為了保護網路安全,常用的技術手段主要有以下幾個方面:
1、用備份技術來提高數據恢復時的完整性。備份工作可以手工完成,也可以自動完成。現有的操作系統一般都帶有比較初級的備份系統,如果對備份要求高,應購買專用的系統備份產品。由於備份本身含有不宜公開的信息,備份介質也是偷竊者的目標,因此,計算機系統允許用戶的某些特別文件不進行系統備份,而做涉密介質備份。
2、防病毒。定期檢查網路系統是否被感染了計算機病毒,對引導軟盤或下載軟體和文檔應加以安全控制,對外來軟盤在使用前應進行病毒診斷。同時要注意不斷更新病毒診斷軟體版本,及時掌握、發現正在流行的計算機病毒動向,並採取相應的有效措施。
3、補丁程序。及時安裝各種安全補丁程序,不要給入侵者以可乘之機。
4、提高物理環境安全。保證計算機機房內計算機設備不被盜、不被破壞,如採用高強度電纜在計算機機箱穿過等技術措施。
5、在區域網中安裝防火牆系統。防火牆系統包括軟體和硬體設施,平時需要加以監察和維護。
6、在區域網中安裝網路安全審計系統。在要求較高的網路系統中,網路安全審計系統是與防火牆系統結合在一起作為對系統安全設置的防範措施。
7、加密。加密的方法很多可視要求而定,如:通訊兩端設置硬體加密機、對數據進行加密預處理等。
『貳』 簡述計算機網路安全的重要性
計算機網路安全的重要性
1)計算機存儲和處理的是有關國家安全的政治、經濟、軍事、國防的情況及一些部門、機構、組織的機密信息或是個人的敏感信息、隱私,因此成為敵對勢力、不法分子的攻擊目標。
2)隨著計算機系統功能的日益完善和速度的不斷提高,系統組成越來越復雜,系統規模越來越大,特別是Internet的迅速發展,存取控制、邏輯連接數量不斷增加,軟體規模空前膨脹,任何隱含的缺陷、失誤都能造成巨大損失。
3)人們對計算機系統的需求在不斷擴大,這類需求在許多方面都是不可逆轉,不可替代的,而計算機系統使用的場所正在轉向工業、農業、野外、天空、海上、宇宙空間,核輻射環境等等,這些環境都比機房惡劣,出錯率和故障的增多必將導致可靠性和安全性的降低。
4)隨著計算機系統的廣泛應用,各類應用人員隊伍迅速發展壯大,教育和培訓卻往往跟不上知識更新的需要,操作人員、編程人員和系統分析人員的失誤或缺乏經驗都會造成系統的安全功能不足。
5)計算機網路安全問題涉及許多學科領域,既包括自然科學,又包括社會科學。就計算機系統的應用而言,安全技術涉及計算機技術、通信技術、存取控制技術、校驗認證技術、容錯技術、加密技術、防病毒技術、抗干擾技術、防泄露技術等等,因此是一個非常復雜的綜合問題,並且其技術、方法和措施都要隨著系統應用環境的變化而不斷變化。
6)從認識論的高度看,人們往往首先關注系統功能,然後才被動的從現象注意系統應用的安全問題。因此廣泛存在著重應用、輕安全、法律意識淡薄的普遍現象。計算機系統的安全是相對不安全而言的,許多危險、隱患和攻擊都是隱蔽的、潛在的、難以明確卻又廣泛存在的。
———————原創回答團成員專用標識———————
@原創回答團成員:bnb007為您解答,希望對您有所幫助,謝謝。
『叄』 當今的網路安全,有四個主要特點
網路安全是整體的而不是割裂的、網路安全是動態的而不是靜態的、網路安全是開放的而不是封閉的、網路安全是共同的而不是孤立的。
『肆』 網路安全前景怎麼樣
網路安全行業分析表示,網路安全已經成為事關國家安全、國家發展的重大戰略問題。在我國網路安全形勢愈發嚴峻的背景下,國家對網路安全高度重視,網路安全產業將迎來黃金發展期。
信息通信技術的變革發展和新型安全威脅的不斷出現驅動了全球網路安全技術的加速迭代創新。雲安全、威脅情報等新興安全產品和服務逐步落地,自適應安全、情境化智能安全等新的安全防護理念接連出現,為我國網路安全技術發展不斷注入創新活力。
近年來,國內信息安全廠商快速發展,依託本地布局的產品和研發團隊,對用戶需求理解更為透徹,對新需求的響應更為迅速,產品性價比更高,部分功能特性已超過國外廠商,但在高端產品市場的競爭力仍相對較弱。
「十三五」時期,我國將大力實施網路強國戰略,要求網路與信息安全有足夠的保障手段和能力,通過切實推進自主可控和國產化替代,政策化培養和市場化發展雙向結合,信息安全市場國產化腳步逐步加快。
我國網路安全產業針對各類網路威脅行為已經具備了一定的防護、監管、控制能力,市場開發潛力得到不斷提升。最近幾年,網路安全產業在政府引導、企業參與和用戶認可的良性循環中穩步成長,本土企業實力逐步加強。
安全產品結構日益豐富,網路邊界安全、內網網路安全及外網信息交換安全等領域全面發展;安全標准、安全晶元、安全硬體、安全軟體、安全服務等產業鏈關鍵環節競爭力不斷增強。
隨著國家網信工作持續發力,為網路安全技術創新、網路安全企業做大做強提供了寶貴機遇,也為網路安全產業發展創造了更為優越的政策環境,國內網路安全產業進入發展黃金期,未來市場規模將進一步擴大。預計到2022年我國網路安全市場規模有望突破1000億元大關。
網路安全是大勢所趨,未來很有前景,現在很多高校也設立了網路安全專業,網路安全是大勢所趨,未來很有前景,現在很多高校也設立了網路安全專業,
先分析下網路安全的出現是近幾年隨著互聯網、物聯網的迅猛發展應用而生的。互聯網/物聯網已經滲透到現實生活中的方方面面,網路安全現在已經升級到國家戰略級別。
我們將目前國內網路安全市場大致分為四大方向:運營商市場、公共安全類市場、政企市場和個人市場。隨著互聯網、物聯網的繼續發展,網路安全的市場會越來越廣,分的越來越細,大數據、AI技術實現智能化業務是網路安全發展趨勢。
