基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)

……………最新資料推薦…………………基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)最新精品資料整理推薦，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43最新精品資料整理推薦，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43……………最新資料推薦…………………最新精品資料整理推薦，更新于二〇二〇年十二月二十九日2020年12月29日星期二20:40:43畢業(yè)設(shè)計(jì)說(shuō)明書(shū)(論文)作者：學(xué)號(hào)：院系：專(zhuān)業(yè)：題目：指導(dǎo)者：(姓名)(專(zhuān)業(yè)技術(shù)職務(wù))評(píng)閱者：(姓名)(專(zhuān)業(yè)技術(shù)職務(wù))基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第1頁(yè)。年月南基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第1頁(yè)?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第2頁(yè)。畢業(yè)設(shè)計(jì)說(shuō)明書(shū)（論文）中文摘要基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第2頁(yè)。如今，網(wǎng)絡(luò)接入技術(shù)迅猛發(fā)展，有線網(wǎng)絡(luò)已經(jīng)不能滿(mǎn)足企業(yè)對(duì)靈活、快捷、高效辦公的需求。無(wú)線網(wǎng)絡(luò)不受網(wǎng)線和地理位置的束縛，已然成為當(dāng)今現(xiàn)代化企業(yè)網(wǎng)絡(luò)的發(fā)展趨勢(shì)。但是，無(wú)線網(wǎng)相對(duì)于有線網(wǎng)，比較脆弱，而且企業(yè)無(wú)線網(wǎng)有異于一般的家庭無(wú)線網(wǎng)，它的安全性是需要著重考慮的。本文介紹了基于安全的中小企業(yè)無(wú)線網(wǎng)絡(luò)的組建，利用CiscoPacketTracer模擬軟件模擬企業(yè)無(wú)線網(wǎng)基本的構(gòu)架和方案。組建的企業(yè)內(nèi)部網(wǎng)絡(luò)分為三個(gè)層次。核心層，使用三層交換機(jī)進(jìn)行負(fù)載均衡和冗余。匯聚層，依靠訪問(wèn)控制列表（ACL）制訂不同部門(mén)的通信規(guī)則。接入層，劃分虛擬局域網(wǎng)（VLAN）將各部門(mén)的計(jì)算機(jī)分隔開(kāi)來(lái)，通過(guò)無(wú)線設(shè)備將計(jì)算機(jī)接入網(wǎng)絡(luò)中。從功能上將整個(gè)網(wǎng)絡(luò)分為兩個(gè)部分，一是內(nèi)部網(wǎng)絡(luò)，所有部門(mén)的通信以及對(duì)內(nèi)部服務(wù)器的訪問(wèn)都通過(guò)此網(wǎng)絡(luò)，不能與外部通信。另一個(gè)則是能訪問(wèn)外網(wǎng)，面向客戶(hù)的網(wǎng)絡(luò)。這樣極大地提高了內(nèi)網(wǎng)數(shù)據(jù)的安全。為了提高網(wǎng)絡(luò)信息安全性，還布設(shè)防火墻、內(nèi)外地址轉(zhuǎn)換（NAT）、分部與總部建立虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等安全措施。關(guān)鍵字無(wú)線網(wǎng)絡(luò)信息安全安全措施基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第3頁(yè)。畢業(yè)設(shè)計(jì)說(shuō)明書(shū)（論文）外文摘要基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第3頁(yè)。TitleWirelessnetworkstructuresbasedonthesafetyofSMEsAbstractToday,thenetworkaccesstechnologyrapiddevelopmentofwirednetworkcannotmeetthedemandforflexible,fastandefficientoffice.Wirelessnetworkfromtheshacklesofcableandgeographicallocation,hasbecomethedevelopmenttrendoftoday'smodernenterprisenetworks.However,thewirelessnetworkrelativetothecablenetworkisrelativelyweak,differentfrommosthomewirelessnetworkandthewirelessnetwork,itssecurityistheimportantconsideration.Thisarticledescribestheformationofawirelessnetworkbasedonthesafetyofsmallandmediumenterprises,basedonCiscoPacketTracersimulationsoftwaretosimulatetheenterprisewirelessnetworkarchitectureandprograms.Theinternalnetworkisdividedintothreelevels.Thecorelayer,usingthethreeswitchesforloadbalancingandredundancy.Convergencelayer,relyingonaccesscontrollist(ACL)tothedevelopmentofdifferentsectorsofcommunicationrules.Accesslayer,dividedintovirtuallocalareanetwork(VLAN)separatedfromthevariousdepartmentsofcomputer,computerwirelessdevicesaccessthenetwork.Theentirenetworkfromthefunctionwillbedividedintotwoparts,oneistheinternalnetwork,allsectorsofcommunications,andtheinternalserveraccessthroughthisnetworkcannotcommunicatewiththeoutside.Theotherisabletoaccesstheexternalnetwork,customer-orientednetwork.Thisgreatlyimprovesthesecurityofdatawithinthenetwork.Inordertoimprovethesecurityofnetworkinformation,butalsolaidthefirewall,internalandexternaladdresstranslation(NAT),segmentsandheadofficetoestablishavirtualprivatenetwork(VPN)andothersecuritymeasures.KeywordsNetworkSecurity,VLAN,ACL,NAT，VPN目錄前言 1第一章無(wú)線網(wǎng)絡(luò)綜述 21.1無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn) 21.2企業(yè)網(wǎng)絡(luò)的安全誤區(qū) 21.3術(shù)語(yǔ)及相關(guān)縮寫(xiě)解釋 4第二章企業(yè)網(wǎng)絡(luò)安全綜述 52.1相關(guān)設(shè)備的概述 52.2 企業(yè)網(wǎng)應(yīng)用的主要技術(shù) 5第三章網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn) 163.1整體框架說(shuō)明 163.2企業(yè)網(wǎng)內(nèi)部交換機(jī)的配置 173.3防火墻的配置 233.4VPN的配置 26第四章企業(yè)內(nèi)部服務(wù)器的配置 414.1AAA服務(wù)器的配置 414.2WEB服務(wù)器的配置 434.2FTP服務(wù)器的配置 434.3DNS服務(wù)器的配置 444.4E-mail服務(wù)器的配置 444.5DHCP服務(wù)器的配置 44第五章結(jié)束語(yǔ) 455.1畢業(yè)設(shè)計(jì)的難點(diǎn)與創(chuàng)新 455.2畢業(yè)設(shè)計(jì)的收獲 46致

