畢業(yè)設(shè)計（論文）題目：企業(yè)局域網(wǎng)規(guī)劃和設(shè)計Title：EnterpriseLANplanninganddesign系別：軟件學(xué)院專業(yè)：網(wǎng)絡(luò)工程學(xué)號：08114132學(xué)生姓名：張偉指導(dǎo)教師：王志波二零一二年三月摘要網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競爭力的標(biāo)準(zhǔn)之一。針對金融行業(yè)的特點，本文介紹了一個行業(yè)專用網(wǎng)絡(luò)的整體設(shè)計方案。本方案充分考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，所以采用三層網(wǎng)絡(luò)結(jié)構(gòu)。其中，核心層采用兩臺設(shè)備，配置CiscoHSRP協(xié)議進行雙機熱備份。匯聚層采用雙鏈路與核心相連，提高鏈路的穩(wěn)定性同時采用雙鏈路捆綁提高網(wǎng)絡(luò)鏈路帶寬利用率，所有網(wǎng)關(guān)設(shè)在匯聚層避免廣播到達(dá)核心，提高核心路由的利用率以達(dá)到數(shù)據(jù)高速轉(zhuǎn)發(fā)的要求。路由協(xié)議則選擇安全性高、收斂速度快的OSPF協(xié)議。服務(wù)器群組則重點介紹了DHCP、郵件服務(wù)器及FTP服務(wù)器等企業(yè)中較常用到的服務(wù)器的軟件選擇及搭建方法。對于網(wǎng)絡(luò)中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術(shù)、訪問控制列表、防火墻技術(shù)等安全解決方案，以求構(gòu)建一個安全、高效、可考性業(yè)務(wù)網(wǎng)絡(luò)。關(guān)鍵詞：網(wǎng)絡(luò)層次化；熱備份；虛擬局域網(wǎng)；控制列表；防火墻ABSTRACTAsthehigh-speeddevelopmentofthenetworktechnique,thequalityofenterprisenetworkhasalreadybecomeoneofthestandardsthatmeasurethecompetitionabilityoftheenterprise.Aimingatthecharacteristicsofthecertificateprofession,thispaperwillintroduceanoveralldesignofprofessionalnetworkapplyingforenterprise.SeriouslyConsideringtheloadbalanceandstabilityofthenetwork,weadoptthreelayersstructureinthedesign.CoreLayeradoptstwoequipmentstomasterslavescratchingandduplicatecopywiththeprotocolofCiscoHSRP.Convergencelayeradoptsdoublelinkandthecoreisconnected,toimprovelinkstabilityandduallinkbundlingimprovesthenetworklinkbandwidthutilization,allgatewayinconvergencelayeravoidbroadcastingarrivedatthecore,improvetheutilizationrateofcoreroutingtoachievehighspeeddataforwardingrequirements.TheroutingprotocolchoosestheprotocolofOSPF,whichhashighsecurityandrapidlyconverging.Theserverapplicationssetthepointonintroducingthemethodofcreationandsoftwareselectionforthecommonenterpriseserverapplications,suchasDHCP,themailserverandtheFTPserveretc.Inordertosetupasafety,fuel-efficientandreliableenterprisenetwork,weputforwardtheVLANtechnique,thefirewalltechniqueforthedifferentneedsinresistingthesafetythreaten.Keywords:HierarchicalNetwork;Hsrp;Vlan;Acl;Firewall目錄摘要.......................................................................................................................................................IABSTRACT..........................................................................................................................................II目錄...............................................................................................................................................III緒論......................................................................................................................................................11.需求分析..........................................................................................................................................21.1項目背景................................................................................................................................21.2設(shè)計目標(biāo)................................................................................................................................21.3用戶現(xiàn)實需求.......................................................................................................................32.網(wǎng)絡(luò)整體設(shè)計.................................................................................................................................42.1網(wǎng)絡(luò)拓?fù)?...............................................................................................................................42.2網(wǎng)路層次化設(shè)計..................................................................................................................42.2.1核心層設(shè)計...............................................................................................................52.2.2匯聚層設(shè)計...............................................................................................................52.2.3接入層設(shè)計...............................................................................................................62.2.4路由協(xié)議選擇..........................................................................................................62.3VLAN的劃分及IP地址規(guī)劃和設(shè)備命名規(guī)則.............................................................72.4服務(wù)器群組............................................................................................................................92.4.1DHCP服務(wù)器..............................................................................................................92.4.2郵件服務(wù)器.............................................................................................................102.4.3WEB服務(wù)器..............................................................................................................113.