集团基础架构的网络系统论文范文

1网络综合接入研究

网络综合接入是整个网络的基础，该部分包括互联网出口、网络架构及接入节点。后续业务及办公将更依赖于互联网资源，为了保证互联网出口的畅通无阻，依据厦门轨道交通集团网络规模约为1000个用户数的用户规模，本研究建议引入两条20M互联网专线，并采用两大运营商的网络资源，为解决跨南北运营商的网络，本研究建议引入电信和联通用两大运营商的网络资源。网络架构依分层设计的思路，本研究建议采用网络扁平化设计，采用二层结构，压缩掉汇聚层，形成核心层和接入层，提高转发效率，核心层是承担整体网络的核心交换，因此应充分考虑其高可用性。

1.1互联网出口研究为了保证互联网出口网络链路的畅通性、稳定性和可靠性，保证网络服务的质量，消除单点故障，减少停机时间，本研究建议引入两大运营商（电信、联通）的互联网专线，从而实现不间断、高效率的政务服务。基于上述考虑，本研究建议在厦门轨道交通集团互联网出口部署网络链路负载均衡设备，以实现以下两种场景下多条链路的负载均衡：（1）内部办公人员和网络工作站在访问互联网服务和网站时，能够在不同互联网出口链路中动态地分配和负载均衡，这也被称为出站流量的负载均衡。（2）互联网络的外部用户在外部访问内部网站和应用系统时，也能够动态地在多条链路上平衡分配，并在一条链路中断的时候能够智能地自动切换到另外一条链路到达服务器和应用系统，这也被称作为入站流量的负载均衡。

1.2核心层研究本研究建议核心层采用两台核心交换机，通过VRRP实现全容错的核心层接入。VRRP全称VirtualRouterRedundancyProtocol（虚拟路由冗余协议）。简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时的由另一台路由器来代替，从而保持通讯的连续性和可靠性。为了使VRRP工作，首先要创建一个虚拟IP地址和MAC地址，这样在这个网络中就加入了一个虚拟路由器。而这个网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息。一个虚拟路由器由一个主路由器（MASTER）和若干个备份路由器（BACKUP）组成，主路由器实现真正的转发功能。当主路由器出现故障时，备份路由器成为新的主路由器，接替它的工作。在厦门轨道交通集团中心机房部署两台核心交换机，通过VRRP及MSTP技术实现链路及设备冗余及负载，避免单台核心交换机故障而造成整个业务系统的中断。考虑网络的安全、稳定可靠性，本研究建议网络设备采用知名品牌。

1.3接入层研究为了保证各楼层高可用性、高密度的客户端接入，本研究建议每台接入层交换机通过双链路与两台核心交换机对接，并开启生成树避免环路，保证骨干线路千/万兆的链路，另一方面通过trunk将各楼层所需的VLAN传递下来，并通过接口划分指定的VLAN。为了保证安全，各VLAN之间互访控制通过核心交换机ACL（访问控制列表）统一控制。也可以通过VLAN实现各应用系统虚拟专网专用，保证安全性及投资回报。3.4网络接入点研究根据统计1号及2号楼网络信息点列表，本研究建议各楼层的交换机（交换机端口20%预留）配套如下表据上述列表统计，24端口楼层交换机为3台，48端口楼层交换机为17台。

2网络安全保障研究

网络是整个信息化的基础平台，网络给企业带来极大的方便，但同时也带来一些安全隐患，网络上蠕虫病毒，来自互联网黑客的攻击等。网络安全保障研究考虑的安全设备包括防火墙、上网行为管理、SSLVPN、入侵防护及WEB应用防火墙，上述安全设备功能简单描述如下：（1）防火墙：是隔离互联网与内网的第一道屏障，用于实现内外网隔离。（2）上网行为管理：可以保障企业互联网资源的有效利用，避免单个用户下载行为而造成互联网带宽瓶颈。（3）SSLVPN：通过简单网页方式建立的VPN通道，可以保障移动办公人员安全高效地访问公司的内部资源。（4）入侵防护：可以及时准确地拦截黑客的各种攻击行为。（5）WEB应用防火墙：可避免网站被篡改而造成各种经济及声誉上的损失。以上这些网络安全防护设备对于保证企业网络环境的健康、稳定运行缺一不可。

2.1互联网边界安全研究成功的DDoS攻击（DistributedDenialofservice分布式拒绝服务，即很多DOS攻击源一起攻击某台服务器）所带来的损失是巨大的。DDoS攻击之下的厦门轨道交通集团所有网站性能急剧下降，无法正常处理用户的正常访问请求，造成客户访问失败；服务质量协议（SLA）也会受到破坏，带来高额的服务赔偿。同时，提供商的信誉也会蒙受损失，而这种危害又常常是长期性的。利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等，这些损失都是由于DDoS攻击造成的。厦门轨道交通集团未来基于互联网业务应用（例如交通信息、网上购票等）将越来越多，面临DDoS攻击机会将越来越大。厦门轨道交通集团在互联网边界区必须部署强有力抗DDOS攻击能力的防火墙，并实现三大安全区域的划分：外网、内网和DMZ（demilitarizedzone隔离区，是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡）区。

