中小型企业网络搭建毕业论文

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 学院学院 XXXXXXXXXXXXXXXX 届高职毕业作业届高职毕业作业 中小型企业网络搭建分析中小型企业网络搭建分析 指导老师 XXXXXX 职 称 XXXX 学生姓名 XXXXXX 学生学号 XXXXXXXXXXXXXXXX 年 级 XXXX 级 专 业 计算机网络技术 时 间 XXXX 年 XX 月 XX 日 2 毕业设计任务书 作业名称中小型企业网络搭建分析 学生姓名 XXXXXX 专业班级 XXXXXX 学号 XXXXXXXXXXXXXX 课题来源导师布置 指导老师 XXXXXX 主要内容 1 中小企业网络需求分析 2 典型中小企业组网实例 3 网络布线和综合布线 4 局域网的安全控制和病毒防治 进度说明 列几个 大点 1 编写前言 2 编写正文 3 编写摘要 4 编写目录 5 编写致谢 主要参考 资料 1 弗鲁姆 Richard Froom CCNP 学习指南 组建 Cisco 多层交换 网络 BCMSN 第 4 版 M 2007 2 WilliamStallings Network Security Essentials Applications and Standards Third Edition M 2007 3 施敏 李亚明 王国平 网络管理员之局域网组建与维护超级 技巧 1000 例 M 2007 4 李晋平 局域网组建和安全管理的实用技术 J 电脑开发与应用 2002 15 10 5 卫少军 中小企业办公局域网组建方案 J 科技情报开发与经济 2004 14 9 269 271 导师审查 意见 指导老师签名 年 月 日 3 目录 摘 要 3 前 言 4 第一章中小企业网络需求分 析 5 第二章典型中小企业组网实 例 5 第三章网络布线和综合布 线 1 5 第四章局域网的安全控制和病毒防 治 20 致 谢 26 4 摘要 信息化浪潮风起云涌的今天 企业内部网络的建设已经成为提升企业核心 竞争力的关键因素 企业网已经越来越多地被人们提到 利用网络技术 现代 企业可以在供应商 客户 合作伙伴 员工之间实现优化的信息沟通 这直接 关系到企业能否获得关键的竞争优势 近年来越来越多的企业都在加快构建自 身的信息网络 而其中绝大多数都是中小企业 目前我国企业尤其是中小型企 业网络建设正在如火如荼的进行着 本文以中小型企业内部局域网的组建需求 实际管理为出发点 从中小型企业局域网的管理需求和传统局域网技术入手 研究了局域网技术在企业管理中的应用 关键词 中小企业 局域网 组网案例 网络布局 网络安全 5 前言 随着计算机及局域网络应用的不断深入 特别是各种计算机应用系统被相 继应用在实际工作中 各企业 各单位同外界信息媒体之间的相互交换和共享 的要求日益增加 需要使各单位相互间真正做到高效的信息交换 资源的共享 为各单位人员提供准确 可靠 快捷的各种生产数据和信息 充分发挥各单位 现有的计算机设备的功能 为加强各公司内各分区的业务和技术联系 提高工 作效率 实现资源共享 降低运作及管理成本 公司有必要建立企业内部局域网 局域网要求建设基于 TCP IP 协议和 WWW 技术规范的企业内部非公开的信息管理 和交换平台 该平台以 WEB 为核心 集成 WEB 文件共享 信息资源管理等服 务功能 实现公司员工在不同地域对内部网的访问 6 第一章第一章 中小企业网络需求分析中小企业网络需求分析 中小企业局域网通常规模较小 结构相对简单 对性能的要求则因应用的 不同而差别较大 许多中小企业网络技术人员较少 因而对网络的依赖性很高 要求网络尽可能简单 可靠 易用 降低网络的使用和维护成本 提高产品的 性能价格比就显得尤为重要 基于以上特点 应遵循下列设计原则 1 把握好技术先进性与应用简易性之间的平衡 2 具有良好的升级扩展能力 3 具有较高的可靠性和安全性 4 产品功能与实际应用需求相匹配 80 的中小企业用户通常只用到局域 网 20 的功能 精简功能设计的产品不但可以在满足大多数需求的情况下有效 降低成本 