南昌工學(xué)院本科畢業(yè)論文第第頁第1章緒論1.1課題研究背景中小型企業(yè)組網(wǎng)現(xiàn)狀是網(wǎng)絡(luò)發(fā)展得太快，企業(yè)網(wǎng)絡(luò)跟不上時代，很多技術(shù)還遠(yuǎn)遠(yuǎn)停留在幾年前的水平。在現(xiàn)代商業(yè)競爭激烈的前提下，大家追求的是低成本高收入，商業(yè)機密對于每個企業(yè)來說都關(guān)系到其生死存亡，信息的保密性能不好，需要共享的信息又不能及時與同企業(yè)客戶分享，信息時代，滯后的信息給企業(yè)帶來的損失時無法估計的，然而高效的企業(yè)組網(wǎng)成本過高，安全性能不好，數(shù)據(jù)的處理不全面等問題一直困擾著眾多企業(yè)。對于現(xiàn)今科技迅速發(fā)展的時代，選擇合適的技術(shù)，以及如何用他們來適應(yīng)當(dāng)前或?qū)淼男枰?，適應(yīng)當(dāng)今快速變化的技術(shù)環(huán)境，通過對網(wǎng)絡(luò)設(shè)備的不斷優(yōu)化，保證應(yīng)用對網(wǎng)絡(luò)性能的要求。網(wǎng)絡(luò)系統(tǒng)優(yōu)化是降低投資、提高資源利用率的有效措施，從而為中小型企業(yè)參與市場競爭打下基礎(chǔ)，以適應(yīng)現(xiàn)代市場的需求，用最低的成本創(chuàng)造最高的價值。組建一個能夠高效、快速、穩(wěn)定、安全運行的局域網(wǎng)勢在必行。因此全面、細(xì)致的組網(wǎng)規(guī)劃，讓其適應(yīng)企業(yè)的發(fā)展特點及網(wǎng)絡(luò)通信設(shè)備的發(fā)展趨勢，在主機選擇、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理方式、應(yīng)用開發(fā)方法等方面具有一定的先進(jìn)性，要能夠方便用戶的使用習(xí)慣，確保其內(nèi)部資源的安全性和可靠性，用最少的投入，建立一個盡可能高水平的、完善的計算機網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)管理成為現(xiàn)在企業(yè)重要的要求，對于企業(yè)內(nèi)部整體網(wǎng)絡(luò)的把握，歷史信息保存等的整體把握。企業(yè)的安全防范。國內(nèi)大型企業(yè)由于信息化較早、資金不足和技術(shù)力量充足、管理制度較為完善，因此信息安全體系成熟度也相對較高，但是眾多中小企業(yè)的信息安全狀況卻令人擔(dān)憂。病毒的泛濫、黑客攻擊、垃圾郵件、惡意軟件、信息失控、入侵攻擊等對中小型企業(yè)來說都是致命的。性能的改善。中小企業(yè)由于規(guī)模小，IT人才相當(dāng)匱乏，一個中型企業(yè)的IT人員往往只有一個人，而且可能還有身兼數(shù)職。良好的性能方便企業(yè)的管理。網(wǎng)絡(luò)運行、維護、升級成本的降低。由于中小企業(yè)業(yè)務(wù)流程大多處于混亂狀態(tài)，既要提高企業(yè)運作效率，降低運營管理成本，把握商業(yè)機會，過高的成本只能使企業(yè)負(fù)擔(dān)不起。用最低的成本做最適合企業(yè)的組網(wǎng)?，F(xiàn)代經(jīng)濟活動離不開信息和網(wǎng)絡(luò)，隨著在經(jīng)濟活動中扮演的角色越來越重要，中小企業(yè)對網(wǎng)絡(luò)和信息技術(shù)的依賴性也越來越強。效率、利潤向來是企業(yè)的需求，任何東西當(dāng)然不是越貴越好，而是最符合企業(yè)的要求，滿足其各方面需要才是最重要的。從事網(wǎng)絡(luò)系統(tǒng)集成的技術(shù)人員都清楚，網(wǎng)絡(luò)產(chǎn)品與技術(shù)發(fā)展非?？?，通常同一檔次網(wǎng)絡(luò)產(chǎn)品的功能和性能在提升的同時，產(chǎn)品的價格卻在下調(diào)。因此局域網(wǎng)組建的設(shè)備選型要突出實用、好用、夠用的原則，不可能也沒必要實現(xiàn)所謂的“一步到位”。因此實用性、可靠性、安全性、開放性、可擴展性、可管理性就成為現(xiàn)在企業(yè)組網(wǎng)的基本要求和發(fā)展趨勢。1.2課題研究意義在網(wǎng)絡(luò)信息時代的今天，面向新的需求和挑戰(zhàn)，Internet的出現(xiàn)，給人們的生活帶來許多的樂趣，人們可以在網(wǎng)上接受大量的信息，可以在網(wǎng)上購物以及收發(fā)E-mail等。由于家庭、小公司企業(yè)出于種種原因，需要幾臺PC同時連上Internet，通過局域網(wǎng)共享Internet。對大多數(shù)非專業(yè)的計算機用戶，網(wǎng)絡(luò)還只是計算機的一個別名，即使對一些專業(yè)人士，網(wǎng)絡(luò)也只是一些抽象的概念?，F(xiàn)在單位甚至家庭都擁有一臺以上的電腦，如果能把這些電腦以很少的代價互連起來，既能起到共享資源（文件、打印機、Modem、ISDN等）作用，又能節(jié)約經(jīng)費開支。組建局域網(wǎng)要討論三個要素，無論是公司外連網(wǎng)還是家庭內(nèi)連網(wǎng)，要較好地發(fā)揮局域網(wǎng)的作用都要涉及三個要素：運載基礎(chǔ)設(shè)施、運載設(shè)施和運載信息。研究如何提高企業(yè)信息網(wǎng)絡(luò)的可靠性與效率，通過對網(wǎng)絡(luò)設(shè)備的不斷優(yōu)化，保證應(yīng)用對網(wǎng)絡(luò)性能的要求。網(wǎng)絡(luò)系統(tǒng)優(yōu)化是降低投資、提高資源利用率的有效措施，從而為中小型企業(yè)參與市場競爭打下基礎(chǔ)，以適應(yīng)現(xiàn)代市場的需求，用最低的成本創(chuàng)造最高的價值。

