中小型企业网络安全设计方案致谢

Ⅰ 中小型企业网络组网

IP协议是网络发展的一个重要推动力，它已经有很长的历史，是与Internet同步成长起来的网络协议。在过去，IP协议并非主导的网络协议。但是进入八十年代末和九十年代，特别是进入九十年代，随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序，例如万维网技术，电子邮件，文件传输，等等。所以，IP协议成为主导协议已经不可能逆转，这是市场的选择，也是用户的选择。以IP技术为核心的金融网络，将为基于数据、语音、视频业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化，在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展，导致其应用也越来越复杂化。目前，单靠产品已经不能很好的满足银行的实际需求，更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验，基于银行的实际应用环境，开发了一系列贴近于用户的产品，同样，我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下：
第一部分银行网络发展趋势及需求分析，对银行发展趋势及网络需求进行分析；
第二部分提出金融行业以太网建设总体方案设计，介绍各个技术层面的设计原则；
第三部分金融行业以太网建设的详细设计，针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里，我们根据迈普公司多年来的经验，对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源，银行从最初的电子化到现在，都是由业务拉动网络的发展，随着网络的发展，网络对带宽、设备的要求越来越高，可以从以下发展图示中看到银行网络发展的轨道：
银行互联网络的发展大致经过了三个阶段，目前正处在由串行通信互联到IP网络化阶段过渡的时期，目前大多的广域网通信带宽在64K到2M之间，网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到，下一代网络将向交换机发展，目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始采用基于宽带的广域网互联，从储蓄所到中心全部采用光纤接入。在该网络上可以方便的实现宽带的视频应用，但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到，银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑，网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来，可以将银行目前的发展方向细化为几个方面
可以看到，主要有5个方面的发展：
管理集中
管理集中是网络规模扩大的必要管理手段，先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台，对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制，但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的，是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化，指的是网络逐渐向边缘延伸，同时与外部网络的联系越来越紧密。
在这五个方面发展的同时，网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和资源共享的需要，随着金融企业业务范围的扩大和业务产品的增多，更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为：业务应用和办公应用。业务应用包括零售、会计、信用卡、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统；办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统，以及未来可能发展的数字电话、视频网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求，以及与广域网络的无缝连接。
本方案考虑了以上的网络情况，并采用了迈普以太网交换机，实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术，支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网，一方面作为整个银行网络系统一级网上的一个节点，另一方面又是省内网络系统的中心汇聚点，从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况，采用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案，在网络设计构建中，应始终坚持以下建网原则：
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其它部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通，以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。
安全性
制订统一的网络安全策略，整体考虑网络平台的安全性。
兼容性和经济性
兼容性，能够最大限度地保证金融企业现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则，使金融网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则：
统一标准
网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络，需要建立一个核心的交换平台，使用两台MyPower S4196B三层交换机作为网络的中心核心层，通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份，共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚，最大可提供96个100M端口接入，作为相邻3个楼层的楼层汇聚，使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
性价比高
在大楼核心采用高性价比的MyPower S4196B路由交换机，最大提供96个100M以太口，提供全线速三层交换，是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4196B系列产品作为网络的中心核心层，通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列，属千兆交换路由产品，当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中，两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚，提供24个100M接入，同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4196B和MyPower S4126G路由交换机，提供全线速三层交换，是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4126G系列产品作为网络的中心核心层，通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中，单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面，可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机，MyPower S4126G提供全线速三层交换，MyPower S3026G支持二层的所有网管协议，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求：大量不同规模工作组的接入；楼层（楼间）宽带互联；分部互联；综合服务环境提供（邮件系统、文件系统、数据库等）；对外服务提供以及业务隔离等。
当前，随着企业IT进程的迅速推进，千兆骨干，百兆到桌面已经成为企业LAN建设的标准配置，按照这种思路组建金融企业网络的物理平台架构，在用户接入层可以选用MyPower S3026G系列接入交换机，提供百兆到桌面的同时再以100M/1000M上行到汇聚层；在汇聚层则可以选用MyPower S4196B和MyPower S4126G，向下提供百兆接入，同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路，用户可以根据自身需求以及光纤资源情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚，向下提供千兆接入，同时向上提供N×1000M链路上行。
对于远端的办公节点，例如另一栋办公大楼或者一个拥有可达光纤资源的金融分支机构，远端办公节点的MyPower S4196B支持扩展光纤接口模块，可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚，MyPower S4112A最大能提供12个千兆光口。
在业务部门众多，网络用户密集、结构复杂的中型企业，纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象，同时，不同的部门处在同一个网络中，也可能产生安全漏洞，所以，有必要使用相应的网络技术来控制不同子网的广播范围，使用VLAN（虚拟私有网）技术可以有效的隔离广播，控制不同网络用户的互访，但同时也产生了新的问题：彻底的二层隔离使得原有的公用资源可能不再能同时为各个相互隔离的子网服务了，另外，为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术（第三层）。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换，保证了即使在网络流量子网网间达到流量高峰时，该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时，MyPower S4100还能实现线速的多层策略过滤，即：MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以采用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4112A和MyPower S4196B路由交换机，最大能提供12个千兆光口，提供全线速三层交换，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络资源系统、中间业务网络还是OA、金融企业资源系统，在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起，这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络，迈普依靠多年来在金融行业积累下的网络建设经验，对省行到网点机构进行详细分析和精心设计，帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案，全面满足大集中的背景下产生的业务对网络的众多需求。

Ⅱ 网络的问题急用!!!!!!!!!

中小企业整体网络安全解决方案解析
信息科技的发展使得计算机的应用范围已经遍及世界各个角落。众多的企业都纷纷依靠IT技术构建企业自身的信息系统和业务运营平台。IT网络的使用极大地提升了企业的核心竞争力，使企业能在信息资讯时代脱颖而出。
企业利用通信网络把孤立的单机系统连接起来，相互通信和共享资源。但由于计算机信息的共享及互联网的特有的开放性，使得企业的信息安全问题日益严重。
外部安全

随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。

内部安全

最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。

内部网络之间、内外网络之间的连接安全

随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

1. 中小企业的网络情况分析

中小企业由于规模大小、行业差异、工作方式及管理方式的不同有着不同的网络拓扑机构。网络情况有以下几种。

集中型:

中小企业网络一般只在总部设立完善的网络布局。采取专线接入、ADSL接入或多条线路接入等网络接入方式，一般网络中的终端总数在几十到几百台不等。网络中有的划分了子网，并部署了与核心业务相关的服务器，如数据库、邮件服务器、文档资料库、甚至ERP服务器等。

分散型:

采取多分支机构办公及移动办公方式，各分支机构均有网络部署，数量不多。大的分支采取专线接入，一般分支采取ADSL接入方式。主要是通过VPN访问公司主机设备及资料库，通过邮件或内部网进行业务沟通交流。

综合型:

集中型与分散型的综合。

综合型企业网络简图

2. 网络安全设计原则

网络安全体系的核心目标是实现对网络系统和应用操作过程的有效控制和管理。任何安全系统必须建立在技术、组织和制度这三个基础之上。

体系化设计原则

通过分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。

全局综合性设计原则

从中小企业的实际情况看，单纯依靠一种安全措施，并不能解决全部的安全问题。建议考虑到各种安全措施的使用，使用一个具有相当高度、可扩展性强的安全解决方案及产品。

可行性、可靠性及安全性

可行性是安全方案的根本，它将直接影响到网络通信平台的畅通，可靠性是安全系统和网络通信平台正常运行的保证，而安全性是设计安全系统的最终目的。

3. 整体网络安全系统架构

安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

整体安全系统架构

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。如图2所示，这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。

1. 整体安全防护体系

基于以上的规划和分析，建议中小企业企业网络安全系统按照系统的实现目的，采用一种整合型高可靠性安全网关来实现以下系统功能:

防火墙系统

VPN系统

入侵检测系统

网络行为监控系统

垃圾邮件过滤系统

病毒扫描系统

带宽管理系统

无线接入系统

2.方案建议内容

2.1. 整体网络安全方案

通过如上的需求分析，我们建议采用如下的整体网络安全方案。网络安全平台的设计由以下部分构成:

 防火墙系统:采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

 VPN系统:对远程办公人员及分支机构提供方便的IPSec VPN接入，保护数据传输过程中的安全，实现用户对服务器系统的受控访问。

 入侵检测系统:采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

 网络行为监控系统:对网络内的上网行为进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。

 病毒防护系统:强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。

 垃圾邮件过滤系统:过滤邮件，阻止垃圾邮件及病毒邮件的入侵。

 移动用户管理系统:对内部笔记本电脑在外出后，接入内部网进行安全控制，确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。

 带宽控制系统:使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。

总体安全结构如图:

网络安全规划图

本建议书推荐采用法国LanGate®产品方案。LanGate® UTM统一安全网关能完全满足本方案的全部安全需求。LanGate® UTM安全网关是在专用安全平台上集成了防火墙、VPN、入侵检测、网络行为监控、防病毒网关、垃圾邮件过滤、带宽管理、无线安全接入等功能于一身的新一代全面安全防护系统。

LanGate® UTM产品介绍

3.1. 产品概括

LanGate 是基于专用芯片及专业网络安全平台的新一代整体网络安全硬件产品。基于专业的网络安全平台， LanGate 能够在不影响网络性能情况下检测有害的病毒、蠕虫及其他网络上的安全威胁，并且提供了高性价比、高可用性和强大的解决方案来检测、阻止攻击，防止不正常使用和改善网络应用的服务可靠性。

高度模块化、高度可扩展性的集成化LanGate网络产品在安全平台的基础上通过各个可扩展的功能模块为企业提供超强的安全保护服务，以防御外部及内部的网络攻击入。此产品在安全平台上集成各种功能应用模块和性能模块。应用模块添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾邮件过滤引擎。这种安全模块化架构可使新的安全服务在网络新病毒、新威胁肆虐时及时进行在线升级挽救网络，而无需进行资金及资源的再投入。轻松安装、轻松升级的LanGate产品简化了网络拓扑结构，降低了与从多个产品供应商处找寻、安装和维护多种安全服务相关的成本。

3.2. 主要功能

基于网络的防病毒

LanGate 是网关级的安全设备，它不同于单纯的防病毒产品。LanGate 在网关上做 HTTP、SMTP、POP 和 IMAP的病毒扫描，并且可以通过策略控制流经不同网络方向的病毒扫描或阻断，其应用的灵活性和安全性将消除企业不必要的顾虑。LanGate的防病毒引擎同时是可在线升级的，可以实时更新病毒库。

基于用户策略的安全管理

整个网络安全服务策略可以基于用户进行管理，相比传统的基于 IP的管理方式，提供了更大的灵活性。

 防火墙功能

LanGate 系列产品防火墙都是基于状态检测技术的，保护企业的计算机网络免遭来自 Internet 的攻击。防火墙通过“外->内”、“内->外”、“内->内”(子网或虚拟子网之间)的接口设置，提供了全面的安全控制策略。

 VPN功能

LanGate支持IPSec、PPTP及L2TP的VPN 网络传输隧道。LAN Gate VPN 的特性包括以下几点:

 支持 IPSec 安全隧道模式

 支持基于策略的 VPN 通信

 硬件加速加密 IPSec、DES、3DES

 X509 证书和PSK论证

 集成 CA

 MD5 及 SHA认证和数据完整性

 自动 IKE 和手工密钥交换

 SSH IPSEC 客户端软件, 支持动态地址访问，支持 IKE

 通过第三方操作系统支持的 PPTP 建立 VPN 连接

 通过第三方操作系统支持的 L2TP建立 VPN 连接

 支持NAT穿越

 IPSec 和 PPTP

 支持无线连接

 星状结构

 内容过滤功能

LanGate 的内容过滤不同于传统的基于主机系统结构内容处理产品。LanGate设备是网关级的内容过滤，是基于专用芯片硬件技术实现的。LanGate 专用芯片内容处理器包括功能强大的特征扫描引擎，能使很大范围类型的内容与成千上万种关键词或其它模式的特征相匹配。具有根据关键字、URL或脚本语言等不同类型内容的过滤，还提供了免屏蔽列表和组合关键词过滤的功能。同时，LanGate 还能对邮件、聊天工具进行过滤及屏蔽。

入侵检测功能

LanGate 内置的网络入侵检测系统(IDS)是一种实时网络入侵检测传感器，它能对外界各种可疑的网络活动进行识别及采取行动。IDS使用攻击特征库来识别过千种的网络攻击。同时LanGate将每次攻击记录到系统日志里，并根据设置发送报警邮件或短信给网络管理员。

垃圾邮件过滤防毒功能 包括:

 对 SMTP服务器的 IP进行黑白名单的识别

 垃圾邮件指纹识别

 实时黑名单技术

 对所有的邮件信息病毒扫描

 带宽控制(QoS)

LanGate为网络管理者提供了监测和管理网络带宽的手段，可以按照用户的需求对带宽进行控制，以防止带宽资源的不正常消耗，从而使网络在不同的应用中合理分配带宽，保证重要服务的正常运行。带宽管理可自定义优先级，确保对于流量要求苛刻的企业，最大限度的满足网络管理的需求。

 系统报表和系统自动警告

LanGate系统内置详细直观的报表，对网络安全进行全方位的实时统计,用户可以自定义阀值，所有超过阀值的事件将自动通知管理管理人员，通知方式有 Email 及短信方式(需结合短信网关使用)。

 多链路双向负载均衡

提供了进出流量的多链路负载均衡，支持自动检测和屏蔽故障多出口链路，同时还支持多种静态和动态算法智能均衡多个ISP链路的流量。支持多链路动态冗余，流量比率和智能切换;支持基于每条链路限制流量大小;支持多种DNS解析和规划方式，适合各种用户网络环境;支持防火墙负载均衡。

3.2. LanGate产品优势

 提供完整的网络保护。

 提供高可靠的网络行为监控。

 保持网络性能的基础下，消除病毒和蠕虫的威胁。

 基于专用的硬件体系，提供了高性能和高可靠性。

 用户策略提供了灵活的网络分段和策略控制能力。

 提供了HA高可用端口，保证零中断服务。

 强大的系统报表和系统自动警告功能。

 多种管理方式:SSH、SNMP、WEB。基于WEB(GUI)的配置界面提供了中/英文语言支持。

3.3. LANGATE公司简介

总部位于法国的LANGATE集团公司，创立于1998年，致力于统一网络安全方案及产品的研发，早期作为专业IT安全技术研发机构，专门从事IT综合型网络安全设备及方案的研究。如今，LANGATE已经成为欧洲众多UTM、防火墙、VPN品牌的OEM厂商及专业研发合作伙伴，并在IT安全技术方面领先同行，为全球各地区用户提供高效安全的网络综合治理方案及产品。

专利的LanGate® UTM在专用高效安全硬件平台上集成了Firewall(防火墙)、VPN(虚拟专用网络)、Content Filtering(内容过滤，又称上网行为监管)、IPS(Intruction Prevention System，即入侵检测系统)、QoS(Quality of Services，即流量管理)、Anti-Spam (反垃圾邮件)、Anti-Virus (防病毒网关)及 Wireless Connectivity (无线接入认证)技术。

LANGATE在全球范围内推广UTM整体网络安全解决方案，销售网络遍及全球30多个国家及地区。LANGATE的产品服务部门遍布各地子公司及各地认可合作伙伴、ISPs、分销渠道、认证VARs、认可SIs，为全球用户提供专业全面的IT安全服务。

