圖圖1 圖2公司辦公網絡規劃設計計劃書基本需求分析公司有辦公樓三棟，每棟樓均為兩層結構（如圖1、圖2所示）。現計劃在該公司建立Intranet,用以管理公司的各項業務。網絡要求主干為千兆連接，水平為百兆端接到桌面。為保證今后擴展的需要，每一間辦公室有3-8個信息點，可以接入公司內網，也可以通過內網接入Internet（采用電信10MADSL）。網絡中心建在1棟的第一層（見圖1），所有網絡的核心設備均安裝在網絡中心，其中包括服務器5臺、磁盤陣列1套10G容量、UPS1套、ERP軟件1套、數據庫軟件1套，其余設備根據需要選擇。為保證該公司的對外宣傳，建有Web服務器1個，安裝在網絡的DMZ區域。根據以上提示，設計該公司的Intranet。要求能全面滿足該公司的所有辦公和業務需求，設備類型、數量、規格由設計者確定，總投資控制在200萬以內。1、一樓：網絡信息中心6臺，技術部門4臺，人事部4臺，營銷4臺2.二樓：會議室3臺，財務部4臺，企劃部4，科研部3，秘書部3，總經理部門43、硬件設備的選購要根據目前市場價格為依據。4、設備的性能以及技術指標要能滿企業各項業務的要求。5、企業網運行要能滿足公司各部門間的溝通，保持各項活動暢通進行。6、內網和外網應該很好的隔離開來，只有一兩個訪問出口。7、公司了的各項業務活動和信息只能在內部網絡中訪問，避免外網的攻擊。8、公司管理；辦公自動化.公司平面圖如下：劇Bf朋所劇Bf朋所眄拓中心拄術玨技牢開表各樓信息點統計表區域樓層信息點信息模塊一棟一樓3468二樓2142二棟一樓2142二樓2142三棟一樓2142二樓2142性能需求分析1、因為本次設計主要針對的是三棟樓，中心機房要與各棟連接，連接帶寬達到1000Mbps。2、樓層交換機到各樓層使用超五類雙絞線，連接帶寬達到100/1000M。4、室內全部使用超五類雙絞線，連接帶寬達到10/100M。5、中心交換機具有很高的可用性、擴展性；6、所有交換設備能用一套統一的網絡管理軟件進行管理與配置；7、能滿足各項業務的辦理流暢8、因為本次設計主要針對的是該公司建立Intranet，用以管理公司的各項業9網絡要求主干為千兆連接，水平為百兆端接到桌面。10、每一間辦公室有3-8個信息點，可以接入公司內網，也可以通過內網接入Internet（采用電信10MADSL）。11、網絡中心建在1棟的第一層（見圖1），所有網絡的核心設備均安裝在網絡中心。12、服務器5臺、磁盤陣列1套10G容量、UPS1套、ERP軟件1套、數據庫軟件1套，其余設備根據需要選擇。為保證該公司的對外宣傳，建有Web服務器1個，安裝在網絡的DMZ區域。第2章網絡拓撲結構網絡設計原則網絡系統設計是一個綜合性的網絡系統，以滿足各部門各業務活動的進行，如：事物處理，營銷管理里等業務活動，又要有足夠的可擴充的能力為新興應用提供平。企業眾多的工作站巨大的訪問量必然帶來網絡的維護工作困難。建設與維護管理是學在網絡建設中很重要要。本方案的設計原則是：本方案的設計原則是：（1）實用性：網絡建設從應用實際需求出發，堅持為領導決策服務，為經營管理服務，為生產建設服務。另外，如果是對現有網絡升級改造，還應該充分考慮如何利用現有資源，盡量發揮設備效益。（2）適度先進性：規劃局域網，不但要滿足用戶當前的需要，還應該有一定技術前瞻性和用戶需求預見性，考慮到能夠滿足未來幾年內用戶對網絡功能和帶寬的需要。采用成熟的先進技術，兼顧未來的發展趨勢，即量力而行，又適當超前，留有發展余地。（3）經濟性：要求價格適中，設備及耗材要求采用質量過硬，物美價廉，投資預算不超過20萬。（4）安全可靠性：確保網絡可靠運行，在網絡的關鍵部分應具有容錯能力，提供公共網絡連接、通信鏈路、服務器等全方位的安全管理系統。（5）開放性：采用國際標準通信協議、標準操作系統、標準網管軟件、采用符合標準的設備，保證整個系統具有開放特點，增強與異機種、異構網的互聯能力。（6）可擴展性：系統便于擴展，保證前期的投資的有效性與后期投資的連續性（7）安全保密性：為了保證網上信息的安全和各種應用系統的安全，在規劃時就要為局域網考慮一個周全的安全保密方案。網絡拓撲圖設計核心層核心層圖公司網絡拓撲圖拓撲圖說明：內部網絡拓撲圖：網絡邏輯拓撲結構如圖所示。它是在基于高端路由交換機的基礎之上而設計的新的網絡拓撲結構。簡要說明如下：.整個網絡由核心層、匯聚層和接入層兩大部分組成。.