XX公司厂区网络改造总体设计方案书

1、xxxx 公司公司 网络改造总体设计方案书网络改造总体设计方案书 二零壹零年三月 xx 有限公司 目 录 第第 1 章章 网络改造的需求规定网络改造的需求规定. 1.1 总体目标. 1.2 网络改造需求. 1.2.1 xx 公司局域网. 1.2.2 网络管理的需求. 1.2.3 网络安全管理需求. 第第 2 章章 网络改造的基本原则网络改造的基本原则. 第第 3 章章 网络总体设计网络总体设计. 3.1 xx 公司网络系统改造目标总体架构. 4.1.1 组网模式. 4.1.2 网络总体拓扑结构设计. 3.2 局域网改造. 4.2.1 局域网改造方案. 第第 4 章章 xx 公司网络管理设计公司

2、网络管理设计. 第第 5 章章 网络系统安全设计网络系统安全设计. 5.1 安全模型（p2dr 模型）. 5.2 xx 公司网络系统总体安全体系. 5.3 xx 公司网络级安全设计. 5.3.1 局域网安全设计. 设备清单. 第一章第一章 网络改造的网络改造的需求规定需求规定 1.1 总体目标总体目标 xx 公司骨干网改造是公司为了适应新形势下企业激烈 竞争，提高 xx 公司核心竞争力的一项具有战略意义的举 措。xx 公司网络改造作为整个网络改造工作的一个组成部 分，成功的网络改造将使 xx 公司能够在较长时间里在高 科技领域竞争中继续保持科技优势，从而推动各项业务水 平的快速发展。 xx 公

3、司网络设计为三层结构，系统的设计应充分利用当今 先进的网络技术，实现网络数据高速有序流通，建立高效率的 信息网络平台，形成各个部门内外相联、上下贯通的信息传输 网络。建设后的 xx 公司网络平台应是一个技术先进、性能可 靠、功能齐全的系统，系统内的各级用户在各自权限内，在各 自站点上进行各自的工作，满足网上语音、视频、监控等多种 应用，为 xx 公司提供一个稳定的网络。 1.1.1 xx 公司网络现状及需求分析公司网络现状及需求分析 原有局域网是在 2001 年前建设的，好多车间当时均没 有布线，或者布的线的是网线，时间长网线均已老化或者 是被老鼠咬断，对厂区提升信息化应用受到很大的影响。 也

4、直接影响到局域网的使用。且当时车间里只有一个最多 两个点是可以使用的。 随着企业规模的扩大以及应用系统的增多，己经不能满足 现有及未来信息化办公要求，主要暴露的问题有以下几点： 1、随着用户数目的增加，以及各种业务系统的拓展，依托于 网络运行的业务越来越多，对网络的依赖性越来越强，网络设 备的性能不能够满足未来的需求，所以网络迫切面临着升级改 造的需求。 2、网络安全性：现在 xx 公司在网络安全方面还处在一种被动 局面，只有等到各种病毒和漏洞发作的时候才知道，不能够在 这些安全威胁爆发之前，对网络的各种隐患和漏洞进行一个很 好的分析、了解和掌握，并且通过某种手段弥补掉这些隐患； 没有能够检测

5、网络当中各种行为的设备，这样有人在网络当中 作了些什么，网管人员将很难发现，所以需要有一种监测网络 和审计网络的设备和软件，进而从多个方面，多个角度，多种 手段来建成一种防御体系，使网络在被攻击前、被攻击中、被 攻击后都可以通过某种手段去解决问题。在攻击前积极防御， 先找到隐患和漏洞，并且进行弥补，在攻击中及时发现可以通 过设备间的联动，对其攻击进行阻断。最后就是作好安全容灾 备份，这样即使数据丢失或损坏，还有备份系统能够在短时间 使系统重新恢复起来。 3、总机房与厂区部门互联：由于厂区和部门之间的主干没有 光纤连接，并且有的部门没有网络综合布线系统，所以厂区和 的部门连接增加千兆光纤连接，部

6、门分交换到各信息点增加综 合布线系统。 1.2 网络改造需求网络改造需求 1.2.1 xx 公司局域网公司局域网方案描述方案描述 这次改造目的把所有的基层车间及下属部门全部用光 纤做为主干。每个基层车间及下属部门均布 10-40 个信息 点。全厂区总体设计的信息点在 600 个以上。 方案描述方案描述： 1、在原总工办办公室建立核心机房，核心交换机采 用 ls-s5600-26f 24 ge sfp,4 个 combo 10/100/10001000base-t,自带两个堆叠口,1 个模块 插槽。光纤配线架直接熔接光纤，不用收发器， 通过跳线和主交换机 ls-s5600-26f 模块连接到各

