企业网络设计

企业网络设计（精选十篇）

企业网络设计 篇1

1 分层网络设计

分层网络设计使运行维护管理、网络升级和故障排除变得更加简单。分层网络设计模型是一种实用的网络设计方法, 组建一个良好的企业级网络应采用分层设计模型, 一般分为核心层、汇接层和接入层。

(1) 核心层。核心层被设计成尽可能进行高速交换, 提供以下功能:具有高可靠性, 提供冗余、容错、低延时和良好的可管理性, 避免使用减慢包处理的进程等。在2个核心机房构建网络的核心交换骨干, 具备快速故障恢复能力。推荐选择4台核心交换机分别放在2个核心机房 (对于小型网络可选择2台或1台核心交换机) 。

(2) 汇接层。汇接层是接入层和核心层的分界点, 该层包括数据中心和汇接点。包括以下几项功能:安全、服务等各项策略的实现;地址和区域的聚合;部门和工作组的访问;广播域、组播域的建立;VLAN之间的路由;介质转换;路由域之间的分布。数据中心通过城域网络为数据和应用服务器及数据中心所在地的本地局域网提供向核心骨干层的汇聚。汇接点通过城域网络, 为其周围的远程局域网点提供向核心骨干层的汇聚。每个汇接点使用1台或2台汇接交换机或路由器, 进行多层交换和路由。

关于与Internet及外部网络连接的问题。根据所提供与外部 (Internet、外部企业等) 连接的方式, 选择路由器或多层交换机, 与防火墙外网口相连, 防火墙内网口与内网的多层交换机相连。

(3) 接入层。该层提供局域网用户对网络的访问, 在局域网中访问层提供以下功能:共享网络带宽;交换网络带宽;MAC层过滤;网段的细化。通过城域网络为各局域网点的工作站和终端提供边缘接入, 远程局域网点根据实际情况采用多种接入方式。接入层的交换机或路由器提供楼层用户和工作组级服务器的快速接入, 具备10/100/1 000 M的二层交换到桌面。

(4) 广域网接入。广域网的接入方式有多种, 提供的接入方式有专线、ISDN、XDSL、X.25、帧中继、异步拨号、ATM、以太网、快速以太网、千兆以太网等。两级接入可以采取同类接入方式, 也可以采取不同的接入方式。若企业对网络带宽要求高, 选用10/100/1 000 M以太网为主要接入方式进行广域网接入;若企业对网络带宽要求不高, 可采用XDSL或其他接入方式。

(5) 局域网技术。LAN网络技术主要提供3种交换方式:以太网交换、令牌环交换和光纤分布式数据接口交换方式。现在最常用的是以太网交换技术 (10/100/1 000 M) 。在局域网技术中推荐使用以太网交换技术, 对建筑物内实施综合布线, 终端通过综合布线提供10/100/1 000 M接到局域网交换机。快速以太网和千兆以太网对以太网具有兼容性。

2 逻辑设计和物理设计

在完成总体设计和分层网络设计后, 必须进行网络地址设计和路由协议的选择等逻辑设计工作, 作为物理设计的依据。

(1) VLAN设计。VLAN又称虚拟局域网, 是指在交换局域网的基础上, 采用网络软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网, 它可以覆盖多个网络设备, 允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN有多种基本划分方法, 推荐采用基于端口的VLAN划分, 采用VLAN划分技术进行虚拟网络划分。

(2) 网络地址设计。企业网络的IP地址分配是按照应用类型来划分的, 同时考虑到要适合网络的结构和层次, 有效利用现有的地址空间, 采用可变长子网掩码 (VLSM) 来对现有网络做子网分割, 使得配置可以依照实际情况进行灵活变化, 保证将来业务发展后具有较大的扩展余地。IP地址按如下规则进行划分: (1) IP地址的分配要尽可能连续, 以便做路由归纳; (2) 每一段分配的IP地址要有预留, 以便扩展; (3) 所有相关的IP分配方案, 要事先规划并记入文档, 以便维护管理。

(3) 路由协议的选择。现行网络动态路由协议主要有RIP, RIPv2, IGRP, EIGRP, OSPF, IS-IS, BGP, MPLS等, 它们各有优劣。建议网络路由实现选用OSPF路由协议。OSPF也是一种典型的链路状态路由协议, 采用OSPF的路由器彼此交换, 并保存整个网络的链路信息, 从而掌握全网的拓扑结构, 独立计算路由。根据企业网络的情况和OSPF路由协议的特点, 确定自治域, 其中区域0为骨干区域, 负责自治域之间的信息传递, 根据路由条目的大小和路由设备的数量来确定域的个数。

(4) 网络安全。计算机网络安全体系是一个系统的概念, 其目标是保证保密性、完整性和可用性。保护信息安全, 国际公认的、最有效的方式是采用系统的方法, 即确定安全管理方针和范围, 在风险分析的基础上选择适宜的控制目标与控制方式来进行控制, 制定持续性计划, 建立并实施信息安全管理体系。企业网络设计必须考虑网络的安全性。

企业网络设计报告 篇2

用接入交换机可以把多个计算机设备连接在一起，组成一个网络。由于企业比较大型，所以应分成3个区，每个区分别使用一台总的交换机。

企业网络构建要求:(1)所有用户接入互联网，仓库人员一律不得上外网;(2)需要一个网站;(3)需要一个文件共享;(4)需要自己建立邮件服务;(5)销售部网络应用需要重点保障;(6)网络中心拥有网络监视权、控制权;(7)适当的布局无线网线;(8)不同大楼之间用光钎连接.内部网络:小型办公网络可以使用10/100M的交换以太网来组建内部网络,在这里我们需要的设备包括网络适配器和交换机这两种设备。网络适配器就是一般的网卡，交换机设备则需要根据网络中的终端数量来进行选择，目前市场上适合小型办公网络使用的交换机有5口、8口、16口和24口几种，在选择的过程我们需要根据网络中终端数量的多少来选择，而且在选择时还应注意要有冗余和日后网络升级的考虑。

外部网络:一般我们可以用以下几种方式来共享一条宽带线路上网：(1)代理服务器方式共享上网,这种方式不需要其他的投资，但需要提供一台主机用作代理上网使用，这台机器需要配备两块网卡，不需要如宽带路由器等共享上网设备。缺点是如果这台机器出现故障或关机时，所有的机器都会受到影响而不能正常上网。(2)宽带路由器方式共享上网,这种方式需要投资购买宽带路由器，优点是不需要过多的维护，只要打开宽带路由器就可以随时提供共享上网服务，缺点是宽带路由器有可能会因为性能、病毒等种种因素造成使用网络的不正常。

宽带接入仍然是企业接入方式的热门选择，但这就不仅仅是一条线光纤或者两条ADSL引入这么简单，因为一两条宽带难以满足企业的带宽需要，对于一般规模的企业来说，选择双光纤接入，或者是多条ADSL接入应该可以满足客户的使用需求。公司所有用户接入互联网，仓库人员一律不得上外网。公司目前从ISP获取了两个合法IP，码头：由于码头人数只有15人，所以使用一台16个端口的交换机就足够了，其中一个端口连接企业大楼的网络中心的总的交换机。

厂房：由于厂房有80人之多，所以需要2台32个端口的交换机、1台24个端口的交换机以及一台总交换机，其中总交换机向上连接整个网络的交换机，向下连接另三台交换机，其中一台32口交换机连接原料仓库的10台以及成品仓库的20台电脑，另一台32口的交换机连接成产管理部的30台电脑，最后一台24口的交换机连接半成品仓库的20台电脑。企业大楼：企业大楼人数众多，有138人，所以需要用许多的交换机。网络中心拥有控制权，所以直接连接总的交换机。总的交换机为8个端口的交换机，往下再连接一个8个端口的交换机。这个交换机连接之一是一个8个端口的交换机，下面连接经理部8人的电脑；之二是连接一个8个端口的交换机，下面连接财务部5人的电脑；之三是连接一个24个端口的交换机，下面连接跟单部20人的电脑；之四是连接一个48个端口的交换机和一台无线AP,下面连接管理部50人的电脑；之五是连接一个48个端口的交换机和一台无线AP，下面连接销售部50人的电脑。整个网络最中心的交换机上连接路由器以及防火墙，之后可以与外网连接。

一、所有用户接入互联网，仓库人员一律不得上外网

因此必须要设置一下路由器，具体步骤如下：

登陆宽带路由器，打开IE,输入192.168.1.1,就会出现登陆窗口。输入账号，密码登入

1.设置页面--安全设置--防火墙设置--选择开启防火墙,开启MAC地址过滤二项--"禁止已设MAC地址列表中已启用的MAC地址访问Internet 2.设置页面--安全设置--MAC地址过滤--添加新条目--把禁止上网的电脑的MAC地址填进去,并选择使该条目生效.上网控制设置后,被禁止上网的电脑就不可以上网了,但局域网内部之间可以正常访问。

二、需要一个网站

1.确定网站主题，网站主题就是你建立的网站所要包含的主要内容，一个网站必须要有一个明确的主题。企业网站的主题就是企业的历史、企业的产品或服务内容等与企业相关的东西。

2.搜集材料，明确了网站的主题以后，你就要围绕主题开始搜集材料了。

3.规划网站，网站规划包含的内容很多，如网站的结构、栏目的设置、网站的风格、颜色搭配、版面布局、文字图片的运用等。

4.选择合适的制作工具，网页制作涉及的工具比较多，首先就是网页制作工具了，目前大多数网民选用的都是所见即所得的编辑工具，具体有Dreamweaver、Frontpage、Frontpage2000。除此之外，还有图片编辑工具，如Photoshop、Photoimpact等；动画制作工具，如Flash、Cool 3d、Gif Animator等；还有网页特效工具，如有声有色等。5.制作网页，材料、工具都准备好了，下面就需要制作网页了，在制作网页时，先把大的结构设计好，然后再逐步完善小的结构设计而且要先设计出简单的内容，然后再设计复杂的内容，以便出现问题时好修改。

6.上传测试，网页制作完毕，最后要发布到Web服务器上，利用FTP工具把网站发布到自己申请的主页存放服务器上。网站上传以后，要在浏览器中打开自己的网站，逐页逐个链接的进行测试，发现问题，及时修改，然后再上传测试。