安全策略........................................................................................................................................123.1網(wǎng)絡(luò)威脅因素分析............................................................................................................123.2安全要求..............................................................................................................................123.3安全規(guī)劃............................................................................................................................123.4安全產(chǎn)品選型原則............................................................................................................133.5安全策略部署.....................................................................................................................143.5.1VLAN技術(shù)................................................................................................................143.5.2訪問控制列表........................................................................................................144.防火墻配置....................................................................................................................................174.1防火墻網(wǎng)絡(luò)安全策略.......................................................................................................174.2防火墻的基本配置............................................................................................................194.3基于內(nèi)網(wǎng)的防火墻功能及配置.....................................................................................214.3.1IP與MAC（用戶）綁定功能.............................................................................214.3.2MAP（端口映射）功能.........................................................................................224.3.3NAT（地址轉(zhuǎn)換）功能.........................................................................................224.4基于外網(wǎng)的防火墻功能及配置.....................................................................................234.4.1DOS攻擊防范..........................................................................................................234.4.2訪問控制功能........................................................................................................24結(jié)論....................................................................................................................................................25致謝....................................................................................................................................................27參考文獻...............................................................................................................................................28緒論信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與Internet的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺去支撐業(yè)務(wù)的高速發(fā)展。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡(luò)建設(shè)有主動訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競爭力的關(guān)鍵因素。公司網(wǎng)已經(jīng)越來越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。企業(yè)局域網(wǎng)是指在企業(yè)的某一區(qū)域內(nèi)由多臺計算機互聯(lián)成的計算機組。一般是方圓幾千米以內(nèi)。企業(yè)局域網(wǎng)可以實現(xiàn)文件管理、應(yīng)用軟件共享、打印機共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺計算機組成，也可以由一個公司內(nèi)的上千計算機組成。企業(yè)局域網(wǎng)建設(shè)是信息時代的必然產(chǎn)物，企業(yè)局域網(wǎng)的構(gòu)建是社會發(fā)展的趨勢，網(wǎng)絡(luò)給企業(yè)帶來財富的同時也給企業(yè)帶來了挑戰(zhàn)。只有充分利用現(xiàn)代網(wǎng)絡(luò)技術(shù)，組建好企業(yè)的局域網(wǎng)，才能為企業(yè)插上騰飛的翅膀，帶來企業(yè)的蓬勃發(fā)展。信息技術(shù)自誕生之日起，就對金融行業(yè)產(chǎn)生了深遠(yuǎn)的影響，尤其是上世紀(jì)90年代以來，隨著金融服務(wù)業(yè)全球化和競爭日益劇烈，促使金融公司加快運用各種新的信息技術(shù)手段來提高公司管理水平，可以說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡(luò)技術(shù)的發(fā)展，讓網(wǎng)上交易迅速普及，網(wǎng)上交易有助于金融公司提高工作效率，降低出錯率，也方便金融公司對客戶的管理。