XX企业网络安全管理方案

1、摘要随着网络的逐步普及，企业网络的建设是企业向信息化发展的必然选择，企业网网络系统是一个非常庞大而复杂的系统，它不仅为现代化发展、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而企业网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，其主要包括局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全等。因此本毕业设计课题将主要以企业局域网络建设过程可能用到的技术及实施方案为设计方向，为企业网的建设提供理论依据和实践指导。关键字：局域网Internet计算机网络服

2、务器防火墙综合布线目录TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第一章企业网构建需求分析1 HYPERLINK l bookmark2 o Current Document （一）网络构建背景1 HYPERLINK l bookmark4 o Current Document （二）网络设计目标1 HYPERLINK l bookmark6 o Current Document （三）网络应用需求1 HYPERLINK l bookmark8 o Current Document （四）网络技术需求2（五）用户需求3（六）功能

3、需求4（七）网络安全需求4 HYPERLINK l bookmark12 o Current Document 第二章网络方案设计与实施4（一）网络设计原则4 HYPERLINK l bookmark14 o Current Document （二）主要技术路线5（三）网络通信平台设计6（1）网络拓扑结构设计6（2）IP规划与VLAN.7 HYPERLINK l bookmark16 o Current Document （3）主干网络（核心层）设计7（4）汇聚层设计8（5）接入层设计8（6）INTERNET的接入8（7）网络通信设备选型9 HYPERLINK l bookmark18 o C

4、urrent Document （四）网络资源平台设计11 HYPERLINK l bookmark20 o Current Document （1）主机系统设计原则11（2）系统软件平台设计13 HYPERLINK l bookmark22 o Current Document （3）服务器系统设计与配置14 HYPERLINK l bookmark24 o Current Document （4）办公自动化系统17（5）网络安全设计20 HYPERLINK l bookmark26 o Current Document 第三章综合布线设计23 HYPERLINK l bookmark28

5、o Current Document （一）综合布线系统概述23（二）设计依据24（三）布线系统选型25 HYPERLINK l bookmark30 o Current Document （四）系统设计26 HYPERLINK l bookmark32 o Current Document （1）布线总体原则26（2）天河网络分区及其信息点26（3）工作区子系统26 HYPERLINK l bookmark34 o Current Document （4）信息点产品型号的造型27 HYPERLINK l bookmark36 o Current Document （5）信息插座的设计27（6

6、）水平子系统27 HYPERLINK l bookmark38 o Current Document （7）管理间子系统28（8）垂直干线子系统29（9）设备间子系统30（10）建筑群子系统31（11）传输介质的选择32（12）在施工中注意事项32 HYPERLINK l bookmark40 o Current Document 第四章网络验收与维护32 HYPERLINK l bookmark42 o Current Document （一）工程现场验收测试32（二）现场验收内容32 HYPERLINK l bookmark44 o Current Document （三）测试内容33（四

7、）测试方式33 HYPERLINK l bookmark46 o Current Document （五）测试指标33 HYPERLINK l bookmark48 o Current Document （六）络系统的初步验收33（七）网络系统的试运行34（八）网络系统的最终验收34 HYPERLINK l bookmark50 o Current Document （九）交接和维护34 HYPERLINK l bookmark52 o Current Document 第五章整体报价35（一）网络设备报价表35（二）综合布线报价36（三）整体报价表36 HYPERLINK l bookmar

8、k54 o Current Document 第六部分：结束语36 HYPERLINK l bookmark56 o Current Document 参考文献38西安电子科技大学毕业设计西安电子科技大学毕业设计 须很强，选择1台或多台高性能服务器作为外部Internet服务器。外部网段服务器中的配置信息和数据在内部网段做备份，万一这些服务器受到攻击或故障，系统和数据能够快速恢复，不影响对外宣传。（7）网络通信设备选型本次网络工程建设共有近765个信息点，分布在宿舍楼区、科研楼、办公楼、仓库楼、生产楼。网络中心设在2号办公楼五层的中心机房，在此放置中心交换机，其余各楼采用二级交换机接入网络。各

9、个楼宇都将采用千兆光纤实现主干接入，整个网络采用三级网络结构，结构清晰合理。核心交换机选型策略核心网络骨干交换机是宽带网的核心，应具备：高性能，高速率。便于升级和扩展。高可靠性。强大的网络控制能力。良好的可管理性，支持通用网管协议。核心层是一个数据交换枢纽，提供高速、有效的数据交换。核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能、网络的各种应用应尽量少在核心层上实施。核心层一直被认为是流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层是一个路由域。通过在核心层配置动态路由协议，提供数据的路由和路由

10、的迂回。产品类企业级,三层,可网管型型交换机传输速10Mbps/100Mbps/1000M率产品类企业级,三层,可网管型型交换机传输速10Mbps/100Mbps/1000M率bps端口数24量交换方存储-转发式接口类10/100/1000BASE-T端型口,RJ45背板带32Gbps高速堆叠总线QuidwayS6506智能以太网交换机10Mbps/100Mbps/1000Mbps48存储-转发10/100/1000Base-t，1000Base-FX/SX1600Gbps3ComSwitch5500快速以太网交换机10Mbps/100Mbps/1000Mbps48存储-转发宽模块化4个模块化

