毕业设计企业网络的组建与安全.doc

毕业设计论文题目 企业网络的组建与安全 指导老师 年级 09秋 专业 网络管理（专科）姓名 学号 0921201452186 日期 2011 年 06 月 28 日目录前言- 2 -一、工程概括- 3 -二、项目设计方案- 4 -1、整体布局设计- 4 -2、公司管理概述：- 4 -3、网络系统设计- 6 -4、系统设计- 10 -5、安全策略- 12 -6、打印系统- 13 -7、文件服务器- 26 -8、代理服务器- 34 -9、防病毒软件的安装与配置- 37 -三、工程实施- 38 -1、工程实施概述- 38 -2、布线系统实施- 38 -3、系统整体实施- 38 -4、人员组织情况- 39 -总结- 40 -致谢- 41 -参考文献- 42 -前言二十一世纪是信息化世纪，办公自动化、网络化、信息化、已经成为一种必不可少的必备条件。计算机技术的迅速发展和普及，已经大大的改变了人们的生活方式，计算机网络的应用和普及，正在掀起一场新的革命。随着计算机网络越来越深入到人们生活中的各个方面，计算机网络安全性也就变的越来越重要。计算机网络的技术发展相当迅速，攻击手段也是层出不穷。而计算机网络攻击一旦成功，就会使网络上成千上网的计算机处于瘫痪状态，从而给计算机用户造成巨大的损失。因此认真研究当今计算机网络存在的安全问题，提高计算机网络的安全防范意识是非常紧迫和必要的。虽然计算机网络给人们带来了巨大的便利，但由于计算机网络具有连结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受到黑客、恶意软件和其他不轨的攻击，所以网上信息的安全和保密是一个至关重要的问题。加强网络安全建设是关系到企业整体荥阳的利益的打问题。目前在各企业的网络中都存储这大量得信息资料。许多方面的工作也越来越依赖网络，一旦网络安全方面出现问题，造成信息的丢失或不能及时流通，或者呗篡改、增删、破坏或窃用，都将带来难以弥补的巨大损失。而对于政府等许多单位来讲，加强网全建设的意义甚至关系到国家的安全、利益和冲突。本论文以benet公司为例对企业计算机网络的安全具体进行论述。一、工程概括依照上海benet有限内部网技术规范（以下简称“技术规范”）经过认真分析、研究和比对，我们认为改建“benet网络发展有限公司”符合“benet网络发展有限公司”发展的需要，并且目标清晰、技术合理可行、所要求的网络硬件和软件功能完全可以实现。采用先进的计算机、网络设备和软件，以及先进的系统集成技术和管理模式，实现一个高效的办公网络体系。可将贵公司内部形成高效、通畅、安全的网络体系，初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到internet，是公司保持与外界先进事物以及合作伙伴、公司客户的密切联系。网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件将考虑技术上的先进性、国内外及各行业的通用性，并且要有良好的市场形象与售后技术支持，便于维护、升级。选购的同时，将考虑在满足功能与性能的基础上的最优性价比。为了实现基本的网络办公自动化，建设安全、健壮的公司办公局域网，网络结构将达到高效且具有良好的可扩展性，采用信息安全交换装置实现必要的信息传输。建成一个快速高效、通畅、安全的办公网络。新建网络系统可满足公司各项管理需要，同时考虑今后功能和信息增长的要求，选择的计算机以及网络设备具有先进性，适应越来越多的信息种类（声音、动画等多媒体数据）以及信息量的处理及传输要求。主机系统采用主流的网络操作系统，达到快速响应、安全稳定的运行，利用严格的权限设置，完善对公文的管理。根据不同部门的需求实现不同的安全级别。通过网络系统实现全公司统一的打印管理服务。为防黑客入侵、病毒的影响，保证公司数据的安全，采用目前最主流的防毒软件。二、项目设计方案1、整体布局设计公司组织结构2、公司管理概述：公司各部门经理向总经理负责，各部门员工向各部门经理负责。benet上海分公司的办公环境位于xx大厦5层西侧，面积约600，呈长方形，长30m，宽20m，具体故居布置如图所示 在办公大厅南侧，打隔断，分别隔出机房、会议室、分公司经理室和财务室。其他空间为大厅，销售部和工程部位于其中。大厅以及财务部公办公室采用隔断分隔出每个员工的办公空间。