序論：在您撰寫企業(yè)網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)時(shí)，參考他人的優(yōu)秀作品可以開闊視野，小編為您整理的7篇范文，希望這些建議能夠激發(fā)您的創(chuàng)作熱情，引導(dǎo)您走向新的創(chuàng)作高度。

第1篇

關(guān)鍵詞：網(wǎng)絡(luò)系統(tǒng)集成 企業(yè)網(wǎng)絡(luò)應(yīng)用 系統(tǒng)集成設(shè)計(jì) 企業(yè)網(wǎng)絡(luò)搭建

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）12-0039-01

1 總體設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)系統(tǒng)集成環(huán)境可采用星型結(jié)構(gòu)搭建，采用交換機(jī)作為網(wǎng)絡(luò)中心節(jié)點(diǎn)建立核心層和接入層網(wǎng)絡(luò)體系結(jié)構(gòu)，使用兩臺(tái)交換機(jī)采用雙鏈路匯聚技術(shù)提高企業(yè)網(wǎng)絡(luò)訪問速度和對(duì)用戶的管理。在設(shè)計(jì)中為企業(yè)搭建WEB和FTP雙服務(wù)器，WEB服務(wù)器提供網(wǎng)絡(luò)資源訪問，F(xiàn)TP服務(wù)器提供信息及數(shù)據(jù)的傳輸。

企業(yè)網(wǎng)絡(luò)系統(tǒng)集成進(jìn)行VLAN規(guī)劃，本文以500臺(tái)計(jì)算機(jī)容量網(wǎng)絡(luò)規(guī)劃為例進(jìn)行VLAN規(guī)劃，根據(jù)企業(yè)部門劃分為多個(gè)VLAN網(wǎng)段并對(duì)應(yīng)IP號(hào)段，便于便于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的分配和管理。

2 網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)

2.1 IP及端口劃分與分配

IP地址規(guī)劃是為了區(qū)分企業(yè)內(nèi)部的客戶端機(jī)器，便于管理員對(duì)不同客戶端進(jìn)行管理。IP地址劃分采用192.0.0.0-223.255.255.255，標(biāo)誰的子網(wǎng)掩碼是255.255.255.0。對(duì)于擁有500臺(tái)計(jì)算機(jī)的企業(yè)，一個(gè)標(biāo)準(zhǔn)的IP號(hào)段無法滿足應(yīng)用需求，因此，可采用CIDR理論，建立多號(hào)段IP進(jìn)行管理，譬如：192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.0/24。

2.2 交換機(jī)與路由器配置

SW1核心交換機(jī)連接1000Mb/S的光纖，搭建FTP服務(wù)器（IP：92.168.0.0/24）和web服務(wù)器（IP：92.168.1.0/24），可有管理員核交換機(jī)進(jìn)行管理。

SW2模塊化匯聚交換機(jī)以100Mb/s雙絞線水平布線連接路由器，使各部門的計(jì)算機(jī)可以100Mb/s網(wǎng)速連接互聯(lián)網(wǎng)。

2.3 無線配置

可利用VLAN技術(shù)劃分出無線用戶使用區(qū)，并對(duì)無線AP配置SSID。無線配置可在路由器端采用WEB加密技術(shù)設(shè)置WPA2加密管理，并設(shè)置IP使用范圍。

3 服務(wù)器設(shè)計(jì)與實(shí)現(xiàn)

3.1 DNS服務(wù)器

DNS（Domain Name System）域名系統(tǒng)可以建立層次結(jié)構(gòu)的網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。在企業(yè)局域網(wǎng)中用戶可通過命名定位計(jì)算機(jī)，便于數(shù)據(jù)的共享。可將局域網(wǎng)中的域名解析為IP地址配置DNS服務(wù)器，建立域名與IP之間的映射表。如映射IP：92.168.0.0/24。

3.2 WEB服務(wù)器

以Windows 系統(tǒng)搭建WEB服務(wù)器，采用IIS（Internet Information Service）信息服務(wù)進(jìn)行管理與維護(hù)，搭建步驟為：打開IIS管理器，找到側(cè)欄“網(wǎng)站”選項(xiàng)右鍵“新建網(wǎng)站”，之后根據(jù)創(chuàng)建向?qū)瓿蓜?chuàng)建。

3.3 FTP服務(wù)器

FTP服務(wù)器是為企業(yè)數(shù)據(jù)上傳和下載的網(wǎng)絡(luò)空間，在FTP服務(wù)器上企I員工可以將個(gè)人的工作文件上傳到服務(wù)器上共享。搭建FTP服務(wù)器需要在Internet信息服務(wù)器（IIS）管理器中建立FTP站點(diǎn)，并添加上傳（upload）和下載（download）用戶，對(duì)服務(wù)器中的存儲(chǔ)空間配置文件夾權(quán)限，并指定用戶操作權(quán)限。

4 網(wǎng)絡(luò)機(jī)房規(guī)劃

網(wǎng)絡(luò)機(jī)房主要功能是對(duì)企業(yè)的總體網(wǎng)絡(luò)應(yīng)用進(jìn)行管理，分配不同功能區(qū)網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)企業(yè)網(wǎng)絡(luò)應(yīng)用安全進(jìn)行管理。在機(jī)房設(shè)計(jì)中，我們以標(biāo)準(zhǔn)機(jī)柜為建設(shè)對(duì)象，將交換機(jī)、路由器、硬件防火墻等統(tǒng)一安裝在一個(gè)大型的立式標(biāo)準(zhǔn)機(jī)柜中，由此加強(qiáng)對(duì)設(shè)備的統(tǒng)一管理。在企業(yè)網(wǎng)絡(luò)機(jī)房機(jī)柜布局上采用將綜合布線機(jī)柜、網(wǎng)絡(luò)機(jī)柜和服務(wù)器機(jī)柜按照管理層次進(jìn)行規(guī)范化布局。其中綜合布線機(jī)柜與網(wǎng)絡(luò)機(jī)柜相鄰安置，這樣方便我們進(jìn)行調(diào)線操作，可控制網(wǎng)絡(luò)用戶的分配。每個(gè)機(jī)柜在安裝設(shè)備時(shí)應(yīng)留有一定空間，便于設(shè)備進(jìn)行升級(jí)和擴(kuò)充。

網(wǎng)絡(luò)機(jī)房是企業(yè)安全防范的重地，在機(jī)房環(huán)境的建設(shè)中，要充分考慮機(jī)房環(huán)境對(duì)設(shè)備所產(chǎn)生的影響，其中包括：機(jī)房的通風(fēng)能力、機(jī)房防靜電能力、機(jī)房抗雷電能力等，此外，機(jī)房涉及企業(yè)重要數(shù)據(jù)，為防止企業(yè)數(shù)據(jù)丟失，非工作人員不得進(jìn)入網(wǎng)絡(luò)機(jī)房。

機(jī)房環(huán)境中的設(shè)備及材料主要包括：空調(diào)、UPS電源、配電箱、全鋼防靜電地板等。為防止雷電給機(jī)房設(shè)備造成傷害，設(shè)置網(wǎng)絡(luò)機(jī)房接地系統(tǒng)，防止企業(yè)計(jì)算機(jī)受到雷電干擾導(dǎo)致設(shè)備受損。其主要結(jié)構(gòu)為紫銅總匯集排ATK008，規(guī)格：300mm×40mm×4mm，以保證地電位分布均勻，直流和交流工作接地。

在企業(yè)網(wǎng)絡(luò)機(jī)房中，設(shè)置消防安全系統(tǒng)，機(jī)房內(nèi)安裝溫感探測器、煙感探測器和FM200氣體滅火系統(tǒng)。FM200氣體滅火系統(tǒng)設(shè)在機(jī)房外，為管網(wǎng)式結(jié)構(gòu)，在天花吊頂層朝下設(shè)置噴嘴，當(dāng)遇到火情時(shí)，全方位立體式滅火。

第2篇

【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計(jì)

一、企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全需求

（一）企業(yè)網(wǎng)絡(luò)信息安全威脅分析

大部分企業(yè)在網(wǎng)絡(luò)信息安全封面均有一些必要措施，因?yàn)榫W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)部署不是一成不變的，因此還會(huì)面臨一些安全威脅，總結(jié)如下：

（1）監(jiān)控手段不足：企業(yè)員工有可能將沒有經(jīng)過企業(yè)注冊(cè)的終端引入企業(yè)網(wǎng)絡(luò)，也有可能使用存在安全漏洞的軟件產(chǎn)品，對(duì)網(wǎng)絡(luò)安全造成威脅。

（2）數(shù)據(jù)明文傳輸：在企業(yè)網(wǎng)絡(luò)中，不少數(shù)據(jù)都未加密，以明文的方式傳輸，外界可以通過網(wǎng)絡(luò)監(jiān)聽、掃描竊取到企業(yè)的保密信息或關(guān)鍵數(shù)據(jù)。

（3）訪問控制不足：企業(yè)信息系統(tǒng)由于對(duì)訪問控制重要性的忽視，加之成本因素，往往不配備認(rèn)證服務(wù)器，各類網(wǎng)絡(luò)設(shè)備的口令也沒有進(jìn)行權(quán)限的分組。

