網(wǎng)絡(luò)管理與安全

1、天津電子信息職業(yè)技術(shù)學(xué)院國(guó)考三級(jí)網(wǎng)絡(luò)培訓(xùn)報(bào)告實(shí)訓(xùn)題目：柯楠公司網(wǎng)絡(luò)設(shè)計(jì)方案姓 名：趙亮08系別：網(wǎng)絡(luò)技術(shù)系專(zhuān)業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)：網(wǎng)絡(luò)s11-1指導(dǎo)教師：李國(guó)平 設(shè)計(jì)時(shí)間：2013年6月5日至2013年6月13日目錄一. 需求分析11公司網(wǎng)絡(luò)組建的背景12公司網(wǎng)絡(luò)系統(tǒng)建設(shè)目標(biāo)13公司網(wǎng)絡(luò)系統(tǒng)建設(shè)原則2二. 公司網(wǎng)絡(luò)集成設(shè)計(jì)32. 1公司網(wǎng)絡(luò)拓?fù)鋱D42. 2網(wǎng)絡(luò)集成描述42. 3設(shè)備選型5三. 網(wǎng)絡(luò)布局和綜合布線73. 1布線系統(tǒng)的規(guī)劃與設(shè)計(jì)83. 2網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)8四. 公司網(wǎng)絡(luò)安全防范104.1局域網(wǎng)安全控制與病毒防治策略101 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)102.局域網(wǎng)安全控制策略103

2、 病毒防治12五總結(jié)13需求分析1公司網(wǎng)絡(luò)的組建背景隨著計(jì)算機(jī)及局域網(wǎng)絡(luò)應(yīng)用的不斷深入，特別是齊種計(jì)算機(jī)應(yīng)用系統(tǒng)被相繼 應(yīng)用在實(shí)際工作中，各企業(yè)、各單位同外界信息媒體之間的相互交換和共享的要 求日益增加。需要使各單位和互間真止做到高效的信息交換、資源的共享，為各 單位人員捉供準(zhǔn)確、可靠、快捷的各種生產(chǎn)數(shù)據(jù)和信息，充分發(fā)揮各單位現(xiàn)冇的 計(jì)算機(jī)設(shè)備的功能。為加強(qiáng)各公司內(nèi)各分區(qū)的業(yè)務(wù)和技術(shù)聯(lián)系，提高工作效率， 實(shí)現(xiàn)資源共享，降低運(yùn)作及管理成木，公司有必要建立企業(yè)內(nèi)部局域網(wǎng)。局域網(wǎng) 要求建設(shè)基于tcp/ip協(xié)議和www技術(shù)規(guī)范的企業(yè)內(nèi)部非公開(kāi)的信息管理和交換 平臺(tái)，該平臺(tái)以web為核心，集成web、文

3、件共享、信息資源管理等服務(wù)功能， 實(shí)現(xiàn)公司員工在不同地域?qū)?nèi)部網(wǎng)的訪問(wèn)。2.公司網(wǎng)絡(luò)系統(tǒng)建設(shè)目標(biāo)新網(wǎng)絡(luò)應(yīng)該具有足夠的先進(jìn)性，不僅應(yīng)該能承載普通的（文件，打印等）網(wǎng) 絡(luò)流量，并且應(yīng)該支持多樣qos特性（比如mpls）,保證有足夠的帶寬運(yùn)行基于 ip網(wǎng)絡(luò)的實(shí)時(shí)語(yǔ)音傳輸，以及未來(lái)可能會(huì)具有視頻會(huì)議流量新網(wǎng)絡(luò)應(yīng)該具冇足夠的強(qiáng)壯性，應(yīng)該具冇足夠的災(zāi)難恢復(fù)措施，包括電源兀 余，設(shè)備冗余，主機(jī)冗余，數(shù)據(jù)庫(kù)冗余，線路冗余，撥號(hào)鏈路冗余。新網(wǎng)絡(luò)應(yīng)該具有足夠的安全性，采取路由器，以及防火墻以及設(shè)置dmz區(qū), 防殺病毒、入侵檢測(cè)、和漏洞掃描與修補(bǔ)系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)完整、網(wǎng)絡(luò)安全保護(hù)保 證內(nèi)網(wǎng)的絕對(duì)安全，將來(lái)數(shù)據(jù)在外網(wǎng)以

