企業(yè)局域網(wǎng)設計畢業(yè)設計(論文).doc
《企業(yè)局域網(wǎng)設計畢業(yè)設計(論文).doc》由會員分享,可在線閱讀,更多相關《企業(yè)局域網(wǎng)設計畢業(yè)設計(論文).doc(28頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、摘 要 網(wǎng)絡技術高速發(fā)展的今天,企業(yè)網(wǎng)絡的優(yōu)劣已經成為衡量企業(yè)競爭力的標 準之一。針對證劵行業(yè)的特點,本文介紹了一個行業(yè)專業(yè)網(wǎng)絡的整體設計方案。 充分考慮到網(wǎng)絡的負載均衡和穩(wěn)定性能,所以本方案采用三層網(wǎng)絡結構。其中, 匯聚層采用兩臺設備,配置 Cisco HSRP 協(xié)議進行雙機熱備份。路由協(xié)議則選擇 安全性高、收斂速度快的 OSPF 協(xié)議。其中用到的路由交換協(xié)議還有支持 VLAN 間數(shù)據(jù)傳輸?shù)?VTP 協(xié)議。我們采用 Cisco 交換機帶寬聚合技術將多條物理線路 捆綁為一條邏輯鏈路,使其有更高帶寬。服務器群組則重點介紹了 FTP、郵件 服務器及 WEB 服務器等企業(yè)中較常用到的服務器的軟件選擇
2、及搭建方法。對于 網(wǎng)絡中可能存在的安全威脅,針對不同的需求,方案中提出了 VLAN 技術、訪問 控制列表、防火墻技術以及 VPN 等安全解決方案,以求構建一個安全、高效、 可靠的企業(yè)網(wǎng)絡。 關鍵詞:網(wǎng)絡層次化,熱備份,虛擬局域網(wǎng),控制列表,防火墻 目 錄 第 1 章 需求分析.1 1.1 項目背景 1 1.2 設計目標 1 1.3 用戶現(xiàn)實需求 2 第 2 章 網(wǎng)絡整體設計.3 2.1 網(wǎng)絡拓撲 3 2.2 網(wǎng)絡層次化設計 3 2.2.1 核心層設計.4 2.2.2 匯聚層設計.5 2.2.3 接入層設計.6 2.2.4 路由協(xié)議選擇.7 2.3 VLAN 的劃分及 IP 地址規(guī)劃.8 2.4
3、 服務器群組 9 2.4.1 FTP 服務9 2.4.2 DHCP 服務器.10 2.4.3 郵件服務器10 2.4.4 web 服務器12 第 3 章 安全策略13 3.1 網(wǎng)絡威脅因素分析 .13 3.2 安全要求 .13 3.3 安全產品選型原則 .14 3.4 安全策略部署 .14 3.4.1VLAN 技術14 3.4.2 訪問控制列表15 3.4.3 防火墻17 3.4.4 VPN 19 第五章 方案實現(xiàn)結果分析20 第 4 章 總結與展望21 致 謝22 參考文獻.23 前 言 信息化浪潮風起云涌的今天,企業(yè)的業(yè)務已經全面電子化,與 Internet 的 聯(lián)系相當緊密,所以他們需要
4、良好的信息平臺去支撐業(yè)務的高速發(fā)展。沒有信 息技術背景的企業(yè)也將會對網(wǎng)絡建設有主動訴求。任何決策的科學性和可靠性 都是以信息為基礎的,信息和決策是同一管理過程中的兩個方面,因此行業(yè)信 息化也就成了人們所討論并實踐著的重要課題。公司內部網(wǎng)絡的建設已經成為 提升企業(yè)核心競爭力的關鍵因素。公司網(wǎng)已經越來越多地被人們提到,利用網(wǎng) 絡技術,現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通,公 司網(wǎng)絡的優(yōu)劣直接關系到公司能否獲得關鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上 馬各種應用方案且取得了巨大的成功,這使信息化建設更具吸引力。 信息技術自誕生之日起,就對證劵行業(yè)產生了深遠的影響,尤其是上世紀 90 年
5、代以來,隨著金融服務業(yè)全球化和競爭日益劇烈,促使證劵公司加快運用 各種新的信息技術手段來提高公司管理水平,可以說金融業(yè)已經成為信息技術和 網(wǎng)絡技術發(fā)展的最大收益者之一。網(wǎng)絡技術的發(fā)展,讓網(wǎng)上交易迅速普及,網(wǎng) 上交易有助于證劵公司提高工作效率,降低出錯率,也方便證劵公司對客戶的 管理。 雖然大多數(shù)企業(yè)已經把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經營發(fā)展戰(zhàn)略中,但是網(wǎng)絡黑客攻 擊、計算機病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素,任然讓很多企業(yè) 對企業(yè)網(wǎng)絡化猶豫不定。 證劵企業(yè)的特點是數(shù)據(jù)傳輸量大,且數(shù)據(jù)機密度高,所以證劵業(yè)網(wǎng)絡就要 求高效、穩(wěn)定和安全,合理的網(wǎng)絡結構設計能至關重要。隨著網(wǎng)絡技術的迅速 發(fā)展和網(wǎng)上應用
6、量的增長,分布式的網(wǎng)絡服務和交換已經移至用戶級,由此形 成了一個新的,更適應現(xiàn)代的高速大型網(wǎng)絡分層設計模型“多層次設計” 。多層 次設計師模塊化的,它在日后網(wǎng)絡擴展、負載均衡、故障排除方面很有效。而 現(xiàn)在強大的防火墻技術和各種各樣的安全策略被應用到企業(yè)網(wǎng)絡中,安全得到 了保障,那么網(wǎng)路對于 企業(yè)的發(fā)展就真正起到了推進的作用。 第第 1 章章 需求分析需求分析 1.11.1 項目背景項目背景 XX 證劵是一家剛剛成立的證劵公司,公司有資產管理部、財務部、人力資 源部、后勤部、經理室(管理部門)和營業(yè)部 6 個部門,6 個部門分布在兩個 樓層。日后公司在外地還要開設分支機構,而這里作為公司總部,中
7、心機房也 設在此處。公司的網(wǎng)絡系統(tǒng)要滿足公司日常辦公電子化,各部門信息共享,日 常證劵交易,且作為證劵公司,某些投資機密需要很高的保密度,所以公司網(wǎng) 絡要有很高的可靠性和安全性??紤]的日后公司的擴張,所以網(wǎng)絡系統(tǒng)要有可 擴展性。 1.2 設計目標設計目標 設計一個公司的網(wǎng)絡,首先要確定用戶對網(wǎng)絡的真正需求,并在結合未來 可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結構和網(wǎng)絡技術,提供用戶滿 意的高質服務。還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開,所以建成后 企業(yè)網(wǎng)應能提供多個網(wǎng)段的劃分和隔離,并能做到靈活改變配置,以適應企業(yè) 辦公環(huán)境的調整和變化,即 VLAN 的整體劃分。 考慮到證劵行業(yè)數(shù)據(jù)