11、插槽数7个模块化插槽数4个模块化插槽数插槽数网管功支持支持能根据核心交换机的高性能，高速率、高可靠性、便于升级和扩展、强大的网络控制能力，提供Qos和网络安全等机制，良好的可管理性，支持通用网管协议等要求，以及从本企业网构建的需求分析各方面来考虑，我们选华为QuidwayS6506交换机作为核心层的交换机。汇聚层交换机选型策略应具备下列要求。灵活性高性能在满足技术性能要求的基础上，最好价格便宜、使用方便。具备一定的网络服务质量和控制能力以及端到端的QoS。支持多级别网络管理。会聚层交换连接核心和接入层，汇聚交换机一般与中心交换机同类型，仍需要较高的性能和比较丰富的功能，但吞吐量较低。应当采用带

12、VLAN和网管功能的中档交换机。能很好的管理接入层用户；汇聚层交换机和核心层交换机最好个冗余链路，以便网络故障时，仍能保障网络正常通信。相对核心层而言，汇聚层既要分担路由、交换任务，又要兼顾区域内的安全管理控制。因此，其关键安全因素是交换传输能力、QOS（服务质量）和ACL（访问控制列表）。根据汇聚层交换机的性能需求及企业网络建设的实际需求，选择具有扩展槽，能使用多种可选模块的WS-C3560-24TS-S产品型号产品类型传输方式背板带宽包转发率接口类型产品型号产品类型传输方式背板带宽包转发率接口类型接口数目传输速率模块化插槽数企业级,三层,可网管型交换机,快速以太网交换机存储转发方式32Gb

13、ps6.5Mpps10/100BASE-TX端口,10/100Base-T端口，10/100/1000BASE-T端口，RJ4524口10M/100M/1000Mbps2VLAN支持支持网管功能支持，支持WEB网管，支持SNMP管理,CLI,管理软件接入层交换机选型策略接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整，如Access-listFiltering等。在园区网络环境中，接入层主要提供如下功能：带宽共享(SharedBandwidth)交换带宽(SwitchedBandwidth)MAC层过滤(MACLayerFiltering(possibly)微分

14、网段(Microsegmentation)根据接入层的技术要求，网络的实际需求以及与核心交换机会聚层交换机品牌一致，这样更便于兼容管理，在此选择CISCOWS-3550-24交换机为接入层交换机。CiscoCatalyst3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列，可以提供高水平的可用性、可扩展性、安全性和控制能力，从而提高网络的运行效率。接入层交换机的数量与配置名称描述CISCO10/100Mbps,24个端口，接口介质100Base-T，100Base-FX，可堆WS-3550-24叠，存储-转发交换方式，远程接入与访问设备选型策略远程接入与访问设备可以采用

15、路由器。在现今的网络连接中，一般采用同步口或以太口连接广域网，采用异步口连接远程拨号用户。路由器的首选品牌是Cisco。在这里我们选择CISCO1841路由器，产品外观如图：Cisco1841(模块化)路由器网络协议：TCP/IP；最大FlashN二弋7内存：128MB；最大DRAM内存：384MB；内置防火墙，固定的广域网接口可选，固定的局域网接口2个，其他端口USB、console，支持VPN、Qos，扩展模块5个。(四)网络资源平台设计主机系统设计原则服务器系统的设计目标是构造一个功能齐全、运行高效、使用灵活、维护方便、易于扩展、投资省、安全可靠的主机系统。综合在开放性、实用性、扩充性及

16、可用性应用上的要求，我们力求建立这样一个体系结构，使计算机系统能够在最大限度上满足业务系统不断增长和变化的业务需求，同时在最大限度保护现有投资的前提下不断利用迅速发展中的计算机技术和产品。本系统的设计目标是构造一个功能齐全、运行高效、使用灵活、维护方便、易于扩展、投资省、安全可靠的主机和服务器系统，为了达到这个目标，必须遵守以下几个设计原则。高可用性：系统的高可用性是企业信誉与成功的关键。高可用系统厂商，除了提供用户高可靠、高可用的硬件、软件产品和技术外，如内存重分页、进程资源管理、RAID技术等，还通过周密计划、安排和实施整套带冗余性的高可用计算机群集方案，保证系统的高可用性，使得互为热备份

17、的主机系统可以实现秒级切换。可扩充性:在发展迅速的信息领域，应用环境、系统的硬件或软件都会不断地加以更新，因此，系统的可扩充性以及前后兼容一致性好坏决定着企业的发展。本方案的设计，硬件/软件是建立在广泛的可升级基础上，另外，计算机群集技术(Cluster)及B/W/S体系结构使得我们可以灵活方便地构建和扩充新系统，以达成性能最佳的“数据集中，处理分布”的模式。先进性:我们在此方案中推荐的主机产品符合当代信息技术发展形势，既有先进技术又发展成熟，并且是各个领域公认的领先产品：高可用的企业群集解决方案；先进的智能化磁盘阵列；良好的技术支持服务；针对具体需求，经过充分的分析及了解之后提出了相应的方案

