中國礦業(yè)大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐設(shè)計(jì)報(bào)告.doc

1、計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐設(shè)計(jì)報(bào)告 計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐設(shè)計(jì)報(bào)告 某集團(tuán)公司局域網(wǎng)設(shè)計(jì) 專 業(yè)： 信息安全 班級(jí):09-3 班 小組成員：管宇佳 吳春姍 丁君 指導(dǎo)教師： 李錫渝職稱：實(shí)驗(yàn)師 中國礦業(yè)大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 2012年6月 徐州 ii 計(jì)算機(jī)網(wǎng)絡(luò)與安全實(shí)踐設(shè)計(jì)報(bào)告 題目 某集團(tuán)公司局域網(wǎng)設(shè)計(jì) 設(shè)計(jì)日期 2012年6月11日至 2012年6月18日 小組成員 在本次設(shè)計(jì)中承擔(dān)的任務(wù) 文檔成績 管宇佳 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)及設(shè)備選型 吳春姍 需求分析調(diào)查、案例分析以及實(shí)驗(yàn)報(bào)告 丁君 具體網(wǎng)絡(luò)配置 指導(dǎo)教師簽字： 年 月日 23 目錄 一、引言5 1.1建立企業(yè)局域網(wǎng)的必要性 5 1.2需求分析

2、5 二、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求 6 2.1問題重述6 2.2整體設(shè)計(jì)策略6 2.3網(wǎng)絡(luò)設(shè)計(jì)步驟6 三、背景知識(shí)與分析 6 3.1背景知識(shí)6 四、方案設(shè)計(jì)與實(shí)現(xiàn)7 4.1總體規(guī)劃7 4.2設(shè)備選擇8 4.2.1選型原則8 4.2.2網(wǎng)絡(luò)層次劃分硬件系統(tǒng)結(jié)構(gòu)硬件選擇 8 4.3網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)9 4.4 VLAN與IP地址規(guī)劃 10 4.5設(shè)備配置10 4.5.1路由器交換機(jī)的基本配置 10 4.5.2 配置VLAN 10 4.5.3 配置VTP 11 4.5.4配置動(dòng)態(tài)路由協(xié)議 12 4.5.5 配置DHCP12 4.5.6 配置NAT13 4.5.7配置默認(rèn)路由 14 4.5.8 配置 VPN 14

3、 4.6 NAT設(shè)計(jì)分析15 4.7路由協(xié)議的規(guī)劃 15 4.7系統(tǒng)安全設(shè)計(jì)16 五、網(wǎng)絡(luò)安全設(shè)計(jì)與管理 16 5.1病毒防治16 5.2建立防火墻 17 5.3網(wǎng)絡(luò)的保密措施17 5.4數(shù)據(jù)安全性和完整性措施 18 六、本方案的系統(tǒng)特點(diǎn) 19 6.1合理的系統(tǒng)結(jié)構(gòu) 19 6.2可靠的安全防護(hù)19 6.3充分的擴(kuò)充余地20 6.4穩(wěn)定的系統(tǒng)性能 20 七、結(jié)束語20 八、致謝20 一、引言 21世紀(jì)是一個(gè)信息技術(shù)高度發(fā)達(dá)的社會(huì)，無論是辦公或者是通信都離不開計(jì)算機(jī)。現(xiàn) 在的人越來越依靠于計(jì)算機(jī)，再加上電子商務(wù)行業(yè)的飛速發(fā)展In ternet的應(yīng)用也更加廣泛。 由于這樣的社會(huì)環(huán)境人們對(duì)各種數(shù)據(jù)形式

4、的信息需求和交流的不斷增長，使得當(dāng)今的計(jì)算機(jī) 網(wǎng)絡(luò)，特別是In ternet從傳統(tǒng)的數(shù)據(jù)處理設(shè)備(如計(jì)算機(jī))和管理工具中駁離出來，擔(dān)當(dāng)一 個(gè)非常重要的角色 信息技術(shù)的基礎(chǔ)設(shè)施與獲取、共享和交流信息的主要工具，并成為人 們在當(dāng)今社會(huì)生活及工作中不可缺少的組成部分。經(jīng)過了幾年的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng) 在很多方面改變了人們傳統(tǒng)的工作和生活方式Web瀏覽、E mail、QQ (上網(wǎng)聊天)、VOD (視頻點(diǎn)悉播)、文件傳輸、遠(yuǎn)程診斷、電子商務(wù)、網(wǎng)絡(luò)大學(xué)及虛擬學(xué)校等無一不與計(jì)算機(jī) 網(wǎng)絡(luò)有著千絲萬縷的聯(lián)系。這些基于網(wǎng)絡(luò)的各種應(yīng)用，正在以驚人的速度擴(kuò)展，幾乎滲透到 了社會(huì)生活的各個(gè)方面。因此，在全球信息電子

