关键词:VLAN;虚拟局域网;企业网络;网络设计
中图分类号:TP393文献标识码:A文章编号:16727800(2012)009013403
1企业组网中采用单一网段架构的不足之处
企业在组建局域网和信息化平台时,为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂,这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段(同一广播域),大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽,从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址,就会干扰到网络的正常运行,造成严重的安全隐患。为了解决上述问题,提高企业网络的安全性、稳定性和可靠性,就需要部署与实施VLAN虚拟局域网。
2VLAN虚拟局域网的主要特点
IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中,所有的计算机位于同一个广播域中,广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网,同一VLAN中的广播包只有同一VLAN的成员组才能收到,而不会传输到其它VLAN中去,这就很好地控制了广播风暴。在企业网络组建中,通过合理的VLAN设计规划,一方面可以限制广播域,最大限度地防止广播风暴的发生,节省网络带宽;同时还可以提高网络处理能力,并通过VLAN间路由、VLAN间互访策略,全面增强企业网络的安全性。
3企业VLAN规划中的技术要点
VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用,VLAN的规划和设计是高等计算机网络的一个重点,同时也是一个技术难点,实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前,应该从以下几个方面重点分析和考虑:
(1)根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段,然后根据各部门的网络应用需求、联网设备数量作进一步规划。
(2)采用合适的VLAN划分技术,常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例,计算机的数量与分布的地理位置相对比较固定,优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员,从而形成一个VLAN网段,将指定端口加入到指定VLAN中之后,该端口就可以转发指定VLAN的数据包。
(3)各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问,各个VLAN的内部计算机可以互访,其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。
(4)防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口,直接决定哪些VLAN组、哪些计算机成员可以访问Internet。
(5)必要的经费投入,购买合适的网络设备。一般选择三层智能VLAN以太网交换机,根据设计方案,通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同,因此需要VLAN实施者精通常用交换机的配置与应用。
4某企业VLAN规划和实施的具体步骤与案例分析
随着经营业务的不断扩展、联网设备的不断增多,为提高局域网安全性和处理能力,笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析,设计划分为5个VLAN, 其中VLAN16为服务器核心网段,可以与其它全部VLAN(17~20)互访。VLAN(17~20)只能访问16网段,相互之间不能互访,但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100S,LAN口管理IP为192.168.16.1,可以路由到全部5个VLAN,并能控制任意网段的计算机访问外网与IP流量。
接入层访问端口,按表1方案,连接网络设备、各职能部门的工作站计算机、网络共享打印机、无线接入点AP等
在实施VLAN前,首先要对企业现有的综合布线作全面的梳理,每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下,做到计算机与核心交换机端口直接相连,尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案,对网络设备、部门计算机的网络参数进行重新分配和配置,把每台计算机的网线连接到交换机对应的VLAN端口。
该项目中,采用了H3C公司的48口全千兆三层以太网交换机S550048PSI。S550048PSI千兆以太网交换机定位于企业网和城域网的汇聚或接入,具备丰富的业务特性,提供了高性能、大容量的交换服务,并支持10GE 的上行接口,为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接,为用户提供了高接入带宽和高端口密度。S550048PSI支持4K个基于端口的VLAN,在全双工模式下交换容量为240Gbps,整机包转发率为72Mpps,可以满足企业目前应用需求。
S550048PSI交换机的配置是整个VLAN实施中的技术重点和难点,其配置要点说明如下:
(1)创建ACL访问策略。根据设计方案,VLAN16可以与VLAN(17~20)直接互访,无须设置拒绝访问规则。VLAN17不能与VLAN(18~20)互访,VLAN18不能与VLAN(17、19、20)互访,VLAN19不能与VLAN(17、18、20)互访,VLAN20不能与VLAN(17~19)互访。因此,必须单独设置规则号和拒绝访问控制列表。
5VLAN实施后产生问题如何解决
由于实施VLAN后除了VLAN16其它各网段之间不能直接互访,因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹,需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹,或者在VLAN16网段上设置共享打印机或者文件夹,以便给全公司的联网计算机访问。
6结语
通过实施VLAN前后的网络协议分析,在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样,发现各个网段的广播包数量明显减少,网络利用率有了明显提高,实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后,业务软件的输入、统计、查询,以及浏览网页的速度均有较大的提高,网络性能有了很大改善。
上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机,因此,需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施,不仅提高了网络安全性和利用率,并且对于今后企业网络的扩展和升级都带来了很大的便利。
参考文献:
[1]崔北亮.CCNA认证指南(640-802)[M].北京:电子工业出版社,2009.
