网络规划设计书(共18页).doc

《网络规划设计书(共18页).doc》由会员分享，可在线阅读，更多相关《网络规划设计书(共18页).doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上贵 州 师 范 大 学 优秀论文网络规划设计书任务名称：公司办公网络规划设计 学 院： 经济与管理学院 专业班级： 10级信息管理与信息系统 学 号：2 学生姓名：黄昌祥 2013年 6 月 28 日第1章 网络需求分析1.1 基本需求分析公司有办公楼三栋，每栋楼均为两层结构（如图1、图2所示）。现计划在该公司建立Intranet，用以管理公司的各项业务。网络要求主干为千兆连接，水平为百兆端接到桌面。为保证今后扩展的需要，每一间办公室有3-8个信息点，可以接入公司内网，也可以通过内网接入Internet（采用电信10M ADSL）。网络中心建在1栋的第一层（见图1），

2、所有网络的核心设备均安装在网络中心，其中包括服务器5台、磁盘阵列1套10G容量、UPS1套、ERP软件1套、数据库软件1套，其余设备根据需要选择。为保证该公司的对外宣传，建有Web服务器1个，安装在网络的DMZ区域。根据以上提示，设计该公司的Intranet。要求能全面满足该公司的所有办公和业务需求，设备类型、数量、规格由设计者确定，总投资控制在200万以内。1、一楼：网络信息中心6台，技术部门4台，人事部4台，营销4台2.二楼：会议室3台，财务部4台，企划部4，科研部3，秘书部3，总经理部门43、硬件设备的选购要根据目前市场价格为依据。 4、设备的性能以及技术指标要能满企业各项业务的要求。

3、5、企业网运行要能满足公司各部门间的沟通，保持各项活动畅通进行。6、内网和外网应该很好的隔离开来，只有一两个访问出口。7、公司了的各项业务活动和信息只能在内部网络中访问，避免外网的攻击。8、公司管理；办公自动化.公司平面图如下： 图1 图2表1.1 各楼信息点统计表区域楼层信息点信息模块一栋一楼3468二楼2142 二栋一楼 2142二楼2142 三栋一楼2142 二楼21421.2 性能需求分析1、因为本次设计主要针对的是三栋楼，中心机房要与各栋连接，连接带宽达到1000Mbps。2、楼层交换机到各楼层使用超五类双绞线，连接带宽达到100/1000M。4、室内全部使用超五类双绞线，连接带宽达

4、到10/100M。5、中心交换机具有很高的可用性、扩展性； 6、所有交换设备能用一套统一的网络管理软件进行管理与配置； 7、能满足各项业务的办理流畅 8、因为本次设计主要针对的是该公司建立Intranet，用以管理公司的各项业9网络要求主干为千兆连接，水平为百兆端接到桌面。10、每一间办公室有3-8个信息点，可以接入公司内网，也可以通过内网接入Internet（采用电信10M ADSL）。11、网络中心建在1栋的第一层（见图1），所有网络的核心设备均安装在网络中心。12、服务器5台、磁盘阵列1套10G容量、UPS1套、ERP软件1套、数据库软件1套，其余设备根据需要选择。为保证该公司的对外宣传

5、，建有Web服务器1个，安装在网络的DMZ区域。第2章 网络拓扑结构2.1网络设计原则网络系统设计是一个综合性的网络系统，以满足各部门各业务活动的进行，如：事物处理，营销管理里等业务活动，又要有足够的可扩充的能力为新兴应用提供平。企业众多的工作站巨大的访问量必然带来网络的维护工作困难。建设与维护管理是学在网络建设中很重要要。本方案的设计原则是：本方案的设计原则是：（1）实用性：网络建设从应用实际需求出发，坚持为领导决策服务，为经营管理服务，为生产建设服务。另外，如果是对现有网络升级改造，还应该充分考虑如何利用现有资源，尽量发挥设备效益。（2）适度先进性：规划局域网，不但要满足用户当前的需要，还

6、应该有一定技术前瞻性和用户需求预见性，考虑到能够满足未来几年内用户对网络功能和带宽的需要。采用成熟的先进技术，兼顾未来的发展趋势，即量力而行，又适当超前，留有发展余地。（3）经济性：要求价格适中，设备及耗材要求采用质量过硬，物美价廉，投资预算不超过20万。（4）安全可靠性：确保网络可靠运行，在网络的关键部分应具有容错能力，提供公共网络连接、通信链路、服务器等全方位的安全管理系统。（5）开放性：采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备，保证整个系统具有开放特点，增强与异机种、异构网的互联能力。（6）可扩展性：系统便于扩展，保证前期的投资的有效性与后期投资的连续性（7）

