企业资源（旧） 案例 统赢实业方案初稿04-27_20130318150522575341

统赢实业IT系统改造建议书初稿

DATE \@ "yyyy-MM-dd" 2013-03-25

深圳市神州动力数码有限公司

第PAGE21页, 共 NUMPAGES \* Arabic 21页

深圳市统赢实业有限公司

IT系统改造

建议书初稿

深圳市神州动力数码有限公司

二零一零年四月

目 录

TOC \o "1-3" \h \z \u 一、 方案摘要 3

二、 现有网络架构分析 4

2.1、网络对办公环境的分析 4

2.2 统赢IT现状分析 4

三、 方案设计 6

3.1、整体方案介绍 6

3.1.1 AD服务器建设 6

3.1.2 集中存储，统一备份 11

3.1.3 ISA服务器设计 12

3.2方案优势 13

四、 路由交换平台建设 14

4.1 路由平台建设 14

4.2 交换平台建设 14

五、 安全平台建设 15

5.1 安全问题分析 15

5.2 上网行为管理平台建设 16

5.3 全网流量监测平台建设 17

5.4安全网关平台建设 17

5.5 桌面准入管理平台建设 18

5.6负载均衡平台建设 19

5.7 VPN接入平台建设 19

5.8漏洞扫描与反垃圾邮件平台建设 20

六、 统赢未来网络拓扑展现 21

方案摘要

本方案是统赢实业信息中心建设需求提出的以刀片服务器、IP存储为网络存储为核心的统一部署、集中存储解决方案，方案采用微软AD架构作为整个集成业务系统的主体，IBM刀片服务器、H3C IP存储为整个系统的核心，该系统具有良好的可用性、可扩充性、可维护性、可按用户需求以及应用调整性和优秀的运行性能，为统赢实业信息中心的日后扩容和数据整合打下良好的基础。

本方案充分考虑了企业即将采购的设备状况以及对客户已有投资的保护，在现有投资条件下，购置新的服务器或对现有服务器进行必要的操作系统升级和部件更换或增加。这样在对系统的影响最小的情况下，又能实现对存储系统的数据访问和数据整合以满足统赢实业信息中心迫切的数据业务需求。

本方案建议采用以IP SAN存储架构来整合企业数据，从而实现统赢实业信息中心的统一数据存储平台，并作为将来业务持续发展的基础数据业务平台。而且根据企业工程设计和文件处理的需求，集成了NAS数据存储解决方案，并因此形成了先进的SAN+NAS混合网络存储平台。

现有网络架构分析

2.1、网络对办公环境的分析

随着Internet接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱，内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为：

为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间，同时又难以限制用户安装软件，导致管理人员必须花费其50%以上的精力用于维护用户的PC系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。

由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人员。

部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；

个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制；

局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如ARP通过广播四处泛滥，影响到整个片区办公电脑的正常工作；

部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载音乐和影视文件，由于flashed、迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC的业务专注性、管控能力不强。

