中小企业网络设计方案

中小企业网络设计方案（精选8篇）

中小企业网络设计方案 篇1

老师布置了一个题目《中小企业网络设计方案》，好迷茫，不会做，有谁帮帮我

1.需求分析

1.1.网络环境及信息点需求 1.2.网络应用需求

1.2.1.资源共享功能：

网络内的各个桌面用户可共享数据库、共享打印机、共享资源，实现办公自动化系统中的各项功能。1.2.2.数据存贮： 网络存贮功能。

1.2.3.通信服务功能：

最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。

1.2.4.多媒体功能： 视频会议、视频培训等。1.2.5.企业应用：

企业应用系统如电子商务运营平台、ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等

1.2.6.企业电子邮箱。

1.2.7.远程VPN拨入访问功能：

系统支持远程PPTP接入，外地员工可利用INTERNET远程访问公司资源。

2.设计原则

2.1.实用性和经济性

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。

2.2.先进性和成熟性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。

2.3.可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，TP-LINK网络作为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。

2.4.安全性和保密性

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，TP-LINK网络充分考虑安全性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d等。

2.5.可扩展性和易维护性

为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。

3.设计方案

3.1.总公司网络设计方案 3.1.1.网络总体设计 3.1.1.1.网络拓扑

3.1.1.2.网络区域分布（VLAN划分）

经理办公室（包括总经理、多名副总经理、总经理助理、秘书等）仓储部 客服部 商务部 财务部 会议室 ……

3.1.2.网络布线系统

3.1.2.1.主干子系统（包括接入方式、接入网络运营商、接入带宽等）3.1.2.2.网络中心子系统(DNS解决方案)(为了节省投入不作网络冗余设计）3.1.2.3.垂直子系统 3.1.2.4.水平子系统 3.1.2.5.工作间子系统

3.1.3.技术要求及设备选型

3.1.3.1.网关型上网行为管理系统的技术要求及选型 3.1.3.2.核心交换机的技术要求及选型 3.1.3.3.路由器的技术要求及选型

3.1.3.4.服务器的技术要求、选型及部署（包括操作系统选择）服务器部署拓扑图

3.1.3.5.接入交换机的技术要求及选型

3.1.4.网络安全 3.1.4.1.网络平台安全 3.1.4.2.服务器群安全 3.1.4.3.应用安全 3.1.4.4.防病毒解决方案

中小企业网络设计方案 篇2

计算机网络的发展, 使信息共享应用日益广泛与深入, 但是企业的信息在公共网络上传输, 可能会被非法窃听、截取、篡改或破坏、而造成不可估量的损失。网络信息安全是指网络系统的硬件, 软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露、系统能连续可靠地运行, 网络服务不中断。

1.1企业信息安全现状

随着企业网络的普及和网络开放性, 共享性, 互连程度的扩大, 网络的安全问题也越来越引起人们的重视。对于国内大多数的企业来说, 如何在充分利用信息化优势的同时, 更好地保护自身的信息资产, 已经成为一个严峻的挑战。特别是近两年来, 网络上的病毒、攻击事件频发, 信息安全问题正在成为企业信息化进程中的难题。

企业网络面临的安全威胁主要来自外部和内部人员的恶意攻击和入侵。在网络安全方面, 防止内部人员窃取和攻击, 以及因其它原因造成企业信息失密, 还没有得到企业的足够重视。如何能够满足企业信息安全要求, 最大限度的保证信息安全, 这是很多企业必须面对的问题。

1.2威胁企业网络安全的因素

(1) 非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。主要是内部人员的失误和破坏。如操作员安全配置不当造成的安全漏洞, 用户安全意识不强, 用户口令选择不慎, 用户将自己的帐号随意转借他人或与别人共享。

(2) 冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限, 以达到占用合法用户资源的目的。

(3) 破坏数据的完整性。指使用非法手段, 删除、修改、重发某些重要信息, 以干扰用户的正常使用。

(4) 干扰系统正常运行, 破坏网络系统的可用性。指改变系统的正常运行方法, 减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源, 使有严格响应时间要求的服务不能及时得到响应。

(5) 病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等, 其破坏性非常高, 而且用户很难防范。

(6) 软件的漏洞和"后门"。软件不可能没有安全漏洞和设计缺陷, 这些漏洞和缺陷最易受到黑客的利用。另外, 软件的"后门"都是软件编程人员为了方便而设置的, 一般不为外人所知, 可是一旦"后门"被发现, 网络信息将没有什么安全可言。

二、网络安全相关技术产品分析

2.1防火墙技术

防火墙的主要作用是过滤不安全的服务、控制对系统的访问、集中的安全管理、增强的保密性、记录和统计网络利用数据以及非法使用数据及策略执行。实际应用如ISA软件防火墙、CISCO硬件防火墙等。

2.2反病毒技术

由于病毒的种类越来越多, 破坏力越来越强, 而传统的反病毒技术-首先发现病毒, 然后开发出相应的病毒特征, 供用户下载已经不能适应企业的信息安全需求。一些防病毒软件已经开始采用一些先进的反病毒技术, 如启发式侦测技术、蠕虫拦截技术、神经网络技术等, 不仅能查、杀各种未知病毒, 还能修复被病毒感染的文件, 并且防止间谍软件, 击键记录程序等非病毒性泄露企业隐私信息的威胁。

2.3入侵检测技术

入侵检测系统 (IDS:Intrusion Detection System) , 是对入侵行为的检测, 通过收集和分析计算机网络或计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。一般来说, 入侵检测系统可分为基于主机的IDS (Host-Based IDS, 简称HIDS) 和基于网络的IDS (Network-Based IDS, 简称NIDS) 。HIDS往往以系统日志、应用程序日志等作为数据源, 当然也可以通过其他手段 (如监督系统调用) 从所在的主机收集信息进行分析。HIDS保护的一般是所在的系统, 需要在主机上安装Sensor, 占用主机一部分资源, 因此为避免对关健业务主机产生影响, 不对关健业务主机配置HIDS。NIDS的数据源则是网络上的数据包, 通过将一台计算机的网卡设置为混杂模式 (promisc mode) , 监听所有本网段内的数据包并进行判断, NIDS担负着保护整个网段的任务。

2.4漏洞扫描和评估技术

扫描是网络安全防御中的一项重要技术, 其原理是根据已知的安全漏洞知识库, 对目标可能存在的安全隐患进行逐项检查, 目标可以是工作站、服务器、交换机、数据库应用等各种对象, 然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告, 为提高网络安全整体水平产生重要依据。

2.5数据加密技术

主要针对企业的敏感信息, 在数据传输过程中对数据加密防止数据被篡改或截获。加解密技术中, 密码算法是用于隐藏和显露信息的可计算过程, 算法越复杂, 结果密文就越安全;密钥是使密码算法按照一种特定方式运行并产生特定密文的值, 密钥越大, 结果密文越安全, 企业在加密数据过程中, 密钥管理成为影响系统安全的关键性因素。比如私钥密码体制具有很高的保密强度, 可以经受较高级破译力量的分析和攻击, 但它的密钥必须通过安全可靠的途径传递, 如果密钥泄露, 则此密码系统被攻破。加密技术中应用比较广泛的有SSL、SET和PGP等。

2.6防水墙技术

防水墙是用来加强信息系统内部安全的重要工具, 它处于内部网络中, 是一个内网监控系统, 可以随时监控内部主机的安全状况。其着重点是用技术手段强化内部信息的安全管理, 利用密码、访问控制和审计跟踪等技术手段对公司信息实施安全保护, 使之不被非法或违规的窥探、外传、破坏、拷贝、删除, 从本质上阻止了机密信息泄漏事件的发生。