謝 47參考文獻(xiàn) 48附錄：英文技術(shù)資料翻譯 49基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第4頁(yè)?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第4頁(yè)。前言如今社會(huì)信息化發(fā)展迅猛，無(wú)線網(wǎng)絡(luò)技術(shù)支持已日漸成熟。隨著人們對(duì)無(wú)線網(wǎng)絡(luò)的要求和依賴(lài)性越來(lái)越強(qiáng)、現(xiàn)代企業(yè)追求更高的效率和便捷的辦公環(huán)境，有線網(wǎng)絡(luò)已經(jīng)不能滿(mǎn)足現(xiàn)代化企業(yè)的要求。由于無(wú)線網(wǎng)絡(luò)不受網(wǎng)線和地點(diǎn)的束縛，組網(wǎng)效率高，接入速度快，成為企業(yè)組建網(wǎng)絡(luò)的首選。但是企業(yè)無(wú)線網(wǎng)絡(luò)，除了便捷和高效之外，安全也是需要著重考慮的。作為一個(gè)企業(yè)，應(yīng)該保證網(wǎng)絡(luò)數(shù)據(jù)安全性以及具有抵御黑客和病毒攻擊的能力。在組建無(wú)線網(wǎng)絡(luò)時(shí)，保障企業(yè)網(wǎng)絡(luò)安全比其他任何方面都要重要。無(wú)線網(wǎng)絡(luò)依靠無(wú)線電波來(lái)傳輸數(shù)據(jù)，理論上無(wú)線電波范圍內(nèi)的任何一臺(tái)設(shè)備都可以登錄并監(jiān)聽(tīng)無(wú)線網(wǎng)絡(luò)。如果企業(yè)內(nèi)部網(wǎng)絡(luò)的安全措施不夠嚴(yán)密，則完全有可能被竊聽(tīng)、瀏覽甚至操作。為了使授權(quán)設(shè)備可以訪問(wèn)網(wǎng)絡(luò)而非法用戶(hù)無(wú)法截取網(wǎng)絡(luò)信息，無(wú)線網(wǎng)絡(luò)安全就顯得至關(guān)重要。其次，無(wú)線網(wǎng)絡(luò)的穩(wěn)定是也是不容忽視的問(wèn)題。不穩(wěn)定的無(wú)線網(wǎng)非但沒(méi)有體現(xiàn)出它的便捷高效的特點(diǎn)，還影響了企業(yè)的正常運(yùn)轉(zhuǎn)。為了能夠讓內(nèi)部的員工在公司任何地方都可以無(wú)線上網(wǎng)，使用的無(wú)線設(shè)備需要有很強(qiáng)的穿透能力和大的信號(hào)覆蓋范圍。即使企業(yè)存在很多障礙物，強(qiáng)穿透力依然能保證網(wǎng)絡(luò)的穩(wěn)定傳輸。企業(yè)在組建無(wú)線網(wǎng)絡(luò)時(shí)，不應(yīng)完全放棄有線網(wǎng)絡(luò)。而是以有線網(wǎng)絡(luò)為核心，無(wú)線網(wǎng)絡(luò)為接入層，充分利用有線網(wǎng)絡(luò)與無(wú)線網(wǎng)絡(luò)的優(yōu)點(diǎn)，達(dá)到揚(yáng)長(zhǎng)避短的目的。為了保證企業(yè)網(wǎng)絡(luò)的容錯(cuò)率和多樣化，在企業(yè)內(nèi)部應(yīng)備有有線網(wǎng)絡(luò)接口，以供特殊用途。如視頻會(huì)議，文件傳輸?shù)葢?yīng)用對(duì)網(wǎng)絡(luò)的穩(wěn)定性、數(shù)據(jù)傳輸速率和數(shù)據(jù)安全有較高的要求?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第5頁(yè)。

第一章無(wú)線網(wǎng)絡(luò)綜述基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第5頁(yè)。1.1無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)無(wú)線網(wǎng)絡(luò)采用802.11規(guī)范，典型情況下，其傳送信號(hào)時(shí)工作原理與基本的以太網(wǎng)集線器很像：他們都采用雙向通信的形式，為半雙工模式。依靠射頻頻率（RF），通過(guò)天線將無(wú)線電波輻射到周?chē)?02.11協(xié)議組是國(guó)際電工電子工程學(xué)會(huì)（IEEE）為無(wú)線局域網(wǎng)絡(luò)制定的標(biāo)準(zhǔn)。采用2.4GHz和5GHz這兩個(gè)ISM頻段。常見(jiàn)的802.11標(biāo)準(zhǔn)如下：1）802.11b802.11b是應(yīng)用得最為廣泛的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)，它運(yùn)行在2.4GHz射頻頻段，使用直接序列擴(kuò)頻（DSSS）調(diào)制技術(shù)，最大傳輸速率為11Mb/s。另外，也可根據(jù)實(shí)際情況切換到5.5Mbps、2Mbps和1Mbps帶寬，實(shí)際的工作速度一般在5Mb/s左右，與普通的10Base-T規(guī)格有線局域網(wǎng)幾乎是處于同一水平。作為企業(yè)內(nèi)部的設(shè)施，可以基本滿(mǎn)足使用要求。IEEE802.11b使用的是開(kāi)放的2.4GHz頻段，既可作為對(duì)有線網(wǎng)絡(luò)的補(bǔ)充，也可獨(dú)立組網(wǎng)，從而使網(wǎng)絡(luò)用戶(hù)擺脫網(wǎng)線的束縛，實(shí)現(xiàn)真正意義上的移動(dòng)應(yīng)用。2）802.11g802.11g在2．4GHz頻段使用正交頻分復(fù)用（OFDM）調(diào)制技術(shù)，使數(shù)據(jù)傳輸速率提高到20Mbit/s以上；能夠與802.11b的Wi-Fi系統(tǒng)互聯(lián)互通，可共存于同一AP的網(wǎng)絡(luò)里，從而保障了后向兼容性。這樣原有的WLAN系統(tǒng)可以平滑地向高速WLAN過(guò)渡，延長(zhǎng)了802．11b產(chǎn)品的使用壽命，降低了用戶(hù)的投資。3）802.11a基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第6頁(yè)。802.11a的傳輸技術(shù)為多載波調(diào)制技術(shù)。802.11a標(biāo)準(zhǔn)是眾多場(chǎng)合得到廣泛應(yīng)用的802.11b無(wú)線聯(lián)網(wǎng)標(biāo)準(zhǔn)的后續(xù)標(biāo)準(zhǔn)。它工作在5GHzU-NII頻帶，物理層速率可達(dá)54Mb/s，傳輸層可達(dá)25Mbps?？商峁?5Mbps的無(wú)線ATM接口和10Mbps的以太網(wǎng)無(wú)線幀結(jié)構(gòu)接口，以及TDD/TDMA的空中接口；支持語(yǔ)音、數(shù)據(jù)、圖像業(yè)務(wù)；一個(gè)扇區(qū)可接入多個(gè)用戶(hù)，每個(gè)用戶(hù)可帶多個(gè)用戶(hù)終端?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第6頁(yè)。1.2企業(yè)網(wǎng)絡(luò)的安全誤區(qū)1.2防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。1.2.2安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)，殺毒軟件誤區(qū)有以下幾種：1）在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶(hù)端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。2）只要不上網(wǎng)就不會(huì)中毒雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及U盤(pán)等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。3）文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第7頁(yè)。1.2.3基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第7頁(yè)?；趦?nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶(hù)帳戶(hù)管理，如帳戶(hù)密碼、臨時(shí)帳戶(hù)、過(guò)期帳戶(hù)和權(quán)限等方面的管理非常必要了。1.3術(shù)語(yǔ)及相關(guān)縮寫(xiě)解釋VLAN：全稱(chēng)VirtualLocalAreaNetwork，虛擬局域網(wǎng)；ACL：全稱(chēng)AccessControlList，訪問(wèn)控制列表；IDS：全稱(chēng)IntrusionDetectionSystem，入侵檢測(cè)系統(tǒng)；NAT：全稱(chēng)NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換；PAT：全稱(chēng)PortAddressTranslation，即端口地址轉(zhuǎn)換；DMZ：全稱(chēng)DemilitarizedZone，非軍事區(qū)，?；饏^(qū)，隔離區(qū)；VPN:全稱(chēng)VirtualPrivateNetwork，虛擬裝用網(wǎng)；VTP：全稱(chēng)VLANTrunkingProtocol，VLAN中繼協(xié)議?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第8頁(yè)。

