【中大型企业网络系统规划设计8700字（论文）】

参考文献中大型企业网络系统规划设计目录TOC\o"1-2"\h\u19124中大型企业网络系统规划设计 122624摘要 124928第一章引言 11735第二章网络规划设计 246202.1网络系统设计规划 219832.2MSTP技术及应用 45922.3网络拓扑图 5228062.4IP地址规划 6135762.5网络设备选型 79555第三章网络安全的方案设计 1064603.1中大型型公司网络安全系统设计 10152563.2安全产品的配置与应用 1213550结论 1422426参考文献 15摘要对中大型企业的网络系统规划设计进行了深入研究，对用户需求进行了详细分析，并基于边界保护网关和集成的内部网络管理系统，开发了网络安全设计方案和在线行为监控。对Intranet安全管理，客户端端点安全和网络行为进行了有效的监视和审计，并测试了中大型企业开发的Intranet安全管理设备和网络行为管理设备的功能。测试表明，该项目有效地简化了管理网络安全性的目标，提高了网络的安全性，可管理性和可管理性，降低了管理用户安全性的总成本，并确保了业务系统的连续运行和安全性。关键词：中大型企业；网络规划；设计实现引言随着我国现代化科学技术的不断提高和计算机网络发展的日益壮大，各地区部门为了建立全新计算机网络系统，使通信行业公司不得不加大公用数据通信网络的实施力度和使用范围，同时还开发了更多不同类型的数据通信业务。公用数据通信网络使用时非常方便快捷，它不用建立专用线路，投资成本和网络通信费用都较低，适用于中小型企业和基础事业单位的计算机网络系统。本规划就是在此前提下做出来的，它提供了一种妥善的解决方案，并且同样适用于其它同类型的商场企业联网建设。网络规划设计2.1网络系统设计规划网络设计总体目标网络主干。网络主干是光纤，分支之间通过100m双绞线相连，整个网络的主干都连接到中继通道。内核交换机分为VLAN。分支交换机可以接收VLAN信息。主要的交换设备。在图中，内核交换机使用Cisco4503和Cisco3550交换机提供双系统热备份。这两个内核是相互冗余的，并且热备用冗余协议（HSRP）协议用于确保当任何一个内核不工作时，它可以快速切换到另一个内核，并可以执行负载平衡功能以提高网络可靠性。路由器设备具有总的网络负载。图中的网络吞吐量是30M光纤的末端。在防火墙和内核交换机之间安装在线行为管理设备，并启用透明模式以实现最佳带宽管理和审核网络行为，并限制对高风险网站的访问以提供主动保护[5]。在服务器上安装Intranet管理软件，并通过设置Intranet管理系统来实现对Intranet用户的设备监视，维护和管理。18002网络通信联网协议一般而言，网络安全设备本身具有几种网络安全功能，并且这些功能必须由网络安全管理器根据特定的网络安全策略进行配置。例如，网络安全管理员可能希望安全设备阻止对HTTP网页的访问，然后安全管理器需要输入将在安全设备中被阻止的网页的URL，即，执行了阻止配置。由此可见，想要让安全管理用户对网络安全设备进行高效便捷的使用，就必须满足该设备的配置条件和使用环境，还要对网络安全管理用户普及此设备的运行特点和使用方法，便于用户及时找出设备运行中存在的各种问题，并进行有效的解决和管理。这样可以体现出现代化网络安全设备的作用，也能满足网络安全管理的需求。5919网络IP地址规划系统监视功能包括监视处理器信息，内存和安全设备的接口数据。CPU信息部分包括有关CPU硬件，最后一秒的CPU利用率，最后五秒的CPU利用率和最后一分钟的CPU利用率的信息。系统的内存信息部分主要有系统内存总量、已用内存、可用内存和内存使用率。接口的信息部分功能是计算接口收发的报文，主要包括入接口报文数、入接口字节数、出接口报文数、出接口字节数以及错误报文统计信息。（2）网络安全策略配置主要是提供访问控制的报文过滤条件，即访问控制列表（AccessControlList，ACL），简单地分为IPACL（IP层ACL）和以太网ACL（CommunicationLayerACL）。。IPACL的配置是指IP级别及更高级别的ACL，主要有源IP地址、目标IP地址、源端口、目标端口、协议（例如TCP，UDP，ICMP等）的配置以及ACL行为（允许或拒绝）。）