2.7 UTM技术

UTM最早是由美国Fortinet公司提出的, UTM是由硬件、软件和网络技术组成的具有专门用途的设备, 它主要提供一项或多项安全功能, 它将多种安全特性集成于一个硬设备里, 构成一个标准的统一管理平台。相比传统网关安全设备, UTM设备融合多种安全能力, 具有投入少、防御能力强、管理方便的优势。

三、Intranet企业网的安全需求

Intranet和Internet相比较:Intranet本身是一个相对独立的网络空间, 相对独立是指它有自己的边界。另一个方面, Intranet具有中央管理, 因为它属于一个企业或一个单位, 那么这个企业就要对这个网络实施管理, 而且管理的核心内容就是安全。因为有了中央管理, 使Intranet可以采用身份认证和授权管理等方式, 解决IP地址易被窃用等问题。从企业网受到攻击的类型分析, 一个完整的网络安全解决方案既要解决系统安全, 又要解决数据安全两方面的问题, 特别是要解决来自内部的非授权访问。概括而言, Intranet企业网的安全需求包括:解决网络的边界安全, 因为它本身是和国际互联网相连的;要保证网络内部的安全;不仅要实现系统安全, 还要实现数据安全;建立全网通行的身份识别系统, 实现用户的统一管理;在身份识别和资源统一管理的基础之上, 实现统一的授权管理, 所谓的统一授权管理就是在用户和资源之间进行严格的访问控制;信息传输时实现数据完整性和保密性;建立一整套审计、记录的机制, 也就是说网上发生的事情要记录下来, 再根据记录进行事后的处理;把技术手段和行政手段融为一体, 形成全局的安全管理。

四、企业信息安全解决方案设计

为建立起完善的内部信息安全系统, 实现堵塞漏洞和防止攻击的目的, 建立安全技术三维模型和安全平台模型, 对操作系统安全、网络安全、数据安全和应用安全平台等各方面进行安全设计和规划, 并采用安全漏洞扫描和安全监控等技术手段做保障, 以可靠性设计手段做灾后处理的设计, 致力于提高企业的信息安全管理水平。

4.1操作系统安全策略

服务器采用的操作系统, 其在安全性上应能够达到C2 (有控制的存取保护) 安全级别, 对系统可提供有效的安全保密措施。

在系统管理上, 对所需要使用的端口采取有效的控制措施, 防止非法人员利用某些漏洞非法进入, 对系统不用的软件或不用的端口尽量卸载或关闭。在操作系统级的安全保障策略上, 主要的技术手段有:漏洞修补、病毒防护、入侵检测等。

4.2网络安全策略

当信息在网络上传递的过程中, 有可能被窃取或泄露, 保障网络的安全主要是实现屏蔽非法的网络请求, 保证正确的数据传输, 对关键信息进行加密。在网络的安全保障策略上主要的技术手段有防火墙应用、VPN数据加密传输等。

4.3数据安全策略

数据是信息的基础, 是企业的宝贵财富。要做好数据的常规备份和历史保存。备份系统应该是全方位、多层次的。首先, 要考虑硬件冗余来防止硬件故障, 对软件故障或人为误操作造成数据的损坏, 则使用存储备份系统和硬件容错相结合的方式。这种结合方式构成了对系统的多级防护, 不仅能够有效地防止物理损坏, 还能够彻底防止逻辑损坏。

4.4应用安全策略

应用系统安全除采用通用的安全手段外主要根据企业自身经营及管理需求来开发。例如办公系统中文件 (邮件) 的安全存储, 可利用加密手段, 配合相应的身份鉴别和密钥保护机制, 使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态。对通用信息服务系统 (电子邮件系统, WEB信息服务系统FTP服务系统等) 采用基于应用开发安全软件, 如安全邮件系统, WEB页面保护等。

4.5交易安全策略

针对网上企业交易的风险和特点, 保障交易安全通常采用授权, 身份鉴别, 信息加密, 完整性校验, 信息审计, 防重发, 防抵赖等安全机制, 具体实现主要依靠基于PKI (公开密钥密码设施) 体系现代密码技术及在此基础上开发应用的电子商务认证加密系统 (CA) .

4.6安全管理策略

建立网络安全保障体系不能仅仅依靠现有的安全机制和设备, 更重要的是提供全方位的安全服务。安全服务是由专业的安全服务机构对信息系统用户进行安全咨询、安全评估、安全方案设计、安全审计、事件响应、定期维护、安全培训等服务。通过规划建立企业系统安全体系, 综合运用各种安全技术和手段, 达到安全目标。

五、总结

网络安全研究历经了通信保密、数据保护两个阶段, 正在进入网络信息安全研究阶段, 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域, 它综合利用了数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果, 提出系统的、完整的和协同的解决信息网络安全的方案, 面对着来自企业内外的各种威胁, 将防火墙安全、安全VPN、IDS和防病毒功能集中在一个解决方案之中, 使它们无缝协作, 不仅可以降低购买成本, 而且还消除了维护一个过度复杂的多设备解决方案的长期费用。

企业网络信息安全是企业发展, 提升企业竞争力的前提, 是企业专用网络应用中的一个综合性课题。它需要不断地对网络实施监测和控制, 设计技术、管理、使用等许多方面, 既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施。未来企业的网络信息安全将会面临更大的挑战和机遇。

参考文献

[1]鲜永菊.入侵检测[M].北京:西安电子科技大学出版社, 2009, 8

[2]胡铮.网络与信息安全[M].北京:清华大学出版社, 2006, 5

[3]徐茂林.游林.信息安全与密码学[M].北京:清华大学出版社.2007, 1

小区网络方案设计 篇3

关键词：小区网络；设计方案；自动化

网络经过短短几十年的发展，已在世界各地逐步普及。近几年来，随着计算机的普及和建筑电子产业的发展。现如今，越来越多的人已经离不开网络，无论是工作、学习、休闲娱乐，都已经和网络息息相关，出行前不熟悉交通的上网查路线、外出吃饭会前去查哪家餐馆受好评、买书去卓越网、想看新闻去新浪、买IT产品必上导购网站查报价、网上购物去淘宝等等，我们发现生活的每个角落似乎都是在这个网络当中。

一、宽带接入方案

一个小区有十幢楼，一千用户，要求局域网内部能实现视频点播等高带宽网络服务，各用户能快速的连接Internet，并且该网络能便于将来升级。

1.网络设计思路

（1）小区局域网采用双核心、二层扁平结构 在整网配置两台核心交换机作为整个网络的核心交换节点，避免了单点故障对整网的影响范围，从而提高了整个网络的安全性。

（2）每栋住宅楼的接入层交换机采用千兆电口接入，可提供万兆上行的三层交换机在住宅楼接入交换机的选择上考虑采用能提供万兆上行口的千兆下行电接口三层交换机，主要是体现高带宽、高安全的优点：千兆三层到桌面一个最直接的优点就是带宽大。用户的接入不在只是百兆带宽，现在可以通过千兆直接接入网络，提供10倍与原来的带宽。通过三层到桌面的方式，整个网络中将不再有二层报文，二层攻击事件彻底杜绝，设备与设备之间的级连链路上将只有三层报文流通，极大提高了网络带宽的利用率与网络的安全性。高扩展性，在占用带宽较多的业务没有大规模应用时可以采用千兆上行连接核心交换机，在带宽需要扩展时添加万兆模块，形成万兆上行连接核心交换机，提供充足的冗余特性。