第二章企業(yè)網(wǎng)安全的主要技術(shù)基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第8頁(yè)。本章主要講述企業(yè)網(wǎng)里使用到的常用的安全技術(shù)，并對(duì)這些技術(shù)進(jìn)行詳細(xì)的介紹。2.1相關(guān)設(shè)備的概述在企業(yè)網(wǎng)中設(shè)備的選型時(shí)非常重要的，在本設(shè)計(jì)中全部選用的是Cisco的產(chǎn)品設(shè)備。因?yàn)檫x用同一廠商設(shè)備的好處是兼容性比較好，且能夠進(jìn)行統(tǒng)一管理，使管理更加方便。企業(yè)網(wǎng)應(yīng)用的主要技術(shù)2.2.1物理安全物理安全是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞的過(guò)程。物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：機(jī)房環(huán)境安全、通信線路安全、設(shè)備安全，以及電源安全。物理安全重要性和措施主要涉及以下方面：1）保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從以下三個(gè)方面考慮：自然災(zāi)害、物理?yè)p壞和設(shè)備故障電磁輻射、乘機(jī)而入、痕跡泄漏等操作失誤、意外疏漏等基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第9頁(yè)。2）選用合適的傳輸介質(zhì)基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第9頁(yè)。屏蔽式雙絞線的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。3）保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱(chēng)性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿(mǎn)足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿(mǎn)足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。2.2.2VLAN技術(shù)隨著交換技術(shù)的發(fā)展也加快了虛擬局域網(wǎng)的應(yīng)用速度。虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)是以交換式網(wǎng)絡(luò)為基礎(chǔ)，把網(wǎng)絡(luò)上用戶(hù)的終端設(shè)備劃分為若干個(gè)邏輯工作組，每個(gè)邏輯工作組就是一個(gè)VLAN。VLAN就是一個(gè)網(wǎng)絡(luò)設(shè)備或用戶(hù)的邏輯組，該邏輯組是一個(gè)獨(dú)立的邏輯網(wǎng)絡(luò)、單一廣播域，而這個(gè)邏輯組的設(shè)定不受實(shí)際交換機(jī)區(qū)段的限制，也不受用戶(hù)所在的物理位置和物理網(wǎng)段的限制?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第10頁(yè)。在現(xiàn)在的企業(yè)網(wǎng)絡(luò)中都能見(jiàn)到VLAN的身影，VLAN都是一個(gè)獨(dú)立的邏輯網(wǎng)段，一個(gè)獨(dú)立的廣播域，VLAN的廣播信息只發(fā)送給同一個(gè)VLAN的成員，其他VLAN的成員是收不到的，這樣就減小的廣播域的大小，提高了帶寬的利用率。VLAN之間是不能直接通信的必須通過(guò)三層路由功能完成，所以在企業(yè)網(wǎng)絡(luò)中可以按部門(mén)進(jìn)行劃分VLAN，這個(gè)不同的部門(mén)之間的互訪就受到限制，有效保護(hù)了某些敏感部門(mén)的敏感信息不被泄露。VLAN對(duì)于網(wǎng)絡(luò)用戶(hù)來(lái)說(shuō)是完全透明的，用戶(hù)感覺(jué)不到使用中與交換網(wǎng)絡(luò)有任何的差別，但對(duì)于網(wǎng)絡(luò)管理人員則有很大的不同，因?yàn)檫@主要取決于VLAN的幾點(diǎn)優(yōu)勢(shì)：對(duì)網(wǎng)絡(luò)中的廣播風(fēng)暴的控制，提高網(wǎng)絡(luò)的整體安全性，通過(guò)路由訪問(wèn)列表、MAC地址分配等VLAN劃分原則，可以控制用戶(hù)的訪問(wèn)權(quán)限和邏輯網(wǎng)段的大小。網(wǎng)絡(luò)管理的簡(jiǎn)單、直觀?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第10頁(yè)。在企業(yè)網(wǎng)絡(luò)中劃分VLAN可以有多種方式：1）基于端口的VLAN：基于端口的VLAN的劃分是最簡(jiǎn)單、最有效的VLAN劃分方法。該方法只需網(wǎng)絡(luò)管理員針對(duì)于網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可。而不用考慮該端口所連接的設(shè)備是什么。2）基于MAC地址的VLAN：MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN的組合。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案亦不失為一個(gè)好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶(hù)的增加，則會(huì)在很大程度上加大管理的難度。3）基于路由的VLAN：路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類(lèi)設(shè)備包括路由器和路由交換機(jī)。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。劃分好VLAN后一般是把接入層交換機(jī)接入到核心交換機(jī)上，由核心交換機(jī)負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)的路由，如果不采用核心交換機(jī)，而是直接通過(guò)單臂路由的形式接到網(wǎng)絡(luò)出口的路由器或者防火墻上，那么會(huì)給出口路由器或防火墻帶來(lái)負(fù)擔(dān)，如果出口路由器或防火墻性能不強(qiáng)的話(huà)，很有可能造成瓶頸，這樣網(wǎng)絡(luò)的可用性就會(huì)降低。所以一般是建議采用核心交換機(jī)的方式。2.2.3ACL技術(shù)基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第11頁(yè)。訪問(wèn)控制列表ACL(AccessControlList)技術(shù)在路由器中被廣泛采用，它是一種基于包過(guò)濾的流控制技術(shù)。標(biāo)準(zhǔn)訪問(wèn)控制列表通過(guò)把源地址、目的地址及端口號(hào)作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò)。ACL通常應(yīng)用在企業(yè)的出口控制上，可以通過(guò)實(shí)施ACL，可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡(luò)資源的增加，一些企業(yè)已經(jīng)開(kāi)始使用ACL來(lái)控制對(duì)局域網(wǎng)內(nèi)部資源的訪問(wèn)能力，進(jìn)而來(lái)保障這些資源的安全性。基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第11頁(yè)。在企業(yè)網(wǎng)中ACL扮演著很重要的角色，在網(wǎng)絡(luò)中我們可以通過(guò)劃分VLAN來(lái)限制不同VLAN成員的互訪，但如果把二層交換機(jī)接入路由器或者三層交換機(jī)，那么原來(lái)不同VLAN是不通的，現(xiàn)在不同VLAN之間也能通信，那么原來(lái)通過(guò)劃分VLAN來(lái)使不同VLAN之間不能通信已經(jīng)行不通了。在這就要使用ACL來(lái)控制了。使用ACL的好處還有就是可以控制用戶(hù)對(duì)主機(jī)或服務(wù)器的訪問(wèn)，即對(duì)于一臺(tái)服務(wù)器那些用戶(hù)可以訪問(wèn)而那些用戶(hù)不能訪問(wèn)。這樣就進(jìn)一步增加了企業(yè)網(wǎng)內(nèi)部的安全。就我們現(xiàn)在的IP網(wǎng)絡(luò)來(lái)說(shuō)ACL技術(shù)可以分為一下幾種：1）標(biāo)準(zhǔn)IP訪問(wèn)控制列表一個(gè)標(biāo)準(zhǔn)IP訪問(wèn)控制列表匹配IP包中的源地址或源地址中的一部分，可對(duì)匹配的包采取拒絕或允許兩個(gè)操作。編號(hào)范圍是從1~99以及1300~1999的訪問(wèn)控制列表是標(biāo)準(zhǔn)IP訪問(wèn)控制列表。一般來(lái)說(shuō)標(biāo)準(zhǔn)的ACL放置在靠近目的的路由器或三層交換機(jī)上。2）擴(kuò)展IP訪問(wèn)控制列表擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng)，包括協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100~199以及2000~2699的訪問(wèn)控制列表是擴(kuò)展IP訪問(wèn)控制列表。一般來(lái)說(shuō)擴(kuò)展的ACL放置在靠近源的路由器或者三層交換機(jī)上。3）命名IP訪問(wèn)控制列表所謂命名的IP訪問(wèn)控制列表是以列表名代替列表編號(hào)來(lái)定義IP訪問(wèn)控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式中相似。本設(shè)計(jì)中在CiscoCatalyst3640核心交換機(jī)上配置擴(kuò)展的ACL使得其他的部門(mén)無(wú)法訪問(wèn)財(cái)務(wù)部門(mén)，ACL的應(yīng)用范圍很廣，在本設(shè)計(jì)中總部與分布之間建立IPSecVPN是就需要使用ACL來(lái)定義感興趣的流量，只有感興趣的流量才會(huì)進(jìn)入VPN隧道。2.2.4NAT技術(shù)基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第12頁(yè)。到目前為止全球的IPv4的地址已經(jīng)耗盡，現(xiàn)在的地址缺乏或者說(shuō)已經(jīng)沒(méi)有空余的IPv4的地址了，那么企業(yè)網(wǎng)絡(luò)中有很多主機(jī)需要訪問(wèn)Internet，為每一臺(tái)主機(jī)分配一個(gè)公網(wǎng)地址那是不可能的事。