1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　作 者： 學 號： </p><p>　　系 部： 信 息 工 程 系 </p><p>　　專 業(yè)： 計算機網絡技術 </p>&l

2、t;p>　　題 目： xx有限公司網絡規(guī)劃與設計 </p><p>　　2013 年 4 月 </p><p>　　畢業(yè)設計（論文）中文摘要</p><p>　　畢業(yè)設計（論文）外文摘要</p><p><b>　　目錄</b></p><p><b>　　1 引

3、言1</b></p><p><b>　　1.1研究背景1</b></p><p><b>　　1.2研究意義2</b></p><p>　　1.3企業(yè)網絡建設目標2</p><p>　　1.4論文的組織3</p><p>　　2 企業(yè)網網絡設備與需求

4、設計分析4</p><p>　　2.1企業(yè)網網絡設備4</p><p>　　2.2 企業(yè)網絡需求設計分析6</p><p>　　3 企業(yè)網網絡技術9</p><p>　　3.1 VLAN技術9</p><p>　　3.2 WLAN技術10</p><p>　　3.3 網絡安全技術

5、10</p><p>　　4 企業(yè)網絡架構分析及解決方案14</p><p>　　4.1 企業(yè)網絡架構分析14</p><p>　　4.2 企業(yè)網絡架構解決方案23</p><p>　　5 公司網絡設計方案27</p><p>　　5.1總公司網絡設計方案27</p><p>　　

6、5.2分公司網絡設計方案37</p><p>　　6 企業(yè)級網絡設計方案的測試與驗收40</p><p>　　6.1物理測試40</p><p>　　6.2功能性測試40</p><p><b>　　結論42</b></p><p><b>　　致謝43</b>

7、</p><p><b>　　參考文獻43</b></p><p><b>　　1 引言</b></p><p><b>　　1.1研究背景</b></p><p>　　為適應企業(yè)信息化的發(fā)展，滿足日益增長的通訊需求和網絡的穩(wěn)定運行，如今的大型企業(yè)網絡建設比傳統企業(yè)網絡建設

8、提出更高的要求，主要表現在如下幾個方面：</p><p>　　1）現代大型企業(yè)網絡需要高帶寬和高性能，以滿足企業(yè)員工日益增長的通訊需求。隨著計算機技術的多樣化發(fā)展，基于網絡的各種應用日益增多，如今的企業(yè)網絡已經發(fā)展成為一個多業(yè)務承載平臺，它不僅要繼續(xù)承載企業(yè)的辦公自動化和WEB瀏覽等簡單的數據業(yè)務，還要承載涉及企業(yè)生產運營的各種業(yè)務應用系統數據，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務，因此數據流

9、量將大大增加，尤其是對核心網絡的數據交換能力提出前所未有的要求。</p><p>　　2）現代大型企業(yè)網絡需要更高的可靠性和實時性，用以保障企業(yè)生產運營的正常進行。隨著企業(yè)各種業(yè)務需要在計算機網絡上進行操作，如何保障企業(yè)網絡無中斷運行已經成為保證企業(yè)正常的生產運營的關鍵?，F代大型企業(yè)網絡在可靠性設計方面主要應從三方面考慮：首先是設備級可靠性設計，這里不僅要考察網絡設備是否實現了關鍵部件的冗余備份，還要從網絡設備整

10、體設計架構、處理引擎種類等多方面去考察；其次是業(yè)務的可靠性設計，這里要注意網絡設備在故障倒換過程中是否對業(yè)務的正常運行有影響；再次是鏈路的可靠性設計，以太網的鏈路安全來自于它的多路徑選擇，所以在企業(yè)網絡建設時要考慮網絡設備是否能夠提供有效的鏈路自愈手段和快速重路由協議的支持。</p><p>　　3）現代大型企業(yè)網絡應提供更完善的網絡安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經濟損失。傳統企業(yè)網絡的安全措施

11、主要是通過部署防火墻、IDS、殺毒軟件以及配合交換機或路由器的訪問列表來實現對于病毒和黑客攻擊的防御，但實踐證明這些被動的防御措施并不能有效的解決企業(yè)網絡的安全問題。在企業(yè)網絡已經成為公司生產運營的重要組成部分的今天，現代企業(yè)網絡必須要有一整套從用戶接入控制，病毒報文識別到主動抑制的一系列安全控制手段，才能有效的保證企業(yè)網絡的穩(wěn)定運行。</p><p><b>　　1.2研究意義</b>&l

12、t;/p><p>　　網絡設計人員通常有能力創(chuàng)建出一個符合要求的企業(yè)網絡，但當問題出現的時候，他們卻不能采用構建網絡時的思維來解決這些問題。每一次對網絡的升級、打補丁以及修改都會進一步增加網絡的復雜性。這些問題可能導致網絡難以被人理解，也不易于故障排除。隨著時間的推移，可能導致網絡不如預期的那樣運行良好，隨著網絡規(guī)模的不斷增長而不能很好的擴展，并且不能達到客戶的需求。解決這一問題的方法就是采用規(guī)范化、系統化的手段來構

13、建企業(yè)網絡。結構化系統分析的主要目標是能夠更準確的描述用戶需求，但在實際工作中，用戶的需求常常被設計人員忽略或理解錯誤。另一個目標是將項目分解成更易被維護與修改的模塊，使其便于管理。對于大型的網絡設計項目，模塊化顯得十分必要。設計應該依功能劃分，從而使項目更容易管理。傳統的企業(yè)網一般在一個VLAN中，所有的網絡設備處于同一個廣播域內，網絡帶寬利用率低，網絡故障多。容易受到蠕蟲等電腦病毒的攻擊，網絡的安全性、穩(wěn)定性、可可靠不能得到保障。合

14、理地規(guī)劃和設計企業(yè)網絡環(huán)境，采用當今流行的網絡三層架構，再使用VLAN技術來合理地劃分網絡區(qū)域，可以有效地隔離網絡廣播風暴，阻斷網絡攻擊，方便網絡的日常維護和管理</p><p>　　企業(yè)網絡建設是一個長期、復雜的工程，設備的配置和管理是其中的主要內容。開展企業(yè)網絡設計及實施方案應用研究，是為數字化企業(yè)建設提供一個可靠的運行平臺，是數字化企業(yè)安全、穩(wěn)定、可靠運行的基礎，對企業(yè)網絡建設和應用具有重要的指導意義。&l

