企業(yè)網(wǎng)絡(luò)架設(shè)及安全防護(hù)淺談

PAGE1-企業(yè)網(wǎng)絡(luò)架設(shè)及安全防護(hù)淺談?wù)S著油田生產(chǎn)的不斷發(fā)展,單位規(guī)模在不斷擴(kuò)大,用戶在不斷增加,網(wǎng)絡(luò)應(yīng)用也在不斷增長(zhǎng),網(wǎng)絡(luò)變得越來(lái)越擁擠,沖突不斷產(chǎn)生,管理難度日益加大。單位內(nèi)部對(duì)于靈活、動(dòng)態(tài)地組建LAN網(wǎng)段的要求也越來(lái)越多,客觀上要求LAN本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。主題詞網(wǎng)絡(luò)建設(shè)網(wǎng)關(guān)綁定現(xiàn)代計(jì)算機(jī)及通信技術(shù)飛躍發(fā)展，企業(yè)內(nèi)部管理的網(wǎng)絡(luò)化及信息化成為一種必然的發(fā)展趨勢(shì)，網(wǎng)絡(luò)技術(shù)己經(jīng)廣泛地應(yīng)用到各個(gè)技術(shù)領(lǐng)域和整個(gè)社會(huì)的各個(gè)方面，本文從以下三個(gè)方面來(lái)研究探討單位內(nèi)部網(wǎng)絡(luò)架設(shè)的合理性及安全性。企業(yè)網(wǎng)絡(luò)建設(shè)1.1建設(shè)原則要組建一個(gè)符合企業(yè)需求，并為未來(lái)發(fā)展預(yù)留空間的可靠性與高效率企業(yè)信息網(wǎng)絡(luò)，網(wǎng)絡(luò)總體設(shè)計(jì)思路與工程藍(lán)圖就成為單位網(wǎng)絡(luò)建設(shè)的核心任務(wù)。所以網(wǎng)絡(luò)建設(shè)應(yīng)遵循以下原則：統(tǒng)一規(guī)劃、高可用性、高性能、高擴(kuò)展性、高安全性和高可維護(hù)性。1.2需求分析為提高網(wǎng)絡(luò)可靠性及安全性，需要在主干網(wǎng)采用光纖布線。企業(yè)網(wǎng)應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。主干網(wǎng)絡(luò)應(yīng)該采用成熟的、可靠的快速以太網(wǎng)和千兆位以太網(wǎng)技術(shù)作為企業(yè)網(wǎng)主干。企業(yè)網(wǎng)應(yīng)選用先進(jìn)的網(wǎng)管軟件，建立完善的網(wǎng)絡(luò)管理體系。下面以地質(zhì)大隊(duì)棟辦公樓為實(shí)例。業(yè)務(wù)室安全性樓層數(shù)信息點(diǎn)數(shù)使用人數(shù)動(dòng)態(tài)室及綜合室高16011動(dòng)態(tài)室高26023綜合室高38014三采室高48030開發(fā)室及天然氣室高580251.3網(wǎng)絡(luò)建設(shè)局域網(wǎng)經(jīng)常采用總線型、環(huán)型、星型和混和型拓?fù)浣Y(jié)構(gòu)，因此可以把局域網(wǎng)分為總線型局域網(wǎng)、環(huán)型局域網(wǎng)、星型局域網(wǎng)和混和型局域網(wǎng)等類型。根據(jù)實(shí)地考察我們單位內(nèi)部局域網(wǎng)采用了混合型域網(wǎng)，星型局域網(wǎng)和環(huán)形局域網(wǎng)。圖1從（圖1）中我們將單位的整個(gè)網(wǎng)絡(luò)分為核心層、匯聚層、接入層三個(gè)邏輯層次。各建筑物之間采用光纖進(jìn)行互連，樓內(nèi)采用超5類非屏蔽雙絞線布線，在同一幢樓的匯聚層和接入層交換機(jī)之間也采用超5類非屏蔽雙絞線進(jìn)行連接。其中核心層由大容量以太網(wǎng)交換機(jī)組成，匯聚層由三層交換設(shè)備組成，接入層由二層交換設(shè)備組成。單一樓層中所用交換機(jī)為環(huán)形局域網(wǎng)，與主交換機(jī)的鏈接為星型局域網(wǎng)。交換機(jī)配置對(duì)單位所使用的網(wǎng)關(guān)交換機(jī)及接入層交換機(jī)進(jìn)行合理配置，使其同時(shí)具有物理管理模式和web管理模式。在網(wǎng)絡(luò)中進(jìn)行合理VLAN劃分,可通過解決端口隔離充分防止沖突的產(chǎn)生。2.1配置網(wǎng)關(guān)基礎(chǔ)信息sy

sysnamedizhi5328aaalocal-userhuaweipasswordsimpledizhixxxx

local-userhuaweiservice-typetelnet

local-userhuaweilevel15

quit

user-interfacevty04

authentication-modeaaa

quit2.2給交換機(jī)一個(gè)管理訪問的網(wǎng)絡(luò)地址，以備TELNET方式或ＷＥＢ方式管理之用。>SY]INTVLAN1]IPADDRESS51]Q>SAVE添加WEB管理用戶，用戶名為”huawei”,密碼為“admin”。]LOCAL-USERhuawei增加用戶名]Newlocaluseradded.]PASSWORDCIPHERadmin（CIPHER為用戶配置加密的密碼）。]SERVICE-TYPETELNETLEVEL3(level3管理員權(quán)限)]Q>SAVE在瀏覽器的地址欄中輸入事先配置好的IP地址輸入用戶名和密碼就可以登錄交換機(jī)的管理界面了（圖2），通過這個(gè)界面可以知道端口狀態(tài)。白色:未連接的端口。

黃色：工作在低速狀態(tài)的10/100/1000M自適應(yīng)端口。綠色：工作在最大速率下的10/100/1000MRJ45,RJ45SFP端口，或者已連接的10G端口。圖22.3VLAN的作用VLAN即虛擬局域網(wǎng)。VLAN是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組。借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境

，就像使用本地LAN一樣方便。因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。利用ip-mac-port綁定提高網(wǎng)絡(luò)安全級(jí)別信息安全管理員都希望在發(fā)生安全事件時(shí)，不僅可以定位到計(jì)算機(jī)，而且定位到使用者的實(shí)際位置，利用MAC與IP的綁定是常用的方式，IP地址是計(jì)算機(jī)的“姓名”，網(wǎng)絡(luò)連接時(shí)都使用這個(gè)名字；MAC地址則是計(jì)算機(jī)網(wǎng)卡的“身份證號(hào)”，不會(huì)有相同的，因?yàn)樵趶S家生產(chǎn)時(shí)就確定了它的編號(hào)。IP地址的修改是方便的，也有很多工具軟件，可以方便地修改MAC地址，“身份冒充”相對(duì)容易，網(wǎng)絡(luò)就不安全了。而加入了計(jì)算機(jī)所在端口port的接入綁定，這樣就使我們的網(wǎng)絡(luò)更安全了。3.1mac-port綁定端口綁定實(shí)際上是讓接入口失去MAC地址學(xué)習(xí)功能，計(jì)算機(jī)就只能使用事先指定的MAC上網(wǎng)。3.1.1建基礎(chǔ)檔案。確定用戶計(jì)算機(jī)的IP地址，MAC地址和所在交換機(jī)上的端口號(hào)。用Ipscan（圖3）一類的軟件掃描網(wǎng)段中的計(jì)算機(jī)設(shè)備，制作基本檔案，計(jì)算機(jī)名，IP，MAC，留一列待放交換機(jī)端口號(hào)。圖33.1.2確定對(duì)應(yīng)關(guān)系。要確定每臺(tái)計(jì)算機(jī)所在端口不是一件簡(jiǎn)單的事，一是讓指定的用戶關(guān)啟網(wǎng)卡或拔插網(wǎng)線在交換機(jī)一端確認(rèn)所在端口，二是用測(cè)線器測(cè)線查找對(duì)應(yīng)房間的網(wǎng)絡(luò)接口，三是用交換機(jī)的WEB管理功能中提供的MAC地址與檔案中的MAC對(duì)照確認(rèn)計(jì)算機(jī)對(duì)應(yīng)的端口。交換機(jī)WEB管理功能已啟用，可以使用MAC地址管理功能查證端口對(duì)應(yīng)的用戶，并建立對(duì)應(yīng)表。3.1.3綁定實(shí)施port+mac綁定如圖4在cmd模式下鍵入telnetIP(交換機(jī)IP)。圖4>sy]INTETH1/0/portnumber]MAC-ADDRESSMAX-MAC-COUNT0]MAC-ADDRESSSTATIC????-????-????VLAN1]Q>SAVE上述命令可以在電子表格中創(chuàng)建，批量粘入TELNET狀態(tài)窗口中運(yùn)行即可。3.2IP-MAC+PORT綁定IP-MAC+PORT綁定可以有效畢免計(jì)算機(jī)更改MAC或非法接入現(xiàn)象，即使用其它計(jì)算機(jī)更改MAC上網(wǎng)也只能在此端口聯(lián)入。無(wú)法隨意更改IP地址上網(wǎng)如圖5。圖5綁定方法如下：>TELNET51（用戶自已的網(wǎng)關(guān)地址）>用戶名>口令>sy]ARPSTATIC10.64.180.?XXXX-XXXX-XXXX(已分配用戶的IP)]Q>SAVE圖6如圖6所示，華為s5328支持三項(xiàng)綁定，但是所綁定的port為網(wǎng)關(guān)交換機(jī)上的端口，并不能實(shí)現(xiàn)綁定端口的唯一性，所以在接入層交換機(jī)上做一遍mac-port的綁定。認(rèn)識(shí)企業(yè)網(wǎng)的安全管理是一項(xiàng)復(fù)雜的系統(tǒng)工程,沒有一勞永逸的安全措施。要在企業(yè)網(wǎng)的建設(shè)和管理過程中及時(shí)分析企業(yè)網(wǎng)中的安全問題,并研究方法,制訂措施,確保企業(yè)網(wǎng)正常、高效、安全地運(yùn)行,為企業(yè)的管理和科研服好務(wù)。參考文獻(xiàn)：[1]彭澎吳震瑞等編著《計(jì)算機(jī)網(wǎng)絡(luò)教程》(第三版)機(jī)械工業(yè)出版社

2021.11.9[2]胡建斌.網(wǎng)絡(luò)與信息安全概論.北京大學(xué)網(wǎng)絡(luò)與信息安全研究室，電子教材，2021[3]李建民，《網(wǎng)絡(luò)設(shè)計(jì)基礎(chǔ)》，北京希望電子出版社，2021年第一版[4]蔣先華、許以臣，《企業(yè)網(wǎng)絡(luò)組建與應(yīng)用》，科學(xué)出版社，2021年6月作者簡(jiǎn)介辛穎楠（1984.10）男第六采油廠地質(zhì)大隊(duì)助工網(wǎng)絡(luò)管理崗聯(lián)系：5836682

公司印章管理制度一、目的公司印章是公司對(duì)內(nèi)對(duì)外行使權(quán)力的標(biāo)志，也是公司名稱的法律體現(xiàn)，因此，必須對(duì)印章進(jìn)行規(guī)范化、合理化的嚴(yán)格管理，以保證公司各項(xiàng)業(yè)務(wù)的正常運(yùn)作，由公司指定專人負(fù)責(zé)管理。二、印章的種類公章，是按照政府規(guī)定，由主管部門批準(zhǔn)刻制的代表公司權(quán)力的印章。專用章，為方便工作專門刻制的用于某種特定用途的印章，如：合同專用章、財(cái)務(wù)專用章、業(yè)務(wù)專用章、倉(cāng)庫(kù)簽收章等。3、手章(簽名章)，是以公司法人代表名字刻制的用于公務(wù)的印章。三、印章的管理規(guī)定印章指定專人負(fù)責(zé)保管和使用，保管印章的地方(桌、柜等)要牢固加鎖，印章使用后要及時(shí)收存。財(cái)務(wù)專用章由財(cái)務(wù)部負(fù)責(zé)保管，向銀行備案的印章，應(yīng)由財(cái)務(wù)部會(huì)計(jì)、總經(jīng)辦分別保管。3、印章要注意保養(yǎng)，防止碰撞，還要及時(shí)清洗，以保持印跡清晰。4、一般情況下不得將印章攜出公司外使用，如確實(shí)因工作所需，則應(yīng)由印章管理員攜帶印章到場(chǎng)蓋章或監(jiān)印。5、印章管理人員離職或調(diào)任時(shí)，須履行印章交接手續(xù)。四、公章刻制印章需本公司法人代表批準(zhǔn)，并由印章管理專責(zé)人負(fù)責(zé)辦理刻制并啟用并交由專人進(jìn)行保管。五、印章的使用使用任何的印章，需由相應(yīng)負(fù)責(zé)人審核簽字。為方便工作，總經(jīng)理可授權(quán)印章管理專責(zé)人審核一般性事務(wù)用印。用印前印章管理人員須認(rèn)真審核，明確了解用印的內(nèi)容和目的，確認(rèn)符合用印的手續(xù)后，在用印登記簿上逐項(xiàng)登記，方可蓋章。3、對(duì)需要留存的材料，蓋印后應(yīng)留存一份立卷歸檔。4、不得在空白憑證、便箋上蓋章。5、上報(bào)有關(guān)部門的文件資料，未經(jīng)部門經(jīng)理、總經(jīng)理審簽，不得蓋章。6、以公司名義行文，未經(jīng)總經(jīng)理簽發(fā)，不得蓋章。7、按照合同會(huì)簽制度的規(guī)定，所有合同和協(xié)議在會(huì)簽手續(xù)齊全后方可蓋章。8、各印章管理人員如出差，應(yīng)把印章移交有關(guān)人員，并辦理有關(guān)交接手續(xù)。六、印章管理人員的責(zé)任1、印章管理人員要與公司簽訂《印章管理責(zé)任書》，并在“印章管理制度”上簽