浩淼公司網(wǎng)絡(luò)升級和改造 wangshitao33

浩淼公司網(wǎng)絡(luò)升級和改造PAGEPAGE31浩淼消防公司網(wǎng)絡(luò)升級和改造目錄第一章前言 11.1研究背景和意義 11.2網(wǎng)絡(luò)改造的國內(nèi)外現(xiàn)狀 11.3本文的研究內(nèi)容和論文的結(jié)構(gòu)安排 31.3.1本文研究的內(nèi)容 31.3.2文章的結(jié)構(gòu)安排 3第二章vpn和vlan建設(shè)關(guān)鍵技術(shù) 52.1vlan和vpn的含義 52.2vlan和vpn所需要的設(shè)備 52.3Vlan和Vpn的協(xié)議標(biāo)準(zhǔn) 52.3.1物理層協(xié)議 52.3.2數(shù)據(jù)鏈路層協(xié)議 62.3.3網(wǎng)絡(luò)層協(xié)議 62.4vlan和vpn的數(shù)據(jù)格式 6第三章浩淼消防公司的網(wǎng)絡(luò)優(yōu)化技術(shù)方案 93.1浩淼消防公司的網(wǎng)絡(luò)現(xiàn)狀 93.2總體的設(shè)計方案 93.2.1企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu) 113.2.2企業(yè)外部的網(wǎng)絡(luò)構(gòu)成 123.3路由選擇和vlan的劃分 133.3.1路由的設(shè)計和選擇 133.2.2vlan的設(shè)計和劃分 143.4項目設(shè)備規(guī)劃 17第四章浩淼公司的網(wǎng)絡(luò)安全 194.1企業(yè)門戶網(wǎng)站的安全維護 194.2客戶端與核心端之間的網(wǎng)絡(luò)安全策略 214.3預(yù)防惡意代碼的安全策略 23第五章浩淼消防公司的網(wǎng)絡(luò)安全管理 265.1網(wǎng)絡(luò)管理的內(nèi)容 265.1.1故障管理 265.1.2配置管理 275.1.3.性能管理 275.1.4安全管理 275.2網(wǎng)絡(luò)安全管理方式 27第六章總結(jié)與展望 296.1浩淼公司企業(yè)網(wǎng)絡(luò)總結(jié) 29附件參考文獻 31第一章前言1.1研究背景和意義現(xiàn)階段世界高速發(fā)展，生活在一個快速化和信息化的社會。社會在不斷的發(fā)展和轉(zhuǎn)變之中。社會的高速發(fā)展帶動著企業(yè)的迅速發(fā)展，其中最主要的是第三產(chǎn)業(yè)發(fā)展最為迅猛，但是屬于制造業(yè)的第二產(chǎn)業(yè)也同樣要收到關(guān)注。現(xiàn)階段消防企業(yè)面臨著網(wǎng)絡(luò)技術(shù)和自身的難題。隨著消防企業(yè)的自身發(fā)展，其本身也面臨著許多問題，企業(yè)的發(fā)展伴隨著品牌的發(fā)展，品牌是一個企業(yè)的標(biāo)志，企業(yè)的品牌出現(xiàn)不但是由良好的口碑更是要有優(yōu)良的技術(shù)。在關(guān)鍵技術(shù)使用的同時還是要注意保持著對自身信息技術(shù)的保密性，這樣的信息技術(shù)的保密才能促進企業(yè)的良好的發(fā)展。很多企業(yè)現(xiàn)在在快速發(fā)展，同時市場占有率逐漸提高，但是市場的開發(fā)力度不夠。同時在企業(yè)的售后服務(wù)方面也是需要大力的網(wǎng)絡(luò)支持。該企業(yè)是明光市的龍頭企業(yè)，該企業(yè)是公安部定點生產(chǎn)消防車的企業(yè)。主要從事消防車及相當(dāng)一部分警用特種車輛各種銷售、改裝、設(shè)計以及服務(wù)工作。企業(yè)相應(yīng)的銷售和售后服務(wù)網(wǎng)絡(luò)遍布各個城市和地區(qū)。企業(yè)秉著幸福工廠、幸福服務(wù)的理念來服務(wù)。同時該企業(yè)準(zhǔn)備著擴大生產(chǎn)規(guī)模，在不同的地方建立自己的分廠和服務(wù)機構(gòu)。使得公司的服務(wù)力求在90%的城市達到24小時到達。這樣的企業(yè)的網(wǎng)絡(luò)中存在設(shè)備老化，企業(yè)管理不健全的方面。因此該企業(yè)應(yīng)該進行企業(yè)網(wǎng)絡(luò)設(shè)備的升級和改造。這樣的企業(yè)才能在這個信息化的社會中快速的發(fā)展，使得企業(yè)向著良好的社會發(fā)展方向前進。浩淼消防企業(yè)是一家私營企業(yè)，企業(yè)的生產(chǎn)經(jīng)營規(guī)范。在當(dāng)?shù)赜卸喾矫娴膸ь^作用，現(xiàn)階段的企業(yè)網(wǎng)絡(luò)改造，這樣可以打造并提升企業(yè)的核心競爭力。使得企業(yè)在信息化道路中又好又快發(fā)展，使得企業(yè)在生產(chǎn)中提高競爭力，使得企業(yè)又好又快發(fā)展。1.2網(wǎng)絡(luò)改造的國內(nèi)外現(xiàn)狀現(xiàn)在的網(wǎng)絡(luò)信息技術(shù)發(fā)展的越來越迅速，各個企業(yè)單位在企業(yè)的信息化中投入越來越多，這樣就可以發(fā)現(xiàn)企業(yè)中存在著這樣或那樣的問題。這樣企業(yè)網(wǎng)絡(luò)的升級和改造達到必須執(zhí)行的地步。在中國許多中小型的企業(yè)在發(fā)展企業(yè)信息化，但是他們呢只是注重企業(yè)中硬件設(shè)施的購買，只是要簡單組裝成網(wǎng)絡(luò)，可以使用就行。其他企業(yè)購買許多安全設(shè)備如防火墻等在其中使用技術(shù)比較低級的物理隔離和訪問控制鏈表等設(shè)備和技術(shù)。而很少的使用有關(guān)企業(yè)的數(shù)字簽名和虛擬專用技術(shù)等比較高明的技術(shù)。中小企業(yè)這樣選擇的原因是因為企業(yè)中關(guān)于信息化的投資始終不高，企業(yè)內(nèi)部的領(lǐng)導(dǎo)存在僥幸的心理。同時企業(yè)內(nèi)部沒有設(shè)置專門的網(wǎng)絡(luò)和網(wǎng)站管理員這樣企業(yè)的網(wǎng)絡(luò)從內(nèi)部到外部都存在這樣的網(wǎng)路安全問題。使得企業(yè)很容易就暴露在網(wǎng)絡(luò)中病毒和木馬的攻擊中。使得企業(yè)信息的泄露和企業(yè)的安全的問題非常嚴(yán)重。如不提前防范,一旦網(wǎng)絡(luò)被襲,將造成網(wǎng)絡(luò)系統(tǒng)阻塞、企業(yè)系統(tǒng)面臨癱瘓、公司數(shù)據(jù)信息傳輸中斷和數(shù)據(jù)丟失等等問題,不要說將會給企業(yè)不僅在財務(wù)上帶來巨大損失，更會在業(yè)務(wù)巨大的經(jīng)濟損失。在國外，企業(yè)信息化的發(fā)展想對于我國來說要早的很多。國外的信息技術(shù)和信息設(shè)備比國內(nèi)完善，同時國外所遭受的病毒和木馬等非法程序的攻擊比國內(nèi)嚴(yán)重。但是國外的企業(yè)在企業(yè)信息化和企業(yè)信息安全的方面所投入的資金比國內(nèi)很多企業(yè)都多，國外的大部分的企業(yè)在企業(yè)信息化中所投入的資金大約占企業(yè)總資產(chǎn)額的9%到11%左右。而國內(nèi)的企業(yè)在這方面的投入只是在3%左右。這樣國外企業(yè)在防毒等方面的遠(yuǎn)遠(yuǎn)走在國內(nèi)企業(yè)的前端。國外信息安全現(xiàn)狀具有以下兩個特點：(1)各行各業(yè)的大中小型企業(yè)越來越認(rèn)識到IT新興安全的重要性，并且意識到企業(yè)網(wǎng)絡(luò)安全的高危性和必要性，并且把它作為企業(yè)的日常工作的一項重要工作。(2)企業(yè)對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全的資金投入與網(wǎng)絡(luò)安全建設(shè)的資金投入按比例增長，而且各項指標(biāo)均明顯高于國內(nèi)的許多大中型企業(yè)。21世紀(jì)的今天我們企業(yè)在一個高速發(fā)展的社會中，企業(yè)因為公司的發(fā)展的需要會對信息技術(shù)不斷的需求，這樣的企業(yè)內(nèi)部就會出現(xiàn)給黑客利用的系統(tǒng)漏洞，這樣不僅是國內(nèi)還是國外的企業(yè)都需要提高企業(yè)網(wǎng)絡(luò)安全的等級和網(wǎng)絡(luò)安全架構(gòu)。這樣企業(yè)網(wǎng)絡(luò)升級勢在必行。怎樣運用現(xiàn)有的設(shè)備來進行企業(yè)網(wǎng)絡(luò)的升級和改造。使得消防企業(yè)在在今后的發(fā)展中留有空間，使得企業(yè)可以高速發(fā)展。運用網(wǎng)絡(luò)使得信息化更加完善。同時如何運用網(wǎng)絡(luò)來提高企業(yè)消防服務(wù)水平，提高客戶滿意度，提高消防服務(wù)質(zhì)量有著重要的作用。1.3本文的研究內(nèi)容和論文的結(jié)構(gòu)安排本文主要是對浩淼消防企業(yè)的網(wǎng)絡(luò)升級和改造為背景而展開，是對企業(yè)內(nèi)部的系統(tǒng)的劃分，使得企業(yè)內(nèi)部的生產(chǎn)區(qū)網(wǎng)絡(luò)與銷售區(qū)售后服務(wù)區(qū)分離。提出對企業(yè)內(nèi)部的網(wǎng)絡(luò)進行改造，減少企業(yè)內(nèi)部的架構(gòu)的冗余性的架構(gòu)。