中小型公司企業(yè)網(wǎng)絡規(guī)劃與安全設計

1、 編號：中國農(nóng)業(yè)大學現(xiàn)代遠程教育畢業(yè)論文（設計）中小型公司企業(yè)網(wǎng)絡規(guī)劃與安全設計學 生 高 鵬 指導教師 楊永剛（教授） 專 業(yè) 電氣工程及其自動化 層 次 專升本 批 次 102 學 號 W7 學習中心 山東農(nóng)業(yè)工程學院 工作單位 上海通用東岳汽車 2014年 09月 中國農(nóng)業(yè)大學網(wǎng)絡教育學院制獨 創(chuàng) 性 聲 明本人聲明所呈交的畢業(yè)論文（設計）是我個人進行的研究工作及取得的研究成果。盡我所知，除了文中特別加以標注和致謝的地方外，論文（設計）中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得中國農(nóng)業(yè)大學或其它教育機構的學位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻均已

2、在畢業(yè)論文（設計）中作了明確的說明并表示了謝意。學生簽名： 時間： 年 月 日關于論文（設計）使用授權的說明本人完全了解中國農(nóng)業(yè)大學網(wǎng)絡教育學院本、?？飘厴I(yè)論文（設計）工作條例（暫行規(guī)定）對：“成績?yōu)閮?yōu)秀畢業(yè)論文（設計），網(wǎng)絡教育學院將有權選取部分論文（設計）全文匯編成集或者在網(wǎng)上公開發(fā)布。如因著作權發(fā)生糾紛，由學生本人負責”完全認可，并同意中國農(nóng)業(yè)大學網(wǎng)絡教育學院可以以不同方式在不同媒體上發(fā)表、傳播畢業(yè)論文（設計）的全部或部分內(nèi)容。中國農(nóng)業(yè)大學網(wǎng)絡教育學院有權保留送交論文（設計）的復印件和磁盤，允許論文（設計）被查閱和借閱，可以采用影印、縮印或掃描等復制手段保存、匯編論文（設計）。保密的畢業(yè)

3、論文（設計）在解密后應遵守此協(xié)議學生簽名： 時間： 年 月 日密級：（請注明密級及保密期限）摘 要隨著INTERNET的發(fā)展，網(wǎng)絡技術也得到了飛速的發(fā)展。網(wǎng)絡技術已經(jīng)成為現(xiàn)代信息技術的主流，人們對網(wǎng)絡的認識也隨著網(wǎng)絡應用的逐漸普及而迅速改變。而當今社會是一個以網(wǎng)絡為平臺的信息時代，企業(yè)信息化已成為企業(yè)的重要資源和重要的競爭條件。企業(yè)對網(wǎng)絡的組建和規(guī)范的要求日益突出，企業(yè)的溝通，應用，財務，決策，會議等都要在企業(yè)網(wǎng)絡上傳輸，構建一個安全可靠，高效實用，可擴展，方便管理的網(wǎng)絡已經(jīng)成為企業(yè)成功的奠基石。為了適應網(wǎng)絡經(jīng)濟的飛速發(fā)展，擴大企業(yè)經(jīng)營的規(guī)模和范圍，方便企業(yè)內(nèi)部和企業(yè)之間的交流，節(jié)省辦公的開銷

4、，提高企業(yè)的管理水平，企業(yè)發(fā)展Intranet（企業(yè)內(nèi)部網(wǎng)）已經(jīng)是刻不容緩。關鍵詞：網(wǎng)絡技術 Intranet 企業(yè)發(fā)展 安全目 錄前 言3一、需求分析41.1 網(wǎng)絡功能需求41.2 網(wǎng)絡性能需求41.3 項目設計原則41.3.1 實用性和經(jīng)濟性41.3.2 先進性和成熟性51.3.3 可靠性和穩(wěn)定性51.3.4 安全性和保密性5二、企業(yè)方案設計62.1 網(wǎng)絡地址規(guī)劃62.2 服務器建設62.2.1 WEB服務器62.2.2 FTP服務器6三、安全實現(xiàn)73.1 確保網(wǎng)絡安全的主要技術73.2 當前企業(yè)網(wǎng)絡的現(xiàn)狀83.3 企業(yè)網(wǎng)絡安全存在的主要問題83.3.1 來自外部的威脅83.3.2 源自內(nèi)

