HT公司
HT公司网络架构解决方案
liuweigang
2009/12/14
目录
1. 介绍 (2)
2. 解决方案简介 (2)
2.1. 网络架构 (2)
网络分割 (3)
2.2. 其他 (3)
3. 服务设计 (4)
3.1. 基础结构服务 (4)
DNS服务 (4)
DHCP服务 (4)
3.2. 目录服务 (5)
活动目录物理结构 (5)
活动目录逻辑结构 (5)
组策略 (6)
3.3. 桌面服务 (7)
3.4. 文件服务 (7)
3.5. 打印服务 (8)
3.6. 应用程序服务 (8)
3.7. 安全服务 (9)
防火墙 (9)
补丁更新 (9)
杀毒软件 (10)
数据加密 (10)
3.8. 备份服务 (10)
使用备份工具保护数据 (10)
使用硬件冗余保护数据 (11)
3.9. 其他 (11)
1.介绍
此方案的目的是为HT公司设计全新网络架构,为了使方案得到审评后能尽快上线,方案中将基于现有最成熟的微软技术来满足公司的各种需求。
在介绍完企业的完整网络架构后,方案将会详细说明哪些系统的角色、功能和软件会被使用。这些组件将会被划分至数个服务中详细说明,这样做的目的不是将组件独立化,而是将他们按功能分类,使方案更具条理。
2.解决方案简介
2.1.网络架构
公司与Internet的接入方式是百兆带宽,局域网为千兆网络,为了方便公司员工上班时接入公司网络,便携式计算机不仅可以使用有线接入物理网络,也可以通过架设在公司各处的无线AP连入公司网络。员工在外出差或在家时,可以通过VPN(方案中未定义)或Web access两种方式访问内部资源。
图表1
网络分割
从企业的最佳安全实践和其他方面角度考虑,我们需要将公司的内网划分成三个区域,分别存放服务器、员工客户端以及测试用计算机,这三个区域通过使用路由器来连接。
对于拥有1500名员工与50名临时员工的客户端网络,我们必须进行网络分割,以避免网络内部产生过多的广播数据包。
在每一办公室设一台交换机,每一楼层设置一台路由器,每一幢楼再有一台核心路由器连接这些楼层路由器(实际情况应该是用楼层交换机划分VLAN的方式连接各办公室交换机)。
图表2
2.2.其他
在本方案中,由于未涉及群集与负载均衡等高级功能,所以除非特别注明,则服务器的操作系统均使用windows server 2008 R2 标准版。
3.服务设计
3.1.基础结构服务
DNS服务
企业内部的资源访问需要名称解析服务即将IP地址与域名进行转换,我们选择使用Windows Server 2008 R2中的DNS角色。
DNS服务器将会在搭建活动目录时安装到域控制器上。其名称空间将与活动目录名称空间相同。随后在第二台DC上我们将再次安装DNS角色,以服务提供冗余。
DHCP服务
为了简化企业内便携式计算机的网络通信问题,DHCP服务可以提供动态的地址分配机制,让计算机自动获得IP地址以实现通信,从而简化客户端网络配置。但对于服务器应该手动分配固定IP。
由于两台DC的负载并不重,所以DHCP角色将会被分别安装在两台DC上,并且需要得到活动目录授权。随后我们会在两台服务器上分别配置DHCP 地址池,实现服务的冗余。
图表3
3.2.目录服务
目录服务是所有服务中最重要的,因为它是所有其他服务的基础。公司采用域的网络架构可以实现企业内部共享资源的集中管理与控制,从而可以有效节省员工查找资源的时间。
在此解决方案中我们使用活动目录来创建一个Windows Server 2008 的域,域名为: https://www.doczj.com/doc/4010742792.html,。
由于公司的地理位置,以及多域架构将会增加企业IT环境维护成本等原因,故整个公司将采用单域、单森林的网络架构。
活动目录物理结构
鉴于活动目录对企业的重要性,方案中将采用两台DC,同时为公司内员工提供服务,这样不仅仅提高活动目录的可靠性,同时也提升了员工查找资源的效率。
图表4
活动目录逻辑结构
一旦AD被搭建,我们就需要依据企业的管理模型开始创建OU和组,实现对企业内的不同用户和计算机的管理。
图表5
方案中,我们在活动目录用户和计算机控制台中创建一个“根”OU,命名为:HT。在“HT”OU中,我们将依据部门来创建二级OU,再依据二级OU中存放的对象类型来创建三级OU。
创建的原则为:
1.分别为不同部门创建一个OU,临时员工账户均归入到“临时部门”OU;
2.计算机账户与用户账户需要分开存放;
3.服务器的计算机账户应该单独一个OU,两台DC除外。
组策略
域组策略可以帮助简化企业IT管理,实现客户端配置的自动化。当相应的OU被创建出
来后,组策略对象(GPOs)将会被链接到OU上,来实现:
●用户配置文件中的主文件夹与文件夹重定向
●集中的软件分发
●软件限制策略
●客户端自动配置补丁更新源为本地WSUS服务器
●客户端脱机文件的启用
●账户安全策略
●客户端防火墙自动配置
●BitLocker配置
●…
3.3.桌面服务
新引进的计算机需要统一安装最新的windows 7 专业版系统,在部署客户端系统时应该同时把相应的软件全部安装完毕。为了满足企业部署客户端的要求,我们采用windows server 2008 R2中的windows 部署服务(WDS)
WDS两个组件将被安装在一台单独的服务器上,WDS服务器被配置为需要管理员批准后才能部署系统,并且在大规模部署客户端完成后,也可以随时接受客户端安装系统的请求。在部署windows 7专业版之前,我们需要单独安装一台样机(所有软件安装完毕),使用捕获映像将其捕获为wim映像,随后再部署给客户端计算机。
同时为了让用户第一次登录时的计算机桌面使用公司logo,以及要求临时员工的账户配置文件应该存储在公司服务器上,在此我们将采用以下技术:
●域默认配置文件:在其中一台DC的netlogon文件夹下放置预置好的配置文件,两
台DC间会同步netlogon文件夹下的文件。
●漫游配置文件:将临时员工的账户配置文件漫游至公司的文件服务器上的某一共享
文件夹中。
●主文件夹、文件夹重定向:采用这两种技术来缩小临时员工账户配置文件的体积,
主文件夹与文件夹重定向均指向公司文件服务器的一单独共享文件夹。
3.4.文件服务
为了能让企业员工之间更好的交换和存储各种软件与文档,文件服务可以为企业员工提供文件的存储与共享平台。
本方案中将采用单台文件服务器为企业员工提供文件服务。但单台文件服务器上的数据存储会有一定的风险,此时我们将采用动态磁盘的RAID-5技术来提供数据的故障转移的同时应使用Server backup工具做好数据的备份工作。
方案中我们将使用多种技术来更好的管理文件服务器:
●NTFS与共享权限相结合:保证员工只有与之相适应的权限来访问数据