4、及internet上傳輸應(yīng)該采取加密，并且數(shù) 據(jù)傳輸線路應(yīng)該采取全屏蔽雙絞線，防i上信息的流失和泄露.3.公司網(wǎng)絡(luò)系統(tǒng)建設(shè)原則先進(jìn)性隨著計(jì)算機(jī)應(yīng)用的不斷普及和發(fā)展，計(jì)算機(jī)系統(tǒng)對(duì)網(wǎng)絡(luò)性能的要求已經(jīng)并將 繼續(xù)不斷提高，高帶寬、低延遲是對(duì)交換網(wǎng)絡(luò)設(shè)備的基木耍求。網(wǎng)絡(luò)交換設(shè)備應(yīng) 該提供從數(shù)據(jù)中心到樓層配線間直至桌面的高速網(wǎng)絡(luò)連接，交換機(jī)必須具備無(wú)阻 塞交換能力。綜合考慮先進(jìn)性和成熟性，結(jié)合實(shí)際應(yīng)用需求，市教育城域網(wǎng)可采 用千兆以太網(wǎng)、快速以太網(wǎng)作為主干技術(shù)連接數(shù)據(jù)小心和齊學(xué)校交換機(jī)，采用千 兆以太網(wǎng)、快速以太網(wǎng)或以太網(wǎng)接口連接服務(wù)器和客戶(hù)機(jī)。標(biāo)準(zhǔn)性在當(dāng)今流行的internet / intranet計(jì)算

5、方式下，應(yīng)用系統(tǒng)將以大量客戶(hù) 機(jī)同時(shí)訪問(wèn)少量服務(wù)器為特征，要求網(wǎng)絡(luò)交換機(jī)必須具冇冇效的主動(dòng)式擁塞管理 功能，以避免通常'出現(xiàn)在服務(wù)器網(wǎng)絡(luò)接口處的擁塞現(xiàn)象，杜絕數(shù)據(jù)包的丟失。以碩件交換為特征的多層交換技術(shù)已經(jīng)在越來(lái)越多的局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)屮取 代傳統(tǒng)路由器成為網(wǎng)絡(luò)的主干技術(shù)，作為一種成熟的先進(jìn)技術(shù)應(yīng)在市教育城域網(wǎng) 網(wǎng)絡(luò)屮得到應(yīng)用。兼容性不同廠商的網(wǎng)絡(luò)設(shè)備應(yīng)能彼此兼容，以保證企業(yè)網(wǎng)絡(luò)的止常、高效地運(yùn)行。為保證網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性，網(wǎng)絡(luò)屮的主干交換設(shè)備應(yīng)該能夠支持基于國(guó)際標(biāo) 準(zhǔn)或工業(yè)界事實(shí)標(biāo)準(zhǔn)的atm、fdd1、快速以太網(wǎng)、t兆以太網(wǎng)等各種鏈路接口技 術(shù)，能夠在必要的時(shí)候與外部開(kāi)放系統(tǒng)順利實(shí)現(xiàn)互聯(lián)。

6、可升級(jí)和可擴(kuò)展性為了將來(lái)能順利實(shí)現(xiàn)技術(shù)升級(jí)，選用的設(shè)備應(yīng)有支持千兆以太網(wǎng)、atm 0c 一12等前沿技術(shù)的能力，以便技術(shù)成熟時(shí)配備。市于計(jì)算機(jī)技術(shù)和應(yīng)用范圍的不斷進(jìn)步和發(fā)展，而網(wǎng)絡(luò)技術(shù)又是其中進(jìn)步最 快的一個(gè)分支，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)不僅要考慮當(dāng)前的網(wǎng)絡(luò)連接需求，還必須 考慮到計(jì)算機(jī)系統(tǒng)不斷擴(kuò)大而提出的網(wǎng)絡(luò)系統(tǒng)擴(kuò)展和升級(jí)的需求和網(wǎng)絡(luò)通信技 術(shù)本身的快速進(jìn)步所提供的提升網(wǎng)絡(luò)系統(tǒng)容量和性能的可能性。為了使網(wǎng)絡(luò)系統(tǒng) 能夠在盡可能的保護(hù)現(xiàn)冇投資的前捉下不斷滾動(dòng)發(fā)展以適應(yīng)應(yīng)用需求發(fā)展的需 要，選用設(shè)備時(shí)應(yīng)該盡可能預(yù)見(jiàn)到網(wǎng)絡(luò)系統(tǒng)近期、中期和遠(yuǎn)期的擴(kuò)展、升級(jí)的叮 能性并預(yù)留擴(kuò)展、升級(jí)的能力。安全性在局域網(wǎng)上