（3）局域网内部的服务器通过千兆网卡连接核心交换机 随着视频等大带宽占用的应用越来越多。视频点播等内部服务器需要通过千兆网卡直接连接核心交换机，性能可以得到充分发挥。

（4）结合园区建筑物及中心机房的位置，拓扑结构应采取星型和树型相结合。在楼宇之间尽量采用光纤（结合基础建设走地下管孔，避免架空缆），形成网络骨干线路，连接各楼的中心交换机及中心机房，在楼宇内根据具体情况（如楼层高度，楼内布线情况等）和设备端口密度，一般采用多模光纤作为楼宇内垂直布线，五类线到各户或者全部五类线到户的方案。

二、选择网络设备

核心层设备是新大楼网络的核心枢纽，应该选择高性能、高可靠、高扩展性的核心以太网交换机，本次方案推荐核心采用两台S7503E万兆以太网交换机进行双核心组网，两台设备之间既冗余备份又负载分担。两台S7503E上配置共配置了2个万兆口，用于两台核心之间级连，并预留了1个万兆口为备份或今后的扩容接口。此外还在两台S7503E上共配置了7个千兆光接口，用于连接住宅楼接入交换机，24个千兆电接口用于连接内部服务器以及出口路由器。在本方案中采用了双核心路由交换机S7503E承担了核心交换机的功能，而这两台核心交换机并不是简单的一主一备用的关系。由于住宅楼接入三层交换机采取负载均衡双接口分别接入到两台核心交换机上，所以两台核心交换机同时在承担整个网络的流量。同时，由于住宅楼接入的三层交换机通过双链路分别接入到两台核心交换机上，所以每台核心交换机在另一台设备故障时，可承担整个网络的流量。避免了单点故障对整网的影响范围，从而提高了整个网络的安全性。为了充分保障核心交换平台的高可靠特性，每一台S7503E都配置了双交换引擎和双主控单元以及双电源配置，规格指标达到电信级要求。为了各住宅楼交换机能更好的满足大接入容量、高接入带宽的配置需求，在汇聚层全部选用了S5500-28C-SI多业务万兆交换机作为接入设备，交换容量高达128Gbps，转发能力高达95.2Mpps的高速引擎，在设备的高性能上保证配合在开展视频、语音等高带宽、低时延、大流量业务时，住宅楼接入交换机能无阻塞的实现用户间互访的线速转发，并通过双上行链路和核心交换机互联，保证应用的不间断，提高整网的高效性、稳定性、安全性。住宅楼接入交换机是每栋住宅楼的交换中心，由于每栋住宅楼用户之间也存在通过划分VLAN实现隔离与互访，而且第三层操作（数据转发、服务器访问等）也都会通过住宅楼接入交换机集中进行，所以住宅楼接入交换机除了具备三层功能之外，还必须具备先进的体系结构、大容量高密度端口线速交换、高可靠性设计、弹性堆叠扩展、精细化用户管理等特性。结合各住宅楼信息点的分布情况，我采用以下产品，简单介绍如下：采用S5500-28C-SI作为住宅楼接入三层交换机H3CS5500SI系列交换机，具备丰富的业务特性，提供IPv6转发功能以及最多4个10GE扩展接口。内部交换容量高达128G bit/s，可以充分满足今后以及后续长期内楼层节点三层交换机的应用需求。当楼层比较低，并且用户量较小，在楼内可以通过一台交换机与五类线的接入来满足用户要求。当楼层比较高，并且用户量比较多，必须采用交换机级连的方式满足要求，与骨干连接的边缘交换机可以放置于楼层的底部，也可放置于楼层中部。

三、结论

本文首先对网络化小区做了简单介绍，并根据现状在后文中做了一个实例。在进行网络规划之前，对网络基本知识和网络设备进行介绍，比如在选择宽带接入之前，对现有的主流接入进行分析然后选择了LAN接入。最后选中了核心交换机和汇聚层交换机等设备。希望本设计让小区网络为人们的生活提供便捷。

参考文献：

[1]William Stallings 著；毛迪林 张琦 楚春波 译《局域网与城域网》电子工业出版社

[2]周属衡 马彬 张敏著；《现代计算机学习指导》四川电子音像出版社

企业网络安全方案设计 篇4

企业网络安全方案的设计企业网络安全方案设计

摘 要：在这个信息技术飞速发展的时代，许多有远见的企业都认识到很有必要依托先进的IT技术构建企业自身的业务和运营平台来极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。本文主要通过安全体系建设原则、实例化的企业整体网络安全方案以及该方案的组织和实施等方面的阐述，为企业提供一个可靠地、完整的方案。

关键词： 信息安全、企业网络安全、安全防护

一、引言

随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但随之而来的安全问题也在困扰着用户。Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业、社会、乃至整个国家带来巨大的经济损失。应此如何使企业信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。

一般企业网络的应用系统，主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。而且随着企业的发展，网络体系结构也会变得越来越复杂，应用系统也会越来越多。但从整个网络系统的管理上来看，通常包括内部用户，也有外部用户，以及内外网之间。因此，一般整个企业的网络系统存在三个方面的安全问题：

（1）Internet的安全性：随着互联网的发展，网络安全事件层出不穷。近年来，计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁。对于企业级用户，每当遭遇这些威胁时，往往会造成数据破坏、系统异常、网络瘫痪、信息失窃，工作效率下降，直接或间接的经济损失也很大。

（2）企业内网的安全性：最新调查显示，在受调查的企业中60%以上的员信息安全课程设计

企业网络安全方案的设计工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密，从而导致企业数千万美金的损失。所以企业内部的网络安全同样需要重视，存在的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。

（3）内部网络之间、内外网络之间的连接安全：随着企业的发展壮大及移动办公的普及，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。

二、以某公司为例，综合型企业网络简图如下，分析现状并分析需求：

信息安全课程设计

企业网络安全方案的设计

图说明 图一 企业网络简图

对该公司的信息安全系统无论在总体构成、信息安全产品的功能和性能上也都可能存在一定的缺陷，具体表现在：

（1）系统性不强，安全防护仅限于网络安全，系统、应用和数据的安全存在较大的风险。

（2）原有的网络安全产品在功能和性能上都不能适应新的形势，存在一定的网络安全隐患，产品亟待升级。

（3）经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。

（4）计算机应用系统涉及越来越多的企业关键数据，这些数据大多集中在公司总部数据中心，因此有必要加强各计算机应用系统的用户管理和身份的认证，加强对数据的备份，并运用技术手段，提高数据的机密性、完整性和可用性。

由以上分析可知该公司信息系统存在较大的风险，信息安全的需求主要体现在如下几点：

（1）某公司信息系统不仅需要安全可靠的计算机网络，也需要做好系统、应用、数据各方面的安全防护。为此，要加强安全防护的整体布局，扩大安全防护的覆盖面，增加新的安全防护手段。

（2）网络规模的扩大和复杂性的增加，以及新的攻击手段的不断出现，使某公司计算机网络安全面临更大的挑战，原有的产品进行升级或重新部署。（3）信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求，为此要加快规章制度和技术规范的建设，使安全防范的各项工作都能够有序、规范地进行。

（4）信息安全防范是一个动态循环的过程，如何利用专业公司的安全服务，做好事前、事中和事后的各项防范工作，应对不断出现的各种安全威胁，也是某公司面临的重要课题。

三、设计原则

安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行，避免重复投入、重复建设，充分考虑整体和局部的利益。具体如下： 1.标准化原则 信息安全课程设计

