《企业网的组建毕业设计.doc》由会员分享,可在线阅读,更多相关《企业网的组建毕业设计.doc(38页珍藏版)》请在三一办公上搜索。
1、 毕业设计 论文题目:企业网的组建 指导教师:刘涛 实训班级:计算机网络091 姓 名:李永亮 前言 当今的世界正从工业化社会向信息化社会转变。一方面,社会经济已由基于资源的经济逐渐转向基于知识的经济,人们对信息的需求越来越迫切,信息在经济的发展中起着越来越重要的作用,信息的交流成为发展经济最重要的因素。另一方面,随着计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力越来越强,信息的表现形式也越来越丰富,对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算
2、机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。因此,企业园区网的有无及水平的高低,也将成为企业竞争力的重要因素之一。Internet及WWW应用的迅猛发展,极大的改变着我们的生活方式。信息通过网络,以不可逆转之势,迅速打破了地域和时间的界限,为更多的人共享。而快速、高效的传播和利用信息资源正是二十一世纪的基本特征。企业目前正加紧对信息化的规划和建设。开展的企业网络建设,旨在推动企业信息化建设,其最终建设目标是将建设成为一个借助信息化管理手段的高水平的智能化、数字化的企业园区网络,最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,并保证将来可
3、扩展骨干网络节点互联带宽为10G,为用户提供高速接入网络,并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。关键词:虚拟网、局域网、综合布线、组网技术目录前言2第1章 功能需求分析41.1企业内部资料、组织架构51.2支持决策,能在短时间内获得信息61.3外出人员与公司沟通61.4接入INTERNET功能6第2章 局域网设计方案概述62.1 设计目标:按功能需求要求62.2 设计原则72.2
4、.1 先进性72.2.2 安全可靠性72.2.3 实用性:性能指标能满足各项业务处理能力82.2.4 可扩展性82.2.5 开放性8第3章 局域网规划设计方案93.1 技术规划93.1.1 网络体系结构93.1.2 网络层次划分103.1.3 网络流量规划103.1.4 虚拟交换技术12第4章 企业网硬件设备准备144.1网络设备选型144.2主干网及交换设备174.3企业网服务器174.4网络综合布线系统设计174.5网络软件17第5章 网络服务管理195.1 网管工作站设计195.1.1 WWW服务器设计195.1.2 DNS服务器设计205.1.3 FTP服务器的设计205.1.4 E-
5、mail服务器设计205.1.5 Proxy服务器的设计215.2 安全策略215.2.1 病毒防治215.2.2 建立防火墙215.2.3 网络的保密措施225.2.4 数据安全性和完整性措施23第6章 路由器与交换机的配置256.1 路由器的配置256.2 核心层交换机的配置266.3 汇聚层交换机的配置296.4 办公室接入层交换机配置306.5 职工宿舍接入层交换机配置326.6 生产中心接入层交换机配置33第7章 本方案的系统特点357.1 合理的系统结构357.2 可靠的安全防护357.3 充分的扩充余地357.4 稳定的系统性能35结束语36谢 辞37参考资料38第1章 功能需求
6、分析迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。通过Internet与外部世界交换信息,本企业与全世界联系起来,极大地提高了信息收集的能力和效率。企业内部网(Intranet)是国际互连网(Internet)技术在企业内部或封闭的用户群内的应用。简单地说,Intranet是使用Internet技术,特别是TCP/IP协议而建成的企业内部网络。这种技术允许不同计算机平台进行互通,且不用考虑其位置。也就是所说的用户可以对任何一台进行访问或从任何一台计算机进行
