【文章內(nèi)容簡介】 IP地址、端口，支持帶寬控制功能。 安全體系設(shè)計及設(shè)備選型企業(yè)網(wǎng)信息系統(tǒng)是企業(yè)網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能提高企業(yè)現(xiàn)代化信息化改革、提高工作效率、改善工作模式及流程，同時通過各企業(yè)之間的信息共享及溝通的方便及順暢，將會極大的提高整體行業(yè)的工作效率及工作業(yè)績。企業(yè)網(wǎng)總體上分為企業(yè)內(nèi)網(wǎng)和企業(yè)外網(wǎng)。企業(yè)內(nèi)網(wǎng)主要包括研發(fā)樓局域網(wǎng)、生產(chǎn)車間局域網(wǎng)、辦公自動化局域網(wǎng)等。企業(yè)外網(wǎng)主要指企業(yè)提供對外服務(wù)的服務(wù)器群、與電信的接入以及遠程移動辦公用戶的接入等，認真分析可以總結(jié)出企業(yè)網(wǎng)面臨著如下的安全威脅：(1) 各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；(2) Internet網(wǎng)絡(luò)用戶對企業(yè)網(wǎng)存在非法訪問或惡意入侵的威脅；(3) 來自企業(yè)網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編肫髽I(yè)內(nèi)網(wǎng)，內(nèi)部職工可能由于使用盜版介質(zhì)將病毒帶入企業(yè)內(nèi)；(4) 內(nèi)部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入企業(yè)內(nèi)網(wǎng)；(5) 內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導致網(wǎng)絡(luò)及服務(wù)不可用；(6) 企業(yè)網(wǎng)內(nèi)的職工即時通信工具（比如：），目前針對該類工具的黑客程序隨處可見；(7) 可能會因為企業(yè)網(wǎng)內(nèi)管理人員以及全體職工的安全意識不強、管理制度不健全，帶來企業(yè)網(wǎng)的威脅?；谏厦娴膯栴}，我們將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個層次分析和設(shè)計適合于企業(yè)網(wǎng)的安全建議方案。 設(shè)計方案優(yōu)勢 高帶寬、高性能相比于傳統(tǒng)組網(wǎng)設(shè)計方案，該企業(yè)網(wǎng)絡(luò)設(shè)計方案是基于標準的二、三層以太網(wǎng)交換技術(shù)，技術(shù)成熟度非常高。企業(yè)網(wǎng)絡(luò)中心放置路由交換機上行通過GE接至互聯(lián)網(wǎng)，GE可以是單?；蛘叨嗄?，到時可以按使用的情況進行擴展，使出口不會成為企業(yè)網(wǎng)瓶頸。在企業(yè)網(wǎng)絡(luò)中心通過下行使千兆鏈路連接接入層交換機，百兆交換到桌面，100M的帶寬可充分滿足用戶高速上網(wǎng)、內(nèi)容下載及多媒體等多種寬帶業(yè)務(wù)。核心交換機擁有1000M出口聯(lián)接企業(yè)網(wǎng)，各層設(shè)備全部支持線速交換，給用戶提供了真正的高帶寬網(wǎng)絡(luò)，對未來高帶寬的寬帶業(yè)務(wù)提供了強大的支撐能力。 網(wǎng)絡(luò)管理企業(yè)網(wǎng)在為員工提供便捷、高效的學習、工作環(huán)境的同時，也在寬帶管理、權(quán)限控制等方面存在許多問題：n 對帶寬資源的大量占用導致重要應(yīng)用無法進行對于企業(yè)來說，它的帶寬資源都是有限的。由于沒有帶寬限制和優(yōu)先級設(shè)置，一些重要用戶和重要應(yīng)用得不到必要的帶寬保證而影響了工作。n 訪問權(quán)限難以控制隨著使用互聯(lián)網(wǎng)資源、各部門之間不同員工間的保密資源可以隨意獲取，將導致企業(yè)秘密資料或是自主知識產(chǎn)權(quán)被競爭對手抄襲，引起經(jīng)濟損失。n 異常網(wǎng)絡(luò)事件的審計和追查當異常網(wǎng)絡(luò)事件發(fā)生后，如何盡快的追根溯源，找出幕后“黑手”，避免事件的再次發(fā)生，成了網(wǎng)絡(luò)維護人員不得不面對的棘手問題。n 帶寬的限定和業(yè)務(wù)優(yōu)先級的設(shè)定系統(tǒng)能對每個客戶上下行的帶寬上限加以限定，防止個別客戶占用過多網(wǎng)絡(luò)資源。還能對不同的用戶數(shù)據(jù)設(shè)定業(yè)務(wù)優(yōu)先級以保證重要數(shù)據(jù)能得到更好的服務(wù)。n 快捷實現(xiàn)全網(wǎng)管理全網(wǎng)拓撲發(fā)現(xiàn)功能可以對全網(wǎng)設(shè)備、網(wǎng)絡(luò)節(jié)點以及事件、性能、日志進行實時監(jiān)控，統(tǒng)一管理。n 強大的事件追查功能系統(tǒng)中豐富的日志信息和便捷的追查工具能使網(wǎng)絡(luò)管理員在面對異常事件時，能及時作出反應(yīng)，迅速找出幕后“黑手”。 