序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁�����,我們?yōu)槟x了8篇的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案樣本��,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請(qǐng)盡情閱讀��。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)安全 異構(gòu)防火墻 部署 安全規(guī)則
1�����、前言
防火墻能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸�����,從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的,它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對(duì)其進(jìn)行檢查�,來決定網(wǎng)絡(luò)之間的通信是否被允許���。我們?cè)O(shè)計(jì)的防火墻主要是讓它來防御外部網(wǎng)絡(luò)對(duì)某企業(yè)內(nèi)部網(wǎng)絡(luò)的攻擊�,同時(shí)也防止內(nèi)部網(wǎng)絡(luò)不法人員把該企業(yè)數(shù)據(jù)泄漏出去�����。傳統(tǒng)的防火墻處于網(wǎng)絡(luò)體系的網(wǎng)絡(luò)層�����,用它來負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸��,但當(dāng)今防火墻技術(shù)在不斷的發(fā)展�,已經(jīng)從網(wǎng)絡(luò)層擴(kuò)展到了其它安全層����,它的任務(wù)不再是過濾任務(wù),還可以為網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)�,并且防火墻產(chǎn)品也發(fā)展成為具有數(shù)據(jù)安全與用戶認(rèn)證和防止病毒與黑客入侵的能力�。
2�����、采用的防火墻技術(shù)
首先我們來探討下該企業(yè)網(wǎng)絡(luò)安全系統(tǒng)中設(shè)計(jì)防火墻時(shí)所采用的防火墻技術(shù)�。在設(shè)計(jì)防火墻體系結(jié)構(gòu)時(shí)�,應(yīng)從現(xiàn)有的防火墻技術(shù)出發(fā)����,通常采用的防火墻
技術(shù)有:
⑴包過濾技術(shù)
包過濾(PaCketFilter)技術(shù)是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過�����。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯���,檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址��、目的地址���、TCP/UDP源端口號(hào)�、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過,其核心是安全策略即過濾算法的設(shè)計(jì)。例如����,用于特定的因特網(wǎng)服務(wù)的服務(wù)器駐留在特定的端口號(hào)的事實(shí)(如TCP端口23用于Telnet連接)��,使包過濾器可以通過簡(jiǎn)單的規(guī)定適當(dāng)?shù)亩丝谔?hào)來達(dá)到阻止或允許一定類型的連接的目的��,并可進(jìn)一步組成一套數(shù)據(jù)包過濾規(guī)則�����。包過濾技術(shù)作為防火墻的應(yīng)用有三類:一是路由設(shè)備在完成路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)之外�����,同時(shí)進(jìn)行包過濾����,這是目前較常用的方式;二是在工作站上使用軟件進(jìn)行包過濾���,這種方式價(jià)格較貴;三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能����。
⑵應(yīng)用網(wǎng)關(guān)技術(shù)
應(yīng)用網(wǎng)關(guān)(ApplicationGateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾�����,它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制�,以防有價(jià)值的程序和數(shù)據(jù)被竊取���。它的另一個(gè)功能是對(duì)通過的信息進(jìn)行記錄�����,如什么樣的用戶在什么時(shí)間連接了什么站點(diǎn)����。在實(shí)際工作中,應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成��。
有些應(yīng)用網(wǎng)關(guān)還存儲(chǔ)Internet上的那些被頻繁使用的頁(yè)面�。當(dāng)用戶請(qǐng)求的頁(yè)面在應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中存在時(shí),服務(wù)器將檢查所緩存的頁(yè)面是否是最新的版本(即該頁(yè)面是否已更新),如果是最新版本���,則直接提交給用戶���,否則���,到真正的服務(wù)器上請(qǐng)求最新的頁(yè)面�,然后再轉(zhuǎn)發(fā)給用戶。
⑶服務(wù)器技術(shù)
服務(wù)器(ProxyServer)作用在應(yīng)用層�����,它用來提供應(yīng)用層服務(wù)的控制�,起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用��。內(nèi)部網(wǎng)絡(luò)只接受提出的服務(wù)請(qǐng)求���,拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請(qǐng)求��。
具體地說����,服務(wù)器是運(yùn)行在防火墻主機(jī)上的專門的應(yīng)用程序或者服務(wù)器程序;防火墻主機(jī)可以是具有一個(gè)內(nèi)部網(wǎng)絡(luò)接口和一個(gè)外部網(wǎng)絡(luò)接口的雙重宿主主機(jī),也可以是一些可以訪問因特網(wǎng)并被內(nèi)部主機(jī)訪問的堡壘主機(jī)�。這些程序接受用戶對(duì)因特網(wǎng)服務(wù)的請(qǐng)求(諸如FTP���、Telnet)��,并按照一定的安全策略轉(zhuǎn)發(fā)它們到實(shí)際的服務(wù)。提供代替連接并且充當(dāng)服務(wù)的網(wǎng)關(guān)���。
包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)通過,其優(yōu)點(diǎn)是速度快��、實(shí)現(xiàn)方便���,缺點(diǎn)是審計(jì)功能差,過濾規(guī)則的設(shè)計(jì)存在矛盾關(guān)系,過濾規(guī)則簡(jiǎn)單�����,安全性差,過濾規(guī)則復(fù)雜��,管理困難��。一旦判斷條件滿足,防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前��。技術(shù)則能進(jìn)行安全控制又可以加速訪問�����,能夠有效地實(shí)現(xiàn)防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離,安全性好,還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控�����、過濾����、記錄和報(bào)告等功能�����。其缺點(diǎn)是對(duì)于每一種應(yīng)用服務(wù)都必須為其設(shè)計(jì)一個(gè)軟件模塊來進(jìn)行安全控制��,而每一種網(wǎng)絡(luò)應(yīng)用服務(wù)的安全問題各不相同,分析困難�,因此實(shí)現(xiàn)也困難。
在實(shí)際應(yīng)用當(dāng)中�����,構(gòu)筑防火墻的“真正的解決方案”很少采用單一的技術(shù)��,通常是多種解決不同問題的技術(shù)的有機(jī)組合。你需要解決的問題依賴于你想要向你的客戶提供什么樣的服務(wù)以及你愿意接受什么等級(jí)的風(fēng)險(xiǎn)���,采用何種技術(shù)來解決那些問題依賴于你的時(shí)間���、金錢���、專長(zhǎng)等因素����。
根據(jù)以上三種防火墻構(gòu)建技術(shù),我們研究給該企業(yè)用異構(gòu)防火墻部署��。
3��、異構(gòu)防火墻的部署
當(dāng)前,該企業(yè)的網(wǎng)絡(luò)中已經(jīng)部署了一臺(tái)PIX525,該防火墻提供保護(hù)整上內(nèi)部網(wǎng)絡(luò)的作用,用來防止來自外部的攻擊�����,把網(wǎng)絡(luò)分成兩個(gè)網(wǎng)段���,但是如果一旦黑客攻訪了防火墻,那么整個(gè)內(nèi)部網(wǎng)絡(luò)就暴漏在了黑客面前��,如果是惡意攻一擊那么武威面粉廠的利益將受到很大損害。所以我們調(diào)查研究后��,決定采用異構(gòu)防火墻的部署方式����,在原來防火墻的基礎(chǔ)上,根據(jù)武威面粉廠資金��,在財(cái)務(wù)網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間再架構(gòu)一臺(tái)防火墻��,把網(wǎng)絡(luò)分成三個(gè)網(wǎng)段�����,這樣極大的提高了整個(gè)網(wǎng)絡(luò)的安全防御能力�����。在不同的網(wǎng)段采用不同的安全級(jí)別��,而實(shí)際上財(cái)務(wù)網(wǎng)絡(luò)和接入內(nèi)部網(wǎng)層的安全級(jí)別和內(nèi)部網(wǎng)絡(luò)接入Internet網(wǎng)絡(luò)服務(wù)層的安全強(qiáng)度本身要求就是不同的��,并且不同的防火墻產(chǎn)品其性能結(jié)構(gòu)也不僅相同,它們具有不同的安全級(jí)別和安全強(qiáng)度�����,當(dāng)其中一個(gè)防火墻被攻陷后,不會(huì)影響到其它網(wǎng)段�����。
并且管理員可以有效的管理網(wǎng)絡(luò)����,輕松的對(duì)付外部攻擊����。
在網(wǎng)絡(luò)的硬件設(shè)備部署中�����,我們?cè)谕獠烤W(wǎng)絡(luò)訪問層與內(nèi)部網(wǎng)絡(luò)接入層我們部署了PIX525防火墻(Fl),在財(cái)務(wù)網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)接入層我們部署了遠(yuǎn)東網(wǎng)安2000防火墻(F2)。在每一個(gè)防火墻上設(shè)置不同的安全策略��,來達(dá)到對(duì)整個(gè)網(wǎng)絡(luò)的多層防護(hù)����,減少單一防火墻部署所帶來的損失���。通過這兩個(gè)防火墻的部署,把網(wǎng)絡(luò)分成三個(gè)網(wǎng)段����。防火墻產(chǎn)品本身不具有安全性����,必須給它建立可靠的規(guī)則來使其成為一成功��、安全和可靠的產(chǎn)品�����,根據(jù)兩個(gè)防火墻所管束的網(wǎng)段的不同和其性能的不同�����,我們分別對(duì)Fl區(qū)和F2區(qū)設(shè)置不同的安全規(guī)則。設(shè)置規(guī)則如下:
Fl的安全規(guī)則為:
⑴內(nèi)部用戶可以訪問Internet����。
⑵內(nèi)部用戶與外部的網(wǎng)絡(luò)連接必須通過服務(wù)器����。
⑶外部用戶只可以使用WEB和MAIL服務(wù)器。
⑷外部的Telnet會(huì)話只能與指定主機(jī)進(jìn)行。
⑸DNS服務(wù)器只允許解析應(yīng)用計(jì)算機(jī)�,不允許解析內(nèi)部用戶。
F2的安全規(guī)則為:
⑴只允許內(nèi)部用戶的訪問���。
⑵拒絕所有來自外部主機(jī)的數(shù)據(jù)包。
⑶FTP會(huì)話必須經(jīng)過安全認(rèn)證���。
⑷與外部的數(shù)據(jù)交換只能通過特定端口完成��。
⑸在指定的時(shí)間內(nèi)才可以進(jìn)行遠(yuǎn)程訪問����。
4��、結(jié)語
