2022年东华理工大学企业局域网规划和设计课程设计.docx

《2022年东华理工大学企业局域网规划和设计课程设计.docx》由会员分享，可在线阅读，更多相关《2022年东华理工大学企业局域网规划和设计课程设计.docx（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品学习资源毕 业 设 计 （ 论 文 ）题目： 企业局域网规划和设计Title ： Enterprise LAN planning and design系别：软件学院 专业：网络工程 学号： 08114132同学姓名：张伟 指导老师：王志波二零一二年三月欢迎下载精品学习资源摘要网络技术高速进展的今日，企业网络的优劣已经成为衡量企业竞争力的标准之一；针对金融行业的特点，本文介绍了一个行业专用网络的整体设计方案；本方案充分考虑到网络的负载均衡和稳固性能，所以采纳三层网络结构；其中，核心层采纳两台设备，配置Cisco HSRP协议进行双机热备份；汇聚层采纳双链路与核心相连，提高链路的稳固性同时采纳

2、双链路捆绑提高网络链路带宽利用率，全部网关设在汇聚层防止广播到达核心，提高核心路由的利用率以达到数据高速转发的要求；路由协议就挑选安全性高、收敛速度快的OSPF 协议；服务器群组就重点介绍了 DHCP、邮件服务器及FTP 服务器等企业中较常用到的服务器的软件挑选及搭建方法；对于网络中可能存在的安全威逼，针对不同的需求，方案中提出了 VLAN技术、拜访掌握列表、防火墙技术等安全解决方案，以求构建一个安全、高效、可考性业务网络；关键词：网络层次化； 热备份；虚拟局域网；掌握列表；防火墙欢迎下载精品学习资源ABSTRACTAs the high-speed development of the ne

3、twork technique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise.Aiming at the characteristics of the certificate profession, this paper will introduce an overall design of professional network applying for enterprise.

4、SeriouslyConsidering the load balance and stability of the network, we adopt three layers structure in the design.Core Layeradopts two equipments to master slave scratching and duplicate copy withthe protocol of Cisco HSRP. Convergence layeradopts doublelinkand the coreis connected,to improvelinksta

5、bilityandduallinkbundlingimprovesthenetworklinkbandwidth utilization,allgatewayinconvergence layeravoid broadcastingarrived at thecore,improvethe utilizationrateofcoreroutingtoachievehighspeed data forwardingrequirements.The routing protocol chooses the protocol of OSPF, which has high security and

6、rapidly converging. The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications, such as DHCP, the mail server and the FTP server etc. In order to set up a safety, fuel-efficientand reliable enterprise network, we p

7、ut forward the VLAN technique, the firewall technique for the different needs in resisting the safety threaten.Keywords:Hierarchical Network ； Hsrp； Vlan； Acl； Firewall欢迎下载精品学习资源目录摘要 IABSTRACT II目录 III绪论 11. 需求分析 21.1工程背景21.2设计目标21.3用户现实需求 32. 网络整体设计 42.1 网络拓扑 42.2 网路层次化设计 42.2.1核心层设计52.2.2汇聚层设计52.2

8、.3接入层设计62.2.4路由协议挑选 62.3 VLAN 的划分及 IP 地址规划和设备命名规章 72.4 服务器群组 92.4.1 DHCP 服务器 92.4.2 邮件服务器 102.4.3 WEB 服务器 113. 安全策略 123.1 网络威逼因素分析 123.2 安全要求 123.3 安全规划 123.4 安全产品选型原就 133.5 安全策略部署 143.5.1 VLAN 技术 143.5.2 拜访掌握列表 144. 防火墙配置 174.1 防火墙网络安全策略 174.2 防火墙的基本配置 194.3 基于内网的防火墙功能及配置 214.3.1 IP与 MAC（用户）绑定功能 21

