超级会员免费看
互联网连接规划与远程访问策略制定
1. 互联网服务提供商(FSI)选择
在选择互联网服务提供商(FSI)来实施虚拟专用网络(VPN)或其他互联网连接解决方案时,需要考虑多个关键因素:
-
可靠性评估
:
-
连接方式
:了解FSI如何与其他网络节点相连,这关系到网络的稳定性和传输效率。
-
财务可靠性
:评估FSI的财务状况,确保其有能力持续提供稳定的服务。
-
服务保障
:查看FSI是否提供服务级别协议(SLA)或相关保障,以确保在服务出现问题时能够得到及时解决。
-
安全功能
:检查FSI是否提供入侵检测系统(IDS)或防火墙等安全功能,以保护网络免受外部攻击。
-
带宽报告
:确认FSI能否提供每日或每周的带宽使用报告,以便更好地管理网络资源。
此外,许多FSI会超额预订带宽,他们假设并非所有客户都会同时使用100%的分配带宽。这种做法类似于航空公司超额预订机票,认为总会有部分客户不会按时登机。
2. VPN带宽需求计算
计算VPN的带宽需求时,需要考虑以下两个主要因素:
-
用户数量
:确定将访问网络的用户数量,这直接影响到网络的并发访问量。
-
其他网络服务
:了解VPN将承载的其他网络服务,如VoIP(网络电话)、邮件、网页浏览等,并确定它们各自占用带宽的比例。
| 服务类型 | 带宽影响 |
|---|---|
| VoIP | 需要稳定的带宽以保证语音通话质量,会增加网络流量和带宽消耗。 |
| 邮件 | 相对带宽消耗较小,但大量邮件收发时也会占用一定带宽。 |
| 网页浏览 | 带宽需求因网页内容而异,高清图片和视频较多的网页会消耗更多带宽。 |
3. 网络地址转换(NAT)
3.1 NAT原理
NAT(网络地址转换)是一种允许私有网络连接到互联网的协议。私有IP地址(如10.0.0.0/8、172.16.0.0/12和192.168.0.0/16)如果不转换为公共IP地址,就无法访问互联网资源。NAT服务器会转换网络上流动的IP数据包和端口,将私有IP地址转换为公共IP地址,同时为每个连接创建唯一的端口号。
3.2 NAT服务器的工作
NAT服务器会删除与会话关联表中端口号不匹配的数据包,以确保网络安全和数据的准确性。
3.3 NAT策略制定
在为企业网络基础设施制定NAT策略时,需要根据企业规模和用户需求来判断NAT是否是合适的选择。同时,可以通过以下方式保护NAT解决方案:
-
出入过滤
:在NAT接口上配置过滤规则,控制进出网络的流量。
-
特殊端口
:将外部用户的连接关联到私有网络上的特定私有地址。
-
地址池
:使用地址池来管理公共IP地址的分配。
4. 常见问题解答
4.1 网络冗余问题
对于一家开始利用互联网销售鱼饵的中型企业,在实施网络冗余(备用服务器和备用互联网连接)之前,需要评估两个方面:
-
服务中断成本
:计算服务中断对企业造成的损失。
-
连接问题成本
:量化因互联网连接问题导致的中断成本。在某些情况下,冗余的成本可能会超过连接问题造成的损失。
4.2 单点故障问题
对于一家依赖互联网进行超过95%商业交易的小型软件开发公司,网络中的多个组件都可能成为单点故障点,如路由器、交换机或NAS服务器。任何一个组件出现故障都可能导致员工无法访问互联网,影响工作。
4.3 FSI选择标准
对于一家需要FSI来实施网络服务并考虑部署VPN的小型房地产代理公司,选择FSI时应关注其安全功能(如IDS或防火墙)、互联网连接的可靠性以及是否提供服务保障或SLA。
4.4 远程访问问题
对于一家实施远程访问策略的服装企业,要确保100名员工能够远程连接到企业数据库服务器查询价格,需要评估每个员工的带宽需求,了解应用程序所需的带宽和数据库程序产生的流量。
4.5 网络变慢问题
一家中型摄影企业安装新的电话系统(VoIP)后网络变慢,原因是VoIP利用现有网络基础设施传输语音消息,增加了带宽消耗和网络流量,导致网络速度下降。
4.6 服务执行问题
在规划网络基础设施时,了解特定计算机上运行的服务非常重要。因为带宽是创建适合用户的系统的重要因素,将需要相互通信的服务组合在一台计算机上,可以减少这些计算机产生的流量,为用户提供所需的带宽。
