【文章內(nèi)容簡介】 用，有多種的保護(hù)機(jī)制，如劃分VLAN、MAC地址綁定、。（6）可維護(hù)性和可管理性。網(wǎng)絡(luò)設(shè)備應(yīng)具備安裝方便、配置方便、使用方便等特點(diǎn)，同時(shí)要求有較強(qiáng)的網(wǎng)絡(luò)管理手段，能夠合理地配置和調(diào)整網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)，控制網(wǎng)絡(luò)運(yùn)行。 公司需求建材公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。公司已經(jīng)完成了綜合布線工程的施工與網(wǎng)絡(luò)設(shè)備的架設(shè)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。網(wǎng)絡(luò)管理員在實(shí)際維護(hù)公司網(wǎng)絡(luò)的過程中，常遇到各種網(wǎng)絡(luò)安全問題，例如：網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序等等。由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。網(wǎng)絡(luò)管理員需要隨時(shí)排除企業(yè)網(wǎng)絡(luò)在日常運(yùn)轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定工作。 結(jié)構(gòu)圖根據(jù)建材公司的整體網(wǎng)絡(luò)情況，簡單的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖21所示：圖 21 網(wǎng)絡(luò)結(jié)構(gòu)圖 公司網(wǎng)絡(luò)分析 網(wǎng)絡(luò)安全需求分析我們針對(duì)建材公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來進(jìn)行需求分析。建材公司的第一個(gè)網(wǎng)絡(luò)安全需求是根據(jù)部門需要?jiǎng)澐諺LAN，使用VPN技術(shù)。建材公司的第二個(gè)網(wǎng)絡(luò)安全需求是要安裝一個(gè)基于安全的操作系統(tǒng)平臺(tái)的高級(jí)通信保護(hù)控制系統(tǒng)網(wǎng)絡(luò)防火墻，保護(hù)公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來自國際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。建材公司的第三個(gè)網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)安全問題。建材公司網(wǎng)內(nèi)有很多計(jì)算機(jī)均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲病毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問題。因此，依據(jù)建材公司內(nèi)計(jì)算機(jī)的使用狀況，分別安裝軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。 網(wǎng)絡(luò)內(nèi)容方案為了提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。建材公司建立虛擬局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)安全和共享，提高建材公司主要兩大部門順利實(shí)效。通過多方調(diào)研，建材公司決定采用國內(nèi)網(wǎng)絡(luò)安全行業(yè)的領(lǐng)先企業(yè)遠(yuǎn)東網(wǎng)安科技有限公司的遠(yuǎn)東網(wǎng)安防火墻。 使用該防火墻隔離公司內(nèi)部網(wǎng)絡(luò)和國際互聯(lián)網(wǎng)。在不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，使公司內(nèi)部的計(jì)算機(jī)訪問國際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過包過濾安全設(shè)置。針對(duì)建材公司各個(gè)部門計(jì)算機(jī)的應(yīng)用環(huán)境，分別安裝網(wǎng)絡(luò)安全軟件、殺毒軟件、軟件防火墻等。網(wǎng)絡(luò)管理員的須知。對(duì)建材公司計(jì)算機(jī)操作系統(tǒng)進(jìn)行研究，操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其變現(xiàn)為裝了很多用不到的服務(wù)模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。 目前的操作系統(tǒng)無論是windows還是Unix操作系統(tǒng)以及其他廠商開發(fā)的應(yīng)用系統(tǒng)，某開發(fā)廠商必然有其Back—Door。而且系統(tǒng)本身必然存在安全漏洞。這些后門和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開發(fā)一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時(shí)間。 項(xiàng)目設(shè)計(jì)圖圖 22 項(xiàng)目設(shè)計(jì)圖企業(yè)VLAN劃分企業(yè)主要分兩個(gè)部門，所以只要?jiǎng)澐謨蓚€(gè)VLAN，分別為：財(cái)務(wù)部門 VLAN 10 交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS5526）業(yè)務(wù)部門 VLAN 20 交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS5526）核心交換機(jī) S3核心交換機(jī)（神州數(shù)碼DCRS5526）圖 23 網(wǎng)絡(luò)拓?fù)鋱D客戶機(jī)的地址范圍： 建材公司內(nèi)網(wǎng)中管理遠(yuǎn)東網(wǎng)安防火墻主機(jī)的計(jì)算機(jī)地址：：外網(wǎng)的網(wǎng)關(guān)： 防火墻的LAN（eth0）口的IP：（默認(rèn)）直接管理遠(yuǎn)東網(wǎng)安防火墻的計(jì)算機(jī)地址：第3章 公司項(xiàng)目實(shí)施 VLAN的功能和作用 VLAN介紹VLAN即虛擬局域網(wǎng)。