9、欢迎下载精品学习资源4.3.2 MAP （端口映射）功能 224.3.3 NAT （地址转换）功能 22基于外网的防火墙功能及配置4.4234.4.1 DOS 攻击防范4.4.2拜访掌握功能2324结论 25致谢 27参考文献28欢迎下载精品学习资源绪论信息化浪潮风起云涌的今日，企业的业务已经全面电子化，与Internet的联系相当紧密，所以他们需要良好的信息平台去支撑业务的高速进展；没有信息技术背景的企业也将会对网络建设有主动诉求；任何决策的科学性和牢靠性都是以信息为基础的，信息和决策是同一治理过程中的两个方面，因此行业信息化也就成了人们所争论并实践着的重要课题；公司内部网络的建设已经成为提

10、升企业核心竞争力的关键因素；公司网已经越来越多地被人们提到，利用网络技术，现代企业可以在客 户、合作伙伴、员工之间实现优化的信息沟通，公司网络的优劣直接关系到公司能否获得关键的竞争优势；众多行业巨擘纷纷上马各种应用方案且取得了巨大的成 功，这使信息化建设更具吸引力；企业局域网是指在企业的某一区域内由多台运算机互联成的运算机组；一般是方圆几千 M 以内；企业局域网可以实现文件治理、应用软件共享、打印机共享、工作组内的日程支配、电子邮件和传真通信服务等功能；局域网是封闭型的，可以由 办公室内的两台运算机组成，也可以由一个公司内的上千运算机组成；企业局域网 建设是信息时代的必定产物，企业局域网的构建

11、是社会进展的趋势，网络给企业带 来财宝的同时也给企业带来了挑战；只有充分利用现代网络技术，组建好企业的局 域网，才能为企业插上腾飞的翅膀，带来企业的蓬勃进展；信息技术自产生之日起，就对金融行业产生了深远的影响，特殊是上世纪90年代以来，随着金融服务业全球化和竞争日益猛烈，促使金融公司加快运用各种新的信息技术手段来提高公司治理水平，可以说金融业已经成为信息技术和网络技术进展的最大收益者之一；网络技术的进展，让网上交易快速普及，网上交易有助于金融公司提高工作效率，降低出错率，也便利金融公司对客户的治理；虽然大多数企业已经把互联网战略纳入企业经营进展战略中，但是网络黑客攻击、运算机病毒干扰、数据传输

12、过程中的泄露等担心全因素，仍旧让很多企业对企业网络化徘徊不 定；金融企业的特点是数据传输量大，数据秘密度高，所以金融业网络就要求高效、稳固和安全，合理的网络结构设计能至关重要；随着网络技术的快速进展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新 的，更适应现代的高速大型网络分层设计模型“多层次设计”；多层次设计师模块化的，它在日后网络扩展、负载均衡、故障排除方面很有效；而现在强大的防火墙技术和各种各样的安全策略被应用到企业网络中，安全得到了保证，那么网路对于企业的进展就真正起到了推动的作用；公司要在猛烈的市场竞争中处于有利的位置，就要保持高水平的服务质量和良好的运营

13、成本掌握；将传统的治理模式转变到数字化的现代治理模式，有助于各类欢迎下载精品学习资源资 源 的 系 统 整 合 ， 长 远 来 看 将 提 高 公 司 在 未 来 市 场 经 济 中 的 竞 争 力 ；1. 需求分析1.1 工程背景XX金融是一家刚刚成立的金融公司，公司有资产治理部、财务部、人力资源部、后勤部、经理室（治理部门）和营业部6 个部门， 6 个部门分布在两个楼层；日后公司在外地仍要开设分支机构，而这里作为公司总部，中心机房也设在此处；公司的网络系统要满意公司日常办公电子化，各部门信息共享，日常金融交易，且作为金融公司，某些投资秘密需要很高的保密度，所以公司网络要有很高的牢靠性和安全

