方案
目 录
第一章 设计背景分析 ……………………………………………………….3
第二章 需求分析 ……………………………….………………………3 2.1设计需求 ……………………………………….………………3 2.2 网络设计需求分析 …………………………………….……….4 2.3 功能需求分析 ……………………………………..............4 2.4 环境需求分析 ……………………………………………..5 2.5 性能需求分析 ……………………………………..............5
第三章 网络组网技术选型 .……………………………………………..6
第四章 网络拓扑图 ……………………………………................9 4.1 网络拓扑结构图 ……………………………………………...9 4.2 VLAN划分及编制方案 ……………………………………..…...10
第五章 设备清单及所需网络设备介绍 ………………………………...……11
第六章 网络PDS系统设计 ………………………………………………..…21
第七章 网络储存设计 ………………………………………………………....22 7.1 存储备份必要性分析 …………………………………………….22 7.2 基于HP SERVER的数据存储与备份方案 …………………..…22 7.3 备份工作实现自动化 ………………………………………….....25 7.4 实现跨平台备份 ……………………………………………...…..25
第八章 网络安全设计 ……………………………………………………..…..26 8.1 概要安全风险分析 ……………………………………………….26 8.2 实际安全风险分析 ……………………………………………….26 8.3 网络系统的安全原则 ………………………………………….....27 8.4 安全产品 ………………………………………………………….27
8.5 风险评估 ………………………………………………………….28 8.6 安全服务 ………………………………………………………….29 8.7 网络维护 ………………………………………………………….29
参考文献 …………………………………………………………………………30
第一章 设计背景分析
当今世界信息化浪潮席卷正全球。因特网的迅猛发展不仅带动了信息产业和国民经济地迅猛增长,也为企业的发展带来了勃勃生机。以因特网为代表的信息技术的发展不仅直接牵动了企业科技的创新和生产力的提高,也逐渐成为提高企业竞争力的重要力量。就在我们为我国小企业网络建设拍掌击节的时候,我们也注意到这样一个事实,即我国小企业网络建设和应用中存在着许多问题。总结一下,主要有以下几点:首先,服务器接入访问成为瓶颈。这一问题主要出自于软件应用体系的变化,因为C/S、W/S等软件应用模式的演变,服务器的数据运算和传输负荷也在不断提高,导致的直接结果就是服务器需要不断升级。服务器的发展,技术发展。一个企业建立网络成了企业成长的关键部分。
随着信息技术的发展的,企业对信息要求越来越高;当今社会人员流动越来越频繁,使得管理工作也变的越来越复杂。如何管理好企业内部的信息,成为企业管理中一个大的问题。如果能实现信息管理的自动化,无疑将给公司带来很大的方便。办公自动化(OA)是将现代化办公化和计算机网络功能结合起来的一种新型的办公方式,是当前新技术革命中一个非常活跃和具有很强生命力的技术应用领域,是信息化社会的产物。企业内部办公系统能够建立企业自身的一套职务体系,每个职务有其所对应的职级、所需基本信息及对信息的使用资格。允许合法的使用者通过网络对企业职员的人事信息、公司的流水帐目信息、核销单的流向信息、账单的生成和查询及同行各个企业的信息进行管理。信息成了公司发展不可却少的动力。
第二章 需求分析
2.1 设计需求
在中国中小企业占到全国工业企业的97%以上,是中国的经济命脉。在今天竞争激烈的市场环境下,许多中小型企业都在追求高效的管理与沟通方法,发展
跨地区、跨国业务,促进客户服务,增强企业的市场竞争力。特别在当今信息化的现代社会,企业的运作模式也发生了根本性变化。建设企业网络来提高企业运作效率的做法越来越普及。所以近年来,许多中小型企业都建立了自己的网络,但是,由于许多中小企业的决策者对网络的应用和管理,在认识上存有一定的局限,以及受到现有企业条件和信息技术力量的局限,往往会在用网,尤其是在如何管理好企业的网络、挖掘和整合企业网络资源优势、为企业发展核心业务服务等诸多方面,还存有许多不尽如人意的地方,致使不少中小企业的网络系统,从建立网络,到应用网络,直至管理网络,都缺乏一个科学性、有序化和规范化的发展态势,甚至直接影响乃至制约着企业核心业务的持续发展。所以一个良好的中小型网络成为了企业发展好坏的决定因素。
在本方案中,将以企业以45台办公计算机为例,设定该企业对网络需求如下:
企业计划有45台办公计算机,要求都能访问Internet资源;
外网能通过internet只能访问企业DMZ区域的各种共享服务器,如FTP、WWW等,不能访问其他内网信息;
两栋楼之间通过广域网联通;
出差工作人员及在家办公人员能够远程访问公司内部的共享文件以及进行数据传送;
网络要求是可以扩展的、高速的、冗余的、安全的,并可满足为现在或将来进行语音、视频、图像等各种服务的应用;
要保证企业内部服务器可以集中管理及企业内部信息安全;
为了简化起见,在本方案中,把公司的设计部、财务部、技术部、经理办公室,人力资源部、销售部、企划部、生产车间和库房9个部门分于不同的vlan。
2.2 网络设计需求分析
根据企业提出需求,进行分析,最终将采取以下方案解决企业需求: 申请一个10M的带宽,以满足45台计算机访问Internet:
申请2个公网IP:一个分配给Internet接入路由器的串行借口,另一个用作NAT;
购买一台华为路由器以实现企业内部网络连接到Internet;
企业目前有45台计算机连入网络,考虑在未来5年内可能会有所增加,预计增加幅度为20台,因此接入层交换机48口的华为,需要3台用于楼宇1, 两台用于楼宇2;
将各部门划分在不同的VLAN;
