【正文】 部門、系所訪問進行控制，各單位之間在未授權的情況下不能互相訪問，保證系統(tǒng)內部的安全。內網對安全的需求包括 VLAN 設置需求、防病毒系統(tǒng)需求、網絡管理需求和網絡系統(tǒng)管理等。 設置需求 企業(yè) 網絡內部的環(huán)境比較復雜，而且各子網的分布 區(qū) 域廣，網絡用戶 多 ，因此，內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發(fā)自內部用戶，如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內 部網絡運行的可靠性和安全性，必須要對它進行詳盡的 設計 ，盡可能防護到網絡的每一節(jié)點。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。 網絡管理需求 此次建設的企業(yè)網絡系統(tǒng)是一個相當復雜的計算機網絡，包含多種設備和技術。隨著系統(tǒng)復雜度的增加，會給系統(tǒng)管理帶來成指數增加的管理工作量。為此必須要設計一套健全的管理系統(tǒng)。針對系統(tǒng)的功能采取相應的管理措施。 廣東港隆文具有限公司局域網設計 24 / 30 外網安全 由于外網主要運行企業(yè)各部門非涉密的內部辦公業(yè)務以及運行 面向客戶的公開信息，所以必須采取過硬的安全技術來實現企業(yè)的網絡系統(tǒng)不受 Inter的“黑客”、病毒等攻擊。外網對安全的需求包括物理安全需求、數據鏈路層需求、入侵檢測系統(tǒng)需求、防病毒系統(tǒng)需求和安全管理體制等。 物理安全需求 針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放機密信息的機房進行必要的設計，如構建屏蔽室。采用輻射干擾機，防止電磁輻射泄漏機密信息。對重要的設備進行冗余配置；對重要系統(tǒng)進行備份等安全保護。 數據鏈路層需求 信息的泄漏很多都是在鏈路上被搭線竊取，數據也可能因 為在鏈路上被截獲、被篡改后傳輸給對方，造成數據真實性、完整性得不到保證。如果利用加密設備對傳輸數據進行加密，使得在網上傳輸的數據以密文傳輸。因為數據是密文，所以，即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密機還能通過先進行技術手段，對數據傳輸過程中的完整性、真實性進行鑒別。可以保證數據的保密性、完整性及可靠性。因此，可能需要配備加密設備對數據進行傳輸加密。 入侵檢測系統(tǒng)需求 網絡安全是整體的、動態(tài)的，不是單一產品能夠完全實現的，所以為了確保網絡更加安全必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進 行檢測并做相應反應（記錄、報警、阻斷）。 防病毒系統(tǒng)需求 針對防病毒危害性極大并且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現全網的病毒安全防護。 第五章 . 安全管理體制 安全系統(tǒng)只能提供技術手段和措施，但人為的因素不可忽略，只有確立健全的安全管理體制，設立相應的安全管理崗位，從制度上加以嚴格管理。 系統(tǒng)中包含大量的網絡設備，必須為其配置功能強大的管理系統(tǒng)，該系統(tǒng)應廣東港隆文具有限公司局域網設計 25 / 30 具有以下功能： (1)虛擬網管理、分配； (2)對所有網絡設備端口的監(jiān)視和管理； (3)對網絡流量的監(jiān)測和管理； (4)對所有網絡設備的遠程管理和控制，包括網絡端口設備的開放和關閉； (5)整個網絡的故障監(jiān)測，故障自動報警功能； (6)整個網絡性能的統(tǒng)計和分析報告。 網絡應用安全 談到網絡應用安全，人們首先想到的是網絡黑客。確實，網絡黑客幾乎與網絡同時誕生，黑客與反黑的斗爭從來就沒有停止過。要有效防止黑客，就必須首先了解黑客所使用的手段。一般說來黑客所使用的手段主要有下面幾類。 網絡嗅探 一般說來，有網絡路由器的地方都有探測程序（ sniffer program）。探測程序是一種分析網絡流量的網絡應用程序。 IP 的最基本的缺點是缺乏一種機制來確定數據包的真正來源。所有的包都含有源地址和目的地址，但是在 IP 包中沒有任何東西可以確認 IP 包的源和目的地址是否變動過。顯然，安全性不好的系統(tǒng)將是黑客進駐和安裝探測軟件的地方。