中南大學網絡教育學院畢業大作業學習中心：婁底學習中心 專業：計算機應用學生姓名： 楊璜 學號：09111510105001評定成績： 評閱老師：XXX企業網絡規劃和安全防護設計方案摘要：隨著各中小型企業的飛速發展，越來越多的企業的數據和信息交流使用網絡，但很多企業都忽視了對網絡的規劃和安全，導致各種各樣的問題及信息泄露。在這里結合XXX企業的網絡實例，淺談中小企業的網絡規劃，重點介紹中小企業的網絡安全中遇到的問題和解決方法。采用端口匯聚、MAC綁定、DHCP、WINDOWS2003及防火墻ISA2006、VPN及IPSEC加密進行網絡的安全防護。關鍵詞：網絡規劃、安全防護、數據加密、MAC綁定、DHCP、IPSEC網絡規劃動態、不斷演進的數據網絡環境來說，更強大的網絡連接是不變的需求。無論是企業或公共服務數據中心，都要盡可能保障網絡基礎設施能夠提供可擴展帶寬、冗余業務備份、靈活性、安全性并方便移動、增加和變更。為保障服務的可信賴性，數據中心必須使用高密度、方便使用與部署的高品質規劃系統。以XXX商場的網絡拓撲圖為例：如圖所示，通過三個主交換機，把公司的網絡分成三個主塊。一塊為收銀區域，一塊為辦公區，辦公區內又分樓層辦公區和五樓集中辦公區。每一個主交換機負責一塊區域。區域內的數據交換頻繁也不會影響到其它區域的數據交換。收銀區域為主交換機二負責，主要的數據交換為收銀數據和會員數據的交換流通。非常的時候，要以斷開主交換機二和主交換機連接，來保證收銀系統的正常。如辦公區域發生大范圍的中毒情況。此區域內連接了所以收銀需要的數據服務器（IBM服務器），會員服務器（CRM）。及需要和其它門店交換數據的線路（由H3C-MSR3016路由器轉2M的數字鏈路到其它門店）。并且每一層由一個樓層交換機控制一層的收銀臺，在出故障的時候能夠很快確認出在哪個樓層哪根線路。辦公區域包括各樓層辦公室和五樓集中辦公區，播音室、總服務臺、一個文件服務器（HP服務器）、一個防火墻和一個外網路由器及外網線路，并且用主交換機連接收銀區域和五樓集中辦公區域。此區域的機器可通過防火墻與外網聯接，滿足辦公區用戶對外網交換數據的需求。并且提供一臺文件服務器（HP服務器）進行文件共享交換。兩個區域的劃分，基本上把商場的收銀和辦公分開，數據各走一邊，存在少量的數據查詢也可通過主交換機到主交換二的線路，優化網絡流量；減少安全隱患。兩個區域間加一個防火墻進行數據過濾保護收銀區域及服務器區的安全，必要的時候可以完全斷開兩個區域來排查故障。而兩個區域的擴展也根據功能合理分工，明確用途。各設備的型號功能：設備名品牌型號備注主交換機樓層交換機TPLINK24+4G千兆二層全網管交換機TL-SL5428具備網管功能，各交換機之間用千兆線路連接。數據交換大時可以做端口匯聚H3C路由器H3C-MSR3016加光纖模塊連接2M光纖數字鏈路外網路由器TPLINKVPN路由器TL-R400VPNIBM服務器IBMSYSTEMP5小型機收銀數據CRM服務器HPHSTNS-5118刀片機會員數據HP服務器HPHSTNS-5118刀片機文件服務器及OA服務器防火墻普通柜式服務器裝WINDOWS2003和ISA防火墻軟件WIN2003SERVER+ISA2006收銀臺海信HK300-3100公司自制的收銀系統工作電腦聯想揚天M4300辦公電腦2M數字鏈路電信光纖與集團公司信息交換二、安全防護安全包括五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：確保信息不暴露給未授權的實體或進程。完整性：只有得到允許的人才能修改數據，并且能夠判別出數據是否可用性。可控性：可以控制授權范圍內的信息流向及行為方式。可審查性：對出現的網絡安全問題提供調查的依據和手段。現在計算機面臨威脅主要表現在以下幾個方面：1.內部竊密和破壞。