中小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及安全的實(shí)現(xiàn)

1、.wd.wd.wd.編號(hào)本科生畢業(yè)設(shè)計(jì)中小型企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及安全實(shí)現(xiàn)Network Design And Security of Small And Medium Sized Enterprises學(xué)生姓名王振陽(yáng)專 業(yè)軟件工程學(xué) 號(hào)1242130指導(dǎo)教師陳剛分 院信息工程分院2016年6月摘要經(jīng)過對(duì)中小型企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析，組建一套適合企業(yè)自身的網(wǎng)絡(luò)環(huán)境是十分必要的，本文通過網(wǎng)絡(luò)構(gòu)建的設(shè)計(jì)方案、基于安全的網(wǎng)絡(luò) 基本配置方案、網(wǎng)絡(luò)管理方案三方面，主要運(yùn)用了HTTP、DNS、FTP、DHCP應(yīng)用服務(wù)器來實(shí)現(xiàn)一個(gè)企業(yè)網(wǎng)絡(luò)間接入與訪問,并且建設(shè)了一種中小型網(wǎng)絡(luò)的安全方案。在對(duì)中小型網(wǎng)絡(luò)系統(tǒng)有了確切的了解之

2、后，將局域網(wǎng)總體子網(wǎng)劃分為三個(gè)安全等級(jí)，每個(gè)等級(jí)中包含假設(shè)干子網(wǎng)，各類子網(wǎng)設(shè)置了各自的安全策略。按照計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)的目標(biāo)及其計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題進(jìn)展了全面的分析。依照各個(gè)安全等級(jí)的安全需求，設(shè)計(jì)了中小型網(wǎng)絡(luò)的安全方案。在滿足各子網(wǎng)系統(tǒng)建設(shè)的前提下，提出了包括病毒防護(hù)、動(dòng)態(tài)口令身份認(rèn)證、安全審計(jì)管理、訪問控制、信息加密策略、入侵檢測(cè)系統(tǒng)的部署、漏洞掃描系統(tǒng)等管理措施和安全技術(shù)在內(nèi)的整套解決方案。目的是建設(shè)一個(gè)完整的、立體的網(wǎng)絡(luò)及安全防御體系，使網(wǎng)絡(luò)及安全系統(tǒng)真正獲得較好的效果。關(guān)鍵詞：局域網(wǎng) 網(wǎng)絡(luò)管理子網(wǎng)劃分 病毒防護(hù) 服務(wù)器AbstractThrough th

3、e analysis of the status of small and medium-sized enterprise network, the formation of a network environment suitable for the enterprise itself is very necessary, through network building design, safe network configuration, network management scheme based on, the main use of the HTTP, DNS, FTP, usi

4、ng DHCP server to achieve a enterprise network access, and the construction of a secure scheme for a small network. After the small and medium-sized network system has a certain understanding, the local area network is divided into three security levels, each of which contains a number of sub networ

5、k, all kinds of sub network set up their own security policy. According to the goal of computer network security design and the overall plan of the computer network security system, a comprehensive analysis is made on the computer network security problem. According to the security requirements of e

6、ach security level, the security scheme of the medium and small scale network is designed. In the premise of satisfying each sub network system construction, including virus protection, dynamic password identity authentication, security audit management, access control, information encryption strate

7、gies and intrusion detection system deployment, vulnerability scanning system management and safety technology, set of solutions proposed. The goal is to establish a complete, three-dimensional network and security defense system, so that the network and security system to really get better results.

8、Key Words：LANNetworkmanagement Sub network partitioning Virus protectionServer 目錄 TOC o 1-3 h z u HYPERLINK l _Toc453677762 緒 論 PAGEREF _Toc453677762 h 1 HYPERLINK l _Toc453677763 第一章 需求分析 PAGEREF _Toc453677763 h 3 HYPERLINK l _Toc453677764 第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) PAGEREF _Toc453677764 h 4 HYPERLINK l _Toc453677

9、765 2.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)規(guī)劃 PAGEREF _Toc453677765 h 4 HYPERLINK l _Toc453677766 2.1.1網(wǎng)絡(luò)設(shè)計(jì)指導(dǎo)原那么 PAGEREF _Toc453677766 h 4 HYPERLINK l _Toc453677767 2.1.2網(wǎng)絡(luò)設(shè)計(jì)總體目標(biāo) PAGEREF _Toc453677767 h 4 HYPERLINK l _Toc453677768 2.1.3網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議 PAGEREF _Toc453677768 h 4 HYPERLINK l _Toc453677769 2.1.4網(wǎng)絡(luò) IP 地址規(guī)劃 PAGEREF _Toc45367

10、7769 h 4 HYPERLINK l _Toc453677770 2.1.5網(wǎng)絡(luò)設(shè)備方案設(shè)計(jì) PAGEREF _Toc453677770 h 5 HYPERLINK l _Toc453677771 2.2網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc453677771 h 6 HYPERLINK l _Toc453677772 2.3 IP地址規(guī)劃 PAGEREF _Toc453677772 h 6 HYPERLINK l _Toc453677773 2.4網(wǎng)絡(luò)設(shè)備選型 PAGEREF _Toc453677773 h 7 HYPERLINK l _Toc453677774 2.4.1集線器的選型 P

11、AGEREF _Toc453677774 h 7 HYPERLINK l _Toc453677775 2.4.2交換機(jī)的選型 PAGEREF _Toc453677775 h 7 HYPERLINK l _Toc453677776 2.4.3路由器的選型 PAGEREF _Toc453677776 h 7 HYPERLINK l _Toc453677777 2.4.4服務(wù)器的選型 PAGEREF _Toc453677777 h 7 HYPERLINK l _Toc453677778 第三章 網(wǎng)絡(luò)安全的方案設(shè)計(jì) PAGEREF _Toc453677778 h 8 HYPERLINK l _Toc4

12、53677779 3.1中小型公司網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) PAGEREF _Toc453677779 h 8 HYPERLINK l _Toc453677780 3.1.1安全體系構(gòu)造網(wǎng)絡(luò) PAGEREF _Toc453677780 h 8 HYPERLINK l _Toc453677781 3.1.2安全體系層次模型 PAGEREF _Toc453677781 h 8 HYPERLINK l _Toc453677782 3.1.3安全體系設(shè)計(jì) PAGEREF _Toc453677782 h 8 HYPERLINK l _Toc453677783 3.2安全產(chǎn)品的配置與應(yīng)用 PAGEREF _Toc

