【文章內(nèi)容簡介】 局域網(wǎng)構(gòu)建方案在科研所內(nèi)應(yīng)建立兩種類型的網(wǎng)：信息網(wǎng)和內(nèi)部工作網(wǎng)。信息網(wǎng)側(cè)重于對外宣傳、交流、情報(bào)調(diào)研等。內(nèi)部工作網(wǎng)側(cè)重于內(nèi)部工作交流、學(xué)術(shù)討論、軟硬件共享、黨政行政科研管理與信息查詢等。整頓后的信息網(wǎng)點(diǎn)目前只集中在個別公用上網(wǎng)室，并有專人管理和有效維護(hù)。內(nèi)部工作網(wǎng)建設(shè)方面的工作由以下三部分組成。(1)內(nèi)部工作網(wǎng)安全解決方案。使內(nèi)部網(wǎng)物理上和外界斷開。將網(wǎng)絡(luò)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三層）上進(jìn)行分段，網(wǎng)絡(luò)分段是保證安全的一項(xiàng)重要措施，同時也是一項(xiàng)基本措施，其指導(dǎo)思想在于將非法用戶與網(wǎng)絡(luò)資源相互隔離，從而達(dá)到限制用戶非法訪問的目的。在鏈路層進(jìn)行VLAN(虛擬網(wǎng))設(shè)置，VLAN劃分的目的也是保證系統(tǒng)的安全性。應(yīng)用交換機(jī)和VLAN技術(shù)，實(shí)際上是將以太網(wǎng)從本質(zhì)上基于廣播機(jī)制轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。即信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)。因此防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點(diǎn)。實(shí)現(xiàn)訪問控制，通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊之前，操作上加強(qiáng)管理，進(jìn)行備份與恢復(fù)，良好的備份與恢復(fù)機(jī)制可在有意或無意造成損失時，盡快地恢復(fù)資料和系統(tǒng)服務(wù)。引進(jìn)網(wǎng)管軟件和網(wǎng)絡(luò)監(jiān)控設(shè)備，對網(wǎng)絡(luò)進(jìn)行有效的管理，對流經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢測和分析，捕獲網(wǎng)絡(luò)違規(guī)事件和惡意入侵行為，自動生成審計(jì)跟蹤記錄和分析報(bào)告，切斷非法連接并實(shí)時報(bào)警，對潛在的網(wǎng)絡(luò)堵塞、延遲或故障進(jìn)行識別和清除等。安裝網(wǎng)絡(luò)防病毒軟件，可使系統(tǒng)免受病毒襲擊，提高網(wǎng)絡(luò)安全運(yùn)行的可靠性。 此外，在某些上網(wǎng)機(jī)上安裝個人防火墻軟件，可加強(qiáng)上網(wǎng)機(jī)自身的安全保護(hù)，降低上網(wǎng)機(jī)受到網(wǎng)絡(luò)其他用戶非法訪問的風(fēng)險(xiǎn)。必要時采用加密通訊。網(wǎng)絡(luò)主要設(shè)備裝入配備的各網(wǎng)絡(luò)機(jī)柜進(jìn)行統(tǒng)一管理，網(wǎng)絡(luò)走線采用封閉式專用線管或線槽。設(shè)立安全監(jiān)控中心，設(shè)立專職網(wǎng)絡(luò)安全管理員，制定安全管理措施、安全運(yùn)行及緊急事件處理措施，專門負(fù)責(zé)網(wǎng)絡(luò)安全、保密事項(xiàng)的監(jiān)督，隨時了解網(wǎng)絡(luò)運(yùn)行中出現(xiàn)的非法事件，處理安全保密中的技術(shù)問題，定期對網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況提出分析報(bào)告和解決方案，為信息系統(tǒng)提供安全管理和監(jiān)控。(2)對所網(wǎng)絡(luò)布局進(jìn)行了拓展和改造。目前綜合樓和各實(shí)驗(yàn)室均有光纜和辦公樓相連，綜合樓內(nèi)進(jìn)行了系統(tǒng)布線。