Ⅰ 中小企業如何進行網路信息安全建設(1)
網路是企業信息化的基石,而網路信息安全則成為網路運用的障礙。企業對網路的利用率低,不僅僅是網路帶寬的問題,更多的是考慮到網路安全的問題。因為害怕在網路上會出現這樣或那樣的問題,而不願或不敢在網路上運行可以信息化的業務系統,而繼續使用傳統的或手工的方式來完成繁重的業務工作。
對於網路信息安全有兩個普遍的觀點:其一是「三分技術,七分管理」,說的是網路信息安全主要靠管理手段來保障,技術對網路信息安全的貢獻只佔三成;其二是「木桶原理」,說的是網路信息安全由一些基本的安全因素構成,這些安全因素中最脆弱的哪一部分將成為網路信息安全的最大威脅。
中小企業建設網路信息安全的內容
網路信息安全的實質是:保障系統中的人、設備、設施、軟體、數據以及各種供給品等要素避免各種偶然的或人為的破壞或攻擊,使它們能正常發揮作用,保障系統能夠安全可靠地工作。
網路信息安全大體上可以分為:物理安全問題、方案設計的缺陷、系統的安全漏洞、TCP/IP協議的安全和人的因素等幾個方面。
對網路信息常採用的攻擊手段有:竊取機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰等幾大類。
針對中小企業網路信息安全建設,主要包括以下幾個內容:
(1)物理安全:主要包括機房和配線間的條件、自然災害、人為破壞、信息入侵等,進一步可以分為如下一些方面:
◆ 機房和配線間的電源、接地、防雷、防潮、防盜、防火、防塵、防鼠、溫度調節、通風條件、強電流干擾等。
◆ 地震、火災、洪水、台風等。
◆ 人為誤操作、有意破壞信息系統或通信線路或設備、恐怖活動、戰爭等。
◆ 線路搭聽、從網路入口處侵入網路等。
(2)計算機硬體和軟體的資產安全:主要包括計算機硬體不被替換或者移走,所使用的計算機軟體是否存在版權問題,是否使用了不允許使用的軟體等。
(3)網路體系結構安全:主要包括如下一些內容:
◆ 相對獨立的區域網的拓撲結構不存在環路。
◆ 通信線路通信性能上不存在瓶頸。
◆ 通信線路某一部分故障影響的范圍盡可能小。
◆ 通信網路設備故障影響的范圍盡可能小。
Ⅱ 中小型企業網路組建設計方案(畢業設計論文)
方案一WindowsNT ( Windows 2000 server ) + Proxy + Exchange+WinRoute(或Checkpoint)
上述軟體組合能夠實現和TL-100互聯網功能伺服器網路解決方案相同的包過濾防火牆、郵件伺服器、Web瀏覽代理、Ftp服務代理等功能。但是由於WindowsNT(或Windows2000 server)對於計算機硬體要求比較高,正版軟體的價格也比較高,更為重要的是:從技術上來說,上面的方案需要固定的IP地址,這意味著企業每時每刻還需繳納一筆額外的費用。另外,上述軟體還需要專業的系統管理員來維護。(微軟的產品有無數的補丁需要你「補上」)
上面的解決方案明顯的不太符合目前國內中小企業對於信息化的「性能價格比」要求和維護成本要求。
方案二Windows98(WindowsNT)+Wingate
這種方案能夠實現Web代理和數據包過濾的部分功能,另外,新版本的Wingate還提供網路地址轉化功能(NAT)功能和防火牆功能。這個方案的缺點是:系統硬體要求比較高(如果你系統整個系統運行穩定),應用軟體和操作系統軟體整體成本太高。安全的規則需要專業人士的配置。沒有很好的解決企業電子郵件系統的使用需求。另外,部分「高級」功能的實現需要安裝「客戶端軟體」。加重了網路系統的維護負擔。
方案三Windows98(WindowsNT) + dns2go
這種方案,在Windows操作系統上安裝相應的客戶端軟體,和dns2go站點的DNS伺服器協調工作,達到動態域名解析的目的。這種方案能夠完成中小企業一站式INTRANET/INTERNET解決方案中從TL-100互聯網功能伺服器到互連網之間的DNS通訊問題,但這種方案對於用戶的域名只能在dns2go.net下選擇。如果將自己企業的域名轉到dns2go上的域名伺服器授權解析的工作,dns2go的域名伺服器也只做域名解析的工作,不提供其它和域名相關的服務(如電子郵件伺服器不在線的郵件接收問題)。另外,這種方案的運行穩定性在通訊線路不佳,造成用戶的機器頻繁撥號連接ISP而造成的IP地址變動的情況發生時,用戶域的主機域名紀錄的頻繁變動。但是這些變動數據和在互聯網上其它DNS伺服器緩存中的數據不會隨時同,這種情況會造成WEB和E-Mail等需要固定IP的互聯網服務無法正常提供服務。(例如:在域名和IP地址變動時,可能造成互聯網上用戶向本域E-mail投遞失敗,或將E-mail投遞到其它恰巧使用相同解決方案且恰巧有SMTP伺服器上)
