企業(yè)網(wǎng)絡(luò)如何建設(shè)？很多企業(yè)在初期因為人員較少，所以配置比較低，但隨著企業(yè)人員的增加，應(yīng)用的增加，無論是寬帶、出口、安全、管理等已不能滿足當前的需求，所以很多的企業(yè)網(wǎng)絡(luò)發(fā)展到一定的階段就需要改造了。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?企業(yè)網(wǎng)絡(luò)改造的六個方向

一、網(wǎng)絡(luò)出口安全問題

公司現(xiàn)有的網(wǎng)絡(luò)出口設(shè)備配備1臺企業(yè)級路由器，該產(chǎn)品主要用于集團公司上網(wǎng)用戶的IP地址轉(zhuǎn)換，外網(wǎng)光纖鏈路為電信50M，由于路由器未提供安全功能模塊，集團公司的網(wǎng)絡(luò)安全受到很大危險，同時集團公司的銷售人員在出差時需遠程訪問公司內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，現(xiàn)有設(shè)備沒有防火墻、入侵檢測、VPN等功能，某些功能需要購買軟件授權(quán)才可以實現(xiàn)。急需對全集團公司網(wǎng)絡(luò)安全進行改造。

解決方案：新購一臺網(wǎng)絡(luò)安全網(wǎng)關(guān)UTM或高性能防火墻，具備高級功能，同時提供VPN、AV、IDP等多種功能，UTM區(qū)別于傳統(tǒng)防火墻，能分析網(wǎng)絡(luò)3-4層數(shù)據(jù)報文，自帶的規(guī)則庫能識別90%的病毒，阻止非法的網(wǎng)絡(luò)攻擊，如非法掃描，漏洞探測，僵尸網(wǎng)絡(luò)，拒絕垃圾郵件、暴力破解等。通過配置SSL VPN可以實現(xiàn)遠程用戶以安全的虛擬通道連接到集團公司內(nèi)網(wǎng)訪問業(yè)務(wù)系統(tǒng)，SSL VPN支持在手機、電腦終端任意訪問，不再限制用戶的訪問終端類型。公司領(lǐng)導(dǎo)可以在家、出差，上下班路上，輕松連接到內(nèi)網(wǎng)進行相關(guān)工作流程的簽發(fā)，實現(xiàn)了智能終端設(shè)備的安全移動辦公。

二、網(wǎng)絡(luò)帶寬管理問題

公司網(wǎng)絡(luò)基礎(chǔ)平臺在2013年左右建設(shè)完成，互聯(lián)網(wǎng)接入電信帶寬只有50M，現(xiàn)階段對用戶上網(wǎng)的行為，上網(wǎng)的帶寬，訪問的應(yīng)用沒有任何安全控制，如：員工上網(wǎng)在論壇發(fā)帖，評論、轉(zhuǎn)發(fā)，瀏覽網(wǎng)頁、非法言論，因公司沒有相應(yīng)的管控設(shè)備，無法定位和查看是發(fā)送者身份，將會給公司造成很大負面影響。公安部82號令，要求能夠記錄終端用戶訪問網(wǎng)站的日志，對外發(fā)的內(nèi)容可以進行審計以及關(guān)鍵字過濾。
解決方案：新采購一臺上網(wǎng)行為管理設(shè)備，部署在機房，可以實現(xiàn)對公司網(wǎng)絡(luò)帶寬管理、網(wǎng)絡(luò)行為管理，通過該設(shè)備可以配置相應(yīng)的流量管理策略，可基于用戶角色或者時間段來分配帶寬管理策略。

控制下載、在線應(yīng)用，通過部署了上網(wǎng)行為管理設(shè)備，可以靈活、有效的控制和解決陜西核工業(yè)集團公司網(wǎng)絡(luò)帶寬及用戶訪問行為，提升網(wǎng)絡(luò)安全，實現(xiàn)網(wǎng)絡(luò)可視化管理。上網(wǎng)行為管理設(shè)備有如下四大主要功能特點：1、內(nèi)容過濾；2、應(yīng)用控制；3、帶寬管理；4、內(nèi)容審計；

