2023年浅谈中小企业网络建设及安全防护.doc

浅谈中小企业网络建设及安全防护 ［］网络建设是中小企业开展过程中十分重要的根底设施，企业网络建设应遵循统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性等原那么，尤其随着企业内部网络的日益庞大及与外部网络联系的逐渐增多，办公自动化已成为企业内部运作的主流方式，数据通信的实时性、高效性、便捷性，网络资源的共享是计算机网络不断开展的前提，如何确保网络信息的纯洁，网络安全如何防护那么成为重要的问题。因此，一个安全可信的企业网络安全系统显得十分重要。 ［关键词］ 企业内部网络； 根底设施；网络安全；防病毒；防火墙；网络入侵 中小企业在开展到一定阶段的时候，通过网络建设能够可以实现企业内部相关部门及下属单位的数据共享、互联互通，为各类应用系统提供安全、稳定、可靠的工作环境，满足各种数据传输的需求，降低企业本钱，可以更好的与外界进行沟通，让外部更加了解企业。 一、企业网络建设 1、建设原那么 　　企业内部网络建设应遵循以下原那么：统一规划、高可用性、高性能、高扩展性、高安全性和高可维护性。 　　统一规划：明确内部网络在规划期内的规模，确定总体需求，既能满足企业当前需求，又充分考虑将来整个网络系统的投资保护和对新应用的支持。 　　高可用性：要求关键网络设备具有单点失效保护，能够实现故障预警、报警，以及良好的故障应急处理能力。如在出现有限个数的交换机、防火墙等设备故障等情况下，内部网络可以继续工作，不影响业务处理。 　　高性能：内部网络传输的信息类型主要有视频、语音、业务数据及管理数据等。为了及时、迅速地处理网络上传送的各种数据，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用对网络带宽的需求。 　　高扩展性：由于内部网络是一个长期使用重要的根底设施。日后随着企业规模扩大和业务量的增长，对内部网络性能的需求可能会超出预期，当内部网络的处理能力不够时，要求可以在原有网络架构的根底上实现灵活扩展。这要求网络设备必须符合国际标准和支持业界统一标准的相关接口，选择广泛应用的网络标准协议，能够与各级下属单位网络、ＩＳＰ网络以及其他相关网络实现可靠的互联。 　　高安全性：具有良好的网络安全能力和应用灵活的安全策略。通过网络分区、防火墙策略、入侵检测、终端准入等手段来加强网络的安全性。 　　高可维护性：维护便捷简单，尽量减少设备死机检修时间，特别是减少进行故障修复、网络扩展和变更时的死机时间，能够提供友好、全面的监控工具，减少网络管理的漏洞风险，增强网络管理维护性能。 2、局域网的组建 局域网是计算机网络的一种，它覆盖地理范围是有限的，适用于公司、机关、校园、工厂等有限范围内的计算机、终端与各类信息处理设备连网的需求，它能提供高数据传输速率〔10Mbps～10Gbps〕、低误码率的高质量数据传输环境，易于建立、维护、扩展。 企业网络应分为内部网络和外部网络两个局部，其中还包括在这两局部上的实际应用，中小型企业在网络设计之初就应该充分考虑到自身的需求，通过这些需求来具体设计适合自己需求的网络，本文从宏观的方面为我们介绍了中小型企业在组建网络时内部网络、外部网络及实际的应用，在中小型企业组网过程中有很重要的参考作用。  近年来，随着互联网在我国的迅速开展，产生了很多宽带接入技术，其中ADSL在众多宽带技术中脱颖而出，在很多不同的应用环境中出现，ADSL利用原有的 系统进行高速的数据传输，不需要重新布线，具有很高的灵活性，通过这种技术，我们的企业可以实现各种不同的应用，且费用低廉。企业组网要根据企业要求来选择局域网的构建方法。 对局域网进行分类经常采用以下方法：按拓扑结构分类、按传输介质分类、按访问介质分类和按网络操作系统分类。 (1)按拓扑结构分类 局域网经常采用总线型、环型、星型和混和型拓扑结构，因此可以把局域网分为总线型局域网、环型局域网、星型局域和混和型局域网等类型。这种分类方法反映的是网络采用的哪种拓扑结构，是最常用的分类方法。 (2)按传输介质分类 局域网上常用的传输介质有同轴电缆、双绞线、光缆等，因此可以氢局域网分为同轴电缆局域网、双绞线局域和光纤局域网。假设采用无线电波，微波，那么可以称为无线局域网。 　 (3)按访问传输介质的方法分类 传输介质提供了二台或多台计算机互连并进行信息传输的通道。在局域网上，经常是在一条传输介质上连有多台计算机，如总线型和环型局域网，大家共享使用一条传输介质，而一条传输介质在某一时间内只能被一台计算机所使用，那么在某一时刻到底谁能使用或访问传输介质呢这就需要有一个共同遵守的方法或原那么来控制、协调各计算机对传输介质的同时访问，这种方法，这种方法就是协议或称为介质访问控制方法。目前，在局域网中常用的传输介质访问方法有：以太(Ethernet)方法、令牌(Token Ring)、FDDE方法、异步传输模式(ATM)方法等，因此可以把局域网分为以太网(Ethernet)、令牌网(Token Ring)、FDDE网、ATM网等。 (4)按网络操作系统分类 局域网的工作是局域网操作系统控制之下进行的。正如微机上的DOS、UNIX、WINDOWS、OS/2、等不同操作系统一样，局域网上也有多种网络操作系统。网络操作系统决定网络的功能、效劳性能等，因此可以把局域网按其所使用的网络操作系统进行分类，如Novell公司的Netware网，3COM公司的3+OPEN网，Microsoft公司的Windows NT网，IBM公司的LAN Manager网，BANYAN公司的VINES网等。 (5)其他分类方法 按数据的传输速度分类，可分为10Mbps局域网、100Mbps局域网、155Mbps局域网、千兆局域网等，按信息的交换方式分类，可分为交换式局域网、共享式局域网等。 