平安实业有限公司网络设计方案

平安实业有限公司网络设计方案摘要近几年来，全国的企业网迅速发展，用企业网来进行培训，办公，不仅有利于提高员工的工作能力，办公的效率，还可以从互连网上取得大量的相关资料，节省大量的时间和精力。平安实业有限公司大力发展基础建设，进行生产车间、宿舍楼和办公楼的扩建；大量的扩招员工，网络应用与需求急剧增加，从而引发了网络管理与网络安全等相关问题，这就使得现有企业网络必须进行相应的扩容。本文详细地阐述了企业网的产生、发展，并对平安实业有限公司目前的状况进行适当的调查，提出了一系列建设企业网的解决方案，主要工作如下：1. 介绍我国企业网的产生、发展，企业网建设的目的和普遍面临的问题。2. 通过对平安实业有限公司的相关调查，阐述了平安实业有限公司网络应用特点和应用需求分析。3. 针对平安实业有限公司的需求提出了整体的解决方案。4. 针对如何合理、快捷地管理企业网，提出了管理系统的解决方案。5. 针对如何保障企业网的安全，提出了平安实业有限公司的安全解决方案。关键字：交换机；Intranet；入侵检测系统；防火墙 NETWORK DESIGN OF PINGAN INDUSTRY LIMITED COMPANY ABSTRACTIn the last few years, with the rapid development of the national enterprise network, carrying on training with the enterprise network and the work not only is advantageous in sharpens staffs working ability and the work efficiency, but also may from interlock on the net to obtain the massive correlation data and save the massive time and the energy. The Pingan industry limited company develops the infrastructure vigorously and carries on the production workshop, the dormitory and the office building extension; massive expandsion of the staff, the network application and the demand on sharp growth, thus has initiated correlation question and so on network management and network security which causes the existing enterprise network to have to carry on correspondingly and expand accommodates. This article in details elaborate the enterprise network production and the development; carries on the suitable investigation to Pingan industry limited company at present condition; proposes a series of constructions enterprise network solution, main work as follows:1. Introduces our country enterprise network of the production and the development, the enterprise network constructs the goal and faces generally question.2. Through the Pingan industry limited companys correlation investigation, it elaborates the Pingan industry limited company network of application characteristic and the application demand analysis.3. Proposes the whole solution in view of the Pingan industry limited companys demand.4. In view of how to manage reasonably the enterprise network quickly, it proposes