時間:2023-05-15 15:20:44
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業網絡設計與實現,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著社會經濟的快速發展,計算機信息技術介入人們生活的方方面面。企業網絡的信息安全策略是涵蓋多方面的,既有管理安全,也有技術安全,既有物理安全策略,也有網絡安全策略。企業網絡應實現科學的安全管理模式,結合網絡設備功能的不同對整體網絡進行有效分區,可分為專網區、服務器區以及內網公共區,并部署入侵檢測系統與防火墻系統,對內部用戶威脅到網絡安全的行為進行阻斷。下面著重闡述企業信息系統的網絡層安全策略:
一、企業網絡設備安全策略分析
隨著網絡安全形勢的日趨嚴峻,不斷有新的攻擊手段被發現,而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備,如果這些設備退出服務,企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。
最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉,舉例來講:交換機的鄰居發現服務CDP,其功能是辨認一個網絡端口連接到哪一個另外的網絡端口,鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息,包括交換機端口與用戶終端的IP信息,網絡交換機的型號與版本信息,本地虛擬局域網屬性等。因此,本文建議在不常使用此服務的情況下,應該關閉鄰居發現服務。另外,一些同樣不常使用的服務,包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。
企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知,此協議使用的是明文傳輸模式,因此在信息安全方面不輸于非常可靠的協議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼,以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中,應引入安全性能更高的協議,本文推薦SSH(Secure Shell Client)協議。這種協議借助RSA生成安全性能極高的簽名證書,通過該證書,全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題,VTP應配置強口令。
二、企業信息系統網絡端口安全策略
由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡,而網絡交換機屬于工作在ISO第二層的設備,當前有不少以第二層為目標的非法攻擊行為,為網絡帶來了不容忽視的安全威脅。
二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后,首選會清空CAM 表,并立即啟動數據幀源地址學習,并將這些信息存入交換機CAM表中。這時候,加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構,便很容易導致網絡交換機CAM表溢出,服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發,為非法入侵者提供網絡竊聽的機會,很容易造成攻擊風險。本文所推薦的策略是:網絡交換機的端口安全維護應隨時打開;在交換機配置中設置其學習MAC地址的最大數目為1;設置網絡交換機能夠存儲其學習到的全部MAC地址;一旦網絡交換機的安全保護被觸發,則丟棄全部MAC 地址的流量,發送告警信息。對網絡交換機進行以上的配置,一方面能夠防止基于交換機MAC地址的泛洪攻擊,另一方面也能對網絡內部的合法地址做好記錄。
在成功阻止未知MAC地址接入的基礎上,還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略,這是由于網絡交換機不必向所有端口廣播未知幀,因此可以對未知幀進行阻止,增強網絡交換機安全性。
三、企業信息系統網絡BPDU防護策略
一般情況下,企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐,因為考慮到交換機通道的溝通,加之系統冷、熱備份的出發點,在企業網絡中是存在第二層環路的,這就容易引發多個幀副本的出現,甚至引起基于第二層的數據包廣播風暴,為了避免此種情況的發生,企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會,通過假冒優先級低的BPDU數據包,攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效,就導致攻擊者能夠方便地獲取網絡信息。可以采用的防范措施為:在二層網絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口,使其對BPDU數據包不進行任何處理,加入收到此種類型的數據包,該端口將會自動設置為“服務停止”。在此基礎上,在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包,則發出“失效”的消息,及時阻塞端口。
四、企業信息系統網絡Spoof防護策略
在企業內部網絡中,往往有著大量的終端機,出于安全性與可靠性的考慮,這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中,非法入侵者會將自身假冒動態主機設置協議服務器,同時向用戶主機發出假冒的動態IP配置數據包,導致用戶無法獲取真實IP,不能聯網。可以采用的防范措施為:引入動態主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活,系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息,并丟棄假冒的動態IP配置數據包,從而防止Spoof 攻擊帶來的風險。
考慮到地址解析協議在安全方面的防范性不足,加入非法入侵者不斷地發出ARP數據包,便容易導致全部用戶終端的ARP表退出服務,除去靜態綁定IP與MAC之外,本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下,端口將無法發出ARP的響應,因此,黨用戶主機染毒時,其發出的假冒ARP數據包將由于與列表不匹配而被丟棄,系統安全得到了保障。
五、結束語
W絡安全是一項綜合的管理工程,意義重大。企業的網絡安全一旦出現問題,極有可能造成巨大損失,到那時即使再投入大量資金進行彌補也為時已晚。因此,企業應未雨綢繆,認清事實、正視事實、立足長遠,重視網絡安全問題,這樣才能保證企業網絡的安全,從而實現企業長足發展。
關鍵詞:網絡行為;協議分析;數據捕獲;行為管理
中圖分類號:TP311.52
網絡行為管理系統旨在幫助網絡管理員了解網絡運行狀況和帶寬使用狀況。作為網絡管理較重要的工具之一,網絡行為管理系統協助網絡管理員更好的掌握網絡狀態,進而做出相應的管理調整,確保網絡的連續正常運行。網絡行為管理系統以旁路監聽的方式接入網絡,不改變網絡系統的拓撲結構,對網絡性能毫無影響。網絡行為管理系統管理平臺增加了網絡用戶管理功能,便于網絡管理員管理用戶信息,時時掌握網絡用戶的使用情況。網絡行為管理系統基于Windows xp系統開發,對服務器的配置要求很低。即使一臺簡單得PC機完全可以應付工作。對于網絡管理員,可以在任何一臺內網機器上通過瀏覽器打開管理平臺。大大降低了在網絡方面的管理成本。網絡行為管理系統能夠監控網絡中的數據并進行分析并提供管理平臺。可以作為網絡管理員有效的網絡管理工具,提高網絡使用效率。
1 系統需求分析
本企業的網絡現狀是大部分內網用戶因為業務需要具有訪問互聯網的權限,而連接互聯網的鏈路帶寬有限,經常會在工作時間出現帶寬占滿的情況。行政管理者無法找到帶寬使用最多的用戶和在工作時間做與工作無關網絡行為的用戶。
根據現狀需要解決如下問題:
(1)能夠記錄用戶訪問信息。
(2)能夠將辦公網內用戶的配置信息統一管理。
(3)能夠記錄內網用戶間的訪問信息。
網絡行為管理系統通常分為兩種模式,分別是路由模式和透明模式。路由模式是將網絡行為管理系統放置于互聯網總出口處,凡是訪問互聯網的的數據都通過它,可以進行更加嚴格的權限策略管理。但是,缺點是內網用戶間的訪問狀況就沒有監聽到。為了達到能夠監聽到內網用戶間的數據和內網用戶訪問互聯網的數據,可以采用透明模式。采用透明模式,捕獲內網用戶間的網絡數據和內網用戶訪問互聯網的網絡數據,并進行協議分析,存入數據庫,通過管理平臺讀取數據庫的數據進行分析。
設計需求:
(1)實用、穩定、先進、可靠,以實際應用需要為設計依據確保系統總體優化、安全可靠和穩步推進。
(2)充分考慮功能擴容性和技術升級性,以求得最佳的性能價格比。
(3)采用透明模式接入,不破壞現有網絡格局。
(4)不需要安裝客戶端軟件,不影響內網用戶使用網絡。
功能需求:
(1)監聽網絡內數據,并分析協議。
(2)將分析處理后的數據傳入數據庫。
管理平臺需求:
(1)能夠增加刪除系統管理員。
(2)能夠管理所有用戶的信息,增加、刪除或修改。
(3)能夠查看用戶訪問記錄,內容包含源、目的IP、MAC、協議信息。
性能需求:
在數據量較大的網絡中,高效的網絡管理可以保障網絡的高效使用。本系統最大的目的是快速捕獲數據包并進行協議分析,系統的緩慢降低系統的運行效率,不科學的部署還會影響系統在網絡的監控能力。因此,在設計與實施中要采用先進的網絡技術和系統,最大限度地提高系統的響應速度。本系統采用Mysql數據庫并結合PHP開發管理控制平臺,能夠安全高效的完成對數據的查詢、更改。
2 系統設計
2.1 網絡數據處理中心設計
Winpcap提供了數據包的捕獲功能,在不同的應用中需要設計不同的協議分析模塊。針對不同的協議,設計相應的協議分析功能,是基于Winpcap應用的關鍵所在[1]。
(1)獲得本地網絡驅動器列表
首先使用WinPcap應用程序函數獲取服務器端網卡列表,然后再對捕獲網絡數據端口進行設定。WinPcap提供pcap_findalldevs_ex()函數來實現此功能。函數返回一個pcap_if結構體鏈表,結構體都包含了一個適配器的詳細信息。取得網卡列表后顯示出來并供用戶選擇,如果網卡沒有被發現就顯示有關錯誤。
(2)打開設備并將其設為混雜模式
網卡在一般工作模式下只接受去往它的包,忽略去往其他主機的數據,混雜模式下的網卡它將接收所有的流經它的數據,這說明在同一個網絡里設備可以捕獲到本網絡其他設備的數據[2]。因此常見的抓包工具通常使用混雜模式。使用pcap_findalldevs_ex()捕獲到網卡后,通過pcap_open()函數調用此設備。
(3)編譯并設置過濾器
數據包過濾處理是數據包捕獲技術中的難點和重點,WinPcap或libpcap最強大的特點之一就是數據流的過濾引擎。設置數據流過濾規則實現信息包過濾,用來過濾數據包的函數是pcap_compile()和pcap_setfilter()。pcap_compile()將一個高層的布爾過濾表達式編譯成一個能夠被過濾引擎所解釋的低層的字節碼。
pcap_setfilter()將一個過濾器與內核捕獲會話向關聯。調用pcap_setfilter()時,過濾器將被應用到來自網絡的所有數據包。所有的符合要求的數據包,將會復制給應用程序。
(4)捕捉保存數據包
使用循環調用pcap_next來接受數據包。這個函數的參數和回調函數pcap_loop()一樣是由一個網卡描述符作為入口參數和兩個指針作為出口參數,這兩個指針將在函數中被初始化,然后再返回給用戶。我們使用pcap_next_ex()進行數據包的捕獲。
(5)數據包協議解析
捕獲后的數據經過解析才能得到想要的信息,如源地址,目的地址,協議類型等信息。因此需要關注的幀的格式,解析的過程是將數據幀中的數據按不同協議進行分析提取。
2.2 數據庫設計
數據中心是對來自網絡數據處理中心的網絡數據作進一步的分析、還原、存儲,并根據管理控制臺下發的查詢指令進行響應。數據中心的主要功能是存儲經過處理后的網絡數據,和網絡管理員通過管理平臺刪除、增加、修改網絡用戶的管理信息。網絡數據處理中心分析完TCP/IP數據包,還原應用層協議后,將結果存放在數據庫中,為了方便以后網絡管理員的查詢,設計表的時候就要求簡潔、易懂。
(1)基礎信息維護模塊模型如圖1所示。
圖1 基礎信息維護模塊物理模型
(2)抓包信息模塊如圖2所示。
圖2 抓包信息模塊物理模型
3 功能實現
運行環境配置:
(1)下載WinPcap的安裝文件WinPcap_4_1_2.exe,程序員開發包WpdPack_4_1_2.zip,SDK開發環境。
(2)執行安裝文件,本機就能運行winPcap程序了。
(3)解壓開發包,在VC的option的include和lib中加入winPcap的include和lib。
(4)在程序中加入#include , #include 。然后在工程的setting中加入預定義宏:WPCAP } HAVE_ REMOTE,導入wpcap.lib庫。
在登陸頁面輸入用戶名和密碼,點擊登陸按鈕,將輸入的內容提交給登陸驗證頁面,將輸入的的內容連接到數據庫查詢,驗證通過,進入http://127.0.0.1:8080/function.php,驗證失敗,進入http://127.0.0.1:8080/loaderro.php,提示“無權限”。
系統設置頁面連接數據庫aduser表,讀取系統管理員賬號信息。并通過增加管理員和刪除管理員按鈕,來增加或刪除系統管理員賬號。
用戶管理功能是讓系統管理員更清楚地掌握本網絡內用戶的網絡配置信息,并通過增加用戶和修改用戶按鈕來增加用戶或是修改用戶信息,點擊刪除用戶按鈕來刪除用戶,點擊查詢可以通過IP、MAC兩項來查找用戶。
日志查看功能幫助網絡管理員直觀的看到本網絡內用戶訪問的網址和使用的協議以及時間。通過查詢網段設置和協議類型設置可以過濾掉不需要的信息,提高管理效率。
網絡數據處理中心應用在服務器上,由網絡數據處理中心的sniffer工具在網絡層捕獲數據包,并進行協議分析,并將數據傳送給數據庫,以供管理控制臺進行查詢或修改操作。
參考文獻:
[1]劉文濤.網絡安全編程技術與實例[M].北京:機械工業出版社,2008.
[2]趙心宇,朱齊丹,朱達書.應用winPcap捕獲網絡數據包[J].應用科技,2004,31(11):29-31.
[3]雷震甲.網絡工程師教程[M].北京:清華大學出版社,2006.
[4]薩師煊,王珊.數據庫系統概論[M].北京:高等教育出版社,2000.
雖然網絡營銷在中小企業中的運用越來越廣泛,但中小企業在開展網絡營銷時仍然存在許多問題,中小企業的網絡營銷有很大的改進的空間。
1.1定位不清晰、不準確
對于企業而言,網絡營銷的基本職能表現在八個方面:網絡品牌、網站推廣、信息、銷售促進、網上銷售、顧客服務、顧客關系、網上調研。大多數企業不可能實現全部的八項基本職能,因此對于不同的企業,由于其產品類型不同、企業面向的目標消費群體不同、企業對互聯網的應用程度不同等因素,在實現網絡營銷的八項基本職能方面其側重點也一定會有所不同。但是大多數中小企業在開展網絡營銷時簡單地把網絡營銷理解為網上銷售,甚至許多中小企業認為建一個企業網站,放上企業簡介和簡單的產品介紹就是開展網絡營銷。而且許多企業在開展網絡營銷時沒有進行品牌定位,沒有形成自己的網絡品牌形象、缺乏品牌識別度,造成企業網站千企一面,企業博客或微博沒有形成自己的寫作風格。
1.2缺乏專業性
中小企業很難招聘到專業的網絡營銷人才,由于網絡營銷人才的缺乏造成了中小企業在開展網絡營銷時從企業網站建設到網站推廣、博客營銷、郵件營銷、微博營銷、微信營銷都缺乏專業性。表現在:企業網站沒有企業Logo,網站首頁沒有能體現企業文化或企業品牌形象的口號,網站欄目設置不合理,企業網站提供給用戶的信息過少,沒有進行網站搜索引擎優化;企業在進行搜索引擎營銷時沒有選擇合適的搜索引擎,沒有選擇合理的關鍵詞,在搜索結果中顯示的企業信息缺乏吸引力,甚至有的企業根本沒有進行相應的meta標簽的設置;很多企業直接把企業網站內容復制到企業博客中來開展博客營銷,企業博客與網站內容過多重復,無法滿足用戶不同層面的信息需求;郵件營銷不顯示發件人信息,不設置標題或不設置能提高用戶開信率的標題,正文格式不規范,正文中的鏈接無法打開;微博、微信營銷缺乏原創信息,大量采用轉發內容,缺乏與客戶的有效互動,沒有形成高質量的粉絲群等。
1.3缺乏整合性
網絡營銷是一項系統工程,企業應該以系統論為指導對各項網絡營銷活動和資源進行整合和優化。但許多中小企業要么把網絡營銷簡單地理解為網上銷售或企業網站建設,要么雖然利用多種網絡營銷工具開展了多種網絡營銷活動,但各種網絡營銷活動之間缺乏相互聯系與關聯。表現在:企業網站、企業在第三方平臺上的企業黃頁、企業博客在內容、功能上沒有區別;企業網站上沒有建立企業博客、企業微博、企業微信以及企業在第三方平臺上的商鋪的相關信息;企業博客、微博、微信等平臺上也沒有提供企業網站的相關鏈接;各平臺上的營銷活動相互之間沒有關聯,無法在互聯網環境形成造勢,也無法在網絡上建立起統一的企業品牌形象。
1.4缺乏持續性
網絡營銷是一項長期性工作,只有經過長期持續有規劃的運作才可能看到營銷效果。一些中小企業的網絡營銷是企業業主一時頭腦發熱的產物,而一些中小企業的網絡營銷則由于企業業主的急功近利,在短期內一時看不到明顯的營銷效果,繼而進入停滯狀態。表現在:企業網站建設好以后,幾個月甚至幾年都沒有更新;企業博客、微博、微信內容沒有更新或缺乏與用戶的及時互動;企業郵件內容沒有延續性,郵件發送缺乏周期性。
1.5缺乏創新與創意
互聯網無時無刻不在創新,企業也要在不斷變化的市場情況下快速的去適應、去調整,才能在網絡營銷的大潮中確立企業自身的競爭優勢。網絡經濟其實就是眼球經濟,企業必須想辦法抓住消費者的眼球才可能取得好的網絡營銷的效果。中小企業在開展網絡營銷時簡單地把傳統的營銷方式搬到網絡上開展,缺乏對網絡營銷工具的熟練掌握,更談不上網絡營銷形式和內容的創新與創意。表現在:企業網站、博客等設計風格缺乏獨特性;企業博客、微博、微信、郵件等內容缺乏創意;企業營銷活動缺乏創意;缺乏對網絡營銷工具的創新創意的應用等。
2、中小企業網絡營銷策略
2.1從戰略的高度確立網絡營銷在企業營銷中的地位,準確定位企業網絡品牌形象
對于中小企業而言,無論網絡營銷還是傳統營銷,其目的都是一致的,那就是將產品或服務銷售給客戶。因此網絡營銷與傳統營銷之間并沒有沖突,網絡營銷只不過是企業利用互聯網技術把傳統營銷中實現的樹立品牌形象、提供服務、客戶關系、銷售促進等功能放到網絡平臺上來實現。中小企業應該結合自身的產品類型以及目標消費者群體進行網絡營銷目標定位,利用有限的人力物力有所側重地實現網絡營銷的職能,開展網絡營銷。同時,為了使消費者在網絡空間中識別企業的產品或服務,并使之與競爭對手的產品和服務相區別,中小企業必須進行準確的網絡品牌形象定位,塑造良好的企業網絡形象。企業網絡形象的建立包括兩個方面:一方面是建立一整套的品牌含義,一方面是視覺形象。企業的品牌含義可以與企業在傳統營銷領域內的品牌含義相一致,包括這個品牌的名稱、名詞、標記、符號或設計,或是它們的組合。企業網絡視覺形象主要體現在建立統一的網絡視覺識別系統,通過視覺設計準確表達出企業的文化理念。企業網絡視覺形象設計不但包括企業網站的視覺設計,還包括企業在所有網絡平臺上的圖片、文字、動畫和影像視頻,以及它們的編排結構和交互方式等。在表現風格上應該形成一種認知識別,即形成一個具有鮮明特征又風格統一的網絡形象。
