《网络工程中小型企业-Intranet-建设方案.ppt》由会员分享,可在线阅读,更多相关《网络工程中小型企业-Intranet-建设方案.ppt(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中小型企业中小型企业 Intranet 建设方案建设方案以如下化工企业为例:生产区(分为总厂,橡胶厂,化肥厂,动力厂),以如下化工企业为例:生产区(分为总厂,橡胶厂,化肥厂,动力厂),办公区,家属区。办公区,家属区。IP地址分配如下表所示:地址分配如下表所示:单单位位信息点数量信息点数量总总厂厂约约250橡胶厂橡胶厂约约150化肥厂化肥厂约约120动动力厂力厂约约80网网络设备络设备约约40起始起始IP地址从开始。地址从开始。要求:写出详细需求分析报告,逻辑设计报告(含要求:写出详细需求分析报告,逻辑设计报告(含VLAN划分,划分,IP地址分配地址分配细节)及安全设计报告。细节)及安全设计报告
2、。需求分析需求分析一、背景需求说明一、背景需求说明 该公司是一家从事化工生产的企业,随着业务规模的不断扩展,传统的办公该公司是一家从事化工生产的企业,随着业务规模的不断扩展,传统的办公模式存在办公效率低下,资源浪费,经费居高不下的问题。企业领导决定在企业模式存在办公效率低下,资源浪费,经费居高不下的问题。企业领导决定在企业内部建设网络系统,推行网络自动化办公系统,提高公司整体办公效率,压缩办内部建设网络系统,推行网络自动化办公系统,提高公司整体办公效率,压缩办公经费,并最终提高公司效益。公经费,并最终提高公司效益。随着企业对网络要求的不断提高,网络系统必然随之不断扩大。因此,目前随着企业对网络
3、要求的不断提高,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有一定的余地,以保护企业对网络设施的投资,的网络设计必须为今后的扩充留有一定的余地,以保护企业对网络设施的投资,保证今后三到五年的网络扩充升级能力。保证今后三到五年的网络扩充升级能力。二、业务需求分析二、业务需求分析(1)公司的园区网应用包括文件共享服务、打印共享服务和财务管理等,实现)公司的园区网应用包括文件共享服务、打印共享服务和财务管理等,实现的的Intranet应用,主要面向应用,主要面向OA,需要增加对外,需要增加对外Web服务、服务、E-mail服务等,还需要服务等,还需要采购专门的采购专门的OA办公软
4、件,添置防火墙等安全设施。办公软件,添置防火墙等安全设施。(2)OA系统应该提供的功能包括:信息公告、系统应该提供的功能包括:信息公告、BBS讨论组、电子邮件群发、文讨论组、电子邮件群发、文件交换、短信息服务、资源管理、会议管理、考勤管理、办公物品管理、人事管件交换、短信息服务、资源管理、会议管理、考勤管理、办公物品管理、人事管理和通讯簿等服务。理和通讯簿等服务。三、管理需求分析三、管理需求分析网络管理可以从以下几个方面着手解决:网络管理可以从以下几个方面着手解决:(1)保证数据的机密性;)保证数据的机密性;(2)保证访问的可控性:对关键网络、系统和数据的访问必须得到有效的)保证访问的可控性:
5、对关键网络、系统和数据的访问必须得到有效的控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进控制,这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录;行跟踪记录;(3)保证网络操作的可管理性)保证网络操作的可管理性:对于网络安全系统应具备审计和日志功能,对于网络安全系统应具备审计和日志功能,对相关重要的操作提供可靠而方便的可管理和维护功能。对相关重要的操作提供可靠而方便的可管理和维护功能。四、安全性需求分析四、安全性需求分析 (1)内部网络使用)内部网络使用VLAN分段,隔离广播域,防止网络窃听和非授权的跨分段,隔离广播域,防止网络窃听和非授权的跨网段访问。
