1、揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院XXXX XXXX學(xué)年第 X 學(xué)期畢業(yè)設(shè)計(jì)課題名稱(chēng)： X X X X企業(yè)網(wǎng)絡(luò)安全實(shí)施 設(shè)計(jì)時(shí)間： 系 部： 班 級(jí)： 姓 名： 指導(dǎo)教師： 總目錄第一部分 任務(wù)書(shū)第二部分 開(kāi)題報(bào)告 第三部分 畢業(yè)設(shè)計(jì)正文第 一 部 分任務(wù)書(shū)揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)任務(wù)書(shū)系 部指導(dǎo)老師職稱(chēng)學(xué)生姓名班級(jí)學(xué)號(hào)設(shè)計(jì)題目XXXX企業(yè)網(wǎng)絡(luò)安全實(shí)施設(shè)計(jì)內(nèi)容目標(biāo)和要求一、畢業(yè)設(shè)計(jì)內(nèi)容和目標(biāo)：1、在基于各種網(wǎng)絡(luò)產(chǎn)品以及網(wǎng)絡(luò)操作系統(tǒng)和客戶(hù)機(jī)操作系統(tǒng)的條件下,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全。2、針對(duì)企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境，主要包括：網(wǎng)絡(luò)正常運(yùn)行、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)部署、數(shù)據(jù)庫(kù)及其它服務(wù)器資料不

2、被竊取、保護(hù)用戶(hù)賬號(hào)口令等個(gè)人資料不被泄露、對(duì)用戶(hù)賬號(hào)和口令進(jìn)行集中管理、對(duì)授權(quán)的個(gè)人限制訪(fǎng)問(wèn)功能、分配個(gè)人操作等級(jí)、進(jìn)行用戶(hù)身份認(rèn)證、服務(wù)器、PC機(jī)和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通訊服務(wù)、保證撥號(hào)用戶(hù)的上網(wǎng)安全等。二、畢業(yè)設(shè)計(jì)論文要求：1、提出選題的初步設(shè)想和研究目的；2、收集、整理與理論和實(shí)際有關(guān)的、完整的、準(zhǔn)確的信息資料； 3、使企業(yè)了解網(wǎng)絡(luò)安全危害和防范措施。教研室審核系部審核第 二 部 分開(kāi)題報(bào)告揚(yáng)州工業(yè)職業(yè)技術(shù)學(xué)院 電子信息工程系 10 屆畢業(yè)設(shè)計(jì)（論文）開(kāi)題報(bào)告書(shū)（表1）學(xué)生姓名專(zhuān)業(yè)班級(jí)學(xué)號(hào)題 目XXXX企業(yè)網(wǎng)絡(luò)安全實(shí)施指導(dǎo)教師職稱(chēng)

3、學(xué) 位題目類(lèi)別 工程設(shè)計(jì) 基礎(chǔ)研究 應(yīng)用研究 其它【課題的內(nèi)容與要求】1、在基于各種網(wǎng)絡(luò)產(chǎn)品以及網(wǎng)絡(luò)操作系統(tǒng)和客戶(hù)機(jī)操作系統(tǒng)的條件下,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)中設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全。2、針對(duì)企業(yè)網(wǎng)絡(luò)的運(yùn)行環(huán)境，主要包括：網(wǎng)絡(luò)正常運(yùn)行、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)部署、數(shù)據(jù)庫(kù)及其它服務(wù)器資料不被竊取、保護(hù)用戶(hù)賬號(hào)口令等個(gè)人資料不被泄露、對(duì)用戶(hù)賬號(hào)和口令進(jìn)行集中管理、對(duì)授權(quán)的個(gè)人限制訪(fǎng)問(wèn)功能、分配個(gè)人操作等級(jí)、進(jìn)行用戶(hù)身份認(rèn)證、服務(wù)器、PC機(jī)和Internet/Intranet網(wǎng)關(guān)的防病毒保證、提供靈活高效且安全的內(nèi)外通訊服務(wù)、保證撥號(hào)用戶(hù)的上網(wǎng)安全等?！厩把浴侩S著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都

