公司網(wǎng)絡組建方案

1、通睿廣告?zhèn)髅焦揪W(wǎng)絡組建方案方案策劃人：蕭瑟秋風目錄一、 背景分析二、 網(wǎng)絡需求分析1) 公司需求2) 技術需求3) 服務需求4) 可行性分析5) 技術分析三、 網(wǎng)絡方案設計1. 邏輯方案設計1） 所選設備及設備型號2） 傳輸介質3） 拓撲結構方案2. 物理方案設計1） 安裝服務器操作系統(tǒng)2） 安裝活動目錄3） 安裝DNS服務器4） 安裝DHCP服務器5） 安裝IIS6） 創(chuàng)建WEB服務器7） 創(chuàng)建FTP服務器8） 打印服務9） 監(jiān)控措施后續(xù)工作：1）注冊域名 2）站點上傳與發(fā)布 3）站點推廣四、 安全策略1）防火墻策略2）網(wǎng)絡監(jiān)測與檢測策略3）數(shù)據(jù)加密策略五、 后期維護六、 組建總結具體組建

2、措施 一、背景分析 貴公司是一家廣告公司，專營廣告業(yè)務活動。根據(jù)對貴公司各方面的考察，可定義貴公司為一家中小型企業(yè)，又根據(jù)廣告公司所固有的特點，可判斷貴公司對網(wǎng)絡建設要求較高，以應對眾多廣告公司的競爭壓力，尤其是在網(wǎng)絡安全方面，必定要極力防止數(shù)據(jù)及廣告創(chuàng)意的外泄，因而，本組網(wǎng)方案在保證其他配置均處于當前領先地位外，特別關注近期比較危險的網(wǎng)絡，保護貴公司的數(shù)據(jù)安全。此外，對于貴公司的站點推廣方面，我們又有極為獨到的見解，加強貴公司的市場競爭力。二、網(wǎng)絡需求分析1）公司需求貴公司屬于中小型企業(yè)，由七個部門組成（總經(jīng)理，副經(jīng)理，創(chuàng)業(yè)部，客戶服務部，媒介部，財務部，人力資源部）。為了滿足企業(yè)未來的發(fā)展

3、需求，現(xiàn)在企業(yè)擁有100臺計算機，需要分配給各部門，企業(yè)需要構建一個全新的網(wǎng)絡。建立一個技術先進，滿足企業(yè)管理和業(yè)務的需求的企業(yè)網(wǎng)絡系統(tǒng)。企業(yè)網(wǎng)的總體目標是實現(xiàn)辦公的自動化，訪問需要權限，可以和外進行通信連接，信息獲取自動化。具體目標是企業(yè)各部門間不能進行訪問，企業(yè)的一些重要資料可以受內(nèi)網(wǎng)和外網(wǎng)的訪問，建設財務網(wǎng)絡管理，涉及網(wǎng)絡管理等系統(tǒng)。并通過路由器與Internet連同。2）技術需求1、 建立一個為各部門和企業(yè)員工為服務對象的網(wǎng)絡平臺，為企業(yè)各部門和員工提供高效的網(wǎng)絡信息服務。網(wǎng)絡具有傳輸數(shù)據(jù)，語音，圖形和圖像等多媒體信息功能，具備性能優(yōu)越的資源共享功能。2、  企業(yè)網(wǎng)各終端間具

4、有快速交換功能，中心系統(tǒng)交換機采用虛擬網(wǎng)絡技術，對網(wǎng)內(nèi)用戶具有分類控制功能。3、  對網(wǎng)絡資源的訪問提供完善的權限控制，能提供有效的身份識別，能基于企業(yè)網(wǎng)對各部門和員工進行管理。4、  網(wǎng)絡具有防止和捕殺病毒的功能，以保證網(wǎng)絡安全，與Internet連接后具有“防火墻”功能，以防止網(wǎng)絡“黑客”侵入網(wǎng)絡系統(tǒng)。5、  可對接入Internet的各網(wǎng)絡用戶進行訪問權限控制。3）服務需求企業(yè)網(wǎng)絡服務需求，根據(jù)企業(yè)自身特點都有不同的情況。以企業(yè)內(nèi)部網(wǎng)為例，Intranet, 它以TCP/IP協(xié)議作為基礎，以Web為核心應用，可以提供Web、郵件、FTP、Telnet等功能強