18、，并能获得最佳的性能价格比。开放性：各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。经济性及投资保护:性能价格比是我们在本方案中充分考虑的因素。而投资保护的思想正是我们推鉴开放式技术和产品的初衷。投资保护不仅仅是对设备产品等，更应该是对人和知识的保护。高可管理性:在B/W/S或C/S的环境中，高可管理性已成为系统能否成功的关键，能够提供全面的网络、系统、应用软件管理方案。高质量服务与支持:在服务上获得ISO9002质量认证标准的厂家。及时良好的售

19、后服务支持和顾问咨询，免去后顾之忧。（2）系统软件平台设计系统软件平台设计在这里主要讲的是网络操作系统、服务器操作系统和桌面操作系统的选择。目前局域网中主要存在以下几类网络操作系统有以下几类：Windows类Linux等！Windows类:对于这类操作系统相信用过电脑的人都不会陌生，这是全球最大的软件开发商一Microsoft（微软）公司开发的。微软公司的Windows系统不仅在个人操作系统中占有绝对优势，它在网络操作系统中也是具有非常强劲的力量。这类操作系统配置在整个局域网配置中是最常见的，但由于它对服务器的硬件要求较高，且稳定性能不是很高，所以微软的网络操作系统一般只是用在中低档服务器中，

20、高端服务器通常采用UNIX、LINUX或Solairs等非Windows操作系统。在局域网中，微软的网络操作系统主要有：WindowsNT4.0Serve、Windows2000Server/AdvanceServer，以及最新的Windows2003Server/AdvanceServer等，工作站系统可以采用任一Windows或非Windows操作系统，包括个人操作系统，如Windows9x/ME/XP等。在整个Windows网络操作系统中最为成功的还是要算了WindowsNT4.0这一套系统，它几乎成为中、小型企业局域网的标准操作系统，一则是它继承了Windows家族统一的界面，使用户学

21、习、使用起来更加容易。再则它的功能也的确比较强大，基本上能满足所有中、小型企业的各项网络求。虽然相比Windows2000/2003Server系统来说在功能上要逊色许多，但它对服务器的硬件配置要求要低许多，可以更大程度上满足许多中、小企业的PC服务器配置需求。Linux:这是一种新型的网络操作系统，它的最大的特点就是源代码开放，可以免费得到许多应用程序。目前也有中文版本的Linux，如REDHAT（红帽子），红旗Linux等。在国内得到了用户充分的肯定，主要体现在它的安全性和稳定性方面，它与Unix有许多类似之处。但目前这类操作系统目前使仍主要应用于中、高档服务器中。总的来说，对特定计算环境

22、的支持使得每一个操作系统都有适合于自己的工作场合，因此，根据现代化企业对计算机网络的需要，我们选择网络的服务器操作系统平台采用Windows2000Server产品可很方便的构建包括DNS服务器、电子邮件（E-mail）服务器、WWW服务器、FTP服务器等系统的建设。服务器系统设计与配置服务器软件主要是为网络用户提供各种类型的信息服务，主要有以下一些类型。电子邮件：提供企业网内用户的电子邮件收发服务。可以采用的邮件服务器有MicrosoftExchange以及SUNSolarisSMTPMail等。文件服务：负责存储管理全网的公用软件和网络标准的规范文件，并向下一级节点分发全网信息检索表和存储

23、信息资源。WWW服务：用于存储管理全网超文本信息，对不同部门的信息提供授权访问。可以采用的WWWServer有MicrosoftIIS(InternetInformationServer)、NetscapeWWWServer和APACHEWWWServer等。Client端则可用MSIE和NetscapeNavigator等。代理服务器：MicrosoftProxyServer。DNS服务：提供对企业网的域名服务。NEWS服务：负责存储、提供和管理电子新闻信息，为全网提供基于网络环境的电子论坛、新闻服务。BBS服务：允许网络用户提出问题，通过BBS获得或发布消息。数据库：在网络中心及其它主要网

24、络节点的数据库，用于信息存储、检索等服务。服务器是网络应用的载体与核心，其性能与价格均需考虑。不仅要求高性能，更要求运行稳定，有充分的冗余纠错性.综合各服务器厂商在开放性、实用性、扩充性及可用性应用等方面的特点，我们推荐采用HP公司的系列服务器产品，分别应用于各种应用系统的使用要求。HP公司丰富的产品线使计算机系统能够在最大限度上满足用户业务系统不断增长和变化的业务需求，同时在最大限度保护用户原有投资的前提下不断利用迅速发展中的计算机技术和产品。作为开放系统的倡导者，惠普公司的HP-UX操作系统功能丰富，性能可靠，完全遵从工业标准。服务器系统平台选择微软WINDOWS2000SERVER操作系

