随着新业态、新模式、新技术对传统产业冲击的不断加强,数字化转型已经成为全球企业的共识。专业的运维服务在数字化转型落地过程中起着关键的作用,也正因为此,IT基础层的运维管理迎来了新的变革。
一、客户背景
C公司是中国软体家居专业制作商,旗下有多个家居品牌,3000多家专卖店。分布于中国、以及美国、澳洲、意大利等海外国家。总部设在深圳,主营现代风格的软体家居、寝具、床垫、床上用品、沙发、实木家居等,中国极具发展潜力的家具服务品牌集团之一。
C公司计划上市,但公司目前整个IT架构及网络架构中,还存在相当大的安全风险,这些风险包括入侵风险,渗透风险,物理介质非冗余设计风险,上网行为管控审计风险,数据安全性风险等,故目前企业需要在上市前完成相关整改。
二、客户需求分析
1、原有网络老旧
C公司原有网络设备已经老旧化,并且大多数设备均为不可管理的千兆交换机,当出现网络风暴,或是遭受入侵时,运维难度会瞬间加大。
2、网络架构冗余
客户原有网络由于时间跨度原因,未曾有冗余性的考虑,链路之间大多采用单链路,当出现链路故障时无法及时恢复通信;其次,办公人员不加约束的上网行为,将会加剧企业核心网络的风险性程度,也会使日常工作效率下降。
3、本地数据备份
C公司原有网络设备已经老旧化,并且大多数设备均为不可管理的千兆交换机,当出现网络风暴,或是遭受入侵时,运维难度会瞬间加大。
4、运维难度增大
企业信息化规模扩大,运维人员难以应对,需要一套易管理易上手易操作的管理系统帮助企业减少TCO开销及运维人员的维护时间成本。
三、客户原网络结构
1.出口设备目前使用的是单台传统防火墙,由于时间跨度较大,该设备无法满足三层以上的安全防护,对于类如web服务器,开发服务器等对外服务器而言,存在相当大的安全隐患。
C公司原网络架构图
2.除去出口的防火墙外,内网整体架构中无法做到人员上网行为的审计和限制管理,服务器在内网环境中完全暴漏,当出现不法份子故意进行破坏操作将出现无法挽回的局面,例如本地僵尸网络植入,服务器程序后门脚本等。
3.目前网络架构中核心交换机为单台部署,且设备老旧,六楼机房的接入交换机充当了楼层办公网络的汇聚层,展厅的接入交换机充当了车间网络的汇聚层,且这些交换机之间的链路均采用单链路部署,当出现单个链路故障时,则会影响到整层的网络甚至是整栋楼的网络。
四、整体方案设计描述
1·IT改造规划
不改变C公司太多现有环境的情况下,增强了网关出入口的安全检测力度,最大限度做到办公人员上网行为的控制,外部数据访问本地数据时,可实现2至7层的安全防护。
核心交换机属于整个园区网络的骨干,所有区域的流量交互,信息交互都必然经过核心交换机,如果核心交换机故障频繁,或者出现瞬时掉线,那将会严重影响业务的正常使用。双系统的交换机用作核心交换机将会最大程度解决单一设备故障问题,同时,双系统交换机在一般使用时也会提供更大的背板带宽及转发速率,满足日后的扩展。
由于原本架构中存在汇聚交换机的概念,故本次改造将会替换现有不可管理的汇聚交换机为性能较优,且可管理的设备,核心组网全部采用双链路聚合布署,可使管理人员快速定位网络故障。
C公司现有网络架构
2·安全相关规划
上网行为审计:通过诱导、分类、精准调度等一系列手段,使每个接入用户的请求流量全部要经过上网行为管理;通过用户分类可精确导向用户流量占比。
WAF应用层防火墙:采用独创的行为状态链检测技术,有效应对盗链、跨站请求伪造等Web特殊攻击。智能联动ms级锁定功能可有效降低入侵风险,以满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,全方位保障客户的Web应用业务安全运行
边界下一代防火墙:在提供NGFW能力的基础上,联动其他安全设备,主动积极防御网络威胁,增强边界检测能力,有效防御高级威胁,同时解决性能下降问题。产品提供模式匹配以及加解密业务处理加速能力,使得防火墙处理内容安全检测、IPSec等业务的性能显著提升。
3·容灾备份规划
五、客户收益
1·全通路的外发管控与审计
全面识别和管控数据外发通路,实现C公司外发数据可视可控,建立数据外发规范,防止敏感信息泄露。
2·L2-7层双向防御
防止黑客非法入侵,有效保障企业OA、邮件、销管等应用的安全和稳定运行。
3·可扩展的数据保护,适用任意IT规模
应对随着规模的增长,例如数据量、流量或复杂性,系统应以合理的方式来匹配这种增长。
六、设备清单
以上为部分内容,了解更多请在后台留言哦