所以借助于NAT(NetworkAddressTranslation)技術(shù)，私有(保留)地址的"內(nèi)部"網(wǎng)絡(luò)通過(guò)路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址(甚至是1個(gè))即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址，IP地址校驗(yàn)則在NAT處理過(guò)程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文進(jìn)行修改，以匹配IP頭中已經(jīng)修改過(guò)的源IP地址。否則，在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第12頁(yè)。NAT實(shí)現(xiàn)方式有以下三種：1）靜態(tài)轉(zhuǎn)換(StaticNat)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。2）動(dòng)態(tài)轉(zhuǎn)換(DynamicNat)將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。3）端口多路復(fù)用(Overload)改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。另外，在NAT中經(jīng)常使用的術(shù)語(yǔ)：1）內(nèi)部局部地址（InsideLocalAddress）：在內(nèi)部網(wǎng)絡(luò)使用的地址，是私有地址。2）內(nèi)部全局地址（InsideGlobalAddress）：用來(lái)替代一個(gè)或多個(gè)本地IP地址的、對(duì)外的、向NIC注冊(cè)過(guò)的地址?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第13頁(yè)。3）外部局部地址（OutsideLocalAddress）：一個(gè)外部主機(jī)相對(duì)于內(nèi)部網(wǎng)絡(luò)所用的IP地址、不一定是合法的地址?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第13頁(yè)。4）外部全局地址（OutsideGlobalAddress）：外部網(wǎng)絡(luò)主機(jī)的合法地址。NAT還可以用于端口映射，在企業(yè)網(wǎng)中服務(wù)器群一般是放置在DMZ區(qū)域中，使用的是私有地址，如果某臺(tái)服務(wù)器要向外網(wǎng)發(fā)布服務(wù)的時(shí)候就需要在網(wǎng)絡(luò)出口的路由器和防火墻上做端口映射，這樣外網(wǎng)用戶(hù)就可以通過(guò)訪問(wèn)企業(yè)的公網(wǎng)IP，就能夠訪問(wèn)到內(nèi)網(wǎng)的服務(wù)器。2.2.5VPN技術(shù)現(xiàn)在很多企業(yè)都有分支機(jī)構(gòu)而且分支機(jī)構(gòu)和總部都在異地，企業(yè)網(wǎng)的內(nèi)部網(wǎng)絡(luò)可以通過(guò)各種手段來(lái)保證安全，那么總部與分部之間傳輸?shù)臄?shù)據(jù)怎樣才能保證其安全呢。這里就可以采用VPN（VirtualPrivateNetwork）技術(shù)，VPN技術(shù)是在公網(wǎng)上建立一個(gè)臨時(shí)的，安全的連接，是一條穿越混亂的公用網(wǎng)絡(luò)的安全的穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行加密達(dá)到安全使用互聯(lián)網(wǎng)的目的。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN可以通過(guò)特殊加密的通訊協(xié)議連接到Internet上，在位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線路，就好比是架設(shè)了一條專(zhuān)線一樣，但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線路，可以節(jié)約成本。VPV按照所使用的隧道協(xié)議大致有以下幾種：1）PPTP（PointtoPointProtocol）PPTP屬于OSI第二層隧道協(xié)議，該協(xié)議會(huì)把網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包放進(jìn)IP封包，包裝好的封包看起來(lái)就像正常的IP封包一樣，所有遇到該封包的路由器或機(jī)器都會(huì)把它視為一個(gè)IP封包，以一般正常IP封包的方式來(lái)處理它。PPTP使用TCP（傳輸控制協(xié)議）連接的創(chuàng)建，維護(hù)，與終止隧道，并使用GRE(通用路由封裝)將PPP幀封裝成隧道數(shù)據(jù)。被封裝后的PPP幀的有效載荷可以被加密或者壓縮或者同時(shí)被加密與壓縮。PPTP的使用比較簡(jiǎn)單如MicrosoftWindows等操作系統(tǒng)就自帶PPTP。另外，PPTPVPN使用的身份驗(yàn)證有以下幾種方法?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第14頁(yè)。（1）PAP口令驗(yàn)證協(xié)議是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS（網(wǎng)絡(luò)接入服務(wù)器，NetworkAccessServer）要求用戶(hù)提供用戶(hù)名和口令，PAP以明文方式返回用戶(hù)信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶(hù)名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶(hù)密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第14頁(yè)。（2）CHAP身份驗(yàn)證CHAP通過(guò)使用MD5（一種工業(yè)標(biāo)準(zhǔn)的散列方案）來(lái)協(xié)商一種加密身份驗(yàn)證的安全形式。CHAP在響應(yīng)時(shí)使用質(zhì)詢(xún)-響應(yīng)機(jī)制和單向MD5散列。用這種方法，可以向服務(wù)器證明客戶(hù)機(jī)知道密碼，但不必實(shí)際地將密碼發(fā)送到網(wǎng)絡(luò)上。（3）MS-CHAP同CHAP相似，微軟開(kāi)發(fā)MS-CHAP是為了對(duì)遠(yuǎn)程Windows工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢(xún)-響應(yīng)機(jī)制和單向加密。而且MS-CHAP不要求使用原文或可逆加密密碼。（4）MS-CHAPv2MS-CHAPv2是微軟開(kāi)發(fā)的第二版的質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用MS-CHAPv2作為唯一的身份驗(yàn)證方法，那么客戶(hù)端和服務(wù)器端都要證明其身份，如果所連接的服務(wù)器不提供對(duì)自己身份的驗(yàn)證，則連接將被斷開(kāi)。值得注意的是。VPN服務(wù)端和VPN客戶(hù)端之間一定要采用相同的身份驗(yàn)證，比如VPN服務(wù)端選擇了MS-CHAP2，那么相應(yīng)的VPN客戶(hù)端也要選擇MS-CHAP2，否則無(wú)法連接。2）L2TP（LayerTwoTunnelingProtocol）L2TP是結(jié)合L2F（Layer-2Forwarding）和PPTP的協(xié)議，L2TP也屬于二層隧道協(xié)議。L2TP使用兩種類(lèi)型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶(hù)數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶(hù)身份認(rèn)證。在安全性考慮上，L2TP僅定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。L2TP的使用比較簡(jiǎn)單如MicrosoftWindows等操作系統(tǒng)就自帶PPTP。3）IPSec（IPSecurity）基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第15頁(yè)。IPSec是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，他是在隧道外面再封裝，保證了隧在傳輸過(guò)程中的安全。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密和認(rèn)證，正是這一點(diǎn)才使IPSec可以確保包括遠(yuǎn)程登錄，電子郵件，文件傳輸及WEB訪問(wèn)在內(nèi)多種應(yīng)用程序的安全。IPSec協(xié)議包括IKE協(xié)商程序，可為IPSec產(chǎn)生密鑰，其它還包括算法、密鑰長(zhǎng)度、轉(zhuǎn)碼程序以及算法專(zhuān)用的資訊，而協(xié)商時(shí)常使用的參數(shù)則被歸類(lèi)在一個(gè)單獨(dú)的文件中。IPSec它不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。該體系結(jié)構(gòu)包括認(rèn)證頭協(xié)議（AuthenticationHeader，簡(jiǎn)稱(chēng)為AH），AH是一種為IPSec提供數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證和可選的防重放功能特性的體系框架。