13、453677783 h 10 HYPERLINK l _Toc453677784 3.2.1防病毒及特洛伊木馬軟件 PAGEREF _Toc453677784 h 10 HYPERLINK l _Toc453677785 3.2.2動(dòng)態(tài)口令身份認(rèn)證方案 PAGEREF _Toc453677785 h 11 HYPERLINK l _Toc453677786 3.2.3訪問控制：防火墻系統(tǒng) PAGEREF _Toc453677786 h 11 HYPERLINK l _Toc453677787 第四章 網(wǎng)絡(luò)服務(wù)器的安裝與配置 PAGEREF _Toc453677787 h 13 HYPERLIN

14、K l _Toc453677788 4.1網(wǎng)絡(luò)配置 PAGEREF _Toc453677788 h 13 HYPERLINK l _Toc453677789 4.1.1 VLAN配置 PAGEREF _Toc453677789 h 13 HYPERLINK l _Toc453677790 4.1.2 路由配置 PAGEREF _Toc453677790 h 13 HYPERLINK l _Toc453677791 4.2 服務(wù)器配置 PAGEREF _Toc453677791 h 14 HYPERLINK l _Toc453677792 4.2.1 DNS配置 PAGEREF _Toc4536

15、77792 h 14 HYPERLINK l _Toc453677793 4.2.2 HTTP配置 PAGEREF _Toc453677793 h 18 HYPERLINK l _Toc453677794 4.2.3 配置三層交換機(jī)和DHCP服務(wù)器 PAGEREF _Toc453677794 h 21 HYPERLINK l _Toc453677795 4.2.4 FTP配置 PAGEREF _Toc453677795 h 26 HYPERLINK l _Toc453677796 第五章 網(wǎng)絡(luò)調(diào)試 PAGEREF _Toc453677796 h 29 HYPERLINK l _Toc45367

16、7797 5.1 ping命令格式 PAGEREF _Toc453677797 h 29 HYPERLINK l _Toc453677798 5.2 調(diào)試過程 PAGEREF _Toc453677798 h 29 HYPERLINK l _Toc453677799 5.3遇到在問題及解決方法 PAGEREF _Toc453677799 h 29 HYPERLINK l _Toc453677800 5.3.1問題 PAGEREF _Toc453677800 h 29 HYPERLINK l _Toc453677801 5.3.2解決方法 PAGEREF _Toc453677801 h 30 HY

17、PERLINK l _Toc453677802 結(jié) 論 PAGEREF _Toc453677802 h 32 HYPERLINK l _Toc453677803 參考文獻(xiàn) PAGEREF _Toc453677803 h 34 HYPERLINK l _Toc453677804 致 謝 PAGEREF _Toc453677804 h 35緒 論計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)與通信技術(shù)結(jié)合的產(chǎn)物。自從20世紀(jì)60年代計(jì)算機(jī)網(wǎng)絡(luò)開展至今，計(jì)算機(jī)網(wǎng)絡(luò)對(duì)現(xiàn)代人的生產(chǎn)、經(jīng)濟(jì)、生活等各個(gè)方面都產(chǎn)生了巨大的影響。在過去的20多年里，計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)取得了驚人的開展。處理和傳輸信息的計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為了信息社會(huì)的

18、命脈和開展知識(shí)經(jīng)濟(jì)的重要根基，不管是企事業(yè)單位、社會(huì)團(tuán)體或個(gè)人，他們的生產(chǎn)效率和工作效率都由于使用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)而有了實(shí)質(zhì)性的提高。在當(dāng)今的信息社會(huì)中，人們不斷地依靠計(jì)算機(jī)網(wǎng)絡(luò)來處理個(gè)人和工作上的事務(wù)，而這種趨勢(shì)也使得計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)發(fā)揮出更強(qiáng)大的功能。Internet網(wǎng)絡(luò)是目前主要的網(wǎng)絡(luò)構(gòu)建模式。本文通過實(shí)際的應(yīng)用案例給出了構(gòu)建Internet 1網(wǎng)絡(luò)的系統(tǒng)設(shè)計(jì)過程。在案例中省去了一些無(wú)關(guān)緊要的內(nèi)容，突出了重要的技術(shù)環(huán)節(jié)，有助于中小企業(yè)構(gòu)建Internet時(shí)作為參考的依據(jù)。局域網(wǎng)系統(tǒng)正逐漸成為不少興旺國(guó)家教育機(jī)構(gòu)、院校或部門的重要組成局部2，既是企業(yè)網(wǎng)絡(luò)應(yīng)用的根基，也是企業(yè)網(wǎng)站建設(shè)

19、的前提。原因很簡(jiǎn)單，沒有局域網(wǎng)的中小型企業(yè)通常都不會(huì)搭建自己的網(wǎng)站。利用網(wǎng)絡(luò)不僅可以把這一切做得更好，而且還能完成許多單機(jī)所無(wú)法想象的任務(wù)，比方打印共享、文件傳輸、協(xié)同工作和資源共享等等，從而極大地提高工作效率，減少設(shè)備資金投入，為企業(yè)帶來極大的利潤(rùn)。國(guó)際標(biāo)準(zhǔn)化組織(IS0)對(duì)計(jì)算機(jī)系統(tǒng)安全的定義是為數(shù)據(jù)處理系統(tǒng)建設(shè)和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。從此我們可以看出網(wǎng)絡(luò)系統(tǒng)安全單靠某些安全技術(shù)手段是缺乏以完全解決問題是的，而且網(wǎng)絡(luò)攻擊手段不斷變化3，病毒木馬不斷升級(jí)，故此對(duì)應(yīng)的防御手段也需要不斷進(jìn)展更新與強(qiáng)大以此抗擊外界的網(wǎng)絡(luò)系統(tǒng)

20、的干擾。在這樣的形勢(shì)下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為 基本目的網(wǎng)絡(luò)安全變得越來越重要。網(wǎng)絡(luò)安全威脅一般分為外部闖入、內(nèi)部滲透和不當(dāng)行為三種類型。外部闖入是指未經(jīng)授權(quán)計(jì)算機(jī)系統(tǒng)用戶的入侵;內(nèi)部突破是指己授權(quán)的計(jì)算機(jī)系統(tǒng)用戶訪問未經(jīng)授權(quán)的數(shù)據(jù);不正當(dāng)行為是指用戶雖經(jīng)授權(quán)，但對(duì)授權(quán)數(shù)據(jù)和資源的使用不合法或?yàn)E用授權(quán)。網(wǎng)絡(luò)自身的缺陷、開放性以及黑客的攻擊是造成網(wǎng)絡(luò)不安全的主要原因。由于計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它向用戶提供的服務(wù)及所擁有的信息，因而計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為：保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)，后者那么要求網(wǎng)絡(luò)保證信息資

