畢業(yè)設(shè)計(中小型企業(yè)局域網(wǎng)組建與管理)_第1頁
畢業(yè)設(shè)計(中小型企業(yè)局域網(wǎng)組建與管理)_第2頁
畢業(yè)設(shè)計(中小型企業(yè)局域網(wǎng)組建與管理)_第3頁
畢業(yè)設(shè)計(中小型企業(yè)局域網(wǎng)組建與管理)_第4頁
畢業(yè)設(shè)計(中小型企業(yè)局域網(wǎng)組建與管理)_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

畢業(yè)論文《中小型企業(yè)局域網(wǎng)組建與管理》摘要在這信息化的時代,企業(yè)內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。企業(yè)局域網(wǎng)已經(jīng)越來越多地被人們提及,利用網(wǎng)絡(luò)技術(shù),現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通,這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競爭優(yōu)勢。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò),而其中絕大多數(shù)都是中小企業(yè)。相對于大型應(yīng)用群體而言,中小型企業(yè)的信息化建設(shè)工程通常有規(guī)模較小,結(jié)構(gòu)簡單的特點。綜合資金投入、專業(yè)人才以及未來發(fā)展等因素,局域網(wǎng)的實用性、安全性與拓展性(升級改造能力)是中小企業(yè)實現(xiàn)信息化建設(shè)的主要要求,因此,成本低廉、操作簡易、便于管理維護并能滿足業(yè)務(wù)運作需要的網(wǎng)絡(luò)辦公環(huán)境是這一領(lǐng)域的真正需求。本文以中小型企業(yè)內(nèi)部局域網(wǎng)的組建需求、實際管理為出發(fā)點,從中小型企業(yè)局域網(wǎng)的管理需求和傳統(tǒng)局域網(wǎng)技術(shù)入手,研究了局域網(wǎng)技術(shù)組建和管理在中小型企業(yè)中的應(yīng)用。關(guān)鍵字:中小企業(yè)組網(wǎng)案例網(wǎng)絡(luò)方案局域網(wǎng)網(wǎng)絡(luò)布局網(wǎng)絡(luò)安全目錄引言………………3一中小型企業(yè)網(wǎng)絡(luò)方案的主要特點與要求…………………3二中小型企業(yè)局域網(wǎng)需求分析及指標(biāo)………………4三企業(yè)局域網(wǎng)模塊設(shè)計……………5四局域網(wǎng)工程建設(shè)原則及軟硬件功能分析…………51建設(shè)原則…………52軟硬件功能分析………6五

網(wǎng)站設(shè)計和運行維護中應(yīng)注意事項……………7六典型中小型企業(yè)組網(wǎng)實例……………81案例描述……………………82硬件設(shè)備……………………83IP地址規(guī)劃…………………94網(wǎng)絡(luò)拓?fù)洹?5配置需求及解決方案……………………10七網(wǎng)絡(luò)布局和綜合布線…………………151網(wǎng)絡(luò)布局的原則………152網(wǎng)絡(luò)布局的具體實施要求………………163網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計…………………17八局域網(wǎng)的安全控制與病毒防治………191局域網(wǎng)安全威脅分析……………………192局域網(wǎng)的安全控制與病毒防治策略……21結(jié)論………………24參考文獻………………………24引言隨著計算機及局域網(wǎng)絡(luò)應(yīng)用的不斷深入,特別是各種計算機應(yīng)用系統(tǒng)被相繼應(yīng)用在實際工作中,各企業(yè)、各單位同外界信息媒體之間的相互交換和共享的要求日益增加。需要使各單位相互間真正做到高效的信息交換、資源的共享,為各單位人員提供準(zhǔn)確、可靠、快捷的各種生產(chǎn)數(shù)據(jù)和信息,充分發(fā)揮各單位現(xiàn)有的計算機設(shè)備的功能。為加強各公司內(nèi)各分區(qū)的業(yè)務(wù)和技術(shù)聯(lián)系,提高工作效率,實現(xiàn)資源共享,降低運作及管理成本,公司有必要建立企業(yè)內(nèi)部局域網(wǎng)。局域網(wǎng)要求建設(shè)基于TCP/IP協(xié)議和WWW技術(shù)規(guī)范的企業(yè)內(nèi)部非公開的信息管理和交換平臺,該平臺以WEB為核心,集成WEB、文件共享、信息資源管理等服務(wù)功能,實現(xiàn)公司員工在不同地域?qū)?nèi)部網(wǎng)的訪問。一中小型企業(yè)網(wǎng)絡(luò)方案的主要特點與要求中小企業(yè)局域網(wǎng)通常規(guī)模較小,結(jié)構(gòu)相對簡單,對性能的要求則因應(yīng)用的不同而差別較大。許多中小企業(yè)網(wǎng)絡(luò)技術(shù)人員較少,因而對網(wǎng)絡(luò)的依賴性很高,要求網(wǎng)絡(luò)盡可能簡單、可靠、易用,降低網(wǎng)絡(luò)的使用和維護成本、提高產(chǎn)品的性能價格比就顯得尤為重要?;谝陨咸攸c,應(yīng)遵循下列設(shè)計原則:1.把握好技術(shù)先進性與應(yīng)用簡易性之間的平衡。2.具有良好的升級擴展能力。3.具有較高的可靠性和安全性。4.產(chǎn)品功能與實際應(yīng)用需求相匹配。80%的中小企業(yè)用戶通常只用到局域網(wǎng)20%的功能。精簡功能設(shè)計的產(chǎn)品不但可以在滿足大多數(shù)需求的情況下有效降低成本,而且還能夠提高系統(tǒng)的穩(wěn)定性和易維護性。5.盡可能選擇成熟、標(biāo)準(zhǔn)化的技術(shù)和產(chǎn)品。恰當(dāng)運用以太網(wǎng)的不同標(biāo)準(zhǔn)和功能,以太網(wǎng)技術(shù)能夠在雙絞線、多模光纖、單模光纖等介質(zhì)上傳輸數(shù)據(jù),可以非常簡單地升級到百兆、千兆的速率,而且具有很高的穩(wěn)定性和可管理性。以太網(wǎng)提供了多種標(biāo)準(zhǔn)和功能。比如10Mbps、100Mbps、1000Mbps不同速率的標(biāo)準(zhǔn),雙絞線、光纖等不同介質(zhì)的標(biāo)準(zhǔn),以及網(wǎng)絡(luò)管理、流量控制、VLAN、優(yōu)先級、鏈路聚合等功能。二中小型企業(yè)局域網(wǎng)需求分析及指標(biāo)

