企業網絡設計方案范文
前言:我們精心挑選了數篇優質企業網絡設計方案文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
通過近年來各企業網絡組建的效果來看,我們會發現將網絡應用到企業的發展過程中,一方面可以使得企業高層可以快速的對公司資源進行整合,優化資源配置。另一方面達到資源共享的效果,辦公自動化模式的實現很大程度上提高了工作效率,員工可以隨時對資料進行及時準確的傳輸。可見在不久地將來,網絡組建將成為企業發展的新趨勢。中小企業在面對來自大公司以及國內外企業的競爭壓力下,如何利用網絡來提升企業的核心競爭力已經成為企業運行的關鍵所在。接下來我將從中小企業網絡組建的必要性、設計方案、未來發展趨向三方面進行分析,希望能促進企業的改革。
1中小企業網絡組建必要性
1.1促進企業信息共享
企業在過去的發展過程中,計算機之間處于獨立的模式,并未實現資源共享。但是目前中小企業所面臨的是大量的信息傳遞、資料查詢、信息加工等工作,有時總部與分公司之間跨地域的分布格局,增加了工作的難度,因此需要企業不斷改革管理模式,實現企業自動化管理的目標。通過網絡組建實現跨地域、跨時間信息共享的目標,從而減輕工作量,提高管理水平。
1.2提高企業管理效率
通過企業內部網絡組建,可以使工作者可以快速地對業務進行跟蹤,掌握瞬息萬變的市場情況,為高層領導決策的制定提供數據支持。另一方面部門之間可以通過內部網絡進行隨時溝通,在避免工作重疊等現象出現的同時,提高人力資源的整合度,充分利用人才的優勢使得自身的投資更有益。除此之外電子化辦公使得傳統的紙質化辦公得到了改變,提高了工作效率。
1.3自身發展需要、社會要求
中小企業網絡組建不僅是自身發展的需要,也是時展所驅使的。自改革開放以來,企業數量不斷增多,而且企業收益的五分之三都來自于中小企業,這就促進國民經濟發展、提供社會就業、穩定社會發展方面發揮了重要作用。為了激發企業創造更多社會效益,就需要中小企業不斷提高管理效率,將科技的現代化優勢不斷應用到企業發展過程中。另一方面面對國內外企業激烈的競爭,中小企業要想在復雜的環境中長久立足,就需要加強自身核心競爭力,通過網絡組建降低企業經營成本,促進資源貢獻,優化資源分配,以獲取更多的利益。
2中小企業網絡組建設計方案
2.1網絡系統的應用
近年來Internet已經被社會各界廣泛使用,它可以提供各種類型的瀏覽器、網絡聊天、電子郵箱,并且用于經營企業的時候可以為企業提供及時的、準確的市場信息,將Internet接入企業網絡組建也成為企業的最好選擇之一。在接入的過程中需要根據自身的資金狀況與企業信息的使用頻率來對寬帶進行選擇。除此之外企業可以通過建立Intranet來滿足企業自身發展的需要,首先通過ISP的連接通道接入INTRANET,但是該技術在接入過程中所選用的服務器需要有較大的存儲容量,百G或1TB以上以及具有足夠的內存和較高的運行速度,并且具有良好和可擴展性,以滿足將來更新換代的需要。
2.2網絡設備的選擇