25、统的解决方案，提供域名服务、WWW服务、FTP服务、Email服务等。具有强大的网络功能和可二次开发性。数据库服务器:数据库服务器是整个网络的数据中心，主要服务于财务、库存和人事管理的数据库系统、OA办公自动化应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送，按应用系统的需求我们配置了一台HPProliantDL380G5(433525-AA1)，基本参数如下:ProliantDL380G5(433525-AA1)处理器/CPU类型/CPU频率标配1个XeonE5335处理器/XeonE5335/2000MHz支持CPU个数2个内存/最大2GB/32GB硬盘支持热

26、插拔光驱可选DVD、DVD/CD-RW组合光驱、DVD+R/RW软盘驱动器硬盘/阵列控制器SAS/SATA，256MBHP智能阵列P400控制器(RAID0/1/1+0/5)PCI扩充槽4个可选的PCIExpress插槽系统支持MicrosoftWindowsServer2000、MicrosoftWindowsserver2003、NovellNetWare、RedHatEnterpriseLinux、SUSELinuxEnterpriseServer、SCOUnixWare、OpenServer、VMware虚拟化软件、Solaris1032/64位外形设计机架式DNS/WWW服务器：我们

27、设计WWW服务器采用Windows2000AdvancedServer的Web服务器IIS5.0，该服务器具有很好的性能，支持根多的信息格式，并可以远程控制和维护。另外Windows2000AdvancedServer是一个很好的基于Web的应用开发平台，它支持大多数开发方式和开发语言包括HTML、ASP、XMI、JavaScript、VC、WAI等。利用Windows2000AdvancedServer的Web服务，可以开发出基于Web的各种应用。根据实际情况，DNS域名服务器可与WWW服务器放在一起。这里，我们配置了一台HPProLiantDL380G5(458567-AA1)，实现对DN

28、S、WEB、FTP等应用服务和对内网用户的域名和资源的管理。其基本参数如下:HPProLiantDL380G5(458567-AA1)处理器/CPU类型/CPU频率标配1个XeonE5420处理器/XeonE5420/2500MHz支持CPU个数2个内存/最大2GB/32GB硬盘支持8个热插拔光驱可选DVD光驱、DVD/CD-RWcombo光驱、DVD+R/RW光驱硬盘/阵列控制器8个纤小型(SFF)热插拔驱动器托架支持串仃SCSI(SAS)和串行ATA(SATA)驱动器/HP智能阵列P400/256MB控制器(RAID0/1/1+0/5)PCI扩充槽4个可选的PCIExpress插槽系统支持

29、MicrosoftWindowsServer2000;MicrosoftWindowsServer2003;NovellNetWare;RedHatEnterpriseLinux;SUSELinuxEnterpriseServer;SCOUnixWare,OpenServer;VMware虚拟化软件;Solaris1032/64位外形设计机架式E-Mail服务器:系统选择安装内置于WindowsServer2003产品家族之中的POP3和SMTP电子邮件服务组件。POP3服务实现了标准的POP3协议，用于邮件接收，在和SMTP服务成对使用时，还可以向外发送邮件。其优点在于：最终用户、应用程序以

30、及设备都可以使用POP3和SMTP服务存储邮件，或者向其它最终用户、应用程序和设备发送电子邮件，从而满足了用户基本的消息传递需要。允许用户在本地计算机上使用支持POP3协议的电子邮件客户端(例如，MicrosoftOutlook和OutlookExpress)访问邮件服务器并接收电子邮件。Mail服务器选用HPProLiantDL380G5(458567-AA1)服务器，提升邮件系统的性能，提升服务质量。（4）办公自动化系统经过几年来的不断升级以及大用户群长期使用的考验，THOA技术成熟、运行稳定，目前已经在多所高校、政府办公部门以及企事业单位推广使用，得到广泛好评。一、系统特点:集C/S、B

31、/S为一体的解决方案、丰富实用的系统功能友好简洁的操作界面方便灵活的系统配置高效稳定的运行环境高度安全的体系结构二、系统功能：个人办公子系统以WWW方式或客户端方式提供电子邮件、待办事宜、名片管理、日程安排等功能。1、电子邮件每位办公人员拥有一个电子邮箱，可以在办公用户之间互相发送电子邮件，可以和Internet互通电子邮件；可以进行电子邮件回复、转发、打印；可以提供个人邮件的管理功能；可以对邮件正文进行全文检索；可以定时查询新邮件，并进行声音与视觉提示；可以添加和拆离附件。2、待办事宜待办事宜可以作为用户的工作备忘录，也可用于上下级之间布置工作和传达指令。系统可以对任务进行优先级设置，并对其

32、所处状态及完成情况进行分类管理。3、名片管理用于建立个人的名片及通讯录。4、日程安排个人日程可以以日历的形式记录用户的日常办公活动，并利用系统的自动提醒功能对用户进行提示。三、公文子系统包括以下功能：配置公文审批流程公文（或工作报告）的拟稿公文审批流转在审批处理中完成审稿、会签、核稿、签发整个过程。处理方式可以使用已经配置的发文审批流程，也可以使用按需要随时指定下一审批人的方式。公文归档根据用户在系统中权限的不同，用户可以看到不同的范围的公文归档记录。流程监控公文管理员可以对正在流转的公文进行监控、催办。THOA的公文流转审批功能具有以下特点：适应性强：该工作流系统既可以满足固定的业务流程，又