Ⅲ 企业网络设计方案

企业网络设计方案 （一）

企业的网站模式设计越来越人性化了，中小企业都开始经营起网络营销>，网站制作>构成方案也就是一个企业发展之路，也就是说，首先要打好基础网站模式，然后再从这个方向去实行网站的商业模式。中小企业通过网络把公司的产品及服务信息都以一个网站平台来分享出来，那用户看到所需要的产品，那就可以第一时间去谈电子商力，同时，双方就可以达到双赢。从此中小企业就可以通过网站是INTERNET上宣传和反映企业形象和文化的重要窗口。企业网站设计>显得极为重要，下面是一些商业企业网站设计主要原则介绍。

一、明确建立商业网站目标及用户需求

在互联网中，建设一个网站的目的，应该大家都明白的，在Web站点设计展现企业形象、介绍产品和服务、体现企业发展战略重要途径，因此必须明确设计站点的目的和用户需求，从而做出切实可行的设计计划。要根据消费者需求、市场状况键旁答、运营模式、企业自身情况等进行综合分析，牢记以“消费者（customer）”为中心，而不是以“美术”为中心进行设计规划。在这里想与大家说说一下，不管网站制作师设计什么类型的网站时，都要考虑到网站是以客户体验为中心来建设的，而不是考虑到个人的想法或为了追求好看而去设计一些对用户体验很差的网页，要以中小企业的发展及企业的产品风格去设计。

二、总体设计方案主题鲜明

在目标明确的基础上，完成网站构思创意即总体设计方案。对网站整体风格和特色作出定位，规划网站稿慧组织结构。 Web站点应针对所服务对象（机构或人）的不同而具有不同形式。有些站点只提供简洁文本信息；有些则采用多媒体表现手法，提供华丽图像、闪烁的灯光、复杂页面布置，甚至可以下载声音和录像片段。优秀Web站点把图形表现手法和有效的组织与通信结合起来。 要做到主题鲜明突出，要点明确，以简单明确的语言和画面体现站点主题。调动一切手段充分表现网站的个性和情趣，办出网站特点。Web站点主页应具备基本成分包括： 页头：准确无误地标识你的站点和企业标志； Email地址：用来接收用户垂询； 联系信息：如普通邮件地址或电话； 版权信息：声明版权所有者等。 注意重复利用已有信息。如客户手册。公共关系文档。技术手册和数据库等可以轻而易举地用到企业的Web站点中。

三、商业网站版式设计

网页设计>作为一种视觉语言，要讲究编排和布局，虽然主页设计不等同于平面设计但它们有许多相近之处，应充分加以利用和借鉴。 版式设计通过文字图形的空间组合，表达出和谐与美。一个优秀网页设计者也应该知道哪一段文字图形该落于何启手处，才能使整个网页生辉。 多页面站点页面的编排设计要求把页面之间有机联系反映出来，特别要处理好页面之间和页面内的秩序与内容的关系。为了达到最佳视觉表现效果，应讲究整体布局合理性，使浏览者有一个流畅的视觉体验。

四、色彩在网页设计中的作用

色彩是艺术表现的要素之一。在网页设计>中，根据和谐、均衡和重点突出的原则，将不同色彩进行组合。搭配来构成美丽的页面。 根据色彩对人们心理的影响，合理地加以运用。在色彩运用过程中，还应注意一个问题：由于国家和种族。宗教和信仰的不同， 以及生活的地理位置。文化修养的差异等，不同人群对色彩的喜恶程度有着很大差异。在设计中要考虑主要读者群的背景和构成。

五、企业网页形式与内容相统一

有好的企业网页形式以外，还要有丰富的内容来支持，因为不管你的网站设计的多么漂亮迷人，没有真正有用的内容，那也等于没有用，那想做好这方面的事情也不难，首先要将丰富的意义和多样的形式组织成统一的页面结构，形式语言必须符合页面内容，体现内容的丰富含义。 运用对比与调和、对称与平衡、节奏与韵律以及留白等手段，通过空间、文字、图形之间相互关系建立整体的均衡状态，产生和谐的美感。石家庄孝睿科技科技石家庄网页设计中以点、线、面的运用并不是孤立，很多时候都需要将它们结合起来，表达完美的设计意境，通过网页的设计中就可以展现出企业的一个模式。

六、网站空间的构成和虚拟现实

网络上的虚拟空间是一个假想空间，网站只能通过这个空间来把他展现到互联网上，让每一个人都能在网络上看到你的网站设计与网站中的信息，这种空间关系需借助动静变化。图像的比例关系等空间因素表现出来。 制作网站的同时，都要上传页面中，图片、文字位置前后叠压，或页面位置变化所产生的视觉效果都各不相同。图片、文字前后叠压所构成的空间层次目前还不多见，网上更多的是一些设计比较规范、简明的页面，这种叠压排列能产生强节奏的空间层次，视觉效果强烈。

七、多媒体功能的利用

传统的宣传也就是永远不可缺少的，多媒体宣传方面真正是一个品牌宣传的不重要模式，同时网络资源优势之一是多媒体功能。要吸引浏览者注意力，页面内容可以用三维动画、FLASH等来表现。但要注意，由于网络带宽限制，在使用多媒体的形式表现网页内容时应考虑客户端的传输速度。

八、网站内容要每天保持更新

一个网站建设>已完成了，那要如何去增加和丰富网站的内容呢！也要企业Web站点建立后，要不断更新内容。站点信息的不断更新，让浏览者了解企业的发展动态和网上职务等，同时也会帮助企业建立良好形象。 在企业Web站点上，要认真回复用户的电子邮件和传统的联系方式如信件。做到有问必答。最好将用户用意进行分类，如售前一般了解。售后服务等，由相关部门处理，使用站访问者感受到企业的真实存在并由此产生信任感。 注意不要许诺你实现不了的东西，在你真正有能力处理回复之前，不要恳求用户输入信息或罗列一大堆自己不能及时答复的电话号码。 如果要求访问者自愿提供其个人信息，应公布并认真履行个人隐私保承诺。

以上的八种中小企业网站制作构成方案给了各行各业发展带来了无比的想象，也给中小企业带来了异想不到的收获，从些中小企业打破了传统的营销模式，来迎接互联网的发展路径。

企业网络设计方案 （二）

一、方案概述

企业不仅通过互联网树立企业形象，而且企业产品较多并想通过互联网促进产品的.销售、加强客户的沟通和管理。

如果您的产品繁多或提供多种服务、客户交流比较频繁、想进一步推动产品的销售、更好的管理客户信息，那么采用企业信息服务型网站建设方案是您最佳的选择；

其信息发布功能可以发布包括公司新闻、部门简介、公司最新动态、公司公告、产品推荐等内容；

产品展示功能可以发布产品的规格、型号、功能等产品信息，展示产品的外形、使用演示等图形信息；

会员管理功能可以对客户进行分类管理，让不同的用户浏览到不同的页面，并提供不同级别的服务；

而且产品订购功能可以接受并处理客户从网上提交的产品或服务定单；

企业信息服务型网站建设方案除可以选择基本型网站的所有产品外，还可以选择内部协同办公系统、客户关系管理系统、业务流程自动化系统等相关产品。

预期效果：企业信息服务型网站建设方案主要服务对象为企业客户。通过本方案，客户可以及时了解企业经营范围、最新动态、商品及价格、并可通过网站提供的客户咨询服务与企业相关部门进行在线信息交流。