7.推广宣传，网页做好之后，还要不断地进行宣传，推广的方法有很多，例如到搜索引擎上注册、与别的网站交换链接、加入广告链等。8.维护更新，网站要注意经常维护更新内容，保持内容的新鲜。

三、需要一个文件共享

文件共享设置:在某台电脑上,打开“我的电脑”使用鼠标右键单击磁盘区分或文件夹后,会出现一个“共享和安全”菜单,单击该功能后,会出现“共享”选项卡.将“在网络上共享这个文件夹”选项勾选后,然后系统会让用户填写共享名字,并设置权限.文件夹被共享之后,会出现一个手托着的文件夹的图标,之后在另外的计算机的“运行”对话框中输入该机的地址或计算机名字,就可以访问到共享文件夹了.四、需要自己建立邮件服务

1.企业需要申请合法的邮件域名。2.需要有合法的固定IP地址 3.先在系统安装IIS

4.安装正式版

5.更改安装目录例D:/WINWEBMAIL权限；Everyone写入/读取/修改/读取和运行；D:/盘权限Everyone读取/读取和运行，如果安装在E盘就给E盘

6.将破解文件复制到D:/WINWEBMAIL 运行破解文件启动winwebmail 7.右键点右下角的邮局图标--注册--选无限用户--复制前面的注册信息粘贴进输入筐，点注册

8.复制弹出筐中的认证码

9.右键点右下角的邮局图标--停止邮局服务--退出邮局

10.启动邮局---右键点右下角的邮局图标--注册--输入刚才复制的认证码--注册 11.打开IIS--新建站点--D:/WINWEBMAIL/web 12.输入你绑定的域名，用admin密码admin登陆并做相关设置

五、销售部网络应用需要重点保障

在企业大楼的总交换机与销售部的交换机中间安装防火墙，而且在交换机与无线路由器之间安装防火墙。

六、网络中心拥有网络监视权、控制权

网络中心拥有控制权，所以直接连接总的交换机。

七、适当的布局无线网线

1.在管理部的交换机上链接无线路由器 2.在销售部的交换机上链接无线路由器 3.在企业大楼安装无线天线

八、不同大楼之间用光钎连接

如上图所示，不同大楼之间用光钎连接。心得体会：

通过本次计算机网络课程设计，我更加充分的理解了课本上的知识，并能够加以扩展，从而应用于实践当中，要实现一个小型办公网络，画出网络简单模块拓补图，对其内部器件进行相应的正确配置。达到网络畅通、功能齐全、安全可靠的目的，并符合公司对网络的要求水平。

企业网安全网络设计 篇3

关键词：网络攻击；安全技术；设计

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21549-02

How to Design A Security Enterprise Network

LIN Xian-bin

(Academy of Guangdong Telecom Co., Ltd, Guangzhou 510630, China)

Abstract:The paper have three parts: The fist part describe the threat of the security connecting network, analyzing the types of network attacker, the foundation of the network attack and the result aroused by the network attack. The second part characterize briefly some current technology of network security. The last part use an enterprise network as an example to explain how to design a security network.

Key words:Network Attacker; Technology of Network Security; Design

1 引言

隨着信息化进程的深入和互联网的快速发展，网络化已经成为企业信息化的发展大趋势，信息资源也因此得到最大程度的共享。但随之而来的是网络安全问题日渐凸出，网络安全问题已经成为当务之急，如果不很好地解决这个问题，必将阻碍信息化发展的进展，而安全攻击往往导致用户的应用受到影响，引起信息泄密、信息损坏、拒绝服务、服务被盗等结果，为了避免出现这种情况，我们需要进行安全网络设计，而如何进行安全网络设计也成了企业信息化的一个重要挑战。

2 网络模式的意义攻击的基础——“出其不意、攻其不备”

首先我们来看看什么是网络攻击的基础，“出其不意、攻其不备”是对网络攻击的最好描述，那么“不备”这个网络攻击的基础体现在那里呢？在于弱点！任何网络都有弱点。重要的是了解弱点的由来。大致看来，弱点可分为软件、硬件、配置、策略和使用五方面。

2.1 软件弱点

各种软件工程方法体系和学术研究机构一直在寻求识别和降低计算机程序代码中的错误率，但错误数量还是很多，差别也很大，这要视软件和进行衡量的组织机构而定。但估计每1000行代码中有5到15个错误是普遍的。而当今许多应用程序和操作系统都含有几百万行代码。（Microsoft Windows XP含有大约5千万行代码）即使那些缺陷中只有很小一部分与安全相关，即使这部分缺陷中的很小部分可被利用，也会有几千个安全缺陷有待发现。加之软件代码一直在变，有时对大型程序一部分的修复可能会引起另一部分出现问题。

此外，即使两个软件本身没有问题，但当他们运行在一起的时候，有可能引起新的问题。除了应用程序错误，正确实施有缺陷的协议或设计也会导致问题。最终结果都是软件错误引起用户应用受到影响的称为软件弱点。

2.2 硬件弱点

随着市场上可编程硬件的增多，系统基本输入/输出系统（Basic Input/Output System,BIOS）、网络处理器和CPU中的弱点可能引发整个硬件系统或某个进程崩溃，或者不断重启，导致用户的应用受到影响而造成损失，而硬件错误往往难以通过软件补丁修复。例如，1994年，Inter不得不由于硬件中的浮点错误而免费更好客户的奔腾处理器。

2.3 配置错误

尽管网络操作人员的动机是最好的，但网络中的错误配置却非常普遍。在配置了复杂控制策略的防火墙中，可能会有几百个用于允许和拒绝各种流量类型通过的条目。犯错误的概念是很高的，从而影响用户的应用，导致损失。

除了无意的错误配置之外，如果部署安全技术的人员对该安全部署技术不甚了解或了解不深，技术可以发挥作用的几率教之预期将显著降低，这样也可能导致影响用户的应用。

2.4 策略弱点

除了软件、硬件和配置弱点之外，还可能遇到策略弱点。由于安全策略的开发或实现的选择很差，收到攻击时所暴露出的就是策略弱点。由于网络安全系统的安全程度与所遵循的策略是一致的，策略弱点可能会引起普遍的问题。

2000年发生的分布式拒绝服务（DDOS）攻击就是策略弱点的例子。虽然，本可以对IP做改动以降低这些攻击得逞的几率，但当时的大多数安全组织机构未预料到此类攻击，或认为遭遇该攻击的可能性很小。安全组织机构兵未规定系统如何处理DDOS攻击的标准。如今，如果查看任何大型电子商务组织机构的安全策略，那就很容易找到防止系统受到DDOS攻击的标准和指导方针。

2.5 使用弱点

只因为可以安全的方式使用系统并不意味着用户将以安全的方式使用系统。用户违反安全策略（通常处于缺乏经验、不是恶意）并导致网络中出现弱点所暴露出来的就是使用弱点。例如，一个企业网，在局域网出口有防火墙并做了安全策略，而防火墙后面的机器使用者私自拨号上网，或者用户在该机器上使用没有经过安全检测的带有病毒的U盘等。有可能导致该机器中毒或受到攻击，攻击者也可以利用这台机器作为起点来攻击局域网内的其他机器。

3 网络安全技术——“工欲善其事，必先利其器”

如今，有非常多的工具、技术、系统、服务和流程可以用来保护我们网络环境中数据，保障企业提供的服务和应用。正所谓“工欲善其事，必先利其器”，那到底有那些技术可以用来保障网络安全呢？本人将其分类如下：(1)身份识别技术——可重用密码、远程认证拨入用户服务（Remote Authentication Dial-In User Service,RADIUS）、终端访问控制访问控制系统（Terminial Access Control Access Control System,TACACS+）、OTP、公钥基础设施（Public Key Infrastructure,PKI）、智能卡（硬件密钥，加密卡）、生物特征识别（指纹扫描、语音识别、面部识别、签名识别）；(2)主机和应用安全——文件系统完整性校验、主机防火墙、主机入侵检测系统（HIDS）、主机防病毒；(3)网络防火墙——使用访问控制列表（ACL）的路由器、状态防火墙；(4)内容过虑——代理服务器、Web过虑、电子邮件过虑；(5)网络入侵检测系统（NIDS）——基于特征的网络入侵检测系统、基于异常的入侵检测系统；(6)加密技术——第2层（L2）加密、网络层加密、第5层至第7层加密、文件系统加密。

4 企業网安全网络设计——“对战之策，陈例可循”

网络安全技术的部署与企业的网络结构、网络大小、企业应用、资本投入是密切相关，应具体问题具体分析。本人根据自己多年数据网络经验，提出了一个多层次的企业网安全网络设计的一些想法。

4.1 总体安全管理设计

(1)服务管理安全：要求遵循最小化服务原则，在网络设备和应用、操作系统关闭不需要的服务；

(2)远程访问管理安全：建议使用集中认证、单点登录等方式控制维护人员；

(3)远程访问；仅允许授权网段对设备、系统及应用的远程访问，控制并发连接数，控制连接最大时间；远程接入后要有相关提示信息；

(4)密码管理安全：不允许使用缺省配置的用户和口令，口令必须符合复杂化要求（8位以上，包括数字、大小写字母），并定期修改；

(5)设备网管安全：采取SNMP访问的限制措施，仅允许授权网段访问路由器的SNMP服务；如设备支持SNMP V3版本，要求采用更高安全性能的V3版本；

(6)更新补丁和病毒库；

(7)设备和系统安全审计：必须配置日志功能，记录所有中高风险的事件，其中必须记录用户登录事件，并对高风险的事件产生告警；必须定期对日志进行审计。

4.2 网络防火墙的使用——御敌于国门之外

网络防火墙是一种常用的网络安全设备，她是用来划分网络区域，一般包括企业内部网，公用网和DMZ网络（demilitarized zone），其中DMZ网络里面放的都是一些企业应用的重要应用服务器，例如FTP、邮件服务器等。

