【文章內(nèi)容簡(jiǎn)介】 保護(hù)可以有效的控制網(wǎng)絡(luò)的訪問(wèn)，靈活的實(shí)施網(wǎng)絡(luò)的安全控制策略。 網(wǎng)絡(luò)規(guī)劃是對(duì)擬建網(wǎng)絡(luò)的初步設(shè)計(jì)，應(yīng)該遵循網(wǎng)絡(luò)設(shè)計(jì)的一般原則和方法，并提出相應(yīng)的解決方案為后續(xù)的設(shè)計(jì)和實(shí)現(xiàn)工作的依據(jù)。網(wǎng)絡(luò)總體規(guī)劃反映了網(wǎng)絡(luò)設(shè)計(jì)“總體規(guī)劃、分布實(shí)施”的網(wǎng)絡(luò)建設(shè)原則，是從網(wǎng)絡(luò)需求分析到網(wǎng)絡(luò)具體設(shè)計(jì)之間必須的階段，網(wǎng)絡(luò)規(guī)劃通過(guò)對(duì)企業(yè)網(wǎng)絡(luò)需求的調(diào) 查、分析、歸納，吧企業(yè)現(xiàn)在和對(duì)網(wǎng)絡(luò)的需求轉(zhuǎn)換成對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、功能、性能、協(xié)議等技術(shù)指標(biāo)的具體要求。網(wǎng)絡(luò)規(guī)劃的主要原則一般有一下幾個(gè)特點(diǎn)： （ 1） 實(shí)用性和經(jīng)濟(jì)性。 系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 （ 2）開(kāi)放性和兼容性。 整個(gè)網(wǎng)絡(luò)系統(tǒng)應(yīng)當(dāng)選用標(biāo)準(zhǔn)的兼容性強(qiáng)的網(wǎng)絡(luò)通信協(xié)議、主機(jī)系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)服務(wù)器通信協(xié)議、網(wǎng)絡(luò)管理網(wǎng)絡(luò)劃分交換端口分配策略等。 （ 3）可靠性和穩(wěn)定性。 在考慮技術(shù)先進(jìn)性和開(kāi)放性的同時(shí)，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支 持及維修能力等方面著手，確保系統(tǒng)運(yùn)行的可靠性和穩(wěn)定性，達(dá)到最大的平均無(wú)故障時(shí)間， TPLINK 網(wǎng)絡(luò)作為國(guó)內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。 （ 4）先進(jìn)性和成熟性。 網(wǎng)絡(luò)建設(shè)應(yīng)適合企業(yè)自身發(fā)展的特點(diǎn)及網(wǎng)絡(luò)通信技術(shù)的更新?lián)Q代，在主機(jī)選擇、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理方式等方面應(yīng)具有一定的先進(jìn)性，采用國(guó)際上先進(jìn)同時(shí)又是成熟的技術(shù)。 （ 5）安全性和保密性。 在系統(tǒng)設(shè)計(jì)中，既考慮信息資源的充分共享，更要注意信息的保護(hù)和隔離，因此系統(tǒng)應(yīng)分別針對(duì)不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不 同的措施，包括系統(tǒng)安全機(jī)制、數(shù)據(jù)存取的權(quán)限控制等， TPLINK 網(wǎng)絡(luò)充分考慮安全性，針對(duì)小型企業(yè)的各種應(yīng)用，有多種的保護(hù)機(jī)制，如劃分 VLAN、 MAC 地址綁定、 、 等。 （ 6）可維護(hù)性和可管理性。 網(wǎng)絡(luò)設(shè)備應(yīng)具備安裝方便、配置方便、使用方便等特點(diǎn)， 同時(shí)要求有較強(qiáng)的網(wǎng)絡(luò)管理手段，能夠合理地配置和調(diào)整網(wǎng)絡(luò)資源，監(jiān)視網(wǎng)絡(luò)狀態(tài)，控 制網(wǎng)絡(luò)運(yùn)行。 公司需求 建材公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有 Web、 Mail 等服務(wù)器和辦公區(qū)客戶機(jī)。公司已經(jīng)完成了綜合布線工程的施工與網(wǎng) 絡(luò)設(shè)備的架設(shè)。企業(yè)分為財(cái)務(wù)部門(mén)和業(yè)務(wù)部門(mén)，需要他們之間相互隔離。 網(wǎng)絡(luò)管理員在實(shí)際維護(hù)公司網(wǎng)絡(luò)的過(guò)程中，常遇到各種網(wǎng)絡(luò)安全問(wèn)題，例如：網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒泛濫、各種木馬程序等等。