小企業(yè)用戶的局域網(wǎng)一般來說網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜，主機數(shù)量不太多，服務(wù)器提供的服務(wù)相對較少。這樣的網(wǎng)絡(luò)通常很少甚至沒有專門的管理員來維護網(wǎng)絡(luò)的安全。因此良好計算機組網(wǎng)對中小型企業(yè)的信息共享，消息保密，網(wǎng)絡(luò)維護、減少數(shù)據(jù)的丟失損壞等都至關(guān)重要。因此建設(shè)企業(yè)規(guī)范化的信息處理系統(tǒng)。為了提高企業(yè)綜合素質(zhì)和企業(yè)競爭力，組建一個能夠高效、快速、穩(wěn)定、安全運行的局域網(wǎng)勢在必行。1.3課題研究內(nèi)容本文通過第一章緒論來介紹研究課題的背景，意義，以及論文主要內(nèi)容。第二章寫需求分析，中小型企業(yè)對局域網(wǎng)需求，包括：社會需求，網(wǎng)絡(luò)應(yīng)用需求，網(wǎng)絡(luò)技術(shù)需求，功能需求，網(wǎng)絡(luò)安全需求，通過需求分析來介紹局域網(wǎng)對于企業(yè)真正意義。第三章典型中小企業(yè)組網(wǎng)實例中可以了解到企業(yè)的典型結(jié)構(gòu)和典型拓補圖，以及基本的設(shè)計原則和要達(dá)到的目標(biāo)，本章為第四章打下了結(jié)實的基礎(chǔ)。第四章在第三章的基礎(chǔ)上進(jìn)行實施，綜合布線，選擇網(wǎng)絡(luò)連接設(shè)備，網(wǎng)絡(luò)傳送的配置，最后進(jìn)行測試與檢查，第五章是對局域網(wǎng)安全做分析與防治。至此論文基本就結(jié)束了。我相信我的課題會幫助很多中小型企業(yè)局域網(wǎng)的組建與設(shè)計，我也相信我的課題會對中小型企業(yè)的發(fā)展與現(xiàn)代化有幫助。 第2章需求分析2.1社會需求個人家庭、一般小公司企業(yè)局域網(wǎng)一般為小規(guī)模的組網(wǎng)，節(jié)點數(shù)一般不超過30個，網(wǎng)絡(luò)應(yīng)用簡單，對通信的要求也不高，因此小型局域網(wǎng)是最適合此類用戶。小型局域網(wǎng)我們選擇對等網(wǎng)。對等網(wǎng)是通過直接電纜連接。直接電纜連接只是一種通訊手段。每次只能讓一方訪問另外一方，具體地說就是只能客戶機訪問主機。要使主機能訪問客戶機，必須重新設(shè)置直接電纜連接，使主/客位置換過來才能達(dá)到目的。顯然，這只是一種臨時使用的通訊手段，并非長遠(yuǎn)之策。對等網(wǎng)相對直接電纜連接就高級了一些，它不但方便連接兩臺以上的電腦，而且更關(guān)鍵的是它們之間的關(guān)系是對等的，連接后雙方可以互相訪問，沒有主客階級差異；然而，對等網(wǎng)仍然不能共享可執(zhí)行程序、Internet，只有上升到客戶/服務(wù)器結(jié)構(gòu)的局域網(wǎng)，才能共享服務(wù)器上的可執(zhí)行程序、Internet。當(dāng)然，那樣的網(wǎng)絡(luò)需要犧牲一臺高性能的電腦作為網(wǎng)絡(luò)中的服務(wù)器讓大家共享。因此，對等網(wǎng)是一種投資少、見效快、高性價比的實用型小型網(wǎng)絡(luò)系統(tǒng)。2.2網(wǎng)絡(luò)應(yīng)用需求實現(xiàn)企業(yè)局域網(wǎng)與其他各網(wǎng)絡(luò)之間的安全、高速數(shù)據(jù)訪問交換采用Internet代理服務(wù)，實現(xiàn)企業(yè)所有站點通過電腦網(wǎng)絡(luò)高速Internet。建立WWW服務(wù)器，實現(xiàn)企業(yè)在Internet和Intranet上的信息發(fā)布，使公司內(nèi)外的人員能夠即使了解公司的最新信息。建立郵件服務(wù)器，實現(xiàn)企業(yè)工作人員與上級機構(gòu)、分支機構(gòu)等的電子信息的傳遞。構(gòu)建起企業(yè)運行基于網(wǎng)絡(luò)設(shè)計的Client/Server(客戶機/服務(wù)器)或Browser/Server(瀏覽器/服務(wù)器)結(jié)構(gòu)的辦公自動化系統(tǒng)、各種信息管理系統(tǒng)的網(wǎng)絡(luò)硬件平臺和系統(tǒng)運行平臺。公司Internet應(yīng)用是作為我們設(shè)計網(wǎng)絡(luò)一期的依據(jù)，因此，我們從公司Internet應(yīng)用及應(yīng)用發(fā)展入手，分析目前及未來發(fā)展的公司Internet應(yīng)用，并根據(jù)這些應(yīng)用的自身特點，從帶寬需求、傳輸時延、傳輸?shù)目煽啃?、傳輸?shù)陌踩缘纫蛩貋矸治?，綜合考慮并總結(jié)出公司Internet應(yīng)用的發(fā)展需求。2.3網(wǎng)絡(luò)技術(shù)需求主干網(wǎng)絡(luò)采用速率為1000Mbps的交換技術(shù)。作為公司主干的支撐網(wǎng)絡(luò)，要求安全可靠，并可實現(xiàn)主干網(wǎng)絡(luò)冗余、鏈路容錯等功能。系統(tǒng)各層網(wǎng)絡(luò)之間良好互聯(lián)。千兆交換機與主機服務(wù)器之間良好互聯(lián)。具有良好便捷網(wǎng)絡(luò)管理平臺。網(wǎng)管系統(tǒng)是開放式網(wǎng)管平臺，并可以對全網(wǎng)進(jìn)行故障管理、配置管理、性能管理、事物處理管理、流量控制管理、日志管理、多廠家產(chǎn)品管理、MIB管理、效率管理和圖形化管理。網(wǎng)絡(luò)骨干設(shè)備具有較高的可靠性；核心設(shè)備支持熱插拔，具有容錯設(shè)計。網(wǎng)絡(luò)設(shè)備具有較好的擴展性，系統(tǒng)能夠平滑升級及擴充。2.4功能需求資源共享功能：網(wǎng)絡(luò)的各個桌面用戶可共享數(shù)據(jù)庫、共享打印機，實現(xiàn)辦公自動化系統(tǒng)中的各功能。通信服務(wù)功能：最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。多媒體功能：支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。遠(yuǎn)程VPN撥入訪問功能：系統(tǒng)支持遠(yuǎn)程PPTP接入，外地員工可利用INTERNET遠(yuǎn)程訪問公司資源2.5網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全主要解決訪問互聯(lián)網(wǎng)及中心服務(wù)器的安全問題，考慮以下因素：1、

