一份网络安全方案需要从以下8个方面来把握。
(1)体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准。实际中,每一个特定网络都是唯一的,需要根据实际情况来处理。
(2)对安全技术和安全风险有一个综合把握和理解,包括可能出现的所有情况。
(3)对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适、中肯的评估,不能夸大,也不能缩小。
(4)对症下药,用相应的安全产品、安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力。
(5)方案中要体现出对用户的服务支持。
(6)在设计方案的时候,要明白网络系统安全是一个动态的、整体的、专业的工程,不能一步到位解决用户所有的问题。
(7)方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求、期望和所遇到的问题。
(8)方案中所涉及的产品和技术,都要经得起验证、推敲和实施,要有理论根据,也要有实际基础。
⑵ 中小企业网络建设时要考虑哪些需求因素
看过
锐捷睿易
的分析,分析指出,以下四个方面是影响中小企业网络建设需要考虑的因素,即:
1、设备本身软硬件设计因素;
2、网络架构;
3、业务数据带宽;
4、实施和管理。
⑶ 网络规划过程中应遵循哪些准则
(1)开放性原则。符合国际或公认的工业标准,具备开放功能,便于不同网络产品的互连,考虑投设备在技术上的扩充性。
(2)可扩展性原则。网络的覆盖范围、传输速率、支持的最大节点数不仅要满足目前系统的要求,而且要考虑今后发展的需要,在网络设计时要充分考虑网络的扩展性。同时,要保护用户现有投资,充分利用现有计算机资源及其它设备资源。
(3)先进性与实用兼顾原则。应尽可能地采用先进而成熟的技术,采用先进的设计思想、先进的软硬件设备和先进的开发工具。同时注重实用性,使网络系统获得较高的性价比。
(4)安全与可靠原则。网络的可靠性、安全性应优先考虑。选择适当的冗余,保证网络在故障情况下能正常运行。设置各种安全措施,达到从网络用户到数据传输各环节的安全。
(5)可维护性原则。有充分的网络管理手段,可维护性好。
⑷ 设计一个网络需要考虑哪些因素
设备 首喊巧耐先考虑的就是价格 其次 是性能 综合起来就郑春是性价比 根据网络的规模 寻找到性价比适合的 交换机宽运 路由器 等设备网线选材 小型局 中型域网 用双绞线 大型局域网 可以用同轴电缆 与 双绞线 综合一下就是:1.合理设置交换机2.使用质量好、速度快的新式网卡3.严格执行接地要求4.按规则进行连线 5.正确使用“桥”式设备6.电脑的台数\操作系统\电脑的位置等
合理设置服务器的硬盘
⑸ 网络设计需要考虑哪些
网络工程集成设计的一般步骤(2) 成本/效益评估 根据用户的需求和现状分析,对设计新的网络系统所需要投入的人力、财力、物力,以及可能产生的经济、社会效益进行综合评估。这项工作是集成商向用户提出系统设计报价和让用户接受设计方案的最有效参考依据。 书写需求分析报告 详细了解用户需求并进行现状分析和成本/效益评估后,就要以报告的形式向用户和项目经理人提出,以此作为下一步正式的系统设计的基础与前提。 (2)网络工程初步设计。 在全面、详细地了解了用户需求,并进行了用户现状分析和成本/效益评估后,在用户和项目经理人认可的前提下,就可以正式进行网络工程设计了。首先需要给出一个初步的方案,其中主要包括以下几个方面: 确定网络的规模和应用范围 确定网络覆盖范围(这主要是根据终端用户的地理位置分布而定)、定义网络应用的边界(着重强调的是用户的特定行业应用和关键应用,如MIS系统、ERP系统、数据库系统、广域网连接、企业网站系统、邮件服务器系统、VPN连接等)。 