网络规划流程范文第1篇
网站编辑其职能一般是:
1、负责相关频道内容采编策划、网站设计和页面编辑;
2、根据频道发展的总体方向,策划、建设所负责的栏目;
3、完成栏目的每日内容更新工作;
4、组织、策划和完成本栏目相关专题。
网络编辑是技术与人文之间的桥梁。他们不仅是技术平台的运用者、操作者,也是信息的人文价值的开掘者。从这个意义上讲,网络编辑不但是新媒体时代的“把关人”,更是一位思想者,这就对网络编辑的素质与综合能力提出了更高的要求。
首先,网络编辑需要具备完善的知识与技能结构。具体来讲,网络编辑需要具备以下几方面基本知识与技能:新闻传播学、计算机及网络技术基础、文字表达能力及网络编辑所负责领域的相关学科基础知识,如财经频道编辑需要懂财经,车楼频道编辑至少要懂得房地产领域的基本概念,而负责时尚频道的编辑则要对时尚保持较高的敏感性与觉察力。
其次,网络编辑还应具备一定的市场意识。网站如同传统媒体一样,尽管是以内容为生,可离开相关客户的支持,网站还是无法生存。网站的客户既包括广告主等商业类客户,也包括普通网民。所以,网络编辑在制作内容时,要顾及到网络媒体自身、受众、广告商三方面的利益。另外,网络编辑如果具有了一定的广告意识,就能在制作内容时注重内容独特的形式或独特的解读方式,也会顾及到网站整体风格的统一,这对于网站而言,是非常重要的。
再次,网络编辑应充分了解国家相关政策和法规。网络媒体是媒体的一种形式,像传统媒体一样,需要在意识形态、舆论导向方面有尺度;网络媒体也是一种内容产业,所以编辑对于内容产业的一些相关法律也是要遵守的,如知识产权、版权方面的法规等;此外,网络是一个新兴媒体,那么,在一些敏感问题方面也需要谨慎,诸如对公众隐私权的保护、对国家安全法及保密法的遵守等,都是不能忽视的。
最后,网络编辑应当是多媒体人才、全媒体人才。互联网是一个多媒体体系,互联网上的内容有文字、图片、声音、图像、Flash„„多媒体内容需要用多种媒体的编辑能力进行操作,因此,网络编辑应具备报纸媒体需要的文字编辑能力,广播、电视媒体要求的视频、音频编辑能力以及网络这个新媒体本身所需要的一些能力。由此看来,“全”而“专”,对于网络编辑这个职业而言,是十分必要的。
如何做好一名网站编辑,网站编辑需要具备什么条件呢?
快速有效地新闻采集
一般网站不象传统媒体具有采访权,更多的内容要来自于其他媒体。如何快速准确的完成新闻采集的工作,是网站编辑的“基本功”。
有针对性的新闻稿件编排
千万不要把网络编辑的工作简单地认为是“复制粘贴”的搬运工。有了原始稿件,怎样再次的加工筛选编排,才是网站编辑的“初级功”。
画龙点睛的导读撰写
好编辑不仅要有好眼力,还要有一手好文笔。能够将文章的精华提炼出来,吸引浏览者阅读,绝不是一件简单的活。达到了这一层,网站编辑算是练成了“中级功”。
敏锐捕捉,策划专题
如果说前面的三点是练成一个专业网站编辑的“三步曲”,这第四步——专题策划,则是从一个专业编辑进入“高级编辑”的敲门砖。练成了这一步,网站才能具备真正的差异性和竞争力,做到“人无我有,人有我精”。
调动互动作者积极性
在web2.0的时代,网站的浏览者是普通大众,网站的创作者也是普通大众。如何调动互动作者的积极性,让他们更多地参与进来,也是考量编辑们功力的一大难题。
积累长期的知识库
网络规划流程范文第2篇
企 划 部 岗 位 职 责 与 流 程
审批:______
江西省万客泉酒业有限公司
目录
企划部职责----3-4 团队职责与人员架构-----------------------5-7 企划总监职责--- 总监助理职责----------------------------- ----- 企划经理职责--- 企划文案职责--- 企划设计师职责 网络推广职责--- 企划专员职责--- 企划部工作流程----------------------------8-12 初步方案征求意见------------------------ 方案调整,提交最终报告-----------------
① 企划部与其他部门沟通流程--------- ② 销售部工作职责--------------------- ③ 企划部与市场部的沟通流程--------- ④ 销售部工作职责--------------------- ⑤ 企划部与销售部的沟通流程--------- ⑥ 广告公司工作职责------------------ ⑦ 企划部与广告公司沟通流程--------- 设计制作流程----------------------------- 企划部费用申请流程---------------------- 活动安排流程-----------------------------
2
江西省万客泉酒业有限公司
企划部职责
部门职责
为公司提供直接的企业发展战略建议,参与公司营销战略制定,编制传播规划,承担公司广告传播工作的实施和广告效果测评。负责线上网站运营管理工作,组织协调有关部门开屏产品包装设计工作的开展及相关市场调研工作。具体内容如下:
1.在总经理的直接领导下开展公司营销企划工作,配合公司营销工作和其它各项工作的开展.接受其它部门的监督和指导.
2.参与公司营销目标战略研究,企业品牌的发展定位,目标规划和实施,承担企业中长远的形象规划和实施.
3.组织实施市场 产品 消费者竟争状况等调研话动,提供企业发展营销战略的分析资讯.
4.与营销系统其它部门确立企业的营销战略.编制造营销广告战略,编制广告营销策划方案,编制广告预算,制定广告费用的使用管理程序并实施广告费用管理。
5.与广告公司协作,开展企业新产品推广、市场开拓 广告创意制作 广告发布 产品促销等市场营销策划活动。配合营销中心各部门开展营销策划、
3
江西省万客泉酒业有限公司
推广工作。
6.合理考察、选用广告合作单位,组织配合开展各项广告运作,保持密切沟通 考评广告合作单位的工作业绩和广告效果。
7.工商管理机关,广告协会、消费者协会等 管理机关或协会组织保持密切联系沟通,配合开展机关工作,接受管理监督。对广告的发布实施活动进行事前 事中 事后效果评估,及时给予调整 修正。对各市场进行业务指导 审核 监控 协条 配合各市场开展媒体投放、产品促销等营销活动。
8.与广告界新闻界保持密切信息交流,沟通,组织参加相关业务培训活动,不断提高各部门员工业务素质和工作能力。在企业内部开展企业形象 广告意识等宣传教育活动。
9.负责线上运营推广管理工作。组织 协调有关部门开展产品包装设计工作。
10.公司其它其关工作。
4
江西省万客泉酒业有限公司
团队职责与人员架构
企划总监1名 职责:
1. 全面负责公司企划纲要及企划工作计划的制定和实施; 2. 制定公司规划提案,为公司提供发展战略、专项个案、整合方向、赢利开发等,提出基本数据理论依据
3. 人员安排与绩效考核工作
4. 全面负责公司项目推广定位和主题创意 5. 全面组织宣传推广计划,掌控实施过程
6. 负责重要的接待和外联,塑造企业良好的内外部形象
7. 及时将企划部工作中所发现不合理现象及合理化建议上报公司,并将公司有关决议传达下级人员 8. 定期提供季度,年度项目综合分析及工作总结 9. 负责企划人员的选拨,考核,培养,推荐 10. 制定企划的组织架构、下属岗位职责。
11. 执行公司规定并按要求下发实施方案的落实、检查、监督、总结,并上报总经理执行方案结果和执行总结。
12. 负责营运本部企划的日常工作管理及企划部与其他部门的协调。
总监助理1名 职责:
1.负责总监日常工作安排
2.负责日常总监所需要签字初步审核数据,报表事宜会议安排,记录。负责部门人员经费,报销费用的核对并提出不合理点及时沟能处理 3.配合各种数据调研,汇总工作 4.负责企划部日常工作及其它事项
5.参与配合公司其他部门的工作,完成总监及上级领导交给其他临时性工作
企划经理1名 职责:
1. 2. 3. 4.
