企业网络的设计与实现汇编(三篇)

绪论：一篇引人入胜的企业网络的设计与实现，需要建立在充分的资料搜集和文献研究之上。搜杂志网为您汇编了三篇范文，供您参考和学习。

篇1

中图分类号：TM361 文献标识码：A 文章编号：1009-914X（2017）12-0262-01

前言

网络办公系统是按照电力企业的实际需要制定的自动化系统，它严格按照电力企业的实际运营业务，实现了办公的自动化信息统计、查询、采集等功能，只需要办公人员简单的计算机操作，便可以达到传统办公的目的，以为电力企业制定内部决策和管理提供了便利。在进行电力企业网络办公来系统的建设过程中，IT技术在现代化电力企业的应用和开发方面较多，如创设企业内部的新闻信息网站办公网络服务等，网络办公系统实现了数字化的电力企业运营模式，又最优化整合了企业内部的各项资源，扩大了办公室的管理范围和职能，也提高了电力企业整体的工作效能，所以，不断的探索IT技术在办公系统的建设和应用，是电力企业现代化建设的重要内容。

1 基于IT的电力企业网络办公系统的设计

本系统结合电力企业的管理运行机制，设计了一套完整的电力企业网络办公系统，系统被分为多个子模块，具体内容如图1所示：

1.1 公文管理模块

公文管理模块主要包含的工作内容是公文起草、公文查询、公文检索、公文删除。公文起草主要是用户起草企业新文件，并可以供企业用户查阅。公文查询是用户可以查找需要的企业内部文件。由于文件具有保密性，所以此模块针对每一位用户都有不同的使用权限，很多企业机密文件需要经过严格的上级领导的审核同意方可查阅。公文检索是为用户提供寻找文件的另一种方法，用户只需输入文件关键字便可进行文件搜索，此方法比较直观，操作单。公文删除主要是删除废用或旧版的企业文件。发文管理是对企业文件的新建、检索、删除、修改、查询操作。所有新建的企业文件都需要公司领导的审核，对合格文件加以公司印章，方可公布使用。

1.2 行政办公模块

行政办公模块主要包括电力企业正常办公涉及到的所有业务的信息汇总，包括企业办公的制度、管理及呈批管理。

1.3 督办管理模块

督办管理模块为办公系统的重点模块之一。主要是负责文档的办理，主要流程有：由办公室起草督办任务，交由对应办理部门办理督办任务，最后交由办公室主任和公司领导审批办理结果。督办管理就是对企业督办任务工作新建、检索、删除、修改、查询操作。督办管理者与公司领导将对新建企业任务及办理结果进行审核，对于符合条件的任务给予通过确认。

1.4 合同管理模块

合同管理模块主要是负责办公系统中的合同的管理工作，包括合同起草流程、审查合同流程、合同审批流程、合同编码流程。其中各个子部分的功能具体内容如下：（1）流程功能。用户能通过这个模块来起草新企业合同文件，并供企业用户查阅办理。（2）编码功能。用户能通过这个模块来对新合同进行编码，编码规则由系统依据已有规定编排，合同管理员只需按需选择即可。（3）查询功能。用户可通过此模块功能查找符合条件企业内部文件。由于文件具有保密性，针对不同用户级别赋予不同文件阅读权限。（4）删除功能。管理用户或公司领导可删除废弃合同文件。

1.5 公共信息模块

公共信息模块主要包括两方面的内容：电子公告和通讯录。电子公告主要包括企业发文、企业通知、企业公告。企业公文由专人或部门领导负责，可通过此模块对企业内部发送电子公告。通讯录展示了企业内部人员联系方式及职务。

1.6 个人办公模块

个人办公模块主要集合个人日常办公任务及个人设置。主要有个人工作任务体现及信息查阅。主要是员工个人对自己工作范围内的文件进行有效的处理。在此模块中每个员工都有各项使用权利。个人设置模块供用户配置个人信息，包括个人界面设置、常用单位、安全设置的个人密码等等。