7、车间的光纤到光口交换机。由于现有的点加上新 综合车间共有 300 多，我们现有的路由器已不能 满足要求。所以上一套专业的路由器主控模块 rt-mpuf-h3 主控模块是： h3c msr 50 主控 模块,2ge (combo), 4sic,256f/512d 并配 lis- msr50-standard-h3 软件进行管理。配置一台 h3c secpath f1000-c-ac 作为整体网络的防火墙。 由于大楼里的各房间的网络不再改动。我们增加 了二台 h3c s3100-26tp-si 交换机做为楼内各点 的接入点。机房内配备一台山特 c2ks 一小时延 时的 ups 不间断电源，机柜所有

8、的设备都做接地 连接。 2、每个车间的设备说明。每个车间配置一台 h3c s3100-26tp-si 交换机，光纤直接上交换机的 sfp-ge-lx-sm1310-a 光模块。车间内的所有网 线全部进行全新的安装采用 pvc 墙面固定。每个 信息点采用外装模块。配置一台机柜,一台山特 c12ks 一小时延时的 ups 不间断电源。其中不包 括新综合车间。每条线都进行标记。 3、各车间的光纤走向主要分四路来实现。第一路： 加工车间。第二路：综合新车间、新装配、木模 下线、装配办、装配、冲剪。具体说明用一根 12 芯光纤到综合新车间进行用一分二光纤分路器进 行分路，由于综合新车间的信息点比较多，我

9、们 采用两台 h3c s3100-52tp-si 交换机来保证信息 点足够使用。光纤到装配办用一分四光纤分路二 次分路分别给新装配、木模下线、装配办、装配、 冲剪。第三路：机电办、机电、工具、加工二、 焊接大修在机电办进行二次分路。第四路：销售、 供应、备料、铸工、车队、物业、保卫部、在销 售进行光纤二次分配，在供应进行光纤二次分配。 在车队进行光纤二次分配。销售放一台 s3100- 52tp-si，在供应放一台 s3100-52tp-si 交换机。 1.2.2 网络管理的需求网络管理的需求 1、具有网络管理基本功能，提供设备管理、配置管理、 图形面板、流量监控、故障判断、拓扑发现等。增加局域

10、 网管理软件。 2、在不影响关键业务运行的前提下，收集分析网络流 量中的应用信息，网络管理员可以定义、监控并评估网络 连接性、安全性和性能策略，并进行网络的规划和设计。 3、网管系统能够作到管理监控到全网所有网络设备， 直观的显示各种设备运行状态，并对各种异常情况实现自 动报警。 1.2.3 网络安全管理需求网络安全管理需求 、网络设计中利用防火墙、vlan 等技术，确保计算 机网络系统计算机网络系统安全漏洞最小化，使网 络入侵的风险得到控制。 、能够使安全管理员了解计算机网络系统的整体安 全状况。 、可监控到来自网络内部和外部的“黑客”入侵。 、能够为查明入侵的来源提供有效的依据。 5、能够

11、对整个网络系统从网络层、系统层、数据库和 应用层进行安全脆弱性进行评估，提供安全修复指 引。 第第 2 章章 网络改造的网络改造的基本原则基本原则 在网络集成设计过程中，一定要从网络、服务器、 工作站的互连性、网络的可用性及网络的性能上支持将 来 xx 机械厂计算机网络的全部网络应用，并且能够适 应今后相当长一段时间内应用的发展。 在本网络设计的过程中，还有一个需要考虑的重要因素 就是系统的可靠性。网络应该具有一定的容错能力，在 设计中尽可能地减少单一故障点，以使该网络不至于因 为某一设备的损坏或某一信道的故障全部或部分瘫痪。 另外，网络的性能是设计一个网络最基本的依据，在设 计中不但要考虑满

12、足今天的应用，而且要考虑到今后相 当长一段时间内的发展。当然，高性能与高可靠性是以 高投入为代价的，最终的方案一定是性能与价格折衷的 产物。还要对网络实行集中监测，并统一分配带宽资源。 选用先进的网络管理平台，具有对设备、端口等的管理、 流量统计分析，及可提供故障自动报警。最后就是保证 网络整体性能的前提下，充分利用现有的网络设备或做 必要的升级。 在 xx 机械厂计算机网络设计中，我们基于以下基本原则： 1 技术的超前性和成熟性 2 高度的安全性 3 实用性 4 网络的扩展性和可维护性 5 高性能 6 可靠性 7 可管理性 8 投资保护 第第 3 章章 网络总体设计网络总体设计 3.1 xx