7、访问。随着Intranet技术的不断发展,计算机已经逐渐应用到企业中的各个关键部分,极大的提高了企业的工作效率。1.1企业内部资料、组织架构 本企业是科技技术型企业。企业由1栋办公楼、2栋职工宿舍楼、1栋生产中心楼共5栋楼组成。办公楼由市场部、营销部、财务部、技术部、总经理办公室组成。企业 生产中心职工宿舍职工宿舍办公楼按管理方的要求,企业中心局域网信息点共有222个。其中办公楼60个,分别分布在3个楼层、生产中心80个分布于5个楼层,职工宿舍楼的82个信息点分布于5个楼层。各楼之间以光缆连接,构成企业局域网。企业局域网的中心机房设在办公楼的三层东侧。职工宿舍和生产中心的配线间设在三楼西侧的北
8、面。为适应企业将来对各种网络应用的需求,另外随着技术和工艺的进步,考虑到目前各类布线材料在价格方面比较接近,因此拟对所有信息点都按超五类UTP标准布线,每个信息点可实现不低于100Mb的带宽,这样不仅可支持一般的企业信息管理应用对网络传输带宽的要求,而且完全支持MPEG-2等格式的多媒体信息传输。此布线方案只考虑数据信息点布线,不涉及语音信息点及其设备。1.2支持决策,能在短时间内获得信息 高速的内部网各个信息点,及时的传递业务信息,供应信息,生产信息,管理信息。供管理层及时决策。1.3外出人员与公司沟通WWW应用是Intranet的标志性应用,最核心的应用服务集中在WWW服务器上完成。因而对
9、于WWW服务器的设计首要考虑的就是服务器性能问题,另外考虑到将来在Intranet平台上做应用开发的可能,对于WWW服务器同数据库互联的问题也应作为重点考虑。1.4接入INTERNET功能对广域网的连接需求主要表现在:能够与国际互联网连接,与国际交流信息;能够与CERNET国内各个单位交流信息。满足出差在外的领导及其它公务人员及时与公司保持联络。为此应通过DDN、无线网等公用或者专用数据网络与CERNET连接,再连到Internet。对办公楼的网络布线按照国际有关计算机网络通信的标准进行设计。申请正式IP和域名,配置路由器,安装Server(资源共享,Web),完成与Internet的连接,整
10、体网络既可在内部使用,又可与外网互联访问Internet,实现与外界的数据交换。第2章 局域网设计方案概述2.1 设计目标:按功能需求要求1) 根据企业对信息点的安排和网络应用的需求制定合理的企业网总体建设规划和实施方案;2) 对企业办公楼、生产、装配中心和平房辅助管理部门等几座主要建筑物实施局域网结构化布线;3) 完成从办公楼的网络中心分别到生产、装配中心和阶梯教室所在平房的2条六芯室外主干网光缆的敷设。4) 实现企业核心交换机与二级交换机的连接、安装、配置和调试;5) 实施对新购服务器和部分微机网络工作站的连接和入网调试。2.2 设计原则2.2.1 先进性我们设计的网络方案采用三层分布式结
11、构。核心层选用包括了锐捷网络高性能的万兆以太网交换机,可以实现对全网的数据进行高速无阻塞的交换,负责路由管理、网络管理、网络服务、核心数据处理等。汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成,负责接入层汇聚,提供高速无阻塞的链路到核心层,抑制广播风暴和分流核心数据处理压力等,可实施分布式三层,大大提升网络性能。接入层选用提供上联千兆,10/100M桌面接入,并在全部采用认证和流控等手段进行接入控制,充分满足用户的高速接入等,并可灵活扩展,增加端口密度。选用STAR-S2100。采用Windows Server 2003操作系统2.2.2 安全可靠性可靠性:对工作
12、站、服务器、交换机及其他主要相关设备在厂家、品牌、服务等方面进行充分调研、论证、选择,确保硬件设备的基本品质。 采用Windows 2000作为网络操作系统,并以“数据库”的方式建立各种生产、装配中心和管理应用系统,保证网络系统和应用系统的安全稳定。在网络系统上建立起两套同样的且同步工作的文件服务器,如果其中一个出现故障,另一个将立即自动投入系统,接替发生故障的文件服务器的全部工作。2.2.3 实用性:性能指标能满足各项业务处理能力企业组网的方案在接入交换机将用户账号、MAC地址与端口的捆绑实现高效的用户控制,使网络易维护、易管理,可实施性好。2.2.4 可扩展性可扩展性:网络核心层、汇聚层采