公司網(wǎng)與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡(luò)黑客入侵網(wǎng)絡(luò)系統(tǒng)；2、

良好的認(rèn)證體系可防止假冒合法用戶的攻擊；3、

良好的備份和恢復(fù)機制，可在攻擊造成損失時，幫助系統(tǒng)盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)；4、

多層防御，攻擊者在突破第一道防線后，應(yīng)有多層防御可以延緩或阻斷其到達(dá)攻擊目標(biāo)；5、

通過NAT地址轉(zhuǎn)換功能隱藏內(nèi)部信息，這樣可以使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；6、設(shè)立安全監(jiān)控中心為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù)。第3章典型中小企業(yè)組網(wǎng)實例3.1設(shè)計原則家庭、公司需求為前提原則堅持以家庭、公司具體需求為小型局域網(wǎng)信息系統(tǒng)方案設(shè)計的根本和前提，同時，也要注重源于需求又高于需求的原則，注意用專業(yè)化的技術(shù)思想來幫助家庭、公司方進(jìn)行小型局域網(wǎng)的規(guī)劃與設(shè)計，確保局域網(wǎng)的實用性、先進(jìn)性和便于擴展性。

品質(zhì)與成本匹配原則選擇品質(zhì)最好的設(shè)備不一定是最佳方案，成本因素也是一個不容忽視的問題，只有將品質(zhì)與成本實現(xiàn)最佳匹配，才是一個最優(yōu)秀的方案。技術(shù)應(yīng)用全面原則在技術(shù)應(yīng)用方面，我們?nèi)婵紤]其實用性、先進(jìn)性、開放性、可擴充性、可靠性、安全保密性及友好性。堅持標(biāo)準(zhǔn)原則一切局域網(wǎng)設(shè)計和布線，均要遵循國際標(biāo)準(zhǔn)。3.2設(shè)計局域網(wǎng)的目標(biāo)首先，通過Internet與網(wǎng)絡(luò)相連，與外界進(jìn)行資源共享和信息共享。然后,通過局域網(wǎng)實現(xiàn)網(wǎng)內(nèi)的資源共享與信息交換，如文件、打印機等等。3.3中小型企業(yè)典型結(jié)構(gòu)3.4中小型企業(yè)典型網(wǎng)絡(luò)拓補圖第4章局域網(wǎng)綜合布線與實施4.1局域網(wǎng)綜合布線與設(shè)計4.1.1綜合布線的規(guī)劃與設(shè)計有了好的機房，網(wǎng)絡(luò)設(shè)備就有了好的“家”，組建的IT網(wǎng)絡(luò)應(yīng)當(dāng)通過布線系統(tǒng)將機房和辦公地點互聯(lián)起來，確保網(wǎng)絡(luò)的正常運行。如果企業(yè)的接入點較多，我們可以采取接入層、匯聚層、交換層三個網(wǎng)絡(luò)層次的設(shè)計，在此基礎(chǔ)上進(jìn)行布線系統(tǒng)。對于接入層來說，選擇一個合理的接入設(shè)備，是最關(guān)鍵的，而且我們要根據(jù)接入設(shè)備選擇合適的帶寬。匯聚層是整個局域網(wǎng)的核心部分，匯聚層網(wǎng)絡(luò)設(shè)備一般支持網(wǎng)絡(luò)管理功能，方便我們的管理和維護，方便以后我們的網(wǎng)絡(luò)升級和改造。交換層是整個網(wǎng)絡(luò)中的中間層，連接著匯聚層和網(wǎng)絡(luò)節(jié)點，是決定我們整體網(wǎng)絡(luò)傳輸質(zhì)量的很重要的一個環(huán)節(jié)。隨著百兆網(wǎng)絡(luò)設(shè)備的普及，我們交換層的網(wǎng)絡(luò)設(shè)備，肯定首選百兆。布線是連接網(wǎng)絡(luò)接入層、匯聚層、交換層和網(wǎng)絡(luò)節(jié)點的重要環(huán)節(jié)。在布線時，最好使用專門的通道，而且不要與電源線，空調(diào)線等具有輻射的線路混合布線。接入層與匯聚層之間的雙絞線，可以選擇超五類屏蔽雙絞線，以使網(wǎng)絡(luò)性能得到最大的提升。匯聚層與交換層之間的雙絞線，由于是網(wǎng)絡(luò)數(shù)據(jù)傳輸量最大的一個層次，同樣采用超五類屏蔽雙絞線。交換層與網(wǎng)絡(luò)節(jié)點之間，我們就可以采用普通的超五類非屏蔽雙絞線。網(wǎng)絡(luò)設(shè)備的放置，最好放在節(jié)點的中央位置，這樣做，不是為了節(jié)約綜合布線的成本，而是為了提高網(wǎng)絡(luò)的整體性能，提高網(wǎng)絡(luò)傳輸質(zhì)量。由于雙絞線的傳輸距離是100米，在95米才能獲得最佳的網(wǎng)絡(luò)傳輸質(zhì)量。在做網(wǎng)絡(luò)布線時，最好能夠設(shè)計一個設(shè)備間，放置網(wǎng)絡(luò)設(shè)備。4.1.2網(wǎng)絡(luò)布局的規(guī)劃與設(shè)計目前的網(wǎng)絡(luò)設(shè)備大都采用機架式的結(jié)構(gòu)，如交換機、路由器、硬件防火墻等。這些設(shè)備之所以有這樣一種結(jié)構(gòu)類型，是因為它們都按國際機柜標(biāo)準(zhǔn)進(jìn)行設(shè)計，這樣大家的平面尺寸就基本統(tǒng)一，可把一起安裝在一個大型的立式標(biāo)準(zhǔn)機柜中。這樣做的好處非常明顯：一方面可以使設(shè)備占用最小的空間，另一方面則便于與其它網(wǎng)絡(luò)設(shè)備的連接和管理，同時機房內(nèi)也會顯得整潔、美觀。我們經(jīng)常接觸到的放置機房里有網(wǎng)絡(luò)機柜、服務(wù)器機柜以及綜合布線柜，從這三個機柜的名字就可以看出它們各自所起的作用；一般來說，網(wǎng)絡(luò)設(shè)備如交換機、路由器、防火墻、加密機等以及網(wǎng)絡(luò)通信設(shè)備如光端機、調(diào)制解調(diào)器等是放置在網(wǎng)絡(luò)機柜的；服務(wù)器機柜的寬度為19英寸，高度以U為單位（1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U幾種標(biāo)準(zhǔn)的服務(wù)器。機柜的尺寸也是采用通用的工業(yè)標(biāo)準(zhǔn)，通常從22U到42U不等；機柜內(nèi)按U的高度有可拆卸的滑動拖架，用戶可以根據(jù)自己服務(wù)器的標(biāo)高靈活調(diào)節(jié)高度，以存放服務(wù)器、集線器、磁盤陣列柜等設(shè)備。服務(wù)器擺放好后，它的所有I/O線全部從機柜的后方引出（機架服務(wù)器的所有接口也在后方），統(tǒng)一安置在機柜的線槽中，一般貼有標(biāo)號，便于管理。綜合布線柜一般配有前后可移動的安裝立柱，自由設(shè)定安裝空間，可按需要配置隔板、風(fēng)扇、電源插座等附件。