网络防火墙的最主要作用是隔离，限制外面对内部网络的访问。防火墙包括第3/4层无状态防火墙和状态防火墙，无状态防火墙是根据源地址、目的地址、源端口、目的端口来设置访问控制列表。而状态防火墙则在无状态防火墙的基础上添加序列号，与无状态防火墙相比，状态防火墙可以跟踪状态连接，可以限制连接数、连接时间，轻易的防止TCP SYN攻击。

通常而言，一个企业会在内部网和公网之间装上防火墙（1－2个），在资金允许和考虑冗余备份的情况下可采用两个防火墙。也可能在重要服务器之前安装1－2个防火墙。目的是保证企业内部网和DMZ网络不受到外面不可信网络（公用网）的攻击，此时防火墙可采用的主要安全策略如下：(1)通过设置访问控制列表，只允许企业对外应用公共开放的应用端口对外开放；(2)控制远程访问，包括三个层面，一个是只允许授权的公众网IP对特定应用或服务器的特定访问，例如telent，Web访问等等；二是设置session连接时长、最大连接数，保护重要服务器的安全；三是设置常见病毒端口过虑，例如 udp 445 等等，不过常见病毒端口要定期根据安全组织的最新安全要求更新；(3)设置安全审计，log记录；(4)视情况设置NAT转换。防止攻击者直接攻击服务器。

4.3 企业内部网网的安全设计

一般对于企业内部网可采取以下方式来保障安全和减少影响。

(1)VLAN（Virtual Local Area Network）即虚拟局域网技术，在企业内部的核心交换机上通过VLAN技术将不同部门/应用区分出来，在这种情况下，如果某台机器中毒，只能影响本部门内的机器，不能直接影响其他部门的机器。同时也便于管理；

(2)在核心交换机上启用ACL访问控制列表，做以下设置，一个是过虑常见的病毒端口，另一个是控制不同部门之间的互相访问。之所以启用ACL主要是因为防火墙只能控制外对内访问，无法控制内部机器之间的攻击；第三是流量限制，可以在核心交换机上对重要端口进行流量限制，避免受到冲击；

(3)有条件的企业，可以在企业内部网上启用网络入侵检测系统（NIDS），实时监控异常情况，发现异常及时处理。

4.4 主机系统及应用的安全设计

在主机系统上可以通过实施以下策略来保障安全。

(1)物理安全，设置符合复杂化要求的开机密码、管理员密码和屏幕保护密码。

(2)关闭该系统不需要提供的服务和应用。

(3)安装个人防火墙，在个人防火墙上设置相应安全策略，例如只开放允许的应用的端口，访问ip等。同时通过个人防火墙的log也可以实时监控是否受到异常访问。

(4)安装防病毒软件，并定时更新补丁。防病毒软件能够扫描主机内存和硬盘，发现已知类型的病毒，就会通知用户，用户再决定具体处理措施。

(5)更新操作系统和应用系统的安全补丁。

4.5 DMZ网络的安全设计

通常而言，普通企业是没有将DMZ区划分出来，但是如果划分出来的话，可以采取防火墙的安全设计部署＋企业内部网的安全策略部署＋主机系统和应用的安全策略部署来实现安全。如果对于一些安全需求更高的企业，可以采取一些灾难恢复计划来进一步保障安全。

常用的灾难恢复计划有三种：

(1)热站（Hot Site）这是最复杂最昂贵的一类数据备份方案。数据备份分别存放在两台分流的服务器或者两个pop点（pop点的定义就是一堆服务器联合起来对外提供一个服务），数据在两个点之间是同步更新的。

(2)温站（Warm Site）数据复制从24小时一次到一周一次，灾难发生的时候，温站可以提供过去一天的数据。

(3)冷站（Cold Site）数据或者用磁带方式发送，或者借助因特网上安全的共享硬件。不需要购买重复的设备。

4.6 个人意识

企业制定一个强有力的安全策略，的确有助于保护资源。但是有个前提，就是所有职员能领会并严格执行。如果要让他们领会并执行，必须采取从上而下的方式，采取一定的奖惩措施。

5 结束语

本文先描述了网络攻击带来的效果；接着网络攻击的基础和常用网络安全技术；最后结合本人多年经验提出了一个常用的企业网的网络安全部署设计。网络安全是很重要的事情，网络安全部署跟企业网络规模，企业应用，投入成本有非常大的关系，需要根据实际情况进一步的细化和调整。

参考文献：

[1]SANS安全技术培训. http://www.sans.org/awareness.

[2](美)Sean Convery. Network Security Architectures.

[3](美)Gert De Laet, Gert Schauwers. Network Security Fundamentals.

[4]John Howard. "An Analysis of Security Incidents on the Internet". http://www.cert.org/research/JHThesis/Start.html.

企业网络安全系统设计 篇4

关键词：企业,网络安全系统,设计

随着科学技术的发展, 特别是计算机技术及网络技术的发展, 现代企业信息化进程加快, 企业网络安全系统的设计日趋重要, 企业网络支撑环境安全应解决以下几个问题:物理链路的安全问题;网络平台的安全问题;系统安全的问题;应用安全的问题和管理安全问题。

一、网络杀毒设计和防火墙

通过在Windows平台服务器及个人PC机上部署集杀毒、防火墙以及入侵检测于一体的桌面防御系统, 结合操作系统相关的补丁, 能确保前端PC机较好的抵御网络的安全威胁, 使安全威胁降低到最低的程度。在中心交换与出口之间采用防火墙, 能阻挡来自于外部的未经授权的访问或入侵。在网络出口应采用防火墙+路由器的方式, 把防火墙设置成透明模式对出口实现防火墙功能, 在路由器上启用集成NAT、策略路由等功能。

二、网络管理

传统网络管理的工作模式是靠维护人员不定期对设备进行检查和用户报修, 这种被动的维护模式难以收到好的效果。网络设备和链路出现的故障不是在短时间内形成的, 若有一套工具能定期地自动对设备进行检查, 自动分析设备和链路的状态并能自动形成报表, 这就会较大地提高运行维护人员的工作效率。

网络管理通常分为以下几部分:1) 故障管理。检测、隔离和修正网络故障;2) 配置管理。根据基准线修改和跟踪网络设备的配置变化;它也提供跟踪网络设备操作系统版本的功能;3) 账号管理。指跟踪网络资源使用, 并以此提供账单服务;4) 性能管理。是测量网络行为和传输的包、帧和网络段的效率。主要包括协议、应用服务和响应时间等;5) 安全管理。是保持和传送论证、授权信息, 如passowrd和密钥等。通过使用、审计等功能增加网络的安全性。网络管理一定要考虑到统一的网管问题。

三、子网隔离与访问控制

虚拟局域网, 通过VLAN用户可方便地在网络中移动和快捷地组建宽带网络, 无需改变其它硬件和通信线路。网络管理员可从逻辑上对用户和网络资源进行分配, 无需考虑物理连接方式。

采用VLAN对企业网络支撑平台进行管理的优点:

1) 控制网络的广播风暴。采用VLAN技术, 能把某个交换端口划到某个VLAN中, 而一个VLAN的广播风暴不影响其他VLAN的性能。

2) 确保网络安全。共享式局域网难以保证网络的安全性, 是由于只要用户插入一个活动端口, 就能访问网络。而VLAN能限制个别用户的访问, 控制广播组的大小和位置, 还能锁定某台设备的MAC地址, 所以VLAN可确保网络的安全性。

3) 简化网络管理。网络管理员可借助VLAN技术轻松管理整个网络。诸如:需要为完成特定项目建立工作组网络, 其成员可遍布全国或世界, 这时, 网络管理员只需设置几条命令, 就可在几分钟内建立该项目的VLAN网络, 其成员使用VLAN网络, 就像在本地使用局域网基本相同。

访问控制列表 (ACL) 是对通过网络接口进入网络内部的数据包进行控制的机制, 分为标准ACI和扩展ACL两种。标准ACL只对数据包的源地址进行检查, 扩展ACI对数据包中的源地址、目的地址、协议以及端口号进行检查。作为一种应用在路拓器接口的指令列表, ACL已经在一些核心路由交换机和边缘交换机上较广应用, 从原来的网络层技术扩展为端口限速、端口过滤、端口绑定等多层技术, 实现对网络各层面的控制。从网络安全领域来看, ACL的作用一般体现在下列几点:

1) 限制网络流量, 提高网络性能。通过设定端口上、下行流量的带宽, ACL能够定制多种应用的带宽管理, 防止因带宽资源的浪费而影响网络的整体性能。若能够按照带宽大小来制定收费标准, 运营商就能根据客户申请的带宽, 通过启用ACI方式限定访问者的上、下行带宽, 实现更好的管理, 利用现有的网络资源, 保证网络的使用性能。

2) 有效的通信流量控制。ACL可以限定或简化路由选择更新信息的长度, 用来限制通过路由器的某一网段的流量。

3) 提供网络访问的安全手段。ACL允许某一主机访问一个网络, 阻止另一主机访问同样的网络, 此功能能有效避免未经授权用户的非法接入。若在边缘接人层启用二、三层网络访问的基本安全策略, ACL可把用户的MAC、IP地址、端口号与交换机的端口进行绑定, 有效避免其他用户访问同样的网络。

四、VPN设计与管理

虚拟专用网 (VPN) 被定义为通过一个公用网络, 一般为因特网建立一个临时的、安全的连接, 它是一条穿过混乱的公用网络的安全、稳定的“隧道”。虚拟专用网是对企业内部网的扩展。

虚拟专用网能帮助远程用户、公司分支机构、商业伙伴及供应商同公司内部网建立可靠的安全连接, 并保证数据的安全传输。通过把数据流转移到低成本的网络上, 一个企业的虚拟专用网解决方案会大幅度减少用户花费在城域网和远程网络连接上的费用。这会简化网络的设计和管理, 加速连接新的用户和网站。虚拟专用网还能保护现有的网络投资。随着用户的商业服务的发展, 企业的虚拟专用网解决方案能使其用户把精力集中到自己的业务上, 而不是网络上。虚拟专用网能用在不断增长的移动用户的全球因特网接入, 以实现安全连接;可用在实现企业网站之间安全通信的虚拟专用线路;可用在经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

虚拟专用网可提供以下主要功能:加密数据, 以保证通过公网传输的信息, 在被他人截获时也不会泄露;信息认证和身份认证, 保证信息的完整性、合法性, 并可鉴别用户的身份;提供访问控制, 不同的用户有不同的访问权限。