13、用模块化交换机,按照需求灵活配置各种模块,做到既满足需求,由留有余地。整个网络架构采用三层结构,使网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展,具有能不断吸收新技术、新方法的功能。2.2.5 开放性 本次设计的中央集成管理系统将是一个完全开放性的系统,通过编制系统的接口软件将解决不同系统和产品间接口协议的“标准化”,以使他们之间具备“互操作性”。所有接口均基于标准的TCP/IP数据接口协议和内容。系统的开放性设计完全遵循国际主流标准以及工业标准。第3章 局域网规划设计方案3.1 技术规划3.1.1 网络体系结构企业网络总拓扑办公大楼网络总拓扑3.1.2 网络层次划分 核心层:
14、核心层配置设备承担的任务主要是通过核心层设备与汇聚层间信息的交流、分发与管理,因此核心层设备是整个网络的中心枢纽,应具有强大的交换能力,保证不会发生信息拥塞;强大的安全防护能力,保证不会因单点故障而影响整个系统的正常运行;有效的故障恢复能力,保证任何一种单点故障都能在短时间内迅速予以恢复。汇聚层:汇聚层设备承担的任务,一是构造本地网络核心,二是通过核心设备实现与其他部分大量信息交换。汇聚层设备具备较高的吞吐能力和上连带宽,同时还具备强有力的用户访问控制能力(即三、四层交换能力、虚网功能)。接入层:接入层的功能在于将各种媒体、各种速度、任何地方的最终用户接入IP网络。这一层主要实现各单位终端节点
15、设备的接入,并上连到网络汇聚层。这一层网络建设可以根据各节点的具体情况分期分批建设。3.1.3 网络流量规划一个设计成功的企业网,其网络流量合理,系统各部分负载均衡。那么什么是网络流量呢?网络流量简而言之就是网络上传输的数据量。就像要根据来往车辆的多少和流向来设计道路的宽度和连接方式一样,根据网络流量设计企业网络是十分必要的。“80 /20”规则在传统网络中,一般将使用相同应用程序的用户放到同一工作组中,他们经常使用的服务器也放在一起。工作组位于同一物理网段或VLAN(虚拟局域网)中。这样做的目的是将网络上客户机与服务器之间产生的数据流量限制在同一网段中。在同一网段,可以使用带宽相对高的交换机
16、连接客户机和服务器,而不必使用带宽相对较低的路由器。将大部分网络流量控制在本地的这种网络设计模式,被称为“80/20规则”,即80%的网络流量是本地流量(采用交换机交换数据),在同一网段中传输;只有20%的网络流量才需要通过网络主干(路由器或三层交换机)。“80/20”规则中的“80”和“20”不能简单地理解为数字,应该理解为网络流量分布的方式,即大部分网络流量局限在本地工作组,小部分流量通过网络主干。因此在实际网络设计中,只要大部分网络流量在本地、小部分网络流量通过主干,就认为它符合了“80/20”规则,而不管实际的数字比例是多少。后面谈及的“20/80”规则也是如此。按照“80/20”规则
17、,分支交换机可以使用不支持VLAN的交换机,如全向的QS-6924交换机,这样能够大大降低不必要的开支。当然使用支持VLAN的交换机产品就更好了,如果以后想划分子网也比较方便,全向系列交换机中,带有“V”的型号具有VLAN功能,如QS-532V交换机、QS-516V交换机等。“20/80”规则随着网络应用的逐渐丰富,“80/20”规则已经不能完全满足网络设计的需要。而一种被称为“集中存储、分布计算”的模式逐渐得到推广。集中存储,就是数据集中在网络中心存储,如已经得到普遍使用的Web服务、电子邮件系统和逐渐流行的VOD(视频点播)、多媒体资源库等;分布计算,就是数据被下载到各个工作站上处理,如使
18、用网络上的多媒体资源库制作多媒体课件等。在“集中存储、分布计算”的网络应用模式下,对网络流量的要求已经大大偏离了“80/20”规则,一种新的规则应运而生,这就是“20/80”规则。在符合“20/80”规则的网络中,只有大约20%的网络流量局限在本地工作组,而大约80%网络流量经过网络主干传输。这种网络流量模式的转变,给企业网主干交换机带来了很大的负荷。因此理想状态下主干交换机应该能够提供与下面连接的支干交换机相匹配的性能,即提供线速三层交换,也就是说,下面的支干交换机能够跑多快,上面的主干交换机也应该能够跑多快。同样,如果网络中有许多按功能划分的VLAN,这些VLAN也很难管理。在以往的“80
