【正文】 我 們 為 。 .1 網(wǎng) 絡(luò) 病 毒 ： 與 非 安 全 網(wǎng) 絡(luò) 的 業(yè) 務(wù) 互 聯(lián) ， 難 免 在 通 訊 中 帶 來 病 毒 ， 一 旦 在 你 的網(wǎng) 絡(luò) 中 發(fā) 作 ， 業(yè) 務(wù) 將 受 到 巨 大 沖 擊 ， 病 毒 的 傳 播 與 發(fā) 作 一 般 有 不 確 定 的 隨 機(jī) 特 性 。 入侵 就 是 有 人 通 過 互 聯(lián) 網(wǎng) 進(jìn) 入 你 的 網(wǎng) 絡(luò) (或 其 他 渠 道 )， 篡 改 數(shù) 據(jù) ， 或 實(shí) 施 破 壞 行 為 ， 造成 你 網(wǎng) 絡(luò) 業(yè) 務(wù) 的 癱 瘓 ， 這 種 攻 擊 是 主 動(dòng) 的 、 有 目 的 、 甚 至 是 有 組 織 的 行 為 。 一 般 信 息 泄 密 有 兩 種 方 式 ： 攻 擊 者 (非 授 權(quán) 人 員 )進(jìn) 入 了 網(wǎng) 絡(luò) ， 獲 取 了 信 息 ， 這 是 從 網(wǎng) 絡(luò) 內(nèi) 部 的 泄 密 合 法 使 用 者 在 進(jìn) 行 正 常 業(yè) 務(wù) 往 來 時(shí) ， 信 息 被 外 人 獲 得 ， 這 是 從 網(wǎng) 絡(luò) 外 部 的 泄 密 我 們 給 貴 公 司 設(shè) 計(jì) 的 各 部 門 之 間 的 vlan 劃 分 ， 不 同 的 vlan 之 間 不 能 隨 意 的 訪問 ， 我 們 會(huì) 設(shè) 計(jì) 權(quán) 限 和 密 碼 才 能 訪 問 。 非 安 全 網(wǎng) 絡(luò) 互 聯(lián) 帶 來 的 安 全 問 題 與 網(wǎng) 絡(luò) 內(nèi)部 的 安 全 問 題 是 截 然 不 同 的 ， 主 要 的 原 因 是 攻 擊 者 不 可 控 ， 攻 擊 是 不 可 溯 源 的 ， 也 沒有 辦 法 去 “封 殺 ”。Vlan的劃分：總部 Vlan 虛擬ip銷售部 Vlan10 財(cái)務(wù)部 Vlan20 人事部 Vlan30 .17網(wǎng)絡(luò)部 Vlan40 市場(chǎng)部 Vlan50 經(jīng)理 Vlan60 IP地址的劃分:總部 Ip地址 子網(wǎng)銷售部 財(cái)務(wù)部 人事部 網(wǎng)絡(luò)部 市場(chǎng)部 經(jīng)理 第 5 章 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)邊界安全威脅分析把 不 同 安 全 級(jí) 別 的 網(wǎng) 絡(luò) 相 連 接 ， 就 產(chǎn) 生 了 網(wǎng) 絡(luò) 邊 界 。IP 地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。 OSPF支持各種不同鑒別機(jī)制，并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載均衡功能；OSPF屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持無類型域間路由地址。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)。Cisco 2821系列具有以下功能： 集成語(yǔ)音留言 范圍廣泛的話音接口 支持 SRST, 分支機(jī)構(gòu)可利用集中呼叫控制, 并通過SRST冗余性為IP電話經(jīng)濟(jì)有效地提供本地 分支機(jī)構(gòu)備份Cisco 2821還支持QOS，包含網(wǎng)絡(luò)擴(kuò)展性，具有內(nèi)置防火墻功能，提高內(nèi)部網(wǎng)絡(luò)的安全性、可靠性。我們推薦使用兩臺(tái)Cisco 2821系列路由器完成此項(xiàng)功能。當(dāng)然我們也考慮端口密度的問題。我們?cè)诤诵膶雍蛥R聚層的設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)性能和功能性要高，那么我們?cè)诮尤雽釉O(shè)計(jì)上主張使用性能價(jià)格比高的設(shè)備。接入層.15交換機(jī)端口的 input 指服務(wù)器向交換機(jī)端口發(fā)送的數(shù)據(jù)，即是服務(wù)器發(fā)送出去的數(shù)據(jù)。 接入層設(shè)計(jì)接入層交換機(jī)采用思科的 WSC2960 系列的二層交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為員工終端提供 10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。SMI功能集包括先進(jìn)的服務(wù)質(zhì)量（QoS）、速率限制、訪問控制列表（ACL）和基本的靜態(tài)和路由信息協(xié)議（RIP）路由功能。各個(gè)10/100、10/100/1000和10Gb以太網(wǎng)單元可以根據(jù)網(wǎng)絡(luò)的需要任意組合。