企业网规划实现1Word文件下载.docx
《企业网规划实现1Word文件下载.docx》由会员分享,可在线阅读,更多相关《企业网规划实现1Word文件下载.docx(41页珍藏版)》请在冰豆网上搜索。
1.项目背景
应用领域空前广泛——目前,3G已可支持可视电话、视频会议、网上办公、手机电视、电影视频点播、办理银行业务、在线购物。
如果我们不是趋势的创造者那么我就要想办法成为趋势最优秀的追随者!
选择大于努力!
就业的趋势就是:
选对行业跟对人!
1.1公司概况
集团名称:
广州市科技实业有限公司(知名IT企业),创始人:
11计算机应用技术2班(第八组)
工业与民用自动化工程、光电子、智能建筑、智能交通等行业于一体的多元化的国家级高新技术企业、广州市优秀科技示范企业,公司具有自营进出口权。
下属企业有广州市格宁电气有限公司、广州市科思通技术有限公司;
同时拥有广州复旦奥特科技股份有限公司、广州市奥特创通测控技术有限公司等企业的参股及控股权。
公司自1987年创建以来,已发展成拥有员工近400人,注册资金一亿元,年营业额超亿元的中型企业。
在二十一世纪全球经济一体化时代,科技已将企业定位于国际化并致力于产品深度开发及更新换代,继续以更好的产品及服务回报社会;
在进行产品的国产化和扩大产品外延的同时,把目光瞄准国际市场,逐步把产品推向国外,扩大企业发展空间,在激烈市场竞争中立于不败之地。
1.2企业网络建设需求
互联网将企业带人了全球信息高速公路,让企业信息能够通达世界各个角落。
企业通过互联网发布信息,供全球检索,以此来宣传企业、产品及服务,并通过网络与各行各业交流、推销并合作,企业在互联网上宣传已经成为扩大企业知名度的重要途径。
归结起来,企业在互联网上安家落户主要为了实现以下目的。
(1)利用互联网宣传扩大企业的知名度。
(2)扩大宣传,方便用户。
(3)获取和发布商业信息,寻找潜在客户,促成贸易。
2.需求分析
在企业信息化建设中,服务器的角色举足轻重。
在最常见的C/S的网络结构中,服务器扮演着为网络中的计算机提供服务的角色,是整个网络系的核心,服务器的正确选择也是整个信息化建设的关键。
在中小企业服务器选股过程中也存在着一些问题,首先是资金比较短缺,在小型企业建设中,初始阶段公司规模比较小,业务量不大,信息化建设的需求并不强烈,效果也不明显,所在在初始阶段的信息化建设不会投入太多的资金,采购服务器一般本着少花钱,多办事的原则,追求资金回报率。
其次专门的IT人员较为少,专门的IT人员会增加一笔额外的开支,一般来说,规模不大的小型企业出于成本的考虑,一笔只有很少或者没有专门的IT人员。
而在外贸公司中,却少不了IT部门。
虽然前期成本很关键,但是企业在选购服务器时也不能一味追求低成本而忽略了服务器的可用性、易管理和拓展性。
初始的采购成本只占企业总体拥有成本的一部份,而后期的硬件升级费用、管理维护费用、人员费用等可能会接近或者超过初始的采购成本。
所以,价格低廉,易于管理,稳定可靠的服务器产品才更为适合中小企业,可以为企业企业降低总体拥有成本。
除了要从成本、可用性、管理性和拓展性等几个方面考虑外,服务器还需要对症下药,做好规划选型,明确企业自身需求提升的方向,充分利用资金,避免出现不适用或者资源的闲置浪费现象。
从中小企业对服务器的应用方面来看,在初期业务量并不大,需要服务器操作的强度也许不是很大,但是需要应用多种类很多,比如一台服务器要同时兼备数种角色,这时候一款通用型服务器是最好的选择。
但是随着网络规模的不断扩大,各种业务彼此分开,服务器要处理的业务量也不断增大,这时候就有必要根据不同应用选购配置不同的服务器,以获得更优的性能和稳定性。
因此,在公司内备置了FTP服务器和WEB服务器。
2.1企业IP规划
由于企业的规模比较大,所以选择IP地址分配模式上,我们会选择DHCP动态分配IP地址,因为DHCP可以做到按需分配,当一个IP地址不被主机使用时,能释放出来供别的新接入主机使用,这样可以在一定程度上高效利用好IP资源。
DHCP的地址池只要能满足同时使用的IP峰值即可。
而静态分配必须考虑更大的使用余量,很多临时不接入网络的主机并不会释放掉IP,而且由于是临时性的断开和接入,手动去释放和添加IP等参数明显是受累不讨好的工作,所以这时必须考虑使用更大的IP地址段,确保有足够的IP资源。
