网络安全规划与设计(精选8篇)

网络安全规划与设计篇1

检测机构网络应用更注重于数据来源的可靠性，结论的科学性和准确性，信息的公正性和权威性。通常检测机构的信息应用需求可分为两类：

1、应用系统需求

检测机构为满足日益增长和全方位的应用需求，一般都需拥有实验室管理系统（LIMS）、办公自动化系统（OA）、客户管理系统（CRM）、企业资源管理计划（ERP）、园区公共管理系统等实现内部实验室、行政办公和客户资源等信息的管理；需拥有邮件系统进行信息收发与交互；需拥有门户网站提供机构技术能力与自身文化的展示平台。

2、应用服务需求

检测机构自身对应用相关的服务也提出了需求，如需满足庞大的网络打印管理、内网互联需求和客户联网需求等，但这些服务需求的满足必须建立在确保数据安全的基础上。

二、检测机构网络安全架构方法及原则

据调研，检测机构往往热衷于引进各类成熟的应用系统来满足日益增长的应用需求，网络安全系统建设也依赖于成熟的商业模型。这样将导致3种局面：一是，系统实际功能与机构的应用需求不匹配，需改进和完善；二是，机构的应用需求不断变化，导致系统功能无法匹配而不断淘汰更新；三是，采用成熟的商业模型，容易遭黑客攻击，系统生命期短，需不断升级换代，造成人财物资源的浪费。因此，我们认为比较可行的方案：一是，从机构的实际应用出发，根据对应用的需求分析和远景展望，统一规划架构；二是，根据实际应用的阶段性需求，以统一规划的架构模型为基础，结合现阶段稳定实用的技术，制订阶段性构建目标和方案，分阶段实施；三是，紧随技术发展潮流，适度调整，合理选择产品，以节约建设投资，达到良好建设效果。可概括为“统一规划，分步实施”。这样既有长远而整体的规划来保证网络安全构架的清晰有序，又可因为分阶段实施，在具体建设过程中采用新的技术手段和产品，使网络系统建设真正实现“适时而建，建则不费”。根据网络安全技术标准的要求，我们应从操作系统层面、用户层面、应用层面、网络层面、数据链路的安全层面考虑，结合局域网环境，边界、用户环境和网络等方面安全要求，规划构架。经调研发现，检测机构经多年发展，其网络建设工作基本是对原有系统的改造。在此，我们取长补短，以构建高性能、高安全、高稳定性和高数据传输质量符合相关法规标准的网络架构为目标，提出以下建网原则：誗统一规划，分段实施；誗高速的网络链接；誗信息结构多样化；誗良好的可扩充性；誗安全质量可靠；誗操作方面，易于管理；誗性价比高；誗符合全国信息安全委员会提出的技术标准。

三、构建符合检测机构需求的网络安全架构

基于以上可知，检测机构网络应用具有性能、稳定性、安全性3方面的要求，在兼得性能和稳定性的同时，在安全性方面应满足保密性、完整性、可用性、可控性和可审查性等要求。我们提出检测机构构建基于“四类网络、三个中心”的网络安全架构。

1、检测机构应构建“四类网络”

①办公局域网：根据我国公安部第82号令《互联网安全保护技术措施规定》，安全级别达到1~3级的网络，主要应用于检测机构内部办公需要，内含机构相关核心业务；②机构门户网（网站）：主要作为检测机构互联网门户，是对外形象展示窗口；③政务网：根据公安部第82号令，是安全级别达3级及以上网络，需要高安全级别，要求达到网络物理分隔，内含机密内容；④客户服务网：提供客户在机构场地范围内上网服务的网络，在为客户提供上网服务便利的同时，亦满足公安部、信息产业部等信息安全相关法律法规要求。

2、检测机构应构建“三个中心”

①核心计算中心：主要承担业务核心计算工作，与核心数据中心共同承担业务计算数据存放，互为实时镜像、达到负载均衡，互为远程业务灾备。②核心数据中心：存放实时镜像数据，核心业务集群服务器等，可作为核心计算中心的无中断业务系统，实现自动切换功能，使得核心计算中心在遇到IT基础设施损坏无法正常服务时，以最快速度恢复关键业务系统的正常运行。③备份中心：存放核心业务及应用系统数据，实现定时自动存储，通过专用存储数据网络SAN实现高速数据备份恢复，作为远程灾备中心用于防范各类自然灾难及人为灾难对信息系统造成的影响，确保信息业务系统快速恢复，将数据损失和经济损失降到最低。

3、基于“四类网络、三个中心”的检测机构网络架构

检测机构网络安全总体架构如上图2所示，按照网络基础安全技术标准，网站平台、客户网、政务网单独搭建，与局域网物理隔离；局域网按照功能划分为不同的区域，如业务系统服务器区、数据备份区域、用户接入区域等，各区域之间按照制定的安全策略进行网络边界的控制；局域网DMZ区域作为需要为互联网用户提供服务及数据访问的区域，需要在互联网与网络边界处进行网络安全控制，以确保数据传输质量符合GB/T20270－2006《网络基础安全技术要求》的要求。实际应用时，应根据各类网络的特点对其进行分类安全管理：①局域网需要授权管理、VPN、入侵检测、防火墙、防毒墙、网络监控、上网管理、日志审核和设备加固；②网站平台需执行以上除上网管理以外的全部措施；③客户网按国家信息安全相关法律规定的标准，至少需要授权管理及日志审核、防火墙等安全技术；④政务网需遵循政务网管理部门相关安全规定，必须物理隔离。基于以上设想及网络安全架构，上海机动车检测中心已进行了规划，并实施了第一阶段的改造工作。已建立本文所述的“四类网络”，目前运行情况良好，通过第一阶段的改造有效地提高原图1检测机构三个中心业务数据流核心计算中心备份及恢复数据核心数据中心备份中心备份及恢复数据有网络的安全性，为内部员工和外部客户提供了高效、安全的信息服务。建成的多个网站与平台（中心网站、机动车出口认证检测网、全国四轮全地形车标准化技术委员会网、出口认证平台、标准资源平台），扩大了其行业知名度和影响力，取得了良好的社会经济效益。

四、强化管理的措施建议

除了合理、依需搭建网络构架，为保障今后的运维我们还建议加强以下各方面管理工作。

1、设立安全应急小组

对网络突发事件及时响应，减少业务停顿时间，避免服务器或系统遭非法入侵；对于已遭破坏的数据采取相应的技术恢复手段；定期培训提升IT人员对网络突发事件的处理能力；追踪非法入侵人员。

2、加强员工管理

定期对内部员工进行计算机操作和信息安全知识的培训，做好宣贯工作，提升员工计算机操作能力及信息安全意识。

3、制定信息安全守则

网络安全规划与设计篇2

台站局域网可以分为办公网和技术网两个部分。其中技术网主要部署播控服务器、机房自动化系统、发射机控制终端等和安全播出直接相关的业务，其余业务(包括OA、财务、物资等)部署在办公网。办公网通过2M专线与无线局机关广域网互联。

