中小企业局域网建设和Web服务器配置-【模板范本】.doc

《中小企业局域网建设和Web服务器配置-【模板范本】.doc》由会员分享，可在线阅读，更多相关《中小企业局域网建设和Web服务器配置-【模板范本】.doc（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、毕业设计（论文）(2011届）题 目 中小企业局域网建设和Web服务器配置系 别 专 业 班 级 学 号 姓 名 指导教师 2011年5月30日目 录第1章前 言41.论文背景41。1 局域网设计方案的意义51.2 局域网涉及主要网络技术5第2章 局域网建设目标62。1 建设目标62.2 设计原则7第3章 需求分析73。1 局域网需求73。1.1 从企业对信息的需求来看73.1.2 从企业的管理角度来看73。1。3 从企业的业务角度来看73。2 网络应用需求73.3 局域网技术需求83.4 局域网功能需求83。5 局域网需求挑战9第4章 局域网方案设计104.1 网络拓朴设计104.2 IP编

2、址及VLAN划分104。3 设计方案设备选型12第5章 网络安全设计145.1 物理层安全145。2 系统安全155.3 网络层安全155.4 应用层安全165。5 管理层安全16第6章 系统安装和WEB服务器配置176。1系统安装、系统安全策略配置176。1.1 Windows 2003 安装策略1762 安装Web服务196.3配置虚拟目录19结束语22参考文献23感 言24中小企业局域网建设和Web服务器配置【摘要】 21世纪将是知识经济时代，以知识和信息的生产、传播和应用为基础的知识经济将占世界经济发展的主导地位。随着现代科学技术的飞速发展,世界范围内的信息化浪潮势不可挡。国际互联网（

3、Internet）上相连的计算机已近达数亿万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息，成为信息时代全球可共享的最大信息基地。越来越多的企业都开始组建自己的局域网,通过局域网与世界相连，通过局域网和Web服务器使得企业内部信息共通。【关键词】局域网；Internet；web服务器;第1章 前 言1.论文背景某企业为了适应现代化办公需要,决定建设自己的局域网和web服务器。服务器部分:WEB服务器是Intranet（企业内部网）网站的核心，便于组建企业内部信息交流平台。局域网部

4、分:该企业厂区分为A区、B区、C区以及D区。A区为核心区域，严格控制其它区域访问控制。B区、C区和D区在建造时采用相同的设计结构.1。1 局域网设计方案的意义 从厂商的角度讲，他们追求的是价格最贵化，设备最好化，简度冗余化。总体上来说就是追求整体方案的最大利润化.而从厂家的角度讲，他们追求的是成本控制严格，尽量满足需求，提供投资保护。简言之就是：整体方案以满足企业需求为目的。所以说他们的出发点是不一样的，很明显最终的设计方案就不一样。当然，我们是站在企业的角度来提出建网设计方案的。所以，能否设计出既能满足企业网络需求，又能购买到性价比高的设备至关重要.而组网方案又为我们提供了很好的参考,其意义

5、不言而喻.1.2 局域网涉及主要网络技术路由技术:在通信子网间路由数据包，具有在网络中传递数据选择最佳路径的能力,利用访问控制列表,路由器还可以完成路由器为中心的流量控制和过滤功能.交换技术：在通信子网间分离冲突域，实现端口化最小冲突域，减小数据包在网络中传输时引发的碰撞与冲突,达到快速转发数据包的目的.虚拟网技术:解决交换机在进行局域网互连时无法限制广播的问题，把一个LAN划分成多个逻辑的VLAN，VLAN间则不能直接互通，广播报文被限制在一个VLAN内。冗余技术：通过配置HSRP，在主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连

6、通中断现象。远程访问技术：可以为家庭办公用户和出差在外的员工提供移动接入服务。防火墙技术：防火墙（英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。也有以防火墙为名的电影。虚拟路由器技术：虚拟路由器冗余协议(VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器

7、的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议. VRRP 包封装在 IP 包中发送。VPN技术：虚拟专用网（vpn）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道.使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连

