機房網(wǎng)絡設計方案精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的機房網(wǎng)絡設計方案主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：機房網(wǎng)絡設計方案范文

DDB系統(tǒng)（具有DDB能力的DVB基礎設施）的目的是向最終用戶信息和服務。下述定義介紹了DDB系統(tǒng)的主要元素和構成部分：

目標最終用戶主要是個體住宅消費者，習慣于收看電視節(jié)目，廣告，能夠使用電視遙控器進行一些基本的選擇操作。最終用戶的主要終端是一臺帶機頂盒的電視機，能夠接收電視節(jié)目和先進業(yè)務。但是，裝有DVB適配器的PC機可作為終端設備，用于需要特殊處理能力或通訊能力，如TCP/IP的特定應用；

傳輸?shù)闹虚g媒介是數(shù)字電視網(wǎng)，如衛(wèi)星，電纜或陸地無線電。這種媒介是共享的，因為信息在其上廣播，可以被所有的終端用戶接收，盡管他們也許并沒有看到所有的信息；

先進業(yè)務的提供者通常是媒體業(yè)的內(nèi)容提供者：廣告，新聞機構，天氣預報，旅行社，證券交易所，圖書商，商人等等，先進業(yè)務由與其它頁建立連接的信息頁組成，和/或操作按鈕，用來觸發(fā)應用，實現(xiàn)象發(fā)送消息或開始一個購買交易之類的高級操作；

業(yè)務包裝者（或者）負責包裝來自內(nèi)容提供者的業(yè)務，并發(fā)送給合適的媒體（電視，互聯(lián)網(wǎng)等等）；

節(jié)目發(fā)行人擁有媒體（電纜或衛(wèi)星）上的傳輸帶寬。他們將電視頻道中的各種原始節(jié)目組合，然后通過電視網(wǎng)發(fā)送給預訂的最終用戶；

最后，網(wǎng)絡提供者擁有傳輸媒體（電纜或衛(wèi)星），在電纜或衛(wèi)星通道上廣播來自各種發(fā)行人的節(jié)目；

下圖總結了DDB市場的價值鏈

圖1 DDB價值鏈

需要特別注意的是，因國家制度，行業(yè)因素或歷史原因的考慮，參與者之間的界限也許并不明顯。尤其是，業(yè)務包裝者經(jīng)常提供自己的業(yè)務和內(nèi)容，有時也會扮演一個節(jié)目發(fā)行者的角色。

業(yè)務包裝者的收入通常來自兩個方面：

來自內(nèi)容提供者，支付他們業(yè)務廣播的費用，尤其是廣告；

來自最終用戶，其訂購（一次或每月）或每次使用先進業(yè)務需支付的費用。

1．2 與其它技術的關系

DDB技術關鍵的一點是其擁有大量的最終用戶，可以給他們帶來這些客戶不熟悉的其它技術如互聯(lián)網(wǎng)、電子商務，所能帶來的價值。IBM的AS/DVB結構應該考慮為這些技術和最終用戶之間通過電視媒體的接口。下圖總結了互聯(lián)網(wǎng)、電子商務和AS/DVB之間的關系：

圖 2： AS/DVB 和其它技術

1．3 企業(yè)級集成

AS/DVB系統(tǒng)一般不可能是業(yè)務包裝者的計算網(wǎng)絡環(huán)境中的一個獨立系統(tǒng)。它一定要集成在客戶環(huán)境中，與其它資源或信息目標通訊，并且統(tǒng)一管理。圖4顯示了AS/DVB系統(tǒng)和其連接的其它企業(yè)產(chǎn)品和設備之間的關系。

圖3：AS/DVB企業(yè)級集成

1．4 基礎設施

下圖總結了參與者鏈，其交換的內(nèi)容，擁有的設備和DDB技術的界限。

圖例說明：

灰色區(qū)域代表DDB技術的覆蓋范圍?？缭紻DB區(qū)域的項目被認為與DDB有關或無關。

圓型盒子表示DDB的參與者（個人，公司或組織）。

方形盒子代表儀器、設備或軟件構件。

云形代表網(wǎng)絡。

箭頭和注釋代表信息交換。

圖 4: DDB 結構和基礎設施

上圖可以看作是DDB結構和基礎設施的整體描述。根據(jù)客戶需求，可能會有許多變化。有些參與者或構件可能不存在，因此IBM提供的AS/DVB系統(tǒng)可能有以下變化：

內(nèi)容提供者可能用其自己的編輯工具和/或圖形編輯器，要求其輸出能轉(zhuǎn)換成AS/DVB結構支持的業(yè)務格式。

業(yè)務包裝者會有自己的計劃工具，要求其輸出能轉(zhuǎn)換并完成，以符合AS/DVB結構支持的計劃格式。

一些業(yè)務內(nèi)容可能來自在線資源，而不是通常的創(chuàng)作工具，這些業(yè)務內(nèi)容要求自動地接收并轉(zhuǎn)換成AS/DVB結構支持的格式。

正如前面已經(jīng)提到的，業(yè)務包裝者和節(jié)目發(fā)行人可能是同一實體。

節(jié)目發(fā)行人可能在其多媒體服務器，視頻服務器和多路復用器（MSC-2/3卡）上使用IBM技術，或使用OEM技術

節(jié)目發(fā)行人也可能不存在或在AS/DVB系統(tǒng)邊界之外（例如Teletext UK， Mediaset and Stream）

傳送到carousel設備的數(shù)據(jù)的格式和傳送方式（協(xié)議，中間媒介）可能因多媒體服務器和機頂盒制造商的不同而不同。

機頂盒中運行的瀏覽器可能會因機頂盒的制造商和所有者，以及業(yè)務編碼所用的DVB編碼標準的不同而是或不是AS/DVB系統(tǒng)的組成部分。

業(yè)務包裝者可能想為DVB之外的其它媒體，如萬維網(wǎng)提供輸出業(yè)務。

數(shù)字電視網(wǎng)可能是一個衛(wèi)星網(wǎng)，或是陸地網(wǎng)，如電纜或無線電。

從機頂盒到AS/DVB的反向通道可能存在或不存在。

機頂盒允許或不允許識別最終用戶，例如支持可識別智能卡。

電子商務能力可能是或不是AS/DVB系統(tǒng)的一部分，可能依賴最終用戶的機頂盒和商人的能力而由其它方式獲得（在線或離線交易）。

1．5 演化途徑

IBM AS/DVB結構是模塊化的，可以隨著客戶和最終用戶越來越多的功能需要，逐步從一個基本的DDB系統(tǒng)演化成一個基于DVB的功能強大的先進業(yè)務平臺。

1．5．1 基本DDB系統(tǒng)

一個基本的DDB系統(tǒng)利用標準DVB基礎設施，向常規(guī)電視觀眾廣播由純信息頁組成的簡單信息：

信息只包含連接在一起的常規(guī)信息頁；

創(chuàng)作工具或者是普通的（XML），或者是專用的（Open TV or MHEG）；

廣播基礎設施是DVB；

最終用戶得到的信息是免費的。如果最終用戶訂購的話，也在系統(tǒng)之外處理；

從最終用戶到系統(tǒng)沒有反向通道。

這一基本構造滿足Teletext UK公司的需求。

1．5．2 多媒體DDB系統(tǒng)

多媒體DDB系統(tǒng)通過幾種網(wǎng)絡基礎設施（DVB，互聯(lián)網(wǎng)）將不同來源（創(chuàng)作工具，編輯系統(tǒng)，互聯(lián)網(wǎng)等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

信息來源是頁面創(chuàng)作工具（通用XML，或?qū)Ｓ茫?，?nèi)部信息系統(tǒng)，或互聯(lián)網(wǎng)上的在線資源；

輸出是包含連接在一起的常規(guī)信息頁的節(jié)目，利用IP協(xié)議廣播的文件，或者是萬維網(wǎng)上的HTML頁；

廣播基礎設施是DVB和互聯(lián)網(wǎng)；

提供給最終用戶的信息是免費的，如果最終用戶訂購DVB或互聯(lián)網(wǎng)的話，會在系統(tǒng)之外處理；

從最終用戶到系統(tǒng)沒有反向通道。

1．5．3 先進業(yè)務

AS/DVB系統(tǒng)通過幾種網(wǎng)絡基礎設施（DVB，互聯(lián)網(wǎng)）將不同來源（創(chuàng)作工具，編輯系統(tǒng)，互聯(lián)網(wǎng)等等）的信息頁廣播給幾種最終用戶（電視觀眾，PC使用者）。

除此之外，最終用戶還可以啟動交易，與系統(tǒng)中的先進業(yè)務或電子商務業(yè)務進行交互。最終用戶需要一個特定的許可，或者被確認，或者為此付費，才能夠進入這些附加的業(yè)務：

信息來源是頁面創(chuàng)作工具（通用XML，或?qū)Ｓ茫瑑?nèi)部信息系統(tǒng)，或互聯(lián)網(wǎng)上的在線資源；

輸出是包含連接在一起的常規(guī)信息頁的節(jié)目，利用IP協(xié)議廣播的文件，或者是萬維網(wǎng)上的HTML頁；

廣播基礎設施是DVB和互聯(lián)網(wǎng)；

提供給最終用戶的信息可以傳統(tǒng)接入，可以要求最終用戶的身份鑒定，訂閱用戶管理，還可能進行計費；

通過從最終用戶到系統(tǒng)中交易服務器的反向通道可以與電子商務系統(tǒng)進行交互。

類似這種結構的AS/DVB系統(tǒng)滿足Mediaset 和Via Digital公司的業(yè)務需求。

1．6 DDB概念

DDB技術從根本上說是想通過數(shù)字電視網(wǎng)向最終用戶發(fā)送包含信息和業(yè)務的節(jié)目。那么，什么是業(yè)務呢？它由什么組成？它又為最終用戶提供了什么？

業(yè)務是一組屏幕和數(shù)據(jù)，一起為最終用戶提供了信息和交互功能。尤其是當最終用戶配備了合適的機頂盒后，可以從其訂閱的數(shù)字節(jié)目（一組電視頻道）中選擇最喜歡的節(jié)目發(fā)行商和提供DDB業(yè)務的電視節(jié)目：

通過使用遙控器選擇按鈕或是頻道主頁上的熱鍵，選擇想要接入的業(yè)務，除非對該用戶只提供有一種業(yè)務；

檢驗業(yè)務屏幕的內(nèi)容：文本，圖像，按鈕等等；

使用遙控器上的箭頭鍵或屏幕上的熱鍵瀏覽屏幕上的業(yè)務。就象在互聯(lián)網(wǎng)上一樣，按鈕和熱鍵（圖像區(qū)域）與連接相連，可以從一屏瀏覽到另一屏；