（4）網(wǎng)間隔離不足：企業(yè)內(nèi)部網(wǎng)絡(luò)往往具有較為復(fù)雜的拓?fù)浣Y(jié)構(gòu)，下屬機(jī)構(gòu)多，用戶數(shù)量多。但網(wǎng)絡(luò)隔離僅僅依靠交換機(jī)和路由器來實(shí)現(xiàn)，使企業(yè)受到安全威脅。

（二）企業(yè)網(wǎng)絡(luò)信息安全需求分析

企業(yè)信息系統(tǒng)中，不同的對(duì)象具備不同的安全需求：

（1）企業(yè)核心數(shù)據(jù)庫：必須能夠保證數(shù)據(jù)的可靠性和完整性，禁止沒有經(jīng)過授權(quán)的用戶非法訪問，能夠避免各種攻擊帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

（2）企業(yè)應(yīng)用服務(wù)器：重要數(shù)據(jù)得到有效保護(hù)，禁止沒有經(jīng)過授權(quán)的用戶非法訪問，能夠避免各種攻擊帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)。

（3）企業(yè)web服務(wù)器：能夠有效避免非法用戶篡改數(shù)據(jù)，能夠及時(shí)發(fā)現(xiàn)并清除木馬及惡意代碼，禁止沒有經(jīng)過授權(quán)的用戶非法訪問。

（4）企業(yè)郵件服務(wù)器：能夠識(shí)別并拒絕垃圾郵件，能夠及時(shí)發(fā)現(xiàn)并清除木馬及蠕蟲。

（5）企業(yè)用戶終端：防止惡意病毒的植入，防止非法連接，防止未被授權(quán)的訪問行為。

二、企業(yè)網(wǎng)絡(luò)安全策略設(shè)計(jì)與實(shí)現(xiàn)

企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的，既有管理安全，也有技術(shù)安全，既有物理安全策略，也有網(wǎng)絡(luò)安全策略。結(jié)合上文的安全分析與安全需求，企業(yè)網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)科學(xué)的安全管理模式，結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對(duì)整體網(wǎng)絡(luò)進(jìn)行有效分區(qū)，可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū)，并部署入侵檢測系統(tǒng)與防火墻系統(tǒng)，對(duì)內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進(jìn)行阻斷。

在此基礎(chǔ)上，本文著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略：

（一）企業(yè)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備安全策略

隨著網(wǎng)絡(luò)安全形勢的日趨嚴(yán)峻，不斷有新的攻擊手段被發(fā)現(xiàn)，而這些手段的攻擊目標(biāo)也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機(jī)、路由器等硬件設(shè)施。而交換機(jī)與路由器屬于網(wǎng)絡(luò)核心層的重點(diǎn)設(shè)備，如果這些設(shè)備退出服務(wù)，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會(huì)面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。

最大化地關(guān)閉網(wǎng)絡(luò)交換機(jī)上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉，舉例來講：交換機(jī)的鄰居發(fā)現(xiàn)服務(wù)CDP，其功能是辨認(rèn)一個(gè)網(wǎng)絡(luò)端口連接到哪一個(gè)另外的網(wǎng)絡(luò)端口，鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息，包括交換機(jī)端口與用戶終端的IP信息，網(wǎng)絡(luò)交換機(jī)的型號(hào)與版本信息，本地虛擬局域網(wǎng)屬性等。因此，本文建議在不常使用此服務(wù)的情況下，應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外，一些同樣不常使用的服務(wù)，包括交換機(jī)自舉服務(wù)、文件傳輸服務(wù)、簡單文件傳輸服務(wù)、網(wǎng)絡(luò)時(shí)間同步服務(wù)、查詢用戶情況服務(wù)、簡單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、ARP服務(wù)等等。

企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實(shí)現(xiàn)對(duì)全網(wǎng)所有交換機(jī)、路由器的配置與管理。眾所周知，此協(xié)議使用的是明文傳輸模式，因此在信息安全方面不輸于非常可靠的協(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼，以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中，應(yīng)引入安全性能更高的協(xié)議，本文推薦SSH（Secure Shell Client）協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個(gè)應(yīng)該得到重視的問題，VTP應(yīng)配置強(qiáng)口令。

（二）企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略

由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機(jī)在接入層連入網(wǎng)絡(luò)，而網(wǎng)絡(luò)交換機(jī)屬于工作在ISO第二層的設(shè)備，當(dāng)前有不少以第二層為目標(biāo)的非法攻擊行為，為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。

二層網(wǎng)絡(luò)交換機(jī)使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機(jī)加點(diǎn)之后，首選會(huì)清空CAM 表，并立即啟動(dòng)數(shù)據(jù)幀源地址學(xué)習(xí)，并將這些信息存入交換機(jī)CAM表中。這時(shí)候，加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu)，便很容易導(dǎo)致網(wǎng)絡(luò)交換機(jī)CAM表溢出，服務(wù)失效。而此時(shí)便會(huì)導(dǎo)致該MAC的流量向交換機(jī)其他端口轉(zhuǎn)發(fā)，為非法入侵者提供網(wǎng)絡(luò)竊聽的機(jī)會(huì)，很容易造成攻擊風(fēng)險(xiǎn)。本文所推薦的策略是：網(wǎng)絡(luò)交換機(jī)的端口安全維護(hù)應(yīng)隨時(shí)打開；在交換機(jī)配置中設(shè)置其學(xué)習(xí)MAC地址的最大數(shù)目為1；設(shè)置網(wǎng)絡(luò)交換機(jī)能夠存儲(chǔ)其學(xué)習(xí)到的全部MAC地址；一旦網(wǎng)絡(luò)交換機(jī)的安全保護(hù)被觸發(fā)，則丟棄全部MAC 地址的流量，發(fā)送告警信息。對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行以上的配置，一方面能夠防止基于交換機(jī)MAC地址的泛洪攻擊，另一方面也能對(duì)網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎(chǔ)上，還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網(wǎng)絡(luò)交換機(jī)不必向所有端口廣播未知幀，因此可以對(duì)未知幀進(jìn)行阻止，增強(qiáng)網(wǎng)絡(luò)交換機(jī)安全性。

（三）企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護(hù)策略

一般情況下，企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)拓?fù)涞闹危驗(yàn)榭紤]到交換機(jī)通道的溝通，加之系統(tǒng)冷、熱備份的出發(fā)點(diǎn)，在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的，這就容易引發(fā)多個(gè)幀副本的出現(xiàn)，甚至引起基于第二層的數(shù)據(jù)包廣播風(fēng)暴，為了避免此種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機(jī)共享的BPDU信息。這就為一些攻擊者提供了機(jī)會(huì)，通過假冒優(yōu)先級(jí)低的BPDU數(shù)據(jù)包，攻擊者向二層網(wǎng)絡(luò)交換機(jī)發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效，就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息。可以采用的防范措施為：在二層網(wǎng)絡(luò)交換機(jī)啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對(duì)BPDU數(shù)據(jù)包不進(jìn)行任何處理，加入收到此種類型的數(shù)據(jù)包，該端口將會(huì)自動(dòng)設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上，在根交換機(jī)上引入鏈路監(jiān)控體系。一旦該交換機(jī)設(shè)備檢測到優(yōu)先級(jí)更高的 BPDU數(shù)據(jù)包，則發(fā)出“失效”的消息，及時(shí)阻塞端口。

（四）企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護(hù)策略

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，往往有著大量的終端機(jī)，出于安全性與可靠性的考慮，這些終端機(jī)均以動(dòng)態(tài)主機(jī)設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機(jī)會(huì)。在這種攻擊中，非法入侵者會(huì)將自身假冒動(dòng)態(tài)主機(jī)設(shè)置協(xié)議服務(wù)器，同時(shí)向用戶主機(jī)發(fā)出假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，導(dǎo)致用戶無法獲取真實(shí)IP，不能聯(lián)網(wǎng)。可以采用的防范措施為：引入動(dòng)態(tài)主機(jī)設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機(jī)上安裝Snooping模塊并激活，系統(tǒng)便會(huì)把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，從而防止Spoof 攻擊帶來的風(fēng)險(xiǎn)。

考慮到地址解析協(xié)議在安全方面的防范性不足，加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包，便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù)，除去靜態(tài)綁定IP與MAC之外，本文推薦動(dòng)態(tài)ARP監(jiān)測策略。此種策略會(huì)將交換機(jī)全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下，端口將無法發(fā)出ARP的響應(yīng)，因此，黨用戶主機(jī)染毒時(shí)，其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄，系統(tǒng)安全得到了保障。

三、結(jié)束語

企業(yè)信息系統(tǒng)亟需一個(gè)整體性的解決方案與安全策略。本研究在闡述企業(yè)整體信息安全威脅與需求的基礎(chǔ)上，總結(jié)了企業(yè)網(wǎng)絡(luò)常見的安全問題，結(jié)合這些問題進(jìn)行了信息安全策略設(shè)計(jì)，并從網(wǎng)絡(luò)設(shè)備防護(hù)策略、端口安全策略、BPDU 防護(hù)策略、Spoof 攻擊防護(hù)策略四個(gè)方面對(duì)企業(yè)信息安全實(shí)現(xiàn)方法進(jìn)行了闡述，設(shè)計(jì)了相關(guān)的安全策略。

參考文獻(xiàn)：

[1]劉念，張建華，段斌等.網(wǎng)絡(luò)環(huán)境下變電站自動(dòng)化通信系統(tǒng)脆弱性評(píng)估，電力系統(tǒng)自動(dòng)化，2012，（8）.

