計算機網(wǎng)絡(luò)課程設(shè)計---移動公司網(wǎng)絡(luò)設(shè)計

1、<p>　　計算機網(wǎng)絡(luò)訓(xùn)練課程設(shè)計</p><p>　　題 目 移動公司網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 </p><p>　　專 業(yè) 班 級 </p><p>　　學(xué) 生 姓 名 </p><p>　　學(xué) 號 </p><p>&l

2、t;b>　　指 導(dǎo) 教 師 </b></p><p>　　2011年 3月 1 日</p><p><b>　　目    錄</b></p><p>　　第一章 課題確定…………………………………………………………… 1.1.1 概述與課題選擇…………………………………………………………1

3、1.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的目標(biāo)和作用……………………………………………1</p><p>　　第二章 需求分析…………………………………………………………….1</p><p>　　2.1 公司大樓結(jié)構(gòu)分布………………………………………………………1</p><p>　　2.2 行政結(jié)構(gòu)…………………………………………………………………1</p><

4、;p>　　2.3 各部門功能需求分析……………………………………………………2</p><p>　　2.4 信息點的設(shè)置……………………………………………………………2</p><p>　　2.5 接入INTERNET方式………………………………………………………2</p><p>　　第三章 系統(tǒng)總體規(guī)劃和實現(xiàn)功能………………………………………… 3<

5、/p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則、系統(tǒng)建設(shè)目標(biāo)……………………………………3</p><p>　　第四章 網(wǎng)絡(luò)系統(tǒng)硬件環(huán)境設(shè)計</p><p>　　4.1 網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計………………………………………………………3</p><p>　　4.1.1 公司中心局域網(wǎng)拓樸結(jié)構(gòu)設(shè)計（即核心層）………………………4</p><

6、;p>　　4.1.2 各部門網(wǎng)絡(luò)拓樸結(jié)構(gòu)的設(shè)計（即匯聚層）…………………………5</p><p>　　4.2 傳輸方式的設(shè)計…………………………………………………………5</p><p>　　4.2.1 網(wǎng)絡(luò)拓樸結(jié)構(gòu)的設(shè)計…………………………………………………5</p><p>　　4.3 網(wǎng)絡(luò)互聯(lián)設(shè)備的選購……………………………………………………6</

7、p><p>　　4.3.1 交換機…………………………………………………………………6</p><p>　　4.3.2 交換機的選擇…………………………………………………………6 </p><p>　　4.3.3 路由器…………………………………………………………………8</p><p>　　第五章 網(wǎng)絡(luò)系統(tǒng)軟件環(huán)境設(shè)計…………………………………

8、………….8</p><p>　　5.1 操作系統(tǒng)及應(yīng)用軟件……………………………………………………8</p><p>　　5.1.1 網(wǎng)絡(luò)操作系統(tǒng)的選購…………………………………………………9</p><p>　　5.1.2 應(yīng)用軟件的選購………………………………………………………9</p><p>　　5.1.3 網(wǎng)絡(luò)防火墻的選購…………

9、…………………………………………9</p><p>　　5.2 網(wǎng)絡(luò)安全…………………………………………………………………9</p><p>　　5.2.1 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析 …………………………………………… 10 </p><p>　　5.2.2 安全需求與安全目標(biāo)…………………………………………………11 </p><p>　　

10、5.2.3 網(wǎng)絡(luò)安全策略…………………………………………………………12</p><p>　　5.2.4 系統(tǒng)安全目標(biāo) ……………………………………………………… 125.3 網(wǎng)絡(luò)安全方案總體設(shè)計 ……………………………………………….125.3.1 安全方案設(shè)計原則……………………………………………………13 </p><p>　　結(jié)　束　語 ………………………………………

11、………………………… 13</p><p><b>　　第一章 課題確定</b></p><p>　　1.1 概述與課題選擇 隨著現(xiàn)代科技的發(fā)展及計算機技術(shù)與通訊技術(shù)的結(jié)合，人們已經(jīng)不再滿足原有的辦公方式，辦公自動化、網(wǎng)絡(luò)化的需求逐日增加。計算機網(wǎng)絡(luò)技術(shù)營造了一個現(xiàn)代化的高效、快捷、安全的辦公環(huán)境，也使計算機的功能得到了充分的發(fā)揮。</p>&