使得企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)清晰化和高效化。同時使得外部的vpn用戶可以更好的使用企業(yè)內(nèi)部資源，提高企業(yè)內(nèi)外人員的交流。1.3.1本文研究的內(nèi)容 本文是針對消防企業(yè)的網(wǎng)絡(luò)升級和改造方案。首先先對該企業(yè)的網(wǎng)絡(luò)進行調(diào)查，找出企業(yè)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的不足和需要升級改造的地方，同時對老化的設(shè)備進行購買，使得設(shè)備可以維持以后兩年正常的使用。然后找出企業(yè)內(nèi)部的網(wǎng)絡(luò)的架構(gòu)進行改造，同時企業(yè)內(nèi)部安裝防火墻等設(shè)備，同時使用一些物理隔離和虛擬數(shù)字簽名的技術(shù)使得企業(yè)內(nèi)部的網(wǎng)絡(luò)更為安全。企業(yè)內(nèi)部的設(shè)施更加完善?？梢詰?yīng)對一些病毒和木馬入侵和黑客的破壞。提高網(wǎng)絡(luò)的實際問題的解決能力，使得企業(yè)能夠安全良好的完成對企業(yè)業(yè)務(wù)的支撐。使得企業(yè)可以快速發(fā)展，為全國消防部隊提供良好的售后服務(wù)。1.3.2文章的結(jié)構(gòu)安排我首先對該企業(yè)網(wǎng)絡(luò)架構(gòu)和設(shè)備進行了全面的調(diào)查和分析。研究了原有企業(yè)內(nèi)部網(wǎng)絡(luò)的各個環(huán)節(jié)的設(shè)備使用情況和老化程度。然后對企業(yè)內(nèi)部進行網(wǎng)絡(luò)改造。文章的結(jié)構(gòu)安排如下：第1章綜述了消防企業(yè)的網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)建設(shè)技術(shù)國內(nèi)外研究現(xiàn)狀等等。第2章先詳細(xì)地分析了vpn建設(shè)的含義、特征及目前在企業(yè)中應(yīng)用的情況，并對網(wǎng)絡(luò)建設(shè)的相關(guān)關(guān)鍵技術(shù)做了詳細(xì)介紹，然后解釋和介紹網(wǎng)絡(luò)建設(shè)的特點和優(yōu)勢、過程及業(yè)務(wù)預(yù)測概述。第3章本章介紹消防企業(yè)網(wǎng)絡(luò)改造項目方案。從現(xiàn)網(wǎng)存在問題開始著手，改造網(wǎng)絡(luò)的方案使得網(wǎng)絡(luò)的架構(gòu)盡可能的減少冗余、對網(wǎng)絡(luò)結(jié)構(gòu)進行加固、對全網(wǎng)路由和策略進行規(guī)范化設(shè)計和部署，最終達到可以支撐企業(yè)售后服務(wù)快速服務(wù)的目的。第4章介紹安全性策略的部署，網(wǎng)絡(luò)安全對于消防企業(yè)的重要性。第5章主要介紹網(wǎng)絡(luò)管理方案、網(wǎng)絡(luò)管理的內(nèi)容及方法。第6章為總結(jié)和進一步的工作。

第二章vpn和vlan建設(shè)關(guān)鍵技術(shù)本章首先對分析了網(wǎng)絡(luò)建設(shè)的含義、特征以及在全球范圍的應(yīng)用，然后在對涉及的關(guān)鍵技術(shù)進行介紹。最后再結(jié)合消防企業(yè)的特點進行了分析、設(shè)計和網(wǎng)絡(luò)的規(guī)劃2.1vlan和vpn的含義VLAN（VirtualLocalAreaNetwork）的中文名為"虛擬局域網(wǎng)"。Vlan是將每個人的PC根據(jù)需要而從邏輯上進行劃分成一個個網(wǎng)段，這種交換技術(shù)主要是在交換機。將有些敏感性的分組的網(wǎng)段和其他的用戶分開。使得報文在傳遞中相互隔離。這樣就能增強網(wǎng)絡(luò)的安全性，同時還可以在網(wǎng)絡(luò)劃分的同時增加網(wǎng)絡(luò)組的工作效率。同時是網(wǎng)絡(luò)可以快速的上傳和下達。虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork)指的是利用新的技術(shù)在公用網(wǎng)絡(luò)上建立網(wǎng)絡(luò)安全通道。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗證鏈接的專用網(wǎng)絡(luò)的擴展。Vpn這種技術(shù)具有節(jié)省成本，傳輸靈活方便和安全傳輸可靠。這樣的技術(shù)可以方便企業(yè)的發(fā)展?？梢愿玫臑槠髽I(yè)節(jié)省成本。2.2vlan和vpn所需要的設(shè)備根據(jù)上文所描述的內(nèi)容可得：路由器，提供包括可以供給給各個部門之間的路由選則功能。提供lan和vlan的端口。三層交換機：在不同的vlan劃分的部門之間進行路由選擇，同時加快不同部門之間的路由傳遞。而在vpn的布置中主要需要一臺bollolnsslvpn一臺主連接在企業(yè)級的交換機中，主要是用于和企業(yè)內(nèi)部的信息進行溝通和關(guān)鍵技術(shù)指標(biāo)的傳遞。這樣可以方便業(yè)務(wù)人員的維修和服務(wù)。2.3Vlan和Vpn的協(xié)議標(biāo)準(zhǔn)OSI7層模型協(xié)議同樣適用與vpn和vlan。但vpn和vlan最多只是涉及到該七層參考模型的下四層。Vpn是把企業(yè)的外部客戶和企業(yè)外部的業(yè)務(wù)員和服務(wù)員和企業(yè)的資料和關(guān)鍵技術(shù)聯(lián)系起來。使得外部終端可以快速的訪問企業(yè)的內(nèi)部的服務(wù)器。Vlan是將企業(yè)中經(jīng)常進行交流的傳輸數(shù)據(jù)的終端放在一個邏輯分組內(nèi)。使得企業(yè)內(nèi)部的交流更為通暢，企業(yè)內(nèi)部的業(yè)務(wù)流更安全，保護企業(yè)的安全經(jīng)營。2.3.1物理層協(xié)議Vlan和vpn的物理層協(xié)議只是描述了通過路由器、交換機和vpn服務(wù)器提供電器、機械、操作和功能的特性，將端到端的設(shè)備給連接起來。它提供vpn和vlan高層協(xié)議使用的比特流，使得比特流可以安全傳輸。Vpn和vlan的物理層協(xié)議涉及提供數(shù)據(jù)終端設(shè)備（DTE端口）和數(shù)據(jù)通信設(shè)備（TCE）之間的接口。對于vlan來說是沒有TCE和DTE的區(qū)別的，這樣對于信息的傳送方來說這樣的方式都可使得信息的通常傳遞。而對于vpn來說數(shù)據(jù)通信端口是vpn所連接的企業(yè)級交換機，而DTE端口主要是vpn的端口。在vpn和vlan連接過程中主要是通過包交換和電路交換兩種方式，且都可以使用同步或異步的串行連接。在vlan和vpn的信息交流和傳遞的過程中主要用到了如下的基礎(chǔ)協(xié)議：EIA/TIA一232、EIA/TIA一449、EIA一530、EIA/TIA一612/613、V.35、X.21等。2.3.2數(shù)據(jù)鏈路層協(xié)議位于OSI模型第二層的協(xié)議是數(shù)據(jù)鏈路層協(xié)議，它主要是將物理層上所傳輸?shù)谋忍亓鞯臄?shù)據(jù)封裝成幀，然后變成數(shù)據(jù)，再將數(shù)據(jù)打包成包。Vlan主要運用的是三層的路由器，這樣可以通過不但可以使得防止廣播風(fēng)暴，同時還可以盡可能的防止網(wǎng)絡(luò)中安全問題。在這里的該廠的vpn主要是使用第二層中采取ppp協(xié)議進行封裝。Ppp不但在封裝協(xié)議時提供了對于不同網(wǎng)絡(luò)層使用不同的網(wǎng)路協(xié)議而且在一路進行傳輸?shù)亩嗦穫鬏攺?fù)用技術(shù)，提供的對于VLAN數(shù)據(jù)連接封裝服務(wù)類似于LAN的封閉的封裝服務(wù)。Ppp這種封裝協(xié)議可以使信息流完全的封裝入加密的軌道中，同時該企業(yè)使用的更多的是端到端的傳輸數(shù)據(jù)。這主要是應(yīng)為在使用第二層的vpn時能更好的使用封裝協(xié)議，這樣的話就可以使得vpn的使用在未來發(fā)展更兼容，適時的適應(yīng)IPV6發(fā)展的需要。2.3.3網(wǎng)絡(luò)層協(xié)議網(wǎng)絡(luò)層是OSI中的第三層，在相鄰的兩個端點之間的數(shù)據(jù)鏈路層之間提供傳送的功能，進一步管理網(wǎng)絡(luò)中的數(shù)據(jù)通信傳輸，將數(shù)據(jù)設(shè)法從源端經(jīng)過途中的各個端點傳送到目的端，進而向傳輸層提供最基本的端到端的數(shù)據(jù)傳送服務(wù)。這里的Vlan主要是在第三層的時候運用到網(wǎng)絡(luò)層協(xié)議，它主要是通過在網(wǎng)絡(luò)層中的ARP協(xié)議、SNMP協(xié)議、FTP協(xié)議、ICMP協(xié)議等等協(xié)議。這些協(xié)議主要控制著VLAN中IP地址的轉(zhuǎn)換、文件的傳輸和文件的控制等等。這樣可以更好的控制VLAN的數(shù)據(jù)信息的訪問，使得工作組中的人員傳輸信息快速高效。同時在vpn中，本文中使用的vpn，使用的數(shù)據(jù)鏈路層的ppp協(xié)議，這樣他對網(wǎng)絡(luò)層的協(xié)議所用的更少。