5、化、網(wǎng)絡(luò)化迅速發(fā)展的大環(huán)境下，無論是從 大趨勢上看，還是從自身商業(yè)利益角度考慮，建立企業(yè)內(nèi)部局域網(wǎng)是企業(yè)順應(yīng)時(shí)代潮流的必 由之路。 1.1建立企業(yè)局域網(wǎng)的必要性 (1) 建立企業(yè)內(nèi)部局域網(wǎng)，可以充分利用企業(yè)現(xiàn)有的硬件資源。節(jié)約公司開支，實(shí)現(xiàn)無 紙化辦公。提高企業(yè)員工的工作效率，由于局域網(wǎng)企業(yè)內(nèi)部的資源可以得到共享，避免了不 必要的重復(fù)工作也可以提高時(shí)間的利用率； (2) 局域網(wǎng)建成后可以節(jié)約企業(yè)在使用網(wǎng)絡(luò)資源方面節(jié)約更多的開支，便于公司員工查 閱和接受網(wǎng)絡(luò)信息，也可以簡化公司對(duì)計(jì)算機(jī)的日常維護(hù)和管理，節(jié)約維護(hù)成本； (3) 建立局域網(wǎng)提高公司在辦公自動(dòng)化水平和企業(yè)內(nèi)部應(yīng)用電子商務(wù)的能力，逐步實(shí)

6、現(xiàn) 業(yè)務(wù)級(jí)網(wǎng)絡(luò)應(yīng)用。更有利于企業(yè)獲得更快、更準(zhǔn)確的市場信息，為公司決策提供更科學(xué)的依 據(jù)等； (4) 建立了局域網(wǎng)也可以使外界能更快更好的認(rèn)識(shí)本企業(yè)，加強(qiáng)企業(yè)的知名度。 1.2需求分析 為了能讓公司更好的與現(xiàn)代社會(huì)的發(fā)展接軌，更快的獲取市場信息及為了讓外界了解該 本公司的相關(guān)信息特組建企業(yè)網(wǎng)，以實(shí)現(xiàn)對(duì)“公司檔案管理” 、“產(chǎn)品信息”、“供求信息”等 進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)化管理。 網(wǎng)絡(luò)功能 根據(jù)公司現(xiàn)有規(guī)模，業(yè)務(wù)需要及發(fā)展范圍建立的網(wǎng)絡(luò)有如下功能： 1建立公司自己的網(wǎng)站，可向外界發(fā)布信息，并進(jìn)行網(wǎng)絡(luò)上的業(yè)務(wù)。 2要求供銷部可以連接In ternet，與各企業(yè)保持聯(lián)絡(luò)，接受訂單及發(fā)布本公。 3司產(chǎn)品信息

7、。其他部門都不能連接In ternet，但要求公司內(nèi)部由網(wǎng)絡(luò)連接。 4公司內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)資源共享，以提高工作效率。 5建立網(wǎng)絡(luò)時(shí)應(yīng)注意網(wǎng)絡(luò)的擴(kuò)展性，以方便日后的網(wǎng)絡(luò)升級(jí)和增加計(jì)算機(jī)。 6司內(nèi)部建立公司的數(shù)據(jù)庫，如員工檔案，業(yè)務(wù)計(jì)劃，會(huì)議日程等。 二、網(wǎng)絡(luò)設(shè)計(jì)的目標(biāo)與要求 2.1問題重述 某集團(tuán)公司共六個(gè)分公司，其中四個(gè)在集團(tuán)工業(yè)園內(nèi)各個(gè)建筑物內(nèi)，總部為工業(yè)園內(nèi) 30層的主樓，第一分公司與主樓相距50米，第二分公司與主樓相距 50米，第三分公司與 主樓相距5公里，第四分公司與主樓相距 8公里，另外兩個(gè)分公司在另外的兩個(gè)城市有各自 的辦公樓。各公司及總部都有自己的計(jì)算機(jī)室，財(cái)務(wù)部，行政部，生產(chǎn)部，研

8、發(fā)部，后勤部, 業(yè)務(wù)部及人力資源部。 2.2整體設(shè)計(jì)策略 因特網(wǎng)投入和區(qū)域網(wǎng)分離 首先，在項(xiàng)目的具體設(shè)計(jì)過程中，我們需要將因特網(wǎng)接入部分和集團(tuán)公司園 區(qū)網(wǎng)絡(luò)主體部分進(jìn)行分離，這樣的話讓每一部分完成其自身的功能， 可以減少兩 者之間的相互影響。其次，因特網(wǎng)接入的變化，只影響接入的變化，對(duì)集團(tuán)公司 園區(qū)網(wǎng)絡(luò)沒有影響；而園區(qū)網(wǎng)絡(luò)的變化對(duì)因特網(wǎng)接入部分影響較小。這樣可以增 強(qiáng)網(wǎng)絡(luò)的擴(kuò)展能力。保持網(wǎng)絡(luò)層次結(jié)構(gòu)清晰，便于管理和維護(hù)。 降低各子公司間的網(wǎng)絡(luò)關(guān)聯(lián)度 由于各子公司之間主要是與集團(tuán)公司進(jìn)行業(yè)務(wù)的往來。子公司之間的業(yè)務(wù)往 來比較少，因此降低這部分的網(wǎng)絡(luò)關(guān)聯(lián)，可以最大限度的減少各個(gè)子公司網(wǎng)絡(luò)之 間的相