[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社,2009.
[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社,2003.
关键词:网络安全管理;网络安全管理系统;企业信息安全
中图分类号:TP271 文献标识码:A 文章编号:1009-3044(2012)33-7915-03
计算机网络是通过互联网服务来为人们提供各种各样的功能,如果想保证这些服务的有效提供,一是需要全面完善计算机网络的基础设施和配置;二是需要有可靠完善的保障体系。可靠完善的保障体系是为了能够保证网络中的信息传输、信息处理和信息共享等功能能够安全进行。
1 网络安全的定义
网络安全问题不但是近些年来网络信息安全领域经常讨论和研究的重要问题,也是现代网络信息安全中亟待解决的关键问题。网络安全的含义是保证整个网络系统中的硬件、软件和数据信息受到有效保护,不会因为网络意外故障的发生,或者人为恶意攻击,病毒入侵而受到破坏,导致重要信息的泄露和丢失,甚至造成整个网络系统的瘫痪。
网络安全的本质就是网络中信息传输、共享、使用的安全,网络安全研究领域包括网络上信息的完整性、可用性、保密性和真实性等一系列技术理论。而网络安全是集合了互联网技术、计算机科学技术、通信技术、信息安全管理技术、密码学、数理学等多种技术于一体的综合性学科。
2 网络安全技术介绍
2.1 安全威胁和防护措施
网络安全威胁指的是具体的人、事、物对具有合法性、保密性、完整性和可用性造成的威胁和侵害。防护措施就是对这些资源进行保护和控制的相关策略、机制和过程。
安全威胁可以分为故意安全威胁和偶然安全威胁两种,而故意安全威胁又可以分为被动安全威胁和主动安全威胁。被动安全威胁包括对网络中的数据信息进行监听、窃听等,而不对这些数据进行篡改,主动安全威胁则是对网络中的数据信息进行故意篡改等行为。
2.2 网络安全管理技术
目前,网络安全管理技术越来越受到人们的重视,而网络安全管理系统也逐渐地应用到企事业单位、政府机关和高等院校的各种计算机网络中。随着网络安全管理系统建设的规模不断发展和扩大,网络安全防范技术也得到了迅猛发展,同时出现了若干问题,例如网络安全管理和设备配置的协调问题、网络安全风险监控问题、网络安全预警响应问题,以及网络中大量数据的安全存储和使用问题等等。
网络安全管理在企业管理中最初是被作为一个关键的组成部分,从信息安全管理的方向来看,网络安全管理涉及到整个企业的策略规划和流程、保护数据需要的密码加密、防火墙设置、授权访问、系统认证、数据传输安全和外界攻击保护等等。
在实际应用中,网络安全管理并不仅仅是一个软件系统,它涵盖了多种内容,包括网络安全策略管理、网络设备安全管理、网络安全风险监控等多个方面。
2.3 防火墙技术
互联网防火墙结合了硬件和软件技术来防止未授权的访问进行出入,是一个控制经过防火墙进行网络活动行为和数据信息交换的软件防护系统,目的是为了保证整个网络系统不受到任何侵犯。
防火墙是根据企业的网络安全管理策略来控制进入和流出网络的数据信息,而且其具有一定程度的抗外界攻击能力,所以可以作为企业不同网络之间,或者多个局域网之间进行数据信息交换的出入接口。防火墙是保证网络信息安全、提供安全服务的基础设施,它不仅是一个限制器,更是一个分离器和分析器,能够有效控制企业内部网络与外部网络之间的数据信息交换,从而保证整个网络系统的安全。
将防火墙技术引入到网络安全管理系统之中是因为传统的子网系统并不十分安全,很容易将信息暴露给网络文件系统和网络信息服务等这类不安全的网络服务,更容易受到网络的攻击和窃听。目前,互联网中较为常用的协议就是TCP/IP协议,而TCP/IP的制定并没有考虑到安全因素,防火墙的设置从很大程度上解决了子网系统的安全问题。
2.4 入侵检测技术
