公司网络信息系统整改方案

1． 方案背景：

公司目前拥有的PC数量大约为180台（全部在用约为180台左右，闲置台数约为30台），网络体系架构比较复杂，大部分PC机均在同一网段，这样在目前没有部署企业级杀毒软件的情况下，很容易发生一台电脑中毒，致使整个网络瘫痪的事件；其二，机房网络结构繁琐，网络布线比较混乱，这样网络管理维护非常的困难；其三，财务部使用的CRM/K3服务器由于使用时间过长，系统运行速度很慢，机箱内部已有硬件不能正常，且目前该服务器硬盘存储空间已严重不足，该服务器已经严重影响公司的办事效率，由于硬件故障该服务器即将面临崩溃；其四，由于公司最初设计的未考虑上网安全管理，目前局域中存在着BT下载，IP地址盗用，以及通过USB接口泄露公司的机密等问题。

2． 方案简介：

1．网络优化处理：增加路由接口。目前公司的中心路由器只有两个接口，一个接防火墙，设置的ip是10.10.10.2另一个接口公司内网网关:192.168.10.200/24,还设置了一个路由接口192.168.2.2/30的路由口接工厂，在一个口上设置两个IP，严重影响了路由性能，对内网的冲击也大，非常不合理。因此建议将大榭的路由接口接到防火墙的DMZ区，并增加cisco2811的以太网口，增加几个网段。这样做的好处可以划分更多的网络区域（vlan），可以有效隔离广播风暴，和蠕虫病毒。将病毒爆发的影响范围缩小，不至于拖垮整个公司网络，需增加HWIC-4ESW模块一个，该模块预算：2500元左右。同时对公司的网络布线进行综合整理。

2．病毒处理方案：建议公司购买企业级杀毒软件，集中部署，这样可以集中管理每台电脑的病毒情况，由服务器端每天检查下面所有客户段的病毒情况，定期每周做一次集中的扫毒情况。不用管理员经常一台台的检查电脑病毒情况。其次，部署了企业杀毒后，可以避免客户段任意卸载杀毒软件，因为卸载该杀毒软件需要输入管理员密码。目前公司的PC电脑，基本都是网络下载的测试版、试用版的杀毒软件，包含卡巴斯基，诺顿，瑞星，品牌众多，病毒码更新不及时，且有使用盗版之嫌疑，给公司法务带来不必要的麻烦。在这里推荐公司使用企业中广泛使用的趋势企业杀毒软件。购买软件使用后，将保证公司所有电脑都能得到防病毒软件的保护，和病毒码的时时更新。防病毒，是公司首要改善措施。按公司150台电脑的情况，安装趋势客户端和服务器端软件一年共需要预算：22000左右。三年的预算大约为：32000元左右

3．设置代理服务器：现在公司局域网上网都是通过firewall直接NAT上网，主干网络达到100兆。这种模式internet的网络带宽都是非常有限的，容易导致网络传输速度变慢。所以需要在（ICS，NAT，PROXY）三种代理上网的技术中有所选取。推荐使用proxy服务器。它可以Cache大量internet缓存，存储在服务器本地硬盘或内存里。在不同的用户访问相同的网址时，proxy只需向internet提交一次处理。然后存储在服务器的cache

里。其他用户就可以直接从服务器cache里调用数据即可，这种方案节省了大量的的多余的internet流量。同时代理认证上网实施，既代理上网的用户在访问internet的时候需要提交用户名和密码，这样可以有效的解决目前公司哪些人能上网，哪些人不能上网的需求。不会出现靠盗用IP上网的情况。该部分需要购买一台新服务器，建议型号为：HP DL380G5405，预算大约为2.0万。

4．Acl规则限制服务：目前公司上网无任何规则限制，这样导致员工上网自由，资源浪费，一个人在访问在线电影或者下载BT，就会导致公司所有员工上网缓慢。如果在防火墙和路由器上做响应的acl限制，以规定上网访问行为，封毒一些常见的病毒端口和攻击漏洞。加强对重要设备的保护。

