论文部分内容阅读
【摘要】本文针对智能化建筑弱电工程中的网络接入方案进行了论述。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。本文将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。
【关键词】弱电工程 网络接入
Abstract: This article in view of the intelligence building in the project of electricity network access schemes are discussed in this paper. Many network access control solutions are too expensive so can not deploy and management. This article will tell you need to know what knowledge to determine suitable for your environment types of the best network access control the selection
Key Words: weak electric engineering network access
中图分类号:TN711文献标识码:A文章编号:
前言
在智能化建筑的弱电工程中,网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候。网络接入控制能够创造一个没有病毒感染的通讯流及没有与安全突破有关的许多其他风险的网络。
网络接入控制的主要类型
基于硬件的网络接入控制
我们首先看看基于硬件的方法是如何发挥作用的。这种形式的网络接入控制一般需要一台设备。这台设备在内部网络中运行或者在通讯的带外运行。这类设备有些可以取代接入交换机,而有些在接入层和网络交换机之间工作。无论采用哪一种方法,都需要考虑部署、管理和运行变化等许多问题。
首先,基于硬件的网络接入控制解决方案有许多固有的缺陷。最主要的是它创建了这个网络上的一个单个的故障点。这种设备还会影响网络通讯,对于地理上分散的或者高度分散的网络也许是不理想的。不仅需要每个地方都安装一台这种设备,而且还要进一步安装到网络上。这些方法为网络通讯提供了较少的可见 性。当你在一个大型子网上看不到或者不能阻止一个入侵者的通讯的时候,很难相信使用网络接入控制设备会更安全。
此外,带外的方法(如使用802.11的设备)常常需要更高水平的网络和服务器设置变化以及要跟踪的端口。这不仅增加了网络管理成本而且还提高了错误的风险。
基于代理的软件网络接入控制和无代理的软件网络接入控制
接下来是无代理的网络接入控制。无代理的网络接入控制的常见方法包括在允许端点设备进入网络之前对端点设备进行安全漏洞扫描或者政策评估扫描, 或者同时进行这两项扫描。不用说,这种做法会增加繁忙的网络的负担。这个扫描的结果将发送到一个政策服务器,如果有必要的话,将对任何不遵守规定的系统采取补救措施。
无代理网络接入控制的潜力是明显的:不需要安装任何代理。遗憾的是它并非那样简单。总是有一些不利的方面。无代理的方法不能提供一个一致的方法来全面评估这个端点的状态。
3、动态网络接入控制
有一些代理采用动态网络接入控制,但是,这些代理仅安装在一定比例的系统中。此外,这种方法也称作P2P网络接入,不需要对网络进行任何改变,也不需要在每一个系统上安装软件。这些代理有一部分是“强制执行者”,要安装在可信赖的系统中,很像是警察部队。总人口中只有很小比例的执法队伍来保证每一个人都遵守法规。采用这种方法可以得到与代理有关的高水平的安全以及网络接入控制的全部好处,没有基于硬件的网络接入设备的麻烦,也不用在每一个网络设备上安装软件。
例如,假设许多执法者安装到了一个局域网的台式电脑中,一个不可信赖的系统试图要登录这个网络。这些执法者在对这个系统进行诊断之前将限制它的 网络通讯。此外,如果有必要的话,这些代理要不断地与中央政策服务器进行联系。因此,一个系统能够完全隔离或者阻止访问某一个网段,或者仅允许访问互联网。
二、保证企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外.由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上.对于中小企业来说,在防御代理方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,代理可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候.因为代理是在后台悄悄地运行的.只是定期地向服务器发送更新。因此.如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
三、网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改。远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
四、实例
无锡光大银行弱电工程:局域网系统设备安装工程
(1)网络结构
生产管理中心的计算机局域网的网络系统采用快速交换式网络。网络结构分为两层:邸核心层交换机与接人层交换机。核心层交换机利用光纤采用星型结构联接服务器和各楼层的接人交换机,楼层的接入交换机用6类UTP双绞线联接至本层的网络数据端口,通过网络数据端口联接到用户计算机(PC)。
(2)网络设备配置
计算机局域网系统的核心交换机、服务器等设备安装在地下一层的弱电机房内,接入交换机设备安装在各楼层的设备间19寸标准机柜内。
1、核心交换机
在局域网系统中配置具有三层交换功能的交换机2台,安装在地下一层弱电机房内。该交换机配置双引擎、双电源的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。每台核心交换机配置54个GE接口,通过划分VLAN的方式将存续企业管理中心、賬务管理中心、商务管理中心三个管理中心隔离,便于对各中心有效地实行分层管理。
2、接入交换机
接入交换机配置40台。选用24口交换机,每个交换机配置两个GE端口和24个FE端口。
3、服务器
在局域网系统中配置两台服务器和两台工作站,工作方式采用双机热备份工作方式,以保证稳定运行网络的操作系统。
(3)互联方案
生产管理中心新建的局域网与指挥中心局域网互联组网,利用指挥中心局域网系统的安全机制,需要扩容相应的软件。
五、综合
根据需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。无论你选择什么类型的解决方案.你最终都将扣动扳机和开始部署。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
结语
考察网络接入控制比以往任何时候都重要。网络接入控制解决方案最近不仅取得了一些进步,而且失败的解决方案的许多问题是由于没有全面地思考网络控制从而选择了错误的解决方案,太匆忙地进入了部署阶段或者试图以非常快的速度做太多的事情。
参考文献
【1】(智能建筑设计标准)GB/TS05,14—2000.中国计划出版社,2000年
