【正文】 隔離，并能做到靈活改變配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和變化，即VLAN 的整體劃分。 （ 4）可管理性 —— 對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。 （ 6）標(biāo)準(zhǔn)開(kāi)放性 —— 支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于保證與其它網(wǎng)絡(luò) （ 如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò) ） 之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。 （ 3）公司各部可以通過(guò)即時(shí)通信軟件聯(lián)系，建立公司郵件服務(wù)器。 （ 7）為保證安全， Inter 與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施，防止外界對(duì)內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)。因此，數(shù)據(jù)流量將大大增加，尤其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。樹(shù)形拓?fù)?由總線拓 撲演變而來(lái)。但在本局域網(wǎng)中采用了雙核心，所以大大的避免了網(wǎng)絡(luò)故障的發(fā)生。 多層設(shè)計(jì)師模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。 針對(duì)實(shí)際情況 采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。接入層主要提供最終用戶(hù)接入網(wǎng)絡(luò)的途徑。 核心交換機(jī)需作如下設(shè)置： （ 1） 使用包安全過(guò)濾 /ACL 的機(jī)制 ，防止非法侵入和惡意報(bào)文攻擊； （ 2） 通過(guò) Vlan 劃分實(shí)現(xiàn)不同部門(mén)內(nèi)部訪問(wèn)安全的需求； （ 3） 基于策略的服務(wù)等級(jí) /服務(wù)質(zhì)量（ CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務(wù)數(shù)據(jù)流，實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化。包括訪問(wèn)控制列表、VLAN 路由等等。此外， Cisco Catalyst 3750 系列針對(duì)高密度千兆位以太網(wǎng)部東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 6 署進(jìn)行了優(yōu)化，包括多種交換機(jī)，以滿(mǎn)足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。建議接入層交換機(jī)采用思科的 2960 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶(hù)終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持 不間斷運(yùn)行。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就可以自己為根，構(gòu)造最短路徑樹(shù)，然后再根據(jù)最短路徑構(gòu)造路由表。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù) 庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于 OSPF 直接運(yùn)行在 IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。后期若有分支機(jī) 構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿(mǎn)足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 其格式為： 空間地理位置 設(shè)備類(lèi)型 設(shè)備編號(hào) 樓層號(hào) 。 端口類(lèi)型：用使用物理端口的縮寫(xiě)來(lái)命名。 設(shè)備類(lèi)型：以設(shè)備廠家和設(shè)備的型號(hào)來(lái)命名 。 DHCP（ Dynamic Host Configuration Protocol），即動(dòng)態(tài)主機(jī)設(shè)置協(xié)議，是一個(gè)局東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 10 域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用 UDP 協(xié)議工作。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來(lái)往得到更好更安全的管理。新工具和 改進(jìn)的工具可幫助 網(wǎng)絡(luò)管理員更有效地完成工作。 增強(qiáng)的隊(duì)列查看器，它使用戶(hù)能夠從同一控制臺(tái)同時(shí)查看 SMTP 和 隊(duì)列。 圖 23 建立域控服務(wù)器 將公司內(nèi)的所有 PC 機(jī)加入該域。從該公東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 11 司來(lái)看，公司用戶(hù)在幾百個(gè)以下，但是郵件來(lái)往比較多，所以要選擇專(zhuān)業(yè)的 PC 服務(wù)器才能滿(mǎn)足基本的性能要求。 Apache 是世界上用 的最多的 Web 服務(wù)器，市場(chǎng)占有率達(dá) 60%左右 ， 它源于NCSAd 服務(wù)器。 Apache 的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做 代理服務(wù)器 來(lái)使用。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門(mén)職能不同，某些部門(mén)網(wǎng)絡(luò)可能也要求很高的安全性。