7、安全保密性：为了保证网上信息的安全和各种应用系统的安全，在规划时就要为局域网考虑一个周全的安全保密方案。2.2 网络拓扑图设计图2.1 公司网络拓扑图拓扑图说明： 内部网络拓扑图：网络逻辑拓扑结构如图所示。它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。简要说明如下：1.整个网络由核心层、汇聚层和接入层两大部分组成。2.核心层是由CISCO WS-C3560-48TS-S企业级核心路由交换机组成。3.汇聚层由CISCO WS-C3560-24TS-S路由交换机组成。4.接入层是由接入层楼层交换机CISCO WS-C2918-24TC-C组成。 网络设计特点1、 在用户的网络结构设计

8、中，我们建议采用层次化的结构设计。 对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。 2、 大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Localaccess)，模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图所示。 3、根据项目的具体需

9、求及现有的光纤结构，结合网络建设的基本理论和原则，各入网部门的实际情况，应用需求，资金条件和远，近目标等各方面的要求，设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。 第3章 网络设备选型3.1 核心层核心层交换机的设计核心层主要功能是给下层各业务汇聚节点提供 IP 业务平面高速承载和交换通道，负责进行数据的高速转发，同时核心层是局域网的骨干，是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备，同时应具备极高的可靠性，能够保证24小时全天候不间断运行，也就必须考虑设备及链路的冗余性、安全性，而且核心骨干设备同时还应拥有非常好的扩展能力，以便随着网

10、络的发展而发展。 基于对核心层的功能及作用，根据用户的实际需求，本方案中对网络系统中核心层由CISCO系列的企业级核心交换机WS-C3560-48TS-S组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS 和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心，完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。 根据该企业的建筑分布及网络规模，以行政楼的中心机房作为整个网络系统的核心节点。核心节点由2台同档次的网络核心设备构成，它们互为备份且流量负载均衡。2台网络核心交换机作为整个网络的核心层设备，为各个汇聚层和接入层交换机提供上联。同时提

11、供了各个服务器的可靠接入。 由于WS-C3560-48TS-S是路由交换机，也即同时具有第二层和第三层的交换能力，为了充分利用资源，将WWW服务器、 Email服务器、数据库服务器、文件VOD服务器、认证的服务器（Radius server）以及网管设备等通过千兆直接连人核心交换机，以解决带宽瓶颈，充分利用核心交换机的交换能力。 核心交换机作为信息网络的核心设备，性能的优劣直接影响到整个网络运行。在设备的选型上必须考虑到有足够的背板带宽，包交换能力，是否支持设备的冗余，安全性，扩展性等各种性能。企业级核心交换机WS-C3560-48TS-S完全满足上述的各项要求。企业级核心路由交换机WS-C3

12、560-48TS-S的性能特性及技术指标如下：交换机类：企业级交换机应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：48背板带宽：32GbpsVLAN支持：支持 网管功能：网管功能 SNMP, CLI,包转发率：13.1MppsMAC地址：12k网络标准：IEEE 802.3, 802.3u,端口结构：非模块化3.2 汇聚层汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理，是完成网络流量的安全控制机制，以使核心网和接入访问层环境隔离开来；同时汇聚层起着承上启下的作用，对上连接至核心层，对下将各种宽带数据业务分配到各

13、个接入层的业务节点，汇聚层位于中心机房或下联单位的分配线间，主要用于汇聚接入路由器以及接入交换机。 因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度，防止网络中部分接入层变成孤岛；还必须具有高处理能力，以便完成网络数据会聚、转发处理；具有灵活、优化的网络路由处理能力，实现网络汇聚的优化。而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况来选择；汇聚层节点可采用星形连接，每个汇聚层节点保证与两个不同的核心层节点连接。 根据汇聚层在整个网络中的作用以及用户的实际需求，本方案中汇聚层共设计了3个节点，即：行政楼、生产车间和运输楼（工段办）。 汇聚层网络设备全部采用