企业网络安全方案的设计2.系统化原则 3.规避风险原则 4.保护投资原则 5.多重保护原则 6.分步实施原则

四、企业网络安全解决方案的思路

1.安全系统架构

安全方案必须架构在科学网络安全系统架构之上，因为安全架构是安全方案设计和分析的基础。

随着针对应用层的攻击越来越多、威胁越来越大，只针对网络层以下的安全解决方案已经不足以应付来自应用层的攻击了。举个简单的例子，那些携带着后门程序的蠕虫病毒是简单的防火墙VPN安全体系所无法对付的。因此我们建议企业采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙VPN，还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施，将应用层的防护放在网络边缘，这种主动防护可将攻击内容完全阻挡在企业内部网之外。2.安全防护体系

信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。如图二所示：

图说明 图二 网络与信息安全防范体系模型 信息安全课程设计

企业网络安全方案的设计3.企业网络安全结构图

通过以上分析可得总体安全结构应实现大致如图三所示的功能:

图说明 图三

总体安全结构图

五、整体网络安全方案

1.网络安全认证平台

证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全可信的网络之上。目前，解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题，为网络应用提供可靠的安全保障，向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现以下目标：

1）身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或伪装，在此体系中通过数字证书来确认对方的身份。信息安全课程设计

企业网络安全方案的设计

2）数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系中利用数字证书加密来完成。

3）数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字签名来完成。

4）不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。2.VPN系统

VPN(Virtual Private Network)虚拟专用网，是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比，具有降低成本及维护费用、易于扩展、数据传输的高安全性。

通过安装部署VPN系统，可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体，通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道，使得合法的用户可以安全的访问企业的私有数据，用以代替专线方式，实现移动用户、远程LAN的安全连接。

集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。

3.网络防火墙

采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行防护。其网络结构一般如下：

图说明 图四 防火墙

此外在实际中可以增加入侵检测系统，作为防火墙的功能互补，提供对监控信息安全课程设计

企业网络安全方案的设计网段的攻击的实时报警和积极响应等功能。4.病毒防护系统

应强化病毒防护系统的应用策略和管理策略，增强勤业网络的病毒防护功能。这里我们可以选择瑞星网络版杀毒软件企业版。瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。5.对服务器的保护

在一个企业中对服务器的保护也是至关重要的。在这里我们选择电子邮件为例来说明对服务器保护的重要性。

电子邮件是Internet上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。

目前广泛应用的电子邮件客户端软件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是从 PEM(Privacy Enhanced Mail)和 MIME(Internet 邮件的附件标准)发展而来的。首先，它的认证机制依赖于层次结构的证书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组织(根证书)之间相互认证，整个信任关系基本是树状的。其次，S/MIME 将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。下图五是邮件系统保护的简图（透明方式）: 信息安全课程设计

企业网络安全方案的设计

图说明

图五

邮件系统保护 6.关键网段保护

企业中有的网段上传送的数据、信息是非常重要的，应此对外应是保密的。所以这些网段我们也应给予特别的防护。简图如下图六所示。

图说明

图六

关键网段的防护 7.日志分析和统计报表能力

对网络内的安全事件也应都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统还应自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目信息安全课程设计

企业网络安全方案的设计标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。8.内部网络行为的管理和监控

除对外的防护外，对网络内的上网行为也应该进行规范，并监控上网行为，过滤网页访问，过滤邮件，限制上网聊天行为，阻止不正当文件的下载。企业内部用户上网信息识别度应达到每一个URL请求和每一个URL请求的回应。通过对网络内部网络行为的监控可以规范网络内部的上网行为，提高工作效率，同时避免企业内部产生网络安全隐患。因此对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。

桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起，形成一个整体，是针对客户端安全的整体解决方案。分别有以下几种系统：

1)电子签章系统

利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术，可以无缝嵌入OFFICE系统，用户可以在编辑文档后对文档进行签章，或是打开文档时验证文档的完整性和查看文档的作者。

2)安全登录系统

安全登录系统提供了对系统和网络登录的身份认证。使用后，只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机，只需拔出智能密码钥匙，即可锁定计算机。

3)文件加密系统

文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中，加密算法采用国际标准安全算法或国家密码管理机构指定安全算法，从而保证了存储数据的安全性。

则内网综合保护简图如下图七所示： 信息安全课程设计

企业网络安全方案的设计

图说明

图七

内网综合保护 9.移动用户管理系统

对于企业内部的笔记本电脑在外工作，当要接入内部网也应进行安全控制，确保笔记本设备的安全性。有效防止病毒或黑客程序被携带进内网。10.身份认证的解决方案

身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。USB Key是一种USB接口的硬件设备，它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。

基于PKI的USB Key的解决方案不仅可以提供身份认证的功能，还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系，从而实现上述身份证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。

六、方案的组织与实施方式

由以上的分析及设计，可知网络与信息安全防范体系流程主要由三大部分组成：攻击前的防范、攻击过程中的防范和攻击后的应对。具体的安全管理贯穿全信息安全课程设计

企业网络安全方案的设计流程图，如图八所示。安全管理贯穿全流程图不仅描述了安全防范的动态过程，也为本方案的实施提供了借鉴。

图说明

图八 安全管理贯穿全流程图

因此在本方案的组织和实施中，除了工程的实施外，还应重视以下各项工作：

(1)在初步进行风险分析基础上，方案实施方应进行进一步的风险评估，明确需求所在，务求有的放矢，确保技术方案的针对性和投资的回报。

(2)把应急响应和事故恢复作为技术方案的一部分，必要时可借助专业公司的安全服务，提高应对重大安全事件的能力。

(3)该方案投资大，覆盖范围广，根据实际情况，可采取分地区、分阶段实施的方式。

（4）在方案实施的同时，加强规章制度、技术规范的建设，使信息安全的日常工作进一步制度化、规范化。

七、总结

本设计以某公司为例，分析了网络安全现状，指出目前存在的风险，随后提出了一整套完整的解决方案，涵盖了各个方面，从技术手段的改进，到规章制度的完善；从单机系统的安全加固，到整体网络的安全管理。也希望通过本方案的信息安全课程设计

网络综合布线设计方案参考方案 篇5

参考方案说明：网络设计方案规划随意性特点比较突出，针对每一个项目或工程，个人设计的方案不径相同，因此该参考方案只是对本此学生选题较为集中的第三个方案题目进行简要的方案设计。仅作为本次大作业评分的参考性方案使用。

题目编号：ZHBX-3

类型：楼宇布线设计

某企业采购部大楼共有5层，1到3层为该采购部的仓库，4至5层为办公室以及会议室，办公区域大约有50部固定台式计算机（5层为会议室和其他的办公室共有信息点12个），仓库管理部门拥有12部移动式笔记本电脑，由于货物流动性大仓库货物清点人员希望能够在清点货物期间移动办公。

该楼与该企业网络管理中心之间现采用5类的双绞线连接，由于集团发展的需要，现计划对该采购部的网络进行改造，由于采购部网络的特殊性，请你对帮助该企业的采购部提出一个比较适用于该采购部网络的设计方案，以提供该企业的决策人员进行决策。

