編號(hào)：ABS20160501企業(yè)網(wǎng)絡(luò)設(shè)計(jì)方案關(guān)鍵字：網(wǎng)絡(luò).安全.VPN.防火墻 .防病毒班 級(jí)：AY姓 名：AY日 期：2016-05-19. .目 錄摘要 3第一章 企業(yè)網(wǎng)絡(luò)安全概述 41.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患 41.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū) 4第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析 62.1公司背景 62.2企業(yè)網(wǎng)絡(luò)安全需求 62.3需求分析 62.4企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) 7第三章 企業(yè)網(wǎng)絡(luò)安全解決實(shí)施 93.1物理安全 93.2企業(yè)網(wǎng)絡(luò)接入配置 103.3網(wǎng)絡(luò)防火墻配置 143.4配置驗(yàn)證查看 223.5網(wǎng)絡(luò)防病毒措施 25總 結(jié) 27. .摘要近幾年來.Internet 技術(shù)日趨成熟.已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet 技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代 Internet 技術(shù)的過渡。這些都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。眾所周知.作為全球使用范圍最大的信息網(wǎng).Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng).拓寬了共享資源。但是.由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視.以及在管理和使用上的無政府狀態(tài).逐漸使Internet自身安全受到嚴(yán)重威脅.與它有關(guān)的安全事故屢有發(fā)生。網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問 .冒充合法用戶.破壞數(shù)據(jù)完整性.干擾系統(tǒng)正常運(yùn)行.利用網(wǎng)絡(luò)傳播病毒.線路竊聽等方面。因此本論文為企業(yè)構(gòu)架網(wǎng)絡(luò)安全體系.主要運(yùn)用vlan劃分、防火墻技術(shù)、vpn、病毒防護(hù)等技術(shù).來實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。. .第一章企業(yè)網(wǎng)絡(luò)安全概述1.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染.更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問.同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來源有內(nèi)、外網(wǎng)之分.很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò).因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易.企業(yè)網(wǎng)絡(luò)安全威脅的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡(luò)黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關(guān)鍵部門的非法訪問和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。針對(duì)這些安全隱患.所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng).同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理.配置好防火墻過濾策略和系統(tǒng)本身的各項(xiàng)安全措施.及時(shí)安裝系統(tǒng)安全補(bǔ)丁.有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng).甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng).對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理.嚴(yán)格實(shí)行“最小權(quán)限”原則.為各個(gè)用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù).對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略.并按策略認(rèn)真執(zhí)行。1.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一)安裝防火墻就安全了防火墻主要工作都是控制存取與過濾封包.所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效.可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過防火墻.或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi).便力不從心了.許多防火墻只是工作在網(wǎng)絡(luò)層。. .防火墻的原理是“防外不防內(nèi)”.對(duì)內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓.而事實(shí)上.企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。(二)安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒.但這并不能保證就沒有病毒入侵了.因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。(三)在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò).管理非常方便.對(duì)于單機(jī)版是不可能做到的。(四)只要不上網(wǎng)就不會(huì)中毒雖然不少病毒是通過網(wǎng)頁傳播的.但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑.而且盜版光盤以及U盤等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開著.就要防范病毒。(五)文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令.而病毒或黑客程序也可以做到這一點(diǎn).設(shè)置只讀并不能有效防毒.不過在局域網(wǎng)中為了共享安全.放置誤刪除.還是比較有用的。(六)網(wǎng)絡(luò)安全主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易.不需要借助于其他的網(wǎng)絡(luò)連接方式.就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以.加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理.特別是用戶帳戶管理.如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。. .