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和標(biāo)準(zhǔn)。3750系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。 核心層設(shè)計(jì)核心交換區(qū)的作用是高效速度傳輸數(shù)據(jù)，是所有流量的最終承受者和匯聚者，推薦使用高端設(shè)備。接入層交換機(jī)端口的input 指服務(wù)器向交換機(jī)端口發(fā)送的數(shù)據(jù)，即是服務(wù)器發(fā)送出去的數(shù)據(jù)。對(duì)于無線局域網(wǎng)WLAN用戶，用戶終端通過無線網(wǎng)卡和無線接入點(diǎn)AP完成用戶接入。 　　在接入層是最終用戶(員工) 與網(wǎng)絡(luò)的接口，它應(yīng)該提供即插即用的特性，同時(shí)應(yīng)該非常易于使用和維護(hù)。接入交換機(jī)是最常見的交換機(jī)，它直接與外網(wǎng)聯(lián)系，使用最廣泛，尤其是在一般辦公室、小型機(jī)房和業(yè)務(wù)受理較為集中的業(yè)務(wù)部門、多媒體制作中心、網(wǎng)站管理中心等部門。接入層通常指網(wǎng)絡(luò)中直接面向用戶連接或訪問的部分。 當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，可以設(shè)計(jì)綜合安全管理策略，例如在接入層實(shí)現(xiàn)身份認(rèn)證和MAC地址綁定，在匯聚層實(shí)現(xiàn)流量控制和訪問權(quán)限約束。一般來說，用戶訪問控制會(huì)安排在接入層，但這并非絕對(duì)，也可以安排在匯聚層進(jìn)行。其設(shè)備性能較好，但價(jià)格高于接入層設(shè)備，而且對(duì)環(huán)境的要求也較高，對(duì)電磁輻射、溫度、濕度和空氣潔凈度等都有一定的要求。匯聚層設(shè)計(jì)為連接本地的邏輯中心，仍需要較高的性能和比較豐富的功能。一般采用中端設(shè)備。 匯聚層是核心層和終端用戶接入層的分界面，訪問層的匯接點(diǎn)，用于分隔訪問層的不同網(wǎng)絡(luò)拓?fù)洌?shí)現(xiàn)網(wǎng)絡(luò)的聚合與流量的收斂。我們將采用高帶寬的千兆級(jí)交換機(jī)，充當(dāng)核心層設(shè)備。核心層一直被認(rèn)為是所有流量的最終承受者和匯聚者，所以我們對(duì)核心層的設(shè)計(jì)以及網(wǎng)絡(luò)設(shè)備的要求十分嚴(yán)格。分布層路由器和相連接的局域網(wǎng)可以在不增加網(wǎng)絡(luò)直徑的前提下加入網(wǎng)絡(luò)，因?yàn)樗鼈儾挥绊懺械恼军c(diǎn)的通信。也就是說，通過網(wǎng)絡(luò)主干從任意一個(gè)終端到另一個(gè)終端經(jīng)過的路由器的數(shù)目是一樣的，從網(wǎng)絡(luò)上任一終端到主干上的服務(wù)器的距離也應(yīng)該是一樣的。當(dāng)網(wǎng)絡(luò)中使用路由器時(shí)，從網(wǎng)絡(luò)中的一個(gè)終端到另一個(gè)終端經(jīng)過的路由器的數(shù)目稱為網(wǎng)絡(luò)的“直徑”。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。在多層網(wǎng)絡(luò)中運(yùn)用智能多業(yè)務(wù)可以大大減少因配置不當(dāng)或故障設(shè)備引起的一般問題。我們將采用層次化網(wǎng)絡(luò)設(shè)計(jì)，構(gòu)建高效、可靠、安全的網(wǎng)絡(luò)。各部門可以各自建立相互通訊，各部門的網(wǎng)絡(luò)安全體系，可以有獨(dú)立的安全策略、數(shù)據(jù)流量控制等個(gè)體的特性，而需要和其他區(qū)域的設(shè)備進(jìn)行通訊的時(shí)候，則必須遵守核心網(wǎng)絡(luò)區(qū)的策略。這樣設(shè)計(jì)不但保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能夠充分利用現(xiàn)有設(shè)備的資源，以避免單臺(tái)核心設(shè)備的負(fù)載太重而導(dǎo)致的網(wǎng)絡(luò)性能問題。四臺(tái)CISCO WSC3750G24TSS 做雙機(jī)熱備（兩臺(tái)總部?jī)膳_(tái)分部，可擴(kuò)展），根據(jù)當(dāng)前貴公司的人數(shù)需求，我們用四臺(tái)WSC296048TTL二層交換機(jī)（可擴(kuò)展）做vlan劃分。對(duì)于企業(yè)行業(yè)網(wǎng)絡(luò)安全體系的建立，我們建議采取以上的原則，先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后，根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)檢測(cè)響應(yīng)的基礎(chǔ)的安全防護(hù)體系，提高整個(gè)網(wǎng)絡(luò)基礎(chǔ)的安全性，保證應(yīng)用系統(tǒng)的安全性。