中小型企业局域网设计策画Word下载.docx
- 文档编号:20338717
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:17
- 大小:131.64KB
中小型企业局域网设计策画Word下载.docx
《中小型企业局域网设计策画Word下载.docx》由会员分享,可在线阅读,更多相关《中小型企业局域网设计策画Word下载.docx(17页珍藏版)》请在冰豆网上搜索。
经过我们对该企业的研究,预计企业在未来几年企业将进一步扩大,我们将预留一定的升级空间方便新用户的接入,其中包括网络设备支持升级其他应用设备的接入,全面实现计算机资源共享:
对于局域网中的各种资源,通过设置网络用户的共享权限,让他成为网络共享资源。
(如计算机硬盘、软驱、光驱、刻录机,各类软件和文本文件、打印机、扫描仪、调制解调器等I/O设备)当然随着网络设计过程的接入,我们的设计也许会有一定的调整。
2.2用户需求:
对于一个企业网络而言用户的需求是基础,经营想到应用、计算机平台甚至网络。
用户需求主要包括可靠性、可用性、可升级性、安全性、及时性以及响应时间。
企业的用户群包括管理层,普通用户群的也用代表,在与用户群的适当的交流包括问卷调查,集中访谈,个人采访中我们发现,“快”是多数用户对网络响应的要求了,其中包括下载速度、连接速度等,我们将为核心设备提供冗余,以尽量保障系统的99.95%的可靠性,同时我们将根据企业的需求,为用户停工远程登录,文件传输服务,在年底企业统计全年信息时候会出现企业通讯高峰时间,我们的服务器将以满足高峰期通讯为基础选型的。
当然我们将提供防火墙等安全设备,保障用户信息,物理资源的机密性,网整性和确实性,提供一定的数据加密、自动备份、发生问题的恢复等。
当然也包括网络应提供的服务资源共享、办公自动化、远程控制、电子邮件、www应用等。
2.3网络需求:
网络的需求包括网络互抄作、网络管理、网络安全、网络冗余及灾难恢复等。
其中网络的管理系统功能包括:
故障管理、配置管理、性能管理、记账管理和安全管理。
由于该企业是属于计算机方面的中型企业,安全管理,特别是对新技术研发的商业机密的保护属于比较重要的,因此通过调查,我们将网络管理任务根据优先级进行排序:
安全管理、故障管理、配置管理、性能管理、记账管理。
对网络进行监视,通过接收被管网络单元上报的网络运行异常的信息或通过获取关于网络状态的数据来监听网络运行状态,并付诸隔离和解决网络故障等问题,使用网络管理协议SNMP、CMIP等协议对网络进行管理。
2.4总体需求:
网络拓扑图如下:
2.4地址和命名模式
1.地址规划
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
因此我们要在分配地址前设计结构化编址模型使地址是有意义、层次化和规划好的,并且包括前缀和主机两部分IP地址结构式是结构化的。
对于编址的结构化模型进行清晰记录有利于地址的管理和故障排查。
结构化使得理解网络结构、操作网络管理软件以及利用协议分析仪跟踪、报告和识别设别都很容易。
结构化地址还易于实现网络优化和安全性,因为它使得在防火墙、路由器和交换机上实施网络过滤变得容易。
同时为编码模型预留成长空间,方便以后企业的扩充。
在编址的过程中以层次化方式分配地址块,以培养良好的扩展性和可用性。
由于公司部门较多网络数据通信绝多数是再部门内进行,而且为了管理方便和提高部门内部的信息访问速度,我们用子网掩码把各个单位单独划分成一个子网,并分配网络号,通过IP地址与子网掩码的运算而得出该IP地址是再局域网上,还是再远程网上。
如果是在局域网上信息就直接送往集线器或交换机,如果在远程网上信息就被送到路由器,路由器转发到远程网。
这样提高了子网内部的数据传输和寻址的效率,而子网之间通信可以通过路由器或3层交换机进行。
因此我们采用子网掩码的方式对网段进行划分。
在子网划分过程中我们采用层次化方式分配地址块,同时考虑到各部门的PC机使用数量,我们为每个部门划分不同的IP网段,但尽量让规划简单,以便有尽可能多的人能够理解它,即容易实现又方便维护,也再地址规划中不给路由器资源增加很大负担。
2.命名模式
在网络管理和使用方面具有简短而有意义的名字也是非常重要的,名字在满足客户应用性目标方面起到了非常关键的作用,同样简单而有意义的名字也可以简化网络管理。
一个好的命名模型还可以增强网络的性能和可用性。
一个好的命名模式应该允许用户通过名字而不是通过地址透明的访问服务。
因为网络协议需要通过地址才能工作,因此用户系统应提供名字和地址的映射功能。
将名字映射到地址的方法可以是使用某种命名协议的动态方法,可以是静态方法。
虽然动态命名协议会引起额外的网络流,但通常还是建议优先采用动态命名方法。
对系统进行分布式授权最明显的有点是,没有任何一个部门需要分担分配并维护所有名字的工作压力。
当然还包括性能和可扩展性。
如果每个名字服务器都只管理一部分名字空间而不是整个名字空间,那么对服务器内存和处理能力的要求就会减少。
另外,如果客户机能够访问本地名字服务器而不依赖于中心服务器,那么可以再本地将许多名字解析为地址,这样就不会再互联网络中引起任何流量。
本地服务器可以高速缓存远端设备的信息。
