【正文】 通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡的能力。 VLAN 是一種將局域網(wǎng)設備從 邏輯 上劃分成一個個 網(wǎng)段 ，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。 IPS 對進出數(shù)據(jù) 進行訪問檢測，本項目中外網(wǎng)中 IPS 劃分兩條物理隔離的鏈路分別檢測內(nèi)部用戶數(shù)據(jù)流量和 DMZ 區(qū)域數(shù)據(jù)流量。 （ 2） 網(wǎng)絡安全 ： 主要包括系統(tǒng)安全和網(wǎng)絡運行安全，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡訪問的控制。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務使得 公司網(wǎng)絡必須與公網(wǎng)相連，這樣必然存在著安全風險。 本方案中，我們選擇 Linux 作為 web 服務器的操作系統(tǒng)，所以服務器端軟件則用Apache。 在部署 exchange 2020 郵件服務器之前，首先為公司申請合 法 的域名，建立域控服務器，打開“運行”對話框，輸入 dcpromo 命令，然后根據(jù)向?qū)?chuàng)建域控服務器。 exchange server 2020 常見的任務包括：備份與還原、建立新郵箱、恢復、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應用更新和修補程序等。 服務器群組 DHCP服務器 由于公司整個網(wǎng)絡節(jié)點較多，若是由網(wǎng)管人員分別為每臺 PC 機配置 IP 地址那將是一件非常麻煩的事，而且也不利于網(wǎng)絡 IP 地址的管理，所以我們采用 DHCP 服務器，為接入公司網(wǎng)絡的 PC 機自動分配 IP 地址。 端口類型 端口在本端設備中的位置 帶寬 TO對端設備的空間地理位置 網(wǎng)絡的邏輯位置 對端設備類型 對端設備編號。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一東華理工大學軟件學院畢業(yè)設計（論文） 網(wǎng)絡整體設計 8 地標示網(wǎng)絡中的一個節(jié)點。 OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。 Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡準入控制 （ NAC） 、高級服務質(zhì)量 （ QoS） 和永續(xù)性，可為網(wǎng)絡邊緣提供智能服務。 對于中型企業(yè)網(wǎng)絡來說， Cisco Catalyst 3750 系列通過提供配置靈活性、支持融合網(wǎng)絡模式及自動進行智能網(wǎng)絡服務配置，簡化了融合應用的部署，并可針對不斷變化的業(yè)務需求進行調(diào)整。此處使用 Catalyst 3560G48PS 路由交換機作為內(nèi)、外網(wǎng)的核心交換機，配置 Salience VI10GE 交換路由引擎，分別配置 24 端口千兆以太網(wǎng)電接口模塊（ LSQM1GT24SC0）和 24 端口千兆 /百兆以太網(wǎng)光接口模塊（ LSQM1GP24SC0），對外提供千兆光口和千兆電口接入，光 口用于連接各配線間的匯聚交換機，電口用于部分服務器的接入。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡的故障進行很好的隔離。樹形拓撲易于故障隔離，樹形拓撲 的缺點是 對根的依賴太大，如果根發(fā)生故障，則整個網(wǎng)絡不能正常工作。要繼續(xù)承載企業(yè)的辦公自動化， Web 瀏覽等簡單的數(shù)據(jù)業(yè)務，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務應用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的 IP 電話、視頻會議等多媒體業(yè)務，并實現(xiàn)千兆位到桌面。 （ 2）滿足公司日常金融交易，交易數(shù)據(jù)的傳輸和存儲。 （ 3）安全性 —— 制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡平臺的安全性。 東華理工大學軟件學院畢業(yè)設計（論文） 需求分 析 2 1. 需求分析 項目背景 XX 金融是一家剛剛成立的金融公司，公司有資產(chǎn)管理部、財務部、人力資源部、后勤部、經(jīng)理室（管理部門）和營業(yè)部 6 個部門， 6 個部門分布在兩個樓層。網(wǎng)絡技術(shù)的發(fā)展，讓網(wǎng)上交易迅速普及，網(wǎng)上交易有助于金融公司提高工作效率，降低出錯率，也方便金融公司對客戶的管理。眾多行業(yè)巨擘紛紛上馬各種應用方案且取得了巨大的成功，這使信息化建設更具吸引力。 Hsrp。針對金融行業(yè)的特點，本文介紹了一個行業(yè)專用 網(wǎng)絡的整體設計方案。服務器群組則重點介紹了DHCP、郵件服務器及 FTP 服務器等企業(yè)中較常用到的服務器的軟件選擇及搭建方法。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。 企業(yè)局域網(wǎng)建設是信息時代的必然產(chǎn)物，企業(yè)局域網(wǎng)的構(gòu)建是社會發(fā)展的趨勢，網(wǎng)絡給企業(yè)帶來財富的同時也給企業(yè)帶來了挑戰(zhàn)。而現(xiàn)在強大的防火墻技術(shù)和各種各樣的安全策略被應用到企業(yè)網(wǎng)絡中，安全得到了保障，那么網(wǎng)路對于企業(yè)的發(fā)展就真正起到了推進的作用。還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應企業(yè)辦公環(huán)境的調(diào)整和變化，即VLAN 的整體劃分。 （ 6）標準開放性 —— 支持國際上通用標準的網(wǎng)絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡 （ 如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡、行內(nèi)其它網(wǎng)絡 ） 之間的平滑連接互通，以及將來網(wǎng)絡的擴展。 （ 7）為保證安全， Inter 與公司內(nèi)部網(wǎng)絡間應采用防護措施，防止外界對內(nèi)部網(wǎng)絡未經(jīng)授權(quán)的訪問。樹形拓撲 由總線拓 撲演變而來。 多層設計師模塊化的，網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增加而不斷增大。接入層主要提供最終用戶接入網(wǎng)絡的途徑。包括訪問控制列表、VLAN 路由等等。建議接入層交換機采用思科的 2960 系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供 10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。后期若有分支機 構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。 其格式為： 空間地理位置 設備類型 設備編號 樓層號 。 設備類型：以設備廠家和設備的型號來命名 。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更好更安全的管理。 增強的隊列查看器，它使用戶能夠從同一控制臺同時查看 SMTP 和 隊列。從該公東華理工大學軟件學院畢業(yè)設計（論文） 網(wǎng)絡整體設計 11 司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的 PC 服務器才能滿足基本的性能要求。 Apache 的特點是簡單、速度快、性能穩(wěn)定，并可做 代理服務器 來使用。重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會為網(wǎng)絡的安全帶來很多不安定的因素。 在 防火墻上進行設置，包括用 ACL 進行流量控制、關閉病毒端口、 NAT 的轉(zhuǎn)換等。 安全產(chǎn)品選型原則 XX 金融公司網(wǎng)絡屬于一個行業(yè)的專用網(wǎng)絡，因此在安全產(chǎn)品的選型上，必須慎東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 14 重。另外， VLAN 為網(wǎng)絡管理帶來了很大的方便，將每個部門劃分為一個 VLAN，每個 VLAN 內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡管理人員的工作效率。訪問控制列表 （ ACL） 是應用在路由器接口的指令列表。當然，寫完訪問列表后，要將其應用在相應的端口上。 防火墻網(wǎng)絡安全策略 討論防火墻安全策略一般實施兩個基本設計方針之一： （ 1） 拒絕訪問除明確許可以外的任何一種服務，即拒絕一切未予特許的東西 ； （ 2） 允許訪問除明確拒絕以外的任何一種服務，即允許一切未被特別拒絕的東西 。雖然內(nèi)部網(wǎng)絡和 DMZ 區(qū)都屬于內(nèi)部網(wǎng)絡的一部分，但它們的安全級別 （ 策略 ） 是不同的。它可只經(jīng)過路由器的簡單防護。同時支持 URL 過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。 ） 設置接口帶寬 ： Set interface interface bandwidth number unset interface interface bandwidth 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 20 設置接口的網(wǎng)關 ： set interface interface gateway ip_addr unset interface interface gateway 設置接口的 區(qū)域 ， IP 地址 zone 就是網(wǎng)絡邏輯上劃分成區(qū) ， 可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略。 NS Security Manager： 選擇此選項將允許接口接收 NetScreenSecurityManager 信息流。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源 IP 地址與目的 IP 地址是不同的，無法實現(xiàn) IP 地址與 MAC 的綁定。實現(xiàn)方法是通過 IP東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 22 地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。因此，通過這種方式有兩個優(yōu)點，第一是這些服務器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進 行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為 地址是防火墻的外端口，真正的 WEB 服務器的地址是 不。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務器不會受到影響，整個網(wǎng)絡也不需要進行改動。 另外對 DHCP 用戶的支持，如果在用 DHCP 服務器來動態(tài)分配 IP 地址的網(wǎng)絡中，主機沒有固定的 IP 地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題 ，第一種是在防火墻中內(nèi)置 DHCP 服務器，但這種方式由于防火墻內(nèi)置 DHCP服務器，會導致防火墻本身的不安全，如果有一天防火墻失效，造成 DHCP 服務器宕機會影響整個網(wǎng)絡而并不僅僅只對出口造成影響。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標識請求相類似的服務。 Tel： 選擇此選項可啟用 Tel 管理功能。 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問等進行實時監(jiān)控，并提供 VPN 服務，為用戶提供全面的保護。應用服務當中EMAIL、 DNS 和 WWW 服務需要外網(wǎng)能夠訪問，因此將這些服務規(guī)劃 到 DMZ 區(qū)。 通過 NAT（ 網(wǎng)絡地址轉(zhuǎn)換 ） 技術(shù) 將受保護的內(nèi)部網(wǎng)絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網(wǎng) IP 地址。 在實際應用環(huán)境中，一般情況下防火墻網(wǎng)絡可劃分為三個不同級別的安全區(qū)域： 內(nèi)部網(wǎng)絡：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡設備及用戶主機。 東華理工大學軟件學院畢業(yè)設計（論文） 防火墻配置 17 4. 防火墻配置 飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Inter 的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時 Inter 里也存在著許多不安全的因素，網(wǎng)絡信息的非法獲取、網(wǎng)絡體系的不期破壞等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應運而生，實現(xiàn)著管理者的安全策略，有效地維護這企業(yè)保護網(wǎng)絡的安全。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡中數(shù)據(jù)流量的一個重要方法。 Trunk 是一種封裝技術(shù)，它是一條點到點的鏈路 ，鏈路的兩端可以都是交換機，也可以是交換機和路由器。 安全策略部署 VLAN 技術(shù) VLAN（ Virtual Local Area Network）的中文名為“虛擬 局域網(wǎng) ”。 安全級別定義： （ 1） 公網(wǎng)區(qū)域為不可信任區(qū)； （ 2） DMZ 區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務等）但受到防火墻嚴 格控制； （ 3） 內(nèi)部用戶區(qū)域為信任 區(qū)域。 安全要求 （ 1） 物理安全 ： 包括保護計算機網(wǎng)絡設備設施以及數(shù)據(jù)庫資料免遭地震、水災、火災等環(huán)境事故以及人為操作失誤導致系統(tǒng)損壞，同時要避 免由于電磁泄漏引起的信息失密。 東華理工大學軟件學院畢業(yè)設計（論文） 安全策略 12 3. 安全策略 網(wǎng)絡威脅因素分析 對于金融業(yè)來說，網(wǎng)絡的安全性是相當重要的。本方案中 web 服務器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及金融市場信息以供用戶網(wǎng)上參考。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動監(jiān)視整個 Exchange 環(huán)境，從而使用戶能夠?qū)? Exchange 問題預先采取管理措施并快速予以解決。在這里我們選用微軟 exchange server 2020作為服務器端軟件，該版本也是 Microsoft exchange server 中應用最廣泛，功能最穩(wěn)定的一個版本。 注 意：若一個槽位，只能安裝一塊適配器板卡標示時，請忽略板卡位置號。 設備端口的命名規(guī)則和編碼設計按照端口類型、端口在本端設備中的位置、接口速率、本端設備的空間地理位置、在網(wǎng)絡中的邏輯位置、 本端設備編號、電路傳輸方向、對端設備的空間地理位置、在網(wǎng)絡中的邏輯位置和對端設備編號的順序命名。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個 VLAN 內(nèi)，網(wǎng)絡管理人員只需要對網(wǎng)絡設備的交換端口進行分配即可，不用考慮端口所連接的設備。OSPF 將