13、 公司网络系统改造目标总体架构公司网络系统改造目标总体架构 3.1.1 组网模式组网模式 大型网络的网络结构是层次化的，正确理解 xx 公司网 络层次的划分和每个层次的主要作用，有助于我们合理选 择网络拓扑和网络技术。鉴于 xx 公司的特殊性，我们将 网络结构设计为如下层次： 链路层：链路层实现各办公楼网络的连接，包括中心 机房到新综合车间、运销、供应及车间的连接。 分布层：实现网络统一策略的互联层，访问层向核心 层的汇接点，xx 公司到各个科室的二级网络即属于网络分 布层。 接入层：为最终用户提供对网络的接入，xx 公司到各 个机房构成的网络即属于网络接入层。同时，接入层的网 络包括 xx

14、公司与互连网 10mb 光纤的连接。 按照以上方式进行组网，层次比较清晰，便于方案实 施， 。 3.1.2 网络总体拓扑结构网络总体拓扑结构设计设计 网络改造后的网络拓扑结构示意图如下所示： 3.2 局域网改造局域网改造 3.2.1 局域网改造方案局域网改造方案 设备选择设备选择 核心交换机采用 ls-s5600-26f 24 ge sfp,4 个 combo 10/100/10001000base-t,自带两个堆叠口,1 个模块插槽。 ls-s5600-26f 产品类型 企业级,三层,可网管型交换机,千兆以太网型,可网管 型 传输方式 ：存储转发方式 背板带宽 ：192gbps 包转发率 ：

15、66mpps 外形尺寸 44042043.6mm 重量 5kg 硬件参数 接口类型 10/100base-t 端口,10/100/1000base-t 端 口,10/100/1000m combo 电口,千兆 sfp combo 口,(24 个 10/100/1000m 电口,4 个 sfp combo 千兆口) 接口数目 24 口 传输速率 10m/100m/1000mbps 模块化插槽数 4 管理端口 1 个 console 口 堆叠 可堆叠 网络与软件 支持网络标准 802.3；802.3u,ieee 802.3x,ieee 802.1d,ieee 802.1q vlan 支持 支持 4

16、k 个符合 ieee 802.1q 标准的 vlan,支持 基于端口的 vlan 端口聚合 支持端口聚合,支持通过 lacp 进行动态端口汇聚,支 持进行通过命令行手动进行端口汇聚,支持堆叠范围内的跨设 备链路汇聚,支持 ge(gigabit ethernet)端口汇聚,支持 10g(gigabit ethernet)端口汇聚,最多 32 组端口汇聚组,ge 汇聚 组最多支持 8 个端口,10ge 汇聚组最多 4 个端口,汇聚的端口必 须具有相同的端口类型 网管功能 支持,命令行接口(cli)配置,支持 telnet 远程配置,通 过 console 口配置,web 网管,snmp 管理,rm

17、on 管理, quidview 网管系统,支持系统日志,支持分级告警 是否支持全双工 支持 ieee 802.3x 流控(全双工),支持 back- pressure based flow control(背压式流控)(半双工) 认证标准 cispr 22 class a,fcc part 15 class a,en 55022 class a,ices -003 class a,vcci class a,as/nzs 3548 class a,en 61000-3-2,en 61000-3-3 mac 地址表 16k 其他性能 支持流量控制(flow control),支持端口镜像(port

18、 mirror),支持服务质量(qos),生成树协议支持,广播风暴控制, 802.1x 认证支持 其它参数 电源电压 ac:额定电压范围：100v240v a.c.，50/60hz,最大电压范围：90v264v a.c.，47/63hz,dc: 额定电压范围：-48 - -60v,最大电压范围：-36 - -72v 最大功率 130w 电源模块:psl130-ad(130w 系统输出电源模块)交流输入或者 直流输入 h3c secpath f1000-c-ac 防火墙功能： 可扩展高性能防火墙可扩展高性能防火墙 h3c secpath 防火墙/vpn 是业界功能最全面、扩展性最好的防火墙 /v

