序言:寫作是分享個人見解和探索未知領域的橋梁��,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡設計方案樣本�,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀�����。
第1篇
關鍵詞:網(wǎng)絡安全 異構防火墻 部署 安全規(guī)則
1��、前言
防火墻能有效地控制內部網(wǎng)絡與外部網(wǎng)絡之間的訪問及數(shù)據(jù)傳輸�����,從而達到保護內部網(wǎng)絡的信息不受外部非授權用戶的訪問和過濾不良信息的目的��,它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進行檢查�,來決定網(wǎng)絡之間的通信是否被允許。我們設計的防火墻主要是讓它來防御外部網(wǎng)絡對某企業(yè)內部網(wǎng)絡的攻擊�,同時也防止內部網(wǎng)絡不法人員把該企業(yè)數(shù)據(jù)泄漏出去���。傳統(tǒng)的防火墻處于網(wǎng)絡體系的網(wǎng)絡層�,用它來負責網(wǎng)絡間的安全認證與傳輸��,但當今防火墻技術在不斷的發(fā)展�����,已經(jīng)從網(wǎng)絡層擴展到了其它安全層,它的任務不再是過濾任務���,還可以為網(wǎng)絡應用提供相應的安全服務��,并且防火墻產(chǎn)品也發(fā)展成為具有數(shù)據(jù)安全與用戶認證和防止病毒與黑客入侵的能力。
2、采用的防火墻技術
首先我們來探討下該企業(yè)網(wǎng)絡安全系統(tǒng)中設計防火墻時所采用的防火墻技術���。在設計防火墻體系結構時��,應從現(xiàn)有的防火墻技術出發(fā)���,通常采用的防火墻
技術有:
⑴包過濾技術
包過濾(PaCketFilter)技術是在網(wǎng)絡層中對數(shù)據(jù)包實施有選擇的通過�。依據(jù)系統(tǒng)內事先設定的過濾邏輯��,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后�����,根據(jù)數(shù)據(jù)包的源地址�����、目的地址��、TCP/UDP源端口號��、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標志位等因素來確定是否允許數(shù)據(jù)包通過�����,其核心是安全策略即過濾算法的設計。例如�,用于特定的因特網(wǎng)服務的服務器駐留在特定的端口號的事實(如TCP端口23用于Telnet連接),使包過濾器可以通過簡單的規(guī)定適當?shù)亩丝谔杹磉_到阻止或允許一定類型的連接的目的,并可進一步組成一套數(shù)據(jù)包過濾規(guī)則�。包過濾技術作為防火墻的應用有三類:一是路由設備在完成路由選擇和數(shù)據(jù)轉發(fā)之外���,同時進行包過濾���,這是目前較常用的方式;二是在工作站上使用軟件進行包過濾�����,這種方式價格較貴;三是在一種稱為屏蔽路由器的路由設備上啟動包過濾功能。
⑵應用網(wǎng)關技術
應用網(wǎng)關(ApplicationGateway)技術是建立在網(wǎng)絡應用層上的協(xié)議過濾��,它針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠對數(shù)據(jù)包分析并形成相關的報告��。應用網(wǎng)關對某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴格的控制�����,以防有價值的程序和數(shù)據(jù)被竊取�����。它的另一個功能是對通過的信息進行記錄�����,如什么樣的用戶在什么時間連接了什么站點。在實際工作中�,應用網(wǎng)關一般由專用工作站系統(tǒng)來完成�����。
有些應用網(wǎng)關還存儲Internet上的那些被頻繁使用的頁面��。當用戶請求的頁面在應用網(wǎng)關服務器緩存中存在時,服務器將檢查所緩存的頁面是否是最新的版本(即該頁面是否已更新)���,如果是最新版本�����,則直接提交給用戶�����,否則�,到真正的服務器上請求最新的頁面��,然后再轉發(fā)給用戶�。
⑶服務器技術
服務器(ProxyServer)作用在應用層�����,它用來提供應用層服務的控制,起到內部網(wǎng)絡向外部網(wǎng)絡申請服務時中間轉接作用�����。內部網(wǎng)絡只接受提出的服務請求,拒絕外部網(wǎng)絡其它接點的直接請求。
具體地說��,服務器是運行在防火墻主機上的專門的應用程序或者服務器程序;防火墻主機可以是具有一個內部網(wǎng)絡接口和一個外部網(wǎng)絡接口的雙重宿主主機,也可以是一些可以訪問因特網(wǎng)并被內部主機訪問的堡壘主機��。這些程序接受用戶對因特網(wǎng)服務的請求(諸如FTP�、Telnet)�����,并按照一定的安全策略轉發(fā)它們到實際的服務�。提供代替連接并且充當服務的網(wǎng)關�。
包過濾技術和應用網(wǎng)關是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)通過�����,其優(yōu)點是速度快、實現(xiàn)方便�,缺點是審計功能差,過濾規(guī)則的設計存在矛盾關系,過濾規(guī)則簡單��,安全性差��,過濾規(guī)則復雜,管理困難。一旦判斷條件滿足���,防火墻內部網(wǎng)絡的結構和運行狀態(tài)便“暴露”在外來用戶面前�。技術則能進行安全控制又可以加速訪問�����,能夠有效地實現(xiàn)防火墻內外計算機系統(tǒng)的隔離�����,安全性好,還可用于實施較強的數(shù)據(jù)流監(jiān)控���、過濾�����、記錄和報告等功能�。其缺點是對于每一種應用服務都必須為其設計一個軟件模塊來進行安全控制,而每一種網(wǎng)絡應用服務的安全問題各不相同���,分析困難�,因此實現(xiàn)也困難��。
在實際應用當中�,構筑防火墻的“真正的解決方案”很少采用單一的技術���,通常是多種解決不同問題的技術的有機組合��。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務以及你愿意接受什么等級的風險�����,采用何種技術來解決那些問題依賴于你的時間���、金錢�、專長等因素。
根據(jù)以上三種防火墻構建技術�,我們研究給該企業(yè)用異構防火墻部署�。
3、異構防火墻的部署
當前��,該企業(yè)的網(wǎng)絡中已經(jīng)部署了一臺PIX525���,該防火墻提供保護整上內部網(wǎng)絡的作用�,用來防止來自外部的攻擊���,把網(wǎng)絡分成兩個網(wǎng)段�����,但是如果一旦黑客攻訪了防火墻�,那么整個內部網(wǎng)絡就暴漏在了黑客面前�����,如果是惡意攻一擊那么武威面粉廠的利益將受到很大損害�����。所以我們調查研究后,決定采用異構防火墻的部署方式�����,在原來防火墻的基礎上�,根據(jù)武威面粉廠資金,在財務網(wǎng)絡和內部網(wǎng)絡之間再架構一臺防火墻�����,把網(wǎng)絡分成三個網(wǎng)段�����,這樣極大的提高了整個網(wǎng)絡的安全防御能力。在不同的網(wǎng)段采用不同的安全級別�����,而實際上財務網(wǎng)絡和接入內部網(wǎng)層的安全級別和內部網(wǎng)絡接入Internet網(wǎng)絡服務層的安全強度本身要求就是不同的�,并且不同的防火墻產(chǎn)品其性能結構也不僅相同�����,它們具有不同的安全級別和安全強度��,當其中一個防火墻被攻陷后�����,不會影響到其它網(wǎng)段�。
并且管理員可以有效的管理網(wǎng)絡��,輕松的對付外部攻擊��。
在網(wǎng)絡的硬件設備部署中��,我們在外部網(wǎng)絡訪問層與內部網(wǎng)絡接入層我們部署了PIX525防火墻(Fl)�����,在財務網(wǎng)絡與內部網(wǎng)絡接入層我們部署了遠東網(wǎng)安2000防火墻(F2)�。在每一個防火墻上設置不同的安全策略���,來達到對整個網(wǎng)絡的多層防護,減少單一防火墻部署所帶來的損失��。通過這兩個防火墻的部署��,把網(wǎng)絡分成三個網(wǎng)段�。防火墻產(chǎn)品本身不具有安全性���,必須給它建立可靠的規(guī)則來使其成為一成功�、安全和可靠的產(chǎn)品��,根據(jù)兩個防火墻所管束的網(wǎng)段的不同和其性能的不同�,我們分別對Fl區(qū)和F2區(qū)設置不同的安全規(guī)則。設置規(guī)則如下:
Fl的安全規(guī)則為:
⑴內部用戶可以訪問Internet��。
⑵內部用戶與外部的網(wǎng)絡連接必須通過服務器。
⑶外部用戶只可以使用WEB和MAIL服務器�����。
⑷外部的Telnet會話只能與指定主機進行���。
⑸DNS服務器只允許解析應用計算機,不允許解析內部用戶�����。
F2的安全規(guī)則為:
⑴只允許內部用戶的訪問�����。
⑵拒絕所有來自外部主機的數(shù)據(jù)包�。
⑶FTP會話必須經(jīng)過安全認證。
⑷與外部的數(shù)據(jù)交換只能通過特定端口完成�。
⑸在指定的時間內才可以進行遠程訪問��。
4、結語