要求：画出网络拓扑结构图、分析用户需求、写出网络改造解决方案、并规划工程项目实施管理。

评分标准：

1、楼宇布线网络规划 30分

2、设计的基本思路和设计步骤 20分

3、用户需求分析 20分

4、物理网络设计文档 15分

5、设备清单 15分

命题教师：

江鑫

试卷审核人签字：

某企业采购部 网络设计方案

设计者：某某 时间：某年某月某日 设计单位：某公司

命题教师：

江鑫

试卷审核人签字：

目 录

1、总体规划。。。。。。。。。。。。。。。。。。页码

2、设计思想及基本原则。。。。。。。。。。。。。页码

3、分析。。。。。。。。。。。。。。。。。。。。页码

4、需求分析。。。。。。。。。。。。。。。。。。页码

5、网络逻辑设计及拓扑结构。。。。。。。。。。。页码

6、设备清单及造价。。。。。。。。。。。。。。。页码

7、附件。。。。。。。。。。。。。。。。。。。。页码

命题教师：

江鑫

试卷审核人签字：

解决方案

1、总体规划。。。。。。。。。。。。。。。。。30分

组建的整个楼宇的网络，既能将整个楼宇的计算机都纳入整个楼宇网络中，实现统一规划、分块工作、异地互联、整体管理，并有可为将来的应用扩展和系统的升级预留接口。要达到：各系组建自己相对独立的本地局域网，既能满足各系自己的 正常的办公用计算机化的要求，又能通过广域网完成与其他系或学校之间的信息交流。网络管理中心能满足自身的正常办公计算机化的要求，又能通过广域网将各系、个大楼之间和本地网络中心联接成一个整体，通过网管系统监控各个系的网络运行情况，并通过广域网的高速优质传输线路为各系的各种请求提供良好的服务．．．．．．

2、设计思想及基本原则。。。。。。。。。。。。20分

采用先进成熟的技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能．．．．．．。。10分 • 先进性

世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要预测到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。网络设计要考虑通命题教师：

江鑫

试卷审核人签字：

信发展要求，因此，主要、关键设备需要具有很高的性价比．．．．．． • 实用性

系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息资源共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能．．．．．． • 安全性

目前，计算机网络与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求．．．．．． • 可扩充性

系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准，为将来系统的升级、扩展打下良好的基础．．．．．． • 灵活性

采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化．．．．．． • 规范性

采用的技术标准按照国际标准和国家标准与规范，保证系统的延命题教师：

江鑫

试卷审核人签字：

续性和可靠性．．．．．． • 综合性

满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发与移植。楼宇这种规模较大、集成度高的网络，我们建议采用 Client/Server 结构模式，即将网络结构建立在各类信息分布处理和集中管理相结合的方式上；由于将数据处理工作放在各客户机(Client)独立处理，减轻了服务器（Server)的负担，设备的性能可得到了良好的应用，而且资源信息可以分布共享、集中管理，使得系统的可靠性、开放性不单单依赖服务器，互补性很强。这种结构灵活性好，速度快，可靠性高，是当今流行的网络系统方案．．．．．．。。。。。。。。。。。10分

3、分析。。。。。。。。。。。。。。。。。。。30分

．．．．．．

提高网络的带宽解决方案主要有以下三种方案： 方案 1: 交换式以太网和快速以太网方案

交换以太网是以常规以太网为基础的。它为每个节点提供专用的以太网连接，为该段确保转有的 10Mbps 的性能，它对要求要求专用服务的应用，如电视会议和其它自然数据型应用，是一种理想的选择，因为它已确保的带宽达到低的延时。交换以太网保留了传统以太网的帧格式，因此它可以保留现有以太网的基础设施。

快速以太网是比普通以太网快 10 倍的以太网，可达 100M。和命题教师：

江鑫

试卷审核人签字：

普通以太网一样可以用在共享和交换型环境里。它但它的发展受制于一个规律，既数据的传输速率与距离乘积为一个恒定值，随着对网络数据传输要求的不断提高，100Mbps 的以太网应运而生，但传输距离缩短到了几百米。因此它可以应用在站点相对集中的需高带宽的场合。特别使用于突发数据传输的场合．．．．．． 方案 2:FDDI 方案

FDDI 是一种高速局域网技术，以 100M bps 的传输速率运行，使用令牌传送协议，其拓扑结构类似令牌环，可以使用的通信介质包括传输距离达 100 米以上的五类双绞线，多模或单模光纤，它们的传输距离分别可达 4 公里和 60 公里，FDDI 环最多可连 500 个站点，站点之间的最大距离可达 2 公里，因此它适合作为现有以太网或令牌网的骨干网．．．．．． 方案 3:ATM 方案

ATM 是一种基于交换机的联网技术，完全不同与传统的网络，是对传统的一次革命。ATM 交换机每站点对一个工作站，ATM 交换机和网站之间的链路可以使用多种速度。服务器和网络的连接采用 100M 光纤链路。用户工作站采用 25Mbps 和 51Mbps 速率的非屏蔽双绞线链路；而交换机之间的互联采用 622Mbps 速率的单模光纤链路。ATM 网的数据传输是面向连接的。ATM 有着广阔的发展前景，它用于工作组环境、局域网环境和广域网，它提供了一个完整的联网体系结构。

．．．．．．

命题教师：

江鑫

试卷审核人签字：

4、需求分析。。。。。。。。。。。。。。。。。20分

．．．．．．

在仔细某某企业采购部大楼的现状和未来的需求后，我们认为该楼宇的网络应该在保留现在的网络资源的前提下，应建立一条高起点、兼容性好、扩展性强、具有未来升级能力的高速网络．．．．．．

5、网络逻辑设计及拓扑结构。。。。。。。。。。15分

根据．．．．．．原则提出以下方案：

网络拓扑结构。。。。。。10分

楼宇内各个局域网之间通信采用基于美国 CISICO 公司的 Catalyst 5000 交换机的快速交换式以太网。Catalyst 5000 是能命题教师：

江鑫

试卷审核人签字：

支持所有主要网络技术的模块化结构的交换机。它是为数据中心提供高密度局域网交换的理想设备。它包括一个 1.2G bps 的数据交换主干，最多可支持 98 个交换的以太网端口或 50 个交换的快速以太网端口。可通过交换口，原有系统可无逢地纳入整个骨干网之中。新增的系统可利用 100M 口，提供 100M 高带宽。用户可利用其内在的 CISCO IOS 功能，它可提供虚拟网络和多层交换的能力，组成灵活的 VLAN。Catalyst 5000 交换机通过 FDDI 端口，以 DAS 方式接入整个校园网 FDDI。Catalyst 5000 交换机还提供 ATM 模块接口，在未来升级到 ATM 网络。

．．．．．．。。。。。。。。。。。。。。。。。。。5分

6、设备清单及造价。。。。。。。。。。。。。。10分

（此部分插入表格）．．．．．．

7、附件工程进度管理。。。。。。。。。。。。。。5分

该该项目工期为2个自然月，工程进度管理明确，分工职责明确，为确保项目顺利进行，在工程进度管理方面较为重视，用户施工时可根据附件提供的PORJECT进度管理选择性进行。

．．．．．．

命题教师：

江鑫

试卷审核人签字：

最终提供：

1、设计方案

2、VISIO源文件及导出JPG图片

3、PORJECT源文件

4、试卷A 命题教师：

江鑫

网络设计方案 篇6

1．1 项目概况

某大学隶属国家教委，创办于20世纪初，建校一百多年来，为国家培养了大批有用人才，随着扩招人数的增加，旧校区越来越不能满足学校的教学要求，因此，学校立项建设新校区。新校区占地面积约1008亩，建筑总面积约36万m2，分教学区、学生宿舍区和运动区。教学区包括图书馆、综合教学楼、院系实验楼、行政办公楼、外事活动中心、科技中心等。学生宿舍区包括五栋高层学生公寓及十几栋多层学生公寓，运动区包括体育馆、运动场、看台等。新校区建成后将具有一流的校舍建筑和优美的学习环境，同时还具有国内最先进的智能化教学设施，以满足发展的可持续的信息化时代和教学改革的要求，适应21世纪国家级大学的现代化教学要求。

