终极论文终结者概要.docx
《终极论文终结者概要.docx》由会员分享,可在线阅读,更多相关《终极论文终结者概要.docx(18页珍藏版)》请在冰点文库上搜索。
终极论文终结者概要
第一章企业局域网规划实施计划
1.1了解用户,收集信息
网络规划的目的在于收集一线信息的基础上给出合理可行的设计方案,如战场指挥,运筹帷幄,决胜千里,其关键之处在于广泛收集信息,全面合理的规划企业办公局域网需认真考虑三点因素:
(1)企业历史网络资源信息,当前网络规划设计计划,领先的技术方向,运营机制和管理办法,满足未来网络的高度扩展计划及其特点
(2)了解企业办公局域网的使用者分别是谁?
他们各自的知识层次如何?
以及他们对计算机的使用观点和使用频率如何?
他们对当前的网络态度和看法如何?
这一点将为日后安排多少人员进行网络的技术支持和维护起导向作用。
(3)明确网络规模:
哪些部门,多少网络用户,哪些资源需要上网,采用什么档次的设备而又在资金预算范围内,不同部门之间的信息流向问题,不同时刻网络流量及流量峰值问题,确定网络终端数量及位置,共享数据的存储位置和哪些人要用这些数据等基本状况等
(4)找出用户与用户,用户与资源,资源与资源之间的内在关系,相关信息,这是企业局域网设计的前提和依据,是规划的核心思想,作为一个企业办公局域网,如何使得设计的网络便于用户需求和管理应用,这一点尤为重要。
1.2分析需求,提出网络设计原则
1.2.1需求分析
企业网络有着自身的特殊性,办公局域网对整个网络性能要求相对较高,办公局域网组建需满足对数字,语音,图形图象等多媒体技术的宽泛应用,并能符合多种协议的要求,其体系应当符合国际标准(如TCP/IP协议,NovellIPX协议等),同时能兼容已有的网络环境,因此设计组网前,应对各方面需求总结归纳,做出细致分析:
(1)内部光缆主干需求:
规划需分析综合布线系统及其子系统,主配线间MDF与二及配线间IDF的位置,不同类别的服务器位置等。
(2)应用管理需求:
能够让管理人员从繁琐的文字处理中彻底解脱出去,以计算机信息系统交流和日常事物,构建公文系统,日常办公系统,档案系统,电子邮件等功能,且需操作简单,便于使用。
满足视频点播,具备基本的Internet访问等。
(3)网络流量需求:
要求企业办公有足够的网络吞吐量来满足办公需求,保证信息的高质高效率传输,办公局域网涉及到服务器访问,Web浏览,视频点播等,对带宽需求和时延性要求极高。
(4)网络安全需求:
办公局域网必须有完善的安全管理机制,能够确保网络内部可靠运行,还要防止来自外部的和来自内部的非法访问和入侵,保证关键数据库的存储安全
1.2.2提出设计原则
(1)网络可靠性原则:
网络设计过程中网络拓扑应采用稳定可靠的形式,如:
双路由网络拓扑,星型网络结构。
因为它们即可冗余备份,安全性又方便添加新的工作组,核心层交换可采用高端交换设备和光纤技术的主干链路来实现较高的容错性,这样就可以避免单点故障的出现,网络结构使用双链路,双核心交换设备,双路由备份可靠措施,都可以使校园网可靠性和实用性得到大大的提高
(2)网络可扩展性原则:
校园园区网扩展性包含2层意思
(一):
新的办公部门能简单的接入现有网络
(二):
升级新技术的应用能够无逢的在现有网络上运行
可见,规划校园园区网络时不但要分析当前的技术指标,而且要对未来的网络增长情况做出估计和预算,以满足新的需求,保证网络可靠性,从而保证企业办公正常的秩序。
1.3作出合理的网络拓扑图
1.4IP如何划分
此局域网100台计算机分5个工作组
IP划分、
工作组一192.168.1.1~192.168.1.21
工作组二192.168.2.1~192.168.2.21
工作组三192.168.3.1~192.168.3.21
工作组四192.168.4.1~192.168.4.21
工作组五192.168.5.1~192.168.5.21
子网掩码均为255.255.255.0
默认网关都使用工作组第一个IP
第二章如何接和设备选用
2.1工作站计算机配置
CPU
AMDX23600+
590
内存
宇瞻533512Mb
250
主板
MISK9N65GM-V
499
显卡
铭宣7300GT
449
硬盘
ST80G
400
声卡
集成
网卡
集成
键盘与鼠标
光鼠套
30
显示器
AOCD7
710
耳麦
外送
2.2路由器:
TP-LINKTL-R490数量:
1单价:
2400其具体参数如下
路由器类型
宽带路由器
网络协议
TCP/IP、PPPoE、DHCP、ICMP、NAT、SNTP
固定的广域网接口
10/100Base-T×1
固定的局域网接口
10/100Base-T×4
其他端口
控制端口Console
内置防火墙
是
Qos支持
不支持
支持VPN
支持
网管软件
网管协议SNMP
电源
220VAC,50Hz
尺寸
294×158×44mm
其他性能
安全标准CE,FCCClassA
2.3防火墙:
JuniperNetScreen-25B数量:
1单价:
14500主要参数如下:
设备类型
中小型企业级防火墙
并发连接数
24000
网络吞吐量
100Mpps
安全过滤带宽
20MB
网络端口
4个
用户数限制
无用户数限制
入侵检测
DoS
安全标准
FCC,UL,CE,CUL,C-Tick,VCCI,BSMI,CSA
控制端口
RS-232
管理
SNMP
VPN支持
支持
JuniperNetScreen-25B一般参数
防火墙尺寸
300×427×44mmmm
防火墙重量
3.5kg
2.4主交换机:
D-LinkDES-1226G数量:
1单价:
1200主要参数如下:
交换机类型
网管交换机
传输速率
10Mbps/100Mbps/1000Mbps
网络标准
IEEE802.3、IEEE802.3u、IEEE802.3ab1、IEEE802.3z、ANSI/IEEE802.3NWay、IEEE802.3x
网络协议
CSMA/CD
端口数量
24个10/100Mbps端口
接口介质
10BASE-T、100BASE-TX、1000BASE-T
传输模式
全双工/半双工自适应
配置形式
独立式
交换方式
存储-转发
背板带宽
48Gbps
VLAN支持
支持
MAC地址表
6K
模块化插槽数
2
指示面板
每端口:
连接/活动、速率,每设备:
电源/CPU
尺寸(mm)
440×140×44mm
重量(Kg)
2.125kg
其他技术参数
基于端口VLAN,支持VLAN最大数目:
26/设备/优先级队列(QoS):
标准:
802.1p,队列数:
2个/安全性:
CUL/电磁辐射:
FCCClassA,CEClassA/电源功率:
16瓦(最大)/RAM缓存:
每台设备512KB/MAC地址表:
每个设备6K条目
特点
用于服务器/网络骨干连接的端口干路/基于端口的VLAN加强了网络性能和安全性/802.1p优先级队,基于端口的QoS/基于web的简易配置/
标准机架尺寸/以太网:
10Mbps(半双工),20Mbps(全双工)/快速以太网:
100Mbps(半双工),200Mbps(全双工)/千兆以太网:
2000Mbps(全双工)/
2.5二级交换机:
D-LinkDES-1016R+数量4单价600主要参数如下
基本参数
产品类型
快速以太网交换机
网络标准
IEEE802.310Base-T、IEEE802.3u100Base-TX
传输速率(Mbps)
10/100
交换容量(Gpbs)
3.2
交换方式
存储-转发
吞吐率(Mpps)
延迟
地址表大小
网管支持
SNMP管理信息库(MIB)II,SNMPMIB扩展,桥接MIB(RFC1493)
端口参数
端口数
16
模块插槽数
1
端口类型
100Base-FX/TX
电气参数
电压(V)
220
功率(W)
39
外观参数
重量(Kg)
2.6
长度(mm)
440
宽度(mm)
207
高度(mm)
44
环境参数
工作温度(℃)
0-50
工作湿度
10%-90%
存储温度(℃)
-30-60
存储湿度
5%-95%
其它参数
支持全双工
是
堆叠支持
固定式/堆叠式
2.6打印机:
EpsonEPL-6200L数量2售价1550打印机服务器配置与工作组电脑配置相同.
2.7其他设备:
光纤若干,5类双绞线若干,水晶头若干,压线钳1把,千兆位网卡2张
2.8服务器选择:
选用IBMSytemx3650价格24375RMB数量2(考虑到服务器冗于因此架构2太服务器)
2.9具体组网规划:
①在外网接入内网时选用光纤接入直接到路由器,
②在路由器到中心交换机和中心交换机到服务器也选用光纤,
③在中心交换机到二级交换机和二级交换机到工作组选用5类双绞线。
做出如上规划原因是在现代网络带宽越来越大的时代,办公也由传统的办公转化为现代的网络办公,为了满足办公需要必须使用能提供快速办公的设施。
也许在组建网络初期会感觉花费很大但就整体而言该网络有较大的扩展性和易维护性,方便以后的添加需求。
第三章网络安全部分
3.1网络概况分析
局域网是一个信息点较为密集的网络系统,为整个网内办公的提供了一个快速、方便的信息交流平台。
通过专线与Internet的连接,各个部门可以直接与互联网用户进行交流、查询资料等。
通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。
高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。
因此,当一个局域网组建成功后,最关心的还是局域网的安全问题。
局域网内数据是通过线链路进行数据传输,有一些非法用户通过截获链路中的数据给局域网用户带来损失,要解决这一问题,我们就必需使用到加密功能,这项功能能够对传输的数据进行加密,即使非法用户获得这些数据,也无法破译,所以我们组建局域网成功后必需将这项功能开启。
3.1.1网络结构
局域网按访问区域可以划分为三个主要的区域:
Internet区域、内部网络、公开服务器区域。
内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,不同的局域网分属不同的广播域,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。
3.1.2网络应用
局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据的统一存储;
3.针对特定的应用在数据库服务器上进行二次开发;
4.提供与Internet的访问;
5.通过公开服务器对外发布信息、发送电子邮件等;
3.1.3网络结构的特点
1.网络与Internet直接连结,进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过传播病毒,黑客攻击,来自Internet的非授权访问等。
2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。
3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。
3.2网络系统安全风险分析
网络安全可以从以下方面来理解:
1网络物理是否安全;2网络平台是否安全;3系统是否安全;4应用是否安全;5管理是否安全。
3.2.1物理安全风险分析
网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。
以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。
只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
3.2.3公开服务器面临的威胁
局域网内公开服务器区(WWW、EMAIL等服务器)作为的信息发布平台,一旦不能运行后者受到攻击,影响巨大。
同时公开服务器本身要为外界服务,必须开放相应的服务;黑客容易闯入。
有必要将公开服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
3.2.4路由状况分析
安全的应用往往是建立在网络系统之上的。
网络系统的成熟与否直接影响安全系统成功的建设。
只使用一台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少了因网络结构和网络路由造成的安全风险。
3.2.5应用的安全风险分析
应用系统的安全是动态的、不断变化的跟具体的应用有关它涉及到信息、数据的安全性:
信息的安全性涉及到:
机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
由于局域网跨度不大,绝大部分重要信息都在内部传递,因此信息的机密性和完整性是可以保证的。
对于有些特别重要的信息需要对内部进行保密的直接在应用系统开发时进行加密。
3.3.1黑客攻防击
黑客们的攻击会利用系统和管理上的一切可能利用的漏洞。
这时为了防止黑客,需要设置组特权,不允许任何使用公开服务器的人访问WWW页面文件以外的东西。
在这个企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.3.2病毒的攻击
计算机病毒一直是计算机安全的主要威胁。
能在Internet上传播的新型病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。
下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。
最近的“熊猫烧香”病毒就是可怕的例子。
3.3.3不满的内部员工
内部员工可能在站点上开些小玩笑,甚至破坏。
对于已经离职的不满员工,这些员工比已经离开的员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。
可以通过定期改变口令和删除系统记录以减少这类风险。
3.4安全需求与安全实现
3.4.1系统安全策略
系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。
对于操作系统的安全防范可以采取如下策略:
对操作系统进行安全配置,提高系统的安全性;系统内部调用不对Internet公开;关键性信息不直接公开,尽可能采用安全性高的操作系统。
应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞;
网络上的服务器和网络设备尽可能不采取同一家的产品;
通过专业的安全工具(安全检测系统)定期对网络进行安全评估。
3.4.2应用安全
主要考虑通信的授权,传输的加密和审计记录。
这必须加强登录过程的认证,确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
另外,在加强主机的管理上,还可以采用访问存取控制,对权限进行分割和管理。
应用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。
对应用安全,主要考虑确定不同服务的应用软件并紧密注视其Bug;对扫描软件不断升级。
3.4.3Internet防火墙技术在网络中的应用
防火墙服务用来防止外界侵入可以防止各种危险(病毒、资源盗用等)传播到网络内部。
服务于以下多个目的:
1)限定人们从一个特定的控制点进入;
2)限定人们从一个特定的点离开;
3)防止侵入者接近你的其他防御设施;
4)有效地阻止破坏者对你的计算机系统进行破坏。
防火墙常常被安装在受保护的内部网络上并接入Internet,所有传输信息或发出的信息都必须经过防火墙。
这样,防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用,它由一组硬件设备(包括路由器、服务器)及相应软件构成。
但防火墙是防外不防内的因此需要对内部进行管理。
3.4.4杀毒软件的应用
没有绝对安全的网络它总会中毒或中木马因此查杀也成了局域网组建的关键在此我们选用国产的瑞星企业版杀毒工具主要重以下两方面考虑
一)其能快速反映国内最新的病毒还推出针对某个病毒的专杀工具。
二)其性价比较高能减少企业的开支。
第四章管理方案设计
安全管理的实现规范
4.1管理的安全风险分析
管理是网络中安全最最重要的部分。
责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
防火墙担当网络防黑的作用,虽然网络中心的路由器也具有防火墙功能,不过路由器的防火墙功能一般都不够强大,因此,校园网中使用防火墙还是有必要。
校园网中的防火墙与普通防火墙有些不同,它不但要防止外来黑客的攻击,还要防止内部员工的恶作剧和限制员工访问非法站点。
防火墙不进行设置,是无法抵御黑客的攻击。
4.2选用内部网络管理工具
二、INTRAVIEW(内网监控)标准版:
InTraView(内网监控)软件是一款企业级的内网监控管理系统。
用于监视计算机开机后的所有操作情况,能够全程管理和控制内网电脑的全部过程;需要在被监视电脑上安装控制软件,特别适合于需要内网监控管理的单位使用;主要功能有:
(一)实时操作日志
(1)实时详细地记录所有工作站的操作日志。
包括工作站上窗口标题的变换、程序的启动关闭、浏览的网址、收发的邮件标题、创建删除文件等。
(2)窗口标题变化时实时截图屏幕,并实时上传到服务器。
(二)屏幕快照、屏幕追踪、屏幕回放
(1)屏幕快照抓取员工计算机当前的工作屏幕;
(2)屏幕追踪能定时连续不断地追踪员工计算机的工作屏幕;屏幕截取的最短时间间隔为1秒;
(3)窗口切换,同时系统定时截取屏幕数据,可供日后的查询取证。
采用先进的数据压缩技术存储屏幕图像数据。
(三)应用程序使用记录、使用限制、使用统计
(1)详细记录各个应用程序的开启关闭的时间,运行时间,活动时间等信息;
(2)提供应用程序白名单和黑名单功能,方便地限制员工可以运行哪些程序,不能运行哪些程序;
(3)以图表的方式列出一定时间内员工使用应用程序的分析报告,精确地反应出员工工作态度。
(四)窗口变化记录
(1)详细记录员工计算机窗口变化情况,真实反应出工作情况。
(2)窗口变化时,自动记录屏幕数据,可以在屏幕回放时,清楚地了解员工对计算机的使用情况。
(五)文件及目录操作记录
(1)详细记录文件创建、重命名、删除的情况;
(2)详细记录文件夹(目录)创建、重命名、删除等情况。
(六)打印机操作记录
(1)记录员工的打印机使用情况,包括打印的文档名、页数、打印时间等。
(七)硬件使用限制
(1)限制使用USB设备、USB存储设备、光驱、软驱的使用。
(2)减少计算机受外界病毒的侵入,防止企业机密信息外泄。
(八)软硬件清单、变化记录
(1)远程列出员工计算机的软件和硬件清单;
(2)可以方便企业的计算机资产管理;
(3)可以方便企业了解员工计算机内安装软件的情况。
(九)MSN/MSNshell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/googletalk/淘宝旺旺/TM/QQ聊天记录监视
能够详细记录被监视电脑的"MSN/MSNshell/新浪UC/ICQ/AOL/SKYPE/E话通/YAHOO通/贸易通/googletalk/淘宝旺旺/TM/QQ聊天记录";能够导出、打印、查询。
下图可以看出此管理工具有着强大的管理功能:
在和该软件供应商联系后得知需花费4530元就可有为企业办公的100台机器安装上述的管理工具。
第五章服务器架构方案设计
5.1服务器安装什么样的操作系统?
考虑到系统的安全性决定选用微软的Server2003企业版作为服务器的操作系统,其自生有着强大的管理功能,和系统自带的服务能够满足企业所需求的服务。
5.2一个办公局域网该有的服务
5.2.1WEB服务
什么是WEB服务器?
Web服务器是指驻留于因特网上某种类型计算机的程序。
当Web浏览器(客户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。
服务器使用HTTP(超文本传输协议)进行信息交流,这就是人们常把它们称为HTTPD服务器的原因。
Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
WEB服务器也称为WWW(WORLDWIDEWEB)服务器,主要功能是提供网上信息浏览服务。
WWW采用的是客户/服务器结构,其作用是整理和储存各种WWW资源,并响应客户端软件的请求,把客户所需的资源传送到Windows2000(或Windows2003)、UNIX或Linux等平台上。
5.2.2FTP服务
FTP是FileTransferProtocol(文件传输协议)的缩写,用来在两台计算机之间互相传送文件。
相比于HTTP,FTP协议要复杂得多。
复杂的原因,是因为FTP协议要用到两个TCP连接,一个是命令链路,用来在FTP客户端与服务器之间传递命令;另一个是数据链路,用来上传或下载数据。
FTP服务器是互联网上提供FTP提供一定存储空间的计算机,它可以是专用服务器,也可以是个人计算机。
当它提供这项服务后,用户可以连接到服务器下载文件,也允许用户把自己的文件传输到FTP服务器当中。
FTP服务器可以以两种方式登录,一种是匿名登录,另一种是使用授权账号与密码登录。
1)一般匿名登录只能下载FTP服务器的文件,且传输速度相对要慢一些,当然,这需要在FTP服务器上进行设置,对这类用户,FTP需要加以限制,不宜开启过高的权限,在带宽方面也尽可有的小。
2)而需要授权账号与密码登录,他需要管理员将账号与密码告诉网友,管理员对这些账号进行设置,比如他们能访问到哪些资源,下载与上载速度等,同样管理员需要对此类账号进行限制,并尽可能的把权限调低,如没十分必要,一定不要赋予账号有管理员的权限
5.2.3流媒体服务
随着越来网络传输的带宽越来越大,许多的公司会有网络