邮件服务器,web服务器, ftp服务器直接与核心交换机华为连接,置于管理机房,方便管理,同时配置ACL控制各部门访问权限;
在路由器上配置 VPN,以实现出差工作人员及在家办公人员远程访问企业内部资源及数据交换;
.2.3 功能需求分析
办公自动化是一个企业除了生产控制之外的一切信息处理与管理的集合。它面向不同层次的使用者便有不同的功能表现。
对于企业高层领导而言,OA是决定支持系统(DSS)。OA运用科学的教学模型,结合企业内部/外部的信息为条件,为企业领导提供决策参考和依据。
对于中层管理者而言,OA是信息管理系统(IMS),OA利用业务各个环节提供的基础“数据”,提炼出有用的管理“信息,”把握业务进程,降低经营风险,提高经营效率。
对于普通员工而言,OA是事务/业务处理系统,OA为办公室人员提供良好的办公手段和环境,使之准确、高效、愉快的工作。
企业内部办公网络系统应该能够建立企业自身的一套职务体系,每个职务有其所对应的职级、所需基本信息及对信息的使用资格。通过该网络系统可以对企业职员的人事信息、公司的流水账目信息、核销单的流向信息、账单的生成和查询及同行各业的信息进行管理。
对于本系统,需要实现以下一些基本功能: 1资料的上传下载 2员工信息管理; 3财务信息管理; 4账单信息管理; 5客户信息管理 6核销单信息管理。
基于上述考虑,本案例决定采用华天动力协同OA办公自动化系统。 华天动力OA办公自动化融合最先进的管理理念和开发技术,是当前市场绝对领先的新一代办公自动化系统。华天动力OA采用魔方式三层架构开发,是真正的协同办公平台,能轻松实现跨平台、跨数据库、跨架构的使用,拥有魔方般的灵活性和整合性,允许用户随意组合不同的业务系统。无论是自己开发还是采购的各种系统,华天动力OA都能让用户轻松构建起一个数据共享、流程同步的综合性信息化办公平台。
其功能如下:
(1)实现文件的全文检索功能。 (2)基于角色的工作流系统。
(3)采用JAVA、J2EE架构,全面支持Web Service,扩展无极限。
(4)全面支持SQL Server/Oracle/MYSQL等数据库,无须额外修改和配置。 (5)界面美观,多种界面风格,可随时换肤,自定义喜好的风格。
2.4 环境需求分析
系统的运行对运行环境有一定的要求。 2.4.1 硬件环境
在最低配置的情况下,系统的性能往往不尽如人意,现在的硬件性能已经相当出色,而且价格也很便宜,因此我们通常给服务器端配置高性能硬件。
处理器:Inter P4 2.0G或更高 内存:2GB
硬盘空间:20GB
显卡:SVGA显示适配器
2.4.2 软件环境
(1)操作系统:工作站采用Windows XP SP3,服务器采用Windows Server 2008,
(2)数据库:SQL Server 2003
(3)界面调整:Macromedia Dreamweaver 8 + Microsoft Front Page 2003
2.5 性能需求分析
2.5.1 预期目标
(1)图形化界面、可操作性强:图形化界面、操作简单是企业内部办公系统最近本的要求之一。用户对系统的操作只需要鼠标点击和少量的键盘输入,加上界面和菜单显而易见,所以即使是计算机基础很差的用户经过简单的培训后,都能很快地熟练操作。
(2)安全性:企业内部管理系统必须要有极其强大的安全性。我们通过系统内部自己设置的权限校验来对系统登录用户实施校验,提高了整个系统的安全性,满足客户的安全性需求。
(3)简便的维护手段:系统使用后,维护工作将是一个长期的工作,系统将充分考虑维护工作的需求,通过相应手段降低维护工作及难度,从而达到保证运行可靠及节省费用的目的。
(4)高效性:企业内部系统应该具有的强大适应能力和简便实现能力。系统运行的高效性是我们追求的目标之一。
(5)功能性强大:该系统将具有强大的功能性,能满企业内部管理的基本需要,发挥计算机管理的优势。
2.5.2 主要特点
(1)人性化设计:简单的操作步骤,人性化的界面设计,符合当今社会科技以人为本的设计理念;
(2)系统的安全设置:该系统具有强大的安全性,系统内部的权限校验保证了企业资料的安全,保障了用户的权益。
(3)使用的高效性:该系统的使用提现了计算机操作得高效性,用时短,内容多的特点;
(4)大的功能:该系统把分散在企业事业单位的所有档案信息实行统一、集中、规范的收集管理,建立分类编号管理、电脑存储查询等现代化、专业化的管理;
(5)有错误识别能力:当用户操作出现错误时,系统将提出警告,并能提示正确的操作,避免系统被破坏。
第三章 网络组网技术选型
该方案总体网络采用树型拓扑网络结构,使之具有链路冗余特性;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域;核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运
行,也不用手工切换和维护,保证网络的可靠性。采用全交换硬件体系结构,可实现全线速的IP交换;网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC 技术实现网络带宽的扩展,适应网络不断扩展的要求。
根据需求概括,我们选择的是华为S9303作为核心交换机
Quid way® S9300系列T比特路由交换机是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段,同时具备超强扩展性和可靠性,广泛适用于运营商IP城域网,企业广域网/城域网,企业出口/核心/汇聚,高密度千兆桌面接入,以及数据中心,帮助电信运营商和企业构建面向业务的网络平台,提供交换路由一体化的端到端融合网络服务。
S9300系列提供4插槽、8插槽、14插槽三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多项绿色节能创新技术,不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。
华为S9303核心路由交换机具有一下的优点:
先进的系统架构:采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性 。