經(jīng)過次次論文中設(shè)計(jì)方案的實(shí)施��,某企業(yè)內(nèi)網(wǎng)的安全問題從防火墻設(shè)計(jì)整體考慮���,在統(tǒng)一布置思想指導(dǎo)下采用新的網(wǎng)絡(luò)防護(hù)技術(shù),網(wǎng)絡(luò)安全問題得到了一定程序的解決�,給管理員和該企業(yè)職工帶來了很大的方便。但網(wǎng)絡(luò)技術(shù)在不斷的發(fā)展���,在我們的設(shè)計(jì)的網(wǎng)絡(luò)安全系統(tǒng)中將會(huì)很快會(huì)出現(xiàn)一些意想不到的安全問題需要我們?nèi)ソ鉀Q��,但是在斷的學(xué)習(xí)和改進(jìn)中��,相信隨著技術(shù)的發(fā)展我們的技術(shù)水平也會(huì)得到不斷的提高。
第2篇
隨著近年來信息化的快速推進(jìn)����,供電企業(yè)網(wǎng)絡(luò)信息系統(tǒng)與Internet的交互日益頻繁,基于Internet的業(yè)務(wù)呈不斷增長(zhǎng)態(tài)勢(shì)。電力行業(yè)作為國(guó)民經(jīng)濟(jì)的重要組成部分����,已經(jīng)在人們的正常生活中不可缺少。電力系統(tǒng)的是否安全可靠���,關(guān)系著國(guó)民經(jīng)濟(jì)的發(fā)展�,更影響著人們的日常生活。然而電力企業(yè)信息網(wǎng)絡(luò)的發(fā)展還不健全���,尚存在很多安全問題����。這些問題正是黑客和病毒入侵的目標(biāo)�����。縣級(jí)供電企業(yè)是整個(gè)電力企業(yè)的基本單位����,只有保證縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)的安全,才能使整個(gè)電力行業(yè)正常的運(yùn)行,因此對(duì)其信息網(wǎng)絡(luò)安全的研究受到越來越多的關(guān)注�。
2 信息網(wǎng)絡(luò)安全概述
信息網(wǎng)絡(luò)安全是指運(yùn)用各種相關(guān)技術(shù)和管理,使網(wǎng)絡(luò)信息不受危害和威脅��,保證信息的安全���。由于計(jì)算機(jī)網(wǎng)絡(luò)在建立時(shí)就存在缺陷,本身具有局限性�,使其網(wǎng)絡(luò)系統(tǒng)的硬件和軟件資源都有可能遭到破壞和入侵,嚴(yán)重時(shí)甚至可能引起整個(gè)系統(tǒng)的癱瘓�����,以至于造成巨大的損失����。相對(duì)于外界的破壞,自身的防守時(shí)非常艱巨的����,必須保證每個(gè)軟件、每一項(xiàng)服務(wù)�����,甚至每個(gè)細(xì)節(jié)都要安全可靠�����。因此要對(duì)網(wǎng)絡(luò)安全進(jìn)行細(xì)致的研究����,下面介紹其特征:
2.1 完整性
主要是指數(shù)據(jù)的完整性��。數(shù)據(jù)信息在未經(jīng)許可的情況下不能進(jìn)行任何修改����。
2.2 保密性
未經(jīng)授權(quán)的用戶不能使用該數(shù)據(jù)。
2.3 可用性
被授權(quán)的用戶可以根據(jù)自己的需求使用該數(shù)據(jù),不能阻礙其合法使用�。
2.4 可控性
系統(tǒng)要能控制能夠訪問數(shù)據(jù)的用戶,可以被訪問的數(shù)據(jù)以及訪問方式���,并記錄所有用戶在系統(tǒng)內(nèi)的網(wǎng)絡(luò)活動(dòng)��。
3 信息網(wǎng)絡(luò)系統(tǒng)安全存在的問題
3.1 系統(tǒng)設(shè)備和軟件存在漏洞
網(wǎng)絡(luò)系統(tǒng)的發(fā)展時(shí)間很短,因此其操作系統(tǒng)����、協(xié)議和數(shù)據(jù)庫(kù)都存在漏洞��,這些漏洞變成為黑客和病毒入侵的通道;存儲(chǔ)介質(zhì)受到破壞,使系統(tǒng)中的信息數(shù)據(jù)丟失和泄漏���;系統(tǒng)不進(jìn)行及時(shí)的修補(bǔ)�,采用較弱的口令和訪問限制���。這些都是導(dǎo)致信息網(wǎng)絡(luò)不安全的因素���。網(wǎng)絡(luò)是開放性的�����,因此非常容易受到外界的攻擊和入侵�,入侵者便是通過運(yùn)用相關(guān)工具掃描系統(tǒng)和網(wǎng)絡(luò)中的漏洞�����,通過這些漏洞進(jìn)行攻擊���,致使網(wǎng)絡(luò)受到危害�,資料泄露�����。
3.2 制度不完善
目前對(duì)于信息網(wǎng)絡(luò)的建立�����,數(shù)據(jù)的使用以及用戶的訪問沒有完善的規(guī)章制度,這也導(dǎo)致了各個(gè)縣級(jí)供電企業(yè)信息網(wǎng)絡(luò)系統(tǒng)之間的不統(tǒng)一�,在數(shù)據(jù)傳輸和利用上受到限制。同時(shí)在目前已經(jīng)確立的信息網(wǎng)絡(luò)安全的防護(hù)規(guī)章制度的執(zhí)行上,企業(yè)也不能嚴(yán)格的執(zhí)行��。
4 提高網(wǎng)絡(luò)安全方法
4.1 網(wǎng)絡(luò)安全策略
信息網(wǎng)絡(luò)是一個(gè)龐大的系統(tǒng)����,包括系統(tǒng)設(shè)備和軟件的建立、數(shù)據(jù)的維護(hù)和更新���、對(duì)外界攻擊的修復(fù)等很多方面����,必須各個(gè)細(xì)節(jié)都要保證安全,沒有漏洞����。然而很多供電企業(yè),尤其是縣級(jí)企業(yè)并沒有對(duì)其引起足夠的重視,只是被動(dòng)地進(jìn)行防護(hù)���。整體的安全管理水平很低���,沒有完備的網(wǎng)絡(luò)安全策略和規(guī)劃。因此要想實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全�,首先需要制定一個(gè)全面可行的安全策略以及相應(yīng)的實(shí)施過程�。
4.2 提高網(wǎng)絡(luò)安全技術(shù)人員技術(shù)水平
信息網(wǎng)絡(luò)的運(yùn)行涉及很多方面,其安全防護(hù)只是其中一部分�,因此在網(wǎng)絡(luò)安全部分要建立專業(yè)的安全技術(shù)隊(duì)伍。信息網(wǎng)絡(luò)中的一些系統(tǒng)和應(yīng)用程序更新速度不一致,也會(huì)造成網(wǎng)絡(luò)的不安全�。一般企業(yè)的網(wǎng)絡(luò)管理員要兼顧軟硬件的維護(hù)和開發(fā),有時(shí)會(huì)顧此失彼�,因此要建立更專業(yè)的安全技術(shù)隊(duì)伍,使信息網(wǎng)絡(luò)的工作各有分工���,實(shí)現(xiàn)專業(yè)性�����,提升整體網(wǎng)絡(luò)安全技術(shù)水平�����,提高工作效率�。
4.3 完備的數(shù)據(jù)備份
當(dāng)信息網(wǎng)絡(luò)受到嚴(yán)重破壞時(shí)���,備份數(shù)據(jù)便發(fā)揮了作用。不論網(wǎng)絡(luò)系統(tǒng)建立的多完善,安全措施做得多到位��,保留完備的備份數(shù)據(jù)都是有備無患。進(jìn)行數(shù)據(jù)備份�,首先要制定全面的備份計(jì)劃,包括網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)信息備份��、備份數(shù)據(jù)的修改和責(zé)任人等。備份時(shí)要嚴(yán)格按照計(jì)劃進(jìn)行實(shí)施���。還要定期的檢查備份數(shù)據(jù)�����,保證數(shù)據(jù)的完整性和實(shí)時(shí)性��。同時(shí)網(wǎng)絡(luò)管理人員的數(shù)據(jù)備份和恢復(fù)技術(shù)的操作要很熟練��,這樣才能保障備份數(shù)據(jù)的有效性��。
4.4 加強(qiáng)防病毒
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展����,網(wǎng)絡(luò)病毒也越來越多����,這些病毒都會(huì)對(duì)信息網(wǎng)絡(luò)造成或多或少的危害��。防病毒不僅需要應(yīng)用專業(yè)可靠的防毒體系��,還要建立防火墻�,屏蔽非法的數(shù)據(jù)包�����。
對(duì)于防毒���,在不同的硬件上要安裝相應(yīng)的防毒程序����。例如工作站上應(yīng)該安裝單機(jī)的防毒程序�;主機(jī)上則安裝主機(jī)防毒程序����;網(wǎng)關(guān)上安裝防病毒墻���;而這些不同的防毒程序的升級(jí)可以通過設(shè)立防毒控制中心,統(tǒng)一管理�����,由中心將升級(jí)包發(fā)給各個(gè)機(jī)器��,完成整個(gè)網(wǎng)絡(luò)防毒系統(tǒng)的升級(jí)。這樣有針對(duì)性的防毒程序能更有效的進(jìn)行病毒防護(hù)。
防火墻可以通過檢測(cè)和過濾��,阻斷外來的非法攻擊。防火墻的形式包括硬件��、軟件式和內(nèi)嵌式三種����。內(nèi)嵌式防火墻需要與操作系統(tǒng)結(jié)合�,性能較高�,應(yīng)用較為廣泛�。
5 具體措施
5.1 增強(qiáng)管理安全
在網(wǎng)絡(luò)安全中管理是最重要的��,如果安全管理制度不完善�,就會(huì)導(dǎo)致正常的網(wǎng)絡(luò)安全工作不能有序?qū)嵤P畔⒕W(wǎng)絡(luò)的管理包括對(duì)網(wǎng)絡(luò)的定期檢查、實(shí)時(shí)監(jiān)控以及出現(xiàn)故障時(shí)及時(shí)報(bào)告等�����。為了達(dá)到管理安全�����,首先��,要制定完整詳細(xì)的供電企業(yè)信息網(wǎng)絡(luò)安全制度,并嚴(yán)格實(shí)施;其次���,對(duì)用戶的網(wǎng)絡(luò)活動(dòng)做記錄并保存網(wǎng)絡(luò)日志�,以便對(duì)外部的攻擊行為和違法操作進(jìn)行追蹤定位�����;還應(yīng)制定應(yīng)急方案�,在網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障和攻擊時(shí)及時(shí)采取措施���。
5.2 網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段技術(shù)是指在網(wǎng)絡(luò)中傳輸?shù)男畔?�,可以被處在用以網(wǎng)絡(luò)平臺(tái)上其他節(jié)點(diǎn)的計(jì)算機(jī)截取的技術(shù)。采用這種技術(shù)可以限制用戶的非法訪問����。比如��,黑客通過網(wǎng)絡(luò)上的一個(gè)節(jié)點(diǎn)竊取該網(wǎng)絡(luò)上的數(shù)據(jù)信息��,如果沒有任何限制,便能獲得所有的數(shù)據(jù)�,而網(wǎng)絡(luò)分段技術(shù)則可以在這時(shí)��,將黑客與網(wǎng)絡(luò)上的數(shù)據(jù)隔離,限制其非法訪問���,進(jìn)而保護(hù)了信息網(wǎng)絡(luò)的安全�����。
5.3 數(shù)據(jù)備份
重要數(shù)據(jù)的備份是網(wǎng)絡(luò)安全的重要工作�。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,備份工作也必須要與之一致��,保證實(shí)時(shí)性和完整性���,才能在出現(xiàn)緊急問題時(shí)發(fā)揮其應(yīng)有的作用���,恢復(fù)數(shù)據(jù)信息�����。整個(gè)龐大的信息網(wǎng)絡(luò)����,備份的數(shù)據(jù)量也是很大的�,要避免或減少不必要的備份;備份的時(shí)間也要恰當(dāng)?shù)剡x擇����,盡量不影響用戶的使用��;同時(shí)備份數(shù)據(jù)的存儲(chǔ)介質(zhì)要選擇適當(dāng)。
5.4 病毒檢測(cè)和防范
檢測(cè)也是信息安全中的一個(gè)重要環(huán)節(jié)����。通過應(yīng)用專業(yè)的檢測(cè)工具�,對(duì)網(wǎng)絡(luò)進(jìn)行不斷地檢測(cè)��,能夠及時(shí)的發(fā)現(xiàn)漏洞和病毒��,在最短時(shí)間內(nèi)采取相應(yīng)的措施�。
病毒防范技術(shù)有很多�,可以先分析網(wǎng)絡(luò)病毒的特征,建立病毒庫(kù)���,在掃描數(shù)據(jù)信息時(shí)如果對(duì)象的代碼與病毒庫(kù)中的代碼吻合��,則判斷其感染病毒;對(duì)于加密��、變異的不易掃描出來的病毒可以通過虛擬執(zhí)行查殺��;最基本的還是對(duì)文件進(jìn)行實(shí)時(shí)監(jiān)控����,一旦感染病毒���,及時(shí)報(bào)警并采取相應(yīng)的措施��。