1．2 需求分析

近年来，学校的教学和管理工作不断向着信息处理计算机化、信息交流网络化、信息管理数据库化、信息服务电子化方向发展。“学习使用网络，用网络进行学习”已经成为一种校园时尚。形象化、交互性的教学以及海量的教学资源，使计算机网络技术在学校管理和辅助教学、科研活动中显示出其独特的优势，校园网络的建设势在必行。

校园网的建设是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议（TCP／IP），建设一个可实现各种综合网络应用的高速计算机网络系统，将各系、办公室、图书馆、宿舍通过网络连接起来，与Internet相连。建成以后的校园网，将为老师、学生提供可靠的、高速的和可管理的网络环境，提供广泛的数据资源共享、丰富便捷的网络应用（如：实时多媒体视／音频、网络远程教学、网络会议等），提供各种网络服务（如：电子邮件、文件共享、WWW信息查询等）。

2 校园网设计原则

校园网的设计原则建立在充分考虑学校使用需要的基础上，力求满足整个校园网的可靠性、先进性、实用性、可兼容及可扩展性。

（1）可靠性：保证系统可靠运行，关键设备应有冗余；

（2）先进性：采用当今国内、国际上最先进和成熟的计算机软、硬件技术，使新建立的系统能够最大限度地适应今后技术和业务发展的需要；

（3）实用性：能够最大限度地满足实际工作的要求，是每个信息系统在建设过程中所必须考虑的一种系统性能，它是自动化系统对用户最基本的承诺；

（4）可兼容及可扩展性：在进行方案建设时，力求做到网络结构清晰、合理并具有扩展能力；硬件配置先进、可靠，能够满足网络及软件运行的需要；系统软件安全、可靠，界面友好，易于操作和维护。

3 校园网设计方案

3．1 总体规划

网络规划主要考虑网络规模、网络应用、信息交换量、投资及未来的发展等因素。作为该大学新校区的校园网，网络建设的目标是千兆网主干，100M交换、10M／100M自适应到桌面，并在一些数据量较大的重要场所预留千兆网接口，以便将来直接接入校园网主干交换机。1000M带宽可以保证服务器与主干交换机之间、主干交换机与各子网交换机之间信息流的畅通无阻。

（1）网络中心设在教学区的图书馆内，占地约200m2，内设配线室、配电室、中心机房、专用空调机房、网管中心等，中心交换机、服务器、电源、配线设备均放在网络中心内；在学生宿舍区的医疗中心内设网络分中心，用于汇接各学生公寓引出的光纤，与网络中心采用单模光纤连接；

（2）网络系统采用客户机／服务器网络体系，星形拓扑结构，1000M高速以太网。整个网络快速、安全、可靠，并具有较好的运行性能、容错能力以及良好的扩充性和二次开发能力。

3．2 主机系统设计

3.2.1 Web Server、DNS服务器

Web服务器能把图文信息组织成分布式的超文本，并用信息指针指向存有相关信息的服务器，使用户可以方便地访问这些信息。当网上用户增多时，网络访问很频繁，通信量很大，随机性强。作为全校的通讯枢纽，需要配备高性能的服务器设备，主要的需求是高性能的CPU、SMP体系结构、高速I／O通道和网络通道。

域名服务器DNS是一个分布式系统，各地名字服务器管理下属主机和子域，并由高一级名字服务器监管，但每个域至少需要配备一台以上的名字服务器。DNS数据量不大，但访问频繁。

本次设计选用一台HP3000作为Web Server、DNS服务器。

3.2.2 E-mail服务器

电子邮件服务器是校园网为用户提供的基本服务之一，主要用于与远地用户联系，包括邮件网关和邮件服务器。需要较大的硬盘，但对访问速度不敏感，而且，电子邮件服务对服务器工作的连续性要求很高，服务器一旦关机，用户则无法收发邮件。

本次设计选用一台HP3000作为E－mail服务器。

3.2.3 SQL Server 6.5服务器

数据库服务器通常要求具有高效的处理速度、较大的内存和磁盘空间、快速的I／O系统和网络界面，较高的可靠性，完善的系统备份功能和较好的可扩充性能。

本次设计选用一台HP6000作为SQL Server 6．5服务器。

3.2.4 Proxy Server/计费服务器

Proxy server是连接校园网和Internet之间的桥梁，对于来自Internet的访问者，它是一道防火墙，将提供基于IP地址、用户口令、服务端口等各种机制的访问限制。另外，ProxyServer对于内部经常访问的Internet资源，能够缓存而且能够自动更新，一则加快了访问速度，二则节约了对Internet的访问费用。

学校能够利用计费功能对网络资源的使用者、使用时间进行有效地控制。

本次设计选用一台HP3000作为Proxy Server／计费服务器。

3．3 网络结构系统设计

3.3.1 设备选型

设备的选择主要考虑品牌、产品型号、产品配置方式等方面的合理性。网络设备现阶段以国外品牌为主，分为CISCO、3COM、BAY等，三家网络界巨头占据了大部分的网络设备市场份额，并且都具有很全面的产品线。以CISCO为例加以说明。

3.3.2 中心交换机设计

CISCO的产品线很多，适合千兆网主干的产品有4000系列、5000系列、6000系列、8000系列等。该大学的网络系统需要在可靠性、扩充能力等方面具有很好的性能并且必须支持多层交换，4000系列具有高端口密度和很好的网络交换性能，但不能支持多层交换，所以不能满足需要；5000系列推出很早，是一个成熟稳定的产品，其交换性能和对新型技术的兼容能力要逊色一些，它也不是本次校园网设计首选；6000系列从性能、技术都能满足校园网的需要，而8000系列由于具有更高要求的关键企业的关键应用，对用户而言性能价格比不如6000，因此本次设计选用6000系列作为校园网的中心交换机。

（1）6000系列中心交换机的主要性能：

32Gbps的底板带宽；

15Mpps的多层交换；

6个插槽，但最多可有240个用户插槽；

（2）支持模板

8端口千兆位以太网；

24端口100FX以太网；

48端口10／100以太网RJ－45 ；

48端口10／100以太网RJ－21或TELCO ；

（3）多层交换机模块

设计在网络中心选用一台Cisco 6509中心交换机，配置一个热冗余电源、一块交换引擎、一块多层交换模块、两块8端口千兆网端口、由于交换引擎上还具有2个千兆口，因此设备具有18个可用的千兆口，主干交换机上还配置一块48端口10／100自适应端口，方便连接机房及本层的终端。

（4）服务器与主干交换机采用千兆网连接。

（5）网管工作站利用链路聚集技术采用4条100M接入主干交换机的100M端口，端口设置为全双工，实现全双工800M连接主干。

3.3.3 校园各子网设计

（1）教学子网：校园网建网的目的之一是利用计算机网络实现多媒体教学。在教学过程中，大量传送的是文本、图像和部分视频等数据，对速度要求较高，所以设计时推荐所有教学用端口全部采用交换式100M以太网口；

（2）办公子网：办公子网主要面向学校的各级领导以及各职能部门，办公计算机所实现的功能主要是对网络数据的查询、修改、添加、删除等操作。只有网络数据传输快，才能更好地提高办公效率。同时，办公计算机应该能够达到支持视频传送的要求。鉴于办公子网将支持视频功能，设计推荐采用交换式100M端口；