高端口密度和线速路由及交换:具有丰富的接口类型,提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。
大容量、高性能:支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以及 4096组VLAN、 8K条安全和访问控制策略,保证了数据线速转发的要求。
增强的业务功能:具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。同时,提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证(QoS)机制,可为用户开展增值业务提供强大的支持。
强大的安全功能:支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,并支持IPSec、MPLS VPN特性。同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传,VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外,系统还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。
支持IPv6:全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手
工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。
全面支持二、三层MPLS VPN:二层MPLS VPN支持Martini协议(VPWS)和VPLS、三层MPLS VPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。
电信级可靠性:系统的主控单元、电源等等关键模块均可以进行1:1方式的备份,无中断保护系统(Hitless Protection System - HPS)为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。
统一的网管功能:支持RFC 1213 SNMP(简单网络管理协议),带内网管的形式可采用基于Telnet的配置管理(CLI命令行的形式)或基于SNMP的配置管理 (图形界面的形式),实现基于Broad Director网管平台的统一网管。
接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接,以提供物理层、链路层及IP层的冗余连接能力。
核心交换:三层千兆交换机为整个网络的核心,它对整个网络的性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构,不仅逻辑结构清楚,治理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备:网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充;增加光纤连接即可大量提高主干带宽;中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
汇聚交换及接入交换:二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部机房采取一处连接Internet中,设置防火墙等安全软件,并对外网的远程登录设置权限及相应的安全认证!
网络应用系统选择
根据集团用户对操作系统的要求:操作系统要求选择最新版本,所选操作系
统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器及客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务。
建立WWW服务器,实现Internet上浏览和查询;建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务;建立Web服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。当网上用户增多时,网络访问很频繁,通信量很大,随机性强。作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。 建立域名服务器DNS,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。DNS数据量不大,但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面,较高的可靠性,完善的系统备份功能和较好的可扩充性能。
第四章 网络拓扑结构图
4.1 网络拓扑设计
本企业网络设计方案主要由两大部分构成:楼宇1和楼宇2。
4.2 VLAN划分及编制方案
VLAN号 Vlan2 Vlan3 IP网段 192.168.1.0/24 192.168.2.0/24 说明 设计部 财务部 Vlan4 Vlan5 Vlan6 Vlan7 Vlan8 Vlan9 Vlan10 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 192.168.6.0/24 192.168.7.0/24 192.168.8.0/24 192.168.9.0/24 技术部 经理办公室 人力资源部 销售部 企划部 生产车间 库房
第五章 设备清单及所需网络设备介绍
名称 型号 单价 25000元 34000元 7080元 15000元 4999元 60/盒 数量 1 2 5 1 6 合计 25000元 68000元 39000元 15000元 30000元 路由器 核心层交换机 接入层交换机 防火墙 服务器 AMP RJ45水晶头 12芯单模光纤 12芯多模光纤
H3C MSR50-60 华为S9303 华为Quid way H3C SecPath F100-S 正睿I143738S TCL12芯室内单模光纤 33/M TCL12芯室内多模光纤 40/M 主要网络设备选定
