网站,主要是把前两种进行综合,其推广效果比第二种更好一些。
第四种是静态加动态的推广和营销等一条龙服务的网站。这一种是最理想的,在中国200多个行业网站中多数强调专业化服务。
3、选择推广费用低和推广效果好的网络媒体是第四种。一般来说,从性价比,企业选择行业推广和营销一定是比较理想的,从推广面看,一般企业在综合一家网站上投入一年假设5万元的推广费,在动态推广的行业网站支付5000元就够了;从营销效果看,一般在综合网上收到的是知名度,很少做成真正的生意,在行业网上能达成联系,但如果没有营销手段也很难做成生意。最后,我们再提示:网络营销包括网络推广在内的4P营销理论在网上和网下的有效结合。最好的捷径会利用网络解析营销推广。
网络营销-网络推广解析图
A:综合网的单一推广模式:
B:行业网立体推广式:
1、综合网站没你,只有一个行业的一个专区有你。
B1、行业网站有你,通过打包推广到综合行业里有你。
2、平面的推广模式,受关键词和排名限制易排后。
B2、立体多面的推广模式,不受限制打包排前名。
3、通过搜索引擎归类,没有营销组合和跟踪服务。
B3、既能综合搜索,也能直通,有一条龙营销服务。
4、大众多、内行少,空间小、费用高,成功概率低。
B4、大众少、内行多,空间大、费用低,成功概率高。
第五篇:【解决方案】Radware电信IDC网络整体解决方案
Radware电信IDC网络整体解决方案 一个典型的数据中心网络拓扑结构图如下图所示:
上述典型的数据中心网络大致由4 部分组成:
网络出口连接部分
网络安全部分
网络骨干交换部分
托管用户接入部分
一、网络存在问题
1.广域网链路存在的缺陷
Internet连接部分是指数据中心通过ISP运营商的链路连接到Internet,用于为数据中心托管用户对外的网上公共信息发布,为Internet 用户访问数据中心提供可靠连接。
链路的单点失效性:采用单一Internet连接链路存在单点失效性,一旦该链路出现故障将造成整个网络的瘫痪;
链路性能的瓶颈:单一Internet连接链路的带宽资源是有限的,无法满足企业内部全体用户对网络访问Internet时带宽不断增长的需求,同时也无法大量的Internet上的用户对企业的访问;
网络安全防护能力弱:目前Internet上的各种各样的网络攻击层出不穷,路由器自身对网络攻击的防护能力非常有限,DOS/DDOS 网络攻击会对广域网络由器产生严重的影响;
2.网络安全防护存在的缺陷
网络安全部分通常由防火墙、虚拟专网(VPN)和防病毒网关设备构成,用于制定内部信息资源的不同访问策略,保护数据中心的应用免受来自Internet的网络攻击。
网络安全设备缺乏高可用性:虽然某些数据中心采用了多台安全设备互相备份的解决方案,解决了单点失效的问题,但这些设备无法同时工作,导致投资严重浪费,备用设备只有等待主用设备失效以后才起作用,投资回报及性价比极低;
网络安全设备性能的瓶颈:网络安全设备由于要对进出网络的数据包进行安全性检查,与网络路由器和网络交换机相比,性能通常会降低很多,例如防病毒设备的网络吞吐量通常只有3-10Mbps。由于安全设备缺乏高可用性,因此网络中的安全设备通常都是制约网络传输速度的瓶颈点。
安全体系架构存在漏洞:防火墙可以基于网络中的TCP、UDP端口对网络流量进行访问控制,并且可以对基于状态的协议进行协议状态检查,因此防火墙通常是在网络第四层上对用户的网络进行保护。但是防火墙无法对基于网络七层中的网络攻击进行防护例如: 蠕虫入侵、病毒入侵、后门攻击。
3.骨干交换及托管用户应用的缺陷
网络骨干交换提供了托管用户的接入,托管用户的应用实现对外WWW等信息发布系统,业务应用系统和后台数据库系统组成。
网络应用的可靠性较差:应用服务器由于服务器硬件的稳定性、流量压力超载、网络攻击等情况经常会出现意外宕机的情况,从而无法保证网络应用的7x24 小时的持续性服务。
网络应用的性能瓶颈:在网络应用系统中,通常会采用多台服务器同时提供服务的方式。但是由于网络中的流量并不均衡,因此经常会出现某台服务器由于访问量过大而宕机,造成网络应用性能的不稳定,从而影响到整个网络应用系统的性能。
网络应用的安全性较差:现有网络中的安全性防护机制的特点是:
现有的安全性防护机制通常是针对来自外网的攻击;
缺乏针对来自内网的攻击防护机制;
现有的安全性防护机制通常是针对整体网络层面的攻击防护,即针对网络IP层、TCP/UDP层的网络4层以下的攻击防护;
二、数据中心网络应用需求分析
1.广域网链路需求分析:数据中心网络出口连接方面的需求-多链路负载均衡技术
目前在国内由于多家ISP的竞争,Internet 接入链路的成本大幅降低,多链路Internet的接入已成为许多数据中心在的选择网络连接方面的需求。因此在数据中心Internet网络出口连接方面将存在如下要求:
提高Internet网络链路的可用性:当网络中心具有多条Internet链路后,应提高Internet网络链路可用性的智慧检查,防止出现由于某一条Internet链路的失效造成整体网络的不可访问。
提高Internet链路的网络吞吐量:提高数据中心的Internet网络链路的吞吐量,申请多条Internet链路。
提高Internet网络链路的抗网络攻击的能力:Internet上的各种各样的网络攻击首先影响的将会是Internet网络链路,因此应加强在Internet链路上的攻击防护。
2.网络安全防护需求分析:网络安全方面的需求-防火墙、IDS、防病毒设备负载均衡技术的需求
为了保证数据中心的网络在网络安全防护方面的高可用性、高性能和安全性,数据中心在网络安全方面的需求可以分为以下几部分:
提高网络安全设备的可用性:网络中应具备安全设备的的可用性检查,避免单一的网络安全设备的单点失效性。
提高网络安全设备性能:在网络中采用多台网络安全设备,避免网络安全设备带来的瓶颈,提高网络传输速度。
完善网络安全体系架构:各种各样的网络攻击层出不穷,导致防火墙的负荷在不断提高,再相对于网络物理带宽的大幅度提高,防火墙逐渐成为了网络的瓶颈,本案希望使用一组(2个以上)防火墙采用负载均衡技术提供安全服务,以提升性能。
3.网络应用需求分析
网络应用方面的需求-应用服务器负载均衡技术的需求
为了保证数据中心的网络应用的高可用性、高性能和安全性,数据中心的网络应用存在下列需求:
提高网络应用的可靠性:自动的网络应用可用性检查,保证网络应用的7x24 小时的持续性服务。
提高网络应用的性能:如果网络中仅有单台服务器提供网络应用的服务,很难保证网络应用的性能,可以考虑增加相应的服务器数量,配合负载均衡技术来提高网络网络应用的性能。
网络应用的安全性较差:制定针对具体的、特定的网络应用的特点而专门制定的基于网络7层防护的安全性防护机制;
4.提供差分服务(增值服务)的需求
数据中心应该能根据托管用户的经济能力提供差分服务,以提高市场竞争力。
三、Radware解决方案
根据大型数据中心网络应用现状分析和用户的需求分析,结合Radware产品的技术实现和特点数据中心方案设计,如下图所示:
Radware解决方案简介:
建议在数据中心网络各层面上共采用了12台Radware的设备,其中包括: 2台DefensePRO(通过端口静态绑定,最多可以虚拟成11台设备),2台LinkProof、2台FireProof、2台CID、2台WSD、2台CT100。
LinkProof实现多链路的负载均衡和防火墙的负载均衡
如上图所示,我们建议在网络接入处,部署LinkProof,实现对多条internet接入链路(最多100条)的负载均衡,可以同时实现outbound流量(内部办公用户访问internet)和inbound流量(internet用户访问数据中心内部服务器)双向的负载均衡。同时使用Radware专利技术动态就近性来保证进出的双向流量的智能的动态的就近性选择,大大提高用户访问的服务质量和访问效率。LinkProof可以配合FireProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
我们建议的安全解决方案部分,包括3款产品,DefensePro,FireProof,CID,每台设备简要功能描述如下:
DefensePro实现实时的攻击防御:部署DefensePro,可以识别并实时抵御1500多种蠕虫、病毒、DOS攻击和异常的流量模式,保护内部用户和服务器的安全。
FireProof实现防火墙的负载均衡:部署FireProof,配合LinkProof实现多台防火墙(最多100台)的负载均衡,防火墙可以是不同厂家,不同型号,不同性能,大大提供防火墙的扩展性和可用性。
CID实现cache服务器、防病毒网关负载均衡:CID位于FireProof和核心交换机之间,与组织内原有的Cache,防病毒网关等内容检测安全设备协同提高服务质量。一方面把如上设备由inline方式改名为CID的旁路方式,减少了网络的单点故障。另一方面,CID实现对多台设备的负载均衡,保证了该类网络设备的高可用性,高扩展性和高性能。
CID部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的Cache重定向服务,保证高级用户的WWW服务响应速度;还可以为高级用户制定防病毒服务,使得高级用户可以免遭病毒的攻击,而普通用户的数据则由CID透明传输,不经由Cache 服务器或防病毒服务器,只享受普通的业务托管服务。
我们建议的应用解决方案部分,包括2款产品,WSD,CT100,每台设备简要功能描述如下:
WSD实现服务器的负载均衡:WSD位于核心交换机和各种IP应用服务器之间,主要实现所有基于IP协议的各种服务器的负载均衡功能,通过部署WSD,可以实现服务器业务的7*24不间断的运行和保证业务的最佳服务器质量,从而实现了服务器所承载的业务的100%的高可用性和高性能。WSD部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的服务器负载均分服务,保证高级用户的服务响应速度及应用可靠性。
CT100实现SSL加速和HTTP(HTTPS)页面的加速
SSL加速功能:CertainT 100与WSD配合,为用户提供SSL加密加速服务。利用WSD 的负载均衡可以使Web服务器摆脱密集型处理的SSL密钥交换和加密/解密功能。为应用处理释放了服务器资源,使服务器的性能提高200倍以上,并且使服务器的投资发挥最大效益。
HTTP(HTTPS)页面的加速:CertainT 100通过WEB压缩和HTTP连接复用技术,大大提升internet用户对服务器的访问速度。较大地节省了internet的接入带宽,大大地降低了WEB服务器的处理资源消耗。
CT-100部署在这里,还可以为数据中心实现差分服务,使得数据中心可以为用户提供可选择的SSL加速服务和HTTP压缩服务,保证高级用户的服务响应速度。对于普通用户而言,CT-100则不起作用,普通用户的SSL加解密都放置到其服务器中完成。
四、方案中Radware详细技术介绍
DefensePro -实现入侵和DOS攻击的实时防范 Radware DefensePRO的功能描述
1.第一手防御
2.入侵实时防范
3.全部实时防范DOS攻击
4.强大的设备管理和安全管理
DefensePro 是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro 会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware 安全数据库中的1500多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。当检测到恶意活动时,DefensePro 可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
DefensePRO的解决方案的优势
从防火墙、VPN 网关、IDS 到防病毒网关,安全市场集结了各式各样的安全工具。但是,目前应用级层的攻击在当今的网络攻击中占了绝大多数,为了抑制这些攻击,需要千兆位元的实时防御入侵和DOS攻击的IPS设备。作为业界领先的实时防御设备,Radware的DefensePRO与其它同类IPS的解决方案相比,有如下优势:
1.3Gbps性能
DefensePro 是业内唯一兼具了3Gbps 的安全性能和应用安全智能的产品,它可以保护从网络层直到应用层的所有网络化应用。DefensePro 独具的多层安全架构组合了数种攻击检测机制,它们联同高级的防范工具,如DoS Shield、SYN cookie和应用安全模块一起,提供了对恶意攻击和DoS攻击的完全防范能力。
2.部署简便
简单的嵌入式安装-,借助DefensePro 的透明性,可将它无缝地集成到任何网络环境中,从而不必对网络设置、网络拓扑进行任何更改即可实现实时保护。
3.多网段防护实现攻击隔离
DefensePRO具有IPS业界最高的端口密度,通过把物理端口两两划分,可以使用单个设备保护多个网络段,从而实现实时的投资回报。通过多网段的防护,使网络入侵和攻击被限制在一个个网络区段之内,不致于因为单台计算机发出的蠕虫、病毒和DoS 攻击传播到其它用户和网络段中。
4.设备自身的安全性
DefensePRO的业务端口不设置IP地址,相当于一条智慧电缆,这种透明性保证了设备自身的安全性,因为用户无法了解网络中是否有该设备。所以也就无法对DefensePRO本身实施攻击。
5.保证关键任务应用的服务质量
通过DefensePRO精细的流量控制策略,可以保证关键任务应用获得较高的服务质量,同时限制非业务应用(如P2P 应用)所占用的带宽。
6.快速更新
Radware DefensePRO在拦截的攻击特征库更新速度方面,在安全产品业界处于领先地位。安全市场需要一种能用数千兆位元的速度对所有网络流量进行双向扫描并且可以实时防范应用级别攻击(比如蠕虫、病毒、木马和Dos 攻击)的内置安全解决方案,无疑已成为当务之急。Radware 看到了这种需求。作为首个可针对实时隔离、拦截和防范各种攻击提供数千兆位的数据包深入检查速度和特征比较速度的安全交换机,DefensePro 满足了这种需求。
Radware 多链路解决方案的优势 1.提高Internet网络链路的可用性
全路径健康检查:检测ISP链路的可用性,即健康状况,LinkProof提供了全路径健康检查的功能,最多能够完成10跳路由健康的检测,从而保证整条数据链路的通常,提高服务质量。