12、lt;p>　　作為社會基礎(chǔ)設(shè)施之一的中國移動通信公司，充分利用網(wǎng)絡(luò)技術(shù)，為人們的生活和工作提供了許多便利，在信息化高度發(fā)展的今天，起著至關(guān)重要的作用。本次實驗以某市移動公司為例，對該企業(yè)進行整體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計與規(guī)劃。</p><p>　　1.2 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的目標(biāo)和作用</p><p>　　每個部門的PC都設(shè)置不同等級訪問權(quán)限，嚴(yán)格管理瀏覽、查看、修改和更新操作。除權(quán)限等級高的部門外，

13、其余部門均實現(xiàn)資源共享?？蓪崿F(xiàn)對數(shù)據(jù)的安全、集中管理，有較高的網(wǎng)絡(luò)安全性和穩(wěn)定性。</p><p><b>　　第二章 需求分析</b></p><p>　　2.1 公司大樓結(jié)構(gòu)分布</p><p><b>　　2.2 行政結(jié)構(gòu)</b></p><p>　　本公司行政結(jié)構(gòu)分為經(jīng)理室、副經(jīng)理室、市場部

14、、綜合部、客戶服務(wù)部和建設(shè)維護五個部門。</p><p>　　2.3 各部門功能需求分析</p><p>　　市場部：負責(zé)市場信息的收集及分析。進行數(shù)據(jù)業(yè)務(wù)推廣的相關(guān)工作。對全縣各鄉(xiāng)鎮(zhèn)人代辦點反饋的客戶信息進行研究分析，以形成行業(yè)分析模板及定期行業(yè)分析報告，提供個性化解決方案。</p><p>　　客戶服務(wù)部：負責(zé)受理10086客戶投訴，普通客戶業(yè)務(wù)咨詢，做好VIP

15、客戶的咨詢和接待工作，統(tǒng)計每天客戶業(yè)務(wù)開通量及相關(guān)費用。 </p><p>　　綜合部：負責(zé)制訂季度、年度工作計劃及各部門月績效考核，負責(zé)處理移動集團用戶網(wǎng)的咨詢工作等。</p><p>　　建設(shè)維護部：負責(zé)監(jiān)控全縣移動基站的運行情況，做好基站故障處理、維護工作。</p><p>　　2.4 信息點的設(shè)置 </p><p>　　一樓

16、：客戶管理室（3臺PC） VIP接待室（2臺PC） 營業(yè)廳（5臺PC）倉庫（1臺PC）</p><p>　　二樓：代辦點管理室（1臺PC） 市場部主任室（3臺PC） 運維辦公室（1臺PC）綜合部主任室（3臺PC） 綜合會議室（1臺PC）</p><p>　　三樓；大客戶經(jīng)理室（3臺PC） 副經(jīng)理室（1臺PC） 經(jīng)理室（1臺PC）</p><p>　　四樓：監(jiān)控機房（

17、3臺PC）</p><p>　　2.5 接入INTERNET方式</p><p>　?、?電話撥號（Modem）</p><p>　　下行（從網(wǎng)絡(luò)到用戶）速度最大為56kbit/s，上行（從用戶到網(wǎng)絡(luò)）速度最大為33.6 kbit/s </p><p><b>　?、?ISDN</b></p>&

18、lt;p>　　下行（從網(wǎng)絡(luò)到用戶）速度最大為128kbit/s，上行（從用戶到網(wǎng)絡(luò)）速度最大為56 kbit/s </p><p><b>　　③ ADSL</b></p><p>　　上行速率（最高1Mbit/s）和下行速率（最高8Mbit/s） </p><p>　?、?Cable Modem</p><p>

19、　　上行數(shù)據(jù)傳輸速率為320～5120kbit/s或640～10240kbit/s。下行數(shù)據(jù)傳輸速率為30.342Mbit/s或 42.884Mbit/s </p><p><b>　?、?寬帶專線接入</b></p><p>　　提供DDN、幀中繼、ATM、VDSL、LAN等多種專線接入方式 </p><p>　　鑒于各種業(yè)務(wù)的需要，本網(wǎng)絡(luò)采

20、用DDN專線接入方式。其應(yīng)用優(yōu)勢有：</p><p>　?、?傳輸質(zhì)量高，時延小，通信速率可以自主變化。</p><p>　　② 路由自動迂回，保證電路高可用率。</p><p>　?、?采用點對點或點對多點的專用數(shù)據(jù)線路，特別適用于業(yè)務(wù)量大、實時性強的用戶。</p><p>　?、?網(wǎng)管中心能以圖形化的方式對網(wǎng)絡(luò)設(shè)備進行集中監(jiān)控，電路的連接