雖然大多數(shù)企業(yè)已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營發(fā)展戰(zhàn)略中，但是網(wǎng)絡(luò)黑客攻擊、計算機病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素，仍然讓很多企業(yè)對企業(yè)網(wǎng)絡(luò)化猶豫不定。金融企業(yè)的特點是數(shù)據(jù)傳輸量大，數(shù)據(jù)機密度高，所以金融業(yè)網(wǎng)絡(luò)就要求高效、穩(wěn)定和安全，合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計能至關(guān)重要。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)分層設(shè)計模型“多層次設(shè)計”。多層次設(shè)計師模塊化的，它在日后網(wǎng)絡(luò)擴展、負(fù)載均衡、故障排除方面很有效。而現(xiàn)在強大的防火墻技術(shù)和各種各樣的安全策略被應(yīng)用到企業(yè)網(wǎng)絡(luò)中，安全得到了保障，那么網(wǎng)路對于企業(yè)的發(fā)展就真正起到了推進的作用。公司要在激烈的市場競爭中處于有利的位置，就要保持高水平的服務(wù)質(zhì)量和良好的運營成本控制。將傳統(tǒng)的管理模式轉(zhuǎn)變到數(shù)字化的現(xiàn)代管理模式，有助于各類資源的系統(tǒng)整合，長遠(yuǎn)來看將提高公司在未來市場經(jīng)濟中的競爭力。1.需求分析1.1項目背景XX金融是一家剛剛成立的金融公司，公司有資產(chǎn)管理部、財務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門）和營業(yè)部6個部門，6個部門分布在兩個樓層。日后公司在外地還要開設(shè)分支機構(gòu)，而這里作為公司總部，中心機房也設(shè)在此處。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常金融交易，且作為金融公司，某些投資機密需要很高的保密度，所以公司網(wǎng)絡(luò)要有很高的可靠性和安全性。考慮的日后公司的擴張，所以網(wǎng)絡(luò)系統(tǒng)要有可擴展性。1.2設(shè)計目標(biāo)設(shè)計一個公司的網(wǎng)絡(luò)，首先要確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和變化，即VLAN的整體劃分。考慮到金融行業(yè)數(shù)據(jù)的重要性、保密性，為了保證多想金融業(yè)務(wù)的順利進行，保證網(wǎng)絡(luò)的不間斷運行，網(wǎng)絡(luò)平臺應(yīng)具有以下一些特點：（1）高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運行的關(guān)鍵保證，在設(shè)計中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運行。（2）高性能——承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運行的基礎(chǔ)，設(shè)計中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為金融公司各項業(yè)務(wù)開展的瓶頸。（3）安全性——制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性。（4）可管理性——對網(wǎng)絡(luò)實行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。（5）技術(shù)先進性和實用性——保證滿足金融交易系統(tǒng)業(yè)務(wù)的同時，又要體現(xiàn)網(wǎng)絡(luò)系統(tǒng)的先進性。在網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到金融公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。（6）標(biāo)準(zhǔn)開放性——支持國際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國際標(biāo)準(zhǔn)的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網(wǎng)絡(luò)（如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò)）之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴展。（7）靈活性及可擴展性——根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴充和升級，減少最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。1.3用戶現(xiàn)實需求（1）實現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但是對不同的資源要有相應(yīng)的權(quán)限。（2）滿足公司日常金融交易，交易數(shù)據(jù)的傳輸和存儲。（3）公司各部可以通過即時通信軟件聯(lián)系，建立公司郵件服務(wù)器。（4）打印機共享。（5）公司內(nèi)部要網(wǎng)絡(luò)接入Internet。（6）架設(shè)公司web服務(wù)器，發(fā)布公司網(wǎng)站。（7）為保證安全，Internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護措施，防止外界對內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問。（8）網(wǎng)絡(luò)管理需求：網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定位工作，網(wǎng)絡(luò)運行期間對不同用戶靈活的服務(wù)策略部署、訪問權(quán)限控制、以及網(wǎng)絡(luò)日志審計和病毒控制能力等方面的管理工作。（9）網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運營的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務(wù)，并實現(xiàn)千兆位到桌面。因此，數(shù)據(jù)流量將大大增加，尤其是對核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。2.網(wǎng)絡(luò)整體設(shè)計2.1網(wǎng)絡(luò)拓?fù)鋱D2-1網(wǎng)絡(luò)拓?fù)溆嬎銠C網(wǎng)絡(luò)的組成元素可以分為兩大類，即網(wǎng)絡(luò)節(jié)點（又可分為端節(jié)點和轉(zhuǎn)發(fā)節(jié)點）和通信鏈路，網(wǎng)絡(luò)中節(jié)點的互聯(lián)模式叫網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中常用的拓?fù)浣Y(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)、樹形結(jié)構(gòu)。由于XX金融公司總部網(wǎng)絡(luò)站點特別的多，而且聯(lián)網(wǎng)的站點相對集中，因此采用樹形的網(wǎng)絡(luò)拓?fù)洹湫瓮負(fù)溆煽偩€拓?fù)溲葑兌鴣怼Ｋ幸粋€帶分支的根，還可再延伸出若干子分支。樹形拓?fù)渫ǔ２捎猛S電纜作為傳輸介質(zhì)，而且使用寬帶傳輸技術(shù)。樹形拓?fù)湟子诠收细綦x，樹形拓?fù)涞娜秉c是對根的依賴太大，如果根發(fā)生故障，則整個網(wǎng)絡(luò)不能正常工作。但在本局域網(wǎng)中采用了雙核心，所以大大的避免了網(wǎng)絡(luò)故障的發(fā)生。2.2網(wǎng)路層次化設(shè)計網(wǎng)絡(luò)的設(shè)計模型主要包括層次化設(shè)計模型和非層次化設(shè)計模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長，非層次化的網(wǎng)絡(luò)設(shè)計已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會發(fā)展成為非結(jié)構(gòu)的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時，設(shè)備上的CPU必然會承受相當(dāng)大的負(fù)載，不利于網(wǎng)絡(luò)的運行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。所以選擇層次化的網(wǎng)絡(luò)設(shè)計。多層設(shè)計師模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定性，因此在運行和擴展過程中進行故障查找和排出非常簡單。