配線架通常安裝在機柜里，配線架的一面是RJ45口，并標(biāo)有編號；另一面是跳線接口，上面也標(biāo)有編號，這些編號和上面的RJ45口的編號是一一對應(yīng)的。每一組跳線都標(biāo)識有棕、藍(lán)、橙、綠的顏色，雙絞線的色線要和這些跳線一一對應(yīng)，這樣做不容易接錯。配線架不僅僅是便于管理線對，而且可以防止串?dāng)_，增加線對的隔離空間，提供360度的線對隔離。在機房中，必須放置交換機、功能服務(wù)器群和網(wǎng)絡(luò)打印設(shè)備，以及局域網(wǎng)絡(luò)連接Internet所需的各種設(shè)備，如路由器、防火墻以及網(wǎng)管工作站等；因此機房的網(wǎng)絡(luò)布局一般至少有三個機柜，綜合布線柜和網(wǎng)絡(luò)機柜應(yīng)當(dāng)緊連在一起，便于調(diào)線操作，接下來是服務(wù)器機柜；將網(wǎng)絡(luò)設(shè)備和布線系統(tǒng)進(jìn)行合理的布局。在網(wǎng)絡(luò)布局中，每個機柜最好留點空間，便于以后網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的擴充，綜合布線柜里有可能除了網(wǎng)絡(luò)布線外，還有能布置電話線，所以要在機柜里留下一定空間。從機柜內(nèi)部線纜附設(shè)的角度看，機柜配置密度更高，容納的IT設(shè)備更多，大量采用冗余配件(如冗余電源、存儲陣列等)，機柜內(nèi)設(shè)備配置頻繁變換，數(shù)據(jù)線和電纜隨時增減。所以，機柜必須提供充足的線纜通道，能從機柜頂部、底部進(jìn)出線纜。在機柜內(nèi)部，線纜的敷設(shè)必須方便、有序，與設(shè)備的線纜接口靠近，以縮短布線距離；減少線纜的空間占用，保證設(shè)備安裝、調(diào)整、維護過程中，不受到布線的干擾，并保證散熱氣流不會受到線纜的阻擋；同時，在故障情況下，能對設(shè)備布線進(jìn)行快速定位。供電系統(tǒng)和制冷系統(tǒng)是計算機機房的兩個重要部分。在供電系統(tǒng)中，一般采用在線的UPS供電方式，蓄電池實際可供使用的容量與蓄電池的放電電流大小、蓄電池的環(huán)境工作溫度、貯存時間的長短以及負(fù)載的性質(zhì)（電阻性、電感性、電容性）密切相關(guān)。制冷系統(tǒng)（空調(diào)）涉及到機房的整個物理環(huán)境，包括空調(diào)、地板、機柜及房間布局等諸多方面；因此UPS和空調(diào)我們也要考慮好將它們放置在一個合適的位置。如果機房空間較大，可以將UPS和空調(diào)都放在機房里；如果空間較小，可以把UPS（包括蓄電池）放在配電房里。需要注意的是如果大樓里安裝有“中央空調(diào)”的話，機房里也必須安裝獨立的空調(diào)，因為中央空調(diào)不可能24小時都開著，上班的時間可以利用中央空調(diào)，下班和星期節(jié)假日的時候，如果服務(wù)器、網(wǎng)絡(luò)設(shè)備需要正常運行的話，則必須要開機房里的獨立空調(diào)。機柜的擴展性表現(xiàn)在機柜內(nèi)設(shè)備密度的擴展和機柜數(shù)量的擴展，因此網(wǎng)絡(luò)布局時必須將機柜的配風(fēng)能力（通常稱為散熱能力）以及配電能力考慮在內(nèi)。一方面，機柜內(nèi)的設(shè)備需要溫度、濕度適宜并且風(fēng)量充足的冷風(fēng)（冷空氣）。這些冷風(fēng)被機柜內(nèi)的IT設(shè)備吸入，從而為設(shè)備內(nèi)的部件（尤其是CPU）降溫。當(dāng)機柜內(nèi)設(shè)備增加到一定數(shù)量時，由地板出風(fēng)口送出的冷風(fēng)風(fēng)量將不能滿足所有設(shè)備的需求，從而形成部分IT設(shè)備配風(fēng)不足而過熱。解決機柜內(nèi)設(shè)備密度擴展時遇到的這種局部熱點問題可以采用調(diào)配IT設(shè)備位置的方式來解決。例如，把熱負(fù)荷最大的設(shè)備安裝在機柜中部位置，以便獲得最大的配風(fēng)風(fēng)量。另外的解決方法是，在機柜的上部或下部位置安裝軸向水平的強排風(fēng)扇，增強上部或下部的吸入能力（即減小IT設(shè)備的入口靜壓），從而增加配風(fēng)風(fēng)量。另一方面，機柜內(nèi)的設(shè)備需要供電以及與機柜外部進(jìn)行通信。當(dāng)機柜內(nèi)的IT設(shè)備數(shù)量增加時，這些線纜、連接端子同時成倍地增加，從而對機架式電源排插的容量、插口數(shù)量都提出了擴展要求。機柜內(nèi)的布線空間也是需要提前考慮的，因為當(dāng)機柜內(nèi)的功率密度提高時，設(shè)備后部的線纜將明顯增加風(fēng)阻，所以必須考慮線纜管理及走線空間的問題。4.1.3網(wǎng)絡(luò)布局具體實施要求對于有線局域網(wǎng)來說，這是我們目前企業(yè)網(wǎng)絡(luò)建設(shè)中，經(jīng)常會遇到的，需要對機房和辦公大樓進(jìn)行布線。規(guī)劃網(wǎng)絡(luò)布局要考慮到機房的設(shè)備布局和布線系統(tǒng)的合理搭配。因此我們首先要規(guī)劃與設(shè)計好機房、布線系統(tǒng)，然后再全面地考慮網(wǎng)絡(luò)的布局。.機房的規(guī)劃與設(shè)計為了確保網(wǎng)絡(luò)、計算機系統(tǒng)穩(wěn)定、安全、可靠地運行，以及保障機房工作人員有良好的工作環(huán)境，做到技術(shù)先進(jìn)、經(jīng)濟合理、安全適用、確保質(zhì)量，符合國家有關(guān)的機房設(shè)計規(guī)定。(1)防靜電靜電不僅會對計算機運行出現(xiàn)隨機故障，而且還會導(dǎo)致某些元器件，雙級性電路等的擊穿和毀壞。此外，還會影響操作人員和維護人員的正常的工作和身心健康。(2)防火、防盜計算機房在設(shè)計時，重點要考慮機房的消防滅火設(shè)計。設(shè)計時可以根據(jù)消防防火級別來確定機房的設(shè)計方案，計算機房火災(zāi)報警要求在一樓設(shè)有值班室或監(jiān)控點。機房里應(yīng)注意防盜設(shè)施的安裝，具體地可采用防盜門、防盜鎖、警衛(wèi)、自動報警系統(tǒng)等等。(3)防雷由于機房通信和供電電纜多從室外引入機房，易遭受雷電的侵襲，機房的建筑防雷設(shè)計尤其重要。計算機通信電纜的芯線，電話線均應(yīng)加裝避雷器。(4)保濕、保溫機房里的濕度應(yīng)保持在20%-80%為宜，機房的溫度應(yīng)保持在15℃-35℃攝氏度，安裝空調(diào)來調(diào)節(jié)溫度是解決此問題最好的辦法。4.2局域網(wǎng)組網(wǎng)網(wǎng)路設(shè)備選擇組建計算機網(wǎng)絡(luò)，特別是LAN范疇的網(wǎng)絡(luò)，

