前言:中文期刊网精心挑选了企业网络设计方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
企业网络设计方案范文1
[关键词]网络设计;网络层次;流量分析
中图分类号:TP393.02 文献标识码:A 文章编号:1009-914X(2015)45-0075-01
1 引言
网络飞速的发展,渗透了各行各业。在今天的时代大环境中,企业只有在技术上领先才能在竞争中拥有优势地位。电子商务、电子邮件、光纤宽带、局域网技术、等不断技术不断出现,除了现有的这些应用,一些新的应用方式也逐步出现。比如VOIP电话、远程视频会议等用于提高工作效率的方式。因此,作为企业来说,需要一个更加集成化一体化的网络解决方案,它不仅符合时代的潮流,而且能够有效地提高工作效率。
2 网络方案设计
本方案为某中小型企业的网络规划,主楼建筑共8层,地下一层,裙楼3层。建筑主楼的功能是办公楼,裙楼作为会堂使用。本系统的功能是为办公人员提供局域网使用以及实现办公楼的信息数据的共享和传输。
结合整个实际应用和发展要求,在进行网络系统改造设计时,主要应遵循以下原则:
1.高性能:网络要求具有数据、图像、语音等多媒体实时同步通讯能力。网络系统可以提供足够的网络带宽和多种类型的服务。
2.高可靠性:网络系统需要保证连续运行的工作时间以及足够有效的防火墙。同时,在核心层采用双机容灾设置,降低了由系统故障引起的停滞时间。可靠性还充分考虑网络系统的性价比,使整个网络具有一定的容错能力,减少单点故障。
3.标准化:所有网络设备都符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。
4.高可用度和冗余:系统的关键部件具有热插拔功能,可保证在部件的更换或增加时不影响网络正常运行。
5.易管理性:网络系统中的网络设备需要便于管理和后期的维护,并且在操作上不能太过复杂,当出现故障时,应能够及时的被发现和解除。
3 网络系统规划设计
目前网络系统拓扑结构有四种分析:
(一) 星型拓扑结构
(二) 总线拓扑结构
(三) 环型拓扑结构
(四) 树型拓扑结构
根据上表中各个网络结构特点的对比以及现实的需求,本项目中网络结构选择分层集中式网络结构或者星型分级网络结构。根据本系统的具体情况,可以采用三级星型网络结构。三级星型网络结构比较易于集中式的管理。因此,采用该种网络结构的网络系统更加便于平时的管理和后期的维护,用户端的网络设备由于故障停止运行并不会引起整个网络的瘫痪。然而,此种网络结构方式要求网络中心管理设备具有很高的可靠性,因为它决定了整个系统每个用户端的运行状况。
二级星型结构如下:
网络系统设计如下:
A. 主干网汇接各子网,形成中心交换;
B. 子网通过高速交换链路连接到主干网;
C. 实行全网范围的集中VLANs划分与管理;
D. 核心网络采用双机热备容灾方式;
E. 在网络中心进行集中控制和管理;
F. 桌面机连接到基层网段上,服务器、工作站连接到高层网络;
G. 流量划分层次,跨越基层网段的流量汇接到工作组子网,跨越工作组子网的流量汇接到主干;
H. 在完善的网络基础之上,系统提供基本的Internet服务。
本项目计算机网络总体上分为两个层次的结构:核心层,接入层。
核心层:核心层主要为网络系统提供一条高带宽、高容量、高可靠性的高速信息公路,为监控数据查看与存储提供高速的数据交换通路。该层由两台核心交换机互为热备构成,提供若干个千兆以太网络光纤端口以及第三层路由交换功能。
接入层:接入层提供了连接各信息点的汇集功能,通过本层将各信息点汇总连接到核心层,由核心层实现信息交换。接入层由各楼层的交换机构成,各楼层交换机与核心交换机之间以双千兆光纤连接,每一台接入交换机分别两台核心交换机,以保证网络链路的高可靠性。
4 结论
如今计算机网络的发展,网络化、智能化建筑的概念逐步成为人们选择办公场所和衡量居住环境是否方便的一个重要因素,
本论文设计主要是根据现今的企业发展,本文以网络工程设计与规划为题,阐述了如何规划与设计一个大中型网络的具体实现步骤,通过网络需求收集以及对网络层次、拓扑、地址、路由、安全等方面进行分析为最终的网络设计方案构建提供决策的依据。
参考文献
[1] 高飞、高平.计算机网络和网络安全基础.北京理工大学出版社,2002年版
[2] 许多顶.计算机网络技术与应用.中国财政经济出版社,2005年版
[3] 黎洪松.网络系统集成技术与其应用.科学出版社,1999年版