15、t;/p><p>　　1.3企業(yè)網絡建設目標</p><p>　　隨著科技的不斷發(fā)展，公司的規(guī)模不斷擴大，占地面積也在擴大，員工企業(yè)網絡設計與實現的數量也在日益增多。目前的網絡已經不能滿足當前發(fā)展的需要，主要表現為網絡不穩(wěn)定，網絡抖動現象頻發(fā)，線路連線成本高，周期長，不易管理，安全性差，網絡功能性差，因此建立一個規(guī)范的高效的辦公網絡體系對于公司來說迫在眉睫。</p><p&

16、gt;　　公司將要通過建設一個高速、安全、可靠、可擴充的網絡系統以實現企業(yè)內部信息的高度共享和快速傳遞，實現信息的及時交流和全面管理，同時集團領導能夠實時、全面、準確地掌握全集團的科研、管理、財務、人事等各方面情況，建立出口信道，以便與Internet互聯。系統總體設計將本著總體規(guī)劃、分布實施的原則，充分體現系統的技術先進性、高度的安全性和可靠性，同時具有良好的開放性和可擴展性。本著為企業(yè)著想，合理使用建設資金，使系統經濟可行。公司網絡

17、的主要功能包括:文件傳輸(FTP)、郵件系統(Mall)、數據庫服務(DB、WEB服務器)、分布式數據存儲、容災備份、在線信息發(fā)布、在線信息咨詢與反饋、數據庫查詢、信息共享、本文將圍繞網絡基礎構建進行詳細研究討論。</p><p><b>　　1.4論文的組織</b></p><p>　　論文第一章介紹課題來源、研究的內容和目的。第二章介紹企業(yè)網中常用的網絡設備，以及

18、網絡設備的主要特點及應用。第三章介紹了常用的網絡技術，以及相關網絡技術在企業(yè)網建設中的應用。第四章介紹了企業(yè)網絡架構分析及解決方案。第五章講述了企業(yè)網總體企業(yè)網絡設計及實施方案，以及VLAN的劃分和IP地址的分配。第六章主要是測試與驗收。</p><p>　　2 企業(yè)網網絡設備與需求設計分析</p><p>　　2.1企業(yè)網網絡設備</p><p><b&g

19、t;　　2.1.1路由器</b></p><p>　　路由器是工作在OSI參考模型第三層(網絡層)的網絡設備，其主要功能是檢查數據包中與網絡層相關的信息，然后根據某些規(guī)則轉發(fā)數據包。即實現將一個數據包從一個網絡發(fā)送到另一個網絡。然而，路由器不但要檢查數據包中的數據鏈路層的信息，還要檢查數據包中的其它信息，所以，路由器要有較高的數據處理和數據轉發(fā)能力。</p><p>　　路由器

20、是連接不同網段或不同網絡協議的網絡設備。在網絡中進行數據傳輸時，路由器根據所收到的數據報頭中的目的地址，選擇一個合適的路徑，然后將數據包傳送到下一個路由器，并以此類推，路徑上最后的路由器負責將數據包傳送給目的主機。路由器轉發(fā)數據包的依據是路由表。表中每條路由項都指明數據包到某子網或某主機應通過路由器的哪個物理端口發(fā)送，以及下一跳地址，并將數據包最終傳送到目的主機。</p><p>　　a)目的地址/子網掩碼<

21、;/p><p>　　目的地址/子網掩碼(Destination/Mask)，即NetworkDestination和Netmask，用來標識仲數據報文的目的主機或目的網絡地址。</p><p><b>　　b)下一跳地址</b></p><p>　　下一跳地址(Next一hop)，即網關(Gateway)，是最接近目的網絡的下一個路由設備地址。&l

22、t;/p><p><b>　　c)度量值</b></p><p>　　度量值(Metric)，說明IP數據包需要經過多少跳才能到達目標。主要用于說明到達目標網絡還需要經過多少個路由設備進行轉發(fā)，路由器依據度量值選擇一條較優(yōu)的路徑發(fā)送IP數據包，保證IP數據包能更快的到達目的。</p><p>　　d)默認路由(Defaultroute)</p

23、><p>　　默認路由(Defaultroute)，是0.0.0.0/0，子網掩碼長度為0，表明此路由匹配所有的IP地址。默認路由是一種特殊的靜態(tài)路由，能夠匹配所有IP地址。但因為默認路由的子網掩碼最短，所以只有在沒有其它路由匹配的數據包的情況下，系統才會選擇默認路由轉發(fā)數據包。</p><p><b>　　2.1.2 防火墻</b></p><p&g

24、t;　　防火墻(Firewall)放置在用戶和外部網絡之間，用于將內部網和外部外部網絡(如Internet)分開，保護內部網絡設備和用戶的.安全。從使用范圍來看，主要分為個人防火墻和網絡防火墻，分別用于保護個人計算機和一個網絡內的計算機。從結構組成來看，主要分為軟件防火墻和硬件防火墻，軟件防火墻主要應用于中小型企業(yè)網絡環(huán)境或大型企業(yè)的局部網絡環(huán)境，而在數據流量較大的企業(yè)網絡環(huán)境中，通常使用性能更高的硬件防火墻。采用IP封包過濾技術的防火

25、墻運作在TCP/IP協議堆棧上，稱為網絡層防火墻。它以枚舉的方式工作，只允許符合特定規(guī)則的封包通過，其余的一概禁止通過防火墻。也可以選擇“否定規(guī)則”，即不符合規(guī)則的封包允許通過。這些規(guī)則通?？梢越浻晒芾韱T定義或修改，許多防火墻設備都內置了一些默認規(guī)則。有些防火墻還能利用封包的第二章企業(yè)網網絡設備多樣屬性來進行過濾，例如:來源IP地址、來源端口號、目的IP地址、目的端口號、服務類型(如WWW或是FTP)。也可以根據通信協議、TTL值、來源

26、的網域名稱或網段等屬性來進行過濾。最新開發(fā)的防火墻技術多是在TCP/IP堆棧的“應用層”上運作，稱為應用層防火墻。可以對使用瀏覽</p><p><b>　　2.1.3 交換機</b></p><p>　　在目前普遍使用的局域網中，交換式以太網技術已經基本替代了共享式以太網技術，交換機也基本取代了集線器，成為局域網中非常重要的網絡設備，負責在主機之間快速轉發(fā)數據幀。&

