公司网络营销方案范文第1篇
一、企业和产品介绍
1、小米公司简介
小米公司(全称北京小米科技有限责任公司)正式成立于2010年4月,是一家专注于智能手机自主研发的移动互联网公司,定位于高性能发烧手机。小米手机、MIUI、米聊是小米公司旗下三大核心业务。“为发烧而生”是小米的产品理念。小米公司首创了用互联网模式开发手机操作系统、发烧友参与开发改进的模式
2、小米手机简介
小米手机是小米公司专为发烧友级手机控打造的一款高品质智能手机。雷军是小米的董事长兼CEO。手机ID设计全部由小米团队完成,该团队包括来自原谷歌中国工程研究院副院长林斌、原摩托罗拉北京研发中心高级总监周光平、原北京科技大学工业设计系主任刘德、原金山词霸总经理黎万强、原微软中国工程院开发总监黄江吉和原谷歌中国高级产品经理洪锋。手机生产由英华达代工,手机操作系统采用小米自主研发的MIUI操作系统。手机于2011年11月份正式上市。小米公司创始人雷军在谈及为何做小米手机时说,就目前发展趋势看,未来中国是移动互联网的世界。智能手机和应用会承载用户大部分需求,虽然过去的很多年,花了很多钱买手机。从诺基亚,摩托罗拉,三星,到现在的iPhone,但在使用过程中都有很多诸如信号不好,大白天断线等不满意的地方。作为一个资深的手机发烧友,深知只有软硬件的高度结合才能出好的效果,才有能力提升移动互联网的用户体验,基于有这个想法和理想,又有一帮有激情有梦想的创业伙伴,促成了做小米手机的原动力。
3、系统 MIUI简介
MIUI是一个基于CyanogenMod而深度定制的Android流动操作系统,它大幅修改了Android本地的用户接口并移除了其应用程序列表(Application drawer)以及加入大量来自苹果公司iOS的设计元素,这些改动也引起了民间把它和苹果iOS比较。
MIUI系统亦采用了和原装Android不同的系统应用程序,取代了原装的音乐程序、调用程序、相册程序、相机程序及通知栏,添加了原本没有的功能。由于MIUI重新制作了Android的部分系统数据库表并大幅修改了原生系统的应用程序,因此MIUI的数据与Android的数据互不兼容,有可能直接导致的后果是应用程序的不兼容。
MIUI是一个由中国一班爱好者一起开发的定制化系统,根据中国用户的需求而作出修改,现正处于Beta测试阶段,在收只用户意见后每逢周五均会提供OTA升级。现时MIUI系统由小米科技负责开发。
二、SWOT分析
优 势:
(1)产品外观精美,功能完善。
(2)企业人力资源丰富,管理者具有较高的专业素质。 (3)产品广告宣传好,品牌知名度较高,价格定位较低。 弱 势:
(1)小米手机是一个新品牌,消费者知之甚少,顾客忠诚度低,市场发展不够成熟。
(2)产品研发不够完善。 机 会:
(1)随着通讯市场的发展,手机使用者越来越多,手机市场不断扩大,为手机研发和销售提供了广阔的发展空间。
(2)人们的消费水平不断提高,提高了手机购买率。
(3)国家法律对手机市场的不断完善,为手机事业的发展提供了法律保障。 (4)3G宽带的显著提升。 威 胁:
(1)手机品牌众多,市场竞争激烈。 (2)核心技术掌握不够。
三、营销目标
根据以上分析,我们可以看出小米手机在普通民众的知名度不普及,然而对于一个企业来说,品牌的知名度是非常重要的。对于一个企业来说,创造利润是最终目标,所以销售是非常重要的。因此为他制订了两个目标,暨销售目标和品牌推广目标。
销售目标主要是为小米手机拓宽销售网络,借助网上的交互性、直接性、实时性和全球性为顾客提供方便快捷的网上售点。凭借互联网的各种形式多样的方式向消费者传递者各种有利的信息。利用网络销售成本低等特点,为企业创造利润。 品牌推广目标主要是在网上树立起自己的品牌形象,利用各种互联网上的资源,宣传小米手机的各种有利形象,加强消费者对自己的印象,建立顾客的品牌知名度,为企业的后续发展打下扎实的基础。配合企业现行的销售目标,提高销售收入。
所以我们要具体实现:
1、2014年出货量4000w步