1.7 系统管理模块

系统管理模块主要应用于管理员后台系统的维护。包含：企业机构管理、人员管理、印章管理、编码管理。企业机构管理为管理员提供修改单位信息的功能，管理员通过对此模块增删改操作，可修改企业管理内部部门清单信息及日常企业收发文件单位。人员管理主要指的是系统管理员对企业内部员工进行增删改，也可以通过此模块修改人员权限。印章管理是企业管理使用权限的一种方法，通过印章的添加删除和企业权限设置，方便企业文件的生成与生效。编码管理通过编码对合同及公文文件进行编号规范，严格控制最大流水号及组成方式。

2 基于IT的电力企业网络办公系统的实现

本系统是建立在WEB基础上的管理系统，本系统首先针对不一样的等级用户来设置不相同用户的权限，以权限来区分的话主要分为复核员、录入员、系统的管理员；另外，为了保障用户的密码安全性，采用的是MDS的加密算法，是对用户的密码进行加密；最后，为了使数据库的安全性得到保障，使数据库不被木马等一些恶意程序所攻击或下载，把数据库和WEB应用程序存储独立进行，提高其数据的安全性。其他系统功能模块的实现，是根据具体的模块内容和作用，使用IT技术，实现各个模块的数据库的管理和编制，对各个系统进行了编码，且实现了系统的各个功能模块基础上，并针对系统进行了界面、安全性能测试。依据各测试结果显示出系统界面是否友好，安全性能，系统的运行速度等等，以便系统的维护和管理。

结束语

综上所述，电力企业还有很大空间发展，网络办公系统便是电力企业进行现代化改革的重要内容，也是我国进行经济体制改革的重要手段。所以，电力企业一定要坚持“与时俱进”的原则，加大先进网络技术、IT技术的投入与建设，实现办公自动化系统的快速运用，实现日常办公的自动化，改善电力企业的办公环境。

参考文献

[1] 耿庆峰.办公自动化在电力企业管理过程的应用[J].信息与电脑（理论版），2013（10）.

篇2

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)26-6392-02

作为一种新型的信息安全技术，蜜罐技术不再因循传统信息安全的被动防御体系，它一方面能够作为独立的信息安全工具，另一方面也能够与其它信息安全工具协作。蜜罐技术通过构造网络诱骗环境，来研究网络入侵者的具体技术与行为。传统的网络安全系统往往拘泥于一种体系，该文的创新之处在于研究如何使其它安全技术与蜜罐技术相结合，从而实现一个高交互度级别的蜜罐系统，进而构成统一的网络安全基础设施。

1 网络安全蜜罐系统的理论设计与实现

1.1 系统总体设计

该文所设计的蜜罐系统由三部分构成：网关、监控机和虚拟蜜罐，如图1所示。

网关(HoneyWall)是以桥接模式部署的，网关接口以桥接方式连接，不会提供本身的 MAC 地址，对网络数据包也不会进行网络路由 和TTL递减，网关将控制和审计所有流入流出蜜罐系统的网络流量。

该文所设计的蜜罐系统引入多层次的数据捕获机制，分别是：

1) 防火墙。截获所有IP包，从其传输层协议头 以及IP头中获取相关信息，与事先设定的访问控制规则按顺序依次匹配，并执行其规定的动作。

2) 入侵检测系统。基于Snort的入侵检测系统监听流入流出蜜罐系统的全部网络流量，根据配置，对与Snort攻击特征相匹配的数据包产生报警日志，避免攻击。

3) 系统行为监视器。使用了Sebek来捕获攻击者基于加密信道的攻击行为。在蜜罐主机上以内核模块的方式安装Sebek客户端，在网关上安装Sebek服务端，存储来自多个蜜罐主机发来的Sebek数据。

蜜罐系统在网关上运行IPTables防火墙、Sebek服务端以及网络入侵检测系统Snort。引入VMware虚拟机软件虚拟出分别运行Windows XP和Linux操作系统的两个蜜罐主机，系统结构图如图2所示。

1.2 核心模块的理论分析与设计

1.2.1 数据控制模块

该文引入Linux 开放源代码的自带的防火墙IPTables实现数据控制，系统侦测到数据包的进入时，会通过路由表查询，来决定数据包的流向。接下来，将信息包所传递到的链中的每条规则与数据包的头信息进行比较，看与某条规则是否完全匹配。该文所设计的网络安全蜜罐系统信息包过滤过程如图3所示。

在信息安全主系统上IPTables发挥了两个作用，首先是记录流经主系统的数据流量，其次是限制由蜜罐网络发出的对外连接。引入IPTables的作用就是在数据捕获的同时实现第三方保护，有效的降低整个系统的风险，控制蜜罐的对外连接。