企业网络安全方案设计 篇5

企业网络安全方案的设计企业网络安全方案设计

摘 要：在这个信息技术飞速发展的时代，许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述，为企业提供一个可靠地、完整的方案。

关键词： 信息安全、企业网络安全、安全防护

一、引言

随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。

一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。因此，一般整个企业的网络系统存在三个方面的安全问题：

（1）Internet的安全性：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。

（2）企业内网的安全性：最新调查显示，在受调查的企业中60%以上的员信息安全课程设计

企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

（3）内部网络之间、内外网络之间的连接安全：随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

二、以某公司为例，综合型企业网络简图如下，分析现状并分析需求：

信息安全课程设计

企业网络安全方案的设计

图说明 图一 企业网络简图

对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷，具体表现在：

（1）系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

（2）原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

（3）经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

（4）计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

由以上分析可知该公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

（1）某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

（4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

三、设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。具体如下： 1.标准化原则 信息安全课程设计

企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则

四、企业网络安全解决方案的思路

1.安全系统架构

安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。如图二所示：

图说明 图二 网络与信息安全防范体系模型 信息安全课程设计

企业网络安全方案的设计3.企业网络安全结构图

通过以上分析可得总体安全结构应实现大致如图三所示的功能:

图说明 图三

总体安全结构图

五、整体网络安全方案

1.网络安全认证平台

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

1）身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。信息安全课程设计

企业网络安全方案的设计

2）数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

3）数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

4）不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。2.VPN系统

VPN(Virtual Private Network)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

3.网络防火墙

采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下：

图说明 图四 防火墙

此外在实际中可以增加入侵检测系统，作为防火墙的功能互补，提供对监控信息安全课程设计

企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统

应强化病毒防护系统的应用策略和管理策略，增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护

在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图（透明方式）: 信息安全课程设计

企业网络安全方案的设计

图说明

图五

邮件系统保护 6.关键网段保护

企业中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。

图说明

图六

关键网段的防护 7.日志分析和统计报表能力

对网络内的安全事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目信息安全课程设计

企业网络安全方案的设计标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控

除对外的防护外，对网络内的上网行为也应该进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。分别有以下几种系统：

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

则内网综合保护简图如下图七所示： 信息安全课程设计

企业网络安全方案的设计

图说明

图七

内网综合保护 9.移动用户管理系统

对于企业内部的笔记本电脑在外工作，当要接入内部网也应进行安全控制，确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。

基于PKI的USB Key的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

六、方案的组织与实施方式

由以上的分析及设计，可知网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计

企业网络安全方案的设计流程图，如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图说明

图八 安全管理贯穿全流程图

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

（4）在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

七、总结

本设计以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。也希望通过本方案的信息安全课程设计

企业网络设计 篇6

关键词：工作过程;项目教学;情境;任务

1 概述

职业教育教学应该以发展学生的职业能力为目标，培养学生的职业技能和职业素质，能够适应工作岗位的需求。这种职业技能人才的培养不是靠传统讲授为主的课程能够实现的，而开发一系列的基于工作过程的项目教学课程有利于提高教学效果。

《组建与维护企业网络》课程是对传统课程《计算机网络技术基础》改革而来的，依据基于工作过程的项目教学理念，针对“网络管理员”职业岗位进行了调研和分析，确定了典型工作任务，归纳了行动领域，再转换了学习领域，并设计学习情境，进行项目教学方法和考核方法设计。其中学習情境设计有利于还原真实工作过程，有利于工作任务和职业能力的分析，便于项目教学实施。下面谈谈该课程的教学情境设计。

2 教学情境设计

教学情境来源于学习领域，是为了达到教学目标，根据教学内容，设计出适合学生认知和实践的一种学习环境。教学情境在一定程度上反映了真实工作任务和职业能力需求，指引学生学习方向和学习进程，有利于提高学习动机和学生兴趣，增强职业能力，提高教学质量。

《组建与维护企业网络》课内项目围绕“睿智公司办公网络的组建与维护”展开，分为“网络规划与设备选型”、“办公网络布线与设备配置安装”、“网络设备的管理与维护”、“使用网络设备接入互联网”和“网络安全与监控”五个子项目，下面阐述其教学情境设计细节。

总情境：睿智公司是一家从事网络产品生产销售方面的公司，其公司总部在湖南长沙（CS），总公司现有128人，公司有财务部、市场研发部、销售部、行政部和生产部。分公司在衡阳，主要有行政财务部、生产部和销售部。公司要求通过互联网与分公司互通，对网络的安全有较高的要求，公司会有自己的网站和 FTP服务器供客户和员工的浏览和下载帮助文档。现在需要组建企业网络，规划网络与IP，设计实施方案，购买网络设备和材料，进行综合布线，搭建有线、无线网络，接入因特网，加强网络安全防范，保障业务办公网络正常运行。作为参与该项目的网络管理员，你该如何做？

具体情境如下：

情境1（网络规划与设备选型）：睿智长沙总公司现有128人，其中财务部的有6人、市场研发部的有10人、销售部有58人、行政部门有14人，还有生产部门40人。分公司在衡阳，其中行政财务部5人、生产部12人、销售部15人。公司对网络的安全有较高的要求，公司会有自己的网站和 FTP 服务器供客户和员工浏览和下载帮助文档。请为公司网络组建进行规划，设计结构和功能，绘制拓扑图，划分IP地址，对组建网络所需设备进行选型。

子情境1-1（认识计算机网络结构和IP地址）：新来的工程部技术员小张需要安排参与到睿智公司网络组建项目中，睿智公司分为长沙总公司和衡阳分公司，需要搭建安全网络并组建自己的网站和FTP服务器。为了更好地组建网络，由该技术员去考察示范工程项目，学会分析网络结构，学会IP规划与设计，并能为睿智公司进行初步规划，分析功能需求，设计网络拓扑结构，规划与设计IP地址。

子情境1-2（认识计算机网络协议和局域网标准）：为了更好地进行功能需求分析和设计，技术员需要了解计算机网络协议和局域网协议标准，依据相关协议、标准进行方案设计。

子情境1-3（网络设备选型与绘制网络拓扑结构图）：有了设计方案后，接下来需要书写实施方案，明确网络项目建设目标，绘制网络拓扑结构，明确IP地址、VLAN等技术的详细规划，进行网络设备选型，明确网络设备购置清单、耗材清单。

情境2（办公网络的设计实施与管理）：根据睿智公司组建网络拓扑图，首先对总公司的业务办公网络进行综合布线，所有部门通过有线进行连接，会议室和公司领导办公室同时搭建无线网络。公司各部门都在同一层楼，楼层布线主要涉及水平布线、工作区布线。为了更好地规划网络，每一个部门划分为不同的VLAN，并实现VLAN互通。生产部、销售部由于人数较多，且员工流动性较大，配置交换机让客户机可以自动获取IP地址。

子情境2-1（工作区布线）：依据实施方案，需要对睿智公司进行综合布线，通过铜缆、光缆连接各个部门、场所。技术员小张主要负责办公区域的布线。他需要对所有办公室进行工作区布线，方便各办公室连入公司网络。

子情境2-2（布设办公区域有线和无线网络）：会议室由于不是固定办公，需要架设无线网络，所以需要对会议室进行单独布线和选择适合的无线网络。另外经理办公室既要提供有线接入又需要提供无线接入。

子情境2-3[违规情境]（交换机连接使用及配置DHCP）：在布线完成后，需要在管理间、办公场所等安装交换机等设备，生产部、销售部由于人数较多，且员工流动性较大，IP地址经常出现设置重叠，导致网络受影响，如何解决。

子情境2-4（VLAN划分与互通配置）：为了更好地规划网络，每一个部门划分为不同的VLAN，并实现VLAN互通。

情境3（网络设备的管理与维护）：公司基础网络组建好后，需要对网络设备交换机、路由器进行基本的管理和维护，包括对交换机、路由器设置密码，设置远程登录管理，方便网络管理人员远程控制;对交换机、路由器的IOS进行备份或升级，保障网络设备的顺畅运行和方便维护，同时方便网络进行扩展和升级。

子情境3-1[意外情境]（认识路由器、交换机）：组建网络过程中，发现所使用的公司原几台交换机、路由器网络设备已经设置登录密码，需要取消密码，重新设置远程登录方式。

子情境3-2[出错情境]（路由器、交换机基本管理）：技术员小张在调试交换机、路由器时，不小心将一台路由器的IOS给破坏了，如何恢复该路由器的IOS，保障设备正常使用呢？

情境4（使用网络设备接入互联网）：总公司要求连接互联网的带宽高、网速快，特通过光纤专线接入互联网，为了节约成本，采用NAT技术实现公司内部网络转换成统一的公网地址访问外部网络。而对于分公司，由于人数较少，对网络带宽要求没有总公司高，特使用ADSL方式接入互联网。

子情境4-1（使用ADSL接入互联网）：分公司需要连接Internet，由于人数较少，对网络带宽要求没有总公司高，特使用ADSL方式接入互联网，要求使用ADSL路由器进行拨号，员工开机后便能连入因特网。

子情境4-2（配置路由，实现广域网互联）：总公司要求连接互联网的带宽高、网速快，特通过光纤专线接入互联网，如何架设？

子情境4-3（配置NAT）：为了节约成本，总公司采用NAT技术实现公司内部网络转换成统一的公网地址访问外部网络。

情境5（网络安全与监控）：公司网络组建好并连入因特网后，为了提高网络安全性、可靠性，需要加强安全措施，防范公司网络受到攻击，对服务器和个人计算机安装相应的杀毒软件、防火墙软件，防范病毒和木马，同时为了有效监控和安全管理，设置网管工作站，安装监控软件，规范上网行为。

子情境5-1[出错情境]（防御ARP攻击）：公司局域网内部主机出现联网问题，计算机一会儿掉线一会儿正常，用杀毒软件检测提示有ARP病毒，但是无法清除，如何解决。

子情境5-2（监控上网行为）：公司网络组建好并连入因特网后，为了提高网络安全性、可靠性，需要加强安全措施，有效监控网络和进行安全管理，设置网管工作站，安装监控软件，规范上网行为。

子情境5-3（安装使用防火墙、防病毒软件）：公司员工主机为了防范受到网络攻击，对服务器和个人计算机安装相应的杀毒软件、防火墙软件，防范病毒和木马。

在教学实施过程中，每次通过情境展示和分析，引出具体的教学任务，能够有效激发学生学习兴趣和动力，较好地完成学习任务。

3 结语

《组建与维护企业网络》是基于工作过程进行项目化改造的课程，由知识本位向能力本位进行了转变，通过情境设计和项目教学，教学效果得到明显改善。当然，教学情境毕竟不能完全代替实际工作环境，教学实施过程中会受到不少因素制约，如何依据职业资格标准，参照实际工作要求，设计更有效的教学情境，还需要不断探索和完善。

参考文献：

[1]朱魏巍.关于高职课程教学情境设计的研究[J].网友世界，2012（17）：78-79.