而且还能够提高系统的稳定性和易维护性 7 5 尽可能选择成熟 标准化的技术和产品 恰当运用以太网的不同标准和功能 以太网技术能够在双绞线 多模光纤 单模光纤等介质上传输数据 可以非常简单地升级到百兆 千兆的速率 而且 具有很高的稳定性和可管理性 以太网提供了多种标准和功能 比如 10Mbps 100Mbps 1000Mbps 不同速 率的标准 双绞线 光纤等不同介质的标准 以及网络管理 流量控制 VLAN 优先级 链路聚合等功能 第二章第二章 典型中小企业组网实例典型中小企业组网实例 一 一 案例描述案例描述 典型中小企业组网实例 申请一个公网 IP 和 10M 带宽 单台路由器 WEB 服务器 通讯机 业务主机等 客户端办公电脑 100 台左右 多部门划分 VLAN 用 ACL 控制各部门访问权限 配置网络打印机 二 二 硬件设备硬件设备 序号设备名称 规格 单位 数量单价 元 合价 元 1 交换机 Cisco 4503 台 1 7400 Cisco 2960 48t 台 9300 2 路由器 Cisco 2821 台 1 14500 3 防火墙 Nokia IP355 台 1 34500 Cisco Catalyst 4500 系列能够为无阻碍的第 2 3 4 层交换提供集成式弹 性 因而能进一步加强对融合网络的控制 可用性高的融合语音 视频 数据网 络能够为正在部署基于互联网企业应用的企业和城域以太网客户提供业务弹性 8 4500 系列中提供的集成式弹性增强包括 1 1 超级引擎冗余 集成式 IP 电话电 源 基于软件的容错以及 1 1 电源冗余 硬件和软件中的集成式冗余性能够缩 短停机时间 从而提高生产率 利润率和客户成功率 是用于公司企业网络交 换机群核心层高性价比的一系列 Cisco WS C2960 48T 拥有大数量的接口 全智能自动全双工半双工识别 具有用于接入层交换机的良好优势 能够快速转发用户的数据 Cisco 2821 是一台多业务路由器 比较适合中小型企业的需求与应用 Nokia IP355 是一款应用于中小型企业的防火墙产品 能够进行 SNMP Telnet FTP SSHv2 安全 Telnet FTP HTTP 服务器 RFC 2068 SSL TLS RFC 2246 命令行运用的管理和对流量的过滤 对于中小型的安全问题防护性能 比较良好 三 三 IPIP 地址规划地址规划 部门 IP 地址 公网地址 220 156 66 117 路由器内部 192 168 0 1 30 核心交换外部 192 168 0 2 30 Web 服务器 192 168 2 1 24 业务主机 192 168 2 2 24 通讯机 192 168 2 3 24 网络打印机 192 168 30 1 24 财务部 192 168 40 1 24 9 设计部 192 168 41 1 24 市场部 192 168 42 1 24 四 网络拓扑 四 网络拓扑 五 配置需求及解决方案 五 配置需求及解决方案 为了直观方便 配置需求全部在配置命令中加以单点说明 并且配置命令 量大反复 这里只列出重点命令 1 配置 Router 接口 interface fastethernet0 1 10 ip address 192 168 0 1 255 255 255 252 duplex auto speed auto ip nat inside no shutdown interface fastethernet0 2 ip address 220 156 66 117 255 255 255 248 duplex auto speed auto ip nat outside no shutdown 路由 ip route 0 0 0 0 0 0 0 0 220 156 66 117 过载 ip nat inside source list 110 interface FastEthernet0 2 overload access list 110 permit ip 192 168 0 0 0 0 255 255 any 2 配置 Core switch VTP VTP