通過選擇特定按鈕熱鍵，可以操作機頂盒，通過反向通道啟動某些交易（信息查詢，購買訂單，電子商業(yè)等等）

1．6．1 節(jié)目

最終用戶通過電視機屏幕，機頂盒或遙控器選擇了一個節(jié)目。電視節(jié)目在電視頻道中傳送，可以是各種形式：視頻（電影），音樂，數(shù)據(jù)流等等，無論它們的狀態(tài)和內(nèi)容怎樣，通過數(shù)字電視網(wǎng)廣播的電視節(jié)目都采用MPEG-2傳輸流編碼。廣播一個電視節(jié)目需要分配的帶寬依節(jié)目的性質(zhì)而定：音樂和數(shù)據(jù)通常比純視頻使用更少的帶寬。幾個節(jié)目通常在傳輸媒介上多路復用在一起，形成節(jié)目組。這種多路復用在傳統(tǒng)的模擬電視中通常是FDMA，在目前的數(shù)字電視網(wǎng)中趨向于TDMA。

1．6．2 屏幕和頁面

第2篇：機房網(wǎng)絡設計方案范文

關鍵詞 網(wǎng)絡內(nèi)部 安全方法 漏洞 設計方案

中圖分類號：TP393.08 文獻標識碼：A

0 引言

隨著我國市場經(jīng)濟的不斷繁榮發(fā)展，越來越多的企業(yè)建立了屬于自己的內(nèi)部網(wǎng)絡，從而方便企業(yè)內(nèi)部員工的交流，以及通過信息的有效迅速傳播，來實現(xiàn)其自身的管理目的。但是由于網(wǎng)絡內(nèi)部的安全防范沒有達到相應的標準，或者網(wǎng)絡設計內(nèi)部出現(xiàn)一些細微的瑕疵，這些都可能給網(wǎng)絡內(nèi)部安全埋下隱患，因此建立一個安全合理的內(nèi)部網(wǎng)絡對于企業(yè)的發(fā)展而言，具有重要意義。而且對于使用內(nèi)部網(wǎng)絡的群體而言，也是一種突破。

1 當下我國企業(yè)內(nèi)部網(wǎng)絡存在的問題

1.1 當下我國企業(yè)內(nèi)網(wǎng)的安全現(xiàn)狀

通過內(nèi)部網(wǎng)絡在企業(yè)中應用的不斷加深，我們可以發(fā)現(xiàn)當下傳統(tǒng)企業(yè)的內(nèi)部網(wǎng)路安全設計還局限在以針對網(wǎng)絡病毒和系統(tǒng)漏洞等防御為主的設計中。對于那些入侵檢測將重點放在設置當中，在對內(nèi)部網(wǎng)絡和外部網(wǎng)絡連接處加以嚴密的監(jiān)控。這樣的措施對于防范初級攻擊具有一定的作用，同時我們應該清楚，內(nèi)部網(wǎng)絡才是企業(yè)的核心價值所在，一旦內(nèi)部網(wǎng)絡受到攻擊而出現(xiàn)問題，那么給企業(yè)帶來的損失將難以預計。當下，內(nèi)部網(wǎng)絡的安全維護受到巨大的挑戰(zhàn)，但是企業(yè)的網(wǎng)絡管理員由于自身對安全風險認識不強，認為自身所做的防備已經(jīng)足夠完善，在內(nèi)部便沒有形成一個更加堅固的防護網(wǎng)。一旦發(fā)生事故，便會將企業(yè)的商業(yè)隱私泄漏，給企業(yè)造成巨大的傷害。因此，加強外網(wǎng)建設的同時，更加注重企業(yè)內(nèi)部網(wǎng)絡的建設對于企業(yè)的發(fā)展具有重要的現(xiàn)實作用，這也是當下企業(yè)建立內(nèi)部網(wǎng)絡安全的核心所在。

1.2 當前企業(yè)內(nèi)部網(wǎng)絡存在的安全隱患

隨著計算機網(wǎng)絡技術的不斷發(fā)展，企業(yè)內(nèi)部網(wǎng)絡作為其發(fā)展的一個分支存在。它的出現(xiàn)給企業(yè)管理、數(shù)據(jù)整合等提供了一個高科技的優(yōu)化平臺。但是，計算機網(wǎng)絡從出現(xiàn)以來，便一直圍繞著安全這個問題而發(fā)展著，內(nèi)部網(wǎng)絡也不例外。

（1）內(nèi)部網(wǎng)絡管理人員缺乏重視。攻擊者對于企業(yè)內(nèi)部網(wǎng)絡的攻擊主要是以其安全防護作為突破點而進行的。企業(yè)內(nèi)部網(wǎng)絡存在漏洞絕大多數(shù)都是由于網(wǎng)絡管理人員缺乏對內(nèi)部網(wǎng)絡安全的重視，從而導致黑客有機可乘。（2）內(nèi)部網(wǎng)絡用戶權限不同。企業(yè)內(nèi)部網(wǎng)絡具有一個明顯特征便是使用者擁有不同的權限。企業(yè)內(nèi)部網(wǎng)絡建立用戶使用權限的初衷是為了方便企業(yè)各個階層實現(xiàn)管理。但正是設置權限不一，才導致整個內(nèi)部網(wǎng)絡需要多次識別身份認證。同時，對于那些擁有身份認證較弱的用戶，極易攻擊，黑客一旦通過基層身份打入內(nèi)網(wǎng)，實現(xiàn)越權查看便是極其容易的。（3）內(nèi)部網(wǎng)絡信息沒有得到整合。一些企業(yè)對于企業(yè)內(nèi)部的機密信息大多集中在中高層管理者的計算機終端里，企業(yè)內(nèi)部網(wǎng)絡對于這些信息沒有進行整合。這也就意味著機密信息集中在幾個管理者手中。而他們對于信息的保護程度遠遠沒有達到專業(yè)性的程度，因此很容易造成信息被竊取等。

3 企業(yè)內(nèi)部網(wǎng)絡安全防范設計

為了能夠有效解決企業(yè)內(nèi)部網(wǎng)絡中存在的各種安全威脅問題，保障企業(yè)內(nèi)部網(wǎng)絡安全穩(wěn)定運行，本文提出了一套企業(yè)內(nèi)部網(wǎng)絡安全防范設計方案。企業(yè)內(nèi)部網(wǎng)絡安全體系屬于水平與垂直分層實現(xiàn)的，它們之間是通過支配和被支配的模式實現(xiàn)使用的；垂直層面上的安全制度是負責對水平層面上的行為進行安全規(guī)范。

3.1 用戶身份認證

用戶身份認證是保證企業(yè)內(nèi)部網(wǎng)絡安全穩(wěn)定運行的基礎，企業(yè)內(nèi)部網(wǎng)絡中的用戶身份認證包括了服務器用戶、網(wǎng)絡設備用戶、網(wǎng)絡資源用戶、客戶端用戶等等。由于網(wǎng)絡客戶端用戶數(shù)量龐大，存在著更多的不安全、不確定性，因此，對于網(wǎng)絡客戶端用戶的身份認證至關重要。

3.2 用戶授權管理

用戶授權管理是以用戶身份認證作為基礎的，主要是對用戶使用企業(yè)內(nèi)部網(wǎng)絡的數(shù)據(jù)資源時進行授權，每個用戶都對應著不用的權限，權限代表著能夠?qū)ζ髽I(yè)內(nèi)部網(wǎng)絡中的某些資源進行訪問和使用，包括服務器數(shù)據(jù)資源的使用權限、網(wǎng)絡數(shù)據(jù)資源使用權限和網(wǎng)絡存儲設備資源使用權限等等。

3.3 數(shù)據(jù)信息保密

數(shù)據(jù)信息保密作為企業(yè)內(nèi)部網(wǎng)絡中信息安全的核心部分，需要對企業(yè)內(nèi)部網(wǎng)絡中進行數(shù)據(jù)通信的所有數(shù)據(jù)進行安全管理，保證數(shù)據(jù)通信能夠在企業(yè)內(nèi)部網(wǎng)絡中處于一個安全環(huán)境下進行，從而保證對企業(yè)內(nèi)部網(wǎng)絡信息和知識產(chǎn)權信息的有效保護。

參考文獻

[1] 張怡.淺議計算機網(wǎng)絡安全策略[J].科技資訊.2011（09）.

第3篇：機房網(wǎng)絡設計方案范文

關鍵詞：網(wǎng)絡安全；蜜罐技術；蜜網(wǎng)技術；入侵檢測；虛擬機；VMware

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)29-0340-02

The Project Design of Honeypot Deployment Based on Network Security

SHI Ze-quan

(Department of Computer Science,Chongqing Vocational Institute Engineering,Chongqing 400037,China)

Abstract: Honey pot technology to detect intrusion, recording the invasion process and preserve the invasion history in network security more and more attention. The honey pots takes “to trick” and “delay the attack” the method is effective. But it has so many questions, just like cost too high, the attack process not to be easy to monitor, and the process diary not to be easy to preserve and so on. The Honeynet technology update the honeypot technology, the deployment of the security system, it is more confusing, more easily record-keeping,monitoring and analysis of the invasion process to the invaders. VMware used to achieve honeynet technology is the most economic and effective way.

Key words: network security; honeypot technology; honeynet technology; Intrusion detection; virtual pc;VMware

計算機及其網(wǎng)絡技術的應用已深入各行各業(yè)，特別是企事業(yè)單位的日常管理工作更是緊密依賴網(wǎng)絡資源。基于此，保證網(wǎng)絡的正常運行就顯得尤為重要。目前，廣泛采用的安全措施是在企業(yè)局域網(wǎng)里布設網(wǎng)絡防火墻、病毒防火墻、入侵檢測系統(tǒng)，同時在局域網(wǎng)內(nèi)設置服務器備份與數(shù)據(jù)備份系統(tǒng)等方案。而這些安全網(wǎng)絡防火墻、入侵檢測系統(tǒng)真能有效地保證系統(tǒng)的安全嗎？做到了這一切系統(tǒng)管理員就能高枕無憂了嗎？

1 問題的提出

圖1為現(xiàn)實中常用的二層網(wǎng)絡拓撲結構圖。從圖中可以看出，網(wǎng)絡防火墻與入侵檢測系統(tǒng)（IDS）均部署在網(wǎng)絡入口處，即防火墻與入侵檢測系統(tǒng)所阻擋是外網(wǎng)用戶對系統(tǒng)的入侵，但是對于內(nèi)網(wǎng)用戶來說，內(nèi)部網(wǎng)絡是公開的，所有的安全依賴于操作系統(tǒng)本身的安全保障措施提供。對一般的用戶來講，內(nèi)網(wǎng)通常是安全的，即是說這種設計的對于內(nèi)網(wǎng)的用戶應該是可信賴的。然而對于諸如校園網(wǎng)的網(wǎng)絡系統(tǒng)，由于操作者基本上都是充滿強烈好奇心而又具探索精神的學生，同時還要面對那些極少數(shù)有逆反心理、強烈報復心的學生，這種只有操作系統(tǒng)安全性作為唯一一道防線的網(wǎng)絡系統(tǒng)的可信賴程度將大打折扣。

另一方面，有經(jīng)驗的網(wǎng)絡管理員都知道，網(wǎng)絡中設置了防火墻與入侵檢測系統(tǒng)并不能從根本上解決網(wǎng)絡的安全問題（最安全的方法只能是把網(wǎng)絡的網(wǎng)線撥了），只能對網(wǎng)絡攻擊者形成一定的阻礙并延長其侵入時間。操作者只要有足夠的耐心并掌握一定的攻擊技術，這些安全設施終有倒塌的可能。