14、性；考虑的日后公司的扩张，所以网络系统要有可扩展性；1.2 设计目标设计一个公司的网络，第一要确定用户对网络的真正需求，并在结合将来可能的进展要求的基础上挑选、设计合适的网络结构和网络技术，供应用户中意的高质服务；仍要留意到由于规律上业务网和治理网必需分开，所以建成后企业网应能供应多个网段的划分和隔离，并能做到敏捷转变配置，以适应企业办公环境的调整和变化，即 VLAN 的整体划分；考虑到金融行业数据的重要性、保密性，为了保证多想金融业务的顺当进行， 保证网络的不间断运行，网络平台应具有以下一些特点：（1） ）高牢靠性 网络系统的稳固牢靠是应用系统正常运行的关键保证，在设计中选用高牢靠性网络产品

15、，合理设计网络架构，制订牢靠的网络备份策略，保证网络具有故障自愈的才能，最大限度地支持各个系统的正常运行；（2） ）高性能 承载网络性能是网络通讯系统良好运行的基础，设计中必需保障网络及设备的高吞吐才能，保证各种信息（数据、语音、图象）的高质量传输， 才能使网络不成为金融公司各项业务开展的瓶颈；（3） ）安全性 制订统一的骨干网安全策略，整体考虑网络平台的安全性；（4） ）可治理性 对网络实行集中监测、分权治理，并统一安排带宽资源；选用先进的网络治理平台，具有对设备、端口等的治理、流量统计分析，及可供应故障自动报警；（5） ）技术先进性和有用性 保证满意金融交易系统业务的同时，又要表达网络系统

16、的先进性；在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到金融公司网络应用的现状和将来进展趋势；（6） ）标准开放性 支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络（如公共数据网、金融网络、行内其它网络）之间的平滑连接互通，以及将来网络的扩展；欢迎下载精品学习资源（7） ）敏捷性及可扩展性 依据将来业务的增长和变化，网络可以平滑地扩充和升级，削减最大程度的削减对网络架构和设备的调整；1.3 用户现实需求（1） ）实现公司内部资源共享，即文件服务器，但是对不同的资源要有相应的权限；（2） ）满意公司日常金融交易，交易数据的传输和储备

17、；（3） ）公司各部可以通过即时通信软件联系，建立公司邮件服务器；（4） ）打印机共享；（5） ）公司内部要网络接入 Internet；（6） ）架设公司 web 服务器，发布公司网站；（ 7）为保证安全， Internet 与公司内部网络间应采纳防护措施，防止外界对内部网络未经授权的拜访；（ 8）网络治理需求：网络调试期间最消耗人力与物力的线缆故障定位工作，网络运行期间对不同用户敏捷的服务策略部署、拜访权限掌握、以及网络日志审计和病毒掌握才能等方面的治理工作；（ 9）网络应具有更高的带宽，更强大的性能，以满意用户日益增长的通信需求；要连续承载企业的办公自动化，Web 浏览等简洁的数据业务，仍

18、要承载涉及企业生产运营的各种业务应用系统数据，以及带宽和时延都要求很高的IP 电话、视频会议等多媒体业务，并实现千兆位到桌面；因此，数据流量将大大增加，特殊是对核 心 网 络 的 数 据 交 换 能 力 提 出 了 前 所 未 有 的 要 求 ；欢迎下载精品学习资源2.网络整体设计2.1 网络拓扑图 2-1 网络拓扑运算机网络的组成元素可以分为两大类，即网络节点（又可分为端节点和转发 节点）和通信链路，网络中节点的互联模式叫网络的拓扑结构；网络拓扑定义了网 络中资源的连接方式，局域网中常用的拓扑结构有：总线型结构、环形结构、星型 结构、树形结构；由于XX 金融公司总部网络站点特殊的多，而且联网