越賺錢的地方,受到的入侵就越大,未來是互聯網的時代,隨著網路攻擊增多,危害程度上升,網路安全專業人員的需求量飛漲, 但相關人才嚴重不足,畢竟這也算是個新興行業,只要你肯努力就一定會有不錯的未來。
『伍』 校園網基本網路搭建及網路安全設計分析
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感數據有可能泄露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被「黑」或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中,即使是兩台計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中。例如,一個交換機的1,2,3,4,5埠被定義為虛擬網AAA,同一交換機的6,7,8埠組成虛擬網BBB。這樣做允許各埠之間的通訊,並允許共享型網路的升級。
但是,這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN,不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術,防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,並且藉助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護伺服器和網路中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基於網路的防病毒技術。這些技術包括:基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如,我們准備在主機上統一安裝網路防病毒產品套間,並在計算機信息網路中設置防病毒中央控制台,從控制台給所有的網路用戶進行防病毒軟體的分發,從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後,不但可以做到主機防範病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網路信息安全。形成的整體拓撲圖。
第二,防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備,專門用於TCP/IP體系的網路層提供鑒別,訪問控制,安全審計,網路地址轉換(NAT),IDS,,應用代理等功能,保護內部 區域網安全 接入INTERNET或者公共網路,解決內部計算機信息網路出入口的安全問題。
校園網的一些信息不能公布於眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網路的訪問管理,杜絕敏感信息的泄漏。通過防火牆,嚴格控制外來用戶對校園網網路的訪問,對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監視INTERNET安全和預警,系統認證,利用日誌功能進行訪問情況分析等。通過防火牆,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網路完全性。校園網網路結構分為各部門區域網(內部安全子網)和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部伺服器,該網段對外部分開,禁止外部非法入侵和攻擊,並控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和伺服器,通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器,隱藏伺服器的其它服務,減少系統漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.
『陸』 校園網安全需求分析
一、需求分析
1.校園主幹採用具有第三層交換功能的千兆位乙太網,以滿足廣大用戶的各種要求;
2.支持IP多播(Multicast)與服務質量(QoS)或服務類型(CoS),滿足遠程教育的需求;
3.支持虛擬網路(VLAN)。
二、網路設計原則
為充分利用有限的投資,在保證網路先進性的前提下,選用性能價格比最好的設備,校園網建設應遵循以下原則。
先進性
以先進、成熟的網路通信技術進行組網,支持數據、語音、視頻等多媒體應用,用基於交換的技術替代傳統的基於路由的技術。
標准化和開放性
網路協議符合ISO或IEEE、ITUT、ANSI等制定的標准,並採用符合國際和國家標準的網路設備。
可靠性和可用性
選用高可靠的產品和技術,充分考慮系統運行時的應變能力和容錯能力,確保整個系統的安全與可靠。
靈活性和兼容性
選用符合國際發展潮流的標准軟體技術,保證系統具備較強的可靠性、可擴展性和可升級性,確保系統能夠與現有各廠商的網路設備、小型機、工作站、伺服器和微機等設備的互連。
實用性和經濟性
兼顧網路的實用性和經濟性,著眼於學校的近期目標和長遠發展規劃,利用有限的投資構造性能價格比最高的網路系統。
安全性和保密性
