企業(yè)網(wǎng)絡建設方案

1、 第1章計算機網(wǎng)絡發(fā)展趨勢當前，全球的電信網(wǎng)、因特網(wǎng)、企業(yè)網(wǎng)都正處在一個發(fā)展的的關鍵階段.人們面臨網(wǎng)絡建設方向的選擇、QoS、安全性和可信任性、可運營性等一系列關鍵技術問題的解決。下一代IP網(wǎng)概念的提出和第五代路由器產(chǎn)品的開發(fā)，都將非常有意義。一、現(xiàn)狀及發(fā)展:進入十字路口電信網(wǎng)發(fā)展進入十字路口：從目前電信網(wǎng)的發(fā)展看，第一，TDM技術已經(jīng)不是未來的發(fā)展方向OTDM設備雖然還在生產(chǎn)，但全世界的TDM研發(fā)已經(jīng)全面停止了。第二，由于ATM的許多標準并未得到驗證，也不是未來的發(fā)展方向。第三,現(xiàn)在的IP網(wǎng)是基于傳統(tǒng)的因特網(wǎng)理念，以用戶自律為基礎，自由發(fā)展，缺少管理，是一個非盈利的商業(yè)模型。因此，傳統(tǒng)的因特

2、網(wǎng)不能成為未來電信網(wǎng)的發(fā)展方向。企業(yè)網(wǎng)建設進入十字路口：在企業(yè)網(wǎng)業(yè)務已經(jīng)全面IP化之后，由于傳統(tǒng)IP網(wǎng)的安全與服務質(zhì)量難以得到保證，使目前的企業(yè)網(wǎng)建設中IP數(shù)據(jù)網(wǎng)、視頻網(wǎng)、語音網(wǎng)分別建設，大大增加了建網(wǎng)與管理成本。建設一個能承載綜合業(yè)務、具有高服務質(zhì)量保證并兼具可管理可控制可信任特點的IP網(wǎng)絡成為迫切的需求。二、關鍵技術問題IP網(wǎng)的服務質(zhì)量問題：隨著網(wǎng)絡設備技術上的快速發(fā)展、路由器性能的極大提高、以及DWDM的大量商用，傳輸成本大為降低。而Internet上的業(yè)務發(fā)展相對較慢，從而使得網(wǎng)絡處于相對輕載狀態(tài)，可以在Internet上開展豐富的數(shù)據(jù)、語音、視頻等綜合業(yè)務，開展電話通信等等。然而目前

3、面臨如何調(diào)配這些豐富網(wǎng)絡資源以滿足不同業(yè)務對網(wǎng)絡資源的需求，進而滿足不同業(yè)務的不同服務。三、質(zhì)量要求的難題服務質(zhì)量是從業(yè)務層面來衡量的。要真正解決服務質(zhì)量問題，不是只在網(wǎng)絡層采取技術措施可以解決的，而是從應用層到網(wǎng)絡層多層聯(lián)合起來考慮才有望解決。IP網(wǎng)是一個不面向連接的網(wǎng)，因而任何面向連接的技術措施，都是違背IP網(wǎng)的設計初衷的要解決IP網(wǎng)業(yè)務的服務質(zhì)量問題，最理想的方法是仍采用不面向連接的“分類服務技術來解決，將IP網(wǎng)中的業(yè)務分為幾類，對每一類業(yè)務分配合適的網(wǎng)絡資源，以保證該類業(yè)務必需的服務質(zhì)量。四、第五代路由器Internet網(wǎng)絡從產(chǎn)生到現(xiàn)在，路由器在短短的幾十年時間里就經(jīng)歷了五代的技術革新

4、隨著Internet上各種新業(yè)務的迅速發(fā)展，Internet已經(jīng)轉(zhuǎn)變?yōu)榫哂猩虡I(yè)價值的承載網(wǎng)，它必須為所承載的每一類業(yè)務提供所需要的服務質(zhì)量保證和維護管理，因此業(yè)界提出了“基于網(wǎng)絡處理器的分布式硬件轉(zhuǎn)發(fā)的第五代路由器。我們可以發(fā)現(xiàn)第五代路由器是綜合了以往四代的技術優(yōu)勢發(fā)展起來的.五、IP網(wǎng)的發(fā)展趨勢下一代IP網(wǎng)絡將采用IP網(wǎng)的核心技術(分組交換、不面向連接)，結(jié)合電信網(wǎng)的設計理念，建立一個更大、更快、更安全、可信任、為用戶提供靈活業(yè)務的可管理網(wǎng)絡，為營運商提供一個可以達到電信網(wǎng)服務質(zhì)量保證的IP網(wǎng)，建立可贏利的商業(yè)模型.第五代路由器將在下一代IP網(wǎng)的發(fā)展中發(fā)揮很好的作用。由于第五代路由器采用了有

5、智能的網(wǎng)絡處理器(NP)，可以靈活地加進去很多功能，諸如對用戶的管理、對安全的管理等等。采用第五代路由器還可以提供嚴格的管理，能夠把不同的業(yè)務、用戶嚴格隔離，為IP網(wǎng)提供極高的安全保障。企業(yè)網(wǎng)絡需求分析例如以某企業(yè)為例，現(xiàn)有在職員工3150人.企業(yè)的要求如下：一、建設雙核心的高可靠性網(wǎng)絡，核心交換互為備份。為充分發(fā)揮設備的性能，要求兩臺核心交換承擔不同用戶數(shù)據(jù)負載.為滿足發(fā)展的需要，要求建設10G骨干的企業(yè)網(wǎng).網(wǎng)絡應具有良好的可運行性、可管理性，能夠滿足未來業(yè)務發(fā)展和新技術的應用。二、為滿足訪問互聯(lián)網(wǎng)的需要,計劃連接通過網(wǎng)通電信兩個ISP訪問互聯(lián)網(wǎng),為提高訪問互聯(lián)網(wǎng)的速度充分利用出口帶寬資源,

6、要求正常情況下不同用戶使用不同ISP出口訪問訪問互聯(lián)網(wǎng)。但兩個出口任意一個故障時不能間斷互聯(lián)網(wǎng)訪問。三、由于網(wǎng)絡規(guī)模較大,應實現(xiàn)IP地址的自動分配.設計時應充分考慮DHCP服務器的性能和安全性，防止私設DHCP服務器、假冒IP地址欺騙等惡意攻擊.為適應信息化社會對企業(yè)經(jīng)營、生產(chǎn)、管理等方面的要求。需要對企業(yè)的整個網(wǎng)絡進行一個全面的建設設計。2。1一般建網(wǎng)需求企業(yè)網(wǎng)絡的建設應當充分考慮到企業(yè)內(nèi)部的網(wǎng)絡多業(yè)務以及特色業(yè)務等擴展性，如：企業(yè)內(nèi)部的服務器的訪問,由于企業(yè)員工的訪問的內(nèi)容多樣化決定，涉及到基礎網(wǎng)絡設施的建設和業(yè)務應用平臺建設兩個不同的層面。此處主要分析本企業(yè)網(wǎng)絡基礎設施建設和網(wǎng)絡運營方面

7、相關的內(nèi)容.本企業(yè)網(wǎng)絡建設從網(wǎng)絡流量模型上看，用戶集中而網(wǎng)絡流量大，但實際應用上還存在許多和企業(yè)網(wǎng)不同的地方。主要特點如下:一、多出口的需求根據(jù)要求組網(wǎng)有網(wǎng)通電信兩個ISP訪問互聯(lián)網(wǎng)網(wǎng)絡出口。多出口帶來了以下兩個需求：多權限ISP需求.用戶可通過不同的賬號名或采用相同的賬號，不同的域名認證，獲得不同的上網(wǎng)權限。譬如做到用戶不認證前能自由訪問校園內(nèi)部分服務器，采用“user163登錄，可實現(xiàn)Internet和校園網(wǎng)絡自由訪問，采用“usercrenet”登錄,可訪問CERNET和企業(yè)網(wǎng)。用戶域名選擇可通過WEB認證時用戶通過選擇WEB認證上的相應選擇項進行選擇。多ISP分別計費的需求，對應不同的

8、ISP,計費策略不一致考慮到用戶的以上的需求，需要在學校的內(nèi)部提供不同的路由策略，即用戶訪問教育網(wǎng)的相關站點，通過CERNET的線路，而訪問其他的網(wǎng)站如：新浪網(wǎng)、263等網(wǎng)站則選擇運營商的線路作為出口路由，這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。二、用戶管理的需求使用方便，存在WEB認證需求。要求能做到基于WEB的身份認證、多ISP選擇、W用戶費率查詢、帶寬動態(tài)調(diào)整（隱性需求）多WEB界面（隱性需求）等。需要解決賬號和端口綁定問題。通過此種方式限制賬號的使用區(qū)域。能夠?qū)崿F(xiàn)全網(wǎng)的安全管理，包括：IP、MAC的盜用問題、防止接入用戶的非法DHCPServer、Proxy等用戶.

9、對于用戶的上網(wǎng)行為能夠?qū)崿F(xiàn)實時的跟蹤以及時候的追查對用戶帶寬進行控制的需求，要求設備能對用戶的帶寬進行控制，譬如限制為64K、256K、512K、IM、2M、5M、10M等等級。三、安全管理的需求企業(yè)用戶接受新鮮事務的能力非常強，因此校園也成為黑客最多的場所之一，如何保障企業(yè)網(wǎng)絡的安全成為建網(wǎng)時不得不考慮的問題，目前主要攻擊手段有DOS,DDOS等.上網(wǎng)日志的需求，主要是配合公安機關保證社會的穩(wěn)定和企業(yè)的安全。2。2網(wǎng)絡應用分析一、信息共享對于一個企業(yè)來說，建設網(wǎng)絡體系結(jié)構就是為了使信息資源能夠達到共享，使局域網(wǎng)內(nèi)的所有信息讓每一個領導和員工都能看到，并且能夠給企業(yè)里的每一個都帶來方便。二、辦

10、公自動化辦公自動化的實現(xiàn)還需要靠一些軟件，有了這些軟件就可以很輕松地實現(xiàn)辦公自動化，這樣也可以減少各個工作人員的工作量，提高工作效率，改變工作量太大，任務太重很難完成的狀況。三、Intranet技術應用對于局域網(wǎng)的實現(xiàn),我們采用TCP/IP協(xié)議。小網(wǎng)絡的實現(xiàn)并不是太難,不過小網(wǎng)絡也能幫住我們做很多的事情，因此我們必須實現(xiàn)Intranet局域網(wǎng)技術的應用。四、Internet技術應用因為企業(yè)間的相互來往以及了解其它企業(yè)的需求我們必須進入Internet,來達到相互交流的目的，通過接入Internet來對外現(xiàn)實資源共享，以達到互相學習、共同進步、共同成長。2.3主干和信息點需求及分布由給出的資料可

11、知各個樓的信息點數(shù)以及總的信息點數(shù)如下,表2。1所示。表2.1信息節(jié)點建筑信息點總部大廈133投資公司67銷售中心117研究院212商務中心235物流中心147家屬樓126文化活動中心97生產(chǎn)分廠1#111生產(chǎn)分廠2#241生產(chǎn)分廠3#135生產(chǎn)分廠4#98職工宿舍1#196職工宿舍2#196職工宿舍3#196職工宿舍4#196總數(shù)25032.4網(wǎng)絡安全解決方案網(wǎng)絡安全的解決對于網(wǎng)絡管理員來說是很重要的.在此，提出兩條建議一、三分靠技術,七分靠管理。二、沒有絕對的安全，只有相對的安全。2。5網(wǎng)絡流量分析一、主干網(wǎng)速：1000Mbps光纖接入到光電轉(zhuǎn)換器,通過核心網(wǎng)管交換機二、桌面網(wǎng)速：100M

12、bps三、出口網(wǎng)速：100Mbps網(wǎng)線真接連接到用戶電腦網(wǎng)卡上第3章企業(yè)網(wǎng)的設計原則計算機網(wǎng)絡的主體并不是網(wǎng)絡線纜、網(wǎng)絡設備等本身,而是建立在這些硬件體系上的,為廣大員工、科研人員提供一個在網(wǎng)絡環(huán)境下進行科研工作的先進平臺。企業(yè)網(wǎng)覆蓋整個企業(yè)區(qū)，在網(wǎng)絡性能上應該考慮以下幾個要求一、實用性：遵循面向應用，注重實效,急用先上，逐步完善的原則；二、先進性:采用先進成熟的網(wǎng)絡概念、技術、方法與設備,反映當今先進水平,又給未來的發(fā)展留有余地；三、可靠性：系統(tǒng)必須可靠運行,主要的、關鍵的設備應有冗余，一旦系統(tǒng)某些部分出現(xiàn)故障,應能很快恢復工作，并且不能造成任何損失；四、開放性：選擇的產(chǎn)品應具有好的互操作性

13、和可移植性，并符合相關的國際標準和工業(yè)標準；五、可擴充性：系統(tǒng)是一個逐步發(fā)展的應用環(huán)境，在系統(tǒng)結(jié)構、產(chǎn)品系統(tǒng)、系統(tǒng)容量與處理能力等方面必須具有升級換代的可能，這種擴充不僅能充分保護原有資源,而且具有較高的性能價格比；六、可維護性：系統(tǒng)具有良好的網(wǎng)絡管理、網(wǎng)絡監(jiān)控、故障分析和處理能力，使系統(tǒng)具有極高的可維護性；七、安全性：必須具有高度的保密機制，靈活方便的權限設定和控制機制，以使系統(tǒng)具有多種手段來防備各種形式的非法侵入和機密信息的泄露。一個系統(tǒng)的建設在實用的前提下，應當在投資保護及長遠性方面做適當考慮，在技術上、系統(tǒng)能力上要保持五年左右的先進性.并且從用戶的利益出發(fā)，一個好的系統(tǒng)應當給用戶一定的

14、自由度，而不是束縛住他們的手腳，從技術上講應該采用標準、開放、可擴充的、能與其它廠商產(chǎn)品配套使用的設計。根據(jù)用戶的總體需求，結(jié)合對應用系統(tǒng)的考慮，我們提出網(wǎng)絡系統(tǒng)的設計目標:技術選型、體系結(jié)構、帶寬容量、流量設計、互操作性、運行性能以及可擴展性。第4章企業(yè)的網(wǎng)整體設計總述4.1網(wǎng)絡的拓樸結(jié)構設計根據(jù)給出的信息點數(shù)，確定網(wǎng)絡屬于大型網(wǎng)絡，所以采用的核心匯聚接入三層結(jié)構。網(wǎng)絡拓撲結(jié)構圖如圖4-1所示.圖41網(wǎng)絡拓撲結(jié)構圖4.2方案的描述通過分析本方案屬于大型網(wǎng)絡，在通過對性價比分析，我們選用H3C公司產(chǎn)品，列出下表，如表41所示。表41所需產(chǎn)品核心層匯聚層接入層路由器防火墻H3CS9500H3CS

15、5500EIH3CS3100H3CSR6602H3CF1000EH3C100FAC4.3VLAN及IP地址的規(guī)劃IP地址分配是網(wǎng)絡規(guī)劃設計中的要點之一。要充分考慮路由表的大小和拓撲結(jié)構變化后相應信息所必須傳輸?shù)木嚯x.緩解上述指標的有效方法是聚合?！笆欠癖阌诰酆鲜堑刂贩峙涞囊粋€基本原則，但會造成地址的浪費。故應該考慮使用盡可能大的地址空間，留下空間以供將來擴展。共享服務器的公網(wǎng)IP地址，提供的共享接入內(nèi)網(wǎng)IP地址空間.在員工用機房接入層之上，中心交換機之下，又使用了一層共享服務器，分別控制實驗樓二層和四層的機房辦公室.可靈活地控制計算機實驗機房的互聯(lián)網(wǎng)開通與否，方便使用、管理與控制。通過對公司需

16、求的分析，對VLAN的規(guī)劃和IP的分布做出如下表格42所示。表4-2VLAN的規(guī)劃和IP的分布建筑機器數(shù)量IP范圍GWVLAN總部大廈133192.168.1。2-192.168。1.254192.168。1。11投資公司67192。168.2。22-192.168。2。254銷售中心117192。168.3.2-192。168.3。254192.168.3。13研究院212192。168.4。2-192.168。4.254192。168。4。14商務中心235192.168。5。2-192。168.5。254192。168。5。15物流中心147192。168。6.254192。168。6。

17、16家屬樓1#126192.168。7。2-192.168。7.254192。168。7.17文化活動中心97-192.168。8。254192.168。8。18生產(chǎn)分廠1#111192。168.9。2-192.168.9。254192。168.9.19生產(chǎn)分廠2#241192.168。10.254192.168。10。110生產(chǎn)分廠3#135192。168.11.2192。168。11。254192。168.11。111生產(chǎn)分廠4#98192.168。12。2-192.168。12。254192.168。12。112職工宿舍1#196192.168.13。2192.168.13。254192

18、。168。13。113職工宿舍2#196192.168。14.254192.168。14.114職工宿舍3#196192.168。15。25415職工宿舍196192。168.16。164#2-544。4Internet的接入本設計的Internet接入才用了光纖的連接，其主要特點是可以實現(xiàn)穩(wěn)定流暢的網(wǎng)絡，在線路兩端加裝光電轉(zhuǎn)換設備即可為用戶提供高速寬帶服務。光纖的另外一個優(yōu)點在于它可以傳輸更遠的距離.光纖的安裝包括局端線路調(diào)整和用戶端設備安裝。在局端方面，由服務商將光纖接入終端端設備。用戶端的安裝也非常簡易方便，只要將光纖線連到光電轉(zhuǎn)換器,最后是鏈接在計算機的網(wǎng)卡上即可完成硬件安裝。其中也會

19、用到DHCP服務器和多臺網(wǎng)管交換機。4。5服務器的選擇服務器根據(jù)應用對象不同，又可分為：文件服務器、數(shù)據(jù)庫服務器、視頻服務器、電子郵件服務器、Web服務器和其它應用服務器等。根據(jù)校園網(wǎng)現(xiàn)階段的應用需求，學校需要配備置以下服務器：一、主域服務器主域服務器負責整個校園網(wǎng)的所有的用戶管理，以及EMAIL服務和DNS服務，要求響應大量的用戶驗證和復制，是實現(xiàn)網(wǎng)絡安全和資源共享的核心.二、輔助服務器提供數(shù)據(jù)庫服務需安裝數(shù)據(jù)庫軟件提供校園網(wǎng)應用系統(tǒng)的WWW服務，是學校Internet/Intranet應用的主要承擔者，可對全校提供包括：課件制作、題卷管理、學校主頁發(fā)布、互聯(lián)網(wǎng)瀏覽等等應用。4.6網(wǎng)絡設備選

20、型、交換機的選擇局域網(wǎng)的交換器是網(wǎng)絡中關鍵的設備。中心交換器應先有高性能的交換器，在這里選擇3C0M公司的3C0MSuperstack34900交換機.它可以在簡單低價的平臺上提供高性能、多功能的千兆以太網(wǎng)交換，方便升級，成為具有不斷增長的帶寬需求的中心網(wǎng)絡的理想方案。該12端口交換機支持傳統(tǒng)的五類電纜.可以使用任先的千兆交換模塊組合來匹配光纖和雙絞線.對于該企業(yè)網(wǎng)正好適用.二、服務器平臺選擇SUN服務器和HP服務器或者國產(chǎn)的聯(lián)想、浪潮服務器都有很好的開放性和互連性，可以作為服務器硬件的選擇.在主機系統(tǒng)建設中，選用UNIX與WindowsXP相結(jié)合的方式：用UNIX服務器作為外部WWW服務器、

21、FTP、PROXY、DNS服務器以及網(wǎng)管工作站；用NT服務器作為數(shù)據(jù)庫服務器和應用服務器,為用戶提供友好的界面。路由器我采用D-LinkDI604+這種型號的路由器，它在網(wǎng)絡層轉(zhuǎn)發(fā)數(shù)據(jù)包。它可以有效地隔離廣播風暴并可以進行協(xié)議過渡。路由器可以用于主干連接，也可用于校園網(wǎng)絡和地區(qū)網(wǎng)絡中心的廣域連接。選擇路由器時應注意它支持的網(wǎng)絡接口（如FDDI、UTP、BNC、AUI等），以及端口數(shù)目和支持的協(xié)議類型。此外,某些路由器還提供了很好的協(xié)議控制、流量統(tǒng)計、帶寬分配等功能。路由器的配置可以從控制口通過終端方式進人。配置路由器前的主要工作是地址的劃分。路由器都支持SNMP協(xié)議，因此可以用網(wǎng)絡管理軟件管理

22、，如IBM的Netview、HP的Openiew。為了提高網(wǎng)絡的性能，應采用高性能的網(wǎng)絡服務器。這里采用hp服務器作為校園網(wǎng)的web和控制中心服務器。4。7產(chǎn)品的性能參數(shù)一、H3CS9500交換機無線控制器插卡（一）方便部署、易于管理（二）三層漫游（三）豐富的RF管理和安全（四）支持智能的負載均衡（五）高可靠的備份功能（六）IPv6（七）完善的QoS（八）支持隧道QoS（九）支持多種認證計費方式（十）支持無線入侵檢查WIDS（一）支持EAD無線接入（十二）有線無線一體化的網(wǎng)管系統(tǒng)二、H3CS5500EIH3CS5500EI系列交換機是H3C公司最新開發(fā)的增強型IPv6強三層萬兆以太網(wǎng)交換機產(chǎn)品

23、，具備業(yè)界盒式交換機最先進的硬件處理能力和最豐富的業(yè)務特性。支持最多4個萬兆擴展接口,可以滿足用戶今后5年的帶寬需求；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應對即將帶來的IPv6時代。（一）高擴展性保護投資隨著用戶端速度不斷提高，用戶最終會使集群千兆鏈路達到飽和，而能夠擁有多條集群10GE鏈路將是我們的未來發(fā)展方向.H3CS5500EI系列交換機支持兩個擴展槽位，每個槽位支持單端口或雙端口的10GE擴展模塊，在實現(xiàn)千兆匯聚或接入時保留進一步支持10GE的擴展能力，盡力保護用戶投資。（二）完備的安全控制策略H3CS5500-EI系列交換機提供增強的ACL控制邏輯，支持超大容量的

24、入端口和出端口ACL，并且支持基于VLAN的ACL下發(fā)，在簡化用戶配置過程的同時，避免了ACL資源的浪費.多重可靠性保護S5500-EI系列交換機還具備設備級和鏈路級的多重可靠性保護。多業(yè)務支持能力支持PoE(PoweroverEthernet)技術,通過以太網(wǎng)對所連接的設備(如IPPhone,WirelessAP等)進行遠程供電，從而使得不必在使用現(xiàn)場為設備部署單獨的電源系統(tǒng)，能夠極大地減少部署終端設備的布線和管理成本.豐富的QoS策略H3CS5500EI系列交換機支持支持L2(Layer2)L4(Layer4)包過濾功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口

25、、協(xié)議、VLAN的流分類。提供靈活的對列調(diào)度算法，可以同時基于端口和隊列進行設置，支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三種模式.支持CAR(CommittedAccessRate)功能，粒度最小達64Kbps.出色的管理性H3CS5500-EI系列交換機支持SNMPv1/v2/v3(SimpleNetworkManagementProtocol)，可支持OpenView等通用網(wǎng)管平臺以及Quidview網(wǎng)管系統(tǒng)。支持CLI命令行，Web網(wǎng)管，TELNET,HGMP集群管理，使設備管理更方便，并且支持SSH2.0等加密方式，使得管

26、理更加安全。三、H3CS3100千兆上行、線速交換H3CS3100系列千兆交換機具有19.2Gbps的總線帶寬，為所有端口提供二層線速交換能力，同時支持千兆上行，滿足當前多業(yè)務融合對高帶寬的需求。完備的安全控制策略H3CS3100系列千兆交換機支持802lx認證，在用戶接入網(wǎng)絡時完成必要的身份認證，支持MAC地址和端口等多元組綁定、廣播風暴抑制和端口鎖定功能,保證接入用戶的合法性。（三）QoS能力H3CS3100系列千兆交換機支持每個端口4個輸出隊列，支持2種隊列調(diào)四、H3CSR6602H3CSR6600系列開放多核路由器（以下簡稱SR6600）是H3C公司自主研發(fā),面向電信、政府、電力、金融

27、、教育、企業(yè)等用戶網(wǎng)絡量身打造的一款集高性能轉(zhuǎn)發(fā)、高靈活性業(yè)務處理和高密度接入能力于一體的高端多業(yè)務路由器。一）市場領先的安全防護功能（二）專業(yè)靈活的VPN服務（三）智能網(wǎng)絡集成及QoS保證四）電信級設備高可靠性五）智能圖形化的管理第5章安全防護網(wǎng)絡5。1企業(yè)對安全方案的需求早在20世紀90年代，如果企業(yè)和政府機構希望能具有競爭力，他們就必須對市場需求作出強有力的響應。這就引發(fā)了依靠互聯(lián)網(wǎng)來獲取和共享信息的趨勢。然而，隨著經(jīng)濟狀況在近年來所發(fā)生的轉(zhuǎn)變，市場的焦點又返回到了基本的原則。目前，企業(yè)和政府領導者們都認識到,對未來增長和生產(chǎn)效率產(chǎn)生最大約束的因素就是網(wǎng)絡安全性和可用性。首先，傳統(tǒng)的防病

28、毒軟件無法抵御類似于SQLSlammer的新型蠕蟲的功擊，如果工作站上的防病毒軟件未及時更新或被禁用了，那么病毒仍然有機會感染工作站.UTM產(chǎn)品在企業(yè)網(wǎng)絡的入口提供了簡單的“即插即忘式的保護，病毒在進入網(wǎng)絡之前被直截了當?shù)財r截，同時也避免了由于病毒入侵到服務器和工作站所引起的一系列的典型問題,為企業(yè)網(wǎng)絡提供了一個額外保護層。其次，越來越多的網(wǎng)絡病毒開始利用操作系統(tǒng)的漏洞進行攻擊和傳播。如果不及時修補操作系統(tǒng)的漏洞，這些利用漏洞傳播的病毒就可以輕松繞過防病毒軟件而直接感染計算機，使殺毒軟件的功效大大降低。5。2中小企業(yè)網(wǎng)絡安全整體解決方案一、現(xiàn)狀分析中小企業(yè)用戶的局域網(wǎng)一般來說網(wǎng)絡結(jié)構不太復雜，

29、主機數(shù)量不太多，服務器提供的服務相對較少。這樣的網(wǎng)絡通常很少甚至沒有專門的管理員來維護網(wǎng)絡的安全。這就給黑客和非法訪問提供了可乘之機。這樣的網(wǎng)絡使用環(huán)境一般存在下列安全隱患和需求：（一）計算機病毒在企業(yè)內(nèi)部網(wǎng)絡傳播;（二）內(nèi)部網(wǎng)絡可能被外部黑客的攻擊；（三）對外的服務器（如:www、ftp等）沒有安全防護，容易被黑客攻擊；（四）內(nèi)部網(wǎng)絡用戶上網(wǎng)行為沒有有效監(jiān)控管理，容易形成內(nèi)部網(wǎng)絡的安全隱患；（五）遠程、移動用戶對公司內(nèi)部網(wǎng)絡的安全訪問二、瑞星中小企業(yè)整體解決方案瑞星公司針對中小企業(yè)的上述特點,利用瑞星公司的系列安全產(chǎn)品為中小企業(yè)量身定制一種安全高效的網(wǎng)絡安全解決方案。瑞星防毒墻RSW-120

30、0是一款多功能、高性能、低價位的產(chǎn)品，它不但提供了對內(nèi)部網(wǎng)絡和對外服務器的保護、防止黑客對這些網(wǎng)絡的攻擊，為遠程、移動用戶提供一個安全的遠程連接功能，是中小企業(yè)網(wǎng)絡安全的首選產(chǎn)品。瑞星網(wǎng)絡殺毒軟件是瑞星自主開發(fā)的企業(yè)網(wǎng)絡防病毒軟件，通過“集中管理、分布處理”在中小企業(yè)內(nèi)部的服務器和客戶端同時部署殺毒軟件共同完成對整個網(wǎng)絡的病毒防護工作，為用戶的網(wǎng)絡系統(tǒng)提供全方位防病毒解決（一）選用產(chǎn)品瑞星防毒墻RSW-1200瑞星網(wǎng)絡版殺毒軟件（二）瑞星中小企業(yè)整體解決方案實現(xiàn)主要功能1、安全的網(wǎng)絡邊緣防護瑞星防毒墻可以根據(jù)用戶的不同需要，具備針對HTTP、FTP、SMTP和POP3協(xié)議內(nèi)容檢查、清除病毒的能

31、力，同時通過實施安全策略可以在網(wǎng)絡環(huán)境中的內(nèi)外網(wǎng)之間建立一道功能強大的防火墻體系，不但可以保護內(nèi)部資源不受外部網(wǎng)絡的侵犯，同時可以阻止內(nèi)部用戶對外部不良資源的濫用。2、計算機病毒的監(jiān)控和清除瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內(nèi)客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一,集中管理,實時掌握、了解當前網(wǎng)絡內(nèi)計算機病毒事件，并實現(xiàn)對網(wǎng)絡內(nèi)的所有計算機遠程反病毒策略設置和安全操作。3、靈活的控制臺和Web管理方式瑞星的系列安全產(chǎn)品都提供控制臺管理和Web管理兩種方式，通過這兩種管理方式管理員可以靈活、簡便地根據(jù)自身實際情況

32、設置、修改安全策略,及時掌握了解網(wǎng)絡當前的運行基本信息。4、強大的日志分析和統(tǒng)計報表能力瑞星的系列安全產(chǎn)品對網(wǎng)絡內(nèi)的安全事件都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)可以自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析,目標分析,類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。5、模塊化的安全組合本方案中使用的瑞星網(wǎng)絡安全產(chǎn)品分別具有不同的功能,用戶可以根據(jù)自身企業(yè)的實際情選擇不同的產(chǎn)品構建不同安全級別的網(wǎng)絡，產(chǎn)品選擇組合方便、靈活，既有獨立性有整體性。其次，在病毒傳播事件中(就像以前LoveLetter、Nimda、Klez和SQLSlammer所引起的),郵件服務器可能會由于超負荷而宕機或拒絕服務，或者是僅僅因為害怕被感染而關機.UTM產(chǎn)品可以避免由于病毒傳播而對郵件服務器造成的額外負載。6、從采用與防火墻集成的防病毒軟件和采用網(wǎng)關防毒兩種方案的對比來看，硬件UTM產(chǎn)品能夠攔截攻擊操作系統(tǒng)和應用軟件安全漏洞的新型蠕蟲(如SQLSlammer),而傳統(tǒng)的與防火墻集成的防病毒軟件是無法檢測和清除該類蠕蟲的。7、垃圾郵件過濾隨著近期郵件型病毒所占比例的提高,大量病毒和垃圾郵件可能會使郵件服務