根据前文对网络设备的介绍,在这些设计方案中,路由器选定为华为一台,核心三层交换机选定为华为二台,接入层交换机为48口华为五台,、一个华为防火墙,正睿服务器六台。
路由器:H3C MSR50-60 产品报价:23000—28888(元)
项目 处理器 转发性能 固定以太口 模块插槽 MSR 50-60 RISC新一代处理器(833MHz) 600Kpps 2个千兆光/电Combo 4个SIC插槽 6个FIC插槽 ESM插槽 2 VPM插槽 4 USB 2(USB1.1) AUX 1 配置口 1 VCPM插槽 1 硬件加密 支持 内存(缺省/最大) 512M/1G(DDR) CF 256M/1G 最大功耗 350W 电源(AC) 输入额定范围:100~240V 50/60Hz 电源(DC) 输入额定范围:-48~-60V 外形尺寸( W×D×H) 436.2mm×424mm×175.1mm 重量 21kg 环境温度 0~40℃ 环境相对湿度 5~90%(不结露) EMC ETSI EN 300 386 V1.3.1 (2001-09) EN 55022(1998) EN 55024(1998) FCC Part15 ICES-003 VCCI V-3 AZ/NZS CISPR22 CNS 13438 安规 UL 60950 3rd Edition CSA 22.2#950 3rd Edition 1995 EN 60950: 2000 + ZB & ZC deviations for European Union LVD Directive 属性 网络互连 说明 局ARP (代理ARP,免费ARP,授权ARP) 域Ethernet,VLAN(VLAN-BASED PORT ISOLATE/VLAN VPN/VOICE VLAN),802.网3x,LACP(802.3ad),802.1p,802.1Q,802.1x 协RSTP(802.1w),MSTP(802.1s) 议 GVRP PORT LOOPBACK,PORT MUTILCAST suppression 广PPP、MP,PPPoE Client、PPPoE Server 域FR、MFR,FR Fragment、FR Compress、FR over IP,FRTS 网ATM(IPoA、IPoEoA、PPPoA、PPPoEoA) 协DCC、Dialer Watch 议 HDLC,LAPB X25、X25 over TCP、X25 to TCP,X25 PAD、X25 Huntgroup、X25 CUG DLSW(V1.0/2.0) ISDN、ISDN Network,ISDN QSIG,MODEM IP快速转发(单播/组播) 服TCP,UDP,IP Option,IP unnumber 务 策略路由(单播/组播) 非支持SNA/DLSw,DLSw以太冗余备份 IPIPX,SOT,Net stream 服务 IPPing、Trace 应DHCP Server / DHCP Relay/ DHCP Client 用 DNS client/DNS Static NQA ,IP Accounting,UDP Helper,NTP Telnet,TFTP Client/FTP Client/FTP Server IP静态路由 路动态路由协议:RIP/RIPng,OSPF,OSPFv3,BGP,IS-IS 由 组播路由协议:IGMP,PIM-DM,PIM-SM,MBGP,MSDP 路由策略 MPLDP,LSPM,MPLS TE,MPLS FW,MPLS/BGP VPN,L2VPN LS IPIPv6基本功能:IPv6 ND,IPv6 PMTU,IPv6 FIB,IPv6 ACL v6 IPv6过渡技术:NAT-PT,IPv6隧道,6PE IPv6路由: IPv6静态路由 动态路由协议:RIPng,OSPFv3,IS-ISv6,BGP4+ 组播路由协议:MLD,PIM-DM,PIM-SM,PIM-SSM 端PPPoE Client-Server,PORTAL,802.1x 口安全 网络协议 网络安全性 可靠性 QOS 语音 可维护性 AALocal认证,Radius,HWTacacs A 防ASPF,ACL,FILTER 火墙 数硬件加密引擎(NDE),IKE,IPSec, Portal 据安全 其L2TP,NAT/NAPT,PKI,RSA,SSH v1.5/2.0,SSL,URPF,GRE 他安全技术 支持VRRP,支持备份中心 二层QoS SP LR Port-Based Mirroring Priority Mapping Port Trust Mode,Port Priority FlowControl&Backpressure 流量监管 支持CAR(Committed Access Rate) 支持LR(Line Rate) 拥塞管理 FIFO、PQ、CQ、WFQ、CBQ、RTPQ 拥塞避免 WRED/RED 流量整形 支持GTS(Generic Traffic Shaping) 其他QOSFR QOS,MPLS QOS,MP QoS/LFI,cRTP/IPHC,ATM QOS 技术 接口 FXS/FXO/E&M E1/T1 信令 R2,DSS1,Q.sig,Digital E&M H.323 H.225,H.245 GK Client GK Client SIP SIP Codec G.711A law,G.711U law,G.723R53,G.723R63 ,G.729a,G.729R8 Media ProRTP/cRTP,IPHC,Voice Backup cess FAX FAX 其它 语音RADIUS 网络管理 SNMP V1/V2c/V3,MIB,SYSLOG,RMON 本地管理 命令行管理,文件系统管理,auto-config,Dual Image 用户接入支持console口登录,支持AUX口登录,支持TTY口登录,支持tel管理 net(VTY)登录,支持SSH登录,支持FTP登录,支持X25 PAD登录,XMODEM 产品概述MSR(Multiple Services Routers)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR系列的硬件模块与软件功能,为客户提供了最为经济的网络升级方案。