[4] 刘勇.计算机网络与互连技术.人民邮电出版社,2000年版
[5] 陈伟达.计算机网络原理和使用技术.上海教育出版社,1999年版
企业网络设计方案范文2
关键词 网络威胁;网络防御;网络安全;防火墙
中图分类号TP393 文献标识码A 文章编号 1674-6708(2010)31-0211-01
1 企业内部网络安全面临的主要威胁
一般来说,计算机网络系统的安全威胁主要来自以下几个方面:
1)计算机病毒的侵袭。计算机病毒侵入网络,对网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪;
2)黑客侵袭。黑客非法进入网络使用网络资源。例如通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;通过网络监听获取网上用户账号和密码;非法获取网上传输的数据等;
3)拒绝服务攻击。例如“邮件炸弹”,使用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪;
4)通用网关接口(CGI)漏洞。搜索引擎是通过CGI脚本执行的方式实现的,黑客可以修改这些CGI脚本以执行他们的非法任务;
5)恶意代码。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹等。
2 企业网络安全目标
1)建立一套完整可行的网络安全与管理策略,将内部网络、公开服务器网络和外网进行有效隔离;2)建立网站各主机和服务器的安全保护措施,保证系统安全;3)对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;4)加强合法用户的访问认证,同时将用户的访问权限控制在最低限度,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为;5)加强对各种访问的审计工作,详细记录对网络、公开服务器的访问行为,形成完整的系统日志备份与灾难恢复;6)提高系统全体人员的网络安全意识和防范技术。
3 安全方案设计原则
对企业局域网网络安全方案设计、规划时,应遵循以下原则:
1)综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
2)需求、风险、代价平衡的原则:对任一网络,绝对安全难以达到,也不一定必要。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略,是比较经济的方法。
3)一致性原则:网络安全问题贯穿整个网络的生命周期,因此制定的安全体系结构必须与网络的安全需求相一致。在网络建设开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,要有效得多。
4)易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
5)分步实施原则:由于网络规模的扩展及应用的增加。一劳永逸地解决网络安全问题是不现实的,费用支出也较大。因此可以分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
6)多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。因此需要建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它保护仍可保护信息安全。
4 主要防范措施
1)依据《互联网信息服务管理办法》、《互联网站从事登载新闻业务管理暂行规定》和《中国互联网络域名注册暂行管理办法》建立健全各种安全机制和安全制度,加强网络安全教育和培训。
2)网络病毒的防范。作为企业应用网络,同时需要基于服务器操作系统平台、桌面操作系统、网关和邮件服务器平台的防病毒软件。所以最好使用全方位的防病毒产品,通过全方位、多层次的防病毒系统的配置,使网络免受病毒的侵袭。
3)配置防火墙。防火墙是一种行之有效且应用广泛的网络安全机制。利用防火墙执行一种访问控制尺度,将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,同时防止Internet上的不安全因素蔓延到局域网内部。