Version 2 11 Configuration Revision 7 Maximum VLANs supported locally 1005 Number of existing VLANs 9 VTP Operating Mode Server VTP Domain Name OA VTP Pruning Mode Disabled VTP V2 Mode Enabled VTP Traps Generation Enabled VLAN core sw vlan database 进入 vlan 配置模式 core sw vlan vtp domain OA 设置 vtp 管理域名称 OA core sw vlan vtp server 设置交换机为服务器模式 core sw vlan vlan 10 name shichang 创建 VLAN 10 为市场部 core sw vlan vlan 11 name caiwu 创建 VLAN 10 为财务部 core sw vlan vlan 12 name sheji 创建 VLAN 12 为设计部 core sw vlan vlan 13 name netprinter 创建 VLAN 13 为网络打印 机 core sw vlan vlan 20 name server 创建 VLAN 20 为服务器组 core sw config interface vlan 10 12 core sw config if ip address 192 168 42 254 255 255 255 0 core sw config interface vlan 11 core sw config if ip address 192 168 40 254 255 255 255 0 core sw config interface vlan 12 core sw config if ip address 192 168 41 254 255 255 255 0 core sw config interface vlan 13 core sw config if ip address 192 168 30 254 255 255 255 0 core sw config interface vlan 20 core sw config if ip address 192 168 2 254 255 255 255 0 将接入层 SW 上的端口根据需要划分至各个 VLAN 3 配置 ACL 配置 ACL 应用在各个部门 VLAN 接口上 控制各部门互访 access list 10 permit 192 168 2 0 0 0 0 255 access list 10 permit 192 168 30 0 0 0 0 255 access list 10 deny 192 168 0 0 0 0 255 255 access list 10 permit any 进入 vlan 10 ip access group 10 out 把访问控制列表 10 应用于 VLAN 10 OUT 方向上 市场部内部可以互访 13 可以访问服务器网段和网络打印机网段 但不能访问财务部和设计部所在网段 access list 11 permit 192 168 2 0 0 0 0 255 access list 11 permit 192 168 30 0 0 0 0 255 access list 11 permit 192 168 42 0 0 0 0 255 access list 11 deny 192 168 0 0 0 0 255 255 access list 11 permit any 进入 vlan 11 ip access group 11 out 把访问控制列表 11 应用在 VLAN 11 OUT 方向上 财务部内部可以互访问 可以访问服务器网段和网络打印机网络 可以访问市场部网段 但不能访问设 计部网段 设计部 VLAN 12 网络打印机 VLAN 13 服务器 VLAN 20 可以访问任意 