一旦探測軟件安裝完畢，黑客就可以通過分析經過的所有數據流量，從而得到所需要的地址、帳號和密碼等數據。其中典型的包探測程序也就是利用 IP 的弱點，因為它可以用來探測有效的 Inter連接。一旦這種連接被檢測到，包探測程序就可以利用 IP 的其它弱點竊取其它連接信息。 ARP 欺騙 感染了 ARP 欺 騙病毒的計算機會向同網段內所有計算機發(fā) ARP 欺騙包，導致網絡內其它計算機因網關物理地址被更改而無法上網，被欺騙計算機的典型癥狀是剛開機能上網，幾分鐘之后斷網，如此不斷重復，造成了該子網段范圍內的不穩(wěn)定，影響其它機器的正常使用。更為嚴重的是 ARP 欺騙病毒及其變形 “ 惡意竊聽 ”等 病毒 的 中毒主機會截取局域網范圍內所有的通訊數據。 IP 地址欺騙 當一個黑客開始使用一種用以散布網絡路由信息的應用程序 RIP 時，一種路由方式的地址欺騙就開始了。一般說來，當一個網絡收到 RIP 信息時，這種信息廣東港隆文具有限公司局域網設計 26 / 30 是沒有得到驗證的。這種 缺陷的結果是使得黑客可以發(fā)送虛假的路由信息到他想進行欺騙的一臺主機，如主機 A。這種假冒的信息頁將發(fā)送到主機 A 的路徑上的所有網關。主機 A 和這些網關收到的虛假路由信息是來自網絡上的一臺不工作或沒有使用的主機，如主機 B。這樣，任何要發(fā)送到主機 B 的信息都會轉送到黑客的計算機上，而主機 A 和網關還認為信息是流向了主機 B—— 網絡上一個可信任的節(jié)點。一旦黑客成功地將他的計算機取代了網絡上的一臺實際主機，就實現了主機欺騙。 DOS 攻擊 DOS 攻擊也稱強攻擊，其最基本的方法就是通過發(fā)起大量的服務請求，消耗服務器或網 絡的系統(tǒng)資源，使之最終無法響應其它請求，導致系統(tǒng)癱瘓。具體實現方法有下面幾種： PING/ICMP Echo Flood 攻擊 這種攻擊模式一般是發(fā)起大量的 ICMP Echo 請求給一個指定的目標，以達到使服務癱瘓的目的。但是需要發(fā)起這么大量的 ICMP 請求是不可能從一臺具有正確 IP 地址的主機上做到的，因為這樣也會對自身產生很大的影響，發(fā)起者不得不接受同樣多的回應。所以 HACKER 需要利用虛假的地址再發(fā)起攻擊。 我們可以利用 H3C 9512 的源地址驗證功能實現防止 PING 攻擊。 SMURF 攻擊 SMURF 攻擊類似與 PING 攻擊，是一種帶寬消耗的攻擊模式。它需要大量虛假ICMP 請求導向到 IP 廣播地址上。當一個包是從設備的本地網絡外發(fā)送到本地網絡的廣播地址的時候，它被轉發(fā)到這個本地網絡的所有設備上。于是我們可以看到在 SMURF 攻擊中有 3 大部分：發(fā)起攻擊者，中間系統(tǒng)，和受害者。當然中間系統(tǒng)也可能同樣是受害者。中間系統(tǒng)接從廣播地址那里收到 ICMP 應答請求，當這些設備同時回答請求的時候，就會導致嚴重網絡阻塞。 防止 SMURF 攻擊的重要措施是在路由器上配置不準廣播進入的條目。我們也可以利用 ZXR10UAS 的安全 ARP 功能去阻擋流量到廣播地址。 SYN 攻擊 TCP SYN 攻擊是一種以大量虛假 IP 地址發(fā)起 SYN 握手信號消耗掉被攻擊設備的資源的攻擊模式。設備要做出大量的 SYN 回應，而三次握手卻是無法正常完成，必須等待 Time out 之后（通常是 1 分鐘左右）。在短時間內大量發(fā)起 SYN 攻擊，會很快消耗完設備的資源，讓被攻擊者無法完成正常的 TCP 服務，如 EMAIL，WWW 等。 LAND 攻擊 廣東港隆文具有限公司局域網設計 27 / 30 LAND 攻擊是 SYN 攻擊一種演變，它似的好像主機是在自己給自己發(fā)送包，從而讓系統(tǒng)變得不斷的嘗試應答自己。 分布式 DOS 攻擊（ DDOS） DDOS 攻擊是一種更嚴重的攻擊手段，它通過某些主機操作系統(tǒng) /軟件的缺陷，從而操縱大量的第三方設備向目標發(fā)起攻擊，擴大了 DOS 攻擊的強度。一般來說，HACKER 主要利用 EMAIL或者 JAVE Script 等去控制其他主機，而且通常都以 UNIX主機 /服務器為主，因為它們是 24*7 工作模式，方便被 HACKER 在方便的時候操縱和發(fā)起攻擊。通常我們需要在路由器上打開外出包過濾去防止欺騙包離開網絡，同時也可以采用工具去搜索本網絡中 DDOS 的引擎并且刪除它。 黑客攻擊是網絡應用安全的重點，但并不是全部。