[2]王治綱，王曉剛，盧正鼎.多數(shù)據(jù)庫系統(tǒng)中基于角色的訪問控制策略研究.計(jì)算機(jī)工程與科學(xué)，2011，（2）.

[3]楊智君，田地，馬駿曉等.入侵檢測技術(shù)研究綜述.計(jì)算機(jī)工程與設(shè)計(jì)，2010，（12）.

[4]戚宇林，劉文穎，楊以涵等.電力信息的網(wǎng)絡(luò)化傳輸是電力系統(tǒng)安全的重要保證.電網(wǎng)技術(shù)，2009，（9）.

第3篇

關(guān)鍵詞：網(wǎng)絡(luò)安全管理；網(wǎng)絡(luò)安全管理系統(tǒng)；企業(yè)信息安全

中圖分類號(hào)：TP271 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）33-7915-03

計(jì)算機(jī)網(wǎng)絡(luò)是通過互聯(lián)網(wǎng)服務(wù)來為人們提供各種各樣的功能，如果想保證這些服務(wù)的有效提供，一是需要全面完善計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和配置；二是需要有可靠完善的保障體系。可靠完善的保障體系是為了能夠保證網(wǎng)絡(luò)中的信息傳輸、信息處理和信息共享等功能能夠安全進(jìn)行。

1　網(wǎng)絡(luò)安全的定義

網(wǎng)絡(luò)安全問題不但是近些年來網(wǎng)絡(luò)信息安全領(lǐng)域經(jīng)常討論和研究的重要問題，也是現(xiàn)代網(wǎng)絡(luò)信息安全中亟待解決的關(guān)鍵問題。網(wǎng)絡(luò)安全的含義是保證整個(gè)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件和數(shù)據(jù)信息受到有效保護(hù)，不會(huì)因?yàn)榫W(wǎng)絡(luò)意外故障的發(fā)生，或者人為惡意攻擊，病毒入侵而受到破壞，導(dǎo)致重要信息的泄露和丟失，甚至造成整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

網(wǎng)絡(luò)安全的本質(zhì)就是網(wǎng)絡(luò)中信息傳輸、共享、使用的安全，網(wǎng)絡(luò)安全研究領(lǐng)域包括網(wǎng)絡(luò)上信息的完整性、可用性、保密性和真實(shí)性等一系列技術(shù)理論。而網(wǎng)絡(luò)安全是集合了互聯(lián)網(wǎng)技術(shù)、計(jì)算機(jī)科學(xué)技術(shù)、通信技術(shù)、信息安全管理技術(shù)、密碼學(xué)、數(shù)理學(xué)等多種技術(shù)于一體的綜合性學(xué)科。

2　網(wǎng)絡(luò)安全技術(shù)介紹

2.1　安全威脅和防護(hù)措施

網(wǎng)絡(luò)安全威脅指的是具體的人、事、物對(duì)具有合法性、保密性、完整性和可用性造成的威脅和侵害。防護(hù)措施就是對(duì)這些資源進(jìn)行保護(hù)和控制的相關(guān)策略、機(jī)制和過程。

安全威脅可以分為故意安全威脅和偶然安全威脅兩種，而故意安全威脅又可以分為被動(dòng)安全威脅和主動(dòng)安全威脅。被動(dòng)安全威脅包括對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行監(jiān)聽、竊聽等，而不對(duì)這些數(shù)據(jù)進(jìn)行篡改，主動(dòng)安全威脅則是對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)信息進(jìn)行故意篡改等行為。

2.2　網(wǎng)絡(luò)安全管理技術(shù)

目前，網(wǎng)絡(luò)安全管理技術(shù)越來越受到人們的重視，而網(wǎng)絡(luò)安全管理系統(tǒng)也逐漸地應(yīng)用到企事業(yè)單位、政府機(jī)關(guān)和高等院校的各種計(jì)算機(jī)網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)安全管理系統(tǒng)建設(shè)的規(guī)模不斷發(fā)展和擴(kuò)大，網(wǎng)絡(luò)安全防范技術(shù)也得到了迅猛發(fā)展，同時(shí)出現(xiàn)了若干問題，例如網(wǎng)絡(luò)安全管理和設(shè)備配置的協(xié)調(diào)問題、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控問題、網(wǎng)絡(luò)安全預(yù)警響應(yīng)問題，以及網(wǎng)絡(luò)中大量數(shù)據(jù)的安全存儲(chǔ)和使用問題等等。

網(wǎng)絡(luò)安全管理在企業(yè)管理中最初是被作為一個(gè)關(guān)鍵的組成部分，從信息安全管理的方向來看，網(wǎng)絡(luò)安全管理涉及到整個(gè)企業(yè)的策略規(guī)劃和流程、保護(hù)數(shù)據(jù)需要的密碼加密、防火墻設(shè)置、授權(quán)訪問、系統(tǒng)認(rèn)證、數(shù)據(jù)傳輸安全和外界攻擊保護(hù)等等。

在實(shí)際應(yīng)用中，網(wǎng)絡(luò)安全管理并不僅僅是一個(gè)軟件系統(tǒng)，它涵蓋了多種內(nèi)容，包括網(wǎng)絡(luò)安全策略管理、網(wǎng)絡(luò)設(shè)備安全管理、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)控等多個(gè)方面。

2.3　防火墻技術(shù)

互聯(lián)網(wǎng)防火墻結(jié)合了硬件和軟件技術(shù)來防止未授權(quán)的訪問進(jìn)行出入，是一個(gè)控制經(jīng)過防火墻進(jìn)行網(wǎng)絡(luò)活動(dòng)行為和數(shù)據(jù)信息交換的軟件防護(hù)系統(tǒng)，目的是為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)不受到任何侵犯。

防火墻是根據(jù)企業(yè)的網(wǎng)絡(luò)安全管理策略來控制進(jìn)入和流出網(wǎng)絡(luò)的數(shù)據(jù)信息，而且其具有一定程度的抗外界攻擊能力，所以可以作為企業(yè)不同網(wǎng)絡(luò)之間，或者多個(gè)局域網(wǎng)之間進(jìn)行數(shù)據(jù)信息交換的出入接口。防火墻是保證網(wǎng)絡(luò)信息安全、提供安全服務(wù)的基礎(chǔ)設(shè)施，它不僅是一個(gè)限制器，更是一個(gè)分離器和分析器，能夠有效控制企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)信息交換，從而保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

將防火墻技術(shù)引入到網(wǎng)絡(luò)安全管理系統(tǒng)之中是因?yàn)閭鹘y(tǒng)的子網(wǎng)系統(tǒng)并不十分安全，很容易將信息暴露給網(wǎng)絡(luò)文件系統(tǒng)和網(wǎng)絡(luò)信息服務(wù)等這類不安全的網(wǎng)絡(luò)服務(wù)，更容易受到網(wǎng)絡(luò)的攻擊和竊聽。目前，互聯(lián)網(wǎng)中較為常用的協(xié)議就是TCP/IP協(xié)議，而TCP/IP的制定并沒有考慮到安全因素，防火墻的設(shè)置從很大程度上解決了子網(wǎng)系統(tǒng)的安全問題。

2.4　入侵檢測技術(shù)

入侵檢測是一種增強(qiáng)系統(tǒng)安全的有效方法。其目的就是檢測出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。通過對(duì)系統(tǒng)中用戶行為或系統(tǒng)行為的可疑程度進(jìn)行評(píng)估，并根據(jù)評(píng)價(jià)結(jié)果來判斷行為的正常性，從而幫助系統(tǒng)管理人員采取相應(yīng)的對(duì)策措施。入侵檢測可分為：異常檢測、行為檢測、分布式免疫檢測等。

3　企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)架構(gòu)設(shè)計(jì)

3.1　系統(tǒng)設(shè)計(jì)目標(biāo)

該文的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)目的是需要克服原有網(wǎng)絡(luò)安全技術(shù)的不足，提出一種通用的、可擴(kuò)展的、模塊化的網(wǎng)絡(luò)安全管理系統(tǒng)，以多層網(wǎng)絡(luò)架構(gòu)的安全防護(hù)方式，將身份認(rèn)證、入侵檢測、訪問控制等一系列網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用到網(wǎng)絡(luò)系統(tǒng)之中，使得這些網(wǎng)絡(luò)安全防護(hù)技術(shù)能夠相互彌補(bǔ)、彼此配合，在統(tǒng)一的控制策略下對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測和監(jiān)控，從而形成一個(gè)分布式網(wǎng)絡(luò)安全防護(hù)體系，從而有效提高網(wǎng)絡(luò)安全管理系統(tǒng)的功能性、實(shí)用性和開放性。

3.2　系統(tǒng)原理框圖

該文設(shè)計(jì)了一種通用的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)，該系統(tǒng)的原理圖如圖1所示。

3.2.1　系統(tǒng)總體架構(gòu)

網(wǎng)絡(luò)安全管理中心作為整個(gè)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)的核心部分，能夠在同一時(shí)間與多個(gè)網(wǎng)絡(luò)安全終端連接，并通過其對(duì)多個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行管理，還能夠提供處理網(wǎng)絡(luò)安全事件、提供網(wǎng)絡(luò)配置探測器、查詢網(wǎng)絡(luò)安全事件，以及在網(wǎng)絡(luò)中發(fā)生響應(yīng)命令等功能。