6、网段访问。(2)使用防火墙分割内部网和外部网,不允许外部用户访问内部)使用防火墙分割内部网和外部网,不允许外部用户访问内部 Web 服服务器、财务数据和务器、财务数据和OA服务器等。服务器等。(3)防病毒设置)防病毒设置 为每台工作站和服务器安装单机版的防病毒软件,每台计算机定时地为每台工作站和服务器安装单机版的防病毒软件,每台计算机定时地下载病毒码信息并进行更新。下载病毒码信息并进行更新。(4)对网络用户进行网络的安全教育)对网络用户进行网络的安全教育逻辑结构设计与地址分配逻辑结构设计与地址分配一、网络拓扑结构一、网络拓扑结构 网络拓扑结构采用树形结构和分层设计思想,优点是能够准确定位网网络
7、拓扑结构采用树形结构和分层设计思想,优点是能够准确定位网络需求,扩展性和升级性较好,便于网络管理。络需求,扩展性和升级性较好,便于网络管理。核心设备及主干网络采用核心设备及主干网络采用1000Base-T技术,汇聚层设备及线路采用技术,汇聚层设备及线路采用100Base-T技术,接入层设备采用技术,接入层设备采用10Base-T技术。技术。10Mbit/s的桌面带的桌面带宽足以满足企业当前的各种应用。宽足以满足企业当前的各种应用。由于考虑到业务生产流量的重要性,由于考虑到业务生产流量的重要性,核心层核心层和生产区之间的交换机使和生产区之间的交换机使用全互连用全互连,实现冗余备份的功能,出口使用
8、,实现冗余备份的功能,出口使用NAT代理技术实现内外网通代理技术实现内外网通信,使用信,使用DHCP自动分配自动分配IP地址。通常对服务器采用静态模式,而对普通地址。通常对服务器采用静态模式,而对普通工作站采用动态模式。工作站采用动态模式。网络拓扑结构图网络拓扑结构图汇聚层汇聚层接入层接入层核心层核心层网络拓扑结构图(简化)网络拓扑结构图(简化)企业有企业有3台内网服务器和一台网管工作站,访问台内网服务器和一台网管工作站,访问 Web 服务器和财务数据服务器和财务数据库服务器是网络的主要流量。网络流量符合库服务器是网络的主要流量。网络流量符合80/20规律,绝大部分流量需要规律,绝大部分流量需
9、要在核心层,因此将服务器直接接入核心交换机。在核心层,因此将服务器直接接入核心交换机。为了便于集中管理,管理工作站也放置在核心层,直接连入核心交换机为了便于集中管理,管理工作站也放置在核心层,直接连入核心交换机的的100Mbit/s端口。端口。财务数据库相对于企业业务非常重要,集中存放在机房由管理员专人看财务数据库相对于企业业务非常重要,集中存放在机房由管理员专人看管,大大降低了其被盗的可能性。管,大大降低了其被盗的可能性。Web 服务器经常要被局域网内的所有用服务器经常要被局域网内的所有用户访问,不属于任何一个部门或网段,所以应该作为公共服务设备放在机户访问,不属于任何一个部门或网段,所以应
10、该作为公共服务设备放在机房。房。二、服务子网设计选择集中式设计的方法二、服务子网设计选择集中式设计的方法DMZ 总厂总厂(信息点数量约(信息点数量约250)起始起始IP地址:地址:子网号:子网号:掩码地址:掩码地址:CIDR地址:地址:192.168.16.0/24 主机地址范围:主机地址范围:192.168.16.1 192.168.16.254VLAN号:号:Vlan 1 192.168.16.XXXXXXXX 虚拟局域网划分及地址分配方案虚拟局域网划分及地址分配方案 橡胶厂橡胶厂(信息点数量约(信息点数量约150)起始起始IP地址:地址:192.168.18.0子网号:子网号:掩码地址:
11、掩码地址:CIDR地址:地址:192.168.18.0/24主机地址范围:主机地址范围:192.168.18.1 192.168.18.254VLAN号:号:Vlan 2 192.168.18.XXXXXXXX 化肥厂化肥厂(信息点数量约(信息点数量约120)起始起始IP地址:地址:子网号:子网号:掩码地址:掩码地址:CIDR地址:地址:192.168.19.0/25主机地址范围:主机地址范围:192.168.19.1 192.168.19.126VLAN号:号:Vlan 3 XXXXXXX 动力厂动力厂(信息点数量约(信息点数量约80)起始起始IP地址:地址:192.168.19.128子网
