【正文】 制。應只允許來自服務器群的IP地址訪問并配置路由器。這時，可以使用ACCESSCLASS命令進行VTY訪問控制。 服務器模塊用來對企業(yè)網(wǎng)的接入用戶提供各種服務。在本設計實例中，所 有的服務器被集中到VLAN100，構(gòu)成服務器群并通過匯聚層交換機 DSW1的端口接入企業(yè)網(wǎng)。 企業(yè)網(wǎng)網(wǎng)絡提供的常用服務（服務器）包括： l WEB 服務器：提供 WEB 網(wǎng)站服務。 l DNS、目錄服務器：提供域名解析以及目錄服務。 l FTP、文件服務器：提供文件傳輸、共享服務。 l 郵件服務器：提供郵件收發(fā)服務。 l 實時通信服務器：提供實時通信服務。 l 流媒體服務器：提供各種流媒 體播放、點播服務。 l 網(wǎng)管服務器：對企業(yè)網(wǎng)網(wǎng)絡設備進行綜合管理。 服務器硬件平臺、操作系統(tǒng)以及服務軟件的選型如下表：服務器編號服務器名稱硬件平臺操作系統(tǒng)Server1WEB服務器IBM System x3650Windows 2003 serverServer2FTP服務器IBM System x3650Windows 2003 serverServer3郵件服務器IBM System x3650Solaris Server4DNS服務器IBM System x3650Windows 2003 serverServer5實時通信服務器IBM System x3650Windows 2003 serverServer6流媒體服務器IBM System x3650Windows 2003 serverServer7網(wǎng)管服務器IBM System x3650Windows 2003 server第5章 網(wǎng)絡安全保障 網(wǎng)絡存在的隱患和漏洞 圖 網(wǎng)絡系統(tǒng)應具有良好的安全性，企業(yè)網(wǎng)與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。由于網(wǎng)絡連接企業(yè)內(nèi)部所有用戶，安全管理十分重要。網(wǎng)絡具有防止及便于捕殺病毒功能。企業(yè)網(wǎng)絡與Internet網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡用戶進行權(quán)限控制。企業(yè)網(wǎng)內(nèi)部也存在很大的安全隱患。由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解，因此來自內(nèi)部的安全威脅會更大一些。目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡安全構(gòu)成了威脅。網(wǎng)絡服務器安裝的操作系統(tǒng)有Windows NT/2000、UNIX、Linux等，這些系統(tǒng)安全風險級別不同，例如Windows NT/2000的普遍性和可操作性使它成為最不安全的系統(tǒng)：自身安全漏洞、瀏覽器的漏洞、IIS的漏洞、病毒的溫床等；UNIX由于技術(shù)的復雜性導致高級黑客對其進行攻擊：自身安全漏洞（RIP路由轉(zhuǎn)移等）、服務安全漏洞、病毒等。 　　隨著企業(yè)內(nèi)計算機應用的大范圍普及，接入企業(yè)網(wǎng)的節(jié)點數(shù)日益增多，而這些節(jié)點大部分都沒有采取安全防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。 　由此可見，構(gòu)筑具有必要的信息安全防護體系、建立一套有效的網(wǎng)絡安全機制顯得尤其重要。 解決方案 以太網(wǎng)是一種基于廣播機制的共享型技術(shù)，任何一個位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機理。網(wǎng)絡產(chǎn)品應提供對用戶帶寬控制的功能。帶寬控制通過對每一個用戶的上行帶寬與下行帶寬進行限制，保證對每個用戶的公平性，防止在共享型網(wǎng)絡結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導致其他用戶無法享受服務的現(xiàn)象。