5．资料安全方案：考虑到公司客户定单和公司设计资料的安全，可以通过做ACL设置用户访问权限，防止用户访问不该访问的机密电脑资料，并且并部分控制对EMAIL，QQ等的泄密管道，防止资料外泄，因此加强防火墙的安全管理很重要，可以在防火墙上设置禁止对外的smtp服务，禁止通过外部邮箱outlook传递资料，关于USB的封堵，本来应该靠购买行为软件来规范，或者通过AD域的组策略来实施，但考虑到预算成本，可以通过脚本（一个exe的可执行文件），只需要用管理员的身份登陆电脑，点击一下，就可以完成PC注册表的修改，禁止该电脑的USB口。而类似的上网行为软件价格大概在200-300/元每客户端，可为公司节省近4-6万元左右。

6．财务CRM/K3服务器，由于该服务器积累了公司财务、合同、定单、固定资产等对公司至关重要的数据，目前该服务器已使用7年，CPU 频率过低，系统运行缓慢，经查该服务器内部硬件已坏，且硬盘存储空间已严重不足，建议更换最好一台新的服务器，并作好定期该服务器的数据备份。该部分需要购置一台新的服务器，建议型号为：HP DL380G5405，预算大约为2.0万。

7． 积极使用地OA系统，目前该系统运行良好，但自从新的组织结构调整后，但是由于使用人数比较少，没能更好利用它的功能，目前该系统外挂组织结构已基本和公司实际组织架构相符，但OA系统内部电子审批流程还未做更改，关于这方面我会与OA系统的售后服务人员协同把内部电子审批流程做出合理并符合当前公司审批流程，同时建议公司，提倡员工每天登陆，并利用OA系统功能尽量实现无纸化办公！

第二篇：网络信息系统

第11章 网络信息系统

简单地说，网络信息系统NIS是通过一台或几台NIS服务器来管理网络中一组主机的/etc/passwd、/etc/group和/etchosts文件，来减少每台主机都要修改这些文件而引发的一致性问题，避免在网络文件系统NFS（将在下一章中介绍）中，因用户标识UID、组标识GID相同，引起所有者混乱。

NIS域不同于Internet的域概念，在一个NIS域中，只有一个主服务器，可以有多个次服务器，多个次服务器可以分担负荷。

11.1 服务器配置文件

编辑主服务器的/etc/passwd文件，该文件中包括NIS域中所有主机的用户，注意UID不要重复；编辑主服务器的/etc/hosts文件，该文件中包括NIS域中所有主机，NIS运行后该文件将不会再被访问。

如果不想用主服务器的/etc/passwd文件来控制NIS域，可以另外用一个口令文件，须做如下修改：

步骤1：

编辑 /etc/rc.nfs 文件，找到：

DIR=/etc

if [ -x /usr/lib/netsvc/yp/rpc.yppasswdd -a -f $DIR/passwd ]; then start rpc.yppasswdd /usr/lib/netsvc/yp/rpc.yppasswdd /etc/passwd -m

fi

步骤2：

修改 $DIR/passwd为另外指定的口令文件, 如/etc/passwd.nis： DIR=/etc

if [ -x /usr/lib/netsvc/yp/rpc.yppasswdd -a -f $DIR/passwd.nis ]; then start rpc.yppasswdd /usr/lib/netsvc/yp/rpc.yppasswdd /etc/passwd.nis -m

fi

步骤3：

启动yppasswdd守护进程前，为了让前两步的修改生效，请先运行: # chssys -s yppasswdd -a "/etc/passwd.nis -m passwd"

11.2 设置本机为主NIS服务器

步骤1：设置NIS域名

在设置主NIS服务器前，必须设置NIS域名，运行命令:

# smit chypdom

来设置NIS域名，上述命令实际上修改了/etc/rc.nfs文件。

步骤2：设置主NIS服务器

设好域名后，运行SMIT命令:

# smit mkmaster

进行主NIS服务器设置，设置内容如下:

---------------------------------------------------------------------

---

Configure this Host as a NIS Master Server

Type or select values in entry fields.

