前言：中文期刊網精心挑選了企業網絡設計方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

企業網絡設計方案范文1

[關鍵詞]網絡設計；網絡層次；流量分析

中圖分類號：TP393.02 文獻標識碼：A 文章編號：1009-914X（2015）45-0075-01

1 引言

網絡飛速的發展，滲透了各行各業。在今天的時代大環境中，企業只有在技術上領先才能在競爭中擁有優勢地位。電子商務、電子郵件、光纖寬帶、局域網技術、等不斷技術不斷出現，除了現有的這些應用，一些新的應用方式也逐步出現。比如VOIP電話、遠程視頻會議等用于提高工作效率的方式。因此，作為企業來說，需要一個更加集成化一體化的網絡解決方案，它不僅符合時代的潮流，而且能夠有效地提高工作效率。

2 網絡方案設計

本方案為某中小型企業的網絡規劃，主樓建筑共8層，地下一層，裙樓3層。建筑主樓的功能是辦公樓，裙樓作為會堂使用。本系統的功能是為辦公人員提供局域網使用以及實現辦公樓的信息數據的共享和傳輸。

結合整個實際應用和發展要求，在進行網絡系統改造設計時，主要應遵循以下原則：

1.高性能：網絡要求具有數據、圖像、語音等多媒體實時同步通訊能力。網絡系統可以提供足夠的網絡帶寬和多種類型的服務。

2.高可靠性：網絡系統需要保證連續運行的工作時間以及足夠有效的防火墻。同時，在核心層采用雙機容災設置，降低了由系統故障引起的停滯時間。可靠性還充分考慮網絡系統的性價比，使整個網絡具有一定的容錯能力，減少單點故障。

3.標準化：所有網絡設備都符合有關國際標準以保證不同廠家網絡設備之間的互操作性和網絡系統的開放性。

4.高可用度和冗余：系統的關鍵部件具有熱插拔功能，可保證在部件的更換或增加時不影響網絡正常運行。

5.易管理性：網絡系統中的網絡設備需要便于管理和后期的維護，并且在操作上不能太過復雜，當出現故障時，應能夠及時的被發現和解除。

3 網絡系統規劃設計

目前網絡系統拓撲結構有四種分析：

（一） 星型拓撲結構

（二） 總線拓撲結構

（三） 環型拓撲結構

（四） 樹型拓撲結構

根據上表中各個網絡結構特點的對比以及現實的需求，本項目中網絡結構選擇分層集中式網絡結構或者星型分級網絡結構。根據本系統的具體情況，可以采用三級星型網絡結構。三級星型網絡結構比較易于集中式的管理。因此，采用該種網絡結構的網絡系統更加便于平時的管理和后期的維護，用戶端的網絡設備由于故障停止運行并不會引起整個網絡的癱瘓。然而，此種網絡結構方式要求網絡中心管理設備具有很高的可靠性，因為它決定了整個系統每個用戶端的運行狀況。

二級星型結構如下：

網絡系統設計如下：

A. 主干網匯接各子網，形成中心交換；

B. 子網通過高速交換鏈路連接到主干網；

C. 實行全網范圍的集中VLANs劃分與管理；

D. 核心網絡采用雙機熱備容災方式；

E. 在網絡中心進行集中控制和管理；

F. 桌面機連接到基層網段上，服務器、工作站連接到高層網絡；

G. 流量劃分層次，跨越基層網段的流量匯接到工作組子網，跨越工作組子網的流量匯接到主干；

H. 在完善的網絡基礎之上，系統提供基本的Internet服務。

本項目計算機網絡總體上分為兩個層次的結構：核心層，接入層。

核心層：核心層主要為網絡系統提供一條高帶寬、高容量、高可靠性的高速信息公路，為監控數據查看與存儲提供高速的數據交換通路。該層由兩臺核心交換機互為熱備構成，提供若干個千兆以太網絡光纖端口以及第三層路由交換功能。

接入層：接入層提供了連接各信息點的匯集功能，通過本層將各信息點匯總連接到核心層，由核心層實現信息交換。接入層由各樓層的交換機構成，各樓層交換機與核心交換機之間以雙千兆光纖連接，每一臺接入交換機分別兩臺核心交換機，以保證網絡鏈路的高可靠性。

4 結論

如今計算機網絡的發展，網絡化、智能化建筑的概念逐步成為人們選擇辦公場所和衡量居住環境是否方便的一個重要因素，

本論文設計主要是根據現今的企業發展，本文以網絡工程設計與規劃為題，闡述了如何規劃與設計一個大中型網絡的具體實現步驟，通過網絡需求收集以及對網絡層次、拓撲、地址、路由、安全等方面進行分析為最終的網絡設計方案構建提供決策的依據。