MSR产品包括MSR 50、MSR 30和MSR 20三个系列。H3C MSR 50系列多业务开放路由器包含MSR 50-40和MSR 50-60两款设备,这两款设备均提供两种不同性能引擎的主控板以满足不同性能需求的多业务并发应用。该系列产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。MSR 50在提供高质量数据业务转发的同时,还提供了强大而灵活的VoIP解决方案,客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话,降低网络运维成本。另外,MSR 50系列路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。MSR 50系列产品采用H3C成熟商用的软件操作系统,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLS VPN业务的能力。MSR50采用OAA(Open Application Architecture)开放应用体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。MSR50系列路由器还通过OAA架构提供基于路由器的统一通信功能,为用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化
核心交换机:华为S9303 产品报价:17280—34000(元)
交换机类型 应用层级 传输速率 端口结构 交换方式 背板带宽 包转发率 VLAN支持 QOS支持 网管支持 MAC地址表 模块化插槽数 电源 路由交换机 三层 10Mbps/100Mbps/1000Mbps 模块化 存储-转发 1.2Tbps 540MPPS 支持 支持 支持 16K 8 DC:–38.4V~–72V;AC:90V~264V;典型功耗:<180W;整机供电能力:350W 442*476*175 15 尺寸(mm) 重量(Kg)
Quid way® S9300系列T比特路由交换机是华为公司面向以业务为核心的网络架构而推出的新一代高端以太汇聚交换机。该产品基于华为公司智能多层交换的技术理念,在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上,进一步提供业务流分析、完善的QOS策略、可控组播等智能业务优化手段,同时
具备超强扩展性和可靠性,广泛适用于运营商IP城域网,企业广域网/城域网,企业出口/核心/汇聚,高密度千兆桌面接入,以及数据中心,帮助电信运营商和企业构建面向业务的网络平台,提供交换路由一体化的端到端融合网络服务。
S9300系列提供4插槽、8插槽、14插槽三种产品形态,支持不断扩展的交换能力和端口密度。整个系列秉承模块通用化、部件归一化的设计理念,最小化备件成本,在保证设备扩展性的同时最大限度地保护用户投资。此外,S9300作为新一代智能交换机采用了多项绿色节能创新技术,不断提升性能及稳定性的同时,大幅降低设备能源消耗,减小噪声污染,为网络绿色可持续发展提供领先的解决方案。
接入层交换机:华为Quid way 产品报价:7080(元)
交换机类型:万兆核心路由交换机 传输速率:10/100/1000/10000Mbps 交换方式:存储-转发 背板带宽:1800Gbps 包转发率:432Mpps VLAN功能:支持 网络标准:802.1P, IEEE 802.2, IEEE 802.3 网络协议:STP/RSTP/MS...
无线AP:TL-WA501G+ 产品报价:270—350 (元)
无线AP工作方式 网络标准 传输速率 无线 IEEE 802.11g/b, IEEE 802.3/802.3u 54,48,36,24,18,12,9,6,5.5,2,1Mbps 频率范围 信道 展频技术 调制技术 接收灵敏度 2.4 - 2.4835GHz 13 DSSS OFDM/ DBPSK/ DQPSK/ CCK 54M: -68dBm@10%PER 11M: -85dBm@8% PER 6M: -88dBm@10% PER 1M: -90dBm@8% PER 256K: -105dBm@8% PER (典型值) 传输距离 天线类型 端口类型 电源电压 状态指示灯 室内最远200米, 室外最远830米( 因环境而异) 可拆卸全向天线 4dBi 1个10/100M自适应RJ45端口(支持自动翻转) 9V - 0.8A , 50Hz LAN(有线网络状态); Power(电源), WLAN(无线网络连接状态) 颜色 尺寸 银白色 165×108×28mm
TL-WA501G+是TP-LINK公司旗下的一款高性价比的无线AP,提供全中文Web配置界面,可以通过Web浏览器方便的对TL-WA501G+进行访问和控制,配置直观、简单、快捷。还可以通过Web界面对TL-WA501G+进行在线软件升级,以适应将来更高层次和更新要求。
H3C secpath 产品报价:14000—165000(元)
基本规格 防火墙类型 VPN支持 主要功能 企业级防火墙 支持 增强形状态安全过滤,抗攻击防范能力,应用层内容过滤, 多种安全认证服务,集中管理与审计,全面NAT应用支持,专业灵活的VPN服务,智能网络集成及Quos保证,电信级设备高可靠性,智能 图形化的管理 支持标准网管 SNMPv3,并且兼容SNMP v2c、SNMP v1,支持NTP时间同步,支持Web方式进行远程配置管理,支持Quid view BIMS系统进行设备管理,支持Quid view VPN Manager系统进行VPN业务管理和监控,命令行接口 1个配置口(CON),1个备份口(AUX),7FE,1个MIM插槽,F:16MB,ddr SDRAM:256MB Dos,DDoS CE, FCC Console口 100-240V ;50/60Hz,DC:直流主机:-48V--60V 22W 4kg 420 330 44 0 - 45 网络 网络管理 端口类型 安全性 入侵检测 安全标准 端口参数 电气规格 外观参数 控制端口 电源电压 电源功率 产品重量 长度(mm) 宽度(mm) 高度(mm) 环境参工作温度 数 工作湿度 存储温度 存储湿度