33、可以满足无法预知的业务流程，灵活可靠。应用面广：除可以进行公文处理外，该工作流系统可以扩展到其他日常的办公事务处理流程，如请示报告、出差审批等等。方便实用：系统提供了自动提醒待办理业务、自动整理已办理业务的功能，整个操作过程富有交互性，充分体现了以人为本、方便实用的设计思想。公文管理（可选模块）该模块为半自动公文运转，可以完成公文登记、签批意见录入、督办记录、公文检索等功能。四、信息发布信息发布的内容非常广泛，包括学校办公部门公布的各种办公文件、通知公告、校办信息、规章制度等。系统既可用于发布单位的公共信息（所有用户都能阅读），也可用于发布需要进行阅读权限控制的信息。系统管理员可以对信息发布的

34、栏目分组、栏目、各栏目维护及阅读权限进行灵活配置，因此该子系统具有很好的可扩展性。系统为信息发布人员提供了具有张贴、编辑、删除功能的远程信息维护界面，维护工作在LotusNotes集成环境中进行。张贴的信息可以在Notes平台中阅读，也可以通过普通的WWW浏览器阅读。标准配置提供以下四各模块：通知公告、两办信息、规章制度、综合信息五、其他事务管理子系统（1）会议管理会议通知授权用户可以起草会议通知，并向与会人员发出通知；或者先报领导审批，批准之后再向与会人员发出通知。会议文件的准备可以在系统中收集或传送有关会议文件。会议纪要授权用户在会议结束之后可以起草会议纪要，报领导审批之后形成正式会议纪要

35、公布。纪要归档对于正式会议纪要可以进行归档，以便检索。会议室资源可以查询会议室资源，对会议室进行预订。（2）员工考勤进行员工考勤管理六、网上论坛网上论坛是一个通用BBS,可以为办公人员提供B/S方式的工作讨论环境，其用户与办公系统统一管理。非办公系统用户可以在线注册。每个用户都可以在工作讨论区中进行张贴、答复等项操作。讨论版以及讨论栏目可由管理员根据需要灵活设置，可以授权版主进行论坛栏目的管理和维护。七、系统管理THOA通过大量程序开发在LotusDomino原有管理机制的基础上实现了一个功能集成、操作简便的系统管理平台。该功能是为系统管理员专门提供的，可以完成运行维护、用户授权、系统配置等项

36、工作。此项功能大大降低了系统管理的复杂程度，提高了管理员的工作效率。授权管理：系统提供用户权限设置情况的一览表，按用户列出权限设置，一目了然。系统管理员可以根据工作需要进行权限设置，系统提供了直观的授权界面，授权过程不需要编写程序，不需要对系统设计进行改动，设置立即生效。例如信息发布，指定的管理部门可以规定谁可以阅读这类信息，谁不能阅读这类信息，谁能进行信息维护等。系统配置：信息发布的栏目可以根据工作内容而定，栏目的增加、修改、撤销等工作都可以由系统管理员完成。信息发布的格式也可以自由定制。(5)网络安全设计企业网内的用户数量较大，局域网络数目较多，经过分析可以总结出天空电子企业网面临着如下的

37、安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对企业网存在非法访问或恶意入侵的威胁；来自企业网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入企业内网。内部职工可能由于使用盗版介质将病毒带入内网；内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入企业内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；可能会因为企业网内管理人员以及全体职工的安全意识不强、管理制度不健全，带来企业网的威胁；上述分析的几点是当今企业网普遍面临

38、的安全隐患。企业网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了网络面临的隐患也相应加剧。那么就及上述分析我们应从物理、系统、网络、应用及管理五个层设计适合于天河科技网络的安全方案。物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93电子计算机机房设计规范、GB2887-89计算机站场地安全要求及GB2887-89计算机站场地技术条件的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。系统安全系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造

39、成的威胁。解决的技术手段主要有以下几种：采用主机加固手段加固主机，如升级、及时打补丁、关闭不需要的端口和服务等；对系统重要文件进行及时备份、加密来保障系统文件的安全；及时更新杀毒软件，定时扫描漏洞保障系统安全；严格控制权限加强对主机的访问控制；使用强密码帐号保障系统帐号的安全；日志分析，及时发现异常；网络层安全网络中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的安全域。安全域之间的连接处叫网络边界。下面主要几方面的网络层安全防护：划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子

40、网及VLAN的方法加以访问控制。加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如内网、外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统(IDS)，可有效地防止来自网络内外的攻击。定期的网络安全性检测实现持续安全。利用漏洞扫描器(Scanner),定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。建立网络防病毒系统。在企业网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。应用层安全应用层的安