21、源的保密性、完整性、可用性和準(zhǔn)確性?？梢娊ㄔO(shè)安全的網(wǎng)絡(luò)系統(tǒng)要解決的 基本問題是如何在保證網(wǎng)絡(luò)的連通性、可用性的同時(shí)對(duì)網(wǎng)絡(luò)服務(wù)的種類、范圍等行使適當(dāng)程度的控制以保障系統(tǒng)的可用性和信息的完整性不受影響4。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該具有以下幾個(gè)特點(diǎn)：1.可靠性是網(wǎng)絡(luò)系統(tǒng)安全最 基本的要求。可靠性主要是指網(wǎng)絡(luò)系統(tǒng)硬件和軟件無(wú)故障運(yùn)行的性能。2.可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，能夠保證授權(quán)用戶使用。3.保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的根基上保證網(wǎng)絡(luò)信息安全的非常重要的手段。保密性可以保證信息即使泄露，非授權(quán)用戶在有限的時(shí)間內(nèi)也不能識(shí)別真正的信息

22、內(nèi)容。4.完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)展改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)展的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。 從技術(shù)角度看，網(wǎng)絡(luò)安全的內(nèi)容大體包括4個(gè)方面：1.網(wǎng)絡(luò)實(shí)體安全2.軟件安全3.網(wǎng)絡(luò)數(shù)據(jù)安全4.網(wǎng)絡(luò)安全管理由此可見，計(jì)算機(jī)網(wǎng)絡(luò)安全不僅要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全，還要保護(hù)數(shù)據(jù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全保護(hù)方案，以保證算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。第一章 需求分析隨著近年來企業(yè)信息化建設(shè)的

23、深入，企業(yè)的運(yùn)作越來越融入到計(jì)算機(jī)網(wǎng)絡(luò)中中小型企業(yè)利用網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部的數(shù)據(jù)流轉(zhuǎn)、實(shí)現(xiàn)與外界的實(shí)時(shí)交流、實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)與應(yīng)用等。例如文件傳輸、資源共享、打印共享和協(xié)同工作等等。中小型企業(yè)構(gòu)建網(wǎng)絡(luò)能夠極大地提高工作效率，減少設(shè)備資金投入。由于當(dāng)前計(jì)算機(jī)都帶有網(wǎng)絡(luò)設(shè)備，所以在組網(wǎng)的時(shí)候只需配置網(wǎng)線，交換機(jī)等設(shè)備。除了這些 基本的需要外，用于充當(dāng)服務(wù)器的計(jì)算機(jī)還必須對(duì)內(nèi)存和硬盤容量等硬件進(jìn)展一些必要的升級(jí)過更新，使其能夠更好的服務(wù)所有用戶。例如，服務(wù)器需要為每個(gè)部門的員工提供一定的私有空間及公用空間，因此必須要有超大容量的硬盤。網(wǎng)絡(luò)上的要求穩(wěn)定，有安全機(jī)制，升級(jí)擴(kuò)展容易，用戶使用簡(jiǎn)單，維護(hù)容易等;系統(tǒng)要求

24、配置簡(jiǎn)單方便，系統(tǒng)運(yùn)行有高穩(wěn)定性，可管理性等;用戶要求,滿足 基本帶寬5要求，保存一定的余量供擴(kuò)展等;設(shè)備要求技術(shù)上具有先進(jìn)性，易管理，具有良好的性價(jià)比。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在供應(yīng)商、客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通。這直接關(guān)系到企業(yè)能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。近年來越來越多的企業(yè)都在加快構(gòu)建自身的信息網(wǎng)絡(luò)，而其中絕大多數(shù)都是中小企業(yè)。 通過網(wǎng)絡(luò)建設(shè)能夠?qū)崿F(xiàn)企業(yè)內(nèi)部資源的共享，降低企業(yè)成本，可以更好的與外界進(jìn)展溝通，讓外部更加了解企業(yè)。目前中小型企業(yè)建設(shè)過程中，存在很多問題，如有些中小型企業(yè)不考慮自身需求，一味追求高性能，構(gòu)建的網(wǎng)絡(luò)往往造成不必要的浪

25、費(fèi)；或另一方面，有些中小型企業(yè)建成的網(wǎng)絡(luò) 基本達(dá)不到應(yīng)用本身對(duì)網(wǎng)絡(luò)的需求。企業(yè)網(wǎng)絡(luò)應(yīng)分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩個(gè)局部，其中還包括在這兩局部上的實(shí)際應(yīng)用，中小型企業(yè)在網(wǎng)絡(luò)設(shè)計(jì)之初就應(yīng)該充分考慮到自身的需求，通過這些需求來具體設(shè)計(jì)適合自己需求的網(wǎng)絡(luò)。因此，在建設(shè)局域網(wǎng)時(shí)應(yīng)該考慮到網(wǎng)絡(luò)的先進(jìn)性、可擴(kuò)展性、高可靠性、穩(wěn)定性、高帶寬、經(jīng)濟(jì)性。第二章 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2.1網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)規(guī)劃2.1.1網(wǎng)絡(luò)設(shè)計(jì)指導(dǎo)原那么網(wǎng)絡(luò)設(shè)計(jì)應(yīng)該遵循開放性和標(biāo)準(zhǔn)化原那么、可用性原那么、高性能原那么、經(jīng)濟(jì)性原那么、可靠性原那么、安全第一原那么、適度的可擴(kuò)展性原那么、易管理性原那么、易維護(hù)性原那么、最正確的性能價(jià)格比原那么、QoS保

