【正文】 隔離，并能做到靈活改變配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和變化，即VLAN 的整體劃分。 （ 4）可管理性 —— 對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。 （ 6）標(biāo)準(zhǔn)開放性 —— 支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡(luò) （ 如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò) ） 之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。 （ 3）公司各部可以通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。 （ 7）為保證安全， Inter 與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施，防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。樹形拓?fù)?由總線拓 撲演變而來。但在本局域網(wǎng)中采用了雙核心，所以大大的避免了網(wǎng)絡(luò)故障的發(fā)生。 多層設(shè)計師模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。 針對實際情況 采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。 核心交換機(jī)需作如下設(shè)置： （ 1） 使用包安全過濾 /ACL 的機(jī)制 ，防止非法侵入和惡意報文攻擊； （ 2） 通過 Vlan 劃分實現(xiàn)不同部門內(nèi)部訪問安全的需求； （ 3） 基于策略的服務(wù)等級 /服務(wù)質(zhì)量（ CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務(wù)數(shù)據(jù)流，實現(xiàn)網(wǎng)絡(luò)的優(yōu)化。包括訪問控制列表、VLAN 路由等等。此外， Cisco Catalyst 3750 系列針對高密度千兆位以太網(wǎng)部東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 6 署進(jìn)行了優(yōu)化，包括多種交換機(jī)，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。建議接入層交換機(jī)采用思科的 2960 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持 不間斷運(yùn)行。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。 OSPF 定義了 5 種分組： Hello 分組用于建立和維護(hù)連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù) 庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進(jìn)行響應(yīng)；由于 OSPF 直接運(yùn)行在 IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。后期若有分支機(jī) 構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。 IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 其格式為： 空間地理位置 設(shè)備類型 設(shè)備編號 樓層號 。 端口類型：用使用物理端口的縮寫來命名。 設(shè)備類型：以設(shè)備廠家和設(shè)備的型號來命名 。 DHCP（ Dynamic Host Configuration Protocol），即動態(tài)主機(jī)設(shè)置協(xié)議，是一個局東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 10 域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用 UDP 協(xié)議工作。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更好更安全的管理。新工具和 改進(jìn)的工具可幫助 網(wǎng)絡(luò)管理員更有效地完成工作。 增強(qiáng)的隊列查看器，它使用戶能夠從同一控制臺同時查看 SMTP 和 隊列。 圖 23 建立域控服務(wù)器 將公司內(nèi)的所有 PC 機(jī)加入該域。從該公東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 11 司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的 PC 服務(wù)器才能滿足基本的性能要求。 Apache 是世界上用 的最多的 Web 服務(wù)器，市場占有率達(dá) 60%左右 ， 它源于NCSAd 服務(wù)器。 Apache 的特點(diǎn)是簡單、速度快、性能穩(wěn)定，并可做 代理服務(wù)器 來使用。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)可能也要求很高的安全性。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。 （ 3） 信息安全 ： 包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授?quán)和鑒別。 在 防火墻上進(jìn)行設(shè)置，包括用 ACL 進(jìn)行流量控制、關(guān)閉病毒端口、 NAT 的轉(zhuǎn)換等。上網(wǎng)行為管理只對用戶區(qū)域的數(shù)據(jù)進(jìn)行監(jiān)控和管理 。 安全產(chǎn)品選型原則 XX 金融公司網(wǎng)絡(luò)屬于一個行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 安全策略 14 重。 VLAN 要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時無法限制廣播的問題。另外， VLAN 為網(wǎng)絡(luò)管理帶來了很大的方便，將每個部門劃分為一個 VLAN，每個 VLAN 內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。 Trunk 端口一般為交換機(jī)和交換機(jī)之間的級聯(lián)端口，用于傳遞所有 vlan信息 。訪問控制列表 （ ACL） 是應(yīng)用在路由器接口的指令列表。標(biāo)準(zhǔn)訪問列表的編號是從 1— 99，它只使用數(shù)據(jù)包的源 IP 地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議 產(chǎn)生作用，不區(qū)分 IP 流量類型。當(dāng)然，寫完訪問列表后，要將其應(yīng)用在相應(yīng)的端口上。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減 少了CPU 的負(fù)擔(dān)，使路由更穩(wěn)定。 防火墻網(wǎng)絡(luò)安全策略 討論防火墻安全策略一般實施兩個基本設(shè)計方針之一： （ 1） 拒絕訪問除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西 ； （ 2） 允許訪問除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西 。 外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對象，包括外部網(wǎng)主機(jī)和設(shè)備。雖然內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級別 （ 策略 ） 是不同的。 在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上可以有兩種選擇，這主要是根 據(jù) 擁有網(wǎng)絡(luò)設(shè)備情況而定。它可只經(jīng)過路由器的簡單防護(hù)。 