9、互影響，便于分別管理，或者在不同子公司擴(kuò)展網(wǎng)絡(luò)的新應(yīng)用。 統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一管理 在整個(gè)操作完成中，我們采用統(tǒng)一的IP應(yīng)用標(biāo)準(zhǔn)（IP地址，路由協(xié)議）， 安全標(biāo)準(zhǔn)， 接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)，這樣才能實(shí)現(xiàn)真正的統(tǒng)一管理，便于集 團(tuán)的管理和網(wǎng)絡(luò)策略的實(shí)施。 2.3網(wǎng)絡(luò)設(shè)計(jì)步驟 對(duì)公司網(wǎng)絡(luò)系統(tǒng)整體方案設(shè)計(jì) 對(duì)接入層交換機(jī)進(jìn)行配置 對(duì)匯聚層設(shè)備選型 對(duì)核心層設(shè)備選型 對(duì)廣域網(wǎng)接入路由器進(jìn)行配置 對(duì)遠(yuǎn)程訪問服務(wù)器進(jìn)行配置 對(duì)整個(gè)公司網(wǎng)系統(tǒng)進(jìn)行測試 三、背景知識(shí)與分析 3.1背景知識(shí) 路由、交換與遠(yuǎn)程訪問技術(shù)是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域中三大支撐技術(shù)體系。它們幾乎涵蓋 了一個(gè)完整園區(qū)網(wǎng)實(shí)現(xiàn)的方方面面。 路由技術(shù)：路由協(xié)

10、議工作在 OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間 路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。除了可以完成主要的路 由任務(wù)，利用訪問控制列表( Access Control List，ACL)，路由器還可以用來完成以路由器為 中心的流量控制和過濾功能。在本題案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過路由器接入因特網(wǎng)、內(nèi) 網(wǎng)用戶之間也通過 3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。 交換技術(shù)：傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第 3層交換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng) 了園區(qū)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型

11、網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了 虛擬局域網(wǎng)(Virtual LAN, VLAN)的概念。VLAN將廣播域限制在單個(gè) VLAN內(nèi)部，減小了 各VLAN間主機(jī)的廣播通信對(duì)其他 VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN 間路由技術(shù)來實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié) 議(Vlan Trunking Protocol，VTP)簡化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。 然后通過VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò) 管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性

12、，在園 區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：訪問層、 分布層、核心層。訪問層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了負(fù)責(zé)將訪問層交換 機(jī)進(jìn)行匯集外，還為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核心層將各分布層交換機(jī) 互連起來進(jìn)行穿越園區(qū)網(wǎng)骨干的高速數(shù)據(jù)交換。在本工程案例設(shè)計(jì)中， 也將采用這三層進(jìn)行 分開設(shè)計(jì)、配置。 遠(yuǎn)程訪問技術(shù)：遠(yuǎn)程訪問也是園區(qū)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和 出差在外的員工提供移動(dòng)接入服務(wù)。遠(yuǎn)程訪問有三種可選的服務(wù)類型：專線連接、電路交換 和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)

13、 所需帶寬、本地服務(wù)可用性、 花費(fèi)等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接 入方案。)在本工程案例設(shè)計(jì)中，分別采用專線連接(到因特網(wǎng))和電路交換(到公司網(wǎng)) 兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問需求。 作為一個(gè)較為完整的公司網(wǎng)實(shí)現(xiàn)，路由、交換與遠(yuǎn)程訪問技術(shù)缺一不可。在后面的內(nèi)容 中，我們將就每一技術(shù)領(lǐng)域的常用技術(shù)的實(shí)現(xiàn)進(jìn)行詳細(xì)的討論。通過本書后面章節(jié)的學(xué)習(xí)， 相信讀者能夠系統(tǒng)地掌握?qǐng)@區(qū)網(wǎng)的設(shè)計(jì)、實(shí)施以及維護(hù)技巧。 四、方案設(shè)計(jì)與實(shí)現(xiàn) 4.1總體規(guī)劃 采用的是層次設(shè)計(jì)模型，即分別有核心層，匯聚層和接入層，這樣的設(shè)計(jì)模型便于對(duì)整 個(gè)網(wǎng)絡(luò)的管理與排錯(cuò)，但對(duì)核心交換機(jī)的性能要求較高。因此，本網(wǎng)使用兩臺(tái)核心交

14、換機(jī)， 并且匯聚層交換機(jī)都分別與兩臺(tái)核心層交換機(jī)相連，然后采用HSRP協(xié)議，當(dāng)其中一臺(tái)核心 交換機(jī)出現(xiàn)故障時(shí)能很快地切換到另一臺(tái)核心交換機(jī)上，起到很好的備份作用， 保證了網(wǎng)絡(luò) 的穩(wěn)定性。 總部與其中四個(gè)公司距離不遠(yuǎn)，采用光纖接入，可保障數(shù)據(jù)的快速傳輸。但分公司5 和分公司6因?yàn)樵诓煌某鞘校?距離較遠(yuǎn)，拉專線相連開銷過大，因此我們將總公司和分公 司的邊緣路由器都連到In ternet上，然后采用 VPN技術(shù)使分公司能與總公司能夠互相通信。 考慮到分公司較多， 可能需要傳遞的路由條目比較多， 因此，本網(wǎng)運(yùn)行當(dāng)今中大型網(wǎng)絡(luò) 中主流的動(dòng)態(tài)路由協(xié)議 OSPF OSPF使用區(qū)域的概念，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生改變