8、的重要性、保密性,為了保證多想證劵業(yè)務的順利進 行,保證網(wǎng)絡的不間斷運行,網(wǎng)絡平臺應具有以下一些特點: (1)高可靠性高可靠性網(wǎng)絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證,在 設計中選用高可靠性網(wǎng)絡產品,合理設計網(wǎng)絡架構,制訂可靠的網(wǎng)絡備份 策略,保證網(wǎng)絡具有故障自愈的能力,最大限度地支持各個系統(tǒng)的正常運 行。 (2)技術先進性和實用性技術先進性和實用性保證滿足證券交易系統(tǒng)業(yè)務的同時,又要體現(xiàn)出 網(wǎng)絡系統(tǒng)的先進性。在網(wǎng)絡設計中要把先進的技術與現(xiàn)有的成熟技術和標 準結合起來,充分考慮到證券公司網(wǎng)絡應用的現(xiàn)狀和未來發(fā)展趨勢。 (3)高性能高性能承載網(wǎng)絡性能是網(wǎng)絡通訊系統(tǒng)良好運行的基礎,設計中必須
9、保 障網(wǎng)絡及設備的高吞吐能力,保證各種信息(數(shù)據(jù)、語音、圖象)的高質 量傳輸,才能使網(wǎng)絡不成為證券公司各項業(yè)務開展的瓶頸。 (4)標準開放性標準開放性支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài) 路由協(xié)議等開放協(xié)議,有利于保證與其它網(wǎng)絡(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡、 行內其它網(wǎng)絡)之間的平滑連接互通,以及將來網(wǎng)絡的擴展。 (5)靈活性及可擴展性靈活性及可擴展性根據(jù)未來業(yè)務的增長和變化,網(wǎng)絡可以平滑地擴充 和升級,減少最大程度的減少對網(wǎng)絡架構和設備的調整。 (6)可管理性可管理性對網(wǎng)絡實行集中監(jiān)測、分權管理,并統(tǒng)一分配帶寬資源。選 用先進的網(wǎng)絡管理平臺,具有對設備、端口等的管理、流量統(tǒng)計分析,
10、及 可提供故障自動報警。 (7)安全性安全性制訂統(tǒng)一的骨干網(wǎng)安全策略,整體考慮網(wǎng)絡平臺的安全性。 1.31.3 用戶現(xiàn)實需求用戶現(xiàn)實需求 (1)實現(xiàn)公司內部資源共享,即文件服務器,但是對不同的資源要有相應的權 限。 (2)滿足公司日常證劵交易,交易數(shù)據(jù)的傳輸和存儲。 (3)公司各部可以通過即時通信軟件聯(lián)系,建立公司郵件服務器。 (4)打印機共享 (5)公司內部要網(wǎng)絡接入 Internet (6)架設公司 web 服務器,發(fā)布公司網(wǎng)站 (7)為保證安全,Internet 與公司內部網(wǎng)絡間應采用防護措施,防止外界對 內部網(wǎng)絡未經授權的訪問。 第第 2 章章 網(wǎng)絡整體設計網(wǎng)絡整體設計 2.1 網(wǎng)絡拓
11、撲 計算機網(wǎng)絡的組成元素可以分為兩大類,即網(wǎng)絡節(jié)點(又可分為端節(jié)點和 轉發(fā)節(jié)點)和通信鏈路,網(wǎng)絡中節(jié)點的互聯(lián)模式叫網(wǎng)絡的網(wǎng)絡的拓撲結構。網(wǎng) 絡拓撲定義了網(wǎng)絡中資源的連接方式,局域網(wǎng)中常用的拓撲結構有:總線型結 構、環(huán)形結構、星型結構。 由于 XX 證劵公司總部網(wǎng)絡站點不是特別的多,而且聯(lián)網(wǎng)的站點相對集中, 因此我們采用星型的網(wǎng)絡拓撲。星型拓撲結構是由通過點到點鏈路接到中央節(jié) 點的各站點組成的。星型網(wǎng)絡中有一個唯一的轉發(fā)節(jié)點(中央節(jié)點) ,每一臺計 算機都通過單獨的通信線路連接到中央節(jié)點。 在星型拓撲中利用中央結點可方便地提供服務和重新配置網(wǎng)絡;單個連接 點故障只會影響故障點連接的一個設備,不會
12、影響全網(wǎng),容易檢測隔離故障、 便于維護;任何一個連接只涉及到中央結點和一個站點,控制介質訪問的方法 很簡單、從而訪問協(xié)議也十分簡單。 2.2 網(wǎng)絡層次化設計 網(wǎng)絡的設計模型主要包括層次化設計模型和非層次化設計模型兩種。隨著 網(wǎng)絡技術的迅速發(fā)展和網(wǎng)上應用量的增長,非層次化的網(wǎng)絡設計已經不適合當 今企業(yè)的網(wǎng)絡應用,由于非層次化網(wǎng)絡沒有適當?shù)囊?guī)劃,網(wǎng)絡最終會發(fā)展成為 非結構的形式,這樣當網(wǎng)絡設備之間相互通信時,設備上的 CPU 必然會承受相 當大的負載,不利于網(wǎng)絡的運行和發(fā)展,當大量的數(shù)據(jù)在網(wǎng)絡中傳輸時,容易 引起線路擁堵甚至網(wǎng)絡的癱瘓。 所以我們選擇層次化的網(wǎng)絡設計。 多層設計師模塊化的,網(wǎng)絡容量
13、可隨著日后網(wǎng)絡節(jié)點的增加而不斷增大。 多層次網(wǎng)絡有很大的確定性,因此在運行和擴展過程中進行故障查找和排出非 常簡單。多層模式使網(wǎng)絡的移植更為簡單易行,因為它保留看基于路由器和交 換機的網(wǎng)絡原有的尋址方案,對以往的網(wǎng)絡有很好的兼容性。另外分層結構也 能夠對網(wǎng)絡的故障進行很好的隔離。 針對實際情況我們采用三層結構模型,即核心層、分布層、接入層。每個 層次有不同的功能。核心層作為整個網(wǎng)絡系統(tǒng)的核心,起主要功能是高速、可 靠的進行數(shù)據(jù)交換。分布層主要進行接入層的數(shù)據(jù)流量匯聚,并對數(shù)據(jù)流量進 行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要進行 VLAN 的換 分、與分布層的連接等。 2.2.1
14、核心層設計核心層設計 核心層作為整個網(wǎng)絡系統(tǒng)的核心,其主要功能是高速、可靠的進行數(shù)據(jù)交 換。 核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。所以推薦使用兩臺 H3C S7500 交換機完成此項功能。H3C S7500 交換機高性能、高可靠性、高可用 性是我們主要考慮的因素。本區(qū)的安全性可以由邊界防火墻提供,如果有需要, 還可以在 H3C S7500 上面部署安全策略,使得核心交換區(qū)的安全性進一步地增 強。 Cisco Catalyst 4500 系列憑借眾多智能服務將控制擴展到網(wǎng)絡邊緣,其 中包括先進的服務質量 (QoS)、可預測性能、高級安全性和全面的管理。它提 供帶集成永續(xù)性的出色控
15、制,將永續(xù)性集成到硬件和軟件中,縮短了網(wǎng)絡停運 時間。Cisco Catalyst 4500 系列的模塊化架構、介質靈活性和可擴展性減少 了重復運營開支,提高了投資回報(ROI) ,從而在延長部署壽命的同時降低了 擁有成本。方案中 Catalyst 4506 交換機配置了一塊 WS-X4515 引擎 (Supervisor IV),Catalyst 4500 Supervisor IV 引擎用于 Cisco Catalyst 4506 交換機機箱,是一款 64Gbps、4800 萬分組/秒(48mpps)的第二到四層交 換引擎,直接在管理引擎面板上配備了 2 個線速 GBIC 端口。當部署了