[2]葛元骎，孫小蒙.课堂教学情境及其设计策略研究[J].教学与管理，2014（21）：126-128.

[3]康名彦，赵冬生.建构主义的计算机教学情境设计[J].首都师范大学学报（自然科学版），2004（4）：14-16.

[4]刘晓川.教学情境的设计与实施[J].西南农业大学学报（社会科学版），2013（2）：133-134.

作者简介：

中小企业网络负载均衡设计 篇7

1 中小企业网络架构介绍

企业网络是企业信息化的主体,是网络负载均衡引入的基础,下面介绍企业网络的逻辑架构。

1.2 中小企业网络逻辑架构

鉴于市场价格和服务的影响,一般中小企业内部建网基本采用层次设计模型,网络设计的层次模型如图1所示。

大约10年前,Cisco曾经提出层次设计模型,并且将其作为网络设计人员进行网络设计的工具,该模型能够从物理、逻辑和功能等多角度出发进行设计。层次模型将网络规划分为接入层、汇聚层和核心层。

接入层为用户提供网络设备的接入。在企业网络中,接入层通常包括实现LAN设备(例如工作站和服务器)互连的第二层交换机。在WAN环境中,通过使用WAN技术,例如宽带和帧中继,接入层为站点提供到企业网络的接入。

汇聚层汇集了配线架,并且使用第二层和第三层交换进行工作组分段、实施安全策略,限制带宽和隔离网络故障等。这些措施能够防止汇聚层和接入层的异常事件影响核心层。

核心层被描述为高速主干,核心层的主要功能是尽可能快地交换数据。因为核心层是连通的关键环节,所以它提供了高可靠性,并且能够快速地适应路由选择和拓扑的变更。

为了保证企业网络的稳定性和健壮性,理想情况下,可以在每个功能区域都引入网络负载均衡,这样搭建起来的网络是完全冗余和高效的。但是,考虑到信息化投入所产生的收益,在现实情况中,中小企业往往只会愿意在某些关键应用区域引入负载均衡,那么应该如何为中小企业设计带负载均衡功能的网络呢?我们应该对网络负载均衡技术有一个全面的认识。

2 网络负载均衡介绍

2.1 网络负载均衡概念及含义

网络负载均衡,英文名为Network Load Balance,其意思是将负载(数据流量)进行平衡、分摊到多个网络节点上进行转发,例如交换机、路由器、企业关键应用服务器和其他关键任务服务器等,从而共同完成工作任务。通常,负载均衡会根据网络的不同层次(网络七层)进行划分。

网络负载均衡有2个方面的含义:一是把大量的并发访问或数据流量分担到多台节点设备上分别处理,减少用户等待响应的时间;二是其中某个节点设备出现故障时,其余节点能够智能地承接流量信息的转发职责,使得网络系统的稳定性大大提高,减少了单点故障。

2.2 网络负载均衡的主要任务

网络负载均衡的主要任务有以下几个方面:解决网络拥塞问题,就近提供服务,实现地理位置无关性;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率。

在用户端进行优化和在服务器端采用负载均衡策略可以最大限度地确保网络信息的顺畅流通。

2.3 网络负载均衡技术分类

不同的网络负载均衡技术用以满足不同的应用需求,下面从负载均衡所应用的网络层次(指OSI参考模型或TCP/IP体系结构)进行分类。

2.3.1 数据链路层负载均衡技术

基于数据链路层的负载均衡技术常见的有应用于交换机的LACP、PAgP、MSTP技术及应用于服务器网卡的FEC技术等,下面分别对这几种技术进行介绍。

LACP:基于IEEE802.3ad标准的链路汇聚控制协议(Link Aggregation Control Protocol,LACP)是一种实现链路动态汇聚的协议。该协议通过将多个物理以太网适配器聚集到单独的虚拟适配器,以提供更高的带宽并防止单点故障。目前,市场上的主流二层交换机均支持该项功能。

PAgP:端口聚集协议(PAgP)通过发送PAgP分组在多个需要形成聚合的快速以太端口上协商形成链路通道,实现流量的负载均衡,实现原理和LACP基本类似。需要注意的是,PAgP是Cisco的专有协议,仅被Cisco公司的交换机支持。

MSTP:多实例生成树协议(Multiple Spanning Tree Protocol,MSTP)是把IEEE802.1w的快速生成树(RST)算法扩展而得到的。采用多生成树(MST),能够通过干道(trunks)建立多个生成树,关联VLANs到相关的生成树进程,每个生成树进程具备单独于其他进程的拓扑结构;MSTP将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。值得注意的是,MSTP是以实例为单位来进行STP计算的,因此在设计时要特别考虑清楚。

FEC:快速以太通道(Fast Ether Channel,FEC)是针对Web浏览及Intranet等对吞吐量要求较大的应用而开发的一种增大带宽的新技术,可为重要应用的客户机/服务器网络系统提供高可靠性和高速度。

2.3.2 网络层负载均衡技术

基于网络层的负载均衡技术常见的有VRRP、HSRP及GLBP,还有一类是基于路由协议的负载均衡技术,下面分别进行介绍。

虚拟路由器冗余协议(Virtual Router Redundancy Protocol,VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟1P地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。VRRP组网结构如图2所示。

图2所示的ISP1路由器和ISP2路由器开启VRRP功能以后会虚拟一个路由器来转发用户数据,所有用户配置默认网关时只需配置虚拟路由的IP即可。虽然VRRP规定在同一时间,只能由主用路由器来转发数据,备用路由器处于空闲状态,但是通过VRRP组的概念,可以将不同的用户划分在不同的VRRP组内来实现负载均衡。继续以图2为例,假如将user1-3分配在VRRP组1中,将user4-6分配在VRRP组2中,并且设定ISP1路由器为组1的主用路由器和组2的备用路由器,同时设定ISP2路由器为组2的主用路由器和组1的备用路由器,那么在正常情况下,2组用户分别使用各自的主用路由器进行数据转发,就实现了网络流量的负载均衡,流量转发示意图如图3所示。

HSRP:热备份路由器协议(Hot Standby Router Protocol,HSRP)设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的IP地址时,HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。

负责转发数据包的路由器称为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP将激活备份路由器(Standby Routers)取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。HSRP实现原理和VRRP类似,但是属于Cisco私有协议,仅被Cisco设备支持。

2.3.3 基于路由协议的负载均衡技术

路由协议通过路由信息创建了路由表,描述了网络拓扑结构,然后根据路由表执行路由选择和数据包转发功能。目前,企业网络使用最多的路由协议有EIGRP、OSPF及PBR等,这些路由协议通过计算到达目标网络的开销来衡量路由的优劣,并在具有同样开销的路径上实现等价负载均衡。

EIGRP:EIGRP是Cisco专有的路由协议,属于混合型路由协议,兼有链路状态路由协议和距离矢量路由协议的优点,通过调整它的“变化因子”参数实现非等价负载均衡。

OSPF是基于链路状态算法的路由选择协议,默认情况下,路由器会首先计算到达目标网络的每条链路的开销,开销相同的路由都会被安装到路由表中,这样就实现了等价负载均衡。OSPF仅支持等价负载均衡。

最后介绍一种基于PBR的负载均衡方式,PBR (Policy Based Routing)称为策略路由,它不属于路由协议,是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。应用策略路由,必须要指定策略路由使用的路由图(Route-map),并且要创建路由图。一个路由图由很多条策略组成,每个策略都定义了1个或多个匹配规则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理,符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。通过预先设定好的路由图,就可以实现网络流量的负载均衡。目前,应用在企业边缘的多WAN口路由器就是利用了策略路由的功能,最新的第三代策略路由还加入了带宽识别、抖动检测等特性,无需人工干预即可实现负载均衡。

2.3.4 第四层交换的负载均衡技术

传输层是OSI模型的第四层。传输层负责端对端通信,即在网络源和目标系统之间协调通信。在IP协议栈中这是TCP(传输控制协议)和UDP (用户数据报协议)所在的协议层。在第四层中,TCP和UDP标题包含端口号(port number),它们可以唯一区分每个数据包包含哪些应用协议(例如HTTP、FTP等)。四层交换技术利用第三层和第四层包头中的信息来识别应用数据流会话,这些信息包括TCP/UDP端口号、标记应用会话开始与结束的“SYN/FIN”位及IP源/目的地址。利用这些信息,四层交换机可以做出向何处转发会话传输流的智能决定。对于使用多种不同系统来支持一种应用的大型企业数据中心、Internet服务提供商或内容提供商,以及在很多服务器上进行复制功能的时候,四层交换的作用就尤为重要。

2.4 网络负载均衡策略

在实际应用中,我们不能仅把客户端的服务请求平均地分配给内部交换机,而不管交换机是否满负荷。而是想使一台处理流量转发请求较少的交换机能分配到更多的请求,出现故障的交换机将不再接受请求直至故障恢复等。

选择合适的负载均衡策略,使多个设备能很好地共同完成任务,消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。在各负载均衡方式中,针对不同的应用需求,在OSI参考模型的第二、第三、第四、第七层的负载均衡都有相应的负载均衡策略。