參考文獻

[1] 高飛、高平.計算機網絡和網絡安全基礎.北京理工大學出版社，2002年版

[2] 許多頂.計算機網絡技術與應用.中國財政經濟出版社，2005年版

[3] 黎洪松.網絡系統集成技術與其應用.科學出版社，1999年版

[4] 劉勇.計算機網絡與互連技術.人民郵電出版社，2000年版

[5] 陳偉達.計算機網絡原理和使用技術.上海教育出版社，1999年版

企業網絡設計方案范文2

關鍵詞 網絡威脅;網絡防御;網絡安全;防火墻

中圖分類號TP393 文獻標識碼A 文章編號 1674-6708(2010)31-0211-01

1 企業內部網絡安全面臨的主要威脅

一般來說,計算機網絡系統的安全威脅主要來自以下幾個方面:

1)計算機病毒的侵襲。計算機病毒侵入網絡,對網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓;

2)黑客侵襲。黑客非法進入網絡使用網絡資源。例如通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;通過網絡監聽獲取網上用戶賬號和密碼;非法獲取網上傳輸的數據等;

3)拒絕服務攻擊。例如“郵件炸彈”,使用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行。嚴重時會使系統關機,網絡癱瘓;

4)通用網關接口(CGI)漏洞。搜索引擎是通過CGI腳本執行的方式實現的,黑客可以修改這些CGI腳本以執行他們的非法任務;

5)惡意代碼。惡意代碼不限于病毒,還包括蠕蟲、特洛伊木馬、邏輯炸彈等。

2 企業網絡安全目標

1)建立一套完整可行的網絡安全與管理策略,將內部網絡、公開服務器網絡和外網進行有效隔離;2)建立網站各主機和服務器的安全保護措施,保證系統安全;3)對網上服務請求內容進行控制,使非法訪問在到達主機前被拒絕;4)加強合法用戶的訪問認證,同時將用戶的訪問權限控制在最低限度,全面監視對公開服務器的訪問,及時發現和拒絕不安全的操作和黑客攻擊行為;5)加強對各種訪問的審計工作,詳細記錄對網絡、公開服務器的訪問行為,形成完整的系統日志備份與災難恢復;6)提高系統全體人員的網絡安全意識和防范技術。

3 安全方案設計原則

對企業局域網網絡安全方案設計、規劃時,應遵循以下原則:

1)綜合性、整體性原則:應用系統工程的觀點、方法,分析網絡的安全措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。

2)需求、風險、代價平衡的原則:對任一網絡,絕對安全難以達到,也不一定必要。對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略,是比較經濟的方法。

3)一致性原則:網絡安全問題貫穿整個網絡的生命周期,因此制定的安全體系結構必須與網絡的安全需求相一致。在網絡建設開始就考慮網絡安全對策,比在網絡建設好后再考慮安全措施,要有效得多。

4)易操作性原則:安全措施需要人為去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性。

5)分步實施原則:由于網絡規模的擴展及應用的增加。一勞永逸地解決網絡安全問題是不現實的,費用支出也較大。因此可以分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。

6)多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。因此需要建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它保護仍可保護信息安全。

4 主要防范措施

1)依據《互聯網信息服務管理辦法》、《互聯網站從事登載新聞業務管理暫行規定》和《中國互聯網絡域名注冊暫行管理辦法》建立健全各種安全機制和安全制度,加強網絡安全教育和培訓。

2)網絡病毒的防范。作為企業應用網絡,同時需要基于服務器操作系統平臺、桌面操作系統、網關和郵件服務器平臺的防病毒軟件。所以最好使用全方位的防病毒產品,通過全方位、多層次的防病毒系統的配置,使網絡免受病毒的侵襲。

3)配置防火墻。防火墻是一種行之有效且應用廣泛的網絡安全機制。利用防火墻執行一種訪問控制尺度,將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,同時防止Internet上的不安全因素蔓延到局域網內部。

4)采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,用于檢測計算機網絡中違反安全策略行為。利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。最好采用混合入侵檢測,同時采用基于網絡和基于主機的入侵檢測系統,構架成一套完整立體的主動防御體系。

5)漏洞掃描系統。解決網絡安全問題,要清楚網絡中存在哪些安全隱患、脆弱點。僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估顯然是不現實的。能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具是較好的解決方案,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

6)IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,否則不允許通過路由器,同時給發出這個IP廣播包的工作站返回一個警告信息。

7)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序,長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。

