物理链路可以这么连
创新互联专业为企业提供松原网站建设、松原做网站、松原网站设计、松原网站制作等企业网站建设、网页设计与制作、松原企业网站模板建站服务,十余年松原做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。
公网入线--路由器--防火墙--交换机--服务器/客户机
1、路由器直接占用3-5个ip做nat供内网用户联网使用,其余ip如竖做果用不到可留着备用。
2、不清楚你服务器是做什么用的,但尽量不要放公网上,如果有需要的话可以通过源册防火墙设置公网ip也可以端口映射,这样服务余裂衡器比较安全。
3、客户机的ip要看你路由器的设置,一般用私网ip即可,ip:192.168.1.X,子网:255.255.255.0网关在路由器上设置:192.168.1.1,dns可以设置成运营商给你的dns。
计算机网络安全技术简称网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
技术分类虚拟网技术
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。防火墙技术网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(代理服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
病毒防护技术
病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病御蔽核毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服并源务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。入侵检测技术利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络安全技术,目的是提供实镇掘时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:基于主机和基于网络的入侵检测系统。安全扫描技术
网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
认证和数字签名技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。VPN技术1、企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。
2、数字签名
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。
3、IPSEC
IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现的Internet标准。
IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication
Header(AH)及encapsualting security
payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security
Association)。
对于你目前网络的结构,写不是很明白,不过根据你提供的设备,换成是我来设计这个网络我会采用下面的组网方式
方案A
ADSL-路由器-(邮件服务器的网卡A,邮件服务器的网卡B)-交换机A-(部分电脑,交换脊毕机B)-交换机B接剩下的电脑
这种方案的前提设想是,邮件服务器还安装代理软件,安装DHCP软件,还有其他你需要的如FTP,HTTP之类的,使用该服务器来控制所有客户机的上网行为
而且这个方案中的路由器还可以不要,要的话能保证一定程度服务器的安全,不要的话,服务器直接连到网上,风险较大
这个方案的缺点是要保证服务器24小时不断运行,而且服务器可能负担会很重,遇到大量进行FTP,HTTP,邮件等数据好耐传输的情况,可能会影响的网速,而且基于WINDOWS的代理软件,我认为稳定性和控制性不够好,而且碰到内网出现ARP攻击,会很麻烦
方案B
ADSL-ROS(软路由)-路由器-(邮件服务器,交换机A),交换机A-(交换机B,部分电脑),交换机B-其余电脑
此方案我个人强烈推荐,缺点是需要购置一台软件路由器,如果你们单位有不用的电脑,最好,ROS不需要很好的配置,只需要2张好的网卡就行。(你可以在网上搜索以下,了解什么是ROS,及ROS如何设置)
方案优点:控制性能强大,ROS可以精确控制到1KB,最主要他可以控制并发连接数,对付BT,迅雷效果极好,而且这样的话邮件服务器的数据不会影响到整个网络,加上邮件服务器不需要负担控制上网的流量,稳定性更好,不需要24小时开机
---------------------
补充
根据你的设备,在不增加投入的前提下,最大化发挥作用的配置可以是
2台猫-TL-R478+的两樱袜芹个WAN口(如果是电信,网通注意设置的时候配置好对应端口的网通电信路由表)
TL-R478+的某LAN口接DES-1016R+(A),
DES-1016R+(A)接DES-1016R+(B),super server 5014C-MF,与部分电脑
DES-1016R+(B)接剩下的电脑
--------------
分析:
TL-R478+支持双WAN口和基于IP的QOS(根据guan方说明),你可以利用QOS的限制网内的电脑的带宽
限制最大流量和最大连接数
如果服务器需要对外连接,你可以设置不限制服务器流量。
提示:
1.DHCP最好由路由提供,你要用服务器的也行,注意停用另一个的DHCP
2.停用服务器的NAT转换服务(即代理上网功能),DNS服务
3.FTP的控制利用FTP软件,可以采用账户认证的方式
该网络可能的隐患是:
1。当服务器流量大时,TL-R478+可能无法负担起这个网络
2。ADSL的带宽可能不够
3。对服务器提供的服务,路由上要设置端口映射
以上