局域网的组建与应用
摘要:随着办公信息化、自动化的需求,各单位为提高办公效率,促进信息交流,适应现代化办公的
要求,需要组建办公局域网,组建办公局域网所涉及的方方面面很多,首先需要一个真确的设计规划,然
后需要处理布线、网络设备选型与配置、服务器设备选型与配置、网络软件的安装等方面,这都是需要按
部就班的逐一实现,最后还需要进行正常的日常维护,本文就如何规划和设计企业局域网进行前述。
目录
前言........................................................................................................................................... 2
1 局域网的简介 ....................................................................................................................... 2
1.1 网络的体系结构 ................................................................................................................ 2
1.2局域网的特点 ..................................................................................................................... 2
1.3局域网参考模型 ................................................................................................................. 4
1.4局域网拓扑结构 ................................................................................................................. 4
2 局域网的设计原则及目标 ................................................................................................... 5
3 局域网规划设计 ................................................................................................................... 7
3.1 网络ip地址规划设计 ....................................................................................................... 7
3.2 综合布线的设计原则 ........................................................................................................ 7
3.3 中心机房的设计原则 ...................................................................................................... 10
3.4 网络设备选型原则 .......................................................................................................... 13
3.5网络设备操作系统及应用选型原则 ............................................................................... 15
4网络安全设计原则 .............................................................................................................. 15
4.1网络安全设计原则 ........................................................................................................... 15
