《中小型企业局域网络的组建与规划.doc》由会员分享,可在线阅读,更多相关《中小型企业局域网络的组建与规划.doc(34页珍藏版)》请在三一办公上搜索。
1、摘 要局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性。我们对它进行安全规划。本文就是从构建LAN的策略与安全规划两个方面进行分析与总结。首先我们介绍了什么是LAN。从LAN的发展史、基本组成、网络拓扑结构、网络操作系统及结构类型多方面对LAN进行了概述。尤其是LAN的网络拓扑结构从星型、环型、总线型三方面讲述了LAN的拓扑。然后从局域网的构建、构建方案、以及构建无线企业局域网来充实构建局域网络的策略。其中构建一个小型网络利用实例让我们对局域网的构建有了一个初步的了解;局域网的构建方案从理论上让我们对局域网有了一个深入的了解;而无线企业局域网的构建则充实了
2、我们对构建局域网的进一步了解。从局域网的安全策略、解决方案两方面论述局域网的安全规划。其中安全策略从路由包过滤、防火墙两方面详细介绍了局域网的安全策略;而局域网的解决方案则从物理安全、设置安全两个方面进行介绍。最后则从局域网的展望对我们了解的局域网进行进一步的扩充,其中符合802.11b标准的无线局域网为市场上无线网络的发展搭建了稳定的平台。关键词:局域网;计算机网络;无线局域网;防火墙AbstractLAN (LAN ) name itself implies the office land of the geographical range of this kind of network.
3、 Limitation because of smaller geographical range. We carry on safe planning to it. This text plans to analyse and summarize in two respects from the tactics and security of structuring LAN.We have recommended at first what is LAN. From development history, make up basically, network topological str
4、ucture, network operating system and type in many aspects to go on the summary to LAN structure of LAN. Network of LAN topological structure from star type, ring type, bus type three respect tell LAN topological especially. Structure from construction , scheme of structuring of LAN wireless enterpri
5、se LAN is it is it is it found the bureau tactics , land of network to construct to substantiate to come. Among them structure a small-scale network and utilize the instance to let us have a preliminary understanding to the literary composition of the LAN; The construction scheme of the LAN lets us
6、have a deep understanding to the LAN theoretically; The construction of the wireless enterprises LAN has substantiated our further understanding to LAN of structuring. Describe the security planning of the LAN from two respects of security tactics , solution of the LAN. Safe tactics bag filter, fire