隨著互聯(lián)網(wǎng)應(yīng)用的普及,電子商務(wù)有了實質(zhì)性的進展。對于一個企業(yè)來說,產(chǎn)品的介紹、銷售、技術(shù)服務(wù)和售后服務(wù)等越來越多地采用網(wǎng)絡(luò)的形式來完成,最主要的優(yōu)點是:方便、快捷和成本低廉。

目前中小型企業(yè)往往采用在互聯(lián)網(wǎng)絡(luò)上申請主頁空間或采用網(wǎng)絡(luò)主機托管的方式,這種方式在應(yīng)用上很明顯有些不方便之處,所能提供的服務(wù)類型單一,并且資料數(shù)據(jù)都是放在別人的計算機上,讓別人來管理。對于大型企業(yè)和有機密數(shù)據(jù)的單位,往往不會采用這種方式,他們會在單位內(nèi)部建立自己的中心機房,組建自己的局域網(wǎng),同時申請電信的寬帶和固定IP,這樣,形成內(nèi)外兩種網(wǎng)絡(luò)。如果,企業(yè)在異地有分支機構(gòu),還可以通過VPN方式進行安全通信。

對企業(yè)的需求進行嚴(yán)格的分析,設(shè)計出實際可行的網(wǎng)站建設(shè)方案,在網(wǎng)站策劃階段,可從以下一些方面考慮定位:

(1)網(wǎng)站硬性指標(biāo):您的網(wǎng)站是否能夠讓客戶很輕松、方便的登錄和記住,包括域名種類分布、域名品牌一致、網(wǎng)站語言版本、域名解析時間、請求響應(yīng)時間、主機連接時間、下載時間、HTML綜合質(zhì)量、圖片綜合質(zhì)量、首頁布局質(zhì)量、首頁信息類型等。

(2)網(wǎng)站推廣指標(biāo):您的網(wǎng)站推廣是否能讓更多的客戶與您往來,包括搜索引擎排名、網(wǎng)站知名度、推廣方案設(shè)計等。

(3)網(wǎng)站服務(wù)指標(biāo):客戶是否愿意與您往來,包括:您的回應(yīng)時間、目標(biāo)客戶、聯(lián)系層次、FAQ、幫助導(dǎo)航、服務(wù)流程、產(chǎn)品分類、產(chǎn)品描述、產(chǎn)品圖片、價格建議等。

(4)網(wǎng)站互動指標(biāo):您與客戶的互動效果如何;包括:客戶回應(yīng)、解決時間、產(chǎn)品了解、客戶社區(qū)、客戶鑒別、客戶忠誠度、深化服務(wù)、需求調(diào)查等。

三企業(yè)局域網(wǎng)模塊設(shè)計

企業(yè)局域網(wǎng)可分為兩個模塊:企業(yè)互聯(lián)網(wǎng)模塊與企業(yè)局域網(wǎng)模塊。

1)企業(yè)互聯(lián)網(wǎng)模塊

企業(yè)互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接,同時也端接VPN與公共服務(wù)(DNS、、FTP、SMTP)信息流。

企業(yè)互聯(lián)網(wǎng)模塊為內(nèi)部用戶提供了與互聯(lián)網(wǎng)的連接并使用戶能夠通過互聯(lián)網(wǎng)訪問公共服務(wù)器上的信息,同時還為遠程地點和遠程工作人員提供了VPN訪問能力。

企業(yè)互聯(lián)網(wǎng)模塊涉及的關(guān)鍵設(shè)備有:SMTP服務(wù)器、DNS服務(wù)器、FTP/服務(wù)器、防火墻或防火墻路由器、第2層及以上交換機(支持專用VLAN)。

2)企業(yè)局域網(wǎng)模塊

企業(yè)局域網(wǎng)模塊包含第2層及以上交換功能與所有的用戶以及管理內(nèi)部網(wǎng)服務(wù)器。

企業(yè)局域網(wǎng)模塊包含最終用戶工作站、公司內(nèi)部網(wǎng)服務(wù)器、管理服務(wù)器和支持這些設(shè)備所需的相關(guān)基礎(chǔ)設(shè)施、可網(wǎng)管的交換機等。

四局域網(wǎng)工程建設(shè)原則及軟硬件功能分析1建設(shè)原則

⑴實用性:網(wǎng)絡(luò)建設(shè)從應(yīng)用實際需求出發(fā),堅持為領(lǐng)導(dǎo)決策服務(wù),為經(jīng)營管理服務(wù),為生產(chǎn)建設(shè)服務(wù)。