●脱机文件:使员工在家是依然可以离线编辑文档,继续工作
●NTFS压缩:节约磁盘空间
●磁盘配额:控制用户的磁盘空间使用量
●FSRM的文件屏蔽功能:控制用户可存储的文件类型
●VSS卷影副本:更加灵活的让用户恢复以前版本的文档。
3.5.打印服务
公司的业务需要员工经常打印各种文档,为了更加方便员工打印文档,公司在各层楼中放置多台打印机。打印服务将由Windows Server 2008 R2中的“打印服务”角色提供,为了更好的协调打印机之间工作,我们将在每个楼层放置一台打印服务器,并设置打印机池来提供打印服务的负载均衡。
通过组策略对象在所有的客户端计算机上部署打印机,以实现更加便捷的自动化打印机配置,用户无论在哪打印,文件总会在同楼层的打印机中打印。
图表6
3.6.应用程序服务
因为员工笔记本的性能一般,无法运行某些大型专业软件,以及临时员工的计算机不允许安装企业专业软件的等原因,企业需要单独的服务器为员工提供基于RDP协议的软件访问。
本方案采用Windows Server 2008 R2的终端服务器应用程序模式中的TS RemoteApp功能,为员工提供多种方式来访问运行于服务器上的应用程序。
●TS Web access:通过网页的形式访问企业专业软件或远程桌面,将网站发布到外网,
则允许出于外网的员工访问企业专业软件,此服务同样依赖于IIS 7.0角色组件。
●组策略分发:通过组策略将软件的相应.msi数据直接分发并安装到处于公司内网的
员工计算机桌面上,从而实现更加方便的程序访问。
图表7
由于终端服务器的负载一般,所以暂时方案中采用一台终端服务的架构,以后可根据实际的终端服务器的负载适时引入多台终端服务器提供负载均衡,以承载更高负荷。
3.7.安全服务
安全服务规划了企业在安全防护方面的内容,企业的网络、服务器、客户端及各种数据应该的得到有效的保护,以预防各种数据丢失给企业带来的损失。
安全服务涉及各个技术层面,我们将采用多重技术来为企业提供立体安全防御体系。防火墙
企业的边缘网络将放置一台防火墙服务器,用于保护整个企业IT环境,抵御基于Internet 的威胁。我们选用Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1产品,该产品不仅可以很好的保护企业内部网络不受Internet威胁侵袭,还可以方便发布公司的内部网站到Internet,例如应用程序服务中的TS Web access,ISA Server 2006可以非常方便的发布终端服务的网页。(由于此处超出课本范围,故不详细讨论)
服务器和客户端计算机均应启用windows 防火墙,以保护计算机的内部数据
ISA Server 2006与Windows 防火墙将组成两道安全防线。
补丁更新
服务器与客户端及时打最新的微软漏洞补丁也可以在很大程度上保护自身的安全。为了减少更新补丁对企业出口带宽的影响,我们引入微软补丁更新解决方案中的WSUS来对企业
计算机进行及时的补丁更新。
WSUS组件将被安装到一台单独的服务器上,采用单WSUS服务器架构,服务器将可以透过防火墙到微软的更新网站去下载补丁更新。客户端则使用WSUS服务器做更新源。企业中还应有几台客户端做补丁更新测试用,此时我们将采用WSUS中的计算机组来实现对部分计算机分发补丁的目的。
通过使用域组策略,可以实现客户端WSUS更新配置与更新源的自动配置。
杀毒软件
杀毒软件作为计算机的重要防护措施,可以有效抵御各种病毒的入侵及传播。对于不同的服务器与客户端我们可以采用微软forefront系列产品,也可采用第三方杀毒软件产品。
(超出书本范围,不在详述)
数据加密
对放置于服务器与客户端上的各种员工数据进行保护是必须的,防止由于黑客入侵或员工笔记本的丢失而造成的数据泄漏。我们采用如下两种技术来对数据进行加密:
●EFS加密文件系统:对计算机中的用户个人数据进行加密,可以有效阻止数据被窃取
后的读取与复制。
●EFS恢复代理:因为EFS加密基于私钥,私钥的丢失将导致数据无法读取。所以对私
钥的备份尤为重要。在方案中,企业管理员将被设为EFS恢复代理,此账户在需要时可以打开员工的加密文档。
●BitLocker:Windows7 中的Bitlocker可以有效保护系统卷与非系统卷,防止由于物理
设备被偷窃而造成的数据泄漏。但应做好BitLocker解密密钥的保存。
●BitLocker to go:保护移动设备中的数据
BitLocker,我们可以通过域组策略来启用客户端的此功能。
3.8.备份服务
备份服务同样是企业中各种服务器提供服务的基础,通过备份非常重要的商业数据,从而实现在发生意外事件时能及时恢复丢失的数据,挽回损失。
使用备份工具保护数据
Windows Server 2008 R2中内置的工具Server backup将会被用于备份各种服务器的重要数据。使用此工具我们将使用不同的备份计划来实现对系统数据和用户数据的不同频率的自动备份,每周我们应该执行一次全服务器数据备份,以达到突发事件时更快的数据恢复。
备份的文件应该单独存储在备份服务器的硬盘中或将其备份至光盘中以长期保存。
图表8
使用硬件冗余保护数据
每台服务器中都应该至少有两块硬盘,两块应该组成RAID-1镜像卷,以保护系统卷和启动卷。
对于文件服务器和备份服务器,因其存有非常重要的数据,所以应对存放数据的卷采用RAID-5卷以提供对数据的保护。
3.9.其他
CIO需要每季度获得一份公司IT环境的评估报告,为了收集服务器和客户端各种状态数据,我们可以通过收集主要服务器及其服务的各种日志和报告的方式,整理后发送给CIO。
WSUS补丁更新报告功能:客户端和服务器补丁更新情况
FSRM存储报告:文件服务器的存储状态报告
性能监视器:收集服务器日常运行状况
对象访问审核策略:临时员工访问终端服务器时的对象访问将被记录并报告
(收集产生IT环境报告功能,可由微软SCOM产品完成,超出本书范围)
大型企业网络解决方案 前言 今天的中国,聚焦了世界的目光,经济空前繁荣,企业面临着异常激烈的竞争,机遇与挑战并存。如何增强核心竞争力,如何提高运营效率和客户满意度,如何控制并降低成本,如何获得业务的增长,成为企业负责人最关心的话题。信息技术在各行各业发展中起到的作用日益凸显,信息化为我们带来了高效率的业务模式,信息化为企业的高速发展提供了最新的技术保证,如何让信息技术转化为高生产力,并最终成为我们的核心竞争力,将是每位企业信息主管不断思考的话题。 锐捷网络基于对信息化建设和发展的深刻洞察,以及企业信息化建设的特点,推出了“倾力打造商务智能企业”的企业网络整体解决方案,助您打造一个坚实的信息化基石。 基础网络平台建设 企业建设基础网络平台,以实现企业资源共享,提供管理应用系统,实现企业办公自动化,接入Internet,共享网络资源,企业拥有自己的IP地址和域名,建立企业Email系统和部通讯系统,在公司主机上建立,提供对外宣传的信息平台、
