【文章內(nèi)容簡介】 SA是2個對等體之間協(xié)商參數(shù)和用于網(wǎng)絡認證及加密的一些算法等。4）SSL（Secure Socket Layer）SSL是高層協(xié)議，是第四層隧道協(xié)議，SSL VPN和其他的VPN最大的不通之處就是客戶端只需要有瀏覽器就可以工作，不需要安裝其他的客戶端軟件，是VPN的可用性大大提高。SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能，并與安全網(wǎng)關相結合，提供安全遠程訪問企業(yè)應用的機制，這樣，遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應用及其他核心資源。在本設計中總部已分部之間可以使用總部分部這樣的方式在總部路由器和分部路由器之間建立一條IPSec VPN通道，移動客戶端可以使用PPTP、L2TP或者EasyVPN與總部互聯(lián)。 防火墻技術對于企業(yè)網(wǎng)來說最重要的就是防火墻，防火墻可以提高安全和減少外部網(wǎng)絡對內(nèi)部網(wǎng)絡的威脅。如果沒有防火墻內(nèi)網(wǎng)中的主機就會暴露于網(wǎng)絡中，很容易遭受黑客的攻擊。防火墻更具用戶設定的安全規(guī)則，對進入內(nèi)網(wǎng)以及出外網(wǎng)的數(shù)據(jù)包進行檢測，一旦發(fā)現(xiàn)威脅就斷開連接，使內(nèi)部網(wǎng)絡避免被黑客的攻擊。如今的防火墻各式各樣，但總體來講可以分為“包過濾型”和“應用代理型”兩大類:1） 包過濾型包過濾型防火墻工作在OSI網(wǎng)絡參考模型的網(wǎng)絡層和傳輸層，它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。如下圖21所示。圖21包過濾防火墻示意圖包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網(wǎng)絡服務采取特殊的處理方式，適用于所有網(wǎng)絡服務；之所以廉價，是因為大多數(shù)路由器都提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數(shù)企業(yè)安全要求。2） 應用代理型應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全阻隔了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。其典型網(wǎng)絡結構如圖22所示。圖22應用代理防火墻示意圖代理類型防火墻的最突出的優(yōu)點就是安全。由于它工作于最高層，所以它可以對網(wǎng)絡中任何一層數(shù)據(jù)通信進行篩選保護，而不是像包過濾那樣，只是對網(wǎng)絡層的數(shù)據(jù)進行過濾。另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內(nèi)外部網(wǎng)絡之間的通信不是直接的，而都需先經(jīng)過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡計算機任何直接會話的機會，從而避免了入侵者使用數(shù)據(jù)驅(qū)動類型的攻擊方式入侵內(nèi)部網(wǎng)。 企業(yè)版殺毒軟件1） 企業(yè)版殺毒軟件介紹網(wǎng)絡版殺毒軟件的一個最大的特點就是可以整個網(wǎng)絡主機和服務器同步殺毒，這對于網(wǎng)絡病毒橫行的今天來說尤其重要。因為在網(wǎng)絡中只要有一臺主機感染了病毒，則很可能在全網(wǎng)絡主機上感染。另外，網(wǎng)絡版實現(xiàn)全網(wǎng)絡服務器和客戶端程序同步更新。還有一個管理中心控制臺，可以對整個網(wǎng)絡的服務器端和客戶端程序集中管理，實現(xiàn)全網(wǎng)絡的同步更新和殺毒。2） 企業(yè)版殺毒軟件的實施這里選用Symantec Endpoint Protection，它是為各種簡單或復雜網(wǎng)絡環(huán)境設計的計算機病毒網(wǎng)絡防護系統(tǒng)，即適用于包含若干臺主機的單一網(wǎng)段網(wǎng)絡，也適用于包含各種WEB服務器、郵件服務器、應用服務器，以及分布在不同城市，包含數(shù)十萬臺主機的超大型網(wǎng)絡。Symantec Endpoint Protection具有以下顯著特點：l 先進的體系結構l 超強的殺毒能力l 完備的遠程控制l 方便的分級、分組管理主控制中心部署在DMZ服務器區(qū)，子控制中心部署在3層交換機上面。如圖23所示。圖23 企業(yè)版殺毒軟件示意圖控制中心負責整個Symantec Endpoint Protection的管理與控制，是整個Symantec Endpoint Protection的核心，在部署Symantec Endpoint Protection網(wǎng)絡時，必須首先安裝。