26、證2.1.2網(wǎng)絡(luò)設(shè)計(jì)總體目標(biāo)靈活性：系統(tǒng)具有較高的適應(yīng)變化的能力。布線系統(tǒng)且具有一定的擴(kuò)展能力。實(shí)用性：使用方便、簡(jiǎn)單、易擴(kuò)展的特點(diǎn)。布線系統(tǒng)應(yīng)在滿足各種需求的情況下盡可能降低材料成本；布線系統(tǒng)具有操作簡(jiǎn)單、使用方便、易于擴(kuò)展的特點(diǎn)。安全性：具有高安全性。2.1.3網(wǎng)絡(luò)通信聯(lián)網(wǎng)協(xié)議TCP/IP：每種網(wǎng)絡(luò)協(xié)議都有自己的優(yōu)點(diǎn)，但是只有TCP/IP允許與Internet完全的連接。Telnet：遠(yuǎn)程登錄訪問協(xié)議，使其他跨省區(qū)域的用戶通過遠(yuǎn)程訪問總部的內(nèi)外，在遠(yuǎn)程訪問時(shí)，會(huì)設(shè)置相應(yīng)的ACL認(rèn)證和相對(duì)的權(quán)限設(shè)置。SNMP網(wǎng)絡(luò)管理協(xié)議：SNMP 用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器、工作站、路由器、交換機(jī)

27、及 HUBS 等的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長(zhǎng)。通過 SNMP 接收隨機(jī)消息及事件報(bào)告網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。路由協(xié)議：OSPF。2.1.4網(wǎng)絡(luò) IP 地址規(guī)劃企業(yè)園區(qū)網(wǎng)方案使用私有的A類IP地址。企業(yè)園區(qū)網(wǎng)的IP地址分配原那么如下：企業(yè)使用IPv4地址方案。企業(yè)使用私有IP地址空間：/8。企業(yè)使用VLSM(變長(zhǎng)子網(wǎng)掩碼)技術(shù)分配IP地址空間。企業(yè)IP地址分配滿足集團(tuán)的利用。 企業(yè)IP地址分配滿足便于路由會(huì)聚。企業(yè)IP地址分配滿足分類控制等。企業(yè)IP地址分配滿足未來公司網(wǎng)絡(luò)擴(kuò)容的需要。 2.1.5網(wǎng)絡(luò)設(shè)備方案

28、設(shè)計(jì)1.路由器：CISCO 2811 參考價(jià)：5200思科2811路由器采用模塊化端口構(gòu)造，傳輸速率 10/100Mbps 設(shè)置一個(gè)10/100Mbps固定廣域網(wǎng)接口，2個(gè)固定局域網(wǎng)接口10/100Mbps，支持4個(gè)擴(kuò)展模塊插槽，1個(gè)NM插槽和1個(gè)Console控制端口，配有RS-232的控制端口。該產(chǎn)品搭載Motorola MPC860 160MHz的處理器，配備最大256MB的Flash閃存和最大760MB的DRAM內(nèi)存，極大的提高了該產(chǎn)品的安全性能。思科2811支持IEEE 802.3X6網(wǎng)絡(luò)協(xié)議以及SNMP網(wǎng)管協(xié)議，同時(shí)還配備Cisco ClickStart網(wǎng)管軟件，支持VPN-虛擬專

29、用網(wǎng)，以及QoS，協(xié)議方面支持比較完善。安全方面，2811內(nèi)置了防火墻，并支持UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN 60950-1、AS/NZS 60950等眾多安全標(biāo)準(zhǔn)，為企業(yè)用戶提供更安全的網(wǎng)絡(luò)服務(wù)。2.三層交換機(jī)：采用友訊網(wǎng)絡(luò)D-LinkDES-3326 參考價(jià)：6300元DES-3326是友訊網(wǎng)絡(luò)公司推出的一款可網(wǎng)管、支持千兆的10/100M智能三層交換機(jī)，是一款線速第三層交換機(jī)，提供了24個(gè)10/100BASE-TX端口及1個(gè)擴(kuò)展插槽，可擴(kuò)展2個(gè)可選千兆以太網(wǎng)端口。DES-3326交換機(jī)將第二層線速交換及第三層IP路由以及服務(wù)質(zhì)量

30、(QoS)有機(jī)集成為一體，并可采用支持SNMP標(biāo)準(zhǔn)的網(wǎng)管系統(tǒng)進(jìn)展配置、監(jiān)控和管理。DES-3326交換機(jī)前面板插槽可選插2口千兆模塊，不同模塊可支持1000BASE-SX、1000BASE-T標(biāo)準(zhǔn)。所有模塊支持流量控制和全雙工，可處理大量數(shù)據(jù)。支持優(yōu)先級(jí)隊(duì)列和QoS機(jī)制，優(yōu)先級(jí)隊(duì)列功能可以根據(jù)數(shù)據(jù)交換的重要性進(jìn)展排隊(duì)，優(yōu)先交換重要數(shù)據(jù)。該款交換機(jī)具有端口聚合功能，最大可將8個(gè)10/100Mbps端口聚合成一個(gè)端口，而聚合之后的這個(gè)端口性能非常強(qiáng)大，這項(xiàng)功能主要是幫助那些需要高帶寬端口而又不想投入過多資金的用戶使用，而這項(xiàng)功能最主要的應(yīng)用場(chǎng)合是VLAN劃分，VLAN劃分需要設(shè)置會(huì)聚鏈路，而會(huì)聚鏈

31、路對(duì)帶寬要求非常高，通過端口聚合功能可提供一個(gè)高帶寬的端口。DES-3326支持SNMP管理和RMON監(jiān)控功能，并且還支持端口鏡像功能，通過這些功能，管理員可對(duì)該款交換機(jī)進(jìn)展管理、配置以及對(duì)此款交換機(jī)所連接的網(wǎng)絡(luò)進(jìn)展監(jiān)控。DES-3326交換機(jī)還提供了流量控制功能，支持VLAN劃分，提供了冗余電源接口等。3.二層交換機(jī)：D-Link DES-1024D 參考價(jià)：530它符合百兆以太網(wǎng)標(biāo)準(zhǔn)，提供了24個(gè)自適應(yīng)全/半雙工10/100Mbps端口，可自動(dòng)判斷連入設(shè)備的類型提供相應(yīng)的連接方式和帶寬。另外利用配備的16K的MAC地址表和2.5MB緩存，它可以利用IEEE802.3x7流量控制技術(shù)動(dòng)態(tài)將緩