协助企划总监负责企划方案的撰写和统筹
负责企划文案的指导,审核与方向性方案的撰写工作 负责重要的项目提案撰写和提报 针对企划工作与公司其它部门沟通
5
江西省万客泉酒业有限公司
5. 围绕方案撰写组织项目市场调研 6. 负责企划部的市场研究和指导工作
7. 指导企划人员整休水平的提高,并培训企划人员
8. 协助企划总临,倡导企划部团结协作,团结进取的良好氛围
9. 参与配合公司其他部门的工作,完成总监及上级领导交给其他临时性工作
企划文案1名 职责:
1.负责公司相关新闻报道的文字撰稿
2.负责媒体、广告公司的沟能、协调、管理工作。
3.负责报刊广告文字及相关的公司宣传性软文的撰稿、组稿、编辑工作 4.根据公司广告宣传工作的中心任务或重点项目,进行相关的文案策划 5.负责资料的搜集和整理分析工作,前期的市场调研与分析报告的撰写工作 6.配合经理做好营销策划案以及可行性报告的写作工作; 7.协助经理完成项目的企划文案工作
8.整理相关设计与文案资料整理、归档工作 9.参加晨会、会议 10.室内卫生清洁
11.维护、保管自用工具、器材 12.定期向经理汇报工作
13.参与配合公司其他部门的工作,完成经理及上级领导交给其他临时性工作。
企划设计师2名 职责:
1. 据项目企划要求,进行广告创意设计
2. 完成各策划方案所需的平面设计,包括楼书,海报,宣传册,围档户外广告,杂志等宣传载体的平面设计工作。
3. 监督印刷工艺及报价,保证设计与文案的沟通与衔接 4. 配合公司其他部门做好公司的对外宣传工作 5. 负责公司VI(视觉)系统的设计。
6. 负责配合广告公司进行电视广告的创意、制作。
7. 负责报纸广告、宣传页版面的创意、设计、排版。
8. 负责设计公司及下属加盟店的各种宣传牌、指示牌、员工胸牌、活动POP等的设计和制作。
9. 对公司及下属加盟店的内外部宣传设计提出建设性意见,并定期以书面形式提交公司领导。 10. 负责公司及加盟店的各种宣传素材的摄影、摄像、制作。
11. 定期修改或更换报纸广告版面和电视广告形式,分析同行的设计版式,不断推陈出新 12. 室内卫生清洁 13. 参加晨会、会议 14. 定期向经理汇报工作
6
江西省万客泉酒业有限公司
15. 参与配合公司其他部门的工作,完成经理及上级领导交给其他临时性工作
网络推广1名 职责:
1. 负责项目网站内容策划工作,广告发布内容的收集刊登工作 2. 根据项目节点策划各类促销活动,在网站上做好宣传工作
3. 根据网站收集整理客户反应情况等资料,并及时向上级反应及汇报工作。 4. 完成上级给予的各项工作
5. 对公司重大事件、先进事迹、公司良好形象典型事件负责网络报道宣传; 6. 室内卫生清洁 7. 参加晨会、会议 8. 定期向经理汇报工作
16. 参与配合公司其他部门的工作,完成经理及上级领导交给其他临时性工作
企划专员3名 职责:
1. 企划活动中常用标准道具保管
2. 负责公司庆典活动的气氛营造和布置等工作 3. 负责参加各类促销活动
4. 协助安装灯箱片、展板等工作 5. 室内卫生清洁
6. 机器设备的正常维护及使用 7. 参加晨会、会议
8. 维护、保管自用工具、器材 9. 定期向经理汇报工作
10. 参与配合公司其他部门的工作,完成经理及上级领导交给其他临时性工作
7
江西省万客泉酒业有限公司
企划部工作流程
(一)项目介入流程
1、识别客户需求
①了解客户需求,解答客户问题; ②对客户需求的理解陈述; ③界定工作范围;
④描述提出方案或方法的基本原理; ⑤项目组织的介绍;
⑥项目完成所要求的进度计划;
⑦确认项目执行可能产生的成本预算;
⑧确认客户期望项目团队提供什么样的交付物; ⑨确认客户期望的规格和特征;
⑩商定进一步洽谈的内容、时间及地点。
2、进一步洽谈确定流程
①客户企业介绍情况,提出咨询要求与希望;
②研究企业提供的资料、分析企业状况、初步拟定项目框架; ③实地考察客户企业及环境; ④确定项目框架和目标;
⑤根据企业期望做准备性调查。
3、提交项目建议书及合同签订。
①与招商部及公司广泛沟通,根据客户需求提出项目建议书。
②双方就建议书内容(包括项目目标、框架、主要内容、执行方案、时间计划和初步预算等)进一步商讨。
③拟定并签订合同,作好项目开展准备工作。 以上工作以招商部为主,企划部协助。
(二)项目启动流程
1、确定项目领导小组
①根据项目要求确定由企划部与招商部双方主要领导组成的项目领导小组,统筹分工项目的开展。 ②确定公司配合要求和内部人选。
2、确定项目计划
①项目领导小组和项目负责人确定项目开展计划与项目详细目标,结构细化,时间进度,人员要求和其他后期准备。
8
江西省万客泉酒业有限公司
②根据经验提出初步计划建议。 ③准备项目开展所需的资料等。
3、确定工作组
①根据项目计划要求,成立项目工作组,明确具体分工和职责。 ②拟定工作计划和时间进度。 ③拟定调查分析计划。
(三)调查分析流程
1、调查分析和座谈会
①根据调查计划和针对性问题实施市场调查。
②主持和开展座谈会、讨论会、听取各方面人员的意见和要求。 ③深入调查分析,了解客户竞争对手的情况及客户产业链。
2、调整并提交企划报告
①整理分析调查资料,对问题分类。 ②提供初步改进建议方案框架。 ③提交报告。
(四)方案设计流程
1、提交初步设计方案
①在客户对报告反馈基础上进方案设计,并根据客户情况实时修改。 ②向客户提供满足其特殊要求的、可操作的管理改善方案。
2、初步方案征求意见
①初步方案分专题向有关部门进行详细介绍,回答有关问题,广泛听取修改补充意见。 ②针对反馈意见和建议,进行局部调整和补充。 ③拟定实施计划纲要。
3、方案调整,提交最终报告
①按照客户要求提供最终报告,就报告内容答疑咨询。 ②协助客户拟定实施计划。
③对存在分歧的问题进行分析研究,提出可选择性解决建议。 ④双方共同分析存在的问题和难点,商定可能的解决方案。
第二部分
企划部与其他部门沟通流程
一、销售部工作职责
1、负责公司一级市场的开发与公关工作。
2、负责项目前期的资料搜集与数据整理工作。制定周密完善的调查方案。
9
江西省万客泉酒业有限公司
3、负责项目的前期市场调研和产品分析工作。
4、负责同行业的信息搜集工作,深入了解项目的经营特色和经营情况,定期制定市场报告。
5、负责项目成本核算与评估工作。
6、负责市场研究工作,包括产品定位、总体规划等具体工作。
二、企划部与市场部的沟通流程
A、市场部主要负责前期市场调研,市场部可以要求企划部配合,企划部可以从企划的角度,提出调研标准和调研细则直接与市场部沟通。
B、市场部负责填写调研表格以及对调研项目的分析和评价。
C、市场部与企划部沟通项目的产品定位与项目研判,由企划部最终确认。 D、企划部根据市场部提供的调研信息制作企划报告。
E、企划部和市场部共同协调和执行项目推广中的工作安排。 F、市场部直接与企划部沟通。不直接与销售部、广告公司接触。
三、销售部工作职责
1、负责完成公司下达的年度销售指标及诸如销售额、合同履约率、销售计划完成率等考核指标。
