中小型企業(yè)網(wǎng)絡(luò)構(gòu)建畢業(yè)論文.doc
Xxxx大學(xué)畢業(yè)設(shè)計(jì)(論文)論文題目:中小型企業(yè)網(wǎng)絡(luò)構(gòu)建論文題目:Small and medium-sized enterprise network design作者姓名: 王 所在系部: 系 班級(jí)名稱: 網(wǎng) 絡(luò) 指導(dǎo)教師: 徐 2014 年 4 月畢業(yè)論文設(shè)計(jì)書1 設(shè)計(jì)主要任務(wù)該設(shè)計(jì)主要是要求學(xué)生全部運(yùn)用所學(xué)的基礎(chǔ)理論和專業(yè)理論知識(shí),針對(duì)目前企業(yè)網(wǎng)絡(luò)技術(shù)需求,設(shè)計(jì)某企業(yè)網(wǎng)絡(luò)的方案,繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),完成IP地址的規(guī)劃,通過市場(chǎng)調(diào)研完成設(shè)備的選型,結(jié)合網(wǎng)絡(luò)架構(gòu)的方案以及所選擇的設(shè)備,完成該企業(yè) 的網(wǎng)絡(luò)方案的實(shí)施。2. 設(shè)計(jì)(論文)的主要內(nèi)容此項(xiàng)畢業(yè)設(shè)計(jì)要求包括從網(wǎng)絡(luò)架構(gòu)方案的提出一直到網(wǎng)絡(luò)架構(gòu)方案的實(shí)施。(1) 需求分析根據(jù)當(dāng)前網(wǎng)絡(luò)技術(shù)的發(fā)展?fàn)顩r,結(jié)合企業(yè)的網(wǎng)絡(luò)需求,設(shè)計(jì)某企業(yè)的網(wǎng)絡(luò)需求,設(shè)計(jì)某企業(yè)的網(wǎng)絡(luò)架構(gòu)方案。(2) IP地址的規(guī)劃根據(jù)企業(yè)信息點(diǎn)的分布狀況,繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖,完成IP地址的規(guī)劃。(3) 設(shè)備選型通過市場(chǎng)調(diào)研結(jié)合企業(yè)網(wǎng)絡(luò)架構(gòu)方案,完成設(shè)備選型。(4) 網(wǎng)絡(luò)架構(gòu)方案的實(shí)施根據(jù)網(wǎng)絡(luò)架構(gòu)的方案以及選擇的網(wǎng)絡(luò)設(shè)備,提出一整套網(wǎng)絡(luò)實(shí)施的方案。(5) 總結(jié)簡(jiǎn)述在企業(yè)網(wǎng)絡(luò)架構(gòu)過程中出現(xiàn)的問題以及解決的方案,對(duì)未來網(wǎng)絡(luò)發(fā)展的展望。3.設(shè)計(jì)(論文)的基本要求(1)論文格式要符合規(guī)范(2)提供完整的源程序(3)至少提供10篇參考文獻(xiàn)(書籍 期刊 網(wǎng)址等)4主要參考文獻(xiàn)王衛(wèi)紅 李小明.計(jì)算機(jī)網(wǎng)路與互聯(lián)網(wǎng).機(jī)械出版社張福祥.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ).中國電力出版社周躍東.計(jì)算機(jī)網(wǎng)絡(luò)工程.西安電子科技大學(xué)出版社5.畢業(yè)設(shè)計(jì)(論文)時(shí)間安排第一周 資料收集整理第二周 收集資料 寫初稿第三周 論文初稿的中級(jí)檢查 論文修改第四周 論文后期修改及完善修改摘 要信息化浪潮風(fēng)起云涌的今天,企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到,利用網(wǎng)絡(luò)技術(shù),現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò),而其中絕大多數(shù)都是中小企業(yè)。目前我國企業(yè)尤其是中小型企業(yè)網(wǎng)絡(luò)建設(shè)正在如火如荼的進(jìn)行著,本文以中小型企業(yè)內(nèi)部局域網(wǎng)的組建需求、實(shí)際管理為出發(fā)點(diǎn),從中小型企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手,研究了局域網(wǎng)技術(shù)在企業(yè)管理中的應(yīng)用。關(guān)鍵詞:組網(wǎng);拓?fù)?設(shè)備選型;IP規(guī)劃;配置命令;網(wǎng)絡(luò)布局;網(wǎng)絡(luò)維護(hù); 網(wǎng)絡(luò)安全AbstractThe wave of information surging today, the enterprise network has become the core competitiveness of enterprises to enhance the key factor. Net more and more enterprises have been many people mentioned that the use of network technology, the modern enterprise can be suppliers, customers, partners, employees achieve optimal communication and information. This is directly related to the availability of key enterprise competitive advantage. In recent years more and more and more enterprises are speeding up the information to build their own networks, the vast majority of which are SMEs. Chinas enterprises, especially small and medium-sized construction enterprise network is currently undergoing major regeneration, to small and medium-sized enterprises in this article the formation of the internal local area network needs, the actual management as a starting point, from the management of small and medium-sized enterprise LAN LAN technology needs and the traditional approach to study the local area network technology in the enterprise management applications.Key words: networking;topology;Equipment selection ;IP planning;onfigure command;Network layout ; Network maintenance ;security of network目 錄第一章 緒 論- 3 -第二章 需求分析- 5 -2.1企業(yè)對(duì)網(wǎng)絡(luò)的需求情況- 5 -2.2用戶需求分析- 5 -2.3案例分析- 6 -2.3.1 設(shè)備選型- 6 -2.32各設(shè)備產(chǎn)品介紹:- 7 -第三章 網(wǎng)絡(luò)布局和綜合布線- 9 -3.1 網(wǎng)絡(luò)布局的原則- 9 -3.2 網(wǎng)絡(luò)布局的具體實(shí)施要求- 10 -3.3 網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)- 11 -第四章 IP規(guī)劃與配置- 16 -4.1 IP地址規(guī)劃- 16 -4.