2.2 统赢IT现状分析

统赢电子现有网络架构图如下：

《深圳市统赢实业有限公司》现有的应用情况如下：

深圳总部（天安数码城）：

ERP服务器1台

财务服务器1台

深圳工厂（龙岗坪山）

ERP服务器1台

工程FTP服务器1台

邮件服务器1台

财务服务器1台

珠海

FTP服务器1台

邮件服务器1台

财务服务器1台

随着统赢电子业务的不断发展，对IT平台的要求也越来越高，现有IT架构存在以下不足：

不同的办公点都有相同功能的服务器，资源相对比较浪费，且不便于维护。

数据存储分散，数据无保障：客户端电脑数据存储在本地硬盘上，一旦硬盘损坏，数据将无法挽回。

数据存储分散，安全无保障：客户端电脑可通过本地存储设备（移动硬盘、U盘等）非常容易的把数据拷走。

数据存储分散，备份无保障：随着客户端数量的增加，手动备份数据对IT维护人员将是一个非常庞大的工程，且非常容易出错。

工作组架构模式，控制无保障：客户端电脑在工作组模式，权限分散管理，对IT人员的工作量将是极大的考验， 通过安全设备对IP地址、MAC地址限制并未真正得到控制。

方案设计

3.1、整体方案介绍

针对以上这些因素，我们建议统赢电子通过以下方式进行IT基础架构的升级改造：

网络拓扑图如下：

下面分别对以上改造项目进行分析：

3.1.1 AD服务器建设

通过搭建AD服务器来统一定义客户端机器的安全策略，规范，引导用户安全使用办公电脑。

域服务器的作用

安全集中管理，统一安全策略

软件集中管理，按照公司要求限定所有机器只能运行必需的办公软件。

环境集中管理，利用AD可以统一客户端桌面,IE,TCP/IP等设置，统一企业形象。

活动目录是企业基础架构的根本，为公司整体统一管理做基础 其它isa ，防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务器。

建立域管理

建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。统赢电子的员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。

　　在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中，普通员工只具备标准的power user权限，实际上是对公环境有效的保护。

　　办公PC必须严格遵守OU命名规则，同时实现实名负责制。指定员工对该PC负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对PC实施员工实名负责是至关重要的，一旦发现该员工电脑中毒和在广播病毒包，信息系统管理员能准确定位，迅速做出反应，避免扩大影响。

PC维护包干到户。

管理员在实际工作中可能存在拿本地管理员权限作为人情，这其实是一种自杀行为。任何一个具备管理管理员权限的员工，即使是管理员，使用Administrator权限上网，稍有不慎，便掉入网络陷阱。为避免这种情况，对PC维护人员，采取区域包干到户的管理，同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限；如果区域负责人他愿意增加本地电脑管理员权限，增加的风险和工作量将由他自己承担。所有办公电脑的本地管理员密码由域控制器负责人掌握、设定或变更。

在防火墙上只开放常用或业务系统需要的端口，如80、25、21、110、443，其它端口一律封锁，有效实施对P2P和BT软件的封锁。

接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略，允许经信息中心核准的某些IP组可以在本机上直接访问Internet，或某些IP组只能连接局域网的应用服务器，对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP，不允许访问Internet和Intranet，只能单机使用。

建立WSUS服务器。WSUS是微软推出的免费的Windows更新管理服务，目前最新版本除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。在域服务器上通过组策略设定客户端PC的自动更新服务，。

建立防病毒服务器（比如NOD32），通过防病毒及时更新计算机的病毒库，增强整体的病毒抵御能力，及时消灭网内病毒。

启用组策略。检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

整体规划：

IT基础系统建设建议方案

最上面是单域

下面创建OU：wing

wing下面创建以下几个OU

Groups：这里是所有的部门

Users：这里是所有用户

Servers：服务器群，比如病毒服务器，文件服务器，isa服务器

Mobiles：所有的移动电脑

Workstations：所有工作站

It：特殊组，一些管理员和特殊用户。

不同部门可以设置不同安全策略，以满足不同部门的办公需求，通用策略可以设置在根域上，特殊权限在不同部门分别做策略。

用户及名称规划

所有用户均用工号及密码来登录域环境，域的加入可以做一个加入域的批处理，用户通过输入自己的用户名和密码既可登录到域服务器。

所有接入电脑必须严格遵守OU命名规则，即电脑名必须改为部门加工号，比如电脑部xxx，则其计算机名为：wing236294。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置，通过工号可以及时联系责任人进行处理。

各部门用户加入各部门的组，便于用户管理及根据部门进行不同的策略设置

计算机帐户中删除多余用户，仅保留域用户及administrator，重命名管理员帐户，并且强制统一管理员密码，以便日后维护。

用户权限及策略规划

所有用户初始权限为power user 能正常访问本地所有资源，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。

常用软件可以用软件分发来做，个别用户的特殊软件可以远程安装。

具体的实施

具体技术方案包括：

需求收集。

收集各部门工作需要用到的软件，与工作有关的网页，常见的一些机器故障。

规划。规划服务器，客户端母盘制作，用户权限规划。

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。域的结构遵循简单原则，采用单域模式，人员的组织以部门为组织单位加入域中

规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。

规划用户的域结构

最容易管理的域结构就是单域。规划时，用户从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

规划用户的权限

我们给用户那些权限,user（最低权限，不能安装软件），power user（能完成所有任务但不能更改管理员设置），建议初期给power user 稳定后回收权限。