5、部的缺陷83.3.3 技術能力的欠缺83.3.4 物理安全83.3.5 網(wǎng)絡安全的理論和基本要求93.4企業(yè)網(wǎng)絡安全政策的制訂和實施9四、畢業(yè)設計總結10前 言隨著計算機及通信技術的飛躍發(fā)展，校園內(nèi)部管理的網(wǎng)絡貨及信息化成為一種必然的發(fā)展趨勢，為了各單位的微機管理人員，能夠?qū)M建局域網(wǎng)時的規(guī)劃和對已有局域網(wǎng)的維護有初步的了解，局域網(wǎng)在校園辦公自動化、學校管理、工業(yè)自動化、計算機輔助教學等方面得到廣泛的使用，為了在計算機之間進行信息交流、共享數(shù)據(jù)資源和某些昂貴的硬件（如高速打印機等）資源，將多臺計算機連成一個網(wǎng)絡系統(tǒng)，實現(xiàn)分布處理又能互相通信。進入二十一世紀以來，信息化已成為國際性發(fā)展趨勢，作為

6、國民經(jīng)濟信息化的基礎，企業(yè)信息化建設受到國家和企業(yè)的廣泛重視。企業(yè)信息化，企業(yè)網(wǎng)絡的建設是基礎，從計算機網(wǎng)絡技術和應用發(fā)展的現(xiàn)狀來看，Intranet是得到廣泛認同的企業(yè)網(wǎng)絡模式。Intranet并不完全是原來局域網(wǎng)的概念，通過與Internet的聯(lián)結，企業(yè)網(wǎng)絡的范圍可以是跨地區(qū)的，甚至跨國界的?，F(xiàn)在，Internet的發(fā)展已成燎原之勢，隨著WWW上商業(yè)活動的激增，Intranet也應運而生。近幾年，許多有遠見的企業(yè)領導者都已感到企業(yè)信息化的重要性,陸續(xù)建立起了自己的企業(yè)網(wǎng)和Intranet并通過各種WAN線路與Internet相連。國際互聯(lián)網(wǎng)Internet在帶來巨大的資源和信息訪問的方便的

7、同時，它也帶來了巨大的潛在的危險，至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全的重要性。在我國網(wǎng)絡急劇發(fā)展還是近幾年的事，而在國外企業(yè)網(wǎng)領域出現(xiàn)的安全事故已經(jīng)是數(shù)不勝數(shù)。因此，我們應該在積極進行企業(yè)網(wǎng)建設的同時，就應借鑒國外企業(yè)網(wǎng)建設和管理的經(jīng)驗，在網(wǎng)絡安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險和漏洞降到最低。使已經(jīng)花了不少財力、人力和時間后，建立起來的網(wǎng)絡真正達到預想的效果.1 需求分析1.1 網(wǎng)絡功能需求某一企業(yè)需要建立一個可靠快速的數(shù)據(jù)網(wǎng)絡。該企業(yè)總分別設有辦公區(qū)1，辦公區(qū)2，智能會議室1，智能會議室2。公司自設服務器給外網(wǎng)提供訪問。由于外界網(wǎng)絡存在很多不利的因素，因此要將內(nèi)部網(wǎng)絡和外部網(wǎng)絡進

8、行有效隔離，并使企業(yè)部門能夠相互訪問，除了辦公和會議重要部門之外。除此之外，還需要提高企業(yè)的運作效率，因此要給企業(yè)提供一個高效快速的網(wǎng)絡環(huán)境，并且要讓企業(yè)每個網(wǎng)絡設備之間能夠進行遠程訪問。根據(jù)該企業(yè)的信息簡介，我們可知這些信息所需要的網(wǎng)絡功能:首先該企業(yè)的會議室是重要部門，因此不能讓其它部門隨便進行反問，而工作區(qū)之間可以相互反問。其次是要使企業(yè)部門內(nèi)擁有一個高效快速的網(wǎng)絡環(huán)境，因此我們需要在企業(yè)各個部門的所連接的主干網(wǎng)絡設備上進行鏈路聚合，在內(nèi)網(wǎng)路由器與外網(wǎng)路由器之間接入，以提高整體的網(wǎng)絡帶寬，提高企業(yè)網(wǎng)絡的工作效率。除此之外，我們需要在這個與外網(wǎng)路由器相連的邊界路由器上配置上NAT，使學校內(nèi)

