企業網絡設計與實現范文

序論：在您撰寫企業網絡設計與實現時，參考他人的優秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發您的創作熱情，引導您走向新的創作高度。

第1篇

關鍵詞：網絡系統集成 企業網絡應用 系統集成設計 企業網絡搭建

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1007-9416（2016）12-0039-01

1 總體設計

企業網絡系統集成環境可采用星型結構搭建，采用交換機作為網絡中心節點建立核心層和接入層網絡體系結構，使用兩臺交換機采用雙鏈路匯聚技術提高企業網絡訪問速度和對用戶的管理。在設計中為企業搭建WEB和FTP雙服務器，WEB服務器提供網絡資源訪問，FTP服務器提供信息及數據的傳輸。

企業網絡系統集成進行VLAN規劃，本文以500臺計算機容量網絡規劃為例進行VLAN規劃，根據企業部門劃分為多個VLAN網段并對應IP號段，便于便于對網絡數據包的分配和管理。

2 網絡設計與實現

2.1 IP及端口劃分與分配

IP地址規劃是為了區分企業內部的客戶端機器，便于管理員對不同客戶端進行管理。IP地址劃分采用192.0.0.0-223.255.255.255，標誰的子網掩碼是255.255.255.0。對于擁有500臺計算機的企業，一個標準的IP號段無法滿足應用需求，因此，可采用CIDR理論，建立多號段IP進行管理，譬如：192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。

2.2 交換機與路由器配置

SW1核心交換機連接1000Mb/S的光纖，搭建FTP服務器（IP：92.168.0.0/24）和web服務器（IP：92.168.1.0/24），可有管理員核交換機進行管理。

SW2模塊化匯聚交換機以100Mb/s雙絞線水平布線連接路由器，使各部門的計算機可以100Mb/s網速連接互聯網。

2.3 無線配置

可利用VLAN技術劃分出無線用戶使用區，并對無線AP配置SSID。無線配置可在路由器端采用WEB加密技術設置WPA2加密管理，并設置IP使用范圍。

3 服務器設計與實現

3.1 DNS服務器

DNS（Domain Name System）域名系統可以建立層次結構的網絡服務命名系統。在企業局域網中用戶可通過命名定位計算機，便于數據的共享?？蓪⒕钟蚓W中的域名解析為IP地址配置DNS服務器，建立域名與IP之間的映射表。如映射IP：92.168.0.0/24。

3.2 WEB服務器

以Windows 系統搭建WEB服務器，采用IIS（Internet Information Service）信息服務進行管理與維護，搭建步驟為：打開IIS管理器，找到側欄“網站”選項右鍵“新建網站”，之后根據創建向導完成創建。

3.3 FTP服務器

FTP服務器是為企業數據上傳和下載的網絡空間，在FTP服務器上企I員工可以將個人的工作文件上傳到服務器上共享。搭建FTP服務器需要在Internet信息服務器（IIS）管理器中建立FTP站點，并添加上傳（upload）和下載（download）用戶，對服務器中的存儲空間配置文件夾權限，并指定用戶操作權限。

4 網絡機房規劃

網絡機房主要功能是對企業的總體網絡應用進行管理，分配不同功能區網絡數據包，并對企業網絡應用安全進行管理。在機房設計中，我們以標準機柜為建設對象，將交換機、路由器、硬件防火墻等統一安裝在一個大型的立式標準機柜中，由此加強對設備的統一管理。在企業網絡機房機柜布局上采用將綜合布線機柜、網絡機柜和服務器機柜按照管理層次進行規范化布局。其中綜合布線機柜與網絡機柜相鄰安置，這樣方便我們進行調線操作，可控制網絡用戶的分配。每個機柜在安裝設備時應留有一定空間，便于設備進行升級和擴充。

網絡機房是企業安全防范的重地，在機房環境的建設中，要充分考慮機房環境對設備所產生的影響，其中包括：機房的通風能力、機房防靜電能力、機房抗雷電能力等，此外，機房涉及企業重要數據，為防止企業數據丟失，非工作人員不得進入網絡機房。

機房環境中的設備及材料主要包括：空調、UPS電源、配電箱、全鋼防靜電地板等。為防止雷電給機房設備造成傷害，設置網絡機房接地系統，防止企業計算機受到雷電干擾導致設備受損。其主要結構為紫銅總匯集排ATK008，規格：300mm×40mm×4mm，以保證地電位分布均勻，直流和交流工作接地。

在企業網絡機房中，設置消防安全系統，機房內安裝溫感探測器、煙感探測器和FM200氣體滅火系統。FM200氣體滅火系統設在機房外，為管網式結構，在天花吊頂層朝下設置噴嘴，當遇到火情時，全方位立體式滅火。