在網絡設備的方面需要具備可靠性、安全性、可擴充性等特點,并且在選擇的同時不可以盲目的選擇過于高檔的產品,以免技術成本與后期維護成本過高。因為我對cisco比較熟悉,就從cisco方面進行闡述。設備核心可以采用cisco4507R,可以根據具體的網絡需求選擇相應的模塊光電皆可。現在的設計為單核心如果公司經濟能力準許可以再加一臺4507做雙核心那樣網絡更加可靠。匯聚設備采用cisco3560G-24全為千兆接口具體數量建議看信息點了(600信息點建議6臺3560每2臺一組,一組大概200信息點)。接入層交換機用cisco2918-48,此設備上面帶有2個10/100/1000自適應上連接口可以用來連接匯聚交換機,具體數量看公司信息點而定。上網行為管理我推薦的是深信服AC5400,接口都為千兆且功能強大,完全可以達到你要求的帶寬管理,內容過濾、應用控制等。邊界采用的ciscoASA5520具有4個千兆接口1個快速以太口且具有750個ipsecVPN可以滿足大多數中小企業的需求。
2.3網絡安全管理
現代化的信息技術發展已經被眾多大型企業所接受,但是這種管理模式在創造經濟效益的同時也存在安全隱患。譬如經常出現的APP中間人攻擊、APR報文泛洪攻擊等,已經影響了企業業務的正常開展。中小企業在網絡組建的過程中,需要吸取經驗,做好安全管理工作,建立完整的安全防護系統。在具體實踐過程中,禁止工作人員出入與自己工作無關的區域,對系統維護的時間進行明確規定,并且詳細記錄系統在維護前后的狀態。除此之外工作人員在使用使用移動設備時進行病毒的查殺,并且對殺毒軟件進行及時升級。
3中小企業網絡組建展望
中小企業在發展的過程中,受經濟實力以及技術人員的影響,對網絡的依賴性較大,為此必須重視企業網絡的組建并且在網絡組建的過程中需要遵守一定的原則。首先設備的選用應該充分考慮員工的實踐能力,保證設備先進與應用簡易同步進行。譬如在硬件設施的選擇方面,要保持設備具有實用性、安全性、可發展性,以保證網絡系統能夠為決策部門服務為公司業務服務,與此同時保證后期運行的順利。對于軟件功能的選擇,要考慮中小企業的發展狀況。譬如服務器要求具備存儲力大、速度快、吞吐能力強等特點,只有這樣才能促進網絡管理性能的提高,保證高負荷工作量的進行。其次后期網絡的維護,要避免過分追求網絡安全而忽視企業經營成本,網絡維護人員需要不斷加強對網絡的熟悉程度,增加維修頻數,以確保網絡的安全運行。
4小結
中小企業要想在激烈的競爭中實現可持續發展,就需要順應時代的發展,充分利用網絡的優勢。在網絡組建的過程中,遵守一定的規則,譬如根據企業的自身情況慎重選擇網絡系統與網絡設備,在選擇的同時充分考慮日后的維護難度。與網絡維護的相關工作隊伍需要得到不斷優化,全面掌握與網絡管理相關的專業知識。相信在做到這些后企業可以充分利用網絡的優勢實現自身的發展目標。
參考文獻
[1]王艷紅.初級小型局域網組建方案[N].內江科技,2006(7).
[2]馬樹奇.網絡安全從入門到精通[M]北京:電子工業出版社,1999.
[3]中小網絡建設一點通[M].清華大學出版社,2002.