2.4vlan和vpn的數(shù)據(jù)格式在Vlan發(fā)送數(shù)據(jù)的時候可以經(jīng)過數(shù)據(jù)的轉(zhuǎn)換模式，首先要在第二層的數(shù)據(jù)鏈路層上有一定的數(shù)據(jù)格式。格式如下圖所示：圖2.1主要是通過目標(biāo)mac地址來確定目的的主機，這里的mac地址和IP地址是綁定的。同時發(fā)送源的mac地址是通過原來的mac地址寫入發(fā)送表中的。數(shù)據(jù)部分主要是發(fā)送的數(shù)據(jù)信息。同時CRC是循環(huán)冗余校檢碼，用以校檢發(fā)送數(shù)據(jù)是否合理，是否合理發(fā)送。同時在交換機進行不同的Vlan之間的轉(zhuǎn)化的時候可以在這種數(shù)據(jù)格式中加入ISL，在ISL中有關(guān)于發(fā)送目的地址的目的地址的vlan的編號。通過以上的方法Vlan就可迅速的到達目標(biāo)地址的Vlan。從而把數(shù)據(jù)快速的發(fā)送出去。而加上了ISL的時候就會在重新計算出的CRC校檢碼，這樣可以對數(shù)據(jù)重新獲得檢驗。對于vpn所用的，這種協(xié)ppp協(xié)議，它遵循著HDLC（數(shù)據(jù)鏈路控制協(xié)議）協(xié)議的一般報文格式。PPP是以O(shè)SI模型為基礎(chǔ)的點對點網(wǎng)絡(luò)層報文協(xié)議。該協(xié)議支多個網(wǎng)絡(luò)協(xié)議。其主要格式如下圖所示：圖2.2該消防企業(yè)在為外出辦公人員建立vpn的專線。主要是通過創(chuàng)立連接階段、網(wǎng)絡(luò)協(xié)議認(rèn)證階段和網(wǎng)絡(luò)協(xié)商階段。主要用到以下幾個協(xié)議：鏈路控制協(xié)議（LPC）、網(wǎng)絡(luò)控制協(xié)議（NPC）、口令檢驗認(rèn)證協(xié)議（PAP）。企業(yè)外出的工作人員一個用戶名和密碼，該用戶名和密碼要確保安全，企業(yè)和員工之間簽訂了密碼保護協(xié)議且密碼保持每三天已更換，確保數(shù)據(jù)的安全性。當(dāng)外出企業(yè)員工在進行vpn的訪問企業(yè)內(nèi)部服務(wù)器時首先通過LPC的協(xié)議向服務(wù)器發(fā)送配置報文信息，當(dāng)信息到達時服務(wù)器時，服務(wù)器會進行比對，若數(shù)據(jù)信息正確時則進行入用戶驗證階段（注：此時只是對驗證的協(xié)議進行選擇，在此時的LPC協(xié)議已經(jīng)被激活）。然后進入用戶驗證階段，此時用戶將自身的用戶名和密碼發(fā)個服務(wù)器，此時要防止進入和調(diào)用網(wǎng)絡(luò)層協(xié)議，如果驗證失敗則自動進入鏈路終止階段。在這一階段里，只有鏈路控制協(xié)議、認(rèn)證協(xié)議，和鏈路質(zhì)量監(jiān)視協(xié)議的packets是被允許的。在該階段里接收到的其他的packets必須被靜靜的丟棄。最后進入調(diào)用網(wǎng)絡(luò)層協(xié)議，認(rèn)證階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段，選定的各種網(wǎng)絡(luò)控制協(xié)議（NCP）。第三章浩淼消防公司的網(wǎng)絡(luò)優(yōu)化技術(shù)方案該篇章主要介紹的浩淼消防公司的網(wǎng)絡(luò)改造方案，主要是對現(xiàn)行的網(wǎng)絡(luò)進行改造。提高網(wǎng)絡(luò)的安全。使得企業(yè)的信息化得以加強。3.1浩淼消防公司的網(wǎng)絡(luò)現(xiàn)狀浩淼消防公司現(xiàn)在公司的內(nèi)部現(xiàn)在有一個門戶網(wǎng)站，這個網(wǎng)站主要是對企業(yè)的各項內(nèi)容進行介紹，同時對一些公司的榮譽和公司狀態(tài)進行實時的報告，使得客戶了解公司的現(xiàn)狀；另外該企業(yè)內(nèi)部網(wǎng)絡(luò)中還有一個OA自動化辦公系統(tǒng)，該系統(tǒng)主要是為了在企業(yè)內(nèi)部實行辦公自動化和無紙化辦公，幫助公司在除了制作標(biāo)書外盡量的減少紙張的使用，減少企業(yè)的內(nèi)部成本。這樣該公司的信息化是十分的缺乏，這樣有一個專門的企業(yè)網(wǎng)絡(luò)架構(gòu)，可以更好的幫助企業(yè)運行，提高企業(yè)的競爭力。同時在企業(yè)的下層工作人員還是在人工進行往來，進行業(yè)務(wù)的報表和審批。這樣的絡(luò)現(xiàn)狀使得企業(yè)內(nèi)部員工的工作艱苦。同時該公司還有一些比較老舊的個人PC。這些PC只是能滿足日常的簡單的辦公需求。這樣公司還要再買一些辦公設(shè)備。在企業(yè)內(nèi)部將會架設(shè)Vlan局域網(wǎng)絡(luò)，用于企業(yè)內(nèi)部之間的數(shù)據(jù)交流傳輸，使得企業(yè)各個員工在組內(nèi)可以更方便的進行數(shù)據(jù)交流。同時在各個小組之間進行成員之間的交流。同時在組外之間的人員進行信息的傳遞雖然信息傳遞速度較慢但是這樣傳遞出來的信息流避免了廣播風(fēng)暴的發(fā)生，信息流就更加安全。同時在企業(yè)內(nèi)部設(shè)置了一些服務(wù)器，使得網(wǎng)絡(luò)中交流更家流暢，同時使得信息更加安全。杜絕使用U盤的狀況的發(fā)生。同時在企業(yè)內(nèi)部架設(shè)vpn服務(wù)器使得企業(yè)外部人員提供專線訪問企業(yè)的數(shù)據(jù)資源。同時使得企業(yè)數(shù)據(jù)更加安全，在隧道加密技術(shù)的情況下企業(yè)外部服務(wù)員工可以很好的服務(wù)于企業(yè)產(chǎn)品。使得企業(yè)員工的服務(wù)質(zhì)量更優(yōu)質(zhì)于其他公司。網(wǎng)絡(luò)的設(shè)計和改造不但解決了企業(yè)內(nèi)部網(wǎng)絡(luò)和企業(yè)辦公環(huán)境的問題。還未企業(yè)將來信息化的快速發(fā)展創(chuàng)立了有力的條件。使得企業(yè)可以良好和快速的發(fā)展。3.2總體的設(shè)計方案在浩淼公司的設(shè)計方案中，我們使用了如下圖所示的設(shè)計方案：圖3.1企業(yè)內(nèi)部的設(shè)備主要使用如下：一臺企業(yè)級防火墻，主要用于防止企業(yè)外部的黑客的入侵和病毒入侵檢測；然后企業(yè)內(nèi)部在布置一款企業(yè)級交換機，這款交換機用于來把各個vlan的分組放在一起，方便組內(nèi)進行組內(nèi)的交換。同時這是一款三層的交換機，這款交換機同時起到路由的功能。這款交換機該企業(yè)選擇華為QuidwayS9303，該款交換機不但具有上述所需功能之外，還具有強大的外外擴展功能，方便企業(yè)進行擴充vlan的分組，同時這款交換機的性價比很高。企業(yè)的內(nèi)部需要一些自己的服務(wù)器，如上圖所示：有支持OA辦公系統(tǒng)的、支持FTP的、支持DNS域名解析的、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器和WEB服務(wù)器等等。其中Web服務(wù)器和FTP服務(wù)器用于組成DMZ區(qū)域，用于保持企業(yè)內(nèi)部核心服務(wù)器的安全。同時在企業(yè)內(nèi)部可以建立一個小型的磁盤存儲矩陣用于保持網(wǎng)絡(luò)的安全。同時可以用一些個人的組裝PC和一些簡單的路由器來組成Vlan用于Vlan內(nèi)部的數(shù)據(jù)傳輸?？梢詫lan分為以下幾組：底盤組、焊接組、鈑金組、組裝組、消防泵組、卷門組、油漆組；這些屬于生產(chǎn)類的vlan分組。然后還有企業(yè)領(lǐng)導(dǎo)組、銷售組、售后組、財務(wù)組、HR組和采購組。這些組用于企業(yè)的管理類型。還有一些非常重要的部門如：信息組、研發(fā)組。這里用兩個三層交換機將管理組合生產(chǎn)組分開。防止企業(yè)內(nèi)部的相關(guān)的數(shù)據(jù)和一大量的交流導(dǎo)致的企業(yè)網(wǎng)絡(luò)傳輸數(shù)據(jù)不順暢。在企業(yè)外部服務(wù)的配置需要一臺VPN的服務(wù)器，這個服務(wù)器用于企業(yè)外部的客戶，使用企業(yè)內(nèi)部的資料。這款對于企業(yè)適用的VPN選擇CheckPointVPN-1EdgeS8。這樣一種vpn中自帶網(wǎng)絡(luò)邊界服務(wù)器的應(yīng)用可以是企業(yè)網(wǎng)絡(luò)安全。同時在網(wǎng)絡(luò)使用的數(shù)據(jù)更安全。3.2.1企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)在企業(yè)內(nèi)部的網(wǎng)絡(luò)是企業(yè)架構(gòu)的核心，是企業(yè)中有關(guān)核心價值數(shù)據(jù)存在的部分。（1）在企業(yè)內(nèi)部中的網(wǎng)絡(luò)中企業(yè)的vlan分組如下圖所示圖3.2在上述的圖片中是根據(jù)企業(yè)廠礦的內(nèi)部狀況和未來的發(fā)展情況而制定的企業(yè)內(nèi)部生產(chǎn)和管理的組別劃分。