9、部網(wǎng)絡打到隱蔽的作用，防止外網(wǎng)對內(nèi)網(wǎng)進行資源訪問和威脅入侵。最后，在提高網(wǎng)絡的，保證內(nèi)網(wǎng)不讓外網(wǎng)入侵的同時，還需要注意企業(yè)內(nèi)部安全，如自己企業(yè)的內(nèi)部人員等。1.2 網(wǎng)絡性能需求根據(jù)企業(yè)的要求，我們需要擁有穩(wěn)定性能的網(wǎng)絡設備。首先我們要考慮在滿足用戶需求的情況下，對其的性能要進一步擴充，讓用戶能夠享用到更好的性能體驗，因此我們在設備選型上有嚴格的要求。當然選設備也不能太超前，一定要經(jīng)濟實用，對于模塊化的網(wǎng)絡設備，要注意模塊的有效利用，同時建議要用的時候再購買模塊。鑒于以上的要求，我們決定在設備選型上，接入層的設備選用思科C2960的交換機，匯聚層的設備選用思科的C3560的交換機，核心層的交換機

10、選用思科的C6509的交換機，路由器選用思科的7200的路由器，防火墻選用思科的PIX722的防火墻。1.3 項目設計原則1.3.1 實用性和經(jīng)濟性系統(tǒng)建設應始終貫徹面向應用，注重實效的方針，堅持實用、經(jīng)濟的原則，建設學校的網(wǎng)絡系統(tǒng)。1.3.2 先進性和成熟性系統(tǒng)設計既要采用先進的概念、技術和方法，由于注意結構、設備、工具的相對成熟。不但能反映當今的先進水平，而且具有發(fā)展?jié)摿Γ鼙ＷC在未來若干年內(nèi)企業(yè)網(wǎng)絡仍占領先地位。1.3.3 可靠性和穩(wěn)定性在考慮技術先進性和開放性的同時，還應從系統(tǒng)結構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及維修能力等綱目著手，確保系統(tǒng)原型的可靠性和穩(wěn)定性，達到最大的

11、平均無故障時間。1.3.4 安全性和保密性在系統(tǒng)設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應分別針對不同的應用和不同的網(wǎng)絡通信環(huán)境，采取不同的左手，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權限控制等。2 企業(yè)方案設計網(wǎng)絡系統(tǒng)采用樹型結構設計，分為核心層，匯聚層和接入層。為了保證企業(yè)網(wǎng)絡的安全，在內(nèi)網(wǎng)和外網(wǎng)之間增加思科的PIX525防火墻。Cisco PIX 525防火墻能夠為當今的網(wǎng)絡客戶提供無與倫比的安全性、可靠性和性能。它所提供的完全防火墻保護以及IP安全（IPsec）虛擬專網(wǎng)（VPN）能力使特別適合于保護企業(yè)網(wǎng)絡的邊界。2.1 網(wǎng)絡地址規(guī)劃在局域網(wǎng)中劃分vlan的作用：限制

12、廣播域。廣播域被限制在一個valn內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡處理能力。增強局域網(wǎng)的安全性。不同vlan內(nèi)的報文在傳輸時時相互隔離的，即一個vlan內(nèi)的用戶不能和其他vlan內(nèi)的用戶直接通信，則需要通過路由器或三層交換機等三層設備。靈活構建虛擬工作組。用vlan可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡構建和維護更方便靈活。2.2 服務器建設服務器是網(wǎng)絡環(huán)境中的高性能計算機，它偵聽網(wǎng)絡上的其他計算機（客戶機）提交的服務請求，并提供相應的服務。為此，服務器必須具有承擔服務并保障服務的能力。2.2.1 WEB服務器企業(yè)網(wǎng)Intranet主要是以Web服務器

13、為中心，提供網(wǎng)上信息瀏覽服務，可以向外發(fā)布信息資訊。以企業(yè)網(wǎng)為基礎規(guī)劃和建設一個企業(yè)Web網(wǎng)站，更加有效和合理的運用網(wǎng)絡資源，去挖掘和開發(fā)教育教學潛力，最大限度的發(fā)揮網(wǎng)絡在工作中的優(yōu)勢。2.2.2 FTP服務器考慮員工之間共享文件或軟件，文件傳輸服務器上存放各種各樣的自由軟件，員工可以根據(jù)自身需要隨時下載安裝。在帶寬擁擠的情況下，也可以減少用戶下載占用的帶寬。3 安全實現(xiàn)全世界的計算機都將通過Internet聯(lián)到一起，隨著Internet的發(fā)展，網(wǎng)絡豐富的信息資源給用戶帶來了極大的方便，但同時也給上網(wǎng)用戶帶來了安全問題。由于Internet的開放性和超越組織與國界等特點，使它在安全性上存在一些