4.2网络信息安全设计与实施步骤 ....................................................................................... 17
5 总结..................................................................................................................................... 18
前言
随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁和网络的脆弱性。故此,局域网的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。为了确保信息的安全与畅通,研究局域网的安全以及防范措施已迫在眉睫。
1 局域网的简介
局域网(Local Area Network)是在一个局部的地理范围内(如一个学校、工厂和机关内),将各种计算机。外部设备和数据库等互相联接起来组成的计算机通信网。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个大范围的信息处理系统。简称LAN,是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等,一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。
1.1 网络的体系结构
网络通常按层或级的方式来组织,每一层都简历在它的下层之上,不同的网络,层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务,这一点是相同的,层和协议的集合被称为网络体系结构。作为具体的网络体系结构,当前重要的和使用广泛网络体系机构有OSI体系结构和TCP/IP体系结构。
OSI 是开放系统互连基本参考模型OSI/RM(Open System Interconnection
Reference Model)缩写,它被分成了七层,七层都定义了不同的功能,这些层次从上到下分别是应用层、会话层、运输层、网络层、数据链路层、物理层,其中物理层是位于体系结构最底层的,它定义了OSI 网络中的物理特性和电气特性。
TCP/IP(Transmission Control Protocol/Internert Protocol,传输控制协议和互联网协议)缩写,TCP/IP体系结构是当前应用于Internet 网络中的体系结构,它是由OSI 结构演变而来的 ,它没有表示层,只有应用层、传输层、网际层和网络接口层。
1.2局域网的特点
A 从功能上讲,局域网有以下特点:
共享传输信道。
在局域网中,各系统设备连接到共享的通信设备中。
范围有限。
小的为一个房间或数个房间,如学生宿舍中搭建的局域网,大的也不过在几千米或十几千米范围内,如学校或公司的局域网。
传输速率高。
电话数字线路最大传输速率仅为56Kbps,局域网采用的是基带传输,传输速率从最初的10Mbps,经过100Mbps,到目前的1000Mbps,速率为万兆的局域网技术也已经问世。
工作可靠,
误码率低。局域网多采用分布式控制和广播通信方式,通信误码率可低于 甚至 。
B从网络体系结构和传输控制规程来看,计算机局域网的特点是:
底层协议简单,由于局域网距离短、时延小、传输速率高、误码率低,相对而言信道的利用率不再是考虑的主要问题,因而底层协议比较简单,允许报文有较大的报头尺寸。
小型的计算机局域网不需要中间转接,不单独设置网络层,但是如果局域网通过交换机、路由器等连接起来,并需要提供各种服务,则需要网络层,一般局域网的体系结构相当于OSI模型中的最低两层。
采用多种访问控制方式。由于可以采用的传输介质多样化,局域网有多种媒体访问控制方式,包括载波监听多路访问/冲突
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
技术、令牌环控制技术、
令牌总线控制技术、光纤分布式数据接口技术等。
1.3局域网参考模型
1982年2月,电器和电子工程师协会(IEEE)成立了IEEE 802委员会,之后该委员会制定了一系列局域网
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
,称为IEEE 802标准。1983年,该标准被美国国家标准局(ANSI)接受为美国国家标准,1984年3月,ISO将该标准定为国际标准。