（3）图书馆子网：图书馆从应用来说是一个相对独立的系统，因此设计时在图书馆设图书馆网络分中心，配置了一台Cisco6006中心交换机、海量存储器、所需的服务器以及若干查询终端。这个系统主要用于教师及学生对图书及目录的查找以及图书管理。图书馆的服务器和交换机通过1000M交换口连入校园网，图书管理员办公计算机和各个查询终端采用100M交换端口；

（4）宿舍区及后勤子网：宿舍区子网即在学生宿舍内部联网，学生可以直接浏览学校发布的信息及查阅一些电子文档，也可以在宿舍接收老师的远程教学，后勤子网主要为食堂提供售饭一卡通计费系统等，由于宿舍区覆盖范围较广，故在宿舍区设一个网络分中心，以减少至网络中心的光纤数量。在宿舍区网络分中心内配置一台Cisco3508中心交换机，并通过光纤与网络中心直接相连。

在设计的各子网的交换机时，通过整个网管系统将各个子网划分在不同的虚拟子网中，这样既满足了各子网与1000M主干网的连接，又减少了投资、方便了管理。各子网的工作组交换机均选择Cisco的Catalyst3500XL系列交换机中的3548XL和3524XL。

3500XL系列的关键特性：

10Gbps的交换主干，最高转发速率每秒钟740万个数据包，最大转发带宽5Gbps，跨所有10／100端口提供线速性能。

内置的千兆位以太网端口适合插入各种GBIC收发器包括Cisco GigaStack GBIC、1000BaseSX和1000Base LX／LHGBIC。

低成本的两端口Cisco GigaStack GBIC通过在菊花链连接中提供1Gbps的连接，或者在专用的交换机到交换机连接中提供2Gbps的连接，提供广泛的高度可配置的堆叠和性能选项。

3．4 广域网设计

该大学校园网的广域网配置了一台Cisco的3662路由器，由专线接入公用网。

3．5 校园网络拓扑图如后图所示

3．6 电源系统

为保证网络系统的安全运转及电源发生故障时重要数据的存储，须配置具有高可靠性的UPS电源。为此，在网络中心配置了一套APC20kVA／4H的UPS电源；在图书馆分中心、学生宿舍分中心配置APC10kVA／2H的UPS电源，在各子网等对网络数据要求较高的场所配置相应的UPS电源。

3．7 网络安全设计

网络建成后，为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。主要表现在以下几方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。

网络安全是有层次的，在不同层次，安全的着重点也不同，大致归纳起来可将网络安全划分成两个层次：网络层安全和应用层安全。因此，此次设计选用CiscoSecure PIX 防火墙。Cisco Secure PIX防火墙是Cisco防火墙家族中的专用防火墙设施，是防火墙市场中的领先产品，Cisco SecurePIX防火墙可提供强大的安全，且不影响网络性能。它可提供全面的防火墙保护，对外部世界完全隐藏了内部网体系结构。通过Cisco Secure PIX防火墙可以建立使用IPSec标准的虚拟专网VPN 连接。CiscoSecure PIX防火墙加强了内部网、外部网链路和Internet之间的安全访问。

4 校园网布线系统设计方案

众所周知，网络布线系统是网络系统的基础，所以，室内外网络布线系统的规划就显得至关重要。我们在设计整个校区的布线系统时，充分考虑了网络的使用和发展需要，在主干路由上作了充分的预留。

网络布线系统设计按支持数据文件、电子邮件、图像、多媒体等各种网络应用考虑，系统由以下几个子系统组成：

4．1 工作区子系统

由终端设备连线和信息插座组成，信息插座设在教室、实验室、办公室、管理室、学生宿舍等场所，全部选用超5类信息模块。

4．2 水平配线子系统

将干线子系统线路延伸到用户工作区，校园内的水平配线子系统均采用超5类8芯非屏蔽双绞线。

4．3 垂直干线子系统

校园内的垂直干线子系统均采用多模光纤连接，并在每个管理子系统预留超5类8芯非屏蔽双绞线作为垂直主干路由的备份。

4．4 管理子系统

分布在各建筑物的弱电竖井配线间内，管理各层的水平布线，连接相应的网络设备。各配线间内均设有19″标准机柜，并要求相关专业采取通风设施，避免电磁干扰，保护设备正常运行。

4．5 设备间子系统

采用快接式配线架连接主机及网络设备。设备间子系统设在图书馆的网络中心和学生宿舍区的网络分中心内。

4．6 建筑群子系统

中小企业网络组建方案探讨 篇7

随着企业对信息资源共享及信息交流的迫切需要, 组建办公网络系统, 实现企业内部的网络化管理与生产成为众多企业的必然选择, 企业网络系统是一个非常庞大而复杂的系统, 它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台, 而且能提供多种应用服务, 使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的, 因此本文将主要以中小型局域网络建设过程较为可行的网络组建方案为设计方向, 为中小型企业的建设提供理论依据和实践指导。本文首先对中小企业组建办公局域网进行了需求分析, 然后提出设计原则和功能实现, 再进行实际方案的设计。

1. 需求分析

计算机网络系统主要实现硬件资源共享、软件资源共享和用户信息交换等功能。根据中小企业的特点, 企业内部各部门科室之间交流频繁, 部分部门与外部网络交流较多, 为实现各办公节点之间的快速信息传输, 网站信息发布及网络管理与安全防护等需求, 就必须组建办公局域网。

(1) 网络需求。

网络是实现数据交换的途径, 网络的好坏直接影响网络系统功能能否正常实现。

(1) 局域网内部大流量大数据的信息传输, 内部网络需要具备高带宽;除部分部门外, 局域网内和局域网外部进行数据交流相对不多, 网络出口带宽满足一般需求即可。

(2) 随着业务的增长、应用水平的提高和技术的发展, 网络中的数据和信息流量将按指数增长, 网络需具备很好的规范性和可扩展性。

(3) 网络系统涉及企业的各类重要信息, 需具备较强的稳定性与可维护性, 因此要能实现网络监测、故障诊断与区域划分等功能。

(2) 服务器需求。

在企业办公局域网中, 服务器的角色非常重要, 对于适合大部分中小企业的服务器/客户端模式的网络结构中, 服务器起着为网络中的计算机提供服务的作用, 是整个网络的重要节点。

(1) 一机多用。对于一般中小企业, 服务器的性价比是非常重要的, 这类企业不需要较多的服务器, 且有些服务器作单一功能使用时略显资源浪费, 故在前期可考虑一机多用, 充分发挥其作用。

(2) 硬件配置。不同功能的服务器对硬件的要求各不相同, 因此, 必须根据企业实际配置符合当前及今后一定时间内的需求的服务器。

(3) 方便扩展。考虑业务量的增长, 一台服务器可能只能作单一功能使用, 甚至同一功能需多台服务器, 因而必须为新配置的服务器预留接口与线路。

(3) 安全需求。

网络安全包括局域网内部安全和外部安全。

(1) 内部安全。不同权限的人员能够做的操作必须加以区分, 进行行为监测并记录日志。

(2) 外部安全。主要为防止网络入侵, 能及时检测、报警并记录日志。

2. 设计原则

(1) 经济性。深入了解自身实际需求, 采用高性价比的产品, 尽可能的减少不必要的开支。

(2) 可管理性。办公局域网是一个较为复杂的系统, 为保障网络的正常使用及维护, 应具有权限划分、区域划分等功能, 实现网络的统一管理与分层管理, 降低运营成本。

