1.5 网络工程的构建原则_网络工程案例教程（第2版）-QQ阅读男生玄幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

1.5 网络工程的构建原则

计算机网络工程的构建必须遵循一定的系统设计原则，并以该总体原则为指导，设计经济合理、技术先进和资源优化的工程构建方案。计算机网络工程的构建原则通常包括如下几个方面。

1.5.1 可靠性原则

可靠性是网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。可靠性是系统安全的基本要求之一，是所有网络信息系统的建设和运行目标。可靠性原则用于保证在人为或随机性破坏下，系统依然安全可用。提高系统的可靠性有很多途径和专门技术，如下方法可供参考。

●对数据进行完善备份，如进行日备份、周备份；注意数据异地备份，以防止火灾和其他自然灾害或人为破坏。

●对设备进行备份，发现损坏设备用备件及时进行更换。

●关键设备（如重要的服务器及网络设备）应具有容错功能，选用双机备份或双机热备份（对不能中断的服务）技术、集群（Cluster）技术等。

●应用网络管理技术严格监控系统、设备和应用系统的运行和操作。

1.5.2 实用性原则

实用性指的是构建的计算机网络工程系统基于实际的网络需求出发，能极大程度地满足实际业务需求。实用性原则主要包括如下4个方面。

●系统总体设计要充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性，把满足用户业务要求作为重要目标进行考虑。

●采用总体设计、分步实施的技术路线。在总体设计的前提下，先选择用户需求迫切、产生应用效益高、管理中的较低层进行实施，稳步向中高层及系统全面推进。这样系统能始终与用户的实际需求紧密联系在一起，增强系统的实用性，而且可使系统建设保持良好的连贯性。

●人机接口设计应考虑不同用户层次的实际需求，如对使用频繁的业务人员而言，人机接口应以提高工作效率为主；对领导人员而言，人机接口应以方便使用为主。

●用户接口设计应充分考虑人体特征和视觉特征，界面尽可能美观大方，操作简便实用。

1.5.3 先进性原则

先进性指的是采用国际、国内先进和成熟的信息技术，使系统能够在一定的时期内保持效能，适应今后技术发展变化和业务发展变化的需要。一般而言，目前系统的先进性原则主要体现在以下4个方面。

●采用先进的、开放的系统体系结构，如网络通信采用TCP/IP体系结构和基于Intranet的信息技术等。

●计算机技术根据需要采用一些新技术，如容错技术、双机互为备份技术、廉价冗余磁盘阵列（RAID）技术、共享磁盘阵列技术和多媒体技术等。

●采用先进的网络技术，如宽带IP技术、ATM技术、局域网交换技术、网络管理技术和流量负载均衡技术等。

●采用先进的项目管理技术，为了保证项目的质量和系统的科学性，项目管理的科学性是必要的。

1.5.4 可扩展性原则

可扩展性指的是网络要能适应用户当前需求及将来需求的增长、新技术发展等变化。在保护原有投资的同时，要满足用户数的增加，以及用户随时随地增加设备、增加网络功能等需求。随着应用规模的发展，系统能灵活方便地进行硬件或软件系统的扩展和升级。在网络设计时应考虑网络在未来几年中的发展，让网络的扩展可以在现有网络的基础上通过简单地增加设备和增大链路带宽的方法来实现，以适应不断增长的业务需求，保护本次网络建设的投资。提高网络工程的可扩展性一般考虑如下相关问题。

●以参数化方式设置、管理硬件设备的配置、删减、扩充、端口等，系统化管理软件平台，系统化管理并配置应用软件。

●应用软件要采用面向对象的方法进行开发，使之具有较好的可维护性和可移植性，可根据需要修改某个模块、增加新的功能，以及重新组合系统的结构，从而达到软件可复用的目的。

●数据存储结构设计在合理、规范的基础上，同时具有可维护性，对数据库表的修改和维护可以在较短的时间内完成。

●系统部分功能考虑采用参数定制及生成方式，以保证其具备普遍适应性。

●系统部分功能采用多种处理选择模块，以适应管理模块的变更。

●系统提供通用报表及模块管理组装工具，以支持新的应用。

1.5.5 安全性原则

网络安全（Network Security）是指保护网络中的软硬件资源不受非法访问、获取、篡改、破坏的计算机网络维护技术。网络安全是保障网络稳定正常运行的重要方面。凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全要研究的领域。网络工程设计的安全性原则主要包括如下7个方面。

1.网络分段

网络分段通常被认为是控制“网络广播风暴”的一种基本手段，也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

2.虚拟局域网

采用交换式局域网技术组建的局域网，可以应用虚拟局域网（VLAN）技术来加强内部网络管理。VLAN 技术的核心是网络分段，根据不同的部门及不同的安全机制，将网络进行隔离，可以达到限制用户非法访问的目的。在集中式网络环境下，通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。VLAN内部的连接采用交换实现，VLAN与VLAN之间的连接则采用路由实现。

3.网络访问权限设置

局域网中的主机如果不进行权限和用户身份设置，则可以完全被网络中的其他用户访问，所以在局域网中设置访问权限，实现数据的加密服务显得非常重要。局域网是以用户为中心的系统，登录控制能有效地控制用户登录服务器、路由器和交换机等网络设备并获取资源。登录控制大致分为用户名的识别和验证、用户密码的识别和验证、账号的缺省限制检查三个方面。登录控制能有效地保证网络的安全。

权限控制是针对网络非法操作所提出的一种安全保护措施。对用户和用户组赋予一定的权限，可以限制用户和用户组对目录、子目录、文件、打印机和其他共享资源的访问，也可以限制用户和用户组对共享文件、目录和共享设备的操作。

4.网络设备安全控制

局域网中的路由器和三层交换机基本上都内置防火墙功能，且可通过设置IP访问列表与 MAC 地址绑定等方案对网络中的数据进行过滤，限制出入网络的数据，从而增加网络安全性。

5.防火墙控制

防火墙是目前最为流行、也是使用最广泛的一种网络安全技术。防火墙作为分离器、限制器和分析器，用于执行两个网络之间的访问控制策略，有效地监控内部网和Internet之间的任何活动，既可为内部网提供必要的访问控制，又不会造成网络瓶颈，并通过安全策略控制进出系统的数据，保护内部网的关键资源。

6.入侵检测系统

入侵检测系统（Intrusion Detection System，IDS）指的是任何有能力检测系统或网络状态改变的系统或系统的集合。IDS 能发送警报或采取预先设置好的行动来帮助保护用户的网络。IDS可以是一台简单的主机，也可以是一个复杂的系统，使用多台主机来帮助捕获、处理并分析网络流量。

7.杀毒软件

目前，计算机病毒技术与计算机反病毒技术之间的矛盾越来越尖锐。病毒的“变异性”使得用户防不胜防，几乎每天都会出现无数种新病毒，稍有不慎，病毒就会给用户造成严重后果。对计算机病毒的防范应该首先杜绝它的传染途径，对存储介质和网络都进行实时监控，并且安装优秀的杀毒软件，对系统时常进行扫描和病毒清除，还应该建立系统备份和还原机制，以防不测。