16、Catalyst 4500 系列 Supervisor IV 時,這些附加端口可將 Catalyst4506 的 最大密度擴展到 240 個端口。添加了這款新管理引擎后,Catalyst 4506 可為 中型企業(yè)提供價格合理、易于使用的可擴展性、創(chuàng)新安全性、集成可靠性和靈 活性。 2.2.2 匯聚層設計匯聚層設計 匯聚層主要進行接入層的數(shù)據(jù)流量匯聚,并對數(shù)據(jù)流量進行訪問控制。包 括訪問控制列表、VLAN 路由等等。推薦采用兩臺 H3C S5510 作為匯聚交換機。 兩臺 Cisco WS-C3750G-12S-E 做雙機熱備,采用 Cisco 專有熱備份協(xié)議技術 (HSRP) ,根據(jù)需求配置成
17、多組 HSRP。這樣設計部但不但保證網(wǎng)絡的高可用性 和穩(wěn)定性,還能避免單臺核心設備的負載太重導致網(wǎng)絡性能問題。 Cisco Catalyst 3750 系列交換機是一個創(chuàng)新的產品系列,它結合業(yè)界領 先的易用性和最高的冗余性,里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作 效率。這個新的產品系列采用了最新的思 StackWise 技術,不但實現(xiàn)高達 32Gbps 的堆疊互聯(lián),還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一 起,便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)-就好像是一整臺交換機一 樣。這代表了堆疊式交換機新的工業(yè)技術水平和標準。 對于中型企業(yè)網(wǎng)絡來說, Cisco Catalyst 3
18、750 系列通過提供配置靈活性、 支持融合網(wǎng)絡模式及自動進行智能網(wǎng)絡服務配置,簡化了融合應用的部署,并 可針對不斷變化的業(yè)務需求進行調整。此外,Cisco Catalyst 3750 系列針對 高密度千兆位以太網(wǎng)部署進行了優(yōu)化,包括多種交換機,以滿足接入、匯聚或 小型網(wǎng)絡骨干連接需求。Cisco Catalyst 3750G-12S 提供 12 個千兆位以太網(wǎng) SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的 Catalyst 4506 交換機。 GEC 或 FEC(Gigabit Ethernet Channel/Fast Ethernet Channel)稱為 Cisco
19、 交換機帶寬聚合技術,它用于千兆或百兆以太網(wǎng)端口。在兩臺 Cisco 交 換機互連時,利用 GEC/FEC 技術,可以將 2 條或多條物理鏈路捆綁成為一條更 高帶寬的邏輯鏈路,在本方案中,Cisco WS-C3750G-12S-E 之間用兩條千兆光 纖相連,利用 GEC 技術,我們可以得到一條全雙工 4G 帶寬的鏈路。這樣不僅 可以提高交換機之間的互連帶寬,更重要的是能夠在多條物理鏈路間提供容錯, 使得任意一條線路斷掉不影響交換機之間的暢通。 Etherchannel 基本配置命令: Switch(config)#interface Port-channel1 Switch (config)#
20、switchport trunk encapsulation dot1q Switch (config)#switchport mode trunk Switch (config)#interface range interface-number Switch (config-if-range)#channel-group group-id mode on Switch (config-if-range)#exit HSRP 基本配置命令: Switch (config)#interface vlan vlan-number Switch (config-if)#ip address ip-a
21、ddress Switch (config-if)#standby vlan-id ip ip-address Switch (config-if)#standby 10 priority 105 Switch (config-if)#standby 10 preempt Switch (config-if)#standby 10 track interface-id Switch (config-if)#exit 2.2.3 接入層設計接入層設計 接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行 VLAN 的劃分、與分 布層的連接等等。建議接入層交換機采用 H3C S3610 系列智能以太網(wǎng)
22、交換機以 千兆以太鏈路和匯聚交換機相連接,并為用戶終端提供 10/100M 自適應的接入, 從而形成千兆為骨干,百兆到桌面的以太網(wǎng)三層結構。辦公系統(tǒng)所需的各種服 務器如 FTP 服務器、郵件服務器、DHCP 服務器等組成服務器群,連接到匯聚交 換機的千兆模塊上面,因此,內部的局域網(wǎng)采用三層結構組建。 H3C S3610 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設備系 列,提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接,可為入門級企業(yè)、中型市場和分 支機構網(wǎng)絡提供增強 LAN 服務。H3C S3610 系列具有集成安全特性,包括網(wǎng)絡 準入控制(NAC)、高級服務質量(QoS)和永續(xù)性,可為網(wǎng)絡邊緣提
23、供智能服務。 憑借 H3C S3610 系列提供的廣泛安全特性,企業(yè)可保護重要信息,防止未授權 人員接入網(wǎng)絡,確保私密性及維持不間斷運行。 網(wǎng)絡總體拓撲如圖 2.1 所示: 2.2.4 路由協(xié)議選擇路由協(xié)議選擇 為達到路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的,我們采用動 態(tài)路由協(xié)議,目前較好的動態(tài)路由協(xié)議是 OSPF 協(xié)議和 EIGRP 協(xié)議,OSPF 以協(xié)議標準化強,支持廠家多,受到廣泛應用,而 EIGRP 協(xié)議由 Cisco 公司 發(fā)明,只有 Cisco 公司自己的產品支持,屬于私有性質,其他廠商設備是不支 持的??紤]網(wǎng)絡的擴展性、數(shù)據(jù)資源的保護等原因,我們選擇 OSPF 路由協(xié)議。