公司信息需要数量分布总计需要80个信息点，具体如下：地点大厅机房会议室分公司经理室财务部信息点数683423具体信息点布局如下图： 布线设计原则实用性、扩充性、先进性、高速性 系统能处理和传输多媒体信息，采取光缆组成网络，尽力提高网络的吞吐量。同时，应采用client/server结构模式，减轻网络通信资源的开销。可靠性具有足够的可靠性冗余、后援存储能力和容错能力，必须保证系统能长期稳定的运行，使故障的影响局部化，网络设计应利于故障的分析与排除。3、网络系统设计3.1、网络设备的选择由于网络设备是整个系统的基础，因此，应该采用主流的网络产品，以保证整个系统的稳定性和持续性。在该项目中，我公司选择美国cisco公司的网络设备，cisco公司是全球领先的网络设备提供商，拥有世界领先的技术水平和齐全的产品线，能够提供完善的售前、售后服务。路由器：采用2600系列路由器中的cisco2621xm这款产品，该款能满足目前系统的需求，以及性能指标，也能方便以后的升级和扩展cisco2621xm路由器简介：路由器类型：模块化路由器 路由器处理器：motorola mpc860 50mhz 最大flash内存：48mb 最大dram内存：128mb 固定广域网接口：可选广域接口wic卡 固定局域网接口：10/100base-t/tx 扩展插槽：3个 路由器网络协议：ieee 802.3x 路由器网管协议cisco clickstart,snmp路由器包转发率0.03安全标准ul 60950:2000, nom019:1998, en 60950:1992+a1+a2+a3+a4, acats 001: 1993思科2621xm外观参数 重量4.66kg 尺寸30044543mm交换机：采用cisco catalyst ws-c2950t-24这款产品，该款可满足系统的各项应用需求。交换机类型：快速以太网交换机 mac地址表：8000 交换机传输速率：10/100/1000mbps 交 ws-c2950t-24交换机简介：换机工作方式：存储-转发背板带宽：8.8gbps 包转发率：6.6mpps vlan支持：支持 网络标准：ieee 802.1x,10baset、100basetx、1000baset端口上的ieee 802.3x全双工操作,ieee 802.1d生成树协议,ieee 802.1p cos,ieee 802.1q vlan,ieee 802.3ab 1000basetx规范 ,ieee 802.3u 100basetx规范,ieee 802.3 10basetx规范设备名称名称特权模式密码路由器cisco2621xm123#a1号交换机ws-c2950-1123#a2号交换机ws-c2950-2123#a3号交换机ws-c2950-3123#a3.2、网络地址分配大厦给公司提供了一个c类地址为：54、30， ip地址分配表物理接口ip地址子网掩码对端ip地址子网掩码网关接入路由器f0/05452535253sw1交换机f0/1sw2交换机f0/1web/ftp服务器5452535253文件服务器打印服务器域控制器代理服务器为了保证目前公司所有员工都可以同时使用网络，进行资源共享和数据通信，在二层交换机上采用vlan进划分，用于分割整个的网络的广播域。vlan划分表部门名称主机地址子网掩码网关vlan机房（服务器群）和sw1、sw28财务部和经理室6工程部353销售部3544、系统设计4.1、域控制器设计作为公司的dc服务器，我们采用性能较好的联想 万全t100 g9系列品牌电脑。其主要配置如下： 处理类型：64位 cpu ：intel pentium e2200 2.2g 内存：ddr2 2g 硬盘：160gg sata接口 7200转 网卡：1000m 以太网卡 操作系统：windows server 2003 主要服务：目录服务、dns服务、防病毒软件服务 计算机名：dc ip地址：/24配置完成后，把dc放置在机房中。连接在交换机上。为了便于集中的管理，整个网络系统规划为单域结构。在域中用基于部门的方式进行创建ou（组织单元），用于存储和管理各部门的用户帐号、共享文件夹及打印机等网络资源。各部门的组织单位命名按部门名称的设置。根据网络结构的变化和未来公司结构的扩展，此结构可以方便地增加和减少管理单元，能够适应公司未来人事扩展需求。根据benet网络发展有限公司的要求，整个域的规划如下shanghai.benet经理部销售部财务部工程部共享文件夹共享的打印机4.2用户账户及用户组规划根据员工的组织结构，为每名员工建立唯一的域用户账户，并将员工账户建立在员工所在的组织单位中。