正確選擇網(wǎng)絡(luò)設(shè)備是重要的任務(wù)之一。這里所談的網(wǎng)絡(luò)設(shè)備的選擇有兩種含義：一種是從應(yīng)用需要出發(fā)所進(jìn)行的選擇；另一種是從眾多廠商的產(chǎn)品中選擇性能／價比高的產(chǎn)品。在LAN環(huán)境下，

通常涉及的網(wǎng)絡(luò)設(shè)備有下述一些:用于連接到LAN的網(wǎng)卡；構(gòu)成LAN的集線器；用于進(jìn)行LAN互連的網(wǎng)橋和路由器；服務(wù)器；工作站；磁盤控制器；網(wǎng)絡(luò)打印機；網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；電纜類型等。服務(wù)器、工作站、硬盤驅(qū)動器、磁盤控制器等都不應(yīng)歸類到網(wǎng)絡(luò)設(shè)備。但在組建網(wǎng)絡(luò)時這些設(shè)備都不可少，所以在這里也要介紹一些網(wǎng)絡(luò)環(huán)境下對這些設(shè)備的要求。核心層：思科的CiscoCatalyst3560G-24TS--24-2全千兆三層交換機CiscoCatalyst3560系列交換機是一個采用快速以太網(wǎng)配置的固定配置、企業(yè)級、IEEE802.3af和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)電源（PoE）的交換機，提供了可用性、安全性和服務(wù)質(zhì)量（QoS）功能，改進(jìn)了網(wǎng)絡(luò)運營。Catalyst3560系列是適用于小型企業(yè)布線室或分支機構(gòu)環(huán)境的理想接入層交換機，這些環(huán)境將其LAN基礎(chǔ)設(shè)施用于部署全新產(chǎn)品和應(yīng)用，如IP電話、無線接入點、視頻監(jiān)視、建筑物管理系統(tǒng)和遠(yuǎn)程視頻信息亭?？蛻艨梢圆渴鹁W(wǎng)絡(luò)范圍的智能服務(wù)，如高級QoS、速率限制、訪問控制列表、組播管理和高性能IP路由，并保持傳統(tǒng)LAN交換的簡便性。內(nèi)嵌在CiscoCatalyst3560系列交換機中的思科集群管理套件（CMS）讓用戶可以利用任何一個標(biāo)準(zhǔn)的Web瀏覽器，同時配置多個Catalyst桌面交換機并對其排障。CiscoCMS軟件提供了配置向?qū)?，它可以大幅度簡化融合網(wǎng)絡(luò)和智能化網(wǎng)絡(luò)服務(wù)的部署。