VLAN是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^ VLAN用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無需考慮物理連接方式。 VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴(kuò)展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。 VLAN優(yōu)點(diǎn)增加了網(wǎng)絡(luò)的連接靈活性借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便?？刂凭W(wǎng)絡(luò)上的安全VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶使用，減少廣播的產(chǎn)生。增加網(wǎng)絡(luò)的安全性因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。 VLAN分類基于端口的VLAN；基于MAC地址的VLAN；基于第3層的VLAN；基于策略的VLAN； 公司VLAN劃分財(cái)務(wù)部門 VLAN 10 交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS5526）業(yè)務(wù)部門 VLAN 20 交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS5526）核心交換機(jī) S3核心交換機(jī)（神州數(shù)碼DCRS5526）S1配置如下:switchswitchenaswitchconswitch(Config)vlan 10switch(ConfigVlan10)swithport interface ethernet 0/0/120 switch(ConfigVlan10)exitswitch(Config)exitswitchconswitch(Config)interface vlan 10switch(Configifvlan10)ip address switch(Configifvlan10)no shutdownswitch(Configifvlan10)exitswitch(Config)int e 0/0/24switch(ConfigEthernet0/0/24)swithport mode trunkSet the port Ethernet0/0/24 mode TRUNK successfullyswitch(ConfigEthernet0/0/24)sw t a v aset the port Ethernet0/0/24 allowed vlan successfullyswitch(ConfigEthernet0/0/24)exitS2配置如下:SwitchSwitchenaSwitchconswitch(Config)vlan 20switch(ConfigVlan20)sw int e 0/0/120switch(ConfigVlan20)exitswitch(Config)exitswitchconswitch(Config)interface vlan 20switch(Configifvlan20)ip address switch(Configifvlan20)no shutdownswitch(Configifvlan20)exitswitch(Config)int e 0/0/24switch(ConfigEthernet0/0/24)sw m tSet the port Ethernet0/0/24 mode TRUNK successfullyswitch(ConfigEthernet0/0/24)sw t a v aset the port Ethernet0/0/24 allowed vlan successfullyswitch(ConfigEthernet0/0/24)exitS3配置如下:switchswitchenaswitchswitchconswitch(Config)hostname S3S3(Config)vlan 10S3(ConfigVlan10)vlan 20S3(ConfigVlan20)exitS3(Config)int e 0/0/12S3(ConfigPortRange)sw m tS3(ConfigPortRange)sw t a v aS3(ConfigPortRange)exitS3(Config)int vlan 10S3(ConfigIfVlan10)ip address S3(ConfigIfVlan10)no shutdownS3(ConfigIfVlan10)exitS3(Config)int vlan 2000:04:23: %LINK5CHANGED: Interface Vlan20, changed state to UP%LINEPROTO5UPDOWN: Line protocol on Interface Vlan20, changed state to UPS3(ConfigIfVlan20)ip address S3(ConfigIfVlan20)no shutdownS3(ConfigIfVlan20)exitS3(Config)exitS3(ConfigIfVlan1)ip address S3(ConfigIfVlan1)no shutdownS3(ConfigIfVlan1)exitS3(Config)exitS3show ip routeS3conS3(Config)ip route VPN功能和作用 VPN介紹VPN （虛擬專用網(wǎng)絡(luò)）是指利用公共網(wǎng)絡(luò)建立私有專用網(wǎng)絡(luò)。數(shù)據(jù)通過安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播。連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正地去鋪設(shè)光纜之類的物理線路。VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，能夠使運(yùn)行在VPN之上的商業(yè)應(yīng)用享有幾乎和專用網(wǎng)絡(luò)同樣的安全性、可靠性、優(yōu)先級(jí)別和可管理性。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公共信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息。同時(shí)企業(yè)還可以利用公共信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。 VPN優(yōu)點(diǎn) 公司配置VPN服務(wù)器公司VPN服務(wù)器端使用Win2000；客戶機(jī)端使用Win98來設(shè)置VPN。（1）尚未配置