2、市场占有率提升5%
3、利润增加8%
4、在宣传小米手机的同时,将小米的企业文化传递给顾客
5、提高品牌定位,开发高端产品市场
四、营销策略
(一)营销战略重点
小米最为一个全新的产品,在上市前是没有一点知名度的。所以小米的前期
的目标当然是宣传自己,争取让每一个关注手机的网民都能够知道小米手机。 我们通过混合型网络营销来达到将产品销售出去并实现盈利的最终目标。
混合型网络营销主要通过网络营销替代传统营销手段,来全面降低营销费
用,提高营销效率,促进营销管理和提高企业竞争力。小米作为B2C的电子商务模式。它的优势在于能减少许多成本费用。为小米手机低价位高质量做保障。同时为小米力求打造品牌型和销售型的营销。最终是为了提高企业市场竞争力。 而我们的战略重点在于,驻足网络进行宣传、拓展市场,为产品准确定位,突出企业形象和产品特色,采取差异化的网络营销竞争策略。为产品提供有力的展示平台,加以突出小米手机特色和优点以及企业的优质服务,在消费者中树立良好的企业形象。立志打造中国市场中手机生产销售的NO.1。
(二)产品策略
质量只是基本,后续产品的研发是否给力,产品策略是否恰当,会是小米手机能不能取得更大成功的关键因素。
首先,在未来的产品中,设计应当被小米手机视作成败的关键因素。相信“没有设计是最好的设计”这句话,
其次,从战略来看,对其产品规划有更为清晰的路线。面向发烧友、只做高性能的高端智能手机是其一直宣称的定位,但在商业模式上,更需要在低端市场获得普及。
我们的做法是,在推出二代产品之后对一代产品进行大幅调价,就像苹果一直做的那样,但这样的话,小米的新品研发进度还需要进一步提高。
(三)、网络直销策略
以网络作为载体进行B2C电子商务网络直销方式。此销售方式优点:为企业提供销售渠道同时具有调查、服务、咨询一体的特点 网络直销应该考虑到的因素:
1.完善的配送中心:与大型配送企业如凡客合作,完全采用凡客、如风达配送资源
2.网络营销渠道的流畅性:建立一个完善的订货系统减少销售费用节约成本 3.网上商城:和大型网上商城合作,利用其资源进行优势互补。积分促销手段,通过购物获得积分,顾客再利用一定积分换取购物优惠
(四)、网络促销策略
1、口碑营销(病毒式营销)
小米手机需要一个环境:即使你不关注手机也知道有小米这个手机。利用国人看热闹的特点,制造“绯闻”如某某某看好小米手机(名人效应);小米2s(品牌效应);红米note等消费者爱看的事情提高关注度和品牌层次。并且就小米的售后服务方面进行个性宣传,一次区别并独立出普通售后服务,给人以安全的感觉。
2、事件营销
在小米发布前,我们可以在一定阶段的宣传后,通过召开发布会的形式为小米举办一个盛大的生日party。相信超强的配置,极低的价格,极高的性价比一定能够吸引足够多的媒体的关注。
3、饥饿营销
在成功引起消费者的关注后。不能一下就满足消费者的需求。从产品发布到正式售卖是有一段时间的。可以利用这段时间将小米的信息一步一步放出。让消费者有足够的想象空间。
4、微博是一个新兴的媒体,以方便快捷的特点备受欢迎,我们可以让小米的开发者们
通过微博与关注小米的人群进行交流,提高小米的人气。同时通过人气高的微博来来宣
传小米。
(五)、广告策略
网络广告是常用的网络营销方法之一。主要价值表现在品牌形象、产品促销等方面。 a标志广告
标志广告之网络广告的最主要也是最基本的形式之一。小米公司可以在一些导航网站,门户网站上发布标志广告,通过发布一些促销信息,最近产品信息等吸引用户点击,增加产品的知名度,吸引潜在用户。 b关键词广告
关键词广告的载体是搜索引擎,目前主要有百度的竞价排名和谷歌的关键词广告。我们可以在百度和谷歌上购买关键词,例如手机,小米 android等等。通过关键词广告,可以自由控制广告的预算,降低制作成本,提高投放效率,可以吸引潜在用户直达任何一个期望的目的网页,广告的效果便于统计。
小米手机网上营销策划书
院(部)专业班级组员姓名
财经学院
经济学112
余鹏鹏周昊
夏东阳韦成龙
年5月18号
