小型企业网络安全解决方案范文
时间:2023-10-11 11:53:30
小型企业网络安全解决方案篇1
关键词:中小型企业网络,虚拟专用网,远程数据传输,安全性
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)27-6099-03
1 概述
在计算机网络飞速发展的今天,网络营销,电子商务等快速进入企业业务活动中,企业总部、企业地方分支机构、移动出差人员,充分利用Internet的公共资源及便利条件,通过VPN(Virtual Private Network,虚拟专用网)技术它们连接在一起,形成一个跨地域更大的网络,方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络,与企业总部网络进行数据信息安全传输与交流,不但给企业带来数字化时代,方便信息交流与企业的管理,而且也给企业带来不菲的经济效益,与此同时,也给企业网带来了安全隐患,数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏,技术力量薄弱这种情况,研究经济实用的远程数据信息安全性传输就显得非常重要。
2 中小型企业网络现状及需求
国有大中型企业是我国的经济支柱,中小企业是我国经济组成的重要组成部分,我国中小型企业众多,对计算机网络技术应用比较简单,没有很好的利用Internet的优势,实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公,数据处理,属于“单机版”类型,或者企业分支机构与总部就是简单通过电子邮件,或者qq进行企业数据信息传输,这样安全保密性太差。主要原因是:
1) 中小型企业资金比较贫乏,没有更多的资金来购买成熟网络安全产品,而且成熟的网络安全产品价格一般比较昂贵,主要面向大型企业。中小型企业分布广,业务灵活,经济实惠的远程数据安全传输解决方案甚少,而且技术复杂,维护较难,不能满足中小企业的需要。
2) 中小型企业技术力量薄弱,没有专业的网络技术人员,一般是企业年轻的懂点计算机的员工兼职网络管理,与专业网络管理员还有一定的差距。
3) 中小型企业网络基本属于一个“信息孤岛”,与外界进行数据通信不能做到安全可靠传输,不能确保数据信息不泄露、不丢失、不被篡改等,影响企业的快速发展。
3) 中小型企业领导重视网络建设还不够,网络建设相对比较简单,根据中小型企业目前对网络的需要及依赖,进行简单网络建设,没有长远的网络建设规划,致使企业在壮大的过程中,网络建设不能快步跟上,往往被忽视。中小企业网络由于资金贫乏,技术力量不足等原因,在建设的初期就还可能留下许多漏洞与不足,这样更容易被黑客攻击。
4) 中小型企业用户不能进行远程数据信息的安全可靠传输,企业员工,或者领导外地出差,或者分支机构的网络,就不能访问企业网络,不能远程进行办公,远程快速的进行事务处理。
5) 中小型企业与合作伙伴之间没有利用互联网的优势,在它们之间没有建立一个企业扩展网络,导致数据信息的安全交流和企业的密切合作收到影响。
在复杂的网络环境下,解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了,还需考虑方案的经济实用,维护简单容易。对于中小企业网络中传输的重要数据信息,如财务报表等,必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改,没有被破坏,没有被丢失等;可用性是数据信息可被授权实体访问,并按需求使用的特性,即指定用户访问指定数据资源;机密性是保证数据信息网络传输保密性和数据存储的保密性,数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源,其他人限制对数据信息的读写等操作。
3 经济实用安全方案
从中小型企业网络现状及需求,利用VPN技术跨越Internet组建中小企业扩展网络,保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验,研究出经济实用,安全可靠,配置和维护比较容易的中小型企业网络安全性解决方案,如图1所示。VPN服务器也称为VPN网关,可以使用高性能的计算机来担当,并且安装两块网络适配器,一块网络适配器用于连接中小型企业内部网络,分配内网IP地址,另一块网络适配器连接外部网络,分配外网IP地址。VPN服务器是内网和外网连接的必经之路,服务于内外两个网络,也是内网的安全屏障,相当于中小型企业的防火墙,它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统,充分利用公共网络Internet的资源,通过VPN技术,实现中小企业远程数据信息传输的安全性、完整性,可用性和保密性。
3.1 IPSec VPN保证数据信息远程安全传输
1) VPN技术
VPN又称虚拟专用网,是在公共网络中建立专用网络,数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输,即充分利用公共网络如Internet的资源,达到公网“私用”的效果。中小企业只需接入Internet,就可以实现全国各地分支机构,甚至全世界各地的分支机构,都可以随时随地的访问企业网络,实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处,是企业网络发展的趋势。
2) IPSec协议
IPSec是一个开放的应用范围广泛的网络层VPN协议标准,是一套安全系统,包括安全协议选择、安全算法、确定服务所使用的密钥等服务,在网络层为IP协议提供安全的保障,即IPSec可有效保护IP数据报的安全,如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证,保证经过网络传输过程中数据信息完整性检查,加密IP地址及数据信息保证其私有性和安全性。
3) 基于IPSec的VPN技术
基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁,实现在不信任公共网络中,通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层,基于TCP/IP的所有应用都要通过IP层,将数据封装成一个IP数据包后再进行传输,所有要实现对上层网络应用软件的全透明控制,即同时对上层多种应用提供安全网络服务,只需要在网络层上采用VPN技术,基于IPSec的VPN技术提供了5种安全机制,即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术,通过基于IPSec的VPN技术,来保证传输数据的安全性、可用性、完整性和保密性[1]。