基础平台解决方案特色: 从实时设备获得可重复的、准确的数据,从而确保业务的持续有效运营 通过冗余的设计提高网络和系统的可靠性,提高业务运营的安全性和完整性 通过将所有数据与业务系统集成在一起,让员工可以在需要的时候获取重要的信息,有助于提高业务效率和决策能力 关键业务优先处理,构建企业的核心竞争力 简易便捷的网络扩容,降低企业运营成本企业无线网络解决方案 企业建设无线网络,以降低经营成本和大幅度提高库存管理的效率,直接提供来自于活动点的信息,准确安排生产进度和保持响应紧急变化的灵活性以提高企业业务的竞争力,更加全面的管理生产线中的机械和设备,保持工厂的有效运营,提高员工的反应能力,消除不利于提高生产效率的障碍,方便的部署和管理,灵活的网络扩容,节省企业运营成本。
公司网络设计方案 范文
XX通信公司网络设计方案 院系:信息技术学院 年级:10级 班级:网络工程 姓名:杨梦娇 07111222 刘青 07111221 郝静晓 07111215 一、项目背景 XX公司是一家小型企业,是一家大致有200人的通信公司。公司组织结构如下:
二、用户需求分析及网络功能 为了能让公司更好的与现代社会的发展接轨,更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 根据公司现有规模,业务需要及发展范围建立的网络有如下功能: a)用户公司需要连接内部网络,各部门员工的终端能实现连 通。 b)所有公司员工都能够访问远程分支机构(远程分支机构的 网络不在此项目中)。 c)公司财务部门的数据很重要,希望有一定的安全措施。 d)网络设备要求高速、运行稳定。 e)根据用户的需求描述,能够分析出,用户公司需要使用交 换机连接因此客户端。
f)需要路由器连接远程分支机构 g)需要在交换机上划分VLAN,VLAN之间需要配置单臂路由实 现互通。 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。 三、网络结构设计 1.根据公司大楼的结构特点制定详细的网络连接图,其中包括如下信息: a)网络上个信息电(即办公点)的分布图,工作空间大小与 距离 b)电源插座的位置,包括当前正在使用的插座的设备 c)所有不可移动的物品的位置(如支撑柱,分隔墙,内置柜 等) d)所有办公家具的当前位置 e)所有计算机和类似打印机的外部设备的位置 f)门和窗口的位置 g)通风管道和当前电线的位置 另外,在记录每台设备是要为每台设备建立一张配置表,如计算机的CPU,硬盘,显示器,软驱。 2.接入Interner方式:
启明星辰网络安全解决方案 启明星辰公司自1996年成立以来,已经开发了黑客防范与反攻击产品线、采用国际著名厂商芬兰F-Secure公司杀毒技术形成的网络病毒防杀产品线、以网站安全扫描与个人主机保护为代表的网络安全管理产品线,以及几大产品线之间互动的网络资源管理平台,成为具有自主知识产权、覆盖防病毒和反黑客两大领域的高科技含量的网络安全产品研发与生产基地。启明星辰公司产品均获得了《计算机信息系统安全专用产品销售许可证》,《国家信息安全产品测评认证证书》和《军用信息安全产品认证证书》,在政府、银行、证券、电信和军队等领域得到了广泛的使用。 网络安全产品链 相关方案包括: 天阗(tian)黑客入侵检测系统 天镜网络漏洞扫描系统 天蘅(heng)安防网络防病毒系统
Webkeeper网站监测与修复系统 安星主机保护系统 天燕智能网络信息分析实录仪 C-SAS客户化安全保障服务 天阗(tian)黑客入侵检测系 (阗:在中国古代有"和田美玉"之意,坚固圆润,异彩流光,可以补天。) 一般认为,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击3个方面。目前,人们也开始重视来自网络内部的安全威胁。 黑客攻击早在主机终端时代就已经出现,而随着Internet的发展。现代黑客则从以系统为主的攻击转变到以网络为主的攻击,新的手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程、攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用Unix操作系统提供的守护进程的缺省帐户进行攻击,如Telnet Daemon,FTP Daemon,RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用Sendmail,采用debug,wizard,pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐蔽通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段已多达500余种。 入侵检测系统 防火墙与IDS
思科中小型企业网络解决方案 中小型企业的组网方案主要要素有:局域网、广域网连接、网络管理和安全性。Cisco的解决方案充分考虑了这些要素。从总体上看,这些解决方案具有以下共同的特征。第一,它采用高性能、全交换的方案,充分满足了用户需求。第二,网络管理简单,可以采用免费的CVSM--Cisco交换机可视化管理器,它基于易用的浏览器方式,以直观的图形化界面管理网络,因此网管人员无需专门培训。第三,用户可以采用ISDN连接方式实现按需拨号,按需使用带宽,从而降低广域网链路费用,当然也可选用DDN、帧中继、模拟拨号等广域网连接方式。第四,带宽压缩技术,有效降低广域网链路流量。第五,随着公司业务的发展,所有网络设备均可在升级原有网络后继续使用,有效实现投资保护,第六,系统安全,保密性高,应用了适合中小型企业的低成本网络安全解决方案--路由器内置的IOS软件防火墙。 Cisco中小型企业网络解决方案实现应用有以下几个方面:首先是资源共享,网络内的各个桌面用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能;其次是通信服务,最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问;再次是多媒体应用,该方案支持多媒体组播,具有卓越的服务质量保证;此外,在某些方案中系统支持远程接入,可以实现多达32路远程模似电话线拨号访问。 针对不同用户的不同需求,Cisco推出了25个用户以内、50个用户以内、100个用户以内三种典型的解决方案。 1.25用户以内的网络方案 ---- 该方案的局域网采用Catalyst1924交换机构建一个小型局域网。一般说来,主服务器与交换机之间的链路数据流量较大,因此它采用2个100M高速交换端口连接服务器,以免形成传输瓶颈;24个10M交换端口最多可连接24个桌面用户。此外,它还通过10M接口连接共享网络打印机,普通打印机也可以通过打印服务器的方式共享。
