【導(dǎo)讀】下，進(jìn)行研究工作所取得的成果，成果不存在知識產(chǎn)權(quán)爭議。撰寫過的作品成果。對本文的研究做出重要貢獻(xiàn)的個人和集體在文中。均作了明確的說明并表示了謝意。同時，本論文的著作權(quán)由本人與湖。南農(nóng)業(yè)大學(xué)東方科技學(xué)院、指導(dǎo)教師共同擁有。本人完全意識到本聲。明的法律結(jié)果由本人承擔(dān)。

　　

【正文】 、客戶端安全檢查等多項(xiàng)技術(shù)為您實(shí)現(xiàn)安全、可靠、低成本、靈活度高的網(wǎng)絡(luò)邏輯隔離方案。 (3)關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固。深信服 SSL VPN 提供完整的關(guān)鍵業(yè)務(wù)信息系統(tǒng)安全加固方案，提供完整的身份認(rèn)證機(jī)制及訪問過程保護(hù)，并具有專利技術(shù)主從帳號綁定指定用戶的應(yīng)用訪問帳號，杜絕帳號冒用及越權(quán)訪問。 22 網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT(Network Address Translation)屬接入廣域網(wǎng) (WAN)技術(shù) ,是一種將私有 (保留 )地址轉(zhuǎn)化為合法 IP地址 的轉(zhuǎn)換技術(shù) ,它被廣泛應(yīng)用于各種類 Inter 接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單， NAT 不僅完美地解決了 lP 地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī) 。 上網(wǎng)行為管理 深信服的上網(wǎng)優(yōu)化管理解決方案通過構(gòu)建系統(tǒng)的管理系統(tǒng)，幫助企業(yè)建立以 用戶識別、應(yīng)用識別、終端識別 應(yīng)用， 基礎(chǔ)的授權(quán)、流控、審計的管理方案，并 通過技術(shù)手段進(jìn)一步強(qiáng)化組織的上網(wǎng)安全及上網(wǎng)速度。具體作用如下： (1)防止帶寬資源濫用。深信服 AC系列 上網(wǎng)行為管理產(chǎn)品通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶 /用戶組、時間段等的細(xì)致帶寬分配策略限制 P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障 OA、 ERP等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。 (2)防止無關(guān)網(wǎng)絡(luò)行為影響工作效率。深信服 AC系列上網(wǎng)行為管理產(chǎn)品可基于用戶 /用戶組、應(yīng)用、時間等條件的上網(wǎng)授權(quán)策略可以精細(xì)管控所有與工作無關(guān)的網(wǎng)絡(luò)行為，并可根據(jù)各組織不同要求進(jìn)行授權(quán)的靈活調(diào)整，包括基于不同用戶身份差異化授權(quán)、智能提醒等。 (3)記錄上網(wǎng)軌跡滿足法規(guī)要求。深信服 AC 系列上網(wǎng)行為管理產(chǎn)品可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風(fēng)險。 (4)管控外發(fā)信息，降低泄密風(fēng)險。深信服 AC 系列上網(wǎng)行為管理產(chǎn)品充分考慮網(wǎng)絡(luò)使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護(hù)信 息資產(chǎn)安全，降低網(wǎng)絡(luò)風(fēng)險。 (5)防止病毒木馬等網(wǎng)絡(luò)風(fēng)險。 通過部署深信服 AC 系列上網(wǎng)行為管理產(chǎn)品，利用其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強(qiáng)度檢查與網(wǎng)絡(luò)準(zhǔn)入、 DDOS 防御、 ARP 欺騙防護(hù)等多種安全手段， 一旦有病毒入侵，上網(wǎng)行為管理根據(jù)自己的規(guī)則匹配庫，對病毒進(jìn)行防范， 實(shí)現(xiàn)立體式安全護(hù)航，確保組織安全上網(wǎng)。 23 通過內(nèi)網(wǎng)管理，和根據(jù)要求按照準(zhǔn)入的終端電腦為網(wǎng)絡(luò)安全建設(shè)，提供了基礎(chǔ)保障。 負(fù)載均衡（ Load Balance），其意思就是將負(fù)載（工作任務(wù)）進(jìn)行平衡、分 攤到多個操作單元上進(jìn)行執(zhí)行，例如 Web服務(wù)器、 FTP 服務(wù)器 、 企 業(yè)關(guān)鍵應(yīng)用服務(wù)器 和其它關(guān)鍵的任務(wù)服務(wù)器等等， 從而共同完成工作任務(wù)。 達(dá)到負(fù)載均衡的目的。 