二、标准配置

一、建设网站前的市场分析

1、相关行业的市场是怎样的，市场有什么样的特点，是否能够在互联网上开展公司业务。

2、市场主要竞争者分析，竞争对手上网情况及其网站规划、功能作用。

3、公司自身条件分析、公司概况、市场优势，可以利用网站提升哪些竞争力，建设网站的能力（费用、技术、人力等）。

二、建设网站目的及功能定位

1、为什么要建立网站，是为了宣传产品，进行电子商务，还是建立行业性网站？是企业的需要还是市场开拓的延伸？

2、整合公司资源，确定网站功能。根据公司的需要和计划，确定网站的功能：产品宣传型、网上营销型、客户服务型、电子商务型等。

3、根据网站功能，确定网站应达到的目的作用。

4、企业内部网（Intranet）的建设情况和网站的可扩展性。

三、网站技术解决方案

根据网站的功能确定网站技术解决方案。

1、采用自建服务器，还是租用虚拟主机。

2、选择操作系统，用unix,Linux还是Window2000/NT。分析投入成本、功能、开发、稳定性和安全性等。

3、采用系统性的解决方案（如IBM,HP）等公司提供的企业上网方案、电子商务解决方案？还是自己开发。

4、网站安全性措施，防黑、防病毒方案。

5、相关程序开发。如网页程序ASP、JSP、CGI、数据库程序等。

四、网站内容规划

1、根据网站的目的和功能规划网站内容，一般企业网站应包括：公司简介、产品介绍、服务内容、价格信息、联系方式、网上定单等基本内容。

2、电子商务类网站要提供会员注册、详细的商品服务信息、信息搜索查询、定单确认、付款、个人信息保密措施、相关帮助等。

3、如果网站栏目比较多，则考虑采用网站编程专人负责相关内容。 注意：网站内容是网站吸引浏览者最重要的因素，无内容或不实用的信息不会吸引匆匆浏览的访客。可事先对人们希望阅读的信息进行调查，并在网站发布后调查人们对网站内容的满意度，以及时调整网站内容。

五、网页设计

1、网页设计美术设计要求，网页美术设计一般要与企业整体形象一致，要符合CI规范。要注意网页色彩、图片的应用及版面规划，保持网页的整体一致性。

2、在新技术的采用上要考虑主要目标访问群体的分布地域、年龄阶层、网络速度、阅读习惯等。

3、制定网页改版计划，如半年到一年时间进行较大规模改版等。

六、网站维护

1、服务器及相关软硬件的维护，对可能出现的问题进行评估，制定响应时间。

2、数据库维护，有效地利用数据是网站维护的重要内容，因此数据库的维护要受到重视。

3、内容的更新、调整等。

4、制定相关网站维护的规定，将网站维护制度化、规范化。

七、网站测试

网站发布前要进行细致周密的测试，以保证正常浏览和使用。主要测试内容：

1、服务器稳定性、安全性。

2、程序及数据库测试。

3、网页兼容性测试，如浏览器、显示器。

4、根据需要的其他测试。

八、网站发布与推广

1、网站测试后进行发布的公关，广告活动。

2、搜索引掣登记等。

九、网站建设日程表

各项规划任务的开始完成时间，负责人等。

十、费用明细

各项事宜所需费用清单。

以上为网站规划书中应该体现的主要内容，根据不同的需求和建站目的，内容也会在增加或减少。在建设网站之初一定要进行细致的规划，才能达到预期建站目的。

公司信息发布系统

本系统包括公司简介、部门简介、最新动态、公告、产品推荐等栏目。

产品信息发布系统

企业可以通过此系统发布诸如产品介绍、价格、图片、使用演示、评价等内容。此外，企业可以在此基础上定制开发具备产品定购、在线支付、在线结算等功能的应用系统，使本系统从网上橱窗发展成网上交易柜台。

客户在线咨询系统

通过此系统，客户可以及时将其需求、意见和建议等信息及时反馈到企业相关部门；企业可以通过此系统，及时将最新的售前与售后咨询服务提供给客户。

网站管理系统

本系统为网站管理人员提供了便捷的网站管理工具，主要包括用户及权限设置、数据库维护、网页设置、把厚壁光亮钢管 精密光亮无缝钢管 光亮无缝钢管 光亮钢管产品。标志与标题设置及网站各栏目内容编辑等功能。

Ⅳ 中小型企业网络设计方案

1.选定方案原则
在规划Intranet的网络拓扑结构时，应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立：
（1）费用低
一般地在选择网络拓扑结构的同时便大致确立了所要选取的传输介质、专用设备、安装方式等。例如选择总线网络拓扑结构时一般选用同轴电缆作为传输介质，选择星形拓扑结构时需要选用集线器产品，因此每一种网络拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的，在满足其它要求的同时，应尽量选择投资费用较低的网络拓扑结构。
（2）良好的灵活性和可扩充性
在选择网络拓扑结构时应考虑企业将来的发展，并且网络中的设备不是一成不变的，对一些设备的更新换代或设备位置的变动，所选取的网络拓扑结构应该能够方便容易地进行配置以满足新的要求。
（3）稳定性高
稳定性对于一个网络拓扑结构是至关重要的。在网络中会经常发生节点故障或传输介质故障，一个稳定性高的网络拓扑结构应具有良好的故障诊断和故障隔离能力，以使这些故障对整个网络的影响减至最小。
（4）因地制宜
选择网络拓扑结构应根据网络中各节点的分布状况，因地制宜地选择不同的网络拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构，而节点比较分散时则可以选用总线型拓扑结构。另外，若单一的网络拓扑结构不能满足要求，则可选择混合的拓扑结构。例如，假设一个网络中节点主要分布在两个不同的地方，则可以在该两个节点密集的场所选用星型拓扑结构，然后使用总线拓扑结构将这两个地方连接起来。
2.总体结构框架概述
在充分按照网络设计原则的基础上，考虑到组网费用，结合平时学习组网经验，本次小型企业内部组网核心设备由华为Quidway S2352P-EI(AC)系列交换机组成，接入设备由华为Quidway S2326TP-SI系列交换机组成，连接Internet的路由器采用思科CISCO 2811系列路由。
3. 网络拓扑图设计
4. IP地址划分
本次小型企业组网，核心设备由一台华为Quidway S2352P-EI(AC)交换机与一台思科CISCO 2811系列路由器组成，位于综合楼核心机房内，两台设备都采用最基本硬件配置，S2352P-EI(AC)提供48可用端口。5台华为Quidway S2326TP-SI交换机分别位于核心机房或者部分距离较远的办公点处，每台提供26个可用端口。所有设备之间均采用以太网线链接，其中S2352P-EI(AC)与S2326TP-SI之间采用双以太网线连接形成冷备份防止其中一根故障影响用户的使用。客户自己建设的WEB服务器，文件服务器，FTP。
现把根据具体部门需求划分5个VLAN，技术部、财务部、生产部、管理层、网管用各一个VLAN。各VLAN之间只能通过路由发送数据包，也就是说VLAN在第二层是相互隔离的。
其中VLAN规划如下：
VLAN2：172.16.2.0/24 技术部
VLAN3：172.16.3.0/24 财务部
VLAN4：172.16.4.0/24 生产部
VLAN5：172.16.5.0/24 管理层
VLAN6：172.16.6.0/24 网管
其中可以根据需要在路由处做其中几段地址的NAT，其余都可以与外网隔离，实现安全需要。
各个Vlan的IP地址划分如表3.1所示：
表3.1 各Vlan IP地址划分
Vlan ID
IP地址范围
网关IP地址
最多可连接主机数
Vlan2
172.16.2.1—172.16.2.254
172.16.2.1
254
Vlan3
172.16.2.1—172.16.2.254
172.16.3.1
254
Vlan4
172.16.2.1—172.16.2.254
172.16.4.1
254
Vlan5
172.16.2.1—172.16.2.254
172.16.5.1
254
Vlan6
172.16.2.1—172.16.2.254
172.16.6.1
254
路由器各端口IP地址配置如表3.2所示：
表3.2 各路由器端口IP地址
路由接口
IP地址
路由器f0/0接口
211.85.1.2
路由器f0/1接口
192.168..1.1
5．测试结果
以VLAN1为例，来测试VLAN1到网关的连接情况