⑵先進性:采用成熟的先進技術(shù),兼顧未來的發(fā)展趨勢,即量力而行,又適當(dāng)超前,留有發(fā)展余地。

⑶可靠性:確保網(wǎng)絡(luò)可靠運行,在網(wǎng)絡(luò)的關(guān)鍵部分應(yīng)具有容錯能力。

⑷安全性:提供公共網(wǎng)絡(luò)連接、通信鏈路、服務(wù)器等全方位的安全管理系統(tǒng)。

⑸開放性:采用國際標(biāo)準(zhǔn)通信協(xié)議、標(biāo)準(zhǔn)操作系統(tǒng)、標(biāo)準(zhǔn)網(wǎng)管軟件、采用符合標(biāo)準(zhǔn)的設(shè)備,保證整個系統(tǒng)具有開放特點,增強與異機種、異構(gòu)網(wǎng)的互聯(lián)能力。

⑹可擴展性:系統(tǒng)便于擴展,保證前期的投資的有效性與后期投資的連續(xù)性。

2軟硬件功能分析

(1)路由器

就企業(yè)局域網(wǎng)網(wǎng)絡(luò)而言,由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內(nèi)部,對路由器的性能要求不高,因此,可以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡(luò)的應(yīng)用,考慮的一個主要因素是端口數(shù)量,另外還要看包交換能力和NAT轉(zhuǎn)換能力。中端路由器適用大中型辦公網(wǎng)絡(luò),選用的原則也是考慮端口支持能力、包交換能力和NAT轉(zhuǎn)換能力。

在這里值得進一步說明的是,如果讓內(nèi)部計算機直接通過路由器訪問外部網(wǎng)絡(luò),必須做NAT轉(zhuǎn)換,當(dāng)并發(fā)連接較大時,做NAT轉(zhuǎn)換非常占資源,最好考慮有帶NAT模塊的路由器或?qū)iT的NAT設(shè)備。

(2)交換機

工作組交換機采用可網(wǎng)管交換機,實現(xiàn)對每臺接入計算機的控制,實現(xiàn)VLAN(虛擬網(wǎng))的劃分,確保最大限度的網(wǎng)絡(luò)訪問安全。骨干交換機采用擁有千兆端口的可網(wǎng)管交換機實現(xiàn)與中心交換機的高速連接,避免可能產(chǎn)生的網(wǎng)絡(luò)瓶頸。中心交換機采用三層交換機,實現(xiàn)VLAN間的線速轉(zhuǎn)發(fā),并借助訪問列表控制計算機接入和網(wǎng)絡(luò)服務(wù),搭建高安全性和可用性網(wǎng)絡(luò)。

(3)防火墻

防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計算機平臺的軟件產(chǎn)品,它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨進行設(shè)計,有專用網(wǎng)絡(luò)芯片處理數(shù)據(jù)包。同時,采用專門的操作系統(tǒng)平臺,從而避免通用操作系統(tǒng)的安全性漏洞。并且對軟硬件的特殊要求使硬件防火墻的實際帶寬與理論值基本一致,有著高吞吐量、安全與速度兼顧的優(yōu)點。

(4)服務(wù)器

服務(wù)器應(yīng)該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網(wǎng)和管理功能強等特點。

WWW服務(wù)器:是網(wǎng)絡(luò)運行的核心服務(wù)器,通常兼作域名服務(wù)器、FTP服務(wù)器。訪問量大,根據(jù)企業(yè)規(guī)模大小,采用適合自己規(guī)模的服務(wù)器。一般對于800個信息點以下的企業(yè),通??刹捎弥С侄郈PU的頂級PC服務(wù)器和低端專業(yè)服務(wù)器。

郵件服務(wù)器:可采用跟WWW服務(wù)器性能相當(dāng)?shù)姆?wù)器就行了。

OA辦公服務(wù)器或內(nèi)部視頻會議服務(wù)器:必須根據(jù)各種系統(tǒng)由軟件提供商來定,包括服務(wù)器檔次、操作系統(tǒng)種類等。

數(shù)據(jù)服務(wù)器:應(yīng)根據(jù)數(shù)據(jù)量的多少、數(shù)據(jù)的重要程度和訪問的頻繁程度,可采用帶Raid功能的雙硬盤服務(wù)器或?qū)iT的數(shù)據(jù)存儲設(shè)備。

(5)公網(wǎng)IP地址數(shù)

由于對外服務(wù)器要求有固定的公網(wǎng)IP地址,路由器也要求有固定的公網(wǎng)IP地址,以及NAT地址池也需要有固定的公網(wǎng)IP地址,因此,必須向ISP提供商申請一定數(shù)量的公網(wǎng)IP地址,對于小型網(wǎng)絡(luò)來講,8個勉強可以,對于中大型局域網(wǎng)來說,要求16個以上才能夠用。

網(wǎng)站設(shè)計和運行維護中應(yīng)注意事項(1)網(wǎng)站僅僅停留在發(fā)布企業(yè)形象和產(chǎn)品信息上

網(wǎng)站架設(shè)應(yīng)從網(wǎng)絡(luò)營銷角度出發(fā)。換句話說,是否可以透過網(wǎng)絡(luò),在現(xiàn)有營銷通路以外,提供一個企業(yè)與消費者之間直接接觸與溝通的渠道,提供企業(yè)另一種銷售模式機會。因此,傳統(tǒng)產(chǎn)業(yè)要的網(wǎng)站,應(yīng)該從營銷主管角度優(yōu)先思索。第二個角度就是從管理角度去思索,例如公司在全省擁有許多營業(yè)網(wǎng)點或分公司,各種網(wǎng)點之間的公文傳遞或資源分配是否可以透過網(wǎng)站,以提高經(jīng)營績效。(2)在頁面中應(yīng)避免塞滿圖片、Java程序、Flash、音樂等

其實就目前上網(wǎng)速度來看,網(wǎng)頁如果加上太多的FLASH或FLAME,或掛上太多圖片,勢必影響傳輸速度,這樣對普遍缺乏信心的客戶而言,很容易就因為不愿耐心等候下載完畢,而選擇中途跳開。如此一來,再漂亮的網(wǎng)頁也不會有人看!