接入Internet時,保證網上信息和各種應用系統的安全。
擴展性和升級能力
支持多種網路協議、多種高層協議和多媒體應用。網路的構造設計應具有良好的可擴展性和升級能力,以備將來進行網路升級和擴展時,能保護現有的投資。
網路的靈活性
配合交換機與路由器支持的最先進的虛擬網路技術,整個網路可以通過系統配置,快速簡便地將用戶或用戶組從一個網路轉移到另一個網路,而無需任何硬體的改變,從而適應學校機構的變化。同時能夠通過平衡網路流量,提高網路的性能。
可管理性
網路管理基於SNMP,支持RMON和RMON2以及標準的 MIB。能夠利用圖形化的管理界面和簡潔的操作方式,合理地進行網路規劃,並提供強大的網路管理功能。一體化的網路管理功能將使網路的日常維護和操作變得直觀、便捷和高效。
三、骨幹網技術選型--千兆乙太網
校園網建設中,主幹網應選擇千兆乙太網,10M/100M自適應或10M交換到桌面。
千兆乙太網核心
乙太網從100Mbps升級到1Gbps,融合了兩種技術,即 IFFF802.3乙太網和ANSIX3T11光纖通道。千兆乙太網在利用了光纖通道的高速物理介面的同時,又保留了IEEE 802.3乙太網幀格式,所以具備對已安裝介質的向後兼容性,並利用了全/半雙工載波偵聽(CSMA/CD)傳輸機制。
傳輸介質與物理介面
目前千兆乙太網的傳輸介質包括兩種標准:IEEE 802.3Z和IEEE 802.3AB。 支持IEEE 802.3Z標準的有1000BASELX(單模或多模)、1000BASTSX(多模)、 1000BASE CX (屏蔽銅纜)等幾種傳輸介
『柒』 網路安全管理措施有哪些
從信息系統安全防護技術來講主要有以下幾種:
1) 內聯網信息系統的一些重要信息交互, 可以採用專用的通信線路(特別是採用沒有電磁泄漏問題的光纜)來防止信息在傳輸的過程中被非法截獲。一些重要信息應進行加密後傳輸,
可以進一步防止被截獲信息的有效識別。這些技術主要為了保證信息的機密性。
2) 網路和系統隔離(防火牆等) 防火牆可以隔離內部網路和外部網路, 使得所有內外網之間的通信都經過特殊的檢查以確保安全。
對一些特別主特別服務可以採用包裝代理技術(如Wrapper等), 隔離用戶對系統的直接訪問, 加強系統的安全性。
3) 網路和系統安全掃描 網路安全掃描和系統掃描產品可以對內部網路、操作系統、系統服務、以及防火牆等系統的安全漏洞進行檢測,
即時發現漏洞給予修補, 使入侵者無機可乘。
4) 安全實時監控與入侵發現技術 信息系統的安全狀況是動態變化的, 安全實時監控系統可以發現入侵行為並可以調整系統進行及時的保護反應。
5) 操作系統安全加固 採用B級系統替代傳統的C級系統是解決系統安全問題的比較根本性的措施。考慮到可用性和經濟性的原則,
可以首先考慮在最敏感的伺服器和網路隔離設備上採用B級系統。
6) 資料庫系統和應用系統安全加固 在要害信息系統的伺服器中採用B級操作系統, 並配備B級資料庫管理系統, 將應用、服務都建設在B級的基礎上。這樣整個信息系統惡性循環才有比較根本性的保障。
<br>
7) 可生存技術 可生存性是指在遭受攻擊, 發生失效或事故時, 仍能及時完成服務使命的能力。主要是指健康性、適應性、多樣性、進化性和恢復性。
8) 加強安全管理技術 信息系統安全問題中最核心的問題是管理問題。"人"是實現信息系統安全的關鍵因素。因此需要大力加強人員安全培訓,
制訂安全管理規范。同時, 要充分利用各種技術手段進行自動化管理。
我是在戴威爾網路安全培訓學習網路安全的,多多少少了解一點 呵呵 希望對你寫論文有幫助吧 ^_^
『捌』 1.簡述網路安全的概念及網路安全威脅的主要來源。
2)來自內部網路的安全威脅
從以上網路圖中可以看到,整個計委的計算機網路有一定的規模,分為多個層次,網路上的節點眾多,網路應用復雜,網路管理困難.這些問題主要體現在安全威脅的第二與第三個層面上,具體包括:
●
網路的實際結構無法控制;
●
網管人員無法及時了解網路的運行狀況;
●
無法了解網路的漏洞與可能發生的攻擊;
●
對於已經或正在發生的攻擊缺乏有效的追查手段;
內部網路的安全涉及到技術.應用以及管理等多方面的因素,只有及時發現問題,確定網路安全威脅的來源,才能制定全面的安全策略,有效的保證網路安全.
a.網路的實際結構無法控制
計算機網路上的用戶眾多,用戶的應用水平差異較大,給管理帶來很多困難.網路的物理連接經常會發生變化,這種變化主要由以下原因造成:
●
辦公地點調整,如遷址.裝修等;
●
網路應用人員的調整,如員工的加入或調離;
●
網路設備的調整,如設備升級更新;
●
人為錯誤,如網路施工中的失誤.
這些因素都會導致網路結構發生變化,網路管理者如果不能及時發現,將其納入網路安全的總體策略,很可能發生網路配置不當,從而造成網路性能的下降,更嚴重的是會造成網路安全的嚴重隱患,導致直接經濟損失.
因此,我們需要一種有效的掃描工具,定期對網路進行掃描,發現網路結構的變化,及時糾正錯誤,調整網路安全策略.
b.網管人員無法及時了解網路的運行狀況
網路是一個多應用的平台,上面運行著多種應用,其中包括網站系統.辦公自動化系統.郵件系統等.作為網路管理員,應該能夠全面了解這些應用的運行情況.同時,由於網路用戶眾多,很可能發生用戶運行其他應用程序的情況,這樣做的後果一方面可能影響網路的正常工作,降低系統的工作效率,另一方面還可能破壞系統的總體安全策略,對網路安全造成威脅.