5、大的服務。Intranet能夠大大提高企業(yè)的內(nèi)部通信能力和信息交換能力。與Interner連接后，可以實現(xiàn)互聯(lián)網(wǎng)應用。4)可行性分析1、優(yōu)勢strength：1）我們采用的是星型局域網(wǎng)。星型拓撲結構是由中央節(jié)點和通過點到點鏈接到中央節(jié)點的各個站點組成，易于拓展，可靠性高；星型網(wǎng)特點：每個節(jié)點都連接到公共中心節(jié)點；任意兩點間的通信均要通過中心節(jié)點；中心節(jié)點是一個中繼器（或是一臺交換機）；星狀網(wǎng)絡便于安裝和管理，任何一個終端的故障都不會影響其它終端的正常通信。2）我們組網(wǎng)總共用了600萬，我們采用的都是高端先進的設備，設備的配置很高，因而我們?yōu)樵摴窘M建的網(wǎng)絡速度快，質量高。3）我們公司會對我們公

6、司負責組建的網(wǎng)絡進行定期的升級和排查故障等，保證公司網(wǎng)絡的通暢。劣勢weakness1） 我們組建的小型局域網(wǎng)，還存在一定的網(wǎng)絡風暴等風險。這是所有公司都無法避免的問題。2）網(wǎng)絡組建投入的資金比較的多，可能在有些方面會造成不必要的浪費 （二）外部因素 機會opportunity，指廣告專業(yè)網(wǎng)站存在的機會，是網(wǎng)站本身以外的有利因素。如國家的政策法律的支持、技術的支持、受眾的需要等。 威脅threat，這是針對自網(wǎng)站以外的不利因素。如傳統(tǒng)廣告業(yè)影響力仍將持續(xù)、政策法律不完善、商業(yè)網(wǎng)站的威脅、網(wǎng)站運營成本增加等。5）技術分析1、采用千兆以太網(wǎng)技術,具有高帶寬1000Mbps 速率的主干,運行目前的各

7、種應用系統(tǒng)綽綽有余,還可輕松應付將來一段時間內(nèi)的應用要求,且易于升級和擴展,最大限度的保護用戶投資；2、網(wǎng)絡設備選型為國際知名產(chǎn)品,性能穩(wěn)定可靠、技術先進、產(chǎn)品系列全及完善的服務保證；3、采用支持網(wǎng)絡管理的交換設備,足不出戶即可管理配置整個網(wǎng)絡。4、提供國際互聯(lián)網(wǎng)ADSL專線接入（或ISDN）,實現(xiàn)與各公共網(wǎng)的連接；5、可擴容的遠程撥號接入/撥出,共享資源、發(fā)布信息等。應用系統(tǒng)及教學資源豐富；6、有綜合網(wǎng)絡辦公系統(tǒng)及各個應用管理系統(tǒng),實現(xiàn)辦公自動化,管理信息化,郵件服務等。三、網(wǎng)絡方案設計1.邏輯方案設計1）所選設備及設備型號1、寬帶路由器：思科2851路由器2、無線路由器：NETGEAR W

8、NDR37003、服務器：IBM System x3500 M2(7839I15)4、24口千兆三層主交換機：H3C LS-3600-28P-EI5、24口千兆交換機：磊科 NSW1824C6、電腦：方正 商祺N320(BSN320-1123)7、筆記本：MSI微星 CX6008、光纖收發(fā)器：天為電信 光纖收發(fā)器(網(wǎng)絡級) TW-LINK10/100M2）傳輸介質1.光纜：安普 4芯光纜2.雙絞線：TCL 超五類屏蔽雙絞線3）拓撲結構方案2.物理方案設計1）安裝服務器操作系統(tǒng)（微軟Windows2000 Server中文標準版）1. 在 CD-ROM 或 DVD-ROM 驅動器中插入 Wind