27、lt;/p><p><b>　　a)二層交換機</b></p><p>　　二層交換機工作在數據鏈路層，可以識別數據包中的MAC地址信息，根據MAC地址進行轉發(fā)，并將這些MAC地址與對應的端口信息保存在交換機的MAC地址表中。交換機采用CSMA/CD機制檢測和避免沖突，交換機各個端口能夠獨立進行沖突檢測、發(fā)送和接收數據，相互之間沒有干擾。因此，交換機的各個端口屬于不同的沖

28、突域，各端口獨享帶寬。二層交換機主要安裝在網絡的接入層，用于連接網絡終端設備。</p><p><b>　　b)三層交換機</b></p><p>　　大型局域網絡一般按照部門、地域等因素劃分成一個個小的局域網，這提高了網絡的安全可靠性，同時也阻斷了網絡內部設備之間的網際互訪。單純的使用二層交換機不能實現網際互訪，使用路由器又會增加網絡建設成本，限制網絡的速度和網絡規(guī)

29、模，目前一般多采用具有路由功能的三層交換機解決以上問題。三層交換機也稱為路由交換機，它綜合實現了路由和二層交換機的功能。路由器相當于存在交換機中的一個路由軟件模塊，實現三層路由轉發(fā);而交換機相當于二層交換機模塊，實現VLAN內的二層快速轉發(fā)。工作時采用一次尋址多次轉發(fā)的機制，加快了大型局域網絡內部數據的快速轉發(fā)。</p><p><b>　　c)四層交換機</b></p>&l

30、t;p>　　四層交換機能夠工作在OSI參考模型的第四層，它的數據傳輸不僅僅依據以C地址或源/目標IP地址，而且依據TCP/UDP(第四層)應用端口號。第四層交換功能就像是虛IP，指向物理服務器。它傳輸的業(yè)務服從的協議多種多樣，有HTTP、FTP、NFS、Telnet或其他協議。這些業(yè)務在物理服務器基礎上，需要復雜的載量平衡。在IP數據傳輸時，業(yè)務類型由終端TCP或UDP端口地址來決定，即同時由源端和終端IP地址、TCP和UDP端口

31、共同決定。四層交換機現在只有思科等少數公司有應用產品，其他公司多數還處于研發(fā)階段，市場使用較少。</p><p>　　2.2 企業(yè)網絡需求設計分析</p><p>　　2.2.1 網絡需求</p><p>　　目前，公司分為總公司和分公司兩心、大型服務器和接入等，分公司與總公司出差的員工利用VPN網關能夠時刻訪問公要為其分析當前面臨的主要問題，確定公司基礎上選擇設計

32、適合的網絡結構和網絡技術各方面詳細闡述。</p><p>　　a)企業(yè)寬帶性能需求</p><p>　　隨著計算機技術的高速發(fā)展，集團公要承載企業(yè)的辦公自動化、WEB瀏覽等運營的各種業(yè)務應用以及帶寬和時延都很高因此，數據量大大增加，這就要求必須增骨干層必須具有千兆位級帶寬和處理性能，個暢通無阻的“高品質”大型企業(yè)網，從增長的需求。</p><p><b>

33、　　b)穩(wěn)定可靠需求</b></p><p>　　隨著公司的發(fā)展多種業(yè)務應用都將絡通信將成為企業(yè)正常運營的保障。因此，才能保證網絡的實時暢通?，F代企業(yè)網絡在可靠性設計上主要有以設備的可靠性:不但網絡設備的關鍵部引擎種類，整體設計構架也都要考慮到。業(yè)務的可靠性:當網絡設備發(fā)生問題進務的正常運行。</p><p><b>　　c)服務質量需求</b></

34、p><p>　　為了滿足企業(yè)網承載多種業(yè)務的需求，就必OS保障。隨著企業(yè)發(fā)展，企業(yè)的業(yè)務不斷增多也在增加，如果單純的增大帶寬不能夠保障數據夠對于緊急的應用事件和不同重要程度的事件進數據流。另外企業(yè)網絡也能夠智能化的調度網絡務的帶寬、優(yōu)先級、時延等。大型企業(yè)網絡系統務的保障。</p><p><b>　　d)網絡安全需求</b></p><p>　　

35、為了阻止黑客和病毒的攻擊，最大程度的減提供更安全更完善的解決方案。傳統的企業(yè)網墻、IDS、殺毒軟件等，以及配合交換機和路擊，但實踐證明這些被動的防御措施并不能有代企業(yè)網絡必須要有一整套從用戶接入控制、安全控制手段，以保障企業(yè)網絡的穩(wěn)定運行。</p><p>　　e)網絡智能化管理需求</p><p>　　為了適應網絡規(guī)模日益擴大、維護工作更加方案應更加智能。</p><

36、p><b>　　2.2.2設計分析</b></p><p><b>　　a)設計目標</b></p><p>　　在網絡層面上，建設一個以現代網絡技術為覆蓋公司主要樓宇的企業(yè)主干網，將企業(yè)的網連接起來，并與有關廣域網相連，以便在的信息資源。在此基礎上形成結構合理、研發(fā)、交流和管理工作的軟硬件環(huán)境，開發(fā)人員提供充分的網絡信息服務。系統總體設計

37、將本著總體規(guī)劃，分布實性、高度的安全可靠性，同時，具有良好的合理使用建設資金，使系統經濟可行。</p><p><b>　　b)設計原則</b></p><p>　　本著少花錢辦大事的原則，充分利用有限的投資，在保證網絡先進行的前提下，選用性能價格比最好的設備，企業(yè)網建設遵循以下原則:</p><p><b>　　1） 先進性<

38、/b></p><p>　　以先進、成熟的網絡通信技術進行組網，支持數據、軟件等實際應用，用基于交換的技術替代傳統的基于路由的技術。</p><p>　　2） 標準化和開放性</p><p>　　網絡協議采用符合IS0等技術標準，包括IEEE、ITUT、ANSI等制定的協議，采用遵從國際和國家標準的網絡設備。</p><p><b

39、>　　3）可靠性和可用性</b></p><p>　　選用高可靠性的產品和技術，充分考慮系統在程序運行時的應變能力和容錯能力，確保整個系統的安全與可靠。</p><p>　　4) 靈活性和兼容性</p><p>　　選用符合國際發(fā)展潮流的國際標準的軟件技術，使系統具有可靠、可擴展和可升級等特點，保證今后可迅速采用計算機網絡發(fā)展的新技術，同時為現存不