下面来讲一下具体的操作:
首先给企业网的各个子网一个C类IP地址,然后再规划它们各自的网段。
192.168.X.1————192.168.X.255
192.168.Y.1————192.168.Y.255
192.168.Z.1————192.168.Z.255
X、Y、Z分别代表不同的网段
下面是企业网的网络拓扑图:
3.服务器系统设计
随着服务器技术的发展,单台企业级服务器可以提供良好的高性能、高可用性、可伸缩性、可管理性,因此在服务器的选择设计中可以采用集中式体系架构,由单台服务器运行网站的大部分功能模块。
这里我们采用一台服务器运行数据库、应用模块、Web服务器等功能模块,其优点是便于维护管理、节约投资,不足之处是集中式处理体系结构容易造成单故障点,服务器的任何一个环节的故障都有可能造成整个网站的服务中断。
3.1操作系统的选择
在互联网服务器中,操作系统主要有两大阵营:
WindowNT/2000与Unix类。
操作系统的选择主要从以下角度进行分析:
系统的稳定性、系统的可管理性与性能价格比。
这里,我们选择Windows2000,作为X86平台的理想操作系统,具有良好的易用性,对Windows熟悉的用户可以快速掌握2000的使用与管理,但Windows2000的价格相对较高,系统的稳定性、安全性相对于Unix类操作系统较差。
3.2Windows操作系统
Microsoft公司从1983年开始研制Windows系统,最初的研制目标在MS-DOS的基础上提供一个多任务的图形用户界面。
第一个版本的Windows1.0于1985年问世,它是一个具有图形用户界面的系统软件。
1987年推出了Windows2.0版,最明显的变化是采用了相互叠盖的多窗口界面形式。
但这一切都没有引起人们的关注。
直到1990年推出Windows3.0是一个重要的里程碑,它以压倒性的商业成功确定了Windows系统在PC领域的垄断地位。
现今流行的windows窗口界面的基本形式也是从Windows3.0开始基本确定的。
1992年主要针对Windows3.0的缺点推出了Windows3.1,为程序开发提供了功能强大的窗口控制能力,使Windows和在其环境下运行的应用程序具有了风格统一、操纵灵活、使用简便的用户界面,不一一讲解Windows操纵系统发展了。
Windows2000是一个由微软公司发行于1992年12月19日的32位图形商业性质的操纵系统。
Windows2000有四个版本:
Professional、Server、AdvancedServer和DatacenterServer。
其中Professional也有4次更新,SP1/SP2/SP3/SP4,Professional专业版的前一个版本是WindowsNT4.0WorksTation版本。
适合移动家庭用户使用,可以用于升级WIN9X和NT4。
它以NT4的技术为核心,采用标准化的安全技术,稳定性高,最大的优点是不会再像WIN9X那样频繁的出现非法程序的提示而死机。
Windows2000Server是服务器版本,它的前一个版本是WindowsNT4.0server版。
即可面向一些中小型的企业内部网络服务器,但它同样可以应付企业公司、大型网络中的各种应用程序的需要。
Server在NT4的基础上做了大量的改进,在各种功能方面有了更大的提高。
4.服务器系统实现
4.1DNS服务器实现
下面给大家介绍如何利用WindowsSever2003DNS功能来实现域名解析。
第一步:
首先让一台PC作为域控制器,首先设置这台PC的静态IP地址
第二步:
打开开始——管理工具——管理您的服务器——添加或删除角色——下一步——域控制器——下一步——下一步——下一步
然后重启电脑(成功配置域控制器)如图2
第三步:
在域控制器的DNS上配置DNS信息,即登记另一台的主机和IP地址,如图3
第四步:
在第二台PC上设置静态IP地址,DNS为第一天PC的IP地址,这样可以让第一台PC找到对应的主机,如图4
第五步:
在第一台PC上的DNS设置第二台PC的主机名与IP地址。
第六步:
在第二台PC上右击电脑属性——计算机名——更改域——然后输入管理员账户——成功加入域
4.2WWW服务器实现
