组建跨区域的大型企业网络知识，非常详细收藏好慢慢学习

内容导航：

组建跨区域的大型企业网络知识，非常详细收藏好慢慢学习

以某一个企业的物流信息系统（仓储/运输/配送/快递/货代等）为例，论述物流信息化对物流管理的作用!

求企业局域网管理方案 ~!!!!高手进

大企业分支互联方案如何？

一、组建跨区域的大型企业网络知识，非常详细收藏好慢慢学习

Part1企业网络的基本架构

企业网络已经广泛应用在各行各业中，包括小型办公室、教育、政府和银行等行业或机构。

企业网络远程互连

企业网络组网不受地域限制，可以通过各种远程互连技术把分布在不同物理地域的网络连接在一起。

企业网络基本架构

企业网络架构很大程度上取决于企业或机构的业务需求。小型企业通常只有一个办公地点，一般采用扁平网络架构进行组网。这种扁平网络能够满足用户对资源访问的需求，并具有较强的灵活性，同时又能大大减少部署和维护成本。小型企业网络通常缺少冗余机制，可靠性不高，容易发生业务中断。

大型企业网络对业务的连续性要求很高，所以通常会通过网络冗余备份来保证网络的可用性和稳定性，从而保障企业的日常业务运营。大型企业网络也会对业务资源的访问进行控制，所以通常会采用多层网络架构来优化流量分布，并应用各种策略进行流量管理和资源访问控制。多层网络设计也可以使网络易于扩展。大型企业网络采用模块化设计能够有效实现网络隔离并简化网络维护，避免某一区域产生的故障影响到整个网络。（公众号：网络工程师阿龙）

小型企业网络和大型企业网络的组网有什么差别？小型企业网络通常采用扁平网络结构，网络扩展能力低。如需支持未来不断增长的用户，应采用多层网络结构。大型企业网络用户较多，通常采用层次化结构以支持网络的扩展和用户的增长。

大型企业网络设计的基本思想是什么？

在设计大型企业网络时必须首先考虑企业业务的特点，在保证网络性能满足业务需求的前提下，必须还要考虑网络的可用性、稳定性、可扩展性、安全性和可管理性，以保证企业业务的正常运营和发展。

Part2传输介质11.简单的网络

终端相互传递信息和资源共享的需求是网络产生的主要原因。终端可以产生、发送和接收数据，网络是终端建立通信的媒介，终端通过网络建立连接。用来传输数据的载体称为介质，网络可以使用各种介质进行数据传输，包括物理线缆，无线电波等。网络就是通过介质把终端互连而成的一个规模大、功能强的系统，从而使得众多的终端可以方便地互相传递信息，共享信息资源。

22.网络介质

常用的网络介质有双绞线和光纤

33.冲突域

如图是一个10BASE5以太网，每个主机都是用同一根同轴电缆来与其它主机进行通信，因此，这里的同轴电缆又被称为共享介质，相应的网络被称为共享介质网络，或简称为共享式网络。共享式网络中，不同的主机同时发送数据时，就会产生信号冲突的问题，解决这一问题的方法一般是采用载波侦听多路访问/冲突检测技术（Carrier Sense Multiple Access/Collision Detection）。10BASE510代表传输速度为10Mbps，BASE指的是传输信号为基带信号，5指的是单段大致的传输距离、使用单段最大传输距离为500米的粗缆。CSMA/CD的基本工作过程如下：（公众号：网络工程师阿龙）1.终端设备不停地检测共享线路的状态。如果线路空闲，则可以发送数据；如果线路不空闲，则等待一段时间后继续检测（延时时间由退避算法决定）。2.如果有另外一个设备同时发送数据，两个设备发送的数据会产生冲突。3.终端设备检测到冲突之后，会马上停止发送自己的数据，并发送特殊阻塞信息，以强化冲突信号，使线路上其他站点能够尽早检测到冲突。4.终端设备检测到冲突后，等待一段时间之后再进行数据发送（延时时间由退避算法决定）。

CSMA/CD的工作原理可简单总结为：先听后发，边发边听，冲突停发，随机延迟后重发。

44.双工模式

半双工：在半双工模式（half-duplex mode）下，通信双方都能发送和接收数据，但不能同时进行。当一台设备发送时，另一台只能接收，反之亦然。对讲机是半双工的典型例子。全双工：在全双工模式（full-duplex mode）下，通信双方都能同时接收和发送数据。电话网络是典型的全双工例子。以太网上的通信模式包括半双工和全双工两种：

