企业办公网络规划设计

企业办公网络规划设计（精选8篇）

篇1：企业办公网络规划设计

小型企业办公楼建网络规划方案

1.文件服管理系统

这是最基本的应用服务，服务器相当于一个信息系统的大仓库，保证用户和服务器磁盘子系统之间快速传递数据。在服务器的各个子系统中，对系统性能影响最大的首先是网络子系统，其次是磁盘子系统，再次是内存容量。

2.数据库服务

对系统各方面(除网络子系统外)性能要求最高的应用，如财务、库存和人事管理应用等。需要高性能CPU和快速的磁盘子系统来满足大量的随机I/O请求及数据传送。服务器瓶颈依次为:内存、磁盘子系统和CPU。1.防火墙系统

防火墙作为内部网络与外部网络之间的第一道安全屏障,是近期发展起来的一种保护计算机网络安全的技术性措施，它是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛, 是最先受到人们重视的网络安全技术，是实施安全防范的系统，可被认为是一种访问控制机制，用于确定哪些内部服务允许外部访问，以及允许哪些外部服务访问内部服务。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。

对于小型企业的办公楼网络设计建议是用代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。代理防火墙无法快速支持一些新出现的业务（如多媒体）。现要较为流行的代理服务器软件是WinGate和Proxy Server。防火墙的选择

选择防火墙的标准有很多,但最重要的是以下几条:

1)总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。

2)防火墙本身是安全的

作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。3.邮件服务

扮演电子邮件路由器和仓库的角色。服务器瓶颈依次为:网络子系统、内存、磁盘子系统和CPU。

4.杀毒软件的选择这里介绍几款比较直流的沙土软件概况 KILL企业版 V6.0

冠群金辰公司推出的KILL企业版是一款优秀的网络杀毒软件，包括KILL企业版管理服务器、KILL企业版客户端、远程安装工具组件。这些组件的主要功能是：

（1）KILL企业版管理服务器：可同Windows NT/2000/XP的性能监视器紧密集成，并可在Windows管理台实现对系统中Unix、Linux和NetWare服务器的病毒扫描管理，利用丰富的图表形式可以动态实时监视全网中所有关键服务器的安全状况，实现对整个防病毒系统的中央集中控管，并可实时配置全网的杀毒和报警置，分发报警及升级信息等。

2.）KILL企业版客户端：可以对联网或未联网的计算机进行病毒防护，即可独立配置，也可接受KILL企业版管理服务器的集中管理。

（3）远程安装工具：可使KILL企业版管理服务器端一次性在多台目标机器上安装KILL企业版客户端。强大的集中管理

KILL企业版可同Windows NT/2000/XP的性能监视器紧密集成，利用丰富的图表形式动态实时表现服务器的防病毒软件运行状况和病毒活动情况。管理员仅需在管理台前打开性能监视器就可以动态实时监视全网中所有关键服务器的安全状况。

在大型的网络中，管理员可以根据现有的网络管理结构对防病毒系统进行规划，管理员通过中央控制台能够实现对整个防病毒系统的中央集中控管，对客户端的完全控制。对客户端的管理时不需要在客户端驻留任何远程管理程序，彻底杜绝了由于防病毒远程管理程序的安全漏洞和后门而导致的整个网络范围的安全隐患。

KILL企业版防病毒软件能够在企业的所有主流操作系统平台上安装运行，并可在Windows管理台实现对系统中Unix、Linux和NetWare服务器的病毒扫描管理。

先进的病毒扫描技术

KILL企业版采用业界领先的双引擎扫描方式:InoculateIT和Vet两大世界著名病毒扫描引擎，帮助企业构建一个多层防范的防病毒体系，这是KILL企业版最主要的一个特性之一。用户还可以根据实际使用情况调配系统资源占有率，并可利用系统低谷期或空闲期采用多种病毒扫描方式，确保查杀病毒过程不会影响用户系统的使用。

安全智能的安装升级方式

KILL企业版可采用服务器端推送方式或者通过在服务器端设置登录脚本等方式，实现在Windows 95/98/ME/NT/2000/XP等平台的自动安装，并且无需重新启动计算机即可马上使用。在后续的特征码、引擎升级时同样无需重启。采用增量升级方式可有效减少防毒软件升级产生的网络负载，更采用独一无二的技术，无需指明升级模式，即可自动进行判断使用全升级还是增量升级。

KILL产品采用数字签名技术对病毒升级特征码进行保护，在升级前进行签名校验，确认无误后才进行升级，从而杜绝病毒冒充升级文件侵害用户系统，并且病毒特征文件可实现从控制台到客户端的自动分发和升级。

当然，该软件在报警日志和杀毒能力上也十分出色。KV杀毒王网络版

江民新科技术有限公司（简称江民科技）成立于1996年，是中国主要的杀毒软件生产厂商之一。本次参加测试的KV杀毒王网络版是江民科技最近新推出的网络杀毒软件，该软件包括控制中心、控制台、杀毒客户端等几个部分：（1）控制中心：智能识别系统环境，对Windows域用户，自动安装网络版客户端。自动升级系统定时检查新版本，升级包自动分发局域网内的各服务器与客户端，全网版本同步更新。自动报警客户端发现病毒后，自动上报至中央控制中心，第一时间掌握网内安全状况。

（2）控制台：是杀毒王网络版集中控制的核心，对整个系统的操作都可以从这里发出，一般控制台会随服务器安装而安装，不过你也可以在定制安装里面进行选择来安装，控制台不是一定要安装在网络版服务器上，你可以选择任意安装一台机器进行安装，这样，可以方便网络管理员从不同的地方来操作管理整个网络的病毒防御系统。

（3）杀毒客户端：是杀毒王网络版的杀毒先锋，直接安装于服务器和各种客户端上，秉承了江民科技以前单机杀毒软件的有点，可以高效的查杀计算机病毒。安装使用简单方便

杀毒王网络版的安装简单方便，对软硬件的要求较低，无需数据库、LDAP、IIS、Apache的支持，极大的减轻了中小型企业的负担。并且，杀毒王网络版继承了单机版杀毒软件的风格，符合Windows用户的使用习惯，简单易用。灵活的功能设置

