论文部分内容阅读
摘 要:因特网(Internet)是信息化社会的基础和核心。自20世纪70年代初诞生以来,已发展成为开放的、互联的、遍及世界的最大的计算机网络系统。因特网是一个使世界上不同类型的计算机能交换各类数据的通信媒介。本文主要分析公司局域网组网方案与实现。
关键词:公司; 局域网; 组网; 方案
中图分类号:TS976.4 文献标识码:A 文章编号:1006-3315(2012)07-172-001
当今,公司局域网网络技术比起以前有了长足的发展,网络已经逐渐与人们的工作、生活相结合,同时网络安全问题也变得日益突出。为了应付当前出现的各种网络安全问题,网络安全技术及软硬件设备层出不穷。安全技术覆盖了计算机网络的方方面面。安全技术变得纷繁复杂起来,这对网络安全技术的应用来说带来了挑战。对于网络安全我们所看重的往往是单个应用点,这就容易忽略某些层次的安全问题。园区网络接入层安全问题就是在这种环境下日益显现出来的。网络安全技术从应用方面来看,主要分为面向终端系统的网络安全技术和面向网络基础架构的安全技术。
一、公司局域网组网的常用技术
拓扑结构的选择是组建网络的关键之一,拓扑结构决定了网络的布局和传输介质的访问控制方式,而传输介质在决定网络中信号传输速率的同时,也提供了相关接口标准。目前,比较流行的局域网有交换式以太网、ATM、FDDI以及快速以太网等,下面对这些网络技术特点做一简单的介绍和类比,以便设计中加以选择。FDDI是一种高速光纤网,其介质访问方式与IEEE802.5标准中对应部分类似,但FDDI采用了多个数据帧的访问方式,提高了信道的利用率。(1)技术成熟且完全标准化。自1987年以来,ISO与ANSI制定了X3T9.5等一系列标准,这些标准使FDDI得到了大力推广。(2)容错性好,采用双环结构,一主一副,互为备份,使容错性得到充分发挥。(3)价格较贵,且短期内不会有显著下降。(4)由于网络拓扑结构及网络设备复用性等原因,FDDI升级至ATM或千兆以太网较为困难。
在接入网络的计算机中,有时会出现大量发送数据帧的现象。这一般是由于主机受到病毒影响或网卡出现故障。一旦出现广播风暴,交换机的资源会被大量占用,数据帧的转发性能受到极大的负面影响。在网络设备管理方面,由于网络设备数量较大,管理员不得不记忆大量的网络设备IP地址和密码,但时间一长很多不常用的网络设备的地址和密码就会被忘记,不仅给管理工作造成了很多麻烦,而且降低了工作效率。管理员在不同的网络设备之间切换操作界面时往往会大量执行同一步骤。例如:管理员需要配置A、B、C三台网络设备,他必须针对三台网络设备都执行登录命令并输入相应用户名及密码。如果主机数量很多,就会降低管理员的操作效率。管理员在管理相关网络设备之前往往无法了解管理端口的运行状态,如果主机的服务瘫痪了,操作之前无法得知。
二、公司局域网组网方案与实现
一个公司网络同组建一个网吧或者家庭网络是不同的。因为组建公司网络所需的技术含量要比前者要高,其中包括了VPN技术、虚拟局域网技术等等。
1.公司网络的结构选择
公司网络的构建是一个系统性的工程,涉及到网络拓扑规划、设备选型、综合布线等多方面的知识。
1.1能够及时得知接入交换机的运行状态,并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取,需要覆盖多个接入层楼宇,并且对交换机的日志能够持久存储以备查阅。
1.2能够确定攻击源在接入交换机中的位置,并进行隔离使其无法影响其他上网主机,对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。
1.3设备的控制需要对网络管理员透明化,提供对多厂商交换设备的支持,控制功能需要使用公共标准协议,能够监控接入设备的服务状态和IP可达状态,并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作,能够将其转化为交换设备可以识别的指令。
