序論:在您撰寫企業(yè)網(wǎng)絡設計與實現(xiàn)時���,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情�����,引導您走向新的創(chuàng)作高度����。
第1篇
關鍵詞:網(wǎng)絡系統(tǒng)集成 企業(yè)網(wǎng)絡應用 系統(tǒng)集成設計 企業(yè)網(wǎng)絡搭建
中圖分類號:TP311.52 文獻標識碼:A 文章編號:1007-9416(2016)12-0039-01
1 總體設計
企業(yè)網(wǎng)絡系統(tǒng)集成環(huán)境可采用星型結構搭建�����,采用交換機作為網(wǎng)絡中心節(jié)點建立核心層和接入層網(wǎng)絡體系結構����,使用兩臺交換機采用雙鏈路匯聚技術提高企業(yè)網(wǎng)絡訪問速度和對用戶的管理���。在設計中為企業(yè)搭建WEB和FTP雙服務器��,WEB服務器提供網(wǎng)絡資源訪問�,F(xiàn)TP服務器提供信息及數(shù)據(jù)的傳輸�����。
企業(yè)網(wǎng)絡系統(tǒng)集成進行VLAN規(guī)劃�,本文以500臺計算機容量網(wǎng)絡規(guī)劃為例進行VLAN規(guī)劃,根據(jù)企業(yè)部門劃分為多個VLAN網(wǎng)段并對應IP號段����,便于便于對網(wǎng)絡數(shù)據(jù)包的分配和管理。
2 網(wǎng)絡設計與實現(xiàn)
2.1 IP及端口劃分與分配
IP地址規(guī)劃是為了區(qū)分企業(yè)內部的客戶端機器,便于管理員對不同客戶端進行管理����。IP地址劃分采用192.0.0.0-223.255.255.255,標誰的子網(wǎng)掩碼是255.255.255.0��。對于擁有500臺計算機的企業(yè)���,一個標準的IP號段無法滿足應用需求���,因此,可采用CIDR理論��,建立多號段IP進行管理��,譬如:192.168.10.0/24����、192.168.20.0/24��、192.168.30.0/24����、192.168.40.0/24。
2.2 交換機與路由器配置
SW1核心交換機連接1000Mb/S的光纖,搭建FTP服務器(IP:92.168.0.0/24)和web服務器(IP:92.168.1.0/24)�����,可有管理員核交換機進行管理��。
SW2模塊化匯聚交換機以100Mb/s雙絞線水平布線連接路由器�,使各部門的計算機可以100Mb/s網(wǎng)速連接互聯(lián)網(wǎng)。
2.3 無線配置
可利用VLAN技術劃分出無線用戶使用區(qū)���,并對無線AP配置SSID���。無線配置可在路由器端采用WEB加密技術設置WPA2加密管理,并設置IP使用范圍�����。
3 服務器設計與實現(xiàn)
3.1 DNS服務器
DNS(Domain Name System)域名系統(tǒng)可以建立層次結構的網(wǎng)絡服務命名系統(tǒng)�。在企業(yè)局域網(wǎng)中用戶可通過命名定位計算機,便于數(shù)據(jù)的共享���??蓪⒕钟蚓W(wǎng)中的域名解析為IP地址配置DNS服務器����,建立域名與IP之間的映射表��。如映射IP:92.168.0.0/24�����。
3.2 WEB服務器
以Windows 系統(tǒng)搭建WEB服務器��,采用IIS(Internet Information Service)信息服務進行管理與維護����,搭建步驟為:打開IIS管理器�����,找到側欄“網(wǎng)站”選項右鍵“新建網(wǎng)站”���,之后根據(jù)創(chuàng)建向導完成創(chuàng)建��。
3.3 FTP服務器
FTP服務器是為企業(yè)數(shù)據(jù)上傳和下載的網(wǎng)絡空間��,在FTP服務器上企I員工可以將個人的工作文件上傳到服務器上共享。搭建FTP服務器需要在Internet信息服務器(IIS)管理器中建立FTP站點�,并添加上傳(upload)和下載(download)用戶,對服務器中的存儲空間配置文件夾權限,并指定用戶操作權限��。
4 網(wǎng)絡機房規(guī)劃
網(wǎng)絡機房主要功能是對企業(yè)的總體網(wǎng)絡應用進行管理�����,分配不同功能區(qū)網(wǎng)絡數(shù)據(jù)包���,并對企業(yè)網(wǎng)絡應用安全進行管理��。在機房設計中��,我們以標準機柜為建設對象�����,將交換機�、路由器���、硬件防火墻等統(tǒng)一安裝在一個大型的立式標準機柜中���,由此加強對設備的統(tǒng)一管理。在企業(yè)網(wǎng)絡機房機柜布局上采用將綜合布線機柜�����、網(wǎng)絡機柜和服務器機柜按照管理層次進行規(guī)范化布局。其中綜合布線機柜與網(wǎng)絡機柜相鄰安置���,這樣方便我們進行調線操作���,可控制網(wǎng)絡用戶的分配。每個機柜在安裝設備時應留有一定空間��,便于設備進行升級和擴充���。
網(wǎng)絡機房是企業(yè)安全防范的重地��,在機房環(huán)境的建設中��,要充分考慮機房環(huán)境對設備所產(chǎn)生的影響���,其中包括:機房的通風能力、機房防靜電能力���、機房抗雷電能力等���,此外,機房涉及企業(yè)重要數(shù)據(jù)�����,為防止企業(yè)數(shù)據(jù)丟失�,非工作人員不得進入網(wǎng)絡機房。
機房環(huán)境中的設備及材料主要包括:空調�、UPS電源、配電箱�����、全鋼防靜電地板等��。為防止雷電給機房設備造成傷害�,設置網(wǎng)絡機房接地系統(tǒng),防止企業(yè)計算機受到雷電干擾導致設備受損����。其主要結構為紫銅總匯集排ATK008,規(guī)格:300mm×40mm×4mm�,以保證地電位分布均勻,直流和交流工作接地���。
在企業(yè)網(wǎng)絡機房中�,設置消防安全系統(tǒng),機房內安裝溫感探測器�����、煙感探測器和FM200氣體滅火系統(tǒng)���。FM200氣體滅火系統(tǒng)設在機房外�����,為管網(wǎng)式結構�,在天花吊頂層朝下設置噴嘴���,當遇到火情時�,全方位立體式滅火�����。
第2篇
【關鍵詞】企業(yè)網(wǎng)絡 信息安全 策略設計
一�����、企業(yè)網(wǎng)絡信息系統(tǒng)安全需求
(一)企業(yè)網(wǎng)絡信息安全威脅分析
大部分企業(yè)在網(wǎng)絡信息安全封面均有一些必要措施,因為網(wǎng)絡拓撲結構和網(wǎng)絡部署不是一成不變的���,因此還會面臨一些安全威脅�,總結如下:
(1)監(jiān)控手段不足:企業(yè)員工有可能將沒有經(jīng)過企業(yè)注冊的終端引入企業(yè)網(wǎng)絡����,也有可能使用存在安全漏洞的軟件產(chǎn)品�����,對網(wǎng)絡安全造成威脅���。
(2)數(shù)據(jù)明文傳輸:在企業(yè)網(wǎng)絡中�,不少數(shù)據(jù)都未加密���,以明文的方式傳輸���,外界可以通過網(wǎng)絡監(jiān)聽、掃描竊取到企業(yè)的保密信息或關鍵數(shù)據(jù)���。
(3)訪問控制不足:企業(yè)信息系統(tǒng)由于對訪問控制重要性的忽視����,加之成本因素,往往不配備認證服務器��,各類網(wǎng)絡設備的口令也沒有進行權限的分組����。
(4)網(wǎng)間隔離不足:企業(yè)內部網(wǎng)絡往往具有較為復雜的拓撲結構,下屬機構多�,用戶數(shù)量多。但網(wǎng)絡隔離僅僅依靠交換機和路由器來實現(xiàn)��,使企業(yè)受到安全威脅����。
(二)企業(yè)網(wǎng)絡信息安全需求分析
企業(yè)信息系統(tǒng)中,不同的對象具備不同的安全需求:
(1)企業(yè)核心數(shù)據(jù)庫:必須能夠保證數(shù)據(jù)的可靠性和完整性����,禁止沒有經(jīng)過授權的用戶非法訪問,能夠避免各種攻擊帶來的數(shù)據(jù)安全風險���。
(2)企業(yè)應用服務器:重要數(shù)據(jù)得到有效保護�����,禁止沒有經(jīng)過授權的用戶非法訪問����,能夠避免各種攻擊帶來的數(shù)據(jù)安全風險。
(3)企業(yè)web服務器:能夠有效避免非法用戶篡改數(shù)據(jù)�,能夠及時發(fā)現(xiàn)并清除木馬及惡意代碼,禁止沒有經(jīng)過授權的用戶非法訪問���。
(4)企業(yè)郵件服務器:能夠識別并拒絕垃圾郵件��,能夠及時發(fā)現(xiàn)并清除木馬及蠕蟲。
(5)企業(yè)用戶終端:防止惡意病毒的植入��,防止非法連接�����,防止未被授權的訪問行為����。
二、企業(yè)網(wǎng)絡安全策略設計與實現(xiàn)
企業(yè)網(wǎng)絡的信息安全策略是涵蓋多方面的�,既有管理安全,也有技術安全�����,既有物理安全策略,也有網(wǎng)絡安全策略����。結合上文的安全分析與安全需求,企業(yè)網(wǎng)絡應實現(xiàn)科學的安全管理模式����,結合網(wǎng)絡設備功能的不同對整體網(wǎng)絡進行有效分區(qū),可分為專網(wǎng)區(qū)���、服務器區(qū)以及內網(wǎng)公共區(qū)���,并部署入侵檢測系統(tǒng)與防火墻系統(tǒng),對內部用戶威脅到網(wǎng)絡安全的行為進行阻斷���。
在此基礎上���,本文著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡層安全策略:
(一)企業(yè)信息系統(tǒng)網(wǎng)絡設備安全策略
隨著網(wǎng)絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發(fā)現(xiàn)�,而這些手段的攻擊目標也已經(jīng)從用戶終端、服務器厭延展至交換機���、路由器等硬件設施��。而交換機與路由器屬于網(wǎng)絡核心層的重點設備�,如果這些設備退出服務,企業(yè)信息系統(tǒng)網(wǎng)絡安全便會面臨很大的威脅����。由此本文給出以下的網(wǎng)絡設備安全策略。
最大化地關閉網(wǎng)絡交換機上的服務種類��。尤其是不經(jīng)常使用的服務更應關閉��,舉例來講:交換機的鄰居發(fā)現(xiàn)服務CDP�,其功能是辨認一個網(wǎng)絡端口連接到哪一個另外的網(wǎng)絡端口���,鄰居發(fā)現(xiàn)服務鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息���,包括交換機端口與用戶終端的IP信息,網(wǎng)絡交換機的型號與版本信息����,本地虛擬局域網(wǎng)屬性等。因此��,本文建議在不常使用此服務的情況下,應該關閉鄰居發(fā)現(xiàn)服務���。另外��,一些同樣不常使用的服務��,包括交換機自舉服務����、文件傳輸服務��、簡單文件傳輸服務����、網(wǎng)絡時間同步服務、查詢用戶情況服務���、簡單網(wǎng)絡管理服務�����、源路徑路由服務���、ARP服務等等���。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機、路由器的配置與管理���。眾所周知���,此協(xié)議使用的是明文傳輸模式,因此在信息安全方面不輸于非?��?煽康膮f(xié)議�����。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼�,以抓包軟件同樣能夠獲取網(wǎng)絡管理員發(fā)出��、受到的全部數(shù)據(jù)����。所以在網(wǎng)絡管理中�,應引入安全性能更高的協(xié)議,本文推薦SSH(Secure Shell Client)協(xié)議���。這種協(xié)議借助RSA生成安全性能極高的簽名證書���,通過該證書�,全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密��。此外VTP 的安全使用也是一個應該得到重視的問題�,VTP應配置強口令。
(二)企業(yè)信息系統(tǒng)網(wǎng)絡端口安全策略
由于大部分企業(yè)網(wǎng)絡的終端均以網(wǎng)絡交換機在接入層連入網(wǎng)絡��,而網(wǎng)絡交換機屬于工作在ISO第二層的設備�����,當前有不少以第二層為目標的非法攻擊行為�����,為網(wǎng)絡帶來了不容忽視的安全威脅����。
二層網(wǎng)絡交換機使用的數(shù)據(jù)轉發(fā)方式是以CAM表為基礎的。在網(wǎng)絡交換機加點之后����,首選會清空CAM 表��,并立即啟動數(shù)據(jù)幀源地址學習���,并將這些信息存入交換機CAM表中。這時候�����,加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結構���,便很容易導致網(wǎng)絡交換機CAM表溢出�����,服務失效���。而此時便會導致該MAC的流量向交換機其他端口轉發(fā),為非法入侵者提供網(wǎng)絡竊聽的機會�����,很容易造成攻擊風險���。本文所推薦的策略是:網(wǎng)絡交換機的端口安全維護應隨時打開����;在交換機配置中設置其學習MAC地址的最大數(shù)目為1�;設置網(wǎng)絡交換機能夠存儲其學習到的全部MAC地址;一旦網(wǎng)絡交換機的安全保護被觸發(fā)��,則丟棄全部MAC 地址的流量��,發(fā)送告警信息�。對網(wǎng)絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊���,另一方面也能對網(wǎng)絡內部的合法地址做好記錄�。
在成功阻止未知MAC地址接入的基礎上���,還應阻止來自已知地址的攻擊�����。本文推薦基于MAC限流的策略�,這是由于網(wǎng)絡交換機不必向所有端口廣播未知幀����,因此可以對未知幀進行阻止����,增強網(wǎng)絡交換機安全性�。
(三)企業(yè)信息系統(tǒng)網(wǎng)絡BPDU防護策略
一般情況下,企業(yè)的內部網(wǎng)絡往往以網(wǎng)絡交換機作為網(wǎng)絡拓撲的支撐����,因為考慮到交換機通道的溝通,加之系統(tǒng)冷���、熱備份的出發(fā)點��,在企業(yè)網(wǎng)絡中是存在第二層環(huán)路的���,這就容易引發(fā)多個幀副本的出現(xiàn),甚至引起基于第二層的數(shù)據(jù)包廣播風暴���,為了避免此種情況的發(fā)生����,企業(yè)網(wǎng)絡往往引入了STP協(xié)議���。而這種協(xié)議的效果則取決于交換機共享的BPDU信息����。這就為一些攻擊者提供了機會��,通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包�����,攻擊者向二層網(wǎng)絡交換機發(fā)送�����。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡防火墻均無法生效����,就導致攻擊者能夠方便地獲取網(wǎng)絡信息?���?梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口����,使其對BPDU數(shù)據(jù)包不進行任何處理,加入收到此種類型的數(shù)據(jù)包,該端口將會自動設置為“服務停止”��。在此基礎上����,在根交換機上引入鏈路監(jiān)控體系。一旦該交換機設備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包�����,則發(fā)出“失效”的消息���,及時阻塞端口���。
(四)企業(yè)信息系統(tǒng)網(wǎng)絡Spoof防護策略
在企業(yè)內部網(wǎng)絡中,往往有著大量的終端機�,出于安全性與可靠性的考慮,這些終端機均以動態(tài)主機設置協(xié)議獲得自身的IP地址���。這就為Spoof 攻擊留下了機會�。在這種攻擊中�����,非法入侵者會將自身假冒動態(tài)主機設置協(xié)議服務器,同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包�,導致用戶無法獲取真實IP,不能聯(lián)網(wǎng)���?��?梢圆捎玫姆婪洞胧椋阂雱討B(tài)主機設置協(xié)議Snooping 策略����。在二層網(wǎng)絡交換機上安裝Snooping模塊并激活,系統(tǒng)便會把設備的全部可用端口設置為untrust 接口���。這種接口能夠收到消息�,并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包���,從而防止Spoof 攻擊帶來的風險�。
考慮到地址解析協(xié)議在安全方面的防范性不足�,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包,便容易導致全部用戶終端的ARP表退出服務��,除去靜態(tài)綁定IP與MAC之外��,本文推薦動態(tài)ARP監(jiān)測策略。此種策略會將交換機全部端口設置為untrust狀態(tài)����。此種狀態(tài)之下,端口將無法發(fā)出ARP的響應����,因此,黨用戶主機染毒時�����,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄�,系統(tǒng)安全得到了保障。
三���、結束語
企業(yè)信息系統(tǒng)亟需一個整體性的解決方案與安全策略����。本研究在闡述企業(yè)整體信息安全威脅與需求的基礎上���,總結了企業(yè)網(wǎng)絡常見的安全問題�����,結合這些問題進行了信息安全策略設計�,并從網(wǎng)絡設備防護策略、端口安全策略����、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業(yè)信息安全實現(xiàn)方法進行了闡述�,設計了相關的安全策略。
參考文獻:
[1]劉念�����,張建華���,段斌等.網(wǎng)絡環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估,電力系統(tǒng)自動化�,2012,(8).