9、ows 2000 Server CD-ROM。 2. 使用 Windows 2000 CD-ROM 或 Windows 2000 啟動盤啟動計算機。如果從 CD-ROM 啟動，則在顯示“按任意鍵從 CD 啟動”的消息時，按鍵盤上的任意鍵。這將，就會啟動 Windows 2000 Server 安裝程序。備注：在安裝程序啟動時，如果需要安裝其他大容量存儲設備的驅動程序，請按 F6 鍵。按屏幕提示指定準備安裝的驅動程序的位置。 3. 在“歡迎安裝”屏幕上，按 ENTER 鍵。 4. 如果接受授權協(xié)議，請在“Windows 2000 授權協(xié)議”頁面上按 F8 鍵。備注：如果不同意 Windows 2

10、000 授權協(xié)議，則按 ESC 鍵。安裝程序隨即退出。 5. 在已有分區(qū)和未分區(qū)空間的列表中，使用箭頭鍵選擇一未分區(qū)空間選項，然后按 C 鍵。 6. 在“創(chuàng)建分區(qū)的大小 (MB)”框中，鍵入新建分區(qū)的大小，然后按 ENTER 鍵。 7. 按 ENTER 鍵，在選定分區(qū)上安裝 Windows 2000。 8. 使用箭頭鍵選擇所需的文件系統(tǒng)，然后按 ENTER 鍵。該分區(qū)被格式化。備注：您稍后可以將文件系統(tǒng)為 FAT32 的分區(qū)轉換為 NTFS 分區(qū)。安裝程序將復制 Windows 2000 Server 安裝所需的文件，然后重新啟動計算機。Windows 2000 Server 安裝程序在“圖形

11、用戶界面”(GUI) 模式下繼續(xù)安裝。 9. 在“區(qū)域設置”頁面上，單擊下一步。 10. 在名稱 框中，鍵入您的姓名。在單位 框中，鍵入您的單位，然后單擊下一步。 11. 在產(chǎn)品密鑰 框中，鍵入產(chǎn)品密鑰，然后單擊下一步。 12. 在“授權模式”頁面上，單擊所需的授權模式，然后單擊下一步。 13. 在“計算機名”框中，鍵入希望用的計算機名。備注：計算機名在網(wǎng)絡上必須是唯一的。使用唯一且具描述性的計算機名很有幫助。 14. 在“系統(tǒng)管員密碼”框中，鍵入系統(tǒng)管理員密碼。在“確認密碼”框中鍵入同一密碼，然后單擊下一步。備注：管理員帳戶應使用增強密碼。 15. 在Windows 2000 組件 列表中，

12、選中所需組件的復選框，然后單擊下一步。 16. 在“日期和時間設置”頁面上，設置正確的日期、時間和時區(qū)，然后單擊下一步。 17. 在“網(wǎng)絡設置”頁面上，單擊典型設置 （如果尚未選中該設置），然后單擊下一步。 18. 單擊“不，此計算機不在網(wǎng)絡上，或者在沒有域的網(wǎng)絡上”，然后單擊下一步。備注：稍后您可以從 Windows 的系統(tǒng)屬性 對話框使用“網(wǎng)絡標識向導”，將該計算機添加到域中。 19. 安裝程序完成時，單擊完成 。Windows 重新啟動。 20. 以管理員身份登錄到 Windows。 21. 使用“Windows 2000 配置服務器向導”配置該服務器。2）安裝活動目錄1. 啟動Wind

13、ows 2000 Server系統(tǒng)自動打開“Windows 2000配置服務器”窗口。2. 在左邊的列表中單擊Active Directory（活動目錄）超級鏈接，并拖動右邊的滾動條到底部。3. 單擊“開始”超級鏈接，打開“ Active Directory安裝向導”對話框。4. 單擊“下一步”按鈕，打開如圖9 - 4所示的“域控制器類型”對話框，選擇“新域的域控制器”單選按鈕，使服務器成為新域中的第一個域控制器。如果網(wǎng)上已有域控制器，可選擇“現(xiàn)有域的額外域控制器”單選按鈕。5. 單擊“下一步”按鈕，打開 “創(chuàng)建目錄樹或子域”對話框，如果用戶不想讓新域成為現(xiàn)有域的子域，可選擇“創(chuàng)建一個新的域目

