公司系统网络重组规划.doc

一、 整体的网络结构（包括楼上、楼下）2516658984 账号： 密码：z123456 昵称洞庭鱼头王天河公园店微博四楼主要是经理办公室4台终端和电子商务6台终端 销售部16终端五楼主要是财务和技术部 财务部有6台终端 技术部12台终端左右二、 网络设备的选型和理由l 路由（有线和无线）l 交换机（2层架构）l 服务器l 终端l 外设l 存储备份l 网络监控软件1使用RV082-CM路由器 SPI 防火墙，实现了最大的安全性 2 个专用的 WAN 端口，实现了互联网的负载均衡连接 8 端口 10/100 交换机支持自动媒体相关接口 (MDI) 和 MDI 交叉 (MDI-X)，每个端口的吞吐量高达 200 Mbps IP 过滤使得能够限制访问互联网和其它网络资源 采用数据加密标准 (DES) 和三重 DES (3DES) 加密算法的全面 IPsec VPN 功能 支持 MD5 和 SHA 身份验证算法 允许多达 100 个并发 IPsec VPN 隧道 通过 Web 进行管理、简单网络管理协议 (SNMP) 和便于管理员进行设置的安装向导 带宽管理功能提高了服务质量 (QoS) 支持多达 50 个 QuickVPN 用户2使用H3C S5100-EI系列交换机灵活的千兆接入和集群管理H3C S5100-EI系列千兆以太网交换机提供灵活的16/24/48个10/100/1000M自适应电口接入密度；并且支持复用的SFP插槽，充分考虑用户的带宽升级的实际情况，既可以支持千兆光模块，也可以支持百兆光模块，保护用户投资。全面的接入安全策略H3C S5100-EI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系H3C S5100-EI系列交换机支持特有的ARP入侵检测功能，可有效防止黑客的攻击完善的QoS保障H3C S5100-EI系列以太网交换机支持基于IPv4和IPv6的流量监管和带宽粒度控制，流量限速的最小粒度为1Kbit/s，确保为进入交换机的特定业务提供带宽保证。3使用域服务器 操作系统是 Windows server 2003域（Domain）是相对工作组（Workgroup）的概念，形象的说，域就像中央集权，由一台或数台域控制器（Domain Controller）管理域内的其他计算机；工作组就像各自为政，组内每一台计算机自己管理自己，他人无法干涉。 域是一个计算机群体的组合，是一个相对严格的组织，而域控制器则是这个域内的管理核心。 域控制器的作用相当一个门卫，它包含了由这个域的账户密码、管理策略等信息构成的数据库。当一台计算机登录域时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号和密码是否正确。如果正确则允许计算机登入这个域，使用该域内其有权限访问的任何资源，像文件服务器，打印服务器（也就是说域控制器仅起到一个验证作用，访问其他资源并不需要再跟域控制器扯上关系）；如果不正确则不允许计算机登入，这时计算机将无法访问域内任何资源，这在一定程度上保护了企业网络资源。 另外，域控制器可以对域内计算机进行集中管理，比如在域控制器上可以定义所有用户不能更改桌面，或者所有用户的密码长度必须8位以上，而工作组环境的计算机则无法做到这些。 一般情况下，域控制器集成了DNS服务，可以解析域内的计算机名称（基于TCP/IP），解决了工作组环境不同网段计算机不能使用计算机名互访的问题。 域控制器自身所需配置非常低，对网络带宽的占用也几乎微不足道，另外正常情况下域控制器是不可能发布到外网使用的，因为它的安全关系到整个域组织的安全，如果用户希望他在外网也能够登入企业域使用内部资源，最常用的解决方式是在网关处开通VPN功能，这样既能保证账号密码传输的安全性，又能像在局域网一样便捷地访问网络资源。 4 大概40多台终端 包括楼上和楼下5 使用网路岗、信安上网行为管理系统，等网络监控软件通过旁路对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络事件、发现安全隐患，并对网络活动的相关信息进行存储、分析和协议还原。 网路岗的主要功能如下： 邮件监视/控制 聊天监视/控制 下载控制 上网监视与控制 传输文件监视/控制 监控屏幕/系统信息/进程/操作注册表等 上网流量/带宽监控管理 报表统计功能 自定义监控项目信安上网行为管理系统是一款C/S架构的纯软件产品，其核心引擎采用了secspyit内核。已通过国家应用软件质量监督检验中心（NAST）的认证。 信安上网行为管理系统的主要功能如下： 一、上网记录查看：查看员工网络聊天记录（如QQ、msn、飞信、旺旺等16种TM软件）；收发邮件内容；网页浏览记录等；程序运行记录。 二、电脑操作查看：查看员工电脑文件、实时桌面、下载情况、使用进程等，并提供电脑使用分析报告。 三、电脑运行限制：企业可根据管理需要对如炒股、游戏、下载等软件、硬件、网页浏览进行自定义限制。 