第2篇
關鍵詞:企業網絡;安全;病毒;物理
在現代企業的生存與發展過程中,企業網絡安全威脅與企業網絡安全防護是并行存在的。雖然企業網絡安全技術與以往相比取得了突破性的進展,但過去企業網絡處于一個封閉或者是半封閉的狀態,只需簡單的防護設備和防護方案即可保證其安全性。而當今大多數企業網絡幾乎處于全球互聯的狀態,這種時空的無限制性和準入的開放性間接增加了企業網絡安全的影響因素,自然給企業網絡安全帶來了更多的威脅。因此,企業網絡安全防護一個永無止境的過程,對其進行研究無論是對于網絡安全技術的應用,還是對于企業的持續發展,都具有重要的意義。
1企業網絡安全問題分析
基于企業網絡的構成要素以及運行維護條件,目前企業網絡典型的安全問題主要表現于以下幾個方面。
1.1網絡設備安全問題
企業網絡系統服務器、網絡交換機、個人電腦、備用電源等硬件設備,時常會發生安全問題,而這些設備一旦產生安全事故很有可能會泄露企業的機密信息,進而給企業帶來不可估量經濟損失。以某企業為例,該企業網絡的服務器及相關網絡設備的運行電力由UPS接12V的SOAK蓄電池組提供,該蓄電池組使用年限行、容量低,在長時間停電的情況下,很容易由于蓄電池的電量耗盡而導致整個企業網絡的停運。當然,除了電源問題外,服務器、交換機也存在諸多安全隱患。
1.2服務器操作系統安全問題
隨著企業規模的壯大以及企業業務的拓展,對企業網絡服務器的安全需求也有所提高。目前諸多企業網絡服務器采用的是WindowsXP或Windows7操作系統,由于這些操作系統存在安全漏洞,自然會降低服務器的安全防御指數。加上異常端口、未使用端口以及不規范的高權限賬號管理等問題的存在,在不同程度上增加了服務器的安全威脅。
1.3訪問控制問題
企業網絡訪問控制安全問題也是較為常見的,以某企業為例,該企業采用Websense管理軟件來監控企業內部人員的上網行為,但未限制存在安全隱患的上網活動。同時對于內部上網終端及外來電腦未設置入網認證及無線網絡訪問節點安全檢查,任何電腦都可在信號區內接入到無線網絡。
2企業網絡安全防護方案
基于上述企業網絡普遍性的安全問題,可以針對性的提出以下綜合性的安全防護方案來提高企業網絡的整體安全性能。
2.1網絡設備安全方案
企業網絡相關設備的安全性能是保證整個企業網絡安全的基本前提,為了提高網絡設備的整體安全指數,可采取以下具體措施。首先,合適傳輸介質的選用。盡量選擇抗干擾能力強、傳輸頻帶寬、傳輸誤碼率低的傳輸介質,例如屏蔽式雙絞線、光纖等。其次是保證供電的安全可靠。企業網絡相關主干設備對交流電源的生產質量、供電連續性、供電可靠性以及抗干擾性等指標提出了更高的要求,這就要求對企業網絡的供電系統進行優化。以上述某企業網絡系統電源供電不足問題為例,為了徹底解決傳統電源供給不足問題,可以更換為大容量的蓄電池組,并安裝固定式發電機組,進而保證在長時間停電狀態下企業網絡設備的可持續供電,避免因為斷電而導致文件損壞及數據丟失等安全問題的發生。
2.2服務器系統安全方案
企業網絡服務器系統的安全尤為重要,然而其安全問題的產生又是多方面因素所導致的,需要從多個層面來構建安全防護方案。
2.2.1操作系統漏洞安全
目前企業網絡服務器操作系統以Windows為主,該系統漏洞的出現成為了諸多攻擊者的重點對象,除了采取常規的更新Windows系統、安裝系統補丁外,還應針對企業網絡服務器及個人電腦的操作系統使用實際情況,實施專門的漏洞掃描和檢測,并根據掃描結果做出科學、客觀、全面的安全評估,如圖1所示,將證書授權入侵檢測系統部署在核心交換機的監控端口,并在不同網段安裝由中央工作站控制的網絡入侵檢測,以此來檢測和響應網絡入侵威脅。圖1漏洞掃描及檢測系統
2.2.2Windows端口安全