14、隱患。而且信息安全的內(nèi)涵也發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在一個安全的計算機網(wǎng)絡應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網(wǎng)絡不僅要保護計算機網(wǎng)絡設備安全和計算機網(wǎng)絡系統(tǒng)安全，還要保護數(shù)據(jù)安全等。因此針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全保護方案以確保計算機網(wǎng)絡自身的安全性是每一個計算機網(wǎng)絡都要認真對待的一個重要問題。網(wǎng)絡安全防范的重點主要有兩個方面：一是計算機病毒，二是黑客犯罪。計算機病毒是我們大家都比較熟悉的一種危害計算機系統(tǒng)和網(wǎng)絡安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段，盜取密

15、碼侵入他人計算機網(wǎng)絡，非法獲得信息、盜用特權等，如非法轉(zhuǎn)移銀行資金、盜用他人銀行帳號購物等。隨著網(wǎng)絡經(jīng)濟的發(fā)展和電子商務的展開，嚴防黑客入侵、切實保障網(wǎng)絡交易的安全，不僅關系到人的資金安全、商家的貨物安全，還關系到國家的經(jīng)濟安全、國家經(jīng)濟秩序的穩(wěn)定問題，因此各級組織和部門必須給予高度重視。3.1 確保網(wǎng)絡安全的主要技術(1)防火墻技術網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并

16、監(jiān)視網(wǎng)絡運行狀態(tài)(2)黑客攻擊：A拒接服務訪問；B口令破解；C電子郵件炸彈；D Web攻擊。(3)病毒入侵：網(wǎng)絡已成為病毒傳播的主要途徑，病毒通過網(wǎng)絡入侵，具有更高的傳播速度和更大的傳播范圍，其破壞性也不言而喻，有些惡性的病毒會造成系統(tǒng)癱瘓數(shù)據(jù)破壞，嚴重地危害到網(wǎng)絡安全。(4)網(wǎng)絡配置管理不當：網(wǎng)絡配置管理不當會造成非法授權訪問。網(wǎng)絡管理員在配置網(wǎng)絡時，往往因為用戶權限設置過大開放不必要的服務端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權訪問，給網(wǎng)絡造成危害，有時候甚至是致命的。(5)網(wǎng)絡安全設計功能要求：在網(wǎng)絡絡中，由于服務器與Internet相連，要求設置防火墻，入侵檢測，病毒

17、防范等一系列安全防范手段，其產(chǎn)品應是獲得國家保密局、國家公安部、國家信息安全測評認證中心等相關單位認可的產(chǎn)品，并應以國產(chǎn)安全產(chǎn)品為主，要求有相關的成功 3.2 當前企業(yè)網(wǎng)絡的現(xiàn)狀 企業(yè)網(wǎng)絡的建沒，通常會以建設內(nèi)部 MIS系統(tǒng)和局域網(wǎng)開始，逐步形成 OA辦公系統(tǒng)、ERP管理系統(tǒng)、INTERNET上網(wǎng)和基于INTERNET的網(wǎng)絡應用的需求。 主干網(wǎng)多數(shù)會是100M1000M PS交換以太網(wǎng)， 部門網(wǎng)是10M100M PS交換以太網(wǎng)。 另加一臺服務器通過 ADSL與 INTERNET相連，構成企業(yè)的整個網(wǎng)絡環(huán)境。 3.3 企業(yè)網(wǎng)絡安全存在的主要問題 3.3.1 來自外部的威脅 Internet是開放

18、性網(wǎng)絡，當企業(yè)接入Internet，就必須面對非法訪問、黑客攻擊和病毒侵害等威脅。其中，病毒侵害是最常見的，惡意代碼也是一種侵害形式，黑客攻擊的危害更大。對企業(yè)來說，獲得高級權限，非法訪問主機獲得機密信息是最可怕的威脅。信息篡改、假冒合法用戶登陸，傳送虛假定單和信息會嚴重干擾企業(yè)的正常經(jīng)營活動。 3.3.2 源自內(nèi)部的缺陷 管理疲軟、網(wǎng)絡缺陷。Internet是共享性、開放性網(wǎng)絡 ，以 TCPIP 協(xié)議為基礎 ，本來就缺乏安全機制。舊時，國有企業(yè)的管理體制也不可能使安全要求得到彌補。 3.3.3 技術能力的欠缺 缺少高水平技術人員和資金，使安全保證能力達不到要求。 3.3.4 物理安全 網(wǎng)絡設