根據(jù)本企業(yè)的結(jié)構(gòu)特點及面臨的安全隱患，在廣泛征集各方意見，細心比較的基礎(chǔ)上，決定以下幾個必須考慮的安全防護要點：網(wǎng)絡安全隔離、網(wǎng)絡監(jiān)控措施、網(wǎng)絡安全漏洞、網(wǎng)絡病毒的防范。為了提高網(wǎng)絡的安全性，采取了劃分VLAN并利用網(wǎng)關(guān)保證信息的有效過濾，機房處于一個相對安全與過濾型的網(wǎng)絡狀況下運行。 企業(yè)網(wǎng)的網(wǎng)絡安全是一個系統(tǒng)性工程，不能僅僅依靠防火墻和其它網(wǎng)絡安全技術(shù)，而需要仔細考慮系統(tǒng)的安全需求，建立相應的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個高效、通用、安全的企業(yè)網(wǎng)絡系統(tǒng)。 建設企業(yè)網(wǎng)時要本著從實際出發(fā)，以應用為目的，綜觀全局、統(tǒng)籌安排。同時對建設好的企業(yè)網(wǎng)絡我們應加強安全防御意識，建立相應的安全防御體系和管理維護制度。以確保企業(yè)網(wǎng)正常安全運行和朝著健康有序方向發(fā)展。 防火墻部署 在Internet與企業(yè)網(wǎng)內(nèi)網(wǎng)之間部署了一臺防火墻，在內(nèi)外網(wǎng)之間建立一道牢固的安全屏障。其中WWW、Email、FTP、DNS服務器連接在防火墻的DMZ區(qū)（即“非軍事區(qū)”，是為不信任系統(tǒng)提供服務的孤立網(wǎng)段，它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全），與內(nèi)、外網(wǎng)間進行隔離，內(nèi)網(wǎng)口連接企業(yè)網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet連接。這樣，通過Internet進來的外網(wǎng)用戶只能訪問到對外公開的一些服務（如WWW、Email、FTP、DNS等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。在防火墻設置上我們按照以下原則配置來提高網(wǎng)絡安全性：1. 根據(jù)企業(yè)網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容，包括協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自外網(wǎng)的對企業(yè)內(nèi)網(wǎng)的不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則。2. 配置防火墻，過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包，防止內(nèi)部網(wǎng)絡發(fā)起的對外的攻擊。3. 在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。4. 定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄。5. 允許通過配置網(wǎng)卡對防火墻設置，提高防火墻管理的安全性。 入侵檢測系統(tǒng)部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素。強大的、完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。防火墻是一種主要的周邊安全解決方案。雖然防火墻能夠在網(wǎng)絡級提供訪問控制，但好幾個通信端口都是開放的。借助這些端口，外部用戶能夠與機構(gòu)內(nèi)的交換機通信。例如，郵件和Web服務器都要求，外部能夠訪問某些端口。通過這些端口，黑客可以穿過防火墻攻擊服務器。 入侵檢測系統(tǒng)（IDS）是防火墻的補充解決方案，可以防止網(wǎng)絡基礎(chǔ)設施（路由器、交換機和網(wǎng)絡帶寬）和服務器（操作系統(tǒng)和應用層）受到拒絕服務（DoS）襲擊。由于問題比較復雜，先進的IDS解決方案一般都包含兩個組件：用于保護網(wǎng)絡的IDS（NIDS）和用于保護服務器及其上運行的應用的主機IDS（HIDS）。 