由于考慮到 Inteer 的安全性，以及網(wǎng)絡(luò)安全等一些因素，如 DDoS、 ARP 等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。 網(wǎng)絡(luò)管理員需要隨時(shí)排除企業(yè)網(wǎng)絡(luò)在日常運(yùn)轉(zhuǎn)中出現(xiàn)的各種網(wǎng)絡(luò)安全問(wèn)題，保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定工作。 結(jié)構(gòu)圖 根據(jù)建材公司的整體網(wǎng)絡(luò)情況，簡(jiǎn)單的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖 21 所示： 圖 21 網(wǎng)絡(luò)結(jié)構(gòu)圖 公司網(wǎng)絡(luò)分析 網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求網(wǎng)絡(luò)安全需求 現(xiàn)代大型企業(yè)網(wǎng)絡(luò)應(yīng)提供更完善的網(wǎng)絡(luò)安全解決方案，以阻擊病毒和黑客的攻擊，減少企業(yè)的經(jīng)濟(jì)損失。傳統(tǒng)企業(yè)網(wǎng)絡(luò)的安全措施主要是通過(guò)部署防火墻、 IDS、殺毒軟件，以及配合交換機(jī)或路由 器的 ACL來(lái)實(shí)現(xiàn)對(duì)病毒和黑客攻擊的防御，但實(shí)踐證明這些被動(dòng)的防御措施并不能有效地解決企業(yè)網(wǎng)絡(luò)的安全問(wèn)題。在企業(yè)網(wǎng)絡(luò)已經(jīng)成為公司生產(chǎn)運(yùn)營(yíng)的重要組成部分的今天，現(xiàn)代企業(yè)網(wǎng)絡(luò)必須要有一整套從用戶接入控制，病毒報(bào)文識(shí)別到主動(dòng)抑制的一系列安全控制手段，這樣才能有效地保證企業(yè)網(wǎng)絡(luò)的穩(wěn)定運(yùn)行 網(wǎng)絡(luò)安全需求分析 我們針對(duì)建材公司的網(wǎng)絡(luò)安全狀況和網(wǎng)絡(luò)結(jié)構(gòu)來(lái)進(jìn)行需求分析。 建材公司的第一個(gè)網(wǎng)絡(luò)安全需求是根據(jù)部門(mén)需要?jiǎng)澐?VLAN，使用 VPN 技術(shù)。 建材公司的第二個(gè)網(wǎng)絡(luò)安全需求是要安裝一個(gè)基于安全的操作系統(tǒng)平臺(tái)的高 級(jí)通信保護(hù)控制系統(tǒng) 網(wǎng)絡(luò)防火墻，保護(hù)公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)免遭來(lái)自國(guó)際互聯(lián)網(wǎng)的黑客攻擊、病毒侵?jǐn)_。 建材公司的第三個(gè)網(wǎng)絡(luò)安全需求是企業(yè)內(nèi)部的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題。建材公司網(wǎng)內(nèi)有很多計(jì)算機(jī)均有上網(wǎng)需求，這就導(dǎo)致常出現(xiàn)網(wǎng)絡(luò)黑客攻擊、網(wǎng)絡(luò)蠕蟲(chóng)病毒泛濫、各種木馬程序盜取密碼等網(wǎng)絡(luò)安全問(wèn)題。因此，依據(jù)建材公司內(nèi)計(jì)算機(jī)的使用狀況，分別安裝軟件防火墻、殺毒軟件、網(wǎng)絡(luò)安全軟件。 網(wǎng)絡(luò)內(nèi)容方案 為了 提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性 。建材公司建立 虛擬局域網(wǎng)實(shí)現(xiàn)數(shù)據(jù)安全和共享，提高建材公司主要兩大部門(mén) 順利實(shí)效。 通過(guò)多方調(diào)研，建材公司決定采用國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)的領(lǐng)先企業(yè) 遠(yuǎn)東網(wǎng)安科技有限公司 的遠(yuǎn)東網(wǎng)安防火墻。 使用該防火墻隔離公司內(nèi)部網(wǎng)絡(luò)和國(guó)際互聯(lián)網(wǎng)。在不改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況下，使公司內(nèi)部的計(jì)算機(jī)訪問(wèn)國(guó)際互聯(lián)網(wǎng)的時(shí)候，經(jīng)過(guò)包過(guò)濾安全設(shè)置。 