【正文】 algorithm des 配置 IKE 安全提議 [FW1]ike proposal 10 authenticationalgorithm sha1 encryptionalgorithm des 配置 IKE 對(duì)等體，使用 IKEV2 協(xié)商方式。 firewall zone name userzone 創(chuàng)建一個(gè)安全區(qū)域，進(jìn)一個(gè)已建立的安全區(qū)域視圖時(shí)不需要用關(guān)鍵字。 6智能日志、審計(jì)和實(shí)時(shí)報(bào)警。 4內(nèi)容和策略感知能力。 2內(nèi)核透明技術(shù)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個(gè)混合的多級(jí)防火墻，以提高防火墻的靈活性和安全性。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)代理服務(wù)。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶透明，在 OSI 最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。此外，它還可監(jiān)測(cè) RPC 和UDP 端口信息，而包過濾和代理都不支持此類端口。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用 第 9 頁 層數(shù)據(jù)，這些算法通 過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在 過濾數(shù)據(jù)包上更有效。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。缺點(diǎn)是在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。優(yōu)點(diǎn)是它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。若合法，則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng) 絡(luò)之間，對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。 2代理技術(shù)：代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡單便于安裝和使用。TCP/UDP 源端口 。該技術(shù)通常可以過濾基于某些或所有下列信息組的 IP 包：源 IP 地址 。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查 IP 數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。從技術(shù)角度來講，就是所謂的非軍事區(qū)（ DMZ）。 3可以作為部署 NAT（ Network Address Translation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用 NAT 技術(shù)，將有限的 IP 地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的 IP 地址對(duì)應(yīng)起來，用來緩解地址空間短缺的問題。 防火墻的功能： 1能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。服務(wù)器采用容錯(cuò)技術(shù)，雙機(jī)備份。廠庫區(qū)、各銷售處連出的端口也要設(shè)置防火墻。 （ 6）經(jīng)濟(jì)性：一次性投資，長期受益，維護(hù)費(fèi)用低，使整體投資達(dá)到最少。 （ 4）模塊化：所有的接插件都是積木式的標(biāo)準(zhǔn)件，方便使 用、管理和擴(kuò)充。 （ 2）靈活性：任意信息點(diǎn)能夠連接不同類型的設(shè)備，如微機(jī)、打印機(jī)、終端、服務(wù)器、監(jiān)視器等。每個(gè) 系統(tǒng)的設(shè)備都集中一起控制，為系統(tǒng)用各種不同線纜區(qū)別開來，綜合布線系統(tǒng)全部語音和數(shù)據(jù)一纜集中在中心機(jī)房的機(jī)柜中，有、收發(fā)器設(shè)備與接入網(wǎng)連接，根據(jù)用戶的需求進(jìn)行安排 。設(shè)備間是在每一幢大樓的適當(dāng)?shù)攸c(diǎn)設(shè)置進(jìn)線設(shè)備，進(jìn)行網(wǎng)絡(luò)管理以及管理人員值班的場所。在管理點(diǎn)，應(yīng)根據(jù)應(yīng)用環(huán)境用標(biāo)記插入條來標(biāo)出各個(gè)端接場。交接場的結(jié)構(gòu)取決于工作區(qū)、綜合布線系統(tǒng)規(guī)模和選用的硬件。管理間子系統(tǒng)應(yīng)由交接間的配線設(shè)備，輸入 /輸出設(shè)備等組成，也可應(yīng)用于設(shè)備間子系統(tǒng)中。 （ 3） 管理子系統(tǒng)。各部門間的交換機(jī)與主干網(wǎng)相連，采用光纖傳輸。為了便于部門的二級(jí)網(wǎng)點(diǎn)的增加，各部門采用一個(gè)交換機(jī)，連接各計(jì)算機(jī)和工作站。 （ 1） 水平布線。 第 6章 布線方案 采用結(jié)構(gòu)化布線 : 結(jié)構(gòu)化布線系統(tǒng)是一個(gè)能夠支持任何用戶選擇的話音、數(shù)據(jù)、圖形圖像應(yīng)用的電信布線系統(tǒng)。 第 7 頁 利用現(xiàn)有的資源，通過電話線撥號(hào)上網(wǎng)，連接主干網(wǎng)。各銷售點(diǎn)的微機(jī)分布范圍廣，數(shù)據(jù)傳輸量不大，可以考慮采用 ASDL 撥入的方式。每臺(tái)聯(lián)網(wǎng)微機(jī)使用 10M 網(wǎng)卡，并附帶有 Modem，以防備 DDN 志線可能出現(xiàn)故障 。各銷售處微機(jī)相對(duì)較為分散，對(duì)信息的傳輸量也不是太大。每臺(tái)聯(lián)網(wǎng)微機(jī)均使用 100M網(wǎng)卡。 企業(yè)庫區(qū)網(wǎng)絡(luò)設(shè)計(jì) 企業(yè) 庫區(qū)內(nèi)微機(jī)相對(duì)集中，網(wǎng)絡(luò)吞吐 量大，并且需要與辦公樓相連接，進(jìn)行通信以協(xié)調(diào)生產(chǎn)過程。