15、時(shí)，影響的范圍只 限制在局部的本區(qū)域內(nèi)，避免對(duì)全網(wǎng)的影響。 由于公司內(nèi)部使用的都是私有IP地址，因此邊緣路由器上我們需要采用NAT技術(shù)把私 有IP地址轉(zhuǎn)換為公有IP地址才能訪問In ternet。 所有邊緣路由器先連接防火墻再連接到 In ternet，防火墻連接In ternet的接口設(shè)置為外 部接口，連接公司邊緣路由器的接口為內(nèi)部接口，連接服務(wù)器的接口為DMZ。這樣可預(yù)防 外部人員對(duì)公司的網(wǎng)絡(luò)進(jìn)行攻擊，為網(wǎng)絡(luò)提供了一定的安全保障。 4.2設(shè)備選擇 4.2.1選型原則 我們在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)時(shí)考慮如下特點(diǎn)： 穩(wěn)定可靠的網(wǎng)絡(luò)： 一般來說，只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運(yùn)行 取決于諸

16、多因素，要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。 高帶寬：為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達(dá)當(dāng)前的國際先 進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸，所以采用高寬帶 傳輸。 易擴(kuò)展的網(wǎng)絡(luò)：系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長和應(yīng)用水平的提高，網(wǎng) 絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷 升級(jí)。 安全性：網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性， 才能使用戶用著比較合適， 由于網(wǎng)絡(luò)連接園區(qū) 內(nèi)部所有用戶，安全管理十分重要。所以應(yīng)支持VLAN的劃分，并能在 VLAN之間進(jìn)行第三 層交換時(shí)進(jìn)行有效的安全控制，以保證系統(tǒng)的

17、安全性。 容易控制管理：因?yàn)樯暇W(wǎng)用戶很多，因此我們需要管理好他們的通信，做到既保證一定 的用戶通信質(zhì)量，又合理的利用網(wǎng)絡(luò)資源。 4.2.2網(wǎng)絡(luò)層次劃分硬件系統(tǒng)結(jié)構(gòu)硬件選擇 接入層：Cisco Catalyst 2960系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備 系列，提供桌面智能以太網(wǎng)，可與10/100/1000千兆以太網(wǎng)連接，可為入門級(jí)企業(yè)、中型市 場和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。 Cisco Catalyst 2960 可提供： ?集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制(NAC) ?高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性 ?為網(wǎng)絡(luò)邊緣提供智能服務(wù) 匯聚層：Cisco? Catalyst? 3

18、560-E系列交換機(jī)（圖1）是一個(gè)企業(yè)級(jí)獨(dú)立式配線間交換機(jī)系 列，支持安全融合應(yīng)用的部署，并能根據(jù)網(wǎng)絡(luò)和應(yīng)用需求的發(fā)展，最大限度地保護(hù)投資。通 過將10/100/1000和以太網(wǎng)供電（PoE）配置與萬兆以太網(wǎng)上行鏈路相結(jié)合，Cisco Catalyst 3560-E能夠支持IP電話、無線和視頻等應(yīng)用，提高了員工生產(chǎn)率。 Cisco Catalyst 3560-E系列的主要特性： ?Cisco Twi nGig轉(zhuǎn)換器模塊，將上行鏈路從千兆以太網(wǎng)移植到萬兆以太網(wǎng) ?PoE配置，為所有48個(gè)端口提供了 15.4W PoE ?模塊化電源，可帶外部可用備份電源 ?在硬件中提供組播路由、IPv6路由和訪問

19、控制列表 ?帶外以太網(wǎng)管理端口，以及RS-232控制臺(tái)端口 核心層：通過Cisco Catalyst 6500系列交換機(jī)遠(yuǎn)程對(duì)網(wǎng)絡(luò)進(jìn)行有效的擴(kuò)展、虛擬化、保 護(hù)和管理。Cisco Catalyst 6500系列提供功能豐富的高性能平臺(tái)，適合在園區(qū)、數(shù)據(jù)中心、 WAN和城域以太網(wǎng)網(wǎng)絡(luò)部署，為無邊界網(wǎng)絡(luò)奠定了堅(jiān)實(shí)的基礎(chǔ)，從而讓您能夠隨時(shí)隨地任 意連接。 Cisco Catalyst 6500系列交換機(jī)主要特性： ?擴(kuò)展性能與網(wǎng)絡(luò)服務(wù) ?虛擬交換系統(tǒng) ?安全 ?網(wǎng)絡(luò)虛擬化 ?集成服務(wù)與運(yùn)營效率 4.3網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 圖1網(wǎng)絡(luò)拓?fù)?4.4 VLAN與IP地址規(guī)劃 部門 VLAN IP地址 計(jì)算機(jī)室 10

20、 172.16.10/24 財(cái)務(wù)部 20 172.16.20.0/24 行政部 30 172.16.30.0/24 生產(chǎn)部 40 172.16.40.0/24 研發(fā)部 50 172.16.50.0/24 后勤部 60 172.16.60.0/24 業(yè)務(wù)部 70 172.16.70.0/24 人力資源部 80 172.16.80.0/24 4.5設(shè)備配置 4.5.1路由器交換機(jī)的基本配置 Routere nable /從用戶模式進(jìn)入特權(quán)模式 Router#c on figure term inal /進(jìn)入全局配置模式 Router(config)#hostname My1-Router /設(shè)置設(shè)

21、備名稱 My1-Router(co nfig)#li ne vty 0 4 My1-Router(c on fig-li ne)#password cisco My1-Router(config-line)#privilege level 15 /設(shè)置登錄密碼，設(shè)置等級(jí)為15級(jí) Switche nable My1-Router Switch#c on figure termi nal Switch(co nfig)#host name My1-Switch My1-Switch(config)#interface fastEthernet 0/1 My1-Switch(c on fig-if)