入侵检测是一种增强系统安全的有效方法。其目的就是检测出系统中违背系统安全性规则或者威胁到系统安全的活动。通过对系统中用户行为或系统行为的可疑程度进行评估,并根据评价结果来判断行为的正常性,从而帮助系统管理人员采取相应的对策措施。入侵检测可分为:异常检测、行为检测、分布式免疫检测等。
3 企业网络安全管理系统架构设计
3.1 系统设计目标
该文的企业网络安全管理系统的设计目的是需要克服原有网络安全技术的不足,提出一种通用的、可扩展的、模块化的网络安全管理系统,以多层网络架构的安全防护方式,将身份认证、入侵检测、访问控制等一系列网络安全防护技术应用到网络系统之中,使得这些网络安全防护技术能够相互弥补、彼此配合,在统一的控制策略下对网络系统进行检测和监控,从而形成一个分布式网络安全防护体系,从而有效提高网络安全管理系统的功能性、实用性和开放性。
3.2 系统原理框图
该文设计了一种通用的企业网络安全管理系统,该系统的原理图如图1所示。
3.2.1 系统总体架构
网络安全管理中心作为整个企业网络安全管理系统的核心部分,能够在同一时间与多个网络安全终端连接,并通过其对多个网络设备进行管理,还能够提供处理网络安全事件、提供网络配置探测器、查询网络安全事件,以及在网络中发生响应命令等功能。
网络安全是以分布式的方式,布置在受保护和监控的企业网络中,网络安全是提供网络安全事件采集,以及网络安全设备管理等服务的,并且与网络安全管理中心相互连接。
网络设备管理包括了对企业整个网络系统中的各种网络基础设备、设施的管理。
网络安全管理专业人员能够通过终端管理设备,对企业网络安全管理系统进行有效的安全管理。
3.2.2 系统网络安全管理中心组件功能
系统网络安全管理中心核心功能组件:包括了网络安全事件采集组件、网络安全事件查询组件、网络探测器管理组件和网络管理策略生成组件。网络探测器管理组件是根据网络的安全状况实现对模块进行添加、删除的功能,它是到系统探测器模块数据库中进行选择,找出与功能相互匹配的模块,将它们添加到网络安全探测器上。网络安全事件采集组件是将对网络安全事件进行分析和过滤的结构添加到数据库中。网络安全事件查询组件是为企业网络安全专业管理人员提供对网络安全数据库进行一系列操作的主要结构。而网络管理策略生产组件则是对输入的网络安全事件分析结果进行自动查询,并将管理策略发送给网络安全。
系统网络安全管理中心数据库模块组件:包括了网络安全事件数据库、网络探测器模块数据库,以及网络响应策略数据库。网络探测器模块数据库是由核心功能组件进行添加和删除的,它主要是对安装在网络探测器上的功能模块进行存储。网络安全事件数据库是对输入的网络安全事件进行分析和统计,主要用于对各种网络安全事件的存储。网络相应策略数据库是对输入网络安全事件的分析结果反馈相应的处理策略,并且对各种策略进行存储。
3.3 系统架构特点
3.3.1 统一管理,分布部署
该文设计的企业网络安全管理系统是采用网络安全管理中心对系统进行部署和管理,并且根据网络管理人员提出的需求,将网络安全分布地布置在整个网络系统之中,然后将选取出的网络功能模块和网络响应命令添加到网络安全上,网络安全管理中心可以自动管理网络安全对各种网络安全事件进行处理。
3.3.2 模块化开发方式
本系统的网络安全管理中心和网络安全采用的都是模块化的设计方式,如果需要在企业网络管理系统中增加新的网络设备或管理策略时,只需要对相应的新模块和响应策略进行开发实现,最后将其加载到网络安全中,而不必对网络安全管理中心、网络安全进行系统升级和更新。
3.3.3 分布式多级应用
对于机构比较复杂的网络系统,可使用多管理器连接,保证全局网络的安全。在这种应用中,上一级管理要对下一级的安全状况进行实时监控,并对下一级的安全事件在所辖范围内进行及时全局预警处理,同时向上一级管理中心进行汇报。网络安全主管部门可以在最短时间内对全局范围内的网络安全进行严密的监视和防范。