the management system and management system solution.5. In view of how to safeguard the security of the enterprise network, it proposes the safe solution of Pingan industry limited company. Key words：Switchboard； Intranet； invasion examination system； firewall目 录第一章 绪论 1.1 计算机网络原理概要-1 1.2 中国企业网的产生和发展-5 1.3 企业网建设的目的-5 1.4 目前企业网普遍面临的问题-6第二章 平安实业有限公司网络应用需求分析-7 2.1 平安实业有限公司应用特点-7 2.2 平安实业有限公司网络建设面临的问题-7 2.3 平安实业有限公司应用需求分析-82.3.1 网络性能的需求分析-82.3.2 网络可靠性需求分析-82.3.3 网络扩展性、兼容性需求分析-82.3.4 网络安全需求分析-82.3.5 用户接入控制需求分析-92.3.6 网络管理需求分析-9第三章 平安实业有限公司网络解决方案-10 3.1 平安实业有限公司网络主干区域拓扑图-10 3.2 平安实业有限公司网络主干区域说明-10 3.3 平安实业有限公司网络各分区域说明-12 3.4 整体方案的特点-12第四章 企业网 Intranet的构建方案-14 4.1 Intranet的简介-14 4.2 网络拓扑结构的规划-15 4.3 企业网Intranet构建的关键技术-17第五章 平安实业有限公司网络安全解决方案-19 5.1平安实业有限公司网络整体安全解决方案-195.1.1 平安实业有限公司企业网安全方案拓扑图-195.1.1.1 全方位的安全保证-20 5.2 入侵检测系统-205.2.1 入侵检测系统简介-205.2.2 RIDS-100入侵检测系统-215.3 防火墙-23 5.3.1 瑞星企业级防火墙RFW-100简介-23 5.3.2 RFW-100系统组成-23 5.3.3瑞星企业级防火墙RFW-100主要功能-24 5.3.4瑞星企业级防火墙RFW-100的应用-28第六章 总结-30参考文献-31致谢-32第一章 绪 论 1.1 计算机网络原理概要计算机网络是计算机技术和通信技术紧密相结合的产物，它涉及到通信与计算机两个领域。它的诞生使计算机体系结构发生了巨大变化，在当今社会经济中起着非常重要的作用，它对人类社会的进步作出了巨大贡献。现在，计算机网络已经成为人们社会生活中不可缺少的一个重要基本组成部分，计算机网络应用已经遍布各个部门领域。从某种意义上讲，计算机网络的发展水平不仅反映了一个国家的计算机科学和通信技术水平，而且已经成为衡量其国力及现代化程度的重要标志之一。 计算机网络系统是由通信子网和资源子网组成的。系统以通信子网为中心，通信子网处于网络的内层，是由网络中的各种通信设备及只用作信息交换的计算机构成。通信子网的重要任务是负责全网的信息传递。主机和终端都处于网络的外围，它们构成了资源子网，资源子网的任务是负责信息处理，向网络提供可用的资源。用户通过资源子网不仅共享通信子网的资源，而且还可以共享用户资源子网的硬件和软件资源。 通信子网和资源子网的划分反映了网络系统的物理结构，同时它还有效地描述出网络系统实现资源共享的方法。计算机网络类型网络分类的方法很多。从不同的角度观察网络系统、划分网络，有利于全面地了解网络系统的特性。1 1.1.1 按距离划分按距离划分就是根据网络的作用范围划分网络。 （1）广域网 广域网的划分作用通常为几十里到几千公里。 （2）局域网局域网的作用范围通常为几米到几公里。 （3）城域网 城域网的作用范围在WAN与LAN之间，其运行方式与LAN相似，但距离可以到5公里-50 公里。 1.1.2 按通信媒体划分 （1）有线网 这是采用同轴电缆、双绞线、光纤等物理媒体来传输数据的网络。 （2）无线网 这是采用微波等形式来传输数据的网络。 1.1.3 按通信传播方式划分 （1）点对点传播方式网 点对点传播方式是以点对点的连接方式，把各个计算机连接起来的。这种传播方式的网主要用于广域网中。（2）广播式传播结构网广播式传播结构是用一个共同的传播媒体把各个计算机连接起来的，主要有：在LAN上，以同轴电缆连接起来的总线形网；星形网和树形网；在WAN上以微波、卫星方式传播的网络。 1.1.4 按通信速率划分 （1）低速网 这种网通常是借助调制解调器利用电话网来实现的。 （2）中速网 这种网主要是传统的数字式公用数据网。 （3）高速网 主要用于网际网的主干网中。 1.1.5 按数据交换方式划分 （1）直接交换网 直接交换网又称电路交换网。直接交换网进行数据通信交换时，首先申请通信的物理通路，物理通路建立后通信双方开始通信传输数据。在传输数据的整个时间内，通信双方始终独占所占用的信道。 （2）存储转发交换网 存储转发网进行数据通信交换时，先将数据在交换装置控制下存入缓冲器中暂存，并对存储的数据进行一些必要的处理，当指定的输出线空闲时，再将数据发送出去。 （3）混合交换网 这种网是在一个数据网中同时采用存储转发交换和电路交换两种方式进行数据交换的网。 1.1.6 按通信性能划分 （1）资源共享计算机网 该网络系统中，计算机的资源可以被其他系统共享。 （2）分布式计算机网 该网中的计算机进程可以相互协调工作和进行信息交换，以共同完成一个大的、复杂的任务。 （3）远程通信网 这类网络主要起数据传输的作用，它的主要目的是使用户能使用远程主机。 1.1.7 按使用范围划分 （1）公用网 公用网对所有的人提供服务，只要符合网络拥有者的要求就能使用这个网，也就是说它是为全社会所有的人提供服务的网络。 （2）专用网 专用网为一个或几个部门所拥有，它只为拥有者提供服务，这种网络不向拥有者以外的人提供服务。 1.1.8 按配置划分 在计算机网络系统中互连的计算机，根据它们的作用和地位分别被划分为服务器和工作站两类。服务器是指在系统中提供服务的计算机，工作站是指接受服务器提供服务的计算机。按配置划分就是根据系统中服务器和工作站的组合方式划分网络。 （1）同类网 如果在网络系统中，每台计算机既是服务器，又是工作站，那这个网络系统就是同类网。在同类网中，每台计算机都可以共享其他任何计算机的资源。它要求每个用户必须掌握足够的计算机知识和对网络工作方式的深入了解，还要花费很多时间和精力用来搞清楚不同工作站用户之间的关系。所以，这类网络系统的规模只能局限在小系统范围内。 （2）单服务器网 如果在网络系统中，只有一台计算机作为整个网的服务器，其他计算机全部是工作站，那么，这个网络系统就是单服务器网。在单服务器网中，每个工作站都可以通过服务器享用全网的资源，每个工作站在网络系统中的地位是一样的，而服务器在网中也可以作为一台工作站使用。单服务器网是一种最简单、最常用的网。 （3）混合网 如果在网络系统中的服务器不只一个，同时又不是每个工作站都可以当作服务器来使用，那么，这个网就是混合网。混合网与单服务器网的差别在于网中不仅仅只有一个服务器；混合网与同类网的差别在于每个工作站不能既是服务器又是工作站。 由于混合网中服务器不只一个，因此，它避免了在单服务器网上工作的各工作站完全依赖于一个服务器，当服务器发生故障后全网都处于瘫痪的现象。所以，对于一些大型的、信息处理工作繁忙的、重要的网络系统，在设计时要注意这个问题，应采用混合网设计，备用服务器方案，这一点是非常重要的。按配置划分是划分局域网类型的一种主要划分方式。 1.1.9 按对数据的组织方式划分 （1）分布式数据组织网络系统 在分布式数据组织网络系统中，系统中的资源既是互连的，又是独立的。虽然系统要求对资源进行统一的管理，但系统中分布在各独立计算机工作站中的资源，由各独立计算机工作站独立支配。系统只有通过一个高层次的操作系统对各个分布的资源进行管理。系统对用户完全是透明的。 分布式数据组织网络系统的特点是：系统独立性强，用户使用方便、灵活。但对整个网络系统来说，管理复杂，保密性、安全性差。 （2）集中式数据组织网络系统 集中式数据组织网络系统是将网络系统中的资源进行统一管理，系统中各独立的计算工作站独立性差，它们必须在主服务器或起决定作用的主计算机支配下进行工作。其特点是：对信息处理集中，系统响应时间短，可靠性高，便于管理。但整个系统适应性差。在对数据组织上，比较理想的网络系统，特别是局部网，通常采用分布式与集中式相结合的系统，即分布集中式系统。这种网络系统通常是根据用户的需要和具体系统的特点，综合分布式和集中式的优点进行设计的。此外，按计算机网络中各计算机之间连接方式的不同而归纳的计算机网络的拓扑结构划分计算机网络的类型，也是一种非常重要的对计算机网络进行分类的方法。1.2 中国企业网的产生和发展随着我果经济的发展和计算机行业的蓬勃发展，中国企业既有良好的发展机遇，同时也面临着巨大的挑战，企业要想在现在社会不断的发展壮大，就必须紧跟时代的步伐，而网络正好可以解决这个问题。中国的企业网也就应运而生了。从今天来看，尽管我国企业网发展的历史不长，却已经历了三代：早期人们认为，只要将企业的计算机硬件连在一起，就是企业网了，即所谓硬件就是企业网。问题随之出现了，其使用率非常低，人们只是互相发文件，没有大量的资源和信息在网上流动。人们对软件和资源的需求推动企业网走入第二代。企业网在多数老总心中已不再是时髦的标志，而是企业必备的基础设施之一。企业开始考虑软硬件的融合问题。然而，新的问题又产生了。随着企业网络技术的深入应用，人们发现，仅仅依靠硬件和软件的集成，还是不能充分利用技术解决现有的经营问题，甚至认为，建设了企业网，反而增加了管理者的负担。因此，很多人已经认识到，网络技术经营应用首先要转变营销观念、培训管理者、探索经验、寻找新模式，否则再好的硬件和软件也只是经营的外在之物，不能物尽其用。这样，探索和建构企业网络环境下的现代经营模式已经变成建设企业网时必须考虑的问题，十分迫切！