(3) 安全性。安全性对任何网络来说都是重要的。网络的安全性包括网络上的信息是安全的、相对保密的, 没有许可的人不能浏览、下载相应权限的信息;同时, 网络自身具备一定的冗余能力, 不能由于一个节点的损坏而影响全网络的运行。

(4) 通用性和兼容性。设备和网络均采用通用接口, 具备较好的向上和向下兼容性, 以方便故障检修和更换升级。

3. 功能实现

(1) 网络管理。采用虚拟局域网 (VLAN) , 对用户进行分组, 便于控制信息传播;采用访问控制策略 (ACL) , 对不同权限的用户能够访问的资源和进行的操作进行限制;对全网运行状态进行监控, 及时处理各类故障;检查日志, 做好相应安全防护。

(2) 信息发布。网站架设区分内外网, 内网网站采用内网服务器, 用于发布对内信息, 仅局域网内部人员可访问;外网网站采用虚拟主机或托管服务器 (防止黑客入侵网站服务器后渗透至办公内网) , 用于发布对外信息, 所有人可见。

(3) 数据交换。局域网内主要架设数据库服务器、FTP服务器、电子邮件服务器及内部网站服务器, 方便用户进行数据传输与资源共享。

4. 设计方案

(1) 拓扑结构。目前常用的数据网络拓扑结构主要有环形网、总线形网和星形网。考虑网络的可维护性及网络终端数量, 中小企业办公局域网采用星形网较为合适。

(2) 虚拟局域网划分。虚拟局域网 (VLAN) 是将局域网设备从逻辑上划分为一个个网段, 从而实现虚拟工作组的数据交换技术。为方便企业各部门、科室之间的信息传输与管理, 提高网络性能与效率, 将网络中各终端节点划分若干虚拟局域网。

(3) IP分配。企业内部使用私有IP地址, 中小企业规模不大, 网络终端相对不多, 因此, 使用C类私有地址192.168.X.X即可, 根据实际需要可划分多个C段。内部网络访问互联网, 采用常用的地址转换技术 (NAT) , 少数几个公网IP即可实现大量内部私有IP对互联网的访问。

(4) 访问控制。为方便管理, 提高效率, 同时提高网络的安全性, 需对路由器和交换机设置访问控制策略 (ACL) , 限定某些IP对特定网络的访问, 限制某些类型的通信流量被转发或阻塞。

(5) 拓扑图 (见图1) 。

5. 结论

中小企业是国民经济的重要组成部分, 在信息化时代, 如何组建和利用好企业内部的网络系统, 对加强企业管理、提高生产效率、节约生产成本等环节起着至关重要的作用。本文从中小企业对办公局域网的使用需求进行分析, 提出切合中小企业实际的网络组建框架, 为中小企业组建网络系统提供指导。

摘要：办公局域网已成为各行各业不可缺少的部分, 中小企业出于自身实际需求, 网络相对简单, 投入成本相对不高, 但能够显著提升办公效率和管理水平, 文章主要探讨了中小企业组建办公局域网的功能需求并提出解决方案。

关键词：中小企业,局域网,组建

参考文献

[1]黄永峰.计算机网络教程[M].北京:清华大学出版社, 2006.

浅析网络内部安全防范方案的设计 篇8

关键词 网络内部 安全方法 漏洞 设计方案

中图分类号：TP393.08 文献标识码：A

0 引言

随着我国市场经济的不断繁荣发展，越来越多的企业建立了属于自己的内部网络，从而方便企业内部员工的交流，以及通过信息的有效迅速传播，来实现其自身的管理目的。但是由于网络内部的安全防范没有达到相应的标准，或者网络设计内部出现一些细微的瑕疵，这些都可能给网络内部安全埋下隐患，因此建立一个安全合理的内部网络对于企业的发展而言，具有重要意义。而且对于使用内部网络的群体而言，也是一种突破。

1 当下我国企业内部网络存在的问题

1.1 当下我国企业内网的安全现状

通过内部网络在企业中应用的不断加深，我们可以发现当下传统企业的内部网路安全设计还局限在以针对网络病毒和系统漏洞等防御为主的设计中。对于那些入侵检测将重点放在设置当中，在对内部网络和外部网络连接处加以严密的监控。这样的措施对于防范初级攻击具有一定的作用，同时我们应该清楚，内部网络才是企业的核心价值所在，一旦内部网络受到攻击而出现问题，那么给企业带来的损失将难以预计。当下，内部网络的安全维护受到巨大的挑战，但是企业的网络管理员由于自身对安全风险认识不强，认为自身所做的防备已经足够完善，在内部便没有形成一个更加坚固的防护网。一旦发生事故，便会将企业的商业隐私泄漏，给企业造成巨大的伤害。因此，加强外网建设的同时，更加注重企业内部网络的建设对于企业的发展具有重要的现实作用，这也是当下企业建立内部网络安全的核心所在。

1.2 当前企业内部网络存在的安全隐患

随着计算机网络技术的不断发展，企业内部网络作为其发展的一个分支存在。它的出现给企业管理、数据整合等提供了一个高科技的优化平台。但是，计算机网络从出现以来，便一直圍绕着安全这个问题而发展着，内部网络也不例外。

（1）内部网络管理人员缺乏重视。攻击者对于企业内部网络的攻击主要是以其安全防护作为突破点而进行的。企业内部网络存在漏洞绝大多数都是由于网络管理人员缺乏对内部网络安全的重视，从而导致黑客有机可乘。（2）内部网络用户权限不同。企业内部网络具有一个明显特征便是使用者拥有不同的权限。企业内部网络建立用户使用权限的初衷是为了方便企业各个阶层实现管理。但正是设置权限不一，才导致整个内部网络需要多次识别身份认证。同时，对于那些拥有身份认证较弱的用户，极易攻击，黑客一旦通过基层身份打入内网，实现越权查看便是极其容易的。（3）内部网络信息没有得到整合。一些企业对于企业内部的机密信息大多集中在中高层管理者的计算机终端里，企业内部网络对于这些信息没有进行整合。这也就意味着机密信息集中在几个管理者手中。而他们对于信息的保护程度远远没有达到专业性的程度，因此很容易造成信息被窃取等。

3 企业内部网络安全防范设计

为了能够有效解决企业内部网络中存在的各种安全威胁问题，保障企业内部网络安全稳定运行，本文提出了一套企业内部网络安全防范设计方案。企业内部网络安全体系属于水平与垂直分层实现的，它们之间是通过支配和被支配的模式实现使用的；垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。

3.1 用户身份认证

用户身份认证是保证企业内部网络安全稳定运行的基础，企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等。由于网络客户端用户数量庞大，存在着更多的不安全、不确定性，因此，对于网络客户端用户的身份认证至关重要。

3.2 用户授权管理

用户授权管理是以用户身份认证作为基础的，主要是对用户使用企业内部网络的数据资源时进行授权，每个用户都对应着不用的权限，权限代表着能够对企业内部网络中的某些资源进行访问和使用，包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。

3.3 数据信息保密

数据信息保密作为企业内部网络中信息安全的核心部分，需要对企业内部网络中进行数据通信的所有数据进行安全管理，保证数据通信能够在企业内部网络中处于一个安全环境下进行，从而保证对企业内部网络涉密信息和知识产权信息的有效保护。

参考文献

[1] 张怡.浅议计算机网络安全策略[J].科技资讯.2011（09）.

[2] 郭启全.网络信息安全学科建设与发展[J].中国人民公安大学学报（自然科学版）.2013（03）.

[3] 刘传才.密码术与防病毒策略的融合趋势[J].网络安全技术与应用.2012（05）.