计算机网络及网络安全系统施工工艺.docx

《计算机网络及网络安全系统施工工艺.docx》由会员分享，可在线阅读，更多相关《计算机网络及网络安全系统施工工艺.docx（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络及网络平安系统施工方案一、安装要求（一）准备要求1）安装环境的检查网络机房、配线间的安装要求土建及装修完毕；机房的温湿度、光照度、通风等条件要满足设备安装要求；2）设备的检查备外形完整，内外外表漆层完好；设备单个通电检查，无异常情况；小范围内控制系统通电联合检查，各个设备无异常情况。3）线缆的检查线缆的布放是否符合设计要求；线缆的通断检查；线缆的短路检查；线缆接地检查；线缆的标识应正确；4）所有勘察内容均应作详细记录。5）设备安装区域要求土建及装修完毕，并具备必要的保安措施。（-）设备的安装要求交换机服务器设备的安装：1）在机房选择合适位置摆放设备机柜，机柜应并排布置。2）机柜侧面与

2、墙、机柜反面与墙的净距800mm或以上。3）机柜设备固定安装不松动，设备之间应留适当间隔以通风散热。机柜设备间连接线应牢固连接到相应接线端子，各线缆标识清楚正确，绑扎 条理。（三）网络平安性防火墙和防病毒软件等产品必须拥有公安部计算机信息系统平安产品质量 监督检验中心颁发的销售许可证；特种行业有其他规定时，还应遵守行业的相关 规定。所有对外提供服务的服务器只能放在外部网络上，不允许放在楼内办公网络; 数据库服务器和其它不对外服务的服务器应放置在内部局域网。1）防火墙配置要求：从外网能够且只能够访问到楼内指定服务器的指定服务；未经授权，从外网不允许访问到内网的任何主机和服务；从内网可以根据需要访

3、问外网的指定服务；防火墙的配置必须针对某个主机、网段、某种服务；防火墙的配置必须能够防范IP地址欺骗等行为；配置防火墙后，必须能够隐藏内部网络结构，包括内部IP地址分配；防火墙的配置必须是可以调整的。2）网络环境下病毒的防范分以下层次：配置网关型防病毒服务器的防病毒软件，对进出办公自动化系统网络的数据 包进行病毒检测和清除；网关型防病毒服务器应尽可能与防火墙统一管理；配置专门保护邮件服务器的防病毒软件，防止通过邮件正文、邮件附件传播 病毒；配置保护重要服务器的防病毒软件，防止病毒通过服务器访问传播；对每台主机进行保护，防止病毒通过单机访问（如使用带毒光盘、软盘等） 进行传播。3）实时入侵检测设

4、备应该具备以下特性：必须具备丰富的攻击方法库，能够检测到当前主要的黑客攻击；软件厂商必须定期提供更新的攻击方法库，以检测最新出现的黑客攻击方法;必须能够在入侵行为发生之后，即时检测出黑客攻击并进行处理；必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段；发现入侵行为之后，必须能够及时阻断这种入侵行为，并进行记录；不允许占用过多的网络资源，系统启动后，网络速度和不启动时不应有明显 区别；应尽可能与防火墙设备统一管理、统一配置。4）网络平安性要求：检查网络拓扑图，应该确保所有服务器和办公终端都在相应的防火墙保护之下;扫描防火墙，应保证防火墙本身没有任何对外服务的端口（代理内网或DMZ

5、 网的服务除外）；内网宜使用私有IP;扫描DMZ网的服务器，只能扫描到应该提供服务的端口；检测防病毒系统的有效性，将一个含有当前流行病毒的文件通过文件传 输、邮件附件、网上邻居等方式传播，各个位置的防病毒软件应能正确地检测到 该含病毒文件，并执行杀毒操作；使用一些流行的攻击手段进行攻击（如DOS决绝服务攻击），应被入侵检测 软件发现和阻断。5）操作系统平安性要求：检测方法：以系统输入为突破口，利用输入的容错性进行正面攻击；申请和占用过多的资源压垮系统，以破坏平安措施，从而进入系统；故意使系统出错，利用系统恢复的过程，窃取用户口令及其他有用的信息;利用计算机各种资源中的垃圾信息（无用信息），以获

6、取如口令，平安码， 译码关键字等重要信息；浏览全局数据，期望从中找到进入系统的关键字；浏览那些逻辑上不存在，但物理上还存在的各种记录和资料，寻找突破口。6）系统要求：操作系统版本应推荐采用国际通用的美国可信计算机系统评估准那么DoD 5200. 28-STD中划分的C2级平安；对Windows NT系列，必须采用NTFS格式，严禁使用FAT格式；对用户帐号的口令要求：最少为8位的字母、数字和特殊符号的组合，同时 要求用户必须定期（最长三个月）更换口令；有些服务如FINGER、GOPHER等严禁开放。7）实现应用系统的平安方法：使用应用开发平台如数据库服务器、WEB服务器、操作系统等提供的各种安