(1)隧道技术,隧道也可称为通道,是在公用网中建立一条虚拟加密通道,让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议,第二层隧道协议先把各种网络协议封装到PPP中,再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输,第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP(Encapsulated Security Payload)和AH(Authentication Header)子协议保护IP数据包和IP数据首部不被第三方侵入,在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户,通过IPSec安全策略的配置实现对网络安全通信的保护意图,其安全策略包括什么时候什么地方对AH和ESP保护,保护什么样的通信数据,什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。
(2)加密解密技术,是为了保障虚拟“安全隧道”的安全可靠性,提供了非常成熟的加密算法和解密算法,如3DES、DES、AES等,抵抗不法分子修改或截取数据信息的能力,同时保证必须使偷听者不能破解或解密拦截到的的数据信息,但是授权用户可以通过解密技术,完整的访问数据资源。
(3)身份认证技术是通过对企业分支用户或远程用户进行身份进行验证,提供安全防护措施与访问控制,包括对VPN“安全隧道”访问控制的功能,有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证,严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息,包括用户名及密码,并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。
(4)密钥交换技术,为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器,现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发,实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接,还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书;如果不安装证书,则需要配置预共享的IPSec密钥。
(5)防重演保护。具备防止数据重演的功能,而且保证通道不能被重演。确保每个IP包的合法性和惟一性,保证信息万一被截取复制后,或者攻击者截取破译信息后,再用相同的信息包获取非法访问权,确保数据信息不会被重新利用、重新传回目标网络,
3.2其他辅助安全措施
对VPN服务器,还可以启动软件防火墙功能,如安全访问策略、日志监控等功能,还可以安装杀毒软件,为内网提供安全屏障,再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则,分析IP数据报、TCP报文段、UDP报文段等,决定数据包是被阻止,还是继续转发,从网络层和传输层上再次给予安全控制,提供了多层次安全保障体系。还可以增加应用层的过滤规则配置,再次提升VPN服务器安全性。
4 实践应用分析
通过实践应用,跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障,该方案充分利用VPN的“公网专用”的特点,允许中小型企业拥有一个世界范围的专用网络,在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性;通过辅助的防火墙功能,进一步增加其安全。该方案使用高性能的PC充当VPN服务器,并配以Windows Server 2003操作系统,无需额外的复杂硬件设备与高昂的系统软件,成本低、经济实用、容易实现、维护简单,是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外,还是一个中小企业的防火墙,安全配置、安全策略容易实现,一旦出现较大安全威胁,便于快速隔离网络。
当然此方案也存在一些缺陷,主要是有依赖操作系统的安全性,操作系统本身的漏洞可能会造成安全隐患;VPN服务器是集多种服务于一体,需要较高高性能的计算机;VPN服务器故障会导致网络连接失效;由软件实现数据加密与解密、包过滤等,一定程度会占用系统资源,也会使通信效率略有降低;同时重注企业内部员工的安全培训,有效地抑制社会学的攻击,对来自企业内部员工的攻击显得无能为力。
5 结束语
跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单,为中小企业打造一个世界范围的网络提供了较有力的技术支持,使得中小企业网络也融入到互联网这个“大家庭”中,不仅提高了中小型企业的工作效率,而且增强了其竞争力,将推动中小型企业电子商务,电子贸易,网络营销走向繁荣,加快了中小企业网络信息化和经济快速发展的步伐。
参考文献:
[1] 郝春雷, 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代,2007,(21):45.
[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地,2007,(7):46-47.
[3] 李春泉,周德俭,吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报,2004,3:365-368.
[4] 韩儒博,邬钧霆,徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息,2005,14:1-3.
[5] 刘凯燕,武俊琢. VPN技术及其在现代企业网中的应用[J].电脑与电信,2007,03:63-65.
小型企业网络安全解决方案篇2
我们本次评测的重点有两个,第一卡巴斯基开放空间安全解决方案加强版在企业网络中的部署能力,以及对安全部署后的管理能力。第二是实际的病毒攻击和挂马测试等,该测试将在服务器和工作站端同时进行,以检测这款产品的远程保护和远程清除能力。
卡巴斯基开放空间安全解决方案是一款集多个产品线组成的安全解决方案,能够为工作站,服务器、网关等网络终端提供安全保障,甚至其安全保障还延伸到了手机安全策略,不过我们本次测试由于环境局限,并没有对手机部分进行测试。
针对本次卡巴斯基开放空间安全解决方案加强版的测试。我们特别搭建了测试环境和测试平台,参与测试的有5台工作站和1台服务器。并且搭建了千兆的网络环境和Intel AGN标准无线网络环境,将测试平台部署成网络,连接外部互联网的是1条10MB ADSL。再添加多个工作站即可成为一个中小型企业的网络部署结构,所以本次测试同样适用于中小型企业。
管理工具在服务器端的安装