漏洞掃描系統(tǒng) 采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。 殺毒產(chǎn)品部署為了實現(xiàn)在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，我們應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種功能。在企業(yè)網(wǎng)絡中心的服務器上安裝殺毒軟件網(wǎng)絡版的系統(tǒng)中心，負責管理主機網(wǎng)點。在各行政、。 安裝完殺毒軟件網(wǎng)絡版后，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。 殺毒軟件網(wǎng)絡版客戶端 采用全網(wǎng)認證由于可以限制隨意的接入企業(yè)網(wǎng)，并可以對上網(wǎng)行為進行審計，將大大提高企業(yè)網(wǎng)的內(nèi)部安全。，配合SRadius認證計費系統(tǒng)，可以實現(xiàn)嚴格的六元素任意綁定認證：用戶名、IP地址、MAC地址、接入交換機IP、接入交換機端口、VLAN ID。企業(yè)網(wǎng)用戶的認證：，+EAP或基于MAC技術(shù)實現(xiàn)用戶的接入認證。，缺省情況下，所有用戶都處在未認證狀態(tài)。此時，用戶對網(wǎng)絡進行訪問的所有信息都將被交換機禁止。交換機將為認證需要的報文維護一個專門的通道，保證所有用戶都可以進行正常的認證過程。用戶認證通過后，交換機才允許該用戶訪問網(wǎng)絡的所有信息通過。1. 一次同時認證用戶名、MAC：，客戶端同時提交用戶名、MAC，一次認證即同時完成用戶名和MAC的認證。這樣，其它用戶盜取用戶或MAC都無法假冒真正用戶。更重要的是，這些都只需簡單地在RADIUS服務器上設置單一的表格即可實現(xiàn)全網(wǎng)的接入控制認證；2. 分布式認證方式，防止出現(xiàn)單一故障點：各接入交換機直接完成接入認證，不容易單點故障，同時，還可以提高認證效率；認證流和業(yè)務流實現(xiàn)分離和高效的認證，防止出現(xiàn)用戶無法認證的情況：，認證流和業(yè)務流的分離。通過端口（可以是交換機的物理端口，用戶PC的MAC地址，也可以是VLAN ID）的兩個邏輯通道：非受控端口和受控端口來實現(xiàn)對用戶的控制。非受控端口始終關(guān)閉，只允許認證流上來；受控端口走業(yè)務流，始終打開，只有通過認證才能關(guān)閉，用戶的業(yè)務才能上來。 當用戶認證流上來后，通過非受控端口進入交換機，由交換機協(xié)議體系提取用戶名和密碼對用戶身份進行認證；當用戶通過認證后，受控端口關(guān)閉，用戶的業(yè)務流可以上行。這一點很類似于窄帶交換網(wǎng)的7號信令系統(tǒng)，控制信令和語音數(shù)據(jù)的分離。基于交換與控制分離的設計思路，、高效，認證的容量很大，可以保證用戶能及時通過認證，在網(wǎng)絡流量大，認證用戶數(shù)多時不會對設備的性能產(chǎn)生影響，保證整個網(wǎng)絡高效、穩(wěn)定的運行；3. 靈活擴展計費功能：通過后臺軟件。同時，支持易實現(xiàn)對用戶離線信息的檢測，對于后續(xù)開展基于按時計費的增值服務有利。當用戶因電腦死機或異常關(guān)閉造成非主動下線，如果沒有一種定期檢測用戶是否在線的機制，則會造成按時計費信息的不準。，定期會由認證系統(tǒng)對在線用戶進行一次握手，如果用戶仍在線，則其客戶端會響應認證系統(tǒng)的檢測請求；如果用戶不在線，則其客戶端不會響應認證系統(tǒng)的檢測請求，在三次握手不成功后，就會中止計費信息。安全管理 常言說：“三分技術(shù)，七分管理”。安全管理是保證網(wǎng)絡安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。對系統(tǒng)內(nèi)的安全設備與系統(tǒng)安全策略進行管理，實現(xiàn)全系統(tǒng)安全策略的統(tǒng)一配置、分發(fā)和管理，并能有效的配置和管理全網(wǎng)安全設備，從而實現(xiàn)全網(wǎng)安全設備的集中管理，起到安全網(wǎng)管的作用。