19、/20”规则中,服务器往往分布在VLAN中,因此对于各工作组来说,访问起来比较快。但是在“20/80”规则中,服务器往往集中在网络中心,因此对于各工作组,必须实现跨VLAN的访问。没有三层交换机,VLAN之间无法通信,VLAN类似于硬盘的逻辑分区,可以简单地理解为把同一硬盘划分成不同的硬盘盘符。但是与逻辑盘不同的是,VLAN之间通信可不像把文件从一个逻辑盘复制到另一个逻辑盘那样简单,而是必须依靠路由器才能使VLAN之间相互通信。因此符合“20/80”规则的大中型网络必须使用三层交换机,如神州数码D-Link的 DES-6706交换机。企业网适用哪一条规则在企业网络环境中,有的地方“80/20”
20、规则适用,数据流量一般局限在本地子网中,如果将专用的服务器架设在网络中心,必将大大增加网络主干的负担。有的地方“20/80”规则适用,比如电子邮件服务器、Web服务器等,是任何网络用户都会使用的,就应当放置在网络主干上,如果放在某一个子网中,不仅增加该子网的负担,其他子网的用户访问起来也会很慢。3.1.4 虚拟交换技术a)VLAN技术的概述及其优点VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协
21、议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。 VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每
22、一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。 b)VLAN的实现VLAN的实现方式有两种:静态和动态。静态实现是网络管理员将交换机端口分配给某一个VLAN,这是一种最经常使用的配置方式,容易实现和监视,而且比较安全。动态实现方式中,管理员必须先建立一个较复杂的数据库,例如输入要连接的网络设备的MAC地址及相应的VLAN号,这样当网络设备接到交换机端口时交换机自动
23、把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器(VMPS)实现基于MAC地址的动态VLAN配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库,而不用关心用户使用哪一个端口,但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中,交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。 第4章 企业网硬件设备准备4.1网络设备选型企业网络系统主要包括网络
24、设备、服务器、工作站和软件系统等。网络系统硬件设备的选型、施工、安装应符合ISO9002标准。网络布线要符合ISO/IEC11801标准或EIA/TIA586及CECS72:97标准。1.中心交换机网络主干的网络设备选用1台千兆中心路由交换机,通过光纤与各楼宇二级交换机相连,形成星型结构千兆以太网的主干解决方案。它不仅可以同时满足铜缆、多模与单模接入的共存问题,而且具有较高的无阻塞的背板速率,支持全线速交换能力,较好的扩展性,可为学院的进一步扩容提供快捷与低成本的升级方式。千兆中心路由交换机具有以下特点:最小的代价满足需求,实现主干网络的1000M连接,同时还实现线速的2、3、4层交换能力。实
25、现VLAN划分、应用级负载均衡等功能,并能保证性能不受影响。投入成本小,网络连接易于实现。预留一定数量的100M网络端口,便于网络的扩展。 接入层交换机选型接入层选择EN2924-SGM+型号的交换机,提供了24个10/100MbpsRJ-45端口和用于扩展及上行链路模块的2个可选插槽。此外还专门提供一个专用管理插槽。其即插即用式安装、先进的网络管理和基于标准的交换能力是我们的理想选择。主 要 性 能1千兆高性能以太网交换机2支持端口汇聚(Port Trunking)、VLAN、流量控制(Flow Control)、端口镜像3Port Mirror)等功能,可以提高网络性能和可监控性4支持IG