因此,網路管理員應擁有有效的工具,及時發現錯誤,關閉非法應用,保證網路的安全.
c.無法了解網路的漏洞與可能發生的攻擊
網路建成後,應該制定完善的網路安全與網路管理策略,但是實際情況是,再有經驗的網路管理者也不可能完全依靠自身的能力建立十分完善的安全系統.具體原因表現為:
●
即使最初制定的安全策略已經十分可靠,但是隨著網路結構與應用的不斷變化,安全策略也應該及時進行相應的調整;
『玖』 網路工程師請進!!
我給你 一個 概念 我還有更好的 真正項目下來的 給點分吧
目 錄
一、項目概述
二、需求概述
三、網路需求
1.布線結構需求
2.網路設備需求
3.IP地址規劃
四、系統需求
1.系統要求
2.網路和應用服務
五、存儲備份系統需求
1.總體要求
2.存儲備份系統建設目標
3.存儲系統需求
4.備份系統需求
六、網路安全需求
1.網路安全體系要求
2.網路安全設計模型
前言
根據項目招標書的招標要求來細化為可執行的詳細需求分析說明書,主要為針對項目需求進行深入的分析,確定詳細的需求狀況以及需求模型,作為制定技術設計方案、技術實施方案、技術測試方案、技術驗收方案的技術指導和依據
一、項目概述
1. 網路部分的總體要求:
滿足集團信息化的要求,為各類應用系統提供方便、快捷的信息通路。
良好的性能,能夠支持大容量和實時性的各類應用。
能夠可靠的運行,較低的故障率和維護要求。
提供安全機制,滿足保護集團信息安全的要求。
具有較高的性價比。
未來升級擴展容易,保護用戶投資。
用戶使用簡單、維護容易。
良好的售後服務支持。
2. 系統部分的總體要求:
易於配置:所有的客戶端和伺服器系統應該是易於配置和管理的,並保障客戶端的方便使用;
更廣泛的設備支持:所有操作系統及選擇的服務應盡量廣泛的支持各種硬體設備;
穩定性及可靠性:系統的運行應具有高穩定性,保障7*24的高性能無故障運行。
可管理性:系統中應提供盡量多的管理方式和管理工具,便於系統管理員在任何位置方便的對整個系統進行管理;
更低的TCO:系統設計應盡量降低整個系統和TCO(擁有成本);
安全性:在系統的設計、實現及應用上應採用多種安全手段保障網路安全;
良好的售後服務支持。
除了滿足上述的基本特徵外,本項目的設計還應具有開放性、可擴展性及兼容性,全部系統的設計要求採用開放的技術和標准選擇主流的操作系統及應用軟體,保障系統能夠適應未來幾年公司的業務發展需求,便於網路的擴展和集團的結構變更。
二、需求概述
在設計方案時,無論是系統或網路都嚴格遵循以下原則,以保障方案能充分滿足集團的需求。
先進性和實用性原則
高性能原則
經濟性原則
可靠性原則
安全性原則
可擴展性原則
標准化原則
易管理性原則
三、網路需求
集團園區網項目必須實現以下的功能需求:建設一個通暢、高效、安全、可擴展的集團園區網,支撐集團信息系統的運行,共享各種資源,提高集團辦公和集團生產效率,降低集團的總體運行費用。網路系統必須運行穩定。
集團園區網需要滿足集團各種計算機應用系統的大信息量的傳輸要求。
集團園區網要具備良好的可管理性。減輕維護人員的工作量,提高網路系統的運行質量。
集團園區網要具有良好的可擴展性。能夠滿足集團未來發展的需要,保護集團的投資。
整個項目的施工,系統集成商要精心組織、嚴格管理、定期提交各類項目文檔。
在項目實施完畢之後,系統集成商要對集團的相關人員進行培訓,並移交全部的項目工程資料,保證集團園區網的正常運行和管理維護。
1.布線結構需求
集團目前擁有六家子公司,包括集團總部在內共有2000多名員工;園區內有7棟建築物,分別是集團總部和子公司的辦公和生產經營場所;光纖+超五類綜合布線系統,3000個左右信息點;集團計劃為大部分的員工配置辦公用計算機;集團目前有多種計算機應用系統。
7棟建築物,每棟建築高7層,都具有一樣的內部物理結構。一層設有本樓的機房,一樓布有少量的信息點,供未來可能的需求使用,目前並不使用(不包括集團總部所在的樓)。二層和三層,每層樓布有96個信息點。四層到七層,每層樓布有48個信息點。每層樓有一個設備間。樓內綜合布線的垂直子系統採用多模光纖,每層樓到一層機房有兩條12芯室內光纖。每個子公司和集團總部之間通過兩條12芯的室外光纜連接。要求將除一層以外的全部信息點接入網路,但目前不用的信息點關閉。集團總部所在樓的一層,是集團的主機房,布有48個信息點,但目前只有20台左右的伺服器和工作站。
集團園區正在後期建設中,不存在遺留的網路系統。集團原有少量的網路設備,可以不作考慮或者用作臨時的補充之用。
2.網路設備需求
集團園區網計劃採用10M的光纖乙太網接入到網際網路服務提供商的網路,然後接入到網際網路中,使集團實現與外界的信息交換和網路通信。集團統一一個出口訪問Internet,集團能夠控制網路的安全。
根據集團的網路功能需求和實際的布線系統情況,系統集成商需要給出設備選擇的合理建議,包括樓層接入交換機、子公司主交換機、集團核心交換機等。其中,樓層接入設備需要選擇同一型號的設備;子公司主交換機可以根據需要通過堆疊方式進行靈活的升級擴容;核心交換機需要具有升級到720Gbps可用背板帶寬的能力。
網路設備必須在技術上具有先進性、通用性,必須便於管理、維護。網路設備應該滿足集團現有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護用戶的投資。網路設備必須具有良好的在滿足功能與性能的基礎上性能價格比最優。網路設備應該選擇擁有足夠實力和市場份額的廠商的主流產品,同時設備廠商必須要有良好的市場形象與售後技術支持。
3.IP地址規劃
集團園區網計劃使用私有的A類IP地址。集團園區網的IP地址分配原則如下:
集團使用IPv4地址方案。
集團使用私有IP地址空間:10.0.0.0/8。