32、存分配到各個(gè)端口，保持網(wǎng)絡(luò)暢通。2.2網(wǎng)絡(luò)拓?fù)鋱D如以以下圖2.1所示圖2.1 網(wǎng)絡(luò)拓?fù)鋱D2.3 IP地址規(guī)劃1.VLAN 10 財(cái)務(wù)部IP地址：54網(wǎng)關(guān);542.VLAN 20 營(yíng)銷部IP地址：54網(wǎng)關(guān)：543.VLAN 30 工程部IP地址：54網(wǎng)關(guān)：544.VLAN 40 人事部IP地址：54網(wǎng)關(guān)：542.4網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備是指集線器、交換機(jī)、路由器、服務(wù)器和網(wǎng)絡(luò)存儲(chǔ)設(shè)備等。布線決定著網(wǎng)絡(luò)所能夠提供的最大潛在帶寬，集線設(shè)備即集線器和交換機(jī)決定著網(wǎng)絡(luò)當(dāng)前能夠提供的最大網(wǎng)絡(luò)帶寬，路由器決定著網(wǎng)絡(luò)之間或網(wǎng)絡(luò)與Internet之間的連接速率。網(wǎng)絡(luò)設(shè)備就像F1賽道上的汽車，決定最高時(shí)速的只有其排

33、量和性能。2.4.1集線器的選型目前，集線器作為一種廉價(jià)的集線設(shè)備，主要廣泛應(yīng)用于數(shù)據(jù)傳輸量不大，用戶數(shù)量不多的小型網(wǎng)絡(luò)，或作為中型網(wǎng)絡(luò)的一種補(bǔ)充。2.4.2交換機(jī)的選型選擇交換機(jī)時(shí)，應(yīng)選擇在國(guó)內(nèi)市場(chǎng)上有相當(dāng)?shù)姆蓊~，具有高性能、高可靠性、高安全性、高可擴(kuò)展性、高可維護(hù)性的產(chǎn)品，如中興、3Com、華為的產(chǎn)品市場(chǎng)份額較大。既要看產(chǎn)品的品牌又要看生產(chǎn)廠商和銷售商品是否有強(qiáng)大的技術(shù)支持、 良好的售后服務(wù)，否那么買回的交換機(jī)出現(xiàn)故障時(shí)既沒有技術(shù)支持又沒有產(chǎn)品服務(wù)，使企業(yè)蒙受損失。2.4.3路由器的選型采用成熟的、經(jīng)實(shí)踐證明其實(shí)用性的技術(shù)。所使用的設(shè)備應(yīng)支 持 VLAN 劃 分技術(shù)、HSRP熱備份路由協(xié)議

34、技術(shù)、OSPF 等協(xié)議，保證網(wǎng) 絡(luò)的傳輸性能和路由快速改斂性，抑制局域網(wǎng)內(nèi)播送風(fēng)暴，減少數(shù)據(jù)傳輸延時(shí)；不盲目追求高性能產(chǎn)品，要購(gòu)置適合自身需求的產(chǎn)品。2.4.4服務(wù)器的選型為了保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，用戶選擇的服務(wù)器首先要確保穩(wěn)定。在具體選購(gòu)服務(wù)器時(shí)，用戶應(yīng)該考察廠商是否有一套面向客戶的完善的服務(wù)體系及未來在該領(lǐng)域的開展方案。第三章 網(wǎng)絡(luò)安全的方案設(shè)計(jì)3.1中小型公司網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)3.1.1安全體系構(gòu)造網(wǎng)絡(luò)安全體系構(gòu)造主要考慮安全機(jī)制和安全對(duì)象，安全對(duì)象主要有網(wǎng)絡(luò)安全、信息安全、設(shè)備安全、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等。還以此為根基對(duì)企業(yè)網(wǎng)絡(luò)的安全建設(shè)進(jìn)展了研究并提出建設(shè)方

35、位性強(qiáng)、多層次、細(xì)致全面的網(wǎng)絡(luò)安全解決方案8。3.1.2安全體系層次模型按照網(wǎng)絡(luò)OSI的7層模型，網(wǎng)絡(luò)安全貫穿于整個(gè)7層。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的TCP/IP協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的4個(gè)層次。1.物理層。物理層信息安全，主要防止物理通路的損壞、物理通路的竊聽、對(duì)物理通路的攻擊(干擾等)。2.鏈路層。鏈路層的網(wǎng)絡(luò)安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分VLAN、加密通訊等手段。3.網(wǎng)絡(luò)層。網(wǎng)絡(luò)層的安全要保證網(wǎng)絡(luò)只給授權(quán)的人員使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，防止被監(jiān)聽或攔截。4.操作系統(tǒng)。操作系統(tǒng)安全要求保證客戶資料、操作系統(tǒng)訪問控制的安全，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)展安

36、全審計(jì)。5.應(yīng)用平臺(tái)。應(yīng)用平臺(tái)指建設(shè)在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器、電子郵件服務(wù)器、Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)來增強(qiáng)應(yīng)用平臺(tái)的安全性。6.應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)的最終目的是為用戶服務(wù)。應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來保證 基本安全，如通訊雙方的認(rèn)證，通訊內(nèi)容安全，審計(jì)等手段3.1.3安全體系設(shè)計(jì)安全體系設(shè)計(jì)原那么在進(jìn)展計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)和規(guī)劃時(shí)，應(yīng)遵循以下原那么：1.需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原那么對(duì)任一網(wǎng)絡(luò)來說，絕對(duì)安全難以到達(dá)，也不一定必要。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)展實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)

37、展定性與定量相結(jié)合的分析，然后制定標(biāo)準(zhǔn)和措施，確定本系統(tǒng)的安全策略。保護(hù)成本與被保護(hù)信息的價(jià)值必須平衡，價(jià)值僅2萬(wàn)元的信息如果用6萬(wàn)元的技術(shù)和設(shè)備去保護(hù)是一種不適當(dāng)?shù)谋Ｗo(hù)。2.綜合性、整體性原那么運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去對(duì)待和分析，才可能獲得有效、可行的措施。3.一致性原那么這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期同時(shí)存在，制定的安全體系構(gòu)造必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就應(yīng)

38、考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少很多。4.安全、可靠性原那么最大保證系統(tǒng)的安全性。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性;對(duì)工程實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證產(chǎn)品質(zhì)量，保證系統(tǒng)運(yùn)行的可靠性。5.先進(jìn)、標(biāo)準(zhǔn)、兼容性原那么先進(jìn)的技術(shù)體系，標(biāo)準(zhǔn)化的技術(shù)實(shí)現(xiàn)。6.易操作性原那么安全措施要由人來完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，采用的措施不會(huì)影響系統(tǒng)正常運(yùn)行。7.適應(yīng)性、靈活性原那么安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易修改、容易適應(yīng)。8.多重保護(hù)原那么任何安全保