8、接;可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。第2章 局域网建设目标2。1 建设目标l 高速、安全、可靠、可扩充网络系统,充分满足企业内部的交互及管理需求;l 实现企业与Internet安全互联、对外发布应用服务器、提供移动用户的接入访问；l 企业实现全部信息化、无纸化办公，改变传统工作方式，提高工作效率；l 实现业务信息综合分析,提供领导决策，更好的组织生产与经营企业。2。2 设计原则l 在网络规划方面,采用统一的IP应用、网络设计及管理的国际标准;l 在软硬件选择方面，所选产品必须遵循标准化原则，方便升级及管理；l 在安全方面,

9、具有良好的安全性与保密性，受攻击时有可追溯性；l 在投资保护方面,做到资源共享与保护，满足现状时具有强扩展性。第3章 需求分析3.1 局域网需求3。1。1 从企业对信息的需求来看l 信息就是金钱时代 l 单机应用到多机互联的应用l 手工管理方式及手段急需改变3。1.2 从企业的管理角度来看l 领导更全面的掌握企业的运作信息3.1。3 从企业的业务角度来看l 内部及外部间沟通更加顺畅l 无纸化、自动化办法时代l 提高工作效率、降低运营成本3.2 网络应用需求实现企业局域网与其他各网络之间的安全、高速数据访问交换采用Internet代理服务，实现企业所有站点通过电脑网络高速访问Internet。建

10、web服务器,实现企业在Internet和Intranet上的信息发布,使公司内外的人员能够即使了解公司的最新信息。建立邮件服务器，实现企业工作人员与上级机构、分支机构等的电子信息的传递.构建起企业运行基于网络设计的Client/Server（客户机/服务器）或Browser/Server(浏览器/服务器）结构的办公自动化系统、各种信息管理系统的网络硬件平台和系统运行平台.公司Internet应用是作为我们设计网络一期的依据，因此，我们从公司Internet应用及应用发展入手，分析目前及未来发展的公司Internet应用，并根据这些应用的自身特点，从带宽需求、传输时延、传输的可靠性、传输的安全

11、性等因素来分析，综合考虑并总结出公司Internet应用的发展需求.天河科技有限公司Internet应用主要有:u Internet信息交流：实现资源高度共享,为销售、研发、人力资源管理等提供Internet接入服务u 视频会议系统：实现对视频和音频数据的多路组播和广播u WEB信息发布u 电子邮件、公告牌、电视会议和产品信息查询等服务3。3 局域网技术需求 主干网络采用速率为1000Mbps的交换技术.作为公司主干的支撑网络，要求安全可靠，并可实现主干网络冗余、链路容错等功能。 系统各层网络之间良好互联。 千兆交换机与主机服务器之间良好互联。 具有良好便捷网络管理平台。网管系统是开放式网管平

12、台，并可以对全网进行故障管理、配置管理、性能管理、事物处理管理、流量控制管理、日志管理、多厂家产品管理、MIB管理、效率管理和图形化管理。 网络骨干设备具有较高的可靠性；核心设备支持热插拔，具有容错设计. 网络设备具有较好的扩展性，系统能够平滑升级及扩充。3。4 局域网功能需求u 资源共享功能：网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各功能。u 通信服务功能：最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。u 多媒体功能:支持多媒体组播,具有卓越的服务质量保证功能。u 远程VPN拨入访问功能：系统支持远程PPTP接入，外地员工

13、可利用INTERNET远程访问公司资源。3。5 局域网需求挑战 高性能、高安全。 满足需求、稳定、可靠. 低成本、投资保护。第4章 局域网方案设计4.1 网络拓朴设计4.2 IP编址及VLAN划分该企业使用私有IP地址来规划内网IP地址,选择172。16.0。0/16地址.IP地址规划分为四块：用户地址、设备互联地址、设备管理地址以及服务器地址。 用户IP地址:172。16.10.0/24172.16.20.0/24 设备管理IP地址：172。16。9。0/24 设备互联IP地址：172。16。8.0/24 服务器IP地址：172.16。7。0/24u 终端设备IP地址规划终端设备IP以及Vl