2.2移动办公远程安全接入研究针对部分互联网移动办公用户需要通互联网安全高效地访问内部的业务应用系统，本研究建议配置相应的SSLVPN解决方案，它可以实现免VPN客户维护，又可以保证用户可以通过互联网安全高效地访问厦门轨道交通集团的业务系统。

2.3上网行为管理研究厦门轨道交通集团为了方便员工工作而开通的互联网专线，员工可自由访问互联网资源。但互联网也暴露出双刃剑的特性：一方面员工的上网条件得到改善，公司总部组织运营效率得到了较大的提升，随着业务可持续性要求的不断提高，也发现网络给企业带来很多的安全隐患，互联网资源被滥用的问题也日益严峻。过去，员工通过与同事闲聊来打发上班时间。随着计算机和互联网的普及，员工有了更多的选择，网上购物、与好友聊天、下载手机铃声、在线欣赏音乐、下载电影、收发个人邮件、在论坛上舞文弄墨……。只要员工有兴趣，他们就能在上班时间尽情享受互联网带来的乐趣。很多员工一打开电脑就会开始各种下载工作，包括BT、电骡、迅雷这些网络资源的“吞噬者”，这些员工在大量下载电影和软件的同时却在不停地抱怨网速太慢。这些行为严重影响其他员工的正常业务办公（比如通过互联网专线上传一些数据等）。同时，不管员工有意还是无意，他们都能够而且有办法去访问一些对组织网络基础设施有害的内容，带来的病毒、蠕虫和木马，均可随着简单的鼠标点击轻而易举地侵入轨道办公系统内网。如何在最大利用互联网优势的同时，避免以上互联网资源被滥用所引发的安全隐患及其他各类问题，本研究建议：通过技术设备和规章制度的相结合，根据业务需求规范不同网络应用优先级，实现网络流量、带宽的总体规划，通过合理规划并实施流量带宽分配，保障核心关键业务平稳运行，指导员工正确使用单位的网络资源，从而对局域网的上网行为进行有效管理。本研究建议在厦门轨道交通集团互联网出口部署上网行为控制设备。通过基于网络应用类型以及用户多样化的带宽管理需求，将单条物理带宽划分为多条虚拟线路实现差异化管理，同时又将每条虚拟线路划分为多个虚拟子通道来对应管理不同类型的网络应用（能够为关键业务及应用静态预留带宽策略，保证指定带宽绝不会被其他应用抢占；为指定应用行为提供带宽限制策略，保障带宽不会被其滥用；能够为指定应用的带宽需求提供动态带宽保证，即将指定应用未占用的带宽动态共享给其他应用，最大限度的提高了网络带宽的利用率）；通过基于P2P行为特征的智能识别技术，实现对加密的、版本泛滥的、同一版本多次变种的、不常见的P2P应用进行识别，为有效的管控P2P应用；基于内容的网页智能识别技术，对网站内容进行智能识别，自动学结出某类网站的特征与共性进而对用户访问网页所产生的流量进行差异化管理；基于文件类型的精确识别，有效管控HTTP、FTP文件上传、下载流量，保证网络带宽的合理利用。以此来帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。通过部署上网行为管理能达到以下效果：（1）入网管理，有效管理上网用户数量；（2）无线准入机制；（3）设置专门上网的电脑；（4）防止机密信息泄漏和法律违规事件；（5）审计内网用户发送邮件；（6）审计内网用户访问网站；（7）审计内网用户使用聊天工具的内容；（8）因人而设上网权限；（9）带宽及流量管理；（10）通过控制P2P流量，限制下载；（11）合理利用带宽细致划分与分配带宽资源。

2.4入侵保护研究依据厦门轨道交通集团未来网络和相关业务情况分析结果，本研究建议在厦门轨道交通集团内部网络部署入侵保护系统IPS，以最大化地保护网络信息安全，减少及有效避免以下安全风险：（1）网络互连带来的安全风险由于业务需要，厦门轨道交通集团网络需连接互联网，业务或办公数据在网络上传输，而网络设备、主机系统都不同程度存在一些安全漏洞，攻击者可以利用存在的漏洞进行破坏，可能引起数据破坏、业务中断甚至系统宕机，将严重影响厦门轨道交通集团网络的正常运行。（2）攻击快速传播引发的安全风险目前利用漏洞传播的蠕虫、病毒、间谍软件、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，比如蠕虫爆发将造成厦门轨道交通集团网络瘫痪。入侵检测系统IDS虽然能检测出攻击行为，但无法有效阻断攻击。另外，网络防病毒系统属于被动防护，对于新的未知蠕虫病毒，防病毒软件无法检测出。因此如何保证厦门轨道交通集团网络在安装最新安全补丁之前，网络不会被蠕虫、病毒、黑客等攻击造成网络瘫痪。入侵保护系统IPS（IntrusionPreventionSystem）提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在传送恶意流量的同时或之后发出警报。IPS是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。

