計算機網(wǎng)絡(luò)改造總體設(shè)計方案書

....27/27計算機網(wǎng)絡(luò)改造總體設(shè)計方案書目錄第1章網(wǎng)絡(luò)改造的需求規(guī)定1.1總體目標(biāo)1.2網(wǎng)絡(luò)改造需求1.2.1某公司局域網(wǎng)1.2.2網(wǎng)絡(luò)管理的需求1.2.3網(wǎng)絡(luò)安全管理需求第2章網(wǎng)絡(luò)改造的基本原則第3章網(wǎng)絡(luò)總體設(shè)計3.1某公司網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu)4.1.1組網(wǎng)模式4.1.2網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)設(shè)計3.2局域網(wǎng)改造4.2.1局域網(wǎng)改造方案第4章某公司網(wǎng)絡(luò)管理設(shè)計第5章網(wǎng)絡(luò)系統(tǒng)安全設(shè)計5.1安全模型（P2DR模型）5.2某公司網(wǎng)絡(luò)系統(tǒng)總體安全體系5.3某公司網(wǎng)絡(luò)級安全設(shè)計5.3.1局域網(wǎng)安全設(shè)計設(shè)備清單…………第一章網(wǎng)絡(luò)改造的需求規(guī)定總體目標(biāo)某公司骨干網(wǎng)改造是公司為了適應(yīng)新形勢下企業(yè)激烈競爭，提高某公司核心競爭力的一項具有戰(zhàn)略意義的舉措。某公司網(wǎng)絡(luò)改造作為整個網(wǎng)絡(luò)改造工作的一個組成部分，成功的網(wǎng)絡(luò)改造將使某公司能夠在較長時間里在高科技領(lǐng)域競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務(wù)水平的快速發(fā)展。某公司網(wǎng)絡(luò)設(shè)計為三層結(jié)構(gòu)，系統(tǒng)的設(shè)計應(yīng)充分利用當(dāng)今先進的網(wǎng)絡(luò)技術(shù)，實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)高速有序流通，建立高效率的信息網(wǎng)絡(luò)平臺，形成各個部門外相聯(lián)、上下貫通的信息傳輸網(wǎng)絡(luò)。建設(shè)后的某公司網(wǎng)絡(luò)平臺應(yīng)是一個技術(shù)先進、性能可靠、功能齊全的系統(tǒng)，系統(tǒng)的各級用戶在各自權(quán)限，在各自站點上進行各自的工作，滿足網(wǎng)上語音、視頻、監(jiān)控等多種應(yīng)用，為某公司提供一個穩(wěn)定的網(wǎng)絡(luò)。某公司網(wǎng)絡(luò)現(xiàn)狀與需求分析原有局域網(wǎng)是在2001年前建設(shè)的，好多車間當(dāng)時均沒有布線，或者布的線的是網(wǎng)線，時間長網(wǎng)線均已老化或者是被老鼠咬斷，對廠區(qū)提升信息化應(yīng)用受到很大的影響。也直接影響到局域網(wǎng)的使用。且當(dāng)時車間里只有一個最多兩個點是可以使用的。隨著企業(yè)規(guī)模的擴大以與應(yīng)用系統(tǒng)的增多，己經(jīng)不能滿足現(xiàn)有與未來信息化辦公要求，主要暴露的問題有以下幾點：

1、隨著用戶數(shù)目的增加，以與各種業(yè)務(wù)系統(tǒng)的拓展，依托于網(wǎng)絡(luò)運行的業(yè)務(wù)越來越多，對網(wǎng)絡(luò)的依賴性越來越強，網(wǎng)絡(luò)設(shè)備的性能不能夠滿足未來的需求，所以網(wǎng)絡(luò)迫切面臨著升級改造的需求。