41、全措施主要有以下几点：加载邮件过滤系统，过滤垃圾邮件；各应用系统自身的加固；建立身份认证系统，对各用户进行严格身份认证；建立安全审计系统，进行安全审计；建立备份系统，及时备份重要文件；管理层安全实现管理层的安全主要注意以下几点：建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。建立、健全安全管理体制。内网用户较多，一定要建立一套合理可行的安全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。机房重地要重点保护，闲人不得随意进入。提高全员的安全意识适当进行安全培训。安全产品（防火墙）的选型在连接到Internet上的出口处，我们选用了思科ASA5520-BUN-K9

42、防火墙来有效的保护内部网络的安全。这是企业级防火墙，它提供了专用硬件平台。思科ASA5520-BUN-K9基本参数产品型号ASA5520-BUN-K9产品类型企业级，硬件,VPN防火墙最大吞吐量450Mbps安全过滤带宽225Mbps外形尺寸/重量362X200.4X44.5mm/9.07Kg思科ASA5520-BUN-K9硬件参数硬件参数RAM:512MB,FLASH:64MB固定接口4个千兆以太网端口,1个快速以太网端口,1个SSM扩展插槽,2个USB2.扩展插槽1个SSC扩展插槽思科ASA5520-BUN-K9网络与软件网络管理思科安全官理器（CS-Manager）,Web.用户数限制无

43、用户数限制用户并发连接数280000并发连接数VPN支持认证标准3DES/AES许可证,UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS001.功能特点高性能防火墙、IPS、以及IPSec和SSLVPN和IPSecVPN（750个设备对）软件,支持防垃圾邮件、URL阻拦和过滤,以及防网络钓鱼.思科ASA5520-BUN-K9其它参数电源电压100-240VAC,50/60Hz最大功率额定：150W，最大：190WW其它主用/主用和主用/备用高可用性控制端口：console,2个RJ-45考虑到企业对外要提供的公共服务如WWW、FTP和DNS

44、的服务，可以把这些服务放在公共的DMZ区。另外，考虑到内部的众多服务器的安全，也今后也可以考虑放置适当的防火墙来防止内部黑客的入侵。第三章综合布线设计（一）综合布线系统概述结构化综合布线系统是整个网络的物理连接基础，属于基础设施建设。结构化综合布线系统根据各节点的地理分布情况、网络配置情况和通信要求，安装适当的布线介质和连接设备，使网络的连接维护和管理变得简单易行。布线系统是建筑物或建筑群内的传输网络。根据EIA/TIA568标准，建筑物综合布线系统分为六个子系统：工作区子系统、水平干线子系统、管理间子系统、垂直干线子系统、设备间子系统、建筑群子系统。工作区子系统由终端设备连接到信息插座的连线

45、组成，它包括信息插座、信息模块、网卡和连接所需的跳线。并在终端设备和I/O之间搭桥。水平子系统将干线子系统线路从管理子系统的配线架上连接的线缆延伸到用户工作区（信息插座），水平子系统与干线的区别是：水平布线系统处于同一楼层，它从用户工作区信息插座开始，在与卫星接线间管理子系统交连处端接，提供同层各办公室的连接和管理。管理子系统由交连、互联和I/O组成。管理点为连接其它子系统提供连接手段，交连和互连允许将通信线路定位或重定位到建筑物的不同部分，以便能更容易地管理网络的通信线路。在使用跨接线或插入线时，交叉连接允许将端接在单元一端的线缆上的通信线路连接到端接在单元另一端的线路。主干子系统（垂直干线

46、子系统）：实现计算机设备、程控交换机和各管理子系统间的连接，是建筑物内网络系统的中枢，由它将各楼或楼层的水平子系统联系起来。设备间子系统提供主干与网络连接的硬件环境与接口，由设备间中的线缆、连接器和相关支撑硬件组成，它把公共系统设备的各种一同设备互连起来。建筑群子系统（楼宇管理子系统）：连接建筑物之间的子系统。包括支持楼群之间通信的传输介质及各种支持设备，如电缆、光缆及电气保护设备。综合布线部分系统图如下：EIA/TIA568工业标准及国际商务建筑布线标准ISO/IECJTC1/SC25/VVG3ANSIFDDI/CDDIIEEE802.310-Base-TIEEE802.5TokenRing

47、CCITTISDN与ATM标准2）设计规范中国建筑电气设计规范工业企业通讯设计规范Nexans结构化综合布线系统设计规范3）布线系统性能实用性：布线系统要能够充分适应现代和未来技术发展，实现高速数据通信、高显像度图片传输，支持各种网络设备、通讯协议和包括管理信息系统、多媒体系统在内的广泛应用。先进性：布线系统作为基础设施，要采用先进技术，着眼于未来，保证系统具有一定的超前性，使布线系统能够支持未来的网络技术和应用。灵活性：布线系统对其服务的设备有一定的独立性，能够满足多种应用的要求，每个信息点可以联接不同的设备，如数据终端、个人计算机、工作站、打印机、多媒体计算机和主机等。布线系统可以连接成包