內部人員可能對網絡系統形成下列威脅：內部涉密人員有意或無意泄密、更改記錄信息；內部非授權人員有意無意偷竊機密信息、更改網絡配置和記錄信息；內部人員破壞網絡系統。2．非法訪問。非法訪問指的是未經授使用網絡資源或以未授權的方式使用網絡資源，它包括非法用戶如黑客進入網絡或系統進行違法操作，合法用戶以未授權的方式進行操作。3．破壞信息的完整性。攻擊可能從三個方面破壞信息的完整性：改變信息流的次序、時序，更改信息的內容、形式；刪除某個消息或消息的某些部分；在消息中插入一些信息，讓收方讀不懂或接收錯誤的信息。4．截收。攻擊者可能通過搭線或在電磁波輻射的范圍內安裝截收裝置等方式，截獲機密信息，或通過對信息流和流向、通信頻度和長度等參數的分析，推出有用信息。它不破壞傳輸信息的內容，不易被查覺。5．冒充。攻擊者可能進行下列冒充：冒充領導發布命令、調閱文件；冒充主機欺騙合法主機及合法用戶；冒充網絡控制程序套取或修改使用權限、口令、密鑰等信息，越權使用網絡設備和資源；接管合法用戶、欺騙系統、占用合法用戶的資源。6．破壞系統的可用性。攻擊者可能從下列幾個方面破壞網絡系統的可用性：使合法用戶不能正常訪問網絡資源；使有嚴格時間要求的服務不能及時得到響應；摧毀系統。7．重演。重演指的是攻擊者截獲并錄制信息，然后在必要的時候重發或反復發送這些信息。8．抵賴。可能出現下列抵賴行為：發信者事后否認曾經發送過某條消息；發信者事后否認曾經發送過某條消息的內容；發信者事后否認曾經接收過某條消息；發信者事后否認曾經接收過某條消息的內容。9．其它威脅。對網絡系統的威脅還包括計算機病毒、電磁泄漏、各種災害、操作失誤等。（一）針對公司內部網安全方案：對于更改網絡設置和非法訪問，可在服務器、路由器、防火墻綁定所有網絡設備及收銀臺、工作電腦的MAC地址和IP一一對應。并建立DHCP服務，在用戶忘記自己網絡配置的情況下，可自動獲得授權的IP。剩余的空閑IP也進行鎖定，防止非授權機器進入網絡訪問。在訪問服務器及防火墻時需要授權的帳號及密碼。最重的是要在所有的網管型交換機上配置好每個端口通過的IP及MAC，IP和MAC跟端口不對應也拒絕訪問。破壞、截收、冒充、破壞、重演、抵賴。可以防火墻及服務器還有路由器上定義好用戶的權限，開啟日志記錄，記錄所有的用戶操作和信息數據。并在防火墻的ISA2006防火墻軟件中定義具體策略，允許或拒絕用戶的某些訪問。如下面圖1、圖2、圖3所示圖1圖2圖3經常查看日志可以查出隱患，并排除，因保密原因IP就隱藏了。病毒防治在公司人員混雜，個人的使用水平，U盤等交叉使用，上網查詢資料的情況下是非常重要的一環。有條件的企業，可以購買網絡版的殺毒軟件進行防護，例如金山、瑞星、江民等都有網絡版的殺毒軟件可以使用，在服務器上統一升級殺毒。沒有購買網絡殺毒的，也可考慮現在流行的幾款免費或收費單機殺毒軟件如360、金山等已經免費。對所有的工作人員進行培訓，介紹病毒防治的重要性、特征，和預防方法。多查看防火墻日志，了解并防止網絡病毒傳播。網絡風暴及ARP欺騙，則開啟網管型交換機里的風暴過濾及綁定MAC和IP對應端口。把風暴和欺騙終止在最底層交換機。外網入侵的防范在于隱藏IP和防火墻。在外網接口處用一路由器代理，外網只能直接訪問到外網，路由器開啟防止PING，和日志記錄，可以有效的防止對方的掃描有效IP，記錄攻擊的行為和源頭，進一步過濾。路由器后安裝一個防火墻，用策略封掉不需要使用的端口，如圖1所示。過濾訪問內網和內網出去的數據，甚至了過濾掉部份后綴名的文件傳入傳出如圖4所示。圖4可以有效的防止黑客入侵。養成查看日志的習慣可以提前防止攻擊的先兆。打好系統的補丁，防止黑客利用漏洞入侵。對于停電、電磁干擾如打雷、火災鼠患等防預：對于停電，需要安裝在線式UPS，防止停電造成的網絡中斷及數據丟失。電磁干擾需要安裝接地線，接地電阻必須少于4歐。火災鼠患，線路套防火套管，防止火燒和鼠咬。接電位置安裝短路安全開關，重要位置安裝火警報警裝置和安放消防器材。