4)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,用于检测计算机网络中违反安全策略行为。利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。最好采用混合入侵检测,同时采用基于网络和基于主机的入侵检测系统,构架成一套完整立体的主动防御体系。
5)漏洞扫描系统。解决网络安全问题,要清楚网络中存在哪些安全隐患、脆弱点。仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估显然是不现实的。能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具是较好的解决方案,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6)IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
7)利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
企业网络设计方案范文3
关键词:企业组网;网络设计需求;网络架构分析
中图分类号:TN948.11 文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
一、网络设计需求分析
(一)总体需求分析
企业网络的总体需求即是一个统一、可靠和安全的自动化办公硬件平台系统。这个企业网络系统必须满足如下几点:满足现代企业管理的统一,设计网络系统时增加对统一管理的要求;满足现代企业自动化办公对网络带宽的苛刻需求,提供高性能的网络处理能力;满足现代企业部门多,资源分配有限的现状,合理规划网络层次,实现最优的资源共享;满足现代企业的发展及科技进步的需要,提供拓展能力强、升级灵活的网络环境;满足现代企业对信息资源的共享与安全,提供完善的网络安全解决方案;满足现代企业对办公效率及成本控制的需求,增加一套高效的网络应用解决方案。
(二)具体需求分析
1.基本架构的需求
针对大中型企业网设计,网络结构采用典型的三层网络结构,并使用VLAN技术来对网段进行划分管理;考虑到未来网络的发展,使用当今流行的千兆以太网技术,实现千兆核心、百兆接入;核心网络设备的冗余备份,实现公司内部的无间断运作;组建WLAN(无线局域网)区域,由于无线只用于较少的场合,这里选用无线AP+交换机(有线)的组合,实现简单、经济的无线网络解决方案。
2.网络出口和接入
租用电信固定IP,申请高速的宽带网络,能通过Internet向外公布和企业信息,并能实施VPN(虚拟专用网络)方案;使用PAT(端口地址转换)和端口映射,在满足内网连接Internet的同时能够让外网正确访问公共服务器。
3.网络安全的需求
采用访问控制措施对内网对外网、内网对DMZ(非军事区)、外网对DMZ的防火墙设置,阻止恶意流量的侵入;启用VPN解决方案,在最经济的条件下实现安全的异地信息共享,并能实现移动办公;因内网使用DHCP(动态主机配置协议)解决方案,启用DHCP过滤、动态ARP(地址解析协议)检测等手段对内网安全进行巩固;对非员工区域以及无线网络接入启用802.1x+radius服务器验证方案;公司内部计算机安装防病毒软件来实施全网的病毒安全防护。
4.硬件安全的需求
网络中心机房规格应符合相关管理标准,机房建设的好坏直接关系到机房内计算机系统是否能稳定可靠地运行;配置高质量电源,设置良好的接地系统,并且安装UPS(不间断电源)装置;做好网络监控与安全措施,防止非授权人员直接进入机房实施入侵。
5.服务器选择需求
由于网络产品的性能、质量和功能与其价钱成正比,因而在一些关键器的选择上,如数据库服务器、Web/Mail服务器等负荷较重的业务上应该选择性能较强的产品,而一些工作负载较少的应用,如DHCP服务器、DNS服务器等,可选择配置较好的普通PC来承担。
6.网络的安全教育
建立一套完整的网络管理规定和网络使用方法,并要求网络管理员和网络使用人员必须严格遵守;加强对网络管理员和网络使用人员的培训;制定合适的网络安全策略,让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具,从而自觉地维护网络的安全。
二、网络总体设计方案
(一)网络结构设计