企業網絡設計方案范文3

關鍵詞：企業組網；網絡設計需求；網絡架構分析

中圖分類號：TN948.11 文獻標識碼：A文章編號：1007-9599 (2012) 06-0000-02

一、網絡設計需求分析

（一）總體需求分析

企業網絡的總體需求即是一個統一、可靠和安全的自動化辦公硬件平臺系統。這個企業網絡系統必須滿足如下幾點：滿足現代企業管理的統一，設計網絡系統時增加對統一管理的要求；滿足現代企業自動化辦公對網絡帶寬的苛刻需求，提供高性能的網絡處理能力；滿足現代企業部門多，資源分配有限的現狀，合理規劃網絡層次，實現最優的資源共享；滿足現代企業的發展及科技進步的需要，提供拓展能力強、升級靈活的網絡環境；滿足現代企業對信息資源的共享與安全，提供完善的網絡安全解決方案；滿足現代企業對辦公效率及成本控制的需求，增加一套高效的網絡應用解決方案。

（二）具體需求分析

1.基本架構的需求

針對大中型企業網設計，網絡結構采用典型的三層網絡結構，并使用VLAN技術來對網段進行劃分管理；考慮到未來網絡的發展，使用當今流行的千兆以太網技術，實現千兆核心、百兆接入；核心網絡設備的冗余備份，實現公司內部的無間斷運作；組建WLAN（無線局域網）區域，由于無線只用于較少的場合，這里選用無線AP+交換機（有線）的組合，實現簡單、經濟的無線網絡解決方案。

2.網絡出口和接入

租用電信固定IP，申請高速的寬帶網絡，能通過Internet向外公布和企業信息，并能實施VPN（虛擬專用網絡）方案；使用PAT（端口地址轉換）和端口映射，在滿足內網連接Internet的同時能夠讓外網正確訪問公共服務器。

3.網絡安全的需求

采用訪問控制措施對內網對外網、內網對DMZ（非軍事區）、外網對DMZ的防火墻設置，阻止惡意流量的侵入；啟用VPN解決方案，在最經濟的條件下實現安全的異地信息共享，并能實現移動辦公；因內網使用DHCP（動態主機配置協議）解決方案，啟用DHCP過濾、動態ARP（地址解析協議）檢測等手段對內網安全進行鞏固；對非員工區域以及無線網絡接入啟用802.1x+radius服務器驗證方案；公司內部計算機安裝防病毒軟件來實施全網的病毒安全防護。

4.硬件安全的需求

網絡中心機房規格應符合相關管理標準，機房建設的好壞直接關系到機房內計算機系統是否能穩定可靠地運行；配置高質量電源，設置良好的接地系統，并且安裝UPS（不間斷電源）裝置；做好網絡監控與安全措施，防止非授權人員直接進入機房實施入侵。

5.服務器選擇需求

由于網絡產品的性能、質量和功能與其價錢成正比，因而在一些關鍵器的選擇上，如數據庫服務器、Web/Mail服務器等負荷較重的業務上應該選擇性能較強的產品，而一些工作負載較少的應用，如DHCP服務器、DNS服務器等，可選擇配置較好的普通PC來承擔。

6.網絡的安全教育

建立一套完整的網絡管理規定和網絡使用方法，并要求網絡管理員和網絡使用人員必須嚴格遵守；加強對網絡管理員和網絡使用人員的培訓；制定合適的網絡安全策略，讓網絡用戶在使用網絡的過程中逐步把網絡當成工作中的一個得力工具，從而自覺地維護網絡的安全。

二、網絡總體設計方案

（一）網絡結構設計

企業網絡，在本設計中也可在本設計中也可以稱為園區網，園區網是非常典型的綜合型網絡實例，園區網通常是指大學的校園網及企業的內部網（intrfaceernet）。園區網分為3個部分，分別是交換網絡，路由網絡和遠程登陸網絡，主要的中心部分是交換網絡部分。

1.主干結構設計

本設計將網絡結構分為三層：接入層、匯聚層和核心層。使用三層網絡結構適合大中型企業的實際規模；二是這能提高網絡對突發事故的自動容錯能力，減少網絡故障排錯的難度和時間；三是采用此網絡分層有利于企業將來更靈活地對企業網升級擴大。

2.樓層局域網設計

接入層采用支持802.1Q的10/100Mbps工作組以太網交換機，交換機的數據依據用戶端口數、可靠性及網管要求配置網絡接入交換機，使10/100Mbps流量接至桌面。

3.互聯網接入設計

互聯網接入由位于網絡中心的DMZ交換機、WWW服務、E-mail服務、防火墻、路由器、Intrfaceernet光纖接入組成。向電信申請一個固定IP，提供外網服務器的訪問服務。

4.VLAN設計

通過VLAN將相同業務的用戶劃分在一個邏輯子網內，各工作組交換機采用基于端口的VLAN劃分策略，劃分出多個不同的VLAN組，分隔廣播域。同樣在千兆/百兆以太網上聯端口上設置802.1Q協議，設置通信干道(Truck)，將每個VLAN的數據流量添加標記，轉發到主干交換機上實現網絡多層交換。