14、an规划区域网段默认网关vlan号Vlan名A区172.16。10.0/24172.16。10。11area-A窗体顶端窗体底端B区172。16.11.0/25172.16。11.12area-B窗体顶端窗体底端C区172。16。11。128/25172。16。11.1283areaC窗体顶端窗体底端D区172.16.12.0/25172.16。12.14areaDserver1172。16。7。1/30172。16。7.2server2172。16。7。5/30172.16.7。6sever3172.16。7.9/30172。16。7。10DMZserver172.16。7.13/30172

15、.16.7.14u 设备管理IP地址规划设备管理IP地址规划区域管理IP/32设备命名A区172。16.9.1SwitchA1172。16。9.2SwitchA2172.16。9。3Switch-A3172。16。9.4Switch-A4窗体顶端窗体底端172。16。9.5SwitchA5窗体顶端窗体底端B区172.16.9.6Switch-B1窗体顶端窗体底端172。16.9.7Switch-B2172.16。9.8SwitchB3C区172。16。9.9Switch-C1172.16.9.10SwitchC2172.16.9.11SwitchC3D区172.16。9。12Switch-D1

16、172。16.9。13SwitchD2172。16。9.14SwitchD34.3 设计方案设备选型Catalyst 4506千兆三层交换机l 线速三层交换,L4L7流分类l SUPEnV10GE引擎l 背板转发：136Gbit/s/102Mppsl 基于软件的容错以及1+1电源冗余l 模块化结构，提供投资保证设备应用l 只能园区网汇聚接入l 中小企业汇聚核心l 中小分支机构核心l 配线间Catalyst 2960l 千兆上行，二层线速l 提供访问控制列表和增强安全特性l 双介质上行链路提供千兆链路 灵活性l 实现了网络控制和带宽优化l 多种验证方法，实现网络安全性设备应用l 小型配线间l 小

17、型分支机构l 桌面/工作组交换机Cisco 3640园区和分支接入路由器l 集成了多服务平台l 高密度ISDN PRI功能l 预配置的PRI和BRI调制解调器捆绑l 完美的VPN支持l 模块化、可伸缩的设计l 提供性能、可伸缩性、灵活性和投资保护设备应用l 园区网广域网接入l 中小企业分支接入l 配线间第5章 网络安全设计企业网内的用户数量较大，局域网络数目较多，经过分析可以总结出天河科技企业网面临着如下的安全威胁：n 各种操作系统以及应用系统自身的漏洞带来的安全威胁;n Internet网络用户对企业网存在非法访问或恶意入侵的威胁；n 来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及

18、文件传输等将病毒带入企业内网.内部职工可能由于使用盗版介质将病毒带入内网；n 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网;n 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；n 可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁；上述分析的几点是当今企业网普遍面临的安全隐患。企业网络的应用水平也在不断提高.规模的壮大和运用水平的提高就决定了网络面临的隐患也相应加剧.那么就及上述分析我们应从物理、系统、网络、应用及管理五个层设计

19、适合于本网络的安全方案。5.1 物理层安全 物理层的安全主要包括环境、设备及线路的安全.系统中心或机房的建设应遵照：GB5017393电子计算机机房设计规范、GB288789计算机站场地安全要求及GB2887-89计算机站场地技术条件的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏.同时，要注意保护线路的安全，防止用户的搭线窃听行为。5.2 系统安全系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：l 采用主机加固手段加固主机，如升级、及时打补丁、关闭不需要的端口和服务等；l 对系统重要文件进行及时备份、加密来保障

20、系统文件的安全；l 及时更新杀毒软件，定时扫描漏洞保障系统安全;l 严格控制权限加强对主机的访问控制；l 使用强密码帐号保障系统帐号的安全；l 日志分析,及时发现异常；5.3 网络层安全网络中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视.定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要几方面的网络层安全防护： n 划分安全子网.如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。n 加强网络边界的访问控制.安全等级差别较大的边界需要采用防火墙来控制。如内网、外网和I