半双工模式下，共享物理介质的通信双方必须采用CSMA/CD机制来避免冲突。例如，10BASE5以太网的通信模式就必须是半双工模式。全双工模式下，通信双方可以同时实现双向通信，这种模式不会产生冲突，因此不需要使用CSMA/CD机制。例如，10BASE-T以太网的通信模式就可以是全双工模式。（公众号：网络工程师阿龙）同一物理链路上相连的两台设备的双工模式必须保持一致。

5什么是冲突域？

冲突域是一个通过共享物理介质进行双向传输的所有节点的集合。当同一冲突域中的主机同时发送数据时，数据到达目的地之前可能会发生冲突。

6CSMA/CD的作用？

CSMA/CD是一种在共享式网络上检测并避免冲突的机制。大型企业网络设计的基本思想是什么？

Part3网络基础71.网络类型

根据网络的覆盖范围分类有局域网(LAN)和广域网(WANA)。常见的局域网有企业、高校、产业园，常见广域网有因特网。

82.网络性能指标

带宽描述在单位时间内传输的数据量以bps（bit per second，比特每秒）为单位

延迟描述数据传输所经历的时间以ms（毫秒）为单位

93.网络模型

分层思想：将复杂的流程分解为几个功能相对单一的子过程 流程更加清晰，复杂问题简单化；更容易发现问题并针对性地解决问题

10TCP/IP和OSI参考模型

11常见的协议

12数据的封装和解封过程

TCP/IP模型中数据封装和解封过程

Part4应用层131.应用层及其常用协议

应用层：为应用软件提供接口，使应用程序能够使用网络服务。下三层协议是网络层、数据链路层和物理层。

常用的网络层协议：

DNSHTTP和HTTPSSMTP与POP3/IMAPTelnetFTP与TFTP

架构背景：

C/S架构：Client/Server，客户端/服务端，例如：QQ、微信。

B/S架构：：Browser/Server，浏览器/服务端，如：页游、视频网站。

142.DNS域名解析系统

DNS：Domain Name System，域名解析系统作用：1.建立IP地址与域名之间的映射关系。2.将域名解析为IP地址（正向解析）。3.将IP地址解析为域名（反向解析）。4.负责DNS的就是DNS服务器。FQDN：Fully Qualified Domain Name，完全限定域名同时带有域名和主机名就是完全限定域名，比如

完全限定域名：  baike.baidu.com  pan.baiu.com  tieba.baidi.com 域名baidu.com主机名www baike pan tieba .com是顶级域名 baidu是二级域名又叫次顶级域名

DNS查询方式与过程

与DNS相关的命令，使用exit命令退出DNS调试工具。

153.HTTP&HTTPS

HTTP & HTTPS：Hypertext Transfer Protocol，超文本传输协议HTTP：超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，当在浏览器输入URL后，从就会从服务器获取HTML文件来呈现出内容。

HTTPSHTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：银行卡号、支付密码等重要信息。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

TLS与SSL是在传输层与应用层之间对网络连接进行加密。

164.SMTP&POP3&IMAP:邮件服务

SMTP：简单邮件传输协议，用于发送邮件 POP3：邮局协议版本3，用于接收邮件 IMAP：互联网邮件访问协议，类似POP3功能更多

175.Telnet&SSH:远程管理服务远程管理协议，可以用来远程管理各种设备和系统。客户端和服务端需要保证网络可达。借助终端工具管理会话，如：Xshell、PuTTY、SecureCRT、MobaXterm等。

186.FTP&TFTP:文件传输服务

提供上传和下载等文件操作

Part5传输层

191.端口号

端口号的范围是0~65535，0到1024的端口已经分配给了一些常用的程序。

202.传输层协议

TCP会话通过三次握手建立连接：任何基于TCP的应用，发送数据前都需要先建立连接。（公众号：网络工程师阿龙）

TCP的三次握手

TCP的确认和重传：保证数据传输的可靠性

TCP的窗口滑动机制：控制数据的传输速率

TCP会话的关闭-四次挥手：断开连接，释放资源

UDP

UDP不提供重传机制，占用资源小，处理效率高。一些时延敏感的流量，如语音、视频等，通常使用UDP作为传输层协议。

TCP和UDP对比

Part6网络层

网络层的作用：

211.IP协议

IP：Internet Protocol，因特网协议，TCP/IP协议簇中最核心的协议。

IPv4的报文结构

数据包分片与重组：当数据包比链路MTU大时，被分割成多个片段的过程。

MTU：最大传输单元用来通知对方所能接受数据服务单元的最大尺寸，说明发送方能够接受的有效载荷大小，默认值一般是1500b。

222.TTL

TTL：Time to Live，生存时间（类似生命值）。

防止IP数据包在网络内无休止地传输（环路）每经过一次路由TTL值就会减 1当 TTL=0 的时候就会丢弃数据包

路由跟踪：利用TTL特性，可以显示路径上的每一跳，一种非常重要的排错方法。（公众号：网络工程师阿龙）Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。

tracert命令tracert命令可以查看本机到达目标IP经过的路由和IP地址，有些路由器会隐藏的自己的位置，不让ICMP Timeout的消息通过，结果就是在那一跳上始终会显示星号。