集團使用VLSM(變長子網掩碼)技術分配IP地址空間。
集團IP地址分配滿足合理利用的要求。
集團IP地址分配滿足便於路由匯聚的要求。
集團IP地址分配滿足分類控制等的要求。
集團IP地址分配滿足未來公司網路擴容的需要。
集團園區網的IP地址的一些具體使用規定:
了網化後,所有的第一個子網(0子網)都不分配給用戶使用。
網關的地址統一使用子網的最後一個可用地址。
IP地址的使用需要報集團總部審批備案。
具體配置如下:
機構 IP地址/地址范圍 說明
總部 10.16.*.252/24 1號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.16.35.?/32 非二層交換機的Loopback地址(*表示1至7連接辦公區域、伺服器區域、核心區域的6台交換機以及邊界路由器)
10.16.*.1 ~ 10.16.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.16.*.252、253/24 1號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.16.*.254/24 1號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.16.64.1、2/30 核心層交換機之間互聯IP地址
10.16.64.5、6/30 伺服器區塊匯聚層交換機互聯IP地址
10.16.64.17、18/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址1
10.16.64.21、22/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址2
10.16.64.25、26/30 路由器與核心層交換機互聯IP地址1
10.16.64.29、30/30 路由器與核心層交換機互聯IP地址2
10.16.64.33、34/30 路由器與防火牆互聯IP地址
10.16.64.37、38/30 1號樓匯聚層交換機互聯IP地址
10.16.64.41、42/30 2號樓匯聚層交換機互聯IP地址
10.16.64.45、46/30 3號樓匯聚層交換機互聯IP地址
10.16.64.49、50/30 4號樓匯聚層交換機互聯IP地址
10.16.64.53、54/30 5號樓匯聚層交換機互聯IP地址
10.16.64.57、58/30 6號樓匯聚層交換機互聯IP地址
10.16.64.61、62/30 7號樓匯聚層交換機互聯IP地址
10.16.64.65、66/30 網管工作站及相應的網關地址
10.16.96.1、2/27 域控/DNS伺服器主備IP地址
10.16.96.3、4/27 NAS伺服器主備IP地址
10.16.96.5、6/27 Web/Mail伺服器主備IP地址
子公司1 10.32.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.32.35.1、2/32 三層交換機的Loopback地址
10.32.*.1 ~ 10.32.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.32.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.32.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.32.96.1/27 子域伺服器IP地址
10.32.96.2/27 Mail伺服器IP地址
子公司2 10.48.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.48.35.1、2/32 三層交換機的Loopback地址
10.48.*.1 ~ 10.48.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.48.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.48.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.48.96.1/27 子域伺服器IP地址
10.48.96.2/27 Mail伺服器IP地址
子公司3 10.64.*.252/24 2號樓接入層交換機管理IP地址(*表示從97至102對應2至7層)
10.64.35.1、2/32 三層交換機的Loopback地址
10.64.*.1 ~ 10.64.*.251/24 各層客戶端DHCP地址范圍(*表示從97至102對應2至7層)
10.64.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址(*表示從97至102對應Vlan12至17)
10.64.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址(*表示從97至102對應Vlan12至17)
10.64.96.1/27 子域伺服器IP地址
10.64.96.2/27 Mail伺服器IP地址
四、系統需求
本項目的實施目的是在集團內部建立穩定、高效的辦公自動化網路,通過項目的實施,為所有員工配置桌面PC,使所有員工能通過總部網路接入Internet,從而提高所有員工的工作效率和加快企業內部的信息傳遞。同時需要建立集團的WEB伺服器,用於在互聯網上發布企業的信息。在總部及每個子公司均設立專用的伺服器,使集團內所有員工能夠利用伺服器方便的訪問公共的文件資源,並能夠完成企業內外的郵件收發。系統建立完成後,要求能滿足企業各方面應用的要求,包括辦公自動化、郵件收發、信息共享和發布、員工賬戶管理、系統安全管理等。
