企业局域网组建与网站建设：原理、应用及网络安全问题分析

hwyzw

    企业局域网建立及网站建设总结。本文从原理和实际应用出发，分析了企业局域网建立和网站建设中的各种实际问题，特别是网络安全方面，并列出了一些可能的安全因素。给出了解决方案，对于即将组建或正在建设局域网的企业具有一定的指导意义。关键词 企业局域网；网络建立；网站建设 1 需求分析 随着互联网应用的普及，电子商务取得了长足的进步。对于企业来说，产品的引进、销售、技术服务和售后服务越来越多地通过互联网完成。主要优点是：方便、快捷、成本低。目前，小型企业常常在互联网上申请主页空间或使用网络托管。这种方法在应用中显然不方便。它能提供的服务种类单一，信息数据都放在别人身上。计算机并让其他人管理它。对于大型企业、有机密数据的单位，往往不采用这种方法。他们将在单位内部建设自己的中心机房，组建自己的局域网，同时申请电信宽带和固定IP，从而形成内外两个网络。 。如果企业在异地设有分支机构，也可以通过VPN进行安全通信。严格分析企业需求，设计切实可行的网站建设方案。在网站规划阶段，可以从以下几个方面考虑定位：（1）网站硬指标：你的网站是否能够让客户轻松便捷地登录和记住，包括域名分布、域名品牌一致性、网站语言版本、域名解析时间、请求响应时间、主机连接时间、下载时间、HTML整体质量、图片整体质量、主页布局质量、主页信息类型等。

    （2）网站推广指标：您的网站推广能否带来更多的客户与您互动，包括搜索引擎排名、网站知名度、推广方案设计等。（3）网站服务指标：客户是否愿意与您互动，包括：您的响应时间、目标客户、联系级别、常见问题解答、帮助导航、服务流程、产品分类、产品描述、产品图片、价格建议等。 （4）网站互动指标：您与客户的互动效果如何；包括：客户响应、解决时间、产品了解、客户社区、客户识别、客户忠诚度、深度服务、需求调查等。 2 模块设计 企业局域网可分为两个模块：企业互联网模块和企业局域网模块。 1）企业互联网模块 企业互联网模块连接到互联网，并终结VPN和公共服务（DNS、HTTP、FTP、SMTP）信息流。企业互联网模块为内部用户提供互联网连接，使用户能够通过互联网访问公共服务器上的信息，同时还为远程地点和远程工作人员提供VPN访问功能。企业互联网模块涉及的关键设备有：SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器、二层及以上交换机（支持专用VLAN）。 2）企业局域网模块 企业局域网模块包括第2层及以上交换功能以及所有用户和管理内网服务器。

    企业 LAN 模块包括最终用户工作站、公司内网服务器、管理服务器以及支持这些设备所需的相关基础设施、网络可管理的交换机等。 3 安全分析 1）具有公共地址的企业  模块服务器最容易受到攻击。企业互联网模块面临的潜在威胁包括：未授权访问、应用层攻击、病毒木马攻击、密码攻击、拒绝服务、IP欺骗、数据包窃听、网络侦察、信任关系利用、端口重定向等。小型VPN网络的设计，这个模块是终极的。 VPN 功能被压缩到单个机箱中，但仍执行路由、NAT、IDS 和防火墙功能。在确定如何实现该功能时，我们可以使用具有防火墙和VPN功能的路由器。此选项为小型网络带来了极大的灵活性，因为路由器将支持当今网络中可能不可或缺的所有高级服务。作为替代措施，可以使用带有 VPN 的专用防火墙来代替路由器。此设置对部署施加了一些限制。首先，防火墙通常只是以太网，需要对相应的 WAN 协议进行一些转换。在当今的环境中，大多数电缆和 DSL 路由器/调制解调器都是由电信服务提供商提供的，可用于连接到以太网防火墙。如果设备需要 WAN 连接（例如电信提供商的 DSL 电路），则必须使用路由器。

