(5)及时更新杀毒软件与防火墙软件,经常检查系统,并及时下载安装系统漏洞补丁。
(6)不要随意打开可疑的电子邮件,更不能随意运行邮件附件中的可执行程序。
(7)发现计算机有异常,应及时断开网络,进行查毒、杀毒处理。
2.网络用户
(1)购买一套具有网络杀毒功能的防病毒软件,定期更新软件并检测病毒。
(2)在网络系统上安装网络病毒防治服务器。
(3)尽量避免使用有软驱的工作站。
(4)合理设置用户的访问权限,禁止用户具有较多的读、写权限。
(5)定期进行文件、数据库备份。
(6)制定严格的网络操作规则和制度。
8.2 中小型企业局域网组建设计
本节将以组建一个具有代表意义的中小型企业的局域网为例,主要包括如下内容:需求分析、网络拓扑结构设计、网络硬件设备的选型与规划、接入Internet、虚拟局域网(VLAN)设计、虚拟专用网(VPN)设计、IP地址分配、企业网络安全措施。
8.2.1 需求分析
【实例】 XX公司目前大约有500人规模,计算机约400多台,主要信息点集中在行政部、市场部、研发部、技术部、规划部等,现在需要组建一个企业局域网,以实现如下目标。
(1)实现安全访问Internet、发布企业信息、宣传企业文化、发表意见交流工作、与外界的通信、外地员工可利用Internet远程访问公司资源、使用FTP服务器存取文档资料等常用企业任务和需求,为用户到用户、用户到应用提供速度合理、功能可靠的连接服务。
(2)着眼于未来技术的发展,使现有网络具有较好的扩展性。
(3)为保证网络稳定运行提供方便的监测和管理功能,在最大的程度上提高网管人员解决故障的效率。
(4)在有限的费用下完成既定的任务,并考虑合理应用服务器的带宽,保证所有资源能获得尽量大的效益。
8.2.2 网络拓扑结构设计
该企业局域网采用三层结构网络设计模型,核心层由高端路由器和交换机组成,分布层由用实现策略的路由器和交换机构成,接入层由连接用户的低端交换机构成。
8.2.3 网络硬件设备的选型与规划
1.路由器的选型与规划
在路由器的设备选型上,连接Internet的路由器拟采用Cisco2811XM作为机房的上网代理,提供机房所有服务器上网和对外服务的内网IP与外网IP映射,还可用来连接分支机构的VPN互连,实现远程接入。
由于路由器Cisco2811XM承担的是企业业务的对外服务工作,需要采取冗余备份,以确保在路由器出现故障时,不影响公司各服务器的正常工作。这里采用HSRP协议,由两台Cisco2811XM组成一个“热备份组”。设置其中一台为活动路由器,另一台为等待路由器,这样当活动路由器一旦失效,等待路由器可即刻接管成为活动路由器。
2.交换机的选型与规划
交换机的选型主要根据企业网络中数据量的大小,依此确定核心和接入层的设备。本网络设置有400台计算机,极限情况下这400台计算机同时进行网络访问,按每个节点100Mbps,最大流量将达到30G。为了最大限度保证各个接入交换机的带宽要求,这里选用CISCOWS-C3560 G-24TS-S交换机,在二层交换之间完成存储-转发的功能,各端口用于连接各个楼层各部门的接入交换机,实现互联。
该交换机作为VLAN域服务器进行VLAN的建立、修改及管理;另外,还可对直接下接PC的端口开启端口与MAC地址的绑定的端口安全策略、应用访问列表到VLAN间及各个端口,以做到网络的访问控制等。
鉴于一般企业网络开销有限,对核心交换机的冗余只进行模块和引擎的冗余配置。各楼层交换机选择Cisco的2950系列交换机,每层楼可以设一个配线间用于汇聚该层楼所有部门的接入交换机;同个配线间的所有交换机通过TRUNC堆叠,把终端工作站和用户连接到企业的LAN上,并在各个端口提供线速连接性能。服务器区和边缘接入区选择Catalyst2950G-24交换机双上联至核心交换机。
8.2.4 接入Internet
本企业局域网有两条线路连接Internet:其中一条由ADSL提供内部所有员工的代理上网服务,宽带连接5M拨号动态IP线路;另一条为数字电路接入当地的ISP,宽带连接10M,固定IP,用于企业各服务器的网络服务。
