PAGEPAGE1目錄課程設計任務書1第1章需求分析21.1網站設計的目的意義21.2網站設計原則21.3設計方案及依據21.4接入因特網的方式4第2章系統設計52.1網絡拓撲設計52.2設備選型72.3IP地址分配及子網劃分82.4硬件配置92.5系統配置112.6web站點設計14第3章總結15第4章參考文獻15第5章核心代碼162、系統需求2.1背景分析“極速通”公司是一家信息技術有限公司，該公司主要是實現信息的傳遞與溝通。業務要求在公司內部建立穩定，高效的辦公自動化網絡，使所有員工能夠通過網絡服務器進入internet，從而提高所有員工的工作效率和加快企業內部信息的傳遞。同時需要建立web,ftp,e-mail服務器，用于在互聯網上發布企業信息。同時設立專用服務器，使集團內所有員工能夠利用服務器方便的訪問公共文件資源，并能夠完成企業內部郵件的收發。2.2業務需求（1）文件共享、辦公自動化、WWW服務、電子郵件服務（2）網絡介質能同時傳輸聲、像、圖文多種信號。（3）通過公開服務器對外發布企業信息、發送電子郵件等（4）系統安全、可靠、可擴充性強。（5）瀏覽網頁（6）視頻會議、網上招聘2.3安全需求公司網中同樣有大量關于教學和檔案管理的重要數據，不論是被損壞、丟失還是被竊取，都將帶來極大的損失。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統的安全。2.4信息點的個數及分布系統設計要求能滿足企業幾個方面的應用需求，包括辦公自動化，郵件收發，信息共享和發布，系統安全管理等。公司下轄經理辦公室，財務部，外聯部，營銷部，設計部，廣告部，信息網絡部，人事部。各部門組成單獨的vlan，外網無法訪問內網但是可以訪問公司服務器，內網可以訪問外網也可以訪問公司服務器。網絡設備必須在技術上具有先進性、通用性，必須便于管理、維護。網絡設備應該滿足集團現有計算機設備的高速接入，應該具備未來良好的可擴展性、可升級性，保護用戶的投資。網絡設備必須具有良好的在滿足功能與性能的基礎上性能價格比最優。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品，同時設備廠商必須要有良好的市場形象與售后技術支持。由于公司行政的分布以及主機數的原因主干網絡采用以太網星型拓撲結構，通過服務器共享上網。這樣的網絡結構易于故障的診斷，網絡穩定性也比較好。在故障的檢測中能及時隔離有問題的部分，安全性有比較大的優勢。由于主機數目不多，這類結構還能減少開支，經濟可行上具有一定的優勢。2.5系統結構圖經理辦公室外聯部財務部人事部經理辦公室外聯部財務部人事部信息網絡部營銷部廣告部設計部信息網絡部營銷部廣告部設計部中心機房中心機房3、系統設計3.1拓撲設計總體設計網絡分為核心層與接入層。分層次的結構化設計，針對每個層次進行模塊化的分析，有助于后期管理維護。核心層選用具有三層交換能力的交換機通過代理服務器連接內外網，并且用防火墻使把網絡劃分為內網和DMZ區，使外網無法訪問內網，只能訪問DMZ內的服務器。接入層主要實現VLAN技術，使用代理服務器上網。3.2網絡拓撲圖圖1:網絡拓撲結構圖3.3IP規劃及VLAN劃分VLAN劃分采用接入層基于物理端口，把整個網絡劃分成8個VLAN，每個VLAN對應一個子網。根據上面網絡拓撲圖，最底層交換機依次為：經理辦公室，財務部，外聯部，營銷部，設計部，廣告部，信息網絡部，人事部。信息點VLANIP子網經理辦公室16/28財務部22/28外聯部38/28營銷部44/28設計部50/28廣告部66/28信息網絡部712/28人事部828/28表1:vlan及ip4、網絡設備選型4.1設備選擇1.硬件：路由器一臺，中心交換機一臺，VLAN用交換機9臺，服務器5臺，代理服務器與外界使用千兆光纖連接，中心交換機與VLAN交換機使用百兆光纖連接，VLAN內使用百兆雙絞線，具體見下表2。設備型號數目IP地址代理服務器IBMX2358685-11X1臺S0/24E0/24DNS服務器IBMX2358671-21X1臺7/24E-mail服務器IBMX2358671-4AX1臺3/24FTP服務器IBMX2358671-21X1臺9/24WEB服務器IBMX2358685-11X1臺0/24中心交換機Cisco6509交換機1臺