圖中把采購組、售后組、HR組、財務(wù)組和企業(yè)的管理部門分到一個路由器下，這是把每個組中劃分為一個Vlan然后再將這些數(shù)據(jù)傳送量的vlan組編到一個路由器之下。這樣方便數(shù)據(jù)交換大的路由器內(nèi)部VLan組進行數(shù)據(jù)的傳輸。把這些的組放在一起主要是為了采購組進行報價然后進過管理部門和財務(wù)組的批準(zhǔn)才能進行采購，售后組在領(lǐng)導(dǎo)的批示下可以外派進行服務(wù)。同時HR組和財務(wù)組都要通過管理部門的批示才能進行。這樣的企業(yè)在管理內(nèi)部有大量數(shù)據(jù)上傳與下達。同理在上產(chǎn)組中主要是對車輛的組裝和改配中對車輛的數(shù)據(jù)進行傳輸，同時實時的跟蹤車輛的生產(chǎn)情況。在企業(yè)內(nèi)部的生產(chǎn)組，是經(jīng)由二層路由器R2連接的不同的vlan的分組。這些分組主要是通過企業(yè)的訂單和底盤組購買的地盤的型號和數(shù)量來決定改裝哪一個類型的消防車。在第三塊的部分主要是研發(fā)組和網(wǎng)絡(luò)組，主要是對企業(yè)內(nèi)部網(wǎng)絡(luò)進行信息化管理和有關(guān)于企業(yè)信息化安全的研究，在這個研發(fā)組中高薪聘請的合工大的客座教授，從而達到對車輛生產(chǎn)的技術(shù)支持（2）在企業(yè)內(nèi)部還有許多服務(wù)器組，這些服務(wù)器組主要是用于企業(yè)內(nèi)部通信交流和企業(yè)服務(wù)信息的上傳和下載，從而加大企業(yè)內(nèi)部的數(shù)據(jù)信息的共享和保護。在這些信息服務(wù)器器中會構(gòu)建一個DMZ區(qū)域。該區(qū)域用于企業(yè)的外部人員（不包括VPN用戶）查看和分享一些不重要的數(shù)據(jù)。同時重要的數(shù)據(jù)存放于一個大型的數(shù)據(jù)庫服務(wù)器中，該大型的數(shù)據(jù)庫服務(wù)器主要是用于企業(yè)內(nèi)部核心資料的存儲和共享。這里的大型的數(shù)據(jù)庫服務(wù)器所存儲的數(shù)據(jù)只能供研發(fā)專家和個邊外出服務(wù)的人員所用，且為了數(shù)據(jù)的安全這里的安全密碼定期更換。服務(wù)器邏輯擺放如下圖所示圖3.3這其中的把FTP服務(wù)器、電子商務(wù)服務(wù)器和WEB服務(wù)器放在一起組成一個DMZ區(qū)域。DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施。這些設(shè)施的加上可以使得企業(yè)應(yīng)付外部的網(wǎng)絡(luò)攻擊。這樣的網(wǎng)絡(luò)攻擊才能得到一些有效的減緩。3.2.2企業(yè)外部的網(wǎng)絡(luò)構(gòu)成在企業(yè)外部的員工主要是企業(yè)的在外的售后服務(wù)人員和一些在外設(shè)置的常駐辦事點，這些人員負(fù)責(zé)關(guān)于企業(yè)外銷車輛的服務(wù)工作。這些員工主要是通過在外部的vpn來進行訪問得到企業(yè)內(nèi)部的數(shù)據(jù)信息。企業(yè)外部的員工使用的ppp點對點協(xié)議。這里企業(yè)內(nèi)部要做一個vpn的服務(wù)器。這樣的vpn可以快速安全的傳輸數(shù)據(jù)。企業(yè)的外部數(shù)據(jù)如下圖所示。圖3.5根據(jù)圖中的顯示這在外部選擇vpn的用戶是企業(yè)外出辦公員工和一些的企業(yè)駐外辦事處的人員。這其中對于外出員工主要是在其對于售后服務(wù)時需要知道企業(yè)內(nèi)部的一些數(shù)據(jù)信息。并且通過該信息可以給外出辦公員工一些的指導(dǎo)，幫助員工盡快的完成服務(wù)。并且這些重要的信息處于系統(tǒng)內(nèi)部的數(shù)據(jù)庫內(nèi)，為了保持?jǐn)?shù)據(jù)的安全性，外部辦公員工的所用的vpn的賬號和密碼要做到每三天自動變換，同時員工內(nèi)部數(shù)據(jù)庫請專人管理，且安全等級密碼實施變化。3.3路由選擇和vlan的劃分3.3.1路由的設(shè)計和選擇在上面圖形3.1是有關(guān)于浩淼消防有限公司的網(wǎng)絡(luò)設(shè)計的總體概況圖。這其中主要包括許多的路由器的使用和數(shù)據(jù)走向。這里的在核心部分使用了一臺具有三層功能核心交換機，這臺三層交換機不但具有一般的三層交換機的防止出現(xiàn)廣播風(fēng)暴的情況的功能；同時支持多個交換機的vlan端口，同時可以支持在交換機端的多個端口的信息聚合，如：這里使用24個10/100/1000M千兆電口和8個復(fù)用SFP千兆通用接口線卡。這樣不但可以滿足目前企業(yè)的使用情況還可以方便企業(yè)未來網(wǎng)絡(luò)的擴充。這樣這臺交換機成為該企業(yè)網(wǎng)絡(luò)架構(gòu)的核心，同時也成為企業(yè)網(wǎng)絡(luò)運行的關(guān)鍵所在。這樣可以在交換機布置一個網(wǎng)絡(luò)的防火墻，這樣有助于企業(yè)網(wǎng)絡(luò)安全的防范，同時在防火墻的外圍部署一臺路由器，這臺路由器主要是一個與外部廣域網(wǎng)相鏈接的邊界路由，這樣可以可以通過網(wǎng)關(guān)路由來確定內(nèi)部和外部廣域網(wǎng)，同時在這臺路由器上運行邊界網(wǎng)絡(luò)協(xié)議同時運用NAT技術(shù)，使得企業(yè)內(nèi)部的員工分時分段的上網(wǎng)。這樣與DHCP服務(wù)器相結(jié)合可以節(jié)省企業(yè)網(wǎng)絡(luò)部署的經(jīng)費。同時把網(wǎng)關(guān)部署在防火墻上，這樣可以很好的防止內(nèi)部網(wǎng)絡(luò)和外部的串聯(lián)。使得網(wǎng)絡(luò)可以很好的使用，這樣把網(wǎng)關(guān)放在防火墻上：在企業(yè)網(wǎng)絡(luò)的內(nèi)部核心的交換機可以和多個處于二層的路由器連接在一起，這樣在網(wǎng)絡(luò)的主干網(wǎng)洛中采用星型網(wǎng)絡(luò)連接，這樣可以通過網(wǎng)絡(luò)連接把各個分支的路由器分離開來，這樣避免了其中一個路由器不能工作，而導(dǎo)致其他的路由器無法連通的問題。同時在使用的二層路由中主要在網(wǎng)絡(luò)中主要可以使用OSPF技術(shù)，將各個網(wǎng)絡(luò)看成一個自治域系統(tǒng)，這樣可以計算最短路徑，使得內(nèi)部網(wǎng)絡(luò)中的路由跳數(shù)更快更好，ospf協(xié)議隸屬一個IGP（一種內(nèi)部網(wǎng)關(guān)協(xié)議），OSPF協(xié)議屬于IGP協(xié)議中的主導(dǎo)地位，。居于IGP協(xié)議主導(dǎo)地的OSPF協(xié)議主要是使用最短路徑優(yōu)先算法，該算法可以避免像RIP中的環(huán)回路由的形成，同時OSPF的收斂更為迅速，這是RIP所不具備的功能，這樣的可以使得網(wǎng)絡(luò)更適合大規(guī)模網(wǎng)絡(luò)的發(fā)展，而RIP主要是通過廣播信息發(fā)送路由，這樣還是比較浪費帶寬的，使用OSPF這樣的路由策略，因為其主要是通過組播發(fā)送的路由，這樣可以節(jié)省帶快路徑。在各個自治域系統(tǒng)中互聯(lián)的外部使用的是BGP協(xié)議。BGP協(xié)議主要是在多個自治域系統(tǒng)之間使用，ospf主要是通過距離之間的最短路徑來計算不同路由器之間的距離，從而確定最短路徑，其主要通過網(wǎng)絡(luò)路由包的信息來檢測出最短的策略。從而找出最早到達的鏈路。在找到線路的同時他會計算出其他的線路進行比較，當(dāng)線路出現(xiàn)冗余和環(huán)路的時候，他會自動的對冗余進行備份和對環(huán)路的消除。當(dāng)企業(yè)中的內(nèi)部路由器出現(xiàn)故障無法運行時，他可以通過自動檢測出新的鏈路的路由，來代替現(xiàn)在的鏈路，這樣就可以減少企業(yè)的損失，從而使得企業(yè)能夠順利的生產(chǎn)。3.3.2vlan的設(shè)計和劃分VLAN是一種通過虛擬交換技術(shù)將局域網(wǎng)內(nèi)的互聯(lián)的設(shè)備進行邏輯劃分成的一個個有一定相互關(guān)聯(lián)的子網(wǎng)段，從而實現(xiàn)虛擬工作組的一種新興交換技術(shù)。通過對不同的VLan進行劃分，若不同的vlan組成員進行通信，就需要通過不同的路由器進行支持，而同一VLAN中的成員可以直接通信，不需路由支持。所以在每一個vlan中不會存在其他分組的單播和廣播，這樣就可以控制網(wǎng)絡(luò)中的流量，有效地節(jié)省網(wǎng)絡(luò)傳輸帶寬，提高網(wǎng)絡(luò)數(shù)據(jù)傳輸性能，同時做到減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。因此，對VLAN進行研究，對于企業(yè)在企業(yè)管理和網(wǎng)絡(luò)價值營銷方面有著重要作用。在企業(yè)內(nèi)部對VLan進行使用，除了上述的意義外還具有以下的一些特點：1.、網(wǎng)絡(luò)管理簡單直觀、2增加了網(wǎng)絡(luò)連接的靈活性3.提高網(wǎng)絡(luò)整體安全性。因為企業(yè)具有以上的特性。所用對該企業(yè)使用以上的措施。在該企業(yè)中由于原來的部門的人員的迅速的增長，這樣原來在還沒有進行重新設(shè)計的網(wǎng)絡(luò)的劃分已經(jīng)很亂，導(dǎo)致網(wǎng)絡(luò)效率的低下。同時網(wǎng)絡(luò)通信的極大的不安全。重新對網(wǎng)絡(luò)進行了劃分，并且劃分vlan，主要是上文中提到的一些分組如：采購組、售后組、HR組、財務(wù)組和企業(yè)的管理部門這是在一個二層的路由器R1中的；再把裝配組、鈑金組、油漆組、消防泵組、卷門組、底盤組和焊接組放到二層路由器R2中；再把網(wǎng)絡(luò)管理組和研究組放到二層路由器R3中單獨作為一組。為了把我企業(yè)的安全性同時提高企業(yè)內(nèi)部員工的工作積極性。我們首先要把企業(yè)內(nèi)部的計算機的IP地址和網(wǎng)卡上的MAC地址綁定起來。這樣可以可以使網(wǎng)絡(luò)安全的等級達到較高的地位。同時在網(wǎng)絡(luò)的組內(nèi)部知識對管理部門所使用的路由器R1和研究部門所使用的路由器R2進行有關(guān)于IP地址漕——DHCP服務(wù)器的配置這樣可以減少其他組內(nèi)部成員對外部信息的瀏覽而花費精力和時間。同時在企業(yè)內(nèi)部劃分的vlan是用的是以IP地址的形式來劃分。通過IP協(xié)議來進行vlan地址的劃分，同時要考慮劃分是網(wǎng)絡(luò)層地址的問題。通過IP協(xié)議的VLAN劃分可使廣播域跨越多個VLAN交換機，因此非常適合一些特殊的應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理?；贗P協(xié)議的VLAN的主要優(yōu)點是：用戶的物理位置改變了，不需要重新配置所屬的VLAN，可以按傳輸協(xié)議劃分網(wǎng)段，這樣可以減少網(wǎng)絡(luò)的通信量。根據(jù)實際需要，決定根據(jù)部門和不同專業(yè)以基于端口來劃分VLAN。共劃分為14個VLAN，劃分VLAN以后，要為每一個VLAN配一個“虛擬接口IP地址”。表X是14個VLAN及其主要配置信息表1劃分vlan名稱部門網(wǎng)關(guān)網(wǎng)址范圍子網(wǎng)掩碼是否使用DHCP服務(wù)器Vlan1管理部門-50使用Vlan2HR部-50使用Vlan3銷售部169.154.201-50使用Vlan4財務(wù)部-50使用Vlan5售后部-50使用Vlan6采購部-50使用Vlan7鈑金組-50未使用Vlan8油漆組-50未使用Vlan9焊接組-50未使用Vlan10卷門組-50未使用Vlan11消防泵組-50未使用Vlan112底盤組-50未使用Vlan13裝配組-50未使用Vlan14管理組-50使用Vlan15研發(fā)組-50使用根據(jù)上表中的VLan的劃分方式來進行ip地址的綁定，同時在二層的路由器的端口來進行VLan的配置。具體如下所示（1）創(chuàng)建VLANDES-3326SR#Configvlandefaultdelete1-24DES-3326SR#Createvlanvlan10tag10DES-3326SR#Createvlanvlan20tag15DES-3326SR#Createvlanvlan30tag20DES-3326SR#Createvlanvlan40tag25DES-3326SR#Createvlanvlan30tag30DES-3326SR#Createvlanvlan40tag35DES-3326SR#Createvlanvlan40tag40DES-3326SR#Createvlanvlan40tag45DES-3326SR#Createvlanvlan40tag50DES-3326SR#Createvlanvlan40tag55DES-3326SR#Createvlanvlan40tag60DES-3326SR#Createvlanvlan40tag65DES-3326SR#Createvlanvlan40tag70DES-3326SR#Createvlanvlan40tag80DES-3326SR#Createvlanvlan40tag90（2）添加端口到各VLANDES-3326SR#Configvlanvlan10adduntag1DES-3326SR#Configvlanvlan20adduntag2DES-3326SR#Configvlanvlan30adduntag3DES-3326SR#Configvlanvlan40adduntag4DES-3326SR#Configvlanvlan50adduntag5DES-3326SR#Configvlanvlan60adduntag6DES-3326SR#Configvlanvlan60adduntag7DES-3326SR#Configvlanvlan60adduntag8DES-3326SR#Configvlanvlan60adduntag9DES-3326SR#Configvlanvlan60adduntag10DES-3326SR#Configvlanvlan60adduntag11DES-3326SR#Configvlanvlan60adduntag12DES-3326SR#Configvlanvlan60adduntag13DES-3326SR#Configvlanvlan60adduntag14DES-3326SR#Configvlanvlan60adduntag15（3）創(chuàng)建VLAN接口IPDES-3326SR#Createipifif10/24VLAN10stateenabledDES-3326SR#Createipifif20/24VLAN20stateenabledDES-3326SR#Createipifif30/24VLAN30stateenabledDES-3326SR#Createipifif40/24VLAN40stateenabledDES-3326SR#Createipifif50/24VLAN50stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabledDES-3326SR#Createipifif60/24VLAN60stateenabled3.4項目設(shè)備規(guī)劃在企業(yè)網(wǎng)絡(luò)設(shè)備中的規(guī)劃中同時要考慮企業(yè)內(nèi)部發(fā)展的規(guī)模和企業(yè)的預(yù)算，另外還要達到企業(yè)規(guī)劃的要求，在企業(yè)內(nèi)部使用如下設(shè)備：核心機的企業(yè)三層交換機位于企業(yè)的核心環(huán)節(jié)，該交換機啟用銳捷網(wǎng)絡(luò)M6506-24GT/8SFP，這臺機器支持全雙工的功能且有vlan的轉(zhuǎn)換的工能，這樣可以使得數(shù)據(jù)轉(zhuǎn)換的更安全更穩(wěn)定。然后在企業(yè)內(nèi)部的防火墻使用的是JuniperSSG5，這臺機器具有地址轉(zhuǎn)換,防火墻等重要的安全管理內(nèi)容,VoIP安全性,vpn,防火墻和VPN用戶驗證,路由,封裝,流量管理(QoS),系統(tǒng)管理,日志記錄和監(jiān)視等重要的功能。且該款是企業(yè)傳統(tǒng)的防火墻，傳統(tǒng)的功能比較好。且在外部的網(wǎng)絡(luò)規(guī)劃中還有一臺路由器，上面也具有一些安全的功能。根據(jù)網(wǎng)絡(luò)規(guī)劃的考慮，該路由器選擇思科149/K9這臺路由器，這臺路由器支持IPv4、IPv6功能同時增強的IGRP(EIGRP)、邊界網(wǎng)關(guān)協(xié)議(BGP)、BGP路由反射器、中間系統(tǒng)到中間系統(tǒng)協(xié)議(IS-IS)、多播互聯(lián)網(wǎng)組管理協(xié)議(IGMPv3)稀疏模式獨立組播協(xié)議(PIMSM)、PIM源特定組播(SSM)、距離矢量組播路由選擇協(xié)議(DVMRP)、IPSect。另外該路由器內(nèi)部放置了一個小型的防火墻，該防火墻的存在更加安全的保護了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全可靠。在vpn的服務(wù)器的選擇上，主要選擇深信服vpn—1050，主要是該設(shè)備具備比較低的防火墻的吞吐量，同時該vpn同時最大可以同時產(chǎn)生7000個回話數(shù)，極大的滿足了公司的當(dāng)前的需求。另外在其他的服務(wù)器上可以選擇傳統(tǒng)的專屬服務(wù)器，這樣的服務(wù)器可以更穩(wěn)定的工作。為了減少企業(yè)對于設(shè)備的維護使用費用。為企業(yè)選擇的是IBMSystemx3100M4(2582B2C)。該服務(wù)器是IBM的傳統(tǒng)級服務(wù)器具有7x24小時穩(wěn)定工作服務(wù)，且在工作效率和服務(wù)方面完全適合企業(yè)的要求。同時該服務(wù)器上具有其他功能，這樣一款入門級的服務(wù)器很適合企業(yè)的需要了，且不同用途的服務(wù)器可以經(jīng)常的互換。另外在個人PC和網(wǎng)線的選擇中可以選用專門的5號線，這些線可以滿足企業(yè)的日常工作，要在樓宇之間的傳遞信號時通過轉(zhuǎn)換器使用超五類線來滿足企業(yè)的需求。

第四章浩淼公司的網(wǎng)絡(luò)安全安全性問題是伴隨著信息技術(shù)發(fā)展時時刻刻存在的問題，安全保護和破壞是當(dāng)今世界計算機網(wǎng)絡(luò)研究的重要課題，并且睡著信息化的發(fā)展不斷的增加?，F(xiàn)今階段對于企業(yè)的網(wǎng)絡(luò)安全研究更為突出，企業(yè)網(wǎng)絡(luò)黑客等的存在為網(wǎng)絡(luò)安全的維護提出很大的難度。一旦企業(yè)網(wǎng)絡(luò)安全出現(xiàn)問題不但把企業(yè)的生產(chǎn)核心資料盜走而且可能出現(xiàn)耽誤企業(yè)的生產(chǎn)，使得企業(yè)生產(chǎn)進程緩慢。同時在企業(yè)的外部的人員在訪問企業(yè)的信息時候得到的信息不準(zhǔn)確，從而很難對企業(yè)進行全面的了解，而且很可能打消企業(yè)的合作意向。從以上的意義來說加強企業(yè)網(wǎng)絡(luò)安全建設(shè)勢在必行，使得企業(yè)在生產(chǎn)風(fēng)險降到最低，以控制風(fēng)險成本。4.1企業(yè)門戶網(wǎng)站的安全維護企業(yè)的門戶網(wǎng)站是企業(yè)的形象，是客戶了解企業(yè)信息的第一部。企業(yè)門戶網(wǎng)站不能因為黑客的病毒等因素的攻擊而導(dǎo)致訪客的重要信息丟失，因此對企業(yè)的網(wǎng)絡(luò)安全的改造首先要從企業(yè)的門戶網(wǎng)站開始。根據(jù)資料顯示近幾年,各種網(wǎng)站包括企業(yè)和政府門戶網(wǎng)站,不斷的收到各種病毒的入侵和威脅,不但影響了企業(yè)和政府網(wǎng)站的安全運行,而且使得很多人不太相信網(wǎng)絡(luò)安全了,根據(jù)相關(guān)數(shù)據(jù)分析,近八成的網(wǎng)絡(luò)或多或少的存在著網(wǎng)絡(luò)安全問題。隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)的關(guān)注度和應(yīng)用越來越高。這樣企業(yè)的應(yīng)用就越來越廣。企業(yè)網(wǎng)站所受到的攻擊很多，但是對于企業(yè)來說，這些也正是網(wǎng)站最應(yīng)關(guān)注的防范對象：如網(wǎng)頁掛馬、拒絕服務(wù)、非法入侵和網(wǎng)頁篡改等。網(wǎng)站攻擊者通過五花八門的攻擊手段來對網(wǎng)路進行攻擊，而在這些攻擊中最主要的是對于應(yīng)用層面的攻擊。直接導(dǎo)致的惡性后果會使得用戶的信息丟失,降低網(wǎng)站的服務(wù)質(zhì)量,影響網(wǎng)站的形象和公眾任度?？梢?網(wǎng)站的安全防御工作是關(guān)系企業(yè)形象和企業(yè)網(wǎng)絡(luò)安全工作的重中之重。企業(yè)門戶網(wǎng)站不但是企業(yè)外部人員獲得企業(yè)部分信息的地方，而且是企業(yè)員工與企業(yè)高層管理人員進行交互的一個高級平臺，對于該平臺的防護尤其重要，對于企業(yè)外部的人員瀏覽的信息主要是通過垮褲攻擊、SQL、攻擊漏洞等方法來攻擊企業(yè)門戶網(wǎng)站，這些的攻擊手段對于企業(yè)來所一般都還是不是致命，這些手段主要是通過外部身份進行攻擊，可以用網(wǎng)絡(luò)維護進行解決，例如對于垮褲攻擊和SQL注入等手段可以利用新一代的防火墻進行維護，這種防火墻比傳統(tǒng)的防火墻就有著很強的功能，可以維護企業(yè)的安全而不受到垮褲和SQL注入手段的攻擊；可以對企業(yè)管理賬戶進行限制，用以防止企業(yè)防止惡意串改并且進行快速的回復(fù)，另外還要對外部敏感性的IP地址進行及時跟蹤，從而防止出現(xiàn)惡意的ip地址入侵對于企業(yè)外部的瀏覽的客戶要盡可能進行安全的防范，但是對于企業(yè)內(nèi)部員工的要進行很好的檢測，防止內(nèi)部的安全問題。對于企業(yè)內(nèi)部網(wǎng)絡(luò)安全問題主要是為了防止內(nèi)部員工的入侵，故最好的方法可以使用單點登錄的方式即SSO。企業(yè)的業(yè)務(wù)整合方案主要依靠的還是SSO這款比較流行的整合系統(tǒng)。在SSO中要求用戶在第一次瀏覽系統(tǒng)的時候系統(tǒng)要求用戶自動登陸，在用戶再次或下次瀏覽界面的時候，系統(tǒng)會自動根據(jù)第一次登陸時留下來的ticket進行認(rèn)證，這樣的ticket的比對會使得企業(yè)內(nèi)部的網(wǎng)絡(luò)安全達到提升。同時在ticket進行一個安全設(shè)置這樣會使得企業(yè)內(nèi)部的網(wǎng)絡(luò)信息更安全，這樣我們可以在ticket中，對內(nèi)部網(wǎng)絡(luò)的所用主機的IP地址和MAC地址進行安全綁定，并且綁定用戶的賬號和密碼，這樣使得用戶只能使用企業(yè)內(nèi)部的網(wǎng)絡(luò)進行對核心信息的瀏覽，從而使得內(nèi)部網(wǎng)絡(luò)安全風(fēng)險大大降低。同時在網(wǎng)絡(luò)的維護中不緊需要企業(yè)在風(fēng)險發(fā)生前的檢測，同時還需要在風(fēng)險發(fā)生后的快速恢復(fù)。風(fēng)險事后防護是抵御威脅與風(fēng)險的最后一套防御手段,積極應(yīng)對突發(fā)事件,提高企業(yè)網(wǎng)站的應(yīng)急處理能力,建立安全完善的鮭魚企業(yè)網(wǎng)絡(luò)的安全防護體系，使得企業(yè)安全防護響應(yīng)及時，解決企業(yè)安全問題。另外在企業(yè)中對防止SQL注入的方式對企業(yè)的網(wǎng)站進行入侵時企業(yè)防護的重中之重。例如在該企業(yè)進行網(wǎng)站和網(wǎng)絡(luò)布置的時候，在網(wǎng)絡(luò)調(diào)試階段，在網(wǎng)絡(luò)中的防火墻使用的是被動的模式，而被動模式只會監(jiān)視網(wǎng)站中的訪問而所有的防護攻擊都未被啟用。從而進入企業(yè)內(nèi)部的安全網(wǎng)絡(luò)，帶走了企業(yè)內(nèi)部的信息，造成了企業(yè)的重大的安全損失。我們從一些數(shù)據(jù)可以了解知道SQL是攻擊網(wǎng)站，進入企業(yè)內(nèi)部環(huán)境的最有效的方法。例如：Web應(yīng)用攻擊僅占全部數(shù)據(jù)泄露事件的54%，但被竊取的數(shù)據(jù)占92％；SQL注入攻擊僅占Web應(yīng)用攻擊的25%，但是被竊取的數(shù)據(jù)占89%。通過以上的數(shù)據(jù)進行檢測，我們可以知道企業(yè)網(wǎng)站泄露信息的主要有以下的幾個原因：1.

網(wǎng)站的PHP代碼存在錯誤2.

原本應(yīng)定期進行的代碼漏洞掃描被忽略，導(dǎo)致沒有及時發(fā)現(xiàn)PHP代碼問題3.web防火墻的安全維護功能沒有被企業(yè)網(wǎng)絡(luò)維護人員開啟。對有漏洞的代碼未加以保護。我們從企業(yè)的被攻擊開始，企業(yè)網(wǎng)絡(luò)攻擊如下：2011-04-1000:07:59GMT

第一個IP開始對網(wǎng)站主頁進行探測2011-04-1000:16:15GMT

攻擊者在嘗試了175個URL后找到了存在漏洞的URL，開始探測數(shù)據(jù)庫2011-04-1003:10:43GMT第二個IP地址開始對存在漏洞的URL進行探測2011-04-1010:10:00GMT攻擊開始，黑客試圖檢索數(shù)據(jù)庫用戶2011-04-1010:16:00GMT攻擊者放棄針對用戶的攻擊，轉(zhuǎn)而嘗試獲取數(shù)據(jù)庫的列表(list)和架構(gòu)(schema)2011-04-1010:19:00GMT攻擊者開始盜取數(shù)據(jù)2011-04-1017:30:00GMT

發(fā)現(xiàn)網(wǎng)站被攻擊2011-04-1017:37:00GMT

發(fā)現(xiàn)WEB應(yīng)用防火墻針的防護功能暫未開啟2011-04-1017:39:59GMT

開啟WEB應(yīng)用防火墻的防護功能，此后沒有再發(fā)現(xiàn)任何攻擊行為發(fā)生2011-04-1021:00:00GMT源自這些IP地址的攻擊不再進行停止我們分析以上的過程，看見該黑客的攻擊過程如下：首先，利用對公司的網(wǎng)站進行刺探，探查出SQL的漏洞，但是在這之后沒有繼續(xù)探查該網(wǎng)頁。另外在當(dāng)天晚上又有一個其他地區(qū)的ip地址登陸了該企業(yè)網(wǎng)站，利用該漏洞對企業(yè)網(wǎng)站進行攻擊。這只是手動攻擊，但是核心點任然是在企業(yè)網(wǎng)站的WEB站點進行漏洞的掃描。在擊中力量進行對非主頁的網(wǎng)站上的弱代碼進行了審查。從而獲得了用戶名：<?=Foo_Function($_GET[‘parameter’])?>。然后黑客對企業(yè)集中攻擊后臺數(shù)據(jù)庫Schema，這樣就截獲了企業(yè)大量的有效信息。這樣就可以對企業(yè)網(wǎng)絡(luò)中利用網(wǎng)站的漏洞對數(shù)據(jù)庫進行攻擊，從而獲得企業(yè)大量的信息。4.2客戶端與核心端之間的網(wǎng)絡(luò)安全策略在該企業(yè)網(wǎng)絡(luò)中的客戶端和核心端分別指的是企業(yè)外出人員和企業(yè)內(nèi)部的網(wǎng)絡(luò)架構(gòu)。企業(yè)外出人員主要是企業(yè)的銷售人員和售后服務(wù)人員，在企業(yè)的外出人員中為了保護企業(yè)的信息的安全而提高外出人員的信息安全主要是對vpn的安全。在VPN安全技術(shù)中,其中的關(guān)鍵技術(shù)無疑身份驗證。這其中IAS就是杰出的代表，IAS是Microsoft實施的遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)服務(wù)器和代理，允許集中管理用戶身份驗證、授權(quán)和記帳。IAS可用于驗證WindowsServer2003、WindowsNT®4.0或Windows2000