19、pn 产品，集成防火墙、vpn 和丰富的网络特性，为用户提供安全 防护、安全远程接入等功能。 h3c secpath f1000 系列防火墙包括 secpath f1000-c/secpath f1000-s/secpath f1000-a/secpath f1000-e 等四款产品，支持外 部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层 过滤等功能，能够有效的保证网络的安全；采用 aspf（application specific packet filter）应用状态检测技术， 可对连接状态过程和异常命令进行检测；提供多种智能分析和管理 手段，支持邮件告警，支持多种日志，提供网络

20、管理监控，协助网 络管理员完成网络的安全管理；支持多种 vpn 业务，如 l2tp vpn、gre vpn 、ipsec vpn、动态 vpn 等；支持 rip/ospf/bgp/路 由策略及策略路由；支持丰富的 qos 特性，提供流量监管、流量整 形及多种队列调度策略。 扩展性最强 基于 h3c 先进的 oaa 开放应用架构，secpath 防火墙 能灵活扩展病毒防范、网络流量监控和 ssl vpn 等硬件业务模块， 实现 2-7 层的全面安全。 强大的攻击防范能力 能防御 dos/ddos 攻击（如 cc、syn flood、dns query flood、syn flood、udp fl

21、ood 等） 、arp 欺骗 攻击、tcp 报文标志位不合法攻击、large icmp 报文攻击、地址 扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、 mac 绑定、内容过滤等先进功能。 增强型状态安全过滤 支持基础、扩展和基于接口的状态检测包过 滤技术；支持 h3c 特有 aspf 应用层报文过滤协议，支持对每一 个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协 议的状态监控。 丰富的 vpn 特性 集成 ipsec、l2tp、gre 和 ssl 等多种成熟 vpn 接入技术，保证移动用户、合作伙伴和分支机构安全、便捷 的接入。 应用层内容过滤 可以有效的识别网络中各种 p

22、2p 模式的应用，并 且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件 过滤，提供 smtp 邮件地址、标题、附件和内容过滤；支持网页 过滤，提供 http url 和内容过滤。 全面 nat 应用支持 提供多对一、多对多、静态网段、双向转换 、easy ip 和 dns 映射等 nat 应用方式；支持多种应用协议正确穿越 nat，提供 dns、ftp、h.323、nbt 等 nat alg 功能。 全面的认证服务 支持本地用户、radius、tacacs 等认证方式，支持基于 pki/ca 体系的数字证书（x.509 格式）认证功能。支持基于用 户身份的管理，实现不同身份的用户拥有

23、不同的命令执行权限， 并且支持用户视图分级，对于不同级别的用户赋予不同的管理 配置权限。 集中管理与审计 提供各种日志功能、流量统计和分析功能、各种事件监控和统 计功能、邮件告警功能 第第 4 章章 xx 公司网络管理设计公司网络管理设计 计算机网络管理系统是管理网络软件系统。计算机网络管 理，收集静态和动态运行信息网络的各个组成部分，在这种对 资料的基础上分析，并作出适当处理，以确保网络安全，可靠， 高效运行，从而一种网络资源的合理配置动态配置网络负载， 优化网络性能，降低网络维护成本。 一般来说，一个典型的网管理系统包括四个要素：管理员， 管理代理，管理信息数据库，代理服务设备。 1。管理

24、员。在网络管理实体实施的驻留在管理工作站。这是 整个网络系统，复杂的网络管理功能的核心。网络管理系统要 求定期管理公司重要的设备信息的收集，所收集的信息将被用 于识别个人的网络设备，网络的一部分或整个网络的正常运行。 2。管理代理。网络管理代理的网络设备居民（在这里，该设 备可以 unix 工作站，网络打印机，它可以在其他网络设备的 软件模块） ，它可以在本地设备的运行状态，设备的特点，系 统配置和其他相关的信息。网络管理代理的作用是：作为管理 体制和管理代理软件驻留，通过控制设备管理信息数据库 （mib）的设备之间的一个中介管理中的设备信息。 3。管理信息库。这是管理中的内存管理库中的对象是

25、一个数 据库，其中包括网络设备的配置信息的动态更新，数据通信的 统计信息，安全信息和设备的特定信息。这一信息被送往经理 形成一个动态的数据源网络管理系统。 4。代理设备和管理协议。代理设备在标准的网络管理软件， 不直接支持标准协议作为系统之间的桥梁。工程处设备的使用 而不用升级整个网络，可以实现从旧到新版本的过渡协议。对 于网络管理系统，但重要的是，管理员和管理代理之间的网络 管理协议 snmp 的使用，例如，他们的共同遵循的 mib 库。 网络管理协议是用来传递之间的管理员和管理代理操作命令， 并为管理员的操作命令负责解释。通过管理协议，允许管理信 息库的数据和特定设备的实际状况，经营范围一