下面来给介绍WWW服务器的实现,WWW服务器也就是WEB服务器,要实现WEB服务器功能,就需要安装IIS,因为IIS是架构WEB和FTP服务器的基本组件。
单击开始——运行“控制面板”中的“添加或删除程序”——选择“添加/删除Windows组件”——在组件安装向导中选择组件列表中的“应用程序服务器”——单击“详细信息”按钮,出现“应用程序服务器”对话框,如图1
选择Internet信息服务的“详细信息”,选择万维网服务,单击确定,完成安装,如图2
WindowsServer2003中安装IIS服务后,就成为一台Web服务器,其中“管理工具”中的IIS管理控制台如图3
在C盘中创建一个放网站的根目录,如图4
在IIS中的网站文件夹中右击默认网站的属性,设置IP地址为本机的IP地址,TCP端口为80端口,在文档设置中把gzscience.htm网页上移到最前面,并且设置为启用默认内容文档。
如图5
然后浏览网页,如图6
这样,我们就实现了用Web服务器发布静态网页的功能了,并且站点可以是主机的IP地址也可以是主机名。
4.3FTP服务器实现
与前面安装Web的步骤一样,选择“Internet信息服务”的详细信息,选择“文件传输协议服务”如图1
在完成了FTP的安装后,之前也说过IIS是架构Web和FTP服务器的基本组件,前面已经成功安装了IIS,那么现在配置FTP服务器,FTP服务器的配置与Web服务器配置是类似的,首先在C盘创建一个FTP的根文件夹FTP,再在里面放一些资源,也就是共享公司的资料,如图2
然后打开IIS服务器,右击FTP文件夹中的默认FTP站点,其中IP地址设为本地IP地址,TCP端口为21,并且把FTP站点的目录设置到C:
\FTP,具体设置如图3、图4
在第二台PC上的浏览器上输入:
ftp:
\\192.168.100.26\即可以登录到第一台PC的FTP服务器中下载资源,如图5
即完成了FTP服务器的配置。
4.4Mail服务器实现
WindowsServer2003提供了电子邮件服务组件,使用它可以架设企业邮件服务器。
通过安装“电子邮件服务”将计算机配置为邮件服务器,用来提供电子邮件传送和检索服务。
电子邮件服务包括可提供电子邮件检索的POP3服务和可提供电子邮件传送的SMTP服务。
将计算机配置为邮件服务器后,用户可以连接到邮件服务器并使用支持POP3协议的电子邮件客户端将电子邮件检索到本地计算机上。
下面介绍邮件服务器具体安装的细节。
在控制面板中运行“添加或删除程序”,选择“添加或删除Windows组件”,选择电子邮件服务的详细信息,选择POP3服务和POP3Web管理,如图1,然后选择应用程序服务器,单击详细信息,选择Internet信息服务,查看详细信息,选择SMTPServe选项,如图2,单击确定按钮。
运行“管理工具”中的“POP3服务”管理控制台,然后单击新域,在“域名”文本框中输入邮件服务器的域名,域名为本机的域控制器的域名,添加邮箱名:
1,然后输入密码,以此步骤再建一个邮箱2,成功创建邮箱如图3
在IIS管理器中右击默认SMTP虚拟服务器,选择属性中的常规,在IP地址中下拉为本机的IP地址,单击确定返回。
如图4
使用邮件客户端软件OutlookExpress,在配置邮件账号时,“POP3服务器”和“SMTP服务器”输入刚刚配置好的邮件服务名称或服务器IP地址,并设置“使用安全密码验证登录”。
在第二台PC上以这样的方法创建多一个用户就可以实现邮件互发的功能了,如图6
4.5VPN服务器实现
WindowsServer2003的路由和远程访问组件提供了架构VPN服务器的功能,可以实现远程客户计算机通过公网安全访问VPN服务器连接的内部网络。
下面讲解VPN服务器的实现。
第一步:
运行“管理工具”中的“路由和远程访问”管理应用程序,打开“路由和远程访问”管理控制台。
右击服务器图标,单击“配置并启用路由和远程访问”选项,启动路由和远程访问服务器安装向导,单击“下一步”按钮。
如图1
在如图2所示的向导对话框中单击“远程访问”选项,允许远程客户端通过拨号或安全的虚拟专用网络连接到该服务器,单击“下一步”按钮。
在如图3所示的向导对话框中,选择远程访问服务器模式,根据应用模式选择服务器的角色,这里选择VPN,单击“下一步”按钮。