2.2重視專業人才的引進與培養,提升網絡營銷的專業性
由于規模和體制問題,很多中小企業不愿意專門設立一個部門來實現網絡營銷,而是把網絡營銷外包給服務商來做。如果依賴外包來做網絡營銷,很容易造成網絡營銷難以與企業整體營銷相融合,而且也很難持續地開展網絡營銷。中小企業必須通過人才引進與人才培養相結合的方式,加強企業網絡營銷人才隊伍的建設。由于高校人才培養與企業網絡營銷崗位人才知識技能需求相脫節,企業很難從高校畢業生中招聘到符合企業需求的網絡營銷人才。而企業自身市場營銷人員又大多數并不掌握互聯網技術,很難運用網絡開展網絡營銷。因此,企業一方面可以從高校招聘畢業生,對這些畢業生進行崗前培訓,讓他們對企業文化、企業產品、企業客戶、企業品牌都有所了解,早日融入企業,熟悉崗位工作,開展網絡營銷。另一方面,對于企業中的市場營銷人員,也要常常為他們提供培訓機會,讓他們掌握互聯網技術,使他們具備相應的互聯網技術應用能力和網絡媒體的應用能力。另外,無論是網絡營銷人員還是市場營銷人員,都應該向他們不斷普及和傳達日新月異的互聯網新技術和新的市場動態,并在適當時間對員工進行專門培訓,以增強網絡營銷人員對網絡動態的感知和網絡平臺上新技術的應用,從而保證企業網絡營銷團隊對網絡上市場變化的適應能力。
2.3整合網絡營銷,優化企業網絡營銷資源的利用
中小企業應該利用網絡整合營銷進行統一的產品、品牌規劃,將產品規劃、網站建設、品牌推廣、產品推廣等一系列網絡營銷內容集成于一體,通過企業網站、搜索引擎、視頻分享、B2B平臺、門戶媒體、分類信息平臺、垂直行業論壇、博客推廣、知名百科等信息,在整個互聯網環境下用統一的形象,同一個聲音與消費者之間開展富有意義的、個性化的對話,建立、維護和傳播品牌,以及加強客戶關系,從而營造網上經營環境,提升企業品牌形象、促進整體銷量、解決線下銷售瓶頸、完善客服體系。
2.4注重創新與創意
網絡營銷創新不僅僅只是簡單地將傳統營銷方式網絡化,而是要利用網絡技術進行網絡營銷方式、形式、內容的創意,實現企業營銷活動與消費者雙向的有效溝通,建立起有別于傳統的新型的主動性關系,提升營銷工作的準確性與效率。要實現這樣的創新與創意,企業必須在互聯網、大數據、云計算等科技不斷發展的背景下,對市場、用戶、產品、企業價值鏈乃至整個商業生態進行重新審視和思考。首先,企業必須牢牢樹立“以用戶為中心”的思想,必須從整個價值鏈的各個環節建立起“以用戶為中心”的企業文化。其次,企業應該抓住以草根為主體的市場,充分利用草根文化進行網絡營銷創意;第三,增強用戶參與感,讓用戶參與品牌傳播和產品的設計,通過用戶實現網絡營銷創意;第四,注重用戶體驗,從細節上讓用戶感知企業的用心,實現產品設計與產品體驗的創意;第五,利用現有互聯網技術和平臺開展全網營銷,實現網絡營銷技術應用的創意。
2.5建立行之有效的網絡營銷效果評價體系,重視網絡營銷效果
在網絡營銷活動中,對網絡營銷效果進行評價是一項必不可少的工作。企業對網絡營銷效果的評價包括對各種網絡營銷方法的效果評價,企業網絡營銷各階段的評價,企業網絡營銷整體效果的評價。企業通過量化和非量化的方法對網絡營銷效果進行評價,可以對網絡營銷方法的有效性進行評估,選擇最優的網絡營銷方法的組合,將有限的資金投入到最能產出效益的地方;對企業某一階段的網絡營銷效果的評估,為企業制定下一階段的網絡營銷策略提供依據;對企業網絡營銷整體效果進行評價,把握網絡營銷在企業整體營銷戰略中的地位,站在企業整體營銷戰略的高度對網絡營銷策略進行調整。
3、結束語
關鍵詞:企業網;拓撲結構;網絡協議;服務器
中圖分類號:TP393文獻標識碼:A文章編號:1007-9599 (2010) 06-0000-01
Overview of Network Design&Planning in Large and Medium-sized Enterprises
Zheng Chenxi,Shi Xiaozhuo,Li Yongliang
(Shenyang Aerospace University,ShenYang110136,China)
Abstract:The network brings the convenience to enterprises and new business opportunities,not only through the network enterprise products and technologies faster and get the latest information,and also will bring a wider market.For medium and large enterprises,set up for its own Internet site to the outside world through the network to understand business,or further through e-commerce network,has become a must step to modern enterprise.
Keywords:Enterprise network;Topology;Network protocol;Server
一、企業網設計原則
(一)堅持開放性原則,采用統一網絡協議和接口標準,來實現企業內部異種機、異種網絡的互連。
(二)堅持先進性原則, 采用當今較為成熟、先進的網絡技術來進行網絡的規則與設計,滿足較長一段時期的需求。
(三)堅持易升級、易擴充的原則,統一規劃,分步實施。
(四)堅持經濟、實用、可靠的原則。
二、網絡設備選型的原則
(一)穩定可靠的網絡。網絡的可靠運行取決于諸多因素,如網絡的設計,產品的可靠,要求有物理層、數據鏈路層和網絡層的備份技術。
(二)高帶寬。要采用最先進的網絡技術,以適應大量數據和多媒體信息的傳輸,既要滿足目前的業務需求,又要充分考慮未來的發展。
(三)易擴展的網絡。易擴展不僅僅指設備端口的擴展,還指網絡結構的易擴展性。
(四)安全性。應支持VLAN的劃分,并能在VLAN之間進行第三層交換時進行有效的安全控制。
(五)容易控制管理。做到既保證一定的用戶通信質量,又合理的利用網絡資源,是建好一個網絡所面臨的首要問題。
(六)符合IP發展趨勢的網絡。
三、主干網絡技術選型
主干網絡選擇何種網絡技術對網絡建設的成功與否起著決定性的作用。目前的局域網技術主要包括:快速以太網、ATM(異步傳輸模式)、FDDI(光纖分布式數據接口)、千兆以太網等。
千兆以太網技術以簡單的以太網技術為基礎,為網絡主干提供1Gbps的帶寬。千兆以太網技術以自然的方法來升級現有的以太網絡、工作站、管理工具和管理人員的技能。千兆以太網與其他速度相當的高速網絡技術相比,價格低,同時比較簡單。
千兆以太網通過載波擴展、采用集成中繼、交換功能的網絡設備以及多種激光器和光纖將連接距離擴展到從500米至3000米。千兆以太網能夠提供更高的帶寬。利用交換機或路由器可以與現有低速的以太網用戶和設備連接起來,使得千兆位以太網相對于其他高速網絡技術而言,在經濟和管理性能方面都是較好的選擇。
綜述所述,千兆以太網以其在局域網領域中兼容以前的以太網標準、支持高帶寬、多傳輸介質、多種服務、保證QoS等特點正逐漸占據主流位置。因此,大中型企業網絡主干應選用千兆以太網技術。
四、網絡拓撲規劃
大中型企業辦公區中心機房內安裝多層交換機(Cisco Catalyst6509)作為整個企業網的核心,通過防火墻和路由器與互聯網相連接。核心層在與訪問層相連方面,考慮到其它分布層設備所處地理位置與中心機房相距較遠,則核心層交換機分別以1000M 單模光纖與辦公區、生產區、附屬設施的訪問層中端二層交換機連接。除此之外, 核心交換機各自還與其它相關的服務器相連其中Cisco Catalyst 6509 核心交換機負責連接應用服務器群。應用服務器群包括FTP 服務器、數據庫服務器、電子郵件服務器、應用程序服務器等應用型服務器,用來為整個企業網及在互聯網上提供各種常用的網絡服務。訪問層交換機作為企業內重點地區的網絡核心,需兼顧到大流量和冗余性,因此重點地區的訪問層交換機采用Cisco Catalyst 2950G-48 以太網交換機,均通過1000M 單模光纖同時和兩臺核心交換機互連以達到分布層與核心層的冗余。網絡出口設備是企業內部網絡與互聯網〔Internet〕連接和數據來往的通道。由于企業網內部訪問國際互聯網的需求量大,這就決定了路由器需要穩定、可靠和高速。
五、結束語
本文著重論述了建設大中型企業網的目標、企業網的構建技術等關鍵問題,用好企業網的關鍵在于應用系統的建設,必須大力開發企業網的各項功能。企業網不只是涉及技術方面,而是包括網絡設施、應用平臺、信息資源等眾多成份綜合應用。
參考文獻:
[1]王春海,張曉莉.企業網絡應用解決方案一從需求分析到配置管理.北京科海電子出版社,2006
[2]武駿,程秀權.網絡安全防范體系及設計原則.中國電信網,2008
[3]夏虹.路由器的登錄訪問與安全.網絡安全技術與應用,2008
2:吉林省森工集團信息化發展前景與規劃.