三、網(wǎng)絡(luò)架構(gòu)問題

公司基礎(chǔ)網(wǎng)絡(luò)建設(shè)處于起步階段，ip地址與區(qū)域網(wǎng)絡(luò)未進行合理規(guī)劃，網(wǎng)絡(luò)框架混亂，經(jīng)常出現(xiàn)大范圍網(wǎng)速慢，掉線。
解決方案：新購置一臺千兆三層的核心交換機，新購的核心交換機配置為用戶終端網(wǎng)關(guān)設(shè)備，進行劃分vlan，按照樓層的辦公區(qū)域劃分不同的VLAN，不同的VLAN之間不能直接訪問，通過三層交換機的路由實現(xiàn)了不同VLAN的互訪。

配置了VLAN之后，即使有終端機器感染網(wǎng)絡(luò)病毒產(chǎn)生的廣播報文只在本部門VLAN內(nèi)廣播，不會影響其他部門VLAN，這樣大大降低了病毒對網(wǎng)絡(luò)影響的范圍，保護了內(nèi)網(wǎng)的安全性。核心交換機的強大的背板帶寬和包轉(zhuǎn)發(fā)率能保證用戶的數(shù)據(jù)請求無阻塞的完成轉(zhuǎn)發(fā)，沒有網(wǎng)絡(luò)瓶頸。

四、無線網(wǎng)絡(luò)覆蓋問題

公司辦公樓共6層，幾乎每個辦公室都需要無線接入的需求，公司員工的筆記本、手機都有訪問無線用于移動辦公，訪客室、會議室都要求接入無線。因為前期沒有規(guī)劃網(wǎng)絡(luò)，很多無線接入是員工通過購買了家用無線路由器產(chǎn)品來實現(xiàn)的。購買的無線路由器需要逐個安裝調(diào)試，辦公樓出現(xiàn)了非常多的家用型無線設(shè)備。

目前的問題有：無線信號不穩(wěn)定、頻繁掉線、相互之間干擾嚴重、無法集中統(tǒng)一管理所有無線設(shè)備、無線網(wǎng)絡(luò)安全無法控制，非法設(shè)備搶占空口資源，管理員經(jīng)常奔波于每個辦公室處理無線連接問題。
解決方案：1.簡單高效的AC+AP網(wǎng)絡(luò)架構(gòu)針對集團公司需要對網(wǎng)絡(luò)設(shè)備實行統(tǒng)一管理的要求，采用了AC+AP網(wǎng)絡(luò)架構(gòu)，并結(jié)合華為eSight無線網(wǎng)管功能，不僅可以做到AP的統(tǒng)一配置和集中管理，從無線網(wǎng)絡(luò)配置、故障定位和快速恢復(fù)等方面，全面提升無線網(wǎng)絡(luò)的運維管理效率，讓公司網(wǎng)絡(luò)管理方既省心又省力；另一方面，使用AC射頻管理調(diào)優(yōu)功能，實現(xiàn)無線覆蓋的快速調(diào)整和優(yōu)化，保證無線網(wǎng)絡(luò)性能。

2、內(nèi)外網(wǎng)統(tǒng)一的無線訪問通過VAP/SSID，設(shè)置內(nèi)外網(wǎng)為一張物理網(wǎng)絡(luò)，并且安全隔離出內(nèi)網(wǎng)、外網(wǎng)，極大的簡化了布線成本和對施工的要求；并且易于維護，支撐未來的業(yè)務(wù)擴展。3、穩(wěn)定可靠的無線連接通過雙頻、自動信道選擇調(diào)整、高可靠的無線網(wǎng)絡(luò)設(shè)計，保障集團公司網(wǎng)絡(luò)干擾小，信號穩(wěn)定，單設(shè)備故障不影響業(yè)務(wù)等，實現(xiàn)穩(wěn)定的無線辦公環(huán)境。

五、桌面運維管理問題

當前企業(yè)在對人員的管理主要是基于傳統(tǒng)的桌面進行管理，主要采用微軟組策略或者第三方的管理軟件或硬件對終端桌面進行控制，例如：1、禁止USB口，防止用戶利用USB設(shè)備拷貝數(shù)據(jù)2、禁止藍牙和紅外設(shè)備，防止用戶通過藍牙和紅外設(shè)備傳輸數(shù)據(jù)3、對數(shù)據(jù)進行加密，防止文件外泄造成信息外流但是這些手段并不能很好地解決當前問題，對于有技術(shù)的開發(fā)人員，都不是難事，仍然存在一些風險。

