企業(yè)局域網(wǎng)建設(shè)論文

1、企業(yè)局域網(wǎng)建設(shè)論文1需求分析 隨著互聯(lián)網(wǎng)應(yīng)用的普及，電子商務(wù)有了實質(zhì)性的進(jìn)展。對于一個企業(yè)來說，產(chǎn)品的介紹、銷售、技術(shù)服務(wù)和售后服務(wù)等越來越多地采用網(wǎng)絡(luò)的形式來完成，最主要的優(yōu)點是：方便、快捷和成本低廉。 目前小型企業(yè)往往采用在互聯(lián)網(wǎng)絡(luò)上申請主頁空間或采用網(wǎng)絡(luò)主機(jī)托管的方式，這種方式在應(yīng)用上很明顯有些不方便之處，所能提供的服務(wù)類型單一，并且資料數(shù)據(jù)都是放在別人的計算機(jī)上，讓別人來管理。對于大型企業(yè)和有機(jī)密數(shù)據(jù)的單位，往往不會采用這種方式，他們會在單位內(nèi)部建立自己的中心機(jī)房，組建自己的局域網(wǎng)，同時申請電信的寬帶和固定IP，這樣，形成內(nèi)外兩種網(wǎng)絡(luò)。如果，企業(yè)在異地有分支機(jī)構(gòu)，還可以通過VPN方式進(jìn)

2、行安全通信。 對企業(yè)的需求進(jìn)行嚴(yán)格的分析，設(shè)計出實際可行的網(wǎng)站建設(shè)方案，在網(wǎng)站策劃階段，可從以下一些方面考慮定位： （1）網(wǎng)站硬性指標(biāo)：您的網(wǎng)站是否能夠讓客戶很輕松、方便的登錄和記住，包括域名種類分布、域名品牌一致、網(wǎng)站語言版本、域名解析時間、請求響應(yīng)時間、主機(jī)連接時間、下載時間、HTML綜合質(zhì)量、圖片綜合質(zhì)量、首頁布局質(zhì)量、首頁信息類型等。 （2）網(wǎng)站推廣指標(biāo)：您的網(wǎng)站推廣是否能讓更多的客戶與您往來，包括搜索引擎排名、網(wǎng)站知名度、推廣方案設(shè)計等。 （3）網(wǎng)站服務(wù)指標(biāo)：客戶是否愿意與您往來，包括：您的回應(yīng)時間、目標(biāo)客戶、聯(lián)系層次、FAQ、幫助導(dǎo)航、服務(wù)流程、產(chǎn)品分類、產(chǎn)品描述、產(chǎn)品圖片、價格建

3、議等。 （4）網(wǎng)站互動指標(biāo)：您與客戶的互動效果如何；包括：客戶回應(yīng)、解決時間、產(chǎn)品了解、客戶社區(qū)、客戶鑒別、客戶忠誠度、深化服務(wù)、需求調(diào)查等。 2模塊設(shè)計 企業(yè)局域網(wǎng)可分為兩個模塊：企業(yè)互聯(lián)網(wǎng)模塊與企業(yè)局域網(wǎng)模塊。 1)企業(yè)互聯(lián)網(wǎng)模塊 企業(yè)互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接，同時也端接VPN與公共服務(wù)（DNS、HTTP、FTP、SMTP）信息流。 企業(yè)互聯(lián)網(wǎng)模塊為內(nèi)部用戶提供了與互聯(lián)網(wǎng)的連接并使用戶能夠通過互聯(lián)網(wǎng)訪問公共服務(wù)器上的信息，同時還為遠(yuǎn)程地點和遠(yuǎn)程工作人員提供了VPN訪問能力。 企業(yè)互聯(lián)網(wǎng)模塊涉及的關(guān)鍵設(shè)備有：SMTP服務(wù)器、DNS服務(wù)器、FTPHTTP服務(wù)器、防火墻或防火墻路由器、第2層