5.VPN設計

通過Intrfaceernet采用VPN數據加密技術，構成企業內部虛擬專用網，可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。

（二）網絡拓撲設計

本設計中用的到的設備采用Cisco公司的網絡設備構建。全部網絡設備使用同一廠商設備的主要原因是在于可以實現各種不同網絡設備功能的兼容以及互相配合和補充。設計的網絡拓撲設計圖如圖3.1所示。

圖2.1 網絡拓撲設計圖

在圖2.1的拓撲中，接入層選用較廉價的二層交換機，如Catalyst 2960等；匯聚層選用中性能三層交換機，如Catalyst 3560；核心層選用性能更加強大的三層核心交換機，如Catalyst 4500系列，甚至Catalyst 6500系列。防火墻則選用ASA 5500系列，網關路由器則選用3600系列路由器（由于仿真軟件的設計問題，實驗設計中未必能選用到一模一樣的網絡設備，但由于設計和功能上的設計，在實驗環境下并沒有太大差別，只有在實際環境下，對性能的考驗才有較明顯的差異）。

（三）VLAN與IP地址規劃

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網” 通過將企業網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。一個合適的園區網，就需要一個合理的交換機網絡，本設計中應用VLAN劃分不同區域。每個VLAN分配IP網段的網絡位均為24位，每個網段都會保留前10個地址，用作網關、管理以及部門服務器等用途，主機位（二進制）為全0或全1的地址不分配，即每個分配到PC用的地址將有244個。

（四）模塊設計與仿真

結合網絡拓撲設計，本企業網設計方案可以分為以下四大部分構成：

交換模塊

廣域網接入模塊

遠程接入模塊

安全加固模塊。

交換模塊由Cisco Packet Tracer進行模擬仿真，廣域網接入摸快、遠程接入模塊和安全模塊使用GNS3、DynamipsGUI進行模擬仿真（由于模擬實驗與真實平臺有一定差異，一些命令配置并不能完全在模擬環境下實現）。

小結：

本文主要是以實際企業組網的前期網絡規劃階段為研究對象，主要是以確定需求、網絡架構為主。實際組網的工程比較巨大，考慮的因素也比較多，是無法僅僅用書上的知識體系去完成的。本人將在日后的學習工作中不斷深入這方面的研究。

參考文獻：

[1]田果,劉丹寧（譯）.Yusuf Bhaiji.網絡安全技術與解決方案（修訂版）[M].北京.人民郵電出版社,2010

[2]羅進文,譚筠梅,饒俊,張媛（譯）.David Hucaby.Cisco ASA、PIX與FWSM防火墻手冊（第二版）[M].北京:人民郵電出版社,2010

企業網絡設計方案范文4

現在，這種能與消費者充分互動的網絡營銷平臺正在成為紅星·美凱龍、鳳凰名優建材城、歐凱龍、好易家等建材家居賣場爭相看好、重點培育的“香餑餑”，成為除傳統銷售渠道之外的又一強勢渠道。

現象

網絡營銷渠道成為新寵

家居市場在經歷了多年的繁華后，開始逐漸降溫，消費者觀望情緒漸濃，銷售不再高歌猛進，建材家居流通業充滿了挑戰和變數。誰創新、提升得及時，誰就有機會成為行業競爭的領跑者。

具體到網絡營銷渠道的創新和突破方面，有一個現象值得大家關注，那就是：無論是全國連鎖企業，還是各地的本土企業，大家的起點相差并不大。

一些建材商場相關負責人表示，目前，大家都很看好網絡營銷，都在加大這方面的投入，今后就看誰能把它做好，能把網絡營銷從一個概念、一個口號，真正發展成為助力企業發展的重要的營銷渠道。

記者了解到，目前各大建材家居商場都已建起了自己的品牌網站。至于怎樣把傳統觀念中用于信息的企業網站，變成與讀者充分互動、具有營銷能力的營銷渠道？各家給出的答案并不相同。

紅星·美凱龍全球家居生活廣場企劃部網絡運營專員透露，目前商場不但每年舉行4-5次整體性的網絡團購，還正在計劃首推一種虛擬的整體家裝服務，消費者可以到紅星·美凱龍按照虛擬設計，將真實的產品統統買回家，從而構建出一個真實的家。

一些在地方頗具規模的建材城也在加大資金投入，建立自己的網絡運營隊伍，將企業網站與網絡營銷的概念徹底區分開來。他們不但成立專門宣傳企業文化、公布內部信息的企業網站，還專門成立發揮營銷渠道作用的專業網站。

