选潞安集团分公司网络设计.doc

1 实践教学实践教学 兰州理工大学兰州理工大学 计算机与通信学院 2008 年秋季学期 计算机网络计算机网络 课程设计课程设计 题 目 潞安集团分公司网络设计 专业班级 计算机 1 班 姓 名 唐 国 选 学 号 05240129 指导教师 冯 涛 成 绩 目录目录 摘摘 要要 1 1 一 一 前言前言 2 2 二 企业描述二 企业描述 3 3 三 需求分析三 需求分析 3 3 一 基本要求 3 二 未来发展 3 三 用户需求分析 4 四 网络功能 4 五 集团综合信息系统建设原则 4 1 先进性 4 2 标准性 5 3 兼容性 5 4 可升级和可扩展性 5 5 安全性 5 6 可靠性 6 7 易操作性 6 8 可管理性 7 四 拓扑图及方案整体描述四 拓扑图及方案整体描述 7 7 一 主干网传输方案设计 7 二 核心层 CORE LAYER 8 三 分布层 DISTRIBUTION LAYER 8 四 接入层 ACCESS LAYER 9 1 接入层的主要功能 9 2 接入 Interner 方式 9 3 网络拓扑结构设计图 9 4 设备选型 11 5 网络操作系统方案 12 6 信息服务方案 12 7 布线系统设计 14 五 网络管理五 网络管理 1515 六 系统主要设备报价六 系统主要设备报价 1616 七 网络测试及协议数据包分析七 网络测试及协议数据包分析 1717 八 参考资料八 参考资料 2121 九 课程设计总结九 课程设计总结 2121 1 摘摘 要要 根据公司的环境 安全需求 规模和网络建设的技术要求 以及网络技术 的发展趋势和技术经济性观点 整个计算机网络设计为内部网和外部网两个部 分 由双硬盘隔离卡相隔离 公司内部网是一个独立的部分 外部网通过防火 墙与 Internet 相连接 外部网分为主干网和工作组两个部分 网络主干由主干 交换机和分布在各个建筑中的主干节点及他们之间的光纤组成 需要选择适当 的高速交换机作为网络的主干核心 这关系到整个网络的性能和系统的灵活性 外部网的设计是本方案的重点之一 内部网络由研发部门和行政办公部门组成 能实现机器间的互相通信 在 主服务器上架设 DHCP 服务器 外部网络是包括内部网络用户在内的所有用户组成的网络 在服务器上架 设 DHCP WLAN 等服务器 能够实现 Internet 对外部网络的访问 关键词 内部网络 外部网络 隔离卡 DHCP Internet 2 一 一 前言前言 集团公司深刻认识到业务要发展 必须提高企业内部核心竞争力 而建立 一个方便快捷安全的通信网络综合信息支撑系统 已迫在眉睫 集团公司作为 一个致力于企业信息化和系统集成的高科技公司非常乐意对综合网络信息系统 进行建设 当前由于网络应用技术不断发展 尤其国际互联网 Internet 和 内部网 Intranet 技术的广泛应用 世界正在迈入网络中心计算时代 人们 传统的交互和工作模式正在改变 当今的网络技术 完全可以满足公司的要求 处在不同地理位置的人们可以共享数据 使用群件技术进而能够协同工作 多 媒体数据的存储 传输 应用技术的不断成熟 以上这些计算机技术的发展对 学校传统的计算机业务系统产生影响 使用户能更方便 本系统就是在这样的 大环境下产生的 它必须满足客户当前和未来可能的需求 而且在性能和可维 护性上也必进行周密的计划和设计 3 二 企业描述二 企业描述 集团公司要从事电子类产品生产的中等规模公司 电子分公司的规模和经 济状况的不断好转和发展 决定将其核心的 4 栋楼实施全面的网络化管理 以 适应现代化发展和方便领导的管理和对生产的辅助作用 联网的四栋楼 1 号 2 号 3 号 4 号 每栋楼直线相距为 100 米 1 号楼 四层 为行政办公楼 20 台电脑 分散分布 2 号楼 五层 为产品研发部 30 台电脑 其中 20 台集中在三楼的研发部 