一、網(wǎng)絡(luò)現(xiàn)狀

　　單位目前從電信申請兩根光纖接入，其中一根通過網(wǎng)絡(luò)管理服務(wù)器專門提供給單位領(lǐng)導(dǎo)使用;另外一根光纖接入防火墻;下聯(lián)交換機，各個分支機關(guān)再通過光纖接入到交換機。網(wǎng)絡(luò)管理服務(wù)器上設(shè)置PPPoE Sevrer，內(nèi)網(wǎng)采用PPPoE認(rèn)證撥號上網(wǎng)，網(wǎng)絡(luò)比較穩(wěn)定。分支機關(guān)采用固定IP接入到防火墻上網(wǎng)。

　　二、存在的問題

　　由于防火墻年代已久，功能的局限，根本無法對用戶的應(yīng)用進行限制。ARP病毒、P2P造成帶寬濫用和內(nèi)網(wǎng)DOS攻擊嚴(yán)重影響辦公正常業(yè)務(wù)使用。防火墻下聯(lián)交換機為普通型交換機，不具備管理能力，內(nèi)網(wǎng)廣播風(fēng)暴容易導(dǎo)致網(wǎng)絡(luò)擁堵。

　　三、改造方案

　　(一)方案之一，拓?fù)鋱D如下：

方案一拓?fù)鋱D

　　該方案采用單網(wǎng)關(guān)控制各個機關(guān)上網(wǎng)。具體實施步驟如下：

　　1. 網(wǎng)關(guān)：采用具備PPPoE服務(wù)器功能的高性能64位處理器的防火墻網(wǎng)關(guān)作為機關(guān)接入互聯(lián)網(wǎng)的接入控制。開啟PPPoE服務(wù)器，機關(guān)電腦PPPoE撥入到網(wǎng)關(guān)，可以徹底解決內(nèi)網(wǎng)ARP欺騙。帶寬管理、P2P限速有效合理分配帶寬資源。防火墻默認(rèn)開啟防止DOS攻擊防止常見病毒攻擊。

　　PPPoE服務(wù)器

　　防止內(nèi)網(wǎng)攻擊

　　2.核心交換機：采用管理型交換機，具備廣播風(fēng)暴抑制、VLAN隔離功能。廣播風(fēng)暴抑制、VLAN隔離降低內(nèi)網(wǎng)安全風(fēng)險，同時減少大量廣播包對PPPoE撥號的影響。

　　(二)方案之二，拓?fù)鋱D如下：