XX通信公司网络设计 方案 院系:信息技术学院 年级:10级 班级:网络工程 姓名:杨梦娇201007111222 刘青201007111221 郝静晓201007111215
一、项目背景 XX 公司是一家小型企业,是一家大致有200人的通信公 司。公司组织结构如下: 二、用户需求分析及网络功能 为了能让公司更好的与现代社会的发展接轨, 更快的获取 市场信息及为了让外界了解该本公司的相关信息特组建企业网,以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 根据公司现有规模,业务需要及发展范围建立的网络有如下功能: a)用户公司需要连接内部网络,各部门员工的终端能实现连通。 b)所有公司员工都能够访问远程分支机构(远程分支机构的网络不在此项目中)。c)公司财务部门的数据很重要, 希望有一定的安全措施。 总经理 销售部 副总经理 财务部 人事行政部市场部 技术支持部
d)网络设备要求高速、运行稳定。 e)根据用户的需求描述,可以分析出,用户公司需要使 用交换机连接所以客户端。 f)需要路由器连接远程分支机构 g)需要在交换机上划分VLAN,VLAN之间需要配置单臂 路由实现互通。 主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。主干网接入Internet的方式可是有线综合宽带网,速率可在100Mbps左右。主干为千兆光纤线路,其它线路为超五类双绞线。 三、网络结构设计 1.根据公司大楼的结构特点制定详细的网络连接图,其中 包括如下信息: a)网络上个信息电(即办公点)的分布图,工作空间大 小与距离 b)电源插座的位置,包括目前正在使用的插座的设备 c)所有不可移动的物品的位置(如支撑柱,分隔墙,内 置柜等) d)所有办公家具的当前位置 e)所有计算机和类似打印机的外部设备的位置 f)门和窗口的位置 g)通风管道和目前电线的位置
中小企业网络安全解决 方案 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
瑞华中小企业网络安全解决方案 2009-10-26
网络现状分析 伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet 所具有的开放 性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络 系统不受病毒和黑客的入侵,已成为所有用户信息化健康发展所要考虑的重要事情之一。尤 其是证券行业、企业单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏 感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对用户机构信息 安全构成威胁。为保证网络系统的安全,有必要对其网络进行专门安全防护设计。 网络的发展加剧了病毒的快速传播 企业网络分析 企业网络面临的安全 问题 系统漏洞、安全隐患多 可利用资源丰富 病毒扩散速度快 企业用户对网络依赖性强 网络使用人员安全意识薄弱
网络管理漏洞较多 内部网络无法管控 信息保密性难以保证 基础网络应用成为黑客和病毒制造者的攻击目标 黑客和病毒制造者将攻击重点由以前的广域网转移到企业内网可能带来的损失 网络安全/病毒事故导致信息外泄和数据破坏,导致巨大财产损失 网络安全/病毒事故导致内部网络瘫痪,无法正常工作 网络带宽的不断加大,员工的行为无法约束,使工作效率大大下降。 系统漏洞的不断增加,攻击方式多样化发展,通过漏洞辐射全网快速传播,导致网络堵塞,业务无法正常运行。 病毒侵入导致黑客攻击使用户业务系统计算机受远程控制并实现自动与 境外服务器连接,将会使用户信息网面临失、窃密和遭受境外敌对势力黑客破坏的严重威胁。 网络行为无法进行严格规划和审计,致使网络安全处于不可预知和控制的状态。 瑞华中小网络安全解决方案 面对以上的问题,瑞华公司根据对典型中小网络的分析,制定整体的网络安全防护体系, 对网络边界和网络内部进行了合理化的方案制定,做到最大限度的保障用户网络安全和内部 业务的正常运行。对所有通过的数据进行检测,包括HTTP、FTP、SMTP、POP3 等协议传输的 数据,内部网络的规范应用进行管控,而且还提供了对外服务器的保护、防止黑客对这些网 络的攻击等等。下面是部署典型中小网络结构拓扑图:
---------------------------------------------------------------范文最新推荐------------------------------------------------------ 企业网络解决方案 在网络技术迅速发展的今天,信息化已成为国际性发展趋势,作为国民经济信息化的基础,企业信息化建设受到国家和企业的广泛重视。 企业信息化,企业网络的建设是基础,从计算机网络技术和应用发展的现状来看,Intranet是得到广泛认同的企业网络模式。Intranet 并不完全是原来局域网的概念,通过与Internet的联结,企业网络的范围可以是跨地区的,甚至跨国界的。 现在,Internet的发展已使世界成为电子信息的地球村,人们不在有地理空间上的交流限制。随着网上商业活动的激增,Intranet也应运而生。企业都已感到企业信息化的重要性,陆续建立起了自己的企业网和Intranet并通过各种WAN线路与Internet相连。国际互联网Internet在带来巨大的资源和信息访问的方便的同时,它也带来了巨大的潜在的危险,至今仍有很多企业仍然没有感到企业网安全的重要性。在我国网络急剧发展还是近几年的事,而在国外企业网领域出现的安全事故已经是数不胜数。我国网络安全存在诸多问题:首先是防御意识的落后。对网络安全的防护,意识和观念须先行。但现实中无论是网民还是从事电子商务的企业,网络安全的维护意识薄弱得让人痛心。据调查:在我国电脑应用单位80%未设立相应的安全管理组织,58%无严格的调存管理制度,59%无应急措施,48%无事故发生 1 / 12