第四到第七层的负载均衡一般采用专用的硬件负载均衡器实现,主要用于关键服务器的负载均衡。考虑到服务请求的不同类型、服务器的不同处理能力及随机选择造成的负载分配不均匀等问题,为了更加合理地把负载分配给内部的多个服务器,就需要应用相应的能够正确反映各个服务器处理能力及网络状态的负载均衡算法。

轮循均衡(Round Robin):每一次来自网络的请求轮流分配给内部中的服务器,从1至N然后重新开始。此种均衡算法适合于服务器组中的所有服务器都有相同的软硬件配置并且平均服务请求相对均衡的情况。

权重轮循均衡(Weighted Round Robin):根据服务器的不同处理能力,给每个服务器分配不同的权值,使其能够接受相应权值数的服务请求。此种均衡算法能确保高性能的服务器得到更多的使用率,避免低性能的服务器负载过重。

随机均衡(Random):把来自网络的请求随机分配给内部中的多个服务器。

权重随机均衡(Weighted Random):此种均衡算法类似于权重轮循算法,不过在处理请求分担时是个随机选择的过程。

响应速度均衡(Response Time):负载均衡设备对内部各服务器发出一个探测请求(例如Ping),然后根据内部中各服务器对探测请求的最快响应时间来决定哪一台服务器来响应客户端的服务请求。此种均衡算法能较好地反映服务器的当前运行状态,但最快响应时间仅仅指的是负载均衡设备与服务器间的最快响应时间,而不是客户端与服务器间的最快响应时间。

最少连接数均衡(Least Connection):最少连接数均衡算法对内部中需负载的每一台服务器都有一个数据记录,记录当前该服务器正在处理的连接数量,当有新的服务连接请求时,将把当前请求分配给连接数最少的服务器,使均衡更加符合实际情况,负载更加均衡。此种均衡算法适合长时处理的请求服务,例如FTP。

处理能力均衡:此种均衡算法将把服务请求分配给内部中处理负荷(根据服务器CPU型号、CPU数量、内存大小及当前连接数等换算而成)最轻的服务器,由于考虑到了内部服务器的处理能力及当前网络运行状况,所以此种均衡算法相对来说更加精确,尤其适合运用到第七层(应用层)负载均衡的情况下。

3 中小企业网络负载均衡设计

3.1 设计原则

前面说过,在一个中小企业网络内部,从接入层到核心层完全部署负载均衡技术是不现实的,因为中小企业规模有限,网络建设的成本预算比较低,所以设计中小企业网络均衡方面应遵循以下几个原则:①节省成本。②可扩展性。③可用性。④可管理。⑤易于部署。⑥易于维护。

3.2 技术、设备选择

在负载均衡技术选择方面,考虑到中小企业的组网结构以层次结构为主,汇聚层与骨干层的界限模糊,建议作如下选择。

(1)接入层可以配备可网管的二层交换机,采用VLAN隔离各部门子网,采用LACP或者PAgP双线上行至汇聚层,以扩展接入带宽。

(2)汇聚层建议直接采用三层交换机,充当三层路由功能的作用,终结部门VLAN。如果企业规模较大,汇聚层部署了3台以上的三层交换机,可以考虑启用动态路由来实现负载均衡;如果企业规模较小,汇聚层设备不多,则建议在三层交换机上配置默认路由至出口设备即可。当然,我们还可以在汇聚层使用VRRP、HSRP及STP技术实现不同部门之间的流量负载均衡。

(3)中小企业的骨干层一般和汇聚层结合在一起,没有严格的界限,而且通过使用三层交换机可以大大节省部署路由器的成本。但是,当企业规模发展迅速,网络拓展到一定程度,骨干层还是建议独立设计,而当具备多台骨干设备时,启用动态路由协议或者VRRP等技术实现骨干流量的分担负载就显得很有必要。

(4)在企业边缘区域,如果通过多ISP线路接入,可以在边缘路由器使用策略路由技术实现流量在多ISP线路上的分流,设计时一定要主要策略路由的备份策略,否则可能引起单链路故障。

4 总结

网络负载均衡方案是在网络建设初期就应考虑的问题,不过有时随着访问流量的爆炸性增长,超出决策者的意料,这也就成为不得不面对的问题。当我们在引入某种网络负载均衡方案乃至具体实施时,像其他的许多方案一样,先要确定当前及将来的应用需求,然后在代价与收益之间做出权衡。

不管网络负载均衡方案是采用花费较少的软件方式,还是购买代价高昂、在性能功能上更强的第四层交换机、负载均衡器等硬件方式来实现,抑或其他种类不同的均衡技术,性能、可扩展性、灵活性、可靠性、易管理性都是我们在引入均衡方案时要考虑的问题。

参考文献

[1]郑纪蛟.计算机网络[M].北京:中央广播电视大学出版社,2000.

[2]刘小辉.网络硬件完全手册[M].重庆:重庆大学出版社,2002.

[3]张公忠.现代网络技术教程[M].北京:电子工业出版社,2000.

[4]吴明厚.广西通信技术[M].广西:广西通信协会出版社,2006.

[5]Richard Froom,Balaj Sivasubramanian.CCNP学习指南:组建Cisco多层交换网络[M].北京:电子工业出版社,2007.

[6]Todd Lammle.CCNA学习指南:中文第五版[M].北京:电子工业出版社,2005.

[7][美]Matthew H Birkner.Cisco互联网络设计[M].潇湘工作室,译.北京:人民邮电出版社,2002.

[8]李建民.网络设计基础[M].北京:北京希望电子出版社,2000.

[9]胡远萍,张治元.计算机组网技术[M].北京:高等教育出版社,2003.

集团企业网络费用报销系统设计 篇8

目前, 传统的手工报销方式存在以下问题:预算控制手段相对落后;报销速度较慢, 影响工作效率;数据重复处理, 财务工作量大;填单不规范, 审核程序多;信息不能及时反馈, 难以满足管理需求。

网络费用报销系统依托于Internet产生, 目的是达到员工报账及时、高效的要求, 员工可以随时随地提交报销申请, 繁忙的领导可以借助互联网, 利用数字签名方式, 随时随地实现审批。财务部门对审核无误的申请进行系统处理, 最后自动生成记账凭证。解决了传统报销方式下效率低下的问题, 是公司现有电算化系统及办公自动化系统在运用上的一个有效补充。

网络费用报销系统具有以下优点:切实提升工作效率, 减少为报销产生的二次费用;完善内部控制, 基本避免审批过程中人为失误与错漏;提供满足用户需求的决策支持信息;严格预算控制费用, 财务工作制度化;实现跨部门配合协作, 降低员工操作难度, 提升企业竞争力;系统实时账务处理, 是财务电算化的重要补充, 实现数据共享, 达到信息统一的目标。

为实现财务业务一体化, 加强业务流程与财务管理的整合, 网络费用报销系统能够直接从全面预算系统取数, 对经费预算进行控制, 报销数据自动导入核算系统, 对预算执行情况进行分析, 实现整个预算工作的闭环管理。除此之外, 还能使决策者通过数据库的信息支持科学决策。

网络费用报销系统的需求包括:功能需求、性能需求、系统集成需求、运行界面需求和安全性需求。

功能需求又分为:主功能需求、辅助功能需求、扩展功能需求。主功能包括:预算管理、借款管理、报销管理、还款管理, 各类人员在系统中的各种业务功能, 是集团企业网络费用报销系统的核心部分;辅助功能包括:综合查询、个人信息管理、单据打印、财务信息发布等;扩展功能包括:系统初始化及维护、基础数据配置及修改、流程管理和权限管理等。同时, 系统留有接口, 可与预算系统、财务系统以及网银系统等进行数据交换。

通过网络费用报销系统与预算系统、账务系统、网银系统的数据共享和流程协同, 有效支持从预算执行、借款、报销、冲账到预算考核、分析的业务全过程管理。因此, 对系统集成需求也很关键, 涉及与预算系统、账务系统、网银系统、管理数据中心的集成, 同时还要预留与人力资源管理、固定资产管理等系统的接口。

网络费用报销系统根据集团企业的报销特点, 采用B/S模式和面向Internet/Intranet技术, 设计基于ASP.NET架构的网络费用报销系统。通过系统, 员工在任何时间、任何地点, 只要能上网, 就能够对自己的费用报销进行管理。由于报销系统的信息化, 使得费用报销方便快捷。

具体来说, 网络费用报销业务流程, 系统管理员要预先设定各项参数和业务流程, 并进行保存。之后, 用户登陆对各种单据信息进行录入, 其中包括所属部门、姓名、费用预算、报销、借款、还款信息等, 信息填完后提交给网络报销系统, 系统将这些信息流转到部门领导审核节点进行审核, 如果通过就进入下一环节, 若没有通过, 继续填写直至成功;接下来由财务审核, 未通过将继续进行信息录入, 通过就选择是否申请支票或汇票, 如果申请, 接下来就是进行出纳操作, 生成财务管理信息系统凭证, 但如果否, 则直接进入财务管理信息系统, 由系统通过网银支出、转账, 工作流引擎将单据信息进行变更 (如报销人待报销单据变为已报销、还款人待还款单据变为已还款) , 至此流程结束。网络费用报销业务流程如图1:

网络费用报销系统的详细设计, 是在对借款报销业务分析与预算管理业务关联分析的基础上, 设计系统的功能, 满足集团企业对借款报销信息化支持、借款报销业务功能和操作友好方面的要求。通过对主要业务分析, 系统最为主要的部分是借款、报销和还款, 其中:涉及预算管理、借款管理、报销管理、还款管理、综合查询等功能模块以及数据库的设定。梳理得到网络报销管理系统功能树: (见图2)

网络费用报销系统数据库的设计, 由于集团企业部门较多, 分支结构复杂, 需要处理的数据量庞大, 为了满足对系统访问速度的需求, 系统使用的数据库软件必须具有可靠性强和性能高等优点, 因此系统设计通常采用SQL server 2005。

SQL (Structured Query Language) , 意思为结构化查询语言。Microsoft SQL Server 2005是一个功能完备的全面数据库管理系统, 具有性能高、稳定性强等优点, 此外, 该系统还能与报表、分析、集成功能相结合。