为了方便地使用名字,命名的原则是名字应该简短、有意义、无歧义并且清晰的,并且用户应该能很容易的根据名字识别出对应的设备。
在命名中尽量避免特殊字符,包括连字符、下划线、星号等,也要尽量不区分大小写和空格以免引起用户的困惑,名字也尽量为8个字符或者小于8个字符。
如果网络中的一个设备有多个接口和多个地址,应该将所有的地址都映射到同一个相同的名字上去,这样网络管理软件也就不会把该多端口设备当成是多台设备。
综上所述为该中小企业网的IP地址规划和命名如下:
核心交换机1(hexinsw1)
部门
VLAN名
VLANID
网关地址
网段地址
管理
manage
2
192.168.2.1
192.168.2.0/24
财务部
finance
3
192.168.3.1
192.168.3.0/24
技术部
techniqy
4
192.168.4.1
192.168.4.0/24
销售部
sales
5
192.168.5.1
192.168.5.0/24
服务器
server
6
192.168.6.1
192.168.6.0/24
边界
edge
7
192.168.7.1
192.168.7.0/24
核心交换机2(hexinsw2)
管理部
192.168.2.2
财务部
finace
192.168.3.2
192.168.4.2
19/2.168.5.2
192.168.6.2
192.168.7.2
3、风险分析
网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。
原来由单个计算机安全事故引起 损害可能传播到其他系统,引起大范围 瘫痪和损失;
另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对这个企业局域网中存 安全隐患, 进行安全方案设计时,下述安全风险 们必须要认真考虑,并且要针对面临 风险,采取相应 安全措施。
下述风险由多种因素引起, 这个企业局域网结构和系统 应用、局域网内网络服务器 可靠性等因素密切相关。
下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:
1网络物理是否安全;
2网络平台是否安全;
3系统是否安全;
4应用是否安全;
5管理是否安全。
针对每种类安全风险,结合这个企业局域网的实际情况,将具体的分析网络的安全风险。
3.1物理安全风险分析
网络的物理安全风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;
电源故障;
人为操作失误或错误;
设备被盗、被毁;
电磁干扰;
线路截获。
以及高可用性的硬件、双机多冗余设计、机房环境及报警系统、安全意识等。
它把整个网络系统安全 前提,这个企业区局域网内,由于网络的物理跨度性大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
3.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
公开服务器面临的威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司的信息发布平台,而旦能运行后者受到攻击,对企业的声誉影响巨大。
同时公开服务器本身要为外界服务,必须开放相应的服务;
每天,黑客都试图闯入Internet节点,这些节点如果不能保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。
因此,规模比较大网络管理员对Internet安全事故做出有效反应变得十分重要。
我们必要将公开服务器、内部网络和外部网络进行隔离,避免网络结构信息外泄;
同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。
网络系统的成熟直接影响安全系统成功的建设。
这个企业局域网络系统中,只使用几台路由器,用作与Internet连结的边界路由器,网络结构相对简单,具体配置时可以考虑使用静态路由,这就大大减少因网络结构和网络路由造成的安全风险。
3.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:
对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft WindowsNT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
可以这样讲:
没有完全安全的操作系统。
但是,我们可以对现在的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证(特别是要到达服务器主机之前的认证),确保用户的合法性;
其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
3.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全是动态的、不断变化的:
应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG很少能够发现的,因此几套详尽的测试软件是相当必须的。
但是应用系统的不断发展且应用类型的不断增加,其结果安全漏洞也是不断增加且隐藏越来越深。
因此,保证应用系统的安全也随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:
信息安全性涉及到:
机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统可用性等。
由于这个企业局域网跨度大,绝大部分重要信息都由内部传递,因此信息的机密性和完整性是以保证的。
对于一些特别重要 信息需要对内部进行保密(比如领导子网、财务系统传递的重要信息)可以考虑应用级进行加密,针对具体的应用直接对应用系统开发时进行加密。
3.5管理的安全风险分析
管理是网络安全中最重要的部分
管理是网络中安全最最重要的部分。
责权不明,管理混乱、安全管理制度的健全及缺乏可操作性等都可能引起管理安全的风险。
责权不明,管理混乱,使得某些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告和预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性和可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
3.6黑客攻击
黑客们的攻击行动是无时无刻不再进行的,而且会利用系统和管理上的一切可能利用 漏洞。
公开服务器存在漏洞,黑客可以轻易地骗过公开服务器软件,得到Unix下口令文件并将之送回。
黑客侵入UNIX服务器后,可能修改特权,从普通用户变为高级用户,而旦成功,黑客可以直接进入口令文件。
黑客还能开发欺骗程序,将其装入UNIX服务器中,用以监听登录会话。
当它发现用户登录时,便开始存储级个文件,这样黑客就拥有他们的帐户和口令。
这时为了防止黑客,需要设置公开服务器,使得它离开自己的空间而进入另外的目录。
另外,还应设置组特权,允许任何使用公开服务器访问WWW页面文件以外的东西。
这个企业的局域网内可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源,防止黑客攻击。
3.7通用网关接口(CGI)漏洞
风险涉及通用网关接口(CGI)脚本。
许多页面文件和指向其他页面或站点的超连接。
然而这些站点用到这些超连接所指站点寻找特定信息。
搜索引擎通过CGI脚本执行的方式实现。
黑客可以修改这些CGI脚本以执行他们的非法任务。
通常,这些CGI脚本只能在这些所指WWW服务器中寻找,但如果进行一些修改,他们就可以在WWW服务器之外进行寻找。
要防止这类问题发生,应将这些CGI脚本设置为较低级用户特权。
提高系统的抗破坏能力,提高服务器备份的恢复能力,提高站点内容的防篡改和自动修复能力。
3.8恶意代码
恶意代码仅限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。
应该加强对恶意代码的检测。
3.9病毒的攻击
计算机病毒一直是计算机安全的主要威胁。
能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加这种威胁程度。
病毒的种类和传染方式也增加,国际空间的病毒总数已达上万甚至更多。
当然,查看文档、浏览图像或Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。
典型的“CIH”病毒就是一个可怕的例子。
3.10内部员工
内部员工最熟悉公司内部结构,有可能会在WWW站点上开些小玩笑,甚至破坏。
无论如何,他们最熟悉服务器、小程序、脚本和系统 弱点。
对于已经离职的员工,可以通过定期改变口令和删除系统记录以减少这类风险。
但是这些员工比已经离开员工能造成更大的损失,例如他们可以传出至关重要的信息、泄露安全重要信息、进入数据库、删除数据等等。
3.11网络的攻击手段
一般认为,目前对网络的攻击手段主要表现为:
非授权访问:
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如故意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要为以下几种形式:
假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:
指敏感数据被故意或无意中被泄漏出去或丢失,它通常包括,信息 传输中丢失或泄漏(如"
黑客"
们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。
),信息的存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;
恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
4、安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。
如何及时发现网络系统中最薄弱的环节?