杀毒王网络版的组件简单使用，控制台可以安装于网络中的任何一个位置，管理简单方便，并且整个网络杀毒组件的部署与网络拓扑结构无关，部署灵活。杀毒王网络版可以自动分析Windows网络的拓扑结构，能够有效的规划部署网络防毒组件，并且可以自动识别Windows网络中域控制器，可以自动对域用户进行安装部署。另外，杀毒王网络版还提供了多种辅助工具，如智能升级、病毒隔离、引导区备份、IE修复等功能，可以实现病毒定义和杀毒引擎的升级、数据备份、系统修复等功能。

江民公司提供的杀毒王网络版，提供了常用的网络控制管理功能，可以满足中小型企业的Windows网络杀毒的需要，可以根据用户的需求进行定制，并且具有价格低廉的优势，25用户版本在千元一下，非常适合中小企业或部门的网络杀毒。Symantec AntiVirus企业版 V8.0

赛门铁克公司推出的Symantec AntiVirus企业版是一款优秀的网络杀毒软件，包括Symantec服务器、系统中心控制台、Symantec Client Security、Symantec Packager和Alert Management Server组件构成。这些组件的主要功能是：（1）Symantec系统中心：管理控制台，在Windows NT/2000/XP Professional计算机上运行。可以执行各种操作，比如向工作站和服务器分发企业版病毒防护，更新病毒定义，管理运行客户端程序。

（2）Symantec 企业版服务器：可以将配置和病毒定义文件分装到各个客户端，并且可以对服务器进行病毒防护。

（3）Symantec企业版客户端：可以对联网或未联网的计算机进行病毒防护，并且可以接受系统中心的集中管理。

（4）Live Update：可以进行病毒和引擎的升级，并可以通过服务器进行分装。（5）Symantc Packager：可以创建、修改和部署自己的定制安装包。

（6）Alert Management Server：可以提供病毒警报功能，可以通过多种方式和文本格式向系统管理员进行报警。强大的集中管理

Symantec的Symantec AntiVirus的管理控制台是使用Windows NT自身提供的Console集成在一起的，使用习惯符合Windows的常用风格，易用性较好，用户可以对网络中的服务器客户端进行分组设置，可以制定单个组的杀毒策略，管理简单方便，并且可以支持多层次的网络拓扑结构，可以方便的对网络防毒的规模进行扩展。另外，Symantec AntiVirus具有中心隔离的设置，管理员可以在网络中设置统一有效的病毒隔离区，通过“数字免疫系统”对启发式检测到的新病毒或不可识别的病毒进行集中管理，并可以将可疑文件自动转发到“Symantec安全响应中心”进行处理。灵活的可定制性

该系统具有较灵活的定制行，尤其对于客户端的配置设置上，系统可以根据最终用户的需要对各个子项进行单独的锁定，这是Symantec AntiVirus企业版最主要的一个特性之一，通过这样的设置，管理员可以灵活的设置对于客户端的要求，体现了赛门铁克公司以人为本的设计思想。强大安全的升级模式

LiveUpdate 是 Symantec 公司的一项技术，它能使已经安装的 Symantec 产品自动连接到 Symantec 服务器，以进行程序和病毒定义的更新。这种连接可以通过 Internet连接或企业内部网络连接实现。对于企业内部网络连接方式，本实用程序解决了两个可能出现的问题，用户将更新下载到一台计算机，然后再将其分装给所有用户。这种方式十分适合应用于基于屏蔽子网防火墙的网络，可以通过升级停火区的服务器而升级整个子网的网络杀毒软件，在保证网络安全的基础上，保证了网络杀毒软件的时效性。

另外，该软件在报警日志和杀毒能力上也十分出色。

朝华·安博士网络防病毒系统朝华·安博士网络防病毒系统是朝华公司推出的一款优秀的网络杀毒软件，基于策略服务器技术，包括策略代理服务器、策略服务器、策略管理中心和杀毒客户端模块组件构成。这些组件的主要功能是：

（1）策略代理服务器:设置于公司内部计算机中，承担与计算机与策略服务器的通信工作。

（2）策略服务器：是该产品的核心组件进行策略的存储管理和分发。

（3）策略管理中心：是管理人员进行一系列管理工作的控制台。可以设置各项防毒、杀毒策略，可以远程控制杀毒客户端模块进行扫描或清除。（4）杀毒客户端：进行计算机病毒的扫描和清除。灵活的部署和集中式管理

使用策略中心，可以根据用户具体环境正确地对杀毒模块进行自动分布和设置。不仅如此，还可以对网络杀毒客户端以外的其他软件一并进行分布安装和运行，根据分布和运行的程序的种类，通过远距离服务器可以对站点运行所需要的工作一并进行处理。策略中心软件提供了以网络为基础的简单的代理程序分布功能。如果已经生成了组群结构，管理人员只要单击群组，便可以创建分布给组群内部每个单元的具有基本设置的代理程序脚本，将其在朝华·安博士策略中心管理服务器上注册，便创建了可以供用户下载的网页。

策略中心软件采用了具有超强扩展性和灵活性的LDAP目录服务进行集中式管理。通过利用OpenLDAP目录服务，对复杂的用户及组群信息和产品信息、策略信息提供服务。通过具有扩展性的策略服务器设计，对今后产品的升级及修改设置便可以灵活地加以处理。并可以根据个别或特定组群对网络杀毒客户端的防病毒软件参数配置的要求，可以通过管理员控制台自由地进行生成、修改和删除。这里所指的安全策略，是包括网络杀毒客户端环境设定在内的，定期自动引擎更新的间隔、更新服务器地址等等，来实现公司内部所要求的整个防病毒安全策略。