的设计室中 专设一个机房 其他 10 台分散分布 这部分也是内网 的主要组成部分 3 号楼 五层 为生产车间 每层一个车间 每个车间 3 台电脑 共 15 台 4 号楼 四层 为供销部 40 台电脑 分散分布 要求到桌面的速度为 100M 以上 投资要求不超过 20 万元 4 三 需求分析三 需求分析 一 一 基本要求 基本要求 实现基本的网络通信 与外界通过 Internet 的连接 内网和外网想隔离 不能与 Internet 相连接 要确保信息的安全 二 二 未来发展 未来发展 未来的 3 5 年 单位电脑会增加到 200 台左右 主要增加在 2 号楼的研发 部 4 号楼的供销部 计划研发部门增加两间专用机房用于新产品的研发和设 计 增加数十台电脑用于公司对外销售货物 三 三 用户需求分析 用户需求分析 为了能让公司更好的与现代社会的发展接轨 更快的获取市场信息及为了 让外界了解该本公司的相关信息特组建企业网 保证公司的保密信息不对外泄 露 并实现对 公司档案管理 产品信息 供求信息 等进行计算机网络 化管理 四 四 网络功能 网络功能 根据公司现有规模 业务需要及发展范围建立的网络有如下功能 a 公司内部网络实现资源共享 以提高工作效率 b 公司内网主要是研发部门的信息要求绝对保密 c 建立网络时应注意网络的扩展性 以方便日后的网络升级和增加计算机 d 在公司内部建立公司的数据库 如员工档案 业务计划 会议日程等 要求各部门可以连接 Internet 与各企业保持联络 接受订单及发布本公 司产品信息 研发部门都不能连接 Internet 但要求公司内部由网络连接 e 建立公司自己的网站 可向外界发布信息 并进行网络上的业务 5 五 五 集团综合信息系统建设原则 集团综合信息系统建设原则 多业务网络系统方案以实现以上功能为基本要求 在设计上力求做到既要 采用国际上先进的技术 又要保证系统的安全可靠性和实用性 具体来讲 其 设计遵循以下原则 1 先进性 系统的主机系统 网络平台 数据库系统 应用软件均应使用目前国际上 较先进 较成熟的技术 符合国际标准和规范 2 标准性 所采用技术的标准化 可以保证网络发展的一致性 增强网络的兼容性 以达到网络的互连与开放 为确保将来不同厂家设备 不同应用 不同协议连 接 整个网络从设计 技术和设备的选择 必须支持国际标准的网络接口和协 议 以提供高度的开放性 全面支持 IEEE 工业标准 802 1d 802 1p 802 1q 802 1x 802 3 802 3u 802 3z 支持路由协议 IP 的 RIP V1 2 OSPF BGP 4 信令标准 H 323 RTP CRTP 支持 IPsec L2TP GRE MPLS VPN 规范 支持多址广播协议 IGMP DVMRP PIM DM PIM SM 网络管理协议 SNMP RMON RMON2 3 兼容性 跟踪世界科技发展动态 网络规划与现有光纤传输网及将要改造的分配网 有良好的兼容 在采用先进技术的前提下 最大可能地保护已有投资 并能在 已有的网络上扩展多种业务 6 4 可升级和可扩展性 随着技术不断发展 新的标准和功能不断增加 网络设备必须可以通过网 络进行升级 以提供更先进 更多的功能 在网络建成后 随着应用和用户的 增加 核心骨干网络设备的交换能力和容量必须能作出线性的增长 设备应能 提供高端口密度 模块化的设计以及多种类接口 技术的选择 以方便未来更 灵活的扩展 5 安全性 内网信息 主要是研发部门 因为都是公司内部的绝密信息 要求不能和 外部网络连接 如果连接的话有可能公司的内部信息被外部网络网络高手窃取 因此采用双硬盘隔离卡来与外网相隔离 如果需要使用这些信息 则由内网进 入系统 如果想要在 Internet 查询资料则由外网进入系统 网络的安全性对网络设计是非常重要的 合理的网络安全控制 可以使应 