Catalyst3560系列為采用思科IP電話和CiscoAironet無線LAN接入點，以及任何IEEE802.3af兼容終端設(shè)備的部署，提供了較低的總體擁有成本（TCO）。以太網(wǎng)電源使客戶無需再為每臺支持PoE的設(shè)備提供墻壁電源，免除了在IP電話和無線LAN部署中所必不可少的額外布線。Catalyst356024端口版本可以以支持24個15.4W的同步全供電PoE端口，從而獲得了最佳上電設(shè)備支持。通過采用CiscoCatalyst智能電源管理，48端口版本可支持24個15.4W端口、48個7.7W端口，或它們的任意組合。當(dāng)Catalyst3560交換機與思科冗余電源系統(tǒng)675(RPS675)共用時，可提供針對內(nèi)部電源故障的無縫保護，而不間斷電源（UPS）系統(tǒng)可防范電源中斷情況，從而使融合式語音和數(shù)據(jù)網(wǎng)絡(luò)實現(xiàn)最高電源可用性。匯聚層換機選擇：Catalyst2950-24交換機CiscoCatalyst2950系列智能以太網(wǎng)交換機是一個固定配置、可堆疊的獨立設(shè)備系列，提供了線速快速以太網(wǎng)和千兆位以太網(wǎng)連接。這是一款最廉價的Cisco交換產(chǎn)品系列，為中型網(wǎng)絡(luò)和城域接入應(yīng)用提供了智能服務(wù)。作為思科最為廉價的交換產(chǎn)品系列，CiscoCatalyst2950系列在網(wǎng)絡(luò)或城域接入邊緣實現(xiàn)了智能服務(wù)。

主要的中型企業(yè)優(yōu)勢

在布線室配線間中實現(xiàn)了智能的服務(wù)質(zhì)量（QoS）、限速、訪問控制列表（ACL）和多播服務(wù)

在多種介質(zhì)上提供了升級到千兆位以太網(wǎng)的強大路徑

憑借內(nèi)置Cisco集群管理套件可出色地管理并輕松地配置第2-4層服務(wù)

與CiscoCatalyst3550系列集中匯聚交換機相結(jié)合，用于IP路由至網(wǎng)絡(luò)核心

主要的城域接入優(yōu)勢

通過高級QoS、限速、語音及多播特性提供廣泛的服務(wù)