不提供數(shù)據(jù)機(jī)密性因此數(shù)據(jù)可以被偷窺，因此一般和ESP配合使用利用HMAC驗(yàn)證完整。封裝安全負(fù)載協(xié)議（EncapsulatingSecurityPayload，簡(jiǎn)稱(chēng)為ESP）ESP是一種為IPSec提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、數(shù)據(jù)源驗(yàn)證、和可選的防重放功能特性的體系框架。密鑰管理協(xié)議（InternetKeyExchange，簡(jiǎn)稱(chēng)為IKE）動(dòng)態(tài)的更改IPSec參數(shù)和密鑰的機(jī)制通過(guò)自動(dòng)的密鑰交換/更新機(jī)制來(lái)防止IPSec會(huì)話(huà)的密鑰被攻擊使得IPSec具備良好的擴(kuò)展性。在2個(gè)端點(diǎn)自動(dòng)建立SASA是2個(gè)對(duì)等體之間協(xié)商參數(shù)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第15頁(yè)。4）SSL（SecureSocketLayer）SSL是高層協(xié)議，是第四層隧道協(xié)議，SSLVPN和其他的VPN最大的不通之處就是客戶(hù)端只需要有瀏覽器就可以工作，不需要安裝其他的客戶(hù)端軟件，是VPN的可用性大大提高。SSL利用內(nèi)置在每個(gè)Web瀏覽器中的加密和驗(yàn)證功能，并與安全網(wǎng)關(guān)相結(jié)合，提供安全遠(yuǎn)程訪問(wèn)企業(yè)應(yīng)用的機(jī)制，這樣，遠(yuǎn)程移動(dòng)用戶(hù)可以輕松訪問(wèn)公司內(nèi)部B/S和C/S應(yīng)用及其他核心資源。在本設(shè)計(jì)中總部已分部之間可以使用總部->分部這樣的方式在總部路由器和分部路由器之間建立一條IPSecVPN通道，移動(dòng)客戶(hù)端可以使用PPTP、L2TP或者EasyVPN與總部互聯(lián)。2.2.6防火墻技術(shù)對(duì)于企業(yè)網(wǎng)來(lái)說(shuō)最重要的就是防火墻，防火墻可以提高安全和減少外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅。如果沒(méi)有防火墻內(nèi)網(wǎng)中的主機(jī)就會(huì)暴露于網(wǎng)絡(luò)中，很容易遭受黑客的攻擊。防火墻更具用戶(hù)設(shè)定的安全規(guī)則，對(duì)進(jìn)入內(nèi)網(wǎng)以及出外網(wǎng)的數(shù)據(jù)包進(jìn)行檢測(cè)，一旦發(fā)現(xiàn)威脅就斷開(kāi)連接，使內(nèi)部網(wǎng)絡(luò)避免被黑客的攻擊。如今的防火墻各式各樣，但總體來(lái)講可以分為“包過(guò)濾型”和“應(yīng)用代理型”兩大類(lèi):1）包過(guò)濾型基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第16頁(yè)。包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類(lèi)型等標(biāo)志確定是否允許通過(guò)。只有滿(mǎn)足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。如下圖2-1所示?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第16頁(yè)。圖2-1包過(guò)濾防火墻示意圖包過(guò)濾方式是一種通用、廉價(jià)和有效的安全手段。之所以通用，是因?yàn)樗皇轻槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)；之所以廉價(jià)，是因?yàn)榇蠖鄶?shù)路由器都提供數(shù)據(jù)包過(guò)濾功能，所以這類(lèi)防火墻多數(shù)是由路由器集成的；之所以有效，是因?yàn)樗芎艽蟪潭壬蠞M(mǎn)足了絕大多數(shù)企業(yè)安全要求。2）應(yīng)用代理型應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。其特點(diǎn)是完全"阻隔"了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖2-2所示。圖2-2應(yīng)用代理防火墻示意圖基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第17頁(yè)。代理類(lèi)型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過(guò)濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過(guò)濾?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第17頁(yè)。另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專(zhuān)門(mén)的代理，所以?xún)?nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過(guò)代理服務(wù)器審核，通過(guò)后再由代理服務(wù)器代為連接，根本沒(méi)有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話(huà)的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類(lèi)型的攻擊方式入侵內(nèi)部網(wǎng)。2.2.7企業(yè)版殺毒軟件1）企業(yè)版殺毒軟件介紹網(wǎng)絡(luò)版殺毒軟件的一個(gè)最大的特點(diǎn)就是可以整個(gè)網(wǎng)絡(luò)主機(jī)和服務(wù)器同步殺毒，這對(duì)于網(wǎng)絡(luò)病毒橫行的今天來(lái)說(shuō)尤其重要。因?yàn)樵诰W(wǎng)絡(luò)中只要有一臺(tái)主機(jī)感染了病毒，則很可能在全網(wǎng)絡(luò)主機(jī)上感染。另外，網(wǎng)絡(luò)版實(shí)現(xiàn)全網(wǎng)絡(luò)服務(wù)器和客戶(hù)端程序同步更新。還有一個(gè)管理中心控制臺(tái)，可以對(duì)整個(gè)網(wǎng)絡(luò)的服務(wù)器端和客戶(hù)端程序集中管理，實(shí)現(xiàn)全網(wǎng)絡(luò)的同步更新和殺毒。2）企業(yè)版殺毒軟件的實(shí)施這里選用SymantecEndpointProtection，它是為各種簡(jiǎn)單或復(fù)雜網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的計(jì)算機(jī)病毒網(wǎng)絡(luò)防護(hù)系統(tǒng)，即適用于包含若干臺(tái)主機(jī)的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEB服務(wù)器、郵件服務(wù)器、應(yīng)用服務(wù)器，以及分布在不同城市，包含數(shù)十萬(wàn)臺(tái)主機(jī)的超大型網(wǎng)絡(luò)。SymantecEndpointProtection具有以下顯著特點(diǎn)：先進(jìn)的體系結(jié)構(gòu)超強(qiáng)的殺毒能力完備的遠(yuǎn)程控制方便的分級(jí)、分組管理基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第18頁(yè)。主控制中心部署在DMZ服務(wù)器區(qū)，子控制中心部署在3層交換機(jī)上面。如圖2-3所示?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第18頁(yè)。圖2-3企業(yè)版殺毒軟件示意圖控制中心負(fù)責(zé)整個(gè)SymantecEndpointProtection的管理與控制，是整個(gè)SymantecEndpointProtection的核心，在部署SymantecEndpointProtection網(wǎng)絡(luò)時(shí)，必須首先安裝。除了對(duì)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行日常的管理與控制外，它還實(shí)時(shí)地記錄著SymantecEndpointProtection防護(hù)體系內(nèi)每臺(tái)計(jì)算機(jī)上的病毒監(jiān)控、查殺病毒和升級(jí)等信息。在1個(gè)網(wǎng)段內(nèi)僅允許安裝1臺(tái)控制中心。根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要完成控制中心的功能外，還要負(fù)責(zé)與它的上級(jí)——主控制中心進(jìn)行通信。這里的“主”和“子”是一個(gè)相對(duì)的概念：每個(gè)控制中心對(duì)于它的下級(jí)的網(wǎng)段來(lái)說(shuō)都是主控制中心，對(duì)于它的上級(jí)的網(wǎng)段來(lái)說(shuō)又是子控制中心，這種控制結(jié)構(gòu)可以根據(jù)網(wǎng)絡(luò)的需要無(wú)限的延伸下去?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第19頁(yè)。