需要限制用户使用那些软件

用户能够访问那些资源

组策略有以下几个比较重要的应用

软件分发，分发msi格式软件，非msi格式可通过工具转换

软件限制（非办公软件可以使用软件策略进行限制）

文件夹重定向，可以把用户资料保存到文件服务器。

管理设置,主要设置一些windows组件相关内容，比如开始菜单显示的内容

Ie相关设置（信任站点，控件下载，文件下载等）

安全设置（帐户策略，系统服务，注册表，文件系统）

实现一些脚本的功能（比如分发一些脚本进行MAC地址绑定进行ARP免疫）

部署。

部署客户端

部署域服务器、dns服务器及文件服务器，如果需要做dhcp，需要xx工程师考虑DHCP的实现方式。后期还要添加WSUS服务器，NOD32病毒服务器及vpn服务器。域服务器按规划做好策略，文件服务器做好权限控制。

测试。

部门办公应用在域环境下能否正常使用，安全性方面能否达到预期效果。

办公应用：erp系统能否正常登录，打印；office软件能否正常运行；bbs能否正常登录使用；

建立各类使用及维护文档。

帮助大家在域环境下更方便的使用办公电脑。

检查所有电脑，如果检测认定安全的直接加入域，如果是HOME版及机器有问题的，重做系统。

域的备份

域的备份主要是通过做备份域，以及微软自带的备份工具备份帐户数据等。

3.1.2 集中存储，统一备份

1、文件服务器建设

1、每个用户都能存取删除自己所拥有的文件，且只能把数据放在服务器上，文件服务器上硬盘的raid技术保证了数据的安全性。

2、每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。

3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。

4、每个用户只能在服务器上存放一定大小,类型的文件，而不是无限大的文件，并且当存放文件到特定警戒线的时候能通知管理员。

2、备份服务器建设

通过备份软件定时对文件服务器上所有的数据进行备份，数据的安全性和及时备份得到了更大的保障，当文件服务器出现故障，客户端可直接访问备份服务器上的数据。

3.1.3 ISA服务器设计

通过在UTM与核心交换机之间架设ISA代理服务器，集合AD的用户验证，只有通过验证的用户才可以访问网络资源，彻底杜绝了客户端通过修改IP地址、MAC地址而访问网络资源的问题。

通过ISA代理服务器可以非常容易的做到应用级别的上网行为控制，通过安装限流插件可针对每个IP进行限流，从而保证了服务器的带宽。

3.2方案优势

更全面的可靠性设计，保障统赢电子工作正常进行；

域控制器的安全保证：域控制器主要是管理局域网的用户和机器，并对用户的权限进行控制，一旦主域控制器系统损坏，重新安装系统后就必须重新建立用户信息，为了防止系统损坏而影响系统使用，在局域网中又设置一台备份域服务器，备份域服务器能将主域控制器上的所有用户信息备份到本机，并在主域控制器失效时自动充当主域控制器的角色，保证系统能正常运行。

文件服务器的安全保证：文件服务器主要是保存各种公司私密文件，所以其安全性主要是考虑服务器上保存的文件的安全性，文件服务器本身做磁盘冗余，这样即使服务器有一个硬盘损坏也不会导致文件丢失，另外我们还通过备份软件将文件服务器上文件保存一份到备份服务器上，这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。

完善的网络安全解决方案，阻挡病毒和黑客的攻击；

网络必须要有一整套从用户接入控制，VLAN的划分，架设ISA防火墙结合UTM等一系列安全控制手段和设备，保证统赢电子网络的稳定运行。

灵活网络管理解决方案，简少维护工作；

通过AD服务器的组策略统一对客户端进行权限划分以及访问控制，彻底摆脱了传统的基于工作组模式的维护访问，大大降低了维护成本。

灵活的服务器解决方案，节省投资成本

通过刀片服务器的前提投入，后续只需按照业务需求购买相应的刀片服务器，节省空间、部署、维护成本。

路由交换平台建设

4.1 路由平台建设

总部位于深圳采用专线接入通过的路由器充当电信网关接入及防火墙角色.并通过VPN技术互联全国多地的办事处.及深圳分部.随着业务的发展电信网关接入设备的性能会逐渐满足不了公司未来的需求.运营商接入线路只有一条没有备份线路若线路发生故障会影响全公司业务运行.所以路由平台需要建设. 总部可采用路由器在前面，防火墙在后面的形式来组网，从而作到路由器快速转发，防火墙作安全管理的功能.现在与全国各处的办事处通过IPSEC VPN建立安全隧道来通信.