2.5WEB应用防护研究随着厦门轨道交通集团将来互联网业务的应用越来越广泛，其社会影响力将越来越大，一旦平台网站被攻击将无法对外提供服务或被篡改，该情况将对厦门轨道交通集团造成极大的负面影响，因此本研究建议在DMZ区部署针对网页防篡改的WEB应用防火墙。传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要部分，局限于自身的产品定位和防护深度，不能有效地针对Web应用攻击提供完善的防御能力。因此，厦门轨道交通集团对外服务的网站有必要采用专业的安全防护系统，有效地防止各类攻击、降低网站安全风险。合理的WEB应用防火墙可以包含事前、事中、事后的事件有效管理。事前，ICEYEWAF提供Web应用漏洞扫描功能，检测Web应用程序是否存在SQL注入、跨站脚本漏洞。事中，对黑客入侵行为、SQL注入/跨站脚本等各类Web应用攻击、DDoS攻击进行有效检测、阻断及防护。事后，针对当前的安全热点问题，网页篡改及网页挂马，提供诊断功能，降低安全风险，维护网站的公信度。

3网管中心研究

健康、稳定的网络环境，除了需要良好硬件网络基础环境，还需要配套后台的网络运维管理软件，此次网管中心网络运维管理软件包括补丁及防毒中心、数据备份中心、文档加密系统及桌面管理系统。

3.1补丁及防毒研究目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。因此，对每一个病毒可能的入口，部署相应的反病毒软件，实时检测其中是否有病毒，是构建一个完整有效反病毒体系的关键。来自系统外部（Internet或外网）的病毒入侵：这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高，耗费资源最少的措施。可以使进入内部系统的病毒数量大为减少。网络邮件/群件系统：如果网络内采用了自己的邮件/群件系统实施办公和信息自动化，那么一旦有某个用户感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很容易导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署反病毒也显得尤为重要。文件服务器：文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，并且能对信息进行长期有效的存储和保护。但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器也需要设置反病毒保护。终端机：病毒最后的入侵途径就是最终的桌面用户。随着智能手机、随着各种网络应用的增多，智能手机和笔记本计算机的普及，网络边界逐渐消失，网络结构趋于开放；由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件。因此在网络内对所有的客户机进行防毒控制也是非常重要的。本研究建议厦门轨道集团本部部署补丁及防毒中心，通过补丁及防毒中心统一管理及控制集团内所有终端机及服务器的补丁审批及病毒库更新。

3.2数据备份研究鉴于IT网络环境的不稳定性，及可能发生的硬件损坏、人为误操作、存储故障等造成的数据损坏和业务停顿，或火灾、地震等自然灾害带来的毁灭性破坏，信息系统的安全保障也提出新的要求：系统的数据、文件等需要得到妥善的保护，丢失后要能快速恢复；电子档案资料要实现归档并能在异地保存。因此本研究建议厦门轨道集团本部部署数据备份中心，数据备份中心除了提供备份软件外，还需配套专用的磁盘备份设备，为集团提供集备份、容灾和存储为一体的创新型备份存储方案。通过部署数据中心以期能达到以下效果：从PC到Windows到Linux和Unix服务器环境的集中备份，并采用NAS、IPSAN和FCSAN多种存储架构相结合的方式满足用户数据共享和集中存储的需求。