关于XX公司网络 设计方案建议书 吴舟波 2013年12月9日 目录 第一章概述........................................................... 错误!未定义书签。 1.1 公司简介................................................... 错误!未定义书签。 1.2 公司网络接入简述.................................. 错误!未定义书签。 1.3 建设公司局域网的必要性 ..................... 错误!未定义书签。 1.4 需求分析................................................... 错误!未定义书签。 第二章公司局域网建设规划 ............................. 错误!未定义书签。 2.1 网络建设原则 .......................................... 错误!未定义书签。 2.2 网络建设方案简介.................................. 错误!未定义书签。 2.3 方案设计思想 .......................................... 错误!未定义书签。 错误!未定义书签。 第三章方案配置及其报价.................................. 错误!未定义书签。
第一章概述 1.1 公司简介 飞成集团是研制生产现代歼击机的重点军工企业,是美国波音和欧洲空中客车的重要合作伙伴,位居中国企业500强的前列。成飞集团包装机械有限公司,是成飞集团下属的全资子公司,拥有资产 1.2亿元。员工350人,专业技术人员占员工总数的三分之一。其经营范围为研制生产并销售纸制品包?机械。其拳头产品包括三、五、七层瓦楞纸板生产线,数控分切压痕机和纸箱成型设备。公司集成飞集团高、精、尖、技术、设备、人才为一体,充分发挥军工产业优势,把开发生产具备国际水平的现代包装机械作为企业的发展方向和目标。在成飞包装,我们拥有为瓦楞纸板工业设计制造一流机器的令人骄傲的历史。现在我们面临着的是更加辉煌的未来,这是因为无论我们的机器运行有多快,效率有多高,性能有多可靠,我们将一如既往地追求超越自我的境界。 飞成集团包装机械有限公司以其雄厚的技术优势和严格的质量管理体系在中国包装机械行业中赢得了举足轻重的龙头地位。公司早在1988年就通过了ISO9001的质保体系认证,从而正式与国际惯例接轨。公司秉承了大型军工企业的雄厚实力,同时溶入市场化的经营格局。以市场为先导的现代企业格局使公司在顺应市场,开拓市场上从长远着想,在产品的开发,生产,销售中紧紧盯住世界先进水平,依靠严格的管理和先进的质量控制体系,来使自己的产品从每一个细
xx有限责任公司网络安全解决方案
目录 目录 (1) 摘要 (3) 第一章xx网络的需求分析 (4) 1.1xx网络现状描述 (4) 1.2xx网络的漏洞分析 (5) 1.2.1物理安全 (5) 1.2.2主机安全 (5) 1.2.3外部安全 (6) 1.2.4内部安全 (7) 1.2.5内部网络之间、内外网络之间的连接安全 (7) 第二章网络安全解决方案 (9) 2.1物理安全 (9) 2.1.1两套网络的相互转换 (9) 2.1.2重要信息点的物理保护 (9) 2.2主机安全 (10) 2.3网络安全 (10) 2.3.1网络系统安全 (12) 2.3.2应用系统安全 (17) 2.3.3病毒防护 (18) 2.3.4数据安全处理系统 (21)
2.3.5安全审计 (22) 2.3.6认证、鉴别、数字签名、抗抵赖 (22) 第二章安全设备选型 (24) 3.1安全设备选型原则 (24) 3.1.1安全性要求 (24) 3.1.2可用性要求 (25) 3.1.3可靠性要求 (25) 3.2安全设备的可扩展性 (25) 3.3安全设备的升级 (26) 3.4设备列表 (26) 第四章方案的验证及调试 (27) 总结 (29)
摘要 随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。 经过调查,我们发现,xx存在以下几个问题: 第一、机房网络管理成本过高,并且造成了人力资源上的浪费; 第二、存在数据丢失的问题; 第三、计算机病毒泛滥,给高效率工作造成极大的不便; 第四、网络攻击严重,严重影响了日常的工作。 本设计方案基于xx出现的问题在物理安全、主机安全、网络安全三个方面提出了实际的解决措施。 关键词:网络安全解决方案
公司网络优化解决方案 一、优化目的:优化现有网络,提高工作效率 二、企业现有网络使用现状 公司现有网络使用光纤兆数为4兆,费用为400元,现有电脑端口59个,实际应用端口38个,每天电脑使用台数平均41个(含有笔记本无线上网),这个数据是用P2P终结者软件实际计算过。网络较慢、影响工作效率,特别对外文件传送、信息接收等。 一、优化方案 方案一企业局域网方案 为了把有限的资源优化配置,用维盟企业路由器实现外网局域资源配置,局域内网全盘运行的方式。局域网的建设可以实现网络资源的有效控制,根据工作需要对外网流量进行合理的分配,对内组建员工交流平台。局域网建成后可提高工作效率,限制员工工作期间上网购物、玩游戏、看电影、下载与工作没有关系的大文件、聊天等违反制度行为。 具体方法: 为了方便对外办公,在原有外网全线开放的基础上调整优化提供专业技术和设备,做公司局域网,用于企业内部员工间信息传输、业务交流,全线放开公司7位高层领导,10位中层领导,10位内勤的网络全限,计划财务部需要网上报税另开通1人,
共计28条线路(财务仅给报税的人开,建议仅开通刘婷、出纳和报税,最多三人),限制电脑网络在13台左右。 经市场调查询价,做企业局域网需要设备和技术共计9500元,包括企业路由器一台6500元/台,安装调试网络技术服务、培训费3000元。 此方案的缺点:员工在工作业余时间不能享受网络带来的乐趣,限制了员工的业余生活,员工有些不稳定的情绪。 然后把那个方案做为附件附在方案一后。 附件1:公司全线开通外网人员名单 附件2:昌吉一凡科技局域网实施方案 网络实施目的:实现企业网络合理化管理 最大化利用企业网络资源
局域网课程设计 某公司局域网设计方案学院 课题某公司局域网设计方案姓名 组员 专业/班级 实训时间 成绩评定 指导老师 目录
1.公司概况 1.1公司简介 该公司成立2014年,公司是一家生产、经营电子工具、塑胶制品、工业装备及辅助材料的专业化公司。为现代化企业的生产和管理提供优质服务,并最大限度地降低物流仓储成本,实现理想的物流仓储系统工程,是本行业的优秀代表。 “深思熟虑的结构设计,一丝不苟的生产、质量上的严格把关“是本公司坚定不移的原则,正是这一点使我们成为行业中的佼佼者,客户从我们产品中得到的竞争力的强化也逐渐体现出来,为我们奠定了一个长期的发展基础。 1.2公司结构 总经理办公室(总经理1名)销售部(销售部经理1名其他人员20名) 财务部(财务部经理1名其他人员5名)物流部(物流部经理1名其他人员20名) 后勤部(后勤部经理1名其他人员10名)市场部(市场部经理1名其他人员10名) 技术部(技术部经理1名其他人员10名) 1.3公司资产:100万 1.4公司主营:电子工具、塑胶制品、工业装备及辅助材料