2、根据销售情况,及时掌握市场行情动态并作出相应调整,对重大市场变动和政策变动情况及时上报公司领导。
3、负责各类销售原始资料的归类、整理、收集、存档的管理工作,及时编制销售统计报表和分析报告。
4、参与制定项目的产品定位,负责产品的定价与销售策略的制定。
5、负责销售活动的人员组织与现场控制。
6、负责销售人员的培训。
四、企划部与销售部的沟通流程
A、销售部定期将月销售计划表与业绩表以表格的形式提供给企划部;
B、企划部每周定期与销售部进行沟通,销售部提出销售思路,并提供初步方案由企划部协助完成; C、企划部负责活动方案的联系、采购与执行细节的落实工作,销售部在人力方面提供支持; D、销售部负责与开发商的沟通和协商工作并将最新的信息传到给企划部; E、企划部负责项目网站的维护工作,由销售部告知更正信息后更正; F、销售部负责门户网站市场信息采集反馈工作; G、销售部定期反馈销售中的问题;
H、销售部对企划部提出的方案有最终的决定权; I、企划部征求销售部的意见后给广告公司沟通;
五、广告公司工作职责
1、配合企划部参与制定产品的项目定位;
2、配合企划部针对媒体特点,制定项目的各阶段推广议题与推广方案;
3、负责提供广告设计与推广文案的制定工作;
4、负责项目各系统的包装与销售资料的设计工作;
5、配合企划部负责新闻公关活动的企划与执行;
6、负责广告投放效果的评估与总结工作。
10
江西省万客泉酒业有限公司
六、企划部与广告公司沟通流程
A、企划部定期组织包括销售部负责人参加的广告会议,提出广告要求和时间进度; B、企划部定期向广告公司提供销售数据以及新的方向性思路; C、广告公司应企划部要求参加企划、销售会议。 D、企划部直接给广告公司下达广告任务;
E、企划部对广告稿件有最终的审核权,并根据稿件质量确定是否传达销售部审阅; F、广告公司就每一个设计稿件提供3个样稿,以便企划部审阅;
G、广告公司如果对企划部提出的修改意见有疑义需要用书面的形势阐明自己的观点; H、企划部设专人就广告稿件与广告公司和销售部沟通。
设计制作流程
(一)用途确定(位置规划确定)
(二)设计制作申请请单,及费用预算
(三)规格、材质、数量确定
(四)设计资料整理及方案编写
(五)设计图审稿、定稿
(六)设计物品制作及收货
① ② ③ ④ ⑤ ⑥ 确定两家以上印刷品制作商并签定常年服务合同
根据企划方案确定印刷内容和规格,要求服务单位报价 根据报价与服务商勾通,选择适当的服务商 将选择方案报总经理审核 审批通过后进行制作印刷
制作品入库,填写入库单,报财务备案。
(七)设计物品安装、结付制作款 企划部费用申请流程
①
目地;填写费用申请单,写清费用用途。(根据企划方案中费用预算而定)
② 审批:经总监助理初部审核→由部门总监签字→再总经理签定→财务部经理答字→出纳出账 活动安排流程
1. 企业策划书→总监助理初审→总监审审核→总经理审核及批准
2. 由总监和市场内管理员进行协商,如同意则举行活动(日期侍定)。 3. 宣传单的设计,设计要符合当时的销售模式。
11
江西省万客泉酒业有限公司
4. 传单印刷(参照设计物品制作流程) 5. 奖品筹备,单子给后勤部门,领取奖品。 6. 现场查看安排道具摆放。
企划部宣传推广流程
1、确定宣传推广的目标
宣传推广策划目的在于向外界传递怎样的信息,如企业的品牌形象,新产品推介、信息发布等,引起受众群体的关注,并影响其行为。
2、规划宣传推广的时间及阶梯
为了不使宣传推广工作无的放矢,需要注意宣传推广的时间及阶段性。渠道的选择、宣传对象的心里接受时间均影响宣传推广时间及阶梯。
3、分析选择宣传推广的渠道
通过电视、报纸、户外广告、网络、数据业务平台、线下活动等各种渠道,及时地发布会议或活动信息及报道,增加会议或活动影响力。
4、相关素材策划
宣传推广的素材料主要包括活动信息新闻稿、专题信息材料、活动策划案、相关影像资料等。
5、活动前期铺垫或预热
6、活动期间新闻点、宣传点扑捉
网络规划流程范文第3篇
网络部马辰祎
本人马辰依,自2012年3月19日进入京东誉美中西医结合肾病医院网络部,成为一名网络编辑至今已有一月有余。在这一个多月的时间里,在誉美网络部这个大家庭里,我学到了很多东西,也收获了很多。对网络编辑这个工作也有了自己的认识,对自己未来的职业定位和工作也有了自己的展望。这里进行一下这一个月的工作总结和自己的思想认识报告,希望领导给与指导!
工作内容总结
1、在这一个半月的时间里,我先后负责过http://http://
http:// http:// http:// http:// http:// http:// 8个网站的文章更新工作,共计更新文章818篇。
2、整理关键词文章写作:72篇。
3、专题页写作:15个。
4、关键词的描述性语言写作:14
5、所负责的网站的文章错误的修改(如将所有yumeishenbing.com中的医院名称统一为“京东誉美中西医结合肾病医院”、将yumei120.com上面的专家资料改为最新的专家介绍等)。
工作收获
1、个人技能得到提升。在这一个半月的工作和学习中,工作是一个方面,学习是另一个方面。这一个月是一个在工作中学习,同时将学到的东西运用到工作中的过程。主要有以下收获:
(1)文章写作能力有很大提升。半原创文章的思路拓宽、文章优化水平渐长。能够写作出比较标准的对搜索引擎友好的文章,写作的文章逐渐得到搜索引擎的认可。
(2)photoshop软件的使用技能在同事的帮助和自己的探索下得到增强。
(3)SEO搜索引擎优化知识得到提升,掌握了一个对搜索引擎有好的网站应该具备什么特点、怎样运用方向链接提升网站的流量、学会如何产生高质量的反向链接、文章SEO和图片SEO能力得到增强。
(4)接触Dreamweaver软件。
2、自身品质的培养
这段时间来,我坚持学习网络专业知识,不断充实、武装自己的头脑,工作带来的高要求,激励了我更加积极的进取之心。不懂就要问,我相信只要有进取之心,就没有什么不可以。虽然编辑的工作有些单调,但是正是在这种不断的重复过程中我的耐力得到了很好的锻炼,这对于刚刚走出校门的我来说是一笔很大的财富。
3、深厚的友谊
在这一个半月中,家人们的关心和帮助时刻围绕在我的身边,有的已经成为“死党”。誉美这个大家庭不仅给我一个良好的工作氛围,更给我家庭的温暖。我觉得在这样的环境中工作真的是一件特别开心的事。
心得体会
在这一个半月的工作实践中,我最大的体会就是每个人要做好自己分内的事,整体才能有一个好的工作效率。对于自己的工作,不能当成任务,要把它当成一种事业!开始的时候,我把每天都是更新文章当成是工作任务,于是觉得有些枯燥,在正中情况下,每天做的次数最多的事情就是数数,数自己有没有到达应该做的任务数,到达数量就算完成任务。后来我开始反思:这样做我能得到什么?但是:nothing!那么我为什么会觉得枯燥呢?根本原因就是我把他当成了任务,而不是自己的事业!试问,如果是在自己的淘宝网店上更新内容,我会是怎样的态度?