统一建网模式 根据用户网络规模和终端用户地理位置分布确定网络的总体架构,比如是集中式还是分布式,是采用客户机/服务器模式还是对等模式等。 确定初步方案 将网络系统的初步设计方案用文档记录下来,并向项目经理人和用户提交,审核通过后方可进行下一步运作。 (3)网络工程详细设计。 网络协议体系结构的确定 根据应用需求,确定用户端系统应该采用的网络拓扑结构类型,可选择的网络拓扑通常包括总线型、星型、树型和混合型4种。如果涉及广域网系统,则还需要确定采用哪一种中继系统,确定整个网络应该采用的协议体系结构。 节点规模设计 确定网络的主要节点设备的档次和应该具备的功能,这主要是根据用户网络规模、网络应用需求和相应设备所在的网络位置而定。局域网中核心层设备最高档,汇聚层的设备性能次之,接入层的性能要求最低。广域网中,用户主要考虑的是接入方式的选择,因为中继传输网和核心交换网通常都是由NSP提供的,无需用户关心。 确定网络操作系统 一个网络系统中,安装在服务器中的操作系统决定了整个网络系统的主要应用和管理模式,也基本上决定了终端用户所能采用的操作系统和应用软件系统。网络操作系统方面,目前主流应用的有Microsoft公司的Windows Server 2003和Windows Server 2008系统,是目前应用面最广、最容易掌握的操作系统,在中小型企业中绝大多数是采用这两种网络操作系统。另外还有一些Linux系统版本,如RedHat Enterprise Linux 5.0、Red Flag DC Server 5.0等。UNIX系统品牌也比较多,目前最主要应用的是SUN公司的Solaris 10.0、IBM AIX 5L等几种。 选定通信介质 根据网络分布、接入速率需求和投资成本分析为用户端系统选定适合的传输介质,为中继系统选定传输资源。在局域网中,通常是以廉价的五类/超五类双绞线为传输介质,而在广域网中则主要是以电话铜线、光纤、同轴电缆作为传输介质,具体要视所选择的接入方式而定。 网络设备的选型和配置 根据网络系统和计算机系统的方案,选择性能价格比最好的网络设备,并以适当的连接方式加以有效的组合。 结构化布线设计 根据用户的终端节点分布和网络规模设计整个网络系统的结构化布线(也就是通常所说的"综合布线")图,在图中要求标注关键节点的位置和传输速率、传输介质、接口等特殊要求。结构化布线图要符合结构化布线的国际、国内标准,如EIA/TIA 568A/B、ISO/IEC 11801等。 确定详细方案 确定网络总体及各部分的详细设计方案,并形成正式文档交项目经理和用户审核,以便及时地发现问题,及时纠正。 (4)应用系统集成设计。 前面3个步骤是设计网络架构的,接下来要做的是进行应用系统集成设计。其中包括各种用户计算机应用系统设计和数据库系统、MIS管理系统选择等,具体包括以下几个方面: 应用系统设计 分模块地设计出满足用户应用需求的各种应用系统的框架和对网络系统的要求,特别是一些行业特定应用和关键应用,如进销存数据库系统、电子商务应用系统、财务管理系统、人事管理系统等。 计算机系统设计 根据用户业务特点、应用需求和数据流量,对整个系统的服务器、工作站、终端以及打印机等外设进行配置和设计,还可根据用户网络管理方面的需求选择适当的MIS管理系统对整个网络系统设备进行集中监控和管理。 机房环境设计 确定用户端系统的服务器所在机房和一般工作站机房的环境,包括温度、湿度、通风等要求。 确定系统集成详细方案 将整个应用系统涉及的各个部分加以集成,并最终形成系统集成的正式文档。 完成好应用系统集成后,就可以开始进行工程施工了,然后再进行下面的方案测试和试运行。 (5)网络工程方案测试。 系统设计后还不能马上投入正式的运行,而是要先做一些必要的性能测试和小范围的试运行。性能测试一般是通过专门的测试工具进行,主要测试网络接入性能、响应时间,以及关键应用系统的并发用户支持和稳定性等方面。试运行通常是就网络系统的基本性能进行评估,特别是对一些关键应用系统。试运行的时间一般不得少于一个星期。小范围试运行成功后即可全面试运行,全面试运行时间不得少于一个月。 在试运行过程中出现的问题应及时加以解决和改进,直到用户满意为止,当然这也结合用户的投资和实际应用需求等因素综合考虑。 做任何事都是有规律可循的,也必须遵守一定的原则。根据目前计算机网络的现状和需求分析以及未来的发展趋势,在网络工程设计时应遵循以下几个原则: 开放性和标准化原则 首先采用国际标准和国家标准,其次采用广为流行的、实用的工业标准,只有这样,网络系统内部才能方便地从外部网络快速获取信息。同时还要求在授权后网络内部的部分信息可以对外开放,保证网络系统适度的开放性。这是非常重要而且非常必要的,同时又是许多网络工程设计人员经常忽视的。我们在进行网络工程设计时,在有标准可执行的情况下,一定要严格按照相应的标准进行设计,而不要我行我素,特别是在像网线制作、结构化布线和网络设备协议支持等方面。采用开放的标准后就可以充分保障网络工程设计的延续性,即使将来当前设计人员不在公司了,后来人员也可以通过标准轻松地了解整个网络系统的设计标准,保证互连简单易行。 实用性与先进性兼顾原则 在进行网络工程设计时首先应该以注重实用为原则,紧密结合具体应用的实际需求。在选择具体的网络技术时一定同时考虑当前及未来一段时间内主流应用的技术,不要一味追求新技术和新产品,一则新的技术和产品还有一个成熟的过程,立即选用则可能会出现各种意想不到的问题;另一方面,最新技术的产品价格肯定非常昂贵,会造成不必要的资金浪费。 如在以太局域网技术中,目前千兆以下的以太网技术都已非常成熟,产品价格也已降到了合理的水平,但万兆以太网技术还没有得到普及应用,相应的产品价格仍相当昂贵,所以如果没有十分的必要,则不要选择万兆以太网技术的产品。 另外在选择技术时,一定要选择主流应用的技术,如像同轴电缆的令牌环以太网和FDDI光纤以太网目前已很少使用,就不要选用了。目前的以太网技术基本上都是基于双绞线和光纤的,其传输速率最低都应达到10/100Mb/s。 无瓶颈原则 这个非常重要,否则会造成花了高的成本购买了主档次设备却得不到相应的高性能。网络性能与网络安全一样,最终取决于网络通信链路中性能最低的那部分。 如某汇聚层交换机连接到了核心交换机的1000Mb/s双绞线以太网端口上,而该汇聚层交换机却只有100Mb/s甚至10Mb/s的端口,很显然这个汇聚层交换机上所连接的节点都只能享有10Mb/s或100Mb/s的性能。如果上联端口具有1000Mb/s性能,而各节点端口支持100Mb/s连接,则性能就完全不一样了。 还如服务器的各项硬件配置都非常高档(达到了企业级标准),但所用的网卡却只是普通的PCI 10/100Mb/s网卡,显然这又将成为服务器性能发挥的瓶颈。再好的其他配置,最终也无法正常发挥。再如,服务器的处理器达到了4个至强处理器,而内存容量却只有初始配置的1GB,或者磁盘采用了读写性能较低的IDE RAID或SATA RAID,这样配置的结果同样会使服务器的性能大打折扣,浪费了高性能配置资源。 这类现象还非常多,在此就不一一列举了。这就要求在进行网络工程设计时一定要全局综合考虑各部分的性能,而不能只注重局部的性能配置。特别是交换机端口、网卡和服务器组件配置等方面。 可用性原则 我们知道服务器的"四性"中有一个"可用性",网络系统也一样。它决定了所设计的网络系统是否能满足用户应用和稳定运行的需求。