經(jīng)過次次論文中設計方案的實施���,某企業(yè)內網(wǎng)的安全問題從防火墻設計整體考慮�����,在統(tǒng)一布置思想指導下采用新的網(wǎng)絡防護技術���,網(wǎng)絡安全問題得到了一定程序的解決,給管理員和該企業(yè)職工帶來了很大的方便。但網(wǎng)絡技術在不斷的發(fā)展���,在我們的設計的網(wǎng)絡安全系統(tǒng)中將會很快會出現(xiàn)一些意想不到的安全問題需要我們去解決�����,但是在斷的學習和改進中�����,相信隨著技術的發(fā)展我們的技術水平也會得到不斷的提高�。
第2篇
隨著近年來信息化的快速推進���,供電企業(yè)網(wǎng)絡信息系統(tǒng)與Internet的交互日益頻繁�,基于Internet的業(yè)務呈不斷增長態(tài)勢。電力行業(yè)作為國民經(jīng)濟的重要組成部分���,已經(jīng)在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠�,關系著國民經(jīng)濟的發(fā)展�����,更影響著人們的日常生活。然而電力企業(yè)信息網(wǎng)絡的發(fā)展還不健全�,尚存在很多安全問題��。這些問題正是黑客和病毒入侵的目標�����。縣級供電企業(yè)是整個電力企業(yè)的基本單位�,只有保證縣級供電企業(yè)信息網(wǎng)絡的安全��,才能使整個電力行業(yè)正常的運行�����,因此對其信息網(wǎng)絡安全的研究受到越來越多的關注��。
2 信息網(wǎng)絡安全概述
信息網(wǎng)絡安全是指運用各種相關技術和管理��,使網(wǎng)絡信息不受危害和威脅�,保證信息的安全�。由于計算機網(wǎng)絡在建立時就存在缺陷��,本身具有局限性�,使其網(wǎng)絡系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵���,嚴重時甚至可能引起整個系統(tǒng)的癱瘓��,以至于造成巨大的損失��。相對于外界的破壞,自身的防守時非常艱巨的���,必須保證每個軟件���、每一項服務���,甚至每個細節(jié)都要安全可靠�。因此要對網(wǎng)絡安全進行細致的研究�����,下面介紹其特征:
2.1 完整性
主要是指數(shù)據(jù)的完整性�����。數(shù)據(jù)信息在未經(jīng)許可的情況下不能進行任何修改���。
2.2 保密性
未經(jīng)授權的用戶不能使用該數(shù)據(jù)���。
2.3 可用性
被授權的用戶可以根據(jù)自己的需求使用該數(shù)據(jù)��,不能阻礙其合法使用���。
2.4 可控性
系統(tǒng)要能控制能夠訪問數(shù)據(jù)的用戶�,可以被訪問的數(shù)據(jù)以及訪問方式���,并記錄所有用戶在系統(tǒng)內的網(wǎng)絡活動�。
3 信息網(wǎng)絡系統(tǒng)安全存在的問題
3.1 系統(tǒng)設備和軟件存在漏洞
網(wǎng)絡系統(tǒng)的發(fā)展時間很短,因此其操作系統(tǒng)���、協(xié)議和數(shù)據(jù)庫都存在漏洞�����,這些漏洞變成為黑客和病毒入侵的通道�����;存儲介質受到破壞��,使系統(tǒng)中的信息數(shù)據(jù)丟失和泄漏���;系統(tǒng)不進行及時的修補,采用較弱的口令和訪問限制��。這些都是導致信息網(wǎng)絡不安全的因素���。網(wǎng)絡是開放性的��,因此非常容易受到外界的攻擊和入侵�����,入侵者便是通過運用相關工具掃描系統(tǒng)和網(wǎng)絡中的漏洞���,通過這些漏洞進行攻擊��,致使網(wǎng)絡受到危害��,資料泄露���。
3.2 制度不完善
目前對于信息網(wǎng)絡的建立�,數(shù)據(jù)的使用以及用戶的訪問沒有完善的規(guī)章制度���,這也導致了各個縣級供電企業(yè)信息網(wǎng)絡系統(tǒng)之間的不統(tǒng)一�����,在數(shù)據(jù)傳輸和利用上受到限制��。同時在目前已經(jīng)確立的信息網(wǎng)絡安全的防護規(guī)章制度的執(zhí)行上���,企業(yè)也不能嚴格的執(zhí)行�����。
4 提高網(wǎng)絡安全方法
4.1 網(wǎng)絡安全策略
信息網(wǎng)絡是一個龐大的系統(tǒng)���,包括系統(tǒng)設備和軟件的建立��、數(shù)據(jù)的維護和更新�����、對外界攻擊的修復等很多方面�,必須各個細節(jié)都要保證安全���,沒有漏洞���。然而很多供電企業(yè),尤其是縣級企業(yè)并沒有對其引起足夠的重視�����,只是被動地進行防護。整體的安全管理水平很低���,沒有完備的網(wǎng)絡安全策略和規(guī)劃��。因此要想實現(xiàn)信息網(wǎng)絡的安全,首先需要制定一個全面可行的安全策略以及相應的實施過程��。
4.2 提高網(wǎng)絡安全技術人員技術水平
信息網(wǎng)絡的運行涉及很多方面�����,其安全防護只是其中一部分��,因此在網(wǎng)絡安全部分要建立專業(yè)的安全技術隊伍。信息網(wǎng)絡中的一些系統(tǒng)和應用程序更新速度不一致��,也會造成網(wǎng)絡的不安全�。一般企業(yè)的網(wǎng)絡管理員要兼顧軟硬件的維護和開發(fā)�����,有時會顧此失彼�����,因此要建立更專業(yè)的安全技術隊伍,使信息網(wǎng)絡的工作各有分工��,實現(xiàn)專業(yè)性�,提升整體網(wǎng)絡安全技術水平��,提高工作效率��。
4.3 完備的數(shù)據(jù)備份
當信息網(wǎng)絡受到嚴重破壞時,備份數(shù)據(jù)便發(fā)揮了作用。不論網(wǎng)絡系統(tǒng)建立的多完善,安全措施做得多到位�,保留完備的備份數(shù)據(jù)都是有備無患�。進行數(shù)據(jù)備份,首先要制定全面的備份計劃���,包括網(wǎng)絡系統(tǒng)和數(shù)據(jù)信息備份�、備份數(shù)據(jù)的修改和責任人等。備份時要嚴格按照計劃進行實施。還要定期的檢查備份數(shù)據(jù),保證數(shù)據(jù)的完整性和實時性�。同時網(wǎng)絡管理人員的數(shù)據(jù)備份和恢復技術的操作要很熟練��,這樣才能保障備份數(shù)據(jù)的有效性���。
4.4 加強防病毒
隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡病毒也越來越多�����,這些病毒都會對信息網(wǎng)絡造成或多或少的危害。防病毒不僅需要應用專業(yè)可靠的防毒體系���,還要建立防火墻�����,屏蔽非法的數(shù)據(jù)包��。
對于防毒�����,在不同的硬件上要安裝相應的防毒程序��。例如工作站上應該安裝單機的防毒程序;主機上則安裝主機防毒程序��;網(wǎng)關上安裝防病毒墻�����;而這些不同的防毒程序的升級可以通過設立防毒控制中心�����,統(tǒng)一管理,由中心將升級包發(fā)給各個機器��,完成整個網(wǎng)絡防毒系統(tǒng)的升級���。這樣有針對性的防毒程序能更有效的進行病毒防護��。
防火墻可以通過檢測和過濾,阻斷外來的非法攻擊�����。防火墻的形式包括硬件��、軟件式和內嵌式三種�����。內嵌式防火墻需要與操作系統(tǒng)結合,性能較高�,應用較為廣泛�。
5 具體措施
5.1 增強管理安全
在網(wǎng)絡安全中管理是最重要的��,如果安全管理制度不完善���,就會導致正常的網(wǎng)絡安全工作不能有序實施��。信息網(wǎng)絡的管理包括對網(wǎng)絡的定期檢查��、實時監(jiān)控以及出現(xiàn)故障時及時報告等�。為了達到管理安全�,首先,要制定完整詳細的供電企業(yè)信息網(wǎng)絡安全制度��,并嚴格實施;其次�,對用戶的網(wǎng)絡活動做記錄并保存網(wǎng)絡日志���,以便對外部的攻擊行為和違法操作進行追蹤定位;還應制定應急方案���,在網(wǎng)絡系統(tǒng)出現(xiàn)故障和攻擊時及時采取措施。
5.2 網(wǎng)絡分段
網(wǎng)絡分段技術是指在網(wǎng)絡中傳輸?shù)男畔?����,可以被處在用以網(wǎng)絡平臺上其他節(jié)點的計算機截取的技術�����。采用這種技術可以限制用戶的非法訪問�����。比如,黑客通過網(wǎng)絡上的一個節(jié)點竊取該網(wǎng)絡上的數(shù)據(jù)信息�����,如果沒有任何限制,便能獲得所有的數(shù)據(jù),而網(wǎng)絡分段技術則可以在這時�,將黑客與網(wǎng)絡上的數(shù)據(jù)隔離���,限制其非法訪問,進而保護了信息網(wǎng)絡的安全。
5.3 數(shù)據(jù)備份
重要數(shù)據(jù)的備份是網(wǎng)絡安全的重要工作�����。隨著網(wǎng)絡技術的迅速發(fā)展�,備份工作也必須要與之一致���,保證實時性和完整性���,才能在出現(xiàn)緊急問題時發(fā)揮其應有的作用,恢復數(shù)據(jù)信息���。整個龐大的信息網(wǎng)絡,備份的數(shù)據(jù)量也是很大的,要避免或減少不必要的備份���;備份的時間也要恰當?shù)剡x擇,盡量不影響用戶的使用;同時備份數(shù)據(jù)的存儲介質要選擇適當。
5.4 病毒檢測和防范
檢測也是信息安全中的一個重要環(huán)節(jié)���。通過應用專業(yè)的檢測工具��,對網(wǎng)絡進行不斷地檢測,能夠及時的發(fā)現(xiàn)漏洞和病毒,在最短時間內采取相應的措施。
病毒防范技術有很多�����,可以先分析網(wǎng)絡病毒的特征��,建立病毒庫,在掃描數(shù)據(jù)信息時如果對象的代碼與病毒庫中的代碼吻合�,則判斷其感染病毒;對于加密、變異的不易掃描出來的病毒可以通過虛擬執(zhí)行查殺�;最基本的還是對文件進行實時監(jiān)控��,一旦感染病毒�,及時報警并采取相應的措施。