8.2.5 虚拟局域网设计
为了有效抑制网络上的广播风暴,增加网络连接的灵活性及安全性,集中化管理控制、降低管理成本,可利用VLAN(Virtual Local Area Network)技术将由交换机连接成的物理网络划分成多个逻辑子网。
在交换机上划分VLAN的方法有很多,为了最大限度上满足具体使用过程中的需求,减轻用户在VLAN使用和维护中的工作量,可采用根据IP来划分VLAN的方法。
8.2.6 虚拟专用网(VPN)设计
企业应用包括基础应用和业务应用两部分,内部文件共享、邮件和办公自动化系统这些基础的网络应用对网络的可靠性、安全性要求都不是很高,而业务应用系统是企业正常运行的根本,它的可靠和安全直接关系到企业的生存。因此,可以采用两种连接Internet的方式来连接外网,在与远程分支机构的连接上,可以采用VPN方式来实现私有网络的连接。
目前企业网络的VPN应用可以分为两个主要类型:站点到站点和远程访问VPN。鉴于该企业建立VPN的主要目的是连接异地的分支、办事处(市场部),流量主要在远程分支和总部办公室之间流动,因此采用站点到站点VPN。在拓扑结构上,采用星型拓扑结构,这样就简化了配置的复杂性,只需要在总部建立多条到达分支的IPSec和GRE隧道即可。
8.2.7 IP地址分配
在TCP/IP协议的网络中,IP地址的设置有两种方式:手工设置静态IP与自动获得动态IP。当网络规模比较大时,不使用手工设置客户端的IP地址方法,而只需在网络中配置一个DHCP服务器分配IP地址。我们可以将这个DHCP服务器看成一个IP地址数据库。
客户端每次启动时向这个数据库发送请求,以自动获得一个IP地址,这样可以减轻网络管理的负担。在本例中,使用设置静态IP的方式,有兴趣的读者可以思考与设计DHCP动态分配IP。
企业内网服务器中,需要对外提供服务的服务器均使用内网IP,路由器完成与外部IP的映射,程序中提供服务的IP也必须配置成内网IP。内部访问对外提供的服务均需使用内部IP,不能直接用外部IP访问。
企业网络安全措施
企业局域网的安全主要包括局域网内的安全和接入Internet的安全两个方面。
企业网络核心区通常会遭到数据窃听(Sniff)、信任关系利用和IP欺骗(Spoofing)等攻击,为此可架设一台高性能的交换机,以有效地避免数据窃听的发生。另外,可以使用访问控制,减少通过一个VLAN中被侵入主机访问另一VLAN服务器上保密信息的机会。最后,为了防止源地址欺骗的发生,可以通过使用RFC2827过滤,在核心交换机上过滤那些不属于自己VLAN的源地址的对外访问,从而大大加强内网的安全性。
在Internet接入模块通常发生的攻击有IP欺骗(Spoofing)、拒绝服务(Dos)、密码攻击、应用层攻击、未授权访问和病毒与特洛伊木马等。针对这些攻击,在Internet接入区可以设置RFC1918和RFC2827地址过滤,这样可以防止地址欺骗的发生,也可以有效防止拒绝服务攻击(Dos)的发生。同时,对非重要的信息进行速率限制,以缓解拒绝服务攻击的压力。
在防火墙DMZ区域的公共服务器上安装主机入侵检测系统,能有效地防止密码攻击、端口重定向以及未授权访问等攻击。另外,PVLAN(Private VLAN)的使用使得位于同一VLAN的不同服务器之间互相隔离,能够防止信任关系利用的攻击。当然,合理地设置应用程序和操作系统,定期地为各种安全打补丁等日常维护工作,都能有效地防止病毒和各种木马程序的入侵。
【本章小结】
本章所列举的两个例子是常见的网络技术在现代社会工作与商务中的实际应用。通过对两个例子的详尽讲解,我们可以清楚地了解如何搭建一个局域网,以及如何配置网络服务;更好地利用网络技术带给我们优势,改变我们的生活与工作方式,在激烈的现代商务竞争中取得先机。此外,本章还分析了局域网中潜在的威胁与危害,在明确网络安全的重要性与必要性的基础上,提出相应的网络安全防范措施与策略,以确保局域网能安全、可靠、方便快捷地运行。
