一. 當前網絡現狀分析:
1. 關鍵設備(防火墻、核心、匯聚)與鏈路無冗余備份,一旦某一臺設備或者一條鏈路故障將導致整個公司網絡癱瘓,業(yè)務被迫全線中斷,缺乏可靠性障。
2. 訪問服務器(www、EBS),沒有做DMZ安全部署,有導致內網直接受外部攻擊的可能性。
3. 接入層交換機直接連入核心,且級聯(lián)多個交換設備,增加核心交換機負載。缺匯聚交換以處理用戶流量轉發(fā)到核心交換層。
二. 針對現有網絡狀況,做出以下升級解決方案:
1. 新增1臺防火墻與現有防火墻做HA高可用,防火墻劃分外網,DMZ,內網LAN三個區(qū)域,并且針對不同區(qū)域進行安全策略部署。
DMZ區(qū)域即:內部與外部可以對區(qū)域內的服務器(www、ebs)進行訪問,但在(www、ebs)受到外部攻擊時,避免其攻擊內部的網絡及服務器。
2. 數據中心核心交換機采用可靠性為99.99%的新一代光口交換機,通過堆疊實現設備級的高可用,及穩(wěn)定性。
多個區(qū)域設置匯聚層的匯聚節(jié)點,具有承上啟下的作用,處理來自接入層設備的流量,并提供到核心層設備的高速通信。