    使用专用防火墙不具备轻松配置安全和 VPN 服务的优点，但在使用防火墙功能时可以提高性能。无论您选择哪种设备，都需要考虑一些 VPN 因素。请注意，路由器倾向于允许流量，而防火墙的默认设置倾向于阻止流量。从 ISP 的客户边缘路由器开始，ISP 出口将限制超过预定阈值的辅助流量，以减少 DDoS 攻击。同样在 ISP 路由器的入口处，RFC 2827 过滤将防止针对本地网络和私有地址的源地址欺骗。防火墙为通过防火墙发起的会话提供连接状态强制执行和详细过滤。具有公共地址的服务器可以通过在防火墙上使用半开放连接限制来防止 TCP SYN 泛洪。从过滤的角度来看，除了将公共服务区域的信息流限制在相关地址和端口之外，还进行相反方向的过滤。如果攻击涉及公共服务器（通过逃避防火墙和基于主机的 IDS），则该服务器不应能够进一步攻击网络。为了减轻这种攻击，特定的过滤将阻止公共服务器向任何其他位置发出任何未经授权的请求。例如，应该对Web服务器进行过滤，使其不能生成自己的请求，而只能应答来自客户端的请求。此设置有助于防止黑客在执行初始攻击后将其他应用程序下载到受感染的计算机。

   

    它还有助于防止黑客在主要攻击期间触发不需要的会话。从主机角度来看，公共服务区域内的每台服务器都有主机入侵检测软件，用于监视操作系统级别的任何不良活动以及常见服务器应用程序（HTTP、FTP、SMTP 等）的活动。 DNS 主机应该只响应必要的命令，同时消除任何可能帮助黑客进行网络侦察攻击的不必要的响应。这包括防止从合格的辅助 DNS 服务器以外的任何位置进行区域传输。在邮件服务方面，防火墙在第 7 层过滤 SMTP 消息，只允许必要的命令到达邮件服务器。 2）企业局域网模块交换机的主要功能是交换生产和管理信息流，为公司和管理服务器及用户提供连接。可以在交换机内实施 VLAN，以减少设备之间的信任利用攻击。例如，企业用户可能需要与企业服务器通信，但不一定彼此通信。在管理站和网络其余部分之间放置小型过滤路由器或防火墙可以提高整体安全性。此设置将导致管理流量仅按照管理员认为必要的方向传输。如果组织内的信任级别不高，我们建议在关键系统上安装 HIDS。关于每个工作站的安全性和可靠性，病毒和网站木马尤其值得一提。可以考虑企业版的病毒防火墙。

    分支机构不需要远程访问 VPN 功能，因为该功能通常由公司总部提供。此外，管理主机通常位于中央位置，这种设置要求管理流量通过站点到站点 VPN 连接流回公司总部。 4 局域网工程建设原则 ⑴ 实用性：网络建设从应用的实际需要出发，坚持为领导决策、运行管理、生产建设服务。 ⑵先进性：采用成熟的先进技术并考虑未来的发展趋势，即量力而行，但也要适当超前，留有发展空间。 ⑶ 可靠性：为保证网络可靠运行，网络关键部分应具有容错能力。 ⑷ 安全性：对公共网络连接、通信链路、服务器等提供全面的安全管理体系。 ⑸ 开放性：采用国际标准通信协议、标准操作系统、标准网管软件，采用符合标准的设备，保证整个网络安全。系统具有开放的特点，增强了与不同机器类型、异构网络的互联能力。 ⑹ 可扩展性：系统易于扩展，保证前期投资的有效性和后期投资的连续性。 5 软硬件功能分析 1）路由器 对于企业局域网来说，由于局域网内发生大量的数据，因此对路由器的性能要求并不高。因此，可以选择中低端路由器。低端路由器主要适合中小型办公网络应用。要考虑的主要因素之一是端口数量。此外，还需要包交换能力和NAT转换能力。

    中端路由器适用于大中型办公网络。选择原则也是考虑端口支持能力、包交换能力和NAT转换能力。这里值得进一步说明的是，如果允许内部计算机通过路由器直接访问外部网络，则必须进行NAT转换。当并发连接数较大时，NAT转换会占用大量资源。最好考虑带有 NAT 模块或专用 NAT 设备的路由器。 2）交换机工作组交换机采用可网络管理的交换机来控制每台接入计算机，并划分VLAN（虚拟网络），最大限度保证网络接入安全。骨干交换机采用千兆端口的网管交换机，实现与中心交换机的高速连接，避免可能出现的网络瓶颈。中心交换机采用三层交换机实现VLAN间线速转发，并利用访问列表控制计算机访问和网络服务，构建高安全性、高可用性的网络。 3）防火墙 防火墙包括软件防火墙和硬件防火墙。软件防火墙是安装在计算机平台上，通过工作在操作系统底层来优化网络管理和防御功能的软件产品。硬件防火墙的硬件和软件是分开设计的，由专用的网络芯片处理数据包。同时采用专门的操作系统平台，避免通用操作系统的安全漏洞。并且对软件和硬件的特殊要求使得硬件防火墙的实际带宽与理论值基本一致，具有吞吐量高、安全、速度快的优点。