6 結束語
第3篇
關鍵詞:VLAN�;虛擬局域網(wǎng)��;企業(yè)網(wǎng)絡;網(wǎng)絡設計
中圖分類號:TP393文獻標識碼:A文章編號:16727800(2012)009013403
1企業(yè)組網(wǎng)中采用單一網(wǎng)段架構的不足之處
企業(yè)在組建局域網(wǎng)和信息化平臺時�,為節(jié)約成本往往采用了單一網(wǎng)段架構的組網(wǎng)模式���。隨著企業(yè)內部聯(lián)網(wǎng)計算機的不斷增多�����、網(wǎng)絡應用的日趨復雜���,這種架構的弊端也不斷顯現(xiàn)出來���。由于防火墻�、服務器�����、工作站等網(wǎng)絡設備處在同一個網(wǎng)段(同一廣播域)��,大量的廣播包發(fā)送到局域網(wǎng)上容易引起廣播風暴、占用很高的網(wǎng)絡帶寬���,從而影響到正常業(yè)務數(shù)據(jù)流的穩(wěn)定傳輸���。一旦某計算機發(fā)生ARP攻擊或者冒用了網(wǎng)絡設備的IP地址,就會干擾到網(wǎng)絡的正常運行���,造成嚴重的安全隱患���。為了解決上述問題���,提高企業(yè)網(wǎng)絡的安全性�、穩(wěn)定性和可靠性,就需要部署與實施VLAN虛擬局域網(wǎng)�。
2VLAN虛擬局域網(wǎng)的主要特點
IEEE802.1Q定義了VLAN網(wǎng)橋和操作規(guī)范���。傳統(tǒng)的共享介質型以太網(wǎng)中,所有的計算機位于同一個廣播域中�,廣播域越大對網(wǎng)絡性能的影響也就越大��。有效的解決途徑就是把單一網(wǎng)段架構的以太網(wǎng)劃分成邏輯上相互獨立的多個子網(wǎng)�����,同一VLAN中的廣播包只有同一VLAN的成員組才能收到��,而不會傳輸?shù)狡渌黇LAN中去,這就很好地控制了廣播風暴�。在企業(yè)網(wǎng)絡組建中,通過合理的VLAN設計規(guī)劃��,一方面可以限制廣播域���,最大限度地防止廣播風暴的發(fā)生,節(jié)省網(wǎng)絡帶寬�;同時還可以提高網(wǎng)絡處理能力�,并通過VLAN間路由�����、VLAN間互訪策略,全面增強企業(yè)網(wǎng)絡的安全性��。
3企業(yè)VLAN規(guī)劃中的技術要點
VLAN技術在大型局域網(wǎng)�、大型校園網(wǎng)的組建中有著廣泛的應用�,VLAN的規(guī)劃和設計是高等計算機網(wǎng)絡的一個重點��,同時也是一個技術難點�����,實施者必須具備較高的計算機網(wǎng)絡知識與實踐技能��。企業(yè)在實施VLAN前���,應該從以下幾個方面重點分析和考慮:
(1)根據(jù)目前的網(wǎng)絡拓撲、綜合布線��、各類網(wǎng)絡設備、計算機數(shù)量以及分布的地理位置進行統(tǒng)計和調研���。通常位于核心層的防火墻�、服務器組等應劃分到一個單獨的VLAN網(wǎng)段���,然后根據(jù)各部門的網(wǎng)絡應用需求���、聯(lián)網(wǎng)設備數(shù)量作進一步規(guī)劃�����。
(2)采用合適的VLAN劃分技術�,常見的VLAN劃分方式包括:基于端口的VLAN���、基于MAC地址的VLAN�、基于協(xié)議的VLAN�、基于IP子網(wǎng)的VLAN 和基于策略的VLAN等。以中小型企業(yè)為例���,計算機的數(shù)量與分布的地理位置相對比較固定,優(yōu)先考慮采用基于端口的靜態(tài)VLAN劃分方式�����。將交換機中的任意端口定義為一個VLAN端口組成員,從而形成一個VLAN網(wǎng)段���,將指定端口加入到指定VLAN中之后��,該端口就可以轉發(fā)指定VLAN的數(shù)據(jù)包��。
(3)各個VLAN之間的路由與ACL訪問策略的配置��。通常服務器所屬的VLAN可以與其它VLAN相互訪問���,各個VLAN的內部計算機可以互訪,其它VLAN之間計算機的互訪權限視具體情況在三層交換機加以啟用或禁用�。
(4)防火墻到各個VLAN之間的路由規(guī)劃���。防火墻是整個企業(yè)網(wǎng)的Internet總出口�,直接決定哪些VLAN組���、哪些計算機成員可以訪問Internet�����。
(5)必要的經(jīng)費投入�,購買合適的網(wǎng)絡設備���。一般選擇三層智能VLAN以太網(wǎng)交換機���,根據(jù)設計方案���,通過命令參數(shù)進行配置。由于不同品牌��、不同型號的交換機VLAN配置參數(shù)與語法命令不盡相同�����,因此需要VLAN實施者精通常用交換機的配置與應用�。
4某企業(yè)VLAN規(guī)劃和實施的具體步驟與案例分析
隨著經(jīng)營業(yè)務的不斷擴展��、聯(lián)網(wǎng)設備的不斷增多�,為提高局域網(wǎng)安全性和處理能力��,筆者參與了某商品流通企業(yè)的局域網(wǎng)VLAN實施項目��。從企業(yè)網(wǎng)絡應用的規(guī)模和現(xiàn)狀分析�����,設計劃分為5個VLAN, 其中VLAN16為服務器核心網(wǎng)段�,可以與其它全部VLAN(17~20)互訪�����。VLAN(17~20)只能訪問16網(wǎng)段�,相互之間不能互訪���,但每個VLAN內部計算機可以互訪���。防火墻型號為H3C SecPath F100S���,LAN口管理IP為192.168.16.1�,可以路由到全部5個VLAN�,并能控制任意網(wǎng)段的計算機訪問外網(wǎng)與IP流量。
接入層訪問端口,按表1方案���,連接網(wǎng)絡設備�����、各職能部門的工作站計算機��、網(wǎng)絡共享打印機�、無線接入點AP等
在實施VLAN前,首先要對企業(yè)現(xiàn)有的綜合布線作全面的梳理���,每根網(wǎng)線連接哪臺電腦、交換機的端口標識要明確���、清晰�。在核心交換機端口充裕的情況下�����,做到計算機與核心交換機端口直接相連���,盡量不要采用SOHO交換機進行多層次的網(wǎng)絡轉接�����。根據(jù)VLAN設計方案�����,對網(wǎng)絡設備��、部門計算機的網(wǎng)絡參數(shù)進行重新分配和配置��,把每臺計算機的網(wǎng)線連接到交換機對應的VLAN端口�����。
該項目中��,采用了H3C公司的48口全千兆三層以太網(wǎng)交換機S550048PSI��。S550048PSI千兆以太網(wǎng)交換機定位于企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入�����,具備豐富的業(yè)務特性��,提供了高性能�、大容量的交換服務�,并支持10GE 的上行接口,為接入設備提供了更高的帶寬��。同時還可以用于數(shù)據(jù)中心服務器群的連接���,為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個基于端口的VLAN���,在全雙工模式下交換容量為240Gbps��,整機包轉發(fā)率為72Mpps��,可以滿足企業(yè)目前應用需求。
S550048PSI交換機的配置是整個VLAN實施中的技術重點和難點�,其配置要點說明如下:
(1)創(chuàng)建ACL訪問策略��。根據(jù)設計方案�,VLAN16可以與VLAN(17~20)直接互訪���,無須設置拒絕訪問規(guī)則。VLAN17不能與VLAN(18~20)互訪,VLAN18不能與VLAN(17�����、19、20)互訪�����,VLAN19不能與VLAN(17���、18、20)互訪�����,VLAN20不能與VLAN(17~19)互訪�。因此��,必須單獨設置規(guī)則號和拒絕訪問控制列表��。
5VLAN實施后產(chǎn)生問題如何解決
由于實施VLAN后除了VLAN16其它各網(wǎng)段之間不能直接互訪�,因此也帶來了一些網(wǎng)絡應用上的問題。比如不同VLAN之間不能直接共享打印機和共享文件夾��,需要重新設置共享。解決方案是在同一VLAN的內部計算機上設置共享打印機或者文件夾���,或者在VLAN16網(wǎng)段上設置共享打印機或者文件夾��,以便給全公司的聯(lián)網(wǎng)計算機訪問�����。
6結語
通過實施VLAN前后的網(wǎng)絡協(xié)議分析���,在企業(yè)網(wǎng)絡應用高峰期利用OmniPeek協(xié)議分析軟件在各個VLAN網(wǎng)段中實時抓包采樣���,發(fā)現(xiàn)各個網(wǎng)段的廣播包數(shù)量明顯減少�,網(wǎng)絡利用率有了明顯提高�,實施后從未發(fā)生過廣播風暴現(xiàn)象���。特別是核心層網(wǎng)絡設備從普通交換機升級到全千兆VLAN交換機后��,業(yè)務軟件的輸入���、統(tǒng)計�����、查詢��,以及瀏覽網(wǎng)頁的速度均有較大的提高�,網(wǎng)絡性能有了很大改善���。
上述企業(yè)VLAN的設計思路�����、實施步驟和配置參數(shù)具有很高的參考與應用價值�。規(guī)模更大�、更復雜的企業(yè)網(wǎng)擁有更多的計算機��,因此���,需在此基礎上劃分更多的VLAN��、設計更加復雜的ACL訪問控制策略�����。通過VLAN的實施���,不僅提高了網(wǎng)絡安全性和利用率,并且對于今后企業(yè)網(wǎng)絡的擴展和升級都帶來了很大的便利���。
參考文獻:
[1]崔北亮.CCNA認證指南(640-802)[M].北京:電子工業(yè)出版社�,2009.