7、的所有交換機(jī)應(yīng)能靈活地、跨越全網(wǎng)地進(jìn)行虛擬網(wǎng)劃分和管理， 將物理上分散而邏輯上緊密相關(guān)的各站點(diǎn)劃入獨(dú)立的虛擬網(wǎng)，實(shí)現(xiàn)無(wú)關(guān)系統(tǒng)的邏 輯隔離是網(wǎng)絡(luò)安全性的基本保障。在此基礎(chǔ)上，我們選用的網(wǎng)絡(luò)產(chǎn)品應(yīng)該具備包括mac級(jí)、ip層、應(yīng)用層等 多個(gè)層次實(shí)現(xiàn)安全管理的能力，作為交換網(wǎng)絡(luò)核心的多層主干交換機(jī)應(yīng)該具備防 火墻功能，防止發(fā)生在同一虛擬網(wǎng)內(nèi)或虛擬網(wǎng)之間互聯(lián)點(diǎn)上的非法侵犯。 可靠性為保證網(wǎng)絡(luò)系統(tǒng)的不間斷連續(xù)運(yùn)行，應(yīng)該選用經(jīng)過(guò)實(shí)踐檢驗(yàn)證明成熟可靠的 產(chǎn)品。數(shù)據(jù)中心交換機(jī)應(yīng)采用模塊化分布式處理技術(shù)實(shí)現(xiàn)，避免采用一損俱損的 小央交換模塊方式。齊主要部件都應(yīng)有冗余，所有部件應(yīng)支持熱插拔，主干端口 應(yīng)支持熱備份，

8、特別是作為整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)核心的多層交換單元更要具備兀 余備份的容錯(cuò)能力。易操作性?xún)永谠诰W(wǎng)絡(luò)中心完成企業(yè)網(wǎng)絡(luò)的全局管理并配置相應(yīng)的軟件協(xié)助管理?？晒芾硇杂?jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)作為市教冇城域網(wǎng)智能系統(tǒng)的神經(jīng)屮樞，其運(yùn)行狀況應(yīng)該得 到全面的監(jiān)控和管理。osi對(duì)網(wǎng)絡(luò)管理提出了配置管理、性能管理、錯(cuò)誤管理、 安全管理、記帳管理等五大要求，以此為指導(dǎo)，該網(wǎng)絡(luò)管理系統(tǒng)應(yīng)選用基于工業(yè) 標(biāo)準(zhǔn)的snmp （簡(jiǎn)單網(wǎng)絡(luò)管理i辦議）的開(kāi)放式管理平臺(tái)，配合專(zhuān)用的網(wǎng)絡(luò)管理應(yīng) 用作為網(wǎng)管系統(tǒng)的設(shè)計(jì)框架。網(wǎng)管系統(tǒng)應(yīng)支持網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn)、設(shè)備的配置和 監(jiān)視、網(wǎng)絡(luò)故障的監(jiān)測(cè)和報(bào)告等功能，并提供簡(jiǎn)單易用的圖形用戶(hù)接口。二. 公司網(wǎng)絡(luò)集

9、成設(shè)計(jì)21公司網(wǎng)絡(luò)拓?fù)鋱Dpc-ptpcoswitfao/1sipc-ptpciser. e>r-ptover-ptserver laerver2f 化 /鄉(xiāng)伽ps7 mulbrouter-pt pix防火埸al/1pcptpc2router-ptr2pc-ptswitch-pts4fa4/0ji -zkouter-pt internet汕pt ? frame-relayc /a ao/0pc-ptpc4圖2-1系統(tǒng)總體設(shè)計(jì)圖2. 2網(wǎng)絡(luò)集成描述internet連接企業(yè)總部路由器，從路由器連接一條線路到pix防火墻，pix 防火墻之后就是一個(gè)三層交換機(jī)。在三層交換機(jī)上連接有金業(yè)的服務(wù)器群，