39、護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建設(shè)一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，還有其它層保護(hù)信息的安全。安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原那么和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)標(biāo)準(zhǔn)，其具體工作是：1.確定該系統(tǒng)的安全等級(jí)。根據(jù)確定的安全等級(jí)，確定安全管理的范圍。2.制訂相應(yīng)的機(jī)房出入管理制度。對(duì)安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。3.制訂嚴(yán)格的操作規(guī)程。操作規(guī)程要根據(jù)職責(zé)別離和多人負(fù)責(zé)的原那么，各負(fù)其責(zé)，不能超越自己的管轄范圍。4.制訂完備的系統(tǒng)維護(hù)制度。維護(hù)時(shí)，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員

40、在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。5.制訂應(yīng)急措施。要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。6.建設(shè)人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。安全系統(tǒng)需要由人來方案和管理，任何系統(tǒng)安全設(shè)施也不能完全由計(jì)算機(jī)系統(tǒng)獨(dú)立承擔(dān)系統(tǒng)安全保障的任務(wù)。一方面，各級(jí)領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項(xiàng)措施。網(wǎng)絡(luò)安全設(shè)計(jì)由于網(wǎng)絡(luò)的互連是在鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層不同協(xié)議層來實(shí)現(xiàn)，各個(gè)層的功能特性和安全特性也不同，因而其網(wǎng)絡(luò)安全措施也不一樣。對(duì)網(wǎng)絡(luò)進(jìn)展級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括外網(wǎng)與內(nèi)網(wǎng)等，其中Internet外網(wǎng)的接口

41、要采用專用防火墻，各網(wǎng)絡(luò)級(jí)別的接口利用物理隔離設(shè)備、防火墻、安全郵件服務(wù)器、路由器的可控路由表、安全撥號(hào)驗(yàn)證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。從技術(shù)角度來看，入侵檢測(cè)技術(shù)可劃分為兩種9，一種是異常檢測(cè)模型，第二種是誤用檢測(cè)模型增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。3.2安全產(chǎn)品的配置與應(yīng)用3.2.1防病毒及特洛伊木馬軟件為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。網(wǎng)絡(luò)采用上機(jī)機(jī)房與辦公

42、區(qū)相別離的構(gòu)造。1.在企業(yè)機(jī)房的 WindowS2000服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理2000多個(gè)員工主機(jī)網(wǎng)點(diǎn)。2.在各辦公室分別安裝瑞星殺毒軟件網(wǎng)絡(luò)版的客戶端。3.安裝完瑞星殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)展定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)展對(duì)本機(jī)的查殺毒。4.網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)企業(yè)網(wǎng)的升級(jí)工作。為了安全和管理的方便，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到瑞星網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他2000多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)

43、展更新。在安全級(jí)別較高的子網(wǎng)采用的防病毒措施為：1.客戶端防毒：采用趨勢(shì)科技的Officescan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)展更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式，不受WindowS域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純W己b的部署方式。2.郵件防毒：采用趨勢(shì)科技的 SacllMailforNoteS。該產(chǎn)品可以和Domino的群件服務(wù)器無(wú)縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫(kù)中，可防止病毒入侵到LotueNoteS的數(shù)據(jù)庫(kù)及電子郵件，實(shí)時(shí)掃描并去除隱藏于數(shù)據(jù)庫(kù)及信件附件中的

44、病毒?？赏ㄟ^任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作，并提供實(shí)時(shí)監(jiān)控病毒流量的活動(dòng)記錄報(bào)告。3.服務(wù)器防毒：采用趨勢(shì)科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)展部署，管理和更新，另一方面減少了整個(gè)防毒系統(tǒng)對(duì)原系統(tǒng)的影響，Serve少rotect產(chǎn)品支持WindowsNT/2000、NovellNetware，同時(shí)ServerProtect是業(yè)界第一款支持Lin吧平臺(tái)的防病毒產(chǎn)品。3.2.2動(dòng)態(tài)口令身份認(rèn)證方案動(dòng)態(tài)口令身份認(rèn)證具有隨機(jī)性、動(dòng)態(tài)性、一次性、不可逆等特點(diǎn)，不僅保存了靜態(tài)口令

45、方便性的優(yōu)點(diǎn)，而且很好地彌補(bǔ)了靜態(tài)口令存在的各種缺陷。動(dòng)態(tài)口令系統(tǒng)在國(guó)際公開的密碼算法根基上，結(jié)合生成動(dòng)態(tài)口令的特點(diǎn)，加以精心修改，通過數(shù)十次以上的非線性迭代運(yùn)算，完成時(shí)間參數(shù)與密鑰充分的混合擴(kuò)散。在此根基上，采用先進(jìn)的身份認(rèn)證及加解密10流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。本網(wǎng)絡(luò)系統(tǒng)采用南京眾力科技生產(chǎn)的VPN動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)。VPN動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)主要由以下幾個(gè)主要模塊組成：認(rèn)證系統(tǒng)管理員界面、帳號(hào)管理服務(wù)器(UAM)、RADIUS認(rèn)證服務(wù)器、NAS(網(wǎng)絡(luò)接入服務(wù)器采用帶VPN功能的防火墻，例如：NOKIAIP380)、ORACLE數(shù)據(jù)庫(kù)管理系統(tǒng)、VPN客戶端、防

46、火墻管理軟件(例如：NOKIA防火墻軟件CheekPointExpress)。VPN用戶從頂temet遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)，需要對(duì)用戶身份進(jìn)展認(rèn)證，允許合法的用戶訪問網(wǎng)絡(luò)，不合法的用戶不允許訪問。密碼通過遠(yuǎn)程網(wǎng)絡(luò)傳輸有被黑客攔截的不安全，而采用動(dòng)態(tài)口令作為密碼，真正做到一次一密，即每次用戶通過身份認(rèn)證后本次密碼立即失效。用戶下次登錄時(shí)，通過VPN客戶端獲得新的密碼，并通過手機(jī)短信將新密碼發(fā)送給用戶。采用該方案后，在中小型公司的認(rèn)證系統(tǒng)中能夠?qū)崿F(xiàn)：1.密鑰/時(shí)間雙因素的身份認(rèn)證機(jī)制;2.登錄口令隨時(shí)間變化;3.口令使用次數(shù)和時(shí)效自由控制，有效抵御重播攻擊行為;4.開放的應(yīng)用程序接口，與應(yīng)用系統(tǒng)方便集