7、 wall two respect introduce security tactics of LAN in detail from route among them; Solution of LAN from safe setting up safe two make an introduction physics have. Carry on further expansion to the LAN that we understood from the prospect of the LAN finally, among them accord with 802. Wireless LA
8、N, 11b of standard wireless development of network put up the steady platform for market. Key words:LAN ; topological structure ,;wireless LAN目 录第1章 绪 论11.1 背景及意义1第2章 局域网概述32.1 什么是LAN32.2 LAN的发展史32.3 LAN的基本组成42.4 LAN的网络拓扑结构52.4.1 星型拓扑结构62.4.2 环形网络拓扑结构72.4.3 总线拓扑结构82.5 网络操作系统82.6 LAN的结构类型9第3章 构建局域网络的
9、策略113.1 构建一个小型网络113.2 局域网构建方案123.3 构建企业无线局域网13第4章 局域网络的安全规划174.1 局域网的安全策略174.1.1 路由包过滤184.1.2 防火墙194.2 局域网安全的解决方案21第5章 无线局域网24第6章 结 论29参考文献30致 谢31第1章 绪 论1.1 背景及意义在计算机网络日益成为生活中不可或缺的工具时,计算机网络中的入侵活动已经引起了公众的高度重视。非法入侵一直危害着网络安全,计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务攻击三个方面。网络的安全威胁方向也分为外部和内部。黑客攻击早在主机终端时代就已经出现,随着因特
10、网的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击。自从1977年第1个民用局域网系统ARCnet投入运行以来,局域网以其广泛的适用性和技术价格方面的优势,获得了成功和迅速的发展,已成为数据网络领域中基于宿主机的最流行的网络连接形式。随着社会对计算机依赖性的迅速增加,用户要求互连的计算机数量更多,类型也更为复杂。现代固态电子技术的发展,使人们可以根据不同的要求选择不同的网络方案,但传统有线网络由于受设计或环境条件的制约,在物理、逻辑和资金方面普遍存在着一系列问题,特别是当涉及到网络移动和重新布局时,所以发展一种可行的无线通信网络技术作为现有数据连接的扩充已成为一种需要。进入90年代以
11、来,随着个人数据通信的发展,功能强大的便携式数据终端以及多媒体终端的广泛应用,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统的计算机网络由有线向无线,由固定向移动,由单一业务向多媒体发展,更进一步推动了无线局域网(Wireless LAN,以下简称无线LAN)的发展。无线LAN和个人通信网(PCN)代表了90年代通信网络技术的发展方向。PCN主要用于支持速率小于56kbits的语音数据通信,而无线LAN大多用于传输率大于1Mbits的局域和室内数据通信,同时为未来多媒体应用(语音、数据和图像)提供了一种潜在的手段。无线LAN既可满足各类便携机的入网要求,也可作为传统有线LA
12、N的补充手段。当然,局域网技术应用于无线信道之所以成为可能,还在于相关技术的发展解决了某些关键性问题: (1)天线设计技术的发展,使得在无线LAN中,每个节点在保证信号强度的同时,实现整个区域的覆盖。(2)高性能、高集成度的CMOS和GaAs半导体技术的发展,以及多芯片模块技术(MCM)的出现,使得在一块低功耗、低成本专用集成电路(ASIC)芯片上可同时实现信号的调制解调,完成在微波以上频段的收发信功能。(3)网络软硬件设计技术的进展,使芯片实现高速数据处理和复杂协议成为可能第2章 局域网概述2.1 什么是LAN为了完整地给出LAN的定义,必须使用两种方式:一种是功能性定义,另一种是技术性定义