1.4提供安全的用户登录验证功能,能够让用户使用除静态用户名密码之外的第三种认证方式,保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用,有效防范账户密码被盗取。
1.5能够提供基本的用户权限功能,管理员、维护员和普通用户三层管理权限,分别对应全部操作权限、后期维护权限、日志查看权限。对网络管理员需要提供对接入网络设备日志信息和攻击主机信息的查询,对管理员权限的用户除提供查询功能之外,还要提供对攻击主机进行隔离和解除隔离的操作功能。对于维护员来说,除了提供查询功能外,只允许其具备对已隔离攻击主机的解除隔离操作。上网用户不具备系统的操作权限,只具备攻击主机信息的查询功能。这些设备需要通过网络连接到远程控制服务器,并且支持TELNET和SNMP协议对接入设备的控制。数据库服务器既可以集成到远程控制系统服务器中,也可以单独运行,但基于性能及安全的考虑,最好与WEB应用服务器隔离运行,只要WEB应用服务器网络可达即可。
2.公司网络中的安全规划
随着黑客对网络的攻击和威胁日益增长,公司逐步将网络安全问题放置到了首位。有些攻击或威胁不是一般简单的防火墙等设备可以抵制的。例如携带后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此,建议采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,而且还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,这种主动防护可以将攻击内容完全阻挡在公司内部网络之外。
参考文献:
[1]田增国,刘晶晶,张召贤编著.组网技术与网络管理[M].清华大学出版社,2009.02
[2]王怀宇,李燕玲,刘凤田主编.大学信息技术基础[M].河北大学出版社,2009.08.
[3]杨永川,黄淑华,魏春光编著.边用边学局域网组网[M].机械工业出版社,2007.6
关键词:公司; 局域网; 组网; 方案
中图分类号:TS976.4 文献标识码:A 文章编号:1006-3315(2012)07-172-001
当今,公司局域网网络技术比起以前有了长足的发展,网络已经逐渐与人们的工作、生活相结合,同时网络安全问题也变得日益突出。为了应付当前出现的各种网络安全问题,网络安全技术及软硬件设备层出不穷。安全技术覆盖了计算机网络的方方面面。安全技术变得纷繁复杂起来,这对网络安全技术的应用来说带来了挑战。对于网络安全我们所看重的往往是单个应用点,这就容易忽略某些层次的安全问题。园区网络接入层安全问题就是在这种环境下日益显现出来的。网络安全技术从应用方面来看,主要分为面向终端系统的网络安全技术和面向网络基础架构的安全技术。
一、公司局域网组网的常用技术
拓扑结构的选择是组建网络的关键之一,拓扑结构决定了网络的布局和传输介质的访问控制方式,而传输介质在决定网络中信号传输速率的同时,也提供了相关接口标准。目前,比较流行的局域网有交换式以太网、ATM、FDDI以及快速以太网等,下面对这些网络技术特点做一简单的介绍和类比,以便设计中加以选择。FDDI是一种高速光纤网,其介质访问方式与IEEE802.5标准中对应部分类似,但FDDI采用了多个数据帧的访问方式,提高了信道的利用率。(1)技术成熟且完全标准化。自1987年以来,ISO与ANSI制定了X3T9.5等一系列标准,这些标准使FDDI得到了大力推广。(2)容错性好,采用双环结构,一主一副,互为备份,使容错性得到充分发挥。(3)价格较贵,且短期内不会有显著下降。(4)由于网络拓扑结构及网络设备复用性等原因,FDDI升级至ATM或千兆以太网较为困难。
