企業(yè)局域網(wǎng)建設論文

1、企業(yè)局域網(wǎng)建設論文1需求分析 隨著互聯(lián)網(wǎng)應用的普及，電子商務有了實質性的進展。對于一個企業(yè)來說，產品的介紹、銷售、技術服務和售后服務等越來越多地采用網(wǎng)絡的形式來完成，最主要的優(yōu)點是：方便、快捷和成本低廉。 目前小型企業(yè)往往采用在互聯(lián)網(wǎng)絡上申請主頁空間或采用網(wǎng)絡主機托管的方式，這種方式在應用上很明顯有些不方便之處，所能提供的服務類型單一，并且資料數(shù)據(jù)都是放在別人的計算機上，讓別人來管理。對于大型企業(yè)和有機密數(shù)據(jù)的單位，往往不會采用這種方式，他們會在單位內部建立自己的中心機房，組建自己的局域網(wǎng)，同時申請電信的寬帶和固定IP，這樣，形成內外兩種網(wǎng)絡。如果，企業(yè)在異地有分支機構，還可以通過VPN方式進

2、行安全通信。 對企業(yè)的需求進行嚴格的分析，設計出實際可行的網(wǎng)站建設方案，在網(wǎng)站策劃階段，可從以下一些方面考慮定位： （1）網(wǎng)站硬性指標：您的網(wǎng)站是否能夠讓客戶很輕松、方便的登錄和記住，包括域名種類分布、域名品牌一致、網(wǎng)站語言版本、域名解析時間、請求響應時間、主機連接時間、下載時間、HTML綜合質量、圖片綜合質量、首頁布局質量、首頁信息類型等。 （2）網(wǎng)站推廣指標：您的網(wǎng)站推廣是否能讓更多的客戶與您往來，包括搜索引擎排名、網(wǎng)站知名度、推廣方案設計等。 （3）網(wǎng)站服務指標：客戶是否愿意與您往來，包括：您的回應時間、目標客戶、聯(lián)系層次、FAQ、幫助導航、服務流程、產品分類、產品描述、產品圖片、價格建

3、議等。 （4）網(wǎng)站互動指標：您與客戶的互動效果如何；包括：客戶回應、解決時間、產品了解、客戶社區(qū)、客戶鑒別、客戶忠誠度、深化服務、需求調查等。 2模塊設計 企業(yè)局域網(wǎng)可分為兩個模塊：企業(yè)互聯(lián)網(wǎng)模塊與企業(yè)局域網(wǎng)模塊。 1)企業(yè)互聯(lián)網(wǎng)模塊 企業(yè)互聯(lián)網(wǎng)模塊擁有與互聯(lián)網(wǎng)的連接，同時也端接VPN與公共服務（DNS、HTTP、FTP、SMTP）信息流。 企業(yè)互聯(lián)網(wǎng)模塊為內部用戶提供了與互聯(lián)網(wǎng)的連接并使用戶能夠通過互聯(lián)網(wǎng)訪問公共服務器上的信息，同時還為遠程地點和遠程工作人員提供了VPN訪問能力。 企業(yè)互聯(lián)網(wǎng)模塊涉及的關鍵設備有：SMTP服務器、DNS服務器、FTPHTTP服務器、防火墻或防火墻路由器、第2層

4、及以上交換機（支持專用VLAN）。 2)企業(yè)局域網(wǎng)模塊 企業(yè)局域網(wǎng)模塊包含第2層及以上交換功能與所有的用戶以及管理內部網(wǎng)服務器。 企業(yè)局域網(wǎng)模塊包含最終用戶工作站、公司內部網(wǎng)服務器、管理服務器和支持這些設備所需的相關基礎設施、可網(wǎng)管的交換機等。 3安全分析 1)企業(yè)互聯(lián)網(wǎng)模塊 擁有公共地址的服務器是最容易被攻擊的。以下是企業(yè)互聯(lián)網(wǎng)模塊潛在的威脅：未授權訪問、應用層攻擊、病毒與特洛伊馬攻擊、密碼攻擊、拒絕服務、IP電子欺騙、分組竊聽、網(wǎng)絡偵察、信任關系利用、端口重定向等。 在小型VPN網(wǎng)絡設計中，該模塊堪稱為極至。VPN功能被壓縮入一個機箱，但依然執(zhí)行著路由選擇、NAT、IDS和防火墻功能。在確

5、定如何實施該功能時，我們可使用帶防火墻和VPN功能的路由器。 這種選擇為小型網(wǎng)絡帶來了極大的靈活性，因為路由器將支持在當今網(wǎng)絡中可能是不可或缺的所有高級服務。作為一種替代措施，可使用帶VPN的專用防火墻來取代路由器。這種設置給部署造成了一些限制。首先，防火墻通常都只是以太網(wǎng)，要求對相應的WAN協(xié)議進行一些轉換。在目前的環(huán)境中，大多數(shù)有線和DSL路由器/調制解調器都是由電信服務供應商提供的，可用于連接以太網(wǎng)防火墻。如果設備要求WAN連接（如電信供應商的DSL電路），那么，就必須使用路由器。使用專用防火墻不具備輕松配置安全性和VPN服務的優(yōu)勢，當發(fā)揮防火墻功能時，可提供改進性能。無論選用哪種設備，

