如何构建安全的网络架构的方案

“人在江湖漂，哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今，企业在网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上，看看别人的应用实践和组网思路，应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中，网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域，面向公众供直接访问的开放网络;数据区，通过防火墙隔离的、相对安全和封闭的数据资源区，把大量重要的信息资源服务器放置在该区域内，在较严密的安全策略控制下，不直接和外网访问用户发生连接;内部工作区主要连接内网服务器和工作站，完成网站管理、信息采集编辑等方面的工作。 布阵 采用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机，利用光纤、微波、电话线等通信介质，实现各部门、地市的网络接入。出于性能和安全上的考虑，数据区放在第二道防火墙之后。对于Web服务器的服务请求，由Web服务器提交应用服务器、数据库服务器后，进行相关 *** 作。 为避免网站内容遭到入侵后被篡改，在数据区还设置一个Web页面恢复系统，通过内部通讯机制，Web恢复系统会实时检测>请问楼主 这300台规模网络具体应用是什么？ 在管理上有什么要求。 如果说纯粹把300台分成你所谓的“4个部分”，我这里理解你的“4个部分”就是单只4个网段？如果是那么就不需要什么服务器。只需在交换机上划分4个VLAN即可！以300台电脑 这么简单网络环境根本不需要3层交换机如果平均算起来你需要8个48口的2层交换机（某些地方可以换HUB来降低成本） 这个交换机价格不一 CISCO 千兆接口最低端48口2900些列 大概要4000多一个吧？TP、LP这些不如眼的东西就便宜多了（要求不高的话选这些产品来降低成本是可以考虑的） 如此看来，在外网接入上也无需多好路由器。 这里说的和网吧网络相似的环境 只不过网吧 不需要VLAN 大体看来成本也就几万。 如果说你300台是在企业内部，那就另当别了。也应该是划分4个网段 但一般企业内部都是通过域管理整个网络。如果是这样的情况那么根据公司 一定需要一台或者多台“域控制服务器”，在根据具体需要 你可能会用到 文件服务器 WEB服务器 DNS服务器 邮件服务器 数据库服务器 FTP服务器 打印服务器等等这些角色服务器（角色服务器并不是指单一硬件，可以把多个角色放在一台电脑上）。。。 但以上说的服务器并不是直接分配在各个网段之内 而是专门放在一个网段一个VLAN里 专业点的这个网段可以是DMZ区域。如果说其他网段需要服务器一般都是 扮演“中继”角色的服务器而已。说到DMZ区那么这里就要用到 “硬件防火墙”对于企业的路由器选择根据需要可以选用相对高级别的网络设备 在各个分区也可以考虑用“三层交换机”加快局域网访问速度。但以300台规模大可不必 倆字儿“浪费”！如果是这样这个成本高达10多万 几十万不等 如果都用正版软件 光软件 都要100多万 当然可以用D版。 如果满意 请给个最佳 逼人不胜感激！ 我的QQ:43414982 如有疑问 可以共同探讨。

1、现在不仅是大型企业需要租用服务器，小型企业和个人也开始越来越多的使用服务器。和虚拟主机相比，服务器的整体性能和配置要好。

2、如果是个人的网站，使用空间就足够了，如果是资金充足，对性能要求特别高的话，也可以选择服务器租用。

3、个人租用服务器要看自己的网站是多大的规模和访问量的多少，需要多大的空间和配置。

4、如果网站是比较小型的PHP页面或者论坛，使用云主机和VPS都是可以满足需求的。当然，这种价格相对会低一些，具体的需要看选择的线路和配置来决定，国内的VPS或云主机一般要比海外的稍微便宜一些。