在Windows系統中,端口是企業實現網絡信息服務主要通道,一般一臺服務器會綁定多個IP,而這些IP又通過多個端口來提高企業網絡服務能力,這種多個端口的對外開放在一定程度反而增加了安全威脅因素。從目前各種服務器網絡攻擊的運行路徑來看,大多數都要通過服務器TCP/UDP端口,可充分這一點來預防各種網絡攻擊,只需通過命令或端口管理軟件來實現系統端口的控制管理即可。
2.2.3Internet信息服務安全
Internet信息服務是以TCP/IP為基礎的,可通過諸多措施來提高Internet信息服務安全。(1)基于IP地址實現訪問控制。通過對IIS配置,可實現對來訪IP地址的檢測,進而以訪問權限的設置來阻止或允許某些特定計算機的訪問站點。(2)在非系統分區上安裝IIS服務器。若在系統分區上安裝IIS,IIS就會具備非法訪問屬性,給非法用戶侵入系統分區提供便利,因此,在非系統分區上安全IIS服務器較為科學。(3)NTFS文件系統的應用。NTFS文件系統具有文件及目錄管理功能,服務器Windows2000的安全機制是基于NTFS文件系統的,因此Windows2000安裝時選用NTFS文件系統,安全性能更高。(4)服務端口號的修改。雖然IIS網絡服務默認端口的使用為訪問提供了諸多便捷,但會降低安全性,更容易受到基于端口程序漏洞的服務器攻擊,因此,通過修改部分服務器的網絡服務端口可提高企業網絡服務器的安全性。
2.3網絡結構安全方案
2.3.1強化網絡設備安全
強化企業網絡設備的自身安全是保障企業網絡安全的基礎措施,具體包含以下措施。(1)網絡設備運行安全。對各設備、各端口運行狀態的實時監控能有效發現各種異常,進而預防各種安全威脅。一般可通過可視化管理軟件的應用來實現上述目標,例如What’supGold能實現對企業網絡設備狀態的監控,而SolarWindsNetworkPerformancemonitor可實現對各個端口流量的實時監控。(2)網絡設備登錄安全。為了保證網絡設備登錄安全指數,對于企業網絡中的核心設備應配置專用的localuser用戶名,用戶名級別設置的一級,該級別用戶只具備讀權限,一般用于console、遠程telnet登錄等需求。除此之外,還可設置一個單獨的super密碼,只有擁有super密碼的管理員才有資格對核心交換機實施相關配置設置。(3)無線AP安全。一般在企業內部有多個無線AP設備,應采用較為成熟的加密技術設置一個較為復雜的高級秘鑰,從而確保無線接入網的安全性。
2.3.2細分網絡安全區域
目前,廣播式局域的企業網絡組網模式存在著一個嚴重缺陷就是當其中各個局域網存在ARP病毒時,未設置ARP本地綁定或未設置ARP防火墻的終端則無法有效訪問系統,同時還可能泄露重要信息。為了解決這種問題,可對整個網絡進行細分,即按某種規則如企業職能部門將企業網絡終端設備劃分為多個網段,在每個網段均有不同的vlan,從而保證安全性。
2.3.3加強通問控制
針對企業各個部門對網絡資源的需求,在通問控制時需要注意以下幾點:對內服務器應根據提供的業務與對口部門互通;對內服務器需要與互聯網隔離;體驗區只能訪問互聯網,不能訪問辦公網。以上功能的實現,可在核心路由器和防火墻上共同配合完成。
作者:李常福 單位:鄭州市中心醫院
第3篇
防火墻是網絡安全的基本防護設備,其安全性受到了越來越多人的重視,尤其是在當前科技迅猛發展的環境下,各企業也迅速的崛起,使得企業在網絡環境的推動下,也面領著嚴峻的信息安全挑戰。在這種環境下,人們對于防火墻的安全性要求也隨之提高。當前,企業的防火墻要實現安全設計,還需要對企業的網絡安全進行全方面的需求分析,通過針對性的設計,提高防火墻的實用性、功能性、安全性。
【關鍵詞】
防火墻;企業網絡安全設計;實現