数据库的数据字典是存放在SYSTEM表空间中的一组表和视图结构。它们对任何一个用户都非常重要, 是数据库的核心, 它集合了数据库的所有信息。

集团企业网络费用报销系统的设计, 依据费用报销管理实际需求结合企业报销管理机制现状, 先后从系统业务的需求分析、系统软件的功能设计、系统功能的逐步实现, 对集团企业网络费用报销系统进行具体的分析和设计。系统业务功能的设计, 具有一定的局限性, 同时也有一定的通用性。基于ASP.net的网络费用报销系统, 能够满足集团企业的主要功能需求, 显著地提高企业的费用报销的效率, 使得各级领导能够从繁忙的日常事务中抽身出来, 把更多地精力投入到管理决策工作中去。

参考文献

[1]薛华城.管理信息系统 (第三版) [M].清华大学出版社, 1999

[2]李晓黎, 张巍.ASP+SQL Server网络应用系统开发与实例[M].北京:人民邮电出版.2005

[3]李国超.航天企业网络财务费用报销系统设计与实现[D].南开大学

[4]何静, 俊川, 李新.基于EOS的网上报销系统的设计与实现[J].计算机系统应用.2010年第04期

[5]雷英静, 魏薇, 孙菁.基于.NET的网上报销系统设计, 甘肃科技, 2010年06期

远程接入企业网络规划与设计 篇9

社会进入信息时代后,要求企业用信息技术来强化企业的管理、生产和经营,而企业要创造更多的经济效益就必须借助信息技术来提高企业的生产效率和管理水平,这不但适用于大型企业,对占相当比重的中小企业同样适用。网络技术的发展使得网络建设从基础架构到维护和管理都变得十分简单和智能,丰富的网络产品线和不断降低的价格,可以让中小企业根据自身的情况,按照实际的经济条件来构建自己的网络,用于网络建设的投资对于企业而言不再成为一个负担。

二.企业网络设计需求分析与设计目标

网络需求分析就是根据企业信息技术应用要求和企业的业务发展需求,结合企业现有设备状况和人员素质,较为全面地调查和分析企业在信息技术方面的技术需求,然后从网络建设的角度,将这些需求转换成构造网络系统以及网络系统能够提供服务的需求。

在网络需求分析过程中,网络系统用户往往从系统外部关注整个网络系统的功能和性能,而网络设计者往往从网络系统内部关注整个网络系统的技术和结构。因此,如何正确地将用户对网络系统功能和性能的需求转换成对网络系统技术和结构的需求并给予量化表示是网络需求分析的关键。

将系统需求归纳为如下几点:

1、在该企业的总公司以及分公司各建立一个新的计算机网络基础设施,将该企业内现有计算机以及外设连在一起工作。服务器、连接设备、综合布线等统一购买和配置,客户机应利用现有各部门的计算机,以保护原有投资和不影响正常工作。2、该网络系统能实现资源共享,包括软件共享,文件共享,打印机共享。在外工作的员工可以透过internet安全访问企业资源,远程办公。3、能高速接入Internet进行工作,收发邮件,浏览网页查找资料。建立企业对外网站,提供一个对外宣传的平台,提高企业知名度。4、网络管理:控制不同权限的员工使用Internet的方式和范围,限制普通员工利用公司网络进行业务无关的活动。5、安全性:对不同部门之间的相互访问作限制,防止非法访问,保护商业机密。预防计算机病毒,尽可能把病毒感染的几率降到最低。使用防火墙,防止来自互联网上的入侵,保障企业资源的安全。6、可扩展性:考虑到企业的发展与以后规模的扩大,企业网络设计需预留扩展空间,以便今后的网络改造。

该IT企业网络建设的目标,就是在总公司和分公司分别建设局域网,将互联网技术引入企业内部网,使用远程接入技术将公司与分公司之间连接起来,并使在外员工可随时接入公司网络,从而建立起统一、快捷、高效的中型Intranet系统,整个系统在安全、可靠、稳定的前提下,符合经济的原则,即实现合理的投入,最大的产出。总体设计如下:

(1)以千兆以太网为主干网,利用第三层交换技术实现大型局域网的VLAN的划分。规划中服务器、信息中心采用千兆,与中心主交换机连接,其他部门采用100M网卡通过其他二级交换机接入主干网。

(2)网络通过光纤接入Internet/ChinaNET,在公网上建立虚拟专用网(VPN);通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样,可以提供远程拨号访问和通过Internet访问两种方式,来实现全国各分支机构、相关部门以及公众对公司信息的限制性访问。

(3)网络的安全机制:通过对网络设备的配置,控制访问列表等方式来加强网络的安全性措施;更重要的是,在内部网与公众网的结合处,采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。

(4)网络中心设立WEB应用服务器、E-MAIL服务器、DNS服务器、数据库服务器、文件服务器,实现WEB访问、Internet接入、E-MAIL系统、域名解析、应用系统等各种功能。

三、网络具体规划与设计

3.1企业网络拓扑结构设计

所谓拓扑是一种研究与大小、距离无关的几何图形特性的方法。网络的拓扑结构是抛开网络物理连接来讨论网络系统的连接形式,网络中各站点相互连接的方法和形式称为网络拓扑。拓扑图给出网络服务器、工作站的网络配置和相互间的连接。

该企业局域网网络主要采用了星型的拓扑结构,因为企业规模不大,所以在设计上只划分了两层来设计:核心层和接入层。总公司的工作站大约为200人,考虑到规模较大而且该总公司的业务比较重要,核心层的设计上采用了两台千兆三层交换机作一个冗余备份,在这两台三层交换机之间作链路聚合,就算其中一个核心交换机当机,也可以保证网络的瞬间恢复,大大增加了网络的可靠性。分公司由于规模较小,考虑到企业网络设计上的实用性与经济性原则,核心层的设计只使用一台千兆三层交换机。而在接入层的设计上,总分公司都使用多台二层交换机,100兆到桌面。服务器选择摆放在信息中心,以便管理。为了防止企业外部对内的攻击,在路由器外部安装硬件防火墙。

3.2基于VLSM的子网划分

该企业总公司有193人,分公司有99人。如果分别把各自所有的主机放到一个子网里,对企业的安全性管理极为不利,而且如果有站点更新(计算机的配置调整或增减计算机)或发生故障,大量的广播数据会严重影响网络的整体性能。因此必须对这些主机进行子网划分控制广播域的规模。

VLSM(Variable Length Subnet masks)变长子网掩码,是在标准的掩码上面再划分的子网的网络号码,不同子网的子网掩码可能有不同的长度,但一旦子网掩码的长度确定了,它们就不变了,这个技术用于高效分配IP地址。

3.3 VLAN规划

VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

该企业不同的部门在不同的子网里,子网与子网之间不能访问,也控制了广播域太大的问题。但是局域网内的任何用户只要稍微修改一下IP与子网掩码就可以访问到该企业的任何部门了。所以,必须在交换机上划分好VLAN,这样,只要加强对交换机的保护,不让一般员工改变交换机的配置,就算他们更改自己电脑的IP和子网掩码也无法访问到其它部门了。

该企业的VLAN我们采取根据端口来划分,这种划分方式是现在最常用的。只要把同一个部门的端口全部划分进同一个VLAN就行了,而且还可以进行跨交换机的端口VLAN划分,也就是说不同交换机上的端口也可以在同一个VLAN里,这样VLAN的划分就不必要受到物理空间的限制,具有很好的灵活性。今后如果有人事调动或者部门扩充,只要在交换机上作相应的配置就可以了。

在该企业的VLAN端口配置中,各接入层的二层交换机与核心层的三层交换机之间的链路要配置成trunk链路,其他端口配置成access链路,这样VLAN信息就可以在各二层交换机之间传递,不同交换机但是同一个VLAN的用户就可以相互访问了。

3.4三层交换技术与链路聚合的应用

该企业各部门处于不同的VLAN中,某些部门之间是需要互相访问的,如果用传统的路由器来完成VLAN间互访,所有跨VLAN的数据必须通过路由器转发,路由的高延迟会引来用户对网络速度的抱怨,不使用三层交换技术的话,唯一的解决方法是添置昂贵的路由器,而随着日后企业不断扩大部门间的流量会更加增多,到时可能又要投入更多资金更换更贵的路由器,这不符合企业网络设计的可扩展性原则。

在该企业的网络核心层使用三层交换机,大大增快了网络的速度,充分利用了现有资源,降低了网络成本,增加了网络的可扩展性。而且,三层交换机还可以实现部分安全机制,它的访问列表的功能,可以实现不同VLAN间的单向或双向通讯.

该企业的三层交换机位于整个局域网的核心部分,企业上网的流量、VLAN间的流量、VPN产生的流量全部都要经过核心三层交换机进行转发,所以核心交换机的速度与稳定性非常重要。冗余链路是提高网络系统可用性的重要方法。

3.5 Internet接入设计及地址转换技术应用

在该企业的Internet接入设计部分,我们采用FTTB+LAN的方式。Fiber To The Building(FTTB,光纤到楼),它是利用数字宽带技术,光纤直接到楼内机房,再通过高速以太网的形式到各个用户。FTTB方式将传统的语音信号和数据信号并网而行,是一种性价比最高的组网方式,采用的是专线接入,无需拨号,安装简便,可为用户提供一个多媒体网络环境以及低价高质的共享专线上因特网的方式。这种接入方式具有很多优势:网络上行下行速度高,而且可扩展度高;因为是光纤出口,所以网络可靠、稳定;可以使用固定IP,方便建立企业网站;性价比高,支持VPN技术等。

我们只要向ISP申请一条光纤接入Internet,把光纤拉到企业机房,将光纤接入光纤收发器或者直接接入带有光纤口的防火墙和路由器上,再把路由器用双绞线接到核心交换机上,然后分散接入到各部门交换机。这样,就实现了两种不同传输介质的企业网络的Internet接入方案。

在路由器上,我们除了要配置一条静态路由器指向ISP之外,我们还需要对内网IP地址做一个网络地址转换。地址转换最初主要用来解决是IP地址短缺的问题,后来地址转换技术有了更多的用途,逐渐显示出它的优势。地址转换设备提供几乎无限的地址空间并隐藏内部网络寻址方案;如果更改了ISP或与另一个公司合并,则可以保持当前的寻址方案,并在地址转换设备上作任何必要的改变,可使地址管理更容易;它还有一个显著的优点是允许严格控制进入和离开网络的流量,更容易实施安全和商业策略。