6、都要考慮一些VPN的因素。請注意，路由器傾向于允許信息流通過，而防火墻的缺省設置則傾向于阻止信息流通過。 從ISP的客戶邊緣路由器開始，ISP出口將限制那些超出預定閾值的次要信息流，以便減少DDoS攻擊。同時在ISP路由器的入口處，RFC1918與RFC2827過濾功能將防止針對本地網(wǎng)絡及專用地址的源地址電子欺騙。 防火墻為通過防火墻發(fā)起的會話提供了連接狀態(tài)執(zhí)行操作以及詳細的過濾。擁有公共地址的服務器通過在防火墻上使用半開放連接限制能夠防止TCPSYN洪水。從過濾的角度講，除了將公共服務區(qū)域的信息流限定到相關地址和端口外，在相反的方向上也在進行過濾。如果某個攻擊涉及到一個公共服務器（通過規(guī)避防

7、火墻和基于主機的IDS），那么這個服務器應該不會再進一步攻擊網(wǎng)絡。為了緩解這種攻擊，具體的過濾將防止公共服務器向其他任何地點發(fā)出任何未授權請求。例如，應該對Web服務器進行過濾，以便使其不能自身產生請求，而只能回答來自客戶機的請求。這種設置有助于防止黑客在實施最初的攻擊后將更多的應用下載到被破壞的機器。同時還有助于防止黑客在主攻擊過程中觸發(fā)不受歡迎的會話。 從主機的角度看，公共服務區(qū)域內的每個服務器均擁有主機入侵檢測軟件，用于監(jiān)控OS級的任何不良活動以及普通服務器應用的活動（HTTP、FTP、SMTP等）。DNS主機應該只響應必要的命令，同時消除任何可能有助于黑客的網(wǎng)絡偵察攻擊的不必要響應。這

8、包括防止從任何地點進行zone傳輸（合格的二級DNS服務器除外）。在郵件服務方面，防火墻在第7層過濾SMTP信息，以便只允許必要的命令到達郵件服務器。 2)企業(yè)局域網(wǎng)模塊 交換機的主要功能是交換生產與管理信息流并為公司和管理服務器以及用戶提供連接。在交換機內部可以實施VLAN，以減少設備間的信任關系利用攻擊。例如，公司用戶可能需要與公司服務器通信但彼此之間可能沒有必要通信。在管理站與網(wǎng)絡其余部分之間設置一個小型過濾路由器或防火墻能夠提高總體安全性。這種設置將使管理流量只沿著管理員認為必要的方向傳輸。如果機構內部的信任水平不高，我們建議在關鍵系統(tǒng)上安裝了HIDS。 對于各工作站上的安全可靠，還特

9、別值得提出的是病毒和網(wǎng)站木馬，可考慮企業(yè)版的病毒防火墻。 在各分支機構中不要求配備遠程訪問VPN功能，因為公司總部通常會提供這種功能。此外，管理主機一般位于中央地點，這種設置要求管理信息流穿過地點到地點VPN連接回到公司總部。 4局域網(wǎng)工程建設原則 實用性：網(wǎng)絡建設從應用實際需求出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務。 先進性：采用成熟的先進技術，兼顧未來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)展余地。 可靠性：確保網(wǎng)絡可靠運行，在網(wǎng)絡的關鍵部分應具有容錯能力。 安全性：提供公共網(wǎng)絡連接、通信鏈路、服務器等全方位的安全管理系統(tǒng)。 開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、

10、標準網(wǎng)管軟件、采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網(wǎng)的互聯(lián)能力。 可擴展性：系統(tǒng)便于擴展，保證前期的投資的有效性與后期投資的連續(xù)性。 5軟硬件功能分析 1)路由器 就企業(yè)局域網(wǎng)網(wǎng)絡而言，由于大量的數(shù)據(jù)都發(fā)生在局域網(wǎng)內部，對路由器的性能要求不高，因此，可以選用中低端路由器。低端路由器主要適用中小辦公網(wǎng)絡的應用，考慮的一個主要因素是端口數(shù)量，另外還要看包交換能力和NAT轉換能力。中端路由器適用大中型辦公網(wǎng)絡，選用的原則也是考慮端口支持能力、包交換能力和NAT轉換能力。 在這里值得進一步說明的是，如果讓內部計算機直接通過路由器訪問外部網(wǎng)絡，必須做NAT轉換，當并發(fā)連接較大