40、同的網絡設備、小型機、工作站、服務器和微機等設備提供入網和互聯手段。</p><p>　　5) 實用性和經濟性</p><p>　　從實用性和經濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資構造一個性能最佳的網絡系統。</p><p>　　6) 擴展性和升級能力</p><p>　　網絡設計應具有良好的

41、擴展性和升級能力，選用具有良好升級能力和擴展性企業(yè)網絡設計與實現的設備。在以后對該網絡進行升級和擴展時，必須能保護現有投資。應支持多種網絡協議、多種高層協議和多媒體應用。</p><p><b>　　7) 網絡的靈活性</b></p><p>　　系統的靈活性主要表現在軟件配置與負載平衡等方面，配合交換機產品與路由器產品支持的最先進的虛擬網絡技術，整個網絡系統可以通過

42、軟件快速簡便地將用戶或用戶組從一個網絡轉移到另一個網絡，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應結構的變化。同時也可以通過平衡網絡的流量，以提高網絡的性能。</p><p>　　3 企業(yè)網網絡技術</p><p>　　3.1 VLAN技術</p><p>　　VLAN(VirtualLocalAreaNetwork，虛擬局域網)是為解決以太網的廣播問題

43、和安全性而提出的一種技術，它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網可以限制廣播范圍，并能夠形成虛擬工作組動態(tài)管理網絡。避免了交換機所有端口都處于一個廣播域內，導致一臺計算機發(fā)出的廣播幀，局域網中的所有計算機都能接收到，保證局域網的有限網絡資源不會被無用的廣播信息所占用。VLAN通過將局域網內的設備按照邏輯地址劃分成一個個網段，而

44、不是物理地劃分成一個個網段，從而實現虛擬工作組的新興技術。IEEE于1999年頒布了用以標準化VLAN實現方案的802.IQ協議標準草案，VLAN技術允許將一個物理的LAN劃分成多邏輯上的LAN，也稱為虛擬局域網，或VLAN。每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是邏輯地而不是物理地劃分，所以，同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站可以不屬于同一個物

45、理LAN網段。一個VLAN</p><p>　　a)基于端口的VLAN劃分</p><p>　　基于端口的VLAN是最簡單、最有效的VLAN劃分方法，它按照設備端口來定義VLAN成員。將指定端口加入到指定VLAN中之后，該端口就可以轉發(fā)指定VLAN的數據幀。是當前最常用的VLAN劃分方法。</p><p>　　b)基于MAC地址的VLAN劃分</p>

46、<p>　　基于MAC地址的劃分是根據每個主機的MAC地址來劃分VLAN。交換機維護一張VLAN映射表，這個VLAN表記錄MAC地址和VLAN的對應關系。這種方法是初始配置時，所有用戶的MAC地址都需要收集，并逐個配置，如果用戶很多，配置的工作量是很大的，此外，這種劃分的方式也導致了交換機執(zhí)行效率降低。實際應用中使用較少。</p><p>　　c)基于協議的VLAN劃分</p><p

47、>　　基于協議的VLAN劃分是根據端口收到的報文所屬的協議或協議族類型來給報文分配不同的VLANID?？捎脕韯澐諺LAN的協議族有IP、IPX等。交換機從端口接收到以太網幀后，根據幀中所封裝的協議類型來確定報文所屬的VLAN，然后將數據幀自動劃分到指定的VLAN中傳輸。因為目前網絡中絕大多數主機都運行IP協議，運行其他協議的主機很少，，實際當中應用比較少見。</p><p>　　d)基于子網的VLAN劃分&

48、lt;/p><p>　　基于IP子網的VLAN是根據報文源IP地址及子網掩碼作為依據來進行劃分的。設備從端口接收到報文后，根據報文中的源IP地址，找到與現有VLAN的對應關系，然后根據IP地址，自動將相應的網絡終端劃分到對應的VLAN中。這種VLAN劃分方法管理配置靈活，網絡用戶自由移動位置而不需要重新配置主機或交換機。但是，這種方法也有它不足的一面，因為為了判斷用戶屬性，必須檢查每個數據包的網絡層地址，這將耗費交換

49、機大量資源，并且同一個端口可能存在多個VLAN用戶，這對廣播的抑制效率有所下降，因此實際應用也較少。</p><p>　　3.2 WLAN技術</p><p>　　WLAN(wireleSSLoealAreaNetwork，無線局域網)技術，是指應用無線通信技術將網絡終端設備互連起來，以無線信道作為傳輸介質的計算機局域網。WLAN是有線網絡的重要補充和延伸，并成為計算機網絡中一個非常重要的

50、組成部分。無線局域網本質的特點是不再使用通信電纜將計算機與網絡連接起來，而通過無線的方式連接，從而使網絡的構建和終端的移動更加靈活。有線以太網MAC層標準協議為CSMA/CD(CarriersenseMultipleAeeesswithCollisionDetection，載波偵聽多點接入/沖突檢測)，而無線網絡無法做到沖突檢測，于是采用了CSMA/CA(CarrierSenseMultipleAeeeSSwithCollisionAv

51、oidanee，載波偵聽多點接入/避免沖撞)。有線以太網有沖突檢測功能，無線以太網沒有沖突檢測功能。當網絡中存在信號沖突時，CSMA/CD可以及時檢測出來并進行回避，而CSMA/CA是在數據發(fā)送前，通過避讓機制杜絕了沖突的發(fā)生。</p><p>　　3.3 網絡安全技術</p><p>　　網絡安全是指網絡硬件平臺及其之上傳輸的信息的安全，網絡安全技術就是保護網絡系統的硬件、軟件及其系統中

52、的數據不被破壞、更改、泄露，系統能夠連續(xù)可靠正常地運行，網絡服務不中斷。網絡安全涉及的內容包括技術方面的問題和管理方面的問題，技術方面主要防范非法攻擊和破壞，管理方面主要防范人為因素對網絡安全的影響，只有兩個方面相互補充，才能保證網絡的安全性。下面是網絡安全的常用關鍵技術。</p><p>　　a)ACL包過濾技術</p><p>　　ACL(Access Control List，訪問控