通過統(tǒng)一的技術(shù)方法，將全系統(tǒng)的安全日志、安全事件集中收集管理，實現(xiàn)集中的日志分析、審計與報告。同時通過集中的分析審計，發(fā)現(xiàn)潛在的攻擊征兆和安全發(fā)展趨勢，確保安全事件、事故得到及時的響應和處理。我們建立了一套企業(yè)網(wǎng)絡安全管理模式，制定了詳細的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施，保證了制度的執(zhí)行。 QOS服務質(zhì)量保障QOS的英文全稱為Quality of Service，中文名為服務質(zhì)量。QOS服務質(zhì)量保障，需要全網(wǎng)設備的支持，本方案可以實現(xiàn)端到端的QOS保證。本方案除了實現(xiàn)DiffServ標準體系的QOS，還支持接入帶寬定制、互聯(lián)網(wǎng)訪問加速、服務器負載均衡等技術(shù)，因此本方案完全可以在網(wǎng)絡擁塞的情況下，保證關(guān)鍵業(yè)務的正常運行，并對所有的接入用戶提供高質(zhì)量的網(wǎng)絡服務。1. 高帶寬同時也需要QOS。傳統(tǒng)不具備QoS功能的交換機不具有提供傳輸品質(zhì)服務的能力，它同等對待所有的交通數(shù)據(jù)流，并不保證某一特殊的數(shù)據(jù)流會受到特殊的轉(zhuǎn)發(fā)待遇。當網(wǎng)絡帶寬充裕的時候，所有的數(shù)據(jù)流都得到了較好的處理，當網(wǎng)絡擁塞發(fā)生的時候，所有的數(shù)據(jù)流都有可能被丟棄。這種轉(zhuǎn)發(fā)策略有時也被稱做提供最佳效果服務，因為這時交換機是盡最大能力轉(zhuǎn)發(fā)數(shù)據(jù)的，交換機本身的交換帶寬得到了充分的利用。目前局域網(wǎng)QOS實現(xiàn)一般是遵循DiffServ體系標準。DiffServ體系規(guī)定每一個傳輸報文將在網(wǎng)絡中被分類到不同的類別，分類信息被包含在了IP報文頭中，DiffServ體系使用了IP報文頭中的TOS（Type Of Service）中的前6個比特來攜帶報文的分類信息。當然分類信息也可以被攜帶在鏈路層報文頭上。一般地，附帶在報文中的分類信息有：(1) Control Information中的前3個比特，它包含了8個類別的優(yōu)先級信息，通常稱這三個比特為為User Priority bits；(2) 攜帶在IP報文頭中的TOS字段前3個比特，稱作IP precedence value或者攜帶在IP報文頭中的TOS字段前6個比特，稱作Differentiated Services Code Point (DSCP) value。在遵循DiffServ體系的網(wǎng)絡中，各交換機和路由器對包含同樣分類信息的報文采取同樣的傳輸服務策略，對包含不同分類信息的報文采取不同的傳輸服務策略。報文的分類信息可以被網(wǎng)絡上的主機、交換機、路由器或者其它網(wǎng)絡設備賦予?？梢曰诓煌膽貌呗曰蛘呋趫笪膬?nèi)容的不同為報文賦予類別信息。識別報文的內(nèi)容以便為報文賦予類別信息的做法往往需要消耗網(wǎng)絡設備的大量處理資源，為了減少骨干網(wǎng)絡的處理開銷，做到了賦予類別信息在網(wǎng)絡邊緣進行實現(xiàn)，從而節(jié)省了骨干網(wǎng)絡處理器的開銷，做到了智能到邊緣的概念。交換機或路由器根據(jù)報文所攜帶的類別信息，可以為各種交通流提供不同的傳輸優(yōu)先級，或者為某種交通流預留帶寬，或者適當?shù)膩G棄一些重要性較低的報文、或者采取其他一些操作等等。這些獨立設備的這種行為在DiffServ體系中被稱作每跳行為（perhop behavior）。如果網(wǎng)絡上的所有設備提供了一致的每跳行為，那么對于DiffServ體系來說，這個網(wǎng)絡就可以構(gòu)成endtoend QoS solution。2. QOS的模型框架(1) QoS入口端動作包括Classifying、Policing和Marking。Classifying，確保將網(wǎng)絡交通流劃分成以DSCP值來標識的各個數(shù)據(jù)流。隨后交換機將根據(jù)DSCP值來對各個數(shù)據(jù)流實施不同的QoS策略；Policing，用于約束某個流的所占用的傳輸帶寬，根據(jù)配置的Policer來決定流中的哪些部分超出