在想通这一点以后,我做每一篇文章的时候都当成是在自己的网站上做更新,时刻关注它的收录情况、点击情况、甚至还有他的可读性、美观程度等等。在这个过程中,就会遇到很多不懂得东西,于是,学习的渴望越来越大,以至于最后自己利用闲暇时间学习更多SEO知识。现在,在网络编辑的工作上虽然我需要改进的还很多,但是我可以自豪的说,我找到了自己的方向,并且朝着自己的方向已经迈出了难得的一步。这一切都是誉美网络部这个大家庭带给我的。
未来的工作规划
1、我已经逐渐意识到,作为一个网络编辑,首先应该跳出的就是ctrl+c和ctrl+v的工作模式,应该带着自己的想法来编辑内容。以后我会在日常工作之外,多做基础性的工作,让自己迅速充实起来,逐渐加强网络专业知识水平,逐渐向着成长为一个“高级的”编辑的方向!这样,不仅可以让自己的水平得以迅速提高,更能让网站的影响力得到提升。
2、进一步提升自己的能力,更加深入的接触Dreamweaver软件,photoshop软件进一步深入,同时提升搜索引擎优化的能力,争取早日独当一面,成为一个“多能型”的网络工作者。
3、此外,在日常工作方面,我还要力争做到:
(1)继续加强网络基础知识的学习,增强自身的新闻敏锐性,提升组织策划能力。
(2)形成自己的独特的编辑方针,做出自己的特色。
(3)在以后的业余时间,多读一些关于肾病方面的书籍,写出更具专业性的文章。 结束语
网络规划流程范文第4篇
http:///rk/netgh/index.html
软考网络规划设计师教程考点精讲
(五)
网络规划设计师考试是信息产业部和人事部举办的一门考试。希赛软考学院为广大考生整理了网络规划设计师教程考点精讲,希望能帮助大家在学习的过程中更容易理解知识点。
OSPF协议
为了响应不断增长的建立越来越大的基于IP的网络需要,IETF成立了一个工作组专门开发一种开放的、基于大型复杂IP网络的链路状态路由选择协议。由于它依据一些厂商专用的最短路径优先(SPF)路由选择协议开发而成,而且是开放性的,因此称为开放式最短路径优先(Open Shortest Path First,OSPF)协议,和其它SPF一样,它采用的也是Dijkstra算法。OSPF协议现在已成为最重要的路由选择协议之一,主要用于同一个自治系统。
OSPF协议采用了"区域"的设计,提高了网络可扩展性,并且加快了网络会聚时间。也就是将网络划分成为许多较小的区域,每个区域定义一个独立的区域号并将此信息配置给网络中的每个路由器。从理论上说,通常不应该采用实际地域来划分区域,而是应该本着使不同区域间的通信量最小的原则进行合理分配。
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议--OSPF.目前广
网络规划设计师
http:///rk/netgh/index.html
为使用的是OSPF第二版,最新标准为RFC2328. 1.OSPF路由协议概述
OSPF作为一种内部网关协议,用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
下面介绍OSPF的基本概念和术语: (1)链路状态
OSPF路由器收集其所在网络区域上各路由器的连接状态信息,即链路状态信息(Link-State),生成链路状态数据库(Link-State Database)。路由器掌握了该区域上所有路由器的链路状态信息,也就等于了解了整个网络的拓扑状况。OSPF路由器利用"最短路径优先算法(Shortest Path First,SPF)",独立地计算出到达任意目的地的路由。
(2)区域
OSPF协议引入"分层路由"的概念,将网络分割成一个"主干"连接的一组相互独立的部分,这些相互独立的部分被称为"区域"(Area),"主干"的部分称为"主干区域".每个区域就如同一个独立的网络,该区域的OSPF路由器只保存该区域的链路状态。每个路由器的链路状态数据库都可以保持合理的大小,路由计算的时间、报文数量都不会过大。
(3)OSPF网络类型
网络规划设计师
http:///rk/netgh/index.html
根据路由器所连接的物理网络不同,OSPF将网络划分为四种类型:广播多路访问型(Broadcast MultiAccess)、非广播多路访问型(None Broadcast MultiAccess,NBMA)、点到点型(Point-to-Point)、点到多点型(Point-to-MultiPoint)。
广播多路访问型网络如:Ethernet、Token Ring、FDDI.NBMA型
网
络
如
:
Frame
Relay
、
X.
25、SMDS.Point-to-Point型网络如:PPP、HDLC. (4)指派路由器(DR)和备份指派路由器(BDR) 在多路访问网络上可能存在多个路由器,为了避免路由器之间建立完全相邻关系而引起的大量开销,OSPF要求在区域中选举一个DR.每个路由器都与之建立完全相邻关系。DR负责收集所有的链路状态信息,并发布给其他路由器。选举DR的同时也选举出一个BDR,在DR失效的时候,BDR担负起DR的职责。
当路由器开启一个端口的OSPF路由时,将会从这个端口发出一个Hello报文,以后它也将以一定的间隔周期性地发送Hello报文。OSPF路由器用Hello报文来初始化新的相邻关系以及确认相邻的路由器邻居之间的通信状态。
对广播型网络和非广播型多路访问网络,路由器使用Hello协议选举出一个DR.在广播型网络里,Hello报文使用多播地址224.0.0.5周期性广播,并通过这个过程自动发现路由器邻居。在NBMA网络中,DR负责向其他路由器逐一发送Hello报文。
OSPF协议操作总共经历了建立邻接关系、选举DR/BDR、
网络规划设计师
http:///rk/netgh/index.html
发现路由器等步骤。
第一步:建立路由器的邻接关系
所谓"邻接关系"(Adjacency)是指OSPF路由器以交换路由信息为目的,在所选择的相邻路由器之间建立的一种关系。路由器首先发送拥有自身ID信息(Loopback端口或最大的IP地址)的Hello报文。与之相邻的路由器如果收到这个Hello报文,就将这个报文内的ID信息加入到自己的Hello报文内。
如果路由器的某端口收到从其他路由器发送的含有自身ID信息的Hello报文,则它根据该端口所在网络类型确定是否可以建立邻接关系。
在点对点网络中,路由器将直接和对端路由器建立起邻接关系,并且该路由器将直接进入到第三步操作:发现其他路由器。若为MultiAccess网络,该路由器将进入选举步骤。
第二步:选举DR/BDR 不同类型的网络选举DR和BDR的方式不同。
MultiAccess网络支持多个路由器,在这种状况下,OSPF需要建立起作为链路状态和LSA更新的中心节点。选举利用Hello报文内的ID和优先权(Priority)字段值来确定。优先权字段值大小从0到255,优先权值最高的路由器成为DR.如果优先权值大小一样,则ID值最高的路由器选举为DR,优先权值次高的路由器选举为BDR.优先权值和ID值都可以直接设置。
第三步:发现路由器
网络规划设计师
http:///rk/netgh/index.html
在这个步骤中,路由器与路由器之间首先利用Hello报文的ID信息确认主从关系,然后主从路由器相互交换部分链路状态信息。每个路由器对信息进行分析比较,如果收到的信息有新的内容,路由器将要求对方发送完整的链路状态信息。这个状态完成后,路由器之间建立完全相邻(Full Adjacency)关系,同时邻接路由器拥有自己独立的、完整的链路状态数据库。
在MultiAccess网络内,DR与BDR互换信息,并同时与本子网内其他路由器交换链路状态信息。
在Point-to-Point或Point-to-MultiPoint网络中,相邻路由器之间互换链路状态信息。
第四步:选择适当的路由器
当一个路由器拥有完整独立的链路状态数据库后,它将采用SPF算法计算并创建路由表。OSPF路由器依据链路状态数据库的内容,独立地用SPF算法计算出到每一个目的网络的路径,并将路径存入路由表中。
OSPF利用量度(Cost)计算目的路径,Cost最小者即为最短路径。在配置OSPF路由器时可根据实际情况,如链路带宽、时延或经济上的费用设置链路Cost大小。Cost越小,则该链路被选为路由的可能性越大。
第五步:维护路由信息
当链路状态发生变化时,OSPF通过Flooding过程通告网络上其他路由器。OSPF路由器接收到包含有新信息的链路状态更
网络规划设计师
http:///rk/netgh/index.html
新报文,将更新自己的链路状态数据库,然后用SPF算法重新计算路由表。在重新计算过程中,路由器继续使用旧路由表,直到SPF完成新的路由表计算。新的链路状态信息将发送给其他路由器。值得注意的是,即使链路状态没有发生改变,OSPF路由信息也会自动更新,默认时间为30分钟。
2.OSPF路由协议的基本特征
前文已经说明OSPF路由协议是一种链路状态的路由协议,为了更好地说明OSPF路由协议的基本特征,将OSPF路由协议与距离矢量路由协议之一的RIP作比较如下:
RIP中用于表示目的网络远近的唯一参数为跳(hop),即到达目的网络所要经过的路由器个数。在RIP路由协议中,该参数被限制最大为15,即RIP路由信息最多能传递至第16个路由器;对于OSPF路由协议,路由表中表示目的网络的参数为Cost,该参数为一虚拟值,与网络中链路的带宽等相关,即OSPF路由信息不受物理跳数的限制,因此,OSPF比较适合于大型网络中。
RIPv1路由协议不支持变长子网屏蔽码(VLSM),这被认为是RIP路由协议不适用于大型网络的又一个重要原因。采用变长子网屏蔽码可以在最大限度上节约IP地址。OSPF路由协议对VLSM有良好的支持性。?
