【文章內(nèi)容簡(jiǎn)介】 ，如計(jì)算中心機(jī)房、WEB站點(diǎn)、股份財(cái)務(wù)、所有服務(wù)器等各劃分一個(gè)VLAN。6509機(jī)箱上的其余5個(gè)插槽用于將來(lái)網(wǎng)絡(luò)擴(kuò)展。Catalyst6509交換機(jī)具有背板帶寬高（32G，6500系列可擴(kuò)至256G）、高速三層交換（15M，6500系列可擴(kuò)至150M）、端口密度大(130個(gè)千兆端口)、擴(kuò)展能力強(qiáng)等優(yōu)勢(shì)。在其他各個(gè)聯(lián)網(wǎng)部門(mén)，我們采用Cisco Catalyst3524或3548千兆網(wǎng)交換機(jī)作為交換平臺(tái)，它有24或48個(gè)10/100M自適應(yīng)端口，兩個(gè)千兆模塊插槽，具有10GB備板交換能力，是典型的高性能桌面交換解決方案。二期、三期網(wǎng)絡(luò)擴(kuò)建時(shí)，各部門(mén)內(nèi)部根據(jù)信息點(diǎn)數(shù)的要求，利用WSX3500XL堆疊模塊及電纜，采用菊花鏈?zhǔn)降姆椒梢詫?524/48交換機(jī)堆疊（最多支持9個(gè)），可以提供更多的端口連接而不需改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，達(dá)到網(wǎng)絡(luò)規(guī)模擴(kuò)展的目的。為了制止網(wǎng)絡(luò)中的大量廣播信息包產(chǎn)生廣播風(fēng)暴，同時(shí)也為了系統(tǒng)管理的需求，我們根據(jù)需要對(duì)核心交換機(jī)劃分若干VLAN ，制定交換機(jī)的各個(gè)端口屬于那些VLAN ，然后根據(jù)需要制定相應(yīng)的VLAN之間的路由策略，在Catalyst 6509 的MSM上配置路由，既要滿足性能的要求，又要滿足安全性的要求。網(wǎng)絡(luò)的對(duì)外出口（Internet）接入設(shè)備采用Cisco2610路由器， 1個(gè)以太端口用來(lái)連接6509外網(wǎng)段（Internet網(wǎng)段），1個(gè)WAN接口利用專線連接ISP接入Internet。對(duì)于各個(gè)部門(mén)，采用2610撥號(hào)服務(wù)器提供電話撥號(hào)服務(wù)，在2610上插1個(gè)16口Modem模塊，該模塊已經(jīng)集成了16個(gè)Modem，不需再增加外接Modem，即目前無(wú)法聯(lián)網(wǎng)的用戶和移動(dòng)用戶可以通過(guò)公用電話網(wǎng)撥號(hào)到計(jì)算中心,經(jīng)過(guò)身份認(rèn)證服務(wù)器的合法驗(yàn)證之后，可以和本地用戶一樣訪問(wèn)相關(guān)系統(tǒng)資源。一、網(wǎng)絡(luò)安全計(jì)算機(jī)信息系統(tǒng)（包含操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)以及各種應(yīng)用的綜合系統(tǒng)）在給人們帶來(lái)巨大效益的同時(shí)，由于其自身的脆弱性，也帶來(lái)了許多的安全問(wèn)題，如機(jī)密信息被泄露，文件被篡改，系統(tǒng)拒絕提供正常服務(wù)等等。對(duì)于貴單位這樣的一個(gè)網(wǎng)絡(luò)系統(tǒng)，如果沒(méi)有行之有效的安全控制措施，后果是不堪設(shè)想的。如果沒(méi)有安全措施，攻擊者可以很容易地對(duì)該網(wǎng)施行各種破壞行為。確保網(wǎng)絡(luò)的安全性，是發(fā)揮信息網(wǎng)巨大作用的根本保證。我們必須綜合應(yīng)用技術(shù)、行政管理、法律以及教育等多種措施和手段，切實(shí)保障網(wǎng)的安全可靠。對(duì)于集團(tuán)網(wǎng)絡(luò)系統(tǒng)我們通過(guò)以下幾種途徑實(shí)現(xiàn)網(wǎng)絡(luò)安全：劃分多個(gè)VLAN在企業(yè)集團(tuán)網(wǎng)絡(luò)系統(tǒng)中，為了保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，實(shí)現(xiàn)財(cái)務(wù)子系統(tǒng)、銷售子系統(tǒng)、辦公子系統(tǒng)以及Internet服務(wù)子系統(tǒng)的隔離，我們運(yùn)用了VLAN技術(shù)。即在核心交換機(jī)上將屬于以上幾個(gè)子系統(tǒng)的計(jì)算機(jī)分別劃分到不同的VLAN中去。這樣各個(gè)子系統(tǒng)就形成了自己獨(dú)自的廣播域。交換機(jī)是通過(guò)VLAN標(biāo)記來(lái)識(shí)別報(bào)文是屬于哪一個(gè)VLAN的。在交換機(jī)內(nèi)部，到達(dá)接口的所有報(bào)文都打上該接口的VLAN ID。在交換機(jī)內(nèi)部，就用該VLAN ID解決報(bào)文與VLAN之間的有關(guān)問(wèn)題。VLAN可將流量、局部沖突分成幾段，以及控制廣播的能力。