文档介绍：防火墙网络架构改造方案二○一二年十月二十九日目录一、概述 : 4二、网络设计 41. 网络拓扑设计 42. 设计策略 6三、网络安全设计 8四、配置举例 9五、总结 11附录: 12一、,限于企业规模与当时的条件,组网方式为简单的工作组网,网络结构为星型结构,厂区建筑物间采用光纤相连,室采用超五类双绞线。做到千兆为主干,百兆到桌面这样的网络架构。为满足业务人员的需要,采用电信光纤接入互联网。配有域管理,防火墙,***等安全保障。:(拓扑图)设备ID设备名称用途说明R2Fortigate-400飞塔防火墙防火墙兼做路由功能S1Catalyst-2960G思科二层交换机普通二层交换机S2Srw-2024G思科二层交换机普通二层交换机Serv1ERP、OA、Mailserver重要服务系统对外服务服务器Serv2FAX、FTPserver员工服务应用服务器对服务服务器***2003server***服务器控制出口流量域服务器2003server域管理网关管理网用户及DNS指向采用同一网段工作组,随着厂区人数增多,,工作网可容纳1000个有效IP。出口控制和路由依靠防火墙实现。分厂区沙发厂有光纤专线连接到总厂区访问日常办公应用服务,有单独的互联网接入口。用户数据流向图:(初流向图)如上图看出,用户数据要访问部服务应用、访问互联网等必须流经防火墙,随着业务需求不断增多,用户数不断增多,防火墙常驻存、CPU使用率均达60%以上。防火墙已服役6年,病毒库过期未更新。,上述架构是中小型企业网络的主流架构,能够满足公司业务需要。但随着厂区规模不断扩展,信息化不断提高,原来的网络架构已经尽显疲态,具体表现在下面几个方面:采用工作组的组网方式,网络结构简单,为二层网络架构,且网络设备老化,功能单一,无法实现高级管理功能。因建网初期客户端较少,因此采用单一网段,随着客户端数量的增加,以及业务需要的不断提高,出于一些性和安全性需要,必须要划分vlan。尽管已开启域管理和***保障局域网安全,但是由于功能性和网络性能问题,始终出现网络病毒传播。:提升网络性能,并支持扩展升级,为日后企业扩展做好准备。加固网络安全,在不影响客户终端配置的情况下,对骨干网络进行整改,提高数据安全性。控制成本,实用性要好,对现有网络架构能充分分配利用。二、网络设计网络拓扑设计拓扑图设备命名规则设备名放置位置设备型号说明R1出口路由器(带DMZ功能Fortigate防火墙)外部防火墙R2部转发路由器Fortigate-400部防火墙S1办公楼汇聚层Catalyst-2960G二层管理交换机S2研发楼汇聚层Srw-2024G二层管理交换机Serv1DMZ非军事区ERP、OA、Mailserver对外服务重要服务Serv2研发楼汇聚层FAX、FTPserver部应用服务器域服务器R22003server控制出口流量***R22003server管理网用户及DNS指向设计策略划分vlan提高网络的管用性。现有设备分析:骨干网络上S1:思科catalyst2960G、S2:思科srw2024G都是带管理功能的2层交换机,带有vlan划分功能。出口控制防火墙:Fortint400支持vlan路由转发。(vlan分析图)二层交换机划分不同VLAN之间必须通过路由功能才能实现通讯,如果VLAN的数量不断增加,流经路由与交换机之间链路的流量也变得非常大,此时,这条链路也就成为了整个网络的瓶颈。由于采用飞塔防火墙作路由功能,尽量只划分有必要的VLAN,即只对服务器和客户端用户进行VLAN划分。解决办法是使用三层交换机代替飞塔放火墙,三层交换技术在第三层实现了数据包的高速转发,从而解决了传统路由低速、负荷不足所造成的网络瓶颈问题。但由于三层交换机设备昂贵,本次改造方案暂不予考虑。划分DMZ保障关键服务系统的安全。使用防火墙为关键服务器提供隔离区,整个网络区分为三个部分WAN、LAN、DMZ,并确定其访问策略:(服务器除外) 在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的部网络和其他提供访问服务的网络分开,阻止网和外网直接通信,以保证网安全。改造后用户数据流向图:改造后如上图:R2防火墙主要负责S