【正文】 等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應(yīng)運而生，實現(xiàn)著管理者的安全策略，有效地維護這企業(yè)保護網(wǎng)絡(luò)的安全。 標(biāo)準(zhǔn)訪問列表配置命令 ： Router(config)accesslist [accesslistnumber] {permit|deny} source [mask] /*為訪問列表設(shè)置參數(shù) ， IP 標(biāo)準(zhǔn)訪問列表編號 1 到 99， 缺省的通配符掩碼 = */ 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 安全策略 16 Router(configif)ip accessgroup [accesslistnumber] { in | out } /*在端口上應(yīng)用訪問列表 ， 指明是進方向還是出方向 */ 擴展訪問列表配置命令 ： Router(config) accesslist [accesslistnumber] { permit | deny } protocol source sourcewildcard [operator port] destination destinationwildcard [ operator port ] [ established ] [log] /*為標(biāo)準(zhǔn)訪問列表設(shè)置參數(shù) ， 可具體到某個端口 ， 某種協(xié)議 */ 根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配置訪問控制。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個重要方法。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。 Trunk 是一種封裝技術(shù)，它是一條點到點的鏈路 ，鏈路的兩端可以都是交換機，也可以是交換機和路由器。 將各部門劃屬不同的 VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是 資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個VLAN 的電腦是無法訪問它的。 安全策略部署 VLAN 技術(shù) VLAN（ Virtual Local Area Network）的中文名為“虛擬 局域網(wǎng) ”。能夠?qū)κ褂?HTTP、 FTP 傳輸?shù)奈募约皩κ褂?SMTP、 POP3 和 IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。 安全級別定義： （ 1） 公網(wǎng)區(qū)域為不可信任區(qū)； （ 2） DMZ 區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務(wù)等）但受到防火墻嚴(yán) 格控制； （ 3） 內(nèi)部用戶區(qū)域為信任 區(qū)域。 內(nèi)網(wǎng)方面安全區(qū)域劃分五個區(qū)域： 外網(wǎng)（黨政信息內(nèi)網(wǎng)）、 DMZ 區(qū)域（服務(wù)器區(qū)域）、 內(nèi)部用戶區(qū)域、行業(yè)其他單位連接、 公網(wǎng)區(qū)域。 安全要求 （ 1） 物理安全 ： 包括保護計算機網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤導(dǎo)致系統(tǒng)損壞，同時要避 免由于電磁泄漏引起的信息失密。這些越權(quán)訪問可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計約有 70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣， 結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓； （ 3） 設(shè)備的自身安全性也會直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 安全策略 12 3. 安全策略 網(wǎng)絡(luò)威脅因素分析 對于金融業(yè)來說，網(wǎng)絡(luò)的安全性是相當(dāng)重要的。它是以 進程 為基礎(chǔ)的結(jié)構(gòu)，進程要比 線程 消耗更多的系統(tǒng)開支。本方案中 web 服務(wù)器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及金融市場信息以供用戶網(wǎng)上參考。當(dāng)然，還需要在 DNS 服務(wù)器中寫入記錄，這樣發(fā)出的郵件才 知道去處。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動監(jiān)視整個 Exchange 環(huán)境，從而使用戶能夠?qū)? Exchange 問題預(yù)先采取管理措施并快速予以解決。其他新的管理功能包括： 并行移動多個郵箱。在這里我們選用微軟 exchange server 2020作為服務(wù)器端軟件，該版本也是 Microsoft exchange server 中應(yīng)用最廣泛，功能最穩(wěn)定的一個版本。 由于 DHCP 服務(wù)器與公司其他 PC 機在不同的 VLAN 中，所以還需要在匯聚層交換機上配置 DHCP 中繼服務(wù)功能才能成功運行 DHCP 服務(wù)。 注 意：若一個槽位，只能安裝一塊適配器板卡標(biāo)示時，請忽略板卡位置號。 空間地理位置：即設(shè)備放置的地理位置。 設(shè)備端口的命名規(guī)則和編碼設(shè)計按照端口類型、端口在本端設(shè)備中的位置、接口速率、本端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置、 本端設(shè)備編號、電路傳輸方向、對端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置和對端設(shè)備編號的順序命名。 表 21 IP地址分 配表 IP 地址配置命令： Switch(config) [interface] Switch (configif)no switchport Switch (configif)ip address [ipadd] [submask] Switch (configif)no shutdown 設(shè)備名稱代碼表： 表 22 設(shè)備廠商、設(shè)備型號對照表 部門 VLAN 網(wǎng)段 網(wǎng)關(guān) 子網(wǎng)掩碼 資產(chǎn)管理部 5 營業(yè)廳 4 財務(wù)部 3 經(jīng)理室 2 人力資源部 6 后勤部 7 服務(wù)器群組 6 序號 廠商 名稱縮寫 設(shè)備型號 名稱縮寫 設(shè)備信息 1 思科 CISCO Quidway 6506 6506 CISCOI6506 2 黑盾 HDFW HDFW2608 Q2608 HDFWQ2608 3 DLINK DLINK DLINK 1216 D1216 DLINK1216 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 9 表 23 設(shè)備端口簡寫名稱對照表 序號 物理端口表示 名稱簡寫 1 POS POS 2 百兆以太口 FE 3 千兆以太口 GE 4 萬兆以太口 10GE 5 E1 CE 6 Loopback L 7 MultiLink M 8 CHANNELGROUP CH 設(shè)備的命名規(guī)則按照設(shè)備的空間地理位置、設(shè)備在網(wǎng)絡(luò)中的邏輯位置、設(shè)備類型和設(shè)備編號的順序來命名。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個 VLAN 內(nèi)，網(wǎng)絡(luò)管理人員只需要對網(wǎng)絡(luò)設(shè)備的交換端口進行分配即可，不用考慮端口所連接的設(shè)備。 OSPF 支持各種不同鑒別機制（如簡單口令驗證， MD5 加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不 相同的鑒別機制；提供負載均衡功能，如果計算出到某個目的站有若干 費用相同的路由， OSPF 路由器會把通信流 量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓撲結(jié)構(gòu)計算最短路徑，這減少了 OSPF 路由實現(xiàn)的工作量； OSPF 屬動態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變化可以迅速地做出反應(yīng)，進行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比， OSPF 在對網(wǎng)絡(luò)拓撲變化的處理過程中僅需要最少的通信流量；OSPF 提供點到多點接口，支持 CIDR（無類 域間路由）地址。OSPF 將整個 AS 劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲結(jié)構(gòu)?？紤]網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護等原因，我們選擇 OSPF 路由協(xié)議 。 Cisco Catalyst 2960 系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強 LAN 服務(wù)。 接入層設(shè)計 接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。這個新的產(chǎn)品系列采用了最新的思 StackWise 技術(shù)，不但實現(xiàn)高達 32Gbps 的 堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng) ， 就好像是一整臺交換機一樣。 匯聚層 設(shè)計 在 6個弱電間分別設(shè)置一臺 Cisco WSC3750G12SE以太網(wǎng)交換機作為匯聚層交換機，上聯(lián)核心層交換機，下聯(lián)接入層交換機，對下屬設(shè)備進行三層交換處理。 核心層設(shè)計 核心交換機通過配置高性能交換路由引擎、冗余電源，來實現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)的高可用和高可靠性。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起主要功能是高速、可靠的進行數(shù)據(jù)交換。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留看基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時，設(shè)備上的 CPU 必然會承受相當(dāng)大的負載，不利于網(wǎng)絡(luò)的運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。樹形拓撲通常采用同軸電纜作為傳輸介質(zhì)，而且使用寬帶傳輸技術(shù)。網(wǎng)絡(luò)拓撲定義了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中常用的拓撲結(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)、樹形結(jié)構(gòu)。 （ 9）網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。 （ 5）公司內(nèi)部要網(wǎng)絡(luò)接入 Inter。 用戶現(xiàn)實需求 （ 1）實現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但是對不同的資源要有相應(yīng)的權(quán)限。 （ 5）技術(shù)先進性和實用性 —— 保證滿足金融交易系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn) 網(wǎng)絡(luò)系統(tǒng)的先進性。 （ 2）高性能 —— 承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為金融公司各項業(yè)務(wù)開展的瓶頸?？紤]的日后公司的擴張，所以網(wǎng)絡(luò)系統(tǒng)要有可擴展性。將傳統(tǒng)的管理模式轉(zhuǎn)變到數(shù)字化的現(xiàn)代管理模式，有助于各類資 源的系統(tǒng)整合，長遠來看將提高公司在未來市場經(jīng)濟中的競爭力。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)分層設(shè)計模型“多層次設(shè)計”。 信息技術(shù)自誕生之日起，就對金融行業(yè)產(chǎn)生了深遠的影響，尤其是上世紀(jì) 90年代以來，隨著金 融服務(wù)業(yè)全球化和競爭日益劇烈 ， 促使金融公司加快運用各種新的信息技術(shù)手段來提高公司管理水平 ， 可以說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。企業(yè)局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競爭優(yōu)勢。 Firewall 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 目錄 III 目 錄 摘 要 .................................................................................................................................... I ABSTRACT ......................................................................................................................... II 目 錄 ..............................................................................................................................III 緒 論 ................................................................................................................................... 1 1. 需求分析 ......................................................................................................................... 2 項目背景 ................................................................................................................ 2 設(shè)計目標(biāo) ........................