台站设置中心机房作为局域网的主节点和核心交换区，其他办公地点和机房作为分支节点。

主节点负责本节点内的数据交换和路由，也要负责分支节点之间的数据交换和路由。各分支节点的网络设备只负责分支内的数据交换。

根据无线局全局业务需求，无线局局域网需要支持虚拟网络的划分、针对IP地址实施的访问控制列表等安全要求。

台站局域网IP规划应考虑的问题

台站局域网建设都或多或少存在网络安全、地域限制、网络扩容、网络负荷等问题，如何确定一个有效的网络结构是网络成功的关键所在。

在建设网络的过程中，一些网络的IP地址和虚拟网(VLAN)规划较简单，没有认真仔细去研究、探讨一个科学合理的规划方案，没有去进一步的优化，造成网络总体性能得不到改善，却费很大的精力在硬件上找故障，忽略了影响网络的“软”因素。实际上分配网络IP地址是网络规划、建设中最困难的问题之一。糟糕的地址分配几乎可以导致所有大规模网络的崩溃，因为每次网络拓朴结构改变所需工作量以及将此种改变传输给网络的路径数量直接制约了路由的稳定性。相反，好的IP地址分配和VLAN划分可以加强网络安全，可以取消一定的物理限制，灵活管理，易于控制广播和分布通信量，减轻网络负荷，改善网络总体性能。因此，IP地址和虚拟网(VLAN)规划是我们网络建设中十分关键、必须重视的工作，有必要对IP地址和虚拟网(VLAN)进行必要的研究。

IP 地址规划时往往考虑网络管理，一般将网络划分多个子网。因此，在进行网络IP规划和分配时首先确定子网段划分，然后确定子网掩码、网关。

①IP地址规划策略有:按行政划分、按地域划分、按拓朴结构划分。在具体划分时，我们必须考虑三种策略。

一般是在地域和拓朴结构方面人手，并以单位或部门的业务性质、需求和规模考虑，可以将工作性质、情况相似或紧密联系的部门划分在一个子网，其大小与该单位或部门使用计算机的规模有关。考虑网络的安全、管理等因素常常将网络划分一个或多个VLAN，当然要求交换机等设备支持VLAN，如果将有关设备划到一个或多个虚拟网内，并进行安全设置，将极大的保证网络的安全和可管理性。

②子网掩码(Subnet Mask) ：子网掩码实际是设计一个IP地址来确定子网及其大小。

③网关(WinGate) 传统的网关是指不同协议在网络间组织传输的一个系统，现在指相同的路由设备。不同的子网或虚拟网之间数据交换需要通过网关来指定路由，该路由常在路由器或带路由功能的交换机上的路由表中，保证了网络或子网相互通信，可设定一个IP地址来标识特定的网关。

IP地址和VLAN规划

台站局域网应用实例

根据IP地址和VLAN的规划原理，我们对台站局域网具体进行了IP地址和VLAN规划及其分配。在规划中我们强调网络总体性能、稳定性、易管理性。

首先，要绘制一张网络图，它体现网络拓朴结构情况，包含连接不同位置的各种网络设备:服务器、路由器、交换机、重要的计算机等及其设备之间的连接结构；然后，根据实际情况划分VLAN，要用相应的网络地址标识各子网；最后，进行各VLAN的IP地址分配。另外，还要考虑各VLAN及整个网络均要保留一定的IP地址以供扩展。

台站局域网可以分为办公网和技术网2个部分。在台站核心交换区部署台站的广域网设备、办公网/技术网核心交换机以及技术网防火墙等核心设备。

网络整体构思：台站网络为星型拓朴结构的全交换式以太网，网络中心与各建筑楼光纤相连接。中心路由交换机华为S6503、3552F，都具有支持VLAN Trunk的第三层交换和强有力VLAN功能;接入交换机华为S3026C运行在二层模式下，完全支持VLAN和VLAN Trunk，所有三层交换在核心交换机上进行；路由器与S6503相连作为边缘路由而连接。

台站网络的拓扑结构图如下：

台站局域网按照统一IP地址管理规则进行IP地址管理和分配，遵循IP地址编址的基本原则：唯一性、连续性，可扩充性和可管理性。

根据台站实际业务状况，网络系统VLAN的划分取决于应用系统和各机关或部门的职责分工。根据目前的网络状况并考虑到将来的扩展，设计VLAN划分方案如下：

设计OA网地址段和VLAN共计255个，使用10、1、x、0/24-10、254、x、0/24网段（根据局广域网规划， X为本台区域号）。各项业务VLAN编号使用1001-1254，部署在办公网核心交换机上。

OA网IP地址规划如下表所示：

设计技术网地址段和VLAN共计255个，使用172、1、x、0/24-172、254、x、0/24网段（根据局广域网规划， X为本台区域号），各项业务VLAN编号使用1001-1254，部署在技术网核心交换机上。

技术网IP地址规划如下表所示：

①IP地址和VLAN划分按照网络拓扑图和实际情况，分别把OA网和技术网划分若干VLAN(如本页上表所示)，在VLAN划分时可将网络设备如服务器、交换机等划分成特定的设备VLAN，并进行诸如限制TELNET访问等安全策略配置，能有力的保证网络的安全。我们按照设备放置的不同位置灵活配置跨交换机S3026的VLAN1200，增强了网络配置的灵活性和管理性。按目前和近期发展该VLAN已经够用。

②各VLAN 之间虽不能直接通信，但我们充分利用支持VLAN Trunk的第三层路由交换机S6503（OA网）、S3552F（技术网）和支持VLAN的第二层交换机S3026C，实现VLAN之间通信，节约投资，提高了网络配置的灵活性。

③设备IP地址分配对网络设备的安全、灵活配置和管理是十分重要的，在OA网VLAN2中进行路由设备IP地址的分配子网掩码为30bit，容纳主机2个，相对于路由器的串口(SERIAL)IP 地址一般要与相应广域网的路由器的串口IP地址在同一个VLAN中。

④实验和运行

按照上述IP地址和VLAN划分的原理、方法进行实地划分。网络速率、安全、远程配置和管理及网络整体性能令用户满意，特别是网络员日常工作中的管理非常灵活和方便。

网络安全规划与设计篇3

关键词：网络工程专业；课程体系建设；知识模块化实践教学；贯通式案例教学

根据地方性高校网络工程专业的培养目标，培养具备网络工程基本理论知识、专业知识与专业思想，掌握网络工程方法和技能，具有较强网络工程意识与工程能力、良好的社会协调与职业发展潜力，具有创新精神和团队合作精神的网络工程应用型人才[1]。

1网络工程专业课程体系建设

1、1网络工程专业人才需求分析

联系未来五年网络工程专业人才需求，制订网络工程专业“网络工程师”培养计划，主要包括网络规划工程师、网络安全工程师、网络系统集成工程师、网络布线工程师、网络测试工程师、网络管理工程师[2-3]。