第2篇

【關鍵詞】企業網絡 信息安全 策略設計

一、企業網絡信息系統安全需求

（一）企業網絡信息安全威脅分析

大部分企業在網絡信息安全封面均有一些必要措施，因為網絡拓撲結構和網絡部署不是一成不變的，因此還會面臨一些安全威脅，總結如下：

（1）監控手段不足：企業員工有可能將沒有經過企業注冊的終端引入企業網絡，也有可能使用存在安全漏洞的軟件產品，對網絡安全造成威脅。

（2）數據明文傳輸：在企業網絡中，不少數據都未加密，以明文的方式傳輸，外界可以通過網絡監聽、掃描竊取到企業的保密信息或關鍵數據。

（3）訪問控制不足：企業信息系統由于對訪問控制重要性的忽視，加之成本因素，往往不配備認證服務器，各類網絡設備的口令也沒有進行權限的分組。

（4）網間隔離不足：企業內部網絡往往具有較為復雜的拓撲結構，下屬機構多，用戶數量多。但網絡隔離僅僅依靠交換機和路由器來實現，使企業受到安全威脅。

（二）企業網絡信息安全需求分析

企業信息系統中，不同的對象具備不同的安全需求：

（1）企業核心數據庫：必須能夠保證數據的可靠性和完整性，禁止沒有經過授權的用戶非法訪問，能夠避免各種攻擊帶來的數據安全風險。

（2）企業應用服務器：重要數據得到有效保護，禁止沒有經過授權的用戶非法訪問，能夠避免各種攻擊帶來的數據安全風險。

（3）企業web服務器：能夠有效避免非法用戶篡改數據，能夠及時發現并清除木馬及惡意代碼，禁止沒有經過授權的用戶非法訪問。

（4）企業郵件服務器：能夠識別并拒絕垃圾郵件，能夠及時發現并清除木馬及蠕蟲。

（5）企業用戶終端：防止惡意病毒的植入，防止非法連接，防止未被授權的訪問行為。

二、企業網絡安全策略設計與實現

企業網絡的信息安全策略是涵蓋多方面的，既有管理安全，也有技術安全，既有物理安全策略，也有網絡安全策略。結合上文的安全分析與安全需求，企業網絡應實現科學的安全管理模式，結合網絡設備功能的不同對整體網絡進行有效分區，可分為專網區、服務器區以及內網公共區，并部署入侵檢測系統與防火墻系統，對內部用戶威脅到網絡安全的行為進行阻斷。

在此基礎上，本文著重闡述企業信息系統的網絡層安全策略：

（一）企業信息系統網絡設備安全策略

隨著網絡安全形勢的日趨嚴峻，不斷有新的攻擊手段被發現，而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備，如果這些設備退出服務，企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。

最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉，舉例來講：交換機的鄰居發現服務CDP，其功能是辨認一個網絡端口連接到哪一個另外的網絡端口，鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息，包括交換機端口與用戶終端的IP信息，網絡交換機的型號與版本信息，本地虛擬局域網屬性等。因此，本文建議在不常使用此服務的情況下，應該關閉鄰居發現服務。另外，一些同樣不常使用的服務，包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。

企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知，此協議使用的是明文傳輸模式，因此在信息安全方面不輸于非?？煽康膮f議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼，以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中，應引入安全性能更高的協議，本文推薦SSH（Secure Shell Client）協議。這種協議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題，VTP應配置強口令。

（二）企業信息系統網絡端口安全策略

由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡，而網絡交換機屬于工作在ISO第二層的設備，當前有不少以第二層為目標的非法攻擊行為，為網絡帶來了不容忽視的安全威脅。

二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后，首選會清空CAM 表，并立即啟動數據幀源地址學習，并將這些信息存入交換機CAM表中。這時候，加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構，便很容易導致網絡交換機CAM表溢出，服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發，為非法入侵者提供網絡竊聽的機會，很容易造成攻擊風險。本文所推薦的策略是：網絡交換機的端口安全維護應隨時打開；在交換機配置中設置其學習MAC地址的最大數目為1；設置網絡交換機能夠存儲其學習到的全部MAC地址；一旦網絡交換機的安全保護被觸發，則丟棄全部MAC 地址的流量，發送告警信息。對網絡交換機進行以上的配置，一方面能夠防止基于交換機MAC地址的泛洪攻擊，另一方面也能對網絡內部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎上，還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網絡交換機不必向所有端口廣播未知幀，因此可以對未知幀進行阻止，增強網絡交換機安全性。

（三）企業信息系統網絡BPDU防護策略

一般情況下，企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐，因為考慮到交換機通道的溝通，加之系統冷、熱備份的出發點，在企業網絡中是存在第二層環路的，這就容易引發多個幀副本的出現，甚至引起基于第二層的數據包廣播風暴，為了避免此種情況的發生，企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會，通過假冒優先級低的BPDU數據包，攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效，就導致攻擊者能夠方便地獲取網絡信息?？梢圆捎玫姆婪洞胧椋涸诙泳W絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對BPDU數據包不進行任何處理，加入收到此種類型的數據包，該端口將會自動設置為“服務停止”。在此基礎上，在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包，則發出“失效”的消息，及時阻塞端口。

（四）企業信息系統網絡Spoof防護策略

在企業內部網絡中，往往有著大量的終端機，出于安全性與可靠性的考慮，這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中，非法入侵者會將自身假冒動態主機設置協議服務器，同時向用戶主機發出假冒的動態IP配置數據包，導致用戶無法獲取真實IP，不能聯網?？梢圆捎玫姆婪洞胧椋阂雱討B主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活，系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動態IP配置數據包，從而防止Spoof 攻擊帶來的風險。

考慮到地址解析協議在安全方面的防范性不足，加入非法入侵者不斷地發出ARP數據包，便容易導致全部用戶終端的ARP表退出服務，除去靜態綁定IP與MAC之外，本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下，端口將無法發出ARP的響應，因此，黨用戶主機染毒時，其發出的假冒ARP數據包將由于與列表不匹配而被丟棄，系統安全得到了保障。

三、結束語

企業信息系統亟需一個整體性的解決方案與安全策略。本研究在闡述企業整體信息安全威脅與需求的基礎上，總結了企業網絡常見的安全問題，結合這些問題進行了信息安全策略設計，并從網絡設備防護策略、端口安全策略、BPDU 防護策略、Spoof 攻擊防護策略四個方面對企業信息安全實現方法進行了闡述，設計了相關的安全策略。

參考文獻：

[1]劉念，張建華，段斌等.網絡環境下變電站自動化通信系統脆弱性評估，電力系統自動化，2012，（8）.