部署卡巴斯基开放空间安全解决方案加强版首先需要在服务器端安装卡巴斯基管理工具8.0软件,管理者可通过该软件对网络内的任何工作站进行安全管理。这是卡巴斯基开放空间安全解决方案加强版的核心部件之一。
制作卡巴斯基一键安装包是部署的核心工作,管理者在该处即可完成网络设定,规划好工作站网络结构。通过制作多功能多分类的卡巴斯基一键安装包分发到制定工作站,完成复杂网络的部署。
工作站的部署与安装
卡巴斯基开放空间安全解决方案应对于中小型企业的部署有三种方式:
一、通过网站方式或文件共享方式进行部署安装:
二、通过管理端的网络推送方式进行部署安装;
三、通过拷贝文件的方式进行分发的本地安装来完成部署;
总的来看,以第一种方式来进行部署安装是最为方便的。第二种方式部署管理性强,比较适用于异地安装;第三种方式最为常见,但不适用于大批量工作站的部署;三种方式各有优劣。
卡巴斯基开放空间安全解决方案加强版提供的三种解决方案可以完成从中小型企业到大型企业的部署工作,甚至会议安全部署与赛事部署都可以轻松解决。还有一种面向域的不是方式,这种方式更适合有独立域的企业完成部署,其复杂程度要高过以上介绍的三种方式,故我们在本文中就不在进行介绍。
卡巴斯基管理工具应用
既然要管理多台工作站,那么对于管理者而言就要制定安全管理策略,卡巴斯基管理工具8.0内置了标准的管理策略,并且管理者还能够具备自定义安全管理策略。部属和组任务,完成对加入管理组的工作站的管理。
保护Windows工作站中可以查看到部署的计算机饼状分布图,能够显示准备执行计算机,正在执行计算机、执行成功的计算机和执行失败的计算机并能够查看执行详细。管理者可编辑策略包含主动防御,反黑客,文件反病毒等策略。编辑完成后激活执行即可,管理者只需要执行策略的反馈。
组任务操作包含扫描工作站和服务器病毒,更新工作站和服务器病毒四项系统内置的任务。扫描属性上可设定扫描计划时间、扫描对象,通知、扫描到病毒后的执行状况。更新部分可为部署好的工作站更新病毒库,应用程序等。
客户端计算机中可查看到当前连接到管理服务器的状态,包含连接时间和安装状态等。
要统计庞大的工作站终端,就需要设计合理的统计报表。卡巴斯基管理工具的报告和通知标签中能够实时的显示网络运营的各项状态。包含保护状体、保护范围报告、反病毒库版本报告、外部程序报告、病毒报告、授权报告等等。管理者每次计划扫描的结果都会汇总在此,对我们用处较大的是病毒报告,大部分受感染计算机报告和回执的错误报告。
报告和通知的功能我们在此不在列举,这款软件的设计能够使繁琐的网络管理变得简单易操控。
卡巴斯基管理工具还具备数据备份、发送报告,管理工具下载更新任务工具,这些工具能够良好的维护自身的更新与运转。卡巴斯基管理工具能够对指定的单独计算机进行任务操作。
从上文的介绍来看,卡巴斯基开放安全解决方案加强版拥有方便快速有效的部署到简单易用的集中管理的特色,这对于企业应用而言非常有实用的特点。以开放部署应对网络的开放性,以集中管理闭合网络的开放性,是这款产品的最“深刻”的地方。
常规病毒样本扫描测试
常规病毒样本扫描是杀毒软件的基础,能否很好的进行快速判定和有效清除,是考核杀毒软件核心杀毒能力和技术引擎判定标准之一。我们实际测试了卡巴斯基反病毒window工作站6.0加强版在工作站软件的查杀能力,选用了一款含有141个常规病毒的数据样本包。卡巴斯基反病毒Window工作站6.0加强版能够非常好的识别出病毒,并询问对病毒文件的处理。
经过测试卡巴斯基反病毒Window工作站6.0加强版达到了99%的查杀率,常规病毒样本扫描测试效果非常好。
特征码扫描测试是检测杀毒软件扫描引擎的关键测试,它区别于常规病毒样本扫描那样有针对性,而是通过识别病毒特征进行扫描查杀,这项测试的测试结果直接影响一款产品的好坏。我们使用了100个特征码病毒的样本包进行测试,测试过程,卡巴斯基反病毒Window工作站6.0加强版能够快速的识别并进行相关询问操作。
防挂马能力测试,是检测一款杀毒软件对网页木马能否识别并拦截的测试。这对于能够访问互联网的工作站是非常有必要部属的,能够抵御来自互联网病毒的侵害。本项测试我们通过访问携带木马的网页来进行测试,访问的多个“挂马”网页卡巴斯基反病毒Window工作站6.0加强版都能都很好的进项拦截。
卡巴斯基反病毒Window工作站6.0加强版在本次测试中表现很好,识别率为100%,本次测试值得称道。
卡巴斯基反病毒Window工作站6.0加强版设计有主动防御功能,顾名思义即对计算机正在运行的应用程序进行主动的分析,以达到实时发现和查杀病毒的作用。同时还能够保护注册表不被恶意的篡改等等。
评测总结
小型企业网络安全解决方案篇3
网络不仅是一种高深的科技,而且成为人们必不可少的工具。企业上网大大提高了企业运作效益,降低了企业成本。应该看到,企业在经营发展过程中,除了内部的运转管理外,还有大量的外部业务活动,包括与合作伙伴,上、下游企业,客户甚至竞争对手的各式各样的业务往来。过去这些业务活动多半是通过电话、传真、信件等传统通信方式辅助进行,而在因特网出现后的今天,这些业务活动几乎无一例外地正在转移到因特网上,并且这种转变的速度和程度都是非常惊人的。也就是说,过去传统意义上的企业内外部经营活动包括业务信息沟通,订货订单处理,库存物流管理,客户服务,批发或零售等等已经全部可以在因特网上实现了。所有这些应用都可以称之为企业上网,又被业界称为电子商务应用,它被认为是21世纪企业的必由之路。
二、行业分析
(一)企业上网的紧迫性
对于中国的企业来说,企业网的来临可谓恰逢其时。随着中国向混合市场经济的加速发展,中国各行各业的公司企业都在积极准备迎接国内外市场中日益激烈的竞争形势。这些公司深知:如果想在这个白热化的市场竞争中获得成功,就必须最大限度地提高企业生产力和降低生产成本。因此,各大企业都迫切需要建立自己的信息技术基础设施,以便将分散在各地的业务部门联系在一起并加快整个企业内部的信息交流和服务速度,从而加强自己在市场中的竞争优势。
(二)、企业上网的需求
企业网络信息系统建设应该以用户的需求为着眼点。目前,随着网络技术的飞速发展和应用水平的逐步提高,企业用户的需求,主要体现为:
(1)先进性,要求网络采用先进的技术,以保证整个企业网络系统在技术上的先进性;
(2)稳定性与可靠性,要求网络高度稳定、可靠,这是网络建设成功的关键,而高度稳定、可靠的网络系统有利于维护和管理,可减少网络系统的拥有成本;
(3)高性能,要求网络系统具有高性能,以满足计算机网络系统运行大量关键业务(如项目设计、项目管理、CAD、OA、MIS、ERP及多媒体应用等)的需要;
(4)vlan划分的灵活性,因为网络系统站点数和运行的应用都在增多,所以要求网络平台具有灵活的虚网(VLAN)划分能力;
(5)由于网络系统可能要传输多媒体信息,因此要求网络平台具有良好的服务质量和较小的延迟;
(6)要求网络平台具有良好的易管理性,减少运行、维护及管理成本;