一個干干凈凈、條理分明的網(wǎng)頁比較容易閱讀,客戶可以在很短時間找到他要的信息,不必被太多視覺污染所干擾。所以企業(yè)的網(wǎng)頁不需要太多美工,因為要看漂亮的圖片,客戶自然有合適網(wǎng)站可以上,不必浪費客戶下載的時間與金錢。

(3)很長時間都不更新一次

如果一個網(wǎng)站的資料幾個月不更新一次,請問誰會有興趣上這個網(wǎng)站?當(dāng)然資料更新與維護需要成本,因為我們不是在做一個入口網(wǎng)站或?qū)I(yè)網(wǎng)站,也不需要每天更新;如果能做到每周更新或每兩周更新,并在網(wǎng)站上注明更新時間或預(yù)告下次更新時間,將有助于告知客戶何時可以上網(wǎng)來取得最新資訊。另外所謂活網(wǎng)站的“活”,系指需具備與客戶互動機制,例如郵件列表系統(tǒng)、留言板或客服系統(tǒng)等。同時對于客戶所提意見的處理,也需及時,不能讓客戶對網(wǎng)站失去信心!六典型中小企業(yè)組網(wǎng)實例1案例描述典型中小企業(yè)組網(wǎng)實例,申請一個公網(wǎng)IP和10M帶寬,單臺路由器,WEB服務(wù)器,文件服務(wù)器,F(xiàn)TP服務(wù)器等,客戶端辦公電腦100臺左右,多部門劃分VLAN,用ACL控制各部門訪問權(quán)限,配置網(wǎng)絡(luò)打印機。2硬件設(shè)備序號設(shè)備名稱規(guī)格單位數(shù)量單價(元)合價(元)1交換機Cisco4503Cisco2960-48t臺臺1274009300260002路由器Cisco2821臺114500145003防火墻NokiaIP355計75000CiscoCatalyst4500系列能夠為無阻礙的第2/3/4層交換提供集成式彈性,因而能進一步加強對融合網(wǎng)絡(luò)的控制。可用性高的融合語音/視頻/數(shù)據(jù)網(wǎng)絡(luò)能夠為正在部署基于互聯(lián)網(wǎng)企業(yè)應(yīng)用的企業(yè)和城域以太網(wǎng)客戶提供業(yè)務(wù)彈性。4500系列中提供的集成式彈性增強包括1+1超級引擎冗余、集成式IP電源、基于軟件的容錯以及1+1電源冗余。硬件和軟件中的集成式冗余性能夠縮短停機時間,從而提高生產(chǎn)率、利潤率和客戶成功率。是用于公司企業(yè)網(wǎng)絡(luò)交換機群核心層高性價比的一系列。CiscoWS-C2960-48T擁有大數(shù)量的接口,全智能自動全雙工半雙工識別,具有用于接入層交換機的良好優(yōu)勢。能夠快速轉(zhuǎn)發(fā)用戶的數(shù)據(jù)。Cisco2821是一臺多業(yè)務(wù)路由器,比較適合中小型企業(yè)的需求與應(yīng)用。NokiaIP355是一款應(yīng)用于中小型企業(yè)的防火墻產(chǎn)品,能夠進行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),服務(wù)器RFC2068,SSL/TLSRFC2246,命令行運用的管理和對流量的過濾,對于中小型的安全問題防護性能比較良好。3IP地址規(guī)劃部門IP地址公網(wǎng)地址路由器內(nèi)部IP核心交換外部IPWeb服務(wù)器Ftp服務(wù)器文件服務(wù)器網(wǎng)絡(luò)打印機財務(wù)部172.16.設(shè)計部市場部4網(wǎng)絡(luò)拓?fù)?配置需求及解決方案為了直觀方便,配置需求全部在配置命令中加以單點說明,并且配置命令量大反復(fù),這里只列出重點命令。(1)配置Router:接口:interfacefastethernet0/1ipaddress172.16duplexautospeedautoipnatinsidenoshutdowninterfacefastethernet0/2ipaddress221.195.66duplexautospeedautoipnatoutsidenoshutdown路由:iproute17過載:ipnatinsidesourcelist110interfaceFastEthernet0/2overloadaccess-list110permitip55any(2)配置Coreswitch:VTP:VTPVersion:2ConfigurationRevision:7MaximumVLANssupportedlocally:1005NumberofexistingVLANs:9VTPOperatingMode:ServerVTPDomainName:OAVTPPruningMode:DisabledVTPV2Mode:EnabledVTPTrapsGeneration:EnabledVLAN:core-sw#vlandatabase進入vlan配置模式core-sw(vlan)#vtpdomainOA設(shè)置vtp管理域名稱OAcore-sw(vlan)#vtpserver設(shè)置交換機為服務(wù)器模式core-sw(vlan)#vlan10nameshichang創(chuàng)建VLAN10,為市場部core-sw(vlan)#vlan11namecaiwu創(chuàng)建VLAN10,為財務(wù)部core-sw(vlan)#vlan12namesheji創(chuàng)建VLAN12,為設(shè)計部core-sw(vlan)#vlan13namenetprinter創(chuàng)建VLAN13,為網(wǎng)絡(luò)打印機core-sw(vlan)#vlan20nameserver創(chuàng)建VLAN20,為服務(wù)器組core-sw(config)#interfacevlan10core-sw(config-if)#ipaddress172.16.42core-sw(config)#interfacevlan11core-sw(config-if)#ipaddress172.16.40core-sw(config)#interfacevlan12core-sw(config-if)#ipaddress172.16.41core-sw(config)#interfacevlan13core-sw(config-if)#ipaddress172.16.30core-sw(config)#interfacevlan20core-sw(config-if)#ipaddress172.16將接入層SW上的端口根據(jù)需要劃分至各個VLAN(3)配置ACL:配置ACL應(yīng)用在各個部門VLAN接口上,控制各部門互訪access-list10permit172.16access-list10permit172.16.30access-list10deny172.16access-list10permitany進入vlan10ipaccess-group10out把訪問控制列表10應(yīng)用于VLAN10OUT方向上,市場部內(nèi)部可以互訪,可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段,但不能訪問財務(wù)部和設(shè)計部所在網(wǎng)段。access-list11permit172.16access-list11permit172.16.30access-list11permit172.16.42access-list11deny172.16access-list11permitany進入vlan11ipaccess-group11out把訪問控制列表11應(yīng)用在VLAN11OUT方向上,財務(wù)部內(nèi)部可以互訪問,可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)絡(luò),可以訪問市場部網(wǎng)段,但不能訪問設(shè)計部網(wǎng)段。