从所谓硬件就是企业网，到硬件加软件才是企业网，到真正的企业网应该是“硬件加软件加现代经营模式”，短短十几年，我国的企业网建设已走过了三代。我国的企业网现正走向成熟。1.3企业网建设的目的2（1） 信息资源共享通过企业网，将实现各种最新信息的共享，包括本身的信息，国内、国际信息，内容可涉及各个领域，如科研、学术、软件、经济、政治等，从而有利于经济事业的迅速发展。（2） 电子邮件通过电子邮件，可与国内国际建立广泛、快捷的联系，获得各种信息，加速企业与国内国际间的商品需求交流。（3） 企业信息管理系统自动化公司的管理信息系统主要包括：人事管理、财务管理、培训管理、科研管理、档案管理、外事管理、医疗管理、后勤管理、综合查询及办公自动化系统等。这些管理系统将建立在一个规范标准的平台之上，通过企业网络，实现整个企业统一管理电脑化，并与其他系统互连，以大大提高企业的管理水平。（4） 算机辅助教学系统可实现各种基于网络的电子教学，如电子论坛、电子题库、家庭教学等，随着多媒体技术的发展，还将实现电子视听教学等，这样可以使公司的技术能与现在的主流技术同步。1.4 目前企业网普遍面临的问题（1） 怎样合理分配用户级别由于员工，经理以及企业的办公人员所履行的职责不同，不同人员所需要访问的Internet，或Intranet的权限不同，因此必须将各类人员合理分布权限,充分利用网络资源,拒绝越权访问。（2） 样规划网络的速度3随着互联网的高速发展，大量的数据流交换，如：表1-1 主要网络的速度电话,传真,电子邮件,基本公众信息服务64K高质量可视电话,视频会议,数字音频384K文件传输,WWW应用,图象传输,网络游戏,电子购物1MMPEG1/ VCD视频点播,交互式电视,广播电视1.2M-1.5MMPEG2/DVD视频点播高清晰度电视3M-8M3D应用,VRML虚拟现实,计算机网络,实时多媒体6M以上这就要求企业内、外的数据包能快速的交换。必须保证网络的运行时间以及防止外部的攻击必须确保网络能做到724的工作时间，能有效的防止病毒、黑客的入侵。第二章 平安实业有限公司网络应用需求分析2.1 平安实业有限公司应用特点针对平安实业有限公司本身，其具有以下特点:（1）人员变动性大：公司会不断的开除不合格的员工，同时也会从社会上不断招聘满足公司要求的优秀人才。（2）扩展速度快：企业招工的规模一年比一年大，企业的管理者多，企业的员工也越来越多，企业新的厂房、宿舍楼也在积极的筹建之中，企业信息点的数目将越来越多。（3）网络应用复杂，流量大：员工主要使用网络进行FTP文件传输、电子阅览、资料搜集等流量巨大的网络应用。局域网内部的攻击较多，安全隐患大：除开外部的危害外，还有来自内部的，主要是：一是黑客工具比较容易获得，二是随着企业的工作安排合理性的增加和员工编程功能的加强，要自我编写一个小小的黑客程序也不是一件太难的事，这样的话内部网络就存在着很大的安全隐患。（4）管理难度高：一是员工的求知欲和好奇心很强，对于网络上面的诱惑比较难抵抗，所以上色情、暴力等非法网站的大有人在，如何将责任定位到个人，如何识别个人的伪装，抓到肇事者，这就要求我们要提供对网络用户的高效管理。二是员工和管理者有不同的使用权限。（5）上网时间段集中，造成流量集中：员工上班、吃饭和娱乐的时间都是固定的，换句话来说也就是他上网的时间是集中的，这样在中午、下午吃饭、晚上下班以后就出现大流量的数据，很有可能造成网络拥塞。 2.2 平安实业有限公司网络建设面临的问题（1） 应用复杂、多样，网络的流量大，上网时间集中，如何保证网络的高性能？（2） 怎样才能确保网络设备物理上的安全，免其受人为的损害？（3） 员工的数量逐年增多，网络规模越来越大。如何进行网络的有效投资？（4） 局域网内部的攻击较多，安全隐患大，如何保证网络的安全？如何保证员工不会滥用网络资源？（5） 员工极有可能访问非法站点，如何有效屏蔽非法站点，追踪非法活动？（6） 怎样分布员工、主管、经理的权限？（7） 网络设备较多，且分布于整个网络中，管理难度高，如何高效、轻松的管理网络？2.3 平安实业有限公司应用需求分析2.3.1 网络性能需求分析（1） 网络复杂，联系广泛，对用户的认证和管理不会对网络性能造成瓶颈；（2） 系统支持一千及以上用户同时在线并正常运行，用户不会感觉网络速度慢；（3） 关键业务的优先处理，即使在网络繁忙时也能及时处理关键的业务，例如：视频会议；（4） 出口是企业网最宝贵的资源，通常而言，网络的瓶颈也都出现在对外部资源的使用上。2.3.2 网络可靠性需求分析（1） 支持关键部件的物理冗余，例如电源、主控引擎等；（2） 支持数据链路层的冗余，例如交换机能支持IEEE802.1D等；（3） 支持网络层的冗余，例如交换机能支持VRRP、HSRP等；（4） 整个网络实现7*24小时不间断工作。2.3.3 网络扩展性、兼容性需求分析（1） 网络设备应该具有足够的扩展性，核心交换机应是模块化设计，接入交换机也应能提供尽量多的可扩展槽；（2） 入层交换机具备三层扩展能力，实现将来的分布式三层交换网络；（3） 网络设备的研发、设计、生产必须选用相应的国标标准，并提供足够的开放性，以保证整网的兼容性。