二、网络实际应用 根据企业规模、网络系统的复杂程度、网络应用的程度，用户对于网络的需求各不相同，从简单的文件共享、办公自动化，到复杂的电子商务、ERP等等，在此对中小企业的一般应用做一些探讨。  　　1、最简配置  　　对于网络最简单的应用，就是将假设干个计算机连接起来，组成对等的网络，计算机之间可以相互之间共享资源，如果其中一台计算机安装了打印机、MODEM等，其余计算机可以通过网络系统，共享打印机和MODEM，进行文件打印、上网查询等，利用相应的软件，可以完成定单管理、信息查询、数据统计等。其网络拓扑结构可以表示为，在PC效劳器上，可以安装PROXY、防火墙等网络管理软件，用以防范外部的攻击、对内部员工进行授权等，而用户数量的增加只是体现端口的增加，可以采用堆叠、级联、使用高密度端口网络节点设备来实现。如果在工作中需要大量或者实时的数据通讯，可以用以太网交换机替代集线器，例如在工作中需要处理多媒体或进行图形设计等场合。  　　2、一般性应用  　　对于已经上了一定规模，在内部已经有了几个部门的企业，如果所有部门的用户无差异地处于对等网中，不仅使许多敏感数据容易被无关人员获取，而且部门内的大量通讯，也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃。为了克服这个问题，需要将经常进行通讯(通常在同一个部门内)的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起，形成局域网。  　　对于比拟大的应用场合，除了网管效劳器外，推荐采用专门的效劳器进行数据库管理、文件管理，同时作为网络管理主机，可以进行权限限定、子网划分等，也可以将MIS、ERP，甚至网页等系统放入效劳器。如果采用DDN与广域网连接，还可以装载电子邮件效劳程序。 　　在中心使用交换机，以提高整个网络的性能和速度，各个子网中的计算机用集线器连接。对于比拟重要、日常数据比拟敏感的部门，例如财务部门，可以考虑使用部门效劳器，存放重要数据，并运行防火墙程序，屏蔽非法的访问。而普通部门的集线器可以直接与中心的交换机连接。对于打印机、绘图仪等外部设备，可以根据需要放置在中心或相应部门;而在内部需要大量数据传输的部门，可以采用交换机替代集线器作为部门的网络节点。  　　3、分支机构  　　当企业进一步开展，可能需要建立分支机构，在地理上具有一定距离的分公司，依然需要在企业内部进行信息共享，实现办公自动化。分支机构与总部连接有许多方式，但形式根本相似。  　　在方案中，分支机构通过路由器，与总部的路由器建立点到点的连接，连接方式可以采用DDN，也可以采用ISDN/MODEM通过拨号连接，此时总部的路由器作为拨入端使用。如果分支机构采用DDN与总部连接，虽然两个网在地理上有距离，但在网络中可以看成是一个网络，同时分支机构也可以通过ISDN/MODEM直接访问互联网;如果采用ISDN/MODEM与总部连接，那么无法同时通过ISDN/MODEM连接互联网。总部的路由器除使用一个广域网端口或备份接口与分支机构连接外，还可以同时使用另一个广域网接口连接广域网，为整个企业提供对外接口。  　　如果分支结构与总部在一个城市，那么采用ISDN/MODM，甚至DDN，都可以为许多企业所接受;如果分布在两个城市，那么分支机构也可以连到互联网上，与总部通过VPN方式进行连接，可以节省许多费用，也能保证安全性，但在实时性上有所降低 三、网络安全 网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说，但凡涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。网络安全，通常定义为网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络效劳不中断。 1、网络安全方案的根本设计原那么 1.1综合性、整体性原那么。 应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度〔人员审查、工作流程、维护保障制度等〕以及专业措施〔识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等〕。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原那么，根据规定的安全策略制定出合理的网络安全体系结构。 1.2需求、风险、代价平衡的原那么。 对任一网络，绝对安全难以到达，也不一定是必要的。对一个网络进行实际额研究〔包括任务、性能、结构、可靠性可维护性等〕，并对网络面临的威胁及可能承当的风险进行定性与定量相结合的分析，然后制定标准和措施，确定本系统的安全策略。 1.3分步实施原那么。由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的根本需要，亦可节省费用开支。 2、局域网的安全威胁 2.1 局域网安全定义： 　　局域网安全是在一个局部的地理范围内(如一个学校、工厂和机关内)，将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网络系统没有被危险虚拟事物侵害的状态。 2.2局域网病毒特点： ⑴、可传播性：病毒传播速度快，传播方式主要为两种：a：单机模式下主要是通过移动存储设备进行病毒传播。b：网络模式下，由于通过效劳器连接，为病毒传播提供较好的传播途径，在网内的每一个计算机只要有一个感染病毒，其他那么计算机都会相继感染中毒，网络是病毒繁殖、传播的绝佳环境。 ⑵、可执行性：一旦感染了病毒，不用激活，立即运行。 ⑶、破坏性：病毒破坏性很大，小那么导致终端计算机蓝屏、死机等；大那么导致计算机内部数据被破坏甚至整个网络瘫