时间:2023-06-28 16:52:03
序论:在您撰写企业网络设计与实现时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词:网络系统集成 企业网络应用 系统集成设计 企业网络搭建
中图分类号:TP311.52 文献标识码:A 文章编号:1007-9416(2016)12-0039-01
1 总体设计
企业网络系统集成环境可采用星型结构搭建,采用交换机作为网络中心节点建立核心层和接入层网络体系结构,使用两台交换机采用双链路汇聚技术提高企业网络访问速度和对用户的管理。在设计中为企业搭建WEB和FTP双服务器,WEB服务器提供网络资源访问,FTP服务器提供信息及数据的传输。
企业网络系统集成进行VLAN规划,本文以500台计算机容量网络规划为例进行VLAN规划,根据企业部门划分为多个VLAN网段并对应IP号段,便于便于对网络数据包的分配和管理。
2 网络设计与实现
2.1 IP及端口划分与分配
IP地址规划是为了区分企业内部的客户端机器,便于管理员对不同客户端进行管理。IP地址划分采用192.0.0.0-223.255.255.255,标谁的子网掩码是255.255.255.0。对于拥有500台计算机的企业,一个标准的IP号段无法满足应用需求,因此,可采用CIDR理论,建立多号段IP进行管理,譬如:192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。
2.2 交换机与路由器配置
SW1核心交换机连接1000Mb/S的光纤,搭建FTP服务器(IP:92.168.0.0/24)和web服务器(IP:92.168.1.0/24),可有管理员核交换机进行管理。
SW2模块化汇聚交换机以100Mb/s双绞线水平布线连接路由器,使各部门的计算机可以100Mb/s网速连接互联网。
2.3 无线配置
可利用VLAN技术划分出无线用户使用区,并对无线AP配置SSID。无线配置可在路由器端采用WEB加密技术设置WPA2加密管理,并设置IP使用范围。
3 服务器设计与实现
3.1 DNS服务器
DNS(Domain Name System)域名系统可以建立层次结构的网络服务命名系统。在企业局域网中用户可通过命名定位计算机,便于数据的共享。可将局域网中的域名解析为IP地址配置DNS服务器,建立域名与IP之间的映射表。如映射IP:92.168.0.0/24。
3.2 WEB服务器
以Windows 系统搭建WEB服务器,采用IIS(Internet Information Service)信息服务进行管理与维护,搭建步骤为:打开IIS管理器,找到侧栏“网站”选项右键“新建网站”,之后根据创建向导完成创建。
3.3 FTP服务器
FTP服务器是为企业数据上传和下载的网络空间,在FTP服务器上企I员工可以将个人的工作文件上传到服务器上共享。搭建FTP服务器需要在Internet信息服务器(IIS)管理器中建立FTP站点,并添加上传(upload)和下载(download)用户,对服务器中的存储空间配置文件夹权限,并指定用户操作权限。
4 网络机房规划
网络机房主要功能是对企业的总体网络应用进行管理,分配不同功能区网络数据包,并对企业网络应用安全进行管理。在机房设计中,我们以标准机柜为建设对象,将交换机、路由器、硬件防火墙等统一安装在一个大型的立式标准机柜中,由此加强对设备的统一管理。在企业网络机房机柜布局上采用将综合布线机柜、网络机柜和服务器机柜按照管理层次进行规范化布局。其中综合布线机柜与网络机柜相邻安置,这样方便我们进行调线操作,可控制网络用户的分配。每个机柜在安装设备时应留有一定空间,便于设备进行升级和扩充。
网络机房是企业安全防范的重地,在机房环境的建设中,要充分考虑机房环境对设备所产生的影响,其中包括:机房的通风能力、机房防静电能力、机房抗雷电能力等,此外,机房涉及企业重要数据,为防止企业数据丢失,非工作人员不得进入网络机房。
机房环境中的设备及材料主要包括:空调、UPS电源、配电箱、全钢防静电地板等。为防止雷电给机房设备造成伤害,设置网络机房接地系统,防止企业计算机受到雷电干扰导致设备受损。其主要结构为紫铜总汇集排ATK008,规格:300mm×40mm×4mm,以保证地电位分布均匀,直流和交流工作接地。
在企业网络机房中,设置消防安全系统,机房内安装温感探测器、烟感探测器和FM200气体灭火系统。FM200气体灭火系统设在机房外,为管网式结构,在天花吊顶层朝下设置喷嘴,当遇到火情时,全方位立体式灭火。
【关键词】企业网络 信息安全 策略设计
一、企业网络信息系统安全需求
(一)企业网络信息安全威胁分析
大部分企业在网络信息安全封面均有一些必要措施,因为网络拓扑结构和网络部署不是一成不变的,因此还会面临一些安全威胁,总结如下:
(1)监控手段不足:企业员工有可能将没有经过企业注册的终端引入企业网络,也有可能使用存在安全漏洞的软件产品,对网络安全造成威胁。
(2)数据明文传输:在企业网络中,不少数据都未加密,以明文的方式传输,外界可以通过网络监听、扫描窃取到企业的保密信息或关键数据。
(3)访问控制不足:企业信息系统由于对访问控制重要性的忽视,加之成本因素,往往不配备认证服务器,各类网络设备的口令也没有进行权限的分组。
(4)网间隔离不足:企业内部网络往往具有较为复杂的拓扑结构,下属机构多,用户数量多。但网络隔离仅仅依靠交换机和路由器来实现,使企业受到安全威胁。
(二)企业网络信息安全需求分析
企业信息系统中,不同的对象具备不同的安全需求:
(1)企业核心数据库:必须能够保证数据的可靠性和完整性,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(2)企业应用服务器:重要数据得到有效保护,禁止没有经过授权的用户非法访问,能够避免各种攻击带来的数据安全风险。
(3)企业web服务器:能够有效避免非法用户篡改数据,能够及时发现并清除木马及恶意代码,禁止没有经过授权的用户非法访问。
(4)企业邮件服务器:能够识别并拒绝垃圾邮件,能够及时发现并清除木马及蠕虫。
(5)企业用户终端:防止恶意病毒的植入,防止非法连接,防止未被授权的访问行为。
二、企业网络安全策略设计与实现
企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。结合上文的安全分析与安全需求,企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。
在此基础上,本文着重阐述企业信息系统的网络层安全策略:
(一)企业信息系统网络设备安全策略
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
(二)企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
(三)企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
(四)企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
三、结束语
企业信息系统亟需一个整体性的解决方案与安全策略。本研究在阐述企业整体信息安全威胁与需求的基础上,总结了企业网络常见的安全问题,结合这些问题进行了信息安全策略设计,并从网络设备防护策略、端口安全策略、BPDU 防护策略、Spoof 攻击防护策略四个方面对企业信息安全实现方法进行了阐述,设计了相关的安全策略。
参考文献:
[1]刘念,张建华,段斌等.网络环境下变电站自动化通信系统脆弱性评估,电力系统自动化,2012,(8).
[2]王治纲,王晓刚,卢正鼎.多数据库系统中基于角色的访问控制策略研究.计算机工程与科学,2011,(2).
[3]杨智君,田地,马骏晓等.入侵检测技术研究综述.计算机工程与设计,2010,(12).
[4]戚宇林,刘文颖,杨以涵等.电力信息的网络化传输是电力系统安全的重要保证.电网技术,2009,(9).
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
目前,随着我国现代信息技术的快速发展,很多大型企业的经营管理方式也朝着信息化方向发展。在信息化技术非常发达的现代,一个企业的信息化水平的高低将决定企业竞争力的大小,因此,企业只有掌握较好的网络技术,才能更好地控制企业的机密,从而实现企业的信息化管理。为了进一步提高企业的资源利用管理水平,提高企业的核心竞争力,构建企业网络安全部署具有直接决定作用。
1我国企业网络构架及安全部署的现状
企业网络构架现在已经从以往单一的数据交换发展到综合智能化一体的信息化网络计划,我国企业的网络构架及安全部署现在已经发展了几十年,但是,与西方发达国家相比,我国企业的网络构架及安全部署还存在很大的差距。目前,我国企业已经意识到网络构架及安全部署的重要性,主要是由于企业网络构架对于企业的生产、管理和物流等环节都具有较大的支持作用。企业的管理层对网络构架的设计思想主要反映出企业利用资源的能力,从而保证企业的网络构架是其业务水平的重要保障。我国现在很多企业对网络构架及安全部署的要求越来越高,但是我国企业的网络构架还无法满足现代企业网络构架的高要求。因此,我国企业网络构架及安全部署的不足严重制约了我国企业的长远发展。
2企业网络架构安全部署设计与实现
2.1 网络架构设计思想及原则
我国企业网络架构设计主要是为了实现将不同位置的计算机网络进行互通,这也是企业实现网络构架的基本要求。随着我国企业数据业务的不断发展和改进,企业网络构架的设计要求也变得更高,因而需要从简单的网络构架中设计出服务性更强的网络构架,并且不断向应用型网络构架转变。因此,企业网络构架的设计者在进行网络构架设计时应该充分考虑企业的各种业务需求,以保证企业的网络构架能够满足其长远的发展,从而为企业提供更加方便的管理平台,这也是企业网络构架及安全部署设计的基本思想和原则。
2.2 企业网络架构的实现
当网络构架的基本设计完成后,就应该对设计的模型进行部署和实现,从而使得企业能够更加实际地了解企业的网络构架。
企业网络构架实现的过程一般包括以下几个方面:1)规划企业的IP地址空间范围;2)部署和实现企业核心层的网络构架;3)在核心网络构架的基础上对下层的网络构架进行设计。当然,企业的网络构架的设计一般应该遵循规范性、标准性、连续性和灵活性等原则。
3企业网络构架的故障分析及解决方案
3.1 网络冗余双机部署中的故障
现在,网络设备双机部署过程中,由于路由的配置等技术相对比较成熟,一般不会出现故障和问题。但是,其企业网络构架中防火墙的双机构架的设计和部署时,会出现很多疑难问题。目前,解决这些疑难问题的方法主要包括以下两种:1)移除防火墙之间的交叉冗余链路,同时更改两台防火墙上相同路由开销值,这样可以保证在主防火墙出现故障后,其他防火墙可以安全使用。这种方案可以解决故障,但也存在一定的弊病,主要是指数据负载在主设备上,备用设备一般是出于闲置状态,只有出现故障时才切换到备用设备机;2)采取措施将主防火墙的全部会话列表与备用设备同步,从而使备用设备保持与主设备的防火墙会话列表一致。即使出现数据访问不一致的情况,主设备也不会导致数据发生故障,从而造成多个设备处于故障状态。当然,防火墙会话同步的设计现在已经成为基于会话状态防火墙的解决网络冗余双机部署中故障重要手段和措施。
3.2 网络QOS保障
QOS保障是企业在进行网络构架及安全部署的设计与实现的过程中,对特殊数据进行带宽处理,以实现优先保证的一种有效途径。但是,语音和视频在网络传输的过程中对带宽的延时和抖动的要求比较高,因而需要考虑企业网络分子结构广域网带宽的影响,然后根据流量分析,在带宽能够满足一定要求的情况下,保证视频和语音数据的传输更加顺畅。当然,企业网络架构及安全部署的设计和实现过程中,分支网络构架中的语音和视频数据需要经过各自的核心路由,这样的企业网络构架需要保障企业的语音和视频在网络分子上得到一定的保证。然而,在实际的网络构架部署过程中,由于企业的业务不断增加和网络分支的不断扩展,广域网的数据量也增大,因此,采用QOS来对数据进行保障显得至关重要。
3.3 网络访问安全控制
网络访问安全控制的配置在企业网络构架的部署中非常常见,一般需要采用防火墙进行数据的访问,还需要在路由器上配置一些安全措施,以实现企业能够对数据进行控制。尤其是对于一些防病毒、访问隔离和环路等故障,企业网络访问安全控制很有必要。
【关键词】企业网络 信息安全 策略设计
随着社会经济的快速发展,计算机信息技术介入人们生活的方方面面。企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。下面着重阐述企业信息系统的网络层安全策略:
一、企业网络设备安全策略分析
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
二、企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
三、企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
四、企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
五、结束语
W络安全是一项综合的管理工程,意义重大。企业的网络安全一旦出现问题,极有可能造成巨大损失,到那时即使再投入大量资金进行弥补也为时已晚。因此,企业应未雨绸缪,认清事实、正视事实、立足长远,重视网络安全问题,这样才能保证企业网络的安全,从而实现企业长足发展。
关键词:VLAN;虚拟局域网;企业网络;网络设计
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN, 其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE 的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社,2003.
关键词:网络营销 中小企业 网络购物管理系统
1 概述
随着因特网技术的迅速发展和广泛应用,人类已步入网络信息化社会。网络营销是企业利用相关的信息技术通过因特网来实现营销目标的一种营销手段,它是企业电子商务活动中最基本的商业活动。中小企业建立网络营销系统的信息技术以计算机技术、网络技术和多媒体技术为核心,整个网络营销系统的建设很复杂,但中小企业以实现网上购物为主要目的。这里设计的中小型企业的网络购物管理系统,为企业提供系统后台管理服务,实现了商品管理、货架管理、库存管理、用户管理和系统管理。
2 系统需求分析
中小企业网络购物管理系统是基于B/S体系结构的,在Microsoft Visual 环境下使用、C#编程语言、JAVA及Microsoft SQL Server 2008 数据库开发的,人机界面友好,安全性高,不需要太大的投入,便于维护更新。前台主要用于用户注册、浏览商品等,后台管理功能有商品管理、货架管理、库存管理、用户管理、系统管理五个模块,系统管理员可以通过这些模块更新维护系统。如图1所示。本文主要介绍系统数据库设计和后台管理主要功能模块设计。
3 系统数据库设计
系统数据库的名称设为sell,其中包括七张数据库表,分别设为用户信息表user、用户类别表utype、商品表goods、商品类型表gtype、商品货架表jgoods、库存表kucun、商品货架关联表gjbind。
设计的SQLHelper类中封装了最常用的数据操作,其部分代码如下:
public class SQLHelper
{
/// 连接数据源
public SqlConnection myConnection = null;
private readonly string RETURNVALUE = "RETURNVALUE";
///
/// 打开数据库连接
///
private void Open()
{ // 打开数据库连接
if (myConnection == null)
{myConnection=new SqlConnection(System.Configuration.ConfigurationManager.AppSettings["SQLCONNECTIONSTRING"].ToString());
}
if (myConnection.State == ConnectionState.Closed)
{try
{ ///打开数据库连接
myConnection.Open();
}
catch (Exception ex)
{
SystemError.CreateErrorLog(ex.Message);
}
finally
{
///关闭已经打开的数据库连接
}
}
}
///
/// 关闭数据库连接
///
4 系统后台模块设计
系统后台功能模块有商品管理模块、货架管理模块、库存管理模块、用户管理模块、系统管理模块五个,这里只介绍商品管理模块中查询商品和用户管理模块中添加用户的主要代码。
查询商品主要代码:
public string SQL()
{
string strsql = "";
DataSet ds = new DataSet();
strsql = "select * from goods where id is not null";
hs.RunSQL(strsql, ref ds);
string s1 = " and name like '%" + this.TextBox1.Text.Trim().Replace("'", "''") + "%'";
string s2 = " order by id desc";
if (this.TextBox1.Text != "")
{
strsql += s1;
}
return strsql + s2;
}
添加用户主要代码:
protected void Button1_Click(object sender, EventArgs e)
{
string UserName = this.TextBox1.Text.Trim().ToString();
string UserSex = "";
if (this.RadioButton1.Checked)
{
UserSex = "男";
}
else
{
UserSex = "女";
}
string address = this.address.Text.Trim().ToString();
string phone = this.phone.Text.Trim().ToString();
string email = this.email.Text.Trim().ToString();
string des = this.TextBox7.Text.Trim().ToString();
string str = "insert into suser (name,pwd,sex,address,phone,email,tid,des) values('" + UserName + "',"+123+",'"+UserSex+"','"+address+"','"+phone+"','"+email+"'," + Convert.ToInt32(this.DropDownList1.SelectedValue) + ",'" + des + "') ";
int k = hs.RunSQL(str);
if (k == 1)
{
Response.Write("alert('添加新用户成功');location='adduser.aspx'");
}
else
{
Response.Write("alert('添加新用户失败,请重试!');location='adduser.aspx'");
}
}
因篇幅有限,其他模块代码不再详述。
5 结束语
本文给出了中小企业网络营销管理系统数据库和后台管理模块的主要设计过程,实现了中小企业通过网络销售的主要目的。在我国经济结构加速调整、全球化市场竞争日趋激烈的环境下,为我国中小企业在网络经济时代通过建设网络营销管理系统进入全球化的市场竞争提供了示范,对传统中小企业的转型和发展有指导作用。
参考文献:
[1]冯英健.网络营销基础与实践(第4版)[M].北京:清华大学出版社,2013.6.
[2]刘志成.SQL Server实例教程(2008版)[M].北京:电子工业出版社,2012.1.
[3]陈琦.企业电子商务商业模式设计:IT资源前因与绩效结果[D].浙江大学,2010.