網(wǎng)絡(luò)安全是以分布式的方式，布置在受保護(hù)和監(jiān)控的企業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全是提供網(wǎng)絡(luò)安全事件采集，以及網(wǎng)絡(luò)安全設(shè)備管理等服務(wù)的，并且與網(wǎng)絡(luò)安全管理中心相互連接。

網(wǎng)絡(luò)設(shè)備管理包括了對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)系統(tǒng)中的各種網(wǎng)絡(luò)基礎(chǔ)設(shè)備、設(shè)施的管理。

網(wǎng)絡(luò)安全管理專業(yè)人員能夠通過終端管理設(shè)備，對(duì)企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行有效的安全管理。

3.2.2　系統(tǒng)網(wǎng)絡(luò)安全管理中心組件功能

系統(tǒng)網(wǎng)絡(luò)安全管理中心核心功能組件：包括了網(wǎng)絡(luò)安全事件采集組件、網(wǎng)絡(luò)安全事件查詢組件、網(wǎng)絡(luò)探測器管理組件和網(wǎng)絡(luò)管理策略生成組件。網(wǎng)絡(luò)探測器管理組件是根據(jù)網(wǎng)絡(luò)的安全狀況實(shí)現(xiàn)對(duì)模塊進(jìn)行添加、刪除的功能，它是到系統(tǒng)探測器模塊數(shù)據(jù)庫中進(jìn)行選擇，找出與功能相互匹配的模塊，將它們添加到網(wǎng)絡(luò)安全探測器上。網(wǎng)絡(luò)安全事件采集組件是將對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分析和過濾的結(jié)構(gòu)添加到數(shù)據(jù)庫中。網(wǎng)絡(luò)安全事件查詢組件是為企業(yè)網(wǎng)絡(luò)安全專業(yè)管理人員提供對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)庫進(jìn)行一系列操作的主要結(jié)構(gòu)。而網(wǎng)絡(luò)管理策略生產(chǎn)組件則是對(duì)輸入的網(wǎng)絡(luò)安全事件分析結(jié)果進(jìn)行自動(dòng)查詢，并將管理策略發(fā)送給網(wǎng)絡(luò)安全。

系統(tǒng)網(wǎng)絡(luò)安全管理中心數(shù)據(jù)庫模塊組件：包括了網(wǎng)絡(luò)安全事件數(shù)據(jù)庫、網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫，以及網(wǎng)絡(luò)響應(yīng)策略數(shù)據(jù)庫。網(wǎng)絡(luò)探測器模塊數(shù)據(jù)庫是由核心功能組件進(jìn)行添加和刪除的，它主要是對(duì)安裝在網(wǎng)絡(luò)探測器上的功能模塊進(jìn)行存儲(chǔ)。網(wǎng)絡(luò)安全事件數(shù)據(jù)庫是對(duì)輸入的網(wǎng)絡(luò)安全事件進(jìn)行分析和統(tǒng)計(jì)，主要用于對(duì)各種網(wǎng)絡(luò)安全事件的存儲(chǔ)。網(wǎng)絡(luò)相應(yīng)策略數(shù)據(jù)庫是對(duì)輸入網(wǎng)絡(luò)安全事件的分析結(jié)果反饋相應(yīng)的處理策略，并且對(duì)各種策略進(jìn)行存儲(chǔ)。

3.3　系統(tǒng)架構(gòu)特點(diǎn)

3.3.1　統(tǒng)一管理，分布部署

該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)是采用網(wǎng)絡(luò)安全管理中心對(duì)系統(tǒng)進(jìn)行部署和管理，并且根據(jù)網(wǎng)絡(luò)管理人員提出的需求，將網(wǎng)絡(luò)安全分布地布置在整個(gè)網(wǎng)絡(luò)系統(tǒng)之中，然后將選取出的網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)響應(yīng)命令添加到網(wǎng)絡(luò)安全上，網(wǎng)絡(luò)安全管理中心可以自動(dòng)管理網(wǎng)絡(luò)安全對(duì)各種網(wǎng)絡(luò)安全事件進(jìn)行處理。

3.3.2　模塊化開發(fā)方式

本系統(tǒng)的網(wǎng)絡(luò)安全管理中心和網(wǎng)絡(luò)安全采用的都是模塊化的設(shè)計(jì)方式，如果需要在企業(yè)網(wǎng)絡(luò)管理系統(tǒng)中增加新的網(wǎng)絡(luò)設(shè)備或管理策略時(shí)，只需要對(duì)相應(yīng)的新模塊和響應(yīng)策略進(jìn)行開發(fā)實(shí)現(xiàn)，最后將其加載到網(wǎng)絡(luò)安全中，而不必對(duì)網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)升級(jí)和更新。

3.3.3　分布式多級(jí)應(yīng)用

對(duì)于機(jī)構(gòu)比較復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，可使用多管理器連接，保證全局網(wǎng)絡(luò)的安全。在這種應(yīng)用中，上一級(jí)管理要對(duì)下一級(jí)的安全狀況進(jìn)行實(shí)時(shí)監(jiān)控，并對(duì)下一級(jí)的安全事件在所轄范圍內(nèi)進(jìn)行及時(shí)全局預(yù)警處理，同時(shí)向上一級(jí)管理中心進(jìn)行匯報(bào)。網(wǎng)絡(luò)安全主管部門可以在最短時(shí)間內(nèi)對(duì)全局范圍內(nèi)的網(wǎng)絡(luò)安全進(jìn)行嚴(yán)密的監(jiān)視和防范。

4　結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)中存儲(chǔ)了大量的保密信息數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)中進(jìn)行傳輸和使用，隨著網(wǎng)絡(luò)安全技術(shù)的不斷更新和發(fā)展，新型的網(wǎng)絡(luò)安全設(shè)備也大量出現(xiàn)，由此，企業(yè)對(duì)于網(wǎng)絡(luò)安全的要求也逐步提升，因此，該文設(shè)計(jì)的企業(yè)網(wǎng)絡(luò)安全管理系統(tǒng)具有重要的現(xiàn)實(shí)意義和實(shí)用價(jià)值。

參考文獻(xiàn)：

第4篇

目前，隨著我國現(xiàn)代信息技術(shù)的快速發(fā)展，很多大型企業(yè)的經(jīng)營管理方式也朝著信息化方向發(fā)展。在信息化技術(shù)非常發(fā)達(dá)的現(xiàn)代，一個(gè)企業(yè)的信息化水平的高低將決定企業(yè)競爭力的大小，因此，企業(yè)只有掌握較好的網(wǎng)絡(luò)技術(shù)，才能更好地控制企業(yè)的機(jī)密，從而實(shí)現(xiàn)企業(yè)的信息化管理。為了進(jìn)一步提高企業(yè)的資源利用管理水平，提高企業(yè)的核心競爭力，構(gòu)建企業(yè)網(wǎng)絡(luò)安全部署具有直接決定作用。

1我國企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署的現(xiàn)狀

企業(yè)網(wǎng)絡(luò)構(gòu)架現(xiàn)在已經(jīng)從以往單一的數(shù)據(jù)交換發(fā)展到綜合智能化一體的信息化網(wǎng)絡(luò)計(jì)劃，我國企業(yè)的網(wǎng)絡(luò)構(gòu)架及安全部署現(xiàn)在已經(jīng)發(fā)展了幾十年，但是，與西方發(fā)達(dá)國家相比，我國企業(yè)的網(wǎng)絡(luò)構(gòu)架及安全部署還存在很大的差距。目前，我國企業(yè)已經(jīng)意識(shí)到網(wǎng)絡(luò)構(gòu)架及安全部署的重要性，主要是由于企業(yè)網(wǎng)絡(luò)構(gòu)架對(duì)于企業(yè)的生產(chǎn)、管理和物流等環(huán)節(jié)都具有較大的支持作用。企業(yè)的管理層對(duì)網(wǎng)絡(luò)構(gòu)架的設(shè)計(jì)思想主要反映出企業(yè)利用資源的能力，從而保證企業(yè)的網(wǎng)絡(luò)構(gòu)架是其業(yè)務(wù)水平的重要保障。我國現(xiàn)在很多企業(yè)對(duì)網(wǎng)絡(luò)構(gòu)架及安全部署的要求越來越高，但是我國企業(yè)的網(wǎng)絡(luò)構(gòu)架還無法滿足現(xiàn)代企業(yè)網(wǎng)絡(luò)構(gòu)架的高要求。因此，我國企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署的不足嚴(yán)重制約了我國企業(yè)的長遠(yuǎn)發(fā)展。

2企業(yè)網(wǎng)絡(luò)架構(gòu)安全部署設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)思想及原則

