課程設(shè)計(jì)（論文）公司應(yīng)用網(wǎng)絡(luò)綜合設(shè)計(jì)

1、摘 要：隨著互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)公司對(duì)于網(wǎng)絡(luò)的需求越來(lái)越重要。本設(shè)計(jì)就是針對(duì)現(xiàn)代企業(yè)對(duì)于網(wǎng)絡(luò)的需求而提出的公司組網(wǎng)的全面要求。其中包括網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)安全、安全防護(hù)、安全策略、安全管理等。關(guān) 鍵 詞： 網(wǎng)絡(luò)互聯(lián) 網(wǎng)絡(luò)安全 安全防護(hù) 安全策略 安全管理abstract:along with the internet rapid development, the enterprise company is more and more important regarding the network demand. this design is aims at the modern enterpris

2、e the company network comprehensive request which proposed regarding the network demand. in which including network interconnection, network security, safe protection, security policy, safety control and so on.key words: internet network security security protection security strategy security manage

3、ment目 錄1.項(xiàng)目背景介紹 11.1公司背景11.2公司總部的管理結(jié)構(gòu)11.3公司網(wǎng)絡(luò)分布 21.4用戶(hù)希望 22.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì) 42.1用戶(hù)需求分析 42.2網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)和原則 42.3網(wǎng)絡(luò)設(shè)備選型72.4服務(wù)器的選配82.5網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)103.計(jì)算機(jī)網(wǎng)絡(luò)配置 123.1網(wǎng)絡(luò)應(yīng)用 123.2網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn) 123.3公司的總體網(wǎng)絡(luò)拓?fù)鋱D 133.4網(wǎng)絡(luò)應(yīng)用服務(wù)的配置 153.5網(wǎng)絡(luò)用戶(hù)管理 173.6無(wú)線(xiàn)網(wǎng)絡(luò)的擴(kuò)展 174網(wǎng)絡(luò)安全設(shè)計(jì) 19 4.1網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)目標(biāo) 19 4.2安全模型 194.3物理層安全解決方案 204.4網(wǎng)絡(luò)平臺(tái)安全方案 204.5系統(tǒng)平臺(tái)安全

4、方案 244.6安全管理方案建議 255.項(xiàng)目管理的規(guī)劃 26 5.1該公司總部的管理結(jié)構(gòu)圖 265.2項(xiàng)目規(guī)劃結(jié)構(gòu)圖 266.設(shè)計(jì)總結(jié) 28【參考資料】 291.項(xiàng)目背景介紹1.1 公司背景： 北京世紀(jì)軟件有限公司，于二零零一年四月正式成立，總部設(shè)在北京室海淀區(qū)學(xué)院路229號(hào)臺(tái)海大廈9，10層。公司是以軟件制作為主的私有企業(yè)。產(chǎn)品主要包括視頻展示，視頻捕捉，視頻通信的系統(tǒng)和軟件。公司憑借先進(jìn)的管理理念，雄厚的經(jīng)理基礎(chǔ)，以及所有員工的共同努力，在視頻系統(tǒng)和軟件制作方面，已經(jīng)成為了國(guó)內(nèi)的佼佼者，領(lǐng)頭羊。目前，公司已經(jīng)和國(guó)際多家多媒體巨頭合作，如：sony，nec，lg，為中國(guó)視頻系統(tǒng)和軟件的發(fā)展

5、，打下了堅(jiān)實(shí)的基礎(chǔ)。該公司的員工中除了從事技術(shù)部的人員外，大多數(shù)的員工的計(jì)算機(jī)水平都不是很高，并且由于公司的產(chǎn)品的性質(zhì)，所以對(duì)網(wǎng)絡(luò)安全的設(shè)計(jì)要求要有一定的嚴(yán)格性。1.2 公司總部的管理結(jié)構(gòu)：公司總部共有員工八十七人（連同分部共約1000人）?？偨?jīng)理劉忠誠(chéng)，副總經(jīng)理尹環(huán)、汪洋。其他員工分設(shè)七個(gè)部門(mén)：財(cái)務(wù)部，技術(shù)部，銷(xiāo)售部，市場(chǎng)部，人事部，軟件部，客戶(hù)服務(wù)部。（公司部門(mén)結(jié)構(gòu)如下）每個(gè)部門(mén)均有一名部門(mén)經(jīng)理，分管部門(mén)業(yè)務(wù)。1.3 公司網(wǎng)絡(luò)分布：australiaasianorth americabeijingtorontodetroitseattledenversydney1.4 用戶(hù)希望：軟件部：“

6、我們的工作很重要，我們?cè)O(shè)計(jì)的軟件以及在制作過(guò)程中的所有信息和資料都是保密內(nèi)容，即使是我們公司的員工，不是我們部門(mén)的，也不能讓他看?！避浖浚骸霸诤罴贂r(shí)，附近幾所大學(xué)會(huì)有一些學(xué)生到我們這里幫助完成一些簡(jiǎn)單的文字處理工作。軟件部：“我們有4個(gè)開(kāi)發(fā)小組，4個(gè)小組分別工作，互不影響，我們會(huì)在文件服務(wù)上建立4個(gè)文件夾，一個(gè)小組一個(gè)，互相之間只能讀。所有工作站需要安裝.net及java等開(kāi)發(fā)程序”財(cái)務(wù)部：“每個(gè)人的工資應(yīng)該是保密的，公司中所有的財(cái)務(wù)內(nèi)容不能讓其他部門(mén)員工隨便訪(fǎng)問(wèn)?！变N(xiāo)售部：“我們不經(jīng)常在公司，有時(shí)候來(lái)了，不能在上次使用的計(jì)算機(jī)上工作，桌面，快捷方式這些全變了，太不方便?！笔袌?chǎng)部：“我們和

7、銷(xiāo)售部的信息要經(jīng)常交流，所有在pubic文件夾中的內(nèi)容均可以互相訪(fǎng)問(wèn)?！奔夹g(shù)部：“每個(gè)員工都會(huì)有自己的文件夾存放在服務(wù)器上，其他人不能訪(fǎng)問(wèn)?！奔夹g(shù)部：“公司中所有的資源，包括用戶(hù)，計(jì)算機(jī)，打印機(jī)等，管理和組織不太方便，希望可以實(shí)現(xiàn)分門(mén)別類(lèi)的管理。”cio：各部門(mén)有自己的專(zhuān)用服務(wù)器，但各部門(mén)在一臺(tái)公共服務(wù)器上也有共享資源，使其它部門(mén)可以有限的訪(fǎng)問(wèn)。而ceo對(duì)各部門(mén)共享資源都有訪(fǎng)問(wèn)權(quán)限。cio：現(xiàn)有的網(wǎng)絡(luò)是分散管理，需要進(jìn)行集中管理，并使各經(jīng)理可以集中管理各部門(mén)資源，并有簡(jiǎn)單的管理工具。ceo：可以在任何時(shí)候同任何分布進(jìn)行通信，如進(jìn)行視頻會(huì)議等，同進(jìn)要保證通信的安全。2.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)2.