21、、測試、告警、路由迂回均由計算機自動完成，使網(wǎng)絡(luò)管理智能化，減少不必要的人為錯誤。</p><p>　?、?專線入網(wǎng)線路穩(wěn)定，并可獲得真實的Internet IP地址，便于企業(yè)在互連網(wǎng)上建立網(wǎng)站、樹立企業(yè)形象、服務(wù)廣大客戶。</p><p>　　第三章 系統(tǒng)總體規(guī)劃和實現(xiàn)功能</p><p>　　3.1 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則、系統(tǒng)建設(shè)目標(biāo)</p><

22、p>　　本局域網(wǎng)核心部分采用2臺思科公司的Catalyst 2924 10/100 Mbps自適應(yīng)以太網(wǎng)交換機。若用戶數(shù)較多可以將兩臺10/100 M交換機級聯(lián)或者堆疊)，網(wǎng)絡(luò)服務(wù)器和所有聯(lián)網(wǎng)計算機連接在快速的10/100 Mbps端口上，既保證了網(wǎng)絡(luò)服務(wù)器具有較高的速度為所有聯(lián)網(wǎng)計算機服務(wù)，也使聯(lián)網(wǎng)計算機能夠以10/100Mbps獨占的速度在網(wǎng)絡(luò)上通訊。</p><p>　　該小型局域網(wǎng)建設(shè)目標(biāo)是滿足日常

23、辦公、文件和打印共享等基本應(yīng)用。原則上，這種規(guī)模的網(wǎng)絡(luò)，采用共享方式并不會對工作效率有太大影響，尤其應(yīng)用在辦公領(lǐng)域。但是，考慮到今后的業(yè)務(wù)量大等特點宜選擇使用10/100M共享式交換機。由于使用的設(shè)備數(shù)量小，投資少，即使需要更新設(shè)備，原有投資損失也不很大。系統(tǒng)功能：1.實現(xiàn)資源共享2.實現(xiàn)共享打印</p><p>　　3.實現(xiàn)辦公自動化 </p>

24、;<p>　　4.配合internet訪問子模塊可 </p><p>　　5.以實現(xiàn)訪問INTERNET 6.配合上層應(yīng)用能夠?qū)崿F(xiàn)企業(yè)智能化管理</p><p>　　第四章 網(wǎng)絡(luò)系統(tǒng)硬件環(huán)境設(shè)計</p><p>　　4.1 網(wǎng)絡(luò)拓樸結(jié)構(gòu)設(shè)計 如下圖所示：</p><p>

25、　　4.1.1 公司中心局域網(wǎng)拓樸結(jié)構(gòu)設(shè)計（即核心層）如下圖所示：</p><p><b>　　核心層設(shè)計</b></p><p>　　核心層位于網(wǎng)絡(luò)中心，采用二組交換機，相互堆疊后與路由器相連，以達到冗余的目的。DNS服務(wù)器、E-MAIL服務(wù)器和WEB服務(wù)器均通過百兆網(wǎng)卡與路由器相連，并通過100M網(wǎng)卡與冗余交換機相連。</p><p>&l

26、t;b>　　安全設(shè)計</b></p><p>　　為安全起見，在企業(yè)網(wǎng)與Internet之間安裝防火墻，將既有公用數(shù)據(jù)需要發(fā)布又有專用數(shù)據(jù)需要保護的Web服務(wù)器、DNS（或FTP）服務(wù)器、MAIL服務(wù)器通過防火墻與企業(yè)網(wǎng)及Internet連接。</p><p>　　4.1.2 各部門網(wǎng)絡(luò)拓樸結(jié)構(gòu)的設(shè)計（即匯聚層）如下圖所示：</p><p><

27、;b>　　分布層設(shè)計 </b></p><p>　　分布層按各部門分布。例如不同的部門配置不同的虛擬局域網(wǎng)，分布層為不同的虛擬局域網(wǎng)之間配置路由，并進行地址轉(zhuǎn)換，使每一局域網(wǎng)中的計算機都能將其內(nèi)部地址轉(zhuǎn)換成合法的Internet地址，訪問Internet。</p><p><b>　　訪問層設(shè)計</b></p><p>　　公

28、司大樓中，多功能功能會議室、監(jiān)控機房各組成一個局域網(wǎng)，這樣的局域網(wǎng)連接到交換機上。</p><p>　　4.2 傳輸方式的設(shè)計</p><p>　　4.2.1 網(wǎng)絡(luò)拓樸結(jié)構(gòu)的設(shè)計</p><p>　　一種典型的層次型拓撲結(jié)構(gòu)是三層層次模型（核心層、分布層和訪問層）。三層層次模型向上可以擴大到大型互連網(wǎng)絡(luò)，向下也可以用于交換式網(wǎng)絡(luò)或橋接網(wǎng)絡(luò)。三層層次拓撲結(jié)構(gòu)中的核心層