[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京:中國水利水電出版社�����,2009.
[3]Marina Smith.虛擬局域網(wǎng)[M].北京:清華大學出版社�,2003.
第4篇
關鍵詞:企業(yè)發(fā)展;計算機局域網(wǎng);設計方案
Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.
Keywords: enterprise development; computer network; design
中圖分類號:TP393.1 文獻標識碼:A文章編號:2095-2104(2013)
局域網(wǎng)是在一個局部的地理范圍內比如:一個學校�����、工廠和機關內),一般是方圓幾千米以內���,將各種計算機,外部設備和數(shù)據(jù)庫等互相聯(lián)接起來組成的計算機通信網(wǎng)��。它可以通過數(shù)據(jù)通信網(wǎng)或專用數(shù)據(jù)電路�,與遠方的局域網(wǎng)��、數(shù)據(jù)庫或處理中心相連接���,構成一個較大范圍的信息處理系統(tǒng)。局域網(wǎng)可以實現(xiàn)文件管理�����、應用軟件共享�����、打印機共享��、掃描儀共享���、工作組內的日程安排�����、電子郵件和傳真通信服務等功能���。計算機局域網(wǎng)嚴格意義上是封閉型的�����,它可以由辦公室內幾臺甚至上千上萬臺計算機組成。決定計算機局域網(wǎng)的主要技術要素為:網(wǎng)絡拓撲��,傳輸介質與介質訪問控制方法。局域網(wǎng)的名字本身就隱含了這種網(wǎng)絡地理范圍的局域性��。由于較小的地理范圍的局限性���,企業(yè)計算機的局域網(wǎng)通常要比廣域網(wǎng)具有高的多的傳輸速率�,例如,計算機局域網(wǎng)的傳輸速率為10Mb/s���,F(xiàn)DDI的傳輸速率為100Mb/s��,而廣域網(wǎng)的主干線速率國內僅為64kbps或2.048Mbps,最終用戶的上線速率通常為14.4kbps。計算機局域網(wǎng)的拓撲結構常用的是總線型和環(huán)行��,這是由于有限地理范圍決定的,這兩種結構很少在廣域網(wǎng)環(huán)境下使用�。另外企業(yè)運用計算機局域網(wǎng)還有諸如高可靠性��、易擴縮和易于管理及安全等多種特性��。
一�、我國企業(yè)計算機局域網(wǎng)設計方案
為了提高企業(yè)的工作效率�����,從而進一步提高企業(yè)的經(jīng)濟效益��,很多企業(yè)都購置了可供需要的大量計算機。隨著經(jīng)濟的不斷發(fā)展��,社會生產(chǎn)力不斷地提高��,我國計算機技術水平不斷地提升��,企業(yè)的計算機也不在是以前孤立的個體�,慢慢的經(jīng)過科學技術革新、研究形成了企業(yè)根據(jù)自身情況所建立的“企業(yè)計算機局域網(wǎng)”�����。使企業(yè)內部形成的資源高度的共享、企業(yè)各部門有機協(xié)調的計算機網(wǎng)絡�,既方便了企業(yè)員工之間的工作��,也同時方便了企業(yè)管理層對員工的監(jiān)督���。就目前�����,我國各企業(yè)大都建立了自己的計算機網(wǎng)絡�,網(wǎng)絡應用也逐漸頗具規(guī)模�����,特別在數(shù)值計算�����、信息管理���、辦公事務�����、工程(產(chǎn)品)設計���、加工制造等方面基本實現(xiàn)了計算機應用�,計算機�����、網(wǎng)絡和數(shù)據(jù)庫正在成為企業(yè)日常運行的基石��。那么我國企業(yè)計算機局域網(wǎng)主要有以下幾種設計方案和遵循標準:
1、企業(yè)內部計算機局域網(wǎng)建設
企業(yè)內部計算機局域網(wǎng):是企業(yè)內部日常運作的重要保證�����。通過企業(yè)內部計算機局域網(wǎng)建設可實現(xiàn)企業(yè)內部辦公自動化���,財務電算化,數(shù)據(jù)共享��,上網(wǎng)鏈路共享��,打印共享��,內部電子郵件傳輸?shù)纫幌盗泄δ?�。但設計這樣的企業(yè)內部局域網(wǎng)需要遵循以下幾點原則:
(1)根據(jù)企業(yè)具體實際情況,設計網(wǎng)絡模型
根據(jù)企業(yè)的具體實際情況��,建議整個網(wǎng)絡系統(tǒng)采用多服務器的“主干—星型”混合拓撲結構。采用光纖和5類雙絞線連接UTP加上百兆交換機,從而實現(xiàn)真正的百兆連接到桌面。其中服務器和交換機放置在專用計算機房��,并配置網(wǎng)絡UPS���。這種企業(yè)內部局域網(wǎng)絡設計結構的優(yōu)勢在于非常靈活,網(wǎng)絡中任何一臺機器出現(xiàn)故障,對企業(yè)網(wǎng)絡整體都不會構成很大影響�。另外由于財務系統(tǒng)具有封閉性,可以在企業(yè)內部局域網(wǎng)絡中建立分支結構�����,既便于財務人員從主干獲取信息���,也保證企業(yè)內部財務信息的安全。
(2)工程布線標準
企業(yè)計算機局域網(wǎng)絡系統(tǒng)布線工程標準參照 EIA/TIA 568A���、EIA/TIA 569 ���、EIA/TIA 、TSB36/40工業(yè)��、國際商務建筑布線標準及相應國家電信通信標準�。
(3)網(wǎng)絡的保修:要定期對企業(yè)內部的計算機局域網(wǎng)進行維修檢查��,以防止故障的產(chǎn)生��,影響企業(yè)工作的流程安排。
(4)企業(yè)內部要建立自己本企業(yè)的網(wǎng)站
企業(yè)計算機局域網(wǎng)與傳統(tǒng)的企業(yè)內部辦公網(wǎng)絡的主要區(qū)別在于�,在先進的網(wǎng)絡設備和接入帶寬的保證下���,有一套運行在企業(yè)內部局域網(wǎng)上的��,與企業(yè)內部局域網(wǎng)網(wǎng)站相關連又有所區(qū)別的企業(yè)內部網(wǎng)站���?����?晒┢髽I(yè)員工分享資料��,查看企業(yè)的最新動態(tài)�����。
2���、企業(yè)計算機局域網(wǎng)上網(wǎng)共享的實現(xiàn)
通過企業(yè)計算機局域網(wǎng)���,可使全體員工共享上網(wǎng)資源�����。根據(jù)人員情況和上網(wǎng)需求量的大小�����,還可采用以下三種方式對上網(wǎng)進行分類:
(1)ADSL上網(wǎng)
非對稱數(shù)字用戶環(huán)路���,可以在普通的電話銅纜上提供1.5~8mbit/s的下行和10~64kbit/s的上行傳輸�,可進行視頻會議和影視節(jié)目傳輸,非常適合中�����、小企業(yè)��。
(2)ISDN上網(wǎng)
目前在國內迅速普及,價格大幅度下降�����,有的地方甚至是免初裝費用。兩個信道128kbit/s的速率���,快速的連接以及比較可靠的線路�����,可以滿足中小型企業(yè)瀏覽以及收發(fā)電子郵件的需求�����。而且還可以通過ISDN和Internet組建企業(yè)VPN�����。這種方法的性能價格比很高,在國內大多數(shù)的城市都有ISDN接入服務��。
(3)DDN專線上網(wǎng)
這種方式適合對帶寬要求比較高的應用���,如企業(yè)網(wǎng)站�。它的特點也是速率比較高��,范圍從64kbit/s~2Mbit/s��。但是,由于整個鏈路被企業(yè)獨占�,所以費用很高�,其優(yōu)勢在于速度極快���,在滿足內部上網(wǎng)需求的同時可以用于網(wǎng)站��。這樣就節(jié)省了網(wǎng)站所須的線路費用。
二���、企業(yè)計算機局域網(wǎng)設計的發(fā)展趨勢