1、2网络工程师职业能力需求

根据“网络工程师”的各种职业需求，制定网络工程专业培养能力目标，主要培养学生的网络工程规划与实施能力，网络系统布线、管理与部署能力，网络系统安全保障能力、网络协议分析与实现能力、网络工程管理能力、网络测试能力[3]。

1、3网络工程专业知识模块设计

根据“网络工程师”职业能力培养的内容，网络工程专业制订了6个专业培养知识模块，包括网络工程规划设计知识模块、网络布线管理知识模块、网络系统安全知识模块、网络协议分析设计知识模块、网络工程管理知识模块、网络性能测试知识模块[4]，如图1所示。将各知识模块的知识内容进行明确，并将相关内容分配到课程体系各个科目当中，以达到剔除教学内容的冗余，完成课程体系优化的作用。

1、4网络工程专业课程体系结构

依托网络工程师职业能力培养要求，组织网络工程专业知识模块结构，构建网络工程专业课程体系，包括专业基础课程计算机网络，专业必修课程路由与交换技术、综合布线与工程管理、网络协议分析与实现、网络安全技术，专业实战提高课程网络工程部署、网络规划与设计、网络工程管理、网络性能测试与分析等课程[5]。

2贯通式案例设计

通过案例驱动式教学模式，将“枣庄学院校园网规划与设计”项目的设计实施过程贯通到课程群各个科目当中，计算机网络完成网络基础知识、网络整体规划、IP地址划分、网络服务器配置任务；路由与交换技术完成网络设备的配置与维护工作；综合布线与工程管理完成线路的铺设与维护工作；校园网的安全、防火墙的配置交给网络安全技术来完成；网络协议分析、网络应用程序编写任务交给网络协议分析与实现课程完成；网络性能测试由网络性能测试课程完成；最后网络规划、网络构建在专业实战课程中完成。多门课程共同完成项目的设计与实施。

3总结

以网络工程师职业能力为导向，制定课程体系标准，确定课程体系知识模块，统一分配教学内容，弱化课程界限，避免教学内容重复；通过贯通式案例整合课程体系，强调网络工程师职业素质的培养；将贯通式案例项目分解成多个任务，分配到网络工程专业的每门课程之中，让学生每门课当中完成既定的分解任务，在通过综合实习实践环节将任务组合，完成本课程在贯通式案例中的设计实施部分。

参考文献：

[1]王文龙、网络工程本科专业课程体系建设研究[J]、喀什师范学院学报,2015(3)、

[2]石元泉,彭小宁、地方二本高校网络工程应用型人才培养模式——以怀化学院为例[J]、计算机教育,2015(7)、

[3]施晓秋、计算机网络课程教学改革的应用型人才培养的网络工程实践课程体系构建[J]、中国大学教学,2008(12)、

[4]王伍柒,钟元权,袁兆荣、组网工程课程改革与实践[J]、电脑知识与技术,2014(11)、

[5]苗春雨,陈丽娜、企业需求为导向的网络工程实践教学模式[J]、计算机教育,2014(6)、

网络安全规划与设计篇4

关键词：校园网络　规划设计　问题

随着信息技术的不断发展和人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，特别是Internet从传统的数据处理设备（如计算机）和管理工具中驳离出来，担当一个非常重要的角色——信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。经过了几年的迅猛发展，计算机网络已经在很多方面改变了人们传统的工作和生活方式……Web浏览、E－mail、QQ（上网聊天）、VOD（视频点悉播）、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到了社会生活的各个方面。校园网络(CAN ，Campus Area Network)与其它园区局域网络一样，由于它属于单位自有，学校拥有自我建设、自我管理和自我使用的权利，因此，受经费、技术水平及其它方面的影响，校园网络在规划设计、资源建设和应用上很不平衡，差别很大，特别是在IT界目前还未实施网络工程监理的条件下，在建的或已建的校园网络的“豆腐渣”工程为数不少，造成了不少的人力、物力、财力的巨大浪费。

校园网络的规划设计有多种解决方案，依学校的类型规模和性质的不同，以使网络的设计方案有所不同，体现在技术、应用上更是不同。在传统的语音服务(诸如电话、蜂窝移动电话)无法满足人们的各种信息需求的今天，对图形、图像、视频等多媒体信息需求的不断增长，已成为人们依赖计算机网络进行信息共享和交流的重要资源。学校教师的教学、科研工作和学生的学习生活对一个高速的、资源丰富的和应用多方面的校园网络的需求是迫切的、必需的。也是网络规划设计者永远追求的目标。教育部最近实施的“西部大学网络工程”及“关于中小学校园网络建设的指导意见”中，对校园网络的规划、设计及建设提出了明确的要求。那么一个高速、高效而又安全、资源丰富、应用广泛的校园网络在规划设计中应注意哪些问题呢？

1、建立近、中和长期发展规划

依据本校建网资金的安排，在听取校内外专家意见的基础上，结合本校教学科研的内容及其发展的需要，制定一个在未来十年中的近期、中期及长期的建设规划，以保持网络建设的延续性，并保护先前的投资(含各种硬件、软件及信息资源)，能融入不断涌现的新技术和新应用。

2、IP地址资源的利用

IP(Internet protocol互联网协议)地址是在Internet上的站点及相关设备的地址，它是由Internet指定数字委员会(IAAA)确定的，确保了它在世界上的唯一性。在IPv4技术应用于互联网的今天，IP地址资源到2010年将近枯竭，在Ipv6技术应用之前，我们要合理使用IP地址资源。当申请到一个建网的IP地址之后，必须合理地划分子网，每个子网中的IP地址要合理使用，既要满足当今的需要，也要预留将来网络扩展时所需，以便有足够的各类服务器连入Internet。

3、建立相关机构，有计划地培养网络管理员及培训部门用户学会使用信息制作，的工具。

建网单位应该设有一个“网络信息化领导小组”，对网络的规划实施起指导和决策作用。按照建网单位的网络规模，按不同时期的需要，配置专业的网络管理员。针对网络技术应用的日新月异，加上校园网络信息资源建设的繁重任务，要加强对师生的应用培训，适应网络新技术的应用及安全控制，保证网络的正常运行和安全。

4、注重需求分析

网络的规划设计是一个系统建立和优化的过程，建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益，需求分析成了网络规划设计中的重要内容，它提供了网络设计应到达的目标，并有助于设计者更好地理解网络应该具有的性能；结合学校的办学规模、管理需求和师生对教学科研的需要，确立一个性能较高的网络计算平台，如图1。