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖- 16 -4.3 配置需求及解決方案- 17 -4.3.1配置路由器- 17 -4.3.2配置交換機(jī)- 21 -4.3.3配置ACL- 23 -第五章 網(wǎng)絡(luò)維護(hù)、安全控制- 27 -5.1網(wǎng)絡(luò)維護(hù)- 27 -5.2局域網(wǎng)安全威脅分析- 28 -5.3局域網(wǎng)安全控制- 31 -第六章 結(jié)論- 36 -參考文獻(xiàn)- 37 -致謝- 38 -第一章 緒 論隨著經(jīng)濟(jì)社會(huì)的發(fā)展,我國中小企業(yè)數(shù)量與日俱增。然而,一個(gè)企業(yè)要不斷發(fā)展壯大,除了要有自身產(chǎn)品的優(yōu)化,還需要一個(gè)完善的企業(yè)信息管理系統(tǒng)。企業(yè)的信息化,是企業(yè)如何應(yīng)對(duì)瞬息萬變、競(jìng)爭(zhēng)激烈的國內(nèi)外市場(chǎng)環(huán)境以及如何利用網(wǎng)絡(luò)技術(shù)迅速提升企業(yè)核心競(jìng)爭(zhēng)力為企業(yè)成敗的關(guān)鍵。在本論文中所構(gòu)建的中小型企業(yè)網(wǎng)最終必須是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、多項(xiàng)信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體的綜合信息平臺(tái),并能夠有效促進(jìn)現(xiàn)有的管理體制和管理方法,提高企業(yè)辦公質(zhì)量和效率。中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模小、結(jié)構(gòu)簡(jiǎn)單的特點(diǎn),綜合資金投入、專業(yè)人才以及未來發(fā)展等因素,網(wǎng)絡(luò)實(shí)用性、安全性與拓展性(升級(jí)改造能力)是中小型企業(yè)實(shí)現(xiàn)信息化建設(shè)的主要要求,局域網(wǎng)內(nèi)進(jìn)行信息交流包括發(fā)布通知, 安排日程表、工作計(jì)劃,提交工作總結(jié),進(jìn)行信息匯總等也是企業(yè)的要求。加強(qiáng)各公司內(nèi)各分區(qū)的業(yè)務(wù)和技術(shù)聯(lián)系,提高工作效率,實(shí)現(xiàn)資源共享,降低運(yùn)作及管理成本,公司有必要建立企業(yè)內(nèi)部局域網(wǎng)。局域網(wǎng)要求建設(shè)基于TCP/IP協(xié)議和WWW技術(shù)規(guī)范的企業(yè)內(nèi)部非公開的信息管理和交換平臺(tái),該平臺(tái)以WEB為核心,集成WEB、文件共享、信息資源管理等服務(wù)功能,實(shí)現(xiàn)公司員工在不同地域?qū)?nèi)部網(wǎng)的訪問。因此,成本低廉、可靠、易用,降低網(wǎng)絡(luò)的使用和維護(hù)成本、提高產(chǎn)品的性能價(jià)格比并能滿足業(yè)務(wù)運(yùn)用需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。針對(duì)絕多數(shù)中小型企業(yè)集中辦公這一現(xiàn)實(shí)特點(diǎn),組建一個(gè)適合中小企業(yè)需求的高性價(jià)比實(shí)用的網(wǎng)絡(luò)是十分有實(shí)際意義的。第二章 需求分析2.1企業(yè)對(duì)網(wǎng)絡(luò)的需求情況在這信息化社會(huì),網(wǎng)絡(luò)是支撐企業(yè)各種業(yè)務(wù)的基礎(chǔ)設(shè)施。因此構(gòu)建網(wǎng)絡(luò)者在規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)前,首先要清楚企業(yè)的現(xiàn)階段及未來的需求。經(jīng)過對(duì)該企業(yè)的分析,預(yù)計(jì)企業(yè)在未來幾年的發(fā)展趨勢(shì),適當(dāng)?shù)念A(yù)留一定的升級(jí)空間方便新用戶的接入,其中包括網(wǎng)絡(luò)設(shè)備支持升級(jí)其他應(yīng)用設(shè)備的接入,全面實(shí)現(xiàn)計(jì)算機(jī)資源共享。對(duì)于局域網(wǎng)中的各種資源,通過設(shè)置網(wǎng)絡(luò)用戶的共享權(quán)限,讓他成為網(wǎng)絡(luò)共享資源,從而實(shí)現(xiàn)企業(yè)的信息化。2.2用戶需求分析構(gòu)建企業(yè)網(wǎng)絡(luò)最終是為了實(shí)現(xiàn)用戶的需求,用戶的需求主要包括可靠性、可用性、可升級(jí)性、安全性、及時(shí)性以及響應(yīng)時(shí)間。企業(yè)的用戶群包括管理層,普通用戶群的也用代表,經(jīng)調(diào)查,“快”是多數(shù)用戶對(duì)網(wǎng)絡(luò)響應(yīng)的要求,其中包括下載速度、連接速度等,我們將為核心設(shè)備提供冗余,以盡量保障系統(tǒng)的99.95%的可靠性,同時(shí)我們將根據(jù)企業(yè)的需求,為用戶提供遠(yuǎn)程登錄,文件傳輸服務(wù),在年底企業(yè)統(tǒng)計(jì)全年信息時(shí)候會(huì)出現(xiàn)企業(yè)通訊高峰時(shí)間,我們的服務(wù)器將以滿足高峰期通訊為基礎(chǔ)選型的。當(dāng)然我們將提供防火墻等安全設(shè)備,保障用戶信息,物理資源的機(jī)密性,網(wǎng)整性和確實(shí)性,提供一定的數(shù)據(jù)加密、自動(dòng)備份、發(fā)生問題的恢復(fù)等。當(dāng)然也包括網(wǎng)絡(luò)應(yīng)提供的服務(wù)資源共享、辦公自動(dòng)化、遠(yuǎn)程控制、電子郵件、www應(yīng)用等。2.3案例分析現(xiàn)以南京網(wǎng)亞計(jì)算機(jī)有限公司為實(shí)例,因?yàn)橐恍┛陀^因素,該公司分布在兩棟樓,并且都在底層,主要分別用來做軟件的售后服務(wù)、研發(fā)和財(cái)務(wù)/人事部門。這些部分分別叫勤業(yè)部、研發(fā)部和行政部。兩棟樓之間距離少于100米,其中研發(fā)部和行政部在同一棟樓中。研發(fā)部占兩層,共有15臺(tái)電腦分布在各個(gè)辦公室中,具體分布是一層5臺(tái),二層10臺(tái),第三層是行政部,有5臺(tái)電腦;勤業(yè)部分兩層,共有30臺(tái)電腦,其中在研發(fā)部那棟樓需配置網(wǎng)絡(luò)打印機(jī)。2.3.1 設(shè)備選型表2-1 設(shè)備選型序號(hào)設(shè)備名稱規(guī)格單位數(shù)量單價(jià)(元)合價(jià)(元)1核心交換機(jī)DCRS-9808(R3)臺(tái) 1140,000140,0002交 換 機(jī)DCS-4500-50T(R3)臺(tái)221,120182,2403路 由 器Cisco DCR 282臺(tái)114,500196,7404網(wǎng)管軟件LinkManager-50NM-License臺(tái)134,400 231,1405防火墻DCFW-1800S-V2(R3)臺(tái)139,200270,3406機(jī)柜DC-PDU-KLW臺(tái)31,124273,7122.32各設(shè)備產(chǎn)品介紹:1、DCRS-9808(R3)核心交換機(jī):12插槽多業(yè)務(wù)核心路由交換機(jī), 2槽管理引擎(超級(jí)模塊)或4槽管理引擎(標(biāo)準(zhǔn)模塊),最大可插8個(gè)標(biāo)準(zhǔn)業(yè)務(wù)模塊或4個(gè)超級(jí)業(yè)務(wù)模塊或超級(jí)標(biāo)準(zhǔn)模塊混合,支持冗余供電,標(biāo)配1個(gè)MRS-9800-AC(R3)電源。