S0/24VLAN用交換機WS-C2950-48-EI智能以太網交換機。臺防火墻DCFW-1800S-L小型企業級百兆防火墻

1個S0/24E1/24E0/24DMZ區交換機Cisco6509交換機1臺S00/24E08/24E14/24E20/24路由器神州數碼DCR-2501V多協議模塊化路由器1臺E0/24S0/24表2:網絡設備表

2.軟件：正版網絡操作系統Windos2000/NT，殺毒軟件以及網絡管理軟件等。網絡結構采用分層式設計，共分兩層：核心層，桌面接入層。分層設計可以使整個網絡自上而下具有很大的彈性，便于策略的維護和實施。為了實現以上網絡設計原則，使公司網絡具有良好的擴展性能力和靈活的便于管理，易于維護，在網絡設計上采用了一下策略。4.2選型理由穩定可靠的網絡，只有運行穩定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規模經驗的網絡合作廠商則更為重要。要求有物理層、數據鏈路層和網絡層的備份技術。易擴展的網絡系統要有可擴展性和可升級性，隨著業務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發展不斷升級。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節點才能方便地加入已有網絡；網絡協議的易擴展，QoS是網絡的一種安全機制,是用來解決網絡延遲和阻塞等問題的一種技術。保證隨著網絡中多媒體的應用越來越多，這類應用對服務質量的要求較高，本網絡系統應能保證QoS，以支持這類應用。安全性網絡系統應具有良好的安全性，由于網絡連接園區內部所有用戶，安全管理十分重要。應支持VLAN的劃分，以保證系統的安全性。容易控制管理因為上網用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質量，又合理的利用網絡資源，是建好一個網絡所面臨的首要問題。5、服務器配置WINDOS2000SERVER下的配置5.1DNS服務器安裝與配置1.安裝DNS的步驟如下:(1)選“開始→設置→控制面板”，打開“添加/刪除程序”。(2)單擊“添加/刪除Windows組件”，等待Windows組件向導啟動。(3)單擊[下一步]按鈕彈出Windows組件清單。(4)單擊[網絡服務]，然后再單擊[詳細情況]按鈕。(5)單擊“DNS(域名系統)”旁的復選框。(6)單擊[確定]按鈕返回“Windows組件”對話框。(7)單擊[下一步]安裝相應的服務，然后逐一單擊[完成]和[關閉]按鈕即可完成。2.使用域名服務管理器管理DNS（1）打開域名服務管理器的步驟為：單擊開始→程序→管理工具→DNS,可以看到在左邊目錄樹中服務器已經存在了。（2）在DNS管理器中的服務器列表中，選擇“正向搜索區域”，然后在快捷菜單中選擇“新建區域”進入新建區域向導，單擊“下一步”，在區域類型中選“標準主要區域”，單擊“下一步”中輸入區域名稱,單擊“下一步”，接受默認的區域記錄保存的文件名。（3）當區域創建完成后，要向區域中添加記錄資源。：在域名管理器的目錄樹中，選擇剛才新建的正面命名區域；單擊鼠標右鍵，在快捷菜單中選擇“新建主機”，打開“新建主機”對話框；在“名稱”文本框中輸入服務器的域名的主機部分,在IP地址中輸入與服務器對應的IP地址，選擇“創建相關的指針記錄”復選框，單擊“添加主機”按鈕完成記錄的添加；瀏覽DNS管理器右邊的記錄顯示列表，查看剛添加的記錄是否存在。5.2Web服務器安裝與配置web服務器安裝大多數人一般選用WIN2KServer版本作為服務器操作系統（WIN2KProfessional其實也可以使用，但實踐證明不太穩定，連接用戶過多時會斷開WEB服務），在安裝時各個提示按默認方式安裝即可，如果硬件提供硬盤RAID功能，安裝時要插入驅動程序軟盤。安裝到要求輸入域名時，可隨意輸入一個域名，如：SERVER，局域網內部機器可按此域名可以訪問，如http://server。