為了安全管理起見，在網(wǎng)絡(luò)主要設(shè)備放置處均已安裝網(wǎng)絡(luò)機(jī)柜，設(shè)備房原來的非標(biāo)準(zhǔn)機(jī)柜換為12U的標(biāo)準(zhǔn)墻柜。 (3)內(nèi)部工作網(wǎng)主設(shè)備選擇美國Cabletron公司的SSR2000交換路由器，使其既能在網(wǎng)絡(luò)層上進(jìn)行網(wǎng)絡(luò)分段，又能進(jìn)行VLAN（虛擬網(wǎng)）設(shè)置。下連六臺Cabletron公司的ELS100交換機(jī)，也具備VLAN設(shè)置功能。目前內(nèi)部網(wǎng)所需設(shè)備已全部到位并進(jìn)行了試裝，并對路由器和交換機(jī)進(jìn)行初步VLAN設(shè)置。 構(gòu)建企業(yè)無線局域網(wǎng)你的企業(yè)是否計(jì)劃建立無線局域網(wǎng)?你是否感到建立無線網(wǎng)絡(luò)非常困難?本文將介紹五個步驟，幫助你按部就班地在現(xiàn)有的網(wǎng)絡(luò)上建立無線連接，讓你所在的企業(yè)和同事享受到無線聯(lián)網(wǎng)的好處與優(yōu)勢。 想一步到位建立一個大型的覆蓋所有部門和區(qū)域的無線網(wǎng)絡(luò)是比較困難和冒險(xiǎn)的，因此，建立無線網(wǎng)絡(luò)的最好方法是從小網(wǎng)絡(luò)開始，同時以發(fā)展的眼光對無線網(wǎng)絡(luò)進(jìn)行規(guī)劃，然后不斷地按照需求對已有的無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展。 自然，我們首先要考慮的可能是那些經(jīng)常抱著筆記本電腦到處跑的員工，因?yàn)?對于他們來說恐怕無線網(wǎng)絡(luò)能帶來的好處是最多最直接的。下面就讓我們按照五個步驟開始吧： 第一步：為第一個無線網(wǎng)絡(luò)做規(guī)劃 首先我們要確定，在哪些場所開始建立無線局域網(wǎng)。通常說來，經(jīng)理辦公室、會議室、銷售部門以及其他經(jīng)營性部門和新建的辦公大樓是比較合適的選擇。 當(dāng)你決定了在哪些場所先建立無線網(wǎng)絡(luò)以后，跟著就要確定，先給哪些人員配備無線網(wǎng)絡(luò)設(shè)備，也就是要決定最初一批能連接上無線網(wǎng)絡(luò)的人都有誰。 在必要的設(shè)備升級收費(fèi)上，要準(zhǔn)備好預(yù)算，你需要清點(diǎn)一下參與項(xiàng)目的人員的筆記本電腦，看看有多少筆記本電腦已經(jīng)內(nèi)置了無線功能，如最新的基于英特爾迅馳移動計(jì)算技術(shù)的筆記本電腦；有多少需要另外配備無線網(wǎng)卡。 在籌劃你的第一個無線網(wǎng)絡(luò)項(xiàng)目的時候，有一個很重要的環(huán)節(jié)，就是用科學(xué)的方法來評估無線網(wǎng)絡(luò)帶來的好處和回報(bào)。這需要你建立一個投資回報(bào)(ROI)模型，在這個方面，通常需要借助人力資源部門的幫助。 在規(guī)劃無線網(wǎng)絡(luò)項(xiàng)目的過程中，你還要預(yù)先設(shè)計(jì)好無線網(wǎng)絡(luò)覆蓋區(qū)域圖，也就是說要計(jì)劃好到底哪些地域和場所需要被無線網(wǎng)絡(luò)所覆蓋，比如會議室、辦公區(qū)、餐廳、經(jīng)營區(qū)等等。你需要確定在這些地方已經(jīng)存在有線的局域網(wǎng)連接，因?yàn)闊o線網(wǎng)絡(luò)接入設(shè)備需要硬件上與有線網(wǎng)絡(luò)連接起來。 當(dāng)然．最初建立的無線網(wǎng)絡(luò)的規(guī)模和覆蓋面積越大，就越有利于測試無線網(wǎng)絡(luò)的可用性和效率，但是這樣也需要更多的資源支持。 除了覆蓋范圍以外，你還得考慮一下每個無線接入設(shè)備所需要支持的使用人數(shù)，一個無線網(wǎng)絡(luò)接入設(shè)備可以支持的人數(shù)在1050人左右，如果你發(fā)現(xiàn)所要支持的人數(shù)太多，很簡單，增加無線接入設(shè)備的數(shù)量就可以。 第二步：考慮安全問題 就像傳統(tǒng)的有線網(wǎng)絡(luò)一樣，只要遵循正確的步驟，小心謹(jǐn)慎，就可以有效地保護(hù)無線網(wǎng)絡(luò)的安全。