所以，如何最大可能地延長入侵者攻擊網(wǎng)絡的時間？如何在入侵雖已發(fā)生但尚未造成損失時及時發(fā)現(xiàn)入侵？避開現(xiàn)有入侵檢測系統(tǒng)可以偵測的入侵方式而采用新的入侵方式進行入侵時，管理者又如何發(fā)現(xiàn)？如何保留入侵者的證據(jù)并將其提交有關部門？這些問題都是網(wǎng)絡管理者在安全方面需要經(jīng)常思考的問題。正是因為上述原因，蜜罐技術應運而生。

2 蜜罐技術簡介

蜜罐技術的研究起源于上世紀九十年代初。蜜罐技術專家L．Spitzner對蜜罐是這樣定義的：蜜罐是一個安全系統(tǒng)，其價值在于被掃描、攻擊或者攻陷。即意味著蜜罐是一個包含漏洞的誘騙系統(tǒng)。它是專門為吸引并“誘騙”那些試圖非法闖入他人計算機系統(tǒng)的人設計的。它通過模擬一個或多個有漏洞的易受攻擊的主機，給攻擊者提供十分容易受攻擊的目標。

如圖2所示，蜜罐與正常的服務器一樣接入核心交換機，并安裝相應的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，配置相應的網(wǎng)絡服務，故意存放“有用的”但已過時的或可以公開的數(shù)據(jù)。甚至可以將蜜罐服務器配置成接入網(wǎng)絡即組成一臺真正能提供應用的服務器，只是注意將蜜罐操作系統(tǒng)的安全性配置成低于正常的應用服務器的安全性，或者故意留出一個或幾個最新發(fā)現(xiàn)的漏洞，以便達到“誘騙”的目的。

正常配置的蜜罐技術一旦使用，便可發(fā)揮其特殊功能。

1) 由于蜜罐并沒有向外界提供真正有價值的服務，正常情況下蜜罐系統(tǒng)不被訪問，因此所有對其鏈接的嘗試都將被視為可疑的，這樣蜜罐對網(wǎng)絡常見掃描、入侵的反應靈敏度大大提高，有利于對入侵的檢測。

2) 蜜罐的另一個用途是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。如圖二， 正常提供服務的服務器有4個，加入4個蜜罐，在攻擊者看來，服務器有8個，其掃描與攻擊的對象也增加為8個，所以大大減少了正常服務器受攻擊的可能性。同時，由于蜜罐的漏洞多于正常服務器，必將更加容易吸引攻擊者注意，讓其首先將時間花在攻擊蜜罐服務器上。蜜罐服務器靈敏的檢測并及時報警，這樣可以使網(wǎng)絡管理員及時發(fā)現(xiàn)有攻擊者入侵并及時采取措施，從而使最初可能受攻擊的目標得到了保護，真正有價值的內(nèi)容沒有受到侵犯。

3) 由于蜜罐服務器上安裝了入侵檢測系統(tǒng)，因此它可以及時記錄攻擊者對服務器的訪問，從而能準確地為追蹤攻擊者提供有用的線索，為攻擊者搜集有效的證據(jù)。從這個意義上說，蜜罐就是“誘捕”攻擊者的一個陷阱。

經(jīng)過多年的發(fā)展，蜜罐技術已成為保護網(wǎng)絡安全的切實有效的手段之一。對企事關單位業(yè)務數(shù)據(jù)處理，均可以通過部署蜜罐來達到提高其安全性的目的。

3 蜜罐與蜜網(wǎng)技術

蜜罐最初應用是真正的主機與易受攻擊的系統(tǒng)，以獲取黑客入侵證據(jù)、方便管理員提前采取措施與研究黑客入侵手段。1998年開始，蜜罐技術開始吸引了一些安全研究人員的注意，并開發(fā)出一些專門用于欺騙黑客的開放性源代碼工具，如Fred Cohen所開發(fā)的DTK（欺騙工具包）、Niels Provos開發(fā)的Honeyd等，同時也出現(xiàn)了像KFSensor、Specter等一些商業(yè)蜜罐產(chǎn)品。

這一階段的蜜罐可以稱為是虛擬蜜罐，即開發(fā)的這些蜜罐工具能夠模擬成虛擬的操作系統(tǒng)和網(wǎng)絡服務并對黑客的攻擊行為做出回應，從而欺騙黑客。虛擬蜜罐工具的出現(xiàn)也使得部署蜜罐變得比較方便。但是由于虛擬蜜罐工具存在著交互程度低、較容易被黑客識別等問題。從2000年之后，安全研究人員更傾向于使用真實的主機、操作系統(tǒng)和應用程序搭建蜜罐，與之前不同的是，融入了更強大的數(shù)據(jù)捕獲、數(shù)據(jù)分析和數(shù)據(jù)控制的工具，并且將蜜罐納入到一個完整的蜜網(wǎng)體系中．使得研究人員能夠更方便地追蹤侵入到蜜網(wǎng)中的黑客并對他們的攻擊行為進行分析。

蜜網(wǎng)技術的模型如圖3所示。由圖中可以看出，蜜網(wǎng)與蜜罐最大的差別在于系統(tǒng)中多布置了一個蜜網(wǎng)網(wǎng)關（honeywall）與日志服務器。其中蜜網(wǎng)網(wǎng)關僅僅作為兩個網(wǎng)絡的連接設備，因此沒有MAC地址，也不對任何的數(shù)據(jù)包進行路由及對TTL計數(shù)遞減。蜜網(wǎng)網(wǎng)關的這種行為使得攻擊者幾乎不可能能覺察到它的存在。任何發(fā)送到蜜網(wǎng)內(nèi)的機器的數(shù)據(jù)包都會經(jīng)由Honeywall網(wǎng)關，從而確保管理員能捕捉和控制網(wǎng)絡活動。而日志服務器則記錄了攻擊者在蜜罐機上的所有的行為以便于對攻擊者的行為進行分析，并對蜜罐機上的日志進行備份以保留證據(jù)。這樣攻擊者并不會意識到網(wǎng)絡管理員正在監(jiān)視著他，捕獲的行為也使管理員掌握了攻擊者使用的工具、策略和動機。

4 蜜罐部署

由前述內(nèi)容可以看出，蜜罐服務器布置得越多，應用服務器被掃描與攻擊的風險則越小，但同時系統(tǒng)成本將大幅度提高，管理難度也加大。正因為如此，實際中蜜罐的部署是通過虛擬計算系統(tǒng)來完成的。

當前在Windows平臺上流行的虛擬計算機系統(tǒng)主要有微軟的Virtual Pc與Vmware。以Vmware為例，物理主機配置兩個網(wǎng)卡，采用Windows2000或Windows XP操作系統(tǒng)，并安裝VMwar。建立一臺虛擬機作為蜜網(wǎng)網(wǎng)關，此虛擬機設置三個虛擬網(wǎng)卡（其虛擬網(wǎng)卡類型見圖4），分別連接系統(tǒng)工作網(wǎng)、虛擬服務器網(wǎng)與監(jiān)控服務器。虛擬服務器網(wǎng)根據(jù)物理主機內(nèi)存及磁盤空間大小可虛擬多個服務器并安裝相應的操作系統(tǒng)及應用軟件，以此誘惑黑客攻擊。蜜網(wǎng)服務器用于收集黑客攻擊信息并保留證據(jù)。系統(tǒng)拓撲結構如圖4所示。

系統(tǒng)部署基本過程如下：

4.1 主機硬件需求

CPU：Pentium 4 以上CPU，雙核更佳。

硬盤：80G以上，視虛擬操作系統(tǒng)數(shù)量而定。

內(nèi)存：1G以上，其中蜜網(wǎng)軟件Honeywall至少需要256M以上。其它視虛擬操作系統(tǒng)數(shù)量而定。（下轉(zhuǎn)第346頁）

（上接第341頁）

網(wǎng)卡：兩個，其中一個作為主網(wǎng)絡接入，另一個作為監(jiān)控使用。

其它設備：視需要而定

4.2 所需軟件

操作系統(tǒng)安裝光盤：Windows 2000或Windows 2003；

虛擬機軟件：VMware Workstation for Win32；

蜜網(wǎng)網(wǎng)關軟件：Roo Honeywall CDROM v1.2，可從蜜網(wǎng)項目組網(wǎng)站（一個非贏利國際組織，研究蜜網(wǎng)技術，網(wǎng)址為）下載安裝光盤。

4.3 安裝過程

1）安裝主機操作系統(tǒng)。

2) 安裝虛擬機軟件。

3) 構建虛擬網(wǎng)絡系統(tǒng)。其中蜜網(wǎng)網(wǎng)關虛擬類型為Linux，內(nèi)存分配為256M以上，最好為512M，硬盤空間為4G以上，最好為10G。網(wǎng)卡三個，分別設為VMnet0、VMnet1和VMnet2，如圖4所示。

4) 在蜜網(wǎng)網(wǎng)關機上安裝honeywall，配置IP信息、管理信息等。

5) 在蜜網(wǎng)網(wǎng)關機上配置Sebek服務器端，以利用蜜網(wǎng)網(wǎng)關收集信息。

6) 安裝虛擬服務器組，并布設相應的應用系統(tǒng)。注意虛擬服務器組均配置為VMnet1，以使其接入蜜網(wǎng)網(wǎng)關機后。

7) 在虛擬服務器組上安裝并配置sebek客戶端。

8) 通過監(jiān)控機的瀏覽器測試蜜網(wǎng)網(wǎng)關數(shù)據(jù)。

總之，虛擬蜜網(wǎng)系統(tǒng)旨在利用蜜網(wǎng)網(wǎng)關的數(shù)據(jù)控制、數(shù)據(jù)捕獲和數(shù)據(jù)分析等功能，通過對蜜網(wǎng)防火墻的日志記錄、eth1上的嗅探器記錄的網(wǎng)絡流和Sebek 捕獲的系統(tǒng)活動，達到分析網(wǎng)絡入侵手段與方法的目的，以利于延緩網(wǎng)絡攻擊、改進網(wǎng)絡安全性的目的。

參考文獻：

[1] 王連忠.蜜罐技術原理探究[J].中國科技信息,2005(5):28.

[2] 牛少彰,張 瑋. 蜜罐與蜜網(wǎng)技術[J].通信市場,2006(12):64-65.

[3] 殷聯(lián)甫.主動防護網(wǎng)絡入侵的蜜罐(Honeypot)技術[J].計算機應用,2004(7):29-31.

[4] 葉飛.蜜罐技術淺析[J].網(wǎng)絡安全技術與應用.2007(5):36-37.