2.3.4 网络安全需求分析（1） 非法站点访问过滤；（2） 恶意攻击的实时处理；（3） 非法言论的准确追踪；（4） 记录访问日志提供完整审计； 2.3.5 用户接入控制需求分析（1） 有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络；（2） 能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份同时准确定位；（3） 娱乐区对员工用户进行多元素复合绑定，但是用户的帐号应该可以在计算中心、办公室等公用机房漫游使用；2.3.6 网络管理需求分析2.3.6.1用户管理：（1） 要方便的进行用户管理，包括开户、销户、资料修改和查询（2） 要能对用户进行分级管理，认证计费系统需要支持远程登录的方式进行管理； （3） 需要方便的进行用户web服务，便于用户上网记录查询等；2.3.6.2设备管理：（1） 需要能够对网络设备配置、性能、事件进行集中的统一管理；（2） 支持控制IP地址冲突，保证不会影响工作；（3） 需要能够对网络故障进行管理； （4） 能够对网络拓扑进行发现和管理。第三章 平安实业有限公司企业网解决方案3.1 平安实业有限公司企业网整体解决方案因为本公司有八个主要部门，所以按部门划分，把公司分成八个部分，另外加一个总经理办公室和一个副总经理办公室对整个公司进行全面监控和管理。图3-1 平安实业有限公司企业网主干区域拓扑图3.2 平安实业有限公司企业网主干区域说明4本方案在网络设计方面，严格按照了模块化、层次化的设计思想，为用户提供高效率、高可靠性的网络设计方案。（1）方案根据整个企业各部分的需求特点，采用分布管理和统一管理相结合的方式，主要是基于以下的原因：一、各部门的职责各有不同，因此有必要进行分开管理。二、经理必需了解整个公司的运行情况，这样才能从整体上把握全局，正确的确定公司目前的工作重点，还能及时的解决公司可能出现的隐患。从以上可以看出公司应该拥有自己的平台，要有独立的服务器、独立的中心，这样才能有效的保证重要应用的有效畅通。（2）方案根据信息点特点，按每层楼划分独立子网的方式以减少网络广播，提供网络数据传输性能并同时提高网络安全性、可调度性、可维护性。（3）整个网络由网络中心（核心层），各部门的交换机（分布层）以及各个楼层或栋交换机构成，采用了星形的连接方式，其中网络中心是整个网络的核心系统，是网络的总节点，其余的各个子网是功能子网。（4）本方案中网络中心位于公司一楼，整个网络共有信息点637个，具体分布如下：生产部：100销售部：188技术部：108售后服务部：102公关部：28财务部：20设备部：65人力资源部：32总经理办公室：2副总经理办公室：2（5）企业网的网络中心选用的是Cisco-6509模块化骨干路由交换机，Cisco-6509是全模块化、高密度端口的骨干路由交换机，具有256G的背板带宽和210Mpps三层包转发速率可为用户提供高速无阻塞的交换。高达1152个快速以太网端口、576个10/100/1000以太网端口以及288个GBIC的千兆以太网端口可以为大型企业园区提供大幅的容量扩展; 9个扩展槽、多种模块，可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。Catalyst 6509全功能交换和路由功能以及高可靠高冗余性，是大中型网络核心骨干交换机的理想选择。（6）在网络中心的Catalyst6509上设置默认路由，如：Switch(config)#Ip route 0.0.0.0 0.0.0.0 172.16.10.1（网关）可以提供用户访问互联网和Cernet。（7）基于三层网络设计，主要原因是本企业正在不断的扩建当中，不但要满主目前所需的流量，还要能满足在企业扩建后网络的可用性，在分布层使用了Cisco的Catalyst 3570交换机，该交换机是新型的可堆叠交换机，可以实现高达32Gpbs的堆叠互连，而且能够提供1000M的网络交换速率，可以将9个交换机堆叠为单一逻辑单元，共提供468个以太网或PoE 10/100端口，或468个以太网10/100/1000端口或PoE 10/100/1000端口，或是9个万兆位以太网端口。随着网络需求的发展，能以任意组合添加10/100、 10/100/1000和万兆位以太网端口。（8）各部门的Catalyst3570交换机与核心交换机采用千兆多模光纤相连，从而构成千兆主干的企业网。（9）在服务器用额外的Catalyst3570交换机和Catalyst6509分开，便于将服务器划分在不同的网络安全区域，提高其安全性能。3.3 平安实业有限公司企业网各分区域说明办公楼、休闲楼等各楼层使用可堆叠的Catalyst2970交换机与分布层Catalyst 3570交换机采用百兆多模光纤相连，Catalyst2970交换机是可管理的交换机，能提供24个以太网10/100/1000端口和4个小型可插拔（SFP）端口，提供100M的桌面连接。 