另外，该软件还提供了数据库和LDAP备份和恢复的工具，可以在数据丢失后进行恢复，有效保障了数据的安全。集中日志管理和统计报告

安装在各个用户计算机的客户端防病毒软件的病毒扫描记录，可以通过策略代理程序，储存于中心的服务器中，这样就可以实现日志的集中管理。在发生病毒的同时，可以实时地显示出发生病毒的计算机的信息、病毒名称，以及发生的时间等信息。该软件还提供了报告中心的模块，通过该模块就可以生成侵入本公司内部的所有种类病毒的有关各种统计及报告。对于集中到中央服务器的数据库内的病毒的相关记录信息，管理人员可以根据组群、使用者、日期及病毒的不同，按照所希望得到的形式轻而易举地获取相关统计资料。并且可以将这些相关资料以电子表格或HTML的形式显示或进行编辑。

朝华·安博士网络防病毒系统在集中管理、网络部署和日志统计等方面具有较强的能力，适合不同企事业单位的网络防毒的要求。

相对而言，该软件的杀毒模块的功能就略显单薄，但是也已经可以满足用户的杀毒要求。总的来说该产品对于安全性上的考虑是该产品最大的优势，在保证网络安全的基础上进行网络病毒的防护，这应该也是网络防毒软件的发展一个主要的发展方向。

由以前几款网络杀毒软件的介绍，个人推荐是使用KV杀毒王网络版

（江民新科技术有限公司）4.Web服务

服务器的性能是由网站内容来决定的。如果Web站点是静态的，系统瓶颈依次是:网络子系统和内存。如果Web服务器主要进行密集计算(例如动态产生Web页)，系统瓶颈依次是:内存、CPU、磁盘子系统和网络子系统。UPS不仅是提供断电保护，而且更注重提供恒稳的电流。对敏感“娇气”的电子设备和系统，UPS是必不可少的重要伙伴。

随着科技的发展和进步，UPS的智能化程度越来越高，市场上的UPS产品也越来越多，用户如何选择最适当的UPS产品，请关注行业专家的推荐。目前市场上UPS产品很多，新一代高技术指标的网络智能型在线式UPS设备，容量从300VA到4800KVA, 采用世界先进的高集成的IGBT技术，具备全数字多微处理器控制系统，同时融合进最新的通信技术与协议，配备电源管理软件。但是并非每一个用户都需要这种先进的UPS。针对不同网络规模的企业、不同应用的用户，市场上有不同的UPS产品供应。

硬件要求

创建家庭或小型办公网络时需要以下几个基本组件：

1.计算机：要建立网络需要两台或多台计算机。

2.网络适配器：通常称网络接口卡为网络适配器，可以将计算机连成网络，并允许这些计算机之间相互通讯。网络适配器可以连接在计算机的 USB 端口，也可以安装在计算机内部某个可用的 PCI 扩展槽中。

3.网络集线器和电缆：集线器用于在中枢位置连接多台计算机。集线器通常用于将两台或多台计算机连成以太网网络。如果要使用家庭电话线网络适配器(HPNA)通过电话线来连接计算机，或者要使用无线适配器来连接，则不需要集线器。使用以太网或 HPNA 时，需要用电缆将它们连接到集线器或电话线路。还可以使用 IEEE 1394 网络适配器。

4.调制解调器：这包括 28.8 或 56 Kbps 调制解调器、无线调制解调器、综合业务数字网络 ISDN、数字订户线路 DSL 以及电缆调制解调器。创建家庭或小型办公网络的步骤

步骤 1：

规划网络：将包含每台计算机和打印机的房间或办公室描绘在一份图表中。或者，将每台计算机上的硬件登记在一份表格中。

步骤2：

注意记录每台计算机插接的硬件，例如调制解调器和网络适配器。

步骤3：

选择“Internet 连接共享”(ICS)主机。建议该计算机运行 Windows XP Home Edition 或 Windows XP Professional 并配备可正常工作的 Internet 连接。

步骤4：

确定家庭或小型办公网络所需的网络适配器类型：以太网、家庭电话线网络适配器(HPNA)，无线适配器或 IEEE 1394 适配器。

步骤5：

列出您需要购买的硬件。这包括调制解调器、网络适配器、集线器和线缆。

步骤6：

购买硬件。

步骤7：

安装网络适配器和调制解调器，以便在每台计算机上创建网络连接。

步骤8：

将计算机物理地连接在一起。将线缆插进集线器、电话插孔以及计算机中。

步骤9：

打开所有计算机和打印机。

步骤10：

确保您的 ICS 主机有激活的 Internet 连接。（要建立 Internet 连接，请运行“新建连接向导”）。

步骤11：

在 ICS 主机上运行 Windows XP Professional 网络安装向导。

步骤12：

在网络中的其他计算机上运行“网络安装向导”，可以使用软盘对网络中的其它计算机进行配置。

网络拓扑结构图

篇2：企业办公网络规划设计

实现网络办公需要切实企业具体情况，尽可能满足企业各项工作的需求。如成员间沟通交流、工作情况汇报、部门会议召开、企业通知公告的发布、项目分工部署、文档资料的共享与查询，重要消息的提醒等。与此同时，管理者还需要注意产品的易用性和适用性，是否需要专业的网络管理员，员工能否自主下载安装，产品服务是否配合企业发展等问题。

在这里推荐一款网络办公管理软件―今目标在线管理平台。今目标产品分为标准版、沟通版、任务版三大版块，并且提供在线客服、企业邮局、短信服务、IN@BOX等多项增值服务，用户可以根据需要自由选择定置，

其中沟通版以满足企业日常沟通以及信息交流的需要，能够快速启动企业即时通讯，统一设置管理企业内部信息，方便共享。任务版则是在强化企业沟通交流的同时，加强对计划、项目、知识等企业资源的监督管理，协同各部门工作。今目标标准版实行全功能全免费，企业用户可以注册十个免费帐号，即可实现网络办公。

实行网上办公，不光员工可以在任意可上网的地方登录企业内部管理平台，开展工作。企业管理者同样可以对员工工作成绩进行时事考核，及时提供帮助。今目标管理平台任意版本，都具备相应的系统管理功能。如评阅日志，查看任务记录、添加会话协商等。

