张乔玫出生日期:中小企业网络设计需求分析（下）

5。有效利用VPN技术

目前，防火墙产品通常都集成了VPN功能，这也为远程用户和企业的分支机构访问企业内部网络资源提供了一个非常好的途径。通常情况下，一个网络要提供远程用户或分支机构进行访问的能力需要采用远程访问服务器、Modem池、电话交换机以及足够的通信线路来构造专门的远程访问系统，这样做不但需要较大的投资，而且通信的安全性也得不到足够的保证。而在VPN方式下，VPN客户端（远程用户或分支机构）和设置在内部网络边界的VPN服务器（防火墙或专用的VPN服务器）使用隧道协议，利用Internet或公用网络建立一条“隧道”作为传输通道，同时VPN连接采用身份认证和数据加密等技术避免数据在传输过程中受到侦听和篡改，从而保证了数据的完整性、机密性和合法性。通过VPN方式，企业可以利用现有的网络资源实现远程用户和分支机构对内部网络资源的访问，不但节省了大量的资金，而且具有很高的安全性。这种方式对中小企业的Intranet尤其适用，实现起来也比较方便。VPN服务器可以由内部网络的防火墙来担当。对于客户端，如果为远程用户，可以利用Windows 98或Windows 2000系统中内嵌的虚拟专用网络(VPN)功能，也可以安装专业的VPN客户端软件；如果为分支机构的小型办公网络，可以在分支机构网络的边缘处设置一个具有VPN功能的性能相对较低的防火墙，这样可以实现在两个网络之间利用Internet或公用网络进行安全通信。

6。网络安全
(1). 电源的安全
    电源不仅是一个计算机网络能够运行的最基本条件，同时电源的安全也是计算机网络安全运行的最基本要素。这里电源的安全不仅要求为所有的工作站、服务器和网络设备提供一个高质量的电源，同时还要设置良好的接地系统。对于服务器和网络设备还要设置不间断电源（UPS）装置，这不但可以增加网络的连续运行能力，而且可以防止因为突然断电对网络硬件造成的损坏。特别是服务器，如果正在运行的服务器突然断电，不但硬件设备可能出现问题，而且操作系统或应用因为没有正常关闭可能导致数据不能提交或系统不能正常启动，甚至造成服务器或应用的瘫痪。这是任何一个企业都不愿看到的。
    在网络建设和维护中，电源是最稳定的一个部分，一般情况下，它不会随着应用的发展频繁地升级，因此，中小企业在构建自己的网络系统时，进行相应的投资建立一个安全的电源系统是非常值得的。

(2). 数据存储的安全
    保存在服务器中的数据是网络应用的核心，如果由于服务器磁盘故障造成数据的损坏或丢失，可能会造成无法估量的损失。因此必须采取相应的容错及灾难恢复手段来加强服务器存储系统的可靠性。目前，构建服务器存储系统使用最广泛的技术是RAID。RAID的实现策略主要是用多个磁盘驱动器替换单一的大容量的磁盘驱动器，并将数据在各个磁盘上进行分布存放并支持同时在多个磁盘进行并行读写，同时利用冗余的磁盘空间将数据从错误中恢复。由于服务器中构成RAID的磁盘通常为热插拔磁盘，因此磁盘出现故障时，可以不停机地对故障进行修复，增加了网络系统的连续工作能力。RAID分为好几个级别，每个级别在I/O性能和安全性方面各具特点，其中RAID1和RAID5使用最多。
RAID1—磁盘镜像。它由磁盘对组成，每一个工作盘都有对应的镜像盘，保存着和工作盘完全相同的数据拷贝。当对逻辑块进行写入操作时，工作盘和镜像盘都进行实时更新。如果磁盘对中任一个磁盘失败，所有的读写请求立刻会转移到另一块磁盘上。因此它具有最高的可靠性，但它的I/O性能和空间利用率不高，只用50%，适用于访问量不大但比较注重数据安全性的应用环境。从性能价格比看，中小企业网络的应用服务器采用RAID1是非常合适的选择。
RAID5—没有独立校验盘的奇偶校验码磁盘阵列。RAID5采用了独立存取技术，校验信息分布在阵列内的所有磁盘上，如果阵列中有一个磁盘失败，这个盘中的数据可以通过其他盘中的数据根据校验码进行异或运算获得。RAID5至少需要3块磁盘构成，每一块磁盘上都要占用1/N的空间存放校验信息（N为构成RAID5的磁盘数量）。由于采用了独立存取技术， RAID5对于大、小批量的数据读写性能都很好，适用于访问量很大的系统。在中小企业构建网络时，可以将Web服务器或数据库服务器的存储系统设置为RAID5。
可以根据RAID的应用级别来选择相应的服务器，这样配置起来更方便一些。
(3)．防病毒设置