通信层ACL提供基于链路层协议和MAC地址的过滤，包括设置用于访问数据包的第二层协议，第二层协议掩码（0x0-0xFFFF），48位源MAC地址，48位MAC掩码源地址，ACL行为（允许或拒绝）。（3）连接管理（IP验证）配置IP验证以监视所有连接的状态。如果长时间未应答连接，则连接会显示半连接或已经连接状态，但长时间未传输数据，导致连接资源丢失；超出正常范围的大量半连接设备会充满设备。16743网络设备方案设计中大型企业想要制定出科学合理的网络设备安全计划，就要利用企业原有网络系统，和纺织企业现代化网络设备紧密联合，这些设备有路由器、防火墙、IDS以及其他设备，以创建用于行为管理和Intranet管理的交互式设备。使用在线行为管理设备提供主动保护，以防止来自外部网络的非法恶意攻击，审核网站和电子邮件安全性，优化带宽和其他功能，使用Intranet管理系统软件执行系统补丁以及检查软件，注册，统一分发和安装功能，Internet行为，共同构建管理系统和Intranet管理，以实现企业的可管理性，对网络安全进行审查，并对网络需求和设备可靠性进行调查，已开发出纺织品网络系统的总体轮廓。确定总体计划后，可以对投资的所有优点和缺点进行宏观分析，并对网络负载平衡和可扩展性进行全面考虑。图2-1是中大型企业网络拓扑示意图。图2-1中大型企业网络拓扑结构示意图2.2MSTP技术及应用在中大型企业网络的组织过程中，MSTP技术通常用于提供分支机构之间的多服务传输。MSTP（多服务传输平台）当前是中大型企业多服务传输网络的首选技术。MSTP可以通过SDH传输设备直接提供以太网或ATM接口，以提供对企业专用服务的可靠而灵活的访问。2.2.1MSTP技术特点随着全球经济的发展，金融，政府和企业对数据传输通道的带宽需求也在增长。如何灵活配置带宽并降低成本以确保业务质量是每个公司都面临的问题。MSTP（多服务传输平台）已成为构建以城市网络为代表的多服务传输网络的首选技术。MSTP可以通过SDH传输设备直接提供以太网或ATM接口，以提供对私有线路VIP服务的可靠且灵活的访问，具有良好的多服务和QOS功能，并且得到了运营商和客户的充分认可。MSTP专线服务可以实现诸如以太网访问，动态带宽调整，2-1000m的访问速度和保证的带宽等功能。这是一种满足客户需求的高性价比解决方案。2.2.2MSTP业务应用MSTP网络服务的种类分为两种：一是点对点服务；二是点对多点服务。其中点对点服务是指网络客户端的以太网数据帧信息可以利用计算机专用的VC通道进行传递，有关VLAN服务或cos的信息被传输。通过风险投资渠道划分不同的客户。点对点服务：以太网分支数据帧通过专用VC通道传输到客户总部。合并分支机构的客户服务后，它们通过以太网接口连接到客户总部。分行客户无法相互通信。通过风险投资渠道分离不同的客户。2.2.3“MSTP网络”业务接入方式就中国电信的接入网络而言，可以把SDH-STM-N接口作为MSTP设备和电信网络系统进行连接的接口，把以太网接口作为电信用户的网络接入口。同时，网络客户端能够利用光收发器直接访问MSTP客户端设备以及MSTP办公设备。如果拥有最佳机房的客户有能力托管MSTP设备，则他还可以选择直接访问MSTP设备来访问服务。如果客户环境差，不能满足MSTP设备的配置条件，还能利用光模块装置对办公室MSTP设备进行访问，这时网络运营商不用记录客户的相关信息，MSTP专线服务将被保留。160512.3网络拓扑图面对企业内部的安全威胁，采取必要的安全措施非常重要。但是，目前，尽管许多公司使用大量资金购买防火墙和防病毒软件来防止外部威胁，但他们常常忽略了消除公司网络内部安全威胁的对策。随着Internet访问的日益普及和带宽的增加，员工访问Internet的条件得到了改善，但这也导致了企业风险，复杂性和混乱的增加。内部网员工控制Internet访问的问题变得越来越严重。更重要的是，在办公时间内，内部员工访问网络的行为受到不良控制，而不受控制。在工作时间，他们使用QQ聊天，发送和接收个人电子邮件，浏览不相关的网页，在BBS，论坛上发布等。