RIP路由协议路由收敛较慢。RIP路由协议周期性地将整个路由表作为路由信息广播至网络中,该广播周期为30s.在一个较为大型的网络中,RIP会产生很大的广播信息,占用较多的网络
网络规划设计师
http:///rk/netgh/index.html
带宽资源。而且由于R1P协议30s的广播周期,影响了RIP路由协议的收敛,甚至出现不收敛的现象。而OSPF是一种链路状态的路由协议,当网络比较稳定时,网络中的路由信息是比较少的,并且其广播也不是周期性的,因此OSPF路由协议即使是在大型网络中也能够较快地收敛。
在RIP中,网络是一个平面的概念,并无区域及边界等的定义。随着无级路由CIDR概念的出现,RIP协议就明显落伍了。在OSPF路由协议中,一个网络,或者说是一个路由域可以划分为很多个区域(area),每一个区域通过OSPF边界路由器相连,区域间可以通过路由汇聚来减少路由信息,减小路由表,提高路由器的运算速度。
OSPF路由协议支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息。而且OSPF可以对不同的区域定义不同的验证方式,提高网络的安全性。
3.建立OSPF邻接关系过程
OSPF路由协议通过建立交互关系来交换路由信息,但并不是所有相邻的路由器都会建立OSPF交互关系。下面简要介绍OSPF建立adjacency的过程。
OSPF协议是通过Hello协议数据包来建立及维护相邻关系的,同时也用其来保证相邻路由器之间的双向通信。OSPF路由器会周期性地发送Hello数据包,当这个路由器看到自身被列于其他路由器的Hello数据包里时,这两个路由器之间会建立起双
网络规划设计师
http:///rk/netgh/index.html
向通信。在多接入的环境中,Hello数据包还用于发现指定路由器(DR),通过DR来控制与哪些路由器建立交互关系。
两个OSPF路由器建立双向通信之后的第二个步骤是进行数据库的同步,数据库同步是所有链路状态路由协议的最大的共性。在OSPF路由协议中,数据库同步关系仅仅在建立交互关系的路由器之间保持。
OSPF的数据库同步是通过
OSPF数据库描述数据包(Database Description Packets)来进行的。OSPF路由器周期性地产生数据库描述数据包,该数据包是有序的,即附带有序列号,并将这些数据包对相邻路由器广播。相邻路由器可以根据数据库描述数据包的序列号与自身数据库的数据作比较,若发现接收到的数据比数据库内的数据序列号大,则相邻路由器会针对序列号较大的数据发出请求,并用请求得到的数据来更新其链路状态数据库。
将OSPF相邻路由器从发送Hello数据包,建立数据库同步至建立完全的OSPF交互关系的过程分成几个不同的状态,如下所述。
(1)Down:这是OSPF建立交互关系的初始化状态,表示在一定时间之内没有接收到从某一相邻路由器发送来的信息。在非广播性的网络环境内,OSPF路由器还可能对处于Down状态的路由器发送Hello数据包。
(2)Attempt:该状态仅在NBMA环境,如帧中继、X.25或
网络规划设计师
http:///rk/netgh/index.html
ATM环境中有效,表示在一定时间内没有接收到某一相邻路由器的信息,但是OSPF路由器仍必须通过以一个较低的频率向该相邻路由器发送Hello数据包来保持联系。
(3)Init:在该状态时,OSPF路由器已经接收到相邻路由器发送来的Hello数据包,但自身的IP地址并没有出现在该Hello数据包内,也就是说,双方的双向通信还没有建立起来。
(4)2-Way:这个状态可以说是建立交互方式真正的开始步骤。在这个状态,路由器看到自身已经处于相邻路由器的Hello数据包内,双向通信已经建立。指定路由器及备份指定路由器的选择正是在这个状态完成的。在这个状态,OSPF路由器还可以根据其中的一个路由器是否指定路由器或是根据链路是否点对点或虚拟链路来决定是否建立交互关系。
(5)Exstart:这个状态是建立交互状态的第一个步骤。在这个状态,路由器要决定用于数据交换的初始的数据库描述数据包的序列号,以保证路由器得到的永远是最新的链路状态信息。同时,在这个状态路由器还必须决定路由器之间的主备关系,处于主控地位的路由器会向处于备份地位的路由器请求链路状态信息。
(6)Exchange:在这个状态,路由器向相邻的OSPF路由器发送数据库描述数据包来交换链路状态信息,每一个数据包都有一个数据包序列号。在这个状态,路由器还有可能向相邻路由器发送链路状态请求数据包来请求其相应数据。从这个状态开始,
网络规划设计师
http:///rk/netgh/index.html
可以说OSPF处于Flood状态。
(7)Loading:在Loading状态,OSPF路由器会就其发现的相邻路由器的新的链路状态数据及自身的己经过期的数据向相邻路由器提出请求,并等待相邻路由器的回答。
(8)Full:这是两个OSPF路由器建立交互关系的最后一个状态,在这时,建立起交互关系的路由器之间已经完成了数据库同步的工作,它们的链路状态数据库己经一致。
4.OSPF的DR及BDR 在DR和BDR出现之前,每一台路由器和他的所有邻居成为完全网状的OSPF邻接关系,这样5台路由器之间将需要形成10个邻接关系,同时将产生25条LSA.而且在多址网络中,还存在自己发出的LSA从邻居的邻居发回来,导致网络上产生很多LSA的拷贝。所以基于这种考虑,产生了DR和BDR. DR将完成如下工作:
(1)描述这个多址网络和该网络上剩下的其他相关路由器。 (2)管理这个多址网络上的flooding过程。
(3)同时为了冗余性,还会选取一个BDR,作为双备份之用。 DR BDR选取规则:DR BDR选取是以接口状态机的方式触发的。
(1)路由器的每个多路访问(multi-access)接口都有个路由器优先级(Router Priority),8位长的一个整数,范围是0到255,Cisco路由器默认的优先级是1,优先级为0的话将不能选
网络规划设计师
http:///rk/netgh/index.html
举为DR/BDR.优先级可以通过命令ip ospf priority进行修改。
(2)Hello包里包含了优先级的字段,还包括了可能成为DR/BDR的相关接口的IP地址。
(3)当接口在多路访问网络上初次启动的时候,它把DR/BDR地址设置为0.0.0.0,同时设置等待计时器(wait timer)的值等于路由器无效间隔(Router Dead Interval)。
DR BDR选取过程:
(1)路由器X在和邻居建立双向(2-Way)通信之后,检查邻居的Hello包中Priority,DR和BDR字段,列出所有可以参与DR/BDR选举的邻居。
(2)如果有一台或多台这样的路由器宣告自己为BDR(也就是说,在其Hello包中将自己列为BDR,而不是DR),选择其中拥有最高路由器优先级的成为BDR;如果相同,选择拥有最大路由器标识的。如果没有路由器宣告自己为BDR,选择列表中路由器拥有最高优先级的成为BDR(同样排除宣告自己为DR的路由器),如果相同,再根据路由器标识。
(3)按如下计算网络上的DR.如果有一台或多台路由器宣告自己为DR(也就是说,在其Hello包中将自己列为DR),选择其中拥有最高路由器优先级的成为DR;如果相同,选择拥有最大路由器标识的。如果没有路由器宣告自己为DR,将新选举出的BDR设定为DR. (4)如果路由器X新近成为DR或BDR,或者不再成为DR
网络规划设计师
http:///rk/netgh/index.html
或BDR,重复步骤2和3,然后结束选举。这样做是为了确保路由器不会同时宣告自己为DR和BDR. (5)要注意的是,当网络中已经选举了DR/BDR后,又出现了1台新的优先级更高的路由器,DR/BDR是不会重新选举的。
(6)DR/BDR选举完成后,DRother只和DR/BDR形成邻接关系。所有的路由器将组播Hello包到AllSPFRouters地址224.0.0.5以便它们能跟踪其他邻居的信息,即DR将泛洪update packet到224.0.0.5;DRother
只组播
update packet
到AllDRouter地址224.0.0.6,只有DR/BDR监听这个地址。
简洁的说:DR的筛选过程: (1)优先级为0的不参与选举; (2)优先级高的路由器为DR; (3)优先级相同时,以router ID大为DR;router ID以回环接口中最大ip为准;若无回环接口,以真实接口最大ip为准。
(4)缺省条件下,优先级为1. 5.OSPF路由器类型
OSPF路由器类型如7-12所示。
网络规划设计师
http:///rk/netgh/index.html
(1)区域内路由器(Internal Routers)
该类路由器的所有接口都属于同一个OSPF区域。 (2)区域边界路由器ABR(Area Border Routers) 该类路由器可以同时属于两个以上的区域,但其中一个必须是骨干区域。ABR用来连接骨干区域和非骨干区域,它与骨干区域之间既可以是物理连接,也可以是逻辑上的连接。
(3)骨干路由器(Backbone Routers)
该类路由器至少有一个接口属于骨干区域。因此,所有的ABR和位于Area0的内部路由器都是骨干路由器。
(4)自治系统边界路由器ASBR(AS Boundary Routers) 与其他AS交换路由信息的路由器称为ASBR.ASBR并不一定位于AS的边界,它可能是区域内路由器,也可能是ABR.只要一台OSPF路由器引入了外部路由的信息,它就成为ASBR.