4.2 交换平台建设

核心交换机的背板负荷大(不但要承载内部数据交换还要承载服务器群的数据交换.且没有双机冗余保护. 随着ERP 系统的访问量的增加，用户越来越多，过多的用户通过VPN接入访问内部服务器。H3C 5600交换机转发性能有限一但发生突发流量,及抖动.如导致5600交换本身机器本身负荷过高.将会影响.公司的业务正常运行.

接入交换机全部为杂牌设备.没有统一的软件平台,无ARP及常见病毒攻击保护.接入层交换机,没有自动休眠环保功能. 很多设备使用年限已久，故障突发率较高，全网需要统一网络管理系统实施对园区网内所有设备进行管理与故障检测。并且所有的接入层交换机无网管功能,不能划分VLAN.存在广播风暴的风险.

总结:路由交换平台为基础网络平台.也是日常通讯的基础.(路由器作为电信网关接入设备.主要性能指标为转发能力,和吞吐能力.以及平均无故障时间.和可扩展性.主要表现在当网络发生突发流,和抖动时.路由器如何处理.当上网人数剧增时,只要增加相应模块而不是更换设备.且长时间运行无故障.要达到世界级标准.

交换机主要性能参数为背板能力,包转发能力,无故障时间.当网络数据开始交换时.交换机要快速转发,并能对大型数据包有良好的处理能力.不会因为处理大数据包.而影响整网的运行情况.

安全平台建设

安全建设

安全建设

漏洞扫描桌面准入负载均衡流量管理入侵防御上网行为管防火墙

漏洞扫描

桌面准入

负载均衡

流量管理

入侵防御

上网行为管

防火墙

防垃圾邮件SSL VPN

防垃圾邮件

SSL VPN

5.1 安全问题分析

计算机网络是基于网络可识别的网络协议基础之上的各种网络应用的完整组合，协议本身和应用都有可能存在问题，网络安全问题包括网络所使用的协议的设计问题，也包括协议和应用的软件实现问题，当然还包括了人为的因素以及系统管理失误等网络安全问题，下表示意说明了这些方面的网络安全问题。

问题类型

问题点

问题描述

协议设计

安全问题被忽视

制定协议之时，通常首先强调功能性，而安全性问题则是到最后一刻、甚或不列入考虑范围。

其它基础协议问题

架构在其他不穏固基础协议之上的协议，即使本身再完善也会有很多问题。

流程问题

设计协议时，对各种可能出现的流程问题考虑不够周全，导致发生状况时，系统处理方式不当。

设计错误

协议设计错误，导致系统服务容易失效或招受攻击。

软件设计

设计错误

协议规划正确，但协议设计时发生错误，或设计人员对协议的认知错误，导致各种安全漏洞。

程序错误

程序撰写习惯不良导致很多安全漏洞，包含常见的未检查资料长度内容、输入资料容错能力不足、未检测可能发生的错误、应用环境的假设错误、引用不当模块、未检测资源不足等。

人员操作

操作失误

操作规范严格且完善，但是操作人员未受过良好训练、或未按手册操作，导致各种安全漏洞和安全隐患。

系统维护

默认值不安全

软件或操作系统的预设设置不科学，导致缺省设置下系统处于不安全的状况下。容易遭受病毒、蠕虫、特洛依木马等的攻击。

未修补系统

软件和操作系统的各种补丁程序没有及时修复。

内部安全问题

对由信任系统和网络发起的各种攻击防范不够。信任领域存在的不安全系统，成为不信任领域内系统攻击信任领域的各种跳板。

针对上表所示的各种网络安全问题，全世界的网络安全厂商都试图发展了各种安全技术来防范这些问题，这些技术包括访问控制技术、识别和鉴别技术、密码技术、完整性控制技术、审计和恢复技术、防火墙系统、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等，相继陆续推出了包括防火墙、入侵检测（IDS）、防病毒软件、CA系统、加密算法等在内的各类网络安全软件，这些技术和安全系统（软件）对网络系统提供了一定的安全防范，一定程度上解决了网络安全问题某一方面的问题。