同时，经过系统的需求分析，网络的设计者还能更好地作出决策，评价现有的网络，提供移植的功能及给所有校内师生更为合适的资源。

5、组网技术的选择

目前，可用于校园LAN（局域网）的技术有Ethernet（以太网）、Fast Ethernet（快速以太网）、 Gigabit Ethernet（千兆位以太网）、Token-Ring（令牌环网）、FDDI（光纤分布式数据接口）和ATM（异步传输模式）。从网络应用、维护、安全和扩展方面而言，Fast Ethernet和ATM在实际应用中得到了广泛的采用。同时，Gigabit Ethernet技术已成为大型Fast Ethernet的升级目标。虽然Fast Ethernet和Gigabit Ethernet因采用CSMA/CD的介质访问控制方式而广泛地存在着“广播风暴”的问题，但可以更好的传输介质和交换设备予于克服，其实出的优点是兼容先前的设备投资，师生的网络应用及培训更易进行，网络的可管理性和扩展性也很好。ATM是一种快速分组交换技术，它在WAN（广域网）上体现的强大功能和在LAN上的成功应用，均以事实说明了它的技术的先进性。在ATM中，不同速率的各种数据，如语音、图像、视频都被分成标准的53字节的信元，以光纤作为传输通道，避免了以太网中的“广播风暴”，提升了网络的整体性能。但是ATM不兼容以往的以太网投资，其管理和操作有异于传统的以太网平台，故不适用于以太网的升级改造。

6、校园网络的设计模式

一个良好的设计方案除体现出网络的优越性能之外，还体现在应用的实用性、网络的安全性、易于管理性和未来的可扩展性。因此，设计时要考虑以下问题：

① 要适应未来网络的扩展和拓扑结构的变化。

② 要能为特定的师生用户或用户组提供访问路径。

③ 要保证网络能不间断地运行。

④ 当网络扩大和应用增加时，变化的网络结构要能应付相应的带宽要求。

⑤ 使用频率较高的应用能够支持网上大多数的师生用户。

⑥ 能合理地分配用户对网内、网外的信息流量。

⑦ 能支持较多的网络协议，扩大网络的应用范围。

⑧ 支持IP的单点传送和多点广播数据流。

要达到以上这些设计要求，分层的设计功能及星型、树型和交叉型的拓扑结构应给予足够的重视，如图2。

转贴于

7、网络硬件的选择

除网络上的工作站使用普通的PC机外，主机的选择应使用专业的高性能服务器。连接介质的选择分两部分，第一部分为各交换机（switch）之间（楼与楼之间，楼层之间）及网络出口干线选择光纤，第二部分为从访问层的交换机到用户的PC桌面选择超五类双绞线。如今，交换机的价格已是很低了，应尽可能选择交换机而不用集线器。网络连接的关键设备是路由器（Router），无论是Internet接入，异地网络连接还是大型网络广播域的划分，都离不开路由器，因此，路由器的性能较为重要，选择Cisco公司和3Com公司的产品，就能体现出极高的性能。数据存储设备，除可选择大容量硬盘外，还可选磁带机、磁盘阵列、光盘阵列，这些外存设备，均可用于储存海量网络数据，如图书资料，多媒体素材及课件学生学籍和成绩管理等。

8、ISP的选择

选择ISP（Internet Service Provider ，Internet服务提供商）对不同类型的校园网络至关重要。经过近十年的发展，目前在我国形成了以CSTNET（中科院的科学技术网）、CERNET（国家教育部的教育与科研网）、ChinaNet（中国电信网）和ChinaGBN(中国金桥网)为主的四大网络体系，伴随着IT与通信技术的不断发展和社会的广泛需求，近年来ChinaUNICOM(中国联通)、CRC(铁通)、CNC(中国网通)、JiTong(吉通)的接入服务也快速地增长。由于中国的互联网服务商以各自网络体系的发展为主，不同种类的大网之间缺乏协调机制，故它们之间的网络带宽问题没能较好地解决。对用户而言，在线某类网络时再链接另一类网络，“瓶颈”问题就突现出来，如图3。相信ChinaNet的用户在调用CERNet的网上资源或CERNet用户在调用ChinaNet的网上资源时，就出现过这样的问题。作为校园网络，无论师生有哪些需求，都离不开以教学、科研为主的信息资源，90%的教育资源都集中在CERNet上，故校园网络在选择ISP时，就要重点考虑CERNet。

9、带宽的申请和使用分配

校园网络需要多少带宽呢？别忘了，ISP是以带宽资源作为经营的主要内容之一。作为网络的“流量”，在网上你随时都可能被“断流”或“欠流，“畅流”的时段不会是很多，这是我国大部分地区的基础设施存在的客观原因而造成的。然而，不是没有解决问题的办法，合理地申请接入带宽和在网上作好带宽分配会提高数据传输的速度和效率。网络界曾经有一个争议很多的80/20规则，就是在一个局域网内有80%的通信量在网段内传播，剩下20%沿干线传播，今天，人们对互联网络的需求已大大超过80/20规则，而应成为20/80规则了。如何申请足够带宽而又不至于浪费呢？太大的带宽会意味着要向ISP支付更多的费用。计算的依据就是要考虑校园网的规模，在出口链接Intermet的高峰期约有多少台电脑(一般拥有总量的60~70%)，以每台机的带宽为100kb/s(比PPP拨号方式的56kb/s moden快些)计算，总需求在多少MB，再考虑20/80规则，以确定整个校园网的接入带宽，出于数据安全的考虑，一些装有重要而又保密的数据的主机，如财务数据、人事档案数据，只许在网段内使用，不宜链接Internet。

10、网络操作系统的选择

网络操作系统(Net Operation System)的选择关系到网络的应用、安全和管理。目前常用的网络操作系统有：Unix、Linux、Netware、Windows 2000 Server/Advanced Server /Datacenter Server，下面作一简单介绍：

UNIX UNIX操作统是一个多用户、多进程的分时操作系统，在互联网发展的初期，它就被融入了许多网络技术和通信协议，它的可移植性及安全性能极好，被广泛地用于微型机、小型机、超小型机和大型计算机上。今天，它仍然作为Internet上各类服务器主选的网络操作系统，并深得金融、电信、保险行业的青睐。

Linux 它是近年来流行的一种类UNIX操作系统，其功能体系现与UNIX有许多共同点，最新发行的版本包含了文件管理、用户账号管理、网络管理等许多工具，对互联网络的应用有很好的支持。

Netware Netware是Novell公司开发的网络操作系统，自上世纪80年代至今，已发展了十几版本，新版本体现了高度的开放性和安全性，是目前国际上应用最广泛的一类局域网操作系统。

Windows NT 它是一个抢先式多任务的网络操作系统，并具有较高的可靠性和开放性，它具有让企业有多种应用管理的强大功能，如数据库服务、电子邮件，能联合多种网络进行通信。它能支持较多的应用软件，工具，文件共享和网络打印服务，也是一个功能卓越的网络操作系统。

Windows 2000 Windows 2000是Microsoft公司耗费巨资开发的一个产品，其服务器版有Windows 2000 Server、Windows 2000 Advanced server 和Window 2000 Datacenter Server等三个版本。它们是由Windows 98和Windows NT4、0的优良功能融合而成，它们拥有全面的Internet应用软件服务、增强的可靠性和可扩展性及强大的端对端管理等性能。

综合以上这些网络操作系统的特点与对网络应用的支持，你就可选择一个或几个适合于校园网内各子网服务器的操作系统，以适合各类应用、安全控制和管理。

总之，校园网络的规划设计是一项系统工程，不同的规划设计方案，可使网络存在较大的性能差异，它不仅体现在网络本身具备的技术特性和应用特点上，也体现了不同用户的各种需求，从根本上而言更是体现了信息化社会的基础。