29、是互連網(wǎng)絡(luò)的高速主干。它提供場點之間的優(yōu)化傳輸路徑。核心層對互連至關(guān)重要，因此必須用冗余組件設(shè)計核心層，并保持有限和一致的范圍。對于需要通過外部網(wǎng)絡(luò)或經(jīng)Internet連接到其他企業(yè)的用戶來說，核心層拓撲結(jié)構(gòu)應(yīng)當(dāng)包括一條或多條連接到外部網(wǎng)絡(luò)的鏈路。</p><p>　　網(wǎng)絡(luò)的分布層是網(wǎng)絡(luò)的核心層與訪問層之間的分界點。它將網(wǎng)絡(luò)服務(wù)連接到訪問層，并實現(xiàn)安全、流量負載和選路的策略。分布層通常用于描述廣播域（盡管該功能在

30、訪問層也可以實現(xiàn)）。如果計劃實現(xiàn)一個虛擬局域網(wǎng)，那么分布層可以配置為VLAN之間的路由。分布層允許核心層連接多個地點，同時保持較高的性能。為了保持核心層的高性能，分布層可以在耗用帶寬的訪問層選路協(xié)議和優(yōu)化的核心層選路協(xié)議之間重新發(fā)布。為了提高選路協(xié)議的性能，分布層可以匯總訪問層的路由。對一些網(wǎng)絡(luò)而言，分布層提供了一個到訪問層路由器的默認路由，并且僅當(dāng)與核心層路由器通信時才運行動態(tài)選路協(xié)議。分布層的另一個功能是地址轉(zhuǎn)換。利用地址轉(zhuǎn)換，訪問

31、層中的設(shè)備可以使用專用內(nèi)部地址。地址轉(zhuǎn)換功能將該專用內(nèi)部地址轉(zhuǎn)換為合法的Internet地址，并能使這些分組在Internet上傳輸。</p><p>　　訪問層為端用戶提供了在局部子網(wǎng)訪問互連網(wǎng)絡(luò)的能力。它包括路由器、交換機、網(wǎng)橋和共享媒體的集線器。訪問層可以使用諸如ISDN、幀中繼、租用數(shù)字線路和模擬調(diào)制解調(diào)器等廣域網(wǎng)技術(shù)提供對公司互連網(wǎng)絡(luò)的訪問。</p><p>　　一般情況下，有兩

32、種基本的拓撲結(jié)構(gòu)能用于建立小型企業(yè)局域網(wǎng)，它們是星型結(jié)構(gòu)和總線拓撲結(jié)構(gòu)。如果網(wǎng)絡(luò)較大，可以在這兩種拓撲結(jié)構(gòu)的基礎(chǔ)上進行擴展，形成混合型拓撲結(jié)構(gòu)（多星或樹型結(jié)構(gòu)等）。如果網(wǎng)絡(luò)覆蓋面積很大，就要考慮使用更高性能的交換機或路由器這樣的網(wǎng)絡(luò)互連設(shè)備建立網(wǎng)絡(luò)主干，并在此主干基礎(chǔ)上建立更為復(fù)雜的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。因此，針對本網(wǎng)絡(luò)的規(guī)模，選擇星型拓撲結(jié)構(gòu)較為適宜。這里需要考慮：</p><p>　　(1)網(wǎng)絡(luò)傳輸媒體長度和傳輸速率

33、會受到限制。</p><p>　　(2)網(wǎng)絡(luò)互連設(shè)備，用于連接不同的物理段。</p><p>　　(3)網(wǎng)絡(luò)中設(shè)備的數(shù)量(信息點數(shù))，對共享式以太網(wǎng)，使用廣播方式交換數(shù)據(jù)，網(wǎng)絡(luò)中設(shè)備過多會導(dǎo)致?lián)砣⑹剐阅苎杆傧陆?。對交換式以太網(wǎng)，受交換技術(shù)(級連級數(shù)或堆疊個數(shù))的限制，站點數(shù)有限。</p><p>　　(4)媒體接入機制，決定單個設(shè)備如何競爭網(wǎng)絡(luò)媒體或獲取對網(wǎng)絡(luò)媒

34、體的訪問。在共享式以太網(wǎng)中，每一臺客戶機都要爭奪本地媒體的訪問權(quán)。</p><p>　　4.3 網(wǎng)絡(luò)互聯(lián)設(shè)備的選購</p><p><b>　　4.3.1 交換機</b></p><p>　　從OSI體系結(jié)構(gòu)上來看，普通的以太網(wǎng)交換機屬于數(shù)據(jù)鏈路層上的設(shè)備，它不僅對數(shù)據(jù)的傳輸起到同步、放大和整形作用，而且還能在數(shù)據(jù)傳輸過程中過濾短幀、碎片等，不

35、會出現(xiàn)數(shù)據(jù)包丟棄、傳送延時等現(xiàn)象，保證了數(shù)據(jù)傳輸?shù)恼_性。</p><p>　　從工作方式上來看，交換機檢測到某一端口發(fā)來的數(shù)據(jù)包，根據(jù)其目標(biāo)地址，查找交換機內(nèi)部的“端口—地址”表，找到對應(yīng)的目標(biāo)端口，打開源到目標(biāo)端口之間的數(shù)據(jù)通道，將數(shù)據(jù)包發(fā)送到對應(yīng)的目標(biāo)端口上。當(dāng)不同的源端口向不同的目標(biāo)端口發(fā)送信息時，交換機就可以同時互不影響地傳送這些信息包，并防止傳輸碰撞，隔離沖突域，有效地抑制廣播風(fēng)暴，提高網(wǎng)絡(luò)的實際吞吐

36、量。</p><p>　　從帶寬上來看，交換機上每個端口都獨占帶寬，對12個端口10M的交換機，總帶寬為12*10=120M。同時交換機還支持全雙工。</p><p>　　從維護角度上來看，普通交換機的維護比較簡單的。通過交換機上的指示燈就能確定哪些端口上的計算機網(wǎng)卡或網(wǎng)線有故障，并予以排除。</p><p>　　4.3.2 交換機的選擇 </p>&

37、lt;p><b>　　背板帶寬</b></p><p>　　背板帶寬是交換機接口處理器或交換模塊和數(shù)據(jù)背板總線間所能吞吐的最大數(shù)據(jù)量。它標(biāo)志著一個交換機總的吞吐能力。通常，背板帶寬（全雙工模式下）至少等于“端口數(shù) * 端口速率 * 2”。</p><p><b>　　包轉(zhuǎn)發(fā)率</b></p><p>　　包轉(zhuǎn)發(fā)率指每

38、秒轉(zhuǎn)發(fā)數(shù)據(jù)包的數(shù)量，單位為Mpps（百萬包/每秒）。通常為幾Mpps到幾百Mpps。</p><p><b>　　端口類型</b></p><p>　　端口類型指交換機上的端口是以太網(wǎng)、令牌環(huán)、FDDI還是ATM等。固定端口交換機只有單一類型的端口，中高端模塊化交換機提供不同介質(zhì)類型的模塊，實現(xiàn)以太網(wǎng)、令牌環(huán)、FDDI等的互連。</p><p>

39、;<b>　　端口速率</b></p><p>　　端口速率指交換機端口提供給數(shù)據(jù)資源設(shè)備獨享的帶寬，體現(xiàn)了交換機端口每秒吞吐多少數(shù)據(jù)包的能力。通常有10Mbit/s、100Mbit/s、10/100Mbit/s自適應(yīng)、1000Mbit/s、萬兆位/s。</p><p><b>　　端口密度</b></p><p>　　是

40、指一臺交換機所支持的最大端口數(shù)量。端口密度是在所有模塊插槽都插滿模塊的情況下計算出來的。選用模塊不同，端口密度值也不同。</p><p><b>　　能否使用光纖</b></p><p>　　如果布線中必須選用光纖，則需要選擇光纖接口交換機（價格較高），或加裝光纖模塊，或加裝雙絞線與光纖的轉(zhuǎn)發(fā)器。</p><p><b>　　冗余模塊

41、</b></p><p>　　冗余模塊用在模塊化的交換機上，用以提高設(shè)備的容錯能力，避免模塊失效引起系統(tǒng)崩潰。常用的冗余模塊包括超級引擎模塊、交換矩陣模塊和電源模塊，它們都是影響系統(tǒng)能否正常工作的重要模塊。</p><p><b>　　堆疊能力</b></p><p>　　堆疊能力包括堆疊的帶寬、堆疊的層數(shù)兩個重要指標(biāo)。只有同類的交

42、換機才能互相堆疊在一起，不同類型的交換機其堆疊端口、堆疊線纜和堆疊協(xié)議都不相同，只能級連，不能堆疊。有兩種堆疊連接方式，一種是從堆疊矩陣中心堆疊模塊引出線纜到各交換機（帶寬約幾Gbit/s），另一種是交換機之間互相連接起來（帶寬約1Gbit/s）。堆疊的層數(shù)為4到9臺不等。</p><p><b>　　VLAN數(shù)量</b></p><p>　　考慮對VLAN的支持能力

43、和支持數(shù)量。目前大多數(shù)交換機都支持1000個以上的VLAN。</p><p><b>　　MAC地址數(shù)量</b></p><p>　　MAC地址數(shù)量是指交換機的CAM表中可以最多存儲多少個MAC地址，存儲的MAC地址數(shù)量越多，數(shù)據(jù)轉(zhuǎn)發(fā)的速度和效率就越高。此指標(biāo)數(shù)值通常為幾千到幾萬。</p><p>　　CISCO Catalyst 2924C

44、XL 主要參數(shù)</p><p><b>　　4.3.3 路由器</b></p><p>　　Cisco 1700系列模塊化接入路由器為中小型企業(yè)和大型企業(yè)的小型分支機構(gòu)提供了一種價格低廉的、集成化的接入平臺。這款基于Cisco IOS的路由器可以提供高速的網(wǎng)絡(luò)接入、全面的安全功能、三層交換能力和多服務(wù)數(shù)據(jù)/語音/視頻/傳真集成，可以滿足最嚴(yán)格的業(yè)務(wù)需求。</p&

45、gt;<p>　　第五章 網(wǎng)絡(luò)系統(tǒng)軟件環(huán)境設(shè)計</p><p>　　5.1 操作系統(tǒng)及應(yīng)用軟件</p><p>　　5.1.1 網(wǎng)絡(luò)操作系統(tǒng)的選購</p><p>　　目前，常見的局域網(wǎng)操作系統(tǒng)主要有NetWare、Windows NT Server和Unix這三種。由于這個企業(yè)局域網(wǎng)物理跨度不大，主要用途是方便企業(yè)內(nèi)部人員資源共享。因此，可以選用Wi

46、ndows 2000 server網(wǎng)絡(luò)操作系統(tǒng)作為本網(wǎng)絡(luò)的操作平臺。Windows NT是32位多用戶、多任務(wù)的NOS，也是一種面向分布式圖形應(yīng)用程序接口的平臺系統(tǒng)。其特點有：</p><p>　　單機與網(wǎng)絡(luò)（服務(wù)器）管理方式相互兼容（統(tǒng)一）。</p><p>　　在桌面環(huán)境（圖形化界面）下實現(xiàn)通信、服務(wù)應(yīng)用與管理操作</p><p>　　首次提出采用域（Domai

47、n）層次結(jié)構(gòu)管理用戶和網(wǎng)絡(luò)資源。</p><p>　　集成了用于建立和管理網(wǎng)絡(luò)服務(wù)的軟件，如FTP、DNS、DHCP等。</p><p>　　5.1.2應(yīng)用軟件的選購</p><p>　　選擇防毒軟件的標(biāo)準(zhǔn)：</p><p>　　1、“高偵測率”是基本條件；</p><p>　　未知病毒檢測能力、未知病毒清除能力 &l

48、t;/p><p>　　壓縮文件查毒（不限層數(shù)）、壓縮文件清毒（不限層數(shù)） </p><p>　　打包文件查毒（不限層數(shù)）、打包文件清毒（不限層數(shù)） </p><p>　　內(nèi)存查毒、內(nèi)存清毒、運行文件清毒 </p><p>　　2、“容易管理”是基本要求；</p><p>　　3、未知病毒“隔離政策”是關(guān)鍵。 </p&

49、gt;<p>　　由于這個企業(yè)局域網(wǎng)主要是方便內(nèi)部員工進行資源共享。因此，選用瑞星：Rishing殺毒軟件。瑞星殺毒軟件2007下載版，是基于第八代虛擬機脫殼引擎(VUE)研制開發(fā)的新一代信息安全產(chǎn)品，能夠準(zhǔn)確查殺各種加殼變種病毒、未知病毒、黑客木馬、惡意網(wǎng)頁、間諜軟件、流氓軟件等有害程序，在病毒處理速度、病毒清除能力、病毒誤報率、資源占用率等主要技術(shù)指標(biāo)上實現(xiàn)了新的突破。同時用戶可以免費下載安裝包，具有免費查毒和實時監(jiān)控

