大型企業(yè)網(wǎng)設(shè)計(jì)與實(shí)施

#第二部分網(wǎng)絡(luò)設(shè)計(jì)與實(shí)施題目：大型企業(yè)網(wǎng)設(shè)計(jì)與實(shí)施目錄TOC\o"1-5"\h\z一.實(shí)驗(yàn)?zāi)康?二.概述3三.系統(tǒng)分析3項(xiàng)目背景3解決思想4企業(yè)網(wǎng)建設(shè)過(guò)程階段分析4四.總體設(shè)計(jì)6企業(yè)網(wǎng)總體設(shè)計(jì)方案6企業(yè)網(wǎng)方案實(shí)施7五.詳細(xì)設(shè)計(jì)85.1VLAN的劃分85.3VLAN劃分的網(wǎng)絡(luò)拓?fù)鋱D85.3對(duì)VLAN的配置9網(wǎng)絡(luò)安全設(shè)計(jì)9保護(hù)計(jì)算機(jī)安全的措施9防火墻10數(shù)據(jù)庫(kù)的安全防錯(cuò)10應(yīng)用平臺(tái)安全方案11企業(yè)網(wǎng)功能的實(shí)現(xiàn)11企業(yè)網(wǎng)絡(luò)的備份12九.設(shè)計(jì)小結(jié)13題目：大型企業(yè)網(wǎng)設(shè)計(jì)與實(shí)施一.實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本項(xiàng)目的實(shí)現(xiàn)，培養(yǎng)綜合應(yīng)用網(wǎng)絡(luò)知識(shí)的能力、網(wǎng)絡(luò)工程設(shè)計(jì)與管理維護(hù)的實(shí)踐能力。從網(wǎng)絡(luò)需求分析、網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)實(shí)施和網(wǎng)絡(luò)運(yùn)行管理等方面提高專(zhuān)業(yè)技能以及技術(shù)總結(jié)和技術(shù)文檔撰寫(xiě)的能力。二.概述科學(xué)技術(shù)的發(fā)展日新月異，在計(jì)算機(jī)技術(shù)和通信技術(shù)結(jié)合下，網(wǎng)絡(luò)技術(shù)得到了飛速的發(fā)展。如今，不僅計(jì)算機(jī)已經(jīng)和網(wǎng)絡(luò)緊密結(jié)合，整個(gè)社會(huì)都不可能脫離網(wǎng)絡(luò)而存在，信息化程度已成為衡量一個(gè)國(guó)家現(xiàn)代化水平和綜合國(guó)力強(qiáng)弱的重要標(biāo)志。在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，大型企業(yè)網(wǎng)絡(luò)建設(shè)面臨多種網(wǎng)絡(luò)技術(shù)的選擇。選擇怎樣的網(wǎng)絡(luò)技術(shù)來(lái)滿足企業(yè)未來(lái)發(fā)展的需要，是擺在各大企業(yè)面前的一個(gè)課題。雖然網(wǎng)絡(luò)技術(shù)在飛速發(fā)展，但企業(yè)網(wǎng)絡(luò)建設(shè)有其內(nèi)在規(guī)律，把握這些內(nèi)在的規(guī)律，將有助于指導(dǎo)大型企業(yè)的網(wǎng)絡(luò)建設(shè)。企業(yè)網(wǎng)由相關(guān)內(nèi)部辦公業(yè)務(wù)網(wǎng)（簡(jiǎn)稱(chēng)“內(nèi)網(wǎng)”）、與國(guó)際互聯(lián)網(wǎng)相連的公眾信息資源網(wǎng)（簡(jiǎn)稱(chēng)“外網(wǎng)”）、企業(yè)范圍內(nèi)統(tǒng)一專(zhuān)用的連接各級(jí)部門(mén)內(nèi)網(wǎng)的寬帶多媒體信息交換和資源平臺(tái)（簡(jiǎn)稱(chēng)“專(zhuān)網(wǎng)”）、門(mén)類(lèi)齊全的信息資源數(shù)據(jù)庫(kù)群（簡(jiǎn)稱(chēng)“一庫(kù)”）四個(gè)部分組成,是一個(gè)以“三網(wǎng)一庫(kù)”為基本架構(gòu)的網(wǎng)絡(luò)體系和應(yīng)用體系。系統(tǒng)分析3.1項(xiàng)目背景某公司為滿足向高速多媒體信息網(wǎng)發(fā)展的需要，迫切需要建立一個(gè)高速、功能齊全的企業(yè)網(wǎng)，將電子郵件和Web等技術(shù)引入日常的生產(chǎn)和生活工作中。