Ⅳ 中小型企业网络组建设计方案（毕业设计论文）

方案一WindowsNT ( Windows 2000 server ) + Proxy + Exchange+WinRoute（或Checkpoint）

上述软件组合能够实现和TL-100互联网功能服务器网络解决方案相同的包过滤防火墙、邮件服务器、Web浏览代理、Ftp服务代理等功能。但是由于WindowsNT(或Windows2000 server)对于计算机硬件要求比较高，正版软件的价格也比较高，更为重要的是：从技术上来说，上面的方案需要固定的IP地址，这意味着企业每时每刻还需缴纳一笔额外的费用。另外，上述软件还需要专业的系统管理员来维护。（微软的产品有无数的补丁需要你“补上”）

上面的解决方案明显的不太符合目前国内中小企业对于信息化的“性能价格比”要求和维护成本要求。

方案二Windows98（WindowsNT）+Wingate

这种方案能够实现Web代理和数据包过滤的部分功能，另外，新版本的Wingate还提供网络地址转化功能（NAT）功能和防火墙功能。这个方案的缺点是：系统硬件要求比较高（如果你系统整个系统运行稳定），应用软件和操作系统软件整体成本太高。安全的规则需要专业人士的配置。没有很好的解决企业电子邮件系统的使用需求。另外，部分“高级”功能的实现需要安装“客户端软件”。加重了网络系统的维护负担。

方案三Windows98(WindowsNT) + dns2go

这种方案，在Windows操作系统上安装相应的客户端软件，和dns2go站点的DNS服务器协调工作，达到动态域名解析的目的。这种方案能够完成中小企业一站式INTRANET/INTERNET解决方案中从TL-100互联网功能服务器到互连网之间的DNS通讯问题，但这种方案对于用户的域名只能在dns2go.net下选择。如果将自己企业的域名转到dns2go上的域名服务器授权解析的工作，dns2go的域名服务器也只做域名解析的工作，不提供其它和域名相关的服务（如电子邮件服务器不在线的邮件接收问题）。另外，这种方案的运行稳定性在通讯线路不佳，造成用户的机器频繁拨号连接ISP而造成的IP地址变动的情况发生时，用户域的主机域名纪录的频繁变动。但是这些变动数据和在互联网上其它DNS服务器缓存中的数据不会随时同，这种情况会造成WEB和E-Mail等需要固定IP的互联网服务无法正常提供服务。（例如：在域名和IP地址变动时，可能造成互联网上用户向本域E-mail投递失败，或将E-mail投递到其它恰巧使用相同解决方案且恰巧有SMTP服务器上）

对比项目中小企业一站式INTRANET解决方案费用传统的接入方案费用计算机硬件平台稳定的工业级硬件平台无需购硬件平台10,000元左右操作系统基于Linux无基于Windows Windows2000 Server(10用户) 12,270元代理服务功能HTTP,FTP,TELNET 无需购专业软件MS Proxy Server12,784元邮件服务功能企业域名邮箱(用户数量不限,邮箱容量不限)无需购专业软件Exchange(25用户) 24,807元WEB功能提供100Mweb空间无需租用web空间1,000元/年防火墙功能有无需购专业软件CHECKPOINT 30,000元 方案价格性价比高18700元实现同样的功能价格几倍于前者90,861元服务及管理WEB,MAIL服务,网络安全管理，根据要求提供网络安全状况日制，上网浏览日制，邮件日制，企业无须专业人员维护2800元/年需专业人员操作维护30,000元/年(专业人员工资)

中小型/成长型企业商业网站（INTERNET）解决方案

上海天傲科技本着“一站式解决”的理念，向中小型/成长型企业提供完整的域名服务，主机服务，企业邮件，网页制作，数据库部署等全系列服务。

网站建设步骤

将您的主页制作资料（包括文字、图片等）邮寄给我们，并列出大概的要求即可。

选择我们提供的企业网站建设方案，或根据您的要求定制。

我们根据您的要求核算主页总数及金额，并交纳预付款(为总金额的50%)。

收到预付款后，我公司将开始制作主页。

主页全部完成后，将上传到我公司的服务器上请您确认，并根据您的意见进行三次小的修改。

如果您认为制作的主页已经达到您的要求，请将剩余款项汇至我公司帐户，并将汇款凭证传真至我公司。

在收到确认传真和汇款凭证后，我们将您的主页上传到我公司提供的虚拟主机上。

虚拟主机方案虚拟主机是使用特殊的软硬件技术，把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机，每一台虚拟主机都具有独立的域名，具有完整的Internet服务器（WWW、FTP、Email等）功能，虚拟主机之间完全独立，并可由用户自行管理，在外界看来，每一台虚拟主机和一台独立的主机完全一样。上海天傲科技的一站式解决方案为中小型/成长型企业提供优质的网络环境和服务器，并由高级网管负责监控。你可以选择如下的三个方案之一或者直接和我们联系进行定制服务。

A型虚拟主机150M B型虚拟主机200M C型虚拟主机500M

主机空间/功能·独立Web空间150MB·操作系统：UNIX / Windows2000·支持ASP,Perl,PHP ·FTP管理·支持数据库功能另外收费·ACCESS数据库·MS SQL数据库·MY SQL数据库·独立Web空间200MB·操作系统：UNIX / Windows2000·支持ASP,Perl,PHP·FTP管理·支持数据库功能另外收费·ACCESS数据库·MS SQL数据库·MY SQL数据库·独立Web空间500MB·操作系统：UNIX / Windows2000 ·支持ASP,Perl,PHP·FTP管理·支持数据库功能·Windows2000系统：免费提供一个ODBC数据源·预装50MB SQL SERVER数据库空间·UNIX系统：免费提供50MB MYSQL数据库空间

Email功能·10个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信·20个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信·50个Email邮箱·单个信箱平均空间5MB·单个Email大小限制5MB·Web界面管理·自动回复、自动转发·POP3、SMTP方式收发信

Ⅵ 企业网络安全解决方案

网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施，安全技术措施应用等

按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序，包括监测上网行为、包括入侵监测
三、从技术层面上，你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网，这样的话你做不到上网行为管理，你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据，造成泄密 这已经是很常见的事情 所以做好主机防护很重要。

当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段

具体有什么问题 请更新问题 我会再来回答 或者用Bai Hi来联系我
只是我不定期在

Ⅶ 中小型公司网络设计方案

楼上很键春明显的：Ctrl+c Ctrl+v

[email protected]

给我发个信息，我给你画个薯亮誉拓扑结构，大致策划过程.