网段 应用访问控制列表 access list 110 在 in 的方向上 封掉常见病毒端 口 access list 110 deny tcp any any eq 1068 access list 110 deny tcp any any eq 2046 access list 110 deny udp any any eq 2046 access list 110 deny tcp any any eq 4444 access list 110 deny udp any any eq 4444 access list 110 deny tcp any any eq 1434 14 access list 110 deny udp any any eq 1434 access list 110 deny tcp any any eq 5554 access list 110 deny tcp any any eq 9996 access list 110 deny tcp any any eq 6881 access list 110 deny tcp any any eq 6882 access list 110 deny tcp any any eq 16881 access list 110 deny udp any any eq 5554 access list 110 deny udp any any eq 9996 access list 110 deny udp any any eq 6881 access list 110 deny udp any any eq 6882 access list 110 deny udp any any eq 16881 access list 110 permit ip any any 可以根据实际需要将此 ACL 应用于任一接口 或者添加一些屏蔽软件的端 口 达到管理内部员工的目的 也可以用局域网内部的管理软件 更加直接方 便 并且易于操作 4 配置业务主机 用 IIS 架设 IIS 只适用于 Window NT 2000 XP 操作系统 安装 Window XP 默认安装时不安装 IIS 组件 需要手工添加安装 进入控制面 板 找到 添加 删除程序 打开后选择 添加 删除 Window 组件 在弹出 15 的 Window 组件向导 窗口中 将 Internet 信息服务 IIS 项选中 在该 选项前的 背景色是灰色的 这是因为 Window XP 默认并不安装 FTP 服务 组件 再点击右下角的 详细信息 在弹出的 Internet 信息服务 IIS 窗口中 找到 文件传输协议 FTP 服务 选中后确定即可 安装完后需要重启 Window NT 2000 和 Window XP 的安装方法相同 设置 电脑重启后 业务主机就开始运行了 但还要进行一些设置 点击 开始 所有程序 管理工具 Internet 信息服务 进入 Internet 信息服务 窗 口后 找到 默认 FTP 站点 右击鼠标 在弹出的右键菜单中选择 属性 在 属性 中 我们可以设置业务主机的名称 IP 端口 访问账户 FTP 目 录位置 用户进入 FTP 时接收到的消息等 FTP 站点基本信息 进入 FTP 站点 选项卡 其中的 描述 选项为该 FTP 站点的名称 用 来称呼你的服务器 这里设置名称为 业务主机 IP 地址 为服务器的 IP 设置为 192 168 2 2 TCP 端口 一般仍设为默认的 21 端口 连接 选项用来设置允许同时连接服务器的用户最大连接数 连接超时 用来设置 一个等待时间 如果连接到服务器的用户在线的时间超过等待时间而没有任何 操作 服务器就会自动断开与该用户的连接 设置账户及其权限 很多 FTP 站点都要求用户输入用户名和密码才能登录 这个用户名和密码 就叫账户 不同用户可使用相同的账户访问站点 同一个站点可设置多个账户 每个账户可拥有不同的权限 如有的可以上传和下载 而有的则只允许下载 安全设定 进入 安全账户 选项卡 有 允许匿名连接 和 仅允许匿名连接 两 项 默认为 允许匿名连接 