50、功能，無需用戶每次都連接到互聯(lián)網(wǎng)就能免費查毒。 </p><p>　　5.1.3 網(wǎng)絡(luò)防火墻的選購</p><p>　　防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，實現(xiàn)網(wǎng)絡(luò)的安全保護，以防止發(fā)生不可預(yù)測的、潛在破壞性的侵入。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口 。 </p><p>　　對防火墻的兩大需求：</p><p>

51、<b>　　保障內(nèi)部網(wǎng)安全 </b></p><p>　　保證內(nèi)部網(wǎng)同外部網(wǎng)的連通</p><p>　　瑞星網(wǎng)絡(luò)防火墻具有保護網(wǎng)絡(luò)安全，免受黑客攻擊的功能。其采用增強型指紋技術(shù)，有效的監(jiān)控網(wǎng)絡(luò)連接。內(nèi)置細化的規(guī)則設(shè)置，使網(wǎng)絡(luò)保護更加智能。游戲防盜、應(yīng)用程序保護等高級功能，為個人電腦提供全面安全保護。通過過濾不安全的網(wǎng)絡(luò)訪問服務(wù)，極大地提高了用戶電腦的上網(wǎng)安全。徹底阻擋

52、黑客攻擊、木馬程序等網(wǎng)絡(luò)危險，保護上網(wǎng)帳號、QQ密碼、網(wǎng)游帳號等信息不被竊取。</p><p><b>　　5.2 網(wǎng)絡(luò)安全</b></p><p>　　5.2.1 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析 </p><p>　　隨著Internet網(wǎng)絡(luò)急劇擴大和上網(wǎng)用戶迅速增加，風(fēng)險變得更加嚴(yán)重和復(fù)雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)，

53、引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風(fēng)險正日益嚴(yán)重。 針對這個企業(yè)局域網(wǎng)中存在的安全隱患，在進行安全方案設(shè)計時，下述安全風(fēng)險我們必須要認真考慮，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措施。下述風(fēng)險由多種因素引起，與這個企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類風(fēng)險因素。</p><p>　　網(wǎng)絡(luò)安全可以從以

54、下三個方面來理解：1、網(wǎng)絡(luò)物理是否安全；2、網(wǎng)絡(luò)平臺是否安全；3、系統(tǒng)是否安全；4、應(yīng)用是否安全；5、管理是否安全。針對每一類安全風(fēng)險，結(jié)合這個企業(yè)局域網(wǎng)的實際情況，我將具體的分析網(wǎng)絡(luò)的安全風(fēng)險。 1、物理安全風(fēng)險分析 網(wǎng)絡(luò)的物理安全的風(fēng)險是多種多樣的。主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；線路截獲等。它是整個網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個企業(yè)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，

55、只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。它主要包括三個方面： </p><p>　　環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護；（參見國家標(biāo)準(zhǔn)GB50173－93《電子計算機機房設(shè)計規(guī)范》、國標(biāo)GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》 </p><p>　　設(shè)備安全：主要包括設(shè)備的防盜

56、、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等； </p><p>　　媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。 2、網(wǎng)絡(luò)平臺的安全風(fēng)險分析 </p><p>　　網(wǎng)絡(luò)平臺的安全涉及到網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。 </p><p>　　安全的應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上的。網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在這個

57、企業(yè)局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺路由器，用作與Internet連接的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。</p><p>　　3、系統(tǒng)的安全風(fēng)險分析 </p><p>　　所謂系統(tǒng)的安全顯而易見是指整個局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。這里主要對操作平臺進行安全配置、對操作和訪問權(quán)限進行嚴(yán)格控制，

58、提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺。而且，必須加強登錄過程的認證（特別是員工查看工資、績效考核的認證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。</p><p>　　4、應(yīng)用的安全風(fēng)險分析 </p><p>　　應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性；信息的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假

59、冒、破壞系統(tǒng)的可用性等。由于這個企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于有些特別重要的信息需要對內(nèi)部進行保密的（比如領(lǐng)導(dǎo)PC、財務(wù)系統(tǒng)傳遞的重要信息）可以考慮在應(yīng)用級進行加密，針對具體的應(yīng)用直接在軟件上進行加密。</p><p>　　5、管理的安全風(fēng)險分析 </p><p>　　管理是網(wǎng)絡(luò)安全中最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制

60、度不健全以及缺乏可操作性等都可能引起管理安全的風(fēng)險。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應(yīng)制度來約束。</p><p>　　6、黑客和病毒的攻擊 </p><p>　　前段時間廣泛傳播的“熊貓燒香”、“灰鴿子”病毒給我們的生活帶來嚴(yán)重損失。計算機病毒一直是計算機安全的主要威脅。能