3.6 VPN远程接入设计

虚拟专用网(Virtual Private Network,VPN)是指在公共通信基础设施上构建的虚拟专用网,可以被认为是一种从公共网络中隔离出来的网络,它与真实网络的差别在于VPN以隔离方式通过共享公共通信基础设施,提供了不与VPN网外用户共享互联点的排他性网络通信环境。

对于该企业的内联网构建,只要购买两台支持IPSec隧道协议的VPN防火墙,安装在总公司和分公司两个网络边界,然后对两台VPN防火墙进行相关配置,当建立起VPN连接后,这时总公司与分公司就相当于处于同一个局域网中,这些配置对于员工来说这是透明的。而对于出差办公或者SOHO办公的员工,进行VPN连接就必须在他们的计算机中安装配套的VPN接入软件,例如思科的VPN客户端产品EASYVPN,当要访问公司资源时,通过一些简单的配置,就可以进行远程拨号连接。企业合作伙伴的企业外联网与企业内联网VPN差不多,使用软件或者硬件接入均可,这要视乎企业合作的程度与时间长短而定,它与企业内联网的主要区别在于用户访问权限的设置,外联网用户通常只具备部分企业内部网访问资源的权限,所以我们要对VPN防火墙进行相关设置,以屏蔽企业内部网,确保需要保护的内部网资源的安全性。

四、总结

在本文中成功地应用了较为先进的VLAN、光纤接入、第三层交换、千兆核心交换、VPN远程接入等技术,使得网络系统在性能、安全性、可管理性、扩展性等方面领先于一般的企业网络。本规划设计方案只是一个计算机网络现状及网络安全的解决方案,在随后的分期分批的项目实施过程中,由于企业网络环境、以及网络应用系统的变化,会在细节上根据实际情况进行相应的调整,如:安装设备数量、设备安装具体地点等,只要在总的布局、要求以及标准上保持不变,实施之后就能够达到本方案的设计要求。

参考文献

[1]Richard Froom,Balaji Sivasubramanian,Erum Frahim.CCNP学习指南:组建Cisco多层交换网络(BCMSN).第二版.人民邮电出版社,2004

[2]Richard A.Deal.Cisco路由器防火墙安全.人民邮电出版社.2006

[3]Cisco Systems公司,Cisco Networking Academy Program.思科网路技术学院教程网络安全基础.人民邮电出版社.2005

[4]Catherine Paquet,Diane Teare.CCNP自学指南:组建可扩展的Cisco互联网络(BSCI).第二版.人民邮电出版社,2004

煤矿企业内部生产网络安全设计 篇10

随着信息化技术的发展, 很多煤矿内部建立了负责安全生产调度的矿井工业以太网 (生产网) 系统, 而管理部门则建立了信息网 (办公网) 系统。生产网中的网络设备及各类计算机的正常运行将直接关系到煤矿的安全生产, 所以必须根据实际情况对该网络系统进行严格的安全性能设计。影响网络系统安全性的因素有很多, 其中最普遍的就是病毒。笔者结合自身工作经验, 给出一些预防网络安全威胁的建议和设计方案[1,2]。

1 网络安全威胁分析

生产网属于内部网络, 不能直接连接Internet, 但依然容易遭受网络病毒的威胁, 其感染病毒的途径一般包括以下几个方面:

(1) 生产网内单台计算机通过外接设备 (如移动硬盘、U盘、光盘等) 感染病毒;

(2) 生产网内单台计算机感染病毒后, 病毒通过生产网络大面积传播;

(3) 生产网内少量的计算机与外网计算机交互访问时感染病毒。

此外, 生产网还可能遭遇广播风暴, 导致网络堵塞、瘫痪。

2 网络管理制度

由于生产网不能直接连接Internet, 所以通过Internet感染病毒的几率比较小, 所以要预防病毒, 首先应加强生产网内部的计算机网络管理制度, 尽量做到以下几点要求:

(1) 对生产网内的计算机不能擅自使用外接设备, 可封锁光驱和USB口;

(2) 尽量不通过共享方式访问生产网内计算机, 必要时可取消共享访问方式;

(3) 非专业人员不得擅自操作计算机, 必要时可撤销或锁定一些输入设备 (键盘和鼠标) ;

(4) 在生产网内计算机上安装正版杀毒软件, 定期升级操作系统补丁和杀毒软件病毒库;

(5) 网络管理员定期检查计算机使用情况。

3 网络安全设计方案

(1) 在生产网和信息网之间增加防火墙, 在生产网内增加一台病毒库服务器

防火墙是一种隔离控制技术, 通过预定义的安全策略对内外网通信强制实施访问控制。信息网的个人计算机较多, 并且通常可以连接Internet, 所以信息网感染病毒的几率较大。为防止信息网内的病毒感染生产网, 基本的方法是通过防火墙将生产网与信息网隔离。如果需要通过信息网访问生产网, 则可在防火墙上开放一些端口, 但同时也要在生产网内加设一台病毒库服务器, 如图1所示。对防火墙进行策略设置, 使其仅对病毒库服务器开放网络端口, 病毒库服务器便可上互联网升级病毒库, 生产网内的计算机安装杀毒软件客户端, 安装了客户端的计算机可通过病毒库服务器升级更新病毒库。

该方案设计较简单, 仅增加一台防火墙设备和病毒库服务器来进行安全防范。但由于病毒库本身的升级也需要连接Internet来完成, 因此, 在升级病毒库的同时也带来了安全隐患, 增加了通过Internet感染病毒的环节。但是在资金有限的情况下, 该方案还是可以起到一定的预防作用。

(2) 在防火墙之后增加防毒墙

凡是病毒都有一定的特征。防毒墙会扫描通过网关的数据包, 然后对这些数据进行病毒特征扫描, 如果是病毒, 则将其清除。理论上讲, 防毒墙可以阻止任何病毒从网关处侵入企业内部网络。

防火墙能够对网络数据流连接的合法性进行分析, 但它对从允许连接的计算机上发送过来的病毒数据流却无能为力, 因为它无法识别合法数据包中是否存在病毒。而防毒墙则可以检测、阻断和杀灭病毒, 因此, 在防火墙之后增加防毒墙可为网络的边界杀毒提供理想解决方案[3]。该方案的网络结构如图2所示。

防毒墙是新型的网络设备, 能够阻断一些病毒的攻击, 部署也相对简单、方便, 但其仅能检测到一些相对普通的病毒, 对于新的或者特殊的病毒也无能为力。

(3) 在生产网交换机上进行VLAN划分

VLAN技术的出现使得网络管理员根据实际应用需求, 把同一物理局域网内的不同用户逻辑地划分成不同的广播域, 每一个VLAN都包含一组有着相同需求的计算机工作站。由VLAN的特点可知, 一个VLAN内部的广播和单播流量都不会转发到其它VLAN中, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性[4]。

如果生产网内的计算机较多, 其中的某些子系统有着相同的需求, 为了防止广播风暴的产生和病毒的扩散传播, 可以对生产网内的交换机进行VLAN划分。二层交换机VLAN之间不能通信, 只有通过三层交换机和路由进行通信。该方案的网络结构如图3所示。

该方案在方案 (1) 的基础上对网络进行了VLAN划分, 使得生产网在广播风暴和病毒来临时能够把风险降到最低, 但该方案的成本也会相应增加, 且VLAN划分的各子系统之间的访问也将变得复杂。

(4) 将生产网内重要的服务器置于网闸内

网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接, 并能够在网络间进行安全适度的应用数据交换的网络安全设备。当用户网络既要保证高安全性能, 同时又要与其它不信任网络进行信息交换时, 如果采用防火墙, 则无法防止内部信息泄漏和外部病毒、黑客程序的渗入。安全隔离网闸能够同时满足这2个要求, 是一种较好的选择[3]。生产网内通常有一些比较重要的服务器, 如管理控制服务器、数据库服务器、子系统上位机等, 因此, 可考虑将这些重要的服务器置于网闸之内, 与其它安全性要求较低的设备隔离, 具体网络结构如图4所示。

该方案将重要服务器隔离后, 增加了安全性能, 但也增加了这些服务器访问其它计算机的难度, 需要设置网闸开放一些端口, 网络也变得相对复杂了。

(5) 设置入侵防御系统

入侵防御系统 (Intrusion Prevention System, IPS) 是一种主动的、积极的入侵防范、阻止系统。 IPS位于防火墙和网络设备之间。如果检测到攻击, IPS会在该攻击扩散到网络其它地方之前将其阻止。该方案的网络结构如图5所示。

IPS是一种更主动的防御系统, 可以及时阻止一些安全威胁, 不过并不是所有的攻击都能阻止, 所有设备并不是万能。

4 结语

介绍的5种网络安全设计方案各有优缺点, 可根据工程现场的实际网络情况来选择其中的某一种或几种方案。比如在网络范围相对较小或者资金有限的情况下可选择方案 (1) 或方案 (2) , 在网络安全要求较高时则可选择方案 (3) 、方案 (4) 、方案 (5) 。当然, 随着技术的不断发展, 会不断涌现出其它的网络安全设计方案[5]。煤矿企业网络设计者需要根据实际情况选择合适的网络安全设计方案, 力争构建完善的网络系统。

摘要：分析了目前煤矿企业生产网遭受网络安全威胁的主要途径, 提出了应加强生产网内部计算机网络管理制度的建议, 重点介绍了增加防火墙和病毒服务器、在防火墙后增加防病毒墙、在交换机上划分VLAN、将重要服务器设置在网闸内、设置入侵防御系统这5种网络安全设计方案。

关键词：煤矿,生产网,网络安全,网络病毒,管理制度,网络设计

参考文献

[1]葛秀慧:计算机网络安全管理[M].2版.北京:清华大学出版社, 2008.

[2]王群.计算机网络安全技术[M].北京:清华大学出版社, 2008.

[3]潘栩.计算机网络安全问题研究[EB/OL]. (2010-01-20) [2010-03-01].http://www.studa.net/network/100120/11201236.html.

[4]张江.计算机网络实用教程[M].南京:南京大学出版社, 1997.