26、致的作用。 网络系统的管理功能 标准化组织的 iso / iec 7498-4 文件定义了五个网络管理功能， 即配置管理，故障管理，性能管理，计费管理和安全管理。 故障管理：它的主要功能是故障检测，发现，报告，诊断和治 疗。由于错误可能导致系统故障或不能接受的网络性能退化， 也是标准的网络管理故障管理的元素，是最广泛的实施管理。 配置管理：它的主要功能包括：网络拓扑结构之间的关系，监 测和管理网络设备的配置，根据前重建的条件确定的网络，目 的是监测网络和系统配置信息，以便跟踪和管理不同软件和网 络操作，结果硬件模块。 绩效管理：监控网络的性能数据，阈值检查品种，并自动对当 前性能数据，历史数据

27、进行分析。我们的目标是测量和显示网 络的各个方面的特点，以便在可接受的水平人民为维护网络的 性能。 安全管理：主要是访问网络资源的管理。包括用户验证，权限， 审批和网络访问控制（防火墙）等功能。我们的目标是控制访 问网络资源，以确保网络不会受到侵犯（意识或无意识） ，并 确保未经授权的用户访问重要信息，与本地安全策略规定。 计费管理：主要是基于会计目的网络资源的使用。我们的目标 是衡量网络的利用率，使一个或一组用户按照一定的规则，使 用网络资源，这种规则可以减少网络的问题（因为网络资源得 到合理的根据其能力的大小分配） ，也可以访问网络上的所有 用户更公平。 其中 5 个都相互独立的基本功能，

28、而且有不可分割的联系。在 这些网络管理功能，故障管理是整个网络管理的核心，配置管 理是所有管理职能的基础上，其他管理职能需要配置管理信息 的使用，性能管理，安全管理，会计管理，相对上有更大的独 立性，特别是在会计管理，由于不同的申请单元有一个非常不 同的收费政策，收费应用程序开发环境也不同，因此，计费管 理应用，但总体上，在专业发展的实际情况为基础。 第第 5 章章 网络系统安全网络系统安全设计设计 由于网络的开放性和网络技术的发展，网络安全本身已经成为一个与时 间和技术相关动态的概念。针对传统安全模型的缺陷和不足，有关公司提出 了一个极具创意的，能够自我不断完善、不断发展、自我适应能力极强的

29、崭 新的网络安全模型-p2dr 安全模型，xx 公司这次网络系统安全的实施就准 备基于这个模型。 5.1 安全模型（安全模型（p2dr 模型）模型） p2dr 方案是一个超前的安全模型，它是在对国际上安全方面可靠的权 威著作进行多年研究的基础上独自发展出来的。它的指导思想比传统安全方 案有突破性提高。p2dr 模型如图所示： policy 策略、protection 防护、detection 检测和 response 响应组成的完 整模型体系，可以描述和解释任何信息安全问题。p2dr 安全模型的特点就是 动态性和基于时间的特性，可以说对信息安全的“相对性”给予了更好地描 述：虽然没有 100%

30、的安全，但是模型为进一步解决信息安全技术问题提供了 有益的方法和方向。 policy(安全策略)-安全策略是 p2dr 安全模型的核心，要想实施动态网 络安全模型，必须首先制定企业的安全策略，所有的防护、检测、响应都是 依据安全策略实施的，企业安全策略为安全管理提供管理方向和支持手段。 protection（保护）-保护通常是通过采用一些传统的静态安全技术及方 法来实现的，主要有防火墙、加密、认证等方法主要有防火墙、加密、认证等方法。通过防火墙监视限制进出 网络的数据包，可以防范外对内及内对外的非法访问，提高了网络的防护能 力，当然需要根据安全策略制定合理的防火墙策略；也可以利用 secure

31、id 这 种一次性口令的方法来增加系统的安全性等等。 detection（检测）-在 p2dr 模型，检测是非常重要的一个环节，检测 是动态响应的依据，它也是强制落实安全策略的有力工具，通过不断地检测 和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时作出有效 的响应。-检测主要包括检测主要包括“漏洞检测漏洞检测”和和“入侵检测入侵检测”两个部分两个部分。 response（响应）-紧急响应在安全系统中占有最重要得地位，是解决 安全潜在性最有效的办法。在检测到安全漏洞和安全事件之后必须及时做出 正确的响应，从而把系统调整到安全状态。从某种意义上讲，安全问题就是 要解决紧急响应和异常处理