2、網(wǎng)絡(luò)安全性：現(xiàn)在某公司在網(wǎng)絡(luò)安全方面還處在一種被動局面，只有等到各種病毒和漏洞發(fā)作的時候才知道，不能夠在這些安全威脅爆發(fā)之前，對網(wǎng)絡(luò)的各種隱患和漏洞進行一個很好的分析、了解和掌握，并且通過某種手段彌補掉這些隱患；沒有能夠檢測網(wǎng)絡(luò)當(dāng)中各種行為的設(shè)備，這樣有人在網(wǎng)絡(luò)當(dāng)中作了些什么，網(wǎng)管人員將很難發(fā)現(xiàn)，所以需要有一種監(jiān)測網(wǎng)絡(luò)和審計網(wǎng)絡(luò)的設(shè)備和軟件，進而從多個方面，多個角度，多種手段來建成一種防御體系，使網(wǎng)絡(luò)在被攻擊前、被攻擊中、被攻擊后都可以通過某種手段去解決問題。在攻擊前積極防御，先找到隱患和漏洞，并且進行彌補，在攻擊中與時發(fā)現(xiàn)可以通過設(shè)備間的聯(lián)動，對其攻擊進行阻斷。最后就是作好安全容災(zāi)備份，這樣即使數(shù)據(jù)丟失或損壞，還有備份系統(tǒng)能夠在短時間使系統(tǒng)重新恢復(fù)起來。

3、總機房與廠區(qū)部門互聯(lián)：由于廠區(qū)和部門之間的主干沒有光纖連接，并且有的部門沒有網(wǎng)絡(luò)綜合布線系統(tǒng)，所以廠區(qū)和的部門連接增加千兆光纖連接，部門分交換到各信息點增加綜合布線系統(tǒng)。

網(wǎng)絡(luò)改造需求某公司局域網(wǎng)方案描述這次改造目的把所有的基層車間與下屬部門全部用光纖做為主干。每個基層車間與下屬部門均布10-40個信息點。全廠區(qū)總體設(shè)計的信息點在600個以上。方案描述：在原總工辦辦公室建立核心機房，核心交換機采用LS-S5600-26F24GESFP,4個combo10/100/10001000Base-T,自帶兩個堆疊口,1個模塊插槽。光纖配線架直接熔接光纖，不用收發(fā)器，通過跳線和主交換機LS-S5600-26F模塊連接到各車間的光纖到光口交換機。由于現(xiàn)有的點加上新綜合車間共有300多，我們現(xiàn)有的路由器已不能滿足要求。所以上一套專業(yè)的路由器主控模塊RT-MPUF-H3主控模塊是：H3CMSR50主控模塊,2GE(Combo),4SIC,256F/512D并配LIS-MSR50-STANDARD-H3軟件進行管理。配置一臺H3CSecPathF1000-C-AC作為整體網(wǎng)絡(luò)的防火墻。由于大樓里的各房間的網(wǎng)絡(luò)不再改動。我們增加了二臺H3CS3100-26TP-SI交換機做為樓各點的接入點。機房配備一臺山特C2KS一小時延時的UPS不間斷電源，機柜所有的設(shè)備都做接地連接。每個車間的設(shè)備說明。每個車間配置一臺H3CS3100-26TP-SI交換機，光纖直接上交換機的SFP-GE-LX-SM1310-A光模塊。車間的所有網(wǎng)線全部進行全新的安裝采用PVC墻面固定。每個信息點采用外裝模塊。配置一臺機柜,一臺山特C12KS一小時延時的UPS不間斷電源。其中不包括新綜合車間。每條線都進行標(biāo)記。各車間的光纖走向主要分四路來實現(xiàn)。第一路：加工車間。第二路：綜合新車間、新裝配、木模下線、裝配辦、裝配、沖剪。具體說明用一根12芯光纖到綜合新車間進行用一分二光纖分路器進行分路，由于綜合新車間的信息點比較多，我們采用兩臺H3CS3100-52TP-SI交換機來保證信息點足夠使用。光纖到裝配辦用一分四光纖分路二次分路分別給新裝配、木模下線、裝配辦、裝配、沖剪。第三路：機電辦、機電、工具、加工二、焊接大修在機電辦進行二次分路。第四路：銷售、供應(yīng)、備料、鑄工、車隊、物業(yè)、保衛(wèi)部、在銷售進行光纖二次分配，在供應(yīng)進行光纖二次分配。在車隊進行光纖二次分配。銷售放一臺S3100-52TP-SI，在供應(yīng)放一臺S3100-52TP-SI交換機。網(wǎng)絡(luò)管理的需求1、具有網(wǎng)絡(luò)管理基本功能，提供設(shè)備管理、配置管理、圖形面板、流量監(jiān)控、故障判斷、拓撲發(fā)現(xiàn)等。增加局域網(wǎng)管理軟件。2、在不影響關(guān)鍵業(yè)務(wù)運行的前提下，收集分析網(wǎng)絡(luò)流量中的應(yīng)用信息，網(wǎng)絡(luò)管理員可以定義、監(jiān)控并評估網(wǎng)絡(luò)連接性、安全性和性能策略，并進行網(wǎng)絡(luò)的規(guī)劃和設(shè)計。3、網(wǎng)管系統(tǒng)能夠作到管理監(jiān)控到全網(wǎng)所有網(wǎng)絡(luò)設(shè)備，直觀的顯示各種設(shè)備運行狀態(tài)，并對各種異常情況實現(xiàn)自動報警。網(wǎng)絡(luò)安全管理需求１、網(wǎng)絡(luò)設(shè)計中利用防火墻、VLAN等技術(shù)，確保計算機網(wǎng)絡(luò)系統(tǒng)計算機網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風(fēng)險得到控制。２、能夠使安全管理員了解計算機網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。３、可監(jiān)控到來自網(wǎng)絡(luò)部和外部的“黑客”入侵。４、能夠為查明入侵的來源提供有效的依據(jù)。5、能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應(yīng)用層進行安全脆弱性進行評估，提供安全修復(fù)指引。網(wǎng)絡(luò)改造的基本原則在網(wǎng)絡(luò)集成設(shè)計過程中，一定要從網(wǎng)絡(luò)、服務(wù)器、工作站的互連性、網(wǎng)絡(luò)的可用性與網(wǎng)絡(luò)的性能上支持將來xx機械廠計算機網(wǎng)絡(luò)的全部網(wǎng)絡(luò)應(yīng)用，并且能夠適應(yīng)今后相當(dāng)長一段時間應(yīng)用的發(fā)展。