解決方案：使用虛擬桌面解決方案可以很好地解決上述問題：1、由于虛擬桌面是基于服務(wù)器計算的模式，所有的計算都是發(fā)生在服務(wù)器上，即運行在服務(wù)器上的虛擬操作系統(tǒng)（Linux、windows?），所有數(shù)據(jù)都在服務(wù)器上產(chǎn)生，所以可以從根本上控制數(shù)據(jù)的訪問和使用，即通過策略限制將產(chǎn)生的數(shù)據(jù)存儲在本地磁盤，USB設(shè)備上。2、利用遠程訪問協(xié)議高效性，以及對數(shù)據(jù)的安全訪問機制，開發(fā)團隊可以通過網(wǎng)絡(luò)包括vpn網(wǎng)絡(luò)遠程進行開發(fā)，而無需在企業(yè)規(guī)定的開發(fā)場地，占用大量的資源。3、通過提供虛擬桌面，企業(yè)無需為開發(fā)方的團隊提供設(shè)備，或者對這些設(shè)備進行全面管理和支持，可以讓開發(fā)方使用自己的設(shè)備，只需要網(wǎng)絡(luò)進行管理，訪問受控的、安全的、開發(fā)虛擬桌面。開發(fā)環(huán)境被分為可控的虛擬開發(fā)環(huán)境與物理的自有環(huán)境，在滿足開發(fā)人員的特殊需求同時，能夠管控開發(fā)環(huán)境，減少企業(yè)IT人員的管理復(fù)雜性。
4、由于在工作過程中，虛擬桌面也是需要連接到網(wǎng)絡(luò)進行工作的，所以虛擬桌面本身并不能解決數(shù)據(jù)通過網(wǎng)絡(luò)傳輸外泄的風險，但是由于只有這一條潛在外泄通道，企業(yè)IT管理人員可以通過網(wǎng)絡(luò)工具和設(shè)備來對網(wǎng)絡(luò)進行管理，解決這一問題。
5、從整體對比來看，虛擬桌面解決方案從數(shù)據(jù)安全的角度，相對于傳統(tǒng)本地桌面，從成本，管理，安全和環(huán)保層面，都有很大優(yōu)勢，而且已經(jīng)成為了未來趨勢。

六、服務(wù)器數(shù)據(jù)安全問題

? ? ?公司現(xiàn)應(yīng)配備服務(wù)器1臺，用于支撐公司財務(wù)系統(tǒng)運行，財務(wù)數(shù)據(jù)保存在服務(wù)器本地硬盤。財務(wù)報表等數(shù)據(jù)是集團公司最機密的信息，一旦服務(wù)器系統(tǒng)損壞或者硬盤故障，將面臨集團公司無法訪問財務(wù)系統(tǒng)，嚴重情況下將會導(dǎo)致數(shù)據(jù)丟失。同時現(xiàn)有服務(wù)器只承載了一個業(yè)務(wù)系統(tǒng)，服務(wù)器的CPU，內(nèi)存等物理資源長期利用率在3%以下，造成資源了極大浪費，但因為現(xiàn)有的服務(wù)器建設(shè)架構(gòu)無法提高服務(wù)器硬件資源利用率，需改變現(xiàn)在服務(wù)器部署模式來改善這些問題。
? ? ? 解決方案：為了提升服務(wù)器硬件資源利用率，保護財務(wù)系統(tǒng)數(shù)據(jù)安全性，即使服務(wù)器系統(tǒng)及硬件出現(xiàn)故障仍能保持業(yè)務(wù)連續(xù)性，我們建議客戶采用服務(wù)器虛擬化的解決方案來改善集團公司業(yè)務(wù)的部署模式
? ? ? 新購3臺服務(wù)器及一套統(tǒng)一存儲，新購的兩臺服務(wù)器和現(xiàn)有一臺服務(wù)器，用于構(gòu)建一套資源池，通過虛擬化軟件實現(xiàn)CPU、內(nèi)存、硬盤、網(wǎng)絡(luò)等資源的池化，可以針對某個應(yīng)用按需分配資源，實現(xiàn)服務(wù)器高可用，保護數(shù)據(jù)安全可高，服務(wù)器只用來承載業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)產(chǎn)生的生產(chǎn)數(shù)據(jù)通過高速光纖鏈路傳送到存儲上。