1.系統要求
① 集團原有少量筆記本電腦及PC機,由各級經理及財務部門使用,操作系統均為Windows98,為了滿足企業信息化建設的需要,集團將在本項目中更新所有的操作系統。本項目中的操作系統應選擇占市場份額最大的主流操作系統,整個網路(伺服器、客戶機)採用同一廠商的操作系統產品,所選擇的操作系統應簡單蝗用,便於安裝和管理。具體選擇應依據如下規則:
操作系統要求選擇最新版本
所選操作系統需要提供方便的更新與升級方法
伺服器操作系統需要能夠提供目錄服務功能
伺服器及客戶機操作系統都需要支持TCP/IP協議
所選操作系統應能夠方便的實現用戶和許可權的管理
秘選操作系統應能夠運行常用的大多數應用軟體,例如辦公軟體、圖像處理軟體、CAD財務軟體等
伺服器操作系統應能夠提供WEB、FTP、DNS服務及完善的管理功能
操作系統廠商應能夠提供優質的售後服務及技術支持
客戶端操作系統要求簡單易用,提供圖形界面
② 隨著集團近年來的高速發展,集團的業務已經涉及到各個商業領域,集團及公司內部的組織結構也日益復雜,在本項目的設計實施過程中,要求工程實施方在規劃系統設計時,充分考慮到集團管理的需求,設計出合理的系統管理架構,能夠最大程度的降低集團的系統管理上的成本,並能滿足各種商務工作的需求,具體的設計應依據以下原則:
清晰的邏輯結構:要求集團范圍內的系統管理結構清晰,層次分明,能夠充分的與集團的管理結構想吻合。集團總部及各個子公司應是相對獨立的管理單元。各個單位在自己公司范圍內實現用戶賬戶及網路安全的管理。總部管理員有許可權管理各子公司的系統。
便於管理:整個系統設計要便於網路管理員管理,在系統中提供便於管理員管理的各種有效方式。使管理員工在任何一個位置均能對伺服器進行維護和管理。集團總部及各子公司都有自己的專職系統管理員,應保障管理員對只對本公司網路具有管理許可權。總部管理員對集團所有系統具有管理許可權。
簡單的設計:在保障滿足集團需求的前提下,設計方案應以簡單為佳,避免由於復雜的設計增加工程實施的難度和增加集團系統管理的復雜性。
合理的用戶管理:所有的用戶採用統一的命名規范,每個單位對本單位員工賬戶進行獨立的管理,並按不同的部門管理用戶賬戶。
2.網路和應用服務
① WEB服務
隨著企業業務的不斷拓展,集團在業界的影響力越來越大,越來越多的商業合作夥伴和客戶需要從互聯網上了解集團的信息,並希望通過互聯網進行商務合作。為了進一步提高企業知名度並在互聯網發布集團及子公司的商業信息,集團計劃在網路中建立WEB伺服器,集團已經宴請了域名gzlk.local。集團下屬子公司教育公司也在Internet上注冊了域名gzlke.com。其他子公司不需要建立自己的WEB伺服器。所有的網站內容已經製作完畢。詳細的需求如下所述:
集團WEB伺服器放置在總部機房,教育公司WEB伺服器放置在該公司機房
WEB服務應和操作系統具有良好的兼容性,避免由於服務的不兼容影響性能和穩定性
WEB伺服器具有固定的IP地址配置
WEB網站允許匿名訪問
網站的文件存儲應具備良好的安全性
允許互聯網及集團內部的用戶可以通過www.gzlk.local訪問集團及子公司網站
② FTP服務
為了實現集團內部的文件存儲和管理,集團計劃採用兩種方式管理文件資源,總部及各子公司設立自己的文件伺服器,上項工作由各單位的系統管理員自行完成。另外,總部及各子公司建立自己的FTP伺服器,此項工作包含在本項目中,由工程實施單位完成。FTP服務的建立要求具備足夠的存儲空間用於存儲各單位的文檔資料及應用軟體並能夠實現利用FTP客戶端軟體及WEB瀏覽器訪問。具體的需求如下所述:
FTP伺服器具有固定的IP地址
採用所選操作系統自帶的FTP服務建立FTP伺服器,不採用第三方軟體
FTP伺服器允許本公司內部員工下載
只允許系統管理員上傳文件到FTP伺服器
FTP伺服器不對互聯網用戶開放
FTP伺服器需要設置合理的許可權,保障公用文件不被非法的刪除和改寫
③ 郵件服務
隨著集團規模的不斷擴大,企業內部的信息交流變得越來越重要,企業迫切的需要建立內部的消息傳遞平台,用於讓員工之間方便的傳輸各種文件、數據和其他消息。集團計劃在本項目中利用郵件服務實現企業內部的消息傳遞平台,需要在集團總部及各子公司建立郵件伺服器,允許所有員工方便的收發電子郵件。並且通過集團的郵件伺服器,員工也可以和外部的用戶之間收發電子郵件。具體的需求如下:
總部及各子公司均建立郵件伺服器
集團內的郵件服務之間能夠互相轉發郵件
每名員工均有公司統一分配的郵箱
所有員工能夠利用自己的電子郵件與外部用戶通信
所有員工發送郵件附件的大小不能超過4MB
所有員工能夠利用outlook、outlook express、web瀏覽器收發郵件
這是 第2 種
目 錄
一、 項目實施拓撲圖
二、 設備命名規范
為了便於管理以及方面日後的維護,本實施方案對集團網路所使用的網路設備進行統一命名。在實際的實施過程中,網路設備按照命名規則完成命名後,將以標簽的方式粘貼在設備的顯要位置。
實行統一命名的設備類型包括:
樓層接入交換機
匯聚層交換機
集團核心交換機
命名規則見下表
表1
設備類型 命名規則 說明 示例
樓層接入交換機 B?_F?_S??_T???? B?:表示樓號
F?:表示樓層號
S??:表示該樓層中的交換機號,為了以後的擴展性考慮,交換機號用兩位數字表示
T????:表示交換機型號 B1_F2_S03表示1號樓2樓的第3台交換機
匯聚層交換機 B?_D_S??_T????