對比項目中小企業一站式INTRANET解決方案費用傳統的接入方案費用計算機硬體平台穩定的工業級硬體平台無需購硬體平台10,000元左右操作系統基於Linux無基於Windows Windows2000 Server(10用戶) 12,270元代理服務功能HTTP,FTP,TELNET 無需購專業軟體MS Proxy Server12,784元郵件服務功能企業域名郵箱(用戶數量不限,郵箱容量不限)無需購專業軟體Exchange(25用戶) 24,807元WEB功能提供100Mweb空間無需租用web空間1,000元/年防火牆功能有無需購專業軟體CHECKPOINT 30,000元 方案價格性價比高18700元實現同樣的功能價格幾倍於前者90,861元服務及管理WEB,MAIL服務,網路安全管理,根據要求提供網路安全狀況日制,上網瀏覽日制,郵件日制,企業無須專業人員維護2800元/年需專業人員操作維護30,000元/年(專業人員工資)
中小型/成長型企業商業網站(INTERNET)解決方案
上海天傲科技本著「一站式解決」的理念,向中小型/成長型企業提供完整的域名服務,主機服務,企業郵件,網頁製作,資料庫部署等全系列服務。
網站建設步驟
將您的主頁製作資料(包括文字、圖片等)郵寄給我們,並列出大概的要求即可。
選擇我們提供的企業網站建設方案,或根據您的要求定製。
我們根據您的要求核算主頁總數及金額,並交納預付款(為總金額的50%)。
收到預付款後,我公司將開始製作主頁。
主頁全部完成後,將上傳到我公司的伺服器上請您確認,並根據您的意見進行三次小的修改。
如果您認為製作的主頁已經達到您的要求,請將剩餘款項匯至我公司帳戶,並將匯款憑證傳真至我公司。
在收到確認傳真和匯款憑證後,我們將您的主頁上傳到我公司提供的虛擬主機上。
虛擬主機方案虛擬主機是使用特殊的軟硬體技術,把一台運行在網際網路上的伺服器主機分成一台台「虛擬」的主機,每一台虛擬主機都具有獨立的域名,具有完整的Internet伺服器(WWW、FTP、Email等)功能,虛擬主機之間完全獨立,並可由用戶自行管理,在外界看來,每一台虛擬主機和一台獨立的主機完全一樣。上海天傲科技的一站式解決方案為中小型/成長型企業提供優質的網路環境和伺服器,並由高級網管負責監控。你可以選擇如下的三個方案之一或者直接和我們聯系進行定製服務。
A型虛擬主機150M B型虛擬主機200M C型虛擬主機500M
主機空間/功能·獨立Web空間150MB·操作系統:UNIX / Windows2000·支持ASP,Perl,PHP ·FTP管理·支持資料庫功能另外收費·ACCESS資料庫·MS SQL資料庫·MY SQL資料庫·獨立Web空間200MB·操作系統:UNIX / Windows2000·支持ASP,Perl,PHP·FTP管理·支持資料庫功能另外收費·ACCESS資料庫·MS SQL資料庫·MY SQL資料庫·獨立Web空間500MB·操作系統:UNIX / Windows2000 ·支持ASP,Perl,PHP·FTP管理·支持資料庫功能·Windows2000系統:免費提供一個ODBC數據源·預裝50MB SQL SERVER資料庫空間·UNIX系統:免費提供50MB MYSQL資料庫空間
Email功能·10個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信·20個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信·50個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信