   

    4）服务器 服务器应具有速度高、存储容量大、吞吐能力强、性能可靠、可扩展性强、网络和管理功能强等特点。 WWW服务器：是网络运行的核心服务器，通常兼作域名服务器和FTP服务器。访问量很大。根据企业的规模，使用适合自己规模的服务器。一般来说，对于信息点少于800个的企业，通常可以采用顶级PC服务器和支持多CPU的低端专业服务器。邮件服务器：您可以使用性能与WWW服务器相当的服务器。 OA办公服务器还是内部视频会议服务器：必须由软件提供商根据各种系统来确定，包括服务器等级、操作系统类型等。 数据服务器：取决于数据量、数据的重要性和频率访问时，可以使用具有Raid功能的双硬盘服务器或专用的数据存储设备。 5) 公网IP地址数量。由于外部服务器需要固定的公网IP地址，因此路由器也需要固定的公网IP地址，NAT地址池也需要固定的公网IP地址。因此，必须将其提供给ISP。企业需要申请一定数量的公网IP地址。对于小型网络，8 个就够了。对于大中型局域网，需要16个以上才能使用。 6 网站设计、运营和维护应注意的问题 1）网站仅止于发布企业形象和产品信息。网站的建立应该从网络营销的角度出发。

    换句话说，是否有可能在现有的营销渠道之外，通过互联网为企业和消费者提供一个直接接触和沟通的渠道，为企业提供另一种销售模式机会？因此，从营销管理者的角度来看，应该优先考虑传统行业所需的网站。第二个角度是从管理角度思考。例如，一家企业在全省范围内拥有多个营业网点或分支机构，无论是公文的传递，还是各网点之间的资源配置，都可以通过网站来完成，以提高经营绩效。 2）避免在页面中填充图片、Java程序、Flash、音乐等。事实上，从目前的网速来看，如果网页中添加过多的FLASH或FLAME，或者附加过多的图片，传输就会受到影响。速度会受到影响。对于普遍缺乏信心的客户来说，很容易中途跳过，因为他们不愿意耐心等待下载完成。这样，你的网页再漂亮也没人会看！干净且组织良好的网页更易于阅读。客户可以在短时间内找到自己想要的信息，而不会受到太多视觉污染的干扰。因此，企业网页不需要太多的艺术品，因为客户需要看到漂亮的图片。自然，客户就会有合适的网站可以访问，无需浪费客户的时间和金钱去下载。如果您正在经营自己的在线业务，那么您的网站最重要的工作就是销售您的产品或服务，任何其他偏离这一基本原则的东西都是垃圾。 3）好久没有更新了。如果一个网站的信息不是每隔几个月更新一次，谁会有兴趣访问这个网站？当然，数据更新和维护是需要成本的，因为我们不是建设门户网站或专业网站，不需要每天更新；如果我们可以每周或每两周更新一次，并在网站上注明更新时间或通知，更新时间将有助于告知客户何时可以上网获取最新信息。

    另外，直播网站所谓“直播”，是指需要有与客户的互动机制，比如邮件列表系统、留言板或者客服系统等。客户提出的问题也必须及时处理，以免客户对网站失去信心！ 4）我想要拥有别人拥有的东西的概念。网站不仅要看起来漂亮，而且绝对不包含所有内容！关键是你希望网站提供哪些实用功能？只要网站能够满足公司的需求，帮助公司缩短工作流程时间或者提高工作效率，带来更大的利润，就是一个有用的网站。最好的网站一定要有自己的特色，适合网站的用户群体。参考文献[1] 林闯主编． “计算机网络和计算机系统的性能评估”。清华大学出版社 [2] 龚兵主编． 《计算机维护与维修》。北京：北京航空航天大学出版社[3]陈新林主编． “现代通信中的队列理论”。电子工业出版社 [4] 李大有，王同胜，冯饶凯，主编。 “网络与通信”。北京：机械工业出版社 [5]胡道元，主编． 《计算机网络工程指南》.北京：电子工业出版社