4 结论
随着网络技术的飞速发展,互联网中存储了大量的保密信息数据,这些数据在网络中进行传输和使用,随着网络安全技术的不断更新和发展,新型的网络安全设备也大量出现,由此,企业对于网络安全的要求也逐步提升,因此,该文设计的企业网络安全管理系统具有重要的现实意义和实用价值。
参考文献:
关键字: 中小企业信息网络平台实现
1.引言
随着Internet在中国的迅猛发展,信息传播的手段越来越多,信息传播的速度也越来越快。一方面,越来越多的中小型企业开始将眼光定位在网络上,希望能拥有一个可以更多、更好地宣传自己的平台,同时希望这个平台可以很方便地展示自己,让更多的客户及时准确地了解自己地业务和动向。另一方面,大批的潜在客户也希望能通过网络更快、更准地找到所需要的企业信息,了解他们的业务水平、联系方式等。因此,具有操作简单、维护方便、友好的界面设计的中小企业信息网络平台便受到了青睐。
2.系统概述
据对用户需求的具体分析,中小企业信息网络平台由前台和后台模块组成,具体功能如下:前台模块:企业动态、产品列表、产品服务、企业简介、论坛、后台管理员登录入口等;后台管理模块:后台登录、产品信息管理、图片管理、文件管理、论坛信息管理、论坛用户管理、管理员帐号管理、新闻信息管理等。
3.系统的实现
3.1数据库实现
数据库的数据表设计既要考虑提高数据存取效率、降低数据冗余度,又要避免为了达到范式要求而过多地细分数据表,进而引起后续功能扩展或者维护难度的增加。基于上述考虑,数据表设置如下:
(1)admin 管理员帐号数据表:用于存放系统管理员登录帐号、密码和管理员的级别。
(2)headimage 头像存储表:用于存放论坛注册用户的头像信息。
(3)news 新闻存储表:用于存放企业的新闻。
(4)pictures 图片存储表:用于存放各类产品的精美图片,供用户下载。
(5)product 产品信息存储表:用于存放产品的各类信息。
(6)magazine 杂志存储表:用于存放企业的杂志供用户下载。
(7)userinfor 论坛用户存储表:用于存放注册论坛用户的帐号信息。
(8)blockforum 论坛主题类型表:用于存放论坛的主题类别。
(9)blockcontent论坛主题和回复内容存储表:用于存放论坛讨论的主题和存放论坛回复的信息。
3.2模块代码实现
3.2.1前台产品列表模块实现
产品的信息存放在数据库中,在前台可以浏览,在后台可以添加、修改或删除相应产品信息。使用的Repeater控件绑定product表能轻易地读出表数据,并以列表的形式显示。
3.2.2论坛用户注册模块
用户如果希望在论坛留言而不仅仅是浏览,则需要使用帐号登陆论坛才有权限。新用户首先需要注册一个帐号,用户可以通过单击注册按键来打开注册页面进行会员注册操作。为了保证用户在注册时信息的有效性,需要在用户提交注册操作前,验证用户填写的信息是否有效,设计的方法是用 提供的验证控件实现。主要代码如下:
为了防止非法用户登陆,保证只有企业的管理员才能登陆网站后台,当管理员成功登入后该系统使用Session来保存管理员的信息。管理员进入每一个管理页面时都要验证Session是否有效。Session的有效期是20分钟,若是在20分钟内管理员没有任何的操作,Session将会失效。同时,与普通注册用户一样,管理员帐号密码也经过加密处理。
4.结语
充分利用计算机网络优势提高自身的经济效益是各企业密切关注的问题,本文主要描述了利用技术构建网络信息平台的过程,对于建立中小型电子商务网站有一定的参考价值。
参考文献:
[1]李宋民,郭玉峰设计师之路[M].白领就业指南.北京:电子工业出版社,2006.3.
[2]盖江南,王勇,阎文丽+SQLServer动态网站设计宝典[M].北京:电子工业出版社,2006.7.