4、認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)HYPERLINK :/ 選題，調(diào)研，收集資料2009年12月11日2009年12月30日 論證，開(kāi)題2010年01月01日2009年04月01日 寫(xiě)作初稿2010年04月02日2010年05月01日 修改，定稿，打印【參考文獻(xiàn)】1王達(dá).網(wǎng)管員必讀網(wǎng)絡(luò)安全.北京：機(jī)械工業(yè)出版社，2009.北京：機(jī)械工業(yè)出版社，20093 :/ 51cto 4王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng).北京：機(jī)械工業(yè)出版社，20095易建勛.計(jì)算機(jī)網(wǎng)絡(luò)

5、技術(shù).北京：人民郵電出版社，2007.6揚(yáng)衛(wèi)東.網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì).【指導(dǎo)教師意見(jiàn)】（有針對(duì)性地說(shuō)明選題意義及工作安排是否恰當(dāng)?shù)龋┩馓峤婚_(kāi)題論證 修改后提交 不同意提交（請(qǐng)說(shuō)明理由）指導(dǎo)教師簽章： 年 月 日 【系部意見(jiàn)】同意指導(dǎo)教師意見(jiàn) 不同意指導(dǎo)教師意見(jiàn)（請(qǐng)說(shuō)明理由） 其它（請(qǐng)說(shuō)明）隊(duì)系（部）主任簽章： 年 月 日第 三 部 分畢業(yè)設(shè)計(jì)正文海華光電企業(yè)網(wǎng)絡(luò)安全實(shí)施姓名：XXX專(zhuān)業(yè)：XXX摘 要網(wǎng)絡(luò)安全問(wèn)題伴隨著網(wǎng)絡(luò)的產(chǎn)生而產(chǎn)生，可以說(shuō)，有網(wǎng)絡(luò)的地方就存在著網(wǎng)絡(luò)安全隱患。像病毒入侵和黑客攻擊之類(lèi)的網(wǎng)絡(luò)安全事件，目前主要是通過(guò)網(wǎng)絡(luò)進(jìn)行的，而且?guī)缀趺繒r(shí)每刻都在發(fā)生，遍及全球。除此之外，還有

6、像惡意軟件入侵、攻擊，用戶(hù)的非法訪(fǎng)問(wèn)和操作，用戶(hù)郵件的非法截取和更改等都是普遍存在的安全事實(shí)。網(wǎng)絡(luò)安全事件所帶來(lái)的危害，相信我們每個(gè)計(jì)算機(jī)用戶(hù)都或多或少的地親身體驗(yàn)過(guò)一些：輕則使電腦系統(tǒng)運(yùn)行不正常，重則使整個(gè)計(jì)算機(jī)系統(tǒng)中的磁盤(pán)數(shù)據(jù)全盤(pán)覆滅，甚至導(dǎo)致磁盤(pán)、計(jì)算機(jī)等硬件的損壞。為了防范這些網(wǎng)絡(luò)安全事故的發(fā)生，每個(gè)計(jì)算機(jī)用戶(hù)，特別是企業(yè)網(wǎng)絡(luò)用戶(hù)，必須采取足夠的安全防范措施，甚至可以說(shuō)要在利益均衡情況下不息一切代價(jià)。但要注意，企業(yè)網(wǎng)絡(luò)安全策略的實(shí)施一項(xiàng)系統(tǒng)工程，它涉及許多方面。因此既要充分考慮到那些平時(shí)經(jīng)常提及的外部網(wǎng)絡(luò)威脅，又要對(duì)來(lái)自?xún)?nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)管理本身所帶來(lái)的安全隱患有足夠重視，不能孤立的看待任

7、何一個(gè)安全隱患和安全措施。因?yàn)檫@些安全隱患爆發(fā)的途徑是多方面的，而許多安全措施是相輔相成的。關(guān)鍵詞企業(yè)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)技術(shù) 網(wǎng)絡(luò)管理 信息安全Computer Network Security Analysis and ActualizeLiu ZhiWei0701 NETWORK TECHNOLOGYAbstract：Network security issues associated with the production network generated, can be said that there is a network where the network security ris

8、ks exist. Such as viruses and hacker attacks like network security incidents, the key through the network, and almost all the time in the event, around the world. In addition, there are like malicious software, attack, users of illegal access and operation, users of illegal interception of mail and

9、change the facts are all common security. Network security incidents harm, I believe we are more or less every computer user to know at some: ranging from the computer system does not run properly, while in the entire computer system in the overall disk data destruction, and even lead to disk, and c

10、omputer hardware damage .In order to prevent the occurrence of these network security incidents, each computer user, especially the corporate network users must take adequate safety precautions, it can be said to balance the interests of all costs under endless. But note that the implementation of e