6 結(jié)束語
第3篇
關(guān)鍵詞:VLAN�;虛擬局域網(wǎng);企業(yè)網(wǎng)絡(luò)�����;網(wǎng)絡(luò)設(shè)計(jì)
中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):16727800(2012)009013403
1企業(yè)組網(wǎng)中采用單一網(wǎng)段架構(gòu)的不足之處
企業(yè)在組建局域網(wǎng)和信息化平臺(tái)時(shí),為節(jié)約成本往往采用了單一網(wǎng)段架構(gòu)的組網(wǎng)模式��。隨著企業(yè)內(nèi)部聯(lián)網(wǎng)計(jì)算機(jī)的不斷增多��、網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜���,這種架構(gòu)的弊端也不斷顯現(xiàn)出來�。由于防火墻���、服務(wù)器、工作站等網(wǎng)絡(luò)設(shè)備處在同一個(gè)網(wǎng)段(同一廣播域)�����,大量的廣播包發(fā)送到局域網(wǎng)上容易引起廣播風(fēng)暴�����、占用很高的網(wǎng)絡(luò)帶寬����,從而影響到正常業(yè)務(wù)數(shù)據(jù)流的穩(wěn)定傳輸��。一旦某計(jì)算機(jī)發(fā)生ARP攻擊或者冒用了網(wǎng)絡(luò)設(shè)備的IP地址,就會(huì)干擾到網(wǎng)絡(luò)的正常運(yùn)行,造成嚴(yán)重的安全隱患���。為了解決上述問題����,提高企業(yè)網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性���,就需要部署與實(shí)施VLAN虛擬局域網(wǎng)���。
2VLAN虛擬局域網(wǎng)的主要特點(diǎn)
IEEE802.1Q定義了VLAN網(wǎng)橋和操作規(guī)范�����。傳統(tǒng)的共享介質(zhì)型以太網(wǎng)中,所有的計(jì)算機(jī)位于同一個(gè)廣播域中�,廣播域越大對(duì)網(wǎng)絡(luò)性能的影響也就越大。有效的解決途徑就是把單一網(wǎng)段架構(gòu)的以太網(wǎng)劃分成邏輯上相互獨(dú)立的多個(gè)子網(wǎng)���,同一VLAN中的廣播包只有同一VLAN的成員組才能收到��,而不會(huì)傳輸?shù)狡渌黇LAN中去,這就很好地控制了廣播風(fēng)暴�。在企業(yè)網(wǎng)絡(luò)組建中,通過合理的VLAN設(shè)計(jì)規(guī)劃,一方面可以限制廣播域,最大限度地防止廣播風(fēng)暴的發(fā)生��,節(jié)省網(wǎng)絡(luò)帶寬;同時(shí)還可以提高網(wǎng)絡(luò)處理能力,并通過VLAN間路由����、VLAN間互訪策略�,全面增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性���。
3企業(yè)VLAN規(guī)劃中的技術(shù)要點(diǎn)
VLAN技術(shù)在大型局域網(wǎng)、大型校園網(wǎng)的組建中有著廣泛的應(yīng)用��,VLAN的規(guī)劃和設(shè)計(jì)是高等計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重點(diǎn)���,同時(shí)也是一個(gè)技術(shù)難點(diǎn),實(shí)施者必須具備較高的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)與實(shí)踐技能��。企業(yè)在實(shí)施VLAN前�,應(yīng)該從以下幾個(gè)方面重點(diǎn)分析和考慮:
(1)根據(jù)目前的網(wǎng)絡(luò)拓?fù)洹⒕C合布線�、各類網(wǎng)絡(luò)設(shè)備���、計(jì)算機(jī)數(shù)量以及分布的地理位置進(jìn)行統(tǒng)計(jì)和調(diào)研。通常位于核心層的防火墻���、服務(wù)器組等應(yīng)劃分到一個(gè)單獨(dú)的VLAN網(wǎng)段�,然后根據(jù)各部門的網(wǎng)絡(luò)應(yīng)用需求�����、聯(lián)網(wǎng)設(shè)備數(shù)量作進(jìn)一步規(guī)劃�。
(2)采用合適的VLAN劃分技術(shù)���,常見的VLAN劃分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于協(xié)議的VLAN��、基于IP子網(wǎng)的VLAN 和基于策略的VLAN等��。以中小型企業(yè)為例,計(jì)算機(jī)的數(shù)量與分布的地理位置相對(duì)比較固定�����,優(yōu)先考慮采用基于端口的靜態(tài)VLAN劃分方式。將交換機(jī)中的任意端口定義為一個(gè)VLAN端口組成員�����,從而形成一個(gè)VLAN網(wǎng)段�����,將指定端口加入到指定VLAN中之后����,該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)包。
(3)各個(gè)VLAN之間的路由與ACL訪問策略的配置。通常服務(wù)器所屬的VLAN可以與其它VLAN相互訪問�,各個(gè)VLAN的內(nèi)部計(jì)算機(jī)可以互訪��,其它VLAN之間計(jì)算機(jī)的互訪權(quán)限視具體情況在三層交換機(jī)加以啟用或禁用���。
(4)防火墻到各個(gè)VLAN之間的路由規(guī)劃�����。防火墻是整個(gè)企業(yè)網(wǎng)的Internet總出口�����,直接決定哪些VLAN組����、哪些計(jì)算機(jī)成員可以訪問Internet�����。
(5)必要的經(jīng)費(fèi)投入��,購(gòu)買合適的網(wǎng)絡(luò)設(shè)備����。一般選擇三層智能VLAN以太網(wǎng)交換機(jī),根據(jù)設(shè)計(jì)方案�����,通過命令參數(shù)進(jìn)行配置。由于不同品牌��、不同型號(hào)的交換機(jī)VLAN配置參數(shù)與語法命令不盡相同�,因此需要VLAN實(shí)施者精通常用交換機(jī)的配置與應(yīng)用�。
4某企業(yè)VLAN規(guī)劃和實(shí)施的具體步驟與案例分析
隨著經(jīng)營(yíng)業(yè)務(wù)的不斷擴(kuò)展、聯(lián)網(wǎng)設(shè)備的不斷增多,為提高局域網(wǎng)安全性和處理能力���,筆者參與了某商品流通企業(yè)的局域網(wǎng)VLAN實(shí)施項(xiàng)目�����。從企業(yè)網(wǎng)絡(luò)應(yīng)用的規(guī)模和現(xiàn)狀分析��,設(shè)計(jì)劃分為5個(gè)VLAN, 其中VLAN16為服務(wù)器核心網(wǎng)段�����,可以與其它全部VLAN(17~20)互訪��。VLAN(17~20)只能訪問16網(wǎng)段,相互之間不能互訪�����,但每個(gè)VLAN內(nèi)部計(jì)算機(jī)可以互訪�。防火墻型號(hào)為H3C SecPath F100S����,LAN口管理IP為192.168.16.1��,可以路由到全部5個(gè)VLAN����,并能控制任意網(wǎng)段的計(jì)算機(jī)訪問外網(wǎng)與IP流量���。
接入層訪問端口,按表1方案�����,連接網(wǎng)絡(luò)設(shè)備、各職能部門的工作站計(jì)算機(jī)��、網(wǎng)絡(luò)共享打印機(jī)���、無線接入點(diǎn)AP等
在實(shí)施VLAN前���,首先要對(duì)企業(yè)現(xiàn)有的綜合布線作全面的梳理���,每根網(wǎng)線連接哪臺(tái)電腦���、交換機(jī)的端口標(biāo)識(shí)要明確、清晰��。在核心交換機(jī)端口充裕的情況下����,做到計(jì)算機(jī)與核心交換機(jī)端口直接相連�����,盡量不要采用SOHO交換機(jī)進(jìn)行多層次的網(wǎng)絡(luò)轉(zhuǎn)接����。根據(jù)VLAN設(shè)計(jì)方案����,對(duì)網(wǎng)絡(luò)設(shè)備�����、部門計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù)進(jìn)行重新分配和配置,把每臺(tái)計(jì)算機(jī)的網(wǎng)線連接到交換機(jī)對(duì)應(yīng)的VLAN端口���。
該項(xiàng)目中��,采用了H3C公司的48口全千兆三層以太網(wǎng)交換機(jī)S550048PSI�����。S550048PSI千兆以太網(wǎng)交換機(jī)定位于企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入,具備豐富的業(yè)務(wù)特性����,提供了高性能�����、大容量的交換服務(wù)����,并支持10GE 的上行接口,為接入設(shè)備提供了更高的帶寬�。同時(shí)還可以用于數(shù)據(jù)中心服務(wù)器群的連接,為用戶提供了高接入帶寬和高端口密度��。S550048PSI支持4K個(gè)基于端口的VLAN,在全雙工模式下交換容量為240Gbps���,整機(jī)包轉(zhuǎn)發(fā)率為72Mpps,可以滿足企業(yè)目前應(yīng)用需求��。
S550048PSI交換機(jī)的配置是整個(gè)VLAN實(shí)施中的技術(shù)重點(diǎn)和難點(diǎn)����,其配置要點(diǎn)說明如下:
(1)創(chuàng)建ACL訪問策略��。根據(jù)設(shè)計(jì)方案,VLAN16可以與VLAN(17~20)直接互訪,無須設(shè)置拒絕訪問規(guī)則��。VLAN17不能與VLAN(18~20)互訪,VLAN18不能與VLAN(17���、19���、20)互訪��,VLAN19不能與VLAN(17���、18����、20)互訪�����,VLAN20不能與VLAN(17~19)互訪��。因此,必須單獨(dú)設(shè)置規(guī)則號(hào)和拒絕訪問控制列表�����。
5VLAN實(shí)施后產(chǎn)生問題如何解決
由于實(shí)施VLAN后除了VLAN16其它各網(wǎng)段之間不能直接互訪,因此也帶來了一些網(wǎng)絡(luò)應(yīng)用上的問題�����。比如不同VLAN之間不能直接共享打印機(jī)和共享文件夾,需要重新設(shè)置共享����。解決方案是在同一VLAN的內(nèi)部計(jì)算機(jī)上設(shè)置共享打印機(jī)或者文件夾����,或者在VLAN16網(wǎng)段上設(shè)置共享打印機(jī)或者文件夾�,以便給全公司的聯(lián)網(wǎng)計(jì)算機(jī)訪問���。
6結(jié)語
通過實(shí)施VLAN前后的網(wǎng)絡(luò)協(xié)議分析���,在企業(yè)網(wǎng)絡(luò)應(yīng)用高峰期利用OmniPeek協(xié)議分析軟件在各個(gè)VLAN網(wǎng)段中實(shí)時(shí)抓包采樣�,發(fā)現(xiàn)各個(gè)網(wǎng)段的廣播包數(shù)量明顯減少,網(wǎng)絡(luò)利用率有了明顯提高����,實(shí)施后從未發(fā)生過廣播風(fēng)暴現(xiàn)象。特別是核心層網(wǎng)絡(luò)設(shè)備從普通交換機(jī)升級(jí)到全千兆VLAN交換機(jī)后,業(yè)務(wù)軟件的輸入�、統(tǒng)計(jì)、查詢��,以及瀏覽網(wǎng)頁(yè)的速度均有較大的提高,網(wǎng)絡(luò)性能有了很大改善�����。
上述企業(yè)VLAN的設(shè)計(jì)思路、實(shí)施步驟和配置參數(shù)具有很高的參考與應(yīng)用價(jià)值。規(guī)模更大�����、更復(fù)雜的企業(yè)網(wǎng)擁有更多的計(jì)算機(jī),因此��,需在此基礎(chǔ)上劃分更多的VLAN、設(shè)計(jì)更加復(fù)雜的ACL訪問控制策略。通過VLAN的實(shí)施����,不僅提高了網(wǎng)絡(luò)安全性和利用率���,并且對(duì)于今后企業(yè)網(wǎng)絡(luò)的擴(kuò)展和升級(jí)都帶來了很大的便利��。
參考文獻(xiàn):
[1]崔北亮.CCNA認(rèn)證指南(640-802)[M].北京:電子工業(yè)出版社��,2009.