通过Vlan的划分，减少了网络中的广播数据包，提高了网络的整体性，不同Vlan之间不能互相访问，保障了网络的安全；当某一网络发生故障时，可以很快找出故障部分。3.4 整体解决方案特点3.4.1 网络的可管理性5（1）集中统一的用户管理通过对用户的身份认证，保证用户的使用权限。（2）集中统一的日志管理日志服务器记录有用户完整的访问记录，包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等，通过日志管理查询系统，可以对日志进行管理和查询。（3）集中统一的设备管理通过CiscoWorks2000管理平台可以对设备进行集中的设备管理，包括网络拓扑发现、配置管理、性能管理、事件管理。3.4.2 网络的安全性通过VLAN和子网掩码的划分，访问列表的配置，可以保证内部的网络安全，比如：人事部的档案除开本部外，其他人员无法访问等。配置访问列表还可以屏蔽目前已知的网络木马，病毒。第四章 企业网Intranet的构建方案Internet在全球的发展和普及，企业网络技术的发展，以及企业生存和发展的需要促成了企业网的形成。Intranet是传统企业网与Internet相结合的新型企业网络，是一个采用Internet技术建立的机构内联网络。它以TCP/IP协议作为基础，以Web为核心应用，构成统一和便利的信息交换平台。它通过简单的浏览界面，方便地提供诸如E-mail、文件传输（FTP）、电子公告和新闻、数据查询等服务，并且可与Internet连接，实现企业内部网上用户对Internet的浏览、查询，同时对外提供信息服务，发布本企业信息。4.1 Intranet 的主要特征 企业建立Intranet的目的主要是为了满足其在管理、信息获取和发布、资源共享及提高效率等方面的要求，是基于企业内部的需求。因此虽然Intranet是在Internet技术上发展起来的，但它和Internet有着一定的差别。并且Intranet也不同于传统的企业内部的局域网。企业网Intranet 的主要特征表现在以下几个方面：（1）Intranet 除了可实现Internet的信息查询、信息发布、资源共享等功能外，更主要的是其可作为企业全方位的管理信息系统，实现企业的生产管理、进销存管理和财务管理等功能。这种基于网络的管理信息系统相比传统的管理信息系统能更加方便有效地进行管理、维护，可方便快捷地发布、更新企业的各种信息。（2）在Internet上信息主要以静态页面为主，用户对信息的访问以查询为主，其信息由制作公司制作后放在Web服务器上。而Intranet 则不同，其信息主要为企业内部使用，并且大部分业务都和数据库有关，因此要求Intranet 的页面是动态的，能够实时反应数据库的内容，用户除了查询数据库外，还可以增加、修改和删除数据库的内容。（3）Intranet 的管理侧重于机构内部的管理，其安全防范措施要求非常严格，对网上用户有严格的权限控制，以确定用户是否可访问某部门的数据。并且通过防火墙等安全机制，控制外部用户对企业内部数据的获取。（4）Intranet 与传统的企业网相比，虽然还是企业内部的局域网络（或多个局域网相连的广域网），但它在技术上则以Internet的TCP/IP协议和Web技术规范为基础，可实现任意的点对点的通信，而且通过Web服务器和Internet的其他服务器，完成以往无法实现的功能。4.2 Intranet 的构建要点6 企业建立Intranet 的目的是为满足企业自身发展的需要，因此应根据企业的实际情况和要求来确立所建立的Intranet 所应具有那些具体功能以及如何去实现这样一个Intranet 。所以不同的企业构建Intranet 可能会有不同的方法。但是Intranet 的实现有其共同的、基本的构建要点。这主要有以下几个方面：4.2.1 网络拓扑结构的规划在规划Intranet 的网络拓扑结构时，应根据企业规模的大小、分布、对多媒体的需求等实际情况加以确定。一般可按以下原则来确立：（1）费用低一般地在选择网络拓扑结构的同时便大致确立了所要选取的传输介质、专用设备、安装方式等。例如选择总线网络拓扑结构时一般选用同轴电缆作为传输介质，选择星形拓扑结构时需要选用集线器产品，因此每一种网络拓扑结构对应的所需初期投资、以后的安装维护费用都是不等的，在满足其它要求的同时，应尽量选择投资费用较低的网络拓扑结构。（2）良好的灵活性和可扩充性在选择网络拓扑结构时应考虑企业将来的发展，并且网络中的设备不是一成不变的，对一些设备的更新换代或设备位置的变动，所选取的网络拓扑结构应该能够方便容易地进行配置以满足新的要求。（3）稳定性高稳定性对于一个网络拓扑结构是至关重要的。在网络中会经常发生节点故障或传输介质故障，一个稳定性高的网络拓扑结构应具有良好的故障诊断和故障隔离能力，以使这些故障对整个网络的影响减至最小。