10~95%(不结露) -20 - 70℃ 10~95%(不结露) 支持标准网管SNMPv3, 并且兼容SNMP v2c, SNMP v1, 支持NTP时间同步, 支持Web方式进行远程配置管理, 支持Quid view BIMS系统进行设备管理, 支持Quid view VPN Manager系统进行VPN业务管理和监控, 命令行接口等
正睿I143738S 产品报价:4999(元)
基本参数 服务器级别 服务器类型 主要性能 主板芯片组 CPU个数 最大CPU个数 CPU类型 处理器 标称主频 二级缓存 总线规格 多核运算 内存 内存容量 内存描述 内存扩展 存储 硬盘容量 硬盘类型 存储控制 RAID阵列模式 光驱 网络 网络控制器 电源 电源功率 电源数量 部门级 塔式 Intel S3200 1颗 1颗 Intel Xeon X3320 2.5GHz 6MB 1333MHz 四核 2GB DDR2 8GB 320GB SATA 无 Raid 0, 1, 5, 10 DVD-RW 集成双千兆以太网卡 350W 1 其他 电源类型 散热系统 PCI扩展槽 机身尺寸 随机软件 服务器电源 标配风扇 5 390×185×415mm Server Management
第六章 网络PDS系统设计
1、布线系统总体结构设计
总体两撞建筑,从总部机房用十二芯单模光纤与其他六撞建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,企业园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使企业实现与外界的信息交换和网络通信。公司统一由总部机房的一个出口访问Internet,公司能够控制网络的安全。在服务器和核心交换机间:使用UTP电缆来将服务器连接到核心交换机。 2、工作区子系统设计
工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性 3、水平子系统设计
水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为树形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。 4、管理子系统设计
管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
5、干线子系统设计
干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。 6、设备间子系统设计
设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组成,把公共
系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。 7、建筑群子系统设计
建筑群子系统是将一栋建筑物内的电缆延伸到建筑群中的另外一些建筑物内的通信设备和装置上,采用光缆布线是目前主要的建筑间布线方式。建筑间的主干光缆采用12芯单模。
第七章 网络存储设计
7.1 存储备份必要性分析
随着计算机管理技术和网络技术的发展,为了提高企业业务管理水平、增强企业市场竞争能力,越来越多的企业开始使用计算机来处理内部日常事务和外部业务往来,从而使得这些企业越来越依赖于系统管理数据和业务信息。尤其是在企业业务不断增加、数据量成倍增长乃至出现数据膨胀现象时,由此引发的企业从数据膨胀、到计算机性能提高、再导致新一轮数据膨胀的循环不断加剧,进而在企业中引起新的数据安全恐慌,数据失效问题时有发生。
数据失效主要分为两种:一种是被称为物理损坏(Physical Damage)的、造成数据无法使用的数据失效;一种是被称为逻辑损坏(Logical Damage)的、数据仍可部分使用的、数据之间关系出错的数据失效。相比起来,后者所引起的数据混乱往往要比前者产生的后果更为严重。这是因为逻辑损坏不易被用户发现、且潜伏期长,一旦发现数据有错时,系统可能已经无法挽回了。当然,物理损坏也并非儿戏,其后果虽然是局部的,但必竟会引起系统混乱,直接导致局部瘫痪。
7.2 基于HP SERVER 的数据存储与备份方案 7.2.1 用户需求
由于数据备份所占有的重要地位,它已经成为计算机领域里相对独立的分支机构。一般来说,各种操作系统所附带的备份程序都有着这样或那样的缺陷,所以若想对数据进行可靠的备份,必须选择专门的备份软、硬件,并制定相应的备份及户恢复方案。在发达国家几乎每一个网络都会配置专用的外部存储设备,
而这些设备也确实在不少灾难性的数据丢失事故中发挥了扭转乾坤的作用。
计算机界往往会用服务器和数据备份设备(如磁带机)的连接率,即一百台服务器中有多少配置了数据备份设备,来做为评价备份普及程度和对网络数据安全程度的一个重要衡量指标。如果每一台服务器或每一个局域网络都配置了数据备份设备以及相应的备份软件,那么无论网络硬件还是软件出了问题,都能够很轻松地恢复。
7.2.2 方案设计
该数据备份/恢复系统采用了硬件与软件相结合的方式,从而实现了数据备份的自动化与智能灾难恢复。
1、 硬件设备选择
在此系统中,建议采用Quantum DLT 4108 或 HP 24GB*6e 自动加载机作为备份设备。 设备的主要性能指标如下: Quantum DLT 4108 自动加载机 驱动器 Quantum DLT 4000 驱动器 驱动器数量 1 槽位 8 本机容量(压缩后)* 160GB (320 GB) 数据传输率(压缩后) 1。5MB/sec (3.0 MB/sec) HP DAT 24GB*6e 自动加载磁带机 驱动器 HP DAT 24GB 驱动器数量 1 记录格式 DDS-3 本机容量(压缩后)* 72 GB (144 GB) 数据传输率(压缩后) 1 MB/sec (2 MB/sec) 2、 备份软件选择