8、1 用戶(hù)需求分析：該公司主要經(jīng)營(yíng)ic方面的設(shè)計(jì)和研發(fā)，但是各個(gè)部門(mén)的要求不同。下面就他們各個(gè)部門(mén)的需求進(jìn)行分析。部門(mén)需求需求類(lèi)型技術(shù)手段軟件部各種資料需要保密，不能讓別人看保密ntfs訪(fǎng)問(wèn)控制、efs加密大學(xué)生進(jìn)行文檔處理文檔編輯office應(yīng)用程序安裝4個(gè)小組的文件可以進(jìn)行互訪(fǎng)問(wèn)，但不能修改訪(fǎng)問(wèn)控制共享權(quán)限加上ntfs權(quán)限財(cái)務(wù)部工資表保密、財(cái)務(wù)內(nèi)容不能讓其它部門(mén)看到訪(fǎng)問(wèn)控制ntfs訪(fǎng)問(wèn)控制銷(xiāo)售部不能使用上次使用過(guò)的桌面等工作環(huán)境上次的工作桌面能夠保存用戶(hù)漫游配置文件市場(chǎng)部同銷(xiāo)售部經(jīng)常進(jìn)行交流，public文件夾互訪(fǎng)部門(mén)間文件共享共享權(quán)限加上ntfs權(quán)限技術(shù)部現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)管理復(fù)雜，且管理分散，

9、管理員需針對(duì)每臺(tái)計(jì)算機(jī)都去物理上設(shè)置集中管理建立域網(wǎng)絡(luò)，進(jìn)行集中的管理每個(gè)員工都有自己的文件夾放在文件服務(wù)器上，其它人不能訪(fǎng)問(wèn)保護(hù)自己的私人文件夾建立用戶(hù)主目錄，或設(shè)置共享權(quán)限和ntfs權(quán)限企業(yè)資源分散管理，不太方便，希望進(jìn)行分門(mén)別類(lèi)的管理希望對(duì)各個(gè)部門(mén)進(jìn)行分門(mén)別類(lèi)管理在域中創(chuàng)建組織單元 2.2 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)目標(biāo)和原則：網(wǎng)絡(luò)系統(tǒng)在企業(yè)建設(shè)中起到非常重要的作用，它不是簡(jiǎn)單的計(jì)算機(jī)之間的聯(lián)網(wǎng)，而是一個(gè)復(fù)雜的系統(tǒng)工程，要采用系統(tǒng)的設(shè)計(jì)方法。（1）實(shí)用化，先進(jìn)性。從實(shí)用的觀(guān)點(diǎn)出發(fā)來(lái)考慮網(wǎng)絡(luò)系統(tǒng)的總體結(jié)構(gòu)，滿(mǎn)足系統(tǒng)技術(shù)要求，同時(shí)應(yīng)該選用先進(jìn)的符合國(guó)際標(biāo)準(zhǔn)的可以開(kāi)發(fā)的系統(tǒng)產(chǎn)品。（2）模塊化，擴(kuò)展性。網(wǎng)絡(luò)

10、系統(tǒng)應(yīng)該采用模塊化設(shè)計(jì)，便于在網(wǎng)絡(luò)工程中根據(jù)投資等情況的變化而加以調(diào)整，同時(shí)又是一個(gè)開(kāi)放式系統(tǒng)，以保證系統(tǒng)的擴(kuò)展。（3）工程化，可靠性。在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)過(guò)程中充分考慮工程的要求，在達(dá)到系統(tǒng)業(yè)務(wù)需求的前提下，確保更高的可靠性。（4）集成化，高效性。網(wǎng)絡(luò)系統(tǒng)是通信子系統(tǒng)、控制子系統(tǒng)、辦公自動(dòng)化子系統(tǒng)籌集成的基礎(chǔ)，要體現(xiàn)集成化設(shè)計(jì)思想，所有子系統(tǒng)有機(jī)地集成一個(gè)智能建筑系統(tǒng)，保證總系統(tǒng)的高效性。2.2.1 網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則（1）充分滿(mǎn)足當(dāng)前各種信息服務(wù)的需求，同時(shí)為將來(lái)的系統(tǒng)擴(kuò)充留有充分余地。（2）充分考慮與其他子系統(tǒng)之間的聯(lián)系。（3）統(tǒng)一規(guī)劃，全面設(shè)計(jì)，做到有很有據(jù)，有條有理。（4）符合國(guó)際標(biāo)準(zhǔn)化組

11、織（iso）提出的開(kāi)放系統(tǒng)互聯(lián)標(biāo)準(zhǔn)（osi）和實(shí)用的tcpip 協(xié)議系統(tǒng)標(biāo)準(zhǔn)。（5）便于維護(hù)和管理。（6）在保護(hù)實(shí)現(xiàn)系統(tǒng)需求的前提下，提高系統(tǒng)的性能價(jià)格比。2.2.2 網(wǎng)絡(luò)需求分析在設(shè)計(jì)時(shí)應(yīng)進(jìn)行下列網(wǎng)絡(luò)需求分析：（1）功能需求。有信息傳輸、資源共享、電子函件、網(wǎng)絡(luò)服務(wù)器、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)控制。網(wǎng)絡(luò)安全、網(wǎng)絡(luò)升級(jí)等。（2）性能需求。有服務(wù)效率、服務(wù)質(zhì)量、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)響應(yīng)時(shí)間、數(shù)據(jù)傳輸速度、資源利用率、可靠性、性能價(jià)格比等。（3）環(huán)境需求。主要相地理分布、用戶(hù)數(shù)及其位置、用戶(hù)間的距離、用戶(hù)群的組織特點(diǎn)，還有特殊的限制（如電纜等介質(zhì)布線(xiàn)是否有禁區(qū)等）。（4）其他子系統(tǒng)的需求。如辦公自動(dòng)化系統(tǒng)、設(shè)備控

12、制系統(tǒng)等對(duì)網(wǎng)絡(luò)提出的要求。（5）設(shè)計(jì)約束。包括需遵守的其他標(biāo)準(zhǔn)，各行各業(yè)的不同特點(diǎn)，以及投資對(duì)網(wǎng)絡(luò)設(shè)計(jì)的影響等。2.2.3 設(shè)計(jì)考慮的主要方面（1）網(wǎng)絡(luò)系統(tǒng)的一般技術(shù)要求。主要有網(wǎng)絡(luò)通信協(xié)議、主機(jī)系統(tǒng)結(jié)構(gòu)、主機(jī)響應(yīng)速度、網(wǎng)絡(luò)服務(wù)器通信協(xié)議、網(wǎng)絡(luò)服務(wù)器入網(wǎng)速度、客戶(hù)機(jī)通信權(quán)益、客戶(hù)機(jī)入網(wǎng)速度、交換端口分配、廣域網(wǎng)聯(lián)接、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)管理平臺(tái)、網(wǎng)絡(luò)劃分、網(wǎng)絡(luò)升級(jí)、網(wǎng)絡(luò)主干系統(tǒng)速率等。（2）網(wǎng)絡(luò)信息點(diǎn)總結(jié)。按照統(tǒng)計(jì)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)信息點(diǎn)總結(jié)。（3）主干網(wǎng)設(shè)計(jì)。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，大廈的主干網(wǎng)應(yīng)能支持快速以太網(wǎng)的交換以及對(duì)虛報(bào)網(wǎng)的支持，且具有第三層的交換和今后過(guò)渡到atm 的能力，在帶寬方面能滿(mǎn)足不同

