公司網(wǎng)絡(luò)搭建與部署-計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)-(畢業(yè)論文)

廣東科學(xué)技術(shù)職業(yè)學(xué)院計(jì)算機(jī)工程技術(shù)學(xué)院(軟件學(xué)院)畢業(yè)設(shè)計(jì)題目：公司網(wǎng)絡(luò)搭建與部署專業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)班級(jí)：學(xué)生姓名：學(xué)號(hào)：6666666666指導(dǎo)教師姓名：職稱：摘要六月網(wǎng)絡(luò)有限公司剛剛成立，總部設(shè)于廣州，分別在北京、上海都有分公司?，F(xiàn)在需要為公司搭建網(wǎng)絡(luò)，讓總公司能夠自由的與分公司互相訪問資源，局域網(wǎng)內(nèi)部人員可以自由的連上Internet網(wǎng)。該公司有財(cái)務(wù)部、人力資源部、產(chǎn)品部、技術(shù)部、銷售部等部門；根據(jù)公司要求，為各個(gè)部門分配合適的IP地址段，做到無沖突，盡可能的節(jié)省IP地；最主要的是公司內(nèi)部網(wǎng)絡(luò)環(huán)境搭建與部署，內(nèi)部網(wǎng)絡(luò)路由協(xié)議、網(wǎng)絡(luò)策略；總部與分部之間使用VPN、幀中繼連接，遠(yuǎn)程移動(dòng)客戶端等；用思科的網(wǎng)絡(luò)設(shè)備設(shè)計(jì)一套合理的方案，整體網(wǎng)絡(luò)拓?fù)湟?guī)劃、工程實(shí)施方案、相關(guān)技術(shù)應(yīng)用然后是調(diào)試。關(guān)鍵詞：WAN、VLAN、EIGRP、Telnet、SSH、ACL、VPN、幀中繼、網(wǎng)絡(luò)安全。

目錄一、概述 51.1計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展 51.2公司網(wǎng)絡(luò)規(guī)劃概述 51.3公司網(wǎng)絡(luò)安全 6二、項(xiàng)目工程簡介 72.1網(wǎng)絡(luò)設(shè)計(jì)目標(biāo) 72.2網(wǎng)絡(luò)設(shè)備簡介 7三、項(xiàng)目需求分析 83.1公司網(wǎng)絡(luò)總體需求 83.2公司網(wǎng)絡(luò)功能需求 8四、項(xiàng)目設(shè)計(jì)與實(shí)施 94.1項(xiàng)目設(shè)計(jì) 94.1.1網(wǎng)絡(luò)拓?fù)鋱D 94.1.2公司網(wǎng)絡(luò)規(guī)劃 104.2項(xiàng)目實(shí)施與實(shí)現(xiàn) 104.2.1VLAN配置 114.2.2EIGRP路由協(xié)議 114.2.3Telnet、SSH遠(yuǎn)程 124.2.4交換機(jī)配置管理FTP備份與恢復(fù) 134.2.5幀中繼虛擬電路 144.2.6ACL訪問控制 174.2.7VPN遠(yuǎn)程 214.2.8DHCP服務(wù)器配置 24五、網(wǎng)絡(luò)安全 266.1安全風(fēng)險(xiǎn)分析 266.2安全防護(hù)措施 276.3安全拓?fù)?28六、總結(jié) 29參考文獻(xiàn) 30致謝 31

前言六月網(wǎng)絡(luò)有限公司剛剛成立我們將為它設(shè)計(jì)公司網(wǎng)絡(luò)搭建拓?fù)鋱D，以及實(shí)施拓?fù)鋱D的內(nèi)容，網(wǎng)絡(luò)搭建的目的是為了公司內(nèi)部人員能夠通過訪問Internet網(wǎng)找到自己想要的資源，當(dāng)然還有解決總公司與分公司之間的互相訪問，移動(dòng)客戶或者在外出差的員工訪問公司內(nèi)部網(wǎng)絡(luò)資源。最重要的是網(wǎng)絡(luò)安全，企業(yè)網(wǎng)絡(luò)安全非常的重要，在網(wǎng)絡(luò)搭建中我們將會(huì)用到藍(lán)盾防火墻的一些設(shè)備，來為我們的網(wǎng)絡(luò)建一個(gè)防護(hù)網(wǎng)。在這個(gè)網(wǎng)絡(luò)時(shí)代有一個(gè)良好的網(wǎng)絡(luò)環(huán)境能夠提高公司員工的辦事效率，使得業(yè)績發(fā)展更好。