除了對網(wǎng)絡中的計算機進行日常的管理與控制外，它還實時地記錄著Symantec Endpoint Protection防護體系內(nèi)每臺計算機上的病毒監(jiān)控、查殺病毒和升級等信息。在1個網(wǎng)段內(nèi)僅允許安裝1臺控制中心。 根據(jù)控制中心所處的網(wǎng)段的不同，可以將控制中心劃分為主控制中心和子控制中心，子控制中心除了要 完成控制中心的功能外，還要負責與它的上級——主控制中心進行通信。這里的“主”和“子”是一個 相對的概念：每個控制中心對于它的下級的網(wǎng)段來說都是主控制中心，對于它的上級的網(wǎng)段來說又是子控制中心，這種控制結構可以根據(jù)網(wǎng)絡的需要無限的延伸下去。第三章 網(wǎng)絡安全的設計與實現(xiàn)本章主要對網(wǎng)絡系統(tǒng)的整體框架進行設計，并實現(xiàn)企業(yè)內(nèi)部局域網(wǎng)的搭建，VLAN間通信，DMZ區(qū)服務器交換機搭建，出口防火墻的安全配置以及VPN等。 整體框架說明將企業(yè)內(nèi)部網(wǎng)和服務器組成分別置于PIX防火墻的inside口和DMZ口相連接，防火墻的outside端口連接ISP的Internet接入。對于三個端口的權限設置為：outside為0、DMZ為50、inside為100（最高）。在PIX防火墻上激活網(wǎng)絡入侵檢測IDS系統(tǒng)，提供對多個網(wǎng)絡的入侵檢測，一旦發(fā)現(xiàn)網(wǎng)絡中存在供給行為或非正常數(shù)據(jù)包，防火墻將會報警并且在Log中留下記錄。內(nèi)部網(wǎng)使用兩臺Cisco Catalyst 3640交換機提供的VLAN技術和虛擬訪問控制列表VACL等安全交換技術，以及使用生成樹做冗余。同時通過合理的IP地址分配策略和路由策略，在接入層交換機上使用端口安全技術來對用戶的接入進行控制。服務器群應該是通過一臺Cisco Catalyst 3640交換機連接到防火墻的DMZ端口，并為之獨立的分配一個VLAN，通過在防火墻做端口映射把內(nèi)網(wǎng)需要發(fā)布的服務器發(fā)布到外網(wǎng)，同時通過防火墻上的訪問控制列表ACL和訪問端口數(shù)據(jù)監(jiān)控等安全技術提供對服務器的安全控制。對于外網(wǎng)接入，在防火墻上配置安全策略，允許外部連接可以到達指定服務器的服務端口，同時定義安全規(guī)則，允許指定的應用數(shù)據(jù)包通過防火墻。在防火墻上配置VPN服務允許企業(yè)分部通過安全的VPN通道訪問企業(yè)內(nèi)部網(wǎng)。對于需要利用遠程訪問接入企業(yè)內(nèi)部網(wǎng)的用戶，DMZ區(qū)放置AAA為控制管理路由器權限的工具，限制登錄路由器用戶的權限。還有就是在防火墻上要配置NAT來代理內(nèi)部網(wǎng)絡訪問Interne，企業(yè)網(wǎng)總體拓撲如圖31所示。圖31企業(yè)總拓撲圖本設計中該企業(yè)網(wǎng)絡使用的接入層交換機是Cisco Catalyst 2960，其特性是端口速率是100Mb/s，支持全雙工模式，本設計中企業(yè)內(nèi)部網(wǎng)拓撲如圖32所示。圖32 企業(yè)內(nèi)部網(wǎng)拓撲圖如圖32所示，該企業(yè)網(wǎng)的接入層是由Cisco Catalyst 2960交換機組成，匯聚層和核心層劃在一起使用兩臺Cisco Catalyst 3640，Catalyst3640特點是端口速率為100Mb/s，支持雙工模式，而且路由功能是由硬件完成的能夠?qū)崿F(xiàn)更快的轉(zhuǎn)發(fā)速度。這樣可以減少企業(yè)購買設備的開銷，以及連接到交換機上的計算機構成；從邏輯上看，內(nèi)部網(wǎng)包括四個VLAN，分別對應四個IP段：VLAN1O：VLAN20：VLAN30：VLAN40：內(nèi)部網(wǎng)的核心是Cisco catalyst 3640交換機，它將與PIX防火墻的inside口相連接。Coreswitch1和Coreswitch2的預期功能是：l 建立四個VLAN，分別為VLAN10,VLAN20,VLAN30,VLAN40。l 啟用三層交換功能做VLAN間路由，并配置訪問列表，使VLANVLANVLAN40能夠訪問VLAN10，但不能互相訪問。l Coreswitch1為VLANVLANVLANVLAN40提供DHCP服務。l 在Coreswitch1和Coreswitch2以及接入層交換機之間配置生成樹，提高網(wǎng)絡的可靠性。l 做端口安全，限制每個接二層交換機的每個端口只能接1臺主機。下面將對它的配置進行詳細的說明： 接入層交換機VLAN的配置打開Catalyst 2960交換機的Console口連接，進入特權模式進行配置。這里以接入層的SW0交換機為例，配置如下：hostname SW0 /*將該交換機命名為SW0vlan database /*進入vlan數(shù)據(jù)庫vlan 10 name caiwu /*創(chuàng)建vlan 10并將其命名為caiwuexit /*退出并保存interface FastEthernet0/0 /*將F0/0口設置為Trunk口switchport mode trunkinterface FastEthernet0/1 /*將F0/1口設置為Trunk口switchport mode trunkinterface FastEthernet0/2 /將F0/2口劃分到vlan10中switchport access vlan 10interface FastEthernet0/3 /將F0/3口劃分到vlan10中switchport access vlan 10將SW0交換機上的Fastethernet0/2和Fastethernet0/3劃分到VLAN10，也就是劃分到財務部，在SW1上把fastethernet0/34端口劃分到VLAN20里，在SW5上把fastethernet0/34端口劃分到VLAN30里，在SW6上把fastethernet0/34劃分到VLAN40里。 接入層交換機端口安全配置交換機端口安全配置中通過maximum參數(shù)來設置交換機的一個端口最多允許幾臺PC接入，對于接入的MAC地址可以選擇粘性學習或者自己手工指定MAC地址。為了減小配置時間，本設計中將其設置成sticky粘性學習。在SW0上配置端口安全：interface range fastEthernet 0/23 /*進入fastEthernet 0/2 至3switchport portsecurity /*啟動端口安全switchport portsecurity maximum 1 /*允許最大MAC地址數(shù)switchport portsecurity macaddress sticky /*設置MAC地址的方式為粘性學習 三層交換機VLAN的配置在確保二層交換機配置完成后并檢查配置無誤后，進行三層交換機的配置。在三層交換機上配置內(nèi)部網(wǎng)絡里所有的VLAN，并給每個VLAN配置一個網(wǎng)關。以Coreswitch1配置為例，Coreswitch1的vlan配置如下： vlan database /*進入vlan配置模式 vlan 10 name caiwu /*新建vlan10并命名為caiwu vlan 20 name jishu /*新建vlan20并命名為jishu vlan 30 name xiaoshou /*新建vlan30并命名為xiaoshou vlan 40 name shouhou /*新建vlan40并命名為shouhou exit /*退出vlan配置模式自動保存vlan信息 interface vlan10 ip address /*配置vlan10的網(wǎng)關interface vlan20 ip address /*配置vlan20的網(wǎng)關interface vlan30 ip address /*配置vlan30的網(wǎng)關interface vlan40 ip address /*配置vlan40的網(wǎng)關 exit 三層交換機DHCP的配置 DHCP服務可以為內(nèi)網(wǎng)的主機自動分配地址信息，可以大大簡化對網(wǎng)絡的管理，而且可以避免有些用戶因不會配置TCP/IP協(xié)議而導致無法上網(wǎng)的問題。在本設計中DHCP服務是由Coreswitch1來承擔，下面以caiwu部門配置的DHCP為例。首先要為caiwu部門配置一個DHCP的用來分配給客戶機地址池，地址池配置完成后還需要配置一些基本的信息，如默認網(wǎng)關和DNS服務器的地址。Coreswitch1配置DHCP如下： ip dhcp pool caiwu /*為caiwu部門配置DHCP服務 network /* defaultrouter /*設置默認網(wǎng)關 dnsserver /*設置DNS服務器地址exitDHCP配置完成后內(nèi)網(wǎng)的主機就可以自動獲取到IP地址，圖33為內(nèi)網(wǎng)的一臺Windows 2000 。圖33 caiwu部門主機自動獲得的IP地址 三層交換機路由協(xié)議的配置本設計中使用的動態(tài)路由協(xié)議是OSPF（Open Shortest Path First，開放最短鏈路優(yōu)先）路由協(xié)議，因為OSPF協(xié)議有很多特點，比如收斂速度快、無路由環(huán)路、支持VLSM和CIDR、支持認證等，更重要的是OSPF是開放的路由協(xié)議支持不同廠商的設備互聯(lián)。在這里Coreswitch1的fastethernet 0/15口與Headquarter路由器的fastethernet f2/0口相連，所以需要把fastethernet 0/15口設置成三層接口，并分配一個IP地址。Coreswitch1配置如下： interface FastEthernet0/15 /*進入f 0/15口 no switchport /