【正文】 因此，通過這種方式有兩個(gè)優(yōu)點(diǎn)，第一是這些服務(wù)器可以使用私有地址，同時(shí)也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時(shí)黑客進(jìn)行攻擊，內(nèi)網(wǎng)是安 全的，因?yàn)?Web 服務(wù)器公開的地址是防火墻的外端口，真正的 WEB 服務(wù)器的地址不會(huì)受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。綁定針對(duì) IP 欺騙的行為， 網(wǎng)絡(luò)設(shè)置中將工作站的 IP 地址與網(wǎng)卡的 MAC 地址進(jìn)行綁定。啟用 Identreset 選項(xiàng)后， NetScreen設(shè)備將發(fā)送 TCP 重置通知以響應(yīng)發(fā)往端口 113 的 IDENT 請(qǐng)求，然后恢復(fù)因未確認(rèn)標(biāo)識(shí)請(qǐng)求而被阻止的訪問。選擇此選項(xiàng)可啟用 SSH 管理功能。也可以通過 tel 和Tftp 配置方式進(jìn)行高級(jí)配置，但必需先由 Console 將防火墻的這些功能打開。并將有限的 IP 地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部 IP 地址對(duì)應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。如果原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。這個(gè)區(qū)域?yàn)榉?火墻的非可信網(wǎng)絡(luò)區(qū)域 （ 也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的 ） 。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強(qiáng)大的多，它還包括 CF（內(nèi)容過濾）、 IDS（入侵偵測(cè)）、 IPS（入侵防護(hù)）以及 VPN 等功能。而編號(hào) 100 以上的稱作擴(kuò)展訪問列表，它可測(cè)試 IP 包的第 3 層和第 4 層報(bào) 頭中的其他字段，比標(biāo)準(zhǔn)訪問列表具有更多的匹配項(xiàng)，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和 IP 優(yōu)先級(jí)等 。 Trunk 鏈路配置命令 ： Switch(config)interface range [interfacenumber] Switch (configifrange)switchport trunk encapsulation dot1q Switch (configifrange)switchport mode trunk Switch (configifrange)switchport allow trunk all 訪問控制列表 訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。這種技術(shù)可以把一個(gè) LAN 劃分成多個(gè)邏輯的 VLAN，每個(gè) VLAN 是一個(gè)廣播域， VLAN 內(nèi)的主機(jī)間通信就和在一個(gè) LAN 內(nèi)一樣，而 VLAN 間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè) VLAN 內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。 內(nèi)網(wǎng)安全策略 ： （ 1） 報(bào)文阻斷策略，通過設(shè)置報(bào)文阻斷策略，實(shí)現(xiàn)對(duì)二、三層的訪問控制； （ 2） 訪問控制規(guī)則，通過設(shè)置訪問控制規(guī)則，實(shí)現(xiàn)對(duì)三到七層的訪問控制； （ 3） IP/MAC 地址綁定， 將 IP 地址與 MAC 地址綁定從而防止非法用戶冒充 IP 地址進(jìn)行非法訪問； （ 4） 病毒防御。 安全規(guī)劃 安全方面分為內(nèi)網(wǎng)和外網(wǎng)兩部分。公司網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)可能包括以下幾個(gè)： （ 1） 公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來自各地的越權(quán)訪問，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計(jì)算機(jī)病毒的入侵； （ 2） 內(nèi)部的各個(gè)子網(wǎng)通過骨干交換相互連接，這樣的話，某些重要的部門可能會(huì)遭到來自其它部門的越權(quán)訪問。 Apache 有多種產(chǎn)品，可以支持 SSL 技術(shù)，支持多個(gè) 虛擬主機(jī) 。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺(tái)輔助域控。例如，一位管理人員可能需要恢復(fù)幾個(gè)月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復(fù)存儲(chǔ)組”功能，管理員可以恢復(fù)個(gè)人用戶的郵箱，以便查找以前刪除的重要電子郵件。 DHCP 服務(wù)器的操作系統(tǒng)選擇 Windows Server 2020。 端口在設(shè)備中的位置：槽位號(hào) 適配號(hào) 端口號(hào)。 根據(jù)公司情況，每個(gè)部門劃分為一個(gè) VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對(duì)匯聚層交換機(jī)進(jìn)行配置來實(shí)現(xiàn)。 相對(duì)于其它協(xié)議， OSPF 有許多優(yōu)點(diǎn)。 路由協(xié)議選擇 圖 22 路由協(xié)議 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 7 為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是 OSPF 協(xié)議和 EIGRP 協(xié)議， OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而 EIGRP 協(xié)議由 Cisco 公司發(fā)明，只有 Cisco 公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的。 Cisco Catalyst 3750G12S 提供 12 個(gè)千兆位以太網(wǎng) SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機(jī)和中心核心機(jī)房的 Catalyst 4506 交換機(jī) 。 核心層多業(yè)務(wù)、高可靠、大容量設(shè)計(jì)，所有關(guān)鍵部件均采用冗余 熱備份設(shè)計(jì)，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份。每個(gè)層次有不同的功能。 網(wǎng)路層次化設(shè)計(jì) 網(wǎng)絡(luò)的設(shè)計(jì)模型主要包括層次化設(shè)計(jì)模型和非層次化設(shè)計(jì)模型兩種。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 4 2. 網(wǎng)絡(luò)整體設(shè)計(jì) 網(wǎng)絡(luò)拓 撲 圖 21 網(wǎng)絡(luò)拓?fù)? 計(jì)算機(jī)網(wǎng)絡(luò)的組成元素可以分為兩大類，即網(wǎng)絡(luò)節(jié)點(diǎn)（又 可分為端節(jié)點(diǎn)和轉(zhuǎn)發(fā)節(jié)點(diǎn)）和通信鏈路，網(wǎng)絡(luò)中節(jié)點(diǎn)的互聯(lián)模式叫 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。 （ 4）打印機(jī)共享 。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具 有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常金融交易，且作為金融公司，某些投資機(jī)密需要很高的保密度，所以公司網(wǎng)絡(luò)要有很高的可靠性和安全性。 金融企業(yè)的特點(diǎn)是數(shù)據(jù)傳輸量大， 數(shù)據(jù)機(jī)密度高，所以金融業(yè)網(wǎng)絡(luò)就要求高效、穩(wěn)定和安全，合理的網(wǎng) 絡(luò)結(jié)構(gòu)設(shè)計(jì)能至關(guān)重要。一般是方圓幾千米以內(nèi)。 Acl。其中，核心層采用兩臺(tái)設(shè)備，配置 Cisco HSRP 協(xié)議進(jìn)行雙機(jī)熱備份。匯聚層采用雙鏈路與核心相連，提高鏈路的穩(wěn)定性同時(shí)采用雙鏈路捆綁提高網(wǎng)絡(luò)鏈路帶寬利用率，所有網(wǎng)關(guān)設(shè)在匯聚層避免廣播到達(dá)核心，提高核心路由的利用率以達(dá)到數(shù)據(jù)高速轉(zhuǎn)發(fā)的要求。 Firewall 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 目錄 III 目 錄 摘 要 .................................................................................................................................... I ABSTRACT ......................................................................................................................... II 目 錄 ..............................................................................................................................III 緒 論 ................................................................................................................................... 1 1. 需求分析 ......................................................................................................................... 2 項(xiàng)目背景 ................................................................................................................ 2 設(shè)計(jì)目標(biāo) ................................................................................................................ 2 用戶現(xiàn)實(shí)需求 ........................................................................................................ 3 2. 網(wǎng)絡(luò)整體設(shè)計(jì) ................................................................................................................. 4 網(wǎng)絡(luò)拓?fù)? ................................................................................................................ 4 網(wǎng)路層次化設(shè)計(jì) .................................................................................................... 4 核心層設(shè)計(jì) ................................................................................................. 5 匯聚層設(shè)計(jì) ................................................................................................. 5 接入層設(shè)計(jì) ................................................................................................. 6 路由協(xié)議選擇 ............................................................................................. 6 VLAN 的劃分及 IP 地址規(guī)劃和設(shè)備命名規(guī)則 ..................................................... 7 服務(wù)器群組 ............................................................................................................ 9 DHCP 服務(wù)器 ................................................................................................ 9 郵件服務(wù)器 ................................................................................................10 WEB 服務(wù)器 ................................................................................................. 11 3. 安全策略 ........................................................................................................................12 網(wǎng)絡(luò)威脅因素分析 ...............................................................................................12 安全要求 ...............................................................................................................12 安全規(guī)劃 ..............................................................................................................12 安全產(chǎn)品選型原則 ...............................................................................................13 安全策略部署 .......................................