计算机病毒一直是困扰着计算机和网络系统的最大问题之一。随着计算机技术的不断进步，计算机病毒也不断地向智能化和网络化发展，具有更强大的攻击力和破坏性，从以往的破坏软件系统到现在的攻击硬件系统和网络系统，尤其是借助于发展迅速的Internet和Intranet，计算机病毒可以通过各种渠道迅速地蔓延并实施破坏。如果没有防范措施的话，一个企业的计算机网络很容易因为计算机病毒的攻击而陷入瘫痪。这对于一个企业而言，后果可能是致命的。因此中小企业同样需要采取相应的防病毒措施来保证网络系统不受病毒的侵害。可以采取以下两种措施：
（1）为每台工作站和服务器安装单机版的防病毒软件，每台计算机定时地下载病毒码信息并进行更新。这种方式投资小，但是病毒码信息更新不及时或不同步，不能对最新的病毒做出及时的响应，可能导致网络系统受到病毒的侵害。
（2）安装网络防毒系统。这种方式采用客户机/服务器方式，选择一台微机或应用服务器安装网络防病毒系统的服务器端软件，并通过Internet利用防毒系统的在线更新功能实时地进行病毒码信息的更新。网络中的所有计算机和服务器均安装防毒系统的客户端软件，利用服务器端获得最新的病毒码信息对计算机进行病毒扫描。这种方式虽然投资较大，但是对病毒码信息进行实时的更新，可以保证网络不受到病毒的侵害，控制病毒的大肆传播。
(4)．防火墙设置
    企业构建了Intranet，实现了与Internet的接轨，虽然为企业业务的开展和日常的工作、学习带来了极大的方便，但是我们不得不面对的一个问题就是实现了与Internet的接入，企业的内部网络就完全地暴露在外界了，也就可能受到各种有意或无意的攻击。因此建立企业的Intranet，必须建立网络的防火墙系统来保证内部网络的安全。由于在Internet接入部分已经对防火墙的功能和工作方式进行了相关的介绍，这里就不再进行过多的描述了。
(5)．网络的安全教育
    保证网络的安全不仅需要通过相应的技术手段从硬件和软件着手对网络资源进行保护，对网络用户进行网络的安全教育同样重要。首先，要建立一套完整的网络管理规定和网络使用方法，并要求网络管理员和网络使用人员必须严格遵守，否则的话，再先进的网络安全技术也不能阻止人为因素对网络安全造成的威胁。其次，加强对网络管理员和网络使用人员的培训，让他们明白什么是可以做的，什么是严禁做的，可能产生的严重后果是什么。对网络了解得越多，自我约束的能力也就越强。第三，制定合适的网络安全策略，既不能让网络用户无限制地使用网络，也不能对用户限定得太死，引发用户设法绕过网络安全系统、钻网络安全策略空子的现象。制定一种让网络管理员和网络用户都乐于接受的安全策略，可以让网络用户在使用网络的过程中逐步把网络当成工作中的一个得力工具，从而自觉地维护网络的安全。

7.网络管理

大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理，这个投资对于中小企业来说可能是无法承担的。事实上，由于中小企业的网络结构比较简单，一般不需要对网络的流量、网络设备的状态和端口设置等信息进行实时的控制和检查。网络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些，而这些工作利用Windows 98/2000系统包含的Ping、Ipconfig/Winipcfg、Telnet等实用工具就可以完成。