Ⅲ 急需一份中小型企業網路規劃方案設計書
既然你都能把這些條目列出來就肯定能寫出來了,公司的東西還是覺得自己寫的比較貼切,比較真實,因為只有自己才了解公司要什麼樣我設計方案?你列的上面那些條目很全了,只要展開寫或是分析方案的執行方法就可以了!!祝你好運
Ⅳ 你可以把那份校園網網路安全設計方案發給我嗎
成都信息工程學院
網路工程系
《安全系統整體解決方案設計》
課程設計報告
成績(總分):
網路現狀描述
(10分) 漏洞分析
(20分) 物理安全
(15分) 主機安全
(20分) 網路安全
(25分) 總結
(10分)
姓名: 熊懷剛
學號: 2004033031
班級: 信安(1)班
第一章 企業網路的現狀描述 3
1.1 企業網路的現狀描述 3
第二章 企業網路的漏洞分析 4
2.1 物理安全 4
2.2 主機安全 4
2.3外部安全 4
2.4內部安全 5
2.5內部網路之間、內外網路之間的連接安全 5
第三章 企業網路安全整體解決方案設計 5
3.1 企業網路的設計目標 5
3.2 企業網路的設計原則 6
3.3 物理安全解決方案 6
3.4 主機安全解決方案 7
3.5 網路安全解決方案 7
第四章 方案的驗證及調試 8
第五章 總結 9
參考資料 9
企業網路整體解決方案設計
第一章 企業網路的現狀描述
1.1 企業網路的現狀描述
網路拓撲圖
以Internet發展為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,以往一直保持獨立的大型機和中-高端開放式系統(Unix和NT)部分迅速融合成為一個異構企業部分。
以往安全系統的設計是採用被動防護模式,針對系統出現的各種情況採取相應的防護措施,當新的應用系統被採納以後、或者發現了新的系統漏洞,使系統在實際運行中遭受攻擊,系統管理員再根據情況採取相應的補救措施。這種以應用處理為核心的安全防護方案使系統管理人員忙於處理不同系統產生的各種故障。人力資源浪費很大,而且往往是在系統破壞造成以後才進行處理,防護效果不理想,也很難對網路的整體防護做出規劃和評估。
安全的漏洞往往存在於系統中最薄弱的環節,郵件系統、網關無一不直接威脅著企業網路的正常運行;中小企業需要防止網路系統遭到非法入侵、未經授權的存取或破壞可能造成的數據丟失、系統崩潰等問題,而這些都不是單一的防病毒軟體外加伺服器就能夠解決的。因此無論是網路安全的現狀,還是中小企業自身都向廣大安全廠商提出了更高的要求。
第二章 企業網路的漏洞分析
2.1 物理安全
網路的物理安全的風險是多種多樣的。
網路的物理安全主要是指地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提,在這個企業區區域網內,由於網路的物理跨度不大,只要制定健全的安全管理制度,做好備份,並且加強網路設備和機房的管理,防止非法進入計算機控制室和各種盜竊,破壞活動的發生,這些風險是可以避免的。
2.2 主機安全
對於中國來說,恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統,其開發廠商必然有其Back-Door。我們可以這樣講:沒有完全安全的操作系統。但是,我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制,提高系統的安全性。因此,不但要選用盡可能可靠的操作系統和硬體平台。而且,必須加強登錄過程的認證,特別是在到達伺服器主機之前的認證,確保用戶的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。
與日常生活當中一樣,企業主機也存在著各種各樣的安全問題。使用者的使用許可權不同,企業主機所付與的管理許可權也不一樣,同一台主機對不同的人有著不同的使用范圍。同時,企業主機也會受到來自病毒,黑客等的襲擊,企業主機對此也必須做好預防。在安裝應用程序的時候,還得注意它的合法許可權,以防止它所攜帶的一些無用的插件或者木馬病毒來影響主機的運行和正常工作,甚至盜取企業機密。
2.3外部安全