第一章概述1.1計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展歷史計(jì)算機(jī)網(wǎng)絡(luò)源于計(jì)算機(jī)與通信技術(shù)的結(jié)合，它經(jīng)歷了從簡單到復(fù)雜、從單機(jī)到多機(jī)、從終端與計(jì)算機(jī)之間通信到計(jì)算機(jī)與計(jì)算機(jī)直接通信的發(fā)展時(shí)期。早在20世紀(jì)50年代初，以單個(gè)計(jì)算機(jī)為中心的遠(yuǎn)程聯(lián)機(jī)系統(tǒng)構(gòu)成，開創(chuàng)了把計(jì)算機(jī)技術(shù)和通信技術(shù)相結(jié)合的嘗試。這類簡單的“終端——通信線路——面向終端的計(jì)算機(jī)”系統(tǒng)，構(gòu)成了計(jì)算機(jī)網(wǎng)絡(luò)的雛形。嚴(yán)格的說，它和現(xiàn)代的計(jì)算機(jī)網(wǎng)絡(luò)相比，存在根本的區(qū)別。當(dāng)時(shí)的系統(tǒng)除了一臺(tái)中央計(jì)算機(jī)外，其余的終端設(shè)備沒有獨(dú)立處理數(shù)據(jù)的功能，當(dāng)然還不能算是真正意義上的計(jì)算機(jī)網(wǎng)絡(luò)。為了區(qū)別以后發(fā)展的多個(gè)計(jì)算機(jī)互聯(lián)的計(jì)算機(jī)網(wǎng)絡(luò)，稱它為面向終端的計(jì)算機(jī)網(wǎng)絡(luò)，又稱為第一代計(jì)算機(jī)網(wǎng)絡(luò)。從20世紀(jì)60年代中期開始，出現(xiàn)了若干個(gè)計(jì)算機(jī)主機(jī)通過通信線路互聯(lián)的系統(tǒng)，開創(chuàng)了“計(jì)算機(jī)——計(jì)算機(jī)”通信的時(shí)代，并呈現(xiàn)出多個(gè)中心處理機(jī)的特點(diǎn)。20世紀(jì)60年代后期，ARPANET網(wǎng)是由美國國防部高級(jí)研究計(jì)劃局ARPA(目前稱為DARPA，DefenseAdvancedResearchProjectsAgency)提供經(jīng)費(fèi)，聯(lián)合計(jì)算機(jī)公司和大學(xué)共同研制而發(fā)展起來的，主要目標(biāo)是借助通信系統(tǒng)，使網(wǎng)內(nèi)各計(jì)算機(jī)系統(tǒng)間能夠相互共享資源，它最初投入使用的是一個(gè)有4個(gè)節(jié)點(diǎn)的實(shí)驗(yàn)性網(wǎng)絡(luò)。ARPANET網(wǎng)的出現(xiàn)，代表著計(jì)算機(jī)網(wǎng)絡(luò)的興起。人們稱之為第二代計(jì)算機(jī)網(wǎng)絡(luò)。20世紀(jì)70年代至80年代中期是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展最快的階段，通信技術(shù)和計(jì)算機(jī)技術(shù)互相促進(jìn)，結(jié)合更加緊密。局域網(wǎng)誕生并被推廣使用，網(wǎng)絡(luò)技術(shù)飛速發(fā)展。為了使不同體系結(jié)構(gòu)的網(wǎng)絡(luò)也能相互交換信息，國際標(biāo)準(zhǔn)化組織(ISO)于1978年成立了專門機(jī)構(gòu)并制定了世界范圍內(nèi)的網(wǎng)絡(luò)互聯(lián)標(biāo)準(zhǔn)，稱為開放系統(tǒng)互聯(lián)參考模型OSI/RM(OpenSystemsInterconnection/ReferenceModel)，簡稱OSI，人們稱之為第三代計(jì)算機(jī)網(wǎng)絡(luò)。進(jìn)入20世紀(jì)90年代后，局域網(wǎng)技術(shù)發(fā)展成熟，局域網(wǎng)已成為計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的基本單元。網(wǎng)絡(luò)間互聯(lián)的要求越來越強(qiáng)烈，并出現(xiàn)了光纖及高速網(wǎng)絡(luò)技術(shù)。隨著多媒體、智能化網(wǎng)絡(luò)的出現(xiàn)，整個(gè)系統(tǒng)就像一個(gè)對(duì)用戶透明的大計(jì)算機(jī)系統(tǒng)，千兆位網(wǎng)絡(luò)傳輸速率可達(dá)1G/s，它是實(shí)現(xiàn)多媒體計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)的重要技術(shù)基礎(chǔ)。從1983年到1993年10年期間，Internet從一個(gè)小型的、實(shí)驗(yàn)型的研究項(xiàng)目，發(fā)展成為世界上最大的計(jì)算機(jī)網(wǎng)，從而真正實(shí)現(xiàn)了資源共享、數(shù)據(jù)通信和分布處理的目標(biāo)。我們把它稱為第四代計(jì)算機(jī)網(wǎng)絡(luò)。1.2公司網(wǎng)絡(luò)規(guī)劃概述公司網(wǎng)絡(luò)整體規(guī)劃是一個(gè)總公司和兩個(gè)分公司之間的通信，網(wǎng)絡(luò)拓?fù)湫纬梢粋€(gè)三角形，通過互聯(lián)網(wǎng)供應(yīng)商使他們連接起來，當(dāng)然為了公司的需求我們也會(huì)向供應(yīng)商買三條幀中繼虛擬網(wǎng)絡(luò)，VPN站點(diǎn)與站點(diǎn)的對(duì)接，遠(yuǎn)程訪問。公司內(nèi)部會(huì)根據(jù)實(shí)際需求設(shè)置VLAN，各個(gè)部門之間的通信要求盡量滿足。1.3公司網(wǎng)絡(luò)安全網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器安全就會(huì)受到威脅，同時(shí)也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intranet的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們?cè)谠O(shè)計(jì)時(shí)有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。物理安全網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。在公司網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必須優(yōu)先考慮保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來說物理安全的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等，因此要注意這些安全隱患，同時(shí)還要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險(xiǎn)。系統(tǒng)的安全所謂系統(tǒng)的安全是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否可靠且值得信任。恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇，無論是Microsoft的WindowsNT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)，并對(duì)操作系統(tǒng)進(jìn)行安全配置。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。

第二章項(xiàng)目工程簡介2.1網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)VLAN劃分：各個(gè)部門分屬不同的vlan，為各個(gè)vlan分配合適的ip地址段，做到無沖突，盡可能的節(jié)省IP地址。訪問控制：通過NAT技術(shù)實(shí)現(xiàn)公司內(nèi)網(wǎng)與外網(wǎng)的訪問權(quán)限。內(nèi)網(wǎng)安全：財(cái)務(wù)部與其它部門之間網(wǎng)絡(luò)隔離，不能互訪。網(wǎng)可管理：網(wǎng)絡(luò)設(shè)備部分開啟SSH，有一部分是Telnet登錄時(shí)必須以用戶名+密碼方式驗(yàn)證。設(shè)備用戶名：cisco密碼：class；2.2網(wǎng)絡(luò)設(shè)備簡介Ciscorouter2621、思科MultilayerSwitch兩臺(tái)、思科模式服務(wù)器一臺(tái)、2960交換機(jī)、PC機(jī)較多、以太網(wǎng)直通線若干、DB-60、EIA/TIA-232、CSU/DSU等。