篇3：企业办公网络规划设计

a快捷性

计算机结合网络可以在很短的时间内传递和处理大量的数据、资料信息, 可以即时的反映出数据的变化和结果。

b准确性

在当今时期, 中小企业对计算机的使用重点在数据与信息的处理上, 尤其是对网络数据库的应用, 所以相对于人工来讲, 计算机的准确性是比较突出的特点。

c针对性

计算机对具体事务的处理有独立的相关软件, 可以基本解决在本事务操作中常见的问题, 具有针对性, 不仅解决专业工作问题, 同时降低投入成本, 提高管理效率。

正因为计算机及网络有以上基本特点, 所以中小企业内部都根据实际情况, 建立起办公网络。但对作为追求利益最大化的企业来说, 建立起最快速最复杂, 功能最强的网络并不是首选, 要根据自己的情况进行合理的安排, 实现实用型的最佳方案。

1 硬件实现方案

如图1所示, 考虑到经济实用等方面, 采用实现百兆网局域网。

办公网的核心部分由服务器、交换机、客户机等设备通过100兆网线及100兆网卡连接而成。各部门或根据位置等 (如楼层等) 分级进行级连。在局域网内, 可根据功能的要求及服务的要求设置多个提供不同服务功能的服务器, 以实现综合性服务。交换机主要根据位置的需要, 综合考虑部门的情况进行设置。对客户机则要求基本配置即可。

如果企业要接入互联网, 则根据具体要求、费用等, 采用专线、光猫或ADSL等方式。对距离相对较远或室外连接则考虑使用光猫等光缆设备, 对速度要求不高的部门也可考虑10兆接入, 在这里就不再阐述。

对一些地理位置相对很远, 不在同一城市或在同一城市但距离在5km以上的情况, 且对速度要求不高的部门或用户服务, 则考虑使用路由器及PSDN网, 建立起拨号服务功能, 以降低成本的投入。

2 软件实现方案

中小企业内部管理软件大致划分为人员管理、材料管理 (收、支、存) 、资料管理、项目管理等主要模块。通过办公网对企业的信息资料进行检索、打印和维护, 并在网上实时显示企业内部最新信息资料。

根据软件的需求性质及开发效率、维护成本的综合考虑, 如图划分成多个子系统, 采用以B/S模式为主要结构, C/S模式在特定部门使用进行辅助的方案。C/S模式对客户机要求不高, 在开发后维护方便, 可大大降低软件的维护费用, 是目前较为流行的开发模式。但在一些有特殊要求的部门 (对数据控制较复杂, 变换较多, 对系统的要求相对较高, 应用在单一部门, 软件改动量小) , 可以考虑结合C/S开发模式。

流程如图2:

软件所使用的开发环境数据库为SQLSERVER 2000, visual interdev6.0, frontpage2000, PB8.0。在整个网络环境上, 此系统由管理员和普通用户操作运行。

在服务器平台win2000server上实现数据库环境设置, 启动IIS服务, 并在IIS服务的支持下, 使用网页工具及语言, 编写ASP脚本。

在客户机端, 只需IE4.0以上版本的浏览器即可, 在技术层面ASP平台是通过ADODB组件建立与数据库系统连接, 并通过存储在其中的记录集显示数据的。

3 安全性介绍

本网站的安全性设计大致分为以下几部分:

3.1 对于内部不同级别、不同权限的用户的限制, 通过不同用户名、域名、密码的验证而进入不同的级别。

3.2 通过借用分局信息网的防毒软件与网络代理防火墙隔离, 以防止黑客、病毒的入侵破坏。

3.3 文件系统采用NTFS格式, 注意权限等级的设置。

3.4在WEB服务器这个层次上, 也可以对WEB站点或其中的目录进行安全控制。对读取、写入等权限进行严格管理。

3.5应用程序层:网站入口需要身份密码验证, 验证通过方可进行下一步的操作。任何试图通过中间网页进行操作的行为都将直接返回网站入口登录页。

3.6 对数据库的访问权限进行严格管理。结束语

近几年, 关于企业内部管理信息化建设的方案很多, 但应用到实际中的却很少。原因有许多方面, 最主要的大致有两方面:一方面开发与实际脱钩, 会技术的不懂业务, 往往开发出来的东西实用性欠缺。另一方面企业人员对信息安全没有信心, 对新技术的应用不抱乐观。所以应该对软件的实用性、安全性、及应用后的维护工作加大力度, 才能克服面临的困难达到良好的效果。

摘要：针对小型企业经济办公网络的设计与实现进行了论述。

关键词：企业,办公网络,设计,实现

参考文献

[1]郑阿奇.PowerBuild实用教程 (第3版) [M].北京:电子工业出版社, 2009, 2.[1]郑阿奇.PowerBuild实用教程 (第3版) [M].北京:电子工业出版社, 2009, 2.

[2]李海军, 马煜, 刘昌荣.PowerBuild案例开发集锦 (第二版) [M].北京:电子工业出版社, 2009, 1.[2]李海军, 马煜, 刘昌荣.PowerBuild案例开发集锦 (第二版) [M].北京:电子工业出版社, 2009, 1.