13、。前一种将LAN定义为一组台式计算机和其它设备,在物理地址上彼此相隔不远,以允许用户相互通信和共享诸如打印机和存储设备之类的计算资源的方式互连在一起的系统。这种定义适用于办公环境下的LAN、工厂和研究机构中使用的LAN。就LAN的技术性定义而言,它定义为由特定类型的传输媒体(如电缆、光缆和无线媒体)和网络适配器(亦称为网卡)互连在一起的计算机,并受网络操作系统监控的网络系统。 功能性和技术性定义之间的差别是很明显的,功能性定义强调的是外界行为和服务;技术性定义强调的则是构成LAN所需的物质基础和构成的方法。局域网(LAN)的名字本身就隐含了这种网络地理范围的局域性。由于较小的地理范围的局限性。
14、由于较小的地理范围,LAN通常要比广域网(WAN)具有高的多的传输速率,例如,目前LAN的传输速率为10Mb/s,FDDI的传输速率为100Mb/s,而WAN的主干线速率国内目前仅为64kbps或2.048Mbps,最终用户的上线速率通常为14.4kbps。LAN的拓扑结构目前常用的是总线型和环行。这是由于有限地理范围决定的。这两种结构很少在广域网环境下使用。LAN还有诸如高可靠性、易扩缩和易于管理及安全等多种特性。2.2 LAN的发展史在计算机应用的初期,人们使用的都是大中型计算机,通常简称为主机。需要使用计算机的人必须向计算机操作人员提交请求,而且在获准上机后,必须等待数小时或几天才能得到
15、结果。后来,随着电子技术的发展,通过终端连到了主机上,从而人们不必进入机房,只需从办公室的终端上便可提交请求。再后来又出现了中小型计算机,操作系统也随之出现。这时用户已经能够以交互操作方式向中心机提交请求。然而,计算机的普及使用只是在70年代出现了个人计算机(PC)后才得以实现的。1981年出现的IBM PC机的处理能力和存储能力已经可同早几年的大型机相媲美。随着PC的大量投入市场,人们发现,每台PC配置一台磁盘驱动器和打印机,当时在费用上实在难以承受。于是出现了资源共享的方式:磁盘服务器和共享打印机。这是一种硬件和软件的组合,它可使几个PC用户很方便地对公共硬盘驱动器进行共享式访问。第一个磁
16、盘服务器是在CP/M操作系统下运行的。早期的LAN,用户对硬盘驱动器的共享访问是经过连到共享驱动器的计算机实现的。计算机中的软件将公享的硬盘驱动器分成称为卷的区域,每个用户一个。在用户看来,用户分得的卷犹如他自己的专用盘驱动器。硬盘通常还包括公用卷,使用户共享信息。在目前LAN中,磁盘服务器已经由文件服务器取代。文件服务器无论在使用户共享文件方面,还是帮助用户跟踪他们的文件方面都优于磁盘服务器。有些LAN能支持多个文件服务器,每个服务器又有多个硬盘驱动器与之相连,从而使LAN很容易扩充。除硬盘驱动器为PC用户共享外,第二个供PC用户共享的设备是打印机。目前, 每种LAN都能有这种能力,而且在多
17、数情况下,打印服务器已成了整个LAN软件包的一部分,而不是一台独立的计算机。利用LAN打印服务器,用户仅可使用与一定文件服务器相连的打印机,或使用与网络上任何用户工作站相连的打印机。LAN管理器可以限制对一定打印机的访问。用户也可将几个文件发送到同一个打印机。这些特点和其它特点取决于使用的LAN软件特性。其它类型的服务器也已出现,如通讯服务器、数据库服务器等,将在以后的专题中介绍。需要强调的是,LAN是通过将一组PC连接到指定为服务器的机器上来实现的,连接媒体可有多种,如同轴电缆等。2.3 LAN的基本组成 要构成LAN,必须有其基本组成部件。LAN既然是一种计算机网络,自然少不了计算机,特别
18、是个人计算机(PC)。几乎没有一种网络只由大型机或小型机构成。因此,对于LAN而言,个人计算机是一种必不可少的构件。计算机互连在一起 ,当然也不可能没有传输媒体,这种媒体可以是同轴电缆、双绞线、光缆或辐射性媒体。第三个构件是任何一台独立计算机通常都不配备的网卡,也称为网络适配器,但在构成LAN时,则是不可少的部件。第四个构件是将计算机与传输媒体相连的各种连接设备,如DB-15插头座、RJ-45插头座等。具备了上述四种网络构件,便可搭成一个基本的LAN硬件平台,如图2.1所示。图2.1LAN组成有了LAN硬件环境,还需要控制和管理LAN正常运行的软件,即谓NOS是在每个PC机原有操作系统上增加网