61、在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，目前有關(guān)國際組織統(tǒng)計的病毒總數(shù)已達上萬甚至更多。當(dāng)然，查看文檔、瀏覽圖像或在Web上填表都不用擔(dān)心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。&

62、lt;/p><p>　　7、不滿的內(nèi)部員工 </p><p>　　不滿的內(nèi)部員工（如內(nèi)部網(wǎng)絡(luò)管理員）可能利用自己的技能優(yōu)勢在WWW站點上開些小玩笑，甚至破壞。不論如何，他們都熟悉公司服務(wù)器、小程序、腳本和系統(tǒng)的弱點。對于已經(jīng)離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風(fēng)險。但還有心懷不滿的在職員工，這些員工比已經(jīng)離開的員工能造成更大的損失，例如他們可以傳出至關(guān)重要的信息、泄露安

63、全重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。 </p><p>　　5.2.2 安全需求與安全目標(biāo) </p><p><b>　　安全需求分析 </b></p><p>　　通過前面對這個企業(yè)局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對服務(wù)器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。因此，必須采取相應(yīng)的安全措施

64、杜絕安全隱患，其中應(yīng)該做到： </p><p>　　公開服務(wù)器的安全保護 </p><p>　　入侵檢測與監(jiān)控（防火墻技術(shù)）</p><p><b>　　信息審計與記錄 </b></p><p><b>　　病毒防護 </b></p><p><b>　　數(shù)據(jù)安全保

65、護 </b></p><p><b>　　數(shù)據(jù)備份與恢復(fù) </b></p><p><b>　　網(wǎng)絡(luò)的安全管理 </b></p><p>　　針對這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求： </p><p>　　1、大幅度地提高系統(tǒng)的安全性（重

66、點是可用性和可控性）； </p><p>　　2、易于操作、維護，并便于自動化管理，而不增加或少增加附加操作； </p><p>　　3、盡量不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展； </p><p>　　4、安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用； </p><p>　　5、安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)

67、管理部門的認可或認證； </p><p><b>　　6、分布實施。</b></p><p>　　5.2.3 網(wǎng)絡(luò)安全策略 </p><p>　　安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分，即： </p><p>　　威嚴(yán)的法律：安全的

68、基石是社會法律、法規(guī)與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。</p><p>　　先進的技術(shù)：先進的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。 </p><p>　　嚴(yán)格的管理：各網(wǎng)絡(luò)使用機構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安

69、全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。 5.2.4 系統(tǒng)安全目標(biāo) 基于以上的分析，我們認為這個局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下目標(biāo)： </p><p>　　建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 </p><p>　　將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信 </p><p>　　建立網(wǎng)內(nèi)各主機和

70、服務(wù)器的安全保護措施，保證他們的系統(tǒng)安全 </p><p>　　加強合法用戶的訪問認證，同時將用戶的訪問權(quán)限控制在最低限度 </p><p>　　全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客病毒攻擊行為 </p><p>　　加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志 </p><p>

71、　　備份與災(zāi)難恢復(fù)——強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復(fù) </p><p>　　加強網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)</p><p>　　5.3 網(wǎng)絡(luò)安全方案總體設(shè)計 5.31 安全方案設(shè)計原則 </p><p>　　在對這個企業(yè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則： </p><p>　　綜合性、整體性原

72、則：應(yīng)用網(wǎng)絡(luò)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（密碼、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略

73、制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 </p><p>　　需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡(luò)進行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 </p><p>　　一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期

74、（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細設(shè)計）及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等，都要有可行的措施，實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費也小得多。 </p><p>　　易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常

75、運行。 </p><p>　　多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全。 </p><p>　　可評價性原則：如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認證機構(gòu)的評估來實現(xiàn)。 </p><p><b>　　結(jié)束

76、語</b></p><p>　　通過這次課程設(shè)計，我更加熟悉了計算機網(wǎng)絡(luò)的理論知識，通過實際操作,對上學(xué)期所學(xué)的計算機網(wǎng)絡(luò)課程有了更深層次的了解。此次課程設(shè)計鍛煉了我的實際操作能力，很多理論上的東西看起來簡單，但是真的要實踐起來還是需要付出很多努力的。而且，通過完成這一實驗，讓我接觸到很多在以后工作中可能要遇到的問題，解決這些問題的過程也是一個自我提高的過程，讓我對將來的就業(yè)問題有了更多的思考，也給了