IPTables蜜罐系统中对数据包进行处理时，为减少日志中的冗余信息，对入站连接而言，仅仅对新建的连接进行记录，并默认所有的对内连接均为允许。相反，严格控制出站连接，只要原地址并非蜜罐地址，便记录并丢弃，从而避免由蜜罐发起的IP欺骗攻击；IPTables允许蜜罐系统发送和接收广播包，并使用基于广播的一些服务，从而诱骗黑客相信这是正常的一台服务器；此外，IPTables蜜罐系统对出站的连接数进行限制，从而避免黑客发动DoS攻击，同时也支持对第三方的保护。

1.2.2 入侵检测模块

本系统由Snort来实现轻量级的网络入侵检测。它能够对攻击进行实时报警，检测各种不同的攻击方式。

Snort 在本系统中的主要功能，首先是采集和分析在网关对进出蜜罐系统的数据，实现攻击的检测；其次是控制蜜罐系统的数据，根据策略对数据包进行规则匹配，以判定是否有第三方发起攻击，进行丢弃或修改。

本系统在设计中，将 snort sensor 网卡设置为混杂模式，对进入局域网的数据，引入libpcap抓包函数库的API进行截获和监控，同时通过相应的解包函数逐层按协议栈解码截获的数据包。在此基础上形成可被分析系统识别的数据包。根据 Snort 配置文件进行匹配，并记录匹配结果。图4所示为该文所设计的Snort的结构。

在入侵检测模块中，Snort的规则分析是实现的重点。Snort的规则逻辑由两部分构成，分别是：Rule Option(规则选项)和Rule Header(规则头)。在规则头中，包括所匹配网络报文的协议、规则的行为、目标地址、源地址和源端口和目标端口、网络掩码等信息；在规则选项中，则包含了判定报文是否为攻击报文的信息以及显示给用户查看的警告信息。

1.2.3 数据捕获模块

Sebek 是基于内核的捕获数据的工具，支持系统查看蜜罐的内部活动。

1）基于Sebek的数据记录。

Sebek有两个客户端和服务端组成部分，客户端捕获数据并输出到服务端，服务端收集数据后，既可以马上显示击键记录，也可以上传到相关数据库。该文所涉及的网络安全蜜罐系统数据捕获是通过对系统调用表的read()函数进行替换来进行的。如图5所示。

主要流程为：调用老 read()函数替换新函数，同时在一个数据包缓存拷贝内容，再加上一个数据包头，发送到服务端。通过改变系统调用表的函数指针来实现替换原来的函数。当标准的read()函数被用户空间的进程调用时，便会出发一个系统调用，这个系统调用通过到系统调用表数组映射，导致索引偏移。由于read索引的函数指针被Sebek修改，并指向到它自己的函数，因此Sebek修改后的read调用会在执行到内核的 read 实现时被触发，通过这个系统调用，Sebek便能够访问所有的数据。

2）基于Sebek的数据发送

当数据被Sebek客户端捕获的时候，数据应该在没有被入侵者察觉时就发送到服务端。通常在一个局域网内布置蜜罐，如果给服务端发送数据 只是由Sebek使用 UDP 流来完成，就会使入侵者通过网络上的数据传输监听来判别Sebek是否存在。因此，本设计在使用UDP发送数据给服务端的提示，通过修改内核，使这些数据包无法被用户看到，包括该类型使用相同配置的其它主机发送的数据包。具体的实现为：在任意一个read()调用请求 Sebek的时候，均能够产生日志数据包，每个日志数据包都体现出这个调用访问的数据和调用内容的信息。这些数据包均含有 Sebek 记录，这个Sebek记录包含产生调用的进程数据信息。由于完全由Sebek（而不是使用 TCP/IP 协议栈）产生这些包，因此这些数据包无法被系统看到或阻断。创建好数据包就直接发至驱动设备，而嗅探器的libpcap收集数据包是依赖使用原始套接字接口的，所以由Sebek产生的数据包嗅探器就无法看到了，从而实现了数据发送。

2 结束语

该文在snort入侵检测技术的基础上，研究和设计了一个具有高交互度级别特征的蜜罐信息安全系统，其中，重点阐述了基于蜜罐的数据捕获和数据控制功能的多层次设计上。在分析蜜罐系统的体系结构的基础上，深入研究了对蜜罐系统中使用到的 Snort体系和规则，具有比较好的理论意义和实践价值。

参考文献：

[1] 魏亮，周吉阳. 互联网网络与信息的安全策略[J].通信管理与技术，2011(6):15-18.