13、應(yīng)用環(huán)境下的客戶(hù)終端帶寬的要求，保證用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)服務(wù)器的速率要求，網(wǎng)絡(luò)主干交換機(jī)采用千兆位或百兆位交換機(jī)，而到每一用戶(hù)帶寬為10100m 自適應(yīng)，對(duì)特別用戶(hù)可以提供千兆位到桌面的服務(wù)。而滿(mǎn)足這一要求的網(wǎng)絡(luò)體系有：1000baset、100baset、100vgamylay、fddi 和atm，它們都是高速網(wǎng)絡(luò)技術(shù)。（4）水平分支網(wǎng)絡(luò)結(jié)構(gòu)。一般選用以太網(wǎng)或快速以太網(wǎng)。根據(jù)具體技術(shù)要求，可選用10baset 或100baset。從各樓層分配線(xiàn)間idf 配線(xiàn)架至工作端口插座的連接線(xiàn)纜采用增強(qiáng)5 類(lèi)4 對(duì)非屏蔽雙絞線(xiàn)（utp），能支持100mbps 傳輸速率；既可服務(wù)于數(shù)據(jù)傳輸，又可用于語(yǔ)音傳輸，保

14、證了系統(tǒng)的靈活性。（5）主服務(wù)器是整個(gè)網(wǎng)絡(luò)的核心，有大量的數(shù)據(jù)進(jìn)行處理、存儲(chǔ)和轉(zhuǎn)發(fā)，一般應(yīng)不低于100mbps速率入網(wǎng)。微機(jī)服務(wù)器也要求以100mbp 速率入網(wǎng)。（6）網(wǎng)絡(luò)分段。網(wǎng)段的劃分和地址分配。同一網(wǎng)段可以使用不同的傳輸協(xié)議，但須使用同種接口卡。（7）廣域網(wǎng)聯(lián)接。包括與國(guó)內(nèi)其他單位、駐外機(jī)構(gòu)和國(guó)際互聯(lián)網(wǎng)的聯(lián)機(jī)，vod 自動(dòng)點(diǎn)播、視頻會(huì)議、遠(yuǎn)程教學(xué)、遠(yuǎn)程三表傳送收費(fèi)、網(wǎng)上購(gòu)物、網(wǎng)上聊天和網(wǎng)上商務(wù)聯(lián)系等功能都需要建立與外界的高速連接，選擇寬帶按人也就成為必然。寬帶接入方式主要應(yīng)考慮與公用數(shù)據(jù)通信網(wǎng)之間的配合。目前，可以為智能建筑提供寬帶接入的服務(wù)商除中國(guó)電信外還有聯(lián)通、長(zhǎng)城寬帶、鐵通、吉通、

15、廣電和網(wǎng)通等電信經(jīng)營(yíng)商。接入方式也有通過(guò)電話(huà)網(wǎng)絡(luò)、有線(xiàn)電視網(wǎng)絡(luò)、高速城域網(wǎng)或無(wú)線(xiàn)、衛(wèi)星等數(shù)種。從實(shí)踐來(lái)看，這幾種方案在傳輸速率、用戶(hù)負(fù)擔(dān)的接入成本和提供的增值服務(wù)內(nèi)容等方面各不相同，所適用的范圍也不一樣。例如：adsl 接入方案：該系統(tǒng)在用戶(hù)端采用adsl 調(diào)制解調(diào)器，所有信息通過(guò)現(xiàn)有電話(huà)線(xiàn)連接到電話(huà)交換局前端adsl 解調(diào)設(shè)備進(jìn)行解調(diào)，解調(diào)后的語(yǔ)音信息仍送入電話(huà)交換機(jī)，而數(shù)據(jù)信息送入atm 網(wǎng)絡(luò)進(jìn)行路由交換，可提供上行1mbps、下行8mbps 的接入速率。adsl 接入的優(yōu)點(diǎn)是可以利用現(xiàn)有的市內(nèi)電話(huà)網(wǎng)和電話(huà)交換局的機(jī)房，缺點(diǎn)是它對(duì)線(xiàn)路的質(zhì)量要求較高，adsl的實(shí)際速度還要受到用戶(hù)和電話(huà)分局

16、的電話(huà)線(xiàn)長(zhǎng)度和線(xiàn)路質(zhì)量的影響，線(xiàn)路抵抗干擾的能力較差。由于寬帶可擴(kuò)展的潛力不大，adsl 不能滿(mǎn)足今后日益增長(zhǎng)的接入速率要求；只能成為過(guò)渡性產(chǎn)品。hfc 網(wǎng)絡(luò)方案：在有線(xiàn)電視光纜與同軸纜混合網(wǎng)上，用戶(hù)使用電纜調(diào)制解調(diào)器cable modem進(jìn)行數(shù)據(jù)傳輸，可以實(shí)現(xiàn)上行3mbps，下行10mbps 的寬帶接入。hfc 方案和adsl 接入方案的共同特點(diǎn)是利用已有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。但共同的缺點(diǎn)是帶寬進(jìn)一步擴(kuò)展能力有限，而且無(wú)法建設(shè)獨(dú)立的社區(qū)內(nèi)部網(wǎng)絡(luò)平臺(tái)。高速光纖接入方案：光纖具有容量大、抗干擾和不宜竊取等優(yōu)點(diǎn)，這些優(yōu)點(diǎn)決定了光纖接入必然替代過(guò)渡性的adsl、cable modem 及無(wú)線(xiàn)等其他成為寬帶

17、接入的主流趨勢(shì)。無(wú)線(xiàn)接入：無(wú)線(xiàn)接入是指從交換節(jié)點(diǎn)到用戶(hù)終端或全部采用無(wú)線(xiàn)手段接入技術(shù)。其優(yōu)點(diǎn)是開(kāi)通快、維護(hù)簡(jiǎn)單、用戶(hù)密集區(qū)成本低，改變了本地電信業(yè)務(wù)的傳統(tǒng)觀(guān)念。在選擇連接方案時(shí)，主要應(yīng)考慮與公用數(shù)據(jù)通信網(wǎng)之間的配合。由于國(guó)內(nèi)電信部門(mén)對(duì)于廣域網(wǎng)用戶(hù)的質(zhì)量上有待提高，因此，在充分考慮了可靠性性能價(jià)格比等因素下，應(yīng)盡可能選用電信部門(mén)熟悉的產(chǎn)品及公用網(wǎng)型號(hào)相同的產(chǎn)品。2.3 網(wǎng)絡(luò)設(shè)備選型：在確定了系統(tǒng)的設(shè)計(jì)方案，進(jìn)行軟件、硬件設(shè)計(jì)后，需要進(jìn)行設(shè)備選型。設(shè)備選型是網(wǎng)絡(luò)工程中非常重要的一環(huán)，設(shè)備選型的好壞直接影響系統(tǒng)的實(shí)用性、穩(wěn)定性、可靠性和系統(tǒng)的費(fèi)用。2.3.1 設(shè)備選型依據(jù)主要是根據(jù)選型原則和選型標(biāo)準(zhǔn)

18、，對(duì)不同廠(chǎng)家的產(chǎn)品的不同型號(hào)進(jìn)行綜合全面的比較，選擇滿(mǎn)足系統(tǒng)需求的、先進(jìn)、性能價(jià)格比高的設(shè)備。智能建筑內(nèi)部的綜合局域網(wǎng)，作為一個(gè)完整的網(wǎng)絡(luò)體系，即交換機(jī)、集線(xiàn)器和網(wǎng)絡(luò)管理軟件直選用同一廠(chǎng)商的產(chǎn)品，以便于用戶(hù)使用、管理和維護(hù)。設(shè)計(jì)一個(gè)計(jì)算機(jī)局域網(wǎng)，需要考慮因素很多。從技術(shù)角度而言，目前，以太網(wǎng)采用的傳輸介質(zhì)已從細(xì)同軸電纜、粗同軸電纜幾乎完全改變?yōu)榉瞧帘坞p絞線(xiàn)和單模、多模光纖電纜，以大網(wǎng)傳輸速率也從過(guò)去的共享10mbps 上發(fā)展到10mbps 交換、100mbps 共享及交換正向1gbps 高速交換發(fā)展。atm 技術(shù)應(yīng)用正在快速展開(kāi)；并為以太網(wǎng)技術(shù)接軌而發(fā)展了局域網(wǎng)仿真技術(shù)，可以使以大網(wǎng)平滑地過(guò)渡

