Ⅰ 急求網路規劃設計方案 急!急!
1.1.1 網路規劃目的
網路規劃的目的是為了:
1.對網路建設具有先期的指導性;
2.使用戶對所建設的網路有一個全面的了解;
3.對以後的網路實施和驗收提供依據。
1.1.2 網路規劃的思想方法
網路規劃的思想方法主要有:
1.從網路核心入手,發散到網路邊緣
從核心開始著手,分析了用戶的核心需求,首先滿足核心要求,如中心機房的設計,然後逐步發散到匯聚和接入的考慮。
2.從網路接入入手,集中到網路核心
從接入層開始入入手,首先分析信息點的物理數量和分布,選擇接入設備和應用,再考慮上層網路的設計和設備的選擇。
3.思想方法多樣化
有經驗的網路設計人員可以根據個人的經驗和習慣進行設計,不同規模,不同需求導致思想方法不同。
1.1.3 網路規劃流程
1.2 方案設計步驟
在獲取用戶需求後,通過對用戶需求進行分析,如環境分析、流量分析,整理出相關有用信息,對網路地址進行規劃、技術及產品選型,得出具體方案。
1.2.1 用戶需求獲取
用戶需求就是用戶對網路的當前的認識和對未來網路建設目標的認識,不同的的用戶需求不同。
1.用戶需求來源及收集方法
需求來源及收集方法多種多樣。
(1)需求來源
1)決策者的建設思路
決策者的建設思路是項目成功實施的一個關鍵,首先了解決策者對網路建設的需求,包括網路擴展問題,核心功能問題。
2)用戶提供的歷史資料和行業資料
用戶提供的歷史資料、行業資料及資料使用狀況等資料,是網路設計具有行業色彩的關鍵。一般性的行業需求是方案設計人員應該具備的知識,用戶一般不會耐心說明本行業基本信息。特殊行業有特殊要求,包括相關政策,如政府機關的網路,涉及國家機密的計算機物理上不可與Internet相連。
3)用戶技術員的細節描述
用戶技術員的細節描述,是未來網路系統技術指標的來源。
4)普通用戶對網路的要求
網路使用者對網路的需求,是普通用戶的意見和看法。這部分用戶對網路技術方面不會很了解,但是他們的需求應該是最基本最直接的,也是應該盡可能需要滿足的。
(2)收集方法
1)會談紀要法
主要是方案設計方一用戶方相關人員,包括決策者和技術人員,在一起商討確定網路的規劃,出示書面的記錄,作為日後方案評估的標准。
2)關鍵人物接觸
會談中,也許會因為某些原因不能很全面、很完善的完成所有的需求。對關鍵人物的采訪可以使方案更具競爭力。
3)用戶訪談
用戶方部分人員進行訪談,了解他們對網路的認識和看法,對未來網路功能的需求。
2.用戶需求重點
(1)商業需求,資金投入,網路規模
1)工程分期問題
大型的網路工程通常是分幾個階段進行,了解工程分期的關鍵分界點,了解每期工程新增部分和預期目標。
2)投資規模
投資規模決定了網路設備選型,伺服器選型,冗餘等一系列服務水平。
3)預測擴展
網路應該具有相應的的彈性,考慮到未來3-5年的公司人員調整,業務量調整等,具有一定的伸縮性,這也是為了保護用戶投資而考慮的。
(2)現有網路的狀況
用戶原有的軟硬體資源,包括用戶對資源的掌握情況,考慮到一旦環境了生變化以後,如何使用戶平滑到新網路的使用,保護原有投資。
(3)網路分布需求
網路覆蓋的物理區域,幾棟樓宇、具體信息點的數量、位置和分布,有無信息死點,是否需要無線設備等等。
(4)業務分類、分布及對網路功能的需求
用戶需要網路系統具備什麼功能?是否支持多媒體業務?VOIP業務?移動辦公?遠程接入?
(5)網路帶寬和業務量的需求
包括區域網帶寬和Internet接入帶寬,以及業務量的分布;部門之間的信息流量,是否存在業務峰值?