11、nterprise network security policy of a system engineering, which involves many aspects. Therefore it is necessary to give full consideration to those usually referred to the external network threats frequently, but also from the internal network and network management brings its own security risks s

12、eriously enough, cannot be viewed in isolation of any safety hazards and safety measures. Because these security risks are many ways to break out, and many safety measures are complementary.Key words：Enterprise network security，network technology，network management， Information security目錄 TOC o 2-3

13、h z t 標(biāo)題 1,1 HYPERLINK l _Toc264018847 第一章 前 言 PAGEREF _Toc264018847 h 1 HYPERLINK l _Toc264018848 第二章 企業(yè)網(wǎng)絡(luò)安全概述 PAGEREF _Toc264018848 h 2 HYPERLINK l _Toc264018849 2.1 企業(yè)網(wǎng)絡(luò)的主要安全隱患 PAGEREF _Toc264018849 h 2 HYPERLINK l _Toc264018850 2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū) PAGEREF _Toc264018850 h 2 HYPERLINK l _Toc264018851 第三

14、章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析 PAGEREF _Toc264018851 h 4 HYPERLINK l _Toc264018852 3.1 企業(yè)網(wǎng)絡(luò)安全需求 PAGEREF _Toc264018852 h 4 HYPERLINK l _Toc264018853 3.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu) PAGEREF _Toc264018853 h 4 HYPERLINK l _Toc264018854 第四章 企業(yè)網(wǎng)絡(luò)安全解決措施 PAGEREF _Toc264018854 h 5 HYPERLINK l _Toc264018855 4.1 物理安全 PAGEREF _Toc264018855 h 5 HYPER

15、LINK l _Toc264018856 4.2 VLAN的功能和作用 PAGEREF _Toc264018856 h 6 HYPERLINK l _Toc264018857 4.3 企業(yè)VLAN劃分 PAGEREF _Toc264018857 h 7 HYPERLINK l _Toc264018858 4.4 防火墻技術(shù) PAGEREF _Toc264018858 h 10 HYPERLINK l _Toc264018859 4.4 VPN技術(shù) PAGEREF _Toc264018859 h 20 HYPERLINK l _Toc264018860 4.5 企業(yè)版殺毒軟件 PAGEREF _

16、Toc264018860 h 22 HYPERLINK l _Toc264018861 小結(jié)24 HYPERLINK l _Toc264018862 致謝 PAGEREF _Toc264018862 h 25 HYPERLINK l _Toc264018863 參考文獻(xiàn) PAGEREF _Toc264018863 h 26第一章 前言隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴(lài)性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)HYPERLINK :/ 企業(yè)網(wǎng)絡(luò)安全概述 企業(yè)網(wǎng)

17、絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪(fǎng)問(wèn)，同時(shí)企業(yè)網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，企業(yè)網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡(luò)黑客的攻擊。重要文件或郵件的非法竊取、訪(fǎng)問(wèn)與操作。關(guān)鍵部門(mén)的非法訪(fǎng)問(wèn)和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。針對(duì)這些安全隱患，所采取的安全策略可以通過(guò)安裝專(zhuān)業(yè)的網(wǎng)絡(luò)版病毒防護(hù)系統(tǒng)，同時(shí)也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，配置好防火墻過(guò)濾策略和系統(tǒng)本身的各項(xiàng)安全措施，及時(shí)安裝系統(tǒng)安全補(bǔ)丁，有條件

18、的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測(cè)、網(wǎng)絡(luò)嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡(luò)安全隔離系統(tǒng)，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行安全隔離；加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全管理，嚴(yán)格實(shí)行“最小權(quán)限”原則，為各個(gè)用戶(hù)配置好恰當(dāng)?shù)挠脩?hù)權(quán)限；同時(shí)對(duì)一些敏感數(shù)據(jù)進(jìn)行加密保護(hù)，對(duì)數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實(shí)際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。2.2 企業(yè)網(wǎng)絡(luò)的安全誤區(qū)安裝防火墻就安全了防火墻主要工作都是控制存取與過(guò)濾封包，所以對(duì)DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護(hù)。但如果攻擊行為不經(jīng)過(guò)防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在

