企业局域网的发展(精选9篇)
相对于企业信息化的高歌猛进,人为管理的效率低下、耗时过长等问题也就开始逐渐凸显出来。
企业网络管理设备可以实时监控企业局域网内所有员工电脑的所有上网操作,浏览网页、逛的论坛、聊天记录、限制网址等统统都可以实现,不仅可以规范员工的上网行为,最为明显的就是它可以有机的将企业管理和企业安全结合起来,让管理更加的简单便捷。
那么企业可以选择的网络管理设备有哪些呢?目前众多企业选择的万任UniERM网络流量综合管理系统可以为大家提供参考,这是个不错的选择。
万任UniERM上网行为管理功能能够有效的规范员工上网行为、保障单位内部信息安全、防止带宽资源滥用、防止无关网络行为影响工作效率、记录上网轨迹满足法规要求、管控外发信息降低泄密风险、掌握组织动态、优化员工管理、为网络管理与优化提供决策依据、防止病毒木马等网络风险、低成本且有效推行IT制度等等;
上网行为管理设备的广泛使用是在企业局域网管理的一个新的变革,可以很好的帮助企业管理者做好监督管理员工的工作,还可以帮助企业建立起新的安全管理机制,科学的管理让企业的高效运转,可以说是树立了局域网管理一个新的里程碑。
对于各大中小企业来说,选择一款性价比最高的网络管理设备,是必须的。对于过高的价格,是中小企业难以负担的,而且价格昂贵的,使用效果就不一定是最理想的,这又给中小企业的网络管理设备选择出了一道难题。
中小企业如何选择适合自己的网络管理设备?也许可以从万任UniERM网络流量综合管理系统中来学习,首先是功能,必须要齐全,要最大限度的满足企业网络管理的需要,例如上网行为管理功能、路由功能、防火墙、负载均衡、VPN等功能,这些都是企业网络管理中很常用到的。
其次就是价格,中小企业不选最贵的,只选最对的,其实市场上好用的网管设备很多,而且价格并不高,例如万任的UniERM就是,中小企业的最佳选择。
1 网络的设计
1.1 设计目标
网络基础平台的建设,一般要满足这样几个目标:
(1)适应信息技术的发展,满足业务和办公中不断增加的对于信息资源共享的需求;信息中心具有信息转发、信息存储共享、信息综合处理和查询服务能力的交换系统核心。
(2)提高办公效率,实现电子化办公、无纸办公,同时大幅度提高工作人员的信息化水平。
(3)为单位提供因特网接入,在信息网络逐步成为“第四媒体”的当前,为单位工作人员提供对因特网的资讯互通,现已建成本单位工作人员因特网接入的统一平台。
(4)建立代表本单位的Web服务器,对内方便工作人员信息的获取和基于Web的沟通,对外树立本单位在因特网上的形象,也使网络成为服务社会的“窗口”;即院内各处、室的信息能够及时准确地传输到决策部门和管理部门。
(5)建设网上多媒体增值服务,如视频点播、视频会议等应用,丰富办公手段,节约办公经费;一个典型的网络基础平台应该首先能够高效地实现自动化办公,还要有足够的带宽或扩展性以满足多媒体应用;另外,要有足够的因特网接入。
(6)各部门子网内部通信可以相互独立,互不干扰。
(7)具有异种机互联的能力,将不同的计算机系统互联在一起。
(8)信息中心提供统一的与Internet的接口,设立防火墙及代理服务器,保证企业局域网的信息安全。
1.2 设计原则
计算机系统的应用在我国很多行业尚属初级阶段,基础系统与用户之间呈现断裂状态。表现为快速更新的系统设备,大大滞后的应用开发和多变的用户需求。常常是开发的应用软件尚未投入运行,系统设备已经陈旧过时或用户需求已经改变。为避免重复这类错误,将遵循以下原则:
(1)先进性与实用性的平衡
网络建设要有一定的前瞻性。在网络建成的三到五年之内,业务量的增加不应导致对网络结构及主干设备的重大调整。同时考虑实际的应用水平,避免技术环境过于超前造成投资浪费。
(2)开放性
网络应采用开放式体系结构,易于扩充,使相对独立的分系统易于进行组合和调整。选用的通信协议要符合国际标准或工业标准,网络的硬件环境、通信环境、软件环境相互独立,自成平台,使相互间依赖减至最小,同时要保证网络的互联。
(3)可扩充与可延展性
随着应用水平的提高,对网络的要求也会不断提高,网络结构应具有良好的可扩充与可延展性。预先应作好硬件、软件和管理接口,使网络能扩充新的节点和新的分支,其次网络必须具有扩充升级能力,能够适应网络科技发展的要求。
(4)可靠性和可维护性
使用技术成熟的网络设备和通信技术,设备稳定可靠。选择支持网络管理功能的网络产品及其相关的网络管理软件,从而为网络管理和维护人员提供方便条件。能够集中管理和监视网络上的各种设备及网络流量,保证网络正常运行。
(5)安全性与易用性
严格按国家安全保密标准及相关文件要求,采用多级安全保密措施,但网络安全措施不应严重影响网络的易用性。网络应有良好的用户界面、管理界面和开发界面。操作系统、数据库实施有效的安全控制方法。与Internet连接的接口,由专门的部门控制,以保证全院内部的数据安全。
(6)经济性
在保证网络功能及性能需求的前提下,要充分利用现有设备和资源,保护原有的投资。
1.3 局域网的构造
局域网的构造主要包括系统网络通信平台的构造和信息管理资源服务器平台的构造(如图1所示),整个局域网络由核心层和接入层构成,核心层完成路由和交换,接入层为桌面提供100M的接入和交换能力,核心层和接入层通过千兆双绞线或楼内的骨干光纤连接。具体描述如下:
(1)网络核心层:在网络主机房配置一台带有第三层交换功能的固定端口全千兆高速交换机,作为内网中心交换机,为整个内部局域网提供核心交换和路由能力。
(2)接入层:在主配线间内根据网络信息点接入数量配置相应的接入交换机,为各信息点提供100M的接入能力,同时这些接入层交换机应具有千兆上联能力,通过千兆链路链接到中心交换机。