(6)網路可靠性的需求
(7)網路安全性的需求
部門與部門之間的業務安全,整個區域網的安全,避免非法操作和網路災難,病毒防治。
(8)網路管理方面的需求
易管理,故障易定位。
1.2.2 用戶需求分析
1.需求分析的目的
(1)為網路規劃提供依據;
需求分析是網路設計的基礎,但它往往被忽略,或者降低到次要的位置。原因之一是需求分析是整個網路設計的難點。它需要與用戶溝通,將用戶模糊的想法清析化,不正確的想法正確化。不正確的用戶需求將導致設計結果與用戶要求不一致,導致整個項目終結。
(2)使方案設計個性化,更具競爭力
不同的用戶需求不同,為了實現個性化的方案設計,使方案更具競爭力,需要進行具有針對性的分析和設計。用戶投資和網路規模的問題,貫穿整個方案設計和始終,直接關繫到技術選型和設備選型
2.需求分析整理
(1)用戶提出的合理需求,滿足;
(2)超過現有技術和設備能力的需求,引導用戶,使用替代策略;
(3)幫助用戶清晰化。
1.2.3 環境分析
根據得到的用戶需求資料後,對園區進行實地考察,主要是要得出整個園區網路覆蓋的范圍、建築的多少、每棟樓距離多遠、每棟樓有多少層;每層樓的有多少間房、層高多少;、每間房需要接入多少個信息點,信息點總數。為流量分析、網路拓撲結構及傳輸介質選擇提供依據。
1.2.4 流量分析
1.通信分析
不同用戶應用系統之間、不同業務類型、不同組織之間的網路連接處稱為網路邊界。網路邊界一般就是通信流量的邊界。
2.業務特性
不同業務特性產生不同的流量要求。
3.流量分析步驟
1.2.5 網路地址規劃
1.網路地址規劃原則
(1)管理便捷原則
對私有網路盡量採用NAT規定的私有地址;選擇私有網路還要考慮未來網路擴展。
(2)地域原則
高位表示級別高的地域,低位表示級別低的地域。
(3)業務原則
不同的業務通過地址中的某一位來識別。
(4)地址節省原則
2.常用網路地址規劃方法
(1)按部門劃分
如果部門是按照地域來劃分的,這種方案將會很好;如果部門不是按照地域來劃分的,則會導致路由匯聚困難,如果網路規模比較大,地址空間也會比較亂。
(2)按照地域劃分
是按照地域來劃分可以提供很好的路由匯聚,但對多業務的網路無法充分利用網路特性對業務進行管理。
一般來說,地址規劃要根據實際情況,地域和部門綜合考慮。
1.2.6 網路技術選型
技術選型要考慮的因素:高帶寬、低延遲;與已安裝伺服器/桌面計算機/網路設備的兼容性;與已安裝的LAN協議的兼容性;對質量保證服務QoS的要求;廣域網的兼容性;網路技術的成熟性等。
1.2.6 網路設備選型
1.設備選型的依據
設備選型主要考慮用戶需求以及資金投入。
(1) 設備的檔次
可以根據網路的拓撲對各層作先期的選型估計,最能確定設備檔次上性能要求。
(2) 介面類型、數量
具體的介面類型取決於用戶的線路的選擇。而線路的選擇則取決於網路的數據流量的估算、當地各種線路的性價比。
(3) 可靠性要求
是否需要主控冗餘備份、電源冗餘備份。
(4)業務類型
是否有VoIP,各級IP語音介面的call數峰值。
2.設備分類選擇
(1)區域網設備選擇
主要是乙太網交換機。
(2)廣域網設備選擇
主要是路由設備選擇。
3.設備分層選擇
對網路不同層次採用不同檔次的設備,區域網、廣域網同樣如此。
決定設備不同檔次的其他方面因素有;
(1)可靠性
不同的網路位置,可靠性要求不同。中心一般有主控冗餘、電源冗餘要求。
(2)性能要求
不同的網路位置,流量不同,性能要求民不一樣。性能是決定不同設備檔次的主要環節。
(3)介面數要求
拔掉結構將影響介面密度;介面密度越高,設備檔次要求越高。
(4)介面類型
當有高速介面要求時,一般要選擇高檔次的設備。
Ⅱ 企業網路建設方案
純軟體也可以,軟硬體結合也可以
樓上有朋友說劃分VLAN是個好辦法,ARP發作只在同一VLAN里影響
再就是綁MAC地址,可以在本機上綁,前面有朋友提到了用arp命令
我們單位是用硬體綁,接入層交換機都用兩層半的那種交換機,在交換機上把埠\IP\MAC地址全綁起來了,這樣就沒啥問題了.