拒絕服務攻擊。值得注意的是,當前運行商受到的拒絕服務攻擊的威脅正在變得越來越緊迫。對拒絕服務攻擊的解決方案也越來越受到國際上先進電信提供商的關注。對大規模拒絕服務攻擊能夠阻止、減輕、躲避的能力是標志著一個電信企業可以向客戶承諾更為健壯、具有更高可用性的服務,也是真個企業的網路安全水平進入一個新境界的重要標志。
外部入侵。這里是通常所說的黑客威脅。從前面幾年時間的網路安全管理經驗和滲透測試結果來看,當前大多數電信網路設備和服務都存在著被入侵的痕跡,甚至各種後門。這些是對網路自主運行的控制權的巨大威脅,使得客戶在重要和關鍵應用場合沒有信心,損失業務,甚至造成災難性後果。
病毒。病毒時時刻刻威脅著整個互聯網。前段時間美國國防部和全年北京某部內部網遭受的大規模病毒爆發都使得整個內部辦公和業務癱瘓數個小時,而MS Blaster及Nimda和Code Red的爆發更是具有深遠的影響,促使人們不得不在網路的各個環節考慮對於各種病毒的檢測防治。對病毒的徹底防禦重要性毋庸置疑。
2.4內部安全
最新調查顯示,在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用,降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜,或者使得不法員工可以通過網路泄漏企業機密,從而導致企業數千萬美金的損失。
不滿的內部員工可能在WWW站點上開些小玩笑,甚至破壞。不論如何,他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工,可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工,這些員工比已經離開的員工能造成更大的損失,例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。
2.5內部網路之間、內外網路之間的連接安全
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作
第三章 企業網路安全整體解決方案設計
3.1 企業網路的設計目標
企業網路安全的設計目標與其他網路安全的設計目標一致,包括:保密性,完整性等面向數據的安全及可用性,可控性,可審查性等面向用戶的安全。面向用戶的安全即網路安全又包含:鑒別,授權,訪問控制,抗否認性和可服務性,以及在於內容的個人隱私,知識產權等的保護。企業網路的安全即指該網路系統的硬體,軟體及其系統中的數據的安全。網路信息的傳輸,存儲,處理和使用都要求處於安全的狀態。
保密性:指信息不泄露給非授權的個人,實體和過程,或供其使用的特性。
完整性:指信息未經授權不能被修改,不被破壞,不被插入,不延遲,不亂序和不丟失的特性。對網路信息安全進行攻擊其最終目的就是破壞信息的完整性。
可用性:指合法用戶訪問並能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息及相關資產。
可控性:指授權機構對信息的內容及傳播具有控制能力的特性,可以控制授權范圍內的信息流向以及方式。
可審查性:指在信息交流過程結束後,通信雙方不能抵賴曾經做出的行為,也不能否認曾經接收到對方的信息。
3.2 企業網路的設計原則
在對這個企業區域網網路系統安全方案設計、規劃時,應遵循以下原則:
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際 、額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施,實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。
3.3 物理安全解決方案
環境安全:對系統所在環境的安全保護,如區域保護和災難保護。
設備安全:主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
媒體安全:包括媒體數據的安全及媒體本身的安全。
3.4 主機安全解決方案
1.對主機用戶進行分組管理,根據不同的安全級別將用戶分為若乾等級,每一等級的用戶只能訪問與其等級相對應的系統資源和數據。其次應該考慮的是強有力的身份認證,確保用戶的密碼不會被他人所猜測到。