SNAT 用于對內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其 他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。同時支持 URL 過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 防火墻的基本配置 公司采用的是防火墻，它的初始配置也是通過控制端口（ Console）與 PC 機(jī)的串口連接，再通過超級終端（ HyperTerminal）程序進(jìn)行選項配置。 ） 設(shè)置接口帶寬 ： Set interface interface bandwidth number unset interface interface bandwidth 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 20 設(shè)置接口的網(wǎng)關(guān) ： set interface interface gateway ip_addr unset interface interface gateway 設(shè)置接口的 區(qū)域 ， IP 地址 zone 就是網(wǎng)絡(luò)邏輯上劃分成區(qū) ， 可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略。必須具有與 SSH 協(xié)議版本 兼容的 SSH 客戶端。 NS Security Manager： 選擇此選項將允許接口接收 NetScreenSecurityManager 信息流。處理請求期間禁止用戶訪問。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過防火墻進(jìn)行訪問時，通過網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響， DHCP 服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進(jìn)行改動。實現(xiàn)方法是通過 IP東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 22 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。如果有防火墻，可以把將 WEB 服務(wù)器的地址映射到防火墻的外端口地址，做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護(hù)起來，對外公開的 WEB 服務(wù)器的地址是防火墻的外端口地址。因此，通過這種方式有兩個優(yōu)點(diǎn)，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進(jìn) 行攻擊進(jìn)行掃描，內(nèi)網(wǎng)是安全的，因為 地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址是 不。 比如內(nèi)部設(shè)有 WEB 服務(wù)器（ ）和有一個遠(yuǎn)程訪問客戶（ ），通過遠(yuǎn)程訪問 WEB 服務(wù)器域名地址就可以訪問到這個網(wǎng)頁，但這樣是直接對 WEB服務(wù)器進(jìn)行訪問和操作很不安全。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進(jìn)行改動。 BIND TO 015004BB71A6 BIND TO 015004BB71BC 這樣再改換 IP 地址就不行了，除非將網(wǎng)卡和 IP 地址都換過來才行，所以將 IP地址與 MAC 地址進(jìn)行綁定，可以防止內(nèi)部的 IP 盜用。 另外對 DHCP 用戶的支持，如果在用 DHCP 服務(wù)器來動態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機(jī)沒有固定的 IP 地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題 ，第一種是在防火墻中內(nèi)置 DHCP 服務(wù)器，但這種方式由于防火墻內(nèi)置 DHCP服務(wù)器，會導(dǎo)致防火墻本身的不安全，如果有一天防火墻失效，造成 DHCP 服務(wù)器宕機(jī)會影響整個網(wǎng)絡(luò)而并不僅僅只對出口造成影響。 指定允許進(jìn)行管理的 ip 地址 ： set interface interface manageip ip_addr unset interface interface manageip 添加只讀權(quán)限管理員 ： set admin user Roger password 2bd21wG7 privilege readonly 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 21 修改帳戶為可讀寫權(quán)限 ： unset admin user Roger set admin user Roger password 2bd21wG7 privilege all 刪除用戶 ： unset admin user Roger 清除所有會話 ， 并注銷帳戶 ： clear admin name Roger 基于內(nèi)網(wǎng)的防火墻功能及配置 IP 與 MAC（用戶）綁定功能 如果在一個局域網(wǎng)內(nèi)部允許 Host A 上網(wǎng)而不允許 Host B 上網(wǎng)，則有一種方式可以欺騙防火墻進(jìn)行上網(wǎng)，就是在 HostA 還沒有開機(jī)的時候，將 HostB 的 IP 地址換成Host A 的 IP 地址就可以上網(wǎng)了。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標(biāo)識請求相類似的服務(wù)。 SNMP： 選擇此選項可啟用 SNMP 管理功能。 Tel： 選擇此選項可啟用 Tel 管理功能。 NETSCREEN 防火墻有四種用戶配置模式，即：普通模式（ Unprivileged mode）、特權(quán)模式（ Privileged Mode）、配置模式（ Configuration Mode）和端口模式（ Interface Mode）。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設(shè)計的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問等進(jìn)行實時監(jiān)控，并提供 VPN 服務(wù)，為用戶提供全面的保護(hù)。 DNAT 主要用于外網(wǎng)主機(jī)訪問內(nèi)網(wǎng)主機(jī)； （ 3） 認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。應(yīng)用服務(wù)當(dāng)中EMAIL、 DNS 和 WWW 服務(wù)需要外網(wǎng)能夠訪問，因此將這些服務(wù)規(guī)劃 到 DMZ 區(qū)。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。 通過 NAT（ 網(wǎng)絡(luò)地址轉(zhuǎn)換 ） 技術(shù) 將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng) IP 地址。 DMZ（ 非軍事區(qū) ） ：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如 Web 服務(wù)器、郵件服務(wù)器、 DNS 服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。 在實際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個不同級別的安全區(qū)域： 內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機(jī)。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的 Linux，憑借 Linux 本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 防火墻配置 17 4. 防火墻配置 飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機(jī)，Inter 的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時 Inter 里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