隨著我國企業(yè)科學管理水平的提高�。企業(yè)管理科技化�����、信息化越來越受到企業(yè)的重視。對于企業(yè)計算機局域網(wǎng)設計發(fā)展趨勢應越趨于網(wǎng)絡速度的快速化�、網(wǎng)絡信息的安全化�、企業(yè)計算機局域網(wǎng)絡的穩(wěn)定化�����。其中�����,企業(yè)局域網(wǎng)的信息安全化逐漸成為企業(yè)設計計算機局域網(wǎng)的著重點�。因為企業(yè)的計算機局域網(wǎng)與國際互聯(lián)網(wǎng)相聯(lián)接�����,形成一個內、外部信息共享的網(wǎng)絡平臺�。這種連接方式使得企業(yè)內部的計算機局域網(wǎng)在給內部用戶帶來工作便利的同時,也面臨著外部環(huán)境——國際互聯(lián)網(wǎng)的多重危險���。如病毒�,黑客�����、垃圾郵件�、而已侵襲軟件等給企業(yè)內部網(wǎng)的安全和性能造成極大地沖擊,甚至會造成企業(yè)內部的經(jīng)濟損失。那么如何更有效地保護企業(yè)重要的信息數(shù)據(jù)��、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為當前企業(yè)設計計算機局域網(wǎng)必須解決的一個重要問題。
為了更好的解決企業(yè)信息安全的問題�,確保網(wǎng)絡信息的安全�,企業(yè)應建立完善的計算機安全保障體系���。該體系應包括網(wǎng)絡安全科學技術的防護和企業(yè)網(wǎng)絡信息安全管理兩方面��。對于網(wǎng)絡安全技術的防護主要側重于防范外部非法用戶的攻擊和企業(yè)重要內部數(shù)據(jù)信息的安全�。而企業(yè)網(wǎng)絡信息安全管理則側重于對內部人員操作使用的管理,也要防止內部人員的泄漏�。并在采用新的科學技術建立網(wǎng)絡安全防御體系的同時���,加強企業(yè)信息網(wǎng)絡的安全管理這兩方面相互補充�����,缺一不可。這個安全防御體系其中包括入侵檢測系統(tǒng)、安全訪問控制��、漏洞掃描�����、病毒防護、防火墻�����、接入認證���、電子文檔保護和網(wǎng)絡行為監(jiān)控���,在這些安全防御體系中入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)和病毒防護系統(tǒng)比較重要���??傊?��,對于企業(yè)計算機局域網(wǎng)的設計發(fā)展�����,企業(yè)應從多方面考量���,從整體著眼��,促進企業(yè)的長遠發(fā)展���。
【參考文獻】
1�、于玥.《網(wǎng)絡信息管理及其安全》.[J].計算機光盤軟件與應用.2010
第5篇
關鍵詞: 局域網(wǎng)���;規(guī)劃設計�����;系統(tǒng);網(wǎng)絡;應用
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)06-0054-02
1 現(xiàn)狀及需求分析
1.1計算機網(wǎng)絡系統(tǒng)現(xiàn)狀
瓦力公司的網(wǎng)絡系統(tǒng)現(xiàn)狀是�,全公司約有臺式電腦、筆記本電腦共300臺���。無核心交換機�、硬件防火墻,通過Cisco 2800路由器做NAT端口復用地址轉換來訪問因特網(wǎng)���,所有計算機在同一廣播域內�����,樓宇間通過100M雙絞線連接,樓宇至各辦公室終端計算機通過交換機級聯(lián)連接���。
1.2網(wǎng)絡系統(tǒng)需求分析
瓦力公司現(xiàn)在有計算機約220臺��,管理人員實現(xiàn)了一人一臺的電腦辦公環(huán)境�。
目前網(wǎng)絡系統(tǒng)存在的問題如下:
1)信息化的系統(tǒng)增加��,需要更大帶寬�����,更穩(wěn)定的網(wǎng)絡環(huán)境。
隨著企業(yè)發(fā)展���,網(wǎng)絡應用越來越多��,對網(wǎng)絡的穩(wěn)定性和帶寬有了更高的要求。
2)所有計算機處于同一廣播域�����,網(wǎng)絡風暴導致局域網(wǎng)極不穩(wěn)定��。
3)樓宇間的百兆雙絞線因距離較長�,信號衰減嚴重��,且百兆的核心速度已嚴重影響公司辦公效率�,成為信息化的瓶頸。
4)公司與因特網(wǎng)之間未架設防火墻���,隨時有中病毒或黑客攻擊的安全隱患���。
綜上所述��,公司網(wǎng)絡現(xiàn)狀與公司的規(guī)模及其他軟硬件設施不相匹配���,即不能適應企業(yè)現(xiàn)代化管理的要求��,也不能滿足企業(yè)日益膨脹的信息需求���。
總結起來�,瓦力公司對局域網(wǎng)的需求主要有:
1)辦公自動化�;一卡通系統(tǒng);PDM系統(tǒng)�����、ERP系統(tǒng);
2)劃分VLAN�����,創(chuàng)建廣播域�����,減少廣播風暴�,釋放帶寬�����;
3)改造樓宇間網(wǎng)絡�����,更換不穩(wěn)定的百兆雙絞線為更穩(wěn)定的千兆光纖��;
4)規(guī)范因特網(wǎng)訪問�,架設防火墻���,減少網(wǎng)絡安全隱患���。
2系統(tǒng)設計實現(xiàn)目標
針對企業(yè)實際情況和應用需求��,此解決方案應達到如下目標:
1)采用先進的網(wǎng)絡設備,通過結構化布線���、模塊化設計�,建立一個高速��、可靠�、先進的網(wǎng)絡系統(tǒng)�����。
2)網(wǎng)絡主干采用千兆位以太網(wǎng)絡��,光纜鋪設廠區(qū)主要建筑��。普遍100M交換到桌面的高性能連接,充分滿足各種系統(tǒng)對高帶寬的要求�。
3)建立高效的網(wǎng)絡傳輸平臺�����,實現(xiàn)PDM、視頻監(jiān)控等高速數(shù)據(jù)的傳輸和應用��。
4)建立企業(yè)網(wǎng)站(可分為對內���、對外兩個)���,為外界了解企業(yè)提供一個窗口��,促進企業(yè)內外及企業(yè)內部的信息交流。
5)其余可提供服務功能有:(l) E-mail(電子郵件);(2) FTP(文件傳輸服務); (3) DNS(域名解析)���;(4)TELNET(遠程登錄)。
3 系統(tǒng)總體方案設計
3.1網(wǎng)絡拓撲結構設計
瓦力公司局域網(wǎng)的拓撲結構由核心層�、分布層與用戶層組成��,其中由安裝中心機房的三層交換機組成局域網(wǎng)的核心層,由安裝在各辦公樓的交換機組成網(wǎng)絡的分布層與用戶層�。
3.2 VLAN劃分及配置
傳統(tǒng)的共享介質的以太網(wǎng)和交換式的以太網(wǎng)中���,所有的用戶在同一個廣播域中�,會引起網(wǎng)絡性能的下降���,浪費寶貴的帶寬�;而且對廣播風暴的控制和網(wǎng)絡安全只能在第三層的路由器上實現(xiàn)��。
VLAN相當于OSI參考模型的第二層��,能夠將廣播風暴控制在一個VLAN內部。劃分VLAN后��,由于廣播域縮小,網(wǎng)絡中廣播包消耗帶寬所占的比例降低���,網(wǎng)絡的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層的路由來實現(xiàn)的��?�?梢酝ㄟ^控制交換機的每一個端口來控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問,同時VLAN和第三層交換結合使用能夠為網(wǎng)絡提供較好的安全保障���。
根據(jù)該公司的網(wǎng)絡拓撲結構及建筑物的分布情況�,采用靜態(tài)實現(xiàn)的方式�。靜態(tài)實現(xiàn)是將交換機端口分配給某一個VLAN(也稱為基于端口的劃分),這是一種經(jīng)常使用的配置方式�,比較容易實現(xiàn)和監(jiān)視�����,而且安全。在地址分配的基礎上進行劃分,基本上一個子網(wǎng)劃為一個VLAN���,如表1中所示,還可根據(jù)需要擴充或修改�����。
3.3網(wǎng)絡管理系統(tǒng)設計
網(wǎng)絡平臺:Windows 2008 Server中文版�,客戶端用Windows 7 Professional。
網(wǎng)絡操作系統(tǒng)選擇Windows 2008 Server�����。因為,Windows Server 2008通過加強操作系統(tǒng)和保護網(wǎng)絡環(huán)境提高了安全性��。通過加快IT系統(tǒng)的部署與維護�、使服務器和應用程序的合并與虛擬化更加簡單�����、提供直觀管理工具,Windows Server2008還為IT專業(yè)人員提供了靈活性���。Windows Server 2008為任何組織的服務器和網(wǎng)絡基礎結構奠定了最好的基礎�,是較為理想的應用平臺��。