如何最大限度地保证网络系统的安全?
最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常有几个网络安全性评估分析软件,其功能具用实践性的方法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性为目地。
检测工具应具备以下功能:
具备网络监控、分析和自动响应功能
找出经常发生问题的根源所在;
建立必要的循环过程确保隐患时刻被纠正;
控制各种网络安全危险。
进行漏洞分析和响应服务的配置分析和响应服务的漏洞形势分析和响应服务的认证和趋势分析
具体体现在以下方面:
防火墙得到合理配置内外WEB站点的安全漏洞减为最低网络体系达到强壮的耐攻击性 各种服务器操作系统,如E_MIAL服务器、WEB服务器、应用服务器,将受黑客攻击性可能降为最低,对网络访问做出有效响应,保护重要应用系统(如财务系统)数据安全免受黑客攻击和内部人员误操作的侵害审计的监控
审计对记录用户使用计算机网络系统进行所有活动的过程,它能提高安全性的重要工具。
它不仅能够识别谁访问系统,还能看出系统正被怎样地使用。
对于确定是否被网络攻击 情况,审计信息对于去定问题和攻击源很重要。
同时,系统事件的记录能够更迅速和系统地识别问题,并且它后面阶段事故处理为重要依据。
另外,通过对安全事件的不断收集和积累并且加以分析,选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生 破坏性行为提供有力的证据。
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络攻击的犯罪行为。
安全检测局域网一般要用到三个:
NTscan变态扫描器,Recton--D贺免杀专用版,DameWare迷你中文版4.5.(前两个工具杀毒软件都会报毒,建议将杀毒软件实时防毒暂时关掉,并将这两个软件的压缩包加密,防止被杀。
)...
1.入侵的范围只包括局域网,如果在学校上,可以入侵整个校园网;
2.能入侵的只是存在弱口令(用户名为administrator等,密码为空),并且开了139端口,但没开防火墙的机子。
入侵工具:
一般要用到三个:
)
入侵步骤:
1.使用"
NTscan变态扫描器"
,在IP处填上要扫描的IP范围,选择"
WMI扫描"
方式,按"
开始"
后就等扫描结果了。
2.使用"
Recton--D贺免杀专用版"
选择"
CMD命令"
项,在"
CMD:
"
中输入"
netshareC$=C:
\"
,即可开启远程主机的C盘共享,以此将"
C"
换成D,E,F等,即可开启D盘,E盘,F盘等的共享,这种共享方式隐蔽性很高,而且是完全共享,在对方主机上不会出现一只手托住盘的共享标志,然后在地址栏中输入"
\\对方IP\C$"
,即可进入对方C盘。
Telnet"
远程主机"
中输入刚才扫描到的一个IP,远程启动Telnet服务,成功后在"
CMD选项"
中,执行命令:
netshareipc$"
接着执行:
netshareadmin$"
最后执行"
netuse\\***.***.***.***\IPC$"
/user:
administrator"
在*处填入你入侵的主机IP。
3.使用"
DameWare迷你中文版4.5"
,安装后点"
DameWareMiniRemoteControl"
,在"
帮助"
项中选择激活产品,输入注册信息,成功注册后,进入"
远程连接"
窗口,在"
主机"
处填入IP地址
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中小型企业 局域网 计策