某企業(yè)由于網(wǎng)絡(luò)架設(shè)比較早,網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)不再適合當(dāng)前的網(wǎng)絡(luò)需要。為了更好的實(shí)現(xiàn)網(wǎng)絡(luò)管理和信息安全的需要,提出了如下升級(jí)改造需求:
帶寬擴(kuò)容,采用兩條寬帶接入。
內(nèi)網(wǎng)需要?jiǎng)澐植煌腣LAN,分為辦公、監(jiān)控、生產(chǎn)幾大網(wǎng)段。
內(nèi)網(wǎng)客戶機(jī)需要進(jìn)行嚴(yán)格的IP-MAC綁定,只有綁定后的設(shè)備才可以接入。
全網(wǎng)上網(wǎng)行為審計(jì)記錄。
部署上網(wǎng)行為管理策略,建立上網(wǎng)秩序。
1. 方案設(shè)計(jì)
綜合考慮各項(xiàng)改造需求,我們提出了如下的解決方案:
1). 采用一臺(tái)WSG-XE上網(wǎng)行為管理設(shè)備,做多線接入。
2). 在WSG設(shè)備上設(shè)置基于端口的VLAN,每個(gè)端口一個(gè)VLAN,接到相應(yīng)的二層交換機(jī)。
3). 啟用IP-MAC綁定,未綁定的mac地址不分配IP,并且禁止上網(wǎng)。
4). 全時(shí)段記錄上網(wǎng)內(nèi)容。
5). 配置“應(yīng)用過(guò)濾”和“網(wǎng)頁(yè)過(guò)濾”,上班時(shí)段禁止在線視頻、下載等行為。
6). 對(duì)生產(chǎn)和辦公網(wǎng)段進(jìn)行限速,避免單IP占用大量帶寬的情況。
網(wǎng)絡(luò)拓?fù)鋱D如下:
WSG-XE:
2. 相關(guān)功能
2.1 VLAN劃分
辦公、生產(chǎn)、監(jiān)控分為不同的VLAN,互不影響。
配置分流策略,使監(jiān)控組走單獨(dú)的外線。
2.2 IP-mac綁定
對(duì)內(nèi)網(wǎng)的所有客戶機(jī)配置IP-MAC綁定,未綁定的mac地址一律禁止上網(wǎng)。
2.3 上網(wǎng)內(nèi)容審計(jì)
利用WFilter的上網(wǎng)記錄模塊,可以記錄全網(wǎng)的網(wǎng)頁(yè)瀏覽、發(fā)帖、文件傳輸、QQ號(hào)、FTP/Telnet命令、郵件內(nèi)容等信息。
2.4 上網(wǎng)行為管理
通過(guò)配置上網(wǎng)行為管理策略,禁止上班時(shí)間段內(nèi)容視頻、下載等行為,提高工作效率,節(jié)省帶寬資源。
2.6 帶寬限制
給辦公網(wǎng)段、生產(chǎn)網(wǎng)段的客戶機(jī)進(jìn)行一定的限速,避免出現(xiàn)某些用戶占用大量帶寬的情況。