第三章網(wǎng)絡(luò)安全的設(shè)計(jì)與實(shí)現(xiàn)基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第19頁(yè)。本章主要對(duì)網(wǎng)絡(luò)系統(tǒng)的整體框架進(jìn)行設(shè)計(jì)，并實(shí)現(xiàn)企業(yè)內(nèi)部局域網(wǎng)的搭建，VLAN間通信，DMZ區(qū)服務(wù)器交換機(jī)搭建，出口防火墻的安全配置以及VPN等。3.1整體框架說(shuō)明將企業(yè)內(nèi)部網(wǎng)和服務(wù)器組成分別置于PIX防火墻的inside口和DMZ口相連接，防火墻的outside端口連接ISP的Internet接入。對(duì)于三個(gè)端口的權(quán)限設(shè)置為：outside為0、DMZ為50、inside為100（最高）。在PIX防火墻上激活網(wǎng)絡(luò)入侵檢測(cè)IDS系統(tǒng)，提供對(duì)多個(gè)網(wǎng)絡(luò)的入侵檢測(cè)，一旦發(fā)現(xiàn)網(wǎng)絡(luò)中存在供給行為或非正常數(shù)據(jù)包，防火墻將會(huì)報(bào)警并且在Log中留下記錄。內(nèi)部網(wǎng)使用兩臺(tái)CiscoCatalyst3640交換機(jī)提供的VLAN技術(shù)和虛擬訪問(wèn)控制列表VACL等安全交換技術(shù)，以及使用生成樹(shù)做冗余。同時(shí)通過(guò)合理的IP地址分配策略和路由策略，在接入層交換機(jī)上使用端口安全技術(shù)來(lái)對(duì)用戶(hù)的接入進(jìn)行控制。服務(wù)器群應(yīng)該是通過(guò)一臺(tái)CiscoCatalyst3640交換機(jī)連接到防火墻的DMZ端口，并為之獨(dú)立的分配一個(gè)VLAN，通過(guò)在防火墻做端口映射把內(nèi)網(wǎng)需要發(fā)布的服務(wù)器發(fā)布到外網(wǎng)，同時(shí)通過(guò)防火墻上的訪問(wèn)控制列表ACL和訪問(wèn)端口數(shù)據(jù)監(jiān)控等安全技術(shù)提供對(duì)服務(wù)器的安全控制。基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第20頁(yè)。對(duì)于外網(wǎng)接入，在防火墻上配置安全策略，允許外部連接可以到達(dá)指定服務(wù)器的服務(wù)端口，同時(shí)定義安全規(guī)則，允許指定的應(yīng)用數(shù)據(jù)包通過(guò)防火墻。在防火墻上配置VPN服務(wù)允許企業(yè)分部通過(guò)安全的VPN通道訪問(wèn)企業(yè)內(nèi)部網(wǎng)。對(duì)于需要利用遠(yuǎn)程訪問(wèn)接入企業(yè)內(nèi)部網(wǎng)的用戶(hù)，DMZ區(qū)放置AAA為控制管理路由器權(quán)限的工具，限制登錄路由器用戶(hù)的權(quán)限。還有就是在防火墻上要配置NAT來(lái)代理內(nèi)部網(wǎng)絡(luò)訪問(wèn)Interne，企業(yè)網(wǎng)總體拓?fù)淙鐖D3-1所示。基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第20頁(yè)。圖3-1企業(yè)總拓?fù)鋱D3.2企業(yè)網(wǎng)內(nèi)部交換機(jī)的配置本設(shè)計(jì)中該企業(yè)網(wǎng)絡(luò)使用的接入層交換機(jī)是CiscoCatalyst2960，其特性是端口速率是100Mb/s，支持全雙工模式，本設(shè)計(jì)中企業(yè)內(nèi)部網(wǎng)拓?fù)淙鐖D3-2所示?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第21頁(yè)。圖3-2企業(yè)內(nèi)部網(wǎng)拓?fù)鋱D基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第21頁(yè)。如圖3-2所示，該企業(yè)網(wǎng)的接入層是由CiscoCatalyst2960交換機(jī)組成，匯聚層和核心層劃在一起使用兩臺(tái)CiscoCatalyst3640，Catalyst3640特點(diǎn)是端口速率為100Mb/s，支持雙工模式，而且路由功能是由硬件完成的能夠?qū)崿F(xiàn)更快的轉(zhuǎn)發(fā)速度。這樣可以減少企業(yè)購(gòu)買(mǎi)設(shè)備的開(kāi)銷(xiāo)，以及連接到交換機(jī)上的計(jì)算機(jī)構(gòu)成；從邏輯上看，內(nèi)部網(wǎng)包括四個(gè)VLAN，分別對(duì)應(yīng)四個(gè)IP段：VLAN1O：/24VLAN20：/24VLAN30：/24VLAN40：/24內(nèi)部網(wǎng)的核心是Ciscocatalyst3640交換機(jī)，它將與PIX防火墻的inside口相連接。Coreswitch1和Coreswitch2的預(yù)期功能是：建立四個(gè)VLAN，分別為VLAN10,VLAN20,VLAN30,VLAN40。啟用三層交換功能做VLAN間路由，并配置訪問(wèn)列表，使VLAN20、VLAN30、VLAN40能夠訪問(wèn)VLAN10，但不能互相訪問(wèn)。Coreswitch1為VLAN10、VLAN20、VLAN30、VLAN40提供DHCP服務(wù)。在Coreswitch1和Coreswitch2以及接入層交換機(jī)之間配置生成樹(shù)，提高網(wǎng)絡(luò)的可靠性。做端口安全，限制每個(gè)接二層交換機(jī)的每個(gè)端口只能接1臺(tái)主機(jī)。下面將對(duì)它的配置進(jìn)行詳細(xì)的說(shuō)明：3.2.1接入層交換機(jī)打開(kāi)Catalyst2960交換機(jī)的Console口連接，進(jìn)入特權(quán)模式進(jìn)行配置。這里以接入層的SW0交換機(jī)為例，配置如下：hostnameSW0/*將該交換機(jī)命名為SW0vlandatabase/*進(jìn)入vlan數(shù)據(jù)庫(kù)vlan10namecaiwu/*創(chuàng)建vlan10并將其命名為caiwuexit/*退出并保存interfaceFastEthernet0/0/*將F0/0口設(shè)置為T(mén)runk口switchportmodetrunkinterfaceFastEthernet0/1/*將F0/1口設(shè)置為T(mén)runk口switchportmodetrunk基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第22頁(yè)。interfaceFastEthernet0/2/將F0/2口劃分到vlan10中基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第22頁(yè)。switchportaccessvlan10interfaceFastEthernet0/3/將F0/3口劃分到vlan10中switchportaccessvlan10將SW0交換機(jī)上的Fastethernet0/2和Fastethernet0/3劃分到VLAN10，也就是劃分到財(cái)務(wù)部，在SW1上把fastethernet0/3-4端口劃分到VLAN20里，在SW5上把fastethernet0/3-4端口劃分到VLAN30里，在SW6上把fastethernet0/3-4劃分到VLAN40里。3.2.2交換機(jī)端口安全配置中通過(guò)maximum參數(shù)來(lái)設(shè)置交換機(jī)的一個(gè)端口最多允許幾臺(tái)PC接入，對(duì)于接入的MAC地址可以選擇粘性學(xué)習(xí)或者自己手工指定MAC地址。為了減小配置時(shí)間，本設(shè)計(jì)中將其設(shè)置成sticky粘性學(xué)習(xí)。在SW0上配置端口安全：interfacerangefastEthernet0/2-3/*進(jìn)入fastEthernet0/2至3switchportport-security/*啟動(dòng)端口安全switchportport-securitymaximum1/*允許最大MAC地址數(shù)switchportport-securitymac-addresssticky/*設(shè)置MAC地址的方式為粘性學(xué)習(xí)3.2.3在確保二層交換機(jī)配置完成后并檢查配置無(wú)誤后，進(jìn)行三層交換機(jī)的配置。在三層交換機(jī)上配置內(nèi)部網(wǎng)絡(luò)里所有的VLAN，并給每個(gè)VLAN配置一個(gè)網(wǎng)關(guān)。以Coreswitch1配置為例，Coreswitch1的vlan配置如下：vlandatabase/*進(jìn)入vlan配置模式vlan10namecaiwu/*新建vlan10并命名為caiwuvlan20namejishu/*新建vlan20并命名為jishuvlan30namexiaoshou/*新建vlan30并命名為xiaoshouvlan40nameshouhou/*新建vlan40并命名為shouhouexit/*退出vlan配置模式自動(dòng)保存vlan信息interfacevlan10ipaddress/*配置vlan10的網(wǎng)關(guān)interfacevlan20ipaddress/*配置vlan20的網(wǎng)關(guān)interfacevlan30ipaddress/*配置vlan30的網(wǎng)關(guān)interfacevlan40ipaddress/*配置vlan40的網(wǎng)關(guān)exit基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第23頁(yè)。基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第23頁(yè)。