22、# no switchport My1-Switch(co nfig-if)#exit My1-Switch(co nfig)#l ine vty 0 4 My1-Switch(config-line)#password cisco My1-Switch(config-line)#privilege level 15 4.5.2 配置 VLAN My1-Switch(co nfig)# vlan 10 / 倉U建 VLAN My1-Switch(c on fig-vla n)# n ame Computer II設(shè)置VLAN名字 My1-Switch(config-vlan)# exit My

23、1-Switch(co nfig)# vlan 20 My1-Switch(c on fig-vla n)#n ame Finance My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 30 My1-Switch(c on fig-vla n)#n ame Admi nistratio n My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 40 My1-Switch(config-vlan)#name Production My1-Switch(co nfig-vla n)#

24、exit My1-Switch(config)#vlan 50 My1-Switch(co nfig-vla n)# name R&D My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 60 My1-Switch(config-vlan)#name Logistics My1-Switch(co nfig-vla n)#exit My1-Switch(config)#vlan 70 My1-Switch(c on fig-vla n)# name Busin ess My1-Switch(co nfig-vla n)#exit My1

25、-Switch(config)#vlan 80 My1-Switch(co nfig-vla n)#n ame HR My1-Switch(co nfig-vla n)#exit 交換機(jī)互聯(lián)接口設(shè)為trunk接口 ACCESS1(co nfig)#i nterface FastEthernetO/1 vlan ACCESS1(co nfig-if)# switchport mode trunk 交換機(jī)連接終端的接口設(shè)為access接口，并劃入 ACCESS1(co nfig)#i nterface FastEthernet02 ACCESS1(co nfig-if)# switchport a

26、ccess vlan 10 ACCESS1(co nfig-if)# switchport mode access 4.5.3 配置 VTP My1-Switch(c on fig)#vtp doma in ccie /設(shè)置VTP域名 My1-Switch(c on fig)#vtp password cisco /設(shè)置VTP密碼 My1-Switch(config)#vtp mode server /設(shè)置VTP模式 4.5.4配置動(dòng)態(tài)路由協(xié)議 My1-Switch(con fig)# router ospf 110 /開啟OSPF進(jìn)程 My1-Switch(co nfig-router)#

27、router-id 1.1.1.1 / 設(shè)置 OSPF的 router-id My1-Switch(co nfig-router)# network 172.16.1.1 0.0.0.0 area 0 /宣告路由進(jìn)區(qū)域0 4.5.5 配置 DHCP Switch(co nfig)# ip dhcp pool VLAN10 / 設(shè)置 DHCP池 Switch(dhcp-co nfig)# network 172.16.10.0 255.255.255.0 /為用戶分配的IP地址 Switch(dhcp-config)# default-router 172.16.10.254 /告訴用戶DHCP

28、網(wǎng)關(guān)路由器IP Switch(dhcp-co nfig)# dn s-server 202.100.100.100 /告訴用戶DNS服務(wù)器的IP。 Switch(co nfig)# ip dhcp pool VLAN20 Switch(dhcp-co nfig)# network 172.16.20.0 255.255.255.0 Switch(dhcp-config)# default-router 172.16.20.254 Switch(dhcp-co nfig)# dn s-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN

29、30 Switch(dhcp-co nfig)# network 172.16.30.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.30.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN40 Switch(dhcp-co nfig)# network 172.16.40.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.40.254

30、Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN50 Switch(dhcp-config)#network 172.16.50.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.50.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN60 Switch(dhcp-co nfig)# netw

31、ork 172.16.60.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.60.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN70 Switch(dhcp-co nfig)# network 172.16.70.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.70.254 Switch(dhcp-co nfig)#d ns-ser

32、ver 202.100.100.100 Switch(co nfig)#ip dhcp pool VLAN80 Switch(dhcp-co nfig)# network 172.16.80.0 255.255.255.0 Switch(dhcp-co nfig)#default-router 172.16.80.254 Switch(dhcp-co nfig)#d ns-server 202.100.100.100 4.5.6 配置 NAT My1-Router(co nfig)#access-list 1 permit 172.16.0.0 0.0.255.255 /定義標(biāo)準(zhǔn)ACL,匹配需

33、要轉(zhuǎn)換為公有IP的內(nèi)網(wǎng)地址 My1-Router(c on fig)#ip n at i nside source list 1 in terface f0/ 0 /配置基于端口的NAT My1-Router(co nfig)#i nterface f0/1 My1-Router(c on fig-if)#ip nat in side /設(shè)置NAT入向接口 My1-Router(co nfig)#exit My1-Router(co nfig)#i nterface f1 /0 My1-Router(c on fig-if)#ip nat in side My1-Router(co nfig)

34、#exit My1-Router(co nfig)#i nterface f1 /0 My1-Router(c on fig)#ip nat outside /設(shè)置NAT出現(xiàn)接口 My1-Router(co nfig)#exit 4.5.7配置默認(rèn)路由 所以邊界路由器設(shè)置一條默認(rèn)路由指向運(yùn)營商 My1-Router(config)#iip route 0.0.0.0 0.0.0.0 100.1.1.1 4.5.8 配置 VPN My1-Router(c on fig)# in terface Tunn el1 My1-Router(config-if)# ip address 192.168.