3.3文档加密研究行政办公文档、经营文档、技术文档三类文档在企业运作活动中密不可分又相对独立。如：研发类的技术文档希望在技术体系内部使用，不能轻易流转到行政管理部门，而企业经营文档，特别是一些敏感的经营信息，只能在受控的少数经营部门，如：财务、总办等部门使用。文档如何在本体系内充分共享，支撑业务活动，同时又受控地流转到其它部门，是文档安全保护需要重点解决的问题。另外，任何企业和外部有千丝万缕的联系，如：行政监管部门、客户、供应商等，如何能将相关地文档和外部合作伙伴交换，同时保证其安全性，也是文档安全管理要解决的问题。在行政办公文档、经营文档、技术文档相关的体系内部，文档的安全保护也必须考虑文档的日常使用和流转、文档管理规范的遵守和落实、文档保护相关的技术手段等方面的统一协调，达到安全和效率的平衡，即对文档进行适当的保护又不影响企业正常的业务运作。达到这一定，必须充分考虑文档操作流程、文档管控措施、文档保护技术手段的要求，使三者有机地融合在一起。因此本研究建议在厦门轨道交通集团部署文档加密系统，以期能达成以下效果：客户端动态加解密区域文件复制或保存时自动强制加密。文件打开时自动解密。对用户来说，该过程是完全透明的，不改变用户的使用习惯。无论是另存为其他文件格式，还是使用进程名欺骗的方式都能对文档有效加密。无论通过存储（USB、光盘、软驱、ZIP盘等）或网络（Email、FTP、Windows共享等）或是其它传输介质与方法（红外、蓝牙等），均在保护范畴内。（1）拷贝粘贴及拖拽控制：允许从外部复制进受控文档，但不允许从受控文档向外复制粘贴（包括邮件或者即时通讯工具），用户在受控文档间的拷贝粘贴、拖拽均可正常使用。（2）文档权限管理：文档具有阅读、编辑、打印的权限控制。对外发文档除了上述功能外还需加上时间限制以及次数限制功能，该文档超过一定时间或打开次数就无法再使用，而且对于作者可实行再授权功能。用户端对文档的任何操作都有详细的操作日志，其检索功能对文档的非法操作能快速定位。用户终端的自我防护、客户端程序及加解密模块不能轻易的在非认证或授权的情况下被终止或激活。系统能控制客户端的打印、截屏、录屏等功能，但此功能仅限于对受保护的文档进行控制，而非受保护的文件使用还是灵活的。员工因工需要挟带笔记本出差或在出差过程中需要对一些密文解密外发时系统应提供一套完整的离线管理和解决方法。

3.4桌面管理研究在现代企业环境下，一个IT的管理部门需要花费大量的人力物力来维护企业的计算机运行环境。同时，由于计算机设备的更新和变化，财务部门对企业的计算机设备的管理和统计经常处于一种无序及手工统计的状态，当设备更新频繁时，原本的设备管理记录往往由于管理的滞后和对实际情况的掌握程度不够无法及时更新，从而造成设备管理的混乱还会造成时间的迟滞，影响企业的运行效率，给企业带来损失。如何解决这些痛苦的管理问题？您需要一套高效和易于使用的桌面管理解决方案。本研究建议在厦门轨道交通集团内部署桌面管理系统，通过部署该系统以期能达到以下效果。（1）资产管理软硬件资产信息收集，动态掌握全网IT资产现状可定义的资产变更警报，可以全面监控客户端的IT资产与配置的变化，例如，客户端的内存、硬盘的变化，以及IP地址的变化等等，避免企业IT资产的流失。全面的资产报告，集成超过120种报表，并使用最新的自定义报告引擎，使创建自定义报表更加方便。便于资产统计、盘点。（2）远程支持帮助管理员对被管理设备进行远程支持，减少大量的现场支持及电话支持工作，提高服务支持的响应速度。集成多种桌面支持工具，包括：远程控制、远程对话、远程文件传输、远程执行、远程重启、远程关机、远程桌面画图等等。可根据网络带宽忧化的远程桌面支持，节省企业远程支持费用。（3）软件分发向跨网络的大批客户端进行软件（办公及应用软件）的远程安装或卸载；帮助企业进行软件的统一部署、升级、维护。支持应用软件修复，使用户的业务可持续运行。支持“推”和“拉”的两种软件分发方式。支持软件分发的断点续传。支持任务完成，保证任务执行的完整性。支持软件分发向导，使软件分发更加简单。自带软件差异打包工具和脚本编辑工具。（4）操作系统分发和配置迁移对远程客户端进行硬盘映像的捕获或部署，实现硬盘备份/恢复，支持多种操作系统映像分发格式：Ghost、Image、PowerQuest等等。支持操作系统的配置迁移：从Windows98/2000向WindowsXP/2003迁移。用户帐户信息；应用程序设置，模板及关联文件；桌面设置（MyDocs；映射的驱动器；打印机；壁纸；屏幕设置等）。支持裸机的操作系统分发，可帮助客户为批量裸机快速部署操作系统及应用程序。

4结束语

本研究通过对厦门轨道集团临时办公楼的具体网络需求进行调研，结合具体网络规模用户数需求，借鉴大集团办公网络相关规范，研究厦门轨道交通集团的网络系统基础架构，并考虑网络未来的可扩展性。但我也认识到，随着厦门轨道交通集团将来互联网业务的应用越来越广泛，对应的网络系统使用及防护需求亦不断变化，因此对于集团网络系统基础架构的研究工作也将任重而道远，该研究只有起点没有终点。

作者：卢志勇单位：厦门市路桥信息工程有限公司