小型企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì)

1、小型企業(yè)網(wǎng)絡(luò)安全方案設(shè)計(jì) 孫佳妮0533091001目錄第1章 設(shè)計(jì)的簡(jiǎn)單概述31.1 概況31.2 需求分析31.3 設(shè)計(jì)原則33.1.1. 實(shí)用性和經(jīng)濟(jì)性33.1.2. 先進(jìn)性和成熟性33.1.3. 可靠性和穩(wěn)定性43.1.4. 安全性和保密性43.1.5. 可擴(kuò)展性和易維護(hù)性4第2章 方案的設(shè)計(jì)42.1 背景42.2 公司網(wǎng)絡(luò)架構(gòu)圖52.3 網(wǎng)絡(luò)設(shè)備清單52.4 基本配置6第1章 設(shè)計(jì)的簡(jiǎn)單概述1.1 概況臺(tái)州職信科技是一家以網(wǎng)絡(luò)產(chǎn)品銷售為主營(yíng)業(yè)務(wù)的小型企業(yè)，公司網(wǎng)絡(luò)通過(guò)中國(guó)電信光纖接入 Internet。 為了適應(yīng)業(yè)務(wù)的發(fā)展的需要，實(shí)現(xiàn)信息的共享，協(xié)作和通訊，并和各個(gè)部門互連，對(duì)該信息

2、網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施提出了方案。1.2 需求分析1、確保公司電腦能夠訪問(wèn) Internet。2、避免公司網(wǎng)絡(luò)受到黑客掃描和攻擊。3、防止公司網(wǎng)絡(luò)受到病毒威脅。 4、避免公司網(wǎng)絡(luò)受到DOS/DDOS 攻擊。5、通過(guò)端口映射，公司服務(wù)器在需要時(shí)可以被外部用戶訪問(wèn) 。6、利用VPN,使公司的員工出差時(shí)能訪問(wèn)內(nèi)網(wǎng)。1.3 設(shè)計(jì)原則3.1.1. 實(shí)用性和經(jīng)濟(jì)性系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 3.1.2. 先進(jìn)性和成熟性系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來(lái)

3、若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。 3.1.3. 可靠性和穩(wěn)定性在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性。 3.1.4. 安全性和保密性在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施。 3.1.5. 可擴(kuò)展性和易維護(hù)性為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡(jiǎn)便的方法、最低的投資，實(shí)現(xiàn)系統(tǒng)的擴(kuò)展和維護(hù)，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費(fèi)用，提高網(wǎng)絡(luò)的易用性。第2章 方案的設(shè)計(jì)2.1 背景中國(guó)電信給公司分配了 1個(gè) C

4、 類公網(wǎng) IP 地 址 218.71.96.101，公司內(nèi)部采用 192.168.1.0/24 網(wǎng)段 IP地址。為了保證企業(yè)網(wǎng)絡(luò)的正常運(yùn)行， 企業(yè)擬通過(guò)招標(biāo)的形式確定一家安全服務(wù)商，由該安全 服務(wù)商負(fù)責(zé)公司網(wǎng)絡(luò)的整體安全設(shè)計(jì)以及后續(xù)的網(wǎng)絡(luò)安全維護(hù)。2.2 公司網(wǎng)絡(luò)架構(gòu)圖圖1 公司網(wǎng)絡(luò)架構(gòu)圖2.3 網(wǎng)絡(luò)設(shè)備清單表 1 臺(tái)州職信科技網(wǎng)絡(luò)設(shè)備清單序號(hào)設(shè)備名稱數(shù)量安裝系統(tǒng)1PC機(jī)40WinXP2服務(wù)器1Windows Server 20033二層交換機(jī)14普通交換機(jī)42.4 基本配置enable conf thostname ASA5520enable password ASA5520passwd c

5、iscoconf tinterface ethernet 0/0nameif outsidesecurity-level 0ip address 218.71.96.101 255.255.255.0no shutdownexitinterface ethernet e0/2nameif inside security-level 100ip add 192.168.1.1 255.255.255.0no shutdown exitinterface ethernet 0/1nameif dmzsecurity-level 50ip add 192.168.2.1 2555.255.255.0

6、no shutdown exitroute outside 0.0.0.0 0.0.0.0 218.71.96.101end show routeconf ttelnet 192.168.1.0 255.255.255.0 insidetelnet timeout 15crypto key generate rsa modulus 1024ssh 192.168.1.0 255.255.255.0 insidessh 0 0 outsidessh timeout 30ssh version 2 server enable 8008 192.168.1.0 255.255.255.0 insid

7、e 0 0 outside 0 0 insideasdm image disk0:/asdm-615.binusername zhangsan password zhangsan privilege 15access-list 111 extended permit icmp any anyaccess-list 111 permit ip any anyaccess-group 111 in int outsideaccess-group 111 in int insideaccess-group 111 in int dmzaccess-list testacl deny ip 192.168.1.33 255.255.255.255 anyaccess-list testacl permit ip any anyaccess-group testacl in interface insidenat-control nat (inside) 1 0 0 global (outside) 1 interfaceglobal (dmz) 1 192.168.2.100-192.168.2.110static (dmz,outside) 218.71.96.101 192.168.2.2access-lis