参考文献

[1]网络设计基础，21世纪计算机网络工程丛书编写委员会编，北京希望电子出版社，2000年第一版

[2]Cisco互联网络设计，[美]Matthew H、Birkner编著，潇湘工作室译，人民邮电出版社，2000年第一版。

网络安全规划与设计篇5

1、1开放环境。目前，在网络安全领域及智能规划领域中，都没有对开放环境予以明确的定义，而对于开放环境下的问题研究却很多。在本论文中所研究的开放环境指的是，在计算机网络对应用者开放使用的条件下，硬件系统能够保障网络的正常运行，操作系统及软件能够为管理员及普通用户提供各个角色所需要的功能，即软硬件系统能够为应用者提供服务。

1、2网络安全。网络安全其从应用的角度包含设备安全、信息安全、软件安全。网络攻击者通过以计算机网络为基础的入侵达到窃取重要信息的目的，同时，也有部分计算机高手为达到某种目的，通过使用计算机网络攻击竞争对手的服务器，进而造成网络企业无法正常运营。本文所讨论的网络安全即是为了防范信息丢失或服务器攻击所采取的措施。

1、3智能规划。智能规划是一个动作序列，是一个智能体agent在初始状态（initialstate）下经过执行动作1，动作2，……，动作n这样的一系列动作，最后到达目标状态（goalstate），该一系列动作，我们也称为是这个动作的序列所构成的整体叫做一个规划。每一个规划问题（planningproblem）都要涉及到以下四个集合：一个操作的集合operators、一个对象的集合objects、一个初始条件集合initialconditions和一个目标集合goals，其中初始条件集合和目标集合的每个元素都是一个命题。

1、4规划识别。规划识别是人工智能一个重要的研究领域，是多学科交叉的一个研究领域，涉及到了知识表达、知识推理、非单调逻辑和情景演算等。规划识别问题是指从观察到的某一智能体的动作或动作效果出发，推导出该智能体的目标/规划的过程。

1、5入侵检测。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

1、6应对规划。应对规划是将规划识别和智能规划进行融合，实现识别与应对同时进行，针对敌方系统实施的敌意规划，采取一个动作序列来阻止、破坏敌意规划的执行，进而使我方系统不受到破坏或者将所受损失降到最小，这样的动作序列就称为应对规划(counterplan)。在作者蔡增玉的《基于应对规划的入侵防护系统设计与研究》一文中对应对规划赋予的定义是：为Agent根据敌对Agent的动作，利用规划识别技术发现敌对Agent的目标和将来的动作，并采取适当的响应措施阻止敌对Agent目标的实现，整个过程称为应对规划、在网络安全领域，敌对Agent通常是指网络的入侵者。

2识别及应对模型

对于计算机网络安全的研究较多，但是，将智能规划与规划识别技术应用于该领域的研究却并不多见。本文在前期的理论研究的基础上，提出了开放环境下网络安全规划问题的识别与应对模型，进而得到了解决网络安全问题的新的方法。具体模型如图1所示。该模型的具体执行过程是根据针对服务器端或客户端产生的人为攻击，通过入侵检测的方法，检测到该动作后，对这一动作进行识别，并在此动作中提取该动作所导致的系统变化，将变化的结果作为当前系统工作的初始状态，将此状态传递至应对规划器，此规划器中以此状态为初始状态展开应对规划的求解过程，应对规划器均以系统安全为目标状态，并按照规划器得到的规划步骤，触发相关软硬件设备，逐步执行规划中的每个操作，使服务器端及客户端达到安全状态。该模型的核心在于攻击动作的识别及应对规划的产生。动作的识别主要依靠规划识别器，应对规划的产生则依靠应对规划器，将这两个部分进行组合，并应用到网络安全的问题中，进而对人为攻击计算机网络的安全问题有了解决的方法。

3总结

网络安全规划与设计篇6

【关键词】医院,网络建设,规划概要

中图分类号： F110 文献标识码： A 文章编号：

一、前言

随着现在科学技术的发展以及社会的需要，网络技术的发展和应用越来越广泛，给人们带来了很大的影响。作为传统的医疗行业，也要利用网络技术的发展提高医疗卫生的服务管理水平，从而更好的为患者服务。

二、网络规划的必要性

1、网络基本概念

计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备，通过通信线路连接起来，在网络操作系统，网络管理软件及网络通信协议的管理和协调下，实现资源共享和信息传递的计算机系统。

从整体上来说计算机网络就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的系统，从而使众多的计算机可以方便地互相传递信息，共享硬件、软件、数据信息等资源。简单来说，计算机网络就是由通信线路互相连接的许多自主工作的计算机构成的集合体。

2、医院需要网络

医院数字化建设中首先要考虑的是网络的建设，网络建设是数字化建设的基础设施，如同房地产开发一样，首先要把地基打好打牢，要为其他可能要建设的信息化项目预留充分的接口。特别是像网络安全，数据的备份都变得异常重要，任何的系统停机或数据丢失可能会引起医患纠纷、法律问题或社会问题由于医院OA(办公系统)，HIS系统，PACS系统，LIS系统，RIS系统之间相互通讯的要求和客户机与服务器之间的通信均需要通过网络进行。信息孤岛的管理模式已经是过去式。现今的信息管理系统已经不是古老的单机管理，均是基于c／s或者b／s架构的计算机之间的数据通讯模式，已经成为现代化信息管理系统的普遍工作方式。这种对计算机网络依赖的工作方式已经渗透到国民经济的各行各业。医院更是需要高效，稳定、安全性强的网络。

3、进行网络规划的原因

医院信息系统的总体规划主要分为网络系统规划设计与组建和应用系统规划设计两大部分。其中网络系统规划设计与组建是至关重要的部分，它直接影响着应用系统运行的稳定和质量，是医院信息化建设的关键因素。

三、医院网络建设规划中要考虑的因素

1、应用需求

从开始试点医院管理信息系统，实现基于财务的信息管理；实现基于医生的辅助治疗、医生工作站、辅助病因分析及治疗建议；实现PACS(影像应用传输系统)基于临床的影像信息管理分析；以及电子病历、远程医疗、药房管理等。网络是上述应用的基础，因此确保其稳定、安全、高效尤为重要。

2、技术需求

根据分析，特定的应用必须要由特定的技术来实现，才能得到预期的应用效果。网络属于集中式应用(客户机／数据中心)。其数据流量大约80％集中于网络的主干，所以主干应该是高性能的交换式结构，且具有较高的系统扩展能力和新技术应用能力(如万兆、千兆以太网)o另外。关键技术的应用，如语音和视频。其交换机系统首先要支持组播技术(IGMP，PIM等)和严格的服务质量管理体系(QoS)o。