第三章項(xiàng)目需求分析3.1公司網(wǎng)絡(luò)總體需求該公司要求使用網(wǎng)絡(luò)將公司的各種計(jì)算機(jī)、終端設(shè)備和局域網(wǎng)連接起來，形成公司內(nèi)部的Intranet網(wǎng)絡(luò)，并通過路由器接入Internet，以滿足各部門需要等。下面介紹該公司網(wǎng)絡(luò)建設(shè)的總體需求和具體需求。（1）保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。（2）完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性。（3）可靠性：公司網(wǎng)絡(luò)應(yīng)具有很高的可靠性，達(dá)到24小時(shí)不間斷、無故障、穩(wěn)定運(yùn)行。盡量減少局部網(wǎng)絡(luò)對(duì)整個(gè)公司網(wǎng)絡(luò)的影響。（4）可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對(duì)可用性的攻擊；（5）先進(jìn)性：由于網(wǎng)絡(luò)技術(shù)的日新月異，更高的帶寬和更先進(jìn)的應(yīng)用層出不窮，該公司網(wǎng)絡(luò)應(yīng)在未來幾年的運(yùn)行中能滿足公司的應(yīng)用需求，能在較長時(shí)期內(nèi)保持一定的先進(jìn)性。網(wǎng)絡(luò)建成后能實(shí)現(xiàn)數(shù)據(jù)、語音、多媒體通信、OA辦公、E-mail、Web及FTP等服務(wù)。（6）可控性：對(duì)信息的傳播及內(nèi)容具有控制能力。（7）可審查性：出現(xiàn)安全問題時(shí)提供依據(jù)與手段（8）可擴(kuò)展性：主干節(jié)點(diǎn)設(shè)備的性能具有向上擴(kuò)展的能力，以備將來更高帶寬應(yīng)用的需要。（9）可管理性：整個(gè)公司網(wǎng)絡(luò)將采用集中式管理，能夠監(jiān)控網(wǎng)絡(luò)的運(yùn)行，并能找出網(wǎng)絡(luò)的故障并快速恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。校園網(wǎng)建設(shè)的具體需求：總公司本部各大樓與網(wǎng)絡(luò)中心的網(wǎng)絡(luò)帶寬為1000Mbps，用戶主機(jī)到桌面交換機(jī)的網(wǎng)絡(luò)帶寬為100Mbps。公司網(wǎng)到Internet的出口帶寬為20Mbps。遠(yuǎn)程分公司與總公司本部的網(wǎng)絡(luò)帶寬為10Mbps。財(cái)務(wù)部要求必須處在一個(gè)獨(dú)立的局域網(wǎng)內(nèi)，以保證網(wǎng)絡(luò)的安全。對(duì)公司內(nèi)部的計(jì)算機(jī)只提供WWW、E-mail、FTP等常用的服務(wù)，除非有特別的需要，否則不開通其他的服務(wù)。工作日只能在上午7:30到晚上21:30間開通Internet網(wǎng)絡(luò)。對(duì)公司網(wǎng)外的移動(dòng)用戶提供remoteaccessVPN撥號(hào)接入服務(wù)。3.2公司網(wǎng)絡(luò)功能需求（1）DHCP服務(wù)，為銷售部自動(dòng)分配IP地址。（2）FTP服務(wù)，公司內(nèi)部資源的共享與訪問。（3）Telnet、SSH、VPN服務(wù)，設(shè)備開啟遠(yuǎn)程登錄功能，方便移動(dòng)員工訪問。