21、nternet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁.n 防止内外的攻击威胁.在每个安全域内或多个安全域之间安装入侵检测系统（IDS），可有效地防止来自网络内外的攻击。 n 定期的网络安全性检测实现持续安全.利用漏洞扫描器（Scanner)，定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。n 建立网络防病毒系统。在企业网中安装网络版的防毒系统,集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害.5.4 应用层安全应用层的安全措施主要有以下几点：u 加载邮件过滤系统，过滤垃圾邮件；u 各应用系统自身的加固;u 建立身

22、份认证系统，对各用户进行严格身份认证；u 建立安全审计系统,进行安全审计；u 建立备份系统，及时备份重要文件；5。5 管理层安全实现管理层的安全主要注意以下几点： 建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。 建立、健全安全管理体制.内网用户较多，一定要建立一套合理可行的安全管理制度.只有制度和设备的完美结合才能真正提高校园网的安全水平。 机房重地要重点保护，闲人不得随意进入。 提高全员的安全意识适当进行安全培训。第6章 系统安装和WEB服务器配置6.1系统安装、系统安全策略配置 使用NTFS格式分区、设置不同的用户访问服务器的不同权限是搭建一台安全WEB服务器的最低要求

23、。6。1。1 Windows 2003 安装策略1、系统安装在单独的逻辑驱动器并自定义安装目录；以“最小的权限+最少的服务=最大的安全为基本理念，只安装所必需的服务和协议，如DNS、DHCP，不需要的服务和协议一律不安装；只保留TCP/IP 一项并禁用NETBOIS；安装Windows2003最新补丁和防病毒软件。2、关闭windows2003不必要的服务.关闭Computer Browser 、Task scheduler 、Routing and Remote Access、Removable storage 、Remote Registry Service、Print Spooler、I

24、PSEC Policy Agent 、Distributed Link Tracking Client、Com+ Event System 、Alerter、Error Reporting Service 、Messenger 、Telnet服务。3、设置磁盘访问权限。系统磁盘只赋予administrators和system权限，系统所在目录（默认时为Windows)要加上users的默认权限，以保障ASP和ASPX等应用程序正常运行。其他磁盘可以此为参照，当某些第三方应用程序以服务形式启动时,需加system用户权限，否则启动不成功。4、注册表HKEY_LOCAL_MACHINE/SYSTE

25、M/CurrentControlSet/Control/LSA，将DWORD值RestrictAnonymous的键值改为1,禁止 Windows 系统进行空连接.5、关闭不需要的端口、更改远程连接端口。本地连接属性Internet协议（TCP/IP）高级选项TCP/IP筛选属性把勾打上，添加需要的端口(如： 21、80）.更改远程连接端口：开始运行输入regedit查找3389:将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp和HKEY_LOCAL_MACHINESYSTEMCurre

26、ntControlSetControlTerminal ServerWinStationsRDPTcp下的PortNumber=3389改为自宝义的端口号并重新启动服务器.6、编写批处理文件delshare.bat并在组策略中应用，以关闭默认共享的空连接。(以服务器有4个逻辑驱动器为例） net share C$ /delete net share D$ /delete net share E$ /delete net share F /delete net share admin$ /delete 将以上内容写入delshare.bat并保存到系统所在文件夹下的system32GroupPo

27、licyUserScriptsLogon目录下。运行gpedit.msc组策略编辑器，用户配置Windows设置脚本(登录/注销）登录“登录 属性”“添加”“添加脚本对话框的“脚本名”栏中输入delshare.bat“确定”按钮重新启动服务器，即可自动关闭系统的默认隐藏共享，将系统安全隐患降至最低.7、限制匿名访问本机用户。 “开始”“程序”“管理工具”“本地安全策略”“本地策略“安全选项”双击“对匿名连接的额外限制”在下拉菜单中选择“不允许枚举SAM帐号和共享”“确定。8、限制远程用户对光驱或软驱的访问 . “开始“程序”“管理工具”“本地安全策略”“本地策略“安全选项双击“只有本地登录用户

