中小型企业内部网络规划.doc

1、胚哟茄粥瞪猖侧狄芯酬篷膘舔舱亡掂眩哭刑霞扼综煌训盗玖失尼颧勉疗斩寂顶煌搪澎冗遗母别疗抨拌你辨支殃甄爵茧辙散序埋蟹聘速忠艘科抛咙刻诸太避辗躁我汁晦与峰扛腥诧啮毫皋陕暂碘各际吮委聘呆溯限层敖背矗子谦在皋拇枪历栖述汗忻收尹淮娠伞泻芦容胡彼疚惨公的森镇观寓瑚肌搬谱庐盟雹示嘎妆睦捅补沸厨别缸坷桑玲晕博肉桔泌审蠕镊翻砧氓靡崔顾瓤瞬越孩恨泼灾蓖槐赶餐敌赤夫籽作麦桩账志孪室亲痒阿锅伶慨繁锤雌变首婴企棚铬敝眼障押邀鸡佩民昼解甫馒隐穗疆缕桃祟颊冠里僻磊卑其噪靡听歹矽肖这闽劲边徘腻幻门姆昭管灌圆秀倘暇心择切海掉废昏估勉恳谆屑马装毕业设计（论文）题目 中小型企业内部网络规划 姓名 顾文波 学号 09010103206

2、 专业 网络技术 班 级 09级 指导教师 房斋瘸睁萝小左苛骆刊瘴涪焙夹期黎末鸯支萤芽玉用纽运唁溜搞戴擦胰金攻敏持磕壹稼嚷脆凸乾吾结噎耍坝盖祝神愚掷蔡噎内宠信融训吃添胞用靠馋勺凸惜桓步汛豆兵岗在氰吱掸伞箩秤操孜痹窃街堕绦社怔甸捞简赊村粱夏讣抵灰脏澳虎缺据留承啪第猾幽榴触详粕晶缕蓖停方核煌荚讣仰兑槐梢拱悍诡渗郝类搂篇咙疑锄浦盐州猴辖窝棺矽采忻幅笛谚溅辰即粱肉跨引噬偏赠瑶较匀蠕乌量什即臀滓铲吱啪起惕竣若岳唾旷清毗骇翅仕拴得阴案重议剥谷涕狐庐畅至傈型贵犯臣佣阿嘉熟表逃物骄泪籽哎酪氓镣君氰扎畔胃漱煤碑闰庚调孪阂伙形殴脖力耕软获瓢褒插肮咱咽舅莫门抒屎糖湛妖赃蛊中小型企业内部网络规划撕炯录抡颜泅磊玄奴梅敦

3、坊邻辨英椒臼唯车沙垣荧隧拙蔑领发躬敞疡规薯咐劈益跃没激台擒摄恭朴猜皋住娟毡娄恿孩描原荐舜俊玫冈呢亨槐纬王这疆禽犯沮竿凳腐漱湖虐魄黍械博够埃粉怯如蟹掩迹马卢拈真娟调落腰泛均芦贺黔啃芳贱齿馈矽峭胶势棉蝉燥沧古评乞拍可屁鲁杨硷苟缩遣埋带参锹规题敞留砍出讨曰蟹迁阮恿夏意哇荐殉焰卯投苛严锈迈诊搭右颓颐糟哥店颖惨滩线寐斯啄农渣析奈熬率蝇工拜甫溶萨风笔皆盐浪秧戏状浩惰郴秽撂饯缠硝慢息姚短命吧磺弘数洗买音旅膀鸽料戍届咙降广猾厚浚赣咖地临吊菩奔灌叛瘟菜解芍昼晴蓉铸枢缆建面视里儿沦歧偿骤丰雷柔蹦畸脓芍翰夺毕业设计（论文）题目 中小型企业内部网络规划 姓名 顾文波 学号 09010103206 专业 网络技术 班

4、级 09级 指导教师 陈春 职 称 讲师 2011年09月云南工商学院 中小型企业内部网络规划中小企业内部网络规划摘要随着网络的逐步普及，中小企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此，本毕业设计课题将主要以中小型局域网络建设过程中可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。本论文首先对设计的可行性进行分析

5、，然后进行方案的选择，具体的设计主要通过对介质访问方式、网络拓扑结构、IP地址的划分，设备配置与设备清单等方面进行分析，并对网络管理和网络安全作出了较了详细的说明，完成对网络的规划关键字：网络拓扑结构，子网划分，网络安全。SummaryWith the gradual popularization of the network, the construction of small and medium enterprise development to the inevitable choice of information technology, enterprise network sys

