【導(dǎo)讀】下，進(jìn)行研究工作所取得的成果，成果不存在知識(shí)產(chǎn)權(quán)爭(zhēng)議。撰寫過(guò)的作品成果。對(duì)本文的研究做出重要貢獻(xiàn)的個(gè)人和集體在文中。均作了明確的說(shuō)明并表示了謝意。同時(shí)，本論文的著作權(quán)由本人與湖。南農(nóng)業(yè)大學(xué)東方科技學(xué)院、指導(dǎo)教師共同擁有。本人完全意識(shí)到本聲。明的法律結(jié)果由本人承擔(dān)。

　　

【正文】 、客戶端安全檢查等多項(xiàng)技術(shù)為您實(shí)現(xiàn)安全、可靠、低成本、靈活度高的網(wǎng)絡(luò)邏輯隔離方案。 (3)關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固。深信服 SSL VPN 提供完整的關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固方案，提供完整的身份認(rèn)證機(jī)制及訪問(wèn)過(guò)程保護(hù)，并具有專利技術(shù)主從帳號(hào)綁定指定用戶的應(yīng)用訪問(wèn)帳號(hào)，杜絕帳號(hào)冒用及越權(quán)訪問(wèn)。 22 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT(Network Address Translation)屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為合法 IP地址 的轉(zhuǎn)換技術(shù) ,它被廣泛應(yīng)用于各種類 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單， NAT 不僅完美地解決了 lP 地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī) 。 上網(wǎng)行為管理 深信服的上網(wǎng)優(yōu)化管理解決方案通過(guò)構(gòu)建系統(tǒng)的管理系統(tǒng)，幫助企業(yè)建立以 用戶識(shí)別、應(yīng)用識(shí)別、終端識(shí)別 應(yīng)用， 基礎(chǔ)的授權(quán)、流控、審計(jì)的管理方案，并 通過(guò)技術(shù)手段進(jìn)一步強(qiáng)化組織的上網(wǎng)安全及上網(wǎng)速度。具體作用如下： (1)防止帶寬資源濫用。深信服 AC系列 上網(wǎng)行為管理產(chǎn)品通過(guò)基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶 /用戶組、時(shí)間段等的細(xì)致帶寬分配策略限制 P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障 OA、 ERP等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。 (2)防止無(wú)關(guān)網(wǎng)絡(luò)行為影響工作效率。深信服 AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶 /用戶組、應(yīng)用、時(shí)間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無(wú)關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。 (3)記錄上網(wǎng)軌跡滿足法規(guī)要求。深信服 AC 系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對(duì)網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風(fēng)險(xiǎn)。 (4)管控外發(fā)信息，降低泄密風(fēng)險(xiǎn)。深信服 AC 系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動(dòng)泄密、被動(dòng)泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護(hù)信 息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)。 (5)防止病毒木馬等網(wǎng)絡(luò)風(fēng)險(xiǎn)。 通過(guò)部署深信服 AC 系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險(xiǎn)插件和惡意腳本過(guò)濾等創(chuàng)新技術(shù)過(guò)濾掛馬網(wǎng)站的訪問(wèn)、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入、 DDOS 防御、 ARP 欺騙防護(hù)等多種安全手段， 一旦有病毒入侵，上網(wǎng)行為管理根據(jù)自己的規(guī)則匹配庫(kù)，對(duì)病毒進(jìn)行防范， 實(shí)現(xiàn)立體式安全護(hù)航，確保組織安全上網(wǎng)。 23 通過(guò)內(nèi)網(wǎng)管理，和根據(jù)要求按照準(zhǔn)入的終端電腦為網(wǎng)絡(luò)安全建設(shè)，提供了基礎(chǔ)保障。 負(fù)載均衡（ Load Balance），其意思就是將負(fù)載（工作任務(wù)）進(jìn)行平衡、分 攤到多個(gè)操作單元上進(jìn)行執(zhí)行，例如 Web服務(wù)器、 FTP 服務(wù)器 、 企 業(yè)關(guān)鍵應(yīng)用服務(wù)器 和其它關(guān)鍵的任務(wù)服務(wù)器等等， 從而共同完成工作任務(wù)。 達(dá)到負(fù)載均衡的目的。 深信服產(chǎn)品作為 專 業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)橛脩舻膽?yīng)用發(fā)布提供全方位的解決方案，包括鏈路優(yōu)化和服務(wù)器優(yōu)化，四到七層負(fù)載均衡，實(shí)現(xiàn)對(duì)各個(gè)服務(wù)器狀態(tài)的實(shí)時(shí)監(jiān)控，同時(shí)根據(jù)預(yù)設(shè)的規(guī)則將請(qǐng)求分配給相應(yīng)服務(wù)器，以此最終實(shí)現(xiàn)數(shù)據(jù)流的合理 的 分配所有的服務(wù)器都得到充分的利用，擴(kuò)展應(yīng)用系統(tǒng)的整體處理能力， 提高應(yīng)用系統(tǒng) 的 穩(wěn)定性，改善用戶的訪問(wèn)體驗(yàn)，降低組織 IT 投資成本。 5 網(wǎng)絡(luò)解決方案 OSPF 組網(wǎng)實(shí)現(xiàn) 該企業(yè)網(wǎng)絡(luò)的骨干部分采用 OSPF 動(dòng)態(tài)路由協(xié)議組網(wǎng)，采用骨干區(qū)域 (area 0)和一個(gè)非骨干區(qū)域 (area 10)來(lái)實(shí)現(xiàn)，如圖 10 所示： 通過(guò)在這些網(wǎng)絡(luò)設(shè)備上運(yùn)行 OSPF 協(xié)議，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間 的 路由的學(xué)習(xí)，同時(shí)能保證網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時(shí)，路由設(shè)備能夠動(dòng)態(tài)的獲悉變更的信息，實(shí)現(xiàn)路由動(dòng)態(tài)的收斂。具體的配置步驟如下： (1)在路由設(shè)備上開啟 OSPF 路由協(xié)議進(jìn)程。 (2)手動(dòng)指定路由設(shè)備 OSPF 的 routerid。 (3)發(fā) 布 loopback 接口網(wǎng)段，上聯(lián)網(wǎng)段，業(yè)務(wù)網(wǎng)段和下聯(lián)網(wǎng)段。 (4)因業(yè)務(wù)網(wǎng)段接口下聯(lián)的終端不需要學(xué)習(xí)路由的信息，固將業(yè)務(wù)網(wǎng)段的接口配置成被動(dòng)接口，減少無(wú)用路由信息的傳播。 (5)在核心層設(shè)備上手動(dòng)配置缺省路由，向其他設(shè)備發(fā)送缺省路由信息的 5類 LSA，其他設(shè)備通過(guò)該 5 類 LSA 學(xué)習(xí)到缺省路由。 舉例：核心層 GZC3750A 設(shè)備上的 OSPF 配置命令： GZC3750A(config)router ospf 1 GZC3750A(configrouter)routerid GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 24 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 圖 10 OSPF 組網(wǎng)拓?fù)? ospf work topology GZC3750A(configrouter)work area 0 GZC3750A(configrouter)passiveinterface f0/0 GZC3750A(configrouter)passiveinterface f1/2 GZC3750A(configrouter)passiveinterface vlan20 GZC3750A(configrouter)passiveinterface vlan21 GZC3750A(configrouter)passiveinterface vlan23 GZC3750A(configrouter)passiveinterface vlan30 25 GZC3750A(configrouter)defaultinformation originate metric 1000 metrictype 1 廣域網(wǎng)配置 廣域網(wǎng)部分主要是東莞分部通過(guò)廣域網(wǎng)連接廣州總部，用到的主要協(xié)議為PPP[13]。如圖 11 所示： 對(duì)于東莞分部和廣州總部的對(duì)接，我們采用廣域網(wǎng)的方式來(lái)實(shí)現(xiàn)。我們通過(guò)采用 PPP 捆綁技術(shù)來(lái)實(shí)現(xiàn)帶寬的提升，數(shù)據(jù)的負(fù)載均衡和鏈路之間的冗余備份。因 CHAP（挑戰(zhàn)握手認(rèn)證協(xié)議）協(xié)議是由認(rèn)證方主動(dòng)發(fā)起，采用 MD5 加密傳輸認(rèn)證信息并且具有再認(rèn)證機(jī)制，固可以有效避免暴力破解，保證安全通信，因此我們采用雙 CHAP 認(rèn)證機(jī)制來(lái)實(shí)現(xiàn)更加安全的邊界網(wǎng)關(guān)之間的相互安全認(rèn)證。具體的配置步驟如下： 圖 11 廣域網(wǎng)連接拓?fù)? WAN connection topology (1)創(chuàng)建 Multilink 接口 ,配置相應(yīng)的 IP 地址并激活接口。 (2)在本設(shè)備相應(yīng)的串行口下，封裝 PPP 協(xié)議，將其劃分到 Multilink 接口下并激活該接口。 (3)在本設(shè)備全局模式下上創(chuàng)建對(duì)端設(shè)備的用戶信息到用戶數(shù)據(jù)庫(kù)。 (4)在本設(shè)備 Multilink 接口下開啟 CHAP 認(rèn)證機(jī)制。 26 舉例： GZC2900ABR 設(shè)備上的廣域網(wǎng)配置命令： GZC2900ABR(config)username DGC2900JR password cisco GZC2900ABR(config)interface multilink 1 GZC2900ABR(configif)ip address GZC2900ABR(configif)ppp multilink GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(configif)ppp authentication chap GZC2900ABR(configif)ppp chap hostname GZC2900ABR GZC2900ABR(configif)no sh GZC2900ABR(config)interface s0/0 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(config)interface s0/1 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 總公司核心交換機(jī) 總公司核心層采用兩臺(tái)三層交換機(jī)相互冗余備份，采用 STP 和 HSRP[14]協(xié)議避免二層鏈路環(huán)路和路由熱備份，如圖 12 所示： 圖 12 廣州總部拓?fù)? Guangzhou topology 27 配置 STP 在實(shí)現(xiàn)鏈路的冗余備份后，網(wǎng)絡(luò)的拓?fù)涑霈F(xiàn)環(huán)狀結(jié)構(gòu)，這樣的結(jié)果會(huì)導(dǎo)致廣播風(fēng)暴的產(chǎn)生，而廣播風(fēng)暴會(huì)使數(shù)據(jù)幀反復(fù)不停的在設(shè)備之間周轉(zhuǎn)，消耗設(shè)備大量的系統(tǒng)資源，造成交換機(jī) MAC 地址表的不穩(wěn)定，同時(shí)可能會(huì)使用戶進(jìn)程收到同一個(gè)幀的對(duì)個(gè)副本，可能會(huì)導(dǎo)致一些進(jìn)程無(wú)法正確處理。固我們采用 STP（生成樹協(xié)議）來(lái)從邏輯上避免環(huán)路的產(chǎn)生，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變更時(shí)，設(shè)備間通過(guò)交換 BPDU[15]，重新計(jì)算生成樹，實(shí)現(xiàn)動(dòng)態(tài)收斂。具體的步驟如下： （ 1） 根據(jù)設(shè)備性能和需求，指定根網(wǎng)橋和備份根網(wǎng)橋。 （ 2） 在根網(wǎng)橋上，配置生成樹協(xié)議，并將其優(yōu)先級(jí)值改為 0。 （ 3） 在備份根網(wǎng)橋上，配置生成樹協(xié)議，并將其優(yōu)先級(jí)值改為 4096。 （ 4） 其他非根網(wǎng)橋和備份根網(wǎng)橋設(shè)備，默認(rèn)開啟 STP，并且默認(rèn)優(yōu)先級(jí)值為 32768。 舉例： GZC3750A 作為 廣州 總部的核心層的主設(shè)備，在二層鏈路上作為生成樹的根網(wǎng)橋，能有效避免鏈路的環(huán)路，配置命令如下： GZC3750A(config)spanningtree vlan 1 priority 0 GZC3750A(config)spanningtree vlan 20 priority 0 GZC3750A(config)spanningtree vlan 21 priority 0 GZC3750A(config)spanningtree vlan 23 priority 0 GZC3750A(config)spanningtree vlan 30 priority 0 配置 HSRP 采用 HSRP 技術(shù)能對(duì)總部研發(fā)部和業(yè)務(wù)部的網(wǎng)關(guān)做熱備份，主網(wǎng)關(guān)和備份網(wǎng)關(guān)之間通過(guò)交換 HELLO 數(shù)據(jù)包，來(lái)建立?；顧C(jī)制，十秒內(nèi)備份網(wǎng)關(guān)收不到主網(wǎng)關(guān)發(fā)來(lái)的HELLO 包時(shí)，會(huì)認(rèn)為主網(wǎng)關(guān)出現(xiàn)故障，備份網(wǎng)關(guān)自動(dòng)切換成為主網(wǎng)關(guān)，保證數(shù)據(jù)包不會(huì)丟失。具體的配置步驟如下： （ 1） 進(jìn)入 SVI 接口，配置 IP 地址。 （ 2） 配置虛擬 IP，配置搶占模式。 （ 3） 將主網(wǎng)關(guān)的優(yōu)先級(jí)設(shè)置為 120，備份網(wǎng)關(guān)采用默認(rèn) 100。 （ 4） 配置端口跟蹤（可選）。 舉例： GZC3750A 交換機(jī)作為研發(fā)部，網(wǎng)管 VLAN，服務(wù)器網(wǎng)段的主網(wǎng)關(guān)，作為業(yè)務(wù)部的備份網(wǎng)關(guān)。 GZC3750A(config)int vlan 20 GZC3750A(configif)standby 20 priority 120 28 GZC3750A(configif)standby 20 ip GZC3750A(configif)standby 20 preempt GZC3750A(configif)standby 20 track f0/0 30 GZC3750A(config)int vlan 23 GZC3750A(configif)standby 23 priority 120 GZC3750A(configif)standby 23 ip GZC3750A(configif)standby 23 preempt GZC3750A(configif)standby 23 track f0/0 30 GZC3750A(