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。 （ 3） 信息安全 ： 包括信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)用戶(hù)的授權(quán)和鑒別。 在 防火墻上進(jìn)行設(shè)置，包括用 ACL 進(jìn)行流量控制、關(guān)閉病毒端口、 NAT 的轉(zhuǎn)換等。上網(wǎng)行為管理只對(duì)用戶(hù)區(qū)域的數(shù)據(jù)進(jìn)行監(jiān)控和管理 。 安全產(chǎn)品選型原則 XX 金融公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專(zhuān)用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 安全策略 14 重。 VLAN 要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。另外， VLAN 為網(wǎng)絡(luò)管理帶來(lái)了很大的方便，將每個(gè)部門(mén)劃分為一個(gè) VLAN，每個(gè) VLAN 內(nèi)的客戶(hù)終端需求是基本相似的，對(duì)于故障排查或者軟件升級(jí)等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。 Trunk 端口一般為交換機(jī)和交換機(jī)之間的級(jí)聯(lián)端口，用于傳遞所有 vlan信息 。訪問(wèn)控制列表 （ ACL） 是應(yīng)用在路由器接口的指令列表。標(biāo)準(zhǔn)訪問(wèn)列表的編號(hào)是從 1— 99，它只使用數(shù)據(jù)包的源 IP 地址作為條件測(cè)試，只有允許或拒絕兩個(gè)操作，通常是對(duì)一個(gè)協(xié)議 產(chǎn)生作用，不區(qū)分 IP 流量類(lèi)型。當(dāng)然，寫(xiě)完訪問(wèn)列表后，要將其應(yīng)用在相應(yīng)的端口上。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減 少了CPU 的負(fù)擔(dān)，使路由更穩(wěn)定。 防火墻網(wǎng)絡(luò)安全策略 討論防火墻安全策略一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一： （ 1） 拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西 ； （ 2） 允許訪問(wèn)除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西 。 外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部網(wǎng)主機(jī)和設(shè)備。雖然內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別 （ 策略 ） 是不同的。 在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上可以有兩種選擇，這主要是根 據(jù) 擁有網(wǎng)絡(luò)設(shè)備情況而定。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。 SNAT 用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其 他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。同時(shí)支持 URL 過(guò)濾功能，防止員工在上班時(shí)間訪問(wèn)某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 防火墻的基本配置 公司采用的是防火墻，它的初始配置也是通過(guò)控制端口（ Console）與 PC 機(jī)的串口連接，再通過(guò)超級(jí)終端（ HyperTerminal）程序進(jìn)行選項(xiàng)配置。 ） 設(shè)置接口帶寬 ： Set interface interface bandwidth number unset interface interface bandwidth 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 20 設(shè)置接口的網(wǎng)關(guān) ： set interface interface gateway ip_addr unset interface interface gateway 設(shè)置接口的 區(qū)域 ， IP 地址 zone 就是網(wǎng)絡(luò)邏輯上劃分成區(qū) ， 可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實(shí)施策略。必須具有與 SSH 協(xié)議版本 兼容的 SSH 客戶(hù)端。 NS Security Manager： 選擇此選項(xiàng)將允許接口接收 NetScreenSecurityManager 信息流。處理請(qǐng)求期間禁止用戶(hù)訪問(wèn)。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過(guò)防火墻進(jìn)行訪問(wèn)時(shí)，通過(guò)網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無(wú)法實(shí)現(xiàn) IP 地址與 MAC 的綁定。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。實(shí)現(xiàn)方法是通過(guò) IP東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 22 地址與用戶(hù)的綁定，因?yàn)橛脩?hù)是可以跨網(wǎng)段的。如果有防火墻，可以把將 WEB 服務(wù)器的地址映射到防火墻的外端口地址，做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開(kāi)保護(hù)起來(lái)，對(duì)外公開(kāi)的 WEB 服務(wù)器的地址是防火墻的外端口地址。