这不仅导致员工效率低下，而且还可能导致组织内机密信息的泄漏进入公共网络，并可能通过各种不正规平台和非法网站发表一些违反法律法规和社会道德的负面观点。图2-2企业内网拓扑图71262.4IP地址规划这主要是通过以各种方式控制计算机和外部设备来实现的。由于高安全性Intranet必须与Internet物理隔离，因此，除了缺乏用户对计算机安全性的意识外，最重要的是管理系统不完善，尤其是计算机设备的管理不当，这会导致频繁的泄漏。计算机中安全性较高的功能有以下几种：一是网络监视；二是外部设备管理；三是计算机工作过程管理；四是有效控制网络访问；五是对系统漏洞分发布丁。在计算机内部的网络管理工作和维护工作中，智能网络管理系统起到了关键作用，还给系统管理员提供了非常方便的安全管理环境。计算机的功能网络管理系统包括智能网络管理系统和网络检测装置。它主要作用是通过网络检测装置及时检测网络中的各种信息，并对网络中忽略的信息进补充，同时对网络设备消耗的流量进行计算统计。内部网审核模块是基于数据收集，分析，标识和资源审核的软件。通过根据用户设置的安全管理策略审核实时数据流，可以检查受监视对象的活动。基于组合的控制机制以及主机和网络硬件，可以实现多层次和多层次的网络管理和控制。得益于集中的管理和自卫机制，它充分体现了领导者监视，控制和计划关键Intranet资源的能力，并为网络管理员提供了有效的工具来审核和验证系统的当前状态。根据用户的实际情况和易于管理，将复杂的网络环境分为几个安全管理区域。管理区域控制台不仅负责管理和控制其区域中的安全性，而且还负责确保安全审核信息与上游控制台的交互。统计审核报告提供了一种报告机制，该机制的主要作用是为系统管理员进行网络数据分析提供依据，还可以找出网络中存在的问题，并进行快速解决。同时能够通过企业部门、企业计算机设备以及企业事件类型等方面请求统计信息，并且可以创建各种统计审计报告。268922.5网络设备选型267442.5.1集线器的选型在产品参数方面，北信源Intranet安全管理系统，COPBaoxinPatrol和LanSecSIntranet安全管理系统可以提供客户端网络监视，客户端注册和设备管理，客户端桌面审核和安全监视。补丁分发管理，应用程序资源安全监视，远程帮助管理，警报，统计，报告管理，连接安全管理等功能。在系统要求方面，北新源和宝新对硬件环境的要求很高，这些硬件环境要求用于PC的专用服务器或高性能服务器，系统处理器为P4或更高级别，内存容量为1G或更大容量以及40G以上的硬盘驱动器，而LanSecS可以在PC上正常工作令人满意。相同规模用户范围的三个制造商的价格相差不大，因此主要从产品的技术特性和对软件和硬件的需求以及产品的安装和维护中考虑这一点。从北京圣博润高科技有限公司选择LanSecS智能安全管理系统。138832.5.2交换机的选型LanSecSLAN管理系统是基于Win32操作系统的C/S体系结构程序，该程序专注于集成安全管理和Intranet管理，集成Intranet行为的安全审核以及智能网络管理。LanSecSLAN安全管理系统分为四个部分：基本安全管理平台，用于监视和审核的客户端，智能网络检测器和数据库系统。基本的安全管理平台基本上作为重要部分存在，同时它可以控制审核客户端并与数据库进行交互。客户根据管理平台制定的策略来管理和控制终端设备。作为网络管理的组成部分，网络检测器在收集网络信息和实施网络管理中起着重要的作用。此外，数据库系统还充当存储和检索全面数据信息的强大数据背景。系统实现的主要功能包括三个主要方面：Intranet安全管理，Intranet安全审核和智能网络管理。企业网络中的网络管理人员可以在网络环境中的任意位置灵活部署各种组件，以满足不同的需求。95562.5.3路由器的选型得益于获得专利的多行多路复用技术来控制在线行为，控制在线行为的网关可以同时连接到公共网络的四条线路，从而扩展了Internet访问的带宽，并且多条线路相互支持以提高可靠性，而在线行为管理多线程智能路由和负载均衡技术可以智能地在线路之间分配Intranet员工的流量，解决了运营商之间的带宽瓶颈问题。网络系统管理员可以对用户数据中心进行访问，来调查宽带资源的使用情况，这些情况包括应用程序的流量使用状况、用户使用网络流量情况、定期内流量排名等。