关键词 网络安全;方案设计;方案实现
中图分类号 G271 文献标识码 A 文章编号 1673-9671-(2012)111-0142-01
计算机网络的安全运行,是关系到一个企业发展的重要问题,如何能使得企业网络更为安全,如今已经成为了一个热议的话题。影响网络安全的因素有很多种,保护网络安全的手段、技术也很多。对于网络安全的保护我们一般都是通过防火墙、加密系统、防病毒系统、身份认证等等方面来保护网络的安全。为了保护网络系统的安全,我们必须要结合网络的具体需求,把多种安全措施进行总结,建立一个立体的、全面的、多层次网络安全防御系统。
1 影响网络安全的因素
网络信息的安全问题日益严重,这不仅会使企业遭受到巨大的经济损失,也影响到国家的安全。
如何避免网络安全问题的产生,我们必须要清楚因法网络安全问题的因素有哪些。我们主要把网络安全问题归纳为以下几个方面:
1.1 人为失误
人为失去指的是在在无意识的情况下造成的失误,进而引发网络安全问题。如“非法操作、口令的丢失、资源访问时控制不合理、管理人员疏忽大意等,这些都会对企业网络系统造成很大的破坏,引发网络安全问题。
1.2 病毒感染
病毒一直以来,都是能够对计算机安全够成直接威胁的因素,而网络更能够为病毒提供迅速快捷的传播途径,病毒很容易通过服务器以软件的方式下载、邮件等方式进入网络,然后对计算机网络进行攻击、破坏,进而会造成很大的经济损失。
1.3 来自企业网络外部的攻击
企业网络外部的攻击主要是企业局域网外部的恶意攻击,比如:伪装合法用户进入企业网络,并占用修改资源;有选择的来破坏企业网络信息的完整性和有效性;修改企业网站数据、破译企业机密、窃取企业情报、破坏企业网络软件;利用中间网线来读取或者拦截企业绝密信息等。
1.4 来自网络内部的攻击
在企业局域网内部,一些非法人员冒用合法的口令,登陆企业计算机网络,产看企业机密信息,修改企业信息内容,破坏企业网络系统的正常运行。
1.5 企业网络系统漏洞
企业的网络系统不可能是毫无破绽的,而企业网络中的漏洞,总是设计者预先留下的,为网络黑客和工业间谍提供最薄弱的攻击部位。
2 企业计算机网络安全方案的设计与实现
影响计算机网络完全因素很多,而相应的保护手段也很多。
2.1 动态口令身份认证的设计与实现
动态口令身份认证具有动态性、不可逆性、一次性、随机性等特点,跟传统静态口令相比,增加了计算机网络的安全性。传统的静态口令进行身份验证的时候,很容易导致企业计算机网络数据遭到窃取、攻击、认证信息的截取等诸多问题。而动态口令的使用不仅保留了静态口令的优点,又采用了先进的身份认证以及解密流程,而每一个动态口令只能使用一次,并且对认证的结果进行记录,防止同一个口令多次登录。
2.2 企业日志管理与备份的设计与实现
企业要想保证计算机网络的安全,对于计算机网络进行日志管理和备份是不可缺少的内容,日志管理和备份数据系统是计算机运行的基础。计算机在运行过程中难保不会出现故障,而计算机中的数据和资料的一个企业的血液,如果数据和资料丢失,会给企业今后的发展带来巨大的不便,为了避免数据资料的丢失,我们就应当对计算机网络做好数据备份以及数据归档的保护措施。这些都是维护企业网络安全的最基本的措施与工作。
2.3 病毒防护设计与实现
计算机病毒每年都在呈上涨的趋势,我国每年遭受计算机入侵的网络,占到了相当高的比例。计算机病毒会使计算机运行缓慢,对计算机网络进行有目的的破坏行为。目前Internet在飞速的发展,让病毒在网上出现之后,会很快的通过网络进行传播。对于企业计算机网络,应当时刻进行监控以及判断系统中是否有病毒的存在,要加大对于病毒的检测。处理、免疫及对抗的能力。而企业使用防病毒系统,可以有效的防止病毒入侵带来的损失。为了使企业的网络更加安全,要建立起一个完善的防病毒系统,制定相应的措施和病毒入侵时的紧急应急措施,同时也要加大工作人员的安全意识。
病毒会随着时间的推移变的随时都有可能出现,所以企业中计算机网络安全人员,要随时加强对于防毒系统的升级、更新、漏洞修复,找出多种不同的防毒方法,提高企业计算机网络防病毒的能力。
2.4 防火墙技术设计与实现
Internet使用过程中,要通过内网。外网的连接来实现访问,这些就给网络黑客们提供了良好的空间与环境。目前,企业计算机网络系统,采用防火墙技术,能有效的保证企业的机密不会受到网络黑客以及工业间谍的入侵,这种方法也是维护企业计算机网络最有效、最经济的方法,因为防火墙系统是企业计算机网络安全的最前面屏障,能有效的组织入侵情况的发生。所以企业计算机网络第一个安全措施就是安装以及应用防火墙。防火墙一般是安装在内部网络出口处,在内网与外网之间。
防火墙最大的特点是所有的信息传递都要经过它,这样就能有效的避免企业网络遭到非法入侵,防火本身的具有很高的可靠性,它可以加强对企业网络的监督,防止外部入侵和黑客攻击造成的信息泄露,
2.5 网络安全设计的实现
在企业网络运行中,与用户和各个系统之间,存在着信息交换的过程,这些信息包括信息代码、电子文稿、文档等,所以总会有各种网络安全的问题出现。为了保障网络的安全性和客户使用的合法性,就要去严格的限制登录者的操作权限,增加口令的复杂程度。当工作人员离职要对于网络口令认证做出相应的调整,以避免带来的不便。
3 总结
现今网络在现代生活中发展迅速,然而网络安全的系统也日益突出。作为一个企业如何的保证自己网络的安全性,使自身能够更快更好的发展,面对着网络入侵的行为要进行如何的防御,已经是一个越来越迫切的问题。我们只有从实际出发,去构建一个完整的安全的网络防御系统,才能保证企业网络的安全。
参考文献
[1]唐红亮.防火墙设计浅析[J].中国科技信息,2009,06.