12、号:子网号:掩码地址:掩码地址:CIDR地址:地址:192.168.19.0/25主机地址范围:主机地址范围:192.168.19.129 192.168.19.254VLAN号:号:Vlan 4 192.168.19.1 XXXXXXX 动力厂动力厂(信息点数量约(信息点数量约40)起始起始IP地址:地址:子网号:子网号:掩码地址:掩码地址:CIDR地址:地址:192.168.20.0/26主机地址范围:主机地址范围:192.168.20.1 192.168.20.63VLAN号:号:Vlan 5 192.168.20.00 XXXXXX 部门部门VLAN 号号IP 地址地址掩码掩码CIDR
13、地址地址总厂总厂Vlan 1192.168.16.0255.255.255.0192.168.16.0/24橡胶厂橡胶厂Vlan 2192.168.18.0255.255.255.0192.168.18.0/24化肥厂化肥厂Vlan 3192.168.19.0255.255.255.128192.168.19.0/25动力厂动力厂Vlan 4192.168.19.128255.255.255.128192.168.19.0/25网络设备网络设备Vlan 5192.168.20.0255.255.255.192192.168.20.0/26VLAN与与IP地址分配如下表所示:地址分配如下表所示:
14、网络安全设计网络安全设计网络安全设计包括以下几个方面:网络安全设计包括以下几个方面:(1)VLAN设计为局域网提供了最大的安全性。各设计为局域网提供了最大的安全性。各VLAN网段的主机被限定网段的主机被限定在本网络内部可以自由访问,跨虚拟网段的访问必须通过核心交换机路由,符在本网络内部可以自由访问,跨虚拟网段的访问必须通过核心交换机路由,符合访问规则集的数据包才会被转发。合访问规则集的数据包才会被转发。(2)屏蔽路由器也对进出内部网络的所有信息进行分析,并按照一定的屏蔽路由器也对进出内部网络的所有信息进行分析,并按照一定的安全策略(信息过滤规则)对进出内部网络的信息进行限制。安全策略(信息过滤
15、规则)对进出内部网络的信息进行限制。如可以在路由如可以在路由器中实现对内部网络在器中实现对内部网络在19:00-24:00屏蔽某些网络服务,也可以对某些特定屏蔽某些网络服务,也可以对某些特定的黑客、黄色、暴力网站进行屏蔽。的黑客、黄色、暴力网站进行屏蔽。(3)通过防火墙隔离,在企业内部网)通过防火墙隔离,在企业内部网(Intranet)与外界连接处实施网络与外界连接处实施网络访问控制。在访问控制。在Internet与企业内部网之间部署了防火墙,针对存取要求授予与企业内部网之间部署了防火墙,针对存取要求授予不同的权限,保证只有经授权许可的信息才能在客户机和服务器间流通。不同的权限,保证只有经授权
16、许可的信息才能在客户机和服务器间流通。(4)在中心交换机上架设入侵检测系统,入侵检测能力是衡量一个防御)在中心交换机上架设入侵检测系统,入侵检测能力是衡量一个防御体系是否完整有效的重要因素。许多情况下,由于可以记录和禁止网动,体系是否完整有效的重要因素。许多情况下,由于可以记录和禁止网动,所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合作。所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合作。(5)漏洞扫描系统)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。打开的端口。Thank you Thank you