根据不同员工的个人/部门的不同状态，为每个员工的帐号进行相应的处理。 公司员工组织结构图 用户账户命名规则 经理部：登录名为“中文姓名汉语拼音全拼”，统一密码为abc-1234，用户下次登录时须更改密码 财务部，登录名为“中文姓名汉语拼音全拼”，统一密码为abc1234。用户下次登录时须更改密码。 销售部：登录名为“中文姓名汉语拼音全拼”，密码：abc-1234，用户不能更改密码 工程部，登录名为“中文姓名汉语全拼”，统一密码为abc-1234,用户不能更改密码。根据上海benet网络发展有限公司的规定，所有员工帐号只能在上班时登陆计算机（上班时间为8：0018：00），故需在用户帐中设置登陆时间，将登陆时间设定为只有周一至周五可以登陆公司网络。因总经理和各部门经理工作的特殊需要，为其配置漫游配置文件。配置方法：1 在dc上创建一个共享文件夹，名为share。其共享属性为：修改。2 在账户管理中，右击需要配置的账户 属性 配置文件 配置文件路径：shareusername% ，单击确定，即可。5、安全策略5.1、密码审核策略 整个公司采用统一的安全策略，安全策略在域级别设置，将会对公司域中所有的用户和计算机生效。根据公司需要，在域安全策略中设置如下的策略1)密码策略启用密码必须符合复杂性要求密码长度最小值为5密码最长存留期为30天帐户锁定策略帐户锁定阀值为5次无效登录 账户锁定阀值为3次 复位账户锁定计数器为30分钟2)审核策略启用审核登录事件起用审核对象访问5.2、组策略公司所有员工桌面有统一的背景，而且普通员工不可以修改桌面设置。所有员工都有关机权限。并根据不同的部门进行不同的设计。3）administrator的管理安全：由于administrator具有最高权限，因此由administrator的密码泄露所造成的损失是无法想象的。因此需要对administrator进行相应的编辑处理，以保证administrator密码的安全性。a. 把administrator藏起来：b. 不显示上次的用户名： 6、打印系统利用windows系统提供的打印共享功能，公司全部系统实现网络打印。打印机选择著名厂商hp公司的激光打印机和喷墨打印机产品，所有打印机速度不低于14 ppm，可以实现高速的黑白和彩色打印。全部打印机直接接入网络，培植打印服务器支持全公司员工的打印需求，同时利用打印权限的设置保障打印机的有效合理使用。所有打印机共享后发布在目录服务中，保证用户利用打印机的各种属性可以迅速在网络中查询到所需要的打印机6.1、打印服务器配置设计作为公司的打印服务器，我们采用性能较好的联想天骄i660系列品牌电脑。其主要配置如下： 处理类型：64位 cpu ：intel 酷睿2双核e6320 1.86ghz 主板芯片组：intel 946gz 内存：ddr2 2g 硬盘：80gb sata接口 7200rpm 网卡：realtek rtl8139 family pci fast ethernet nic 操作系统：windows server 2003 主要服务：打印服务 计算机名：printsever ip地址：/24配置完成后，把打印服务器放置在机房中。连接在交换机上。所有员工的计算机作为客户机通过安装网络打印机添加相应的打印机完成打印。6.2、打印设备表单打印机型号打印机名共享名位置用途hp color laserjet 2605hp1printer-jl经理办公室经理专用hp laserjet p1505hp2printer-cw财务部财务部专用hp laserjet p1505hp3printer-xs技术部销售部专用hp laserjet p1505hp4printer-gc工程部工程部使用hp laserjet m1522nfhp5printer-00大厅所有员工打印机简介l 惠普 laserjet p1505(cb412a) 打印机类型:黑白激光打印机,中小企业中端/黑白打印速度:23ppm/最大打印幅面:a4/最高分辨率:1200*1200dpi/纸张容量:10页优先进纸槽,250页通用进纸槽/内存:标配2m/接口:usb接口l 惠普 laserjet m1522nf标配功能:打印,扫描,复印,传真/内存:64mb/接口类型:10/100base-t 以太网端口,高速 usb 端口(兼容 2.0)rj-11传真端口,rj-11电话线输出端口/尺寸:406496402mm/重量:11kg6.3、打印权限设置a. 