[2]王達(dá).CISCO/H3C交換機(jī)配置與管理完全手冊(cè)[M].北京:中國(guó)水利水電出版社�����,2009.
[3]Marina Smith.虛擬局域網(wǎng)[M].北京:清華大學(xué)出版社�,2003.
第4篇
關(guān)鍵詞:企業(yè)發(fā)展�;計(jì)算機(jī)局域網(wǎng)�;設(shè)計(jì)方案
Abstract: the enterprise computer network is an internal use Internet technology to build enterprise agency liaison network. It is unified and convenient information exchange platform. On the one hand, in recent years, with the rapid development of computer network equipment in China, to benefit from the network equipment industry production technology continues to improve and expand the market of computer technology, to promote the development of computer local area network design in the domestic and international enterprises, on the market. On the other hand, as the level of scientific management of enterprises continuously improve enterprise management informatization, more and more enterprises management attention. Aiming at the design of local network business computer, through various investigation, summing up experience, put forward to make the enterprise computer network design scheme is proposed, so as to promote the further development of enterprises.
Keywords: enterprise development; computer network; design
中圖分類號(hào):TP393.1 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):2095-2104(2013)
局域網(wǎng)是在一個(gè)局部的地理范圍內(nèi)比如:一個(gè)學(xué)校���、工廠和機(jī)關(guān)內(nèi))�,一般是方圓幾千米以內(nèi),將各種計(jì)算機(jī)��,外部設(shè)備和數(shù)據(jù)庫(kù)等互相聯(lián)接起來組成的計(jì)算機(jī)通信網(wǎng)����。它可以通過數(shù)據(jù)通信網(wǎng)或?qū)S脭?shù)據(jù)電路�,與遠(yuǎn)方的局域網(wǎng)����、數(shù)據(jù)庫(kù)或處理中心相連接�����,構(gòu)成一個(gè)較大范圍的信息處理系統(tǒng)���。局域網(wǎng)可以實(shí)現(xiàn)文件管理���、應(yīng)用軟件共享���、打印機(jī)共享、掃描儀共享��、工作組內(nèi)的日程安排�����、電子郵件和傳真通信服務(wù)等功能��。計(jì)算機(jī)局域網(wǎng)嚴(yán)格意義上是封閉型的�����,它可以由辦公室內(nèi)幾臺(tái)甚至上千上萬臺(tái)計(jì)算機(jī)組成�。決定計(jì)算機(jī)局域網(wǎng)的主要技術(shù)要素為:網(wǎng)絡(luò)拓?fù)?,傳輸介質(zhì)與介質(zhì)訪問控制方法����。局域網(wǎng)的名字本身就隱含了這種網(wǎng)絡(luò)地理范圍的局域性。由于較小的地理范圍的局限性���,企業(yè)計(jì)算機(jī)的局域網(wǎng)通常要比廣域網(wǎng)具有高的多的傳輸速率,例如��,計(jì)算機(jī)局域網(wǎng)的傳輸速率為10Mb/s,F(xiàn)DDI的傳輸速率為100Mb/s�,而廣域網(wǎng)的主干線速率國(guó)內(nèi)僅為64kbps或2.048Mbps�,最終用戶的上線速率通常為14.4kbps�。計(jì)算機(jī)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)常用的是總線型和環(huán)行����,這是由于有限地理范圍決定的,這兩種結(jié)構(gòu)很少在廣域網(wǎng)環(huán)境下使用�����。另外企業(yè)運(yùn)用計(jì)算機(jī)局域網(wǎng)還有諸如高可靠性、易擴(kuò)縮和易于管理及安全等多種特性。
一�����、我國(guó)企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)方案
為了提高企業(yè)的工作效率���,從而進(jìn)一步提高企業(yè)的經(jīng)濟(jì)效益���,很多企業(yè)都購(gòu)置了可供需要的大量計(jì)算機(jī)。隨著經(jīng)濟(jì)的不斷發(fā)展��,社會(huì)生產(chǎn)力不斷地提高����,我國(guó)計(jì)算機(jī)技術(shù)水平不斷地提升,企業(yè)的計(jì)算機(jī)也不在是以前孤立的個(gè)體����,慢慢的經(jīng)過科學(xué)技術(shù)革新、研究形成了企業(yè)根據(jù)自身情況所建立的“企業(yè)計(jì)算機(jī)局域網(wǎng)”�。使企業(yè)內(nèi)部形成的資源高度的共享�����、企業(yè)各部門有機(jī)協(xié)調(diào)的計(jì)算機(jī)網(wǎng)絡(luò)�����,既方便了企業(yè)員工之間的工作�����,也同時(shí)方便了企業(yè)管理層對(duì)員工的監(jiān)督。就目前���,我國(guó)各企業(yè)大都建立了自己的計(jì)算機(jī)網(wǎng)絡(luò),網(wǎng)絡(luò)應(yīng)用也逐漸頗具規(guī)模,特別在數(shù)值計(jì)算�、信息管理����、辦公事務(wù)�����、工程(產(chǎn)品)設(shè)計(jì)、加工制造等方面基本實(shí)現(xiàn)了計(jì)算機(jī)應(yīng)用,計(jì)算機(jī)����、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)正在成為企業(yè)日常運(yùn)行的基石��。那么我國(guó)企業(yè)計(jì)算機(jī)局域網(wǎng)主要有以下幾種設(shè)計(jì)方案和遵循標(biāo)準(zhǔn):
1�、企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng)建設(shè)
企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng):是企業(yè)內(nèi)部日常運(yùn)作的重要保證�。通過企業(yè)內(nèi)部計(jì)算機(jī)局域網(wǎng)建設(shè)可實(shí)現(xiàn)企業(yè)內(nèi)部辦公自動(dòng)化,財(cái)務(wù)電算化,數(shù)據(jù)共享����,上網(wǎng)鏈路共享����,打印共享,內(nèi)部電子郵件傳輸?shù)纫幌盗泄δ?���。但設(shè)計(jì)這樣的企業(yè)內(nèi)部局域網(wǎng)需要遵循以下幾點(diǎn)原則:
(1)根據(jù)企業(yè)具體實(shí)際情況,設(shè)計(jì)網(wǎng)絡(luò)模型
根據(jù)企業(yè)的具體實(shí)際情況���,建議整個(gè)網(wǎng)絡(luò)系統(tǒng)采用多服務(wù)器的“主干—星型”混合拓?fù)浣Y(jié)構(gòu)����。采用光纖和5類雙絞線連接UTP加上百兆交換機(jī)��,從而實(shí)現(xiàn)真正的百兆連接到桌面�����。其中服務(wù)器和交換機(jī)放置在專用計(jì)算機(jī)房,并配置網(wǎng)絡(luò)UPS�。這種企業(yè)內(nèi)部局域網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)的優(yōu)勢(shì)在于非常靈活,網(wǎng)絡(luò)中任何一臺(tái)機(jī)器出現(xiàn)故障�,對(duì)企業(yè)網(wǎng)絡(luò)整體都不會(huì)構(gòu)成很大影響�。另外由于財(cái)務(wù)系統(tǒng)具有封閉性,可以在企業(yè)內(nèi)部局域網(wǎng)絡(luò)中建立分支結(jié)構(gòu)����,既便于財(cái)務(wù)人員從主干獲取信息��,也保證企業(yè)內(nèi)部財(cái)務(wù)信息的安全��。
(2)工程布線標(biāo)準(zhǔn)
企業(yè)計(jì)算機(jī)局域網(wǎng)絡(luò)系統(tǒng)布線工程標(biāo)準(zhǔn)參照 EIA/TIA 568A�����、EIA/TIA 569 、EIA/TIA ��、TSB36/40工業(yè)、國(guó)際商務(wù)建筑布線標(biāo)準(zhǔn)及相應(yīng)國(guó)家電信通信標(biāo)準(zhǔn)����。
(3)網(wǎng)絡(luò)的保修:要定期對(duì)企業(yè)內(nèi)部的計(jì)算機(jī)局域網(wǎng)進(jìn)行維修檢查,以防止故障的產(chǎn)生���,影響企業(yè)工作的流程安排�。
(4)企業(yè)內(nèi)部要建立自己本企業(yè)的網(wǎng)站
企業(yè)計(jì)算機(jī)局域網(wǎng)與傳統(tǒng)的企業(yè)內(nèi)部辦公網(wǎng)絡(luò)的主要區(qū)別在于����,在先進(jìn)的網(wǎng)絡(luò)設(shè)備和接入帶寬的保證下��,有一套運(yùn)行在企業(yè)內(nèi)部局域網(wǎng)上的,與企業(yè)內(nèi)部局域網(wǎng)網(wǎng)站相關(guān)連又有所區(qū)別的企業(yè)內(nèi)部網(wǎng)站��??晒┢髽I(yè)員工分享資料���,查看企業(yè)的最新動(dòng)態(tài)。
2�、企業(yè)計(jì)算機(jī)局域網(wǎng)上網(wǎng)共享的實(shí)現(xiàn)
通過企業(yè)計(jì)算機(jī)局域網(wǎng),可使全體員工共享上網(wǎng)資源��。根據(jù)人員情況和上網(wǎng)需求量的大小�����,還可采用以下三種方式對(duì)上網(wǎng)進(jìn)行分類:
(1)ADSL上網(wǎng)
非對(duì)稱數(shù)字用戶環(huán)路,可以在普通的電話銅纜上提供1.5~8mbit/s的下行和10~64kbit/s的上行傳輸,可進(jìn)行視頻會(huì)議和影視節(jié)目傳輸�����,非常適合中、小企業(yè)����。
(2)ISDN上網(wǎng)
目前在國(guó)內(nèi)迅速普及���,價(jià)格大幅度下降�,有的地方甚至是免初裝費(fèi)用�����。兩個(gè)信道128kbit/s的速率�,快速的連接以及比較可靠的線路�,可以滿足中小型企業(yè)瀏覽以及收發(fā)電子郵件的需求��。而且還可以通過ISDN和Internet組建企業(yè)VPN���。這種方法的性能價(jià)格比很高,在國(guó)內(nèi)大多數(shù)的城市都有ISDN接入服務(wù)。