優點

為家居零售帶來轉機

家居網絡營銷的盛行，除受市場競爭加劇、商家急于突破的因素影響外，更深層次的原因是消費者的消費觀念和方式正在發生轉變。目前，“80、90后”正逐漸成為消費主力軍，他們喜歡通過網絡這種足不出戶就能購物的方式，因此，網絡營銷將成為年輕人最愛的購物方式。

由全美零售商聯合會下屬的網站最近公布的一項調查顯示，“雖然全球經濟形勢嚴峻，但是大部分家居零售商都相信網絡銷售體系能為他們的銷售帶來轉機”。

就在前兩年，一些強勢企業已開始注意到網絡營銷，當時網站更多的是起著推廣企業知名度的作用。但現在市場不同了，很多企業已真正注重挖掘網絡營銷帶來的實質性價值，期望用更少的投入得到更好的回報。

缺點

網絡營銷服務有待完善

網絡營銷的前景雖被看好，但也需要規避發展中的誤區與弊端。直面其中的優與劣，不少業內人士直言不諱。

相比北京、上海、廣州、天津等一線城市，一些中小城市的網絡營銷優勢還沒有得到明顯的發揮，消費者的網上消費習慣也有待培養。

企業網絡設計方案范文5

關鍵詞:企業網絡;網絡安全;園區網絡;邊界網絡

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)09-2097-02

Design of Enterprise Network Security Architecture

XU Shan-mei

(Huanggang Municipla Bureau of Radio and Television, Huanggang 438000, China)

Abstract: In the e-government and e-business applications today, the rapid development of information security issues become increasingly acute. In this paper, from a technical point of view the factors described how to secure network architecture design. With the actual situation of enterprise networks, using modular design concept, the corporate network is divided into two parts: the enterprise campus networks and enterprise perimeter network, analysis of the key technologies.

Key words: enterprise network; network security; campus network; perimeter network

網絡是整個企業信息資源的基礎,也是整個安全體系的基礎。什么樣的網絡結構決定了我們應采用什么樣方法來進行安全設計,安全的網絡結構設計和相關技術手段的應用是整個安全體系建設的重要部分[1-2]。本人在總結企業網絡和應用特點的基礎上,引入模塊化設計的方法,將企業的網絡劃分為企業園區網絡和企業邊界網絡兩個部分。其中園區網絡又分為核心模塊、分布層模塊、接入層模塊、服務器模塊、分布邊界模塊;邊界網絡分為公司互聯網模塊、VPN 和遠程接入模塊、電子商務模塊和廣域網模塊。針對每個網絡模塊,著重分析了具體的信息流情況,給出了如何進行安全的網絡結構設計、如何有針對性地在各個網絡設備以及安全設備上采取安全措施的方法,并且闡述了整個結構模型針對前面提出的各種攻擊手段的緩解作用。之后針對整個設計方案,結合實際應用,列舉了一些企業在設計自身網絡安全時可所采用的變動方法。應該說給出了一套詳細、具體、可操作性強的安全的網絡結構設計方案。

1 企業網絡模塊化構成

隨著企業的不斷壯大,企業網絡發展要求也日益提高,因此本文在設計網絡安全體系結構時,采用了模塊化的方式。即將企業的網絡劃分成不同的功能模塊,在整體網絡安全設計時實現網絡各功能塊之間的安全關系,同時,也可以讓設計者逐個模塊的實施安全措施,而并不需要在一個階段就完成整個安全體系結構。

我們把企業網絡分為企業園區網和企業邊界網絡兩個大的部分。其中,企業邊界網絡是企業內部網絡與電信服務提供商之間的過渡。對每個功能區中的模塊進行了細化,這些模塊在網絡中扮演特定角色,都有特定的安全需求,但圖中的模塊規模并不代表其在實際網絡中的大小。例如,代表最終用戶設備的接入層網絡可能包括80%的網絡設備。雖然大多數已有企業網絡都不能輕而易舉的劃分為明確的模塊,但此方式可以指導我們在網絡中實施不同安全功能[3]。各個企業的網絡都可以對照此結構找到共性。在企業的實際網絡中,可能有些模塊不存在,或者兩個模塊相合并了,也可以根據后面的安全設計方式結合實際,找到安全解決方案。

2 企業園區網安全設計

這里的企業園區網可以看成是企業的內部網絡,包括核心網絡、分布層網絡、接入層網絡、服務器網絡和邊界分布網絡五個模塊。下面將從每個模塊入手,著重分析每個網絡模塊的安全設計和安全措施。