5、如果是租用服务器也是同样的，不同的配置和线路价格都是不一样的，就算是这些都一样，如果选择的服务商不一样，价格也是有差别的。

我最近自己在做 看下能不能帮你
1、Vlan的定义（virtual local network，虚拟局域网）是指：在一个物理网络上划分出来的逻辑网络，这个划分出来的逻辑网络是可以跨不同网段、不同网络的端到端的逻辑网络。这个网络应用于OSI模型的第二层数据链路层。
使用vlan有以下的有点：
1）控制网络风暴。
2）提高整个网络整体的安全性。
3)网络管理简单、直观。
vlan的种类。
基于端口的vlan 可以分为两种分别是Port vlan和tag vlan。
基于Mac地址的vlan。
基于网络协议的vlan。
基于IP组播的vlan。
基于规则的vlan。
划分vlan配置：
将vlan的名字命名为COM， *** 作如下：
Switch# configure terminal‘进入全局配置模式。
Switch#（config）# vlan counter ‘创建一个vlan 并且进入配置模式。
Switch（config-vlan）#name COM
分支交换机分别为：par1、par2、par3，分别通过port 1的光线模块与核心交换机相连；并且假设vlan名称分别为counter、market、managing……
需要做的工作：
1、设置vtp domain（核心、分支交换机上都设置）
2、配置中继（核心、分支交换机上都设置）
3、创建vlan（在server上设置）
4、将交换机端口划入vlan
5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。
交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的vlan列表。
com#vlan database 进入vlan配置模式
com(vlan)#vtp domain com 设置vtp管理域名称 com
com(vlan)#vtp server 设置交换机为服务器模式
par1#vlan database 进入vlan配置模式
par1(vlan)#vtp domain com 设置vtp管理域名称com
par1(vlan)#vtp client 设置交换机为客户端模式
par2#vlan database 进入vlan配置模式
par2(vlan)#vtp domain com 设置vtp管理域名称com
par2(vlan)#vtp client 设置交换机为客户端模式
par3#vlan database 进入vlan配置模式
par3(vlan)#vtp domain com 设置vtp管理域名称com
par3(vlan)#vtp client 设置交换机为客户端模式
设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数，同步本vtp域中其他交换机传递来的最新的vlan信息；client模式是指本交换机不能创建、删除、修改vlan配置，也不能在nvram中存储vlan配置，但可同步由本vtp域中其他交换机传递来的vlan信息。
2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。
cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的isl标签。isl（inter－switch link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议，通过在交换机直接相连的端口配置isl封装，即可跨越交换机进行整个网络的vlan分配和进行配置。
在核心交换机端配置如下：
com(config)#interface gigabitethernet 2/1
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/2
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/3
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
在分支交换机端配置如下：
par1(config)#interface gigabitethernet 0/1
par1(config-if)#switchport mode trunk
par2(config)#interface gigabitethernet 0/1
par2(config-if)#switchport mode trunk
par3(config)#interface gigabitethernet 0/1
par3(config-if)#switchport mode trunk
……
设置完毕了。
3、创建vlan建立了管理域，就可以创建vlan了。
com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan
com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan
com(vlan)#vlan 12 name managing 创建了一个编号为12 名字为managing的 vlan
……
4、将交换机端口划入vlan
将par1、par2、par3……分支交换机的端口1划入counter vlan，端口2划入market vlan，端口3划入managing vlan……
par1(config)#interface fastethernet 0/1 配置端口1
par1(config-if)#switchport access vlan 10 归属counter vlan
par1(config)#interface fastethernet 0/2 配置端口2
par1(config-if)#switchport access vlan 11 归属market vlan
par1(config)#interface fastethernet 0/3 配置端口3
par1(config-if)#switchport access vlan 12 归属managing vlan
par2(config)#interface fastethernet 0/1 配置端口1
par2(config-if)#switchport access vlan 10 归属counter vlan
par2(config)#interface fastethernet 0/2 配置端口2
par2(config-if)#switchport access vlan 11 归属market vlan
par2(config)#interface fastethernet 0/3 配置端口3
par2(config-if)#switchport access vlan 12 归属managing vlan
par3(config)#interface fastethernet 0/1 配置端口1
par3(config-if)#switchport access vlan 10 归属counter vlan
par3(config)#interface fastethernet 0/2 配置端口2