采用美国 VERITAS 公司的 Backup Exec备份软件。包括以下选件: VERITAS Backup Exec for winNT, Multi – server Edition VERITAS Backup Exec for winNT, Oracle Agent VERITAS Backup Exec for winNT, Lotus Notes Agent VERITAS Backup Exec for winNT, Open files Option
VERITAS Backup Exec for winNT, Intelligent Disaster Recovery Option
VERITAS Backup Exec for winNT, Autoloader Option
各选件的主要功能为: ◆ VERITAS Backup Exec for winNT , Multi – server Edition
采用COM技术,与微软产品 100% 兼容。
设定备份时间和备份方式,就可以在指定时间到来时自动备份该服务器和网络中其他客户机内的数据,并在备份结束后或由于某种原因使备份中断时拨打指定手机或寻呼机号码通知系统管理员。独有的工作集备份,使恢复工作更快更有效。 集成的防病毒功能:在备份前对数据预扫描,发现病毒并进行清除。由于新的病毒不断出现,VERITAS Backup Exec 每30 天自动提醒您更新病毒特征文件,并通过因特网很容易地实现更新。
独有的中文版界面和向导功能使系统管理员更易操作。
◆ VERITAS Backup Exec for winNT, Oracle Agent 实现对Oracle 数据库的全面保护。
Veritas Backup Exec for winNT, Lotus Notes Agent
实现对Lotus Notes Agent数据库的全面保护。
◆ VERITAS Backup Exec for winNT , Open file Option 此选件确保即使文件打开时,也能对其进行备份。由于此用户网络24小时都处于运行状态,有很多文件经常处于打开状态,为了保证将这一部份文件完整地备份下来,需要选择此选件。
◆ VERITAS Backup Exec for winNT , Intelligent Disaster Recovery Option 智能灾难恢复选件
使用这个选件,可迅速将服务器恢复到最近一次备份时的状态,恢复操作
系统配置、用户资料,更新信息、应用程序和数据。VERITAS的 IDR不同于其他灾难恢复产品的独到之处在于,IDR可以恢复到最近一次增量或差量备份,而不是只能恢复到最近一次完全的备份。所以,系统和数据都可以恢复到其他产品无法做到的最接近灾难发生时刻的状态,并且恢复的过程所需的时间也较少。Veritas的 IDR 还提供了简单而灵活的方法,可在恢复过程中修改系统配置,例如容错等级、磁盘镜像、磁盘卷标等定制配置。
◆ VERITAS Backup Exec for winNT , Autoloader Option 自动加载器模块为 Windows NT版Backup Exec提供单驱动器和多驱动器自动加载器支持。通过这个附加模块可以从自动加载器获得很大的益处,包括具有条形码阅读器和舱门的设备。
7.3 备份工作实现自动化
通过采用软件与硬件结合的备份方式,可以实现备份工作的自动化。只需设定各种备份参数(如备份时间、备份内容、磁带覆盖方式、病毒扫描登),就可以在指定时间到来时自动启动备份进程。
自动加载机的使用,更避免了每天更换磁带,通过制订相关的备份策略,可以实现每周至每月更换一次磁带。
7.4 实现跨平台备份
备份软件实现了跨平台备份,可以备份 Windows NT、Windows95/98、HP/UX、SunOS、UnixWare、Solaris、IBM AIX、SCO UNIX 等的数据。 ◆
提供了良好的管理功能
利用备份软件可以根据用户的需要制订灵活的管理策略,如可以设置每周一至周四进行增量或差量备份,以减少备份时间和磁带使用量,每周五进行全备份。同时备份服务器对备份客户、备份介质、备份策略等进行里有效的管理,一
旦出现系统错误会通过电话、传呼、发送E-mail等方式通知系统管理员,保证备份工作有效、可靠的进行。 ◆
智能灾难恢复功能
备份的目的是为了在故障时进行恢复。本备份系统配有灾难恢复选件(Disaster Recovery Option),可实现系统的快速恢复,大大减少从发现故障到完全恢复系统的时间(通常只需几十分钟就可以实现对整个NT系统的恢复)
要实现灾难恢复,只要事先为系统生成四张软盘,并进行一次全备份。这四张软盘包括了NT启动程序,服务器各硬件的驱动程序,以及从磁带中恢复数据的程序。当服务器损坏时,先恢复硬件,连好磁带机,放进最近的全备份磁带和增量备份磁带,用灾难恢复盘启动系统,再插入操作系统光盘,就可以顺利地恢复服务器
第八章 网络安全设计
8.1概要安全风险分析
针对C公司现阶段网络系统的网络结构,结合C公司今后进行的网络化应用范围的拓展考虑,C公司网络主要的安全威胁和安全漏洞包括以下几方面:
1. 完整性破坏 2.其它网络的攻击
3.管理及操作人员缺乏安全知识 4.雷击等
8.2实际安全风险分析 1.完整性破坏
这种威胁主要指信息在传输过程中或者存储期间被篡改或修改,使得信息/数据失去了原有的真实性,从而变得不可用或造成广泛的负面影响。由于云南爱因森软件职业学院校园网内有许多重要信息,因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文件进行修改或传达一些虚假信息,从而影响工作的正常进行。
2.其它网络的攻击
C公司的内网网络系统是接入到INTERNET上的,这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。
3.管理及操作人员缺乏安全知识
由于信息和网络技术发展迅猛,信息的应用和安全技术相对滞后,用户在引入和采用安全设备和系统时,缺乏全面和深入的培训和学习,对信息安全的重要性与技术认识不足,很容易使安全设备/系统成为摆设,不能使其发挥正确的作用。如本来对某些通信和操作需要限制,为了方便,设置成全开放状态等等,从而出现网络漏洞。由于网络安全产品的技术含量大,因此,对操作管理人员的培训显得尤为重要。这样,使安全设备能够尽量发挥其作用,避免使用上的漏洞。