有條件的地方還可以用OrionNetworkPerformanceMonitor監控線路設備的使用情況，出現緊急情況可以短信第一時間發送到用戶手機上。7. 做好服務器及重要數據的備份，有條件的情況下，可以用磁帶機或外置硬盤把重 要數據備份。每天進行增量備份，每隔一定時間做一次完整備份，可以通過計 劃任務的形式進行定時處理。（二）針對外部線路的安全及加密：在網絡高速發展的今天，很多用戶需要在外地接入公司網絡進行辦公，子公司和集團公司的數據交換都需要從外部線路接入企業網絡。這就引出來更多的安全問題。數據怎么才不被人截取，如何保證數據的安全性，和公司網絡的保密性。在這里可以引用到VPN技術。在企業網絡里的ISA2006防火墻里啟用VPN撥入，針對公司的用戶設定VPN帳號，設定撥入的權限和IP分配。因為VPN是明碼發送，為了保證數據的安全，我們需要啟用IPSEC加密,保證數據的安全。如圖5所示。圖5客戶端的VPN設置以XP為例，如圖6所示：圖6在這里輸入服務端預定義的共享密鑰。或以證書的形式發放密鑰。這樣，客戶端與服務器的連接就是通過IPSEC加密了。XXX公司與集團公司的傳輸用的是2M數據鏈路。H3C-MSR3016路由器安裝DLC加密模式。通過DLC加密傳輸數據到集團公司。集團公司的對端通過DLC解密數據包達到交換數據的目的。也可以用WIN2003+ISA2006的遠程站點模式，通過IPSEC加密實現VPN局域網對局域網。如圖7所示：兩邊加密模式設置為一樣。分別輸入對端和本端的IP地址。這樣兩邊的WIN2003+ISA2006就起一個編碼轉碼的作用，實現兩個局域網的互通。并且可以在ISA防火墻策略里定義訪問規則來加強安全性。注：注意一點的是：IPSEC除了WINDOWS系統的客戶端和服務端外。其它系統和設備發出的的IPSEC加密數據包一般不能通過NAT路由器。也就是說VPN服務器前端不能有NAT路由器，不支持IPSEC數據包通過NAT路由器。在這里我使用的是WINDOWS2003+ISA2006做服務端，客戶端用XP自帶的VPN撥號，所以可以通過NAT路由。如需要用別的設備或系統VPN+IPSEC撥入。需要把VPN服務器前的NAT路由器去掉,把VPN服務端曝露在外網。觀點引用文獻：利用IPSec武裝NAT服務通過端口映射或者地址映射使用軟件：FPINGER5.0網絡拓撲圖軟件WINDOWS2003高級服務器版ISA2006防火墻和VPN服務器結束語現在網絡安全方面的產品有很多，比如有防火墻、殺毒軟件、入侵檢測系統，但黑客的非法入侵無孔不入。其根本原因是網絡自身的安全隱患無法根除。所以我們不要過份依賴工具和軟件，以人為本，加強自身的安全意識，規劃好網絡環境，對網絡安全能起到一個更好的防護作用。.面對不斷變化著的病毒和侵入，我們必須時刻提高警惕，不斷發展網絡安全技術，創造安全通暢的網絡環境。在完成本作業的過程中，我積極參與了XXX單位的網絡規劃設計工作，從其他工程師那里學到了大量實用的技術，將學校學到的理論應用到了實際的工程之中，從中受益匪淺，同時也要感謝婁底電大吳老師的細心指導，考慮到實際網絡應用的安全問題，本作業中具體的單位信息沒有公開，敬請諒解。名詞解釋：端口匯聚：TRUNK是端口匯聚的意思，就是通過配置軟件的設置，將2個或多個物理端口組合在一起成為一條邏輯的路徑從而增加在交換機和網絡節點之間的帶寬，將屬于這幾個端口的帶寬合并，給端口提供一個幾倍于獨立端口的獨享的高帶寬。Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，還可以是主機和交換機或路由器。基于端口匯聚（Trunk）功能，允許交換機與交換機、交換機與路由器、主機與交換機或路由器之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提供整個網絡能力。