中小型企业网络搭建分析

《中小型企业网络搭建分析》由会员分享，可在线阅读，更多相关《中小型企业网络搭建分析（32页珍藏版）》请在装配图网上搜索。

1、中小型公司网络搭建分析毕业设计任务书作业名称中小型公司网络搭建分析学生姓名专业班级学号课题来源导师布置指引教师重要内容1、 中小公司网络需求分析2、 典型中小公司组网实例3、 网络布线和综合布线4、 局域网的安全控制和病毒防治进度阐明(列几种大点)1、 编写前言2、 编写正文3、 编写摘要4、 编写目录5、 编写道谢重要参照资料1弗鲁姆(Richard Froom).CCNP学习指南:组建Cisco多层互换网络(BCMSN)(第4版)M.2WilliamStallings.Network Security Essentials Applications and Standards Third

2、EditionM.3施敏 、李亚明、王国平.网络管理员之局域网组建与维护超级技巧1000例M.4李晋平.局域网组建和安全管理的实用技术J.电脑开发与应用.,15(10).5卫少军.中小公司办公局域网组建方案J.科技情报开发与经济.,14(9)：269271.导师审查意见指引教师签名: 年 月 日目录摘要3前言4第一章 中小公司网络需求分析5第二章 典型中小公司组网实例5第三章 网络布线和综合布线15第四章 局域网的安全控制和病毒防治20道谢26摘要信息化浪潮风起云涌的今天，公司内部网络的建设已经成为提高公司核心竞争力的核心因素。公司网已经越来越多地被人们提到，运用网络技术，现代公司可以在供应商

3、、客户、合伙伙伴、员工之间实现优化的信息沟通。这直接关系到公司能否获得核心的竞争优势。近年来越来越多的公司都在加快构建自身的信息网络，而其中绝大多数都是中小公司。目前国内公司特别是中小型公司网络建设正在如火如荼的进行着，本文以中小型公司内部局域网的组建需求、实际管理为出发点，从中小型公司局域网的管理需求和老式局域网技术入手，研究了局域网技术在公司管理中的应用。核心词：中小公司；局域网；组网案例；网络布局；网络安全；前言随着计算机及局域网络应用的不断进一步，特别是多种计算机应用系统被相继应用在实际工作中，各公司、各单位同外界信息媒体之间的互相互换和共享的规定日益增长。需要使各单位互相间真正做到高

4、效的信息互换、资源的共享，为各单位人员提供精确、可靠、快捷的多种生产数据和信息，充足发挥各单位既有的计算机设备的功能。为加强各公司内各分区的业务和技术联系，提高工作效率，实现资源共享，减少运作及管理成本,公司有必要建立公司内部局域网。局域网规定建设基于TCP/IP合同和WWW技术规范的公司内部非公开的信息管理和互换平台，该平台以WEB为核心，集成WEB、文献共享、信息资源管理等服务功能，实现公司员工在不同地区对内部网的访问。第一章 中小公司网络需求分析中小公司局域网一般规模较小，构造相对简朴，对性能的规定则因应用的不同而差别较大。许多中小公司网络技术人员较少，因而对网络的依赖性很高，规定网络尽

5、量简朴、可靠、易用，减少网络的使用和维护成本、提高产品的性能价格比就显得尤为重要。基于以上特点，应遵循下列设计原则：1.把握好技术先进性与应用简易性之间的平衡。 2.具有良好的升级扩展能力。3.具有较高的可靠性和安全性。4.产品功能与实际应用需求相匹配。 80%的中小公司顾客一般只用到局域网20%的功能。精简功能设计的产品不仅可以在满足大多数需求的状况下有效减少成本，并且还可以提高系统的稳定性和易维护性。 5.尽量选择成熟、原则化的技术和产品。恰当运用以太网的不同原则和功能，以太网技术可以在双绞线、多模光纤、单模光纤等介质上传播数据，可以非常简朴地升级到百兆、千兆的速率，并且具有很高的稳定性和

6、可管理性。以太网提供了多种原则和功能。例如10Mbps、100Mbps、1000Mbps不同速率的原则，双绞线、光纤等不同介质的原则，以及网络管理、流量控制、VLAN、优先级、链路聚合等功能。第二章 典型中小公司组网实例（一）、 案例描述典型中小公司组网实例，申请一种公网IP和10M带宽，单台路由器，WEB服务器，通讯机，业务主机等，客户端办公电脑100台左右，多部门划分VLAN，用ACL控制各部门访问权限，配备网络打印机。（二）、 硬件设备序号设备名称 规格 单位 数量单价（元）合价（元）1 互换机 Cisco 4503 台 1 7400Cisco 2960-48t台 93002 路由器 C

7、isco 2821 台 1 145003 防火墙 Nokia IP355 台 1 34500Cisco Catalyst 4500系列可觉得无阻碍的第2/3/4层互换提供集成式弹性，因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络可觉得正在部署基于互联网公司应用的公司和城域以太网客户提供业务弹性。4500系列中提供的集成式弹性增强涉及11超级引擎冗余、集成式IP电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性可以缩短停机时间，从而提高生产率、利润率和客户成功率。是用于公司公司网络互换机群核心层高性价比的一系列。Cisco WS-C2960-48T拥有大

8、数量的接口，全智能自动全双工半双工辨认，具有用于接入层互换机的良好优势。可以迅速转发顾客的数据。Cisco 2821是一台多业务路由器，比较适合中小型公司的需求与应用。Nokia IP355是一款应用于中小型公司的防火墙产品，可以进行SNMP,Telnet,FTP,SSHv2(安全Telnet&FTP),HTTP 服务器RFC 2068,SSL/TLS RFC 2246,命令行运用的管理和对流量的过滤，对于中小型的安全问题防护性能比较良好。（三）IP地址规划部门 IP地址公网地址 220.156.66.117路由器内部 192.168.0.1/30核心互换外部 192.168.0.2/30We

9、b服务器 192.168.2.1/24业务主机 192.168.2.2/24通讯机 192.168.2.3/24网络打印机 192.168.30.1/24财务部 192.168.40.1/24设计部 192.168.41.1/24市场部 192.168.42.1/24（四）网络拓扑 （五）配备需求及解决方案为了直观以便，配备需求所有在配备命令中加以单点阐明，并且配备命令量大反复，这里只列出重点命令。1.配备Router 接口：interface fastethernet0/1ip address 192.168.0.1 255.255.255.252duplex autospeed autoi

10、p nat inside no shutdown interface fastethernet0/2ip address 220.156.66.117 255.255.255.248duplex autospeed autoip nat outsideno shutdown路由：ip route 0.0.0.0 0.0.0.0 220.156.66.117过载：ip nat inside source list 110 interface FastEthernet0/2 overloadaccess-list 110 permit ip 192.168.0.0 0.0.255.255 any2

11、、配备Core switchVTP：VTP Version: 2Configuration Revision: 7Maximum VLANs supported locally : 1005Number of existing VLANs: 9VTP Operating Mode: ServerVTP Domain Name: OAVTP Pruning Mode: DisabledVTP V2 Mode: EnabledVTP Traps Generation: EnabledVLAN：core-sw#vlan database 进入vlan配备模式core-sw(vlan)#vtp dom

12、ain OA 设立vtp管理域名称OAcore-sw(vlan)#vtp server 设立互换机为服务器模式core-sw(vlan)#vlan 10 name shichang 创立VLAN 10，为市场部core-sw(vlan)#vlan 11 name caiwu 创立VLAN 10，为财务部core-sw(vlan)#vlan 12 name sheji 创立VLAN 12，为设计部core-sw(vlan)#vlan 13 name netprinter 创立VLAN 13，为网络打印机core-sw(vlan)#vlan 20 name server 创立VLAN 20，为服务

13、器组core-sw(config)#interface vlan 10core-sw(config-if)#ip address 192.168.42.254 255.255.255.0core-sw(config)#interface vlan 11core-sw(config-if)#ip address 192.168.40.254 255.255.255.0core-sw(config)#interface vlan 12core-sw(config-if)#ip address 192.168.41.254 255.255.255.0core-sw(config)#interface

14、 vlan 13core-sw(config-if)#ip address 192.168.30.254 255.255.255.0core-sw(config)#interface vlan 20core-sw(config-if)#ip address 192.168.2.254 255.255.255.0将接入层SW上的端口根据需要划分至各个VLAN 3、配备ACL配备ACL 应用在各个部门VLAN接口上，控制各部门互访access-list 10 permit 192.168.2.0 0.0.0.255 access-list 10 permit 192.168.30.0 0.0.0.

15、255 access-list 10 deny 192.168.0.0 0.0.255.255 access-list 10 permit any 进入vlan 10ip access-group 10 out把访问控制列表10 应用于VLAN 10 OUT方向上，市场部内部可以互访，可以访问服务器网段和网络打印机网段，但不能访问财务部和设计部所在网段。access-list 11 permit 192.168.2.0 0.0.0.255access-list 11 permit 192.168.30.0 0.0.0.255access-list 11 permit 192.168.42.0

16、0.0.0.255access-list 11 deny 192.168.0.0 0.0.255.255access-list 11 permit any进入vlan 11ip access-group 11 out把访问控制列表11应用在VLAN 11 OUT方向上，财务部内部可以互访问，可以访问服务器网段和网络打印机网络，可以访问市场部网段，但不能访问设计部网段。设计部VLAN 12 ，网络打印机 VLAN 13，服务器 VLAN 20 可以访问任意网段，应用访问控制列表access-list 110 在in的方向上，封掉常用病毒端口。access-list 110 deny tcp an

17、y any eq 1068access-list 110 deny tcp any any eq 2046access-list 110 deny udp any any eq 2046access-list 110 deny tcp any any eq 4444access-list 110 deny udp any any eq 4444access-list 110 deny tcp any any eq 1434access-list 110 deny udp any any eq 1434access-list 110 deny tcp any any eq 5554access-

18、list 110 deny tcp any any eq 9996access-list 110 deny tcp any any eq 6881access-list 110 deny tcp any any eq 6882access-list 110 deny tcp any any eq 16881access-list 110 deny udp any any eq 5554access-list 110 deny udp any any eq 9996access-list 110 deny udp any any eq 6881access-list 110 deny udp a

19、ny any eq 6882access-list 110 deny udp any any eq 16881access-list 110 permit ip any any可以根据实际需要将此ACL应用于任一接口，或者添加某些屏蔽软件的端口，达到管理内部员工的目的，也可以用局域网内部的管理软件，更加直接以便，并且易于操作。4、配备业务主机用IIS架设（IIS只合用于Window NT/XP操作系统）。安装：Window XP默认安装时不安装IIS组件，需要手工添加安装。进入控制面板，找到“添加删除程序”，打开后选择“添加删除Window组件”，在弹出的“Window组件向导”窗口中，将“I

20、nternet信息服务（IIS）”项选中。在该选项前的“”背景色是灰色的，这是由于Window XP默认并不安装FTP服务组件。再点击右下角的“具体信息”，在弹出的“Internet信息服务（IIS）”窗口中，找到“文献传播合同（FTP）服务”，选中后拟定即可。安装完后需要重启。Window NT和Window XP的安装措施相似。 设立：电脑重启后，业务主机就开始运营了，但还要进行某些设立。点击“开始所有程序管理工具Internet信息服务”，进入“Internet信息服务”窗口后，找到“默认FTP站点”，右击鼠标，在弹出的右键菜单中选择“属性”。在“属性”中，我们可以设立业务主机的名称、I

21、P、端口、访问账户、FTP目录位置、顾客进入FTP时接受到的消息等。 FTP站点基本信息：进入“FTP站点”选项卡，其中的“描述”选项为该FTP站点的名称，用来称呼你的服务器，这里设立名称为 “业务主机”；“IP地址”为服务器的IP，设立为192.168.2.2；“TCP端口”一般仍设为默认的21端口；“连接”选项用来设立容许同步连接服务器的顾客最大连接数；“连接超时”用来设立一种等待时间，如果连接到服务器的顾客在线的时间超过等待时间而没有任何操作，服务器就会自动断开与该顾客的连接。设立账户及其权限：诸多FTP站点都规定顾客输入顾客名和密码才干登录，这个顾客名和密码就叫账户。不同顾客可使用相似

22、的账户访问站点，同一种站点可设立多种账户，每个账户可拥有不同的权限，如有的可以上传和下载，而有的则只容许下载。 安全设定：进入“安全账户”选项卡，有“容许匿名连接”和“仅容许匿名连接”两项，默觉得“容许匿名连接”，此时业务主机提供匿名登录。“仅容许匿名连接”是用来避免顾客使用有管理权限的账户进行访问，选中后，虽然是Administrator（管理员）账号也不能登录，FTP只能通过服务器进行“本地访问”来管理。至于“FTP站点操作员”选项，是用来添加或删除本业务主机具有一定权限的账户。与其她专业的业务主机软件不同，它基于Window顾客账号进行账户管理，自身并不能随意设定业务主机容许访问的账户，

23、要添加或删除容许访问的账户，必须先在操作系统自带的“管理工具”中的“计算机管理”中去设立Window顾客账号，然后再通过“安全账户”选项卡中的“FTP站点操作员”选项添加或删除。但对于Window 和Window XP专业版，系统并不提供“FTP站点操作员”账户添加与删除功能，只提供Administrator一种管理账号。设立顾客登录目录：最后设立FTP主目录（即顾客登录FTP后的初始位置），进入“主目录”选项卡，在“本地途径”中选择好FTP站点的根目录，并设立该目录的读取、写入、目录访问权限。设立完毕后，业务主机就算建成了。第三章 网络布局和综合布线公司组网，我们不仅要从公司自身的实际需求出

24、发，根据组网经费的多少来务实地规划与设计网络；在采购好网络设备和服务器等设备后，如何对机房、办公地点进行合理的网络布局与布线，是致关重要的。网络布局重要是指机房里的网络设备、服务器等设备如何放置，它们又与网络布线如何相处，总之网络布局要考虑周全。（一） 网络布局的原则1.实用性公司组建的局域网应当根据机房的大小、设备的多少来具体实行，根据网络布线的特点来发挥网络布局实用性是非常重要的。2.全面性组网过程中，网络、服务器等设备放置位置应当统筹兼顾，网络布局要考虑周全，尽量让多种设备和布线系统处在合理的位置。3.可靠性组网无论如何布局，最后的目的是保证我们的局域网的所有设备能可靠稳定地运营，使得网

25、络能正常运转。4.便于维护与升级网络的组网不是一成不变的，随着IT公司业务的不断发展的需求，原先组建的局域网就需要不断地完善和扩大；在平常的网络运营维护中，规划网络布局时就应当考虑到便于后来网络的维护与升级操作。（二） 网络布局的具体实行规定对于有线局域网来说，这是我们目前公司网络建设中，常常会遇到的，需要对机房和办公大楼进行布线。规划网络布局要考虑到机房的设备布局和布线系统的合理搭配。因此我们一方面要规划与设计好机房、布线系统，然后再全面地考虑网络的布局。1. 机房的规划与设计为了保证网络、计算机系统稳定、安全、可靠地运营，以及保障机房工作人员有良好的工作环境，做到技术先进、经济合理、安全合

26、用、保证质量，符合国家有关的机房设计规定。(1) 防静电静电不仅会对计算机运营浮现随机故障，并且还会导致某些元器件，双级性电路等的击穿和毁坏。此外，还会影响操作人员和维护人员的正常的工作和身心健康。(2)防火、防盗计算机房在设计时，重点要考虑机房的消防灭火设计。设计时可以根据消防防火级别来拟定机房的设计方案，计算机房火灾报警规定在一楼设有值班室或监控点。机房里应注意防盗设施的安装，具体地可采用防盗门、防盗锁、警卫、自动报警系统等等。(3)防雷由于机房通信和供电电缆多从室外引入机房，易遭受雷电的侵袭，机房的建筑防雷设计特别重要。计算机通信电缆的芯线，电话线均应加装避雷器。(4)保湿、保温机房里的

27、湿度应保持在20%-80%为宜，机房的温度应保持在15-35摄氏度，安装空调来调节温度是解决此问题最佳的措施。2.布线系统的规划与设计有了好的机房，网络设备就有了好的“家”，组建的IT网络应当通过布线系统将机房和办公地点互联起来，保证网络的正常运营。如果公司的接入点较多，我们可以采用接入层、汇聚层、互换层三个网络层次的设计，在此基本上进行布线系统。对于接入层来说，选择一种合理的接入设备，是最核心的，并且我们要根据接入设备选择合适的带宽。汇聚层是整个局域网的核心部分，汇聚层网络设备一般支持网络管理功能，以便我们的管理和维护，以便后来我们的网络升级和改造。互换层是整个网络中的中间层，连接着汇聚层和

28、网络节点，是决定我们整体网络传播质量的很重要的一种环节。随着百兆网络设备的普及，我们互换层的网络设备，肯定首选百兆。布线是连接网络接入层、汇聚层、互换层和网络节点的重要环节。在布线时，最佳使用专门的通道，并且不要与电源线，空调线等具有辐射的线路混合布线。接入层与汇聚层之间的双绞线，可以选择超五类屏蔽双绞线，以使网络性能得到最大的提高。汇聚层与互换层之间的双绞线，由于是网络数据传播量最大的一种层次，同样采用超五类屏蔽双绞线。互换层与网络节点之间，我们就可以采用一般的超五类非屏蔽双绞线。网络设备的放置，最佳放在节点的中央位置，这样做，不是为了节省综合布线的成本，而是为了提高网络的整体性能，提高网络

29、传播质量。由于双绞线的传播距离是100米，在95米才干获得最佳的网络传播质量。在做网络布线时，最佳可以设计一种设备间，放置网络设备。（三）网络布局的规划与设计目前的网络设备大都采用机架式的构造（多为扁平式，活像个抽屉），如互换机、路由器、硬件防火墙等。这些设备之因此有这样一种构造类型，是由于它们都按国际机柜原则进行设计，这样人们的平面尺寸就基本统一，可把一起安装在一种大型的立式原则机柜中。这样做的好处非常明显：一方面可以使设备占用最小的空间，另一方面则便于与其他网络设备的连接和管理，同步机房内也会显得整洁、美观。我们常常接触到的放置机房里有网络机柜、服务器机柜以及综合布线柜，从这三个机柜的名字

30、就可以看出它们各自所起的作用；一般来说，网络设备如互换机、路由器、防火墙、加密机等以及网络通信设备如光端机、调制解调器等是放置在网络机柜的；服务器机柜的宽度为19英寸，高度以U为单位 （1U=1.75英寸=44.45毫米），一般有1U，2U，3U，4U几种原则的服务器。机柜的尺寸也是采用通用的工业原则，一般从22U到42U不等；机柜内按U的高度有可拆卸的滑动拖架，顾客可以根据自己服务器的标高灵活调节高度，以寄存服务器、集线器、磁盘阵列柜等设备。服务器摆放好后，它的所有I/O线所有从机柜的后方引出（机架服务器的所有接口也在后方），统一安顿在机柜的线槽中，一般贴有标号，便于管理。综合布线柜一般配有

31、前后可移动的安装立柱，自由设定安装空间，可按需要配备隔板、电扇、电源插座等附件。配线架一般安装在机柜里，配线架的一面是RJ45口，并标有编号；另一面是跳线接口，上面也标有编号，这些编号和上面的RJ45口的编号是一一相应的。每一组跳线都标记有棕、蓝、橙、绿的颜色，双绞线的色线要和这些跳线一一相应，这样做不容易接错。配线架不仅仅是便于管理线对，并且可以避免串扰，增长线对的隔离空间，提供360度的线对隔离。在机房中，必须放置互换机、功能服务器群和网络打印设备，以及局域网络连接Internet所需的多种设备，如路由器、防火墙以及网管工作站等；因此机房的网络布局一般至少有三个机柜，综合布线柜和网络机柜应

32、当紧连在一起，便于调线操作，接下来是服务器机柜；将网络设备和布线系统进行合理的布局。在网络布局中，每个机柜最佳留点空间，便于后来网络设备、服务器设备的扩大，综合布线柜里有也许除了网络布线外，尚有能布置电话线，因此要在机柜里留下一定空间。从机柜内部线缆附设的角度看，机柜配备密度更高，容纳的IT设备更多，大量采用冗余配件(如冗余电源、存储阵列等)，机柜内设备配备频繁变换，数据线和电缆随时增减。因此，机柜必须提供充足的线缆通道，能从机柜顶部、底部进出线缆。在机柜内部，线缆的敷设必须以便、有序，与设备的线缆接口接近，以缩短布线距离；减少线缆的空间占用，保证设备安装、调节、维护过程中，不受到布线的干扰，

33、并保证散热气流不会受到线缆的阻挡；同步，在故障状况下，能对设备布线进行迅速定位。供电系统和制冷系统是计算机机房的两个重要部分。在供电系统中，一般采用在线的UPS供电方式，蓄电池实际可供使用的容量与蓄电池的放电电流大小、蓄电池的环境工作温度、贮存时间的长短以及负载的性质（电阻性、电感性、电容性）密切有关。制冷系统（空调）波及到机房的整个物理环境，涉及空调、地板、机柜及房间布局等诸多方面；因此UPS和空调我们也要考虑好将它们放置在一种合适的位置。如果机房空间较大，可以将UPS和空调都放在机房里；如果空间较小，可以把UPS（涉及蓄电池）放在配电房里。需要注意的是如果大楼里安装有“中央空调”的话，机房

34、里也必须安装独立的空调，由于中央空调不也许24小时都开着，上班的时间可以运用中央空调，下班和星期节假日的时候，如果服务器、网络设备需要正常运营的话，则必须要开机房里的独立空调。机柜的扩展性表目前机柜内设备密度的扩展和机柜数量的扩展，因此网络布局时必须将机柜的配风能力（一般称为散热能力）以及配电能力考虑在内。一方面，机柜内的设备需要温度、湿度合适并且风量充足的冷风（冷空气）。这些冷风被机柜内的IT设备吸入，从而为设备内的部件（特别是CPU）降温。当机柜内设备增长到一定数量时，由地板出风口送出的冷风风量将不能满足所有设备的需求，从而形成部分IT设备配风局限性而过热。解决机柜内设备密度扩展时遇到的这

35、种局部热点问题可以采用调配IT设备位置的方式来解决。例如，把热负荷最大的设备安装在机柜中部位置，以便获得最大的配风风量。此外的解决措施是，在机柜的上部或下部位置安装轴向水平的强排电扇，增强上部或下部的吸入能力（即减小IT设备的入口静压），从而增长配风风量。另一方面，机柜内的设备需要供电以及与机柜外部进行通信。当机柜内的IT设备数量增长时，这些线缆、连接端子同步成倍地增长，从而对机架式电源排插的容量、插口数量都提出了扩展规定。机柜内的布线空间也是需要提前考虑的，由于当机柜内的功率密度提高时，设备后部的线缆将明显增长风阻，因此必须考虑线缆管理及走线空间的问题。第四章 局域网的安全控制与病毒防治（一

36、）局域网安全威胁分析 局域网由于通过互换机和服务器连接网内每一台电脑，因此局域网内信息的传播速率比较高，同步局域网采用的技术比较简朴，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁一般有如下几类： 1.欺骗性的软件使数据安全性减少 由于局域网很大的一部分用处是资源共享，而正是由于共享资源的“数据开放性”，导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼袭击”，钓鱼工具是通过大量发送声称来自于某些出名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如顾客名、口令、账号ID、ATM PIN码或信用卡具体信息等的一种袭击方式。最常用的手法

37、是冒充某些真正的网站来骗取顾客的敏感的数据。以往此类袭击的冒名的多是大型或出名的网站，但由于大型网站反映比较迅速，并且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同步由于顾客缺少数据备份等数据安全面的知识和手段，因此会导致常常性的信息丢失等现象发生。 2.服务器区域没有进行独立防护局域网内计算机的数据迅速、便捷的传递，造就了病毒感染的直接性和迅速性，如果局域网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样局域网中任何一台通过服务器信息传递的电脑，就有也许会感染病毒。虽然在网络出口有防火墙阻断对外来袭击，但无法抵挡来自

38、局域网内部的袭击3.计算机病毒及歹意代码的威胁由于网络顾客不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而导致计算机病毒的入侵。许多网络寄生犯罪软件的袭击，正是运用了顾客的这个弱点。寄生软件可以修改磁盘上既有的软件，在自己寄生的文献中注入新的代码。近来几年，随着犯罪软件（crime ware）汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。，两种软件的结合推动旧有寄生软件变种增长3倍之多。，估计犯罪软件社区对寄生软件的爱好将继续增长，寄生软件的总量估计将增长20%。 4.局域网顾客安全意识不强许多顾客使用移动存储设备来进行数据的传递，常常将外部数据不通过必要的安全检查通过

39、移动存储设备带入内部局域网，同步将内部数据带出局域网，这给木马、蠕虫等病毒的进入提供了以便同步增长了数据泄密的也许性。此外一机两用甚至多用状况普遍，笔记本电脑在内外网之间平凡切换使用，许多顾客将在Internet网上使用过的笔记本电脑在未经许可的状况下擅自接入内部局域网络使用，导致病毒的传入和信息的泄密。 5.IP地址冲突局域网顾客在同一种网段内，常常导致IP地址冲突，导致部分计算机无法上网。对于局域网来讲，此类IP地址冲突的问题会常常浮现，顾客规模越大，查找工作就越困难，因此网络管理员必须加以解决。 正是由于局域网内应用上这些独特的特点，导致局域网内的病毒迅速传递，数据安全性低，网内电脑互相

40、感染，病毒屡杀不尽，数据常常丢失。（二） 局域网安全控制与病毒防治方略 1.加强人员的网络安全培训安全是个过程，它是一种汇集了硬件、软件、网络、人员以及她们之间互有关系和接口的系统。从行业和组织的业务角度看，重要波及管理、技术和应用三个层面。要保证信息安全工作的顺利进行，必须注重把每个环节贯彻到每个层次上，而进行这种具体操作的是人，人正是网络安全中最单薄的环节，然而这个环节的加固又是见效最快的。因此必须加强对使用网络的人员的管理，注意管理方式和实现措施。从而加强工作人员的安全培训。增强内部人员的安全防备意识，提高内部管理人员整体素质。同步要加强法制建设， 进一步完善有关网络安全的法律，以便更有

41、利地打击不法分子。对局域网内部人员，从下面几方面进行培训： (1)加强安全意识培训，让每个工作人员明白数据信息安全的重要性，理解保证数据信息安全是所有计算机使用者共同的责任。 (2)加强安全知识培训，使每个计算机使用者掌握一定的安全知识，至少可以掌握如何备份本地的数据，保证本地数据信息的安全可靠。 (3)加强网络知识培训，通过培训掌握一定的网络知识，可以掌握IP地址的配备、数据的共享等网络基本知识，树立良好的计算机使用习惯。 2.局域网安全控制方略安全管理保护网络顾客资源与设备以及网络管理系统自身不被未经授权的顾客访问。目前网络管理工作量最大的部分是客户端安所有分，对网络的安全运营威胁最大的也

42、同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，对于内部网络终端安全管理重要从终端状态、行为、事件三个方面进行防御。运用既有的安全管理软件加强对以上三个方面的管理是目前解决局域网安全的核心所在。(1)运用桌面管理系统控制顾客入网。入网访问控制是保证网络资源不被非法使用，是网络安全防备和保护的重要方略。它为网络访问提供了第一层访问控制。它控制哪些顾客可以登录到服务器并获取网络资源，控制顾客入网的时间和在哪台工作站入网。顾客和顾客组被赋予一定的权限，网络控制顾客和顾客组可以访问的目录、文献和其她资源，可以指定顾客对这些文献、目录、设备可以执行的操作。启用密码方略，

43、强制计算机顾客设立符合安全规定的密码，涉及设立口令锁定服务器控制台，以避免非法顾客修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据，提高系统安全行，对密码不符合规定的计算机在多次警告后阻断其连网。 (2)采用防火墙技术。防火墙技术是一般安装在单独的计算机上，与网络的其他部分隔开，它使内部网络与Internet之间或与其她外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制方略的系统，是建立在现代通信网络技术和信息安全技术基本上的应用性安全技术。采用防火墙技术发现及封阻应用袭击所采用的技术有：（

44、1）深度数据包解决。深度数据包解决在一种数据流当中有多种数据包，在寻找袭击异常行为的同步，保持整个数据流的状态。深度数据包解决规定以极高的速度分析、检测及重新组装应用流量，以避免应用时带来时延。（2）IP/URL过滤。一旦应用流量是明文格式，就必须检测HTTP祈求的URL部分，寻找歹意袭击的迹象，这就需要一种方案不仅能检查RUL，还能检查祈求的其他部分。其实，如果把应用响应考虑进来，可以大大提高检测袭击的精确性。虽然URL过滤是一项重要的操作，可以制止一般的脚本类型的袭击。（3）TCP/IP终结。应用层袭击波及多种数据包，并且常常波及不同的数据流。流量分析系统要发挥功能，就必须在顾客与应用保持

45、互动的整个会话期间，可以检测数据包和祈求，以寻找袭击行为。至少，这需要可以终结传播层合同，并且在整个数据流而不是仅仅在单个数据包中寻找歹意模式。系统中存着某些访问网络的木马、病毒等IP地址，检查访问的IP地址或者端口与否合法，有效的TCP/IP终结，并有效地扼杀木马。时等。（4）访问网络进程跟踪。访问网络进程跟踪。这是防火墙技术的最基本部分，判断进程访问网络的合法性，进行有效拦截。这项功能一般借助于TDI层的网络数据拦截，得到操作网络数据报的进程的具体信息加以实现。封存所有空闲的IP地址，启动IP地址绑定，采用上网计算机IP地址与MAC地址唯一相应，网络没有空闲IP地址的方略。由于采用了无空闲

46、IP地址方略，可以有效避免IP地址引起的网络中断和移动计算机随意上内部局域网络导致病毒传播和数据泄密。 (3)属性安全控制。它能控制如下几种方面的权限：避免顾客对目录和文献的误删除、执行修改、查看目录和文献、显示向某个文献写数据、拷贝、删除目录或文献、执行文献、隐含文献、共享、系统属性等。网络的属性可以保护重要的目录和文献。启用杀毒软件强制安装方略，监测所有运营在局域网络上的计算机，对没有安装杀毒软件的计算机采用警告和阻断的方式强制使用人安装杀毒软件。3.病毒防治病毒的侵入必将对系统资源构成威胁，影响系统的正常运营。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处在瘫痪状态，

47、从而导致巨大的损失。因此，避免病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的核心是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。防病毒体系是建立在每个局域网的防病毒系统上的，重要从如下几种方面制定有针对性的防病毒方略： (1)增长安全意识和安全知识，对工作人员定期培训。一方面明确病毒的危害，文献共享的时候尽量控制权限和增长密码，对来历不明的文献运营迈进行查杀等，都可以较好地避免病毒在网络中的传播。这些措施对杜绝病毒，主观能动性起到很重要的作用。 (2)小心使用移动存储设备。在使用移动存储设备之迈进行病毒的扫描和查杀，也可把病毒回绝在外。(

48、3)挑选网络版杀毒软件。一般而言，查杀与否彻底，界面与否和谐、以便，能否实现远程控制、集中管理是决定一种网络杀毒软件的三大要素。瑞星杀毒软件在这些方面都相称不错，可以纯熟掌握瑞星杀毒软件使用，及时升级杀毒软件病毒库，有效使用杀毒软件是防毒杀毒的核心。通过以上方略的设立，可以及时发现网络运营中存在的问题，迅速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、精确的切断安全事件发生点和网络。局域网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的摸索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简朴。计算机网络安全需要建

49、立多层次的、立体的防护体系，要具有完善的管理系统来设立和维护对安全的防护方略。道谢在完毕本毕业设计的过程中，作者得到了XXXXXX教师的大力支持，同窗们的热情协助，在有限的时间内，最快的完毕了本设计。在此，我谨向提供协助的各位教师及同窗致以深深的感谢！毕业设计（论文）原创性声明和使用授权阐明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指引教师的指引下进行的研究工作及获得的成果。尽我所知，除文中特别加以标注和道谢的地方外，不涉及其她人或组织已经刊登或发布过的研究成果，也不涉及我为获得 及其他教育机构的学位或学历而使用过的材料。对本研究提供过协助和做出过奉献的个人或集体，均已在文中

50、作了明确的阐明并表达了谢意。作 者 签 名： 日 期： 指引教师签名： 日期： 使用授权阐明本人完全理解 大学有关收集、保存、使用毕业设计（论文）的规定，即：按照学校规定提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其他复制手段保存论文；在不以获利为目的前提下，学校可以发布论文的部分或所有内容。作者签名： 日 期： 学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指引下独立进行研究所获得的研究成果。除了文中特别加以标注引用的内容外，本论文不涉及任何其她个人或集体已经刊登或撰写的成果作品。

51、对本文的研究做出重要奉献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承当。作者签名： 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全理解学校有关保存、使用学位论文的规定，批准学校保存并向国家有关部门或机构送交论文的复印件和电子版，容许论文被查阅和借阅。本人授权 大学可以将本学位论文的所有或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定解决。作者签名：日期： 年 月 日导师签名： 日期： 年 月 日注 意 事 项1.设计（论文）的内容涉及：1）封面（按教务处制定的原则封面格式制作）2）原创性声

52、明3）中文摘要（300字左右）、核心词4）外文摘要、核心词 5）目次页（附件不统一编入）6）论文主体部分：引言（或绪论）、正文、结论7）参照文献8）道谢9）附录（对论文支持必要时）2.论文字数规定：理工类设计（论文）正文字数不少于1万字（不涉及图纸、程序清单等），文科类论文正文字数不少于1.2万字。3.附件涉及：任务书、开题报告、外文译文、译文原文（复印件）。4.文字、图表规定：1）文字通顺，语言流畅，书写笔迹工整，打印字体及大小符合规定，无错别字，不准请她人代写2）工程设计类题目的图纸，规定部分用尺规绘制，部分用计算机绘制，所有图纸应符合国家技术原则规范。图表整洁，布局合理，文字注释必须使用工程字书写，不准用徒手画3）毕业论文须用A4单面打印，论文50页以上的双面打印4）图表应绘制于无格子的页面上5）软件工程类课题应有程序清单，并提供电子文档5.装订顺序1）设计（论文）2）附件：按照任务书、开题报告、外文译文、译文原文（复印件）顺序装订3）其他