35、10.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/ 0 My1-Router(config-if)# tunnel destination 200.1.1.2 My1-Router(co nfig)# in terface Tu nn el2 My1-Router(co nfig-if)# ip address 192.168.20.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/ 0 My1-Router(config

36、-if)# tunnel destination 200.20.1.3 My1-Router(c on fig)# crypto isakmp policy 1 My1-Router(c on fig-isakmp)# encr 3des My1-Router(config-isak mp)# authentication pre-share My1-Router(c on fig-isakmp)# group 2 My1-Router(co nfig)# crypto isakmp key cisco address 0.0.0.0 0.0.0.0 My1-Router(c on fig)#

37、 crypto ipsec tran sform-set CCIE esp-3des esp-sha-hmac My1-Router(c on fig)# crypto map FF 1 ipsec-isakmp My1-Router(co nfig-crypto-map)# set peer 200.1.1.2 My1-Router(c on fig-crypto-map)# set tran sform-set CCIE My1-Router(c on fig-crypto-map)# match address 100 My1-Router(c on fig)# crypto map F

38、F 2 ipsec-isakmp My1-Router(co nfig-crypto-m ap)# set peer 200.20.1.3 My1-Router(c on fig-crypto-map)# set tran sform-set CCIE My1-Router(c on fig-crypto-map)# match address 101 My1-Router(config)# access-list 100 permit gre host 100.1.1.4 host 200.1.1.2 My1-Router(config)# access-list 101 permit gr

39、e host 100.1.1.4 host 200.20.1.3 查看VPN配置狀況： My1-Router#show crypto isakmp sa 4.6 NAT設(shè)計(jì)分析 NAT包括三種類型，分別是靜態(tài) NAT、動(dòng)態(tài)NAT和端口復(fù)用 NAT （艮卩PAT。它主要思想 是把本地的私有IP地址映射到公網(wǎng)的合法 IP地址，以緩解可用IP地址空間的消耗。 而PAT, 是最流行NAT配置類型。復(fù)用實(shí)際上是動(dòng)態(tài)NAT的一種形式，它映射多個(gè)私有IP地址到單 獨(dú)一個(gè)公網(wǎng)合法IP地址，形成多對(duì)一的關(guān)系，實(shí)現(xiàn)方式便是通過使用不同的端口。因此， 它又被稱為端口地址映射（PAT）o通過使用PAT,可實(shí)現(xiàn)上千個(gè)用

40、戶僅通過一個(gè)真實(shí)的公網(wǎng) IP地址連接到In ternet.再此，我們選擇使用這種端口復(fù)用NAT。 在PAT轉(zhuǎn)換中，使用到了端口號(hào)， 所謂復(fù)用，是全部的內(nèi)部主機(jī)被轉(zhuǎn)換成一個(gè)單獨(dú)的IP 地址。如圖所示，邊界路由器把內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，所不同的是每個(gè)轉(zhuǎn)換都 帶上了端口號(hào)。端口號(hào)作用于傳輸層， 加上端口號(hào)便可幫助路由器識(shí)別哪一臺(tái)主機(jī)接收返回 的流量。內(nèi)部主機(jī) 10.1.1.1請(qǐng)求外部服務(wù)器 63.40.7.3的資源，發(fā)送的請(qǐng)求數(shù)據(jù)包在路由器 處被修改，轉(zhuǎn)換成一個(gè)公網(wǎng)IP與隨機(jī)端口號(hào)的組合，并紀(jì)錄在NAT轉(zhuǎn)換表中。當(dāng)外部服務(wù) 器返回響應(yīng)數(shù)據(jù)包到路由器時(shí)，雖然內(nèi)部全局IP地址都相同，但可以根據(jù)

41、所分配的端口號(hào) 來識(shí)別源主機(jī)，從而把返回的流量送往請(qǐng)求服務(wù)的源內(nèi)部主機(jī)。靜態(tài)與動(dòng)態(tài)NAT都是使用 IP地址識(shí)別源主機(jī)，由于PAT允許使用傳輸層的端口號(hào)來識(shí)別主機(jī)，便可以更加節(jié)省公網(wǎng)的 合法IP地址。 10.1.1.3 DA SA 10.1.1.1 172.168.2.2 63.41.7.3 DA 172.168.2.2 10.1.1.2 Internet 63.40.7.3 DA 172.168.2.2 10.1.1.1 SA 10.1.1.1 iGL TOI TJ:J05寸 U0 TeE53 農(nóng)寸0匕乜：33 1Gb IQ 1 rSJASS JA0 ICS S S US2 es i l A3

42、33 JO, J J-3：JJ33 110 JeS 3 3=K53 3t 1333 JOJJl lb舟 IL哪?Tp轉(zhuǎn)口 IL WF1期已 JdVLig 4.7路由協(xié)議的規(guī)劃 策略路由（PBR） Cisco 3560系列以太網(wǎng)路由交換機(jī)支持高性能的策略路由。策略路由（Policy-Based Routing ,簡稱PBR是目前越來越多的路由器或三層交換機(jī)設(shè)備正在支持的一項(xiàng)路由擴(kuò)展功 能，支持策略路由的設(shè)備不僅能以報(bào)文的目的IP地址為依據(jù)來進(jìn)行路由選擇，還可以以報(bào) 文的源IP地址、源 MAC地址、報(bào)文大小、報(bào)文進(jìn)入的端口、報(bào)文類型、報(bào)文的VLAN屬性 等等其它擴(kuò)展條件來選擇路由。通過合理的路由策