第四章項(xiàng)目設(shè)計(jì)與實(shí)施4.1項(xiàng)目設(shè)計(jì)4.1.1網(wǎng)絡(luò)拓?fù)鋱D根據(jù)公司建筑的分布及需求，作出如下規(guī)劃：網(wǎng)絡(luò)中心與各樓宇之間使用千兆多模光纖連接，形成千兆骨干網(wǎng)絡(luò)；大樓內(nèi)設(shè)置匯聚層交換機(jī)，用于匯聚樓內(nèi)各樓層交換機(jī)的數(shù)據(jù)；桌面交換機(jī)與匯聚層交換機(jī)連接，桌面交換機(jī)與計(jì)算機(jī)間使用百兆雙絞線相連；OA辦公、E-mail、Web及FTP服務(wù)器直接和網(wǎng)絡(luò)中心的核心交換機(jī)連接；由于該公司的網(wǎng)絡(luò)出口寬帶為20Mbps，因此直接通過以太協(xié)議接入ISP；遠(yuǎn)程分公司與總公司本部間通過VPN線路連接；在總公司配置一個(gè)RemoteaccessVPN，供移動(dòng)員工使用。由于財(cái)務(wù)部、人力資源部、技術(shù)部、銷售部的網(wǎng)絡(luò)連接基本相同，所以縮減為一個(gè)圖，簡化后的網(wǎng)絡(luò)如圖2.2所示。4.1.2公司網(wǎng)絡(luò)規(guī)劃公司內(nèi)部網(wǎng)絡(luò)號(hào)/24現(xiàn)在把它用VLSM劃分IP地址供公司內(nèi)部使用以及VLAN的劃分，此地址與VLAN僅供實(shí)驗(yàn)?zāi)M實(shí)際中應(yīng)該劃分多一點(diǎn)主機(jī)地址。廣州總公司：部門IP網(wǎng)段網(wǎng)關(guān)VLAN名廣州總公司-30/273-62/273財(cái)務(wù)部29-134/2929FMD人力資源部37-142/2937HR技術(shù)部45-150/2945Technology銷售部53-158/2953Sales北京分公司IP地址及VLAN劃分：部門IP網(wǎng)段VLAN名網(wǎng)關(guān)北京分公司5-94/275技術(shù)部93-198/29Technology93銷售部01-206/29Sales01上海分公司IP地址及VLAN劃分：部門IP網(wǎng)段VLAN名網(wǎng)關(guān)上海分公司7-126/277財(cái)務(wù)部61-166/29FMD61人力資源部69-174/29HR694.2項(xiàng)目實(shí)施與實(shí)現(xiàn)4.2.1VLAN配置VLAN配置命令：其余VLAN均與此配置方法相同。4.2.2EIGRP路由協(xié)議根據(jù)拓?fù)鋱D配置EIGRP路由協(xié)議及配置命令：驗(yàn)證：4.2.3Telnet、SSH遠(yuǎn)程Telnet配置：EnablepasswordclassLinevty03PasswordclassLogin驗(yàn)證：SSH配置：EnablepasswordclassIpdomain-nameCryptokeygeneratersaIpsshversion2Linevty03PasswordclassLoginTransportinputssh驗(yàn)證：4.2.4交換機(jī)配置管理FTP備份與恢復(fù)ftp配置命令：首先在交換機(jī)上配置：ConfigureterminalEnablesecretpasswordServicepassword-encryption密碼加密ipftpusernametmfipftppasswordtmf然后在ftp服務(wù)器上配置：測(cè)試：4.2.5幀中繼虛擬電路1、在PacketTracer上邊畫好拓?fù)?，并配置好模塊和幀中繼DLCI2、添加一個(gè)Cloud-PT-Empty設(shè)備（Cloud0）模擬幀中繼網(wǎng)絡(luò)，為Cloud0添加3個(gè)S端口模塊，好與路由器連接！這里添加了額外的模塊，僅供娛樂。3、設(shè)置好S1，S2，S3，的DLCI值：這一步很重要必須設(shè)置，其實(shí)每一步都很重要了。4、配置3臺(tái)路由器：R1路由器配置：R1>enR1#conftR1(config-if)#ints0/0進(jìn)入S1/0端口配置R1(config-if)#noshut啟動(dòng)端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip102broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip103broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exitR2路由器配置：R1>enR1#conftR1(config-if)#ints0/0進(jìn)入S1/0端口配置R1(config-if)#noshut啟動(dòng)端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip201broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip203broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exitR3路由器配置：R1>enR1#conftR1(config-if)#ints0/0進(jìn)入S1/0端口配置R1(config-if)#noshut啟動(dòng)端口R1(config-if)#ipadd分配端口ip地址R1(config-if)#encapsulationframe-relay幀中繼封裝R1(config-if)#frame-relaymapip301broadcast添加靜態(tài)映射地址R1(config-if)#frame-relaymapip302broadcastR1(config-if)#frame-relaylmi-typeansi幀中繼類型為ansiR1(config-if)#exit在路由器、三層交換機(jī)上配置RIP路由命令如下：routerripversion2networkA.B.C.D測(cè)試：從廣州總公司到上海分公司PC1—ping—PC11從廣州總公司到北京分公司PC1—ping—PC74.2.6ACL訪問控制訪問控制列表（AccessControlList，ACL）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包。ACL適用于所有的被路由協(xié)議，如IP、IPX、AppleTalk等。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。配置ACL后，可以限制網(wǎng)絡(luò)流量，允許特定設(shè)備訪問，指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL，禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò)，或者只能使用FTP服務(wù)。ACL既可以在路由器上配置，也可以在具有ACL功能的業(yè)務(wù)軟件上進(jìn)行配置。