具體要求如下：功能要求：（1）具有內(nèi)部Web服務(wù)功能；（2）具有外網(wǎng)訪問(wèn)功能（3）具有郵件收發(fā)功能；（4）具有內(nèi)部域名解析功能；（5）具有對(duì)內(nèi)部核心子網(wǎng)安全保護(hù)功能；3.2解決思想分析網(wǎng)絡(luò)建設(shè)需求：設(shè)計(jì)企業(yè)網(wǎng)絡(luò)建設(shè)總體方案，畫(huà)出企業(yè)網(wǎng)設(shè)計(jì)拓?fù)鋱D，網(wǎng)絡(luò)選型。其中，整體方案包括整體結(jié)構(gòu)與網(wǎng)絡(luò)服務(wù)功能的組成設(shè)計(jì)的描述，包括：①布線分析和總體網(wǎng)絡(luò)構(gòu)建設(shè)計(jì)②網(wǎng)絡(luò)服務(wù)器的建立和服務(wù)的配置方案詳細(xì)設(shè)計(jì)，包括中心機(jī)房、各部門(mén)機(jī)房位置、布局設(shè)計(jì)。綜合布線系統(tǒng)設(shè)計(jì)。自己進(jìn)行設(shè)備選型，并寫(xiě)出詳細(xì)的網(wǎng)絡(luò)設(shè)備配置清單。寫(xiě)出工程的施工與驗(yàn)收方案。3.3企業(yè)網(wǎng)建設(shè)過(guò)程階段分析企業(yè)網(wǎng)絡(luò)建設(shè)總體上分為設(shè)計(jì)階段、實(shí)施階段和網(wǎng)絡(luò)管理維護(hù)階段。從網(wǎng)絡(luò)設(shè)計(jì)的角度來(lái)講，分為應(yīng)用驅(qū)動(dòng)法和基礎(chǔ)設(shè)施法。企業(yè)網(wǎng)絡(luò)建設(shè)過(guò)程分為如下幾個(gè)階段：1、需求分析階段。通常大型企業(yè)在網(wǎng)絡(luò)建設(shè)中已有部分的網(wǎng)絡(luò)環(huán)境，這些網(wǎng)絡(luò)環(huán)境能滿足當(dāng)時(shí)網(wǎng)絡(luò)應(yīng)用的需要。但網(wǎng)絡(luò)可能是一個(gè)個(gè)孤立的小島，只能在局部范圍內(nèi)實(shí)現(xiàn)網(wǎng)絡(luò)應(yīng)用及資源共享，企業(yè)網(wǎng)絡(luò)沒(méi)有形成一個(gè)整體。企業(yè)網(wǎng)絡(luò)規(guī)劃時(shí)，要考慮網(wǎng)絡(luò)建設(shè)的整體性，既要保護(hù)原有的投資，又要在網(wǎng)絡(luò)技術(shù)的選型上有前瞻性。網(wǎng)絡(luò)需求分析主要是根據(jù)企業(yè)業(yè)務(wù)發(fā)展需求和企業(yè)信息技術(shù)應(yīng)用需求，提出企業(yè)網(wǎng)絡(luò)建設(shè)的總體目標(biāo)和關(guān)鍵技術(shù)指標(biāo)。企業(yè)網(wǎng)絡(luò)需求分析包含如下幾方面：■網(wǎng)絡(luò)標(biāo)準(zhǔn)和協(xié)議要求。全網(wǎng)絡(luò)信息點(diǎn)分布需求，包括局域網(wǎng)布線結(jié)構(gòu)要求，廣域網(wǎng)傳輸介質(zhì)要求。網(wǎng)絡(luò)層次劃分及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)要求。結(jié)合應(yīng)用的網(wǎng)絡(luò)設(shè)備處理能力和帶寬要求。局域網(wǎng)和廣域網(wǎng)要求。Internet接入，外網(wǎng)接入，防火墻技術(shù)要求?！銎髽I(yè)網(wǎng)絡(luò)應(yīng)用要求?！鼍W(wǎng)絡(luò)設(shè)備選型要求。網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)技術(shù)的關(guān)系（如多媒體、IP話音和網(wǎng)絡(luò)結(jié)構(gòu)的要求）。網(wǎng)絡(luò)可靠性、擴(kuò)展性和安全性要求。網(wǎng)絡(luò)管理要求。2、網(wǎng)絡(luò)規(guī)劃階段。