24、 OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法,每個路由器維護一個相同的鏈路狀態(tài) 數(shù)據(jù)庫,保存整個 AS 的拓撲結構(AS 不劃分情況下) 。一旦每個路由器有了 完整的鏈路狀態(tài)數(shù)據(jù)庫,該路由器就可以自己為根,構造最短路徑樹,然后再 圖 2.1 整體網(wǎng)絡拓撲圖 根據(jù)最短路徑構造路由表。對于大型的網(wǎng)絡,為了進一步減少路由協(xié)議通信流 量,利于管理和計算。OSPF 將整個 AS 劃分為若干個區(qū)域,區(qū)域內的路由器 維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫,保存該區(qū)域的拓撲結構。OSPF 路由器相互 間交換信息,但交換的信息不是路由,而是鏈路狀態(tài)。OSPF 定義了 5 種分組: Hello 分組用于建立和維護連接;數(shù)據(jù)庫描述分
25、組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù) 庫;當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經過時后,路由器發(fā)送鏈路狀態(tài)請求分組, 請求鄰站提供更新信息;路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路 狀態(tài)數(shù)據(jù)庫或對鏈路狀態(tài)請求分組進行響應;由于 OSPF 直接運行在 IP 層, 協(xié)議本身要提供確認機制,鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。 相對于其它協(xié)議,OSPF 有許多優(yōu)點。OSPF 支持各種不同鑒別機制(如 簡單口令驗證,MD5 加密驗證等) ,并且允許各個系統(tǒng)或區(qū)域采用互不相同的 鑒別機制;提供負載均衡功能,如果計算出到某個目的站有若干條費用相同的 路由,OSPF 路由器會把通信流量均勻地分配給這幾條路由
26、,沿這幾條路由把 該分組發(fā)送出去;在一個自治系統(tǒng)內可劃分出若干個區(qū)域,每個區(qū)域根據(jù)自己 的拓撲結構計算最短路徑,這減少了 OSPF 路由實現(xiàn)的工作量;OSPF 屬動態(tài) 的自適應協(xié)議,對于網(wǎng)絡的拓撲結構變化可以迅速地做出反應,進行相應調整, 提供短的收斂期,使路由表盡快穩(wěn)定化,并且與其它路由協(xié)議相比,OSPF 在 對網(wǎng)絡拓撲變化的處理過程中僅需要最少的通信流量;OSPF 提供點到多點接 口,支持 CIDR(無類型域間路由)地址。 公司現(xiàn)有網(wǎng)絡規(guī)劃為 area0,內部網(wǎng)絡設備都規(guī)劃為 area0。后期若有分支 機構各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議,或者使用靜態(tài)路由與動態(tài) 路由結合的方式。
27、2.3 VLAN 的劃分及 IP 地址規(guī)劃 VLAN 的劃分一般有三種方法,一是基于端口、二是基于 MAC 地址、最后是 基于路由的劃分。在這里我們采用基于端口的劃分,把一個或者多個交換機上 的端口放到一個 VLAN 內,這個方法是最簡單最有效的,網(wǎng)絡管理人員只需要對 網(wǎng)絡設備的交換端口進行分配即可,不用考慮端口所連接的設備。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡層邏輯地址,它被用來唯一地標示網(wǎng)絡 中的一個節(jié)點。IP 地址空間的分配,要與網(wǎng)絡層次結構相適應,既要有效的利 用地址空間,又要體現(xiàn)網(wǎng)絡的可擴展性和靈活性,同時能滿足路由協(xié)議的要求, 提高路由算法的效率,加快路由變化的收斂速度。
28、根據(jù)公司情況,每個部門劃分為一個 VLAN,各部門分別屬于不同的網(wǎng)段, 各部門之間在邏輯上被隔離,但是各部門間的通訊,可根據(jù)需要對匯聚層交換 機進行配置來實現(xiàn)。VLAN 及 IP 地址分配情況如下表所示: 部門 VLAN 網(wǎng)段網(wǎng)關子網(wǎng)掩碼 資產管理部 5192.168.11.0/32192.168.11.255255.255.255.0 營業(yè)廳 4192.168.12.0/32192.168.12.255255.255.255.0 財務部 3192.168.13.0/32192.168.13.255255.255.255.0 經理室 2192.168.14.0/32192.168.14.255
29、255.255.255.0 人力資源部 6192.168.15.0/32192.168.15.255255.255.255.0 后勤部 7192.168.16.0/32192.168.16.255255.255.255.0 服務器群組 8192.168.10.0/32255.255.255.0 ip 地址配置命令: Switch(config)# interface /*打開端口*/ Switch (config-if)#no switchport Switch (config-if)#ip address ip-add subnet-mask /*配置 ip 地址*/ Switch (con
30、fig-if)#no shutdown /*關閉端口*/ 默認網(wǎng)關命令: Ip default-gateway ip-add 2.4 服務器群組 2.4.1 FTP 服務服務 FTP 的全稱是 File Transfer Protocol(文件傳輸協(xié)議)。顧名思義,就是 專門用來傳輸文件的協(xié)議。 表 2.1 ip 地址分配表 證劵公司的 FTP 服務主要是針對公司內部一些日常辦公資料、軟件的共享 而設置的,相當于一個信息系統(tǒng)的大倉庫,僅公司內部 PC 機可以訪問。FTP 服 務器操作系統(tǒng)采用 Windows server 2003,為了登陸方便,該 FTP 服務器采用 匿名訪問方式,但是為了某
31、些文件、數(shù)據(jù)的安全性,各部門屬于不同的用戶組, 對不同的用戶組設置相應的上傳和下載的權限,具體權限根據(jù)公司各部門的職 能來設定。另外,為了防止大部分員工同時訪問 FTP 服務器造成服務器癱瘓, 還要設置最大訪問人數(shù)。 若公司預算有限,也可不選用專門的服務器,而采用一臺配置相對較高的 PC 機作裝上 FTP 服務器端軟件作為 FTP 服務器。Serv-U 是一種被廣泛運用的 FTP 服務器端軟件,支持 3x/9x/ME/NT/2K 等全 Windows 系列??梢栽O定多個 FTP 服務器、限定登錄用戶的權限、登錄主目錄及空間大小等,功能非常完備。 它具有非常完備的安全特性,支持 SSl FTP
32、傳輸,支持在多個 Serv-U 和 FTP 客戶端通過 SSL 加密連接保護數(shù)據(jù)安全等。 2.4.2 DHCP 服務器服務器 由于公司整個網(wǎng)絡節(jié)點較多,若是由網(wǎng)管人員分別為每臺 PC 機配置 IP 地 址那將是一件非常麻煩的事,而且也不利于網(wǎng)絡 IP 地址的管理,所以我們采用 DHCP 服務器,為接入公司網(wǎng)絡的 PC 機。 DHCP(Dynamic Host Configuration Protocol) ,即動態(tài)主機設置協(xié)議, 是一個局域網(wǎng)的網(wǎng)絡協(xié)議,使用 UDP 協(xié)議工作。DHCP 服務器的操作系統(tǒng)選擇 Windows Server 2003。 由于 DHCP 服務器與公司其他 PC 機在