19、網(wǎng)絡(luò)層。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)不進(jìn)行任何阻撓，而事實(shí)上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。在每臺(tái)計(jì)算機(jī)上安裝單機(jī)版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過(guò)安全中心控制整個(gè)網(wǎng)絡(luò)的客戶(hù)端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。只要不上網(wǎng)就不會(huì)中毒雖然不少

20、病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤(pán)以及U盤(pán)等也會(huì)存在著病毒。所以只要計(jì)算機(jī)開(kāi)著，就要防范病毒。文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過(guò)在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。網(wǎng)絡(luò)安全主要來(lái)自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶(hù)帳戶(hù)管理，如帳戶(hù)密碼、臨時(shí)帳戶(hù)、過(guò)期帳戶(hù)和權(quán)限等方面的管理非常必要了。第三章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析3.1 企業(yè)網(wǎng)絡(luò)安全需求企業(yè)根據(jù)業(yè)務(wù)

21、發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶(hù)機(jī)。企業(yè)分為財(cái)務(wù)部門(mén)和業(yè)務(wù)部門(mén)，需要他們之間相互隔離。同時(shí)由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。需要在防火墻設(shè)置相關(guān)的策略和其他一些安全策略。3.2 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)如圖3-1所示:圖3-1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)由于本企業(yè)是直接從電信接入IP為58.192.65.62 255.255.255.0，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。防火墻上做NAT轉(zhuǎn)換，分別給客戶(hù)機(jī)端的地址為.0 255.255.255.0。防火墻接客戶(hù)區(qū)端口地址為10.1.1.1 255.255.255.0。DMZ內(nèi)主

22、要有各類(lèi)的服務(wù)器，地址分配為10.1.2.0 255.255.255.0。防火墻DMZ區(qū)的接口地址為10.1.2.1 255.255.255.0。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入，如圖3-1。第四章 企業(yè)網(wǎng)絡(luò)安全解決措施4.1 物理安全物理安全是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞的過(guò)程。物理安全主要考慮的問(wèn)題是環(huán)境、場(chǎng)地和設(shè)備的安全及物理訪(fǎng)問(wèn)控制和應(yīng)急處置計(jì)劃等。物理安全在整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個(gè)方面：c.設(shè)備安全 物理安

23、全重要性和措施:保證機(jī)房環(huán)境安全信息系統(tǒng)中的計(jì)算機(jī)硬件、網(wǎng)絡(luò)設(shè)施以及運(yùn)行環(huán)境是信息系統(tǒng)運(yùn)行的最基本的環(huán)境。要從一下三個(gè)方面考慮：a.自然災(zāi)害、物理?yè)p壞和設(shè)備故障 b.電磁輻射、乘機(jī)而入、痕跡泄漏等 c.操作失誤、意外疏漏等選用合適的傳輸介質(zhì)屏蔽式雙絞線(xiàn)的抗干擾能力更強(qiáng)，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對(duì)于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線(xiàn)，并將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。光纖是超長(zhǎng)距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無(wú)論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠(yuǎn)、抗雷電和電磁的干擾性好保密性好，不易被竊聽(tīng)或被截獲數(shù)據(jù)、傳

24、輸?shù)恼`碼率很低，可靠性高，體積小和重量輕等特點(diǎn)。與雙絞線(xiàn)或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽(tīng)。保證供電安全可靠計(jì)算機(jī)和網(wǎng)絡(luò)主干設(shè)備對(duì)交流電源的質(zhì)量要求十分嚴(yán)格，對(duì)交流電的電壓和頻率，對(duì)電源波形的正弦性，對(duì)三相電源的對(duì)稱(chēng)性，對(duì)供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項(xiàng)指標(biāo)，都要求保持在允許偏差范圍內(nèi)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)既要滿(mǎn)足設(shè)備自身運(yùn)轉(zhuǎn)的要求，又要滿(mǎn)足網(wǎng)絡(luò)應(yīng)用的要求，必須做到保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命保證信息安全保證機(jī)房人員的工作環(huán)境。4.2 VLAN的功能和作用 一、VLAN介紹VLAN即虛擬局域網(wǎng)。VLAN是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶(hù)的邏輯分段

25、，不受網(wǎng)絡(luò)用戶(hù)的物理位置限制而根據(jù)用戶(hù)需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶(hù)的位置、作用、部門(mén)或者根據(jù)網(wǎng)絡(luò)用戶(hù)所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組。基于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問(wèn)題。一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò) VLAN用戶(hù)能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€(xiàn)路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶(hù)和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。 VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具

