我国企业网络架构设计主要是为了实现将不同位置的计算机网络进行互通,这也是企业实现网络构架的基本要求。随着我国企业数据业务的不断发展和改进,企业网络构架的设计要求也变得更高,因而需要从简单的网络构架中设计出服务性更强的网络构架,并且不断向应用型网络构架转变。因此,企业网络构架的设计者在进行网络构架设计时应该充分考虑企业的各种业务需求,以保证企业的网络构架能够满足其长远的发展,从而为企业提供更加方便的管理平台,这也是企业网络构架及安全部署设计的基本思想和原则。
2.2企业网络架构的实现
当网络构架的基本设计完成后,就应该对设计的模型进行部署和实现,从而使得企业能够更加实际地了解企业的网络构架。
企业网络构架实现的过程一般包括以下几个方面:1)规划企业的IP地址空间范围;2)部署和实现企业核心层的网络构架;3)在核心网络构架的基础上对下层的网络构架进行设计。当然,企业的网络构架的设计一般应该遵循规范性、标准性、连续性和灵活性等原则。
3企业网络构架的故障分析及解决方案
3.1网络冗余双机部署中的故障
现在,网络设备双机部署过程中,由于路由的配置等技术相对比较成熟,一般不会出现故障和问题。但是,其企业网络构架中防火墙的双机构架的设计和部署时,会出现很多疑难问题。目前,解决这些疑难问题的方法主要包括以下两种:1)移除防火墙之间的交叉冗余链路,同时更改两台防火墙上相同路由开销值,这样可以保证在主防火墙出现故障后,其他防火墙可以安全使用。这种方案可以解决故障,但也存在一定的弊病,主要是指数据负载在主设备上,备用设备一般是出于闲置状态,只有出现故障时才切换到备用设备机;2)采取措施将主防火墙的全部会话列表与备用设备同步,从而使备用设备保持与主设备的防火墙会话列表一致。即使出现数据访问不一致的情况,主设备也不会导致数据发生故障,从而造成多个设备处于故障状态。当然,防火墙会话同步的设计现在已经成为基于会话状态防火墙的解决网络冗余双机部署中故障重要手段和措施。
3.2网络QOS保障
QOS保障是企业在进行网络构架及安全部署的设计与实现的过程中,对特殊数据进行带宽处理,以实现优先保证的一种有效途径。但是,语音和视频在网络传输的过程中对带宽的延时和抖动的要求比较高,因而需要考虑企业网络分子结构广域网带宽的影响,然后根据流量分析,在带宽能够满足一定要求的情况下,保证视频和语音数据的传输更加顺畅。当然,企业网络架构及安全部署的设计和实现过程中,分支网络构架中的语音和视频数据需要经过各自的核心路由,这样的企业网络构架需要保障企业的语音和视频在网络分子上得到一定的保证。然而,在实际的网络构架部署过程中,由于企业的业务不断增加和网络分支的不断扩展,广域网的数据量也增大,因此,采用QOS来对数据进行保障显得至关重要。
3.3网络访问安全控制
一、企业网络安全防护信息管理系统的构建意义
据调查统计显示,源于企业外部网络入侵和攻击仅占企业网络安全问题的5%左右,网络安全问题大部分发生在企业内部网络,内部网络也是网络安全防护的关键部分。因此,对企业内部网络信息资源的有效保护极为重要。传统的网络安全防护系统多数都是防止外部网络对内部网络进行入侵和攻击,这种方式只是将企业内部网络当作一个局域网进行安全防护,认为只要能够有效控制进入内部网络的入口,就可以保证整个网络系统的安全,但是,这种网络安全防护方案不能够很好地解决企业内部网络发生的恶意攻击行为,只有不断加强对企业内部网络的安全控制,规范每个用户的行为操作,并对网络操作行为进行实时监控,才能够真正解决企业内部网络信息资源安全防护问题。
二、企业网络安全防护信息管理系统总体设计
(一)内网安全防护模型设计。根据企业内部网络安全防护的实际需求,本文提出企业网络安全防护信息管理系统的安全防护模型,能够对企业内部网络的存在的安全隐患问题进行全面防护。
由图1可知,企业网络安全防护信息管理系统的安全防护模型从五个方面对企业内部网络的信息资源进行全方位、立体式防护,组成了多层次、多结构的企业内部网络安全防护体系,对企业内部网络终端数据信息的窃取、攻击等行为进行安全防范,从而保障了企业内部网络信息资源的整体安全。
(三)系统部署设计。本文提出的企业网络安全防护信息管理系统设计方案采用基于C/S模式的三层体系架构,由安全防护、安全防护管理控制台、安全防护服务器三部分共同构成,实时对企业内部网络进行安全防护,保障内部网络信息资源不会泄露。安全防护将企业内部网络计算机终端状态、动作信息等传递给安全防护服务器,安全防护管理控制台发出指令,由安全防护服务器将指令传送给安全防护完成执行。
三、企业网络安全防护信息管理系统详细设计
(一)安全管理控制台设计。安全管理控制台是为企业网络安全防护信息管理系统的管理员提供服务的平台,能够提供一个界面友好、操作方便的人机交互界面。还可以将安全策略管理、安全日志查询等操作转换为执行命令,再传递给安全防护服务器,通过启动安全防护对企业内部网络计算机终端进行有效控制,制定完善的安全管理策略,完成对系统的日常安全管理工作。
(二)安全防护服务器设计。安全防护服务器主要负责企业网络安全防护信息管理系统数据信息都交互传递,作为一个信息中转中心,安全防护服务器还承担命令传递、数据处理等功能,其日常运行的稳定性和高效性直接影响到整个系统的运行情况。因此,安全防护服务器的设计不但要实现基本功能,还应该注重提高系统的可用性。
综上所述,本文对企业内部网络信息安全问题进行了深入研究,构建了企业内部网络安全防护模型,提出了企业网络安全防护信息管理系统设计方案,从多方面、多层次对企业内部网络信息资源的安全进行全面防护,有效解决了企业内部网络日常运行中容易出现的内部信息泄露、内部人员攻击等问题。
doi:10.3969/j.issn.1673-0194.2016.12.037
0引言
1硬件设备的冗余技术
硬件设备冗余分为关键设备和管理板卡冗余备份,关键设备有服务器、网络设备及电源等重要设备,这些都采用一用两备甚至三备的配置或双机冗余。正常工作时,几台相同型号的关键设备同时工作,互为备用。一旦遇到停电或者机器故障,自动转到正常设备上继续运行,确保系统稳定可靠,避免造成业务中断;而管理板卡冗余也就是网络设备在运行过程中,如果主管理板出现故障不能正常运行,网络设备将自动转换到从管理板工作,从而保证网络能够正常运行,同时不丢失相应的配置数据,实现冗余功能。
2协议冗余技术
2.1MSTP协议技术
2.2VRRP协议技术
利用MSTP可以实现链路冗余和不同VLAN在多条链路Trunk上的流量负载均衡分担,但网络中还存在单点失效隐患,那就是每个VLAN只有一台默认网关,一旦网关发生故障,用户就无法访问其他网络。为解决这一问题,在网关级可以利用VRRP协议,虚拟路由器冗余协议(VirtualRouterRedundancyProtlcol,VRRP)是一种容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。
3企业网络的冗余设计及实现方法
3.1任务需求与分析
图1是A企业网的一个典型部分,可表示整个企业中的某个子网或企业的部门网络。由于该公司的业务不断增多,业务操作对网络的依赖性也相对较大,如果采用单核的网络架构,核心设备一旦瘫痪,将对公司的业务造成极大的影响。因此,为增加网络的健壮性和可靠性,可以采用双核心架构,配置协议冗余策,充分考虑设备、链路和网关级的备份技术,扎实保证A公司网络高效稳定运行。具体拓扑图说明如下。
图1A公司的网络冗余拓扑
(1)根据A公司的需求,首先选择了SW1和SW2两台三层交换机作为核心层设备,采用VRRP技术使两台交换机相互备份,避免因设备及故障而造成的网络中断,从而提高网络的可靠性和稳定性。SW3是网络中的接入层设备,主要为各个VLAN用户提供服务,销售部为VLAN2,财务部为VLAN3,市场部为VLAN4,技术部为VLAN5。
(2)SW1、SW2和SW3设备互联后,为避免链路环路,实现冗余链路的负载均衡,选用MSTP+VRRP技术实现A公司网络的链路级备份和网关级冗余。
(3)在交换机SW1、SW2、SW3上配置MSTP消除二层环路,SW1与SW2配置VRRP实现主机网关冗余。正常情况下,在二层设备接入的销售部VLAN2与财务部VLAN3数据流经过三层交换机SW1向路由器转发;市场部VLAN4与技术部VLAN5数据流经过三层交换机SW2向路由器转发,当SW1的链路发生故障时,VLAN2和VLAN3主机的数据流切换到SW2向路由器转发,故障恢复之后,主机的数据流又能够切换回去,同样当SW2链路发生故障时,VLAN4与VLAN5数据也能切换到SW1转发。
(4)SW1、SW2、SW3交换机上设置2个实例对应关系,VLAN2、VLAN3对应实例2,VLAN4、VLAN5对应实例3。
3.2任务实施
(1)SW1主要配置如下:
创建VLAN:VLAN2、VLAN3、VLAN4、VLAN5
配置MSTP
SW1(config)#spanning-treemodemstp//开启MSTP生成树协议
SW1(config)#spanning-treemstconfiguration//进入VLAN绑定
SW1(config-mst)#instance2vlan2,3//配置实例2对应VLAN2、3,mstp域其他两个参数,域名和域修正号采用默认值
SW1(config-mst)#instance3vlan4,5//配置实例3对应VLAN4、5
配置vrrp
SW1(config)#spanning-treemst2priority0//设置捆绑1的优先级
SW1(config)#spanning-treemst3priority8196
SW1(config)#interfacevlan2
SW1(config-if)#ipaddress192.168.2.1255.255.255.0
SW1(config-if)#vrrp10ip192.168.2.254//配置组10的虚拟网关IP地址
SW1(config-if)#vrrp10priority//配置该接口优先级为254,确定该设备的接口为master
SW1(config)#interfacevlan3
SW1(config-if)#ipaddress192.168.3.1255.255.255.0
SW1(config-if)#vrrp10ip192.168.3.254//配置组10的虚拟网关IP地址
SW1(config-if)#vrrp10priority254//配置该接口优先级为254,确定该设备的接口为master
SW1(config)#interfacevlan4
SW1(config-if)#ipaddress192.168.4.1255.255.255.0
SW1(config-if)#vrrp20ip192.168.4.254//配置组20的虚拟网关IP地址,没有配置该接口优先级,采用默认值为100,确定该设备为backup
SW1(config)#interfacevlan5
SW1(config-if)#ipaddress192.168.5.1255.255.255.0
SW1(config-if)#vrrp20ip192.168.5.254//配置组20的虚拟网关IP地址,没有配置该接口优先级,采用默认值为100,确定该设备为backup。
(2)SW2主要配置与SW1的配置思路基本一致,MSTP和VRRP配置类似,不再叙述。
(3)SW3主要配置
①创建VLAN并把相应的端口划分到相应的VLAN;②配置MSTP:与SW1配置类似,简要配置如下。
SW3(config-mst)#instance2vlan2,3//配置实例2对应VLAN2、3,MSTP域其他两个参数,域名和域修正号采用默认值
SW3(config-mst)#instance2vlan4,5//配置实例2对应VLAN4、5
5结语
随着各个企业规模的不断增大,对网络的可靠性和安全性要求越来越高,基于MSTP+VRRP的双核心技术也在各行各业的网络中应用极为广泛。该双核技术能够实现网络扩容以及网络的硬件设备冗余和协议冗余及流量分担,解决冗余和负载均衡的问题,从而提高了整个网络可用性和稳定性。
主要参考文献
[1]邓泽国,孙绍志,杨显青.企业网搭建及应用宝典[M].北京:电子工业出版社,2012.
[2]张裕生,陈建军.企业网络搭建及应用[M].北京:高等教育出版社,2010.
1企业内部网络的安全现状
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3信息分散
由于部分企业内部网络的数据存储分布在不同的计算机终端中,没有将这些信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于数据往往不加密就在内部网络中随意传输,这就给窃取信息的人员制造了大量的攻击机会。
3企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
随着企业网络不断的扩展和互联网技术的不断更新,各大中企业越来越多的通过网络来发展业务。由于大中企业的发展规模不断扩大,员工人数的不断增加,并且扩展了越来越多的分公司。现有的企业网络系统逐渐不能满足企业信息化建设在安全性和可靠性等方面的要求。因此,对大中型企业网络进行改善,以提高网络的可用性、安全性、可靠性、稳定性,并具有一定的可扩展性要求,用来满足企业业务发展的需求是十分必要的。通过按照企业网络的建设规划和总体要求,主要通过利用原有综合布线系统和设备的基础上,重新规划实施,建设安全性高的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。
1企业网安全建设需求分析
①网络部分的总体设计需求。企业网络大都是通过路由器设备连接成一个统一的企业内联网,满足公司对网络统一管理的要求。本方案计划使用OSPF开放最短路径优先协议和BGP协议分别作为内部和外部路由协议。选用OSPF的好处在于OSPF作为链路状态协议已成为业界标准,并且具有行业内的各大厂商的支持基础,该协议的优点还具有路由信息传输的可控性,还能充分保证链路的负载均衡。在总体需求中,企业网络在结构上主要按网络层次进行分层设计,主要分为三层,分别为核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到汇聚层交换机,这个既保证了企业网络的安全性和可靠性,同时又实现了企业虚拟局域网的统一配置管理和企业网络环路避免。
②系统部分的总体设计需求。通过对企业网络的服务器及客户机进行安全方面的设计,以提高网络的安全性,而且公司的服务器等可以在总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。
③安全部分的总体设计需求。根据企业网的运行规律和安全现状,在企业网络中应用热备份路由协议对交换及路由设备进行备份。即保证了企业网的信息处理和传输系统安全,它侧重于保证企业网络系统正常运行,有效避免了企业网络系统的崩溃对企业信息的处理和资源共享造成大的故障。同时在企业网络的系统信息安全方面还通过域环境管理企业的资源访问,通过设置用户安全问题跟踪,计算机病毒防治,数据加密等避免有害的信息传播后造成的后果。同时为了避免企业网络上大量的机密信息失控,设计时,需要在企业网络的出口处设计防火墙技术,从而使出入企业网络的数据流量都必须经过防火墙的过滤,通过利用防火墙技术对企业网络数据包进行安全过滤,并实现安全访问控制。
④整体规划指导思想。企业网络建设将采用思科公司的网络设备和先进的计算机及软件,以及先进的管理模式,实现一个高效的企业网络的办公网络体系。企业网络的各类服务器以及各种操作系统和应用软件必须考虑技术上的先进性和通用性,并且要有良好的售后技术,而且需要方便维护和升级。
⑤方案实施主要依据原则。方案设计实施依照国家及行业有关标准完成。企业网络安全设计应满足企业未来发展的要求,具有充分的可扩展的能力,随着公司规模的扩大,本设计方案仍然能够满足公司运营的需求或变更和升级。而且项目设计应遵循实用的原则,并且提供良好的培训及售后服务。
2安全方案设计
企业网络安全方案设计阶段主要分为以下几个部分,分别是交换机部分的设计,路由器部分设计,服务器部分设计,广域网部分设计和网络安全性部分设计。
①交换部分的设计。当企业网络的规模扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上VLAN的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担,同时提高了安全性。
②MSTP多生成树的设计。企业网络的拥塞问题也会造成网络的效率大大的降低,通过多生成树协议可以避免网络广播的形成,多生成树协议的原理是把网络拓扑的环形结构变成树型结构,最主要的应用是为了避免企业网络中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示:
SW3-1(config)#spanning-treevlan10rootpriority
③以太网通道的设计。以太网通道通过捆绑多条以太链路来提高链路带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路,主要配置命令如下:
channel-group1modeon
④热备份路由协议设计。企业网络的多台汇聚层交换机或路由器上启用热备份路由协议HSRP,其设计目标是支持特定情况下,当某一设备出现故障时,企业网络数据流量可以从故障设备切换到正常的设备上,并允许设备作为企业网络的网关,可以实现当实际第一条路由尝试失败的状态下,仍能保持整个企业网络的连通,主要命令如下:
SW3-1(config-if)#standby10IPIP-address
SW3-1(config-if)#standby10priority120
⑤VPN专线技术设计。虚拟专用网在有总部和分公司的企业是十分有效的安全解决方案,VPN主要是通过一个公用网络建立一个安全隧道连接,它能够实现在公用网络中产生一条安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,通过虚拟专用网可以实现在企业外部的用户、分支机构、商业伙伴及供应商安全有效的与公司内部网建立可靠的安全访问连接,同时保证了数据的安全传输。
⑥网络防火墙安全性设计。防火墙位于企业网络的总公司与外网之间。企业的所有计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙作为阻塞点、控制点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,网络环境变得更安全。所以,在企业网络方案中选择的防火墙是CISCOASA5520-BUN-K9,能更保证我们组建的网络更安全更可靠。
3结语
通过设计网络安全方案可以实现大中型企业网络的高效、安全和可靠性的正常运转,在基于思科公司的网络设备的基础上,利用各种交换技术和路由技术等构建适合大中型企业网络的安全解决方案设计,为企业网络的安全高效的运行提供良好的条件,当然随着网络技术的不断更新,还需要不断进行企业网络安全方面的设计。
一、企业网络安全风险状况概述
企业网络是在企业范围内,在一定的思想和理论指导下,为企业提供资源共享、信息交流和协同工作的计算机网络。随着我国各地企业网数量的迅速增加,如何实现企业网之间资源共享、信息交流和协同工作以及保证企业网络安全的要求是越来越强烈。与其它网络一样,企业网也同样面临着各种各样的网络安全问题。但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在”重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网络在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓,并且逐渐引起了各方面的重视。
由于Internet上存在各种各样不可预知的风险,网络入侵者可以通过多种方式攻击内部网络。此外,由于企业网用户网络安全尚欠缺,很少考虑实际存在的风险和低效率,很少学习防范病毒、漏洞修复、密码管理、信息保密的必备知识以及防止人为破坏系统和篡改敏感数据的有关技术。
因此,在设计时有必要将公开服务器和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对网络通讯进行有效的过滤,使必要的服务请求到达主机,对不必要的访问请求加以拒绝。
二、企业网络安全体系结构的设计与构建
网络安全系统的构建实际上是入侵者与反入侵者之间的持久的对抗过程。网络安全体系不是一劳永逸地能够防范任何攻击的完美系统。人们力图建立的是一个网络安全的动态防护体系,是动态加静态的防御,是被动加主动的防御甚至抗击,是管理加技术的完整安全观念。但企业网络安全问题不是在网络中加一个防火墙就能解决的问题,需要有一个科学、系统、全面的网络安全结构体系。
(一)企业网络安全系统设计目标
(二)企业网防火墙的部署
1.安全策略。所有的数据包都必须经过防火墙;只有被允许的数据包才能通过防火墙;防火墙本身要有预防入侵的功能;默认禁止所有的服务,除非是必须的服务才被允许。
2.系统设计。在互联网与企业网内网之间部署了一台硬件防火墙,在内外网之间建立一道安全屏障。其中WEB、E一mail、FTP等服务器放置在防火墙的DMZ区(即“非军事区”,是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信以保证内网安全),与内网和外网间进行隔离,内网口连接企业网,外网口通过电信网络与互联网连接。
3.入侵检测系统的设计和部署。入侵检测系统主要检测对网络系统各主要运营环节的实时入侵,在企业网网络与互联网之间设置瑞星RIDS一100入侵检测系统,与防火墙并行的接入网络中,监测来自互联网、企业网内部的攻击行为。发现入侵行为时,及时通知防火墙阻断攻击源。
4.企业网络安全体系实施阶段。第一阶段:基本安全需求。第一阶段的目标是利用已有的技术,首先满足企业网最迫切的安全需求,所涉及到的安全内容有:
①满足设备物理安全
②VLAN与IP地址的规划与实施
④内外网隔离与访问控制
⑤内网自身病毒防护
⑥系统自身安全
第二阶段:较高的安全需求。这一阶段的目标是在完成第一阶段安全需求的前提下,全面实现整个企业网络的安全需求。所涉及的安全内容有:
①入侵检测与保护
②身份认证与安全审计
③流量控制
④内外网病毒防护与控制
⑤动态调整安全策略
在上述分析、比较基础上,我们利用现有的各种网络安全技术,结合企业网的特点,依据设计、构建的企业网络安全体系,成功构建了如图4-1的企业网络安全解决方案,对本研究设计、构建的企业网络安全体系的实践应用具有重要的指导意义。
1.1定位不清晰、不准确
对于企业而言,网络营销的基本职能表现在八个方面:网络品牌、网站推广、信息、销售促进、网上销售、顾客服务、顾客关系、网上调研。大多数企业不可能实现全部的八项基本职能,因此对于不同的企业,由于其产品类型不同、企业面向的目标消费群体不同、企业对互联网的应用程度不同等因素,在实现网络营销的八项基本职能方面其侧重点也一定会有所不同。但是大多数中小企业在开展网络营销时简单地把网络营销理解为网上销售,甚至许多中小企业认为建一个企业网站,放上企业简介和简单的产品介绍就是开展网络营销。而且许多企业在开展网络营销时没有进行品牌定位,没有形成自己的网络品牌形象、缺乏品牌识别度,造成企业网站千企一面,企业博客或微博没有形成自己的写作风格。
1.2缺乏专业性
1.3缺乏整合性
1.4缺乏持续性
1.5缺乏创新与创意
2、中小企业网络营销策略
2.1从战略的高度确立网络营销在企业营销中的地位,准确定位企业网络品牌形象
2.2重视专业人才的引进与培养,提升网络营销的专业性
2.3整合网络营销,优化企业网络营销资源的利用
2.4注重创新与创意
网络营销创新不仅仅只是简单地将传统营销方式网络化,而是要利用网络技术进行网络营销方式、形式、内容的创意,实现企业营销活动与消费者双向的有效沟通,建立起有别于传统的新型的主动性关系,提升营销工作的准确性与效率。要实现这样的创新与创意,企业必须在互联网、大数据、云计算等科技不断发展的背景下,对市场、用户、产品、企业价值链乃至整个商业生态进行重新审视和思考。首先,企业必须牢牢树立“以用户为中心”的思想,必须从整个价值链的各个环节建立起“以用户为中心”的企业文化。其次,企业应该抓住以草根为主体的市场,充分利用草根文化进行网络营销创意;第三,增强用户参与感,让用户参与品牌传播和产品的设计,通过用户实现网络营销创意;第四,注重用户体验,从细节上让用户感知企业的用心,实现产品设计与产品体验的创意;第五,利用现有互联网技术和平台开展全网营销,实现网络营销技术应用的创意。
2.5建立行之有效的网络营销效果评价体系,重视网络营销效果
在网络营销活动中,对网络营销效果进行评价是一项必不可少的工作。企业对网络营销效果的评价包括对各种网络营销方法的效果评价,企业网络营销各阶段的评价,企业网络营销整体效果的评价。企业通过量化和非量化的方法对网络营销效果进行评价,可以对网络营销方法的有效性进行评估,选择最优的网络营销方法的组合,将有限的资金投入到最能产出效益的地方;对企业某一阶段的网络营销效果的评估,为企业制定下一阶段的网络营销策略提供依据;对企业网络营销整体效果进行评价,把握网络营销在企业整体营销战略中的地位,站在企业整体营销战略的高度对网络营销策略进行调整。
1构建稳定可靠的企业网的目的和意义
现代企业,无论规模大小,建设不同要求的企业网对大多数企业而言是必须的。即便是一个最小规模的工作室,最简单的局域网都能给用户带来资源共享(文件共享)的便利和费用的节省(比如共享上网)。
随着企业规模的扩大,企业网是各信息应用系统正常运行的基础,企业网带给用户的就不仅仅只有资源共享及节约费用了,而是能和运行在其上的信息应用系统共同带给用户新的生产力。运行在企业网之上的信息应用系统涉及企业管理、生产的各个方面,能极大提高企业效率。因此,企业网的建设已是规模企业的必然选择;同时,企业网的稳定可靠也成为企业网建设中最重要的追求。
本文后面阐述的思想及技术实现适用于1000人左右的企业用于构建稳定可靠的企业网。本文对网络建设中的常规思路及通用做法着墨不多,以介绍经验为主;重点介绍冗余技术的设计与实现。如果读者的业对网络的要求较低或从降低成本考虑,可适当降低冗余配置程度,比如核心与各汇聚局域网以单链路连接、单因特网宽带接入等,但这样做的后果就是可靠性大大降低。本文的思路与技术实现已经在实例网络中得到体现。
2构建稳定可靠企业网的几个要点
2.1稳定可靠的网络结构
确立网络结构时,除了要考虑可扩展性、可管理性等方面外,更应看重稳定性、可靠性方面的设计。
首先确定网络拓扑结构。各种拓扑结构各有优缺点也各有针对性,如果没有特殊需求,一般建议选择星型拓扑结构,因为这种拓扑结构有结构简单、容易实现、便于管理及故障点容易检测和排除。此结构是目前构建中小型企业网的主流结构。但是星型结构在可靠性方面有个大缺陷,就是中心节点的故障会导致网络瘫痪。对此缺陷,必须采取必要措施加以弥补,这个措施就是中心节点的冗余配置。企业网的中心节点一般是核心交换机。中心节点的冗余配置不是指设置2个中心,而是指加强作为中心节点的核心交换机的配置,使得中心节点非常可靠,不容易失败。
接着,确定网络的层次结构。清晰合理的层次结构也有利于网络的稳定可靠。网络具有层次结构,既有利于后期的管理,也有利于故障的隔离。在实例中,把网络划分成了三个层次:核心层、汇聚层、接入层。接入层直接为终端提供接入;汇聚层终结VLAN;核心层以转发各局域网网间流量为主。
然后,确定同城不同区域局域网的互联方法。这部分可根据企业应用系统的要求,同时根据成本花销情况(毕竟租用电信运行商线路是很昂贵的),选择适合自己企业的互联方法。可以租用数据专线,也可通过因特网以VPN的方式互联。本例中,采取的是数据专线做互联主链路,VPN做备用链路。
图1就是按照上述思路强化了结构的网络实例拓扑图。针对星型结构的缺陷,中心节点由2台核心交换机组成。核心交换机与各局域网都以双链路连接,因特网宽带也采取双链路接入。
图1结构加强过的实例网络拓扑图
2.2IP规划及路由策略
IP规划及路由策略问题往往容易被中小型企业网设计者轻视,但等网络建成了,才会发现由于前期缺少策划导致后面的工作很繁琐。
由于中型企业内部网段比较多,如果仍然像在小型企业网那样在私有网段内随意指定IP地址段,往往会导致后期的路由指向困难及其它问题。
而路由策略不仅要考虑是否要启用动态路由,还要考虑采用路由聚合,及支持策略路由功能等。启用动态路由的理由是应对可能的IP网段太多;采用路由聚合的理由是简化路由指向;策略路由能解决一些基于源地址的路由指向。
规划IP时,适当考虑可变长度子网掩码(VLSM)技术,便于灵活调整子网的个数及主机的数量,以满足网络划分的不同数量要求。也要考虑路由聚合,把便于路由聚合的IP地址段分配给同一局域网内。
在核心层启用互联网段,用于各汇聚层网络的互联互通。
2.3远程接入及访问因特网部分的设计
这部分通常的网络方案设计中,设计人员喜欢既配置了路由器又配置防火墙。其实,如果路由要求不高的情况下,可以只选配防火墙。
本网络实例中,防火墙不但承担了对因特网的访问任务,还承担了外埠分支机构的VPN接入任务。考虑到现代企业对因特网访问的依赖程度提高了,实例网络安排了双防火墙双因特网接入。
而针对外埠分支机构的专线接入,可直接接入核心交换机,也无需路由器。
这样做的好处是结构简单,在功能上也没什么缺失。结构简单的好处是低故障率,出了故障也容易排查。
2.4网络管理
网络管理其实是开始于设计阶段的,设计网络结构时要考虑后面的运行管理,比如分层的网络结构让VLAN终结在汇聚交换机。IP在规划时考虑到路由的聚合,会给后期的路由指向带来方便。
谈网络管理,必然要涉及网管软件。网管软件不是网络管理的必需,但随着网络规模的扩大,它的作用就越大,也越重要。对于规模不大的中小型企业网络,尽量在设计阶段就考虑到管理因素而又针对性地设计,以求网络开始运行后,在没有采用任何网管软件前能够手工地较快速地定位故障点,进而排除故障。
之所以有这样的考虑,是因为选择一种适合本企业网络的网管软件并不是一件简单的事情。选择网管软件首先要清楚,自己要管理什么,是性能管理?故障管理?配置管理?安全管理?计费管理?或者全部,或者部分。其次,在技术上要清楚,网管软件大体分三个层次,即网元治理、网络层治理和业务治理,而本企业需要什么样的治理?基于以上原因,网管软件更适合在网络系统建立并运行后,在需求分析的基础上选择平台级的网管软件。开始阶段可选择由设备厂商提供的网元治理类的网管软件,比如CISCOWorks。
3热备功能的实现及其它功能的说明
3.1HSRP实现双机热备
HSRP原理,首先由多台路由器组成备份组,此备份组可看成是一台虚拟的路由器,有独立的虚拟IP,网内主机以这台虚拟路由器为网关。在备份组内有一台路由器是活动路由器,由它来完成虚拟路由器的工作,当此台活动路由器出故障时,组内的另一台路由器会接替活动路由器,来完成虚拟路由器的转发工作。而这些,对网内主机是透明的,它们只能看到虚拟路由器。CISCO大部分3层交换机都支持HSRP。
以某VLAN为例给出设置要点。
1、在核心交换机A上
InterfaceVLAN7
ipaddress192.168.7.253255.255.255.0
standby7192.168.7.254/*虚拟路由器的IP
standby7priority110/*设置优先级
standby7preempt/*设置抢占模式
2、在核心交换机B上
ipaddress192.168.7.252255.255.255.0
standby7192.168.7.254
standby7preempt
3、在网内电脑上
把网关设置为192.168.7.254
3.2SLA实现双链路自动切换
SLA(ServiceLevelAgreement)服务品质保障协议,可用于网络侦测,通过发送指定协议的报文来侦测链路的情况,根据链路情况选择路由。
如果第二链路是另一家电信运营商的租用线路,实现此功能相对简单。如果考虑降低成本,一线多用,可用宽带线路通过IPSECVPN来搭建第二链路,这就多了IPSECVPN的设置工作。
由于IPSECVPN的实现因网关设备的不同而不同,本文就省略这部分设置的说明,只说明下交换机端的设置要点。实现原理:路由器(或三层交换机)通过(ICMP)PING远端路由器(或三层交换机)来验证第一链路的状态,如果第一链路失败,则激活第二链路,实现故障切换。使用对象跟踪功能(objecttrack)保证静态路由的可靠备份。
ipsla1
icmp-echo192.168.1.6/*ping远端交换机第一链路接口
timeout1000
threshold2
frequency3
ipslaschedule1lifeforeverstart-timenow
……
track1ipsla1reachability/*跟踪ipsla1,如果没有返回ping包,则track状态为down
iproute192.168.176.0255.255.240192.168.1.6track1/*只有track状态为up时,此静态路由建立。如果track为down,则下面这条路有开始转发数据。
iproute192.168.176.0255.255.240.0192.168.1.210
注:远端网络由若干C类网段组成,所以掩码是255.255.240.0,这里采用了路由聚合。要采用路由聚合,必须先有网络地址规划,即便是私有地址,也不可以随意指定。
3.3其它功能
其它几个基本功能,有些是必须要采用的功能,比如VLAN、DHCP、访问控制列表等,能满足基本的网络管理要求;有些则是高级功能,如策略路由、QoS、动态路由等,能满足一些高级的网络管理要求,或者能提供管理的方便性。
对于VLAN、DHCP、访问控制列表的使用,是企业网络管理中最基本的要求,网络管理员都应熟练掌握,本文不再赘述。而那些高级功能,则在网络运转起来后,根据需求决定是否采用。我在此提醒一下,有些功能需要交换机OS(操作系统)的升级。比如策略路由,一般三层交换机预装的OS都不支持,如果本企业确实需要这样的功能,可以通过升级OS来得到。
4结束语
一、引言
二、企业网络模块化构成
随着企业的不断壮大,企业网络发展要求也日益提高,因此本文在设计网络安全体系结构时,采用了模块化的方式。即将企业的网络划分成不同的功能模块,在整体网络安全设计时实现网络各功能块之间的安全关系,同时,也可以让设计者逐个模块的实施安全措施,而并不需要在一个阶段就完成整个安全体系结构。
我们把企业网络分为企业园区网和企业边界网络两个大的部分。其中,企业边界网络是企业内部网络与电信服务提供商之间的过渡。对每个功能区中的模块进行了细化,这些模块在网络中扮演特定角色,都有特定的安全需求,但图中的模块规模并不代表其在实际网络中的大小。例如,代表最终用户设备的接入层网络可能包括80%的网络设备。虽然大多数已有企业网络都不能轻而易举的划分为明确的模块,但此方式可以指导我们在网络中实施不同安全功能。各个企业的网络都可以对照此结构找到共性。在企业的实际网络中,可能有些模块不存在,或者两个模块相合并了,也可以根据后面的安全设计方式结合实际,找到安全解决方案。
三、网络安全管理模块的设计
当然,完全的带外管理并非总是可行的,可能因为部分设备不支持,或者有地理差别,需带内管理。当需要带内管理时,注意的重点更应放在保护管理协议的传输上。这可通过IPSec、SSH、SSL或其他加密认证的方式实现。当管理恰巧即是设备用于用户数据的接口时,应多注意口令、公共字串、加密密钥和控制到管理服务器的通信的访问列表。
四、统一管理平台的系统架构设计
由于目前企业网络中各种厂商的网络设备越来越多,仅仅利用个别设备厂商的网络管理软件(如Ciscoworks2000等)很难完全达到上述的种种要求,因此在网络设计时要么都采用同一厂商的设备(包括网络设备和安全设备),要么利用第三方厂商开发的网络管理软件,通过各种客户化和集成工作,将不同厂商的设备更好的管理起来,作为搭建网络安全管理平台的主要工具。
伴随着IT技术的向前飞跃式的发展,信息技术为各行各业带来了便利和效益。企业掌握了信息,特别是掌握了大量有价值的信息,就可能在激烈的市场竞争中取的优势,就能取得制胜的机会。应用计算机信息技术,正在为企业的营销、管理、决策等环节服务。信息化程度已经成为衡量一个企业的标准,业已成为企业核心竞争力的组成要素。
企业信息化,已经影响着越来越多的企业。如今越来越多的企业对信息化建设的认识不再是表面的和肤浅的,而是伴随着信息化进程的不断深入,使这种认识变得更加全面的和深刻。应用计算机信息技术,正在为企业的业务流程数字化、决策支持、快速响应等环节服务。信息化水平已经成为衡量一个企业的标准,业已成为企业核心竞争力的组成要素。
而企业从事网络营销则是较为常见的一种方式。所谓网络营销就是借助于互联网信息技术作为基础,以企业的整体营销战略的实现作为目标,采用互动的方式来辅助实现企业营销目标的一种商务模式。网络营销起源于国外,经过20多年的发展,国内已经逐步发展起了较为成熟的网络营销市场,国内各种类型企业纷纷看到了以网络营销来拓展网络这块潜力巨大的市场。
进行企业网络营销活动,目前常见的方式就是架设企业网络营销站点。
二、架设企业网络营销站点的目的
企业网络营销站点的建立,为公司的业务流程运行效率带来了一定的提升作用。通常企业对外信息都是通过传统渠道或者第三方网上平台,这样使得信息传递的效率和效果大打折扣,也增加了企业运作的成本。因此基于信息快速传递的要求,架设一个企业网络营销站点,可以为企业进行新闻、产品展示、人才招聘等提供更好的传播渠道,同时也减少了信息传递的不对称性,提高了企业运营的效率,减轻了企业的成本支出。所以在Internet上建立公司的网络营销站点在信息化时代的进化过程中,抢占网络商机,提升公司形象,加强客户服务,是公司经营的致胜之道。
三、企业架设网络营销站点的现状
目前国外企业在信息化方面比国内公司的步伐要快,力度要大,特别是企业网络营销站点建设已经成为一种惯例,通过企业网络营销站点可以实现对企业内容业务系统的有效整合,可以提高企业的运作效率,便于用户了解企业,提升企业的知名度等作用。而反观国内企业,对于信息化的理解不够透彻,以为信息化就是有几台电脑,能够接入互联网等等肤浅的认识,导致企业信息化水平不高,比如重点体现之一就是企业网络营销站点的架设,从设计上来说,专业化程度不够高;从服务来看,网络营销站点不能很好地体现出对用户的在线服务功能;诸如此类。但是,随着企业知识管理的普及和深入,企业网络营销站点必将成为企业信息化建设的必然趋势。
四、企业营销站点架设的意义
第三,企业网络营销站点的架设,可以实现企业和用户之间的实时、双向互动,有利于化解单向沟通的信息传递障碍,提高企业和客户的沟通效果,例如通过企业网络营销站点的在线客服系统,就可以实现即时通讯,及时了解用户的潜在需求或者意向,增加企业与用户成交的几率。另外,通过企业网络营销站点的在线调查系统,企业可以很方便的收集用户的意见和建议,以便于更好地服务用户。
第四,通过架设企业网络营销站点,可以实现企业在产品或者服务的宣传推广方面的低成本投入,减少信息传递的不对称性,有助于加强企业的品牌建设和提升企业的知名度,从而降低企业的运作成本,最终使企业在激烈的市场竞争中占据优势地位。例如美国苹果公司、微软公司,中国的联想、小米公司等。
五、总结
企业竞争的日趋激烈和网络给消费者带来的更多便利,也加剧了企业对网络这块市场的争夺,企业想要在网络市场上有一席之地,那么建立企业网络营销站点只是其中的一个步骤,因此,企业的网络营销站点架设好了,紧接着就是宣传推广、维护管理等等一系列更为重要的任务,总之,建设企业的网络营销站点,是企业从事网络市场竞争的第一步,也是最为重要的前提性条件。
参考文献:
[1]李东华.对我国企业信息化建设的思考[J].商情,2011,(10).
[2]宗加云.网络营销中的企业网站建设策略[J].中国电子商务,2012,(10).
[3]李佳雨.企业网站SEO技术研究[J].苏州大学学报,2011,(09).