核心層是由CISCOWS-C3560-48TS-S企業級核心路由交換機組成。.匯聚層由CISCOWS-C3560-24TS-S路由交換機組成。.接入層是由接入層樓層交換機CISCOWS-C2918-24TC-C組成。網絡設計特點1、在用戶的網絡結構設計中，我們建議采用層次化的結構設計。對于用戶即將建設的網絡系統來說，想要建設成為一個覆蓋范圍廣、網絡性能優良、具有很強擴展能力和升級能力的網絡，在起初的設計中就必須采用層次化的網絡設計原則。采用這樣的結構所建設的網絡具有良好的擴充性、管理性，因為新的子網模塊和新的網絡技術能被更容易集成到整個系統中，而不破壞已存在的骨干網。2、大多數的網絡都可以被層次性劃分為三個邏輯服務單元：核心骨干網(Backbone)、匯聚網(Distribute)和接入網(Local—access),模塊化網絡設計方法的目標在于把一個大型的網絡元素劃分成一個個互連的網絡層次。層次性結構如下圖所示。3、根據項目的具體需求及現有的光纖結構，結合網絡建設的基本理論和原則，各入網部門的實際情況，應用需求，資金條件和遠，近目標等各方面的要求，設計出該網絡為拓撲結構為分層的集中式結構或稱星型分級拓撲。第3章網絡設備選型核心層核心層交換機的設計核心層主要功能是給下層各業務匯聚節點提供ip業務平面高速承載和交換通道，負責進行數據的高速轉發，同時核心層是局域網的骨干，是局域網互連的關鍵。對核心骨干網絡設備的部署應為能夠提供高帶寬、大容量的核心路由交換設備，同時應具備極高的可靠性，能夠保證24小時全天候不間斷運行，也就必須考慮設備及鏈路的冗余性、安全性，而且核心骨干設備MACMAC地址：12k同時還應擁有非常好的擴展能力，以便隨著網絡的發展而發展。基于對核心層的功能及作用，根據用戶的實際需求，本方案中對網絡系統中核心層由CISCO系列的企業級核心交換機WS-C3560-48TS-S組成。其主要任務是提供高性能、高安全性的核心數據交換、QoS和為接入層提供高密度的上聯端口。為整個大樓寬帶辦公網提供交換和路由的核心，完成各個部分數據流的中央匯集和分流。同時為數據中心的服務器提供千兆高速連接。根據該企業的建筑分布及網絡規模，以行政樓的中心機房作為整個網絡系統的核心節點。核心節點由2臺同檔次的網絡核心設備構成，它們互為備份且流量負載均衡。2臺網絡核心交換機作為整個網絡的核心層設備，為各個匯聚層和接入層交換機提供上聯。同時提供了各個服務器的可靠接入。由于WS-C3560-48TS-S是路由交換機，也即同時具有第二層和第三層的交換能力，為了充分利用資源，將WWW服務器、E-mail服務器、數據庫服務器、文件VOD服務器、認證的服務器(Radiusserver)以及網管設備等通過千兆直接連人核心交換機，以解決帶寬瓶頸，充分利用核心交換機的交換能力。核心交換機作為信息網絡的核心設備，性能的優劣直接影響到整個網絡運行。在設備的選型上必須考慮到有足夠的背板帶寬，包交換能力，是否支持設備的冗余，安全性，擴展性等各種性能。企業級核心交換機WS-C3560-48TS-S完全滿足上述的各項要求。企業級核心路由交換機WS-C3560-48TS-S的性能特性及技術指標如下：交換機類：企業級交換機應用層級：三層接口介質：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數量：48背板帶寬：32GbpsVLAN支持：支持網管功能：網管功能SNMP,CLI,包轉發率：網絡標準：IEEE,,端口結構：非模塊化匯聚層匯聚層主要完成的任務是對各業務接入節點的業務匯聚、管理和分發處理，是完成網絡流量的安全控制機制，以使核心網和接入訪問層環境隔離開來；同時匯聚層起著承上啟下的作用，對上連接至核心層，對下將各種寬帶數據業務分配到各個接入層的業務節點，匯聚層位于中心機房或下聯單位的分配線間，主要用于匯聚接入路由器以及接入交換機。因此對匯聚層的交換機部署時必須考慮交換機必須具有足夠的可靠性和冗余度，防止網絡中部分接入層變成孤島；還必須具有高處理能力，以便完成網絡數據會聚、轉發處理；具有靈活、優化的網絡路由處理能力，實現網絡匯聚的優化。而且規劃匯聚層時建議匯聚層節點的數量和位置應根據業務和光纖資源情況來選擇；匯聚層節點可采用星形連接，每個匯聚層節點保證與兩個不同的核心層節點連接。