此时业务主机提供匿名登录 仅允许匿名连接 是用来防止用户使用有管理权限的账户进行访问 选中后 即使是 16 Administrator 管理员 账号也不能登录 FTP 只能通过服务器进行 本地访 问 来管理 至于 FTP 站点操作员 选项 是用来添加或删除本业务主机具 有一定权限的账户 与其他专业的业务主机软件不同 它基于 Window 用 户账号进行账户管理 本身并不能随意设定业务主机允许访问的账户 要添加 或删除允许访问的账户 必须先在操作系统自带的 管理工具 中的 计算机 管理 中去设置 Window 用户账号 然后再通过 安全账户 选项卡中的 FTP 站点操作员 选项添加或删除 但对于 Window 2000 和 Window XP 专业版 系 统并不提供 FTP 站点操作员 账户添加与删除功能 只提供 Administrator 一个管理账号 设置用户登录目录 最后设置 FTP 主目录 即用户登录 FTP 后的初始位置 进入 主目录 选 项卡 在 本地路径 中选择好 FTP 站点的根目录 并设置该目录的读取 写 入 目录访问权限 设置完成后 业务主机就算建成了 第三章第三章 网络布局和综合布线网络布局和综合布线 公司组网 我们不仅要从企业本身的实际需求出发 根据组网经费的多少 来务实地规划与设计网络 在采购好网络设备和服务器等设备后 如何对机房 办公地点进行合理的网络布局与布线 是致关重要的 网络布局主要是指机房 里的网络设备 服务器等设备如何放置 它们又与网络布线如何相处 总之网 络布局要考虑周全 一 一 网络布局的原则网络布局的原则 1 实用性 企业组建的局域网应当根据机房的大小 设备的多少来具体实施 根据网 络布线的特点来发挥网络布局实用性是非常重要的 17 2 全面性 组网过程中 网络 服务器等设备放置位置应当统筹兼顾 网络布局要考 虑周全 尽量让各种设备和布线系统处于合理的位置 3 可靠性 组网无论怎样布局 最终的目的是保证我们的局域网的所有设备能可靠稳 定地运行 使得网络能正常运转 4 便于维护与升级 网络的组网不是一成不变的 随着 IT 企业业务的不断发展的需求 原先组 建的局域网就需要不断地完善和扩充 在日常的网络运行维护中 规划网络布 局时就应该考虑到便于以后网络的维护与升级操作 二 二 网络布局的具体实施要求网络布局的具体实施要求 对于有线局域网来说 这是我们目前企业网络建设中 经常会遇到的 需 要对机房和办公大楼进行布线 规划网络布局要考虑到机房的设备布局和布线 系统的合理搭配 因此我们首先要规划与设计好机房 布线系统 然后再全面 地考虑网络的布局 1 机房的规划与设计 为了确保网络 计算机系统稳定 安全 可靠地运行 以及保障机房工作 人员有良好的工作环境 做到技术先进 经济合理 安全适用 确保质量 符 合国家有关的机房设计规定 1 防静电 静电不仅会对计算机运行出现随机故障 而且还会导致某些元器件 双级 性电路等的击穿和毁坏 此外 还会影响操作人员和维护人员的正常的工作和 身心健康 18 2 防火 防盗 计算机房在设计时 重点要考虑机房的消防灭火设计 设计时可以根据消 防防火级别来确定机房的设计方案 计算机房火灾报警要求在一楼设有值班室 或监控点 机房里应注意防盗设施的安装 具体地可采用防盗门 防盗锁 警 卫 自动报警系统等等 3 防雷 由于机房通信和供电电缆多从室外引入机房 易遭受雷电的侵袭 机房的 建筑防雷设计尤其重要 计算机通信电缆的芯线 电话线均应加装避雷器 4 保湿 保温 机房里的湿度应保持在 20 80 为宜 机房的温度应保持在 15 35 摄氏 度 安装空调来调节温度是解决此问题最好的办法 2 布线系统的规划与设计 有了好的机房 网络设备就有了好的 家 组建的 IT 网络应当通过布线 系统将机房和办公地点互联起来 确保网络的正常运行 如果企业的接入点较 多 我们可以采取接入层 汇聚层 交换层三个网络层次的设计 在此基础上 进行布线系统 对于接入层来说 选择一个合理的接入设备 是最关键的 而且我们要根 据接入设备选择合适的带宽 汇聚层是整个局域网的核心部分 汇聚层网络设 备一般支持网络管理功能 方便我们的管理和维护 方便以后我们的网络升级 和改造 交换层是整个网络中的中间层 连接着汇聚层和网络节点 是决定我 们整体网络传输质量的很重要的一个环节 随着百兆网络设备的普及 我们交 换层的网络设备 肯定首选百兆 布线是连接网络接入层 汇聚层 交换层和网络节点的重要环节 在布线 时 最好使用专门的通道 而且不要与电源线 空调线等具有辐射的线路混合 19 布线 接入层与汇聚层之间的双绞线 可以选择超五类屏蔽双绞线 以使网络性 能得到最大的提升 汇聚层与交换层之间的双绞线 由于是网络数据传输量最 大的一个层次 同样采用超五类屏蔽双绞线 交换层与网络节点之间 我们就 可以采用普通的超五类非屏蔽双绞线 网络设备的放置 最好放在节点的中央位置 这样做 不是为了节约综合 布线的成本 而是为了提高网络的整体性能 提高网络传输质量 由于双绞线 的传输距离是 100 米 在 95 米才能获得最佳的网络传输质量 在做网络布线时 最好能够设计一个设备间 放置网络设备 三 网络布局的规划与设计 目前的网络设备大都采用机架式的结构 多为扁平式 活像个抽屉 如交 换机 路由器 硬件防火墙等 这些设备之所以有这样一种结构类型 是因为 它们都按国际机柜标准进行设计 这样大家的平面尺寸就基本统一 可把一起 安装在一个大型的立式标准机柜中 这样做的好处非常明显 一方面可以使设 备占用最小的空间 另一方面则便于与其它网络设备的连接和管理 同时机房 内也会显得整洁 美观 我们经常接触到的放置机房里有网络机柜 服务器机柜以及综合布线柜 从这三个机柜的名字就可以看出它们各自所起的作用 一般来说 网络设备如 交换机 路由器 防火墙 加密机等以及网络通信设备如光端机 调制解调器 等是放置在网络机柜的 服务器机柜的宽度为 19 英寸 高度以 U 为单位 1U 1 75 英寸 44 45 毫米 通常有 1U 2U 3U 4U 几种标准的服务器 机 柜的尺寸也是采用通用的工业标准 通常从 22U 到 42U 不等 机柜内按 U 的高 度有可拆卸的滑动拖架 用户可以根据自己服务器的标高灵活调节高度 以存 放服务器 集线器 磁盘阵列柜等设备 服务器摆放好后 它的所有 I O 线全 部从机柜的后方引出 机架服务器的所有接口也在后方 统一安置在机柜的线 槽中 一般贴有标号 便于管理 20 综合布线柜一般配有前后可移动的安装立柱 自由设定安装空间 可按需 要配置隔板 风扇 电源插座等附件 配线架通常安装在机柜里 配线架的一 面是 RJ45 口 并标有编号 另一面是跳线接口 上面也标有编号 这些编号和 上面的 RJ45 口的编号是一一对应的 每一组跳线都标识有棕 蓝 橙 绿的颜 色 双绞线的色线要和这些跳线一一对应 这样做不容易接错 配线架不仅仅 是便于管理线对 而且可以防止串扰 增加线对的隔离空间 提供 360 度的线 对隔离 在机房中 必须放置交换机 功能服务器群和网络打印设备 以及局域网 络连接 Internet 所需的各种设备 如路由器 防火墙以及网管工作站等 因此 机房的网络布局一般至少有三个机柜 综合布线柜和网络机柜应当紧连在一起 便于调线操作 接下来是服务器机柜 将网络设备和布线系统进行合理的布局 在网络布局中 每个机柜最好留点空间 便于以后网络设备 服务器设备 的扩充 综合布线柜里有可能除了网络布线外 还有能布置电话线 所以要在 机柜里留下一定空间 从机柜内部线缆附设的角度看 机柜配置密度更高 容纳的 IT 设备更多 大量采用冗余配件 如冗余电源 存储阵列等 机柜内设备配置频繁变换 数 据线和电缆随时增减 所以 机柜必须提供充足的线缆通道 能从机柜顶部 底部进出线缆 在机柜内部 线缆的敷设必须方便 有序 与设备的线缆接口 靠近 以缩短布线距离 减少线缆的空间占用 保证设备安装 调整 维护过 程中 不受到布线的干扰 并保证散热气流不会受到线缆的阻挡 同时 在故 障情况下 能对设备布线进行快速定位 供电系统和制冷系统是计算机机房的两个重要部分 在供电系统中 一般 采用在线的 UPS 供电方式 蓄电池实际可供使用的容量与蓄电池的放电电流大 小 蓄电池的环境工作温度 贮存时间的长短以及负载的性质 电阻性 电感 性 电容性 密切相关 