劃分VLAN后能提高網(wǎng)絡(luò)的安全性，因?yàn)榘l(fā)送到網(wǎng)絡(luò)上的報(bào)文對(duì)每個(gè)人都不可見(jiàn)。如果不同VLAN間需要交換數(shù)據(jù)時(shí)，可通過(guò)核心Catalyst6509的三層交換即可實(shí)現(xiàn)。訪問(wèn)控制訪問(wèn)控制是指根據(jù)用戶自身的特征（如工作性質(zhì)、職務(wù)、級(jí)別等）確定用戶對(duì)各種資源的訪問(wèn)權(quán)限，控制用戶對(duì)系統(tǒng)資源的訪問(wèn)，維護(hù)系統(tǒng)的機(jī)密性、完整性和可用性。訪問(wèn)控制分為兩大類，自主訪問(wèn)控制和強(qiáng)制訪問(wèn)控制，前者基于授權(quán)，后者基于安全等級(jí)；在商業(yè)應(yīng)用場(chǎng)合應(yīng)用較多的是自主訪問(wèn)控制?；谑跈?quán)的訪問(wèn)控制通常通過(guò)構(gòu)造訪問(wèn)控制表（ACL）來(lái)實(shí)現(xiàn)，ACL定義了每一用戶對(duì)所有系統(tǒng)資源的訪問(wèn)權(quán)限。訪問(wèn)權(quán)限規(guī)定了用戶所能訪問(wèn)的資源，以及允許的訪問(wèn)方式，如對(duì)文件的訪問(wèn)方式包括讀、讀寫(xiě)、添加、執(zhí)行等。訪問(wèn)權(quán)限的授予由系統(tǒng)管理員或資源的擁有者來(lái)完成，例如，文件的創(chuàng)建者可以決定哪些用戶可以某種方式訪問(wèn)他的文件。訪問(wèn)控制是一種基本的安全措施，目前幾乎所有的系統(tǒng)都提供有不同程度的訪問(wèn)控制機(jī)制，例如，UNIX系統(tǒng)對(duì)用戶進(jìn)行分組、對(duì)文件設(shè)置訪問(wèn)模式，不同類的用戶具有不同的文件訪問(wèn)權(quán)限。例如，在Cisco網(wǎng)絡(luò)設(shè)備（第3層交換機(jī)和路由器）中，就提供了豐富的訪問(wèn)控制機(jī)制。Cisco的ACL(訪問(wèn)控制表)安全規(guī)則可以根據(jù)許多因素制定。這些因素包括：第一，第3層(網(wǎng)絡(luò)層)信息,包括網(wǎng)絡(luò)源地址和目的地址；第二，第4層(傳輸層)信息，包括所用的傳輸層協(xié)議(TCP、UDP)、源端口號(hào)、目的端口號(hào)；第三，應(yīng)用層協(xié)議信息，包括電子郵件Email、WWW訪問(wèn)、域名服務(wù)DNS、網(wǎng)絡(luò)管理SNMP、遠(yuǎn)程登錄Telnet 文件傳送FTP；第四，用戶自定義規(guī)則。在Cisco IOSTR中，訪問(wèn)控制表還可以進(jìn)一步提供更詳細(xì)的安全策略控制。比如：基于物理端口、MAC地址、特定應(yīng)用和數(shù)據(jù)類型的過(guò)濾控制。防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)級(jí)的訪問(wèn)控制技術(shù)，它通過(guò)在內(nèi)部網(wǎng)與外部網(wǎng)（公共網(wǎng)）之間設(shè)立一道屏障，控制進(jìn)出的交通，達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)資源的目的?；镜姆阑饓夹g(shù)包括包過(guò)濾(packet filtering)和應(yīng)用代理(proxy)。包過(guò)濾是一種基于地址信息的技術(shù)，它通過(guò)檢查進(jìn)出數(shù)據(jù)包的源IP地址、目的IP地址、源TCP/UDP口地址及目的TCP/UDP口地址來(lái)過(guò)濾數(shù)據(jù)包，控制進(jìn)出的資源訪問(wèn)。某些高性能的路由器可以配置為包過(guò)濾防火墻。由于地址易于偽造，包過(guò)濾的安全度很有限。應(yīng)用代理類似于應(yīng)用網(wǎng)關(guān)，是客戶與服務(wù)器之間的中間人，客戶與服務(wù)器只能通過(guò)它交換信息，從而實(shí)現(xiàn)了對(duì)進(jìn)出資源訪問(wèn)的控制。包過(guò)濾與應(yīng)用代理一般配合使用，以保證較高的安全性。狀態(tài)檢測(cè)是一種新的防火墻技術(shù)，它結(jié)合了包過(guò)濾和應(yīng)用代理技術(shù)，對(duì)IP層之上各層的數(shù)據(jù)信息均作檢查，具有更高的安全性，而且它適用于所有協(xié)議，易于配置和管理，是一種非常有前途的防火墻技術(shù)。 有的防火墻同時(shí)還提供數(shù)據(jù)加密功能。二、服務(wù)器系統(tǒng)安全　　服務(wù)器是網(wǎng)絡(luò)系統(tǒng)核心，服務(wù)器故障意味著整個(gè)網(wǎng)絡(luò)的癱瘓，對(duì)于實(shí)時(shí)性要求很強(qiáng)的網(wǎng)絡(luò)而言，這種事故造成的損失將是不可估量的，因此要求服務(wù)器有以下功能：　?。?）完善的容錯(cuò)能力：在電源、硬盤(pán)、陣列卡、內(nèi)存保護(hù)、CPU電源模塊、PCI總線上實(shí)現(xiàn)在線冗余?！　。?）