根據匯聚層在整個網絡中的作用以及用戶的實際需求，本方案中匯聚層共設計了3個節點，即：行政樓、生產車間和運輸樓（工段辦）。匯聚層網絡設備全部采用了CISCOWS-C3560-24TS-S交換機。該交換機支持各種高級路由協議，如BGP4、RIPV1、RIPv2、VRRP、OSPF、IP組播、IPX路由。匯聚路由交換機CISCOWS-C3560-24TS-S的性能特性及技術指標如下：交換機類：企業級交換機應用層級：三層接口介質：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數量：24背板帶寬：32GbpsVLAN支持：支持網管功能：SNMP,CLI,Web,管理接入層接入層主要用來支撐客戶端機器對服務器的訪問，主要是指接入路由器、交換機、終端訪問用戶。它利用多種接入技術，迅速覆蓋至用戶節點，將不同地理分布的用戶快速有效地接入到信息網的匯聚。對上連接至匯聚層和核心層，對下進行帶寬和業務分配，實現用戶的接入。根據我們所借鑒的項目設計經驗，匯聚層節點與接入層節點可考慮采用星形連接，每個接入層節點與兩個匯聚層節點連接。當接入層采用其它結構（如環行）連接到匯聚層時，建議提供兩條不同路由通道。根據接入層處在網絡系統中所起的作用以及用戶的實際需求，本方案中接入層部分由CISCO公司的WS-C2918-24TC-C交換機構成。其主要功能是為該區域下屬各部門的網絡用戶提供大量性價比極高的10/100兆網絡接口，并與信息中心的核心交換機通過1000兆光纖鏈路互聯為接入的用戶提供高速上聯。接入層樓層交換機CISCOWS-C2918-24TC-C的性能特性及技術指標情況如下：交換機類：快速以太網交換機應用層級：二層傳輸速率：10Mbps/100Mbps/1000M端口數量：24背板帶寬：16GbpsVLAN支持：支持網管功能：CiscoIOSCLI,Web瀏U包轉發率：MAC地址：8K網絡標準：IEEE,IEEE802端口結構：非模塊化交換方式：存儲-轉發產品內存：64MB傳輸模式：支持全雙工

網管支持：支持模塊化插：2設備選型（可見附件2）設備名稱型號規格單位當位1單價（元）L數量總計（元）1Web服務器華碩RS700-XT/PS4CPU:標配一個IntelXeon?E5-2620處理器（六核〃15MB三級緩存,sQPI）,可擴至二路處理器內存：標配8GB（1x8GB）DDR31333ECCREG內存（支持12根DDR3RECC內存插槽，最大支持384GB）硬盤：標配無硬盤（4個熱插拔“硬盤位；集成嵌入式SATA控制器,支持RAID0/1/5/10） 光驅：標配SATADVD-RW驅動器網絡：集成Intel?82574L四端口千兆服務器網卡I/O擴展槽:一個全高半長PCI-Expressx16插槽（x8速度），一個全高半長PCI-Expressx8插槽（x8速度），一個PIKE插槽電源：600W通過80PLUS金牌認證PFC高效電源SAS卡：標配PIKE2008，SASRAID0,1,10,1E臺1

2USP電源美國山特CSTKUPS不間斷電源C3K3KVA/2100W功率3KVA實際可帶負載2100W內置12V7AH電池8只停電可以延時10-20分鐘（輸出純正玄波、0切換時間）套13磁盤陣列IBMStorwizeV3500（207U）硬盤轉速：146GB/300GB15Krpm300GB/600GB/900GB10Krpm500GB/1T高速緩存：標配8GB緩存主機通道：1GbiSCSI（可選8Gbps光纖通道）RAID支持：RAID0，1，5，6和10單機磁盤數量：24個硬盤接口：SAS風扇:全冗余，熱插拔其他參數：用戶界面：圖形用戶界面（GUI）單/雙控制器：僅限雙控制產品電源：全冗余，熱插拔，405W長度：556mm寬度：483mm高度：87mm工作溫度：10-35℃工作濕度：10-35℃臺1

4核心層路由器CISCO3845路由器類：多業務路由器局域網接：2個傳輸速率：10/l00/l000Mbps網絡協議：CiscoClickStart,SN防火墻：是端口結構：模塊化Qos支持：支持VPN支持：支持產品內存：256MB擴展模塊：8包轉發率：10Mbps:14,880pps、電源電壓：交流輸入電壓:100-240產品尺寸：**臺1