10、以及 z后的匯聚層交換機(jī)。整個(gè)局域網(wǎng)絡(luò)采用多層數(shù)據(jù)交換原則設(shè)計(jì)，這樣的設(shè)計(jì)方案使得整個(gè)同域網(wǎng) 的運(yùn)維管理，以及網(wǎng)絡(luò)故障排除變的更加簡(jiǎn)單，減少了網(wǎng)絡(luò)管理員的工作負(fù)責(zé)性, 并且使未來(lái)的升級(jí)變的更簡(jiǎn)單且迅速。核心區(qū)塊主耍負(fù)責(zé)以下幾個(gè)工作：提供交換區(qū)塊間的連接；提供到其他區(qū)塊（比如廣域網(wǎng)區(qū)塊）的訪問(wèn)； 盡口j能快的交換數(shù)據(jù)楨或數(shù)據(jù)包；建議將主設(shè)備間設(shè)在主樓網(wǎng)絡(luò)中心。由于核心層設(shè)備處于整個(gè)網(wǎng)絡(luò)中是最關(guān) 鍵的地位，任何故障都可能造成整個(gè)系統(tǒng)的癱瘓，因此設(shè)備的選型十分重耍。從 可靠性和安全性出發(fā)，結(jié)合價(jià)格因索的考慮。匯聚層設(shè)計(jì)匯聚層主要負(fù)責(zé)以下幾個(gè)工作實(shí)現(xiàn)安全以及路由策略實(shí)現(xiàn)核心層的流量重分布實(shí)現(xiàn)qos服務(wù)

11、質(zhì)量控制處于在匯聚層需要實(shí)現(xiàn)諸多的策略控制，對(duì)于交換機(jī)的應(yīng)用要求較高。2. 3設(shè)備選型企業(yè)網(wǎng)絡(luò)建設(shè)應(yīng)該以應(yīng)用為核心，在設(shè)計(jì)中充分考慮到教育管理和多媒體教 學(xué)的耍求，并且網(wǎng)絡(luò)技術(shù)上應(yīng)該具有一定的先進(jìn)性，同時(shí)還耍為以后的擴(kuò)展留有 一定的空間。核心交換機(jī)神州數(shù)碼 dcrs-5950-28t-l(r3)主要參數(shù)交換機(jī)類(lèi)型萬(wàn)兆以太網(wǎng)交換機(jī)應(yīng)用層級(jí)三層傳輸速率10mbps/100mbps/1000mbps/10000mbps端口結(jié)構(gòu)非模塊化端口數(shù)量28交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬520gbps包轉(zhuǎn)發(fā)率274mpps, ipv6 包轉(zhuǎn)發(fā)速率：230mppsvlan支持支持qos支持支持増強(qiáng)安全功能、diicp

12、、網(wǎng)絡(luò)配置和管理基本功能，網(wǎng)管網(wǎng)管功能syslog, sflow功能，異常監(jiān)測(cè)和故障檢查功能,集中網(wǎng)管軟件電源電壓交流:110v-240v, 50-60hz(+/-3hz) rps (直流 in 12v)環(huán)境標(biāo)準(zhǔn)產(chǎn)品尺寸(mm)工作溫度：0-50°c,工作濕度：5-90%(無(wú)冷凝)440x44x415接入層交換機(jī)：神州數(shù)碼 dcs-3600-26c(r3)主要參數(shù)交換機(jī)類(lèi)型智能交換機(jī)應(yīng)用層級(jí)二層傳輸速率10mbps/100mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)ieee802.iq. ieee802.ip. ieee802.3ad. teee802.3x網(wǎng)絡(luò)協(xié)議gvrp、 dhcp端1【結(jié)構(gòu)非模塊化端口數(shù)量

13、26傳輸模式全雙工/半雙工自適應(yīng)交換方式存儲(chǔ)-轉(zhuǎn)發(fā)背板帶寬32gbps包轉(zhuǎn)發(fā)率6. 6mpps,全線速vlan支持支持qos支持支持網(wǎng)管支持支持網(wǎng)管功能管理界面，sxmp,系統(tǒng)口志，配置管理分級(jí)，ssh, rmon, mtb 接口，集中網(wǎng)管軟件，security ip安全網(wǎng)管功能mac地址表16k電源電壓100-240v ac, 50/60hz（內(nèi)置通用電源）,最大18w環(huán)境標(biāo)準(zhǔn)工作溫度：0-50°c,工作濕度：5-95%（無(wú)冷凝）產(chǎn)品尺寸（mm）440x 171.2x43其他技術(shù)參數(shù)mtbf： >80, 000 小時(shí)三. 網(wǎng)絡(luò)布局和綜合布線3.1布線系統(tǒng)的規(guī)劃與設(shè)計(jì)有了好的機(jī)