2、DCS-4500-50T(R3)交換機(jī):全千兆智能安全交換機(jī)50/10/100/1000Base-T4口千兆SFP(Combo)接口【R3版本為黑色風(fēng)格機(jī)箱】。3、Cisco DCR 282路由器:模塊化路由器。6個(gè)網(wǎng)絡(luò)/語音模塊插槽, 1個(gè)配置口,1個(gè)AUX口,2個(gè)10/100/1000M以太網(wǎng)端口(RJ45接口),內(nèi)置硬件加密。4、LinkManager-50NM-License網(wǎng)管軟件:LinkManager網(wǎng)絡(luò)管理系統(tǒng)V1.0(50NM-50N)。網(wǎng)管專業(yè)版平臺(tái),50節(jié)點(diǎn)。功能:支持網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)、資源管理、設(shè)備管理、終端管理、性能管理、故障分析、異常流量監(jiān)測(cè)、服務(wù)器管理、WEB監(jiān)控等。5、DCFW-1800S-V2(R3)防火墻:8個(gè)10/100/1000M以太網(wǎng)電口;1U標(biāo)準(zhǔn)機(jī)箱。6、DC-PDU-KLW機(jī)柜:克萊沃6位PDU,除提供雷電消除器(SPD) 、過載保護(hù)器等功能,還具備高載流、防誤插、高精度插拔等高可靠電氣性能。第三章 網(wǎng)絡(luò)布局和綜合布線在構(gòu)建公司網(wǎng)絡(luò)時(shí),我們根據(jù)組網(wǎng)經(jīng)費(fèi)的多少來務(wù)實(shí)地規(guī)劃與設(shè)計(jì)網(wǎng)絡(luò);在采購好網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備后,如何對(duì)辦公地點(diǎn)進(jìn)行合理的網(wǎng)絡(luò)布局與布線,是致關(guān)重要的。網(wǎng)絡(luò)布局主要是指企業(yè)網(wǎng)里的網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備如何放置,它們又與網(wǎng)絡(luò)布線如何相處,總之網(wǎng)絡(luò)布局要考慮周全。3.1 網(wǎng)絡(luò)布局的原則1. 實(shí)用性企業(yè)組建的局域網(wǎng)應(yīng)當(dāng)根據(jù)設(shè)備的多少來具體實(shí)施,網(wǎng)絡(luò)布線的特點(diǎn)決定了網(wǎng)絡(luò)布局實(shí)用性。2. 全面性組網(wǎng)過程中,網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當(dāng)統(tǒng)籌兼顧,網(wǎng)絡(luò)布局要考慮周全,盡量讓各種設(shè)備和布線系統(tǒng)處于合理的位置。3. 可靠性組網(wǎng)無論怎樣布局,最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運(yùn)行,使得網(wǎng)絡(luò)能正常運(yùn)轉(zhuǎn)。4. 便于維護(hù)與升級(jí)網(wǎng)絡(luò)的組網(wǎng)不是一成不變的,隨著IT企業(yè)業(yè)務(wù)的不斷發(fā)展的需求,原先組建的局域網(wǎng)就需要不斷地完善和擴(kuò)充;在日常的網(wǎng)絡(luò)運(yùn)行維護(hù)中,規(guī)劃網(wǎng)絡(luò)布局時(shí)就應(yīng)該考慮到便于以后網(wǎng)絡(luò)的維護(hù)與升級(jí)操作。3.2 網(wǎng)絡(luò)布局的具體實(shí)施要求對(duì)于有線局域網(wǎng)來說,這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中,經(jīng)常會(huì)遇到的,需要對(duì)研發(fā)部、行政部和勤業(yè)部進(jìn)行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到企業(yè)設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計(jì)好布線系統(tǒng),然后再全面地考慮網(wǎng)絡(luò)的布局。5. 3.2.1布線系統(tǒng)的規(guī)劃與設(shè)計(jì)有了好的企業(yè)網(wǎng)絡(luò),網(wǎng)絡(luò)設(shè)備就有了好的“家”,組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將三個(gè)辦公區(qū)域互聯(lián)起來,確保網(wǎng)絡(luò)的正常運(yùn)行。如果企業(yè)的接入點(diǎn)較多,我們可以采取接入層、匯聚層、交換層三個(gè)網(wǎng)絡(luò)層次的設(shè)計(jì),在此基礎(chǔ)上進(jìn)行布線系統(tǒng)。對(duì)于接入層來說,選擇一個(gè)合理的接入設(shè)備,是最關(guān)鍵的,而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個(gè)局域網(wǎng)的核心部分,匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能,方便我們的管理和維護(hù),方便以后我們的網(wǎng)絡(luò)升級(jí)和改造。交換層是整個(gè)網(wǎng)絡(luò)中的中間層,連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn),是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個(gè)環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及,我們交換層的網(wǎng)絡(luò)設(shè)備,肯定首選百兆。布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。在布線時(shí),最好使用專門的通道,而且不要與電源線,空調(diào)線等具有輻射的線路混合布線。接入層與匯聚層之間的雙絞線,可以選擇超五類屏蔽雙絞線,以使網(wǎng)絡(luò)性能得到最大的提升。匯聚層與交換層之間的雙絞線,由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個(gè)層次,同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點(diǎn)之間,我們就可以采用普通的超五類非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置,最好放在節(jié)點(diǎn)的中央位置,這樣做,不是為了節(jié)約綜合布線的成本,而是為了提高網(wǎng)絡(luò)的整體性能,提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳輸距離是100米,在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時(shí),最好能夠設(shè)計(jì)一個(gè)設(shè)備間,放置網(wǎng)絡(luò)設(shè)備。3.3 網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)目前的網(wǎng)絡(luò)設(shè)備大都采用機(jī)架式的結(jié)構(gòu)(多為扁平式,活像個(gè)抽屜),如交換機(jī)、路由器、硬件防火墻等。