網路安全架構設計方法

⑴ 計算機網路安全體系結構包括什麼

計算機網路安全體系結構是由硬體網路、通信軟體以及操作系統構成的。

對於一個系統而言，首先要以硬體電路等物理設備為載體，然後才能運 行載體上的功能程序。通過使用路由器、集線器、交換機、網線等網路設備，用戶可以搭建自己所需要的通信網路，對於小范圍的無線區域網而言，人們可以使用這 些設備搭建用戶需要的通信網路，最簡單的防護方式是對無線路由器設置相應的指令來防止非法用戶的入侵，這種防護措施可以作為一種通信協議保護。

計算機網路安全廣泛採用WPA2加密協議實現協議加密，用戶只有通過使用密匙才能對路由器進行訪問，通常可以講驅動程序看作為操作系統的一部分，經過注冊表注冊後，相應的網路 通信驅動介面才能被通信應用程序所調用。網路安全通常是指網路系統中的硬體、軟體要受到保護，不能被更改、泄露和破壞，能夠使整個網路得到可持續的穩定運 行，信息能夠完整的傳送，並得到很好的保密。因此計算機網路安全設計到網路硬體、通信協議、加密技術等領域。

(1)網路安全架構設計方法擴展閱讀

計算機安全的啟示：

1、按先進國家的經驗，考慮不安全因素，網路介面設備選用本國的，不使用外國貨。

2、網路安全設施使用國產品。

3、自行開發。

網路的拓撲結構：重要的是確定信息安全邊界

1、一般結構：外部區、公共服務區、內部區。

2、考慮國家利益的結構：外部區、公共服務區、內部區及稽查系統和代理伺服器定位。

3、重點考慮撥號上網的安全問題：遠程訪問伺服器，放置在什麼位置上，能滿足安全的需求。

⑵ ipv6協議是否對網路安全進行了考慮，如果有，它是如何實現網路安全的

隨著企業網路的普及和網路開放性，共享性，互連程度的擴大，網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全，還要保護數據安全。 網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化，其結果是信息資源的共享和互動，任何人都可以在網上發布信息和獲取信息。 這樣，網路信息安全問題就成為危害網路發展的核心問題，與外界的網際網路連接使信息受侵害的問題尤其嚴重。目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息，也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情，網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷，採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統，進行信息破壞或佔用系統資源，使得用戶無法使用自己的機器。 一般大型企業的網路都擁有Internet連接，同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換，而其中大約80%信息是電子郵件，郵件中又有一半以上的郵件是垃圾郵件，這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏；甚至存在內部人員編寫程序通過網路進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網路安全不僅要防範外部網，同時更防範內部網。 網路安全措施 由此可見，有眾多的網路安全風險需要考慮，因此，企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層，IP作為網路層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公共網路傳輸時，不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的，而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association，安全聯盟)，當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段，是網路通信時執行的一種訪問控制尺度，其主要目標就是通過控制進、出一個網路的許可權，在內部和外部兩個網路之間建立一個安全控制點，對進、出內部網路的服務和訪問進行控制和審計，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問、干擾和破壞內部網路資源。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間的任何活動，保證了內部網路的安全。 防火牆有軟、硬體之分，實現防火牆功能的軟體，稱為軟體防火牆。軟體防火牆運行於特定的計算機上，它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統，稱為硬體防火牆。它們也是基於PC架構，運行一些經過裁剪和簡化的操作系統，承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品，並與防火牆聯動，以監視區域網外部繞過或透過防火牆的攻擊，並及時觸發聯動的防火牆及時關閉該連接；同時監視主伺服器網段的異常行為，以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線，也是最重要的一道防線。用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。 審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴於它。一旦身份認證系統被攻破，那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠；能訪問系統的何種資源以及如何使用這些資源。 在路由器上可以建立訪問控制列表，它是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。 建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加，所以可以把ACL當作一種網路控制的有力工具，用來過濾流入和流出路由器介面的數據包。 在應用系統中，訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常，如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等，很容易使網路設備癱瘓。這些網路攻擊，都是利用系統服務的漏洞或利用網路資源的有限性，在短時間內發動大規模網路攻擊，消耗特定資源，造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。 流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集，是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括：輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集，在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。 基於以上的流量檢測技術，目前有很多流量監控管理軟體，此類軟體是判斷異常流量流向的有效工具，通過流量大小變化的監控，可以幫助網管人員發現異常流量，特別是大流量異常流量的流向，從而進一步查找異常流量的源、目的地址。 處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接，也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言，存在不安全隱患，將是黑客攻擊得手的關鍵因素。就目前的網路系統來說，在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。 安全掃描是增強系統安全性的重要措施之一，它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序，按功能可分為：操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統，是指通過網路遠程檢測目標網路和主機系統漏洞的程序，它對網路系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。 定期對網路系統進行漏洞掃描，可以主動發現安全問題並在第一時間完成有效防護，讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。 考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網路防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。具體而言，就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體，通過全方位、多層次的防毒系統配置，使網路沒有薄弱環節成為病毒入侵的缺口。 實例分析 大慶石化區域網是企業網路，覆蓋大慶石化機關、各生產廠和其他的二級單位，網路上運行著各種信息管理系統，保存著大量的重要數據。為了保證網路的安全，針對計算機網路本身可能存在的安全問題，在網路安全管理上我們採取了以下技術措施： 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網，即用戶在網路物理線路連通的情況下，需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS)，RADIUS伺服器作用戶認證系統，每個用戶都以實名注冊，這樣我們就可以管理用戶的網上行為，實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機，在交換機上我們配置了訪問控制列表，根據信息流的源和目的 IP 地址或網段，使用允許或拒絕列表，更准確地控制流量方向，並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中，我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用，如醫療保險和財務等，劃分獨立的虛擬子網，並使其與區域網隔離，限制其他VLAN成員的訪問，確保了信息的保密安全。 4.在網路出口設置防火牆 在區域網的出口，我們設置了防火牆設備，並對防火牆制定安全策略，對一些不安全的埠和協議進行限制，使所有的伺服器、工作站及網路設備都在防火牆的保護之下，同時配置一台日誌伺服器記錄、保存防火牆日誌，詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能，系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立並實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網 大慶石化區域網的網路環境比較復雜，含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備，為了能夠有效地網路，我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議，可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖，能夠准確和直觀地反映網路的實際連接情況，包括設備間的冗餘連接、備份連接、均衡負載連接等，對拓撲結構進行層次化管理。 通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠，有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理，使網管人員能夠對故障預警，以便及時採取措施，保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。 為了滿足企業用戶遠程辦公需求，同時為了滿足網路安全的要求，我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器，遠端子公司採用Cisco的2621路由器，動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能 在區域網的各應用中我們都啟用了審計功能，對用戶的操作進行審核和記錄，保證了系統的安全。 大慶石化區域網結構簡圖網路信息系統安全問題的解決依賴於技術和管理兩方面，在採取技術措施保障網路安全的同時，我們還建立健全網路信息系統安全管理體系，將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 通過以上管理機制和技術措施的實施，提高了網路安全性，降低了網路安全事故的風險，保證了網路長期平穩的運行。