4.雷击
由于网络系统中涉及很多的网络设备、终端、线路等,而这些都是通过通信电缆进行传输,因此极易受到雷击,造成连锁反应,使整个网络瘫痪,设备损坏,造成严重后果。因此,为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏,有必要对整个网络系统采取相应的防雷措施。
8.3 网络系统的安全原则
公司的网络系统安全建设原则为: 1.系统性原则
整个安全系统的建设要有系统性和适应性,不因网络和应用技术的发展、信息系统攻防技术的深化和演变、系统升级和配置的变化,而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。
2.技术先进性原则
整个安全系统的设计采用先进的安全体系进行结构性设计,选用先进、成熟的安全技术和设备,实施中采用先进可靠的工艺和技术,提高系统运行的可靠性和稳定性。
3.管理可控性原则
系统的所有安全设备(管理、维护和配置)都应自主可控;系统安全设备的采购必须有严格的手续;安全设备必须有相应机构的认证或许可标记;安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。
4.适度安全性原则
系统安全方案应充分考虑保护对象的价值与保护成本之间的平衡性,在允许的风险范围内尽量减少安全服务的规模和复杂性,使之具有可操作性,避免超出用户所能理解的范围,变得很难执行或无法执行。
5.技术与管理相结合原则
公司的网络系统安全建设是一个复杂的系统工程,它包括产品、过程和人的因素,因此它的安全解决方案,单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
6.系统可伸缩性原则
公司的网络系统将随着网络和应用技术的发展而发生变化,同时信息安全技术也在发展,因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。
8.4安全产品
针对该公司的网络安全建设需要,本方案中主要的安全产品见下表: 产品名称 主要作用 SVPN系统 防病毒系统 入侵检测仪 漏洞分析传输加密保护、网络隔离。 病毒防护。 网络入侵行为检测,并对攻击行为做出阻隔、记录、报警。 定期对网络系统的软、硬件漏洞进行分析,便于调整网络仪 安全设置。 网络隔离用于在两套网络见进行切换。保证物理安全。 卡 信号避雷用于网络防雷。 器 安全的实施
根据公司的网络现状及发展趋势,主要安全措施从以下几个方面进行考虑: 1.网络传输保护 主要是数据加密保护 2.主要网络安全隔离 通用措施是采用防火墙 3.网络病毒防护 采用网络防病毒系统
4.外网接入部分的入侵检测 采用入侵检测系统 5.系统漏洞分析 采用漏洞分析设备 6.重要数据的备份
7.重要信息点的防电磁泄露 8.网络安全结构的可伸缩性
包括安全设备的可伸缩性,即能根据用户的需要随时进行规模、功能扩展 9.网络防雷 8.5风险评估
INTERNET本身就缺乏有效的安全保护,如果不采取相应的安全措施,易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改,产生严重的后果。
连接外网必定会受到来自INTERNET上许多非法用户的攻击和访问,如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等,因此,采取相应的安全措施是必不可少的。通常,对网络的访问控制是相对比较有效。
控制外部合法用户对内部网络的网络访问; 控制外部合法用户对服务器的访问; 禁止外部非法用户对内部网络的访问; 控制内部用户对外部网络的网络; 阻止外部用户对内部的网络攻击; 防止内部主机的IP欺骗;
对外隐藏内部IP地址和网络拓扑结构; 网络监控; 网络日志审计;
入侵检测、漏洞扫描等也是必要的。 8.6安全服务 1.系统平台安全
针对通用OS的安全问题,对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强,应加强监控管理。
2.应用平台安全
网络系统的应用平台安全,一方面涉及用户进入系统的身份鉴别与控制,以及使用网络资源的权限管理和访问控制,对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时,应当尽量选择国内软件开发商进行开发,系统类型也应当尽量采用国内自主开发的应用
3.病毒防护
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应地企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中所有可能的病毒攻击设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络没有薄弱环节成为病毒入侵的缺口。 8.7网络维护
8.7.1 防护能力是静态的
传统防御完全依靠网络管理员对设备的人工配置来实现,难以应对当前越来越多的、技术手段越来越高的网络入侵事件;
8.7.2 防护具有很大的被动性
采用传统的防御技术只能被动地接受入侵者的每一次攻击,而不能对入侵者实施任何影响;
8.7.3 不能识别新的网络攻击
传统防御技术大多都依靠基于特征库的检测技术,这就使网络防御始终落后于网络攻击,难以从根本上解决网络安全问题。
网络维护的实现
主动防御是一种前摄性防御,由于一些防御措施的实施,使攻击者无法完成对目标的攻击,或者使系统能够在无需人为被动响应的情况下预防安全事件。作为一种新的对抗网络攻击的技术,其优势主要体现在以下几个方面:
1. 主动防御可以预测未来的攻击形势,检测未知的攻击,从根本上改变了以往防御落后于攻击的不利局面;
2. 具有自学习的功能,可以实现对网络安全防御系统进行动态的加固; 3.主动防御系统能够对网络进行监控,对检测到的网络攻击进行实时的响应。
因篇幅问题不能全部显示,请点此查看更多更全内容