我國企業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)主要是為了實(shí)現(xiàn)將不同位置的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行互通，這也是企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)構(gòu)架的基本要求。隨著我國企業(yè)數(shù)據(jù)業(yè)務(wù)的不斷發(fā)展和改進(jìn)，企業(yè)網(wǎng)絡(luò)構(gòu)架的設(shè)計(jì)要求也變得更高，因而需要從簡單的網(wǎng)絡(luò)構(gòu)架中設(shè)計(jì)出服務(wù)性更強(qiáng)的網(wǎng)絡(luò)構(gòu)架，并且不斷向應(yīng)用型網(wǎng)絡(luò)構(gòu)架轉(zhuǎn)變。因此，企業(yè)網(wǎng)絡(luò)構(gòu)架的設(shè)計(jì)者在進(jìn)行網(wǎng)絡(luò)構(gòu)架設(shè)計(jì)時(shí)應(yīng)該充分考慮企業(yè)的各種業(yè)務(wù)需求，以保證企業(yè)的網(wǎng)絡(luò)構(gòu)架能夠滿足其長遠(yuǎn)的發(fā)展，從而為企業(yè)提供更加方便的管理平臺(tái)，這也是企業(yè)網(wǎng)絡(luò)構(gòu)架及安全部署設(shè)計(jì)的基本思想和原則。

2.2 企業(yè)網(wǎng)絡(luò)架構(gòu)的實(shí)現(xiàn)

當(dāng)網(wǎng)絡(luò)構(gòu)架的基本設(shè)計(jì)完成后，就應(yīng)該對(duì)設(shè)計(jì)的模型進(jìn)行部署和實(shí)現(xiàn)，從而使得企業(yè)能夠更加實(shí)際地了解企業(yè)的網(wǎng)絡(luò)構(gòu)架。

企業(yè)網(wǎng)絡(luò)構(gòu)架實(shí)現(xiàn)的過程一般包括以下幾個(gè)方面：1）規(guī)劃企業(yè)的IP地址空間范圍；2）部署和實(shí)現(xiàn)企業(yè)核心層的網(wǎng)絡(luò)構(gòu)架；3）在核心網(wǎng)絡(luò)構(gòu)架的基礎(chǔ)上對(duì)下層的網(wǎng)絡(luò)構(gòu)架進(jìn)行設(shè)計(jì)。當(dāng)然，企業(yè)的網(wǎng)絡(luò)構(gòu)架的設(shè)計(jì)一般應(yīng)該遵循規(guī)范性、標(biāo)準(zhǔn)性、連續(xù)性和靈活性等原則。

3企業(yè)網(wǎng)絡(luò)構(gòu)架的故障分析及解決方案

3.1 網(wǎng)絡(luò)冗余雙機(jī)部署中的故障

現(xiàn)在，網(wǎng)絡(luò)設(shè)備雙機(jī)部署過程中，由于路由的配置等技術(shù)相對(duì)比較成熟，一般不會(huì)出現(xiàn)故障和問題。但是，其企業(yè)網(wǎng)絡(luò)構(gòu)架中防火墻的雙機(jī)構(gòu)架的設(shè)計(jì)和部署時(shí)，會(huì)出現(xiàn)很多疑難問題。目前，解決這些疑難問題的方法主要包括以下兩種：1）移除防火墻之間的交叉冗余鏈路，同時(shí)更改兩臺(tái)防火墻上相同路由開銷值，這樣可以保證在主防火墻出現(xiàn)故障后，其他防火墻可以安全使用。這種方案可以解決故障，但也存在一定的弊病，主要是指數(shù)據(jù)負(fù)載在主設(shè)備上，備用設(shè)備一般是出于閑置狀態(tài)，只有出現(xiàn)故障時(shí)才切換到備用設(shè)備機(jī)；2）采取措施將主防火墻的全部會(huì)話列表與備用設(shè)備同步，從而使備用設(shè)備保持與主設(shè)備的防火墻會(huì)話列表一致。即使出現(xiàn)數(shù)據(jù)訪問不一致的情況，主設(shè)備也不會(huì)導(dǎo)致數(shù)據(jù)發(fā)生故障，從而造成多個(gè)設(shè)備處于故障狀態(tài)。當(dāng)然，防火墻會(huì)話同步的設(shè)計(jì)現(xiàn)在已經(jīng)成為基于會(huì)話狀態(tài)防火墻的解決網(wǎng)絡(luò)冗余雙機(jī)部署中故障重要手段和措施。

3.2 網(wǎng)絡(luò)QOS保障

QOS保障是企業(yè)在進(jìn)行網(wǎng)絡(luò)構(gòu)架及安全部署的設(shè)計(jì)與實(shí)現(xiàn)的過程中，對(duì)特殊數(shù)據(jù)進(jìn)行帶寬處理，以實(shí)現(xiàn)優(yōu)先保證的一種有效途徑。但是，語音和視頻在網(wǎng)絡(luò)傳輸?shù)倪^程中對(duì)帶寬的延時(shí)和抖動(dòng)的要求比較高，因而需要考慮企業(yè)網(wǎng)絡(luò)分子結(jié)構(gòu)廣域網(wǎng)帶寬的影響，然后根據(jù)流量分析，在帶寬能夠滿足一定要求的情況下，保證視頻和語音數(shù)據(jù)的傳輸更加順暢。當(dāng)然，企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計(jì)和實(shí)現(xiàn)過程中，分支網(wǎng)絡(luò)構(gòu)架中的語音和視頻數(shù)據(jù)需要經(jīng)過各自的核心路由，這樣的企業(yè)網(wǎng)絡(luò)構(gòu)架需要保障企業(yè)的語音和視頻在網(wǎng)絡(luò)分子上得到一定的保證。然而，在實(shí)際的網(wǎng)絡(luò)構(gòu)架部署過程中，由于企業(yè)的業(yè)務(wù)不斷增加和網(wǎng)絡(luò)分支的不斷擴(kuò)展，廣域網(wǎng)的數(shù)據(jù)量也增大，因此，采用QOS來對(duì)數(shù)據(jù)進(jìn)行保障顯得至關(guān)重要。

3.3 網(wǎng)絡(luò)訪問安全控制

網(wǎng)絡(luò)訪問安全控制的配置在企業(yè)網(wǎng)絡(luò)構(gòu)架的部署中非常常見，一般需要采用防火墻進(jìn)行數(shù)據(jù)的訪問，還需要在路由器上配置一些安全措施，以實(shí)現(xiàn)企業(yè)能夠?qū)?shù)據(jù)進(jìn)行控制。尤其是對(duì)于一些防病毒、訪問隔離和環(huán)路等故障，企業(yè)網(wǎng)絡(luò)訪問安全控制很有必要。

第5篇

【關(guān)鍵詞】企業(yè)網(wǎng)絡(luò) 信息安全 策略設(shè)計(jì)

隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，計(jì)算機(jī)信息技術(shù)介入人們生活的方方面面。企業(yè)網(wǎng)絡(luò)的信息安全策略是涵蓋多方面的，既有管理安全，也有技術(shù)安全，既有物理安全策略，也有網(wǎng)絡(luò)安全策略。企業(yè)網(wǎng)絡(luò)應(yīng)實(shí)現(xiàn)科學(xué)的安全管理模式，結(jié)合網(wǎng)絡(luò)設(shè)備功能的不同對(duì)整體網(wǎng)絡(luò)進(jìn)行有效分區(qū)，可分為專網(wǎng)區(qū)、服務(wù)器區(qū)以及內(nèi)網(wǎng)公共區(qū)，并部署入侵檢測系統(tǒng)與防火墻系統(tǒng)，對(duì)內(nèi)部用戶威脅到網(wǎng)絡(luò)安全的行為進(jìn)行阻斷。下面著重闡述企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)層安全策略：

一、企業(yè)網(wǎng)絡(luò)設(shè)備安全策略分析

隨著網(wǎng)絡(luò)安全形勢的日趨嚴(yán)峻，不斷有新的攻擊手段被發(fā)現(xiàn)，而這些手段的攻擊目標(biāo)也已經(jīng)從用戶終端、服務(wù)器厭延展至交換機(jī)、路由器等硬件設(shè)施。而交換機(jī)與路由器屬于網(wǎng)絡(luò)核心層的重點(diǎn)設(shè)備，如果這些設(shè)備退出服務(wù)，企業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全便會(huì)面臨很大的威脅。由此本文給出以下的網(wǎng)絡(luò)設(shè)備安全策略。

最大化地關(guān)閉網(wǎng)絡(luò)交換機(jī)上的服務(wù)種類。尤其是不經(jīng)常使用的服務(wù)更應(yīng)關(guān)閉，舉例來講：交換機(jī)的鄰居發(fā)現(xiàn)服務(wù)CDP，其功能是辨認(rèn)一個(gè)網(wǎng)絡(luò)端口連接到哪一個(gè)另外的網(wǎng)絡(luò)端口，鄰居發(fā)現(xiàn)服務(wù)鎖發(fā)出和接收的數(shù)據(jù)包很容易暴露用戶終端的屬性信息，包括交換機(jī)端口與用戶終端的IP信息，網(wǎng)絡(luò)交換機(jī)的型號(hào)與版本信息，本地虛擬局域網(wǎng)屬性等。因此，本文建議在不常使用此服務(wù)的情況下，應(yīng)該關(guān)閉鄰居發(fā)現(xiàn)服務(wù)。另外，一些同樣不常使用的服務(wù)，包括交換機(jī)自舉服務(wù)、文件傳輸服務(wù)、簡單文件傳輸服務(wù)、網(wǎng)絡(luò)時(shí)間同步服務(wù)、查詢用戶情況服務(wù)、簡單網(wǎng)絡(luò)管理服務(wù)、源路徑路由服務(wù)、ARP服務(wù)等等。