（4）因地制宜选择网络拓扑结构应根据网络中各节点的分布状况，因地制宜地选择不同的网络拓扑结构。例如对于节点比较集中的场合多选用星形拓扑结构，而节点比较分散时则可以选用总线型拓扑结构。另外，若单一的网络拓扑结构不能满足要求，则可选择混合的拓扑结构。例如，假设一个网络中节点主要分布在两个不同的地方，则可以在该两个节点密集的场所选用星型拓扑结构，然后使用总线拓扑结构将这两个地方连接起来。目前常用的局域网技术有以太网、快速以太网、FDDI、ATM等多种。其中交换式快速以太网以其技术成熟、组网灵活方便、设备支持厂家多、工程造价低、性能优良等特点，在局域网中被广泛采用。对于网络传输性能要求特别高的网络可考虑采用ATM技术，但其网络造价相当高，技术也较复杂。为获取Internet上的各种资源及Internet所提供的各种服务，规划Intranet时还应考虑接入Internet。目前，接入Internet方式主要有：通过公共分组网接入、通过帧中继接入、通过ISDN接入或通过数字租用线路接入，及目前较新的远程连接技术ASDL。在选择以何种方式接入Internet时应根据Intranet的规模、对数据传输速率的要求及企业的经济实力来确定。数字租用线路方式可提供较高的带宽和较高的数据传输质量，但是费用昂贵。公共分组网方式数据传输质量较高，费用也较低，但数据传输量较小。ISDN可提供较高的带宽，可同时传输数据和声音，并且费用相对较低，是中小规模Intranet接入Internet的较佳方式。4.2.2 Intranet 的硬件配置在选择组成Intranet 的硬件时，着重应考虑服务器的选择。由于服务器在网络中运行网络操作系统、进行网络管理或是提供网络上可用共享资源，因此对服务器的选择显然不同于一般的普通客户机，同时应该按照服务器的不同类型，如WWW服务器、数据库服务器、打印服务器等而应该有所侧重。一般要求所选用的服务器具有大的存储容量，数吉（G）或数十吉（G），以及具有足够的内存和较高的运行速度，内存128M或以上，CPU主频在500MHz或以上，而且可为多个CPU处理器，并且具有良好和可扩展性，以满足将来更新换代的需要，保证当前的投资不至于在短时间内便被消耗掉。其余的硬件设备有路由器、交换机、集线器、网卡和传输介质等。所选择的这些设备应具有良好的性能，能使网络稳定地运行。此外，在此前提下，还应遵循经济性的原则。4.2.3 Intranet 的软件配置软件是Intranet的灵魂，它决定了整个Intranet的运行方式、用户对信息的浏览方式、Web服务器与数据库服务器之间的通信、网络安全及网络管理方式等，是网络建设中极为重要的一环。Intranet的软件可分为服务器端软件和客户端软件。客户端软件主要为浏览器，目前常用的浏览器软件有Netscape Navigator、Microsoft Internet Explore等。服务器端软件较为复杂，主要有网络操作系统、Web服务器软件、数据库系统软件、安全防火墙软件和网络管理软件等。选择网络操作系统时，应考虑其是否是一个高性能的网络操作系统，是否支持多种网络协议，是否支持多种不同的计算机硬件平台，是否具有容错技术和网络管理功能等多方面因素。目前市场上主流的网络操作系统有UNIX、Novell Netware和Windows NT等。如果企业网Intranet中大多数是于PC机为主体，建议选用Novell Netware和Windows NT。4.3企业网Intranet构建的关键技术74.3.1防火墙技术由于Intranet一般都与Internet互连，因此易受到非法用户的入侵。为确保企业信息和机密的安全，需要在Intranet与Internet之间设置防火墙。防火墙可看作是一个过滤器，用于监视和检查流动信息的合法性。目前防火墙技术有以下几种，即包过滤技术（Packet filter）、电路级网关（Circuit gateway）、应用级网关（Application）、规则检查防火墙（Stalaful Inspection）。 在实际应用中，并非单纯采用某一种，而是几种的结合。4.3.2 数据加密技术数据加密技术是数据保护的最主要和最基本的手段。通过数据加密技术，把数据变成不可读的格式，防止企业的数据信息在传输过程中被篡改、删除和替换。目前，数据加密技术大致可分为专用密匙加密（对称密匙加密）和公用密匙加密（不对称密匙加密）两大类。在密码通信中，这两种加密方法都是常用的。专用密匙加密时需用户双方共同享有密匙，如DES方法，由于采用对称编码技术，使得专用密匙加密具有加密和解密非常快的最大优点，能有硬件实现，使用于交换大量数据。但其最大问题是把密匙分发到使用该密码的用户手中。这样做是很危险的，很可能在密匙传送过程中发生失密现象（密匙被偷或被修改）。公用密匙加密采用与专用密匙加密不同的数学算法。有一把公用的加密密匙，如RSA方法。其优点是非法用户无法通过公用密匙推导出解密密匙，因此保密性好，但运行效率低，不适于大量数据。