用环境中的信息资源得到有效的保护可以有效的控制网络的访问 灵活的实施 网络的安全控制策略 在企业园区网络中 关键应用服务器 核心网络设备 只有系统管理人员才有操作 控制的权力 应用客户端只有访问共享资源的权 限 网络应该能够阻止任何的非法操作 在园区网络设备上应该可以进行基于 协议 基于 Mac 地址 基于 IP 地址的包过滤控制功能 在大规模园区网络的设 计上 划分虚拟子网 一方面可以有效的隔离子网内的大量广播 另一方面隔 离网络子网间的通讯 控制了资源的访问权限 提高了网络的安全性 在设计 园区网的原则上必须强调网络安全控制能力 使网络可以任意连接 又可以从 第二层 第三层控制网络的访问 可管理性 6 可靠性 本系统是 7x24 小时连续运行系统 从硬件和软件两方面来保证系统的高 可靠性 7 系统的主要部件采用冗余结构 如 传输方式的备份 提供备份组网结构 主要的计算机设备 如数据库服务器 支持双机或多机高可用结构 配备不间 断电源等 充分考虑异常情况的处理 具有强的容错能力 错误恢复能力 错误记录 及预警能力并给用户以提示 并具有进程监控管理功能 保证各进程的可靠运 行数据库系统应 当增加 扩充应用子系统时 不影响网络的整体结构以及整体性能 对关 键的网络连接采用主备方式 已保证数据的传输的可靠性 本系统应具有较强的容灾容错能力 具有完善的系统恢复和安全机制 7 易操作性 提供了中文方式的图形用户界面 简单易学 方便实用 本系统着重考虑 和满足这些的设计要求 8 可管理性 络的可管理性要求 网络中的任何设备均可以通过网络管理平台进行控 制 网络的设备状态 故障报警等都可以通过网管平台进行监控 通过网络管 理平台简化管理工作 提高网络管理的效率 在进行网络设计时 选择先进的网络管理软件是必不可少的 网络管理软 件应用于网络的设备配置 网络拓扑结构表示 网络设备的状态显示 网络设 备的故障事件报警 网络流量统计分析以及计费等 网管软件的应用可以提高 网络管理的效率 减轻网络管理人员的负担 网络管理的目标是实现零管理 基于策略的管理方式 网络管理是通过制定统一的策略 由管理策略服务器进 行全局控制的 基于 Web 的网管界面 是网管软件的发展趋势 灵活的操作方 式简化了管理人员的工作 在设计园区网的设备选择上 要求网络设备支持标 准的网络管理协议 SNMP 同时支持 RMON RMONII 协议 核心设备要求支持 RAP 远程分析端口 协议 实施充分的网络管理功能 在设计园区网的原则上应该 要求设备的可管理性 同时先进的网管软件可以支持网络维护 监控 配置等 功能 8 四 拓扑图及方案整体描述四 拓扑图及方案整体描述 一 主干网传输方案设计 一 主干网传输方案设计 1 外部网 外部使用千兆以太网 因为千兆以太网传输速率可以达到 1Gbps 帧规格 采用 IEEE802 3 格式 帧大小可以是 64 1518Bytes 存取控制协议采用 CSMA CD 传输距离远 多摸光纤 可以达到 220 550M 单摸光纤更可以达到 5000M 而相对与 ATM 网络有着很多的技术优势 技术掌握和操作相对简单 具有 成熟性和大规模生产的价格优势 网络易于管理和维护 技术具有稳定性 2 外网网络层次结构 核核心心层层 高高速速交交换换技技术术 分分布布层层 基基于于策策略略的的操操作作 接接入入层层 本本地地 远远程程工工作作组组接接入入 图 1 可扩展性 因为网络可模块化增长而不会遇到问题 简单性 通过将网络分成许多小单元 降低了网络的整体复杂性 使故障 排除更容易 能隔离广播风暴的传播 防止路由循环等潜在的问题 设计的灵活性 使网络容易升级到最新的技术 升级任意层次的网络不会 对其他层次造成影响 无需改变整个环境 可管理性 层次结构使单个设备的配置的复杂性大大降低 更易管理 内网层次结构 3 内部网 从逻辑上 中大型网 络应分为核心层 分布层 和接入层 