M_D_S??_T????
I_D_S??_T???? D:表示匯聚層
M:表示伺服器區塊
I:表示網際網路接入區塊
其餘同上 B1_D_S02表示1號樓第2台主交換機
M_D_S01表示伺服器區塊第1台主交換機
I_D_S01表示網際網路接入區塊第1台主交換機
集團核心交換機 C_S?? C:表示核心層
其餘同上 C_S01表示核心層第1台交換機
三、 設備管理口令
配置設備口令,是防止非授權人員更改網路系統的配置的重要手段。
要為所有的設備設置口令,對於網路設備需要為每一台設備設置CONSOLE口令、AUX口令、VTY口令、特權口令等。
對於口令的設置,需要制定管理制度並嚴格執行,口令管理制度包括口令的設置、保管、更改以及口令的強度等內容。
口令強度
口令強度決定了口令被破譯的難度,是口令安全性的基本保障。從集團本身對網路安全性的要求來考慮,口令強度為一般性的強口令即可。
口令要求採用10-12位口令,該口令必須是數字和字母的組合,其中字母的個數不能少於4個。字母可以為大寫和小寫字母。
例如:XinWF7002
口令設置
從安全的角度出發,最佳方案是為每一台設備設置不同的口令。但是從實際的工作需要出發,也可以對每一分公司的同一類型的設備設置相同的口令,便於管理和日常的維護。口令需要定時或不定時地進行經常性修改
對於口令的保管必須遵從嚴格的管理規范。口令的保管方式同上口令設置表。
口令原則上只能由系統管理員保管,保管的介質為紙質和電子兩種。
為了防止系統管理員丟失口令,每次發生口令更新以後,對於紙質口令資料,系統管理員進行封存。對於電子的口令資料,系統管理員需要保存在特定伺服器的專用目錄中。該目錄只有系統管理員能夠訪問。
口令更改
為了減少口令發生泄漏或者被破譯的可能性,對於口令需要不定期進行修改。但是核心交換機口令必須至少90天修改一次,匯聚層、伺服器區塊和網際網路接入區塊交換機口令必須至少180天修改一次,接入層交換機口令必須至少360天修改一次。
一旦懷疑口令已經發生了泄漏,必須在12小時能對所有設備口令進行修改。
口令的更改由系統管理員進行,更改記錄填寫《網路設備口令更改單》,《網路設備口令更改單》的格式如下表所示:
表 3
網路設備口令更改單
更改事由
更改設備編號 更改日期
備注
操作人:
網路設備更改單完成後,系統管理員必須同時更新口令設置表,然後將更新後的口令設置表以及網路設備更改單同時保存。
四、 IP地址分配方案
根據集團公司的規模,集團內部網採用A類私有地址10.0.0.0/8。
為了管理方便除了伺服器、路由器等設備需要固定IP外,所有客戶端用戶均從DHCP伺服器上自動獲取IP地址。
五、 交換機管理地址分配
參見表4中相關項目
六、 路由器地址分配
由於本方案中採用三層交換機來實現路由器的功能,所以沒有單獨採用路由器。
七、 測試要求
為了保證網路設備正常使用,在網路設備配置完成後,需要進行網路設備連接測試。
測試要求:
路由表正確
各交換機之間兩兩互相執行Ping操作可以成功
各交換機之間兩兩互連,當其中的某一條連接鏈路失效的時候,交換機之間仍然可以互相Ping通。
八、 各種設備配置步驟(見PPT)
交換機的配置
交換機的配置步驟如下:
所有的交換機之間連接的埠需要配置成為TRUNK。
配置命令:Switchport Trunk
配置VIP域。啟用V2版本。
VTP模式為:各機構匯聚層交換機配置VTP Mode Server,接入層交換機配置為VTP Mode Client。
增加VLAN,配置VLAN名稱,將所屬埠加入到相應的VLAN中
在匯聚層交換機上創建Vlan,具體參見下表:
表 6
Vlan號 Vlan名稱 命令 說明
1 B?-NM Vlan 1 name B?-NM 設置IP用於管理交換機
10 B?-HL Vlan 10 name B?-HL 連接互聯網介面
11 B?-F2 Vlan 11 name B?-F2 連接2樓交換機
12 B?-F3 Vlan 12 name B?-F3 連接3樓交換機
13 B?-F4 Vlan 13 name B?-F4 連接4樓交換機
14 B?-F5 Vlan 14 name B?-F5 連接5樓交換機