這樣做就是變更機器和使用筆記本移動辦公不太方便,不過配合無線可以把筆記本的問題解決掉.
另外就是做好IP和MAC對應表的備案工作,100多台機子算好些,我們辦公區加家屬區近2000台機子平時都作好了備案,哪個MAC地址對應誰的機子,用哪個IP一目瞭然.
一旦有ARP發作,先查備案表,表裡沒有的話再確定是哪個VLAN的,范圍就縮小了,然後再輔助NBTSCAN等軟體,或者登到交換機上,對VLAN內所有終端分片兒斷網,就可以追查到戶.
動態IP也不要緊,光備案MAC地址就行.我們單位所有計算機采購都由網路信息管理處負責,新機子一到,都要先備案,案頭資料工作做的扎實,管理起來會輕松不少.
各類管理軟體我沒用過,不好發表評論.不過殺毒的起碼要給裝上,100多個終端,裝網路版的成本也不老少,但有總比沒有好.網上有盜版的諾頓的網路版下載,客戶端中毒伺服器端收到報警,伺服器端升病毒庫下面自動跟著升,管理壓力會小許多.
封QQ,不好封吧,他們管理處在交換機上做了訪問控制列表,但我們用80埠的代理一樣可以上,總不至於他把80也封了.
Ⅲ 組建計算機網路的基本步驟
網路組建方案的確定和網路拓撲圖的繪制 網路設備硬體的准備和安裝計算機操作系統的安裝與配置網路協議的選擇與安裝網路資源共享的授權
Ⅳ 有關中小型區域網的網路安全解決方案
企業網路安全管理方案
大致包括: 1) 企業網路安全漏洞分析評估2) 網路更新的拓撲圖、網路安全產品采購與報價3) 管理制度制定、員工安全教育與安全知識培訓計劃4) 安全建設方案5) 網管設備選擇與網路管理軟體應用6) 網路維護與數據災難備份計劃7) 企業防火牆應用管理與策略8) 企業網路病毒防護9) 防內部攻擊方案10) 企業VPN設計
網路安全要從兩方面來入手
第一、管理層面。包括各種網路安全規章制度的建立、實施以及監督
第二、技術層面。包括各種安全設備實施,安全技術措施應用等
按照你的描述 首先我提醒你一點
安全是要花錢的 如果不想花錢就你現有的這些設備
我認為應該從以下幾點入手
一、制定並實施網路安全管理制度 包括伺服器以及個人主機安全管理、包括個級別許可權管理等等
二、制定並實施網路安全日常工作程序,包括監測上網行為、包括入侵監測
三、從技術層面上,你那裡估計是一根專線接入後用交換機或者無線路由器DHCP分配IP地址供大家上網,這樣的話你做不到上網行為管理,你需要一台防火牆進行包過濾以及日誌記錄 或者作一台代理伺服器進行上網行為管理並進行日誌記錄。
四、區域網內計算機系統管理 包括操作系統防病毒 更新補丁等工作 堡壘往往是從內部攻破 內部計算機中毒主動向外發送數據,造成泄密 這已經是很常見的事情 所以做好主機防護很重要。
當然 如果您有錢 黑洞系統 入侵監測 漏洞掃描 多級防火牆 審計系統都可以招呼
最後提醒一點 那就是 沒有絕對的安全 安全都是相對的
你需要什麼級別的安全 就配套做什麼級別的安全措施
管理永遠大於技術 技術只是輔助手段
Ⅳ 如何配置計算機網路
在計算機安裝好網路適配器且安裝了該設備的驅動程序之後,需配置計算機網路的主要參數包括IP地址、子網掩碼、默認網關、DNS。配置方式分為靜態IP地址和動態IP地址兩種設置方法。靜態IP地址設置下面以Win2000為例來說明靜態IP地址的設置和使用方法:
第一步:在開始菜單中選擇「設置」單擊「網路和撥號連接」 第二步:點擊之後將出現下面的界面 第三步:雙擊「本地連接」 第四步:單擊「屬性」,之後選擇「Internet協議(TCP/IP)」 第五步:雙擊「Internet協議(TCP/IP)」,選擇「使用下面的IP地址」和「使用下面的DNS伺服器地址」,IP地址、子網掩碼、默認網關按照統一分配的信息進行設置,DNS設置為「202.112.80.106」,最後點擊「確定」 WinXP系統和Win2000系統的主要區別是在開始的步驟,WinXP系統開始的步驟如下:
第一步:在開始菜單中選擇「網上鄰居」 第二步:單擊「網上鄰居」,出現如下的界面,此時點擊「查看網路連接」 之後就會出現「本地連接」,以後的步驟和Win2000系統的步驟完全一致。
動態IP地址的設置動態IP地址的設置方法和靜態IP地址的設置方法不同之處在於第五步。雙擊「Internet協議(TCP/IP)」,按照下圖的選項選擇「自動獲得IP地址」和「自動獲得DNS伺服器地址」進行設置,最後點擊「確定」。
Ⅵ 計算機網路系統設備安全應採取哪些手段
隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網路安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將著重對計算機信息網路安全存在的問題提出相應的安全防範措施。 1、技術層面對策