篇4：浅论企业办公网络的安全管理

企业办公网络存在的问题

（一）算机网络的安全性和开放性存在的问题

现代社会，由于计算机网络的全球性、开放性发展，使得上网普及到人们的生活和学习中去，其作用与影响力远远超出了人们的想象，他深入到社会和生活的方方面面，一旦瘫痪而不能正常工作，严重影响人们的生活质量，也使得无纸化办公成为空想。从网络办公的安全现状出发，把安全建设环境的重要性提到日程上面来。

（二）网络犯罪和恶意无意病毒入侵与构建绿色网络存在的问题

现代，由于时代的发展，在计算机方面愈多优秀人才。他们利用自身的优势，深入企业内部窃取资料信息，非法获取利润。更有之，利用全网开放性特征，以歪门邪道入侵公司或银行网站，非法谋取暴利[1]。

企业办公网络的安全管理

（一）建立网络预警制度，做好安全防范

新形势下，构建企业办公网络，做好日常防护，扩大社会主义精神文明建设，利用网络办公，提高员工工作效率。“凡事预则立，不预则废”，无论是一个企业还是个人还是整个国民经济。建立良好的预警和防御机制，防范与未然。统观网络全局，首先建立网络预警制度，制止黑客入侵，，从系统层面最大程度降低危害。对于网络维护方面的专业技师来说，谎报的网络预警机制，会将他们对网络的安全失掉警惕心。这就很大程度上的致使黑客入侵，给办公网络造成毁灭性的打击。（二）合理配置网络信息资源

对于一台独立的计算机，必须首先安装防毒软件，对于整个网络系统，必须要有全方位的防病毒方案。办公网络的技术维护人员，首先要设置好防火墙，及时地修复网络漏洞。安装杀毒软件并在使用中定期升级软件版本。对服务器系统管理员的账号和密码进行管理，防止网络黑客对办公网络的破坏。一旦防火墙检测到异常数据包，则直接丢弃，有效的防止病毒木马的传播，有效的保护整网的安全和稳定，发动联动机制，确保安全是第一位的。一般企业网络维护师只注重外域网的文件及防范数据包，排除不安全隐患的重心都投在那上面——内域网上。因管理员有意或者无意泄露甚至故意用黑客控制内域网全员，这是最大程度上对网络资源的威胁。网络信息资源固然是共享的，但一般用户安全意识都比较淡薄，在日常的收发郵件中，甚至被黑客恶意跟踪。需要利用服务器和防火墙将二者相对应的防毒软件制成一系列完整全面的网络结构平台，对企业的办公网络体系和资源进行有效的配置和科学的管理，同时也可将远程管理落实到实处。

（三）有效地防治病毒

系统管理员应充分考虑计算机正在运行的实时性防毒软件的防毒效果和功能是否能保证系统的安全。再次分析，企业若不能按时治理好病毒防治，会否造成网络的瘫痪及对企业造成的财产损失估价。大量统计数据显示，引起网络不安全的因素主要是网站维护者自身。首先他们缺乏必要的安全意识，在网上随意浏览网页，及网络下载资源的不合理。在对外界进行数据交换时，管理和控制不到位，辨识不清盗版软件。

（四）做好计算机数据修复技术

企业办公网之间除了自己正常的办公以外，还与其他主机相连，一旦遭遇黑客木马袭击，直接影响联机的全网安全。需做好计算机日常维护工作，定期清理磁盘，扫除垃圾文件。如果系统瘫痪或重要数据丢失，恢复的难度有多大，费用有多高。首先需要对硬件进行全面体验，针对自身企业的IT设备维修标准及制度，保证网络系统的安全。现在很多企业由于缺少专业的网络维护人员，各人员使用的操作系统均限于单机杀毒软件，使得企业办公网络的维护变得千差万别，使得企业的安全管理变得极为复杂，企业的重要数据一旦泄露，遭到恶意攻击之后，将会带来极大的损失。

总结

综上所述，构建良好的办公网络维护机制，做好安全防护工作，成为当前企业发展的重要基石。只有在设计、技术和投资上平衡网络文化，才能为企业创设一个安全的环境。企业信息化的今天，创设绿色的网络文化，建造一个安全的网络办公区域，才能有效地维护办公网络文化。

（作者单位：中国石油拉美公司）

篇5：企业办公网络规划设计

随着企业信息化发展，网络扮演的角色越来越重要，企业对网络的依赖性不断增强，企事业单位网络管理的重要性越来越重要。如何有效加强员工上网管理、管控不合理的上网行为是企业网络管理员们共同的目标。

我们都知道上网行为管理包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析，实现对互联网访问行为的全面管理。在流量管控、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面提供最有效的解决方案。

在国内企事业单位的局域网中，对员工上网行为进行管理主要是通过以下途径来实现的。首先，通过依靠本单位内部的网络设备，如路由器、交换机、防火墙等网络硬件设施来实现。这种方式是通过在这些网络设备上设置特定的上网控制规则，对局域网电脑分配不同的上网权限，从而实现对局域网电脑上网行为的管控。当前，通过路由器限制网页浏览、限制上班炒股、禁止上班看访问视频网站、禁止网络游戏、过滤不良信息、分配上网带宽和上网流量；通过防火墙防御病毒侵害、限制互联网特定访问、进行IP和MAC地址捆绑等方式已经成为网管人员通用的做法。

但是，由于上述网络设备一般是通过DOS命令的方式进行设置和管理，需要专门的计算机知识，并且经过了专业的培训和实践的积累，才可以很好地掌握；同时，通过网络设备对局域网上网行为监控的功能较为有限，对于一些加密的网络应用或者一些较为底层的传输，则较为困难，一般无法提供有效的方案。因此，这种管理局域网上网行为的方式仅限于一些有专门网管人员的单位，并且网管人员有较高的业务素养。

而当前国内企事业单位一般没有自己专门的网管人员，常常由行政或者管理人员兼任，因此，通过网络设备监控局域网、监控员工上网不太现实。在这种情况下，一套简单易用、功能实用的网管软件就成为当前网管人员的必需。

小草上网行为管理软路由是国内目前最安全最有效的网管软件之一。小草流控软路由能够有效的监控BT下载、禁止电驴下载、屏蔽迅雷下载等过滤P2P下载；也可以有效禁止QQ登录、禁止MSN聊天、屏蔽阿里旺旺聊天等有效控制聊天软件的使用；小草上网行为管理软路由还可以有效阻断大智慧、限制同花顺、禁止湘财证券等有效控制炒股软件的使用；有效屏蔽QQ游戏、禁止玩开心网游戏、严禁工作时间登录QQ农场游戏等流行的网络游戏；小草还能有效限制电脑上网带宽、控制电脑上网流量、限制计算机带宽占用，从而可以防止个别电脑过量占用带宽的行为，保证网络的稳定和畅通。