網(wǎng)絡(luò)安全的動(dòng)態(tài)性是指網(wǎng)絡(luò)安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了（如更換了某個(gè)機(jī)器） ，原來安.11全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的系統(tǒng)，時(shí)間發(fā)生變化了（如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會(huì)變的不安全了） ，原來的系統(tǒng)就會(huì)變的不安全。網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。管理的制度化極大程度地影響著整個(gè)網(wǎng)絡(luò)的安全，嚴(yán)格的安全管理制度、明確的部門安全職責(zé)劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。此外，還包括病毒對(duì)系統(tǒng)的威脅。3．網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全） 　　該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性，遠(yuǎn)程接入的安全，域名系統(tǒng)的安全，路由系統(tǒng)的安全，入侵檢測(cè)的手段，網(wǎng)絡(luò)設(shè)施防病毒等。二是對(duì)操作系統(tǒng)的安全配置問題。 　2．操作系統(tǒng)的安全性（系統(tǒng)層安全） 　　該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如 Windows NT，Windows 2022等。1．物理環(huán)境的安全性（物理層安全） 　　該層次的安全包括通信線路的安全，物理設(shè)備的安全，機(jī)房的安全等。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、應(yīng)有的安全性是十分必要的。4. 靈活性——安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)5. 可評(píng)價(jià)性——如何預(yù)先評(píng)價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國(guó).10家有關(guān)網(wǎng)絡(luò)信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)的評(píng)估來實(shí)現(xiàn)。安全措施能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。我們將嚴(yán)格遵循以下設(shè)計(jì)原則：——對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。設(shè)計(jì)目的主要是用來通過撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡(jiǎn)單連接的一種共通的解決方案。(4)、建立 PPP鏈路，采用認(rèn)證方式（pap、chap、ppoe、ppoa、 、 、 ） 。(2)、建立一個(gè)投資成本低、高寬帶，高可靠性，高安全性以及靈活可擴(kuò)展性的 PPP鏈路，消除地區(qū)差異，實(shí)現(xiàn)移動(dòng)員工的網(wǎng)絡(luò)互聯(lián)及基于 inter 上內(nèi)部移動(dòng)用戶的安全接入。在.9網(wǎng)絡(luò)的規(guī)模方面采用結(jié)構(gòu)化原則來實(shí)現(xiàn)網(wǎng)絡(luò)的可伸縮性，采用虛擬化原則來實(shí)現(xiàn)網(wǎng)絡(luò)的業(yè)務(wù)變化要求。按照客戶/服務(wù)器的體系建立各層次的網(wǎng)絡(luò)應(yīng)用。(1)、網(wǎng)絡(luò)的層次和結(jié)構(gòu)依據(jù)企業(yè)的結(jié)構(gòu)性應(yīng)用將網(wǎng)絡(luò)分為三個(gè)層次（以至企業(yè)級(jí)網(wǎng)絡(luò)，而且每個(gè)層次上網(wǎng)絡(luò)結(jié)構(gòu)化也是明確的，表現(xiàn)在每級(jí)的構(gòu)成的界限是明確的，是通過上一層次的網(wǎng)絡(luò)來完成的。2．在外出差的員工通過公網(wǎng)訪問內(nèi)部資源，安全性不高3. 公司內(nèi)部一臺(tái)三層交換掌控著所有的部門，如果一旦 down則不能給全公司創(chuàng)造服務(wù)影響公司的正常運(yùn)行4．