2.公司需求分析 企业共有员工91人,欲实现平均2人拥有一台办公电脑。现已将公司分为6个部门,其中销售部门占用2个办公室,其他各部门各占用一个。电脑分配如下:总经理办公室1台笔记本电脑;财务部5台台式机(以下皆为台式机);技术部5台;后勤部5台;市场部5台;销售部共10台(2个办公室分别为5和5台);物流部5台(注:因物流部主要负责货物运输与产品进购,因此对电脑需求较轻,故只分配5台)因本企业规模较小,资产较少,故只购买廉价经济的台式机。其他网络配件(路由器,交换机等)也应尽量往经济实用型靠近。 图1 办公楼结构图 表1办公楼员工数量及房间分配表
集团公司网络安全解决方案1 集团公司网络安全设计方案 一.方案概述 集团公司网络规模日益扩大,下属几十家分公司都将与集团实现联网,使用一套集团财务系统。根据IT规划要求,为有效保障公司网络畅通、数据安全,集团公司需要构建一个严密的整体的网络安全系统。该系统包括四个主要方面: (一)设计网络系统优化方案及建立网络系统持续完善机制 (二)建立智能化数据容灾系统 (三)建立高效全面的病毒预防系统 (四)建立科学合理的管理制度体系 二.方案实现目标 通过该系统的建设实现以下功能目标 (1)实现集团对网络病毒的统一防护, 让网络管理人员可以清晰的管理到内部病毒防 护系统的部署情况, 有病毒爆发时可以及时确定病毒发作范围, 并可以直接进行隐 患清除工作,集团可以统一部署和执行安全防护策略. (2)对集团机房较为重要的服务器和应用系统进行容灾备份,
当服务器故障时, 可以有 效的快速启动替代系统, 并在故障清除后快速恢复系统和数据. (3)对于集团数据库系统, 因关联使用的用户多且分布各不同下属单位, 应使用有效措 施来防范数据库的使用安全, 防范数据被恶意使用或篡改,. (4)因集团机房部署不同部门和下属公司的服务器, 各部门都需要运维自己的服务器, 有必要对服务器的使用进行安全审计和使用记录, 防范来自使用服务器带来的风险. 三.安全产品推荐选型 四.方案简述 (1)网络拓扑图 (2)信息安全设备物理分布图 (3)产品说明: 1、IT运维堡垒机接在核心交换机上,通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行,降低人为安全风险,避免安全损失,保障企业效益;管理员可直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等。
XXXXXXXXX有限责任公司网络安全解决方案
目录 目录 (1) 摘要 (2) 第一章xx网络的需求分析 (3) 1.1xx网络现状描述 (3) 1.2xx网络的漏洞分析 (4) 1.2.1物理安全 (4) 1.2.2主机安全 (4) 1.2.3外部安全 (5) 1.2.4内部安全 (5) 1.2.5内部网络之间、内外网络之间的连接安全 (5) 第二章网络安全解决方案 (7) 2.1物理安全 (7) 2.1.1两套网络的相互转换 (7) 2.1.2重要信息点的物理保护 (7) 2.2主机安全 (8) 2.3网络安全 (8) 2.3.1网络系统安全 (9) 2.3.2应用系统安全 (13) 2.3.3病毒防护 (14) 2.3.4数据安全处理系统 (16) 2.3.5安全审计 (17) 2.3.6认证、鉴别、数字签名、抗抵赖 (17) 第二章安全设备选型 (18) 3.1安全设备选型原则 (18) 3.1.1安全性要求 (18) 3.1.2可用性要求 (19) 3.1.3可靠性要求 (19) 3.2安全设备的可扩展性 (19) 3.3安全设备的升级 (19) 3.4设备列表 (19) 第四章方案的验证及调试 (21) 总结 (22)
摘要 随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。 经过调查,我们发现,xx存在以下几个问题: 第一、机房网络管理成本过高,并且造成了人力资源上的浪费; 第二、存在数据丢失的问题; 第三、计算机病毒泛滥,给高效率工作造成极大的不便; 第四、网络攻击严重,严重影响了日常的工作。 本设计方案基于xx出现的问题在物理安全、主机安全、网络安全三个方面提出了实际的解决措施。 关键词:网络安全解决方案
企业内部网络安全策略论述报告 设计题目论述企事业内部的网络安全策略 学院软件学院 专业网络工程 学号 姓名 指导教师 完成日期
目录 摘要 (3) 1. 引言 (4) 1.1本课题的研究意义 (4) 1.2本论文的目的、内容 (4) 2. 企业网络现状及设计论述 (4) 2.1概述 (4) 2.2实际网络的特点及目前企业网络优缺点论述 (7) 2.3设计目标 (9) 3. 关键问题论述 (10) 3.1研究设计中要解决的问题 (10) 3.2本课题所作的改善设计 (11) 4. 系统设计关键技术论述 (12) 4.1.目标具体实现中采用的关键技术及分析 (12) 4.2设计实现的策略和途径描述 (15) 4.3 设计模型及系统结构(新的拓扑图) (16) 5. 系统实现技术论述 (16) 概述 (17)
5.1物理设备安全 (17) 5.2 VPN技术 (19) 5.3 访问控制列表与QOS技术 (25) 5.4服务器的安全 (25) 6. 总结 (27) 7. 参考文献 (28)
企事业单位内部网络的安全策略论述 摘要:互联网给我们带来了极大的便利。但是,随着互联网的空前发展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强企业网络安全工作,是一些企业建设工作的重要工作内容之一。 本文主要分析了企业的网络结构和一些基本的安全情况,包括系统安全的需求分析、概要设计,详细设计分析等,重点针对企业网络中出现的网络安全问题,作了个简单介绍。对有关安全问题方面模块的划分,解决的方案与具体实现等部分 关键词:网络安全 VPN技术 QOS技术容灾备份服务器安全
XX(上海)有限公司网络工程设计方案
目录 一.客户需求分析 (2) 二.解决方案 (2) 1.局域网解决方案 (2) 1.1网络设备 (2) 1.2服务器 (2) 2.广域网解决方案 (3) 3.系统示意图 (4) 三.方案实施 (4) 四.设备选型 (5) 1. 方案一(高档配置) (5) 1.1 Switch (5) 1.2 服务器 (6) 1.3 PC机 (7) 1.4 笔记本 (7) 1.5 系统配置 (8) 2.方案二(一般配置) (8) 2.1 Switch (8) 2.2 服务器 (9) 2.3 PC机 (9) 2.4 笔记本 (10) 2.5系统配置 (10)