4.7 NAT实施问题
- 兼容性检查 :在实施NAT解决方案之前,需要验证客户端计算机上运行的应用程序是否与NAT兼容。
- 网络配置 :NAT服务器需要正确配置两张网卡,一张用于连接内部私有网络,另一张用于连接DSL线路。
4.8 客户端配置问题
如果客户端已经配置了私有IP地址和子网掩码,只需在默认网关字段中修改或添加NAT服务器的IP地址,即可将客户端连接到NAT服务器。
4.9 连接问题原因
实施NAT后,客户端无法连接到互联网但能访问NetWare 4.11服务器,可能是因为NetWare服务器运行的是IPX/SPX协议,而NAT要求客户端配置TCP/IP协议。解决方法是将客户端计算机配置为使用TCP/IP协议。
4.10 NAT保护选项
对于管理多个域名和公共IP地址的Glasgow,可以通过以下方式保护NAT解决方案:
-
创建入站过滤
:限制NAT服务器仅允许特定IP地址的连接,确保只有合法用户能够访问系统。
-
创建出站过滤
:控制流向互联网的流量,阻止某些类型的流量。
-
保护私有服务
:采取措施保护网络上的私有服务,防止外部非必要用户访问。例如,允许远程用户连接到企业内部网的Web服务器,但拒绝他们访问其他文件服务器。
4.11 地址转换问题
对于将服务器迁移到Windows Server 2003、邮件系统迁移到Exchange Server 2000并将部分客户端迁移到Outlook 2003的Paris企业,NAT无法对RPC(远程过程调用)进行地址转换。不过,Exchange 2003包含Windows Server 2003 RPC Proxy服务,允许RPC穿越NAT。
4.12 NAT适用性问题
对于为政府工作的小型企业,NAT不是一个好的解决方案,除非使用IPSec NAT - T(IPSec穿越NAT)扩展,它允许IPSec数据包穿越NAT设备。
4.13 NAT配置问题
对于一家需要多个用户通过FSI提供的公共IP地址访问互联网的会计事务所,配置NAT服务器的步骤如下:
1. 将NAT服务器放置在内部网络中,并配备两张网卡。
2. 将其中一张网卡配置为使用外部公共IP地址,用于连接互联网。
3. 将另一张网卡配置为使用内部私有IP地址,用于连接内部网络。
4. 让内部网络用户将NAT服务器的私有IP地址设置为默认网关。
5. 将NAT服务器配置为DHCP分配器,自动为内部用户分配IP地址、子网掩码和默认网关信息。
4.14 外部访问问题
为了让外部用户能够访问企业内部的Web服务器,可以按照以下步骤操作:
1. 在Web服务器上配置静态IP地址、子网掩码和默认网关,该IP地址应属于企业的私有网络ID范围。
2. 创建一个特殊端口,将外部公共IP地址和公共端口与企业内部的私有IP地址和私有端口关联起来。
4.15 案例分析
- 远程访问失败问题 :技术人员无法从家中访问集中办公室的资源,是因为私有网络ID在互联网上不可见。解决方法是创建一个特殊端口,将私有IP地址和私有端口与公共IP地址和公共端口关联起来。
- Active Directory部署问题 :在部署Active Directory时,由于NAT与Kerberos v5不兼容,需要通过NAT服务器或IPSec进行流量重定向,才能实现域控制器之间的认证和复制。
- 访问限制问题 :可以在连接到内部网络的网卡上创建出站过滤,并指定特定的IP地址,从而限制只有拥有特定私有IP地址(如10.1.1.112)的用户才能访问集中办公室的某个服务器。
5. 远程访问策略规划
5.1 规划目标
远程访问策略规划的目标是根据功能和技术需求,规划网络服务基础设施,确保远程用户能够安全、高效地访问企业资源。
5.2 规划内容
- 基础设施概念规划 :从概念上规划远程访问基础设施,考虑网络拓扑、设备布局等因素。
-
访问策略制定
:
- 访问方法指定 :确定远程用户访问企业网络的方法,如VPN、远程桌面等。
- 认证方法指定 :选择合适的认证方法,如用户名/密码、证书认证等,确保只有合法用户能够访问网络。