篇6：企业办公网络规划设计

一、项目概述

（略）

二、项目需求

1.业务需求

² 公司内部各分支机构和办事处之间文件传输与资源共享；

² 客户及其他外部人员、机构与公司进行文件传输与资源共享；

² 公司内部人员对Internet资源访问与发布；

² VOIP语音业务的应用；

² Video Conference 视频会议系统的应用；

² 未来的应用，系统的升级扩展；

2.性能需求

² 至少满足以上业务需求的性能；

² 至少满足以下安全和备份需求的性能；

² 前期建设应满足100人固定办公的网络性能需求；

² 考虑2年后扩展到500人系统升级要求；

² 应满足未来新业务应用性能需求；

3.安全需求

² 防范黑客及恶意程序的入侵与攻击；

² 及时检测及追踪攻击和入侵行为； ² 系统的监控和日志备份；

² 根据不同人员的访问级别，实施相应安全访问策略和机制；

² 系统的漏洞检测及系统升级；

² 主机病毒的防范、检测、查杀；

² 服务器的安全防护及访问控制；

4.备份需求

² 主要出口链路的冗余备份；

² 内部网主干双链路的冗余备份；

² 核心交换机的热备份；

² 出口路由器的热备份；

² 防火墙及VPN等设备的热备份；

² 重要服务器的备份及负载均衡；

三、设计原则

以下内容为网络建设的主要设计原则：

² 实用性原则：网络设计方案中应把握“够用”和“实用” 原则，网络系统应采用成熟可靠的技术和设备，做到实用、经济和有效。

² 开放性原则：网络系统采用开放的标准和技术，如TCP/IP协议、IEEE802系列标准等，以满足未来网络系统的扩充和与其他网络的互相通信等需求。

² 高可用性/可靠性原则：应确保很高的平均无故障时间和尽可能低的平均故障率。

² 安全性原则：确保网络可以抵挡住常见及一般性的攻击，并辅之实时监控和分析等手段，对特殊的网络攻击和入侵进行相应处理。

² 先进性原则： 构建一个现代化的网络系统，应尽可能采用先进而成熟的技术，在一段时间内保证其主流地位。

² 易用性原则：整个系统易于安装、管理和使用。网络系统应该具有良好的可管理性和很高的资源利用率。此外，在满足现有网络应用的同时，还应为以后的应用升级奠定基础。² 可扩展性原则：网络总体设计不仅要考虑到近期目标，也要为网络的进一步发展留有扩展余地，因此需要统一规划和设计。

四、设计思路

本方案从公司的业务发展需求、信息及网络技术的快速更新以及现有的网络状况、节约成本等综合因素进行考虑并设计：

从结构上，采用了以千兆冗余链路结构为主、可支持万兆扩展、高级路由策略、高性能数据转发、模块化机箱、多层协议交换设备为核心，接入和分布层设备的结构均支持千兆冗余，采用STP协议解决环路、流量分担负载以及链路备份的问题。

在VLAN的设计上，根据VLAN规划的部门、区域以及特殊要求进行划分。在路由设计上，核心交换机和路由器之间采用OSFP作为主要的路由协议，并配合相关的路由策略实现高级路由功能。

在QoS质量保证上，对语音、视频及其他重要业务进行区分，可以通过端到端的QoS策略，如DSCP等，也可以通过二层实现如COS等策略，根据流量的优先级或报文标记进行识别并区别对待，以达到QoS的目的。

在安全方面，内部通过AD域控方式通过域控策略对每台域内计算机和终端进行控制和管理，在设备端通过诸如ACL和路由等策略进行流量的控制，而对于外网的访问，除通过相关的ACL和路由外，我们可以通过防火墙进行更多的安全认证、规则以及审计策略进行控制，并且还可以在一定程度上阻止DDOS的攻击。

在网络管理上，我们采用集中式和分布式管理方式，对于在北京本地的设备进行集中管理，而对于远端分所的设备，我们可以采用分布式管理即本地与远端共管模式。

在核心交换机及重要设备，我们采用完全及部分冗余备份机制，还可以实现一定的流量分担负载。

而对于WLAN无线网络，随着WLAN无线网络的发展，无线网络所带来的便利性和灵活性越来越受到人们的青睐，越来越多的应用和业务对无线网络的依赖程度也越来越高。因此，在本次的网络规划中我们将无线网络（WLAN）也作为网络建设的重点之一。本无线网络结构采用集中式控制结构，即通常所说的无线控制器（也叫无线交换机）与瘦AP（或混合AP）模式。瘦AP可以用于本地的无线网络中直接连接相邻的IDF的PoE（Power over Ethernet）交换机，而混合型AP可以放置在各分支机构及办事处，这些AP在网络正常运行的情况下都可以受到无线控制器统一控制，如果远端分支机构及办事处网络中断，混合型AP还可以独立执行无线覆盖功能，而不会出现中断。在这个网络中，如果对无线要求不高，我们建议采用IEEE802.11a/b/g的覆盖，否则，我们可以考虑802.11n的网络部署。如果部署范围较广，带宽较高，我们还可以实现未来WiFi Phone和无线视频的应用。

五、方案分析

1.方案一：（系统图单独附上）

方案描述：

本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备完全热备份。

核心交换设备是两台Cisco Catalyst 4507R-E交换机可配备双引擎，双电源，支持万兆的引擎和板卡，可支持7个插槽，最高交换矩阵可达320Gbps（SuP-6 引擎），IPV4转发速率为250Mpps，两台核心分别处理不同的VLAN数据和流量，但同时实现双机热备，另外，配置端到端的QoS策略，分离无线数据流、语音流、视频流、有线数据流等，根据不同的优先级进行不同的分类或者可以配置基于三层的DSCP实现数据流的分类。

接入层设备则选择以Cisco Catalyst 2960-24TC-L作为普通用户终端接入的百兆交换机。以Cisco Catalyst 2960-24PC-L作为WAP和IP Phone的POE（Power over Ethernet）千兆接入交换机，POE交换机端口在为AP设备和IP电话提供数据传输的同时，也可以提供基于IEEE802.3af标准的电源。