26、MP协议,可在组播(如视频点播)时有效降低网络流量58.8Gbps大容量背板带宽619”机架式安装7全双工和半双工自适应8支持多达6K的MAC地址空间9内建3M缓存10最高支持8.8G的吞吐量11自动地址学习功能12安全过滤通信数据13符合IEEE802.3X14支持存储转发模式15自适应交叉线和平行线2. 服务器 根据企业的实际需求情况高性能的服务器必不可少,所以我们选择了HP ProLiant DL580 G5 451993-AA1的服务器,它为企业网高效、稳定、安全地运行提供了优质服务。根据需要应配置WWW服务器、邮件服务器、管理服务器以提高整个企业网的服务效率和质量。3. 路由器路由器
27、我们根据学院的需求结果选择H3C RT-SR6608-H3型号的核心路由器,H3C RT-SR6608-H3主要参数路由器类型开放多核企业级路由器其他控制端口Console, AUX, USB扩展插槽18 Mpps路由器包转发率30个路由器网络协议支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client, Telnet Server, Telnet Client, TFT
28、P Client, FTP Server, FTP Client, 二层协议等VPN功能支持VPN防火墙功能内置安全标准ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec机身重量50kg外观尺寸436468308mm4. 防火墙防火墙采用天融信的NGFW4000-E-VPN(E)。面向中心骨干机构和复杂的高端流量环境。拥有内置的IPSEC加密、Web页面包护和负载均衡双机热备,提供强大的功能和安全保障。天融信NGFW4000-E-VPN(E)主要参数如下:防火墙类型百兆级防火墙网络吞吐量100Mbps管理SNMP
29、/CLI/SSH人数限制无用户数限制入侵检测IDS/Dos/DDoS主要功能VPN, 访问控制, 宽带管理, 防火墙功能安全标准UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548 Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI (ClassII)控制端口RS-232其他端口3个10/100BASE-TX,最多可扩展7个端口5. 电源以及其他 UPS电源对于机房服务器和网络设备的正常运行非常重要,而电池对于UPS电源而言至关重要,在此,我们采用爱克赛的主机,而电池采用大力神电池,提供4小时的后备电源。6网
30、络的配套设施企业网的配套设施包括机房、配线间、维护人员办公室及电源系统。(1)主机房应保持恒温、恒湿状态,机房一定要安装空调。 (2)供电系统和电器保护 电源需安全、可靠,容量要能满足企业网满负荷运行的要求,要求必须配备足够大容量的UPS以保证核心网络设备的供电。 要注意解决电源屏蔽,避免50Hz电源对网络的干扰。 电源设计、布线要与网络设计、布线同时考虑。电源安装、布线要符合要求。 固定设备不得长期使用移动电源或临时电源。 网络设备、机房要有充分的安全接地保护,机房要铺设防静电地板。 (3)供电方式 供电方式、电源质量对保证网络的可靠运行有着重要的影响。 企业网供电方式建议采用直接供电方式与
31、UPS(不间断供电系统)结合方式。4.2主干网及交换设备1.核心交换机必须是三层,具备相应数量的千兆光口和千兆电口;2.接入交换机具备24个100M接口和相应数量的千兆光口和千兆电口;3.所有交换机必须是同一品牌;4.交换机之间的连接必须是千兆(楼间采用千兆光连接,楼内采用千兆电级连)。5.企业网百兆端口必须接在核心三层交换机上;4.3企业网服务器应根据网络功能、信息量及企业网实施计划选择网络服务器。1.根据机房的大小配备塔式或者机架式服务器;2.每个学校至少13台服务器,规划做WEB服务器 、企业网平台服务器和DNS服务器;3.服务器至少是Xenon CPU,1G内存,达到72G的硬盘容量,
