摘 要 本文针对企业局域网在组建和网站建设中的各种实际问题,从原理和实际应用上进行分析,特别是网络安全方面,列出了一些可能出现的安全因素,并给出解决办法,对将要组建或正在建设局域网的企业具有一定的指导意义。
关键词 企业局域网;网络组建;网站建设
1 需求分析
随着互联网应用的普及,电子商务有了实质性的进展。对于一个企业来说,产品的介绍、销售、技术服务和售后服务等越来越多地采用网络的形式来完成,最主要的优点是:方便、快捷和成本低廉。
目前小型企业往往采用在互联网络上申请主页空间或采用网络主机托管的方式,这种方式在应用上很明显有些不方便之处,所能提供的服务类型单一,并且资料数据都是放在别人的计算机上,让别人来管理。对于大型企业和有机密数据的单位,往往不会采用这种方式,他们会在单位内部建立自己的中心机房,组建自己的局域网,同时申请电信的宽带和固定IP,这样,形成内外两种网络。如果,企业在异地有分支机构,还可以通过VPN方式进行安全通信。
对企业的需求进行严格的分析,设计出实际可行的网站建设方案,在网站策划阶段,可从以下一些方面考虑定位:
(1)网站硬性指标:您的网站是否能够让客户很轻松、方便的登录和记住,包括域名种类分布、域名品牌一致、网站语言版本、域名解析时间、请求响应时间、主机连接时间、下载时间、HTML综合质量、图片综合质量、首页布局质量、首页信息类型等。
(2)网站推广指标:您的网站推广是否能让更多的客户与您往来,包括搜索引擎排名、网站知名度、推广方案设计等。
(3)网站服务指标:客户是否愿意与您往来,包括:您的回应时间、目标客户、联系层次、FAQ、帮助导航、服务流程、产品分类、产品描述、产品图片、价格建议等。
(4)网站互动指标:您与客户的互动效果如何;包括:客户回应、解决时间、产品了解、客户社区、客户鉴别、客户忠诚度、深化服务、需求调查等。
2 模块设计
企业局域网可分为两个模块:企业互联网模块与企业局域网模块。
1) 企业互联网模块
企业互联网模块拥有与互联网的连接,同时也端接VPN与公共服务(DNS、HTTP、FTP、SMTP)信息流。
企业互联网模块为内部用户提供了与互联网的连接并使用户能够通过互联网访问公共服务器上的信息,同时还为远程地点和远程工作人员提供了VPN访问能力。
企业互联网模块涉及的关键设备有:SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、第2层及以上交换机(支持专用VLAN)。
2) 企业局域网模块
企业局域网模块包含第2层及以上交换功能与所有的用户以及管理内部网服务器。
企业局域网模块包含最终用户工作站、公司内部网服务器、管理服务器和支持这些设备所需的相关基础设施、可网管的交换机等。
3 安全分析
1) 企业互联网模块
拥有公共地址的服务器是最容易被攻击的。以下是企业互联网模块潜在的威胁:未授权访问、应用层攻击、病毒与特洛伊马攻击、密码攻击、拒绝服务、IP电子欺骗、分组窃听、网络侦察、信任关系利用、端口重定向等。
在小型VPN网络设计中,该模块堪称为极至。VPN功能被压缩入一个机箱,但依然执行着路由选择、NAT、IDS和防火墙功能。在确定如何实施该功能时,我们可使用带防火墙和VPN功能的路由器。
这种选择为小型网络带来了极大的灵活性,因为路由器将支持在当今网络中可能是不可或缺的所有高级服务。作为一种替代措施,可使用带VPN的专用防火墙来取代路由器。这种设置给部署造成了一些限制。首先,防火墙通常都只是以太网,要求对相应的WAN协议进行一些转换。在目前的环境中,大多数有线和DSL路由器/调制解调器都是由电信服务供应商提供的,可用于连接以太网防火墙。如果设备要求WAN连接(如电信供应商的DSL电路),那么,就必须使用路由器。使用专用防火墙不具备轻松配置安全性和VPN服务的优势,当发挥防火墙功能时,可提供改进性能。无论选用哪种设备,都要考虑一些VPN的因素。请注意,路由器倾向于允许信息流通过,而防火墙的缺省设置则倾向于阻止信息流通过。
从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。同时在ISP路由器的入口处,RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的IDS),那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如,应该对Web服务器进行过滤,以便使其不能自身产生请求,而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。
从主机的角度看,公共服务区域内的每个服务器均拥有主机入侵检测软件,用于监控OS级的任何不良活动以及普通服务器应用的活动(HTTP、FTP、SMTP等)。DNS主机应该只响应必要的命令,同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。这包括防止从任何地点进行zone传输(合格的二级DNS服务器除外)。在邮件服务方面,防火墙在第7层过滤SMTP信息,以便只允许必要的命令到达邮件服务器。
2) 企业局域网模块
交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。在交换机内部可以实施VLAN,以减少设备间的信任关系利用攻击。例如,公司用户可能需要与公司服务器通信但彼此之间可能没有必要通信。
在管理站与网络其余部分之间设置一个小型过滤路由器或防火墙能够提高总体安全性。这种设置将使管理流量只沿着管理员认为必要的方向传输。如果机构内部的信任水平不高,我们建议在关键系统上安装了HIDS。
对于各工作站上的安全可靠,还特别值得提出的是病毒和网站木马,可考虑企业版的病毒防火墙。
在各分支机构中不要求配备远程访问VPN功能,因为公司总部通常会提供这种功能。此外,管理主机一般位于中央地点,这种设置要求管理信息流穿过地点到地点VPN连接回到公司总部。
4 局域网工程建设原则
⑴ 实用性:网络建设从应用实际需求出发,坚持为领导决策服务,为经营管理服务,为生产建设服务。
⑵ 先进性:采用成熟的先进技术,兼顾未来的发展趋势,即量力而行,又适当超前,留有发展余地。
⑶ 可靠性:确保网络可靠运行,在网络的关键部分应具有容错能力。
⑷ 安全性:提供公共网络连接、通信链路、服务器等全方位的安全管理系统。
⑸ 开放性:采用国际标准通信协议、标准操作系统、标准网管软件、采用符合标准的设备,保证整个系统具有开放特点,增强与异机种、异构网的互联能力。
⑹ 可扩展性:系统便于扩展,保证前期的投资的有效性与后期投资的连续性。
5 软硬件功能分析
1) 路由器
就企业局域网网络而言,由于大量的数据都发生在局域网内部,对路由器的性能要求不高,因此,可以选用中低端路由器。低端路由器主要适用中小办公网络的应用,考虑的一个主要因素是端口数量,另外还要看包交换能力和NAT转换能力。中端路由器适用大中型办公网络,选用的原则也是考虑端口支持能力、包交换能力和NAT转换能力。
在这里值得进一步说明的是,如果让内部计算机直接通过路由器访问外部网络,必须做NAT转换,当并发连接较大时,做NAT转换非常占资源,最好考虑有带NAT模块的路由器或专门的NAT设备。
2) 交换机
工作组交换机采用可网管交换机,实现对每台接入计算机的控制,实现VLAN(虚拟网)的划分,确保最大限度的网络访问安全。骨干交换机采用拥有千兆端口的可网管交换机实现与中心交换机的高速连接,避免可能产生的网络瓶颈。中心交换机采用三层交换机,实现VLAN间的线速转发,并借助访问列表控制计算机接入和网络服务,搭建高安全性和可用性网络。
3) 防火墙
防火墙有软件防火墙和硬件防火墙两种。软件防火墙是安装在计算机平台的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化。硬件防火墙的硬件和软件都单独进行设计,有专用网络芯片处理数据包。同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且对软硬件的特殊要求使硬件防火墙的实际带宽与理论值基本一致,有着高吞吐量、安全与速度兼顾的优点。
4) 服务器
服务器应该具备速度高、存储容量大、吞吐能力强、性能可靠、扩展性强、连网和管理功能强等特点。
WWW服务器:是网络运行的核心服务器,通常兼作域名服务器、FTP服务器。访问量大,根据企业规模大小,采用适合自己规模的服务器。一般对于800个信息点以下的企业,通常可采用支持多CPU的顶级PC服务器和低端专业服务器。
邮件服务器:可采用跟WWW服务器性能相当的服务器就行了。
OA 办公服务器或内部视频会议服务器:必须根据各种系统由软件提供商来定,包括服务器档次、操作系统种类等。
数据服务器:应根据数据量的多少、数据的重要程度和访问的频繁程度,可采用带Raid功能的双硬盘服务器或专门的数据存储设备。
5) 公网IP地址数
由于对外服务器要求有固定的公网IP地址,路由器也要求有固定的公网IP地址,以及NAT地址池也需要有固定的公网IP地址,因此,必须向ISP提供商申请一定数量的公网IP地址,对于小型网络来讲,8个勉强可以,对于中大型局域网来说,要求16个以上才能够用。
6 网站设计和运行维护中应注意的问题
1) 网站仅仅停留在发布企业形象和产品信息上
网站架设应从网络营销角度出发。换句话说,是否可以透过网络,在现有营销通路以外,提供一个企业与消费者之间直接接触与沟通的渠道,提供企业另一种销售模式机会。因此,传统产业要的网站,应该从营销主管角度优先思索。第二个角度就是从管理角度去思索,例如公司在全省拥有许多营业网点或分公司,各种网点之间的公文传递或资源分配是否可以透过网站,以提高经营绩效。
2) 在页面中应避免塞满图片、Java程序、Flash、音乐等
其实就目前上网速度来看,网页如果加上太多的FLASH或FLAME,或挂上太多图片,势必影响传输速度,这样对普遍缺乏信心的客户而言,很容易就因为不愿耐心等候下载完毕,而选择中途跳开。如此一来,再漂亮的网页也不会有人看!
一个干干净净、条理分明的网页比较容易阅读,客户可以在很短时间找到他要的信息,不必被太多视觉污染所干扰。所以企业的网页不需要太多美工,因为要看漂亮的图片,客户自然有合适网站可以上,不必浪费客户下载的时间与金钱。
如果你在经营自己的在线商务,你的网站最重要的任务就是销售你的产品或服务,其他任何脱离这个基本原则的东西都是垃圾。
3) 很长时间都不更新一次
如果一个网站的资料几个月不更新一次,请问谁会有兴趣上这个网站?当然资料更新与维护需要成本,因为我们不是在做一个入口网站或专业网站,也不需要每天更新;如果能做到每周更新或每两周更新,并在网站上注明更新时间或预告下次更新时间,将有助于告知客户何时可以上网来取得最新资讯。另外所谓活网站的“活”,系指需具备与客户互动机制,例如邮件列表系统、留言板或客服系统等。同时对于客户所提意见的处理,也需及时,不能让客户对网站失去信心!
4) 人家有什么我也要有的观念
网站不只是做来好看的,也绝对不是什么内容都要有的!关键在于你希望网站能提供哪些实用的功能?只要做出来的网站能够满足公司的需要,能帮企业缩短作业流程的时间或提高工作效率,能带来更大的利润,这就是一个有用的网站。最好的网站要有自己的特色,要适合网站的用户群。
参考文献
[1]林闯编着.《计算机网络和计算机系统的性能评价》.清华大学出版社
龚兵编着. 《计算机维护及维修》.北京:北京航天航空大学出版社
陈鑫林编着.《现代通信中的排队论》.电子工业出版社
李大友 王同胜 冯绕凯编着.《网络与通信》.北京:机械工业出版社
胡道远主编.《计算机网络工程指南》.北京:电子工业出版社