par3(config-if)#switchport access vlan 11 归属market vlan
par3(config)#interface fastethernet 0/3 配置端口3
par3(config-if)#switchport access vlan 12 归属managing vlan
……
5、配置三层交换
Vlan基本划分完毕。vlan间如何实现三层（网络层）交换，给各vlan分配网络（ip）地址。给vlan分配ip地址分两种情况，其一，给vlan所有的节点分配静态ip地址；其二，给vlan所有的节点分配动态ip地址。两种情况分别介绍。
vlan counter分配的接口ip地址为17216581/24，网络地址为：17216580，
vlan market 分配的接口ip地址为17216591/24，网络地址为：17216590，
vlan managing分配接口ip地址为17216601/24， 网络地址为17216600
……
动态分配ip地址，网络上的dhcp服务器ip地址为17216111。
(1)给vlan所有的节点分配静态ip地址。
在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待，就象路由器上的一样，如下所示：
com(config)#interface vlan 10
com(config-if)#ip address 17216581 2552552550 vlan10接口ip
com(config)#interface vlan 11
com(config-if)#ip address 17216591 2552552550 vlan11接口ip
com(config)#interface vlan 12
com(config-if)#ip address 17216601 2552552550 vlan12接口ip
……
在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址，并且把默认网关设置为该vlan的接口地址。这样，所有的vlan也可以互访了。
(2)给vlan所有的节点分配动态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址，如下所示：
com(config)#interface vlan 10
com(config-if)#ip address 17216581 2552552550 vlan10接口ip
com(config-if)#ip helper-address 17216111 dhcp server ip
com(config)#interface vlan 11
com(config-if)#ip address 17216591 2552552550 vlan11接口ip
com(config-if)#ip helper-address 17216111 dhcp server ip
com(config)#interface vlan 12
com(config-if)#ip address 17216601 2552552550 vlan12接口ip
com(config-if)#ip helper-address 17216111 dhcp server ip
……
在dhcp服务器上设置网络地址分别为17216580，17216590，17216600的作用域，并将这些作用域的“路由器”选项设置为对应vlan的接口ip地址。可以保证所有的vlan也可以互访。
网络管理系统设计
1、DNS：域名系统（服务）协议
Domain Name System and Domain Name Service Protocol
域名系统（服务）协议（DNS）是一种分布式网络目录服务，主要用于域名与 IP 地址的相互转换，以及控制因特网的电子邮件的发送。大多数因特网服务依赖于 DNS 而工作，一旦 DNS 出错，就无法连接 Web 站点，电子邮件的发送也会中止。
DNS服务主要在广域网中使用。
Web服务器传送(serves)页面使浏览器可以浏览，然而应用程序服务器提供的是客户端应用程序可以调用(call)的方法(methods)。确切一点，你可以说：Web服务器专门处理>电脑主机在不考虑稳定性的前提下是可以用做服务器。
1在电脑主机上安装“IIS”可以实现WEB服务器的功能。
2IIS（Internet Information Server，互联网信息服务）是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。
3IIS是Windows中的软件。Win2k/2k3/xp （XP家庭版没有IIS）都可以在“控制面板→添加/删除程序→添加/删除Windows组件→Internet信息服务（IIS）”前的小钩去掉（如有），重新勾选中后按提示 *** 作即可完成IIS组件的添加。用这种方法添加的IIS组件中将包括Web、FTP、NNTP和SMTP等全部四项服务。
4 有了IIS意味着能发布网页，并且有ASP（Active Server Pages）、JAVA、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，象有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEX SERVER）、有多媒体功能的（NET SHOW）
没有最低配置，以提供服务的资源或程序需要为准。
一、安装IIS
从桌面打开“我的电脑“,进入后打开“控制面板“,好，这时找到“添加/删除程序“,进行双击；在d出的窗口中，单击“添加/删除Windows组件“,等待，会
d出一个窗口，这里可以进行选择，看要安装什么组件。
也就是在这一个名称前面的四角框打上勾;（当然，也可以对“Internet信息服务(IIS)“这一条进行双击，这时就会d一个窗口，里面又可以进行选择，看哪些不需要安装都可以去掉勾。）
选好了以后，单击“下一步“,这时就会d出一个进度条，安装过程中会提示插入跟当前所用的系统版本相对应的系统安装盘；例如：系统是XP，那就插入XP系统安装盘；
2000就插入2000系统安装盘。建议用2000server的的系统做服务器会比较稳定，而且人数访问限制可以自由设置。放入光盘后，单击确定。完成后，开始设置IIS。
二、设置IIS
也是打开“控制面板”--->然后打开“管理工具”--->这时找到刚安装的“Internet 服务管理器“,双击；看到的是“Internet信息服务“窗口,
这时对，左窗口的“Internet信息服务”文字下边的“电脑的计算机名旁的+号进行单击，d出下一级目录，现在只要做网站服务器，其它功能不需要，都把它停止运行，
免得被人攻击，如：”默认FTP站点“，现在不需要，对该项进行右击选”停止“。看到的都照这个步骤弄”停止“服务，只留一个”默认web站点”为”启动“状态。
接下来开始设置站点吧。对“默认web站点”右击，选择”属性“，d击一个名为”默认web站点属性”的窗口，要设的第一个“Web站点“:
详细设置列表：
Web 站点标识
说明： 默认Web站点
IP 地址： (全部未分配)
TCP 端口： 80 (填80)
连接
无限 (不限制访问人数，就单击前边的圆圈)
限制到 (要限制访问人数，就单击前边的圆圈和输入限制连接的人数)
连接超时:30(秒)
启用保持 >