[2]王治綱，王曉剛，盧正鼎.多數據庫系統中基于角色的訪問控制策略研究.計算機工程與科學，2011，（2）.

[3]楊智君，田地，馬駿曉等.入侵檢測技術研究綜述.計算機工程與設計，2010，（12）.

[4]戚宇林，劉文穎，楊以涵等.電力信息的網絡化傳輸是電力系統安全的重要保證.電網技術，2009，（9）.

第3篇

關鍵詞：網絡安全管理；網絡安全管理系統；企業信息安全

中圖分類號：TP271 文獻標識碼：A 文章編號：1009-3044（2012）33-7915-03

計算機網絡是通過互聯網服務來為人們提供各種各樣的功能，如果想保證這些服務的有效提供，一是需要全面完善計算機網絡的基礎設施和配置；二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網絡中的信息傳輸、信息處理和信息共享等功能能夠安全進行。

1　網絡安全的定義

網絡安全問題不但是近些年來網絡信息安全領域經常討論和研究的重要問題，也是現代網絡信息安全中亟待解決的關鍵問題。網絡安全的含義是保證整個網絡系統中的硬件、軟件和數據信息受到有效保護，不會因為網絡意外故障的發生，或者人為惡意攻擊，病毒入侵而受到破壞，導致重要信息的泄露和丟失，甚至造成整個網絡系統的癱瘓。

網絡安全的本質就是網絡中信息傳輸、共享、使用的安全，網絡安全研究領域包括網絡上信息的完整性、可用性、保密性和真實性等一系列技術理論。而網絡安全是集合了互聯網技術、計算機科學技術、通信技術、信息安全管理技術、密碼學、數理學等多種技術于一體的綜合性學科。

2　網絡安全技術介紹

2.1　安全威脅和防護措施

網絡安全威脅指的是具體的人、事、物對具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護措施就是對這些資源進行保護和控制的相關策略、機制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動安全威脅和主動安全威脅。被動安全威脅包括對網絡中的數據信息進行監聽、竊聽等，而不對這些數據進行篡改，主動安全威脅則是對網絡中的數據信息進行故意篡改等行為。

2.2　網絡安全管理技術

目前，網絡安全管理技術越來越受到人們的重視，而網絡安全管理系統也逐漸地應用到企事業單位、政府機關和高等院校的各種計算機網絡中。隨著網絡安全管理系統建設的規模不斷發展和擴大，網絡安全防范技術也得到了迅猛發展，同時出現了若干問題，例如網絡安全管理和設備配置的協調問題、網絡安全風險監控問題、網絡安全預警響應問題，以及網絡中大量數據的安全存儲和使用問題等等。

網絡安全管理在企業管理中最初是被作為一個關鍵的組成部分，從信息安全管理的方向來看，網絡安全管理涉及到整個企業的策略規劃和流程、保護數據需要的密碼加密、防火墻設置、授權訪問、系統認證、數據傳輸安全和外界攻擊保護等等。

在實際應用中，網絡安全管理并不僅僅是一個軟件系統，它涵蓋了多種內容，包括網絡安全策略管理、網絡設備安全管理、網絡安全風險監控等多個方面。

2.3　防火墻技術

互聯網防火墻結合了硬件和軟件技術來防止未授權的訪問進行出入，是一個控制經過防火墻進行網絡活動行為和數據信息交換的軟件防護系統，目的是為了保證整個網絡系統不受到任何侵犯。

防火墻是根據企業的網絡安全管理策略來控制進入和流出網絡的數據信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業不同網絡之間，或者多個局域網之間進行數據信息交換的出入接口。防火墻是保證網絡信息安全、提供安全服務的基礎設施，它不僅是一個限制器，更是一個分離器和分析器，能夠有效控制企業內部網絡與外部網絡之間的數據信息交換，從而保證整個網絡系統的安全。

將防火墻技術引入到網絡安全管理系統之中是因為傳統的子網系統并不十分安全，很容易將信息暴露給網絡文件系統和網絡信息服務等這類不安全的網絡服務，更容易受到網絡的攻擊和竊聽。目前，互聯網中較為常用的協議就是TCP/IP協議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設置從很大程度上解決了子網系統的安全問題。

2.4　入侵檢測技術

入侵檢測是一種增強系統安全的有效方法。其目的就是檢測出系統中違背系統安全性規則或者威脅到系統安全的活動。通過對系統中用戶行為或系統行為的可疑程度進行評估，并根據評價結果來判斷行為的正常性，從而幫助系統管理人員采取相應的對策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3　企業網絡安全管理系統架構設計

3.1　系統設計目標

該文的企業網絡安全管理系統的設計目的是需要克服原有網絡安全技術的不足，提出一種通用的、可擴展的、模塊化的網絡安全管理系統，以多層網絡架構的安全防護方式，將身份認證、入侵檢測、訪問控制等一系列網絡安全防護技術應用到網絡系統之中，使得這些網絡安全防護技術能夠相互彌補、彼此配合，在統一的控制策略下對網絡系統進行檢測和監控，從而形成一個分布式網絡安全防護體系，從而有效提高網絡安全管理系統的功能性、實用性和開放性。

3.2　系統原理框圖

該文設計了一種通用的企業網絡安全管理系統，該系統的原理圖如圖1所示。

3.2.1　系統總體架構

網絡安全管理中心作為整個企業網絡安全管理系統的核心部分，能夠在同一時間與多個網絡安全終端連接，并通過其對多個網絡設備進行管理，還能夠提供處理網絡安全事件、提供網絡配置探測器、查詢網絡安全事件，以及在網絡中發生響應命令等功能。