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型,是因?yàn)樗鼈兌及磭H機(jī)柜標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì),這樣大家的平面尺寸就基本統(tǒng)一,可把一起安裝在一個(gè)大型的立式標(biāo)準(zhǔn)機(jī)柜中。這樣做的好處非常明顯:一方面可以使設(shè)備占用最小的空間,另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理,同時(shí)辦公室內(nèi)也會(huì)顯得整潔、美觀。我們經(jīng)常接觸到的網(wǎng)絡(luò)布局里有網(wǎng)絡(luò)機(jī)柜、服務(wù)器機(jī)柜以及綜合布線柜,從這三個(gè)機(jī)柜的名字就可以看出它們各自所起的作用;一般來說,網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器、防火墻、加密機(jī)等以及網(wǎng)絡(luò)通信設(shè)備如光端機(jī)、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機(jī)柜的;服務(wù)器機(jī)柜的寬度為19英寸,高度以U為單位 (1U=1.75英寸=44.45毫米),通常有1U,2U,3U,4U幾種標(biāo)準(zhǔn)的服務(wù)器。機(jī)柜的尺寸也是采用通用的工業(yè)標(biāo)準(zhǔn),通常從22U到42U不等;機(jī)柜內(nèi)按U的高度有可拆卸的滑動(dòng)拖架,用戶可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)節(jié)高度,以存放服務(wù)器、集線器、磁盤陣列柜等設(shè)備。服務(wù)器擺放好后,它的所有I/O線全部從機(jī)柜的后方引出(機(jī)架服務(wù)器的所有接口也在后方),統(tǒng)一安置在機(jī)柜的線槽中,一般貼有標(biāo)號(hào),便于管理。綜合布線柜一般配有前后可移動(dòng)的安裝立柱,自由設(shè)定安裝空間,可按需要配置隔板、風(fēng)扇、電源插座等附件。配線架通常安裝在機(jī)柜里,配線架的一面是RJ45口,并標(biāo)有編號(hào);另一面是跳線接口,上面也標(biāo)有編號(hào),這些編號(hào)和上面的RJ45口的編號(hào)是一一對(duì)應(yīng)的。每一組跳線都標(biāo)識(shí)有棕、藍(lán)、橙、綠的顏色,雙絞線的色線要和這些跳線一一對(duì)應(yīng),這樣做不容易接錯(cuò)。配線架不僅僅是便于管理線對(duì),而且可以防止串?dāng)_,增加線對(duì)的隔離空間,提供360度的線對(duì)隔離。在辦公室中,必須放置交換機(jī)、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備,以及局域網(wǎng)絡(luò)連接Internet所需的各種設(shè)備,如路由器、防火墻以及網(wǎng)管工作站等;因此辦公室的網(wǎng)絡(luò)布局一般至少有三個(gè)機(jī)柜,綜合布線柜和網(wǎng)絡(luò)機(jī)柜應(yīng)當(dāng)緊連在一起,便于調(diào)線操作,接下來是服務(wù)器機(jī)柜;將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進(jìn)行合理的布局。在網(wǎng)絡(luò)布局中,每個(gè)機(jī)柜最好留點(diǎn)空間,便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴(kuò)充,綜合布線柜里有可能除了網(wǎng)絡(luò)布線外,還有能布置電話線,所以要在機(jī)柜里留下一定空間。從機(jī)柜內(nèi)部線纜附設(shè)的角度看,機(jī)柜配置密度更高,容納的IT設(shè)備更多,大量采用冗余配件(如冗余電源、存儲(chǔ)陣列等),機(jī)柜內(nèi)設(shè)備配置頻繁變換,數(shù)據(jù)線和電纜隨時(shí)增減。所以,機(jī)柜必須提供充足的線纜通道,能從機(jī)柜頂部、底部進(jìn)出線纜。在機(jī)柜內(nèi)部,線纜的敷設(shè)必須方便、有序,與設(shè)備的線纜接口靠近,以縮短布線距離;減少線纜的空間占用,保證設(shè)備安裝、調(diào)整、維護(hù)過程中,不受到布線的干擾,并保證散熱氣流不會(huì)受到線纜的阻擋;同時(shí),在故障情況下,能對(duì)設(shè)備布線進(jìn)行快速定位。供電系統(tǒng)和制冷系統(tǒng)是辦公室的兩個(gè)重要部分。在供電系統(tǒng)中,一般采用在線的UPS供電方式,蓄電池實(shí)際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時(shí)間的長(zhǎng)短以及負(fù)載的性質(zhì)(電阻性、電感性、電容性)密切相關(guān)。制冷系統(tǒng)(空調(diào))涉及到辦公室的整個(gè)物理環(huán)境,包括空調(diào)、地板、機(jī)柜及房間布局等諸多方面;因此UPS和空調(diào)我們也要考慮好將它們放置在一個(gè)合適的位置。如果辦公室空間較大,可以將UPS和空調(diào)都放在辦公室里;如果空間較小,可以把UPS(包括蓄電池)放在配電房里。需要注意的是如果大樓里安裝有“中央空調(diào)”的話,辦公室里也必須安裝獨(dú)立的空調(diào),因?yàn)橹醒肟照{(diào)不可能24小時(shí)都開著,上班的時(shí)間可以利用中央空調(diào),下班和星期節(jié)假日的時(shí)候,如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運(yùn)行的話,則必須要開辦公室里的獨(dú)立空調(diào)。機(jī)柜的擴(kuò)展性表現(xiàn)在機(jī)柜內(nèi)設(shè)備密度的擴(kuò)展和機(jī)柜數(shù)量的擴(kuò)展,因此網(wǎng)絡(luò)布局時(shí)必須將機(jī)柜的配風(fēng)能力(通常稱為散熱能力)以及配電能力考慮在內(nèi)。一方面,機(jī)柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)(冷空氣)。這些冷風(fēng)被機(jī)柜內(nèi)的IT設(shè)備吸入,從而為設(shè)備內(nèi)的部件(尤其是CPU)降溫。當(dāng)機(jī)柜內(nèi)設(shè)備增加到一定數(shù)量時(shí),由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求,從而形成部分IT設(shè)備配風(fēng)不足而過熱。解決機(jī)柜內(nèi)設(shè)備密度擴(kuò)展時(shí)遇到的這種局部熱點(diǎn)問題可以采用調(diào)配IT設(shè)備位置的方式來解決。例如,把熱負(fù)荷最大的設(shè)備安裝在機(jī)柜中部位置,以便獲得最大的配風(fēng)風(fēng)量。另外的解決方法是,在機(jī)柜的上部或下部位置安裝軸向水平的強(qiáng)排風(fēng)扇,增強(qiáng)上部或下部的吸入能力(即減小IT設(shè)備的入口靜壓),從而增加配風(fēng)風(fēng)量。另一方面,機(jī)柜內(nèi)的設(shè)備需要供電以及與機(jī)柜外部進(jìn)行通信。當(dāng)機(jī)柜內(nèi)的IT設(shè)備數(shù)量增加時(shí),這些線纜、連接端子同時(shí)成倍地增加,從而對(duì)機(jī)架式電源排插的容量、插口數(shù)量都提出了擴(kuò)展要求。機(jī)柜內(nèi)的布線空間也是需要提前考慮的,因?yàn)楫?dāng)機(jī)柜內(nèi)的功率密度提高時(shí),設(shè)備后部的線纜將明顯增加風(fēng)阻,所以必須考慮線纜管理及走線空間的問題。