域控制器上數(shù)據(jù)庫中的用戶。IAS也被稱之為Internet驗證服務(wù)器,也稱為Radius服務(wù)器,Radius是一種工業(yè)標(biāo)準(zhǔn),IAS就是利用這個標(biāo)準(zhǔn)進行統(tǒng)一的身份驗證管理。當(dāng)企業(yè)網(wǎng)絡(luò)模型非常大,有許許多多的VPN服務(wù)器,就需要對這些VPN服務(wù)器進行集中的管理。因為如果沒有這種統(tǒng)一的管理,策略都要在每臺VPN服務(wù)器上單獨設(shè)置,日志也要在每臺VPN服務(wù)器上查看,因此需要配置一臺IAS服務(wù)器,讓所有的VPN服務(wù)器成為IAS服務(wù)器的客戶端。這樣每次用戶撥VPN時,VPN服務(wù)器都會把請求轉(zhuǎn)給IAS服務(wù)器,那么就可以實現(xiàn)在IAS進行統(tǒng)一身份驗證、管理、審核和查看日志等。這只是在技術(shù)對vpn進行了一定安全技術(shù)的加密，使得vpn更安全更便捷。同時在企業(yè)外出的員工的管理上，主要實行的是對用戶和密碼進行定期的更換并且使用MD5加密的算法。這樣才可以達到企業(yè)中有關(guān)于企業(yè)信息的上傳和下載，讓企業(yè)信息可以安全共享。即企業(yè)內(nèi)部的有關(guān)于消防車的數(shù)據(jù)和參數(shù)以及核心資料得到安全使用。在企業(yè)中要注意把企業(yè)內(nèi)部的各種服務(wù)器盡量不要放在一臺服務(wù)器軟件系統(tǒng)上，把這些服務(wù)器項目分開，這樣才能在一個服務(wù)器被攻陷的時候，才能更有效的保護其他的服務(wù)器。另外在一些服務(wù)器上雖然把各種版本服務(wù)器進行分開。但是也要注意千萬不要將內(nèi)網(wǎng)中的各種服務(wù)器連接在外網(wǎng)上，這樣黑客可以通過外部的入侵，使得本來不映射在外網(wǎng)中的服務(wù)器，映射到服務(wù)器上，主要是通過yyc寫的vIDC軟件。這樣就可以通過軟件使得企業(yè)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器等重要部件暴露在網(wǎng)絡(luò)中。這樣才可以使得企業(yè)網(wǎng)絡(luò)更安全。臺灣的最大的網(wǎng)絡(luò)游戲公司收到過這樣的入侵。在企業(yè)內(nèi)部的核心網(wǎng)絡(luò)環(huán)境具體指的是企業(yè)內(nèi)部的服務(wù)器等設(shè)備的安全防范措施。但對于服務(wù)器這樣的企業(yè)重要的設(shè)備，在企業(yè)內(nèi)部有著不可替代的作用，在企業(yè)內(nèi)部為了打造安全服務(wù)器的環(huán)境，不單單只是靠著一些防火墻就可以的。具體還需要從一下的一些方面進行進行安全防范。第一要對操作系統(tǒng)實時的按照正版進行升級，同時注意購買正版軟件。正版軟件的應(yīng)用可以不斷的對服務(wù)器操作和非法入侵進行實時的監(jiān)控。并且可以快速的同時工作人員進行快速反應(yīng)。同時我們要啟動日志記錄，日志主要記錄企業(yè)內(nèi)部網(wǎng)絡(luò)登陸者的IP地址、mac地址、登陸的日期和地點等等。這樣方便在服務(wù)器出現(xiàn)問題的時候可以快速的找到原因進行排除。第二定期檢查網(wǎng)絡(luò)和防火墻，這主要是為了定期檢查有沒有網(wǎng)絡(luò)SQL注入等安全危害的存在，同時確保防火墻只是有一個IP地址被外界能搜索到。這樣不但可以保證內(nèi)部和外界進行安全通信而且可以保證企業(yè)外部的人員難以確定要攻擊的IP地址。最后要最后對于服務(wù)器數(shù)據(jù)的安全備份，存儲在服務(wù)器上的數(shù)據(jù)對于公司來說說十分重要，要對公司的服務(wù)器中的數(shù)據(jù)每天定點的進行安全備份。通常要對備份的數(shù)據(jù)進行安全加密。這樣才能保證公司數(shù)據(jù)的私密性。第三要做好安全的防范措施，我們每個人都知道黑客的網(wǎng)絡(luò)攻擊主要是通過網(wǎng)絡(luò)的安全漏洞進行攻擊的。為了服務(wù)器的安全，我們要建立起安全的防護措施。應(yīng)該采用現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)如文件格式和操作系統(tǒng)等等來構(gòu)建服務(wù)器和計算機整體網(wǎng)絡(luò)，這樣才能保證服務(wù)器的安全。在企業(yè)的外出辦公人員和企業(yè)內(nèi)部網(wǎng)絡(luò)使用的員工中，對于防火墻的使用至關(guān)重要，在企業(yè)中防火墻是企業(yè)的安全衛(wèi)士，防火墻的維護是企業(yè)的重中之重。在對于防火墻的維護中我，我們不但要注意維護防火墻不要受到外網(wǎng)的安全攻擊，更需要維護不受到內(nèi)部企業(yè)用戶的攻擊。在企業(yè)內(nèi)部網(wǎng)絡(luò)的用戶，主要是通過以下幾種方式對企業(yè)服務(wù)器進行攻擊，第一首先要注意在企業(yè)內(nèi)部的防止ping命令的安全攻擊，在中型企業(yè)中如：天津勝美服飾有限公司中曾經(jīng)出現(xiàn)過這樣一種情況，由于企業(yè)網(wǎng)絡(luò)管理不當(dāng)，使得黑客把企業(yè)內(nèi)部的許多個人PC當(dāng)做了肉雞，這樣通過企業(yè)中泛紅攻擊，通過使用ping命令使得企業(yè)內(nèi)部網(wǎng)路的服務(wù)器和網(wǎng)關(guān)等這些的網(wǎng)絡(luò)中的安全設(shè)置很過都被攻擊的不能滿足服務(wù)器需要，CPU大量使用，使得CPU使用值虛擬偏高，使得企業(yè)中的服務(wù)器、網(wǎng)關(guān)、路由器等設(shè)備出現(xiàn)了當(dāng)機情況。這樣就會使得企業(yè)內(nèi)部出現(xiàn)了安全管理混亂，使得企業(yè)內(nèi)部的數(shù)據(jù)得到丟失。在這種情況下可以通過企業(yè)內(nèi)部的對于網(wǎng)絡(luò)中VLAN管理的個人服務(wù)器組和個人PC的域服務(wù)器進行安全設(shè)置，從而達到安全的狀態(tài)。因此在企業(yè)中進行網(wǎng)絡(luò)安全防護中不但要時刻小心企業(yè)外部的黑客通過入侵內(nèi)網(wǎng)的其他部件來間接入侵服務(wù)器而且要時刻注意不要把內(nèi)網(wǎng)中的服務(wù)器放在同一臺機器上，同時不要將網(wǎng)絡(luò)中的服務(wù)器映射在網(wǎng)絡(luò)中。這樣才能保持者浩淼公司的安全，使得企業(yè)網(wǎng)絡(luò)穩(wěn)定安全的發(fā)展。使得企業(yè)信息化達到安全水平。4.3預(yù)防惡意代碼的安全策略惡意代碼是指對我們?nèi)粘Ｋ玫拇a中對系統(tǒng)和網(wǎng)絡(luò)有害的代碼。根據(jù)惡意代碼的功能可將代碼分為：病毒、木馬、蠕蟲、惡意腳本和惡意插件等。惡意代碼主要是通過把系統(tǒng)的穩(wěn)定性和數(shù)據(jù)的安全性進行破壞來對來達到對系統(tǒng)和數(shù)據(jù)攻擊的作用。而惡意代碼的防范主要分為以下三個層面：網(wǎng)絡(luò)層面、主機層面和應(yīng)用層面。第一在這三個層面中，網(wǎng)絡(luò)層面屬于在防范中的第一道門檻，因為在惡意代碼在進入內(nèi)網(wǎng)后就會直接面對這主機和應(yīng)用程序。所以要在網(wǎng)絡(luò)的邊界處進行重點的防范，從而達到把風(fēng)險降低到最低的要求。所以在防范時應(yīng)該應(yīng)該從網(wǎng)絡(luò)邊界開始，注重檢查網(wǎng)絡(luò)邊界所接受到的網(wǎng)絡(luò)包，同時要對每個包進行拆分檢查。這樣可以很好的解決網(wǎng)絡(luò)層面的惡意代碼的威脅。例如在網(wǎng)絡(luò)發(fā)來的文件和代碼我們可以進行對代碼進行源碼分析、靜態(tài)分析和字符串分析等方面進行。源碼分析主要是對網(wǎng)絡(luò)中存在的網(wǎng)站或一些發(fā)來的語言中JavaScrip進行分析；而靜態(tài)分析主要是通過從查看程序內(nèi)存、輸入輸出模塊等來對網(wǎng)絡(luò)傳輸過來的代碼是否能轉(zhuǎn)變?yōu)楦呒壍恼Z言源代碼。這其中主要用到的工具有win32ASM、IDAPro等；在字符串的分析中主要是通過對數(shù)據(jù)庫或調(diào)用函數(shù)等中的字符串或者是ASC=2\*ROMANII進行比對。從而判斷有無惡意源代碼。第二在主機層面，主機層面在三個層面中占據(jù)著最基礎(chǔ)的位置，這主要是因為在防范網(wǎng)絡(luò)中的惡意代碼時，邊界上的防范不是萬能的。更多的網(wǎng)絡(luò)防范要在主機上進行。我們在主機上進行惡意代碼的防范主要是從以下進行的：同過及時更新軟件的惡意代碼庫來及時對主機進行維護，同時還要注意在主機上的防惡意代碼的軟件代碼庫和網(wǎng)絡(luò)上的防惡意代碼庫不同。這樣才能做到實時的互補和更新。第三在引用程序?qū)用?，主要是在程序在出廠檢測的時候要通過黑白盒的程序檢測。