[2] 谭红斌，郑鑫. 网络安全防御系统的安全策略及系统框架研究[J].电脑开发与应用，2009,21(11):67-77.

篇3

中图分类号：TP311.52

网络行为管理系统旨在帮助网络管理员了解网络运行状况和带宽使用状况。作为网络管理较重要的工具之一，网络行为管理系统协助网络管理员更好的掌握网络状态，进而做出相应的管理调整，确保网络的连续正常运行。网络行为管理系统以旁路监听的方式接入网络，不改变网络系统的拓扑结构，对网络性能毫无影响。网络行为管理系统管理平台增加了网络用户管理功能，便于网络管理员管理用户信息，时时掌握网络用户的使用情况。网络行为管理系统基于Windows xp系统开发，对服务器的配置要求很低。即使一台简单得PC机完全可以应付工作。对于网络管理员，可以在任何一台内网机器上通过浏览器打开管理平台。大大降低了在网络方面的管理成本。网络行为管理系统能够监控网络中的数据并进行分析并提供管理平台。可以作为网络管理员有效的网络管理工具，提高网络使用效率。

1 系统需求分析

本企业的网络现状是大部分内网用户因为业务需要具有访问互联网的权限，而连接互联网的链路带宽有限，经常会在工作时间出现带宽占满的情况。行政管理者无法找到带宽使用最多的用户和在工作时间做与工作无关网络行为的用户。

根据现状需要解决如下问题：

（1）能够记录用户访问信息。

（2）能够将办公网内用户的配置信息统一管理。

（3）能够记录内网用户间的访问信息。

网络行为管理系统通常分为两种模式，分别是路由模式和透明模式。路由模式是将网络行为管理系统放置于互联网总出口处，凡是访问互联网的的数据都通过它，可以进行更加严格的权限策略管理。但是，缺点是内网用户间的访问状况就没有监听到。为了达到能够监听到内网用户间的数据和内网用户访问互联网的数据，可以采用透明模式。采用透明模式，捕获内网用户间的网络数据和内网用户访问互联网的网络数据，并进行协议分析，存入数据库，通过管理平台读取数据库的数据进行分析。

设计需求：

（1）实用、稳定、先进、可靠，以实际应用需要为设计依据确保系统总体优化、安全可靠和稳步推进。

（2）充分考虑功能扩容性和技术升级性，以求得最佳的性能价格比。

（3）采用透明模式接入，不破坏现有网络格局。

（4）不需要安装客户端软件，不影响内网用户使用网络。

功能需求：

（1）监听网络内数据，并分析协议。

（2）将分析处理后的数据传入数据库。

管理平台需求：

（1）能够增加删除系统管理员。

（2）能够管理所有用户的信息，增加、删除或修改。

（3）能够查看用户访问记录，内容包含源、目的IP、MAC、协议信息。

性能需求：

在数据量较大的网络中，高效的网络管理可以保障网络的高效使用。本系统最大的目的是快速捕获数据包并进行协议分析，系统的缓慢降低系统的运行效率，不科学的部署还会影响系统在网络的监控能力。因此，在设计与实施中要采用先进的网络技术和系统，最大限度地提高系统的响应速度。本系统采用Mysql数据库并结合PHP开发管理控制平台，能够安全高效的完成对数据的查询、更改。

2 系统设计

2.1 网络数据处理中心设计

Winpcap提供了数据包的捕获功能，在不同的应用中需要设计不同的协议分析模块。针对不同的协议，设计相应的协议分析功能，是基于Winpcap应用的关键所在[1]。

（1）获得本地网络驱动器列表

首先使用WinPcap应用程序函数获取服务器端网卡列表，然后再对捕获网络数据端口进行设定。WinPcap提供pcap_findalldevs_ex（）函数来实现此功能。函数返回一个pcap_if结构体链表，结构体都包含了一个适配器的详细信息。取得网卡列表后显示出来并供用户选择，如果网卡没有被发现就显示有关错误。