7、 全服务；开发商在开发应用系统时提供的各种平安服务;使用第三方应用平安平台提供的各种平安服务。第三方应用平安平台是由第 三方平安厂商提供的软件产品，主要为应用系统提供平安可靠的平安服务和统一 的平安管理平台。二、施工方法（-）施工流程现场勘察一一设备到货验收一一机柜安装一一主要设备安装一一设备接线 单台设备配置-无线AP安装及注册一-整体网络联调-一业务测试-一 网络试运行及收尾 初步验收 试运行 竣工验收。（-）设备安装1、安装交换机到机柜/机架注：浮动螺母、M4螺钉、M6螺钉和挂耳都包含在交换机发货的安装附件包 中。1）安装挂耳到交换机，将S5700-LI-BAT系列电池交换机设备两侧各提

8、供1 处挂耳安装位置。将挂耳的长边贴近交换机，挂耳的安装孔与交换机侧面的挂耳安装孔对齐。使用M4螺钉（交换机两边各安装3个）将挂耳安装到交换机的两边，顺时 针拧紧。2、安装浮动螺母到机柜的方孔条根据规划好的交换机在机柜上的安装位置，确定浮动螺母在方孔条上的安装 位置。用一字螺丝刀在机柜前方孔条上安装4个浮动螺母，左右各2个， S5700-LI-BAT系列交换机高1U,挂耳上的固定孔对应着方孔条上间隔1个孔位 的2个安装孔。保证左右对应的浮动螺母在一条水平线上。注：机柜方孔条上并不是所有的三个孔之间的距离都是1U,要参照机柜上 的刻度，需注意识别。3、安装交换机到机柜1）搬运交换机进机柜，双手托

9、住设备使交换机两边的挂耳安装孔与机柜方 孔条上的浮动螺母对齐。2）单手托住设备，另一只手使用十字螺丝刀和M6螺钉（交换机两边各安装 2个）将挂耳固定到机柜方孔条上。4、安装交换机到工作台佩戴防静电腕带或防静电手套，需确保防静电腕带已经接地并与佩戴者的皮 肤良好接触。安装胶垫贴到交换机，小心地将交换机倒置，在交换机底部圆形压印区域安 装4个胶垫贴，放置交换机到工作台，将交换机正置并平稳放置到工作台上，交 换机左侧提供防盗锁孔，交换机安装到工作台后用户可选择使用防盗锁将交换机 固定在工作台上。注：胶垫贴在随交换机发货的安装附件包中。5、为交换机连接接地线缆交换机接地是交换机安装过程中的重要一步，交

10、换机接地线缆的正确连接是 交换机防雷、防干扰、防静电损坏的重要保障，根据交换机安装的所在环境可将 交换机的地线安装在机柜/机架的接地点或安装在接地排上，下面诚恺科技小编 以将交换机的接地线缆安装到机柜的接地点举例说明。注：接地线缆在随交换机发货的安装附件包中。1）拆下交换机接地点上的M4螺，用十字螺丝刀逆时针拆下螺钉，拆下的 M4螺钉妥善放置。2）安装接地线到交换机接地点，用步骤1拆下的M4螺钉将接地线的M4端 （接头孔径较小的一端）连接到交换机后面的接地点，用十字螺丝刀顺时针拧紧。3）安装接地线到机柜接地点，使用M6螺钉将接地线的M6端（接头孔径较 大的一端）连接到机柜的接地点。6、交换机信

11、号线缆连接注：信号线缆与电源线的间距要大于10cm。各种线缆在转弯处不能过度弯折，以保护芯线不受损伤，尤其光纤不能过度 弯折。光纤进入机柜时必须套在波纹管里面。光纤的曲率半径应大于光纤直径的 20倍，一般情况下曲率半径240mln。7、交换机上电启动1）将电缆的DB-9 （孔）插头一端插入维护终端的9芯（针）串口插座，再 将RJ-45插头一端插入设备的Console 口中，如下列图所示。注、通过使用console线缆把交换机与维护终端连接起来后，在交换机上电 启动过程中，用户可根据需要选择是否进入设备的BootRom菜单。启动过程中的 BootRom菜单界面及具体操作步骤与软件版本相关（不同软

12、件版本间可能存在显 示和操作的差异）。2）交换机上电后，可看交换机和电源模块的指示灯是否正常显示，正常情 况下，交换机上PWR灯和电源模块上的STATUS灯绿色常亮。（三）交换机安装将电源插头插入电源插座。将相应主干缆的插头（光纤LC头或RJ-45头），插入主干光纤模块插口，连 接牢固。将各楼层工作站的RJ-45头插入交换机水平管理模块对应的插口，接连牢固。参照各型交换机说明书，对交换机各模块进行设置，使之符合网络所要求的 功能。对于主干网管理用交换机，需用超级终端由管理员参照说明书对交换机进行 相应的设置。安装要求如下：交换机应接地，接地电阻应符合设计要求；各类网线接入相应插口时，应接触良好