企業(yè)網(wǎng)絡(luò)規(guī)劃是從企業(yè)網(wǎng)絡(luò)需求分析到企業(yè)網(wǎng)邏輯設(shè)計(jì)中間必經(jīng)階段，主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析得出分離的、外在的技術(shù)指標(biāo)（如用戶數(shù)、桌面微機(jī)的站點(diǎn)數(shù)、最大響應(yīng)時(shí)間要求等等）。運(yùn)用企業(yè)網(wǎng)絡(luò)本身內(nèi)在的規(guī)律和關(guān)聯(lián)算法，得出整個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)在的技術(shù)框架和技術(shù)指標(biāo)（如桌面帶寬要求、主干帶寬要求、服務(wù)器處理性能要求等等）。3、網(wǎng)絡(luò)邏輯設(shè)計(jì)階段。網(wǎng)絡(luò)邏輯設(shè)計(jì)階段主要根據(jù)企業(yè)網(wǎng)絡(luò)需求分析結(jié)果，根據(jù)企業(yè)網(wǎng)絡(luò)規(guī)劃的內(nèi)在技術(shù)指標(biāo)，按照計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的經(jīng)驗(yàn)和方法，在現(xiàn)有的可行的網(wǎng)絡(luò)技術(shù)范圍內(nèi)，設(shè)計(jì)企業(yè)網(wǎng)絡(luò)的連接結(jié)構(gòu)、協(xié)議結(jié)構(gòu)以及每個(gè)網(wǎng)絡(luò)的功能結(jié)構(gòu)。企業(yè)網(wǎng)絡(luò)設(shè)計(jì)主要確定網(wǎng)絡(luò)的連接結(jié)構(gòu)，網(wǎng)絡(luò)節(jié)點(diǎn)的類(lèi)型、功能和容量。網(wǎng)絡(luò)傳輸鏈路的類(lèi)型和容量，以及網(wǎng)絡(luò)安全控制結(jié)構(gòu)和網(wǎng)絡(luò)管理結(jié)構(gòu)。4、網(wǎng)絡(luò)物理設(shè)計(jì)階段。網(wǎng)絡(luò)物理設(shè)計(jì)主要確定實(shí)施網(wǎng)絡(luò)邏輯設(shè)計(jì)方案的廠家產(chǎn)品的類(lèi)型、數(shù)量和具體配置，以及與網(wǎng)絡(luò)邏輯設(shè)計(jì)方案中連接結(jié)構(gòu)相吻合的物理拓?fù)浣Y(jié)構(gòu)。5、網(wǎng)絡(luò)實(shí)施階段。網(wǎng)絡(luò)實(shí)施階段主要是采購(gòu)所需的硬件設(shè)備和軟件系統(tǒng)，以及安裝、調(diào)試和測(cè)試網(wǎng)絡(luò)系統(tǒng)。6、網(wǎng)絡(luò)維護(hù)和擴(kuò)展階段。在企業(yè)網(wǎng)絡(luò)通過(guò)測(cè)試之后，網(wǎng)絡(luò)就進(jìn)入了運(yùn)行、維護(hù)和擴(kuò)展階段。企業(yè)網(wǎng)絡(luò)的運(yùn)行維護(hù)階段的主要工作是對(duì)企業(yè)網(wǎng)絡(luò)的日常維護(hù)和管理，包括網(wǎng)絡(luò)配置管理性能管理、故障管理、安全管理和用戶帳戶管理，對(duì)企業(yè)網(wǎng)絡(luò)的預(yù)防性測(cè)試和容量的規(guī)劃。總體設(shè)計(jì)4.1企業(yè)網(wǎng)總體設(shè)計(jì)方案總體設(shè)計(jì)是企業(yè)網(wǎng)建設(shè)的總體思路和工程藍(lán)圖，是搞好企業(yè)網(wǎng)建設(shè)的核心任務(wù)。進(jìn)行企業(yè)網(wǎng)總體設(shè)計(jì)，首先，進(jìn)行對(duì)象研究和需求調(diào)查，弄清企業(yè)的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)，對(duì)企業(yè)的信息化環(huán)境進(jìn)行準(zhǔn)確的描述，明確系統(tǒng)建設(shè)的需求和條件；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定企業(yè)Intranet服務(wù)類(lèi)型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施、站點(diǎn)設(shè)置、開(kāi)發(fā)應(yīng)用和管理等方面的目標(biāo)；第三，確定網(wǎng)絡(luò)拓樸結(jié)構(gòu)和功能，根據(jù)應(yīng)用需求、建設(shè)目標(biāo)和企業(yè)主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃安排企業(yè)網(wǎng)建設(shè)的實(shí)施步驟。