按照IEEE 802标准,局域网体系结构由物理层、媒体访问控制子层(MAC,Media Access Control)和逻辑链路控制子层(LLC,Logical Link Control)组成。
1.4局域网拓扑结构
网络拓扑结构是指一个网络中各计算机节点之间互联的几何形状。任意一种局域网的访问控制方式都规定了它们各自的网络拓扑结构。局域网的网络拓扑结构通常分为3种,分别是总线状拓扑结构、星状拓扑结构和环状拓扑结构。
总线状拓扑结构
所有节点都通过相应硬件接口连接到一条无源公共总线上,任何一个节点发出的信息都可沿着总线传输,并被总线上其他任何一个节点接收,它的传输方向是从发送点向两端扩散传送,是一种广播式结构。在LAN中,采用带有碰撞检测的载波侦听多路访问,即CSMA/CD方式。每个节点的网卡上有一个收发器,当发送节点发送的目的地址与某一节点的接口地址相符,该节点即接收该信息。总线结构的优点是安装简单、易于扩充、可靠性高,一个节点损坏,不会影响整个网络工作。缺点是一次仅能一个端用户发送数据,其他端用户必须等到获得发送权,媒体访问获取机制较复杂。
星状拓扑结构。
也称为辐射网,它将一个点作为中心节点,该点与其他节点均有线路连接。具有N个节点的星状网至少需要N–1条传输链路。星状网的中心节点就是转接交换中心,其余N–1个节点间相互通信都要经过中心节点来转接,在数据网络中,这种设备是主机或集线器。因而该设备的交换能力和可靠性会影响网内所有用户。星状拓扑结构的优点是:利用中央节点可方便地提供服务和重新配置网络;单个连接点的故障只影响一个设备,不会影响全网,容易检测和隔离故障,便于维护;任何一个连接只涉及到中央节点和一个站点,因此控制介质访问的方法很简单,从而访问协议也十分简单。星状拓扑结构的缺点是:每个站点直接与中央节点相连,需要大量电缆,因此费用较高;如果中央节点产生故障,则全网不能工作,所以对中央节点的可靠性和冗余度要求很高,中心系统通常采用双机热备份来提高系统的可靠性。
环状网络拓扑结构。
环状结构中的各节点通过有源接口连接在一条闭合的环状通信线路中,是点,点式结构。环状网中每个节点发送的信息流按环路设计的流向流动。为了提高可靠性,可采用双环或多环等冗余措施来解决。目前的环状结构中采用了一种多路访问部件MAU,当某个节点发生故障时,可以自动旁路,隔离故障点,这也使可靠性得到了提高。环状结构的优点是实时性好,信息吞吐量大,网的周长可达200km,节点可达几百个。但因环路是封闭的,所以扩充不便。这种结构在IBM于1985年推出令牌环网后,已被人们接受。目前推出的FDDI网就是使用这种双环结构。
2 局域网的设计原则及目标
1实用性。
建设局域网的目的是满足用户的需求,用户的需求是规划的基础。在没有充分理解用户需求的情况下进行网络设计,最终必然不能达到建设要求。网络往
往需要满足各个用户的不同需求,从而满足整个组织机构的所有业务需求。实用性也就是组网设计以人为本。
2 可扩充性。
组网设计的时候,应该关注未来的技术发展方向,不采用限制新技术发展的技术标准。比如多播是未来的发展趋势,组网设计者应该保证在新技术得到普及的时候,所设计的局域网无须将现有设备全部撤换,而只需要具有网络扩展和升级选项的硬件和软件就可实现新的功能。
3开放性。
组网设计应采用当前最新国际标准的软硬件以及开放的技术、开放的结构、开放的系统组件和用户接口,使网络系统具备与多种协议计算机通信网络互联的特性,为未来的横向扩展提供必要的条件。
4 成本有效性。
充分考虑资金投入能力,应该以最好的性价比去构建网络系统,组网设计并非是一味追求高性能,因为高性能往往意味着高投资,如果网络系统的投入超出该系统带来的利润,这显然是不合适的,另外该高性能网络系统未必得到充分利用。所以组网设计应该根据用户的应用需求,在满足系统性能以及考虑到在可预见期间不失先进性的前提下,尽量使整个系统投资合理且实用性强。
5 可管理性。
计算机网络具有一定的复杂性,随着网络的发展,其管理必然越来越繁重。所以网络设计者应该建立一套完善的网络管理解决
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
。通过先进的管理策略、管理工具提高网络运行的可管理性和可靠性,简化网络维护工作。
6 安全可靠性。
为了保证各项应用的实现,所设计的网络必须具有高可靠性。应该尽量避免系统的单点故障,应提供冗余措施,并采用先进的网络管理技术,对网络信息
流量进行实时监控,并对数据进行处理,及时查出并排除故障。同时采取合适的安全措施,如设置防火墙等等
3 局域网规划设计
3.1 网络ip地址规划设计
由于目前网络上的每个设备都需要IP地址才可以和网络上的其它设备或者应用进行通信,在对网络进行
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