因此，通過(guò)這種方式有兩個(gè)優(yōu)點(diǎn)，第一是這些服務(wù)器可以使用私有地址，同時(shí)也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時(shí)黑客進(jìn) 行攻擊進(jìn)行掃描，內(nèi)網(wǎng)是安全的，因?yàn)? 地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址是 不。 比如內(nèi)部設(shè)有 WEB 服務(wù)器（ ）和有一個(gè)遠(yuǎn)程訪問(wèn)客戶(hù)（ ），通過(guò)遠(yuǎn)程訪問(wèn) WEB 服務(wù)器域名地址就可以訪問(wèn)到這個(gè)網(wǎng)頁(yè)，但這樣是直接對(duì) WEB服務(wù)器進(jìn)行訪問(wèn)和操作很不安全。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。 BIND TO 015004BB71A6 BIND TO 015004BB71BC 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過(guò)來(lái)才行，所以將 IP地址與 MAC 地址進(jìn)行綁定，可以防止內(nèi)部的 IP 盜用。 另外對(duì) DHCP 用戶(hù)的支持，如果在用 DHCP 服務(wù)器來(lái)動(dòng)態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機(jī)沒(méi)有固定的 IP 地址，如何解決這樣的問(wèn)題呢？目前主要有兩種方式可以解決這個(gè)問(wèn)題 ，第一種是在防火墻中內(nèi)置 DHCP 服務(wù)器，但這種方式由于防火墻內(nèi)置 DHCP服務(wù)器，會(huì)導(dǎo)致防火墻本身的不安全，如果有一天防火墻失效，造成 DHCP 服務(wù)器宕機(jī)會(huì)影響整個(gè)網(wǎng)絡(luò)而并不僅僅只對(duì)出口造成影響。 指定允許進(jìn)行管理的 ip 地址 ： set interface interface manageip ip_addr unset interface interface manageip 添加只讀權(quán)限管理員 ： set admin user Roger password 2bd21wG7 privilege readonly 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 21 修改帳戶(hù)為可讀寫(xiě)權(quán)限 ： unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 刪除用戶(hù) ： unset admin user Roger 清除所有會(huì)話(huà) ， 并注銷(xiāo)帳戶(hù) ： clear admin name Roger 基于內(nèi)網(wǎng)的防火墻功能及配置 IP 與 MAC（用戶(hù)）綁定功能 如果在一個(gè)局域網(wǎng)內(nèi)部允許 Host A 上網(wǎng)而不允許 Host B 上網(wǎng)，則有一種方式可以欺騙防火墻進(jìn)行上網(wǎng)，就是在 HostA 還沒(méi)有開(kāi)機(jī)的時(shí)候，將 HostB 的 IP 地址換成Host A 的 IP 地址就可以上網(wǎng)了。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標(biāo)識(shí)請(qǐng)求相類(lèi)似的服務(wù)。 SNMP： 選擇此選項(xiàng)可啟用 SNMP 管理功能。 Tel： 選擇此選項(xiàng)可啟用 Tel 管理功能。 NETSCREEN 防火墻有四種用戶(hù)配置模式，即：普通模式（ Unprivileged mode）、特權(quán)模式（ Privileged Mode）、配置模式（ Configuration Mode）和端口模式（ Interface Mode）。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設(shè)計(jì)的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問(wèn)等進(jìn)行實(shí)時(shí)監(jiān)控，并提供 VPN 服務(wù)，為用戶(hù)提供全面的保護(hù)。 DNAT 主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)； （ 3） 認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。應(yīng)用服務(wù)當(dāng)中EMAIL、 DNS 和 WWW 服務(wù)需要外網(wǎng)能夠訪問(wèn)，因此將這些服務(wù)規(guī)劃 到 DMZ 區(qū)。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。 通過(guò) NAT（ 網(wǎng)絡(luò)地址轉(zhuǎn)換 ） 技術(shù) 將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng) IP 地址。 DMZ（ 非軍事區(qū) ） ：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如 Web 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。 在實(shí)際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域： 內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶(hù)主機(jī)。硬件防火墻一般使用經(jīng)過(guò)內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 17 4. 防火墻配置 飛速發(fā)展的信息時(shí)代，在殘酷競(jìng)爭(zhēng)的市場(chǎng)，誰(shuí)先掌握了信息誰(shuí)就先掌握了契機(jī)，Inter 的迅猛發(fā)展?jié)M足了人們對(duì)信息的渴求，同時(shí) Inter 里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