第四章 IP規(guī)劃與配置4.1 IP地址規(guī)劃表4-1 IP地址規(guī)劃部門IP地址部門IP地址公網(wǎng)地址220.156.66.110路由器內(nèi)部192.168.0.1/30核心交換外部192.168.0.2/30Web服務(wù)器192.168.2.1/24網(wǎng)絡(luò)打印機(jī)192.168.30.1/24行政部192.168.40.1/24研發(fā)部192.168.41.1/24勤業(yè)部192.168.42.1/244.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖圖4-1 網(wǎng)絡(luò)拓?fù)鋱D圖解:由案例分析可知:南京網(wǎng)亞計(jì)算機(jī)發(fā)展有限公司分布在兩棟樓并且都在底層,所以將這兩棟樓分別劃分,每棟樓放置一臺(tái)交換機(jī)。又有兩棟樓之間距離少于100米,所以直接用雙絞線連接這兩臺(tái)交換機(jī)即可,這兩天交換機(jī)再通過一臺(tái)核心交換機(jī)連接,再通過核心交換機(jī)連接防火墻、服務(wù)器、路由器和網(wǎng)管軟件,再通過ip規(guī)劃、valn的劃分,這樣一個(gè)完整的企業(yè)局域網(wǎng)就構(gòu)建成功了。4.3 配置需求及解決方案為了直觀方便,配置需求全部在配置命令中加以單點(diǎn)說明,并且配置命令量大反復(fù),這里只列出重點(diǎn)命令。4.3.1配置路由器 router>router> enablerouter#router#configrouter(config)#router(config)# interface type portrouter(config-if)# interface fastethernet0/1router(config-if)#ip address 192.168.0.1 255.255.255.252router(config-if)#duplex autorouter(config-if)#speed autorouter(config-if)#ip nat inside router(config-if)#no shutdown router(config-if)#interface fastethernet0/2router(config-if)#ip address 220.156.66.117 255.255.255.248router(config-if)#duplex autorouter(config-if)#speed autorouter(config-if)#ip nat outsiderouter(config-if)#no shutdownrouter(config-if)# zrouter>router> enablerouter#router#configrouter(config)#router(config)#radius scheme systemrouter(config)#domain systemrouter(config)#acl number 2000/配置允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段/router(config)rule 0 permit source 192.168.0.0 0.0.0.255router(config)rule 1 denyrouter(config)#interface Ethernet0/0router(config)ip address 202.1.1.2 255.255.255.248router(config)nat outbound 2000router(config)#interface Ethernet0/1 router(config)ip address 192.168.0.1 255.255.255.0 /內(nèi)網(wǎng)網(wǎng)關(guān)/router(config)#interface NULL0router(config)#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認(rèn)路由/router(config)#user-interface con 0router(config)user-interface vty 0 4router(config-if)# zrouter>router> enablerouter#router#configrouter(config)#router(config)#nat address-group 0 202.1.1.3 202.1.1.6 /用戶NAT的地址池/router(config)#radius scheme systemrouter(config)#domain systemrouter(config)#acl number 2000/配置允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段/router(config)#rule 0 permit source 192.168.0.0 0.0.0.255router(config)#rule 1 denyrouter(config)#interface Ethernet0/0router(config)#ip address 202.1.1.2 255.255.255.248router(config)#nat outbound 2000 address-group 0 /在出接口上進(jìn)行NAT轉(zhuǎn)換/router(config)#interface Ethernet0/1router(config)#ip address 192.168.0.1 255.255.255.0 /內(nèi)網(wǎng)網(wǎng)關(guān)/router(config)#interface NULL0router(config)#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默認(rèn)路由/router(config)#user-interface con 0router(config)#user-interface vty 0 4router(config)#zrouter(config)#router(config)#ip route 0.0.0.0 0.0.0.0 220.156.66.117(路由)router(config)# ip nat inside source list 110 interface FastEthernet0/2 overloadrouter(config)#access-list 110 permit ip 192.168.0.0 0.0.255.255 any(過載)router(config)# z4.3.2配置交換機(jī)switch>switch > enableswitch #switch# vlan database switch(vlan)# VTP Version: 2switch(vlan)# Configuration Revision: 7switch(vlan)# Maximum VLANs supported locally : 1005switch(vlan)# Number of existing VLANs: 9switch(vlan)# VTP Operating Mode: Serverswitch(vlan)# VTP Domain Name: OAswitch(vlan)# VTP Pruning Mode: Disabledswitch(vlan)# VTP V2 Mode: Enabledswitch(vlan)# VTP Traps Generation: Enabledswitch(vlan)#zswitch>switch > enableswitch #switch #vlan database 進(jìn)入vlan配置模式switch # (vlan)#vtp domain OA 設(shè)置vtp管理域名稱OAswitch # (vlan)#vtp server 設(shè)置交換機(jī)為服務(wù)器模式switch # (vlan)#vlan 1 name qinye 創(chuàng)建VLAN 1,為勤業(yè)部switch # (vlan)#vlan 2 name xingzheng 創(chuàng)建VLAN 2,為行政部switch # (vlan)#vlan 3 name yanfa 創(chuàng)建VLAN 3,為研發(fā)部switch # (vlan)#vlan 4 name netprinter 創(chuàng)建VLAN 4,為網(wǎng)絡(luò)打印機(jī)switch # (vlan)#vlan 5 name server 創(chuàng)建VLAN 5,為服務(wù)器組switch # (config)#interface vlan 1switch # (config-if)#ip address 192.168.42.254 255.255.255.0switch # (config)#interface vlan 1switch # (config-if)#ip address 192.168.40.254 255.255.255.0switch # (config)#interface vlan 3switch # (config-if)#ip address 192.168.41.254 255.255.255.0switch # (config)#interface vlan 4switch # (config-if)#ip address 192.168.30.254 255.255.255.0switch # (config)#interface vlan 5switch # (config-if)#ip address 192.168.2.254 255.255.255.0將接入層交換機(jī)上的端口根據(jù)需要?jiǎng)澐种粮鱾€(gè)VLAN switch # (config-if)#exit4.3.3配置ACL配置ACL 應(yīng)用在各個(gè)部門VLAN接口上,控制各部門互訪switch>switch > enableswitch #configswitch(config)#access-list 10 permit 192.168.2.0 0.0.0.255 switch(config)#access-list 10 permit 192.168.30.0 0.0.0.255 switch(config)#access-list 10 deny 192.168.0.0 0.0.255.255 switch(config)#access-list 10 permit any 進(jìn)入vlan 10 switch(config)# vlan 10switch(config-vlan)#ip access-group 10 out把訪問控制列表10 應(yīng)用于VLAN 10 OUT方向上,市場(chǎng)部?jī)?nèi)部可以互訪,可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機(jī)網(wǎng)段,但不能訪問財(cái)務(wù)部和設(shè)計(jì)部所在網(wǎng)段。switch(config-vlan)#access-list 11 permit 192.168.2.0 0.0.0.255switch(config-vlan)#access-list 11 permit 192.168.30.0 0.0.0.255switch(config-vlan)#access-list 11 permit 192.168.42.0 0.0.0.255switch(config-vlan)#access-list 11 deny 192.168.0.0 0.0.255.255switch(config-vlan)#access-list 11 permit anyswitch(config-vlan)#exit進(jìn)入vlan 11switch(config-vlan)#switch(config)# vlan 11switch(config-vlan)#ip access-group 11 out把訪問控制列表11應(yīng)用在VLAN 11 OUT方向上,財(cái)務(wù)部?jī)?nèi)部可以互訪問,可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機(jī)網(wǎng)絡(luò),可以訪問市場(chǎng)部網(wǎng)段,但不能訪問設(shè)計(jì)部網(wǎng)段。設(shè)計(jì)部VLAN 12 ,網(wǎng)絡(luò)打印機(jī) VLAN 13,服務(wù)器 VLAN 20 可以訪問任意網(wǎng)段,應(yīng)用訪問控制列表access-list 110 在in的方向上,封掉常見病毒端口。switch(config-vlan)#access-list 110 deny tcp any any eq 1068switch(config-vlan)#access-list 110 deny tcp any any eq 2046switch(config-vlan)#access-list 110 deny udp any any eq 2046switch(config-vlan)#access-list 110 deny tcp any any eq 4444switch(config-vlan)#access-list 110 deny udp any any eq 4444switch(config-vlan)#access-list 110 deny tcp any any eq 1434switch(config-vlan)#access-list 110 deny udp any any eq 1434switch(config-vlan)#vaccess-list 110 deny tcp any any eq 5554switch(config-vlan)#vaccess-list 110 deny tcp any any eq 9996switch(config-vlan)#access-list 110 deny tcp any any eq 6881switch(config-vlan)#access-list 110 deny tcp any any eq 6882switch(config-vlan)#access-list 110 deny tcp any any eq 16881switch(config-vlan)#access-list 110 deny udp any any eq 5554switch(config-vlan)#access-list 110 deny udp any any eq 9996switch(config-vlan)#access-list 110 deny udp any any eq 6881switch(config-vlan)#access-list 110 deny udp any any eq 6882switch(config-vlan)#vaccess-list 110 deny udp any any eq 16881switch(config-vlan)#access-list 110 permit ip any any可以根據(jù)實(shí)際需要將此ACL應(yīng)用于任一接口,或者添加一些屏蔽軟件的端口,達(dá)到管理內(nèi)部員工的目的,也可以用局域網(wǎng)內(nèi)部的管理軟件,更加直接方便,并且易于操作。第五章 網(wǎng)絡(luò)維護(hù)、安全控制5.1網(wǎng)絡(luò)維護(hù)1. 更新更新包括WEB頁面的版面、樣式、內(nèi)容的更新;公司共享資料的更新;網(wǎng)絡(luò)教室、軟件下載內(nèi)容的更新;各種報(bào)表、數(shù)據(jù)庫更新,這些信息發(fā)布由各部門管理員在本地登錄服務(wù)器進(jìn)行。2. 備份由于網(wǎng)絡(luò)的特殊性,備份信息是保證公司數(shù)據(jù)安全的重要保障??紤]最低投資,未采用磁帶機(jī)備份,而使用磁盤鏡像技術(shù)容錯(cuò),這樣不但得到完整的數(shù)據(jù)備份,而且還提高了系統(tǒng)的性能。