28、才能访问软盘”在单选按钮中选择“已启用(E）” “确定”.9、限制远程用户对NetMeeting的共享,禁用NetMeeting远程桌面共享功能。 运行“gpedit.msc” “计算机配置”“管理模板”“Windows组件” “NetMeeting “禁用远程桌面共享”右键在单选按钮中选择“启用(E）”“确定”。10、限制用户执行Windows安装程序，防止用户在系统上安装软件。方法同（9）.11、删除C:WINDOWSWEBprinters目录，避免溢出攻击（此目录的存在会造成IIS里加入一个.printers的扩展名，可溢出攻击)。12、删除C：WINDOWSsystem32inetsr

29、viisadmpwd，此目录在管理IIS密码时使用（如因密码不同步造成500 错误时使用OWA或Iisadmpwd 修改同步密码)，当把账户策略 密码策略 密码最短使用期限 设为0天即密码不过期时，可避免IIS密码不同步问题.这里就可删掉此目录。13、修改注册表防止小规模DDOS攻击。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建 DWORD值”名为 ”SynAttackProtect 数值为1”62 安装Web服务开始设置控制面板添加/删除Windows组件出现“Windows组件向导”选择“Interne

30、t信息服务（IIS）”组件详细信息出现“Internet信息服务（IIS）”对话框，勾选“World Wide Web服务器” 确定下一步完成Web服务器的安装。6.3配置虚拟目录开始程序管理工具Internet服务管理器右击“默认的Web网站”，在弹出的菜单中选择“新建”“虚拟目录”，如图6。3.1所示下一步输入虚拟目录别名，在这里我输入“jsj ，如图6.3.2所示选择Web站点内容目录,如图6.3.3所示设置权限完成虚拟目录的配置,如图6。3。4所示。图6.3。1、图6.3。2图6。3.3图6.3。4结束语从二月份开始接到这篇论文，通过从指导老师了解这篇论文,并且告诉我这篇论文所要使用哪

31、些知识，细心的指导我从这些知识中吸取知识的精华。从开始学这篇论文的时候，我对自己能不能做好论文而感到疑问的时候，是老师你鼓励了我。在此论文撰写过程中,要特别感谢我的指导老师的指导与督促,同时感谢他的谅解与包容。没有指导老师的帮助也就没有今天的这篇论文。求学历程是艰苦的，但又是快乐的。在写这篇论文的过程中，使我对自己的知识进一步的了解和掌握.也是我以后能够独立的完成设计而充满自信。参考文献1. 杨威，贾福祥，杨陟卓 局域网组建管理维护 人民邮电出版社，2009.22. 谭珂,全惠民，局域网组建与管理手册，中国青年出版社,2003。23. 明月创作室，局域网高级组网技术与精彩案例DIY，人民邮电出

32、版社，2001。114. 张琦,案例精解企业网及网络构建，电子工业出版社，2008.75. 郝卫东,刘鸿涛,文哲明，企业网组网指南，清华大学出版社，2001.5感 言在本设计中，有许多我不懂不精通的地方,都是靠指导老师的悉心指导,耐心解说，同时感谢他的谅解与包容.求学历程是艰苦的,但又是快乐的。他不求回报，无私奉献的精神很让我感动，再次向他表示由衷的感谢.在这三年的学期中结识的各位生活和学习上的挚友让我得到了人生的一笔财富。在此，也对他们表示衷心感谢。最后我的特别感谢一下傅立军老师,在本设计刚刚开始的时候他给我很多的思路方法，对于专业上的问题,他都能一点一滴的回答我，对我这次能顺利完成毕业设计论文给予了极大的支持,对我来说没有傅立军老师就没有我顺利完成毕业设计。再次我深深感谢傅立军老师！想对您说:“您辛苦了！当然我还要感谢我的母校，在这技术的土壤上,让我对学习对专业产生了巨大的兴趣，让我能从事网路这行业打好了坚实的基础！在此我深深对杭职院表示敬意！本文参考了大量的文献资料,在此，向各学术界的前辈们致敬！24