19、络所需的功能。例如,当需要在LAN上使用字处理程序时,用户的感觉犹如没有组成LAN一样,这正是LAN操作发挥了对字处理程序访问的管理。在LAN情况下,字处理程序的一个拷贝通常保存在文件服务器中,并由LAN上的任何一个用户共享。由上面介绍的情况可知,组成LAN需要下述5种基本结构: 计算机(特别是PC机); 传输媒体; 网络适配器; 网络连接设备; 网络操作系统。2.4 LAN的网络拓扑结构网络拓扑结构是指用传输媒体互连各种设备的物理布局。将参与LAN工作的各种设备用媒体互连在一起有多种方法,实际上只有几种方式能适合LAN的工作。如果一个网络只连接几台设备,最简单的方法是将它们都直接相连在一起,
20、这种连接称为点对点连接。用这种方式形成的网络称为全互连网络,如图2.2所示。图中有6个设备,在全互连情况下,需要15条传输线路。如果要连的设备有n个,所需线路将达到n(n-1)/2条!显而易见,这 种方式只有在涉及地理范围不大,设备数很少的条件下才有使用的可能。即使属于这种环境, 在LAN技术中也不使用。这里所以给出这种拓扑结构,是因为当需要通过互连设备(如路由器) 互连多个LAN时,将有可能遇到这种广域网(WAN)的互连技术。图2.2网络拓扑结构目前大多数LAN使用的拓扑结构有3种: 星行拓扑结构; 环行拓扑结构; 总线型拓扑结构。2.4.1 星型拓扑结构星型结构是最古老的一种连接方式,大家
21、每天都使用的电话都属于这种结构,如图2.3所示。其中,图2.3为电话网的星型结构,图2.4为目前使用最普遍的以太网星型结构,处于 中心位置的网络设备称为集线器,英文名为Hub。 图2.3 电话网的星型结构 图2.4 以Hub为重心的结构这种结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。2.4.2 环形网络拓扑结构环型结构在LAN中使用较多。
22、这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有端用户连成环型,如图2.5所示。这种结构显而易见消除了端用户通信时对中心系统的依赖性。图2.5 环形网络拓扑结构环行结构的特点是,每个端用户都与两个相临的端用户相连,因而存在着点到点链路,但总是以单向方式操作。于是,便有上游端用户和下游端用户之称。例如图2.5中,用户N是用户N+1的上游端用户,N+1是N的下游端用户。如果N+1端需将数据发送到N端,则几乎要绕环一周才能到达N端。2.4.3 总线拓扑结构总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用户的物理媒体由所有设备共享,如图2.6所示。使用这种结构必须解决
23、的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时,这是相当简单的。如果这条链路是半双工操作,只需使用很简单的机制便可保证两个端用户轮流工作。在一点到多点方式中,对线路的访问依靠控制端的探询来确定。然而,在LAN环境下,由于所有数据站都是平等的,不能采取上述机制。对此,研究了一种在总线共享型网络使用的媒体访问方法:带有碰撞检测的载波侦听多路访问,英文缩写成CSMA/CD。图2.6 总线拓扑结构这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权。媒体访问获取机制较复杂
24、。尽管有上述一些缺点,但由于布线要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是LAN技术中使用最普遍的一种。2.5 网络操作系统网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统它在计算机操作系统下工作,使计算机操作系统增加了网络操作所需要的能力。例如象前面已谈到的当你在LAN上使用字处理程序时,你的PC机操作系统的行为像在没有构成LAN时一样,这正是LAN操作系统软件管理了你对字处理程序的访问。网络操作系统运行在称为服务器的计算机上,并由连网的计算机用户共享,这类用户称为客户。NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不