北京电子科技职业学院计算机网络技术专业是部级示范专业,国家投入1千多万进行专业建设,探索出一条校企合作进行专业建设和课程开发的高效互动模式。高质量的完成了计算机网络专业的课程体系建设及课程开发,特别是综合实训的开发。
1 校企合作的高效互动模式
为了与企业能保持稳定和牢固的合作关系,必须采取一种能实现校企双赢的模式。学校的需求是专业培养方案的制定、课程和实训的开发、师资力量的培养、学生的实践教学和校内外实训场地的建设。企业的需求是符合岗位需求的高素质人才、企业员工的培训场所和师资。在充分了解了校企双方的需求后,逐步探索出了校企合作的高效互动模式。
校企合作的第一阶段,学校提供资金,企业对网络专业的岗位需求进行调研,提供专业调研报告。然后由校内教师和企业工程师组建的专业建设团队分析专业调研报告提取专业面向的主要工作岗位,然后从工作岗位中提取典型工作任务,接着构建专业的课程体系。当专业课程体系构建完成并通过验证后,专业建设团队分成几个小组进行核心课程和实训课程的开发。企业工程师与校内教师共同确定课程和实训的内容,并结合授课内容开发出适用于教学的企业项目及配套项目文档。实训资源的开发主要包括实训指导书、实训项目文档、实训报告模板及实训评价标准等。
校企合作的第二阶段,为了满足课程和实训的教学环境要求,企业帮助完成校内实训基地的建设,在实训基地内可以完成学生综合实训和就业前实训的教学任务,为企业输送高素质人才;在实训基地内可以完成企业员工的技能培训,使学校和企业在校企合作的过程中能达到“双赢”,从而实现高效的互动合作。
2 实训课程的设计思路
实训课程的开发成果是校企合作的重要成果,本校在校企合作共同开发的过程中总结出以下几点经验。实训定位要准确,实训内容要覆盖,实训师资要配套,实训考核要严格。
2.1 实训定位要准确
实训课程在专业课程体系中的定位一定要准确,在本专业的课程体系中,每个学期的期末有两周的专业实训课程。学期实训的定位是锻炼学生综合运用本学期的课程内容进行模拟项目开发的能力。最后一学年的第一学期针对不同的就业岗位方向安排了两个就业前的综合实训,就业前实训的定位是训练学生针对某一就业岗位方向贯穿前四个学期中涉及的相关课程的内容,同时为了更好的就业,就业前实训还需要完成相关职业技能认证。学生完成就业前顶岗实习后将进入企业进行顶岗实习。
2.2 实训内容要覆盖
实训内容课程体系中主要包括学期综合实训和就业前综合实训,其中学期综合实训需要尽可能的覆盖整个学期中所有的专业课程,以第三学期的《多链路网络组建、运维与应用开发》实训为例,实训内容覆盖了《路由与交换技术》、《WEB前端技术》、《网络检测与监控》和《网络服务与管理》。实训内容以企业的真实网络项目为基础进行开发,开发出符合行业标准的实训项目。与实训项目配套开发出实训指导书和配套的实训资源。
2.3 实训师资要配套
实训效果的好坏在很大程度上取决于实训实施过程中教师的职业技能水平、教学水平和责任心。为了提高教师的职业技能水平,必须为教师提供企业实践锻炼和职业资格认证培训的机会。并且聘请企业工程师作为兼职实训指导教师与校内教师共同指导,从而在指导实训的过程中能发挥企业教师项目经验丰富的优点及校内教师教学经验丰富的优点,有效的保障实训实施过程中的教学质量。
为了保障实训师资水平的持续稳定,要定期考核实训指导教师并提供相关的培训进修意见,促进教师的可持续发展。
2.4 实训过程要规范
所有的综合实训是基于工作过程开发的。为了达到预期的实训效果,要求提供与企业工作环境相仿的实训环境,并按照企业项目的实施过程和操作规范指导学生进行实训。通过综合实训的训练,学生能逐步的熟悉企业的项目实施流程和操作规范,从而能尽快地适应真实的工作岗位。
2.5 实训考核要严格
实训完成之后,对学生的考核评价是一个十分重要的环节,如果考核评价不严格将会使学生不够重视。首先要根据实训内容制定出规范的实训考核标准,然后实训指导教师要严格的根据实训考核标准对学生进行考核。