3: 吉林省林業設計院網絡中心網絡改造與發展規劃.
4: 吉林省林業系統生態信息高速公路構建課題.
二、論文撰寫與設計研究的目的:
吉林省的林業分布十分廣泛,以長白山系為主要脈絡的山地廣泛分布各種森林資源,而作為林業及林業環境的發展,林業生態信息則是一個更為龐大的系統,快捷,準確,合理,系統的采集,處理,分析,存儲這些信息是擺在我們面前的十分現實的問題.在信息交流的這個世界中,信息好比貨物,我們需要將這些貨物(信息)進行合理的處理,其中以硬件為主的計算機網絡系統是這些貨物(信息)交流的"公路"和"處理廠",我做這個題目,就是要為它畫出一條"公路"和若干"處理方法"的藍圖.
由于森工集團這樣的特定企業,其一,它是一個統一管理的企業,具有集團化的特點,網絡的構建具有統一性.其二,它又在地理上是一個分散的企業,網絡點也具有分散性.然而,分散中還具有集中的特點,它的網絡系統的設計就應該是板塊化的.從信息的角度來講,信息的種類多,各種信息的采集傳輸處理角度也不盡相同,我們在設計的過程中不僅要考慮硬件的地域布局,也要考慮軟件平臺的配合.
沒有最好,只有更好;更新觀念,大步向前.我相信,在導師的精心指導下,經過我的努力,我將為它們創造出一條平坦,寬闊的"高速公路".
1,論文(設計)研究的對象:
擬訂以吉林省林業系統為地理模型,以林業網絡綜合服務為基本需求,以網絡拓撲結構為設計方向,以軟件整合為應用方法,開發設計一套完整的基于集散集團企業的企業網絡系統.
2,論文(設計)研究預期達到目標:
通過設計,論文的撰寫,預期達到網絡設計全面化,軟件整合合理化,網絡性能最優化,資金應用最低化,工程周期最短化的目標.
3,論文(設計)研究的內容:
一),主要問題:
設計解決網絡地域規范與現有網絡資源的利用和開發.
設計解決集中單位的網絡統一部署.
設計解決多類型網絡的接口部署.
設計解決分散網絡用戶的接入問題.
設計解決遠程瘦用戶網絡分散點的性能價格合理化問題.
設計解決具有針對性的輸入設備的自動化信息采集問題.
合理部署網絡服務中心的網絡平衡.
優化網絡服務系統,營造合理的網絡平臺.
網絡安全問題.
10,基本應用軟件整合問題.
[nextpage]
二),論文(設計)包含的部分:
1,地理模型與網絡模型的整合.
2,企業內部集中部門網絡設計.
3,企業內部分散單元網絡設計——總體分散.
4,企業內部分散單元網絡設計——遠程結點.
5,企業內部分散單元網絡設計——移動結點.
6,企業網絡窗口(企業外信息交流)設計.
7,企業網絡中心,服務平臺的設計.
8,企業網絡基本應用軟件結構設計.
9,企業網絡特定終端接點設計.
10,企業網絡整合設計.
5,論文(設計)的實驗方法及理由:
由于設計的過程并不是工程的施工過程,在設計過程中詳盡的去現場建設肯定有很大的難度,也不是十分可行的,那么我們在設計的階段就應該進行仿真試驗和科學計算.第一步,通過小型網絡測試軟件平臺,第二步,構建多個小型網絡搭建全局網絡模擬環境,第三步,構建干擾源利用小型網絡集總仿真測試.
6,論文(設計)實施安排表:
1.論文(設計)階段第一周次:相關理論的學習研究,閱讀參考文獻資料,制訂課題研究的實施方案,準備試驗用網絡硬件和軟件形成試驗程序表及試驗細則.
2.論文(設計)階段第二周次:開始第一輪實驗,進行小型網絡構建試驗,模擬網絡服務中心,模擬區域板塊,模擬遠程及移動網絡.
3.論文(設計)階段第三周次:進行接口模擬試驗,測試軟件應用平臺,完善課題研究方案.
4.論文(設計)階段第四周次:完成第一輪實驗,提交中期成果(實驗報告1).
5.論文(設計)階段第五周次:進行第二輪實驗,模擬環境(干擾仿真)實驗,提交實驗報告2.
6.論文(設計)階段第六周次:完成結題報告,形成論文.
三,論文(設計)實施工具及參考資料:
小型網絡環境,模擬干擾環境,軟件平臺.
吳企淵《計算機網絡》.
鄭紀蛟《計算機網絡》.
陳濟彪 丹青 等 《計算機局域網與企業網》.
christian huitema 《因特網路由技術》.
[美]othmar kyas 《網絡安全技術——風險分析,策略與防火墻》.
其他相關設備,軟件的說明書.
1、論文(設計)的創新點:
努力實現網絡資源的全面應用,擺脫將單純的網絡硬件設計為企業網絡設計的模式,大膽實踐將軟件部署與硬件設計階段相整合的網絡設計方法.
題目可行性說明及預期成果:
一、企業網絡安全威脅產生的原因
計算機網絡作為現代交際工具,其快捷方便的獨特優勢贏得人們的信賴,企業網絡應運而生。然而,由于計算機本身及系統、協議及數據庫等設計上存在缺陷,網絡操作系統在本身結構設計和代碼設計時偏重考慮系統使用的方便性,導致系統在遠程訪問、權限控制和口令管理等許多方面存在安全漏洞;同時,由于企業網絡自身錯誤的管理和配置都可能導致網絡的安全問題發生。眾多企業網絡信息遭侵襲的事件一再提醒我們,網絡安全問題必須引起充分重視。網絡安全同其他事物一樣是有規可循的,應該從外部網絡安全和內部網絡安全兩個層面進行分析:
第一層面,外部網絡連接及數據訪問所帶來的安全威脅。包括:1、外部用戶對內網的連接。由于出差員工、分公司及其他業務相關企業都需要和本企業進行數據交換,這就要通過互聯網連接進入內部網絡,這時,非法的網絡用戶也可以通過各種手段入侵內部網絡。2、服務器網站對外提供的公共服務。由于企業宣傳需要,企業網站提供對外的公共服務,這些公共服務在為用戶提供便利的同時,也帶來了安全隱患。3、辦公自動化及業務網絡與Internet連接。這些操作平臺往往偏重于系統使用方便性,而忽視了系統安全性。
第二層面,內部網絡主機之間的連接所帶來的安全威脅。企業網絡上的層次節點眾多,網絡應用復雜,網絡管理困難。主要體現在:1、網絡的實際結構無法控制。網絡的物理連接經常會發生變化,如果不能及時發現并做出調整,很可能發生網絡配置不當,造成網絡安全的嚴重隱患。2、網管無法及時了解網絡的運行狀況。企業網絡平臺上運行著網站系統、辦公系統、財務系統等多種應用系統。同時,可能發生用戶運行其他應用程序的情況,這樣做的后果一方面可能降低網絡系統的工作效率;另一方面還可能破壞系統的總體安全策略,對網絡安全造成威脅。3、無法了解網絡的漏洞和可能發生的攻擊。4、對于已經或正在發生的攻擊缺乏有效的防御和追查手段。
由此可見,網絡系統的可靠運轉是基于通訊子網、計算機硬件和操作系統及各種應用軟件等各方面、各層次的良好運行。它的風險將來自對企業網絡的各個關鍵點可能造成的威脅,這些威脅可能造成總體功能的失效。因此,維護辦公局域網、服務器網站系統的安全,是企業網絡的基本安全需求。
二、企業網絡安全系統總體規劃制定
根據計算機網絡技術原理及實踐經驗,在進行計算機網絡安全設計規劃時應遵循以下原則:一是需求、風險、代價平衡分析的原則。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,確定最優的安全策略,切忌只顧及需求而忽視安全;二是綜合性、整體性原則。運用系統工程的方法,分析網絡的安全問題,并制定具體措施,嚴防以偏概全,顧此失彼;三是一致性原則。這主要是指制定的網絡安全體系結構必須與網絡的安全需求相一致,防止文不對題,勞而無功;四是易操作性原則。安全措施要由人來完成,如果措施過于復雜,對人的技能要求過高,本身就降低了網絡的安全性;五是適應性、靈活性原則。安全措施必須能隨著網絡性能及安全需求的變化而變化,要容易適應和修改,網絡的安全防范是一個過程,不可能一蹴而就;六是多重保護原則。任何安全保護措施都不是絕對安全的,需要建立一個多重保護系統,各層保護相互補充。據此,進行外部用戶接入內部網的安全設計和內部網絡安全管理的實現。
對外部用戶進入內部網絡應實施以下安全保障:(1)增強用戶的認證。用戶認證在網絡和信息的安全中屬于技術措施的第一道大門。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。(2)授權。這主要為特許用戶提供合適的訪問權限,并監控用戶的活動,使其不越權使用。(3)數據的傳輸加密,數據通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。(4)審計和監控,確切地說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。
對內應根據管理原則和該系統處理數據的保密性,制定相應的管理制度或采用相應規范,其具體工作是:(1)確定該系統的安全等級,并根據確定的安全等級,確定安全管理的范圍;(2)制定相應的機房出入管理制度,對安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域;(3)制定嚴格的操作規程,操作規程要根據職責分離和多人負責的原則,各負其責;(4)制定完備的系統維護制度,維護時必須有安全管理人員在場,故障原因、維護內容等要詳細記錄;(5)制定在緊急情況下,系統如何盡快恢復的應急措施,使損失減至最小。
三、網絡安全方案設計應把握的幾個關鍵點
1、應用防火墻技術,控制訪問權限,實現網絡安全集中管理。防火墻是近年發展起來的重要安全技術,其主要作用是在網絡入口點檢查網絡通訊,根據用戶設定的安全規則,在保護內部網絡安全的前提下,提供內外網絡通訊。使用防火墻的意義在于:通過過濾不安全的服務,可以極大地提高網絡安全,保護脆弱的服務;可以提供對主機系統的訪問控制;可以對企業內部網實現集中的安全管理,在防火墻上定義的安全規則可以運用于整個內部網絡系統;可以阻止攻擊者獲取攻擊網絡系統的有用信息,增強了信息的保密性;可以記錄和統計網絡利用數據以及非法使用數據;提供了制定和執行網絡安全策略的手段。