11、時，做NAT轉換非常占資源，最好考慮有帶NAT模塊的路由器或專門的NAT設備。 2)交換機 工作組交換機采用可網(wǎng)管交換機，實現(xiàn)對每臺接入計算機的控制，實現(xiàn)VLAN（虛擬網(wǎng)）的劃分，確保最大限度的網(wǎng)絡訪問安全。骨干交換機采用擁有千兆端口的可網(wǎng)管交換機實現(xiàn)與中心交換機的高速連接，避免可能產生的網(wǎng)絡瓶頸。中心交換機采用三層交換機，實現(xiàn)VLAN間的線速轉發(fā)，并借助訪問列表控制計算機接入和網(wǎng)絡服務，搭建高安全性和可用性網(wǎng)絡。 3)防火墻 防火墻有軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在計算機平臺的軟件產品，它通過在操作系統(tǒng)底層工作來實現(xiàn)網(wǎng)絡管理和防御功能的優(yōu)化。硬件防火墻的硬件和軟件都單獨進行設計

12、，有專用網(wǎng)絡芯片處理數(shù)據(jù)包。同時，采用專門的操作系統(tǒng)平臺，從而避免通用操作系統(tǒng)的安全性漏洞。并且對軟硬件的特殊要求使硬件防火墻的實際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點。 4)服務器 服務器應該具備速度高、存儲容量大、吞吐能力強、性能可靠、擴展性強、連網(wǎng)和管理功能強等特點。 WWW服務器：是網(wǎng)絡運行的核心服務器，通常兼作域名服務器、FTP服務器。訪問量大，根據(jù)企業(yè)規(guī)模大小，采用適合自己規(guī)模的服務器。一般對于800個信息點以下的企業(yè)，通?？刹捎弥С侄郈PU的頂級PC服務器和低端專業(yè)服務器。 郵件服務器：可采用跟WWW服務器性能相當?shù)姆掌骶托辛恕?OA辦公服務器或內部視頻會議

13、服務器：必須根據(jù)各種系統(tǒng)由軟件提供商來定，包括服務器檔次、操作系統(tǒng)種類等。 數(shù)據(jù)服務器：應根據(jù)數(shù)據(jù)量的多少、數(shù)據(jù)的重要程度和訪問的頻繁程度，可采用帶Raid功能的雙硬盤服務器或專門的數(shù)據(jù)存儲設備。 5)公網(wǎng)IP地址數(shù) 由于對外服務器要求有固定的公網(wǎng)IP地址，路由器也要求有固定的公網(wǎng)IP地址，以及NAT地址池也需要有固定的公網(wǎng)IP地址，因此，必須向ISP提供商申請一定數(shù)量的公網(wǎng)IP地址，對于小型網(wǎng)絡來講，8個勉強可以，對于中大型局域網(wǎng)來說，要求16個以上才能夠用。 6網(wǎng)站設計和運行維護中應注意的問題 1)網(wǎng)站僅僅停留在發(fā)布企業(yè)形象和產品信息上 網(wǎng)站架設應從網(wǎng)絡營銷角度出發(fā)。換句話說，是否可以透過

14、網(wǎng)絡，在現(xiàn)有營銷通路以外，提供一個企業(yè)與消費者之間直接接觸與溝通的渠道，提供企業(yè)另一種銷售模式機會。因此，傳統(tǒng)產業(yè)要的網(wǎng)站，應該從營銷主管角度優(yōu)先思索。第二個角度就是從管理角度去思索，例如公司在全省擁有許多營業(yè)網(wǎng)點或分公司，各種網(wǎng)點之間的公文傳遞或資源分配是否可以透過網(wǎng)站，以提高經營績效。 2)在頁面中應避免塞滿圖片、Java程序、Flash、音樂等 其實就目前上網(wǎng)速度來看，網(wǎng)頁如果加上太多的FLASH或FLAME，或掛上太多圖片，勢必影響傳輸速度，這樣對普遍缺乏信心的客戶而言，很容易就因為不愿耐心等候下載完畢，而選擇中途跳開。如此一來，再漂亮的網(wǎng)頁也不會有人看！ 一個干干凈凈、條理分明的網(wǎng)頁比較容易閱讀，客戶可以在很短時間找到他要的信息，不必被太多視覺污染所干擾。所以企業(yè)的網(wǎng)頁不需要太多美工，因為要看漂亮的圖片，客戶自然有合適網(wǎng)站可以上，不必浪費客戶下載的時間與金錢。 如果你在經營自己的在線商務，你的網(wǎng)站最重要的任務就是銷售你的產品或服務，其他任何脫離這個基本原則的東西都是垃圾。 3)很長時間都不更新一次 如果一個網(wǎng)站的資料幾個月不更新一次，請問誰會有興趣上這個網(wǎng)站？當然資料更新與維護需要成本，因為我們不是在做一個入口網(wǎng)站或專業(yè)網(wǎng)站，也不需要每天更新；如果能做到每周更新或每兩周更新，并在網(wǎng)站上注明更新時間或預告下次更新時間，將有助于告知客戶何時可以