实训的考核标准要由企业工程师和校内教师共同制定,要参照企业对人才的考核要求,考核学生的综合能力,综合能力主要包括学生的专业技术能力、学生的团队协作能力、信息搜索与分析能力和成果展示能力等。
3 学期综合实训的实现
下面以计算机网络技术专业第三学期的综合实训为例,介绍本校综合实训的开发方法及成果。该综合实训是与三家网络及网站建设公司合作开发的,开发团队包括三名企业工程师和两名校内教师,下面就从实训定位、实训内容、实训实施、实训师资及实训考核五个方面介绍该综合实训。
《多链路网络建设、运维及开发》实训定位为综合实训,要求综合覆盖第三学期的专业课程,主要包括《路由与交换技术》、《网络服务与管理》、《WEB前端技术》和《网络检测与监控》专业课程。
实训内容以中型企业局域网的组建、运维及企业宣传网站开发项目为基础,要求学生完成六个项目任务:项目需求分析、网络建设方案撰写、网络实施详细设计(网站建设规划)、网络项目实施(网站开发)、项目各模块的测试、网络系统集成和网络综合测试(网络连通性测试、应用服务测试和网站测试)。最后提交项目文档及实训报告。
实训的实施过程由校内教师和企业工程师共同指导,教师在项目实施的过程作为项目的需求提供者及项目的质量监控者。学生按照企业项目实施的流程和规范完成实训项目,依次为:(1)进行分组,组成项目组;(2)选择出项目组的组长,组长带领小组成员进行项目需求分析;(3)根据需求分析的结果进行任务分工,并指定各项目模块的负责人;(4)各模块的负责人带领组员进行项目实施的规划和详细设计;(5)各项目模块严格按照企业项目实施的规范要求进行实施;(6)各项目模块的测试及排障;(7)项目各模块的系统集成;(8)项目的综合测试
实训的考核标准要符合企业用人的考核标准,全方位的考核学生的综合能力,同时要具备可操作性,从而确保教师在实训过程中能按照该考核标准严格执行。具体的考核标准如表1所示。
4 结语
本校计算机网络专业的实训课程定位准确、能全面地覆盖相关课程并且具备了严格的考核标准。在实训开发的过程中,注重校内师资的培训,从而确保实训实施过程的规范性及实训质量。学生通过实训逐步提高了技术的综合应用能力和项目的实践能力。通过两轮的实施,用人单位及学生均反映实习阶段的岗位适应能力明显提高。
参考文献
关键词企业;网络架构;安全部署;设计与实现
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)12-0031-01
目前,随着我国现代信息技术的快速发展,很多大型企业的经营管理方式也朝着信息化方向发展。在信息化技术非常发达的现代,一个企业的信息化水平的高低将决定企业竞争力的大小,因此,企业只有掌握较好的网络技术,才能更好地控制企业的机密,从而实现企业的信息化管理。为了进一步提高企业的资源利用管理水平,提高企业的核心竞争力,构建企业网络安全部署具有直接决定作用。
1我国企业网络构架及安全部署的现状
企业网络构架现在已经从以往单一的数据交换发展到综合智能化一体的信息化网络计划,我国企业的网络构架及安全部署现在已经发展了几十年,但是,与西方发达国家相比,我国企业的网络构架及安全部署还存在很大的差距。目前,我国企业已经意识到网络构架及安全部署的重要性,主要是由于企业网络构架对于企业的生产、管理和物流等环节都具有较大的支持作用。企业的管理层对网络构架的设计思想主要反映出企业利用资源的能力,从而保证企业的网络构架是其业务水平的重要保障。我国现在很多企业对网络构架及安全部署的要求越来越高,但是我国企业的网络构架还无法满足现代企业网络构架的高要求。因此,我国企业网络构架及安全部署的不足严重制约了我国企业的长远发展。
2企业网络架构安全部署设计与实现
2.1 网络架构设计思想及原则