48、括星型、环型、总线型等各种不同的拓扑结构。模块化：布线系统中除去固定于建筑物内的水平线缆外，其余所有的设备都应当是可任意更换插拔的标准组件，以方便使用、管理和扩充。扩充性：布线系统应当是可扩充的，以便于系统需要发展时，可以有充分的余地将设备扩展进去。标准性：布线系统要采用和支持各种相关技术的国际标准、国家标准及工业标准，这样可以使得作为基础设施的布线系统不仅能支持现在的各种应用，还能适应未来的技术发展（三）布线系统选型现在通用的布线系统所采用的线缆种类很多，包括光纤、同轴电缆和双绞线等。光纤的主要特点是容量大，速率高，抗干扰性好，但价格较贵，适合于只需少量使用的主干缆使用。同轴电缆是八十年代以

49、来局域网使用最多的线缆，适合总线型的连接，具有较高的数据传输率。双绞线最初只用于低带宽的模拟信号传输，现在由于技术和工艺的飞速发展，它能支持很高数据传输率的数字信号和模拟信号。双绞线的速率已达到1000M。双绞线还具有价格便宜，安装容易等特点。从容量、可靠性、数据类型和环境范围等多方面综合考虑，布线系统采用双绞线作为园区主干以外的布线介质。结构化布线系统作为支持各种网络通信及应用的基础布线系统，应能满足上面提到的各种性能需求。随着现代化通信需求的不断发展、对布线系统的要求越来越高的情况下，应从整体角度来考虑一种标准布线系统。设计选择耐克森的结构化布线系统。它使用高品质标准材料，采用组合压接方式

50、，因此使用其元件很容易组合一套完整的配线系统（不需要长期的专业人员维护）。同时采用高质量双绞线和光纤可以同时传送话音、高速数据、高显像度图片并符合ISDN标准。耐克森PDS由六个独立的子系统组合而成，可依照各种通信需求，做整体系统设计。它提供了一整套完整、新型的数位配线系统概念，符合未来办公室高速网络系统的要求，系统技术具有超前性，符合未来通信革新的要求。耐克森PDS采用一整套的高品质、多元性器件。具有广泛的适用性，能适应通信技术的发展及办公环境的变更，在经济上非常合理。（四）系统设计（1）布线总体原则天空电子有限公司网络工程结构化综合布线工程涉及的建筑物包括天河科技园内的办公区、生产区和宿舍

51、区的各栋楼宇。工程结构化布线系统园区主干设计采用星型拓扑结构，以网络中心为中心节点，中心节点与二级节点间以8芯单、多模光纤连接,支持1000M/100M的传输速率。二级到三级节点采用8芯单模光缆，支持1000M/100M的传输速率。从三级节点配线间到数据终端采用超5类双绞线，支持100M的传输速率到桌面。兼顾考虑房间布局、容错等因素。根据实际情况，可以将信息口配置成独占或共享的10M/100M以太网口。配线管理使用快接式配线架，跳线与工作区跳线一致，便于互换及管理。布线系统可支持ATM、1000M、快速以太网等多种高速网络技术。2）天河网络分区及其信息点以上信息插座，配线电缆为2条4对双绞线电

52、缆，干线电缆至少有2对双绞线。系统示意图如下图：一、设计时工作区内线槽要布置合理美观要注意下列问题：示意图如下图：一、设计时工作区内线槽要布置合理美观要注意下列问题：信息插座与电源插座设计在距离地面30cm以上，信息插座与电源插座应保持20cm的距离；信息插座与计算机设备的距离保持在5m范围内；插座和插头(与双绞线)不要接错线头信息点数量的确定：根据PDS设计规范我们考虑：办公区每标准开间设置二个单孔信息出口，可用于部计算机和一部电话或同时用于计算机或同时用于电话。这种信息点密度的配置情况，满足了大楼在今后10年内的使用要求，不致很快以进行大的系统改造。(4)信息点产品型号的造型信息插座采用L

53、UCENT的单孔模块插座MPS100B(CAT.5),该插座具有性能高、尺寸小、拆装简便等特点，其输入、输出线的线规均符合HEIA/TIA568B标准。信息点的引0出由RJ45信息插头完成，在MPS100BH插座内既可以插入数据通讯用的RJ45接头又可以插入音频信号用的RJ11接头。因此通过MPS100BH插座既可以引出电话也可以连接数据终端及其他传感器和弱电设备。起，明座模信息插座的设计起，明座模采用耐克森系列超五类信息插座模块，与信息盒一式安装在指定位置。安装距地面30CM。水平电缆在信息插块的打接方式采用568A标准打接，如图示：水平子系统水平布线系统是指从每个楼层竖井位置到各房间信息点

54、链路的连接。将干线子系统线路延伸到用户工作区。该系统是从各个子配线间出发连向各个工作区的信息插座。系统示意图如下水平布线子系统一、水平线缆的选择水平布线子系统本系统将采用超五类非屏蔽双绞线来实现，此方案最大的优点就是节省投资。而选用非屏蔽双绞线主要考虑到楼内电磁干扰源少，且上网用户的安全等级不是太高，用户可为此省去一笔不必要的花费，实现最高的性能价格比。二、水平区段路由布线方式采用先走吊顶内线槽，再走支管到信息出口的方式：由弱点竖井处罚的线缆先进入吊顶中的线槽，到达各个房间后再分出支管到房间内的吊顶，贴墙而下到信息插座处。在设计安装线槽时，应尽量将线槽置于走廊的吊顶内，支管应尽量集中，以便于维