4、及以上交換機(jī)（支持專用VLAN）。 2)企業(yè)局域網(wǎng)模塊 企業(yè)局域網(wǎng)模塊包含第2層及以上交換功能與所有的用戶以及管理內(nèi)部網(wǎng)服務(wù)器。 企業(yè)局域網(wǎng)模塊包含最終用戶工作站、公司內(nèi)部網(wǎng)服務(wù)器、管理服務(wù)器和支持這些設(shè)備所需的相關(guān)基礎(chǔ)設(shè)施、可網(wǎng)管的交換機(jī)等。 3安全分析 1)企業(yè)互聯(lián)網(wǎng)模塊 擁有公共地址的服務(wù)器是最容易被攻擊的。以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅：未授權(quán)訪問、應(yīng)用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務(wù)、IP電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向等。 在小型VPN網(wǎng)絡(luò)設(shè)計中，該模塊堪稱為極至。VPN功能被壓縮入一個機(jī)箱，但依然執(zhí)行著路由選擇、NAT、IDS和防火墻功能。在確

5、定如何實施該功能時，我們可使用帶防火墻和VPN功能的路由器。 這種選擇為小型網(wǎng)絡(luò)帶來了極大的靈活性，因為路由器將支持在當(dāng)今網(wǎng)絡(luò)中可能是不可或缺的所有高級服務(wù)。作為一種替代措施，可使用帶VPN的專用防火墻來取代路由器。這種設(shè)置給部署造成了一些限制。首先，防火墻通常都只是以太網(wǎng)，要求對相應(yīng)的WAN協(xié)議進(jìn)行一些轉(zhuǎn)換。在目前的環(huán)境中，大多數(shù)有線和DSL路由器/調(diào)制解調(diào)器都是由電信服務(wù)供應(yīng)商提供的，可用于連接以太網(wǎng)防火墻。如果設(shè)備要求WAN連接（如電信供應(yīng)商的DSL電路），那么，就必須使用路由器。使用專用防火墻不具備輕松配置安全性和VPN服務(wù)的優(yōu)勢，當(dāng)發(fā)揮防火墻功能時，可提供改進(jìn)性能。無論選用哪種設(shè)備，

6、都要考慮一些VPN的因素。請注意，路由器傾向于允許信息流通過，而防火墻的缺省設(shè)置則傾向于阻止信息流通過。 從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預(yù)定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC2827過濾功能將防止針對本地網(wǎng)絡(luò)及專用地址的源地址電子欺騙。 防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細(xì)的過濾。擁有公共地址的服務(wù)器通過在防火墻上使用半開放連接限制能夠防止TCPSYN洪水。從過濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過濾。如果某個攻擊涉及到一個公共服務(wù)器（通過規(guī)避防

7、火墻和基于主機(jī)的IDS），那么這個服務(wù)器應(yīng)該不會再進(jìn)一步攻擊網(wǎng)絡(luò)。為了緩解這種攻擊，具體的過濾將防止公共服務(wù)器向其他任何地點發(fā)出任何未授權(quán)請求。例如，應(yīng)該對Web服務(wù)器進(jìn)行過濾，以便使其不能自身產(chǎn)生請求，而只能回答來自客戶機(jī)的請求。這種設(shè)置有助于防止黑客在實施最初的攻擊后將更多的應(yīng)用下載到被破壞的機(jī)器。同時還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會話。 從主機(jī)的角度看，公共服務(wù)區(qū)域內(nèi)的每個服務(wù)器均擁有主機(jī)入侵檢測軟件，用于監(jiān)控OS級的任何不良活動以及普通服務(wù)器應(yīng)用的活動（HTTP、FTP、SMTP等）。DNS主機(jī)應(yīng)該只響應(yīng)必要的命令，同時消除任何可能有助于黑客的網(wǎng)絡(luò)偵察攻擊的不必要響應(yīng)。這