总经理对所有打印具有优先权b. 部门经理对该部门打印具有优先权c. 管理员和总经理对所有打印机具有管理权d. 财务经理对财务部专用打印用具有管理权设置如下：权限打印机管理权优先权打印权说明printer-jl管理员和总经理管理员（99）总经理（99）管理员和总经理总经理专用printer-cw管理员、总经理、财务部经理管理员（99）总经理（99）财务部经理（50）财务部员工（1）管理员、总经理财务部员工财务部专用printer-xh管理员、总经理销售部经理管理员（99）总经理（99）销售部经理（50）销售部员工（1）管理员、总经理、销售部员工销售部专用printer-gc管理员、总经理工程部经理管理员（99）总经理（99）工程部经理（50）工程部员工（1）管理员、总经理、工程部员工工程部专用printer-00管理员和总经理管理员（99）总经理（99）所有员工（1）所有人所有员工使用实现方法：以打印机printer-cw为例进行配置1、安装驱动。1 连接hp2到打印服务器上2 打开“控制面板”中的“打印机和传真”“添加打印机”“下一步”，选择“连接到这台计算机的本地打印机”如图3 在“使用一下端口”中，选择lpt1端口4 选择打印机型号。5 输入打印机名hp26 输入共享名为：printer-cw7 下一步直至安装完成。2、配置打印机优先级v 在打印服务器上安装3台打印机（这3台逻辑打印机共用一台设备），如图其中hp2为总经理和管理使用，hp2(1)为财务部经理使用，hp2(2)为财务部员工使用设置hp2的优先级为99，hp2（1）的优先级为50，hp2（2）的优先级为1全部配置完成后，把相应的客户机连接到相应的打印机上，即可。3、打印机权限打印机是网络中非常重要的资源，只有经过授权的用户才能使用。因此需要配置打印机的权限管理来防止非法访问。以下是对hp2进行的配置hp2（1）的配置hp2(2)的配置，赵六作为部门经理拥有管理文档权限，caiwu组中包含了所有财务部员工的账户4、打印机的发布在默认情况下，共享的打印机已经发布到活动目录中。故不需在做其他配置7、文件服务器文件资源是网络中最常使用的资源之一，故需配备一台文件服务器，用于公司日常的正常文件需求。文件服务器的配置要求通过设置专用的文件服务器完成公司文档的集中管理，在文件服务器上为部门及用户建立专用的文件夹，分别存储公共文档及员工个人工作文档服务器采用大容量磁盘和windows系统中特有的ntfs文件系统，实现文件级的安全员工可以通过映射网络驱动器访问服务器上的文档，就像在本地访问资源一样快捷在服务器上使用ntfs文件系统中提供的磁盘配额功能保障存储空间得到有效合理的利用采用一台联想天骄s3038i做为文件服务器。主要配置如下：v cpu：intel 酷睿2双核v 内存：2g ddr2v 硬盘：5块4块50g硬盘）v 网卡：realtek rtl8139 family pci fast ethernet nicv 操作系统：windows server 2003 v 主要服务：磁盘配额v 文件系统：ntfsv 域：shanghai.benetv 计算机名：fileseverv ip地址：/24v 放置位置：机房7.1、系统磁盘管理文件服务器硬盘划分为2个区，分别为c盘和d盘，c盘为主分区，安装操作系统，容量为12gb。d盘为4块10gb的硬盘组成的磁盘阵列rid-5卷。因文件服务器中存放着公司的重要文件，同时为了快速的读写，我们采用rid-5这种磁盘阵列。所有分区均采用ntfs文件系统。在d盘上建立文件夹file和“公司信息”共享，共享名为file和“公司信息”。在file文件夹下根据部门分别建立文件夹并以部门名称命名。在每个部门文件夹根据员工姓名分别为每个员工建立文件夹。在“公司信息”下，共享文件夹内存放了每个部门的信息和“公司通知信息.txt”。7.2、权限的设置l 总经理可以读取和修改全公司所有文档l 部门主管可以读取和修改本部门的文档l 普通员工只能读取本部门文档l以财务部为例：共享权限为ntfs权限为：7.3、文件服务器的备份文件服务器中公司信息文件夹，每天都会有大量的数据变化。但在计算机工作时，会遇到各种意外情况，如硬件的损坏、病毒的感染和误操作等，这些都可能导致数据的丢失，甚至是操作系统的彻底崩溃。为了能在出现意外情况时，能够尽量减少数据的损失，并尽快恢复数据，就要提前准备好相应的措施，如操作系统和用户数据的备份等。这些可以使用windows server 2003环境下的ntbackup.exe来实现。