2.1 核心網絡模塊安全

這里的核心網絡模塊和其他任何網絡體系結構中的核心模塊一樣。它主要是將信息流盡可能快速的從一個網絡傳送和交換至另一個網絡。

設計說明:核心網絡設備建議采用性能較高的第三層交換設備,并采用冗余熱備份的結構,以保證核心網絡的可靠性和穩定性。

主要設備:第三層交換-將生產網絡數據從一個模塊傳送和交換至另一個模塊;所緩解的威脅:分組竊聽-使用限制竊聽有效性的交換基礎設施。

2.2 分布層網絡模塊安全

分布層網絡模塊設計的目標是向接入層交換機提供路由、服務質量(Qos)和訪問控制等分布層服務。數據請求從這些交換機傳至核心,響應則以相反途徑進行。

設計說明:除了標準網絡設計基礎外,也應對交換機的配置實施優化,以便增加企業用戶的安全性。入侵檢測不在該模塊中實施,它在包含最可能因其內容而遭攻擊的資源(服務器、遠程接入、互聯網等)的模塊中實施。分布層模塊是針對內部發起攻擊的第一道防御。通過使用訪問控制,它可以減少一個部門訪問另一部門服務器上保密信息的機會。

主要設備:第三層交換機-集中接入層網絡中的第2 層交換機并提供高級服務;所緩解的威脅:未授權訪問-針對服務器模塊資源的攻擊受到特定子網第3層過濾的限制;IP電子欺騙-RFC 2827過濾中止了大多數電子欺騙企圖;分組竊聽-限制了竊聽有效性的交換基礎設施。

2.3 接入層網絡模塊安全

接入層網絡主要包括最終用戶工作站、IP電話及其相關的第2層接入的網絡設備。其主要目的是向最終用戶提供服務。

設計說明:因為用戶設備一般來說是網絡中最大規模的元素,從安全角度來說,接入層網絡提供了主要的訪問控制功能。

主要設備:第2層交換機――向電話和用戶客戶端提供第2層服務;用戶客戶端-向網絡上的授權用戶提供數據服務;IP電話-向網絡上的用戶提供IP電話服務。

所緩解的威脅:分組竊聽使用交換基礎設施和缺省VLAN服務限制竊聽的有效性;病毒和木馬應用-基于客戶端的病毒搜索可預防大多數病毒及多數木馬。

2.4 服務器網絡模塊安全

服務器模塊的主要目標是向最終用戶和設備提供應用服務。服務器網絡上的信息流由第3 層交換機中的主機入侵檢測進行檢查。

設計說明:服務器網絡通常會成為內部攻擊的主要目標,因此僅依靠有效口令不能提供全面的攻擊保護。使用基于主機和網絡的IDS、專用VLAN、訪問控制以及及時的系統更新(保持病毒庫以及最新補丁同步),可以實現對攻擊的全面響應。在這里NIDS既可以采用三層交換機上自帶的IDS功能模塊,也可以采用另外購置NIDS產品,通過交換機端口鏡像的方法進行監控。

主要設備:第3層交換機-向服務器提供第3層服務器并用NIDS檢查通過服務器網絡的數據;公司和部門服務器-為整個系統提供各種應用服務;內部郵件服務器-提供smtp和pop3服務。

所緩解的威脅:未授權訪問-通過使用基于主機的IDS和訪問控制緩解;應用層攻擊-操作系統、設備和應用與最新安全版本保持同步,而且由基于主機的IDS保護;IP電子欺騙-使用防止源地址電子欺騙的RFC 2827;分組竊聽-交換基礎設施限制竊聽的有效性;信任關系利用-專用VLAN防止同一子網上的主機進行通信;端口重定向-基于主機的IDS可防止安裝端口重定向。

2.5 邊界分布網絡模塊安全

此模塊的目的是在邊界集中來自外部各元素的連接,比如廣域網聯接、VPN連接等。信息流從邊界網絡的過濾和路由送到核心網絡。

設計說明:邊界分布模塊在整體功能方面與分布層網絡模塊有些類似。這兩個模塊都采用接入控制來過濾信息流,均使用第3層交換機來獲得高性能,但邊界分布模塊可添加附加安全功能,其為從邊界網絡模塊發送到園區網絡模塊的所有信息流提供了最后一道防線,這可以減少電子欺騙分組、錯誤路由升級和對網絡層訪問控制的配置。

主要設備:第3層交換機-集中邊界連接,并提供高級服務。

所緩解的威脅:未授權接入-過濾具體控制了對特定邊緣子網及園區內網的訪問;IP電子欺騙-RFC 2827過濾限制了本地發起的電子欺騙攻擊;網絡偵察-過濾可以限制不重要的流量進入園區網,從而限制黑客對網絡進行偵察的能力; 分組竊聽-交換基礎設施限制竊聽的有效性。