通過生成樹協(xié)議改進(jìn)和訪問控制參數(shù)（ACP）來提供服務(wù)可用性和安全性

通過CiscoIE2100系列智能引擎支持和簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）來實現(xiàn)服務(wù)管理思科PIX-501防火墻PIX501防火墻是一種針對特定需求而設(shè)計的安全設(shè)備，可以在單獨的一個設(shè)備中提供豐富的安全服務(wù)，包括狀態(tài)監(jiān)測防火墻、虛擬專用網(wǎng)（VPN）和入侵防范等。還可以利用其基于標(biāo)準(zhǔn)的互聯(lián)網(wǎng)密鑰交換（IKE）/IP安全（IPSec）VPN功能，確保遠(yuǎn)程辦公機構(gòu)通過互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡(luò)之間進(jìn)行的所有網(wǎng)絡(luò)通信的安全，故此適合于小型辦公室網(wǎng)絡(luò)或者大型網(wǎng)絡(luò)中的局部網(wǎng)絡(luò)使用。4.3局域網(wǎng)組建與網(wǎng)絡(luò)設(shè)備的配置4.3.1局域網(wǎng)組建網(wǎng)段及VLAN的劃分建筑物部門所屬VLANIP地址辦公樓經(jīng)理辦公室Vlan11/24財務(wù)部Vlan12/24綜合部Vlan13/24后勤部Vlan14/24人事部Vlan15/24行政部Vlan16/24共享打印機、Vlan17/244.3.2網(wǎng)絡(luò)設(shè)備的配置1.核心層交換機vlan的配置結(jié)果如下：配置Switch3交換機設(shè)置交換機主機名Switch>enableSwitch#configuretSwitch(config)#hostnameS3S3(config)#exit創(chuàng)建VTP管理域，并設(shè)置為server模式S3#vlandatabaseS3(vlan)#vtpserverS3(vlan)#exit創(chuàng)建VLAN,配置VLAN名，S3#vlandatabase配置經(jīng)理辦公室VLANS3(vlan)#vlan11namejinglibangongshi配置財務(wù)處VLANS3(vlan)#vlan12namecaiwuchu配置技術(shù)部VLANS3(vlan)#vlan13namejishubu配置銷售部VLANS3(vlan)#vlan14namexiaoshoubu配置人事部VLANS3#（vlan）#vlan15namerenshibu配置服務(wù)器VLANS3(vlan)#vlan16namefuwuqizu配置共享打印機VLANS3(vlan)#vlan17namegonxiangdayinji將端口F0/1,F0/2設(shè)置為VLAN中繼模式F0/1進(jìn)入端口配置模式S3#conftS3(config)#interfacefastethernet0/1將端口設(shè)置為二層方式S3(config)#switchport封裝dotlq協(xié)議S3(config)#switchporttrunkencapsulationdot1q設(shè)置為trunk模式S3(config)#switchportmodetrunkF0/2進(jìn)入端口配置模式S3#conftS3(config)#interfacefastethernet0/2將端口設(shè)置為二層方式S3(config)#switchport封裝dotlq協(xié)議S3(config)#switchporttrunkencapsulationdot1q設(shè)置為trunk模式S3(config)#switchportmodetrunk配置VLAN11接口地址S3(config)#interfacevlan11S3(config-if)#ipaddress配置VLAN12接口地址S3(config)#interfacevlan12S3(config-if)#ipaddress配置VLAN13接口地址S3(config)#interfacevlan13S3(config-if)#ipaddress配置VLAN14接口地址S3(config)#interfacevlan14S3(config-if)#ipaddress配置VLAN15接口地址S3(config)#interfacevlan15S3(config-if)#ipaddress配置VLAN16接口地址S3(config)#interfacevlan16S3(config-if)#ipaddress配置VLAN17接口地址S3(config)#interfacevlan17S3(config-if)#ipaddress將F0/3-5端口劃給VLAN16，只列出F0/3的配置，其余端口的配置與F0/3相同S2(config)#intf0/3設(shè)置為訪問模式S2(config-if)#switchportmodeaccess分配給VLAN16S2(config-if)#switchportaccessvlan16接入層交換機Swich1的配置結(jié)果如下：進(jìn)入vtp數(shù)據(jù)庫S1#vlandatabase設(shè)置vtp域名S1(vlan)#vtpdomainmyvtpdomain設(shè)置vtp模式S1(vlan)#vtpclientS1(vlan)#exitS1#configureterminal配置接口F0/1為中繼接口S1(config)#interf0/1封裝dotlq協(xié)議S1(config-if)#switchporttrunkencapsulationdot1p設(shè)置為trunk模式S1(config-if)#switchportmodetrunk將F0/2端口劃給VLAN11，只列出F0/2的配置，其余端口的配置與F0/2相同S1(config)#intf0/2設(shè)置為訪問模式S1(config-if)#switchportmodeaccess分配給VLAN11S1(config-if)#switchportaccessvlan11將F0/3-4端口劃給VLAN15，只列出F0/3的配置，其余端口的配置與F0/3相同S1(config)#intf0/3設(shè)置為訪問模式S1(config-if)#switchportmodeaccess分配給VLAN15S1(config-if)#switchportaccessvlan15將F0/5-6端口劃給VLAN12，只列出F0/5的配置，其余端口的配置與F0/5相同S1(config)#intf0/5設(shè)置為訪問模式S1(config-if)#switchportmodeaccess分配給VLAN12S1(config-if)#switchportaccessvlan126.3接入層交換機Switch2的配置結(jié)果如下：進(jìn)入vtp數(shù)據(jù)庫S2#vlandatabase設(shè)置vtp域名S2(vlan)#vtpdomainmyvtpdomain設(shè)置vtp模式S2(vlan)#vtpclientS2(vlan)#exit配置接口F0/1為中繼接口S2(config)#intf0/1封裝dotlq協(xié)議S2(config-if)#switchporttrunkencapsulationdot1q設(shè)置為trunk模式S2(config-if)#switchportmodetrunk將F0/2-4端口劃給VLAN13，只列出F0/2的配置，其余端口的配置與F0/2相同S2(config)#intf0/2設(shè)置為訪問模式S2(config-if)#switchportmodeaccess分配給VLAN13S2(config-if)#switchportaccessvlan13將F0/5-6端口劃給VLAN14，只列出F0/4的配置，其余端口的配置與F0/4相同S2(config)#intf0/5設(shè)置為訪問模式S2(config-if)#switchportmodeaccess分配給VLAN14S2(config-if)#switchportaccessvlan14將F0/7端口劃給VLAN17S2(config)#intf0/7設(shè)置為訪問模式S2(config-if)#switchportmodeaccess分配給VLAN17S2(config-if)#switchportaccessvlan172.配置ACL：配置ACL應(yīng)用在各個部門VLAN接口上，控制各部門互訪1.把訪問控制列表11應(yīng)用于VLAN10OUT方向上，經(jīng)理辦公室內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能其他部所在網(wǎng)段。access-list11permit55access-list11permit55access-list11deny55access-list11permitanyintvlan11ipaccess-group11out2.把訪問控制列表12應(yīng)用于VLAN10OUT方向上，財務(wù)部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能其他部所在網(wǎng)段。access-list12permit55access-list12permit55access-list12deny55access-list12permitanyintvlan12ipaccess-group12out3.把訪問控制列表15應(yīng)用于VLAN10OUT方向上，人事部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能其他部所在網(wǎng)段。access-list15permit55access-list15permit55access-list15deny55access-list15permitanyintvlan15ipaccess-group15out4.把訪問控制列表13應(yīng)用于VLAN10OUT方向上，技術(shù)部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能其他部所在網(wǎng)段。access-list13permit55access-list13permit55access-list13deny55access-list13permitanyintvlan13ipaccess-group13out5.把訪問控制列表14應(yīng)用于VLAN10OUT方向上，銷售部內(nèi)部可以互訪，可以訪問服務(wù)器網(wǎng)段和網(wǎng)絡(luò)打印機網(wǎng)段，但不能其他部所在網(wǎng)段。access-list14permit55access-list14permit55access-list14deny55access-list14permitanyintvlan14ipaccess-group14out4.4局域網(wǎng)檢查與測試測試方法