3.2.4DHCP服務(wù)可以為內(nèi)網(wǎng)的主機(jī)自動(dòng)分配地址信息，可以大大簡(jiǎn)化對(duì)網(wǎng)絡(luò)的管理，而且可以避免有些用戶(hù)因不會(huì)配置TCP/IP協(xié)議而導(dǎo)致無(wú)法上網(wǎng)的問(wèn)題。在本設(shè)計(jì)中DHCP服務(wù)是由Coreswitch1來(lái)承擔(dān)，下面以caiwu部門(mén)配置的DHCP為例。首先要為caiwu部門(mén)配置一個(gè)DHCP的用來(lái)分配給客戶(hù)機(jī)地址池，地址池配置完成后還需要配置一些基本的信息，如默認(rèn)網(wǎng)關(guān)和DNS服務(wù)器的地址。Coreswitch1配置DHCP如下：ipdhcppoolcaiwu/*為caiwu部門(mén)配置DHCP服務(wù)network/*分配地址池/24default-router/*設(shè)置默認(rèn)網(wǎng)關(guān)dns-server9/*設(shè)置DNS服務(wù)器地址exitDHCP配置完成后內(nèi)網(wǎng)的主機(jī)就可以自動(dòng)獲取到IP地址，圖3-3為內(nèi)網(wǎng)的一臺(tái)Windows2000Professional屬于caiwu部門(mén)自動(dòng)獲取的IP地址為。圖3-3caiwu部門(mén)主機(jī)自動(dòng)獲得的IP地址3.2.5基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第24頁(yè)。本設(shè)計(jì)中使用的動(dòng)態(tài)路由協(xié)議是OSPF（OpenShortestPathFirst，開(kāi)放最短鏈路優(yōu)先）路由協(xié)議，因?yàn)镺SPF協(xié)議有很多特點(diǎn)，比如收斂速度快、無(wú)路由環(huán)路、支持VLSM和CIDR、支持認(rèn)證等，更重要的是OSPF是開(kāi)放的路由協(xié)議支持不同廠商的設(shè)備互聯(lián)。在這里Coreswitch1的fastethernet0/15口與Headquarter路由器的fastethernetf2/0口相連，所以需要把fastethernet0/15口設(shè)置成三層接口，并分配一個(gè)IP地址?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第24頁(yè)。Coreswitch1配置如下：interfaceFastEthernet0/15/*進(jìn)入f0/15口noswitchport/*設(shè)置為三層接口ipaddress/*配置f0/15口的IP地址routerospf100/*啟用OSPF進(jìn)程network55area0/*把f0/15口參與OSPF進(jìn)程network55area0/*把interfacevlan10虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan20虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan30虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan40虛接口參與OSPF進(jìn)程Coreswitch2配置如下：routerospf100/*啟用OSPF進(jìn)程network55area0/*把interfacevlan10虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan20虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan30虛接口參與OSPF進(jìn)程network55area0/*把interfacevlan40虛接口參與OSPF進(jìn)程3.2.6ACL技術(shù)在網(wǎng)絡(luò)安全中是一個(gè)很重要的技術(shù)，ACL可以靈活在交換機(jī)和路由器上使用，通過(guò)ACL技術(shù)可以控制不同VLAN即不同部門(mén)之間的訪問(wèn)。在這個(gè)設(shè)計(jì)中是不允許其他的部門(mén)訪問(wèn)財(cái)務(wù)部門(mén)，那么可以通過(guò)設(shè)置ACL來(lái)對(duì)其他的部門(mén)進(jìn)行限制，ACL的配置如下：Coreswitch1上ACL的配置：access-list101denyip5555/*拒絕技術(shù)部訪問(wèn)財(cái)務(wù)部access-list101denyip5555/*拒絕銷(xiāo)售部訪問(wèn)財(cái)務(wù)部access-list101denyip5555/*拒絕售后部訪問(wèn)財(cái)務(wù)部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL應(yīng)用到虛接口上是ACL生效Coreswitch2上ACL的配置：access-list101denyip5555/*拒絕技術(shù)部訪問(wèn)財(cái)務(wù)部基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第25頁(yè)。access-list101denyip5555/*拒絕銷(xiāo)售部訪問(wèn)財(cái)務(wù)部基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第25頁(yè)。access-list101denyip5555/*拒絕售后部訪問(wèn)財(cái)務(wù)部access-list101permitipanyanyinterfacevlan10ipaccess-group101out/*把ACL應(yīng)用到虛接口上是ACL生效當(dāng)ACL配置完成后，從其他部門(mén)無(wú)法ping通caiwu部門(mén)的主機(jī)，圖3-4是jishu部的PC3pingcaiwu部的Windows2000，無(wú)法ping通。圖3-4PC3pingWindows20003.2.7在企業(yè)網(wǎng)絡(luò)中為了減少網(wǎng)絡(luò)的故障時(shí)間，需要引入冗余鏈路，然而這樣卻會(huì)引起交換環(huán)路。交換環(huán)路會(huì)帶來(lái)三個(gè)問(wèn)題：廣播風(fēng)暴、同一幀的多個(gè)拷貝、交換機(jī)CAM表的不穩(wěn)定，STP（SpanningTreeProtocol）可以解決這個(gè)問(wèn)題。STP基本思路是阻斷一些交換機(jī)接口，構(gòu)建一棵沒(méi)有環(huán)路的轉(zhuǎn)發(fā)樹(shù)。STP利用BPDU（BridgeProtocolDataUnit）和其他交換機(jī)進(jìn)行通信，從而確定哪個(gè)交換機(jī)該阻斷哪個(gè)接口。在BPDU中有幾個(gè)關(guān)鍵的字段，如：根橋ID、路徑代價(jià)和端口ID等?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第26頁(yè)。為了在網(wǎng)絡(luò)中形成一個(gè)沒(méi)有環(huán)路的拓?fù)洌W(wǎng)絡(luò)中的交換機(jī)要進(jìn)行一下三個(gè)步驟：第一步選舉根橋，第二步選取根端口，第三步選取指定端口。在這些步驟中，哪個(gè)交換機(jī)能獲勝取決于一下因數(shù)：1、最低的根橋ID，2、最低的根路徑代價(jià)，3、最低發(fā)送者橋ID，4、最低發(fā)送者端口ID。橋ID由兩部分組成：網(wǎng)橋優(yōu)先級(jí)+MAC地址。網(wǎng)橋優(yōu)先級(jí)是一個(gè)兩個(gè)字節(jié)是數(shù)，交換機(jī)默認(rèn)優(yōu)先級(jí)為32768；MAC地址就是交換機(jī)的MAC地址。具有最低橋ID的交換機(jī)就是根橋。根橋上的接口都是指定端口，會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)包。選舉了根橋后，其他的交換機(jī)就成了非根橋了。每臺(tái)非根橋要選舉一條到根橋的根路徑STP使用路徑的Cost來(lái)決定到達(dá)根橋的最佳路徑，具有最低Cost值的路徑就是根路徑，該接口就是根接口；如果Cost值一樣，就根據(jù)選舉順序選舉根接口，根接口轉(zhuǎn)發(fā)數(shù)據(jù)包。在CiscoCatalyst交換機(jī)上SpanningTree是默認(rèn)開(kāi)啟的，那么可以更改交換的優(yōu)先級(jí)來(lái)控制哪臺(tái)交換機(jī)為根交換機(jī)，在此設(shè)計(jì)中手工指定Coreswitch1為根交換機(jī)起配置如下：基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第26頁(yè)。spanning-treevlan10priority4096/*使Coreswitch1為vlan10的根spanning-treevlan20priority4096/*使Coreswitch1為vlan20的根spanning-treevlan30priority4096/*使Coreswitch1為vlan30的根spanning-treevlan40priority4096/*使Coreswitch1為vlan40的根這樣默認(rèn)情況下數(shù)據(jù)都是從Coreswitch1上轉(zhuǎn)發(fā)的，Coreswitch2就成了備份交換機(jī)，只有當(dāng)接入層交換機(jī)與Coreswitch1連接的上行鏈路斷開(kāi)時(shí)那么就會(huì)啟用與Coreswitch2連接的鏈路，從而增加了網(wǎng)絡(luò)的可靠性。3.3防火墻的配置防火墻是本網(wǎng)絡(luò)安全設(shè)計(jì)的核心部分，它的作用不僅僅是作為外網(wǎng)、內(nèi)部網(wǎng)及DMZ區(qū)的安全中轉(zhuǎn)站，還需要擔(dān)任VPN服務(wù)器的角色，防火墻一共有三個(gè)接口，inside端口，DMZ端口以及outside端口。