在本網(wǎng)絡(luò)設(shè)計的過程中，還有一個需要考慮的重要因素就是系統(tǒng)的可靠性。網(wǎng)絡(luò)應(yīng)該具有一定的容錯能力，在設(shè)計中盡可能地減少單一故障點，以使該網(wǎng)絡(luò)不至于因為某一設(shè)備的損壞或某一信道的故障全部或部分癱瘓。另外，網(wǎng)絡(luò)的性能是設(shè)計一個網(wǎng)絡(luò)最基本的依據(jù)，在設(shè)計中不但要考慮滿足今天的應(yīng)用，而且要考慮到今后相當(dāng)長一段時間的發(fā)展。當(dāng)然，高性能與高可靠性是以高投入為代價的，最終的方案一定是性能與價格折衷的產(chǎn)物。還要對網(wǎng)絡(luò)實行集中監(jiān)測，并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，與可提供故障自動報警。最后就是保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級。在xx機械廠計算機網(wǎng)絡(luò)設(shè)計中，我們基于以下基本原則：

1技術(shù)的超前性和成熟性

2高度的安全性

3實用性

4網(wǎng)絡(luò)的擴展性和可維護性

5高性能

6可靠性

7可管理性

8投資保護

網(wǎng)絡(luò)總體設(shè)計某公司網(wǎng)絡(luò)系統(tǒng)改造目標(biāo)總體架構(gòu)組網(wǎng)模式大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解某公司網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于我們合理選擇網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)技術(shù)。鑒于某公司的特殊性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計為如下層次：鏈路層：鏈路層實現(xiàn)各辦公樓網(wǎng)絡(luò)的連接，包括中心機房到新綜合車間、運銷、供應(yīng)與車間的連接。分布層：實現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，某公司到各個科室的二級網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。接入層：為最終用戶提供對網(wǎng)絡(luò)的接入，某公司到各個機房構(gòu)成的網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)接入層。同時，接入層的網(wǎng)絡(luò)包括某公司與互連網(wǎng)10MB光纖的連接。按照以上方式進行組網(wǎng)，層次比較清晰，便于方案實施，。網(wǎng)絡(luò)總體拓撲結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)改造后的網(wǎng)絡(luò)拓撲結(jié)構(gòu)示意圖如下所示：局域網(wǎng)改造局域網(wǎng)改造方案設(shè)備選擇核心交換機采用LS-S5600-26F24GESFP,4個combo10/100/10001000Base-T,自帶兩個堆疊口,1個模塊插槽。LS-S5600-26F產(chǎn)品類型企業(yè)級,三層,可網(wǎng)管型交換機,千兆以太網(wǎng)型,可網(wǎng)管型傳輸方式：存儲轉(zhuǎn)發(fā)方式背板帶寬：192Gbps包轉(zhuǎn)發(fā)率：66Mpps外形尺寸440×420×43.6mm重量5Kg硬件參數(shù)接口類型10/100Base-T端口,10/100/1000BASE-T端口,10/100/1000MCombo電口,千兆SFPCombo口,(24個10/100/1000M電口,4個SFPCombo千兆口)接口數(shù)目24口傳輸速率10M/100M/1000Mbps模塊化插槽數(shù)4管理端口1個Console口堆疊可堆疊網(wǎng)絡(luò)與軟件支持網(wǎng)絡(luò)標(biāo)準(zhǔn)802.3；802.3u,IEEE802.3x,IEEE802.1D,IEEE802.1QVLAN支持支持4K個符合IEEE802.1Q標(biāo)準(zhǔn)的VLAN,支持基于端口的VLAN端口聚合支持端口聚合,支持通過LACP進行動態(tài)端口匯聚,支持進行通過命令行手動進行端口匯聚,支持堆疊圍的跨設(shè)備鏈路匯聚,支持GE(GigabitEthernet)端口匯聚,支持10G(GigabitEthernet)端口匯聚,最多32組端口匯聚組,GE匯聚組最多支持8個端口,10GE匯聚組最多4個端口,匯聚的端口必須具有一樣的端口類型網(wǎng)管功能支持,命令行接口(CLI)配置,支持Telnet遠程配置,通過Console口配置,WEB網(wǎng)管,SNMP管理,RMON管理,QuidView網(wǎng)管系統(tǒng),支持系統(tǒng)日志,支持分級告警是否支持全雙工支持IEEE802.3x流控(全雙工),支持Back-pressurebasedflowcontrol(背壓式流控)(半雙工)認(rèn)證標(biāo)準(zhǔn)CISPR22ClassA,FCCPart15ClassA,EN55022ClassA,ICES-003ClassA,VCCIClassA,AS/NZS3548ClassA,EN61000-3-2,EN61000-3-3MAC地址表16K其他性能支持流量控制(FlowControl),支持端口鏡像(PortMirror),支持服務(wù)質(zhì)量(QoS),生成樹協(xié)議支持,廣播風(fēng)暴控制,802.1x認(rèn)證支持其它參數(shù)電源電壓AC:額定電壓圍：100V～240VA.C.