33、不同的 VLAN 中,所以還需要在匯 聚層交換機上配置 DHCP 中繼服務功能才能成功運行 DHCP 服務。 2.4.3 郵件服務器郵件服務器 電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的組成部分,通過電子郵件進行 方便快捷的信息交流已經成為企業(yè)工作中不可或缺的工作習慣。企業(yè)郵箱一般 以企業(yè)的域名作為郵箱后綴,既能體現(xiàn)公司的品牌和形象,還能使公司商業(yè)信 函來往得到更好更安全的管理。常見的郵件服務器軟件有很多,例如:微軟 Exchange Server 、MDaemon Server、WinWebMail 、IMail Server 等等。在 這里我們選用微軟 exchange server 2003
34、 作為服務器端軟件,該版本也是 Microsoft exchange server 中應用最廣泛,功能最穩(wěn)定的一個版本。 exchange server 2003 常見的任務包括:備份與還原、建立新郵箱、恢復、 移動、安裝新的硬件、存儲區(qū)、軟件和工具,以及應用更新和修補程序等。新 工具和改進的工具可幫助 網(wǎng)絡管理員更有效地完成工作。例如,一位管理人員 可能需要恢復幾個月以前刪除的一封非常重要的舊電子郵件,通過使用“恢復 存儲組”功能,管理員可以恢復個人用戶的郵箱,以便查找以前刪除的重要電 子郵件。其他新的管理功能包括: 并行移動多個郵箱。 改進的消息跟蹤和 Outlook 客戶端性能記錄功能。
35、 增強的隊列查看器,它使用戶能夠從同一控制 臺同時查看 SMTP 和 X.400 隊列。 新的基于查詢的通訊組列表,它現(xiàn)在支持 動態(tài)地實時查找成員。 此外,用于 Microsoft Operations Manager 的 Exchange 管理包可自動監(jiān)視整個 Exchange 環(huán)境,從而使用戶能夠對 Exchange 問題預先采取管理措施并快速予以解決。 在部署 exchange 2003 郵件服務器之前,首先為公司申請合的域名,建立 域控服務器,打開“運行”對話框,輸入 dcpromo 命令,然后根據(jù)向導創(chuàng)建域 控服務器。 將公司內的所有 PC 機加入該域。為了防止主域控服務器出現(xiàn)故障而
36、導致 通信故障和信息丟失,所以我們還需要一臺輔助域控。當然,還需要在 DNS 服 務器 中寫入記錄,這樣發(fā)出的郵件才知道去處。 郵件服務器硬件的選擇根據(jù)企業(yè)本身業(yè)務的應用情況和資金投入來決定。 從該公司來看,公司用戶在幾百個以下,但是郵件來往比較多,所以要選擇專 圖 2.2 建立域控服務器 業(yè)的 PC 服務器才能滿足基本的性能要求。 2.4.4 web 服務器服務器 WEB 服務器也稱為 WWW(WORLD WIDE WEB)服務器,主要功能是提供網(wǎng)上信息 瀏覽服務。本方案中 web 服務器主要是向外發(fā)布公司網(wǎng)站,時時更新公司以及 證劵市場信息以供用戶網(wǎng)上參考。 使用最多的 web serve
37、r 服務器軟件 有兩個:微軟的信息服務器(iis) , 和 Apache。本方案中,我們選擇 Linux 作為 web 服務器的操作系統(tǒng),所以服務 器端軟件則用 Apache。 Apache 是世界上用的最多的 Web 服務器,市場占有率達 60%左右,它源于 NCSAhttpd 服務器。Apache 有多種產品,可以支持 SSL 技術,支持多個虛擬主 機。它是以進程為基礎的結構,進程要比線程消耗更多的系統(tǒng)開支。因為它是 自由軟件,所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。 Apache 的特點是簡單、速度快、性能穩(wěn)定,并可做代理服務器來使用。它的成 功之處主要在于它的源代碼開
38、放、有一支開放的開發(fā)隊伍、支持跨平臺的應用 (可以運行在幾乎所有的 Unix、Windows、Linux 系統(tǒng)平臺上)以及它的可移植性 等方面。 第第 3 章章 安全策略安全策略 3.1 網(wǎng)絡威脅因素分析 對于證劵業(yè)來說,網(wǎng)絡的安全性是相當重要的。而證劵網(wǎng)上交易,信息發(fā)布 等業(yè)務使得公司網(wǎng)絡必須與公網(wǎng)相連,這樣必然存在著安全風險。并且公司內 部網(wǎng)絡,由于各部門職能不同,某些部門網(wǎng)絡可能也要求很高的安全性。 公司網(wǎng)絡的安全風險可能包括以下幾個:(1)公司網(wǎng)絡與公網(wǎng)連接,可能遭 到來自各地的越權訪問,還可能遭到網(wǎng)絡黑客的惡意攻擊和計算機病毒的入侵; (2)內部的各個子網(wǎng)通過骨干交換相互連接,這樣的
39、話,某些重要的部門可能會 遭到來自其它部門的越權訪問。這些越權訪問可能包括惡意攻擊、誤操作 等, 據(jù)統(tǒng)計約有 70左右的攻擊來自內部用戶,相比外部攻擊來說,內部用戶具有 更得天獨厚的優(yōu)勢,但是無論怎樣,結果都將導致重要信息的泄露或者網(wǎng)絡的 癱瘓;(3)設備的自身安全性也會直接關系到網(wǎng)絡系統(tǒng)和各種網(wǎng)絡應用的正常運 轉。例如,路由設備存在路由信息泄漏、交換機和路由器設備配置風險等。重 要服務器或操作系統(tǒng)自身存在安全的漏洞,如果管理員沒有及時的發(fā)現(xiàn)并且進 行修復,將會為網(wǎng)絡的安全帶來很多不安定的因素。重要服務器的當機或者重 要數(shù)據(jù)的意外丟失,都將會造成公司日常辦公無法進行。 3.2 安全要求 (1)
40、物理安全 包括保護計算機網(wǎng)絡設備設施以及數(shù)據(jù)庫資料免遭地震、水災、火災等環(huán)境 事故以及人為操作失誤導致系統(tǒng)損壞,同時要避免由于電磁泄漏引起的信息失 密。 (2)網(wǎng)絡安全 主要包括系統(tǒng)安全和網(wǎng)絡運行安全,檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡訪問的 控制。 (3)信息安全 包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授權和鑒別。 3.3 安全產品選型原則 XX 證劵公司網(wǎng)絡屬于一個行業(yè)的專用網(wǎng)絡,因此在安全產品的選型上,必 須慎重。選型的原則包括: (1)安全保密產品的接入應不明顯影響網(wǎng)絡系統(tǒng)運行效率,并且滿足工作的要 求,不影響正常的網(wǎng)上證劵交易和辦公; (2)安全保密產品必須通過國家主管部門指定的測