[2]王治綱��,王曉剛��,盧正鼎.多數(shù)據(jù)庫系統(tǒng)中基于角色的訪問控制策略研究.計算機工程與科學����,2011��,(2).
[3]楊智君��,田地����,馬駿曉等.入侵檢測技術研究綜述.計算機工程與設計����,2010,(12).
[4]戚宇林��,劉文穎��,楊以涵等.電力信息的網(wǎng)絡化傳輸是電力系統(tǒng)安全的重要保證.電網(wǎng)技術����,2009,(9).
第3篇
關鍵詞:網(wǎng)絡安全管理���;網(wǎng)絡安全管理系統(tǒng)����;企業(yè)信息安全
中圖分類號:TP271 文獻標識碼:A 文章編號:1009-3044(2012)33-7915-03
計算機網(wǎng)絡是通過互聯(lián)網(wǎng)服務來為人們提供各種各樣的功能���,如果想保證這些服務的有效提供��,一是需要全面完善計算機網(wǎng)絡的基礎設施和配置��;二是需要有可靠完善的保障體系����。可靠完善的保障體系是為了能夠保證網(wǎng)絡中的信息傳輸�����、信息處理和信息共享等功能能夠安全進行��。
1 網(wǎng)絡安全的定義
網(wǎng)絡安全問題不但是近些年來網(wǎng)絡信息安全領域經(jīng)常討論和研究的重要問題�����,也是現(xiàn)代網(wǎng)絡信息安全中亟待解決的關鍵問題����。網(wǎng)絡安全的含義是保證整個網(wǎng)絡系統(tǒng)中的硬件�、軟件和數(shù)據(jù)信息受到有效保護,不會因為網(wǎng)絡意外故障的發(fā)生��,或者人為惡意攻擊,病毒入侵而受到破壞���,導致重要信息的泄露和丟失����,甚至造成整個網(wǎng)絡系統(tǒng)的癱瘓�����。
網(wǎng)絡安全的本質就是網(wǎng)絡中信息傳輸����、共享、使用的安全����,網(wǎng)絡安全研究領域包括網(wǎng)絡上信息的完整性、可用性���、保密性和真實性等一系列技術理論����。而網(wǎng)絡安全是集合了互聯(lián)網(wǎng)技術、計算機科學技術���、通信技術����、信息安全管理技術��、密碼學��、數(shù)理學等多種技術于一體的綜合性學科����。
2 網(wǎng)絡安全技術介紹
2.1 安全威脅和防護措施
網(wǎng)絡安全威脅指的是具體的人、事�����、物對具有合法性���、保密性、完整性和可用性造成的威脅和侵害��。防護措施就是對這些資源進行保護和控制的相關策略�、機制和過程。
安全威脅可以分為故意安全威脅和偶然安全威脅兩種,而故意安全威脅又可以分為被動安全威脅和主動安全威脅�����。被動安全威脅包括對網(wǎng)絡中的數(shù)據(jù)信息進行監(jiān)聽��、竊聽等�����,而不對這些數(shù)據(jù)進行篡改�,主動安全威脅則是對網(wǎng)絡中的數(shù)據(jù)信息進行故意篡改等行為。
2.2 網(wǎng)絡安全管理技術
目前����,網(wǎng)絡安全管理技術越來越受到人們的重視,而網(wǎng)絡安全管理系統(tǒng)也逐漸地應用到企事業(yè)單位�、政府機關和高等院校的各種計算機網(wǎng)絡中。隨著網(wǎng)絡安全管理系統(tǒng)建設的規(guī)模不斷發(fā)展和擴大���,網(wǎng)絡安全防范技術也得到了迅猛發(fā)展�����,同時出現(xiàn)了若干問題��,例如網(wǎng)絡安全管理和設備配置的協(xié)調問題���、網(wǎng)絡安全風險監(jiān)控問題�����、網(wǎng)絡安全預警響應問題�,以及網(wǎng)絡中大量數(shù)據(jù)的安全存儲和使用問題等等��。
網(wǎng)絡安全管理在企業(yè)管理中最初是被作為一個關鍵的組成部分���,從信息安全管理的方向來看��,網(wǎng)絡安全管理涉及到整個企業(yè)的策略規(guī)劃和流程�、保護數(shù)據(jù)需要的密碼加密�����、防火墻設置�����、授權訪問���、系統(tǒng)認證��、數(shù)據(jù)傳輸安全和外界攻擊保護等等����。
在實際應用中�,網(wǎng)絡安全管理并不僅僅是一個軟件系統(tǒng),它涵蓋了多種內容�,包括網(wǎng)絡安全策略管理、網(wǎng)絡設備安全管理����、網(wǎng)絡安全風險監(jiān)控等多個方面。
2.3 防火墻技術
互聯(lián)網(wǎng)防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入�,是一個控制經(jīng)過防火墻進行網(wǎng)絡活動行為和數(shù)據(jù)信息交換的軟件防護系統(tǒng),目的是為了保證整個網(wǎng)絡系統(tǒng)不受到任何侵犯�����。
防火墻是根據(jù)企業(yè)的網(wǎng)絡安全管理策略來控制進入和流出網(wǎng)絡的數(shù)據(jù)信息����,而且其具有一定程度的抗外界攻擊能力,所以可以作為企業(yè)不同網(wǎng)絡之間�,或者多個局域網(wǎng)之間進行數(shù)據(jù)信息交換的出入接口��。防火墻是保證網(wǎng)絡信息安全���、提供安全服務的基礎設施,它不僅是一個限制器����,更是一個分離器和分析器,能夠有效控制企業(yè)內部網(wǎng)絡與外部網(wǎng)絡之間的數(shù)據(jù)信息交換����,從而保證整個網(wǎng)絡系統(tǒng)的安全。
將防火墻技術引入到網(wǎng)絡安全管理系統(tǒng)之中是因為傳統(tǒng)的子網(wǎng)系統(tǒng)并不十分安全����,很容易將信息暴露給網(wǎng)絡文件系統(tǒng)和網(wǎng)絡信息服務等這類不安全的網(wǎng)絡服務,更容易受到網(wǎng)絡的攻擊和竊聽�。目前,互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議���,而TCP/IP的制定并沒有考慮到安全因素��,防火墻的設置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題���。
2.4 入侵檢測技術
入侵檢測是一種增強系統(tǒng)安全的有效方法�。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動�����。通過對系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進行評估�,并根據(jù)評價結果來判斷行為的正常性����,從而幫助系統(tǒng)管理人員采取相應的對策措施。入侵檢測可分為:異常檢測�����、行為檢測��、分布式免疫檢測等���。
3 企業(yè)網(wǎng)絡安全管理系統(tǒng)架構設計
3.1 系統(tǒng)設計目標
該文的企業(yè)網(wǎng)絡安全管理系統(tǒng)的設計目的是需要克服原有網(wǎng)絡安全技術的不足����,提出一種通用的���、可擴展的��、模塊化的網(wǎng)絡安全管理系統(tǒng)����,以多層網(wǎng)絡架構的安全防護方式,將身份認證�、入侵檢測、訪問控制等一系列網(wǎng)絡安全防護技術應用到網(wǎng)絡系統(tǒng)之中����,使得這些網(wǎng)絡安全防護技術能夠相互彌補、彼此配合�,在統(tǒng)一的控制策略下對網(wǎng)絡系統(tǒng)進行檢測和監(jiān)控,從而形成一個分布式網(wǎng)絡安全防護體系�,從而有效提高網(wǎng)絡安全管理系統(tǒng)的功能性、實用性和開放性�。
3.2 系統(tǒng)原理框圖
該文設計了一種通用的企業(yè)網(wǎng)絡安全管理系統(tǒng),該系統(tǒng)的原理圖如圖1所示��。
3.2.1 系統(tǒng)總體架構
網(wǎng)絡安全管理中心作為整個企業(yè)網(wǎng)絡安全管理系統(tǒng)的核心部分�����,能夠在同一時間與多個網(wǎng)絡安全終端連接�����,并通過其對多個網(wǎng)絡設備進行管理,還能夠提供處理網(wǎng)絡安全事件��、提供網(wǎng)絡配置探測器�����、查詢網(wǎng)絡安全事件�����,以及在網(wǎng)絡中發(fā)生響應命令等功能��。
網(wǎng)絡安全是以分布式的方式���,布置在受保護和監(jiān)控的企業(yè)網(wǎng)絡中,網(wǎng)絡安全是提供網(wǎng)絡安全事件采集����,以及網(wǎng)絡安全設備管理等服務的,并且與網(wǎng)絡安全管理中心相互連接����。
網(wǎng)絡設備管理包括了對企業(yè)整個網(wǎng)絡系統(tǒng)中的各種網(wǎng)絡基礎設備、設施的管理���。
網(wǎng)絡安全管理專業(yè)人員能夠通過終端管理設備����,對企業(yè)網(wǎng)絡安全管理系統(tǒng)進行有效的安全管理。
3.2.2 系統(tǒng)網(wǎng)絡安全管理中心組件功能
系統(tǒng)網(wǎng)絡安全管理中心核心功能組件:包括了網(wǎng)絡安全事件采集組件����、網(wǎng)絡安全事件查詢組件、網(wǎng)絡探測器管理組件和網(wǎng)絡管理策略生成組件��。網(wǎng)絡探測器管理組件是根據(jù)網(wǎng)絡的安全狀況實現(xiàn)對模塊進行添加���、刪除的功能����,它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進行選擇��,找出與功能相互匹配的模塊��,將它們添加到網(wǎng)絡安全探測器上�。網(wǎng)絡安全事件采集組件是將對網(wǎng)絡安全事件進行分析和過濾的結構添加到數(shù)據(jù)庫中。網(wǎng)絡安全事件查詢組件是為企業(yè)網(wǎng)絡安全專業(yè)管理人員提供對網(wǎng)絡安全數(shù)據(jù)庫進行一系列操作的主要結構�。而網(wǎng)絡管理策略生產(chǎn)組件則是對輸入的網(wǎng)絡安全事件分析結果進行自動查詢,并將管理策略發(fā)送給網(wǎng)絡安全。
系統(tǒng)網(wǎng)絡安全管理中心數(shù)據(jù)庫模塊組件:包括了網(wǎng)絡安全事件數(shù)據(jù)庫��、網(wǎng)絡探測器模塊數(shù)據(jù)庫�����,以及網(wǎng)絡響應策略數(shù)據(jù)庫����。網(wǎng)絡探測器模塊數(shù)據(jù)庫是由核心功能組件進行添加和刪除的,它主要是對安裝在網(wǎng)絡探測器上的功能模塊進行存儲���。網(wǎng)絡安全事件數(shù)據(jù)庫是對輸入的網(wǎng)絡安全事件進行分析和統(tǒng)計,主要用于對各種網(wǎng)絡安全事件的存儲�。網(wǎng)絡相應策略數(shù)據(jù)庫是對輸入網(wǎng)絡安全事件的分析結果反饋相應的處理策略,并且對各種策略進行存儲��。
3.3 系統(tǒng)架構特點
3.3.1 統(tǒng)一管理����,分布部署
該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)是采用網(wǎng)絡安全管理中心對系統(tǒng)進行部署和管理,并且根據(jù)網(wǎng)絡管理人員提出的需求�����,將網(wǎng)絡安全分布地布置在整個網(wǎng)絡系統(tǒng)之中,然后將選取出的網(wǎng)絡功能模塊和網(wǎng)絡響應命令添加到網(wǎng)絡安全上���,網(wǎng)絡安全管理中心可以自動管理網(wǎng)絡安全對各種網(wǎng)絡安全事件進行處理���。
3.3.2 模塊化開發(fā)方式
本系統(tǒng)的網(wǎng)絡安全管理中心和網(wǎng)絡安全采用的都是模塊化的設計方式,如果需要在企業(yè)網(wǎng)絡管理系統(tǒng)中增加新的網(wǎng)絡設備或管理策略時�,只需要對相應的新模塊和響應策略進行開發(fā)實現(xiàn),最后將其加載到網(wǎng)絡安全中�����,而不必對網(wǎng)絡安全管理中心����、網(wǎng)絡安全進行系統(tǒng)升級和更新。
3.3.3 分布式多級應用
對于機構比較復雜的網(wǎng)絡系統(tǒng)����,可使用多管理器連接,保證全局網(wǎng)絡的安全��。在這種應用中����,上一級管理要對下一級的安全狀況進行實時監(jiān)控�,并對下一級的安全事件在所轄范圍內進行及時全局預警處理��,同時向上一級管理中心進行匯報��。網(wǎng)絡安全主管部門可以在最短時間內對全局范圍內的網(wǎng)絡安全進行嚴密的監(jiān)視和防范���。
4 結論
隨著網(wǎng)絡技術的飛速發(fā)展��,互聯(lián)網(wǎng)中存儲了大量的保密信息數(shù)據(jù)��,這些數(shù)據(jù)在網(wǎng)絡中進行傳輸和使用��,隨著網(wǎng)絡安全技術的不斷更新和發(fā)展�,新型的網(wǎng)絡安全設備也大量出現(xiàn)����,由此����,企業(yè)對于網(wǎng)絡安全的要求也逐步提升,因此�����,該文設計的企業(yè)網(wǎng)絡安全管理系統(tǒng)具有重要的現(xiàn)實意義和實用價值。
參考文獻:
第4篇
目前����,隨著我國現(xiàn)代信息技術的快速發(fā)展,很多大型企業(yè)的經(jīng)營管理方式也朝著信息化方向發(fā)展���。在信息化技術非常發(fā)達的現(xiàn)代����,一個企業(yè)的信息化水平的高低將決定企業(yè)競爭力的大小����,因此,企業(yè)只有掌握較好的網(wǎng)絡技術���,才能更好地控制企業(yè)的機密����,從而實現(xiàn)企業(yè)的信息化管理���。為了進一步提高企業(yè)的資源利用管理水平���,提高企業(yè)的核心競爭力��,構建企業(yè)網(wǎng)絡安全部署具有直接決定作用����。
1我國企業(yè)網(wǎng)絡構架及安全部署的現(xiàn)狀
企業(yè)網(wǎng)絡構架現(xiàn)在已經(jīng)從以往單一的數(shù)據(jù)交換發(fā)展到綜合智能化一體的信息化網(wǎng)絡計劃�,我國企業(yè)的網(wǎng)絡構架及安全部署現(xiàn)在已經(jīng)發(fā)展了幾十年,但是����,與西方發(fā)達國家相比,我國企業(yè)的網(wǎng)絡構架及安全部署還存在很大的差距��。目前���,我國企業(yè)已經(jīng)意識到網(wǎng)絡構架及安全部署的重要性�����,主要是由于企業(yè)網(wǎng)絡構架對于企業(yè)的生產(chǎn)���、管理和物流等環(huán)節(jié)都具有較大的支持作用�����。企業(yè)的管理層對網(wǎng)絡構架的設計思想主要反映出企業(yè)利用資源的能力,從而保證企業(yè)的網(wǎng)絡構架是其業(yè)務水平的重要保障�����。我國現(xiàn)在很多企業(yè)對網(wǎng)絡構架及安全部署的要求越來越高��,但是我國企業(yè)的網(wǎng)絡構架還無法滿足現(xiàn)代企業(yè)網(wǎng)絡構架的高要求����。因此,我國企業(yè)網(wǎng)絡構架及安全部署的不足嚴重制約了我國企業(yè)的長遠發(fā)展���。
2企業(yè)網(wǎng)絡架構安全部署設計與實現(xiàn)
2.1 網(wǎng)絡架構設計思想及原則
我國企業(yè)網(wǎng)絡架構設計主要是為了實現(xiàn)將不同位置的計算機網(wǎng)絡進行互通�,這也是企業(yè)實現(xiàn)網(wǎng)絡構架的基本要求��。隨著我國企業(yè)數(shù)據(jù)業(yè)務的不斷發(fā)展和改進�����,企業(yè)網(wǎng)絡構架的設計要求也變得更高�,因而需要從簡單的網(wǎng)絡構架中設計出服務性更強的網(wǎng)絡構架,并且不斷向應用型網(wǎng)絡構架轉變��。因此�����,企業(yè)網(wǎng)絡構架的設計者在進行網(wǎng)絡構架設計時應該充分考慮企業(yè)的各種業(yè)務需求,以保證企業(yè)的網(wǎng)絡構架能夠滿足其長遠的發(fā)展��,從而為企業(yè)提供更加方便的管理平臺�����,這也是企業(yè)網(wǎng)絡構架及安全部署設計的基本思想和原則����。
2.2 企業(yè)網(wǎng)絡架構的實現(xiàn)
當網(wǎng)絡構架的基本設計完成后,就應該對設計的模型進行部署和實現(xiàn)��,從而使得企業(yè)能夠更加實際地了解企業(yè)的網(wǎng)絡構架���。
企業(yè)網(wǎng)絡構架實現(xiàn)的過程一般包括以下幾個方面:1)規(guī)劃企業(yè)的IP地址空間范圍��;2)部署和實現(xiàn)企業(yè)核心層的網(wǎng)絡構架�;3)在核心網(wǎng)絡構架的基礎上對下層的網(wǎng)絡構架進行設計�����。當然,企業(yè)的網(wǎng)絡構架的設計一般應該遵循規(guī)范性�����、標準性��、連續(xù)性和靈活性等原則�����。
3企業(yè)網(wǎng)絡構架的故障分析及解決方案
3.1 網(wǎng)絡冗余雙機部署中的故障
現(xiàn)在���,網(wǎng)絡設備雙機部署過程中,由于路由的配置等技術相對比較成熟�����,一般不會出現(xiàn)故障和問題����。但是,其企業(yè)網(wǎng)絡構架中防火墻的雙機構架的設計和部署時��,會出現(xiàn)很多疑難問題���。目前�����,解決這些疑難問題的方法主要包括以下兩種:1)移除防火墻之間的交叉冗余鏈路��,同時更改兩臺防火墻上相同路由開銷值���,這樣可以保證在主防火墻出現(xiàn)故障后�,其他防火墻可以安全使用���。這種方案可以解決故障���,但也存在一定的弊病,主要是指數(shù)據(jù)負載在主設備上�����,備用設備一般是出于閑置狀態(tài)�,只有出現(xiàn)故障時才切換到備用設備機;2)采取措施將主防火墻的全部會話列表與備用設備同步����,從而使備用設備保持與主設備的防火墻會話列表一致。即使出現(xiàn)數(shù)據(jù)訪問不一致的情況,主設備也不會導致數(shù)據(jù)發(fā)生故障���,從而造成多個設備處于故障狀態(tài)���。當然�����,防火墻會話同步的設計現(xiàn)在已經(jīng)成為基于會話狀態(tài)防火墻的解決網(wǎng)絡冗余雙機部署中故障重要手段和措施����。
3.2 網(wǎng)絡QOS保障
QOS保障是企業(yè)在進行網(wǎng)絡構架及安全部署的設計與實現(xiàn)的過程中,對特殊數(shù)據(jù)進行帶寬處理�,以實現(xiàn)優(yōu)先保證的一種有效途徑。但是���,語音和視頻在網(wǎng)絡傳輸?shù)倪^程中對帶寬的延時和抖動的要求比較高�,因而需要考慮企業(yè)網(wǎng)絡分子結構廣域網(wǎng)帶寬的影響����,然后根據(jù)流量分析,在帶寬能夠滿足一定要求的情況下�����,保證視頻和語音數(shù)據(jù)的傳輸更加順暢。當然����,企業(yè)網(wǎng)絡架構及安全部署的設計和實現(xiàn)過程中,分支網(wǎng)絡構架中的語音和視頻數(shù)據(jù)需要經(jīng)過各自的核心路由�,這樣的企業(yè)網(wǎng)絡構架需要保障企業(yè)的語音和視頻在網(wǎng)絡分子上得到一定的保證。然而��,在實際的網(wǎng)絡構架部署過程中���,由于企業(yè)的業(yè)務不斷增加和網(wǎng)絡分支的不斷擴展�,廣域網(wǎng)的數(shù)據(jù)量也增大����,因此,采用QOS來對數(shù)據(jù)進行保障顯得至關重要�����。
3.3 網(wǎng)絡訪問安全控制
網(wǎng)絡訪問安全控制的配置在企業(yè)網(wǎng)絡構架的部署中非常常見����,一般需要采用防火墻進行數(shù)據(jù)的訪問����,還需要在路由器上配置一些安全措施�����,以實現(xiàn)企業(yè)能夠對數(shù)據(jù)進行控制�。尤其是對于一些防病毒、訪問隔離和環(huán)路等故障��,企業(yè)網(wǎng)絡訪問安全控制很有必要�����。
第5篇
【關鍵詞】企業(yè)網(wǎng)絡 信息安全 策略設計
隨著社會經(jīng)濟的快速發(fā)展����,計算機信息技術介入人們生活的方方面面��。企業(yè)網(wǎng)絡的信息安全策略是涵蓋多方面的����,既有管理安全,也有技術安全�,既有物理安全策略��,也有網(wǎng)絡安全策略���。企業(yè)網(wǎng)絡應實現(xiàn)科學的安全管理模式,結合網(wǎng)絡設備功能的不同對整體網(wǎng)絡進行有效分區(qū)�����,可分為專網(wǎng)區(qū)���、服務器區(qū)以及內網(wǎng)公共區(qū)����,并部署入侵檢測系統(tǒng)與防火墻系統(tǒng)���,對內部用戶威脅到網(wǎng)絡安全的行為進行阻斷��。下面著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡層安全策略:
一����、企業(yè)網(wǎng)絡設備安全策略分析
隨著網(wǎng)絡安全形勢的日趨嚴峻��,不斷有新的攻擊手段被發(fā)現(xiàn)��,而這些手段的攻擊目標也已經(jīng)從用戶終端、服務器厭延展至交換機�����、路由器等硬件設施���。而交換機與路由器屬于網(wǎng)絡核心層的重點設備���,如果這些設備退出服務,企業(yè)信息系統(tǒng)網(wǎng)絡安全便會面臨很大的威脅���。由此本文給出以下的網(wǎng)絡設備安全策略���。
最大化地關閉網(wǎng)絡交換機上的服務種類�����。尤其是不經(jīng)常使用的服務更應關閉����,舉例來講:交換機的鄰居發(fā)現(xiàn)服務CDP,其功能是辨認一個網(wǎng)絡端口連接到哪一個另外的網(wǎng)絡端口����,鄰居發(fā)現(xiàn)服務鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息����,包括交換機端口與用戶終端的IP信息��,網(wǎng)絡交換機的型號與版本信息����,本地虛擬局域網(wǎng)屬性等。因此��,本文建議在不常使用此服務的情況下��,應該關閉鄰居發(fā)現(xiàn)服務����。另外,一些同樣不常使用的服務����,包括交換機自舉服務、文件傳輸服務�����、簡單文件傳輸服務、網(wǎng)絡時間同步服務����、查詢用戶情況服務、簡單網(wǎng)絡管理服務�、源路徑路由服務、ARP服務等等��。
企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實現(xiàn)對全網(wǎng)所有交換機��、路由器的配置與管理���。眾所周知����,此協(xié)議使用的是明文傳輸模式���,因此在信息安全方面不輸于非常可靠的協(xié)議�����。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼�,以抓包軟件同樣能夠獲取網(wǎng)絡管理員發(fā)出�、受到的全部數(shù)據(jù)����。所以在網(wǎng)絡管理中,應引入安全性能更高的協(xié)議���,本文推薦SSH(Secure Shell Client)協(xié)議�。這種協(xié)議借助RSA生成安全性能極高的簽名證書����,通過該證書,全部以SSH協(xié)議進行傳輸?shù)臄?shù)據(jù)包都被良好加密�����。此外VTP 的安全使用也是一個應該得到重視的問題����,VTP應配置強口令。
二����、企業(yè)信息系統(tǒng)網(wǎng)絡端口安全策略
由于大部分企業(yè)網(wǎng)絡的終端均以網(wǎng)絡交換機在接入層連入網(wǎng)絡,而網(wǎng)絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為�,為網(wǎng)絡帶來了不容忽視的安全威脅。
二層網(wǎng)絡交換機使用的數(shù)據(jù)轉發(fā)方式是以CAM表為基礎的����。在網(wǎng)絡交換機加點之后,首選會清空CAM 表����,并立即啟動數(shù)據(jù)幀源地址學習,并將這些信息存入交換機CAM表中���。這時候�,加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結構���,便很容易導致網(wǎng)絡交換機CAM表溢出��,服務失效�����。而此時便會導致該MAC的流量向交換機其他端口轉發(fā)��,為非法入侵者提供網(wǎng)絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網(wǎng)絡交換機的端口安全維護應隨時打開����;在交換機配置中設置其學習MAC地址的最大數(shù)目為1;設置網(wǎng)絡交換機能夠存儲其學習到的全部MAC地址����;一旦網(wǎng)絡交換機的安全保護被觸發(fā),則丟棄全部MAC 地址的流量��,發(fā)送告警信息��。對網(wǎng)絡交換機進行以上的配置�����,一方面能夠防止基于交換機MAC地址的泛洪攻擊�,另一方面也能對網(wǎng)絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上�,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略���,這是由于網(wǎng)絡交換機不必向所有端口廣播未知幀��,因此可以對未知幀進行阻止�,增強網(wǎng)絡交換機安全性。
三��、企業(yè)信息系統(tǒng)網(wǎng)絡BPDU防護策略
一般情況下�,企業(yè)的內部網(wǎng)絡往往以網(wǎng)絡交換機作為網(wǎng)絡拓撲的支撐,因為考慮到交換機通道的溝通�����,加之系統(tǒng)冷�、熱備份的出發(fā)點,在企業(yè)網(wǎng)絡中是存在第二層環(huán)路的���,這就容易引發(fā)多個幀副本的出現(xiàn)�,甚至引起基于第二層的數(shù)據(jù)包廣播風暴�����,為了避免此種情況的發(fā)生����,企業(yè)網(wǎng)絡往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機共享的BPDU信息��。這就為一些攻擊者提供了機會�,通過假冒優(yōu)先級低的BPDU數(shù)據(jù)包�,攻擊者向二層網(wǎng)絡交換機發(fā)送����。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡防火墻均無法生效�,就導致攻擊者能夠方便地獲取網(wǎng)絡信息?���?梢圆捎玫姆婪洞胧椋涸诙泳W(wǎng)絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口�����,使其對BPDU數(shù)據(jù)包不進行任何處理�,加入收到此種類型的數(shù)據(jù)包,該端口將會自動設置為“服務停止”�����。在此基礎上�����,在根交換機上引入鏈路監(jiān)控體系�����。一旦該交換機設備檢測到優(yōu)先級更高的 BPDU數(shù)據(jù)包,則發(fā)出“失效”的消息�,及時阻塞端口。
四�����、企業(yè)信息系統(tǒng)網(wǎng)絡Spoof防護策略
在企業(yè)內部網(wǎng)絡中�����,往往有著大量的終端機�����,出于安全性與可靠性的考慮���,這些終端機均以動態(tài)主機設置協(xié)議獲得自身的IP地址��。這就為Spoof 攻擊留下了機會�����。在這種攻擊中�����,非法入侵者會將自身假冒動態(tài)主機設置協(xié)議服務器��,同時向用戶主機發(fā)出假冒的動態(tài)IP配置數(shù)據(jù)包���,導致用戶無法獲取真實IP,不能聯(lián)網(wǎng)�。可以采用的防范措施為:引入動態(tài)主機設置協(xié)議Snooping 策略���。在二層網(wǎng)絡交換機上安裝Snooping模塊并激活�����,系統(tǒng)便會把設備的全部可用端口設置為untrust 接口����。這種接口能夠收到消息�����,并丟棄假冒的動態(tài)IP配置數(shù)據(jù)包��,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協(xié)議在安全方面的防范性不足��,加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包�����,便容易導致全部用戶終端的ARP表退出服務���,除去靜態(tài)綁定IP與MAC之外�,本文推薦動態(tài)ARP監(jiān)測策略��。此種策略會將交換機全部端口設置為untrust狀態(tài)��。此種狀態(tài)之下����,端口將無法發(fā)出ARP的響應,因此����,黨用戶主機染毒時,其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄����,系統(tǒng)安全得到了保障���。
五、結束語
W絡安全是一項綜合的管理工程��,意義重大��。企業(yè)的網(wǎng)絡安全一旦出現(xiàn)問題��,極有可能造成巨大損失���,到那時即使再投入大量資金進行彌補也為時已晚。因此�����,企業(yè)應未雨綢繆�����,認清事實���、正視事實�����、立足長遠��,重視網(wǎng)絡安全問題�����,這樣才能保證企業(yè)網(wǎng)絡的安全��,從而實現(xiàn)企業(yè)長足發(fā)展���。
第6篇
關鍵詞:VLAN��;虛擬局域網(wǎng)�����;企業(yè)網(wǎng)絡�����;網(wǎng)絡設計
中圖分類號:TP393文獻標識碼:A文章編號:16727800(2012)009013403
1企業(yè)組網(wǎng)中采用單一網(wǎng)段架構的不足之處
企業(yè)在組建局域網(wǎng)和信息化平臺時��,為節(jié)約成本往往采用了單一網(wǎng)段架構的組網(wǎng)模式�。隨著企業(yè)內部聯(lián)網(wǎng)計算機的不斷增多、網(wǎng)絡應用的日趨復雜���,這種架構的弊端也不斷顯現(xiàn)出來�。由于防火墻�、服務器、工作站等網(wǎng)絡設備處在同一個網(wǎng)段(同一廣播域)�,大量的廣播包發(fā)送到局域網(wǎng)上容易引起廣播風暴、占用很高的網(wǎng)絡帶寬���,從而影響到正常業(yè)務數(shù)據(jù)流的穩(wěn)定傳輸�����。一旦某計算機發(fā)生ARP攻擊或者冒用了網(wǎng)絡設備的IP地址�,就會干擾到網(wǎng)絡的正常運行����,造成嚴重的安全隱患�。為了解決上述問題,提高企業(yè)網(wǎng)絡的安全性�����、穩(wěn)定性和可靠性,就需要部署與實施VLAN虛擬局域網(wǎng)����。
2VLAN虛擬局域網(wǎng)的主要特點
IEEE802.1Q定義了VLAN網(wǎng)橋和操作規(guī)范。傳統(tǒng)的共享介質型以太網(wǎng)中���,所有的計算機位于同一個廣播域中�,廣播域越大對網(wǎng)絡性能的影響也就越大����。有效的解決途徑就是把單一網(wǎng)段架構的以太網(wǎng)劃分成邏輯上相互獨立的多個子網(wǎng),同一VLAN中的廣播包只有同一VLAN的成員組才能收到��,而不會傳輸?shù)狡渌黇LAN中去���,這就很好地控制了廣播風暴�。在企業(yè)網(wǎng)絡組建中�,通過合理的VLAN設計規(guī)劃,一方面可以限制廣播域����,最大限度地防止廣播風暴的發(fā)生,節(jié)省網(wǎng)絡帶寬����;同時還可以提高網(wǎng)絡處理能力����,并通過VLAN間路由���、VLAN間互訪策略�����,全面增強企業(yè)網(wǎng)絡的安全性�。
3企業(yè)VLAN規(guī)劃中的技術要點
VLAN技術在大型局域網(wǎng)��、大型校園網(wǎng)的組建中有著廣泛的應用����,VLAN的規(guī)劃和設計是高等計算機網(wǎng)絡的一個重點,同時也是一個技術難點���,實施者必須具備較高的計算機網(wǎng)絡知識與實踐技能。企業(yè)在實施VLAN前�����,應該從以下幾個方面重點分析和考慮:
(1)根據(jù)目前的網(wǎng)絡拓撲、綜合布線����、各類網(wǎng)絡設備、計算機數(shù)量以及分布的地理位置進行統(tǒng)計和調研�。通常位于核心層的防火墻、服務器組等應劃分到一個單獨的VLAN網(wǎng)段�����,然后根據(jù)各部門的網(wǎng)絡應用需求�����、聯(lián)網(wǎng)設備數(shù)量作進一步規(guī)劃�。
(2)采用合適的VLAN劃分技術,常見的VLAN劃分方式包括:基于端口的VLAN����、基于MAC地址的VLAN、基于協(xié)議的VLAN�����、基于IP子網(wǎng)的VLAN 和基于策略的VLAN等��。以中小型企業(yè)為例,計算機的數(shù)量與分布的地理位置相對比較固定�����,優(yōu)先考慮采用基于端口的靜態(tài)VLAN劃分方式�。將交換機中的任意端口定義為一個VLAN端口組成員,從而形成一個VLAN網(wǎng)段���,將指定端口加入到指定VLAN中之后�,該端口就可以轉發(fā)指定VLAN的數(shù)據(jù)包�。
(3)各個VLAN之間的路由與ACL訪問策略的配置。通常服務器所屬的VLAN可以與其它VLAN相互訪問����,各個VLAN的內部計算機可以互訪,其它VLAN之間計算機的互訪權限視具體情況在三層交換機加以啟用或禁用��。
(4)防火墻到各個VLAN之間的路由規(guī)劃�����。防火墻是整個企業(yè)網(wǎng)的Internet總出口�����,直接決定哪些VLAN組�����、哪些計算機成員可以訪問Internet���。
(5)必要的經(jīng)費投入���,購買合適的網(wǎng)絡設備。一般選擇三層智能VLAN以太網(wǎng)交換機�����,根據(jù)設計方案���,通過命令參數(shù)進行配置���。由于不同品牌、不同型號的交換機VLAN配置參數(shù)與語法命令不盡相同�����,因此需要VLAN實施者精通常用交換機的配置與應用��。
4某企業(yè)VLAN規(guī)劃和實施的具體步驟與案例分析
隨著經(jīng)營業(yè)務的不斷擴展、聯(lián)網(wǎng)設備的不斷增多�,為提高局域網(wǎng)安全性和處理能力,筆者參與了某商品流通企業(yè)的局域網(wǎng)VLAN實施項目�。從企業(yè)網(wǎng)絡應用的規(guī)模和現(xiàn)狀分析,設計劃分為5個VLAN���, 其中VLAN16為服務器核心網(wǎng)段���,可以與其它全部VLAN(17~20)互訪。VLAN(17~20)只能訪問16網(wǎng)段����,相互之間不能互訪,但每個VLAN內部計算機可以互訪���。防火墻型號為H3C SecPath F100S�����,LAN口管理IP為192.168.16.1�����,可以路由到全部5個VLAN�,并能控制任意網(wǎng)段的計算機訪問外網(wǎng)與IP流量。
接入層訪問端口��,按表1方案��,連接網(wǎng)絡設備����、各職能部門的工作站計算機����、網(wǎng)絡共享打印機、無線接入點AP等
在實施VLAN前�,首先要對企業(yè)現(xiàn)有的綜合布線作全面的梳理,每根網(wǎng)線連接哪臺電腦�、交換機的端口標識要明確、清晰�。在核心交換機端口充裕的情況下,做到計算機與核心交換機端口直接相連�,盡量不要采用SOHO交換機進行多層次的網(wǎng)絡轉接。根據(jù)VLAN設計方案���,對網(wǎng)絡設備��、部門計算機的網(wǎng)絡參數(shù)進行重新分配和配置���,把每臺計算機的網(wǎng)線連接到交換機對應的VLAN端口����。
該項目中�����,采用了H3C公司的48口全千兆三層以太網(wǎng)交換機S550048PSI�����。S550048PSI千兆以太網(wǎng)交換機定位于企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入�,具備豐富的業(yè)務特性,提供了高性能��、大容量的交換服務�,并支持10GE 的上行接口,為接入設備提供了更高的帶寬�。同時還可以用于數(shù)據(jù)中心服務器群的連接,為用戶提供了高接入帶寬和高端口密度���。S550048PSI支持4K個基于端口的VLAN�,在全雙工模式下交換容量為240Gbps,整機包轉發(fā)率為72Mpps�����,可以滿足企業(yè)目前應用需求�。
S550048PSI交換機的配置是整個VLAN實施中的技術重點和難點,其配置要點說明如下:
(1)創(chuàng)建ACL訪問策略��。根據(jù)設計方案����,VLAN16可以與VLAN(17~20)直接互訪�,無須設置拒絕訪問規(guī)則。VLAN17不能與VLAN(18~20)互訪���,VLAN18不能與VLAN(17��、19����、20)互訪�,VLAN19不能與VLAN(17、18���、20)互訪��,VLAN20不能與VLAN(17~19)互訪�。因此,必須單獨設置規(guī)則號和拒絕訪問控制列表����。
5VLAN實施后產(chǎn)生問題如何解決
由于實施VLAN后除了VLAN16其它各網(wǎng)段之間不能直接互訪,因此也帶來了一些網(wǎng)絡應用上的問題���。比如不同VLAN之間不能直接共享打印機和共享文件夾�,需要重新設置共享����。解決方案是在同一VLAN的內部計算機上設置共享打印機或者文件夾,或者在VLAN16網(wǎng)段上設置共享打印機或者文件夾��,以便給全公司的聯(lián)網(wǎng)計算機訪問�����。
6結語
通過實施VLAN前后的網(wǎng)絡協(xié)議分析��,在企業(yè)網(wǎng)絡應用高峰期利用OmniPeek協(xié)議分析軟件在各個VLAN網(wǎng)段中實時抓包采樣���,發(fā)現(xiàn)各個網(wǎng)段的廣播包數(shù)量明顯減少��,網(wǎng)絡利用率有了明顯提高���,實施后從未發(fā)生過廣播風暴現(xiàn)象���。特別是核心層網(wǎng)絡設備從普通交換機升級到全千兆VLAN交換機后,業(yè)務軟件的輸入�、統(tǒng)計、查詢��,以及瀏覽網(wǎng)頁的速度均有較大的提高����,網(wǎng)絡性能有了很大改善�。
上述企業(yè)VLAN的設計思路、實施步驟和配置參數(shù)具有很高的參考與應用價值����。規(guī)模更大、更復雜的企業(yè)網(wǎng)擁有更多的計算機���,因此���,需在此基礎上劃分更多的VLAN�����、設計更加復雜的ACL訪問控制策略����。通過VLAN的實施���,不僅提高了網(wǎng)絡安全性和利用率��,并且對于今后企業(yè)網(wǎng)絡的擴展和升級都帶來了很大的便利��。
參考文獻:
[1]崔北亮.CCNA認證指南(640-802)[M].北京:電子工業(yè)出版社�����,2009.
[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京:中國水利水電出版社���,2009.
[3]Marina Smith.虛擬局域網(wǎng)[M].北京:清華大學出版社,2003.
第7篇
關鍵詞:網(wǎng)絡營銷 中小企業(yè) 網(wǎng)絡購物管理系統(tǒng)
1 概述
隨著因特網(wǎng)技術的迅速發(fā)展和廣泛應用���,人類已步入網(wǎng)絡信息化社會���。網(wǎng)絡營銷是企業(yè)利用相關的信息技術通過因特網(wǎng)來實現(xiàn)營銷目標的一種營銷手段��,它是企業(yè)電子商務活動中最基本的商業(yè)活動����。中小企業(yè)建立網(wǎng)絡營銷系統(tǒng)的信息技術以計算機技術���、網(wǎng)絡技術和多媒體技術為核心���,整個網(wǎng)絡營銷系統(tǒng)的建設很復雜,但中小企業(yè)以實現(xiàn)網(wǎng)上購物為主要目的���。這里設計的中小型企業(yè)的網(wǎng)絡購物管理系統(tǒng)��,為企業(yè)提供系統(tǒng)后臺管理服務,實現(xiàn)了商品管理�、貨架管理、庫存管理����、用戶管理和系統(tǒng)管理。
2 系統(tǒng)需求分析
中小企業(yè)網(wǎng)絡購物管理系統(tǒng)是基于B/S體系結構的���,在Microsoft Visual 環(huán)境下使用����、C#編程語言、JAVA及Microsoft SQL Server 2008 數(shù)據(jù)庫開發(fā)的�����,人機界面友好���,安全性高�,不需要太大的投入��,便于維護更新����。前臺主要用于用戶注冊、瀏覽商品等��,后臺管理功能有商品管理�、貨架管理、庫存管理���、用戶管理���、系統(tǒng)管理五個模塊�����,系統(tǒng)管理員可以通過這些模塊更新維護系統(tǒng)����。如圖1所示��。本文主要介紹系統(tǒng)數(shù)據(jù)庫設計和后臺管理主要功能模塊設計�。
3 系統(tǒng)數(shù)據(jù)庫設計
系統(tǒng)數(shù)據(jù)庫的名稱設為sell,其中包括七張數(shù)據(jù)庫表�,分別設為用戶信息表user、用戶類別表utype��、商品表goods�����、商品類型表gtype�、商品貨架表jgoods��、庫存表kucun�����、商品貨架關聯(lián)表gjbind。
設計的SQLHelper類中封裝了最常用的數(shù)據(jù)操作�����,其部分代碼如下:
public class SQLHelper
{
/// 連接數(shù)據(jù)源
public SqlConnection myConnection = null��;
private readonly string RETURNVALUE = "RETURNVALUE"�;
///
/// 打開數(shù)據(jù)庫連接
///
private void Open()
{ // 打開數(shù)據(jù)庫連接
if (myConnection == null)
{myConnection=new SqlConnection(System.Configuration.ConfigurationManager.AppSettings["SQLCONNECTIONSTRING"].ToString());
}
if (myConnection.State == ConnectionState.Closed)
{try
{ ///打開數(shù)據(jù)庫連接
myConnection.Open()�;
}
catch (Exception ex)
{
SystemError.CreateErrorLog(ex.Message);
}
finally
{
///關閉已經(jīng)打開的數(shù)據(jù)庫連接
}
}
}
///
/// 關閉數(shù)據(jù)庫連接
///
4 系統(tǒng)后臺模塊設計
系統(tǒng)后臺功能模塊有商品管理模塊����、貨架管理模塊、庫存管理模塊��、用戶管理模塊����、系統(tǒng)管理模塊五個,這里只介紹商品管理模塊中查詢商品和用戶管理模塊中添加用戶的主要代碼����。
查詢商品主要代碼:
public string SQL()
{
string strsql = ""�����;
DataSet ds = new DataSet()��;
strsql = "select * from goods where id is not null"��;
hs.RunSQL(strsql���, ref ds);
string s1 = " and name like '%" + this.TextBox1.Text.Trim().Replace("'"�, "''") + "%'";
string s2 = " order by id desc"��;
if (this.TextBox1.Text ��!= "")
{
strsql += s1��;
}
return strsql + s2��;
}
添加用戶主要代碼:
protected void Button1_Click(object sender���, EventArgs e)
{
string UserName = this.TextBox1.Text.Trim().ToString()�;
string UserSex = "";
if (this.RadioButton1.Checked)
{
UserSex = "男"�����;
}
else
{
UserSex = "女"����;
}
string address = this.address.Text.Trim().ToString()����;
string phone = this.phone.Text.Trim().ToString();
string email = this.email.Text.Trim().ToString()�;
string des = this.TextBox7.Text.Trim().ToString();
string str = "insert into suser (name�����,pwd���,sex����,address��,phone,email��,tid�����,des) values('" + UserName + "'�����,"+123+"�����,'"+UserSex+"'�����,'"+address+"'���,'"+phone+"'�����,'"+email+"'��," + Convert.ToInt32(this.DropDownList1.SelectedValue) + "�����,'" + des + "') "�;
int k = hs.RunSQL(str)���;
if (k == 1)
{
Response.Write("alert('添加新用戶成功')�;location='adduser.aspx'")�;
}
else
{
Response.Write("alert('添加新用戶失敗,請重試��!')��;location='adduser.aspx'")����;
}
}
因篇幅有限,其他模塊代碼不再詳述����。
5 結束語
本文給出了中小企業(yè)網(wǎng)絡營銷管理系統(tǒng)數(shù)據(jù)庫和后臺管理模塊的主要設計過程,實現(xiàn)了中小企業(yè)通過網(wǎng)絡銷售的主要目的�����。在我國經(jīng)濟結構加速調整、全球化市場競爭日趨激烈的環(huán)境下�,為我國中小企業(yè)在網(wǎng)絡經(jīng)濟時代通過建設網(wǎng)絡營銷管理系統(tǒng)進入全球化的市場競爭提供了示范,對傳統(tǒng)中小企業(yè)的轉型和發(fā)展有指導作用���。
參考文獻:
[1]馮英健.網(wǎng)絡營銷基礎與實踐(第4版)[M].北京:清華大學出版社��,2013.6.
[2]劉志成.SQL Server實例教程(2008版)[M].北京:電子工業(yè)出版社�,2012.1.
[3]陳琦.企業(yè)電子商務商業(yè)模式設計:IT資源前因與績效結果[D].浙江大學�����,2010.