制冷系统 空调 涉及到机房的整个物理环境 包括 空调 地板 机柜及房间布局等诸多方面 因此 UPS 和空调我们也要考虑好将 21 它们放置在一个合适的位置 如果机房空间较大 可以将 UPS 和空调都放在机 房里 如果空间较小 可以把 UPS 包括蓄电池 放在配电房里 需要注意的 是如果大楼里安装有 中央空调 的话 机房里也必须安装独立的空调 因为 中央空调不可能 24 小时都开着 上班的时间可以利用中央空调 下班和星期节 假日的时候 如果服务器 网络设备需要正常运行的话 则必须要开机房里的 独立空调 机柜的扩展性表现在机柜内设备密度的扩展和机柜数量的扩展 因此网络 布局时必须将机柜的配风能力 通常称为散热能力 以及配电能力考虑在内 一方面 机柜内的设备需要温度 湿度适宜并且风量充足的冷风 冷空气 这 些冷风被机柜内的 IT 设备吸入 从而为设备内的部件 尤其是 CPU 降温 当 机柜内设备增加到一定数量时 由地板出风口送出的冷风风量将不能满足所有 设备的需求 从而形成部分 IT 设备配风不足而过热 解决机柜内设备密度扩展时遇到的这种局部热点问题可以采用调配 IT 设备 位置的方式来解决 例如 把热负荷最大的设备安装在机柜中部位置 以便获 得最大的配风风量 另外的解决方法是 在机柜的上部或下部位置安装轴向水 平的强排风扇 增强上部或下部的吸入能力 即减小 IT 设备的入口静压 从 而增加配风风量 另一方面 机柜内的设备需要供电以及与机柜外部进行通信 当机柜内的 IT 设备数量增加时 这些线缆 连接端子同时成倍地增加 从而对机架式电源 排插的容量 插口数量都提出了扩展要求 机柜内的布线空间也是需要提前考 虑的 因为当机柜内的功率密度提高时 设备后部的线缆将明显增加风阻 所 以必须考虑线缆管理及走线空间的问题 第四章第四章 局域网的安全控制与病毒防治局域网的安全控制与病毒防治 一 局域网安全威胁分析 一 局域网安全威胁分析 22 局域网由于通过交换机和服务器连接网内每一台电脑 因此局域网内信息 的传输速率比较高 同时局域网采用的技术比较简单 安全措施较少 同样也 给病毒传播提供了有效的通道和数据信息的安全埋下了隐患 局域网的网络安 全威胁通常有以下几类 1 欺骗性的软件使数据安全性降低 由于局域网很大的一部分用处是资源共享 而正是由于共享资源的 数据 开放性 导致数据信息容易被篡改和删除 数据安全性较低 例如 网络钓鱼 攻击 钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件 意图引诱收信人给出敏感信息 如用户名 口令 账号 ID ATM PIN 码或信用 卡详细信息等的一种攻击方式 最常用的手法是冒充一些真正的网站来骗取用 户的敏感的数据 以往此类攻击的冒名的多是大型或著名的网站 但由于大型 网站反应比较迅速 而且所提供的安全功能不断增强 网络钓鱼已越来越多地 把目光对准了较小的网站 同时由于用户缺乏数据备份等数据安全方面的知识 和手段 因此会造成经常性的信息丢失等现象发生 2 服务器区域没有进行独立防护 局域网内计算机的数据快速 便捷的传递 造就了病毒感染的直接性和快 速性 如果局域网中服务器区域不进行独立保护 其中一台电脑感染病毒 并 且通过服务器进行信息传递 就会感染服务器 这样局域网中任何一台通过服 务器信息传递的电脑 就有可能会感染病毒 虽然在网络出口有防火墙阻断对 外来攻击 但无法抵挡来自局域网内部的攻击 3 计算机病毒及恶意代码的威胁 由于网络用户不及时安装防病毒软件和操作系统补丁 或未及时更新防病 毒软件的病毒库而造成计算机病毒的入侵 许多网络寄生犯罪软件的攻击 正 是利用了用户的这个弱点 寄生软件可以修改磁盘上现有的软件 在自己寄生 的文件中注入新的代码 最近几年 随着犯罪软件 crime ware 汹涌而至 寄生软件已退居幕后 成为犯罪软件的助手 2007 年 两种软件的结合推动旧 23 有寄生软件变种增长 3 倍之多 2008 年 预计犯罪软件社区对寄生软件的兴趣 将继续增长 寄生软件的总量预计将增长 20 4 局域网用户安全意识不强 许多用户使用移动存储设备来进行数据的传递 