3.4網(wǎng)絡系統(tǒng)安全設計
3.4.1訪問控制及內外網(wǎng)的隔離
配備防火墻:在內部網(wǎng)與外部網(wǎng)之間���,設置防火墻實現(xiàn)內外網(wǎng)的隔離與訪問控制是保護內部網(wǎng)安全的最主要��、同時也是最有效��、最經(jīng)濟的措施之一���?����?梢源_保網(wǎng)絡安全�����,防止外部入侵。防火墻采用Juniper SRX 220H��。
3.4.2內部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制
利用VLAN技術和子網(wǎng)劃分來實現(xiàn)對內部子網(wǎng)的物理隔離�����。通過交換機上劃分VLAN可以將整個網(wǎng)絡劃分成幾個不同的廣播域��,實現(xiàn)一個網(wǎng)段與另一個網(wǎng)段的隔離�����,限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響�。
采用防火墻�����,將用戶區(qū)和服務器區(qū)隔離,防止不法用戶對服務器的入侵攻擊及病毒傳播�。
3.4.3上網(wǎng)行為管理
在出口網(wǎng)關出配置上網(wǎng)行為管理設備,通過IP/MAC認證方式對所有電腦終端進行上網(wǎng)行為管理�����,限制訪問視頻�����、游戲�����、股票等網(wǎng)站,并限制P2P下載�����,保證關鍵業(yè)務部門的網(wǎng)絡帶寬���。
3.4.4網(wǎng)絡防病毒
采用免費的金山毒霸企業(yè)版對所有終端進行部署��,便于集中管控�����。
4總結
本次瓦力公司局域網(wǎng)規(guī)劃設計方案在總體上達到各種先進的功能要求,如端到端的QoS�、速率限制���、全面的冗余能力、全面的接入能力�、以標準技術實現(xiàn)各種功能、統(tǒng)一的網(wǎng)絡管理等���,將進一步促進瓦力公司的網(wǎng)絡化進程�����,加強企業(yè)的內部交流與對外的經(jīng)濟文化聯(lián)系�,使瓦力公司踏上新世紀飛快的網(wǎng)絡列車,進入嶄新的境界。
參考文獻:
[1] Comer D E.計算機網(wǎng)絡與Internet[M].3版.金舒原,段海新�����,譯.北京:清華大學出版社,2002.
[2] 謝希仁.計算機網(wǎng)絡[M].2版.北京:電子工業(yè)出版社�����,1999.
[3] 王利,張玉祥,楊良懷.計算機網(wǎng)絡實用教程[M]. 北京:清華大學出版社,1999.
[4] 倪文志���,杭志,楊國鍇.局域網(wǎng)組建��、配置與管理[M].北京:清華大學出版社���,2003.
第6篇
關鍵詞:可靠性;骨干網(wǎng)��;網(wǎng)絡設計��;VRRP��;OSPF�����;STP
1 引言
根據(jù)國家標準GB-6583的規(guī)定�,產(chǎn)品的可靠性是指:設備在規(guī)定的條件下���、在規(guī)定的時間內完成規(guī)定的功能的能力。對于網(wǎng)絡系統(tǒng)的可靠性�,除了耐久性外�,還有容錯性和可維護性方面���,涉及到網(wǎng)絡通信設備��、拓撲結構、通信協(xié)議等多方面因素���。
在網(wǎng)絡架構的設計中��,充分保證整網(wǎng)運行的可靠性是基本原則之一�。網(wǎng)絡系統(tǒng)可靠性設計的核心思想則是�,通過合理的組網(wǎng)結構設計和可靠性特性應用,保證網(wǎng)絡系統(tǒng)具備有效備份���、自動檢測和快速恢復機制���,同時關注不同類型網(wǎng)絡的適應成本��。構建可靠的網(wǎng)絡�,需要從耐久性�����、容錯性以及可維護性三個方面進行網(wǎng)絡規(guī)劃設計。
2 高可靠骨干網(wǎng)的典型結構設計
大型企業(yè)網(wǎng)通常有較大的地理覆蓋范圍和較多的網(wǎng)絡設備�,根據(jù)這些設備所在的位置和其所影響的范圍可將它們分別稱為核心層設備、匯聚層設備和接入層設備�,如圖1所示。在網(wǎng)絡的方案設計中,通常采用層次化的網(wǎng)絡設計結構���,不同層次解決不同級別的可靠性要求,網(wǎng)絡層次越高其可靠性要求也越高�。
在企業(yè)的核心骨干網(wǎng)里,各網(wǎng)絡節(jié)點設備都擔負著重要的業(yè)務�����,要進行大量的數(shù)據(jù)傳輸和處理�,因此�����,對這些設備自身的可靠性有很高的要求���。除設備本身的可靠外,還需要設備之間的熱備份���,只有這樣才能避免單點故障的存在���。
另外,合理的子網(wǎng)(VLAN)劃分對整個網(wǎng)絡的可靠、安全�、性能以及管理有非常重要的影響�����。根據(jù)企業(yè)各部門的業(yè)務性質不同以及管理的需要��,通常需要把企業(yè)網(wǎng)劃分為多個VLAN�����,即多個邏輯上互相隔離虛擬網(wǎng)絡��。這些虛擬子網(wǎng)之間必須通過路由功能才能實現(xiàn)彼此之間的通信。
圖1 高可靠企業(yè)網(wǎng)絡的典型結構
每個虛擬子網(wǎng)都有一個中心交換機��,并通過兩條物理鏈路分別上連到核心交換機上,用于提高可靠性并實現(xiàn)鏈路負載均衡�����。在此基礎上還必須正確選擇并配置相關協(xié)議��,才能使冗余的設備和鏈路相互配合�、協(xié)同工作�����,真正成為無單點故障的高可靠性網(wǎng)絡�。圖1所示是根據(jù)上述分析設計出來的高可靠企業(yè)網(wǎng)的一般典型結構��。
需要注意的是�����,可靠性技術的實施并不是設備和鏈路的簡單疊加和無限制冗余��。否則���,一方面會增加網(wǎng)絡建設整體成本�����,另一方面還會增加管理維護的復雜度�,給網(wǎng)絡引入潛在的故障隱患���。因此在進行規(guī)劃時,應該根據(jù)網(wǎng)絡結構�����、網(wǎng)絡類型和網(wǎng)絡層次,分析網(wǎng)絡業(yè)務模型��,確定基礎網(wǎng)絡拓撲�����,明確對網(wǎng)絡可靠性最佳的關鍵節(jié)點和鏈路��,合理規(guī)劃和部署各種網(wǎng)絡高可用技術���。
3 高可靠網(wǎng)絡路由協(xié)議選擇與分析
在高可靠企業(yè)網(wǎng)的設計與實現(xiàn)中�,通常要涉及到的3個重要的協(xié)議�,分別是:VRRP(Virtual Router Redundancy Protocol)�����、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol),正確選擇并配置它們��,是高可靠性網(wǎng)絡設計的重要組成部分�。
3.1 VRRP協(xié)議
虛擬路由器冗余協(xié)議VRRP[1]是一種容錯協(xié)議���,可以保證當主機的下一跳路由器失效時�����,及時的由另一臺路由器來替代,從而保持通信的不間斷性�。VRRP的應用實際上是對網(wǎng)絡可靠性和安全性要求的一種體現(xiàn)�。
VRRP的運行是以路由器為基礎,為了使VRRP工作,需要在路由器上配置虛擬路由器號和虛擬IP地址�,同時產(chǎn)生一個虛擬MAC地址�����,這樣在這個網(wǎng)絡中就加入了一個虛擬路由器。對于運行在三層交換機上的VRRP�,與路由器上的VRRP并沒有本質的區(qū)別��,因為虛擬IP和虛擬MAC地址是和網(wǎng)絡接口綁定在一起的��。
VRRP將網(wǎng)絡中的一組路由器組織成一個虛擬路由器��,稱之為一個備份組���。其中僅有一臺設備處于活動狀態(tài),稱為主用設備(Master),其余設備都處于備份狀態(tài)�,并隨時按照優(yōu)先級高低做好接替任務的準備,稱為備份設備(Backup)。
如圖2所示,路由器Ra��、Rb和Rc組成了一個備份組��,一個備份組相當于一臺虛擬路由器�����,虛擬IP為192.168.16.1���。備份組內Ra充當Master設備��,IP地址為192.168.16.2�;Rb和Rc都充當Backup設備��,IP地址分別為192.168.16.3和192.168.16.4。對于VRRP而言�,只有Master設備才能轉發(fā)以虛擬IP為下一跳的報文�����。