企業(yè)信息系統(tǒng)的網(wǎng)管往往以Telnet協(xié)議實(shí)現(xiàn)對(duì)全網(wǎng)所有交換機(jī)、路由器的配置與管理。眾所周知，此協(xié)議使用的是明文傳輸模式，因此在信息安全方面不輸于非常可靠的協(xié)議。入侵者只要以抓包軟件便能夠輕易得知網(wǎng)管的登錄ID與密碼，以抓包軟件同樣能夠獲取網(wǎng)絡(luò)管理員發(fā)出、受到的全部數(shù)據(jù)。所以在網(wǎng)絡(luò)管理中，應(yīng)引入安全性能更高的協(xié)議，本文推薦SSH（Secure Shell Client）協(xié)議。這種協(xié)議借助RSA生成安全性能極高的簽名證書，通過該證書，全部以SSH協(xié)議進(jìn)行傳輸?shù)臄?shù)據(jù)包都被良好加密。此外VTP 的安全使用也是一個(gè)應(yīng)該得到重視的問題，VTP應(yīng)配置強(qiáng)口令。

二、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)端口安全策略

由于大部分企業(yè)網(wǎng)絡(luò)的終端均以網(wǎng)絡(luò)交換機(jī)在接入層連入網(wǎng)絡(luò)，而網(wǎng)絡(luò)交換機(jī)屬于工作在ISO第二層的設(shè)備，當(dāng)前有不少以第二層為目標(biāo)的非法攻擊行為，為網(wǎng)絡(luò)帶來了不容忽視的安全威脅。

二層網(wǎng)絡(luò)交換機(jī)使用的數(shù)據(jù)轉(zhuǎn)發(fā)方式是以CAM表為基礎(chǔ)的。在網(wǎng)絡(luò)交換機(jī)加點(diǎn)之后，首選會(huì)清空CAM 表，并立即啟動(dòng)數(shù)據(jù)幀源地址學(xué)習(xí)，并將這些信息存入交換機(jī)CAM表中。這時(shí)候，加入非法入侵者通過偽造自身的MAC地址并不停地發(fā)出數(shù)據(jù)幀結(jié)構(gòu)，便很容易導(dǎo)致網(wǎng)絡(luò)交換機(jī)CAM表溢出，服務(wù)失效。而此時(shí)便會(huì)導(dǎo)致該MAC的流量向交換機(jī)其他端口轉(zhuǎn)發(fā)，為非法入侵者提供網(wǎng)絡(luò)竊聽的機(jī)會(huì)，很容易造成攻擊風(fēng)險(xiǎn)。本文所推薦的策略是：網(wǎng)絡(luò)交換機(jī)的端口安全維護(hù)應(yīng)隨時(shí)打開；在交換機(jī)配置中設(shè)置其學(xué)習(xí)MAC地址的最大數(shù)目為1；設(shè)置網(wǎng)絡(luò)交換機(jī)能夠存儲(chǔ)其學(xué)習(xí)到的全部MAC地址；一旦網(wǎng)絡(luò)交換機(jī)的安全保護(hù)被觸發(fā)，則丟棄全部MAC 地址的流量，發(fā)送告警信息。對(duì)網(wǎng)絡(luò)交換機(jī)進(jìn)行以上的配置，一方面能夠防止基于交換機(jī)MAC地址的泛洪攻擊，另一方面也能對(duì)網(wǎng)絡(luò)內(nèi)部的合法地址做好記錄。

在成功阻止未知MAC地址接入的基礎(chǔ)上，還應(yīng)阻止來自已知地址的攻擊。本文推薦基于MAC限流的策略，這是由于網(wǎng)絡(luò)交換機(jī)不必向所有端口廣播未知幀，因此可以對(duì)未知幀進(jìn)行阻止，增強(qiáng)網(wǎng)絡(luò)交換機(jī)安全性。

三、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)BPDU防護(hù)策略

一般情況下，企業(yè)的內(nèi)部網(wǎng)絡(luò)往往以網(wǎng)絡(luò)交換機(jī)作為網(wǎng)絡(luò)拓?fù)涞闹危驗(yàn)榭紤]到交換機(jī)通道的溝通，加之系統(tǒng)冷、熱備份的出發(fā)點(diǎn)，在企業(yè)網(wǎng)絡(luò)中是存在第二層環(huán)路的，這就容易引發(fā)多個(gè)幀副本的出現(xiàn)，甚至引起基于第二層的數(shù)據(jù)包廣播風(fēng)暴，為了避免此種情況的發(fā)生，企業(yè)網(wǎng)絡(luò)往往引入了STP協(xié)議。而這種協(xié)議的效果則取決于交換機(jī)共享的BPDU信息。這就為一些攻擊者提供了機(jī)會(huì)，通過假冒優(yōu)先級(jí)低的BPDU數(shù)據(jù)包，攻擊者向二層網(wǎng)絡(luò)交換機(jī)發(fā)送。由于這種情況下入侵檢測系統(tǒng)與網(wǎng)絡(luò)防火墻均無法生效，就導(dǎo)致攻擊者能夠方便地獲取網(wǎng)絡(luò)信息。可以采用的防范措施為：在二層網(wǎng)絡(luò)交換機(jī)啟用BPDU過濾器模塊。該模塊能夠控制此端口，使其對(duì)BPDU數(shù)據(jù)包不進(jìn)行任何處理，加入收到此種類型的數(shù)據(jù)包，該端口將會(huì)自動(dòng)設(shè)置為“服務(wù)停止”。在此基礎(chǔ)上，在根交換機(jī)上引入鏈路監(jiān)控體系。一旦該交換機(jī)設(shè)備檢測到優(yōu)先級(jí)更高的 BPDU數(shù)據(jù)包，則發(fā)出“失效”的消息，及時(shí)阻塞端口。

四、企業(yè)信息系統(tǒng)網(wǎng)絡(luò)Spoof防護(hù)策略

在企業(yè)內(nèi)部網(wǎng)絡(luò)中，往往有著大量的終端機(jī)，出于安全性與可靠性的考慮，這些終端機(jī)均以動(dòng)態(tài)主機(jī)設(shè)置協(xié)議獲得自身的IP地址。這就為Spoof 攻擊留下了機(jī)會(huì)。在這種攻擊中，非法入侵者會(huì)將自身假冒動(dòng)態(tài)主機(jī)設(shè)置協(xié)議服務(wù)器，同時(shí)向用戶主機(jī)發(fā)出假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，導(dǎo)致用戶無法獲取真實(shí)IP，不能聯(lián)網(wǎng)。可以采用的防范措施為：引入動(dòng)態(tài)主機(jī)設(shè)置協(xié)議Snooping 策略。在二層網(wǎng)絡(luò)交換機(jī)上安裝Snooping模塊并激活，系統(tǒng)便會(huì)把設(shè)備的全部可用端口設(shè)置為untrust 接口。這種接口能夠收到消息，并丟棄假冒的動(dòng)態(tài)IP配置數(shù)據(jù)包，從而防止Spoof 攻擊帶來的風(fēng)險(xiǎn)。

考慮到地址解析協(xié)議在安全方面的防范性不足，加入非法入侵者不斷地發(fā)出ARP數(shù)據(jù)包，便容易導(dǎo)致全部用戶終端的ARP表退出服務(wù)，除去靜態(tài)綁定IP與MAC之外，本文推薦動(dòng)態(tài)ARP監(jiān)測策略。此種策略會(huì)將交換機(jī)全部端口設(shè)置為untrust狀態(tài)。此種狀態(tài)之下，端口將無法發(fā)出ARP的響應(yīng)，因此，黨用戶主機(jī)染毒時(shí)，其發(fā)出的假冒ARP數(shù)據(jù)包將由于與列表不匹配而被丟棄，系統(tǒng)安全得到了保障。

五、結(jié)束語

W絡(luò)安全是一項(xiàng)綜合的管理工程，意義重大。企業(yè)的網(wǎng)絡(luò)安全一旦出現(xiàn)問題，極有可能造成巨大損失，到那時(shí)即使再投入大量資金進(jìn)行彌補(bǔ)也為時(shí)已晚。因此，企業(yè)應(yīng)未雨綢繆，認(rèn)清事實(shí)、正視事實(shí)、立足長遠(yuǎn)，重視網(wǎng)絡(luò)安全問題，這樣才能保證企業(yè)網(wǎng)絡(luò)的安全，從而實(shí)現(xiàn)企業(yè)長足發(fā)展。

第6篇

關(guān)鍵詞：VLAN；虛擬局域網(wǎng)；企業(yè)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)計(jì)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：16727800（2012）009013403