ACL是物聯(lián)網(wǎng)中保障系統(tǒng)安全性的重要技術(shù)，在設(shè)備硬件層安全基礎(chǔ)上，通過對(duì)在軟件層面對(duì)設(shè)備間通信進(jìn)行訪問控制，使用可編程方法指定訪問規(guī)則，防止非法設(shè)備破壞系統(tǒng)安全，非法獲取系統(tǒng)數(shù)據(jù)。3P原則，每種協(xié)議(perprotocol)、每個(gè)方向(perdirection)、每個(gè)接口(perinterface)配置一個(gè)ACL：每種協(xié)議一個(gè)ACL：要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應(yīng)的ACL。每個(gè)方向一個(gè)ACL：一個(gè)ACL只能控制接口上一個(gè)方向的流量。要控制入站流量和出站流量，必須分別定義兩個(gè)ACL。每個(gè)接口一個(gè)ACL：一個(gè)ACL只能控制一個(gè)接口（例如快速以太網(wǎng)0/0）上的流量。目前有三種主要的ACL:標(biāo)準(zhǔn)ACL、擴(kuò)展ACL及命名ACL。其他的還有標(biāo)準(zhǔn)MACACL、時(shí)間控制ACL、以太協(xié)議ACL、IPv6ACL等。標(biāo)準(zhǔn)的ACL使用1~99以及1300~1999之間的數(shù)字作為表號(hào)，擴(kuò)展的ACL使用100~199以及2000~2699之間的數(shù)字作為表號(hào)。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴(kuò)展ACL來達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確基本的網(wǎng)絡(luò)規(guī)劃這里就詳述了技術(shù)實(shí)現(xiàn)：重新規(guī)劃的拓?fù)鋱D中配置ACL的訪問控制：R1(config)#access-list10deny55R1(config)#access-list10permitanyR1(config)#interfacef0/1R1(config-if)#ipaccess-group10outR1(config-if)#exitR2(config)#access-list11deny55R2(config)#access-list11permitanyR2(config)#ints0/1/0R2(config-if)#ipaccess-group11outR2(config-if)#exitR3(config)#ipaccess-liststandardNO_ACCESSR3(config-std-nacl)#denyhost28R3(config-std-nacl)#permitanyR3(config-std-nacl)#exitR3(config)#intf0/0R3(config-if)#ipaccess-groupNO_ACCESSinR3(config-if)#exit測(cè)試：PC1—ping—PC2答案是不能ping通，因?yàn)樵诼酚善鱎1的F0/1上配置了ACL10.PC2—ping—outsidehost/PC2—ping—WebServer答案是不能ping通，因?yàn)樵诼酚善鱎2的S0/1/0上配置了ACL11，所以在ping的時(shí)候應(yīng)該是返回R2的S0/1/0的IP.對(duì)于R3上的命名ACL的配置要求是所有數(shù)據(jù)流不能通過R3的F0/0進(jìn)入主機(jī)28;用PC1同時(shí)ping0/28測(cè)試：4.2.7VPN遠(yuǎn)程VPN遠(yuǎn)程訪問概述：很多企業(yè)隨著業(yè)務(wù)的發(fā)展，已經(jīng)在異地建立分支機(jī)構(gòu)，或者許多員工出差至外地開展工作，甚至需要回家繼續(xù)辦公，那么這些遠(yuǎn)程員工是否還能夠連接到總部網(wǎng)絡(luò)享受到統(tǒng)一的企業(yè)信息化管理呢？布置這種技術(shù)似乎很困難，我們先把圖中網(wǎng)絡(luò)單元可以分為3類：1．總部機(jī)構(gòu)，總部在連接互聯(lián)網(wǎng)絕大多數(shù)情況下使用固定出口以及固定地址，在一些極端情況下可能會(huì)采用動(dòng)態(tài)地址方式。2.遠(yuǎn)程分支機(jī)構(gòu)，這類網(wǎng)絡(luò)有固定的網(wǎng)絡(luò)出口連接到互聯(lián)網(wǎng)，互聯(lián)網(wǎng)出口設(shè)備以及內(nèi)部網(wǎng)絡(luò)都是完全受企業(yè)管理的，在圖中，分支1和分支2都是這類，雖然網(wǎng)絡(luò)出口是固定的，但是出口地址是否固定和接入方式有關(guān)，比如租用光纖那么通常會(huì)從運(yùn)營商獲得一個(gè)固定地址，如果是ADSL則是動(dòng)態(tài)的，遠(yuǎn)程分支機(jī)構(gòu)的典型特征是以一個(gè)網(wǎng)絡(luò)作為遠(yuǎn)程接入單位。3.出差員工，這類網(wǎng)絡(luò)用戶的特點(diǎn)是以用戶PC為遠(yuǎn)程網(wǎng)絡(luò)單元，為什么呢，因?yàn)檫@類用戶的互聯(lián)網(wǎng)出口通常不受企業(yè)管理，比如出差員工在酒店通過酒店網(wǎng)絡(luò)接入互聯(lián)網(wǎng)、員工在家上網(wǎng)、員工在酒店直接撥號(hào)到互聯(lián)網(wǎng)等，這類用戶的特征是以單臺(tái)PC作為遠(yuǎn)程接入單位。這些異地網(wǎng)絡(luò)用戶訪問總部網(wǎng)絡(luò)，可能大家會(huì)認(rèn)為很簡單，直接訪問總部網(wǎng)絡(luò)的網(wǎng)段就可以了。實(shí)際上，企業(yè)網(wǎng)絡(luò)通常使用私有地址，是無法從互聯(lián)網(wǎng)直接訪問的，那么我們可以通過什么手段訪問這些總部的私有網(wǎng)段嗎？1.使用專線，即每個(gè)異地網(wǎng)絡(luò)用戶單元使用一條專線連接到總部，那么在上圖中，我們至少需要5條專線，如果出差員工或者分支多起來需要更多專線，每條專線都價(jià)值不菲，而且專線只能連接總部，無法訪問互聯(lián)網(wǎng)，顯然這種方式對(duì)于非常注重成本的企業(yè)而言是不可接受的。2.既然總部和各個(gè)異地網(wǎng)絡(luò)都連接到了互聯(lián)網(wǎng)，能不能通過互聯(lián)網(wǎng)把大家連起來呢？我們可以看到各個(gè)網(wǎng)絡(luò)單元的出口都是互聯(lián)網(wǎng)公有地址，讓這些地址互相訪問不成問題，那么能不能把訪問內(nèi)部私有網(wǎng)絡(luò)的連接建立在這些共有連接上呢？——虛擬私有網(wǎng)（VirtualPrivateNetwork），即在公共網(wǎng)絡(luò)上建立虛擬的隧道，模擬成專線，如下圖所示。那么如何建立這些隧道呢？要建立什么樣的隧道？我們可以通過這張表來描述異地網(wǎng)絡(luò)用戶和總部網(wǎng)絡(luò)出口隧道的特點(diǎn)。

