企業(yè)局域網(wǎng)的組建與網(wǎng)站建設(shè)

企業(yè)局域網(wǎng)的組建與網(wǎng)站建設(shè)

摘要本文針對企業(yè)局域網(wǎng)在組建和網(wǎng)站建設(shè)中的各種實(shí)際問題，從原理和實(shí)際應(yīng)用上進(jìn)行分析，特別是網(wǎng)絡(luò)安全方面，列出了一些可能出現(xiàn)的安全因素，并給出解決辦法，對將要組建或正在建設(shè)局域網(wǎng)的企業(yè)具有一定的指導(dǎo)意義。

關(guān)鍵詞企業(yè)局域網(wǎng)；網(wǎng)絡(luò)組建；網(wǎng)站建設(shè)1需求分析

隨著互聯(lián)網(wǎng)應(yīng)用的普及，電子商務(wù)有了實(shí)質(zhì)性的進(jìn)展。對于一個企業(yè)來說，產(chǎn)品的介紹、銷售、技術(shù)服務(wù)和售后服務(wù)等越來越多地采用網(wǎng)絡(luò)的形式來完成，最主要的優(yōu)點(diǎn)是：方便、快捷和成本低廉。

目前小型企業(yè)往往采用在互聯(lián)網(wǎng)絡(luò)上申請主頁空間或采用網(wǎng)絡(luò)主機(jī)托管的方式，這種方式在應(yīng)用上很明顯有些不方便之處，所能提供的服務(wù)類型單一，并且資料數(shù)據(jù)都是放在別人的計算機(jī)上，讓別人來管理。對于大型企業(yè)和有機(jī)密數(shù)據(jù)的單位，往往不會采用這種方式，他們會在單位內(nèi)部建立自己的中心機(jī)房，組建自己的局域網(wǎng)，同時申請電信的寬帶和固定IP，這樣，形成內(nèi)外兩種網(wǎng)絡(luò)。如果，企業(yè)在異地有分支機(jī)構(gòu)，還可以通過VPN方式進(jìn)行安全通信。

對企業(yè)的需求進(jìn)行嚴(yán)格的分析，設(shè)計出實(shí)際可行的網(wǎng)站建設(shè)方案，在網(wǎng)站策劃階段，可從以下一些方面考慮定位：

（1）網(wǎng)站硬性指標(biāo)：您的網(wǎng)站是否能夠讓客戶很輕松、方便的登錄和記住，包括域名種類分布、域名品牌一致、網(wǎng)站語言版本、域名解析時間、請求響應(yīng)時間、主機(jī)連接時間、下載時間、HTML綜合質(zhì)量、圖片綜合質(zhì)量、首頁布局質(zhì)量、首頁信息類型等。

（2）網(wǎng)站推廣指標(biāo)：您的網(wǎng)站推廣是否能讓更多的客戶與您往來，包括搜索引擎排名、網(wǎng)站知名度、推廣方案設(shè)計等。

（3）網(wǎng)站服務(wù)指標(biāo)：客戶是否愿意與您往來，包括：您的回應(yīng)時間、目標(biāo)客戶、聯(lián)系層次、FAQ、幫助導(dǎo)航、服務(wù)流程、產(chǎn)品分類、產(chǎn)品描述、產(chǎn)品圖片、價格建議等。

（4）網(wǎng)站互動指標(biāo)：您與客戶的互動效果如何；包括：客戶回應(yīng)、解決時間、產(chǎn)品了解、客戶社區(qū)、客戶鑒別、客戶忠誠度、深化服務(wù)、需求調(diào)查等。2模塊設(shè)計

企業(yè)局域網(wǎng)可分為兩個模塊：企業(yè)互聯(lián)網(wǎng)模塊與企業(yè)局域網(wǎng)模塊。

1)企業(yè)互聯(lián)網(wǎng)模塊

企業(yè)互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接，同時也端接VPN與公共服務(wù)（DNS、HTTP、FTP、SMTP）信息流。

企業(yè)互聯(lián)網(wǎng)模塊為內(nèi)部用戶提供了與互聯(lián)網(wǎng)的連接并使用戶能夠通過互聯(lián)網(wǎng)訪問公共服務(wù)器上的信息，同時還為遠(yuǎn)程地點(diǎn)和遠(yuǎn)程工作人員提供了VPN訪問能力。

企業(yè)互聯(lián)網(wǎng)模塊涉及的關(guān)鍵設(shè)備有：SMTP服務(wù)器、DNS服務(wù)器、FTP／HTTP服務(wù)器、防火墻或防火墻路由器、第2層及以上交換機(jī)（支持專用VLAN）。