32、问题。要解决好紧急响应问题，就要制订好紧急 响应的方案，做好紧急响应方案中的一切准备工作。 总之，一个信息安全方案必须对安全策略、安全防护、安全检测和安全响 应有准确和完整的描述。 值得强调的是，值得强调的是，p2dr安全模型已被正式收录进人民银行的安全蓝皮书：安全模型已被正式收录进人民银行的安全蓝皮书：国国 家金融信息系统安全家金融信息系统安全总体纲要总体纲要 - 1999.12 5.2 xx 公司网络系统总体安全体系公司网络系统总体安全体系 5.2.1 安全策略设计安全策略设计 1、安全策略描述原则、安全策略描述原则 由于数据传输的安全性关系到 xx 公司的服务质量和信誉保证，关系到 客户

33、的切身利益，因此在制定安全策略时，要加强对数据传输的限制，即 只有表示为允许的才可以进行传输这一原则来加强对网络安全的限制。 2、具体安全策略、具体安全策略 xx 公司安全策略应该包括：用户管理、职责划分、安全管理、安全评 估、安全监控、紧急响应、异常处理、授权操作、恢复策略以及跟踪审计 等 5.2.2 总体安全体系的规定总体安全体系的规定 网络系统的安全从体系结构上来看应该是一个多层次、多方面的结构。通 过对 xx 公司网络所面临的安全状况的分析，可将整个 xx 公司网络的安全性 在总体结构上划分为四个级别：网络级安全、应用级安全、系统级安全和企 业级安全。 网络级安全是指在网络的下三层(物

34、理层、链路层、网络层)采取各种安全 司 网 络 系 统 安 全 体 系 架 构 网络级安全系统级安全应用级安全企业级安全 安全管理制度审计病毒防范加密数字签名身份认证安全漏洞检测安全监控访问控制vlan 划分vpn数据包过滤 安全级别 安全手段 措施来保障整个 xx 公司网络的安全，包括数据包过滤、vpn 虚拟私有网、 vlan 的划分、访问控制、身份认证、数据包加密传输、安全审计、安全监控 和安全漏洞检测等 应用级安全是指通过利用 xx 公司网络中各大应用系统（如办公自动化系 统、财会清算系统、人力资源系统及三维等等）和大型关系型数据库自身的 安全机制，在应用层保证对 xx 公司网络中各种应

35、用系统的信息访问合法性； 系统级安全主要是通过对操作系统(unix、nt)的安全设置，防止利用操作 系统的安全漏洞对整个 xx 公司网络构成安全威胁； 企业级安全主要是从 xx 公司范围内的安全管理和计算机病毒防范两方面 来保障整个 xx 公司网络的安全。 此次网络改造我们主要对网络级安全加以设计。 5.3 xxxx 公司网络级安全设计公司网络级安全设计 可适应性网络安全由四个集成的方案组成。第一，端对端的网络安全要求 持续的、综合的安全评估，通过自动的基于网络的和基于主机的扫描技术实 现；第二，对安全弱点的响应通过已建立的安全策略中相关的安全漏洞来衡 量。更正动作很容易获得并迅速实现。另外，

36、基于网络和主机的实时入侵检 测提供对内部攻击、外部攻击和误操作的实时保护。最后，对安全威胁的网 络自动更正包括主动中断连接和网络设备的重新配置。 网络安全的程度必然是动态变化的，所以网络安全不可能是一个静态的结 果，需随着网络环境的变化，并综合各种可能的影响安全的因素来制订整个 网络的安全策略 对于系统安全设计，一定要充分考虑整个 xx 公司网络系统的实际需求和 网络现状，以 xx 公司网络与外部的连接作为安全设计的重点，可通过以下措 施来从网络物理层一直到应用层保证整个网络系统的安全使用。 5.3.1 局域网安全设计局域网安全设计 由于局域网中采用广播方式，因此，若在某个广播域中可以侦听到所有的 信息包，黑客就可以对信息包进行分析，那么本广播域的信息传递都会暴露 在黑客面前。 xx 公司局域网在空间分布上是城域范围的，局域网的安全必须认真考虑， 局域网安全主要有采取 vlan 划分以及利用安全软件对局域网进行扫描。 划分划分 vlan 虚拟网（vlan）技术主要基于近年发展的局域网交换技术（atm 和以太网 交换） 。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因 此，网管系统有能力限制局域网通讯的范围而无需