一.客户需求分析 XX(上海)有限公司现有一已建立PDS系统的办公室,XX公司欲建立一企业内部局域网,实现20-40台PC的网络联接;配置服务器以实现企业内部的财务、办公、管理自动化;将来配置网络设备,提供20-40台PC的Internet服务功能;另外考虑到该企业日后还要建立若干分部,分部与总部间进行数据通信,故还需进行广域网的联接。 二.解决方案 1.局域网解决方案 由于目前XX公司还没有建立企业内部局域网,因此,本方案建议,贵公司在建立内部局域网的时候充分考虑自身的网络需求,建立最适合自身的性价比极高的局域网解决方案。 1.1网络设备 贵公司目前需求PC20台,进行一般的Internet服务,内部局域网初步定为10M 以太网;而考虑到今后网络的发展及扩充,可采用10M/100M的Switch进行联接,充分保证最高网络性能以传输大型文件和图像并获得实时信息。 此类交换机适合用于联接小型企业的服务器多台集线器,可方便地进行扩展,提供了灵活的移植方式。 1.2服务器 贵公司在网络高速发展的今天,希望通过内部局域网对整个公司进行财务、办公及管理的自动化管理。故需要一个优秀的文件和打印服务器、应用程序服务器以及安全的因特网服务器,而它在降低了费用的同时具有易于扩展的特性,可以满足不断增长的需求。
XX企业办公网 络设计方案 XXXX 公司 XXXX 年 XX 月
【设计场景描述】 某企业是一家生产化工原料产品的工厂。有职工7000 多人。主要产品有金属钾、超氧化钾生氧剂系列、过氧化钠、聚丙烯树脂、正丁醇、辛醇、碳八溶剂油及液氧等产品。工厂 有8 个生产车间,设有计划、市场、财务、采购、库房及销售等部门。此外,还有组织、人 事、安全保卫、环保、技术(总工办与化工研究所)、质检、资料、食堂和车队等单位。 在这些单位部门中,一些部门先后建立了各自的管理信息系统,如财务、库房、销售和人 事等,另一些部门尚未建设开发。已有的信息系统建设工作由各部门自行完成,缺乏统一 的协调与规范;系统构建在单机或部门内的小型局域网上,硬件和软件平台相对落后,功能 难以扩展,数据的纵向综合与分发仍依靠软盘(移动设备)传输。同时,各部门间数据结构 不统一,数据不能共享。 现要进行网络工程改造,请你编制出一份符合要求的网络设计方案。 企业办公网络设计方案书 由于计算机和信息技术的飞速发展,很多企业为了适应现代社会,陆续开展了信息化建 设,根据本企业计算机应用现状和实际需求,建设计算机网络或将原有的计算机网络进行改 造升级。 一.系统设计原则 一般来说,企业计算机网络建设和改造应遵循以下原则: 1)系统工程原则 本系统的设计和实施将严格按照系统工程的观点和方法进行,自始至终注意到系统的全 局性、关联性、整体最优性、综合性和实践性。 2)总体可行性原则 在设计中全面考虑系统的实用性、可靠性、先进性和可扩性诸多因素,确保系统在总体 上可行,使设计出来的系统能真正发挥作用。 3)先进性和实用性原则 系统设计应采用先进的设计思想和设计方法,尽量采用国内外的先进技术,使系统达到 国内先进水平,接近或达到国际先进水平。设计应体现先进性和实用性的完美统一。采用先 进技术必须符合实际情况,坚持一切从实际出发,一切为用户着想的原则,系统的建立以用 户的需要为设计的出发点和归宿,求得最佳效益。 世界上网络产品的主要供应商有十几家,就产品实现的功能而言,都大同小异,但由于 他们各自采用的技术和实现的方法不同,使得产品的实际性能千差万别,因此选择具备先进 技术的产品,也可说是对自己投资的保护。此外,还应注重实用和成效,应采用成熟主流的 设备。 4)可靠性原则
网络改造实施方案 版本 <2.2>苏州市圣达计算机网络系统有限公司 2007年7月
修订历史记录
目录 1.1方案一: (4) 1.1.1概要 (4) 1.1.2拓扑图 (4) 1.1.3所需设备清单: (4) 1.1.4改造实施所需时间及步骤: (5) 1.2方案二: (5) 1.2.1概要 (5) 1.2.2拓扑图 (6) 1.2.3所需设备清单: (6) 1.2.4改造实施所需时间和步骤: (7) 2.费用预算 (7)
网络改造实施方案 1.1 方案一: 1.1.1 概要 1、 机房新增cisco 3750一台,用于连接FSH2602G (Switch -23),以及cisco 2924 (172.27.232.25),提供VLAN 及ACL 控制功能 2、 机房新增网关一台,用于客户端internet 共享 3、 机房新增防垃圾邮件服务器一台,用于邮件过滤及DHCP 服务 4、 机房新增监控服务器一台,用于网络监控 5、 FSH2602G (Switch -23),以及cisco 2924 (172.27.232.25)上划分VLAN 6、 必要情况下考虑更换FSH2602G (Switch -23)为cisco 2950系列交换机 1.1.2 拓扑图 器 Building1 Building2 1.1.3 所需设备清单:
1.1.4改造实施所需时间及步骤: 1.2方案二: 1.2.1概要 1、将FSH2602G (Switch-23)与FTC16-2拆除,更换为cisco 3750,划分VLAN及增加ACL控制 2、将cisco 2924 (172.27.232.25)拆除,更换为cisco 3750,划分VLAN及增加ACL控制 3、核心机房新增一台cisco 4503,用于连接两台新增的cisco 3750 4、机房新增监控机2台,分别监控连接客户端和服务器的cisco 3750 5、机房新增一台防垃圾邮件服务器,用于邮件过滤 6、机房新增DHCP服务器一台,用于地址分配