论数段文你自己写

Ⅷ 毕业设计-课题名称：中小企业网络解决方案

中小企业网络解决方案

关键词： 网络 中小企业 解决方案
通常，500人以下的企业被统称为中小企业（SME），设备、资金和管理是中小企业成长的几个难题。中小企业资金短缺的情况比较常见，如何在有限的资金投入状况下，实现企业与人员的最高效的运作是中小企业的重要问题。 中小企业在管理过程中，对小型办公资源共享、用户访问、信息反馈以及物流管理等问题都需要较好的处理解决手段。因而，建立一条可靠性强、管理性强以及投资较少的信息传送渠道，是现今信息化社会中必须考虑的。
一些企业认为，信息化就是购买计算机、打印机、建立小型的数据库并培训或增加几个专职员工使用，这样的实际应用效果与过去完全手工记录、管理的模式并没有什么本质的区别，仅仅是由纸质文档改变为电子文档而已。很多企业处于对电子文档的不放心，还保留了纸质文档做为备份，非但没有增加工作的效率，反而多使用了人工，使得企业信息化成为一种门面的东西。投资增加效果不显着，企业领导人转而认为信息化不但无足轻重而且投资无效。
但是，在从传统计划经济的脱胎换骨中，许多中小企业显然还没有意识到，网络，恰恰是企业内部的网络才是牵引其提升核心竞争能力的关键因素。因为今天的一切正在“残酷”地证明：中小企业的网络建设将直接关系到企业未来的生死存亡。 先让我们看一看网络发展过程。网络发展经历了以电子邮件、网上广告查询、企业网、网上交易(EDI)到现在的电子商务、电子世界的过程。而现在国内企业处于什么样的位置？有多少企业建立了电子邮件系统？有多少广告是通过网上发布的？更不用说网上交易、电子商务等等。网络应用并不仅仅是网上交易、网上做广告,甚至网上交友、购物等等。我们应充分认识到网络对企业发展的作用,对促进生产力的作用。 在技术应用与创新方面,世界各国技术各有优势,如果能集他们之大成将会对人类进步起极大的推动作用。典型事例是,波音777飞机就是由世界上几个国家的技术人员在网上共同参与设计的。再如最新在美国航天飞机上进行物理实验是由中美俄等几个国家技术人员共同设计的,这其中网络起了非常重要的作用 。
通过网络的使用,促进管理水平的提高。 缩短产品开发周期,促进产品的更新换代。 现代社会技术和工艺的生命周期越来越短,无论是汽车的样式,还是电脑的升级,时间短得使人们无法适应。只有通过网络与外界沟通,感受市场信息,使自己的行为融入全球市场行为当中,才能不至于落后他人。在全球经济一体化的过程中,任何一个企业从其诞生之日起就必须生活在国际的市场竞争中,如果没有计算机网络,很难想象未来的企业将如何生存。 网络作为知识经济时代重要的生产工具,给发达国家带来巨大的发展机遇,但却在无形中再次拉开了世界上的贫富差距。第三世界中的一些落后国家由于电脑普及率低,经济落后等原因,上网电脑屈指可数,据国际Internet协会的最新数据,与Internet联网的电脑中有近七成分布在美国,而世界上美国以外的如此多的国家才占三成,这就使得世界上绝大多数国家,尤其是广大的第三世界国家面临知识时代一个最重要的法宝--信息的匮乏,其结果必然影响他们的发展速度。从这一点讲,网络又扩大了发达国家和发展中国家的贫富差距。

目前在国内企业信息化的过程中，已经出现的很强的“贫富差距”。一方面类似金融、电信等行业的大用户的网络投入及应用不遗余力，无论网络平台的构建，还是大投资的应用系统开发，水平直逼国外先进企业水平，占有信息同时也占有财富。另一方面，国内许多中小企业由于对网络应用作用的不了解，成为 “信息戈壁”，甚至许多企业还不知网络为何物，正逐步丧失企业未来赖以发展的技术平台，丧失信息同时也丧失财富。

也有部分企业认为网络建设是由必要性的，因此也建设了自己的网络平台，甚至有投巨资建立当今最先进千兆主干平台的情况，但在网络应用方面却没有化大力气投入，成为拥有企业内部高速信息公路然而没有车在路上奔驰的情况。网络局限于文件共享等简单应用。本质上，网络平台只是信息化的“路”，而网络应用才是“路”上的“车”，仅仅有路而没有车，所建设的高速网络系统成为摆设。

信息化、网络化是发展的大趋势，网络平台建设是重要的，然而更重要的是网络化的应用。网络应用是一个很广泛的概念，几乎可以涵盖各个应用领域。产品设计，网络能够达到有组织的设计协同。制造生产，网络能够达到以电子设计的数据指挥自动化的生产。物资流通，网络能够达到高速的信息共享和资源共享……，而象金融、邮电等行业，离开网络已经无法生存。对于中小企业，一下进行这样全方位的网络应用并不现实，投资力度过大。我们认为，首先实现办公自动化，提高企业运行的效率，沟通各部门之间的快速联系，是改革企业管理方式、建立高效的运行机制的第一步，也是最重要的一步。通过办公自动化，首先理顺企业工作流程，提高了管理的效率，就能够暴露出被日常繁杂办公事务掩盖的工作运转瓶颈，使企业领导者能够看清情况，针对重点问题加以解决，提高企业自身的竞争力。网络化的办公也能够使企业领导者充分体会网络应用的优势，为企业进一步的信息化改造进行谋划，使企业不断发展。

网络办公应用

我们对办公的理解不是仅仅理解为企业管理的办公行为，也包括了产品设计、生产、销售、贸易等过程中的信息资源利用和协同工作等，这种广义的办公概念包括了资源共享、查询、交换等全面的应用范围。

计算机在办公方面的应用通常被称为“办公自动化”。计算机应用早期，简单的文字处理软件加上打印机、复印机等设备，就构成了“办公自动化”。计算机网络的发展，网络共享文件、电子文档存储，形成了网络办公自动化的新概念。然而，随着网络应用的进一步开展，网络办公自动化极大的改变了传统的办公模式，提供了更高效的办公手段。

网络办公自动化的第一阶段是指各种办公设备数字化，出现了以打印机、传真机、数字复印机、数码相机、液晶显示器、数字投影机、小型PBX中心为代表的办公设备；第二个阶段是指这些办公设备向网络靠拢，实现其功能的重新组合，在功能重组中，将传统办公设备中的功能重叠部分（复印=扫描＋打印；传真=扫描＋打印＋传送)借助网络资源平台和共享手段实现组件功能的强化，然后再借助网络实现这些强大组件功能的组合，以满足不同办公的需求，真正实现方便、高效和低成本；第三个阶段是，数字化办公彻底消除PC对办公的制约，实现各类外设的智能化，远程办公将成为一种常见的办公方式，办公室内会出现大量利用网络资源的设备，如IP电话、IP传真等，使办公不再局限在小小的办公室内，随处可以办公，随时可以办公。

随着网络技术的高速发展和普及，高效低成本和移动的特点已越来越成为现代办公的需要。过去的办公模式是以电话、集中会议为中心，外加公文纸、钢笔、计算器、传真机。以PC机应用为核心、辅之以各种办公设备的办公自动化方式，提供了较以前高的效率，但基本方式仍然是纸质传递。信息的共享仍然依赖于会议、人工查询反馈等。网络的出现，使信息共享和信息传递的速度大大提高，因此形成了以网络为核心的现代办公模式，即基于网络打印、网络传真、电子邮件、网络数据库资源共享等一系列的网络化应用。信息的传递可以通过电子邮件进行，企业各层次的领导需要的人事、物资、物流、客户或协作单位情况、以至财务销售等，都可通过网络根据自己所拥有的权限进行查询。收集员工意见、建议，发布企业公告，就某些决策进行公开讨论、项目协同工作资源共享等都可便捷的透过网络进行，既减少了工作的中间环节、节省了人力占用，也提高了办事效率，协同工作资源共享更大大减少了工作中的混乱无序。

出差在外的人员，通过电话线路也能与企业的内部网相连，直接获取自己的电子邮件、指令，了解公司的最近通告，取得出差所需的各种公司资料，还可将出差工作的进展情况及时反馈，使协同工作的同事能够及时获取最新的信息。在这里，设备的概念被忽略，代之的将是网络应用和解决方案的概念。人们不再关心具体的打印机、传真机、复印机等设备，而关注如何充分利用和发挥企业的网络办公应用系统促进工作。