多層模式使網(wǎng)絡(luò)的移植更為簡單易行，因為它保留看基于路由器和交換機的網(wǎng)絡(luò)原有的尋址方案，對以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進行很好的隔離。針對實際情況采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。每個層次有不同的功能。核心層作為整個網(wǎng)絡(luò)系統(tǒng)的核心，起主要功能是高速、可靠的進行數(shù)據(jù)交換。分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要進行VLAN的換分、與分布層的連接等。2.2.1核心層設(shè)計核心交換機通過配置高性能交換路由引擎、冗余電源，來實現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)的高可用和高可靠性。此處使用Catalyst3560G-48PS路由交換機作為內(nèi)、外網(wǎng)的核心交換機，配置SalienceVI-10GE交換路由引擎，分別配置24端口千兆以太網(wǎng)電接口模塊（LSQM1GT24SC0）和24端口千兆/百兆以太網(wǎng)光接口模塊（LSQM1GP24SC0），對外提供千兆光口和千兆電口接入，光口用于連接各配線間的匯聚交換機，電口用于部分服務(wù)器的接入。核心交換機需作如下設(shè)置：（1）使用包安全過濾/ACL的機制，防止非法侵入和惡意報文攻擊；（2）通過Vlan劃分實現(xiàn)不同部門內(nèi)部訪問安全的需求；（3）基于策略的服務(wù)等級/服務(wù)質(zhì)量（CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務(wù)數(shù)據(jù)流，實現(xiàn)網(wǎng)絡(luò)的優(yōu)化。核心層多業(yè)務(wù)、高可靠、大容量設(shè)計，所有關(guān)鍵部件均采用冗余熱備份設(shè)計，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份。2.2.2匯聚層設(shè)計在6個弱電間分別設(shè)置一臺CiscoWS-C3750G-12S-E以太網(wǎng)交換機作為匯聚層交換機，上聯(lián)核心層交換機，下聯(lián)接入層交換機，對下屬設(shè)備進行三層交換處理。匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。包括訪問控制列表、VLAN路由等等。CiscoCatalyst3750系列交換機是一個創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域網(wǎng)中的工作效率。這個新的產(chǎn)品系列采用了最新的思StackWise技術(shù)，不但實現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)，就好像是一整臺交換機一樣。對于中型企業(yè)網(wǎng)絡(luò)來說，CiscoCatalyst3750系列通過提供配置靈活性、支持融合網(wǎng)絡(luò)模式及自動進行智能網(wǎng)絡(luò)服務(wù)配置，簡化了融合應(yīng)用的部署，并可針對不斷變化的業(yè)務(wù)需求進行調(diào)整。此外，CiscoCatalyst3750系列針對高密度千兆位以太網(wǎng)部署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。CiscoCatalyst3750G-12S提供12個千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機和中心核心機房的Catalyst4506交換機。2.2.3接入層設(shè)計接入層主要提供最終用戶接入網(wǎng)絡(luò)的途徑。主要是進行VLAN的劃分、與分布層的連接等等。建議接入層交換機采用思科的2960系列智能以太網(wǎng)交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如郵件服務(wù)器、DHCP服務(wù)器等組成服務(wù)器群，連接到匯聚交換機的千兆模塊上面，因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建。CiscoCatalyst2960系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強LAN服務(wù)。Catalyst2960系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、高級服務(wù)質(zhì)量（QoS）和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借CiscoCatalyst2960系列提供的廣泛安全特性，企業(yè)可保護重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運行。2.2.4路由協(xié)議選擇圖2-2路由協(xié)議為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是OSPF協(xié)議和EIGRP協(xié)議，OSPF以協(xié)議標(biāo)準(zhǔn)化強，支持廠家多，受到廣泛應(yīng)用，而EIGRP協(xié)議由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的。考慮網(wǎng)絡(luò)的擴展性、數(shù)據(jù)資源的保護等原因，我們選擇OSPF路由協(xié)議。OSPF協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個AS的拓?fù)浣Y(jié)構(gòu)（AS不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構(gòu)造最短路徑樹，然后再根據(jù)最短路徑構(gòu)造路由表。對于大型的網(wǎng)絡(luò)，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF將整個AS劃分為若干個區(qū)域，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF定義了5種分組：Hello分組用于建立和維護連接；數(shù)據(jù)庫描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行響應(yīng)；由于OSPF直接運行在IP層，協(xié)議本身要提供確認(rèn)機制，鏈路狀態(tài)應(yīng)答分組是對鏈路狀態(tài)更新分組進行確認(rèn)。相對于其它協(xié)議，OSPF有許多優(yōu)點。OSPF支持各種不同鑒別機制（如簡單口令驗證，MD5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負(fù)載均衡功能，如果計算出到某個目的站有若干費用相同的路由，OSPF路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每個區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計算最短路徑，這減少了OSPF路由實現(xiàn)的工作量；OSPF屬動態(tài)的自適應(yīng)協(xié)議，對于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類域間路由）地址。公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結(jié)合的方式。2.3VLAN的劃分及IP地址規(guī)劃和設(shè)備命名規(guī)則LAN的劃分一般有三種方法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個VLAN內(nèi)，網(wǎng)絡(luò)管理人員只需要對網(wǎng)絡(luò)設(shè)備的交換端口進行分配即可，不用考慮端口所連接的設(shè)備。IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來唯一地標(biāo)示網(wǎng)絡(luò)中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。根據(jù)公司情況，每個部門劃分為一個VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對匯聚層交換機進行配置來實現(xiàn)。表2-1IP地址分配表IP地址配置命令：Switch(config#[interface]Switch(config-if#noswitchportSwitch(config-if#ipaddress[ip-add][subnet-mask]Switch(config-if#noshutdown設(shè)備名稱代碼表：表2-2設(shè)備廠商、設(shè)備型號對照表表2-3設(shè)備端口簡寫名稱對照表設(shè)備的命名規(guī)則按照設(shè)備的空間地理位置、設(shè)備在網(wǎng)絡(luò)中的邏輯位置、設(shè)備類型和設(shè)備編號的順序來命名。