26、有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。二、VLAN優(yōu)點(diǎn)1、增加了網(wǎng)絡(luò)的連接靈活性借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶(hù)組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便。2、控制網(wǎng)絡(luò)上的安全VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶(hù)使用，減少?gòu)V播的產(chǎn)生。3、增加網(wǎng)絡(luò)的安全性因?yàn)橐粋€(gè)VLAN就是一個(gè)單獨(dú)的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò)的利用率，確保了網(wǎng)絡(luò)的安全保密性。三、VLAN分類(lèi)1、基于端口的VLAN；2、基于MAC地址的VLAN；3、基于第3層的

27、VLAN；4、基于策略的VLAN；4.3 企業(yè)VLAN劃分企業(yè)主要分兩個(gè)部門(mén)，所以只要?jiǎng)澐謨蓚€(gè)VLAN，分別為：財(cái)務(wù)部門(mén) VLAN 10 交換機(jī)S1接入交換機(jī)（神州數(shù)碼DCS-3950）業(yè)務(wù)部門(mén) VLAN 20 交換機(jī)S2接入交換機(jī)（神州數(shù)碼DCS-3950）核心交換機(jī) S3核心交換機(jī)（神州數(shù)碼DCRS-5526）S1配置如下:switchswitchenaswitch#conswitch(Config)#vlan 10switch(Config-Vlan10)#sw int e 0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswit

28、ch#conswitch(Config)#int e 0/0/24switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0/24 mode TRUNK successfullyswitch(Config-Ethernet0/0/24)#sw t a v aset the port Ethernet0/0/24 allowed vlan successfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ip dhcp pool vlan10switch(dhcp-vlan10-

29、config)#lease 3switch(dhcp-vlan10-config)#exitS2配置如下:SwitchSwitchenaSwitch#conswitch(Config)#vlan 20switch(Config-Vlan20)#sw int e 0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#int e 0/0/24switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0/24 mode TRUNK succ

30、essfullyswitch(Config-Ethernet0/0/24)#sw t a v aset the port Ethernet0/0/24 allowed vlan successfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ip dhcp pool vlan20switch(dhcp-vlan20-config)#lease 3switch(dhcp-vlan20-config)#exitS0配置如下:switchswitchenaswitch#switch#conswitch(Config)#hostname S0S

31、0(Config)#vlan 10S0(Config-Vlan10)#vlan 20S0(Config-Vlan20)#exitS0(Config)#int e 0/0/1-2S0(Config-Port-Range)#sw m tS0(Config-Port-Range)#sw t a v aS0(Config-Port-Range)#exitS0(Config)#int vlan 10S0(Config-If-Vlan10)#no shutdownS0(Config-If-Vlan10)#exitS0(Config)#int vlan 2000:04:23: %LINK-5-CHANGED

32、: Interface Vlan20, changed state to UP%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UPS0(Config-If-Vlan20)#no shutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#no shutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#show ip routeS0#conS0(Config)#ip route 58

33、.192.65.0 255.255.255.0 .14.4 防火墻技術(shù)一、防火墻介紹1、墻基本特征(1)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻(2)只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻(3)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力2、主要功能(1)創(chuàng)建阻塞點(diǎn)(2)隔離不同網(wǎng)絡(luò)，防止內(nèi)部信息的外泄(3)強(qiáng)化網(wǎng)絡(luò)安全策略(4)審計(jì)和記錄內(nèi)、外部網(wǎng)絡(luò)上的活動(dòng)(5)NAT，Proxy，VPN(6)流量控制和流量統(tǒng)計(jì)(7)TCP/IP終止，SSL終止(8)URL信息過(guò)濾(9)認(rèn)證，請(qǐng)求分析(10)用戶(hù)會(huì)話(huà)跟蹤，響應(yīng)模式匹配，行為建模二、防火墻體系結(jié)構(gòu)1、雙重宿主主機(jī)體系結(jié)構(gòu)防火墻的雙重宿主主