2)企業(yè)局域網(wǎng)模塊

企業(yè)局域網(wǎng)模塊包含第2層及以上交換功能與所有的用戶以及管理內(nèi)部網(wǎng)服務(wù)器。企業(yè)局域網(wǎng)模塊包含最終用戶工作站、公司內(nèi)部網(wǎng)服務(wù)器、管理服務(wù)器和支持這些設(shè)備所需的相關(guān)基礎(chǔ)設(shè)施、可網(wǎng)管的交換機(jī)等。3安全分析

1)企業(yè)互聯(lián)網(wǎng)模塊

擁有公共地址的服務(wù)器是最容易被攻擊的。以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅：未授權(quán)訪問、應(yīng)用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務(wù)、IP電子欺騙、分組竊聽、網(wǎng)絡(luò)偵察、信任關(guān)系利用、端口重定向等。

在小型VPN網(wǎng)絡(luò)設(shè)計中，該模塊堪稱為極至。VPN功能被壓縮入一個機(jī)箱，但依然執(zhí)行著路由選擇、NAT、IDS和防火墻功能。在確定如何實(shí)施該功能時，我們可使用帶防火墻和VPN功能的路由器。

這種選擇為小型網(wǎng)絡(luò)帶來了極大的靈活性，因?yàn)槁酚善鲗⒅С衷诋?dāng)今網(wǎng)絡(luò)中可能是不可或缺的所有高級服務(wù)。作為一種替代措施，可使用帶VPN的專用防火墻來取代路由器。這種設(shè)置給部署造成了一些限制。首先，防火墻通常都只是以太網(wǎng)，要求對相應(yīng)的WAN協(xié)議進(jìn)行一些轉(zhuǎn)換。在目前的環(huán)境中，大多數(shù)有線和DSL路由器/調(diào)制解調(diào)器都是由電信服務(wù)供應(yīng)商提供的，可用于連接以太網(wǎng)防火墻。如果設(shè)備要求WAN連接（如電信供應(yīng)商的DSL電路），那么，就必須使用路由器。使用專用防火墻不具備輕松配置安全性和VPN服務(wù)的優(yōu)勢，當(dāng)發(fā)揮防火墻功能時，可提供改進(jìn)性能。無論選用哪種設(shè)備，都要考慮一些VPN的因素。請注意，路由器傾向于允許信息流通過，而防火墻的缺省設(shè)置則傾向于阻止信息流通過。

從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預(yù)定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC2827過濾功能將防止針對本地網(wǎng)絡(luò)及專用地址的源地址電子欺騙。

防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細(xì)的過濾。擁有公共地址的服務(wù)器通過在防火墻上使用半開放連接限制能夠防止TCPSYN洪水。從過濾的角度講，除了將公共服務(wù)區(qū)域的信息流限定到相關(guān)地址和端口外，在相反的方向上也在進(jìn)行過濾。如果某個攻擊涉及到一個公共服務(wù)器（通過規(guī)避防火墻和基于主機(jī)的IDS），那么這個服務(wù)器應(yīng)該不會再進(jìn)一步攻擊網(wǎng)絡(luò)。為了緩解這種攻擊，具體的過濾將防止公共服務(wù)器向其他任何地點(diǎn)發(fā)出任何未授權(quán)請求。例如，應(yīng)該對Web服務(wù)器進(jìn)行過濾，以便使其不能自身產(chǎn)生請求，而只能回答來自客戶機(jī)的請求。這種設(shè)置有助于防止黑客在實(shí)施最初的攻擊后將更多的應(yīng)用下載到被破壞的機(jī)器。同時還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會話。

從主機(jī)的角度看，公共服務(wù)區(qū)域內(nèi)的每個服務(wù)器均擁有主機(jī)入侵檢測軟件，用于監(jiān)控OS級的任何不良活動以及普通服務(wù)器應(yīng)用的活動（HTTP、FTP、SMTP等）。DNS主機(jī)應(yīng)該只響應(yīng)必要的命令，同時消除任何可能有助于黑客的網(wǎng)絡(luò)偵察攻擊的不必要響應(yīng)。這包括防止從任何地點(diǎn)進(jìn)行zone傳輸（合格的二級DNS服務(wù)器除外）。在郵件服務(wù)方面，防火墻在第7層過濾SMTP信息，以便只允許必要的命令到達(dá)