其中，空間地理位置嚴(yán)格遵守國際對省市的命名規(guī)范。其格式為：空間地理位置-設(shè)備類型-設(shè)備編號-樓層號。舉例說明：XSXRMYY-BY-XZY-CISCO-6506-1表示：XXXXX樓一樓的思科CISCO6506。設(shè)備端口的命名規(guī)則和編碼設(shè)計按照端口類型、端口在本端設(shè)備中的位置、接口速率、本端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置、本端設(shè)備編號、電路傳輸方向、對端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置和對端設(shè)備編號的順序命名。端口類型-端口在本端設(shè)備中的位置-帶寬-TO-對端設(shè)備的空間地理位置-網(wǎng)絡(luò)的邏輯位置-對端設(shè)備類型-對端設(shè)備編號。端口類型：用使用物理端口的縮寫來命名。端口在設(shè)備中的位置：槽位號-適配號-端口號。空間地理位置：即設(shè)備放置的地理位置。網(wǎng)絡(luò)的邏輯位置：即設(shè)備在網(wǎng)絡(luò)中放置的邏輯位置。設(shè)備類型：以設(shè)備廠家和設(shè)備的型號來命名。設(shè)備編號：處于同一位置，同類設(shè)備的編碼順序，為一位阿拉拍數(shù)字，按1-9的順序編號。注意：若一個槽位，只能安裝一塊適配器板卡標(biāo)示時，請忽略板卡位置號。2.4服務(wù)器群組2.4.1DHCP服務(wù)器由于公司整個網(wǎng)絡(luò)節(jié)點較多，若是由網(wǎng)管人員分別為每臺PC機配置IP地址那將是一件非常麻煩的事，而且也不利于網(wǎng)絡(luò)IP地址的管理，所以我們采用DHCP服務(wù)器，為接入公司網(wǎng)絡(luò)的PC機自動分配IP地址。DHCP（DynamicHostConfigurationProtocol），即動態(tài)主機設(shè)置協(xié)議，是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作。DHCP服務(wù)器的操作系統(tǒng)選擇WindowsServer2003。由于DHCP服務(wù)器與公司其他PC機在不同的VLAN中，所以還需要在匯聚層交換機上配置DHCP中繼服務(wù)功能才能成功運行DHCP服務(wù)。2.4.2郵件服務(wù)器電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的組成部分，通過電子郵件進行方便快捷的信息交流已經(jīng)成為企業(yè)工作中不可或缺的工作習(xí)慣。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更好更安全的管理。常見的郵件服務(wù)器軟件有很多，例如：微軟ExchangeServer、MDaemonServer、WinWebMail、IMailServer等等。在這里我們選用微軟exchangeserver2003作為服務(wù)器端軟件，該版本也是Microsoftexchangeserver中應(yīng)用最廣泛，功能最穩(wěn)定的一個版本。exchangeserver2003常見的任務(wù)包括：備份與還原、建立新郵箱、恢復(fù)、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應(yīng)用更新和修補程序等。新工具和改進的工具可幫助網(wǎng)絡(luò)管理員更有效地完成工作。例如，一位管理人員可能需要恢復(fù)幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復(fù)存儲組”功能，管理員可以恢復(fù)個人用戶的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括：并行移動多個郵箱。改進的消息跟蹤和Outlook客戶端性能記錄功能。增強的隊列查看器，它使用戶能夠從同一控制臺同時查看SMTP和X.400隊列。新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實時查找成員。此外，用于MicrosoftOperationsManager的Exchange管理包可自動監(jiān)視整個Exchange環(huán)境，從而使用戶能夠?qū)xchange問題預(yù)先采取管理措施并快速予以解決。在部署exchange2003郵件服務(wù)器之前，首先為公司申請合法的域名，建立域控服務(wù)器，打開“運行”對話框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。圖2-3建立域控服務(wù)器將公司內(nèi)的所有PC機加入該域。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺輔助域控。當(dāng)然，還需要在DNS服務(wù)器中寫入記錄，這樣發(fā)出的郵件才知道去處。郵件服務(wù)器硬件的選擇根據(jù)企業(yè)本身業(yè)務(wù)的應(yīng)用情況和資金投入來決定。從該公司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的PC服務(wù)器才能滿足基本的性能要求。2.4.3WEB服務(wù)器WEB服務(wù)器也稱為WWW（WORLDWIDEWEB）服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器主要是向外發(fā)布公司網(wǎng)站，時時更新公司以及金融市場信息以供用戶網(wǎng)上參考。本方案中，我們選擇Linux作為web服務(wù)器的操作系統(tǒng)，所以服務(wù)器端軟件則用Apache。Apache是世界上用的最多的Web服務(wù)器，市場占有率達(dá)60%左右，它源于NCSAhttpd服務(wù)器。Apache有多種產(chǎn)品，可以支持SSL技術(shù)，支持多個虛擬主機。它是以進程為基礎(chǔ)的結(jié)構(gòu)，進程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應(yīng)用（可以運行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺上）以及它的可移植性等方面。3.安全策略3.1網(wǎng)絡(luò)威脅因素分析對于金融業(yè)來說，網(wǎng)絡(luò)的安全性是相當(dāng)重要的。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務(wù)使得公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)可能也要求很高的安全性。公司網(wǎng)絡(luò)的安全風(fēng)險可能包括以下幾個：（1）公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來自各地的越權(quán)訪問，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計算機病毒的入侵；（2）內(nèi)部的各個子網(wǎng)通過骨干交換相互連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意攻擊、誤操作等，據(jù)統(tǒng)計約有70％左右的攻擊來自內(nèi)部用戶，相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣，結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；（3）設(shè)備的自身安全性也會直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機和路由器設(shè)備配置風(fēng)險等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復(fù)，將會為網(wǎng)絡(luò)的安全帶來很多不安定的因素。重要服務(wù)器的當(dāng)機或者重要數(shù)據(jù)的意外丟失，都將會造成公司日常辦公無法進行。3.2安全要求（1）物理安全：包括保護計算機網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤導(dǎo)致系統(tǒng)損壞，同時要避免由于電磁泄漏引起的信息失密。（2）網(wǎng)絡(luò)安全：主要包括系統(tǒng)安全和網(wǎng)絡(luò)運行安全，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡(luò)訪問的控制。（3）信息安全：包括信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩约皩τ脩舻氖跈?quán)和鑒別。3.3安全規(guī)劃安全方面分為內(nèi)網(wǎng)和外網(wǎng)兩部分。內(nèi)網(wǎng)方面安全區(qū)域劃分五個區(qū)域：外網(wǎng)（黨政信息內(nèi)網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域、行業(yè)其他單位連接、公網(wǎng)區(qū)域。