25、同而有差别。一般情况下,NOS是以使网络相关特性最佳为目的的。如共享数据文件、软件应用以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。一般计算机的操作系统,如DOS和OS/2等,其目的是让用户与系统及在此操作系统上运行的各种应用之间的交互作用最佳。为防止一次由一个以上的用户对文件进行访问,一般网络操作系统都具有文件加锁功能。如果没有这种功能,将不会正常工作。文件加锁功能可跟踪使用中的每个文件,并确保一次只能一个用户对其进行编辑。文件也可由用户的口令加锁,以维持专用文件的专用性。NOS还负责管理LAN用户和LAN打印机之间的连接。NOS总是跟踪每一个可供使用的打印机以及每个用户的打印请求,并
26、对如何满足这些请求进行管理,使每个端用户的操作系统感到所希望的打印机犹如与其计算机直接相连。NOS还对每个网络设备之间的通信进行管理,这是通过NOS中的媒体访问法来实现的。NOS的各种安全特性可用来管理每个用户的访问权利,确保关键数据的安全保密。因此,NOS从根本上说是一种管理器,用来管理连接、资源和通信量的流向。2.6 LAN的结构类型LAN的结构主要有三种类型:以太网(Ethernet)、令牌环(Token Ring)、令牌总线(Token Bus)以及作为这三种网的骨干网光纤分布数据接口(FDDI)。它们所遵循的标准都以802开头,目前共有11个与局域网有关的标准,它们分别是:IEEE
27、802.1 通用网络概念及网桥等IEEE 802.2逻辑链路控制等IEEE 802.3CSMA/CD访问方法及物理层规定IEEE 802.4ARCnet总线结构及访问方法,物理层规定IEEE 802.5Token Ring访问方法及物理层规定等IEEE 802.6 城域网的访问方法及物理层规定IEEE 802.7宽带局域网IEEE 802.8 光纤局域网(FDDI)IEEE 802.9 ISDN局域网IEEE 802.10网络的安全IEEE 802.11无线局域网上述LAN技术各有自身的敷缆规则与工作站的连接方法,硬件需求以及各种其它部件的连接规定。网络拓扑结构有两种类型,一个是指相互连接的工
28、作站的物理布局,另一个是网络的工作方式。前者是人们可以看到的连接结构,后者是逻辑、操作结构,因而是不可见的,并称之为逻辑拓扑结构。LAN的网络拓扑结构广泛采用的主要有总线型和环型。LAN使用的星型结构主要是指用双绞线构成的网络。这种使用集线器(Hub)构成的星型网,实质上仍然是总线型网络。第3章 构建局域网络的策略3.1 构建一个小型网络要构建一个小型网络,首先要明确用途与网络结构,然后定出网络拓扑、指定协议、分配IP、应用软件等等。对于宁波网通的一般用户可以采用以下几种网络结构:1. 直接的接入;2. 对等网接入;3. 服务器/客户机(双网卡);4. 服务器/客户机(单网卡);5. 路由设备
29、接入。直接的接入是最简单的方法,只需将总线接至HUB的上联口即可,但受到小区认证的限制。对等网可以省去中继设备,但作为服务器的PC需要多添加一块网卡,而且当客户机要求联网时,服务器需要开机;并且对等网只能有两台计算机。服务器/客户机(双网卡)是比较常见和正规的接入方式,有比较好的扩展性和安全性。服务器/客户机(单网卡)与双网卡的形式基本相近,但缺少安全性,设置可能更加繁琐。路由设备接入相当于使用路由器取代了方案3/4的服务器确定网络结构后,需要选择共享上网的软件(直接的接入的无需考虑,路由设备只需对其配置即可),一般这种小型的局域网共享上网可以采用:windows自带的网络共享连接wingat
30、e,sygate等第三方代理软件windows软路由一般来说windows软路由最稳定;windows自带的网络共享连接设置简单方便,不易与系统产生冲突;第三方代理软件控制功能比较多,但设置项较多,与系统的兼容问题也比较头痛。组网建议1:小型局域网(1-3台)平台需求 普通PC/win2000 专业版硬件需求 4/8口集线器一个/UTP CAT5若干预算 8口集线器:200-300UTP CAT5:3/米网络安全性 较优 优缺点 优点:简便易行,实现成本低,添加的软硬件少,缺点:在不使用代理方式时,最多扩展至3台计算机同时连接Intelnet。实现方法:进线与集线器相连,PC网卡与集线器相连(