XX公司网络设计方案 1、用户需求 XX公司网络需求主要有以下几点: (1) 共有A、B、C、D、E、F六个部门,分别拥有20、30、45、35、25、5台计算机。 (2) A、B、C、D、E部门都有各自独立的文件服务器,且文件服务器通常不允许跨部门访问。 (3) F部门的计算机可以访问A、B、C、D、E五个部门的文件服务器。 (4) 公司内部的计算机间采用公司内部的电子邮件系统和IM(即时通讯)系统联系。 (5) 公司内部网络与Interner之间采用100Mb/s光纤接入。 (6) 公司内部架设Web服务器,对Internet提供公司的形象和电子商务服务。 (7) 为保证安全,Internet与公司内部网络间应该采用防护措施,防止外界对内部网络未经授权的访问。 (8) 如有必要,可根据需要在网络中增添其他功能服务器。 2、用户需求分析 根据XX公司部门的分布情况,在结构化布线方案中,信息主干线采用单模光纤,构成公司的一级网络链路。部门之间采用朗讯超5类结构化双绞线布线系统,这是因为超5类结构化双绞线布线系统具有高可靠性,确保系统完全满足语音、高速数据网络的通信需求,且结构灵活、方便,对建筑物内不同系统应用提供完全开放式的支持。公司内部网络与Interner 之间采用100Mb/s光纤接入。 3、设计目标 (1)先进性:系统具有高速传输的能力。公司内部网络与Interner之间的传输速率达到 100Mb/s,水平系统传输速率达到100Mb/s,满足现在和未来数据的信息传输的需求;主干系统传输速率达到1000Mb/s,同时具有较高的带宽,满足现在和未来的图像、影像传输的需求。 (2)灵活性:系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简 便的调整下重新连接;布线系统适应各种计算机网络结构,如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。 (3)实用性:系统具有使用方便、简单、低成本、易扩展的特点。布线系统应在满足各种需 求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。 4、设计标准、规范和原则
企业网络安全方案设计 摘要:在这个信息技术飞速发展的时代,许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述,为企业提供一个可靠地、完整的方案。 关键词:信息安全、企业网络安全、安全防护 一、引言 随着国计算机和网络技术的迅猛发展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。一旦网络系统安全受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业健康发展所要考虑的重要事情之一。 一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展,网络体系结构也会变得越来越复杂,应用系统也会越来越多。但从整个网络系统的管理上来看,通常包括部用户,也有外部用户,以及外网之间。因此,一般整个企业的网络系统存在三个方面的安全问题:(1)Internet的安全性:随着互联网的发展,网络安全事件层出不穷。近
年来,计算机病毒传播、蠕虫攻击、垃圾泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。 (2)企业网的安全性:最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业,从而导致企业数千万美金的损失。所以企业部的网络安全同样需要重视,存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。 (3)部网络之间、外网络之间的连接安全:随着企业的发展壮大及移动办公的普及,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。 二、以某公司为例,综合型企业网络简图如下,分析现状并分析 需求:
1.方案概述及技术解决方案 1.1. 项目背景 杭州信雅达数码科技有限公司(Sunyard Digital Technology Co.Ltd.)是一家专业从事跨行金融支付、银行审计和小贷产品开发、销售和技术服务的软件企业。在成长的道路上,我们获得过一些荣誉:“浙江省高新技术企业”、“浙江省软件企业”,“杭州市高新技术企业研发中心”,并获得三十多项自主知识产权的软件著作权,多个项目被列为“杭州市重大科技创新项目”。 我们一直致力于自主产权软件的开发和服务。在金融行业,我们拥有广泛的用户群,产品已在中国人民银行、各大股份制商业银行和各地商业银行等上百家用户得到广泛应用。我们自主研发的核心软件产品“区域跨行支付服务平台”、“国库业务处理系统”、“银行审计系统”等产品在国内处于领先地位。同时,我们具备先进、齐全的用于信息系统开发和集成的设备环境。 秉承信雅达“帮助客户成功、帮助员工成功”、“实现公司和员工的同步发展”的理念,我们坚持以人为本,尊重人才,注重员工的培养与发展。公司搭建了先进的人力资源管理平台,吸收、培养、激励、稳定优秀人才,并通过人员的合理配置和使用,服务于企业的战略目标,实现了员工与企业的共同成长。公司凝聚了一批来自海内外,善于学习核心人才。 随着公司不断的发展,原有网络已经无法满足员工和办公人员的需求,具体体现: 1:公司整体网络速率较慢 2:内部服务器与办公设备IP地址分配混乱 3:内网访问速率缓慢 4:随着公司发展壮大,原有IP地址无法1对1的分配给员工,导致员工内部IP地址冲突 5:发现ARP等病毒攻击,无法找到源头地址
1.2. 方案概述 公司网络建设由三层交换机,办公区域二层接入交换机和服务器区域二层接入交换机,楼层无线AP组成,为公司建立一套高速,可靠,安全的网络链路,并且各个设备采用双冗余热备方式部署,把单点故障风险降到最小。 三层交换机做为上联,通过电信专线接入,做为核心交换机,用来做数据转发与处理,来保证公司整体业务的实时性,稳定性,安全性,办公区域二层交换机用于日常行政与办公人员使用,来保证日常办公人员的工作高效性,服务器区域二层交换机用于公司整体开发服务器使用,从而保证开发人员到开发服务器之间建立一条高速,高效的网络链路,并且使用楼层无线AP做为平时公司员工和客户的需求及访问资源等需求。 1.3. 技术解决方案 公司目前网络较为简单,而且办公区域和服务器区域都混在同个交换机之上,及易造成病毒攻击,IP混乱,IP地址不够等现像。 这次网络升级,我们通过电信专线接入,上联部署两台核心交换机(核心A,核心B),两台互为热备方式,在两台核心交换机配置四个区域分别为:办公区域A,办公区域B,服务器区域,无线区域,并且部署热备技术在两台核心交换机,互为冗余,在每个区域下部署HSRP虚拟地址技术,防止四个区域单点故障,即使核心交换机其中一台宕机,都不会影响公司整体网络的数据传输和丢包。在核心交换机下联四个接入交换机,做为办公区域A,B,服务器区域和无线区域的接入交换机,在办公区域A和办公区域B,我们分别接入办公人员PC和开发人员PC,在服务器区域我们接入服务器及开发PC终端,并且办公区域能访问服务器区域,使开发人员能快速有效的访问到服务器资源,在无线区域,我们部署无线AP,使外来客户能享受到更方便快捷的网络。 在PC和服务器的管理上,使用固定IP,并且通过核心交换机来部署IP地址与MAC地址的绑定,从而有效管理到PC机和服务器的IP地址。 1.4. 网络拓扑结构 具体拓扑如下: