企業網絡的設計與實現匯總十篇
時間:2023-06-16 16:03:44
序論:好文章的創作是一個不斷探索和完善的過程,我們為您推薦十篇企業網絡的設計與實現范例,希望它們能助您一臂之力,提升您的閱讀品質,帶來更深刻的閱讀感受。
篇(1)
企業網絡構架現在已經從以往單一的數據交換發展到綜合智能化一體的信息化網絡計劃,我國企業的網絡構架及安全部署現在已經發展了幾十年,但是,與西方發達國家相比,我國企業的網絡構架及安全部署還存在很大的差距。目前,我國企業已經意識到網絡構架及安全部署的重要性,主要是由于企業網絡構架對于企業的生產、管理和物流等環節都具有較大的支持作用。企業的管理層對網絡構架的設計思想主要反映出企業利用資源的能力,從而保證企業的網絡構架是其業務水平的重要保障。我國現在很多企業對網絡構架及安全部署的要求越來越高,但是我國企業的網絡構架還無法滿足現代企業網絡構架的高要求。因此,我國企業網絡構架及安全部署的不足嚴重制約了我國企業的長遠發展。
2企業網絡架構安全部署設計與實現
2.1 網絡架構設計思想及原則
我國企業網絡架構設計主要是為了實現將不同位置的計算機網絡進行互通,這也是企業實現網絡構架的基本要求。隨著我國企業數據業務的不斷發展和改進,企業網絡構架的設計要求也變得更高,因而需要從簡單的網絡構架中設計出服務性更強的網絡構架,并且不斷向應用型網絡構架轉變。因此,企業網絡構架的設計者在進行網絡構架設計時應該充分考慮企業的各種業務需求,以保證企業的網絡構架能夠滿足其長遠的發展,從而為企業提供更加方便的管理平臺,這也是企業網絡構架及安全部署設計的基本思想和原則。
2.2 企業網絡架構的實現
當網絡構架的基本設計完成后,就應該對設計的模型進行部署和實現,從而使得企業能夠更加實際地了解企業的網絡構架。
企業網絡構架實現的過程一般包括以下幾個方面:1)規劃企業的IP地址空間范圍;2)部署和實現企業核心層的網絡構架;3)在核心網絡構架的基礎上對下層的網絡構架進行設計。當然,企業的網絡構架的設計一般應該遵循規范性、標準性、連續性和靈活性等原則。
3企業網絡構架的故障分析及解決方案
3.1 網絡冗余雙機部署中的故障
現在,網絡設備雙機部署過程中,由于路由的配置等技術相對比較成熟,一般不會出現故障和問題。但是,其企業網絡構架中防火墻的雙機構架的設計和部署時,會出現很多疑難問題。目前,解決這些疑難問題的方法主要包括以下兩種:1)移除防火墻之間的交叉冗余鏈路,同時更改兩臺防火墻上相同路由開銷值,這樣可以保證在主防火墻出現故障后,其他防火墻可以安全使用。這種方案可以解決故障,但也存在一定的弊病,主要是指數據負載在主設備上,備用設備一般是出于閑置狀態,只有出現故障時才切換到備用設備機;2)采取措施將主防火墻的全部會話列表與備用設備同步,從而使備用設備保持與主設備的防火墻會話列表一致。即使出現數據訪問不一致的情況,主設備也不會導致數據發生故障,從而造成多個設備處于故障狀態。當然,防火墻會話同步的設計現在已經成為基于會話狀態防火墻的解決網絡冗余雙機部署中故障重要手段和措施。
3.2 網絡QOS保障
QOS保障是企業在進行網絡構架及安全部署的設計與實現的過程中,對特殊數據進行帶寬處理,以實現優先保證的一種有效途徑。但是,語音和視頻在網絡傳輸的過程中對帶寬的延時和抖動的要求比較高,因而需要考慮企業網絡分子結構廣域網帶寬的影響,然后根據流量分析,在帶寬能夠滿足一定要求的情況下,保證視頻和語音數據的傳輸更加順暢。當然,企業網絡架構及安全部署的設計和實現過程中,分支網絡構架中的語音和視頻數據需要經過各自的核心路由,這樣的企業網絡構架需要保障企業的語音和視頻在網絡分子上得到一定的保證。然而,在實際的網絡構架部署過程中,由于企業的業務不斷增加和網絡分支的不斷擴展,廣域網的數據量也增大,因此,采用QOS來對數據進行保障顯得至關重要。
3.3 網絡訪問安全控制
篇(2)
中圖分類號:TP311 文獻標識碼:A 文章編號:1674-7712 (2013) 04-0069-01
一、企業網絡安全防護信息管理系統的構建意義
據調查統計顯示,源于企業外部網絡入侵和攻擊僅占企業網絡安全問題的5%左右,網絡安全問題大部分發生在企業內部網絡,內部網絡也是網絡安全防護的關鍵部分。因此,對企業內部網絡信息資源的有效保護極為重要。傳統的網絡安全防護系統多數都是防止外部網絡對內部網絡進行入侵和攻擊,這種方式只是將企業內部網絡當作一個局域網進行安全防護,認為只要能夠有效控制進入內部網絡的入口,就可以保證整個網絡系統的安全,但是,這種網絡安全防護方案不能夠很好地解決企業內部網絡發生的惡意攻擊行為,只有不斷加強對企業內部網絡的安全控制,規范每個用戶的行為操作,并對網絡操作行為進行實時監控,才能夠真正解決企業內部網絡信息資源安全防護問題。
二、企業網絡安全防護信息管理系統總體設計
(一)內網安全防護模型設計。根據企業內部網絡安全防護的實際需求,本文提出企業網絡安全防護信息管理系統的安全防護模型,能夠對企業內部網絡的存在的安全隱患問題進行全面防護。
由圖1可知,企業網絡安全防護信息管理系統的安全防護模型從五個方面對企業內部網絡的信息資源進行全方位、立體式防護,組成了多層次、多結構的企業內部網絡安全防護體系,對企業內部網絡終端數據信息的竊取、攻擊等行為進行安全防范,從而保障了企業內部網絡信息資源的整體安全。
(二)系統功能設計。企業網絡安全防護信息管理系統功能主要包括六個方面:一是主機登陸控制,主要負責對登錄到系統的用戶身份進行驗證,確認用戶是否擁有合法身份;二是網絡訪問控制,負責對企業內部網絡所有用戶的網絡操作行為進行實時監控和監管,組織內網核心信息資源泄露;三是磁盤安全認證,負責對企業內部網絡的計算機終端接入情況進行合法驗證;四是磁盤讀寫控制,負責對企業內部網絡計算機終端傳輸等數據信息流向進行控制;五是系統自防護,負責保障安全防護系統不會隨意被用戶卸載刪除;六是安全審計,負責對企業內部網絡用戶的操作行為和過程進行實時審計。
(三)系統部署設計。本文提出的企業網絡安全防護信息管理系統設計方案采用基于C/S模式的三層體系架構,由安全防護、安全防護管理控制臺、安全防護服務器三部分共同構成,實時對企業內部網絡進行安全防護,保障內部網絡信息資源不會泄露。安全防護將企業內部網絡計算機終端狀態、動作信息等傳遞給安全防護服務器,安全防護管理控制臺發出指令,由安全防護服務器將指令傳送給安全防護完成執行。
三、企業網絡安全防護信息管理系統詳細設計
(一)安全管理控制臺設計。安全管理控制臺是為企業網絡安全防護信息管理系統的管理員提供服務的平臺,能夠提供一個界面友好、操作方便的人機交互界面。還可以將安全策略管理、安全日志查詢等操作轉換為執行命令,再傳遞給安全防護服務器,通過啟動安全防護對企業內部網絡計算機終端進行有效控制,制定完善的安全管理策略,完成對系統的日常安全管理工作。
安全管理人員登錄管理控制臺時,系統首先提示用戶輸入賬號和密碼,并將合法的USB Key數字認證設備插入主機,經過合法性驗證之后,管理員獲得對防護主機的控制權。為了對登錄系統用戶的操作嚴格控制,本系統采用用戶名和密碼登錄方式,結合USB Key數字認證方式,有效提高了系統安全登錄認證強度。用戶采取分級授權管理的方式,系統管理人員的日常維護過程可以自動生成日志記錄,由系統審計管理人員進行合法審計。
(二)安全防護服務器設計。安全防護服務器主要負責企業網絡安全防護信息管理系統數據信息都交互傳遞,作為一個信息中轉中心,安全防護服務器還承擔命令傳遞、數據處理等功能,其日常運行的穩定性和高效性直接影響到整個系統的運行情況。因此,安全防護服務器的設計不但要實現基本功能,還應該注重提高系統的可用性。
安全防護服務器的主要功能包括:負責將安全管理控制臺發出的安全控制信息、安全策略信息和安全信息查詢指令傳送給安全防護;將安全防護上傳到系統中的審計日志進行實時存儲,及時響應安全管理控制臺的相關命令;將安全防護下達的報警命令存儲轉發;實時監測安全管理控制臺的狀態,對其操作行為進行維護。
(三)安全防護設計。安全防護的主要功能包括:當安全防護建立新的網絡連接時,需要與安全防護服務器進行雙向安全認證。負責接收安全防護服務器發出的安全控制策略命令,包括用戶身份信息管理、磁盤信息管理和安全管理策略的修改等。當系統文件已經超過設定的文件長度,或者超過了設定的時間間隔,則由安全防護向安全防護服務器發送違規操作信息;當其與安全防護服務器無法成功建立連接時,將日志信息存儲在系統數據庫中,等待與網絡成功重新建立連接時,再將信息傳送到安全防護服務器中。
綜上所述,本文對企業內部網絡信息安全問題進行了深入研究,構建了企業內部網絡安全防護模型,提出了企業網絡安全防護信息管理系統設計方案,從多方面、多層次對企業內部網絡信息資源的安全進行全面防護,有效解決了企業內部網絡日常運行中容易出現的內部信息泄露、內部人員攻擊等問題。
篇(3)
doi:10.3969/j.issn.1673 - 0194.2016.12.037
[中圖分類號]TP393.02 [文獻標識碼]A [文章編號]1673-0194(2016)12-00-02
0 引 言
隨著Internet的發展,大型企業網絡從簡單的信息承載轉變成一個公共服務提供平臺,這就對企業網絡的穩定性要求越來越高。為了保證網絡的健壯、高效和穩定可靠,需要企業在對機房關鍵設備采用硬件備份、雙機冗余等技術的基礎上,采用相關的軟件技術提供較強的管理機制、控制手段,實現冗余和負載均衡。
1 硬件設備的冗余技術
硬件設備冗余分為關鍵設備和管理板卡冗余備份,關鍵設備有服務器、網絡設備及電源等重要設備,這些都采用一用兩備甚至三備的配置或雙機冗余。正常工作時,幾臺相同型號的關鍵設備同時工作,互為備用。一旦遇到停電或者機器故障,自動轉到正常設備上繼續運行,確保系統穩定可靠,避免造成業務中斷;而管理板卡冗余也就是網絡設備在運行過程中,如果主管理板出現故障不能正常運行,網絡設備將自動轉換到從管理板工作,從而保證網絡能夠正常運行,同時不丟失相應的配置數據,實現冗余功能。
2 協議冗余技術
2.1 MSTP協議技術
在大型企業網絡中往往存在多條鏈路,使用鏈路級冗余技術可以實現多條鏈路之間的備份,流量分擔和環路消除。為了避免二層鏈路環路,同時充分利用鏈路帶寬,在實際工作中,人們往往會選用IEEE 802.1s MSTP技術。MSTP(Multiple Spanning Tree Protocol)是一種新型的多生成樹協議。簡單來說,STP、RSTP都是單生成樹協議,基于交換機端口技術,在進行生產樹計算時,所有VLAN共享一棵生成樹,無法實現不同VLAN在多條鏈路Trunk上的負載均衡分擔。為了解決這些弊端,MSTP協議做了些優化,它是基于實例計算出多棵生成樹,實例間實現負載均衡分擔。MSTP根據域來計算生成樹,MST域由域名(Region)、修改級別和實例(Instance)組成,只有MST域配置標識三者都相同的互聯設備的才認為在同一個域中,并進行生成樹計算。運用域名把一個網絡分成多個域。每個域名是不一致的,用MAC地址來區分。在域內,形成多棵內部生成樹(IST),生成樹之間相互獨立;在域外,形成公共生成樹(CSI);在域間,MSTP利用公共內部生成樹(CIST)將環路網絡修剪成為一個無環的樹形網絡,避免報文在環路網絡中的增生和無限循環,同時還提供了數據轉發的多個冗余路徑,在數據轉發過程中實現VLAN數據的負載均衡。而“實例(Instance)”是VLAN映射的集合,一個或多個VLAN劃分為一個Instance,通過多個VLAN捆綁到一個Instance中去的方法可以減少資源占用率和通信開銷。MSTP的各個Instance拓撲的生存樹計算是相互獨立的,在這些Instance上就可以實現均流量分擔。正常工作時,MSTP可以把多個相同拓撲結構的VLAN映射到某一個Instance中,這些VLAN在端口上的轉發狀態將取決于對應實例在MSTP里的轉發狀態。因此,MSTP既可以消除二層鏈路環路,又可以實現負責均衡,從而提高網絡的穩定可靠性。
2.2 VRRP協議技術
利用MSTP可以實現鏈路冗余和不同VLAN在多條鏈路Trunk上的流量負載均衡分擔,但網絡中還存在單點失效隱患,那就是每個VLAN只有一臺默認網關,一旦網關發生故障,用戶就無法訪問其他網絡。為解決這一問題,在網關級可以利用VRRP協議,虛擬路由器冗余協議(Virtual Router Redundancy Protlcol,VRRP)是一種容錯協議,也可以叫做備份路由協議。一個局域網絡內的所有主機都設置缺省路由,當網內主機發出的目的地址不在本網段時,報文將被通過缺省路由發往外部路由器,從而實現了主機與外部網絡的通信。當缺省路由器down掉(即端口關閉)之后,內部主機將無法與外部通信,如果路由器設置了VRRP時,那么這時,虛擬路由將啟用備份路由器,從而實現全網通信。
3 企業網絡的冗余設計及實現方法
3.1 任務需求與分析
圖1是A企業網的一個典型部分,可表示整個企業中的某個子網或企業的部門網絡。由于該公司的業務不斷增多,業務操作對網絡的依賴性也相對較大,如果采用單核的網絡架構,核心設備一旦癱瘓,將對公司的業務造成極大的影響。因此,為增加網絡的健壯性和可靠性,可以采用雙核心架構,配置協議冗余策,充分考慮設備、鏈路和網關級的備份技術,扎實保證A公司網絡高效穩定運行。具體拓撲圖說明如下。
圖1 A公司的網絡冗余拓撲
(1)根據A公司的需求,首先選擇了SW1和SW2兩臺三層交換機作為核心層設備,采用VRRP技術使兩臺交換機相互備份,避免因設備及故障而造成的網絡中斷,從而提高網絡的可靠性和穩定性。SW3是網絡中的接入層設備,主要為各個VLAN用戶提供服務,銷售部為VLAN 2,財務部為VLAN 3,市場部為VLAN 4,技術部為VLAN 5。
(2)SW1、SW2和SW3設備互聯后,為避免鏈路環路,實現冗余鏈路的負載均衡,選用MSTP+VRRP技術實現A公司網絡的鏈路級備份和網關級冗余。
(3)在交換機SW1、SW2、SW3上配置MSTP消除二層環路,SW1與SW2配置VRRP實現主機網關冗余。正常情況下,在二層設備接入的銷售部VLAN 2與財務部VLAN 3數據流經過三層交換機SW1向路由器轉發;市場部VLAN 4與技術部VLAN 5數據流經過三層交換機SW2向路由器轉發,當SW1的鏈路發生故障時,VLAN 2和VLAN 3主機的數據流切換到SW2向路由器轉發,故障恢復之后,主機的數據流又能夠切換回去,同樣當SW2鏈路發生故障時,VLAN 4與VLAN 5數據也能切換到SW1轉發。
(4)SW1、SW2、SW3交換機上設置2個實例對應關系,VLAN 2、VLAN 3對應實例2,VLAN 4、VLAN 5對應實例3。
3.2 任務實施
(1)SW1主要配置如下:
創建VLAN: VLAN2、VLAN3、VLAN4、VLAN 5
配置MSTP
SW1(config)#spanning-tree mode mstp //開啟MSTP生成樹協議
SW1(config)# spanning-tree mst configuration //進入VLAN綁定
SW1(config-mst)# instance 2 vlan 2 ,3 //配置實例2對應VLAN 2、3,mstp域其他兩個參數,域名和域修正號采用默認值
SW1(config-mst)# instance 3 vlan 4 ,5 //配置實例3對應VLAN 4、5
配置vrrp
SW1(config)#spanning-tree mst 2 priority 0 //設置捆綁1的優先級
SW1(config)#spanning-tree mst 3 priority 8196
SW1(config)#interface vlan 2
SW1(config-if)#ip address 192.168.2.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.2.254 //配置組10的虛擬網關IP地址
SW1(config-if)#vrrp 10 priority //配置該接口優先級為254,確定該設備的接口為master
SW1(config)#interface vlan 3
SW1(config-if)#ip address 192.168.3.1 255.255.255.0
SW1(config-if)#vrrp 10 ip 192.168.3.254 //配置組10的虛擬網關IP地址
SW1(config-if)#vrrp 10 priority 254 //配置該接口優先級為254,確定該設備的接口為master
SW1(config)#interface vlan 4
SW1(config-if)#ip address 192.168.4.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.4.254//配置組20的虛擬網關IP地址,沒有配置該接口優先級,采用默認值為100,確定該設備為backup
SW1(config)#interface vlan 5
SW1(config-if)#ip address 192.168.5.1 255.255.255.0
SW1(config-if)#vrrp 20 ip 192.168.5.254//配置組20的虛擬網關IP地址,沒有配置該接口優先級,采用默認值為100,確定該設備為backup。
(2)SW2主要配置與SW1的配置思路基本一致,MSTP和VRRP配置類似,不再敘述。
(3)SW3主要配置
①創建VLAN并把相應的端口劃分到相應的VLAN;②配置MSTP:與SW1配置類似,簡要配置如下。
SW3(config-mst)# instance 2 vlan 2 ,3 //配置實例2對應VLAN 2、3,MSTP域其他兩個參數,域名和域修正號采用默認值
SW3(config-mst)# instance 2 vlan 4 ,5 //配置實例2對應VLAN 4、5
5 結 語
隨著各個企業規模的不斷增大,對網絡的可靠性和安全性要求越來越高,基于MSTP+VRRP的雙核心技術也在各行各業的網絡中應用極為廣泛。該雙核技術能夠實現網絡擴容以及網絡的硬件設備冗余和協議冗余及流量分擔,解決冗余和負載均衡的問題,從而提高了整個網絡可用性和穩定性。
主要參考文獻
[1]鄧澤國,孫紹志,楊顯青.企業網搭建及應用寶典[M].北京:電子工業出版社,2012.
[2]張裕生,陳建軍.企業網絡搭建及應用[M].北京:高等教育出版社,2010.
篇(4)
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0207-02
1 企業內部網絡的安全現狀
傳統的企業網絡安全防范主要都是對網絡病毒、系統漏洞、入侵檢測等方面加以設置,安全措施和相關配置通常都在網絡與外部進行連接的端口處加以實施,采取這樣的網絡安全防范雖然能夠降低外部網絡帶來的安全威脅,但卻忽視了企業內部網絡潛在的安全問題。
目前,企業內部網絡的安全問題的嚴重程度已經遠遠超過了外部網絡帶來的安全威脅,企業內部網絡的安全威脅成為了企業信息安全面臨的重大難題。但是,由于企業管理人員的網絡安全防范意識不強,對于企業內部網絡的安全問題不夠重視,甚至沒有對企業內部網絡采取任何安全防范措施,因此導致了企業內部網絡安全事故不斷增加,給企業帶來了重大經濟損失和社會負面影響,怎樣能夠保證企業內部網絡不受到任何威脅和侵害,已經成為了企業在信息化發展建設過程中亟待解決的問題。
2 企業內部網絡的安全威脅
隨著計算機技術和網絡技術的飛速發展,企業內部網絡是其信息化建設過程中必不可少的一部分。而且,網絡應用程序的不斷增多也使得企業網絡正在面臨著各種各樣的安全威脅。
2.1內部網絡脆弱
企業內部網絡遭到攻擊通常是利用企業內部網絡安全防范的漏洞實現的,而且,由于部分網絡管理人員對于企業內部網絡安全防范不夠重視,使得大部分的計算機終端都面臨著嚴重的系統漏洞問題,隨著內部網絡中應用程序數量的日益增加,也給計算機終端帶來了更多的系統漏洞問題。
2.2用戶權限不同
企業內部網絡的每個用戶都擁有不同的使用權限,因此,對用戶權限的統一控制和管理非常難以實現,不同的應用程序都會遭到用戶密碼的破譯和非法越權操作。部分企業的信息安全部門對于內部網絡的服務器管理不到位,更容易給網絡黑客留下可乘之機。
2.3信息分散
由于部分企業內部網絡的數據存儲分布在不同的計算機終端中,沒有將這些信息統一存儲到服務器中,又缺乏嚴格有效的監督控制管理辦法。甚至為了方便日常辦公,對于數據往往不加密就在內部網絡中隨意傳輸,這就給竊取信息的人員制造了大量的攻擊機會。
3 企業內部網絡安全防范設計方案
3.1網絡安全防范總體設計
即使企業內部網絡綜合使用了入侵檢測系統、漏洞掃描系統等防護手段,也很難保證企業內部網絡之間數據通信的絕對安全。因此,在本文設計的企業內部網絡安全防范方案中,部署了硬件加密機的應用,能夠保證對企業內部網絡中的所有數據通信進行加密處理,從而加強企業內部網絡的安全保護。
3.2網絡安全體系模型構建
企業內部網絡安全體系屬于水平與垂直分層實現的,水平層面上包括了安全管理、安全技術、安全策略和安全產品,它們之間是通過支配和被支配的模式實現使用的;垂直層面上的安全制度是負責對水平層面上的行為進行安全規范。一個企業內部網絡安全體系如果想保持一致性,必須包括用戶授權管理、用戶身份認證、數據信息保密和實時監控審計這四個方面。這四個方面的管理功能是共同作用于同一個平臺之上的,從而構建成一個安全可靠、實時可控的企業內部網絡。
1)用戶身份認證
用戶身份認證是保證企業內部網絡安全穩定運行的基礎,企業內部網絡中的用戶身份認證包括了服務器用戶、網絡設備用戶、網絡資源用戶、客戶端用戶等等,而且,由于網絡客戶端用戶數量龐大,存在著更多的不安全、不確定性,因此,對于網絡客戶端用戶的身份認證至關重要。
2)用戶授權管理
用戶授權管理是以用戶身份認證作為基礎的,主要是對用戶使用企業內部網絡的數據資源時進行授權,每個用戶都對應著不用的權限,權限代表著能夠對企業內部網絡中的某些資源進行訪問和使用,包括服務器數據資源的使用權限、網絡數據資源使用權限和網絡存儲設備資源使用權限等等。
3)數據信息保密
數據信息保密作為企業內部網絡中信息安全的核心部分,需要對企業內部網絡中進行數據通信的所有數據進行安全管理,保證數據通信能夠在企業內部網絡中處于一個安全環境下進行,從而保證對企業內部網絡信息和知識產權信息的有效保護。
4)實時監控審計
實時監控審計作為企業內部網絡中必不可少的部分,主要實現的是對企業內部網絡的安全的實時監控,定期生成企業內部網絡安全評估報告,一旦企業內部網絡出現安全問題時,能夠及時匯總數據,為安全事故的分析判斷提供有效依據。
4結論
目前,關于企業內部網絡的安全防范問題一直是網絡信息安全領域研究的熱點問題,越來越多的企業將辦公系統應用于企業內部網絡中,但是由于企業工作人員的安全防范意識不強,或者網絡操作不規范,都給企業內部網絡帶來了更多的安全威脅。本文提出的企業內部網絡安全防范設計方案,能夠有效解決多種內部網絡的安全問題,具有一定的實踐應用價值。
篇(5)
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2013)14-0083-01
隨著企業網絡不斷的擴展和互聯網技術的不斷更新,各大中企業越來越多的通過網絡來發展業務。由于大中企業的發展規模不斷擴大,員工人數的不斷增加,并且擴展了越來越多的分公司。現有的企業網絡系統逐漸不能滿足企業信息化建設在安全性和可靠性等方面的要求。因此,對大中型企業網絡進行改善,以提高網絡的可用性、安全性、可靠性、穩定性,并具有一定的可擴展性要求,用來滿足企業業務發展的需求是十分必要的。通過按照企業網絡的建設規劃和總體要求,主要通過利用原有綜合布線系統和設備的基礎上,重新規劃實施,建設安全性高的企業內聯網,以滿足網絡整體性能的要求,并為各種網絡服務和信息系統的使用提供運行良好的網絡平臺。
1 企業網安全建設需求分析
按照目前大中企業網絡建設規劃和總體要求,將對企業網絡設備進行相關的配置和實施,使企業網絡滿足設計的要求,實現高效的企業網絡的辦公網絡系統。將網絡按照層次的要求滿足發展中公司信息化的要求,并具有一定的可擴展性。同時,滿足企業分公司和總公司的信息傳輸和資源共享的要求及員工增長的要求。主要進行如下需求分析。
①網絡部分的總體設計需求。企業網絡大都是通過路由器設備連接成一個統一的企業內聯網,滿足公司對網絡統一管理的要求。本方案計劃使用OSPF開放最短路徑優先協議和BGP協議分別作為內部和外部路由協議。選用OSPF的好處在于OSPF作為鏈路狀態協議已成為業界標準,并且具有行業內的各大廠商的支持基礎,該協議的優點還具有路由信息傳輸的可控性,還能充分保證鏈路的負載均衡。在總體需求中,企業網絡在結構上主要按網絡層次進行分層設計,主要分為三層,分別為核心層,匯聚層和接入層,接入層交換機全部冗余上行鏈路,分別上聯到匯聚層交換機,這個既保證了企業網絡的安全性和可靠性,同時又實現了企業虛擬局域網的統一配置管理和企業網絡環路避免。
②系統部分的總體設計需求。通過對企業網絡的服務器及客戶機進行安全方面的設計,以提高網絡的安全性,而且公司的服務器等可以在總公司實現,分公司只使用總公司提供的應用服務,不需要自己建設。
③安全部分的總體設計需求。根據企業網的運行規律和安全現狀,在企業網絡中應用熱備份路由協議對交換及路由設備進行備份。即保證了企業網的信息處理和傳輸系統安全,它側重于保證企業網絡系統正常運行,有效避免了企業網絡系統的崩潰對企業信息的處理和資源共享造成大的故障。同時在企業網絡的系統信息安全方面還通過域環境管理企業的資源訪問,通過設置用戶安全問題跟蹤,計算機病毒防治,數據加密等避免有害的信息傳播后造成的后果。同時為了避免企業網絡上大量的機密信息失控,設計時,需要在企業網絡的出口處設計防火墻技術,從而使出入企業網絡的數據流量都必須經過防火墻的過濾,通過利用防火墻技術對企業網絡數據包進行安全過濾,并實現安全訪問控制。
④整體規劃指導思想。企業網絡建設將采用思科公司的網絡設備和先進的計算機及軟件,以及先進的管理模式,實現一個高效的企業網絡的辦公網絡體系。企業網絡的各類服務器以及各種操作系統和應用軟件必須考慮技術上的先進性和通用性,并且要有良好的售后技術,而且需要方便維護和升級。
⑤方案實施主要依據原則。方案設計實施依照國家及行業有關標準完成。企業網絡安全設計應滿足企業未來發展的要求,具有充分的可擴展的能力,隨著公司規模的擴大,本設計方案仍然能夠滿足公司運營的需求或變更和升級。而且項目設計應遵循實用的原則,并且提供良好的培訓及售后服務。
2 安全方案設計
按照企業網絡的總體建設規劃和總體要求,現在將對企業網絡新購的和原有的思科公司的設備進行相關的配置和實施,使公司網絡滿足設計的要求,實現高效的辦公網絡體系。將網絡復雜化進行分層化的處理,滿足大中企業發展的信息化的要求,并具有一定的可擴展性,同時滿足企業分公司和總公司的規模增長的要求。
企業網絡安全方案設計階段主要分為以下幾個部分,分別是交換機部分的設計,路由器部分設計,服務器部分設計,廣域網部分設計和網絡安全性部分設計。
①交換部分的設計。當企業網絡的規模擴大,交換機數量增多時,可以減少管理員的工作量,在維護整個企業網絡上VLAN的添加,刪除和重命名工作時,還可以確保配置的一致性。從而降低了為止的復雜度,大大減輕了網絡管理人員的工作負擔,同時提高了安全性。
②MSTP多生成樹的設計。企業網絡的擁塞問題也會造成網絡的效率大大的降低,通過多生成樹協議可以避免網絡廣播的形成,多生成樹協議的原理是把網絡拓撲的環形結構變成樹型結構,最主要的應用是為了避免企業網絡中的網絡環路,解決以太網網絡的廣播風暴問題,主要配置命令如下所示:
SW3-1(config)#spanning-tree vlan 10 root priority
③以太網通道的設計。以太網通道通過捆綁多條以太鏈路來提高鏈路帶寬,并運行一種機制,將多個以太網端口捆綁成一條邏輯鏈路,主要配置命令如下:
channel-group 1 mode on
④熱備份路由協議設計。企業網絡的多臺匯聚層交換機或路由器上啟用熱備份路由協議HSRP,其設計目標是支持特定情況下,當某一設備出現故障時,企業網絡數據流量可以從故障設備切換到正常的設備上,并允許設備作為企業網絡的網關,可以實現當實際第一條路由嘗試失敗的狀態下,仍能保持整個企業網絡的連通,主要命令如下:
SW3-1(config-if)#standby 10 IP IP-address
SW3-1(config-if)#standby 10 priority 120
⑤VPN專線技術設計。虛擬專用網在有總部和分公司的企業是十分有效的安全解決方案,VPN主要是通過一個公用網絡建立一個安全隧道連接,它能夠實現在公用網絡中產生一條安全、穩定的隧道。虛擬專用網是對企業內部網的擴展,通過虛擬專用網可以實現在企業外部的用戶、分支機構、商業伙伴及供應商安全有效的與公司內部網建立可靠的安全訪問連接,同時保證了數據的安全傳輸。
⑥網絡防火墻安全性設計。防火墻位于企業網絡的總公司與外網之間。企業的所有計算機流入流出的所有網絡通信均要經過此防火墻。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。一個防火墻作為阻塞點、控制點能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,網絡環境變得更安全。所以,在企業網絡方案中選擇的防火墻是CISCOASA5520-BUN-K9,能更保證我們組建的網絡更安全更可靠。
3 結 語
通過設計網絡安全方案可以實現大中型企業網絡的高效、安全和可靠性的正常運轉,在基于思科公司的網絡設備的基礎上,利用各種交換技術和路由技術等構建適合大中型企業網絡的安全解決方案設計,為企業網絡的安全高效的運行提供良好的條件,當然隨著網絡技術的不斷更新,還需要不斷進行企業網絡安全方面的設計。
篇(6)
隨著互聯網技術的發展,在企業中運用計算機網絡進行各項工作更加的深入和普及,通過企業網絡向師生提供高效、優質、規范、透明和全方位的信息服務,沖破了人與人之間在時間和空間分隔的制約,越來越被更多的人們所接受和應用。然而由于企業網絡自身的特點,使安全問題在企業網絡的運行與管理中格外突出,研究構建、完善基于企業網的信息安全體系,對企業網安全問題的解決具有重要意義。
一、企業網絡安全風險狀況概述
企業網絡是在企業范圍內,在一定的思想和理論指導下,為企業提供資源共享、信息交流和協同工作的計算機網絡。隨著我國各地企業網數量的迅速增加,如何實現企業網之間資源共享、信息交流和協同工作以及保證企業網絡安全的要求是越來越強烈。與其它網絡一樣,企業網也同樣面臨著各種各樣的網絡安全問題。但是在企業網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在”重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,企業網絡在企業的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證企業網絡能正常的運行不受各種網絡黑客的侵害就成為各個企業不可回避的一個緊迫問題,解決網絡安全問題刻不容緩,并且逐漸引起了各方面的重視。
由于Internet上存在各種各樣不可預知的風險,網絡入侵者可以通過多種方式攻擊內部網絡。此外,由于企業網用戶網絡安全尚欠缺,很少考慮實際存在的風險和低效率,很少學習防范病毒、漏洞修復、密碼管理、信息保密的必備知識以及防止人為破壞系統和篡改敏感數據的有關技術。
因此,在設計時有必要將公開服務器和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對網絡通訊進行有效的過濾,使必要的服務請求到達主機,對不必要的訪問請求加以拒絕。
二、企業網絡安全體系結構的設計與構建
網絡安全系統的構建實際上是入侵者與反入侵者之間的持久的對抗過程。網絡安全體系不是一勞永逸地能夠防范任何攻擊的完美系統。人們力圖建立的是一個網絡安全的動態防護體系,是動態加靜態的防御,是被動加主動的防御甚至抗擊,是管理加技術的完整安全觀念。但企業網絡安全問題不是在網絡中加一個防火墻就能解決的問題,需要有一個科學、系統、全面的網絡安全結構體系。
(一)企業網絡安全系統設計目標
企業網絡系統安全設計的目標是使在企業網絡中信息的采集、存儲、處理、傳播和運用過程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保護的一種狀態。在網絡上傳遞的信息沒有被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辨識、控制,網絡信息的保密性、完整性、可用性、可控性得到良好保護的狀態。
(二) 企業網防火墻的部署
1.安全策略。所有的數據包都必須經過防火墻;只有被允許的數據包才能通過防火墻;防火墻本身要有預防入侵的功能;默認禁止所有的服務,除非是必須的服務才被允許。
2.系統設計。在互聯網與企業網內網之間部署了一臺硬件防火墻,在內外網之間建立一道安全屏障。其中WEB、E一mail、FTP等服務器放置在防火墻的DMZ區(即“非軍事區”,是為不信任系統提供服務的孤立網段,它阻止內網和外網直接通信以保證內網安全),與內網和外網間進行隔離,內網口連接企業網,外網口通過電信網絡與互聯網連接。
3.入侵檢測系統的設計和部署。入侵檢測系統主要檢測對網絡系統各主要運營環節的實時入侵,在企業網網絡與互聯網之間設置瑞星RIDS一100入侵檢測系統,與防火墻并行的接入網絡中,監測來自互聯網、企業網內部的攻擊行為。發現入侵行為時,及時通知防火墻阻斷攻擊源。
4.企業網絡安全體系實施階段。第一階段:基本安全需求。第一階段的目標是利用已有的技術,首先滿足企業網最迫切的安全需求,所涉及到的安全內容有:
①滿足設備物理安全
②VLAN與IP地址的規劃與實施
③制定相關安全策略
④內外網隔離與訪問控制
⑤內網自身病毒防護
⑥系統自身安全
⑦相關制度的完善
第二階段:較高的安全需求。這一階段的目標是在完成第一階段安全需求的前提下,全面實現整個企業網絡的安全需求。所涉及的安全內容有:
①入侵檢測與保護
②身份認證與安全審計
③流量控制
④內外網病毒防護與控制
⑤動態調整安全策略
第三階段:后續動態的安全系統調整與完善。相關安全策略的調整與完善以及數據備份與災難恢復等。
在上述分析、比較基礎上,我們利用現有的各種網絡安全技術,結合企業網的特點,依據設計、構建的企業網絡安全體系,成功構建了如圖4-1的企業網絡安全解決方案,對本研究設計、構建的企業網絡安全體系的實踐應用具有重要的指導意義。
篇(7)
1.1定位不清晰、不準確
對于企業而言,網絡營銷的基本職能表現在八個方面:網絡品牌、網站推廣、信息、銷售促進、網上銷售、顧客服務、顧客關系、網上調研。大多數企業不可能實現全部的八項基本職能,因此對于不同的企業,由于其產品類型不同、企業面向的目標消費群體不同、企業對互聯網的應用程度不同等因素,在實現網絡營銷的八項基本職能方面其側重點也一定會有所不同。但是大多數中小企業在開展網絡營銷時簡單地把網絡營銷理解為網上銷售,甚至許多中小企業認為建一個企業網站,放上企業簡介和簡單的產品介紹就是開展網絡營銷。而且許多企業在開展網絡營銷時沒有進行品牌定位,沒有形成自己的網絡品牌形象、缺乏品牌識別度,造成企業網站千企一面,企業博客或微博沒有形成自己的寫作風格。
1.2缺乏專業性
中小企業很難招聘到專業的網絡營銷人才,由于網絡營銷人才的缺乏造成了中小企業在開展網絡營銷時從企業網站建設到網站推廣、博客營銷、郵件營銷、微博營銷、微信營銷都缺乏專業性。表現在:企業網站沒有企業Logo,網站首頁沒有能體現企業文化或企業品牌形象的口號,網站欄目設置不合理,企業網站提供給用戶的信息過少,沒有進行網站搜索引擎優化;企業在進行搜索引擎營銷時沒有選擇合適的搜索引擎,沒有選擇合理的關鍵詞,在搜索結果中顯示的企業信息缺乏吸引力,甚至有的企業根本沒有進行相應的meta標簽的設置;很多企業直接把企業網站內容復制到企業博客中來開展博客營銷,企業博客與網站內容過多重復,無法滿足用戶不同層面的信息需求;郵件營銷不顯示發件人信息,不設置標題或不設置能提高用戶開信率的標題,正文格式不規范,正文中的鏈接無法打開;微博、微信營銷缺乏原創信息,大量采用轉發內容,缺乏與客戶的有效互動,沒有形成高質量的粉絲群等。
1.3缺乏整合性
網絡營銷是一項系統工程,企業應該以系統論為指導對各項網絡營銷活動和資源進行整合和優化。但許多中小企業要么把網絡營銷簡單地理解為網上銷售或企業網站建設,要么雖然利用多種網絡營銷工具開展了多種網絡營銷活動,但各種網絡營銷活動之間缺乏相互聯系與關聯。表現在:企業網站、企業在第三方平臺上的企業黃頁、企業博客在內容、功能上沒有區別;企業網站上沒有建立企業博客、企業微博、企業微信以及企業在第三方平臺上的商鋪的相關信息;企業博客、微博、微信等平臺上也沒有提供企業網站的相關鏈接;各平臺上的營銷活動相互之間沒有關聯,無法在互聯網環境形成造勢,也無法在網絡上建立起統一的企業品牌形象。
1.4缺乏持續性
網絡營銷是一項長期性工作,只有經過長期持續有規劃的運作才可能看到營銷效果。一些中小企業的網絡營銷是企業業主一時頭腦發熱的產物,而一些中小企業的網絡營銷則由于企業業主的急功近利,在短期內一時看不到明顯的營銷效果,繼而進入停滯狀態。表現在:企業網站建設好以后,幾個月甚至幾年都沒有更新;企業博客、微博、微信內容沒有更新或缺乏與用戶的及時互動;企業郵件內容沒有延續性,郵件發送缺乏周期性。
1.5缺乏創新與創意
互聯網無時無刻不在創新,企業也要在不斷變化的市場情況下快速的去適應、去調整,才能在網絡營銷的大潮中確立企業自身的競爭優勢。網絡經濟其實就是眼球經濟,企業必須想辦法抓住消費者的眼球才可能取得好的網絡營銷的效果。中小企業在開展網絡營銷時簡單地把傳統的營銷方式搬到網絡上開展,缺乏對網絡營銷工具的熟練掌握,更談不上網絡營銷形式和內容的創新與創意。表現在:企業網站、博客等設計風格缺乏獨特性;企業博客、微博、微信、郵件等內容缺乏創意;企業營銷活動缺乏創意;缺乏對網絡營銷工具的創新創意的應用等。
2、中小企業網絡營銷策略
2.1從戰略的高度確立網絡營銷在企業營銷中的地位,準確定位企業網絡品牌形象
對于中小企業而言,無論網絡營銷還是傳統營銷,其目的都是一致的,那就是將產品或服務銷售給客戶。因此網絡營銷與傳統營銷之間并沒有沖突,網絡營銷只不過是企業利用互聯網技術把傳統營銷中實現的樹立品牌形象、提供服務、客戶關系、銷售促進等功能放到網絡平臺上來實現。中小企業應該結合自身的產品類型以及目標消費者群體進行網絡營銷目標定位,利用有限的人力物力有所側重地實現網絡營銷的職能,開展網絡營銷。同時,為了使消費者在網絡空間中識別企業的產品或服務,并使之與競爭對手的產品和服務相區別,中小企業必須進行準確的網絡品牌形象定位,塑造良好的企業網絡形象。企業網絡形象的建立包括兩個方面:一方面是建立一整套的品牌含義,一方面是視覺形象。企業的品牌含義可以與企業在傳統營銷領域內的品牌含義相一致,包括這個品牌的名稱、名詞、標記、符號或設計,或是它們的組合。企業網絡視覺形象主要體現在建立統一的網絡視覺識別系統,通過視覺設計準確表達出企業的文化理念。企業網絡視覺形象設計不但包括企業網站的視覺設計,還包括企業在所有網絡平臺上的圖片、文字、動畫和影像視頻,以及它們的編排結構和交互方式等。在表現風格上應該形成一種認知識別,即形成一個具有鮮明特征又風格統一的網絡形象。
2.2重視專業人才的引進與培養,提升網絡營銷的專業性
由于規模和體制問題,很多中小企業不愿意專門設立一個部門來實現網絡營銷,而是把網絡營銷外包給服務商來做。如果依賴外包來做網絡營銷,很容易造成網絡營銷難以與企業整體營銷相融合,而且也很難持續地開展網絡營銷。中小企業必須通過人才引進與人才培養相結合的方式,加強企業網絡營銷人才隊伍的建設。由于高校人才培養與企業網絡營銷崗位人才知識技能需求相脫節,企業很難從高校畢業生中招聘到符合企業需求的網絡營銷人才。而企業自身市場營銷人員又大多數并不掌握互聯網技術,很難運用網絡開展網絡營銷。因此,企業一方面可以從高校招聘畢業生,對這些畢業生進行崗前培訓,讓他們對企業文化、企業產品、企業客戶、企業品牌都有所了解,早日融入企業,熟悉崗位工作,開展網絡營銷。另一方面,對于企業中的市場營銷人員,也要常常為他們提供培訓機會,讓他們掌握互聯網技術,使他們具備相應的互聯網技術應用能力和網絡媒體的應用能力。另外,無論是網絡營銷人員還是市場營銷人員,都應該向他們不斷普及和傳達日新月異的互聯網新技術和新的市場動態,并在適當時間對員工進行專門培訓,以增強網絡營銷人員對網絡動態的感知和網絡平臺上新技術的應用,從而保證企業網絡營銷團隊對網絡上市場變化的適應能力。
2.3整合網絡營銷,優化企業網絡營銷資源的利用
中小企業應該利用網絡整合營銷進行統一的產品、品牌規劃,將產品規劃、網站建設、品牌推廣、產品推廣等一系列網絡營銷內容集成于一體,通過企業網站、搜索引擎、視頻分享、B2B平臺、門戶媒體、分類信息平臺、垂直行業論壇、博客推廣、知名百科等信息,在整個互聯網環境下用統一的形象,同一個聲音與消費者之間開展富有意義的、個性化的對話,建立、維護和傳播品牌,以及加強客戶關系,從而營造網上經營環境,提升企業品牌形象、促進整體銷量、解決線下銷售瓶頸、完善客服體系。
2.4注重創新與創意
網絡營銷創新不僅僅只是簡單地將傳統營銷方式網絡化,而是要利用網絡技術進行網絡營銷方式、形式、內容的創意,實現企業營銷活動與消費者雙向的有效溝通,建立起有別于傳統的新型的主動性關系,提升營銷工作的準確性與效率。要實現這樣的創新與創意,企業必須在互聯網、大數據、云計算等科技不斷發展的背景下,對市場、用戶、產品、企業價值鏈乃至整個商業生態進行重新審視和思考。首先,企業必須牢牢樹立“以用戶為中心”的思想,必須從整個價值鏈的各個環節建立起“以用戶為中心”的企業文化。其次,企業應該抓住以草根為主體的市場,充分利用草根文化進行網絡營銷創意;第三,增強用戶參與感,讓用戶參與品牌傳播和產品的設計,通過用戶實現網絡營銷創意;第四,注重用戶體驗,從細節上讓用戶感知企業的用心,實現產品設計與產品體驗的創意;第五,利用現有互聯網技術和平臺開展全網營銷,實現網絡營銷技術應用的創意。
2.5建立行之有效的網絡營銷效果評價體系,重視網絡營銷效果
在網絡營銷活動中,對網絡營銷效果進行評價是一項必不可少的工作。企業對網絡營銷效果的評價包括對各種網絡營銷方法的效果評價,企業網絡營銷各階段的評價,企業網絡營銷整體效果的評價。企業通過量化和非量化的方法對網絡營銷效果進行評價,可以對網絡營銷方法的有效性進行評估,選擇最優的網絡營銷方法的組合,將有限的資金投入到最能產出效益的地方;對企業某一階段的網絡營銷效果的評估,為企業制定下一階段的網絡營銷策略提供依據;對企業網絡營銷整體效果進行評價,把握網絡營銷在企業整體營銷戰略中的地位,站在企業整體營銷戰略的高度對網絡營銷策略進行調整。
篇(8)
1構建穩定可靠的企業網的目的和意義
現代企業,無論規模大小,建設不同要求的企業網對大多數企業而言是必須的。即便是一個最小規模的工作室,最簡單的局域網都能給用戶帶來資源共享(文件共享)的便利和費用的節省(比如共享上網)。
隨著企業規模的擴大,企業網是各信息應用系統正常運行的基礎,企業網帶給用戶的就不僅僅只有資源共享及節約費用了,而是能和運行在其上的信息應用系統共同帶給用戶新的生產力。運行在企業網之上的信息應用系統涉及企業管理、生產的各個方面,能極大提高企業效率。因此,企業網的建設已是規模企業的必然選擇;同時,企業網的穩定可靠也成為企業網建設中最重要的追求。
本文后面闡述的思想及技術實現適用于1 000人左右的企業用于構建穩定可靠的企業網。本文對網絡建設中的常規思路及通用做法著墨不多,以介紹經驗為主;重點介紹冗余技術的設計與實現。如果讀者的業對網絡的要求較低或從降低成本考慮,可適當降低冗余配置程度,比如核心與各匯聚局域網以單鏈路連接、單因特網寬帶接入等,但這樣做的后果就是可靠性大大降低。本文的思路與技術實現已經在實例網絡中得到體現。
2構建穩定可靠企業網的幾個要點
2.1穩定可靠的網絡結構
確立網絡結構時,除了要考慮可擴展性、可管理性等方面外,更應看重穩定性、可靠性方面的設計。
首先確定網絡拓撲結構。各種拓撲結構各有優缺點也各有針對性,如果沒有特殊需求,一般建議選擇星型拓撲結構,因為這種拓撲結構有結構簡單、容易實現、便于管理及故障點容易檢測和排除。此結構是目前構建中小型企業網的主流結構。但是星型結構在可靠性方面有個大缺陷,就是中心節點的故障會導致網絡癱瘓。對此缺陷,必須采取必要措施加以彌補,這個措施就是中心節點的冗余配置。企業網的中心節點一般是核心交換機。中心節點的冗余配置不是指設置2個中心,而是指加強作為中心節點的核心交換機的配置,使得中心節點非常可靠,不容易失敗。
接著,確定網絡的層次結構。清晰合理的層次結構也有利于網絡的穩定可靠。網絡具有層次結構,既有利于后期的管理,也有利于故障的隔離。在實例中,把網絡劃分成了三個層次:核心層、匯聚層、接入層。接入層直接為終端提供接入;匯聚層終結VLAN;核心層以轉發各局域網網間流量為主。
然后,確定同城不同區域局域網的互聯方法。這部分可根據企業應用系統的要求,同時根據成本花銷情況(畢竟租用電信運行商線路是很昂貴的),選擇適合自己企業的互聯方法。可以租用數據專線,也可通過因特網以VPN的方式互聯。本例中,采取的是數據專線做互聯主鏈路,VPN做備用鏈路。
圖1就是按照上述思路強化了結構的網絡實例拓撲圖。針對星型結構的缺陷,中心節點由2臺核心交換機組成。核心交換機與各局域網都以雙鏈路連接,因特網寬帶也采取雙鏈路接入。
圖1結構加強過的實例網絡拓撲圖
2.2IP規劃及路由策略
IP規劃及路由策略問題往往容易被中小型企業網設計者輕視,但等網絡建成了,才會發現由于前期缺少策劃導致后面的工作很繁瑣。
由于中型企業內部網段比較多,如果仍然像在小型企業網那樣在私有網段內隨意指定IP地址段,往往會導致后期的路由指向困難及其它問題。
而路由策略不僅要考慮是否要啟用動態路由,還要考慮采用路由聚合,及支持策略路由功能等。啟用動態路由的理由是應對可能的IP網段太多;采用路由聚合的理由是簡化路由指向;策略路由能解決一些基于源地址的路由指向。
規劃IP時,適當考慮可變長度子網掩碼(VLSM)技術,便于靈活調整子網的個數及主機的數量,以滿足網絡劃分的不同數量要求。也要考慮路由聚合,把便于路由聚合的IP地址段分配給同一局域網內。
在核心層啟用互聯網段,用于各匯聚層網絡的互聯互通。
2.3遠程接入及訪問因特網部分的設計
這部分通常的網絡方案設計中,設計人員喜歡既配置了路由器又配置防火墻。其實,如果路由要求不高的情況下,可以只選配防火墻。
本網絡實例中,防火墻不但承擔了對因特網的訪問任務,還承擔了外埠分支機構的VPN接入任務。考慮到現代企業對因特網訪問的依賴程度提高了,實例網絡安排了雙防火墻雙因特網接入。
而針對外埠分支機構的專線接入,可直接接入核心交換機,也無需路由器。
這樣做的好處是結構簡單,在功能上也沒什么缺失。結構簡單的好處是低故障率,出了故障也容易排查。
2.4網絡管理
網絡管理其實是開始于設計階段的,設計網絡結構時要考慮后面的運行管理,比如分層的網絡結構讓VLAN終結在匯聚交換機。IP在規劃時考慮到路由的聚合,會給后期的路由指向帶來方便。
談網絡管理,必然要涉及網管軟件。網管軟件不是網絡管理的必需,但隨著網絡規模的擴大,它的作用就越大,也越重要。對于規模不大的中小型企業網絡,盡量在設計階段就考慮到管理因素而又針對性地設計,以求網絡開始運行后,在沒有采用任何網管軟件前能夠手工地較快速地定位故障點,進而排除故障。
之所以有這樣的考慮,是因為選擇一種適合本企業網絡的網管軟件并不是一件簡單的事情。選擇網管軟件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?計費管理?或者全部,或者部分。其次,在技術上要清楚,網管軟件大體分三個層次,即網元治理、網絡層治理和業務治理,而本企業需要什么樣的治理?基于以上原因,網管軟件更適合在網絡系統建立并運行后,在需求分析的基礎上選擇平臺級的網管軟件。開始階段可選擇由設備廠商提供的網元治理類的網管軟件,比如CISCO Works。
3熱備功能的實現及其它功能的說明
結構上做了冗余設計,要真正地發揮設備和鏈路的熱備的作用,還要進行相關設定后才能實現。其它功能也是企業網必須具備的。
3.1HSRP實現雙機熱備
HSRP原理,首先由多臺路由器組成備份組,此備份組可看成是一臺虛擬的路由器,有獨立的虛擬IP,網內主機以這臺虛擬路由器為網關。在備份組內有一臺路由器是活動路由器,由它來完成虛擬路由器的工作,當此臺活動路由器出故障時,組內的另一臺路由器會接替活動路由器,來完成虛擬路由器的轉發工作。而這些,對網內主機是透明的,它們只能看到虛擬路由器。CISCO大部分3層交換機都支持HSRP。
以某VLAN為例給出設置要點。
1、在核心交換機A上
Interface VLAN7
ip address 192.168.7.253255.255.255.0
standby7192.168.7.254/*虛擬路由器的IP
standby7priority 110/*設置優先級
standby7preempt /*設置搶占模式
2、在核心交換機B上
Interface VLAN7
ip address 192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在網內電腦上
把網關設置為192.168.7.254
3.2SLA實現雙鏈路自動切換
SLA(Service Level Agreement)服務品質保障協議,可用于網絡偵測,通過發送指定協議的報文來偵測鏈路的情況,根據鏈路情況選擇路由。
如果第二鏈路是另一家電信運營商的租用線路,實現此功能相對簡單。如果考慮降低成本,一線多用,可用寬帶線路通過IPSEC VPN來搭建第二鏈路,這就多了IPSEC VPN的設置工作。
由于IPSEC VPN的實現因網關設備的不同而不同,本文就省略這部分設置的說明,只說明下交換機端的設置要點。實現原理:路由器(或三層交換機)通過(ICMP)PING遠端路由器(或三層交換機)來驗證第一鏈路的狀態,如果第一鏈路失敗,則激活第二鏈路,實現故障切換。使用對象跟蹤功能(object track)保證靜態路由的可靠備份。
ip sla 1
icmp-echo 192.168.1.6 /*ping遠端交換機第一鏈路接口
timeout 1000
threshold 2
frequency 3
ip sla schedule 1 life forever start-time now
……
track 1 ip sla 1 reachability/*跟蹤ip sla 1,如果沒有返回ping包,則track狀態為down
……
ip route 192.168.176.0255.255.240192.168.1.6track 1/*只有track狀態為up時,此靜態路由建立。如果track為down,則下面這條路有開始轉發數據。
ip route 192.168.176.0255.255.240.0192.168.1.210
注:遠端網絡由若干C類網段組成,所以掩碼是255.255.240.0,這里采用了路由聚合。要采用路由聚合,必須先有網絡地址規劃,即便是私有地址,也不可以隨意指定。
3.3其它功能
其它幾個基本功能,有些是必須要采用的功能,比如VLAN、DHCP、訪問控制列表等,能滿足基本的網絡管理要求;有些則是高級功能,如策略路由、QoS、動態路由等,能滿足一些高級的網絡管理要求,或者能提供管理的方便性。
對于VLAN、DHCP、訪問控制列表的使用,是企業網絡管理中最基本的要求,網絡管理員都應熟練掌握,本文不再贅述。而那些高級功能,則在網絡運轉起來后,根據需求決定是否采用。我在此提醒一下,有些功能需要交換機OS(操作系統)的升級。比如策略路由,一般三層交換機預裝的OS都不支持,如果本企業確實需要這樣的功能,可以通過升級OS來得到。
4結束語
基于上述思路具有了冗余設計的實例網絡在建成后,除了正常提供基本的網絡功能外,在運行過程中還經歷過一系列的故障的考驗。某臺核心交換機的一塊接口業務板曾經損壞,由于是雙核心交換機配置,得以迅速切換到另一臺交換機,短時間內恢復了用戶網絡。核心網絡與某局域網的電信專線連接也因為電信方的故障而中斷過多次,而因為采用了基于SLA技術的設置實現了鏈路的自動切換,對用戶應用并沒有造成可感知的延時。以上事實足以證明實例網絡在強化冗余能力方面的設計是成功的。
篇(9)
一、引言
在電子政務和電子商務應用快速發展的今天,信息安全問題越來越突出。據權威統計顯示,80%以上的企業內部網絡曾遭受過病毒的肆虐,60%以上的企業網站受過黑客的攻擊,因此企業網絡安全的形勢相當嚴峻。深入分析企業網絡可能存在的問題和正在遭受的安全威脅,是設計安全方案的前提,只有了解企業環境和面臨的問題,才能發現并分析企業網絡所處的風險環境,并在此基礎上提出可能的安全保障措施。這是解決企業網絡安全問題的關鍵,也是設計面向企業的網絡安全體系的前提,它能使我們有的放矢地采用安全防范技術和安全措施。網絡是整個企業信息資源的基礎,也是整個安全體系的基礎。什么樣的網絡結構決定了我們應采用什么樣方法來進行安全設計,安全的網絡結構設計和相關技術手段的應用是整個安全體系建設的重要部分。網絡設備個體作為網絡的最基本構成,其個體的安全關系重大,往往個別設備的安全漏洞或者錯誤的配置,就可能造成網絡的中斷或者癱患。所以最后從網絡設備個體的角度出發,介紹了如何有針對性的采取有效的安全措施。
二、企業網絡模塊化構成
隨著企業的不斷壯大,企業網絡發展要求也日益提高,因此本文在設計網絡安全體系結構時,采用了模塊化的方式。即將企業的網絡劃分成不同的功能模塊,在整體網絡安全設計時實現網絡各功能塊之間的安全關系,同時,也可以讓設計者逐個模塊的實施安全措施,而并不需要在一個階段就完成整個安全體系結構。
我們把企業網絡分為企業園區網和企業邊界網絡兩個大的部分。其中,企業邊界網絡是企業內部網絡與電信服務提供商之間的過渡。對每個功能區中的模塊進行了細化,這些模塊在網絡中扮演特定角色,都有特定的安全需求,但圖中的模塊規模并不代表其在實際網絡中的大小。例如,代表最終用戶設備的接入層網絡可能包括80%的網絡設備。雖然大多數已有企業網絡都不能輕而易舉的劃分為明確的模塊,但此方式可以指導我們在網絡中實施不同安全功能。各個企業的網絡都可以對照此結構找到共性。在企業的實際網絡中,可能有些模塊不存在,或者兩個模塊相合并了,也可以根據后面的安全設計方式結合實際,找到安全解決方案。
三、網絡安全管理模塊的設計
從體系結構的角度來說,提供網絡系統的帶外管理是適用于所有管理和報告策略的最好的第一步。帶外是指無生產信息流駐留的網絡,設備應盡可能的與這樣一個網絡建立直接本地連接,在由于地理原因或系統相關問題無法實現的情況下,設備應經由生產網絡上一條專用加密隧道與其連接。這樣的隧道應預先配置,僅在管理和報告所需的特定端口上通信。整個企業管理網絡模塊由一個防火墻和一個路由器分成兩個網段。防火墻外的網段連接到所有需要管理的設備。防火墻內的網段包括管理主機本身以及作為終端服務器的路由器。其余的接口接到生產網絡,但僅用于接收來自預定義主機、受IPSec保護的管理信息流。兩個管理子網均在完全與生產網絡的其余部分獨立的IP地址空間下運行。這可以確保管理網絡不受任何路由協議的影響。另外,SNMP管理僅從設備獲取信息而不允許更改,即每個設備僅配置“只讀”字串。
當然,完全的帶外管理并非總是可行的,可能因為部分設備不支持,或者有地理差別,需帶內管理。當需要帶內管理時,注意的重點更應放在保護管理協議的傳輸上。這可通過IPSec、SSH、SSL或其他加密認證的方式實現。當管理恰巧即是設備用于用戶數據的接口時,應多注意口令、公共字串、加密密鑰和控制到管理服務器的通信的訪問列表。
主要設備:SNMP管理主機――提供SNMP管理;NIDS主機――為網絡中所有NIDS設備提供報警集中;系統日志主機――幾種防火墻和NIDS主機的記錄信息;接人控制服務器――向網絡設備提供一次性、雙因素認證服務;一次性口令(OTP)服務器――授權從接入服務器轉接的一次性口令信息;系統管理主機――提供設備的配置、軟件和內容變更;NIDS應用――提供對模塊中主要網段的第4~7層監控;防火墻――對管理主機和受控設備間信息流動的控制;第2層防火墻(帶專用VLAN支持)――確保來自受監控設備的數據僅可直接傳輸到防火墻;
所緩解的威脅:未授權接入――在防火墻處的過濾中止了兩個方向的大多數未授權信息流;中間人攻擊――管理數據穿過專用網絡,使中間人攻擊較為困難;網絡偵察――因為所有管理信息流穿越此網絡,它不通過有可能在其中被截獲的生產網絡;口令攻擊――接入控制服務器使每臺設備都擁有強大的雙因素認證;IP電子欺騙――在防火墻兩端均中止了欺騙流量;分組竊聽――交換基礎設施限制了竊聽的有效性;信息管理利用――專用VLAN可防止任何一個受破壞的設備偽裝成一臺管理主機。
四、統一管理平臺的系統架構設計
由于目前企業網絡中各種廠商的網絡設備越來越多,僅僅利用個別設備廠商的網絡管理軟件(如Ciscoworks 2000等)很難完全達到上述的種種要求,因此在網絡設計時要么都采用同一廠商的設備(包括網絡設備和安全設備),要么利用第三方廠商開發的網絡管理軟件,通過各種客戶化和集成工作,將不同廠商的設備更好的管理起來,作為搭建網絡安全管理平臺的主要工具。
統一管理平臺的基本構架設計分為三個層面:視圖(Wodd View)、企業管理(En-terprt’se Management)、客戶端(Ageats),其中:World View顯而易見是提供圖形化界面的應用程序,將管理對象的信息通過圖形(二維圖或者三維圖)的方式形象的呈現給用戶;企業管理層則通過智能化的手段,來提供處理各種信息、安全、存儲、工作計劃、事件管理等的復雜功能,這部分是整個平臺的關鍵,可能包括了事件管理、故障管理、性能管理、網絡發現等多個功能模塊;客戶端可以看作是一些系統進程或者內嵌代碼(比如各種SNMP信息,MIB庫信息),用來監控各種系統資源,比如操作系統、數據庫、網絡設備等等。客戶端可以從管理層面接受各種指令進行操作,或者向管理層上報相關的系統狀態。
篇(10)
一、引言
伴隨著IT技術的向前飛躍式的發展,信息技術為各行各業帶來了便利和效益。企業掌握了信息,特別是掌握了大量有價值的信息,就可能在激烈的市場競爭中取的優勢,就能取得制勝的機會。應用計算機信息技術,正在為企業的營銷、管理、決策等環節服務。信息化程度已經成為衡量一個企業的標準,業已成為企業核心競爭力的組成要素。
企業信息化,已經影響著越來越多的企業。如今越來越多的企業對信息化建設的認識不再是表面的和膚淺的,而是伴隨著信息化進程的不斷深入,使這種認識變得更加全面的和深刻。應用計算機信息技術,正在為企業的業務流程數字化、決策支持、快速響應等環節服務。信息化水平已經成為衡量一個企業的標準,業已成為企業核心競爭力的組成要素。
而企業從事網絡營銷則是較為常見的一種方式。所謂網絡營銷就是借助于互聯網信息技術作為基礎,以企業的整體營銷戰略的實現作為目標,采用互動的方式來輔助實現企業營銷目標的一種商務模式。網絡營銷起源于國外,經過20多年的發展,國內已經逐步發展起了較為成熟的網絡營銷市場,國內各種類型企業紛紛看到了以網絡營銷來拓展網絡這塊潛力巨大的市場。
進行企業網絡營銷活動,目前常見的方式就是架設企業網絡營銷站點。
二、架設企業網絡營銷站點的目的
架設企業網絡營銷站點是為了便于公司信息對外,便于瀏覽者很直接地訪問企業的相關信息,比如企業資訊、產品及服務、聯系方式、人事招聘等內容,拉近用戶和企業之間的距離;同時,也便于企業內部管理人員及時通過快捷便利的互聯網手段,將企業的信息傳播到全球各個角落;同時對于公司員工使用企業網絡營銷站點管理系統時能夠更加簡潔易用。
企業網絡營銷站點的建立,為公司的業務流程運行效率帶來了一定的提升作用。通常企業對外信息都是通過傳統渠道或者第三方網上平臺,這樣使得信息傳遞的效率和效果大打折扣,也增加了企業運作的成本。因此基于信息快速傳遞的要求,架設一個企業網絡營銷站點,可以為企業進行新聞、產品展示、人才招聘等提供更好的傳播渠道,同時也減少了信息傳遞的不對稱性,提高了企業運營的效率,減輕了企業的成本支出。所以在Internet上建立公司的網絡營銷站點在信息化時代的進化過程中,搶占網絡商機,提升公司形象,加強客戶服務,是公司經營的致勝之道。
三、企業架設網絡營銷站點的現狀
目前國外企業在信息化方面比國內公司的步伐要快,力度要大,特別是企業網絡營銷站點建設已經成為一種慣例,通過企業網絡營銷站點可以實現對企業內容業務系統的有效整合,可以提高企業的運作效率,便于用戶了解企業,提升企業的知名度等作用。而反觀國內企業,對于信息化的理解不夠透徹,以為信息化就是有幾臺電腦,能夠接入互聯網等等膚淺的認識,導致企業信息化水平不高,比如重點體現之一就是企業網絡營銷站點的架設,從設計上來說,專業化程度不夠高;從服務來看,網絡營銷站點不能很好地體現出對用戶的在線服務功能;諸如此類。但是,隨著企業知識管理的普及和深入,企業網絡營銷站點必將成為企業信息化建設的必然趨勢。
四、企業營銷站點架設的意義
第一,網絡營銷站點內容能夠保持較高的時效性。這點是傳統平面媒體所不能比擬的。企業網絡營銷站點就可以每天定時更新,可以將企業的最新情況及時;并且信息量不受時間篇幅的影響,但傳統平面媒體卻很難做到這一點。
第二,架設企業網絡營銷站點可以實現企業信息二十四小時不間斷地面向全球傳播,完全不受時間和地理范圍的限制。
第三,企業網絡營銷站點的架設,可以實現企業和用戶之間的實時、雙向互動,有利于化解單向溝通的信息傳遞障礙,提高企業和客戶的溝通效果,例如通過企業網絡營銷站點的在線客服系統,就可以實現即時通訊,及時了解用戶的潛在需求或者意向,增加企業與用戶成交的幾率。另外,通過企業網絡營銷站點的在線調查系統,企業可以很方便的收集用戶的意見和建議,以便于更好地服務用戶。
第四,通過架設企業網絡營銷站點,可以實現企業在產品或者服務的宣傳推廣方面的低成本投入,減少信息傳遞的不對稱性,有助于加強企業的品牌建設和提升企業的知名度,從而降低企業的運作成本,最終使企業在激烈的市場競爭中占據優勢地位。例如美國蘋果公司、微軟公司,中國的聯想、小米公司等。
五、總結
企業競爭的日趨激烈和網絡給消費者帶來的更多便利,也加劇了企業對網絡這塊市場的爭奪,企業想要在網絡市場上有一席之地,那么建立企業網絡營銷站點只是其中的一個步驟,因此,企業的網絡營銷站點架設好了,緊接著就是宣傳推廣、維護管理等等一系列更為重要的任務,總之,建設企業的網絡營銷站點,是企業從事網絡市場競爭的第一步,也是最為重要的前提性條件。
參考文獻:
[1]李東華.對我國企業信息化建設的思考[J].商情,2011,(10).
[2]宗加云.網絡營銷中的企業網站建設策略[J].中國電子商務,2012,(10).
[3]李佳雨.企業網站SEO技術研究[J].蘇州大學學報,2011,(09).