在技術方面,計算機網路安全技術主要有實時掃描技術、實時監測技術、防火牆、完整性檢驗保護技術、病毒情況分析報告技術和系統安全管理技術。綜合起來,技術層面可以採取以下對策:
1) 建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息,嚴格做好開機查毒,及時備份數據,這是一種簡單有效的方法。 2) 網路訪問控制。訪問控制是網路安全防範和保護的主要策略。它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。 3) 資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。有三種主要備份策略:只備份資料庫、備份資料庫和事務日誌、增量備份。
4) 應用密碼技術。應用密碼技術是信息安全核心技術,密碼手段為信息安全提供了可靠保證。基於密碼的數字簽名和身份認證是當前保證信息完整性的最主要方法之一,密碼技術主要包括古典密碼體制、單鑰密碼體制、公鑰密碼體制、數字簽名以及密鑰管理。 5) 切斷傳播途徑。對被感染的硬碟和計算機進行徹底殺毒處理,不使用來歷不明的U盤和程序,不隨意下載網路可疑信息。
6) 提高網路反病毒技術能力。通過安裝病毒防火牆,進行實時過濾。對網路伺服器中的文件進行頻繁掃描和監測,在工作站上採用防病毒卡,加強網路目錄和文件訪問許可權的設置。在網路中,限制只能由伺服器才允許執行的文件。
7) 研發並完善高安全的操作系統。研發具有高安全的操作系統,不給病毒得以滋生的溫床才能更安全。 2、管理層面對策
計算機網路的安全管理,不僅要看所採用的安全技術和防範措施,而且要看它所採取的管理措施和執行計算機安全保護法律、法規的力度。只有將兩者緊密結合,才能使計算機網路安全確實有效。
計算機網路的安全管理,包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
這就要對計算機用戶不斷進行法制教育,包括計算機安全法、計算機犯罪法、保密法、數據保護法等,明確計算機用戶和系統管理人員應履行的權利和義務,自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則,自覺地和一切違法犯罪的行為作斗爭,維護計算機及網路系統的安全,維護信息系統的安全。除此之外,還應教育計算機用戶和全體工作人員,應自覺遵守為維護系統安全而建立的一切規章制度,包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。 3、物理安全層面對策
要保證計算機網路系統的安全、可靠,必須保證系統實體有個安全的物理環境條件。這
個安全的環境是指機房及其設施,主要包括以下內容:
1) 計算機系統的環境條件。計算機系統的安全環境條件,包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面,都要有具體的要求和嚴格的標准。 2) 機房場地環境的選擇。計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地,要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性,避開強振動源和強雜訊源,並避免設在建築物高層和用水設備的下層或隔壁。還要注意出入口的管理。
3) 機房的安全防護。機房的安全防護是針對環境的物理災害和防止未授權的個人或團體破壞、篡改或盜竊網路設施、重要數據而採取的安全措施和對策。為做到區域安全,首先,應考慮物理訪問控制來識別訪問用戶的身份,並對其合法性進行驗證;其次,對來訪者必須限定其活動范圍;第三,要在計算機系統中心設備外設多層安全防護圈,以防止非法暴力入侵;第四設備所在的建築物應具有抵禦各種自然災害的設施。 計算機網路安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網路安全解決方案是綜合各種計算機網路信息系統安全技術,將安全操作系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃描技術等綜合起來,形成一套完整的、協調一致的網路安全防護體系。我們必須做到管理和技術並重,安全技術必須結合安全措施,並加強計算機立法和執法的力度,建立備份和恢復機制,制定相應的安全標准。此外,由於計算機病毒、計算機犯罪等技術是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