19、備、設施的安全。包括電腦和外設、網(wǎng)絡端口、USB盤以及移動硬盤等存儲介質(zhì)的安個。 3.3.5 網(wǎng)絡安全的理論和基本要求 網(wǎng)絡安全模型：ISOOSI 開放系統(tǒng)互連模型屬于功能性的標準，它為計算機網(wǎng)絡體系結構的標準化提供一個框架。一般地說，如果網(wǎng)絡系統(tǒng)能夠滿足以下規(guī)則或條件，則可以認為該系統(tǒng)是安全的： a) 資源訪問 ( 也括邏輯和物理訪問)前必需通過認證和授卡 義 ( 帳號和密鑰) 。資源指的足網(wǎng)絡 礎設施、設箭，網(wǎng)絡主機，I 網(wǎng)絡中傳輸?shù)臄?shù)據(jù)。b) 只有合法訪問這些資源的人員才能獲得帳號和密鑰。c) 合法用戶接收的信息足完整、 正確的，即信息在傳輸和保存期間是安全的。d) 以上規(guī)則被破壞或者違

20、反，所付出的代價將超過信息本身的價值。e) 系統(tǒng)可以拒絕非法的請求。f) 用戶對資源的訪問要受到監(jiān)察和記錄。g) 滿足前四個條件，可以認為系統(tǒng)的數(shù)據(jù)和信息是安全的。第五個條件保h) 證系統(tǒng)免受 DoS ( Denial of Service )類型的攻擊。只有完全滿足以上條件的系統(tǒng)才是安全的。 3.4企業(yè)網(wǎng)絡安全政策的制訂和實施 a) 評估自己的安全需要：每個企業(yè)都有自己的特殊性，安全需要也不會完全相同，首先要對自己的安全環(huán)境和要求做出正確的評價 ，才能做出合理的方案。b) 企業(yè)安全政策的制訂要符合政府的政策和法規(guī)要求，不能與之相違背。c) 安全政策的實施能 自動化是最理想的 ，但是將帶來資金

21、上的壓力。國有企業(yè)的網(wǎng)絡安全政策在執(zhí)行的過程中，受到行政干擾是常見現(xiàn)象。廣泛發(fā)柿、討論和宣傳企業(yè)安全政策，是使企業(yè)網(wǎng)絡安全政策得到理解和支持，并得以貫徹執(zhí)行的好途徑。有時侯，遺失移動硬盤和軟盤，甚至便攜式電腦帶來的危險遠大于網(wǎng)絡入侵。 4 畢業(yè)設計總結時至今日，幾個月的畢業(yè)設計終于可以畫上一個句號了，但是現(xiàn)在回想起來做畢業(yè)設計的整個過程，頗有心得，其中有苦也有甜，不過樂趣盡在其中呀！沒有接受任務以前覺得畢業(yè)設計只是對這幾年來所學知識的單純總結（這是我以前的一種想法），但是通過這次做畢業(yè)設計發(fā)現(xiàn)自己的看法有點太片面、太偏激了。畢業(yè)設計不僅是對前面所學知識的一種檢驗，而且也是對自己能力的一種提高。

22、下面我對整個畢業(yè)設計的過程做一下簡單的總結。 第一，進行選題。選題是畢業(yè)設計的開端，選擇恰當?shù)?、感興趣的題目，這對于整個畢業(yè)設計是否能夠順利進行關系極大。第二，題目確定后就是找資料了。查資料是做畢業(yè)設計的前期準備工作，好的開端就相當于成功了一半，到圖書館、書店、資料室去雖說是比較原始的方式，但也有可取之處的。第三，通過上面的過程，已經(jīng)積累了不少資料，對所選的題目也大概有了一些了解，這一步就是在這樣一個基礎上，綜合已有的資料來更透徹的分析題目。 第四，有了研究方向，就應該動手實現(xiàn)了。一步步地做下去之后，你會發(fā)現(xiàn)要做出來并不難，只不過每每做一會兒會發(fā)現(xiàn)一處錯誤要修改，就這樣在不斷的修改調(diào)試，再修改再調(diào)試?？傊?，不管學會的還是學不會的的確覺得困難比較多，真是萬事開頭難，不知道如何入手。還得出一個結論：知識必須通過應用才能實現(xiàn)其價值！有些東西以為學會了，但真正到用的時候才發(fā)現(xiàn)是兩回事，所以我認為只有到真正會用的時候才是真的學會了。 在此要感謝我的指導老師對我悉心的指導，感謝老師給我這樣的機會鍛煉。在整個畢