(3)DDN專線上網(wǎng)
這種方式適合對(duì)帶寬要求比較高的應(yīng)用�����,如企業(yè)網(wǎng)站�。它的特點(diǎn)也是速率比較高�,范圍從64kbit/s~2Mbit/s�����。但是,由于整個(gè)鏈路被企業(yè)獨(dú)占�,所以費(fèi)用很高�,其優(yōu)勢(shì)在于速度極快�,在滿足內(nèi)部上網(wǎng)需求的同時(shí)可以用于網(wǎng)站�。這樣就節(jié)省了網(wǎng)站所須的線路費(fèi)用。
二�����、企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)的發(fā)展趨勢(shì)
隨著我國(guó)企業(yè)科學(xué)管理水平的提高�����。企業(yè)管理科技化、信息化越來越受到企業(yè)的重視�����。對(duì)于企業(yè)計(jì)算機(jī)局域網(wǎng)設(shè)計(jì)發(fā)展趨勢(shì)應(yīng)越趨于網(wǎng)絡(luò)速度的快速化�、網(wǎng)絡(luò)信息的安全化���、企業(yè)計(jì)算機(jī)局域網(wǎng)絡(luò)的穩(wěn)定化�����。其中�,企業(yè)局域網(wǎng)的信息安全化逐漸成為企業(yè)設(shè)計(jì)計(jì)算機(jī)局域網(wǎng)的著重點(diǎn)�。因?yàn)槠髽I(yè)的計(jì)算機(jī)局域網(wǎng)與國(guó)際互聯(lián)網(wǎng)相聯(lián)接�,形成一個(gè)內(nèi)���、外部信息共享的網(wǎng)絡(luò)平臺(tái)����。這種連接方式使得企業(yè)內(nèi)部的計(jì)算機(jī)局域網(wǎng)在給內(nèi)部用戶帶來工作便利的同時(shí)�,也面臨著外部環(huán)境——國(guó)際互聯(lián)網(wǎng)的多重危險(xiǎn)�。如病毒,黑客��、垃圾郵件�、而已侵襲軟件等給企業(yè)內(nèi)部網(wǎng)的安全和性能造成極大地沖擊,甚至?xí)斐善髽I(yè)內(nèi)部的經(jīng)濟(jì)損失����。那么如何更有效地保護(hù)企業(yè)重要的信息數(shù)據(jù)、提高企業(yè)局域網(wǎng)系統(tǒng)的安全性已經(jīng)成為當(dāng)前企業(yè)設(shè)計(jì)計(jì)算機(jī)局域網(wǎng)必須解決的一個(gè)重要問題��。
為了更好的解決企業(yè)信息安全的問題�,確保網(wǎng)絡(luò)信息的安全�����,企業(yè)應(yīng)建立完善的計(jì)算機(jī)安全保障體系。該體系應(yīng)包括網(wǎng)絡(luò)安全科學(xué)技術(shù)的防護(hù)和企業(yè)網(wǎng)絡(luò)信息安全管理兩方面����。對(duì)于網(wǎng)絡(luò)安全技術(shù)的防護(hù)主要側(cè)重于防范外部非法用戶的攻擊和企業(yè)重要內(nèi)部數(shù)據(jù)信息的安全���。而企業(yè)網(wǎng)絡(luò)信息安全管理則側(cè)重于對(duì)內(nèi)部人員操作使用的管理���,也要防止內(nèi)部人員的泄漏。并在采用新的科學(xué)技術(shù)建立網(wǎng)絡(luò)安全防御體系的同時(shí)���,加強(qiáng)企業(yè)信息網(wǎng)絡(luò)的安全管理這兩方面相互補(bǔ)充�,缺一不可。這個(gè)安全防御體系其中包括入侵檢測(cè)系統(tǒng)、安全訪問控制、漏洞掃描����、病毒防護(hù)、防火墻���、接入認(rèn)證�����、電子文檔保護(hù)和網(wǎng)絡(luò)行為監(jiān)控�����,在這些安全防御體系中入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)和病毒防護(hù)系統(tǒng)比較重要�����?����?傊瑢?duì)于企業(yè)計(jì)算機(jī)局域網(wǎng)的設(shè)計(jì)發(fā)展��,企業(yè)應(yīng)從多方面考量,從整體著眼�,促進(jìn)企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。
【參考文獻(xiàn)】
1�、于玥.《網(wǎng)絡(luò)信息管理及其安全》.[J].計(jì)算機(jī)光盤軟件與應(yīng)用.2010
第5篇
關(guān)鍵詞: 局域網(wǎng)����;規(guī)劃設(shè)計(jì)����;系統(tǒng)���;網(wǎng)絡(luò)�����;應(yīng)用
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)06-0054-02
1 現(xiàn)狀及需求分析
1.1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀
瓦力公司的網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀是���,全公司約有臺(tái)式電腦�、筆記本電腦共300臺(tái)�����。無核心交換機(jī)�����、硬件防火墻,通過Cisco 2800路由器做NAT端口復(fù)用地址轉(zhuǎn)換來訪問因特網(wǎng)���,所有計(jì)算機(jī)在同一廣播域內(nèi)���,樓宇間通過100M雙絞線連接�����,樓宇至各辦公室終端計(jì)算機(jī)通過交換機(jī)級(jí)聯(lián)連接�。
1.2網(wǎng)絡(luò)系統(tǒng)需求分析
瓦力公司現(xiàn)在有計(jì)算機(jī)約220臺(tái)�����,管理人員實(shí)現(xiàn)了一人一臺(tái)的電腦辦公環(huán)境����。
目前網(wǎng)絡(luò)系統(tǒng)存在的問題如下:
1)信息化的系統(tǒng)增加�,需要更大帶寬��,更穩(wěn)定的網(wǎng)絡(luò)環(huán)境��。
隨著企業(yè)發(fā)展,網(wǎng)絡(luò)應(yīng)用越來越多,對(duì)網(wǎng)絡(luò)的穩(wěn)定性和帶寬有了更高的要求。
2)所有計(jì)算機(jī)處于同一廣播域����,網(wǎng)絡(luò)風(fēng)暴導(dǎo)致局域網(wǎng)極不穩(wěn)定���。
3)樓宇間的百兆雙絞線因距離較長(zhǎng)����,信號(hào)衰減嚴(yán)重,且百兆的核心速度已嚴(yán)重影響公司辦公效率�,成為信息化的瓶頸���。
4)公司與因特網(wǎng)之間未架設(shè)防火墻,隨時(shí)有中病毒或黑客攻擊的安全隱患���。
綜上所述�,公司網(wǎng)絡(luò)現(xiàn)狀與公司的規(guī)模及其他軟硬件設(shè)施不相匹配���,即不能適應(yīng)企業(yè)現(xiàn)代化管理的要求,也不能滿足企業(yè)日益膨脹的信息需求���。
總結(jié)起來,瓦力公司對(duì)局域網(wǎng)的需求主要有:
1)辦公自動(dòng)化�����;一卡通系統(tǒng)�;PDM系統(tǒng)、ERP系統(tǒng)�����;
2)劃分VLAN���,創(chuàng)建廣播域�,減少?gòu)V播風(fēng)暴,釋放帶寬���;
3)改造樓宇間網(wǎng)絡(luò)�,更換不穩(wěn)定的百兆雙絞線為更穩(wěn)定的千兆光纖����;
4)規(guī)范因特網(wǎng)訪問,架設(shè)防火墻���,減少網(wǎng)絡(luò)安全隱患����。
2系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)目標(biāo)
針對(duì)企業(yè)實(shí)際情況和應(yīng)用需求���,此解決方案應(yīng)達(dá)到如下目標(biāo):
1)采用先進(jìn)的網(wǎng)絡(luò)設(shè)備���,通過結(jié)構(gòu)化布線�、模塊化設(shè)計(jì)����,建立一個(gè)高速、可靠、先進(jìn)的網(wǎng)絡(luò)系統(tǒng)��。
2)網(wǎng)絡(luò)主干采用千兆位以太網(wǎng)絡(luò),光纜鋪設(shè)廠區(qū)主要建筑����。普遍100M交換到桌面的高性能連接���,充分滿足各種系統(tǒng)對(duì)高帶寬的要求�。
3)建立高效的網(wǎng)絡(luò)傳輸平臺(tái),實(shí)現(xiàn)PDM�、視頻監(jiān)控等高速數(shù)據(jù)的傳輸和應(yīng)用。
4)建立企業(yè)網(wǎng)站(可分為對(duì)內(nèi)�����、對(duì)外兩個(gè))���,為外界了解企業(yè)提供一個(gè)窗口��,促進(jìn)企業(yè)內(nèi)外及企業(yè)內(nèi)部的信息交流��。
5)其余可提供服務(wù)功能有:(l) E-mail(電子郵件)���;(2) FTP(文件傳輸服務(wù))���; (3) DNS(域名解析)����;(4)TELNET(遠(yuǎn)程登錄)。
3 系統(tǒng)總體方案設(shè)計(jì)
3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
瓦力公司局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)由核心層�、分布層與用戶層組成,其中由安裝中心機(jī)房的三層交換機(jī)組成局域網(wǎng)的核心層��,由安裝在各辦公樓的交換機(jī)組成網(wǎng)絡(luò)的分布層與用戶層�。
3.2 VLAN劃分及配置
傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中�,所有的用戶在同一個(gè)廣播域中��,會(huì)引起網(wǎng)絡(luò)性能的下降,浪費(fèi)寶貴的帶寬��;而且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)����。
VLAN相當(dāng)于OSI參考模型的第二層�����,能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部。劃分VLAN后���,由于廣播域縮小���,網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例降低����,網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層的路由來實(shí)現(xiàn)的��。可以通過控制交換機(jī)的每一個(gè)端口來控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問�,同時(shí)VLAN和第三層交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全保障。
根據(jù)該公司的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及建筑物的分布情況�����,采用靜態(tài)實(shí)現(xiàn)的方式�����。靜態(tài)實(shí)現(xiàn)是將交換機(jī)端口分配給某一個(gè)VLAN(也稱為基于端口的劃分)��,這是一種經(jīng)常使用的配置方式�����,比較容易實(shí)現(xiàn)和監(jiān)視���,而且安全。在地址分配的基礎(chǔ)上進(jìn)行劃分�����,基本上一個(gè)子網(wǎng)劃為一個(gè)VLAN�,如表1中所示���,還可根據(jù)需要擴(kuò)充或修改����。
3.3網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)
網(wǎng)絡(luò)平臺(tái):Windows 2008 Server中文版,客戶端用Windows 7 Professional����。