(7)要求选择具有良好发展前景的网络厂商的产品,这样才能保证平台具有良好的售后服务、投资保护,更为关键的是能够保证网络系统持久的先进性。
三、企业网络主干技术选择:
企业局域网络技术的选择主要是主干技术的选择,现今适合作局域网络主干技术的主要有千兆以太网及ATM两种。
千兆以太网是网络界公认的技术发展方向之一,它是对成功的10M和100MIEEE802.3以太网标准的扩展,仍然沿用以太网IEEE802.3帧格式,全双工操作和流控制方法。在半双工模式下,千兆以太网使用同样的CSMA/CD访问方法来解决媒体的通信竞争问题,并使用由IEEE802.3小组定义的同样的管理对象。概括起来,千兆以太网的优点在于:网络技术可靠,易于管理,具有可伸缩性,且它相对于ATM的价格水平要低得多;缺点为部分标准不统一。
ATM规定各种类型的服务(声音、图像、数据)信息都由大小固定的53字节的信元进行传输。ATM优点为:支持线路交换和分组交换;对广域网和局域网采用相同的技术;在普通线路上同时传输视频、语音和数据;对多种业务可保证服务质量,按需分配带宽。缺点为:管理和维护复杂;基于ATM的应用较少;ATM产品相对于以太网产品价格昂贵;部分标准不统一。
千兆以太网能与桌面的以太网和快速以太网无缝衔接,因为他们采用的协议是相同的。ATM网络与以太网共存时,需在帧和信元之间进行转换。在企业园区网,90%的应用都是基于以太网或快速以太网的,千兆以太网以其从以太网及快速以太网升级方便、易管理和低廉的价格使ATM举步维艰,ATM的传统优势如传输多媒体和传输的距离长也日渐逊色。千兆以太网支持资源预留协议(RSVP)、IEEE802.3、IEEE802.1Q、Irecedence、独立组播路由协议(PIM)、国际互联网成组管理协议(IGMP)等,这就使得千兆以太网传输多媒体成为可能,已有厂家的千兆以太网产品传输距离超过100公里。因此建议,企业园区网在主要传输数据的情况下,应选择千兆以太网作主干技术。
四、企业网络构架的基本方案
企业网中大部分是中小企业,中小型企业最大的特点是小规模与高效率的结合。他们往往不拥有完备的信息技术部门,但是网络应用对他们同样关键。因此,中小企业需要量身定做的解决方案。面对这一情况,上海广电应确信公司针对不同规模企业,推出了一系列解决方案,以帮助中小企业提升其竞争力。
4.1基本网络方案简述
根据企业网站可提供的内容和它的实际应用情况,企业上网可分为两部分,一部分是实现各企业部门内部办公功能的内部网,即Intranet。另一部分是各企业部门网站在Internet上信息与交流的外部网。
一旦企业建立了Intranet,就可用它来信息、增强企业的通信能力、建立合作的环境。有些应用很简单,只是用HTML语言建立内部的环球网服务器信息;有些应用较复杂,需要连接数据库。下面列出一些Intranet的应用: 销售报告、财务报告、客户信息、季度统计、厂商信息、产品信息、市场信息小册子、产品开发信息、物资和元部件目录、仓库信息、网络管理、资产管理、新闻组、电子邮件、培训。
4.2具体方案实施:
按照网络的规模可具体划分为以下几个方案:
(1)小型企业信息系统方案:通常指在20-30个工作站以内的小型办公室(办公环境较集中)网络环境的方案。
(2)中型企业信息系统方案:即指在30个工作站以上的中型办公园区(办公环境较分散,距离教远)网络环境的方案。
(3)大型企业信息系统方案:即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境的方案。
4.2.1小型企业信息系统方案
小企业办公室网络,相对于大、中型企业网络,可以说是麻雀虽小,五脏俱全,同样有着文件共享、打印共享、电子邮件、财务管理、库房管理、Web等大型网络所具有的需求。
由于小型企业网络站点数较少,而且联网的站点较集中(例如,在一幢楼内)。因此,结构化布线时就可以只采用双绞线就足够了,每个站点(计算机)与集线器或交换机之间的距离不能超过100米。
方案说明
网络配置:中心选用InfiniteSwitch5024机架型快速以太网交换机(24口10/100M自适应以太网交换机),采用10/100M自适应端口连接服务器及工作站。针对小型企业用户我们推出桌面型硬件安全设备I1102,嵌入式的硬件安全架构,使其性价比很高。简单配置的防火墙安全规则,方便客户应用。同时可以作为DHCP服务器,具有本地路由器功能,支持以太网方式/CABLEMODEM/ADSL等方式接入INTERNET,方便的实现共享上网。
方案特点:
(1) 性价比高;在方案中,没有使用很多高端的设备,但已经完全可以满足小型企业网络的需求。
(2)功能齐全;提供了文件共享、打印共享、电子邮件、电子公告、库房管理、远程办公、工资管理、财务分析、采购管理、资金管理、库存管理、销售管理等较齐全的功能,很适合于小型企业网络环境。
(3)安全性高;采用InfiniteSwitch5024智能以太网交换机交换机,可以将单一的局域网划分为多个相对独立、互不干扰的VLAN(虚拟子网),可以方便地控制不同部门对某些资源的访问权限,并能够缩小广播域,减少不必要的带宽占用,有效提高网络的安全性和性能。I1102通过IP过滤提供防火墙功能。可以对IP地址、端口号、协议种类等进行设置并加以控制。
5.2.2中型企业信息系统方案
由于中型企业办公环境较分散,距离教远,对网络的性能要求较高(数据交换的安全性,设备运行的可靠性,网络管理的全面性),对网络的速度亦有提高。同时,每个网段最长只能100米的有效距离的双绞线传输介质已经不能满足中型企业网络的使用需求,有时必须使用多模光纤或单模光纤做为布线时所采用的传输线缆,使得有效传输距离能够延伸至2公里(多模光纤)或更远(单模光纤)。
方案说明
中心选用InfiniteSwitch5000系列交换机,根据用户数量及功能要求选用IS5048/5024/5024s .为了保护企业内部网络的安全,在接入Internet时采用上海广电应确信的防火墙I91XX,可以防止来自外部的非法的、恶意的攻击。
由于中型企业办公环境较分散,距离教远,则在中心交换机上配置100Base-FX或1000Base-LX/SX光纤模块.企业内部采用SVAI91XX通过DDN、FrameRlay、X.25等广域网专线接入Internet,提供安全、快捷、简便的企业外部网站方案。I91XX适用于中小型企业用户,利用CheckPoint软件及其OEC合作伙伴构成顶级配置,为用户提供一个完整的网络安全解决方案。
应用二:
方案说明
对于一个中型企业,如果公司内部有较多的部门,位置比较分散,而且相互之间要独立的工作,对于用户的访问权限可以限制(如要求划分vlan),所有的部门通过公司的网络中心的一台三层交换机来接入internet,采用SVAHammerHead9300/9500/9800来对进行对网络的安全进行保护。对于一些移动用户可以采用无线接入设备(2020/1011/1001)来连入企业内部网及上INTERNET.