每层都有其特 点 层次化设计的优点可 以总结为如下几点 9 其实内部只是一个小型的局域网 只由接入层和核心层组成 二 核心层 二 核心层 Core Core LayerLayer 核心层为下两层提供优化的数据输运功能 它是一个高速的交换骨干 其 作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中 ACL 过滤 等 否则会降低数据包的交换速度 三 分布层分布层 Distribution Distribution LayerLayer 分布层提供基于统一策略的互连性 它是核心层和访问层的分界点 定义 了网络的边界 对数据包进行复杂的运算 在园区网络环境中 分布层主要提 供如下功能 地址的聚集 部门和工作组的接入 广播域 多目传输域的定义 Inter VLAN 路由 任何介质的转换 安全控制 四 接入层 四 接入层 Access Access LayerLayer 1 接入层的主要功能 接入层的主要功能是为最终用户提供对园区网络访问的途径 本层也可以 提供进一步的调整 如 Access list Filtering 等 在园区网络环境中 接入 层主要提供如下功能 带宽共享 Shared Bandwidth 交换带宽 Switched Bandwidth MAC 层过滤 MAC Layer Filtering possibly 微分网段 Microsegmentation 在广域网环境中 接入层主要提供通过 Frame Relay ISDN Leased Line 连入远程节点 2 接入 Interner 方式 专线接入 在企业级用户中 主要采用的是专线接入方式 常用的专线接入 使 DDN 数字数据网 方式 速度范围 64Kbps 至 2Mbps 采用 DDN 网络设备需要 路由器 NTU 基带调制解调器或 HDSL 10 建议公司租用专线与外界互联 用一台配置较先进的计算机作为服务器 首先要确定网络的拓扑结构 外网采用树型加星的网络结构 内网采用星 型网络结构 用双绞线作为传输线缆 星状总线网的物理结构采用星状连接 逻辑结构采用总线状的 采用 IEEE 的 802 3 协议标准 网卡 集线器和双绞线 应选 100M 的 当用户扩展过多时 可采用堆叠式集线器 然后确定互连方式 分成三个子网 都连接到路由器上 在路由器上设置 IP 其中两个子网的 IP 设置为内部 IP 不允许访问 Internet 3 3 网络拓扑结构设计图 外网拓扑图 图 2 内网拓扑图 11 图 3 a IP 地址分配 该公司只需申请一个 C 类 IP 网络号 假设申请的网络号是 215 12 125 0 分成四个子网 每号楼一个子网 这样也便于以后扩展 子网掩码均为 255 255 255 192 在连接计算机和交换机的双绞线两端贴上 标签 便于管理 楼号计算机数量 IP 地址范围 一号楼20 台215 12 125 1 215 12 125 63 二号楼30 台215 12 126 64 215 12 126 127 三号楼15 台215 12 127 128 215 12 127 191 四号楼40 台215 12 128 192 215 12 128 254 表 1 IP 地址分配 4 设备选型 服务器用曙光 DS 2120 2 控制器采用双 ASIC 双 PCI 总线设计 突破了 单 PCI 总线的瓶颈 系统总线带宽达到了 2GB s 制器的高速缓存为 DDR 内存 带有 ECC 功能 最大可扩充至 2GB 总线带宽达到 2132MB s 支持智能磁盘 扫描功能 最大限度保护用户数据 支持每个逻辑磁盘独立设定不同 Stripe Size 4 8 16 32 64 256KB 功能 最大限度为应用系统提供性能优化 容 多种操作系统 包括 Windows AIX Sun Solaris HP UX Novell