41、評機構的檢測;安全保密產; (3)品必須具備自我保護能力; (4)安全保密產品必須符合國家和國際上的相關標準; (5)安全產品必須操作簡單易用,便于簡單部署和集中管理。 3.4 安全策略部署 3.4.1VLAN 技術技術 VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)” 。VLAN 是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段,從而實現(xiàn)虛擬工作組的新興 數(shù)據(jù)交換技術。VLAN 要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問 題。這種技術可以把一個 LAN 劃分成多個邏輯的 VLAN,每個 VLAN 是一個廣播 域,VLAN 內的主機間通信就和在一個 L
42、AN 內一樣,而 VLAN 間則不能直接互通, 這樣,廣播報文被限制在一個 VLAN 內,這樣就大大的增加了局域網(wǎng)內部的此信 息安全性。 將各部門劃屬不同的 VLAN,它們之間是不能通信的,這樣能有效避免部門 間的越權訪問,特別是像資產管理部這樣的數(shù)據(jù)比較敏感的部門,對于那些與 他不屬于一個 VLAN 的電腦是無法訪問它的。同時,這樣還防止廣播風暴的發(fā)生, 避免過多廣播包占據(jù)帶寬造成網(wǎng)絡擁塞。另外,VLAN 為網(wǎng)絡管理帶來了很大的 方便,將每個部門劃分為一個 VLAN,每個 VLAN 內的客戶終端需求是基本相似 的,對于故障排查或者軟件升級等都比較方便,大大提高了網(wǎng)絡管理人員的工 作效率。 各
43、個 vlan 之間數(shù)據(jù)的傳輸,必須經過 trunk 鏈路。Trunk 是一種封裝技術, 它是一條點到點的鏈路,鏈路的兩端可以都是交換機,也可以是交換機和路由 器。基于端口匯聚的功能,允許交換機與交換機、交換機與路由器、交換機與 主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大 吞吐量,大幅度提高整個網(wǎng)絡的能力。Trunk 端口一般為交換機和交換機之間 的級聯(lián)端口,用于傳遞所有 vlan 信息。 Trunk 鏈路配置命令: Switch(config)#interface range interface-number Switch (config-if-range)#swit
44、chport trunk encapsulation dot1q /*封裝為dot1q類型*/ Switch (config-if-range)#switchport mode trunk Switch (config-if-range)#exit VLAN 技術中用到的協(xié)議有 vtp(vlan trunking protocol),這是 vlan 中繼 協(xié)議,也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科的專有協(xié)議,vtp 可以減少 vlan 的相關人物管理。 VTP 基本配置命令: Switch (vlan) # vtp domain domain-name Switch (vlan) # vtp
45、mode server/client/transparent /*選擇 vtp 模式*/ Switch (vlan) # vtp password password Switch (vlan) #trunk on | off | desirable | auto | nonegotiate /*打開主干功能*/ Switch (vlan) # exit Switch (vlan)#vlan vlan-id name vlan-name /*創(chuàng)建一個vlan*/ 3.4.2 訪問控制列表訪問控制列表 訪問控制是網(wǎng)絡安全防范和保護的主要策略,它的主要任務是保證網(wǎng)絡資 源不被非法使用和訪問。它是保證
46、網(wǎng)絡安全最重要的核心策略之一。訪問控 制涉及的技術也比較廣,包括入網(wǎng)訪問控制、網(wǎng)絡權限控制、目錄級控制以 及屬性控制等多種手段 。訪問控制列表 (ACL)是應用在路由器接口的指令列 表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒 絕。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包,而且也是控制網(wǎng)絡 中數(shù)據(jù)流量的一個重要方法。 ACL 示意圖: Packets to Interface(s) in the Access Group Packet Discard Bucket Y Destination Y N Deny Y Y N Y Y Match Last Test ? M
47、atch Next Test(s) Match First Test? Deny Deny Deny Permit Permit Permit Interface(s) Y 圖 3.1 訪問控制列表分為兩類,一個是標準訪問列表,一個是擴展訪問列表。 標準訪問列表的編號是從 199,它只使用數(shù)據(jù)包的源 IP 地址作為條件測 試,只有允許或拒絕兩個操作,通常是對一個協(xié)議組產生作用,不區(qū)分IP 流量類型。而編號 100 以上的稱作擴展訪問列表,它 可測試 IP 包的第 3 層 和第 4 層報頭中的其他字段,比標準訪問列表具有更多的匹配項,例如協(xié)議類 型、源地址、目的地址、源端口、目的端口、建立連接的
48、和IP 優(yōu)先級等。 標準訪問列表配置命令 : Router(config)#access-list access-list-number permit|deny source mask /*為訪問列表設置參數(shù),IP 標準訪問列表編號 1 到 99,缺省的通配符掩碼 = 0.0.0.0*/ Router(config-if)#ip access-group access-list-number in | out /*在端口上應用訪問列表,指明是進方向還是出方向*/ 擴展訪問列表配置命令: Router(config)# access-list access-list-number permit
49、| deny protocol source source- wildcard operator port destination destination-wildcard operator- port established log /*為標準訪問列表設置參數(shù),可具體到某個端口,某種協(xié)議*/ 根據(jù)公司各部門的性質,我們可根據(jù)需要在匯聚層的設備上配置訪問控制。 如財務部、資產管理部信息數(shù)據(jù)機密度較高,我們就可以編寫訪問控制列表, 禁止其它網(wǎng)段也就是其它 VLAN 的用戶訪問這些部門的電腦,無論是以什么樣 的形式,即使用標準訪問控制列表。當然,寫完訪問列表后,要將其應用在相 應的端口上。有的部門
50、可能對信息的保密要求沒有那么高,那么就可以使用擴 展訪問列表,只對某一端口的數(shù)據(jù)進行控制,如 telnet 等。 3.4.3 防火墻防火墻 飛速發(fā)展的信息時代,在殘酷競爭的市場,誰先掌握了信息誰就先掌握了 契機,Internet 的迅猛發(fā)展?jié)M足了人們對信息的渴求,同時 Internet 里也存 在著許多不安全的因素,網(wǎng)絡信息的非法獲取、網(wǎng)絡體系的不期破壞等等,都 將為企業(yè)帶來難以估計的損失,這時,防火墻以一個安全衛(wèi)士的身份應運而生, 實現(xiàn)著管理者的安全策略,有效地維護這企業(yè)保護網(wǎng)絡的安全。 防火墻只目前應用最廣、最具代表性的網(wǎng)絡安全技術,它分為硬件防火墻 和軟件防火墻。硬件防火墻是把軟件嵌入到