網絡安全是以分布式的方式，布置在受保護和監控的企業網絡中，網絡安全是提供網絡安全事件采集，以及網絡安全設備管理等服務的，并且與網絡安全管理中心相互連接。

網絡設備管理包括了對企業整個網絡系統中的各種網絡基礎設備、設施的管理。

網絡安全管理專業人員能夠通過終端管理設備，對企業網絡安全管理系統進行有效的安全管理。

3.2.2　系統網絡安全管理中心組件功能

系統網絡安全管理中心核心功能組件：包括了網絡安全事件采集組件、網絡安全事件查詢組件、網絡探測器管理組件和網絡管理策略生成組件。網絡探測器管理組件是根據網絡的安全狀況實現對模塊進行添加、刪除的功能，它是到系統探測器模塊數據庫中進行選擇，找出與功能相互匹配的模塊，將它們添加到網絡安全探測器上。網絡安全事件采集組件是將對網絡安全事件進行分析和過濾的結構添加到數據庫中。網絡安全事件查詢組件是為企業網絡安全專業管理人員提供對網絡安全數據庫進行一系列操作的主要結構。而網絡管理策略生產組件則是對輸入的網絡安全事件分析結果進行自動查詢，并將管理策略發送給網絡安全。

系統網絡安全管理中心數據庫模塊組件：包括了網絡安全事件數據庫、網絡探測器模塊數據庫，以及網絡響應策略數據庫。網絡探測器模塊數據庫是由核心功能組件進行添加和刪除的，它主要是對安裝在網絡探測器上的功能模塊進行存儲。網絡安全事件數據庫是對輸入的網絡安全事件進行分析和統計，主要用于對各種網絡安全事件的存儲。網絡相應策略數據庫是對輸入網絡安全事件的分析結果反饋相應的處理策略，并且對各種策略進行存儲。

3.3　系統架構特點

3.3.1　統一管理，分布部署

該文設計的企業網絡安全管理系統是采用網絡安全管理中心對系統進行部署和管理，并且根據網絡管理人員提出的需求，將網絡安全分布地布置在整個網絡系統之中，然后將選取出的網絡功能模塊和網絡響應命令添加到網絡安全上，網絡安全管理中心可以自動管理網絡安全對各種網絡安全事件進行處理。

3.3.2　模塊化開發方式

本系統的網絡安全管理中心和網絡安全采用的都是模塊化的設計方式，如果需要在企業網絡管理系統中增加新的網絡設備或管理策略時，只需要對相應的新模塊和響應策略進行開發實現，最后將其加載到網絡安全中，而不必對網絡安全管理中心、網絡安全進行系統升級和更新。

3.3.3　分布式多級應用

對于機構比較復雜的網絡系統，可使用多管理器連接，保證全局網絡的安全。在這種應用中，上一級管理要對下一級的安全狀況進行實時監控，并對下一級的安全事件在所轄范圍內進行及時全局預警處理，同時向上一級管理中心進行匯報。網絡安全主管部門可以在最短時間內對全局范圍內的網絡安全進行嚴密的監視和防范。

4　結論

隨著網絡技術的飛速發展，互聯網中存儲了大量的保密信息數據，這些數據在網絡中進行傳輸和使用，隨著網絡安全技術的不斷更新和發展，新型的網絡安全設備也大量出現，由此，企業對于網絡安全的要求也逐步提升，因此，該文設計的企業網絡安全管理系統具有重要的現實意義和實用價值。

參考文獻：

第4篇

目前，隨著我國現代信息技術的快速發展，很多大型企業的經營管理方式也朝著信息化方向發展。在信息化技術非常發達的現代，一個企業的信息化水平的高低將決定企業競爭力的大小，因此，企業只有掌握較好的網絡技術，才能更好地控制企業的機密，從而實現企業的信息化管理。為了進一步提高企業的資源利用管理水平，提高企業的核心競爭力，構建企業網絡安全部署具有直接決定作用。

1我國企業網絡構架及安全部署的現狀

企業網絡構架現在已經從以往單一的數據交換發展到綜合智能化一體的信息化網絡計劃，我國企業的網絡構架及安全部署現在已經發展了幾十年，但是，與西方發達國家相比，我國企業的網絡構架及安全部署還存在很大的差距。目前，我國企業已經意識到網絡構架及安全部署的重要性，主要是由于企業網絡構架對于企業的生產、管理和物流等環節都具有較大的支持作用。企業的管理層對網絡構架的設計思想主要反映出企業利用資源的能力，從而保證企業的網絡構架是其業務水平的重要保障。我國現在很多企業對網絡構架及安全部署的要求越來越高，但是我國企業的網絡構架還無法滿足現代企業網絡構架的高要求。因此，我國企業網絡構架及安全部署的不足嚴重制約了我國企業的長遠發展。

2企業網絡架構安全部署設計與實現

2.1 網絡架構設計思想及原則

我國企業網絡架構設計主要是為了實現將不同位置的計算機網絡進行互通，這也是企業實現網絡構架的基本要求。隨著我國企業數據業務的不斷發展和改進，企業網絡構架的設計要求也變得更高，因而需要從簡單的網絡構架中設計出服務性更強的網絡構架，并且不斷向應用型網絡構架轉變。因此，企業網絡構架的設計者在進行網絡構架設計時應該充分考慮企業的各種業務需求，以保證企業的網絡構架能夠滿足其長遠的發展，從而為企業提供更加方便的管理平臺，這也是企業網絡構架及安全部署設計的基本思想和原則。