網絡應用 安全還應該包括對網絡內部不同用戶權限的外部訪問控制（例如沒有授權用戶不準上 Inter或不準訪問與公司業(yè)務無關的娛樂性網站等）。 廣東港隆文具有限公司局域網設計 28 / 30 總結 1）隨著科技的發(fā)展，網絡在經濟規(guī)模中正以不可替代的趨勢，扮演著“利用信息資源，協(xié)調生產成本，提高經濟效益”的重要角色。對于企業(yè)而言，網絡的構建是企業(yè)不可缺少的一部分。 2）在設計網絡結構時，企業(yè)的商業(yè)目的是優(yōu)先處理的因素，因此要考慮其成本、擴充性、安裝維護是否方便等。綜合這些因素，使用網絡設備商的中低端設備，構建快速以太網，是適 合中小型企業(yè)網絡的解決方案。 3)通過這次的畢業(yè)論文設計， 我真的學到了很多的東西，在實際的工作我們要做的除了模塊化的東西外，我們盡量要把東西系統(tǒng)化，因為很多東西就是有聯(lián)系的你只要找到了他們的關系會為你處理問題帶來很高的效率，我也從中發(fā)現了自身很多不足的地方知識面還不夠廣，系統(tǒng)的認識問題還不夠，在學習中趨于模塊化了，所有要加強系統(tǒng)化的學習 ，努力提高自己的技術水平 。 3）本方案中使用的主要技術方法： 1采用成熟的 OSPF 協(xié)議規(guī)劃網絡； 2VLAN 技術保證部門的隔離和安全， VTP 管理 VLAN 的傳播； 3HSRP 技術增強骨干網的穩(wěn)定性， 4組播技術，保證鏈路帶寬費充分利用，避免浪費； 5ACL 管理，保證企業(yè)數據的安全性； 廣東港隆文具有限公司局域網設計 29 / 30 參考文獻 [ . [2 Dinae Teare .CCNP 學習指南：組建可擴展的 Cisco互聯(lián)網絡（ BSCI）（第三版） .人民郵電出版社 [3 Brian Man Neil Lovering. CCNA ISCW認證考試指南 .人民郵電出版社 [4 Amir Ranjbar. CCNP ONT 認證考試指南 .人民郵電出版社 [5 Richard Froom, Balaji Sivasubramanian, Erum Frahim. CCNP 學習指南：組建 Cisco多層交換網絡 (BCMSN)(第 4版 ).人民郵電出版社 [6 David Hucaby .CCNP BCMSN 認證考試指南 (第 4版 ).人民郵電出版社 [7 David Hucaby .CCNP BCMSN認證考試指南 (第三版 ).人民郵電出版社 [ 王達編著 網絡工程師必讀 —— 網絡安全系統(tǒng)設計 電子工業(yè)出版社 2021年出版 [ 徐昌彪 、 鮮永菊編著 計算機網絡中的擁塞控制與流量控制 人民郵電出版社 2021 年出版 廣東港隆文具有限公司局域網設計 30 / 30 致謝 在論文完成之際，我要特別感謝我的指導老師 陳齊 老師的熱情關懷和悉心指導。在我撰寫論文的過程中， 陳 老師傾注了大量的心血和汗水，無論是在論文的選題、構思和資料的收集方面，還是在論文的研究方法以及成文定稿方面，我都得到了 陳 老師悉心細致的教誨和無私的幫助 ，特別是 他 廣博的學識、深厚的學術素養(yǎng)、嚴謹的治學精神和一絲不茍的工作作風使我終生受益，在此表示真誠地感謝和深深的謝意。 在論文的寫作過程中，也得到了許多同學的寶貴建議，同時還得到許多實習期同事的支持和幫助，在此一并致以誠摯的謝意，感謝所有關心、支持、幫助過我的良師益友。 最后，向在百忙中抽出時間對本文進行評審并提出寶貴意見的各位老師表示衷心的感謝！ 感謝所有教過我的老師你們辛苦了，在你們的教導下我知道了知識的發(fā)展前沿，知道了人生道理。 感謝在 永州職業(yè)技術學院 三年里和我共同學習和生活的同學們感謝你們對我的照 顧對我做錯事情的理解 。 廣東港隆文具有限公司局域網設計 31 / 30 您好，為你提供優(yōu)秀的畢業(yè)論文參考資料，請您刪除以下內容， O(∩ _∩ )O 謝謝?。。?A large group of tea merchants on camels and horses from Northwest China39。s Shaanxi province pass through a stop on the ancient Silk Road, Gansu39。s Zhangye city during their journey to Kazakhstan, May 5, 2021. The caravan, consisting of more than 100 camels, three horse