公司网络营销方案范文第2篇
该项竞赛活动主要以人民币对公存款(不含协议及国库现金存款,贸易金融部只统计自营人民币对公存款,以下简称对公存款)日均新增、增长率为考评指标,奖项设置包括:对公存款月月争、季季先、年度赢等三个奖项。
(一)对公存款“月月争”奖
1、竞赛规则:该奖项以经营机构对公存款月日均环比新增﹥0为入围条件,以各经营机构每月对公存款环比增长率为评价指标,分小组进行比较排名,每月对组内排名靠前的优胜经营机构予以表彰奖励。其中:开业当季的新分行、当月对公存款月日均下降的老机构不参加该项竞赛,对公存款环比新增不考虑经营机构间协同销售调整因素。
2、激励规则
(1)荣誉激励:竞赛结果通过总行OA系统和“公司金融网”向全行通报。
(2)物质奖励:每组第一名奖励30万元、第二名奖励20万元、第三名奖励10万元。其中:A组只设第一名、F组只设第
一、二名。
3、指标计算规则
某机构月对公存款环比增长率=本机构当月对公存款月日均环
比增长率×70% + 本机构当月对公存款旬末余额环比增长率×30%
其中:当月对公存款月日均环比增长率=(当月对公存款月日均-上月对公存款月日均)/上月对公存款月日均
当月对公存款旬末余额环比增长率=(当月上、中、下旬旬末对公存款余额之和/3-上月上、中、下旬旬末对公存款余额之和/3)/(上月上、中、下旬旬末对公存款余额之和/3 )
各机构1月对公存款(日均和时点)新增基数=本机构2010年对公存款年日均×全行2010年12月对公存款月日均/全行2010年对公存款年日均
(二)对公存款“季季先”奖
1、竞赛规则:该项奖以各经营机构每季对公存款季日均环比新增为主要评价指标,结合存款计划完成情况、分小组各经营机构对公存款季日均环比增长率是否高于本组平均水平(新分行不参加比较)情况确定不同的奖励费率。
2、激励规则
(1)荣誉激励:竞赛结果通过总行OA系统和“公司金融网”向全行通报。
(2)物质奖励:
某机构对公存款“季季先”奖励费用总额=本机构当季对公存款季日均环比增长额×奖励费率×季度调整系数
奖励费率:根据经营机构对公存款年日均新增计划完成进度和是否高于本小组平均增长率确定差别费率进行奖励:新增计划完成进度
快于全行平均水平和本组平均水平,且增速高于本组平均增长率的经营机构,奖励费率按1.2‰;新增计划完成进度慢于全行平均水平和本组平均水平,且增速低于本组平均增长率的经营机构奖励费率按0.8‰。 满足新增计划完成进度与本组平均增长率的其他组合条件的经营机构,奖励费率按照1‰执行。
存款年日均新增计划完成进度=(考核期存款实际年日均-2010年存款实际年日均)/(ⅩⅩ年存款计划年日均-2010年存款年实际日均)
季度调整系数:为贯彻总行今年“以存定贷”,即先有存款,后放贷款资产负债管理政策,鼓励各经营机构早做存款,一季度调整系数为1.1,二季度季度调整系数为1,三季度调整系数为0.9。
某组对公存款季日均环比增长率=本组(当季对公存款季日均-上季对公存款季日均)/本组上季对公存款季日均。
3、指标计算规则
某机构对公存款季日均环比增长=本机构当季对公存款季日均-本机构上季对公存款季日均
某机构当季对公存款季日均环比增长率=本机构(当季对公存款季日均-上季对公存款季日均)/本机构上季对公存款季日均
各机构一季度对公存款季日均新增基数=本机构2010年对公存款年日均×全行2010年四季度对公存款季日均/全行2010年对公存款年日均
(三)对公存款“年度赢”奖
1、入围条件:
该项奖于10月一次评定,以经营机构9月末完成“三季度末对公存款日均计划应完成进度目标”为入围条件。
2、评选规则:
首先,分小组(新分行除外)对各经营机构对公存款年日均增长率、对公存款年日均新增占比(组内占比)和公司业务(含中小)新增存贷比分别进行比较排名(新增存贷比排名由低到高,其余排名由高到低),按最后一名1分,倒数第二名2分,倒数第三名3分,后面以此类推的规则进行计分,再把增长率和新增占比两项计分相加进行综合排名(如积分相同,把新增存贷比得分作为修正因素累加后再排序),对各小组综合排名前3位的经营机构予以表彰奖励。