（2）打开设备并将其设为混杂模式

网卡在一般工作模式下只接受去往它的包，忽略去往其他主机的数据，混杂模式下的网卡它将接收所有的流经它的数据，这说明在同一个网络里设备可以捕获到本网络其他设备的数据[2]。因此常见的抓包工具通常使用混杂模式。使用pcap_findalldevs_ex（）捕获到网卡后，通过pcap_open（）函数调用此设备。

（3）编译并设置过滤器

数据包过滤处理是数据包捕获技术中的难点和重点，WinPcap或libpcap最强大的特点之一就是数据流的过滤引擎。设置数据流过滤规则实现信息包过滤，用来过滤数据包的函数是pcap_compile（）和pcap_setfilter（）。pcap_compile（）将一个高层的布尔过滤表达式编译成一个能够被过滤引擎所解释的低层的字节码。

pcap_setfilter（）将一个过滤器与内核捕获会话向关联。调用pcap_setfilter（）时，过滤器将被应用到来自网络的所有数据包。所有的符合要求的数据包，将会复制给应用程序。

（4）捕捉保存数据包

使用循环调用pcap_next来接受数据包。这个函数的参数和回调函数pcap_loop（）一样是由一个网卡描述符作为入口参数和两个指针作为出口参数，这两个指针将在函数中被初始化，然后再返回给用户。我们使用pcap_next_ex（）进行数据包的捕获。

（5）数据包协议解析

捕获后的数据经过解析才能得到想要的信息，如源地址，目的地址，协议类型等信息。因此需要关注的帧的格式，解析的过程是将数据帧中的数据按不同协议进行分析提取。

2.2 数据库设计

数据中心是对来自网络数据处理中心的网络数据作进一步的分析、还原、存储，并根据管理控制台下发的查询指令进行响应。数据中心的主要功能是存储经过处理后的网络数据，和网络管理员通过管理平台删除、增加、修改网络用户的管理信息。网络数据处理中心分析完TCP/IP数据包，还原应用层协议后，将结果存放在数据库中，为了方便以后网络管理员的查询，设计表的时候就要求简洁、易懂。

（1）基础信息维护模块模型如图1所示。

图1 基础信息维护模块物理模型

（2）抓包信息模块如图2所示。

图2 抓包信息模块物理模型

3 功能实现

运行环境配置：

（1）下载WinPcap的安装文件WinPcap_4_1_2.exe，程序员开发包WpdPack_4_1_2.zip，SDK开发环境。

（2）执行安装文件，本机就能运行winPcap程序了。

（3）解压开发包，在VC的option的include和lib中加入winPcap的include和lib。

（4）在程序中加入#include ， #include 。然后在工程的setting中加入预定义宏：WPCAP } HAVE_ REMOTE，导入wpcap.lib库。

在登陆页面输入用户名和密码，点击登陆按钮，将输入的内容提交给登陆验证页面，将输入的的内容连接到数据库查询，验证通过，进入http：//127.0.0.1：8080/function.php，验证失败，进入http：//127.0.0.1：8080/loaderro.php，提示“无权限”。

系统设置页面连接数据库aduser表，读取系统管理员账号信息。并通过增加管理员和删除管理员按钮，来增加或删除系统管理员账号。

用户管理功能是让系统管理员更清楚地掌握本网络内用户的网络配置信息，并通过增加用户和修改用户按钮来增加用户或是修改用户信息，点击删除用户按钮来删除用户，点击查询可以通过IP、MAC两项来查找用户。

日志查看功能帮助网络管理员直观的看到本网络内用户访问的网址和使用的协议以及时间。通过查询网段设置和协议类型设置可以过滤掉不需要的信息，提高管理效率。

网络数据处理中心应用在服务器上，由网络数据处理中心的sniffer工具在网络层捕获数据包，并进行协议分析，并将数据传送给数据库，以供管理控制台进行查询或修改操作。

参考文献：

[1]刘文涛.网络安全编程技术与实例[M].北京：机械工业出版社，2008.

[2]赵心宇，朱齐丹，朱达书.应用winPcap捕获网络数据包[J].应用科技，2004，31（11）：29-31.

[3]雷震甲.网络工程师教程[M].北京：清华大学出版社，2006.