34、機(jī)體系結(jié)構(gòu)是指一臺(tái)雙重宿主主機(jī)作為防火墻系統(tǒng)的主體，執(zhí)行分離外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的任務(wù)，如圖4-1所示：圖4-1雙重宿主主機(jī)體系結(jié)構(gòu)2、被屏蔽主機(jī)體系結(jié)構(gòu)被屏蔽主機(jī)體系結(jié)構(gòu)是指通過(guò)一個(gè)單獨(dú)的路由器和內(nèi)部網(wǎng)絡(luò)上的堡壘主機(jī)共同構(gòu)成防火墻，主要通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)內(nèi)部、外部的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。 如圖4-2所示:圖 4-2 被屏蔽主機(jī)防火墻體系結(jié)構(gòu)3、被屏蔽子網(wǎng)體系結(jié)構(gòu)被屏蔽子網(wǎng)體系結(jié)構(gòu)防火墻的概念擴(kuò)充至一個(gè)有兩個(gè)路由器包圍起來(lái)的特殊網(wǎng)絡(luò)周邊網(wǎng)絡(luò)，并且將容易受到攻擊的堡壘主機(jī)都設(shè)置與這個(gè)周邊網(wǎng)絡(luò)中。如圖4-3所示:圖 4-3 被屏蔽子網(wǎng)體系結(jié)構(gòu)三、防火墻應(yīng)用規(guī)則1、企業(yè)網(wǎng)絡(luò)體系結(jié)構(gòu)(1)、企業(yè)網(wǎng)絡(luò)體系中

35、的三個(gè)區(qū)域邊界網(wǎng)絡(luò)。此網(wǎng)絡(luò)通過(guò)路由器直接面向Internet，應(yīng)該以基本網(wǎng)絡(luò)通信篩選的形式提供初始層面的保護(hù)。它通過(guò)外圍防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)到外圍網(wǎng)絡(luò)。外圍網(wǎng)絡(luò)。即DMZ，將用戶(hù)連接到Web服務(wù)器或其他服務(wù)器，然后，Web服務(wù)器通過(guò)內(nèi)部防火墻連接到內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)。連接各個(gè)內(nèi)部服務(wù)器（如企業(yè)OA服務(wù)器，ERP服務(wù)器等）和內(nèi)部用戶(hù)。(2)、企業(yè)組織中防火墻及其功能在企業(yè)組織中，常常有兩個(gè)不同的防火墻外圍防火墻和內(nèi)部防火墻，網(wǎng)絡(luò)結(jié)構(gòu)如圖4-4所示，雖然任務(wù)相似，但側(cè)重點(diǎn)不同，外圍防火墻主要提供對(duì)不受信任的外部用戶(hù)的限制，而內(nèi)部防火墻主要防止外部用戶(hù)訪(fǎng)問(wèn)內(nèi)部網(wǎng)絡(luò)并且限制內(nèi)部用戶(hù)可以執(zhí)行的操作。圖4-4

36、 外圍防火墻和內(nèi)部防火墻網(wǎng)絡(luò)結(jié)構(gòu)2、控制Internet用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)網(wǎng)絡(luò)結(jié)構(gòu)劃分為不同的安全級(jí)別，內(nèi)部用戶(hù)、外部用戶(hù)、DMZ區(qū)域。在以上3個(gè)區(qū)域中，用戶(hù)需要對(duì)不同的安全區(qū)域設(shè)置不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ都屬于企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分，但他們的安全級(jí)別是不同的，對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自Internet用戶(hù)的訪(fǎng)問(wèn)；而企業(yè)內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因是為Internet應(yīng)用提供相關(guān)的服務(wù)，所以在一定程度上，沒(méi)有內(nèi)部網(wǎng)絡(luò)的限制那么嚴(yán)格，必要時(shí)可在防火墻中配置NAT對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，保護(hù)內(nèi)網(wǎng)安全。在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上企事業(yè)單位可以有兩種選擇，這

37、主要是跟據(jù)企業(yè)原有網(wǎng)絡(luò)設(shè)備情況而定。如果企業(yè)原來(lái)已有邊界路由器則可充分利用原有設(shè)備，利用邊界路由器的包過(guò)濾功能，添加相應(yīng)的防火墻配置，這樣整個(gè)網(wǎng)絡(luò)就相當(dāng)于有兩重防火墻功能。對(duì)于需要對(duì)外提供服務(wù)的公用服務(wù)器。則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可以經(jīng)過(guò)包過(guò)濾路由器的簡(jiǎn)單防護(hù)，網(wǎng)絡(luò)結(jié)構(gòu)如圖4-5 所示。在此網(wǎng)絡(luò)結(jié)構(gòu)中邊界路由器與防火墻一起組成了兩道安全防線(xiàn)并且在這兩者之間可以設(shè)置一個(gè)DMZ 區(qū)用來(lái)放置那些允許外部用戶(hù)訪(fǎng)問(wèn)的公用服務(wù)器設(shè)施。圖4-5 包過(guò)濾路由器的簡(jiǎn)單防護(hù)網(wǎng)絡(luò)結(jié)構(gòu)如果企業(yè)原來(lái)沒(méi)有邊界路由器，而且也不打算添加邊界路由器，則此時(shí)僅需由防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。此時(shí)。DMZ 區(qū)域和需要