根据公司的情况我们决定使用：常规备份+差异备份 来进行公司信息文件夹的备份。每周日23：00开始进行常规备份，每天23：00开始执行差异备份。为了方便的完成重复性任务，需要使用任务计划来实现a) 启动ntbackup，选择“开始”“运行”输入“ntbackup”单击确定。b) 单击“开始备份”按钮，单击“计划”按钮c) 提示是否保存备份选项，单击“是”按钮，保存文件时输入帐户名和密码d) 单击确定，输入作业名“公司信息常规备份”，单击确定。e) 在日程安排中选择每周，开始时间为23：00，并勾选星期日，单击确定，出现下图f) 再次输入用户名和密码，单击确定。完成默认情况下，备份类型是常规备份，要创建差异备份计划，需要先将类型修改为差异。其他步骤与前面类似。4）共享文件的误操作由于总经理可以读取和修改全公司所有文档，且总经理可能不具有相应的电脑操作知识。需要记录和审合总经理帐号对公司信息的访问行为。a. 启用服务器的审核策略中的审核对象访问策略，并刷新策略。b. 在公司信息文件夹的“安全”属性“高级”“审核”中，添加总经理的帐号及详细的审核项目c. 以后就可以使用“事件查看器”，查看服务器上的“安全”日志，查看总经理的访问记录了。5）磁盘配额的设置文件服务器采用windows系统提供的磁盘配额功能控制员工文档的存储量，在d盘上激活磁盘配额功能，限制如下： 每名员工总的存储量不能超过100m，警告级别为90mb，超过配额拒绝写入 总经理不限制配额实现方法：因总经理属于administrarors组，该组成员不受磁盘配置限制，所以不需对其做任何特殊设置就是实现：总经理不限制配额普通员工配额设置：右击卷d“属性”“配额”，选中“启用配额管理” 8、代理服务器代理服务器配置同打印服务器，在其基础上加一块1000m网卡根据需求，整个系统采用代理服务器软件实现internet的接入，根据公司员工人数及网络设备的数量，代理服务器软件采用代理软件ccproxy，采用该软件不仅可以实现代理上网、网站过滤、上网监控、日志记录等功能，同时最大程度的降低了成本。代理服务器软件直接安装在域控制器上，代理的协议和端口均按默认设置配置。配置代理软件ccproxy 不允许员工上“新浪”、“163”网站 只能在上班时间上网具体实现办法：1. 启动ccproxy，点击“帐号”，选择“允许部分”2. 单击“新建”，出现“帐号”对话框。可以在对话框中设置用户名、ip地址、连接数等等。具体见下图3. 选中“网站过滤”复选框，单击右面的“e”， 出现“网站过滤”对话框，在其中设置如下内容。4. 单击确定，返回。选中“时间安排”复选框，单击右面的“e”，出现“时间安排”对话框。5. 在其中设置周一到周五中的，8：0017：00可以上网。关闭窗口。6. 在完成代理服务器的配置后，需对客户机进行配置。在客户机的“internet选项”对话框中，单击“局域网设置”按钮，进入“为lan使用代理服务器”，输入ip地址和端口。9、防病毒软件的安装与配置l 将防病毒软件安装到代理服务器上，用软件分发安装功能再安装到各个已经准备好的客户机上。l 管理symantec antivirus网络防病毒系统：应用策略到服务器和客户端，是指病毒定义更新，配置实时扫描。三、工程实施1、工程实施概述依据本项目的特点，本公司将调集本公司内最优秀的技术力量组成网络工程综合布线项目组，从组织上保证此项目从施工、安装、调试、试运行到维护保障、技术支持、技术培训、售后服务等各个环节有强大的技术力量进行支持并落实到人。项目组内责任明确，分工合作，协调配合。该项目组将保持技术队伍的稳定，直到该项目维护期结束后才撤消。工程实施过程主要分两个阶段：1) 随装修一起进行的布线系统实施过程2) 系统具体实施过程2、布线系统实施布线系统实施的前期部分因为和装修有很大关联，所有要根据装修工程的进度进行相应进行。在主干线槽以及分支铁管施工完成后，可以进行放线部分工作，由于系统结构比较简单，要求在一天内完成，根据现场实际情况，对暴露在线槽外的线缆进行相应的保护。完成后，相应的土建施工可以继续进行。墙面插座的安装和强电墙面插座同步进行，因为数量少，要求在2个小时内完成。办公隔断内的布线施工以及插座模块的安装与家具安装同步进行。在办公隔断安装顺利的情况下，在一天内完成。网络机柜内线缆的整理和配线架的安装在装修完成后进行，由于信息点数量不大，要求在一天内完成。配线架安装在机柜上部。所有线缆上应该按照设计做好标记，插座面板和配线架上按照设计标记信息点