每層計(jì)算機(jī)由一接入層交換機(jī)相聯(lián)后與主干網(wǎng)相連。 第 5章 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 辦公樓網(wǎng)絡(luò)設(shè)計(jì) 辦公樓分為六層，共有計(jì)算機(jī) 96 臺(tái)，屬于計(jì)算機(jī)相對(duì)集中的地方。廠庫區(qū)、各銷售處連出的端口也要設(shè)置防火墻。交換技術(shù)本身秘具備的端口帶寬的獨(dú)立性 ,從根本上提高了整個(gè)局域網(wǎng)的帶寬能力。原因：實(shí)用性、經(jīng)濟(jì)性、網(wǎng)絡(luò)系統(tǒng)可升級(jí)性。兼容性好。 公司主干網(wǎng)設(shè)計(jì) 主干網(wǎng)選用千兆以太網(wǎng)（ 1000BaseT），原因：以太網(wǎng)應(yīng)用普及。辦公樓及庫區(qū)共同使用一個(gè) C 類地址。網(wǎng)絡(luò)中心配置交換機(jī)和網(wǎng)管系統(tǒng)。服務(wù)器采用容錯(cuò)技術(shù)，雙機(jī)備份。使用一臺(tái)中心交換機(jī)。 銷售部及其附屬銷售點(diǎn)對(duì)于數(shù)據(jù)傳輸?shù)囊笙鄬?duì)較低。 企業(yè) 庫、六個(gè)銷售部及其附屬銷售點(diǎn)連接到辦公樓，再由辦公樓 接入廣域網(wǎng)。 路由器的配置如下： routeren routerconf t router(config)ip nat pool naptout mask router(config)accesslist 1 permit router(config)ip nat inside source list 1 pool naptout overload router(config)int f0/0 router(configif)ip add router(configif)ip nat inside router(configif)no shutdown router(config)int s0/0 router(configif)ip add router(configif)ip nat outside router(configif)no shutdown 第 5 頁 物理設(shè)計(jì)圖 第 4章 網(wǎng)絡(luò)總體方案設(shè)計(jì)及其特點(diǎn) 煙草公司在地理分布上面積廣 ,部分微機(jī)比較集中 ,大部分的微機(jī)只需要在局域網(wǎng)內(nèi)運(yùn)行、只有辦公樓需要接入廣域網(wǎng)等情況，決定整體采用星型結(jié)構(gòu)。 并在其下劃分 IP 用于其他網(wǎng)絡(luò)。 第 3章 邏輯設(shè)計(jì) 、物理設(shè)計(jì) 拓?fù)浣Y(jié)構(gòu) 圖 第 2 頁 劃分 IP 地址 本規(guī)劃中申請(qǐng)一個(gè) C 類地址： 。網(wǎng)絡(luò)的建設(shè)應(yīng)該滿足已公布的國家和國際標(biāo)準(zhǔn)的要求，并應(yīng)能夠根據(jù)商業(yè)要求的改變進(jìn)行不斷的進(jìn)化和升級(jí)。 網(wǎng)絡(luò)是將獨(dú)立的設(shè)備連接在一起，并使它們可以共享信息和資源的連接系統(tǒng)。 CIMS 基本出發(fā)點(diǎn)： 第 1 頁 1企業(yè)的各種生產(chǎn)經(jīng)營活動(dòng)是不可分割的，要統(tǒng)一考慮。 6可擴(kuò)展性好，易于集成現(xiàn)有的系統(tǒng)。 4系統(tǒng)的可靠性高、可用性好。 2適應(yīng)分布式的管理和控制機(jī)構(gòu)。 支持分布式數(shù)據(jù)庫應(yīng)用。中央節(jié)點(diǎn)可以方便地對(duì)各個(gè)站點(diǎn)提供服務(wù)和網(wǎng)絡(luò)重新配置。中央節(jié)點(diǎn)對(duì)連接線路可以逐一隔離進(jìn)行故障檢測(cè)和定位，單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備，不會(huì)影響全網(wǎng)。易于網(wǎng)絡(luò)監(jiān)控和管理。 為什么采用星形拓?fù)浣Y(jié)構(gòu)？ 1控制簡單。 煙草公司在地理分布上面積廣 ,部分微機(jī)比較集中 ,大部分的微機(jī)只需要在局域網(wǎng)內(nèi)運(yùn)行，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)決定整體采用星型結(jié)構(gòu)。 （ 5) 支持企業(yè)的 Intra 和與 Inter 的連接。 （ 3) 綜合考慮系統(tǒng)可靠性、實(shí)用性、開放性、先進(jìn)性和經(jīng)濟(jì)性。各銷售點(diǎn)可以考慮采用 ISDN 撥入的方式。另外有編輯全市的銷售點(diǎn)近百個(gè)，每個(gè)銷售點(diǎn)有 1 臺(tái)計(jì)算機(jī)。 企業(yè) 庫區(qū)距廠區(qū)直線距離約 2 公里，有 20 臺(tái)計(jì)算機(jī)。 目錄 第 1 章 背景描述 0 第 2 章 需求分析 0 第 3 章 邏輯設(shè)計(jì)、物理設(shè)計(jì) 1 拓?fù)浣Y(jié)構(gòu)圖 1 劃分 IP 地址 2 3 .3 交換機(jī)配置 2 路由器配置 4 物理設(shè)計(jì)圖 5 第 4 章 網(wǎng)絡(luò)總體方案設(shè)計(jì)及其特點(diǎn) 5 第 5 章 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 6 第 6 章 布線方案 7 第 7 章 安全策略 7 防火墻的工作原理 8 防火墻的分類和技術(shù)原理以及典型體系結(jié)構(gòu) 8 第 8 章 設(shè)備選擇 12 第 9 章 網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)和集成原則 15 第 10 章 軟件選擇與配置 16 第 11 章 布線方案 17 第 12 章 設(shè)備清單 18 總結(jié) 19 參考文獻(xiàn) 20 第 0 頁 第 1章 背景描述 某 企業(yè) 擬實(shí)施 CIMS（現(xiàn)代集成制作系統(tǒng)）規(guī)劃，需建立企業(yè)網(wǎng)絡(luò)系統(tǒng)，設(shè)計(jì)全場經(jīng)營、政工、技改、財(cái)務(wù)、質(zhì)量、生產(chǎn)、銷售、后勤等部門，主要分布在辦