企业网络,在本设计中也可在本设计中也可以称为园区网,园区网是非常典型的综合型网络实例,园区网通常是指大学的校园网及企业的内部网(intrfaceernet)。园区网分为3个部分,分别是交换网络,路由网络和远程登陆网络,主要的中心部分是交换网络部分。
1.主干结构设计
本设计将网络结构分为三层:接入层、汇聚层和核心层。使用三层网络结构适合大中型企业的实际规模;二是这能提高网络对突发事故的自动容错能力,减少网络故障排错的难度和时间;三是采用此网络分层有利于企业将来更灵活地对企业网升级扩大。
2.楼层局域网设计
接入层采用支持802.1Q的10/100Mbps工作组以太网交换机,交换机的数据依据用户端口数、可靠性及网管要求配置网络接入交换机,使10/100Mbps流量接至桌面。
3.互联网接入设计
互联网接入由位于网络中心的DMZ交换机、WWW服务、E-mail服务、防火墙、路由器、Intrfaceernet光纤接入组成。向电信申请一个固定IP,提供外网服务器的访问服务。
4.VLAN设计
通过VLAN将相同业务的用户划分在一个逻辑子网内,各工作组交换机采用基于端口的VLAN划分策略,划分出多个不同的VLAN组,分隔广播域。同样在千兆/百兆以太网上联端口上设置802.1Q协议,设置通信干道(Truck),将每个VLAN的数据流量添加标记,转发到主干交换机上实现网络多层交换。
5.VPN设计
通过Intrfaceernet采用VPN数据加密技术,构成企业内部虚拟专用网,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(二)网络拓扑设计
本设计中用的到的设备采用Cisco公司的网络设备构建。全部网络设备使用同一厂商设备的主要原因是在于可以实现各种不同网络设备功能的兼容以及互相配合和补充。设计的网络拓扑设计图如图3.1所示。
图2.1 网络拓扑设计图
在图2.1的拓扑中,接入层选用较廉价的二层交换机,如Catalyst 2960等;汇聚层选用中性能三层交换机,如Catalyst 3560;核心层选用性能更加强大的三层核心交换机,如Catalyst 4500系列,甚至Catalyst 6500系列。防火墙则选用ASA 5500系列,网关路由器则选用3600系列路由器(由于仿真软件的设计问题,实验设计中未必能选用到一模一样的网络设备,但由于设计和功能上的设计,在实验环境下并没有太大差别,只有在实际环境下,对性能的考验才有较明显的差异)。
(三)VLAN与IP地址规划
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网” 通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。一个合适的园区网,就需要一个合理的交换机网络,本设计中应用VLAN划分不同区域。每个VLAN分配IP网段的网络位均为24位,每个网段都会保留前10个地址,用作网关、管理以及部门服务器等用途,主机位(二进制)为全0或全1的地址不分配,即每个分配到PC用的地址将有244个。
(四)模块设计与仿真
结合网络拓扑设计,本企业网设计方案可以分为以下四大部分构成:
交换模块
广域网接入模块
远程接入模块
安全加固模块。
交换模块由Cisco Packet Tracer进行模拟仿真,广域网接入摸快、远程接入模块和安全模块使用GNS3、DynamipsGUI进行模拟仿真(由于模拟实验与真实平台有一定差异,一些命令配置并不能完全在模拟环境下实现)。
小结:
本文主要是以实际企业组网的前期网络规划阶段为研究对象,主要是以确定需求、网络架构为主。实际组网的工程比较巨大,考虑的因素也比较多,是无法仅仅用书上的知识体系去完成的。本人将在日后的学习工作中不断深入这方面的研究。
参考文献:
[1]田果,刘丹宁(译).Yusuf Bhaiji.网络安全技术与解决方案(修订版)[M].北京.人民邮电出版社,2010
[2]罗进文,谭筠梅,饶俊,张媛(译).David Hucaby.Cisco ASA、PIX与FWSM防火墙手册(第二版)[M].北京:人民邮电出版社,2010
企业网络设计方案范文4
现在,这种能与消费者充分互动的网络营销平台正在成为红星美凯龙、凤凰名优建材城、欧凯龙、好易家等建材家居卖场争相看好、重点培育的“香饽饽”,成为除传统销售渠道之外的又一强势渠道。
现象
网络营销渠道成为新宠
家居市场在经历了多年的繁华后,开始逐渐降温,消费者观望情绪渐浓,销售不再高歌猛进,建材家居流通业充满了挑战和变数。谁创新、提升得及时,谁就有机会成为行业竞争的领跑者。