我們提出企業(yè)網(wǎng)建設(shè)的原則應(yīng)該是：先進(jìn)性，先進(jìn)的設(shè)計(jì)思想、網(wǎng)絡(luò)結(jié)構(gòu)、開(kāi)發(fā)工具，采用市場(chǎng)覆蓋率高、標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品；實(shí)用性，建網(wǎng)時(shí)應(yīng)考慮利用和保護(hù)現(xiàn)有的資源、充分發(fā)揮設(shè)備效益；開(kāi)放性，系統(tǒng)設(shè)計(jì)應(yīng)采用開(kāi)放技術(shù)、開(kāi)放結(jié)構(gòu)、開(kāi)放系統(tǒng)組建和開(kāi)放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及與外界信息的溝通；靈活性，采用積木式模塊組合和結(jié)構(gòu)化設(shè)計(jì)，使系統(tǒng)配置靈活，滿足企業(yè)逐步到位的建網(wǎng)原則，使網(wǎng)絡(luò)具有強(qiáng)大的可增長(zhǎng)性；⑤可靠性，具有容錯(cuò)功能，管理、維護(hù)方便。對(duì)網(wǎng)絡(luò)的設(shè)計(jì)、選型、安裝、調(diào)試等各環(huán)節(jié)進(jìn)行統(tǒng)一規(guī)劃和分析，確保系統(tǒng)運(yùn)行可靠，經(jīng)濟(jì)性，投資合理，有良好的性能價(jià)格比。企業(yè)網(wǎng)絡(luò)寬帶網(wǎng)用戶集中且網(wǎng)絡(luò)流量大，關(guān)注網(wǎng)絡(luò)的可運(yùn)營(yíng)和可管理特性，企業(yè)網(wǎng)建設(shè)應(yīng)按照國(guó)務(wù)院辦公廳建設(shè)以“三網(wǎng)一庫(kù)”為主要內(nèi)容的政務(wù)信息系統(tǒng)的統(tǒng)一要求?！叭W(wǎng)一庫(kù)”分別是內(nèi)網(wǎng)，外網(wǎng)，專(zhuān)網(wǎng)以及辦公業(yè)務(wù)專(zhuān)員數(shù)據(jù)庫(kù)，在保證以上的同時(shí)還要確保電子政務(wù)安全。電子政務(wù)工程建設(shè)要按照國(guó)家有關(guān)安全、保密要求,采取相應(yīng)措施,使其成為一個(gè)基礎(chǔ)設(shè)施統(tǒng)一,內(nèi)網(wǎng)、專(zhuān)網(wǎng)與外網(wǎng)物理上相對(duì)隔離,專(zhuān)項(xiàng)業(yè)務(wù)系統(tǒng)邏輯上獨(dú)立的網(wǎng)絡(luò)體系。應(yīng)注意“三網(wǎng)一庫(kù)”間的配合、銜接,合理解決包括信息的傳遞、加密、交換、使用、共享等問(wèn)題,使“三網(wǎng)”真正成為一個(gè)有機(jī)結(jié)合的整體。企業(yè)整個(gè)主干網(wǎng)以辦公樓中心機(jī)房（主配線間）中心節(jié)點(diǎn)，向外輻射。通過(guò)各部門(mén)、單位等多個(gè)樓層節(jié)點(diǎn)構(gòu)成主干網(wǎng)。中心節(jié)點(diǎn)機(jī)房配置銳捷S4900高檔交換機(jī)可作為主干網(wǎng)的核心交換機(jī)。為實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)管理和虛擬局域網(wǎng)，在中心節(jié)