14、房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的it網(wǎng)絡(luò)應(yīng)當(dāng)通過(guò)布線系 統(tǒng)將機(jī)房和辦公地點(diǎn)互聯(lián)起來(lái)，確保網(wǎng)絡(luò)的正常運(yùn)行。如果企業(yè)的接入點(diǎn)較多， 我們可以采取接入層、匯聚層、交換層三個(gè)網(wǎng)絡(luò)層次的設(shè)計(jì)，在此基礎(chǔ)上進(jìn)行布 線系統(tǒng)。對(duì)于接入層來(lái)說(shuō)，選擇一個(gè)合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù) 接入設(shè)備選擇合適的帶寬。匯聚層是整個(gè)局域網(wǎng)的核心部分，匯聚層網(wǎng)絡(luò)設(shè)備一 般支持網(wǎng)絡(luò)管理功能，方便我們的管理和維護(hù)，方便以后我們的網(wǎng)絡(luò)升級(jí)和改造。 交換層是整個(gè)網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點(diǎn)，是決定我們整體網(wǎng)絡(luò) 傳輸質(zhì)量的很重要的一個(gè)環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及，我們交換層的網(wǎng)絡(luò)設(shè) 備，肯定首選百兆。布線是連接網(wǎng)

15、絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點(diǎn)的重要環(huán)節(jié)。在布線時(shí), 最好使用專(zhuān)門(mén)的通道，而且不要與電源線，空調(diào)線等具有輻射的線路混合布線。 接入層與匯聚層z間的雙絞線，可以選擇超五類(lèi)屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到 最大的提升。匯聚層與交換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個(gè) 層次，同樣采用超五類(lèi)屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點(diǎn)之間，我們就可以采用普 通的超五類(lèi)非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置，最好放在節(jié)點(diǎn)的中央位置，這樣做，不是為了節(jié)約綜合布 線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳 輸距離是100米，在95米才能獲得最住的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時(shí)，最 好能夠設(shè)計(jì)一個(gè)設(shè)

16、備間，放置網(wǎng)絡(luò)設(shè)備。3. 2網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計(jì)口前的網(wǎng)絡(luò)設(shè)備大都采用機(jī)架式的結(jié)構(gòu)，如交換機(jī)、路由器、硬件防火墻等。 這些設(shè)備之所以?xún)舆@樣一種結(jié)構(gòu)類(lèi)型，是因?yàn)樗鼈兌及磭?guó)際機(jī)粗標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)， 這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個(gè)大型的立式標(biāo)準(zhǔn)機(jī)柜中。 這樣做的好處非常明顯：一方面可以使設(shè)備占用最小的空間，另一方而則便于與 其它網(wǎng)絡(luò)設(shè)備的連接和管理，同時(shí)機(jī)房?jī)?nèi)也會(huì)顯得整潔、美觀。我們經(jīng)常接觸到的放置機(jī)房里有網(wǎng)絡(luò)機(jī)柜、服務(wù)器機(jī)柜以及綜合布線柜，從 這三個(gè)機(jī)柜的名字就可以看岀它們各自所起的作用；一般來(lái)說(shuō)，網(wǎng)絡(luò)設(shè)備如交換 機(jī)、路由器、防火墻、加密機(jī)等以及網(wǎng)絡(luò)通信設(shè)備如光端機(jī)、調(diào)制解調(diào)器等是放

17、 置在網(wǎng)絡(luò)機(jī)柜的；服務(wù)器機(jī)柜的寬度為19英寸，高度以u(píng)為單位（1x1.75英 寸=44. 45毫米），通常有1u, 2u, 3u, 4u兒種標(biāo)準(zhǔn)的服務(wù)器。機(jī)柜的尺寸也是 采用通用的工業(yè)標(biāo)準(zhǔn)，通常從22u到42u不等；機(jī)柜內(nèi)按u的高度有可拆卸的滑 動(dòng)拖架，用戶(hù)可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)節(jié)高度，以存放服務(wù)器、集線器、 磁盤(pán)陣列柜等設(shè)備。服務(wù)器擺放好后，它的所有i/o線全部從機(jī)柜的后方引出（機(jī) 架服務(wù)器的所有接口也在后方），統(tǒng)一安置在機(jī)柜的線槽小，一般貼有標(biāo)號(hào)，便 于管理。綜合布線柜一般配有前后可移動(dòng)的安裝立柱，自由設(shè)定安裝空間，可按需要 配置隔板、風(fēng)扇、電源插座等附件。配線架通常安裝在機(jī)柜里，