2.2 企業網絡架構的實現

當網絡構架的基本設計完成后，就應該對設計的模型進行部署和實現，從而使得企業能夠更加實際地了解企業的網絡構架。

企業網絡構架實現的過程一般包括以下幾個方面：1）規劃企業的IP地址空間范圍；2）部署和實現企業核心層的網絡構架；3）在核心網絡構架的基礎上對下層的網絡構架進行設計。當然，企業的網絡構架的設計一般應該遵循規范性、標準性、連續性和靈活性等原則。

3企業網絡構架的故障分析及解決方案

3.1 網絡冗余雙機部署中的故障

現在，網絡設備雙機部署過程中，由于路由的配置等技術相對比較成熟，一般不會出現故障和問題。但是，其企業網絡構架中防火墻的雙機構架的設計和部署時，會出現很多疑難問題。目前，解決這些疑難問題的方法主要包括以下兩種：1）移除防火墻之間的交叉冗余鏈路，同時更改兩臺防火墻上相同路由開銷值，這樣可以保證在主防火墻出現故障后，其他防火墻可以安全使用。這種方案可以解決故障，但也存在一定的弊病，主要是指數據負載在主設備上，備用設備一般是出于閑置狀態，只有出現故障時才切換到備用設備機；2）采取措施將主防火墻的全部會話列表與備用設備同步，從而使備用設備保持與主設備的防火墻會話列表一致。即使出現數據訪問不一致的情況，主設備也不會導致數據發生故障，從而造成多個設備處于故障狀態。當然，防火墻會話同步的設計現在已經成為基于會話狀態防火墻的解決網絡冗余雙機部署中故障重要手段和措施。

3.2 網絡QOS保障

QOS保障是企業在進行網絡構架及安全部署的設計與實現的過程中，對特殊數據進行帶寬處理，以實現優先保證的一種有效途徑。但是，語音和視頻在網絡傳輸的過程中對帶寬的延時和抖動的要求比較高，因而需要考慮企業網絡分子結構廣域網帶寬的影響，然后根據流量分析，在帶寬能夠滿足一定要求的情況下，保證視頻和語音數據的傳輸更加順暢。當然，企業網絡架構及安全部署的設計和實現過程中，分支網絡構架中的語音和視頻數據需要經過各自的核心路由，這樣的企業網絡構架需要保障企業的語音和視頻在網絡分子上得到一定的保證。然而，在實際的網絡構架部署過程中，由于企業的業務不斷增加和網絡分支的不斷擴展，廣域網的數據量也增大，因此，采用QOS來對數據進行保障顯得至關重要。

3.3 網絡訪問安全控制

網絡訪問安全控制的配置在企業網絡構架的部署中非常常見，一般需要采用防火墻進行數據的訪問，還需要在路由器上配置一些安全措施，以實現企業能夠對數據進行控制。尤其是對于一些防病毒、訪問隔離和環路等故障，企業網絡訪問安全控制很有必要。

第5篇

【關鍵詞】企業網絡 信息安全 策略設計

隨著社會經濟的快速發展，計算機信息技術介入人們生活的方方面面。企業網絡的信息安全策略是涵蓋多方面的，既有管理安全，也有技術安全，既有物理安全策略，也有網絡安全策略。企業網絡應實現科學的安全管理模式，結合網絡設備功能的不同對整體網絡進行有效分區，可分為專網區、服務器區以及內網公共區，并部署入侵檢測系統與防火墻系統，對內部用戶威脅到網絡安全的行為進行阻斷。下面著重闡述企業信息系統的網絡層安全策略：

一、企業網絡設備安全策略分析

隨著網絡安全形勢的日趨嚴峻，不斷有新的攻擊手段被發現，而這些手段的攻擊目標也已經從用戶終端、服務器厭延展至交換機、路由器等硬件設施。而交換機與路由器屬于網絡核心層的重點設備，如果這些設備退出服務，企業信息系統網絡安全便會面臨很大的威脅。由此本文給出以下的網絡設備安全策略。

最大化地關閉網絡交換機上的服務種類。尤其是不經常使用的服務更應關閉，舉例來講：交換機的鄰居發現服務CDP，其功能是辨認一個網絡端口連接到哪一個另外的網絡端口，鄰居發現服務鎖發出和接收的數據包很容易暴露用戶終端的屬性信息，包括交換機端口與用戶終端的IP信息，網絡交換機的型號與版本信息，本地虛擬局域網屬性等。因此，本文建議在不常使用此服務的情況下，應該關閉鄰居發現服務。另外，一些同樣不常使用的服務，包括交換機自舉服務、文件傳輸服務、簡單文件傳輸服務、網絡時間同步服務、查詢用戶情況服務、簡單網絡管理服務、源路徑路由服務、ARP服務等等。

企業信息系統的網管往往以Telnet協議實現對全網所有交換機、路由器的配置與管理。眾所周知，此協議使用的是明文傳輸模式，因此在信息安全方面不輸于非?？煽康膮f議。入侵者只要以抓包軟件便能夠輕易得知網管的登錄ID與密碼，以抓包軟件同樣能夠獲取網絡管理員發出、受到的全部數據。所以在網絡管理中，應引入安全性能更高的協議，本文推薦SSH（Secure Shell Client）協議。這種協議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協議進行傳輸的數據包都被良好加密。此外VTP 的安全使用也是一個應該得到重視的問題，VTP應配置強口令。

二、企業信息系統網絡端口安全策略

由于大部分企業網絡的終端均以網絡交換機在接入層連入網絡，而網絡交換機屬于工作在ISO第二層的設備，當前有不少以第二層為目標的非法攻擊行為，為網絡帶來了不容忽視的安全威脅。