由于防火墻是內部網絡和外部網絡的唯一通訊渠道,能夠在內外網之間提供安全的網絡保護,因此防火墻可以對所有針對內部網絡的訪問進行詳細的記錄,形成完整的日志文件。
2、應用入侵檢測技術保護主機資源。利用防火墻技術,降低了網絡安全風險。但是,僅僅使用防火墻、網絡安全還遠遠不夠,因為入侵者可尋找防火墻背后可能敞開的后門,也可能就在防火墻內。由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。
入侵檢測系統的功能是保護關鍵應用的服務器,它能精確地判斷入侵事件,包括判斷應用層的入侵事件,對入侵者可以立即進行反應,能對網絡進行全方位的監控與保護。可有效地解決來自防火墻后由于用戶誤操作或內部人員惡意攻擊所帶來的安全威脅。
3、應用安全掃描技術主動探測網絡安全漏洞,進行網絡安全評估。網絡安全技術中,另一類重要技術為安全掃描技術。安全掃描技術與防火墻、入侵監測系統互相配合,能夠提供較高安全性的網絡。通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級,更正系統中的錯誤配置。如果說防火墻和入侵監控系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,可以有效避免黑客攻擊的發生,做到防患于未然。
安全掃描器提供綜合的審計工具,發現網絡環境中的安全漏洞,保證網絡安全的完整性。它可以評估企業內部網絡、服務器、防火墻、路由器,掃描和測試確定存在的可被黑客利用的網絡薄弱環節。我們應在局域網內設置該工具,定期對網絡進行掃描。
4、應用VPN技術,保證外部用戶訪問內部網的安全性。企業網絡接入到公網中,存在著兩個主要危險:一是來自公網的未經授權的對企業內部網的存取;二是當網絡系統通過公網進行通訊時,信息可能受到竊聽和非法修改。如何保證外部用戶遠程訪問內部網的安全性:首先,應嚴格限制外部用戶所能訪問的系統信息和資源,這一功能可通過在防火墻和應用服務來實現。其次,應加強對外部用戶進入內部網的身份驗證功能。第三,在數據傳輸過程中采用加密技術,防止數據被非法竊取。這就應采用軟件或防火墻所提供的VPN(虛擬專網)技術、完整的集成化的企業VPN安全解決方案、提供在公網上安全的雙向通訊,以及透明的加密方案以保證數據的完整性和保密性。
1 課程概述
1.1 課程性質 本課程是集企業網絡組建與企業網絡維護于一體的網絡系統管理專業的專業核心課。
1.2 課程定位 開設本課程是為了培養學生組建與維護中小型企業網絡的能力。前修課程有計算機應用基礎、網絡基礎等,后續課程有網絡安全與管理、項目實踐等。
1.3 課程設計思路
1.3.1 基本理念。本課程在設計時注重認真分析、研究學生的身心特點及其綜合素質,力求將職業教育改革的基本理念與課程框架設計、內容標準確定及課程實施有效地結合起來。
企業網絡的組建和維護能力是網絡系統管理專業學生必須具備的核心技能之一。根據企業網絡組建工作過程中的典型任務選擇和安排工作任務,以行動為導向組織教學過程,實施工作場景教學模式下的“教、學、做”一體化的教學模式。課程的設計具有彈性、延伸性。工作任務以遞進方式開展,符合學生的認知發展規律,重在培養學生組建與維護企業網絡的能力,確保課程目標的實現。
充分發揮教師主導地位,打破傳統教學方法、教學手段。要根據教學內容特點靈活采取演示教學法、問題探究教學法、啟發式教法、案例教學法、小組合作教學法,從方法上保證“教、學、做、訓、評”一體化的教學模式的實施。
在教學中要盡量創設情境、引導學生合作學習、主動探索,充分發揮學生的認知主體作用。要注重引導學生在學習過程中采取觀察、記錄、討論、完成任務、自我評價、小組評價等多種方法完成學習,使得學生完成每一項任務都有成就感,激發學生學習自主性和積極性,提升學生的成就感,使他們逐步建立自信心,有效發揮自我潛能,樹立良好的學習作風。
1.3.2 課程的設計原則。①以就業為導向的原則。a課程內容結合企業用人需求制定,側重問題解決和故障排查,更加符合企業實際工作模型。b培養的學員技術方向不僅能維護企業網絡系統,還能維護企業信息系統,更加符合企業發展趨勢。②以突出實用,以解決實際崗位問題為核心的原則。a通過解決多個企業實際崗位問題,獲取一定的企業網絡工作經驗。b課程每一章節前都明確提供網絡問題列表,便于驗證學習效果及總結。③符合網絡行業工作特點和學習規律的原則。a以解決問題為導向,以溝通表達能力為職業素質核心。b訓練主線:理論講解、實驗練習、解決問題、學習討論、綜合項目、實踐活動。④構建科學完善的職業素質訓練體系的原則。a在教學過程中穿插討論課和活動課,用于提升學員的職業素質。b側重于提升學員的學習能力、學習信心。c側重于營造企業真實工作環境來訓練職業素質,完成學員實際工作經驗在學習中得到積累。
1.3.3 課程設置依據。根據網絡系統管理人才培養方案、相關行業標準及企業用人需求制定課程標準。本專業培養網絡管理員,網絡工程師人才,為了培養學生組建與維護企業網絡的能力,特開設本門課程并制定相應的課程標準
2 課程目標
2.1 總體目標 培養學生具備組建與維護中小型企業網絡的能力。
2.2 具體目標
2.2.1 能力目標。能夠進行交換機和路由器的基本配置,對企業的網絡設備進行簡單維護。能夠進行VLAN、中繼、VTP、STP的配置,實現不同VLAN的主機互通;能夠進行三層交換機的基本配置,實現不同VLAN或網段的主機互通;能夠進行RIP和OSPF路由協議的配置,實現不同網段的主機互通;能夠進行ACL的配置,實現網絡中數據的流量控制;能夠進行NAT的配置,實現網絡中私有IP地址轉換為公網IP地址;能夠進行企業網絡的規劃與設計,綜合運用前面所學的能力。
2.2.2 知識目標。掌握交換機、路由器、三層交換機的工作原理。掌握虛擬局域網與中繼的作用。掌握VTP、STP、RIP、OSPF協議的原理與適應的場合。掌握ACL與NAT的原理與適應的場合。
2.2.3 素質目標。思考問題、分析問題、解決問題的能力。專業英語表達能力。團結協助的能力。文檔編寫與表達能力。中小型企業網絡組建與維護方案的設計。
3 課程教學內容及學時安排
3.1 課程主要內容說明
3.1.1 學時安排。總學時:80學時。理論課學時:24學時。實訓課學時:56學時。
3.1.2 教學的重點和難點。重點:VLAN、中繼、VTP、STP的工作原理與配置。RIP、OSPF協議的配置。ACL、NAT的配置。
難點:STP的工作原理。擴展ACL的配置。
3.1.3 學時分配考慮。本課程是為了培養學生組建與維護企業網絡的能力,重點放在VLAN、VTP、STP、RIP、OSPF、ACL等網絡協議的配置。
3.2 課程組織安排說明
采用基于工作過程的模式,將本課程選取的教學內容按企業網絡組建的典型工作任務設計,進行任務驅動式教學,完成每個任務,即掌握相關的技能,知識和素質目標。
3.3 課程教學內容
4 實施建議
4.1 教學組織建議
教學設計指導思想:根據企業網絡組建與維護過程的典型工作任務設計教學內容。
組合教學方式:①先學習交換機和路由器的基本操作技能與知識。②在三層交換機、靜態路由、VLAN、VTP、STP、RIP、OSPF等工作任務的完成過程中,用到①所學的技能與知識。③在ACL、NAT工作任務的完成過程中,用到①②所學的技能與知識。④在綜合項目的完成過程中,用到①②③所學的技能與知識。
4.2 教學評價建議
4.2.1 期末考核評價及方式。操作考試:占期末成績的50%;理論考試:占期末成績的50%。
4.2.2 教學過程評價。①課堂考勤:占總成績的10%②回答問題:占總成績的10%。③學習態度:占總成績的10%。
4.2.3 集中實訓評價。將學生分組,完成綜合項目,提交企業網絡組網方案和配置實驗報告,并答辯。綜合項目占總成績的8%。
4.2.4 課程成績形成方式。①教學過程評價占總成績的30%。②階段性工作任務完成情況占總成績的40%。③期末考核占總成績的30%。
4.3 教材選用
《組建與維護企業網絡》,北大青鳥Aptech信息技術有限公司編寫,科學技術文獻出版社。
《企業網絡高級技術》,北大青鳥Aptech信息技術有限公司編寫,科學技術文獻出版社。
4.4 課程主講教師和教學團隊要求說明
主講教師:具備計算機本科以上學歷,具備熟練的CISCO網絡設備操作技能。
教學團隊:在校內,要具備副教授或高級工程師以上職稱的教師一名,擔任教學指導教師;在校內,具備企業一線工作經驗的工程師或高級工程師一名,擔任實訓指導教師。
4.5 課程教學環境和條件要求
前期教學環境:教師和每名學生計算機一臺,操作系統為WINDOWSXP,裝有CISCO設備模擬軟件小凡;教師機和學生機均裝有蘇亞星類的電子教室教學軟件;投影儀一臺。
綜合項目教學環境:按4-6人將學生分組,每組有Cisco2800路由器二臺,Cisco2950交換機四臺,計算機4-6臺。
4.6 教學資源的開發與利用
根據企業調研及用人需求,選取北大青鳥的相關內容和課件、相關案例進行教學。
充分利用網絡實訓室的網絡設備,讓學生分組,分角色完成綜合項目。
4.7 其它
一般意義上來講,中小企業的網絡營銷,其主要目的就在于傳播企業和產品信息,捕捉目標客戶,獲取更多的商業機會,最終促進產品銷售和占領市場。雖然從網絡營銷的職能來看,它還可以為企業的品牌傳播、客戶服務、市場調研等營銷策略提供服務,但對中小企業而言,那并不是重點,中小企業網絡營銷的核心仍然是銷售。
既然擴大銷售是中小企業發展過程中主要的成長動力,那么中小企業網絡營銷的使命也無疑是擴大銷售。無數企業的網絡營銷成功案例可以證明,利用網絡營銷擴大銷售完全是可行的。網絡營銷就是幫助企業建立了一個全新的銷售平臺,把一個個源源不斷的流量變為一個個新商機,新客戶的過程。
那么,流量如何才能變商機?