2.及時更新主機系統,防止因系統漏洞而遭到黑客或病毒的攻擊。
3.對於應用服務,我們應該只開放那些需要的服務,並隨時更新。而對於那些用不到的服務應該盡量關閉。
4.安裝並及時升級殺毒軟體以避免來自病毒的苦惱
5.安裝防火牆可以有效的防止黑客的攻擊
3.5 網路安全解決方案
在內部網路中,主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。這樣,就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路,在某些情況下,它的一些區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內,就可以限制局部網路安全問題對全局網路造成的影響。
將分散系統整合成一個異構網路系統,數據存儲系統整合成網路數據中心,通過存儲區域網的形式對系統的各種應用提供數據支持。隨著信息的訪問方式多樣化,信息的處理速度和信息的交換量都成倍數的增長。使整個信息系統對數據的依賴程度越來越高。採取以數據為核心,為數據訪問和數據處理採用整體防護解決方案也是系統必然的選擇。基於聯動聯防和網路集中管理、監控技術,將所有網路安全和數據安全產品有機的結合在一起,在漏洞預防、攻擊處理、破壞修復三方面給用戶提供整體的解決方案,能夠極大地提高系統防護效果,降低網路管理的風險和復雜性。
整體防護主要包括以下方面:
數據訪問控制系統:
•防火牆——對不同安全域之間信息交換進行訪問控制。
•防病毒——對計算機病毒進行檢測、查殺和系統修復。
•入侵檢測——對網路進行監測, 提供對網路攻擊的實時保護, 是防火牆的合理補充。
•漏洞掃描——對網路安全性通過掃描進行分析評估。
•VPN加密——對網路數據進行封包和加密,使公網上傳輸私有數據,達到私有網路的安全級別。
•物理隔離——內部網不得直接或間接地連接公共網,滿足高度數據安全要求。
數據安全處理系統:
•數據存儲——基於RAID的存儲技術防止系統硬體故障。
•雙機容錯——提供系統應用級的故障處理,適用於高可靠性需求。
•數據備份——基於時間對文件和資料庫級別的系統故障提供解決方案。
•災難恢復——對整個主機系統提供保障和系統的快速故障修復能力。
下圖是防護系統對一個完整的網路攻擊及防護方法的演示效果圖:
第四章 方案的驗證及調試
採用集中管理、統一監控的整體防護解決方案,能夠極大的提高內部網路對網路攻擊的防範能力和數據故障的處理能力,降低了網路管理的復雜性,提高了整個網路的可用性和穩定性。具體表現在以下方面:
•漏洞掃描和防病毒系統增強了各個網路節點自身系統的穩定性和抗攻擊能力。
•防火牆作為網路系統的屏障極大地降低了內部系統遭受網路攻擊的可能性。
•入侵檢測與防火牆採用聯動聯防提高了系統自動對網路攻擊的識別和防禦能力。
•網路隔離系統將內部核心業務系統與外部網路物理隔離,降低了網路風險。
•磁碟陣列和雙機容錯提高了主機系統對軟硬體故障的自動修復能力。
•網路存儲方案將系統應用與數據讀寫分離,提高了系統的處理速度,節省了網路帶寬。
•數據備份和災難恢復降低了由於數據丟失造成的網路風險,提高了系統管理員排除故障的速度和效果。
•系統主幹的所有防護設備都採用了冗餘設計,防止了單點失效產生的故障隱患。
•採用網路管理工具使系統管理員對整個網路的運行狀況一目瞭然,使網路管理更加簡單、方便。
整個安全防護系統的效果評估作為一個整體的安全防護系統,方案設計中對於攻擊行為的每一個步驟都有相應的措施進行防禦,並且系統管理員可以通過網路管理軟體掌握內部所有的安全隱患和攻擊企圖,根據具體情況採取靈活的處理措施,從而達到最大的防護效果。
第五章 總結
通過這次課程設計,我才了解到做一個企業網路安全系統整體解決方案的復雜。在我經歷了網上查資料,書本找資料的過程中,我也只是完成了這么一些。對於一個企業網路來說,我想:理論終究是理論,還需要時間驗證,而且在企業網路中面臨著各種各樣的問題,或者是在這個方案中沒有提到的,那麼在整體方案設計的方面我需要學習的東西還很多。已經大四了,馬上就要畢業了,我也將進入到另一個學習的范疇中了,一個更需要努力更需要動手實踐的領域!