31、直联线)即可。需安装TCP/IP协议,IP地址与DNS服务均自动获取(默认设置)。此时每台计算机均能独立与Intelnet相连。组网建议2:双网卡共享出口(2台)平台需求 普通PC/win2000 专业版硬件需求 主机需增加一块网卡/UTP CAT5若干预算 网卡:35120UTP CAT5:3/米网络安全性 主机:较优 客户机:优优缺点 优点:简便易行 ,实现成本低,添加的软硬件最少。缺点:客户机对主机有依赖,没有可扩展性。3.2 局域网构建方案在科研所内应建立两种类型的网:信息网和内部工作网。信息网侧重于对外宣传、交流、情报调研等。内部工作网侧重于内部工作交流、学术讨论、软硬件共享、党政行
32、政科研管理与信息查询等。整顿后的信息网点目前只集中在个别公用上网室,并有专人管理和有效维护。内部工作网建设方面的工作由以下三部分组成。(1)内部工作网安全解决方案。使内部网物理上和外界断开。将网络在网络层(ISO/OSI模型中的第三层)上进行分段,网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。在链路层进行VLAN(虚拟网)设置,VLAN划分的目的也是保证系统的安全性。应用交换机和VLAN技术,实际上是将以太网从本质上基于广播机制转变为点到点通讯。即信息只到达应该到达的地点。因此防止了大部分基于网络监听的入侵手
33、段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。实现访问控制,通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击之前,操作上加强管理,进行备份与恢复,良好的备份与恢复机制可在有意或无意造成损失时,尽快地恢复资料和系统服务。引进网管软件和网络监控设备,对网络进行有效的管理,对流经网络的数据进行检测和分析,捕获网络违规事件和恶意入侵行为,自动生成审计跟踪记录和分析报告,切断非法连接并实时报警,对潜在的网络堵塞、延迟或故障进行识别和清除等。安装网络防病毒软件,可使系统免受病毒袭击,提高网络安全运行的可靠性。 此外,在某些上网机上安装个人防火墙软件,可加
34、强上网机自身的安全保护,降低上网机受到网络其他用户非法访问的风险。必要时采用加密通讯。网络主要设备装入配备的各网络机柜进行统一管理,网络走线采用封闭式专用线管或线槽。设立安全监控中心,设立专职网络安全管理员,制定安全管理措施、安全运行及紧急事件处理措施,专门负责网络安全、保密事项的监督,随时了解网络运行中出现的非法事件,处理安全保密中的技术问题,定期对网络的风险状况提出分析报告和解决方案,为信息系统提供安全管理和监控。(2)对所网络布局进行了拓展和改造。目前综合楼和各实验室均有光缆和办公楼相连,综合楼内进行了系统布线。为了安全管理起见,在网络主要设备放置处均已安装网络机柜,设备房原来的非标准机
35、柜换为12U的标准墙柜。 (3)内部工作网主设备选择美国Cabletron公司的SSR2000交换路由器,使其既能在网络层上进行网络分段,又能进行VLAN(虚拟网)设置。下连六台Cabletron公司的ELS100交换机,也具备VLAN设置功能。目前内部网所需设备已全部到位并进行了试装,并对路由器和交换机进行初步VLAN设置。 3.3 构建企业无线局域网你的企业是否计划建立无线局域网?你是否感到建立无线网络非常困难?本文将介绍五个步骤,帮助你按部就班地在现有的网络上建立无线连接,让你所在的企业和同事享受到无线联网的好处与优势。 想一步到位建立一个大型的覆盖所有部门和区域的无线网络是比较困难和冒