32、如果硬盘超过2块要做RAID;4.4网络综合布线系统设计 1.尽量采用国际厂家的布线系统(如AVAYA、IBDN),也可以采用六类布线;2. 楼宇之间主干采用6芯多模光缆;3. 每幢大楼均要设立一个独立的通风的分配线间;4.信息点的数量要留有一定的余地,便于今后扩充,每个房间信息点都要布到位;5.所有模块均要求按照EIA/TIA586B制作;6.中心机房机柜必须采用42U(700900)全高机柜,二级中心根据实际需要配备半高机柜和墙柜;7.机柜里面的双绞线必须做在配线架上,并且做好标记。4.5网络软件 网络软件包括系统软件和应用软件。系统软件 系统软件由操作系统、语言处理程序和各类工具软件构成
33、,是网络硬件的支撑服务系统,要随硬件同时配置到位(如windows xp、SQL SERVER、LINUX等)。应用软件 实现各种功能的配套应用软件学校根据自己的需求随硬件同时配置到位。如网络过滤软件、网络行为管理软件、网络版杀毒软件等。第5章 网络服务管理5.1 网管工作站设计 网络管理是企业网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管
34、软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。5.1.1 WWW服务器设计 WWW应用是Intranet的标志性应用,最核心的应用服务集中在WWW服务器上完成。因而对于WWW服务器的设计首要考虑的就是服务器性能问题,另外考虑到将来在Intranet平台上做应用开发的可能,对于WWW服务器同数据库互联的问题也应作为重点考虑。 因为WWW服务器是被大量实时访问的超文本服务器,它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。IIS服务器的配置IIS是一个信息服务系统,主要是建立在服务器一方。服务器接收从客户发来的请
35、求并处理它们的请求,而客户机的任务是提出与服务器的对话。只有实现了服务器与客户机之间信息的交流与传递,Internet/Intranet的目的才可能实现。在Windows2000中集成了IIS5.0版,这是Windwos2000中最重要的Web技术,同时也使得它成为一个功能强大的Internet/Intranet Web应用服务器。具体设置如下:与配置DNS类似地,打开“配置服务器”界面,单击“Web/媒体服务器”;选择“Web服务器”,在右边窗口中单击“打开”链接,此时出现Internet信息服务窗口(如图7);展开后,可以看到默认的FTP站点等站点信息,右击“默认的Web站点”-选“属性”
36、-“主目录”可设置本地路径、权限等;选“文档”卡片,可设置默认文档顺序。将公司内部首页以defalt.htm命名,并将其覆盖 C:Inetpubwwwrootdefalt.htm。5.1.2 DNS服务器设计 建立Intranet,其中一个必不可少的组成部分就是DNS(域名系统)。IP地址和机器名称的统一管理由DNS(DomainNameSystem)来完成的单击“开始”-“管理工具”-“配置服务器”-“联网”-“DNS”-“管理”DNS 启动“DNS”管理界面单击“操作”菜单下的命令“连接到计算机” 选定“这台计算机”和“立即连接到指定计算机”然后“确定”,此时服务器机器名出现在管理窗口中,
37、本实例为:LBFS(如图3),依次单击LBFS、正向搜索区域、前面的扩展分支号“+”,出现域名时,在上右击,在弹出菜单中选取“新建域命令单击,输入新域名,本例为:toplan ,确定后在目录下出现toplan目录,右击此目录,选择“新建主机”命令出现“新建主机”对话框,依次输入主机名称和IP地址,主机名称:www ,IP地址为192.168.0.1。然后点击“添加主机”按钮,再添加三个主机,分别为:ftp、 mail、 news IP地址均为:192.168.0.1。经过以上设置后,我们已经建立了四个主机,对应的域名分别为: 用于内部主页服务 用于文件传送服务 用于内部电子邮件系统 用于内部新