隧道端點(diǎn)隧道內(nèi)流量隧道發(fā)起安全性需求是否穿越NAT異地分支分支出口總部出口分支內(nèi)網(wǎng)總部內(nèi)網(wǎng)總部和分支都可以發(fā)起少量身份認(rèn)證和加密不需要酒店、家庭辦公異地PC總部出口異地PC總部內(nèi)網(wǎng)只能從PC發(fā)起大量動(dòng)態(tài)身份認(rèn)證和加密需要遠(yuǎn)程撥號(hào)PC異地PC總部出口異地PC總部內(nèi)網(wǎng)只能從PC發(fā)起大量動(dòng)態(tài)身份認(rèn)證和加密不需要我們可以從上表中發(fā)現(xiàn)異地分支和總部、異地PC和總部之間隧道有較多不同，可以把VPN劃分為這兩類場(chǎng)景進(jìn)行研究，有什么樣的需求就有什么樣的技術(shù)：1.

PPTP（點(diǎn)到點(diǎn)隧道協(xié)議）、L2TP（二層隧道協(xié)議）、SSLVPN（安全會(huì)話層VPN）：這兩個(gè)技術(shù)主要用于異地PC向總部方向建立VPN，但PPTP、L2TP不支持加密（PPTP的兼容性沒有L2TP好），SSLVPN則必須要求加密；這三類技術(shù)都有很靈活的動(dòng)態(tài)身份認(rèn)證機(jī)制，SSLVPN不但擁有靈活安全的認(rèn)證機(jī)制，在用戶角色權(quán)限控制上具備極強(qiáng)的擴(kuò)展性，因此這3類技術(shù)非常適合遠(yuǎn)程PC撥號(hào)接入場(chǎng)景，隨著SSLVPN技術(shù)成熟，部署成本下降，正在不斷地侵占L2TP原有市場(chǎng)。2.

IPSec：通用性最強(qiáng)的VPN安全技術(shù)，能夠適應(yīng)異地分支和總部互聯(lián)，也適用于異地PC向總部發(fā)起連接；可以單獨(dú)使用，也可以和L2TP結(jié)合，保證L2TP的安全，但是IPSec的動(dòng)態(tài)身份認(rèn)證功能較弱，不太適用于大量動(dòng)態(tài)用戶撥號(hào)的場(chǎng)景，比較適合接入數(shù)量相對(duì)穩(wěn)定的場(chǎng)景，此外IPSec功能復(fù)雜，PC上通常是通過各廠家專用客戶端實(shí)現(xiàn)，因此IPSec技術(shù)更適合異地分支和總部網(wǎng)絡(luò)互連的場(chǎng)景。下面對(duì)集中VPN技術(shù)和應(yīng)用場(chǎng)景進(jìn)行詳細(xì)介紹。由于PPTP功能和L2TP重疊，且應(yīng)用較窄，在此文中不作介紹。L2TP和SSLVPN該類型的VPN可以分為如下幾個(gè)階段：1.

分支向總部發(fā)出連接請(qǐng)求，要就建立VPN，如果是SSLVPN，該階段還需要協(xié)商密鑰，為后續(xù)所有通信進(jìn)行加密保護(hù)，而L2TP則沒有專用保護(hù)手段，除非借助IPSec的幫助。2.

對(duì)接入請(qǐng)求進(jìn)行身份驗(yàn)證，因?yàn)槠髽I(yè)的VPN資源只允許對(duì)本企業(yè)員工開放，所以必須對(duì)接入者身份進(jìn)行驗(yàn)證，身份驗(yàn)證通常分為身份確認(rèn)和口令驗(yàn)證兩部分組成，身份表明用戶的角色，而口令則是進(jìn)一步確認(rèn)角色的準(zhǔn)確性。3.

身份驗(yàn)證可以有兩種方式實(shí)現(xiàn)，一是本地認(rèn)證，二是專用服務(wù)器認(rèn)證，通常專用服務(wù)器認(rèn)證能夠有更好的擴(kuò)展性和性能。認(rèn)證的結(jié)果稱之為授權(quán)，即授予一定的功能，授權(quán)內(nèi)容由總部出口控制。4.

授權(quán)中一個(gè)很重要內(nèi)容是為遠(yuǎn)端PC的隧道接口分配一個(gè)屬于企業(yè)內(nèi)部的私有地址，表示該遠(yuǎn)端PC已經(jīng)接入到企業(yè)內(nèi)部網(wǎng)絡(luò)了；地址授權(quán)依然可以由設(shè)備實(shí)現(xiàn)，也可以由認(rèn)證服務(wù)器實(shí)現(xiàn)。為什么要分配地址呢？因?yàn)槲覀冋f了VPN是在互聯(lián)網(wǎng)上模擬一條專線，物理專線需要IP地址，那么這個(gè)虛擬專線也需要IP地址。5.

總部出口設(shè)備返回給遠(yuǎn)端PC的是認(rèn)證和授權(quán)的報(bào)告，報(bào)告內(nèi)容主要是通知接入者是否接入成功，如果認(rèn)證失敗則對(duì)PC提示接入失敗，如果認(rèn)證成功，則提示用戶已經(jīng)成功接入VPN。6.

VPN建立后，該遠(yuǎn)端PC就像是通過一個(gè)專用的線纜接入到企業(yè)出口設(shè)備上了，可以根據(jù)授權(quán)內(nèi)容進(jìn)行訪問。7.

這種類型的VPN連接和斷開都是在外出員工在遠(yuǎn)端PC上主動(dòng)操作，通?？偛砍隹诰W(wǎng)關(guān)無法主動(dòng)關(guān)閉VPN；為了避免總部出口長期沒有收到拆除消息而維護(hù)大量VPN連接導(dǎo)致資源耗盡，VPN連接通常都是有計(jì)時(shí)機(jī)制的，如果總部出口設(shè)備長時(shí)間沒有收到遠(yuǎn)端PC的任何VPN流量，那么總部出口會(huì)認(rèn)為該P(yáng)C已經(jīng)下線，釋放資源，這是很重要的安全考慮。IPSecVPN在IPSec中，由于總部網(wǎng)絡(luò)相對(duì)固定，而分支變動(dòng)性較大，所以大部分情況下是也是由分支向總部發(fā)起連接：1.

IPSec協(xié)商并不需要像L2TP、SSLVPN那樣需要每次人為主動(dòng)去建立連接，IPSec需要通信雙方提前做好配置，我們通常稱這些配置為安全策略，主要內(nèi)容包括遠(yuǎn)端地址、興趣流、遠(yuǎn)端身份信息和預(yù)共享密鑰（也可以采用數(shù)字證書）、階段1安全提議、階段2安全提議等，將本地安全策略制定好后，IPSecVPN就會(huì)根據(jù)興趣流自動(dòng)觸發(fā)建立，因此特別適合分支網(wǎng)絡(luò)和總部網(wǎng)絡(luò)通信的場(chǎng)景。2.