圖2 VRRP原理圖
內部網(wǎng)絡中的所有主機僅僅知道該虛擬IP為192.168.16.1,而并不知道具體的主用或備用設備的IP�����,因此各主機都將缺省網(wǎng)關配置為該虛擬IP地址��。于是���,內部網(wǎng)絡中的各主機就通過該備份組與外部網(wǎng)絡進行通信�。
Master路由器的VRRP模塊監(jiān)視通信接口狀態(tài)���,并通過組播方式向Backup路由器發(fā)送通告報文�����。如果Master路由器故障或鏈路出現(xiàn)問題�����,則會導致無法正常發(fā)送VRRP通告報文�。當Backup路由器在指定時間內收不到VRRP通告時���,備份組內的其它Backup路由器將會根據(jù)優(yōu)先級高低選出一個路由器充當新的Master��,繼續(xù)向網(wǎng)絡內的主機提供路由服務�。因此�����,采用VRRP技術可以實現(xiàn)內部網(wǎng)絡中的主機不間斷地與外部網(wǎng)絡進行通信��,提高了網(wǎng)絡的可靠性與安全性��。
在高可靠網(wǎng)絡設計方案中�����,可以采用兩臺路由交換機S6810組成雙核心��,作為整個網(wǎng)絡的核心,如圖1所示�。從位置上看���,這兩臺設備剛好位于整個網(wǎng)絡的中心�,因此還應充分發(fā)揮它們數(shù)據(jù)中轉的能力��。為此���,需要定義兩個VRRP組��,在不同的組里面�,兩個設備分別為Master和Backup�。這樣���,在正常情況下���,兩臺設備都可以進行數(shù)據(jù)包的轉發(fā)���,一個出故障時還有一臺在轉發(fā),既實現(xiàn)了容錯又實現(xiàn)了負載的均衡���,充分發(fā)揮了核心數(shù)據(jù)中轉的能力��,提高了子網(wǎng)之間訪問的速度�。
3.2 OSPF協(xié)議
OSPF是網(wǎng)間工程任務組織(IETF)的內部網(wǎng)關協(xié)議工作組為IP網(wǎng)絡而開發(fā)的一種動態(tài)路由協(xié)議��。動態(tài)路由是指網(wǎng)絡中的路由器之間周期性的相互傳遞路由信息���,重新計算路由��,更新路由表以適應網(wǎng)絡結構的變化���。對于規(guī)模大��、網(wǎng)絡拓撲復雜的校園網(wǎng)來說���,采用動態(tài)路由協(xié)議能在關鍵鏈路或設備不能正常工作時,實現(xiàn)自動切換,保證網(wǎng)絡的暢通。
第7篇
關鍵詞:等級防護;電力企業(yè);網(wǎng)絡安全建設
中圖分類號: F407 文獻標識碼: A 文章編號:
引言
信息化是一把“雙刃劍”,在提高企業(yè)工作效率、管理水平以及整體競爭能力的同時,也給企業(yè)帶來了一定的安全風險���,并且伴隨著企業(yè)信息化水平的提高而逐漸增長��。因此���,提升企業(yè)的信息系統(tǒng)安全防護能力�,使其滿足國家等級保護的規(guī)范性要求��,已經(jīng)成為現(xiàn)階段信息化工作的首要任務�。對于電力企業(yè)的信息系統(tǒng)安全防護工作而言�,應等級保護要求,將信息管理網(wǎng)絡劃分為信息內網(wǎng)與信息外網(wǎng)�,并根據(jù)業(yè)務的重要性劃分出相應的二級保護系統(tǒng)與三級保護系統(tǒng)���,對三級系統(tǒng)獨立成域�,其余二級系統(tǒng)統(tǒng)一成域�,并從邊界安全���、主機安全���、網(wǎng)絡安全、應用安全等方面對不同的安全域對防護要求進行明確劃分。
1現(xiàn)階段電力企業(yè)網(wǎng)絡風險分析
1.1服務器區(qū)域缺少安全防護措施
大部分電力企業(yè)的服務器都是直接接入本單位的核心交換機��,然而各網(wǎng)段網(wǎng)關都在核心交換機上���,未能對服務器區(qū)域采取有效的安全防護措施�。
1.2服務器區(qū)域和桌面終端區(qū)域之間的劃分不明確
因服務器和桌面終端的網(wǎng)關都在核心交換機上,不能實現(xiàn)對于域的有效劃分。
1.3網(wǎng)絡安全建設缺乏規(guī)劃
就現(xiàn)階段的電力企業(yè)網(wǎng)絡安全建設而言�,普遍存在著缺乏整體安全設計與規(guī)劃的現(xiàn)狀�,使整個網(wǎng)絡系統(tǒng)成為了若干個安全產(chǎn)品的堆砌物�,從而使各個產(chǎn)品之間失去了相應的聯(lián)動,不僅在很大程度上降低了網(wǎng)絡的運營效率,還增加了網(wǎng)絡的復雜程度與維護難度�。
1.4系統(tǒng)策略配置有待加強
在信息網(wǎng)絡中使用的操作系統(tǒng)大都含有相應的安全機制��、用戶與目錄權限設置以及適當?shù)陌踩呗韵到y(tǒng)等���,但在實際的網(wǎng)絡安裝調試過程中���,往往只使用最寬松的配置��,然而對于安全保密來說卻恰恰相反���,要想確保系統(tǒng)的安全,必須遵循最小化原則,沒有必要的策略在網(wǎng)絡中一律不配置���,即使有必要的��,也應對其進行嚴格限制。
1.5缺乏相應的安全管理機制
對于一個好的電力企業(yè)網(wǎng)絡信息系統(tǒng)而言���,安全與管理始終是分不開的��。如果只有好的安全設備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實施�,很難實現(xiàn)電力企業(yè)網(wǎng)絡信息系統(tǒng)的安全運營�����。對于安全管理工作而言��,其目的就是確保網(wǎng)絡的安全穩(wěn)定運行��,并且其自身應該具有良好的自我修復性�����,一旦發(fā)生黑客事件���,能夠在最大程度上挽回損失�。因此,在現(xiàn)階段的企業(yè)網(wǎng)絡安全建設工作過程中�����,應當制訂出完善的安全檢測�����、人員管理、口令管理�����、策略管理��、日志管理等管理方法。
2等級保護要求下電力企業(yè)網(wǎng)絡安全建設防護的具體措施
2.1突出保護重點
對于電力企業(yè)而言���,其投入到信息網(wǎng)絡安全上的資源是一定的���。從另外一種意義上講,當一些設備存在相應的安全隱患或者發(fā)生破壞之后�����,其所產(chǎn)生的后果并不嚴重,如果投入和其一樣重要的信息資源來保護它���,顯然不滿足科學性的要求。因此��,在保護工作過程中,應對需要保護的信息資產(chǎn)進行詳細梳理��,以企業(yè)的整體利益為出發(fā)點,確定出重要的信息資產(chǎn)或系統(tǒng)�,然后將有限的資源投入到對于這些重要信息資源的保護當中,在這些重要信息資源得到有效保護的同時�����,還可以使工作效率得到很大程度的提高�����。
2.2貫徹實施3層防護方案
在企業(yè)網(wǎng)絡安全建設過程中��,應充分結合電力企業(yè)自身網(wǎng)絡化特點��,積極貫徹落實安全域劃分��、邊界安全防護��、網(wǎng)絡環(huán)境安全防護的3層防護設計方案�����。在安全防護框架的基礎上���,實行分級、分域與分層防護的總體策略�,以充分實現(xiàn)國家等級防護的基本要求�。
(1)分區(qū)分域。統(tǒng)一對直屬單位的安全域進行劃分,以充分實現(xiàn)對于不同安全等級�、不同業(yè)務類型的獨立化與差異化防護�����。
(2)等級防護��。遵循“二級系統(tǒng)統(tǒng)一成域���,三級系統(tǒng)獨立成域”的劃分原則�,并根據(jù)信息系統(tǒng)的定級情況�����,進行等級安全防護策略的具體設計���。
(3)多層防護��。在此項工作的開展過程中���,應從邊界�、網(wǎng)絡環(huán)境等多個方面進行安全防護策略的設計工作。
2.3加強安全域劃分
安全域是指在同一環(huán)境內具有一致安全防護需求�、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)。加強對于安全域的劃分�����,可以實現(xiàn)以下目標:
(1)實現(xiàn)對復雜問題的分解�。對于信息系統(tǒng)的安全域劃分而言��,其目的是將一個復雜的安全問題分解成一定數(shù)量小區(qū)域的安全防護問題���。安全區(qū)域劃分可以有效實現(xiàn)對于復雜系統(tǒng)的安全等級防護���,是實現(xiàn)重點防護�、分級防護的戰(zhàn)略防御理念���。
(2)實現(xiàn)對于不同系統(tǒng)的差異防護?����;A網(wǎng)絡服務�����、業(yè)務應用�、日常辦公終端之間都存在著一定的差異��,并且能夠根據(jù)不同的安全防護需求,實現(xiàn)對于不同特性系統(tǒng)的歸類劃分��,從而明確各域邊界���,對相應的防護措施進行分別考慮���。
(3)有效防止安全問題的擴散��。進行安全區(qū)域劃分�����,可以將其安全問題限定在其所在的安全域內��,從而有效阻止其向其他安全域的擴散�����。在此項工作的開展過程中���,還應充分遵循區(qū)域劃分的原則�����,將直屬單位的網(wǎng)絡系統(tǒng)統(tǒng)一劃分為相應的二級服務器域與桌面終端域���,并對其分別進行安全防護管理���。在二級系統(tǒng)服務器域與桌面域間,采取橫向域間的安全防護措施��,以實現(xiàn)域間的安全防護���。
2.4加強對于網(wǎng)絡邊界安全的防護
對于電力企業(yè)的網(wǎng)絡邊界安全防護工作而言���,其目的是使邊界避免來自外部的攻擊�����,并有效防止內部人員對外界進行攻擊�����。在安全事件發(fā)生之前�����,能夠通過對安全日志與入侵事件的分析,來發(fā)現(xiàn)攻擊企圖��,在事件發(fā)生之后可以通過對入侵事件記錄的分析來進行相應的審查追蹤��。
(1)加強對于縱向邊界的防護���。在網(wǎng)絡出口與上級單位連接處設立防火墻�����,以實現(xiàn)對于網(wǎng)絡邊界安全的防護���。
(2)加強對于域間橫向邊界的防護�。此項防護是針對各安全區(qū)域通信數(shù)據(jù)流傳輸保護所制定出的安全防護措施���。在該項工作的開展過程中���,應根據(jù)網(wǎng)絡邊界的數(shù)據(jù)流制定出相應的訪問控制矩陣,并依此在邊界網(wǎng)絡訪問控制設備上設定相應的訪問控制規(guī)則���。
2.5加強對于網(wǎng)絡環(huán)境的安全防護
(1)加強邊界入侵檢測�。以網(wǎng)絡嗅探的方式可以截獲通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)包�����,并通過相應的特征分析、異常統(tǒng)計分析等方法���,及時發(fā)現(xiàn)并處理網(wǎng)絡攻擊與異常安全事件�。在此過程中,設置相應的入侵檢測系統(tǒng)�,能夠及時發(fā)現(xiàn)病毒�����、蠕蟲���、惡意代碼攻擊等威脅�,能夠有效提高處理安全問題的效率��,從而為安全問題的取證提供有力依據(jù)。
(2)強化網(wǎng)絡設備安全加固�。安全加固是指在確保業(yè)務處理正常進行的情況下,對初始配置進行相應的優(yōu)化�,從而提高網(wǎng)絡系統(tǒng)的自身抗攻擊性。因此���,在經(jīng)過相應的安全評估之后,應及時發(fā)現(xiàn)其中隱藏的安全問題��,對重要的網(wǎng)絡設備進行必要的安全加固���。
(3)強化日志審計配置。在此項工作的開展過程中�����,應根據(jù)國家二級等級保護要求��,對服務器�����、安全設備�、網(wǎng)絡設備等開啟審計功能,并對這些設備進行日志的集中搜索�����,對事件進行定期分析���,以有效實現(xiàn)對于信息系統(tǒng)、安全設備�、網(wǎng)絡設備的日志記錄與分析工作。
結語
綜上所述,對于現(xiàn)階段電力企業(yè)信息網(wǎng)絡而言���,網(wǎng)絡安全建設是一個綜合性的課題�����,涉及到技術�����、使用���、管理等許多方面�,并受到諸多因素的影響���。在電力企業(yè)網(wǎng)絡安全建設過程中�����,應加強對于安全防護管理體系的完善與創(chuàng)新�����,以嚴格的管理制度與高素質管理人才���,實現(xiàn)對于信息系統(tǒng)的精細化�、準確化管理,從而切實促進企業(yè)網(wǎng)絡安全建設的健康�����、穩(wěn)步發(fā)展��。
參考文獻:
[1]張蓓�����,馮梅���,靖小偉��,劉明新.基于安全域的企業(yè)網(wǎng)絡安全防護體系研究[J].計算機安全,2010(4).
第8篇
1.網(wǎng)絡設計方案
礦山安全管理信息系統(tǒng)網(wǎng)絡設計主要包括兩大部分,企業(yè)總部及分部設計方案��。總部設計:由于互聯(lián)網(wǎng)訪問要求多對一,總部所有數(shù)據(jù)都存儲于內部服務器中�,其他工作站利用網(wǎng)線同web及數(shù)據(jù)庫服務器相互連接,形成局域網(wǎng)�。外部機構利用遠程撥號形式進入web服務器���,客戶端利用局域網(wǎng)即可實現(xiàn)所需數(shù)據(jù)的查詢�、統(tǒng)計與審核;分部設計:各分部進行工作站軟件的安裝�����,利用局域網(wǎng)或撥號方式對數(shù)據(jù)進行交換�,并傳送到總部服務器中,可利用瀏覽器對總部web�、數(shù)據(jù)庫等進行訪問,從而順利進行數(shù)據(jù)的統(tǒng)計��、查詢及錄入�����,解決了重復性操作等問題���。
2.系統(tǒng)結構分析
本系統(tǒng)采用的是B/S結構模式���,如圖1所示。該模式集瀏覽器���、web及信息服務等技術于一體��,可利用一個瀏覽器對多個平臺的服務器進行訪問�。較C/S模式而言�����,B/S結構共三層��,包括客戶機��、服務器和Web服務器���。客戶端將請求發(fā)送出去��,Web服務器從數(shù)據(jù)庫中提取數(shù)據(jù),并進行計算,然后將結果反饋給客戶端���,用戶利用瀏覽器可對結果進行查詢��。在B/S模式中��,服務器負責各個應用軟件的升級�����、開發(fā)及維護。
3.系統(tǒng)開發(fā)環(huán)境
首先,本系統(tǒng)編程語言采用的是Java語言��,這是由于該語言跨平臺性能良好��,無論采用何種類型的計算機��、操作系統(tǒng)及瀏覽器���,就能利用Java對網(wǎng)絡主頁進行制作�,并實現(xiàn)了同Java之間良好的交互性��;其次��,系統(tǒng)數(shù)據(jù)庫采用的是MySQL�����,這是多數(shù)企業(yè)網(wǎng)站設計的首選���,其不僅系統(tǒng)簡單���、安裝方便���、操作輕松,而且擁有良好的穩(wěn)定性���。因此,本文最終選擇了Java+MySQL作為系統(tǒng)的開發(fā)環(huán)境��。
4.系統(tǒng)功能的設計
本系統(tǒng)共包括六大功能模塊,即基礎信息�、安全事故、尾礦庫安全�、安全決策、信息及系統(tǒng)維管模塊。
1)基礎信息模塊�����,其主要由礦山信息、生產(chǎn)信息��、安管制度及安管制度信息等模塊構成�,負責對礦山基礎信息進行處理�、管理生產(chǎn)信息,跟蹤并記錄安管制度建設及落實情況�。
2)尾礦庫安全模塊,負責尾礦庫信息的收錄�����、更新���、刪除��,并根據(jù)礦山名稱對其運行情況進行及時查詢和維護��,負責對安檢信息的存儲及更改�。
3)安全事故模塊���,實現(xiàn)了對安全事故相關信息的處理���,可以通過礦山名稱�、安全事故發(fā)生時間、類別及嚴重程度等���,進行安全事故相關信息的全面查詢,并對安全事故負責人相關信息進行處理��。
4)安全決策模塊���,包括事故及事故樹分析等模塊�,實現(xiàn)了圖表功能的查詢及生成,可對各礦山安全事故傷亡狀況進行查詢��,并對事故樹進行科學分析��,以便制定合理的對策���。
5)信息模塊�,包括政策及宣傳信息模塊�����,實現(xiàn)了總部對信息內容的修改、更新,以及分部公司瀏覽信息等功能�����。6)系統(tǒng)維管模塊�,實現(xiàn)了管理人員對用戶登錄及操作內容的管理,提供了信息系統(tǒng)安裝�����、使用及維護內容�,便于有關人員參考。
二��、結語
