课程设计（论文）公司应用网络综合设计

1、摘 要：随着互联网的飞速发展，企业公司对于网络的需求越来越重要。本设计就是针对现代企业对于网络的需求而提出的公司组网的全面要求。其中包括网络互联、网络安全、安全防护、安全策略、安全管理等。关 键 词： 网络互联 网络安全 安全防护 安全策略 安全管理abstract:along with the internet rapid development, the enterprise company is more and more important regarding the network demand. this design is aims at the modern enterpris

2、e the company network comprehensive request which proposed regarding the network demand. in which including network interconnection, network security, safe protection, security policy, safety control and so on.key words: internet network security security protection security strategy security manage

3、ment目 录1.项目背景介绍 11.1公司背景11.2公司总部的管理结构11.3公司网络分布 21.4用户希望 22.计算机网络系统方案设计 42.1用户需求分析 42.2网络系统的设计目标和原则 42.3网络设备选型72.4服务器的选配82.5网络拓扑结构103.计算机网络配置 123.1网络应用 123.2网络结构的特点 123.3公司的总体网络拓扑图 133.4网络应用服务的配置 153.5网络用户管理 173.6无线网络的扩展 174网络安全设计 19 4.1网络安全系统的设计目标 19 4.2安全模型 194.3物理层安全解决方案 204.4网络平台安全方案 204.5系统平台安全

4、方案 244.6安全管理方案建议 255.项目管理的规划 26 5.1该公司总部的管理结构图 265.2项目规划结构图 266.设计总结 28【参考资料】 291.项目背景介绍1.1 公司背景： 北京世纪软件有限公司，于二零零一年四月正式成立，总部设在北京室海淀区学院路229号台海大厦9，10层。公司是以软件制作为主的私有企业。产品主要包括视频展示，视频捕捉，视频通信的系统和软件。公司凭借先进的管理理念，雄厚的经理基础，以及所有员工的共同努力，在视频系统和软件制作方面，已经成为了国内的佼佼者，领头羊。目前，公司已经和国际多家多媒体巨头合作，如：sony，nec，lg，为中国视频系统和软件的发展

5、，打下了坚实的基础。该公司的员工中除了从事技术部的人员外，大多数的员工的计算机水平都不是很高，并且由于公司的产品的性质，所以对网络安全的设计要求要有一定的严格性。1.2 公司总部的管理结构：公司总部共有员工八十七人（连同分部共约1000人）。总经理刘忠诚，副总经理尹环、汪洋。其他员工分设七个部门：财务部，技术部，销售部，市场部，人事部，软件部，客户服务部。（公司部门结构如下）每个部门均有一名部门经理，分管部门业务。1.3 公司网络分布：australiaasianorth americabeijingtorontodetroitseattledenversydney1.4 用户希望：软件部：“

6、我们的工作很重要，我们设计的软件以及在制作过程中的所有信息和资料都是保密内容，即使是我们公司的员工，不是我们部门的，也不能让他看。”软件部：“在寒暑假时，附近几所大学会有一些学生到我们这里帮助完成一些简单的文字处理工作。软件部：“我们有4个开发小组，4个小组分别工作，互不影响，我们会在文件服务上建立4个文件夹，一个小组一个，互相之间只能读。所有工作站需要安装.net及java等开发程序”财务部：“每个人的工资应该是保密的，公司中所有的财务内容不能让其他部门员工随便访问。”销售部：“我们不经常在公司，有时候来了，不能在上次使用的计算机上工作，桌面，快捷方式这些全变了，太不方便。”市场部：“我们和

7、销售部的信息要经常交流，所有在pubic文件夹中的内容均可以互相访问。”技术部：“每个员工都会有自己的文件夹存放在服务器上，其他人不能访问。”技术部：“公司中所有的资源，包括用户，计算机，打印机等，管理和组织不太方便，希望可以实现分门别类的管理。”cio：各部门有自己的专用服务器，但各部门在一台公共服务器上也有共享资源，使其它部门可以有限的访问。而ceo对各部门共享资源都有访问权限。cio：现有的网络是分散管理，需要进行集中管理，并使各经理可以集中管理各部门资源，并有简单的管理工具。ceo：可以在任何时候同任何分布进行通信，如进行视频会议等，同进要保证通信的安全。2.计算机网络系统方案设计2.

8、1 用户需求分析：该公司主要经营ic方面的设计和研发，但是各个部门的要求不同。下面就他们各个部门的需求进行分析。部门需求需求类型技术手段软件部各种资料需要保密，不能让别人看保密ntfs访问控制、efs加密大学生进行文档处理文档编辑office应用程序安装4个小组的文件可以进行互访问，但不能修改访问控制共享权限加上ntfs权限财务部工资表保密、财务内容不能让其它部门看到访问控制ntfs访问控制销售部不能使用上次使用过的桌面等工作环境上次的工作桌面能够保存用户漫游配置文件市场部同销售部经常进行交流，public文件夹互访部门间文件共享共享权限加上ntfs权限技术部现有网络结构管理复杂，且管理分散，

9、管理员需针对每台计算机都去物理上设置集中管理建立域网络，进行集中的管理每个员工都有自己的文件夹放在文件服务器上，其它人不能访问保护自己的私人文件夹建立用户主目录，或设置共享权限和ntfs权限企业资源分散管理，不太方便，希望进行分门别类的管理希望对各个部门进行分门别类管理在域中创建组织单元 2.2 网络系统的设计目标和原则：网络系统在企业建设中起到非常重要的作用，它不是简单的计算机之间的联网，而是一个复杂的系统工程，要采用系统的设计方法。（1）实用化，先进性。从实用的观点出发来考虑网络系统的总体结构，满足系统技术要求，同时应该选用先进的符合国际标准的可以开发的系统产品。（2）模块化，扩展性。网络

10、系统应该采用模块化设计，便于在网络工程中根据投资等情况的变化而加以调整，同时又是一个开放式系统，以保证系统的扩展。（3）工程化，可靠性。在网络系统设计过程中充分考虑工程的要求，在达到系统业务需求的前提下，确保更高的可靠性。（4）集成化，高效性。网络系统是通信子系统、控制子系统、办公自动化子系统筹集成的基础，要体现集成化设计思想，所有子系统有机地集成一个智能建筑系统，保证总系统的高效性。2.2.1 网络系统的设计原则（1）充分满足当前各种信息服务的需求，同时为将来的系统扩充留有充分余地。（2）充分考虑与其他子系统之间的联系。（3）统一规划，全面设计，做到有很有据，有条有理。（4）符合国际标准化组

11、织（iso）提出的开放系统互联标准（osi）和实用的tcpip 协议系统标准。（5）便于维护和管理。（6）在保护实现系统需求的前提下，提高系统的性能价格比。2.2.2 网络需求分析在设计时应进行下列网络需求分析：（1）功能需求。有信息传输、资源共享、电子函件、网络服务器、网络管理、网络控制。网络安全、网络升级等。（2）性能需求。有服务效率、服务质量、网络结构、网络响应时间、数据传输速度、资源利用率、可靠性、性能价格比等。（3）环境需求。主要相地理分布、用户数及其位置、用户间的距离、用户群的组织特点，还有特殊的限制（如电缆等介质布线是否有禁区等）。（4）其他子系统的需求。如办公自动化系统、设备控

12、制系统等对网络提出的要求。（5）设计约束。包括需遵守的其他标准，各行各业的不同特点，以及投资对网络设计的影响等。2.2.3 设计考虑的主要方面（1）网络系统的一般技术要求。主要有网络通信协议、主机系统结构、主机响应速度、网络服务器通信协议、网络服务器入网速度、客户机通信权益、客户机入网速度、交换端口分配、广域网联接、网络管理、网络管理平台、网络划分、网络升级、网络主干系统速率等。（2）网络信息点总结。按照统计数据进行网络信息点总结。（3）主干网设计。随着网络技术的飞速发展，大厦的主干网应能支持快速以太网的交换以及对虚报网的支持，且具有第三层的交换和今后过渡到atm 的能力，在带宽方面能满足不同

13、应用环境下的客户终端带宽的要求，保证用户访问数据库服务器的速率要求，网络主干交换机采用千兆位或百兆位交换机，而到每一用户带宽为10100m 自适应，对特别用户可以提供千兆位到桌面的服务。而满足这一要求的网络体系有：1000baset、100baset、100vgamylay、fddi 和atm，它们都是高速网络技术。（4）水平分支网络结构。一般选用以太网或快速以太网。根据具体技术要求，可选用10baset 或100baset。从各楼层分配线间idf 配线架至工作端口插座的连接线缆采用增强5 类4 对非屏蔽双绞线（utp），能支持100mbps 传输速率；既可服务于数据传输，又可用于语音传输，保

14、证了系统的灵活性。（5）主服务器是整个网络的核心，有大量的数据进行处理、存储和转发，一般应不低于100mbps速率入网。微机服务器也要求以100mbp 速率入网。（6）网络分段。网段的划分和地址分配。同一网段可以使用不同的传输协议，但须使用同种接口卡。（7）广域网联接。包括与国内其他单位、驻外机构和国际互联网的联机，vod 自动点播、视频会议、远程教学、远程三表传送收费、网上购物、网上聊天和网上商务联系等功能都需要建立与外界的高速连接，选择宽带按人也就成为必然。宽带接入方式主要应考虑与公用数据通信网之间的配合。目前，可以为智能建筑提供宽带接入的服务商除中国电信外还有联通、长城宽带、铁通、吉通、

15、广电和网通等电信经营商。接入方式也有通过电话网络、有线电视网络、高速城域网或无线、卫星等数种。从实践来看，这几种方案在传输速率、用户负担的接入成本和提供的增值服务内容等方面各不相同，所适用的范围也不一样。例如：adsl 接入方案：该系统在用户端采用adsl 调制解调器，所有信息通过现有电话线连接到电话交换局前端adsl 解调设备进行解调，解调后的语音信息仍送入电话交换机，而数据信息送入atm 网络进行路由交换，可提供上行1mbps、下行8mbps 的接入速率。adsl 接入的优点是可以利用现有的市内电话网和电话交换局的机房，缺点是它对线路的质量要求较高，adsl的实际速度还要受到用户和电话分局

16、的电话线长度和线路质量的影响，线路抵抗干扰的能力较差。由于宽带可扩展的潜力不大，adsl 不能满足今后日益增长的接入速率要求；只能成为过渡性产品。hfc 网络方案：在有线电视光缆与同轴缆混合网上，用户使用电缆调制解调器cable modem进行数据传输，可以实现上行3mbps，下行10mbps 的宽带接入。hfc 方案和adsl 接入方案的共同特点是利用已有的网络基础设施。但共同的缺点是带宽进一步扩展能力有限，而且无法建设独立的社区内部网络平台。高速光纤接入方案：光纤具有容量大、抗干扰和不宜窃取等优点，这些优点决定了光纤接入必然替代过渡性的adsl、cable modem 及无线等其他成为宽带

17、接入的主流趋势。无线接入：无线接入是指从交换节点到用户终端或全部采用无线手段接入技术。其优点是开通快、维护简单、用户密集区成本低，改变了本地电信业务的传统观念。在选择连接方案时，主要应考虑与公用数据通信网之间的配合。由于国内电信部门对于广域网用户的质量上有待提高，因此，在充分考虑了可靠性性能价格比等因素下，应尽可能选用电信部门熟悉的产品及公用网型号相同的产品。2.3 网络设备选型：在确定了系统的设计方案，进行软件、硬件设计后，需要进行设备选型。设备选型是网络工程中非常重要的一环，设备选型的好坏直接影响系统的实用性、稳定性、可靠性和系统的费用。2.3.1 设备选型依据主要是根据选型原则和选型标准

18、，对不同厂家的产品的不同型号进行综合全面的比较，选择满足系统需求的、先进、性能价格比高的设备。智能建筑内部的综合局域网，作为一个完整的网络体系，即交换机、集线器和网络管理软件直选用同一厂商的产品，以便于用户使用、管理和维护。设计一个计算机局域网，需要考虑因素很多。从技术角度而言，目前，以太网采用的传输介质已从细同轴电缆、粗同轴电缆几乎完全改变为非屏蔽双绞线和单模、多模光纤电缆，以大网传输速率也从过去的共享10mbps 上发展到10mbps 交换、100mbps 共享及交换正向1gbps 高速交换发展。atm 技术应用正在快速展开；并为以太网技术接轨而发展了局域网仿真技术，可以使以大网平滑地过渡

19、到atm。微机服务器也从最初的来自x86cpu 和isa 总线、at磁盘接口发展到今天的奔腾四代cpu、agp 总线，fastwide scsi-2 磁盘接口。应用软件系统的种类更是数不胜数令人眼花缭乱。在这种局面下，为了从中选出最合适的产品来构成自己的计算机网络并满足应用需求，网络设计人员而要有多方面的知识，包括对新技术的深刻理解，对最新产品的广泛关注，以及对应用需求的准确把握。尤其是对应用需求的准确把握，应该是一个网络设计成功与否的关键。与应用需求脱钩，单纯追求最新技术。最快速度，脱离实际强调先进性，致使先进设备的能力不能得到充分发挥，等于浪费了资金。这一点必须得以充分注意。在确定应用需求

20、的前提下，设计一个网络需要考虑的主要方面包括布线、网络应用口确定、网络操作系统及服务器选程、网络拓补结构及运行枕率规划、数据安全性保障等几个大的方面。另外，网络设备及网络工作站的统一管理、远程用户介入、网络间互联也应十分重视。目前主买的网络厂商有：3com，ibm，bay network，cabietron，cisco，hp 等公司，对于各个厂家的产品进行全面的比较，结合智能建筑的技术要求，具体情况。投资等多方面因素，选择性能价格比最高的产品。2.3.2 网络操作系统的选择在网络应用项目确定后，网络应用软件也就基本选定。对于选择商品化应用软件的项目而言，因根据应用软件需要的操作系统环境来确定网

21、络操作系统。对于具有多种网络操作系统环境能力的应用软件，因通过对销售商的查询，确定这种软件在哪种操作系统上效果最佳，然后确定网络操作系统。通常情况下，某种应用软件虽然移植到了多种网络操作系统下，但只有在一种操作系统下优化的最好。那当然，如果服务器并不止提供一项服务，就必须根据所提供服务的重要程度，综合考虑和选择网络操作系统。目前，网络上常府的操作系统主要是novell 公司的netware，microsoft 公司的windows，ibm 公司的os2，lan server 和unix，linux。2.4 服务器的选配：2.4.1 服务器的选择目前服务器的选择余地比较大，主要从可靠性、io 性

22、能等方面考虑。衡量服务器的可靠性主要根据服务器采用的技术。如冗余技术，电源、硬盘、内存、cpu、io 卡总线通道和故障在线修复技术等。io 性能等方面主要考虑文件服务性能，如io 并发操作能力。目前市场上有很多品牌的微机服务器系统，如campaq，ibm，hp 等较大的微机厂商都推出了品质优异的k 服务器产品。各厂家的服务器在主要功能上差距不大，但也有各自的特点。例如compaq 的proliant 系列服务器在windowsnt 下具有实现双机双工热备份的能力，二台服务器平时各自作为独立的服务器发挥作用，而当其中任意一台出现故障时，另一台服务器可以接替其工作继续运行。ibm 的pc 服务器在

23、smp 方式时可以混合安装奔腾系列处理器，并且每个处理器都工作在备自的主频下而不会被降频使用。2.4.2 服务器资源配置 它要根据应用需求来确定，主要考虑的是内存容量、磁盘驱动器控制器标准、磁盘容量及容错方式等。内存的选择必须考虑网络操作系统及应用软件的要求。从操作系统的需求来说，如netware 操作系统下每100m 硬盘容量最好配置4mb 内存；windowsnt 基本内存最好确定在12mb 以上，这样的才能保证网络操作系统正常运行。应用软件，尤其是目前流行的客户机服务器模式的应用软件，对服务器的内存要求也十分庞大，例如lotus notes 在windows nt系统下运行，内存容量基本

24、要求为48 mb，建议为64mb。客户机服务器模式的应用系统在保证基本需求外，增加的内存量可以提高运行效率，减少磁盘交换的压力。但内存的扩充也不能任意增加，因为服务器所用内存是为保证服务器运行良好而专门设计的，采用了许多高级的检错、纠错技术，所以价格大大高于微机的内存价格。2.4.3 磁盘驱动器控制器日前主要有fast scsi、twide scsi 二种标准，前一种传输速率为10mbps，后一种为20mbps。新的控制器标准还有ultra scsi，传输速率可以达到40mbps，还有wide-ultrascsi-3 的传输速率为240mbps。选择哪一种标准的产品要根据投资能力和是否真正需要

25、为准。对于小型应用、整体投资额不大、应用繁忙程度不高的环境，可以选择标准的控制器驱动器。对于高强度的磁盘应用，就应选用fastwide scsi-2 标准的产品。2.4.4 磁盘容错方式 目前主要有磁盘镜像、磁盘双工和磁盘阵列技术。磁盘镜像使用一个控制器控制两个磁盘，写到磁盘和数据都要同时写入两个盘中，任意一个盘失效都不会影响数据的安全性。磁盘双工是使用两个控制器各控制一个磁盘，即在磁盘冗余基础上增加控制器冗余。磁盘阵列技术目前最广泛的是raid5，冗余度小，阵列中任意一个盘失效都可以保持数据安全有效。在阵列技术上，各服务器主要厂家还都增加了在线增容技术，即不停机增加磁盘容量及raid的sma

26、rt-2 阵列控制器。compaq 公司还具有在线热备份方式：一个磁盘保持后备状态，当阵列中一个磁盘失效，后备盘立即启用，这样就可以在阵列中出现两个磁盘都损坏情况下也能保证数据安全。阵列技术的磁盘冗余度最小，但其控制器及所用的驱动器都比较昂贵。对于小型服务器，采用镜像技术是比较适宜的。镜像方式看上去冗余度达到了50%，但在小统上，其综合性能价格比要比阵列式为佳。在服务器整体容错方面可以选择的还有netware sft3 双服务器镜像技术及前面提到的nt 双机双工方式，sft3 是用2 个配置完全相同的服务器，通过专用的服务器镜像卡连接起来，2 个服务器运行时内存、磁盘系统全都保持同步状态，对外

27、表现为一个服务器。当第一个服务器出现故障时，另一个服务器可以继续工作，用户丝毫感觉不到停顿，它通常用于对系统的不停机运行要求极高的场合。由于网络技术与综合布线系统息息相关，这就要求在设计布线系统的同时就必须充分考虑到将来布置的计算机网络能否充分发挥综合布线的优点，在适当考虑网络系统的升级的前提下，选择合理的方案，避免硬件资源的冗余与浪费。2.5网络拓扑结构内部的局域网按访问区域可以划分为三个主要的区域：internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中，我

28、们基于安全的重要程度和要保护的对象，可以在catalyst 型交换机上直接划分四个虚拟局域网（vlan），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。 拓扑结构示意图3.计算机网络配置3.1 网络应用：公司的网络主要为用户提供如下应用服务：1文件共享、办公自动化、www服务、电子邮件服务；2文件数据的统一存储；3针对特定的应用在数据库服务器上进行二次开发(比如财务系统)；4提供与internet的访问；5通过公开服

29、务器对外发布企业信息、发送电子邮件等；3.2 网络结构的特点：在分析网络的安全风险时，应考虑到网络的如下几个特点：1.网络与internet直接连结，因此在进行安全方案设计时要考虑与internet连结的有关风险，包括可能通过internet传播进来病毒，黑客攻击，来自internet的非授权访问等。2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分v

30、lan来实现。4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。总而言之，在进行网络方案设计时，应综合考虑到企业网络的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。3.3 公司的总体网络拓扑图：根据公司总部的需求分析，网络分布可采用以下方案：(1) switch1下的pc1、pc2、pc2等客户端分配给技术部、客服部；(2) switch2下的pc4、pc5、pc6、pc7等客户端分配给软件部；(3) switch3下的pc8、pc9、pc10等客户端分配给财务部、人事部；(4) switch4下的pc11、pc12、pc13、pc14、pc15

31、等客户端分配给市场部、销售部。（上述中公司的客户端并没全部列出，可根据实际需要进行相关扩展。）ip分配：switch1网段使用：192.168.1. 子网掩码： ；switch2网段使用：192.168.2. 子网掩码： ；switch3网段使用：192.168.3. 子网掩码： ；switch4网段使用：192.168.4. 子网掩码： 。交换机的配置：我们可以根据需求使用交换机技术建立vlan来实行安全通信。路由器的配置：我们可以把beijing的路由器配置成静态路由，而把sydney

32、和seattle的路由器配置成缺省路由。路由交换的实现：1) 设置路由器名：enter host name router:2) 设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：the enable secret is a one-way cryptographic secret usedinstead of the enable password when it exists.enter enable secret: cisco3) 设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：the enable pass

33、word is used when there is no enable secretand when using older software and some boot images.enter enable password: pass4) 设置虚拟终端访问时的密码：enter virtual terminal password: cisco5) 询问是否要设置路由器支持的各种网络协议：configure snmp network management? yes:configure decnet? no:configure appletalk? no:configure ipx? no:

34、configure ip? yes:configure igrp routing? yes:configure rip routing? no:配置静态路由：通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。任务 命令建立静态路由 ip route prefix mask address | interface distance tag tag permanentprefix :所要到达的目的网络mask :子网掩码address :下一个跳的ip地址，即相邻路由器的端口地址。interface :本

35、地网络接口distance :管理距离（可选）tag tag :tag值（可选）permanent :指定此路由即使该端口关掉也不被移掉。对于广域网部分的连接可根据实际需求去电信部门选择合适的接入方案。3.4 网络应用服务的配置：鉴于该公司的实际应用情况，我们采用域的管理模式，分别在各个地方建立相应的域环境，便于管理本地的用户和服务器，在域与域之间采用相互信任的模式，在每个域环境下设立不同的组织单元和多个站点，用组策略管理组织单元。在个人用户配置上我们为用户设置漫游配置文件和用户主目录；设置相应文件共享并同ntfs权限相结合进行访问控制并且对机密数据进行加密；客户机安装office套件，vla

36、n隔离等。安装并配置active directory：（1）先建立一个域，, 它的地址在北京，作为总部。（2）为它建立三个子域，一个在beijing,一个在north america，一个在australia。建立过程如下：1）用管理员的身份登入到中的一个服务器，先把它降级为一个普通的计算机。2）在开始运行，输入dcpromo命令，选择新的域控制器，后点击下一步，再选择在现有域树中新建一个子域，点下步，在网络凭证中输入相应的帐号和域名；3）在下步中输入子域的名称australia，点击下步，到最后完成，最后要求重新启动计算机。可以在ad中看到新建

37、立的australia 。4）按照以上的方法可以再建立子域，用于管理各地的公司部门。dns服务务的组建：1）、 安装dns服务 开始设置控制面板添加/删除程序添加/删除windows组件“网络服务”选择“域名服务系统（dns）”按确定进行安装。 2）、 创建dns正相解析区域 开始程序管理工具选择dns，打开dns控制台右击“正相搜索区域”选择“新建区域”选择“标准主要区域”（或“active directory 集成区域”或“标准辅助区域”）-输入域名“” 输入要保存的区域的文件名“.dns” 按完成，完成创建。 创建主机记录：右击“abc

38、.com”“新建主机” 在名称处输入“www”，在“ip地址”处输入“”，按“添加主机”完成。 3）、 创建dns反向解析区域 开始程序管理工具选择dns，打开dns控制台右击“反向搜索区域”选择“新建区域”选择“标准主要区域”输入用来标示区域的“网络id”输入要保存的区域的文件名“0.168.192..dns”按完成，完成创建。创建指针ptr：右击“192.168.1.x.subnet”选择“新建指针”在“主机ip号”中输入2在“主机名”中输入ftp按 “确定”完成添加。4）、 启用dns循环复用功能 如对应于多个ip地址时

39、dns每次解析的顺序都不同 右击选择“dns服务器”属性高级选择“启用循环”（round robin）-选择“启用netmask 排序”按“ 确定”返回。 注：如所有的ip和域名服务器在同一子网时需要取消“启用netmask排序”，才能实现循环复用功能。即启用循环时 ，当主机的ip和dns在同一个子网时将始终排在最前面，当都在一个子网时就不进行循环，只有去除了“启用netmask排序” 时才能实现循环复用。 dns服务器会优先把与自己的网络id相同的记录返回给客户端。 5）、 创建标准辅助区域，实现dns区域复制 在另一台dns服务器上，右击“正向搜索区域”选择“新建区域”选择“标准辅助区域”

40、输入“”输入主域名服务器的ip地址选择“完成”。 可手工要求同步：在辅域名服务器上右击“”的域选择“从主服务器传输”。 并且可以设置允许传输的域名服务器：在主域名服务器上右击“”的域选择“属性”选择“区域复制”在“允许复制”前打勾，并选择允许复制的主机（到所有服务器、只有在“名称服务器”选项卡中列出的服务器、只允许到下列服务器）。 完成服务器类型的转换： 右击区域选择 “属性”选择“类型”的“更改”按钮选择要更改的区域类 型按“确定”。 6）、 实现dns唯高速缓存服务器 创建一个没有任何区域的dns服务器右击dns服务器选择“属性”选择“转 发器”中

41、的“启用转发器”输入转发器的ip地址按“确定”完成。清除“唯高速缓存”中的cache内容：右击“dns服务器”选择“清除缓存” 或者选择“dns服务器”在菜单中选择“查看”，高级右击“缓存的查找”选择“清除缓存” （客户端清空dns缓存）ipconfig /flushdns）。 7）、 dns的委派（子域的转向） 在原域名服务器上建立“”的主机右击的域，选择“新建委派”将的域代理给的主机在上建立“正向标准区域”添

42、加相关主机记录。 8）、 设置 dns区域的动态更新 右击选择dns上区域选择“属性”选择“常规”中的“允许动态更新”，选是 然后按 “确定”在本机的dhcp服务器中右击选择dhcp服务器选择“属性”选择“dns”选择“为不支持动态更新的dns客户启用更新”在客户端使用ipconfig /registerdns来更新域名的注册信息。 注意客户端需要将完整的计算机名改成 9）、 配置dns客户端在客户端计算机上打开tcp/ip属性对话框，在dns服务器地址栏输入dns服务器的ip地址。3.5 网络用户管理：1.在网络中建立域模式，在域中对各个部门进行有效的管理。2.实

43、行组策略，为每个部门委派一个经理进行管理，如用户和组的创建，口令更改等。3.为每个部门经理创建一个简便的管理工具，以便进行日常的管理。4.为了便于公司各部门访问相应的共享资源，要求通过dfs和在目录中发布方式建立一个集中管理并便于访问的共享点。5.为公司各部门实现打印位置，以便将文件打印到离自己最近的位置。6.为了便于管理员管理，在客户端安装ad管理工具。7.管理员可以一次性建立多个用户。8.使用vpn技术进行远程访问，并配置用户的拨入权限。3.6 无线网络的扩展： 无线网络是有线网络的延伸，该网络结构采用主干100m以太网交换，用户采用802.11b 11m无线扩频网络连接到网络交换机上，从

44、而来建立公司内部宽带数据网络，通过该网络用户通过专线连接到internet。网络系统的拓扑结构为星形，网络交换设备分为2级，1级选用10m/100m以太网交换机，2级选用11m无线接入器。（1）能够在infrastructure模式下将无线用户连接在一起。随着无线网络用户数的增加和网络范围的扩大，通过配置多个ap扩展无线覆盖范围，实现无线用户的数据漫游接入，提供更优质的服务。（2）通过ap与以上联的以太网网络连接，使得无线用户与有线网络上工作站、服务器之间能够进行数据访问。也可以把一台ap连接到宽带internet网关上。通过该网关，无线用户可接入internet进行访问。这样可以节省网络建设

45、成本，因为无线用户可以在不使用任何线缆的情况下对internet进行访问，具有便捷，移动的特点。（3）高质量的安全服务，支持64 bit 和128 bit wep加密，提供安全的ap管理机制和设置机制。4.网络安全设计4.1 网络安全系统的设计目标：（1）防范黑客攻击、计算机犯罪和有害信息传播（包括计算机病毒）。（2）加强应用和数据的安全、建立安全管理制度，注意内外兼防，重点在内部。 4.2 安全模型：纵深防御体系被认为是一种最佳安全做法。这种方法就是在网络中的多个点使用多种安全技术，从而减少攻击者利用关键业务资源或信息泄露到企业外部的总体可能性。在消息传递和协作环境中，纵深防御体系可以帮助管