14、錄樹”單選按鈕。如果用戶希望新域成為現(xiàn)有域的子域，可選擇“在現(xiàn)有域目錄樹中創(chuàng)建一個新的子域”單選按鈕。這里，選擇“創(chuàng)建一個新的域目錄樹”單選按鈕。 6. 單擊“下一步”按鈕，打開 “創(chuàng)建或加入目錄林”對話框，如果所創(chuàng)建的域為單位的第一個域，或者希望所創(chuàng)建的新域獨立于現(xiàn)有目錄林，可選擇“創(chuàng)建新的域或目錄樹”單選按鈕。如果希望新的域目錄樹中的用戶可訪問現(xiàn)有域目錄樹中的資源，或希望現(xiàn)有域目錄樹中的用戶訪問新域目錄樹中的資源，可選擇“將這個新的域目錄樹放入現(xiàn)有的目錄林中”單選按鈕。這里，選擇“創(chuàng)建新的域目錄樹”單選按鈕。7. 單擊“下一步”按鈕，打開 “新的域名”對話框，在“新域的DNS全名”文本框中

15、輸入新建域的DNS全名。8. 單擊“下一步”按鈕，打開 “NetBIOS域名”對話框，在“域NetBIOS名”文本框中輸入NetBIOS域名，或者接受顯示的名稱。NetBIOS域名是供早期的Windows用戶用來識別新域的。9. 單擊“下一步”按鈕，打開 “數(shù)據(jù)庫和日志文件位置”對話框，在“數(shù)據(jù)庫位置”文本框中輸入保存數(shù)據(jù)庫的位置，或者單擊“瀏覽”按鈕選擇路徑，在“日志位置”文本框中輸入保存日志的位置或單擊“瀏覽”按鈕選擇路徑。注意，基于最佳性和可恢復性的考慮，最好將活動目錄的數(shù)據(jù)庫和日志保存在不同的硬盤上。10. 單擊“下一步”按鈕，打開 “共享的系統(tǒng)卷”對話框，在Windows 2000中

16、，Sys.vol文件夾存放域的公用文件的服務器副本，它的內(nèi)容將被復制到域中的所有域控制器上。在“文件夾位置”文本框中輸入Sys.vol文件夾位置，或單擊“瀏覽”按鈕選擇路徑。11. 單擊“下一步”按鈕，如果用戶沒有配置名稱為的DNS服務器，則系統(tǒng)會提示用戶配置DNS服務器，單擊“確定”按鈕，即可打開“配置DNS”對話框。12. 如果通過向導為新域安裝和配置DNS服務器,選擇“是，在這臺計算機上安裝和配置DNS（推薦）”單選按鈕。如果要在安裝活動目錄之后再安裝和配置DNS，可選擇“否，我將自己安裝并配置”單選按鈕。 13. 單擊“下一步”按鈕，打開 “Windows NT 4.0 RAS服務器”

17、對話框，如果希望減弱Windows NT 4.0 RAS的訪問權限選擇“是，減弱權限”單選按鈕。如果不更改訪問權限，選擇“否，不要更改權限”單選按鈕。14. 單擊“下一步”按鈕，打開“摘要”對話框，通過該對話框，用戶可檢查并確認選定的選項。15. 單擊“下一步”按鈕，系統(tǒng)開始配置活動目錄，同時打開“正在配置Active Directory”對話框，顯示配置過程。16. 經(jīng)過幾分鐘之后，配置完成。同時，打開“完成” Active Directory安裝向導”對話框，單擊“完成”按鈕，即完成活動目錄的安裝，重新啟動計算機，活動目錄即會生效。3）安裝DNS服務器1.在Server 2000上單擊“開

18、始”“設置”“控制面板”選單，打開控制面板。2.雙擊“添加/刪除程序”，然后單擊“添加/刪除Windows組件”，出現(xiàn)“Windows組件向導”窗口。單擊選中“網(wǎng)絡服務”，然后單擊“詳細信息”，彈出“網(wǎng)絡服務窗口”。3.在“網(wǎng)絡服務的子組件”中，選中“域名服務系統(tǒng)(DNS)”，單擊“確定”，然后單擊“下一步”，根據(jù)提示進行安裝。4.安裝完成后重新啟動系統(tǒng)。4）安裝DHCP服務器1. 依次點擊"開始"-"設置"-"控制面板"-"添加/刪除程序"-"添加/刪除Windows組件"，打開相應的對話框。