显然，网络化的办公应用带来的最直接的好处就是促进办公效率的极大提升，办公不再局限于办公室内，办公不再表现为办公室人员在楼道中的繁忙穿梭，网络化办公以其高速的信息传递减少了决策的失误,同时也使在传统沟通体系上建立起来的管理原则得以打破,从而使管理的出现扁平化的新模式,这对于企业现代化管理有着非常重要的意义。由于网络办公的高效率和高速度，信息资源共享使资源再利用的几率大大增加，因此减少了管理的层次,使每个主管人员所能直接控制的下属人数增多,管理层次减少。先进的网络计算机能及时收集、处理传输信息,不仅能帮助主管更早、更全面地了解下属的工作情况,从而及时地提出忠告和建议,而且可使下属更多地了解与自己工作有关的信息,从而更好地自主处理自己份内的事务,网络可以扩大主管的管理幅度,减少其管理层次。 管理层次的减少进一步提高企业的运行效率，也使最高领导者更能有效的控制企业工作，促进企业发展。

企业办公网络化，不能忽视对Internet的利用。Internet与企业内部网络结合，为企业开阔了视野，提供了更新的发展方向。

Internet是一个全球化的互联网络，也是巨大的信息资源宝库。企业不但能够从Internet上发现新的技术、新的商机，也能够通过Internet快速便捷地与其他企业合作，交流信息、交换信息、共同发展。Internet也为企业提供了新的展示自己的场所，Internet还为企业提供了为全球用户提供快速服务的媒介。在Internet上开展电子商务贸易，更为企业增加了一个新的商业机会。

网络办公的应用方面

网络在办公过程中，可在以下几个方面对办公起到强力的支持作用：

1. 文件共享
2. 打印共享
3. 网络传真
4. 电子邮件
5. 远程访问
6. Internet的利用
7. 公文制作与传送
8. 报表制作与传送
9. 文件全文检索
10. 客户或相关协作单位资源的管理
11. 人事管理
12. 财务电算化
13. 公共设施、设备的调配
14. 信息发布查询

1. 文件共享

文件共享是只网络内各计算机之间的文件能够互相访问。

在计算机应用之初，各计算机之间如果需要交换文件，只能通过将文件存放到软磁盘上，然后进行软盘传递。计算机网络出现后，联网计算机之间的文件传递无需再传递软盘，通过网络线路直接就可以发送文件，使文件共享成为方便的过程。对于普遍都需要的共享文件，还可以放到网络服务器上。网络服务器是网络内所有联网计算机都能够访问到的计算机，服务器能够根据网络管理员分配的访问权限，控制联网计算机能够访问的文件目录。这样，网络文件共享既能够便捷的进行，也能够进行相应的控制，保证重要的文件不会被任意人员访问到，保证了文件的安全使用。

最早的服务器文件共享是将共享文件放置在服务器上的某个目录中，设置对这些目录的访问权限后供联网计算机访问。这种方式对于联网计算机而言，只要设置了对网络服务器某些目录的对应连接关系（映射）后，联网计算机就可以象访问自己计算机上的某个目录一样进行访问。但随着计算机网络应用的发展，这种文件存放式的共享方式已经慢慢在退出应用。对于办公信息文件而言，由于这种文件存放共享不能提供诸如全文检索等功能，所以使用上的不便日益突出。不过，目前仍有一些低档数据库软件需要采用这种方式运行，一些共享软件也仍然能够用这种方式使用，所以文件共享仍然是计算机网络应用中的一个重要组成部分。

文件共享是网络应用中最基本的应用方式，只要有计算机网络，就能够实现文件共享。目前的网络操作系统象MS Windows 2000 Server、Novell Netware、各类UNIX等都支持服务器方式的文件共享。

文件共享使得文件的再利用非常方便。我们经常有许多办公文件的制作，是参照过去同类文件的格式、内容，只变动不多的内容就形成新的文件。如果不使用计算机文件，则我们需要在原文件上进行改动，然后再重新抄写。抄写一旦出现一点点错误就要重抄。计算机文件编辑十分简单，直接在需要修改的位置插入文字、删改文字，计算机能够自动排版形成美观的新文件。文件共享使旧文件的再利用价值大大提高，如果配合全文检索一起工作，则办公的效率就会因网络的存在而飞速提高。

2. 打印共享

在没有计算机网络的时期，每台计算机几乎都配备了打印机设备，否则办公产生的文件不能被打印。采用存放文件到软盘上，再使用别的计算机所配置的打印机进行打印的方法多数人都嫌繁琐，因此几乎所有的有计算机的人员都想方设法购置打印机方便自己打印。

每台计算机配备打印机，无疑会大大增加计算机应用的投资。打印机是一种低使用率设备，相对于办公计算机，打印机工作的时间极为有限，因此充分利用打印机的资源、减少打印机的购置数量是提高投资有效性的一种手段。

打印共享的实现，使得每个办公室以至每个办公楼层中，只需要配置一台或数台打印机，即可满足整个办公环境的打印需求。十几台甚至更多的计算机共同使用一台打印机，这在网络环境下极易实现。按十几台计算机都配备打印机的投资，足够购买一台快速激光打印机并加上网络设备的费用，而网络设备的投资回报并非仅仅网络打印一种，因此是非常合算的投资方式。

打印共享对于计算机使用者并没有增加操作上的困难，一旦配置完成，与使用本机的打印机方法完全相同。

3.网络传真

传真也是常规办公应用中常用的手段。通常的做法，是在一定范围的办公区域配置一台传真机，提供所有人员共同使用。接受到外部传真时，需要有人告知接收者。

在现在的办公室内，已经比较少有手写传真文稿的情况，多数做法是在计算机上编辑完成一份传真文稿，然后打印，再拿着打印好的文件去传真机传真发送。如果需要批量发送传真，即一份同样内容的传真发送到不同的传真机上，就需要传真者守在传真机前不停的发送，这显然是一项工作强度比较大的难题。
计算机发送传真，使得我们能够脱离打印这一个步骤，直接由计算机将编辑好的传真文稿通过Modem发送到对方的传真机上，或者传真到对方计算机的传真接受系统上。从这个角度看，至少我们可以节约打印纸的耗费和对打印机的消耗，因此已经具有一定的应用价值。

网络传真则是在网络上设置一台传真服务器设备，所有联网计算机均可使用。当需要发送传真时，任何一台联网计算机（也可控制指定一些用户发送传真）将编辑好的传真文稿直接通过传真服务器传真。当同一时间需要传真的人员较多时，传真服务器能够自动按先后进行排队，而发送传真的用户并不需要关心这些，也不需要再在传真机前面排队等候。批量发送更为方便，许多传真服务器系统支持多址发送。而且，为了减少长途电话费用的支出，还可以将批量的传真定义到半价时段发送，以减少办公费用。
发送计算机传真与网络传真，使用上并不麻烦，也无需过多培训，就与使用打印机一样，将文件打印到传真端口，填写电话号码就完成了传真的发送工作。

网络传真的接收也是自动进行。进入的传真直接由传真服务器接收，存放在服务器内，由专人或前台行政人员根据传真头通过网络分发传真。接收传真使用网络传真的方式，一方面可以减少传真纸的使用，更重要的是，不会因为传真机无纸，导致重要的传真不能接收，这一点比节省纸张的费用更为重要。

当然，在国内使用计算机传真和网络传真也有一些问题。最主要的问题就是国内的一些单位传真机并不是自动职守，一些小单位传真电话也兼做普通电话的作用，需要人工干预，还有将传真机放到内部分机号码的情况。在这时，网络传真与计算机传真都会失效。随着国内经济的发展，这种情况慢慢也会逐步改善。但就目前而言，使用网络传真仍需要有一台普通传真机应对这些非自动传真设备。

使用计算机传真或网络传真的另一个问题是手迹传送、原件传送的问题，但这个问题能够通过使用图像扫描仪将手迹、原件扫描后再通过网络传真发送。目前普及型的图像扫描仪售价仅1000多元人民币，相比传真机而言便宜得很多。同样，这类传真件的发送也可以使用普通传真机。