3、性能需求

系统的安全高效运行需要内部各个设备具有独立的高性能和协同的高性能。为使网络结构尽量稳定可靠，应采用星型拓扑结构。中心节点与边缘节点间至少为100M以太网，服务器以1000M接入中心交换机。中心交换机应支持无阻塞交换，各种模块支持热插拔，并支持基于板卡智能分布式的基础上实现端口同步级处理等功能。应用复杂化和多元化，需求网络高带宽，核心层到接入层千兆链路以太网为目标。

4、管理需求

按颜色变化来区分设备运行情况。市第一人民医院随着医院网络系统的建设、升级、改造不断增多，接入用户增加，以及网络设备和类型的不断扩展，网络中心管理和维护的难度也越来越大。因此，在设计之初就要求网络能够被实施有效监控。要能够对网络设备进行集中统一管理，自动生成网络拓扑结构，通过拓扑图上直观的颜色变化来区分设备运行情。安全策略要求可以批量下发，及时调整安全策略，批量对交换机群管理，提高网络安全管理。

5、安全需求

分层过滤包括支持链路层的访问控制、传输层的访问控制、网络层的访问控制以及应用层的安全控制等。

6、经济分析

在适当考虑未来发展和先进性能的前提下，以性能最优、价格适中为原则。即尽可能采用高档次、低配置、逐步扩展的原则。

四、规划设计原则

1、共享资源、协调工作、安全运行，高效率完成各种网络应用

大中型医院一般都是综合性医院，不仅拥有特色的专业临床科室，而且拥有相当多的大型医疗设备和各种各样的医疗中心。对于这些不同的部门、不同的单位，一般都拥有各自的应用业务和各不相同的计算机应用系统。如何在同一物理网络上共享资源、协调工作、安全运行，高效率完成各种网络应用是这一网络建设方案的中心原则。

2、网络设置要有安全隔离控制机制

随着医院的不断发展，从内部局域网来说，无论现在还是将来，各部门和各科室都会拥有越来越多各自相互独立的专业计算机运用系统，这些系统虽然相互独立使用，却又需要互相共享资源。因此，它们既要相对隔离，以保证各系统的安全性，又要能共享资源，互相传输数据；既要在同一物理网络上应用，又必须在网络设置上有安全隔离控制机制。特别是将来医院建立起自己的网站，在网站上建立起WEB应用与服务后，内部网络与外部网络的安全控制、安全防范将成为十分重要的问题，网络建设必须对此需要做出统一的、规范的设计与建设。

3、运用系统整合技术将各应用系统不同的信息转化成新信息

网络上各应用系统的增加，使网络资源越来越丰富，但这些来源于不同系统的信息，具有不同的信息格式，如何用系统整合技术将这些不同的信息转化组织成新信息，也是全面规划网络建设的重要目的之一。

4、为医院网络的发展打好基础

随着医院网络信息化工作的进一步深入，更应该考虑医院医技楼、住院楼、门诊楼和行政办公楼的网络连接，规划设计和建设高效率、高质量的信息网络平台，为医院进一步建立建设医疗信息网站，建设远程医疗和远程教育系统，打下良好的基础。

五、医院网络建设规划方案要具有的作用

1、具有增强的稳定性和出色的冗余能力

网络中心采用高端交换设备。它具有电信级安全可靠性能。同时采用冗余结构，能够实现其自身模块的冗余设定。使得中心交换机和主干链路都实现双重保护，为网络的稳定运行提供双重保证。

2、全面保证网络安全

整个网络所用交换设备均支持lP、MAC和端口绑定，防范地址盗用；支持ACL及完善的QoS功能，可以保证按医院需要实现对主要数据的优先转发，有效防止病毒的干扰；同时在交换机上进行了多个VLAN的划分，缩小了广播域、增加了网络的安全性和可管理性。为医院网络的正常运行保驾护航。

3、方案对于网络的可管理性进行系统的考虑

所有设备都支持IEEE802、1×和STP协议，同时支持SNMP协议，并结合网管软件，实现整个网络的轻松管理。

4、医院网络实现了高速传输，同时也具有出色的扩展性

整个网络经过优化后，数据的高速传输能力和网络的快速响应能力都大大提高。各个分部网络得以有机联合，为医院的多种业务提供了可靠的网络环境。同时，中心交换机的高密度端要求，为网络的未来扩展预留了充足的空间，使网络的建设具有前瞻性。

六、结语

医院的网络信息构建和规划是一个非常系统和复杂的过程。对于医院来说，不同的规模和设备需要的网络规划方案也不一样。因此，我们要结合医院的具体情况，建设和规划好医院的网络系统，从而更好的服务社会，服务人民。

参考文献

[1]陶兵 医院网络建设规划与实施[J]《中国数字医学》ISTIC 2011年7期

[2]秦延斌 夏书剑 董忠宝 张世鑫 医院网络建设规划概要[J]《科技信息》2012年5期

网络安全规划与设计篇7

【关键词】校园网络 维护 网络安全

1引言

现今众多学校校园网络，建设水平良莠不齐，差距很大。电子邮件、FTP等服务是每一个校园网都要提供的基本功能，除此之外，很多高校在校园网上建立了办公系统、教务管理系统、教学资源库、电子图书馆系统、期刊论文数据库、校园一卡通系统等。总之，学校的各项工作都离不开校园网，但又缺乏统一的规划。一方面我们看到学校日常工作的信息化水平在不断提高，另一方面我们也应该看到维护校园网络安全的重要性。

2校园网络安全存在的问题

2、1校园网络安全意识薄弱、网络安全管理不科学、管理技术单一。在校园网络上师生安全意识淡薄，管理意识不强、管理制度不完善、管理机构不健全和管理技术不先进等因素，致使计算机容易受到非法的网络攻击和侵害。校园网不同于企业网络，没有很强的营利性，所以受到外部攻击的几率远远小于来自校园内部的攻击。重建设轻管理是各高校校园网建设的通病，只想依靠单一的安全产品来保障校园网的安全，忽略了科学规范的网络管理的作用。安全管理措施的不完善造成了很多问题：IP地址冲突、盗用他人帐号、没有定期更改服务器和口令密码、重要数据没有备份等等。

2、2校园网络规划混乱。网络的发展是在很多问题不断涌现和解决中实现的，校园网的建设也是如此。大部分学校的校园网络在建设时，没有很好地规划，没有考虑到学校长期发展的需要或者说看不到随后出现的网络功能，只是实现了当时的需要，更没有考虑到网络安全问题。最初的校园网是一个开放、无序的状态，不部署防火墙，也不设置入侵检测系统，没有形成有效的安全防范措施。

2、3系统漏洞和病毒入侵。Windows系统是目前校园网中广泛使用的操作系统，而且大多是采用的默认安装，存在很大的安全隐患。另外，操作系统都存在很多已知未知的漏洞，成为病毒攻击的对象。计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，网络为病毒的传播提供了便利条件。这些利用网络传播的恶性病毒具有很强的破坏性，校园网一旦遭到病毒攻击，造成系统崩溃、运行瘫痪甚至丢失全部文件的严重后果。