3. 診斷INTRANET采用TCP/IP協(xié)議,在網(wǎng)絡(luò)的調(diào)試中主要采用了以下幾個(gè)診斷程序:Ping;Ipconfig;Nbtstat;Netstat;Hostname。網(wǎng)絡(luò)管理員運(yùn)用這些程序有利于及時(shí)發(fā)現(xiàn)錯(cuò)誤,并加以糾正。4. 安全利用代理服務(wù)器的防火墻功能可以阻擋Internet上的系統(tǒng)或使用者直接進(jìn)入Intranet。網(wǎng)絡(luò)管理員的密碼和各用戶的密碼均利用AD組策略統(tǒng)一進(jìn)行管理,并利用其“組策略”功能統(tǒng)一部署密碼策略:包括密碼最長(zhǎng)/最短有效期、密碼的長(zhǎng)度、唯一性和帳戶鎖定等項(xiàng)目。域用戶權(quán)限也利用“域用戶容器”統(tǒng)一管理。5. 磁盤整理雖然Windows系統(tǒng)自身包括磁盤碎片整理程序,建議采用第三方的程序Diskeeper定期整理磁盤碎片。這樣有利于優(yōu)化系統(tǒng),節(jié)約磁盤空間。5.2局域網(wǎng)安全威脅分析 局域網(wǎng)由于通過交換機(jī)和服務(wù)器連接網(wǎng)內(nèi)每一臺(tái)電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時(shí)局域網(wǎng)采用的技術(shù)比較簡(jiǎn)單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類: 1. 欺騙性的軟件使數(shù)據(jù)安全性降低 由于局域網(wǎng)很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據(jù)開放性”,導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除,數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機(jī)構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號(hào)ID、ATM PIN碼或信用卡詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站,但由于大型網(wǎng)站反應(yīng)比較迅速,而且所提供的安全功能不斷增強(qiáng),網(wǎng)絡(luò)釣魚已越來越多地把目光對(duì)準(zhǔn)了較小的網(wǎng)站。同時(shí)由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識(shí)和手段,因此會(huì)造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。 2. 服務(wù)器區(qū)域沒有進(jìn)行獨(dú)立防護(hù)局域網(wǎng)內(nèi)計(jì)算機(jī)的數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨(dú)立保護(hù),其中一臺(tái)電腦感染病毒,并且通過服務(wù)器進(jìn)行信息傳遞,就會(huì)感染服務(wù)器,這樣局域網(wǎng)中任何一臺(tái)通過服務(wù)器信息傳遞的電腦,就有可能會(huì)感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對(duì)外來攻擊,但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。3. 計(jì)算機(jī)病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時(shí)安裝防病毒軟件和操作系統(tǒng)補(bǔ)丁,或未及時(shí)更新防病毒軟件的病毒庫而造成計(jì)算機(jī)病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個(gè)弱點(diǎn)。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crime ware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結(jié)合推動(dòng)舊有寄生軟件變種增長(zhǎng)3倍之多。2008年,預(yù)計(jì)犯罪軟件社區(qū)對(duì)寄生軟件的興趣將繼續(xù)增長(zhǎng),寄生軟件的總量預(yù)計(jì)將增長(zhǎng)20%。 4. 局域網(wǎng)用戶安全意識(shí)不強(qiáng)許多用戶使用移動(dòng)存儲(chǔ)設(shè)備來進(jìn)行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動(dòng)存儲(chǔ)設(shè)備帶入內(nèi)部局域網(wǎng),同時(shí)將內(nèi)部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時(shí)增加了數(shù)據(jù)泄密的可能性。另外一機(jī)兩用甚至多用情況普遍,筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用,造成病毒的傳入和信息的泄密。 5. IP地址沖突局域網(wǎng)用戶在同一個(gè)網(wǎng)段內(nèi),經(jīng)常造成IP地址沖突,造成部分計(jì)算機(jī)無法上網(wǎng)。對(duì)于局域網(wǎng)來講,此類IP地址沖突的問題會(huì)經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡(luò)管理員必須加以解決。 正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨(dú)特的特點(diǎn),造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。5.3局域網(wǎng)安全控制1. 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個(gè)過程,它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看,主要涉及管理、技術(shù)和應(yīng)用三個(gè)層面。要確保信息安全工作的順利進(jìn)行,必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次上,而進(jìn)行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個(gè)環(huán)節(jié)的加固又是見效最快的。所以必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理,注意管理方式和實(shí)現(xiàn)方法。從而加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防范意識(shí),提高內(nèi)部管理人員整體素質(zhì)。同時(shí)要加強(qiáng)法制建設(shè), 進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的法律,以便更有利地打擊不法分子。對(duì)局域網(wǎng)內(nèi)部人員,從下面幾方面進(jìn)行培訓(xùn): (1)加強(qiáng)安全意識(shí)培訓(xùn),讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計(jì)算機(jī)使用者共同的責(zé)任。 (2)加強(qiáng)安全知識(shí)培訓(xùn),使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí),至少能夠掌握如何備份本地的數(shù)據(jù),保證本地?cái)?shù)據(jù)信息的安全可靠。 (3)加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn),通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí),能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識(shí),樹立良好的計(jì)算機(jī)使用習(xí)慣。 2. 局域網(wǎng)安全控制策略安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個(gè)方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。(1)利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用,是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限,網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略,強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼,包括設(shè)置口令鎖定服務(wù)器控制臺(tái),以防止非法用戶修改。設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問。刪除重要信息或破壞數(shù)據(jù),提高系統(tǒng)安全行,對(duì)密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)。 (2)采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上,與網(wǎng)絡(luò)的其余部分隔開,它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪,用來保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:(1)深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個(gè)數(shù)據(jù)流當(dāng)中有多個(gè)數(shù)據(jù)包,在尋找攻擊異常行為的同時(shí),保持整個(gè)數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量,以避免應(yīng)用時(shí)帶來時(shí)延。(2)IP/URL過濾。一旦應(yīng)用流量是明文格式,就必須檢測(cè)HTTP請(qǐng)求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請(qǐng)求的其余部分。其實(shí),如果把應(yīng)用響應(yīng)考慮進(jìn)來,可以大大提高檢測(cè)攻擊的準(zhǔn)確性。雖然URL過濾是一項(xiàng)重要的操作,可以阻止通常的腳本類型的攻擊。(3)TCP/IP終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包,并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效,就必須在用戶與應(yīng)用保持互動(dòng)的整個(gè)會(huì)話期間,能夠檢測(cè)數(shù)據(jù)包和請(qǐng)求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協(xié)議,并且在整個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP/IP終止,并有效地扼殺木馬。時(shí)等。(4)訪問網(wǎng)絡(luò)進(jìn)程跟蹤。訪問網(wǎng)絡(luò)進(jìn)程跟蹤。這是防火墻技術(shù)的最基本部分,判斷進(jìn)程訪問網(wǎng)絡(luò)的合法性,進(jìn)行有效攔截。這項(xiàng)功能通常借助于TDI層的網(wǎng)絡(luò)數(shù)據(jù)攔截,得到操作網(wǎng)絡(luò)數(shù)據(jù)報(bào)的進(jìn)程的詳細(xì)信息加以實(shí)現(xiàn)。封存所有空閑的IP地址,啟動(dòng)IP地址綁定,采用上網(wǎng)計(jì)算機(jī)IP地址與MAC地址唯一對(duì)應(yīng),網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。 (3)屬性安全控制。它能控制以下幾個(gè)方面的權(quán)限:防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件。啟用殺毒軟件強(qiáng)制安裝策略,監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī),對(duì)沒有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。第六章 結(jié)論當(dāng)今世界是個(gè)信息化社會(huì),世界與日俱進(jìn),要求現(xiàn)代企業(yè)的發(fā)展跟上信息化的步伐。企業(yè)網(wǎng)絡(luò)的構(gòu)建與完善不僅為企業(yè)員工提供了全新的工作環(huán)境,利用計(jì)算機(jī)和網(wǎng)絡(luò)進(jìn)行工作、交流,而且改變了傳統(tǒng)的工作方式,極大的提高了工作的質(zhì)量和效率。企業(yè)網(wǎng)絡(luò)的構(gòu)建不僅提升了企業(yè)的發(fā)展空間,而且企業(yè)的網(wǎng)絡(luò)安全得到保障。本文通過南京網(wǎng)亞計(jì)算機(jī)有限公司組網(wǎng)這一案例,將組網(wǎng)所需的設(shè)備選型、IP規(guī)劃、具體交換機(jī)等的配置、網(wǎng)絡(luò)布線等必備步驟一一羅列,闡述了現(xiàn)在社會(huì)企業(yè)信息化的必要性。一個(gè)企業(yè)局域網(wǎng)的高性能、高穩(wěn)定、高管理性、靈活性、安全性、經(jīng)濟(jì)性是影響企業(yè)在這一信息化社會(huì)立足的關(guān)鍵。參考文獻(xiàn)1 弗魯姆(Richard Froom).CCNP學(xué)習(xí)指南.組建Cisco多層交換網(wǎng)絡(luò)(BCMSN)(第4版)M,2007.2 WilliamStallings.Network Security Essentials Applications and Standards Third EditionM,2007.3 施敏 、李亞明、王國平.網(wǎng)絡(luò)管理員之局域網(wǎng)組建與維護(hù)超級(jí)技巧1000例M,2007.4 李晉平.局域網(wǎng)組建和安全管理的實(shí)用技術(shù)J.電腦開發(fā)與應(yīng)用,2002,15(10).5 衛(wèi)少軍.中小企業(yè)辦公局域網(wǎng)組建方案J.科技情報(bào)開發(fā)與經(jīng)濟(jì),2004,14(9).6 金剛善.局域網(wǎng)組網(wǎng)案例精編GBH.北京:中國水利水電出版社,2004.7 鐘小平.網(wǎng)絡(luò)服務(wù)器配置與應(yīng)用GBH.北京:人民郵電出版社,2005.8 衛(wèi)少軍.中小企業(yè)辦公局域網(wǎng)組建方案.北京:科技情報(bào)開發(fā)與經(jīng)濟(jì),2004.9 張萍,張偉.濱論企業(yè)組建局域網(wǎng)的方案.哈爾濱:自動(dòng)化技術(shù)與應(yīng)用,2005.10 李春山.中小企業(yè)局域網(wǎng)組建和管理的實(shí)踐.哈爾濱:信息技術(shù),20