36、险的,因此,建立无线网络的最好方法是从小网络开始,同时以发展的眼光对无线网络进行规划,然后不断地按照需求对已有的无线网络进行扩展。 自然,我们首先要考虑的可能是那些经常抱着笔记本电脑到处跑的员工,因为,对于他们来说恐怕无线网络能带来的好处是最多最直接的。下面就让我们按照五个步骤开始吧: 第一步:为第一个无线网络做规划 首先我们要确定,在哪些场所开始建立无线局域网。通常说来,经理办公室、会议室、销售部门以及其他经营性部门和新建的办公大楼是比较合适的选择。 当你决定了在哪些场所先建立无线网络以后,跟着就要确定,先给哪些人员配备无线网络设备,也就是要决定最初一批能连接上无线网络的人都有谁。 在必要的
37、设备升级收费上,要准备好预算,你需要清点一下参与项目的人员的笔记本电脑,看看有多少笔记本电脑已经内置了无线功能,如最新的基于英特尔迅驰移动计算技术的笔记本电脑;有多少需要另外配备无线网卡。 在筹划你的第一个无线网络项目的时候,有一个很重要的环节,就是用科学的方法来评估无线网络带来的好处和回报。这需要你建立一个投资回报(ROI)模型,在这个方面,通常需要借助人力资源部门的帮助。 在规划无线网络项目的过程中,你还要预先设计好无线网络覆盖区域图,也就是说要计划好到底哪些地域和场所需要被无线网络所覆盖,比如会议室、办公区、餐厅、经营区等等。你需要确定在这些地方已经存在有线的局域网连接,因为无线网络接入
38、设备需要硬件上与有线网络连接起来。 当然最初建立的无线网络的规模和覆盖面积越大,就越有利于测试无线网络的可用性和效率,但是这样也需要更多的资源支持。 除了覆盖范围以外,你还得考虑一下每个无线接入设备所需要支持的使用人数,一个无线网络接入设备可以支持的人数在10-50人左右,如果你发现所要支持的人数太多,很简单,增加无线接入设备的数量就可以。 第二步:考虑安全问题 就像传统的有线网络一样,只要遵循正确的步骤,小心谨慎,就可以有效地保护无线网络的安全。你可以使用传统的防火墙、虚拟专网(VPN),以及其他传统上用于有线网络的安全技术来同样保护你的无线网络。 你必须注意的是,无论使用什么安全技术和产品
39、,进行正确的设置都是至关重要的。关于无线网络的安全问题,英特尔公司以及其他一些无线产品厂商,都已经总结出了很多被证实行之有效的经验不妨让你的专业安全技术团队按照这些已有的经验和原则进行实施。当然你必须建立一个专门解决安全问题的小组,才能有效地实施网络安全政策和解决运行过程中的安全问题。 第三步:安装设备 在无线网络规划完毕,考虑好安全问题以后,我们就可以开始建立我们的无线网络,开始安装设备了。 首先要选择购买和安装无线网络接入设备,这些设备就像蜂窝电话网络中的基站一样,是我们建设无线网络的基础。无线接入设备是一种标准化的产品,在选择的时候主要应该考虑设备制造商的水平和全球技术支持能力,尽量选择
40、可靠的大厂商的产品。特别是当你考虑未来建立国际无线网络的时候,更要确保你选择的产品在全球范围都有销售和技术支持。 在采购安装无线接入设备的时候,可能要考虑的问题包括设备的天线类型(全向天线和定向天线适用于不同的空间特点);无线设备的供电方式,是需要单独的电源供应还是可以直接通过有线网络获得供电;设备支持的标准,现在常见的设备是802.11b标准的设备,但是802.11a标准的设备可以提供更快的速度。 虽然802.11a标准的设备现在比较少,但如果你有特殊的需要,也可以考虑。此外,无线接入设备的频道问题、无线路由问题以及安全认证问题等等,也应该在考虑范畴之内。 当无线接入设备安装到位以后,实际上
41、我们的无线网络基础已经建立完成了,接下来就是要为无线网络的用户购买和设置必需的无线设备。现在市场上销售的基于最新英特尔迅驰移动计算技术的笔记本电脑内置了无线模块,可以直接实现无线上网。如果采购基于迅驰的笔记本电脑,就省去了另外配置无线网卡的麻烦,尤其是设定网卡参数以及确保与原有笔记本匹配和兼容这类令人头痛的事。 对于已有的不具备无线功能的笔记本电脑,可以选择购买无线网卡(PCMCIA)为其增加无线网络连接能力。当然,在安装好设备后,你还需要为使用者安装好必要的驱动程序,进行测试以及必要的使用培训。 第四步;无线网络投入运行 首先,你要按照前面规划中制定的计划,对参与无线网络使用的人员进行培训,
42、最好是在他们得到支持无线网络的笔记本或者安装好无线网卡的同时就进行培训。 现在万事俱备,拥有无线网卡或无线功能笔记本电脑的用户,就可以开始享受无线网络的方便了。 在用户使用过程中,你的技术支持团队要随时准备为用户提供适当的支持和服务。还记得我们的投资回报(ROI)模型吗?在这个时候,你就可以开始征询用户的意见,听取他们的反馈。另外,你的安全技术小组要密切注意网络的安全情况,时刻保持警惕,如果发现有非法的网络入侵现象,要及时做出反应。 第五步;重复上述过程,对无线网络进行扩展 首先,要尽量收集第一批无线网络使用者的反馈意见,据此进行投资回报(ROI)分析,决定改进的方法,比如也许需要在一些地方增