，50/60Hz,最大電壓圍：90V～264VA.C.，47/63Hz,DC:額定電壓圍：-48--60V,最大電壓圍：-36--72V最大功率130W電源模塊:PSL130-AD(130W系統(tǒng)輸出電源模塊)交流輸入或者直流輸入H3CSecPathF1000-C-AC防火墻功能：可擴展高性能防火墻H3CSecPath防火墻/VPN是業(yè)界功能最全面、擴展性最好的防火墻/VPN產(chǎn)品，集成防火墻、VPN和豐富的網(wǎng)絡(luò)特性，為用戶提供安全防護、安全遠程接入等功能。H3CSecPathF1000系列防火墻包括SecPathF1000-C/SecPathF1000-S/SecPathF1000-A/SecPathF1000-E等四款產(chǎn)品，支持外部攻擊防、網(wǎng)安全、流量監(jiān)控、過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF（ApplicationSpecificPacketFilter）應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持告警，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN、動態(tài)VPN等；支持RIP/OSPF/BGP/路由策略與策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形與多種隊列調(diào)度策略。擴展性最強基于H3C先進的OAA開放應(yīng)用架構(gòu)，SecPath防火墻能靈活擴展病毒防、網(wǎng)絡(luò)流量監(jiān)控和SSLVPN等硬件業(yè)務(wù)模塊，實現(xiàn)2-7層的全面安全。強大的攻擊防能力能防御DoS/DDoS攻擊（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺騙攻擊、TCP報文標(biāo)志位不合法攻擊、LargeICMP報文攻擊、地址掃描攻擊和端口掃描攻擊等多種惡意攻擊，同時支持黑、MAC綁定、容過濾等先進功能。增強型狀態(tài)安全過濾支持基礎(chǔ)、擴展和基于接口的狀態(tài)檢測包過濾技術(shù)；支持H3C特有ASPF應(yīng)用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對應(yīng)用層協(xié)議的狀態(tài)監(jiān)控。豐富的VPN特性集成IPSec、L2TP、GRE和SSL等多種成熟VPN接入技術(shù)，保證移動用戶、合作伙伴和分支機構(gòu)安全、便捷的接入。應(yīng)用層容過濾可以有效的識別網(wǎng)絡(luò)中各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護網(wǎng)絡(luò)帶寬；支持過濾，提供SMTP地址、標(biāo)題、附件和容過濾；支持網(wǎng)頁過濾，提供URL和容過濾。全面NAT應(yīng)用支持提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、EasyIP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。全面的認(rèn)證服務(wù)支持本地用戶、RADIUS、TACACS等認(rèn)證方式，支持基于PKI/CA體系的數(shù)字證書（X.509格式）認(rèn)證功能。支持基于用戶身份的管理，實現(xiàn)不同身份的用戶擁有不同的命令執(zhí)行權(quán)限，并且支持用戶視圖分級，對于不同級別的用戶賦予不同的管理配置權(quán)限。集中管理與審計提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、告警功能某公司網(wǎng)絡(luò)管理設(shè)計計算機網(wǎng)絡(luò)管理系統(tǒng)是管理網(wǎng)絡(luò)軟件系統(tǒng)。計算機網(wǎng)絡(luò)管理，收集靜態(tài)和動態(tài)運行信息網(wǎng)絡(luò)的各個組成部分，在這種對資料的基礎(chǔ)上分析，并作出適當(dāng)處理，以確保網(wǎng)絡(luò)安全，可靠，高效運行，從而一種網(wǎng)絡(luò)資源的合理配置動態(tài)配置網(wǎng)絡(luò)負載，優(yōu)化網(wǎng)絡(luò)性能，降低網(wǎng)絡(luò)維護成本。