NetWare 和 Linux SCO Open Server 时支持 RS232 LCD 管理面板 JACA GUI 管理 10 100MB s 以太网接口远程 Telnet Web Browser 管理 主机无须 安装软件 通过 IE 浏览器 12 交换机采用思科 WS C2940 8TF S Cisco Catalyst 2940 系列交换机是 小型 独立的可管理交换机 适合中小型网络使用 在本方案中 采用这类 型的路由器来由和各分网连接 网卡 NETGEAR FA120 是一款高性能的网卡 性价比高 工作稳定 是中 小型网络比较合适的选择 是 10 100M 的网卡 能够满足网络的需要 并且 在未来 3 年内也能满足需要 路由器采用 PIX 515E R DMZ BUN 百兆级防火墙 控制端口 RS 232 并发 连接数 130000 网络吞吐量 188Mbps 入侵检测 Dos IDC 配置管理 CSPM PDM 电压 220 V 是满足网络现在和扩张后的需要的 5 网络操作系统方案 1 Pentium MMX350CPU 2 512MB 内存 3 SVGA Cirrus Logic 5446PCI 显卡 4 60GB 和 SCSI 接口硬盘 5 一个 3 5 英寸和高密软盘驱动器和一个 DVD ROM 驱动器网卡 采用 10 100M 自适应全双工网卡 交换机 采用 24 口交换机 若日后扩展可加入集线器 增加的用户通过集线器 连接到交换机 网线使用超五类非屏蔽双绞线 网络接头用 RJ 45 信息插座 AMP 双口信息插座面板 服务器操作系统建议使用 Windows2000 Server 便于 使用 由于要有邮件服务 所以我采用了 Microsoft Outlook 和 Outlook Express 两款邮件 6 信息服务方案 WEB 服务 Internet 信息服务 IIS 是集成了 Windows 2000 Server 的 Web 服务 您可以使用 IIS 在您的企业网上设置 Web 或 FTP 站点 创建大 型 Internet 站点 或开发基于组件的程序 运行新建 WEB 站点建立 WEB 服务 器 也可以运行虚拟目录向导创建新的虚拟目录 将文件发布到默认 Web 站点 上 运行新建 FTPH 站点建立 FTP 服务器 DHCP 服务 一经安装之后 管理员就可以在一个中央位置管理 IP 地址以 及相关信息 其优点在于 通过防止已经分配出去的 IP 地址再次分配给其它 13 计算机 从而防止了因相同 IP 地址而产生的冲突 减少了配置计算机所花费的 时间 DHCP 服务器可以在分配地址租约时提供各种所需的附加配置信息 通 过租约续订过程防止客户机 例如使用移动或便携计算机并且经常变换位置的 用户 不对地址进行更新 DNS 服务 DNS 服务允许网络上的客户端计算机登记并解析对用户友好的 DNS 名称 DNS 服务器管理分布式 DNS 数据库的记录 并且使用这些记录响应 DNS 客户机发出的 DNS 查询请求 例如对网络上的 Web 站点名称和计算机名称 进行的查询请求 其优点在于 用户友好名称使得网络资源的命名和定制变得 更加高效和更加易于理解 解析每个网络的控制名称 并且将变化复制到整个 网络或者所有 Internet 站点 极大减少了花费在更新 DNS 信息上的时间 远程访问 VPN 服务 远程或者移动用户可以使用 VPN 连接通过拨号连接服 务或者 Internet 访问企业网络 就如同他们直接连接到网络上一样 其优点在 于 用户可以像本地用户一样访问所有的服务 包括文件和打印共享 Web 服 务器访问以及消息服务 允许管理员对用户可以何时以及以何种方式访问网络 进行控制 为网络上的计算机提供了网络地址转换 NAT 服务 允许用户利用 应用程序编程接口 API 创建定制网络解决方案 邮件服务 POP3 