网络规划设计师
http:///rk/netgh/index.html
6.OSPF LSA类型
随着OSPF路由器种类概念的引入,OSPF路由协议又对其链路状态广播数据包(LSA)做出了分类。OSPF将链路状态广播数据包主要分成以下6类,如表7-6所示:
表7-6 LSA类型 7.OSPF区域类型
根据区域所接收的LSA类型不同,可将区域划分为以下几种类型:
①标准区域:默认的区域类型,它接收链路更新、汇总路由和外部路由。图7-13所示;
网络规划设计师
http:///rk/netgh/index.html
图7-13标准区域示例
②骨干区域:骨干区域为Area 0,其他区域都与之相连以交换路由信息,该区域具有标准区域的所有特征;
③末节区域:它不接收4类汇总LSA和5类外部LSA,但接收3类汇总LSA,使用默认路由到到AS外部网络(自动生成),该区域不包含ASBR(除非ABR也是ASBR);
④绝对末节区域:这个是Cisco专用。它不接收3类、4类汇总LSA和5类外部LSA,使用默认路由到AS外部网络(自动生成),该区域不包含ASBR(除非ABR也是ASBR);
⑤NSSA:它不接收4类汇总LSA和5类外部LSA,但接收3类汇总LSA且可以有ASBR,使用默认路由前往外部网络,默认路由是由与之相连的ABR生成的,但默认情况下不会生成,要让ABR生成默认路由,可使用命令
area area-id nssa default-information-originate; ⑥绝对末节NSSA:这个是Cisco专用。它不接收3类、4类汇总LSA和5类外部LSA且可以有ASBR,使用默认路由到AS外部网络,默认路由是自动生成的。
每一种区域中允许泛洪的LSA总结如表7-7所示:
网络规划设计师
http:///rk/netgh/index.html
表7-7区域允许LSA总结
注:*为ABR路由器使用一个类型3的LSA通告默认路由。 8.虚链路
在OSPF路由协议中存在一个骨干区域(backbone),该区域包括属于这个区域的网络及相应的路由器,骨干区域必须是连续的,同时也要求其余区域必须与骨干区域直接相连。骨干区域一般为区域0,其主要工作是在其余区域间传递路由信息。所有的区域,包括骨干区域之间的网络结构情况是互不可见的,当一个区域的路由信息对外广播时,其路由信息是先传递至区域0(骨干区域),再由区域0将该路由信息向其余区域作广播。
在实际网络中,可能会存在骨干区域不连续或者某一个区域与骨干区域物理不相连的情况,在这两种情况下,系统管理员可以通过设置虚拟链路的方法来解决。如图7-14和7-15所示。
网络规划设计师
http:///rk/netgh/index.html
图7-14骨干区域不连续虚链路
图7-15与骨干区域物理不相连虚链路
虚拟链路设置在两个路由器之间,这两个路由器都有一个端口与同一个非骨干区域相连。虚拟链路被认为是属于骨干区域的,在OSPF路由协议看来,虚拟链路两端的两个路由器被一个点对点的链路连在一起。在OSPF路由协议中,通过虚拟链路的路由信息是作为域内路由来看待的。
9.OSPF配置命令汇总
网络规划设计师
http:///rk/netgh/index.html
OSPF常用配置命令如表7-8所示。
表7-8 OSPF配置命令汇总 10.OSPF配置实例
下面,以图7-16所示的一个网络为例说明OSPF路由选择协议的配置方法,该网络中有0和1两个区域,其中R1的S1端口、R2的S0端口属于区域0;而R
3、R1的S0端口、R2的S1端口则属于区域1.
网络规划设计师
http:///rk/netgh/index.html
图7-16 OSPF配置拓扑图
下面列出三个路由器配置OSPF的指令: R1#config terminal(进入全局配置模式)
R1(config)#router ospf 100(进入OSPF协议配置子模式)
R1(config-router)#network 172.16.10.1 0.0.0.0 area 0(设置邻接网络)
R1(config-router)#network 172.16.11.1 0.0.0.0 area 0(指定区域0)
R1(config-router)#network 192.168.2.1 0.0.0.0 area 1 R2(config)#router ospf 200(进入OSPF协议配置子模式)
R2(config-router)#network 172.16.0.0 0.0.255.255 area 0(设置邻接网络)
网络规划设计师
http:///rk/netgh/index.html
R2(config-router)#network 192.168.3.0 0.0.0.255 area 1 R3(config)#router ospf 300(进入OSPF协议配置子模式)
R3(config-router)#network 192.0.0.0 0.255.255.255 area 1(设置邻接网络)
网络规划流程范文第5篇
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。 关键词: 网络,安全,VPN,防火墙 ,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life. Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life. Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security. Network security has become the focus of attention today in the world, the importance of network security is self-evident. This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN. And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security. Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package. The purpose is to build a complete, secure network architecture, network security systems really get better results.
Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
目录
摘
要 ............................................................................................................................................................ I 第一章 绪
论 ............................................................................................................................................... 1 1.1 网络的起源 ...................................................................................................................................... 1 1.2网络安全的重要性 ........................................................................................................................... 1 第二章 企业网络安全概述 ........................................................................................................................... 3 2.1 企业网络的主要安全隐患 ............................................................................................................ 3 2.2 企业网络的安全误区 .................................................................................................................... 3 第三章
企业网络总体设计方案 ................................................................................................................. 5 3.1 公司背景 .......................................................................................................................................... 5 3.2 企业网络安全需求 .......................................................................................................................... 5 3.3 需求分析 .......................................................................................................................................... 5 3.4 企业网络结构 .................................................................................................................................. 6 3.5 企业IP地址的划分 ........................................................................................................................ 9 第四章 企业网络安全技术介绍 ................................................................................................................... 9 4.1 Easy VPN .......................................................................................................................................... 9 4.1.1 什么是VPN .......................................................................................................................... 9 4.1.2 VPN 的分类 ........................................................................................................................ 10 4.1.3 Easy VPN ............................................................................................................................. 10 4.2 SSH ................................................................................................................................................. 11 4.2.1 SSH介绍 .............................................................................................................................. 11 4.2.2 SSH与Telnet的区别 .......................................................................................................... 11 4.3 AAA服务器 ................................................................................................................................... 12 4.3.1 AAA介绍 ............................................................................................................................ 12 4.3.2 认证(Authentication) ........................................................................................................... 12 4.3.3 授权(Authorization) ............................................................................................................ 12 4.3.4 审计(Accounting) ................................................................................................................ 13 4.4 IDS 入侵检测系统 ..................................................................................................................... 13 4.5 firewall 防火墙 ........................................................................................................................... 13 4.5.1 什么是防火墙 ..................................................................................................................... 13 4.5.2 防火墙类型 ......................................................................................................................... 14 第五章 企业网络设备实施方案 ................................................................................................................. 14 5.1 企业物理安全规划 ...................................................................................................................... 14 5.2 设备选型 ........................................................................................................................................ 15 5.3 设备配置 ........................................................................................................................................ 16 5.3.1 交换机 ................................................................................................................................. 16 5.3.2 路由器与防火墙 ................................................................................................................. 25 5.3.3 服务器 ................................................................................................................................. 28 第六章 项目测试 ......................................................................................................................................... 30 6.1 DHCP验证 ..................................................................................................................................... 32 6.2 网络连通性 .................................................................................................................................... 35 6.3 网络安全性 .................................................................................................................................... 37 6.3.1 SSH与console的权限 ....................................................................................................... 37 6.3.2 网络连通安全性 ................................................................................................................. 40 6.4 分公司与总公司安全性 ................................................................................................................ 42 总