、资源访问控制时,常常是通过限制IP地址来实现网络的安全管理和控制。因此,IP地址是网络中的一种重要资源,同时在很多时候IP地址是用户身份的标识。
1 唯一性
一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。
2 连续性
连续地址在层次结构网络中易于进行路径叠合,大大缩减了路由表,提高路由算法的效率。
3 扩展性
地址分配在每一层次上都要留有余量,在网络规划扩展时能保证叠合所需的连续性。
4 实意性
“望址生义”好的IP地址规划使每个地址具有实际意义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧性和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。
3.2 综合布线的设计原则
综合布线的特点
综合布线同传统的布线相比较,有许多优越性,是传统布线所无法相比的。其特点主要表现在它具有兼容性、开放性、灵活性、可靠性、先进性和经济性;而且在设计、施工和维护方面也给人们带来了许多方便。
兼容性
综合布线的首要特点是它的兼容性。所谓兼容性,是指它自身是完全独立的,与应用系统相对无关,可以适用于多种应用系统。
综合布线将语音、数据与监控设备的信号线经过统一的规划和设计,采用相同的传输媒体、信息插座、交连设备、适配器等,把这些不同信号综合到一套标准的布线中。由此可见,这种布线比传统布线大为简化,可节约大量的物资、时间和空间。
在使用时,用户可不用定义某个工作区信息插座的具体应用,只把某种终端设备(如个人计算机、电话、视频设备等)插入这个信息插座,然后在管理间和设备间的交接设备上做相应的接线操作,这个终端设备就被接入到各自的系统中了。
(2)开放性
对于传统的布线方式,只要用户选定了某种设备,也就选定了与之相适应的布线方式和传输媒体。如果更换另一个设备,那么原来的布线就要全部更换。对于一个已经完工的建筑物,这种变化是十分困难的,要增加很多投资。
综合布线由于采用开放式体系结构,符合多种国际上现行的标准,因此它几乎对所有著名厂商的产品都是开放的,如计算机设备、交换机设备等;并对所有通信协议也是支持的,如ISO/IEC8802-3,ISO/IEC8802-5等。
(3)灵活性
传统的布线方式是封闭的,其体系结构是固定的,若要迁移设备或增加设备是相当困难的,甚至是不可能。
综合布线采用标准的传输线缆和相关连接硬件,模块化设计。因此所有通道都是通用的。每条通道可支持终端、以太网工作站及令牌环网工作站。所有设备的开通及更改均不需要改变布线,只需增减相应的应用设备以及在配线架上进行必要的跳线管理即可。另外,组网也可以灵活多样,甚至在同一房间可有多用户终端,以太网工作站、令牌环网工作站并存,为用户组织信息流提供了必要条件。
(4)可靠性
传统的布线方式由于各个应用系统互不兼容,因而在一个建筑物中往往要有多种布线方案。因此建筑系统的可靠性要由所选用的布线可靠性来保证,当各应用系统布线不当时,还会造成交叉干扰。
综合布线采用高品质的材料和组合压接的方式构成一套高标准的信息传输通道。所有线槽和相关连接件均通过ISO认证,每条通道都要采用专用仪器测试链路阻抗及衰减率,以保证其电气性能。应用系统布线全部采用点到点端接,任何一条链路故障均不影响其他链路的运行,这就为链路的运行维护及故障检修提供了方便,从而保障了应用系统的可靠运行。各应用系统往往采用相同的传输媒体,因而可互为备用,提高了备用冗余。
(5)先进性
综合布线采用光纤与双绞线混合布线方式,极为合理地构成一套完整的布线。所有布线均采用世界上最新通信标准,链路均按八芯双绞线配置。5类双绞线带宽可达100MHz,6类双绞线带宽可达200MHz。对于特殊用户的需求可把光纤引到桌面(Fiber To The Desk)。语音干线部分用钢缆,数据部分用光缆,为同时传输多路实时多媒体信息提供足够的带宽容量。
(6)经济性
综合布线比传统布线具有经济性优点,主要综合布线可适应相当长的时间需求,传统布线改造很费时间,耽误工作造成的损失更是无法用金钱计算。 通过上面的讨论可知,综合布线较好地解决了传统布线方法存在的许多问题,随着科学技术的迅猛发展,人们对信息资源共享的要求越来越迫切,尤其以电话业务为主的通信网逐渐向综合业务数字网(ISDN)过渡,越来越重视能够同时提供语音、数据和视频传输的集成通信网。因此,综合布线取代单一、昂贵、复杂的传统布线,是“信息时代”的要求,是历史发展的必然趋势。
与其他系统设计一样,设计者首先要进行用户需求分析,然后根据需求分析进行方案设计。需要指出的是,综合布线系统在理论上讲可以包括语音,即包