核心安全设备我们采用2台了集Firewall/VPN/IPS功能于一体的Juniper SSG550，双机热备，同时将内外部访问的服务器可以通过双链路至2台Catalyst 2960G-24TC-L千兆交换机并双链路接入至防火墙的DMZ安全区。

ISR多业务路由器我们选择了2台Cisco 3845作为边缘路由器，双机热备，同时也作为语音系统网关并配合Cisco Call Manager(CCM)服务器群一起构成完整的IP语音系统，可支持250个语音终端用户。WAN链路上，我们可以向ISP申请2条100M普通链路与Internet相连，通过Internet 上VPN实现与各分支机构的业务传输和资源共享；而与中海油总部网络的连接，我们采用一条10M专用链路。对于VOIP语音的传输，我们通过Internet 与各分所的通信，而通过专线实现与总部的通信，另外，我们还提供了1个E1线路和6个模拟中继线路的传统通信链路的备份。

对于VLAN，我们可以按照部门、功能、区域、用途等进行划分，系统图中的VLAN仅供参考，但无线网络根据SSID的数量设置不同的独立VLAN，设备管理需要独立的VLAN，IP电话系统设置独立VLAN，以及公司重要部门及会议室设置独立VLAN等，我们可以在后续的工作中进行详细规划。

WLAN无线网络，由于目前无线网络部署规模并不大，我们采用Cisco WLC4404-25APs 无线控制器，可以考虑采用Cisco Aironet 1242AG的无线AP。

方案分析：（略）

2.方案二：（系统图单独附上）

方案描述：

本方案是基于百兆到桌面考虑，上联均为千兆双链路的结构进行设计，网络中的核心设备完全热备份。

核心交换设备是两台Cisco Catalyst 4507R-E交换机可配备双引擎，双电源，支持万兆的引擎和板卡，可支持7个插槽，最高交换矩阵可达320Gbps（SuP-6 引擎），IPV4转发速率为250Mpps，两台核心分别处理不同的VLAN数据和流量，但同时实现双机热备，另外，配置端到端的QoS策略，分离无线数据流、语音流、视频流、有线数据流等，根据不同的优先级进行不同的分类或者可以配置基于三层的DSCP实现数据流的分类。

接入层设备则选择以Cisco Catalyst 2960-24TC-L作为普通用户终端接入的百兆交换机。以Cisco Catalyst 2960-24PC-L作为WAP和IP Phone的POE（Power over Ethernet）千兆接入交换机，POE交换机端口在为AP设备和IP电话提供数据传输的同时，也可以提供基于IEEE802.3af标准的电源。核心安全设备我们采用2台了集Firewall/VPN/IPS功能于一体的Juniper SSG550，双机热备，同时将内外部访问的服务器可以通过双链路至2台Catalyst 2960G-24TC-L千兆交换机并双链路接入至防火墙的DMZ安全区。

ISR多业务路由器我们选择了2台Cisco 3845作为边缘路由器，双机热备，同时也作为语音系统网关并配合Cisco Call Manager(CCM)服务器群一起构成完整的IP语音系统，可支持250个语音终端用户。

WAN链路上，我们可以向ISP申请2条50M专用链路与总部网络相连，通过总部网络再与各分支机构进行业务传输和资源共享；而与Internet 的连接，我们采用一条10M普通链路接入，同时也满足一部分移动性办公VPN接入。对于VOIP语音的传输，我们通过总部网络与各分支机构和办事处间的通信，另外，我们还提供了1个E1线路和6个模拟中继线路的传统通信链路的备份。

对于VLAN，我们可以按照部门、功能、区域、用途等进行划分，系统图中的VLAN仅供参考，但无线网络根据SSID的数量设置不同的独立VLAN，设备管理需要独立的VLAN，IP电话系统设置独立VLAN，以及公司重要部门及会议室设置独立VLAN等，我们可以在后续的工作中进行详细规划。

WLAN无线网络，由于目前无线网络部署规模并不大，我们采用Cisco WLC4404-25APs 无线控制器，可以考虑采用Cisco Aironet 1242AG的无线AP。

方案分析：（略）

3.推荐方案：（略）

六、产品清单（略）

篇7：企业办公网络规划设计

【办公装修】提升企业形象的办公区域设计

“眼睛是心灵的窗户”。那么在办公室空间中有几处区域设计绝对能够体现出一家公司的企业文化、员工氛围等。以下几处区域设计出彩、装修得当一定会对公司的企业形象有所提升。

形象墙设计

首先是形象墙的设计，形象墙一般都是放置在入口处的，让客户第一眼就能看得到，让客户对我们具有一个初步的了解，因此要求形象的设计要符合一个公司所经营的行业，比如说是设计公司的话形象墙的设计就要以体现设计的创意和设计理念的追求为要原则。

优鸿设计-专业办公室装修设计公司

前台设计

其次前台的设计不论是造型的设计还是色彩的搭配等各方面都要以突出企业的正规感、实力感为主要原则，我们知道要想让一个人对某种事物具有很强的认可度或者记忆深刻，它就要有其不同之处，因此前台的设计要追求一种冲击感，可以是色彩和造型上的，也可以是企业内涵和文化精神层面的上。

优鸿设计-专业办公室装修设计公司

办公室设计

办公室作为企业用来聚焦人才开展工作的环境，既是一个公共性的场所，同时也因为企业运作的各种需要而力求保持一定的私密性，拥有一个实用、美观的办公室内环境，不仅能增强企业自身的良好形象，加强客户的信任感，同时也可以给员工以舒适的工作条件，甚至是心理上的满足。

篇8：浅析大型企业核心办公网络架构

随着现在信息化办公程度的提高, 企业办公网络也逐渐变得庞大与复杂, 以往所使用的为一个办公网络只划分一个局域网的网络规划方式逐渐暴露出其效率低下、安全水平差、网络故障多等弊端。尤其在大型企业的网络中, 信息的交换、资源的共享和服务的提供往往是需要分级、多方、甚至于跨地域进行的, 要维持这类庞大网络的稳定、高效、安全的运行, 在进行网络建设之前就应当对网络的需求进行详细的分析, 对网络资源进行大致的分配, 并对其架构做出合理的规划。