53、制列表)，是由一系列有順序的規(guī)則組成，這些規(guī)則(rule)是由數據包的源地址、目的地址、端口號等定義成匹配條件，并執(zhí)行允許(permit)或拒絕(deny)操作。ACL包過濾技術是應用在網絡設備的接口上的，網絡設備根據ACL包過濾的配置條件對進入和離開的數據包進行過濾，即決定對數據包是放行或丟棄。使用時需要先定義ACL，然后在網絡設備的接口上應用ACL策略。ACL可以限制網絡流量、提高網絡性能。如，可以根據數據包的協議配置ACL規(guī)劃，指

54、定某些數據包可以優(yōu)先級通過;而另一些數據包的優(yōu)先級別相對較低，在網絡相對繁忙時，傳輸速度下降或數據被丟棄。ACL還是提供網絡安全訪問的基本手段。通過配置ACL規(guī)則，可以設定允許某些主機訪問某些主機和網絡，而拒絕某些主機訪問另一些主機或網絡。合理配置和使用ACL可以極大地提高網絡的安全性、可靠性、穩(wěn)定性等，是保證網絡正常運行的主要技術。</p><p><b>　　b)NAT技術</b><

55、;/p><p>　　NAT(網絡地址轉換)是將一個IP數據報報頭中的IP地址轉換為另一個IP地址的過程，主要用于實現私有網絡訪問外部網絡的功能。常見的NAT技術有一對一地址轉換、多對一地址轉換、多對多地址轉換等。</p><p><b>　　c)NAT的實現</b></p><p>　　方式主要有靜態(tài)轉換、動態(tài)轉換、端口多路復用(PAT)。<

56、/p><p><b>　　1)靜態(tài)轉換</b></p><p>　　是IP地址對是一對一的轉換，可以實現內部網絡的私有IP地址轉換與公有IP地址之間的轉換。主要用于發(fā)布企業(yè)網絡服務器，對服務器具有隱藏和保護的作用。</p><p><b>　　2)動態(tài)轉換</b></p><p>　　是IP地址多對多的

57、轉換，_可以實現內部網絡的多個私有IP地址與外部多個公有IP地址之間的轉換。主要用于ISP提供的合法IP地址略少于網絡內部的計算機數量的情況，可以采用動態(tài)轉換的方式實現內部用戶的共享外網連接。</p><p><b>　　3)端口多路復用</b></p><p>　　是內部網絡多個IP地址對應外部一個或多個IP地址的轉換方式，通過端口號來建立內部計算機IP地址與外部計

58、算機IP地址的端口對應關系。主要用于內部網絡的所有用戶可共享一個或多個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自Internet的攻擊。端口多路復用是目前企業(yè)應用最多的共享上網方式。</p><p><b>　　d)AAA技術</b></p><p>　　AAA(Authentiea

59、tion，AuthorizationandAeeounting，認證、授權和計費)是一套綜合性的安全架構體系，提供了用戶認證、授權和計費等三種安全功能，采用客戶端服務器模式。與其他安全技術一起配合使用，可極大地提高網絡系統的安全性 。</p><p><b>　　1)認證</b></p><p>　　認證系統用于判斷訪問用戶的身份，確認訪問者是否為合法的網絡用戶。在網

60、絡中一般由認證服務器提供用戶認證功能。</p><p><b>　　2)授權</b></p><p>　　對通過認證的用戶根據用戶類別不同賦予用戶不同的權限，確定用戶所能夠得到的服務，以及可以訪問的網絡資源。</p><p>　　d)交換機端口安全技術</p><p>　　交換機的端口安全技術主要是基于802.lx協議，

61、提供了有線和無線局域網的安全，主要使用端口隔離和端口綁定技術，用于提供網絡的安全性。</p><p><b>　　1)端口隔離技術</b></p><p>　　使用端口隔離技術可以實現同一個VLAN內端口之間的隔離，用戶將端口加入到隔離組中，就可以實現端口之間二層數據的隔離，使用同一VLAN內的用戶也不能相互直接訪問，使用端口隔離技術可以提供更加安全、靈活的組網方案。

62、</p><p><b>　　2)端口綁定技術</b></p><p>　　交換機支持“MAC”、“MAC+IP”和“MAC+IP+端口”等綁定功能，實現了設備對轉發(fā)數據的過濾控制，提高網絡的安全性，配置交換機的綁定功能后，只有指定了MAC、仲的主機才能在確定的連接端口發(fā)送和接收數據，訪問網絡資源。</p><p>　　e)VPN虛擬專用網技術

63、</p><p>　　現在對企業(yè)網絡資源的訪問不只在企業(yè)內部完成，有時還要通過互聯網訪問企業(yè)網絡內部資源，如何保證數據傳輸的安全性是網絡訪問必須解決的問題。VPN技術正是為了解決遠程訪問安全性而提出的技術方案。</p><p>　　VPN技術是在企業(yè)網一端口設置VPN服務器，遠程用戶在互聯網上建立一條虛擬專用通道，連接到企業(yè)網的VPN服務器，這條通道邏輯上的獨立的，不受其他網絡傳輸數據的影

64、響，因此具有較高的安全性。VPN技術已經在廣泛應用于網絡的遠程接入。</p><p>　　4 企業(yè)網絡架構分析及解決方案</p><p>　　4.1 企業(yè)網絡架構分析</p><p>　　4.1.1物理層分析</p><p>　　物理層是0SI(OpenSystemIntereonLnection)參考模型中的第一層，同時，在構建網絡中也是

65、最基礎的一層，它為境設備之間的數據通信提供傳輸媒體以及互聯設備，為數據傳輸提供可靠的環(huán)境。在物理層的搭建中選擇何種網絡技術決定了未來網絡是否成功，是否具有高性能和擴展性，在進行網絡更新時能否實現平滑過渡。而網絡技術有很多，例如以太網、百兆以太網、FDDI、TokenRing、ATM、千兆以太網。其中百兆太網在局域網中應用的最廣泛。百兆以太網是一個成熟的組網技術，造價比較低，但性價比高，在企業(yè)網絡的接入層與匯聚層的應用能夠很好的解決企業(yè)網

66、絡的瓶頸問題。</p><p>　　FDDI也是一個成熟的組網技術，但是它造價高，技術復雜，而且很難升級，不適合本次改造項目。</p><p>　　ATM技術成熟而且復雜，是多媒體應用系統的理想平臺，但帶寬利用率低，不適合本次改造項目。</p><p>　　由于本次網絡項目要求，桌面達到百兆位的帶寬，骨干達到千兆位的帶寬，因此在選擇組網技術上我們選擇百兆以太網技術應