括电话、传真、音响广播;数据,包括计算机信号、公布数据信息;图像,包括各种电视信号、监视信号;控制信号,包括温度、压力、流量、水位以及烟雾等各种控制信号。在实际工程中,至少在目前技术条件和工程实际需要中多为两种:语音和数据。
在进行综合布线系统设计时通常应遵循以下原则:
采用模块化设计,易于在配线上扩充和重新组合。
采用星状拓扑结构,使系统扩充和故障分析变得十分简单。
满足通信自动化与办公自动化需要,即满足语音与数据网络的广泛要求。
确保任何操作互联主网络,尽量提供多个冗余互联性信息点插座。
适应各种符合标准的品牌设备互联入网,满足当前和将来网络的要求。
电缆敷设与管理应符合综合布线系统的设计要求。注意相关硬件的选择和安装。
3.3 中心机房的设计原则
数据中心机房装饰装修的设计,应遵循节能、防火、防尘、防静电、防水、防鼠虫等6个原则:
(一)节能
(1)建筑围护结构特别是改建机房的建筑围护结构,其热工性能如不符合GB50189一2005《公共建筑节能设计标准》的有关规定,那么在机房装饰设计时,需作墙体保温设计。
(2)机房外窗宜采用双层玻璃密闭窗,并设窗帘以避免阳光的直射。当采用单层密闭窗时,其玻璃应为中空玻璃。
(3)吊顶空间较高时,不宜直接从吊顶内回风,可设计双层顶以减少空调负荷和灭火气体容量。
(4)房间平面和立面设计宜避免高而窄,防止房间直射光落在工作面上的光量少而降低光源利用系数。
(二)防火
(1)机房应采用非燃或难燃材料,材料燃烧性能应符合GB50222一1995《建筑内部装修设计防火规范》的有关规定。
(2)机房应设火灾报警和气体灭火系统。
(3)机房应有畅通的疏散通道、足够的疏散出口和醒目的疏散标志。
(4)机房与其他建筑物合建时,应有独立的防火区。
(5)不可避免的木质隐蔽部分应作防火处理。
(6)新风进场应设防火阀。
(三)防尘
(1)采用不起尘的装修材料。
(2)吊顶内、地板下空气循环区域需进行防尘处理。
(3)空调、新风系统,应经初效、中效两级过滤。
(4)保持一定的正压,使室外的尘埃不易进入室内。
(5)机房门、窗、所有管线穿墙等的接缝及所有孔洞,均应采取密封措施。
(6)设立缓冲间,工作人员更衣涣鞋后才能进人机房。
(四)防静电
(1)墙面、吊顶的轻钢龙骨及金属面层、地板支架、金属线槽、玻璃隔断的金属支撑等一切金属材料和金属外壳均做等电位接地处理。
(2)按机房环境要求控制机房的温度、湿度。
(3)选用导电性能好的材料,比如抗静电地板,墙面、顶面装修材料多用金属材料。
(4)采取相关设备消除雷电引起的电位差。
(五)防水
(1)与机房区无关的水管不得穿过主机房。不可避免时,应做好防结露保温,水管采用镀锌钢管螺纹连接,接缝处确保严密并经试压检验。
(2)空调四周设挡水堤,在可能产生水的地方(精密空调四周、水管下方)设置漏水报警系统。
(3)采用活动地板送风方式时,楼板应采取保温措施。
(六)防鼠、虫
(1)封堵工程范围内所有与其他区域、其他楼层相通的孔洞,在使用或施工过程中新开的孔洞及时进行封堵。
(2)所有进出机房的管、槽之间的空隙均采取密封措施。
(3)装修过程中原则上不使用木材,局部地方的零星材料进行防虫害处理。
(4)数据中心机房内所有电缆、电线均在金属线槽、线管内敷设,与设备连接的引上线采用金属软管保护,尽量使机房无裸线。
(5)机房范围内的新(排)风系统与大楼新(排)风管道连接处设防鼠钢网。
(6)加强机房环境的管理,禁止可能引起鼠害的东西(如食品)带人机房。
3.4 网络设备选型原则
设备选型是指购置设备时,根据生产工艺要求和市场供应情况,按照技术上先进、经济上合理,生产上适用的原则,以及可行性、维修性、操作性和能源供应等要求,进行调查和分析比较,以确定设备的优化方案。
设备选型原则
设备选型是网络方案规划设计的一个重要方面,在为网络升级选择网络设备时,应当遵循以下原则。
(1)厂商的选择
所有网络设备尽可能选取同一厂家的产品,这样在设备可互连性、协议互操作性、技术支持和价格等方面都更有优势。从这个角度来看,产品线齐全、技术认证队伍力量雄厚、产品市场占有率高的厂商是网络设备品牌的首选。其产品经过更多用户的检验,产品成熟度高,而且这些厂商出货频繁,生产量大,质保体系完备。作为系统集成商,不应依赖于任何一家的产品,应能够根据需求和费用公正地评价各种产品,选择最优的。在制定网络方案之前,应根据用户承受
能力来确定网络设备的品牌。
(2)扩展性考虑
在网络的层次结构中,主干设备选择应预留一定的能力,以便将来扩展,而低端设备则够用即可,因为低端设备更新较快,且易于扩展。由于企业网络结构复杂,需要交换机能够接续全系列接口,例如光口和电口、百兆、千兆和万兆端口,以及多模光纤接口和长距离的单模光纤接口等。其交换结构也应能根据网络的扩容灵活地扩大容量。其软件应具有独立知识产权,应保证其后续研发和升级,以保证对未来新业务的支持。