19、的站点相对集中，因此采纳树形的网络拓扑；树形拓扑由总线拓扑演化而来；它有一个带分支 的根，仍可再延长出如干子分支；树形拓扑通常采纳同轴电缆作为传输介质，而且 使用宽带传输技术；树形拓扑易于故障隔离，树形拓扑的缺点是对根的依靠太大， 假如根发生故障，就整个网络不能正常工作；但在本局域网中采纳了双核心，所以 大大的防止了网络故障的发生；2.2 网路层次化设计网络的设计模型主要包括层次化设计模型和非层次化设计模型两种；随着网络技术的快速进展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有适当的规划，网络最终会进展成为非结构的形式，这样当网络设备之间相互通信时，

20、设备上的CPU 必定会承担相当大的负载，不利于网络的运行和进展，当大量的数据在网络中传输时，简洁引起线路拥堵甚至网络的瘫痪；所以挑选层次化的网络设计；多层设计师模块化的，网络容量可随着日后网络节点的增加而不断增大；多层欢迎下载精品学习资源次网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排出特别简洁；多层模式使网络的移植更为简洁易行，由于它保留看基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性；另外分层结构也能够对网络的故障进行很好的隔离；针对实际情形采纳三层结构模型，即核心层、分布层、接入层；每个层次有不同的功能；核心层作为整个网络系统的核心，起主要功能是高速、牢靠

21、的进行数据交换；分布层主要进行接入层的数据流量汇聚，并对数据流量进行拜访掌握；接入层主要供应最终用户接入网络的途径；主要进行VLAN的换分、与分布层的连接等；2.2.1 核心层设计核心交换机通过配置高性能交换路由引擎、冗余电源，来实现整个网络系统的高可用和高牢靠性；此处使用Catalyst 3560G-48PS 路由交换机作为内、外网的核心交换机，配置 Salience VI-10GE 交换路由引擎，分别配置 24 端口千兆以太网电接口模 块 （ LSQM1GT24SC0 ） 和 24端 口 千 兆 / 百 兆 以 太 网 光 接 口 模 块（ LSQM1GP24SC0），对外供应千兆光口和千

22、兆电口接入，光口用于连接各配线间的汇聚交换机，电口用于部分服务器的接入；核心交换机需作如下设置：（1） ）使用包安全过滤 /ACL 的机制，防止非法侵入和恶意报文攻击；（2） ）通过 Vlan 划分实现不同部门内部拜访安全的需求；（3） ）基于策略的服务等级 /服务质量（ CoS/QoS）功能，能够鉴别并优先处理要害的业务数据流，实现网络的优化；核心层多业务、高牢靠、大容量设计，全部关键部件均采纳冗余热备份设计， 采纳分布式路由转发处理引擎，支持真正热插拔、热备份；2.2.2 汇聚层设计在 6 个弱电间分别设置一台 Cisco WS-C3750G-12S-E 以太网交换机作为汇聚层交换机，上联

23、核心层交换机，下联接入层交换机，对下属设备进行三层交换处理；汇聚层主要进行接入层的数据流量汇聚，并对数据流量进行拜访掌握；包括拜访控制列表、 VLAN 路由等等；Cisco Catalyst 3750 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率；这个新的产品系列采纳了最新的思 StackWise 技术，不但实现高达 32Gbps 的堆叠互联，仍从物理上到规律上使如干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度敏捷的交换系统，就似乎是一整台交换机一样；对于中型企业网络来说， Cisco Catalyst 375

24、0 系列通过供应配置敏捷性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断欢迎下载精品学习资源变化的业务需求进行调整；此外， Cisco Catalyst 3750 系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满意接入、汇聚或小型网络骨干连接需求；Cisco Catalyst 3750G-12S供应 12 个千兆位以太网 SFP 端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的Catalyst 4506 交换机；2.2.3 接入层设计接入层主要供应最终用户接入网络的途径；主要是进行VLAN的划分、与分布层的连接等等；建议接入层交换机采纳