在公司的各个部门中采用的交换机均支持vlan的划分,根据每个部门的规划及距离网络中心的远近采用100MUTP或者100/1000M光纤接入。随着员工数的增多,可以利用5024S/5024S 堆叠来扩展网络,5024S/5024S 最多分别可堆叠至4台/16台,因此网络有很好的扩展性及可管理性。
接入internet可以采用多种方式,通过TN/ISDN/DDN线路等多种方式,用户可能根据需要来实现企业网接入公用网。
中型企业方案特点:
(1)较充分发挥了Internet/Intranet应用的特性
除了传统的文件共享、打印共享等功能外,电子邮件、Web、电子公告、库房管理、远程办公等功能都是基于Internet/Intranet应用实现的。使得整个网络系统充分发挥了Internet/Intranet应用的跨平台、与硬件无关、标准统一等特点,使得中小型企业可以与外界透明地通讯。
(2)维护小、投入少
中型企业网络系统使用了较少的高端产品,投入少而功能齐。由于使用了Internet/Intranet结构构造中小办公室网络系统,使得网络结构更加Client/Server化,作为网络的管理维护,只需对Server端进行维护工作,对Client的维护工作大大减少,所以总体上也就大大减少了维护工作量,并节省了投资。
(4)提高工作效率、节省开支。
在此方案中,提供了电子邮件、电子公告、Web等实用、快捷的功能,大大提高了企业的办公效率。同时提供了网络内用户对Internet的透明访问,使企业内部可以充分利用Internet这个巨大的信息资源,更加提高了企业的办公效率和资源利用。
5.2.3大型企业信息系统方案
大型企业办公环境即指在超过几百个工作站以上的大型办公园区并有外地分支机构网络环境。对网络的性能要求很高,同时对网络的速 度亦有很高的要求。大型企业网支持各种网络功能,能够通过广域网接口实现Internet接入,建立企业主页,为园区用户提供E-mail电子邮件、WWW、FTP服务,同时支持网络管理和电子信息的存储、访问管理。推荐采用局域网专线接入方式,此方式需要配备接入路由器,防火墙等网络设备,租用电信部门的专线并向CERNET管理部门申请IP地址及注册域名。接入路由器可以通过DDN专线、FrameRelay等与Internet相连。还可以按照需要组合配置多种WAN广域网端口模块,提供宽带、QoS保证的远程多媒体服务。为了保证企业网的安全,方案中提供SVAHammerHead9000安全平台,SVAHammerHead9000系列是业界唯一模块化网络安全平台和应用系统,在单一的设备上集成了路由、防火墙、入侵检测、V、LAN连接和其他安全应用,为用户提供可扩容及可靠的网络安全整体解决方案。
在布线上,除了采用多模或单模光纤之外,甚至还需要从电信部门租用DDN、帧中继、X.25、ISDN等专线,或者利用无线微波方式进行远距离连接。
方案说明
在网络中心选择上海广电应确信的InfiniteSwitch7508三层交换机和5024交换机。在各分部门或者分公司根据信息点数选择InfiniteSwitch4000/5000系列交换机。
在网络中心的核心层配置的InfiniteSwitch7508G第三层交换机,可完成高带宽、大容量网络层路由交换功能交换,是一种功能强大的企业网主干交换机,使网络管理者能方便的监督和管理网络,同时,又能将主干网带宽提升到千兆速度,InfiniteSwitch7000/7500系列是可网管的,高端口密度,配置灵活的高性能路由交换机。提供7个扩展插槽,22G交换背板上。网络管理员能够随时通过任意一个端口配置以上功能,以消除传统路由器的瓶颈,设置优先级给不同类型的网络传输及保证某些应用的流量带宽,如视频传输。
InfiniteSwitch7508G提供了广泛的管理选择,包括HPOpenView和其他的MP管理系统,或者InfiniteSwitch7508G自己提供的网络管理系统。InfiniteSwitch7508G提供到与InfiniteSwitch4000/5000系列以太网交换机、防火墙和服务器群(其中包括主域服务器、备份域服务器、文件服务器、数据库服务器、应用服务器、WWW服务器等)、网管终端的高速连接,重要的服务器及主干链路均可采用千兆模块进行生成树(aingTree)冗余链路连接。
接入层交换机,在本方案设计中,为了保证网络的高性能,可采用InfiniteSwitch 4000/5000系列智能以太网交换机,根据具体实际需求,接入层交换机可选用InfiniteSwitch4024/4032/5024/5024s/5048交换机。
在方案中的防火墙,选用SVAHammerHead9300.HammerHead9300是3插槽机箱式的安全平台,用户可以根据需求选择服务器、交换机、路由器等模块。SVAHammerHead9000的多种应用模块能支持Linux,HP/UX,DUNIX,WindowT和Suolaris等系统,它能为用户提供防火墙保护、入侵侦测、身份认证、安全报告、内容安全、高可靠性。SVAHammerHead9000的有多种网络模块,它可支持多种的LAN/WAN互连,包括:Frame、ISDN、ATM、以太网。实现完整的一体化的网络安全解决方案。
方案特点:
1、高性能;网络中采用了第三层交换机,第三层交换不仅拥有高速的交换功能,同时也具有全部的第三层控制功能,可以对流量基于IP地址、IP的协议类型、以及TCP/UDP的端口进行交换控制,从而在提高网络处理效率的同时,保障了VLAN之间通讯的安全性。
2、可扩展性;网络设计具有层次结构,用户能灵活地接入到相应的层次当中。可扩展的网络接口。
3、灵活性;适当的建立VLAN,方便地理位置不同的用户的网络连接.
4、安全性;VLAN的建立,可以控制广播和应用的信息流动,从而防止用户非法在网络上截获其它用户或它们的资源。HammerHead9000网络安全产品保护企业内部资源,防止外部入侵,控制和监督外部用户对企业内部网的访问;控制、监督和管理企业内部对外部Internet的访问。
5、层次化、模块化;本网络设计的特点为层次化、模块化设计。
6、优良的性价比
六、总结
互联网络是信息时代的一次新的革命,变革中的国内企业该如何把握这一次机会,它将为企业间加强商业联系,改造传统商务模式,建立网络伙伴关系,进而深化Internet应用,开展网上营销奠定基础。
小型企业网络安全解决方案篇4
上海贝尔阿尔卡特:融合创造价值
上海贝尔阿尔卡特以“融合创造价值”为主题,在本届展会上从融合的业务、融合的网络和融合的能力三大方面展示了其领先的端到端解决方案及产品。