67、用于接入與匯聚層，在核心層我們采用千兆以太網技術。下面是有關百兆以太網和千兆以太網涉及的技術參數說明。</p><p><b>　　a)百兆以太網</b></p><p>　　快速以太網又稱百兆以太網，主要解決網絡帶寬在局域網絡應用中的瓶頸問題。其協議標準為1995年頒布的IEEE802.3u，可支持100Mb/s的數據傳輸速率，并且支持共享式與交換式兩種使用環(huán)境，在

68、交換式以太網環(huán)境中可以實現全雙工通信。</p><p>　　1) 100Base一T4</p><p>　　l00Base一T4是為了利用大量的3類音頻級布線而設計的。它使用4對雙絞線，3對用于同時傳送數據，第4對用于沖突檢測時的接收信道，信號頻率為25MHz，企業(yè)網絡設計與實現因而可以使用數據級3、4或5類非屏蔽雙絞線，也可以使用音頻級3類線纜。最大網段長度為1O0m，采用EIA568

69、布線標準;由于沒有專用的發(fā)送或接收線路，所以100Base一T4不能進行全雙工操作;100Base一T4采用比曼徹斯特編碼更高級的6B/6T編碼法。</p><p>　　2) 1OOBase一TX</p><p>　　使用兩對5類非屏蔽雙絞線或1類屏蔽雙絞線，一對用于發(fā)送據，另一對用于接收數據，最大網段的長度為100m，布線符合EIA568標準;采用4B/SB編碼法，使其可以125MHz

70、的串行數據流來傳送數據;使用MLT-3(多電平傳輸一3)波形法來降低信號頻率到41.6MHz(=125/3)。100Base一TX是100Base一T中使用最廣的物理層規(guī)范。</p><p>　　3） 100Base一FX</p><p>　　使用多模(62.5或125um)或單模光纜，連接器可以是MIC/FDDI連接器、ST連接器或廉價的SC連接器。最大網段長度根據連接方式不同而變化，

71、例如，對于多模光纖的交換機一交換機連接或交換機一網卡連接最大允許長度為412m，如果是全雙工鏈路，則可達到Z000m。100Base一FX主要用于高速主干網，或遠距離連接，或有強電氣干擾的環(huán)境，或要求高安全保密鏈接的環(huán)境。</p><p><b>　　b)千兆位以太網</b></p><p>　　千兆位以太網基本保留了原有以太網的幀結構，所以向下和以太網與快速以太網完

72、全兼容，從而原有的10Mb/S以太網或快速以太網可以方便地升級到千兆位以太網。千兆位以太網標準實際上包括支持光纖傳輸的IEEE802.3z和支持銅纜傳輸的IEEE802.3ab兩大部分。</p><p>　　1） 100Base一LX</p><p>　　1OOBase一LX是一種使用長波激光作為信號源的網絡介質技術，在收發(fā)器上配置波長為1270nm一1355nm(一般為1300nm)的激

73、光傳輸器，既可以驅動多模光纖，又可以驅動單模光纖，連接光纖所使用的SC型光纖連接器與快速以太網IOOFX所使用的連接器的型號相同。looBase一LX可采用芯徑為50um和62.5um的多模光纖，工作波長為850nln，全雙工下最長傳輸距離為550m，數據編碼方法為SB/IOB，適用于作為大樓網絡系統的主干通路。</p><p>　　l000Base一LX可采用芯徑為9um的單模光纖，工作波長為1300nm或IS

74、50nm，數據編碼方法為8B/10B，適用于校園或城域主干網。</p><p>　　2） 10OOBase一SX</p><p>　　1000Base一SX是一種使用短波激光作為信號源的網絡介質技術，收發(fā)器上所配置的波長為77Onm一860nm(一般為88Onm)的激光傳輸器不支持單模光纖，只能驅動多模光纖。l000Base一sx采用芯徑為62.5um和50um的多模光纖。使用62.5m多

75、模光纖全雙工模式下最長有效距離為275m;使用50um多模光纖全雙工模式下最長有效距離為550m。1000Base一SX所采用的數據編碼方法為8B/10B，所使用的光纖連接器與1O00Base一LX一樣也是SC型連接器，適用于作為大樓網絡系統的主干通路。</p><p>　　3） 1000Base一CX</p><p>　　1000Base一Cx使用一種特殊規(guī)格的IS0高質量平衡雙絞線對的

76、屏蔽銅纜作為網絡介質，最長傳輸距離為25m，傳輸速率為1.25Gb/s，使用9芯D型連接器連接電纜，系統數據編碼方法采用SB/IOB，1000Base一CX適用于交換機之間的短距離連接，尤其適用于千兆位主干交換機和主服務器之間的短距離連接，適用于集群網絡設備的互連，例如機房內連接網絡服務器。</p><p>　　4） 1000Base一T</p><p>　　1000Base一T采用4對5

77、類UTP雙絞線，傳輸距離為100m，傳輸速率為1Gb/s，主要用于結構化布線中同一層建筑的通信，從而可以利用以太網或快速以太網已鋪設的UTP電纜，也可被用作大樓內的網絡主干。</p><p>　　4.1.2鏈路層分析</p><p>　　數據鏈路層是OSI參考模型中的第二層，主要用來完成數據鏈路的建立、拆除。對數據的檢錯、糾錯是數據鏈路層的基本任務。在數據鏈路層我們會采用VLAN (Vir

78、tualLAN虛擬局域網)技術來解決部門間信息隔離的問題，同時也方便對各部門的管理。對外我們采用PPP協議來保障鏈路的鏈接。</p><p>　　a)IEEESO2.IQ</p><p>　　IEEE802.IQ規(guī)范為標識帶有VLAN成員信息的以太網幀建立一種標準方法。IEEE802.IQ標準定義了VLAN網橋操作，從而允許在橋接局域網結構中實現定義、企業(yè)網絡設計與實現運行以及管理VLAN

79、拓撲結構等操作。802.IQ標準主要用來解決如何將大型網絡劃分為多個小網絡，如此廣播和組播流量就不會占據更多的帶寬。此外802.IQ標準還提供了更高的網絡段間安全性。</p><p><b>　　b)PPP協議</b></p><p>　　PPP(Point-to-Point Protoeol點到點協議)是為在同等單元之間傳輸數據包的簡單鏈路設計的鏈路層協議。這種鏈路