14、了CISCO WS-C3560-24TS-S交换机。该交换机支持各种高级路由协议，如 BGP4、RIPV1、RIPv2、VRRP、OSPF、IP 组播、IPX 路由。 汇聚路由交换机CISCO WS-C3560-24TS-S的性能特性及技术指标如下：交换机类：企业级交换机应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：24背板带宽：32GbpsVLAN支持：支持网管功能：SNMP, CLI, Web, 管理3.3 接入层接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术，迅速覆

15、盖至用户节点，将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连接至汇聚层和核心层，对下进行带宽和业务分配，实现用户的接入。 根据我们所借鉴的项目设计经验，汇聚层节点与接入层节点可考虑采用星形连接，每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构（如环行）连接到汇聚层时，建议提供两条不同路由通道。 根据接入层处在网络系统中所起的作用以及用户的实际需求，本方案中接入层部分由CISCO公司的WS-C2918-24TC-C交换机构成。其主要功能是为该区域下属各部门的网络用户提供大量性价比极高的10/100 兆网络接口，并与信息中心的核心交换机通过 1000 兆光纤链路互联为接入的用户提

16、供高速上联。接入层楼层交换机CISCO WS-C2918-24TC-C的性能特性及技术指标情况如下：交换机类：快速以太网交换机应用层级：二层传输速率：10Mbps/100Mbps/1000M端口数量：24背板带宽：16GbpsVLAN支持：支持网管功能：Cisco IOS CLI,Web浏包转发率：6.5MppsMAC地址：8K 网络标准：IEEE 802.1D,IEEE 802端口结构：非模块化交换方式：存储-转发产品内存：64MB传输模式：支持全双工网管支持：支持模块化插：2 设备选型（可见附件2) 设备名称型号规格单位单位单价(元)数量总计(元) 1 Web服务器 华硕 RS700-X7

17、/PS4 CPU:标配一个Intel Xeon E5-2620处理器(六核,2.0GHz, 15MB三级缓存, 7.2GT/s QPI)，可扩至二路处理器 内存：标配8GB(1x8GB) DDR3 1333 ECC REG内存（支持12根DDR3 RECC内存插槽，最大支持384GB）硬盘：标配无硬盘（4个热插拔3.5“硬盘位；集成嵌入式SATA控制器,支持RAID 0/1/5/10） 光驱：标配SATA DVD-RW驱动器 网络：集成Intel 82574L 四端口千兆服务器网卡 I/O扩展槽：一个全高半长PCI-Express 3.0 x16插槽(x8速度)，一个全高半长PCI-Expre

18、ss 3.0 x8插槽(x8速度)，一个PIKE插槽 电源：600W 通过80PLUS金牌认证PFC高效电源 SAS卡：标配PIKE2008，SAS RAID 0,1,10,1E 台 13800.001 13800.002USP电源美国山特CSTK UPS不间断电源 C3K 3KVA/2100w功率3KVA 实际可带负载2100W 内置12V 7AH 电池8只 停电可以延时10-20分钟（输出纯正玄波、0切换时间）套1564.0011564.003磁盘阵列IBMStorwizeV3500(207U)硬盘转速：146GB/300GB 15Krpm 300GB/600GB/900GB 10Krpm

19、 500GB/1T高速缓存：标配8GB缓存主机通道：1Gb iSCSI（可选8Gbps光纤通道）RAID支持：RAID 0，1，5，6和10单机磁盘数量：24个硬盘接口：SAS风扇:全冗余，热插拔其他参数：用户界面：图形用户界面（GUI） 单/双控制器：仅限双控制产品电源：全冗余，热插拔，405W长度：556mm宽度：483mm高度：87mm工作温度：10-35工作湿度：10-35 台32000.001 32000.004核心层路由器 CISCO 3845路由器类：多业务路由器局域网接：2个传输速率：10/100/1000Mbps网络协议：Cisco ClickStart，SN防火墙：是端口结

20、构：模块化Qos支持：支持VPN支持：支持产品内存：256MB扩展模块：8包转发率：10 Mbps:14,880 pps、电源电压：交流输入电压:100-240产品尺寸：406.4*438.15*133.35m 台 35520.00 135520.005网络中心服务器产品类别：塔式Cup型号：Xeon E5506 2.13GH标配CUp数量：1颗内存容量：4GB ECC DDR3标配硬盘容量：160GB内部硬盘架数：最大支持6块3.5英寸网络控制器：双端口千兆网卡电源类型：80+认证扩展槽：5PCI插槽光驱：DVD-ROM最大Cpu数量：2颗最大内存：64GBCPU频率：2.13GHz台 93

21、00.00 5 41500.006核心层交换机CISCO WS-C3560-48TS-S应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：48背板带宽：32GbpsVLAN支持：支持 网管功能：网管功能 SNMP, CLI,包转发率：13.1MppsMAC地址：12k 台8850.001 8850.00 7汇聚层交换机CISCO WS-C3560-24TS-S交换机类：企业级交换机应用层级：三层接口介质：10/100 BASE-T/ 100FX传输速率：10Mbps/100Mbps端口数量：24背板带宽：32GbpsVLAN支持：支

22、持网管功能：SNMP, CLI, Web, 管理台5700.003 17100.008 接入层交换机CISCO WS-C2918-24TC-C交换机类：快速以太网交换机应用层级：二层传输率：10Mbps/100Mbps/1000M端口数量：24背板带宽：16GbpsVLAN支持：支持网管功能：Cisco IOS CLI,Web浏包转发率：6.5MppsMAC地址：8K 网络标准：IEEE 802.1D,IEEE 802端口结构：非模块化交换方式：存储-转发产品内存：64MB传输模式：支持全双工网管支持：支持模块化插：2 台 2511.00 6 15066.009单模光纤Rosenberger

23、室外4芯单模光纤(轻型/无金属)米20.002004000.00 10超五类双绞线AMP 超五类非屏蔽双绞线305M/箱箱410.00 124920.0011信息插座AMP 超五类双口面板个6.00100600.00AMP 超五类模块块22.001082376.0012交换机布线设备机柜 三盛 F-12U 个645.001645.00墙柜神虎 19”墙柜6U个220.004880.00配线架AAMP 超五类24口配线架（1U）个 102.003306.00理线架AMP 1U理线架个104.005520.0013水晶头国产AMP RJ45水晶头个0.5560280.00总 计.00第4章 网络I

24、P规划企业在规划了局域网建设方案，选购了路由器、防火墙以及交换机等网络设备，并对机房和所在的办公地点（大楼）进行了布线，也添置了服务器和客户机（工作站、PC机），现在要组建企业的局域网，还要一件比较重要的事要做，那就是对局域网的IP地址要进行规划，主要包括公网地址（Internet IP地址，一般是指A、B、C类的Ipv4的地址），以及专用（私有）IP地址两部分。下面就和大家一起来探讨企业IP地址的规划方面的问题。 一、IP地址的规划 1、IP地址的基本概念 IP地址是32位的二进制数值，用于在TCP/IP通讯协议中标记每台计算机的地址。 1、IP地址的基本概念 IP地址是32位的二进制数值，

25、用于在TCP/IP通讯协议中标记每台计算机的地址。通常我们使用点式十进制来表示，如192.168.1.6等。也就是说IP地址有两种表示形式：二进制和点式十进制，一个32位IP地址的二进制是由4个8位域组成。即 （192.168.1.6）。 每个IP地址又可分为两部分。即网络号部分和主机号部分：网络号表示其所属的网络段编号，主机号则表示该网段中该主机的地址编号。按照网络规模的大小，IP地址可以分为A、B、C、D、E五类，其中A、B、C类是三种主要的类型地址，D类专供多目传送用的多目地址，E类用于扩展备用地址。A、B、C三类IP地址有效范围 2.当局域网通过路由设备与广域网连接时，路由设备会自动将

26、该地址段的信号隔离在局域网内部，不用担心所使用的保护IP地址与其他局域网中使用的同一地址段的保留IP地址发生冲突（即IP地址完全相同）。所以完全可以放心大胆地根据自己的需要（主要考虑所需的网络数量和网络内计算机的数量）选用适当的专有网络地址段，设置本企业局域网中的IP地址。 路由器或网关会自动将这些IP地址拦截在局域网络之内，而不会将其路由到公有网络中，所以即使在两个局域网中均使用相同的私有IP地址段，彼此之间也不会发生冲突。在IP地址资源已非常紧张的今天，这种技术手段被越来越广泛地应用于各种类型的网络之中。当然，使用内部P地址的计算机也可以通过局域网访问Internet，不过需要使用代理服务