二層網絡交換機使用的數據轉發方式是以CAM表為基礎的。在網絡交換機加點之后，首選會清空CAM 表，并立即啟動數據幀源地址學習，并將這些信息存入交換機CAM表中。這時候，加入非法入侵者通過偽造自身的MAC地址并不停地發出數據幀結構，便很容易導致網絡交換機CAM表溢出，服務失效。而此時便會導致該MAC的流量向交換機其他端口轉發，為非法入侵者提供網絡竊聽的機會，很容易造成攻擊風險。本文所推薦的策略是：網絡交換機的端口安全維護應隨時打開；在交換機配置中設置其學習MAC地址的最大數目為1；設置網絡交換機能夠存儲其學習到的全部MAC地址；一旦網絡交換機的安全保護被觸發，則丟棄全部MAC 地址的流量，發送告警信息。對網絡交換機進行以上的配置，一方面能夠防止基于交換機MAC地址的泛洪攻擊，另一方面也能對網絡內部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎上，還應阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網絡交換機不必向所有端口廣播未知幀，因此可以對未知幀進行阻止，增強網絡交換機安全性。

三、企業信息系統網絡BPDU防護策略

一般情況下，企業的內部網絡往往以網絡交換機作為網絡拓撲的支撐，因為考慮到交換機通道的溝通，加之系統冷、熱備份的出發點，在企業網絡中是存在第二層環路的，這就容易引發多個幀副本的出現，甚至引起基于第二層的數據包廣播風暴，為了避免此種情況的發生，企業網絡往往引入了STP協議。而這種協議的效果則取決于交換機共享的BPDU信息。這就為一些攻擊者提供了機會，通過假冒優先級低的BPDU數據包，攻擊者向二層網絡交換機發送。由于這種情況下入侵檢測系統與網絡防火墻均無法生效，就導致攻擊者能夠方便地獲取網絡信息?？梢圆捎玫姆婪洞胧椋涸诙泳W絡交換機啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對BPDU數據包不進行任何處理，加入收到此種類型的數據包，該端口將會自動設置為“服務停止”。在此基礎上，在根交換機上引入鏈路監控體系。一旦該交換機設備檢測到優先級更高的 BPDU數據包，則發出“失效”的消息，及時阻塞端口。

四、企業信息系統網絡Spoof防護策略

在企業內部網絡中，往往有著大量的終端機，出于安全性與可靠性的考慮，這些終端機均以動態主機設置協議獲得自身的IP地址。這就為Spoof 攻擊留下了機會。在這種攻擊中，非法入侵者會將自身假冒動態主機設置協議服務器，同時向用戶主機發出假冒的動態IP配置數據包，導致用戶無法獲取真實IP，不能聯網?？梢圆捎玫姆婪洞胧椋阂雱討B主機設置協議Snooping 策略。在二層網絡交換機上安裝Snooping模塊并激活，系統便會把設備的全部可用端口設置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動態IP配置數據包，從而防止Spoof 攻擊帶來的風險。

考慮到地址解析協議在安全方面的防范性不足，加入非法入侵者不斷地發出ARP數據包，便容易導致全部用戶終端的ARP表退出服務，除去靜態綁定IP與MAC之外，本文推薦動態ARP監測策略。此種策略會將交換機全部端口設置為untrust狀態。此種狀態之下，端口將無法發出ARP的響應，因此，黨用戶主機染毒時，其發出的假冒ARP數據包將由于與列表不匹配而被丟棄，系統安全得到了保障。

五、結束語

W絡安全是一項綜合的管理工程，意義重大。企業的網絡安全一旦出現問題，極有可能造成巨大損失，到那時即使再投入大量資金進行彌補也為時已晚。因此，企業應未雨綢繆，認清事實、正視事實、立足長遠，重視網絡安全問題，這樣才能保證企業網絡的安全，從而實現企業長足發展。

第6篇

關鍵詞：VLAN；虛擬局域網；企業網絡；網絡設計

中圖分類號：TP393文獻標識碼：A文章編號：16727800（2012）009013403

1企業組網中采用單一網段架構的不足之處

企業在組建局域網和信息化平臺時，為節約成本往往采用了單一網段架構的組網模式。隨著企業內部聯網計算機的不斷增多、網絡應用的日趨復雜，這種架構的弊端也不斷顯現出來。由于防火墻、服務器、工作站等網絡設備處在同一個網段（同一廣播域），大量的廣播包發送到局域網上容易引起廣播風暴、占用很高的網絡帶寬，從而影響到正常業務數據流的穩定傳輸。一旦某計算機發生ARP攻擊或者冒用了網絡設備的IP地址，就會干擾到網絡的正常運行，造成嚴重的安全隱患。為了解決上述問題，提高企業網絡的安全性、穩定性和可靠性，就需要部署與實施VLAN虛擬局域網。

2VLAN虛擬局域網的主要特點

IEEE802.1Q定義了VLAN網橋和操作規范。傳統的共享介質型以太網中，所有的計算機位于同一個廣播域中，廣播域越大對網絡性能的影響也就越大。有效的解決途徑就是把單一網段架構的以太網劃分成邏輯上相互獨立的多個子網，同一VLAN中的廣播包只有同一VLAN的成員組才能收到，而不會傳輸到其它VLAN中去，這就很好地控制了廣播風暴。在企業網絡組建中，通過合理的VLAN設計規劃，一方面可以限制廣播域，最大限度地防止廣播風暴的發生，節省網絡帶寬；同時還可以提高網絡處理能力，并通過VLAN間路由、VLAN間互訪策略，全面增強企業網絡的安全性。