19、到atm。微機(jī)服務(wù)器也從最初的來(lái)自x86cpu 和isa 總線(xiàn)、at磁盤(pán)接口發(fā)展到今天的奔騰四代cpu、agp 總線(xiàn)，fastwide scsi-2 磁盤(pán)接口。應(yīng)用軟件系統(tǒng)的種類(lèi)更是數(shù)不勝數(shù)令人眼花繚亂。在這種局面下，為了從中選出最合適的產(chǎn)品來(lái)構(gòu)成自己的計(jì)算機(jī)網(wǎng)絡(luò)并滿(mǎn)足應(yīng)用需求，網(wǎng)絡(luò)設(shè)計(jì)人員而要有多方面的知識(shí)，包括對(duì)新技術(shù)的深刻理解，對(duì)最新產(chǎn)品的廣泛關(guān)注，以及對(duì)應(yīng)用需求的準(zhǔn)確把握。尤其是對(duì)應(yīng)用需求的準(zhǔn)確把握，應(yīng)該是一個(gè)網(wǎng)絡(luò)設(shè)計(jì)成功與否的關(guān)鍵。與應(yīng)用需求脫鉤，單純追求最新技術(shù)。最快速度，脫離實(shí)際強(qiáng)調(diào)先進(jìn)性，致使先進(jìn)設(shè)備的能力不能得到充分發(fā)揮，等于浪費(fèi)了資金。這一點(diǎn)必須得以充分注意。在確定應(yīng)用需求

20、的前提下，設(shè)計(jì)一個(gè)網(wǎng)絡(luò)需要考慮的主要方面包括布線(xiàn)、網(wǎng)絡(luò)應(yīng)用口確定、網(wǎng)絡(luò)操作系統(tǒng)及服務(wù)器選程、網(wǎng)絡(luò)拓補(bǔ)結(jié)構(gòu)及運(yùn)行枕率規(guī)劃、數(shù)據(jù)安全性保障等幾個(gè)大的方面。另外，網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)工作站的統(tǒng)一管理、遠(yuǎn)程用戶(hù)介入、網(wǎng)絡(luò)間互聯(lián)也應(yīng)十分重視。目前主買(mǎi)的網(wǎng)絡(luò)廠(chǎng)商有：3com，ibm，bay network，cabietron，cisco，hp 等公司，對(duì)于各個(gè)廠(chǎng)家的產(chǎn)品進(jìn)行全面的比較，結(jié)合智能建筑的技術(shù)要求，具體情況。投資等多方面因素，選擇性能價(jià)格比最高的產(chǎn)品。2.3.2 網(wǎng)絡(luò)操作系統(tǒng)的選擇在網(wǎng)絡(luò)應(yīng)用項(xiàng)目確定后，網(wǎng)絡(luò)應(yīng)用軟件也就基本選定。對(duì)于選擇商品化應(yīng)用軟件的項(xiàng)目而言，因根據(jù)應(yīng)用軟件需要的操作系統(tǒng)環(huán)境來(lái)確定網(wǎng)

21、絡(luò)操作系統(tǒng)。對(duì)于具有多種網(wǎng)絡(luò)操作系統(tǒng)環(huán)境能力的應(yīng)用軟件，因通過(guò)對(duì)銷(xiāo)售商的查詢(xún)，確定這種軟件在哪種操作系統(tǒng)上效果最佳，然后確定網(wǎng)絡(luò)操作系統(tǒng)。通常情況下，某種應(yīng)用軟件雖然移植到了多種網(wǎng)絡(luò)操作系統(tǒng)下，但只有在一種操作系統(tǒng)下優(yōu)化的最好。那當(dāng)然，如果服務(wù)器并不止提供一項(xiàng)服務(wù)，就必須根據(jù)所提供服務(wù)的重要程度，綜合考慮和選擇網(wǎng)絡(luò)操作系統(tǒng)。目前，網(wǎng)絡(luò)上常府的操作系統(tǒng)主要是novell 公司的netware，microsoft 公司的windows，ibm 公司的os2，lan server 和unix，linux。2.4 服務(wù)器的選配：2.4.1 服務(wù)器的選擇目前服務(wù)器的選擇余地比較大，主要從可靠性、io 性

22、能等方面考慮。衡量服務(wù)器的可靠性主要根據(jù)服務(wù)器采用的技術(shù)。如冗余技術(shù)，電源、硬盤(pán)、內(nèi)存、cpu、io 卡總線(xiàn)通道和故障在線(xiàn)修復(fù)技術(shù)等。io 性能等方面主要考慮文件服務(wù)性能，如io 并發(fā)操作能力。目前市場(chǎng)上有很多品牌的微機(jī)服務(wù)器系統(tǒng)，如campaq，ibm，hp 等較大的微機(jī)廠(chǎng)商都推出了品質(zhì)優(yōu)異的k 服務(wù)器產(chǎn)品。各廠(chǎng)家的服務(wù)器在主要功能上差距不大，但也有各自的特點(diǎn)。例如compaq 的proliant 系列服務(wù)器在windowsnt 下具有實(shí)現(xiàn)雙機(jī)雙工熱備份的能力，二臺(tái)服務(wù)器平時(shí)各自作為獨(dú)立的服務(wù)器發(fā)揮作用，而當(dāng)其中任意一臺(tái)出現(xiàn)故障時(shí)，另一臺(tái)服務(wù)器可以接替其工作繼續(xù)運(yùn)行。ibm 的pc 服務(wù)器在

23、smp 方式時(shí)可以混合安裝奔騰系列處理器，并且每個(gè)處理器都工作在備自的主頻下而不會(huì)被降頻使用。2.4.2 服務(wù)器資源配置 它要根據(jù)應(yīng)用需求來(lái)確定，主要考慮的是內(nèi)存容量、磁盤(pán)驅(qū)動(dòng)器控制器標(biāo)準(zhǔn)、磁盤(pán)容量及容錯(cuò)方式等。內(nèi)存的選擇必須考慮網(wǎng)絡(luò)操作系統(tǒng)及應(yīng)用軟件的要求。從操作系統(tǒng)的需求來(lái)說(shuō)，如netware 操作系統(tǒng)下每100m 硬盤(pán)容量最好配置4mb 內(nèi)存；windowsnt 基本內(nèi)存最好確定在12mb 以上，這樣的才能保證網(wǎng)絡(luò)操作系統(tǒng)正常運(yùn)行。應(yīng)用軟件，尤其是目前流行的客戶(hù)機(jī)服務(wù)器模式的應(yīng)用軟件，對(duì)服務(wù)器的內(nèi)存要求也十分龐大，例如lotus notes 在windows nt系統(tǒng)下運(yùn)行，內(nèi)存容量基本