第4篇：機房網(wǎng)絡設計方案范文

關鍵詞: 校園網(wǎng)網(wǎng)絡規(guī)劃設計網(wǎng)絡安全管理需求設計特點

一、 校園地理環(huán)境

我校分為南北兩個校區(qū),南區(qū)為教學區(qū),包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區(qū)為實訓中心,與南區(qū)相隔一條街道,包括:南北兩棟實訓樓。

二、校園網(wǎng)功能需求

學校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計算機及其網(wǎng)絡在輔助教學、教學管理等方面發(fā)揮作用,我校計劃在校內(nèi)建立校園網(wǎng),并與國際互聯(lián)網(wǎng)相連。

校園網(wǎng)的信息點應該普及兩個校園區(qū)所有教學樓的教室,實訓中心的電腦室、實訓室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應該提供無線網(wǎng)絡接入。校園內(nèi)每個信息點的電腦都可以相互訪問,實現(xiàn)廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡服務功能,如電子郵件、對外個人主頁服務、ftp服務、域名服務等。

三、校園網(wǎng)網(wǎng)絡規(guī)劃設計

1.綜合布線結構

根據(jù)學校的地理位置,各棟建筑物到網(wǎng)絡中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。

(1)主干網(wǎng)。網(wǎng)絡中心在圖書館四樓,對于南區(qū)教學區(qū),因為每棟樓到網(wǎng)絡中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網(wǎng)絡中心的核心交換機連接;而北區(qū)實訓中心因為離網(wǎng)絡中心太遠,南北樓的交換機用12芯的室外單模光纜與網(wǎng)絡中心的核心交換機連接。主干網(wǎng)是由光纖構成的1000M網(wǎng)。

(2)樓內(nèi)網(wǎng)。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構成10―100M的網(wǎng)絡。

2.設備選型

網(wǎng)絡設備必須在技術上具有先進性、通用性,必須便于管理、維護。網(wǎng)絡設備應該滿足學校現(xiàn)有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護學校的投資。網(wǎng)絡設備必須在滿足功能與性能的基礎上價格最優(yōu)。網(wǎng)絡設備應該選擇擁有足夠?qū)嵙褪袌龇蓊~的廠商的主流產(chǎn)品,同時設備廠商必須有良好的市場形象與售后技術支持。

根據(jù)多方面的考慮,我們確定選用華為三康的設備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。

3.Internet接入

根據(jù)對全校總出口流量的估算,為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網(wǎng)絡地址轉(zhuǎn)換)進入Internet。

4.VLAN規(guī)劃

VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢:抑制網(wǎng)絡上的廣播風暴;增加網(wǎng)絡的安全性;集中化的管理控制?；谶@些優(yōu)點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1―設備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實訓中心南、VLAN13―實訓中心北、VLAN14―4號教學樓、VLAN15―5號教學樓、VLAN16―1號教學樓、VLAN17―教工宿舍。

5.路由規(guī)劃

核心三層交換機S-7506實現(xiàn)VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動路由,而不需要設置額外的靜態(tài)或動態(tài)路由條目。我們在S-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中,同時給VLAN端口添加對應的網(wǎng)關IP作為虛擬端口的IP地址,實現(xiàn)整個校園網(wǎng)不同網(wǎng)段之間的相互訪問。

6.無線接入

充分利用計算機輔助教學及利用網(wǎng)絡軟硬件的資源共享,是校園網(wǎng)為教學服務的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網(wǎng),采取無線接入的方式。

構建“無線漫游”接入?yún)^(qū),在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。

7.開放計算機機房

學校內(nèi)有大量的各種各樣的開放式機房,是學生學習計算機的場所,通常這些計算機連成一個局域網(wǎng),除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現(xiàn)Internet訪問,實際上是一個局域網(wǎng)PC如何共享上網(wǎng)的問題。在每一個機房部署一個信息點,相當于Internet出口,用服務器的方式通過信息點接入校園網(wǎng),從而實現(xiàn)訪問Internet。

8.對外站點

對于一些外部站點的問題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認規(guī)則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設置規(guī)則就可以實現(xiàn)內(nèi)網(wǎng)訪問到DMZ區(qū),但外網(wǎng)不能訪問到DMZ區(qū)。對于學校來講,WWW站點的主要目的就是對外信息,必須讓外網(wǎng)能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務器的IP,以及相應的端口。在DMZ區(qū)放置學校的服務器:郵件服務器、WWW服務器、數(shù)據(jù)服務器、文件服務器。

四、網(wǎng)絡安全及管理需求

校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學校的方方面面,同時,校園網(wǎng)又是一個開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡硬件和應用的建立,還應該特別重視校園網(wǎng)的安全問題。網(wǎng)絡安全是一個體系結構,涉及整個辦公環(huán)境的各個方面,包括人員和設備,信息的駐留點,以及沿途經(jīng)過的各個中間環(huán)節(jié),從物理層到應用層都要小心對待。

1.設備級安全

包括網(wǎng)絡中所有可管理的網(wǎng)絡設備、服務器和網(wǎng)管工作站的安全。設備級安全是網(wǎng)絡的第一道屏障,嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網(wǎng)絡設備的IP地址列表,必要時關閉部分或全部遠程管理功能;對于核心網(wǎng)絡設備,如骨干交換機和路由器,建議不設遠程管理IP地址。

2.傳輸級安全

指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機房加裝屏蔽網(wǎng),對遠程傳輸?shù)男畔⑦M行加密等。

3.網(wǎng)絡層安全

是網(wǎng)絡安全設計中的重要一環(huán)。網(wǎng)絡層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內(nèi)外隔離,同時內(nèi)網(wǎng)采用保留IP地址,訪問外網(wǎng)時進行NAT轉(zhuǎn)換(網(wǎng)絡地址轉(zhuǎn)換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權訪問和故意破壞,一般在VLAN之間進行訪問控制。

4.應用級安全

包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網(wǎng)絡防病毒軟件,修補系統(tǒng)漏洞。同時也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡震蕩”,解決辦法是設置交換機STP協(xié)議(生成樹協(xié)議)。

校園網(wǎng)是一個比較大型的網(wǎng)絡,為了保證校園網(wǎng)更加有效、可靠地運行,我們配置了一臺網(wǎng)絡管理工作站,以便更有效地對校園網(wǎng)進行管理。根據(jù)網(wǎng)絡設備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網(wǎng)絡,主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。

五、方案規(guī)劃設計特點

該校園網(wǎng)方案采用成熟的先進的技術,采用國際統(tǒng)一標準有廣泛的支持廠商;所有設備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡不出現(xiàn)“塞車”現(xiàn)象;設置三層核心交換機,將整個網(wǎng)絡劃分為多個VLAN,從而使網(wǎng)絡更加安全;同時本方案充分考慮了網(wǎng)絡未來的升級與發(fā)展,把網(wǎng)絡主干網(wǎng)構成了信息高速網(wǎng),對未來的發(fā)展非常有利。

第5篇：機房網(wǎng)絡設計方案范文

柳工現(xiàn)有信息系統(tǒng)全面覆蓋了企業(yè)的產(chǎn)品開發(fā)、供應鏈管理、生產(chǎn)制造和銷售服務四大方面主體活動，成為柳工生產(chǎn)活動中重要的支撐。

目前柳工信息網(wǎng)是一個大型的二層網(wǎng)絡架構：

1、核心區(qū)域：兩臺Cisco4506作為整個網(wǎng)絡的核心，分別負責廠區(qū)網(wǎng)絡、研究院網(wǎng)絡、數(shù)據(jù)中心、互聯(lián)網(wǎng)和異地事業(yè)部廣域網(wǎng)的接入；

2、園區(qū)區(qū)域：所有部門及下屬公司的計算機都劃分在幾個業(yè)務VLAN內(nèi)，使用Cisco2960和2950交換機作為接入層設備；

3、異地事業(yè)部：租用不同運營商線路接入至數(shù)據(jù)中心機房的Cisco3550交換機上；

4、服務器區(qū)域：使用6臺Cisco2960G作為接入，使用雙鏈路上聯(lián)核心交換機；

5、互聯(lián)網(wǎng)區(qū)域：3條不同運營商的線路匯聚到一臺Cisco2960上。外部SSL-VPN用戶通過互聯(lián)網(wǎng)鏈路接入深信服VPN設備直接撥入到內(nèi)網(wǎng)。內(nèi)部訪問互聯(lián)網(wǎng)則通過ISA防火墻后從三個互聯(lián)網(wǎng)出口出去。

二、層網(wǎng)二絡向三層網(wǎng)絡轉(zhuǎn)變的必要性

2.1網(wǎng)絡拓撲

柳工目前網(wǎng)絡是一個以二層局域網(wǎng)交換為主的網(wǎng)絡，缺少必要的三層路由規(guī)劃和網(wǎng)絡安全規(guī)劃。現(xiàn)有網(wǎng)絡架構不能滿足應用系統(tǒng)未來的需求，不足以支撐未來業(yè)務的發(fā)展。

同時，缺乏匯聚交換機和光纖鏈路資源，使得大量的接入交換機采用級聯(lián)的方式實現(xiàn)上聯(lián)。這樣容易導致鏈路不穩(wěn)定和鏈路帶寬得不到保障。因此需要優(yōu)化網(wǎng)絡拓撲，合理選擇匯聚節(jié)點，變二層網(wǎng)絡為更加穩(wěn)定的三層網(wǎng)絡。

2.2明確網(wǎng)絡各功能區(qū)域

網(wǎng)絡系統(tǒng)需要按功能進行區(qū)分：如廣域網(wǎng)、生產(chǎn)網(wǎng)、研發(fā)網(wǎng)絡和數(shù)據(jù)中心等。柳工現(xiàn)有的網(wǎng)絡結構不具備真正的廣域網(wǎng)、數(shù)據(jù)中心、研發(fā)網(wǎng)絡和生產(chǎn)網(wǎng)絡等功能劃分。因此需要明確網(wǎng)絡各功能區(qū)域，實現(xiàn)分級分域安全防護。

2.3 IP地址/VLAN規(guī)劃

柳工目前使用一個B類地址和若干個C類地址，網(wǎng)絡中進行了有限的VLAN劃分。但由于VLAN規(guī)劃不細致，造成廣播域過大，給網(wǎng)絡的穩(wěn)定運行帶來了隱患。

柳工未來的IP地址分配建議采用DHCP動態(tài)分配輔助靜態(tài)部署。服務器設置靜態(tài)地址，客戶機動態(tài)獲取IP。動態(tài)分配由于地址是由DHCP服務器分配，便于集中化統(tǒng)一管理。每一個接入主機都能通過非常簡單的操作就可以獲得正確IP地址、子網(wǎng)掩碼、缺省網(wǎng)關、DNS等參數(shù)，在管理的工作量上比靜態(tài)地址要減少很多。非常適合大型網(wǎng)絡的需求。

綜上所述，二層網(wǎng)絡架構轉(zhuǎn)變?yōu)槿龑泳W(wǎng)絡架構，勢在必行，否則將不足以支撐日益擴大的網(wǎng)絡規(guī)模和業(yè)務發(fā)展需求。

三、整體設計方案

3.1 模塊劃分

通過參考和借鑒目前先進的網(wǎng)絡設計理念和其他企業(yè)網(wǎng)絡設計經(jīng)驗，依據(jù)全面性原則和模塊化設計原則，將整個網(wǎng)絡總體框架劃分為六大網(wǎng)絡區(qū)域：即核心交換區(qū)、園區(qū)網(wǎng)、數(shù)據(jù)中心、廣域網(wǎng)、研發(fā)網(wǎng)和互聯(lián)網(wǎng)。同時IP地址和VLAN規(guī)劃貫穿在各網(wǎng)絡區(qū)域的設計中。

3.2差異化分析

采用差異化分析的方式來確定網(wǎng)絡中的不足之處，提出網(wǎng)絡優(yōu)化的方法和所能夠達到的目標。

對網(wǎng)絡各組成部分具體分析，具體如下：

3.2.1 園區(qū)網(wǎng)