點(diǎn)交換機(jī)上配置第三層交換模塊和網(wǎng)絡(luò)監(jiān)控模塊。主干各節(jié)點(diǎn)（核心層交換機(jī)和匯聚層交換機(jī)）采用1000Mbps（單模1000BASE-LX、多模1000BASE-SX）連接,服務(wù)器采用雙網(wǎng)卡鏈路聚合200Mbps連接或1000Mbps（1000BASE-TX）連接。企業(yè)網(wǎng)絡(luò)與外網(wǎng)的連接發(fā)生在企業(yè)網(wǎng)絡(luò)的各個(gè)層次上，其中包括Internet接入。我們稱(chēng)企業(yè)內(nèi)部網(wǎng)為內(nèi)網(wǎng),企業(yè)外部網(wǎng)為外網(wǎng)。顯然,內(nèi)網(wǎng)和外網(wǎng)間加裝防火墻。通常,內(nèi)網(wǎng)和外網(wǎng)間采用靜態(tài)路由或缺省路由。內(nèi)網(wǎng)和外網(wǎng)的信息訪問(wèn)通過(guò)防火墻進(jìn)行過(guò)濾。1=□□STN——□DDN/FR/ATM?部WEB服務(wù)器ire'口口移移動(dòng)用戶AccessServerLANSwitch移動(dòng)用戶1=□□STN——□DDN/FR/ATM?部WEB服務(wù)器ire'口口移移動(dòng)用戶AccessServerLANSwitch移動(dòng)用戶網(wǎng)管工作站W(wǎng)EB服務(wù)器DNS和認(rèn)證服務(wù)器圖3內(nèi)網(wǎng)和外網(wǎng)的連接圖4.2企業(yè)網(wǎng)方案實(shí)施一個(gè)完整的企業(yè)網(wǎng)建設(shè)在實(shí)施過(guò)程中可以分成兩個(gè)環(huán)節(jié)：網(wǎng)絡(luò)集成方案設(shè)計(jì)和信息系統(tǒng)集成。其中信息系統(tǒng)集成是目的,網(wǎng)絡(luò)集成是手段。與外部通信網(wǎng)絡(luò)相互連接,包括建筑物到外部網(wǎng)絡(luò)或電話局線路上的連線點(diǎn)與工作區(qū)的話音或數(shù)據(jù)終端之間的所有電纜,以及相關(guān)聯(lián)的布線部件。一個(gè)良好的綜合布線系統(tǒng)對(duì)其服務(wù)的設(shè)備有一定的獨(dú)立性,并能互連許多不同的通信設(shè)備如數(shù)據(jù)終端、模擬式或數(shù)字式電話、PC和主機(jī)以及公共系統(tǒng)裝置。一般布線系統(tǒng)有六個(gè)子系統(tǒng)組成：建筑群間子系統(tǒng),設(shè)備間子系統(tǒng),管理區(qū)子系統(tǒng),垂直（主干）子系統(tǒng),水平子系統(tǒng),工作區(qū)子系統(tǒng)。企業(yè)網(wǎng)為園區(qū)網(wǎng),樓群間子系統(tǒng)采用光纜連接,可提供千兆位的帶寬,有充分的擴(kuò)展余地。垂直子系統(tǒng)則位于高層建筑物的豎井內(nèi),可采用多模光纜或大對(duì)數(shù)雙絞線。把管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng),集中管理。對(duì)于多幢樓宇，可采用多設(shè)備間的方法。分為中心設(shè)備間和樓棟設(shè)備間部分，中心設(shè)備間是整個(gè)局域網(wǎng)的控制中心，內(nèi)設(shè)有對(duì)外（Internet）對(duì)內(nèi)通信的各種網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器、視頻服務(wù)器等），中心交換機(jī)通過(guò)光纜（地下直埋）與樓棟設(shè)備間的交換設(shè)備相連，以保證數(shù)據(jù)的高速傳輸。在此設(shè)備間放置布線的線架和網(wǎng)絡(luò)設(shè)備，端接樓內(nèi)來(lái)自在各層的主干線纜，并端接連接網(wǎng)絡(luò)中心的光纖。樓內(nèi)布線包括水平布線和主干布線。水平系統(tǒng)采用超五類(lèi)雙絞線，新的樓宇采用暗裝墻內(nèi)的方式，舊的樓宇采用PVC線槽明裝的方式。詳細(xì)設(shè)計(jì)5.1VLAN的劃分整個(gè)企業(yè)網(wǎng)中的VLAN及IP編址方案VLAN號(hào)VLAN名稱(chēng)IP網(wǎng)段默認(rèn)網(wǎng)關(guān)說(shuō)明VLAN1——/2454管理VLANVLAN10XZL/2454人事部VLANVLAN20xsss/2454財(cái)務(wù)部VLANVLAN30TSG/2454生產(chǎn)部VLANVLAN100FWQ/25454服務(wù)器VLAN5.3VLAN劃分的網(wǎng)絡(luò)拓?fù)鋱DHIIfon9K口：1.feflfKi-mxi：T幵切』『HIIfon9K口：1.feflfKi-mxi：T幵切』