【正文】 另外對(duì) DHCP 用戶的支持，如果在用 DHCP 服務(wù)器來(lái)動(dòng)態(tài)分配 IP 地址的網(wǎng)絡(luò)中，主機(jī)沒(méi)有固定的 IP 地址，解決方法是設(shè)置防火墻支持基于 MAC 地址的訪問(wèn)控制，在配置之前，先不添 IP 地址，只添加網(wǎng)卡的 MAC 地址，開(kāi)機(jī)后自動(dòng)將獲得的 IP 地址傳給防火墻，防火墻根據(jù)這個(gè) IP 地址與 MAC 地址進(jìn)行綁定來(lái)實(shí)現(xiàn)訪問(wèn)控制，這種方式可以實(shí)現(xiàn) IP 地址與 MAC 地址的綁定。 Ping： 選此選項(xiàng)將允許 NetScreen 設(shè)備響應(yīng) ICMP 回應(yīng)請(qǐng)求，以確定是否可通過(guò)網(wǎng)絡(luò)訪問(wèn)特定的 IP 地址。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透 明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn) ； 防火墻還 支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)； （ 5） 入侵檢測(cè) ： 通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自互聯(lián)網(wǎng)用戶的訪問(wèn)；而由內(nèi)部網(wǎng)絡(luò)劃分出去的 DMZ 區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān) 的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 18 上，所以黑客攻擊這些服務(wù)器沒(méi)有任何意義，既不能獲取什么有用的信息，也不能通過(guò)攻擊它而獲得過(guò)高的網(wǎng)絡(luò)訪問(wèn)權(quán)限。有的部門(mén)可能對(duì)信息的保密要求沒(méi)有那么高，那么就可以使用擴(kuò)展訪問(wèn)列表，只對(duì)某一端口的數(shù)據(jù)進(jìn)行控制，如 tel 等。 各個(gè) VLAN 之間數(shù)據(jù)的傳輸，必須經(jīng)過(guò) Trunk 鏈路。 外網(wǎng)安全方面主體是在防火墻上進(jìn)行設(shè)置，外網(wǎng)安全劃分為三個(gè)區(qū)域，公網(wǎng)區(qū)域（ Inter、黨政外網(wǎng)）、 DMZ 區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域。它的成功之處主要在于它的源代碼開(kāi)放、有一支開(kāi)放的開(kāi)發(fā)隊(duì)伍、支持跨平臺(tái)的應(yīng)用 （ 可以運(yùn)行在幾乎所有的 Unix、Windows、 Linux 系統(tǒng)平臺(tái)上 ） 以及它的可移植性等方面。 新的基于查詢的通訊組列表，它現(xiàn)在支持動(dòng)態(tài)地實(shí)時(shí)查找成員。 設(shè)備編號(hào)：處于同一位置，同類設(shè)備的編碼順序，為一位阿拉拍數(shù)字，按 19的順序編號(hào)。 VLAN 的劃分及 IP地址規(guī)劃和設(shè)備命名規(guī)則 LAN 的劃分一般有三種方法，一是基于端口、二是基于 MAC 地址、最后是基于路由的劃分。辦公系統(tǒng)所需的各種服務(wù)器如郵件服務(wù)器、 DHCP 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機(jī)的 千兆模塊上面 ， 因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建。主要進(jìn)行 VLAN 的換分、與分布層的連接等。它有一個(gè)帶分支的根，還可再延伸出若干子分支。 （ 7）靈活性及可擴(kuò)展性 —— 根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑 地?cái)U(kuò)充東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 需求分 析 3 和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。 公司要在激烈的市場(chǎng)競(jìng)爭(zhēng)中處于有利的位置，就要保持高水平的服務(wù)質(zhì)量和良好的運(yùn)營(yíng)成本控制。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵因素。 畢業(yè)設(shè)計(jì)（論文 ） 題 目： 企業(yè)局域網(wǎng)規(guī)劃和設(shè)計(jì) Title： Enterprise LAN planning and design 系 別： 軟件學(xué)院 專 業(yè)： 網(wǎng)絡(luò)工程 學(xué) 號(hào)： 08114132 學(xué)生姓名： 張 偉 指導(dǎo)教師： 王 志 波 二零一二 年 三 月東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 摘要 I 摘 要 網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，企 業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量 企業(yè)競(jìng)爭(zhēng)力的標(biāo)準(zhǔn)之一。公司網(wǎng)已經(jīng)越來(lái)越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。將傳統(tǒng)的管理模式轉(zhuǎn)變到數(shù)字化的現(xiàn)代管理模式，有助于各類資 源的系統(tǒng)整合，長(zhǎng)遠(yuǎn)來(lái)看將提高公司在未來(lái)市場(chǎng)經(jīng)濟(jì)中的競(jìng)爭(zhēng)力。 用戶現(xiàn)實(shí)需求 （ 1）實(shí)現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但是對(duì)不同的資源要有相應(yīng)的權(quán)限。樹(shù)形拓?fù)渫ǔ２捎猛S電纜作為傳輸介質(zhì)，而且使用寬帶傳輸技術(shù)。 核心層設(shè)計(jì) 核心交換機(jī)通過(guò)配置高性能交換路由引擎、冗余電源，來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的高可用和高可靠性。 Cisco Catalyst 2960 系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門(mén)級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng) LAN 服務(wù)。