一般來說，一個典型的網(wǎng)管理系統(tǒng)包括四個要素：管理員，管理代理，管理信息數(shù)據(jù)庫，代理服務(wù)設(shè)備。

1。管理員。在網(wǎng)絡(luò)管理實體實施的駐留在管理工作站。這是整個網(wǎng)絡(luò)系統(tǒng)，復(fù)雜的網(wǎng)絡(luò)管理功能的核心。網(wǎng)絡(luò)管理系統(tǒng)要求定期管理公司重要的設(shè)備信息的收集，所收集的信息將被用于識別個人的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)的一部分或整個網(wǎng)絡(luò)的正常運行。

2。管理代理。網(wǎng)絡(luò)管理代理的網(wǎng)絡(luò)設(shè)備居民（在這里，該設(shè)備可以UNIX工作站，網(wǎng)絡(luò)打印機，它可以在其他網(wǎng)絡(luò)設(shè)備的軟件模塊），它可以在本地設(shè)備的運行狀態(tài)，設(shè)備的特點，系統(tǒng)配置和其他相關(guān)的信息。網(wǎng)絡(luò)管理代理的作用是：作為管理體制和管理代理軟件駐留，通過控制設(shè)備管理信息數(shù)據(jù)庫（MIB）的設(shè)備之間的一個中介管理中的設(shè)備信息。