安全定義：（1）外網(wǎng)區(qū)域為不可信任區(qū)；（2）DMZ區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務(wù)等）但受到防火墻嚴(yán)格控制；（3）內(nèi)部用戶區(qū)域為信任區(qū)域；（4）行業(yè)其他單位連接區(qū)域，由于無法管理，使用網(wǎng)閘物理隔離；（5）公網(wǎng)區(qū)域，威脅最大區(qū)域，使用網(wǎng)閘物理隔離。在防火墻上進行設(shè)置，包括用ACL進行流量控制、關(guān)閉病毒端口、NAT的轉(zhuǎn)換等。外網(wǎng)安全方面主體是在防火墻上進行設(shè)置，外網(wǎng)安全劃分為三個區(qū)域，公網(wǎng)區(qū)域（Internet、黨政外網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶區(qū)域。安全級別定義：（1）公網(wǎng)區(qū)域為不可信任區(qū)；（2）DMZ區(qū)域為中立區(qū)域，允許部分外網(wǎng)用戶連接（比如：網(wǎng)站對外服務(wù)等）但受到防火墻嚴(yán)格控制；（3）內(nèi)部用戶區(qū)域為信任區(qū)域。IPS對進出數(shù)據(jù)進行訪問檢測，本項目中外網(wǎng)中IPS劃分兩條物理隔離的鏈路分別檢測內(nèi)部用戶數(shù)據(jù)流量和DMZ區(qū)域數(shù)據(jù)流量。上網(wǎng)行為管理只對用戶區(qū)域的數(shù)據(jù)進行監(jiān)控和管理。內(nèi)網(wǎng)安全策略：（1）報文阻斷策略，通過設(shè)置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；（2）訪問控制規(guī)則，通過設(shè)置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；（3）IP/MAC地址綁定，將IP地址與MAC地址綁定從而防止非法用戶冒充IP地址進行非法訪問；（4）病毒防御。能夠?qū)κ褂肏TTP、FTP傳輸?shù)奈募约皩κ褂肧MTP、POP3和IMAP協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。外網(wǎng)安全策略：（1）地址轉(zhuǎn)換，進行源、目的地址轉(zhuǎn)換以及雙向地址轉(zhuǎn)換；（2）報文阻斷策略，通過設(shè)置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；（3）訪問控制規(guī)則，通過設(shè)置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；（4）IP/MAC地址綁定，將IP地址與MAC地址綁定從而防止非法用戶冒充IP地址進行非法訪問，（5）病毒防御，能夠?qū)κ褂肏TTP、FTP傳輸?shù)奈募约皩κ褂肧MTP、POP3和IMAP協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據(jù)文件擴展名選擇過濾或者不過濾的附件類型等。3.4安全產(chǎn)品選型原則XX金融公司網(wǎng)絡(luò)屬于一個行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重。選型的原則包括：（1）安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運行效率，并且滿足工作的要求，不影響正常的網(wǎng)上金融交易和辦公；（2）安全保密產(chǎn)品必須通過國家主管部門指定的測評機構(gòu)的檢測；（3）產(chǎn)品必須具備自我保護能力；（4）安全保密產(chǎn)品必須符合國家和國際上的相關(guān)標(biāo)準(zhǔn)；（5）安全產(chǎn)品必須操作簡單易用，便于簡單部署和集中管理。3.5安全策略部署3.5.1VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的VLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問，特別是資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對于那些與他不屬于一個VLAN的電腦是無法訪問它的。同時，這樣還防止廣播風(fēng)暴的發(fā)生，避免過多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，VLAN為網(wǎng)絡(luò)管理帶來了很大的方便，將每個部門劃分為一個VLAN，每個VLAN內(nèi)的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。各個VLAN之間數(shù)據(jù)的傳輸，必須經(jīng)過Trunk鏈路。Trunk是一種封裝技術(shù)，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器。基于端口匯聚的功能，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網(wǎng)絡(luò)的能力。Trunk端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有vlan信息。Trunk鏈路配置命令：Switch(config#interfacerange[interface-number]Switch(config-if-range#switchporttrunkencapsulationdot1qSwitch(config-if-range#switchportmodetrunkSwitch(config-if-range#switchportallowtrunkall3.5.2訪問控制列表訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（ACL）是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。使用訪問控制列表不但能過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個重要方法。圖3-1ACL示意圖訪問控制列表分為兩類，一個是標(biāo)準(zhǔn)訪問列表，一個是擴展訪問列表。標(biāo)準(zhǔn)訪問列表的編號是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議產(chǎn)生作用，不區(qū)分IP流量類型。而編號100以上的稱作擴展訪問列表，它可測試IP包的第3層和第4層報頭中的其他字段，比標(biāo)準(zhǔn)訪問列表具有更多的匹配項，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。標(biāo)準(zhǔn)訪問列表配置命令：Router(config#access-list[access-list-number]{permit|deny}source[mask]/*為訪問列表設(shè)置參數(shù)，IP標(biāo)準(zhǔn)訪問列表編號1到99，缺省的通配符掩碼=*/Router(config-if#ipaccess-group[access-list-number]{in|out}/*在端口上應(yīng)用訪問列表，指明是進方向還是出方向*/擴展訪問列表配置命令：Router(config#access-list[access-list-number]{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operator-port][established][log]/*為標(biāo)準(zhǔn)訪問列表設(shè)置參數(shù)，可具體到某個端口，某種協(xié)議*/根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配置訪問控制。如財務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機密度較高，我們就可以編寫訪問控制列表，禁止其它網(wǎng)段也就是其它VLAN的用戶訪問這些部門的電腦，無論是以什么樣的形式，即使用標(biāo)準(zhǔn)訪問控制列表。當(dāng)然，寫完訪問列表后，要將其應(yīng)用在相應(yīng)的端口上。有的部門可能對信息的保密要求沒有那么高，那么就可以使用擴展訪問列表，只對某一端口的數(shù)據(jù)進行控制，如telnet等。4.防火墻配置飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Internet的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時Internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應(yīng)運而生，實現(xiàn)著管理者的安全策略，有效地維護這企業(yè)保護網(wǎng)絡(luò)的安全。防火墻是目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了CPU的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過濾包的作用，而硬件防火墻的功能則要強大的多，它還包括CF（內(nèi)容過濾）、IDS（入侵偵測）、IPS（入侵防護）以及VPN等功能。