233.协议号

协议号用于标识上层协议

244.IP地址

IP地址：IP Address，用来标识网络中的一个节点或接口，用于寻址。IP地址就像现实中的地址，可以标识网络中的一个节点，数据就是通过它来找到目的地。IP地址结构：由32位二进制（32 bits）组成，采用“点分十进制”表示。192.168.1.1前三部分是网络位，最后一部分是主机位。网络部分/网络位：标识一个网络，代表IP地址所属网络/网段。主机部分/主机位：标识一个网络内的主机，能唯一标识网段上的某台设备。

IP地址分类：根据第一组8位二进制的不同规则定义，ABC三类地址是用来分配给主机使用的。

特殊的IP地址

特殊的IP地址地址范围作用任意地址0.0.0.0任何网络”的网络地址；“这个网络上这个主机接口”的IP地址。有限广播地址255.255.255.255可作为目的地址，发往该网段所有主机环回地址127.0.0.0/8测试设备自身的软件系统本地链路地址169.254.0.0/16当自动获取地址失败后，随机分配的临时通信地址

各类地址的默认子网掩码只有ABC三类IP地址会被用于主机使用

**地址类型

地址类型备注公网地址用于Internet，向ISP付费申请，全球唯一私网地址用于企业内部网络，不能用于Internet ，免费使用，可以重复地址转换私网地址访问Internet时必须转换为公网地址，该技术为NAT

私网地址分类

私网地址空间范围表达方式A类10.0.0.0~10.255.255.25510.0.0.0/8B类172.16.0.0~172.31.255.255172.16.0.0/12C类192.168.0.0~192.168.255.255192.168.0.0/16

私有网络通过内网转换技术连接到互联网

网络地址、主机地址、广播地址通常一个网络位代表的网络称为“网段”每个网段上都有两个特殊地址（最小和最大）不能分配给主机

例子172.16.10.1/16这个B类地址网络地址、主机地址、广播地址以及可用地址数分别是？

255.子网划分

满足不同网络对IP地址的需求实现网络的层次性节省IP地址默认子网掩码可以进一步划分，成为变长子网掩码（VLSM）操作核心：网络位向主机位“借位”

计算公式：

实例

某公司共有生产部、销售部、财务部、客服部四个部门，每个部门的主机数最多不超过 50台。若该公司获得了一个C类地址192.168.100.0/24，应该如何划分子网呢？

划分4个子网，因为借了两位主机号，所以子网掩码是：24+2=26位二进制：11111111.11111111.11111111.11000000十进制：255.255.255.192

部门网段子网掩码有效主机数生产部192.168.100.1~192.168.100.62255.255.255.19262销售部192.168.100.65~192.168.100.126255.255.255.19262财务部192.168.100.129~192.168.100.190255.255.255.19262客户部192.168.100.193~192.168.100.254255.255.255.19262

部门网络号广播地址生产部192.168.100.0192.168.100.63销售部192.168.100.64192.168.100.127财务部192.168.100.128192.168.100.191客户部192.168.100.192192.168.100.255

266.ICMP

ICMP：Internet Control Message Protocol，因特网控制消息协议在网络设备间传递各种差错和控制信息。对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。

报文结构**

ICMP作用ICMP协议主要用来检测网络通信故障和实现链路追踪，最典型的应用就是PING和tracerooute。

ICMP功能差错检测：诊断网络连通性、提供往返时间等。错误报告：诊断连接问题，如：路由追踪、路由环路ICMP重定向：在特定的情况下，当路由器检测到主机使用非最优路由的时候，它会 向该主机发送一个ICMP重定向报文，请求主机改变路由。

如图所示,主机A希望发送报文到服务器A ,于是根据配置的默认网关地址向网关RTB发送报文。网关RTB收到报文后,检查报文信息，发现报文应该转发到与源主机在同一网段的另一个网关设备RTA ,因为此转发路径是更优的路径,所以RTB会向主机发送一个重定向消息 ,通知主机直接向另一个网关RTA发送该报文。主机收到重定向消息后,会向RTA发送报文,然后RTA会将该报文再转发给服务器A。

Part7数据链路层

271.以太网介绍

以太网，Ethernet：当今主导地位的局域网组网技术。

282.以太网帧结构

以太网帧结构的字段：协议类型：标识上层的协议，如：0x0800 代表 IPv4，0x86DD是IPv6。帧校验：如果接收方(根据接收的帧内容)计算的FCS与发送方计算的FCS (包含于帧中)不相等，则视该帧无效并将其丢弃。MAC地址：标识一个网卡，每个网卡都需要且唯一的一个MAC地址。广播帧的mac地址全是F用于在一个IP网段（广播域）内，寻址找到具体的物理设备。工作在数据链路层的设备，如：以太网交换机，会维护一张MAC地址表，用于指 导数据帧转发。工作在数据链路层的设备，如：以太网交换机，会维护一张MAC地址表，用于指 导数据帧转发。MAC地址与IP地址的关系：源IP地址和目标IP地址，不会变化（NAT除外）源MAC地址和目标MAC地址，一直在变化（每个广播域都会变化）

293.ARP地址解析协议

ARP：Address Resolution Protocol，地址解析协议，根据已知的IP地址解析获得其对应的MAC地址。

ARP工作流程主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；当主机A要与主机B通信时，地址解析协议可以将主机B的IP地址（192.168.1.2）解析成主机B的MAC地址。

工作流程：第1步：根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

第2步：如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。

第3步：主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

第4步：主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

第5步：当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了。

ARP报文结构

ARP 报文总长度为 28 字节，MAC 地址长度为 6 字节，IP 地址长度为 4 字节。其中，每个字段的含义如下：

硬件类型：指明了发送方想知道的硬件接口类型，以太网的值为 1。协议类型：表示要映射的协议地址类型。它的值为 0x0800，表示 IP 地址。硬件地址长度和协议长度：分别指出硬件地址和协议的长度，以字节为单位。对于以太网上 IP 地址的A请求或应答来说，它们的值分别为 6 和 4。操作类型：用来表示这个报文的类型，ARP 请求为 1，ARP 响应为 2，RARP 请求为 3，RARP 响应为 4发送方 MAC 地址：发送方设备的硬件地址。发送方 IP 地址：发送方设备的 IP 地址。目标 MAC 地址：接收方设备的硬件地址。目标 IP 地址：接收方设备的IP地址。

ARP 数据包分为请求包和响应包，对应报文中的某些字段值也有所不同。

ARP 请求包报文的操作类型（op）字段的值为 request(1)，目标 MAC 地址字段的值为 Target 00：00：00_00：00：00(00：00：00：00：00：00)（广播地址）。ARP 响应包报文中操作类型（op）字段的值为 reply(2)，目标 MAC 地址字段的值为目标主机的硬件地址。

免费ARP用来检测IP地址是否冲突

代理ARP可以帮助同一网段、不同物理网络上的计算机之间实现通信。

304.ARP欺骗

APR欺骗是针对以太网地址解析协议（ARP）的一种攻击技术，通过欺骗局域网内访问者PC的网关MAC地址，使访问者PC错以为攻击者更改后的MAC地址是网关的MAC，导致网络不通。

Part8物理层和数据转发过程311.物理层介绍

根据物理介质的不同，将数字信号转换成光信号、电信号或者是电磁波信号。

物理层常用的传输介质

322.数据转发的过程

网关：Gateway位于不同网络间的主机要实现通讯，必须把数据包发送给网关。网关就是一台具有路由功能的三层网络设备，如：路由器、三层交换机、防火 墙、服务器等。（公众号：网络工程师阿龙）网关地址就是设备的接口地址。

Part9单播、组播、广播

在IPv4网络中，不同的应用会发送不同的数据包，根据目的地址，可分为三类。

331.单播

单播 Unicast：发送给单个目标MAC地址 = 网卡地址（第8位bit=0） IP地址 = 主机地址

342.广播

广播：Broadcast，发送给所属广播域内的所有目标。MAC地址 = FFFFFFFFFFFFIP地址 = 广播地址广播地址：主机位全为1的地址是广播地址；192.168.1.0网段的广播地址是192.168.1.255

353.组播

组播：Multicast，发送给一组目标MAC地址 = 01-00-5E开头（第8位bit=1）IP地址 = D类组播地址D类地址：224.0.0.0~239.255.255.255

364.接收规则

丢弃不匹配的MAC地址；接收匹配的MAC地址，将数据提交给上层处理。

一、以某一个企业的物流信息系统（仓储/运输/配送/快递/货代等）为例，论述物流信息化对物流管理的作用!

民营企业和少数改制后的国有企业。如中海物流的客户主要有IBH、美能达、诺基亚、三洋、东芝、三星、华为、联想等企业；宝供物流公司服务的对象是宝洁、飞利浦、雀巢、沃尔玛、联想等。

总之，随着物流热的兴起，第三方物流得到长足发展，既有量的增加，涌现出许多物流企业，2001年仅北京市注册为“物流”的企业就有120多家，上海截至2001年底挂“物流”名称的企业已超过1000家；又有质的提高，物流服务功能显著改善，出现像中远集团、中外运集团那样既有规模又有效益的物流企业。但从整体上看，企业规模不大，服务水平不高，第三方物流还只停留在某一个层面或某一个环节上，没有实现从原材料供给到商品销售整个供应链的全程服务，还没有形成真正意义上的网络服务。

存在的主要问题有：

1．物流观念落后，自办物流现象突出。由于对物流作为“第三利润源泉”的错误认识和受“大而全”、“小而全”的观念影响，很多生产或商业企业既怕失去对采购和销售的控制权，又怕额外利润被别的企业赚去，都自建物流系统，不愿向外寻求物流服务。中国仓储协会2001年对2000家企业的调查，第三方物流业务在生产和商业企业所占比重仅为21%和13%。

2．条块分割严重，企业规模偏小。长期以来，由于受到计划经济的影响，我国物流企业形成多元化的物流格局，除了新兴的外资和民营企业外，大多数第三方物流企业是计划经济时期商业、物资、粮食、运输等部门储运企业转型而来。条块分割严重，企业缺乏整合，集约化经营优势不明显，规模效益难以实现。

3．物流渠道不畅。一方面，经营网络不合理，有点无网，第三方物流企业之间、企业与客户之间缺乏合作，货源不足，传统仓储业、运输业能力过剩，造成浪费；另一方面，信息技术落后，因特网、条形码、EDI等信息技术未能广泛应用，物流企业和客户不能充分共享信息资源，没有结成相互依赖的伙伴关系。

4．服务功能不全。大多数物流企业只能提供单项或分段的物流服务，物流功能主要停留在储存、运输和城市配送上，相关的包装、加工、配货等增值服务不多，不能形成完整的物流供应链。据中国仓储协会2001年初的调查，在采用第三方物流的需求企业中，有23%的生产企业和7%的商业企业对第三方的物流服务不满意。

5．物流人才匮乏，设施落后，管理水平较低。我国物流业还处在起步阶段，高等教育和职业教育尚未跟上，人才缺乏，素质不高；物流设施设备落后、老化，机械化程度不高，不符合客户特定要求。

二、中国第三方物流发展思路

中国加入WTO，使国内市场国际化，会有更多的外资物流供应商进入国内物流市场，对中国第三方物流业形成严峻的挑战。当务之急是利用短暂的三年过渡期，采取切实有效的措施，加快中国第三方物流发展，缩小与发达国家的差距。

1．加快产权制度改革，激发企业活力。中国现有的第三方物流企业多数是从国有仓储、运输企业转型而来，带有许多计划经济的遗迹，不能适应国际市场竞争。因此，必须建立股权多元化的股份制企业和完善的法人治理结构，理顺权益关系，实现政企分开、所有权和经营权分离，保证企业按市场规则运作，激发企业活力，向现代物流业转化。特别是规模较大的企业，一方面要进行内部的整合，优化内部资源配置，中远集团在整合现有物流资源和中国外轮代理公司业务的基础上，2002年初成立中远物流公司，重新构建覆盖全球的物流服务网络；另一方面，借助资本市场的力量，进行企业改制上市，吸收和利用社会闲散资金，克服资本金不足的缺陷，促使企业快速成长；隆大，促使现代企业制度的建立和运作。

2．以信息技术应用为核心，加强网点建设。信息化与否是衡量现代物流企业的重要标志之一，许多跨国物流企业都拥有“一流三网”，即定单信息流，全球供应链资源网络，全球用户资源网络，计算机信息网络。借助信息技术，企业能够整合业务流程，能够融入客户的生产经营过程，建立一种“效率式交易”的管理与生产模式。在加入WTO的新形势下，物流市场从国内扩展到国际，能否有四通八达的网络愈发重要。

企业要双管齐下抓网络建设：一方面，要根据实际情况建立有形网络，若企业规模大、业务多，可自建经营网点；若仅有零星业务，可考虑与其他物流企业合作，共建和共用网点；还可以与大客户合资或合作，共建网点。去年，中远集团和小天鹅、科龙联合成立一家物流公司，合理配置异地货源，取得可观效益。另一方面，要建立信息网络，通过因特网、管理信息系统、数据交换技术(EDI )等信息技术实现物流企业和客户共享资源，对物流各环节进行实时跟踪、有效控制与全程管理，形成相互依赖的市场共生关系。

3．培育具有国际竞争力的物流集团，实行集约化经营。在市场经济中，一切要靠实力说话。只有具备强大的经济实力，才有可靠的资信保证，才能取信于人。中国仓储协会2001年调查显示，企业在选择第三方物流企业时最看重的是物流满足能力和作业质量。同时，第三方物流企业只有具备一定规模，才有可能提供全方位的服务，才能实现低成本扩张，实现规模效益。目前，许多第三方物流企业都是计划经济时期商业、物资、粮食等部门储运企业转型而来，都有特定的服务领域，彼此间竞争不大。若要适应入世后激烈竞争需要，必须打破业务范围、行业、地域、所有制等方面限制，树立全国一盘棋的思想，整合物流企业，鼓励强强联合，组建跨区域的大型集团，而且只有兼并联合，才能合理配置资源和健全经营网络，才有可能延伸触角至海外，参与国际市场竞争。

4．强化增值服务，发展战略同盟关系。根据物流业的发展趋势看，那些既拥有大量物流设施、健全网络，又具有强大全程物流设计能力的混合型公司发展空间最大，只有这些企业能把信息技术和实施能力融为一体，提供“一站到位”的整体物流解决方案。因此，我国物流企业在提供基本物流服务的同时，要根据市场需求，不断细分市场，拓展业务范围，以客户增效为己任，发展增值物流服务，广泛开展加工、配送、货代等业务，甚至还提供包括物流策略和流程解决方案、搭建信息平台等服务，用专业化服务满足个性化需求，提高服务质量，以服务求效益；公司要通过提供全方位服务的方式，与大客户加强业务联系，增强相互依赖性，发展战略伙伴关系。

5．要重视物流人才培养，实施人才战略。企业的竞争归根到底是人才的竞争。我们与物流发达国家的差距，不仅仅是装备、技术、资金上的差距，更重要的是观念和知识上的差距。只有物流从业人员素质不断提高，不断学习与应用先进技术、方法，才能构建适合我国国情的第三方物流业。要解决目前专业物流人才缺乏的问题，较好的办法是加强物流企业与科研院所的合作，使理论研究和实际应用相结合，加快物流专业技术人才和管理人才的培养，造就一大批熟悉物流运作规律、并有开拓精神的人才队伍。物流企业在重视少数专业人才和管理人才培养的同时，还要重视所有员工的物流知识和业务培训，提高企业的整体素质。

促使中国第三方物流发展是一项系统工程，仅靠物流企业自身的努力是远远不够的，还需要政府和行业协会的推动和调控作用，为中国第三方物流发展创造良好的外部环境。一是尽快建立健全相应的政策法规体系，特别是优惠政策的制定和实施，使第三方物流发展有据可依；二是尽快建立规范的行业标准，实施行业自律，规范市场行为，使物流业务运作有规可循；三是发挥组织、协调、规划职能，统一规划，合理布局，建立多功能、高层次、集散功能强、辐射范围广的现代物流中心，克服条块分割的弊端，避免重复建设和资源浪费现象，促进第三方物流健康、有序发展。
转自：保运通

二、求企业局域网管理方案 ~!!!!高手进

第一章 总则

本方案为大型局域网网络安全解决方案，包括网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。本安全解决方案的目标是在不影响局域网当前业务的前提下，实现对局域网全面的安全管理。

1.将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

3.通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。

第二章 网络系统概况

2.1 网络概况

常见大型企业局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套完整、可操作的安全解决方案不仅是可行的，而且是必需的。

2.1.1 网络概述

企业局域网通过千兆交换机在主干网络上提供1000M的独享带宽，通过二级交换机与各部门的工作站和服务器连接，并为之提供100M的独享带宽。利用与中心交换机连接的路由器，所有用户可直接访问Internet。

2.1.2 网络结构

常见大型企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中，基于安全的重要程度和要保护的对象，可以在核心交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。

2.2 网络应用

企业局域网一般会提供如下主要应用：

1．文件共享、办公自动化、WWW服务、电子邮件服务；

2．文件数据的统一存储；

3．针对特定的应用在数据库服务器上进行二次开发(比如财务系统)；

4．提供与Internet的访问；

5．通过公开服务器对外发布企业信息、发送电子邮件等；

2.3 网络结构的特点

在分析企业局域网的安全风险时，应考虑到网络的如下几个特点：

1.网络与Internet直接连接，因此在进行安全方案设计时要考虑与Internet连接的有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet的非授权访问等。

2.网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑采用安全服务器网络，避免公开服务器的安全风险扩散到内部。

3.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。

4.网络中的应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。

总而言之，在进行网络方案设计时，应综合考虑到企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。

第三章 网络系统安全风险分析

随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。

针对企业局域网中存在的安全隐患，在进行安全方案设计时，下述安全风险我们必须要认真考虑，并且要针对面临的风险，采取相应的安全措施。下述风险由多种因素引起，与企业局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。下面列出部分这类风险因素：

网络安全可以从以下五个方面来理解：1 网络物理是否安全；2 网络平台是否安全；3 系统是否安全；4 应用是否安全；5 管理是否安全。针对每一类安全风险，结合企业局域网的实际情况，具体分析网络的安全风险。

3.1 物理安全风险分析

网络的物理安全的风险是多种多样的。网络的物理安全主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。它是整个网络系统安全的前提，在企业区局域网内，由于网络的物理跨度不大，，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。

3.2 网络平台的安全风险分析

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

3.2.1 公开服务器面临的威胁

企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行或者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务；每天，黑客都在试图闯入Internet节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对Internet安全事故做出有效反应变得十分重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

3.2.2 整个网络结构和路由状况

安全的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响安全系统成功的建设。企业局域网络系统中，一般只有一个Internet出口，使用一台路由器，作为与Internet连接的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。

3.3 系统的安全风险分析

所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。

网络操作系统、网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是Microsoft的Windows NT或者其他任何商用UNIX操作系统，其开发厂商必然有其Back-Door。我们可以这样讲：没有完全安全的操作系统。但是，我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能可靠的操作系统和硬件平台。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。

3.4 应用的安全风险分析

应用系统的安全跟具体的应用有关，它涉及很多方面。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的，因此一套详尽的测试软件是相当必须的。但是应用系统是不断发展且应用类型是不断增加的，其结果是安全漏洞也是不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。

应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。

3.5 管理的安全风险分析

管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。

当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

3.6 黑客攻击

黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发欺骗程序，将其装入UNIX服务器中，用以监听登录会话。当它发现有用户登录时，便开始存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在企业的局域网内我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。

3.7 通用网关接口（CGI）漏洞

有一类风险涉及通用网关接口（CGI）脚本。许多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点寻找特定信息。搜索引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常，这些CGI脚本只能在这些所指WWW服务器中寻找，但如果进行一些修改，他们就可以在WWW服务器之外进行寻找。要防止这类问题发生，应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏能力，提高服务器备份与恢复能力，提高站点内容的防篡改与自动修复能力。

3.8 恶意代码

恶意代码不限于病毒，还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。应该加强对恶意代码的检测。

3.9 病毒的攻击

计算机病毒一直是计算机安全的主要威胁。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威胁的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、浏览图像或在Web上填表都不用担心病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特别警惕，否则很容易使系统导致严重的破坏。典型的“CIH”病毒就是一可怕的例子。

3.10 不满的内部员工

不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期改变口令和删除系统记录以减少这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等。

3.11 网络的攻击手段

一般认为，目前对网络的攻击手段主要表现在：

非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

第四章 安全需求与安全目标

4.1 安全需求分析

通过对企业局域网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：

Ø 公开服务器的安全保护

Ø 防止黑客从外部攻击

Ø 入侵检测与监控

Ø 信息审计与记录

Ø 病毒防护

Ø 数据安全保护

Ø 数据备份与恢复

Ø 网络的安全管理

针对企业局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：

1.大幅度地提高系统的安全性（重点是可用性和可控性）；

2.保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；

3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；

5.安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

6.安全产品具有合法性，及经过国家有关管理部门的认可或认证；

7.分布实施。

4.2 网络安全策略

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型包括了建立安全环境的三个重要组成部分，即：

威严的法律：安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术。

严格的管理：各网络使用机构、企业和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。

4.3 系统安全目标

基于以上的分析，我们认为这个局域网网络系统安全应该实现以下目标：

Ø 建立一套完整可行的网络安全与网络管理策略

Ø 将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信

Ø 建立网站各主机和服务器的安全保护措施，保证他们的系统安全

Ø 对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝

Ø 加强合法用户的访问认证，同时将用户的访问权限控制在最低限度

Ø 全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为

Ø 加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志

Ø 备份与灾难恢复——强化系统备份，实现系统快速恢复

Ø 加强网络安全管理，提高系统全体人员的网络安全意识和防范技术

第五章 网络安全方案总体设计

5.1 安全方案设计原则

在对这个企业局域网网络系统安全方案设计、规划时，应遵循以下原则：

综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。

需求、风险、代价平衡的原则：对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。

易操作性原则：安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。

分步实施原则：由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

多重保护原则：任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。

5.2 安全服务、机制与技术

安全服务：主要有控制服务、对象认证服务、可靠性服务等；

安全机制：访问控制机制、认证机制等；

安全技术：防火墙技术、鉴别技术、审计监控技术、病毒防治技术等；在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术来实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。

第六章 网络安全体系结构

通过对网络的全面了解，按照安全策略的要求、风险分析的结果及整个网络的安全目标，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全、网络安全、系统安全、信息安全、应用安全和安全管理

6.1 物理安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：

环境安全：对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》

设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；

媒体安全：包括媒体数据的安全及媒体本身的安全。

在网络的安全方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的安全。

6.1.1 网络结构

安全系统是建立在网络系统之上的，网络结构的安全是安全系统成功建立的基础。在整个网络结构的安全方面，主要考虑网络结构、系统和路由的优化。

网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性，并且应该有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的安全保障体系。网络结构采用分层的体系结构，利于维护管理，利于更高的安全控制和业务发展。

网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。

6.1.2 网络系统安全

6.1.2.1 访问控制及内外网的隔离

访问控制可以通过如下几个方面来实现：

1.制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。
2.配备相应的安全设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络安全域之间信息的唯一出入口。

防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，能根据企业的安全政策来控制（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被保护网络与路由器之间的通道上，因此也对被保护网络和外部网络起到隔离作用。

防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

6.1.2.2 内部网不同网络安全域的隔离及访问控制

在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络安全问题对全局网络造成的影响。

6.1.2.3 网络安全检测

网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。

网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和安全策略，达到增强网络安全性的目的。检测工具应具备以下功能：

Ø 具备网络监控、分析和自动响应功能

Ø 找出经常发生问题的根源所在；

Ø 建立必要的循环过程确保隐患时刻被纠正；控制各种网络安全危险。

Ø 漏洞分析和响应

Ø 配置分析和响应

Ø 漏洞形势分析和响应

Ø 认证和趋势分析

具体体现在以下方面：

Ø 防火墙得到合理配置

Ø 内外WEB站点的安全漏洞减为最低

Ø 网络体系达到强壮的耐攻击性

Ø 各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低

Ø 对网络访问做出有效响应，保护重要应用系统（如财务系统）数据安全不受黑客攻击和内部人 员误操作的侵害

6.1.2.4 审计与监控

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于去定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。

因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

6.1.2.5 网络防病毒

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，计算机

三、大企业分支互联方案如何？

经过十余年的发展，软件定义网络SDN和网络功能虚拟化NFV的商用部署深入，一个被重新定义了的网络时代已经到来。
与此同时，越来越多的企业要求网络具有更高的弹性、灵活性和成本效益，网络面临着愈发巨大的机遇和挑战。作为目前SDN最广泛有效的商业应用之一，软件定义广域网SD-WAN正在在大量企业内部部署。
在零售、物流、小型金融分支机构、连锁门店等单体规模较小的应用场景，基于SD-WAN与备受好评的“安全接入(Secure Access Architecture)”解决方案的融合，发布了全新的SD-Branch(软件定义分支机构)解决方案，可帮助分支办公室建立基础网络，并支持在单一的管理控制台上管理整个广域网络，使用管控平台作为SD-WAN CPE设备、NGFW和有线无线一体化管理器，实现 SD-WAN 的敏捷、安全、低成本部署与运维。
SD-WAN利用SDN技术实现网络设备的控制功能与数据转发功能相分离，可以最大限度发挥传统资源的性能，保证快速、灵活且经济高效的新网络功能。
对全网的业务情况进行实时的监控并展示，同时能够快速地对全网的配置进行动态调整。结合自主知识产权 的VPN技术，通过AUTO VPN技术实现总部端所画即所得的VPN网络拓扑，快速构建虚拟专网。
分支端uCPE设备通过SD-Branch的方式，包括下一代防火墙，上网行为管理等网功能，都能通过虚拟化软件方式随需部署，实现边界安全、传输安全、上网安全、移动安全、终端安全五大安全防护。
根据网络用户的不同类型及各区域的不同作用，可以将广域网架构大致分为五个部分：总部端、数据中心端、微型分支端、大中型分支端、跨国分支端。
在大企业分支互联场景，一贯的性能体验，能够满足大分支，甚至是大数据中心之间的SD-WAN互联需求，并对应用可见性、基于策略的流量控制、加密数据包检测和VPN可扩展性进行了全方位的提升。