3)根据方案实际需要选型 (
主要是在参照整体网络设计要求的基础上,根据网络实际带宽性能需求、端口类型和端口密度选型。如果是旧网改造项目,应尽可能保留并延长用户对原有网络设备的投资,减少在资金投入方面的浪费。
(4)选择性能价格比高、质量过硬的产品
为使资金的投入产出达到最大值,能以较低的成本、较少的人员投入来维持系统运转,网络开通后,会运行许多关键业务,因而要求系统具有较高的可靠性。全系统的可靠性主要体现在网络设备的可靠性,尤其是GBE主干交换机的可靠性以及线路的可靠性。作为骨干网络节点,中心交换机、汇聚交换机和厂区交换机必须能够提供完全无阻塞的多层交换性能,以保证业务的顺畅。
(5)可靠性
由于升级的往往是核心和骨干网络,其重要性不言而喻,一旦瘫痪则影响巨大。
(6)可管理性
一个大型网络可管理程度的高低直接影响着运行成本和业务质量。因此,所有的节点都应是可网管的,而且需要有一个强有力且简洁的网络管理系统,能够对网络的业务流量、运行状况等进行全方位的监控和管理。
(7)安全性
随着网络的普及和发展,各种各样的攻击也在威胁着网络的安全。不仅仅是接入交换机,骨干层次的交换机也应考虑到安全防范的问题,例如访问控制、带宽控制等,从而有效控制不良业务对整个骨干网络的侵害。
(8)QoS控制能力
随着网络上多媒体业务流(如语音、视频等)越来越多,人们对核心交换节点提出了更高的要求,不仅要能进行一般的线速交换,还要能根据不同的业务流的特点,对它们的优先级和带宽进行有效的控制,从而保证重要业务和时间敏感业务的顺畅。
(9)标准性和开放性
由于网络往往是一个具有多种厂商设备的环境,因此,所选择的设备必须能够支持业界通用的开放标准和协议,以便能够和其他厂商的设备有效地互通。
3.5网络设备操作系统及应用选型原则
网络操作系统的选用应该能够满足计算机网络系统的功能要求、性能要求,一般要做到 网络维护简单,具有高级容错功能,容易扩充和可靠,具有广泛的第三方厂商的产品支持、保密性好、费用 低的网络操作系统。
4网络安全设计原则
网络安全体系设计的重点在于根据安全设计的基本原则,制定出网络各层次的安全策略和措施,然后确定出选用什么样的网络安全系统产品。
4.1网络安全设计原则
尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些安全原则,那么网络系统的安全就会有保障。设计时如不全面考虑,消极地将安全和保密措施寄托在网管阶段,这种事后“打补丁”的思路是相当危险的。从工程技术角度出发,在设计网络方案时,应该遵守以下原则。
1) 网络安全前期防范
强调对信息系统全面地进行安全保护。大家都知道“木桶的最大容积取决于最短的一块木板”,此道理对网络安全来说也是有效的。网络信息系统是一个复
杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性,使单纯的技术保护防不胜防。攻击者使用的是“最易渗透性”,自然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计网络安全系统的必要前提条件。
2) 网络安全在线保护
强调安全防护、监测和应急恢复。要求在网络发生被攻击、破坏的情况下,必须尽可能快地恢复网络信息系统的服务。减少损失。所以,网络安全系统应该包括3种机制:安全防护机制、安全监测机制、安全恢复机制。安全防护机制是根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行:安全监测机制是监测系统的运行,及时发现和制止对系统进行的各种攻击;安全恢复机制是在安全防护机制失效的情况下,进行应急处理和及时地恢复信息,减少攻击的破坏程度。
3) 网络安全有效性与实用性
网络安全应以不能影响系统的正常运行和合法用户方的操作活动为前提。网络中的信息安全和信息应用是一对矛盾。一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施:另一方面,势必给系统的运行和用户方的使用造成负担和麻烦,“越安全就意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务不能容忍安全连接和安全处理造成的时延。网络安全采用分布式监控、集中式管理。
4) 网络安全等级划分与管理
良好的网络安全系统必然是分为不同级别的,包括对信息保密程度分级(绝密、机密、秘密、普密),对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安全子网和安全区域),对系统结构层分级(应用层、网络层、链路层等)的安全策略。针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