設(shè)計部VLAN12,網(wǎng)絡(luò)打印機VLAN13,服務(wù)器VLAN20可以訪問任意網(wǎng)段,應(yīng)用訪問控制列表access-list110在in的方向上,封掉常見病毒端口。access-list110denytcpanyanyeq1068access-list110denytcpanyanyeq2046access-list110denyudpanyanyeq2046access-list110denytcpanyanyeq4444access-list110denyudpanyanyeq4444access-list110denytcpanyanyeq1434access-list110denyudpanyanyeq1434access-list110denytcpanyanyeq5554access-list110denytcpanyanyeq9996access-list110denytcpanyanyeq6881access-list110denytcpanyanyeq6882access-list110denytcpanyanyeq16881access-list110denyudpanyanyeq5554access-list110denyudpanyanyeq9996access-list110denyudpanyanyeq6881access-list110denyudpanyanyeq6882access-list110denyudpanyanyeq16881access-list110permitipanyany可以根據(jù)實際需要將此ACL應(yīng)用于任一接口,或者添加一些屏蔽軟件的端口,達到管理內(nèi)部員工的目的,也可以用局域網(wǎng)內(nèi)部的管理軟件,更加直接方便,并且易于操作。(4)配置FTP服務(wù)器:用IIS架設(shè)(IIS只適用于WindowNT/2000/XP操作系統(tǒng))。安裝:WindowXP默認(rèn)安裝時不安裝IIS組件,需要手工添加安裝。進入控制面板,找到“添加/刪除程序”,打開后選擇“添加/刪除Window組件”,在彈出的“Window組件向?qū)А贝翱谥?,將“Internet信息服務(wù)(IIS)”項選中。在該選項前的“√”背景色是灰色的,這是因為WindowXP默認(rèn)并不安裝FTP服務(wù)組件。再點擊右下角的“詳細(xì)信息”,在彈出的“Internet信息服務(wù)(IIS)”窗口中,找到“文件傳輸協(xié)議(FTP)服務(wù)”,選中后確定即可。安裝完后需要重啟。WindowNT/2000和WindowXP的安裝方法相同。設(shè)置:電腦重啟后,F(xiàn)TP服務(wù)器就開始運行了,但還要進行一些設(shè)置。點擊“開始→所有程序→管理工具→Internet信息服務(wù)”,進入“Internet信息服務(wù)”窗口后,找到“默認(rèn)FTP站點”,右擊鼠標(biāo),在彈出的右鍵菜單中選擇“屬性”。在“屬性”中,我們可以設(shè)置FTP服務(wù)器的名稱、IP、端口、訪問賬戶、FTP目錄位置、用戶進入FTP時接收到的消息等。FTP站點基本信息:進入“FTP站點”選項卡,其中的“描述”選項為該FTP站點的名稱,用來稱呼你的服務(wù)器,這里設(shè)置名稱為“FTP服務(wù)器”;“IP地址”為服務(wù)器的IP,設(shè)置為;“TCP端口”一般仍設(shè)為默認(rèn)的21端口;“連接”選項用來設(shè)置允許同時連接服務(wù)器的用戶最大連接數(shù);“連接超時”用來設(shè)置一個等待時間,如果連接到服務(wù)器的用戶在線的時間超過等待時間而沒有任何操作,服務(wù)器就會自動斷開與該用戶的連接。設(shè)置賬戶及其權(quán)限:很多FTP站點都要求用戶輸入用戶名和密碼才能登錄,這個用戶名和密碼就叫賬戶。不同用戶可使用相同的賬戶訪問站點,同一個站點可設(shè)置多個賬戶,每個賬戶可擁有不同的權(quán)限,如有的可以上傳和下載,而有的則只允許下載。安全設(shè)定:進入“安全賬戶”選項卡,有“允許匿名連接”和“僅允許匿名連接”兩項,默認(rèn)為“允許匿名連接”,此時FTP服務(wù)器提供匿名登錄?!皟H允許匿名連接”是用來防止用戶使用有管理權(quán)限的賬戶進行訪問,選中后,即使是Administrator(管理員)賬號也不能登錄,F(xiàn)TP只能通過服務(wù)器進行“本地訪問”來管理。至于“FTP站點操作員”選項,是用來添加或刪除本FTP服務(wù)器具有一定權(quán)限的賬戶。IIS與其他專業(yè)的FTP服務(wù)器軟件不同,它基于Window用戶賬號進行賬戶管理,本身并不能隨意設(shè)定FTP服務(wù)器允許訪問的賬戶,要添加或刪除允許訪問的賬戶,必須先在操作系統(tǒng)自帶的“管理工具”中的“計算機管理”中去設(shè)置Window用戶賬號,然后再通過“安全賬戶”選項卡中的“FTP站點操作員”選項添加或刪除。但對于Window2000和WindowXP專業(yè)版,系統(tǒng)并不提供“FTP站點操作員”賬戶添加與刪除功能,只提供Administrator一個管理賬號。設(shè)置用戶登錄目錄:最后設(shè)置FTP主目錄(即用戶登錄FTP后的初始位置),進入“主目錄”選項卡,在“本地路徑”中選擇好FTP站點的根目錄,并設(shè)置該目錄的讀取、寫入、目錄訪問權(quán)限。設(shè)置完成后,F(xiàn)TP服務(wù)器就算建成了。七網(wǎng)絡(luò)布局和綜合布線公司組網(wǎng),我們不僅要從企業(yè)本身的實際需求出發(fā),根據(jù)組網(wǎng)經(jīng)費的多少來務(wù)實地規(guī)劃與設(shè)計網(wǎng)絡(luò);在采購好網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備后,如何對機房、辦公地點進行合理的網(wǎng)絡(luò)布局與布線,是致關(guān)重要的。網(wǎng)絡(luò)布局主要是指機房里的網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)備如何放置,它們又與網(wǎng)絡(luò)布線如何相處,總之網(wǎng)絡(luò)布局要考慮周全。1網(wǎng)絡(luò)布局的原則(1)實用性企業(yè)組建的局域網(wǎng)應(yīng)當(dāng)根據(jù)機房的大小、設(shè)備的多少來具體實施,根據(jù)網(wǎng)絡(luò)布線的特點來發(fā)揮網(wǎng)絡(luò)布局實用性是非常重要的。(2)全面性組網(wǎng)過程中,網(wǎng)絡(luò)、服務(wù)器等設(shè)備放置位置應(yīng)當(dāng)統(tǒng)籌兼顧,網(wǎng)絡(luò)布局要考慮周全,盡量讓各種設(shè)備和布線系統(tǒng)處于合理的位置。(3)可靠性組網(wǎng)無論怎樣布局,最終的目的是保證我們的局域網(wǎng)的所有設(shè)備能可靠穩(wěn)定地運行,使得網(wǎng)絡(luò)能正常運轉(zhuǎn)。