達到無明顯漏洞的效果。另外在防范惡意代碼的時候主要是通過以下幾點來進行對惡意代碼的防范：第一全面的評估網(wǎng)絡(luò)系統(tǒng)的安全性，通過預(yù)估由于系統(tǒng)不安全性而引發(fā)的不安全性。第二，我們都知道一個木桶所裝水的多少不取決與其木桶中最長的木板的長度，而是去決于最短木板的長度。正是因為如此我們要注意系統(tǒng)的安全聯(lián)防，減少系統(tǒng)的短板。在所有的惡意代碼的入口進行對惡意代碼的行檢測、阻止、清除。所以惡意代碼系統(tǒng)要做到全面的防止惡意代碼。第三要對對網(wǎng)絡(luò)進行安全全面的監(jiān)控和多種保護的全面協(xié)作。要求人員在對網(wǎng)絡(luò)系統(tǒng)安全隱患進行預(yù)警、排除，對緊急情況進行應(yīng)急處理。例如在浩淼消防公司中，啟用的是卡巴斯基專業(yè)的服務(wù)器版的防病毒木馬軟件，同時在網(wǎng)絡(luò)的邊界使用一些路由追蹤軟件，同時利用ACL—list技術(shù)來對邊界的路由進行保護，同時開啟防火墻的日志功能。對于有嫌疑的ip地址進行追蹤。另外在個人的PC中要禁止使用U盤等工具，在文件等進行傳輸時都要使用郵件。同時在個人的PC中在下班時要統(tǒng)一的斷電斷網(wǎng)。在企業(yè)網(wǎng)絡(luò)中收到惡意代碼的安全攻擊逐漸上升，根據(jù)企業(yè)調(diào)查報告顯示，在2011年中被惡意攻擊的網(wǎng)站大約為120萬個網(wǎng)站被攻擊，在2012年中逐漸上升。這意味著平均每3個月就有95%的用戶。因此建議企業(yè)用戶及時更新企業(yè)系統(tǒng)，使得企業(yè)網(wǎng)絡(luò)逐步安全。在江蘇有一家和浩淼公司相似的公司，這家叫捷達的汽車消防有限公司以前的網(wǎng)站受到過駭客的掛馬攻擊。根據(jù)分析可得，企業(yè)網(wǎng)站中存在的惡意代碼可以在用戶訪問網(wǎng)站后，再對個人pc進行攻擊。這樣的攻擊可以使得網(wǎng)絡(luò)中的很多計算機被感染。采用掛馬和惡意腳本的攻擊形式，以下載器為主，呈小幅上升趨勢。并且越臨近國慶，上升趨勢越明顯。近期典型的“下載器”為“變異體”變種bdj和“CVE-2010-0806”攻擊者。每天網(wǎng)絡(luò)掛馬的高峰期存在于上午11點和晚間21點，此時正是廣大企事業(yè)單位白天工作的黃金期和人們晚間生活娛樂的黃金時間。由此可見，駭客對網(wǎng)絡(luò)掛馬等惡意行為，做出了精心的準(zhǔn)備。這樣在該企業(yè)內(nèi)部的網(wǎng)絡(luò)中使用了禁止各人上傳和下載同時提醒公司的網(wǎng)絡(luò)用戶不要使用跳轉(zhuǎn)鏈接，同時在事故高發(fā)期間，盡量對網(wǎng)站是手動輸入，專業(yè)的網(wǎng)址，小心釣魚網(wǎng)站。同時在企業(yè)網(wǎng)站管理人員要注意適時監(jiān)控企業(yè)的網(wǎng)站的運行情況，注意企業(yè)網(wǎng)站是否被掛馬，同時在對企業(yè)內(nèi)部所發(fā)送的信息流進行檢查——即通過對發(fā)送的程序進行抓包分析，分析出企業(yè)內(nèi)部不正常的信息流的情況，從而在這些中注意防范惡意代碼對企業(yè)內(nèi)部網(wǎng)絡(luò)造成的傷害。使得企業(yè)安全發(fā)展。第五章浩淼消防公司的網(wǎng)絡(luò)安全管理現(xiàn)在網(wǎng)絡(luò)的規(guī)模不斷擴大，其結(jié)構(gòu)的復(fù)雜性不斷增加。同時一個網(wǎng)絡(luò)是由大大小小的子網(wǎng)組成的，不同的子網(wǎng)可能使用不同的設(shè)備。在另外一邊，用戶對網(wǎng)絡(luò)的要求正在逐步提高，現(xiàn)有的網(wǎng)絡(luò)管理方式已經(jīng)不能滿足企業(yè)的管理需求。這樣只有運用最新的管理方式才能滿足企業(yè)的需求。另外在該企業(yè)中，主要生產(chǎn)的產(chǎn)品是消防車，這樣的網(wǎng)絡(luò)要求不是很高。但是企業(yè)現(xiàn)在引進了新技術(shù)和新的研發(fā)團隊，在新技術(shù)的保密性方面要求更高。這樣沒有一個高效的網(wǎng)絡(luò)管理系統(tǒng)對企業(yè)的網(wǎng)絡(luò)運行方式進行安全有效的管理。在網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)管理協(xié)議是網(wǎng)絡(luò)管理中最重要的部分。網(wǎng)絡(luò)管理協(xié)議不但定義了被代管的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)管理系統(tǒng)之間的通信方式，而且還定義了有關(guān)在各種突發(fā)事件的處理方法和管理系統(tǒng)構(gòu)建信息庫的存儲結(jié)構(gòu)。目前最好的管理協(xié)議是SNMP和CMIS/CMIP。其中運用的最好的是SNMP協(xié)議，這種協(xié)議已經(jīng)有成為工業(yè)標(biāo)注的趨勢。簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）主要為了解決在Intenet上運行的路由器的管理問題，這樣就導(dǎo)致了很多的人認(rèn)為SNMP只是支持TCP/IP協(xié)議，但是SNMP協(xié)議不但支持TCP/IP協(xié)議，還支持IP、IPX、AppleTalk、OSI等網(wǎng)絡(luò)協(xié)議，而公共管理信息協(xié)議(CMIP)是由ISO制定的，這種協(xié)議只是為了支持OSI七層模型而定義的。CMIP采用報告機制，具有許多特殊的設(shè)施和能力，需要能力強的處理機和大容量的存儲器。就這樣而言網(wǎng)絡(luò)升級改造方案中選擇的是SNMP協(xié)議。5.1網(wǎng)絡(luò)管理的內(nèi)容網(wǎng)絡(luò)管理主要是通過對網(wǎng)絡(luò)的運行狀況進行及時的改進和變化使得網(wǎng)絡(luò)能良好、正常和高效的運行，從而使網(wǎng)絡(luò)可以順利的運行。這樣可以使得網(wǎng)絡(luò)在出現(xiàn)故障的時候可以得到及時的處理，從而保持網(wǎng)絡(luò)的高效的運行。在網(wǎng)絡(luò)管理中基本上要包含以下的幾個部分：故障管理、配置管理、性能管理、安全管理。5.1.1故障管理故障管理師網(wǎng)絡(luò)管理中最基礎(chǔ)的部分，當(dāng)故障發(fā)生時，我們應(yīng)該做到以下幾點：第一將出現(xiàn)網(wǎng)絡(luò)中的故障的部分隔離開其他的部分。第二盡快的快速修復(fù)網(wǎng)絡(luò)中出現(xiàn)故障的部分，使得企業(yè)盡快使用。對網(wǎng)絡(luò)中不同的部件進行檢測是網(wǎng)路管理的重要部分。對其中的網(wǎng)絡(luò)部件進行評判如果發(fā)生的情況不嚴(yán)重，就會出現(xiàn)在錯誤日志中，在日志中記錄然后再一起處理。但是對于故障嚴(yán)重的部件可以對其發(fā)出錯誤警報。通知管理人員及時進行維修，這樣才能及時的恢復(fù)部件的功能。5.1.2配置管理配置管理是網(wǎng)絡(luò)管理中的基本內(nèi)容之一。這是因為計算機的網(wǎng)絡(luò)是由許多邏輯結(jié)構(gòu)和物理結(jié)構(gòu)等構(gòu)成。在這些結(jié)構(gòu)中有許許多多參數(shù)和信息要求調(diào)節(jié)。網(wǎng)絡(luò)管理系統(tǒng)中必須有許多的方式方法和步驟來支持網(wǎng)絡(luò)中的設(shè)備的增減和維修，這樣才能使網(wǎng)絡(luò)有更有效的工作。配置管理功能至少應(yīng)包括識別被管理網(wǎng)絡(luò)的拓樸結(jié)構(gòu)、標(biāo)識網(wǎng)絡(luò)中的各種現(xiàn)象、自動修改指定設(shè)備的配置、動態(tài)維護網(wǎng)絡(luò)配置數(shù)據(jù)庫等內(nèi)容。5.1.3.性能管理性能管理的目的主要是在網(wǎng)絡(luò)能消耗最小的資源時，能保持網(wǎng)絡(luò)的連通性和傳遞性，并且達到網(wǎng)絡(luò)的最優(yōu)化的程度。監(jiān)測和控制是網(wǎng)絡(luò)管理的兩大功能，監(jiān)測是對網(wǎng)絡(luò)情況進行跟蹤，在該消防企業(yè)網(wǎng)絡(luò)設(shè)備改造方案中，企業(yè)中對于疑惑IP地址進行跟蹤，這樣才能保證網(wǎng)絡(luò)在出現(xiàn)故障前，將故障及時的去除，使得網(wǎng)絡(luò)的安全時間達到更長，使得網(wǎng)絡(luò)更可以長久的運行。網(wǎng)絡(luò)控制主要是對網(wǎng)絡(luò)中設(shè)備進行調(diào)整和輪換使得網(wǎng)絡(luò)保持在最優(yōu)狀態(tài)。在消防公司中進行著網(wǎng)絡(luò)的控制主要是對網(wǎng)絡(luò)中的不穩(wěn)定的數(shù)據(jù)流進行控制，要求達到企業(yè)要求的高效工作。從而從信息化中的得到最大的效益。從而在企業(yè)網(wǎng)絡(luò)要繼續(xù)升級的時候也是需要網(wǎng)絡(luò)控制環(huán)節(jié)，對網(wǎng)絡(luò)進行接入。5.1.4安全管理安全管理是對網(wǎng)絡(luò)中的重要資