时间:2023-05-15 15:20:44
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络设计与实现,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
随着社会经济的快速发展,计算机信息技术介入人们生活的方方面面。企业网络的信息安全策略是涵盖多方面的,既有管理安全,也有技术安全,既有物理安全策略,也有网络安全策略。企业网络应实现科学的安全管理模式,结合网络设备功能的不同对整体网络进行有效分区,可分为专网区、服务器区以及内网公共区,并部署入侵检测系统与防火墙系统,对内部用户威胁到网络安全的行为进行阻断。下面着重阐述企业信息系统的网络层安全策略:
一、企业网络设备安全策略分析
随着网络安全形势的日趋严峻,不断有新的攻击手段被发现,而这些手段的攻击目标也已经从用户终端、服务器厌延展至交换机、路由器等硬件设施。而交换机与路由器属于网络核心层的重点设备,如果这些设备退出服务,企业信息系统网络安全便会面临很大的威胁。由此本文给出以下的网络设备安全策略。
最大化地关闭网络交换机上的服务种类。尤其是不经常使用的服务更应关闭,举例来讲:交换机的邻居发现服务CDP,其功能是辨认一个网络端口连接到哪一个另外的网络端口,邻居发现服务锁发出和接收的数据包很容易暴露用户终端的属性信息,包括交换机端口与用户终端的IP信息,网络交换机的型号与版本信息,本地虚拟局域网属性等。因此,本文建议在不常使用此服务的情况下,应该关闭邻居发现服务。另外,一些同样不常使用的服务,包括交换机自举服务、文件传输服务、简单文件传输服务、网络时间同步服务、查询用户情况服务、简单网络管理服务、源路径路由服务、ARP服务等等。
企业信息系统的网管往往以Telnet协议实现对全网所有交换机、路由器的配置与管理。众所周知,此协议使用的是明文传输模式,因此在信息安全方面不输于非常可靠的协议。入侵者只要以抓包软件便能够轻易得知网管的登录ID与密码,以抓包软件同样能够获取网络管理员发出、受到的全部数据。所以在网络管理中,应引入安全性能更高的协议,本文推荐SSH(Secure Shell Client)协议。这种协议借助RSA生成安全性能极高的签名证书,通过该证书,全部以SSH协议进行传输的数据包都被良好加密。此外VTP 的安全使用也是一个应该得到重视的问题,VTP应配置强口令。
二、企业信息系统网络端口安全策略
由于大部分企业网络的终端均以网络交换机在接入层连入网络,而网络交换机属于工作在ISO第二层的设备,当前有不少以第二层为目标的非法攻击行为,为网络带来了不容忽视的安全威胁。
二层网络交换机使用的数据转发方式是以CAM表为基础的。在网络交换机加点之后,首选会清空CAM 表,并立即启动数据帧源地址学习,并将这些信息存入交换机CAM表中。这时候,加入非法入侵者通过伪造自身的MAC地址并不停地发出数据帧结构,便很容易导致网络交换机CAM表溢出,服务失效。而此时便会导致该MAC的流量向交换机其他端口转发,为非法入侵者提供网络窃听的机会,很容易造成攻击风险。本文所推荐的策略是:网络交换机的端口安全维护应随时打开;在交换机配置中设置其学习MAC地址的最大数目为1;设置网络交换机能够存储其学习到的全部MAC地址;一旦网络交换机的安全保护被触发,则丢弃全部MAC 地址的流量,发送告警信息。对网络交换机进行以上的配置,一方面能够防止基于交换机MAC地址的泛洪攻击,另一方面也能对网络内部的合法地址做好记录。
在成功阻止未知MAC地址接入的基础上,还应阻止来自已知地址的攻击。本文推荐基于MAC限流的策略,这是由于网络交换机不必向所有端口广播未知帧,因此可以对未知帧进行阻止,增强网络交换机安全性。
三、企业信息系统网络BPDU防护策略
一般情况下,企业的内部网络往往以网络交换机作为网络拓扑的支撑,因为考虑到交换机通道的沟通,加之系统冷、热备份的出发点,在企业网络中是存在第二层环路的,这就容易引发多个帧副本的出现,甚至引起基于第二层的数据包广播风暴,为了避免此种情况的发生,企业网络往往引入了STP协议。而这种协议的效果则取决于交换机共享的BPDU信息。这就为一些攻击者提供了机会,通过假冒优先级低的BPDU数据包,攻击者向二层网络交换机发送。由于这种情况下入侵检测系统与网络防火墙均无法生效,就导致攻击者能够方便地获取网络信息。可以采用的防范措施为:在二层网络交换机启用BPDU过滤器模块。该模块能够控制此端口,使其对BPDU数据包不进行任何处理,加入收到此种类型的数据包,该端口将会自动设置为“服务停止”。在此基础上,在根交换机上引入链路监控体系。一旦该交换机设备检测到优先级更高的 BPDU数据包,则发出“失效”的消息,及时阻塞端口。
四、企业信息系统网络Spoof防护策略
在企业内部网络中,往往有着大量的终端机,出于安全性与可靠性的考虑,这些终端机均以动态主机设置协议获得自身的IP地址。这就为Spoof 攻击留下了机会。在这种攻击中,非法入侵者会将自身假冒动态主机设置协议服务器,同时向用户主机发出假冒的动态IP配置数据包,导致用户无法获取真实IP,不能联网。可以采用的防范措施为:引入动态主机设置协议Snooping 策略。在二层网络交换机上安装Snooping模块并激活,系统便会把设备的全部可用端口设置为untrust 接口。这种接口能够收到消息,并丢弃假冒的动态IP配置数据包,从而防止Spoof 攻击带来的风险。
考虑到地址解析协议在安全方面的防范性不足,加入非法入侵者不断地发出ARP数据包,便容易导致全部用户终端的ARP表退出服务,除去静态绑定IP与MAC之外,本文推荐动态ARP监测策略。此种策略会将交换机全部端口设置为untrust状态。此种状态之下,端口将无法发出ARP的响应,因此,党用户主机染毒时,其发出的假冒ARP数据包将由于与列表不匹配而被丢弃,系统安全得到了保障。
五、结束语
W络安全是一项综合的管理工程,意义重大。企业的网络安全一旦出现问题,极有可能造成巨大损失,到那时即使再投入大量资金进行弥补也为时已晚。因此,企业应未雨绸缪,认清事实、正视事实、立足长远,重视网络安全问题,这样才能保证企业网络的安全,从而实现企业长足发展。
关键词:网络行为;协议分析;数据捕获;行为管理
中图分类号:TP311.52
网络行为管理系统旨在帮助网络管理员了解网络运行状况和带宽使用状况。作为网络管理较重要的工具之一,网络行为管理系统协助网络管理员更好的掌握网络状态,进而做出相应的管理调整,确保网络的连续正常运行。网络行为管理系统以旁路监听的方式接入网络,不改变网络系统的拓扑结构,对网络性能毫无影响。网络行为管理系统管理平台增加了网络用户管理功能,便于网络管理员管理用户信息,时时掌握网络用户的使用情况。网络行为管理系统基于Windows xp系统开发,对服务器的配置要求很低。即使一台简单得PC机完全可以应付工作。对于网络管理员,可以在任何一台内网机器上通过浏览器打开管理平台。大大降低了在网络方面的管理成本。网络行为管理系统能够监控网络中的数据并进行分析并提供管理平台。可以作为网络管理员有效的网络管理工具,提高网络使用效率。
1 系统需求分析
本企业的网络现状是大部分内网用户因为业务需要具有访问互联网的权限,而连接互联网的链路带宽有限,经常会在工作时间出现带宽占满的情况。行政管理者无法找到带宽使用最多的用户和在工作时间做与工作无关网络行为的用户。
根据现状需要解决如下问题:
(1)能够记录用户访问信息。
(2)能够将办公网内用户的配置信息统一管理。
(3)能够记录内网用户间的访问信息。
网络行为管理系统通常分为两种模式,分别是路由模式和透明模式。路由模式是将网络行为管理系统放置于互联网总出口处,凡是访问互联网的的数据都通过它,可以进行更加严格的权限策略管理。但是,缺点是内网用户间的访问状况就没有监听到。为了达到能够监听到内网用户间的数据和内网用户访问互联网的数据,可以采用透明模式。采用透明模式,捕获内网用户间的网络数据和内网用户访问互联网的网络数据,并进行协议分析,存入数据库,通过管理平台读取数据库的数据进行分析。
设计需求:
(1)实用、稳定、先进、可靠,以实际应用需要为设计依据确保系统总体优化、安全可靠和稳步推进。
(2)充分考虑功能扩容性和技术升级性,以求得最佳的性能价格比。
(3)采用透明模式接入,不破坏现有网络格局。
(4)不需要安装客户端软件,不影响内网用户使用网络。
功能需求:
(1)监听网络内数据,并分析协议。
(2)将分析处理后的数据传入数据库。
管理平台需求:
(1)能够增加删除系统管理员。
(2)能够管理所有用户的信息,增加、删除或修改。
(3)能够查看用户访问记录,内容包含源、目的IP、MAC、协议信息。
性能需求:
在数据量较大的网络中,高效的网络管理可以保障网络的高效使用。本系统最大的目的是快速捕获数据包并进行协议分析,系统的缓慢降低系统的运行效率,不科学的部署还会影响系统在网络的监控能力。因此,在设计与实施中要采用先进的网络技术和系统,最大限度地提高系统的响应速度。本系统采用Mysql数据库并结合PHP开发管理控制平台,能够安全高效的完成对数据的查询、更改。
2 系统设计
2.1 网络数据处理中心设计
Winpcap提供了数据包的捕获功能,在不同的应用中需要设计不同的协议分析模块。针对不同的协议,设计相应的协议分析功能,是基于Winpcap应用的关键所在[1]。
(1)获得本地网络驱动器列表
首先使用WinPcap应用程序函数获取服务器端网卡列表,然后再对捕获网络数据端口进行设定。WinPcap提供pcap_findalldevs_ex()函数来实现此功能。函数返回一个pcap_if结构体链表,结构体都包含了一个适配器的详细信息。取得网卡列表后显示出来并供用户选择,如果网卡没有被发现就显示有关错误。
(2)打开设备并将其设为混杂模式
网卡在一般工作模式下只接受去往它的包,忽略去往其他主机的数据,混杂模式下的网卡它将接收所有的流经它的数据,这说明在同一个网络里设备可以捕获到本网络其他设备的数据[2]。因此常见的抓包工具通常使用混杂模式。使用pcap_findalldevs_ex()捕获到网卡后,通过pcap_open()函数调用此设备。
(3)编译并设置过滤器
数据包过滤处理是数据包捕获技术中的难点和重点,WinPcap或libpcap最强大的特点之一就是数据流的过滤引擎。设置数据流过滤规则实现信息包过滤,用来过滤数据包的函数是pcap_compile()和pcap_setfilter()。pcap_compile()将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。
pcap_setfilter()将一个过滤器与内核捕获会话向关联。调用pcap_setfilter()时,过滤器将被应用到来自网络的所有数据包。所有的符合要求的数据包,将会复制给应用程序。
(4)捕捉保存数据包
使用循环调用pcap_next来接受数据包。这个函数的参数和回调函数pcap_loop()一样是由一个网卡描述符作为入口参数和两个指针作为出口参数,这两个指针将在函数中被初始化,然后再返回给用户。我们使用pcap_next_ex()进行数据包的捕获。
(5)数据包协议解析
捕获后的数据经过解析才能得到想要的信息,如源地址,目的地址,协议类型等信息。因此需要关注的帧的格式,解析的过程是将数据帧中的数据按不同协议进行分析提取。
2.2 数据库设计
数据中心是对来自网络数据处理中心的网络数据作进一步的分析、还原、存储,并根据管理控制台下发的查询指令进行响应。数据中心的主要功能是存储经过处理后的网络数据,和网络管理员通过管理平台删除、增加、修改网络用户的管理信息。网络数据处理中心分析完TCP/IP数据包,还原应用层协议后,将结果存放在数据库中,为了方便以后网络管理员的查询,设计表的时候就要求简洁、易懂。
(1)基础信息维护模块模型如图1所示。
图1 基础信息维护模块物理模型
(2)抓包信息模块如图2所示。
图2 抓包信息模块物理模型
3 功能实现
运行环境配置:
(1)下载WinPcap的安装文件WinPcap_4_1_2.exe,程序员开发包WpdPack_4_1_2.zip,SDK开发环境。
(2)执行安装文件,本机就能运行winPcap程序了。
(3)解压开发包,在VC的option的include和lib中加入winPcap的include和lib。
(4)在程序中加入#include , #include 。然后在工程的setting中加入预定义宏:WPCAP } HAVE_ REMOTE,导入wpcap.lib库。
在登陆页面输入用户名和密码,点击登陆按钮,将输入的内容提交给登陆验证页面,将输入的的内容连接到数据库查询,验证通过,进入http://127.0.0.1:8080/function.php,验证失败,进入http://127.0.0.1:8080/loaderro.php,提示“无权限”。
系统设置页面连接数据库aduser表,读取系统管理员账号信息。并通过增加管理员和删除管理员按钮,来增加或删除系统管理员账号。
用户管理功能是让系统管理员更清楚地掌握本网络内用户的网络配置信息,并通过增加用户和修改用户按钮来增加用户或是修改用户信息,点击删除用户按钮来删除用户,点击查询可以通过IP、MAC两项来查找用户。
日志查看功能帮助网络管理员直观的看到本网络内用户访问的网址和使用的协议以及时间。通过查询网段设置和协议类型设置可以过滤掉不需要的信息,提高管理效率。
网络数据处理中心应用在服务器上,由网络数据处理中心的sniffer工具在网络层捕获数据包,并进行协议分析,并将数据传送给数据库,以供管理控制台进行查询或修改操作。
参考文献:
[1]刘文涛.网络安全编程技术与实例[M].北京:机械工业出版社,2008.
[2]赵心宇,朱齐丹,朱达书.应用winPcap捕获网络数据包[J].应用科技,2004,31(11):29-31.
[3]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.
[4]萨师煊,王珊.数据库系统概论[M].北京:高等教育出版社,2000.
虽然网络营销在中小企业中的运用越来越广泛,但中小企业在开展网络营销时仍然存在许多问题,中小企业的网络营销有很大的改进的空间。
1.1定位不清晰、不准确
对于企业而言,网络营销的基本职能表现在八个方面:网络品牌、网站推广、信息、销售促进、网上销售、顾客服务、顾客关系、网上调研。大多数企业不可能实现全部的八项基本职能,因此对于不同的企业,由于其产品类型不同、企业面向的目标消费群体不同、企业对互联网的应用程度不同等因素,在实现网络营销的八项基本职能方面其侧重点也一定会有所不同。但是大多数中小企业在开展网络营销时简单地把网络营销理解为网上销售,甚至许多中小企业认为建一个企业网站,放上企业简介和简单的产品介绍就是开展网络营销。而且许多企业在开展网络营销时没有进行品牌定位,没有形成自己的网络品牌形象、缺乏品牌识别度,造成企业网站千企一面,企业博客或微博没有形成自己的写作风格。
1.2缺乏专业性
中小企业很难招聘到专业的网络营销人才,由于网络营销人才的缺乏造成了中小企业在开展网络营销时从企业网站建设到网站推广、博客营销、邮件营销、微博营销、微信营销都缺乏专业性。表现在:企业网站没有企业Logo,网站首页没有能体现企业文化或企业品牌形象的口号,网站栏目设置不合理,企业网站提供给用户的信息过少,没有进行网站搜索引擎优化;企业在进行搜索引擎营销时没有选择合适的搜索引擎,没有选择合理的关键词,在搜索结果中显示的企业信息缺乏吸引力,甚至有的企业根本没有进行相应的meta标签的设置;很多企业直接把企业网站内容复制到企业博客中来开展博客营销,企业博客与网站内容过多重复,无法满足用户不同层面的信息需求;邮件营销不显示发件人信息,不设置标题或不设置能提高用户开信率的标题,正文格式不规范,正文中的链接无法打开;微博、微信营销缺乏原创信息,大量采用转发内容,缺乏与客户的有效互动,没有形成高质量的粉丝群等。
1.3缺乏整合性
网络营销是一项系统工程,企业应该以系统论为指导对各项网络营销活动和资源进行整合和优化。但许多中小企业要么把网络营销简单地理解为网上销售或企业网站建设,要么虽然利用多种网络营销工具开展了多种网络营销活动,但各种网络营销活动之间缺乏相互联系与关联。表现在:企业网站、企业在第三方平台上的企业黄页、企业博客在内容、功能上没有区别;企业网站上没有建立企业博客、企业微博、企业微信以及企业在第三方平台上的商铺的相关信息;企业博客、微博、微信等平台上也没有提供企业网站的相关链接;各平台上的营销活动相互之间没有关联,无法在互联网环境形成造势,也无法在网络上建立起统一的企业品牌形象。
1.4缺乏持续性
网络营销是一项长期性工作,只有经过长期持续有规划的运作才可能看到营销效果。一些中小企业的网络营销是企业业主一时头脑发热的产物,而一些中小企业的网络营销则由于企业业主的急功近利,在短期内一时看不到明显的营销效果,继而进入停滞状态。表现在:企业网站建设好以后,几个月甚至几年都没有更新;企业博客、微博、微信内容没有更新或缺乏与用户的及时互动;企业邮件内容没有延续性,邮件发送缺乏周期性。
1.5缺乏创新与创意
互联网无时无刻不在创新,企业也要在不断变化的市场情况下快速的去适应、去调整,才能在网络营销的大潮中确立企业自身的竞争优势。网络经济其实就是眼球经济,企业必须想办法抓住消费者的眼球才可能取得好的网络营销的效果。中小企业在开展网络营销时简单地把传统的营销方式搬到网络上开展,缺乏对网络营销工具的熟练掌握,更谈不上网络营销形式和内容的创新与创意。表现在:企业网站、博客等设计风格缺乏独特性;企业博客、微博、微信、邮件等内容缺乏创意;企业营销活动缺乏创意;缺乏对网络营销工具的创新创意的应用等。
2、中小企业网络营销策略
2.1从战略的高度确立网络营销在企业营销中的地位,准确定位企业网络品牌形象
对于中小企业而言,无论网络营销还是传统营销,其目的都是一致的,那就是将产品或服务销售给客户。因此网络营销与传统营销之间并没有冲突,网络营销只不过是企业利用互联网技术把传统营销中实现的树立品牌形象、提供服务、客户关系、销售促进等功能放到网络平台上来实现。中小企业应该结合自身的产品类型以及目标消费者群体进行网络营销目标定位,利用有限的人力物力有所侧重地实现网络营销的职能,开展网络营销。同时,为了使消费者在网络空间中识别企业的产品或服务,并使之与竞争对手的产品和服务相区别,中小企业必须进行准确的网络品牌形象定位,塑造良好的企业网络形象。企业网络形象的建立包括两个方面:一方面是建立一整套的品牌含义,一方面是视觉形象。企业的品牌含义可以与企业在传统营销领域内的品牌含义相一致,包括这个品牌的名称、名词、标记、符号或设计,或是它们的组合。企业网络视觉形象主要体现在建立统一的网络视觉识别系统,通过视觉设计准确表达出企业的文化理念。企业网络视觉形象设计不但包括企业网站的视觉设计,还包括企业在所有网络平台上的图片、文字、动画和影像视频,以及它们的编排结构和交互方式等。在表现风格上应该形成一种认知识别,即形成一个具有鲜明特征又风格统一的网络形象。
2.2重视专业人才的引进与培养,提升网络营销的专业性
由于规模和体制问题,很多中小企业不愿意专门设立一个部门来实现网络营销,而是把网络营销外包给服务商来做。如果依赖外包来做网络营销,很容易造成网络营销难以与企业整体营销相融合,而且也很难持续地开展网络营销。中小企业必须通过人才引进与人才培养相结合的方式,加强企业网络营销人才队伍的建设。由于高校人才培养与企业网络营销岗位人才知识技能需求相脱节,企业很难从高校毕业生中招聘到符合企业需求的网络营销人才。而企业自身市场营销人员又大多数并不掌握互联网技术,很难运用网络开展网络营销。因此,企业一方面可以从高校招聘毕业生,对这些毕业生进行岗前培训,让他们对企业文化、企业产品、企业客户、企业品牌都有所了解,早日融入企业,熟悉岗位工作,开展网络营销。另一方面,对于企业中的市场营销人员,也要常常为他们提供培训机会,让他们掌握互联网技术,使他们具备相应的互联网技术应用能力和网络媒体的应用能力。另外,无论是网络营销人员还是市场营销人员,都应该向他们不断普及和传达日新月异的互联网新技术和新的市场动态,并在适当时间对员工进行专门培训,以增强网络营销人员对网络动态的感知和网络平台上新技术的应用,从而保证企业网络营销团队对网络上市场变化的适应能力。
2.3整合网络营销,优化企业网络营销资源的利用
中小企业应该利用网络整合营销进行统一的产品、品牌规划,将产品规划、网站建设、品牌推广、产品推广等一系列网络营销内容集成于一体,通过企业网站、搜索引擎、视频分享、B2B平台、门户媒体、分类信息平台、垂直行业论坛、博客推广、知名百科等信息,在整个互联网环境下用统一的形象,同一个声音与消费者之间开展富有意义的、个性化的对话,建立、维护和传播品牌,以及加强客户关系,从而营造网上经营环境,提升企业品牌形象、促进整体销量、解决线下销售瓶颈、完善客服体系。
2.4注重创新与创意
网络营销创新不仅仅只是简单地将传统营销方式网络化,而是要利用网络技术进行网络营销方式、形式、内容的创意,实现企业营销活动与消费者双向的有效沟通,建立起有别于传统的新型的主动性关系,提升营销工作的准确性与效率。要实现这样的创新与创意,企业必须在互联网、大数据、云计算等科技不断发展的背景下,对市场、用户、产品、企业价值链乃至整个商业生态进行重新审视和思考。首先,企业必须牢牢树立“以用户为中心”的思想,必须从整个价值链的各个环节建立起“以用户为中心”的企业文化。其次,企业应该抓住以草根为主体的市场,充分利用草根文化进行网络营销创意;第三,增强用户参与感,让用户参与品牌传播和产品的设计,通过用户实现网络营销创意;第四,注重用户体验,从细节上让用户感知企业的用心,实现产品设计与产品体验的创意;第五,利用现有互联网技术和平台开展全网营销,实现网络营销技术应用的创意。
2.5建立行之有效的网络营销效果评价体系,重视网络营销效果
在网络营销活动中,对网络营销效果进行评价是一项必不可少的工作。企业对网络营销效果的评价包括对各种网络营销方法的效果评价,企业网络营销各阶段的评价,企业网络营销整体效果的评价。企业通过量化和非量化的方法对网络营销效果进行评价,可以对网络营销方法的有效性进行评估,选择最优的网络营销方法的组合,将有限的资金投入到最能产出效益的地方;对企业某一阶段的网络营销效果的评估,为企业制定下一阶段的网络营销策略提供依据;对企业网络营销整体效果进行评价,把握网络营销在企业整体营销战略中的地位,站在企业整体营销战略的高度对网络营销策略进行调整。
3、结束语
关键词:企业网;拓扑结构;网络协议;服务器
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 06-0000-01
Overview of Network Design&Planning in Large and Medium-sized Enterprises
Zheng Chenxi,Shi Xiaozhuo,Li Yongliang
(Shenyang Aerospace University,ShenYang110136,China)
Abstract:The network brings the convenience to enterprises and new business opportunities,not only through the network enterprise products and technologies faster and get the latest information,and also will bring a wider market.For medium and large enterprises,set up for its own Internet site to the outside world through the network to understand business,or further through e-commerce network,has become a must step to modern enterprise.
Keywords:Enterprise network;Topology;Network protocol;Server
一、企业网设计原则
(一)坚持开放性原则,采用统一网络协议和接口标准,来实现企业内部异种机、异种网络的互连。
(二)坚持先进性原则, 采用当今较为成熟、先进的网络技术来进行网络的规则与设计,满足较长一段时期的需求。
(三)坚持易升级、易扩充的原则,统一规划,分步实施。
(四)坚持经济、实用、可靠的原则。
二、网络设备选型的原则
(一)稳定可靠的网络。网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,要求有物理层、数据链路层和网络层的备份技术。
(二)高带宽。要采用最先进的网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。
(三)易扩展的网络。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性。
(四)安全性。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制。
(五)容易控制管理。做到既保证一定的用户通信质量,又合理的利用网络资源,是建好一个网络所面临的首要问题。
(六)符合IP发展趋势的网络。
三、主干网络技术选型
主干网络选择何种网络技术对网络建设的成功与否起着决定性的作用。目前的局域网技术主要包括:快速以太网、ATM(异步传输模式)、FDDI(光纤分布式数据接口)、千兆以太网等。
千兆以太网技术以简单的以太网技术为基础,为网络主干提供1Gbps的带宽。千兆以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆以太网与其他速度相当的高速网络技术相比,价格低,同时比较简单。
千兆以太网通过载波扩展、采用集成中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。千兆以太网能够提供更高的带宽。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来,使得千兆位以太网相对于其他高速网络技术而言,在经济和管理性能方面都是较好的选择。
综述所述,千兆以太网以其在局域网领域中兼容以前的以太网标准、支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。因此,大中型企业网络主干应选用千兆以太网技术。
四、网络拓扑规划
大中型企业办公区中心机房内安装多层交换机(Cisco Catalyst6509)作为整个企业网的核心,通过防火墙和路由器与互联网相连接。核心层在与访问层相连方面,考虑到其它分布层设备所处地理位置与中心机房相距较远,则核心层交换机分别以1000M 单模光纤与办公区、生产区、附属设施的访问层中端二层交换机连接。除此之外, 核心交换机各自还与其它相关的服务器相连其中Cisco Catalyst 6509 核心交换机负责连接应用服务器群。应用服务器群包括FTP 服务器、数据库服务器、电子邮件服务器、应用程序服务器等应用型服务器,用来为整个企业网及在互联网上提供各种常用的网络服务。访问层交换机作为企业内重点地区的网络核心,需兼顾到大流量和冗余性,因此重点地区的访问层交换机采用Cisco Catalyst 2950G-48 以太网交换机,均通过1000M 单模光纤同时和两台核心交换机互连以达到分布层与核心层的冗余。网络出口设备是企业内部网络与互联网〔Internet〕连接和数据来往的通道。由于企业网内部访问国际互联网的需求量大,这就决定了路由器需要稳定、可靠和高速。
五、结束语
本文着重论述了建设大中型企业网的目标、企业网的构建技术等关键问题,用好企业网的关键在于应用系统的建设,必须大力开发企业网的各项功能。企业网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源等众多成份综合应用。
参考文献:
[1]王春海,张晓莉.企业网络应用解决方案一从需求分析到配置管理.北京科海电子出版社,2006
[2]武骏,程秀权.网络安全防范体系及设计原则.中国电信网,2008
[3]夏虹.路由器的登录访问与安全.网络安全技术与应用,2008
2:吉林省森工集团信息化发展前景与规划.
3: 吉林省林业设计院网络中心网络改造与发展规划.
4: 吉林省林业系统生态信息高速公路构建课题.
二、论文撰写与设计研究的目的:
吉林省的林业分布十分广泛,以长白山系为主要脉络的山地广泛分布各种森林资源,而作为林业及林业环境的发展,林业生态信息则是一个更为庞大的系统,快捷,准确,合理,系统的采集,处理,分析,存储这些信息是摆在我们面前的十分现实的问题.在信息交流的这个世界中,信息好比货物,我们需要将这些货物(信息)进行合理的处理,其中以硬件为主的计算机网络系统是这些货物(信息)交流的"公路"和"处理厂",我做这个题目,就是要为它画出一条"公路"和若干"处理方法"的蓝图.
由于森工集团这样的特定企业,其一,它是一个统一管理的企业,具有集团化的特点,网络的构建具有统一性.其二,它又在地理上是一个分散的企业,网络点也具有分散性.然而,分散中还具有集中的特点,它的网络系统的设计就应该是板块化的.从信息的角度来讲,信息的种类多,各种信息的采集传输处理角度也不尽相同,我们在设计的过程中不仅要考虑硬件的地域布局,也要考虑软件平台的配合.
没有最好,只有更好;更新观念,大步向前.我相信,在导师的精心指导下,经过我的努力,我将为它们创造出一条平坦,宽阔的"高速公路".
1,论文(设计)研究的对象:
拟订以吉林省林业系统为地理模型,以林业网络综合服务为基本需求,以网络拓扑结构为设计方向,以软件整合为应用方法,开发设计一套完整的基于集散集团企业的企业网络系统.
2,论文(设计)研究预期达到目标:
通过设计,论文的撰写,预期达到网络设计全面化,软件整合合理化,网络性能最优化,资金应用最低化,工程周期最短化的目标.
3,论文(设计)研究的内容:
一),主要问题:
设计解决网络地域规范与现有网络资源的利用和开发.
设计解决集中单位的网络统一部署.
设计解决多类型网络的接口部署.
设计解决分散网络用户的接入问题.
设计解决远程瘦用户网络分散点的性能价格合理化问题.
设计解决具有针对性的输入设备的自动化信息采集问题.
合理部署网络服务中心的网络平衡.
优化网络服务系统,营造合理的网络平台.
网络安全问题.
10,基本应用软件整合问题.
[nextpage]
二),论文(设计)包含的部分:
1,地理模型与网络模型的整合.
2,企业内部集中部门网络设计.
3,企业内部分散单元网络设计——总体分散.
4,企业内部分散单元网络设计——远程结点.
5,企业内部分散单元网络设计——移动结点.
6,企业网络窗口(企业外信息交流)设计.
7,企业网络中心,服务平台的设计.
8,企业网络基本应用软件结构设计.
9,企业网络特定终端接点设计.
10,企业网络整合设计.
5,论文(设计)的实验方法及理由:
由于设计的过程并不是工程的施工过程,在设计过程中详尽的去现场建设肯定有很大的难度,也不是十分可行的,那么我们在设计的阶段就应该进行仿真试验和科学计算.第一步,通过小型网络测试软件平台,第二步,构建多个小型网络搭建全局网络模拟环境,第三步,构建干扰源利用小型网络集总仿真测试.
6,论文(设计)实施安排表:
1.论文(设计)阶段第一周次:相关理论的学习研究,阅读参考文献资料,制订课题研究的实施方案,准备试验用网络硬件和软件形成试验程序表及试验细则.
2.论文(设计)阶段第二周次:开始第一轮实验,进行小型网络构建试验,模拟网络服务中心,模拟区域板块,模拟远程及移动网络.
3.论文(设计)阶段第三周次:进行接口模拟试验,测试软件应用平台,完善课题研究方案.
4.论文(设计)阶段第四周次:完成第一轮实验,提交中期成果(实验报告1).
5.论文(设计)阶段第五周次:进行第二轮实验,模拟环境(干扰仿真)实验,提交实验报告2.
6.论文(设计)阶段第六周次:完成结题报告,形成论文.
三,论文(设计)实施工具及参考资料:
小型网络环境,模拟干扰环境,软件平台.
吴企渊《计算机网络》.
郑纪蛟《计算机网络》.
陈济彪 丹青 等 《计算机局域网与企业网》.
christian huitema 《因特网路由技术》.
[美]othmar kyas 《网络安全技术——风险分析,策略与防火墙》.
其他相关设备,软件的说明书.
1、论文(设计)的创新点:
努力实现网络资源的全面应用,摆脱将单纯的网络硬件设计为企业网络设计的模式,大胆实践将软件部署与硬件设计阶段相整合的网络设计方法.
题目可行性说明及预期成果:
一、企业网络安全威胁产生的原因
计算机网络作为现代交际工具,其快捷方便的独特优势赢得人们的信赖,企业网络应运而生。然而,由于计算机本身及系统、协议及数据库等设计上存在缺陷,网络操作系统在本身结构设计和代码设计时偏重考虑系统使用的方便性,导致系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞;同时,由于企业网络自身错误的管理和配置都可能导致网络的安全问题发生。众多企业网络信息遭侵袭的事件一再提醒我们,网络安全问题必须引起充分重视。网络安全同其他事物一样是有规可循的,应该从外部网络安全和内部网络安全两个层面进行分析:
第一层面,外部网络连接及数据访问所带来的安全威胁。包括:1、外部用户对内网的连接。由于出差员工、分公司及其他业务相关企业都需要和本企业进行数据交换,这就要通过互联网连接进入内部网络,这时,非法的网络用户也可以通过各种手段入侵内部网络。2、服务器网站对外提供的公共服务。由于企业宣传需要,企业网站提供对外的公共服务,这些公共服务在为用户提供便利的同时,也带来了安全隐患。3、办公自动化及业务网络与Internet连接。这些操作平台往往偏重于系统使用方便性,而忽视了系统安全性。
第二层面,内部网络主机之间的连接所带来的安全威胁。企业网络上的层次节点众多,网络应用复杂,网络管理困难。主要体现在:1、网络的实际结构无法控制。网络的物理连接经常会发生变化,如果不能及时发现并做出调整,很可能发生网络配置不当,造成网络安全的严重隐患。2、网管无法及时了解网络的运行状况。企业网络平台上运行着网站系统、办公系统、财务系统等多种应用系统。同时,可能发生用户运行其他应用程序的情况,这样做的后果一方面可能降低网络系统的工作效率;另一方面还可能破坏系统的总体安全策略,对网络安全造成威胁。3、无法了解网络的漏洞和可能发生的攻击。4、对于已经或正在发生的攻击缺乏有效的防御和追查手段。
由此可见,网络系统的可靠运转是基于通讯子网、计算机硬件和操作系统及各种应用软件等各方面、各层次的良好运行。它的风险将来自对企业网络的各个关键点可能造成的威胁,这些威胁可能造成总体功能的失效。因此,维护办公局域网、服务器网站系统的安全,是企业网络的基本安全需求。
二、企业网络安全系统总体规划制定
根据计算机网络技术原理及实践经验,在进行计算机网络安全设计规划时应遵循以下原则:一是需求、风险、代价平衡分析的原则。对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,确定最优的安全策略,切忌只顾及需求而忽视安全;二是综合性、整体性原则。运用系统工程的方法,分析网络的安全问题,并制定具体措施,严防以偏概全,顾此失彼;三是一致性原则。这主要是指制定的网络安全体系结构必须与网络的安全需求相一致,防止文不对题,劳而无功;四是易操作性原则。安全措施要由人来完成,如果措施过于复杂,对人的技能要求过高,本身就降低了网络的安全性;五是适应性、灵活性原则。安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应和修改,网络的安全防范是一个过程,不可能一蹴而就;六是多重保护原则。任何安全保护措施都不是绝对安全的,需要建立一个多重保护系统,各层保护相互补充。据此,进行外部用户接入内部网的安全设计和内部网络安全管理的实现。
对外部用户进入内部网络应实施以下安全保障:(1)增强用户的认证。用户认证在网络和信息的安全中属于技术措施的第一道大门。用户认证的主要目的是提供访问控制和不可抵赖的作用。(2)授权。这主要为特许用户提供合适的访问权限,并监控用户的活动,使其不越权使用。(3)数据的传输加密,数据通过加密可以保证在存取与传送的过程中不被非法查看、篡改、窃取等。(4)审计和监控,确切地说,还应包括数据备份,这是系统安全的最后一道防线。系统一旦出了问题,这部分可以提供问题的再现、责任追查、重要数据复原等保障。
对内应根据管理原则和该系统处理数据的保密性,制定相应的管理制度或采用相应规范,其具体工作是:(1)确定该系统的安全等级,并根据确定的安全等级,确定安全管理的范围;(2)制定相应的机房出入管理制度,对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域;(3)制定严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责;(4)制定完备的系统维护制度,维护时必须有安全管理人员在场,故障原因、维护内容等要详细记录;(5)制定在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。
三、网络安全方案设计应把握的几个关键点
1、应用防火墙技术,控制访问权限,实现网络安全集中管理。防火墙是近年发展起来的重要安全技术,其主要作用是在网络入口点检查网络通讯,根据用户设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。使用防火墙的意义在于:通过过滤不安全的服务,可以极大地提高网络安全,保护脆弱的服务;可以提供对主机系统的访问控制;可以对企业内部网实现集中的安全管理,在防火墙上定义的安全规则可以运用于整个内部网络系统;可以阻止攻击者获取攻击网络系统的有用信息,增强了信息的保密性;可以记录和统计网络利用数据以及非法使用数据;提供了制定和执行网络安全策略的手段。
由于防火墙是内部网络和外部网络的唯一通讯渠道,能够在内外网之间提供安全的网络保护,因此防火墙可以对所有针对内部网络的访问进行详细的记录,形成完整的日志文件。
2、应用入侵检测技术保护主机资源。利用防火墙技术,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够,因为入侵者可寻找防火墙背后可能敞开的后门,也可能就在防火墙内。由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统的功能是保护关键应用的服务器,它能精确地判断入侵事件,包括判断应用层的入侵事件,对入侵者可以立即进行反应,能对网络进行全方位的监控与保护。可有效地解决来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全威胁。
3、应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估。网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、入侵监测系统互相配合,能够提供较高安全性的网络。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级,更正系统中的错误配置。如果说防火墙和入侵监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击的发生,做到防患于未然。
安全扫描器提供综合的审计工具,发现网络环境中的安全漏洞,保证网络安全的完整性。它可以评估企业内部网络、服务器、防火墙、路由器,扫描和测试确定存在的可被黑客利用的网络薄弱环节。我们应在局域网内设置该工具,定期对网络进行扫描。
4、应用VPN技术,保证外部用户访问内部网的安全性。企业网络接入到公网中,存在着两个主要危险:一是来自公网的未经授权的对企业内部网的存取;二是当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。如何保证外部用户远程访问内部网的安全性:首先,应严格限制外部用户所能访问的系统信息和资源,这一功能可通过在防火墙和应用服务来实现。其次,应加强对外部用户进入内部网的身份验证功能。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。这就应采用软件或防火墙所提供的VPN(虚拟专网)技术、完整的集成化的企业VPN安全解决方案、提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
1 课程概述
1.1 课程性质 本课程是集企业网络组建与企业网络维护于一体的网络系统管理专业的专业核心课。
1.2 课程定位 开设本课程是为了培养学生组建与维护中小型企业网络的能力。前修课程有计算机应用基础、网络基础等,后续课程有网络安全与管理、项目实践等。
1.3 课程设计思路
1.3.1 基本理念。本课程在设计时注重认真分析、研究学生的身心特点及其综合素质,力求将职业教育改革的基本理念与课程框架设计、内容标准确定及课程实施有效地结合起来。
企业网络的组建和维护能力是网络系统管理专业学生必须具备的核心技能之一。根据企业网络组建工作过程中的典型任务选择和安排工作任务,以行动为导向组织教学过程,实施工作场景教学模式下的“教、学、做”一体化的教学模式。课程的设计具有弹性、延伸性。工作任务以递进方式开展,符合学生的认知发展规律,重在培养学生组建与维护企业网络的能力,确保课程目标的实现。
充分发挥教师主导地位,打破传统教学方法、教学手段。要根据教学内容特点灵活采取演示教学法、问题探究教学法、启发式教法、案例教学法、小组合作教学法,从方法上保证“教、学、做、训、评”一体化的教学模式的实施。
在教学中要尽量创设情境、引导学生合作学习、主动探索,充分发挥学生的认知主体作用。要注重引导学生在学习过程中采取观察、记录、讨论、完成任务、自我评价、小组评价等多种方法完成学习,使得学生完成每一项任务都有成就感,激发学生学习自主性和积极性,提升学生的成就感,使他们逐步建立自信心,有效发挥自我潜能,树立良好的学习作风。
1.3.2 课程的设计原则。①以就业为导向的原则。a课程内容结合企业用人需求制定,侧重问题解决和故障排查,更加符合企业实际工作模型。b培养的学员技术方向不仅能维护企业网络系统,还能维护企业信息系统,更加符合企业发展趋势。②以突出实用,以解决实际岗位问题为核心的原则。a通过解决多个企业实际岗位问题,获取一定的企业网络工作经验。b课程每一章节前都明确提供网络问题列表,便于验证学习效果及总结。③符合网络行业工作特点和学习规律的原则。a以解决问题为导向,以沟通表达能力为职业素质核心。b训练主线:理论讲解、实验练习、解决问题、学习讨论、综合项目、实践活动。④构建科学完善的职业素质训练体系的原则。a在教学过程中穿插讨论课和活动课,用于提升学员的职业素质。b侧重于提升学员的学习能力、学习信心。c侧重于营造企业真实工作环境来训练职业素质,完成学员实际工作经验在学习中得到积累。
1.3.3 课程设置依据。根据网络系统管理人才培养方案、相关行业标准及企业用人需求制定课程标准。本专业培养网络管理员,网络工程师人才,为了培养学生组建与维护企业网络的能力,特开设本门课程并制定相应的课程标准
2 课程目标
2.1 总体目标 培养学生具备组建与维护中小型企业网络的能力。
2.2 具体目标
2.2.1 能力目标。能够进行交换机和路由器的基本配置,对企业的网络设备进行简单维护。能够进行VLAN、中继、VTP、STP的配置,实现不同VLAN的主机互通;能够进行三层交换机的基本配置,实现不同VLAN或网段的主机互通;能够进行RIP和OSPF路由协议的配置,实现不同网段的主机互通;能够进行ACL的配置,实现网络中数据的流量控制;能够进行NAT的配置,实现网络中私有IP地址转换为公网IP地址;能够进行企业网络的规划与设计,综合运用前面所学的能力。
2.2.2 知识目标。掌握交换机、路由器、三层交换机的工作原理。掌握虚拟局域网与中继的作用。掌握VTP、STP、RIP、OSPF协议的原理与适应的场合。掌握ACL与NAT的原理与适应的场合。
2.2.3 素质目标。思考问题、分析问题、解决问题的能力。专业英语表达能力。团结协助的能力。文档编写与表达能力。中小型企业网络组建与维护方案的设计。
3 课程教学内容及学时安排
3.1 课程主要内容说明
3.1.1 学时安排。总学时:80学时。理论课学时:24学时。实训课学时:56学时。
3.1.2 教学的重点和难点。重点:VLAN、中继、VTP、STP的工作原理与配置。RIP、OSPF协议的配置。ACL、NAT的配置。
难点:STP的工作原理。扩展ACL的配置。
3.1.3 学时分配考虑。本课程是为了培养学生组建与维护企业网络的能力,重点放在VLAN、VTP、STP、RIP、OSPF、ACL等网络协议的配置。
3.2 课程组织安排说明
采用基于工作过程的模式,将本课程选取的教学内容按企业网络组建的典型工作任务设计,进行任务驱动式教学,完成每个任务,即掌握相关的技能,知识和素质目标。
3.3 课程教学内容
4 实施建议
4.1 教学组织建议
教学设计指导思想:根据企业网络组建与维护过程的典型工作任务设计教学内容。
组合教学方式:①先学习交换机和路由器的基本操作技能与知识。②在三层交换机、静态路由、VLAN、VTP、STP、RIP、OSPF等工作任务的完成过程中,用到①所学的技能与知识。③在ACL、NAT工作任务的完成过程中,用到①②所学的技能与知识。④在综合项目的完成过程中,用到①②③所学的技能与知识。
4.2 教学评价建议
4.2.1 期末考核评价及方式。操作考试:占期末成绩的50%;理论考试:占期末成绩的50%。
4.2.2 教学过程评价。①课堂考勤:占总成绩的10%②回答问题:占总成绩的10%。③学习态度:占总成绩的10%。
4.2.3 集中实训评价。将学生分组,完成综合项目,提交企业网络组网方案和配置实验报告,并答辩。综合项目占总成绩的8%。
4.2.4 课程成绩形成方式。①教学过程评价占总成绩的30%。②阶段性工作任务完成情况占总成绩的40%。③期末考核占总成绩的30%。
4.3 教材选用
《组建与维护企业网络》,北大青鸟Aptech信息技术有限公司编写,科学技术文献出版社。
《企业网络高级技术》,北大青鸟Aptech信息技术有限公司编写,科学技术文献出版社。
4.4 课程主讲教师和教学团队要求说明
主讲教师:具备计算机本科以上学历,具备熟练的CISCO网络设备操作技能。
教学团队:在校内,要具备副教授或高级工程师以上职称的教师一名,担任教学指导教师;在校内,具备企业一线工作经验的工程师或高级工程师一名,担任实训指导教师。
4.5 课程教学环境和条件要求
前期教学环境:教师和每名学生计算机一台,操作系统为WINDOWSXP,装有CISCO设备模拟软件小凡;教师机和学生机均装有苏亚星类的电子教室教学软件;投影仪一台。
综合项目教学环境:按4-6人将学生分组,每组有Cisco2800路由器二台,Cisco2950交换机四台,计算机4-6台。
4.6 教学资源的开发与利用
根据企业调研及用人需求,选取北大青鸟的相关内容和课件、相关案例进行教学。
充分利用网络实训室的网络设备,让学生分组,分角色完成综合项目。
4.7 其它
一般意义上来讲,中小企业的网络营销,其主要目的就在于传播企业和产品信息,捕捉目标客户,获取更多的商业机会,最终促进产品销售和占领市场。虽然从网络营销的职能来看,它还可以为企业的品牌传播、客户服务、市场调研等营销策略提供服务,但对中小企业而言,那并不是重点,中小企业网络营销的核心仍然是销售。
既然扩大销售是中小企业发展过程中主要的成长动力,那么中小企业网络营销的使命也无疑是扩大销售。无数企业的网络营销成功案例可以证明,利用网络营销扩大销售完全是可行的。网络营销就是帮助企业建立了一个全新的销售平台,把一个个源源不断的流量变为一个个新商机,新客户的过程。
那么,流量如何才能变商机?
企业网站是企业开展网络营销的基础平台,网络推广把众多的访问者带到了企业网站,而要使这些流量变成商机,则需要一系列转化过程。转化是网络商机产生的必经之路,是通过各种手段,促使网站访问者采取下一步行动的过程(这个行动包括但不限于电话咨询、在线留言、在线购买等等),以实现流量变商机,帮助企业获取潜在客户,促进企业产品的销售。
成功的网络营销一定是基于高转化率的。转化效果的好坏,直接影响企业开展网络营销的投资回报率。良好的转化包括网站着陆页优化和合理使用转化工具两个步骤。
着陆页是一个网络广告名词,指的是迎接广告流量到来的第一个页面。随着企业网络推广的深入,网站的每一个页面都有可能是着陆页。着陆页优化主要是指从用户/客户体验出发,结合心理学特征,在网站链接导航、网页UI设计、站点内容编排、站点交互设计上面,实现最优化的一系列工作总称。
由于企业网站五花八门,设计制作水平不一,这对着陆页优化有直接的影响,同时这也是开展网络营销的两个同类企业,效果差异显著的原因之一。着陆页优化服务目前主要由一些搜索引擎营销服务商在提供,像上海火速,具有专业的优化团队,是企业客户网络营销效果的有力保障。
着陆页优化使得访问者能够第一时间获取他想要的信息,并在决定采取下一步行动的时候能够方便快速的做出转化工具的选择。
转化工具是访问者与中小企业建立联系的桥梁。一般情况下,只要能够促进访问者与网站方进行互动,并采取下一步措施的方式,都属于转化工具。像电话、留言、订单,是最普遍的转化工具,此外,还有注册会员、邮件列表、用户评论等,都属于广义上的转化工具。
对于不同类型的企业,所需要的转化工具各有侧重。像产品范围集中在日用消费品的零售经销商,他们更青睐使用在线订单来获取客户,注重客户的评价;而像工业品、原材料的制造商、批发经销商,他们更希望目标客户能够直接电话或留言进行咨询,同时一些在线洽谈的工具也能够帮助企业同目标客户建立长期、高效的沟通。
让我们看一个帮助企业开展网络营销的实例。
产品中国就是这样一个网络营销工具:企业客户在上面能够构建一个全新的网络营销平台,它实质上就是一个标准的营销型企业网站。网站建立之后,即具备了良好的搜索引擎优化和着陆页优化基础,一方面搜索引擎能够快速进行收录,并取得理想的排名;另一方面企业信息的合理整合优化,访问者能够快速找到感兴趣的内容。
在流量转化方面,产品中国提供的企业网站具有丰富的转化形式可供选择。对于B2B型的企业,企业网站可以提供在线询盘、免费电话、短信通知等转化服务,而对于B2C型的企业,则提供了在线订单、客户评价、在线客服、电子地图等多种转化服务——企业客户可以根据自己的实际需要来选择。
网络营销策略
就是为有效实现网络营销任务、发挥网络营销应有的职能,从而最终实现销售增加和持久竞争优势所制定的方针、计划,以及实现这些计划需要采取的方法。
网站建设
企业网站建设与网络营销方法和效果有直接关系,没有专业化的企业网站作为基础,网络营销的方法和效果将受很大限制,因此企业网站建设应以网络营销策略为导向,从网站总体规划、内容、服务和功能设计等方面为有效开展网络营销提供支持。
网站推广
获得必要的访问量是网络营销取得成效的基础,尤其对于中小企业,由于经营资源的限制,新闻、投放广告、开展大规模促销活动等宣传机会比较少,因此通过互联网手段进行网站推广的意义显得更为重要,这也是中小企业对于网络营销更为热衷的主要原因。即使对于大型企业,网站推广也是非常必要的,事实上许多大型企业虽然有较高的知名度,但网站访问量并不高。因此,网站推广是网络营销最基本的职能之一,基本目的就是为了让更多的用户对企业网站产生兴趣,并通过访问企业网站内容、使用网站的服务来达到提升品牌形象、促进销售、增进顾客关系、降低顾客服务成本等。
网络品牌
与网络品牌建设相关的内容包括:专业性的企业网站、域名、搜索引擎排名、网络广告、电子邮件、会员社区等。网络营销的重要任务之一就是在互联网上建立并推广企业的品牌,以及让企业的网下品牌在网上得以延伸和拓展。网络营销为企业利用互联网建立品牌形象提供了有利的条件,无论是大型企业还是中小企业都可以用适合自己企业的方式展现品牌形象。网络品牌价值是网络营销效果的表现形式之一,通过网络品牌的价值转化实现持久的顾客关系和更多的直接收益。
信息
信息需要一定的信息渠道资源,这些资源可分为内部资源和外部资源。内部资源包括:企业网站、注册用户电子邮箱等;外部资源则包括:搜索引擎、供求信息平台、网络广告服务资源、合作伙伴的网络营销资源等。掌握尽可能多的网络营销资源,并充分了解各种网络营销资源的特点,向潜在用户传递尽可能多的有价值的信息,是网络营销取得良好效果的基础。
网上销售
网上销售是企业销售渠道在网上的延伸。网上销售渠道建设并不限于企业网站本身,还包括建立在专业电子商务平台上的网上商店,以及与其它电子商务网站不同形式的合作等。因此网上销售并不仅仅是大型企业才能开展,不同规模的企业都有可能拥有适合自己需要的在线销售渠道。
顾客服务
互联网提供了更加方便的在线顾客服务手段,包括从形式最简单的常见问题解答,到电子邮件、邮件列表,以及在线论坛和各种即时信息服务等。在线顾客服务具有成本低、效率高的优点,在提高顾客服务水平方面具有重要作用,同时也直接影响到网络营销的效果,因此在线顾客服务成为网络营销的基本组成内容。
顾客关系
顾客关系是与顾客服务相伴而产生的一种结果,良好的顾客服务才能带来稳固的顾客关系。顾客关系对于开发顾客的长期价值具有至关重要的作用,以顾客关系为核心的营销方式成为企业创造和保持竞争优势的重要策略。网络营销为建立顾客关系、提高顾客满意和顾客忠诚提供了更为有效的手段,通过网络营销的交互性和良好的顾客服务手段,增进顾客关系成为网络营销取得长期效果的必要条件。
网上市场调研
主要的实现方式包括:通过企业网站设立的在线调查问卷、通过电子邮件发送的调查问卷,以及与大型网站或专业市场研究机构合作开展专项调查等等。网上市场调研具有调查周期短、成本低的特点。网上调研不仅为制定网络营销策略提供支持,也是整个市场研究活动的辅助手段之一。合理利用网上市场调研手段对于市场营销策略具有重要价值。
型网站策划,实施咨询电话:81958938
型网站规划
网站前期策划作为网络的起点,规划的严谨性,实用性将直接影响到企业网络目标的实现.我们以客户需求和网络为导向,结合自身的专业策划经验,协助不同类型企业,在满足企业不同阶段的战略目标和战术要求的基础上,为企业制定阶段性的网站规划.
型网站建设开发实施
网站前期策划作为网络的起点,规划的严谨性,实用性将直接影响到企业网络目标的实现.我们以客户需求和网络为导向,结合自身的专业策划经验,协助不同类型企业,在满足企业不同阶段的战略目标和战术要求的基础上,为企业制定阶段性的网站规划.
网站推广计划与执行
网站前期策划作为网络的起点,规划的严谨性,实用性将直接影响到企业网络目标的实现.我们以客户需求和网络为导向,结合自身的专业策划经验,协助不同类型企业,在满足企业不同阶段的战略目标和战术要求的基础上,为企业制定阶段性的网站规划.
关键词:客户需求分析网站策划
详细内容>>>
网站设计制作
网站设计并不单单指网站视觉效果,还有很多内涵.其中包括网站页面信息结构及关联,网站导航设计,网站版式设计等一些列内容,一个好的设计是能够更好的利于,一个只有美观没有内涵的网站是不成功的.
关键词:网站制作网站设计
详细内容>>>
网站数据库功能开发
网站数据库的主要目的就是存储信息,一般是通过前台页面与浏览者的交互收集信息,然后结合前台的程序(一般为动态页面),实时生成浏览者所看到的最新内容,从而具备普通静态页面所不能达到的效果.
目前,很多企业开始重视网络数据库的重要性,对于充分利用网络的即时性,互动性,网络数据库起着重要的作用,但是,究竟如何应用数据库,企业哪些业务或内容需要通过数据库来实现,以及日后如何维护,很多企业并不熟悉,因此,如果您有意向建立网站数据库,我们会为您提供免费咨询,向您进行详细的流程分析,为您提供最好的服务与售后支持!
网站数据库设立的目的是为了更好地实现网站的功能和目的,而其开发一般费用较高,因此,您在考虑设置网站数据库功能时一定要仔细考察,做到合理而有效.
关键词:动态网站设计网站数据库
详细信息>>>
网站维护与更新
目前很多企业网站的价值还没有被利用起来,网站无论从设计上,还是内容信息方面,都远远达不到网站的目的,正因为如此,网站不能给企业带来实际可见的效益,因此被置之高阁.同时他们也并没有意识到同行企业如何充分利用网络的优势配合网下的活动从而获得更高的竞争优势!
网站设计更新工作除了重新定位网站的目标,视觉风格,我们还为您提供有价值的网站内容组织,推广方式的建议,帮助您充分利用网站,争取更大的效益.
关键词:网站维护网站更新
详细信息>>>
付款信息
各种银行卡在线支付,可即时到账:详情点击>>>
银行转帐/电汇:
开户行:北京农村商业银行中关村支行魏公村分理处
户名:北京亚信广联科技有限公司
帐号:04130301030000__47
关键词:信息安全;网格安全管理;SNMP
中图分类号:TP393.08文献标识码:A文章编号:1009-3044(2009)13-3360-02
1 引言
当今信息安全技术主要包括密码技术、身份认证、访问控制、入侵检测、风险分析与评估等诸多方面。在实际运用中,这些安全技术相互支持与协作,各自解决安全问题的某一方面。目前人们关注的重点在入侵检测、密码技术等,作为访问控制没有得到应有的重视,事实上访问控制是一个安全信息系统下不可或缺的安全措施。访问控制就是通过某种途径显式地限制对关键资源的访问[1-2]。防止因非法用户的侵入或合法用户的不慎操作所造成的破坏。本文主要讨论了主动式网络安全监控系统,在分析主动式网络监控系统设计基础上,针对企业网非法接入防范子系统采用的SNMP协议进行相关分析。
2 网络管理概述
随着网络技术的发展,网络规模增大,复杂性也增加,以前的网络管理技术已经无法适应这一情况,特别是由于以往的网络管理系统往往是生产制造厂商在自已的网络系统中开发的应用系统,很难对其它厂商的网络系统、通信设备等进行管理,这种状况很不适应网络异构互联的发展趋势。网络管理一般采用管理―的管理结构。网络管理站是实施网络管理的处理实体,驻留在管理工作站上,它是整个网络系统的核心,完成复杂网络管理的各项功能,如排除网络故障、配置网络等,一般位于网络中的一个主机节点上。被管(简称)是配合网络管理的处理实体,驻留在被管理对象上。被管监测所在网络部件的工作状况,收集有关网络信息。公共网络管理协议描述了管理器与被管之间的数据通信机制。
3 主动式网络安全监控系统
3.1 需求分析
一般企业网内部资源的安全策略(诸如访问权限、存取控制等)是基于IP地址进行的,如果入侵者利用管理方面的漏洞,盗取合法用户的权限或IP地址,将会对企业内部造成重大损失,因此,系统主要从以下几个方面考虑安全监控问题:
1)企业网内部主机资源的安全。 企业网内部主机除了应用传统的防火墙、入侵检测系统以外,还可应用强制访问控制机制对本机内部的重要资源实施强制访问控制保护;
2)入侵检测。在发现非法攻击或者非法用户企图操作主机文件时,可通过入侵检测机制发现入侵者来源,阻断入侵者的非法操作,记录入侵主机相关信息等;
3)企业网的接入安全 企业网安全监控的另一主要目的即对企业网内部的非法接入进行监控,发现非法入网者,主动地采取相关措施避免和阻止类似情况的发生,实现企业网安全的外部屏障;
4)安全审计,监控系统应当具备记录监控信息的能力;
5)通讯机制,除了各子系统本身的主动式的反应机制、通讯机制和控制机制以外,监控系统还应当建立通讯体系,向上级监控模块提供安全监控信息,为管理机构制定相关策略提供有价值的参考。
3.2 ANSMS 系统设计方案
主动式网络安全监控系统(ANSMS,Active Network Security Monitor System)从功能上可分为两个子系统:主机强制访问控制监控子系统(MACMS,Mandatory Access Control Monitor Subsystem)和企业网非法接入防范子系统(ICMS,Illegal Connection Monitor Subsystem)。主机强制访问控制监控子系统主要分为四个模块:强制访问控制模块、入侵检测模块、审计模块和通讯模块。
1)强制访问控制模块:建立和管理安全标签库,实现对用户进程和文件安全标签的管理,在对进程和文件的安全标签进行比较后,根据相关规则决定进程对文件的操作权限和操作方式;
2)入侵检测模块,检测网络入侵操作并进行阻断,记录入侵主机的IP地址和入侵时间,将其记入安全日志当中;
3)安全审计模块 对强制访问控制的监控信息进行安全审计,记录入侵主机和非法操作进程,统计和审核,对高危险性和频繁多发的操作进行分类和统计;
4)通讯模块 与安全监控模块实现通讯,及时地通报和汇总安全信息。企业网非法接入防范子系统主要分为四个模块:非法接入的检测模块、非法接入的处理模块和审计模块。
4 企业网防范非法接入监控子系统
4.1 非法接入防范策略
非法接入是指没有经过科技部门允许直接将各类计算机和移动设备接入内联网的行为。网络上出现不经常使用的IP、IP和MAC映射表与科技部门认定的不一致等现象,都可以认为是非法接入。这类非法事件虽不是暴力入侵,但可能在内联网传播病毒、移植木马和泄露内联网业务机密信息等严重的后果,而且发生的主要原因是内控措施不利和内部人员的安全意识不够,所以很难预防和控制。
非法接入的主要途径――IP 地址盗用侵害了 Internet 网络的中正常用户的权益,并且给网络计费、网络安全和网络运行带来巨大的负面影响,因此解决 IP地址盗用成为当前一个迫切的问题。基于IP盗用的非法接入的形式繁多,常见的主要有以下几种:不经过系统分配自己配置IP地址;修改 IP-MAC 地址对为合法用户的地址;收发数据包时修改IP 地址。
在上述防范措施的基础上,结合用户认证和IP-MAC-PORT三者绑定的技术,首先确保合法用户通过认证,再通过SNMP协议编写相关的网络管理软件,轮询交换机等网络设备,获取当前网络中主机的IP地址和MAC地址等信息,与原始IP-MAC对照表进行比对,进而发现非法的IP地址和接入点。企业网监控着重于监控网络当前主机状况,发现非法接入点,采取相关行动阻止非法用户接入网内。具体的设计方案为:用户注册模块,IP盗用检测模块,IP盗用处理模块,安全审计模块,通讯模块和安全监控模块。
4.2 简单网络管理协议 SNMP
SNMP 的网络管理模型包括以下关键元素:管理站、者、管理信息库、网络管理协议。管理站一般是一个分立的设备,也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。SNMP 中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类,对象的集合被组织为管理信息库(MIB,Management Information Base)。MIB 作为设在者处的管理站访问点的集合,管理站通过读取 MIB 中对象的值来进行网络监控。管理站可以在者处产生动作,也可以通过修改变量值改变者处的配置。
SNMP 的规范 SMI(Structure of Management Information)为定义和构造MIB提供了一个通用的框架。同时也规定了可以在MIB中使用的数据类型,说明了资源在 MIB 中怎样表示和命名。SMI 避开复杂的数据类型是为了降低实现的难度和提高互操作性。MIB 中的每个对象类型都被赋予一个对象标识符(OID),以此来命名对象。另外,由于对象标识符的值是层次结构的,因此命名方法本身也能用于确认对象类型的结构。
在 TCP/IP 网络管理的建议标准中,提出了多个相互独立的 MIB,其中包含为 Internet 的网络管理而开发的 MIB-II。管理站和者之间以传送 SNMP 消息的形式交换信息。每个消息包含一个指示 SNMP 版本号的版本号,一个用于本次交换的共同体名,和一个指出 5 种协议数据单元之一的消息类型。
4.3 非法接入防范子系统
SNMP++是一套 C++类的集合,它为网络管理应用的开发者提供了 SNMP 服务。SNMP++并非是现有的 SNMP 引擎的扩充或者封装。事实上为了效率和方便移植,它只用到了现有的 SNMP 库里面极少的一部分。SNMP++也不是要取代其他已有的 SNMPAPI,比如 WinSNMP。SNMP++只是通过提供强大灵活的功能,降低管理和执行的复杂性,把面向对象的优点带到了网络编程中。可以利用SNMP++来实现非法接入防范子系统的设计相关工作。在具体过程中需要考虑:
1)非法用户只修改IP地址,通过比较原始IP地址分配表可发现非法的IP地址,进而关闭其端口,阻止其接入企业网;
2)非法用户成对修改 IP-MAC 地址方面。
5 结束语
随着 Internet 的运用愈加广泛,网络安全和信息安全的问题日益突出,入侵主机通过修改相关设置入侵企业网并在网内主机上安置木马程序,对企业网内部资源造成很大的危害,严重影响了企业网内部资源的共享和保密性要求。论文提出的主动式网络安全监控可有效的解决本地和网络入侵以及外部非法接入的隐患,具有较高的安全性、易用性和可扩展性。
参考文献:
【关键词】网络协议;安全系统;方案设计
1 引言
易连科技科技有限公司(Ningbo Ocean Network Technology)是一家专业生产机械塑料类产品。公司成立于1994年,地处境里发达的沿海城市—宁波。按照易连科技有限公司的网络建设规划和总体要求,我们计划对易连科技有限公司的网络在利用原有综合布线系统和设备的基础上,重新规划实施,建设易连科技有限公司的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
按照易连科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工增长的要求。
易连科技有限公司实施阶段分为五部分,分别是交换机部分,路由器部分,服务器部分,广域网部分和网络安全性部分。
易连科技有限公司地处发达的沿海城市—宁波,该公司通过网络来发展业务。随着该公司业务量的不断扩展,公司的规模不断扩大,员工人数的不断增加,并要在温州建立一个分公司。现有的网络系统逐渐不能满足企业信息化建设的要求。因此计划对宁波总公司的局域网与温州分公司网络进行改善,以提高网络的可用性,安全性,可靠性,并具有一定的可扩展性要求,用来满足企业业务发展的需求。
2 需求分析
(1)企业网络需求
宁波总公司和温州分公司的局域网络通过路由连接成一个统一的企业内联网,满足易连科技有限公司对网络统一管理的要求。宁波总公司和温州分公司的路由器相连,计划使用OSPF(开放最短路径优先协议)作为路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,在各厂商中具有广泛的支持基础,并且具有路由信息传输的可控性和路由链路负载均衡的能力。
(2)企业系统的总体需求
温州分公司通过专线连接到宁波总公司网络,使用总公司的单一出口访问因特网,以提高网络的安全性,而且公司的服务器等全部在宁波总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
出口处配置防火墙,出入因特网的通信流量都必须经过防火墙的过滤,通过防火墙对易连科技有线公司的网络加以保护,并实现安全的控制。
宁波总公司局域网部分在网络结构上分为3层,核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到2台汇聚层交换机,也保证了网络的安全性和可靠性。同时LAN部分会启用VTP和STP,实现VLAN的统一配置管理和环路避免。
(3)企业网安全总体需求分析
运行系统的安全,在宁波总公司应用HSRP对设备进行备份 。即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。系统信息的安全,通过域环境管理用户账户,设置用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;信息传播的安全,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控。
(4)基于多协议的安全项目整体规划
此次易连科技有限公司网络建设将采用先进的计算机,网络设备和软件,以及先进的系统集成技术和管理模式,实现一个高效的办公网络体系。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象和售后技术,便于维护和升级。
(5)设计原则
工程实施依照国家有关标准完成。项目设计应满足易连科技有限公司未来发展的要求,即公司规模扩大,本设计仍然能够满足公司运营的需求或方便的变更和升级。采用先进的,成熟的,业界标准的,在市场上有着广泛应用的技术。项目设计应遵循实用的原则,避免不切实际贪大求全。所有操作系统及应用软件采用正版软件。所有网络设备应是主流产品,保证所有设备均为新品并能提供良好的技术支持。工程实施严格按照合同规定日期完成并保证质量。工程实施需要提供详细的文档资料及配置手册。应提供完善的培训及售后服务。
3 多协议安全系统的设计与实现
按照易连科技科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的Cisco公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的企业办公网运行。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工的可扩展性。
易连科技有限公司安全系统的设计与实现主要为多协议的设计,分别是交换机VTP协议,STP和MSTP协议,HSRP协议,广域网协议和网络安全协议等。
(1)交换部分VTP设计实现
当易连科技有限公司网络扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担。
VTP版本为v1VTP域口令为SXY,VTP修剪设为启用,VTP Server包括SXY-SW3-1,SXY-SW3-2,SXY-SW3-3,VTP Client包括 SXY-SW1~5。
(2)交换部分STP的设计实现
生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免局域网中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示。
SW(config)#spanning-tree vlan ID priority 4096
SW(config)#spanning-tree vlan ID priority 4096
(3)Ethernet Channel以太网通道设计
EthernetChannel以太网通道通过链路聚合技术捆绑多条通道来提高整体带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路。
SW3-1(config)#interface range F0/6 - 7
SW3-1(config-if-range)#channel-group number mode on
(4)HSRP热备份路由协议设计实现
企业网络两台汇聚层交换机上启用热备份路由协议(HSRP),其设计目标是支持特定情况下IP流量可以从故障设备切换到其他设备上而不会引起混乱,并允许主机使用单臂路由作为网关,在实际第一条路由器使用失败的情况下,仍能保持与网络的连通。
SW(config)#interface vlan 10
SW(config-if)#standby 10 ip 192.168.110.1
SW(config-if)#standby 10 priority 120
(5)VPN专线技术设计
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
(6)网络安全性设计
防火墙位于易连科技科技有限公司总公司与外网之间。易连科技有限公司的所有网络通信通过进行流量过滤。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。所以,在易连科技有限公司网络中我们选择的防火墙是CISCO ASA5520,能更保证网络的安全性的要求。
参考文献:
