上海金山海川水厂 网络改造项目顺利完工
发布日期：2009-8-19
 

1、           原有网络状况

海川给水有限公司原有网络架构施工明显非专业，布线结构混乱，标示不清，节点不通，施工粗劣导致经常发生网络堵塞的情况，经常无法正常上网。症状为局域网突然掉线，过一段时间后又会恢复正常。突发某网段不通（无法ping通网关地址），IP地址发生变化，网络带宽耗尽，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。

2、           原有网络交换机

中心交换机：D-LINK 24口；  路由器： Link-SYS 低端路由。显然， 硬件设备不能满足目前频繁的网络需求。

3、           缺乏网络管理软件

           1、无网络版杀毒软件；

           2、无网络管理软件；

           3、无服务器集中管理

           4、无域控制

4、  影响网络混乱的原因如下：

A． 病毒及木马影响；

B． 客户端BT等大流量下载影响；

C． 非工作使用频繁，如网络电影等；

D. 遭受ARP攻击

 

根据以前的网络状况我们目前已经实施的解决方法：

一、             整理网络布线结

       对原有网络布线重新整理，对节点作标示，绘制节点图。布线结构让网管一目了然。

对不通或没做好的节点和线路进行修复。让原先投资发挥最大利用。对路由器和防火墙做好配置和管理，固定网络IP地址，限制个人上网带宽，管理和控制外来人员的网络使用情况。对所做好的网络升级工作做好文档整理和备份。

二、             软件解决方案

一套 SYMANTEC NORTON网络版杀毒软件为厂区提供稳定的防护

原来厂区内病毒肆虐，单个的病毒防护不能满足目前局域网防毒的需求，所以这次SYMANTEC NORTON为网络每个层面提供防病毒保护，通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，提供桌面应用、服务器系统、邮件系统、群件服务器、Internet网关级别的全面防毒保护。这种全方位的、多层次的防毒系统配置，能使政府、企业网络免遭所有病毒的入侵和危害。

 
 

服务器软件：WIN2008  SERVER STD CHINES是局域网稳固的基础
·                            这次购买的Windows Server 2008中文标准版，除了提供厂区内二台的服务器工作负载和应用服务需求提供稳固的基础之外，还具备了易于部署和管理的特性。因此，可确保关键的应用服务和资料能在大家需要时处在可使用的状态。

 

三、          硬件解决方法

1．           新增ER5100核心路由产品，

a. 此路由自带中文WEB配置菜单，内置防病毒防火墙。

ER5100是H3C公司为中小企业机构量身定制的一款WAN口高性能千兆路由器，它采用专业的64位双核网络处理器，主频高达1GHz，同时提供丰富的软件特性，如策略路由、IP<->MAC地址绑定，ARP防攻击，流量限速，链接数限制，弹性带宽等功能。它是H3C公司宽带路由器中的中高端产品，是企业用户的理想选择。

b. 高安全：抵挡网络病毒、攻击，打造安全网络

防ARP病毒：内置“ARP攻击主动防御”功能，一方面通过IP<->MAC地址绑定功能，固定了网关的ARP列表，同时定时发送免费ARP的机制，可以有效地避免局域网PC中毒后引发的ARP攻击。

防内外网攻击：针对目前学校常见的DoS攻击，开发了相应的防攻击功能，包括短包、碎片包、TearDrop、Ping of Death、Land攻击、TCP空连接攻击、Syn Flood攻击、TCP/UDP/端口过滤等等，保证网络不受竞争对手和黑客的攻击。

防网络病毒：内置高级防火墙功能，可以对数据包进行双向过滤，同时支持状态防火墙，可以有效防止Nimda、冲击波、木马等病毒的发作。

c. 具有高可用性：全中文WEB配置，操作随心所欲

 

2．WatchGuard FireboxX750e

集成高效率、高安全性的Proxy防火墙，隐藏内部网络信息，保护厂区用户内部网络应用的安全，防范来自Internet的非法访问和探测、攻击，同时控制厂区内部用户的网络访问；

高安全性Proxy防火墙核心
全面的网络安全管理
多种告警方式

网关防病毒/入侵防御

网关防病毒/入侵防御（GAV/IPS）能够防止间谍软件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点（P2P）通讯。GAV/IPS可以自动阻断攻击来源IP的所有网络访问，确保内部网络安全。

. Web访问过滤和控制

员工工作时间浏览大量无关网站，即浪费带宽，又降低工作效率，还带来间谍软件、钓鱼网站等诸多安全问题。FireBox提供的WebBlock网页访问控制功能，采用不断更新的SurfControl数据库阻止危险网站，也包括流媒体、P2P、网络邮件等网站。

垃圾邮件过滤

垃圾邮件会阻塞网络通信、传播病毒、散布间谍软件，影响用户正常工作。Firebox提供的SpamBlock防垃圾邮件功能采用先进的Commtouch循环模式检测（RPD）技术，通过对互联网全球电子邮件流量模式的跟踪检测，将邮件的行为特征作为判别依据，可阻止任何语言、内容或格式的垃圾邮件。

新，确保用户网络始终获得最新防护。

成熟、可靠的电信级WatchGuard产品将为用户网络的安全可靠运行提供有力的保障。

 

3. 新增DELL服务器及软件

域控制服务器：
为有效安全的管理网络，用域来管理内部网络是最佳方案，功能强大的DELL服务器即可实现这一功能。为系统安全，普通工作人员不可用管理员账户进入，只能用普通账户进入系统。

文件服务器：
公司重要文件可存储在这台服务器里，有效的管理公司内部文件，并设定权限，让不同工作部门不同职能的工作人员各取所需，并建议做容灾备份管理。

升级工程实施后网络现状：

通过以上软硬件的实施，和网络行为管理，厂区网络状况得到很大改善。原来提出的网络问题得到妥善解决。现在厂区员工可以随心所欲，酣畅的在INTERNET上冲浪了。