3企業VLAN規劃中的技術要點

VLAN技術在大型局域網、大型校園網的組建中有著廣泛的應用，VLAN的規劃和設計是高等計算機網絡的一個重點，同時也是一個技術難點，實施者必須具備較高的計算機網絡知識與實踐技能。企業在實施VLAN前，應該從以下幾個方面重點分析和考慮：

（1）根據目前的網絡拓撲、綜合布線、各類網絡設備、計算機數量以及分布的地理位置進行統計和調研。通常位于核心層的防火墻、服務器組等應劃分到一個單獨的VLAN網段，然后根據各部門的網絡應用需求、聯網設備數量作進一步規劃。

（2）采用合適的VLAN劃分技術，常見的VLAN劃分方式包括：基于端口的VLAN、基于MAC地址的VLAN、基于協議的VLAN、基于IP子網的VLAN 和基于策略的VLAN等。以中小型企業為例，計算機的數量與分布的地理位置相對比較固定，優先考慮采用基于端口的靜態VLAN劃分方式。將交換機中的任意端口定義為一個VLAN端口組成員，從而形成一個VLAN網段，將指定端口加入到指定VLAN中之后，該端口就可以轉發指定VLAN的數據包。

（3）各個VLAN之間的路由與ACL訪問策略的配置。通常服務器所屬的VLAN可以與其它VLAN相互訪問，各個VLAN的內部計算機可以互訪，其它VLAN之間計算機的互訪權限視具體情況在三層交換機加以啟用或禁用。

（4）防火墻到各個VLAN之間的路由規劃。防火墻是整個企業網的Internet總出口，直接決定哪些VLAN組、哪些計算機成員可以訪問Internet。

（5）必要的經費投入，購買合適的網絡設備。一般選擇三層智能VLAN以太網交換機，根據設計方案，通過命令參數進行配置。由于不同品牌、不同型號的交換機VLAN配置參數與語法命令不盡相同，因此需要VLAN實施者精通常用交換機的配置與應用。

4某企業VLAN規劃和實施的具體步驟與案例分析

隨著經營業務的不斷擴展、聯網設備的不斷增多，為提高局域網安全性和處理能力，筆者參與了某商品流通企業的局域網VLAN實施項目。從企業網絡應用的規模和現狀分析，設計劃分為5個VLAN， 其中VLAN16為服務器核心網段，可以與其它全部VLAN（17～20）互訪。VLAN（17～20）只能訪問16網段，相互之間不能互訪，但每個VLAN內部計算機可以互訪。防火墻型號為H3C SecPath F100S，LAN口管理IP為192.168.16.1，可以路由到全部5個VLAN，并能控制任意網段的計算機訪問外網與IP流量。

接入層訪問端口，按表1方案，連接網絡設備、各職能部門的工作站計算機、網絡共享打印機、無線接入點AP等

在實施VLAN前，首先要對企業現有的綜合布線作全面的梳理，每根網線連接哪臺電腦、交換機的端口標識要明確、清晰。在核心交換機端口充裕的情況下，做到計算機與核心交換機端口直接相連，盡量不要采用SOHO交換機進行多層次的網絡轉接。根據VLAN設計方案，對網絡設備、部門計算機的網絡參數進行重新分配和配置，把每臺計算機的網線連接到交換機對應的VLAN端口。

該項目中，采用了H3C公司的48口全千兆三層以太網交換機S550048PSI。S550048PSI千兆以太網交換機定位于企業網和城域網的匯聚或接入，具備豐富的業務特性，提供了高性能、大容量的交換服務，并支持10GE 的上行接口，為接入設備提供了更高的帶寬。同時還可以用于數據中心服務器群的連接，為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個基于端口的VLAN，在全雙工模式下交換容量為240Gbps，整機包轉發率為72Mpps，可以滿足企業目前應用需求。

S550048PSI交換機的配置是整個VLAN實施中的技術重點和難點，其配置要點說明如下：

（1）創建ACL訪問策略。根據設計方案，VLAN16可以與VLAN（17～20）直接互訪，無須設置拒絕訪問規則。VLAN17不能與VLAN（18～20）互訪，VLAN18不能與VLAN（17、19、20）互訪，VLAN19不能與VLAN（17、18、20）互訪，VLAN20不能與VLAN（17～19）互訪。因此，必須單獨設置規則號和拒絕訪問控制列表。

5VLAN實施后產生問題如何解決

由于實施VLAN后除了VLAN16其它各網段之間不能直接互訪，因此也帶來了一些網絡應用上的問題。比如不同VLAN之間不能直接共享打印機和共享文件夾，需要重新設置共享。解決方案是在同一VLAN的內部計算機上設置共享打印機或者文件夾，或者在VLAN16網段上設置共享打印機或者文件夾，以便給全公司的聯網計算機訪問。

6結語

通過實施VLAN前后的網絡協議分析，在企業網絡應用高峰期利用OmniPeek協議分析軟件在各個VLAN網段中實時抓包采樣，發現各個網段的廣播包數量明顯減少，網絡利用率有了明顯提高，實施后從未發生過廣播風暴現象。特別是核心層網絡設備從普通交換機升級到全千兆VLAN交換機后，業務軟件的輸入、統計、查詢，以及瀏覽網頁的速度均有較大的提高，網絡性能有了很大改善。

上述企業VLAN的設計思路、實施步驟和配置參數具有很高的參考與應用價值。規模更大、更復雜的企業網擁有更多的計算機，因此，需在此基礎上劃分更多的VLAN、設計更加復雜的ACL訪問控制策略。通過VLAN的實施，不僅提高了網絡安全性和利用率，并且對于今后企業網絡的擴展和升級都帶來了很大的便利。

參考文獻：

[1]崔北亮.CCNA認證指南（640-802）[M].北京：電子工業出版社，2009.

[2]王達.CISCO/H3C交換機配置與管理完全手冊[M].北京：中國水利水電出版社，2009.

[3]Marina Smith.虛擬局域網[M].北京：清華大學出版社，2003.

第7篇

關鍵詞：網絡營銷 中小企業 網絡購物管理系統

1 概述

隨著因特網技術的迅速發展和廣泛應用，人類已步入網絡信息化社會。網絡營銷是企業利用相關的信息技術通過因特網來實現營銷目標的一種營銷手段，它是企業電子商務活動中最基本的商業活動。中小企業建立網絡營銷系統的信息技術以計算機技術、網絡技術和多媒體技術為核心，整個網絡營銷系統的建設很復雜，但中小企業以實現網上購物為主要目的。這里設計的中小型企業的網絡購物管理系統，為企業提供系統后臺管理服務，實現了商品管理、貨架管理、庫存管理、用戶管理和系統管理。

2 系統需求分析

中小企業網絡購物管理系統是基于B/S體系結構的，在Microsoft Visual 環境下使用、C#編程語言、JAVA及Microsoft SQL Server 2008 數據庫開發的，人機界面友好，安全性高，不需要太大的投入，便于維護更新。前臺主要用于用戶注冊、瀏覽商品等，后臺管理功能有商品管理、貨架管理、庫存管理、用戶管理、系統管理五個模塊，系統管理員可以通過這些模塊更新維護系統。如圖1所示。本文主要介紹系統數據庫設計和后臺管理主要功能模塊設計。

3 系統數據庫設計

系統數據庫的名稱設為sell，其中包括七張數據庫表，分別設為用戶信息表user、用戶類別表utype、商品表goods、商品類型表gtype、商品貨架表jgoods、庫存表kucun、商品貨架關聯表gjbind。

設計的SQLHelper類中封裝了最常用的數據操作，其部分代碼如下：

public class SQLHelper

{

/// 連接數據源

public SqlConnection myConnection = null；

private readonly string RETURNVALUE = "RETURNVALUE"；

///

/// 打開數據庫連接

///

private void Open（）

{ // 打開數據庫連接

if （myConnection == null）

{myConnection=new SqlConnection（System.Configuration.ConfigurationManager.AppSettings["SQLCONNECTIONSTRING"].ToString（））；

}

if （myConnection.State == ConnectionState.Closed）

{try

{ ///打開數據庫連接

myConnection.Open（）；

}

catch （Exception ex）

{

SystemError.CreateErrorLog（ex.Message）；

}

finally

{

///關閉已經打開的數據庫連接

}

}

}

///

/// 關閉數據庫連接

///

4 系統后臺模塊設計

系統后臺功能模塊有商品管理模塊、貨架管理模塊、庫存管理模塊、用戶管理模塊、系統管理模塊五個，這里只介紹商品管理模塊中查詢商品和用戶管理模塊中添加用戶的主要代碼。

查詢商品主要代碼：

public string SQL（）

{

string strsql = ""；

DataSet ds = new DataSet（）；

strsql = "select * from goods where id is not null"；

hs.RunSQL（strsql， ref ds）；

string s1 = " and name like '%" + this.TextBox1.Text.Trim（）.Replace（"'"， "''"） + "%'"；

string s2 = " order by id desc"；

if （this.TextBox1.Text ！= ""）

{

strsql += s1；

}

return strsql + s2；

}

添加用戶主要代碼：

protected void Button1_Click（object sender， EventArgs e）

{

string UserName = this.TextBox1.Text.Trim（）.ToString（）；

string UserSex = ""；

if （this.RadioButton1.Checked）

{

UserSex = "男"；

}

else

{

UserSex = "女"；

}

string address = this.address.Text.Trim（）.ToString（）；

string phone = this.phone.Text.Trim（）.ToString（）；

string email = this.email.Text.Trim（）.ToString（）；

string des = this.TextBox7.Text.Trim（）.ToString（）；

string str = "insert into suser （name，pwd，sex，address，phone，email，tid，des） values（'" + UserName + "'，"+123+"，'"+UserSex+"'，'"+address+"'，'"+phone+"'，'"+email+"'，" + Convert.ToInt32（this.DropDownList1.SelectedValue） + "，'" + des + "'） "；

int k = hs.RunSQL（str）；

if （k == 1）

{

Response.Write（"alert（'添加新用戶成功'）；location='adduser.aspx'"）；

}

else

{

Response.Write（"alert（'添加新用戶失敗，請重試！'）；location='adduser.aspx'"）；

}

}

因篇幅有限，其他模塊代碼不再詳述。

5 結束語

本文給出了中小企業網絡營銷管理系統數據庫和后臺管理模塊的主要設計過程，實現了中小企業通過網絡銷售的主要目的。在我國經濟結構加速調整、全球化市場競爭日趨激烈的環境下，為我國中小企業在網絡經濟時代通過建設網絡營銷管理系統進入全球化的市場競爭提供了示范，對傳統中小企業的轉型和發展有指導作用。

參考文獻：

[1]馮英健.網絡營銷基礎與實踐（第4版）[M].北京：清華大學出版社，2013.6.

[2]劉志成.SQL Server實例教程（2008版）[M].北京：電子工業出版社，2012.1.

[3]陳琦.企業電子商務商業模式設計：IT資源前因與績效結果[D].浙江大學，2010.