43、略設(shè)計(jì)，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡, 充分利用路由設(shè)備， 并實(shí)現(xiàn)路由、交換設(shè)備之間的冗余備份功能，同時(shí)提供各種可以區(qū)分的 服務(wù)等級(jí)，為不同用戶提供不同的QoS服務(wù)。策略路由是設(shè)置在接收?qǐng)?bào)文接口而不是發(fā)送 接口。Cisco6509系列以太網(wǎng)路由交換機(jī)可以很好地支持策略路由功能，并且可以將路由下 一跳重定向到某個(gè)物理端口，或者某個(gè)下一跳IP地址。 我們使用的結(jié)構(gòu)星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如上面整體設(shè)計(jì)結(jié)構(gòu)示意圖，對(duì)于星形結(jié)構(gòu)來說， 能在內(nèi)部路由采用 OSPF v2,對(duì)于外部路由采用 BGP4內(nèi)部路由在層次上能分為兩層：骨干 路由層和接入層。 骨干路由層 原則上采用 OSPF v2 OSPF v2是由RFC

44、1583定義，適用于自治域內(nèi)的路由規(guī)劃，有較強(qiáng) 的域內(nèi)路由分區(qū)和負(fù)載分擔(dān)的功能 ，更重要的是他是一種開放的標(biāo)準(zhǔn) ，各種廠家的設(shè)備均支持 不必?fù)?dān)心不同廠家設(shè)備之間的路由協(xié)議的兼容問題。 接入層路由 一般采用靜態(tài)路由，只有在用戶的網(wǎng)絡(luò)確實(shí)需要采用動(dòng)態(tài)路由協(xié)議時(shí)才分情況采用 OSPF或 BGP。外部路由協(xié)議采用BGP4協(xié)議。BGP4是邊界網(wǎng)關(guān)協(xié)議，適用于獨(dú)立的 自治域管理系統(tǒng)，有非常強(qiáng)的策略路由和流量控制，路由過濾的功能國內(nèi)大多數(shù) IP網(wǎng)絡(luò)的骨干網(wǎng)絡(luò)協(xié)議均選用 BGP4 綜上，對(duì)于總公司與兩個(gè)外地分公司的連接采用城域網(wǎng)外部路由的規(guī)劃設(shè)計(jì)即BGP4協(xié) 議，而對(duì)于本地的四個(gè)分公司與總公司的連接采用城域網(wǎng)

45、內(nèi)部路由規(guī)劃設(shè)計(jì)，即匯接層路由 器設(shè)計(jì)成區(qū)域邊界路由器。各個(gè)匯接區(qū)域內(nèi)接入路由器設(shè)計(jì)成域內(nèi)路由器，運(yùn)行OSPF協(xié)議。 4.7系統(tǒng)安全設(shè)計(jì) 網(wǎng)絡(luò)系統(tǒng)的運(yùn)行安全，主要是保護(hù)集團(tuán)的信息安全，必須進(jìn)行網(wǎng)絡(luò)安全方面的規(guī)劃和實(shí) 施。首先，我們要有嚴(yán)格和有效執(zhí)行的管理制度。建議集團(tuán)制定嚴(yán)格的網(wǎng)絡(luò)安全管理策略， 并有效的執(zhí)行。其次，必須具有一定的技術(shù)手段來保障網(wǎng)絡(luò)的安全。技術(shù)和管理手段相結(jié)合 實(shí)施，才能夠產(chǎn)生良好的效果。通過以下幾個(gè)技術(shù)方面的實(shí)施， 可以在一定程度上保障網(wǎng)絡(luò) 的安全： 1提高設(shè)備的物理安全性 2配置設(shè)備的口令 3進(jìn)行VTP域的認(rèn)證 4園區(qū)網(wǎng)用戶的接入控制 5應(yīng)用系統(tǒng)的訪問控制 6因特網(wǎng)的接入安

46、全控制 五、網(wǎng)絡(luò)安全設(shè)計(jì)與管理 1、禁用沒用的服務(wù) Windows提供了許許多多的服務(wù)。 Telnet就是一個(gè)非常典型的例子。在Windows2003的服務(wù)中是怎么解釋的：允許遠(yuǎn)程 用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序”。建議禁止該服務(wù) 還有一個(gè)值得一提的就是 NetBIOS。 Windows還有許多服務(wù)，在此不做過多地介紹?？梢愿鶕?jù)自己實(shí)際情況禁止某些服務(wù)。 禁用不必要的服務(wù)，除了可以減少安全隱患 2、打補(bǔ)丁 Microsofe公司時(shí)不時(shí)就會(huì)在網(wǎng)上免費(fèi)提供一些補(bǔ)丁，可以去打補(bǔ)丁。除了可以增強(qiáng)兼 容性外，更重要的是堵上已發(fā)現(xiàn)的安全漏洞。 3、反病毒監(jiān)控 選擇一流的反病毒軟件。用反病毒軟件