51、硬件中,由硬件執(zhí)行這些功能,這 樣就減少了 CPU 的負擔,使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過濾包的作用, 而硬件防火墻的功能則要強大的多,它還包括 CF(內容過濾) 、IDS(入侵偵測) 、IPS(入侵防護)以及 VPN 等功能。硬件防火墻一般使用經過內核編譯后的 Linux,憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火 墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關四部分組成。 我們在核心層路由器與 Internet 之間配置一臺硬件防火墻,這樣,所有進 出網(wǎng)絡的數(shù)據(jù)都要通過防火墻,而該防火墻應具有以下的功能: (1) 包過濾:控制流出和流入的網(wǎng)絡數(shù)據(jù),可基于
52、源地址、源端口、目的地 址、目的端口、協(xié)議和時間,根據(jù)地址簿進行設置規(guī)則。 1通過防火墻的過濾規(guī)則,實現(xiàn)端口級控制,限制局域網(wǎng)用戶對 INTERNET 的 訪問; 2。進行流量控制,確保重要業(yè)務對流量的要求; 3。通過過濾規(guī)則,以時間為控制要素,限制大流量網(wǎng)絡應用在上班時間的使用。 4。 通過防火墻的過濾規(guī)則,限制 INTERNET 用戶對 WWW 服務器的訪問,將訪問 權限控制在最小的限度,在這種情況下,網(wǎng)絡管理員可以忽略服務器系統(tǒng)的安 全漏洞,只需要關注 WWW 應用服務軟件的安全漏洞; 5。通過過濾規(guī)則,對遠程更新的時間、來源(通過 IP 地址)進行限 (2)地址轉換:將內部網(wǎng)絡或外部網(wǎng)
53、絡的 IP 地址轉換,可分為源地址轉換 Source NAT(SNAT)和目的地址轉換 Destination NAT(DNAT)。SNAT 用于對內部網(wǎng)絡地址進行轉換,對外 部網(wǎng)絡隱藏起內部網(wǎng)絡的結構,避免受到來自外部其他 網(wǎng)絡的非授權訪問或惡意攻擊。并將有限的 IP 地址動態(tài) 或靜態(tài)的與內部 IP 地址對應起來,用來緩解地址空間的 短缺問題,節(jié)省資源,降低成本。DNAT 主要用于外網(wǎng)主 機訪問內網(wǎng)主機。 (3)認證和應用代理:認證指防火墻對訪問網(wǎng)絡者合法身分的確定。代理指防 火墻內置用戶認證數(shù)據(jù)庫;提供 HTTP、FTP 和 SMTP 代理 功能,并可對這三種協(xié)議進行訪問控制。同時支持 U
54、RL 過濾功能,防止員工在上班時間訪問某些網(wǎng)站,影響工 作效率。 (4)透明和路由:將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng) 關提供了對互聯(lián)網(wǎng)服務進行幾乎透明的訪問,同時阻止 了外部未授權訪問者對專用網(wǎng)絡的非法訪問;防火墻還 支持路由方式,提供靜態(tài)路由功能,支持內部多個子網(wǎng) 之間的安全訪問。 (5)入侵檢測 思科的 ASA5505-SEC-BUN-K9 防火墻是為中小型企業(yè)設計的一款產品,它集 高安全性和高可擴展性于一身,能夠對病毒、垃圾郵件、非授權訪問等進行實 時監(jiān)控,并提供 VPN 服務,為用戶提供全面的保護。它構建于 Cisco PIX 安全 設備系列的基礎之上,能夠提供內部
55、網(wǎng)到內部網(wǎng)和遠程接入到內部網(wǎng)兩種安全 保護,可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊,并可阻止垃圾郵件和非法 連接,在提供安全網(wǎng)絡環(huán)境的同時,也提高了員工的工作效率,為公司創(chuàng)造更 高的經濟效益。 3.4.4 VPN 公司員工可能需要經常出差或者在外辦公,需要通過公網(wǎng)訪問公司網(wǎng)絡, 這時數(shù)據(jù)在公網(wǎng)上傳播就很不安全,所以我們需要一條專門的通道來安全傳輸 信息,這就是 VPN(虛擬專用網(wǎng)) 。 VPN 被定義為通過一個公共網(wǎng)絡建立一個臨時的、安全的連接,是一條穿 過混亂的公共網(wǎng)絡的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)事對企業(yè)內部網(wǎng)的擴展。 虛擬專用可以幫助運程用戶、公司分支機構、商業(yè)伙伴及移動辦公用戶的內部
56、網(wǎng)絡建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。一個企業(yè)的虛擬專用網(wǎng)解 決方案也將大幅度減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。 VPN 業(yè)務都是基于隧道技術實現(xiàn)的,隧道機制是 VPN 實施的關鍵。數(shù)據(jù) 通過安全的“加密管道”在公共網(wǎng)絡中傳播。VPN 的隧道技術就是數(shù)據(jù)包不是 公開在網(wǎng)上傳輸,而是首先進行加密以確保安全,然后由 VPN 封裝成 IP 包的 形式,通過隧道在網(wǎng)上傳輸。源網(wǎng)絡的 VPN 隧道發(fā)起器與目標網(wǎng)絡上的 VPN 隧道發(fā)起器進行通信。兩者就加密方案達成一致,然后隧道發(fā)起器對包進行加 密,確保安全(為了加強安全,應采用驗證過程,以確保連接用戶擁有進入目 標網(wǎng)絡的相應的權限。大
57、多數(shù)現(xiàn)有的 VPN 產品支持多種驗證方式) 。最后, VPN 發(fā)起器將整個加密包封裝成 IP 包。現(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議,它 都能在純 IP 因特網(wǎng)上傳輸。又因為包進行了加密,所以誰也無法讀取原始數(shù)據(jù)。 在目標網(wǎng)絡這頭,VPN 隧道終結器收到包后去掉 IP 信息,然后根據(jù)達成一致 的加密方案對包進行解密,將隨后獲得的包發(fā)給遠程接入服務器或本地路由器, 他們在把隱藏的 IPX 包發(fā)到網(wǎng)絡,最終發(fā)往相應目的地。VPN 主要采用隧道技 術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。 VPN 原理示意圖: 在本方案中,我們采用 ip-VPN 技術。Ip-VPN 是指在運行 ip 協(xié)議的