配置远程访问服务器外网连接地址。
如图4所示的向导对话框中,为VPN服务器所连接的外部网络指派一个接口。
在“网络接口”列表框中,单击连接到外部网络的接口,名称为本地连接-外,单击“下一步”按钮。
对远程客户指派IP地址。
如图5为自动分派IP地址。
单击“下一步”按钮。
完成VPN服务器的安装后,现在来配置VPN服务器,右击电脑管理,查看Administrator的属性,设置成如图6.
第七步:
在客户机上安装虚拟专用连接,创建成功后,如图7,输入管理员账户即可连接成功。
那么现在,成功安装VPN服务器了,实现了客户端远程访问企业内部网络的功能。
4.6DHCP服务器实现
动态主机配置协议(DHCP)是一个简化主机IP地址分配管理的TCP/IP标准协议,它能够动态地为网络中的设备分配IP地址,并提供安全、可靠、简单的TCP/IP网络配置,确保不发生地址冲突,帮助维护IP地址的使用。
下面简介配置DHCP。
安装DHCP服务器,运行“控制面板”中的“添加或删除程序”,选择“添加/删除Windows组件”。
在网络服务中详细信息勾选动态主机配置协议。
然后完成DHCP服务器的安装。
配置DHCP服务器,打开DHCP管理控制台,右击DHCP服务器,选择“管理授权的服务器”的“授权”选项。
在DHCP服务器内,建立一个可用的IP作用域,还有排除的IP地址,如图2所示的设置。
在第二台客户端查看DHCP是否配置成功,在运行中打开命令窗口,CMD-IPCONFIG/ALL即可以查看,如图3所示。
DHCP服务器配置成功。
5.网络安全系统的构建
随着互联网技术的发展,在企业中运用计算机网络进行各项工作更加的深入和普及,通过企业网络向师生提供高效、优质、规范、透明和全方位的信息服务,冲破了人与人之间在时间和空间分隔的制约,越来越被更多的人们所接受和应用。
然而由于企业网络自身的特点,使安全问题在企业网络的运行与管理中格外突出,研究构建、完善基于企业网的信息安全体系,对企业网安全问题的解决具有重要意义。
企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。
随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。
与其它网络一样,企业网也同样面临着各种各样的网络安全问题。
但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。
此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;
同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。
网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。
人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。
但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
企业网络安全系统设计目标
企业网络系统安全设计的目标是使在企业网络中信息的采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、完整性、共享性等都能得到良好保护的一种状态。
在网络上传递的信息没有被故意的或偶然的非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,网络信息的保密性、完整性、可用性、可控性得到良好保护的状态。
(二)企业网防火墙的部署
1.安全策略。
所有的数据包都必须经过防火墙;
只有被允许的数据包才能通过防火墙;
防火墙本身要有预防入侵的功能;
默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。
在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。
其中WEB、E-mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。