在交換機兩端分別連接一臺筆記本，使用ping命令，ping對方IP地址，能夠ping通則說明網(wǎng)絡(luò)能夠聯(lián)通。第5章局域網(wǎng)的安全控制與病毒防止5.1局域網(wǎng)的安全分析局域網(wǎng)由于通過交換機和服務(wù)器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。局域網(wǎng)的網(wǎng)絡(luò)安全威脅通常有以下幾類：1.欺騙性的軟件使數(shù)據(jù)安全性降低由于局域網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的“數(shù)據(jù)開放性”，導(dǎo)致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如“網(wǎng)絡(luò)釣魚攻擊”，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號ID、ATMPIN碼或信用卡詳細(xì)信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應(yīng)比較迅速，而且所提供的安全功能不斷增強，網(wǎng)絡(luò)釣魚已越來越多地把目光對準(zhǔn)了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。2.服務(wù)器區(qū)域沒有進(jìn)行獨立防護局域網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果局域網(wǎng)中服務(wù)器區(qū)域不進(jìn)行獨立保護，其中一臺電腦感染病毒，并且通過服務(wù)器進(jìn)行信息傳遞，就會感染服務(wù)器，這樣局域網(wǎng)中任何一臺通過服務(wù)器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自局域網(wǎng)內(nèi)部的攻擊3.計算機病毒及惡意代碼的威脅由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（crimeware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。2007年，兩種軟件的結(jié)合推動舊有寄生軟件變種增長3倍之多。2008年，預(yù)計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預(yù)計將增長20%。4.局域網(wǎng)用戶安全意識不強許多用戶使用移動存儲設(shè)備來進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部局域網(wǎng)，同時將內(nèi)部數(shù)據(jù)帶出局域網(wǎng)，這給木馬、蠕蟲等病毒的進(jìn)入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在Internet網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。5.IP地址沖突局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成IP地址沖突，造成部分計算機無法上網(wǎng)。對于局域網(wǎng)來講，此類IP地址沖突的問題會經(jīng)常出現(xiàn)，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。正是由于局域網(wǎng)內(nèi)應(yīng)用上這些獨特的特點，造成局域網(wǎng)內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。5.2局域網(wǎng)安全控制與病毒策略1.加強人員的網(wǎng)絡(luò)安全培訓(xùn)安全是個過程，它是一個匯集了硬件、軟件、網(wǎng)絡(luò)、人員以及他們之間互相關(guān)系和接口的系統(tǒng)。從行業(yè)和組織的業(yè)務(wù)角度看，主要涉及管理、技術(shù)和應(yīng)用三個層面。要確保信息安全工作的順利進(jìn)行，必須注重把每個環(huán)節(jié)落實到每個層次上，而進(jìn)行這種具體操作的是人，人正是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)，然而這個環(huán)節(jié)的加固又是見效最快的。所以必須加強對使用網(wǎng)絡(luò)的人員的管理，注意管理方式和實現(xiàn)方法。從而加強工作人員的安全培訓(xùn)。增強內(nèi)部人員的安全防范意識，提高內(nèi)部管理人員整體素質(zhì)。同時要加強法制建設(shè)，進(jìn)一步完善關(guān)于網(wǎng)絡(luò)安全的法律，以便更有利地打擊不法分子。對局域網(wǎng)內(nèi)部人員，從下面幾方面進(jìn)行培訓(xùn)：(1)加強安全意識培訓(xùn)，讓每個工作人員明白數(shù)據(jù)信息安全的重要性，理解保證數(shù)據(jù)信息安全是所有計算機使用者共同的責(zé)任。(2)加強安全知識培訓(xùn)，使每個計算機使用者掌握一定的安全知識，至少能夠掌握如何備份本地的數(shù)據(jù)，保證本地數(shù)據(jù)信息的安全可靠。(3)加強網(wǎng)絡(luò)知識培訓(xùn)，通過培訓(xùn)掌握一定的網(wǎng)絡(luò)知識，能夠掌握IP地址的配置、數(shù)據(jù)的共享等網(wǎng)絡(luò)基本知識，樹立良好的計算機使用習(xí)慣。2.局域網(wǎng)安全控制策略安全管理保護網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分，對網(wǎng)絡(luò)的安全運行威脅最大的也同樣是客戶端安全管理。只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，對于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)、行為、事件三個方面進(jìn)行防御。利用現(xiàn)有的安全管理軟件加強對以上三個方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在。(1)利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問控制是保證網(wǎng)絡(luò)資源不被非法使用，是網(wǎng)絡(luò)安全防范和保護的主要策略。它為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制用戶入網(wǎng)的時間和在哪臺工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問的目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行的操作。啟用密碼策略，強制計算機用戶設(shè)置符合安全要求的密碼，包括設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改。設(shè)定服務(wù)器登錄時間限制、檢測非法訪問。刪除重要信息或破壞數(shù)據(jù)，提高系統(tǒng)安全行，對密碼不符合要求的計算機在多次警告后阻斷其連網(wǎng)。(2)采用防火墻技術(shù)。防火墻技術(shù)是通常安裝在單獨的計算機上，與網(wǎng)絡(luò)的其余部分隔開，它使內(nèi)部網(wǎng)絡(luò)與Internet之間或與其他外部網(wǎng)絡(luò)互相隔離，限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入，執(zhí)行安全管制措施，記錄所有可疑事件。它是在兩個網(wǎng)絡(luò)之間實行控制策略的系統(tǒng)，是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有：（1）深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個數(shù)據(jù)流當(dāng)中有多個數(shù)據(jù)包，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量，以避免應(yīng)用時帶來時延。（2）IP/URL過濾。一旦應(yīng)用流量是明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實，如果把應(yīng)用響應(yīng)考慮進(jìn)來，可以大大提高檢測攻擊的準(zhǔn)確性。雖然URL過濾是一項重要的操作，可以阻止通常的腳本類型的攻擊。（3）TCP/IP終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。系統(tǒng)中存著一些訪問網(wǎng)絡(luò)的木馬、病毒等IP地址，檢查訪問的IP地址或者端口是否合法，有效的TCP/IP終止，并有效地扼殺木馬。時等。（4）訪問網(wǎng)絡(luò)進(jìn)程跟蹤。訪問網(wǎng)絡(luò)進(jìn)程跟蹤。這是防火墻技術(shù)的最基本部分，判斷進(jìn)程訪問網(wǎng)絡(luò)的合法性，進(jìn)行有效攔截。這項功能通常借助于TDI層的網(wǎng)絡(luò)數(shù)據(jù)攔截，得到操作網(wǎng)絡(luò)數(shù)據(jù)報的進(jìn)程的詳細(xì)信息加以實現(xiàn)。封存所有空閑的IP地址，啟動IP地址綁定，采用上網(wǎng)計算機IP地址與MAC地址唯一對應(yīng)，網(wǎng)絡(luò)沒有空閑IP地址的策略。由于采用了無空閑IP地址策略，可以有效防止IP地址引起的網(wǎng)絡(luò)中斷和移動計算機隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。(3)屬性安全控制。它能控制以下幾個方面的權(quán)限：防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據(jù)、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件。啟用殺毒軟件強制安裝策略，監(jiān)測所有運行在局域網(wǎng)絡(luò)上的計算機，對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。3.病毒防治病毒的侵入必將對系統(tǒng)資源構(gòu)成威脅，影響系統(tǒng)的正常運行。特別是通過網(wǎng)絡(luò)傳播的計算機病毒，能在很短的時間內(nèi)使整個計算機網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。因此，防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要。防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素。防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，主要從以下幾個方面制定有針對性的防病毒策略：(1)增加安全意識和安全知識，對工作人員定期培訓(xùn)。首先明確病毒的危害，文件共享的時候盡量控制權(quán)限和增加密碼，對來歷不明的文件運行前進(jìn)行查殺等，都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對杜絕病毒，主觀能動性起到很重要的作用。(2)小心使用移動存儲設(shè)備。在使用移動存儲設(shè)備之前進(jìn)行病