Press Enter AFTER making all desired changes.

[Entry Fields]

HOSTS that will be slave servers []

* Can existing MAPS for the domain be overwritten? yes +

* EXIT on errors, when creating master server? yes +

* START the yppasswdd daemon? no +

* START the ypupdated daemon? no +

* START the ypbind daemon? yes +

* START the master server now, both +

at system restart, or both?

---------------------------------------------------------------------

---

注：如果已设次服务器，或计划设，请在 HOSTS 项输入次服务器名。

这样就设置好了主MIS服务器。如果要求更高的安全性（用 man 可以查看

关于安全性的更多信息），则可在START the yppasswdd daemon项和 START the

ypupdated daemon选 yes。如果START the master server now, at system

restart, or both项选both, SMIT 调用 ypinit –m，马上启动NIS守护进程, 并

且修改 /etc/rc.nfs ，下次系统重启动时会自动启动守护进程。

11.3 设置本机为次NIS服务器

步骤1：设置NIS域名

在设置次NIS服务器前，同样必须设置NIS域名，运行命令:

# smit chypdom

来设置NIS域名，上述命令实际上修改了/etc/rc.nfs文件。

步骤2：设置次NIS服务器

设好域名后，运行 SMIT命令:

# smit mkslave

进行次NIS服务器设置，设置内容如下:

---------------------------------------------------------------------

---

Configure this Host as a NIS Slave Server

Type or select values in entry fields.

Press Enter AFTER making all desired changes.

[Entry Fields]

* HOSTNAME of the master server []

* Can existing MAPS for the domain be overwritten? yes +

* START the slave server now, both +

at system restart, or both?

* Quit if errors are encountered? yes +

---------------------------------------------------------------------

---

在HOSTNAME项输入主服务器名，按Enter后设置生效。SMIT 调用 ypinit

-s，请确认 /etc/rc.nfs 是否也做修改，以决定START the slave server now,at

system restart, or both?项取何值。

注：START项的含义如上节

11.4 设置本机为NIS客户机

步骤1：设置NIS域名

在设置NIS客户机前，同样必须设置NIS域名，运行命令:

# smit chypdom

来设置NIS域名，上述命令实际上修改了/etc/rc.nfs文件。

步骤2：设置NIS客户机

设好域名后，运行 SMIT命令:

# smit mkclient

进行次NIS客户设置，设置内容如下:

---------------------------------------------------------------------

---

Configure this Host as a NIS Client

Type or select values in entry fields.

Press Enter AFTER making all desired changes.

[Entry Fields]

* START the NIS client now, both +

at system restart, or both?

---------------------------------------------------------------------

---

按 Enter，启动 ypbind 并修改 /etc/rc.nfs。

11.5 描述图和命令

在11.2节中，用SMIT来配置主服务器时，SMIT会创建/var/yp目录，并调

用ypinit –m创建NIS用到的描述图。

所谓描述图是指下列ASCII文件经编译后生成的*.time文件，供NIS守护进程访问。

/etc/passwd 用户信息。

/etc/group 组信息。

/etc/hosts 主机信息。

/etc/netid 主机和组的ID信息。

/etc/rpc RPC（远程进程调用）程序信息。

/etc/services 服务信息。

/etc/protocols 协议信息。

/etc/publickey 公共安全密钥。

在/var/yp目录中，包含以下描述图和命令文件:

Makefile

aliases.time

binding

group.time

hosts.time

netid.time

passwd.time

protocols.time

publickey.time

rpc.time

services.time

updaters

描述图依据Makefile 文件生成。在Makefile中通过调用 makedbm 命令建描述图，生成 *.time 文件。Makefile还调用/usr/sbin目录中各种yp命令。下面列出的/usr/etc/yp中的命令，实际上链接到/usr/sbin下的命令，以提供对早期AIX版本的兼容性：

chmaster

chslave

chypdom

lsmaster

makedbm

mkalias

mkclient

mkkeyserv

mkmaster

mknetid

mkslave

mrgpwd

revnetgroup

rmkeyserv

rmyp

stdethers

stdhosts

udpublickey

ypinit

yppoll

yppush

ypset

ypxfr

ypxfr_1perday

ypxfr_1perhour

ypxfr_2perday

/usr/etc中的NIS命令也有链接:

rpc.yppasswdd -> /usr/lib/netsvc/yp/rpc.yppasswdd

rpc.ypupdated -> /usr/lib/netsvc/yp/rpc.ypupdated

ypbind -> /usr/lib/netsvc/yp/ypbind

ypserv -> /usr/lib/netsvc/yp/ypserv

注：关于这些命令的使用，请用man来查看，yp是yellow page的简称。

11.6 NIS守护进程

NIS守护进程包括：

/usr/lib/netsvc/yp/ypserv

/usr/lib/netsvc/yp/ypbind

/usr/lib/netsvc/yp/yppasswd

/usr/lib/netsvc/yp/rpc.yppasswdd

/usr/lib/netsvc/yp/rpc.ypupdated

/usr/sbin/portmap

客户机的登录和域名解析通过ypbind，向服务器的ypserv提出请求，修改密码则通过yppasswd，向yppasswdd提出请求。ypupdated用于安全NFS基于公私钥机制下的UID、GID传送，portmap为守护进程提供通讯端口服务。

? 管理 yp 守护进程

? 用SMIT命令:

# smit ypstartstop

屏幕内容如下:

------------------------------------------------------------------------

Start / Stop Configured NIS Daemons

Move cursor to desired item and press Enter.

Start the Server Daemon, ypserv

Start the Client Daemon, ypbind

Start the yppasswdd Daemon

Start the ypupdated Daemon

Stop the Server Daemon, ypserv

Stop the Client Daemon, ypbind

Stop the yppasswdd Daemon

Stop the ypupdated Daemon

------------------------------------------------------------------------

根据菜单选择需要的操作。

? 用命令行也可以单独或成组启动 yp 守护进程。

? 停止全部的 yp 守护进程:

# stopsrc -g yp

? 启动全部 yp 守护进程:

# startsrc -g yp

? 停某个 yp 守护进程, 例如 ypbind, :

# stopsrc -s ypbind

? 启动某个 yp 守护进程, 例如 ypserv, :

# startsrc -s ypserv

? /etc/rc.nfs

NFS和NIS共用/etc/rc.nfs文件，该文件的和NIS有关的内容在下面列出： # Uncomment the following lines and change the domain

# name to define your domain (domain must be defined

# before starting NIS).

if [ -x /usr/bin/domainname ]; then

/usr/bin/domainname elmo

fi

...

if [ -x /usr/lib/netsvc/yp/ypserv -a -d /var/yp/`domainname` ]; then start ypserv /usr/lib/netsvc/yp/ypserv

fi

if [ -x /usr/lib/netsvc/yp/ypbind ]; then

start ypbind /usr/lib/netsvc/yp/ypbind

fi

if [ -x /usr/sbin/keyserv ]; then

start keyserv /usr/sbin/keyserv

fi

if [ -x /usr/lib/netsvc/yp/rpc.ypupdated -a -d /var/yp/`domainname` ]; then

start ypupdated /usr/lib/netsvc/yp/rpc.ypupdated

...

#Uncomment the following lines to start up the NIS

#yppasswd daemon.

DIR=/etc

if [ -x /usr/lib/netsvc/yp/rpc.yppasswdd -a -f $DIR/passwd ]; then start rpc.yppasswdd /usr/lib/netsvc/yp/rpc.yppasswdd /etc/passwd -m

fi