5網絡中心服務器產品類別：塔式Cup型號：XeonE5506標配CUp數量：1顆內存容量：4GBECCDDR3標配硬盤容量：160GB內部硬盤架數：最大支持6塊英寸網絡控制器：雙端口千兆網卡電源類型：80+認證擴展槽：5xPCI插槽光驅：DVD-ROM最大Cpu數量：2顆最大內存：64GBCPU頻率：臺5核CISCOWS-C3560-48TS-S心6層應用層級：三層臺1接口介質：10/100BASE-T/100FX交換傳輸速率：10Mbps/100Mbps端口數量：48機背板帶寬：32GbpsVLAN支持：支持網管功能：網管功能SNMP,CLI,包轉發率：MAC地址：12k

7匯聚層交換機CISCOWS-C3560-24TS-S交換機類：企業級交換機應用層級：三層接口介質：10/100BASE-T/100FX傳輸速率：10Mbps/100Mbps端口數量：24背板帶寬：32GbpsVLAN支持：支持網管功能：SNMP,CLI,Web,管理臺3

8接入層交換機CISCOWS-C2918-24TC-C交換機類：快速以太網交換機應用層級：二層傳輸率：10Mbps/100Mbps/1000M端口數量：24背板帶寬：16GbpsVLAN支持：支持網管功能：CiscoIOSCLI,Web瀏U包轉發率：MAC地址：8K網絡標準：IEEE,IEEE802端口結構：非模塊化交換方式：存儲-轉發產品內存：64MB傳輸模式：支持全雙工網管支持：支持模塊化插：2臺69單模光纖Rosenberger室外4芯單模光纖（輕型/無金屬）米20010超五類雙絞線AMP超五類非屏蔽雙絞線305M/箱箱1211信息插座AMP超五類雙口面板個100600..00AMP超五類模塊塊108

12交換機布線設備機柜三盛F-12U個1墻柜神虎19”墻柜6U個4酉己線架AMP超五類24口配線架（1U）個3理線架AMP1U理線架個513水晶頭國產AMPRJ45水晶頭個560總 計第4章網絡IP規劃企業在規劃了局域網建設方案，選購了路由器、防火墻以及交換機等網絡設備，并對機房和所在的辦公地點（大樓）進行了布線，也添置了服務器和客戶機（工作站、pc機），現在要組建企業的局域網，還要一件比較重要的事要做，那就是對局域網的ip地址要進行規劃，主要包括公網地址（InternetIP地址，一般是指A、B、C類的Ipv4的地址），以及專用（私有）IP地址兩部分。下面就和大家一起來探討企業IP地址的規劃方面的問題。一、IP地址的規劃1、IP地址的基本概念IP地址是32位的二進制數值，用于在TCP/IP通訊協議中標記每臺計算機的地址。1、IP地址的基本概念IP地址是32位的二進制數值，用于在TCP/IP通訊協議中標記每臺計算機的地址。通常我們使用點式十進制來表示，如等。也就是說IP地址有兩種表示形式：二進制和點式十進制，一個32位IP地址的二進制是由4個8位域組成。即0000000100000110（）。每個IP地址又可分為兩部分。即網絡號部分和主機號部分：網絡號表示其所屬的網絡段編號，主機號則表示該網段中該主機的地址編號。按照網絡規模的大小，IP地址可以分為A、B、C、D、E五類，其中A、B、C類是三種主要的類型地址，D類專供多目傳送用的多目地址，E類用于擴展備用地址。A、B、C三類IP地址有效范圍2.當局域網通過路由設備與廣域網連接時，路由設備會自動將該地址段的信號隔離在局域網內部，不用擔心所使用的保護IP地址與其他局域網中使用的同一地址段的保留IP地址發生沖突（即IP地址完全相同）。所以完全可以放心大膽地根據自己的需要（主要考慮所需的網絡數量和網絡內計算機的數量）選用適當的專有網絡地址段，設置本企業局域網中的IP地址。路由器或網關會自動將這些IP地址攔截在局域網絡之內，而不會將其路由到公有網絡中，所以即使在兩個局域網中均使用相同的私有IP地址段，彼此之間也不會發生沖突。在IP地址資源已非常緊張的今天，這種技術手段被越來越廣泛地應用于各種類型的網絡之中。當然，使用內部P地址的計算機也可以通過局域網訪問Internet，不過需要使用代理服務器才能完成。當企業網絡所擁有的公網IP地址比較少，甚至只有1個時（ISP往往只給企業提供1個IP地址），那么，在企業內部就必須采用私有IP地址，再借助地址映射或代理服務器實現Internet連接共享，并借助端口映射，將網絡內部的服務器發布到Interneto3、IP地址信息通常來說，一個完整的IP地址信息應該包括IP地址、子網掩碼、默認網關和DNS等4部分內容，只有當它們各司其職、協同工作時，我們才可以訪問Internet,并被Internet中的計算機所訪問。