38、保護(hù)的內(nèi)部網(wǎng)絡(luò)連接防火墻的不同LAN 接口，網(wǎng)絡(luò)結(jié)構(gòu)如圖4-6 所示同時(shí)，設(shè)置不同的安全策略。這種拓?fù)浣Y(jié)構(gòu)雖然只有一道安全防線(xiàn)，但對(duì)于大多數(shù)中小型企業(yè)來(lái)說(shuō)完全可以滿(mǎn)足，不過(guò)在選購(gòu)防火墻時(shí)要注意防火墻定要有兩個(gè)以上的LAN 網(wǎng)絡(luò)接口。圖 4-6 防火墻來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)圖3、控制內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的訪(fǎng)問(wèn)這種應(yīng)用環(huán)境是指在個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)之間，對(duì)一些安全敏感的部門(mén)或者特殊主機(jī)進(jìn)行的隔離保護(hù)（當(dāng)然所隔離的也可以是個(gè)單獨(dú)的子網(wǎng)）。 通過(guò)防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)中敏感部門(mén)的資源不被非法訪(fǎng)問(wèn)。這些所謂的“敏感部門(mén)”通常是指決策部門(mén)、財(cái)務(wù)部門(mén)和研究設(shè)計(jì)部門(mén)，其數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)非常重要，不能隨變被非授權(quán)的內(nèi)網(wǎng)用戶(hù)訪(fǎng)

39、問(wèn)，但其工作又不能完全離開(kāi)企業(yè)網(wǎng)絡(luò)。一種方法是通過(guò)配置VLAN實(shí)現(xiàn)邏輯隔離。另一種有效方法就是采用防火墻進(jìn)行隔離。通過(guò)防火墻后，盡管同屬于一個(gè)內(nèi)部局域網(wǎng)，但是其他用戶(hù)的訪(fǎng)問(wèn)都需要經(jīng)過(guò)防火墻過(guò)濾，符合條件的用戶(hù)才能訪(fǎng)問(wèn)。不僅通過(guò)包過(guò)濾而且還可以設(shè)置ACL。 如圖 4-7所示：圖 4-7 防火墻保護(hù)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)圖4、控制對(duì)服務(wù)器中心的網(wǎng)絡(luò)訪(fǎng)問(wèn)對(duì)于一個(gè)服務(wù)器中心，如主機(jī)托管中心，其眾多服務(wù)器需要對(duì)第三方（ 合作伙伴、因特網(wǎng)用戶(hù)等）開(kāi)放，但是所有這些服務(wù)器分別屬于不同用戶(hù)所有，其安全策略也肯定各不相同。如果把它們都定義在同個(gè)安全區(qū)城中顯然不能滿(mǎn)足各用戶(hù)的不同需求，這時(shí)就要分別設(shè)置DMZ。要按不同安全策

40、略保護(hù)這些服務(wù)器，可以有兩種實(shí)施方案(1)、為每個(gè)企業(yè)用戶(hù)的服務(wù)器或服務(wù)器群?jiǎn)为?dú)配置一個(gè)獨(dú)立的防火墻，網(wǎng)絡(luò)結(jié)構(gòu)如圖4-8 所示.這種方案是一種最直接、最簡(jiǎn)單的方法，配置方法也最容易，但這種方案從經(jīng)濟(jì)上對(duì)托管中心來(lái)說(shuō)投資非常大，除非每個(gè)企業(yè)用戶(hù)的托管服務(wù)器都非常多。另外，托管中心管理員面對(duì)這么多防火墻，其管理工作量也相對(duì)而言較大。 圖 4-8 多防火墻方案的網(wǎng)絡(luò)結(jié)構(gòu)(2)、采用虛擬防火墻方式，網(wǎng)絡(luò)結(jié)構(gòu)如圖4-9所示，這主要是利用可網(wǎng)管交換機(jī)的VLAN（虛擬局域網(wǎng)）功能，為每一臺(tái)連接在交換機(jī)上的企業(yè)用戶(hù)服務(wù)器群配置成個(gè)單獨(dú)的VLAN子網(wǎng)，然后通過(guò)高性能防火墻針對(duì)每VLAN 子網(wǎng)配置過(guò)慮策略和安全規(guī)