故障恢复和预热定时器:LinkProof提供故障恢复和预热定时器,用户可以自定义定时器的延迟时间,从而确保将会话定向到稳定的ISP链路。一旦ISP恢复正常,LinkProof能逐渐增加发送到该ISP的流量。
冗余配置:LinKProof使用Radware已被证明的冗余机制,其中设备的状态监视通过网络来实现,从而祢补了设备故障和网络故障。
2.提高Internet网络链路的性能
就近性(Proximity)
就近性检测方法:对于流入的流量,LinkProof使用与流出流量相同的就近性判断机制。LinkProof考虑路由的跳数、路径的延迟和负载状况来进行对每个访问发起点的就近性运算,选择最佳的流入流量传输路径,进行最终的解析地址。
优化就近性检测方法:可根据各个环境的独特需要方便地自定义就近性检测方法。这种自定义包括多种操作,比如增加分配给动态就近性表的内存、更改动态就近性表的内容有效期、为Radware 就近性设备提供DNS 名称以及仅使用静态就近性表等。
流量分组
流量分组使得LinkProof可以根据不同类型的流量而选择不同的链路。网络管理员可以根据目标地址、源地址和应用类型定义流量组。这使得流量分配更加灵活和方便。
3.提高抵抗攻击的能力
Radware Linkproof 在加载了SYNAPP II/III后,可以有效地防御黑客入侵及抵抗DDOS 攻击。应用安全模块可以保护 web 服务器免受 1400 多个攻击信号的攻击。此模块的设计使它可以作为 Radware 设备管理的各种资源前面的另一道防线,这些资源包括服务器、防火墙、cache 服务器或者路由器。此模块使用网络信息和基于信息的应用。通过终止所跟踪的可疑会话来实时检测和阻止攻击。在任何管理设备上都不需要使用软件代理。
FireProof ―实现防火墙负载均衡和IDS的负载均衡
1.高可靠的容错与冗余确保最长运行时间
2.独特的负载均衡算法确保防火墙的最佳性能
3.最大化性能的虚拟专用网络
4.高可扩展性可以有效保护投资
5.通过应用交换实现有效的防火墙管理
6.全程路径连通性检测
7.应用交换体系结构确保增强性能
8.实时、高性能的应用级别安全性
9.拒绝服务攻击防范功能
10.安全的服务可见性和控制
11.千兆位元速度的入侵拦截服务
12.提供了具有容错性和可扩展的入侵检测的功能。
Radware CID解决方案的优势
1.高可用性
高可用性的内容检查功能:高可用性的内容检查功能提供了容错防病毒扫描和对恶意内容的不间断防范。CID 可监视防病毒网关和URL 设备的健康状况,检测实时故障并将流量复位向到性能最佳的资源,从而确保了内容安全性服务的完全可用性和不停机操作。
2.高性能
千兆位元速度的防病毒服务
内容预选功能
3.高扩展性
高度可扩展的防病毒服务
组合式的防病毒服务支持:
4.完全的安全性
基于策略的流量管理
千兆位元速度的入侵检测和DoS 防范
全方位监视防病毒服务 Radware 网络应用系统负载均衡解决方案优势
Radware的网络应用系统负载均衡解决方案提高了网络应用系统的可靠性。
Radware WSD为了确保系统应用的可靠性,采用以下几种手段:
1.健康检查
IP/TCP 层(3 层到 4 层)监视
应用层(7 层)监视
内容监视
Scripting 工具
先进的全程监视
WSD设备的冗余
服务器的平滑停机
服务器的逐渐开机
2.Radware的网络应用系统负载均衡解决方案提高了网络应用系统的性能
Radware WSD 为了确保系统应用的高性能,采用了以下手段:
本地服务器的负载均衡
基于URL的负载均衡
基于内容的负载均衡
本地同全局服务器结合的负载均衡
3.Radware的网络应用系统负载均衡解决方案提高了网络应用系统的安全性
Radware WSD为了确保系统应用的安全性,在负载均衡设备上可以集成安全防护的功能模块,来防御针对应用的攻击。面对日益严峻的网络安全形势,Radware借助其在内容交换领域的技术优势,实现了基于高速交换机的入侵防范解决方案。WSD的SynApps应用安全模块能够实时侦测和阻止1400多种的黑客恶意攻击和常见的恶性病毒,确保网络资源的安全,并支持用户自定义和实时更新的能力。
CT100 ―实现SSL加解密和HTTP/HTTPS加速
Radware 的SSL加速解决方案采用了WSD+CT 100 的方式, 其中四层交换机WSD位于路径中间,而SSL加速设备CT100位于旁路的位置。Radware的CertainT 100能够在不降低网络性能的情况下为用户提供快速的SSL交易。CertainT 100 SSL加密/解密功能与Radware的流量管理解决方案相结合,在动态增强网络性能的同时能够确保高效、连续和安全的完成电子商务交易。