47、成;5.使用經(jīng)過國(guó)家認(rèn)可的自主密碼算法，具有優(yōu)秀的安全性;6.提供客戶端設(shè)備與認(rèn)證服務(wù)器之間的時(shí)間補(bǔ)償機(jī)制，提高系和可用性7.用戶端設(shè)備設(shè)計(jì)小巧，性能穩(wěn)定，使用方便;8.提供完善靈活的安全事件日志審計(jì)和查詢功能。9.網(wǎng)絡(luò)數(shù)據(jù)流竊聽(Sniffer)10.認(rèn)證信息截取/重放(Reeord/Rplay)11.字典攻擊12.窮舉嘗試(BruteForee)3.2.3訪問控制：防火墻系統(tǒng)防火墻是目前最為流行、使用最廣泛的一種網(wǎng)絡(luò)安全技術(shù)，它的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。防火墻主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)展

48、的信息存取、傳遞操作。防火墻是一種隔離控制技術(shù)，可以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。通過在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊數(shù)據(jù)，根據(jù)預(yù)先設(shè)定的安全規(guī)那么，提供一種安全的網(wǎng)間網(wǎng)數(shù)據(jù)通訊?，F(xiàn)在市場(chǎng)上的防火墻產(chǎn)品品種繁多，例如全球領(lǐng)先的網(wǎng)絡(luò)解決方案供應(yīng)商思科公司、Checkpoint 軟件技術(shù)公司11、網(wǎng)屏技術(shù)公司，天融信、東軟等。防火墻主要有三種類型：包過濾型、代理服務(wù)器型、全狀態(tài)包過濾型。防火墻的使用是非常靈活的，可以在以太網(wǎng)絡(luò)的任意部位進(jìn)展鏈路上分割，構(gòu)成安全的網(wǎng)絡(luò)范圍。中小型公司安全網(wǎng)由多個(gè)具有不同安全信任度的網(wǎng)絡(luò)局部構(gòu)成

49、，在控制不可信連接、分辨非法訪問、區(qū)分身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。防火墻能夠支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle數(shù)據(jù)庫(kù)、Sybase數(shù)據(jù)庫(kù)、SQL數(shù)據(jù)庫(kù)等主流應(yīng)用。當(dāng)然，對(duì)不同的控制點(diǎn)，對(duì)防火墻的要求會(huì)不完全一樣。有效地反映網(wǎng)絡(luò)攻擊，保證網(wǎng)絡(luò)系統(tǒng)及其業(yè)務(wù)的可用性、可靠性。要適合中小型公司網(wǎng)絡(luò)接入模式、接口標(biāo)準(zhǔn)、帶寬要求，防火墻不能成為網(wǎng)絡(luò)或業(yè)務(wù)的瓶頸。防火墻要符合國(guó)家相關(guān)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。防火墻要具有很高的可靠性，不會(huì)降低網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的可靠性。深層日志及靈活、強(qiáng)大審計(jì)分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進(jìn)展日志選項(xiàng)(

50、不做日志、通信日志(即傳統(tǒng)的日志)、應(yīng)用層協(xié)議日志、應(yīng)用層內(nèi)容日志)。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)信息，可詳細(xì)審計(jì)命令級(jí)操作，便于入侵行為的分析和追蹤，通過分析此數(shù)據(jù)狀態(tài)來判斷是否讓鏈接通過12。大大提高防火墻的審計(jì)分析的有效性。更好地支持業(yè)界公認(rèn)的TOPSEC協(xié)議，防火墻應(yīng)具有聯(lián)動(dòng)功能，能夠?qū)崿F(xiàn)與入侵檢測(cè)設(shè)備的通訊。采用獨(dú)創(chuàng)的最新最先進(jìn)核檢測(cè)技術(shù)，即基于OS內(nèi)核的會(huì)話檢測(cè)技術(shù)，在OS內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層訪問控制。它相對(duì)于包過濾和應(yīng)用代理防火墻來講，不但更加成功地實(shí)現(xiàn)了對(duì)應(yīng)用層的細(xì)粒度控制，同時(shí)，更有效保證了防火墻的性能。第四章 網(wǎng)絡(luò)服務(wù)器的安裝與配置4.1網(wǎng)絡(luò)配置4.1.1 VLAN配置如以以下圖4.1所

51、示：圖4.1 VLAN配置4.1.2 路由配置如以以下圖4. 2所示圖4.2 路由配置4.2 服務(wù)器配置4.2.1 DNS配置1.在“Windows組建向?qū)Т翱谔砑印熬W(wǎng)絡(luò)服務(wù)中的“域名系統(tǒng)DNS并安裝，過程如以以下圖4.3-4.4所示。圖4.3組件向?qū)D4.4網(wǎng)絡(luò)服務(wù)2.翻開“開場(chǎng)菜單，單擊“程序“管理工具“DNS命令，翻開DNS窗口，選擇要?jiǎng)?chuàng)立搜索區(qū)域的DNS服務(wù)器，如以以下圖4.5所示。圖4.5新建區(qū)域向?qū)?.單擊“操作“創(chuàng)立新區(qū)域命令，系統(tǒng)啟動(dòng)“新建區(qū)域向?qū)?duì)框，該向?qū)⒁龑?dǎo)用戶創(chuàng)立新區(qū)域，如以以下圖4.6所示。圖4.6區(qū)域類型4.單擊“下一步，步驟如以以下圖4.7-4.9所示。圖4.7

52、區(qū)域名稱圖4.8創(chuàng)立新區(qū)域文件圖4.9完成新建區(qū)域向?qū)?.2.2 HTTP配置1.在“Windows組建向?qū)Т翱谔砑印皯?yīng)用程序服務(wù)器中的“IIS并安裝，過程如以以下圖4.10-4.11所示。圖4.10組件向?qū)D4.11應(yīng)用程序服務(wù)器2.翻開“開場(chǎng)菜單，單擊“程序“管理工具“IIS管理器，翻開IIS管理器窗口，選擇“默認(rèn)網(wǎng)站“屬性，如以以下圖4.12-4.15所示。圖4.12屬性主目錄圖4.13屬性網(wǎng)站圖4.14屬性目錄安全性圖4.15身份驗(yàn)證方法4.2.3 配置三層交換機(jī)和DHCP服務(wù)器1.配置三層交換機(jī)如圖4.16所示：某網(wǎng)絡(luò)中心采用一臺(tái)DHCP服務(wù)器為用戶分配IP地址，三層交換機(jī)作為DHC