19、2. 用鼠標點擊選中對話框中"組件"列表框中的"網(wǎng)絡服務"一項，單擊"詳細信息"按鈕，彈出帶有其中具體內(nèi)容的對話框。3. 在對話框"網(wǎng)絡服務的子組件"列表框中勾選"動態(tài)主機配置協(xié)議(DHCP）一項后，單擊"確定"按鈕，根據(jù)系統(tǒng)提示放人Windows2000安裝光盤，系統(tǒng)將從Windows2000安裝光盤復制所需的程序。4. 復制結束后，按照系統(tǒng)提示要求重新啟動計算機。在"開始_程序_管理工具"的下級菜單中將會出現(xiàn)"DHCP"一項，說明DHCP安裝

20、成功。5）安裝IIS單擊“開始”設置控制面板添加刪除程序添加/刪除windows組件選中“Internet信息服務（IIS）”詳細信息，在“Internet信息服務管理器”和“文件傳輸協(xié)議（FTP）服務器”前的復選框打勾，單擊“確定”，安裝IIS。IIS的測試方法：在瀏覽器的地址欄依次輸入http：/和http：/localhost,當出現(xiàn)微軟的信息表示安裝正確。6）創(chuàng)建WEB服務器1. 在IIS服務器上，單擊開始程序管理工具，選“Internet服務管理器”打開Internet服務控制臺。2. 右鍵單擊服務器項目，單擊新建Web站點，進入“Web站點創(chuàng)建向導”對話框，單擊“

21、下一步”按鈕3. 在“說明”中輸入有關說明，單擊“下一步”按鈕4. 單擊“輸入Web站點使用的IP地址”，選擇Web站點使用的IP地址（），單擊“下一步”按鈕。5. 在“路徑”處輸入Web站點主目錄所在的物理地址（D:Web），單擊“下一步”按鈕。6. 設置用戶對主目錄的訪問權限，單擊“下一步”按鈕后單擊“完成”按鈕。7. 在主目錄下創(chuàng)建文件index.htm8. 在客戶端計算機上打開瀏覽器，地址欄輸入http：/服務器IP/，出現(xiàn)index.htm的內(nèi)容，表明Web站點創(chuàng)建成功。9注冊公司域名（）,劃出一個磁盤，在該磁盤中建立宿主目錄，將用戶所有資料存放在宿主目錄中，同

22、時備份。7）創(chuàng)建FTP服務器1.在Internet服務控制臺右鍵單擊“Server”，單擊新建FTP站點，進入FTP站點創(chuàng)建向導對話框。2.單擊“下一步”，在“說明”處輸入FTP站點描述。3.單擊“下一步”，在“IP地址”處選此FTP站點的IP地址()4.單擊“下一步”，輸入主目錄的路徑(E:FTP)5.單擊“下一步”，設置用戶對此FTP站點的訪問權限。6.單擊“下一步”按鈕后單擊“完成”按鈕7.右鍵單擊“我的FTP站點”，選擇“瀏覽”看到主目錄里德文件，表明FTP站點創(chuàng)建成功。8）打印服務1.首先安裝一個網(wǎng)絡打印機的驅動，就是打印服務器應用程序，安裝過程中會自動搜素網(wǎng)絡

23、上的打印機。在這之前你應該設置打印服務器的IP地址與你電腦在同一個網(wǎng)段的。2.安裝好打印服務器軟件后，需要在主機上添加打印機，打印類型選擇 連接到次計算機的本地打印機，不要自動檢測。3.出現(xiàn)使用下列端口后，下來選擇你的打印服務器的那個Network port.4.安裝打印機的驅動，注意這是打印機本身的驅動，不是打印服務器那個驅動，安裝好打印驅動后，以后就是下一步的操作了。單擊開始，然后單擊“打印機和傳真機”。 在文件 菜單上，單擊服務器屬性。 使用下列任意方法（根據(jù)需要）都可配置您想要的選項： 配置打印機的端口設置： 單擊端口 選項卡。 要配置端口，請在“這臺服務器上的端口”框中單擊您要配置的

24、端口，然后單擊配置端口。在傳輸重試 框中鍵入秒數(shù)（如果打印機失去響應達到此秒數(shù)，您就會得到通知），然后單擊確定。 要添加新端口，請單擊添加端口，然后在“可用端口類型”框中單擊您要添加的端口類型，然后單擊新端口。在“輸入端口名稱”框中鍵入您要指定給新端口的名稱，然后單擊確定。 要刪除端口，請在“這臺服務器上的端口”框中單擊您要刪除的端口，單擊刪除端口，然后單擊是 ，確認刪除。 添加、刪除或重新安裝當前打印機驅動程序： 單擊驅動程序 選項卡。 在“安裝的打印機驅動程序”框中單擊您要修改的驅動程序，然后單擊添加、刪除，或重新安裝 （根據(jù)需要）。 按照屏幕上顯示的說明添加、刪除或重新安裝該打印機驅動程

25、序。 打開或關閉打印機通知： 單擊高級 選項卡，然后單擊“遠程文檔打印完成時發(fā)出通知”復選框，將其選中或清除。 單擊高級 選項卡。單擊您要的記錄后臺打印選項（或多個選項）旁邊的復選框，將其選中或清除。 單擊確定。9）監(jiān)控措施采用網(wǎng)絡幽狗對公司整個局域網(wǎng)進行監(jiān)控。它可以僅通過局域網(wǎng)中任意一臺主機的安裝，達到監(jiān)控整個局域網(wǎng)的目的。不需要在被監(jiān)視和被管理電腦上安裝任何軟件，不需要HUB（集線器），也不需要鏡像交換機，可以在任何普通交換機下任何一臺安裝。后續(xù)工作：1） 注冊域名注冊域名遵循"先申請先注冊"的原則。 1、與注冊服務機構簽訂在線（或書面）域名注冊協(xié)議。 申請者應當在域名

26、注冊協(xié)議中保證：遵守有關互聯(lián)網(wǎng)絡的法律和規(guī)定；遵守中國互聯(lián)網(wǎng)絡域名管理辦法以及主管部門的其他相關規(guī)定；遵守中國互聯(lián)網(wǎng)絡信息中心制定的域名注冊實施細則、域名爭議解決辦法等相關規(guī)定，以及修訂后的版本；提交的域名注冊信息真實、準確、完整。 2、填寫域名注冊申請表。 2）站點上傳與發(fā)布1、申請網(wǎng)站域名和空間（）2、上傳文件（利用Dreamweaver 8自帶的上傳功能）（1）選擇菜單中的【站點】/【管理站點】命令，打開管理站點對話框。（2）在對話框中單擊【編輯】按鈕，打開【綜合網(wǎng)站的站點定義為】對話框，在對話框中選擇【高級】選項卡（3）在對話框中選擇【遠程信息】選項，單擊【訪問】下拉按鈕，在彈出的下拉

27、菜單中選擇FTP。3）站點推廣（1）注冊到搜索引擎（2）傳統(tǒng)媒體廣告（3）專業(yè)論壇宣傳（4）直接跟客戶宣傳（5）不斷維護更新網(wǎng)站（6）網(wǎng)絡廣告（7）公司印刷品（8）發(fā)布信息推廣四、安全策略1）防火墻策略在實際構建防火墻的工作中一般運用多策略,多部件組合的方法.簡單防火墻采用商用帶有數(shù)據(jù)包過濾功能的路由器,進行分組過濾.放置在和企業(yè)網(wǎng)絡之間的分組過濾路由器.屏蔽主機防火墻是由一臺主機和一個屏蔽路由器構成.主機連接企業(yè)內(nèi)部網(wǎng)絡,路由器在和內(nèi)部網(wǎng)絡之間,路由器負責數(shù)據(jù)包的過濾以及對主機某些端口屏蔽.屏蔽子網(wǎng)指在屏蔽主機結構中,主機后端再加入一臺路由器,保護子網(wǎng)絡安全,這樣使子網(wǎng)絡安全性進一步提高雙宿

28、主主機防火墻是在企業(yè)內(nèi)部網(wǎng)絡和間設置一個主機,安裝兩個網(wǎng)絡接口,屏蔽掉協(xié)議的直接傳輸,內(nèi)部網(wǎng)絡不能直接和傳輸存在問題.由于防火墻只是一種靜態(tài)的安全技術,需要人工實施與維護,相對入侵時間的隨機性發(fā)生,不能完全做到阻止入侵者的攻擊.主要表現(xiàn)在:不能阻止來自內(nèi)部網(wǎng)絡不法用戶的入侵;外部入侵者通過掃描路由器可以找到防火墻背后的入口,繞過防火墻進行入侵;由于防火墻性能的問題不能實時進行入侵檢測;不能防止病毒的侵入;不能解決自身的安全問題.防火墻安全性能的提高將降低網(wǎng)絡的運行速度.因此單一的防火墻技術只能在相對的時期保證網(wǎng)絡的安全,這就要求網(wǎng)絡管理部門不斷的維護,調(diào)整,升級防火墻的安全策略.同時,建立和完

29、善網(wǎng)絡的監(jiān)測檢測技術.2）網(wǎng)絡監(jiān)測與檢測策略防火墻安全技術是處于被動的保護網(wǎng)絡的安全,而實時監(jiān)測與檢測技術是主動保護自身的安全技術機制.從安全技術層面為網(wǎng)絡管理部門提供了進一步實施安全管理和維護的手段.既能防范來自外部的非法入侵又能防范來自內(nèi)部的惡性破壞以及人為的誤操作.采用相應保護手段保護網(wǎng)絡系統(tǒng),同時可以分析,跟蹤,切斷連接,保留證據(jù)等,控制網(wǎng)絡的用戶運行保護網(wǎng)絡的安全.檢測系統(tǒng)與檢測方法檢測系統(tǒng)分別是基于主機和基于網(wǎng)絡的系統(tǒng).基于主機的檢測系統(tǒng)主要用于監(jiān)控網(wǎng)絡上用戶的運行,此種技術已經(jīng)廣泛的用于網(wǎng)絡操作系統(tǒng),其檢測方法與運行全部集成在網(wǎng)絡操作系統(tǒng)中.實時檢測網(wǎng)絡中的連接,系統(tǒng)日志檢查等,

30、在網(wǎng)絡服務器操作系統(tǒng)中為管理員提供了相應安全策略和保護方法.基于網(wǎng)絡的系統(tǒng)主要用于實時監(jiān)測關鍵路徑上的數(shù)據(jù)流量,代理軟件在局域網(wǎng)網(wǎng)絡中監(jiān)測數(shù)據(jù)流.基于路由器檢測系統(tǒng)主要用于保護網(wǎng)絡的基礎設施,確保計算機網(wǎng)絡之間連接安全.主機檢測系統(tǒng)主要作用是通過網(wǎng)絡系統(tǒng)實時監(jiān)測每一個用戶的使用情況,判斷出非法入侵的事件,系統(tǒng)對不同入侵行為采用相應保護措施,由于運行檢測系統(tǒng)需要大量的系統(tǒng)資源,因此,服務器主機一定要選硬件性能很好的計算機服務器.基于網(wǎng)絡的檢測由于只能在網(wǎng)絡內(nèi)進行監(jiān)視,因此,在局域網(wǎng)網(wǎng)段部署檢測系統(tǒng)是很方便的.檢測方法主要基于行為和基于知識的入侵.基于行為入侵檢測方法是根據(jù)網(wǎng)絡用戶的行為或者資源使用情況來判斷是否入侵,即異常檢測一般采用概率統(tǒng)計的方法.基于知識的入侵檢測方法是根據(jù)已知的攻擊方法模型建立檢測模式,通過判斷來發(fā)現(xiàn)是否發(fā)生入侵,即違規(guī)檢測.檢測功能一個檢測系統(tǒng)的基本功能必須能夠保證對現(xiàn)有已知的入侵行為進行發(fā)現(xiàn)處理,同時要為系統(tǒng)管理人員提供簡捷的配置方法,完善的操作功能.能夠做到:監(jiān)視系統(tǒng)及用戶的運行狀態(tài),檢查用戶權限;檢查系統(tǒng)漏洞,提示系統(tǒng)管理人員;分析,統(tǒng)計用戶的行為規(guī)律;系統(tǒng)文件