1前言
計算機網絡技術的廣泛應用,為企業提供了更多的發展平臺與業務渠道,在一定程度上推動了企業的快速發展。但在網絡技術不斷普及的今天,各種惡意攻擊、網絡病毒、系統破壞也對企業的網絡安全造成了較大的傷害,不僅嚴重威脅到企業的信息安全,而且給企業帶來較大的經濟損失,造成了企業形象的破壞。因此,才需要使用防火墻技術,通過防火墻網絡技術的安全設計,對各種病毒與網絡攻擊進行抵御,維護企業的信息安全,促進企業的健康穩定發展。
2防火墻的企業網絡安全設計原則
在企業防火墻的網絡安全設計中應該遵循一定的原則,即:全面、綜合性原則,也就是企業的網絡安全體系設計,應該從企業的整體出發,對各項信息威脅進行利弊權衡,進而制定出可行性的安全防護措施;簡易性原則,主要是對于網絡安全設計,既要保證其安全性,又要保證其操作簡便性,以免系統過于復雜而造成維護上的阻礙;多重保護原則能夠在建立多重的網絡安全機制,確保整個網絡環境安全;可擴充原則,主要是指在網絡運用過程中,要隨著新變化的出現,對于之前的網絡安全系統進行升級與擴充;靈活性原則,也就是防火墻的網絡安全設計方案,應該結合企業自身網絡現狀及安全需求,采用靈活、使用的方式進行設計;高效性原則,也就是防火墻的網絡安全設計應該確保投資與產出相符,通過安全性的設計解決方案,避免重復性的投資,讓企業投入最少的項目資金,獲得最大的收益,有效維護企業的安全[1]。
3防火墻的企業網絡安全設計
防火墻為服務器的中轉站,能夠避免計算機用戶與互聯網進行直接連接,并對客戶端的請求加以及時地接收,創建服務其的連接,并對服務器發出的信號相應加以接受,再通過系統將服務器響應信號發送出去,并反饋與客戶端。
3.1防火墻加密設計
防火墻的加密技術,是基于開放型的網絡信息采取的一種主動防范手段,通過對敏感數據的加密處理、加密傳輸,確保企業信息的安全。當前的防火墻加密技術主要有非對稱秘鑰與對稱秘鑰兩種,這種數據加密技術,主要是對明文的文件、數據等通過特定的某種算法加以處理,成為一段不可讀的代碼,維護數據信息的安全,以免企業的機密信息收到外界的攻擊[2]。當前的防火墻加密手段也可分為硬件加密與軟件加密,其中硬件加密的效率較高,且安全系數較高,而軟件加密的成本相對來說較低,使用性與靈活性也較強,更換較為方便。
3.2入侵檢測設計
入侵主要指的是外部用戶對于主機系統資源的非授權使用,入侵行為能夠在一定程度上導致系統數據的損毀與丟失,對于企業的信息安全與網絡安全會造成較大的威脅,甚至導致系統拒絕合法用戶的使用與服務。在防火墻的企業網絡安全設計中,應該加強對入侵者檢測系統的重視,對于入侵腳本、程序自動命令等進行有效識別,通過敏感數據的訪問監測,對系統入侵者進行行為分析,加強預警機制,檢測入侵者的惡意活動,及時發現各種安全隱患并加以防護處理。
3.3身份認證設計
身份認證主要是對授權者的身份識別,通過將實體身份與證據的綁定,對實體如:用戶、應用程序、主機、進行等加以信息安全維護。通常,證據與實體身份間為一種對應的關系,主要由實體方向提供相應的證據,來證明自己的身份,而防火墻的身份認證則通相關的機制來對證據進行驗證,以確保實體身份與證據的一致性。通過身份認證,防火墻便能夠對非法用戶與合法用戶加以識別,進而對非法用戶進行訪問設置,維護主機系統的安全。
3.4狀態檢測設計
訪問狀態檢測,是控制技術的一種,其關鍵性的任務就是確保企業的網絡資源不受非法使用與非法訪問,是維護企業網絡安全的重要手段之一。防火墻的訪問控制,一般可分為兩種類型:①系統訪問控制;②網絡訪問控制。其中,網絡訪問控制主要是限制外部計算機對于主機網絡服務系統的訪問,以及控制網絡內部用戶與外部計算機的訪問。而系統訪問控制,主要是結合企業的實際管理需求,對不同的用戶賦予相應的主機資源操作、訪問權限。