(4)便于維護與升級網(wǎng)絡(luò)的組網(wǎng)不是一成不變的,隨著IT企業(yè)業(yè)務(wù)的不斷發(fā)展的需求,原先組建的局域網(wǎng)就需要不斷地完善和擴充;在日常的網(wǎng)絡(luò)運行維護中,規(guī)劃網(wǎng)絡(luò)布局時就應(yīng)該考慮到便于以后網(wǎng)絡(luò)的維護與升級操作。2網(wǎng)絡(luò)布局的具體實施要求對于有線局域網(wǎng)來說,這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中,經(jīng)常會遇到的,需要對機房和辦公大樓進行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到機房的設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計好機房、布線系統(tǒng),然后再全面地考慮網(wǎng)絡(luò)的布局。(1)機房的規(guī)劃與設(shè)計為了確保網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行,以及保障機房工作人員有良好的工作環(huán)境,做到技術(shù)先進、經(jīng)濟合理、安全適用、確保質(zhì)量,符合國家有關(guān)的機房設(shè)計規(guī)定。a防靜電靜電不僅會對計算機運行出現(xiàn)隨機故障,而且還會導(dǎo)致某些元器件,雙級性電路等的擊穿和毀壞。此外,還會影響操作人員和維護人員的正常的工作和身心健康。b防火、防盜計算機房在設(shè)計時,重點要考慮機房的消防滅火設(shè)計。設(shè)計時可以根據(jù)消防防火級別來確定機房的設(shè)計方案,計算機房火災(zāi)報警要求在一樓設(shè)有值班室或監(jiān)控點。機房里應(yīng)注意防盜設(shè)施的安裝,具體地可采用防盜門、防盜鎖、警衛(wèi)、自動報警系統(tǒng)等等。c防雷由于機房通信和供電電纜多從室外引入機房,易遭受雷電的侵襲,機房的建筑防雷設(shè)計尤其重要。計算機通信電纜的芯線,線均應(yīng)加裝避雷器。d保濕、保溫機房里的濕度應(yīng)保持在20%-80%為宜,機房的溫度應(yīng)保持在15℃-35℃攝氏度,安裝空調(diào)來調(diào)節(jié)溫度是解決此問題最好的辦法。(2)布線系統(tǒng)的規(guī)劃與設(shè)計有了好的機房,網(wǎng)絡(luò)設(shè)備就有了好的“家”,組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來,確保網(wǎng)絡(luò)的正常運行。如果企業(yè)的接入點較多,我們可以采取接入層、匯聚層、交換層三個網(wǎng)絡(luò)層次的設(shè)計,在此基礎(chǔ)上進行布線系統(tǒng)。對于接入層來說,選擇一個合理的接入設(shè)備,是最關(guān)鍵的,而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個局域網(wǎng)的核心部分,匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能,方便我們的管理和維護,方便以后我們的網(wǎng)絡(luò)升級和改造。交換層是整個網(wǎng)絡(luò)中的中間層,連接著匯聚層和網(wǎng)絡(luò)節(jié)點,是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及,我們交換層的網(wǎng)絡(luò)設(shè)備,肯定首選百兆。布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時,最好使用專門的通道,而且不要與電源線,空調(diào)線等具有輻射的線路混合布線。接入層與匯聚層之間的雙絞線,可以選擇超五類屏蔽雙絞線,以使網(wǎng)絡(luò)性能得到最大的提升。匯聚層與交換層之間的雙絞線,由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個層次,同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點之間,我們就可以采用普通的超五類非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置,最好放在節(jié)點的中央位置,這樣做,不是為了節(jié)約綜合布線的成本,而是為了提高網(wǎng)絡(luò)的整體性能,提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳輸距離是100米,在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時,最好能夠設(shè)計一個設(shè)備間,放置網(wǎng)絡(luò)設(shè)備。3網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計目前的網(wǎng)絡(luò)設(shè)備大都采用機架式的結(jié)構(gòu)(多為扁平式,活像個抽屜),如交換機、路由器、硬件防火墻等。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型,是因為它們都按國際機柜標(biāo)準(zhǔn)進行設(shè)計,這樣大家的平面尺寸就基本統(tǒng)一,可把一起安裝在一個大型的立式標(biāo)準(zhǔn)機柜中。這樣做的好處非常明顯:一方面可以使設(shè)備占用最小的空間,另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理,同時機房內(nèi)也會顯得整潔、美觀。我們經(jīng)常接觸到的放置機房里有網(wǎng)絡(luò)機柜、服務(wù)器機柜以及綜合布線柜,從這三個機柜的名字就可以看出它們各自所起的作用;一般來說,網(wǎng)絡(luò)設(shè)備如交換機、路由器、防火墻、加密機等以及網(wǎng)絡(luò)通信設(shè)備如光端機、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機柜的;服務(wù)器機柜的寬度為19英寸,高度以U為單位(1U=1.75英寸=44.45毫米),通常有1U,2U,3U,4U幾種標(biāo)準(zhǔn)的服務(wù)器。機柜的尺寸也是采用通用的工業(yè)標(biāo)準(zhǔn),通常從22U到42U不等;機柜內(nèi)按U的高度有可拆卸的滑動拖架,用戶可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)節(jié)高度,以存放服務(wù)器、集線器、磁盤陣列柜等設(shè)備。服務(wù)器擺放好后,它的所有I/O線全部從機柜的后方引出(機架服務(wù)器的所有接口也在后方),統(tǒng)一安置在機柜的線槽中,一般貼有標(biāo)號,便于管理。綜合布線柜一般配有前后可移動的安裝立柱,自由設(shè)定安裝空間,可按需要配置隔板、風(fēng)扇、電源插座等附件。配線架通常安裝在機柜里,配線架的一面是RJ45口,并標(biāo)有編號;另一面是跳線接口,上面也標(biāo)有編號,這些編號和上面的RJ45口的編號是一一對應(yīng)的。每一組跳線都標(biāo)識有棕、藍、橙、綠的顏色,雙絞線的色線要和這些跳線一一對應(yīng),這樣做不容易接錯。