公司网络设计方案.pdfVIP

公司网络安全设计方案 一：网络拓扑设计 此为原公司网络拓扑图 此拓扑的缺点是交换机用的多，浪费材料！ 最优化的网络拓扑图 此拓扑图在原图的基础上加了个vpn server，将其直接入router ，路由器还剩余2 个口子， 可以连 pc ，也可以不连，用router 的口子的优点是速度快些，可以留给需要更快速度的员 工，若以后加装web server 可以将其直接于router 。优点是拓扑简单明了，而且还节约了一 个8 口路由器 建议采用方案 此方案的优点是改动小，只要将vpn server 插在router 后就ok 了，缺点是网络有点乱，拓 扑没有第2 种方案简单。 二：安全方面 公司要求用vpn 来实现安全方面的需求，先看一点vpn 的资料： “通常有两种方法实现局域网的VPN 连接：一种是在局域网中的客户机上可以进 行单个VPN 连接，通过计算机的VPN 功能或客户端软件建立PPTP 或IPSEC 的VPN 连接；另一种是在ADSL 路由器上建立B2B （Branch to Branch，网对网的连接） 的VPN 连接。 这两种方法各有利弊，如果实现单个计算机的VPN 连接，好处是局域网中的 计算机建立VPN 连接的时候不会影响其它计算机连接公网，缺点是同时只能有一 台计算机建立连接，适合于企业用户，尤其是当企业计算机比较多的时候。 而建立B2B 的VPN 连接以后，局域网中的计算机都连接VPN 了，所有的连接 都是建立在VPN 之上的，影响了连接INTERNET 的速度，因为VPN 连接以后建立 隧道，数据是加密的，所有的连接都要通过VPN 服务器来转接，适合于经常需要 连接外网以及局域网中的计算机比较少的情况“ 画个图就明白了： 上面的话说的太抽象了，简单点说就是第一种接法是为了方便出差的公司员 工接入公司内部，第二种方案是为了让公司的分支机构接入总部而设计的。也 就是说，我们公司没必要设置vpn server，因为员工都在公司内部，并没有出 差，建议不设置vpn，设置也无用。 至于公司要达到很高的安全性，我做以下几点： 对pc 而言： 1：帐户安全。密码要千奇百怪，千万别123456 或者admin之类的，比如， 设置密码为admin,123这种密码很好记，而且即使用lc5破解起来也要花几天， 如果要求更高，绝对安全的话，密码14位以上，字母，数字，大小写，特殊符 号，一起用。 2：打补丁，装杀软，免的上网种木马。 3：良好的上网习惯。不知名的不上，色情的不上 至于公司的webserver 的处理，可以用花生壳，也出钱申请顶级域名 （这个 我还没玩过，不过玩几分钟就会了）。要发布server也有几种办法： a：采用nat 网络地址转换，将webserver放于内网，那个路由器的有nat 的功能。具体怎么实施，到时候看！因为我没仔细看过公司的那个路由器，拓 扑图可以用前面的任何一个。 b：采用代理的方式。看拓扑图 在webserver上，可以用目前最流行的isa2006，做代理，做防火墙，同 时以此webserver拨号，甚至可以不用那个4 口的路由器！！够节约！呵呵。 （isa2006 目前不是很会用，不过给我几天时间操作就会了！） 先来pk一下a，b两种方案： a方案将webserver放于内网，要将其映射出去,而且用到了花生壳，麻烦， 但放于内网，看起来好像要安全些，b方案经济，节约，不过装了isa2006之后， 网站访问速度又下降了。补充一句，只要配置的好，安全性方面两种方案应该说 差别不大，webserver细节的配置我就不写了，网上多的是，到时候找篇文章来 跟到配置就行了！ 再给一种方案，以后公司规模扩大了可以用，还是做成图看： 这个图的特点是安全性最高的，不过最少要3个外网ip，我们才一个ip， 都是动态的，所以现在不用！ 好基本上就这些了，第一回弄，还是弄了几个小时了，呵呵。要求的效果 应该达到了！