網(wǎng)絡(luò)操作系統(tǒng)選擇Windows 2008 Server���。因?yàn)?����,Windows Server 2008通過加強(qiáng)操作系統(tǒng)和保護(hù)網(wǎng)絡(luò)環(huán)境提高了安全性。通過加快IT系統(tǒng)的部署與維護(hù)�、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡(jiǎn)單�����、提供直觀管理工具�,Windows Server2008還為IT專業(yè)人員提供了靈活性��。Windows Server 2008為任何組織的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ),是較為理想的應(yīng)用平臺(tái)�����。
3.4網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)
3.4.1訪問控制及內(nèi)外網(wǎng)的隔離
配備防火墻:在內(nèi)部網(wǎng)與外部網(wǎng)之間,設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最有效����、最經(jīng)濟(jì)的措施之一?��?梢源_保網(wǎng)絡(luò)安全���,防止外部入侵��。防火墻采用Juniper SRX 220H����。
3.4.2內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制
利用VLAN技術(shù)和子網(wǎng)劃分來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離�。通過交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分成幾個(gè)不同的廣播域�,實(shí)現(xiàn)一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的隔離,限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響����。
采用防火墻��,將用戶區(qū)和服務(wù)器區(qū)隔離�����,防止不法用戶對(duì)服務(wù)器的入侵攻擊及病毒傳播。
3.4.3上網(wǎng)行為管理
在出口網(wǎng)關(guān)出配置上網(wǎng)行為管理設(shè)備,通過IP/MAC認(rèn)證方式對(duì)所有電腦終端進(jìn)行上網(wǎng)行為管理��,限制訪問視頻、游戲����、股票等網(wǎng)站����,并限制P2P下載,保證關(guān)鍵業(yè)務(wù)部門的網(wǎng)絡(luò)帶寬���。
3.4.4網(wǎng)絡(luò)防病毒
采用免費(fèi)的金山毒霸企業(yè)版對(duì)所有終端進(jìn)行部署���,便于集中管控。
4總結(jié)
本次瓦力公司局域網(wǎng)規(guī)劃設(shè)計(jì)方案在總體上達(dá)到各種先進(jìn)的功能要求�����,如端到端的QoS、速率限制���、全面的冗余能力、全面的接入能力�、以標(biāo)準(zhǔn)技術(shù)實(shí)現(xiàn)各種功能、統(tǒng)一的網(wǎng)絡(luò)管理等�,將進(jìn)一步促進(jìn)瓦力公司的網(wǎng)絡(luò)化進(jìn)程��,加強(qiáng)企業(yè)的內(nèi)部交流與對(duì)外的經(jīng)濟(jì)文化聯(lián)系��,使瓦力公司踏上新世紀(jì)飛快的網(wǎng)絡(luò)列車���,進(jìn)入嶄新的境界���。
參考文獻(xiàn):
[1] Comer D E.計(jì)算機(jī)網(wǎng)絡(luò)與Internet[M].3版.金舒原��,段海新�����,譯.北京:清華大學(xué)出版社,2002.
[2] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].2版.北京:電子工業(yè)出版社����,1999.
[3] 王利�����,張玉祥,楊良懷.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)用教程[M]. 北京:清華大學(xué)出版社�,1999.
[4] 倪文志,杭志�����,楊國(guó)鍇.局域網(wǎng)組建���、配置與管理[M].北京:清華大學(xué)出版社�,2003.
第6篇
關(guān)鍵詞:可靠性;骨干網(wǎng)��;網(wǎng)絡(luò)設(shè)計(jì);VRRP�;OSPF����;STP
1 引言
根據(jù)國(guó)家標(biāo)準(zhǔn)GB-6583的規(guī)定�,產(chǎn)品的可靠性是指:設(shè)備在規(guī)定的條件下、在規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的能力����。對(duì)于網(wǎng)絡(luò)系統(tǒng)的可靠性,除了耐久性外����,還有容錯(cuò)性和可維護(hù)性方面�����,涉及到網(wǎng)絡(luò)通信設(shè)備�����、拓?fù)浣Y(jié)構(gòu)�、通信協(xié)議等多方面因素��。
在網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)中�����,充分保證整網(wǎng)運(yùn)行的可靠性是基本原則之一。網(wǎng)絡(luò)系統(tǒng)可靠性設(shè)計(jì)的核心思想則是�����,通過合理的組網(wǎng)結(jié)構(gòu)設(shè)計(jì)和可靠性特性應(yīng)用,保證網(wǎng)絡(luò)系統(tǒng)具備有效備份�、自動(dòng)檢測(cè)和快速恢復(fù)機(jī)制,同時(shí)關(guān)注不同類型網(wǎng)絡(luò)的適應(yīng)成本����。構(gòu)建可靠的網(wǎng)絡(luò)�����,需要從耐久性�、容錯(cuò)性以及可維護(hù)性三個(gè)方面進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)��。
2 高可靠骨干網(wǎng)的典型結(jié)構(gòu)設(shè)計(jì)
大型企業(yè)網(wǎng)通常有較大的地理覆蓋范圍和較多的網(wǎng)絡(luò)設(shè)備,根據(jù)這些設(shè)備所在的位置和其所影響的范圍可將它們分別稱為核心層設(shè)備��、匯聚層設(shè)備和接入層設(shè)備,如圖1所示���。在網(wǎng)絡(luò)的方案設(shè)計(jì)中�,通常采用層次化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)���,不同層次解決不同級(jí)別的可靠性要求���,網(wǎng)絡(luò)層次越高其可靠性要求也越高��。
在企業(yè)的核心骨干網(wǎng)里����,各網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備都擔(dān)負(fù)著重要的業(yè)務(wù),要進(jìn)行大量的數(shù)據(jù)傳輸和處理�����,因此�����,對(duì)這些設(shè)備自身的可靠性有很高的要求。除設(shè)備本身的可靠外��,還需要設(shè)備之間的熱備份,只有這樣才能避免單點(diǎn)故障的存在�����。
另外��,合理的子網(wǎng)(VLAN)劃分對(duì)整個(gè)網(wǎng)絡(luò)的可靠��、安全��、性能以及管理有非常重要的影響。根據(jù)企業(yè)各部門的業(yè)務(wù)性質(zhì)不同以及管理的需要�,通常需要把企業(yè)網(wǎng)劃分為多個(gè)VLAN,即多個(gè)邏輯上互相隔離虛擬網(wǎng)絡(luò)����。這些虛擬子網(wǎng)之間必須通過路由功能才能實(shí)現(xiàn)彼此之間的通信��。
圖1 高可靠企業(yè)網(wǎng)絡(luò)的典型結(jié)構(gòu)
每個(gè)虛擬子網(wǎng)都有一個(gè)中心交換機(jī)����,并通過兩條物理鏈路分別上連到核心交換機(jī)上�,用于提高可靠性并實(shí)現(xiàn)鏈路負(fù)載均衡。在此基礎(chǔ)上還必須正確選擇并配置相關(guān)協(xié)議�,才能使冗余的設(shè)備和鏈路相互配合����、協(xié)同工作����,真正成為無單點(diǎn)故障的高可靠性網(wǎng)絡(luò)。圖1所示是根據(jù)上述分析設(shè)計(jì)出來的高可靠企業(yè)網(wǎng)的一般典型結(jié)構(gòu)��。
需要注意的是,可靠性技術(shù)的實(shí)施并不是設(shè)備和鏈路的簡(jiǎn)單疊加和無限制冗余����。否則�����,一方面會(huì)增加網(wǎng)絡(luò)建設(shè)整體成本�,另一方面還會(huì)增加管理維護(hù)的復(fù)雜度,給網(wǎng)絡(luò)引入潛在的故障隱患���。因此在進(jìn)行規(guī)劃時(shí),應(yīng)該根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)����、網(wǎng)絡(luò)類型和網(wǎng)絡(luò)層次,分析網(wǎng)絡(luò)業(yè)務(wù)模型��,確定基礎(chǔ)網(wǎng)絡(luò)拓?fù)洌鞔_對(duì)網(wǎng)絡(luò)可靠性最佳的關(guān)鍵節(jié)點(diǎn)和鏈路�,合理規(guī)劃和部署各種網(wǎng)絡(luò)高可用技術(shù)���。
3 高可靠網(wǎng)絡(luò)路由協(xié)議選擇與分析
在高可靠企業(yè)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)中�,通常要涉及到的3個(gè)重要的協(xié)議��,分別是:VRRP(Virtual Router Redundancy Protocol)�����、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol)���,正確選擇并配置它們���,是高可靠性網(wǎng)絡(luò)設(shè)計(jì)的重要組成部分。
3.1 VRRP協(xié)議
虛擬路由器冗余協(xié)議VRRP[1]是一種容錯(cuò)協(xié)議���,可以保證當(dāng)主機(jī)的下一跳路由器失效時(shí),及時(shí)的由另一臺(tái)路由器來替代,從而保持通信的不間斷性�����。VRRP的應(yīng)用實(shí)際上是對(duì)網(wǎng)絡(luò)可靠性和安全性要求的一種體現(xiàn)�����。
VRRP的運(yùn)行是以路由器為基礎(chǔ),為了使VRRP工作��,需要在路由器上配置虛擬路由器號(hào)和虛擬IP地址,同時(shí)產(chǎn)生一個(gè)虛擬MAC地址��,這樣在這個(gè)網(wǎng)絡(luò)中就加入了一個(gè)虛擬路由器。對(duì)于運(yùn)行在三層交換機(jī)上的VRRP��,與路由器上的VRRP并沒有本質(zhì)的區(qū)別,因?yàn)樘摂MIP和虛擬MAC地址是和網(wǎng)絡(luò)接口綁定在一起的�����。
VRRP將網(wǎng)絡(luò)中的一組路由器組織成一個(gè)虛擬路由器,稱之為一個(gè)備份組�����。其中僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài),稱為主用設(shè)備(Master)���,其余設(shè)備都處于備份狀態(tài)�����,并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備,稱為備份設(shè)備(Backup)���。