入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS-100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。
发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。
第一阶段:
基本安全需求。
第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
③制定相关安全策略
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
⑦相关制度的完善
第二阶段:
较高的安全需求。
这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。
所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
第三阶段:
后续动态的安全系统调整与完善。
相关安全策略的调整与完善以及数据备份与灾难恢复等。
5.1防火墙的选购与实现
我们选购的防火墙的ISA2006软件防火墙,那么现在介绍一下ISA2006防火墙的实现的功能。
很多公司都有控制员工访问外网的需求,例如有的公司不允许员工访问游戏网站,有的公司不允许员工使用QQ等即时通讯工具,有的公司禁止员工下载视频文件,还有的公司只允许访问自家的门户网站…..这些需求都可以通过防火墙策略中的访问规则来加以实现。
既然如此,那我们赶紧来写上几条访问规则测试一下吧。
别急,访问规则是由策略元素构成的,我们要想写出访问规则,首先要掌握策略元素,还是让我们从学习策略元素开始吧。
我们的目标是先写出一条访问规则:
允许在午休时间(12:
00-13:
00),人事部和财务部的员工可以访问互联网上除XX之外的网站,而且访问网站时不能访问视频和音频内容,我们通过这条规则的实现过程来学习策略元素。
如下图所示,打开ISA服务器管理,选中防火墙策略,此时右侧面板的工具箱中显示的就是策略元素,大家看到的有协议,用户,内容类型,计划,网络对象等,下面我们一一展开分析。
协议元素限制了用户问外网时所使用的网络协议。
例如我们此次实验的目标是只允许部分用户访问一些特定网站,那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS,这样就保证了用户只能访问网站。
当前ISA中有一个很宽泛的访问规则,如下图所示,允许内网和本地主机可以使用任何协议,在任何时间,以任何用户的身份,访问任意网络的任意内容。
这条规则是我们在前面测试代理服务器的时候创建的,现在我们对它动动手术,只允许用户用HTTP和HTTPS访问外网。
下图是当前的访问规则,我们可以看到ISA允许使用任何协议对外访问,右键点击规则,查看规则属性。
在规则属性中切换到“协议”标签,如下图所示,将规则的应用范围从原先的“所有出站通讯”改为“所选的协议“,只允许使用特定的协议。
点击“添加”按钮,在协议中选择HTTP和HTTPS添加进来,如下图所示,添加完协议后点击确定。
如下图所示,访问规则已经被修改为ISA只允许HTTP和HTTPS协议通过。
我们使用协议元素可以在访问规则中轻松实现对协议的控制,但如果我们要控制的协议没有在ISA的协议元素中被定义那该怎么办呢?
我们可以自定义协议元素,例如我们希望禁止用户使用QQ的通讯协议,我们就可以在防火墙策略的工具箱中选择“新建协议”,如下图所示。
出现新建协议向导,我们为新建的协议命名为QQ,下一步。
接下来我们定义协议参数,点击“新建”。
我们定义QQ协议使用UDP,方向为发送接受,端口为8000。
结束新建协议向导。
这样我们就创建了一个自定义协议QQ,按照这种办法,我们可以将所需的协议元素都创建出来,然后就可以在访问规则中灵活地加以控制了。
6.服务器系统测试
6.1服务器测试方法
现在市面上不同品牌、不同种类的服务器有很多种,用户在选购时,怎样从纷繁的型号中选择出所需要的,适合于自己应用的服务器产品,仅仅从配置上判别是不够的,最好能够通过实际测试来筛选。
而各种的评测软件有很多种,下面就介绍一些较典型的测试工具:
服务器整机系统性能测试工具
一台服务器系统的性能可以
升级会员 