2设备的选择

一般来说, 一个大型企业至少有两种网络:一种是企业生产、办公用的内部网络, 一种是用来连接Internet资源的外部网络。这两种网络在物理设备上可以是一套设备, 也可以使用两套或多套设备。

内、外网共用一套网络设备的组网方式时, 网络与网络之间通过对交换机 (这里主要指三层交换机和部分二层的交换机) 进行子网划分、ACL控制等软件设置手段来达到网络间的逻辑隔离。这种组网方式无疑设备成本较低, 公司内部的网络使用人员使用一台电脑便可以对内、外网的资源进行访问与使用。但是对于拥有很多子系统的内网来说, 其网络负担较重, 且其网络安全性受到公司内部人员网络安全意识和网络防护能力的影响也会受到较大的威胁。对于网络管理人员来说, 对复杂网络的维护与监管的难度也比较大。因此, 在投资允许的情况下, 大型企业的网络一般不应使用这种组网方式。

内、外网络使用多套设备组网, 在这种组网方式下, 内、外网在物理上是完全隔离或者在用户端上来说内、外网是物理隔离的 (因为现在很多企业内部都拥有自己的资源服务系统, 如病毒服务器、操作系统补丁服务器等, 这些服务器虽然只为内网中的用户提供服务, 但其本身需要使用到外部网络的资源, 因而这些服务器需要通过特殊的设置联入Internet, 使得这种接入Internet的网络对于内网普通用户是不可见的) 。使用这种网络的用户, 如果有同时访问内、外网的需求则需要装备两台终端。一台装有双网卡的终端也可以实现同时使用内。外网络, 但是这样便失去了使用两套网络设备组网的安全意义, 所以一般并不推荐这样的使用方式。使用多套设备组网这种方式投入较大, 设备购买其后续的维护成本较高。但是这种组网方式对于一个大型网来说, 能够较大的提高其网络性能和网络安全, 方便了系统的管理。

3网络的划分与资源的分配

一个普通办公楼的网络结构并不算庞大, 使用简易的网络划分基本可以满足所有用户的需求。但是对于一个企业来说, 这样的网络划分方式是不可取的。作为一个大型网络而言, 在进行网络划分时首先应当考虑用户的数量, 根据用户数量来决定网络划分的大小和方式。在大型企业的网络中, 不同部门的用户数量, 使用的资源, 安全级别都不尽相同。这些用户通常只在内网中办公, 根据现场需求将不同需求的用户划分到不同的网 (段) 中, 是一个需要严谨调查的过程。有的用户 (部门) 需要的安全级别较高, 如企业领导人办公室、财务、机要等部门;有的则需要有访问全网的大范围网络访问需求, 如调度、生产监控等系统;还有出差时需要使用办公网络的人员等, 这些不同的网络的划分必须要结合现有的网络构架、用户的需求、设备成本等做出因地制宜的考虑。

一个大型企业的信息化平台, 并不仅仅是一个办公用的封闭性的平台。这就对企业的办公网络所提出了一个半开放的需求。这样的一个需求便引出了如何让办公资源在公网上正常被使用的同时, 保证资源的安全与保密的问题。为了解决这一问题, 我们在划分信息网络时, 为用于公网 (防火墙) 与内网的资源服务器单独划出了一个特殊的DMZ区 (demilitarized zone区, 即“隔离区”, 也称“非军事化区”) 。以解决安装防火墙后外部网络不能访问内部网络服务器的问题为目的, 而设立的一个非安全系统与安全系统之间的缓冲区, 这个缓冲区位于企业内部网络和外部网络之间的小网络区域内, 这个区域的安全级别应当设置很高, 除了使用特定的服务访问特定的端口以外, 基本不允许其他的网络数据交换, 在这个小网络区域内放置了必须连接入Internet的服务器设施如:邮件服务器、病毒服务器和操作系统补丁服务器等。而且, 通过这样一个DMZ区域, 更加有效地保护了内部网络, 因为这种网络部署, 比起一般的防火墙方案, 对攻击者来说又多了一道NAT关卡。

对于下属企业众很多, 每个企业都拥有自己的网络系统的情况。集团与这些公司互联如果采取简单的Internet方式, 在安全上将是一个很大的漏洞, 由此引发的安全的问题, 将会给企业带来无法估量的损失。网络设计中, 核心系统使用路由器用来连接外部的各个“局域网”, 当这些“局域网”需要访问内网资源时必须通过防火墙的限制, 这样便极大限制了来自其他网络的攻击。当下属公司的网络本身也比较复杂时, 出于对网络安全及传输速度的考虑, 在有条件时, 应当选择使用专线专网进行连接, 当然, 其连接最好也受到防火墙的保护, 为特定的业务或传输方式其配置专门的穿越地址, 使其业务能够正常通过信息平台使用的同时, 防止其他非入侵行为的发生。在成本不允许专网专线的组网方式的时候, 通常使用VPN网关, 通过Internet进行两个“局域网”的通信, 这种连接方式必须要双方网络在防火墙的控制下进行, 如果使用的网络业务并不是很负责的情况下, 建议只开放特定端口以进行业务传输, 限制来自Internet的威胁。

在进行网络划分时, 除了注意以上经常使用的网络类型时, 在大型综合性的网络中还应当包括环境动力监控网 (安防监控、设备监控、电力监控网等) ;与政府联线的专线网络 (如政务专网) ;生产监控网 (如调度网络、各单位生产数据网等) ;独立性、保密性较高的核心专网 (财务网、销售网等) 这些网络根据企业、环境、成本控制等很多其他因素的控制, 都有很大的不同, 就算在网络建设的初期暂时不包括与这些系统的联网, 但是, 在进行网络构架规划时, 应当将这些网络作为将来有可能发展的方向予以考虑, 保证网络的可延伸性

总结