現(xiàn)狀：園區(qū)網(wǎng)核心設備超負荷運行，核心交換機4506CPU負荷超70%；園區(qū)網(wǎng)是一個大型二層網(wǎng)絡，終端用戶基本分布在VLAN1中，過大的廣播域給網(wǎng)絡的穩(wěn)定帶來潛在風險。接入層設備大量采用級聯(lián)方式上連核心，部分接入交換機帶寬利用率僅有30%。

規(guī)劃目標：提升園區(qū)網(wǎng)核心設備處理能力，從而提高網(wǎng)絡整體的處理能力。調(diào)整網(wǎng)絡層次，變兩層網(wǎng)絡為三層網(wǎng)絡架構，新增合理的匯聚節(jié)點。用動態(tài)路由協(xié)議規(guī)劃核心層和匯聚層的路由，提供快速收斂和高可擴展性。

3.2.2 數(shù)據(jù)中心

現(xiàn)狀：數(shù)據(jù)中心網(wǎng)絡與園區(qū)網(wǎng)之間界線不清，存在很大的可用性，擴展性問題；同時缺乏數(shù)據(jù)中心安全防護措施。

規(guī)劃目標：搭建獨立的數(shù)據(jù)中心網(wǎng)絡架構，建設數(shù)據(jù)中心的整體安全防護架構。

3.2.3 廣域網(wǎng)

現(xiàn)狀：廣域網(wǎng)缺乏冗余鏈路。廣域網(wǎng)是一個二層交換網(wǎng)，沒有三層路由，不能對重要業(yè)務做QOS保障，并且網(wǎng)絡設備比較陳舊。

規(guī)劃目標：增加冗余鏈路保證廣域網(wǎng)的穩(wěn)定可靠性。規(guī)劃廣域網(wǎng)路由，用專用路由器代替現(xiàn)有設備，通過有關技術手段保證重要應用數(shù)據(jù)的傳輸。

3.2.4 研發(fā)網(wǎng)絡

現(xiàn)狀：缺乏獨立的研發(fā)網(wǎng)網(wǎng)絡架構，缺乏對研發(fā)網(wǎng)的安全防護措施。

規(guī)劃目標：搭建獨立研發(fā)網(wǎng)網(wǎng)絡架構，在組網(wǎng)方式上采用物理隔離，在傳輸過程中采用邏輯隔離。建立研發(fā)網(wǎng)的安全防護架構，增強網(wǎng)絡的高安全性，同時保證業(yè)務數(shù)據(jù)的安全管理。

3.2.5 互聯(lián)網(wǎng)

現(xiàn)狀：缺乏細化的互聯(lián)網(wǎng)管理規(guī)范，互聯(lián)網(wǎng)安全防護設備陳舊且防護手段單一。

規(guī)劃目標：完善全網(wǎng)的互聯(lián)網(wǎng)出口，加強安全防護措施。完善統(tǒng)一安全控制策略和互聯(lián)網(wǎng)訪問規(guī)范。

3.2.6 IP地址和VLAN

現(xiàn)狀：IP地址分配VLAN劃分精細度不夠，用戶主要集中在VLAN1中，廣播域太大。IP地址主要采用靜態(tài)分配方式，管理缺乏靈活性。

規(guī)劃目標：統(tǒng)一IP地址管理，優(yōu)化IP分配和VLAN劃分規(guī)范。

四.實施規(guī)劃

4.1園區(qū)網(wǎng)

按照三層架構進行規(guī)劃設計，合理設置匯聚節(jié)點。優(yōu)化接入層設備的接入，最終形成完善的三層架構園區(qū)網(wǎng)。網(wǎng)絡設備的更新?lián)Q代，用高性能的核心設備替換原有的核心交換機，提升園區(qū)網(wǎng)的整體處理能力。加強對接入層設備的集中管理，逐步替換不可網(wǎng)管的接入設備。以園區(qū)網(wǎng)為主要承載平臺的統(tǒng)一無線系統(tǒng)部署。

4.2數(shù)據(jù)中心

增設數(shù)據(jù)中心核心交換機，建設數(shù)據(jù)中心整體安全防護系統(tǒng)；增設數(shù)據(jù)中心接入交換機，承擔服務器的接入。

4.3廣域網(wǎng)

增設廣域網(wǎng)核心路由器和廣域網(wǎng)防火墻，增加廣域網(wǎng)冗余鏈路，完成異地事業(yè)部接入路由器的改造。

4.4研發(fā)網(wǎng)

增設研發(fā)網(wǎng)核心交換機和研發(fā)網(wǎng)邊界防火墻，更換研發(fā)網(wǎng)的接入交換機，實現(xiàn)基于身份的網(wǎng)絡準入控制。

4.5互聯(lián)網(wǎng)

完成互聯(lián)網(wǎng)邊界防火墻的改造、互聯(lián)網(wǎng)系統(tǒng)改造和ISP鏈路的動態(tài)負載，同時優(yōu)化互聯(lián)網(wǎng)的出口管理（上網(wǎng)行為管理，流量監(jiān)控）。

4.6 IP地址規(guī)劃

已使用網(wǎng)段的地址，在新的規(guī)劃中不再使用；啟用新的IP地址段：172.17.0.0/16共65535個IP地址劃分為255個C類的IP子網(wǎng)，分配給廣域網(wǎng)，局域網(wǎng)和數(shù)據(jù)中心使用；啟用IP地址段：10.0.0.0/24，分配給特殊需求的IP，如：雙機熱備系統(tǒng)的心跳IP。該段地址不參與路由，并且需要使用VLAN隔離。啟用IP地址段：10.1.0.0/16，分配10.1.1.0/24給VPN地址池，其余保留給未來的外聯(lián)網(wǎng)絡。

第6篇：機房網(wǎng)絡設計方案范文

關鍵詞：存儲網(wǎng)絡；虛擬機；虛擬服務器；交換機

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2016）26-0071-02

1 背景

虛擬化環(huán)境需要多種技術的協(xié)調(diào)配合：服務器和操作系統(tǒng)的虛擬化、存儲虛擬化、以及系統(tǒng)管理、資源管理和軟件提交，與非虛擬化環(huán)境一致的應用環(huán)境。因為有了虛擬化，企業(yè)不再需要建立耗資巨大的數(shù)據(jù)中心就能夠?qū)崿F(xiàn)異地備份。這對用戶來說極富吸引力。

該設置方案中設置三個相互獨立的網(wǎng)絡：存儲網(wǎng)絡、現(xiàn)場生產(chǎn)網(wǎng)絡、三級通訊網(wǎng)絡。這三個網(wǎng)絡的中心交換機都位于虛擬中心機房。

存儲網(wǎng)絡是萬兆網(wǎng)絡，用于虛擬宿主服務器的管理和服務器主機間直接通訊，主要用于服務器間存儲數(shù)據(jù)的同步、虛擬機備份、遷移等需要高帶寬的場景。

各生產(chǎn)線的現(xiàn)場自動化控制網(wǎng)絡，通過雙光纜連接到中心機房的生產(chǎn)網(wǎng)絡交換機，該網(wǎng)絡和中心機房內(nèi)部網(wǎng)絡相互隔離。各虛擬服務器和三級機通訊，通過專用的三級通訊網(wǎng)絡（單獨千兆網(wǎng)絡交換機）進行，該網(wǎng)絡和其他兩個網(wǎng)絡也是相互隔離的。

每臺宿主虛擬服務器上，必須有5個以太網(wǎng)端口，其中4個端口是萬兆網(wǎng)絡，每兩個端口組成聚合網(wǎng)絡（共兩個聚合網(wǎng)絡），分別連接內(nèi)部管理網(wǎng)絡和工作網(wǎng)絡；一個端口是千兆網(wǎng)絡（連接三級網(wǎng)絡）。

作為中心交換機的萬兆網(wǎng)絡交換機，本身穩(wěn)定性很好，項目初期，可不考慮網(wǎng)絡交換機的冗余，使用端口聚合技術，實現(xiàn)網(wǎng)絡冗余，同時實現(xiàn)網(wǎng)絡帶寬翻倍。在多條生產(chǎn)線的設備進入虛擬中心后，為防止網(wǎng)絡帶寬不足，同時考慮提高網(wǎng)絡可靠性，可為生產(chǎn)網(wǎng)絡和存儲網(wǎng)絡設置冗余交換機，每臺宿主服務器同時連接同一網(wǎng)絡的不同交換機。

2 設置方案

每臺宿主虛擬服務器主機，配置兩個虛擬交換機，一個交換機連接聚合的萬兆網(wǎng)卡，物理連接到生產(chǎn)網(wǎng)絡交換機；另一個虛擬網(wǎng)絡交換機通過千兆實體網(wǎng)卡連接到三級通訊的實體網(wǎng)絡交換機。

連接生產(chǎn)網(wǎng)絡的實體交換機，為每個連接到遠程網(wǎng)絡的聚合千兆端口配置不同的VLAN編號，通過配置不同虛擬網(wǎng)絡，實現(xiàn)不同生產(chǎn)線上的網(wǎng)絡相互隔離。同時為每臺虛擬機連接生產(chǎn)網(wǎng)絡的虛擬網(wǎng)卡配置和該生產(chǎn)線網(wǎng)絡端口相同的VLAN號，實現(xiàn)每臺虛擬服務器、虛擬操作站和生產(chǎn)線現(xiàn)場的基礎自動化網(wǎng)絡通訊，同時屬于不同生產(chǎn)網(wǎng)絡的虛擬機之間實現(xiàn)網(wǎng)絡隔離。生產(chǎn)用中心交換機上的VLAN配置在連接現(xiàn)場網(wǎng)絡的聚合端口上。生產(chǎn)用交換機連接宿主服務器實體網(wǎng)卡的端口設置成Trunk模式。

存儲網(wǎng)絡中，每個宿主虛擬服務器主機使用兩個網(wǎng)絡端口，同時連接存儲網(wǎng)絡交換機。宿主服務器上，這兩個端口配置成聚合模式。在沒有冗余交換機時，交換機上連接同一臺服務器的兩個端口也被配置成聚合模式。這樣，一個網(wǎng)絡連接出現(xiàn)故障時，另外一個網(wǎng)絡連接還可提供可靠的網(wǎng)絡通訊。

如果有冗余交換機，宿主服務器主機上的兩個網(wǎng)絡端口分別連接到不同交換機上，當一臺交換機出現(xiàn)故障時，另外一臺交換機還能夠提供可靠的網(wǎng)絡通訊服務器。設備都正常時，兩臺交換機同時工作，使網(wǎng)絡帶寬翻倍。

自動化網(wǎng)絡交換機連接到中心機房，采用雙光纜連接。在中心機房只有一臺生產(chǎn)網(wǎng)絡交換機時，兩條網(wǎng)絡連接同時連接到生產(chǎn)網(wǎng)絡交換機的兩個端口上，這兩個端口被配置成聚合模式，可實現(xiàn)網(wǎng)絡負載分擔和網(wǎng)絡連接的冗余。