一般光纖線路有電信部門統一分配的國際IP地址，用IP地址也可訪問該服務器，如安徽熱線可用如下兩種方式訪問：和0。如果申請了國際域名，可以在代理商網站上設置IP地址轉向，直接將域名對應到服務器的IP地址。web服務器配置IIS6.0在Windows2003服務器的四種版本“企業版、標準版、數據中心版和Web版”中都包含有，它不能運行在WindowsXP、2000或NT上。除了本文開頭介紹的Windows2003Web版本以外，Windows2003的其余版本默認都不安裝IIS；其跟以前IIS版本的差異也可謂很大，比較顯著的就是提供POP3服務和POP3服務Web管理器支持。另外，在windows2003下的IIS安裝可以有三種方式：傳統的“添加或刪除程序”的“添加/刪除Windows組件”方式、利用“管理您的服務器”向導和采用無人值守的智能安裝。5.3FTP服務器安裝與配置安裝Internet信息服務（IIS）和FTP服務由于FTP依賴MicrosoftInternet信息服務(IIS)，因此計算機上必須安裝IIS和FTP服務。但在系統安裝時不會默認安裝IIS和FTP服務。若要安裝IIS和FTP服務，請按照下列步驟操作。注意：在WindowsServer2003中，安裝IIS時不會默認安裝FTP服務。如果已在計算機上安裝了IIS，您必須使用“控制面板”中的“添加或刪除程序”工具安裝FTP服務。①單擊“開始”，指向“控制面板”，然后單擊“添加或刪除程序”。②單擊“添加/刪除Windows組件”進入“Windows組件向導”對話框中。③FTP服務器是“應用程序服務器”其中的一個級件，因此在“組件”列表中，單擊“應用程序服務器”，再單擊“詳細信息”按鈕進入“應用程序服務器”對話框中；④點擊選中“應用程序服務器”對話框中“組件”列表框中的“Internet信息服務(IIS)”（但是不要選中或清除復選框），然后單擊“詳細信息”進入“Internet信息服務（IIS）”對話框中。⑤再單擊其中“Internet信息服務管理器的子組件”列表框中的“公用文件”、“文件傳輸協議(FTP)服務”，單擊以選中您想要安裝的任何其他的IIS相關服務或子組件旁邊的復選框；⑥，然后單擊“確定”返回“應用程序服務器”窗口；；⑦再單擊“確定”返回“Windows組件向導”對話框，單擊“下一步”；⑧出現提示時，請將WindowsServer2003CD-ROM插入計算機的CD-ROM或DVD-ROM驅動器，或提供文件所在位置的路徑，然后單擊“確定”，系統自動進行安裝；⑨安裝過程需要一些時間來復制文件，最后單擊“完成”。當安裝FTP服務后，Windows自帶的FTP服務需要通過IIS進行管理和控制。配置FTP服務器安裝了IIS和FTP服務后，需要通過“控制面板”中的“管理工具”中“Internet信息服務（IIS）管理器”來配置管理的FTP網站站點。1）FTP站點屬性的查看與修改①啟動“Internet信息服務管理器”或打開IIS管理單元。②依次展開“服務器名稱”及其中的“FTP站點”（服務器名稱是本地該服務器計算機的名稱）。③右擊“默認FTP站點”，然后單擊快單中的“屬性”，進入“默認FTP站點屬性”查看、設置和修改其相關屬性?！癋TP站點”選項卡在其中可查看FTP所使用的“端口”為21，并可查看和修改IP地址分配（未本置則為未分配）及“FTP站點連接”是否受限、連接數量限制、用戶連接超時（多少秒連接不上系統會提示連接超時）的時間值和是否“啟用日志記錄”等。——“啟用日志記錄”選項卡單擊其中的“屬性”，進入“日志記錄屬性”窗口。在日志記錄中可以選擇日志記錄是按什么時間記錄以及記錄的信息，包括時間信息、服務器等等?？蛇x擇當前的日志?！鞍踩珟簟边x卡可設置用戶是否可以進行匿名訪問及對匿名訪問用戶使用的windows用戶帳戶的用戶名的選擇和密碼的設置。在“消息”選卡上可以設置用記登錄后的“歡迎”、“退出”、“最大連接數”和“標題”等“FTP”站點的消息?！爸髂夸洝边x項卡可設置和更改FTP站點的主目錄或修改其屬性。主目錄是FTP站點中已發布文件的中心位置。