1企業(yè)組網(wǎng)中采用單一網(wǎng)段架構(gòu)的不足之處

企業(yè)在組建局域網(wǎng)和信息化平臺(tái)時(shí)，為節(jié)約成本往往采用了單一網(wǎng)段架構(gòu)的組網(wǎng)模式。隨著企業(yè)內(nèi)部聯(lián)網(wǎng)計(jì)算機(jī)的不斷增多、網(wǎng)絡(luò)應(yīng)用的日趨復(fù)雜，這種架構(gòu)的弊端也不斷顯現(xiàn)出來。由于防火墻、服務(wù)器、工作站等網(wǎng)絡(luò)設(shè)備處在同一個(gè)網(wǎng)段（同一廣播域），大量的廣播包發(fā)送到局域網(wǎng)上容易引起廣播風(fēng)暴、占用很高的網(wǎng)絡(luò)帶寬，從而影響到正常業(yè)務(wù)數(shù)據(jù)流的穩(wěn)定傳輸。一旦某計(jì)算機(jī)發(fā)生ARP攻擊或者冒用了網(wǎng)絡(luò)設(shè)備的IP地址，就會(huì)干擾到網(wǎng)絡(luò)的正常運(yùn)行，造成嚴(yán)重的安全隱患。為了解決上述問題，提高企業(yè)網(wǎng)絡(luò)的安全性、穩(wěn)定性和可靠性，就需要部署與實(shí)施VLAN虛擬局域網(wǎng)。

2VLAN虛擬局域網(wǎng)的主要特點(diǎn)

IEEE802.1Q定義了VLAN網(wǎng)橋和操作規(guī)范。傳統(tǒng)的共享介質(zhì)型以太網(wǎng)中，所有的計(jì)算機(jī)位于同一個(gè)廣播域中，廣播域越大對(duì)網(wǎng)絡(luò)性能的影響也就越大。有效的解決途徑就是把單一網(wǎng)段架構(gòu)的以太網(wǎng)劃分成邏輯上相互獨(dú)立的多個(gè)子網(wǎng)，同一VLAN中的廣播包只有同一VLAN的成員組才能收到，而不會(huì)傳輸?shù)狡渌黇LAN中去，這就很好地控制了廣播風(fēng)暴。在企業(yè)網(wǎng)絡(luò)組建中，通過合理的VLAN設(shè)計(jì)規(guī)劃，一方面可以限制廣播域，最大限度地防止廣播風(fēng)暴的發(fā)生，節(jié)省網(wǎng)絡(luò)帶寬；同時(shí)還可以提高網(wǎng)絡(luò)處理能力，并通過VLAN間路由、VLAN間互訪策略，全面增強(qiáng)企業(yè)網(wǎng)絡(luò)的安全性。

3企業(yè)VLAN規(guī)劃中的技術(shù)要點(diǎn)

VLAN技術(shù)在大型局域網(wǎng)、大型校園網(wǎng)的組建中有著廣泛的應(yīng)用，VLAN的規(guī)劃和設(shè)計(jì)是高等計(jì)算機(jī)網(wǎng)絡(luò)的一個(gè)重點(diǎn)，同時(shí)也是一個(gè)技術(shù)難點(diǎn)，實(shí)施者必須具備較高的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)與實(shí)踐技能。企業(yè)在實(shí)施VLAN前，應(yīng)該從以下幾個(gè)方面重點(diǎn)分析和考慮：

（1）根據(jù)目前的網(wǎng)絡(luò)拓?fù)洹⒕C合布線、各類網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)數(shù)量以及分布的地理位置進(jìn)行統(tǒng)計(jì)和調(diào)研。通常位于核心層的防火墻、服務(wù)器組等應(yīng)劃分到一個(gè)單獨(dú)的VLAN網(wǎng)段，然后根據(jù)各部門的網(wǎng)絡(luò)應(yīng)用需求、聯(lián)網(wǎng)設(shè)備數(shù)量作進(jìn)一步規(guī)劃。

（2）采用合適的VLAN劃分技術(shù)，常見的VLAN劃分方式包括：基于端口的VLAN、基于MAC地址的VLAN、基于協(xié)議的VLAN、基于IP子網(wǎng)的VLAN 和基于策略的VLAN等。以中小型企業(yè)為例，計(jì)算機(jī)的數(shù)量與分布的地理位置相對(duì)比較固定，優(yōu)先考慮采用基于端口的靜態(tài)VLAN劃分方式。將交換機(jī)中的任意端口定義為一個(gè)VLAN端口組成員，從而形成一個(gè)VLAN網(wǎng)段，將指定端口加入到指定VLAN中之后，該端口就可以轉(zhuǎn)發(fā)指定VLAN的數(shù)據(jù)包。

（3）各個(gè)VLAN之間的路由與ACL訪問策略的配置。通常服務(wù)器所屬的VLAN可以與其它VLAN相互訪問，各個(gè)VLAN的內(nèi)部計(jì)算機(jī)可以互訪，其它VLAN之間計(jì)算機(jī)的互訪權(quán)限視具體情況在三層交換機(jī)加以啟用或禁用。

（4）防火墻到各個(gè)VLAN之間的路由規(guī)劃。防火墻是整個(gè)企業(yè)網(wǎng)的Internet總出口，直接決定哪些VLAN組、哪些計(jì)算機(jī)成員可以訪問Internet。

（5）必要的經(jīng)費(fèi)投入，購買合適的網(wǎng)絡(luò)設(shè)備。一般選擇三層智能VLAN以太網(wǎng)交換機(jī)，根據(jù)設(shè)計(jì)方案，通過命令參數(shù)進(jìn)行配置。由于不同品牌、不同型號(hào)的交換機(jī)VLAN配置參數(shù)與語法命令不盡相同，因此需要VLAN實(shí)施者精通常用交換機(jī)的配置與應(yīng)用。

4某企業(yè)VLAN規(guī)劃和實(shí)施的具體步驟與案例分析

隨著經(jīng)營業(yè)務(wù)的不斷擴(kuò)展、聯(lián)網(wǎng)設(shè)備的不斷增多，為提高局域網(wǎng)安全性和處理能力，筆者參與了某商品流通企業(yè)的局域網(wǎng)VLAN實(shí)施項(xiàng)目。從企業(yè)網(wǎng)絡(luò)應(yīng)用的規(guī)模和現(xiàn)狀分析，設(shè)計(jì)劃分為5個(gè)VLAN， 其中VLAN16為服務(wù)器核心網(wǎng)段，可以與其它全部VLAN（17～20）互訪。VLAN（17～20）只能訪問16網(wǎng)段，相互之間不能互訪，但每個(gè)VLAN內(nèi)部計(jì)算機(jī)可以互訪。防火墻型號(hào)為H3C SecPath F100S，LAN口管理IP為192.168.16.1，可以路由到全部5個(gè)VLAN，并能控制任意網(wǎng)段的計(jì)算機(jī)訪問外網(wǎng)與IP流量。

接入層訪問端口，按表1方案，連接網(wǎng)絡(luò)設(shè)備、各職能部門的工作站計(jì)算機(jī)、網(wǎng)絡(luò)共享打印機(jī)、無線接入點(diǎn)AP等

在實(shí)施VLAN前，首先要對(duì)企業(yè)現(xiàn)有的綜合布線作全面的梳理，每根網(wǎng)線連接哪臺(tái)電腦、交換機(jī)的端口標(biāo)識(shí)要明確、清晰。在核心交換機(jī)端口充裕的情況下，做到計(jì)算機(jī)與核心交換機(jī)端口直接相連，盡量不要采用SOHO交換機(jī)進(jìn)行多層次的網(wǎng)絡(luò)轉(zhuǎn)接。根據(jù)VLAN設(shè)計(jì)方案，對(duì)網(wǎng)絡(luò)設(shè)備、部門計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù)進(jìn)行重新分配和配置，把每臺(tái)計(jì)算機(jī)的網(wǎng)線連接到交換機(jī)對(duì)應(yīng)的VLAN端口。

該項(xiàng)目中，采用了H3C公司的48口全千兆三層以太網(wǎng)交換機(jī)S550048PSI。S550048PSI千兆以太網(wǎng)交換機(jī)定位于企業(yè)網(wǎng)和城域網(wǎng)的匯聚或接入，具備豐富的業(yè)務(wù)特性，提供了高性能、大容量的交換服務(wù)，并支持10GE 的上行接口，為接入設(shè)備提供了更高的帶寬。同時(shí)還可以用于數(shù)據(jù)中心服務(wù)器群的連接，為用戶提供了高接入帶寬和高端口密度。S550048PSI支持4K個(gè)基于端口的VLAN，在全雙工模式下交換容量為240Gbps，整機(jī)包轉(zhuǎn)發(fā)率為72Mpps，可以滿足企業(yè)目前應(yīng)用需求。

S550048PSI交換機(jī)的配置是整個(gè)VLAN實(shí)施中的技術(shù)重點(diǎn)和難點(diǎn)，其配置要點(diǎn)說明如下：

（1）創(chuàng)建ACL訪問策略。根據(jù)設(shè)計(jì)方案，VLAN16可以與VLAN（17～20）直接互訪，無須設(shè)置拒絕訪問規(guī)則。VLAN17不能與VLAN（18～20）互訪，VLAN18不能與VLAN（17、19、20）互訪，VLAN19不能與VLAN（17、18、20）互訪，VLAN20不能與VLAN（17～19）互訪。因此，必須單獨(dú)設(shè)置規(guī)則號(hào)和拒絕訪問控制列表。

5VLAN實(shí)施后產(chǎn)生問題如何解決

由于實(shí)施VLAN后除了VLAN16其它各網(wǎng)段之間不能直接互訪，因此也帶來了一些網(wǎng)絡(luò)應(yīng)用上的問題。比如不同VLAN之間不能直接共享打印機(jī)和共享文件夾，需要重新設(shè)置共享。解決方案是在同一VLAN的內(nèi)部計(jì)算機(jī)上設(shè)置共享打印機(jī)或者文件夾，或者在VLAN16網(wǎng)段上設(shè)置共享打印機(jī)或者文件夾，以便給全公司的聯(lián)網(wǎng)計(jì)算機(jī)訪問。