58、網(wǎng)絡上 實現(xiàn) VPN。該 VPN 技術的實現(xiàn)是通過隧道(tunnel)進行連接,隧道技術通過 軟件“疊加”在物理網(wǎng)絡上這也是 VPN”虛擬特征的體現(xiàn)。借助隧道 VPN,還能 夠使用內部網(wǎng)絡中采用的安全和優(yōu)先策略,使我們能夠完全控制數(shù)據(jù)流,隧道 提供了一層名副其實的安全保障。 目前各種 VPN 安全協(xié)議中,IPsec 的保密性是最好的。IPsec 使用了 IPsec 隧道模式,在這種隧道模式中,用戶的數(shù)據(jù)包加密后,封裝進新的 ip。這樣在 新的數(shù)據(jù)包中,分別以開通器和終端器的地址掩蔽用戶和宿主服務器的地址。 我們選用的 ASA5500 系列防火墻具有 VPN 功能,所以不需要額外購買 VPN 設
59、備。 圖 3.2 利用 Cisco ASA 5500 系列,不需要增加成本,也不需要提高設計、部署或運作 的復雜性,就能夠將訪問控制、應用檢測和威脅防御作為 VPN 解決方案的一部 分。管理員只需制定一個網(wǎng)絡策略,就可以既提高安全性,又保持網(wǎng)絡環(huán)境的 可訪問性。 第五章第五章 方案實現(xiàn)結果分析方案實現(xiàn)結果分析 網(wǎng)絡工程實施完成后,主要實現(xiàn)以下功能:首先是公司內部辦公資源的高 度共享,通過 FTP 服務,員工可按權限上傳下載資料。上傳權限只賦予網(wǎng)絡管 理人員,下載權限根據(jù)文件性質設定,一般按部門來限定文件的下載權限。設 定 FTP 服務的最大訪問量為 50 人,即同時只能 50 人同時訪問 FT
60、P 服務器,以 防訪問量過多造成網(wǎng)絡擁堵。在公司的 PC 機上安裝即時通訊軟件,那么公司內 部員工可利用即時通訊軟件及時的溝通和文件傳送,同時公司下達通知也方便 了很多。 其次,該網(wǎng)絡提供寬帶網(wǎng)絡支持,內部用戶可連接 Internet。但是出于網(wǎng) 絡安全考慮,我們在防火墻和和核心交換機上都部署了安全策略,限制了內部 用戶對某些網(wǎng)站的訪問權限。例如核心交換機上寫入的擴展訪問控制列表,可 以禁止公司員工使用某些下載軟件,以免影響公司網(wǎng)絡穩(wěn)定。同時也可以使員 工在上班時間不能訪問某些網(wǎng)頁,避免員工在工作時間娛樂,影響工作效率。 方案中防火墻主要就是對 Internet 中的病毒,垃圾郵件以及非授權訪
61、問的攔截。 并監(jiān)控進出的數(shù)據(jù)流量,防止內部人員泄露公司機密資料。 第三,通過 web 服務器公司向外發(fā)布公司網(wǎng)站,公布行業(yè)信息以及網(wǎng)上交 易系統(tǒng)。用戶通過網(wǎng)站進行證劵交易,每日有龐大的數(shù)據(jù)量在傳輸,且證劵的 交易講求的就是即時準確,所以核心層和匯聚層都使用兩臺設備,且采用了端 口匯聚技術,即保證了數(shù)據(jù)傳輸所需要的帶寬,而且在任何一臺設備出現(xiàn)故障 時,網(wǎng)絡還能正常運轉,保證了網(wǎng)上交易的即時。 第四,vpn 是為出差員工需要通過公網(wǎng)連接入公司內部網(wǎng)絡辦公而專門架設 的。在方案中選用的防火墻 Cisco ASA5505-SEC-BUN-K9 可以作為 VPN 網(wǎng)關設備, 在其中寫入公司的固定 IP
62、地址,移動辦公用戶使用 VPN 客戶端軟件,撥號進入 公司網(wǎng)絡。在用戶使用 VPN 客戶端通過撥號進入公司網(wǎng)絡的過程中,VPN 網(wǎng)關 設備將會對 VPN 客戶端進行身份認證以確保只有合法用戶才可以連入公司網(wǎng)絡。 第第 4 章章 總結總結與展望與展望 本文以證劵行業(yè)為背景,根據(jù)一個行業(yè)的特定要求做的一個企業(yè)網(wǎng)絡解決 方案。其中應用了現(xiàn)今企業(yè)網(wǎng)絡中較為常用的主流技術。網(wǎng)絡整體采用的是 Cisco 三層架構,這個結構的優(yōu)點是穩(wěn)定性好、設備負載均衡、易擴展,并且 網(wǎng)絡故障排查也比較容易。核心層和匯聚層都用兩臺設備,既平衡設備負載又 防止機器故障致使網(wǎng)絡癱瘓。證劵企業(yè)的網(wǎng)絡最重要的是在網(wǎng)絡安全方面,所
63、以在本方案中我們用 vlan 技術和 ACL 技術作為內部網(wǎng)絡的安全策略,主要是防 止公司內部的非授權訪問。而在內部網(wǎng)絡與 Internet 之間我們則采用硬件防火 墻將兩部分網(wǎng)絡隔離開,設置策略只允許合法的數(shù)據(jù)進出,各種網(wǎng)絡安全技術 相結合,使得網(wǎng)絡更安全可靠。 組建一個高速、寬帶、穩(wěn)定、可靠,且能融合安全與保密等全新需求的內 外聯(lián)網(wǎng)絡系統(tǒng),是當前企業(yè)網(wǎng)絡發(fā)展的趨勢。隨著金融業(yè)的全球化,網(wǎng)上交易、 電子商務等網(wǎng)上交易手段的日益普及,網(wǎng)絡傳輸信息量日益劇增,高層交換機 的研發(fā)和應用將會成為主流。在未來的高層交換機上,將會集中體現(xiàn) ISO 的七 層標準,將傳統(tǒng)的網(wǎng)絡分立設備統(tǒng)一起來,這不僅可以極
64、大地提高網(wǎng)絡系統(tǒng)的 數(shù)據(jù)分發(fā)、傳輸和交換能力與速率,還能夠降低設備成本、簡化網(wǎng)絡管理、優(yōu) 化組網(wǎng)過程,使企業(yè)網(wǎng)絡更加的高速、穩(wěn)定,成為企業(yè)發(fā)展進步的一個助力。 本方案中葉存在很多不足,由于能力有限,對于很多新的技術和方法還不 是很了解,所以方案中用到的技術有限,特別在服務器的搭建上,沒有經過實 際的操作,可能方案在實踐起來有一定的不可行性。 致致 謝謝 隨著論文的完成,代表著四年的大學生活也即將結束。謝謝四年來教授我 知識的老師,謝謝四年來陪伴在我身邊的同學。最后向所有在畢業(yè)設計期間給 予我意見和指導的老師同學表示真摯的感謝! 參考文獻參考文獻 1郭銳, 企業(yè)內部網(wǎng)規(guī)劃分析, 信息技術與信息化
65、, 2005 2方國洪,金紅. 淺談如何構建安全的企業(yè)網(wǎng)絡. 2010.2 3Addison Wesley.Firwalls and Internet Security:Repelling the Wily Hacker.Professional Computing.2000 4熊琦. 深入淺出談防火墻技術. 科協(xié)論壇(下半月),2007.3:31-32 5Emilie Lundin Edand Jonsson. Anomaly-based intrustion detection:privacy concerns and other problemsJ. Computer Networks.2000,34(2):623-640. 6萬錦華.電力企業(yè)網(wǎng)絡信息安全的防范措施討論.科技與生活,201 年第一期 7美 Richard tibbs,Edward oakes. 防火墻與 VPN原理與實踐.北京:清 華大學出版社,2008 8美 vijay. Ipsec vpn 設計. 北京:人民郵電出版社,2006
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。