『bgw?rr??aZAi踏,II*-M5.3對(duì)VLAN的配置配置CISCO二層交換機(jī)的IP地址SWl(config)#intvlan1//進(jìn)入管理接口interfacevlan1SWl(config-if)#ipaddress//配置IP地址SW1(config-if)#noshutdownSW1(config-if)#exitSW1(config)#ipdefault-gateway//配置網(wǎng)關(guān),可通過(guò)showrun查看配置交換機(jī)的端口速度和雙工(SpeedandDuplex)SW1(config)#interfacefa0/1SW1(config-if)#speed{10|100|auto}//10M/100M/自適應(yīng)SW1(config-if)#duplex{auto|full|half}//自適應(yīng)/全雙工/半雙工一般情況下,交換機(jī)兩端的端口速度和雙工要匹配,這樣通信質(zhì)量才能得到保證,在相同廠家的產(chǎn)品(比如說(shuō)Cisco的交換機(jī)互連)中端口協(xié)商不用配置一般不會(huì)有什么問(wèn)題，可以通過(guò)showinterface查看端口的速度和雙工。通常在不同廠家的產(chǎn)品中(比如說(shuō)Cisco和華為互連)如果通過(guò)查看發(fā)現(xiàn)端口速度和雙工不匹配，可以通過(guò)手工配置來(lái)解決。密碼配置EnConftensecretcisco//設(shè)置enable的密碼為ciscoenpasswordcisco1//設(shè)置enable的密碼為cisco1，不能和enablesecret設(shè)置的密碼相同noipdomain-lookup//關(guān)掉域名查找功能servicepassword-encryption//對(duì)口令進(jìn)行加密，加密console口或VTY或是enablepassword設(shè)置的密碼，密碼不再顯示明文lineconsole0//設(shè)置console口Passwordcisco//設(shè)置console口密碼為cisconoexec-t//操作會(huì)話不會(huì)超時(shí)loggsy//配置時(shí)光標(biāo)跟隨，阻止那些煩人的控制臺(tái)信息來(lái)打斷你網(wǎng)絡(luò)安全設(shè)計(jì)6.1保護(hù)計(jì)算機(jī)安全的措施物理措施包括機(jī)房安全，嚴(yán)格的安全制度，采取防竊聽(tīng)、防輻射措施等。數(shù)據(jù)加密，對(duì)磁盤(pán)上的數(shù)據(jù)或通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。防止計(jì)算機(jī)病毒，計(jì)算機(jī)病毒會(huì)對(duì)計(jì)算機(jī)系統(tǒng)的資源產(chǎn)生很大的危害，甚至造成重大損失。采取安全訪問(wèn)措施，如使用身份認(rèn)證和口令，設(shè)置數(shù)據(jù)或文件的訪問(wèn)權(quán)限。采取其他安全措施，包括確保數(shù)據(jù)的完整性、計(jì)算機(jī)容錯(cuò)、數(shù)據(jù)備份和加強(qiáng)審計(jì)等。網(wǎng)絡(luò)資源屬主、屬性和訪問(wèn)權(quán)限、網(wǎng)絡(luò)安全監(jiān)視，網(wǎng)絡(luò)監(jiān)視通稱(chēng)為“網(wǎng)管”、審計(jì)和跟蹤網(wǎng)絡(luò)上的加密可以分為三層：第一層為數(shù)據(jù)鏈路層加密、第二層是傳輸層的加密、第三層是應(yīng)用層上的加密。數(shù)字簽名是數(shù)據(jù)的接收者用來(lái)證實(shí)數(shù)據(jù)的發(fā)送者確實(shí)無(wú)誤的一種方法，這種簽名所起的作用與紙面上的親筆簽名是一致的。它主要通過(guò)加密算法和證實(shí)協(xié)議而實(shí)現(xiàn)。6.2防火墻產(chǎn)品的選型在防火墻的市場(chǎng)中，領(lǐng)先的思科PIX安全設(shè)備系列在經(jīng)濟(jì)有效、便于部署的解決方案中，提供了強(qiáng)大的用戶和應(yīng)用策略實(shí)施、多因素攻擊防御以及安全連接服務(wù)功能。