配線架不僅僅是便于管理線對,而且可以防止串?dāng)_,增加線對的隔離空間,提供360度的線對隔離。在機房中,必須放置交換機、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備,以及局域網(wǎng)絡(luò)連接Internet所需的各種設(shè)備,如路由器、防火墻以及網(wǎng)管工作站等;因此機房的網(wǎng)絡(luò)布局一般至少有三個機柜,綜合布線柜和網(wǎng)絡(luò)機柜應(yīng)當(dāng)緊連在一起,便于調(diào)線操作,接下來是服務(wù)器機柜;將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進行合理的布局。在網(wǎng)絡(luò)布局中,每個機柜最好留點空間,便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充,綜合布線柜里有可能除了網(wǎng)絡(luò)布線外,還有能布置線,所以要在機柜里留下一定空間。從機柜內(nèi)部線纜附設(shè)的角度看,機柜配置密度更高,容納的IT設(shè)備更多,大量采用冗余配件(如冗余電源、存儲陣列等),機柜內(nèi)設(shè)備配置頻繁變換,數(shù)據(jù)線和電纜隨時增減。所以,機柜必須提供充足的線纜通道,能從機柜頂部、底部進出線纜。在機柜內(nèi)部,線纜的敷設(shè)必須方便、有序,與設(shè)備的線纜接口靠近,以縮短布線距離;減少線纜的空間占用,保證設(shè)備安裝、調(diào)整、維護過程中,不受到布線的干擾,并保證散熱氣流不會受到線纜的阻擋;同時,在故障情況下,能對設(shè)備布線進行快速定位。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中,一般采用在線的UPS供電方式,蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負(fù)載的性質(zhì)(電阻性、電感性、電容性)密切相關(guān)。制冷系統(tǒng)(空調(diào))涉及到機房的整個物理環(huán)境,包括空調(diào)、地板、機柜及房間布局等諸多方面;因此UPS和空調(diào)我們也要考慮好將它們放置在一個合適的位置。如果機房空間較大,可以將UPS和空調(diào)都放在機房里;如果空間較小,可以把UPS(包括蓄電池)放在配電房里。需要注意的是如果大樓里安裝有“中央空調(diào)”的話,機房里也必須安裝獨立的空調(diào),因為中央空調(diào)不可能24小時都開著,上班的時間可以利用中央空調(diào),下班和星期節(jié)假日的時候,如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運行的話,則必須要開機房里的獨立空調(diào)。機柜的擴展性表現(xiàn)在機柜內(nèi)設(shè)備密度的擴展和機柜數(shù)量的擴展,因此網(wǎng)絡(luò)布局時必須將機柜的配風(fēng)能力(通常稱為散熱能力)以及配電能力考慮在內(nèi)。一方面,機柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)(冷空氣)。這些冷風(fēng)被機柜內(nèi)的IT設(shè)備吸入,從而為設(shè)備內(nèi)的部件(尤其是CPU)降溫。當(dāng)機柜內(nèi)設(shè)備增加到一定數(shù)量時,由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求,從而形成部分IT設(shè)備配風(fēng)不足而過熱。解決機柜內(nèi)設(shè)備密度擴展時遇到的這種局部熱點問題可以采用調(diào)配IT設(shè)備位置的方式來解決。例如,把熱負(fù)荷最大的設(shè)備安裝在機柜中部位置,以便獲得最大的配風(fēng)風(fēng)量。另外的解決方法是,在機柜的上部或下部位置安裝軸向水平的強排風(fēng)扇,增強上部或下部的吸入能力(即減小IT設(shè)備的入口靜壓),從而增加配風(fēng)風(fēng)量。另一方面,機柜內(nèi)的設(shè)備需要供電以及與機柜外部進行通信。當(dāng)機柜內(nèi)的IT設(shè)備數(shù)量增加時,這些線纜、連接端子同時成倍地增加,從而對機架式電源排插的容量、插口數(shù)量都提出了擴展要求。機柜內(nèi)的布線空間也是需要提前考慮的,因為當(dāng)機柜內(nèi)的功率密度提高時,設(shè)備后部的線纜將明顯增加風(fēng)阻,所以必須考慮線纜管理及走線空間的問題。八局域網(wǎng)的安全控制與病毒防治1局域網(wǎng)安全威脅分析局域網(wǎng)由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦,因此局域網(wǎng)內(nèi)信息的傳輸速率比較高,同時局域網(wǎng)采用的技術(shù)比較簡單,安全措施較少,同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類:(1)欺騙性的軟件使數(shù)據(jù)安全性降低由于局域網(wǎng)很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據(jù)開放性”,導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除,數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”,釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構(gòu)的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息:如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站,但由于大型網(wǎng)站反應(yīng)比較迅速,而且所提供的安全功能不斷增強,網(wǎng)絡(luò)釣魚已越來越多地把目光對準(zhǔn)了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段,因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。(2)服務(wù)器區(qū)域沒有進行獨立防護局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞,造就了病毒感染的直接性和快速性,如果局域網(wǎng)中服務(wù)器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務(wù)器進行信息傳遞,就會感染服務(wù)器,這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦,就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊(3)計算機病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。最近幾年,隨著犯罪軟件(crimeware)洶涌而至,寄生軟件已退居幕后,成為犯罪軟件的助手。2007年,兩種軟件的結(jié)合推動舊有寄生軟件變種增長3倍之多。