5.2 上网行为管理平台建设

统赢现有的网络平台没有员工上网网络行为控制设备.员工在内网是否存在内网入侵行为无所可知. 员工的上网活动是否与工作无关，调查发现，在上班工作时间非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载、在线收看流媒体的行为正日益增加。互联网资源的滥用，给企业、政府、事业单位等各行业各组织带来了巨大的损失。使得组织单位面临着以下新的风险和威胁随着业务的发展,行为管理软件在现代化网络中是必不可少的安全设备.

5.3 全网流量监测平台建设

随着统赢的发展,员工要在网络中要传送高速数据、视频、图像等多媒体信息.网络中的流量分布,及特殊流量的的保证(QOS).统赢应该采用流量控制设备.清楚的监控每天全网的流量情况,设备运行情况.通过对流量监控合理的分配不同流的使用带宽.以达到全网流,无突发,无抖动的效果.网管人员可清晰的看到.统赢每一天全网的流量分布.可以及时的调整流量保证策略.为网络的快速响应带来非常优越的管理手段.

5.4安全网关平台建设

统赢现有的防火墙属低端防火墙,没有良好的包过滤功能.并且又充当路由器的角色.在一定程度上来说, 防火墙产品主要包括包过滤防火墙，状态检测包过滤防火墙和应用层代理防火墙，但是防火墙产品存在着局限性.总部采用防火墙作为安全网关还远远不够,因为防火墙有如下缺点:

(1) 不能防御来自内部的攻击：来自内部的攻击者是从网络内部发起攻击的，他们的攻击行为不通过防火墙，而防火墙只是隔离内部网与因特网上的主机，监控内部网和因特网之间的通信，而对内部网上的情况不作检查，因而对内部的攻击无能为力.

(2) 不能防御绕过防火墙的攻击行为：从根本上讲，防火墙是一种被动的防御手段，只能守株待兔式地对通过它的数据报进行检查，如果该数据由于某种原因没有通过防火墙，则防火墙就不会采取任何的措施.

(3) 不能防御完全新的威胁：防火墙只能防御已知的威胁，但是人们发现可信赖的服务中存在新的侵袭方法，可信赖的服务就变成不可信赖的了；四、防火墙不能防御数据驱动的攻击：虽然防火墙扫描分析所有通过的信息，但是这种扫描分析多半是针对IP地址和端口号或者协议内容的，而非数据细节。这样一来，基于数据驱动的攻击，比如病毒，可以附在诸如电子邮件之类的东西上面进入你的系统中并发动攻击.

(4)统赢的网络系统是建立在总部、分部、各直属库等基础上的多级分布式网络系统，其网络构成包括好多应用服务器、因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，因此在构建企业网络防病毒系统时，可以通过KILL建立完整的防病毒体系，实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略. 对PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时服务器区网关的防护、在关键网段部署入侵检测系统、保护核心数据安全. 以往经验得知,我们分析了解入侵者有最大的目标其实就是为了窃取企业内部重要文件资料,还有一种就是破坏企业内部办公环境,让内部办公环境瘫痪,让服务器无法工作.内部服务器如果不能工作哪么对企业来说是无可估量的损失.

针对上面所述问题,在网络建设的过程中还要布署IPS(入侵检测系统)以补充防火墙的不足.IPS可以针对, 非法进入主机、发送假冒电子邮件、进入网银系统盗取和转移资金、窃取信息等网络攻击事件此起彼伏。及计算机病毒、特洛伊木马、拒绝服务攻击、电子商务入侵和盗窃等，各种危害，包括机密数据被篡改和窃取、网站页面被修改或丑化、网络瘫痪等.都会进行检测.