结 ........................................................................................................................................................... 45 致
谢 ........................................................................................................................................................... 46 参考文献 ....................................................................................................................................................... 47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1) 病毒、木马和恶意软件的入侵。 2) 网络黑客的攻击。
3) 重要文件或邮件的非法窃取、访问与操作。 4) 关键部门的非法访问和敏感信息外泄。 5) 外网的非法入侵。
6) 备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一) 安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二) 安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三) 在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四) 只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五) 文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六) 网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1) 根据公司需求组建网络 (2) 保证网络的连通性 (3) 保护网络信息的安全性
(4) 防范网络资源的非法访问及非授权访问 (5) 防范入侵者的恶意攻击与破坏
(6) 保护企业本部与分部之间通信信息的完整与安全性 (7) 防范病毒的侵害 (8) 实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1) 构建良好的环境确保企业物理设备的安全 (2) IP地址域的划分与管理 (3) 划分VLAN控制内网安全 (4) 安装防火墙体系
(5) 建立VPN(虚拟专用网络)确保数据安全 (6) 安装防病毒服务器 (7) 加强企业对网络资源的管理 (8) 做好访问控制权限配置 (9) 做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1. 按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2. 按VPN的应用分类
1) Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2) Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3) Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3. 按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H )。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、 认证(Authentication): 验证用户是否可以获得访问权限;
2、 授权(Authorization) : 授权用户可以使用哪些服务;
3、 审计(Accounting) : 记录用户使用网络资源的情况。
4.3.2 认证(Authentication) 认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization) 授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting) 审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
2)应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。
第五章 企业网络设备实施方案
5.1 企业物理安全规划
公司网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1) 保证机房环境安全
XXXXXXXXXX计算机专业毕业设计
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2) 选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。 3) 保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
5.2 设备选型
设备选型在一个网络工程之中尤为重要,既要保证其性能与稳定性,也要考虑实际预算是否合理,这是需要有很强的专业知识和工作经验才能很好地完成的。根据网络拓扑图,所需的设备为:
设备名称 设备品牌 设备数量 作用 2950交换机 Cisco 24 接入层交换机 2960交换机 Cisco 8 汇聚层交换机 7200交换机 Cisco 1 核心层交换机 ASA5500 Cisco 1 防火墙 IDS4235 Cisco 1 入侵检测系统 IBM服务器 IBM 5 内部服务器 打印机 HP 1 接入终端设备 复印机 HP 1 接入终端设备 传真机 HP 1 接入终端设备 扫描仪 HP 1 接入终端设备
XXXXXXXXXX计算机专业毕业设计
5.3 设备配置
5.3.1 交换机
接入层交换机基本就根据VLAN划分表讲接口划分VLAN即可。
配置命令如下:
switch(Config)interface Interface type (接口类型与ID)
switch(config-if)#switchport mode access (改为接入模式) switch(config-if)#switchport access vlan number (VLAN ID号) 等待接口指示灯变为绿色后即完成生成树运算。
汇聚交换机做了一些策略如BPDU 防护,根防护,与trunk等。 公司总部一共4台汇聚交换机,具体配置如下: SW1:
hostname sw1 命名为SW1 ! spanning-tree portfast default 全局下默认为快速接口 ! interface FastEthernet0/1 switchport mode trunk 开启trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 10 改变vlan id为10 switchport mode access 改为接入模式 spanning-tree portfast 改为快速接口 spanning-tree guard root 启动根防护 spanning-tree bpduguard enable 开启BPDU防护 ! interface FastEthernet0/4 switchport access vlan 20 switchport mode access spanning-tree portfast spanning-tree guard root
XXXXXXXXXX计算机专业毕业设计
spanning-tree bpduguard enable !
interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End 由于这几台汇聚设备命令差不多故重复命令不写备注。 SW2: hostname sw2 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 40
XXXXXXXXXX计算机专业毕业设计
switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW3: hostname sw3 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 50 switchport mode access spanning-tree portfast spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 60 switchport mode access spanning-tree portfast
XXXXXXXXXX计算机专业毕业设计
spanning-tree guard root spanning-tree bpduguard enable ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW4: hostname sw4 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport access vlan 100 switchport mode access ! interface FastEthernet0/3
XXXXXXXXXX计算机专业毕业设计
switchport access vlan 100 switchport mode access ! interface FastEthernet0/4 switchport access vlan 100 switchport mode access ! interface FastEthernet0/5 switchport access vlan 100 switchport mode access ! interface FastEthernet0/6 switchport access vlan 100 switchport mode access ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End
核心交换机:
该设备命令很多,由于没有代理DHCP命令,所以DHCP是在核心做的,还做了一些访问的限制,与telnet技术,console的认证配置,还有OSPF路由协议等,由于配置很多,故删除一些没有做配置
XXXXXXXXXX计算机专业毕业设计
的接口。
SWc: version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! ! ip domain-name cisco.com hostname SWc ! enable password cisco ! ! ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193 ! ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等 ! ! username beijiangong password 0 cisco 设置远程登录时用户名与密码 ! ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk ! interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/5 no switchport 启动3层接口
22
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率 ! interface FastEthernet0/6 switchport access vlan 99 ! ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.3.193 255.255.255.224 ! interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20 ! interface Vlan30 ip address 192.168.0.1 255.255.255.0 ! interface Vlan40 ip address 192.168.1.1 255.255.255.0 ! interface Vlan50 ip address 192.168.2.1 255.255.255.0 ! interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101 ! interface Vlan99
23
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252 ! interface Vlan100 ip address 192.168.3.230 255.255.255.240 ! router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5 ! ip classless ! ! access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255 (扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段) access-list 101 permit ip any any 允许所有ip协议的任何源目访问 ! crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到 ! ! !
24
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH ! ! end 5.3.2 路由器与防火墙
R1: hostname r1 ! enable password cisco !! username beijiangong password 0 cisco ! interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto ! router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
25
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6 ! ip classless ! ! access-list 10 permit host 192.168.3.242 ! no cdp run ! line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local ! ! ! end Firewall: hostname ASA ! enable password cisco ! aaa new-model 开启AAA功能 ! aaa authentication login eza group radius 启动认证登录组名为eza分类为radius !
aaa authorization network ezo group radius启动授权组名为eza分类为radius ! username beijiangong password 0 cisco ! crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2 ! crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池 !
26
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型 ! crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由 ! crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap ! interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom ! interface Serial0/3/0 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由 ! ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
27
XXXXXXXXXX计算机专业毕业设计
! ! access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242 ! no cdp run 关闭邻居发现协议 ! ! radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥 ! line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local ! End
5.3.3 服务器
AAA服务器配置:
28
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
29
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
30
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
31
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
32
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
33
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
34
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
35
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2 ,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
36
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。 如图6-3-1所示,一台PC需要console核心交换机
37
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
38
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.