8、包括防止從任何地點進(jìn)行zone傳輸（合格的二級DNS服務(wù)器除外）。在郵件服務(wù)方面，防火墻在第7層過濾SMTP信息，以便只允許必要的命令到達(dá)郵件服務(wù)器。 2)企業(yè)局域網(wǎng)模塊 交換機(jī)的主要功能是交換生產(chǎn)與管理信息流并為公司和管理服務(wù)器以及用戶提供連接。在交換機(jī)內(nèi)部可以實施VLAN，以減少設(shè)備間的信任關(guān)系利用攻擊。例如，公司用戶可能需要與公司服務(wù)器通信但彼此之間可能沒有必要通信。在管理站與網(wǎng)絡(luò)其余部分之間設(shè)置一個小型過濾路由器或防火墻能夠提高總體安全性。這種設(shè)置將使管理流量只沿著管理員認(rèn)為必要的方向傳輸。如果機(jī)構(gòu)內(nèi)部的信任水平不高，我們建議在關(guān)鍵系統(tǒng)上安裝了HIDS。 對于各工作站上的安全可靠，還特

9、別值得提出的是病毒和網(wǎng)站木馬，可考慮企業(yè)版的病毒防火墻。 在各分支機(jī)構(gòu)中不要求配備遠(yuǎn)程訪問VPN功能，因為公司總部通常會提供這種功能。此外，管理主機(jī)一般位于中央地點，這種設(shè)置要求管理信息流穿過地點到地點VPN連接回到公司總部。 4局域網(wǎng)工程建設(shè)原則 實用性：網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā)，堅持為領(lǐng)導(dǎo)決策服務(wù)，為經(jīng)營管理服務(wù)，為生產(chǎn)建設(shè)服務(wù)。 先進(jìn)性：采用成熟的先進(jìn)技術(shù)，兼顧未來的發(fā)展趨勢，即量力而行，又適當(dāng)超前，留有發(fā)展余地。 可靠性：確保網(wǎng)絡(luò)可靠運行，在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力。 安全性：提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。 開放性：采用國際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、

10、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合標(biāo)準(zhǔn)的設(shè)備，保證整個系統(tǒng)具有開放特點，增強(qiáng)與異機(jī)種、異構(gòu)網(wǎng)的互聯(lián)能力。 可擴(kuò)展性：系統(tǒng)便于擴(kuò)展，保證前期的投資的有效性與后期投資的連續(xù)性。 5軟硬件功能分析 1)路由器 就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部，對路由器的性能要求不高，因此，可以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用，考慮的一個主要因素是端口數(shù)量，另外還要看包交換能力和NAT轉(zhuǎn)換能力。中端路由器適用大中型辦公網(wǎng)絡(luò)，選用的原則也是考慮端口支持能力、包交換能力和NAT轉(zhuǎn)換能力。 在這里值得進(jìn)一步說明的是，如果讓內(nèi)部計算機(jī)直接通過路由器訪問外部網(wǎng)絡(luò)，必須做NAT轉(zhuǎn)換，當(dāng)并發(fā)連接較大

11、時，做NAT轉(zhuǎn)換非常占資源，最好考慮有帶NAT模塊的路由器或?qū)ｉT的NAT設(shè)備。 2)交換機(jī) 工作組交換機(jī)采用可網(wǎng)管交換機(jī)，實現(xiàn)對每臺接入計算機(jī)的控制，實現(xiàn)VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡(luò)訪問安全。骨干交換機(jī)采用擁有千兆端口的可網(wǎng)管交換機(jī)實現(xiàn)與中心交換機(jī)的高速連接，避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。中心交換機(jī)采用三層交換機(jī)，實現(xiàn)VLAN間的線速轉(zhuǎn)發(fā)，并借助訪問列表控制計算機(jī)接入和網(wǎng)絡(luò)服務(wù)，搭建高安全性和可用性網(wǎng)絡(luò)。 3)防火墻 防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計算機(jī)平臺的軟件產(chǎn)品，它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨進(jìn)行設(shè)計

12、，有專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。同時，采用專門的操作系統(tǒng)平臺，從而避免通用操作系統(tǒng)的安全性漏洞。并且對軟硬件的特殊要求使硬件防火墻的實際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點。 4)服務(wù)器 服務(wù)器應(yīng)該具備速度高、存儲容量大、吞吐能力強(qiáng)、性能可靠、擴(kuò)展性強(qiáng)、連網(wǎng)和管理功能強(qiáng)等特點。 WWW服務(wù)器：是網(wǎng)絡(luò)運行的核心服務(wù)器，通常兼作域名服務(wù)器、FTP服務(wù)器。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務(wù)器。一般對于800個信息點以下的企業(yè)，通?？刹捎弥С侄郈PU的頂級PC服務(wù)器和低端專業(yè)服務(wù)器。 郵件服務(wù)器：可采用跟WWW服務(wù)器性能相當(dāng)?shù)姆?wù)器就行了。 OA辦公服務(wù)器或內(nèi)部視頻會議

13、服務(wù)器：必須根據(jù)各種系統(tǒng)由軟件提供商來定，包括服務(wù)器檔次、操作系統(tǒng)種類等。 數(shù)據(jù)服務(wù)器：應(yīng)根據(jù)數(shù)據(jù)量的多少、數(shù)據(jù)的重要程度和訪問的頻繁程度，可采用帶Raid功能的雙硬盤服務(wù)器或?qū)ｉT的數(shù)據(jù)存儲設(shè)備。 5)公網(wǎng)IP地址數(shù) 由于對外服務(wù)器要求有固定的公網(wǎng)IP地址，路由器也要求有固定的公網(wǎng)IP地址，以及NAT地址池也需要有固定的公網(wǎng)IP地址，因此，必須向ISP提供商申請一定數(shù)量的公網(wǎng)IP地址，對于小型網(wǎng)絡(luò)來講，8個勉強(qiáng)可以，對于中大型局域網(wǎng)來說，要求16個以上才能夠用。 6網(wǎng)站設(shè)計和運行維護(hù)中應(yīng)注意的問題 1)網(wǎng)站僅僅停留在發(fā)布企業(yè)形象和產(chǎn)品信息上 網(wǎng)站架設(shè)應(yīng)從網(wǎng)絡(luò)營銷角度出發(fā)。換句話說，是否可以透過

14、網(wǎng)絡(luò)，在現(xiàn)有營銷通路以外，提供一個企業(yè)與消費者之間直接接觸與溝通的渠道，提供企業(yè)另一種銷售模式機(jī)會。因此，傳統(tǒng)產(chǎn)業(yè)要的網(wǎng)站，應(yīng)該從營銷主管角度優(yōu)先思索。第二個角度就是從管理角度去思索，例如公司在全省擁有許多營業(yè)網(wǎng)點或分公司，各種網(wǎng)點之間的公文傳遞或資源分配是否可以透過網(wǎng)站，以提高經(jīng)營績效。 2)在頁面中應(yīng)避免塞滿圖片、Java程序、Flash、音樂等 其實就目前上網(wǎng)速度來看，網(wǎng)頁如果加上太多的FLASH或FLAME，或掛上太多圖片，勢必影響傳輸速度，這樣對普遍缺乏信心的客戶而言，很容易就因為不愿耐心等候下載完畢，而選擇中途跳開。如此一來，再漂亮的網(wǎng)頁也不會有人看！ 一個干干凈凈、條理分明的網(wǎng)頁比較容易閱讀，客戶可以在很短時間找到他要的信息，不必被太多視覺污染所干擾。所以企業(yè)的網(wǎng)頁不需要太多美工，因為要看漂亮的圖片，客戶自然有合適網(wǎng)站可以上，不必浪費客戶下載的時間與金錢。 如果你在經(jīng)營自己的在線商務(wù)，你的網(wǎng)站最重要的任務(wù)就是銷售你的產(chǎn)品或服務(wù)，其他任何脫離這個基本原則的東西都是垃圾。 3)很長時間都不更新一次 如果一個網(wǎng)站的資料幾個月不更新一次，請問誰會有興趣上這個網(wǎng)站？當(dāng)然資料更新與維護(hù)需要成本，因為我們不是在做一個入口網(wǎng)站或?qū)I(yè)網(wǎng)站，也不需要每天更新；如果能做到每周更新或每兩周更新，并在網(wǎng)站上注明更新時間或預(yù)告下次更新時間，將有助于告知客戶何時可以