具体到网络营销渠道的创新和突破方面,有一个现象值得大家关注,那就是:无论是全国连锁企业,还是各地的本土企业,大家的起点相差并不大。
一些建材商场相关负责人表示,目前,大家都很看好网络营销,都在加大这方面的投入,今后就看谁能把它做好,能把网络营销从一个概念、一个口号,真正发展成为助力企业发展的重要的营销渠道。
记者了解到,目前各大建材家居商场都已建起了自己的品牌网站。至于怎样把传统观念中用于信息的企业网站,变成与读者充分互动、具有营销能力的营销渠道?各家给出的答案并不相同。
红星美凯龙全球家居生活广场企划部网络运营专员透露,目前商场不但每年举行4-5次整体性的网络团购,还正在计划首推一种虚拟的整体家装服务,消费者可以到红星美凯龙按照虚拟设计,将真实的产品统统买回家,从而构建出一个真实的家。
一些在地方颇具规模的建材城也在加大资金投入,建立自己的网络运营队伍,将企业网站与网络营销的概念彻底区分开来。他们不但成立专门宣传企业文化、公布内部信息的企业网站,还专门成立发挥营销渠道作用的专业网站。
优点
为家居零售带来转机
家居网络营销的盛行,除受市场竞争加剧、商家急于突破的因素影响外,更深层次的原因是消费者的消费观念和方式正在发生转变。目前,“80、90后”正逐渐成为消费主力军,他们喜欢通过网络这种足不出户就能购物的方式,因此,网络营销将成为年轻人最爱的购物方式。
由全美零售商联合会下属的网站最近公布的一项调查显示,“虽然全球经济形势严峻,但是大部分家居零售商都相信网络销售体系能为他们的销售带来转机”。
就在前两年,一些强势企业已开始注意到网络营销,当时网站更多的是起着推广企业知名度的作用。但现在市场不同了,很多企业已真正注重挖掘网络营销带来的实质性价值,期望用更少的投入得到更好的回报。
缺点
网络营销服务有待完善
网络营销的前景虽被看好,但也需要规避发展中的误区与弊端。直面其中的优与劣,不少业内人士直言不讳。
相比北京、上海、广州、天津等一线城市,一些中小城市的网络营销优势还没有得到明显的发挥,消费者的网上消费习惯也有待培养。
企业网络设计方案范文5
关键词:企业网络;网络安全;园区网络;边界网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)09-2097-02
Design of Enterprise Network Security Architecture
XU Shan-mei
(Huanggang Municipla Bureau of Radio and Television, Huanggang 438000, China)
Abstract: In the e-government and e-business applications today, the rapid development of information security issues become increasingly acute. In this paper, from a technical point of view the factors described how to secure network architecture design. With the actual situation of enterprise networks, using modular design concept, the corporate network is divided into two parts: the enterprise campus networks and enterprise perimeter network, analysis of the key technologies.
Key words: enterprise network; network security; campus network; perimeter network
网络是整个企业信息资源的基础,也是整个安全体系的基础。什么样的网络结构决定了我们应采用什么样方法来进行安全设计,安全的网络结构设计和相关技术手段的应用是整个安全体系建设的重要部分[1-2]。本人在总结企业网络和应用特点的基础上,引入模块化设计的方法,将企业的网络划分为企业园区网络和企业边界网络两个部分。其中园区网络又分为核心模块、分布层模块、接入层模块、服务器模块、分布边界模块;边界网络分为公司互联网模块、VPN 和远程接入模块、电子商务模块和广域网模块。针对每个网络模块,着重分析了具体的信息流情况,给出了如何进行安全的网络结构设计、如何有针对性地在各个网络设备以及安全设备上采取安全措施的方法,并且阐述了整个结构模型针对前面提出的各种攻击手段的缓解作用。之后针对整个设计方案,结合实际应用,列举了一些企业在设计自身网络安全时可所采用的变动方法。应该说给出了一套详细、具体、可操作性强的安全的网络结构设计方案。
1 企业网络模块化构成
随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。
我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能[3]。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。
2 企业园区网安全设计
这里的企业园区网可以看成是企业的内部网络,包括核心网络、分布层网络、接入层网络、服务器网络和边界分布网络五个模块。下面将从每个模块入手,着重分析每个网络模块的安全设计和安全措施。
2.1 核心网络模块安全
这里的核心网络模块和其他任何网络体系结构中的核心模块一样。它主要是将信息流尽可能快速的从一个网络传送和交换至另一个网络。
设计说明:核心网络设备建议采用性能较高的第三层交换设备,并采用冗余热备份的结构,以保证核心网络的可靠性和稳定性。
主要设备:第三层交换-将生产网络数据从一个模块传送和交换至另一个模块;所缓解的威胁:分组窃听-使用限制窃听有效性的交换基础设施。
2.2 分布层网络模块安全
分布层网络模块设计的目标是向接入层交换机提供路由、服务质量(Qos)和访问控制等分布层服务。数据请求从这些交换机传至核心,响应则以相反途径进行。
设计说明:除了标准网络设计基础外,也应对交换机的配置实施优化,以便增加企业用户的安全性。入侵检测不在该模块中实施,它在包含最可能因其内容而遭攻击的资源(服务器、远程接入、互联网等)的模块中实施。分布层模块是针对内部发起攻击的第一道防御。通过使用访问控制,它可以减少一个部门访问另一部门服务器上保密信息的机会。
主要设备:第三层交换机-集中接入层网络中的第2 层交换机并提供高级服务;所缓解的威胁:未授权访问-针对服务器模块资源的攻击受到特定子网第3层过滤的限制;IP电子欺骗-RFC 2827过滤中止了大多数电子欺骗企图;分组窃听-限制了窃听有效性的交换基础设施。
2.3 接入层网络模块安全
接入层网络主要包括最终用户工作站、IP电话及其相关的第2层接入的网络设备。其主要目的是向最终用户提供服务。
设计说明:因为用户设备一般来说是网络中最大规模的元素,从安全角度来说,接入层网络提供了主要的访问控制功能。
主要设备:第2层交换机――向电话和用户客户端提供第2层服务;用户客户端-向网络上的授权用户提供数据服务;IP电话-向网络上的用户提供IP电话服务。
所缓解的威胁:分组窃听使用交换基础设施和缺省VLAN服务限制窃听的有效性;病毒和木马应用-基于客户端的病毒搜索可预防大多数病毒及多数木马。
2.4 服务器网络模块安全
服务器模块的主要目标是向最终用户和设备提供应用服务。服务器网络上的信息流由第3 层交换机中的主机入侵检测进行检查。
设计说明:服务器网络通常会成为内部攻击的主要目标,因此仅依靠有效口令不能提供全面的攻击保护。使用基于主机和网络的IDS、专用VLAN、访问控制以及及时的系统更新(保持病毒库以及最新补丁同步),可以实现对攻击的全面响应。在这里NIDS既可以采用三层交换机上自带的IDS功能模块,也可以采用另外购置NIDS产品,通过交换机端口镜像的方法进行监控。
主要设备:第3层交换机-向服务器提供第3层服务器并用NIDS检查通过服务器网络的数据;公司和部门服务器-为整个系统提供各种应用服务;内部邮件服务器-提供smtp和pop3服务。
所缓解的威胁:未授权访问-通过使用基于主机的IDS和访问控制缓解;应用层攻击-操作系统、设备和应用与最新安全版本保持同步,而且由基于主机的IDS保护;IP电子欺骗-使用防止源地址电子欺骗的RFC 2827;分组窃听-交换基础设施限制窃听的有效性;信任关系利用-专用VLAN防止同一子网上的主机进行通信;端口重定向-基于主机的IDS可防止安装端口重定向。
2.5 边界分布网络模块安全
此模块的目的是在边界集中来自外部各元素的连接,比如广域网联接、VPN连接等。信息流从边界网络的过滤和路由送到核心网络。
设计说明:边界分布模块在整体功能方面与分布层网络模块有些类似。这两个模块都采用接入控制来过滤信息流,均使用第3层交换机来获得高性能,但边界分布模块可添加附加安全功能,其为从边界网络模块发送到园区网络模块的所有信息流提供了最后一道防线,这可以减少电子欺骗分组、错误路由升级和对网络层访问控制的配置。
主要设备:第3层交换机-集中边界连接,并提供高级服务。
所缓解的威胁:未授权接入-过滤具体控制了对特定边缘子网及园区内网的访问;IP电子欺骗-RFC 2827过滤限制了本地发起的电子欺骗攻击;网络侦察-过滤可以限制不重要的流量进入园区网,从而限制黑客对网络进行侦察的能力; 分组窃听-交换基础设施限制窃听的有效性。
3 企业边界网络安全设计
企业边界网络是介于企业内部网络和外部网络(互联网、其他单位网络、ISP等),两个不同安全等级网络区域之间的网络,是安全防范的重点部分。目前企业的发展很大程度上依赖互联网的信息和应用,而外部网络的种种安全隐患也会威胁到各个企业内部的信息安全。因此如何做好这部分网络的安全设计,做好信息安全与应用的平衡,是我们设计的重点。各个企业的外部网络可能各有不同,我们在这里把它们归结为四类,包括公司互联网模块、VPN 及远程接入模块、电子商务模块、广域网模块。
3.1 公司互联网模块安全
公司互联网模块为内部用户提供了到互联网服务的连接并使互联网用户能够访问公共服务器上的信息。信息也可以从此模块流向VPN接入模块。
此网络模块的核心是防火墙,它为互联网公共服务和内部用户提供安全保护。状态检查会检查所有方向的信息流,从而确保只有合法信息流穿过防火墙。模块中的其他部分也围绕安全性和缓解攻击进行。从ISP的客户边缘路由器开始,ISP的出口对超过预定门限的非重要信息进行速率限制,从而缓解(D)DoS攻击。同样在ISP路由器的出口,RFC1918和2827过滤可缓解本地网络和专用地址范围的源地址电子欺骗。在企业网络的第一个路由器入口,基本过滤会根据预期信息流(IP和地址服务)来限制信息流,并对大多数基本攻击提供了过滤器。此处也提供RFC1918和2827过滤,作为对ISP过滤的验证。
3.2 VPN 和远程接入模块安全
这个网络模块的功能是为三种独立的外部用户提供验证和连接,分别为远程接入VPN、拨号接入用户、点到点VPN。远程接入VPN是指VPN信息流从公司互联网模块的接入路由器发送到属于VPN服务一部分的特定IP地址和协议,可采用多种不同隧道和安全协议(如IPSec、PPTP、L2TP)。拨号接入是为传统的拨号用户提供接入路由器服务,通过CHAP、AAA、OTP的方式进行验证。点到点VPN是指站点间的IP信息流通过有安全有效负载(ESP)保护的GRE隧道传输。
来自三种服务的信息流在由路由器送到边界分布模块前,被防火墙集中到一个专用接口上。该防火墙必须配置适当类型的限制型访问控制,从而只允许每种服务中的适当信息流通往防火墙的内部接口。一个NIDS应用位于模块的公共边,检测对VPN 接入设备的网络“侦察”活动。第二个NIDS位于防火墙之后,可发现穿过模块其余部分的攻击。
3.3 电子商务模块安全
电子商务模块是企业与外界网络进行数据交换,提供相关应用和信息服务的网络。这里的外界网络可以是Internet,也可以是其他企事业的内部网络。这一部分的设计,要在接入和安全两方面必须有所平衡。
该模块的核心是为Web、应用和数据库服务提供两对防火墙。部分附加的保护由ISP 边界路由器提供。服务器本身也必须全面保护-安装主机IDS 软件。
3.4 广域网模块
这部分网络主要是负责中心站点与远程站点之间信息流传输。对信息保密性非常关心的部分机构可在其广域网链路上对高度机密的信息路加密;在接入路由器上进行访问控制和策略路由等。
4 结束语
该文主要从技术因素的角度阐述了如何进行安全的网络结构设计。结合企业网络的实际情况,采用模块化的设计理念,把企业网络分成两个部分:企业园区网络和企业边界网络,具体又可分为核心网络、分布层网络、接入层网络、边界分布网络、广域网等多个功能模块。同时从各个网络模块主要实现的功能出发,详细分析如何选择合理的网络设备和安全设备、如何进行安全策略的配置,消除的各个部分安全威胁。
参考文献:
[1] 高虹,王志国.企业网络安全问题分析及应对措施[J].科技信息,2008(23).