總公司已經(jīng)建立了郵件系統(tǒng)、web 系統(tǒng)、erp 系統(tǒng)等應(yīng)用系統(tǒng)，郵件系統(tǒng)、web 系統(tǒng)等對(duì)互聯(lián)網(wǎng)提供相應(yīng)的服務(wù)，面臨著來自互聯(lián)網(wǎng)的各種威脅。 綜合布線系統(tǒng)設(shè)計(jì)與實(shí)施一次到位；網(wǎng)絡(luò)系統(tǒng)一次規(guī)劃、分步實(shí)施，網(wǎng)絡(luò)設(shè)備先按開通率 30％配置，并具有方便擴(kuò)展功能。 　　 易管理和易維護(hù)的網(wǎng)絡(luò)系統(tǒng)：全網(wǎng)可進(jìn)行統(tǒng)一或分布管理，網(wǎng)絡(luò)維護(hù)簡(jiǎn)單有效。網(wǎng)絡(luò)主干的傳輸介質(zhì)采用容錯(cuò)冗余設(shè)計(jì)。信息接入點(diǎn)分布合理、靈活、充足并有擴(kuò)展空間。 高性能的網(wǎng)絡(luò)系統(tǒng)：速度快、無阻塞、延遲低，具有先進(jìn)靈活的 QoS特性，能適應(yīng)多種業(yè)務(wù)需求。即使是要進(jìn)行網(wǎng)絡(luò)的擴(kuò)展升級(jí)，也不會(huì)對(duì)用戶現(xiàn)存的網(wǎng)絡(luò)有影響。此外要求網(wǎng)絡(luò)的擴(kuò)展具有平滑不中斷的特性。 帶寬擴(kuò)展 帶寬擴(kuò)展通常出現(xiàn)在不同的網(wǎng)絡(luò)層次間，如接入層和匯聚層，匯聚層和核心層。這種要求通常出現(xiàn)在網(wǎng)絡(luò)的匯聚層或核心層。4）系統(tǒng)擴(kuò)展性（兼并子公司，自建分部，第二分部暫時(shí)與總部失去聯(lián)系）和變更的靈活性接入能力擴(kuò)展 接入能力是指交換機(jī)接入用戶數(shù)的能力。PIX 防火墻提供了完整的防火墻的防護(hù)功能，并相對(duì)于外部的網(wǎng)絡(luò)完全的將內(nèi)部網(wǎng)絡(luò)的拓樸結(jié)構(gòu)隱藏起來。PIX 可以支持連接多個(gè)外部的網(wǎng)絡(luò)。而 CISCO的 PIX（Private Inter exchange）防火墻可以用于防止從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)未經(jīng)驗(yàn)證的非法連接訪問。ASA 執(zhí)行通過防火墻的有狀態(tài)（STATEFUL）的連接控制。建立訪問控制列表后，可以限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，對(duì)通信流量起到控制的手段，這也是對(duì)網(wǎng)絡(luò)訪問的基本安全手段。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號(hào)、協(xié)議等特定指示條件來決定。Iptables防火墻防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施,它根據(jù)企業(yè)的安全策略監(jiān)控網(wǎng)絡(luò)信息的存取和傳遞操作,起到保護(hù)內(nèi)部網(wǎng)安全的目的。防火墻既可以用硬件實(shí)現(xiàn),也可以用軟件實(shí)現(xiàn)。，包括設(shè)備管理、資源管理、故障管理、性能管理、安全管理等等。因此我們公司將采用HSRP、STP技術(shù)解決冗余問題。，該部分的設(shè)計(jì)需考慮性能和可用性的平衡，因此我們將采用多核的數(shù)據(jù)處理器提高數(shù)據(jù)的傳輸效率?；诮?jīng)典集團(tuán)網(wǎng)絡(luò)改造和擴(kuò)建的實(shí)際情況，我們對(duì)該項(xiàng)目的網(wǎng)絡(luò)進(jìn)行了大致規(guī)劃，分為總部和分部還有虛擬分部（可擴(kuò)展），其中，總部地點(diǎn)為數(shù)據(jù)中心區(qū)、核心交換區(qū)。 利用以太網(wǎng)（Ether）資源，在以太網(wǎng)上運(yùn)行 PPP來進(jìn)行用戶認(rèn)證接入的方式稱為 PPPoE。由此看來急需采用新型的網(wǎng)絡(luò)設(shè)備，建立安全、高效的互聯(lián)網(wǎng)絡(luò)，是經(jīng)典集團(tuán)和新建分支機(jī)構(gòu)的當(dāng)前首要任務(wù) 需求分析根據(jù)貴公司的需求，我們規(guī)劃了一個(gè)大致拓?fù)鋱D：.5在外網(wǎng)上對(duì)于總公司與分公司的實(shí)際情況，我們將用 PPP技術(shù)讓其之間的文件進(jìn)行安全傳輸。這樣的工程項(xiàng)目需要加入新型設(shè)備進(jìn)行改造，為公司提供安全的便捷的網(wǎng)絡(luò)服務(wù)，還要為外接分支機(jī)構(gòu)的網(wǎng)絡(luò)進(jìn)行改造，以便與分公司進(jìn)行安全可靠的信息傳輸。通過網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)全公司統(tǒng)一的打印管理服務(wù)。主機(jī)系統(tǒng)