80、提供全雙工操作，并按照順序傳遞數據包。1992年IntemetITF成立了一個小組來指定點到點的數據鏈路協議一InternEt標準。該標準命名為PPP(Point-to-Point Protoeol)即點到點協議，經過1993年和1994年的修訂，現在已成為因特網的正式標準。PPP是一種分層的協議，最初由LCP發(fā)起對鏈路的建立、配置和測試。LCP初始化后，通過一種或多種“網絡控制協議(NCP)”來傳送特定協議族的通信。在RFC1332文

81、檔中描述的IP協議控制協議(IPCP)允許在PPP鏈路上傳輸IP分組。PPP提供了一種在點對點的鏈路上封裝多協議數據報的標準方法。它具有以下特性:</p><p>　　1） 能夠控制數據鏈路的建立; </p><p>　　2) 能夠對IP地址進行分配和使用;</p><p>　　3）允許同時采用多種網絡協議; </p><p>　　4)

82、 能夠配置和測試數據鏈路;</p><p>　　5） 支持身份驗證; </p><p>　　6) 有協商選項，能夠對網絡層的地址和數據壓縮等進行協商。</p><p>　　4.1.3網絡層分析</p><p>　　網絡層是OSI參考模型的第三層，在這一層網絡設備利用路由協議為數據包選擇合適路徑將數據送到目的地。路由協議

83、的作用是用來維護路由信息，建立路由表，決定最佳路徑。在網絡層路由協議有很多，根據路由選擇協議的算法不同劃分如下:</p><p>　　a) 距離矢量(Distance Vector):根據距離矢量算法，確定網絡中節(jié)點的方向與距離。包括RIP路由協議及IGRP(CISCO私有協議)路由協議。</p><p>　　b） 鏈路狀態(tài)(Link-state):根據鏈路狀態(tài)算法，計算生成網絡的拓撲

84、。包括OSPF路由協議與IS-IS路由協議。</p><p>　　c） 混合算法(Hybird):根據距離矢量和鏈路狀態(tài)的某些方面進行集成。包括EIGRP路由協議(CISCO私有協議)。</p><p>　　d)距離矢量路由協議</p><p>　　距離矢量名稱的由來是因為路由是以矢量(距離、方向)的方式通告出去，其中距離是根據度量定義的，方向是根據下一跳路由器定義

85、的。比如，“某一路由器X的方向可以到達目標Y，距此5跳距離”。這個表述隱含了每個路由器都向鄰接路由器學習它們所觀察的路由信息，然后在再向外通告自己觀察到的路由信息。因為每個路由器在信息上都依賴于鄰接路由器，而鄰接路由器又從它們的鄰居那里學習路由，依次類推，所以距離矢量路由選擇協議有時又被認為是“依照傳聞進行路由選擇”的協議。屬于距離矢量路由選擇協議如下:</p><p>　　1） IP路由選擇信息協議(RIP)

86、 </p><p>　　2) Xerox網絡系統的XNSRIP </p><p>　　3) CISCO的Intemet網管路由選擇協議(IGRP) </p><p>　　4) DEC的DNA階段4 </p><p>　　5) AppleTalk的路由選擇表維護協議(RTMP)</p&g

87、t;<p>　　e)鏈路狀態(tài)路由協議如下:</p><p>　　1) IP開放式最短路徑優(yōu)先(OSPF)</p><p>　　2) CLNS或IPIS0的中介系統到中介系統(IS一IS)</p><p>　　3) DEC的DNS階段5</p><p>　　4) Novell的Netware鏈路服務協議(NLSP)在本次項目

88、中，由于網絡設備比較多，網絡環(huán)境也相對復雜，為了能夠在最企業(yè)網絡設計與實現短時間內達到鏈路聚合，提高網絡效率，我們選擇OSPF來作為項目實施的路由協議。</p><p>　　4.1.4網絡安全分析</p><p>　　網絡安全是網絡建設中最重要的組成部分，只有具有高安全性的網絡才能夠保障公司內部數據的安全，保障公司的利益不受侵害。在網絡安全構建中有如下必要的技術。</p>&

89、lt;p><b>　　a)身份驗證技術</b></p><p>　　PAP驗證:密碼認證協議(Password AuthenticationProtocol)是PPP協議集中一種鏈路控制協議，主要是通過使用二次握手提供一種對等節(jié)點的建立認證的簡單方法，建立在初始鏈路確定的基礎上。CHAP驗證:PPP挑戰(zhàn)握手認證協議(CHAP:ChallengeHandshake Authenticat

90、ionProtocol)通過三次握手周期性校驗對端身份，在初始鏈路建立時完成，可以在鏈路建立之后在任何時候重復進行。</p><p><b>　　b)加密技術</b></p><p>　　加密技術是電子商務采用的主要安全保密措施，是最常用的安全保密手段，加密可以利用技術手段把重要的數據變?yōu)閬y碼(加密)傳送，到達目的地后再用相同或不同的手段還原(解密)。加密技術包括兩個

91、元素:算法和密鑰。算法是將普通的文本(或者可以理解的信息)與一串數字(密鑰)的結合從而產生不可理解的密文的步驟，密鑰是用來對數據進行編碼和解碼的一種算法。在安全保密中，可通過適當的密鑰體制分為對稱密鑰體制和非對稱密鑰體制兩種。相應地，對數據加密的技術分為兩類，即對稱加密(私人密鑰加密)和非對稱加密(公開密鑰加密)。對稱加密以數據加密標準算法為典型代表。對稱加密的加密密鑰和解密密鑰相同，而非對稱加密的加密密鑰和解密密鑰不同，加密密鑰可以公

92、開而解密密鑰需要保密。</p><p><b>　　c)防火墻安全技術</b></p><p>　　隨著Internet的日益普及，互聯網上的瀏覽訪問不僅使數據傳輸量增加，網絡被攻擊的可能性增大，而且由于Internet的開放性，網絡安全防護的方式發(fā)生了根本變化，使得安全問題更為復雜。傳統的網絡強調統一而集中的管理和控制，可采取加密、認證、訪問控制、審計以及日志等多種

93、技術手段，且它們的實施可由通信雙方共同完成:而由于Internet是一個開放的全球網絡，其網絡結構錯綜復雜，因此安全防護方式截然不同。Internet的安全技術涉及傳統的網絡安全技術和分布式網絡安全技術，且主要是用來解決如何利用Internet進行安全通信，同時保護內部網絡免受外部攻擊。在此情形下，防火墻技術應運而生。防火墻技術可根據防范的方式和側重點的不同而分為很多類型，但總體來講可分為包過濾、應用級網關和代理服務器等幾大類型。<