18、配線架的一面是 rj45 口，并標(biāo)冇編號(hào)；另一面是跳線接口，上面也標(biāo)冇編號(hào)，這些編號(hào)和上面 的rj45 口的編號(hào)是一一對(duì)應(yīng)的。每一組跳線都標(biāo)識(shí)有棕、藍(lán)、橙、綠的顏色， 雙絞線的色線要和這些跳線一一對(duì)應(yīng)，這樣做不容易接錯(cuò)。配線架不僅僅是便于 管理線對(duì)，而口可以防止串?dāng)_，増加線對(duì)的隔離空間，提供360度的線對(duì)隔離。 在機(jī)房屮，必須放置交換機(jī)、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備，以及局域網(wǎng)絡(luò)連接 internet所需的各種設(shè)備，如路由器、防火墻以及網(wǎng)管工作站等；因此機(jī)房的 網(wǎng)絡(luò)布局一般至少有三個(gè)機(jī)柜，綜合布線柜和網(wǎng)絡(luò)機(jī)柜應(yīng)當(dāng)緊連在一起，便于調(diào) 線操作，接下來(lái)是服務(wù)器機(jī)柜；將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進(jìn)行合理的布局。

19、在網(wǎng)絡(luò)布局屮，每個(gè)機(jī)柜最好留點(diǎn)空間，便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的 擴(kuò)充，綜合布線柜里有可能除了網(wǎng)絡(luò)布線外，還有能布置電話(huà)線，所以要在機(jī)栢 里留下一定空間。從機(jī)柜內(nèi)部線纜附設(shè)的角度看，機(jī)柜配置密度更高，容納的1t設(shè)備更多， 大量采用冗余配件（如冗余電源、存儲(chǔ)陣列等），機(jī)柜內(nèi)設(shè)備配置頻繁變換，數(shù)據(jù) 線和電纜隨吋增減。所以，機(jī)柜必須提供充足的線纜通道，能從機(jī)柜頂部、底部 進(jìn)出線纜。在機(jī)柜內(nèi)部，線纜的敷設(shè)必須方便、有序，與設(shè)備的線纜接口靠近， 以縮短布線距離；減少線纜的空間占用，保證設(shè)備安裝、調(diào)整、維護(hù)過(guò)程中，不 受到布線的干擾，并保證散熱氣流不會(huì)受到線纜的阻擋；同時(shí)，在故障情況下， 能對(duì)設(shè)備布線進(jìn)

20、行快速定位。供電系統(tǒng)和制冷系統(tǒng)是計(jì)算機(jī)機(jī)房的兩個(gè)重要部分。在供電系統(tǒng)小，一般采 用在線的ups供電方式，譽(yù)電池實(shí)際口j供使用的容量與譽(yù)電池的放電電流人小、 蓄電池的環(huán)境工作溫度、貯存時(shí)間的長(zhǎng)短以及負(fù)載的性質(zhì)（電阻性、電感性、電 容性）密切相關(guān)。制冷系統(tǒng)（空調(diào)）涉及到機(jī)房的整個(gè)物理環(huán)境，包括空調(diào)、地 板、機(jī)栢及房間布局等諸多方面；因此ups和空調(diào)我們也要考慮好將它們放置在 一個(gè)合適的位置。如果機(jī)房空間較大，可以將ups和空調(diào)都放在機(jī)房里；如果空 間較小，可以把ups （包括蓄電池）放在配電房里。需要注意的是如果大樓里安 裝有“中央空調(diào)”的話(huà)，機(jī)房里也必須安裝獨(dú)立的空調(diào)，i大i為中央空調(diào)不可能 2

21、4小時(shí)都開(kāi)著，上班的時(shí)間可以利用中央空調(diào)，下班和星期節(jié)假日的時(shí)候，如 果服務(wù)器、網(wǎng)絡(luò)設(shè)備需耍正常運(yùn)行的話(huà)，則必須要開(kāi)機(jī)房里的獨(dú)立空調(diào)。機(jī)柜的 擴(kuò)展性表現(xiàn)在機(jī)柜內(nèi)設(shè)備密度的擴(kuò)展和機(jī)柜數(shù)量的擴(kuò)展，因此網(wǎng)絡(luò)布局時(shí)必須將 機(jī)柜的配風(fēng)能力（通常稱(chēng)為散熱能力）以及配電能力考慮在內(nèi)。一方面，機(jī)柜內(nèi) 的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)（冷空氣）。這些冷風(fēng)被機(jī)柜內(nèi) 的it設(shè)備吸入，從而為設(shè)備內(nèi)的部件（尤其是cpu）降溫。當(dāng)機(jī)栢內(nèi)設(shè)備增加 到一定數(shù)量時(shí)，rfl地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿(mǎn)足所有設(shè)備的需求，從而 形成部分it設(shè)備配風(fēng)不足而過(guò)熱。解決機(jī)柜內(nèi)設(shè)備密度擴(kuò)展時(shí)遇到的這種局部熱點(diǎn)問(wèn)題可以采用調(diào)配i