（引用百度百科/view/2054029.htm）數字鏈路：目前，很多企業在構建Intranet時，會更多的選擇基于光通信網絡傳遞信息的數字鏈路技術。數字鏈路的兩種認識：1、廣義上：一切以數字信號傳輸的，并采用時分復用技術提供線路分幀能力的數據傳輸鏈路技術。比如，DDN（數字數據網）技術和衛星微波數字通信技術2、狹義上：其實是數字傳輸鏈路技術的一種。對一光纖為骨干傳輸的，采用數字信號傳輸數據并使用時分復用技術提供線路分幀能力，可以承載多種傳輸協議并要求在傳輸時進行協議轉換的數據傳輸鏈路技術，稱為數字鏈路。連接拓撲：用戶設備-----協議轉換器-----局端光端機（ISP光傳輸網絡）（引用百度百科/view/4686941.htm）ISA2006：ISA（InternetSecurityAcceleration）目前的版本有ISA2000ISA2004ISA2006ISA2008，是一款微軟出品的著名路由級網絡防火墻。其主要功能有：1、防火墻（firewall）防火墻可以過濾進出內部網絡的流量，可以利用它來控制內部網絡與因特網之間的通信，以增加網絡的安全性。也可以用它安全地發布（publishing）企業內部的服務器，以便讓客戶與合作伙伴來分享內部網絡的資源，例如電子郵件服務器，網站等。除了一般的數據包篩選功能外，ISA還提供了許多應用程序篩選器，它可以針對應用程序來篩選數據包。2、虛擬專用網（VPN）虛擬專用網（VPN）可以讓遠程用戶與局域網(LAN)之間，或者是分別位于兩地的局域網之間，通過因特網來建立一個安全的通道。3、網頁緩存（webcache）通過將用戶經常訪問的網頁保存到ISA服務器的硬盤與內存，不但讓用戶更快的訪問網頁，同時也提高網絡資源的利用，節省網絡帶寬。（引用百度百科/view/13594.htm）在線式UPS：在市電正常時，市電經由突波吸收濾波電路→交流電轉換直流電電路→直流電轉換交流電電路→并轉換交流電輸出供應負載，并同時對電池充電；一旦微處理器控制電路偵測到市電中斷，則立即由電池放電→直流電轉換交流電電路→并轉換交流電輸出供應負載使用。如果，微處理器控制電路偵測到UPS故障，此時UPS會借由繼電器（RELAY）跳至旁路（BYPASS），由市電供應負載電力，并發出聲響警告使用者。（引用百度百科/view/3308310.htm）OrionNetworkPerformanceMonitor是完全的帶寬性能和故障管理軟件，從路由器、轉換器、服務器和其他SNMP設備中監控和收集數據，您可以直接從Web瀏覽器上觀察您網絡信息的實時統計表。另外，Orion還能監控CPU負載、內存利用率和可用硬盤空間。OrionNPM高度可升級，能夠監控10到10,000個網絡節點。VPN：虛擬專用網絡(VirtualPrivateNetwork，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、FrameRelay(幀中繼)等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。IPSEC：IPSec是安全聯網的長期方向。它通過端對端的安全性來提供主動的保護以防止專用網絡與Internet的攻擊。在通信中，只有發送方和接收方才是唯一必須了解IPSec保護的計算機。在WindowsXP和WindowsServer2003家族中，IPSec提供了一種能力，以保護工作組、局域網計算機、域客戶端和服務器、分支機構（物理上為遠程機構）、Extranet以及漫游客戶端之間的通信。參考文獻：利用IPSec武裝NAT服務通過端口映射或者地址映射/htmlnews/2009-04-02/92542.htmNAT技術可以通過端口映射或者地址映射，讓外部用戶能夠訪問企業內部的應用服務器;也可以把內部計算機隱藏起來，以加強其安全性。無論是哪一種功能，NAT服務器都是通過數據包包頭的地址與端口信息來實現的。