5.5 桌面准入管理平台建设

统赢现有的网络接入点没有作端点准入控制.任意员工通过自已的移动PC或是台式PC接入网络后可直接在内网任意访问各部门给内网办公带来安全隐患.所以需要对桌面准入进行建设. 端点准入防御方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入网络进行认证，保证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复，保障终端和网络的安全；安全监控是指在上网过程中，系统实时监控用户终端的安全状态，并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全。

5.6负载均衡平台建设

随着统赢访问用户数量的增加，给服务器带来越来越大的压力，实现访问流量在各服务器上均衡分配，充分利用各服务器资源，是网络改造的重要目标. 在服务器区解决weblogic的负载均衡和在DMZ区解决apache（或者tomcat）的负载均衡，保证用户访问流量能在各服务器上均衡分配，提高服务器资源的利用率。为了保证Web服务器正常提供服务，优化后代的系统必须满足对其安全防护的能力。当大数据流DOS/DDOS攻击进入的时候，能保证服务器继续正常稳定运行为了便于系统日常的维护工作，以及在排除故障时有据可依，处于网络核心位置的负载均衡设备必须具备多种详尽的日志记录方式. 为了保证系统正常稳定的运行. 系统稳定性好，系统响应时间要短（当一台服务器发生故障时，负载均衡设备能及时探测到并将用户访问导向其它服务器）.当采用双运营商接入后也可以用负载均衡实现不同运营商的智能DNS访问.

5.7 VPN接入平台建设

统赢现网的内部服务器是能过HTTPS协议,把内网服务器通过防火墙直接发布到公网.以致内网服务器直接暴露在公网.HTTPS对传输方式进行加密.但对其传输内容不加密.所以建议采用SSL VPN接入方式.所有对内服务器访问.全部通过SSL VPN服务进行代理.访问内网服务器不但要进行身份认证.还要分配相应的访问权限.并且内网服务器不会直接暴露在公网.而是通过代理方式.更为安全.分部与总部通信都是采用,IPSEC VPN接入.只要设备支持.就可以建立安全的加密隧道.

5.8漏洞扫描与反垃圾邮件平台建设

所有的被动安全平台建设完后,需要建设主动型的安全平台.可以提前预防安全事故问题.无可厚非，软件开发人员在开发一个系统的时候，将实现相应的功能作为首要的任务，而且他们在编写和调试程序时通常仅考虑用户正常使用的情况，而对误用和恶意使用这些例外和异常情况处理考虑不周之处，也就形成了系统漏洞，或称系统的弱点。系统已不再是孤立的系统，而是通过网络互联的系统，即组成了计算机网络，计算机网络的使用者中有专业水平很高但思想并不纯洁的群体，他们利用这些漏洞对系统展开入侵和攻击，导致对网络和应用系统极大威胁，使网络和系统的使用和拥有者遭受严重的损失. 如此多的漏洞，对信息部门意味着什么？安全小组必须采取行动获得补丁程序、测试、最后将其部署在服务器上.所以要主动的去发现漏洞,并迅速的解决.近年来邮件攻击穷出不舍.MAIL SERVER对企业来说已经是运营的关键性业务.特别是垃圾邮件的攻击,采用假数字签名,群发,反向发送,等技术.导致企业业务在运行时,出现的大问题.所有需选择性的部署好漏洞扫描与反垃圾邮件平台.

总结:安全平台没有100%的安全,好比一个人穿防弹衣,和不穿时.用枪击的情况下.准备好了的哪个人可能损失会少.安全机制和安全系统众多,统赢可以选择性的去建设. 所以在管理上和安全上面都多少会存在着缺陷.我们的设计理念是把服务器区域完全的,分层次的,保护起来.

1). 全方位的安全防护入侵防御系统, 精确实时地识别并防御蠕虫、病毒、木马等网络攻击，防止攻击者对数据中心的破坏，保障敏感数据不被窃取以及业务的持续运行

2). 高性能高可靠设计，数据中心是业务应用的核心，在进行安全防护的同时，必须充分保证其持续可靠运行

3). 统一安全管理, 安全管理平台集成IPS，实现数据中心统一部署、监控和管理

4). 把桌面管理平台和瑞星杀毒软件接合起来,主要是指对统赢内部的一个高可靠性的办公环境

统赢未来网络拓扑展现