网络组建与应用解析

1、网络组建与应用报告专 业：通信技术班级： 通信13303学 号：1301301886姓名： 周艳珍一、企业联网需求分析企业想增强竞争实力， 必须随时改进和更新系统和网络， 但是机会增加常伴随着安全风 险的增加， 尤其是机构的数据对更多用户开放的时候 因为技术越先进， 安全管理就越复杂。所以企业为了消除安全隐患，下一步就需要对现有的网络、系统、 应用进行相应的风险 评估， 确定在企业的具体环境下到底存在哪些安全漏洞和安全隐患。 再次是在此基础上， 制 定并实施安全策略， 完成安全策略的责任分配， 设立安全标准： 几乎所有企业目前都有信息 安全策略， 只不过许多策略都没有书面化， 只作为完成任务的

2、一种手段。 恰当的信息安全策 略必须与机构的所有业务需求直接相关。毋庸置疑， 在互联网时代， 有效的公司信息安全管理对企业的良好运作至关重要， 但在具体 的实施过程中， 企业安全管理需要从前期安全策略的具体制定、 中期信息安全解决方案的选 择与实施、 后续的安全服务的跟进等多方面、 全方位予以重视，并作周到细致的考虑。 这既 涉及到企业系统如何在应用中实现安全管理， 同时又涉及到安全厂商如何提供全方位安全咨 询及后续安全服务等方面的问题。信息技术的迅猛发展极大地促进了网络在企业的普及应用， 当今的企业必须采用能够充分利 用结合优秀的传统方法及连网计算的新业务模式， 来获得竞争优势。 对许多企业

3、来讲， 问题 不在于数据安全是否必要， 而在于怎样在预算范围内以安全的方式管理复杂计算机环境、 多 种计算机平台和众多集成式计算机网络上的数据。各企业必须独立确定需要多高级别的安 全，以及哪种安全能最有效地满足其特殊业务需求。 这些问题仅靠安全解决方案是无法完成 的，而是企业安全管理必须解决的问题。二、企业局域网总体设计1、网络建设目标整合现有网络系统，构建公司从总公司到一级分公司、二级分公司的基于 IP 应用的骨 干网络通信平台，建立数据、语音、视频一体化网络；按照业务发展的需要，扩展骨干网的 网络带宽； 建立健全总公司以及各个省公司的数据中心； 统一全网的安全控制措施和安全监 测手段；集中

4、网络管理，实施分级维护；进一步规范 IP 地址的应用；积极开展网络综合应 用，在全公司逐步开通 IP 电话业务、视频会议系统以及网上培训业务；为业务发展提供良 好的网络环境。网络建设是一项基础工程， 要先于业务发展超前进行， 各分公司要根据实际情况逐步开 展现有网络的优化工作， 优化后的网络应能承载现有的各个业务系统， 同时为一级分公司的 数据集中和总公司灾备中心的建设提供基础保障，适应未来业务发展的需要。2、网络规划针对公司的网络需求及目前的网络现状，在进行网络设计改造时要综合考虑以下的因 素，从而建设一个安全、可靠、功能丰富的网络系统：广域网络、大楼网、数据中心及备份 中心、客户服务中心、

5、语言 /视频、网络外联、网络安全、网络管理。3、广域网络在广域网络设计时， 要考虑目前可用的网络资源以及网络拓扑结构。 根据目前的网络资 源以及地理分布情况，综合考虑网络资源的费用、 网上业务情况， 以及今后的发展趋势。广 域网络采用目前的树型结构，但要扩展网络资源的带宽，使之满足目前的数据、语音业务、 客户服务中心业务数据集中业务的需求； 同时为了满足将来的视频等其他应用对目前的网络 设备应考虑一定的扩展性对于从总公司到各个一级分公司之间的网络资源， 总公司根据先进性和可靠性选择， 要 求采用统一的网络资源；对于各个省内的网络资源，各一级分公司根据以上原则决定广域网设计将过渡到区域大中心的设

6、计，在全国根据业务以及地理位置考虑建立三个（如北京、上海、广州 ） 或多个区域数据中心，各个数据中心形成环状拓扑结构，各个大区内的省 份连接到相应的一个或两个 （保证网络的可靠性 ）区域中心；对于整个公司的数据来说，可以 分布到各个区域中心上，这样既提供了网络的可靠性，又保证了数据的冗余备份（灾难备份 ） 。4、数据中心及备份中心随着数据的集中， 公司的数据中心愈来愈重要， 要求我们在设计时要考虑到集中的或分 散的数据中心的情况；但无论如何，数据中心都要保证数据的安全可靠、数据的高速访问； 对数据中心来说，它是整个网络系统的核心， 要保证其他系统，包括大楼网系统、 广域网系 统、客户服务中心、

7、网管中心系统、外联系统的授权用户的高速的访问。对于目前的情况， 数据分散到各个省公司， 要求对各个省公司都设计相应的数据中心， 由于 全公司的数据都会集中备份到总公司， 所以总公司的数据中心尤其重要， 它是其他所有省公 司的备份中心。将来随着大区中心的建立， 可以减少各个省公司的数据中心的建设， 而且各个区域中心 互相备份，既节省系统投资和维护费用，而且提高整个系统的可靠性。 对于将来的数据的大集中而言，可以逐步考虑存储网络的运用。5、大楼网公司的大楼网主要负责公司大楼内的用户的网络连接，为楼内用户提供包括业务处理、 办公自动化、互联网访问、电子学习等方面的内容。网络的设计主要考虑网络性能、网

8、络的 可靠性、网络的安全。大楼网的建设需要与数据中心一起考虑。6、客户服务中心为了更好的为客户提供服务， 增加公司的竞争力， 建立客户服务中心势在必行。 与数据 的分布情况相对应， 在各个省公司建立相应的客户服务中心 （有的省公司的地市也有相应的 客户代表）。整个客户服务中心采用基于 IP 的 IPCC 方案，支持单点以及多点的客户服务中 心结构，同时支持业务代表的网络分布，适应目前的情况以及将来的业务的扩展和重分配。7、语音 /视频在满足业务运行需要并考虑运行维护成本的前提下， 可以考虑语音及视频的应用。 其中， 网络语音的实现也可以选择电信运营商提供的 IP 电话业务，而视频应着重于培训学

9、习系统 与电视会议。提供数据、 语音和视频的集成是整个网络建设的重要因素， 由于技术的进步， 在传统的 数据网络上提供语音和视频应用也成为可行而普遍的趋势。 提供数据、 语音和视频的集成一 方面可以降低语音通讯的成本， 满足整个公司语音的需求， 另一方面可以与客户服务中心结 合在一起，提供一个以客户为中心的综合服务系统。全网采用基于 IP 的语音和视频系统，该系统与客户服务中心的语音系统相同，可以方 便的扩展和灵活的布置。 通过 IP PBX 提供对整个语音系统的控制， 并把 IP 电话以及软电话 布置到整个公司，在必要的地方可以布置传统的电话，两者无缝地集成在一起。 视频系统的建设采用基于

10、IP 的视频广播和视频会议系统。前者提供基于网络的教育学习系 统以及实时的广播系统， 后者提供视频会议的功能。 其中视频广播可以和 OA 网络建设以及 电子培训统一考虑。8、网络外联随着公司保险业务种类和业务模式的扩展， 与其他网络的连接的需求越来越多， 包括银 行转帐、互联网保险服务等，要求提供与互联网以及其他网络的连接； 在网络建设中， 要采 用独立的非军事区 （DMZ） 的把这些业务与内网分开，并通过防火墙建立内网和DMZ ， DMZ与外网分开，从而提供安全的网络控制。9、网络安全对于我公司而言，网络系统的安全是最重要的因素，应该引起格外的重视； 网络的安全应该包括认证、授权和审计 （A

11、AA）。其中认证包括路由认证、拨号备份认证等；授权包括 权限控制、访问控制等；审计包括对网络系统的主动扫描和被动记录等。10、网络管理随着网络建设的进行， 网络规模的扩大，对网络的管理成为一个非常重要的课题；建立整个网络操控中心（NOC），对整个网络进行统一的管理，是网络建设中要考虑的要素之一。11、网络整体设计公司业务网络系统的核心就是广域网络骨干的建设，如何对现有网络进行改造以及对将来的网络结构进行规划是当前网络改造的首要任务。当今网络的发展远远超出了单纯追求基本连通历史阶段。我们在网络连通基础上需要更高要求的网络服务内容，它应包括Multiservice （多业务服务）-数据/图象/话音

12、、QoS （网络服务质量）、Security （安全性服务）、Reliability （高可靠性）、Scalability （可扩展性）、 Managability （可管理性）。我们必须要有清晰的网络总体设计思路及原则，遵循总体设计、 分步实施的原则，用新一代的网络设计思想、最成熟的网络技术对公司网络进行总体设计。12、层次化设计从管理和技术的角度来看，我们都要求采用层次化的网络设计结构，这样既方便了管理，又有利于扩展和灵活布置。整个广域网骨干系统保留目前的分层结构，也就是目前的三层结构，但对整个网络的资源以及网络的扩展性、 可靠性、安全性进行增强，同时提供对语音和视频等新的应用的支持。 总

13、公司-省分公司的网络作为骨干网即一级网；各省分公司-各地市分公司作为二级网；对于地市内的子公司，有两种方式进行联网：第一种方式是各子公司连接到相应的各个子公司， 这样整个网络为三层结构；对于服务器来说，网络改造后的服务器不再分布在各个地市分公司，而是集中到省分公司和总公司。下面是网络拓扑示意图：灾难 备粉中农地市仝苛地并内为了提供目前及将来扁平化管理的要求， 要把某些特定的地市分公司直接连接到总公司 的方法，但要求这些地市分公司存在服务器； 总公司要求等数据完全集中到总公司后实行扁 平化管理。另外，当数据集中到总公司后， 可以考虑数据备份中心， 并且采用存储网络实现全公司的数据集中，在两个中心

14、间根据情况通过高速光纤或其他高速网络资源实现互联，要求各个直接和总公司连接的一级分公司同时提供与备份中心的连接。从长远的规划来看，要求采用大区中心的概念，即根据某种策略把整个公司的数据集中 到相应的大区中心里，各个大区中心可以通过网络资源形成环形结构，数据集中到几个大区中心服务器上；各个一级分公司通过网络访问相应的数据，省内的分公司通过省公司的网络访问相应的数据。这样既提供了数据的集中和备份，有满足网络的可靠性要求。整个网络形成由大区中心构成的网络骨干层、各个省公司（以及一些特定的地市分公司）构成的接入层， 以及由其他地市分公司构成的基础层三层结构。下面是网络的拓朴图：核心路由器边界路由器nx

15、E1nxE1大区省公司省公司E1/FR/ISDNE1/FR/ISDNnxE1nxE1地市公司地市公司*大区大区X接入层nxE1nxE1省公司II*IP网络骨干(DDN/SDH/ATM )基础层13、支持多业务网络网络设计采用层次结构，支持数据、语音、视频三网合一，同时支持客户服务中心及OA的应用。为了对语音和视频的支持，整个网络要提供良好的服务质量保证（QOS）和优先级控制，这些措施不仅可以保证整个网络关键任务的运行，同时可以根据策略对不同的应用和业务提供不同的优先级和服务质量保证。14、网络资源以及网络骨干技术的选择公司租用电信运营商的 SDH（ 155Mbps）或一条E1/FR（2Mbps

16、）构成一级网络骨干（当建 设大区中心后建议租用 SDH构成环形结构，采用 POS技术建设公司网络骨干，提供高速、 可靠、支持多业务的网络核心）。对于接入层与骨干层以及基础层与接入层的的连接，可以租用ATM或传统电信资源（PCM 2Mbps, DS0，nX64Kbps，FR等）。考虑到数据集中后对网络可靠性要求的大幅提升，要求在主要网络资源外申请备份资 源，一级网和二级网由于数据流量大，承载的业务影响面大，应该申请ATM/DDN/FR作为目前SDH的备份线路，两条线路可以进行负载均衡、互为备份，为了进一步提高网络的可 靠性，可以考虑把拨号备份技术作为第三线路；三级网由于数据量较小，建议考虑采用拨

17、号备份（PSTN/ISDN等）作为主线路的备份线路，只有当主线路发生故障时或者主线路负载 超过设定范围是，拨号备份线路才启用，即保证了网络的可靠性，又节省一定的费用。对于网络带宽，任何两个节点之间的带宽都需要满足整个公司关键和重要业务的运行， 同时提供对附加业务的支持。关键业务包括保险业务处理、数据备份和同步、语音、客户服 务等，附加业务可以包括视频、电子学习等，这些业务的划分要根据公司统一的策略来决定。随着灾备中心的建设，各个一级分公司的广域网资源要有和公司灾备中心的连接。15、服务器群（Server Farm）局域网服务器群网络提供整个数据中心的服务器连接，包括保险业务服务器、财务服务器、

18、网上业务数据库服务器、 0A服务器、安全审计服务器等各种公司服务器；该区域是整个公司数据核心，保证其安全可靠的运行是整个数据中心设计的核心任务。服务器群的局域网主要作用是保证业务数据可靠、高速的进出数据中心的业务主机，因此需要采用两种常用技术： 访问控制、负载均衡。在该区域配备两台高速内容交换机，要求支持VLAN、VLAN访问控制、第三层功能、 智能负载均衡等，通过把不同的服务器组划分到不同的VLAN里面，通过 VLAN访问控制提供可调节的可控制的服务器相互访问；另外，由于随着业务的增加服务器的不断增加，对服务器的智能负载均衡，支持从第三层到第七层的负载均衡，可以采用不同的策略对访问进行动态分

19、配，从而保证最快的响应时间。在该区域还需要配备安全监控设备，动态实时监控特定的端口， 也可以实时的监控某一VLAN等，通过定义特定的策略来监控整个服务器的安全情况；对于负载均衡，可以定义多个虚拟的IP地址（VIP ）来制定多个服务器组， 并通过自动负载均衡在一组服务器里面分配 负载，提供给其他网络的访问地址是各个VIP。一服务器区物理连接图服务器区一-逻辑连接图VLAN-A拨号认证服务器VLAN-B保险业务 数据库主机VLAN-C企业网主机:全保护区Catalyst 6506Catalyst 6006防火墙PIX 535服务接入区防火墙PIX 535拨号认证 服务器保险业务 数据库主机企业网主

20、机CSMCatalyst 6506防火墙PIX 535数据中心设计Catalyst 6006idsVIVI服务接入区E-3： ids防火墙PIX 535Catalyst f.、. 6506下面是逻辑拓扑图：!野I乌-*网络管理中心服务器区保险业务拨号认证数据库主机服务器企业网主机楼内其它 楼层用户楼层交换机网上业务客户交换机交换机网上业务区I防火:防火墙防火墙F面是总公司数据中心网络物理拓扑图:客户服务中心交换机交换机网上业务 =.二服务器:护区网上业务交换机PSTN/ISDNFR连全国机房用户internetDMZ区域.、路由器hsE帰险业务 數据库主沖L -I -企业网主机Extra ne

21、twaiflK务器Email岷务器=1 =J防火墙I外联系统 L数据库服务器WAN网络安全及维护系统1方案设计根据我公司的网络状况，在与Internet/Extranet等外网的接入、PSTN/ISDN的拨号接入、局域网接入控制等几个方面的安全问题是需要着重考虑的，此外在内部的局域网也应有一定的安全措施以保护某些关键的信息。下面针对这几个方面做相应的设计:2. Internet/Extranet接入的安全设计公司业务上需要与其它一些企业的信息网络相连接，而且这一类互联的应用将会越来越多，因此对该内外网的安全访问控制和隔离是网络安全的一个重要的方面。由于内外网接入点是公司的企业内部网络与Inte

22、rnet/Extranet外部网络的连接处，该点承受着多种可能的对内部网络的攻击威胁，但由于业务的需要， 又必须对外部网络开通部分的网络服务，针对这种情况， 要求采用目前常用的设计方法，采用防火墙这一安全隔离设备，将网络隔离为三个安全等级不同的区域，即安全级别最高的内部网络、 安全级别最低的外部网络和非军事化区。总公司与各分公司配备防火墙，用于对公司与外网的通讯进行访问控制与隔离。F面是内外网隔离的系统示意图:匪内容交换机 防火墙路击器主券务管理器窗I入显檢测藜统3.对应用系统的保护营业类网段不允许其他网段访问；营业类网段中不允许FTP、Tel net、Rlogin等访问；对其他网段的保护根据

23、具体情况所需设置。建立一个为各部门和企业员工为服务对象的网络平台，为企业各部门和员工提供高 效的网络信息服务。网络具有传输数据，语音，图形和图像等多媒体信息功能，具备性 能优越的资源共享功能。企业网各终端间具有快速交换功能，中心系统交换机采用虚拟 网络技术，对网内用户具有分类控制功能。3、对网络资源的访问提供完善的权限控制，能提供有效的身份识别，能基于企业网对各部门和员工进行管理。网络具有防止和 捕杀病毒的功能，以保证网络安全，与In ternet 连接后具有“防火墙”功能，以防止网络“黑客”侵入网络系统。可对接入In ternet的各网络用户进行访问权限控制。企业网络服务需求，根据企业自身特

24、点都有不同的情况。以企业内部网为例， Intranet, 它以TCP/IP协议作为基础，以 Web为核心应用，可以提供 Web邮件、FTP、Telnet等功能强 大的服务。 Intranet 能够大大提高企业的内部通信能力和信息交换能力。 与 Interner 连 接后，可以实现互联网应用。我们采用的是星型局域网。星型拓扑结构是由中央节点和通过点到点链接到中央节 点的各个站点组成，易于拓展，可靠性高；星型网特点：每个节点都连接到公共中心节 点；任意两点间的通信均要通过中心节点；中心节点是一个中继器（或是一台交换机）；星状网络便于安装和管理，任何一个终端的故障都不会影响其它终端的正常通信。我们

25、组网总共用了 600 万，我们采用的都是高端先进的设备，设备的配置很高，因而我们为 该公司组建的网络速度快，质量高。我们公司会对我们公司负责组建的网络进行定期的 升级和排查故障等，保证公司网络的通畅。我们组建的小型局域网，还存在一定的网络风暴等风险。这是所有公司都无法避免 的问题。网络组建投入的资金比较的多，可能在有些方面会造成不必要的浪费。采用千兆以太网技术 , 具有高带宽 1000Mbps 速率的主干 , 运行目前的各种应用系统绰绰有余,还可轻松应付将来一段时间内的应用要求, 且易于升级和扩展 , 最大限度的保护用户投资；网络设备选型为国际知名产品 , 性能稳定可靠、技术先进、产品系列全及

26、完善的服务 保证； 采用支持网络管理的交换设备 , 足不出户即可管理配置整个网络。提供国际互联 网ADSL专线接入（或ISDN）,实现与各公共网的连接；可扩容的远程拨号接入/拨出，共享资源、发布信息。应用系统及教学资源丰富；有综合网络办公系统及各个应用管理系 统, 实现办公自动化 , 管理信息化 , 邮件服务等。安全策略 1）防火墙策略在实际构建防火墙的工作中一般运用多策略 , 多部件组合的方法 . 简单防火墙采用商 用带有数据包过滤功能的路由器 , 进行分组过滤 . 放置在和企业网络之间的分组过滤路由 器. 屏蔽主机防火墙是由一台主机和一个屏蔽路由器构成. 主机连接企业内部网络 , 路由器在

27、和内部网络之间 , 路由器负责数据包的过滤以及对主机某些端口屏蔽. 屏蔽子网指在屏蔽主机结构中 , 主机后端再加入一台路由器, 保护子网络安全, 这样使子网络安全性进, 安装两个网络接口 , 屏步提高双宿主主机防火墙是在企业内部网络和间设置一个主机蔽掉协议的直接传输 , 内部网络不能直接和传输存在问题由于防火墙只是一种静态的安全技术, 需要人工实施与维护, 相对入侵时间的随机性发生 ,不能完全做到阻止入侵者的攻击 .主要表现在 : 不能阻止来自内部网络不法用户的入侵 ; 外部入侵者通过扫描路由器可以找到防火墙背后的入口, 绕过防火墙进行入侵 ; 由于防火墙性能的问题不能实时进行入侵检测 ; 不

28、能防止病毒的侵入 ; 不能解决自身的安全问题 .防火墙安全性能的提高将降低网络的运行速度 . 因此单一的防火墙技术只能在相对 的时期保证网络的安全 , 这就要求网络管理部门不断的维护 , 调整 , 升级防火墙的安全策 略. 同时 , 建立和完善网络的监测检测技术.2 ）网络监测与检测策略 防火墙安全技术是处于被动的保护网络的安全, 而实时监测与检测技术是主动保护自身的安全技术机制 . 从安全技术层面为网络管理部门提供了进一步实施安全管理和维护的 手段 . 既能防范来自外部的非法入侵又能防范来自内部的恶性破坏以及人为的误操作. 采用相应保护手段保护网络系统 ,同时可以分析 ,跟踪,切断连接 ,保

29、留证据等 ,控制网络的 用户运行保护网络的安全 . 检测系统与检测方法检测系统分别是基于主机和基于网络的 系统 . 基于主机的检测系统主要用于监控网络上用户的运行, 此种技术已经广泛的用于网络操作系统 ,其检测方法与运行全部集成在网络操作系统中.实时检测网络中的连接 ,系统日志检查等 , 在网络服务器操作系统中为管理员提供了相应安全策略和保护方法.基于网络的系统主要用于实时监测关键路径上的数据流量 , 代理软件在局域网网络中监测数 据流 . 基于路由器检测系统主要用于保护网络的基础设施, 确保计算机网络之间连接安全主机检测系统主要作用是通过网络系统实时监测每一个用户的使用情况, 判断出非法入侵的事件 ,系统对不同入侵行为采用相应保护措施, 由于运行检测系统需要大量的系统资源, 因此 , 服务器主机一定要选硬件性能很好的计算机服务器. 基于网络的检测由于只能在网络内进行监视 , 因此 , 在局域网网段部署检测系统是很方便的. 检测方法主要基于行为和基于知识的入侵 . 基于行为入侵检测方法是根据网络用户的行为或者资源使用情况 来判断是否入侵 ,即异常检测一般采用概率统计的方法. 基于知识的入侵检测方法是根据已知的攻击方法模型建立检测模式 ,通过判断来发现是否发生入侵 ,即违规检测 . 检测功