我国企业网络架构设计主要是为了实现将不同位置的计算机网络进行互通,这也是企业实现网络构架的基本要求。随着我国企业数据业务的不断发展和改进,企业网络构架的设计要求也变得更高,因而需要从简单的网络构架中设计出服务性更强的网络构架,并且不断向应用型网络构架转变。因此,企业网络构架的设计者在进行网络构架设计时应该充分考虑企业的各种业务需求,以保证企业的网络构架能够满足其长远的发展,从而为企业提供更加方便的管理平台,这也是企业网络构架及安全部署设计的基本思想和原则。
2.2 企业网络架构的实现
当网络构架的基本设计完成后,就应该对设计的模型进行部署和实现,从而使得企业能够更加实际地了解企业的网络构架。
企业网络构架实现的过程一般包括以下几个方面:1)规划企业的IP地址空间范围;2)部署和实现企业核心层的网络构架;3)在核心网络构架的基础上对下层的网络构架进行设计。当然,企业的网络构架的设计一般应该遵循规范性、标准性、连续性和灵活性等原则。
3企业网络构架的故障分析及解决方案
3.1 网络冗余双机部署中的故障
现在,网络设备双机部署过程中,由于路由的配置等技术相对比较成熟,一般不会出现故障和问题。但是,其企业网络构架中防火墙的双机构架的设计和部署时,会出现很多疑难问题。目前,解决这些疑难问题的方法主要包括以下两种:1)移除防火墙之间的交叉冗余链路,同时更改两台防火墙上相同路由开销值,这样可以保证在主防火墙出现故障后,其他防火墙可以安全使用。这种方案可以解决故障,但也存在一定的弊病,主要是指数据负载在主设备上,备用设备一般是出于闲置状态,只有出现故障时才切换到备用设备机;2)采取措施将主防火墙的全部会话列表与备用设备同步,从而使备用设备保持与主设备的防火墙会话列表一致。即使出现数据访问不一致的情况,主设备也不会导致数据发生故障,从而造成多个设备处于故障状态。当然,防火墙会话同步的设计现在已经成为基于会话状态防火墙的解决网络冗余双机部署中故障重要手段和措施。
3.2 网络QOS保障
QOS保障是企业在进行网络构架及安全部署的设计与实现的过程中,对特殊数据进行带宽处理,以实现优先保证的一种有效途径。但是,语音和视频在网络传输的过程中对带宽的延时和抖动的要求比较高,因而需要考虑企业网络分子结构广域网带宽的影响,然后根据流量分析,在带宽能够满足一定要求的情况下,保证视频和语音数据的传输更加顺畅。当然,企业网络架构及安全部署的设计和实现过程中,分支网络构架中的语音和视频数据需要经过各自的核心路由,这样的企业网络构架需要保障企业的语音和视频在网络分子上得到一定的保证。然而,在实际的网络构架部署过程中,由于企业的业务不断增加和网络分支的不断扩展,广域网的数据量也增大,因此,采用QOS来对数据进行保障显得至关重要。
3.3 网络访问安全控制
网络访问安全控制的配置在企业网络构架的部署中非常常见,一般需要采用防火墙进行数据的访问,还需要在路由器上配置一些安全措施,以实现企业能够对数据进行控制。尤其是对于一些防病毒、访问隔离和环路等故障,企业网络访问安全控制很有必要。
4总结
总而言之,企业的网络构架及安全部署的设计和实现是一项非常复杂的系统化工程,由于网络安全的核心要求越来越高,现在企业的网络构架技术只是实现安全管理的一个保障。所以,只有制定完善的网络管理制度,采用先进的网络构架部署和设计手段,才能有效地实现企业的网络安全。同时,不断加强对网络安全知识的培训,以解决企业网络设计中的一些问题,从而实现企业网络构架部署和安全设计工作。因此,现阶段研究企业网络架构及安全部署的设计与实现具有非常重大的现实意义。
参考文献
[1]蒋弦.企业型无线网络防护安全设计与规划[J].电脑知识与技术,2013,9(28):6262-6264.
关键词 内部网络;安全防范;企业
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0207-02
1 企业内部网络的安全现状
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3信息分散
由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
