網絡安全解決方案

1、 ?？粕厴I(yè)設計 飛宇辦公網絡的設計與搭建路由交換方向院 系計算機科學與技術學院 專 業(yè)計算機網絡技術 班 級09級網絡技術?？埔话鄬W 號1601090104學 生 姓 名申賀賀聯(lián) 系 方 式 指 導 教 師魯杰職稱：講師 2011年 5月獨 創(chuàng) 性 聲 明本人鄭重聲明：所呈交的畢業(yè)論文（設計）是本人在指導老師指導下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設計）中不包含其他人已經發(fā)表或撰寫的研究成果。與本研究成果相關的所有人所做出的任何貢獻均已在論文（設計）中作了明確的說明并表示了謝意。簽名：_年_月_日授權聲明本人完全了解許昌學院有關保留、使用?？粕厴I(yè)論文（設計）的規(guī)定，

2、即：有權保留并向國家有關部門或機構送交畢業(yè)論文（設計）的復印件和磁盤，允許畢業(yè)論文（設計）被查閱和借閱。本人授權許昌學院可以將畢業(yè)論文（設計）的全部或部分內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存、匯編論文（設計）。本人論文（設計）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：無。 簽名：_年_月_日指導教師簽名： 年月日摘要隨著Internet的普及，網絡技術的飛速發(fā)展，網絡設計的方法不停地更新和淘汰，中國正在努力把計算機網絡發(fā)展成第三生產力，而實現(xiàn)這個目標的關鍵就是要實現(xiàn)企業(yè)信息化，企業(yè)信息化生產管理可以把計算機網絡變成給國家創(chuàng)造效益的生產工具。一個優(yōu)秀的計算機網絡設計，能給信息

3、化的企業(yè)帶來一個高效的生產工具。既然計算機網路成為了生產工具，那么本課題完成的結果就直接關系到了公司的生產效率和生產成本，所以本畢業(yè)生論文在網絡設計中要強調的是可比性、穩(wěn)定性、可復用性。本畢業(yè)生論文是以計算機網絡技術為基本理論基礎，設計目標是讓一部分應用先跑起來，設計原則是先做好物理架構，以后逐步添加設備。所以對物理層，就是布線的設計需要一步到位。布線的時候我們都以1000m的骨干線路做基準，第一次全部上100m的設備，以后網絡設備在逐步升級。本課題的研究成果將具有良好的開放性，可以推廣應用于類似的企業(yè)信息化系統(tǒng)。當然不同的客戶需求會有不同的網絡設計結果。論文從網絡設計的方法論角度出發(fā)，通過公

4、司計算機網絡這個案例研究可以 出網絡設計的標準化模式，論文對于中型計算機網絡設計的規(guī)范化有良好的促進作用。為了對企業(yè)網絡的設計有個實踐性的認識，在此次網絡設計中，我們本著投入最小的運行成本和最小的安裝成本，獲得最高的運行性能、最大適應性、最大安全性、最大可靠性和最短故障時間的網絡為目標和原則提出了一些個人意見；包括考慮物理層的選擇，確定了網絡的速度、選取相應的網卡、網線、交換機、路由器等網絡設備，根據(jù)工作的需求，確定服務器的選擇、網絡管理軟件的選擇，安全方面的相應考慮，TCP/IP尋址的考慮，防火墻的選擇等等；關鍵詞：需求分析；解決方案；項目實施；網絡設備配置；服務器配置；trunk、vtp、

5、vlan；網絡安全；網絡拓撲；網絡結構目錄 TOC o 1-3 h z u HYPERLINK l _Toc292440769 目錄 PAGEREF _Toc292440769 h 4 HYPERLINK l _Toc292440770 第1章 項目需求分析 PAGEREF _Toc292440770 h 7 HYPERLINK l _Toc292440771 1.1項目背景 PAGEREF _Toc292440771 h 7 HYPERLINK l _Toc292440772 1.2 需求分析 PAGEREF _Toc292440772 h 2 HYPERLINK l _Toc2924407

6、73 第2章 網絡總體建設目標 PAGEREF _Toc292440773 h 3 HYPERLINK l _Toc292440774 2.1網絡建設目標 PAGEREF _Toc292440774 h 3 HYPERLINK l _Toc292440775 2.2 網絡及系統(tǒng)建設內容及要求 PAGEREF _Toc292440775 h 3 HYPERLINK l _Toc292440776 2.3 網絡設計原則 PAGEREF _Toc292440776 h 4 HYPERLINK l _Toc292440777 第三章 網絡總體設計 PAGEREF _Toc292440777 h 4 H

7、YPERLINK l _Toc292440778 3.1 網絡總體拓撲圖 PAGEREF _Toc292440778 h 5 HYPERLINK l _Toc292440780 3.2 層次化設計 PAGEREF _Toc292440780 h 5 HYPERLINK l _Toc292440781 3.3 核心層設計 PAGEREF _Toc292440781 h 6 HYPERLINK l _Toc292440782 3.4 接入層設計 PAGEREF _Toc292440782 h 7 HYPERLINK l _Toc292440783 3.5 內連接入 PAGEREF _Toc2924

8、40783 h 7 HYPERLINK l _Toc292440784 第四章 路由設計 PAGEREF _Toc292440784 h 7 HYPERLINK l _Toc292440785 4.1 路由協(xié)議選擇 PAGEREF _Toc292440785 h 7 HYPERLINK l _Toc292440786 4.2 路由規(guī)劃拓撲圖 PAGEREF _Toc292440786 h 10 HYPERLINK l _Toc292440787 4.3 地址規(guī)劃 PAGEREF _Toc292440787 h 10 HYPERLINK l _Toc292440788 第五章 網絡安全解決方案

9、PAGEREF _Toc292440788 h 11 HYPERLINK l _Toc292440789 5.1 網絡邊界安全威脅分析 PAGEREF _Toc292440789 h 11 HYPERLINK l _Toc292440790 5.2 網絡內部安全威脅分析 PAGEREF _Toc292440790 h 12 HYPERLINK l _Toc292440791 5.3 網絡常用技術介紹 PAGEREF _Toc292440791 h 13 HYPERLINK l _Toc292440792 5.3.1 VLAN技術 PAGEREF _Toc292440792 h 13 HYPER

10、LINK l _Toc292440793 5.3.2 OSPF高級路由協(xié)議 PAGEREF _Toc292440793 h 13 HYPERLINK l _Toc292440794 5.3.3 Trunk技術 PAGEREF _Toc292440794 h 14 HYPERLINK l _Toc292440795 5.3.4 Spanning-Tree協(xié)議 PAGEREF _Toc292440795 h 14 HYPERLINK l _Toc292440796 5.3.5 PPP協(xié)議 PAGEREF _Toc292440796 h 14 HYPERLINK l _Toc292440797 5.

11、3.6 PPP的功能 PAGEREF _Toc292440797 h 15 HYPERLINK l _Toc292440798 5.4安全產品選型原則 PAGEREF _Toc292440798 h 15 HYPERLINK l _Toc292440799 第六章 項目實施計劃 PAGEREF _Toc292440799 h 16 HYPERLINK l _Toc292440800 6.1 項目實施前的準備工作 PAGEREF _Toc292440800 h 16 HYPERLINK l _Toc292440801 6.2 安裝前的場地準備 PAGEREF _Toc292440801 h 17

12、 HYPERLINK l _Toc292440802 6.3 核心及各網點的安裝調試 PAGEREF _Toc292440802 h 18 HYPERLINK l _Toc292440803 6.4 網絡的測試目的 PAGEREF _Toc292440803 h 19 HYPERLINK l _Toc292440804 第七章 服務器的安裝和配置 PAGEREF _Toc292440804 h 20 HYPERLINK l _Toc292440805 7.1 服務器系統(tǒng)的安裝 PAGEREF _Toc292440805 h 20 HYPERLINK l _Toc292440806 7.2 DN

13、S 服務器的基本配置 PAGEREF _Toc292440806 h 23 HYPERLINK l _Toc292440807 7.3 WEB 服務器的基本配置 PAGEREF _Toc292440807 h 28 HYPERLINK l _Toc292440808 7.4 FTP 服務器的基本配置 PAGEREF _Toc292440808 h 31 HYPERLINK l _Toc292440809 7.5 MAIL服務器的基本配置 PAGEREF _Toc292440809 h 33 HYPERLINK l _Toc292440810 7.6 FILE服務器的基本配置 PAGEREF _

14、Toc292440810 h 38 HYPERLINK l _Toc292440811 7.7 AD的基本配置 PAGEREF _Toc292440811 h 39 HYPERLINK l _Toc292440812 第八章 總部網絡設備基本配置 PAGEREF _Toc292440812 h 45 HYPERLINK l _Toc292440813 8.1 網絡描述 PAGEREF _Toc292440813 h 45 HYPERLINK l _Toc292440814 8.2 基本配置 PAGEREF _Toc292440814 h 45 HYPERLINK l _Toc292440815

15、 8.3 檢查設備的連通性 PAGEREF _Toc292440815 h 52 HYPERLINK l _Toc292440816 第九章 分部網絡設備基本配置 PAGEREF _Toc292440816 h 55 HYPERLINK l _Toc292440817 9.1 網絡描述 PAGEREF _Toc292440817 h 55 HYPERLINK l _Toc292440818 9.2基本配置 PAGEREF _Toc292440818 h 56 HYPERLINK l _Toc292440819 9.3 檢查設備的連通性 PAGEREF _Toc292440819 h 64 HY

16、PERLINK l _Toc292440820 第十章 網絡架構方向的配置 PAGEREF _Toc292440820 h 66 HYPERLINK l _Toc292440821 10.1 總部的配置 PAGEREF _Toc292440821 h 66 HYPERLINK l _Toc292440822 10.2 分部的配置 PAGEREF _Toc292440822 h 79 HYPERLINK l _Toc292440823 第十一章 遠程廣域的配置 PAGEREF _Toc292440823 h 86 HYPERLINK l _Toc292440824 11.1 ACL的配置 PAG

17、EREF _Toc292440824 h 86 HYPERLINK l _Toc292440825 11.2 DHCP的配置 PAGEREF _Toc292440825 h 88 HYPERLINK l _Toc292440826 11.3 NAT的配置 PAGEREF _Toc292440826 h 90 HYPERLINK l _Toc292440827 11.4 ppp 的配置 PAGEREF _Toc292440827 h 91 HYPERLINK l _Toc292440829 第十二章 項目測試 PAGEREF _Toc292440829 h 92 HYPERLINK l _Toc

18、292440830 12.1 先查看物理連接以及個網段設備工作 PAGEREF _Toc292440830 h 93 HYPERLINK l _Toc292440831 12.2VLAN 的測試 PAGEREF _Toc292440831 h 93 HYPERLINK l _Toc292440832 12.3VTP的測試 PAGEREF _Toc292440832 h 94 HYPERLINK l _Toc292440833 12.4HSRP的測試 PAGEREF _Toc292440833 h 98 HYPERLINK l _Toc292440834 12.5 路由的測試 PAGEREF _

19、Toc292440834 h 99 HYPERLINK l _Toc292440835 12.6 的測試 PAGEREF _Toc292440835 h 100 HYPERLINK l _Toc292440836 12.7 WEB的測試 PAGEREF _Toc292440836 h 100 HYPERLINK l _Toc292440837 12.8 DHCP的測試 PAGEREF _Toc292440837 h 101 HYPERLINK l _Toc292440838 12.9 M的測試 PAGEREF _Toc292440838 h 101 HYPERLINK l _Toc292440

20、839 12.10 FTP 的測試 PAGEREF _Toc292440839 h 103 HYPERLINK l _Toc292440840 12.11 AD的測試 PAGEREF _Toc292440840 h 104 HYPERLINK l _Toc292440841 12.12 文件服務器的測試 PAGEREF _Toc292440841 h 104 HYPERLINK l _Toc292440842 12.13 AT&ACL測試 PAGEREF _Toc292440842 h 104 HYPERLINK l _Toc292440843 結 束 語 PAGEREF _Toc292440

21、843 h 105 HYPERLINK l _Toc292440844 參考文獻 PAGEREF _Toc292440844 h 106 HYPERLINK l _Toc292440845 附 錄 PAGEREF _Toc292440845 h 107 HYPERLINK l _Toc292440846 致 謝 PAGEREF _Toc292440846 h 108第五章 網絡安全解決方案5.1 網絡邊界安全威脅分析為了解決資源的共享而建立了網絡，然而安全卻成了問題 / ，網絡的邊界隔離著不同功能或地域的多個網絡區(qū)域，由于職責和功能的不同，相互連接的網絡的安全級別也不盡相同，此網絡也必然存在著

22、安全風險，下面我們將對公司網絡就網絡邊界問題做脆弱性和風險的分析。公司網絡主要存在的邊界安全風險包括：信息泄密、入侵者的攻擊、網絡病毒、木馬入侵等，邊界安全防護的主題思想是：我們把網絡可以看作一個獨立的對象，通過自身的屬性，維持內部業(yè)務的運轉。他的安全威脅來自內部與邊界兩個方面：內部是指網絡的合法用戶在使用網絡資源的時候，發(fā)生的不合規(guī)的行為、誤操作、惡意破壞等行為，也包括系統(tǒng)自身的健康，如軟、硬件的穩(wěn)定性帶來的系統(tǒng)中斷。邊界是指網絡與外界互通引起的安全問題，有入侵、病毒與攻擊。為了邊界的安全不受到威脅，我們做邊界防護技術：防火墻技術、多重安全網關技術、網閘技術。防火墻的安全設計原理來自于包過濾

23、與應用代理技術，兩邊是連接不同網絡的接口，中間是訪問控制列表ACL，數(shù)據(jù)流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是游客就無法區(qū)分了，因為ACL控制的是網絡的三層與四層，對于應用層是無法識別的。后來的防火墻增加了NAT/PAT技術，可以隱藏內網設備的IP地址，給內部網絡蒙上面紗，成為外部“看不到”的灰盒子，給入侵增加了一定的難度。防火墻的作用就是建起了網絡的“城門”，把住了進入網絡的必經通道，所以在網絡的邊界安全設計中，防火墻成為不可缺的一部分。防火墻的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異

24、較大的網絡互聯(lián)，防火墻的安全性就遠遠不夠了。既然一道防火墻不能解決各個層面的安全防護，就多上幾道安全網關，如用于應用層入侵的IPS、用于對付病毒的AV、用于對付DDOS攻擊的此時UTM設備就誕生了，設計在一起是UTM，分開就是各種不同類型的安全網關。就是運用多重安全網關技術。網閘的安全思路來自于“不同時連接”。不同時連接兩個網絡，通過一個中間緩沖區(qū)來“擺渡”業(yè)務數(shù)據(jù)，業(yè)務實現(xiàn)了互通，“不連接”原則上入侵的可能性就小多了。網閘的思想是先堵上，根據(jù)“城內”的需要再開一些小門，防火墻是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術上差不多，所以采用多重網關增加對應用層的識別與

25、防護對兩者都是很好的補充。這樣邊界的安全可以得到較好的保證。5.2 網絡內部安全威脅分析 / 內網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防范來自Internet上的攻擊，主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網、寫程序就可訪問企業(yè)網的幾率。內網安全威脅主要源于企業(yè)內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一臺Server，然后以此為基地，對Internet上其他主機發(fā)起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立并加強內網防范策略。內部用戶的惡意攻擊，限制VPN的訪問，虛擬專用網(VP

26、N)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護之外。很明顯VPN用戶是可以訪問企業(yè)內網的。因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別，即只需賦予他們所需要的訪問權限級別即可，如訪問郵件服務器或其他可選擇的網絡資源的權限。自動跟蹤的安全策略，智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網絡安全實踐的關鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業(yè)員工的雇

27、傭和解雇、實時跟蹤網絡利用情況并記錄與該計算機對話的文件服務器。總之，要做到確保每天的所有的活動都遵循安全策略。建立安全過客訪問對于過客不必給予其公開訪問內網的權限。許多安全技術人員執(zhí)行的“內部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權限，導致了內網實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網絡塊?？煽康陌踩珱Q策，在技術上，采用安全交換機、重要數(shù)據(jù)的備份、使用代理網關、確保操作系統(tǒng)的安全、使用主機防護系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少。5.3 網絡常用技術介紹5.3.1 VLAN技術VLAN（虛擬局域網）。vlan是一種將局域網設備從邏輯上劃分成一個個網段，從而

28、實現(xiàn)工作組的新興數(shù)據(jù)交換技術。Vlan技術的出現(xiàn)，使得我們可以根據(jù)實際應用需求，把同一物理局域網內的不同用戶邏輯地址劃分成不同的廣播域，每一個vlan都包含一組有著相同需求的計算機工作站 / ，與物理上形成的lan有著相同的屬性。由于它是從邏輯上劃分的，而不是從物理上 劃分，所以同一個vlan內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN得特點可知，一個VLANN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，從而有助于控制流量，減少設備投資，簡化網絡管理，提高網絡的安全性。VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網

29、絡的拓撲結構變得非常靈活的優(yōu)點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。5.3.2 OSPF高級路由協(xié)議 隨著Internet技術在全球范圍的飛速發(fā)展，OSPF已成為目前Internet廣域網和Internet企業(yè)網采用最多、應用最廣泛的路由協(xié)議之一。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于同一個路由域內。在這里，路由域是指一個自治系統(tǒng)（Autonomous System），即AS。在這個AS中，所有的OSPF路由器都維護一個相同的描述這個AS結構的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算

30、出其OSPF路由表的。5.3.3 Trunk技術Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。基于端口匯聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量， 大幅度提供整個網絡能力。TRUNK（端口匯聚）是在交換機和網絡設備之間比較經濟的增加帶寬的方法，如服務器、路由器、工作站或其他交換機。這中增加帶寬的方法在當單一交換機和節(jié)點之間連接不能滿足負荷時是比較有效的。Trunk可以提供負載均衡能力以及系統(tǒng)容錯。由于Trunk實

31、時平衡各個交換機端口和服務器接口的流量，一旦某個端口出現(xiàn)故障，它會自動把故障端口從Trunk組中撤消，進而重新分配各個Trunk端口的流量，從而實現(xiàn)系統(tǒng)容錯。5.3.4 Spanning-Tree協(xié)議生成樹協(xié)議是交換式以太網中的重要概念和技術，該協(xié)議的目的是在實現(xiàn)交換機之間的冗余連接的同時，避免網絡環(huán)路的出現(xiàn)，實現(xiàn)網絡的 / 高可靠 性。它通過在交換機之間傳遞橋接協(xié)議數(shù)據(jù)單元（Bridge Protocol Data Unit，BPDU）來互相告知諸如交換機的橋ID、鏈路性質、根橋（Root Bridge）ID等信息，以確定根橋，決定哪些端口處于轉發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網絡環(huán)路

32、。當交換機之間有多個VLAN時Trunk線路負載會過重，這時需要 設置多個Trunk端口，但這樣會形成網絡環(huán)路。STP協(xié)議便可以解決這一問題.可以通過配置STP端口權值STP路徑值來實現(xiàn)負載均衡. 如果使用STP端口權值來配置那么二條負載均衡的trunk必須聯(lián)同一交換機上。使用路徑值則即可以聯(lián)相同的交換機與可以聯(lián)不同的交換機。使用STP端口權值的負載均衡當同一臺交換機的二個口形成環(huán)路時， STP端口權值用來決定那個口是enable的，那個口是阻斷的.可以通過配置端口權值來決定二對trunk各走 那些VLAN, 有較高權值的端口（數(shù)字較小的）vlan, 將處于轉發(fā)狀態(tài)，同一個VLAN在另一個tr

33、unk有較低的權值（數(shù)字較大）則將處在阻斷狀 態(tài)。 即同一VLAN只在一個trunk上發(fā)送接受。5.3.5 PPP協(xié)議由于這個方案中總部和分部之間是采用物理線路進行連接的，所以為了能夠保證信息的安全，我們采用的廣域網的ppp協(xié)議。所謂的PPP（Point-to-Point Protocol點到點協(xié)議）協(xié)議就是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設計的鏈路層協(xié)議。這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包。設計目的主要是用來通過撥號或專線方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網橋和路由器之間簡單連接的一種共通的解決方案。PPP有很多豐富的可選特性，如支持多協(xié)議、提供可選的身份認證服

34、務、可以以各種方式壓縮數(shù)據(jù)、支持動態(tài)地址協(xié)商、支持多鏈路捆綁等等5.3.6 PPP的功能PPP主要完成了以下功能：鏈路控制PPP為用戶發(fā)起呼叫以建立鏈路；在建立鏈路時協(xié)商參數(shù)選擇；通信過程中隨時測試線路，當線路空閑時釋放鏈路等。PPP中完成上述工作的組件是鏈路控制協(xié)議LCP（Link Control Protocol，LCP）。網絡控制當LCP將鏈路建立好了以后，PPP要開始根據(jù)不同用戶的需要，配置上層協(xié)議所需的環(huán)境。PPP使用網絡控制協(xié)議NCP（Network Control Protocol，NCP）來為上層提供服務接口。針對上層不同的協(xié)議類型，會使用不同的NCP組件。如對于IP提供IPC

35、P接口，對于IPX提供IPXCP接口，對于APPLETALK提供ATCP接口等。5.4安全產品選型原則選擇市場主流產品的原則：選擇產品時，應選擇在國內市場上有相當?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴展性、高可維護性的產品，如中興、3Com、Cisco、華為的產品市場份額較大。適用原則。絕對的安全是不存在的，因此您必須具有“安全風險”意識。信息安全產品的安裝不一定意味信息系統(tǒng)不發(fā)生安全事故。所有的安全產品只是降低安全事件發(fā)生的可能性，減小安全事件所造成的損失，提供彌補損失的手段。您不要（也不可能）追求絕對的安全。 企業(yè)應考慮清楚自己信息系統(tǒng)最大的安全威脅來自何處，信息系統(tǒng)中最有價值的是

36、什么，信息系統(tǒng)造成的哪些損失是自己無法忍受的。安全產品只要為企業(yè)提供足夠的手段應對主要的安全威脅，將可能的損失減小到可以接受的范圍之內，就可以了。不降低信息系統(tǒng)綜合服務品質的原則。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設）完成之后才考慮信息安全，即所謂的“打安全補丁”。這種“補丁”做法往往會給信息安全產品的選型帶來很多困難，因為很多時候，信息安全與系統(tǒng)的使用便利性和效率往往是一對矛盾。 適用性與先進性相結合原則：不同品牌的產品價格差異較大，因此選擇時不能只看品牌或追求高價，也不能只看價錢低的，應該根據(jù)應用的實際情況，選擇性能價格比高，既要滿足目前的需要，又能適應未來幾年網絡發(fā)展的產品。易于

37、管理原則：所謂易于操作管理主要是指用相應的技術來簡化管理以降低維護費用成本，一般通過硬件與軟件兩個方面來達到這個目標。企業(yè)需要在考慮安全性的前提下，綜合系統(tǒng)的其它性能，結合評估系統(tǒng)的服務品質，定下系統(tǒng)綜合服務品質參數(shù)，在此基礎上，以不降低綜合服務品質為原則，對信息安全產品進行選型。標準性：網絡安全產品選型符合國家標準，產品的質量以及屬性必須達到國家所要求的，符合本產品的性能；安全性原則：產品系統(tǒng)具有多層次的安全保護措施，可以滿足用戶身份鑒別、訪問控制、數(shù)據(jù)完整性、可審核性和保密性傳輸?shù)纫?；擴展性原則：在業(yè)務不斷發(fā)展的情況下 ，產品系統(tǒng)可以不斷升級和擴充，并保證系統(tǒng)的穩(wěn)定運行；性價比：不盲目追

38、求高性能產品，要購買適合自身需求的產品；產品與服務相結合原則：選擇產品時，既要看產品的品牌又要看生產廠商和銷售商品是否有強大的技術支持、良好的售后服務，否則買回的產品出現(xiàn)故障時既沒有技術又沒有產品服務，使企業(yè)蒙受損失。第六章 項目實施計劃6.1 項目實施前的準備工作 在項目的實施過程中，將會碰到各種各樣的問題：1、確定數(shù)據(jù)是否準確。如果數(shù)據(jù)不確定，會引發(fā)系統(tǒng)的很多問題同時產生，比如拆分過不去，質檢過不去。這樣在此崗位上的人體驗度就不好了。2、提供人員保證，確定每個崗位的人員配備到位。每個工作人員都要知道自己的工作任務，必須堅守崗位，不能疏忽每一個細節(jié)，正視工作態(tài)度。3、如果出現(xiàn)系統(tǒng)問題或是硬件

39、問題等等，要有備選的方案。再或者是其它的一些想都沒想過的問題。只要不是大的影響工作的問題，都可以走下去，不要影響整個實施的進展即可。4、確定工作實施人員的工作職責，實施人員只是做為一旁觀察者，客戶有不熟悉的流程問題可以及時的解決，但是不負責替代他們的某個崗位的工作操作，只是做為一個專家的身份。（我建議把其工作人員全部加入一個群中，這樣有問題可以及時解決，或者有一個視頻控制他們的電腦就好了。）5、客戶由于跟客服這邊一般都不會在一個地方，所以需要通過一個共享的空間來一起把實施的進度以及實施的問題拿出來，我們通過QQ群或者QQ會話來完成這一步，就不需要那么麻煩了，有問題，可以直接進行解決。6、合理分

40、工、明確責職。許多企業(yè)面臨的管理問題是不可能靠計算機來解決的，必須靠企業(yè)自身通過科學的組織、嚴格的規(guī)章及有效的控制來解決。計算機只能通過信息的獲取與加工、一定的流程控制來支持企業(yè)管理思想的貫徹。有些企業(yè)的組織結構不合理、職能相互重疊，其結果是責任不清、相互扯皮。這一方面妨礙了項目的順利實施，另一方面也難以保證項目完成后是否能正常高效地運行。因此，在實施項目時，必須對企業(yè)的業(yè)務流程進行合理重組，去除重疊的部門責能，減少無效勞動，合理分工、明確責職。這樣既可以保證信息處理的及時性，為項目的實施提供組織保證。7、制定明確、量化的實施目標和范圍，在取得一個最合理化、最具擴展性的實施結果之前，首先問問企

41、業(yè)能容許多長的實施時間，怎樣判斷這個時間是否合理。為了成功地實施，更好的將其應用于企業(yè)的生產管理，我們必須在的實施之前，做好必要的實施前準備工作，盡可能的降低企業(yè)項目的實施風險，讓現(xiàn)代的管理理念、思想和先進的信息管理技術更合理、更有效的服務于企業(yè)的生產管理。6.2 安裝前的場地準備在系統(tǒng)安裝之前，網絡工程師需要對計劃安裝設備的場地進行檢查、調研，確定方案后，下一步就是工程的實施，而工程實施的第一步就是開工前的準備工作：1）設計設備的安放地點、以及布線的實際施工圖，確定布線的走向，諸如：隱蔽性、抗干擾性（考慮建筑結構特點），在利用現(xiàn)有空間同時避開電源線路和其他線路，現(xiàn)場情況下的對線纜等的必要和有

42、效的保護需求，施工的工作量和可行性(如打過墻眼等)等等，然后將這個圖紙?zhí)峁┙o施工人員、督導人員和主管人員使用硬件設備安裝的位置、空間、供電要求及環(huán)境條件。工程師也要確定場地的電纜布線要求。2）規(guī)劃設計和預算，根據(jù)上述情況確定路由并申請批準，如需要在承重梁上打過墻眼時需要進行向管理部門申請，否則違反施工法規(guī)等，整個規(guī)劃及破壞程度說明最好經甲方及管理部門批準;其次是修正規(guī)劃。在正式的有最終許可手續(xù)的規(guī)劃基礎上，計算用料和用工，綜合考慮設計實施中的管理操作等的費用提出預算和工期以及施工方案和安排。并指定協(xié)調負責人員指定工程負責人和工程監(jiān)理人員，負責規(guī)劃備料，備工，用戶方配合要求等方面事宜，提出各部門

43、配合的時間表，負責內外協(xié)調和施工組織和管理現(xiàn)場施工現(xiàn)場認證測試，制作測試報告制作布線標記系統(tǒng)。. X& f5 e , o6 網絡工程施工過程中需要許多施工材料，這些材料有的必須在開工前就備好料，有的可以在開工過程中備料，主要有光纜、雙絞線、插座、信息模塊、PC、服務器、穩(wěn)壓電源、集線器等落實購貨廠商，并確定提貨日期，不同規(guī)格的塑料槽板、PVC防火管、蛇皮管、自攻螺絲等布線用料就位，如果集線器是集中供電，則準備好導線、鐵管和制訂好電器設備安全措施，制定施工進度表。而在工程施工結束時，記得還應該注意清理現(xiàn)場，保持現(xiàn)場清潔、美觀;對墻洞、豎井等交接處要進行修補;各種剩余材料匯總，并把剩余材料集中放置

44、一處，并登記其還可使用的數(shù)量;并做好總結材料：開工報告;布線工程圖;施工過程報告;測試報告;使用報告和工程驗收所需的驗收報告。 硬件的準備：1.交換機和路由器（需要放在比較干燥的地方，通風）2.需要各種插座的安裝3.需要防火墻4.煙霧警報器5.空調（安裝室內）6.溫度計7.網線8.光纖軟件方面則需要：要殺毒軟件，系統(tǒng)軟件xp綜合布線：盡量讓同一插頭用的是同一品牌的將各個系統(tǒng)統(tǒng)一布線，提高系統(tǒng)的性能價格比傳輸?shù)慕橘|主要是以雙絞線和光纖來傳輸，單一插座可接一部電話機和一個終端在每個建筑物的適當點進行網絡管理和信息交換的場地，電話交換機、計算機主機設備及入口設施也可與配置設備安裝在一起。對工作區(qū)、電

45、信間、設備間、進線間的配線設備、纜線、信息插座模塊等設施按一定的模式進行標識和記錄。6.3 核心及各網點的安裝調試在場地、設備及軟件均已準備好時，系統(tǒng)將進入安裝階段。系統(tǒng)的安裝分為以下幾個部分：網絡設備安裝和調試。就系統(tǒng)安裝過程中涉及到的需要保密的部分，乙方將配備相應的工程師協(xié)助廠商的技術工程師現(xiàn)場安裝有關硬件和軟件。在系統(tǒng)安裝前，將會就具體工作程序、工作內容、調試方法、調試結果及驗收標準等資料在調試前書面提出并征得公司同意，之后按計劃實施。為保證整個項目按時完成，將安排工程師、進行項目實施，進行單點調試和系統(tǒng)聯(lián)調。包括：網絡設備安裝實施單點調試，系統(tǒng)聯(lián)調施工人員進場施工。 安裝過程中，將嚴格

46、按照安裝規(guī)范和其它有關規(guī)定進行工程施工、業(yè)主負責質量監(jiān)督和驗收。 在軟件開發(fā)完成及設備安裝完畢后，我公司向業(yè)主提交一份詳細的調試方案及各控制設定點，得到業(yè)主的同意后，進行系統(tǒng)調試。 工作步驟：核心機房局域網核心設備安裝調試；進行接入層設備安裝與調試； 網絡硬件調試；對交換機用幾種不同方法校驗；交換機的安裝與配置：接入層和匯聚層在此實驗中被匯為一起了，因此連線的時候是把核心層和匯聚層以及接入層連到一塊的，并且配置二層交換機和三層交換機路由器的安裝和配置：我們采用的是ospf協(xié)議，所以主要在此處起動態(tài)路由協(xié)議就行了，而起還要起靜態(tài)路由或者默認路由，配置其命令。服務器的配置和安裝電纜的測試 系統(tǒng)聯(lián)調； 整個系統(tǒng)通電調試，全部通訊無誤； 軟硬件各子系統(tǒng)的配合無誤；與其它系統(tǒng)的接口信號傳輸無誤；整個系統(tǒng)的工作穩(wěn)定正常。 網絡測試及驗收；整個系統(tǒng)調試驗收階段將產生如下文檔；系統(tǒng)配置手冊； 測試報告書； 系統(tǒng)還將產生其他文檔6.4 網絡的測試目的在本期網絡的搭建完成時，我們就要共同對建設的系統(tǒng)進行測試。 測設的目的是檢驗本項目所供的網絡設備（包括軟硬件）的工作是否正常，設備選型，特別是對指標有特殊要求，對功能與性能有嚴格的規(guī)定，通過手動的測試來