企業網站是企業開展網絡營銷的基礎平臺,網絡推廣把眾多的訪問者帶到了企業網站,而要使這些流量變成商機,則需要一系列轉化過程。轉化是網絡商機產生的必經之路,是通過各種手段,促使網站訪問者采取下一步行動的過程(這個行動包括但不限于電話咨詢、在線留言、在線購買等等),以實現流量變商機,幫助企業獲取潛在客戶,促進企業產品的銷售。
成功的網絡營銷一定是基于高轉化率的。轉化效果的好壞,直接影響企業開展網絡營銷的投資回報率。良好的轉化包括網站著陸頁優化和合理使用轉化工具兩個步驟。
著陸頁是一個網絡廣告名詞,指的是迎接廣告流量到來的第一個頁面。隨著企業網絡推廣的深入,網站的每一個頁面都有可能是著陸頁。著陸頁優化主要是指從用戶/客戶體驗出發,結合心理學特征,在網站鏈接導航、網頁UI設計、站點內容編排、站點交互設計上面,實現最優化的一系列工作總稱。
由于企業網站五花八門,設計制作水平不一,這對著陸頁優化有直接的影響,同時這也是開展網絡營銷的兩個同類企業,效果差異顯著的原因之一。著陸頁優化服務目前主要由一些搜索引擎營銷服務商在提供,像上海火速,具有專業的優化團隊,是企業客戶網絡營銷效果的有力保障。
著陸頁優化使得訪問者能夠第一時間獲取他想要的信息,并在決定采取下一步行動的時候能夠方便快速的做出轉化工具的選擇。
轉化工具是訪問者與中小企業建立聯系的橋梁。一般情況下,只要能夠促進訪問者與網站方進行互動,并采取下一步措施的方式,都屬于轉化工具。像電話、留言、訂單,是最普遍的轉化工具,此外,還有注冊會員、郵件列表、用戶評論等,都屬于廣義上的轉化工具。
對于不同類型的企業,所需要的轉化工具各有側重。像產品范圍集中在日用消費品的零售經銷商,他們更青睞使用在線訂單來獲取客戶,注重客戶的評價;而像工業品、原材料的制造商、批發經銷商,他們更希望目標客戶能夠直接電話或留言進行咨詢,同時一些在線洽談的工具也能夠幫助企業同目標客戶建立長期、高效的溝通。
讓我們看一個幫助企業開展網絡營銷的實例。
產品中國就是這樣一個網絡營銷工具:企業客戶在上面能夠構建一個全新的網絡營銷平臺,它實質上就是一個標準的營銷型企業網站。網站建立之后,即具備了良好的搜索引擎優化和著陸頁優化基礎,一方面搜索引擎能夠快速進行收錄,并取得理想的排名;另一方面企業信息的合理整合優化,訪問者能夠快速找到感興趣的內容。
在流量轉化方面,產品中國提供的企業網站具有豐富的轉化形式可供選擇。對于B2B型的企業,企業網站可以提供在線詢盤、免費電話、短信通知等轉化服務,而對于B2C型的企業,則提供了在線訂單、客戶評價、在線客服、電子地圖等多種轉化服務——企業客戶可以根據自己的實際需要來選擇。
網絡營銷策略
就是為有效實現網絡營銷任務、發揮網絡營銷應有的職能,從而最終實現銷售增加和持久競爭優勢所制定的方針、計劃,以及實現這些計劃需要采取的方法。
網站建設
企業網站建設與網絡營銷方法和效果有直接關系,沒有專業化的企業網站作為基礎,網絡營銷的方法和效果將受很大限制,因此企業網站建設應以網絡營銷策略為導向,從網站總體規劃、內容、服務和功能設計等方面為有效開展網絡營銷提供支持。
網站推廣
獲得必要的訪問量是網絡營銷取得成效的基礎,尤其對于中小企業,由于經營資源的限制,新聞、投放廣告、開展大規模促銷活動等宣傳機會比較少,因此通過互聯網手段進行網站推廣的意義顯得更為重要,這也是中小企業對于網絡營銷更為熱衷的主要原因。即使對于大型企業,網站推廣也是非常必要的,事實上許多大型企業雖然有較高的知名度,但網站訪問量并不高。因此,網站推廣是網絡營銷最基本的職能之一,基本目的就是為了讓更多的用戶對企業網站產生興趣,并通過訪問企業網站內容、使用網站的服務來達到提升品牌形象、促進銷售、增進顧客關系、降低顧客服務成本等。
網絡品牌
與網絡品牌建設相關的內容包括:專業性的企業網站、域名、搜索引擎排名、網絡廣告、電子郵件、會員社區等。網絡營銷的重要任務之一就是在互聯網上建立并推廣企業的品牌,以及讓企業的網下品牌在網上得以延伸和拓展。網絡營銷為企業利用互聯網建立品牌形象提供了有利的條件,無論是大型企業還是中小企業都可以用適合自己企業的方式展現品牌形象。網絡品牌價值是網絡營銷效果的表現形式之一,通過網絡品牌的價值轉化實現持久的顧客關系和更多的直接收益。
信息
信息需要一定的信息渠道資源,這些資源可分為內部資源和外部資源。內部資源包括:企業網站、注冊用戶電子郵箱等;外部資源則包括:搜索引擎、供求信息平臺、網絡廣告服務資源、合作伙伴的網絡營銷資源等。掌握盡可能多的網絡營銷資源,并充分了解各種網絡營銷資源的特點,向潛在用戶傳遞盡可能多的有價值的信息,是網絡營銷取得良好效果的基礎。
網上銷售
網上銷售是企業銷售渠道在網上的延伸。網上銷售渠道建設并不限于企業網站本身,還包括建立在專業電子商務平臺上的網上商店,以及與其它電子商務網站不同形式的合作等。因此網上銷售并不僅僅是大型企業才能開展,不同規模的企業都有可能擁有適合自己需要的在線銷售渠道。
顧客服務
互聯網提供了更加方便的在線顧客服務手段,包括從形式最簡單的常見問題解答,到電子郵件、郵件列表,以及在線論壇和各種即時信息服務等。在線顧客服務具有成本低、效率高的優點,在提高顧客服務水平方面具有重要作用,同時也直接影響到網絡營銷的效果,因此在線顧客服務成為網絡營銷的基本組成內容。
顧客關系
顧客關系是與顧客服務相伴而產生的一種結果,良好的顧客服務才能帶來穩固的顧客關系。顧客關系對于開發顧客的長期價值具有至關重要的作用,以顧客關系為核心的營銷方式成為企業創造和保持競爭優勢的重要策略。網絡營銷為建立顧客關系、提高顧客滿意和顧客忠誠提供了更為有效的手段,通過網絡營銷的交互性和良好的顧客服務手段,增進顧客關系成為網絡營銷取得長期效果的必要條件。
網上市場調研
主要的實現方式包括:通過企業網站設立的在線調查問卷、通過電子郵件發送的調查問卷,以及與大型網站或專業市場研究機構合作開展專項調查等等。網上市場調研具有調查周期短、成本低的特點。網上調研不僅為制定網絡營銷策略提供支持,也是整個市場研究活動的輔助手段之一。合理利用網上市場調研手段對于市場營銷策略具有重要價值。
型網站策劃,實施咨詢電話:81958938
型網站規劃
網站前期策劃作為網絡的起點,規劃的嚴謹性,實用性將直接影響到企業網絡目標的實現.我們以客戶需求和網絡為導向,結合自身的專業策劃經驗,協助不同類型企業,在滿足企業不同階段的戰略目標和戰術要求的基礎上,為企業制定階段性的網站規劃.