25、思科的2960 系列智能以太网交换机以千兆以太链路和汇聚交换机相连接，并为用户终端供应10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构；办公系统所需的各种服务器如邮件服务器、 DHCP 服务器等组成服务器群，连接到汇聚交换机的千兆模块上面，因此， 内部的局域网采纳三层结构组建；Cisco Catalyst 2960 系列智能以太网交换机是一个全新的、固定配置的独立设备系列，供应桌面快速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络供应增强 LAN 服务； Catalyst 2960 系列具有集成安全特性，包括网络准入掌握（ NAC ）、高级服务质量（

26、 QoS）和永续性，可为网络边缘供应智能服务；凭借 Cisco Catalyst 2960系列供应的广泛安全特性，企业可爱护重要信息，防止未授权人员接入网络，确保私密性及爱护不间断运行；2.2.4 路由协议挑选图 2-2路由协议欢迎下载精品学习资源为达到路由快速收敛、寻址以及便利网络治理员治理的目的，我们采纳动态路由协议，目前较好的动态路由协议是OSPF 协议和 EIGRP 协议， OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由 Cisco 公司创造，只有Cisco 公司自己的产品支持，属于私有性质，其他厂商设备是不支持的；考虑网络的扩展性、数据资源的爱护等缘由，我们

27、挑选OSPF 路由协议；OSPF 协议采纳链路状态协议算法，每个路由器爱护一个相同的链路状态数据库，储存整个 AS 的拓扑结构（ AS 不划分情形下）；一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短路径树，然后再依据最短路径 构造路由表；对于大型的网络，为了进一步削减路由协议通信流量，利于治理和计 算；OSPF将整个 AS 划分为如干个区域，区域内的路由器爱护一个相同的链路状态数据库，储存该区域的拓扑结构；OSPF 路由器相互间交换信息，但交换的信息不是路由，而是链路状态； OSPF 定义了 5 种分组： Hello 分组用于建立和爱护连接； 数据库描述分组初始化路由

28、器的网络拓扑数据库；当发觉数据库中的某部分信息已经过时后，路由器发送链路状态恳求分组，恳求邻站供应更新信息；路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态恳求分组进行响应；由于 OSPF 直接运行在 IP 层，协议本身要供应确认机制，链路状态应答分组是对链路状态更新分组进行确认；相对于其它协议， OSPF 有很多优点； OSPF 支持各种不同鉴别机制（如简洁口令验证， MD5 加密验证等），并且答应各个系统或区域采纳互不相同的鉴别机制；供应负载均衡功能，假如运算出到某个目的站有如干费用相同的路由，OSPF 路由器会把通信流量匀称地安排给这几条路由，沿这几条路由把该分组发送

29、出去；在一 个自治系统内可划分出如干个区域，每个区域依据自己的拓扑结构运算最短路径， 这削减了 OSPF 路由实现的工作量； OSPF 属动态的自适应协议，对于网络的拓扑结构变化可以快速地做出反应，进行相应调整，供应短的收敛期，使路由表尽快稳固 化，并且与其它路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要最少的通信流量； OSPF 供应点到多点接口，支持CIDR （无类域间路由）地址；公司现有网络规划为area0，内部网络设备都规划为area0；后期如有分支机构各区域接入路由器依据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式；2.3 VLAN 的划分及 IP 地址规划和

30、设备命名规章LAN的划分一般有三种方法，一是基于端口、二是基于MAC 地址、最终是基于路由的划分；在这里我们采纳基于端口的划分，把一个或者多个交换机上的端口放到一个 VLAN内，网络治理人员只需要对网络设备的交换端口进行安排即可，不用考虑端口所连接的设备； IP 地址是 TCP/IP 协议族中的网络层规律地址，它被用来欢迎下载精品学习资源唯独地标示网络中的一个节点； IP 地址空间的安排，要与网络层次结构相适应，既要有效的利用地址空间，又要表达网络的可扩展性和敏捷性，同时能满意路由协议 的要求，提高路由算法的效率，加快路由变化的收敛速度；依据公司情形，每个部门划分为一个VLAN ，各部门分别属