完善的安全機制該企業(yè)各樓宇交換機通過內(nèi)在的多種安全機制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊， 控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口安全、端口隔離、專家級ACL、時間ACL、端口ARP 報文合法性檢查、基于數(shù)據(jù)流的帶寬限速等等， 滿足企業(yè)網(wǎng)加強對訪問者進行控制、限制非授權(quán)用戶通信的需求；在匯聚、核心交換設(shè)備設(shè)置由硬件實現(xiàn)ACL，對病毒進行過濾。n 硬件實現(xiàn)端口與MAC 地址和用戶IP地址的綁定，嚴格限定端口上用戶接入；n 通過將端口設(shè)為保護端口即可簡單方便地隔離用戶之間信息互通，不必占用VLAN資源；n 通過Private VLAN可以在交換機的同一VLAN 中提供端口之間的通訊或安全隔離，確保數(shù)據(jù)流進入有效端口，而不會被發(fā)送到其它端口，同時又無需利用安全規(guī)則資源即能達到隔離不同用戶以及不同組用戶之間通訊的功能，充分保護用戶隱私；n 提供極為有效的 Port Blocking 功能，避免端口受到其它端口發(fā)送的廣播包、多播包等報文的干擾，有效減輕端口負載負擔，提高端口帶寬，保護用戶PC更高效安全地運行；n 基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備；n 提供加密傳輸?shù)腟ecure Shell（SSH），保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備；n 病毒、蠕蟲等多元化發(fā)展n 控制網(wǎng)絡(luò)病毒。 統(tǒng)一對接入層交換機做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。 易維護華為網(wǎng)絡(luò)交換機都經(jīng)過獨特設(shè)計具備防塵、防潮、防靜電等多種適于在樓道安裝和使用的特點。 而且具有強大的運行維護能力，能有效降低運營商的運維成本。支持RS232 本地管理口及Telnet、WEB、SNMP 代理，遠程監(jiān)控（RMON 1~3，9 組）可根據(jù)運營商的不同要求，使用不同的管理方案，支持SNMP協(xié)議的全網(wǎng)集中網(wǎng)管。提供了故障告警和日志功能，可通過機箱面板上指示燈直觀地了解設(shè)備的運行狀態(tài)。 高可靠性華為網(wǎng)絡(luò)產(chǎn)品均使用國際上主流的先進ASIC芯片進行設(shè)計，并率先采用ISO9002生產(chǎn)標準進行生產(chǎn)，確保了設(shè)備的穩(wěn)定性。 低成本、可擴展性強以太網(wǎng)交換技術(shù)歷經(jīng)長期發(fā)展，得到眾多廠商的支持，以技術(shù)實現(xiàn)簡單而獲得極大的性 能價格比。華為網(wǎng)絡(luò)公司的以太網(wǎng)交換機全部基于標準的以太網(wǎng)交換技術(shù)，使用專用芯片技術(shù)，具有極高的性價比，保證了整個網(wǎng)絡(luò)核心部分的穩(wěn)定、可靠和高性能。華為中心交換機采用模塊式設(shè)計，用戶只需簡單地添加端口模塊即可實現(xiàn)網(wǎng)絡(luò)的擴容，完整保護用戶投資。華為交換機支持彈性堆疊功能，可根據(jù)需要擴展堆疊從機；這樣，當網(wǎng)絡(luò)需擴容時，只需簡單添加堆疊從機，不必再添加設(shè)備管理 IP；同時，網(wǎng)絡(luò)速度不會受到影響。3企業(yè)網(wǎng)絡(luò)的整體方案部署以下是該企業(yè)應(yīng)用以上方案設(shè)計之后，方案中所有的網(wǎng)絡(luò)、服務(wù)器等設(shè)備的具體參數(shù)配置。 交換模塊設(shè)計為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個層次：接入層、分布層、核心層。在本設(shè)計方案中，需要進行三層配置。以下所有配置均屬于真實在運營參數(shù)，并且使用SecureCRT 。 接入層交換機服務(wù)的實現(xiàn)—配置接入層交換機接入層為所有的終端用戶提供一個接入點。這里的接入層交換機采用的是S270052PEI交換機。交換機擁有48個10/100Mbps自適應(yīng)快速以太網(wǎng)端口。我們以方案拓樸圖示中的接入層交換機LSW5為例進行介紹。如下圖31接入層所示：圖31 接入層1） 設(shè)置交換機名稱設(shè)置交換機名稱，也就是出現(xiàn)在交換機CLI提示符中的名字。一般我們會以地理位置或行政劃分來為交換機命名。當我們需要Telnet登錄到若干臺交換機以維護一個大型網(wǎng)絡(luò)時，通過交換機名稱提示自己當前配置交換機的位置是很有必要的。使用Secure CRT登錄LSW5進入界面后，輸入以下命令為接入層交換機命名Huaweisystemview //進入用戶模式[Huawei]sysname LSW5S //修改交換機名稱[LSW5] //修改成功后的顯示效果2） 設(shè)置登錄虛擬終端線時的口令對于一個已經(jīng)運行著的交換網(wǎng)絡(luò)來說，交換機的帶內(nèi)遠程管理為網(wǎng)絡(luò)管理人員提供了很多的方便，但是，處于安全考慮，在能夠遠程管理交換機之前網(wǎng)絡(luò)管理人員必須設(shè)置遠程登錄交換機的口令。[LSW5]userinterface vty 0 4 //進入虛擬終端線路[LSW5uivty04]set authentication pa