參考資料
(1)保護網路空間的國家戰略 美國
(3)計算機系統安全 曹天傑等 高等教學出版社
(4)密碼編碼學與網路安全-原理與實踐(第三版)William Stallings等 電子工業出版
Ⅳ 設計報告中小型企業的網路及安全方案
你去CSDN吧,這么多字我估計很少有人回答。我簡單跟你說一下吧
VPN專用信道肯定要有,伺服器前面加防火牆。這部門之間設置vlan,個vlan間用路由鏈接。每個部門應由獨立防火牆,路由設置包過濾。所有系統加密碼,郵件和FTP伺服器重點保護。
Ⅵ 急求:中小企業網路規劃與設計方案
悲劇!每個公司的企業架構是不一樣的,導致部門劃分是不一樣的。首先要考慮企業內部管理流程,主要許可權分配。而其還要看已經上線了那些信息系統,以及現有的it配置,總的來說很復雜。不可能沒調研10幾家中小企業就能整出一套解決方案。反正很悲劇,項目很龐大。
Ⅶ 自學 網路安全工程師,需要學習那些東西,介紹幾本書!
首先看你的基礎,如果零基礎,則1開始;如果會網路不會linux,則2開始;如果基礎完善從3開始。
1.謝希仁的《計算機網路》===》Andrew S.Tanenbaum 的《計算機網路》===》《TCP/IP協議》(只看第一卷就可以)===》
2.《鳥哥Linux私房菜》(這本包含大量網路安全方面的知識,且入門簡單)===》
3.石志國《計算機網路安全教程》(這本的特點就是大量的實踐,幾乎都是自己動手做的)===》《白帽子講Web安全》(阿里巴巴的天才少年編寫,了解黑客攻擊方式專用,實例豐富)===《密碼編碼學與網路安全》再往後基本就是不同方向更深入的書了。
對了,還有勸你同時看看思科的書,會很有幫助。
不明白可以追問,祝你好運
Ⅷ 中小型企業網路設計方案
1.選定方案原則
在規劃Intranet的網路拓撲結構時,應根據企業規模的大小、分布、對多媒體的需求等實際情況加以確定。一般可按以下原則來確立:
(1)費用低
一般地在選擇網路拓撲結構的同時便大致確立了所要選取的傳輸介質、專用設備、安裝方式等。例如選擇匯流排網路拓撲結構時一般選用同軸電纜作為傳輸介質,選擇星形拓撲結構時需要選用集線器產品,因此每一種網路拓撲結構對應的所需初期投資、以後的安裝維護費用都是不等的,在滿足其它要求的同時,應盡量選擇投資費用較低的網路拓撲結構。
(2)良好的靈活性和可擴充性
在選擇網路拓撲結構時應考慮企業將來的發展,並且網路中的設備不是一成不變的,對一些設備的更新換代或設備位置的變動,所選取的網路拓撲結構應該能夠方便容易地進行配置以滿足新的要求。
(3)穩定性高
穩定性對於一個網路拓撲結構是至關重要的。在網路中會經常發生節點故障或傳輸介質故障,一個穩定性高的網路拓撲結構應具有良好的故障診斷和故障隔離能力,以使這些故障對整個網路的影響減至最小。
(4)因地制宜
選擇網路拓撲結構應根據網路中各節點的分布狀況,因地制宜地選擇不同的網路拓撲結構。例如對於節點比較集中的場合多選用星形拓撲結構,而節點比較分散時則可以選用匯流排型拓撲結構。另外,若單一的網路拓撲結構不能滿足要求,則可選擇混合的拓撲結構。例如,假設一個網路中節點主要分布在兩個不同的地方,則可以在該兩個節點密集的場所選用星型拓撲結構,然後使用匯流排拓撲結構將這兩個地方連接起來。
2.總體結構框架概述