在生產(chǎn)網(wǎng)絡交換機有冗余交換機時，生產(chǎn)現(xiàn)場交換上連接上來的光纜分別連接到不同的生產(chǎn)網(wǎng)絡交換機的端口上。當一臺生產(chǎn)網(wǎng)絡交換機出現(xiàn)故障時，另外一臺交換機可承擔全部的網(wǎng)絡通訊負載。

每臺宿主虛擬服務器主機上，有兩個網(wǎng)絡端口同時連接生產(chǎn)網(wǎng)絡交換機。在宿主服務器主機上，這兩個端口被配置成聚合模式，在沒有冗余網(wǎng)絡時，這兩個網(wǎng)絡端口同時連接到同一臺生產(chǎn)網(wǎng)絡交換機的不同端口上，在生產(chǎn)網(wǎng)絡交換機上，這兩個端口被配置成聚合模式，這樣，可實現(xiàn)對宿主虛擬服務器主機網(wǎng)絡連接的負載分擔和網(wǎng)絡冗余。

在存在生產(chǎn)網(wǎng)絡的冗余交換機時，每臺宿主虛擬服務器上兩個網(wǎng)絡端口分別連接不同生產(chǎn)網(wǎng)絡交換機的端口。

宿主虛擬服務器采用端口聚合的方式，連接生產(chǎn)網(wǎng)絡和連接存儲網(wǎng)絡，都是采用雙鏈路的方式，實現(xiàn)網(wǎng)絡負載均衡和網(wǎng)絡冗余。

服務器硬件本身采用了大量高可用性設計，服務器的可靠性已經(jīng)達到電信級，一般很難出現(xiàn)硬件嚴重損壞，突然完全宕機的情況。

虛擬機服務由Failover cluster故障恢復集群服務管理，當承載虛擬機的服務器出現(xiàn)故障，或需要維護時，可通過管理工作站，或直接操作服務器主機，將其上承載的虛擬機實時遷移到其他服務器上或直接切換到輔助服務器上，該過程中，虛擬機的運行不會中斷，網(wǎng)絡連接也可保持，對外部通訊對象和被服務對象完全透明。

在服務器維護完畢后，可將該服務器上承載的虛擬機再遷移回來。

當服務器意外宕機，網(wǎng)絡連接失敗，集群管理服務會自動在其他適合的服務器上，重新啟動失效服務器上承載的虛擬機，因所有虛擬機映像存放在共享的Storage Spaces Direct存儲系統(tǒng)中，該過程沒有拷貝虛擬機映像的過程，虛擬機映像就是同步保存在共享存儲系統(tǒng)中的映像。

在本設置方案中，配置一臺輔助服務器（復制服務器），該服務器接受整個網(wǎng)絡中所有宿主虛擬服務器發(fā)出的虛擬機復制申請。本項目中，只復制服務器虛擬機。對于操作站虛擬機，都是無狀態(tài)虛擬機，只需保存一份最終的虛擬機備份即可，無需實時備份。

在第一次開始復制前，輔助服務器需要將被復制的虛擬機完整映像拷貝到本地，該過程可以通過網(wǎng)絡，也可通過外置存儲設備（移動硬盤）拷貝。

在服務器虛擬機運行時，宿主虛擬服務器主機會定時將其運行中對虛擬磁盤所做的修改日志發(fā)送給輔助服務器，輔助服務器維護每臺虛擬機的虛擬磁盤映像和被復制虛擬機相同。虛擬機數(shù)據(jù)復制周期可是：30秒、5分鐘、15分鐘。

操作人員能夠?qū)⒄谶\行的虛擬機在線遷移（切換）到輔助服務器上，該過程無需拷貝虛擬磁盤文件，只需傳輸虛擬機的內(nèi)存映像，該過程可借助萬兆網(wǎng)卡的RDMA功能，高速傳輸。

在宿主服務器確實宕機時，也可在輔助服務器上直接啟動宕機的宿主服務器上承載的虛擬機，該過程也可保證虛擬機快速啟動，恢復生產(chǎn)。

3 后期發(fā)展

操作站虛擬機在開發(fā)人員安裝好后，就可一直使用，正常運行中，操作站上無需保存任何新的數(shù)據(jù)。

對于操作站虛擬機，可在輔助服務器上保存一份最新備份，在有虛擬機映像被更新時，手工做一次復制，實現(xiàn)虛擬機最新映像的備份。

當操作站虛擬機出現(xiàn)故障時，可直接從輔助服務器上反向復制一份完好的虛擬機映像到宿主服務器上，實現(xiàn)虛擬機的快速恢復。

參考文獻：

[1] 丁振， 馮丹， 周可.Windows下的虛擬網(wǎng)絡存儲的設計與實現(xiàn)[J].計算機工程， 2003（5）.

[2] 韓得志， 蘭軍瑞.網(wǎng)絡存儲技術的探討[J].微型電腦應用， 2000（16）： 3.

第7篇：機房網(wǎng)絡設計方案范文

關鍵詞 網(wǎng)絡安全；物理隔離；地形圖保密

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）09-0179-01

1 勘察設計企業(yè)網(wǎng)絡現(xiàn)狀

勘察設計企業(yè)在設計工作中經(jīng)常會用到或產(chǎn)生一些文件，尤其是地形圖等密級較高的文件資料。我國2000年1月1日起頒布實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條規(guī)定：“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡相連接，必須實行物理隔離”。為保護國家秘密不外泄，同時滿足信息化辦公的生產(chǎn)需求，目前國內(nèi)勘察類企業(yè)主要采用兩種網(wǎng)絡架構方式。一種是設置內(nèi)部辦公網(wǎng)絡和外部網(wǎng)絡，員工各自配置兩臺分別連接內(nèi)外網(wǎng)絡的計算機，兩者完全物理隔離。這種方式建設和維護成本大，員工操控靈活度低。內(nèi)部辦公網(wǎng)絡實現(xiàn)公司信息化辦公和資源內(nèi)部共享等需求，外部網(wǎng)絡實現(xiàn)互聯(lián)網(wǎng)資料查詢和外部交流，同時嚴禁內(nèi)部網(wǎng)絡信息向外部網(wǎng)絡流通。另一種設立指定的互聯(lián)網(wǎng)訪問區(qū)，專門人員或機構采集互聯(lián)網(wǎng)信息復制到內(nèi)部網(wǎng)絡，或者設立專門的可訪問互聯(lián)網(wǎng)的設備或區(qū)域，這種方式實時性不好。

2 網(wǎng)絡隔離技術趨勢

物理隔離是網(wǎng)絡隔離的一種重要形式，它是通過網(wǎng)絡與計算機設備的空間分離來實現(xiàn)的網(wǎng)絡隔離[1]。與物理隔離不同的另一種網(wǎng)絡隔離方式是采用密碼技術的VPN隔離。虛擬專用網(wǎng)（VPN）是通過使用密碼和隧道技術、在公共網(wǎng)絡設施上構建的、具有專用網(wǎng)絡安全特性的邏輯網(wǎng)絡[2]。VPN隔離追求的是數(shù)據(jù)的分離或不可讀，而物理隔離強調(diào)的是設備的分離。盡管VPN的實現(xiàn)成本較低，但是在網(wǎng)絡的邊界點，隔離設備容易被攻擊，特別是來自公共網(wǎng)絡的拒絕服務攻擊[2]。

物理隔離網(wǎng)閘的思路決定了它是一種比VPN更高級的安全隔離形式，因為它是在保證必須安全的前提下，盡可能互聯(lián)互通，如果不能保證安全則完全斷開。然而，這種技術成熟的產(chǎn)品還是無法擺脫“擺渡”病毒的攻擊。因此，國家保密局信息系統(tǒng)安全保密測評中心頒發(fā)的網(wǎng)閘類產(chǎn)品檢測證書中明確注明“該產(chǎn)品不可用于互聯(lián)網(wǎng)和網(wǎng)絡之間的信息交換”。

3 雙網(wǎng)物理隔離解決方案架構

除去地形圖等國家秘密文件外，勘察設計企業(yè)商業(yè)秘密的保護也是極為迫切的要求。將操作地形圖資料的計算機與內(nèi)部工作網(wǎng)絡和外部互聯(lián)網(wǎng)隔離，內(nèi)外兩條網(wǎng)絡之間通過有效的隔離設備和網(wǎng)絡安全措施建立可信連接，既能滿足國家保密局對于國家秘密的保護要求，又能滿足公司內(nèi)部與互聯(lián)網(wǎng)之間的資源共享需要。

利用物理隔離網(wǎng)閘安裝在工作內(nèi)網(wǎng)核心交換機和外網(wǎng)核心交換機之間，對于公司內(nèi)部業(yè)務使用的計算機和服務器等設備直接或通過級聯(lián)設備連接到核心交換機，公司對外交流所用計算機或外網(wǎng)服務器直接或通過級聯(lián)連接到外網(wǎng)核心交換機。內(nèi)外網(wǎng)絡間數(shù)據(jù)訪問必須經(jīng)過網(wǎng)閘的“擺渡”。這樣，通過內(nèi)外網(wǎng)之間的網(wǎng)閘不僅實現(xiàn)了兩個網(wǎng)絡間的物理隔離，還能滿足內(nèi)外網(wǎng)之間實時、適度、可控的內(nèi)外網(wǎng)絡數(shù)據(jù)交換和應用服務。比如：文件交換、數(shù)據(jù)庫的數(shù)據(jù)交換與同步、HTTP/HTTPS標準訪問、FTP服務、郵件服務等。

圖1 基于網(wǎng)閘隔離的網(wǎng)絡拓撲結構

通過安全隔離網(wǎng)閘可以對辦公網(wǎng)絡到外部網(wǎng)之間的傳輸數(shù)據(jù)和文件嚴格執(zhí)行格式和內(nèi)容檢查，檢查的內(nèi)容可以包括內(nèi)容檢測、防惡意代碼、防泄密、文件類型控制等?？梢詫g覽器中輸入的各種關鍵詞和敏感字符串進行限制，預防內(nèi)網(wǎng)用戶因訪問外網(wǎng)網(wǎng)站時，在瀏覽器的訪問請求中出現(xiàn)有意或無意泄密的可能。

在公司網(wǎng)絡建設中對于地形圖等高密級資料的使用必須采取單獨網(wǎng)絡或單機運行模式，同時出臺相應的規(guī)章制度，對地形圖資料的復制、傳遞進行嚴格的規(guī)范，并出臺相應的懲罰措施，從公司制度層面對網(wǎng)絡安全保密行為進行約束。

4 性能分析

物理隔離網(wǎng)閘通過雙主機之間的物理斷開來達到數(shù)據(jù)隔離的目的。內(nèi)外主機間信息交換只能借助拷貝、鏡像、反射等非網(wǎng)絡方式來完成。另外，根據(jù)內(nèi)外網(wǎng)間數(shù)據(jù)交換的具體情況還可以選擇不同流向的單向或雙向隔離網(wǎng)閘，實現(xiàn)更高級別的數(shù)據(jù)保密要求。市場上部分物理隔離網(wǎng)閘支持基于文件特征庫的文件類型過濾和用戶自定義關鍵字的文件內(nèi)容篩查，可有效防止商業(yè)信息的無意泄漏。

應用物理隔離網(wǎng)閘的雙網(wǎng)隔離解決方案具備如下優(yōu)點。

1）屏蔽了內(nèi)部的網(wǎng)絡拓撲結構，屏蔽了內(nèi)部主機的操作系統(tǒng)漏洞，消除了來自互聯(lián)網(wǎng)上對網(wǎng)的攻擊。

2）內(nèi)部服務器不對外部網(wǎng)絡提供任何端口，不允許來自任何互聯(lián)網(wǎng)主機的主動請求，降低了自身風險。

3）通過嚴格的內(nèi)容過濾和檢查機制嚴防泄密。

4）可根據(jù)需要選擇單項或雙向數(shù)據(jù)流動方向，靈活性強。

但是，采用物理隔離網(wǎng)閘對內(nèi)部工作網(wǎng)絡和外部網(wǎng)絡進行隔離較采用VPN隔離在費用方面不占優(yōu)勢，同時，涉及地形圖的計算機部分仍需單獨劃分網(wǎng)絡。

參考文獻

[1]網(wǎng)絡隔離的技術分析與安全模型應用[J].數(shù)據(jù)通信，2002（3）：23-25.