27、器才能完成。 当企业网络所拥有的公网IP地址比较少，甚至只有1个时（ISP往往只给企业提供1个IP地址），那么，在企业内部就必须采用私有IP地址，再借助地址映射或代理服务器实现Internet连接共享，并借助端口映射，将网络内部的服务器发布到Internet。 3、IP地址信息 通常来说，一个完整的IP地址信息应该包括IP地址、子网掩码、默认网关和DNS等4部分内容，只有当它们各司其职、协同工作时，我们才可以访问Internet，并被Internet中的计算机所访问。需要注意的是，采用静态IP地址接入Internet时，ISP应当为用户提供全部IP地址信息。 IP地址 企业网络使用的合法IP地

28、址由提供Internet接入的服务商（ISP）分配，私有IP地址则可以由网络管理员自由分配。需要注意的是，网络内部所有计算机的IP地址都不能相同，否则，会发生IP地址冲突，导致网络通讯失败。 子网掩码 子网掩码是与IP地址结合使用的一种技术。它的主要作用有两个，一是用于确定厂地址中的网络号和主机号，二是用于将一个大的IP网络划分为若干小的子网络。 该公司的地址具体的IP规划见下表：设备位置设备名称IP地址子网掩码外网防火墙192.168.254.2 255.255.255.0内网路由器 172.16.1.181255.255.255.0内网 服务器172.16.1.183255.255.255

29、.0内网核心层交换机 172.16.1.197 255.255.255.0内网汇聚层交换机 172.16.1.198 255.255.255.0内网接入层交换机 172.16.1.195 255.255.255.0内外防火墙172.16.1.196 255.255.255.0第5章 网络安全设计网络安全是指网络系统的、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，不中断。 网络安全从其本质上来讲就是网络上的。从广义来说，凡是涉及到网络上信息的、和可控性DMZ区是一个非安全系统与安全系统之间的缓冲区，它是为了解决安装后外部网络不能访问内部

30、的问题，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的方案，对攻击者来说又多了一道关卡。网络的防火墙保护内部网络的安全，由内部防火墙和外部防火墙构成管理所有外部网络对DMZ的访问。内部管理DMZ对于内部网络的访问。内部是内部网络的第三道安全防线(前面有了外部防火墙和)，当外部防火墙失效的时候，它还可以起到保护内部网络的功能。而局域网内部，对于Internet的访问由内部和位于DMZ的控制。，公司网络安全隐患1.系统的

31、安全隐患 应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。应用的安全性也是动态的。需要对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。主要有文件服务器的安全风险、数据库服务器的安全风险、病毒侵害的安全风险、数据信息的安全风险等 。2 管理的安全隐患 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。用户权限设置过大、开放不必要的服务端口，或者一般用户因为疏忽，丢失帐号

32、和口令，从而造成非授权访问，以及把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。可能造成极大的安全风险。 3 操作系统的安全漏洞 计算机操作系统尤其服务器系统是被攻击的重点，如果操作系统因本身遭到攻击，则不仅影响机器本身而且会消耗大量的网络资源，致使整个网络陷入瘫痪。 4 病毒侵害 一旦有主机受病毒感染，病毒程序 就完全可能在极短的时间内迅速扩散，传播到网络上的其他主机，可能造成信息泄漏、文件丢失、机器不能正常运行等。 5 需求分析 公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和综合部门，需要他们之间

33、相互隔离。同时由于考虑到Internet 的安全性，以及网络安全等一些因素。因此本企业的网络安全构架要求如下： 1.根据公司现有的网络设备组网规划；2.保护网络系统的可用性；3.保护网络系统服务的连续性； 4.防范网络资源的非法访问及非授权访问；5.防范入侵 者的恶意攻击与破坏；6.保护企业信息通过网上传输过程中的机密性、完整性； 7.防范病毒的侵害；8.实现网络的安全管理。 通过了解公司的需求与现状，为实现网络公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端

34、计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要 （1）构建良好的环境确保企业物理设备的安全（2）划分VLAN控制内网安全 （3）安装防火墙体系（4）安装防病毒服务器（5）加强企业对网络资源的管理 如前所述，公司信息系统存在较大的风险，网络信息安全的需求主要体现在如下几点： (1) 公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护

35、的覆盖面，增加新的安全防护手段。 (2)网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。 (3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。 (4)信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是公司面临的重要课题。6息安全策略信息安全的目标是通过系统及网络安全配置，应用防火墙及入侵