即當數據包從企業內網通過NAT服務器傳到互聯網的時候，NAT服務器會改變數據包包頭中的信息。會把內網的IP地址信息轉變為NAT服務器的公網IP地址。但是，此時如果網絡管理員同時想用IPSec技術來加強NAT技術的安全，就會出現問題。因為IPSec機護送會檢查數據包的包頭信息。如果數據包的包頭信息被修改的話，則IPSec會認為這個包被篡改過，而丟棄。也就是說IPSec安全技術是不允許變更數據包的包頭。一、利用IPSec武裝NAT服務時可能遇到的問題描述IPSec技術主要采用AH(傳輸模式)或者ESP(隧道模式)兩種安全措施。傳輸模式會將所傳送的信息簽名。這個信息簽名主要用來確認收到的信息沒有被篡改，由此接收方可以確認信息確實是由索要通信的計算機發送過來的，從而防止欺騙攻擊以及傳送過程中信息被非法修改。隧道模式同傳輸模式一樣，也會對所需要傳送的信息簽名。不過他與隧道模式有一個很大的不同，就是隧道模式會對信息進行加密。但是傳輸模式卻不會對信息進行加密處理。但是無論采用哪種方式，IPSec都不允許在傳輸過程中對包頭信息進行更改。如在傳輸模式下，IPSec會將整個數據包簽名，也就是說在傳輸過程中若對數據包進行任何的更改，都會影響這個數據包的簽名信息。所以如果NAT服務器改變數據包內的IP地址或者端口信息，IPSec服務器就會將認為這個數據包被非法篡改了，而將此數據包視為無效而丟棄掉。如ESP傳輸或者隧道模式中，雖然ESP傳輸模式的原始IP包頭或者ESP隧道模式的新建隧道模式還是保留原狀，并沒有被IPSec技術簽名或者加密。但是數據包中的端口信息會被加密，因而NAT服務器無法讀取。所以雖然在這種情況下，NAT服務器可以改變在傳輸模式中的客戶端IP地址，或者是隧道模式中的端點計算機的IP地址，但是卻無法更改被IPSec技術加密過的端口信息。為此NAT服務器在此時也將無用武之地。雖然通訊計算機之間存在的所有路由器或交換機等網絡設備都會將加密的數據包轉發給它們的目的地。但是，如果這個傳輸路徑中有防火墻、安全路由器或代理服務器，就可能不會轉發IPSec技術加密過的數據包。此時必須配置這些設備以允許IPSec協議數據包經過。如果IPSec數據包未加密(即采用AH模式，只簽名不加密)，防火墻或安全路由器仍可以檢查端口或數據包中的其他內容。如果這些數據包的內容在發出之后被修改，那么接收計算機就會檢測出這種修改并丟棄這些數據包。UDP-ESP封裝在Windows服務器中，為了解決IPSec無法跨越NAT服務器的問題，專門設計了一套UDP-ESP封裝的方案。即支持將ESP模式的IPSec數據包，封裝到UDP包頭內的功能。由于ESP包頭被裝到UDP包頭內，數據包內的原始包頭與UDP包頭都沒有被加密與簽名，為此NAT服務器可以改變這個數據包的IP地址與UDP端口。微軟之所以所以使用UDP來封裝ESP數據包是因為UDP提供了最小標準的封裝，8比特就夠了。如果換做TCP封裝則需要20比特而且是面向無連接協議。TCP的建鏈和拆鏈過程會引入諸如RESET攻擊這類影響IPSec性能的負面效果。所以Windows服務器操作系統產品的IPSec技術實現為新的互聯網規范提供了支持。該規范允許網絡地址轉換器(NAT服務器)修改IPSec加密或者簽名過數據包。IPSec技術封裝安全有效負載(ESP)數據包可以越過允許UDP通信的NAT服務器。相關協議會自動檢測NAT服務器是否存在并使用用戶數據報協議(UDP-ESP)封裝來允許IPSec通信，允許其越過NAT服務器。為此如果要用IPSec技術來武裝NAT服務的話，必須同時滿足兩個條件。一是IPSec通信的雙方計算機都必須支持這種UDP-ESP封裝的數據包，即能夠辨識UDP目的端口為800、后面跟著八個0的這種格式的數據據包。二是IPSec必須采用ESP模式。目前只有ESP模式支持UDP-ESP封裝。通常無情況下，NAT服務器上的IPSec功