在這里我們采用基于端口的劃分，把一個(gè)或者多個(gè)交換機(jī)上的端口放到一個(gè) VLAN 內(nèi)，網(wǎng)絡(luò)管理人員只需要對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配即可，不用考慮端口所連接的設(shè)備。 注 意：若一個(gè)槽位，只能安裝一塊適配器板卡標(biāo)示時(shí)，請(qǐng)忽略板卡位置號(hào)。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動(dòng)監(jiān)視整個(gè) Exchange 環(huán)境，從而使用戶能夠?qū)? Exchange 問(wèn)題預(yù)先采取管理措施并快速予以解決。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 安全策略 12 3. 安全策略 網(wǎng)絡(luò)威脅因素分析 對(duì)于金融業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)的安全性是相當(dāng)重要的。 安全級(jí)別定義： （ 1） 公網(wǎng)區(qū)域?yàn)椴豢尚湃螀^(qū)； （ 2） DMZ 區(qū)域?yàn)橹辛^(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對(duì)外服務(wù)等）但受到防火墻嚴(yán) 格控制； （ 3） 內(nèi)部用戶區(qū)域?yàn)樾湃?區(qū)域。 Trunk 是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路 ，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 17 4. 防火墻配置 飛速發(fā)展的信息時(shí)代，在殘酷競(jìng)爭(zhēng)的市場(chǎng)，誰(shuí)先掌握了信息誰(shuí)就先掌握了契機(jī)，Inter 的迅猛發(fā)展?jié)M足了人們對(duì)信息的渴求，同時(shí) Inter 里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為企業(yè)帶來(lái)難以估計(jì)的損失，這時(shí)，防火墻以一個(gè)安全衛(wèi)士的身份應(yīng)運(yùn)而生，實(shí)現(xiàn)著管理者的安全策略，有效地維護(hù)這企業(yè)保護(hù)網(wǎng)絡(luò)的安全。 通過(guò) NAT（ 網(wǎng)絡(luò)地址轉(zhuǎn)換 ） 技術(shù) 將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng) IP 地址。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 19 NETSCREEN 防火墻是為中小型企業(yè)設(shè)計(jì)的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問(wèn)等進(jìn)行實(shí)時(shí)監(jiān)控，并提供 VPN 服務(wù)，為用戶提供全面的保護(hù)。 IdentReset： 與 “ 郵件 ” 或 FTP 發(fā)送標(biāo)識(shí)請(qǐng)求相類似的服務(wù)。這種方式的好處是防火墻受到破壞并不會(huì)對(duì)這個(gè)局域網(wǎng)的通訊產(chǎn)生影響 ，DHCP 服務(wù)器不會(huì)受到影響，整個(gè)網(wǎng)絡(luò)也不需要進(jìn)行改動(dòng)。實(shí)現(xiàn)方法是通過(guò) IP東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 防火墻配置 22 地址與用戶的綁定，因?yàn)橛脩羰强梢钥缇W(wǎng)段的。 NS Security Manager： 選擇此選項(xiàng)將允許接口接收 NetScreenSecurityManager 信息流。同時(shí)支持 URL 過(guò)濾功能，防止員工在上班時(shí)間訪問(wèn)某些網(wǎng)站，影響工作效率； （ 4） 透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。雖然內(nèi)部網(wǎng)絡(luò)和 DMZ 區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別 （ 策略 ） 是不同的。當(dāng)然，寫(xiě)完訪問(wèn)列表后，要將其應(yīng)用在相應(yīng)的端口上。另外， VLAN 為網(wǎng)絡(luò)管理帶來(lái)了很大的方便，將每個(gè)部門(mén)劃分為一個(gè) VLAN，每個(gè) VLAN 內(nèi)的客戶終端需求是基本相似的，對(duì)于故障排查或者軟件升級(jí)等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。 在 防火墻上進(jìn)行設(shè)置，包括用 ACL 進(jìn)行流量控制、關(guān)閉病毒端口、 NAT 的轉(zhuǎn)換等。 Apache 的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做 代理服務(wù)器 來(lái)使用。 增強(qiáng)的隊(duì)列查看器，它使用戶能夠從同一控制臺(tái)同時(shí)查看 SMTP 和 隊(duì)列。 設(shè)備類型：以設(shè)備廠家和設(shè)備的型號(hào)來(lái)命名 。后期若有分支機(jī) 構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。建議接入層交換機(jī)采用思科的 2960 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。樹(shù)形拓?fù)?由總線拓 撲演變而來(lái)。 （ 6）標(biāo)準(zhǔn)開(kāi)放性 —— 支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于保證與其它網(wǎng)絡(luò) （ 如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò) ） 之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。而現(xiàn)在強(qiáng)大的防火墻技術(shù)和各種各樣的安全策略被應(yīng)用到企業(yè)網(wǎng)絡(luò)中，安全得到了保障，那么網(wǎng)路對(duì)于企業(yè)的發(fā)展就真正起到了推進(jìn)的作用。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過(guò)程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。針對(duì)金融行業(yè)的特點(diǎn)，本文介紹了一個(gè)行業(yè)專用 網(wǎng)絡(luò)的整體設(shè)計(jì)方案。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。 東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 需求分 析 2 1. 需求分析 項(xiàng)目背景 XX 金融是一家剛剛成立的金融公司，公司有資產(chǎn)管理部、財(cái)務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門(mén)）和營(yíng)業(yè)部 6 個(gè)部門(mén)， 6 個(gè)部門(mén)分布在兩個(gè)樓層。 （ 2）滿足公司日常金融交易，交易數(shù)據(jù)的傳輸和存儲(chǔ)。樹(shù)形拓?fù)湟子诠收细綦x，樹(shù)形拓?fù)?的缺點(diǎn)是 對(duì)根的依賴太大，如果根發(fā)生故障，則整個(gè)網(wǎng)絡(luò)不能正常工作。此處使用 Catalyst 3560G48PS 路由交換機(jī)作為內(nèi)、外網(wǎng)的核心交換機(jī)，配置 Salience VI10GE 交換路由引擎，分別配置 24 端口千兆以太網(wǎng)電接口模塊（ LSQM1GT24SC0）和 24 端口千兆 /百兆以太網(wǎng)光接口模塊（ LSQM1GP24SC0），對(duì)外提供千兆光口和千兆電口接入，光 口用于連接各配線間的匯聚交換機(jī)，電口用于部分服務(wù)器的接入。 Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制 （ NAC） 、高級(jí)服務(wù)質(zhì)量 （ QoS） 和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。 IP 地址是 TCP/IP 協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一東華理工大學(xué)軟件學(xué)院畢業(yè)設(shè)計(jì)（論文） 網(wǎng)絡(luò)整體設(shè)計(jì) 8 地標(biāo)示網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。 服務(wù)器群組 DHCP服務(wù)器 由于公司整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)較多，若是由網(wǎng)管人員分別為每臺(tái) PC 機(jī)配置 IP 地址那將是一件非常麻煩的事，而且也不利于網(wǎng)絡(luò) IP 地址的管理，所以我們采用 DHCP 服務(wù)器，為接入公司網(wǎng)絡(luò)的 PC 機(jī)自動(dòng)分配 IP 地址。 在部署 exchange 2020 郵件服務(wù)器之前，首先為公司申請(qǐng)合 法 的域名，建立域控服務(wù)器，打開(kāi)“運(yùn)行”對(duì)話框，輸入 dcpromo 命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務(wù)使得 公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險(xiǎn)。 IPS 對(duì)進(jìn)出數(shù)據(jù) 進(jìn)行訪問(wèn)檢測(cè)，本項(xiàng)目中外網(wǎng)中 IPS 劃分兩條物理隔離的鏈路分別檢測(cè)內(nèi)部用戶數(shù)據(jù)流量和 DMZ 區(qū)域數(shù)據(jù)流量?；诙丝趨R聚的功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、交換機(jī)與主機(jī)或路由之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個(gè)網(wǎng)絡(luò)的能力。 防火墻是 目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。這樣可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和 IP 地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全 ， 同時(shí)因?yàn)槭枪W(wǎng) IP 地址共享，所以可以大大節(jié)省公網(wǎng) IP 地址的使用。它構(gòu)建于 Cisco PIX 安全設(shè)備系列的基礎(chǔ)之上，能夠提供 內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部 兩種安全保護(hù)，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時(shí)，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟(jì)效益。如果它們未收到確認(rèn)，會(huì)再次發(fā)送請(qǐng)求。 MAP（端口映射）功能 通過(guò)遠(yuǎn)程訪問(wèn) WEB 服務(wù)器域名地址就可以訪問(wèn)到 Web 服務(wù)器的主頁(yè)，但這樣是直接對(duì) WEB 服務(wù)器進(jìn)行訪問(wèn)和操作很不安全。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點(diǎn)，如果其他網(wǎng)段的節(jié)點(diǎn)通過(guò)防火墻進(jìn)行訪問(wèn)時(shí)，通過(guò)網(wǎng)段的源 IP地址與目的 IP 地址是不同的，無(wú)法實(shí)現(xiàn) IP 地址與 MAC 的綁定。 SSL： 選擇此選項(xiàng)將允許接口通過(guò) WebUI 接收 NetScreen 設(shè)備的 HTTPS 安全管理信息流。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫(kù) ； 提供 HTTP、 FTP 和 SMTP 代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制。 在以上三個(gè)區(qū)域中，用戶需要對(duì)不同的安全區(qū)域制訂不同的安全策略。如財(cái)務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機(jī)密度較高，我們就可以編寫(xiě)訪問(wèn)控制列表，禁止其它網(wǎng)段也就是其它 VLAN 的用戶訪問(wèn)這些部門(mén)的電腦，無(wú)論是以什么樣的形式，即使用標(biāo)準(zhǔn)訪問(wèn)控制列表。