22、t設(shè)備 位置的方式來(lái)解決。例如，把熱負(fù)荷最人的設(shè)備安裝在機(jī)柜中部位置，以便獲得 最大的配風(fēng)風(fēng)量。另外的解決方法是，在機(jī)柜的上部或下部位置安裝軸向水平的 強(qiáng)排風(fēng)扇，增強(qiáng)上部或下部的吸入能力（即減小it設(shè)備的入口靜壓），從而增加 配風(fēng)風(fēng)量。另一方面，機(jī)柜內(nèi)的設(shè)備需要供電以及與機(jī)柜外部進(jìn)行通信。當(dāng)機(jī)柜內(nèi)的 it設(shè)備數(shù)量增加時(shí)，這些線纜、連接端了同時(shí)成倍地增加，從而對(duì)機(jī)架式電源 排插的容量、插口數(shù)量都捉出了擴(kuò)展要求。機(jī)柜內(nèi)的布線空間也是需要捉前考慮 的，因?yàn)楫?dāng)機(jī)柜內(nèi)的功率密度提高時(shí)，設(shè)備后部的線纜將明顯增加風(fēng)阻，所以必 須考慮線纜管理及走線空間的問(wèn)題。四. 公司網(wǎng)絡(luò)安全防范4.1局域網(wǎng)安全控制與病毒防

23、治策略1 加強(qiáng)人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個(gè)過(guò)程，它是一個(gè)匯集了碩件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相 關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三 個(gè)層而。要確保信息安全工作的順利進(jìn)行，必須注重把每個(gè)環(huán)節(jié)落實(shí)到每個(gè)層次 上，而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的壞節(jié)，然而這個(gè)環(huán) 節(jié)的加固又是見(jiàn)效最快的。所以必須加強(qiáng)對(duì)使用網(wǎng)絡(luò)的人員的管理，注意管理方 式和實(shí)現(xiàn)方法。從而加強(qiáng)工作人員的安全培訓(xùn)。增強(qiáng)內(nèi)部人員的安全防范意識(shí), 提高內(nèi)部管理人員整體素質(zhì)。同時(shí)要加強(qiáng)法制建設(shè)，進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全 的法律，以便更有利地打擊不法分子。對(duì)局域網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培

24、 訓(xùn)：(1) 加強(qiáng)安全意識(shí)培訓(xùn)，讓每個(gè)工作人員明白數(shù)據(jù)信息安全的重要性，理解保證 數(shù)據(jù)信息安全是所冇計(jì)算機(jī)使用者共同的責(zé)任。(2) 加強(qiáng)安全知識(shí)培訓(xùn)，使每個(gè)計(jì)算機(jī)使用者掌握一定的安全知識(shí)，至少能夠掌 握如何備份本地的數(shù)據(jù)，保證本地?cái)?shù)據(jù)信息的安全可靠。加強(qiáng)網(wǎng)絡(luò)知識(shí)培訓(xùn)，通過(guò)培訓(xùn)掌握一定的網(wǎng)絡(luò)知識(shí)，能夠掌握tp地址的配置、 數(shù)據(jù)的共享等網(wǎng)絡(luò)基木知識(shí)，樹(shù)立良好的計(jì)算機(jī)使用習(xí)慣。2 局域網(wǎng)安金控制策略安全管理保護(hù)網(wǎng)絡(luò)用戶(hù)資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的 用戶(hù)訪問(wèn)?？谇熬W(wǎng)絡(luò)管理工作量最大的部分是客戶(hù)端安全部分，對(duì)網(wǎng)絡(luò)的安全運(yùn) 行威脅最大的也同樣是客戶(hù)端安全管理。只冇解決網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題，才

25、可以 排除網(wǎng)絡(luò)中最大的安全隱患，對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、 事件三個(gè)方而進(jìn)行防御。利用現(xiàn)冇的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方而的管理是 當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。(1) 利用桌面管理系統(tǒng)控制用戶(hù)入網(wǎng)。入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使 用，是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略。它為網(wǎng)絡(luò)訪問(wèn)捉供了第一層訪問(wèn)控制。 它控制哪些用戶(hù)能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶(hù)入網(wǎng)的時(shí)間和在哪 臺(tái)工作站入網(wǎng)。用戶(hù)和用戶(hù)組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶(hù)和用戶(hù)組可以訪 問(wèn)的目錄、文件和其他資源，可以指定用戶(hù)對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行的 操作。啟用密碼策略，強(qiáng)制計(jì)算機(jī)用戶(hù)設(shè)置符合安全要求的密