思科PIX安全設(shè)備的適用范圍從面向小型和家庭辦公環(huán)境的小巧型、“即插即用”桌面設(shè)備到面向要求出色投資保護(hù)的企業(yè)、和電信運(yùn)營(yíng)商混崗竟的模塊化千兆設(shè)備，為各種規(guī)模的網(wǎng)絡(luò)環(huán)境提供強(qiáng)大的安全性、性能和可靠性。因此我們選用思科PIX系列的產(chǎn)品。產(chǎn)品關(guān)鍵特性1.高級(jí)防火墻服務(wù)——深層檢測(cè)防火墻服務(wù)，如HTTP、FTP和ESMTP；即時(shí)消息；對(duì)等和隧道化應(yīng)用阻攔；采用基于流量的安全策略的思科模塊化策略框架；虛擬防火墻服務(wù)；第二層透明防火墻；3G移動(dòng)無(wú)線安全服務(wù)2?強(qiáng)大的IPSecVPN服務(wù)——VPN客戶端安全狀態(tài)實(shí)施；自動(dòng)VPN客戶端軟件升級(jí)；VPN隧道上的OSPF動(dòng)態(tài)路由3.高可用性服務(wù)——屢獲大獎(jiǎng)的主用/備用或更為先進(jìn)的主用/主用故障切換，支持不對(duì)稱(chēng)路由；遠(yuǎn)程接入和站點(diǎn)間VPN狀態(tài)化故障切換；無(wú)需停機(jī)的軟件升級(jí)4?智能網(wǎng)絡(luò)服務(wù)——PIM組播路由；服務(wù)質(zhì)量（QoS）；IPv6網(wǎng)絡(luò)5?靈活的管理解決方案——SSHv2和SNMPv2c；配置回退；可用性增強(qiáng)；基于Web的自適應(yīng)安全設(shè)備管理器（ASDM）6.3數(shù)據(jù)庫(kù)的安全防錯(cuò)數(shù)據(jù)庫(kù)管理系統(tǒng)的安全性能達(dá)到C2級(jí)標(biāo)準(zhǔn)（Oracle產(chǎn)品能滿足此要求）。數(shù)據(jù)庫(kù)對(duì)象（如表、視圖、索引、觸發(fā)器等）的所有權(quán)必須明確定義。為系統(tǒng)安全管理員提供創(chuàng)建和修改用戶口令的功能，而數(shù)據(jù)庫(kù)管理人員應(yīng)不知道用戶的口令。按照用戶或操作行為有選擇地進(jìn)行審計(jì)，審計(jì)信息加以保護(hù)，防止非法訪問(wèn)，審核信息必須包括充分的數(shù)據(jù)，以確定“誰(shuí)”在“什么時(shí)候”從“何地”訪問(wèn)了“何種數(shù)據(jù)”。審核信息作為系統(tǒng)備份策略的一部分經(jīng)常備份，在超過(guò)保留期后，舊的審核信息應(yīng)歸檔，應(yīng)提供工具，以簡(jiǎn)化數(shù)據(jù)庫(kù)管理員對(duì)審核信息的訪問(wèn)。用戶離開(kāi)后，其帳號(hào)必須注銷(xiāo)，長(zhǎng)期離職的情況下，其帳號(hào)應(yīng)暫停使用。應(yīng)做必要的檢測(cè)以防止從操作系統(tǒng)級(jí)越過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行非法操作。對(duì)敏感數(shù)據(jù)進(jìn)行加密管理。應(yīng)用平臺(tái)安全方案應(yīng)用平臺(tái)主要指應(yīng)用軟件和數(shù)據(jù)管理，其安全功能主要包括以下內(nèi)容：（1）身份認(rèn)證：完成用戶和服務(wù)器之間的雙向身份認(rèn)證，實(shí)現(xiàn)跨平臺(tái)、跨應(yīng)用系統(tǒng)的安全單點(diǎn)登錄，它是實(shí)現(xiàn)訪問(wèn)控制、審計(jì)和抗否認(rèn)等的基礎(chǔ)。（2）訪問(wèn)控制：根據(jù)身份實(shí)現(xiàn)應(yīng)用和服務(wù)的精粒度或細(xì)粒度訪問(wèn)控制，防止非授權(quán)訪問(wèn)。（3）數(shù)據(jù)完整性和保密性：在身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)傳輸?shù)冗^(guò)程中，對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)或完整性保護(hù)。（4）審計(jì)記錄：審計(jì)功能具有可擴(kuò)充性，可溯性且能進(jìn)行全局審計(jì)。詳細(xì)記錄資源被訪問(wèn)情況，能跟蹤到“誰(shuí)”在“何時(shí)”、“何地”、“修改”、“訪問(wèn)了”、“何種數(shù)據(jù)”。