41、則，就相當(dāng)干將一個(gè)高性能防火墻劃分為多個(gè)虛擬防火墻。這種方案雖然配置較為復(fù)雜，但是比較經(jīng)濟(jì)可行。圖 4-9 虛擬防火墻結(jié)構(gòu)示意圖四、企業(yè)防火墻策略企業(yè)使用的是神州數(shù)碼的DCFW-1800S UTM，里面包含了防火墻和VPN等功能。在防火墻NAT策略下面，新增NAT。如圖4-10:圖4-10 新增企業(yè)防火墻策略示意圖源域：untrust；源地址對(duì)象：any；目的域：trust；目的地址對(duì)象：any；在全局安全策略設(shè)置里面如圖4-11和圖4-12所示:圖4-11企業(yè)防火墻策略配置示意圖 圖 4-12 企業(yè)防火墻策略配置示意圖 圖4-13企業(yè)防火墻策略配置示意圖可以設(shè)置全局下面訪(fǎng)問(wèn)策略，以及域內(nèi)和域

42、間的訪(fǎng)問(wèn)策略。這里我們?cè)O(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域（trust），Inteneter為不信任區(qū)域（untrust），服務(wù)器區(qū)域?yàn)镈MZ區(qū)域。動(dòng)作包括permit允許，拒絕deny，以及其他的特定的服務(wù)。這里允許內(nèi)部訪(fǎng)問(wèn)外部和DMZ區(qū)域，而DMZ和Inteneter不允許訪(fǎng)問(wèn)內(nèi)部。但是處于中間位置的DMZ可以允許Inteneter的訪(fǎng)問(wèn)。所以要添加好幾條NAT策略。在網(wǎng)絡(luò)接口處如圖4-14所示:圖4-14 網(wǎng)絡(luò)接口處配置示意圖要配置3個(gè)以太網(wǎng)接口為up，安全區(qū)域分別為eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外網(wǎng)的eth0工作模式為路由模式，其余接DM

43、Z和內(nèi)部的都為NAT模式。如圖4-15所示:圖4-15 以太網(wǎng)接口配置示意圖同時(shí)為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：.1，eth2 10.1.2.1。4.4 VPN技術(shù)一、VPN介紹VPN （虛擬專(zhuān)用網(wǎng)絡(luò)）是指利用公共網(wǎng)絡(luò)建立私有專(zhuān)用網(wǎng)絡(luò)。數(shù)據(jù)通過(guò)安全的“加密隧道”在公共網(wǎng)絡(luò)中傳播。連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通信線(xiàn)路，就好比是架設(shè)了一條專(zhuān)線(xiàn)一樣，但是它并不需要真正地去鋪設(shè)光纜之類(lèi)的物理線(xiàn)路。VPN利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施為企業(yè)各部門(mén)提供安全的網(wǎng)絡(luò)互聯(lián)服務(wù)，能夠使運(yùn)行在VPN之上的商業(yè)應(yīng)用享有幾乎和專(zhuān)用網(wǎng)絡(luò)同樣的

44、安全性、可靠性、優(yōu)先級(jí)別和可管理性。企業(yè)只需要租用本地的數(shù)據(jù)專(zhuān)線(xiàn)，連接上本地的公共信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息。同時(shí)企業(yè)還可以利用公共信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶(hù)撥號(hào)到公眾信息網(wǎng)上，就可以安全地連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪(fǎng)問(wèn)擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。二、企業(yè)VPN實(shí)施企業(yè)VPN的實(shí)施主要也是通過(guò)上面的防火前實(shí)現(xiàn)的。如圖4-16,圖4-17所示:圖4-16 PPTP協(xié)議示意圖圖4-17 PPTP示意圖 如圖4-18所示:圖4-18 PPTP協(xié)議實(shí)現(xiàn)VPN示意圖在PPTP設(shè)置里面，選擇Chap加密認(rèn)證，加密方式mppe-128。DNS分別為61.177.7