在充分按照網路設計原則的基礎上,考慮到組網費用,結合平時學習組網經驗,本次小型企業內部組網核心設備由華為Quidway S2352P-EI(AC)系列交換機組成,接入設備由華為Quidway S2326TP-SI系列交換機組成,連接Internet的路由器採用思科CISCO 2811系列路由。
3. 網路拓撲圖設計
4. IP地址劃分
本次小型企業組網,核心設備由一台華為Quidway S2352P-EI(AC)交換機與一台思科CISCO 2811系列路由器組成,位於綜合樓核心機房內,兩台設備都採用最基本硬體配置,S2352P-EI(AC)提供48可用埠。5台華為Quidway S2326TP-SI交換機分別位於核心機房或者部分距離較遠的辦公點處,每台提供26個可用埠。所有設備之間均採用乙太網線鏈接,其中S2352P-EI(AC)與S2326TP-SI之間採用雙乙太網線連接形成冷備份防止其中一根故障影響用戶的使用。客戶自己建設的WEB伺服器,文件伺服器,FTP。
現把根據具體部門需求劃分5個VLAN,技術部、財務部、生產部、管理層、網管用各一個VLAN。各VLAN之間只能通過路由發送數據包,也就是說VLAN在第二層是相互隔離的。
其中VLAN規劃如下:
VLAN2:172.16.2.0/24 技術部
VLAN3:172.16.3.0/24 財務部
VLAN4:172.16.4.0/24 生產部
VLAN5:172.16.5.0/24 管理層
VLAN6:172.16.6.0/24 網管
其中可以根據需要在路由處做其中幾段地址的NAT,其餘都可以與外網隔離,實現安全需要。
各個Vlan的IP地址劃分如表3.1所示:
表3.1 各Vlan IP地址劃分
Vlan ID
IP地址范圍
網關IP地址
最多可連接主機數
Vlan2
172.16.2.1—172.16.2.254
172.16.2.1
254
Vlan3
172.16.2.1—172.16.2.254
172.16.3.1
254
Vlan4
172.16.2.1—172.16.2.254
172.16.4.1
254
Vlan5
172.16.2.1—172.16.2.254
172.16.5.1
254
Vlan6
172.16.2.1—172.16.2.254
172.16.6.1
254
路由器各埠IP地址配置如表3.2所示:
表3.2 各路由器埠IP地址
路由介面
IP地址
路由器f0/0介面
211.85.1.2
路由器f0/1介面
192.168..1.1
5.測試結果
以VLAN1為例,來測試VLAN1到網關的連接情況
Ⅸ 中小型企業Windows及Linux雙系統的網路安全方案設計
看不懂你的想法, 建議採用虛擬方式。
Ⅹ 如何來設計網路接入方案
一. 總體要求
現有100台計算機,設計一個小型企業網路方案。要求:
1.資源共享,網路內的各個桌面用戶可共享資料庫、共享列印機,實現辦公自動化系統中的各項功能;
2.通信服務,最終用戶通過廣域網連接可以收發電子郵件、實現Web應用、接入互聯網、進行安全的廣域網訪問;
3.多媒體應用,該方案支持多媒體組播,具有卓越的服務質量保證;
4.系統支持遠程接入,可以實現多達32路遠程模擬電話線撥號訪問。
二.小型企業網路設計方案需有以下幾部分內容:
1、需求特點描述;
2、設計原則;
3、解決方案設計,其中必須包含:
(1)設備選型;
(2)拓撲圖;
(3)VLAN劃分;
(4)IP地址規劃;
(5)綜合布線設計。
4、方案特點。