2、4部分用户的恶意攻击。由于校园网络及技术具有开放性和公开性等特点，一些用户为了获得某种非法利益，利用现有的网络协议，服务器和操作系统的安全漏洞以及管理上的不完善非法访问信息资源、撰改数据、破坏软件系统。这种人为的恶意攻击不仅来自校园外部网络环境，还来自学校内部校园网，由此引发的网络信息安全隐患往往破坏力强、威胁大、影响广。

2、5不良信息传播。高校教育中鼓钛生运用网络具有一定的优点，同时也可能带来一些不良影响。由于网络系统中存在海量的信息，而信息内容参差不齐，同学们可以通过网络信息的传播提升自身的认知水平，开拓自己的眼界，了解社会；同时也可能从网络系统中受到不良信息的影响，网络信息中的不健康内容不利于学生的身心成长。

3、维护校园网络安全的策略和措施

3、1强化网络安全意识的培养。安全意识是保障网络安全的前提，如果缺乏安全意识，再高级的防护软件都不能确保万无一失。一方面，学校校应该加强网络安全知识宣传，让学生、教职工都重视网络安全的重要性。另一方面，学校也要加强校园网络安全建设、技术人员安全培训、网络安全科学管理，带领广大师生，齐心合力建设一个安全、可信的数字化校园环境，让校园网络高速、健康地发展。

3、2统一规划校园网络，加强安全防御。各校应在规划好学校的长期发展目标下，充分考虑到网络技术的安全行和可扩充性的前提下，规划本校的校园网建设。网络建设规划中要为下一步的网络发展建设预留好空间，对基础网络设备进行科学详细的规划管理。对于已经建成的校园网，如果整体规划杂乱，存在很多的安全隐患问题，学校可以采用VLAN和VPA技术进行有效的改进调整。VLAN全称是虚拟局域网，利用该技术可以将局域网划分为多个逻辑VLAN，从而能有效隔离广播风暴，保证网络的畅通。VPN全称是虚拟专用网，它可以通过特殊的加密通讯协议，实现远程用户与内部网络的安全通讯。

3、3加强病毒防范要及时更新操作系统，安装各种补丁程序和杀毒软件。借助漏洞扫描系统的帮助，及时发现安全隐患并采取有效措施，将病毒攻击系统需要的缺口全部修补牢固。为了保证网络信息安全，杜绝病毒的感染、传播和发作，需要在校园网中部署网络版杀毒软件。在学校网络中心的服务器上安装一个网络版杀毒软件系统中心，在各主机节点安装客户端，进行定时病毒查杀，并及时升级杀毒软件更新病毒库。

3、4配置防火墙技术和架设入侵检测系统。防火墙技术是设置在被保护网络和外界之间的一道屏障，是通过计算机硬件和软件的组合来建立起一个安全网关，从而保护内部网络免受非法用户的入侵，它可以通过鉴别、限制、更改跨越防火墙的数据流，来实现对网络的安全保护。除了使用了防火墙后技术，我们还使用了其他技术来加强安全保护，数据加密技术是保障信息安全的基石。另外，我们还可利用入侵检测技术能在不影响网络性能的情况下对网络进行监听，为网络提供实时的监控，并能对入侵及时采取相应的防护措施。入侵检测系统可以记录和禁止网络活动，可以很好的弥补防火墙的不足，对服务器、计算机客户端所产生的所有网络数据进行全面监测，动态的掌握网络数据活动，检测异常行为并给予及时的响应和处理。其主要的功能是能够寻找安全隐患、提供报警功能，尽最大可能弥补新的安全漏洞并消除潜在安全隐患。

4结束语

综上所诉，我们了解到当前网络安全问题的日益明显化与严重化，也更加明确了如何做才能够保障与提升网络环境的安全性。校园网络安全管理是一项系统性的工作，在这个过程中，除了加大资金、技术和人员投入外，还需要全校师生和网络管理人员提高网络安全意识，从而构建一道严密的网络安全防护网。

参考文献：

网络安全规划与设计篇8

关键词：局域网；广域网；网络建设和改造；拓扑结构；VLAN

中图分类号：TU712

文献标识码：B

文章编号：1008-0422（2013）06-0113-02

1 概述

设计行业信息化是世界经济和社会发展的趋势。近十年来设计行业随着国家经济的发展、业务规模及人员规模的快速增长，随之产生的管理需求不断增加，而依靠传统管理模式已无法满足需求。在“十二五”期间，国内建筑行业将加强信息基础设施建设，提高企业信息系统安全水平；同时项目管理软件等应用系统的普及率不断提高，逐步建立企业级的共享网络以及完善相关的信息化标准成了设计院必备的信息化要求。本文以上海浦东建筑设计研究院有限公司为案例，探讨设计院网络规划及管理方法。

上海浦东建筑设计研究院有限公司现已成为集建筑、市政、园林设计三位一体的综合设计企业。公司设有十个设计部门，六个行政部门。由于公司业务需要及公司发展需求，目前在全国各地设有八个分公司及两个办事处。

根据企业信息化建设目标和总体规划，原有的网络架构不能满足企业管理和信息化发展现状，例如单一VLAN的地址已经不够分配，缺乏有效的安全策略，主干网带宽只有百兆，随着设计专业软件的网络需求增加，越来越多的业务需要使用互联网络，因此需进行全面的网络规划和改造。

2 现状需求分析

由于现有网络结构为单一的树状结构，容易出现单点故障而引起所有网络节点的正常运行；层次结构不清晰，导致无法集中管理设备，造成维护极为不便；设备较老、品牌较杂、设备兼容性较差，网络传输较慢，存在数据丢包现象；使用了大量的专业设计软件网络版，客户端和服务端的访问量与日俱增；设备无法控制网络流量，客户端访问互联网非常拥挤；无法有效避免ARP等局域网攻击；客户端操作系统补丁安装不完全，杀毒软件安装不统一。

所以整体改造分为两个主要方面：

（1）内部网络设备方面的改造：将现有的内网互联百兆主干网升级为千兆传输，在网络出口核心连接广域网处升级路由防火墙，更换现有的核心、楼层交换设备，按部门划分VLAN，实现流量监控。

（2）广域网及系统服务方面的改造：构建VPN实现与分公司互通，部署网络行为管理，系统补丁分发，广域网带宽升级，建立企业统一通信邮箱，建立数据备份机制等。

3 规划基本原则

基于对以上需求的深入理解，网络建设应遵循以下基本原则。

3、1 网络设备应首先满足网络中数据交换的要求，网络主干的通讯链路带宽能够满足应用对网络的性能要求。

通常网络的负载流量主要是从边缘设备到核心的数据交换。改善办公网络整体数据交换性能，应该是首先扩充主干交换机的交换性能，增加边缘设备到核心数据的通讯带宽，以改善整个网络的瓶颈，使得应用软件的性能和效率得到提高。除了考虑满足网络规模所要求的主干设备数据交换处理能力，以及边缘设备到核心的链路带宽外，对楼层交换机也有较高的性能要求。