3。管理信息庫。這是管理中的存管理庫中的對象是一個數(shù)據(jù)庫，其中包括網(wǎng)絡(luò)設(shè)備的配置信息的動態(tài)更新，數(shù)據(jù)通信的統(tǒng)計信息，安全信息和設(shè)備的特定信息。這一信息被送往經(jīng)理形成一個動態(tài)的數(shù)據(jù)源網(wǎng)絡(luò)管理系統(tǒng)。

4。代理設(shè)備和管理協(xié)議。代理設(shè)備在標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理軟件，不直接支持標(biāo)準(zhǔn)協(xié)議作為系統(tǒng)之間的橋梁。工程處設(shè)備的使用而不用升級整個網(wǎng)絡(luò)，可以實現(xiàn)從舊到新版本的過渡協(xié)議。對于網(wǎng)絡(luò)管理系統(tǒng)，但重要的是，管理員和管理代理之間的網(wǎng)絡(luò)管理協(xié)議SNMP的使用，例如，他們的共同遵循的MIB庫。網(wǎng)絡(luò)管理協(xié)議是用來傳遞之間的管理員和管理代理操作命令，并為管理員的操作命令負責(zé)解釋。通過管理協(xié)議，允許管理信息庫的數(shù)據(jù)和特定設(shè)備的實際狀況，經(jīng)營圍一致的作用。

網(wǎng)絡(luò)系統(tǒng)的管理功能

標(biāo)準(zhǔn)化組織的ISO/IEC7498-4文件定義了五個網(wǎng)絡(luò)管理功能，即配置管理，故障管理，性能管理，計費管理和安全管理。

故障管理：它的主要功能是故障檢測，發(fā)現(xiàn)，報告，診斷和治療。由于錯誤可能導(dǎo)致系統(tǒng)故障或不能接受的網(wǎng)絡(luò)性能退化，也是標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理故障管理的元素，是最廣泛的實施管理。

配置管理：它的主要功能包括：網(wǎng)絡(luò)拓撲結(jié)構(gòu)之間的關(guān)系，監(jiān)測和管理網(wǎng)絡(luò)設(shè)備的配置，根據(jù)前重建的條件確定的網(wǎng)絡(luò)，目的是監(jiān)測網(wǎng)絡(luò)和系統(tǒng)配置信息，以便跟蹤和管理不同軟件和網(wǎng)絡(luò)操作，結(jié)果硬件模塊。

績效管理：監(jiān)控網(wǎng)絡(luò)的性能數(shù)據(jù)，閾值檢查品種，并自動對當(dāng)前性能數(shù)據(jù)，歷史數(shù)據(jù)進行分析。我們的目標(biāo)是測量和顯示網(wǎng)絡(luò)的各個方面的特點，以便在可接受的水平人民為維護網(wǎng)絡(luò)的性能。

安全管理：主要是訪問網(wǎng)絡(luò)資源的管理。包括用戶驗證，權(quán)限，審批和網(wǎng)絡(luò)訪問控制（防火墻）等功能。我們的目標(biāo)是控制訪問網(wǎng)絡(luò)資源，以確保網(wǎng)絡(luò)不會受到侵犯（意識或無意識），并確保未經(jīng)授權(quán)的用戶訪問重要信息，與本地安全策略規(guī)定。

計費管理：主要是基于會計目的網(wǎng)絡(luò)資源的使用。我們的目標(biāo)是衡量網(wǎng)絡(luò)的利用率，使一個或一組用戶按照一定的規(guī)則，使用網(wǎng)絡(luò)資源，這種規(guī)則可以減少網(wǎng)絡(luò)的問題（因為網(wǎng)絡(luò)資源得到合理的根據(jù)其能力的大小分配），也可以訪問網(wǎng)絡(luò)上的所有用戶更公平。