网络的"可用性"其实就表现在网络的"可靠性"和"稳定性"上,要求网络系统能长时间稳定运行,而不要经常出现这样或那样的问题。否则给用户带来的损失可能是非常巨大的,特别是大型、外贸、电子商务类型的企业。当然这里所说的"可用性"还表现在所选择的产品要能真正用得上,如所选择的服务器产品只支持UNIX系统,而用户系统中根本不打算用UNIX系统,则所选择的服务器就用不上。 网络系统的"可用性"通常是由网络设备(软件系统其实也有"可用性"要求)的"可用性"决定的,主要体现在服务器、交换机、路由器、防火墙等重负荷设备上。这就要求在选购这些设备时一定不要一味地贪图廉价,而要选择一些国内外主流品牌、应用主流技术和成熟型号的产品。对于这些关键设备千万不要选择那些杂牌,一方面性能和稳定性无法保障,另一方面售后服务更将是无法弥补的长久的痛。 另外,网络系统的电源供应在可用性保障方面也非常重要,特别是对于关键网络设备和关键用户机。这时就需要为这些节点配置足够功率的不间断电源(UPS),在市电出现不稳定或者停电时可以持续一段时间供用户保存数据、退出系统,以免数据丢失。通常像服务器、交换机、路由器、防火墙之类的关键设备要接在支持数个小时以上(通常是3小时)的UPS电源上,而关键用户机则需要接在支持15分钟以上的UPS电源上。 适度安全性原则 网络安全涉及许多方面,最明显、最重要的就是对外界入侵、攻击的检测与防护。现在的网络几乎时刻受到外界的安全威胁,稍有不慎就会被那些病毒、黑客入侵,致使整个网络陷入瘫痪。在一个安全措施完善的计算机网络中,不仅要部署病毒防护系统、防火墙隔离系统,还可能要部署入侵检测、木马查杀系统和物理隔离系统等。当然所选用系统的具体等级要根据相应网络规模的大小和安全需求而定,并不一定要求每个网络系统都全面部署这些防护系统。在安全系统方面,要适度,不能片面强调什么安全第一。 除了病毒、黑客入侵外,网络系统的安全性需求还体现在用户对数据的访问权限上,一定要根据对应的工作需求为不同用户、不同数据配置相应的访问权限,对安全级别需求较高的数据则要采取相应的加密措施。同时,用户账户,特别是高权限账户的安全也应受到高度重视,要采取相应的账户防护策略(如密码复杂性策略和账户锁定策略等),保护好用户账户,以防被非法用户盗取。 在安全性防护方面,还有一个重要的方面,就是数据备份和容灾。这非常重要,在一定程度上决定了企业的生存与发展,特别是企业数据主要是电子文档的电子商务类企业。在设计网络系统时,一定要充分考虑到用户对数据备份和容灾的需求,部署相应级别的备份和容灾方案。如中小型企业通常是采用Microsoft公司Windows Server 2003和Windows Server 2008系统中的备份工具进行数据备份和恢复,而对于大型企业,则可能要采用第三方专门的数据备份系统,如Veritas(维他斯,现已并入赛门铁克公司)的Backup Exec系统。 适度可扩展性原则 这是为了适应用户业务和网络规模发展的需求,相当重要,特别是对于中小型企业网络来说。这类企业一般成长较快,很可能不到三年时间,网络用户规模就要翻倍,关键应用带宽需求也可能成倍增加。这时如果所设计的网络系统的可扩展性不强,就会给网络用户和性能的扩充带来极大的不便。 网络的可扩展性保证主要是通过交换机端口、服务器处理器数、内存容量、磁盘架数等方面来保证。通常要求核心层或骨干层,甚至汇聚层交换机的高速端口(通常为千兆端口)要有两个以上用于维护和扩展(通常是用加连接新增加的下级交换机),不要在设计之初就只想到当前所需的这类端口数,把所有高速端口都占用完。当然也不要为将来的网络留有太多这样的端口或设备,否则就会给网络工程设计带来巨大的成本压力,也会造成巨大的投资浪费。