24、要求為48 mb，建議為64mb?？蛻?hù)機(jī)服務(wù)器模式的應(yīng)用系統(tǒng)在保證基本需求外，增加的內(nèi)存量可以提高運(yùn)行效率，減少磁盤(pán)交換的壓力。但內(nèi)存的擴(kuò)充也不能任意增加，因?yàn)榉?wù)器所用內(nèi)存是為保證服務(wù)器運(yùn)行良好而專(zhuān)門(mén)設(shè)計(jì)的，采用了許多高級(jí)的檢錯(cuò)、糾錯(cuò)技術(shù)，所以?xún)r(jià)格大大高于微機(jī)的內(nèi)存價(jià)格。2.4.3 磁盤(pán)驅(qū)動(dòng)器控制器日前主要有fast scsi、twide scsi 二種標(biāo)準(zhǔn)，前一種傳輸速率為10mbps，后一種為20mbps。新的控制器標(biāo)準(zhǔn)還有ultra scsi，傳輸速率可以達(dá)到40mbps，還有wide-ultrascsi-3 的傳輸速率為240mbps。選擇哪一種標(biāo)準(zhǔn)的產(chǎn)品要根據(jù)投資能力和是否真正需要

25、為準(zhǔn)。對(duì)于小型應(yīng)用、整體投資額不大、應(yīng)用繁忙程度不高的環(huán)境，可以選擇標(biāo)準(zhǔn)的控制器驅(qū)動(dòng)器。對(duì)于高強(qiáng)度的磁盤(pán)應(yīng)用，就應(yīng)選用fastwide scsi-2 標(biāo)準(zhǔn)的產(chǎn)品。2.4.4 磁盤(pán)容錯(cuò)方式 目前主要有磁盤(pán)鏡像、磁盤(pán)雙工和磁盤(pán)陣列技術(shù)。磁盤(pán)鏡像使用一個(gè)控制器控制兩個(gè)磁盤(pán)，寫(xiě)到磁盤(pán)和數(shù)據(jù)都要同時(shí)寫(xiě)入兩個(gè)盤(pán)中，任意一個(gè)盤(pán)失效都不會(huì)影響數(shù)據(jù)的安全性。磁盤(pán)雙工是使用兩個(gè)控制器各控制一個(gè)磁盤(pán)，即在磁盤(pán)冗余基礎(chǔ)上增加控制器冗余。磁盤(pán)陣列技術(shù)目前最廣泛的是raid5，冗余度小，陣列中任意一個(gè)盤(pán)失效都可以保持?jǐn)?shù)據(jù)安全有效。在陣列技術(shù)上，各服務(wù)器主要廠(chǎng)家還都增加了在線(xiàn)增容技術(shù)，即不停機(jī)增加磁盤(pán)容量及raid的sma

26、rt-2 陣列控制器。compaq 公司還具有在線(xiàn)熱備份方式：一個(gè)磁盤(pán)保持后備狀態(tài)，當(dāng)陣列中一個(gè)磁盤(pán)失效，后備盤(pán)立即啟用，這樣就可以在陣列中出現(xiàn)兩個(gè)磁盤(pán)都損壞情況下也能保證數(shù)據(jù)安全。陣列技術(shù)的磁盤(pán)冗余度最小，但其控制器及所用的驅(qū)動(dòng)器都比較昂貴。對(duì)于小型服務(wù)器，采用鏡像技術(shù)是比較適宜的。鏡像方式看上去冗余度達(dá)到了50%，但在小統(tǒng)上，其綜合性能價(jià)格比要比陣列式為佳。在服務(wù)器整體容錯(cuò)方面可以選擇的還有netware sft3 雙服務(wù)器鏡像技術(shù)及前面提到的nt 雙機(jī)雙工方式，sft3 是用2 個(gè)配置完全相同的服務(wù)器，通過(guò)專(zhuān)用的服務(wù)器鏡像卡連接起來(lái)，2 個(gè)服務(wù)器運(yùn)行時(shí)內(nèi)存、磁盤(pán)系統(tǒng)全都保持同步狀態(tài)，對(duì)外

27、表現(xiàn)為一個(gè)服務(wù)器。當(dāng)?shù)谝粋€(gè)服務(wù)器出現(xiàn)故障時(shí)，另一個(gè)服務(wù)器可以繼續(xù)工作，用戶(hù)絲毫感覺(jué)不到停頓，它通常用于對(duì)系統(tǒng)的不停機(jī)運(yùn)行要求極高的場(chǎng)合。由于網(wǎng)絡(luò)技術(shù)與綜合布線(xiàn)系統(tǒng)息息相關(guān)，這就要求在設(shè)計(jì)布線(xiàn)系統(tǒng)的同時(shí)就必須充分考慮到將來(lái)布置的計(jì)算機(jī)網(wǎng)絡(luò)能否充分發(fā)揮綜合布線(xiàn)的優(yōu)點(diǎn)，在適當(dāng)考慮網(wǎng)絡(luò)系統(tǒng)的升級(jí)的前提下，選擇合理的方案，避免硬件資源的冗余與浪費(fèi)。2.5網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)內(nèi)部的局域網(wǎng)按訪(fǎng)問(wèn)區(qū)域可以劃分為三個(gè)主要的區(qū)域：internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng)，包括：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計(jì)中，我

28、們基于安全的重要程度和要保護(hù)的對(duì)象，可以在catalyst 型交換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)（vlan），即：中心服務(wù)器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)獨(dú)立的廣播域，而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。 拓?fù)浣Y(jié)構(gòu)示意圖3.計(jì)算機(jī)網(wǎng)絡(luò)配置3.1 網(wǎng)絡(luò)應(yīng)用：公司的網(wǎng)絡(luò)主要為用戶(hù)提供如下應(yīng)用服務(wù)：1文件共享、辦公自動(dòng)化、www服務(wù)、電子郵件服務(wù)；2文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)；3針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財(cái)務(wù)系統(tǒng))；4提供與internet的訪(fǎng)問(wèn)；5通過(guò)公開(kāi)服

29、務(wù)器對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等；3.2 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)：在分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)：1.網(wǎng)絡(luò)與internet直接連結(jié)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與internet連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò)internet傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自internet的非授權(quán)訪(fǎng)問(wèn)等。2.網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器，由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。3.內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分割開(kāi)，這可以通過(guò)交換機(jī)劃分v

30、lan來(lái)實(shí)現(xiàn)。4.網(wǎng)絡(luò)中有二臺(tái)應(yīng)用服務(wù)器，在應(yīng)用程序開(kāi)發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶(hù)登錄驗(yàn)證，防止非授權(quán)的訪(fǎng)問(wèn)?？偠灾谶M(jìn)行網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，應(yīng)綜合考慮到企業(yè)網(wǎng)絡(luò)的特點(diǎn)，根據(jù)產(chǎn)品的性能、價(jià)格、潛在的安全風(fēng)險(xiǎn)進(jìn)行綜合考慮。3.3 公司的總體網(wǎng)絡(luò)拓?fù)鋱D：根據(jù)公司總部的需求分析，網(wǎng)絡(luò)分布可采用以下方案：(1) switch1下的pc1、pc2、pc2等客戶(hù)端分配給技術(shù)部、客服部；(2) switch2下的pc4、pc5、pc6、pc7等客戶(hù)端分配給軟件部；(3) switch3下的pc8、pc9、pc10等客戶(hù)端分配給財(cái)務(wù)部、人事部；(4) switch4下的pc11、pc12、pc13、pc14、pc15

31、等客戶(hù)端分配給市場(chǎng)部、銷(xiāo)售部。（上述中公司的客戶(hù)端并沒(méi)全部列出，可根據(jù)實(shí)際需要進(jìn)行相關(guān)擴(kuò)展。）ip分配：switch1網(wǎng)段使用：192.168.1. 子網(wǎng)掩碼： ；switch2網(wǎng)段使用：192.168.2. 子網(wǎng)掩碼： ；switch3網(wǎng)段使用：192.168.3. 子網(wǎng)掩碼： ；switch4網(wǎng)段使用：192.168.4. 子網(wǎng)掩碼： 。交換機(jī)的配置：我們可以根據(jù)需求使用交換機(jī)技術(shù)建立vlan來(lái)實(shí)行安全通信。路由器的配置：我們可以把beijing的路由器配置成靜態(tài)路由，而把sydney