其中5個都相互獨立的基本功能，而且有不可分割的聯(lián)系。在這些網(wǎng)絡(luò)管理功能，故障管理是整個網(wǎng)絡(luò)管理的核心，配置管理是所有管理職能的基礎(chǔ)上，其他管理職能需要配置管理信息的使用，性能管理，安全管理，會計管理，相對上有更大的獨立性，特別是在會計管理，由于不同的申請單元有一個非常不同的收費政策，收費應(yīng)用程序開發(fā)環(huán)境也不同，因此，計費管理應(yīng)用，但總體上，在專業(yè)發(fā)展的實際情況為基礎(chǔ)。網(wǎng)絡(luò)系統(tǒng)安全設(shè)計由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個與時間和技術(shù)相關(guān)動態(tài)的概念。針對傳統(tǒng)安全模型的缺陷和不足，有關(guān)公司提出了一個極具創(chuàng)意的，能夠自我不斷完善、不斷發(fā)展、自我適應(yīng)能力極強的嶄新的網(wǎng)絡(luò)安全模型P2DR安全模型，某公司這次網(wǎng)絡(luò)系統(tǒng)安全的實施就準(zhǔn)備基于這個模型。安全模型（P2DR模型）P2DR方案是一個超前的安全模型，它是在對國際上安全方面可靠的權(quán)威著作進行多年研究的基礎(chǔ)上獨自發(fā)展出來的。它的指導(dǎo)思想比傳統(tǒng)安全方案有突破性提高。P2DR模型如圖所示：Policy策略、Protection防護、Detection檢測和Response響應(yīng)組成的完整模型體系，可以描述和解釋任何信息安全問題。P2DR安全模型的特點就是動態(tài)性和基于時間的特性，可以說對信息安全的“相對性”給予了更好地描述：雖然沒有100%的安全，但是模型為進一步解決信息安全技術(shù)問題提供了有益的方法和方向。Policy(安全策略)安全策略是P2DR安全模型的核心，要想實施動態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護、檢測、響應(yīng)都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。Protection（保護）保護通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)與方法來實現(xiàn)的，主要有防火墻、加密、認(rèn)證等方法。通過防火墻監(jiān)視限制進出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防外對與對外的非法訪問，提高了網(wǎng)絡(luò)的防護能力，當(dāng)然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用SecureID這種一次性口令的方法來增加系統(tǒng)的安全性等等。Detection（檢測）在P2DR模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)的依據(jù)，它也是強制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來與時作出有效的響應(yīng)。檢測主要包括“漏洞檢測”和“入侵檢測”兩個部分。Response（響應(yīng)）緊急響應(yīng)在安全系統(tǒng)中占有最重要得地位，是解決安全潛在性最有效的辦法。在檢測到安全漏洞和安全事件之后必須與時做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。從某種意義上講，安全問題就是要解決緊急響應(yīng)和異常處理問題。要解決好緊急響應(yīng)問題，就要制訂好緊急響應(yīng)的方案，做好緊急響應(yīng)方案中的一切準(zhǔn)備工作?？傊?，一個信息安全方案必須對安全策略、安全防護、安全檢測和安全響應(yīng)有準(zhǔn)確和完整的描述。值得強調(diào)的是，P2DR安全模型已被正式收錄進人民銀行的安全藍皮書：《國家金融信息系統(tǒng)安全》總體綱要-1999.12某公司網(wǎng)絡(luò)系統(tǒng)總體安全體系安全策略設(shè)計1、安全策略描述原則由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到某公司的服務(wù)質(zhì)量和信譽保證，關(guān)系到客戶的切身利益，因此在制定安全策略時，要加強對數(shù)據(jù)傳輸?shù)南拗疲粗挥斜硎緸樵试S的才可以進行傳輸這一原則來加強對網(wǎng)絡(luò)安全的限制。2、具體安全策略某公司安全策略應(yīng)該包括：用戶管理、職責(zé)劃分、安全管理、安全評估、安全監(jiān)控、緊急響應(yīng)、異常處理、授權(quán)操作、恢復(fù)策略以與跟蹤審計等總體安全體系的規(guī)定網(wǎng)絡(luò)系統(tǒng)的安全從體系結(jié)構(gòu)上來看應(yīng)該是一個多層次、多方面的結(jié)構(gòu)。通過對某公司網(wǎng)絡(luò)所面臨的安全狀況的分析，可將整個某公司網(wǎng)絡(luò)的安全性在總體結(jié)構(gòu)上劃分為四個級別：網(wǎng)絡(luò)級安全、應(yīng)用級安全、系統(tǒng)級安全和企業(yè)級安全。公公司網(wǎng)絡(luò)系統(tǒng)安全體系架構(gòu)網(wǎng)絡(luò)級安全系統(tǒng)級安全應(yīng)用級安全企業(yè)級安全安全管理制度審計病毒防X加密數(shù)字簽名身份認(rèn)證安全漏洞檢測安全監(jiān)控訪問控制VLAN劃分VPN數(shù)據(jù)包過濾安全級別安全手段網(wǎng)絡(luò)級安全是指在網(wǎng)絡(luò)的下三層(物理層、鏈路層、網(wǎng)絡(luò)層)采取各種安全措施來保障整個某公司網(wǎng)絡(luò)的安全，包括數(shù)據(jù)包過濾、VPN虛擬私有網(wǎng)、VLAN的劃分、訪問控制、身份認(rèn)證、數(shù)據(jù)包加密傳輸、安全審計、安全監(jiān)控和安全漏洞檢測等應(yīng)用級安全是指通過利用某公司網(wǎng)絡(luò)中各大應(yīng)用系統(tǒng)（如辦公自動化系統(tǒng)、財會清算系統(tǒng)、人力資源系統(tǒng)與三維等等）和大型關(guān)系型數(shù)據(jù)庫自身的安全機制，在應(yīng)用層保證對某公司網(wǎng)絡(luò)中各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)(UNIX、NT)的安全設(shè)置，防止利用操作系統(tǒng)的安全漏洞對整個某公司網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級安全主要是從某公司圍的安全管理和計算機病毒防兩方面來保障整個某公司網(wǎng)絡(luò)的安全。此次網(wǎng)絡(luò)改造我們主要對網(wǎng)絡(luò)級安全加以設(shè)計。某公司網(wǎng)絡(luò)級安全設(shè)計可適應(yīng)性網(wǎng)絡(luò)安全由四個集成的方案組成。第一，端對端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評估，通過自動的基于網(wǎng)絡(luò)的和基于主機的掃描技術(shù)實現(xiàn)；第二，對安全弱點的響應(yīng)通過已建立的安全策略中相關(guān)的安全漏洞來衡量。更正動作很容易獲得并迅速實現(xiàn)。另外，基于網(wǎng)絡(luò)和主機的實時入侵檢測提供對部攻擊、外部攻擊和誤操作的實時保護。最后，對安全威脅的網(wǎng)絡(luò)自動更正包括主動中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。網(wǎng)絡(luò)安全的程度必然是動態(tài)變化的，所以網(wǎng)絡(luò)安全不可能是一個靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的影響安全的因素來制訂整個網(wǎng)絡(luò)的安全策略對于系統(tǒng)安全設(shè)計，一定要充分考慮整個某公司網(wǎng)絡(luò)系統(tǒng)的實際需求和網(wǎng)絡(luò)現(xiàn)狀，以某公司網(wǎng)絡(luò)與外部的連接作為安全設(shè)計的重點，可通過以下措施來從網(wǎng)絡(luò)物理層一直到應(yīng)用層保證整個網(wǎng)絡(luò)系統(tǒng)的安全使用。局域網(wǎng)安全設(shè)計由于局域網(wǎng)中采用廣播方式，因此，若在某個廣播域中可以偵聽到所有的信息包，黑客就可以對信息包進行分析，那么本廣播域的信息傳遞都會暴露在黑客面前。某公司局域網(wǎng)在空間分布上是城域圍的，局域網(wǎng)的安全必須認(rèn)真考慮，局域網(wǎng)安全主要有采取VLAN劃分以與利用安全軟件對局域網(wǎng)進行掃描。劃分VLAN虛擬網(wǎng)（VLAN）技術(shù)主要基于近年