⑶ 學習網路安全需要哪些基礎知識

一些典型的網路安全問題，可以來梳理一下：

1. IP安全：主要的攻擊方式有被動攻擊的網路竊聽，主動攻擊的IP欺騙（報文偽造、篡改）和路由攻擊（中間人攻擊）；
   

2. DNS安全：這個大家應該比較熟悉，修改DNS的映射表，誤導用戶的訪問流量；

3. DoS攻擊：單一攻擊源發起的拒絕服務攻擊，主要是佔用網路資源，強迫目標崩潰，現在更為流行的其實是DDoS，多個攻擊源發起的分布式拒絕攻擊；

《計算機基礎》、《計算機組成原理》、《計算機網路》 是三本關於計算機基礎的書籍，強烈推薦給你，看完之後可以對計算機的東西有個初步的了解。

拓展資料：

1、上網前可以做那些事情來確保上網安全？

首先，你需要安裝個人防火牆，利用隱私控制特性，你可以選擇哪些信息需要保密，而不會不慎把這些信息發送到不安全的網站。這樣，還可以防止網站伺服器在你不察覺的情況下跟蹤你的電子郵件地址和其他個人信息。其次,請及時安裝系統和其它軟體的補丁和更新。基本上越早更新,風險越小。防火牆的數據也要記得及時更新。

2、如何防止黑客攻擊？

首先，使用個人防火牆防病毒程序以防黑客攻擊和檢查黑客程序（一個連接外部伺服器並將你的信息傳遞出去的軟體）。個人防火牆能夠保護你的計算機和個人數據免受黑客入侵，防止應用程序自動連接到網站並向網站發送信息。

其次，在不需要文件和列印共享時，關閉這些功能。文件和列印共享有時是非常有用的功能，但是這個特性也會將你的計算機暴露給尋找安全漏洞的黑客。一旦進入你的計算機，黑客就能夠竊取你的個人信息。

3、如何防止電腦中毒？

首先，不要打開來自陌生人的電子郵件附件或打開及時通訊軟體傳來的文件。這些文件可能包含一個特洛伊木馬程序，該程序使得黑客能夠訪問你的文檔，甚至控制你的外設，你還應當安裝一個防病毒程序保護你免受病毒、特洛伊木馬程序和蠕蟲侵害。

4、瀏覽網頁時時如何確保信息安全？

採用匿名方式瀏覽，你在登錄網站時會產生一種叫cookie（即臨時文件，可以保存你瀏覽網頁的痕跡）的信息存儲器，許多網站會利用cookie跟蹤你在互聯網上的活動。

你可以在使用瀏覽器的時候在參數選項中選擇關閉計算機接收cookie的選項。（打開 IE瀏覽器，點擊 「工具」—「Internet選項」， 在打開的選項中，選擇「隱私」，保持「Cookies」該復選框為未選中狀態，點擊按鈕"確定"）

5、網上購物時如何確保你的信息安全？

網上購物時，確定你採用的是安全的連接方式。你可以通過查看瀏覽器窗口角上的閉鎖圖標是否關閉來確定一個連接是否安全。在進行任何的交易或發送信息之前閱讀網站的隱私保護政策。因為有些網站會將你的個人信息出售給第三方。在線時不要向任何人透露個人信息和密碼。

⑷ 網路方案設計過程主要分哪幾個步驟

步驟如下：

1，需求調研

2，需求分析

3，概要設計

4，詳細設計

設計方案內容包括：網路拓撲、IP地址規劃、網路設備選型等等。

(4)網路安全架構設計方法擴展閱讀：

網路工程設計原則

網路信息工程建設目標關繫到現在和今後的幾年內用戶方網路信息化水平和網上應用系統的成敗。在工程設計前對主要設計原則進行選擇和平衡，並排定其在方案設計中的優先順序，對網路工程設計和實施將具有指導意義。

1，實用、好用與夠用性原則

計算機與外設、伺服器和網路通信等設備在技術性能逐步提升的同時，其價格卻在逐年或逐季下降，不可能也沒必要實現所謂「一步到位」。所以，網路方案設計中應採用成熟可靠的技術和設備，充分體現「夠用」、「好用」、「實用」建網原則，切不可用「今天」的錢，買「明、後天」才可用得上的設備。
2，開放性原則

網路系統應採用開放的標准和技術，資源系統建設要採用國家標准，有些還要遵循國際標准(如：財務管理系統、電子商務系統)。其目的包括兩個方面：第一，有利於網路工程系統的後期擴充；第二，有利於與外部網路互連互通，切不可「閉門造車」形成信息化孤島。

3，可靠性原則

無論是企業還是事業，也無論網路規模大小，網路系統的可靠性是一個工程的生命線。比如，一個網路系統中的關鍵設備和應用系統，偶爾出現的死鎖，對於政府、教育、企業、稅務、證券、金融、鐵路、民航等行業產生的將是災難性的事故。因此，應確保網路系統很高的平均無故障時間和盡可能低的平均無故障率。

4， 安全性原則

網路的安全主要是指網路系統防病毒、防黑客等破壞系統、數據可用性、一致性、高效性、可信賴性及可靠性等安全問題。為了網路系統安全，在方案設計時，應考慮用戶方在網路安全方面可投入的資金，建議用戶方選用網路防火牆、網路防殺毒系統等網路安全設施；網路信息中心對外的伺服器要與對內的伺服器隔離。

5， 先進性原則

網路系統應採用國際先進、主流、成熟的技術。比如，區域網可採用千兆乙太網和全交換乙太網技術。視網路規模的大小(比如網路中連接機器的台數在250台以上時)，選用多層交換技術，支持多層幹道傳輸、生成樹等協議。

6，易用性原則

網路系統的硬體設備和軟體程序應易於安裝、管理和維護。各種主要網路設備，比如核心交換機、匯聚交換機、接入交換機、伺服器、大功率長延時UPS等設備均要支持流行的網管系統，以方便用戶管理、配置網路系統。

7，可擴展性原則

網路總體設計不僅要考慮到近期目標，也要為網路的進一步發展留有擴展的餘地，因此要選用主流產品和技術。若有可能，最好選用同一品牌的產品，或兼容性好的產品。在一個系統中切不可選用技術和性能不兼容的產品。

⑸ 網路的問題急用!!!!!!!!!

中小企業整體網路安全解決方案解析
信息科技的發展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平台。IT網路的使用極大地提升了企業的核心競爭力，使企業能在信息資訊時代脫穎而出。
企業利用通信網路把孤立的單機系統連接起來，相互通信和共享資源。但由於計算機信息的共享及互聯網的特有的開放性，使得企業的信息安全問題日益嚴重。
外部安全

隨著互聯網的發展，網路安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對於企業級用戶，每當遭遇這些威脅時，往往會造成數據破壞、系統異常、網路癱瘓、信息失竊，工作效率下降，直接或間接的經濟損失也很大。

內部安全

最新調查顯示，在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用，降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜，或者使得不法員工可以通過網路泄漏企業機密，從而導致企業數千萬美金的損失。

內部網路之間、內外網路之間的連接安全

隨著企業的發展壯大及移動辦公的普及，逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作。

1. 中小企業的網路情況分析

中小企業由於規模大小、行業差異、工作方式及管理方式的不同有著不同的網路拓撲機構。網路情況有以下幾種。

集中型:

中小企業網路一般只在總部設立完善的網路布局。採取專線接入、ADSL接入或多條線路接入等網路接入方式，一般網路中的終端總數在幾十到幾百台不等。網路中有的劃分了子網，並部署了與核心業務相關的伺服器，如資料庫、郵件伺服器、文檔資料庫、甚至ERP伺服器等。

分散型:

採取多分支機構辦公及移動辦公方式，各分支機構均有網路部署，數量不多。大的分支採取專線接入，一般分支採取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫，通過郵件或內部網進行業務溝通交流。

綜合型:

集中型與分散型的綜合。

綜合型企業網路簡圖

2. 網路安全設計原則

網路安全體系的核心目標是實現對網路系統和應用操作過程的有效控制和管理。任何安全系統必須建立在技術、組織和制度這三個基礎之上。

體系化設計原則

通過分析信息網路的層次關系，提出科學的安全體系和安全框架，並根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。

全局綜合性設計原則

從中小企業的實際情況看，單純依靠一種安全措施，並不能解決全部的安全問題。建議考慮到各種安全措施的使用，使用一個具有相當高度、可擴展性強的安全解決方案及產品。

可行性、可靠性及安全性

可行性是安全方案的根本，它將直接影響到網路通信平台的暢通，可靠性是安全系統和網路通信平台正常運行的保證，而安全性是設計安全系統的最終目的。

3. 整體網路安全系統架構

安全方案必須架構在科學網路安全系統架構之上，因為安全架構是安全方案設計和分析的基礎。

整體安全系統架構

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網路層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著後門程序的蠕蟲病毒是簡單的防火牆/VPN安全體系所無法對付的。因此我們建議企業採用立體多層次的安全系統架構。如圖2所示，這種多層次的安全體系不僅要求在網路邊界設置防火牆/VPN，還要設置針對網路病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網路邊緣，這種主動防護可將攻擊內容完全阻擋在企業內部網之外。

1. 整體安全防護體系

基於以上的規劃和分析，建議中小企業企業網路安全系統按照系統的實現目的，採用一種整合型高可靠性安全網關來實現以下系統功能:

防火牆系統

VPN系統

入侵檢測系統

網路行為監控系統

垃圾郵件過濾系統

病毒掃描系統

帶寬管理系統

無線接入系統

2.方案建議內容

2.1. 整體網路安全方案

通過如上的需求分析，我們建議採用如下的整體網路安全方案。網路安全平台的設計由以下部分構成:

 防火牆系統:採用防火牆系統實現對內部網和廣域網進行隔離保護。對內部網路中伺服器子網通過單獨的防火牆設備進行保護。

 VPN系統:對遠程辦公人員及分支機構提供方便的IPSec VPN接入，保護數據傳輸過程中的安全，實現用戶對伺服器系統的受控訪問。

 入侵檢測系統:採用入侵檢測設備，作為防火牆的功能互補，提供對監控網段的攻擊的實時報警和積極響應。

 網路行為監控系統:對網路內的上網行為進行規范，並監控上網行為，過濾網頁訪問，過濾郵件，限制上網聊天行為，阻止不正當文件的下載。

 病毒防護系統:強化病毒防護系統的應用策略和管理策略，增強病毒防護有效性。

 垃圾郵件過濾系統:過濾郵件，阻止垃圾郵件及病毒郵件的入侵。

 移動用戶管理系統:對內部筆記本電腦在外出後，接入內部網進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。

 帶寬控制系統:使網管人員對網路中的實時數據流量情況能夠清晰了解。掌握整個網路使用流量的平均標准，定位網路流量的基線，及時發現網路是否出現異常流量並控制帶寬。

總體安全結構如圖:

網路安全規劃圖

本建議書推薦採用法國LanGate®產品方案。LanGate® UTM統一安全網關能完全滿足本方案的全部安全需求。LanGate® UTM安全網關是在專用安全平台上集成了防火牆、VPN、入侵檢測、網路行為監控、防病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於一身的新一代全面安全防護系統。

LanGate® UTM產品介紹

3.1. 產品概括

LanGate 是基於專用晶元及專業網路安全平台的新一代整體網路安全硬體產品。基於專業的網路安全平台， LanGate 能夠在不影響網路性能情況下檢測有害的病毒、蠕蟲及其他網路上的安全威脅，並且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊，防止不正常使用和改善網路應用的服務可靠性。

高度模塊化、高度可擴展性的集成化LanGate網路產品在安全平台的基礎上通過各個可擴展的功能模塊為企業提供超強的安全保護服務，以防禦外部及內部的網路攻擊入。此產品在安全平台上集成各種功能應用模塊和性能模塊。應用模塊添加功能，例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網路新病毒、新威脅肆虐時及時進行在線升級挽救網路，而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網路拓撲結構，降低了與從多個產品供應商處找尋、安裝和維護多種安全服務相關的成本。

3.2. 主要功能

基於網路的防病毒

LanGate 是網關級的安全設備，它不同於單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描，並且可以通過策略控制流經不同網路方向的病毒掃描或阻斷，其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的，可以實時更新病毒庫。

基於用戶策略的安全管理

整個網路安全服務策略可以基於用戶進行管理，相比傳統的基於 IP的管理方式，提供了更大的靈活性。

 防火牆功能

LanGate 系列產品防火牆都是基於狀態檢測技術的，保護企業的計算機網路免遭來自 Internet 的攻擊。防火牆通過「外->內」、「內->外」、「內->內」(子網或虛擬子網之間)的介面設置，提供了全面的安全控制策略。

 VPN功能

LanGate支持IPSec、PPTP及L2TP的VPN 網路傳輸隧道。LAN Gate VPN 的特性包括以下幾點:

 支持 IPSec 安全隧道模式

 支持基於策略的 VPN 通信

 硬體加速加密 IPSec、DES、3DES

 X509 證書和PSK論證

 集成 CA

 MD5 及 SHA認證和數據完整性

 自動 IKE 和手工密鑰交換

 SSH IPSEC 客戶端軟體, 支持動態地址訪問，支持 IKE

 通過第三方操作系統支持的 PPTP 建立 VPN 連接

 通過第三方操作系統支持的 L2TP建立 VPN 連接

 支持NAT穿越

 IPSec 和 PPTP

 支持無線連接

 星狀結構

 內容過濾功能

LanGate 的內容過濾不同於傳統的基於主機系統結構內容處理產品。LanGate設備是網關級的內容過濾，是基於專用晶元硬體技術實現的。LanGate 專用晶元內容處理器包括功能強大的特徵掃描引擎，能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的特徵相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾，還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時，LanGate 還能對郵件、聊天工具進行過濾及屏蔽。

入侵檢測功能

LanGate 內置的網路入侵檢測系統(IDS)是一種實時網路入侵檢測感測器，它能對外界各種可疑的網路活動進行識別及採取行動。IDS使用攻擊特徵庫來識別過千種的網路攻擊。同時LanGate將每次攻擊記錄到系統日誌里，並根據設置發送報警郵件或簡訊給網路管理員。

垃圾郵件過濾防毒功能 包括:

 對 SMTP伺服器的 IP進行黑白名單的識別

 垃圾郵件指紋識別

 實時黑名單技術

 對所有的郵件信息病毒掃描

 帶寬控制(QoS)

LanGate為網路管理者提供了監測和管理網路帶寬的手段，可以按照用戶的需求對帶寬進行控制，以防止帶寬資源的不正常消耗，從而使網路在不同的應用中合理分配帶寬，保證重要服務的正常運行。帶寬管理可自定義優先順序，確保對於流量要求苛刻的企業，最大限度的滿足網路管理的需求。

 系統報表和系統自動警告

LanGate系統內置詳細直觀的報表，對網路安全進行全方位的實時統計,用戶可以自定義閥值，所有超過閥值的事件將自動通知管理管理人員，通知方式有 Email 及簡訊方式(需結合簡訊網關使用)。

 多鏈路雙向負載均衡

提供了進出流量的多鏈路負載均衡，支持自動檢測和屏蔽故障多出口鏈路，同時還支持多種靜態和動態演算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗餘，流量比率和智能切換;支持基於每條鏈路限制流量大小;支持多種DNS解析和規劃方式，適合各種用戶網路環境;支持防火牆負載均衡。

3.2. LanGate產品優勢

 提供完整的網路保護。

 提供高可靠的網路行為監控。

 保持網路性能的基礎下，消除病毒和蠕蟲的威脅。

 基於專用的硬體體系，提供了高性能和高可靠性。

 用戶策略提供了靈活的網路分段和策略控制能力。

 提供了HA高可用埠，保證零中斷服務。

 強大的系統報表和系統自動警告功能。

 多種管理方式:SSH、SNMP、WEB。基於WEB(GUI)的配置界面提供了中/英文語言支持。

3.3. LANGATE公司簡介

總部位於法國的LANGATE集團公司，創立於1998年，致力於統一網路安全方案及產品的研發，早期作為專業IT安全技術研發機構，專門從事IT綜合型網路安全設備及方案的研究。如今，LANGATE已經成為歐洲眾多UTM、防火牆、VPN品牌的OEM廠商及專業研發合作夥伴，並在IT安全技術方面領先同行，為全球各地區用戶提供高效安全的網路綜合治理方案及產品。

專利的LanGate® UTM在專用高效安全硬體平台上集成了Firewall(防火牆)、VPN(虛擬專用網路)、Content Filtering(內容過濾，又稱上網行為監管)、IPS(Intruction Prevention System，即入侵檢測系統)、QoS(Quality of Services，即流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。

LANGATE在全球范圍內推廣UTM整體網路安全解決方案，銷售網路遍及全球30多個國家及地區。LANGATE的產品服務部門遍布各地子公司及各地認可合作夥伴、ISPs、分銷渠道、認證VARs、認可SIs，為全球用戶提供專業全面的IT安全服務。

⑹ [公司網路系統安全架構設計與實施] web系統安全架構

以Internet為代表的信息網路技術應用正日益普及和廣泛，應用領域從傳統小型業務系統逐漸向大型關鍵業兆則務系統擴展，網路安全已經成為影響網路效能重要的問題，而Internet所具有的開放性、自由性和國際性在增加應用自由度的時候，對安全提出了更高級的要求，隨著互聯網技術的發展，通過網路傳輸的各種信息越來越多，各種計算機應用系統都在網路環境下運行。目前我公司已經建立了企業網站，電子郵件等系統，並且己經應用了OA、財務、人事等信息化系統軟體，許多重要信息都存儲在網路伺服器中，因此網路系統的安全至關重要。但是，由於在早期網路協議設計上對安全問題的忽視，以及在管理和使用上的無序狀態，使網路自身安全受到嚴重威脅。公司在網路安全上同樣面臨許多問題，例如郵件傳輸安全問題，大量垃圾郵件攻擊問題，病毒傳播問題，信息資源非法訪問等問題，這就要求我們對網路系統安全性進行深入研究和分析，建立一套安全的網路系統架構。
本文主要針對公司目前存在的典型網路安全問題進行分析研究，實施相應的安全策略，找出相應的解決措施。由於目前企業規模不斷擴大，員工全部採用網上辦公，每位員工都有自己獨立的計算機，因此在考慮安全措施時必須考慮到網路規模並能管理到每個節點。通過一系列安全策略和安全措施的實施，有效提高公司網路系統的安全性，保證企業網路信息系統的安全運行。
一、網路發展與安全現狀
目前我們許多數據的存儲和傳輸以及許多業務的交易都是通過網路進行的，因此網路系統的安全非常重要。許多地區都出現了基於網路的犯罪行為，黑客攻擊，數據資料泄密，病毒破壞等己經成為制約網路發展的重要因素。國內外都開展了許多基於網路安全的研究工作，如防火牆技術、防病毒技術、入侵檢測技術等，並推出了許多基於網路安全的產品。
隨著網路應用的不斷深入，對網路安全的要求不斷提高，同時許多破壞網路安全的手段也越來越高明，這就要求我們不斷應用新的網路安全技術，進一步提高網路的安全性。
我公司網路系統規模較大，各類應用伺服器集中存放在中央機房中。公司應用系統主要包括網站系統、辦公自動化、電子郵件系統、各類WEB應用軟體、視頻會議等。公司每位員工基本都配有計算機，所有工作基本搜猜李都通過網路進行，因此公司網路具有使用人數多，網路流量大等特點，這也對網路的安全性提出世遲了較高的要求。
1.網路系統存在的安全威脅和隱患問題
現有的系統主要存在下面的問題:
①弱口令造成信息泄露的威脅
由於公司應用系統較多，員工要設置各類賬戶的密碼，非常繁瑣，而且不便於記憶，因此許多員工將密碼設置為簡單密碼，並且長期不對密碼進行更改。這樣容易產生信息泄露問題，一些攻擊者會竊取密碼，非法進入系統獲取系統資料。如果重要資料被竊取，將會產生嚴重後果。
②病毒傳播造成網路和系統癱瘓
公司員工數量較多，絕大多數員工都配有單獨使用的計算機，並且大多數計算機都可以訪問互聯網。員工根據自己的情況自行安裝防病毒系統，由於員工對病毒預防知識和防病毒軟體的使用方法掌握情況不同，部分員工不能夠正確使用防病毒系統，不能夠保證防病毒代碼和病毒庫的及時更新，因此容易造成計算機感染病毒。由於整個網路系統非常龐大，缺乏對網路的統一監控，計算機感染病毒後，不能夠及時有效地處理，因此造成病毒在網路中傳播，當感染病毒的機器增多後，會引起部分網路或者整個網路速度急劇下降甚至癱瘓，造成許多員工無法正常上網。部分員工的計算機由於感染病毒而無法正常工作，有些計算機還出現計算機數據丟失等問題，嚴重影響公司員工正常工作。另外感染病毒的員工因重裝系統而佔用許多工作時間，影響工作的正常進行。
③沒有劃分VLAN，缺乏抵禦網路風暴的能力
公司網路系統龐大，眾多計算機都在同一網段上，系統沒有劃分VLAN，使網路中某一點出現故障就會影響一片，甚至「席捲」整個網路，產生廣播風暴，使網路癱瘓。另外整個龐大的網路由於沒有劃分VLAN，所有計算機之間都可以互相訪問，因此計算機容易受到其他計算機的攻擊，並且容易泄露系統中的重要信息。如果重要的商業信息被泄露，將會對公司造成損失，產生嚴重後果。
④信息傳輸安全性無法保障
隨著企業信息化的發展，電子郵件已經成為公司業務洽談必不可少的信息交流溝通手段。但是隨著電子郵件的應用日益廣泛，隨之帶來的安全問題也日益嚴重。由於電子郵件傳輸協議(SMTP)是建立在TCP協議基礎上的，沒有任何安全性的保證;電子郵件以明文的形式在網路中傳輸，所以極易被心懷叵測的人截取、查看。這些問題對於公司的核心部門的人員尤其突出，由於他們之間往來的電子郵件往往涉及到公司的機密信息，如果造成失密事件，後果不堪設想。公司許多商務往來和市場運作等信息都通過網站向外發布，但網站信息以明文的方式傳輸，在傳輸過程中容易被第三方截獲。公司重要信息如果被泄漏，將會對公司業務造成嚴重損失。
⑤客戶端用戶操作系統存在漏洞等安全隱患
許多用戶在安裝操作系統後，不能夠及時安裝操作系統和各類軟體的補丁程序，造成系統存在各種漏洞，引發各類網路安全問題。微軟每月都會發布安全漏洞補丁程序，公司內員工數量較多，部分員工安全意識薄弱，對系統安全知識欠缺，不能夠及時安裝微軟操作系統的補丁程序，造成客戶端操作系統存在許多安全漏洞，系統易受到攻擊或感染病毒，導致網路中斷。
⑥計算機命名不規范
公司網路中計算機數量非常多，但由於公司沒有制定統一的命名規范，許多計算機用戶根據自己的喜好隨意命名，一旦計算機出現問題，如感染病毒，影響網路正常運行時，無法定位具體的計算機並確定計算機的使用人員，因此不能夠及時排除故障，影響問題解決的時間。
⑦用戶許可權混亂
隨著信息化建設的深入，越來越多的重要信息存放在網路信息系統中，對於信息的安全管理越來越重要。但由於系統設計之初，信息量較少，缺乏對許可權控制的有效管理，許多用戶可以存取或更改與用戶本身的許可權不相符的信息。同時，由於許可權管理不嚴格，部分重要信息被非法用戶竊取，造成信息系統安全隱患。

⑺ 網路工程師請進！！

我給你 一個 概念 我還有更好的 真正項目下來的 給點分吧

目 錄

一、項目概述
二、需求概述
三、網路需求
1．布線結構需求
2．網路設備需求
3．IP地址規劃
四、系統需求
1．系統要求
2．網路和應用服務
五、存儲備份系統需求
1．總體要求
2．存儲備份系統建設目標
3．存儲系統需求
4．備份系統需求
六、網路安全需求
1．網路安全體系要求
2．網路安全設計模型

前言
根據項目招標書的招標要求來細化為可執行的詳細需求分析說明書，主要為針對項目需求進行深入的分析，確定詳細的需求狀況以及需求模型,作為制定技術設計方案、技術實施方案、技術測試方案、技術驗收方案的技術指導和依據
一、項目概述
1. 網路部分的總體要求:
 滿足集團信息化的要求,為各類應用系統提供方便、快捷的信息通路。
 良好的性能，能夠支持大容量和實時性的各類應用。
 能夠可靠的運行，較低的故障率和維護要求。
 提供安全機制，滿足保護集團信息安全的要求。
 具有較高的性價比。
 未來升級擴展容易，保護用戶投資。
 用戶使用簡單、維護容易。
 良好的售後服務支持。
2. 系統部分的總體要求：
 易於配置：所有的客戶端和伺服器系統應該是易於配置和管理的，並保障客戶端的方便使用；
 更廣泛的設備支持：所有操作系統及選擇的服務應盡量廣泛的支持各種硬體設備；
 穩定性及可靠性：系統的運行應具有高穩定性，保障7*24的高性能無故障運行。
 可管理性：系統中應提供盡量多的管理方式和管理工具，便於系統管理員在任何位置方便的對整個系統進行管理；
 更低的TCO：系統設計應盡量降低整個系統和TCO（擁有成本）；
 安全性：在系統的設計、實現及應用上應採用多種安全手段保障網路安全；
 良好的售後服務支持。
除了滿足上述的基本特徵外，本項目的設計還應具有開放性、可擴展性及兼容性，全部系統的設計要求採用開放的技術和標准選擇主流的操作系統及應用軟體，保障系統能夠適應未來幾年公司的業務發展需求，便於網路的擴展和集團的結構變更。
二、需求概述
在設計方案時，無論是系統或網路都嚴格遵循以下原則，以保障方案能充分滿足集團的需求。
 先進性和實用性原則
 高性能原則
 經濟性原則
 可靠性原則
 安全性原則
 可擴展性原則
 標准化原則
 易管理性原則

三、網路需求
集團園區網項目必須實現以下的功能需求：建設一個通暢、高效、安全、可擴展的集團園區網，支撐集團信息系統的運行，共享各種資源，提高集團辦公和集團生產效率，降低集團的總體運行費用。網路系統必須運行穩定。
集團園區網需要滿足集團各種計算機應用系統的大信息量的傳輸要求。
集團園區網要具備良好的可管理性。減輕維護人員的工作量，提高網路系統的運行質量。
集團園區網要具有良好的可擴展性。能夠滿足集團未來發展的需要，保護集團的投資。
整個項目的施工，系統集成商要精心組織、嚴格管理、定期提交各類項目文檔。
在項目實施完畢之後，系統集成商要對集團的相關人員進行培訓，並移交全部的項目工程資料，保證集團園區網的正常運行和管理維護。
1．布線結構需求
集團目前擁有六家子公司，包括集團總部在內共有2000多名員工；園區內有7棟建築物，分別是集團總部和子公司的辦公和生產經營場所；光纖+超五類綜合布線系統，3000個左右信息點；集團計劃為大部分的員工配置辦公用計算機；集團目前有多種計算機應用系統。
7棟建築物，每棟建築高7層，都具有一樣的內部物理結構。一層設有本樓的機房，一樓布有少量的信息點，供未來可能的需求使用，目前並不使用（不包括集團總部所在的樓）。二層和三層，每層樓布有96個信息點。四層到七層，每層樓布有48個信息點。每層樓有一個設備間。樓內綜合布線的垂直子系統採用多模光纖，每層樓到一層機房有兩條12芯室內光纖。每個子公司和集團總部之間通過兩條12芯的室外光纜連接。要求將除一層以外的全部信息點接入網路，但目前不用的信息點關閉。集團總部所在樓的一層，是集團的主機房，布有48個信息點，但目前只有20台左右的伺服器和工作站。
集團園區正在後期建設中，不存在遺留的網路系統。集團原有少量的網路設備，可以不作考慮或者用作臨時的補充之用。
2．網路設備需求
集團園區網計劃採用10M的光纖乙太網接入到網際網路服務提供商的網路，然後接入到網際網路中，使集團實現與外界的信息交換和網路通信。集團統一一個出口訪問Internet，集團能夠控制網路的安全。
根據集團的網路功能需求和實際的布線系統情況，系統集成商需要給出設備選擇的合理建議，包括樓層接入交換機、子公司主交換機、集團核心交換機等。其中，樓層接入設備需要選擇同一型號的設備；子公司主交換機可以根據需要通過堆疊方式進行靈活的升級擴容；核心交換機需要具有升級到720Gbps可用背板帶寬的能力。
網路設備必須在技術上具有先進性、通用性，必須便於管理、維護。網路設備應該滿足集團現有計算機設備的高速接入，應該具備未來良好的可擴展性、可升級性，保護用戶的投資。網路設備必須具有良好的在滿足功能與性能的基礎上性能價格比最優。網路設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須要有良好的市場形象與售後技術支持。
3．IP地址規劃
集團園區網計劃使用私有的A類IP地址。集團園區網的IP地址分配原則如下：
 集團使用IPv4地址方案。
 集團使用私有IP地址空間：10.0.0.0/8。
 集團使用VLSM（變長子網掩碼）技術分配IP地址空間。
 集團IP地址分配滿足合理利用的要求。
 集團IP地址分配滿足便於路由匯聚的要求。
 集團IP地址分配滿足分類控制等的要求。
 集團IP地址分配滿足未來公司網路擴容的需要。
集團園區網的IP地址的一些具體使用規定：
 了網化後，所有的第一個子網（0子網）都不分配給用戶使用。
 網關的地址統一使用子網的最後一個可用地址。
 IP地址的使用需要報集團總部審批備案。
 具體配置如下：
機構 IP地址/地址范圍 說明
總部 10.16.*.252/24 1號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.16.35.?/32 非二層交換機的Loopback地址(*表示1至7連接辦公區域、伺服器區域、核心區域的6台交換機以及邊界路由器)
10.16.*.1 ～ 10.16.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.16.*.252、253/24 1號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.16.*.254/24 1號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.16.64.1、2/30 核心層交換機之間互聯IP地址
10.16.64.5、6/30 伺服器區塊匯聚層交換機互聯IP地址
10.16.64.17、18/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址1
10.16.64.21、22/30 伺服器區塊匯聚層交換機與核心層交換機互聯IP地址2
10.16.64.25、26/30 路由器與核心層交換機互聯IP地址1
10.16.64.29、30/30 路由器與核心層交換機互聯IP地址2
10.16.64.33、34/30 路由器與防火牆互聯IP地址
10.16.64.37、38/30 1號樓匯聚層交換機互聯IP地址
10.16.64.41、42/30 2號樓匯聚層交換機互聯IP地址
10.16.64.45、46/30 3號樓匯聚層交換機互聯IP地址
10.16.64.49、50/30 4號樓匯聚層交換機互聯IP地址
10.16.64.53、54/30 5號樓匯聚層交換機互聯IP地址
10.16.64.57、58/30 6號樓匯聚層交換機互聯IP地址
10.16.64.61、62/30 7號樓匯聚層交換機互聯IP地址
10.16.64.65、66/30 網管工作站及相應的網關地址
10.16.96.1、2/27 域控/DNS伺服器主備IP地址
10.16.96.3、4/27 NAS伺服器主備IP地址
10.16.96.5、6/27 Web/Mail伺服器主備IP地址
子公司1 10.32.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.32.35.1、2/32 三層交換機的Loopback地址
10.32.*.1 ～ 10.32.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.32.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.32.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.32.96.1/27 子域伺服器IP地址
10.32.96.2/27 Mail伺服器IP地址
子公司2 10.48.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.48.35.1、2/32 三層交換機的Loopback地址
10.48.*.1 ～ 10.48.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.48.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.48.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.48.96.1/27 子域伺服器IP地址
10.48.96.2/27 Mail伺服器IP地址
子公司3 10.64.*.252/24 2號樓接入層交換機管理IP地址（*表示從97至102對應2至7層）
10.64.35.1、2/32 三層交換機的Loopback地址
10.64.*.1 ～ 10.64.*.251/24 各層客戶端DHCP地址范圍（*表示從97至102對應2至7層）
10.64.*.252、253/24 2號樓匯聚層交換機對應每一Vlan的IP地址（*表示從97至102對應Vlan12至17）
10.64.*.254/24 2號樓匯聚層交換機對應每一Vlan的虛擬IP地址即網關IP地址（*表示從97至102對應Vlan12至17）
10.64.96.1/27 子域伺服器IP地址
10.64.96.2/27 Mail伺服器IP地址

四、系統需求
本項目的實施目的是在集團內部建立穩定、高效的辦公自動化網路，通過項目的實施，為所有員工配置桌面PC，使所有員工能通過總部網路接入Internet，從而提高所有員工的工作效率和加快企業內部的信息傳遞。同時需要建立集團的WEB伺服器，用於在互聯網上發布企業的信息。在總部及每個子公司均設立專用的伺服器，使集團內所有員工能夠利用伺服器方便的訪問公共的文件資源，並能夠完成企業內外的郵件收發。系統建立完成後，要求能滿足企業各方面應用的要求，包括辦公自動化、郵件收發、信息共享和發布、員工賬戶管理、系統安全管理等。
1．系統要求
① 集團原有少量筆記本電腦及PC機，由各級經理及財務部門使用，操作系統均為Windows98，為了滿足企業信息化建設的需要，集團將在本項目中更新所有的操作系統。本項目中的操作系統應選擇占市場份額最大的主流操作系統，整個網路（伺服器、客戶機）採用同一廠商的操作系統產品，所選擇的操作系統應簡單蝗用，便於安裝和管理。具體選擇應依據如下規則：
 操作系統要求選擇最新版本
 所選操作系統需要提供方便的更新與升級方法
 伺服器操作系統需要能夠提供目錄服務功能
 伺服器及客戶機操作系統都需要支持TCP/IP協議
 所選操作系統應能夠方便的實現用戶和許可權的管理
 秘選操作系統應能夠運行常用的大多數應用軟體，例如辦公軟體、圖像處理軟體、CAD財務軟體等
 伺服器操作系統應能夠提供WEB、FTP、DNS服務及完善的管理功能
 操作系統廠商應能夠提供優質的售後服務及技術支持
 客戶端操作系統要求簡單易用，提供圖形界面
② 隨著集團近年來的高速發展，集團的業務已經涉及到各個商業領域，集團及公司內部的組織結構也日益復雜，在本項目的設計實施過程中，要求工程實施方在規劃系統設計時，充分考慮到集團管理的需求，設計出合理的系統管理架構，能夠最大程度的降低集團的系統管理上的成本，並能滿足各種商務工作的需求，具體的設計應依據以下原則：
 清晰的邏輯結構：要求集團范圍內的系統管理結構清晰，層次分明，能夠充分的與集團的管理結構想吻合。集團總部及各個子公司應是相對獨立的管理單元。各個單位在自己公司范圍內實現用戶賬戶及網路安全的管理。總部管理員有許可權管理各子公司的系統。
 便於管理：整個系統設計要便於網路管理員管理，在系統中提供便於管理員管理的各種有效方式。使管理員工在任何一個位置均能對伺服器進行維護和管理。集團總部及各子公司都有自己的專職系統管理員，應保障管理員對只對本公司網路具有管理許可權。總部管理員對集團所有系統具有管理許可權。
 簡單的設計：在保障滿足集團需求的前提下，設計方案應以簡單為佳，避免由於復雜的設計增加工程實施的難度和增加集團系統管理的復雜性。
 合理的用戶管理：所有的用戶採用統一的命名規范，每個單位對本單位員工賬戶進行獨立的管理，並按不同的部門管理用戶賬戶。
2．網路和應用服務
① WEB服務
隨著企業業務的不斷拓展，集團在業界的影響力越來越大，越來越多的商業合作夥伴和客戶需要從互聯網上了解集團的信息，並希望通過互聯網進行商務合作。為了進一步提高企業知名度並在互聯網發布集團及子公司的商業信息，集團計劃在網路中建立WEB伺服器，集團已經宴請了域名gzlk.local。集團下屬子公司教育公司也在Internet上注冊了域名gzlke.com。其他子公司不需要建立自己的WEB伺服器。所有的網站內容已經製作完畢。詳細的需求如下所述：
 集團WEB伺服器放置在總部機房，教育公司WEB伺服器放置在該公司機房
 WEB服務應和操作系統具有良好的兼容性，避免由於服務的不兼容影響性能和穩定性
 WEB伺服器具有固定的IP地址配置
 WEB網站允許匿名訪問
 網站的文件存儲應具備良好的安全性
 允許互聯網及集團內部的用戶可以通過www.gzlk.local訪問集團及子公司網站
② FTP服務
為了實現集團內部的文件存儲和管理，集團計劃採用兩種方式管理文件資源，總部及各子公司設立自己的文件伺服器，上項工作由各單位的系統管理員自行完成。另外，總部及各子公司建立自己的FTP伺服器，此項工作包含在本項目中，由工程實施單位完成。FTP服務的建立要求具備足夠的存儲空間用於存儲各單位的文檔資料及應用軟體並能夠實現利用FTP客戶端軟體及WEB瀏覽器訪問。具體的需求如下所述：
 FTP伺服器具有固定的IP地址
 採用所選操作系統自帶的FTP服務建立FTP伺服器，不採用第三方軟體
 FTP伺服器允許本公司內部員工下載
 只允許系統管理員上傳文件到FTP伺服器
 FTP伺服器不對互聯網用戶開放
 FTP伺服器需要設置合理的許可權，保障公用文件不被非法的刪除和改寫
③ 郵件服務
隨著集團規模的不斷擴大，企業內部的信息交流變得越來越重要，企業迫切的需要建立內部的消息傳遞平台，用於讓員工之間方便的傳輸各種文件、數據和其他消息。集團計劃在本項目中利用郵件服務實現企業內部的消息傳遞平台，需要在集團總部及各子公司建立郵件伺服器，允許所有員工方便的收發電子郵件。並且通過集團的郵件伺服器，員工也可以和外部的用戶之間收發電子郵件。具體的需求如下：
 總部及各子公司均建立郵件伺服器
 集團內的郵件服務之間能夠互相轉發郵件
 每名員工均有公司統一分配的郵箱
 所有員工能夠利用自己的電子郵件與外部用戶通信
 所有員工發送郵件附件的大小不能超過4MB
 所有員工能夠利用outlook、outlook express、web瀏覽器收發郵件

這是 第2 種

目 錄
一、 項目實施拓撲圖

二、 設備命名規范
為了便於管理以及方面日後的維護，本實施方案對集團網路所使用的網路設備進行統一命名。在實際的實施過程中，網路設備按照命名規則完成命名後，將以標簽的方式粘貼在設備的顯要位置。
實行統一命名的設備類型包括：
 樓層接入交換機
 匯聚層交換機
 集團核心交換機
命名規則見下表
表1
設備類型 命名規則 說明 示例
樓層接入交換機 B?_F?_S??_T???? B？：表示樓號
F？：表示樓層號
S？？：表示該樓層中的交換機號，為了以後的擴展性考慮，交換機號用兩位數字表示
T????：表示交換機型號 B1_F2_S03表示1號樓2樓的第3台交換機
匯聚層交換機 B?_D_S??_T????
M_D_S??_T????
I_D_S??_T???? D：表示匯聚層
M：表示伺服器區塊
I：表示網際網路接入區塊
其餘同上 B1_D_S02表示1號樓第2台主交換機
M_D_S01表示伺服器區塊第1台主交換機
I_D_S01表示網際網路接入區塊第1台主交換機
集團核心交換機 C_S?? C：表示核心層
其餘同上 C_S01表示核心層第1台交換機

三、 設備管理口令
配置設備口令，是防止非授權人員更改網路系統的配置的重要手段。
要為所有的設備設置口令，對於網路設備需要為每一台設備設置CONSOLE口令、AUX口令、VTY口令、特權口令等。
對於口令的設置，需要制定管理制度並嚴格執行，口令管理制度包括口令的設置、保管、更改以及口令的強度等內容。
 口令強度
口令強度決定了口令被破譯的難度，是口令安全性的基本保障。從集團本身對網路安全性的要求來考慮，口令強度為一般性的強口令即可。
口令要求採用10－12位口令，該口令必須是數字和字母的組合，其中字母的個數不能少於4個。字母可以為大寫和小寫字母。
例如：XinWF7002
 口令設置
從安全的角度出發，最佳方案是為每一台設備設置不同的口令。但是從實際的工作需要出發，也可以對每一分公司的同一類型的設備設置相同的口令，便於管理和日常的維護。口令需要定時或不定時地進行經常性修改

對於口令的保管必須遵從嚴格的管理規范。口令的保管方式同上口令設置表。
口令原則上只能由系統管理員保管，保管的介質為紙質和電子兩種。
為了防止系統管理員丟失口令，每次發生口令更新以後，對於紙質口令資料，系統管理員進行封存。對於電子的口令資料，系統管理員需要保存在特定伺服器的專用目錄中。該目錄只有系統管理員能夠訪問。
 口令更改
為了減少口令發生泄漏或者被破譯的可能性，對於口令需要不定期進行修改。但是核心交換機口令必須至少90天修改一次，匯聚層、伺服器區塊和網際網路接入區塊交換機口令必須至少180天修改一次，接入層交換機口令必須至少360天修改一次。
一旦懷疑口令已經發生了泄漏，必須在12小時能對所有設備口令進行修改。
口令的更改由系統管理員進行，更改記錄填寫《網路設備口令更改單》，《網路設備口令更改單》的格式如下表所示：
表 3
網路設備口令更改單
更改事由
更改設備編號 更改日期
備注

操作人：

網路設備更改單完成後，系統管理員必須同時更新口令設置表，然後將更新後的口令設置表以及網路設備更改單同時保存。

四、 IP地址分配方案
根據集團公司的規模，集團內部網採用A類私有地址10.0.0.0/8。
為了管理方便除了伺服器、路由器等設備需要固定IP外，所有客戶端用戶均從DHCP伺服器上自動獲取IP地址。

五、 交換機管理地址分配
參見表4中相關項目

六、 路由器地址分配
由於本方案中採用三層交換機來實現路由器的功能，所以沒有單獨採用路由器。

七、 測試要求
為了保證網路設備正常使用，在網路設備配置完成後，需要進行網路設備連接測試。
測試要求：
 路由表正確
 各交換機之間兩兩互相執行Ping操作可以成功
各交換機之間兩兩互連，當其中的某一條連接鏈路失效的時候，交換機之間仍然可以互相Ping通。

八、 各種設備配置步驟（見PPT）
交換機的配置
交換機的配置步驟如下：
 所有的交換機之間連接的埠需要配置成為TRUNK。
配置命令：Switchport Trunk
 配置VIP域。啟用V2版本。

VTP模式為：各機構匯聚層交換機配置VTP Mode Server，接入層交換機配置為VTP Mode Client。


增加VLAN，配置VLAN名稱，將所屬埠加入到相應的VLAN中
在匯聚層交換機上創建Vlan，具體參見下表：
表 6
Vlan號 Vlan名稱 命令 說明
1 B？－NM Vlan 1 name B？－NM 設置IP用於管理交換機
10 B？－HL Vlan 10 name B？－HL 連接互聯網介面
11 B？－F2 Vlan 11 name B？－F2 連接2樓交換機
12 B？－F3 Vlan 12 name B？－F3 連接3樓交換機
13 B？－F4 Vlan 13 name B？－F4 連接4樓交換機
14 B？－F5 Vlan 14 name B？－F5 連接5樓交換機
15 B？－F6 Vlan 15 name B？－F6 連接6樓交換機
16 B？－F7 Vlan 16 name B？－F7 連接7樓交換機
說明：
、 分別表示1號樓、2號樓、3號樓、4號樓、5號樓、6號樓。

、 B?_D_S01和B?_D_S02交換機之間的兩條鏈路要能夠同時傳送數據，提高網路帶寬，同時需要減少中繼埠上不必要的流量，提高網路的性能。
在B?_D_S01和B?_D_S02交換機上啟用VTP Prunning

、 配置B?_F2_S01交換機，使得它到B?_D_S??的上行鏈路中的一條失效發生時，能夠有效減少對終端網路用戶的影響。
在B?_F2_S01交換機上配置上行速鏈路，當檢測到轉發鏈路發生失效時，可使交換機上一個阻斷的埠幾乎立刻開始進行轉發。
配置方法：B?_F2_S01（config）# Spanning-tree uplinkfast

、 每台交換機的F0/11都是用來連接伺服器的埠，需要配置速埠。
B?_F2_S01（config）# int F0/11
B?_F2_S01（config-if）# spanning-tree portfast

、 B?_D_S??可以增刪VLAN配置，而B?_F2_S01交換機不能增刪VLAN的配置。採取措施，使得當一台新的交換機接入網路的時候不能自動加入域；將交換機上不使用的埠關閉；以提高網路的安全性。
配置接入層交換機和匯聚層交換機的VTP功能具體配置參見表

、 配置所有交換機的VLAN1介面。
所有交換機的F0/01作為Vlan1介面
WINDOWS SERVER 2003架設配置

1. 在安裝完WINDOWS 2003伺服器上用dcpromo命令創建域；

① 開始安裝
② 在安裝時選擇：否，只在這台計算機上安裝並配置DNS，成為第一台的首選DNS伺服器；
③ 正在創建域寫入硬碟中；
④ 完成區域網中的第一台域控制器的安裝，點擊完成；

2. 在總公司的伺服器上建立首選DNS伺服器，將各子域的域添加到總公司的首選DNS伺服器中；
① 正向區域的配置：
② 在反向域區域添加相應的指針，確保能夠通過IP查找域名；

3. 總經理和各部門的經理不需要繼承他所屬部門的組策略，在另一個OU里添加他們，賦予他們能監督自己部門里的員工工作情況，而總經理就可以監督整個域里的員工工作情況。

OU分配圖如下：

① 創建經理OU；

② 創建人事部OU；

③ 創建市場部OU；

4. 為了增加安全性和容易管理，在伺服器里創建必需的域組策略和本地組策略，策略如下：
① 密碼策略
 啟用密碼必須滿足復雜性要求.
 密碼長度不小於7位.
 密碼最長保留為30天.
 密碼過期期限為50天

② 帳戶鎖定策略.
 帳戶鎖定閥值為5次無效登錄

③ 審核策略
 啟用審核登錄事件
 啟用審核對象訪問

④ 用戶配置-Internet Explorer維護-連接
 代理設置：代理伺服器設置：IP地址容後寫 埠：9999

⑤ 在用戶配置的軟體設置里將所有需要安裝的軟體指派給域的用戶，只要員工登錄域時就會全部全部安裝到他們本地的機器。

⑥ 更新組策略用gpupdate命令

5. 根據該公司的情況創建每個所屬的OU，而且在方案中採用AGDLP和AGUDLP策略。在每個域中創建全局組，用於組織本域的賬戶；在每個域中創建域本地組，用於完成許可權的指派。在本域內的許可權分配，可以使用AGDLP策略，在域間的許可權分配，使用AGUDLP策略，依次將用戶賬戶加入全局組，將全局組加入到通用組，再將通用組加入到域本地組，最後可以根據需要將許可權授予指定的域本地組。

⑻ 電子政務系統的網路架構

電子政務網路系統可規劃為一個四層的安全控制域，網路安全設計以各域的工作特點為依據進行設計。
核心層(核心數據存儲與處理)：是政府信息的集中存儲與處理的域，該域必須具有極其嚴格的安全控制策略，信息必數首須通過中間處理層才能獲得。
辦公業務層(日常辦公與事務處理)：是政府內部的電子辦公環境，該區域內的信息只能在內部流動。
信息交換層(友鄰、上下級部門間)：一部分需要各部門交換的信息可以通過專網域進行交換。該區域負責將信息從一個內網傳送到另一個內網區域，它不與外網域有任何信息交換。
公眾服務層(電子窗口與信息服務)：政冊蠢府部門公共信息的發布場所，實現政府與公眾的互操作。該域與內網和專網物理隔離。
典型的電子政務網路架構由內網、外網和專網這三部分組成。
整個電子政務安全環境包括以下部分：基礎安全服務設施、網路信任域基礎設施、網路安全支撐平台產品和容災備份系統四薯姿數部分組成。

⑼ 網路安全包括哪些方面

網路安全相關內容有：1、網路攻擊；2、信息安全；3、防抵賴問題；4、網路內部安全防範；5、網路防病毒；6、網路數據備份與災難恢復等。

一、網路攻擊

1、對網路的攻擊大致可以分為兩類：服務供給和非服務攻擊。從攻擊的手段可以分為8類：系統入侵類攻擊、緩沖區溢出類攻擊、欺騙類攻擊、拒絕服務類攻擊、防火牆攻擊、病毒類攻擊、木馬類攻擊與後門攻擊。

2、服務類攻擊（Application Dependent Attrack）是指對為網路提供某種服務的伺服器發起攻擊，造成該伺服器的「拒絕服務」，使網路工作不正常。拒絕服務類攻擊（Denial-of-Service Attrack）產生的效果表現在消耗帶寬、消耗計算資源、使系統和應用崩潰等方面，導致某種服務的合法使用者不能訪問他有許可權訪問的服務。

3、非服務類攻擊（Application Independent Attrack）不針對某項具體的應用設備，而是針對網路層等低級協議進行的攻擊。此種攻擊往往利用協議和操作系統實現協議時的漏洞來達到攻擊的目的，是一種更為隱蔽而且危險的攻擊手段。

二、信息安全

1、網路中的信息安全主要包括兩個方面：信息儲存安全和信息傳輸安全。

2、信息儲存安全是指如何保證靜態存儲在聯網計算機中的信息不會被非授權的網路用戶非法使用。

3、信息傳輸安全是指如何保證信息在網路傳輸過程中不被泄露和不被攻擊。

信息傳輸安全的主要威脅有：截獲信息、竊聽信息、篡改信息與偽造信息。

保證網路系統中的信息安全的主要技術是數據加密與解密。

三、防抵賴問題

防抵賴是指如何防止信息源廳派用戶對其自身發送的信息事後不承認，或者是用戶接受信息後不認賬。需要通過身份認證、數字簽名、數字信封、第三方確認等方法，來確保網路信息傳輸的合法性問題，防止抵賴現象的出現。

四、網路內部安全防範

網路內部的安全防範是指如何防止具有合法身份的用戶有意或者無意的泄露對網路與信息安全有害的行為。

解決網路內部的不安全因素必須從兩方面入手：一方面敬伏旁通過網路管理軟體隨時監控網路運行狀態和用戶工作狀態，對極其重要的網路資源（主機、資料庫、磁碟等）的使用狀態進行記錄和審計；另一方面是指定和完善網路使用和管理制度，加強用戶培訓並管理。

五、網路亮橡防病毒

目前的病毒可以大致分為6類：引導型病毒、可執行文件病毒、宏病毒、混合病毒、木馬病毒和Internet語言病毒。網路防病毒需要從防病毒技術和用戶管理兩個方面來解決。

六、網路數據備份與災難恢復

再厲害的企業也無法避免發生網路災難，有些是認為可避免的災難（如管理員操作失誤誤刪數據），有些是無法避免的災難，如意外停電，線路損壞。支付寶和微信去年也出現過幾次宕機。因此網路數據備份與災難恢復就顯得極其重要了。

在實際的網路運行環境中，數據備份與恢復功能是非常重要的，雖然可以從預防角度去避免，但是完全保證系統不出錯是不太可能的。