32、和seattle的路由器配置成缺省路由。路由交換的實(shí)現(xiàn)：1) 設(shè)置路由器名：enter host name router:2) 設(shè)置進(jìn)入特權(quán)狀態(tài)的密文(secret)，此密文在設(shè)置以后不會(huì)以明文方式顯示：the enable secret is a one-way cryptographic secret usedinstead of the enable password when it exists.enter enable secret: cisco3) 設(shè)置進(jìn)入特權(quán)狀態(tài)的密碼(password)，此密碼只在沒(méi)有密文時(shí)起作用，并且在設(shè)置以后會(huì)以明文方式顯示：the enable pass

33、word is used when there is no enable secretand when using older software and some boot images.enter enable password: pass4) 設(shè)置虛擬終端訪(fǎng)問(wèn)時(shí)的密碼：enter virtual terminal password: cisco5) 詢(xún)問(wèn)是否要設(shè)置路由器支持的各種網(wǎng)絡(luò)協(xié)議：configure snmp network management? yes:configure decnet? no:configure appletalk? no:configure ipx? no:

34、configure ip? yes:configure igrp routing? yes:configure rip routing? no:配置靜態(tài)路由：通過(guò)配置靜態(tài)路由，用戶(hù)可以人為地指定對(duì)某一網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)所要經(jīng)過(guò)的路徑,在網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，且一般到達(dá)某一網(wǎng)絡(luò)所經(jīng)過(guò)的路徑唯一的情況下采用靜態(tài)路由。任務(wù) 命令建立靜態(tài)路由 ip route prefix mask address | interface distance tag tag permanentprefix :所要到達(dá)的目的網(wǎng)絡(luò)mask :子網(wǎng)掩碼address :下一個(gè)跳的ip地址，即相鄰路由器的端口地址。interface :本

35、地網(wǎng)絡(luò)接口distance :管理距離（可選）tag tag :tag值（可選）permanent :指定此路由即使該端口關(guān)掉也不被移掉。對(duì)于廣域網(wǎng)部分的連接可根據(jù)實(shí)際需求去電信部門(mén)選擇合適的接入方案。3.4 網(wǎng)絡(luò)應(yīng)用服務(wù)的配置：鑒于該公司的實(shí)際應(yīng)用情況，我們采用域的管理模式，分別在各個(gè)地方建立相應(yīng)的域環(huán)境，便于管理本地的用戶(hù)和服務(wù)器，在域與域之間采用相互信任的模式，在每個(gè)域環(huán)境下設(shè)立不同的組織單元和多個(gè)站點(diǎn)，用組策略管理組織單元。在個(gè)人用戶(hù)配置上我們?yōu)橛脩?hù)設(shè)置漫游配置文件和用戶(hù)主目錄；設(shè)置相應(yīng)文件共享并同ntfs權(quán)限相結(jié)合進(jìn)行訪(fǎng)問(wèn)控制并且對(duì)機(jī)密數(shù)據(jù)進(jìn)行加密；客戶(hù)機(jī)安裝office套件，vla

36、n隔離等。安裝并配置active directory：（1）先建立一個(gè)域，, 它的地址在北京，作為總部。（2）為它建立三個(gè)子域，一個(gè)在beijing,一個(gè)在north america，一個(gè)在australia。建立過(guò)程如下：1）用管理員的身份登入到中的一個(gè)服務(wù)器，先把它降級(jí)為一個(gè)普通的計(jì)算機(jī)。2）在開(kāi)始運(yùn)行，輸入dcpromo命令，選擇新的域控制器，后點(diǎn)擊下一步，再選擇在現(xiàn)有域樹(shù)中新建一個(gè)子域，點(diǎn)下步，在網(wǎng)絡(luò)憑證中輸入相應(yīng)的帳號(hào)和域名；3）在下步中輸入子域的名稱(chēng)australia，點(diǎn)擊下步，到最后完成，最后要求重新啟動(dòng)計(jì)算機(jī)。可以在ad中看到新建

37、立的australia 。4）按照以上的方法可以再建立子域，用于管理各地的公司部門(mén)。dns服務(wù)務(wù)的組建：1）、 安裝dns服務(wù) 開(kāi)始設(shè)置控制面板添加/刪除程序添加/刪除windows組件“網(wǎng)絡(luò)服務(wù)”選擇“域名服務(wù)系統(tǒng)（dns）”按確定進(jìn)行安裝。 2）、 創(chuàng)建dns正相解析區(qū)域 開(kāi)始程序管理工具選擇dns，打開(kāi)dns控制臺(tái)右擊“正相搜索區(qū)域”選擇“新建區(qū)域”選擇“標(biāo)準(zhǔn)主要區(qū)域”（或“active directory 集成區(qū)域”或“標(biāo)準(zhǔn)輔助區(qū)域”）-輸入域名“” 輸入要保存的區(qū)域的文件名“.dns” 按完成，完成創(chuàng)建。 創(chuàng)建主機(jī)記錄：右擊“abc

38、.com”“新建主機(jī)” 在名稱(chēng)處輸入“www”，在“ip地址”處輸入“”，按“添加主機(jī)”完成。 3）、 創(chuàng)建dns反向解析區(qū)域 開(kāi)始程序管理工具選擇dns，打開(kāi)dns控制臺(tái)右擊“反向搜索區(qū)域”選擇“新建區(qū)域”選擇“標(biāo)準(zhǔn)主要區(qū)域”輸入用來(lái)標(biāo)示區(qū)域的“網(wǎng)絡(luò)id”輸入要保存的區(qū)域的文件名“0.168.192..dns”按完成，完成創(chuàng)建。創(chuàng)建指針ptr：右擊“192.168.1.x.subnet”選擇“新建指針”在“主機(jī)ip號(hào)”中輸入2在“主機(jī)名”中輸入ftp按 “確定”完成添加。4）、 啟用dns循環(huán)復(fù)用功能 如對(duì)應(yīng)于多個(gè)ip地址時(shí)

39、dns每次解析的順序都不同 右擊選擇“dns服務(wù)器”屬性高級(jí)選擇“啟用循環(huán)”（round robin）-選擇“啟用netmask 排序”按“ 確定”返回。 注：如所有的ip和域名服務(wù)器在同一子網(wǎng)時(shí)需要取消“啟用netmask排序”，才能實(shí)現(xiàn)循環(huán)復(fù)用功能。即啟用循環(huán)時(shí) ，當(dāng)主機(jī)的ip和dns在同一個(gè)子網(wǎng)時(shí)將始終排在最前面，當(dāng)都在一個(gè)子網(wǎng)時(shí)就不進(jìn)行循環(huán)，只有去除了“啟用netmask排序” 時(shí)才能實(shí)現(xiàn)循環(huán)復(fù)用。 dns服務(wù)器會(huì)優(yōu)先把與自己的網(wǎng)絡(luò)id相同的記錄返回給客戶(hù)端。 5）、 創(chuàng)建標(biāo)準(zhǔn)輔助區(qū)域，實(shí)現(xiàn)dns區(qū)域復(fù)制 在另一臺(tái)dns服務(wù)器上，右擊“正向搜索區(qū)域”選擇“新建區(qū)域”選擇“標(biāo)準(zhǔn)輔助區(qū)域”

40、輸入“”輸入主域名服務(wù)器的ip地址選擇“完成”。 可手工要求同步：在輔域名服務(wù)器上右擊“”的域選擇“從主服務(wù)器傳輸”。 并且可以設(shè)置允許傳輸?shù)挠蛎?wù)器：在主域名服務(wù)器上右擊“”的域選擇“屬性”選擇“區(qū)域復(fù)制”在“允許復(fù)制”前打勾，并選擇允許復(fù)制的主機(jī)（到所有服務(wù)器、只有在“名稱(chēng)服務(wù)器”選項(xiàng)卡中列出的服務(wù)器、只允許到下列服務(wù)器）。 完成服務(wù)器類(lèi)型的轉(zhuǎn)換： 右擊區(qū)域選擇 “屬性”選擇“類(lèi)型”的“更改”按鈕選擇要更改的區(qū)域類(lèi) 型按“確定”。 6）、 實(shí)現(xiàn)dns唯高速緩存服務(wù)器 創(chuàng)建一個(gè)沒(méi)有任何區(qū)域的dns服務(wù)器右擊dns服務(wù)器選擇“屬性”選擇“轉(zhuǎn) 發(fā)器”中

41、的“啟用轉(zhuǎn)發(fā)器”輸入轉(zhuǎn)發(fā)器的ip地址按“確定”完成。清除“唯高速緩存”中的cache內(nèi)容：右擊“dns服務(wù)器”選擇“清除緩存” 或者選擇“dns服務(wù)器”在菜單中選擇“查看”，高級(jí)右擊“緩存的查找”選擇“清除緩存” （客戶(hù)端清空dns緩存）ipconfig /flushdns）。 7）、 dns的委派（子域的轉(zhuǎn)向） 在原域名服務(wù)器上建立“”的主機(jī)右擊的域，選擇“新建委派”將的域代理給的主機(jī)在上建立“正向標(biāo)準(zhǔn)區(qū)域”添

42、加相關(guān)主機(jī)記錄。 8）、 設(shè)置 dns區(qū)域的動(dòng)態(tài)更新 右擊選擇dns上區(qū)域選擇“屬性”選擇“常規(guī)”中的“允許動(dòng)態(tài)更新”，選是 然后按 “確定”在本機(jī)的dhcp服務(wù)器中右擊選擇dhcp服務(wù)器選擇“屬性”選擇“dns”選擇“為不支持動(dòng)態(tài)更新的dns客戶(hù)啟用更新”在客戶(hù)端使用ipconfig /registerdns來(lái)更新域名的注冊(cè)信息。 注意客戶(hù)端需要將完整的計(jì)算機(jī)名改成 9）、 配置dns客戶(hù)端在客戶(hù)端計(jì)算機(jī)上打開(kāi)tcp/ip屬性對(duì)話(huà)框，在dns服務(wù)器地址欄輸入dns服務(wù)器的ip地址。3.5 網(wǎng)絡(luò)用戶(hù)管理：1.在網(wǎng)絡(luò)中建立域模式，在域中對(duì)各個(gè)部門(mén)進(jìn)行有效的管理。2.實(shí)

43、行組策略，為每個(gè)部門(mén)委派一個(gè)經(jīng)理進(jìn)行管理，如用戶(hù)和組的創(chuàng)建，口令更改等。3.為每個(gè)部門(mén)經(jīng)理創(chuàng)建一個(gè)簡(jiǎn)便的管理工具，以便進(jìn)行日常的管理。4.為了便于公司各部門(mén)訪(fǎng)問(wèn)相應(yīng)的共享資源，要求通過(guò)dfs和在目錄中發(fā)布方式建立一個(gè)集中管理并便于訪(fǎng)問(wèn)的共享點(diǎn)。5.為公司各部門(mén)實(shí)現(xiàn)打印位置，以便將文件打印到離自己最近的位置。6.為了便于管理員管理，在客戶(hù)端安裝ad管理工具。7.管理員可以一次性建立多個(gè)用戶(hù)。8.使用vpn技術(shù)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)，并配置用戶(hù)的撥入權(quán)限。3.6 無(wú)線(xiàn)網(wǎng)絡(luò)的擴(kuò)展： 無(wú)線(xiàn)網(wǎng)絡(luò)是有線(xiàn)網(wǎng)絡(luò)的延伸，該網(wǎng)絡(luò)結(jié)構(gòu)采用主干100m以太網(wǎng)交換，用戶(hù)采用802.11b 11m無(wú)線(xiàn)擴(kuò)頻網(wǎng)絡(luò)連接到網(wǎng)絡(luò)交換機(jī)上，從

44、而來(lái)建立公司內(nèi)部寬帶數(shù)據(jù)網(wǎng)絡(luò)，通過(guò)該網(wǎng)絡(luò)用戶(hù)通過(guò)專(zhuān)線(xiàn)連接到internet。網(wǎng)絡(luò)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)為星形，網(wǎng)絡(luò)交換設(shè)備分為2級(jí)，1級(jí)選用10m/100m以太網(wǎng)交換機(jī)，2級(jí)選用11m無(wú)線(xiàn)接入器。（1）能夠在infrastructure模式下將無(wú)線(xiàn)用戶(hù)連接在一起。隨著無(wú)線(xiàn)網(wǎng)絡(luò)用戶(hù)數(shù)的增加和網(wǎng)絡(luò)范圍的擴(kuò)大，通過(guò)配置多個(gè)ap擴(kuò)展無(wú)線(xiàn)覆蓋范圍，實(shí)現(xiàn)無(wú)線(xiàn)用戶(hù)的數(shù)據(jù)漫游接入，提供更優(yōu)質(zhì)的服務(wù)。（2）通過(guò)ap與以上聯(lián)的以太網(wǎng)網(wǎng)絡(luò)連接，使得無(wú)線(xiàn)用戶(hù)與有線(xiàn)網(wǎng)絡(luò)上工作站、服務(wù)器之間能夠進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)。也可以把一臺(tái)ap連接到寬帶internet網(wǎng)關(guān)上。通過(guò)該網(wǎng)關(guān)，無(wú)線(xiàn)用戶(hù)可接入internet進(jìn)行訪(fǎng)問(wèn)。這樣可以節(jié)省網(wǎng)絡(luò)建設(shè)

45、成本，因?yàn)闊o(wú)線(xiàn)用戶(hù)可以在不使用任何線(xiàn)纜的情況下對(duì)internet進(jìn)行訪(fǎng)問(wèn)，具有便捷，移動(dòng)的特點(diǎn)。（3）高質(zhì)量的安全服務(wù)，支持64 bit 和128 bit wep加密，提供安全的ap管理機(jī)制和設(shè)置機(jī)制。4.網(wǎng)絡(luò)安全設(shè)計(jì)4.1 網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)目標(biāo)：（1）防范黑客攻擊、計(jì)算機(jī)犯罪和有害信息傳播（包括計(jì)算機(jī)病毒）。（2）加強(qiáng)應(yīng)用和數(shù)據(jù)的安全、建立安全管理制度，注意內(nèi)外兼防，重點(diǎn)在內(nèi)部。 4.2 安全模型：縱深防御體系被認(rèn)為是一種最佳安全做法。這種方法就是在網(wǎng)絡(luò)中的多個(gè)點(diǎn)使用多種安全技術(shù)，從而減少攻擊者利用關(guān)鍵業(yè)務(wù)資源或信息泄露到企業(yè)外部的總體可能性。在消息傳遞和協(xié)作環(huán)境中，縱深防御體系可以幫助管

46、理員確保惡意代碼或活動(dòng)被阻止在基礎(chǔ)結(jié)構(gòu)內(nèi)的多個(gè)檢查點(diǎn)。這樣便增加了攻擊者被檢測(cè)到的風(fēng)險(xiǎn)，降低了威脅進(jìn)入內(nèi)部網(wǎng)絡(luò)的可能性。下面列出了mpdrr安全模型的各個(gè)環(huán)節(jié)： 第一環(huán)節(jié)：安全管理（m）。安全管理包括安全策略、過(guò)程和意識(shí)，是建立任何成功安全系統(tǒng)的基礎(chǔ)，其制定的安全策略是整個(gè)網(wǎng)絡(luò)安全模型體系的指導(dǎo)方針，它將安全模型中的各個(gè)環(huán)境進(jìn)行有機(jī)的組合和協(xié)調(diào)。安全策略的執(zhí)行需要技術(shù)和管理方面的進(jìn)行，在管理方面需要制定相應(yīng)的安全規(guī)章和制度，根據(jù)員工的角色定期進(jìn)行的安全教育，并對(duì)安全的實(shí)施過(guò)程進(jìn)行嚴(yán)格的監(jiān)控制。 第二環(huán)節(jié)：安全防護(hù)（p）。安全保護(hù)是預(yù)先阻止可能發(fā)生的攻擊，讓攻擊者無(wú)法順利地入侵，可以減少大多數(shù)的

47、入侵事件。除了物理層的安全保護(hù)外，它還包括防火墻、用戶(hù)身份認(rèn)證和訪(fǎng)問(wèn)控制、防病毒、數(shù)據(jù)加密等。 第三環(huán)節(jié)：安全檢測(cè)（d）。通過(guò)防護(hù)系統(tǒng)可以阻止大多數(shù)的入侵事件，但是它不能阻止所有的入侵。特別是那些利用新的系統(tǒng)和應(yīng)用的缺陷以及發(fā)生在內(nèi)部攻擊，防護(hù)能夠起到的安全保護(hù)有效。因此mpdrr的第三個(gè)安全環(huán)節(jié)就是檢測(cè)，即當(dāng)入侵行為發(fā)生時(shí)可以即時(shí)檢測(cè)出來(lái)。檢測(cè)常用的工具是入侵檢測(cè)系統(tǒng)（ids）。ids是一個(gè)硬件系統(tǒng)和軟件程序的組合，它的功能是檢測(cè)出正在發(fā)生或已經(jīng)發(fā)生的入侵事件并作出相應(yīng)的響應(yīng)事件（ids的內(nèi)容我們將在隨后的章節(jié)中講到）。 第四環(huán)節(jié)：安全響應(yīng)（r）。mpdrr模型中的第四個(gè)環(huán)節(jié)就是響應(yīng)。響應(yīng)是

48、針對(duì)一個(gè)已知入侵事件進(jìn)行的處理。在一個(gè)大規(guī)模的網(wǎng)絡(luò)中，響應(yīng)這個(gè)工作都是有一個(gè)特殊部門(mén)如計(jì)算機(jī)響應(yīng)小組負(fù)責(zé)。響應(yīng)的主要工作可以分為兩種，即緊急響應(yīng)和其他事件處理。緊急響應(yīng)就是當(dāng)安全事件發(fā)生時(shí)即時(shí)采取應(yīng)對(duì)措施，如入侵檢測(cè)系統(tǒng)的報(bào)警以及其與防火墻聯(lián)動(dòng)主動(dòng)阻止連接，當(dāng)然也包括通過(guò)其他方式的匯報(bào)和事故處理等。其他事件處理則主要包括咨詢(xún)、培訓(xùn)和技術(shù)支持等。 第五環(huán)節(jié)：安全恢復(fù)（r）。沒(méi)有絕對(duì)的安全，盡管我們采用了各種安全防護(hù)措施，但網(wǎng)絡(luò)攻擊以及其它災(zāi)難事件還是不可避免的發(fā)生了?；謴?fù)是mpdrr模型中的最后一個(gè)環(huán)節(jié)，攻擊事件發(fā)生后，可以即時(shí)把系統(tǒng)恢復(fù)到原來(lái)或者比原來(lái)更加安全的狀態(tài)?；謴?fù)可以分為系統(tǒng)恢復(fù)和信息

49、恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)是根據(jù)檢測(cè)和響應(yīng)環(huán)節(jié)提供有關(guān)事件的資料進(jìn)行的，它主要是修補(bǔ)被攻擊者所利用的各種系統(tǒng)缺陷以及消除后門(mén)，不讓黑客再次利用相同的漏洞入侵，如系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等。信息恢復(fù)指的是對(duì)丟失數(shù)據(jù)的恢復(fù)，主要是從備份和歸檔的數(shù)據(jù)恢復(fù)原來(lái)數(shù)據(jù)。數(shù)據(jù)丟失的原因可能是由于黑客入侵造成，也可以是由于系統(tǒng)故障、自然災(zāi)害等原因造成的。信息恢復(fù)過(guò)程跟數(shù)據(jù)備份過(guò)程有很大的關(guān)系，數(shù)據(jù)備份做得是否充分對(duì)信息恢復(fù)有很大的影響。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù)，這樣可以提高信息恢復(fù)的效率。4.3 物理層安全解決方案：保障物理安全除了要遵守國(guó)家相關(guān)的場(chǎng)地要求

50、和設(shè)計(jì)規(guī)范外，為了將不同密級(jí)的網(wǎng)絡(luò)隔離開(kāi)，需要采用物理隔離技術(shù)將業(yè)務(wù)網(wǎng)和辦公網(wǎng)兩個(gè)網(wǎng)絡(luò)在物理上隔離。 4.4 網(wǎng)絡(luò)平臺(tái)安全方案：4.4.1 網(wǎng)絡(luò)系統(tǒng)方案功能要點(diǎn) 1)訪(fǎng)問(wèn)控制。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪(fǎng)問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。檢查安全漏洞。通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。攻擊監(jiān)控。通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。 2)加密通訊。主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。 3)認(rèn)證。良好的認(rèn)證體系可防止攻擊者假冒合法用戶(hù)。

51、 4)備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，及時(shí)地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。 5)多層防御。攻擊者在突破第一道防線(xiàn)后，延緩或阻斷其到達(dá)攻擊目標(biāo)。 6)隱藏內(nèi)部信息。使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。 7)設(shè)立安全管理機(jī)構(gòu)。為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護(hù)及緊急情況服務(wù)。4.4.2 網(wǎng)絡(luò)平臺(tái)安全措施網(wǎng)絡(luò)平臺(tái)的安全措施應(yīng)涉及局域網(wǎng)、廣域網(wǎng)、互連網(wǎng)、防病毒和防黑客共五個(gè)方面。 局域網(wǎng)的安全措施由于局域網(wǎng)中采用廣播方式，因此，本廣播域的信息傳遞都會(huì)暴露在黑客面前。可采取下列措施提高安全性：（1）網(wǎng)絡(luò)分段網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，將非法用戶(hù)與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶(hù)非法訪(fǎng)問(wèn)的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式：物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，使各網(wǎng)段相互間無(wú)法進(jìn)行直接通訊。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。把網(wǎng)絡(luò)分成若干ip子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪(fǎng)問(wèn)。（2）vlan技術(shù)虛擬網(wǎng)技術(shù)主要基于局域網(wǎng)交換技術(shù)（atm和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域