硬件防火墻一般使用經(jīng)過內(nèi)核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定性。防火墻主要由服務(wù)訪問政策、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。4.1防火墻網(wǎng)絡(luò)安全策略討論防火墻安全策略一般實施兩個基本設(shè)計方針之一：（1）拒絕訪問除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西；（2）允許訪問除明確拒絕以外的任何一種服務(wù)，即允許一切未被特別拒絕的東西。企業(yè)網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問。在實際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個不同級別的安全區(qū)域：內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護的對象，包括全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域（這是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的）。外部網(wǎng)絡(luò)：這是防火墻要防護的對象，包括外部網(wǎng)主機和設(shè)備。這個區(qū)域為防火墻的非可信網(wǎng)絡(luò)區(qū)域（也是由傳統(tǒng)邊界防火墻的設(shè)計理念決定的）。DMZ（非軍事區(qū)）：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級別（策略）是不同的。對于要保護的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來自互聯(lián)網(wǎng)用戶的訪問；而由內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服務(wù)器數(shù)據(jù)是在受保護的內(nèi)部網(wǎng)絡(luò)主機上，所以黑客攻擊這些服務(wù)器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網(wǎng)絡(luò)訪問權(quán)限。通過NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)將受保護的內(nèi)部網(wǎng)絡(luò)的全部主機地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這樣可以對外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護內(nèi)部網(wǎng)絡(luò)的安全，同時因為是公網(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上可以有兩種選擇，這主要是根據(jù)擁有網(wǎng)絡(luò)設(shè)備情況而定。如果原來已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過濾功能，添加相應(yīng)的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線，并且在這兩者之間可以設(shè)置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。應(yīng)用服務(wù)當(dāng)中EMAIL、DNS和WWW服務(wù)需要外網(wǎng)能夠訪問，因此將這些服務(wù)規(guī)劃到DMZ區(qū)。我們在核心層路由器與Internet之間配置一臺硬件防火墻，這樣，所有進出網(wǎng)絡(luò)的數(shù)據(jù)都要通過防火墻，而該防火墻應(yīng)具有以下的功能：（1）包過濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據(jù)地址簿進行設(shè)置規(guī)則；（2）地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT（SNAT）和目的地址轉(zhuǎn)換DestinationNAT（DNAT）。SNAT用于對內(nèi)部網(wǎng)絡(luò)地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來自外部其他網(wǎng)絡(luò)的非授權(quán)訪問或惡意攻擊。并將有限的IP地址動態(tài)或靜態(tài)的與內(nèi)部IP地址對應(yīng)起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機訪問內(nèi)網(wǎng)主機；（3）認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對訪問網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶認(rèn)證數(shù)據(jù)庫；提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進行訪問控制。同時支持URL過濾功能，防止員工在上班時間訪問某些網(wǎng)站，影響工作效率；（4）透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進行幾乎透明的訪問，同時阻止了外部未授權(quán)訪問者對專用網(wǎng)絡(luò)的非法訪問；防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個子網(wǎng)之間的安全訪問；（5）入侵檢測：通過收集和分析網(wǎng)絡(luò)行為、安全日志、審計數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計算機系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。NETSCREEN防火墻是為中小型企業(yè)設(shè)計的一款產(chǎn)品，它集高安全性和高可擴展性于一身，能夠?qū)Σ《尽⒗]件、非授權(quán)訪問等進行實時監(jiān)控，并提供VPN服務(wù)，為用戶提供全面的保護。它構(gòu)建于CiscoPIX安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部兩種安全保護，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時，也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟效益。4.2防火墻的基本配置公司采用的是防火墻，它的初始配置也是通過控制端口（Console）與PC機的串口連接，再通過超級終端（HyperTerminal）程序進行選項配置。也可以通過telnet和Tftp配置方式進行高級配置，但必需先由Console將防火墻的這些功能打開。NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivilegedmode）、特權(quán)模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode）。命令行基本信息收集：netscreen>getsyst（得到系統(tǒng)信息）netscreen>getconfig（得到config信息）netscreen>getlogevent（得到日志）功能問題需收集下列信息：netscreen>setffiliter（設(shè)置過濾器）netscreen>debugflowbasic（是開啟基本的debug功能）netscreen>cleardb（是清除debug的緩沖區(qū)）netscreen>getdbufstream（就可以看到debug的信息了）性能問題需收集下列信息：netscreen>Getpercpudetail（得到CPU使用率）netscreen>Getsessioninfo（得到會話信息）netscreen>Getpersessiondetail（得到會話詳細(xì)信息）netscreen>Getmac-learn（透明方式下使用，獲取MAC硬件地址）netscreen>Getalarmevent（得到告警日志）netscreen>Gettech>tftp6tech.txt（導(dǎo)出系統(tǒng)信息）netscreen>Getlogsystem（得到系統(tǒng)日志信息）netscreen>Getlogsystemsaved（得到系統(tǒng)出錯后，系統(tǒng)自動記錄信息，該記錄重啟后不會丟失。）設(shè)置接口帶寬：Setinterfaceinterfacebandwidthnumberunsetinterfaceinterfacebandwidth設(shè)置接口的網(wǎng)關(guān)：setinterfaceinterfacegatewayip_addrunsetinterfaceinterfacegateway設(shè)置接口的區(qū)域，IP地址zone就是網(wǎng)絡(luò)邏輯上劃分成區(qū)，可以在安全區(qū)或安全區(qū)內(nèi)部接口之間實施策略。