对于局域网一些业务访问量大的服务器,可以配置千兆网卡,通过双绞线以千兆速度直接连接到内网中心交换机上。
(3) Internet接入:局域网通信平台的构造对于局域网Intranet网络通信平台的构造要考虑局域网的构造、远程用户入网等方面的问题。与Internet的连接现采用通过专线连入Internet。企业内职工可通过两条线路动态均衡地访问Internet,收发E-mail,查询下载有关资料等。
采用光纤作为传输媒介,具有传输距离较远、保密性能好、带宽高等优点。
(4)远程拨入:外界可以通过vpn方式连入企业内的网络进行信息交换。企业内职工可以利用这一功能在家中、客户处、差旅中随时接入企业的局域网,获取所需的信息,实现完全的移动办公。
(5)局域网信息资源管理服务器平台的构造:局域网信息资源管理服务器平台主要包括各种服务器(包括Web服务器、E-mail服务器、FTP服务器、网关代理服务器等)和浏览器的选择及配置、信息资源的组织与维护以及Web服务器与DBMS(数据库管理系统)的接口编程等。局域网服务器可以独立存在于物理网络服务器之上,可以根据具体业务的需要,将各类局域网服务器分置于不同的机器上,也可以共享一台机器。
企业的业务活动信息化后将产生大量的企业数据,鉴于企业总部与下属的各分支机构已经拥有的信息资源,应根据未来信息化发展的需要,建立统一的信息资源库。应将不同来源、不同应用的各种数据资源整合到一个中心数据库来存储和管理,同时制定一系列相关的建设规范,指导未来应用系统的建设,可以有效地消除和避免信息孤岛的产生。
对相同的信息,在产生处采集、在应用中处理、由管理者查询。通过对数据进行抽取、转换、加工等手段,对信息资源进行最大程度的利用。统一的资源数据库,可以为企业内各部门辅助决策提供相关信息的服务。
动态信息数据库是局域网的主要信息来源。为实现交互局域网服务,合理地管理和利用数据库中的有效信息,要求Web服务器应具备处理浏览器提交数据查询信息、访问数据库和反馈查询结果的能力。
将企业局域网Intranet连入Internet中,便实现了企业踏入信息高速公路的梦想。但企业局域网数据遭到偷窃,甚至破坏的风险也随之增加。为了保证企业内部数据的完整性,保证应用在网络上数据的稳定运行,使数据不被“黑客”访问,对企业局域网进行全面安全性考虑是必要的(如图2所示)。
在网络中,计算机病毒的主要传播方式已经从软盘介质感染转到了从网络服务器和互联网邮件感染上来,由于文件共享及邮件传播病毒较之软盘介质传播病毒呈不可预见性、迅速扩散性及日益增多性,使得网络用户单位防不胜防;而企业网络一旦被病毒侵入并发作,将会对企业数据的安全性和企业自身利益造成严重的危害。因此,有效防止计算机病毒危害,保护好企业网络资源是计算机网络安全工作的重要环节。
根据前面的分析,局域网受到病毒的攻击的威胁是来自于多方面的。为了使系统免受病毒所造成的损失,采用多层的病毒防卫体系。所谓多层病毒防卫体系,是指在局域网的每个台式机上要安装网络版的反病毒软件,在服务器上要安装基于服务器的反病毒软件,在Interet网关上要安装基于Interet网关的反病毒软件,因为对局域网来说,防止病毒的攻击是每个使用者的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个网不受病毒的感染。
2 局域网的应用开发
局域网利用Internet技术建立的企业局域网Intranet。其具体应用主要分为计算机信息管理系统,计算机辅助设计/制造系统(CAD/CAM系统)两大部分。
2.1 计算机信息管理系统
计算机信息管理系统主要是利用企业内部原有计算机信息管理系统,采用最新的Web技术将院内原有各类数据库同Web Server连接起来,从而提供统一的应用开发平台、运行环境和人机界面,建立一个更加易于实现和使用维护的应用管理系统。由于采用了Web技术,因此很容易将办公自动化系统纳入整个计算机信息管理系统范畴。
企业内建有中心数据库,其中有项目管理模块、财务管理、人事劳资、固定资产、科研管理、科技情报等子系统。这些数据库信息主要提供给领导和各职能部门主管可以查询任何一个数据库中的信息和相应各管理方面的数据库信息,而各职能部门则负责其职能范围内数据库信息的查询、更新和维护。
2.2 计算机辅助设计/制造系统
通过建立高速主干网的局域网网络系统,将企业各个部门的CAD设备全部贯穿起来,形成CAD一体化联机处理系统;建立产品数据管理系统,实现统一的项目数据库;利用Web技术建立企业内部的项目数据交换管理系统;实现内部的工作协同。
3 结束语
通过企业局域网的构建,实现信息资源的交流和共享,极大地提高了工作效率,减轻了工作量。
(1)企业局域网Intranet的建设是以大量的基础信息数据化工作为基础的,因而其必然是循序渐进的过程,不可能在短时间内建设得很完美,需要在应用的过程中不断完善技术和丰富信息内容。
(2)随着网上信息量的不断增加,利用光纤作为传输媒体的优点很明显,所以主干网选用光纤作为传输载体,并且在光缆敷设时做到了充足的备份。而对于网络连接设备的选用,则应以实用为原则,不要片面追求技术上的“高”和“新”。应尽量选用较成熟的技术设备,因为网络安全稳定运行是最重要的。
(3)网络建设的周期长,而计算机技术发展迅速,设备更新快,在不同时期购置的设备和采用的技术都可能不同,因此在网络架构时要充分注意到网络上出现的异构问题。
参考文献
[1]王卫斌.中小型企事业网站解决方案[J].北京.微电脑世界编辑部.1999
[2] 万博通公司技术部.网络系统集成行业实用方案[M].北京.海洋出版社, 1998