在安裝FTP服務時，會創建一個名為“c:\inetpub\ftproot”的默認主目錄。（1）“資源內容的來源”：可以將主目錄的位置更改為“此計算機上的目錄”或“另一臺計算機上的目錄”（網絡共享）。出現提示時，輸入訪問此計算機所需的用戶名和密碼。若要更改用戶名和密碼，請單擊“連接用戶”。（2）“FTP站點目錄”：①在文本框中，輸入目錄或目標URL的路徑。語法必須與選定路徑類型相匹配：對于本地目錄，請使用完整路徑；如C:\Catalog\Shoes。也可以單擊“瀏覽”按鈕選擇本地目錄而不用輸入路徑。②對于網絡共享，使用統一命名約定(UNC)服務器和共享名，如\\Webserver\Htmlfiles。③瀏覽：若要選擇本地目錄而不想在“路徑”文本框中輸入目錄路徑，請單擊“瀏覽”。④讀?。喝粢试S用戶讀取或下載存儲在主目錄或虛擬目錄中的文件，請選中此選項。⑤寫入：若要允許用戶將文件上載到服務器上已啟用的目錄中，請選中此復選框。應該僅對準備接受用戶文件的目錄啟用寫入權限。⑥記錄訪問：若要在日志文件中記錄對此目錄的訪問，請選中此復選框。僅當此FTP站點啟用日志記錄時，才可記錄訪問。默認啟用日志記錄。若要關閉日志，請選擇此FTP站點，打開其屬性頁，單擊“FTP站點”選項卡，然后清除“啟用日志記錄”復選框。（3）“目錄列表樣式”：更改目錄列表樣式以MS-DOS目錄格式發送到FTP用戶。默認情況下，MS-DOS目錄列表樣式以兩位數字格式顯示年份日期?？梢酝ㄟ^啟用FtpDirBrowseShowLongDate配置數據庫屬性將此設置更改為以四位數字格式顯示年份日期。當文件日期與FTP服務器的年份日期不一致時，UNIX目錄列表樣式以四位數字顯示年份日期。如果文件日期與FTP服務器年份日期相同，將不返回年份日期。——目錄安全性選項卡在其中可設置允許或拒絕某些FTP用戶的訪問6、網絡安全一個網絡的安全，首先要有嚴格和有效執行的管理制度。建議公司制定嚴格的網絡安全管理策略，并有效的執行。其次，必須具有一定的技術手段來保障網絡的安全。技術和管理手段相結合實施，才能夠產生良好的效果。通過以下幾個技術方面的實施，可以在一定程度上保障網絡的安全：（1）提高設備的物理安全性設備的物理安全性是指運行中的設備，未經授權的人員不能直接接觸到。提高設備的物理安全性，是最基本的要求。通過將設備安置在獨立的設備間中，并增加門禁系統，確保只有授權的管理和維護人員才能接觸到物理設備。（2）配置設備的口令配置設備的口令，是防止非授權的人員更改網絡系統的配置的重要手段。要為所有的設備設置口令。要為每一臺設備配置CONSOLE口令，AUX口令，VTY口令，特權口令等。在口令方面，需要制定管理制度并嚴格執行?？诹罟芾碇贫劝诹畹脑O置，保管，更改，口令的強度等內容。（3）進行VTP域的認證進行VTP域的認證，能夠保證局域網的VLAN等的安全。設置了口令之后，除非交換機設置了正確的口令，否則。新交換機不能自動加入到已存在的管理域中。保證了局域網的運行安全，可以避免因為VLAN被錯誤或者惡意的增加，刪除造成的運行事故。（4）園區用戶的接入控制因為一般的安全措施都不是針對網絡用戶的，嚴格控制用戶的接入，可以避免非法用戶接入帶來的潛在的安全隱患。園區網系統建設驗收完畢之后，確保交換機的所有用戶端口處于關閉狀態。只有用戶使用申請通過批準之后網絡管理員才能將端口激活。（5）應用系統的訪問限制可以根據集團的應用需求，在匯聚層的多層交換機上實施訪問控制，限制園區網用戶對特定應用系統的訪問，或者只允許特定的用戶訪問某些資源。（6）防火墻系統

本方案的網絡防火墻將主要位于Internet網絡、外部用戶訪問及內部網絡之間。主要防止未授權的用戶非法訪問內部網絡。

防火墻的建設主要在于規則的設置，現代較為流行的防火墻規則設置的策略是將防火墻的默認規則設置為全部禁止，然后根據實際情況再打開正常的連接。

（7）網絡防病毒系統

網絡防病毒系統是網絡應用中最急需解決的安全問題。企業級網絡防病毒系統首先應該在每個計算機終端和服務器上安裝代理，以保障單機的防病毒功能，同時，企業能