四、系统报警：对员工的电脑违规行为进行记录并实时报警。 五、远程控制：远程实现桌面控制、文件操作、关机、重启、锁屏的功能，增强管理力度。三、 网络设置的安全策略l 路由设置策略（有线和无线）l 交换机设置策略l IP地址和域的分配规划l 服务器安全策略l 服务器数据备份策略l 常规工作电脑安全策略（台式机和笔记本）l 财务电脑安全策略l 打印机共享管理l 网络监控路由器配置：1、根据路由器工作原理的工作原理首先要使内部网络实现全通状态。2、然后根据需要可以对一些特殊的终端的IP地址进行ACL访问控列表对包进行筛选和过滤 使网络上更安全3、在对外网的策略上使用VPN技术进行隧道加密 可以更好的防止黑客的攻击 计算机病毒的感染 交换机配置 根据需要公司分为财务部、技术部、电子商务部、销售部和经理办公室 把他们逻辑上划分成一个个网段（VLAN）交换机和交换机之间实现VLAN trunkQos 控制上网流量是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 IP地址和域的分配规划：部门名称IP地址网段VLAN号财务部/24VLAN 10技术部/24VLAN 20电子商务部/24VLAN 30销售部/24VLAN 40经理办公室/24VLAN 50服务器安全策略： 1、关闭windows2003不必要的服务2、 磁盘权限设置3、 禁止 Windows 系统进行空连接4、 关闭不需要的端口5、 关闭默认共享的空连接服务器数据备份策略：。选择了存储备份软件、存储备份技术（包括存储备份硬件及存储备份介质）后，首先需要确定数据备份的策略。备份策略指确定需备份的内容、备份时间及备份方式。各个单位要根据自己的实际情况来制定不同的备份策略。目前被采用最多的备份策略主要有以下三种。 1、完全备份（full backup）完全备份就是用一盘磁带对整个系统进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解。而且当发生数据丢失的灾难时，只要用一盘磁带（即灾难发生之前一天的备份磁带），就可以恢复丢失的数据。 2、增量备份(incremental backup) 增量备份是针对于上一次备份（无论是哪种备份）：备份上一次备份后，所有发生变化的文件。 （增量备份过程中，只备份有标记的选中的文件和文件夹，它清除标记，既：备份后标记文件，换言之，清除存档属性。）3、差异备份(differential backup) 复制自上一次普通备份或增量备份以来被创建或更改的文件的备份。它不将文件标记为已经备份（换句话说，没有清除存档属性）。如果您要执行普通备份和差异备份的组合，则还原文件和文件夹将需要上次已执行过普通备份和差异备份 在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月底进行一次全备份，每年底进行一次全备份。 4、日常维护有关问题 备份系统安装调试成功结束后，日常维护包含两方面工作，即硬件维护和软件维护。如果硬件设备具有很好的可靠性，系统正常运行后基本不需要经常维护。一般来说，磁带库的易损部件是磁带驱动器，当出现备份读写错误时应首先检查驱动器的工作状态。如果发生意外断电等情况，系统重新启动运行后，应检查设备与软件的联接是否正常。磁头自动清洗操作一般可以由备份软件自动管理，一盘dlt清洗带可以使用20 次，一般一个月清洗一次磁头。软件系统工作过程检测到的软硬件错误和警告信息都有明显提示和日志，可以通过电子邮件发送给管理员。管理员也可以利用远程管理的功能，全面监控备份系统的运行情况。 网络数据备份系统的建成，对保障系统的安全运行，保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。通过自动化带库及集中的运行管理，保证数据备份的质量，加强数据备份的安全管理。同时，近线磁带库技术的引进，无疑对数据的恢复和利用提供了更加方便的手段。希望更多的单位能够更快地引进这些技术，让系统管理员做到数据无忧。 5、存储数据备份恢复 随着各单位局域网和互联网络的深入应用，系统内的服务器担负着企业的关键应用，存储着重要的信息和数据，为领导及决策部门提供综合信息查询的服务，为网络环境下的大量客户机提供快速高效的信息查询、数据处理和internet等的各项服务。因此，建立可靠的网络数据备份系统，保护关键应用的数据安全是网络建设的重要任务,在发生人为或自然灾难的情况下,保证数据不丢失。常规工作电脑安全策略：1、使用域服务器进行管理设置用户的权限，实现OU的委派 2、屏蔽一些不必要的网址，防止计算机病毒的感染 3、上班的高峰期不允许看视频、小说、听MP3等和工作不相关 的事情 使用QoS或者是一些网络监控的软件限制流量 4、可以使用HTTPS（安全超文本协议）进行访问网站达到更安全效果。财务电脑的安全策略：由于财务的重要性除了以上对常