3.5包過濾數據設計
數據包過濾型的防火墻主要是通過讀取相應的數據包,對一些信息數據進行分析,進而對該數據的安全性、可信度等加以判斷,并以判斷結果作為依據,來進行數據的處理。這在個過程中,若相關數據包不能得到防火墻的信任,便無法進入該網絡。所以,這種技術的實用性很強,能夠在網絡環境下,維護計算機網絡的安全,且操作便捷,成本較低。但需要注意的是,該技術只能依據一些基本的信息數據,來對信息安全性進行判斷,而對于應用程序、郵件病毒等不能起到抵制的作用。包過濾防火墻通常需要在路由器上實現,對用戶的定義內容進行過濾,在網絡層、數據鏈路層中截獲數據,并運用一定的規則來確定是否丟棄或轉發各數據包。要確保企業的網絡安全,需要對該種技術進行充分的利用,并適當融入網絡地址翻譯,對外部攻擊者造成干擾,維護網絡內部環境與外部環境的安全。
4企業網絡安全中的實現
4.1強化網絡安全管理
用將防火墻技術應用于企業的網絡安全中,還需要企業的信息管理人員對于本企業的實際業務、工作流程、信息傳輸等進行深入的分析,對本企業存在的信息安全加以風險評估,熟悉掌握本企業網絡安全的薄弱環節,全民提高企業的信息安全。另外,企業信息管理人員還需要對企業的網絡平臺架構進行明確掌握,對企業的未來業務發展加以合理的預測分析,進而制定出科學合理的網絡信息安全策略。同時,企業信息管理人員還需要對黑客攻擊方式與攻擊手段進行了解,做好防止黑客入侵的措施。
4.2網絡安全需求分析
企業的網絡安全為動態過程,其設方案需要結合自身的實際狀況加以靈活設計,進而提高設計方案的適用性、安全性,維護企業整個網絡的安全。在對企業網絡需求進行分析時,還需要注重企業的應用系統、網絡訪問系統、網絡資源、網絡管理實際[3]。在應用系統安全性設計中,對于系統使用頻繁,提供服務資源的數據庫與服務器,要在網絡環境下,確保其運行安全,以免疏導惡意攻擊與訪問;而對于網絡訪問設計應具有一定的可控性,具備相應的認證與授權功能,對用戶的身份加以識別,對敏感信息加以維護,以免企業的核心系統遭到攻擊[4];網絡資源要確保其適用性,能夠承載企業的辦公自動化系統及各項業務的運行使用,并保證網絡能夠不間斷地高效運行;同時,針對網絡管理,應該具有可操作性,在安全日志與審計上進行相關的信息記錄,以免企業信息系統管理人員的日后維護。
4.3網絡安全策略的制定
要實現企業的網絡安全,還需要對企業的實際網絡安全需求進行了解之后,針對不同的信息資源,制定出相關的安全策略,通過各種系統保密措施、信息訪問加密措施、身份認證措施等,對企業信息資源維護人員相關的職責加以申請與劃分,并對訪問審批流程加以明確。最后,還需要企業的信心管理人員對整個安全系統進行監控與審計,通過監控系統的安全漏洞檢查,對威脅信息系統安全的類型與來源進行初步判斷,通過深入分析,制定出完善是網絡安全防護策略[5]。
5結束語
在互聯網環境下,信息資源的存儲量巨大,運行較為高效,不僅為企業帶來了較大發展空間,也使企業的信心安全面臨巨大的威脅。因此,企業需要加強防火墻系統的建設,提高對網絡安全系統的認識,通過有效措施,加強防火墻的安全設計,構建一個相對穩定的網絡環境,維護企業的信息安全,讓企業在可靠的信息網絡環境開發更多的客戶資源,以尋得健康、穩定、持續的發展。
作者:黃河鋒 單位:桂林自來水公司
參考文獻
[1]馬小雨.防火墻和IDS聯動技術在網絡安全管理中的有效應用[J].現代電子技術,2016(02):42~44.
[2]范沁春.企業網絡安全管理平臺的設計與實現[J].網絡安全技術與應用,2015(07):74+77.
[3]秦艷麗.試談防火墻構建安全網絡[J].電腦編程技巧與維護,2016(06):78~80.