每组排名第一且完成总行下达的年度挑战目标任务的机构获“转型ⅩⅩ”公司存款竞赛一等奖,排名第一但未完成总行下达的年度挑战目标任务的机构、排名第二且完成总行下达的年度挑战目标任务的机构获“转型ⅩⅩ”公司存款竞赛二等奖、其它排名前三的机构获“转型ⅩⅩ”公司存款竞赛三等奖。
三季度末对公存款日均挑战目标:三季度末完成全年对公存款日均计划。
新分行根据开业时间早晚,“年度赢”奖励政策另定。
3、奖励方式
(1)荣誉激励:向获奖单位颁发荣誉奖匾,竞赛结果发文向全行通报。
(2)物质奖励:
一等奖各奖励300万元、二等奖各奖励200万元、三等奖各奖励100万元。
五、其他事项
公司网络营销方案范文第3篇
一、公交字幕:
重要通知:8月16日,城外诚1万5千平米婚庆广场盛大开业。千款婚纱任您试穿、百家酒店抢先预订,更可享受婚礼分期付款!
二、广播电台:
方案1:
结婚就去城外诚。2009年8月16日,城外诚馨都婚庆广场盛大开业。在这里,您可以分期付款提前享受您的梦幻时刻。8月16日,我们相约在城外诚馨都婚庆广场,更有超值大奖等你来拿。
方案2:
结婚就去城外诚!来城外诚馨都婚庆广场,享受一站式婚礼服务。8月16日,城外诚馨都婚庆广场盛大开业,上万平米购物广场任您游,千款婚纱任您试穿,上千平米婚礼实景秀场,更有万元大礼等你拿。8月16日,不见不散!
三、平面媒体广告语:
8月16日,重要约会!(大字突出)
城外诚婚庆广场盛大开业。(大字)
小字:城外诚·馨都婚庆广场由“城外诚家居广场”独资主办,占地15000平米,是北京独有、大型、平层、开放式婚庆主题广场。
八大特色:
1、 婚礼策划、酒店预订、婚纱摄影、婚纱礼服、婚用首饰、婚礼用品、蜜月旅行和婚庆服
务培训,让您真正享受“一站式”的结婚综合服务。
2、 一千平米时尚主题婚礼秀场,让您现场感受幸福时刻;
3、 京城百家酒店抢先预定,让您享受完美服务和超值优惠;
4、 京城最大的外贸高档婚纱内销卖场,千种款式任您试穿;
5、 分期付款,让您提前享受奢华婚礼;
6、 馨都大乐透,幸运之神让您几元就办万元婚礼;
7、 与中国妇联通力合作,为新人提供免费结婚咨询培训,让您避免不必要的烦恼;
8、 广场平层式开放式购物环境,严格的质量和价格审核,让您自由选择,无需为产品质量
和价格担忧;
公司网络营销方案范文第4篇
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。 关键词: 网络,安全,VPN,防火墙 ,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life. Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life. Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security. Network security has become the focus of attention today in the world, the importance of network security is self-evident. This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN. And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security. Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package. The purpose is to build a complete, secure network architecture, network security systems really get better results.
Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
目录
摘
要 ............................................................................................................................................................ I 第一章 绪
论 ............................................................................................................................................... 1 1.1 网络的起源 ...................................................................................................................................... 1 1.2网络安全的重要性 ........................................................................................................................... 1 第二章 企业网络安全概述 ........................................................................................................................... 3 2.1 企业网络的主要安全隐患 ............................................................................................................ 3 2.2 企业网络的安全误区 .................................................................................................................... 3 第三章
企业网络总体设计方案 ................................................................................................................. 5 3.1 公司背景 .......................................................................................................................................... 5 3.2 企业网络安全需求 .......................................................................................................................... 5 3.3 需求分析 .......................................................................................................................................... 5 3.4 企业网络结构 .................................................................................................................................. 6 3.5 企业IP地址的划分 ........................................................................................................................ 9 第四章 企业网络安全技术介绍 ................................................................................................................... 9 4.1 Easy VPN .......................................................................................................................................... 9 4.1.1 什么是VPN .......................................................................................................................... 9 4.1.2 VPN 的分类 ........................................................................................................................ 10 4.1.3 Easy VPN ............................................................................................................................. 10 4.2 SSH ................................................................................................................................................. 11 4.2.1 SSH介绍 .............................................................................................................................. 11 4.2.2 SSH与Telnet的区别 .......................................................................................................... 11 4.3 AAA服务器 ................................................................................................................................... 12 4.3.1 AAA介绍 ............................................................................................................................ 12 4.3.2 认证(Authentication) ........................................................................................................... 12 4.3.3 授权(Authorization) ............................................................................................................ 12 4.3.4 审计(Accounting) ................................................................................................................ 13 4.4 IDS 入侵检测系统 ..................................................................................................................... 13 4.5 firewall 防火墙 ........................................................................................................................... 13 4.5.1 什么是防火墙 ..................................................................................................................... 13 4.5.2 防火墙类型 ......................................................................................................................... 14 第五章 企业网络设备实施方案 ................................................................................................................. 14 5.1 企业物理安全规划 ...................................................................................................................... 14 5.2 设备选型 ........................................................................................................................................ 15 5.3 设备配置 ........................................................................................................................................ 16 5.3.1 交换机 ................................................................................................................................. 16 5.3.2 路由器与防火墙 ................................................................................................................. 25 5.3.3 服务器 ................................................................................................................................. 28 第六章 项目测试 ......................................................................................................................................... 30 6.1 DHCP验证 ..................................................................................................................................... 32 6.2 网络连通性 .................................................................................................................................... 35 6.3 网络安全性 .................................................................................................................................... 37 6.3.1 SSH与console的权限 ....................................................................................................... 37 6.3.2 网络连通安全性 ................................................................................................................. 40 6.4 分公司与总公司安全性 ................................................................................................................ 42 总
结 ........................................................................................................................................................... 45 致