需要注意的是，采用靜態IP地址接入Internet時，ISP應當為用戶提供全部IP地址信息。IP地址企業網絡使用的合法IP地址由提供Internet接入的服務商（ISP）分配，私有IP地址則可以由網絡管理員自由分配。需要注意的是，網絡內部所有計算機的IP地址都不能相同，否則，會發生IP地址沖突，導致網絡通訊失敗。子網掩碼子網掩碼是與IP地址結合使用的一種技術。它的主要作用有兩個，一是用于確定廠地址中的網絡號和主機號，二是用于將一個大的IP網絡劃分為若干小的子網絡。該公司的地址具體的IP規劃見下表:設備位置設備名稱IP地址子網掩碼外網防火墻內網路由器內網服務器內網核心層交換機內網匯聚層交換機內網接入層交換機內外防火墻第5章網絡安全設計網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性DMZ區是一個非安全系統與安全系統之間的緩沖區，它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。網絡的防火墻保護內部網絡的安全，由內部防火墻和外部防火墻構成管理所有外部網絡對DMZ的訪問。內部防火墻管理DMZ對于內部網絡的訪問。內部防火墻是內部網絡的第三道安全防線（前面有了外部防火墻和堡壘主機），當外部防火墻失效的時候，它還可以起到保護內部網絡的功能。而局域網內部，對于Internet的訪問由內部防火墻和位于DMZ的堡壘主機控制。，公司網絡安全隱患.系統的安全隱患應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。應用的安全性也是動態的。需要對不同的應用，檢測安全漏洞，采取相應的安全措施，降低應用的安全風險。主要有文件服務器的安全風險、數據庫服務器的安全風險、病毒侵害的安全風險、數據信息的安全風險等。管理的安全隱患管理方面的安全隱患包括：內部管理人員或員工圖方便省事，不設置用戶口令，或者設置的口令過短和過于簡單，導致很容易破解。責任不清，使用相同的用戶名、口令，導致權限管理混亂，信息泄密。用戶權限設置過大、開放不必要的服務端口，或者一般用戶因為疏忽，丟失帳號和口令，從而造成非授權訪問，以及把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。可能造成極大的安全風險。操作系統的安全漏洞計算機操作系統尤其服務器系統是被攻擊的重點，如果操作系統因本身遭到攻擊，則不僅影響機器本身而且會消耗大量的網絡資源，致使整個網絡陷入癱瘓。病毒侵害一旦有主機受病毒感染，病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的其他主機，可能造成信息泄漏、文件丟失、機器不能正常運行等。需求分析公司根據業務發展需求，建設一個小型的企業網，有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和綜合部門，需要他們之間相互隔離。同時由于考慮到Internet的安全性，以及網絡安全等一些因素。因此本企業的網絡安全構架要求如下：.根據公司現有的網絡設備組網規劃；.保護網絡系統的可用性；.保護網絡系統服務的連續性；.防范網絡資源的非法訪問及非授權訪問；.防范入侵者的惡意攻擊與破壞；.保護企業信息通過網上傳輸過程中的機密性、完整性；.防范病毒的侵害；.實現網絡的安全管理。通過了解公司的需求與現狀，為實現網絡公司的網絡安全建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要(1)構建良好的環境確保企業物理設備的安全(2)劃分VLAN控制內網安全(3)安裝防火墻體系(4)安裝防病毒服務器(5)加強企業對網絡資源的管理如前所述，公司信息系統存在較大的風險，網絡信息安全的需求主要體現在如下幾點：(1)公司信息系統不僅需要安全可靠的計算機網絡，也需要做好系統、應用、數據各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。