【2】王双平 弱电智能化系统项目管理探究[期刊论文]-科技传播 2010(9)
【3】邵胜华 智能化建筑弱电安装工程管理探究[期刊论文]-科技传播 2010(14)
【关键词】弱电工程 网络接入
Abstract: This article in view of the intelligence building in the project of electricity network access schemes are discussed in this paper. Many network access control solutions are too expensive so can not deploy and management. This article will tell you need to know what knowledge to determine suitable for your environment types of the best network access control the selection
Key Words: weak electric engineering network access
中图分类号:TN711文献标识码:A文章编号:
前言
在智能化建筑的弱电工程中,网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候。网络接入控制能够创造一个没有病毒感染的通讯流及没有与安全突破有关的许多其他风险的网络。
网络接入控制的主要类型
基于硬件的网络接入控制
我们首先看看基于硬件的方法是如何发挥作用的。这种形式的网络接入控制一般需要一台设备。这台设备在内部网络中运行或者在通讯的带外运行。这类设备有些可以取代接入交换机,而有些在接入层和网络交换机之间工作。无论采用哪一种方法,都需要考虑部署、管理和运行变化等许多问题。
首先,基于硬件的网络接入控制解决方案有许多固有的缺陷。最主要的是它创建了这个网络上的一个单个的故障点。这种设备还会影响网络通讯,对于地理上分散的或者高度分散的网络也许是不理想的。不仅需要每个地方都安装一台这种设备,而且还要进一步安装到网络上。这些方法为网络通讯提供了较少的可见 性。当你在一个大型子网上看不到或者不能阻止一个入侵者的通讯的时候,很难相信使用网络接入控制设备会更安全。
此外,带外的方法(如使用802.11的设备)常常需要更高水平的网络和服务器设置变化以及要跟踪的端口。这不仅增加了网络管理成本而且还提高了错误的风险。
基于代理的软件网络接入控制和无代理的软件网络接入控制
接下来是无代理的网络接入控制。无代理的网络接入控制的常见方法包括在允许端点设备进入网络之前对端点设备进行安全漏洞扫描或者政策评估扫描, 或者同时进行这两项扫描。不用说,这种做法会增加繁忙的网络的负担。这个扫描的结果将发送到一个政策服务器,如果有必要的话,将对任何不遵守规定的系统采取补救措施。
无代理网络接入控制的潜力是明显的:不需要安装任何代理。遗憾的是它并非那样简单。总是有一些不利的方面。无代理的方法不能提供一个一致的方法来全面评估这个端点的状态。
3、动态网络接入控制
有一些代理采用动态网络接入控制,但是,这些代理仅安装在一定比例的系统中。此外,这种方法也称作P2P网络接入,不需要对网络进行任何改变,也不需要在每一个系统上安装软件。这些代理有一部分是“强制执行者”,要安装在可信赖的系统中,很像是警察部队。总人口中只有很小比例的执法队伍来保证每一个人都遵守法规。采用这种方法可以得到与代理有关的高水平的安全以及网络接入控制的全部好处,没有基于硬件的网络接入设备的麻烦,也不用在每一个网络设备上安装软件。
例如,假设许多执法者安装到了一个局域网的台式电脑中,一个不可信赖的系统试图要登录这个网络。这些执法者在对这个系统进行诊断之前将限制它的 网络通讯。此外,如果有必要的话,这些代理要不断地与中央政策服务器进行联系。因此,一个系统能够完全隔离或者阻止访问某一个网段,或者仅允许访问互联网。
二、保证企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外.由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上.对于中小企业来说,在防御代理方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,代理可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候.因为代理是在后台悄悄地运行的.只是定期地向服务器发送更新。因此.如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
三、网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改。远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
四、实例
无锡光大银行弱电工程:局域网系统设备安装工程
(1)网络结构
生产管理中心的计算机局域网的网络系统采用快速交换式网络。网络结构分为两层:邸核心层交换机与接人层交换机。核心层交换机利用光纤采用星型结构联接服务器和各楼层的接人交换机,楼层的接入交换机用6类UTP双绞线联接至本层的网络数据端口,通过网络数据端口联接到用户计算机(PC)。
(2)网络设备配置
计算机局域网系统的核心交换机、服务器等设备安装在地下一层的弱电机房内,接入交换机设备安装在各楼层的设备间19寸标准机柜内。
1、核心交换机
在局域网系统中配置具有三层交换功能的交换机2台,安装在地下一层弱电机房内。该交换机配置双引擎、双电源的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。每台核心交换机配置54个GE接口,通过划分VLAN的方式将存续企业管理中心、賬务管理中心、商务管理中心三个管理中心隔离,便于对各中心有效地实行分层管理。
2、接入交换机
接入交换机配置40台。选用24口交换机,每个交换机配置两个GE端口和24个FE端口。
3、服务器
在局域网系统中配置两台服务器和两台工作站,工作方式采用双机热备份工作方式,以保证稳定运行网络的操作系统。
(3)互联方案
生产管理中心新建的局域网与指挥中心局域网互联组网,利用指挥中心局域网系统的安全机制,需要扩容相应的软件。
五、综合
根据需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。无论你选择什么类型的解决方案.你最终都将扣动扳机和开始部署。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
结语
考察网络接入控制比以往任何时候都重要。网络接入控制解决方案最近不仅取得了一些进步,而且失败的解决方案的许多问题是由于没有全面地思考网络控制从而选择了错误的解决方案,太匆忙地进入了部署阶段或者试图以非常快的速度做太多的事情。
参考文献
【1】(智能建筑设计标准)GB/TS05,14—2000.中国计划出版社,2000年
【2】王双平 弱电智能化系统项目管理探究[期刊论文]-科技传播 2010(9)
【3】邵胜华 智能化建筑弱电安装工程管理探究[期刊论文]-科技传播 2010(14)