設(shè)置接口的區(qū)域：setinterfaceinterfacezonezoneunsetinterfaceinterfacezone設(shè)置接口的IP地址：setinterfaceinterfaceipip_addr/masksetinterfaceinterfaceipunnumberedinterfaceinterface2unsetinterfaceinterfaceipip_addr接口管理設(shè)置：setinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|ssl|telnet|webui}unsetinterfaceinterfacemanage{ident-reset|nsmgmt|ping|snmp|ssh|telnet|webui}WebUI：允許接口通過Web用戶界面（WebUI）接收HTTP管理信息流。Telnet：選擇此選項可啟用Telnet管理功能。SSH：可使用“安全命令外殼”（SSH）通過以太網(wǎng)連接或撥號調(diào)制解調(diào)器管理NetScreen設(shè)備。必須具有與SSH協(xié)議版本1.5兼容的SSH客戶端。選擇此選項可啟用SSH管理功能。SNMP：選擇此選項可啟用SNMP管理功能。SSL：選擇此選項將允許接口通過WebUI接收NetScreen設(shè)備的HTTPS安全管理信息流。NSSecurityManager：選擇此選項將允許接口接收NetScreen-SecurityManager信息流。Ping：選此選項將允許NetScreen設(shè)備響應(yīng)ICMP回應(yīng)請求，以確定是否可通過網(wǎng)絡(luò)訪問特定的IP地址。Ident-Reset：與“郵件”或FTP發(fā)送標(biāo)識請求相類似的服務(wù)。如果它們未收到確認(rèn)，會再次發(fā)送請求。處理請求期間禁止用戶訪問。啟用Ident-reset選項后，NetScreen設(shè)備將發(fā)送TCP重置通知以響應(yīng)發(fā)往端口113的IDENT請求，然后恢復(fù)因未確認(rèn)標(biāo)識請求而被阻止的訪問。指定允許進行管理的ip地址：setinterfaceinterfacemanage-ipip_addrunsetinterfaceinterfacemanage-ip添加只讀權(quán)限管理員：setadminuserRogerpassword2bd21wG7privilegeread-only修改帳戶為可讀寫權(quán)限：unsetadminuserRogersetadminuserRogerpassword2bd21wG7privilegeall刪除用戶：unsetadminuserRoger清除所有會話，并注銷帳戶：clearadminnameRoger4.3基于內(nèi)網(wǎng)的防火墻功能及配置4.3.1IP與MAC（用戶）綁定功能如果在一個局域網(wǎng)內(nèi)部允許HostA上網(wǎng)而不允許HostB上網(wǎng)，則有一種方式可以欺騙防火墻進行上網(wǎng)，就是在HostA還沒有開機的時候，將HostB的IP地址換成HostA的IP地址就可以上網(wǎng)了。那么針對IP欺騙的行為，解決方法是將工作站的IP地址與網(wǎng)卡的MAC地址進行綁定，這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過來才行，所以將IP地址與MAC地址進行綁定，可以防止內(nèi)部的IP盜用。但是這種綁定只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無法實現(xiàn)IP地址與MAC的綁定。但是可以通過IP地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對DHCP用戶的支持，如果在用DHCP服務(wù)器來動態(tài)分配IP地址的網(wǎng)絡(luò)中，主機沒有固定的IP地址，如何解決這樣的問題呢？目前主要有兩種方式可以解決這個問題，第一種是在防火墻中內(nèi)置DHCP服務(wù)器，但這種方式由于防火墻內(nèi)置DHCP服務(wù)器，會導(dǎo)致防火墻本身的不安全，如果有一天防火墻失效，造成DHCP服務(wù)器宕機會影響整個網(wǎng)絡(luò)而并不僅僅只對出口造成影響。另一種比較好的解決方法是防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址只添網(wǎng)卡的MAC地址，開機后自動將獲得的IP地址傳給防火墻，防火墻根據(jù)這個IP地址與MAC地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進行改動。綁定針對IP欺騙的行為，網(wǎng)絡(luò)設(shè)置中將工作站的IP地址與網(wǎng)卡的MAC地址進行綁定。BINDTO01-50-04-BB-71-A6BINDTO01-50-04-BB-71-BC這樣再改換IP地址就不行了，除非將網(wǎng)卡和IP地址都換過來才行，所以將IP地址與MAC地址進行綁定，可以防止內(nèi)部的IP盜用。上面的綁定方式只適合與防火墻同網(wǎng)段的節(jié)點，如果其他網(wǎng)段的節(jié)點通過防火墻進行訪問時，通過網(wǎng)段的源IP地址與目的IP地址是不同的，無法實現(xiàn)IP地址與MAC的綁定。實現(xiàn)方法是通過IP地址與用戶的綁定，因為用戶是可以跨網(wǎng)段的。另外對DHCP用戶的支持，如果在用DHCP服務(wù)器來動態(tài)分配IP地址的網(wǎng)絡(luò)中，主機沒有固定的IP地址，解決方法是設(shè)置防火墻支持基于MAC地址的訪問控制，在配置之前，先不添IP地址，只添加網(wǎng)卡的MAC地址，開機后自動將獲得的IP地址傳給防火墻，防火墻根據(jù)這個IP地址與MAC地址進行綁定來實現(xiàn)訪問控制，這種方式可以實現(xiàn)IP地址與MAC地址的綁定。這種方式的好處是防火墻受到破壞并不會對這個局域網(wǎng)的通訊產(chǎn)生影響，DHCP服務(wù)器不會受到影響，整個網(wǎng)絡(luò)也不需要進行改動。4.3.2MAP（端口映射）功能通過遠(yuǎn)程訪問WEB服務(wù)器域名地址就可以訪問到Web服務(wù)器的主頁，但這樣是直接對WEB服務(wù)器進行訪問和操作很不安全。如果有防火墻，可以把將WEB服務(wù)器的地址映射到防火墻的外端口地址，做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護起來，對外公開的WEB服務(wù)器的地址是防火墻的外端口地址。因此，通過這種方式有兩個優(yōu)點，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊，內(nèi)網(wǎng)是安全的，因為Web服務(wù)器公開的地址是防火墻的外端口，真正的WEB服務(wù)器的地址不會受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。比如內(nèi)部設(shè)有WEB服務(wù)器（）和有一個遠(yuǎn)程訪問客戶（），通過遠(yuǎn)程訪問WEB服務(wù)器域名地址就可以訪問到這個網(wǎng)頁，但這樣是直接對WEB服務(wù)器進行訪問和操作很不安全。可以將WEB服務(wù)器的地址（如）映射到防火墻的外端口地址（如），即：MAP:80TO:80MAP:21TO:21MAP:25TO:25MAP:53TO:53做完映射以后，這些服務(wù)器可以使用私有地址，或者這些地址不公開保護起來，對外公開的WEB服務(wù)器的地址是，客戶端輸入http：//就可以訪問到這個WEB服務(wù)器。因此，通過這種方式有兩個優(yōu)點，第一是這些服務(wù)器可以使用私有地址，同時也隱藏了內(nèi)網(wǎng)的結(jié)構(gòu)，如果這時黑客進行攻擊進行掃描，內(nèi)網(wǎng)是安全的，因為地址是防火墻的外端口，真正的WEB服務(wù)器的地址是不會受到攻擊，這樣可以增加網(wǎng)絡(luò)的安全性。4.3.3NAT（地址轉(zhuǎn)換）功能網(wǎng)絡(luò)地址轉(zhuǎn)換可以將內(nèi)網(wǎng)的私有地址利用防火墻的地址轉(zhuǎn)換功能，來實現(xiàn)對地址的轉(zhuǎn)換，防火墻可以隨機設(shè)置靜態(tài)合發(fā)地址或者動態(tài)地址池，防火墻向外的報文可以從地址池里隨機找一個報文轉(zhuǎn)發(fā)出來。利用這個方式也有兩個優(yōu)點：第一可隱藏內(nèi)網(wǎng)的結(jié)構(gòu)，第二是內(nèi)部網(wǎng)絡(luò)可以使用保留地址，提供IP復(fù)用功能。具體NAT功能配置如下：natinsidesourcelist22poolpool100natinsidedestinationstatic65natinsidedestinationstatictcp621121natinsidedestinationstatictcp6802804.4基于外網(wǎng)的防火墻功能及配置4.4.1DOS攻擊防范防范DOS攻擊的傳統(tǒng)技術(shù)主要有4種：（1）加固操作系統(tǒng)，即配置操作系統(tǒng)各種參數(shù)以加強系統(tǒng)穩(wěn)固性；（2）利用防火墻；（3）負(fù)載均衡技術(shù)，即把應(yīng)用業(yè)務(wù)分布到幾臺不同的服務(wù)器上；（4）帶寬限制和QOS保證。本論文主要介紹利用防火墻來應(yīng)對DOS