Ⅶ 計算機網路常見問題及解決方法
STP,VLAN,VTP,單臂路游,ARP病毒,在多我也想不起來了
Ⅷ 求一個公司無線網路建設方案
方案三:無線網路設計方案
一、前言
隨著計算機應用技術的普及和國民經濟信息化的發展,客戶/伺服器計算、分布式處理、國際互連網(Internet)、內部網(Intranet)等技術被廣泛接受和應用,計算機的聯網需求迅速擴大,網路在各行各業的應用越來越廣。目前盡管有線網路以其傳輸速度高,產品品牌及數量眾多和技術發展速度快等優點,在市場上有較高的知名度和較大的市場份額,但是在一些特殊的環境和特定的行業里依然有許多令IT數據管理公司頭疼多年的LAN布線問題存在。
無線區域網在很多應用領域具有獨特的優勢:一是可移動性,它提供了不受線纜限制的應用,用戶可以隨時上網;二是容易安裝、無須布線,大大節約了建網時間;三是組網靈活,即插即用,網路管理人員可以迅速將其加入到現有網路中,並在某種環境下運行;四是成本低,特別適合於變化頻繁的工作場合。此外,無線網路相對來說比較安全,無線網路通信以空氣為介質,傳輸的信號可以跨越很寬的頻段,而且與自然背景噪音十分的相似,這樣一來,就使得竊聽者用普通的方式難以偷聽到數據。
實際上,無線區域網早在80年代就已經得到廣泛應用,當時受到技術上的制約,通信速率只有860kb/s,工作在900MHz的頻段。能夠了解並享受它的好處的人少之又少。到了90年代初,隨著技術的進步,無線區域網的通信速率已經提高到1~2Mb/s,工作頻段為2.4GHz,並開始向醫療、教育等多媒體應用領域延伸。無線區域網的發展也引起國際標准化組織的關注,IEEE從1992年開始著手制訂802.11標准,以推動無線區域網的發展。1997年,該標准獲得通過,它大大促進了不同廠商產品之間的互操作性,並推進了已經萌芽的產業的發展。802.11標准僅限於物理(PHY)層和媒介訪問控制(MAC)層。物理層對應於國際標准化組織的七層開放系統互連(OSI)模型的最低層,MAC層與OSI第二層的下層相對應,該層與邏輯鏈路控制(LLC)層構成了OSI的第二層。
標准實際規定了三種不同的物理層結構,用戶可以從中選出一種,它們中的每一種都可以和相同的MAC層進行通信。802.11工作組的成員認為在物理層實現方面有多個選擇是必要的,因為這可以使系統設計人員和集成人員根據特定應用的價格、性能、操作等方面的因素來選擇一種更合適的技術。另外,企業區域網通常會使用有線乙太網和無線節點混合的方式,它們在使用上沒有區別。近年來,無線區域網的速率有了本質的提高,新的IEEE802.11b標准支持11Mb/s高速數據傳輸。這為寬頻無線應用提供了良好的平台。區域網作為一種通用的聯網手段,得到了極為廣泛的應用,其傳輸速率、網路性能不斷提高。不過,它基本採用的是有線傳輸媒介,在許多不適宜布線的場合,受到很大程度的限制。另一方面,無線數據傳輸技術近年來不斷獲得突破,標准化進展也極為迅速,這使得區域網環境下的數據傳輸完全可以擺脫線纜的束縛。在此基礎上,無線區域網開始崛起,越來越受到人們的重視。
隨著wireless技術的出現和技術的不斷進步,在諸多計算機聯網技術中,無線網以其無需布線、在一定區域漫遊、運行費用低廉等優點,在許多這些應用場合發揮著其他聯網技術不可替代的作用。隨著無線區域網應用逐漸增多,它將擴展有線區域網或在某些情況下取而代之。可以預期,在未來信息無所不在的時代,無線網將依靠其無法比擬的靈活性,可移動性和極強的可擴容性,使人們真正享受到簡單、方便、快捷的連接。
二、需求分析
2.1、基本應用情況
對於該辦公區的無線網路,主要提供給會議室、行政辦公室、銷售辦公室、
物流辦公室、常務副總辦公室和行政總監辦公室等6個區塊使用,這些部門及個人都使用計算機處理及傳遞各種信息(包括圖像、圖形、聲音、數據等),進行各自的辦公、會議和管理等工作。建立一個支持多種應用系統的統一、先進的、具有良好的可擴展性和有一定冗餘的網路平台,具有高可靠性、高安全性的運行網路是其基本的應用需求。下面將對其功能需求做一個具體詳細的分析。
2.2、功能需求分析
(1)技術中心辦公室
普通會議
視頻會議
多媒體會議
學術研討
(2)網路辦公功能
網上事務管理
Web通用查詢
Internet/Intranet信息服務功能
構建公司Intranet公司信息、服務系統,實現公司信息網上發布、整個公司的電子郵件系統、網上資源的信息共享,使管理人員和員工可以在公司內部網路交流。
2.3、環境需求分析