如圖2所示���,路由器Ra�、Rb和Rc組成了一個(gè)備份組�����,一個(gè)備份組相當(dāng)于一臺(tái)虛擬路由器�,虛擬IP為192.168.16.1����。備份組內(nèi)Ra充當(dāng)Master設(shè)備��,IP地址為192.168.16.2�����;Rb和Rc都充當(dāng)Backup設(shè)備,IP地址分別為192.168.16.3和192.168.16.4�。對(duì)于VRRP而言��,只有Master設(shè)備才能轉(zhuǎn)發(fā)以虛擬IP為下一跳的報(bào)文。
圖2 VRRP原理圖
內(nèi)部網(wǎng)絡(luò)中的所有主機(jī)僅僅知道該虛擬IP為192.168.16.1���,而并不知道具體的主用或備用設(shè)備的IP�����,因此各主機(jī)都將缺省網(wǎng)關(guān)配置為該虛擬IP地址。于是���,內(nèi)部網(wǎng)絡(luò)中的各主機(jī)就通過該備份組與外部網(wǎng)絡(luò)進(jìn)行通信����。
Master路由器的VRRP模塊監(jiān)視通信接口狀態(tài)�����,并通過組播方式向Backup路由器發(fā)送通告報(bào)文��。如果Master路由器故障或鏈路出現(xiàn)問題,則會(huì)導(dǎo)致無法正常發(fā)送VRRP通告報(bào)文����。當(dāng)Backup路由器在指定時(shí)間內(nèi)收不到VRRP通告時(shí)��,備份組內(nèi)的其它Backup路由器將會(huì)根據(jù)優(yōu)先級(jí)高低選出一個(gè)路由器充當(dāng)新的Master��,繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)�。因此,采用VRRP技術(shù)可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信���,提高了網(wǎng)絡(luò)的可靠性與安全性��。
在高可靠網(wǎng)絡(luò)設(shè)計(jì)方案中��,可以采用兩臺(tái)路由交換機(jī)S6810組成雙核心�����,作為整個(gè)網(wǎng)絡(luò)的核心,如圖1所示�����。從位置上看,這兩臺(tái)設(shè)備剛好位于整個(gè)網(wǎng)絡(luò)的中心���,因此還應(yīng)充分發(fā)揮它們數(shù)據(jù)中轉(zhuǎn)的能力�。為此����,需要定義兩個(gè)VRRP組�,在不同的組里面���,兩個(gè)設(shè)備分別為Master和Backup���。這樣�����,在正常情況下,兩臺(tái)設(shè)備都可以進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)���,一個(gè)出故障時(shí)還有一臺(tái)在轉(zhuǎn)發(fā)�,既實(shí)現(xiàn)了容錯(cuò)又實(shí)現(xiàn)了負(fù)載的均衡��,充分發(fā)揮了核心數(shù)據(jù)中轉(zhuǎn)的能力���,提高了子網(wǎng)之間訪問的速度���。
3.2 OSPF協(xié)議
OSPF是網(wǎng)間工程任務(wù)組織(IETF)的內(nèi)部網(wǎng)關(guān)協(xié)議工作組為IP網(wǎng)絡(luò)而開發(fā)的一種動(dòng)態(tài)路由協(xié)議�。動(dòng)態(tài)路由是指網(wǎng)絡(luò)中的路由器之間周期性的相互傳遞路由信息�����,重新計(jì)算路由���,更新路由表以適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化���。對(duì)于規(guī)模大、網(wǎng)絡(luò)拓?fù)鋸?fù)雜的校園網(wǎng)來說�����,采用動(dòng)態(tài)路由協(xié)議能在關(guān)鍵鏈路或設(shè)備不能正常工作時(shí)�����,實(shí)現(xiàn)自動(dòng)切換�,保證網(wǎng)絡(luò)的暢通����。
第7篇
關(guān)鍵詞:等級(jí)防護(hù)���;電力企業(yè)���;網(wǎng)絡(luò)安全建設(shè)
中圖分類號(hào): F407 文獻(xiàn)標(biāo)識(shí)碼: A 文章編號(hào):
引言
信息化是一把“雙刃劍”,在提高企業(yè)工作效率��、管理水平以及整體競(jìng)爭(zhēng)能力的同時(shí)�,也給企業(yè)帶來了一定的安全風(fēng)險(xiǎn)����,并且伴隨著企業(yè)信息化水平的提高而逐漸增長(zhǎng)��。因此��,提升企業(yè)的信息系統(tǒng)安全防護(hù)能力����,使其滿足國(guó)家等級(jí)保護(hù)的規(guī)范性要求���,已經(jīng)成為現(xiàn)階段信息化工作的首要任務(wù)�。對(duì)于電力企業(yè)的信息系統(tǒng)安全防護(hù)工作而言���,應(yīng)等級(jí)保護(hù)要求,將信息管理網(wǎng)絡(luò)劃分為信息內(nèi)網(wǎng)與信息外網(wǎng)���,并根據(jù)業(yè)務(wù)的重要性劃分出相應(yīng)的二級(jí)保護(hù)系統(tǒng)與三級(jí)保護(hù)系統(tǒng),對(duì)三級(jí)系統(tǒng)獨(dú)立成域���,其余二級(jí)系統(tǒng)統(tǒng)一成域,并從邊界安全��、主機(jī)安全����、網(wǎng)絡(luò)安全��、應(yīng)用安全等方面對(duì)不同的安全域?qū)Ψ雷o(hù)要求進(jìn)行明確劃分。
1現(xiàn)階段電力企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析
1.1服務(wù)器區(qū)域缺少安全防護(hù)措施
大部分電力企業(yè)的服務(wù)器都是直接接入本單位的核心交換機(jī)����,然而各網(wǎng)段網(wǎng)關(guān)都在核心交換機(jī)上���,未能對(duì)服務(wù)器區(qū)域采取有效的安全防護(hù)措施。
1.2服務(wù)器區(qū)域和桌面終端區(qū)域之間的劃分不明確
因服務(wù)器和桌面終端的網(wǎng)關(guān)都在核心交換機(jī)上�����,不能實(shí)現(xiàn)對(duì)于域的有效劃分。
1.3網(wǎng)絡(luò)安全建設(shè)缺乏規(guī)劃
就現(xiàn)階段的電力企業(yè)網(wǎng)絡(luò)安全建設(shè)而言�,普遍存在著缺乏整體安全設(shè)計(jì)與規(guī)劃的現(xiàn)狀�����,使整個(gè)網(wǎng)絡(luò)系統(tǒng)成為了若干個(gè)安全產(chǎn)品的堆砌物�,從而使各個(gè)產(chǎn)品之間失去了相應(yīng)的聯(lián)動(dòng)�����,不僅在很大程度上降低了網(wǎng)絡(luò)的運(yùn)營(yíng)效率��,還增加了網(wǎng)絡(luò)的復(fù)雜程度與維護(hù)難度��。
1.4系統(tǒng)策略配置有待加強(qiáng)
在信息網(wǎng)絡(luò)中使用的操作系統(tǒng)大都含有相應(yīng)的安全機(jī)制�、用戶與目錄權(quán)限設(shè)置以及適當(dāng)?shù)陌踩呗韵到y(tǒng)等�,但在實(shí)際的網(wǎng)絡(luò)安裝調(diào)試過程中����,往往只使用最寬松的配置���,然而對(duì)于安全保密來說卻恰恰相反,要想確保系統(tǒng)的安全�,必須遵循最小化原則����,沒有必要的策略在網(wǎng)絡(luò)中一律不配置,即使有必要的���,也應(yīng)對(duì)其進(jìn)行嚴(yán)格限制��。
1.5缺乏相應(yīng)的安全管理機(jī)制
對(duì)于一個(gè)好的電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)而言,安全與管理始終是分不開的����。如果只有好的安全設(shè)備與系統(tǒng)而沒有完善的安全管理體系來確保安全管理方法的順利實(shí)施�,很難實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)營(yíng)��。對(duì)于安全管理工作而言��,其目的就是確保網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行,并且其自身應(yīng)該具有良好的自我修復(fù)性�����,一旦發(fā)生黑客事件,能夠在最大程度上挽回?fù)p失��。因此���,在現(xiàn)階段的企業(yè)網(wǎng)絡(luò)安全建設(shè)工作過程中,應(yīng)當(dāng)制訂出完善的安全檢測(cè)����、人員管理、口令管理�、策略管理����、日志管理等管理方法���。
2等級(jí)保護(hù)要求下電力企業(yè)網(wǎng)絡(luò)安全建設(shè)防護(hù)的具體措施
2.1突出保護(hù)重點(diǎn)
對(duì)于電力企業(yè)而言�����,其投入到信息網(wǎng)絡(luò)安全上的資源是一定的���。從另外一種意義上講,當(dāng)一些設(shè)備存在相應(yīng)的安全隱患或者發(fā)生破壞之后����,其所產(chǎn)生的后果并不嚴(yán)重,如果投入和其一樣重要的信息資源來保護(hù)它��,顯然不滿足科學(xué)性的要求�。因此�,在保護(hù)工作過程中,應(yīng)對(duì)需要保護(hù)的信息資產(chǎn)進(jìn)行詳細(xì)梳理��,以企業(yè)的整體利益為出發(fā)點(diǎn),確定出重要的信息資產(chǎn)或系統(tǒng)����,然后將有限的資源投入到對(duì)于這些重要信息資源的保護(hù)當(dāng)中,在這些重要信息資源得到有效保護(hù)的同時(shí)����,還可以使工作效率得到很大程度的提高。
2.2貫徹實(shí)施3層防護(hù)方案
在企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中�,應(yīng)充分結(jié)合電力企業(yè)自身網(wǎng)絡(luò)化特點(diǎn),積極貫徹落實(shí)安全域劃分�����、邊界安全防護(hù)���、網(wǎng)絡(luò)環(huán)境安全防護(hù)的3層防護(hù)設(shè)計(jì)方案�。在安全防護(hù)框架的基礎(chǔ)上��,實(shí)行分級(jí)、分域與分層防護(hù)的總體策略��,以充分實(shí)現(xiàn)國(guó)家等級(jí)防護(hù)的基本要求����。
(1)分區(qū)分域����。統(tǒng)一對(duì)直屬單位的安全域進(jìn)行劃分�����,以充分實(shí)現(xiàn)對(duì)于不同安全等級(jí)��、不同業(yè)務(wù)類型的獨(dú)立化與差異化防護(hù)����。
(2)等級(jí)防護(hù)�����。遵循“二級(jí)系統(tǒng)統(tǒng)一成域,三級(jí)系統(tǒng)獨(dú)立成域”的劃分原則��,并根據(jù)信息系統(tǒng)的定級(jí)情況���,進(jìn)行等級(jí)安全防護(hù)策略的具體設(shè)計(jì)。
(3)多層防護(hù)�����。在此項(xiàng)工作的開展過程中����,應(yīng)從邊界��、網(wǎng)絡(luò)環(huán)境等多個(gè)方面進(jìn)行安全防護(hù)策略的設(shè)計(jì)工作�。
2.3加強(qiáng)安全域劃分
安全域是指在同一環(huán)境內(nèi)具有一致安全防護(hù)需求��、相互信任且具有相同安全訪問控制與邊界控制的系統(tǒng)����。加強(qiáng)對(duì)于安全域的劃分���,可以實(shí)現(xiàn)以下目標(biāo):
(1)實(shí)現(xiàn)對(duì)復(fù)雜問題的分解��。對(duì)于信息系統(tǒng)的安全域劃分而言����,其目的是將一個(gè)復(fù)雜的安全問題分解成一定數(shù)量小區(qū)域的安全防護(hù)問題����。安全區(qū)域劃分可以有效實(shí)現(xiàn)對(duì)于復(fù)雜系統(tǒng)的安全等級(jí)防護(hù)��,是實(shí)現(xiàn)重點(diǎn)防護(hù)����、分級(jí)防護(hù)的戰(zhàn)略防御理念���。
(2)實(shí)現(xiàn)對(duì)于不同系統(tǒng)的差異防護(hù)��。基礎(chǔ)網(wǎng)絡(luò)服務(wù)���、業(yè)務(wù)應(yīng)用、日常辦公終端之間都存在著一定的差異�,并且能夠根據(jù)不同的安全防護(hù)需求���,實(shí)現(xiàn)對(duì)于不同特性系統(tǒng)的歸類劃分�����,從而明確各域邊界,對(duì)相應(yīng)的防護(hù)措施進(jìn)行分別考慮��。
(3)有效防止安全問題的擴(kuò)散�。進(jìn)行安全區(qū)域劃分,可以將其安全問題限定在其所在的安全域內(nèi)���,從而有效阻止其向其他安全域的擴(kuò)散�。在此項(xiàng)工作的開展過程中,還應(yīng)充分遵循區(qū)域劃分的原則�����,將直屬單位的網(wǎng)絡(luò)系統(tǒng)統(tǒng)一劃分為相應(yīng)的二級(jí)服務(wù)器域與桌面終端域,并對(duì)其分別進(jìn)行安全防護(hù)管理�����。在二級(jí)系統(tǒng)服務(wù)器域與桌面域間�����,采取橫向域間的安全防護(hù)措施,以實(shí)現(xiàn)域間的安全防護(hù)���。
2.4加強(qiáng)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)
對(duì)于電力企業(yè)的網(wǎng)絡(luò)邊界安全防護(hù)工作而言�,其目的是使邊界避免來自外部的攻擊,并有效防止內(nèi)部人員對(duì)外界進(jìn)行攻擊�����。在安全事件發(fā)生之前����,能夠通過對(duì)安全日志與入侵事件的分析���,來發(fā)現(xiàn)攻擊企圖����,在事件發(fā)生之后可以通過對(duì)入侵事件記錄的分析來進(jìn)行相應(yīng)的審查追蹤。
(1)加強(qiáng)對(duì)于縱向邊界的防護(hù)�。在網(wǎng)絡(luò)出口與上級(jí)單位連接處設(shè)立防火墻�,以實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)邊界安全的防護(hù)��。
(2)加強(qiáng)對(duì)于域間橫向邊界的防護(hù)��。此項(xiàng)防護(hù)是針對(duì)各安全區(qū)域通信數(shù)據(jù)流傳輸保護(hù)所制定出的安全防護(hù)措施�。在該項(xiàng)工作的開展過程中,應(yīng)根據(jù)網(wǎng)絡(luò)邊界的數(shù)據(jù)流制定出相應(yīng)的訪問控制矩陣�,并依此在邊界網(wǎng)絡(luò)訪問控制設(shè)備上設(shè)定相應(yīng)的訪問控制規(guī)則�。
2.5加強(qiáng)對(duì)于網(wǎng)絡(luò)環(huán)境的安全防護(hù)
(1)加強(qiáng)邊界入侵檢測(cè)���。以網(wǎng)絡(luò)嗅探的方式可以截獲通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,并通過相應(yīng)的特征分析���、異常統(tǒng)計(jì)分析等方法�,及時(shí)發(fā)現(xiàn)并處理網(wǎng)絡(luò)攻擊與異常安全事件。在此過程中���,設(shè)置相應(yīng)的入侵檢測(cè)系統(tǒng)���,能夠及時(shí)發(fā)現(xiàn)病毒、蠕蟲����、惡意代碼攻擊等威脅,能夠有效提高處理安全問題的效率�����,從而為安全問題的取證提供有力依據(jù)���。
(2)強(qiáng)化網(wǎng)絡(luò)設(shè)備安全加固。安全加固是指在確保業(yè)務(wù)處理正常進(jìn)行的情況下����,對(duì)初始配置進(jìn)行相應(yīng)的優(yōu)化�����,從而提高網(wǎng)絡(luò)系統(tǒng)的自身抗攻擊性�����。因此�,在經(jīng)過相應(yīng)的安全評(píng)估之后����,應(yīng)及時(shí)發(fā)現(xiàn)其中隱藏的安全問題,對(duì)重要的網(wǎng)絡(luò)設(shè)備進(jìn)行必要的安全加固。
(3)強(qiáng)化日志審計(jì)配置���。在此項(xiàng)工作的開展過程中,應(yīng)根據(jù)國(guó)家二級(jí)等級(jí)保護(hù)要求����,對(duì)服務(wù)器、安全設(shè)備����、網(wǎng)絡(luò)設(shè)備等開啟審計(jì)功能����,并對(duì)這些設(shè)備進(jìn)行日志的集中搜索��,對(duì)事件進(jìn)行定期分析�����,以有效實(shí)現(xiàn)對(duì)于信息系統(tǒng)���、安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志記錄與分析工作。
結(jié)語
綜上所述�����,對(duì)于現(xiàn)階段電力企業(yè)信息網(wǎng)絡(luò)而言����,網(wǎng)絡(luò)安全建設(shè)是一個(gè)綜合性的課題�,涉及到技術(shù)�����、使用���、管理等許多方面����,并受到諸多因素的影響��。在電力企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中�,應(yīng)加強(qiáng)對(duì)于安全防護(hù)管理體系的完善與創(chuàng)新��,以嚴(yán)格的管理制度與高素質(zhì)管理人才�����,實(shí)現(xiàn)對(duì)于信息系統(tǒng)的精細(xì)化���、準(zhǔn)確化管理,從而切實(shí)促進(jìn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的健康���、穩(wěn)步發(fā)展��。
參考文獻(xiàn):
[1]張蓓����,馮梅����,靖小偉,劉明新.基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系研究[J].計(jì)算機(jī)安全,2010(4).
第8篇
1.網(wǎng)絡(luò)設(shè)計(jì)方案
礦山安全管理信息系統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)主要包括兩大部分�����,企業(yè)總部及分部設(shè)計(jì)方案�。總部設(shè)計(jì):由于互聯(lián)網(wǎng)訪問要求多對(duì)一��,總部所有數(shù)據(jù)都存儲(chǔ)于內(nèi)部服務(wù)器中��,其他工作站利用網(wǎng)線同web及數(shù)據(jù)庫(kù)服務(wù)器相互連接,形成局域網(wǎng)��。外部機(jī)構(gòu)利用遠(yuǎn)程撥號(hào)形式進(jìn)入web服務(wù)器�����,客戶端利用局域網(wǎng)即可實(shí)現(xiàn)所需數(shù)據(jù)的查詢、統(tǒng)計(jì)與審核�����;分部設(shè)計(jì):各分部進(jìn)行工作站軟件的安裝�,利用局域網(wǎng)或撥號(hào)方式對(duì)數(shù)據(jù)進(jìn)行交換,并傳送到總部服務(wù)器中���,可利用瀏覽器對(duì)總部web、數(shù)據(jù)庫(kù)等進(jìn)行訪問�,從而順利進(jìn)行數(shù)據(jù)的統(tǒng)計(jì)、查詢及錄入����,解決了重復(fù)性操作等問題����。
2.系統(tǒng)結(jié)構(gòu)分析
本系統(tǒng)采用的是B/S結(jié)構(gòu)模式,如圖1所示��。該模式集瀏覽器���、web及信息服務(wù)等技術(shù)于一體�����,可利用一個(gè)瀏覽器對(duì)多個(gè)平臺(tái)的服務(wù)器進(jìn)行訪問����。較C/S模式而言�����,B/S結(jié)構(gòu)共三層�����,包括客戶機(jī)��、服務(wù)器和Web服務(wù)器�����?��?蛻舳藢⒄?qǐng)求發(fā)送出去���,Web服務(wù)器從數(shù)據(jù)庫(kù)中提取數(shù)據(jù),并進(jìn)行計(jì)算���,然后將結(jié)果反饋給客戶端���,用戶利用瀏覽器可對(duì)結(jié)果進(jìn)行查詢���。在B/S模式中����,服務(wù)器負(fù)責(zé)各個(gè)應(yīng)用軟件的升級(jí)、開發(fā)及維護(hù)��。
3.系統(tǒng)開發(fā)環(huán)境
首先��,本系統(tǒng)編程語言采用的是Java語言�����,這是由于該語言跨平臺(tái)性能良好�����,無論采用何種類型的計(jì)算機(jī)�����、操作系統(tǒng)及瀏覽器��,就能利用Java對(duì)網(wǎng)絡(luò)主頁(yè)進(jìn)行制作�����,并實(shí)現(xiàn)了同Java之間良好的交互性;其次�,系統(tǒng)數(shù)據(jù)庫(kù)采用的是MySQL,這是多數(shù)企業(yè)網(wǎng)站設(shè)計(jì)的首選����,其不僅系統(tǒng)簡(jiǎn)單����、安裝方便、操作輕松��,而且擁有良好的穩(wěn)定性��。因此,本文最終選擇了Java+MySQL作為系統(tǒng)的開發(fā)環(huán)境��。
4.系統(tǒng)功能的設(shè)計(jì)
本系統(tǒng)共包括六大功能模塊�����,即基礎(chǔ)信息���、安全事故、尾礦庫(kù)安全���、安全決策���、信息及系統(tǒng)維管模塊。
1)基礎(chǔ)信息模塊�,其主要由礦山信息、生產(chǎn)信息��、安管制度及安管制度信息等模塊構(gòu)成����,負(fù)責(zé)對(duì)礦山基礎(chǔ)信息進(jìn)行處理、管理生產(chǎn)信息�����,跟蹤并記錄安管制度建設(shè)及落實(shí)情況�。
2)尾礦庫(kù)安全模塊�,負(fù)責(zé)尾礦庫(kù)信息的收錄��、更新����、刪除���,并根據(jù)礦山名稱對(duì)其運(yùn)行情況進(jìn)行及時(shí)查詢和維護(hù),負(fù)責(zé)對(duì)安檢信息的存儲(chǔ)及更改��。
3)安全事故模塊�����,實(shí)現(xiàn)了對(duì)安全事故相關(guān)信息的處理,可以通過礦山名稱��、安全事故發(fā)生時(shí)間、類別及嚴(yán)重程度等��,進(jìn)行安全事故相關(guān)信息的全面查詢�,并對(duì)安全事故負(fù)責(zé)人相關(guān)信息進(jìn)行處理��。
4)安全決策模塊����,包括事故及事故樹分析等模塊��,實(shí)現(xiàn)了圖表功能的查詢及生成�����,可對(duì)各礦山安全事故傷亡狀況進(jìn)行查詢����,并對(duì)事故樹進(jìn)行科學(xué)分析���,以便制定合理的對(duì)策��。
5)信息模塊�����,包括政策及宣傳信息模塊��,實(shí)現(xiàn)了總部對(duì)信息內(nèi)容的修改、更新����,以及分部公司瀏覽信息等功能��。6)系統(tǒng)維管模塊�����,實(shí)現(xiàn)了管理人員對(duì)用戶登錄及操作內(nèi)容的管理�����,提供了信息系統(tǒng)安裝、使用及維護(hù)內(nèi)容�,便于有關(guān)人員參考����。
二、結(jié)語