針對(duì)建材公司各個(gè)部門(mén)計(jì)算機(jī)的應(yīng)用環(huán)境，分別安裝網(wǎng)絡(luò)安全軟件、殺毒軟件、軟件防火墻等。網(wǎng)絡(luò)管理員的須知。 對(duì)建材公司計(jì)算機(jī)操作系統(tǒng)進(jìn)行研究，操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項(xiàng)進(jìn)行設(shè)置。從安全角度考慮，其變現(xiàn)為裝了很多用不到的服務(wù)模塊，開(kāi)放了很多不必開(kāi)放的端口，其中可能隱含了安全風(fēng)險(xiǎn)。 目前的操作系統(tǒng)無(wú)論是 windows 還是 Unix 操作系統(tǒng)以及其他廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，某開(kāi)發(fā)廠商必然有其 Back— Door。而且系統(tǒng)本身必然存在安全漏洞。這些后門(mén)和安全漏洞都將存在重大安全隱患。系統(tǒng)的安全程度跟安全配置及系統(tǒng)的應(yīng)用有很大關(guān)系，操作系統(tǒng)如果進(jìn)行安全配置，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開(kāi)發(fā)一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。 項(xiàng)目設(shè)計(jì)圖 服務(wù)器二 層 交 換 機(jī)D M Z三 層 交 換 機(jī)二 層 交 換 機(jī)客 戶 機(jī)客 戶 機(jī) 圖 22 項(xiàng)目設(shè)計(jì)圖 企業(yè) VLAN 劃分 企業(yè)主要分兩個(gè)部門(mén)，所以只要?jiǎng)澐謨蓚€(gè) VLAN，分別為： 財(cái)務(wù)部門(mén) VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS5526） 業(yè)務(wù)部門(mén) VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS5526） 核心交換機(jī) S3 核心交換機(jī)（神州數(shù)碼 DCRS5526） 圖 23 網(wǎng)絡(luò)拓?fù)鋱D 客戶機(jī)的地址范圍： 建材公司內(nèi)網(wǎng)中管理遠(yuǎn)東網(wǎng)安防火墻主機(jī)的計(jì)算機(jī)地址：： 外網(wǎng)的網(wǎng)關(guān)： 防火墻的 LAN（ eth0）口的 IP： （默認(rèn)） 直接管理遠(yuǎn)東網(wǎng)安防火墻的計(jì)算機(jī)地址： 第 3 章 公司項(xiàng)目實(shí)施 VLAN 的功能和作用 虛擬局域網(wǎng)，應(yīng)該就是我們平常聽(tīng)到的 VPN，也叫虛擬英特網(wǎng)。它實(shí)際上不是真正過(guò)一定范圍之內(nèi)的幾臺(tái)電腦互相用網(wǎng)線，通過(guò)交換機(jī)等相連，而是通過(guò)遠(yuǎn)程的一種訪問(wèn)形式，比如你公司有 VPN，你在外 地出差，這時(shí)候，你只要可以上英特網(wǎng)，就可以利用你的賬號(hào)和密碼訪問(wèn)到你們公司的內(nèi)部網(wǎng)絡(luò)。就可以像平常在局域網(wǎng)內(nèi)工作是一樣的，可以訪問(wèn)網(wǎng)上鄰居、打印文件等。 它的作用也就是提供了遠(yuǎn)程的系統(tǒng)管理、文件傳輸、打印等功能，提高了工作效率。 VLAN 介紹 VLAN 即虛擬局域網(wǎng)。 VLAN 是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè) VLAN 可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。 VLAN 可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門(mén)或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序 和協(xié)議來(lái)進(jìn)行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、 廣播域、帶寬問(wèn)題。一方面， VLAN 建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面， VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò) VLAN 用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。 VLAN 充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具有 VLAN 功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。 