日志加密存儲(chǔ)在特定的目錄下，只有指定人員才能讀取，保證可審計(jì)性，防止否認(rèn)和抵賴。企業(yè)網(wǎng)功能的實(shí)現(xiàn)web應(yīng)用web應(yīng)用是Internet的標(biāo)志性應(yīng)用，最核心的應(yīng)用服務(wù)集中在WWW服務(wù)器上完成。因而對(duì)于web服務(wù)器的設(shè)計(jì)首要考慮的就是服務(wù)器性能問(wèn)題，另外考慮到將來(lái)在Internet平臺(tái)上做應(yīng)用開(kāi)發(fā)的可能，對(duì)于WWW服務(wù)器同數(shù)據(jù)庫(kù)互聯(lián)的問(wèn)題也應(yīng)作為重點(diǎn)考慮。因?yàn)閣eb服務(wù)器是被大量實(shí)時(shí)訪問(wèn)的超文本服務(wù)器，它要求支持大量網(wǎng)絡(luò)實(shí)時(shí)訪問(wèn)，I/O吞吐能力，快速處理能力等方面具有較高的要求。mail應(yīng)用MAIL系統(tǒng)的出現(xiàn)是在電子郵件出現(xiàn)之前，同時(shí)它的推廣在很大程度上也依賴電子郵件的發(fā)展?？梢赃@么說(shuō)，電子郵件無(wú)論在INTERNET上還是在INTRANET內(nèi)部都是最基本的應(yīng)用。電子郵件系統(tǒng)有兩種類(lèi)型：一種是采用專(zhuān)用標(biāo)準(zhǔn)的MAIL系統(tǒng)，如MICROSOFT的MS-MAIL和LOTUS的CC-MAIL等；另一種是采用INTERNET公共標(biāo)準(zhǔn)（SMTP、OPS、IMAP4）的通用MAIL系統(tǒng)，為了做到INTRANET內(nèi)部MAIL系統(tǒng)同公共INTERNETMAIL系統(tǒng)的平滑對(duì)接，應(yīng)當(dāng)采用后者?？山o每一個(gè)員工建立內(nèi)部INTRANET帳號(hào)和E-MAIL賬號(hào)。實(shí)現(xiàn)用戶的E-MAIL連通。對(duì)所有帳號(hào)進(jìn)行分級(jí)管理、允許有權(quán)限的帳號(hào)訪問(wèn)INTERNET，無(wú)權(quán)限帳號(hào)訪問(wèn)內(nèi)部網(wǎng)。對(duì)每個(gè)帳號(hào)進(jìn)行計(jì)費(fèi)，內(nèi)置服務(wù)器上的軟件可控制每一個(gè)帳號(hào)的使用情況，控制整個(gè)企業(yè)的網(wǎng)絡(luò)費(fèi)用支出。E-Mail應(yīng)用可以由MicrosoftExchangeServer來(lái)實(shí)現(xiàn)。域名解析（DNS）建立企業(yè)網(wǎng)，其中一個(gè)必不可少的組成部分就是DNS（域名系統(tǒng)），IP地址和機(jī)器名稱(chēng)的統(tǒng)一管理能力由DNS（DomainNameSystem）來(lái)完成的，所謂DNS，是對(duì)主機(jī)名稱(chēng)信息進(jìn)行管理的一個(gè)分散式的數(shù)據(jù)庫(kù)，在這一數(shù)據(jù)庫(kù)中，保存著這些名稱(chēng)和IP地址的映射關(guān)系。企業(yè)網(wǎng)絡(luò)的備份企業(yè)網(wǎng)絡(luò)的備份主要在網(wǎng)絡(luò)鏈路備份和設(shè)備的備份上體現(xiàn)在可靠性上。對(duì)可靠性較高的要求意味著有較大的資金投入。由于企業(yè)業(yè)務(wù)運(yùn)行模式各不相同，可靠性的要求會(huì)不同。對(duì)于銀行企業(yè)、電信移動(dòng)通信運(yùn)營(yíng)商、電信級(jí)長(zhǎng)話計(jì)費(fèi)系統(tǒng)、ISP運(yùn)營(yíng)商和鐵路客票系統(tǒng)等大型企業(yè)網(wǎng)絡(luò)要求7*24小時(shí)服務(wù)。這些大型網(wǎng)絡(luò)要求網(wǎng)絡(luò)中心節(jié)點(diǎn)不但有設(shè)備冗余備份，還要有系統(tǒng)異地容災(zāi)備份。也就是說(shuō)，在中心節(jié)點(diǎn)發(fā)生災(zāi)難時(shí)，不至于導(dǎo)致全網(wǎng)業(yè)務(wù)停頓和關(guān)鍵數(shù)據(jù)的丟失。這就要求