谢 ........................................................................................................................................................... 46 参考文献 ....................................................................................................................................................... 47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1) 病毒、木马和恶意软件的入侵。 2) 网络黑客的攻击。
3) 重要文件或邮件的非法窃取、访问与操作。 4) 关键部门的非法访问和敏感信息外泄。 5) 外网的非法入侵。
6) 备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一) 安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二) 安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三) 在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四) 只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五) 文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六) 网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1) 根据公司需求组建网络 (2) 保证网络的连通性 (3) 保护网络信息的安全性
(4) 防范网络资源的非法访问及非授权访问 (5) 防范入侵者的恶意攻击与破坏
(6) 保护企业本部与分部之间通信信息的完整与安全性 (7) 防范病毒的侵害 (8) 实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1) 构建良好的环境确保企业物理设备的安全 (2) IP地址域的划分与管理 (3) 划分VLAN控制内网安全 (4) 安装防火墙体系
(5) 建立VPN(虚拟专用网络)确保数据安全 (6) 安装防病毒服务器 (7) 加强企业对网络资源的管理 (8) 做好访问控制权限配置 (9) 做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1. 按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2. 按VPN的应用分类
1) Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2) Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3) Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3. 按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H )。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。 SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。 服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、 认证(Authentication): 验证用户是否可以获得访问权限;
2、 授权(Authorization) : 授权用户可以使用哪些服务;
3、 审计(Accounting) : 记录用户使用网络资源的情况。
4.3.2 认证(Authentication) 认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization) 授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting) 审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
2)应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言,这个方法既烦且杂(软件有千千百百种啊),所以大部分的防火墙都不会考虑以这种方法设计。XML 防火墙是一种新型态的应用层防火墙。
第五章 企业网络设备实施方案
5.1 企业物理安全规划
公司网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1) 保证机房环境安全
XXXXXXXXXX计算机专业毕业设计
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2) 选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。 3) 保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
5.2 设备选型
设备选型在一个网络工程之中尤为重要,既要保证其性能与稳定性,也要考虑实际预算是否合理,这是需要有很强的专业知识和工作经验才能很好地完成的。根据网络拓扑图,所需的设备为:
设备名称 设备品牌 设备数量 作用 2950交换机 Cisco 24 接入层交换机 2960交换机 Cisco 8 汇聚层交换机 7200交换机 Cisco 1 核心层交换机 ASA5500 Cisco 1 防火墙 IDS4235 Cisco 1 入侵检测系统 IBM服务器 IBM 5 内部服务器 打印机 HP 1 接入终端设备 复印机 HP 1 接入终端设备 传真机 HP 1 接入终端设备 扫描仪 HP 1 接入终端设备
XXXXXXXXXX计算机专业毕业设计
5.3 设备配置
5.3.1 交换机
接入层交换机基本就根据VLAN划分表讲接口划分VLAN即可。
配置命令如下:
switch(Config)interface Interface type (接口类型与ID)
switch(config-if)#switchport mode access (改为接入模式) switch(config-if)#switchport access vlan number (VLAN ID号) 等待接口指示灯变为绿色后即完成生成树运算。
汇聚交换机做了一些策略如BPDU 防护,根防护,与trunk等。 公司总部一共4台汇聚交换机,具体配置如下: SW1:
hostname sw1 命名为SW1 ! spanning-tree portfast default 全局下默认为快速接口 ! interface FastEthernet0/1 switchport mode trunk 开启trunk ! interface FastEthernet0/2 ! interface FastEthernet0/3 switchport access vlan 10 改变vlan id为10 switchport mode access 改为接入模式 spanning-tree portfast 改为快速接口 spanning-tree guard root 启动根防护 spanning-tree bpduguard enable 开启BPDU防护 ! interface FastEthernet0/4 switchport access vlan 20 switchport mode access spanning-tree portfast spanning-tree guard root
XXXXXXXXXX计算机专业毕业设计
spanning-tree bpduguard enable !
interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End 由于这几台汇聚设备命令差不多故重复命令不写备注。 SW2: hostname sw2 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 30 switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 40
XXXXXXXXXX计算机专业毕业设计
switchport mode access spanning-tree guard root spanning-tree bpduguard enable ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW3: hostname sw3 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport mode trunk ! interface FastEthernet0/2 switchport access vlan 50 switchport mode access spanning-tree portfast spanning-tree guard root spanning-tree bpduguard enable ! interface FastEthernet0/3 switchport access vlan 60 switchport mode access spanning-tree portfast
XXXXXXXXXX计算机专业毕业设计
spanning-tree guard root spanning-tree bpduguard enable ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End SW4: hostname sw4 ! ! spanning-tree portfast default ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport access vlan 100 switchport mode access ! interface FastEthernet0/3
XXXXXXXXXX计算机专业毕业设计
switchport access vlan 100 switchport mode access ! interface FastEthernet0/4 switchport access vlan 100 switchport mode access ! interface FastEthernet0/5 switchport access vlan 100 switchport mode access ! interface FastEthernet0/6 switchport access vlan 100 switchport mode access ! ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End
核心交换机:
该设备命令很多,由于没有代理DHCP命令,所以DHCP是在核心做的,还做了一些访问的限制,与telnet技术,console的认证配置,还有OSPF路由协议等,由于配置很多,故删除一些没有做配置
XXXXXXXXXX计算机专业毕业设计
的接口。
SWc: version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! ! ip domain-name cisco.com hostname SWc ! enable password cisco ! ! ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193 ! ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等 ! ! username beijiangong password 0 cisco 设置远程登录时用户名与密码 ! ! interface FastEthernet0/1 switchport access vlan 100 switchport mode access ! interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk ! interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk ! interface FastEthernet0/5 no switchport 启动3层接口
22
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率 ! interface FastEthernet0/6 switchport access vlan 99 ! ! interface Vlan1 no ip address shutdown ! interface Vlan10 ip address 192.168.3.193 255.255.255.224 ! interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20 ! interface Vlan30 ip address 192.168.0.1 255.255.255.0 ! interface Vlan40 ip address 192.168.1.1 255.255.255.0 ! interface Vlan50 ip address 192.168.2.1 255.255.255.0 ! interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101 ! interface Vlan99
23
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252 ! interface Vlan100 ip address 192.168.3.230 255.255.255.240 ! router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5 ! ip classless ! ! access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255 (扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段) access-list 101 permit ip any any 允许所有ip协议的任何源目访问 ! crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到 ! ! !