inside口連接內(nèi)部網(wǎng)的交換機(jī)，而DMZ端口則連接到DMZ區(qū)的交換機(jī)；相應(yīng)的，outside端口將直接與ISP網(wǎng)關(guān)相連接。防火墻在這里，起一個(gè)交通樞紐的作用，而且，是一個(gè)保證流經(jīng)防火墻的數(shù)據(jù)的安全性的交通樞紐，圖3-5為企業(yè)網(wǎng)的DMZ區(qū)、防火墻及分部的網(wǎng)絡(luò)拓?fù)洹D3-5DMZ區(qū)、防火墻及分部的網(wǎng)絡(luò)拓?fù)浞阑饓Φ念A(yù)期功能為：能夠抵御來(lái)自Internet的入侵，阻止未授權(quán)用戶(hù)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。內(nèi)部網(wǎng)通過(guò)NAT或PAT服務(wù)對(duì)Internet進(jìn)行訪問(wèn)，從而阻止內(nèi)部網(wǎng)暴露在外界中。對(duì)需要向外發(fā)布的服務(wù)器，則利用NAT的端口映射對(duì)外提供服務(wù)?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第27頁(yè)。配置IPSecVPN，使企業(yè)分部能夠通過(guò)VPN接入總部網(wǎng)絡(luò)?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第27頁(yè)。做為AAA服務(wù)器的client端，指定VPN用戶(hù)撥入時(shí)通過(guò)AAA服務(wù)器做認(rèn)證。下面對(duì)防火墻的基本部分進(jìn)行配置。3.3首先，主機(jī)名改為PIX，方便日后維護(hù)，然后設(shè)置telnet密碼和enable密碼，使用MD5加密，保證防火墻的安全。配置三個(gè)端口，定義安全等級(jí)：interfaceethernet0autointerfaceethernet1autointerfaceethernet2auto/*設(shè)置端口為自適應(yīng)nameifethernet0outsidesecurity0nameifethernet1insidesecurity100nameifethernet2dmzsecurity50/*為三個(gè)端口命名并分配安全級(jí)ipaddressoutsideipaddressinsideipaddressdmz/*設(shè)置各端口IP3.3在防火墻上配置靜態(tài)路由，由于處于邊界，且共連接三個(gè)網(wǎng)段，對(duì)于防火墻本身來(lái)說(shuō)并不知道該怎樣轉(zhuǎn)發(fā)數(shù)據(jù)包，所以加入以下三條路由表：routeoutsideserial1/0/*指向ISP的默認(rèn)路由routerospf100/*啟用OSPF路由協(xié)議network55area0network55area0network55area0接著對(duì)防火墻監(jiān)視的端口進(jìn)行配置，fixup命令可以來(lái)完成這一配置：fixupprotocolhttp80fixupprotocolhttp443fixupprotocolftp21上面的三條命令將會(huì)對(duì)HTTP、HTTPS以及FTP中的數(shù)據(jù)流量進(jìn)行監(jiān)視，如果發(fā)現(xiàn)有非正常的連接，則會(huì)中斷該連接，并在log中留下記錄。3.3.3內(nèi)網(wǎng)用戶(hù)需要訪問(wèn)Internet那么在防火墻上就要配置NAT在這里公網(wǎng)出口只有一個(gè)公有IP所以需要配置PAT,其PAT的配置如下：基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第28頁(yè)。access-list10permit55/*定義vlan10里面的地址允許被轉(zhuǎn)換基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第28頁(yè)。access-list10permit55/*定義vlan20里面的地址允許被轉(zhuǎn)換access-list10permit55/*定義vlan30里面的地址允許被轉(zhuǎn)換access-list10permit55/*定義vlan40里面的地址允許被轉(zhuǎn)換ipnatinsidesourcelist10interfaceSerial1/0overload/*在外網(wǎng)口s1/0上啟用PATinterfacefastethernet2/0ipnatinside/*定義f2/0口為內(nèi)網(wǎng)口interfaceserial1/0ipnatoutside/*定義s1/0口為內(nèi)網(wǎng)口exit然后就是要配置端口映射，哪些服務(wù)器需要對(duì)外提供服務(wù)那么就需要在防火墻上配置端口映射，這樣外部網(wǎng)絡(luò)就能訪問(wèn)被發(fā)布的服務(wù)器，在本設(shè)計(jì)中只對(duì)web服務(wù)器進(jìn)行端口映射，其端口映射配置如下：ipnatinsidesourcestatictcp98080extendable/*9這臺(tái)服務(wù)器的80端口被映射到外網(wǎng)口的80端口interfacefastethernet0/0ipnatinside/*定義f0/0口為內(nèi)網(wǎng)口端口映射后，公網(wǎng)上的用戶(hù)可以通過(guò)訪問(wèn)的80端口來(lái)訪問(wèn)位于DMZ區(qū)的web服務(wù)器，這里在Internet路由器上telnet80來(lái)驗(yàn)證是否能夠訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器的80端口，如圖3-6，80端口能open，說(shuō)明發(fā)布WEB服務(wù)器成功。圖3-6成功發(fā)布web服務(wù)器的示意圖3.3.4最后，在防火墻上啟用IDS功能：ipauditnameattack-ruleattackactionalarmresetipauditnameinfo-ruleinfoactionalarmresetipauditinterfaceoutsideinfo-ruleipauditinterfaceoutsideattack-rule至此，防火墻的基本配置部分完成，下面，將對(duì)VPN部分進(jìn)行介紹。3.4VPN的配置基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第29頁(yè)。當(dāng)前，企業(yè)員工具有很大的可移動(dòng)性，因此實(shí)現(xiàn)信息的無(wú)障礙訪問(wèn)已成為幾乎所有知識(shí)型員工的迫切業(yè)務(wù)需要。這不僅僅局限于經(jīng)常外出的員工，據(jù)統(tǒng)計(jì)，35%的企業(yè)員工（如管理人員、市場(chǎng)人員、客戶(hù)服務(wù)人員等等），至少將20%的工作時(shí)間花在其主要工作場(chǎng)所之外。而且固定辦公人員的移動(dòng)性也在提高，如出席各種會(huì)議、外出就餐、往返多個(gè)辦公場(chǎng)所、或希望晚上（或周末）在家工作燈。業(yè)務(wù)合作伙伴、供應(yīng)商和客戶(hù)也需要從自己的辦公室、工廠、家或其他地點(diǎn)，接入公司的相關(guān)應(yīng)用和內(nèi)容、訪問(wèn)權(quán)限內(nèi)的相關(guān)資源?；诎踩钠髽I(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第29頁(yè)。本設(shè)計(jì)中VPN的實(shí)現(xiàn)有以下四種方案：1）在DMZ區(qū)的服務(wù)器上搭建一個(gè)VPN服務(wù)器，分部的主機(jī)通過(guò)PPTP或者L2TP連接到總部的VPN服務(wù)器上。在總部Headquarter路由器和分部Branch路由器上配置了GREOverIPSecVPN，那么總部和分部之間就建立了一條IPSec隧道，總部和分部之間進(jìn)入隧道的數(shù)據(jù)將會(huì)被加密。在總部Headquarter路由器建立一個(gè)EasyVPN遠(yuǎn)程用戶(hù)可通過(guò)CiscoVPNClient接入企業(yè)內(nèi)部網(wǎng)；定點(diǎn)的分公司可直接與總公司內(nèi)部網(wǎng)相連。在總部Headquarter路由器上配置SSLVPN，遠(yuǎn)程客戶(hù)端通過(guò)瀏覽器登錄到SSLVPN服務(wù)器，并訪問(wèn)相應(yīng)的web資源。下面將對(duì)VPN的配置部分進(jìn)行詳細(xì)說(shuō)明：3.4.1PPTP要使Headquarter路由器和Branch路由器能夠通信，首先要配置GRE隧道。Headquarter路由器上配置GRE隧道：interfacetunnel0/*開(kāi)啟tunnel口ipaddress/*給tunnel口分配一個(gè)IPtunnelsourceSerial1/0/*定義tunnel的源是S1/0tunneldestination/*定義tunnel的目的IP就是Branch路由器外網(wǎng)口的IP地址Branch路由器上配置GRE隧道：interfaceTunnel0/*開(kāi)啟tunnel口ipaddress/*給tunnel口配置一個(gè)IPtunnelsourceSerial1/0/*定義tunnel的源為S1/0tunneldestination/*定義tunnel的目的IP即Headquarter路由器外網(wǎng)口的IP基于安全的企業(yè)網(wǎng)絡(luò)畢業(yè)設(shè)計(jì)全文共62頁(yè)，當(dāng)前為第30頁(yè)。要使Headquarter和Branch