46、理员确保恶意代码或活动被阻止在基础结构内的多个检查点。这样便增加了攻击者被检测到的风险，降低了威胁进入内部网络的可能性。下面列出了mpdrr安全模型的各个环节： 第一环节：安全管理（m）。安全管理包括安全策略、过程和意识，是建立任何成功安全系统的基础，其制定的安全策略是整个网络安全模型体系的指导方针，它将安全模型中的各个环境进行有机的组合和协调。安全策略的执行需要技术和管理方面的进行，在管理方面需要制定相应的安全规章和制度，根据员工的角色定期进行的安全教育，并对安全的实施过程进行严格的监控制。 第二环节：安全防护（p）。安全保护是预先阻止可能发生的攻击，让攻击者无法顺利地入侵，可以减少大多数的

47、入侵事件。除了物理层的安全保护外，它还包括防火墙、用户身份认证和访问控制、防病毒、数据加密等。 第三环节：安全检测（d）。通过防护系统可以阻止大多数的入侵事件，但是它不能阻止所有的入侵。特别是那些利用新的系统和应用的缺陷以及发生在内部攻击，防护能够起到的安全保护有效。因此mpdrr的第三个安全环节就是检测，即当入侵行为发生时可以即时检测出来。检测常用的工具是入侵检测系统（ids）。ids是一个硬件系统和软件程序的组合，它的功能是检测出正在发生或已经发生的入侵事件并作出相应的响应事件（ids的内容我们将在随后的章节中讲到）。 第四环节：安全响应（r）。mpdrr模型中的第四个环节就是响应。响应是

48、针对一个已知入侵事件进行的处理。在一个大规模的网络中，响应这个工作都是有一个特殊部门如计算机响应小组负责。响应的主要工作可以分为两种，即紧急响应和其他事件处理。紧急响应就是当安全事件发生时即时采取应对措施，如入侵检测系统的报警以及其与防火墙联动主动阻止连接，当然也包括通过其他方式的汇报和事故处理等。其他事件处理则主要包括咨询、培训和技术支持等。 第五环节：安全恢复（r）。没有绝对的安全，尽管我们采用了各种安全防护措施，但网络攻击以及其它灾难事件还是不可避免的发生了。恢复是mpdrr模型中的最后一个环节，攻击事件发生后，可以即时把系统恢复到原来或者比原来更加安全的状态。恢复可以分为系统恢复和信息

49、恢复两个方面。系统恢复是根据检测和响应环节提供有关事件的资料进行的，它主要是修补被攻击者所利用的各种系统缺陷以及消除后门，不让黑客再次利用相同的漏洞入侵，如系统升级、软件升级和打补丁等。信息恢复指的是对丢失数据的恢复，主要是从备份和归档的数据恢复原来数据。数据丢失的原因可能是由于黑客入侵造成，也可以是由于系统故障、自然灾害等原因造成的。信息恢复过程跟数据备份过程有很大的关系，数据备份做得是否充分对信息恢复有很大的影响。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复，这样可以提高信息恢复的效率。4.3 物理层安全解决方案：保障物理安全除了要遵守国家相关的场地要求

50、和设计规范外，为了将不同密级的网络隔离开，需要采用物理隔离技术将业务网和办公网两个网络在物理上隔离。 4.4 网络平台安全方案：4.4.1 网络系统方案功能要点 1)访问控制。通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞。通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控。通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。 2)加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息。 3)认证。良好的认证体系可防止攻击者假冒合法用户。

51、 4)备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，及时地恢复数据和系统服务。 5)多层防御。攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 6)隐藏内部信息。使攻击者不能了解系统内的基本情况。 7)设立安全管理机构。为信息系统提供安全体系管理、监控、保护及紧急情况服务。4.4.2 网络平台安全措施网络平台的安全措施应涉及局域网、广域网、互连网、防病毒和防黑客共五个方面。 局域网的安全措施由于局域网中采用广播方式，因此，本广播域的信息传递都会暴露在黑客面前。可采取下列措施提高安全性：（1）网络分段网络分段是保证安全的一项重要措施，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层上分为若干网段，使各网段相互间无法进行直接通讯。逻辑分段则是指将整个系统在网络层上进行分段。把网络分成若干ip子网，各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接，利用这些中间设备（含软件、硬件）的安全机制来控制各子网间的访问。（2）vlan技术虚拟网技术主要基于局域网交换技术（atm和以太网交换）。交换技术将传统的基于广播的局域