36、检测、安全扫描、网络防病毒等技术，对出入口的信息进行严格的控制；对网络中所有的装置进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，监控整个网络的运行状况。 7. 防火墙实施方案 根据网络整体安全及保证财务部的安全考虑，采用2台cisco pix535防火墙，一防火墙对财务部与企业内网进行隔离，另一防火墙对Internet 与企业内网之间进行隔离，其中内服务器对外服务器连接在防火墙的 DMZ 区与内、外网间进行隔离。 防火墙设置原则如下所示：建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核，严格控制

37、外网用户非法访问；防火墙DMZ区访问控制，只打开服务必须的HTTP、FTP、SMTP、POP3 以及所需的其他服务，防范外部来的拒绝服务攻击；定期查看防火墙访问日志对防火墙的管理员权限严格控制。 8 Internet 连接与备份方案 防火墙经外网交换机接入 Internet。此区域当前存在一定的安全隐患：首先，防火墙作为企业接入Internet的出口，占有及其重要的作用，一旦此防火墙出现故障或防火墙与主交换机连接链路出现问题，都会造成全台与 Internet 失去连接；其次，当前的防火墙无法对进入网络的病毒进行有效的拦截。为此，新增加一台防火墙和一台防病毒过滤网关与核心交换机。防病毒网关可对进

38、入网络的流量进行有效过滤，使病毒数据包无法进入网络，提高内网的安全性。防火墙连接只在主核心交换机上，并且采用两台防火墙进行热备配置，分别连接两台核心交换机。设备及链路都进行了冗余配置，提高了网络的健壮性。根据改企业未来的应用需求，可考虑网络改造后，将Internet 连接带宽升级为100M。 9 入侵检测方案在核心交换机监控端口部署CA入侵检测系统(eTrust Intrusion Detection)，并在不同网段(本地或远程)上安装由中央工作站控制的网络入侵检测代理，对网络入侵进行检测和响应。 0 VPN 系统 考虑到本公司和其子公司的通信，通过安装部署VPN系统，可以为企业构建虚拟专用网

39、络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程 LAN 的安全连接。集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。 11 网络安全漏洞 企业网络拥有 WWW、邮件、域、视频等服务器，还有重要的数据库服务器，对于管理人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞.因此需要借助漏洞扫描工具定期扫描、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，达到增强网络安全性的目的

40、。 12 防病毒方案采用 Symantec网络防病毒软件，建立企业整体防病毒体系，对网络内的服务器和所有计算机设备采取全面病毒防护。 并且需要在网络中心设置病毒防护管 理中心，通过防病毒管理中心将局域网内所有计算机创建在同一防病毒管理域内。通过防病毒管理域的主服务器，对整个域进行防病毒管理，制定统一的防毒策略，设定域扫描作业，安排系统自动查、杀病毒。可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控；可实现对所有防毒软件的集中管理、集中设置、集中维护；可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式，对病毒的爆发进行报警；可集中获得防毒系统的日志信息；管理人员可方便地

41、对系统情况进行汇总和分析。根据企业内部通知或官方网站公布的流行性或重大恶性病毒及时下载系统补丁和杀毒工具，采取相关措施，防范于未然。 14.访问控制管理 实施有效的用户口令和访问控制，确保只有合法用户才能访问合法资源。在内网中系统管理员必须管理好所有的设备口令，不要在不同系统上使用同一口令；口令中最好要有大小写字母、字符、数字；定期改变自己的口令。由于企业广域网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意使14系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访

42、问控制最成熟的是采用防火墙技术来实现的，本方案中选择带防火墙功能的VPN设备来实现网络安全隔离。15重要文件及内部资料管理 定期对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。可选择功能完善、使用灵活的备份软件配合各种灾难恢复软件，全面地保护数据的安全。系统软件、应用软件及信息数据要实施保密，并自觉对文件进行分级管理，注意对系统文件、重要的可执行文件进行写保护。对于重要的服务器， 利用 RAID5等数据存储技术加强数据备份和恢复措施；对敏感的设备和数据要建立必要的物理或逻辑隔离措施。 16网络信息管理策略计算机网络中心设计即公司网络安全

43、管理策略的建设如下： （1）USB Key 是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key 内置的密 码算法实现对用户身份的认证。基于PKI的USB Key 的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。 （2）安全登录系统。由于网络开发中心以及财务部门涉及公司的网络部署 以及财务状况，需要高度保密，只有公司网络安全主管、财务主管以及公司法人才可以登录相应的网络， 而安全登录系统正是提供了对系统和网络登录的身份认证，使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。（3）文件加密系统。与普通网络应用不同的是，业务系统是企业应用的核心。对于