-
基础设施规划
:
- 容量规划 :根据用户数量和业务需求,规划网络的带宽和服务器资源,确保能够满足远程访问的需求。
- 参数验证 :验证访问资源所需的网络参数,如IP地址、端口号等,确保网络连接的正常运行。
- 可用性考虑 :考虑网络的可用性、冗余性和容错性,以确保在出现故障时能够快速恢复服务。
-
安全规划
:
- 主机安全分析 :分析主机的安全需求,采取相应的安全措施,如安装防火墙、防病毒软件等。
- 认证和账户管理 :确定认证和账户管理的提供者,确保用户账户的安全。
- 访问策略创建 :制定远程访问策略,限制用户的访问权限,确保数据的安全性。
- 日志和审计参数指定 :指定日志记录和审计的参数,以便对用户的访问行为进行监控和审计。
以下是远程访问策略规划的流程图:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始规划]):::startend --> B(基础设施概念规划):::process
B --> C(访问策略制定):::process
C --> C1(访问方法指定):::process
C --> C2(认证方法指定):::process
C --> D(基础设施规划):::process
D --> D1(容量规划):::process
D --> D2(参数验证):::process
D --> D3(可用性考虑):::process
D --> E(安全规划):::process
E --> E1(主机安全分析):::process
E --> E2(认证和账户管理):::process
E --> E3(访问策略创建):::process
E --> E4(日志和审计参数指定):::process
E4 --> F([结束规划]):::startend
通过以上规划和措施,可以确保企业的互联网连接和远程访问系统安全、稳定、高效地运行,满足企业的业务需求。在实际应用中,需要根据企业的具体情况进行灵活调整和优化。
6. 远程访问策略实施要点
6.1 访问方法的选择与实施
在选择远程访问方法时,需要综合考虑企业的业务需求、安全要求和成本因素。以下是常见的远程访问方法及其实施要点:
-
VPN(虚拟专用网络)
-
原理
:利用公共网络作为数据传输的载体,通过加密隧道协议在公共网络上建立安全的私有网络连接。
-
实施要点
- 选择合适的VPN协议,如IPSec、SSL/TLS等。
- 配置VPN服务器,包括设置用户认证方式、加密算法等。
- 为远程用户提供VPN客户端软件,并指导其进行安装和配置。
-
远程桌面
-
原理
:允许用户通过网络远程控制另一台计算机的桌面环境。
-
实施要点
- 确保目标计算机开启远程桌面功能,并设置允许远程连接的用户账户。
- 为远程用户提供远程桌面连接工具,如Windows自带的远程桌面连接程序。
- 配置防火墙,允许远程桌面连接的端口(通常为TCP 3389)通过。
6.2 认证方法的选择与实施
选择合适的认证方法是保障远程访问安全的关键。以下是常见的认证方法及其实施要点:
|认证方法|特点|实施要点|
| ---- | ---- | ---- |
|用户名/密码|简单易用,但安全性相对较低|设置强密码策略,定期更换密码,避免使用弱密码。|
|证书认证|安全性高,通过数字证书进行身份验证|部署证书颁发机构(CA),为用户颁发数字证书,配置服务器和客户端支持证书认证。|
|多因素认证|结合多种认证因素,如密码、短信验证码、硬件令牌等,提高安全性|选择合适的多因素认证服务提供商,配置服务器和客户端支持多因素认证。|
6.3 基础设施规划的实施
-
容量规划实施
- 根据用户数量和业务需求,确定所需的带宽和服务器资源。
- 进行网络带宽测试,评估现有网络的承载能力,必要时进行升级。
- 配置服务器的硬件资源,如CPU、内存、存储等,确保能够满足远程访问的需求。
-
参数验证实施
- 验证访问资源所需的网络参数,如IP地址、端口号、子网掩码等。
- 配置防火墙和路由器,确保网络参数的正确性和安全性。