第二章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析2.1公司背景科技有限公司是一家有100名員工的中小型科技公司.主要以軟件應(yīng)用開發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。公司有一個(gè)局域網(wǎng) .約 100 臺(tái)計(jì)算機(jī).服務(wù)器的操作系統(tǒng)是WindowsServer2008,客戶機(jī)的操作系統(tǒng)是Windows7.在工作組的模式下一人一機(jī)辦公。公司對(duì)網(wǎng)絡(luò)的依賴性很強(qiáng).主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要.因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。2.2企業(yè)網(wǎng)絡(luò)安全需求科技有限公司根據(jù)業(yè)務(wù)發(fā)展需求.建設(shè)一個(gè)小型的企業(yè)網(wǎng).有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門.需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性.以及網(wǎng)絡(luò)安全等一些因素.如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。2.3需求分析通過了解XX科技有限公司的需求與現(xiàn)狀.為實(shí)現(xiàn)XX科技有限公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造.提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性.保證企業(yè)各種設(shè)計(jì)信息的安全性.. .避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù).記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作.使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤.防范外來計(jì)算機(jī)的侵入而造成破壞。通過網(wǎng)絡(luò)的改造.使管理者更加便于對(duì)網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。因此需要（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理2.4企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱D.如下圖所示:總部網(wǎng)絡(luò)情況：防火墻FW1作為出口NAT設(shè)備.從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得接入固定 IP為網(wǎng)關(guān)IP為經(jīng)由防火墻分為DMZ區(qū)域和trust區(qū)域。防火墻上FW1做NAT轉(zhuǎn)換。分配給trust區(qū)域的地址為通過FW1上GE0/0/0端口連接網(wǎng)絡(luò).接口地址為。DMZ內(nèi)主要有各類的服務(wù)器.地址分配. .為。通過FW1上GE0/0/1端口連接網(wǎng)絡(luò).接口地址為。建立IPSec隧道.使總部和分支可以互訪。分部網(wǎng)絡(luò)情況：防火墻FW2作為出口NAT設(shè)備.從網(wǎng)絡(luò)運(yùn)營(yíng)商處獲得接入固定 IP為網(wǎng)關(guān)IP為。通過FW1上GE0/0/1端口連接內(nèi)部網(wǎng)絡(luò).接口地址為。建立IPSec隧道.使分部和總部可以互訪。. .第三章企業(yè)網(wǎng)絡(luò)安全解決實(shí)施3.1物理安全企業(yè)網(wǎng)絡(luò)中保護(hù)網(wǎng)絡(luò)設(shè)備的物理安全是其整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提.物理安全是指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。針對(duì)網(wǎng)絡(luò)的物理安全主要考慮的問題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪問控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理損壞和設(shè)備故障b.電磁輻射、乘機(jī)而入、痕跡泄漏等c.操作失誤、意外疏漏等選用合適的傳輸介質(zhì)屏蔽式雙絞線的抗干擾能力更強(qiáng) .且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地） .對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線 .并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑.從傳輸特性等分析.無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好.不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低.可靠性高.體積小和重量輕等特點(diǎn)。與雙絞線或同軸電纜不同的是光纖不輻射能量.能夠有效地阻止竊聽。保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格.對(duì)交流電的電壓和頻率.對(duì)電源波形的正弦性.對(duì)三相電源的對(duì)稱性.對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo).都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿足設(shè)備自身運(yùn)轉(zhuǎn)的要求.又要滿足網(wǎng)絡(luò)應(yīng)用的要求.必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性.保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。. .3.2企業(yè)網(wǎng)絡(luò)接入配置VLAN技術(shù)能有效隔離局域網(wǎng).防止網(wǎng)內(nèi)的攻擊.所以部署網(wǎng)絡(luò)中按部門進(jìn)行了VLAN劃分.劃分為以下兩個(gè) VLAN：業(yè)務(wù)部門 VLAN10 交換機(jī)SW1接入核心交換機(jī)財(cái)務(wù)部門 VLAN20 交換機(jī)SW2接入核心交換機(jī)核心交換機(jī) VLAN間路由 核心交換機(jī)HSW1核心交換機(jī)HSW1配置步驟:1) 建立VLAN10201002) GE0/0/1 加入vlan10,GE0/0/2 加入vlan30,GE0/0/24 加入vlan100建立SVI并配置相應(yīng)IP地址配置RIP路由協(xié)議：配置ACL拒絕其它部門對(duì)財(cái)務(wù)部訪問.outbound→GE0/0/2。詳細(xì)配置：#sysnameHSW1#info-centersourceDSchannel0logstateoff trapstateoff#vlanbatch1020100#clusterenablentdpenablendpenable#dropillegal-macalarm#. .dhcpenable#diffservdomaindefault#aclnumber3001#trafficclassifiertc1operatorandif-matchacl3001#trafficbehaviortb1deny#trafficpolicytp1classifiertc1behaviortb1#drop-profiledefault#ippoolqqww#ippoolvlan20#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1#