SMTP 安装内置于 Windows Server 2003 产品家族之 中的 POP3 和 SMTP 电子邮件服务组件 POP3 服务实现了标准的 POP3 协议 用 于邮件接收 在和 SMTP 服务成对使用时 还可以向外发送邮件 其优点在于 最终用户 应用程序以及设备都可以使用 POP3 和 SMTP 服务存储邮件 或者向 其它最终用户 应用程序和设备发送电子邮件 从而满足了用户基本的消息传 递需要 允许用户在本地计算机上使用支持 POP3 协议的电子邮件客户端 例如 Microsoft Outlook 和 Outlook Express 访问邮件服务器并接收电子邮件 文件服务 设置并帮助管理员管理用户对文件的访问 其中包括数据文件 和可通过网络访问的应用程序 其优点在于 通过卷影副本恢复 Volume Shadow Copy Restore 服务自动复制重要的数据卷 消除了停机时间 用户可 以使用副本恢复存档文件 并且减缩文档的先前版本 允许启用加密文件系统 14 Encrypting File System EFS 该文件系统提供了核心的文件加密技术 EFS 是一种基于公共密钥的系统 这使得它易于管理 难于攻破 而且对于用 户是完全透明的 启动分布式文件系统 Distributed File System DFS 这 是一种稳定 有序并且和文件位置无关的命名架构 它针对使用 Windows 系统 时的所有可用共享文件 映射到这样的一个共享上的某个共享或者某个驱动器 可以获得各种文件服务器上的文件和目录 快速存储 管理和共享诸如文件和 可通过网络访问的应用程序这样的信息 限制并监视单个用户可用的磁盘空间 数量 安全的信息搜索过程 无论是本地搜索还是远程搜索 此外 它还可以 搜索不同格式和不同语言的文件 在用户超出了指定的磁盘空间限制或警戒水 平 也就是用户使用的空间接近了分配给他 或她 的配额限制 时候 通过 日志和报告来帮助用户管理他们的磁盘空间 终端服务 提供了单点安装能力 多个用户可以通过它访问任何 Windows Server 2003 功能 用户可以从一个远程位置运行程序 保存文件以及使用网 络资源 就像这些资源安装在他们本地的计算机上一样 其优点在于提供了应 用程序的快速集中化部署 统一了桌面计算机上使用的 Windows 版本 从而降 低了维护和管理费用 提供了更高的伸缩性 更加易于管理 提供了一条易于 使用的远程桌面连接 7 布线系统设计 综合布线要符合楼宇管理自动化 办公自动化 通信自动化和计算机网络 化等多功能需要的布线系统 系统应能支持话音 图像 图形 数据多媒体 安全监控 传感等各种信息传输 支持光纤 非屏蔽双绞线 UTP 屏蔽双绞 线 STP 同轴电缆等各种传输载体 支持多用户多类型产品的应用 支持高 速网络的应用 综合布线系统通常包括六个子系统 工作区子系统 水平布线 子系统 干线子系统 设备间子系统 管理子系统和建筑群子系统 综合布线系统设计要根据建筑结构和用户需求来确定 这一过程主要包括 以下几个要点 尽量满足用户的通信要求 要了解建筑物内部的通信环境 确 定合适的通信网络拓扑结构 选取将要使用的传输介质 开放式为基础 尽量 15 与大多数厂家的产品和设备兼容 按照通用的标准进行设计 统初步设计成本 估算 系统初步设计和建设费用预算告知用户 后在征得用户意见并签订合同 后 在制定详细的设计方案 合布线可采用 UTP STP 或者光缆 在欧洲综合布 线所采用的线缆占主流的是屏蔽系统 而在北美广泛使用的是非屏蔽系统 在 高容量主干及严重干扰的情况下就使用光缆作为屏蔽系统 但 STP 屏蔽式系统 若使用不当 非但达不到整体的屏蔽的完整性 其性能会比 UTP 系统更差 UTP 是目前较为成熟 可靠的商用建筑综合布线系统所采用的线缆 通常情况下也 可以满足在干扰环境下的使用需求 所以建议使用 UTP 