你可以使用傳統(tǒng)的防火墻、虛擬專網(wǎng)(VPN)，以及其他傳統(tǒng)上用于有線網(wǎng)絡(luò)的安全技術(shù)來同樣保護(hù)你的無線網(wǎng)絡(luò)。 你必須注意的是，無論使用什么安全技術(shù)和產(chǎn)品，進(jìn)行正確的設(shè)置都是至關(guān)重要的。關(guān)于無線網(wǎng)絡(luò)的安全問題，英特爾公司以及其他一些無線產(chǎn)品廠商，都已經(jīng)總結(jié)出了很多被證實(shí)行之有效的經(jīng)驗(yàn)．不妨讓你的專業(yè)安全技術(shù)團(tuán)隊(duì)按照這些已有的經(jīng)驗(yàn)和原則進(jìn)行實(shí)施。當(dāng)然你必須建立一個專門解決安全問題的小組，才能有效地實(shí)施網(wǎng)絡(luò)安全政策和解決運(yùn)行過程中的安全問題。 第三步：安裝設(shè)備 在無線網(wǎng)絡(luò)規(guī)劃完畢，考慮好安全問題以后，我們就可以開始建立我們的無線網(wǎng)絡(luò)，開始安裝設(shè)備了。 首先要選擇購買和安裝無線網(wǎng)絡(luò)接入設(shè)備，這些設(shè)備就像蜂窩電話網(wǎng)絡(luò)中的基站一樣，是我們建設(shè)無線網(wǎng)絡(luò)的基礎(chǔ)。無線接入設(shè)備是一種標(biāo)準(zhǔn)化的產(chǎn)品，在選擇的時候主要應(yīng)該考慮設(shè)備制造商的水平和全球技術(shù)支持能力，盡量選擇可靠的大廠商的產(chǎn)品。特別是當(dāng)你考慮未來建立國際無線網(wǎng)絡(luò)的時候，更要確保你選擇的產(chǎn)品在全球范圍都有銷售和技術(shù)支持。 在采購安裝無線接入設(shè)備的時候，可能要考慮的問題包括設(shè)備的天線類型(全向天線和定向天線適用于不同的空間特點(diǎn))；無線設(shè)備的供電方式，是需要單獨(dú)的電源供應(yīng)還是可以直接通過有線網(wǎng)絡(luò)獲得供電；設(shè)備支持的標(biāo)準(zhǔn)。 ，但如果你有特殊的需要，也可以考慮。此外，無線接入設(shè)備的頻道問題、無線路由問題以及安全認(rèn)證問題等等，也應(yīng)該在考慮范疇之內(nèi)。 當(dāng)無線接入設(shè)備安裝到位以后，實(shí)際上我們的無線網(wǎng)絡(luò)基礎(chǔ)已經(jīng)建立完成了，接下來就是要為無線網(wǎng)絡(luò)的用戶購買和設(shè)置必需的無線設(shè)備?，F(xiàn)在市場上銷售的基于最新英特爾迅馳移動計(jì)算技術(shù)的筆記本電腦內(nèi)置了無線模塊，可以直接實(shí)現(xiàn)無線上網(wǎng)。如果采購基于迅馳的筆記本電腦，就省去了另外配置無線網(wǎng)卡的麻煩，尤其是設(shè)定網(wǎng)卡參數(shù)以及確保與原有筆記本匹配和兼容這類令人頭痛的事。 對于已有的不具備無線功能的筆記本電腦，可以選擇購買無線網(wǎng)卡(PCMCIA)為其增加無線網(wǎng)絡(luò)連接能力。當(dāng)然，在安裝好設(shè)備后，你還需要為使用者安裝好必要的驅(qū)動程序，進(jìn)行測試以及必要的使用培訓(xùn)。 第四步；無線網(wǎng)絡(luò)投入運(yùn)行 首先，你要按照前面規(guī)劃中制定的計(jì)劃，對參與無線網(wǎng)絡(luò)使用的人員進(jìn)行培訓(xùn)，最好是在他們得到支持無線網(wǎng)絡(luò)的筆記本或者安裝好無線網(wǎng)卡的同時就進(jìn)行培訓(xùn)。 現(xiàn)在萬事俱備，擁有無線網(wǎng)卡或無線功能筆記本電腦的用戶，就可以開始享受無線網(wǎng)絡(luò)的方便了。 在用戶使用過程中，你的技術(shù)支持團(tuán)隊(duì)要隨時準(zhǔn)備為用戶提供適當(dāng)?shù)闹С趾头?wù)。還記得我們的投資回報(bào)(ROI)模型嗎?在這個時候，你就可以開始征詢用戶的意見，聽取他們的反饋。另外，你的安全技術(shù)小組要密切注意網(wǎng)絡(luò)的安全情況，時刻保持警惕，如果發(fā)現(xiàn)有非法的網(wǎng)絡(luò)入侵現(xiàn)象，要及時做出反應(yīng)。 