31、于不同的网段，各部门之间在规律上被隔离，但是各部门间的通讯，可依据需要对汇聚层交换机进行配置来实现；表 2-1 IP地址安排表部门VLAN网段网关子网掩码资产治理部5192.16.11.0/32192.16.11.254255.255.255.0营业厅4192.16.12.0/32192.16.12.254255.255.255.0财务部3192.16.21.0/32192.16.21.254255.255.255.0经理室2192.16.22.0/32192.16.22.254255.255.255.0人力资源部6192.16.23.0/32192.16.23.254255.255.255.

32、0后勤部7192.16.31.0/32192.16.31.254255.255.255.0服务器群组6192.168.0.0/32255.255.255.0IP 地址配置命令：Switchconfig# interface Switch config-if#no switchportSwitch config-if#ip address ip-add subnet-maskSwitch config-if#no shutdown设备名称代码表：表 2-2设备厂商、设备型号对比表序号厂商名称缩写设备型号名称缩写设备信息1思科CISCOQuidway 65066506CISCOI- 65062黑盾

33、HDFWHDFW- 2608Q2608HDFW- Q2608D-LINKD-LINK-欢迎下载精品学习资源3D-LINKDLINK1216D12161216欢迎下载精品学习资源表 2-3设备端口简写名称对比表序号物理端口表示名称简写欢迎下载精品学习资源1POSPOS2百兆以太口FE3千兆以太口GE4万兆以太口10GE5E1CE6LoopbackL7MultiLinkM8CHANNEL-GROUPCH设备的命名规章依据设备的空间地理位置、设备在网络中的规律位置、设备类型和设备编号的次序来命名；其中，空间地理位置严格遵守国际对省市的命名规 范；其格式为：空间地理位置 - 设备类型 - 设备编号 -

34、 楼层号；举 例说 明 ： XSXRMYY-BY-XZY-CISCO-6506-1表 示 ： XXXXX楼 一 楼的 思科CISCO 6506；设备端口的命名规章和编码设计依据端口类型、端口在本端设备中的位置、接口速率、本端设备的空间地理位置、在网络中的规律位置、本端设备编号、电路传输方向、对端设备的空间地理位置、在网络中的规律位置和对端设备编号的次序命名；端口类型 - 端口在本端设备中的位置 - 带宽-TO- 对端设备的空间地理位置 - 网络的规律位置 - 对端设备类型 - 对端设备编号；端口类型：用使用物理端口的缩写来命名；端口在设备中的位置：槽位号 - 适配号- 端口号；空间地理位置：即

35、设备放置的地理位置；网络的规律位置：即设备在网络中放置的规律位置；设备类型：以设备厂家和设备的型号来命名；设备编号：处于同一位置，同类设备的编码次序，为一位阿拉拍数字，按1-9 的次序编号；留意：如一个槽位，只能安装一块适配器板卡标示时，请忽视板卡位置号；2.4 服务器群组2.4.1 DHCP服务器由于公司整个网络节点较多，如是由网管人员分别为每台 PC 机配置 IP 地址那将是一件特别麻烦的事，而且也不利于网络 IP 地址的治理，所以我们采纳 DHCP 服务器，为接入公司网络的 PC机自动安排 IP 地址；DHCP（ Dynamic Host Configuration Protocol），