所以在实际应用中常将两者结合使用，如通过公用密匙在通信开始时进行授权确认，并确定一个公用的临时专用密匙，然后再用专用密匙数据加密方式进行通信。4.3.3 系统容错技术网络中心是整个企业网络和信息的枢纽，为了确保其能不间断地运行，需采取一定的系统容错技术：(1)网络设备和链路冗余备份。网络设备易发生故障的接口卡都保留适当的冗余，保证网络的关键部分无单点故障。(2)服务器冷备份。采用双服务器，它们都安装数据库管理系统和Web服务器软件，但两台服务器同时运行不同的任务，一台运行数据库系统，一台运行Web服务器软件，它们共享外部磁盘陈列，万一一台服务器出现故障，可以通过键入预先编好的命令，把任务切换到另一台服务器上，确保系统在最短时间内恢复正常运行。(3)数据的实时备份。对数据进行实时备份，以保证数据的完整性和安全性，确保系统安全而稳定低运行。如通过ARC Srever对数据提供双镜象冗余备份，或由SNA Server提供安全快捷的数据热备份。 第五章 平安实业有限公司企业网安全解决方案在互连网中，每秒都会产生大量的数据流，这些数据流对一般的人来说是透明的，不知道某一数据里面包含什么，该数据对计算机里面的资料有什么样的作用，为了避免以及适当处理带有破坏性的数据，平安实业有限公司的企业网必须采取相应的保护、处理措施，在企业网核心交换机的出口配置瑞星入侵检测系统IDS，在catalyst6507核心交换机上配置瑞星网络版杀毒软件。具体的内容如下：5.1 平安实业有限公司企业网整体安全解决方案？主要从事中的实时处理和事后的完整审计这两个方面保证网络的安全。另外还加入了计费网关，主要是为了了解各部门的网络流量，这样既可以在改良网络时做到有的放矢，又可以及时了解网络什么地方出了问题。图5-1 平安实业有限公司企业网安全方案拓扑图5.1.1 全方位的安全保证5.1.1.1 事中的实时处理对内：当网络中有对受保护的关键服务器或系统进行恶意攻击的时候，IDS-1入侵检测系统能够检测到发起攻击的源IP地址，并且实时将攻击源IP地址通知给管理服务器，从在线用户表中找到源恶意攻击者，用报警的方式通知管理员，以便采取相应的措施。对外：当Internet中有部分新型的攻击通过防火墙，并对受保护的关键服务器或系统进行恶意攻击的时候，IDS-2会和防火墙连动，通知防火墙将该连接马上断开，对网络进行了有效的保护。5.1.1.2 事后的完整审计RIDS-100用数据表格或动态曲线显示一段时间内，网络流量，以便管理员及时了解网络流量的异常情况。5.2 入侵检测系统5.2.1 入侵检测系统介绍85.2.1.1 什么是入侵检测系统入侵检测是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术。它监视计算机系统或网络中发生的事件，并对它们进行分析，以寻找危及机密性、完整性、可用性或绕过安全机制的入侵行为。入侵检测系统（IDS）就是自动执行这种监视和分析过程的软件或硬件产品。 5.2.1.2 入侵检测系统的作用入侵检测系统作为一种积极主动的安全防护工具，提供了对内部攻击、外部攻击和误操作的实时防护，在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用：（1）通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生。（2）检测其它安全措施未能阻止的攻击或安全违规行为。（3）检测黑客在攻击前的探测行为，预先给管理员发出警报。（4）报告计算机系统或网络中存在的安全威胁。（5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补。（6）在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。5.2.2 RIDS-100入侵检测系统5.2.2.1 RIDS-100 入侵检测引擎9入侵检测引擎为专用硬件设备，可以安装在标准的机架上，一个检测引擎可以保护一个网段。检测引擎有三个以太网接口：分别为数据捕获口、查询管理口、防火墙联动口。（1）数据捕获口检测引擎的数据捕获口接在被保护网段上，它以隐身模式从网络线路上获取数据，然后调用相应的处理模块进行分析处理，如果发现异常事件，则调用报警器，由其根据预定义的处理规则，决定调用相应的响应模块。响应模块可以采取多种手段向系统管理员或被攻击主机报警，也可以向防火墙发送消息，通知防火墙作出相应的响应。 （2）查询管理口查询管理口接在管理主机可以访问的网络上，它是管理控制台和引擎进行通信的接口。 （3）防火墙联动口防火墙联动口是RIDS-100引擎和防火墙通信的接口，通过直联线与瑞星防火墙连接，当管理界面配置了RIDS-100和瑞星防火墙联动时，RIDS-100发现网络中有攻击行为时，向防火墙发送报警信息，由防火墙采取措施。5.2.2.2 管理控制台管理控制台是对RIDS-100引擎进行配置、升级、管理和数据查询的客户端程序，它安装在内网的管理员