第五步；重復(fù)上述過程，對無線網(wǎng)絡(luò)進(jìn)行擴(kuò)展 首先，要盡量收集第一批無線網(wǎng)絡(luò)使用者的反饋意見，據(jù)此進(jìn)行投資回報(bào)(ROI)分析，決定改進(jìn)的方法，比如也許需要在一些地方增加接入設(shè)備，也許需要改進(jìn)技術(shù)支持方式和流程等。 在這個時候，你可以根據(jù)你的企業(yè)的情況，以及前面的實(shí)施過程中的分析結(jié)論，決定你是要開始在整個企業(yè)范圍內(nèi)全面部署無線網(wǎng)絡(luò)，還是繼續(xù)對現(xiàn)有的網(wǎng)絡(luò)進(jìn)行擴(kuò)展；對于大型企業(yè)你可能需要重新從第一步開始，對問題和策略進(jìn)行重新評估。 需要注意的是，無線連接可以在家中，或者具備無線連接的公共場所使用，這些都可以增加企業(yè)部署無線網(wǎng)絡(luò)的價值。在安全方面，要注意在擴(kuò)展無線網(wǎng)絡(luò)范圍的時候，應(yīng)采用統(tǒng)一的安全標(biāo)準(zhǔn)，避免用戶漫游的時候遇到障礙。第4章 局域網(wǎng)絡(luò)的安全規(guī)劃 局域網(wǎng)的安全策略Internet是目前世界上最為開放的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。相對于我們的現(xiàn)實(shí)生活世界來講，也可以把它稱作為電腦空間。和現(xiàn)實(shí)生活世界一樣，在電腦空間當(dāng)中也仍然存在著各種各樣的網(wǎng)絡(luò)犯罪問題，如用非法的手段竊取秘密數(shù)據(jù)，破壞系統(tǒng)，惡意欺騙等。因此你必須時刻防范來自Internet的惡意攻擊，關(guān)注你局域網(wǎng)的計(jì)算機(jī)系統(tǒng)安全。在這篇文章里我們談一談網(wǎng)絡(luò)攻擊的機(jī)制，同時也著重講述一下局域網(wǎng)系統(tǒng)避免遭受攻擊的方法。和現(xiàn)實(shí)世界一樣，由于Internet上的攻擊和恐嚇經(jīng)常是有計(jì)劃發(fā)生的，所以我們可以通過某些途徑，利用某些手段，預(yù)知某一次或某一類攻擊的發(fā)生。這里我們使用網(wǎng)絡(luò)協(xié)議分層模式來分析局域網(wǎng)的安全。，網(wǎng)絡(luò)的七層在不同程度上會遭受到不同方式的攻擊，如果攻擊者取得成功，那將是非常危險(xiǎn)的。而我們通常聽到或見到的攻擊往往發(fā)生在應(yīng)用層，這些攻擊主要是針對Web服務(wù)器、瀏覽器和他們訪問到的信息，比較常見的還有攻擊開放的文件系統(tǒng)部分。 到目前為止，人們還沒有找到防范七層模型受到全部攻擊的措施。但下面兩個方法從實(shí)踐上來說被認(rèn)為是非常有用的防范手段。 包過濾你可以在網(wǎng)絡(luò)層檢查通信數(shù)據(jù)，觀察它的源地址和目的地址。過濾器可以禁止特定的地址或地址范圍傳出或進(jìn)入，也可以禁止令人懷疑的地址模式。 防火墻你可以在應(yīng)用層檢查通信數(shù)據(jù)，檢查消息地址中的端口，或檢查特定的應(yīng)用的消息內(nèi)容。測試失敗的任何通信數(shù)據(jù)將被拒絕。下面我們要談的是包過濾和防火墻安全實(shí)施的不同方法。 路由包過濾TCP/IP地址由機(jī)器地址和標(biāo)識程序處理消息的端口數(shù)字組成。這個地址/端口組合信息對每個TCP/IP消息都是有效的。包過濾與防火墻相比處理的簡單一些，它僅是觀察TCP/IP地址，而不是端口數(shù)字或消息內(nèi)容。不過包過濾提供給你的是很好的網(wǎng)絡(luò)安全工具。包過濾器通常使用的是自頂向下的操作原則，下面是它使用的一個典型規(guī)則： 允許所有傳出通信數(shù)據(jù)的通過； 拒絕建立新的傳入連接； 其它的數(shù)據(jù)可以全部被接受；通過這樣的使用規(guī)則，系統(tǒng)的安全性提高了許多。因?yàn)樗芙^了Internet上主動與你的計(jì)算機(jī)建立新的連接的請求。它阻止使用TCP的通信數(shù)據(jù)進(jìn)入，從而杜絕了對共享驅(qū)動器和文件的未授權(quán)訪問。包過濾使用這樣的模式對用戶來說有很大意義，它打破了FTP客戶和服務(wù)器之間的正常操作，因?yàn)檫@樣的模式需要服務(wù)器在開始傳輸時對連接進(jìn)行初始化。實(shí)際上現(xiàn)在所有的FTP軟件都支持PASV模式，這是為解決上面的問題而專門設(shè)計(jì)的。