[3] 王众托编著.企业信息化与管理变革.中国人民大学出版社, 2001
[4] 范玉顺.企业整体信息化解决方案及其内涵.中国制造业信息化, 2004
[5] 薛华成.管理信息系统.清华大学出版社, 1999
[6] 张志檩.企业信息化实用指南.北京.中国石化出版社, 1997
[7] 张勇刚.企业信息化测度理论与方法研究.科研管理, 2006
关键词:企业;局域网;网络架构;互联网;信息管理 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)17-0070-02 DOI:10.13535/j.cnki.11-4406/n.2015.17.035
1 概述
自从互联网被引入到中国以来,至今已经发展了20多年。企业和互联网相结合的发展方式也成了企业越来越多的选择。局域网这一词语成为了热门词汇存在于企业之后,对于企业而言,局域网技术、数据库管理以及其他办公系统成为了企业必不可少的元素。局域网是在某一区域内由多台计算机互联成的计算机组组成的局域网,通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。然而,在最初的企业局域网组建过程中,一些企业并没有充分认识到计算机网络的重要性,从而在局域网搭建时或多或少地忽略一些考虑不周的问题。而这些问题会影响企业后续的运行。因而,如何科学地、合理地、有效地架构企业局域网是一个值得探讨的问题,对于企业的发展有着重要意义。
2 架构企业局域网的方法
2.1 局域网架构原则
为了更好地架构企业局域网,就必须遵循一定的局域网架构原则,具体分为以下四点:第一,在企业架构局域网时,首先需要有效地收集企业的数据结构以及用户的需求。收集的种类较多,一般包括有:企业的运营机制、企业的发展历史、企业的行业姿态、企业的发展方向以及企业的管理方法等,只有全面地做好信息收集,才能搭建科学合理的局域网系统;第二,分析和评估用户的需求。在局域网系统硬件设计时还需要考虑到企业局域网的未来流量,构建起有效的流量模型;第三,以OSI为设计模型参考,完成网络层、物理层以及数据链路层的设计部分;第四,编写企业局域网建立完成之后的文档。
2.2 局域网的硬件架构
架构硬件可以通过以OSI模型为设计参考,采用星形拓扑结构的模式。通常来讲,星形拓扑结构就是指中央交换机、集线器以及计算机等连接而成的网络拓扑结构。采用星形拓扑结构能够较容易地进行配置、故障检测和隔离。在对设备进行连接时应该使用非屏蔽超五类的双绞线。由于企业的用户数量可能不确定,同时也考虑到以后可能会对网络设备进行升级,因而在网络节点确定以后,使用16或者24口的集线器作为理想分支,利用多条网线对机房中的中央节点和集线器进行连接。同时,在企业的每个办公室设置一个或者多个网络接口,并将各个办公室的网络结构连接至相应的集线器上。完毕后,若每个网络节点都连接顺畅,则说明硬件构架已经完成,可以继续进行软件构架。
2.3 局域网的软件架构
我国企业使用的操作系统可以分为Windows 2003 server操作系统、Unix操作系统或者Linux操作系统。这三种系统各有优势。其中,Windows 2003 server操作系统是最为简单的操作系统,而且稳定性和功能较为强大。需要注意的是,这种操作系统需区别于个体用户使用的Windows XP、Windows 7以及Windows 8等。而Unix操作系统具有多用户、多任务的特点,并且其具有高度的安全性。Linux系统可以看作是简化版的Unix系统。二者都能够管理用户的权限、目录和文件的访问权限。这种方式给予了该系统高度的安全性能,特别是在抵御病毒方面有着其他系统无法企及的优势。然而,由于其相对于其他软件平台,只有少数厂家才生产,因而兼容性很差。同时,这种软件的操作较为复杂,一般只有专业计算机人士才能够快捷使用,因而普及性较差。接下来,需要进行网络协议的安装,以便更有效地进行网络沟通。目前最常使用的就是TCP/IP网络协议。最后,进行局域网配置。通过打开网络邻居,在左侧网络任务界面选择查看工作组计算机选项,就能够看到当前局域网内的其他计算机。其他计算机通过使用共享服务的方法能够将共享资源奉献出来,供大家下载阅读。
3 企业局域网的管理
3.1 企业局域网的检修
企业需要有专门的网络管理人员,并且负责每年对企业局域网的硬件设备进行一次全面的检测,将检测到的老化硬件及出现损坏的硬件更换,而对于平日中突然出现的局域网问题进行应急抢修。
3.2 分配企业局域网的使用权限
通过分配企业局域网的使用权限,严格限制用户的使用权限的方法来确保局域网的使用安全保障。局域网中的用户应该划分不同的等级。哪些有权查看、哪些有权修改、哪些有权删除、哪些无权查看等,都需要专门的进行设定。同时,对于局域网的一些重要信息,例如不得带出企业的机密文件等都需要进行加密处理,以防止用户通过拷贝等方式携带出企业。总之,做好企业局域网用户的使用权限是一项讲究的问题。管理者必须根据企业的需要进行合理的权限配置,从而能够一方面做到数据的安全保密,另一方面又能够提升工作人员的工作效率。
3.3 资源共享