26、碼，包括設(shè)置口令 鎖定服務(wù)器控制臺(tái)，以防止非法用戶(hù)修改。設(shè)定服務(wù)器登錄吋間限制、檢測(cè)非法 訪問(wèn)。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對(duì)密碼不符合要求的計(jì)算機(jī) 在多次警告后阻斷其連網(wǎng)。(2) 采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上，與網(wǎng)絡(luò)的其余 部分隔開(kāi)，它使內(nèi)部網(wǎng)絡(luò)與internet z間或與其他外部網(wǎng)絡(luò)互和隔離，限制網(wǎng) 絡(luò)互訪，用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記 錄所有可疑事件。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng)，是建立在現(xiàn)代通信 網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻 應(yīng)用攻擊所采用的技術(shù)有：(1)深度數(shù)據(jù)包處

27、理。深度數(shù)據(jù)包處理在一個(gè)數(shù)據(jù)流 當(dāng)中有多個(gè)數(shù)據(jù)包，在尋找攻擊異常行為的同時(shí)，保持整個(gè)數(shù)據(jù)流的狀態(tài)。深度 數(shù)據(jù)包處理要求以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量，以避免應(yīng)用時(shí)帶 來(lái)時(shí)延。(2) 1p/irl 濾。一旦應(yīng)用流量是明文格式，就必須檢測(cè)http請(qǐng)求的 url部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查rul,還能檢查 請(qǐng)求的其余部分。其實(shí)，如果把應(yīng)用響應(yīng)考慮進(jìn)來(lái)，可以大大提高檢測(cè)攻擊的準(zhǔn) 確性。雖然url過(guò)濾是一項(xiàng)重要的操作，可以阻止通常的腳本類(lèi)型的攻擊。(3) tcp/ip終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并口常常涉及不同的數(shù)據(jù)流。流量 分析系統(tǒng)耍發(fā)揮功效，就必須在用戶(hù)與應(yīng)用保

28、持互動(dòng)的整個(gè)會(huì)話(huà)期間，能夠檢測(cè) 數(shù)據(jù)包和請(qǐng)求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整 個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包屮尋找惡意模式。系統(tǒng)屮存著一些訪問(wèn)網(wǎng)絡(luò)的 木馬、病毒等ip地址，檢查訪問(wèn)的tp地址或者端口是否合法，有效的tcp/ip 終止，并有效地扼殺木馬。時(shí)等。(4)訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤。訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤。 這是防火墻技術(shù)的最基本部分，判斷進(jìn)程訪問(wèn)網(wǎng)絡(luò)的合法性，進(jìn)行有效攔截。這 項(xiàng)功能通常借助丁 td1層的網(wǎng)絡(luò)數(shù)據(jù)攔截，得到操作網(wǎng)絡(luò)數(shù)據(jù)報(bào)的進(jìn)程的詳細(xì)信 息加以實(shí)現(xiàn)。封存所有空閑的ip地址，啟動(dòng)ip地址綁定，采用上網(wǎng)計(jì)算機(jī)ip地址與mac地 址唯一對(duì)應(yīng)，網(wǎng)絡(luò)沒(méi)有空閑1p地址的策

29、略。由于采用了無(wú)空閑ip地址策略，可 以有效防止ip地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒 傳播和數(shù)據(jù)泄密。(3) 屬性安全控制。它能控制以下兒個(gè)方面的權(quán)限：防止用戶(hù)對(duì)目錄和文件的誤 刪除、執(zhí)行修改、查看目錄和文件、顯示向某個(gè)文件寫(xiě)數(shù)據(jù)、拷貝、刪除冃錄或 文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重耍的目 錄和文件。啟用殺毒軟件強(qiáng)制安裝策略，監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)，對(duì)沒(méi)有安裝 殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。3 病毒防治病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng) 絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的吋間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而 造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重 點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是對(duì)病毒行為的判斷，如何冇效辨別病毒行為 與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個(gè)局域網(wǎng)的 防病毒系統(tǒng)上的，主要從以下兒個(gè)方面制定有針對(duì)性的防病毒策略：(1) 增加安全意識(shí)和安全知識(shí)，對(duì)工作人員定期培訓(xùn)。首先明確病毒的危害，文 件共享的時(shí)候盡量控制權(quán)限和増加密碼，對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等， 都可以很好地防止病毒在網(wǎng)絡(luò)屮的傳播。這些措施對(duì)杜絕病毒，主觀能動(dòng)性起到 很重要的作用。(2) 小心使用移動(dòng)存