网络总体设计时要考虑安全系统的设计。避免因考虑不周,出了问题之后“拆东墙补西墙”的做法。避免造成经济上的巨大损失,避免对国家、集体和个人造成无法挽回的损失。由于安全与保密问题是一个相当复杂的问题。因此必须注重
网络安全管理。要安全策略到设备、安全责任到人、安全机制贯穿整个网络系统,这样才能保证网络的安全性。
5) 网络安全经济实用
网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。一般园区网络要具有身份认证、网络行为审计、网络容错、防黑客、防病毒等功能。网络安全产品实用、好用、够用即可。
4.2网络信息安全设计与实施步骤
第一步、确定面临的各种攻击和风险。
第二步、确定安全策略。
安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。安全策略的制定要综合以下几方面的情况。
(1) 系统整体安全性,由应用环境和用户方需求决定,包括各个安全机制的子系统的安全目标和性能指标。
(2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等)。
(3) 便于网络管理人员进行控制、管理和配置。
(4) 可扩展的编程接口,便于更新和升级。
(5) 用户方界面的友好性和使用方便性。
(6) 投资总额和工程时间等。
第三步、建立安全模型。
模型的建立可以使复杂的问题简化,更好地解决和安全策略有关的问题。安全模型包括网络安全系统的各个子系统。网络安全系统的设计和实现可以分为安全体制、网络安全连接和网络安全传输三部分。
(1) 安全体制:包括安全算法库、安全信息库和用户方接口界面。
(2) 网络安全连接:包括安全协议和网络通信接口模块。
(3) 网络安全传输:包括网络安全管理系统、网络安全支撑系统和网络安全传输系统。
第四步、选择并实现安全服务。
(1) 物理层的安争:物理层信息安全主要防止物理通路的损坏、物理通路的窃听和对物理通路的攻击(干扰等)。
(2) 链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN(局域网)、加密通信(远程网)等手段。
(3)网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络传输正确,避免被拦截或监听。
(4) 操作系统的安全:操作系统安全要求保证客户资料、操作系统访问控制的安令,同时能够对该操作系统上的应用进行审计。
(5) 应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库服务器,电子邮件服务器,Web服务器等。由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
(6) 应用系统的安全:应用系统是为用户提供服务,应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容安全、通信双方的认证和审计等手段。
第五步、安全产品的选型
网络安全产品主要包括防火墙、用户身份认证、网络防病系统统等。安全产品的选型工作要严格按照企业(学校)信息与网络系统安全产品的功能规范要求,利用综合的技术手段,对产品功能、性能与可用性等方面进行测试,为企业、学校选出符合功能要求的安全产品。
5 总结
进入21世纪,网络把人们带入了一个日新月异的信息时代。企业局域网建设作为一项重要的系统工程,它所用到的各种技术是多方面的,即有
工程施工
建筑工程施工承包1园林工程施工准备消防工程安全技术交底水电安装文明施工建筑工程施工成本控制
技术、网络技术等各方面的知识。同时网络技术的发展是永无止境的,在前进的过程中也必将会有更多的知识需要我们去学习和研究,并能将其应用到实际的网
络工程建设之中。
网络技术飞速发展,使得新技术不断涌现,由于企业网功能齐全,接触面广,在网络设计、规划和建设中都非常复杂,因此在论述中也不能面面俱到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点和更正。
网络管理员考前辅导 出版社:清华大学出版社 出版日期:2007年2月 刘巍等
计算机网络技术 出版社:北大燕工教育研究院 出版日期:2007年6月 朱加强
中小企业网络管理员实战指南 出版社:科学出版社 出版日期:2008年7月 李利军,韩小琴,金素梅
计算机网络安全 出版社:电子工业出版社易飞思公司 出版日期:2007年6月 袁德明,乔月圆
网络综合布线系统与施工技术 出版社:机械工业出版社 出版日期:2003 年1月 黎连业
浙公网安备 33021202002483