2008年,預(yù)計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長,寄生軟件的總量預(yù)計將增長20%。(4)局域網(wǎng)用戶安全意識不強許多用戶使用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞,經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng),同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng),這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍,筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用,許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用,造成病毒的傳入和信息的泄密。(5)IP地址沖突局域網(wǎng)用戶在同一個網(wǎng)段內(nèi),經(jīng)常造成IP地址沖突,造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講,此類IP地址沖突的問題會經(jīng)常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網(wǎng)絡(luò)管理員必須加以解決。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點,造成局域網(wǎng)內(nèi)的病毒快速傳遞,數(shù)據(jù)安全性低,網(wǎng)內(nèi)電腦相互感染,病毒屢殺不盡,數(shù)據(jù)經(jīng)常丟失。2局域網(wǎng)安全控制與病毒防治策略(1)加強人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個過程,它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看,主要涉及管理、技術(shù)和應(yīng)用三個層面。要確保信息安全工作的順利進行,必須注重把每個環(huán)節(jié)落實到每個層次上,而進行這種具體操作的是人,人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié),然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡(luò)的人員的管理,注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓(xùn)。增強內(nèi)部人員的安全防范意識,提高內(nèi)部管理人員整體素質(zhì)。同時要加強法制建設(shè),進一步完善關(guān)于網(wǎng)絡(luò)安全的法律,以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員,從下面幾方面進行培訓(xùn):a加強安全意識培訓(xùn),讓每個工作人員明白數(shù)據(jù)信息安全的重要性,理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責(zé)任。b加強安全知識培訓(xùn),使每個計算機使用者掌握一定的安全知識,至少能夠掌握如何備份本地的數(shù)據(jù),保證本地數(shù)據(jù)信息的安全可靠。c加強網(wǎng)絡(luò)知識培訓(xùn),通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識,能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識,樹立良好的計算機使用習(xí)慣。(2)局域網(wǎng)安全控制策略安全管理保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分,對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患,對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。a利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用,是網(wǎng)絡(luò)安全防范和保護的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限,網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源,可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略,強制計算機用戶設(shè)置符合安全要求的密碼,包括設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù),提高系統(tǒng)安全性,對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。b采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨的計算機上,與網(wǎng)絡(luò)的其余部分隔開,它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪,用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入,執(zhí)行安全管制措施,記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng),是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:1)深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當(dāng)中有多個數(shù)據(jù)包,在尋找攻擊異常行為的同時,保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量,以避免應(yīng)用時帶來時延。2)IP/URL過濾。一旦應(yīng)用流量是明文格式,就必須檢測請求的URL部分,尋找惡意攻擊的跡象,這就需要一種方案不僅能檢查RUL,還能檢查請求的其余部分。其實,如果把應(yīng)用響應(yīng)考慮進來,可以大大提高檢測攻擊的準(zhǔn)確性。雖然URL過濾是一項重要的操作,可以阻止通常的腳本類型的攻擊。3)TCP/IP終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包,并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效,就必須在用戶與應(yīng)用保持互動的整個會話期間,能夠檢測數(shù)據(jù)包和請求,以尋找攻擊行為。至少,這需要能夠終止傳輸層協(xié)議,并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等IP地址,檢查訪問的IP地址或者端口是否合法,有效的TCP/IP終止,并有效地扼殺木馬。時等。

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論