第8篇：機房網(wǎng)絡設計方案范文

在為人們提供便捷服務的同時，互聯(lián)網(wǎng)應用也存在很多安全問題及威脅，如計算機病毒、變異木馬等，利用大規(guī)模互聯(lián)網(wǎng)集成在一起產(chǎn)生的漏洞攻擊網(wǎng)絡，導致數(shù)據(jù)泄露或被篡改，甚至使整個網(wǎng)絡系統(tǒng)無法正常運行。隨著網(wǎng)絡接入用戶的增多，互聯(lián)網(wǎng)接入的軟硬件資源也更多，因此對網(wǎng)絡安全處理速度就會有更高的要求，以便能夠提高木馬或病毒處理速度，降低網(wǎng)絡病毒的感染范圍，積極的響應應用軟件，具有重要的作用和意義。

2網(wǎng)絡安全防御技術應用發(fā)展現(xiàn)狀

目前，人們已經(jīng)進入到了“互聯(lián)網(wǎng)+”時代，面臨的安全威脅也更多，比如木馬病毒、DDOS攻擊和數(shù)據(jù)盜竊等。互聯(lián)網(wǎng)受到的攻擊也會給人們帶來嚴重的損失，比如勒索病毒攻擊了許多的大型跨國公司、證券銀行等，到這這些政企單位的辦公電腦全都發(fā)生了藍屏現(xiàn)象，用戶無法進入到操作系統(tǒng)進行文件處理，勒索病毒要求這些單位支付一定額度的贖金才可以正常使用系統(tǒng)，導致許多公司損失了很多的資金。分布式服務器攻擊（DDOS）也非常嚴重，模擬大量的用戶并發(fā)訪問網(wǎng)絡服務器，導致正常用戶無法登陸服務器。因此，為了提高信息安全，人們提出了防火墻、殺毒軟件或訪問控制列表等安全防御技術

2.1防火墻

防火墻是一種比較先進的網(wǎng)絡安全防御軟件，這種軟件可以設計很多先進的規(guī)則，這些規(guī)則不屬于互聯(lián)網(wǎng)的傳輸層或網(wǎng)絡層，可以運行于互聯(lián)網(wǎng)TCP/IP傳輸協(xié)議棧，使用循環(huán)枚舉的基本原則，逐個檢查每一個通過網(wǎng)絡的數(shù)據(jù)包，如果發(fā)現(xiàn)某個數(shù)據(jù)包的包頭IP地址和目的地IP地址及包內(nèi)容等存在威脅，就可以及時的將其清除，不允許通過網(wǎng)絡。

2.2殺毒軟件

殺毒軟件是一種非常先進的程序代碼，其可以查殺網(wǎng)絡中存在的安全威脅，利用病毒庫中一些收錄的病毒或木馬特征，判斷互聯(lián)網(wǎng)中是否存在這些類似的病毒或木馬。殺毒軟件采用了很多技術，如主動防御、啟發(fā)技術、特征碼技術、脫殼技術、行為分析等，這些都可以實時的監(jiān)控訪問互聯(lián)網(wǎng)的運行狀態(tài)，確保網(wǎng)絡正常使用。目前，許多大中型企業(yè)都開發(fā)了殺毒軟件，比如360安全衛(wèi)士、江民殺毒、騰訊衛(wèi)士、卡巴斯基等，取得了顯著的應用成效。

3基于人工智能的網(wǎng)絡安全防御系統(tǒng)設計

3.1系統(tǒng)功能分析

基于人工智能的網(wǎng)絡安全防御系統(tǒng)利用機器學習或模式識別技術，從互聯(lián)網(wǎng)中采集流量數(shù)據(jù)，將這些數(shù)據(jù)發(fā)送給人工智能模型進行分析，發(fā)現(xiàn)網(wǎng)絡中是否存在網(wǎng)絡病毒。具體的網(wǎng)絡安全防御系統(tǒng)的功能包括以下幾個方面：

3.1.1自動感知功能

自動感知是人工還能應用的一個重要亮點，這也是網(wǎng)絡安全系統(tǒng)最為關鍵的功能，自動感知可以主動的分析互聯(lián)網(wǎng)中是否存在安全隱患，比如病毒、木馬等數(shù)據(jù)片段，利用這些片段特征實現(xiàn)網(wǎng)絡病毒的判斷。

3.1.2智能響應功能

人工智能在網(wǎng)絡安全系統(tǒng)中可以實現(xiàn)智能響應，如果一旦發(fā)現(xiàn)某一個病毒或木馬侵入網(wǎng)絡，此時就需要按照實際影響范圍進行智能度量，影響范圍大、造成的損失較多就可以啟用全面殺毒；影響范圍小、造成的損失較少就可以啟動局部殺毒，這樣既可以清除網(wǎng)絡中的病毒或木馬，還可以降低網(wǎng)絡的負載，實現(xiàn)按需殺毒服務。

3.2人工智能應用設計

人工智能在網(wǎng)絡安全防御中的應用流程如下所述：目前互聯(lián)網(wǎng)接入的設備非常多，來源于網(wǎng)絡的數(shù)據(jù)攻擊也非常多，比如DDOS攻擊、網(wǎng)站篡改、設備漏洞等，因此可以利用人工智能技術，從根本上發(fā)現(xiàn)、分析、挖掘異常流量中的問題，基于人工智能的網(wǎng)絡安全系統(tǒng)具有一個顯著的特征，這個特征就是利用先進的機器學習技術構建一個主動化防御模型，這個模型可以清楚網(wǎng)絡中的木馬或病毒，能夠有效的避免互聯(lián)網(wǎng)受到攻擊，也可以將這些病毒或木馬牽引到一些備用服務器，在備用服務器上進行識別、追蹤，判斷網(wǎng)絡病毒的來源，從而可以徹底根除后患。人工智能在網(wǎng)絡安全防御中引入很多先進的殺毒技術，比如自我保護技術、實時監(jiān)控技術，基于卷積神經(jīng)網(wǎng)絡、機器學習、自動審計等，可以自動化快速識別網(wǎng)絡中的病毒及其變異模式，將其從互聯(lián)網(wǎng)中清除，同時還可以自我升級服務。

4結束語

目前，互聯(lián)網(wǎng)承載的應用軟件非常多，運行積累了海量的數(shù)據(jù)資源，因此安全防御系統(tǒng)可以引入數(shù)據(jù)挖掘構建智能分析系統(tǒng)，可以利用人工智能等方法分析網(wǎng)絡中是否存在一些病毒特征，即使這些病毒特征發(fā)生了變異，人工智能處理方法也可以利用先進的機器學習技術發(fā)現(xiàn)這些病毒的蹤跡，從而可以更加準確的判斷病毒或木馬，及時的啟動智能響應模塊，將這些病毒或木馬清除。人工智能在查殺的時候還可以按需提供服務，不需要時刻占據(jù)所有的負載，提高了網(wǎng)絡利用率。

參考文獻

[1]于成麗,安青邦,周麗麗.人工智能在網(wǎng)絡安全領域的應用和發(fā)展新趨勢[J].保密科學技術,2017(11):10-14.

[2]王海濤.基于大數(shù)據(jù)和人工智能技術的信息安全態(tài)勢感知系統(tǒng)研究[J].網(wǎng)絡安全技術與應用,2018(03):114-115.

第9篇：機房網(wǎng)絡設計方案范文

Abstract: In order to resolve the problems in network design of real-time distribution system for logistics, the article analyzed systematically its each link and its features, aiming at logistics corporate put forward resolution, which used integer programming to design network plan to achieve the goal of improving efficiency and saving costs. At last, it provided a new way for network design of real-time distribution systems for logistics.

關鍵詞：物流工程；實時配送；網(wǎng)絡設計；整數(shù)規(guī)劃

Key words: logistics engineering；real-time distribution；network design；integer programming

中圖分類號：U491 文獻標識碼：A 文章編號：1006-4311（2011）25-0031-02

0 引言

所謂實時物流（Real Time Logistics，RTL）就是指通過應用現(xiàn)代物流技術與信息技術來主動消除企業(yè)物流系統(tǒng)中的管理與執(zhí)行的延遲，從而提高企業(yè)整個物流系統(tǒng)的反應速度與競爭力，提升物流服務水平的物流理念，與物流企業(yè)通常所提的“JUST IN TIME”不同。 實時物流不僅關注物流各個環(huán)節(jié)的成本最低，而且更關注整個物流系統(tǒng)乃至企業(yè)的反應速度與能力，最終目標是要通過實時物流系統(tǒng)的實時采購、實時制造、在線倉儲管理、實時配送、實時追蹤、實時反饋等，使“四流”(商流、信息流、物流、資金流)同步合一,真正實現(xiàn)企業(yè)追求“實時”的理想目標。

物流實時配送系統(tǒng)走向計劃化、規(guī)?；魏纹髽I(yè)要想保持持久的競爭力，就必須對市場環(huán)境變化做出實時反應，以便在激烈的競爭中搶占先機，實時企業(yè) （Real Time Enterprise，RTE）理念，提出了成就RTE的6項原則，即標準、集成、協(xié)同、集中、敏捷、平臺。物流企業(yè)如果由有經(jīng)驗的專人進行制定配送計劃，則工作量比較大，且效率低下，同時不能適應企業(yè)今后發(fā)展的需要。在配送中心每天的業(yè)務量很大時，幾乎平均每分鐘一個訂單，計劃員要依據(jù)客戶的編號來查找客戶的實際地址，又要制定配送計劃，因此工作量會相當大;同時企業(yè)不會只配送一種貨物，而是應該利用自己的網(wǎng)絡優(yōu)勢，進行其它業(yè)務的擴展。因此，建立物流實時配送信息網(wǎng)絡系統(tǒng)是企業(yè)成功的關鍵。

1 物流實時配送系統(tǒng)的典型流程分析

物流管理中，物流實時配送系統(tǒng)起到商品集散的作用，它通過商品的集中采購、集中儲備和統(tǒng)一配送，成為一個有力的保障系統(tǒng)。在整個物流系統(tǒng)中，配送中心是一個關鍵的節(jié)點。配送中心的功能包括：商品進銷功能，倉儲保管功能，商品配送功能，商品流通功能，信息提供功能。配送中心主要業(yè)務流程有：①接受訂貨的業(yè)務②入庫系統(tǒng)的業(yè)務③配貨系統(tǒng)的業(yè)務④在庫系統(tǒng)的業(yè)務⑤出庫系統(tǒng)的業(yè)務⑥配送系統(tǒng)的業(yè)務等。

在此基礎上，物流實時配送的網(wǎng)絡信息系統(tǒng)建設是配送中必不可少的重要內(nèi)容。為了實現(xiàn)多品種少量、多頻度的實時配送要求，減少缺貨率、降低配貨的差錯，提高勞動效率、使配送中心作業(yè)簡單化、省力化并達到降低成本的目的，就必須依靠信息系統(tǒng)的完善管理。

2 KJS企業(yè)概況

KJS是家國內(nèi)一流的快運企業(yè)，企業(yè)總資產(chǎn)超過3億元，分支機構超過300家，員工超過8000人，車輛超過1500臺，年貨物周轉(zhuǎn)量超過3000萬件。KJS于1994年1月18日成立KJS商標源于董事長的構想。猴子使人想到靈敏快捷一個跟頭十萬八千里的孫悟空；拎著的包裹代表從事的小件快運；圓圈寓意門到門服務；綠色象征生命，象征宅急送永遠充滿活力。

截止2010年，KJS全國擁有480家全資分支機構，10000個代收點及1000多家特許加盟經(jīng)營合作網(wǎng)絡，業(yè)務覆蓋全國2000多個城市和地區(qū)，年貨物周轉(zhuǎn)量達7000萬件，年業(yè)務量保持45%的增長率。多次被中國物流與采購聯(lián)合會、中國交通運輸協(xié)會評為“中國最具成長性物流企業(yè)”、“中國最具競爭物流企業(yè)”、“中國百強物流企業(yè)23名”。

KJS的網(wǎng)絡優(yōu)勢體現(xiàn)在以點帶面、班車連線，通過兩次“綠色割據(jù)”，KJS建立起一張覆蓋率僅次于EMS的快遞網(wǎng)絡。KJS網(wǎng)絡優(yōu)勢不僅體現(xiàn)在滿足自身的業(yè)務需求上，還體現(xiàn)在向同行業(yè)開放，滿足國際、國內(nèi)其他貨運公司的需求上。

信息系統(tǒng)的優(yōu)勢主要表現(xiàn)在宅急送的ERP（綜合管理）系統(tǒng)由17個子系統(tǒng)構成，分運營、客服、綜合管理三大類。從最前端的COMMERCR使用，到倉庫管理系統(tǒng)（WMS）、條碼技術（BAR CODE）、全球定位系統(tǒng)（GPS）、客戶資源定位（CRM）、路由管理系統(tǒng)（RRM）和客戶網(wǎng)上查詢系統(tǒng)。全國所有分公司及其下級營業(yè)網(wǎng)點均已聯(lián)網(wǎng)，運營信息實時共享；各分公司與總公司服務器間采用硬件加密設備，保障信息的安全；通過各種技術手段已經(jīng)實現(xiàn)與部分客戶、合作網(wǎng)絡公司的信息系統(tǒng)對接。

信息技術方面，公司率先搭建了“物流信息網(wǎng)絡平臺”，開單，查詢，結帳等業(yè)務可輕松在網(wǎng)上完成；貨物條碼跟蹤系統(tǒng)（Bar Code）和車輛全球衛(wèi)星定位系統(tǒng)（GPS）的采用，使客戶能夠快速，準確的跟蹤貨物信息；KJS公司CALL+CENTER的投入使用，使客戶與公司聯(lián)系更加便捷。KJS正從一個以卡車為主的傳統(tǒng)快運公司向著以信息技術為牽引的現(xiàn)代快運企業(yè)飛速發(fā)展。

KJS有一只270人的信息研發(fā)隊伍，企業(yè)有很強的自主開發(fā)改造能力，目前使用比較高端的工業(yè)級PDA，通過GPRS網(wǎng)絡實現(xiàn)遠程任務指派、工作單基礎信息實時錄入與傳遞、簽收信息反饋、簽單影像掃描等應用，徹底實現(xiàn)信息前置，大大提高運營能力。

KJS在華北基地建立自動分揀線，在四個主要城市建立呼叫中心，在特一級分公司建立使用高架立體倉儲中心，同時，KJS還大量使用叉車、尾板車，這使KJS從傳統(tǒng)的運輸模式中走出來，成為現(xiàn)代化的物流企業(yè)。信息技術優(yōu)勢的確立使其服務優(yōu)勢、成本價格優(yōu)勢、產(chǎn)品優(yōu)勢等有了堅實的基礎。

3 KJS陜西配送系統(tǒng)網(wǎng)絡設計方案

西安分公司成立于2003年1月，網(wǎng)絡覆蓋全省內(nèi)9個地級城市，在西安市內(nèi)設有5個取派送網(wǎng)點，擁有各種類型的汽車28輛，員工200人。

KJS陜西配送網(wǎng)絡是由上行總公司負責的開發(fā)建設的。公司在陜西的分支機構12個如表1所示。

網(wǎng)絡內(nèi)所有營業(yè)所均已投入使用，要充分利用現(xiàn)有的營業(yè)所，在滿足企業(yè)快速貨運要求的同時，降低投資成本。根據(jù)網(wǎng)絡的綜合情況分析，將網(wǎng)絡劃分為13個區(qū)域，即增加西安KJS快運有限公司安康分公司。在整個綜合營運網(wǎng)絡內(nèi)將設5個節(jié)點，每個節(jié)點專設相應的配送中心，我們稱其為站點。每一個站點都將根據(jù)所服務區(qū)域的實際需求配置相應的設備，所有設備均為能按照設計的技術指標完成相應區(qū)域各營業(yè)所要求的各項綜合快速貨運業(yè)務。如圖1所示。服務站點與相應服務區(qū)域的位置，其中①，②，③，④，⑤表示服務站點，1，2，…，13表示服務區(qū)域，由于地理位置的差異，隨各站點到相應區(qū)域距離的不同，因而在考慮縮短站點與相應服務區(qū)域距離的同時，合理布置站點位置，分配相應服務區(qū)域。圖1中虛線表示各區(qū)域由哪個站點負責，無虛線聯(lián)系的，表示為不負責。

根據(jù)現(xiàn)有的設計規(guī)劃，上行總公司提出，在滿足各服務區(qū)營業(yè)所的需求，及時準確地提供相應快速貨運服務的前提下，能否減少站點的數(shù)目。表2給出了各站點到各服務區(qū)總投資量，上行總公司希望在保證各區(qū)域營業(yè)所的需求下減少站點的數(shù)目，并根據(jù)表中提供的投資量的分布情況，適當?shù)卣{(diào)整各站點相應的服務區(qū)域，使得站點到相應服務區(qū)域的支路網(wǎng)絡投資總量最小。

根據(jù)當時所處的條件和公司的目標，我們可以建立如下的數(shù)學模型：

MIN（18X11+60X12+26X21+25X22+6X31+29X41+6X42+22X51+22X52+25X62+20X63+17X72+11X73+30X82+23X83+19X84+40X93+6X94+45X95+31X104+36X105+40X114+10X115+31X125+21X135）

S.T.

（1）X11+X12=1；（2）X21+X22=1；（3）X31=1；（4）X41+X42=1；（5）X51+X52=1；（6）X62+X63=1；（7）X72+X73=1；（8）X82+X83+X84=1；（9）X93+X94+X95=1；（10）X104+X105=1；（11）X114+X115=1；（12）X125=1；（13）X135=1；（14）Xi，j=0或1。

注：X135=1表示第13個區(qū)域由第5個站點提供服務，其他類似。由管理運籌學軟件計算可得。

將上述數(shù)據(jù)輸入管理運籌學軟件，可得到如下的求解結果。

最優(yōu)函數(shù)值=3226.000

由計算結果分析：第1個區(qū)域由第1個站點提供服務，第2個區(qū)域由第2個站點提供服務，第3個區(qū)域由第1個站點提供服務，第4個區(qū)域由第2個站點提供服務，第5個區(qū)域由第1個站點提供服務，第6個區(qū)域由第3個站點提供服務，第7個區(qū)域由第3個站點提供服務，第8個區(qū)域由第4個站點提供服務，第9個區(qū)域由第4個站點提供服務，第10個區(qū)域由第4個站點提供服務，第11個區(qū)域由第5個站點提供服務，第12個區(qū)域由第5個站點提供服務，第13個區(qū)域由第5個站點提供服務。只有這樣才可以保證各區(qū)域企業(yè)的需求下減少站點的數(shù)目，并根據(jù)實際投資量的分布情況，使支路網(wǎng)絡投資總量最少為218萬元。比機械按順序投資節(jié)約336-218=118萬元。

4 主要研究結論

為了適應我國經(jīng)濟快速發(fā)展及物流產(chǎn)業(yè)信息化的基本要求，以提高我國物流企業(yè)管理效率為目標，利用現(xiàn)代信息網(wǎng)絡與3G（GPS/GSM/GIS）技術，建立一個集科學化、可視化、智能化于一體的物流管理系統(tǒng)，為物流企業(yè)科學、高效管理物流物資配送過程，提供方便快捷的管理決策工具。本文通過對物流實時配送系統(tǒng)各環(huán)節(jié)的深入系統(tǒng)研究，分析了物流實時配送系統(tǒng)網(wǎng)絡的特征，針對具體物流企業(yè)提出了具體的解決物流實時配送系統(tǒng)網(wǎng)絡設計的解決方案，即采用運籌學中整數(shù)規(guī)劃的方法設計配送網(wǎng)絡方案，使企業(yè)達到提高效率，節(jié)約成本的目的。

實際物流系統(tǒng)集成的程度越來越高，物流決策者面臨的問題也就越來越復雜。但是針對不同業(yè)務類型企業(yè)，其中所包含的內(nèi)容是不同的，企業(yè)包含的內(nèi)容才是系統(tǒng)的靈魂，這個靈魂就是算法結構?？梢愿鶕?jù)企業(yè)業(yè)務種類的大小，選擇不同的算法結構和建立不同的運籌學模型。通過對算法結構的深入研究和改進，比如對于網(wǎng)絡線路可以運用圖論的算法，對于倉儲問題用庫存論，對于班次管理用線性規(guī)劃、車輛配載優(yōu)化采用動態(tài)規(guī)劃等，結合計算機系統(tǒng)升級，進一步提高物流實時配送系統(tǒng)的效率。隨經(jīng)濟的發(fā)展和貨運的少批量多品種，采用多樣化的運輸工具，則配送方案也需要不斷改進。

參考文獻：

[1]毛光烈.第四方物流平臺流程與制度一體化的創(chuàng)新性設計[J].管理世界，2008（4）：6-12.

[2]Added－value logistics service to be offered In developing countries[R].Report of United Nation Conference on Trade and Development Secretariat，2000.

[3]CHENG J X，CHENG J S，et al.Algorithm on optimal driving strategies for train control problem [C]//Proceedings of the 3 rd Word Congress on Intelligence Control and Automation.June 28-July2，Hefei，China，2000.