深信服產(chǎn)品作為 專 業(yè)的應(yīng)用交付設(shè)備，能夠?yàn)橛脩舻膽?yīng)用發(fā)布提供全方位的解決方案，包括鏈路優(yōu)化和服務(wù)器優(yōu)化，四到七層負(fù)載均衡，實(shí)現(xiàn)對各個服務(wù)器狀態(tài)的實(shí)時監(jiān)控，同時根據(jù)預(yù)設(shè)的規(guī)則將請求分配給相應(yīng)服務(wù)器，以此最終實(shí)現(xiàn)數(shù)據(jù)流的合理 的 分配所有的服務(wù)器都得到充分的利用，擴(kuò)展應(yīng)用系統(tǒng)的整體處理能力， 提高應(yīng)用系統(tǒng) 的 穩(wěn)定性，改善用戶的訪問體驗(yàn)，降低組織 IT 投資成本。 5 網(wǎng)絡(luò)解決方案 OSPF 組網(wǎng)實(shí)現(xiàn) 該企業(yè)網(wǎng)絡(luò)的骨干部分采用 OSPF 動態(tài)路由協(xié)議組網(wǎng)，采用骨干區(qū)域 (area 0)和一個非骨干區(qū)域 (area 10)來實(shí)現(xiàn)，如圖 10 所示： 通過在這些網(wǎng)絡(luò)設(shè)備上運(yùn)行 OSPF 協(xié)議，來實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備之間 的 路由的學(xué)習(xí)，同時能保證網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時，路由設(shè)備能夠動態(tài)的獲悉變更的信息，實(shí)現(xiàn)路由動態(tài)的收斂。具體的配置步驟如下： (1)在路由設(shè)備上開啟 OSPF 路由協(xié)議進(jìn)程。 (2)手動指定路由設(shè)備 OSPF 的 routerid。 (3)發(fā) 布 loopback 接口網(wǎng)段，上聯(lián)網(wǎng)段，業(yè)務(wù)網(wǎng)段和下聯(lián)網(wǎng)段。 (4)因業(yè)務(wù)網(wǎng)段接口下聯(lián)的終端不需要學(xué)習(xí)路由的信息，固將業(yè)務(wù)網(wǎng)段的接口配置成被動接口，減少無用路由信息的傳播。 (5)在核心層設(shè)備上手動配置缺省路由，向其他設(shè)備發(fā)送缺省路由信息的 5類 LSA，其他設(shè)備通過該 5 類 LSA 學(xué)習(xí)到缺省路由。 舉例：核心層 GZC3750A 設(shè)備上的 OSPF 配置命令： GZC3750A(config)router ospf 1 GZC3750A(configrouter)routerid GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 24 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 GZC3750A(configrouter)work area 0 圖 10 OSPF 組網(wǎng)拓?fù)? ospf work topology GZC3750A(configrouter)work area 0 GZC3750A(configrouter)passiveinterface f0/0 GZC3750A(configrouter)passiveinterface f1/2 GZC3750A(configrouter)passiveinterface vlan20 GZC3750A(configrouter)passiveinterface vlan21 GZC3750A(configrouter)passiveinterface vlan23 GZC3750A(configrouter)passiveinterface vlan30 25 GZC3750A(configrouter)defaultinformation originate metric 1000 metrictype 1 廣域網(wǎng)配置 廣域網(wǎng)部分主要是東莞分部通過廣域網(wǎng)連接廣州總部，用到的主要協(xié)議為PPP[13]。如圖 11 所示： 對于東莞分部和廣州總部的對接，我們采用廣域網(wǎng)的方式來實(shí)現(xiàn)。我們通過采用 PPP 捆綁技術(shù)來實(shí)現(xiàn)帶寬的提升，數(shù)據(jù)的負(fù)載均衡和鏈路之間的冗余備份。因 CHAP（挑戰(zhàn)握手認(rèn)證協(xié)議）協(xié)議是由認(rèn)證方主動發(fā)起，采用 MD5 加密傳輸認(rèn)證信息并且具有再認(rèn)證機(jī)制，固可以有效避免暴力破解，保證安全通信，因此我們采用雙 CHAP 認(rèn)證機(jī)制來實(shí)現(xiàn)更加安全的邊界網(wǎng)關(guān)之間的相互安全認(rèn)證。具體的配置步驟如下： 圖 11 廣域網(wǎng)連接拓?fù)? WAN connection topology (1)創(chuàng)建 Multilink 接口 ,配置相應(yīng)的 IP 地址并激活接口。 (2)在本設(shè)備相應(yīng)的串行口下，封裝 PPP 協(xié)議，將其劃分到 Multilink 接口下并激活該接口。 (3)在本設(shè)備全局模式下上創(chuàng)建對端設(shè)備的用戶信息到用戶數(shù)據(jù)庫。 (4)在本設(shè)備 Multilink 接口下開啟 CHAP 認(rèn)證機(jī)制。 