VLAN 優(yōu)點(diǎn) 增加了 網(wǎng)絡(luò)的連接靈活性 借助 VLAN 技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地 LAN 一樣方便 。 控制網(wǎng)絡(luò)上的安全 VLAN 可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。相鄰的端口不會(huì)收到其他VLAN 產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶 使 用，減少?gòu)V播的產(chǎn)生 。 增加網(wǎng)絡(luò)的安全性 因?yàn)橐粋€(gè) VLAN 就是一個(gè)單獨(dú)的廣播域， VLAN 之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。 VLAN 分類 基于端口的 VLAN； 基于 MAC 地址的 VLAN； 基于第 3 層的 VLAN； 基于策略的 VLAN； 公司 VLAN 劃分 財(cái)務(wù)部門(mén) VLAN 10 交換機(jī) S1 接入交換機(jī)（神州數(shù)碼 DCS5526） 業(yè)務(wù)部門(mén) VLAN 20 交換機(jī) S2 接入交換機(jī)（神州數(shù)碼 DCS5526） 核心交換機(jī) S3 核心交換機(jī)（神州數(shù)碼 DCRS5526） S1 配置如下 : switch switchena switchcon switch(Config)vlan 10 switch(ConfigVlan10)swithport interface ether 0/0/120 switch(ConfigVlan10)exit switch(Config)exit switchcon switch(Config)interface vlan 10 switch(Configifvlan10)ip address switch(Configifvlan10)no shutdown switch(Configifvlan10)exit switch(Config)int e 0/0/24 switch(ConfigEther0/0/24)swithport mode trunk Set the port Ether0/0/24 mode TRUNK successfully switch(ConfigEther0/0/24)sw t a v a set the port Ether0/0/24 allowed vlan successfully switch(ConfigEther0/0/24)exit S2 配置如下 : Switch Switchena Switchcon switch(Config)vlan 20 switch(ConfigVlan20)sw int e 0/0/120 switch(ConfigVlan20)exit switch(Config)exit switchcon switch(Config)interface vlan 20 switch(Configifvlan20)ip address switch(Configifvlan20)no shutdown switch(Configifvlan20)exit switch(Config)int e 0/0/24 switch(ConfigEther0/0/24)sw m t Set the port Ether0/0/24 mode TRUNK successfully switch(ConfigEther0/0/24)sw t a v a set the port Ether0/0/24 allowed vlan successfully switch(ConfigEther0/0/24)exit S3 配置如下 : switch switchena switch switchcon switch(Config)hostname S3 S3(Config)vlan 10 S3(ConfigVlan10)vlan 20 S3(ConfigVlan20)exit S3(Config)int e 0/0/12 S3(ConfigPortRange)sw m t S3(ConfigPortRange)sw t a v a S3(ConfigPortRange)exit S3(Config)int vlan 10 S3(ConfigIfVlan10)ip address S3(ConfigIfVlan10)no shutdown S3(ConfigIfVlan10)exit S3(Config)int vlan 20 00:04:23: %LINK5CHANGED: Interface Vlan20, changed state to UP %LINEPROTO5UPDOWN: Line protocol on Interface Vlan20, changed state to UP S3(ConfigIf