55、护。在楼道内水平主干部分采用60 x30的PVC线槽，从楼道主干到房间信息插座采用20 x10的小线槽。旧建筑楼宇道内布线在有吊顶时，吊顶内敷设线槽布线；没有吊顶的在楼道内两边分开沿梁下敷设。从楼道进到房间后沿墙角下到地角线敷设到信息插座。（7）管理间子系统管理间子系统为连接其他子系统提供了手段，它是连接垂直干线子系统和水平干线子系统的子系统，主要由机柜、配线架、集线器、交换机和UPS电源等组成。当需要多个配线间时，可以指定一个主配线间，其他配线间为从配线间。一般来讲，要在每个配线间机柜内放置相应的网络设备。系统示意图如下：管理子系统管理字系统设计时要注意如下要点：管理子系统管理字系统（1）配

56、线架的配线对数可由管理的信息点数决定。（2）利用配线架的跳线功能，可使布线系统实现灵活、多功能的能力。（3）配线架一般由光纤配线盒和双绞线配线架组成，双绞线和光纤是目前最常用的两种传输介质。（4）管理间子系统应有足够的空间放置配线架和网络设备（集线器、交换机等）。（5）有集线器及交换器的地方要配有专用稳压电源。（6）保持一定的温度和湿度，保养好设备。管理间管理方式：管理子系统的设计为水平双绞线缆管理以及部分楼宇的垂直双绞线的管理。双绞线缆管理的设计主要采用Nexans快接式数据配线架，根据具体情况每座楼或每层楼或几层楼设计一个配线管理间。这使得NexansPDS管理间跳线简单方便，在不太复杂的

57、情况下甚至可以由用户在管理间进行跳线，而不必使用专门的工具或训练有素的技术人员。配线架操作简便，将其固定在机架上或者机柜中，以保护设备。管理间所采用的跳线采用RJ45头和超五类电缆制作而成。管理跳线的打接按照568A进行打接。管理间到其他分配线间级联采用两种方式打接，一头采用568A标准另外一头就需要采用568B标准打接。配线管理对于管理间进出的每一条路由，都采用表格对应的方式加以记录，并且在每个配线架相应端口上面标明应有的信息。所有信息记录作为施工文档存档以便于日后维护。（8）垂直干线子系统垂直干线子系统也称骨干子系统，它提供建筑物的干线电缆，负责连接管理间子系统到设备间子系统的子系统。系统

58、示意图如下：设计时要注意下列问题：曾子系统2垂直干线子系统（1）垂直干线子系统一般选用光缆以提高传输速率。曾子系统2垂直干线子系统（2）光缆可选用多模的（室内短距离的）光纤，也可以是单模的（室外远距离）光纤。（3）垂直干线光缆的拐弯处，不要直角拐弯，应有相当的弧度，以防光缆受损。4）垂直干线要防遭破坏（如埋在路面下，挖路、修路对电缆造成危害），架空电缆要防止雷击。（5）确定每层楼的干线要求和防雷击的设施。（6满足整幢大楼干线要求和防雷击的设施。垂直干缆路由设计：电缆井方法：在每层楼板上开出一个方孔，电缆可通过这些方孔延伸到相邻楼层。垂直干缆的选型：实现计算机设备，主配线间与各管理子系统间的连接

59、，介质采用大对数双绞线电缆、光缆。常采用1010型、1061型大对数铜缆中62.5125多模光纤来实现这种连接。1010型大对数电缆属于第三类的传输介质，它被用作电话及广播信号等低速率的主干传输线缆。1061型大对数电缆属于超五类的传输介质，被用作电脑、视频图像等用的主干传输线缆。（9）设备间子系统设备间子系统也称设备子系统。设备间是集中安装大型通信设备、主配线架和进出线设备并进行综合布线系统管理维护的场所，它由电缆、连接器和相关支撑硬件组成。它把各种公共系统设备的多种不同设备互连起来，其中包括邮电部门的光缆、同设备间子丟统设备间子丢统轴电缆、程控交换机等系统示意图如下：设备间子丟统设备间子丢

60、统设计时注意要点为：（1）设备间要有足够的空间保障设备的存放。（2）设备间要有良好的工作环境（温度湿度）。（3）设备间的建设标准应按机房建设标准设计。在实际实施时，设备间通常和主配线间合并在一起。设备间的位置及环境设计：设备间指网络中心机房园内的二级节点的分设备间。通讯网络系统的网络互连设备一般放置在设备间。主设备间设在网络中心，是整个企业网的中心，它是一个可安放由许多用户共用的通信装置的空间。它包括网络接口、电话局电缆和用户建筑物布线系统交会点。通讯网络系统的干线网络互连设备放置在此。其它各楼的设备间待具体考察后确定。主设备间对环境有较高要求。主设备间内需建立一个照明良好、经过仔细调节、安全