提升企业网络稳定和安全

1、提升企业网络稳定和安全稳定性网络结构通常分核心层、汇聚层和接入层。在网络中采用层次化的网络设计 结构，解决不同级别的可靠性要求。、核心层交换机、汇聚交换机、接入交换机1）、核心层交换机核心层设备作为网络的骨干，需要能提供快速的数据交换和极高的永续 性。从备份和负载分担的角度选用双核心；从单台设备考虑，选用交换性能 和可靠性高的设备，支持双主控、电源冗余、风扇冗余、分布式转发等特性。 并降低核心设备配置的复杂度，减少出现错误的几率。2）、汇聚交换机2.1汇聚层应使用与核心层相同结构的冗余节点备份连接，以实现最快速的路由收敛并避免黑洞产生。2.2汇聚层到核心层间采用OSPF等动态路由协议进行路由层

2、面高可用保 障。2.3汇聚层到核心层具有全冗余链路和转发路径。2.4连接方法如下图。汇聚层与核心层的拓扑3）接入层交换机3.1使用冗余引擎和冗余电源获得系统级冗余，为关键用户群提供高可靠性；3.2与具备冗余系统的汇聚层进行双归属连接，获得缺省网关冗余，支持在汇 聚层的主备交换机间快速实现故障切换；3.3通过链路汇聚提高带宽利用率，同时降低复杂性；3.4通过配置802.1X，动态ARP检查及IP源地址保护等功能增加安全性，有 效防止非法访问。3.5采用三角形组网方式。接入交换机与汇聚交换机之间有冗余链路、冗余路 径。VLAN可以跨汇聚层交换机，服务器部署灵活。如下图高可靠性接入组网方式4）、IR

3、F虚拟化技术提高可靠性采用IRF设计时的网络高可靠性切换方式。服务器流量经过网络接入层和 汇聚层的IRF堆叠组。当接入层的一台交换机出现故障，服务器网卡进行切换， 通过IRF另一台交换机即可恢复网络通信，而汇聚层设备无需任何变化，数据流 仍从同一聚合链路进入网络。当汇聚层设备出现单台故障，服务器不感知，只由 接入交换机将流量转发到聚合链路，汇聚层存活的交换机感知的仍是从现有聚合 链路接收数据流。当发生捆绑链路故障，交换机会将数据流转发到捆绑组存活链 路上，对于IRF交换机组来说，数据流转的逻辑接口并未改变。IRF的实施可以提供更高的网络可靠性，进一步简化网络管理。IRF组网的HA部署安全性网络

4、安全：计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到 破坏、更改、显露，系统能连续正常运行。因此，所谓网络安全就是指基于网络的互联互通 和运作而涉及的物理线路和连接的安全，网络系统的安全，操作系统的安全，应用服务的安 全和人员管理的安全等几个方面。但总的说来，计算机网络的安全性是由数据的安全性、通 信的安全性和管理人员的安全意识三部分组成。一、产生网络安全的问题的几个因素1、信息网络安全技术的发展滞后于信息网络技术2、操作系统及IT业务系统本身的安全性，来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件3、来自内部网用户的安全威胁以及

5、物理环境安全威胁4、缺乏有效的手段监视、评估网络系统的安全性5、使用者缺乏安全意识，许多应用服务系统在访问控制及安全通信方面考虑较少，并 且如果系统设置错误，很容易造成损失。二、网络安全的几点做法和管理方法1、硬件安全网络安全的防护中，硬件安全是最基础的也是最简单的。定时检查网络安全以防链路的 老化，人为破坏，被动物咬断。及时修复网络设备自身故障。常见的硬件安全保障措施主要 有使用UPS电源，以确保网络能够以持续的电压运行；防雷、防水、防火、防盗、防电磁 干扰及对存储媒体的安全防护。2、系统安全网络设备应使用大小写字母和数字以及特殊符号混合的密码，且安装防病毒软件并及时 对系统补丁进行更新，对