47、的根本目的是防病毒。另外，安裝反病毒軟件后 必須對(duì)其進(jìn)行必要的設(shè)置和時(shí)刻開啟反病毒監(jiān)控。這樣才能發(fā)揮其最大的威力。 5.2建立防火墻 網(wǎng)絡(luò)地址轉(zhuǎn)化一NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允 許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器 取得注冊的IP地址。 在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址 和源端口映射為一個(gè)偽裝的地址和端口，讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng) 絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò) 時(shí)，它并不知道內(nèi)部

48、網(wǎng)絡(luò)的連接情況，而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。 OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí)，防火墻 認(rèn)為訪問是安全的，可以接受訪問請(qǐng)求，也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng) 不符合規(guī)則時(shí)，防火墻認(rèn)為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請(qǐng)求。 網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置， 用戶只要進(jìn)行常規(guī)操作 即可。 5.3網(wǎng)絡(luò)的保密措施 1、堵住服務(wù)器操作系統(tǒng)安全漏洞 任何網(wǎng)絡(luò)操作系統(tǒng)的安全性都是相對(duì)的，無論是UNIX還是NT都存在安全漏洞，他們 的站點(diǎn)會(huì)不定期發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)管理員應(yīng)定期下載，及時(shí)堵住系統(tǒng)

49、漏洞。 2、注意保護(hù)系統(tǒng)管理員的密碼 用戶名和密碼應(yīng)當(dāng)設(shè)置合理，口令應(yīng)大小寫混合，最好加上特殊字符和數(shù)字，至少不能 少于16位，同時(shí)應(yīng)定期修改；口令不得以明文方式存放在系統(tǒng)中；建立帳號(hào)鎖定機(jī)制，當(dāng) 同一帳號(hào)的密碼校驗(yàn)錯(cuò)誤若干次時(shí)，自動(dòng)斷開連接并鎖定該帳號(hào)。 3、關(guān)閉不必要的服務(wù)端口 謹(jǐn)慎開放缺乏安全保障的端口：很多黑客攻擊程序是針對(duì)特定服務(wù)和特定服務(wù)端口的。 a、 常用服務(wù)端口有：WEB: 80, SMTP: 25, POP3: 110，可根據(jù)情況選擇關(guān)閉。 b、 比較危險(xiǎn)（很可能存在系統(tǒng)漏洞）的服務(wù)端口： TELNET 23，F(xiàn)INGER 79,建議關(guān)閉 掉。 c、對(duì)必須打開的服務(wù)（如SQL

50、數(shù)據(jù)庫等）進(jìn)行安全檢查。 4、制定完善的安全管理制度 定期使用網(wǎng)絡(luò)管理軟件對(duì)整個(gè)局域網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)問題及時(shí)防范。定期使用黑客軟件 攻擊自己的系統(tǒng)，以便發(fā)現(xiàn)漏洞，及時(shí)補(bǔ)救。 謹(jǐn)慎利用共享軟件，不應(yīng)隨意下載使用共享軟 件。做好數(shù)據(jù)的備份工作，有了完整的數(shù)據(jù)備份。 5、注意WEB服務(wù)的安全問題 WEB編程人員編寫的 CG、ASP、PHP等程序存在的問題，會(huì)暴露系統(tǒng)結(jié)構(gòu)或使服務(wù)目 錄可讀寫，這樣黑客入侵的發(fā)揮空間就更大。在給WEB服務(wù)器上傳前，要進(jìn)行腳本安全檢 查。 6、警惕DOS攻擊和DDOS攻擊 DOS攻擊和DDOS攻擊可以使網(wǎng)站系統(tǒng)失去與互聯(lián)網(wǎng)通信的能力，甚至于系統(tǒng)崩潰。建 議：如果有條件允許

51、的話，可以使用具有DoS和DdoS防護(hù)的防火墻。 5.4數(shù)據(jù)安全性和完整性措施 數(shù)據(jù)安全性和完整性就是數(shù)據(jù)的安全技術(shù)。為了解決上述問題，就必須利用另外一種安 全技術(shù)-數(shù)字簽名。 PKI（ Publie Key Infrastucture）技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ) 設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn) 行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸，因此使得用電子方式驗(yàn)證信任關(guān) 系變得至關(guān)重要。而 PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)， 他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不

52、可否認(rèn)性和存取控制等安 全問題。一個(gè)實(shí)用的 PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操 作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu)（CA）、注冊機(jī)構(gòu)（RA）、策略管理、密鑰（Key）與證書 （Certificate ）管理、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合。 1、認(rèn)證機(jī)構(gòu) CA （Certification Authorty ）就是這樣一個(gè)確保信任度的權(quán)威實(shí)體，它的主要職責(zé)是頒發(fā) 證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明一證書，任何相信該CA 的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的 措施來防止電子證書被偽造或篡改

53、。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的，這不僅 與密碼學(xué)有關(guān)系，而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活也是CA能否得到市 場認(rèn)同的一個(gè)關(guān)鍵，它不需支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其他廠家的CA產(chǎn)品兼 容。 2、注冊機(jī)構(gòu) RA（ Registration Authorty ）是用戶和 CA的接口，它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA 頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記，也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系 統(tǒng)的安全、靈活，就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。 3、策略管理 在PKI系統(tǒng)中，制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不 同的需求，并且能通過 CA和RA技術(shù)融入到CA和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí)，這些策略應(yīng)該 符合密碼學(xué)和系統(tǒng)安全的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的擴(kuò)展 性和互用性。 4、密鑰備份和恢復(fù) 為了保證數(shù)據(jù)的安全性，應(yīng)