【正文】 因此，通過這種方式有兩個優(yōu)點，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊，內(nèi)網(wǎng)是安 全的，因為 Web 服務(wù)器公開的地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址不會受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。綁定針對 IP 欺騙的行為， 網(wǎng)絡(luò)設(shè)置中將工作站的 IP 地址與網(wǎng)卡的 MAC 地址進行綁定。啟用 Identreset 選項后， NetScreen設(shè)備將發(fā)送 TCP 重置通知以響應(yīng)發(fā)往端口 113 的 IDENT 請求，然后恢復(fù)因未確認標識請求而被阻止的訪問。選擇此選項可啟用 SSH 管理功能。也可以通過 tel 和Tftp 配置方式進行高級配置，但必需先由 Console 將防火墻的這些功能打開。并將有限的 IP 地址動態(tài)或靜態(tài)的與內(nèi)部 IP 地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。如果原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。這個區(qū)域為防 火墻的非可信網(wǎng)絡(luò)區(qū)域 （ 也是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的 ） 。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強大的多，它還包括 CF（內(nèi)容過濾）、 IDS（入侵偵測）、 IPS（入侵防護）以及 VPN 等功能。而編號 100 以上的稱作擴展訪問列表，它可測試 IP 包的第 3 層和第 4 層報 頭中的其他字段，比標準訪問列表具有更多的匹配項，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和 IP 優(yōu)先級等 。 Trunk 鏈路配置命令 ： Switch(config)interface range [interfacenumber] Switch (configifrange)switchport trunk encapsulation dot1q Switch (configifrange)switchport mode trunk Switch (configifrange)switchport allow trunk all 訪問控制列表 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。這種技術(shù)可以把一個 LAN 劃分成多個邏輯的 VLAN，每個 VLAN 是一個廣播域， VLAN 內(nèi)的主機間通信就和在一個 LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報文被限制在一個 VLAN 內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。 內(nèi)網(wǎng)安全策略 ： （ 1） 報文阻斷策略，通過設(shè)置報文阻斷策略，實現(xiàn)對二、三層的訪問控制； （ 2） 訪問控制規(guī)則，通過設(shè)置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制； （ 3） IP/MAC 地址綁定， 將 IP 地址與 MAC 地址綁定從而防止非法用戶冒充 IP 地址進行非法訪問； （ 4） 病毒防御。 安全規(guī)劃 安全方面分為內(nèi)網(wǎng)和外網(wǎng)兩部分。公司網(wǎng)絡(luò)的安全風(fēng)險可能包括以下幾個： （ 1） 公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來自各地的越權(quán)訪問，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計算機病毒的入侵； （ 2） 內(nèi)部的各個子網(wǎng)通過骨干交換相互連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權(quán)訪問。 Apache 有多種產(chǎn)品，可以支持 SSL 技術(shù)，支持多個 虛擬主機 。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺輔助域控。例如，一位管理人員可能需要恢復(fù)幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復(fù)存儲組”功能，管理員可以恢復(fù)個人用戶的郵箱，以便查找以前刪除的重要電子郵件。 DHCP 服務(wù)器的操作系統(tǒng)選擇 Windows Server 2020。 端口在設(shè)備中的位置：槽位號 適配號 端口號。 根據(jù)公司情況，每個部門劃分為一個 VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對匯聚層交換機進行配置來實現(xiàn)。 相對于其它協(xié)議， OSPF 有許多優(yōu)點。 路由協(xié)議選擇 圖 22 路由協(xié)議 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 7 為達到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是 OSPF 協(xié)議和 EIGRP 協(xié)議， OSPF 以協(xié)議標準化強，支持廠家多，受到廣泛應(yīng)用，而 EIGRP 協(xié)議由 Cisco 公司發(fā)明，只有 Cisco 公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的。 Cisco Catalyst 3750G12S 提供 12 個千兆位以太網(wǎng) SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的 Catalyst 4506 交換機 。 核心層多業(yè)務(wù)、高可靠、大容量設(shè)計，所有關(guān)鍵部件均采用冗余 熱備份設(shè)計，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份。每個層次有不同的功能。 網(wǎng)路層次化設(shè)計 網(wǎng)絡(luò)的設(shè)計模型主要包括層次化設(shè)計模型和非層次化設(shè)計模型兩種。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 網(wǎng)絡(luò)整體設(shè)計 4 2. 網(wǎng)絡(luò)整體設(shè)計 網(wǎng)絡(luò)拓 撲 圖 21 網(wǎng)絡(luò)拓撲 計算機網(wǎng)絡(luò)的組成元素可以分為兩大類，即網(wǎng)絡(luò)節(jié)點（又 可分為端節(jié)點和轉(zhuǎn)發(fā)節(jié)點）和通信鏈路，網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫 網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。 （ 4）打印機共享 。選用先進的網(wǎng)絡(luò)管理平臺，具 有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常金融交易，且作為金融公司，某些投資機密需要很高的保密度，所以公司網(wǎng)絡(luò)要有很高的可靠性和安全性。 金融企業(yè)的特點是數(shù)據(jù)傳輸量大， 數(shù)據(jù)機密度高，所以金融業(yè)網(wǎng)絡(luò)就要求高效、穩(wěn)定和安全，合理的網(wǎng) 絡(luò)結(jié)構(gòu)設(shè)計能至關(guān)重要。一般是方圓幾千米以內(nèi)。 Acl。其中，核心層采用兩臺設(shè)備，配置 Cisco HSRP 協(xié)議進行雙機熱備份。匯聚層采用雙鏈路與核心相連，提高鏈路的穩(wěn)定性同時采用雙鏈路捆綁提高網(wǎng)絡(luò)鏈路帶寬利用率，所有網(wǎng)關(guān)設(shè)在匯聚層避免廣播到達核心，提高核心路由的利用率以達到數(shù)據(jù)高速轉(zhuǎn)發(fā)的要求。 Firewall 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計（論文） 目錄 III 目 錄 摘 要 .................................................................................................................................... I ABSTRACT ......................................................................................................................... II 目 錄 ..............................................................................................................................III 緒 論 ................................................................................................................................... 1 1. 需求分析 ......................................................................................................................... 2 項目背景 ................................................................................................................ 2 設(shè)計目標 ................................................................................................................ 2 用戶現(xiàn)實需求 ........................................................................................................ 3 2. 網(wǎng)絡(luò)整體設(shè)計 ................................................................................................................. 4 網(wǎng)絡(luò)拓撲 ................................................................................................................ 4 網(wǎng)路層次化設(shè)計 .................................................................................................... 4 核心層設(shè)計 ................................................................................................. 5 匯聚層設(shè)計 ................................................................................................. 5 接入層設(shè)計 ................................................................................................. 6 路由協(xié)議選擇 ............................................................................................. 6 VLAN 的劃分及 IP 地址規(guī)劃和設(shè)備命名規(guī)則 ..................................................... 7 服務(wù)器群組 ............................................................................................................ 9 DHCP 服務(wù)器 ................................................................................................ 9 郵件服務(wù)器 ................................................................................................10 WEB 服務(wù)器 ................................................................................................. 11 3. 安全策略 ........................................................................................................................12 網(wǎng)絡(luò)威脅因素分析 ...............................................................................................12 安全要求 ...............................................................................................................12 安全規(guī)劃 ..............................................................................................................12 安全產(chǎn)品選型原則 ...............................................................................................13 安全策略部署 .......................................