企业网络设计方案范文6
1.1项目情景
思捷公司是集研发、生产、销售于一体的一个电器公司,总公司位于中关村,随着公司业务的开展,公司在丰台区建立了研发生产中心,包括研发楼一栋,生产厂房两座。公司招标网络项目。要求在研发生产中心的研发楼建立网络中心,达到全网互通,研发生产中心要搭建自己的服务器,在研发成果保密的情况下与总公司连接。本课程围绕思捷公司网络组建项目从规划设计、到布线与实施,直至最后的服务与管理展开,以培养职业能力为重点,针对岗位需求,有效地组织教学内容,按照工作过程设计教学各个环节,通过学习情境设计与工作任务的训练,全方位培养学生能力。
1.2能力目标
通过完成网络规划与设计项目,学生能够运用中小企业网络工程设计的方法与原理,了解用户需求分析,能够正确设计网络拓扑结构,熟练划分子网,书写简单的网络工程设计方案;学生能运用综合布线系统的技术规范,进行综合布线,并能够使用测线设备进行网络线路的测试。通过完成办公室网络组建与管理项目,学生能够按照T568A/B标准,制作非屏蔽双绞线;能够正确配置Windows的TCP/IP协议;能够按照办公室网络的实际需求,设计规划Windows域网络,正确安装AD服务器,将成员计算机加入到域并实现域用户的基本管理;能够使用普通二层交换机连接网络,使用Windows工作组,实现办公室网络的资源共享。通过完成网络组建与管理项目,学生能够正确连接、使用可网管交互机、核心交换机、路由器等网络设备;能够按照中小企业的实际需要,运用Vlan、Trunk、静态路由、动态路由、单臂路由、NAT、ACL等技术概念,根据网络拓扑设计与规划,组建、配置、管理企业内部网络;运用企业核心网络的构架及Internet接入的相关技术,能够将企业网络在可控状态下连接到Internet。通过完成网络服务与管理项目,学生能运用Internet信息服务、文件服务、动态主机控制协议、域名服务等技术概念,能够在Windows下正确配置IIS服务器、FTP服务器、DHCP服务器、DNS服务器。通过完成无线局域网项目,学生能够运用WLAN的相关技术标准,按照中小企业的实际需要,完成无线网络与有线网络的无缝连接,组建办公室、会议室类型的无线局域网;能够利用AP的WDS模式,组建无线干线,实现对大面积、多AP的企业WLAN组建与管理。通过完成网络安全项目,能正确配置、使用Windows自带的防火墙、病毒防火墙、硬件防火墙等软硬件防火墙;能够按照中小企业实际需求,根据网络拓扑设计与规划,对企业内部网络进行网络访问控制。
1.3知识目标
掌握中小型企业网络工程设计的方法与原理;了解用户需求分析;了解常用网络硬件设备的功能;了解综合布线系统的优点及技术规范;掌握T568A/B标准、TCP/IP协议、普通二层交换机的功能应用、网络资源共享;理解Windows工作组与域对网络共享资源管理的基本原理,了解Windows域的架构及域用户管理;掌握可网管交换机、核心交换机、路由器等网络设备的基本功能应用及其IOS配置;理解VLAN、TRUNK、静态路由、动态路由、单臂路由、NAT、ACL等技术概念及其应用实现;了解企业核心网络的架构及Internet接入的相关技术与方式;掌握WindowsIIS、FTP、DHCP、DNS服务器的基本功能配置;理解Internet信息服务、文件服务、动态主机控制协议、域名服务等技术概念;掌握无线网卡、无线路由器、无线AP的基本功能应用及其配置;理解WLAN的点对点、基础结构、多AP、无线网桥、无线中继器和APClient客户端五种构建模式及其应用的实现;了解Wlan的相关标准;掌握Cisco、Netgear、SonicWall等品牌硬件防火墙的设置;了解企业内部网络对Internet访问及外部网络通过VPN方式访问企业内部网络的相关技术与方式。
1.4素质目标
能够认真阅读用户职责说明书,能够积极地参与和跟进项目,使学生能够形成职业认同感。通过与客户沟通,并不断参照用户需求进行工作调整,通过定期项目汇报,能够锻炼学生的表达交流能力,并能够使学生形成对用户负责的工作态度。通过在绘制拓扑图时进行地址、端口、协议详细标注,提高拓扑图的阅读性;通过分组完成任务,不同学生担任不同任务分工,能够培养学生的团队合作能力。根据用户需求和任务要求进行方案制定和实施,编写方案设计书;在连接网络设备时,用特定的电缆;配置过程中要边配置边测试;配置完成后有测试报告,能够使学生养成严谨的工作习惯。通过网络规划设计;通过配置过程中的排错,培养学生的独立思考、分析问题、解决问题的能力。通过项目的推进、按时交付作品、项目阶段汇报与点评,培养学生的时间观念,锻炼学生的抗压能力。
2课程内容设计
本课程内容分两个项目,课内项目思捷公司网络组件项目和课外项目校园网改造同时进行,课内项目分为网络规划与设计、办公室网络组建与管理、网络组建与管理、网络服务与管理、无线局域网、网络安全六个项目。课外项目因为是校园网络改造和课内项目稍有不同。
3考核方案