企业进行局域网架构的一个重要目的就在于资源的共享,从而有效提高企业的运行效率,提高员工的工作效率。而现阶段,对于企业而言,局域网的构建有时常常出现的问题就是不能够进行企业的资源共享。这对于企业而言,是一项非常大的阻力事件。如果没有进行资源共享,各个部门之间以及部门中员工之间无法进行有效的资源获取。对于共享问题,现阶段的一些企业主要是采取共享数据和应用程序的方式。因此,在进行企业局域网架构时应该能够共享打印机,让局域网的用户根据自己的需要打印东西,同时充分利用了计算机的空闲时间,节约了需要购置多台计算机的成本。通过网络设置,建立起局域网内部的邮件系统,承担邮件转发、抄送以及分发的任务,并且在服务器上方便管理、备份和删除工作。使用飞秋、MSN等应用程序,实现局域网和互联网范围的消息传递。例如,飞秋在局域网之下进行数据传递时能够达到每秒十兆的传输速度,大大提高了局域网的传输效率。
3.4 结合实际情况分析和构建局域网
当然,构建企业的局域网并非只是一味地照搬照抄,其构建需要结合自身的实际情况。只有结合了自身的实际情况,才能够接近成本的布置企业的局域网,避免不必要的浪费。假设一个企业是普通的小型企业,从总经理到员工不过只有五六台电脑。在这种情况下,只需要进行简单的资源共享就能够达到建设简单局域网的目的,就可以完全胜任当前企业的网络需求。而如果是一家拥有上千人的大公司或者上市公司等,则应该另当别论。而且搭建这种具有一定规模的局域网时应该按照企业的管理系统进行系统性的规划。例如,最高领导层和中层管理者的电脑需要使用同一局域网,而中层管理者与下属的电脑使用也需要同一个局域网,并且必须做到的是,不同部门的局域网之间不能够相互干扰。在进行预算方案的编写时,要特别注重企业局域网硬件配置等问题。只要可以满足企业工作人员需要就行,没有必要去一味追求过高性能的网络硬件配置。当然,在经营企业的过程中,为了企业自身发展需要,还可以限制员工上网或者只能上某一类型的网站,从而从网络角度规范员工的工作态度,让其全心全意地投入到工作中去。
4 结语
综上所述,随着我国电子信息产业的不断发展进步,互联网成为了社会的主流工具之一。局域网作为互联网的重要基层架构,发挥着越来越重要的作用。通过局域网的互联,使得企业能够更好地节约成本,规范员工的工作态度,从而为企业的发展做更好的铺垫。相信只要经过企业的局域网科学配置,充分利用互联网这一工具,就能够更好地推动企业的发展,能够将企业的经营带入到新的时代,让企业的竞争能力显著增强。
局域网网络管理、上网流量管理是企业网络管理中重要组成部分。网络流量管理是保障员工正常工作的前提,也影响内部网的各种信息化系统。如何管理局域网流量、管理上网流量正在成为网管工作的主要目标之一。简单的无限制的增加网络带宽是不能解决网络流量的根本问题的。
由于越来越多的网络应用(如电子邮件、SNS社交网络、P2P等)及其流量给企业系统和网络管理者提出了更高的安全要求,需要高效、合理地对这些流量采用相应的策略和技术进行管理。
我们需要对网络流量进行管理,从而保证网络的健康和网络应用的正常服务。在网络流量管理的过程中,我们首要的问题就要明确网络管理目标。在网络流量管理中,我们需要牢记4个目标:
首先,我们要了解网络流量的使用情况;其次,要找到优化网络性能的途径;第三,要通过网络管理技术来提升网络效能;最后,还需要做好网络流量信息安全方面的防护工作。
网络管理员们可以通过有效的分类方式非常明确的知道我们需要的带宽到底哪些是实际使用的。网络流量管理的第二个目标是找到网络性能的瓶颈。网络性能很重要的一个方面是吞吐量,这是网络能够传输的最大数据量,还有延迟等。第三,通过本文所介绍的流量监控及控制软件可以高效地提升网络性能,从而满足不同的网络应用需求。最后,网管们还可以综合运用入侵检测系统(IDS)、防火墙(FireWall)、统一威胁管理(UTM)设备来对网络流量进行信息安全方面的防护工作。不过,最常见的还是部署专业的流量管理软件、上网流量统计软件、网络流量监控软件来实现。
小草上网行为管理软路由是国内知名的网络流量控制软件、上网流量管理软件、软路由。小草软路由可以有效禁止局域网P2P下载、限制炒股软件、禁止网络游戏、屏蔽网络电视、禁止网络视频等,这些与工作无关的网络应用将大肆侵占单位有限的网络带宽,从而严重影响单位局域网上网速度、上网性能,造成网络丢包、甚至掉线现象。
网管可以利用小草上网行为管理软路由实时查看局域网流量,查看电脑上网带宽,并且可以上行流量和下行流量分别显示,从而便于网管控制外发流量和下载流量。
在企业网络的日常管理中,对工作站和移动设备进行安全部署和控制并不是一件简单的任务。这时候,集中式管理工具就显现出优势,但是绝大多数的企业甚至不了解集中式管理平台的潜力。根据卡巴斯基实验室和研究机构B2B International联合进行的一项调查显示,全球仅有52%的企业在IT基础设施中使用了支持集中管理功能的安全解决方案。
当今的企业安全产品包含多种保护技术,用于保护企业IT基础设施中的特定节点,例如工作站和移动设备。同时,每个节点都需要进行配置,以满足企业具体需求,并且要遵循企业已有的安全策略。集中管理工具在实现这一目标过程中,发挥着重要的作用。但是,根据B2B International的调查结果,全球范围内使用这些工具的企业仅占一半,而仅有30%的企业完整部署了客户端管理工具,另有29%受调查企业仅部分部署了管理工具,显然无法有效管理和控制工作站。集中式管理工具能够增强基础设施的安全水平,同时显著减少企业的IT工作量,因为IT工作人员不必再为每台工作站进行保护配置和安全状态监控。
作为信息安全厂商,卡巴斯基特别研发的统一管控平台(即卡巴斯基网络安全管理中心)能够让企业对IT保护进行管理,同时提供对企业网络的全面掌控。卡巴斯基最新的企业安全产品——卡巴斯基网络安全解决方案,已包含此模块。新的安全解决方案通过使用新的平台架构,新增了卡巴斯基系统管理和卡巴斯基移动设备管理模块,使得安全管理中心的功能更为强大。现在,企业使用这款平台,企业能够控制工作站和移动设备的所有保护参数,快速应用企业安全策略,控制软件和硬件,管理更新,并且能够快速检测和清除危险漏洞,为局域网分配访问权限等。
仅需一台运行卡巴斯基网络安全管理中心平台的服务器,企业就可以轻松地实现快速部署安全保护,对网络中出现的问题提供快速响应,减少IT工作人员的工作量,降低运营成本并提高企业网络性能等诸多优势。
在企业管理中,领导都希望员工在上班时间的每一分钟都专心工作,但是由于目前企业局域网的建立发展,网络已经占用了员工的大部分工作时间,更多的时候员工利用网络却是在做自己的私事网络购物、看视频、聊天等都很普遍。
上网购物不但浪费员工的上班时间,更重要的是造成企业带宽不足,甚至还导致了企业网络安全隐患。一些企事业单位虽然建立了针对本单位内部局域网上网行为管理制度,但是内部职员常常对这些上网管理制度熟视无睹,上班时间上网聊天、购物、玩游戏、炒股票、看网页视频等行为司空见怪,一些职员还经常使用P2P下载工具,如迅雷、网际快车下载大量的视频、影像文件,占用了公司的大量带宽,也影响了其他员工的正常工作;同时,下载这些文件容易使得局域网电脑遭受病毒侵害,影响局域网的整体网络稳定、畅通。
随着网络购物的发展,针对网络购物的安全威胁已经成为影响互联网安全的重要形式。据报道近年来有28%的互联网用户遭遇过安全攻击,带来直接经济损失将突破150亿元,人均经济损失150元左右。其中,网络攻击也和过去相比,发生很多变化。黑客已经就网购安全威胁形成了一条完整的产业链条。调查结果还指出,有83%中层管理人员由于在办公时间内浏览与工作无关的网站,使企业有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁。而这些与工作无关却又最受关注的5类网站分别是:新闻网站、网上银行、邮件网站、旅游网站和运动、购物网站。
网络资源是宝贵的,特别是对于中小企业来说网络带宽是花费一定费用租来的,但是由于上网速度较慢,很多企事业单位的网络资源常常捉襟见肘,带宽不足的同时无疑又增加了运营成本。
因此小草上网行为管理软路由为企业提出了新的网络解决方法。在局域网内任意一台电脑或服务器安装小草上网行为管理软路由即可实现整个局域网的管控,包括对网站访问、网络游戏、网络炒股、网络聊天、BT下载、在线视频、在线音乐、在线电影、在线游戏等等一切互联网活动进行控制和管理,并能够实现基于用户和各种网络协议的带宽控制管理,合理有效分配带宽流量,使信息化投资能够真正给企事业单位带来价值和回报。
1 局域网的拓扑结构
目前,中小企业常用局域网大多采用星型拓扑结构,这种网络中所有的主机和其他设备均通过一个中央连接单元(这个中央连接单元可以是集线器或交换机)连接在一起,然后中央连接单元再通过路由器与互联网连接。该局域网采用较为便宜的双绞线作为整个网络的连接缆线。它的优势在于扩充简单方便、网络内可以混用多种传输媒体、分支线路故障不会影响全网的安全稳定运行、多台主机可以同时发送信息等。
2 局域网优化
从局域网的拓扑结构可以看出局域网是由路由设备、交换设备、传输介质、服务器和工作站组成。这些部分任何一个发生故障或是存在性能瓶颈,都会对局域网的性能产生影响。
2.1 传输介质优化
2.1.1 网线的选择
在为局域网选购线材时,一般选购5类或超5类网线,因为3、4类双绞线一般是使用在10 Mbps的以太网中,而5类双绞线能满足100 Mbps的以太网,超5类双绞线主要用于千兆网上。
为了降低信号的干扰,双绞线电缆中的每一线对都是由2根绝缘的铜导线相互扭绕而成,而且同一电缆中的不同线对扭绕圈数也不一样。电缆中的线对是按逆时针方向进行扭绕,这些在生产上都有较严格的标准。不符合标准的扭饶方式和扭绕度会引起双绞线的近端串扰,从而使传输距离达不到要求。因此,在选购网线时,要多看、多测试,在有条件的情况下可用一些专业设备进行测量。
2.1.2 网线的制作
网线的制作有许多技巧,对局域网性能优化起着相当重要的基础作用。在局域网中,双绞线的制作应采取以下2种方法,这样可以最大限度地发挥5类或超5类网线的速度优势,使网络时刻保持畅通。
(1) 100 M接法。所谓100 M接法,是指它能满足100 M带宽的通信速率。它的接法是一一对应,但每一脚的颜色是固定的,从第一脚到第八脚的顺序是:橙白色、橙色、绿白色、蓝色色、蓝白色、绿色、棕白色、棕色。这种接线方法应用于集线器(交换机)与工作站计算机之间的连接。
(2) 1—3、2—6交叉接法。网线一端的第1脚连另一端的第3脚,网线一端的第2脚连另一头的第6脚,其他脚一一对应即可。这种网线一般用在集线器(交换机)的级联、服务器与集线器(交换机)的连接等。
2.2 服务器和工作站的优化
2.2.1 使用质量好、速度快的网卡
计算机通过网卡连入局域网,网卡的传输速度实际上就是计算机与局域网通信的速度,因此尽量选择与局域网骨干带宽一致的网卡。本文所提及的局域网则应选择支持100 Mbps全双工模式的网卡,并且将网卡的“双工模式”设置成“全双工”,将网卡属性中的“媒体类型”设置成“100 BaseTx”或“自动选择”模式。
2.2.2 合理设里服务器的硬盘
使用局域网办公的用户,经常会访问服务器、打印材料和访问文件,服务器读取硬盘数据的速度会对实际传输速率产生很大的影响。因此,要选择转速快、容量大的SCSI硬盘,并且在条件允许的情况下,为网络服务器安装硬盘阵列,较大幅度地提升硬盘的读写性能和安全性。在同一SCSI通道,不要将低速SCSI设备与硬盘共用,以免影响SCSI接口高速传输数据性能的发挥。
2.2.3 协议优化
在局域网中,当一台计算机向另一台计算机发送信息的时候,它会用它装载的每一种协议发送信息,这会加大计算机的通信量,因此只安装相应操作系统与服务器进行通信所需的协议即可,不必安装其他不需要的协议。如,Windows系统只需安装TCP/IP协议和NETBUI协议。
2.2.4 预防ARP攻击
ARP攻击会造成局域网内频繁性区域或整体掉线、网速时快时慢、用户的敏感信息泄漏等,需要重启计算机或网络设备才能恢复正常。因此,有必要采取相应的预防措施来扼制ARP攻击的产生。
(1)在工作站或服务器上绑定路由器的IP和MAC地址:首先,获得路由器内网的MAC地址(例如VigorPro 200B网关地址192.168.1.1的MAC地址为0078 aa0079 aa)。然后,编写一一个批处理文件rarp.bat,内容如下:
@echo off
arp-d
arp-s 192.168.1.1 00-78-aa-00-79-aa
将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“Windows→开始→程序→启动”中。
(2)在路由器上绑定用户主机的IP和MAC地址(基本上路由器软件版本都支持):一般是在“路由器管理界面→防火墙→绑定IP到MAC中(将局域网每台主机均作绑定)”。
2.3 交换设备、路由设备优化
交换设备、路由设备是星型局域网中的枢纽设备,计算机之间、计算机与互联网之间都通过这些设备进行通信,因此这些设备的工作状况直接影响到整个局域网的性能。在对这些设备进行优化设置时应遵循以下几个原则。
2.3.1 尽量使用交换机而非集线器
集线器各端口共享带宽,容易发生冲突。而交换机各端口是独享带宽,因此实际应用中最好使用交换机以获得较好的传输速率。
2.3.2 尽量减少交换机的级联或堆叠层数
虽然交换机级联或堆叠对网速没有太大影响,但是级联的层数过多会造成同一广播域内的计算机过多,网络会因传播过多的广播信息而引起性能恶化。
2.3.3 适当划分VLAN
划分VLAN可以将网络分割成多个广播域,以避免“广播风暴”。
2.3.4 互联网和交换机之间最好装设路由器
路由器可以提供丰富的网络管理功能,使网络管理人员能对网络状况进行监控和管理,过滤特定的数据包,并获取网络的相关数据,从而为网络维护提供便利。
2.3.5 设备的传输速度要相互匹配
在100 Base-TX局域网中,不仅各计算机的网卡要支持100 Mbps全双工模式,交换机和路由器也应支持100 Mbps全双工模式,这样才不会因为某设备的速度瓶颈而影响整个网络的性能。
2.4 优化实例
笔者维护的局域网2003年组建之初只有8台计算机和1台16端口(10/100 Base-TX自适应)交换机。由于在布线时就已经考虑到今后计算机设备增加的情况,每个办公室都预留了网络接口。局域网建成后2年中没有大的变动,只是不断有新的计算机接入局域网,原交换机因损坏而更换为一台24端口(10/100 Base-TX自适应)交换机。
2005年,该局域网改用光纤接入互联网,带宽未变,但是计算机总数已经超过了23台,于是笔者将刚修好的16端口交换机和24端口交换机级联,对局域网进行了扩展,可连接37台计算机。到了2007年,互联网接入带宽提高到10 M,计算机数量增加到了43台,而且办公室预留的网络接口也已经用完,还将购置一台服务器。由于用户的计算机水平参差不齐而不可避免出现各种网络问题,如ARP病毒攻击,使用BT软件下载占用过多带宽导致其他用户网速变慢,因此必须对局域网必须进行大的扩展升级以满足实际的需求。
在拟定升级方案的时候,笔者考虑到如果仅仅只是购买一台交换机,虽然能够将所有的计算机设备连接起来,但是无法对整个局域网进行监控,而且购置的服务器也无法利用电信运营商提供的固定IP对外提供服务。因此,决定购买一台H3C S1050T-E交换机(48个10/100 Base-TX自适应端口以及2个10/100/1000 Base-T千兆上行端口)和一台VigorPro 200B路由器(2个10/100 Base-TX自适应WAN端口以及5个100/1000Base-T LAN端口),交换机通过千兆上行端口与路由器连接。这样不仅满足现有的需求,并且随着计算机数量增加,还可以利用原有交换机与路由器级联的方式来对局域网进行扩展。改造完成后,每台计算机都可以接入局域网,访问服务器,网络管理员可以通过路由器的管理功能,来监控整个网络的状况,采取各种有效措施预防和解决网络故障。例如,绑定IP地址和MAC地址防范ARP攻击;设置防火墙,限制BT下载,保留一定的空闲带宽供其他用户使用;通过划分VLAN来隔离广播,保障网络安全;映射端口,服务器对外提供服务。
由此可见,中小企业常用的局域网一般规模较小,而且设备购置均为逐步投入,因此升级优化时要充分利用已有的设备,购置新设备时也要考虑兼容性和扩展性,不能盲目地追求性能,要兼顾效率和成本。
3 结语
局域网优化是一个系统的整体优化,其每个组成部分都应进行优化,而不能忽视任何一点。这也是局域网组建和网络维护管理中的重要技术工作。通过局域网优化,能够改善网络性能,提高网络的灵活性和可用性,同时也能减轻网络维护管理的任务。
摘要:文章简要介绍了中小企业常用局域网的组成及结构,并对中小企业常用局域网的优化方法进行了探讨,以实例详细阐述了此类局域网的优化方法。
关键词:局域网,优化,星型
参考文献
[1]谢希仁.计算机网络[M].大连:大连理工大学出版社,2000.
[2]邬领弟.局域网维护的分析与探讨[J].实验室科学,2000(1).
摘要:数字化企业管理已成为当前各大型企业信息化建设发展的主要目标。企业内部网络作为信息化建设的主要载体,其网络安全已经成为当前各企业内部网络建设中不可忽视的首要问题。文章基于当前企业内部网络安全的现状及特点,提出相应的控制策略。
关键词:网络安全策略数据访问
0引言
随着我国经济与科技的不断发展,企业数字化管理作为为网络时代的产物,已经成为企业管理发展的方向。随着各企业内部网络规模的急剧膨胀,网络用户的快速增长,企业内部网安全问题已经成为当前各企业网络建设中不可忽视的首要问题。
1目前企业内部网络的安全现状
1.1操作系统的安全问题目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
1.2病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响企业内部网络安全的主要因素。
1.3黑客在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。
1.4口令入侵为管理方便,一般来说,企业为每个上网的领导和工人分配一个账号,并根据其应用范围。分配相应的权限。某些人员为了访问不属于自己应该访问的内容,用不正常的手段窃取别人的口令,造成了企业管理的混乱及企业重要文件的外流。
1.5非正常途径访问或内部破坏在企业中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。
1.6设备受损设备破坏主要是指对网络硬件设备的破坏。企业内部网络涉及的设备分布在整个企业内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成企业内部网络全部或部分瘫痪的严重后果。
1.7敏感服务器使用的受限由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与企业内部网络物理隔离,使得应用软件不能发挥真正的作用。
1.8技术之外的问题企业内部网是一个比较特殊的网络环境。随着企业内部网络规模的扩大,目前,大多数企业基本实现了科室办公上网。由于上网地点的扩大,使得网络监管更是难上加难。由于企业中部分员工对网络知识很感兴趣,而且具有相当高的专业知识水平,有的员工上学时所学的专业甚至就是网络安全,攻击企业内部网就成了他们表现才华,甚至是泄私愤的首选。其次,许多领导和员工的计算机网络安全意识薄弱、安全知识缺乏。企业的规章制度还不够完善,还不能够有效的规范和约束领导和员工的上网行为。
2企业内部网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
2.1物理安全策略保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:①环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的电磁兼容工作环境。②设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2.2访问控制策略访问控制的主要任务是保证网络资源不被非法使用和访问,它是保证网络安全最重要的核心策略之一。主要有以下七种方式:①入网访问控制。入网访问控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。②网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。③目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。④属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。⑤网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。⑥网络监测和锁定控制。网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。⑦网络端口和节点的安全控制。端口是虚拟的”门户”,信息通过它进入和驻留于计算机中,网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。
2.3防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用),用来限制外部非法(未经许可)用户访问内部网络资源,通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入,防止偷窃或起破坏作用的恶意攻击。
2.4信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。信息加密过程是由各种加密算法来具体实施。多数情况下,信息加密是保证信息机密性的唯一方法。
2.5备份和镜像技术用备份和镜像技术提高完整性。备份技术指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
2.6网络安全管理规范网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中,除采用技术措施之外,加强网络的安全管理,制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入办公室管理制度;制定网络系统的维护制度和应急措施等
2.7网络入侵检测技术试图破坏信息系统的完整性、机密性、可信性的任何网络活动,都称为网络入侵。入侵检测(IntrusionDe-teetion)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用來发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