24
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH ! ! end 5.3.2 路由器与防火墙
R1: hostname r1 ! enable password cisco !! username beijiangong password 0 cisco ! interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto ! router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
25
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6 ! ip classless ! ! access-list 10 permit host 192.168.3.242 ! no cdp run ! line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local ! ! ! end Firewall: hostname ASA ! enable password cisco ! aaa new-model 开启AAA功能 ! aaa authentication login eza group radius 启动认证登录组名为eza分类为radius !
aaa authorization network ezo group radius启动授权组名为eza分类为radius ! username beijiangong password 0 cisco ! crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2 ! crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池 !
26
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型 ! crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由 ! crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap ! interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom ! interface Serial0/3/0 no ip address shutdown ! interface Vlan1 no ip address shutdown ! router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由 ! ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
27
XXXXXXXXXX计算机专业毕业设计
! ! access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242 ! no cdp run 关闭邻居发现协议 ! ! radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥 ! line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local ! End
5.3.3 服务器
AAA服务器配置:
28
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
29
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
30
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
31
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
32
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
33
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
34
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
35
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2 ,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
36
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。 如图6-3-1所示,一台PC需要console核心交换机
37
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
38
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.
如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
39
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
40
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
41
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
42
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
43
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
44
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。
公司网络营销方案范文第5篇
尊敬的公司各位领导:
现在我的在公司已经两个月了,在刚来到公司的时候,我对公司的发展前景和前途非常的看好,我觉得我终于找到以及适合的工作的地方了,我终于可以凭借我的能力在一加公司供职了。
不过现实总是那么无情,才两个月,我的一些想法和观点都发生了改变,我开始对我之前的想法产生了怀疑,直到现在我做出我的决定。
真的很遗憾,匆匆两个月尚未度过,居然要和各位说再见。
近两个月来,受到公司的礼遇及重用,主持公司市场策划部的日整理文章由编辑:常工作,从而使自己拥有了一次难能可贵的学习机会。策划人不是文员,其功能定位决定了他们必须在企业中成为核心决策的技术参谋。一个不能与企业主同声共气的策划人是不能完成他的职业使命的。
一直以来,鄙人均以“策划人”作为自己的职业追求,因此,我从不怀疑自己的专业精神以及对工作成果的高标准要求,工作中的一切障碍对我而言只能算是一次全新的磨砺。但是,策划人毕竟也有弱点的,过于感性的思维、追求完美的表现以及职业特征所需要的与公司最高决策者直接沟通的欲望……等等等等,这一切似乎都成了鄙人工作中不可逾越的鸿沟,始终游离于固有企业文化所构筑的壁垒之外,这些都是我始料未及的。工作热情就这样被一次次的熄灭,几经努力下成效甚微。整理文章:好范文
我始终认为,企业的运作是以构建适合发展的市场平台为基础,获取有效利润为最终目的,而策划人就是为企业主实现这一目标而努力着。
我要走了,我相信我在过去的表现虽然不错,但是远未达到公司缺我不可的情况,所以我的离去不会给公司带来多少的损失,公司的人才有很多,随便找出一个人就能够顶替我的空缺,所以我想领导也不会难为我。
我走了,但根据企业的长远发展战略规划以及现实经营状况,公司仍然需要其他的策划人,希望在我身上发生的事情不要再一次发生。给策划人多一些空间,甚至于对某些关键事务的决策权,是比薪酬待遇更能留住策划人的极佳方法。
但是我想我在公司才待了两个月就要走,真的是非常的遗憾,但是人各有志,我也不知道我是怎么想的,不过在公司我感觉我们有什么发展的前途,我只好离开。我对自己的举动也感到非常的无奈和自责!
最后,我想说的是,我从未低估过公司的发展前景,因此,让我在此衷心的祝愿公司的明天更美好!
望上级领导早日批准我的请求!
此致
敬礼申请人:xxx