6、于不必要的服务及权限尽可能的关闭，对于外来的存储介质一定要 先进行病毒查杀后再使用，对于已中病毒或者木马的计算机应该迅速切断网络并进行病毒查 杀，必要时重新安装操作系统。3、防御系统及备份恢复系统防火墙是网络安全领域首要的、基础的设备，它对维护内部网络的安全起着重要的作 用。利用防火墙可以有效地划分网络不同安全级别区域间的边界，并在边界上对不同区域间 的访问实施访问控制、身份鉴别和审计等安全功能。入侵检测是防火墙的合理补充，能帮助 系统对付网络攻击，提高了信息安全基础结构的完整性。入侵检测系统（IPS）是一种主动 保护网络资源的网络安全系统，它从计算机网络中的关键点收集信息，并进行分析，查看网

7、 络中是否有违反安全策略的行为和受到攻击的迹象。建立网络监控和恢复系统能够在系统受 到攻击时具备继续完成既定任务的能力，可及时发现入侵行为并做出快速、准确的响应，预 防同类事件的再发生。在灾难发生后，使用完善的备份机制确保内容的可恢复性，将损失降 至最低。4、安全审计与系统运维安全审计平台及运维系统是弥补防火墙及IPS不能监控网络内容和已经授权的正常内 部网络访问行为，对正常网络访问行为导致的信息泄密事件、网络资源滥用行为（即时通讯、 论坛、在线视频、P2P下载、网络游戏等）无能为力的补充，它可以实时了解网内各客户机 及服务器出现的情况，存在的异常进程及硬件的改变，系统漏洞补丁的修复情况等等，

8、从而 达到起到实时提醒，安全使用计算机。5、人员管理与制度安全加强计算机人员安全防范意识，提高人员的安全素质以及健全的规章制度和有效、易 于操作的网络安全管理平台是做好网络安全工作的重要条件。行业部分员工缺乏互联网安全 意识，对不明来源的软件、网页和邮件等缺乏警惕意识，这些都给网络安全带来了危机。人 是信息系统的操作者与管理者，而人又极易受到外部环境的影响，可能因为操作失误等原因 造成安全威胁。为此，“防外”应先“安内”即对行业内部涉密人员加强管理。在人员发生 工作调动、提升、免职、退休等时，要做好涉密信息及操作权限的交接工作，加强涉密人员 的思想教育和安全业务培训。目前，网络技术飞速发展，企

9、业要不断加强对企业网络管理员 和系统管理员的培训，引领他们顺应新形势，学习新技术，提高自身技能。6、无线网络安全无线应用已经深入到企业当中，除了日常办公之外，很多应用也正依赖于无线技术， 比如访客服务，会议室，工厂车间，智能仓库、MES系统等等。无线网络划分为企业内部无线网、访客无线网络：企业内部无线网络供公司员工使用。访客无线网络供外来人员使用，比如供应商、客户等。并且对访客无线网络进行物 理隔离。企业无线管理方法：6.1精细化角色识别与授权管理针对各个部门不同角色对象，对用户进行多级的角色授权，根据不同角色分配不同 的访问和流控策略。6.2危险应用和URL的识别和管控员工和访客通过无线访问

10、网络，有可能会出现反问非法网络的情况，给公司带来安全 风险。针对于此信锐无线控制器内置全国最大的应用识别库和URL库，能自动识别危险应 用和URL，我们可针对这些危险应用和URL进行封堵和控制，从而提高公司网络的安全性。6.3动态黑名单无线控制器NAC会实时监控无线网络安全情况，如果网络中出现攻击终端，无线控制 器会将其自动列入动态黑名单，在一段时间内禁止其接入。一段时间后检测如果该终端还存 在攻击，则继续列入黑名单。如果恢复正常则允许其接入。6.4安全、便捷的二维码访客认证系统外来访客来到我公司接入网络后，无线设备自动向访客的终端推送浙江华朔科技股份公 司的页面，页面中包含一个二维码，这个二维码中包含了访客终端的MAC信息。被授予接 待权限的内部员工（行政部和领导）用自己已经接入内网