3结语
一、对于虚拟局域网应用的冲突
虚拟局域网有助于企业提高网络安全、提高网络性能。由于物理划分网络工作量大,灵活性差,故现在大部分企业都采用了虚拟局域网的形式来对网络进行逻辑划分。虚拟局域网有很多实现方式,如基于IP地址、基于端口、基于协议等实现方式。不过据笔者了解,基于端口的实现方式相对来说灵活性、实用性更高一点,是企业首选的虚拟局域网实现方式。但是如果采用这种实现方式的话,则在部署企业无线网络时,需要注意,很可能会造成不必要的麻烦。为什么这么说呢?笔者举一个例子大家也许就会明白。
如企业现在划分了多个局域网,财务部门与行政部门分属于不同的局域网。在部署过程中,主要通过基于端口的方式实现。网络管理员把虚拟局域网交换机中端口设置为三个局域网。假设端口1到端口5虚拟局域网甲规行政等部门使用。端口6到7为虚拟局域网乙归财务部门使用。端口8到10为虚拟局域网丙归研发部门使用。现在在会议室中部署了一个无线路由器,其是连接在虚拟局域网甲上的。此时假设财务经理要在会议室开会,他把他的带有无线上网功能的笔记本拿到会议室,此时他通过会议室的无线路由器连接到的是虚拟局域网乙,即行政部门所在的虚拟局域网。此时财务经理就无法访问自己财务部门的虚拟局域网。也就是说,无线局域网的采用可能会对以前设置的虚拟局域网产生冲突。
遇到这种情况该如何处理呢?此时网络管理员可以添加无线路由器的方式来处理。即在财务部门中也设置一个无线路由器,其连接到的是财务部门所在的虚拟局域网。然后为各个无线路由器设置不同的密码。如此的话,财务经理无论走到哪个办公室,都只能够通过自己办公室的无线路由器连接网络。但是这有一个缺陷,即无线路由器信号强弱的变化。我们都知道,一个办公室若隔音措施做的比较好的话,则其无线路由器的信号就不能够传递到外面。而且无线路由器信号也随着距离的不同而有强弱。故为不同的局域网分别设置不同的无线路由器只适用于开发型的办公室。对于密闭型的办公室或者分布在不同楼宇的办公室不怎么适用。
另外就是变更现有虚拟局域网的实现方式。如可以把基于端口的实现方式设置为基于IP地址或者MAC地址的实现方式。如此的话,无论财务经理通过什么方式、无论在什么地方连接到企业网络,只要其IP地址或者MAC地址不变的话,则其所连接的虚拟局域网都不会改变。那么财务经理就能够正常访问自己的网络。如当财务经理来到会议室,虽然是通过会议室的无线路由器进行网络访问,
他在向虚拟局域网交换机递交连接请求时,交换机会根据财务经理电脑的IP地址或者MAC地址来判断他应该属于哪个局域网,然后帮他转接过去。并不会因为位置不同,而更换连接的虚拟局域网。不过这也会增加虚拟局域网的管理负担。如财务经理的电脑坏了或者无线网卡坏了,则换过设备之后就需要调整局域网交换机的设置,更改MAC地址等等。
所以说,企业采用无线局域网之后会于虚拟局域网应用产生冲突。鱼与熊掌难于兼得。网络管理员在部署无线网络时,如果企业以前已经有虚拟局域网了,则就需要根据自己的管理习惯以及企业的网络规划,选择合适的解决冲突的方式。
二、对有线网络的安全性规划提出挑战
采用无线网络技术之后,也会对企业现有的网络安全规划提出挑战。如企业现在正在通过虚拟局域网来提高网络的安全性。为了保障研发部门资料的安全,特意为研发部门设置了一个虚拟局域网。其他部门不能够访问研发部门的网络,而研发部门则可以访问企业网络的全部资源。此时如果在研发部门部署一个无线网络,会造成哪些安全漏洞呢?
一是非法用户如果知道无线路由器连接的账号,则可以在无线路由器信号覆盖的范围之内,连入到研发部门所在的局域网,进行资料窃取或者其他的一些破坏活动。无线信号没有物理线路的限制,为此只需要知道无线连接的用户名与密码(有些网络管理员甚至不会给无线路由器设置密码),就可以做到。而如果不采用无线网络的话,则必须要把电脑拿到他们的办公区域、然后插上网线才行。可见后者的安全性要高的多。
二是传输信号的安全。在以太网技术中,如果对于传输的内容没有加密,则就可以通过侦听等手段获取传输的内容。为此在无线技术中,如果对于无线信号没有采用加密处理的话,则其他无线用户就可以通过侦听的手段,获取这个用户传输的内容。这无疑也是对企业现有网络安全设计的一个挑战。
那么该如何解决这些问题呢?笔者给各位网络管理员提下面几个建议。
1、对于安全性要求比较高的部门,最好不要部署无线路由器。如对于研发部门,可能是企业重点保护的部门。为了他们部门信息的安全,最好不要部署无线路由器。因为便利与安全要做出选择的话,我们往往会选择安全。毕竟若这些 露的话,可能对企业会造成致命的打击。
2、要重新调整企业有线网络的安全规划,把无线网络也考虑进去。如根据企业的安全性级别的不同,给无线网络传输也设置一定的加密级别。让其无线信号也是经过加密后才传输。另外,对于无线连接也最好设置密码,防止未经授权的用户通过无线路由器进行越权访问。特别是那些企业中原先部署了虚拟局域网的网络管理员,特别需要注意这一点。否则的话,很有可能被人家占了这个空子,连入到不允许访问的虚拟局域网中。
【企业局域网的发展】推荐阅读:
企业局域网中的员工上网行为管理应用09-26
局域网共享常见问题06-11
无线局域网结课论文07-18
如何在局域网中共享远程教育资源09-26
教育城域网建设方案06-26
新余市教育城域网09-16
以先进的企业文化引领企业发展06-21
企业文化--企业持久发展的原动力06-21
企业的发展缓慢原因07-02