网络管理员应该限制非商业流量的带宽，例如P2P行为等，以确保来自领先的视频会议系统和业务部门的应用程序流量不受阻碍，这可以使用不同的用户在线流量管理系统，对用户的网络使用时间、使用的应用程序、浏览的网站信息、下载的文件等进行调查，还可以利用QoS优先级机制对宽带进行共享和分配，实现带宽资源的充分使用。222926.5.4服务器的选型对于Intranet员工访问不同网页的行为，Internet行为控制由内置的URL库，关键字过滤等控制。对于具有SSL加密的网页，例如网络钓鱼网站，黑色和用于在线行为管理中验证证书的链接的白名单。技术也可以控制。安全网关不仅可以控制使用共享服务（例如Web，FTP，电子邮件等）的员工，而且可以使用技术实现诸如QQ，MSN，Skype等的实时聊天工具。根据四到七个级别的应用程序数据包的功能代码进行深度内容发现。，E-mule，PPLive，QQLive和其他P2P下载工具。其他在线视频工具，在线游戏，在线股票交易以及其他在线应用程序均受到管理和控制。基于用户/用户组的网络访问控制功能，基于一段时间，基于各种目标模式的网络访问控制功能，可以根据人类的需求灵活地进行权限控制。在线行为管理产品是否是具有上述功能的好产品？拥有这并不意味着可以更好地实现它。在众多产品中，为了选择合适的产品，您可以考虑以下几点：加密是Internet当前的发展趋势。当前，只有专业的Internet行为管理产品才能管理加密应用程序。通过分析整个过程和其他技术，可以识别和屏蔽加密应用程序，例如准确识别和保护加密的BT，Skype和msnshell。但是，低成本的Internet行为管理产品只能阻止未加密的应用程序，例如常规HTTP或MSN网站，并且在管理和控制方面存在漏洞。完整的应用程序协议库中汇集了很多常规网络应用程序的使用协议。用户是否可以阻止股票交易软件，聊天工具和在线视频，取决于应用程序协议库中是否有协议。网络行为管理产品的应用程序协议库需要完整且最新，因为网络应用程序软件种类繁多，并且新的版本相继出现。只有在应用协议库确保及时全面覆盖和更新传统应用程序的情况下，才能保证已连接网络应用程序的准确标识。另外，Internet行为管理产品还应该具有相对完整的URL库，因为Web浏览是网络应用程序的重要组成部分，并且还应使用大量分类的URL库来过滤网页。与基于端口和IP地址的防火墙不同，在线行为管理产品基于应用程序行为本身提取应用程序级数据。

22588网络安全的方案设计272203.1中大型型公司网络安全系统设计105193.1.1安全体系结构网络下图3-1展示的是中大型企业内网管理部署结构。图3-1内网管理部署结构图Intranet安全管理软件必须安装在网络上的服务器上，并且需要一个数据库来存储数据，在完成Intranet安全管理软件的安装后，将安装代理安装程序包（即最终客户端软件）和整个网络。网络的终端应当通过客户端进行安装。客户端软件扮演审核控制的角色，但是客户端没有网络访问权限。285053.1.2安全体系层次模型了解每个部门的功能要求和要求后，合理划分您的Intranet管理部署策略。总经理：自动分发补丁，管理Intranet系统配置以及提供远程服务。人力资源：要求自动分发系统补丁，触发警报并检测非法访问的设备，并管理内部网络系统的配置。财务部门：分发自动修复程序，检查和控制输入和输出设备（例如U盘，软盘，光盘驱动器，打印机等）的使用，监视服务和过程更新，分析应用程序的安装和删除以防止访问非法计算机进入内部网络，检查PC资源（包括处理器，内存，硬盘，视频卡，网卡等）。生产技术部：要求自动分发补丁程序，以防止非法访问未知计算机网络，审计和监视输入和输出设备（例如U盘，软盘，光盘驱动器，打印机等），更新和监视服务和流程审核应用程序的安装和删除；检查您的PC资源（包括处理器，内存，硬盘驱动器，图形卡，网卡等）。计划和市场部：要求自动分发系统补丁，通知和检测被非法访问的设备，并管理内部网络系统的配置。内部网络安全策略的制定主要考虑补丁管理，地址绑定，访问控制，内部网络系统的配置管理，监视内部网络终端的行为以及打印控制等方面。以下总结了这六项政策的目的和步骤。将修补程序应用于软件更新终端。