【文章內容簡介】 anet之間建立起一個安全網(wǎng)關（Security Gateway），從而保護內部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經過此防火墻。 在網(wǎng)絡中，所謂“防火墻”，是指一種將內部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。 防火墻類型主要有2中，網(wǎng)絡防火墻和應用防火墻?！?）網(wǎng)絡層防火墻 　　網(wǎng)絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻（病毒除外，防火墻不能防止病毒侵入）。這些規(guī)則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規(guī)則。 　　我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內置防火墻功能。 　　較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。 　　 2）應用層防火墻 　　應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。 　　防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。XML 防火墻是一種新型態(tài)的應用層防火墻。第五章 企業(yè)網(wǎng)絡設備實施方案 企業(yè)物理安全規(guī)劃公司網(wǎng)絡企業(yè)的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網(wǎng)絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：1) 保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡設施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：、物理損壞和設備故障 、乘機而入、痕跡泄漏等 、意外疏漏等2) 選用合適的傳輸介質屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內以增強抗干擾能力。光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。3) 保證供電安全可靠計算機和網(wǎng)絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統(tǒng)設計既要滿足設備自身運轉的要求，又要滿足網(wǎng)絡應用的要求，必須做到保證網(wǎng)絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。 設備選型 設備選型在一個網(wǎng)絡工程之中尤為重要，既要保證其性能與穩(wěn)定性，也要考慮實際預算是否合理，這是需要有很強的專業(yè)知識和工作經驗才能很好地完成的。根據(jù)網(wǎng)絡拓撲圖，所需的設備為：設備名稱設備品牌 設備數(shù)量作用2950交換機Cisco24接入層交換機2960交換機Cisco8匯聚層交換機7200交換機Cisco1核心層交換機ASA5500Cisco1防火墻IDS4235Cisco1入侵檢測系統(tǒng)IBM服務器IBM5內部服務器打印機HP1接入終端設備復印機HP1接入終端設備傳真機HP1接入終端設備掃描儀HP1接入終端設備 設備配置 交換機接入層交換機基本就根據(jù)VLAN劃分表講接口劃分VLAN即可。配置命令如下：switch(Config)interface Interface type （接口類型與ID）switch(configif)switchport mode access （改為接入模式）switch(configif)switchport access vlan number （VLAN ID號）等待接口指示燈變?yōu)榫G色后即完成生成樹運算。 匯聚交換機做了一些策略如BPDU 防護，根防護，與trunk等。公司總部一共4臺匯聚交換機，具體配置如下：SW1：hostname sw1 命名為SW1!spanningtree portfast default 全局下默認為快速接口!interface FastEthernet0/1 switchport mode trunk 開啟trunk!interface FastEthernet0/2!interface FastEthernet0/3 switchport access vlan 10 改變vlan id為10 switchport mode access 改為接入模式 spanningtree portfast 改為快速接口 spanningtree guard root 啟動根防護 spanningtree bpduguard enable 開啟BPDU防護!interface FastEthernet0/4 switchport access vlan 20 switchport mode access spanningtree portfast spanningtree guard root spanningtree bpduguard enable!interface Vlan1 no ip address shutdown!!line con 0!line vty 0 4 loginline vty 5 15 login!!End由于這幾臺匯聚設備命令差不多故重復命令不寫備注。SW2：hostname sw2!!spanningtree portfast default!interface FastEthernet0/1 switchport mode trunk!interface FastEthernet0/2 switchport access vlan 30 switchport mode access spanningtree guard root spanningtree bpduguard enable!interface FastEthernet0/3 switchport access vlan 40 switchport mode access spanningtree guard root spanningtree bpduguard enable!!line con 0!line vty 0 4 loginline vty 5 15 login!!EndSW3：hostname sw3!!spanningtree portfast default!interface FastEthernet0/1 switchport mode trunk!interface FastEthernet0/2 switchport access vlan 50 switchport mode access spanningtree portfast spanningtree guard root spanningtree bpduguard enable!interface FastEthernet0/3 switchport access vlan 60 switchport mode access spanningtree portfast spanningtree guard root spanningtree bpduguard enable!!interface Vlan1 no ip address shutdown!!line con 0!line vty 0 4 loginline vty 5 15 login!!EndSW4：hostname sw4!!spanningtree portfast default!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport access vlan 100 switchport mode access!interface FastEthernet0/3 switchport access vlan 100 switchport mode access!interface FastEthernet0/4 switchport access vlan 100 switchport mode access!interface FastEthernet0/5 switchport access vlan 100 switchport mode access!interface FastEthernet0/6 switchport access vlan 100 switchport mode access!!interface Vlan1 no ip address shutdown!!line con 0!line vty 0 4 login