26 舉例： GZC2900ABR 設(shè)備上的廣域網(wǎng)配置命令： GZC2900ABR(config)username DGC2900JR password cisco GZC2900ABR(config)interface multilink 1 GZC2900ABR(configif)ip address GZC2900ABR(configif)ppp multilink GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(configif)ppp authentication chap GZC2900ABR(configif)ppp chap hostname GZC2900ABR GZC2900ABR(configif)no sh GZC2900ABR(config)interface s0/0 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 GZC2900ABR(config)interface s0/1 GZC2900ABR(configif)clock rate 2021000 GZC2900ABR(configif)bandwidth 2021 GZC2900ABR(configif)no ip address GZC2900ABR(configif)encapsulation ppp GZC2900ABR(configif)ppp multilink group 1 總公司核心交換機(jī) 總公司核心層采用兩臺三層交換機(jī)相互冗余備份，采用 STP 和 HSRP[14]協(xié)議避免二層鏈路環(huán)路和路由熱備份，如圖 12 所示： 圖 12 廣州總部拓?fù)? Guangzhou topology 27 配置 STP 在實(shí)現(xiàn)鏈路的冗余備份后，網(wǎng)絡(luò)的拓?fù)涑霈F(xiàn)環(huán)狀結(jié)構(gòu)，這樣的結(jié)果會導(dǎo)致廣播風(fēng)暴的產(chǎn)生，而廣播風(fēng)暴會使數(shù)據(jù)幀反復(fù)不停的在設(shè)備之間周轉(zhuǎn)，消耗設(shè)備大量的系統(tǒng)資源，造成交換機(jī) MAC 地址表的不穩(wěn)定，同時可能會使用戶進(jìn)程收到同一個幀的對個副本，可能會導(dǎo)致一些進(jìn)程無法正確處理。固我們采用 STP（生成樹協(xié)議）來從邏輯上避免環(huán)路的產(chǎn)生，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變更時，設(shè)備間通過交換 BPDU[15]，重新計算生成樹，實(shí)現(xiàn)動態(tài)收斂。具體的步驟如下： （ 1） 根據(jù)設(shè)備性能和需求，指定根網(wǎng)橋和備份根網(wǎng)橋。 （ 2） 在根網(wǎng)橋上，配置生成樹協(xié)議，并將其優(yōu)先級值改為 0。 （ 3） 在備份根網(wǎng)橋上，配置生成樹協(xié)議，并將其優(yōu)先級值改為 4096。 （ 4） 其他非根網(wǎng)橋和備份根網(wǎng)橋設(shè)備，默認(rèn)開啟 STP，并且默認(rèn)優(yōu)先級值為 32768。 舉例： GZC3750A 作為 廣州 總部的核心層的主設(shè)備，在二層鏈路上作為生成樹的根網(wǎng)橋，能有效避免鏈路的環(huán)路，配置命令如下： GZC3750A(config)spanningtree vlan 1 priority 0 GZC3750A(config)spanningtree vlan 20 priority 0 GZC3750A(config)spanningtree vlan 21 priority 0 GZC3750A(config)spanningtree vlan 23 priority 0 GZC3750A(config)spanningtree vlan 30 priority 0 配置 HSRP 采用 HSRP 技術(shù)能對總部研發(fā)部和業(yè)務(wù)部的網(wǎng)關(guān)做熱備份，主網(wǎng)關(guān)和備份網(wǎng)關(guān)之間通過交換 HELLO 數(shù)據(jù)包，來建立?；顧C(jī)制，十秒內(nèi)備份網(wǎng)關(guān)收不到主網(wǎng)關(guān)發(fā)來的HELLO 包時，會認(rèn)為主網(wǎng)關(guān)出現(xiàn)故障，備份網(wǎng)關(guān)自動切換成為主網(wǎng)關(guān)，保證數(shù)據(jù)包不會丟失。具體的配置步驟如下： （ 1） 進(jìn)入 SVI 接口，配置 IP 地址。 （ 2） 配置虛擬 IP，配置搶占模式。 （ 3） 將主網(wǎng)關(guān)的優(yōu)先級設(shè)置為 120，備份網(wǎng)關(guān)采用默認(rèn) 100。 （ 4） 配置端口跟蹤（可選）。 舉例： GZC3750A 交換機(jī)作為研發(fā)部，網(wǎng)管 VLAN，服務(wù)器網(wǎng)段的主網(wǎng)關(guān)，作為業(yè)務(wù)部的備份網(wǎng)關(guān)。 GZC3750A(config)int vlan 20 GZC3750A(configif)standby 20 priority 120 28 GZC3750A(configif)standby 20 ip GZC3750A(configif)standby 20 preempt GZC3750A(configif)standby 20 track f0/0 30 GZC3750A(config)int vlan 23 GZC3750A(configif)standby 23 priority 120 GZC3750A(configif)standby 23 ip GZC3750A(configif)standby 23 preempt GZC3750A(configif)standby 23 track f0/0 30 GZC3750A(