36、即动态主机设置协议，是一个局域网的网络协议，使用 UDP 协议工作； DHCP 服务器的操作系统挑选 Windows欢迎下载精品学习资源Server 2003 ；由于 DHCP 服务器与公司其他 PC 机在不同的 VLAN中，所以仍需要在汇聚层交换机上配置 DHCP 中继服务功能才能胜利运行DHCP 服务；2.4.2 邮件服务器电子邮件是互联网最基本、但却是最重要的组成部分，通过电子邮件进行便利快捷的信息沟通已经成为企业工作中不行或缺的工作习惯；企业邮箱一般以企业的域名作为邮箱后缀，既能表达公司的品牌和形象，仍能使公司商业信函来往得到更好更安全的治理；常见的邮件服务器软件有很多，例如：微软 E

37、xchange Server 、MDaemon Server、WinWebMail 、IMail Server 等等；在这里我们选用微软exchange server 2003 作为服务器端软件，该版本也是Microsoft exchange server 中应用最广泛，功能最稳固的一个版本；exchange server 2003 常见的任务包括：备份与仍原、建立新邮箱、复原、移动、安装新的硬件、储备区、软件和工具，以及应用更新和修补程序等；新工具和改进的工具可帮忙网络治理员更有效地完成工作；例如，一位治理人员可能需要复原几个月以前删除的一封特别重要的旧电子邮件，通过使用“复原储备组”功能，

38、 治理员可以复原个人用户的邮箱，以便查找以前删除的重要电子邮件；其他新的管理功能包括：并行移动多个邮箱；改进的消息跟踪和Outlook 客户端性能记录功能；增强的队列查看器，它使用户能够从同一掌握台同时查看SMTP 和 X.400 队列；新的基于查询的通讯组列表，它现在支持动态地实时查找成员；此外，用于 Microsoft Operations Manager 的 Exchange 治理包可自动监视整个 Exchange环境，从而使用户能够对 Exchange问题预先实行治理措施并快速予以解决；在部署 exchange2003 邮件服务器之前，第一为公司申请合法的域名，建立域控服务器，打开“运

39、行”对话框，输入 dcpromo 命令，然后依据向导创建域控服务器；图 2-3建立域控服务器将公司内的全部 PC 机加入该域；为了防止主域控服务器显现故障而导致通信故障和信息丢失，所以我们仍需要一台帮助域控；当然，仍需要在DNS 服务器中写入记录，这样发出的邮件才知道去处；邮件服务器硬件的挑选依据企业本身业务的应用情形和资金投入来打算；从该欢迎下载精品学习资源公司来看，公司用户在几百个以下，但是邮件来往比较多，所以要挑选专业的PC服务器才能满意基本的性能要求；2.4.3 WEB 服务器WEB 服务器也称为 WWW （WORLD WIDE WEB ）服务器，主要功能是供应网上信息浏览服务；本方案

40、中web 服务器主要是向外发布公司网站，时时更新公司以及金融市场信息以供用户网上参考；本方案中，我们挑选 Linux 作为 web 服务器的操作系统，所以服务器端软件就 用 Apache；Apache 是世界上用的最多的 Web 服务器，市场占有率达 60%左右，它源于 NCSAhttpd 服务器； Apache有多种产品，可以支持 SSL 技术，支持多个虚拟主机；它是以进程为基础的结构，进程要比线程消耗更多的系统开支；由于它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原先的缺陷；Apache 的特点是简洁、速度快、性能稳固，并可做代理服务器来使用；它的胜利之处主要在于它的源代码

41、开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎全部 的 Unix 、 Windows 、 Linux系 统平 台 上 ） 以 及 它的 可移 植性 等 方 面；欢迎下载精品学习资源3. 安全策略3.1 网络威逼因素分析对于金融业来说，网络的安全性是相当重要的；而金融网上交易，信息发布等业务使得公司网络必需与公网相连，这样必定存在着安全风险；并且公司内部网 络，由于各部门职能不同，某些部门网络可能也要求很高的安全性；公司网络的安全风险可能包括以下几个：（1） ）公司网络与公网连接，可能遭到来自各地的越权拜访，仍可能遭到网络黑客的恶意攻击和运算机病毒的入侵；（2） ）内部的各个子网通