网络设备的选择，尤其是网络核心设备，应该选择可以配置冗余部件，可以冗余备份，设备损坏部件的更换可以进行在线操作，这样可以使影响的时间降低到最小，以保证网络可以在任何时间、任何地点提供信息访问服务。与此同时，网络设备还要求采用主流技术、开放的标准协议，能够支持不同厂家、不同系列产品之间的相互无缝连接与通讯，减少设备互连的兼容问题以及网络维护的费用。

在满足现有规模的网络用户需求的同时，考虑到业务发展、规模的扩大，主干设备的选择应该具备强大的背板带宽，足够的负载容量。对于交换机来说，核心交换引擎应该在可以满足最大配置下，无阻塞地进行端口数据包交换，模块的扩充不影响交换性能。

3、2 通过将网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。

根据网络中工作组管理功能的划分可以突破共享网络中的地理位置限制，大大提高网络规划和重组的管理功能。在同一个VLAN中客户端不论它们实际与哪个交换机连接，它们之间的通讯象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的VLAN中去。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。用户可以自由地在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

因此，划分VLAN既可以增加网络的灵活性，也可以有效地阻止VLAN内的大量非法广播，还能隔离VLAN之间的通讯，控制资源的访问权限，提高网络的安全性。同时在网络设备上应该可以进行基于协议、基于MAC地址、基于端口、基于IP地址的包过滤控制功能。

3、3 有效控制网络的访问。

合理的网络安全控制可以使应用环境中的信息资源得到有效保护。在进行安全方案设计时，应考虑网络物理是否安全、网络平台是否安全、系统是否安全、应用是否安全、管理是否安全的风险，对应采取相应的安全措施。这些风险与这个局域网的结构、系统应用、网络服务器等因素密切相关。

关键的应用服务器、主干网络设备，应该只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。使网络可以任意连接，又可以控制第二层、第三层控制网络的访问。同时，对连接用户身份的认证也是保障网络安全要考虑的重要内容。

4 网络改造规划设计

4、1 网络拓扑结构（图1）

整个网络安全设计分成内部网络和外部网络，通过一个防火墙隔离开来。防火墙上设置入侵监测和DOS攻击防护等安全防护特性，保证内部用户透明使用网络资源和拒绝外部非法未授权用户的探测和攻击。防火墙上设置VPN功能，用户可以通过使用IPSEC加密的安全通道连接到公司的防火墙，访问公司内部的网络。

此次网络改造主要针对网络交换机层，改造中需要更换一台核心交换机、一台汇聚交换机、若干台分布在各楼层的接入层设备。核心交换机采用H3C 5500-26C，设备具有24个千兆接口和4个SFP接口；汇聚交换机采用H3C 5100-16P，设备具有16个千兆接口及4个SFP接口；接入层交换机采用H3C3100-26TP-SI，具有24个10/100接口和2个千兆接口。

除了一台核心三层交换机，因核心机房还有若干应用服务器，为保证服务器高速连接到网络中，缓解核心交换机转发压力，设计通过一台5100-16P-SI交换机连接服务器组，与核心交换机的连接通过两路以太网线捆绑互联，保证设备间的高速、稳定通信。

楼层接入交换机通过布放的超五类以太网线与核心交换机连接，其连接方式同样使用两路以太网线捆绑，以使接人层交换机快速、稳定地与核心交换机互联，达到冗余备份、负载均衡。

此次改造所有以太网交换机互联均通过千兆接口。

4、2 VLAN规划

由于内部网络是由多个部门组成，按照应用部门之间需求进行统一通信控制，为了达到这种通信的要求，需要利用核心交换机对局域网进行VLAN划分，从而达到部门之间通信的安全性。

网络结构及功能初步规划包括以下几个方面：设备连接规划（千兆链路汇聚）；VLAN规划（业务VLAN、管理VLAN）；IP地址规划（设备管理IP、业务IP）；DHCP服务器规划（多VLAN DHCP规划）；接入层设备静态MAC+端口绑定（防止ARP欺骗）；设备命名、管理服务、管理账号规划；内部路由设计；访问控制规划（VLAN间安全、业务安全）。

公司内部部门较多，按照设计必须每个VLAN对应一个网段地址，为节约地址、达到地址的唯一性、可扩展性，采用了C类地址；DHCP服务由核心交换机实现地址动态分配。

由于涉及到多VLAN的环境，将会导致局域网计算机在网上邻居看不到其他VLAN内的计算机，为解决设计部门间互访的要求，需将网络系统模式提升为AD模式，同时架设WINS服务。

工作在网络第二层的VLAN技术能将一组用户归纳到一个广播域当中，从而限制广播流量，提高带宽利用率。同时缺省情况下不同VLAN之间用户是不能相互访问的。通讯通过三层设备转发，这就便于实施访问控制，提高数据的安全性。

在网络用户VLAN规划方面，根据用户所属的部门，以及具体的网络应用权限来划分出设计部门，财务及管理部门，其他行政部门，机房设备等VLAN。

具体VLAN分配原则制定后，根据VLAN内用户分布情况，在交换机上安排相应的网络端口，在不同交换机之间，如果需要交换同一VLAN的数据和信息，则在交换机互联的端口上设置其工作在Trunk模式下，使其能转发带有802、1Q标签的不同VLAN的数据包。

4、3 安全管理规划

结合实际情况，内网安全规划通过以下方法来预防及控制：按照部门或楼层等划分相应的VLAN，控制广播及病毒泛滥；对设备设置管理用户及密码，并定期更改；及时更新系统补丁和防病毒软件；通过IP+MAC+端口绑定未防止ARP攻击；通过利用防火墙对客户端进行访问策略限制，保证网络资源合理应用。

局域网内部路由，主要是为防火墙与内网多个网段之间建立通信，因为内网涉及多个网段，所以需要在三层交换机上面设置一条缺省路由到防火墙内网接口，同时在防火墙上需要设置一条聚合路由指向三层交换机。

内网客户端访问外网将通过在防火墙上实现访问控制。防火墙将按照实际应用需求设置开放相应的服务策略。通过核心三层交换机和防火墙，定义相关的访问控制列表及策略。

在网络设备配置中，利用三层设备的ACL（访问控制列表）功能，保护那些对网络安全要求较高的主机、服务器以及特定的网段（例如财务）。ACL是手工配置在网络设备上面的一组判断条件，对于满足条件的数据包，设备进行“转发”或者“丢弃”的处理。ACL的主要作用是实施对网段的访问控制，针对数据包的源地址和目的网络地址的组合，通过在网络设备上配置访问控制过滤功能，提供网络管理人员对网络资源进行有效安全管理的技术。

预防网络中ARP病毒攻击，通过在接入层交换机上配置静态MAC+端口绑定，预先设定接入层交换机端口连接到哪台终端，以及终端网卡硬件MAC地址。

在服务器上安装ServerProtect产品，可以提供集中式多重网域安装及管理、远端安全管理、实时侦测并清除病毒、自动更新及传送病毒码文件等安全措施。在客户端PC机上安装OfficeScan产品，通过浏览器进行所有的设定及配置，可以提供远程安装、主控台集中管理客户端扫描及清毒、对客户端进行实时监护等安全措施。