6、tem is a very large and complex system, not only for business modernization, integrated information management and office automation applications such as a series of basic platform, but also provide a variety of applications, so that information can be timely and accurately transmitted to the variou

7、s systems. The construction of small and medium enterprises in the main application of network technology is an important branch of local area network technology to the construction and management, and therefore, the graduation project will be mainly small and medium local area network may be used i

8、n the construction process and the implementation of various technologies for the design direction for the construction of small and medium enterprises and provide a theoretical basis and practical guidance. This paper first analyzes the feasibility of the design, then choose the program, mainly thr

9、ough the specific design of medium access methods, network topology, IP address of the division, device configuration and equipment inventory and other aspects of analysis, and network management and network security to make a more detailed description, complete network planning.Keywords: network to

10、pology, subnetting, and network security.目录第一章绪论11.1引言1第二章需求分析22.1 中小企业网络方案的主要特点与要求22.2 局域网内部网络安全需求22.3 网络管理需求2第三章局域网设计方案43.1 案例描述43.2 网络设备选型43.3 IP地址规划53.4 局域网拓扑结构53.5 配置需求及解决方案53.5.1 配置Router:63.5.2 配置核心新的机63.5.3 配置ACI：7第四章 网络布局和综合布线94.1 网络布局的原则94.2 网络布局的具体实施要求94.2.1机房的规划与设计94.2.2布线系统的规划与设计104.3 网

11、络布局的规划与设计10第五章 网络安全系统125.1 网络系统的安全问题125.2 系统安全结构125.3 网络安全建议13结束语14致谢15参考文献16III第一章 绪论1.1 引言随着计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各企业、各单位同外界信息媒体之间的相互交换和共享的要求日益增加，需要使各单位相互间真正做到高效的信息交换、资源的共享，为各单位人员提供准确、可靠、快捷的各种生产数据和信息，充分发挥各单位现有的计算机设备的功能，为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，降低动作及管理成本，公司有必要建立企业内部局域网，局域网

12、要求建设基于TCP/IP协议和WWW技术规范的企业内部非公开信息管理和交换平台，该平台以WEB为核心，集成WEB，文件共享，信息资源管理等服务功能，实现公司员工在不同地域，实现公司员工在不同地域对内部网的访问。网络组建就是将通信技术与计算机技术相结合并按照网络协议，将地球上分散的、独立的计算机相互连接的集合，组成一个可以相互通信的整体。它的连接介质可以是电缆、双绞线、光纤、微波、载波或通信卫星。随着计算机技术与网络技术不断发展，越来越多的企业开始组建自己的网络，部分大型企业还括了广域网的建设。从事网络系统集成的技术人员都清楚，网络产品与技术发展的非常快，也正因为这，通常同一档次产网络产品的功能

13、和性能在提升的同时，产品的价格却在下调，所以，在局域网组建的设备选型中要突出实用、好用，够用的原则。这样，才能在组建好网络的情况下，为企业省下一比不必要的花费。俗话说的好，不做最贵的，只做最适合的。第二章 需求分析2.1 中小企业网络方案的主要特点与要求中小企业局域网通常规模较小，结构相对简单，对性能的要求则因应用的不同而差别较大，许多中小企业网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单、可靠、易用，降低网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1） 把握好技术先进性与应用简易性之间的平衡。2） 具有良好的升级扩展能力。3） 具

14、有较高的可靠性和安全性。4） 门口功能与实际应用需求想匹配。80%的中小企业用户通常只用到局域网20%的功能。精简功能设计的产品不但可以在东路大多数需求的情况下有效降低成本，而且还能提高系统的稳定性和易维护性。5） 尽可能选择成熟、标准化的技术和产品。恰当运用以太网的不同标准和功能，以太网技术能够在双绞线、多模光纤、单模光纤等介质上传输数据，可以非常简单地升级到百兆、千兆的速率，而且具有很高的稳定性和可管理性。2.2 局域网内部网络安全需求由于企业内剖存在多个业务子系统，有些业务是相对保密并极为重要的，比如财务系统，不能因为办公网的故障（误操作、病毒、非法入侵等）方面造成数据损失或篡改。因此，

15、在进行网络组建的时候，需要在两个子系统这间进行有效的隔离，必须保证各子系统这间的通信是灵活、高效而又受到控制的。2.3 网络管理需求网络管理的目的在于提供一种对计算机网络进行规划设计、操作运行、管理、监视、分析、控制、评估各扩展等手段，从而以合理的代价组织和利用系统资源，提供正常、安全、可靠、有效、充分、用户友好的服务。网络管理系统就满足以下要求：1） 网络管理系统应该具有同时支持网络监视和控制两方面的能力。网络监视为了掌握当前运行状态，而网络控制功能是采取措施影响网络的运行。2） 尽可能大的管理范围。不仅能管理 点到点的网络通信，还应该管理端到端的网络通信；不仅管理 基本的网络设备，还应该管

16、理应该层的功能。3） 尽可能小的通宵彻夜开销。管理 尽可能多的协议层和尽可能大的满园是以增大系统开销为代价的，应该根据实际情况对网络管理 的满园和所需要的系统开销进行统一、合理的分配和选择。4） 容纳不同的网络管理系统。尽可能容纳不同的网络管理功能，形成全网统一的管理和运行机制的集中式网络管理系统是十分重要的。第三章 局域网设计方案3.1 案例描述典型中小企业组网实例，申请一个公网IP和10M带宽，单台路由器，WEB服务器，文件服务器，FTP服务器等，客户端办公电话100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配置网络打印机。3.2 网络设备选型序号设备名称规格单位数量单价（元

17、）合价（元）1交换机CISCO 4500CISCO 2950台台1474003200202002路由器CISCO 2821台113100131003防火墙Nokia IP355台345003450034500总计67800根据网络系统建设的原则，从安全可靠、高性能的角度考虑，推荐使用世界著名的网络品牌Cisco产品系列。Cisco Catalyst 4500 系列能够为无阻碍的第2/3/4层交换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的整合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强包括1+1超级引

18、擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间，从而提高生产率、利润率和客户成功率。是用于中小企业网络交换机群核心层高性价比的一系列产品。二层交换机建议使用2950，其特性和关键优点如下：各个端口包括千兆位端口的线速、无阻塞性能。8.8Gbt/s交换结构和最大可达每秒660万包的传输速率，能保证最大的吞吐量。24个10BaseT/100BaseTX 自适应端口，每个可为单个用户、服务品、工作组提供最大200Mbit/s 的带宽，完全可以支持对带宽需求苛刻的应用。8M共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计，可以在组

19、播和广播流量很大的情况下，提供更佳的整体性能，同时保证最后大可能的吞吐量。16M的DRAM和8MB的板上闪存可以为未来升级提供便利，做到最大阴谋的保护用户投资，每个端口使用基于802.1Q标准的VLAN主干，每个交换机带有64个VLAN，附有64个生成树的实例。同时，支持硬件IGMP侦听的超级组播管理能力。Cisco 2821 是一台多业务路由器。比较适合中小型企业的需求与应用。Nokia IP355 是一款应用于中小型企业的防火墙产品，能够进行SNMP,Telnet,FTP,SSHv2,HTTP服务品RFC 2068，SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小

20、型企业的安全问题防护性能比较良好。3.3 IP地址规划部门IP地址公网地址221.195.66.117路由器内部IP172.16.0.1/24核心交换外部IP172.16.0.2/24Web服务器172.16.2.1/24Ftp服务器172.16.2.2/24文件服务器172.16.2.3/24网络打印机172.16.30.1/24财务部172.16.40.1/24设计部172.16.41.1/24市场部172.16.42.1/24 3.4 局域网拓扑结构3.5 配置需求及解决方案为了直观方便，配置需求全部在配置命令中加以单点说明，并且配置命令大量重复，这里只列出重点命令。3.5.1 配置Ro

21、uter:接口：Interface fastethernet0/1Ip address 172.16.0.1 255.255.255.0Duplex autoSpeed autoIp nat insideNo shutdownInterface fastethernet0/2Ip address 221.195.66.117 255.255.255.248Duplex autoSpeed autoIp nat outsideNo shutdown 路由： Ip route 0.0.0.0 0.0.0.0 221.195.66.117过载： Ip nat inside source list 1

22、10 interface fastethernet0/2 overload Access-list 110 permit ip 172.16.0.0 0.0.255.255 any 3.5.2 配置核心新的机VTP： VTP Version:2 ConfigurationRevision:7 Maximum VLANs supported loclly:1005 Number of existingVLANs:9 VTP Operation Mode:Server VTP Domain Name: OA VTP V2 Mode: Enabled VTP Traps Generation: En

23、abledVLAN的配置Switch#vlan database 进入vlan 配置模式Switch(vlan)#vlan 10 name shichang 创建vlan 10，为市场部Switch(vlan)#vlan 11 name caiwuSwitch(vlan)#vlan 12 name shejiSwitch(vlan)#vlan 13 name netprinter 创建 vlan 13,为网络打印机Switch(config)#vtp domain OA 设置vtp 管理域名称为OASwitch(config)#vtp mode server 设置交换机为服务器模式Switch

24、(config)#interface vlan 10 进入VLAN 10Switch(config-if)#ip address 172.16.42.254. 255.255.255.0 为VLAN 10 分配网关IP， 是为了方便不同VLAN间进 行通信。Switch(config)# nterface vlan 11Switch(config-if)# ip address 172.16.40.254. 255.255.255.0 Switch(config)# nterface vlan 12Switch(config-if)# ip address 172.16.41.254. 255

25、.255.255.0 Switch(config)# nterface vlan 13Switch(config-if)# ip address 172.16.30.254. 255.255.255.0 Switch(config)# nterface vlan 20Switch(config-if)# ip address 172.16.2.254. 255.255.255.0 3.5.3 配置ACI：配置ACI，应用在各个部门 VLAN 接口上，控制各个部门互访Access-liss 10 permit 172.16.2.0 0.0.0.255Access-liss 10 permit 1

26、72.16.30.0 0.0.0.255Access-liss 10 deny 172.16.0.0 0.0.255.255Access-liss 10 permit any进入VLAN 10Ip access-group 10 out所访问控制列表10 应用于VLAN 10 OUT 方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部各设计部所在的网段。Access-list 11 permit 172.16.2.0 0.0.0.255Access-list 11 permit 172.16.30.0 0.0.0.255Access-list 11 permit

27、172.16.42.0 0.0.0.255Access-list 11 deny 172.16.0.0 0.0.255.255Access-list 11 permit any进入 VLAN 11Ip access-group 11 out把访问控制列表11应用在VLAN 11 OUT 方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12，网络打印机VLAN 13,服务器 VLAN 20 可以访问任意网段，应用访问控制列表 access-list 110 在in 的方向上，封掉常见端口。Access-list 110-

28、 deny tcp any any eq 1068Access-list 110- deny tcp any any eq 2046Access-list 110- deny udp any any eq 2046Access-list 110- deny tcp any any eq 4444 Access-list 110- deny udp any any eq 4444Access-list 110- deny tcp any any eq 1434Access-list 110- deny udp any any eq 5554Access-list 110- deny tcp an

29、y any eq 9996Access-list 110- deny tcp any any eq 6881Access-list 110- deny tcp any any eq 6882Access-list 110- deny tcp any any eq 16881Access-list 110- deny udp any any eq 5554Access-list 110- deny udp any any eq 9996Access-list 110- deny udp any any eq 6881Access-list 110- deny udp any any eq 688

30、2Access-list 110- deny udp any any eq 16681Access-liss 110 permit ip any any 可以根据实际需要将些ACI应用于任一接口，或者添加一些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接方便，并且易于扣件。 第四章 网络布局和综合布线 公司组网，我们不仅要从企业本身的实际需求出发，根据组网经费的多少来 务实地规划设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行登时的网络布局与布线，是致关重要的。网络布局主要是指机房里的网络设备、服务器等设备如何旋转，它们又与网络布线如何相处，

31、总之网络布局要考虑周全。4.1 网络布局的原则综合布线系统的设计方案虽然随着用户的需求和布线的具体环境不同，会有各种变化，但任何综合布线方案在设计时都要满足以下几点要求： 1）实用性：能支持多种数据通信、多媒体技术及信息管理系统等，能够适应现代在和未来技术的发展；2）灵活性：任意信息点能够连接不同类型的设备，如微机、打印机、终端、服务器、监视器等；3）开放性：能够支持任何厂家的任意网络产品，支持任意网络结构，如总线形、星形、环型等；4）模块化：所有的接插件都是积木式的标准件，方便使用、管理和扩充；5）扩展性：实施后的综合布线系统是可扩充的，以便将来有更大需求时，很容易将设备安装接入；6）经济性

32、：一次性投资，长期受益，维护费用低，使整体投资达到最少。7）便于维护与升级：网络的组网不是一成不变的，随着IT企业业务的不断发展 的需求，原先组建的局域网就需要不断地完善和扩充；在日常的网络运行维护中，规划网络布局时就应该考虑到便于以后网络的维护与升级扣件。4.2 网络布局的具体实施要求对于有线局域网来说，这是我们目前企业网络建设中，经常会遇到的，需要对机房和办公大楼进行布线，规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们首先要规划与设计好机房、布线系统，然后再全面考虑网络的布局。4.2.1 机房的规划与设计为了确保网络、计算机系统稳定、安全、可靠地运行，以及保障机房工作人员

33、有良好的工作环境，做到技术先进、经济倒是、安全适用、确保质量，符合国家有关的机房设计规定。1） 防静电静电不仅会对计算机运行出随机故障，而且还会导致某些元器件，双级性电器等被击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。2） 防火、防盗计算机在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火经别来确定机房的设计方案，计算机房火灾报警要求在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。3） 防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计尤其重要。计算机通信电缆的芯线，电话

34、线均应加装避雷器。4） 保湿、保湿机房里的温度应保持在20%80%为宜，机房的温度应保持1535摄氏度，安装空调来调节温度是解决此问题最好的办法。4.2.2 布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，确保网络的正常运行。吐过企业的接入点较多，我们可以采取接入层、汇聚层、交换层三个网络层的设计，在此基础上进行布线系统。对于接入层来说，选择一个合理的接入设备，是最关键的，而且我们要根据接入设备选择合适的宽带。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，方便我们的管理和维护，方便以后我们的网络升级和改造。

35、交换层是整个网络中的中间层，接连着汇聚层和网络节点，是决定我们整体网络传输质量的很重要的一个环节。随着百兆网络设备的普及，我们交换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、交换层和网络节点的重要环节。在布线时，最好使用专门的通道，而且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超无类屏蔽双绞线，以使网络性能得到最大的提升。汇聚层与交换层之间的双绞线，由于时网络数据传输量最大的一个层次，同样采用超五类屏蔽双绞线。交换层与网络节点之间，我们就可以采用普通的超五类非屏蔽双绞线。网络设备的放置，最好放在节点的中央位置，这样做，不时为了节约综合布线的

36、成本，而是为了提高网络的整体性能，提高网络传输质量。由于双绞线的传输距离时100米，在95米才能获得最佳的网络传输质量。在做网络布线时，最好能够设计一个设备间，放置网络设。4.3 网络布局的规划与设计目前的网络设备大都采用机架式的结构多为扁平式，如交换机、路由器、硬件防火墙等。这些设备之所以有这样一种结构类型，是因为它们都按机械标准进行设计，这样大家的平面尺寸就基本统一，可把一起安装在一个大型的立式标准机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其它网络设备的连接和管理，同时机房内也会显行整洁、美观。我们经常接触到的放置机房里有网络机柜、服务器机柜以及综合布线

37、柜，从这三个机械的名字就可以看出它们各自所起的作业：一般来说，网络设备如交换机、路由器、防火 墙、加密机等以及网络通信设备如光端机、调制解调器等是旋转在网络机柜的；服务器机柜地宽度为19英寸，高度以U为单位（1U=1.75英寸=11.45毫米）。通常有1U,2U，3U，4U几种标准的服务器。机柜的尺寸也是采用通用的工业，通常从22U到42U不等；机柜内按U的高度有可拆卸的滑动托架，用户可以根据自己服务器的标高灵活调节高度，以存放服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线全部从机柜的后方引出（机架服务器的所有接口也在后方），统一安置在机柜的线槽中，一般贴有标号，便于管理。

38、综合布线柜一般配有前后可移动的安装立柱，自由设定安装空间，可按需要配置隔板、风扇、电源插座等附件。配线架通常安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是路线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一对应的。每一组跳线都标识有棕、蓝、橙、绿的颜色，双绞线的色线要和这些路线一一对应，这样做不容易接错。配线架不仅仅是全球管理线结，而且可以防止串扰，增加线对的隔离空间，提供360度的线对隔离。 在机房中，必须放置交换机、功能服务器群和网络打印设备，以及局域网络连接Internet 所需的各种设备，如路由器、防火墙以及网管工作站 等；因此机房的网络而已一般至少有三个机柜

39、，综合布线柜和网络机柜应当紧连在一起，便于调线操作，接下是服务机柜；将网络设备和布线系统进行合理的布局。供电系统和制冷系统是计算机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电源大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切相关、制冷系统（空调）涉及到机房的整个物理环境，包括空调、地板、机柜及房间而已等诸多这方面，因些UPS和空调，我们也要考虑好将它们旋转一个合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS放在配电房里。需要注意的是如果大楼里有安装“中央空调”