4.电子邮件

电子邮件是网络最重要的应用方式。由于电子邮件的存在，使得全球的通讯方式发生革命性的变化，发送信息再不需要漫长的等待和高昂的邮政费用，向世界的另一面发送信息也不过是瞬息的事情。应该说，电子邮件改变了信息通讯的方式。电子邮件是Internet上最重要的网络应用。电子邮件是目前计算机网络最广泛和最重要的应用之一，也是办公自动化系统的一个基础性设施。

电子邮件(E-mail)是人们利用计算机进行信息编制、存储和传递的一种现代化通信方式。各种信息，如公文文件、私人信函和各种计算机文档等,均可以用电子邮件快速而方便地传送给接受者。
目前，各种单位的办公基本上已经采用了计算机，即使在计算机应用水平很低的地方，一个单位内也会具备至少一台以上的计算机，用于重要的文件的打印和排版。因此，由计算机存储的数字化文档正在逐步取代纸面的文档。

计算机的广泛应用，使得以纸做为载体的文件开始不很重要了，除了需要领导签字的文件外，其他文件几乎都能够以计算机数码文件的形式保存。采用数码文件，不但查询、检索、再利用等方面十分便利，可以大大提高工作效率，而且，为通过电子邮件方式进行传送提供了先决条件。

一般人可能认为，电子邮件主要用于国际互联网上远距离发送文件，单位内部使用的价值不大，其实不然。我们知道，许多文件并非都需要签字后上交，往往在一份办公文件的形成过程中，需要多次报送领导审阅，报送其他相关部门审阅，领导或其他部门发表意见后返回，修改后再报出去，直到最后满意成为正式文件。在这个过程中，不存在签字盖章的问题，因此，本来文件就是在计算机上编写的，报送审阅的过程都可以通过内部电子邮件进行，无需打印造成纸张浪费，无需跑路传递给各个相关部门，只有当文件正式生效的时候才需要打印一次、签字盖章，整个过程中能够不浪费一张纸。对于协同工作中的讨论、意见、建议等内容，由于不存在签字盖章的问题，更可以完全依靠电子邮件系统。最后文稿的形成，意见的采纳，都可通过保存的电子邮件回顾、拷贝、粘贴进行。

内部使用的电子邮件系统一般都包括一下几层安全特性：

(1)严格的身份验证：不允许任何人以假冒的身份发送邮件,也不允许任何人冒名窃取别人的邮件。

(2)可靠的加密措施：为防止邮件信息在传输过程中被人非法截阅,邮件信息在发送方要能进行加密编码, 在接受方要能进行相应的解码。

(3)收发邮件的不可抵赖性：即使发送方和接收方均不能修改已经发送和接收的邮件内容和收发记录(收发时间和收发者),从而均不能抵赖相应的责任问题。

由于上述的安全特性，在计算机网络得到充分应用时，过去需要签字盖章的一些企业内部文件也完全能够摒弃签字盖章的过程。收到文件的人员只要看到电子邮件的发出人信息，就能够确认这份文件的有效性。电子邮件只有在使用自己的密码登录后才能够使用，关键岗位人员平时注意离开办公位置后关闭电子邮件系统，就能够有效的防止别人伪造信息。另外，好的内部电子邮件系统都具备数字签名措施，也能够有效防止伪造电子邮件的身份标识。

由于计算机应用初期，许多人可能还对电子文本不够信任。实际上，电子文件做好备份措施后是十分可靠的。许多国外大公司，包括象CISCO公司这样全球市场价值第一的公司，其办公文件、通知、通告、审批文件等都完全通过电子邮件系统进行，所以国内企业也应能够完全信任电子邮件系统。

电子邮件并非只能传送文字信息，只要是计算机生成的文件，包括图形文件、扫描或数码相机拍摄的数字图像照片、CAD设计电子图纸等等，都能够传送，通过网络瞬息可达，辅以内部电话联系、讨论，就能够进行协同工作。

电子邮件的另一个优势是能够利用全球互联网发送文件、联系客户、促进业务的开展。电子邮件与企业Internet网站结合，就能够开展电子商务活动。通过企业网站对企业进行宣传，通过电子邮件收集意见、建议、合作信息、订货信息，对企业的业务工作开展如虎添翼。

基于局域网的电子邮件系统，既便于机构内部的电子邮件传递，也便于通过Internet和其他广域网与外部进行连接，这种系统一般都提供严格的身份验证，具有很好的安全性。因此是国内外办公自动化系统中广泛应用系统。

目前在国内，办公自动化建设和电子邮件应用得到了迅速的发展。中央部委机关半数以上已经建立了办公自动化网络并采用了电子邮件系统。进行各种公文的快速传递。上级机构常用它来向下级发送公文文件、信息简报和事务通知等,下级机构则常用它向上级传送统计报表和请示报告等。这也充分说明了电子邮件系统是足够安全的，在企业中应该得到广泛的应用。

5.远程访问

远程访问是只对企业内部网络进行连接的人员，不是通过企业办公地点的网络线路进行，而是通过电话线路和必要的设备（调制解调器-Modem）从任意地点连接到企业内部网上。

远程访问一般是为出差人员、外地小型办公机构设立。虽然这些人不在企业所在地，但通过远程访问，仍能够与企业联系，访问企业的数据，取得企业的文件，接收自己的电子邮件，因此与企业的联系依然存在。远程访问使得企业人员无论身处何地，只需一条电话线，就如同企业就在身边。

当一个人出差在外遇到问题时，他可以通过远程访问连接到企业网上，得到企业的最新信息。即使出差工作中遇到了较大的难题，他也能够将问题和有关参数、数据通过远程访问传递到企业，企业组织力量快速解决问题后，把结果传送回出差人员，使得出差人员不必再次往返，既节约了时间，也省去了奔波劳累和旅行费用，提高工作的效率。

Ⅸ 设计报告中小型企业的网络及安全方案

你去CSDN吧，这么多字我估计很少有人回答。我简单跟你说一下吧

VPN专用信道肯定要有，服务器前面加防火墙。这部门之间设置vlan，个vlan间用路由链接。每个部门应由独立防火墙，路由设置包过滤。所有系统加密码，邮件和FTP服务器重点保护。

Ⅹ 有关中小型局域网的网络安全解决方案

企业网络安全管理方案
大致包括： 1) 企业网络安全漏洞分析评估2) 网络更新的拓扑图、网络安全产品采购与报价3) 管理制度制定、员工安全教育与安全知识培训计划4) 安全建设方案5) 网管设备选择与网络管理软件应用6) 网络维护与数据灾难备份计划7) 企业防火墙应用管理与策略8) 企业网络病毒防护9) 防内部攻击方案10) 企业VPN设计
网络安全要从两方面来入手
第一、管理层面。包括各种网络安全规章制度的建立、实施以及监督
第二、技术层面。包括各种安全设备实施，安全技术措施应用等
按照你的描述 首先我提醒你一点
安全是要花钱的 如果不想花钱就你现有的这些设备
我认为应该从以下几点入手
一、制定并实施网络安全管理制度 包括服务器以及个人主机安全管理、包括个级别权限管理等等
二、制定并实施网络安全日常工作程序，包括监测上网行为、包括入侵监测
三、从技术层面上，你那里估计是一根专线接入后用交换机或者无线路由器DHCP分配IP地址供大家上网，这样的话你做不到上网行为管理，你需要一台防火墙进行包过滤以及日志记录 或者作一台代理服务器进行上网行为管理并进行日志记录。
四、局域网内计算机系统管理 包括操作系统防病毒 更新补丁等工作 堡垒往往是从内部攻破 内部计算机中毒主动向外发送数据，造成泄密 这已经是很常见的事情 所以做好主机防护很重要。
当然 如果您有钱 黑洞系统 入侵监测 漏洞扫描 多级防火墙 审计系统都可以招呼
最后提醒一点 那就是 没有绝对的安全 安全都是相对的
你需要什么级别的安全 就配套做什么级别的安全措施
管理永远大于技术 技术只是辅助手段