該建築是屬於大城市中的鋼筋混凝土框架建築物,按國家建築標准,無線信號的貫穿損耗中值為18dB,標准偏差7.7dB,但經現場測試,此建築的隔斷牆的無線傳輸損耗為5dB。本大樓主要分為辦公區和展覽區,在辦公區域接入點相對固定,而在大廳和展示廳的信號接入點則相對比較靈活,流動性比較大,需要做好無線信號的無縫漫遊、無信號盲區,使使用者能穩定地接收到信號。
2.4、安全需求分析
由於在該樓層中有物流、銷售、行政總監等辦公室,都擁有公司的機密文件和材料,而為了不讓外面的人在上外網的同時不能進入到本公司的內部網路,那就對我們的安全策略提出了要求,則必須使用穩定保險的加密技術來支持,比如WEP、WPA、RADIUS或無線交換機中使用的WLAN定位技術。
2.5、用戶需求
(1)無線覆蓋的場地,保證進入場地覆蓋區域的客戶能用自己的筆記本和無線網卡直接上網
(2)在保證客戶在場地及其它覆蓋區域無限制上網的同時,能使內部員工在辦
公樓內隨時訪問內部網路。
(3)要求在無線覆蓋區內95%的位置,99%的時間用戶可成功接入網路,通過無線訪問Internet。
(4)場地要求辦公區域無線覆蓋的信號接收強度達最低到15db,其它開放區域接收信號強度最大到底20db,需要做無線盲點覆蓋。
(5)單用戶情況數據傳輸速率最大4Mb/s,在多用戶接入時,不低於100kb/s
Ⅸ 網路安全的解決方案!急,滿意再給100!
談對網路安全的認識
近幾年來,網路越來越深入人心,它是人們工作、學習、生活的便捷工具和豐富資源。但是,我們不得不注意到,網路雖然功能強大,也有其脆弱易受到攻擊的一面。據美國FBI統計,美國每年因網路安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鍾就發生一起Internet 計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網路的優越性的同時,對網路安全問題也決不能忽視。作為學校,如何建立比較安全的校園網路體系,值得我們關注研究。
建立校園網路安全體系,主要依賴三個方面:一是威嚴的法律;二是先進的技術;三是嚴格的管理。
從技術角度看,目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由、網路防病毒等,這些技術對防止非法入侵系統起到了一定的防禦作用。代理及防火牆作為一種將內外網隔離的技術,普遍運用於校園網安全建設中。
網路現狀
我校是一所市一級中學,目前有兩所網路教室、200多台教學辦公電腦,校園網一期工程為全校教教學教研建立了計算機信息網路,實現了校園內計算機聯網,信息資源共享並通過中國公用Internet網(CHINANET)與Internet互連,校園網結構是:校園內建築物之間的連接選用多模光纖,以網管中心為中心,輻射向其他建築物,樓內水平線纜採用超五類非屏雙絞線纜。3Com 4900交換機作為核心交換機;二級交換機為3Com 3300。
安全隱患
當時,校園網路存在的安全隱患和漏洞有:
1、校園網通過CHINANET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
2、校園網內部也存在很大的安全隱患,由於內部用戶對網路的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現在,黑客攻擊工具在網上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
3、目前使用的操作系統存在安全漏洞,對網路安全構成了威脅。我校的網路伺服器安裝的操作系統有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系統:本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞,這些都對原有網路安全構成威脅。
4、隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分都沒有採取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網路被攻擊、系統癱瘓等嚴重後果。
由此可見,構築具有必要的信息安全防護體系,建立一套有效的網路安全機制顯得尤其重要。
措施及解決方案
根據我校校園網的結構特點及面臨的安全隱患,我們決定採用下面一些安全方案和措施。
一、安全代理部署