在接入网络的计算机中,有时会出现大量发送数据帧的现象。这一般是由于主机受到病毒影响或网卡出现故障。一旦出现广播风暴,交换机的资源会被大量占用,数据帧的转发性能受到极大的负面影响。在网络设备管理方面,由于网络设备数量较大,管理员不得不记忆大量的网络设备IP地址和密码,但时间一长很多不常用的网络设备的地址和密码就会被忘记,不仅给管理工作造成了很多麻烦,而且降低了工作效率。管理员在不同的网络设备之间切换操作界面时往往会大量执行同一步骤。例如:管理员需要配置A、B、C三台网络设备,他必须针对三台网络设备都执行登录命令并输入相应用户名及密码。如果主机数量很多,就会降低管理员的操作效率。管理员在管理相关网络设备之前往往无法了解管理端口的运行状态,如果主机的服务瘫痪了,操作之前无法得知。
二、公司局域网组网方案与实现
一个公司网络同组建一个网吧或者家庭网络是不同的。因为组建公司网络所需的技术含量要比前者要高,其中包括了VPN技术、虚拟局域网技术等等。
1.公司网络的结构选择
公司网络的构建是一个系统性的工程,涉及到网络拓扑规划、设备选型、综合布线等多方面的知识。
1.1能够及时得知接入交换机的运行状态,并根据运行状态分析网络运行是否存在ARP欺骗攻击、DHCP欺骗攻击、广播风暴攻击行为。对攻击信息的分析要做到全面准确。对于交换机的运行状态获取,需要覆盖多个接入层楼宇,并且对交换机的日志能够持久存储以备查阅。
1.2能够确定攻击源在接入交换机中的位置,并进行隔离使其无法影响其他上网主机,对于已处理的主机可以进行解除隔离。隔离操作的执行需要做到直接简便高效。攻击主机的位置确定对用户需要做到透明。
1.3设备的控制需要对网络管理员透明化,提供对多厂商交换设备的支持,控制功能需要使用公共标准协议,能够监控接入设备的服务状态和IP可达状态,并将这些状态呈献给网络管理员。对于网络管理员作出的针对攻击主机的操作,能够将其转化为交换设备可以识别的指令。
1.4提供安全的用户登录验证功能,能够让用户使用除静态用户名密码之外的第三种认证方式,保障用户登录信息达到不可猜测、无法破解、登录参数无法重复使用,有效防范账户密码被盗取。
1.5能够提供基本的用户权限功能,管理员、维护员和普通用户三层管理权限,分别对应全部操作权限、后期维护权限、日志查看权限。对网络管理员需要提供对接入网络设备日志信息和攻击主机信息的查询,对管理员权限的用户除提供查询功能之外,还要提供对攻击主机进行隔离和解除隔离的操作功能。对于维护员来说,除了提供查询功能外,只允许其具备对已隔离攻击主机的解除隔离操作。上网用户不具备系统的操作权限,只具备攻击主机信息的查询功能。这些设备需要通过网络连接到远程控制服务器,并且支持TELNET和SNMP协议对接入设备的控制。数据库服务器既可以集成到远程控制系统服务器中,也可以单独运行,但基于性能及安全的考虑,最好与WEB应用服务器隔离运行,只要WEB应用服务器网络可达即可。
2.公司网络中的安全规划
随着黑客对网络的攻击和威胁日益增长,公司逐步将网络安全问题放置到了首位。有些攻击或威胁不是一般简单的防火墙等设备可以抵制的。例如携带后门程序的蠕虫病毒是简单的防火墙/VPN安全体系所无法对付的。因此,建议采用立体多层次的安全系统架构。这种多层次的安全体系不仅要求在网络边界设置防火墙/VPN,而且还要设置针对网络病毒和垃圾邮件等应用层攻击的防护措施,这种主动防护可以将攻击内容完全阻挡在公司内部网络之外。
参考文献:
[1]田增国,刘晶晶,张召贤编著.组网技术与网络管理[M].清华大学出版社,2009.02
[2]王怀宇,李燕玲,刘凤田主编.大学信息技术基础[M].河北大学出版社,2009.08.
[3]杨永川,黄淑华,魏春光编著.边用边学局域网组网[M].机械工业出版社,2007.6