94、;/p><p>　　1） 數據包過濾型防火墻</p><p>　　數據包過濾(Packet Filtering)技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯，被稱為訪問控制列表。通過檢查數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態(tài)等因素，或它們的組合來確定是否允許該數據包通過。數據包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網絡性能和透明性好，它通常安裝

95、在路由器上。路由器是內部網絡與Internet連接必不可少的設備，因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。數據包過濾防火墻的缺點有二:一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊;二是數據包的源地址、目的地址以及IP的端口號都在數據包的頭部，很有可能被竊聽或假冒。分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網絡服務采取特殊的處理方式;之所以廉價，因為大多數路

96、由器都提供分組過濾功能;之所以有效，因為它能很大程度的滿足安全要求。所根據的信息來源于IP、TCP或UDP包頭。包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的:據以過濾</p><p>　　2） 應用級網關型防火墻</p><p>　　應用級網關是在網絡應用層上建立協議過濾和轉發(fā)功能。它針對特定的網絡應用服務協議使用指定的數據過

97、濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。數據包過濾和應用網關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯，則防火墻內外的計算機系統建立直接聯系，防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態(tài)，這有利于實施非法訪問和攻擊。</p><p>　　3） 代理服務器型防火墻</p>

98、;<p>　　代理服務也稱鏈路級網關或TCP通道，也有人將它歸于應用級網關一類。它是對數據包過濾和應用網關技術的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層“鏈接”，由兩個終止代理服務器上的“鏈接”來實現，外部計算機的網絡鏈路只能到達服務器，從而起到了隔離防火墻內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記，形成報告，同時當發(fā)現被攻擊跡象時會向

99、網絡管理員發(fā)出警報，并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔離點。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息。</p><p>　　4） 復合型防火墻口</p><p>　　由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構:在該結構中，分組過濾路由器或防火

100、墻與hiternet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構:堡壘機放在一個子網內，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Intemett及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。由此可見在

101、網絡安全中，很重要的一個部分可以說是防火墻。防火墻的可靠性直接關系到整個網絡的安全。因此，必須在Intemct和內部網之間建立起一道防火墻。使從內部網到外部網以及外部網到內部網的所有信息都必須通過防火墻;只有經過本地安全策略授權的信息流，才能通過防火墻;防火墻本身必須是安全的，不能被侵入。</p><p>　　d)入侵檢測安全技術</p><p>　　IDS(入侵檢測系統)是Intrusi

102、on Detection System的縮寫。入侵檢測技術是網絡安全體系的一種防范措施，具有能夠識別針對網絡和主機資源的惡意攻擊并將日志發(fā)送到管理控制臺的能力。一臺IDS類似于一個普通的數據包嗅探器。他讀取所有數據包，并將這些數據包和己知的攻擊特性相對比。形象的說，入侵檢測系統就是一臺網絡攝像機，能夠捕獲并記錄網絡上的所有數據，同時它也是一臺智能攝像機，能夠分析網絡數據上搜索并提煉出可疑的、異常的網絡數據信息，它還是一臺高清晰的X光攝像

103、機，能夠穿透一些偽裝，抓住數據包中的實際內容，它更是一臺負責的保安員攝像機，能夠對入侵行為自動的進行反擊。在網絡安全體系中，入侵檢測系統是唯一一個通過數據和行為模式判斷其是否有效的系統。這里有一個形象的比喻，防火墻是一道門，阻止一類人群的進入，但無法阻止合法的一類人群中的破壞分子，也不能阻止內部的破壞行為，而訪問控制系統可以不讓權限低的人做越權行為，但無法限制高級權限的人實施破壞動作。入侵檢測系統同樣是一種終止針對網絡的攻擊的能力，提供

104、了如下的防御機制:</p><p>　　1）探測——識別和發(fā)現針對網絡和終端的惡意攻擊行為</p><p>　　2）防御——終止識別和發(fā)現的攻擊行為</p><p>　　3）反應——避免以后系統在遭受同樣的惡意攻擊</p><p>　　4）報警——遭遇到攻擊行為后，發(fā)出報警信息</p><p>　　5）丟棄——如果檢測

105、到攻擊行為的數據包，則選擇立即丟棄此數據包</p><p>　　6）阻止——拒絕來自攻擊源頭的流量</p><p><b>　　e)VPN安全技術</b></p><p>　　為保證數據傳輸的機密性和完整性，建議在網絡中采用VPN系統，在遠程前置機和防火墻之間統一安裝VPN設備。</p><p>　　VPN可以有效實現的

106、技術:</p><p>　　1）防止竊聽攻擊，采用機密技術，如Rc一4，DEs，3DEs，和AEs。</p><p>　　2）保證數據包的完整性，比如采用了MDS和SHA技術。</p><p>　　3）防止中間人攻擊，采用身份驗證技術，比如預共享密鑰或數字證書。</p><p>　　4）防止重放攻擊使用序列號保護數據。</p>

107、<p>　　4.1.5管理層分析</p><p>　　網絡管理的目的是提供一種對計算機進行規(guī)劃、設計、操作運行、管理、監(jiān)控、分析等的手段，從而充分利用資源、提供可靠的服務。當前，網絡的規(guī)模越來越大，用戶日益增多，結構也更加復雜，傳統網絡管理已為網絡管理員增加了嚴重的工作負擔，因此建立一套科學完善的網絡管理系統是十分必要的。</p><p>　　a)網絡管理系統的功能</p&

108、gt;<p>　　一個網絡管理系統應具有以下功能:</p><p>　　1）應具有同時支持網絡監(jiān)視和控制兩方面的功能。 </p><p>　　2) 能夠管理網絡各協議層。</p><p>　　3）應盡可能大的管理范圍。 </p><p>　　4) 應盡可能小的系統開銷。</p>

109、<p>　　5）可管理不同廠家的網絡設備。 </p><p>　　6）可容納不同的網絡管理系統。</p><p>　　7）網絡管理的標準化。</p><p>　　b)網絡管理系統的構成</p><p>　　一個網絡管理系統由多個部件組成，包括網絡管理協議、網絡管理工作站、代理和管理信息庫等。</p>