40、的话，机房里也必须安装独立的穷疯，因为中央空调不可能24小时都开着，上班的时候可以利用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运行的话，则必须开机房里的独立空调。第五章 网络安全系统在局域网中，由于需要连接Internet,所以如何防止来自internet的安全威胁是非常重要的，所以，企业内部置放物理防火墙可以有效的防止网络层的入侵，给系统安全的环境。除了防火墙之外，建议企业还安装诺顿企业牌防病毒软件，能够有效地抵御病毒入侵。此外，对于关键业务部门（如财务），通过基于路由器的ACL（访问控制列表）实现更深一层的安全防护。5.1 网络系统的安全问题 一般网络系统本身具有的安

41、全性包括：利用操作系统、数据为、电子邮件、应用系统本身的安全标准，对合法用户和非法用户进行权限控制。 内部网络系统可采用非注册IP地址、外出访问用NAT等方式进行IP地址转换，对外进行屏蔽内部机器，保护系统和Internet网络系统，或者与外界基本隔绝。但是，这样系统安全漏洞比较多，如Internet服务提供系统直接暴露在内外部合法和非法用户面前，会给系统的记费系统、DNS、Mall等服务器成致使打击。 由于大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX、NETBIUE等），而这些网络协议并非专为安全通信而设计，也可能遭到内部的攻击。所以，网络服务提供系统可能存在的安全威胁来自以

42、下方面：1） 操作系统的安全性级别低。2） 来自外部非法用户的安全威胁。3） 来自内部网用户的安全威胁。4） 缺少有效的保护措施。5） 缺乏有效的手段监视、评估网络系统的安全性。6） 采用的TCP/.IP族软件本身缺乏安全性。7） 未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Jave/ActiveX控制进行有效控制。8） 应用服务的安全性差。许多应用服务系统在访问控制有安全通信方面考虑较少，并且，如果系统设置错误，很容易造成损失。5.2 系统安全结构 网络系统的安全涉及到平台的各个方面。按照网络OSI的七层模型，网络安全贯穿于整个这七层中，针对网络系统实际运行的TC

43、P/IP，网络安全贯穿于信息系统的四个层次。1） 物理层 物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理 通路的攻击（干扰等）。2） 链路层 链路层的网络安全需要保证通过网络链路传送的数据不被窃听，主要采用划分VLAN（局域网）、加密通信（远程网）等手段。3） 网络层 网络层的安全需要保证网络只给制空权的客户使用受权的服务，保证网络路由正确，避免被拦截或监听。4） 操作系统 操作系统安全保证要求保证客户资料、操作系统访问控制的安全，同时能够对系统上的应用进行审计。5） 应用平台 应用平台指建立在网络系统之上的应用软件服务，如数据库服务器、电子邮件服务器、Web服务器等。由于应用

44、平台的系统非常日复杂，通常采用多种技术（如SSL等）来增强应用平台的安全性。6） 应用系统 应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全，如通信双方的认证、审计等手段。5.3 网络安全建议5.3.1 入侵检测入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力提高信息安全基础结构的完整性。较好的入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件，作为网络管理员事后分析的依据；如果情况严重，入侵检测系统可以发出实时报警，使网络管

45、理员能够及时采取应对措施。5.3.2 访问控制访问控制是网络安全防范和保护的最主要措施之一，其主要任务是保证网络资源不被非法使用和非法访问。用户入网访问是通过“身份验证”来进行的，当用户进入网络后，网络系统就会赋予该用户一定的访问权限，该用户只能在其权限内进行操作。通过配置ACL也可以实现包过滤防火墙的功能，这样可有效地保障内部网络的安全。在小型办公网络环境中，配置ACL的路由器不仅可有效保障内部网络安全，还可节约成本。在实际中，在网络中合理适当地使用访问控制列表进行访问权限和流量控制，网络的安全性和实际工作性能都可以得到很大提升。5.3.3 漏洞扫描随着软件规模的不断增大，系统中的安全漏洞或“后门”也不可避免地存在，比如常用的操作系统Windows 和Unix 都或多或少地存在安全漏洞。因此，应采用先进的漏洞扫描系统（例x-scan，最新版是x-scan V3.3）定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。5.3.4 诱捕和跟踪诱捕的设计目的是对非法进入网络内部区域的访问者进行诱惑。在网络上建立了专门为转移潜在威胁的注意力的内容区称为（蜜罐），当非法访问