“融合的业务”在个人业务区,展现了为个人及家庭用户提供无缝业务体验的业务融合,包括为家庭用户提供的IPTV与IMS融合业务,以及基于IMS为个人用户提供更多移动性体验的音视频业务。在企业解决方案区,展示了帮助企业用户整合现有的通信方式,实现在任何地理位置、通过任何手段保持公司内部或与客户联络的一系列解决方案。“融合的网络”部分,重点展示了“Acuity 框架”、“家庭及企业网络”、“宽带接入”、“城域承载”等内容。 “融合的能力”展示了上海贝尔阿尔卡特的“专业服务能力”、“ 集成能力”、“运维能力”和“创新能力”。这些展示解答了运营商在转型时期需要考虑的诸多问题。(王臻)
北电:超级连接精彩世界
北电以“你的超级连接世界因北电而化繁为简”为主题,携全系列技术方案出击本次展会,凸显北电“科技化繁为简”的价值理念和技术服务社会的一贯宗旨。北电展示的新一代高效办公环境通过WiMAX 16e为人们的生活带来便利; 在业界颇具口碑的最先进的40G光传输设备将在运营商及大型企业的远程大容量传输中大显身手; 基于微软软件应用和北电基础设施构造的ICA统一沟通解决方案包括最新推出的Office Communications Server (OCS) 2007和Office Communicator 2007;新型城域以太网技术PBT保持了以太网的经济性和简洁性,同时具备电信运营商对安全性、可管性、端到端QoS以及灾难恢复能力的要求;公共服务展示区通过802.16e、Mesh等技术的应用实现移动医疗、城市安全监控服务。合作区向观众介绍了北电与微软、IBM 以及LG的几大战略联盟,致力于为各类企业用户提供统一通信解决方案,现场还搭建了一个“缩微版”的企业网络,使观众能够身临其境体验统一通信,了解新一代办公环境是怎样提高工作效率的。(智)
爱立信:突出两个“中国第一”
爱立信携一系列领先技术、产品和解决方案精彩亮相,重点展示了其在移动宽带、固定宽带、多媒体业务以及GSM网络现代化和全IP演进等方面的领先技术,其中最突出的亮点是两个“中国第一”,即首次在中国公开进行的LTE增强上行链路现场演示,以及首次在中国公开进行的基于商用系统和终端的第二阶段HSDPA和HSUPA 现场演示,其速率分别可达到14.4Mbps和1.9Mbps。此外,爱立信的TD-SCDMA端到端解决方案及产品,以及在多媒体业务上的发展,尤其是融合视频技术也成为人们关注的重点。(雍)
神州数码网络:电信展上秀能力
随着数据通信与电信业务日益融合,越来越多的用户希望通过手机、移动电脑、PDA以及其他终端登录互联网。与此对应的是,电信运营商对于数据通信的需求越来越强烈,也更加多元化。神州数码网络此次携无线数据网络产品和固网数据网络产品参展,带来了几个应用层面的产品: 家庭数据应用中心重点展出了一款家庭网关产品,整合了宽带技术、Wi-Fi无线技术、数字电视、VoIP等,将成为数字化家庭的数据接入核心;一系列通过“IPv6 Ready”金牌认证的电信级路由交换机是神码网络的拳头产品; 全系列的无线上网卡囊括CDMA 1X、GPRS、EDGE等最新实用技术。神州数码网络副总经理、电信事业部总经理黄坚先生表示,过去神州数码网络在电信市场主要关注在无线上网技术上,今年公司在战略上做出了一些调整,将紧密围绕电信运营商的数据通信需求、从无线和固网两个方向展开工作。(智)
诺基亚西门子:移动信息娱乐喜迎第四季度
诺基亚西门子通信公司率领全线产品亮相2007中国国际通信设备技术展,这是自2007年4月该公司正式合并以来首次在中国展示其全线产品。诺基亚西门子通信公司的展示有很多亮点,其中“信息娱乐”区让客户可以体验到移动电视及IPTV是如何融合汇集到家庭环境下的;小型高效的Flexi基站产品能有效提升电信效率; 面向扁平化LTE的HSPA解决方案、端到端的WiMAX解决方案让无线宽带网络连接更加多种多样。此外,还展出了推动业务创新和融合转型的 IMS业务、融合计费方案和 “音乐有你”移动下载解决方案,并介绍了 “Solutioneers”团队,先进的咨询工具Fit4Biz可提供适合当前动态电信环境解决方案的相关问题咨询服务。
此次展会适逢诺基亚西门子通信公司第三季度业绩报告刚刚公布,诺基亚西门子通信公司大中国区在第三季度实现了 3.72 亿欧元的销售额,比第二季度增长了26%。据悉,诺基亚西门子通信公司在大中国区目前有大约 5500 名员工,还将大力扩充研发力量。诺基亚西门子通信公司大中国区董事长何庆源表示,公司将加强作为大中国区3G 市场领导者和 GSM 网络领先供应商的地位。(智)
华为:“移动、全IP、融合”合家欢
华为以“移动、全IP、融合”为主题,全面展示了新一代移动网络、IP网络、核心网、电信增值业务、3G终端等领域的最新产品与端到端解决方案,为与会者带来全IP时代的精彩体验。支持包括UMTS、GSM、CDMA、WiMAX在内的全IP BSC(Base Station Controller/基站控制器)平台;UMTS AP (femto)、SRRU(Super Remote Radio Unit/超级无线远端模块)等新近推出的移动产品;VoIP在不同移动制式之间的互通业务;基于“Multi-Screen Experience(多屏体验)”理念的“ALL IP Broadband Architecture(ALL IP宽带架构)”产品及解决方案;全IP融合的核心网整体解决方案……各种各样的产品和解决方案令人眼花缭乱。终端展示区聚集了华为TD-SCDMA手机、WCDMA手机、CDMA手机、3G数据卡和一系列为运营商定制的终端产品。
此外,华为的全系列安全与存储产品也在本次展会上首次集体亮相。其中安全产品包括Secospace Suite安全管理软件、硬件防火墙/VPN、网络入侵检测系统、业务监控网关、流量清洗设备等十余种网络安全设备; 存储领域覆盖了DAS、NAS、IP san以及FC SAN等全系列新品;还重点展示了面向电子政务、金融、电力、税务等行业用户、中小企业用户的安全解决方案,以及视频监控、数据中心、终端安全、综合审计、异地容灾等基础架构解决方案。(智)
东方集成:展示设备租凭方案
小型企业网络安全解决方案篇5
思科大中华区董事长兼首席执行官陈仕炜表示:“在中国的‘十二五’发展规划中,信息通信业被列为主要支柱产业之一。作为全球领先的网络解决方案提供商,思科将通过云计算等领先技术的创新,致力于帮助推动产业转型,促进社会和经济的可持续发展。思科也将与众多业界合作伙伴通力协作,把握中国市场的产业契机并实现共赢。”
近来,思科在其一系列重点关注领域都取得了稳定快速的发展,从核心网络到相应服务,从协作应用到高端视频,从数据中心、虚拟化到云计算架构解决方案,思科都凭借行业领先的竞争优势帮助客户和合作伙伴实现多方共赢。
核心网络推动行业不断演进
当今网络平台在网络基础架构、安全性、应用智能、网络服务品质(QoS)等方面都在经历一系列的演进过程。思科将进一步发挥在核心网络的领先优势,保持多元化创新和高速发展,帮助用户通过网络平台获得更多发展机遇并激发出更大的业务潜能。
先进云架构助推产业进一步提升
思科一直致力于成为云计算和云服务方面的引领者与核心驱动者之一。思科的云战略建立于具有领先性能、智能和灵活性的网络核心基础设施之上,并针对云业务和服务的部署,提供包含数据中心、虚拟化等技术与产品的完备解决方案,同时也开发和推广协作、视频等丰富多样的应用。针对产业发展最新趋势,思科推出了云享架构(Cisco CloudVerse),该架构包含了企业构建、管理和连接公有云、私有云与混合云所需的一切基础要素。思科期望通过该架构提供业界领先的云服务与应用,同时也致力于通过构建全新的云生态系统,不断推动中国本土化云产业的蓬勃发展,并通过思科在上海成功建立的云体验中心,帮助客户和合作伙伴在其云产业进程中获得更大成功。
云、网、端一体化成就“云视频”体验
思科致力于为运营商提供最全面的视频解决方案,通过将网络、云和客户端的强大优势整合在一起,帮助运营商借助云视频业务的推广,赢得更多为其用户提供增值服务的机会,从而获得更大的商业价值。Videoscape平台由思科精心设计而成,为迁移到全IP视频基础设施提供了一条出色的途径,可将云、网络和客户端组件无缝整合在一起,为消费者带来出色的“云视频”体验,确保他们无论身处何地或者使用何种设备,均能够享受到高品质的服务。
“后PC”时代打造全新协作方式
思科凭借协作与统一通信架构的创新技术,通过利用可扩展的云服务,让客户能够通过他们每天使用的Web应用直接实现轻松协作,从而提升业务效率和竞争力。在“后PC”时代,桌面虚拟化在企业中的应用正不断增长,思科推出了可在虚拟桌面环境中支持高质量语音和视频的终端。此外,思科还推出了更广泛的网真产品,将思科网真解决方案的应用扩展到包括中小企业在内的各种规模的企业,并使得使网真技术的应用范围超越会议本身。
搭建最佳网络增强小型企业生产力
基于小型企业用户对适合自身的网络解决方案的需求,思科推出多款S系列产品,以平易近人的定价、丰富的功能、安全可靠的品质为小型企业打造最佳网络,从而助力其应对挑战、增强生产力、建立竞争优势。
全面推动渠道合作伙伴市场发展战略
思科始终致力于打造最优化的渠道合作伙伴生态系统,以实现并推动渠道战略的创新和客户价值最大化。从2012财年开始,思科在全球范围进一步加强对渠道合作伙伴市场发展战略(Partner Led)的推动和投入。Partner Led是一种可扩展的市场发展(go-to-market)模式,将赋予合作伙伴更多业务自,进而帮助渠道合作伙伴引领中型企业和小企业市场客户的业务发展。思科在近期还推出一项面向中型企业客户的全新全球渠道计划——“Partner Plus”,该计划是思科Partner Led战略的重要组成部分,旨在支持和激励渠道合作伙伴与中型企业客户达成更多销售业务。此外,思科还推出一项全新的全球服务合作伙伴计划,以帮助提升思科渠道合作伙伴的销售收入和利润。
思科公司简介
思科公司(NASDAQ:CSCO),全球领先的致力于改进人们联络、沟通和协作方式的网络解决方案提供商。如需了解思科公司的信息,请访问:省略。?
小型企业网络安全解决方案篇6
辟出一片蓝海
“Experience the power of one”是三星电子网络产品的宣传语,指的是Ubigate iBG系列综合平台回避了其它网络设备追求单一功能优越性的做法,提出网络集成(Integrated)概念,希望能在竞争激烈的市场环境中开辟出一片网络蓝海。
Ubigate iBG系列综合平台具有超强的路由功能、企业级的交换能力、VoIP和同类产品中最佳的集成安全性,取代了众多特定用途的网络设备,能够提供灵活高效的网络基础架构。其所提供的丰富的功能和网络接口,不仅可以满足企业客户当前的业务需求,并且无需淘汰现有设备就能满足客户未来的需求。无论用户所在的机构需要的是VoIP,还是新的重要应用软件,或者只需要增加带宽,三星都能满足用户的需求。
精品之精道
Ubigate iBG系列综合平台通过集成安全模块(ISM)提供了全方位的安全性。 三星独有的自处理能力和独立内存,使ISM可对所有进出的传输信息进行监控,提供同类产品中最好的安全性,并丝毫不会降低路由器级的性能。三星专为Ubigate iBG系列融合平台设计了“基于Web的设备管理器”。使用者通过友好的用户界面,可以对所有的Ubigate iBG系列网络设备进行管理,包括路由、交换、VoIP 和安全性能。通过简化网络管理,它直观的用户界面简化了Ubigate iBG系列的安装、运营和维护。
Ubigate iBG系列产品适用于大型办公室、区域型办公室和企业总部、中型办公室和中型企业、小型分支机构和小型企业,可搭建适应下一代网络(NGN)的企业综合通信网。
据悉,三星首先的是Ubigate iBG3026,今年将陆续Ubigate iBG2026等三个企业级网络平台。三星电子将进一步提供融合有线和无线的端对端总体解决方案。
NETGEAR中小商用网适用的SSL VPN
于勇
近日,美国网件(NETGEAR)公司宣布,公司将面向用户数低于100的中小型商用网络推出一种经济、可靠的SSL VPN解决方案 ―ProSafe SSL VPN Concentrator 25 SSL312。
ProSafe SSL312使用加密嵌套层(SSL)协议为用户提供安全远程访问企业网络的能力,而且无需在远程计算机上安装任何专门的客户端软件,同时还可与现有的网络基础设施实现无缝集成。
据悉,该产品支持25个并发SSL VPN会话,使远程用户能够使用Microsoft Internet Explorer和Apple Safari等标准Web浏览器安全地访问网络资源。SSL312不仅集成了内容广泛的用户库,还融合了第三方防火墙,可以NETGEAR的ProSafe系列VPN 防火墙路由器协同工作,提供全套的安全解决方案。
台北电脑展:华硕无线夺目无限
于勇
近日,在台北国际电脑展上,华硕一款可无线拨打SKYPE的网络电话产品吸引了众多眼球,展示了华硕在无线网络领域的强大实力。
为期5天的展会吸引了1300多家参展企业,无线、数字家庭的概念成为最受关注的焦点。华硕以ViiV多媒体计算机为家庭的信息分享中枢,用无线网络串联Asteio数字影音中心、Network DVD播放器、无线Skype网络电话,展现出数字影音娱乐的轻松享受。
小型企业网络安全解决方案篇7
[关键词]DASNASSANiscsl
随着计算机网络技术的飞速发展,各种网络服务器对存储的需求随之发展,但由于商业企业规模不同,对网络存储的需求也应有所不同,选择不当的网络存储技术,往往会使得企业在网络建设中盲目投资不需要的设备,或者造成企业的网络性能低下,影响企业信息化发展,因此商业企业如何选择和使用适当的专业存储方式是非常重要的。