53、P服務(wù)器的中繼，并且為每個(gè)樓宇劃分了不同的Vlan。要求每個(gè)樓宇的計(jì)算機(jī)都能自動(dòng)的獲得自己的IP地址。請(qǐng)配置三層交換機(jī)和DHCP服務(wù)器以實(shí)現(xiàn)上述目的。圖4.16三層交換機(jī)1創(chuàng)立VLAN(缺省為VTP server模式)：Switchvan databaseSwitch(Van)vlan 10 name client1Switch(Vlan)vlan 20 name client2Switch(vlan)vlan30 name client3Switch(vlan)exit2啟用DHCP中繼代理：SwitchenableSwitch#conf tSwitch(Config)#service dh

54、cp3設(shè)置VLAN IP地址：Switch(Config)int vlan10Switch(Config-vlan)ip address 54 Switch(Config-vlan)no shutSwitch(Config-vlan)int vlan 30Switch(Config-vlan)ip address 54 Switch(Config-vlan)no shutSwitch(Config-vlan)exit4將端口添加到VLAN10，20，30中Switch(Config)interface range fa 0/1 - 8Switch(Config-if-range)switchp

55、ort mode accessSwitch(Config-if-range)switchport access vlan 20Switch(Config)interface range fa 0/9 - 16Switch(Config-if-range)switchport mode accessSwitch(Config-if-range)switchport access vlan 30Switch(Config-if-range)exit5設(shè)定DHCP服務(wù)器地址Switch(Config)#ip helper-address 00Switch(Config-vlan)exit6啟用路由S

56、witch (Config)ip routingSwitch (Config) exit7完畢并保存配置Switch#copy run start2.DHCP配置1在“Windows組建向?qū)Т翱谔砑印熬W(wǎng)絡(luò)服務(wù)中的“DHCP并安裝，過程如以以下圖4.17-4.18所示。圖4.17組件向?qū)D4.18網(wǎng)絡(luò)服務(wù)2翻開“開場(chǎng)菜單，單擊“程序“管理工具“DHCP命令，翻開DHCP窗口，選擇要?jiǎng)?chuàng)立作用域的服務(wù)器，單擊“操作“新建作用域命令，系統(tǒng)啟動(dòng)“作用域名對(duì)話框，該向?qū)⒁龑?dǎo)用戶創(chuàng)立新區(qū)域，如以以下圖4.19所示。圖4.19新建作用域3單擊“下一步，步驟如以以下圖4.20-4.23所示。圖4.20添加排除

57、圖4.21租約期限圖4.22設(shè)置默認(rèn)網(wǎng)關(guān)圖4.23vins服務(wù)器4.2.4 FTP配置1.在“Windows組建向?qū)Т翱谔砑印癐IS 中的“FTP服務(wù)并安裝，過程如以以下圖4.24所示。圖4.24信息服務(wù)IIS2.翻開“開場(chǎng)菜單，單擊“程序“管理工具“IIS管理器，翻開IIS管理器窗口，選擇“默認(rèn)FTP站點(diǎn)“屬性，如以以下圖4.25-4.27所示。圖4.25默認(rèn)FTP屬性圖4.26FTP主目錄圖4.27FTP目錄安全性第五章 網(wǎng)絡(luò)調(diào)試5.1 ping命令格式Ping命令是DOS命令中的一種，但使用卻較為廣泛。我們平常使用電腦的時(shí)候可以用ping命令來檢測(cè)網(wǎng)速和連接是否正常等常規(guī)操作13。Pin

58、g命令可以測(cè)試TCP/IP協(xié)議是否安裝正確以及網(wǎng)絡(luò)是否通暢。Ping命令完整格式為：ping -t -a -n count -l length -f -i ttl -v tos -r count -s count -j -Host list | -k Host-list -w timeout destination-list。5.2 調(diào)試過程利用ping命令測(cè)試，假設(shè)連接正常，所有發(fā)送的包均被成功接收，丟包率為0；假設(shè)連接不正常，所有發(fā)送的包均未被成功接收，丟包率為100%。5.3遇到的問題及解決方法5.3.1問題1.本地主機(jī)不能與遠(yuǎn)程主機(jī)通訊 原因：1DNS工作不正常；2沒有連到遠(yuǎn)程主機(jī)的路

59、由；3缺少缺省網(wǎng)關(guān)；4管理拒絕ACL。 2.不能ping遠(yuǎn)程主機(jī) 原因：1ACL；2沒有連到遠(yuǎn)程主機(jī)的路由；3沒有設(shè)置缺省網(wǎng)關(guān)；4遠(yuǎn)程主機(jī)down。3.缺少路由 原因：1沒有正確配置路由協(xié)議；2發(fā)布列表；3被動(dòng)接口；4沒有通告路由的鄰居；5路由協(xié)議版本不一致，鄰居關(guān)系沒有建設(shè)。5.3.2解決方法1. 本地主機(jī)不能與遠(yuǎn)程主機(jī)通訊解決方法：1DNS工作不正常時(shí)，可以在配置DNS主機(jī)的配置和DNS服務(wù)器，使用 nslookup校驗(yàn)DNS服務(wù)器的工作。 2要是在公司的話，遠(yuǎn)程登錄路由器下的電腦，可以用以下的方法：開啟公司計(jì)算機(jī)的遠(yuǎn)程桌面功能，或者安裝Pcanywhere之類的遠(yuǎn)程控制軟件;在公司的路由

60、器上做這臺(tái)計(jì)算機(jī)的端口映射，將上述軟件需要的端口映射出去，如遠(yuǎn)程桌面就是TCP3389;.端口映射根據(jù)路由器品牌型號(hào)的不同設(shè)置區(qū)別比較大，有的叫做端口映射，有的那么叫做特殊服務(wù)之類的，但是都是需要設(shè)置內(nèi)網(wǎng)ip地址和對(duì)應(yīng)端口到外網(wǎng)的ip地址和對(duì)應(yīng)端口就可以了?，F(xiàn)在很少路由器不支持DNS，也許不同的路由器叫不同的名字比方直接稱為動(dòng)態(tài)域名的。3如果網(wǎng)關(guān)設(shè)備支持dhcp，在cmd窗口里運(yùn)行ipconfig/all可以查看網(wǎng)關(guān)如果不支持dhcp，通過用抓包軟件抓包來查看。4本地管理員是有權(quán)限設(shè)置本地文件夾域用戶訪問權(quán)限的，出現(xiàn)拒絕訪問的主要原因在于C盤中有很多目錄，默認(rèn)管理員是沒有權(quán)限寫入的如安全性選項(xiàng)