43、加接入设备,也许需要改进技术支持方式和流程等。 在这个时候,你可以根据你的企业的情况,以及前面的实施过程中的分析结论,决定你是要开始在整个企业范围内全面部署无线网络,还是继续对现有的网络进行扩展;对于大型企业你可能需要重新从第一步开始,对问题和策略进行重新评估。 需要注意的是,无线连接可以在家中,或者具备无线连接的公共场所使用,这些都可以增加企业部署无线网络的价值。在安全方面,要注意在扩展无线网络范围的时候,应采用统一的安全标准,避免用户漫游的时候遇到障碍。第4章 局域网络的安全规划4.1 局域网的安全策略Internet是目前世界上最为开放的计算机网络系统。相对于我们的现实生活世界来讲,也可
44、以把它称作为电脑空间。和现实生活世界一样,在电脑空间当中也仍然存在着各种各样的网络犯罪问题,如用非法的手段窃取秘密数据,破坏系统,恶意欺骗等。因此你必须时刻防范来自Internet的恶意攻击,关注你局域网的计算机系统安全。在这篇文章里我们谈一谈网络攻击的机制,同时也着重讲述一下局域网系统避免遭受攻击的方法。和现实世界一样,由于Internet上的攻击和恐吓经常是有计划发生的,所以我们可以通过某些途径,利用某些手段,预知某一次或某一类攻击的发生。这里我们使用网络协议分层模式来分析局域网的安全。从图4.1我们可以看到,网络的七层在不同程度上会遭受到不同方式的攻击,如果攻击者取得成功,那将是非常危险
45、的。而我们通常听到或见到的攻击往往发生在应用层,这些攻击主要是针对Web服务器、浏览器和他们访问到的信息,比较常见的还有攻击开放的文件系统部分。 图4.1七层模型易遭受的安全攻击到目前为止,人们还没有找到防范七层模型受到全部攻击的措施。但下面两个方法从实践上来说被认为是非常有用的防范手段。1、 包过滤你可以在网络层检查通信数据,观察它的源地址和目的地址。过滤器可以禁止特定的地址或地址范围传出或进入,也可以禁止令人怀疑的地址模式。2、 防火墙你可以在应用层检查通信数据,检查消息地址中的端口,或检查特定的应用的消息内容。测试失败的任何通信数据将被拒绝。下面我们要谈的是包过滤和防火墙安全实施的不同方
46、法。4.1.1 路由包过滤TCP/IP地址由机器地址和标识程序处理消息的端口数字组成。这个地址/端口组合信息对每个TCP/IP消息都是有效的。包过滤与防火墙相比处理的简单一些,它仅是观察TCP/IP地址,而不是端口数字或消息内容。不过包过滤提供给你的是很好的网络安全工具。包过滤器通常使用的是自顶向下的操作原则,下面是它使用的一个典型规则:1、 允许所有传出通信数据的通过;2、 拒绝建立新的传入连接;3、 其它的数据可以全部被接受;通过这样的使用规则,系统的安全性提高了许多。因为它拒绝了Internet上主动与你的计算机建立新的连接的请求。它阻止使用TCP的通信数据进入,从而杜绝了对共享驱动器和
47、文件的未授权访问。包过滤使用这样的模式对用户来说有很大意义,它打破了FTP客户和服务器之间的正常操作,因为这样的模式需要服务器在开始传输时对连接进行初始化。实际上现在所有的FTP软件都支持PASV模式,这是为解决上面的问题而专门设计的。通过设置客户为“请求PASV模式”,你可以使所有的连接被客户初始化。过滤器通常的应用是配置在连接你的计算机和Internet的路由器上,如图4.2所示。在你的局域网和Internet之间放置过滤器后,就可以保证局域网与Internet所有的通信数据都要经过过滤器。 4.2包过滤器的配置如果你的包过滤软件有能力检查源地址子网,在子网上物理端口传递消息到路由器,你就可以制定规则来避免虚假的TCP/IP地址,就像图4.2所示的那样。攻击者欺骗的方法就是把来自Internet的消息伪装成来自你局域网的消息。包过滤通过拒收带有不可能源地址的消息来防御攻击者的攻击。例如,假定你在一个装有Linux的机器上安装软件,让它作为一个Windows网络文件服务器,你可以配置Linux让它拒收所有来自你的