38、闻组5.1.3 FTP服务器的设计 FTP是Internet中一种广泛使用的服务,主要用来在两台机器之间(甚至是一同系统)传输文件。FTP采用C/S模式,FTP客户软件必须与远程FTP服务器建立连接并登录后才能进行文件传输。为了实现有效的FTP连接和登录,用户必须在FTP服务器进行注册,建立帐号,拥有合法的用户名和口令。5.1.4 E-mail服务器设计 为了作到Intranet内部Mail系统同公共InternetMail系统的平滑对接,要求采用Internet公共标准的通用MAIL系统,在内部的MAIL系统同外部通信时需要一个Proxy应用作适当的转接服务,进行相应的地址转换工作。 5.1
39、.5 Proxy服务器的设计 代理服务器是作为内部私有网络和INTERNET之间的一个网关。 通过代理方式,首先可以大大降低网络使用费,另外代理可以保护局域网的安全,起到防火墙的作用。5.2 安全策略5.2.1 病毒防治1 禁用没用的服务Windows提供了许许多多的服务。 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的:“允许远程用户登录到系统并且使用命令行运行控制台程序” 。建议禁止该服务还有一个值得一提的就是NetBIOS。Windows还有许多服务,在此不做过多地介绍。可以根据自己实际情况禁止某些服务。禁用不必要的服务,除了可以减少安全隐患 2 打补丁
40、Microsofe公司时不时就会在网上免费提供一些补丁,可以去打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。3 反病毒监控选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外,安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。5.2.2 建立防火墙网络地址转化NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个
41、伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。5.2.3 网络的保密措施1堵住服务器操作系统安全
42、漏洞任何网络操作系统的安全性都是相对的,无论是UNIX还是NT都存在安全漏洞,他们的站点会不定期发布系统补丁,系统管理员应定期下载,及时堵住系统漏洞。2注意保护系统管理员的密码用户名和密码应当设置合理,口令应大小写混合,最好加上特殊字符和数字,至少不能少于16位,同时应定期修改;口令不得以明文方式存放在系统中;建立帐号锁定机制,当同一帐号的密码校验错误若干次时,自动断开连接并锁定该帐号。3关闭不必要的服务端口。谨慎开放缺乏安全保障的端口:很多黑客攻击程序是针对特定服务和特定服务端口的。a、常用服务端口有:WEB:80,SMTP:25,POP3:110,可根据情况选择关闭。b、比较危险(很可能存
43、在系统漏洞)的服务端口:TELNET:23,FINGER:79,建议关闭掉。c、对必须打开的服务(如SQL数据库等)进行安全检查。4制定完善的安全管理制度定期使用网络管理软件对整个局域网进行监控,发现问题及时防范。定期使用黑客软件攻击自己的系统,以便发现漏洞,及时补救。谨慎利用共享软件,不应随意下载使用共享软件。做好数据的备份工作,有了完整的数据备份。5注意WEB服务的安全问题WEB编程人员编写的CGI、ASP、PHP等程序存在的问题,会暴露系统结构或使服务目录可读写,这样黑客入侵的发挥空间就更大。在给WEB服务器上传前,要进行脚本安全检查。6警惕DOS攻击和DDOS攻击DOS攻击和DDOS攻
44、击可以使网站系统失去与互联网通信的能力,甚至于系统崩溃。建议:如果有条件允许的话,可以使用具有DoS和DdoS防护的防火墙。5.2.4 数据安全性和完整性措施数据安全性和完整性就是数据的安全技术为了解决上述问题,就必须利用另外一种安全技术-数字签名PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,
45、他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 1.认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。 2.注册机构 RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。 3.策略管理 在PKI系统
