电子商务网络管理解决方案

1电子商务网络管理解决方案目录引言：.................................................................2一、方案概述........................................................2二、网络系统现状....................................................2三、电子商务网络管理解决方案........................................3i.方案一：windowsever2003建立域控制器后，域控制器里进行组策略分配。................................................................3ii.方案二：利用ACL控制访问列表来限制用户上网；....................8iii.方案三：使用ISA限制用户上网；.................................9iv.方案四：使用硬件防火墙；........................................9v.方案五：使用软件防火墙；........................................9vi.方案六：用户划分进行虚拟局域网划分进行网络管理。...............10四、结论：.........................................................112引言：随着网络规模的扩大划入复杂性的增加，网络管理已经成为整个网络系统中不可缺少的重要部分，是网络可靠、安全、高速运行的保障和必要手段。网络管理集中了通信技术和计算机网络技术两个方面，包括了信息的传输、存储和处理技术，而且也包括了各种信息服务、仿真模拟、决策支持、专家系统、神经网络以及容错技术，他们运用于网络管理之中，并形成了比较完整的技术学科。一、方案概述方案背景：李总最近在为公司里上班时间员工上网的事情发愁，他知道完全断开网络不好，会造成员工与外部世界的部分隔离；但完全开放网络也不好，容易导致工作效率下降，员工不安全工作。问题提出：李总想再招聘一位网络管理人员，专门负责公司网络的管理，同时也一定要解决这个问题。希望：对互联网的间断管理，写出详细解决该问题的方案，为李总解决烦恼二、网络系统现状1.背景分析：随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在IDC对全世界企业网络使用情况的调查中发现，在上班工作时间里非法使用邮件、浏览非法Web网站、进行音乐/电影等BT下载或者在线收看流媒体的员工正在日益增加，令网络管理者头疼不已。据IDC的数据统计，企业中员工30%至40%的上网活动与工作无关;而来自色情网站访问统计的分析表明：70%的色情网站访问量发生在工作时间。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。因此，如何有效地解决这些问题，以便提高员工的工作效率，降低企业的安全风险，减少企业的损失，已经成为中国企业迫在眉睫的紧要任务。当前内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，3从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。越来越多的企事业单位需要对内网进行统一管理以调整网络资源的合理利用。2.网络现状与需求简单描述客户的网络现状及需要解决的问题，客户现状N台Mac，N台电脑，1台服务器；防火墙一台，两台D-link24口交换机，一台TP-Link24口交换机。客户需求（1）禁用QQ（2）限制部分用户上网（3）内外邮件监控（4）文件复制监控（5）禁用U盘拷资料（6）总公司与分公司内部电话及传真“零”费用三、电子商务网络管理解决方案i.方案一：windowsever2003建立域控制器后，域控制器里进行组策略分配。（一）域控制器＋组策略控制器１、配置域控制器域控制器存储数据并管理用户和域交互，包括用户登录过程、身份验证和目录搜索。如果您计划使用该服务器想网络用户和计算机提供ActiveDirector目录服务，则应将该服务器配置为域控制器。配置域控制器安装向导，有以下步骤：域控制器类型；创建新域；网络凭据；子域安装；NetBIOS域名；数据库和日志文件文件夹；共享的系统卷；4DNS注册诊断；权限；目录服务还原模式管理员密码。２、配置组策略控制启动5①利用组策略禁用IE软件。利用“组策略”禁止QQ或其他程序1、开始/运行/gpedit.msc，打开“组策略”编辑器2、在左边“本地计算机策略”找到“用户配置——管理模板/系统”3、在右边“策略”中选择“不要运行指定的windows应用程序”并双击打开其属性对话框4、在对话框中选择“启用”，然后单击“显示”，出现“显示内容”对话框，单击“添加”，直接输入QQ.exe，再依次确认，并同意修改注册表即可。利用此法禁用QQ后，即使重新安装QQ也是不行的。同时此法可以用来禁用其他程序的运行。②利用组策略隐藏收藏菜单。方法请参考隐藏文件夹窗口的收藏菜单方法如下:1、运行gpedit.msc打开组策略管理器2、找到“用户配置/管理模板/windows组件/InternetExplorer/浏览器菜单/隐藏收藏菜单”，启用即可。③、清除收藏菜单的链接内容，如果不清除，使用者可以打开某一文件夹窗口，然后右击工具栏打开链接铵钮，从而可以打开其中的链接页面。④、设置一个无效的IE代理地址。如果没有设置此项，则使用者可以打开文件夹窗口，然后输入网页地址到地址栏即可打开网页，所以一定请设置一个无效的代理地址。我的方法是：右击IE，选择属性，选择连接，选择局域网设置，设置LAN的代理为127.0.0.1，端口21。⑤、注册表1.打开注册表。2．