或光缆 在建筑物内部布线通常有三种方式 走墙壁 走屋顶 走地板 走线有两 种选择 明线和暗线 当布线房间或走道比较狭窄且层高较低时 宜选择明线 用 PVC 线槽走墙壁 采用明线费用较低 采用暗线不仅昂贵 而且需要架顶 架地面或打夹层 不过比较美观 若房间的高度允许 可以选择架顶或架地板 架地板更贵一些不过便于维护 若房间的宽度允许可以通过墙壁走暗线 给墙 壁打夹层可以给墙壁装饰得很漂亮 也易于维护 在楼层过道三种方式都可以 但站点较集中的房间建议采用架地板的方式 会使安装和维护都更方便 建议把主机设在 2 号楼的三楼 建筑群间采用地下管道敷设方式 管道内 敷设室外 12 芯多模光缆 安装时至少要预留 1 2 个备用管孔 以供扩充之用 在 1 号 3 号楼放置光缆收发器 以确保信号正常传输 室内连接为节约资金 采用双绞线 同一楼层上的水平系统多采用四对双绞线 电缆长度宜为 90m 以 内 垂直干线子系统总是位于垂直的弱点间 并采用大对数双绞线 16 五 网络管理五 网络管理 公司网络是一个分层次的拓扑结构 因此网络的安全防护也需采用分层次 的拓扑防护措施 即一个完整的公司网络信息安全解决方案应该覆盖网络的各 个层次 并且与安全管理相结合 网络信息安全系统设计原则 目前 对于新建网络及已投入运行的网络 必须尽快解决网络的安全保密 问题 设计时应遵循如下思想 1 大幅度地提高系统的安全性和保密性 2 保持网络原有的性能特点 即对网络的协议和传输具有很好的透明性 3 易于操作 维护 并便于自动化管理 而不增加或少增加附加操作 4 尽量不影响原网络拓扑结构 便于系统及系统功能的扩展 5 安全保密系统具有较好的性能价格比 一次性投资 可以长期使用 6 安全与密码产品具有合法性 并便于安全管理单位与密码管理单位的 检查与监督 基于上述思想 网络信息安全系统应遵循如下设计原则 满足因特网的分级管理需求根据 Internet 网络规模大 用户众多的特点 对 Internet Intranet 信息安全实施分级管理的解决方案 将对它的控制点分 为三级实施安全管理 第一级 中心级网络 主要实现内外网隔离 内外网用户的访问控制 内 部网的监控 内部网传输数据的备份与稽查 第二级 部门级 主要实现内部网与外部网用户的访问控制 同级部门间 的访问控制 部门网内部的安全审计 第三级 终端 个人用户级 实现部门网内部主机的访问控制 数据库及终 端信息资源的安全保护 分步实施原则 分级管理分步实施由于网络系统及其应用扩展范围广阔 随着网络规模的扩大及应用的增加 网络脆弱性也会不断增加 一劳永逸地解 决网络安全问题是不现实的 同时由于实施信息安全措施需相当的费用支出 17 因此分步实施 即可满足网络系统及信息安全的基本需求 亦可节省费用开支 六 系统主要设备报价六 系统主要设备报价 品名规格单价数量 服务器曙光 DS 2120 2 649001 交换机思科 WS C2940 8TF S 44796 网卡 NETGEAR FA1205001 路由器 PIX 515E R DMZ BUN570001 光纤室外用 12 芯多模 37 500m 光纤收发器 10 100M 2 000 2 ST 光纤接头 8010 PVC 管材室外用 3330m AMP 信息面板 4200 RJ 45 1 5500 双用打线工具 2501 双绞线超五类非屏蔽 780 25 箱 PVC 管材室内用 3900m Windows 2000 server 19571 Microsoft office XP 简体中文标准版 39401 金山毒霸 6 1981 WinRAR Flashget Realone player 网络实名 3721 如需要可从 Internet 下载 表 2 硬件 165443 元 软件 6 095 元 合计 合计 168908 元元 18 七 网络测试及协议数据包分析七 网络测