destination destination . .interfaceVlanif10dhcpselectglobal#interfaceVlanif20dhcpselectglobal#interfaceVlanif100#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan10#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan20traffic-policytp1outbound#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#. .interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22#interfaceGigabitEthernet0/0/23#interfaceGigabitEthernet0/0/24portlink-typeaccessportdefaultvlan100#interfaceNULL0#rip1version2##user-interfacecon0user-interfacevty04#port-groupde#return. .3.3網(wǎng)絡(luò)防火墻配置防火墻FW1基本配置步驟：配置GE0/0/0的IP地址并加入TRUST區(qū)域；配置GE0/0/1的IP地址并加入DMZ區(qū)域；配置GE0/0/2的IP地址并加入U(xiǎn)NTRUST區(qū)域；配置允許安全區(qū)域間包過濾。配置RIP路由協(xié)議：配置NAT.出口GE0/0/2。配置總部至分部的點(diǎn)到點(diǎn)IPSce隧道：配置ACL.匹配IPSec流量配置IPSec安全提議1配置IKE安全提議配置IKEPEER配置IPSec安全策略在接口GE0/0/2 上應(yīng)用策略詳細(xì)配置：CLI_VERSION=V300R001Lastconfigurationwaschangedat2016/05/1816:22:21fromconsole0#*****BEGIN****public****#stpregion-configurationregion-nameb05fe31530c0activeregion-configurationaclnumber3002#ikeproposal1. .#ikepeer1exchange-modeaggressivepre-shared-key%$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMT#interfaceGigabitEthernet0/0/1#interfaceGigabitEthernet0/0/2ipsecpolicymap#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100. .#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/2#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#aaalocal-useradminpasswordcipher%$%$I$6`RBf34,paQv9B&7i4*"vm%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#. .slb#right-managerserver-group#sysnameFW1#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewall packet-filter default permit interzone local dmz directionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#. .policyinterzonetrustuntrustinboundpolicy1actionpermit#policyinterzonetrustuntrustoutboundpolicy1actionpermit#policyinterzonetrustdmzinboundpolicy1actionpermit#policyinterzonetrustdmzoutboundpolicy1actionpermit#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nateasy-ipGigabitEthernet0/0/2#return#-----END----#防火墻FW2基本配置步驟如下：1) 配置GE0/0/0 的IP地址并加入U(xiǎn)NTRUST區(qū)域；配置GE0/0/1 的IP地址并加入TRUST區(qū)域；配置允許安全區(qū)域間包過濾。配置RIP路由協(xié)議：配置NAT.出口GE0/0/0。配置分部至總部的點(diǎn)到點(diǎn)IPSce隧道：配置ACL.匹配IPSec流量配置IPSec安全提議1配置IKE安全提議. .配置IKEPEER配置IPSec安全策略在接口GE0/0/2 上應(yīng)用策略詳細(xì)配置：CLI_VERSION=V300R001Lastconfigurationwaschangedat2016/05/1816:22:59fromconsole0#*****BEGIN****public****#stpregion-configurationregion-name405fd915c0bfactiveregion-configurationaclnumber3002ikeproposal1ikepeer1exchange-modeaggressivepre-shared-key%$%$;3C|#{7eS#uD2wS|"x<6+=4+%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipsecpolicymap#interfaceGigabitEthernet0/0/1. .#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50#aaalocal-useradminpasswordcipher%$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault. .#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameFW2#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#. .dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#policyinterzonetrustuntrustinboundpolicy1actionpermit#policyinterzonetrustuntrustoutboundpolicy1actionpermit#return#-----END----#3.4配置驗(yàn)證查看驗(yàn)證路由：. .. .連通性測(cè)試分部網(wǎng)絡(luò)至總部業(yè)務(wù)部網(wǎng)絡(luò)正常連通 .至服務(wù)器網(wǎng)絡(luò)正常連通：分部網(wǎng)絡(luò)至總部財(cái)務(wù)部網(wǎng)絡(luò)不能到達(dá)：. .3.5網(wǎng)絡(luò)防病毒措施針對(duì)網(wǎng)絡(luò)的現(xiàn)狀.在綜合考慮了公司對(duì)防病毒系統(tǒng)的性能要求、成本和安全性