6結(jié)語

通過實(shí)施VLAN前后的網(wǎng)絡(luò)協(xié)議分析，在企業(yè)網(wǎng)絡(luò)應(yīng)用高峰期利用OmniPeek協(xié)議分析軟件在各個(gè)VLAN網(wǎng)段中實(shí)時(shí)抓包采樣，發(fā)現(xiàn)各個(gè)網(wǎng)段的廣播包數(shù)量明顯減少，網(wǎng)絡(luò)利用率有了明顯提高，實(shí)施后從未發(fā)生過廣播風(fēng)暴現(xiàn)象。特別是核心層網(wǎng)絡(luò)設(shè)備從普通交換機(jī)升級(jí)到全千兆VLAN交換機(jī)后，業(yè)務(wù)軟件的輸入、統(tǒng)計(jì)、查詢，以及瀏覽網(wǎng)頁的速度均有較大的提高，網(wǎng)絡(luò)性能有了很大改善。

上述企業(yè)VLAN的設(shè)計(jì)思路、實(shí)施步驟和配置參數(shù)具有很高的參考與應(yīng)用價(jià)值。規(guī)模更大、更復(fù)雜的企業(yè)網(wǎng)擁有更多的計(jì)算機(jī)，因此，需在此基礎(chǔ)上劃分更多的VLAN、設(shè)計(jì)更加復(fù)雜的ACL訪問控制策略。通過VLAN的實(shí)施，不僅提高了網(wǎng)絡(luò)安全性和利用率，并且對(duì)于今后企業(yè)網(wǎng)絡(luò)的擴(kuò)展和升級(jí)都帶來了很大的便利。

參考文獻(xiàn)：

[1]崔北亮.CCNA認(rèn)證指南（640-802）[M].北京：電子工業(yè)出版社，2009.

[2]王達(dá).CISCO/H3C交換機(jī)配置與管理完全手冊(cè)[M].北京：中國水利水電出版社，2009.

[3]Marina Smith.虛擬局域網(wǎng)[M].北京：清華大學(xué)出版社，2003.

第7篇

關(guān)鍵詞：網(wǎng)絡(luò)營銷 中小企業(yè) 網(wǎng)絡(luò)購物管理系統(tǒng)

1 概述

隨著因特網(wǎng)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，人類已步入網(wǎng)絡(luò)信息化社會(huì)。網(wǎng)絡(luò)營銷是企業(yè)利用相關(guān)的信息技術(shù)通過因特網(wǎng)來實(shí)現(xiàn)營銷目標(biāo)的一種營銷手段，它是企業(yè)電子商務(wù)活動(dòng)中最基本的商業(yè)活動(dòng)。中小企業(yè)建立網(wǎng)絡(luò)營銷系統(tǒng)的信息技術(shù)以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和多媒體技術(shù)為核心，整個(gè)網(wǎng)絡(luò)營銷系統(tǒng)的建設(shè)很復(fù)雜，但中小企業(yè)以實(shí)現(xiàn)網(wǎng)上購物為主要目的。這里設(shè)計(jì)的中小型企業(yè)的網(wǎng)絡(luò)購物管理系統(tǒng)，為企業(yè)提供系統(tǒng)后臺(tái)管理服務(wù)，實(shí)現(xiàn)了商品管理、貨架管理、庫存管理、用戶管理和系統(tǒng)管理。

2 系統(tǒng)需求分析

中小企業(yè)網(wǎng)絡(luò)購物管理系統(tǒng)是基于B/S體系結(jié)構(gòu)的，在Microsoft Visual 環(huán)境下使用、C#編程語言、JAVA及Microsoft SQL Server 2008 數(shù)據(jù)庫開發(fā)的，人機(jī)界面友好，安全性高，不需要太大的投入，便于維護(hù)更新。前臺(tái)主要用于用戶注冊(cè)、瀏覽商品等，后臺(tái)管理功能有商品管理、貨架管理、庫存管理、用戶管理、系統(tǒng)管理五個(gè)模塊，系統(tǒng)管理員可以通過這些模塊更新維護(hù)系統(tǒng)。如圖1所示。本文主要介紹系統(tǒng)數(shù)據(jù)庫設(shè)計(jì)和后臺(tái)管理主要功能模塊設(shè)計(jì)。

3 系統(tǒng)數(shù)據(jù)庫設(shè)計(jì)

系統(tǒng)數(shù)據(jù)庫的名稱設(shè)為sell，其中包括七張數(shù)據(jù)庫表，分別設(shè)為用戶信息表user、用戶類別表utype、商品表goods、商品類型表gtype、商品貨架表jgoods、庫存表kucun、商品貨架關(guān)聯(lián)表gjbind。

設(shè)計(jì)的SQLHelper類中封裝了最常用的數(shù)據(jù)操作，其部分代碼如下：

public class SQLHelper

{

/// 連接數(shù)據(jù)源

public SqlConnection myConnection = null；

private readonly string RETURNVALUE = "RETURNVALUE"；

///

/// 打開數(shù)據(jù)庫連接

///

private void Open（）

{ // 打開數(shù)據(jù)庫連接

if （myConnection == null）

{myConnection=new SqlConnection（System.Configuration.ConfigurationManager.AppSettings["SQLCONNECTIONSTRING"].ToString（））；

}

if （myConnection.State == ConnectionState.Closed）

{try

{ ///打開數(shù)據(jù)庫連接

myConnection.Open（）；

}

catch （Exception ex）

{

SystemError.CreateErrorLog（ex.Message）；

}

finally

{

///關(guān)閉已經(jīng)打開的數(shù)據(jù)庫連接

}

}

}

///

/// 關(guān)閉數(shù)據(jù)庫連接

///

4 系統(tǒng)后臺(tái)模塊設(shè)計(jì)

系統(tǒng)后臺(tái)功能模塊有商品管理模塊、貨架管理模塊、庫存管理模塊、用戶管理模塊、系統(tǒng)管理模塊五個(gè)，這里只介紹商品管理模塊中查詢商品和用戶管理模塊中添加用戶的主要代碼。

查詢商品主要代碼：

public string SQL（）

{

string strsql = ""；

DataSet ds = new DataSet（）；

strsql = "select * from goods where id is not null"；

hs.RunSQL（strsql， ref ds）；

string s1 = " and name like '%" + this.TextBox1.Text.Trim（）.Replace（"'"， "''"） + "%'"；

string s2 = " order by id desc"；

if （this.TextBox1.Text ！= ""）

{

strsql += s1；

}

return strsql + s2；

}

添加用戶主要代碼：

protected void Button1_Click（object sender， EventArgs e）

{

string UserName = this.TextBox1.Text.Trim（）.ToString（）；

string UserSex = ""；

if （this.RadioButton1.Checked）

{

UserSex = "男"；

}

else

{

UserSex = "女"；

}

string address = this.address.Text.Trim（）.ToString（）；

string phone = this.phone.Text.Trim（）.ToString（）；

string email = this.email.Text.Trim（）.ToString（）；

string des = this.TextBox7.Text.Trim（）.ToString（）；

string str = "insert into suser （name，pwd，sex，address，phone，email，tid，des） values（'" + UserName + "'，"+123+"，'"+UserSex+"'，'"+address+"'，'"+phone+"'，'"+email+"'，" + Convert.ToInt32（this.DropDownList1.SelectedValue） + "，'" + des + "'） "；

int k = hs.RunSQL（str）；

if （k == 1）

{

Response.Write（"alert（'添加新用戶成功'）；location='adduser.aspx'"）；

}

else

{

Response.Write（"alert（'添加新用戶失敗，請(qǐng)重試！'）；location='adduser.aspx'"）；

}

}

因篇幅有限，其他模塊代碼不再詳述。

5 結(jié)束語

本文給出了中小企業(yè)網(wǎng)絡(luò)營銷管理系統(tǒng)數(shù)據(jù)庫和后臺(tái)管理模塊的主要設(shè)計(jì)過程，實(shí)現(xiàn)了中小企業(yè)通過網(wǎng)絡(luò)銷售的主要目的。在我國經(jīng)濟(jì)結(jié)構(gòu)加速調(diào)整、全球化市場競爭日趨激烈的環(huán)境下，為我國中小企業(yè)在網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代通過建設(shè)網(wǎng)絡(luò)營銷管理系統(tǒng)進(jìn)入全球化的市場競爭提供了示范，對(duì)傳統(tǒng)中小企業(yè)的轉(zhuǎn)型和發(fā)展有指導(dǎo)作用。

參考文獻(xiàn)：

[1]馮英健.網(wǎng)絡(luò)營銷基礎(chǔ)與實(shí)踐（第4版）[M].北京：清華大學(xué)出版社，2013.6.

[2]劉志成.SQL Server實(shí)例教程（2008版）[M].北京：電子工業(yè)出版社，2012.1.

[3]陳琦.企業(yè)電子商務(wù)商業(yè)模式設(shè)計(jì)：IT資源前因與績效結(jié)果[D].浙江大學(xué)，2010.