編號：ABS20160501企業網絡設計方案關鍵字：網絡，平安，VPN，防火墻，防病毒班級：AY姓名：AY日期：2016-05-19

目錄摘要 1第一章企業網絡平安概述 21.1企業網絡的主要平安隱患 21.2企業網絡的平安誤區 2其次章企業網絡平安現狀分析 42.1公司背景 42.2企業網絡平安需求 42.3需求分析 42.4企業網絡結構 5第三章企業網絡平安解決實施 63.1物理平安 63.2企業網絡接入配置 73.3網絡防火墻配置 103.4配置驗證查看 183.5網絡防病毒措施 21總結 23摘要近幾年來，Internet技術日趨成熟，已經起先了從以供應和保證網絡聯通性為主要目標的第一代Internet技術向以供應網絡數據信息服務為特征的其次代Internet技術的過渡。這些都促使了計算機網絡互聯技術快速的大規模運用。眾所周知，作為全球運用范圍最大的信息網，Internet自身協議的開放性極大地便利了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對平安問題的忽視，以及在管理和運用上的無政府狀態，漸漸使Internet自身平安受到嚴峻威逼，與它有關的平安事故屢有發生。網絡平安的威逼主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統正常運行，利用網絡傳播病毒，線路竊聽等方面。因此本論文為企業構架網絡平安體系，主要運用vlan劃分、防火墻技術、vpn、病毒防護等技術，來實現企業的網絡平安。

第一章企業網絡平安概述1.1企業網絡的主要平安隱患現在網絡平安系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，同時企業網絡平安隱患的來源有內、外網之分，很多狀況下內部網絡平安威逼要遠遠大于外部網絡，因為內部中實施入侵和攻擊更加簡潔，企業網絡平安威逼的主要來源主要包括。病毒、木馬和惡意軟件的入侵。網絡黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關鍵部門的非法訪問和敏感信息外泄。外網的非法入侵。備份數據和存儲媒體的損壞、丟失。針對這些平安隱患，所實行的平安策略可以通過安裝專業的網絡版病毒防護系統，同時也要加強內部網絡的平安管理，配置好防火墻過濾策略和系統本身的各項平安措施，剛好安裝系統平安補丁，有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統，甚至配置網絡平安隔離系統，對內、外網絡進行平安隔離；加強內部網絡的平安管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密愛護，對數據還可以進行數字簽名措施；依據企業實際須要配置好相應的數據策略，并按策略仔細執行。1.2企業網絡的平安誤區安裝防火墻就平安了防火墻主要工作都是限制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以供應網絡周邊的平安防護。但假如攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，很多防火墻只是工作在網絡層。防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業網絡平安事務絕大部分還是源于企業內部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的實力總是滯后于該病毒的出現。在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效網絡版殺毒軟件核心就是集中的網絡防毒系統管理。網絡版殺毒軟件可以在一臺服務器上通過平安中心限制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡，管理特別便利，對于單機版是不行能做到的。只要不上網就不會中毒雖然不少病毒是通過網頁傳播的，但像QQ閑聊接發郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。文件設置只讀就可以避開感染病毒設置只讀只是調用系統的幾個吩咐，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享平安，放置誤刪除，還是比較有用的。網絡平安主要來自外部基于內部的網絡攻擊更加簡潔，不須要借助于其他的網絡連接方式，就可以干脆在內部網絡中實施攻擊。所以，加強內部網絡平安管理，特殊是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理特別必要了。

其次章企業網絡平安現狀分析2.1公司背景XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應用開發為主營項目的軟件企業。公司有一個局域網，約100臺計算機，服務器的操作系統是WindowsServer2008,客戶機的操作系統是Windows7，在工作組的模式下一人一機辦公。公司對網絡的依靠性很強，主要業務都要涉及互聯網以及內部網絡。隨著公司的發呈現有的網絡平安已經不能滿意公司的須要，因此構建健全的網絡平安體系是當前的重中之重。2.2企業網絡平安需求XX科技有限公司依據業務發展需求，建設一個小型的企業網，有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和業務部門，須要他們之間相互隔離。同時由于考慮到Inteneter的平安性，以及網絡平安等一些因素，如DDoS、ARP等。因此本企業的網絡平安構架要求如下：依據公司現有的網絡設備組網規劃愛護網絡系統的可用性愛護網絡系統服務的連續性防范網絡資源的非法訪問及非授權訪問防范入侵者的惡意攻擊與破壞愛護企業信息通過網上傳輸過程中的機密性、完整性防范病毒的侵害實現網絡的平安管理。2.3需求分析通過了解XX科技有限公司的需求與現狀，為實現XX科技有限公司的網絡平安建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的平安性，避開圖紙、文檔的丟失和外泄。通過軟件或平安手段對客戶端的計算機加以愛護，記錄用戶對客戶端計算機中關鍵書目和文件的操作，使企業有手段對用戶在客戶端計算機的運用狀況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此須要構建良好的環境確保企業物理設備的平安劃分VLAN限制內網平安安裝防火墻體系建立VPN(虛擬專用網絡)確保數據平安安裝防病毒服務器加強企業對網絡資源的管理2.4企業網絡結構網絡拓撲圖，如下圖所示:總部網絡狀況：防火墻FW1作為出口NAT設備，從網絡運營商處獲得接入固定IP為，網關IP為202.10.1.1/30，經由防火墻分為DMZ區域和trust區域。防火墻上FW1做NAT轉換。安排給trust區域的地址為.0/24,通過FW1上GE0/0/0端口連接網絡，接口/24。DMZ內主要有各類的服務器，地址安排為10.1.2.0/24。通過FW1上GE0/0/1端口連接網絡，接口地址為10.1.2.1/24。建立IPSec隧道，使總部和分支可以互訪。分部網絡狀況：防火墻FW2作為出口NAT設備，從網絡運營商處獲得接入固定IP為202.20.1.2/30，網關IP為202.20.1.1/30。通過FW1上GE0/0/1端口連接內部網絡，接口地址為10.1.1.1/24。建立IPSec隧道，使分部和總部可以互訪。

第三章企業網絡平安解決實施3.1物理平安企業網絡中愛護網絡設備的物理平安是其整個計算機網絡系統平安的前提，物理平安是指愛護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。針對網絡的物理平安主要考慮的問題是環境、場地和設備的平安及物理訪問限制和應急處置安排等。物理平安在整個計算機網絡信息系統平安中占有重要地位。它主要包括以下幾個方面：保證機房環境平安信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮：a.自然災難、物理損壞和設備故障b.電磁輻射、乘機而入、痕跡泄漏等c.操作失誤、意外疏漏等2)選用合適的傳輸介質屏蔽式雙絞線的抗干擾實力更強，且要求必需配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴峻的區域應運用屏蔽式雙絞線，并將其放在金屬管內以增加抗干擾實力。光纖是超長距離和高容量傳輸系統最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數據、傳輸的誤碼率很低，牢靠性高，體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻擋竊聽。3)保證供電平安牢靠計算機和網絡主干設備對溝通電源的質量要求特別嚴格，對溝通電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續性、牢靠性穩定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿意設備自身運轉的要求，又要滿意網絡應用的要求，必需做到保證網絡系統運行的牢靠性，保證設備的設計壽命保證信息平安保證機房人員的工作環境。3.2企業網絡接入配置VLAN技術能有效隔離局域網，防止網內的攻擊，所以部署網絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：業務部門VLAN10交換機SW1接入核心交換機財務部門VLAN20交換機SW2接入核心交換機核心交換機VLAN間路由核心交換機HSW1核心交換機HSW1配置步驟:建立VLAN1020100GE0/0/1加入vlan10,GE0/0/2加入vlan30,GE0/0/24加入vlan100建立SVI并配置相應IP地址:VVV配置RIP路由協議：NNN配置ACL拒絕其它部門對財務部訪問，outbound→GE0/0/2。具體配置：#sysnameHSW1#info-centersourceDSchannel0logstateofftrapstateoff#vlanbatch1020100#clusterenablentdpenablendpenable#dropillegal-macalarm#dhcpenable#diffservdomaindefault#aclnumber3001rule5denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15denyipsource20.0.0.00.255.255.255destination192.168.2.00.0.0.255#trafficclassifiertc1operatorandif-matchacl3001#trafficbehaviortb1deny#trafficpolicytp1classifiertc1behaviortb1#drop-profiledefault#ippoolqqwwgateway-list192.168.1.1network192.168.1.0mask255.255.255.0excluded-ip-address192.168.1.254#ippoolvlan20gateway-list192.168.2.1network192.168.2.0mask255.255.255.0excluded-ip-address192.168.2.200192.168.2.254#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-type#interfaceVlanif1#interfaceVlanif10ipaddress192.168.1.1255.255.255.0dhcpselectglobal#interfaceVlanif20ipaddress192.168.2.1255.255.255.0dhcpselectglobal#interfaceVlanif100ipaddress10.1.1.2255.255.255.0#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan10#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan20traffic-policytp1outbound#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#interfaceGigabitEthernet0/0/16#interfaceGigabitEthernet0/0/17#interfaceGigabitEthernet0/0/18#interfaceGigabitEthernet0/0/19#interfaceGigabitEthernet0/0/20#interfaceGigabitEthernet0/0/21#interfaceGigabitEthernet0/0/22#interfaceGigabitEthernet0/0/23#interfaceGigabitEthernet0/0/24portlink-typeaccessportdefaultvlan100#interfaceNULL0#rip1version2##user-interfacecon0user-interfacevty04#port-groupde#return3.3網絡防火墻配置防火墻FW1基本配置步驟：配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST區域；配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ區域；30，并加入UNTRUST區域；配置允許平安區域間包過濾。配置RIP路由協議：NN配置NAT，出口GE0/0/2。配置總部至分部的點到點IPSce隧道：配置ACL，匹配IPSec流量配置IPSec平安提議1配置IKE平安提議配置IKEPEER配置IPSec平安策略在接口GE0/0/2上應用策略具體配置：#CLI_VERSION=V300R001#Lastconfigurationwaschangedat2016/05/1816:22:21fromconsole0#*****BEGIN****public****##stpregion-configurationregion-nameb05fe31530c0activeregion-configuration#aclnumber3002rule5permitipsource192.168.0.00.0.255.255destination20.1.0.00.0.255.255rule10permitipsource10.1.0.00.0.255.255destination20.1.0.00.0.255.255#ikeproposal1#ikepeer1exchange-modeaggressivepre-shared-key%$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress10.1.1.1255.255.255.0#interfaceGigabitEthernet0/0/1ipaddress10.1.2.1255.255.255.0#interfaceGigabitEthernet0/0/2ipaddress202.10.1.2255.255.255.252ipsecpolicymap#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/2#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/1#aaalocal-useradminpasswordcipher%$%$I$6`RBf34,paQv9B&7i4*"vm%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameFW1#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#policyinterzonetrustuntrustinboundpolicy1actionpermit#policyinterzonetrustuntrustoutboundpolicy1actionpermit#policyinterzonetrustdmzinboundpolicy1actionpermit#policyinterzonetrustdmzoutboundpolicy1actionpermit#nat-policyinterzonetrustuntrustoutboundpolicy1actionsource-nateasy-ipGigabitEthernet0/0/2#return#END#防火墻FW2基本配置步驟如下：配置GE0/0/0的IP地址202.230，并加入UNTRUST區域；配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST區域；配置允許平安區域間包過濾。配置RIP路由協議：NN配置NAT，出口GE0/0/0。配置分部至總部的點到點IPSce隧道：配置ACL，匹配IPSec流量配置IPSec平安提議1配置IKE平安提議配置IKEPEER配置IPSec平安策略在接口GE0/0/2上應用策略具體配置：#CLI_VERSION=V300R001#Lastconfigurationwaschangedat2016/05/1816:22:59fromconsole0#*****BEGIN****public****##stpregion-configurationregion-name405fd915c0bfactiveregion-configuration#aclnumber3002rule5permitipsource20.1.0.00.0.255.255destination10.1.0.00.0.255.255rule10permitipsource20.1.0.00.0.255.255destination192.168.0.00.0.255.255#ikeproposal1#ikepeer1exchange-modeaggressivepre-shared-key%$%$;3C|#{7eS#uD2wS|"x<6+=4+%$%$ike-proposal1#ipsecproposal1#ipsecpolicymap1isakmpsecurityacl3002ike-peer1proposal1#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress202.20.1.2255.255.255.252ipsecpolicymap#interfaceGigabitEthernet0/0/1ipaddress20.1.1.1255.255.255.0#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/1#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/0#firewallzonedmzsetpriority50#aaalocal-useradminpasswordcipher%$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##rip1version2#nqa-jittertag-version1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameFW2#l2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy##web-managerenable#policyinterzonelocaluntrustinboundpolicy1actionpermit#policyinterzonelocaldmzinboundpolicy1actionpermit#policyinterzone