型網站建設開發實施
網站前期策劃作為網絡的起點,規劃的嚴謹性,實用性將直接影響到企業網絡目標的實現.我們以客戶需求和網絡為導向,結合自身的專業策劃經驗,協助不同類型企業,在滿足企業不同階段的戰略目標和戰術要求的基礎上,為企業制定階段性的網站規劃.
網站推廣計劃與執行
網站前期策劃作為網絡的起點,規劃的嚴謹性,實用性將直接影響到企業網絡目標的實現.我們以客戶需求和網絡為導向,結合自身的專業策劃經驗,協助不同類型企業,在滿足企業不同階段的戰略目標和戰術要求的基礎上,為企業制定階段性的網站規劃.
關鍵詞:客戶需求分析網站策劃
詳細內容>>>
網站設計制作
網站設計并不單單指網站視覺效果,還有很多內涵.其中包括網站頁面信息結構及關聯,網站導航設計,網站版式設計等一些列內容,一個好的設計是能夠更好的利于,一個只有美觀沒有內涵的網站是不成功的.
關鍵詞:網站制作網站設計
詳細內容>>>
網站數據庫功能開發
網站數據庫的主要目的就是存儲信息,一般是通過前臺頁面與瀏覽者的交互收集信息,然后結合前臺的程序(一般為動態頁面),實時生成瀏覽者所看到的最新內容,從而具備普通靜態頁面所不能達到的效果.
目前,很多企業開始重視網絡數據庫的重要性,對于充分利用網絡的即時性,互動性,網絡數據庫起著重要的作用,但是,究竟如何應用數據庫,企業哪些業務或內容需要通過數據庫來實現,以及日后如何維護,很多企業并不熟悉,因此,如果您有意向建立網站數據庫,我們會為您提供免費咨詢,向您進行詳細的流程分析,為您提供最好的服務與售后支持!
網站數據庫設立的目的是為了更好地實現網站的功能和目的,而其開發一般費用較高,因此,您在考慮設置網站數據庫功能時一定要仔細考察,做到合理而有效.
關鍵詞:動態網站設計網站數據庫
詳細信息>>>
網站維護與更新
目前很多企業網站的價值還沒有被利用起來,網站無論從設計上,還是內容信息方面,都遠遠達不到網站的目的,正因為如此,網站不能給企業帶來實際可見的效益,因此被置之高閣.同時他們也并沒有意識到同行企業如何充分利用網絡的優勢配合網下的活動從而獲得更高的競爭優勢!
網站設計更新工作除了重新定位網站的目標,視覺風格,我們還為您提供有價值的網站內容組織,推廣方式的建議,幫助您充分利用網站,爭取更大的效益.
關鍵詞:網站維護網站更新
詳細信息>>>
付款信息
各種銀行卡在線支付,可即時到賬:詳情點擊>>>
銀行轉帳/電匯:
開戶行:北京農村商業銀行中關村支行魏公村分理處
戶名:北京亞信廣聯科技有限公司
帳號:04130301030000__47
關鍵詞:信息安全;網格安全管理;SNMP
中圖分類號:TP393.08文獻標識碼:A文章編號:1009-3044(2009)13-3360-02
1 引言
當今信息安全技術主要包括密碼技術、身份認證、訪問控制、入侵檢測、風險分析與評估等諸多方面。在實際運用中,這些安全技術相互支持與協作,各自解決安全問題的某一方面。目前人們關注的重點在入侵檢測、密碼技術等,作為訪問控制沒有得到應有的重視,事實上訪問控制是一個安全信息系統下不可或缺的安全措施。訪問控制就是通過某種途徑顯式地限制對關鍵資源的訪問[1-2]。防止因非法用戶的侵入或合法用戶的不慎操作所造成的破壞。本文主要討論了主動式網絡安全監控系統,在分析主動式網絡監控系統設計基礎上,針對企業網非法接入防范子系統采用的SNMP協議進行相關分析。
2 網絡管理概述
隨著網絡技術的發展,網絡規模增大,復雜性也增加,以前的網絡管理技術已經無法適應這一情況,特別是由于以往的網絡管理系統往往是生產制造廠商在自已的網絡系統中開發的應用系統,很難對其它廠商的網絡系統、通信設備等進行管理,這種狀況很不適應網絡異構互聯的發展趨勢。網絡管理一般采用管理―的管理結構。網絡管理站是實施網絡管理的處理實體,駐留在管理工作站上,它是整個網絡系統的核心,完成復雜網絡管理的各項功能,如排除網絡故障、配置網絡等,一般位于網絡中的一個主機節點上。被管(簡稱)是配合網絡管理的處理實體,駐留在被管理對象上。被管監測所在網絡部件的工作狀況,收集有關網絡信息。公共網絡管理協議描述了管理器與被管之間的數據通信機制。
3 主動式網絡安全監控系統
3.1 需求分析
一般企業網內部資源的安全策略(諸如訪問權限、存取控制等)是基于IP地址進行的,如果入侵者利用管理方面的漏洞,盜取合法用戶的權限或IP地址,將會對企業內部造成重大損失,因此,系統主要從以下幾個方面考慮安全監控問題:
1)企業網內部主機資源的安全。 企業網內部主機除了應用傳統的防火墻、入侵檢測系統以外,還可應用強制訪問控制機制對本機內部的重要資源實施強制訪問控制保護;
2)入侵檢測。在發現非法攻擊或者非法用戶企圖操作主機文件時,可通過入侵檢測機制發現入侵者來源,阻斷入侵者的非法操作,記錄入侵主機相關信息等;
3)企業網的接入安全 企業網安全監控的另一主要目的即對企業網內部的非法接入進行監控,發現非法入網者,主動地采取相關措施避免和阻止類似情況的發生,實現企業網安全的外部屏障;
4)安全審計,監控系統應當具備記錄監控信息的能力;
5)通訊機制,除了各子系統本身的主動式的反應機制、通訊機制和控制機制以外,監控系統還應當建立通訊體系,向上級監控模塊提供安全監控信息,為管理機構制定相關策略提供有價值的參考。
3.2 ANSMS 系統設計方案
主動式網絡安全監控系統(ANSMS,Active Network Security Monitor System)從功能上可分為兩個子系統:主機強制訪問控制監控子系統(MACMS,Mandatory Access Control Monitor Subsystem)和企業網非法接入防范子系統(ICMS,Illegal Connection Monitor Subsystem)。主機強制訪問控制監控子系統主要分為四個模塊:強制訪問控制模塊、入侵檢測模塊、審計模塊和通訊模塊。
1)強制訪問控制模塊:建立和管理安全標簽庫,實現對用戶進程和文件安全標簽的管理,在對進程和文件的安全標簽進行比較后,根據相關規則決定進程對文件的操作權限和操作方式;
2)入侵檢測模塊,檢測網絡入侵操作并進行阻斷,記錄入侵主機的IP地址和入侵時間,將其記入安全日志當中;
3)安全審計模塊 對強制訪問控制的監控信息進行安全審計,記錄入侵主機和非法操作進程,統計和審核,對高危險性和頻繁多發的操作進行分類和統計;
4)通訊模塊 與安全監控模塊實現通訊,及時地通報和匯總安全信息。企業網非法接入防范子系統主要分為四個模塊:非法接入的檢測模塊、非法接入的處理模塊和審計模塊。
4 企業網防范非法接入監控子系統
4.1 非法接入防范策略
非法接入是指沒有經過科技部門允許直接將各類計算機和移動設備接入內聯網的行為。網絡上出現不經常使用的IP、IP和MAC映射表與科技部門認定的不一致等現象,都可以認為是非法接入。這類非法事件雖不是暴力入侵,但可能在內聯網傳播病毒、移植木馬和泄露內聯網業務機密信息等嚴重的后果,而且發生的主要原因是內控措施不利和內部人員的安全意識不夠,所以很難預防和控制。
非法接入的主要途徑――IP 地址盜用侵害了 Internet 網絡的中正常用戶的權益,并且給網絡計費、網絡安全和網絡運行帶來巨大的負面影響,因此解決 IP地址盜用成為當前一個迫切的問題。基于IP盜用的非法接入的形式繁多,常見的主要有以下幾種:不經過系統分配自己配置IP地址;修改 IP-MAC 地址對為合法用戶的地址;收發數據包時修改IP 地址。
在上述防范措施的基礎上,結合用戶認證和IP-MAC-PORT三者綁定的技術,首先確保合法用戶通過認證,再通過SNMP協議編寫相關的網絡管理軟件,輪詢交換機等網絡設備,獲取當前網絡中主機的IP地址和MAC地址等信息,與原始IP-MAC對照表進行比對,進而發現非法的IP地址和接入點。企業網監控著重于監控網絡當前主機狀況,發現非法接入點,采取相關行動阻止非法用戶接入網內。具體的設計方案為:用戶注冊模塊,IP盜用檢測模塊,IP盜用處理模塊,安全審計模塊,通訊模塊和安全監控模塊。
4.2 簡單網絡管理協議 SNMP
SNMP 的網絡管理模型包括以下關鍵元素:管理站、者、管理信息庫、網絡管理協議。管理站一般是一個分立的設備,也可以利用共享系統實現。管理站被作為網絡管理員與網絡管理系統的接口。SNMP 中的對象是表示被管資源某一方面的數據變量。對象被標準化為跨系統的類,對象的集合被組織為管理信息庫(MIB,Management Information Base)。MIB 作為設在者處的管理站訪問點的集合,管理站通過讀取 MIB 中對象的值來進行網絡監控。管理站可以在者處產生動作,也可以通過修改變量值改變者處的配置。
SNMP 的規范 SMI(Structure of Management Information)為定義和構造MIB提供了一個通用的框架。同時也規定了可以在MIB中使用的數據類型,說明了資源在 MIB 中怎樣表示和命名。SMI 避開復雜的數據類型是為了降低實現的難度和提高互操作性。MIB 中的每個對象類型都被賦予一個對象標識符(OID),以此來命名對象。另外,由于對象標識符的值是層次結構的,因此命名方法本身也能用于確認對象類型的結構。