3 企業邊界網絡安全設計

企業邊界網絡是介于企業內部網絡和外部網絡(互聯網、其他單位網絡、ISP等),兩個不同安全等級網絡區域之間的網絡,是安全防范的重點部分。目前企業的發展很大程度上依賴互聯網的信息和應用,而外部網絡的種種安全隱患也會威脅到各個企業內部的信息安全。因此如何做好這部分網絡的安全設計,做好信息安全與應用的平衡,是我們設計的重點。各個企業的外部網絡可能各有不同,我們在這里把它們歸結為四類,包括公司互聯網模塊、VPN 及遠程接入模塊、電子商務模塊、廣域網模塊。

3.1 公司互聯網模塊安全

公司互聯網模塊為內部用戶提供了到互聯網服務的連接并使互聯網用戶能夠訪問公共服務器上的信息。信息也可以從此模塊流向VPN接入模塊。

此網絡模塊的核心是防火墻,它為互聯網公共服務和內部用戶提供安全保護。狀態檢查會檢查所有方向的信息流,從而確保只有合法信息流穿過防火墻。模塊中的其他部分也圍繞安全性和緩解攻擊進行。從ISP的客戶邊緣路由器開始,ISP的出口對超過預定門限的非重要信息進行速率限制,從而緩解(D)DoS攻擊。同樣在ISP路由器的出口,RFC1918和2827過濾可緩解本地網絡和專用地址范圍的源地址電子欺騙。在企業網絡的第一個路由器入口,基本過濾會根據預期信息流(IP和地址服務)來限制信息流,并對大多數基本攻擊提供了過濾器。此處也提供RFC1918和2827過濾,作為對ISP過濾的驗證。

3.2 VPN 和遠程接入模塊安全

這個網絡模塊的功能是為三種獨立的外部用戶提供驗證和連接,分別為遠程接入VPN、撥號接入用戶、點到點VPN。遠程接入VPN是指VPN信息流從公司互聯網模塊的接入路由器發送到屬于VPN服務一部分的特定IP地址和協議,可采用多種不同隧道和安全協議(如IPSec、PPTP、L2TP)。撥號接入是為傳統的撥號用戶提供接入路由器服務,通過CHAP、AAA、OTP的方式進行驗證。點到點VPN是指站點間的IP信息流通過有安全有效負載(ESP)保護的GRE隧道傳輸。

來自三種服務的信息流在由路由器送到邊界分布模塊前,被防火墻集中到一個專用接口上。該防火墻必須配置適當類型的限制型訪問控制,從而只允許每種服務中的適當信息流通往防火墻的內部接口。一個NIDS應用位于模塊的公共邊,檢測對VPN 接入設備的網絡“偵察”活動。第二個NIDS位于防火墻之后,可發現穿過模塊其余部分的攻擊。

3.3 電子商務模塊安全

電子商務模塊是企業與外界網絡進行數據交換,提供相關應用和信息服務的網絡。這里的外界網絡可以是Internet,也可以是其他企事業的內部網絡。這一部分的設計,要在接入和安全兩方面必須有所平衡。

該模塊的核心是為Web、應用和數據庫服務提供兩對防火墻。部分附加的保護由ISP 邊界路由器提供。服務器本身也必須全面保護-安裝主機IDS 軟件。

3.4 廣域網模塊

這部分網絡主要是負責中心站點與遠程站點之間信息流傳輸。對信息保密性非常關心的部分機構可在其廣域網鏈路上對高度機密的信息路加密;在接入路由器上進行訪問控制和策略路由等。

4 結束語

該文主要從技術因素的角度闡述了如何進行安全的網絡結構設計。結合企業網絡的實際情況,采用模塊化的設計理念,把企業網絡分成兩個部分:企業園區網絡和企業邊界網絡,具體又可分為核心網絡、分布層網絡、接入層網絡、邊界分布網絡、廣域網等多個功能模塊。同時從各個網絡模塊主要實現的功能出發,詳細分析如何選擇合理的網絡設備和安全設備、如何進行安全策略的配置,消除的各個部分安全威脅。

參考文獻:

[1] 高虹,王志國.企業網絡安全問題分析及應對措施[J].科技信息,2008(23).

企業網絡設計方案范文6

1.1項目情景

思捷公司是集研發、生產、銷售于一體的一個電器公司，總公司位于中關村，隨著公司業務的開展，公司在豐臺區建立了研發生產中心，包括研發樓一棟，生產廠房兩座。公司招標網絡項目。要求在研發生產中心的研發樓建立網絡中心，達到全網互通，研發生產中心要搭建自己的服務器，在研發成果保密的情況下與總公司連接。本課程圍繞思捷公司網絡組建項目從規劃設計、到布線與實施，直至最后的服務與管理展開，以培養職業能力為重點，針對崗位需求，有效地組織教學內容，按照工作過程設計教學各個環節，通過學習情境設計與工作任務的訓練，全方位培養學生能力。