當(dāng)分支檢測(cè)到興趣流后，就會(huì)根據(jù)安全策略配置向總部發(fā)起階段1協(xié)商，在協(xié)商時(shí)需要同樣需要進(jìn)行驗(yàn)證，驗(yàn)證失敗則退出協(xié)商，除了驗(yàn)證身份外還需要對(duì)階段1安全參數(shù)進(jìn)行協(xié)商，如果協(xié)商不出共同的安全參數(shù)，那么也是退出協(xié)商。3.

總部通常處于被動(dòng)響應(yīng)模式，所以當(dāng)需要協(xié)商時(shí)，也是從本地安全策略中找出匹配的參數(shù)。4.

如果階段1安全參數(shù)和驗(yàn)證成功，會(huì)進(jìn)行2階段的協(xié)商，階段2協(xié)商的是興趣流和階段2安全參數(shù)，如果能夠找到相匹配的參數(shù)，則協(xié)商成功，如果協(xié)商失敗則有可能同時(shí)把階段1協(xié)商結(jié)果刪除。5.

階段2協(xié)商成功后，分支和總部就建立了安全隧道，可以正常的通信了。6.

IPSec默認(rèn)周期性協(xié)商機(jī)制，如果下一周期協(xié)商失敗，那么隧道拆除；此外還有對(duì)端激活檢測(cè)，如果檢測(cè)對(duì)端已經(jīng)失效則自動(dòng)拆除隧道。4.2.8DHCP服務(wù)器配置DHCP（DynamicHostConfigurationProtocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址，給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段，在RFC2131中有詳細(xì)的描述。1、DHCPClient以廣播的方式發(fā)出DHCPDiscover報(bào)文。2、所有的DHCPServer都能夠接收到DHCPClient發(fā)送的DHCPDiscover報(bào)文，所有的DHCPServer都會(huì)給出響應(yīng)，向DHCPClient發(fā)送一個(gè)DHCPOffer報(bào)文。DHCPOffer報(bào)文中“Your(Client)IPAddress”字段就是DHCPServer能夠提供給DHCPClient使用的IP地址，且DHCPServer會(huì)將自己的IP地址放在“option”字段中以便DHCPClient區(qū)分不同的DHCPServer。DHCPServer在發(fā)出此報(bào)文后會(huì)存在一個(gè)已分配IP地址的紀(jì)錄。3、DHCPClient只能處理其中的一個(gè)DHCPOffer報(bào)文，一般的原則是DHCPClient處理最先收到的DHCPOffer報(bào)文。DHCPClient會(huì)發(fā)出一個(gè)廣播的DHCPRequest報(bào)文，在選項(xiàng)字段中會(huì)加入選中的DHCPServer的IP地址和需要的IP地址。4、DHCPServer收到DHCPRequest報(bào)文后，判斷選項(xiàng)字段中的IP地址是否與自己的地址相同。如果不相同，DHCPServer不做任何處理只清除相應(yīng)IP地址分配記錄；如果相同，DHCPServer就會(huì)向DHCPClient響應(yīng)一個(gè)DHCPACK報(bào)文，并在選項(xiàng)字段中增加IP地址的使用租期信息。5、DHCPClient接收到DHCPACK報(bào)文后，檢查DHCPServer分配的IP地址是否能夠使用。如果可以使用，則DHCPClient成功獲得IP地址并根據(jù)IP地址使用租期自動(dòng)啟動(dòng)續(xù)延過程；如果DHCPClient發(fā)現(xiàn)分配的IP地址已經(jīng)被使用，則DHCPClient向DHCPServer發(fā)出DHCPDecline報(bào)文，通知DHCPServer禁用這個(gè)IP地址，然后DHCPClient開始新的地址申請(qǐng)過程。6、DHCPClient在成功獲取IP地址后，隨時(shí)可以通過發(fā)送DHCPRelease報(bào)文釋放自己的IP地址，DHCPServer收到DHCPRelease報(bào)文后，會(huì)回收相應(yīng)的IP地址并重新分配。按照拓?fù)鋱D中實(shí)現(xiàn)DHCP配置：配置DHCP命令：R1(config)#ipdhcpexcluded-addressR1(config)#ipdhcppoolR1LANR1(dhcp-config)#networkR1(dhcp-config)#default-routerR1(dhcp-config)#dns-server54R1(config-if)#iphelper-address(可選F0/1)DHCP中繼代理R3(config)#ipdhcpexcluded-addressR3(config)#ipdhcppoolR3LANR3(dhcp-config)#networkR3(dhcp-config)#default-routerR3(dhcp-config)#dns-server54DNS服務(wù)器配置PC機(jī)動(dòng)態(tài)獲取地址：第五章網(wǎng)絡(luò)安全6.1安全風(fēng)險(xiǎn)分析技術(shù)安全風(fēng)險(xiǎn)分析：藍(lán)盾安全服務(wù)團(tuán)隊(duì)依據(jù)售前工程師匯聚的網(wǎng)絡(luò)資料，結(jié)合現(xiàn)場(chǎng)的考察，針對(duì)本項(xiàng)目進(jìn)行了研討（3名CCIE、2名安全運(yùn)維工程師、2名安全服務(wù)工程師），從不同角度對(duì)技術(shù)安全方向進(jìn)行風(fēng)險(xiǎn)分析，結(jié)論如下：缺乏對(duì)已知病毒的查殺能力（安全運(yùn)維工程師）目前，網(wǎng)絡(luò)的接入單位尚未部署網(wǎng)絡(luò)防病毒軟件，無法提供對(duì)已知病毒的實(shí)時(shí)病毒檢測(cè)和查殺。