在Internet與校園網內網之間部署一台安全代理(ISA),並具防火牆等功能,形成內外網之間的安全屏障。其中WWW、MAIL、FTP、DNS對外伺服器連接在安全代理,與內、外網間進行隔離。那麼,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,並能夠對發生在網路中的安全事件進行跟蹤和審計。在安全代理設置上可以按照以下原則配置來提高網路安全性:
1、據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、埠、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從「關閉一切,只開有用」的原則。
2、安全代理配置成過濾掉以內部網路地址進入Internet的IP包,這樣可以防範源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網路的IP包,防止內部網路發起的對外攻擊。
3、安全代理上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
4、定期查看安全代理訪問日誌,及時發現攻擊行為和不良上網記錄,並保留日誌90天。
5、允許通過配置網卡對安全代理設置,提高安全代理管理安全性。
二、入侵檢測系統部署
入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,並採取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網路管理和網路監視功能於一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特徵庫,使用模式匹配和智能分析的方法,檢測網路上發生的入侵行為和異常現象,並在資料庫中記錄有關事件,作為網路管理員事後分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時採取應對措施。
三、漏洞掃描系統
採用目前最先進的漏洞掃描系統定期對工作站、伺服器、交換機等進行安全檢查,並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網路安全整體水平產生重要依據。
四、諾頓網路版殺毒產品部署
在該網路防病毒方案中,我們最終要達到一個目的就是:要在整個區域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網路內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網路的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
1、在學校網路中心配置一台高效的Windows2000伺服器安裝一個諾頓軟體網路版的系統中心,負責管理200多個主機網點的計算機。
2、在各行政、教學單位等200多台主機上分別安裝諾頓殺毒軟體網路版的客戶端。
3、安裝完諾頓殺毒軟體網路版後,在管理員控制台對網路中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。
4、網管中心負責整個校園網的升級工作。為了安全和管理的方便起見,由網路中心的系統中心定期地、自動地到諾頓網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然後自動將最新的升級文件分發到其它200多個主機網點的客戶端與伺服器端,並自動對諾頓殺毒軟體網路版進行更新,使全校的防毒病毒庫始終處於最新的狀態。
五、劃分內部虛擬專網(VLAN),針對內部有效VLAN設置合法地址池,針對不同VLAN開放相應埠,阻止廣播風暴發生。
六、實時升級Windows2000 Server、IE等各軟體補丁,減少漏洞;實行個人辦公電腦實名制。
七、安全管理
常言說:「三分技術,七分管理」,安全管理是保證網路安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套校園網路安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防範制度、上網規定等,同時要注意物理安全,防止設備器材的暴力損壞,防火、防雷、防潮、防塵、防盜等,並採取切實有效的措施保證制度的執行。
近幾年,通過對以上措施的逐步實施,我校校園網路能鴝安全正常運行,為學校教育教學工作的順利開展提供了有力輔助,並漸入佳境。
Ⅹ 誰能幫忙寫一篇計算機網路設計方案
..........