42、过骨干交换相互连接，这样的话，某些重要的部门可能会遭到来自其它部门的越权拜访；这些越权拜访可能包括恶意攻击、误操作等， 据统计约有 70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，但是无论怎样，结果都将导致重要信息的泄露或者网络的瘫痪；（3） ）设备的自身安全性也会直接关系到网络系统和各种网络应用的正常运转；例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等；重要服务器或操作系统自身存在安全的漏洞，假如治理员没有准时的发觉并且进行修复，将会为网络的安全带来很多担心定的因素；重要服务器的当机或者重要数据的意外丢失，都将会造成公司日常办公无法进行；3.2 安全

43、要求（ 1） 物理安全：包括爱护运算机网络设备设施以及数据库资料免遭地震、水灾、火灾等环境事故以及人为操作失误导致系统损坏，同时要防止由于电磁泄漏引起的信息失密；（2） ）网络安全：主要包括系统安全和网络运行安全，检测到系统安全漏洞和对于网络拜访的掌握；（3） ）信息安全：包括信息传输的安全、信息储备的安全以及对用户的授权和鉴别；3.3 安全规划安全方面分为内网和外网两部分；内网方面安全区域划分五个区域：外网（党政信息内网）、DMZ 区域（服务器区域）、内部用户区域、行业其他单位连接、公网区域；安全定义：（ 1） 外网区域为不行信任区；（ 2） DMZ区域为中立区域，答应部格外网用户连接（比如

44、：网站对外服务等）但受到防火墙严格掌握；欢迎下载精品学习资源（3） ） 内部用户区域为信任区域；（4） ） 行业其他单位连接区域，由于无法治理，使用网闸物理隔离；（5） ） 公网区域，威逼最大区域，使用网闸物理隔离；在防火墙上进行设置，包括用ACL 进行流量掌握、关闭病毒端口、NAT 的转换等；外网安全方面主体是在防火墙上进行设置，外网安全划分为三个区域，公网区域（ Internet、党政外网）、 DMZ 区域（服务器区域）、内部用户区域；安全级别定义：（ 1） 公网区域为不行信任区；（ 2） DMZ区域为中立区域，答应部格外网用户连接（比如：网站对外服务等）但受到防火墙严格掌握；（ 3） 内

45、部用户区域为信任区域；IPS 对进出数据进行拜访检测，本工程中外网中IPS划分两条物理隔离的链路分别检测内部用户数据流量和DMZ区域数据流量；上网行为治理只对用户区域的数据进行监控和治理；内网安全策略 ：（1） ）报文阻断策略，通过设置报文阻断策略，实现对二、三层的拜访掌握；（2） ）拜访掌握规章，通过设置拜访掌握规章，实现对三到七层的拜访掌握；（3） ） IP/MAC 地址绑定，将 IP 地址与 MAC地址绑定从而防止非法用户冒充 IP地址进行非法拜访；（4） ）病毒防备；能够对使用 HTTP、FTP 传输的文件以及对使用 SMTP、POP3和 IMAP 协议传送的邮件正文、附件进行病毒检查

46、过滤，并可依据文件扩展名挑选过滤或者不过滤的附件类型等；外网安全策略：（1） ）地址转换，进行源、目的地址转换以及双向地址转换；（2） ）报文阻断策略，通过设置报文阻断策略，实现对二、三层的拜访掌握；（3） ）拜访掌握规章，通过设置拜访掌握规章，实现对三到七层的拜访掌握；（4） ） IP/MAC 地址绑定，将 IP 地址与 MAC 地址绑定从而防止非法用户冒充IP地址进行非法拜访，（5） ）病毒防备，能够对使用 HTTP、FTP 传输的文件以及对使用 SMTP、POP3和 IMAP 协议传送的邮件正文、附件进行病毒检查过滤，并可依据文件扩展名挑选过滤或者不过滤的附件类型等；3.4 安全产品选型