每次打开它时，它将每30-60分钟自动扫描一次，然后根据指定的扫描周期和主机条件进行分发，下载和安装。补丁程序管理步骤：策略制定“补丁程序更新”策略。②设置模板参数，如：补丁下载方式-自动下载，补丁安装方式-自动安装。122623.1.3安全体系设计主要原因是阻止非法计算机访问网络。监视监视非法访问：根据注册信息与未知IP地址和mac地址列表的比较，它会自动检测对未知设备的Intranet的访问行为，从而使管理员可以快速检测到非法入侵者。②非法阻止访问：可以立即阻止非法访问设备，以确保未授权设备无法访问内部网络。策略上的更改可以防止外部计算机意外访问内部网络，并防止不受信任的访问设备进入网络。网络构成安全风险。收集有关终端资源的信息，每次打开设备时自动扫描60分钟，然后根据已建立的扫描周期扫描有关主机资源（硬件和软件）的信息并进行收集。获得回应的方法是记录。必须从操作系统驱动程序级别控制外部终端设备。例如，断开USB驱动器，光盘驱动器，蓝牙，红外线和其他设备的连接。根据部门管理中大型企业，财务，生产和销售技术的各种职能和需求，已将制定的策略应用于每个部门。90813.2安全产品的配置与应用70423.2.1防病毒及木马软件在对测试内容进行分析的基础上，得出网络行为管理应用管理功能和网页拦截功能如下：测试1：网络行为管理设备具有良好的拦截效果，可以有效拦截软件，游戏，股票等的P2P下载。。，在线视频和QQ聊天。测试2：行为网络产品可以有效地阻止色情，暴力，反动和其他不良网站，病毒木马和其他危险网站，在线商店，在线约会，股市金融和其他非工作网站，降低网络内部病毒感染的风险并提高工作效率，以避免法律风险。从两个测试设备的性能可以看出，网络行为控制设备的CPU利用率和CPU利用率通常小于10％。此外，设备自测试开始到11月3日，只进行了16天的实际运行。在此期间没有异常情况，例如崩溃和重新启动。在原始的SME网络中，用于在线行为管理的设备的创建可能会得出结论，在有效期内，用于在线行为管理的设备的策略发挥了以下作用。（1）优化网络访问速度，减少P2P对网络带宽的影响，提供重要服务器的带宽，并成功地将网络带宽的使用减少到最佳值。（2）这限制了员工在工作时间使用Internet进行非工作活动，并提高了员工提高工作效率的意识。（3）用病毒木马封锁大量网站，降低内网用户感染风险，确保内网安全。91673.2.2动态口令身份认证方案中大型企业内部网上的PC，U盘，打印机和其他设备。在网络上的服务器上安装Intranet安全管理软件，同时安装数据库进行数据储存。安装结束以后就可以形成代理安装程序包，即终端客户端。在整个网络终端上安装客户端以充当审核控件。162853.2.3访问控制：防火墙系统出口的网络吞吐量为NetM上游30M和下游30M。②路由器启用NAT功能。③通过路由器、防火墙、cisco4503主交换机和cisco2960分支交换机对网络环境进行测试。④企业网络中有150台计算机。①阻止P2P软件下载，在线视频，股票交易软件，在线游戏和聊天工具。②封锁色情，残忍，反动和其他不良网站，封锁病毒木马等危险网站，封锁网上商店，网上约会，股市金融和其他非工作网站。①在测试环境中，在线行为管理设备以桥接模式连接到网络，并且在线行为管理设备连接在主交换机和防火墙之间。②安装Thunder，BTCOMIT，eMule和其他P2P，在测试计算机上下载并安装卓越的智慧软件。3.2.4VLAN交换机和访问列表设置预计交换机设置如下（部分）：访问列表的配置可以使各个部门获得授权访问的网络使用资源，保证了网络的安全和带宽管理：

结论随着业务的发展和信息建设的加速，互联网已成为生活中必不可少的工具。但是，在人们享受生活的所有舒适和网络提供的便捷通信的同时，网络安全问题也变得更加明显，尤其是在网络攻击和破坏事件，内部网络安全性和内部安全性的可能性大大降低之后。管理和控制Internet工作者在Internet上的行为等问题变得越来越严重。想要消除网络安全管理中存在的不利因素，就要对网络安全管理进行深入分析，结合中大型企业网络安全管理系统，研究网络安全管理相关技术和管理现状，提出并制定了企业网络安全管理计划，并开发了系统企业网络安全。关键