- 进行网络连通性测试,确保远程用户能够正常访问企业资源。
-
可用性考虑实施
- 采用冗余设计,如双机热备、负载均衡等,提高网络和服务器的可用性。
- 定期进行备份和恢复测试,确保数据的安全性和可恢复性。
- 制定应急预案,在出现故障时能够快速恢复服务。
6.4 安全规划的实施
-
主机安全分析实施
- 对主机进行漏洞扫描和安全评估,发现并修复潜在的安全漏洞。
- 安装防火墙、防病毒软件等安全防护软件,实时监控和防范网络攻击。
- 配置主机的访问控制策略,限制不必要的网络访问。
-
认证和账户管理实施
- 确定认证和账户管理的提供者,如Active Directory、LDAP等。
- 配置用户账户的权限和访问策略,确保用户只能访问其授权范围内的资源。
- 定期审查用户账户,删除不再使用的账户,更新用户权限。
-
访问策略创建实施
- 根据企业的安全策略和业务需求,制定远程访问策略。
- 配置防火墙和VPN服务器,实施访问策略,限制用户的访问权限。
- 定期审查和更新访问策略,确保其有效性和适应性。
-
日志和审计参数指定实施
- 配置服务器和网络设备,记录用户的访问日志和系统事件。
- 定期审查日志记录,发现异常行为并及时采取措施。
- 制定审计计划,对远程访问系统进行定期审计,确保合规性。
7. 远程访问策略的监控与优化
7.1 监控指标
为了确保远程访问系统的安全、稳定和高效运行,需要对以下关键指标进行监控:
-
网络带宽利用率
:监控网络带宽的使用情况,确保不会出现带宽瓶颈。
-
服务器性能指标
:如CPU使用率、内存使用率、磁盘I/O等,确保服务器能够正常处理远程访问请求。
-
用户连接数和连接时间
:了解用户的使用情况,评估系统的承载能力。
-
安全事件日志
:监控安全事件日志,及时发现并处理网络攻击、异常登录等安全事件。
7.2 优化策略
根据监控指标的分析结果,可以采取以下优化策略:
-
网络优化
:如果网络带宽利用率过高,可以考虑升级网络带宽或优化网络拓扑结构。
-
服务器优化
:如果服务器性能指标异常,可以优化服务器配置、调整应用程序参数或升级服务器硬件。
-
用户管理优化
:根据用户连接数和连接时间的分析结果,合理分配服务器资源,优化用户认证和授权流程。
-
安全策略优化
:根据安全事件日志的分析结果,及时调整安全策略,加强安全防护措施。
7.3 优化流程
以下是远程访问策略优化的流程图:
graph LR
classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;
A([开始监控]):::startend --> B(收集监控指标):::process
B --> C{指标是否正常?}:::decision
C -- 是 --> B
C -- 否 --> D(分析异常原因):::process
D --> E(制定优化策略):::process
E --> F(实施优化措施):::process
F --> G(验证优化效果):::process
G -- 效果良好 --> B
G -- 效果不佳 --> D
8. 总结
互联网连接规划和远程访问策略制定是企业信息化建设中的重要环节。在选择互联网服务提供商时,需要综合考虑可靠性、安全功能和带宽报告等因素。计算VPN带宽需求时,要充分考虑用户数量和其他网络服务的影响。NAT作为一种重要的网络技术,在企业网络中有着广泛的应用,但在实施过程中需要注意兼容性和配置问题。
远程访问策略规划需要从基础设施、访问方法、认证方法、安全等多个方面进行综合考虑,确保远程用户能够安全、高效地访问企业资源。在实施过程中,要严格按照规划要点进行操作,并对系统进行实时监控和优化,以适应企业业务的不断发展和变化。
通过合理的规划、有效的实施和持续的优化,企业可以构建一个安全、稳定、高效的互联网连接和远程访问系统,为企业的发展提供有力的支持。在实际应用中,企业应根据自身的特点和需求,灵活调整和完善相关策略和措施,以实现最佳的效果。
扫一扫
1478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