在 TCP/IP 網絡管理的建議標準中,提出了多個相互獨立的 MIB,其中包含為 Internet 的網絡管理而開發的 MIB-II。管理站和者之間以傳送 SNMP 消息的形式交換信息。每個消息包含一個指示 SNMP 版本號的版本號,一個用于本次交換的共同體名,和一個指出 5 種協議數據單元之一的消息類型。
4.3 非法接入防范子系統
SNMP++是一套 C++類的集合,它為網絡管理應用的開發者提供了 SNMP 服務。SNMP++并非是現有的 SNMP 引擎的擴充或者封裝。事實上為了效率和方便移植,它只用到了現有的 SNMP 庫里面極少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通過提供強大靈活的功能,降低管理和執行的復雜性,把面向對象的優點帶到了網絡編程中。可以利用SNMP++來實現非法接入防范子系統的設計相關工作。在具體過程中需要考慮:
1)非法用戶只修改IP地址,通過比較原始IP地址分配表可發現非法的IP地址,進而關閉其端口,阻止其接入企業網;
2)非法用戶成對修改 IP-MAC 地址方面。
5 結束語
隨著 Internet 的運用愈加廣泛,網絡安全和信息安全的問題日益突出,入侵主機通過修改相關設置入侵企業網并在網內主機上安置木馬程序,對企業網內部資源造成很大的危害,嚴重影響了企業網內部資源的共享和保密性要求。論文提出的主動式網絡安全監控可有效的解決本地和網絡入侵以及外部非法接入的隱患,具有較高的安全性、易用性和可擴展性。
參考文獻:
【關鍵詞】網絡協議;安全系統;方案設計
1 引言
易連科技科技有限公司(Ningbo Ocean Network Technology)是一家專業生產機械塑料類產品。公司成立于1994年,地處境里發達的沿海城市—寧波。按照易連科技有限公司的網絡建設規劃和總體要求,我們計劃對易連科技有限公司的網絡在利用原有綜合布線系統和設備的基礎上,重新規劃實施,建設易連科技有限公司的企業內聯網,以滿足網絡整體性能的要求,并為各種網絡服務和信息系統的使用提供運行良好的網絡平臺。
按照易連科技有限公司的網絡建設規劃和總體要求,現在將對易連科技有限公司新購的和原有的Cisco公司的設備進行相關的配置和實施,使易連科技有限公司網絡滿足設計的要求,實現高效的辦公網絡體系。將網絡復雜化,分層化,滿足發展的易連科技有限公司信息化的要求,并具有一定的可擴展性,滿足企業分公司和總公司的員工增長的要求。
易連科技有限公司實施階段分為五部分,分別是交換機部分,路由器部分,服務器部分,廣域網部分和網絡安全性部分。
易連科技有限公司地處發達的沿海城市—寧波,該公司通過網絡來發展業務。隨著該公司業務量的不斷擴展,公司的規模不斷擴大,員工人數的不斷增加,并要在溫州建立一個分公司。現有的網絡系統逐漸不能滿足企業信息化建設的要求。因此計劃對寧波總公司的局域網與溫州分公司網絡進行改善,以提高網絡的可用性,安全性,可靠性,并具有一定的可擴展性要求,用來滿足企業業務發展的需求。
2 需求分析
(1)企業網絡需求
寧波總公司和溫州分公司的局域網絡通過路由連接成一個統一的企業內聯網,滿足易連科技有限公司對網絡統一管理的要求。寧波總公司和溫州分公司的路由器相連,計劃使用OSPF(開放最短路徑優先協議)作為路由協議。選用OSPF的好處在于OSPF作為鏈路狀態協議已成為業界標準,在各廠商中具有廣泛的支持基礎,并且具有路由信息傳輸的可控性和路由鏈路負載均衡的能力。
(2)企業系統的總體需求
溫州分公司通過專線連接到寧波總公司網絡,使用總公司的單一出口訪問因特網,以提高網絡的安全性,而且公司的服務器等全部在寧波總公司實現,分公司只使用總公司提供的應用服務,不需要自己建設。
出口處配置防火墻,出入因特網的通信流量都必須經過防火墻的過濾,通過防火墻對易連科技有線公司的網絡加以保護,并實現安全的控制。
寧波總公司局域網部分在網絡結構上分為3層,核心層,匯聚層和接入層,接入層交換機全部冗余上行鏈路,分別上聯到2臺匯聚層交換機,也保證了網絡的安全性和可靠性。同時LAN部分會啟用VTP和STP,實現VLAN的統一配置管理和環路避免。
(3)企業網安全總體需求分析
運行系統的安全,在寧波總公司應用HSRP對設備進行備份 。即保證信息處理和傳輸系統的安全,它側重于保證系統正常運行,避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失。系統信息的安全,通過域環境管理用戶賬戶,設置用戶存取權限控制,數據存取權限、方式控制,安全審計,安全問題跟蹤,計算機病毒防治,數據加密;信息傳播的安全,對非法、有害的信息傳播后造成的后果,能進行防止和控制,避免公用網絡上大量自由傳輸的信息失控。
(4)基于多協議的安全項目整體規劃
此次易連科技有限公司網絡建設將采用先進的計算機,網絡設備和軟件,以及先進的系統集成技術和管理模式,實現一個高效的辦公網絡體系。網絡中的各類服務器設備和網絡設備以及各種操作系統和應用軟件必須考慮技術上的先進性,國內外及各行業的通用性,并且要有良好的市場形象和售后技術,便于維護和升級。
(5)設計原則
工程實施依照國家有關標準完成。項目設計應滿足易連科技有限公司未來發展的要求,即公司規模擴大,本設計仍然能夠滿足公司運營的需求或方便的變更和升級。采用先進的,成熟的,業界標準的,在市場上有著廣泛應用的技術。項目設計應遵循實用的原則,避免不切實際貪大求全。所有操作系統及應用軟件采用正版軟件。所有網絡設備應是主流產品,保證所有設備均為新品并能提供良好的技術支持。工程實施嚴格按照合同規定日期完成并保證質量。工程實施需要提供詳細的文檔資料及配置手冊。應提供完善的培訓及售后服務。
3 多協議安全系統的設計與實現
按照易連科技科技有限公司的網絡建設規劃和總體要求,現在將對易連科技有限公司新購的和原有的Cisco公司的設備進行相關的配置和實施,使易連科技有限公司網絡滿足設計的要求,實現高效的企業辦公網運行。將網絡復雜化,分層化,滿足發展的易連科技有限公司信息化的要求,并具有一定的可擴展性,滿足企業分公司和總公司的員工的可擴展性。
易連科技有限公司安全系統的設計與實現主要為多協議的設計,分別是交換機VTP協議,STP和MSTP協議,HSRP協議,廣域網協議和網絡安全協議等。
(1)交換部分VTP設計實現
當易連科技有限公司網絡擴大,交換機數量增多時,可以減少管理員的工作量,在維護整個企業網絡上VLAN的添加,刪除和重命名工作時,還可以確保配置的一致性。從而降低了為止的復雜度,大大減輕了網絡管理人員的工作負擔。
VTP版本為v1VTP域口令為SXY,VTP修剪設為啟用,VTP Server包括SXY-SW3-1,SXY-SW3-2,SXY-SW3-3,VTP Client包括 SXY-SW1~5。
(2)交換部分STP的設計實現
生成樹協議的原理是把網絡拓撲的環形結構變成樹型結構,最主要的應用是為了避免局域網中的網絡環路,解決以太網網絡的廣播風暴問題,主要配置命令如下所示。
SW(config)#spanning-tree vlan ID priority 4096
SW(config)#spanning-tree vlan ID priority 4096
(3)Ethernet Channel以太網通道設計
EthernetChannel以太網通道通過鏈路聚合技術捆綁多條通道來提高整體帶寬,并運行一種機制,將多個以太網端口捆綁成一條邏輯鏈路。
SW3-1(config)#interface range F0/6 - 7
SW3-1(config-if-range)#channel-group number mode on
(4)HSRP熱備份路由協議設計實現
企業網絡兩臺匯聚層交換機上啟用熱備份路由協議(HSRP),其設計目標是支持特定情況下IP流量可以從故障設備切換到其他設備上而不會引起混亂,并允許主機使用單臂路由作為網關,在實際第一條路由器使用失敗的情況下,仍能保持與網絡的連通。
SW(config)#interface vlan 10
SW(config-if)#standby 10 ip 192.168.110.1
SW(config-if)#standby 10 priority 120
(5)VPN專線技術設計
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
(6)網絡安全性設計
防火墻位于易連科技科技有限公司總公司與外網之間。易連科技有限公司的所有網絡通信通過進行流量過濾。防火墻對流經它的網絡通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信。它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。一個防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。所以,在易連科技有限公司網絡中我們選擇的防火墻是CISCO ASA5520,能更保證網絡的安全性的要求。
參考文獻:
