宜宥戕業技衔學院 Yibin Vocation Technical College 课程名称实用组网技术教学主题|网络工程方案设计 授课班级1031-1033授课时间 授课地点 教学目标 、掌握网络方案设计目标、通信平台和资源平台的设计方法 2、掌握网络操作系统与服务器的选择和配置 3、了解网络安全设计目标 职业技能教学点: 1、能为网络方案设计提供一些比较完整结构 2、基本能掌握网络设计方法 教学设计: 了解网络设计目标和设计原则→网络通信平台→网络资源平台→网络操作系统与服务 器配置→最后了解网络安全方面设计 教学手段 讲解、投影演示、举例分析 教学过程 教学内容与板书 备注 复习 1、什么是需求分析 2、网络需求调研 3、综合布经线需求 4、网络安全、可靠性分析 5、网络工程预算分析 、网络工程目标和设计原则 1.网络工程目标 般情况下,对网络工程目标要进行总体规划,分步实施。在制定网络 工程总目标时应确定采用的网络技术、工程标准、网络规模、网络系统功
Yibin Vocation & Technical College 课程名称 实用组网技术 教学主题 网络工程方案设计 授课班级 1031-1033 授课时间 授课地点 教学目标: 1、掌握网络方案设计目标、通信平台和资源平台的设计方法 2、掌握网络操作系统与服务器的选择和配置 3、了解网络安全设计目标 职业技能教学点: 1、能为网络方案设计提供一些比较完整结构 2、基本能掌握网络设计方法 教学设计: 了解网络设计目标和设计原则→网络通信平台→网络资源平台→网络操作系统与服务 器配置→最后了解网络安全方面设计 教学手段 讲解、投影演示、举例分析 教 学 过 程 教 学 内 容 与 板 书 备 注 复习: 1、什么是需求分析 2、网络需求调研 3、综合布经线需求 4、网络安全、可靠性分析 5、网络工程预算分析 一、网络工程目标和设计原则 1.网络工程目标 一般情况下,对网络工程目标要进行总体规划,分步实施。在制定网络 工程总目标时应确定采用的网络技术、工程标准、网络规模、网络系统功能
结构、网络应用目的和范围。然后,对总体目标进行分解,明确各分期工程 的具体目标、网络建设内容、所需工程费用、时间和进度计划等 对于网络工程应根据工程的种类和目标大小不同,先对网络工程有一个 整体规划,然后在确定总体目标,并对目标采用分步实施的策略。一般我们 可以将工程分为三步。 l)建设计算机网络环境平台 2)扩大计算机网络环境平台。 3)进行高层次网络建设。 2.网络工程设计原则 网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上 应用系统的成败。在工程设计前对主要设计原则进行选择和平衡,并排定其在方案设 计中的优先级,对网络工程设计和实施将具有指导意义 1)实用、好用与够用性原则 2)开放性原则 3)可靠性原则 4)安仝性原则 5)先进性原则 6)易用性原则 7)可扩展性原则 、网络通信平台设计 网络拓扑结构 网络的拓扑结构主要是指园区网络的物理拓扑结构 选择拓扑结构时,应该考虑的主要因素有以下几点 Ⅰ)地理环境:不同的地理环境需要设计不同的物理网络拓扑,不同的网络物理拓 扑设计施工安装工程的费用也不同。 2)传输介质与距离:在设计网络时,考虑到传输介质、距离的远近和可用于网络 通信平台的经费投入,网络拓扑结构必须具有在传输介质、通信距离、可投入经费等 三者之间权衡 3)可靠性:网络设备损坏、光缆被挖断、连接器松动等这类故障是有可能发生的, 网络拓扑结构设计应避免因个别结点损坏而影响整个网络的正常运行。 网络拓扑结构的规划设计与网络规模息息相关。一个规模较小的星型局域网没有 汇聚层、接入层之分。规模较大的网络通常为多星型分层拓扑结构。主干网络称为核 心层,用以连接服务器、建筑群到网络中心,或在一个较大型建筑物内连接多个交换 机配线间到网络中心设备间。连接信息点的“毛细血管”线路及网络设备称为接入层 根据需要在中间设置汇聚层
结构、网络应用目的和范围。然后,对总体目标进行分解,明确各分期工程 的具体目标、网络建设内容、所需工程费用、时间和进度计划等。 对于网络工程应根据工程的种类和目标大小不同,先对网络工程有一个 整体规划,然后在确定总体目标,并对目标采用分步实施的策略。一般我们 可以将工程分为三步。 1) 建设计算机网络环境平台。 2) 扩大计算机网络环境平台。 3) 进行高层次网络建设。 2.网络工程设计原则 网络信息工程建设目标关系到现在和今后的几年内用户方网络信息化水平和网上 应用系统的成败。在工程设计前对主要设计原则进行选择和平衡,并排定其在方案设 计中的优先级,对网络工程设计和实施将具有指导意义。 1) 实用、好用与够用性原则 2) 开放性原则 3) 可靠性原则 4) 安仝性原则 5) 先进性原则 6) 易用性原则 7) 可扩展性原则 二、 网络通信平台设计 1.网络拓扑结构 网络的拓扑结构主要是指园区网络的物理拓扑结构。 选择拓扑结构时,应该考虑的主要因素有以下几点。 1) 地理环境:不同的地理环境需要设计不同的物理网络拓扑,不同的网络物理拓 扑设计施工安装工程的费用也不同。 2) 传输介质与距离:在设计网络时,考虑到传输介质、距离的远近和可用于网络 通信平台的经费投入,网络拓扑结构必须具有在传输介质、通信距离、可投入经费等 三者之间权衡。 3) 可靠性:网络设备损坏、光缆被挖断、连接器松动等这类故障是有可能发生的, 网络拓扑结构设计应避免因个别结点损坏而影响整个网络的正常运行。 网络拓扑结构的规划设计与网络规模息息相关。一个规模较小的星型局域网没有 汇聚层、接入层之分。规模较大的网络通常为多星型分层拓扑结构。主干网络称为核 心层,用以连接服务器、建筑群到网络中心,或在一个较大型建筑物内连接多个交换 机配线间到网络中心设备间。连接信息点的“毛细血管”线路及网络设备称为接入层, 根据需要在中间设置汇聚层
米 在黑板上 画或用投 影进行分 网络全冗余连接星型拓扑结构图 分层设计有助于分配和规划带宽,有利于信息流量的局部化,也就是说全局网络 对某个部门的信息访问的需求根少(比如:财务部门的信息,只能在本部门内授权访问), 这种情况下部门业务服务器即可放在汇聚层。这样局部的信息流量传输不会波及到全 主干网络(核心层)设计 主干网技术的选择,要根据以上需求分析中用户方网络规模大小、网上传输信息 的种类和用户方可投入的资金等因素来考虑。 3.汇聚层和接入层设计 汇聚层的存在与否,取决于网络规模的大小 接入层即直接信息点,通过此信息点将网络资源设备(PC:等)接入网络。汇聚层 采用级连还是堆叠,要看网络信息点的分布情况。 广域网连接与远程访问设计 由于布线系统费用和实现上的限制,对于零散的远程用户接入,利用PSTN电话 网络进行远程拨号访问几乎是惟一经济、方便的选择。远程拨号访问需要设计远程访 问服务器和 Modem设备,并申请一组中继线。由于拨号访问是整个网络中惟一的窄带 设备,这一部分在未来的网络中可能会逐步减少使用。远程访问服务器RAS)和 Modem 组的端口数目一一对应,一般按一个端口支持20个用户计算来配置 5.无线网络设计 无线网络的出现就是为了解决有线网络无法克服的困难。无线网络首先适用于很 难布线的地方(比如受保护的建筑物、机场等)或者经常需要变动布线结构的地方(如展 览馆等)。学校也是一个很重要的应用领域,一个无线网络系统可以使教师、学生在校 园内的任何地方接入网络
网络全冗余连接星型拓扑结构图 分层设计有助于分配和规划带宽,有利于信息流量的局部化,也就是说全局网络 对某个部门的信息访问的需求根少(比如:财务部门的信息,只能在本部门内授权访问), 这种情况下部门业务服务器即可放在汇聚层。这样局部的信息流量传输不会波及到全 网。 2.主干网络(核心层)设计 主干网技术的选择,要根据以上需求分析中用户方网络规模大小、网上传输信息 的种类和用户方可投入的资金等因素来考虑。 3.汇聚层和接入层设计 汇聚层的存在与否,取决于网络规模的大小。 接入层即直接信息点,通过此信息点将网络资源设备(PC:等)接入网络。汇聚层 采用级连还是堆叠,要看网络信息点的分布情况。 4.广域网连接与远程访问设计 由于布线系统费用和实现上的限制,对于零散的远程用户接入,利用 PSTN 电话 网络进行远程拨号访问几乎是惟一经济、方便的选择。远程拨号访问需要设计远程访 问服务器和 Modem 设备,并申请一组中继线。由于拨号访问是整个网络中惟一的窄带 设备,这一部分在未来的网络中可能会逐步减少使用。远程访问服务器(RAS)和 Modem 组的端口数目一一对应,一般按一个端口支持 20 个用户计算来配置。 5.无线网络设计 无线网络的出现就是为了解决有线网络无法克服的困难。无线网络首先适用于很 难布线的地方(比如受保护的建筑物、机场等)或者经常需要变动布线结构的地方(如展 览馆等)。学校也是一个很重要的应用领域,一个无线网络系统可以使教师、学生在校 园内的任何地方接入网络。 在黑板上 画或用投 影进行分 析
6.网络通信设备选型 1)网络通信设备选型原则 ①品牌选择: ②扩展性考虑: ③“量体裁衣”策略 ④性价比高、质量可靠的原则: 2)核心交换机选型策略 核心网络骨干交换机是宽带网的核心,应具备: ①高性能,高速率: ②便于升级和扩展: ③高可靠性: ④强大的网络控制能力,提供Qos和网络安全,支持 RADIUS、 TACACS+等认 证机制。 ⑤良好的可管理性,支持通用网管协议 3)汇聚层/接入层交换机选型策略 汇聚层/接入层交换机亦称二级交换机或边缘交换机。在大中型网络中它用来构成 多层次的、结构灵活的用户接入网络。在中小型网络中它也可能用来构成网络骨干交 换设备。应具备下列要求 ①灵活性、②高性能、③在满足技术性能要求的基础上,最妤价格便宜、使用 方便、即插即用、配置简单、④具备一定的网络服务质量和控制能力、⑤如果用于 跨地区企业分支部门通过公网进行远程上联的交换机,还应支持虚拟专网VPN标准协 议、⑥支持多级别网络管理 4)远程接入与访问设备选型策略 远程接入与访问设备可以采用路由器。在现今的网络连接中,一般采用同步口或 以太口连接广域网,采用异步口连接远程拨号用户。路由器的首选品牌是 Cisco 三、网络资源平台设计 1.服务器 服务器一般分为两类:一类是为全网提供公共信息服务、文件服务和通信服务, 为园区网络提供集中统一的数据库服务。另一类是部门业务和网络服务相结合,主要 由部门管理维护。其磁盘系统数据吞吐量大,传输速率也高,要求高带宽接入。服务 器网络接口主要有以下几种 1)千兆以太网端口接入: 2)双网卡冗余接入: 3)单网卡接入:
6.网络通信设备选型 1) 网络通信设备选型原则 ① 品牌选择: ② 扩展性考虑: ③ “量体裁衣”策略: ④ 性价比高、质量可靠的原则: 2) 核心交换机选型策略 核心网络骨干交换机是宽带网的核心,应具备: ① 高性能,高速率: ② 便于升级和扩展: ③ 高可靠性: ④ 强大的网络控制能力,提供 Qos 和网络安全,支持 RADIUS、TACACS+等认 证机制。 ⑤ 良好的可管理性,支持通用网管协议。 3) 汇聚层/接入层交换机选型策略 汇聚层/接入层交换机亦称二级交换机或边缘交换机。在大中型网络中它用来构成 多层次的、结构灵活的用户接入网络。在中小型网络中它也可能用来构成网络骨干交 换设备。应具备下列要求。 ① 灵活性、② 高性能、③ 在满足技术性能要求的基础上,最好价格便宜、使用 方便、即插即用、配置简单、④ 具备一定的网络服务质量和控制能力、⑤ 如果用于 跨地区企业分支部门通过公网进行远程上联的交换机,还应支持虚拟专网 VPN 标准协 议、⑥ 支持多级别网络管理。 4) 远程接入与访问设备选型策略 远程接入与访问设备可以采用路由器。在现今的网络连接中,一般采用同步口或 以太口连接广域网,采用异步口连接远程拨号用户。路由器的首选品牌是 Cisco。 三、网络资源平台设计 1.服务器 服务器一般分为两类:一类是为全网提供公共信息服务、文件服务和通信服务, 为园区网络提供集中统一的数据库服务。另一类是部门业务和网络服务相结合,主要 由部门管理维护。其磁盘系统数据吞吐量大,传输速率也高,要求高带宽接入。服务 器网络接口主要有以下几种。 1) 千兆以太网端口接入: 2) 双网卡冗余接入: 3) 单网卡接入:
2.服务器子网连接方案 服务器子网连接的两种方案如下所示。 服务器子网的两种连接方案 图中左边的服务器直接连接核心层交换机,优点是直接利用核心层交换机的高带 宽,缺点是需要占太多的核心层交换机端口,使成本上升。图中右边的服务器是在两 台核心层交换机上连接一台专用服务器子网交换机,优点是可以分担带宽,减少核心 层交换机端口占用,可为服务器组提供充足的端口密度,缺点是容易形成带宽瓶颈, 且存在单点故障。 3.网络应用系统 在网络方案设计中服务器的选择配置以及服务器群的均衡技术是非常关键的技术 之一,也是衡量网络系统集成商水平的重要指标。很多系统集成商的方案偏重的是网 络设备集成而不是应用集成,在应用问题上缺乏高度认识和认真细致的需求分析,待 昂贵的服务器设备购进来后发现与应用软件不配套或不够用或造成资源浪费.必然会 使预算超支,直接导致网络方案失败。 四、网络操作系统与服务器配置 1.网络操作系统选型 网络操作系统分为两个大类:即面向IA架构PC服务器的操作系统族和UNX操 作系统家族。UNX服务器品质较高、价格昂贵、装机量少而且可选择性也不高, 般根据应用系统平台的实际需求,估计好费用,瞄准某一两家产品去准备即可。与UNIX 服务器相比, Windows200 Advanced Server服务器品牌和产品型号可谓“铺天盖地”, 一般在中小型网络中普遍采用 同一个网络系统中不需要采用同一种网络操作系统,选择中可结合 Windows2000 Advanced Server、 Linux和UNⅨX的特点,在网络中混合使用。通常WwW、OA及管 理信息系统服务器上可采用 Windows2000 Advanced Server平台,E-mal、DNS、 Proxy 等 Internet应用可使用Linu/UNIX,这样,既可以享受到 Windows2000 Advanced Server应用丰富、界面直观、使用方便的优点,又可以享受到 Linux/UNIX稳定、高 效的好处。 2. Windows2000 Server服务器配置 首先,应根据需求阶段的调研成果,比如网络规模、客户数量流量、数据库规模 所使用的应用软件的特殊要求等,决定 Windows2000 Advanced Server服务器的档次、 配置。 其次,选择 Windows2000 Advanced Server服务器时,对服务器上几个关键部分的
2.服务器子网连接方案 服务器子网连接的两种方案如下所示。 服务器子网的两种连接方案 图中左边的服务器直接连接核心层交换机,优点是直接利用核心层交换机的高带 宽,缺点是需要占太多的核心层交换机端口,使成本上升。图中右边的服务器是在两 台核心层交换机上连接一台专用服务器子网交换机,优点是可以分担带宽,减少核心 层交换机端口占用,可为服务器组提供充足的端口密度,缺点是容易形成带宽瓶颈, 且存在单点故障。 3.网络应用系统 在网络方案设计中服务器的选择配置以及服务器群的均衡技术是非常关键的技术 之一,也是衡量网络系统集成商水平的重要指标。很多系统集成商的方案偏重的是网 络设备集成而不是应用集成,在应用问题上缺乏高度认识和认真细致的需求分析,待 昂贵的服务器设备购进来后发现与应用软件不配套或不够用或造成资源浪费.必然会 使预算超支,直接导致网络方案失败。 四、网络操作系统与服务器配置 1.网络操作系统选型 网络操作系统分为两个大类:即面向 IA 架构 PC 服务器的操作系统族和 UNIX 操 作系统家族。UNIX 服务器品质较高、价格昂贵、装机量少而且可选择性也不高,一 般根据应用系统平台的实际需求,估计好费用,瞄准某一两家产品去准备即可。与 UNIX 服务器相比,Windows 2000 Advanced Server 服务器品牌和产品型号可谓“铺天盖地”, 一般在中小型网络中普遍采用。 同一个网络系统中不需要采用同一种网络操作系统,选择中可结合 Windows 2000 Advanced Server、Linux 和 UNIX 的特点,在网络中混合使用。通常 WWW、OA 及管 理信息系统服务器上可采用 Windows 2000 Advanced Server 平台,E-mail、DNS、Proxy 等 Internet 应用可使用 Linux/UNIX,这样,既可以享受到 Windows 2000 Advanced Server 应用丰富、界面直观、使用方便的优点,又可以享受到 Linux/UNIX 稳定、高 效的好处。 2.Windows 2000 Server 服务器配置 首先,应根据需求阶段的调研成果,比如网络规模、客户数量流量、数据库规模、 所使用的应用软件的特殊要求等,决定 Windows 2000 Advanced Server 服务器的档次、 配置。 其次,选择 Windows 2000 Advanced Server 服务器时,对服务器上几个关键部分的 Si Si Si Si
选取一定要把好关。因为 Windows2000 Advanced Server虽然是兼容性相对不错的操作 系统,但兼容并不保证100%可用。 Windows2000 Advanced Server服务器的内存必须 是支持ECC的,如果使用非ECC的内存,SQL数据库等应用就很难保证稳定、正常 地运行 第三,在升级已有的 windows2000 Advanced server服务器时.则要仔细分析原有 网络服务器的瓶颈所在,此时可简单利用 Windows2000 Advanced Server系统中集成的 软件工具,要根据网络应用系统实际情况来确定增加服务器处理器的数目。 3.服务器群的综合配置与均衡 我们所谓的PC服务器、UNⅨX服务器、小型机服务器,其概念主要限于物理服务 器(硬件)范畴。在网络资源存储、应用系统集成中。通常将服务器硬件上安装各类应用 系统的服务器系统冠以相应的应用系统的名字,如数据库服务器、Web服务器、E-mail 服务器等,其概念属于逻辑服务器(软件)范畴。根据网络规模、用户数量和应用密度的 需要,有时一台服务器硬件专门运行一种服务,有时一台服务器硬件需安装两种以上 的服务程序,有时两台以上的服务器需安装和运行同一种服务系统。网络规模小到只 用1至2台服务器的局域网,大到可达十几台至数十台的企业网和校园网,如何根据 应用需求、费用承受能力、服务器性能和不同服务程序之间对硬件占用特点、合理搭 配和规划服务器配制,最大限度地提高效率和性能的基础上降低成本,是系统集成方 要考虑的问题。 有关服务器应用配置与均衡的建议如下。 1)中小型网络服务器应用配置 2)中型网络服务器应用配置 3)大中型网络或 ISP/ICP的服务器群配置 五、网络操作系统与服务器配置 网络安全体系设计的重点在于根据安全设计的基本原则,制定出网络各层次的安 全策略和措施,然后确定出选用什么样的网络安全系统产品。 网络安全设计原则 尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些安全原则 那么网络系统的安全就会有保障。设计时如不全面考虑,消极地将安全和保密措施寄 托在网管阶段,这种事后“打补丁”的思路是相当危险的。从工程技术角度出发,在 设计网络方案时,应该遵守以下原则。 1)网络安全前期防范 强调对信息系统全面地进行安全保护。大家都知道“木桶的最大容积取决于最短 的一块木板”,此道理对网络安全来说也是有效的。网络信息系统是一个复杂的计算机 系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其 是多用户网络系统自身的复杂性、资源共享性,使单纯的技术保护防不胜防。攻击者 使用的是“最易渗透性”,自然在系统中最薄弱的地方进行攻击。因此,充分、全面、 完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计网 络安全系统的必要前提条件 2)网络安全在线保护
选取一定要把好关。因为 Windows 2000 Advanced Server 虽然是兼容性相对不错的操作 系统,但兼容并不保证 100%可用。Windows 2000 Advanced Server 服务器的内存必须 是支持 ECC 的,如果使用非 ECC 的内存,SQL 数据库等应用就很难保证稳定、正常 地运行。 第三,在升级已有的 windows 2000 Advanced Server 服务器时.则要仔细分析原有 网络服务器的瓶颈所在,此时可简单利用 Windows 2000 Advanced Server 系统中集成的 软件工具,要根据网络应用系统实际情况来确定增加服务器处理器的数目。 3.服务器群的综合配置与均衡 我们所谓的 PC 服务器、UNIX 服务器、小型机服务器,其概念主要限于物理服务 器(硬件)范畴。在网络资源存储、应用系统集成中。通常将服务器硬件上安装各类应用 系统的服务器系统冠以相应的应用系统的名字,如数据库服务器、Web 服务器、E-mail 服务器等,其概念属于逻辑服务器(软件)范畴。根据网络规模、用户数量和应用密度的 需要,有时一台服务器硬件专门运行一种服务,有时一台服务器硬件需安装两种以上 的服务程序,有时两台以上的服务器需安装和运行同一种服务系统。网络规模小到只 用 l 至 2 台服务器的局域网,大到可达十几台至数十台的企业网和校园网,如何根据 应用需求、费用承受能力、服务器性能和不同服务程序之间对硬件占用特点、合理搭 配和规划服务器配制,最大限度地提高效率和性能的基础上降低成本,是系统集成方 要考虑的问题。 有关服务器应用配置与均衡的建议如下。 1) 中小型网络服务器应用配置 2) 中型网络服务器应用配置 3) 大中型网络或 ISP/ICP 的服务器群配置 五、网络操作系统与服务器配置 网络安全体系设计的重点在于根据安全设计的基本原则,制定出网络各层次的安 全策略和措施,然后确定出选用什么样的网络安全系统产品。 1.网络安全设计原则 尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些安全原则, 那么网络系统的安全就会有保障。设计时如不全面考虑,消极地将安全和保密措施寄 托在网管阶段,这种事后“打补丁”的思路是相当危险的。从工程技术角度出发,在 设计网络方案时,应该遵守以下原则。 1) 网络安全前期防范 强调对信息系统全面地进行安全保护。大家都知道“木桶的最大容积取决于最短 的一块木板”,此道理对网络安全来说也是有效的。网络信息系统是一个复杂的计算机 系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其 是多用户网络系统自身的复杂性、资源共享性,使单纯的技术保护防不胜防。攻击者 使用的是“最易渗透性”,自然在系统中最薄弱的地方进行攻击。因此,充分、全面、 完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计网 络安全系统的必要前提条件。 2) 网络安全在线保护
强调安全防护、监测和应急恢复。要求在网络发生被攻击、破坏的情况下,必须 尽可能快地恢复网络信息系统的服务。减少损失。所以,网络安全系统应该包括3种 机制:安全防护机制、安全监测机制、安全恢复机制。安全防护机制是根据具体系统 存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行:安全监 测机制是监测系统的运行,及时发现和制止对系统进行的各种攻击:安全恢复机制是 在安全防护机制失效的情况下,进行应急处理和及时地恢复信息,减少攻击的破坏程 3)网络安全有效性与实用性 网络安全应以不能影响系统的正常运行和合法用户方的操作活动为前提。网络中 的信息安全和信息应用是一对矛盾。一方面,为健全和弥补系统缺陷的漏洞,会采取 多种技术手段和管理措施:另一方面,势必给系统的运行和用户方的使用造成负担和 麻烦,“越安全就意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务 不能容忍安全连接和安全处理造成的时延。网络安全采用分布式监控、集中式管理。 4)网络安全等级划分与管理 良好的网络安全系统必然是分为不同级别的,包括对信息保密程度分级(绝密、机 密、秘密、普密),对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安 全子网和安全区域),对系统结构层分级(应用层、网络层、链路层等)的安全策略。针 对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不 同层次的各种实际需求 网络总体设计时要考虑安全系统的设计。避免因考虑不周,出了问题之后“拆东 墙补西墙”的做法。避免造成经济上的巨大损失,避免对国家、集体和个人造成无法 挽回的损失。由于安全与保密问题是一个相当复杂的问题。因此必须注重网络安全管 理。要安全策略到设备、安全责任到人、安全机制贯穿整个网络系统,这样才能保证 网络的安全性 5)网络安全经济实用 网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能 价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。一般园区网络要具 有身份认证、网络行为审计、网络容错、防黑客、防病毒等功能。网络安全产品实用、 好用、够用即可 2.网络信息安全设计与实施步骤 第一步、确定面临的各种攻击和风险。 第二步、确定安全策略 安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。 安全策略的制定要综合以下几方面的情况。 (1)系统整体安全性,由应用环境和用户方需求决定,包括各个安全机制的子系统 的安全目标和性能指标 (2)对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等 (3)便于网络管理人员进行控制、管理和配置 (4)可扩展的编程接口,便于更新和升级 (5)用户方界面的友好性和使用方便性 (6)投资总额和工程时间等 第三步、建立安全模型
强调安全防护、监测和应急恢复。要求在网络发生被攻击、破坏的情况下,必须 尽可能快地恢复网络信息系统的服务。减少损失。所以,网络安全系统应该包括 3 种 机制:安全防护机制、安全监测机制、安全恢复机制。安全防护机制是根据具体系统 存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行:安全监 测机制是监测系统的运行,及时发现和制止对系统进行的各种攻击;安全恢复机制是 在安全防护机制失效的情况下,进行应急处理和及时地恢复信息,减少攻击的破坏程 度。 3) 网络安全有效性与实用性 网络安全应以不能影响系统的正常运行和合法用户方的操作活动为前提。网络中 的信息安全和信息应用是一对矛盾。一方面,为健全和弥补系统缺陷的漏洞,会采取 多种技术手段和管理措施:另一方面,势必给系统的运行和用户方的使用造成负担和 麻烦,“越安全就意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务 不能容忍安全连接和安全处理造成的时延。网络安全采用分布式监控、集中式管理。 4) 网络安全等级划分与管理 良好的网络安全系统必然是分为不同级别的,包括对信息保密程度分级(绝密、机 密、秘密、普密),对用户操作权限分级(面向个人及面向群组),对网络安全程度分级(安 全子网和安全区域),对系统结构层分级(应用层、网络层、链路层等)的安全策略。针 对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不 同层次的各种实际需求。 网络总体设计时要考虑安全系统的设计。避免因考虑不周,出了问题之后“拆东 墙补西墙”的做法。避免造成经济上的巨大损失,避免对国家、集体和个人造成无法 挽回的损失。由于安全与保密问题是一个相当复杂的问题。因此必须注重网络安全管 理。要安全策略到设备、安全责任到人、安全机制贯穿整个网络系统,这样才能保证 网络的安全性。 5) 网络安全经济实用 网络系统的设计是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能 价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。一般园区网络要具 有身份认证、网络行为审计、网络容错、防黑客、防病毒等功能。网络安全产品实用、 好用、够用即可。 2.网络信息安全设计与实施步骤 第一步、确定面临的各种攻击和风险。 第二步、确定安全策略。 安全策略是网络安全系统设计的目标和原则,是对应用系统完整的安全解决方案。 安全策略的制定要综合以下几方面的情况。 (1) 系统整体安全性,由应用环境和用户方需求决定,包括各个安全机制的子系统 的安全目标和性能指标。 (2) 对原系统的运行造成的负荷和影响(如网络通信时延、数据扩展等)。 (3) 便于网络管理人员进行控制、管理和配置。 (4) 可扩展的编程接口,便于更新和升级。 (5) 用户方界面的友好性和使用方便性。 (6) 投资总额和工程时间等。 第三步、建立安全模型
宜宥戕業技衔學院 Yibin Vocation Technical College 教学内容与板书 备注 模型的建立可以使复杂的问题简化,更好地解决和安全策略有关的问题。安全模 型包括网络安全系统的各个子系统。网络安全系统的设计和实现可以分为安全体制、 网络安全连接和网络安全传输三部分。 (1)安全体制:包括安全算法库、安全信息库和用户方接口界面 (2)网络安全连接:包括安全协议和网络通信接口模块。 (3)网络安全传输:包括网络安全管理系统、网络安全支撑系统和网络安全传输系 第四步、选择并实现安全服务。 (1)物理层的安争:物理层信息安全主要防止物理通路的损坏、物理通路的窃听和 对物理通路的攻击(干扰等) (2)链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃 听。主要采用划分ⅥLAN(局域网)、加密通信(远程网)等手段。 (3)网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务 保证网络传输正确,避免被拦截或监听 (4)操作系统的安全:操作系统安全要求保证客户资料、操作系统访问控制的安令, 同时能够对该操作系统上的应用进行审计 (5)应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库 服务器,电子邮件服务器,web服务器等。由于应用平台的系统非常复杂,通常采用 多种技术(如SSL等)来增强应用平台的安全性 (6)应用系统的安全:应用系统是为用户提供服务,应用系统的安全与系统设计和 实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容 安全、通信双方的认证和审计等手段 第五步、安全产品的选型 网络安全产品主要包括防火墙、用户身份认证、网络防病系统统等。安全产品的 选型工作要严格按照企业(学校)信息与网络系统安全产品的功能规范要求,利用综合的 技术手段,对产品功能、性能与可用性等方面进行测试,为企业、学校选出符合功能 要求的安全产品 课 后 结 1、什么是需求分析? 作业|2、如何进行网络需求调研? 布置
Yibin Vocation & Technical College 教 学 内 容 与 板 书 备 注 模型的建立可以使复杂的问题简化,更好地解决和安全策略有关的问题。安全模 型包括网络安全系统的各个子系统。网络安全系统的设计和实现可以分为安全体制、 网络安全连接和网络安全传输三部分。 (1) 安全体制:包括安全算法库、安全信息库和用户方接口界面。 (2) 网络安全连接:包括安全协议和网络通信接口模块。 (3) 网络安全传输:包括网络安全管理系统、网络安全支撑系统和网络安全传输系 统。 第四步、选择并实现安全服务。 (1) 物理层的安争:物理层信息安全主要防止物理通路的损坏、物理通路的窃听和 对物理通路的攻击(干扰等)。 (2) 链路层的安全:链路层的网络安全需要保证通过网络链路传送的数据不被窃 听。主要采用划分 VLAN(局域网)、加密通信(远程网)等手段。 (3)网络层的安全:网络层的安全需要保证网络只给授权的客户使用授权的服务, 保证网络传输正确,避免被拦截或监听。 (4) 操作系统的安全:操作系统安全要求保证客户资料、操作系统访问控制的安令, 同时能够对该操作系统上的应用进行审计。 (5) 应用平台的安全:应用平台指建立在网络系统之上的应用软件服务,如数据库 服务器,电子邮件服务器,Web 服务器等。由于应用平台的系统非常复杂,通常采用 多种技术(如 SSL 等)来增强应用平台的安全性。 (6) 应用系统的安全:应用系统是为用户提供服务,应用系统的安全与系统设计和 实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容 安全、通信双方的认证和审计等手段。 第五步、安全产品的选型 网络安全产品主要包括防火墙、用户身份认证、网络防病系统统等。安全产品的 选型工作要严格按照企业(学校)信息与网络系统安全产品的功能规范要求,利用综合的 技术手段,对产品功能、性能与可用性等方面进行测试,为企业、学校选出符合功能 要求的安全产品。 课 后 小 结 作业 布置 1、什么是需求分析? 2、如何进行网络需求调研?