如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
39
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
40
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
41
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
42
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
43
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
44
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。
网络规划流程范文第6篇
摘 要:本文根据移动通信网络规划与优化的课程内容特点,将社会主义核心价值观和辩证唯物主义的思政元素,与具体的课程内容有机地融合,贯穿于整个教学过程中。帮助学生树立社会主义新时代的核心价值观,学会辩证地分析问题,增强学生的社会责任感和使命感。
关键词:网络优化; 社会主义核心价值观; 辩证唯物主义
1.引言
2008年工信部成立以后,在通信网络建设方面,积极贯彻党中央和国务院的政策,大力推进宽带中国建设,加快推动通信网络的升级换代[1]。
2015年,习近平总书记在第二届世界互联网大会上,提出了 “数字中国”建设,对国家信息化发展做出了新的战略部署,成为了新时代推进国家信息化发展的重要指引。“互联网+”、5G的研发应用和IPv6规模部署行动计划等等,都在表明中国数字经济发展正在进入快车道,而这些技术的发展,都需要稳定的移动通信网络的支撑。网络维护与优化是保证网络稳定性必不可少的一部分,能够进一步推进“数字中国”建设的稳步发展。
在《移动通信网络规划与优化》这门课程中,我们根据课程的特点,将思政教育有机地融入到教学中,加强爱国主义、集体主义、社会主义教育。使学生深刻意识到网络优化在“数字中国”建设中的作用,感受到我们国家繁荣富强的同时,努力学习专业知识,成为建设数字中国的专业性人才。
2.移动通信网络规划与优化课程的介绍
移动通信网络规划与优化讲述移动通信网络的规划和优化技术,是一门理论性和实用性很强的课程。学生学习了本课程之后,不仅对移动通信系统和通信网络的规划和优化技术有较全面的了解和领会,且应能灵活应用这些原理与技术,对移动网络的常见问题进行准确分析,完善和优化解决方案,为移动通信系统的开通、管理维护打下必要的理论基础和技能,使学生达到理论联系实际、活学活用的基本目标,提高其实际应用技能。并且,在分析问题的过程中,使学生养成善于观察、独立思考的习惯。同时,通过教学过程中的实际操作过程的规范要求,强化学生的职业道德意识和职业素质养成意识。
3.课程思政教学素材的设计
3.1社会主义核心价值观
社会主义核心价值观是社会主义核心价值体系的内核,体现社会主义核心价值体系的根本性质和基本特征。培育和践行社会主义核心价值观,是推进中国特色社会主义伟大事业、实现中华民族伟大复兴中国梦的战略任务[1]。社会主义核心价值观是中国特色社会主义的自我理解与自我建构,引领和构建当代中国社会价值秩序[2]。习近平总书记指出:“一种价值观要真正发挥作用,必须融入社会生活,让人们在实践中感知它、领悟它。要注意把我们所提倡的与人们日常生活紧密联系起来,在落细、落小、落实上下功夫。”
2017年10月18日,习近平同志在十九大报告中指出,要培育和践行社会主义核心价值观。要以培养担当民族复兴大任的时代新人为着眼点,强化教育引导、实践养成、制度保障,发挥社会主义核心价值观对国民教育、精神文明创建、精神文化产品创作生产传播的引领作用,把社会主义核心价值观融入社会发展各方面,转化为人们的情感认同和行为习惯。大学生作为实现中国梦的中坚力量,是祖国的未来与希望,不仅要有强健的体魄,还必须要有纯净的心灵。因此,我们需要通过社会主义核心价值观教育,引导学生树立正确的民族观、国家观。
在社会主义核心价值观的基本内容中,“爱国、敬业、诚信、友善”是公民的基本道德规范,也是必须恪守的基本道德准则。
一、爱国教育
爱国是公民必有的道德情操,是中华民族最重要的传统,也是社会主义核心价值观最主要的部分。习近平总书记在北京大学师生座谈会上,对广大青年所提的几点希望中,第一条就是要“爱国,忠于祖国,忠于人民。爱国,是人世间最深层、最持久的情感,是一个人立德之源、立功之本”[3]。在本课程第一章,主要内容为移动通信网络的概述部分,主要包括移动通信网络的发展历程、技术特点和发展趋势等。首先,介绍移动通信网络的发展历程,包括从GSM网络发展到目前的5G网络,以及未来的网络发展趋势。让学生熟悉我们国家的运营商各自部署的网络情况,使其对未来的行业发展有初步的了解。通过移动通信网络发展历程的介绍,引导学生了解通信网络建设背后的技术研究进展,向学生讲解移动通信网络技术国际标准化的工作内容。在介绍这些知识的同时,重点讲述我们国家在通信网络技术发展中,运营商和通信设备供应商所参与的国际标准化工作,以及为移动通信网络的发展做出的贡献,包括华为在5G网络的技术优势。通过这一章的学习,让学生感受到我们国家的强大,也为我们国家在移动通信领域的贡献,感到自豪。
在这一章的学习结束,学生会进行分组讨论:我们作为通信专业的大学生,通过专业知识的学习之后,如何发挥我们的特长,参与到我们的网络强国建设中。
二、敬业和诚信教育
敬业是对公民职业行为准则的价值评价。要求公民忠于职守,克己奉公,服务人民,服务社会,充分体现了社会主义置业精神。爱岗敬业体现的是公民热爱、珍视自己的工作和职业,勤勉努力,尽职尽责的道德操守。任何一个社会的保存和发展,都是以其成员勤奋工作、创造价值为前提的。因此,所有生气蓬勃的社会都把敬业作为核心价值加以强调,將之作为对自己成员的基本要求。诚信也是中华民族的传统美德,是公民基本的道德规范,是大学生必须具备的基本道德素质,也是大学生树立理想信念的基础。孟子云“诚者,天之道也;思诚者,人之道也”[4]。
本课程的重点和难点是网络优化案例分析部分,主要工作内容是:针对模拟仿真的通信网络,要仔细观察和发现网络中存在的问题,根据所学的理论知识,制定相应的测试计划;再根据具体的测试计划,测试、收集尽可能详细具体的数据;然后,要认真比较、分析所获取的多方面的数据,写出具体的解决方案;最后,通过仿真,验证方案的合理性。另外,在将来的工作岗位中,真实测试环境的地理环境复杂,包括山区、城区等;测试数据更复杂繁琐。从上述的工作内容可以看出,首先,需要培养学生热爱这份工作,具有不怕吃苦、能坐得住的敬业精神和认真严谨的工作态度,同时能坦然接受过程中的挫败,总结经验教训,迎难而上。然后,还要让学生树立诚实守信的理念,始终坚持实事求是的原则,认真进行每一步工作。要求学生要严格按照测试流程,不能弄虚作假,认真记录每一组实验数据;认真对照所学的网络优化理论知识,仔细分析实验数据,给出完整的解决方案;并进行实验验证,给出实验报告。在这环环相扣的整个过程中,要求学生以严肃认真的态度进行,不能随意篡改、编造数据,如果解决方案验证不理想的话,要重新再分析、验证,甚至重新再测试相关数据。
三、友善教育
友善是中华民族的优良传统,是历代先贤所倡导的一种价值观,更是社会和谐的基石。正如孟子所说“仁者爱人,有礼者敬人。爱人者,人恒爱之;敬人者,人恒敬之”。该课程的实验部分,是以小组为单位,共同协作完成。要求小组内分工明确,在实验过程中,两人要相互配合,各司其职,形成默契,共同完成实验任务;实验结束后,两人要共同分析实验结果,撰写实验报告。通过实验,教育学生要团结友爱,相互尊重,形成和谐友善的同学关系。
3.2辩证唯物主义分析问题
辩证法认为,任何事物内部都存在着矛盾,事物内部矛盾是事物自我运动的源泉,同时任何事物又都与周围其他事物发生联系与交互影响,促进事物自身的变化发展。在第一章中,移动通信网络的发展历程表明通信技术在不断地更新换代,从GSM网络发展到目前的5G网络,将来还会有6G网络,甚至更新的网络出现。这是万物发展的规律,要引导学生学会用辩证的思维看待技术更新。另外,在进行具体的网络优化案例分析前,本课程主要是针对具体的网络问题,归纳总结了各种网络的问题,并进行了相应的分类,具体包括:覆盖问题、接入问题、切换问题、功率问题等[5]。在分析实际网络具体问题的时候,需要从多个角度分析,上述的分类并不是独立存在的,是互相关联和影响的。比如:分析具体的网络问题时,初步分析认为应该是网络弱覆盖引起的,但根据测试数据,深入分析后,发现是具体的切换参数设置不准确导致的。所以,我们要教育学生不能盲目下结论,一定要认真仔细地客观分析数据,用普遍联系的观点分析,不能用片面或孤立的观点分析问题。
4.结束语
结合实际生活,在专业知识的传授中融入思政元素,让学生在掌握了专业的知识技能的同时,也加强了学生的思想政治教育。通过该课程的学习,使学生在将来的工作中,具有正确的社会主义核心价值观,并能够辩证地思考分析面对的问题。
参考文献:
[1]关于培育和践行社会主义核心价值观的意见[N]中国共产党新闻网,2013-12-23
[2]吴向东.社会主义核心价值观的若干重大问题[J]北京师范大学学报(社会科学版),2015(1):33-40
[3]习近平:在北京大学师生座谈会上的讲话[N]新华网,2018-5-2
[4]郭建宁.社会主义核心价值观基本内容释义[M]人民出版社.2014-3-1
[5]張敏.LTE无线网络优化[M]人民邮电出版社,2016-12