13、，连接牢固。对各类型交换机进行设置时，应按照产品说明书进行，使之符合设计要求。路由器、防火墙、上网行为管理安装方式与交换机类似。（四）各软件安装要求选择网络协议时，宜选取尽量少的协议种类，只选符合设计要求的协议即可。同一网络中各工作站，服务器所用的协议必须一致。同一网络中，各工作站的IP地址不得相同，子网掩码应一致。（五）设备检查1）电气平安操作进行电气操作时，必须遵守当地的法规和规范。相关工作人员必须具有相应 的高压、交流电等作业资格。对交流电源设备及电源线等进行操作时，严禁佩戴手表、手镯、戒指等易导 电物体。注意对设备防潮防水，一旦发生进水或潮湿现象，应立即切断电源。进行电气操作时，必须使

14、用专用工具。2）防止静电损害人体产生的静电会损害设备上的静电敏感元器件。在接触设备之前必须配带 防静电手腕，并将防静电手腕的另一端良好接地。3）网络系统调试在给设备加电之前一定要确保：电源线连接正确，设备接地良好。供电电压与设备要求的一致。配置口电缆连接正确，已经翻开用于配置设备的终端，并已经正确配置终端 参数。在严格按照以上步骤完成设备的安装和检查之后，就可以给设备加电了。加 电的顺序应该是首先翻开供电电源的开关，然后翻开设备电源开关。4）网络系统验收及验收标准测试目的是验证设备质量和配置是否合格。对每一台网络设备，均需进行如 下所列的测试工程。a.设备启动冷启动：对单个设备屡次开关电源，观

15、察能否正常启动。热启动：单个设备正常启动后，用该产品的热启动命令进行热启动测试，观 察能否正常启动。b.设备状态一般设备都有电源和每个物理端口的指示灯，配合相应产品的说明书，检查 设备的指示灯是否正常。一台设备状态正常必须是所有指示灯正常。c.配置检查用被测产品的相应命令检查网络设备的硬软件配置，特别注意软件版本。如 显示的信息符合设备合同的要求及与产品说明一致，即为正常。d.端口检查用被测产品的相应命令检查网络设备中端口配置，并用网络测试设备对端口 进行速率、校验机制等进行测试。如测试结果符合设备合同的要求及与产品说明 一致，即为正常。e.物理检查对设备进行检查，记录网络设备（对模块结构的设

16、备，还包括独立部件）出厂编号、产地、日期等内容，与合同和产品说明一致为正常。（六）技术措施1、IP地址规划规划IP地址优点：逻辑隔离：合理规划的IP地址可以实现广播域隔离，控制流量；精确化控制：经过合理规划过后的IP地址，可以利用ACL访问控制列表技术，实现精确 化控制哪些流量可以访问哪些流量，哪些流量不可以被访问；逻辑区域划分：IP地址具有容易记忆，容易识别等特点，利用IP地址规划，逻辑上区分出 来，哪些网段是游客区流量，哪些网段是管理区流量，哪些网段是服务区流量; 网络结构优化。网络重心网络的建设应该有重心，没有重心的网络必将是一个不完善的网络；核心的 网络设备可以是重心，核心的业务区域也

17、可以是重心；关于冗余全冗余的网络设计看似完善，其实其中隐含着很多资源的浪费，例如边缘设 备的链路冗余是否必要？边缘设备的链路冗余之后是否考虑设备的冗余？ 一般 冗余分为一些几种方式：设备级冗余：设备的冗余方式分为：关键部件冗余（如：引擎/电源/风扇）和整个设备冗余 （如：热备和冷备）；链路级冗余：链路的冗余分为：链路捆绑和环路冗余；在设备互联中，链路冗余是设备冗 余的基础；技术级冗余：堆叠方式、虚拟化方式、协议方式；网络建设不可以是，看着冗余，看着平安，看着舒服；设备的摆放位置，功能的实现方式，设备的配置方式，串行还是旁挂那种方式更合理？都必须经过深 思熟虑，有依据的决定后方可执行；2、信息平安信息过滤：防火墙进行传统基本网络平安检测，核心配置的IPS业务板深度检测流量的 合法性和平安性并进行过滤；流量审计：对于流量的违规行为需要记录和审计，确保有据可依、信息可查；接入平安：并非所有接入网络的用户都为合法用户，此时那么需要设置准入技术，只有经 过身份认证的用户才能够接入网络中来。