HKEY_USERS\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM下，在右面的窗口中新建一个DWORD值“NoProfilePage,然后设置其值为”1“。至此，IE已经被禁止浏览网页，而电脑拥有者自己可以使用其他浏览器来浏览网页。具体举例某公司禁止部们员工上网如下：1、打开“AD用户和计算机”，在wanxing.cn域上新建一个OU，命名为：Client（组织单元里有用户thin-01）6３、右击Client，打开Client属性，点击“组策略”，展开“组策略”属性，点击“新建”按钮，新建一组策略对象，重命名为“禁止上网”。(1)选择“禁止上网”这一策略对象，点击“编辑”按钮，打开“组策略编辑器”，然后在左侧的控制台树中依次展开：用户配置→Windows设置→InternetExplorer维护→连接。7(2)在右侧的详细窗格里双击“代理设置”策略项，然后在弹出对话框上勾选“启用代理服务器设置”复选框，然后将代理服务器设置为“127.0.0.1”，如下图所示，应用了这条组策略，IE浏览器就无法访问Internet。(3)在“运行”输入：cmd，打开命令提示符，然后输入：gpupdate/force(手动更新组策略，使策略立即生效)8(4)输入：gpresult（查看组策略应用结果）3、回到域客户端XPDC，打开IE浏览器，验证策略应用结果如下图所示：ii.方案二：利用ACL控制访问列表来限制用户上网；访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包时接受还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示来决定。因此ACL就是使用包过滤技术。ACL的功能有很多，主要的有：1限制网络流量，提高网络性能。2提供网络访问的基本安全手段。3在路由器接口处，决定哪种类型的通信数据可以被转发，哪种类型的通信数据被阻塞。建立访问控制列表后，可以限制网络流量，提高网络性能，对通信流量起到控制的手段，这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后，可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。9iii.方案三：使用ISA限制用户上网；使用ISA限制用户上网有很多技巧，主要有：利用IP+Arp静态绑定；用户身份验证；Web代理与基本身份验证DNS设置问题；依靠身份验证限制用户。iv.方案四：使用硬件防火墙；硬件防火墙的具体配置步骤如下：1.将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。2.打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3.运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在附件程序组中）。对超级终端的配置与交换机或路由器的配置一样。4.当PIX防火墙进入系统后即显示pixfirewall的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5.输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。6.输入命令：configureterminal,进入全局配置模式，对系统进行初始化设置。（1）.首先配置防火墙的网卡参数（2）.配置防火墙内、外部网卡的IP地址（3）.指定外部网卡的IP地址范围：（4）.指定要进行转换的内部地址（5）.配置某些控制选项：v.方案五：使用软件防火墙；以下使用软件防火墙的操作流程：第一步：配置防火墙接口的IP地址10进入防火墙的配置页面：网络配置→接口IP，单击添加按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。第二步：配置NAT规则进防火墙配置入配置页面：安全策略→安全规则，单机页面上方的NAT规则按钮添加NAT规则。NAT规则中我们队内部访问外部的HTTP流量进行NAT转换。第三步：验证测试在内部用户PC上访问外部的Web服务器1.1.1.100，可以成功访问。使用客户端下载Web服务器上的文件，观察下载速率，大约为2.5MB/s(20Mbps).第四步：配置带宽列表进入防火墙配置页面：对象定义→带宽列表，单击页面中的添加按钮创建带宽列表。在带宽列表中配置保证带宽为512Kbps。第五步：应用带宽列表进入防火墙配置页面：安全策略→安全规则，对之前创建的NAT规则进行编辑。在NAT规则的“流量控制”下拉框中选择刚才创建的带宽列表“http_limit”。第六步：验证测试在内部用户PC上从Web服务器下载文件，观察下载速率，最后下载速率稳定在大约65KB/s，约520Kbps，与之前设置的最大宽带512Kbps相近。vi.方案六：用户划分进行虚拟局域网划分进行网络管理。划分的4种策略：1.基于端口的VLAN划分。2.基于MAC地址的VLAN划分。3.基于路由的VLAN划分。4.基于策略的VLAN划分。就目前来说，对于VLAN的划分主要采用上述第1和3方式，第2种方式为辅助性的方案。但对于那些没有采购网管软件预算的企事业单位，可以通过以下几个方法来查看局域网上网流量、检测电脑上网带宽。具体如下：11（1）用掩码将网段划分为不同的网段，这样可以减少一定的网络广播，可以实现邻近的网点快速的通讯。（2）建立Vlan第一个优点是：能有效遏制机构范围内的广播和组广播，进行跨园区的带宽和性能治理。第二个优点是：网络变更造成的治理任务大大缩减，即治理员可以减少在整个网络上添加用户移动和改变用户物理位置的工作量。四、结论：综上所述，我们小组认为方案一比较好。组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。大家都知道一些常用的系统、外观、网络设置等我们往往通过控制面板进行修改，不过通过控制面板能修改的东西太少了，不能满足用户的需要；有一些专业水平的朋友可以使用修改注册表的方法来设置，