(2)網絡規模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現，使公司計算機網絡安全面臨更大的挑戰，原有的產品進行升級或重新部署。(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。(4)信息安全防范是一個動態循環的過程，如何利用專業公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現的各種安全威脅，也是公司面臨的重要課題。6息安全策略信息安全的目標是通過系統及網絡安全配置，應用防火墻及入侵檢測、安全掃描、網絡防病毒等技術，對出入口的信息進行嚴格的控制；對網絡中所有的裝置進行檢測、分析和評估，發現并報告系統內存在的弱點和漏洞，評估安全風險，建議補救措施，并有效地防止黑客入侵和病毒擴散，監控整個網絡的運行狀況。.防火墻實施方案根據網絡整體安全及保證財務部的安全考慮，采用2臺ciscopix535防火墻，一防火墻對財務部與企業內網進行隔離，另一防火墻對Internet與企業內網之間進行隔離，其中內服務器對外服務器連接在防火墻的DMZ區與內、外網間進行隔離。防火墻設置原則如下所示：建立合理有效的安全過濾原則對網絡數據包的協議、端口、源/目的地址、流向進行審核，嚴格控制外網用戶非法訪問；防火墻DMZ區訪問控制，只打開服務必須的HTTP、FTP、SMTP、POP3以及所需的其他服務，防范外部來的拒絕服務攻擊；定期查看防火墻訪問日志對防火墻的管理員權限嚴格控制。

Internet連接與備份方案防火墻經外網交換機接入Internet。此區域當前存在一定的安全隱患：首先，防火墻作為企業接入Internet的出口，占有及其重要的作用，一旦此防火墻出現故障或防火墻與主交換機連接鏈路出現問題，都會造成全臺與Internet失去連接；其次，當前的防火墻無法對進入網絡的病毒進行有效的攔截。為此，新增加一臺防火墻和一臺防病毒過濾網關與核心交換機。防病毒網關可對進入網絡的流量進行有效過濾，使病毒數據包無法進入網絡，提高內網的安全性。防火墻連接只在主核心交換機上，并且采用兩臺防火墻進行熱備配置，分別連接兩臺核心交換機。設備及鏈路都進行了冗余配置，提高了網絡的健壯性。根據改企業未來的應用需求，可考慮網絡改造后，將Internet連接帶寬升級為100M。入侵檢測方案在核心交換機監控端口部署CA入侵檢測系統(eTrustIntrusionDetection)，并在不同網段(本地或遠程)上安裝由中央工作站控制的網絡入侵檢測代理，對網絡入侵進行檢測和響應。入侵檢測0VPN系統考慮到本公司和其子公司的通信，通過安裝部署VPN系統，可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體，通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道，使得合法的用戶可以安全的訪問企業的私有數據，用以代替專線方式，實現移動用戶、遠程LAN的安全連接。集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。網絡安全漏洞企業網絡擁有WWW、郵件、域、視頻等服務器，還有重要的數據庫服務器，對于管理人員來說，無法確切了解和解決每個服務器系統和整個網絡的安全缺陷及安全漏洞.因此需要借助漏洞掃描工具定期掃描、分析和評估，發現并報告系統內存在的弱點和漏洞，評估安全風險，建議補救措施，達到增強網絡安全性的目的。防病毒方案采用Symantec網絡防病毒軟件，建立企業整體防病毒體系，對網絡內的服務器和所有計算機設備采取全面病毒防護。并且需要在網絡中心設置病毒防護管理中心，通過防病毒管理中心將局域網內所有計算機創建在同一防病毒管理域內。通過防病毒管理域的主服務器，對整個域進行防病毒管理，制定統一的防毒策略，設定域掃描作業，安排系統自動查、殺病毒。可實現對病毒侵入情況、各系統防毒情況、防毒軟件的工作情況等的集中監控；可實現對所有防毒軟件的集中管理、集中設置、集中維護；可集中反映整個系統內的病毒入侵情況,設置各種消息通報方式，對病毒的爆發進行報警；可集中獲得防毒系統的日志信息；管理人員可方便地對系統情況進行匯總和分析。根據企業內部通知或官方網站公