缺乏對(duì)未知病毒或者病毒變種的防御能力（安全運(yùn)維工程師）目前，外網(wǎng)的未知病毒、數(shù)據(jù)庫變種蠕蟲病毒、間諜程序、游戲木馬等未知病毒或者病毒變種頻頻爆發(fā)，嚴(yán)重影響正常的教學(xué)業(yè)務(wù)，單純依靠“特征碼技術(shù)”已經(jīng)不能適應(yīng)反病毒需求。外部網(wǎng)絡(luò)攻擊（CCIE）網(wǎng)絡(luò)接入的部門尚未部署相應(yīng)的防攻擊安全產(chǎn)品，而學(xué)校內(nèi)部可訪問互聯(lián)網(wǎng)及外網(wǎng)的信息點(diǎn)較多，師生上網(wǎng)經(jīng)常帶來一些無意的黑客攻擊和網(wǎng)絡(luò)木馬，導(dǎo)致校園網(wǎng)網(wǎng)絡(luò)堵塞。內(nèi)部網(wǎng)絡(luò)攻擊（CCIE）無惡意內(nèi)部人員：內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足，不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。惡意內(nèi)部人員：不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益。非法發(fā)布、傳播黃色、反動(dòng)、敏感信息（安全服務(wù)工程師）不健康及反動(dòng)信息借助網(wǎng)絡(luò)這一方便的傳播工具正在逐漸侵害著學(xué)生們的正確人生觀。大多數(shù)被調(diào)查的教師和學(xué)生都反應(yīng)曾發(fā)現(xiàn)黃色、暴力和一些成人信息在本校網(wǎng)上傳播，雖然發(fā)現(xiàn)后被立刻制止，但令他們擔(dān)憂的是：越來越多的學(xué)生加入到這個(gè)行列，而且手法越來越隱蔽，僅憑教師的監(jiān)控往往無濟(jì)于事，并且造成極大的政治影響。外部設(shè)備非法接入（安全運(yùn)維工程師）由于缺乏外設(shè)非法接入監(jiān)控手段，一些師生常常將自己的筆記本、電腦等非法接入教育城域網(wǎng)，往往這些電腦缺乏足夠的安全防范措施，如沒有安裝防病毒軟件、桌面防火墻等，給教育城域網(wǎng)帶來了間諜軟件、惡意程序和計(jì)算機(jī)病毒，導(dǎo)致了系統(tǒng)網(wǎng)絡(luò)資源耗盡、內(nèi)網(wǎng)病毒泛濫等一系列安全問題。6.2安全防護(hù)措施安全技術(shù)解決方案：1、隨著公司網(wǎng)絡(luò)的增加，原有出口的藍(lán)盾千兆防火墻從性能上已經(jīng)不能滿足目前的應(yīng)用，建議原有的藍(lán)盾千兆防火墻部署于內(nèi)網(wǎng)服務(wù)器區(qū)出口處，重點(diǎn)保護(hù)對(duì)內(nèi)服務(wù)器區(qū)域。部署1臺(tái)萬兆高性能防火墻BDFWH-G5000-KP型替代原有的防火墻，將對(duì)外服務(wù)器區(qū)連接與該高性能防火墻的DMZ區(qū)域，同時(shí)分擔(dān)整個(gè)區(qū)教育城域網(wǎng)的進(jìn)出流量。萬兆高性能防火墻基于電信級(jí)架構(gòu)，專用智能安全芯片及多核（128）并行處理能力，既成功解決了帶寬問題，全雙工吞吐量FDT最大支持高達(dá)12Gbps，又實(shí)現(xiàn)了高層應(yīng)用業(yè)務(wù)的全面支持能力。2、為了減輕信息安全管理員的操作負(fù)擔(dān)，提高管理效率。在信息中心部署一套藍(lán)盾基于等級(jí)保護(hù)的綜合安全管理及預(yù)警平臺(tái)，該平臺(tái)可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備的管理（防火墻、入侵檢測(cè)、漏洞掃描、防病毒、安全審計(jì)等）、異常檢測(cè)預(yù)警（異常流量、異常連接、群發(fā)垃圾郵件、變種病毒、資源濫用等）、資產(chǎn)安全風(fēng)險(xiǎn)管理（主機(jī)資產(chǎn)屬性、主機(jī)風(fēng)險(xiǎn)管理、安全事件管理）、安全服務(wù)管理（安全評(píng)估、安全加固、應(yīng)急響應(yīng)、方案報(bào)告等管理）、等級(jí)保護(hù)評(píng)估（系統(tǒng)定級(jí)、評(píng)估指標(biāo)對(duì)比、安全策略設(shè)計(jì)、安全實(shí)施）。3、為了解決桌面主機(jī)安全問題（ARP欺騙、網(wǎng)絡(luò)風(fēng)暴、黑客攻擊等），并對(duì)桌面主機(jī)的上網(wǎng)行為進(jìn)行控制，實(shí)現(xiàn)對(duì)未知病毒或者病毒變種的免疫隔離，防止敏感信息泄露，在二期教育城域網(wǎng)中部署內(nèi)網(wǎng)主機(jī)安全保密及審計(jì)系統(tǒng)一套。在系統(tǒng)由兩部分組成：控制中心軟件：在各個(gè)學(xué)校服務(wù)器上安裝分控制中心軟件，在信息中心安裝總控制中心軟件。主機(jī)代理軟件：安裝于城域網(wǎng)所有的服務(wù)器和重要主機(jī)上，實(shí)現(xiàn)桌面主機(jī)安全，并對(duì)桌面主機(jī)的上網(wǎng)行為進(jìn)行控制，實(shí)現(xiàn)補(bǔ)丁自動(dòng)分發(fā)更新、ARP病毒的免疫與清除，未知或變種病毒、木馬的發(fā)現(xiàn)與隔離（彌補(bǔ)殺毒系統(tǒng)的不足），大規(guī)模網(wǎng)絡(luò)安全事件的應(yīng)急防御（通過中心制定應(yīng)急安全策略，統(tǒng)一分發(fā)）。4、隨著業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的發(fā)展及內(nèi)部用戶的