经常将外部数据不经过必 要的安全检查通过移动存储设备带入内部局域网 同时将内部数据带出局域网 这给木马 蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性 另外 一机两用甚至多用情况普遍 笔记本电脑在内外网之间平凡切换使用 许多用 户将在 Internet 网上使用过的笔记本电脑在未经许可的情况下擅自接入内部局 域网络使用 造成病毒的传入和信息的泄密 5 IP 地址冲突 局域网用户在同一个网段内 经常造成 IP 地址冲突 造成部分计算机无法 上网 对于局域网来讲 此类 IP 地址冲突的问题会经常出现 用户规模越大 查找工作就越困难 所以网络管理员必须加以解决 正是由于局域网内应用上这些独特的特点 造成局域网内的病毒快速传递 数据安全性低 网内电脑相互感染 病毒屡杀不尽 数据经常丢失 二 二 局域网安全控制与病毒防治策略局域网安全控制与病毒防治策略 1 加强人员的网络安全培训 安全是个过程 它是一个汇集了硬件 软件 网络 人员以及他们之间互 相关系和接口的系统 从行业和组织的业务角度看 主要涉及管理 技术和应 用三个层面 要确保信息安全工作的顺利进行 必须注重把每个环节落实到每 个层次上 而进行这种具体操作的是人 人正是网络安全中最薄弱的环节 然 而这个环节的加固又是见效最快的 所以必须加强对使用网络的人员的管理 注意管理方式和实现方法 从而加强工作人员的安全培训 增强内部人员的安 全防范意识 提高内部管理人员整体素质 同时要加强法制建设 进一步完善 关于网络安全的法律 以便更有利地打击不法分子 对局域网内部人员 从下 24 面几方面进行培训 1 加强安全意识培训 让每个工作人员明白数据信息安全的重要性 理解 保证数据信息安全是所有计算机使用者共同的责任 2 加强安全知识培训 使每个计算机使用者掌握一定的安全知识 至少能 够掌握如何备份本地的数据 保证本地数据信息的安全可靠 3 加强网络知识培训 通过培训掌握一定的网络知识 能够掌握 IP 地址 的配置 数据的共享等网络基本知识 树立良好的计算机使用习惯 2 局域网安全控制策略 安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的 用户访问 目前网络管理工作量最大的部分是客户端安全部分 对网络的安全 运行威胁最大的也同样是客户端安全管理 只有解决网络内部的安全问题 才 可以排除网络中最大的安全隐患 对于内部网络终端安全管理主要从终端状态 行为 事件三个方面进行防御 利用现有的安全管理软件加强对以上三个方面 的管理是当前解决局域网安全的关键所在 1 利用桌面管理系统控制用户入网 入网访问控制是保证网络资源不被非 法使用 是网络安全防范和保护的主要策略 它为网络访问提供了第一层访问 控制 它控制哪些用户能够登录到服务器并获取网络资源 控制用户入网的时 间和在哪台工作站入网 用户和用户组被赋予一定的权限 网络控制用户和用 户组可以访问的目录 文件和其他资源 可以指定用户对这些文件 目录 设 备能够执行的操作 启用密码策略 强制计算机用户设置符合安全要求的密码 包括设置口令锁定服务器控制台 以防止非法用户修改 设定服务器登录时间 限制 检测非法访问 删除重要信息或破坏数据 提高系统安全行 对密码不 符合要求的计算机在多次警告后阻断其连网 2 采用防火墙技术 防火墙技术是通常安装在单独的计算机上 与网络的 其余部分隔开 它使内部网络与 Internet 之间或与其他外部网络互相隔离 限 25 制网络互访 用来保护内部网络资源免遭非法使用者的侵入 执行安全管制措 施 记录所有可疑事件 它是在两个网络之间实行控制策略的系统 是建立在 现代通信网络技术和信息安全技术基础上的应用性安全技术 采用防火墙技术 发现及封阻应用攻击所采用的技术有 1 深度数据包处理 深度数据包处理 在一个数据流当中有多个数据包 在寻找攻击异常行为的同时 保持整个数据 流的状态 深度数据包处理要求以极高的速度分析 检测及重新组装应用流量 以避免应用时带来时延 2 IP URL 过滤 一旦应用流量是明文格式 就必须 检测 HTTP 请求的