15 B?-F6 Vlan 15 name B?-F6 連接6樓交換機
16 B?-F7 Vlan 16 name B?-F7 連接7樓交換機
說明:
、 分別表示1號樓、2號樓、3號樓、4號樓、5號樓、6號樓。
、 B?_D_S01和B?_D_S02交換機之間的兩條鏈路要能夠同時傳送數據,提高網路帶寬,同時需要減少中繼埠上不必要的流量,提高網路的性能。
在B?_D_S01和B?_D_S02交換機上啟用VTP Prunning
、 配置B?_F2_S01交換機,使得它到B?_D_S??的上行鏈路中的一條失效發生時,能夠有效減少對終端網路用戶的影響。
在B?_F2_S01交換機上配置上行速鏈路,當檢測到轉發鏈路發生失效時,可使交換機上一個阻斷的埠幾乎立刻開始進行轉發。
配置方法:B?_F2_S01(config)# Spanning-tree uplinkfast
、 每台交換機的F0/11都是用來連接伺服器的埠,需要配置速埠。
B?_F2_S01(config)# int F0/11
B?_F2_S01(config-if)# spanning-tree portfast
、 B?_D_S??可以增刪VLAN配置,而B?_F2_S01交換機不能增刪VLAN的配置。採取措施,使得當一台新的交換機接入網路的時候不能自動加入域;將交換機上不使用的埠關閉;以提高網路的安全性。
配置接入層交換機和匯聚層交換機的VTP功能具體配置參見表
、 配置所有交換機的VLAN1介面。
所有交換機的F0/01作為Vlan1介面
WINDOWS SERVER 2003架設配置
1. 在安裝完WINDOWS 2003伺服器上用dcpromo命令創建域;
① 開始安裝
② 在安裝時選擇:否,只在這台計算機上安裝並配置DNS,成為第一台的首選DNS伺服器;
③ 正在創建域寫入硬碟中;
④ 完成區域網中的第一台域控制器的安裝,點擊完成;
2. 在總公司的伺服器上建立首選DNS伺服器,將各子域的域添加到總公司的首選DNS伺服器中;
① 正向區域的配置:
② 在反向域區域添加相應的指針,確保能夠通過IP查找域名;
3. 總經理和各部門的經理不需要繼承他所屬部門的組策略,在另一個OU里添加他們,賦予他們能監督自己部門里的員工工作情況,而總經理就可以監督整個域里的員工工作情況。
OU分配圖如下:
① 創建經理OU;
② 創建人事部OU;
③ 創建市場部OU;
4. 為了增加安全性和容易管理,在伺服器里創建必需的域組策略和本地組策略,策略如下:
① 密碼策略
啟用密碼必須滿足復雜性要求.
密碼長度不小於7位.
密碼最長保留為30天.
密碼過期期限為50天
② 帳戶鎖定策略.
帳戶鎖定閥值為5次無效登錄
③ 審核策略
啟用審核登錄事件
啟用審核對象訪問
④ 用戶配置-Internet Explorer維護-連接
代理設置:代理伺服器設置:IP地址容後寫 埠:9999
⑤ 在用戶配置的軟體設置里將所有需要安裝的軟體指派給域的用戶,只要員工登錄域時就會全部全部安裝到他們本地的機器。
⑥ 更新組策略用gpupdate命令
5. 根據該公司的情況創建每個所屬的OU,而且在方案中採用AGDLP和AGUDLP策略。在每個域中創建全局組,用於組織本域的賬戶;在每個域中創建域本地組,用於完成許可權的指派。在本域內的許可權分配,可以使用AGDLP策略,在域間的許可權分配,使用AGUDLP策略,依次將用戶賬戶加入全局組,將全局組加入到通用組,再將通用組加入到域本地組,最後可以根據需要將許可權授予指定的域本地組。
『拾』 網路安全行業前景 是否會裁員
這個是要根據自己的公司實際情況來定奪的。
裁員,是經濟性裁員的簡稱,是因用人單位的原因解除勞動合同的情形。該詞指的是用人單位在法定的特定期間依法進行的集中辭退員工的行為。實施經濟性裁減人員的企業,可以裁減因生產經營狀況發生變化而產生的富餘人員。
企業在兩種情況下可以裁減人員:一種情況是瀕臨破產,被人民法院宣告進入法定整頓期間;另一種情況是生產經營發生嚴重困難,達到當地政府規定的嚴重困難企業標准。此外,企業裁減人員,還應當嚴格依照法律和有關規章規定的程序進行。企業只有具備了法定條件並嚴格按照法定程序進行,裁減人員才是合法的,以裁減人員的方式與職工解除勞動合同才是有效的。