1．2能力目標

通過完成網絡規劃與設計項目，學生能夠運用中小企業網絡工程設計的方法與原理，了解用戶需求分析，能夠正確設計網絡拓撲結構，熟練劃分子網，書寫簡單的網絡工程設計方案；學生能運用綜合布線系統的技術規范，進行綜合布線，并能夠使用測線設備進行網絡線路的測試。通過完成辦公室網絡組建與管理項目，學生能夠按照T568A/B標準，制作非屏蔽雙絞線；能夠正確配置Windows的TCP/IP協議；能夠按照辦公室網絡的實際需求，設計規劃Windows域網絡，正確安裝AD服務器，將成員計算機加入到域并實現域用戶的基本管理；能夠使用普通二層交換機連接網絡，使用Windows工作組，實現辦公室網絡的資源共享。通過完成網絡組建與管理項目，學生能夠正確連接、使用可網管交互機、核心交換機、路由器等網絡設備；能夠按照中小企業的實際需要，運用Vlan、Trunk、靜態路由、動態路由、單臂路由、NAT、ACL等技術概念，根據網絡拓撲設計與規劃，組建、配置、管理企業內部網絡；運用企業核心網絡的構架及Internet接入的相關技術，能夠將企業網絡在可控狀態下連接到Internet。通過完成網絡服務與管理項目，學生能運用Internet信息服務、文件服務、動態主機控制協議、域名服務等技術概念，能夠在Windows下正確配置IIS服務器、FTP服務器、DHCP服務器、DNS服務器。通過完成無線局域網項目，學生能夠運用WLAN的相關技術標準，按照中小企業的實際需要，完成無線網絡與有線網絡的無縫連接，組建辦公室、會議室類型的無線局域網；能夠利用AP的WDS模式，組建無線干線，實現對大面積、多AP的企業WLAN組建與管理。通過完成網絡安全項目，能正確配置、使用Windows自帶的防火墻、病毒防火墻、硬件防火墻等軟硬件防火墻；能夠按照中小企業實際需求，根據網絡拓撲設計與規劃，對企業內部網絡進行網絡訪問控制。

1．3知識目標

掌握中小型企業網絡工程設計的方法與原理；了解用戶需求分析；了解常用網絡硬件設備的功能；了解綜合布線系統的優點及技術規范；掌握T568A/B標準、TCP/IP協議、普通二層交換機的功能應用、網絡資源共享；理解Windows工作組與域對網絡共享資源管理的基本原理，了解Windows域的架構及域用戶管理；掌握可網管交換機、核心交換機、路由器等網絡設備的基本功能應用及其IOS配置；理解VLAN、TRUNK、靜態路由、動態路由、單臂路由、NAT、ACL等技術概念及其應用實現；了解企業核心網絡的架構及Internet接入的相關技術與方式；掌握WindowsIIS、FTP、DHCP、DNS服務器的基本功能配置；理解Internet信息服務、文件服務、動態主機控制協議、域名服務等技術概念；掌握無線網卡、無線路由器、無線AP的基本功能應用及其配置；理解WLAN的點對點、基礎結構、多AP、無線網橋、無線中繼器和APClient客戶端五種構建模式及其應用的實現；了解Wlan的相關標準；掌握Cisco、Netgear、SonicWall等品牌硬件防火墻的設置；了解企業內部網絡對Internet訪問及外部網絡通過VPN方式訪問企業內部網絡的相關技術與方式。

1．4素質目標

能夠認真閱讀用戶職責說明書，能夠積極地參與和跟進項目，使學生能夠形成職業認同感。通過與客戶溝通，并不斷參照用戶需求進行工作調整，通過定期項目匯報，能夠鍛煉學生的表達交流能力，并能夠使學生形成對用戶負責的工作態度。通過在繪制拓撲圖時進行地址、端口、協議詳細標注，提高拓撲圖的閱讀性；通過分組完成任務，不同學生擔任不同任務分工，能夠培養學生的團隊合作能力。根據用戶需求和任務要求進行方案制定和實施，編寫方案設計書；在連接網絡設備時，用特定的電纜；配置過程中要邊配置邊測試；配置完成后有測試報告，能夠使學生養成嚴謹的工作習慣。通過網絡規劃設計；通過配置過程中的排錯，培養學生的獨立思考、分析問題、解決問題的能力。通過項目的推進、按時交付作品、項目階段匯報與點評，培養學生的時間觀念，鍛煉學生的抗壓能力。

2課程內容設計

本課程內容分兩個項目，課內項目思捷公司網絡組件項目和課外項目校園網改造同時進行，課內項目分為網絡規劃與設計、辦公室網絡組建與管理、網絡組建與管理、網絡服務與管理、無線局域網、網絡安全六個項目。課外項目因為是校園網絡改造和課內項目稍有不同。

3考核方案