該校園網採用3層設計,主要分為核心層、匯聚層、接入層。核心層是網路中心,為整個校園網的中心節點,網路中心選址在校園地域的中心建築,網路中心布置了校園網的核心設備,如交換機、路由器、伺服器(Web伺服器、E-mail伺服器、DNS伺服器、撥號伺服器等),並預留了與將來新建園區的通信介面。核心層交換機採用4台高性能的萬兆核心路由交換機,並且實現核心層之間萬兆鏈路連接,核心層到匯聚層千兆鏈路連接,接入層到桌面百兆鏈路連接。匯聚層為各建築群的節點,為校園網的二級節點。校園網按地域設置了若干條干線光纜,從網路中心輻射到幾個主要的建築群,並在二級主幹節點處端接,匯聚層網路節點上安裝的交換機位於網路的第二層,向上與網路中心的核心交換機連接,向下與接入層(各樓層)的交換機或集線器連接。接入層是各建築樓層的節點,為校園網的三級節點。接入層節點是直接與伺服器和工作站連接的區域網設備,主要是快速乙太網集線器或交換機。
整個校園網與外部的連接介面有兩個,一個是連接到廣域網(如CERNET)的介面,一個是作為服務中心,接受外部用戶通過撥號或其他方式接入校園網。新校區和老校區通過租用或買斷通信光纜的方式,通過光纜進行相互連接,使兩個校區可以資源共享,包括辦公語言電話、有線電視節目、視頻會議等。
新校區網路建設所用到的硬體設備包括傳輸介質、交換機、集線器等設備,雙絞線、網卡、集線器或交換機、寬頻路由器和ADSL Modem等,軟體設備主要包括各種應用系統和網路平台,如安全認證系統、網管平台系統。
•傳輸介質:主要包括雙絞線和光纜,雙絞線主要是3類、5類、超5類非屏蔽雙絞線,超5類用於距離較遠的連接;光纜是單模光纜和多模光纜,單模光纜用於距離較遠的連接。
•核心層交換機:核心交換機質量的好壞直接影響到整個校園網的性能,應選擇模塊化的萬兆智能交換機,支持配置冗餘電源模塊和管理引擎模塊。這里採用銳捷網路RG-S6810E萬兆核心交換機,它具有1.6Tbps的背板帶寬,提供10個插槽,可配置冗餘電源模塊及管理引擎模塊,所有模塊支持熱插拔,利於提高系統的可靠性和穩定性;可提供萬兆埠32個,二、三層交換機轉發速率572Mbps。核心與核心的分中心統一採用RG-S6810E交換機,並利用RG-S6810E萬兆埠連接辦公子網、多媒體教室、圖書館、學生宿舍等子網。
•匯聚層交換機:匯聚層交換機與核心交換機通信比較頻繁,每天都需要訪問大量數據,包括音頻、視頻等,匯聚層交換機必須具有足夠的帶寬。這里選用RG-S3760-12SFP/GT全千兆交換機,它具有48Gbps的背板帶寬,提供12個千兆埠,二、三層轉發速率18Mbps,另外,它還支持冗餘電源介面,可配置專門的冗餘模塊提供電源,並且對IPv 6全面支持,可滿足全面部署IPv 6網路的可能性。
•接入層交換機/集線器:接入層交換機(或集線器)直接與計算機連接,由於校園網需要連入的節點眾多,需要選用可堆疊的交換機或集線器。這里選擇銳捷網路Star-S2100G系列千兆交換機,可以配置千兆、百兆模塊,最多可以實現8個設備進行堆疊,另外該系列交換機支持802.x五元素綁定認證,包括用戶名、計算機IP地址、計算機MAC地址、接入交換機IP地址、接入交換機埠號等元素。
•遠程路由器:網路中心通常提供遠程撥號服務,以便遠程用戶(老師、學生)從家中訪問校園網,這時可以使用具有遠程訪問功能的路由器。當遠程用戶通過ISDN或Modem撥號連接到該路由器時,就可以登陸校園網。這里選擇Star-R2600模塊化路由器,它可以提供8/16個非同步埠,可以連接8/16個ISDN或Modem作為應答設備。Star-R2600路由器可以直接連接到核心交換機上,也可以通過代理伺服器連接到交換機,後者成本較前者高,但同時網路安全性也較高。
•機架 Modem:網路中心也可以採用機架Modem作為遠程訪問連接設備,當遠程用戶通過ISDN或Modem撥號連接到該設備時,就可以登陸校園網。這里選擇336NMS機架Modem,它可以提供16個撥號埠,可以同時接受16個遠程用戶的撥號接入。336NMS機架Modem必須先連接到代理伺服器,然後再連接到核心交換機上。
................
...............
詳細的寫不下