目前高端服务器所使用的专业存储方案有DAS、NAS、SAN、iscsl几种,通过这几种专业的存储方案使用RAID阵列提供的高效安全的存储空间。
一、直接附加存储(DAS)
直接附加存储是指将存储设备通过SCSI接口直接连接到一台服务器上使用。DAS购置成本低,配置简单,使用过程和使用本机硬盘并无太大差别,对于服务器的要求仅仅是一个外接的SCSI口,因此对于小型企业很有吸引力。但是DAS也存在诸多问题:(1)服务器本身容易成为系统瓶颈;(2)服务器发生故障,数据不可访问;(3)对于存在多个服务器的系统来说,设备分散,不便管理。同时多台服务器使用DAS时,存储空间不能在服务器之间动态分配,可能造成相当的资源浪费;(4)数据备份操作复杂。
二、网络附加存储(NAS)
NAS实际是一种带有瘦服务器的存储设备。这个瘦服务器实际是一台网络文件服务器。NAS设备直接连接到TCP/IP网络上,网络服务器通过TCP/IP网络存取管理数据。NAS作为一种瘦服务器系统,易于安装和部署,管理使用也很方便。同时由于可以允许客户机不通过服务器直接在NAS中存取数据,因此对服务器来说可以减少系统开销。NAS为异构平台使用统一存储系统提供了解决方案。由于NAS只需要在一个基本的磁盘阵列柜外增加一套瘦服务器系统,对硬件要求很低,软件成本也不高,甚至可以使用免费的LINUX解决方案,成本只比直接附加存储略高。NAS存在的主要问题是:(1)由于存储数据通过普通数据网络传输,因此易受网络上其它流量的影响。当网络上有其它大数据流量时会严重影响系统性能;(2)由于存储数据通过普通数据网络传输,因此容易产生数据泄漏等安全问题;(3)存储只能以文件方式访问,而不能像普通文件系统一样直接访问物理数据块,因此会在某些情况下严重影响系统效率,比如大型数据库就不能使用NAS。
三、存储区域网(SAN)
SAN实际是一种专门为存储建立的独立于TCP/IP网络之外的专用网络。目前一般的SAN提供2Gb/S到4Gb/S的传输数率,同时SAN网络独立于数据网络存在,因此存取速度很快,另外SAN一般采用高端的RAID阵列,使SAN的性能在几种专业存储方案中傲视群雄。SAN由于其基础是一个专用网络,因此扩展性很强,不管是在一个SAN系统中增加一定的存储空间还是增加几台使用存储空间的服务器都非常方便。通过SAN接口的磁带机,SAN系统可以方便高效的实现数据的集中备份。SAN作为一种新兴的存储方式,是未来存储技术的发展方向,但是,它也存在一些缺点:(1)价格昂贵。不论是SAN阵列柜还是SAN必须的光纤通道交换机价格都是十分昂贵的,就连服务器上使用的光通道卡的价格也是不容易被小型商业企业所接受的;(2)需要单独建立光纤网络,异地扩展比较困难;
四、iSCSI
使用专门的存储区域网成本很高,而利用普通的数据网来传输SCSI数据实现和SAN相似的功能可以大大的降低成本,同时提高系统的灵活性。iSCSI就是这样一种技术,它利用普通的TCP/IP网来传输本来用存储区域网来传输的SCSI数据块。iSCSI的成本相对SAN来说要低不少。随着千兆网的普及,万兆网也逐渐的进入主流,使iSCSI的速度相对SAN来说并没有太大的劣势。iSCSI目前存在的主要问题是:(1)新兴的技术,提供完整解决方案的厂商较少,对管理者技术要求高;(2)通过普通网卡存取iSCSI数据时,解码成SCSI需要CPU进行运算,增加了系统性能开销,如果采用专门的iSCSI网卡虽然可以减少系统性能开销,但会大大增加成本;(3)使用数据网络进行存取,存取速度冗余受网络运行状况的影响。
通过以上分析,下表总结了这四种方式的主要区别。
通过以上比较研究,四种方案各有优劣。对于小型且服务较为集中的商业企业,可采用简单的DAS方案。对于中小型商业企业,服务器数量比较少,有一定的数据集中管理要求,且没有大型数据库需求的可采用NAS方案。对于大中型商业企业,SAN和iSCSI是较好的选择。如果希望使用存储的服务器相对比较集中,且对系统性能要求极高,可考虑采用SAN方案;对于希望使用存储的服务器相对比较分散,又对性能要求不是很高的,可以考虑采用iSCSI方案。
参考文献:
[1]白广思:CSAN与IPSAN架构比较新论.情报科学,2007,(9)
[2]段剑弓:存储系统NAS和SAN的差异和统一.计算机应用研究,2004,(12)
小型企业网络安全解决方案篇8
随着Web2.0、VoIP、多媒体技术的发展以及更多网络终端的出现,在数据中心发生的超大规模的数据访问、存储已经成为必然趋势,这在一定程度上加剧了数据中心的复杂性。瞻博网络中国区企业系统工程师李世朋认为,为企业建设简单、高效、安全的数据中心已经成为一种趋势。“简化网络设计、简化网络服务、简化管理成为下一代数据中心的发展方向。”
李世朋表示:“现有的数据中心存在三大问题。首先是管理复杂,其次是费用昂贵,还有一些数据中心存在设备配置时间过长、电力的消耗量持续增长等问题。根据数据中心IT设备运维成本数据分析,电力成本和空间成本占整个运维成本的71%。这在很大程度上限制了技术创新和业务增长点的出现。”
瞻博的数据中心基础设施解决方案将帮助企业、服务供应商和政府机构降低其数据中心的总体拥有成本,让他们的网络架构在满足高性能企业数据中心环境不断升级需求的同时,实现操作简单并提升运营效率。方案将交换机、路由器以及安全产品有效融入一套单一的网络操作系统――JUNOS软件,这样可以为企业打造一个简单、快速、可靠、安全的网络环境,从而使业务流程得到加强,实现业务流程的自动化和虚拟化。
简单性方面,瞻博采用EX、MX及SRX系列产品简化数据中心网络设计。这样不仅能够对服务和数据中心交换层进行增强,还能够节省大量成本。 瞻博EX 4200系列以太网交换机拥有集换技术,可以大大降低互换开关链路以及数据中心所需设备数量,降幅最高可达50%。这些机箱型产品包括即将推出的EX8200系列以太网交换机和当前配有第2层和第3层网络虚拟化技术的MX系列业务路由器。
灵活性方面,瞻博能为客户带来运营商级的可靠性和业务灵活性,它能够在一个管理框架和操作系统中简化对数据中心基础架构的配置、管理、故障排除和维护。 瞻博网络公司的Network and Security Manager(NSM)能够对瞻博的路由器、交换机和安全产品组合进行管理,帮助高性能企业提高安全性,降低成本并获得显著的运营成果。
瞻博的J-Care Technical Services以Advanced Insight Solutions(AIS)解决方案为核心 ,使技术支持工程师能够有效地触及每一台部署JUNOS软件的设备,这比典型响应时间要节省大约数小时或数天的时间。 瞻博的主动技术支持可简化整个路由、交换和网络服务的基础架构,使企业大大降低运营开支并提高网络可用性。