企業(yè)網(wǎng)絡安全方案課程設計.doc

此文檔收集于網(wǎng)絡，如有侵權(quán)，請聯(lián)系網(wǎng)站刪除小組成員：企業(yè)網(wǎng)絡安全方案課程設計此文檔僅供學習與交流摘要近年來，中國卷煙市場日益開放，面對激烈的國際競爭，如何控制成本和提升服務質(zhì)量已經(jīng)成為國內(nèi)卷煙公司與外來競爭對手抗衡的重要手段。計算機網(wǎng)絡安全系統(tǒng)集成技術(shù)已在不同的行業(yè)、不同的規(guī)模、不同的層次上得到了應用，不同的應用對應著不同的網(wǎng)絡平臺。從使用的角度來看，依據(jù)客戶實際的業(yè)務狀況，謀求最佳的安全方案顯得越來越重要。當前煙草企業(yè)依靠傳統(tǒng)技術(shù)改造提升企業(yè)競爭力已經(jīng)成為歷史，而借助網(wǎng)絡安全技術(shù)，全面實現(xiàn)企業(yè)信息化，提升企業(yè)綜合競爭能力，已成為煙草企業(yè)的必然選擇。按照國家煙草局“卷煙上水平”的基本方針和戰(zhàn)略任務，應積極發(fā)揮信息化技術(shù)在產(chǎn)業(yè)中的作用。信息化發(fā)展的前提就是要準確把握行業(yè)的規(guī)劃和要求，從技術(shù)、應用、發(fā)展對信息化體系進行分析，這就要求系統(tǒng)集成人員用大量的時間進行用戶調(diào)查，分析應用，反復論證方案，使用戶能夠得到一體化的解決方案。企業(yè)計算機網(wǎng)絡安全系統(tǒng)是根據(jù)其行業(yè)具體情況與當今網(wǎng)絡先進技術(shù)相結(jié)合的成功開發(fā)案例之一，本規(guī)劃是結(jié)合企業(yè)計算機網(wǎng)絡系統(tǒng)的建設與實施，探討網(wǎng)絡安全規(guī)劃的內(nèi)容。隨著信息化的發(fā)展，Internet的迅速膨脹，煙草行業(yè)競爭由為激烈，加上現(xiàn)如今企業(yè)技術(shù)中心業(yè)務量的飛速增長，對內(nèi)對外信息安全交流越來越重要，同時為響應全國煙草行業(yè)網(wǎng)的建設要求，所以企業(yè)建設安全的局域網(wǎng)是非常必要的。目錄第1章 背景描述1第2章 需求分析1第3章 邏輯設計、物理設計23.1 拓撲結(jié)構(gòu)圖23.2 劃分IP地址23 .3 交換機配置33.4路由器配置53.5物理設計圖6第4章 網(wǎng)絡總體方案設計及其特點6第5章 網(wǎng)絡結(jié)構(gòu)設計7第6章 布線方案8第7章 安全策略87.1 防火墻的工作原理97.2 防火墻的分類和技術(shù)原理以及典型體系結(jié)構(gòu)9第8章 設備選擇13第9章 網(wǎng)絡規(guī)劃、設計和集成原則16第10章 軟件選擇與配置17第11章 布線方案18第12章 設備清單19總結(jié)19參考文獻20第1章 背景描述某企業(yè)擬實施CIMS（現(xiàn)代集成制作系統(tǒng)）規(guī)劃，需建立企業(yè)網(wǎng)絡系統(tǒng)，設計全場經(jīng)營、政工、技改、財務、質(zhì)量、生產(chǎn)、銷售、后勤等部門，主要分布在辦公樓和生產(chǎn)廠區(qū)、占地0.4 平方公里，廠外有少量銷售點。辦公樓為6 層，需聯(lián)網(wǎng)計算機96 臺。企業(yè)庫區(qū)距廠區(qū)直線距離約2 公里，有20 臺計算機。在全市范圍內(nèi)設有6 個廠外銷售部，每個銷售部有1020 臺計算機不等。另外有編輯全市的銷售點近百個，每個銷售點有1 臺計算機。網(wǎng)絡規(guī)劃要求：（1) 網(wǎng)絡系統(tǒng)連接的站點覆蓋主廠區(qū)、庫區(qū)及廠外銷售部，遠程通信遍及市內(nèi)全部銷售網(wǎng)點，并為今后同外單位及國際互聯(lián)網(wǎng)的通信連接做好基礎準備工作。各銷售點可以考慮采用ISDN撥入的方式。（2) 支持分布式數(shù)據(jù)庫應用，以實現(xiàn)全廠的MIS 和面向決策的綜合信息查詢系統(tǒng)和決策支持系統(tǒng)（在廠部和廠外銷售部都有數(shù)據(jù)庫），各銷售點的計算機根據(jù)地域的劃分分別與就近的銷售部和廠部的數(shù)據(jù)庫相連。（3) 綜合考慮系統(tǒng)可靠性、實用性、開放性、先進性和經(jīng)濟性。（4) 以當前需求為主，兼顧發(fā)展的需要。（5) 支持企業(yè)的Intranet 和與Internet的連接。第2章 需求分析2.1 網(wǎng)絡覆蓋面積大，銷售點計算機機分布范圍廣。煙草公司在地理分布上面積廣,部分微機比較集中,大部分的微機只需要在局域網(wǎng)內(nèi)運行，網(wǎng)絡拓撲結(jié)構(gòu)決定整體采用星型結(jié)構(gòu)。各設備和各節(jié)點連接到中心交換機上，形成星型結(jié)構(gòu)。為什么采用星形拓撲結(jié)構(gòu)？ 控制簡單。任何一站點只和中央節(jié)點相連接，因而介質(zhì)訪問控制方法簡單，致使訪問協(xié)議也十分簡單。易于網(wǎng)絡監(jiān)控和管理。故障診斷和隔離容易。中央節(jié)點對連接線路可以逐一隔離進行故障檢測和定位，單個連接點的故障只影響一個設備，不會影響全網(wǎng)。方便服務。中央節(jié)點可以方便地對各個站點提供服務和網(wǎng)絡重新配置。2.2 支持企業(yè)的Intranet 和與Internet 的連接。2.3 支持分布式數(shù)據(jù)庫應用。 采用分布式數(shù)據(jù)庫的優(yōu)點： 具有靈活的體系結(jié)構(gòu)。適應分布式的管理和控制機構(gòu)。經(jīng)濟性能優(yōu)越。系統(tǒng)的可靠性高、可用性好。局部應用的響應速度快?？蓴U展性好，易于集成現(xiàn)有的系統(tǒng)。2.4 CIMS系統(tǒng)（現(xiàn)代集成制造系統(tǒng)）的網(wǎng)絡吞吐量大。 CIMS基本出發(fā)點： 企業(yè)的各種生產(chǎn)經(jīng)營活動是不可分割的，要統(tǒng)一考慮。 整個生產(chǎn)制造過程實質(zhì)上是信息的采集、傳遞和加工處理的過程實施CIMS的生命周期可分為五個階段：項目準備需求分析總體解決方案設計系統(tǒng)開發(fā)與實施運行及維護2.5 結(jié)構(gòu)化布線。 網(wǎng)絡是將獨立的設備連接在一起，并使它們可以共享信息和資源的連接系統(tǒng)。正確的設計和實施一個網(wǎng)絡系統(tǒng)可以提高通信的速度和可靠性，從而使得一個系統(tǒng)工作起來更加富有效率。網(wǎng)絡的建設應該滿足已公布的國家和國際標準的要求，并應能夠根據(jù)商業(yè)要求的改變進行不斷的進化和升級。2.6 實現(xiàn)所有部門的聯(lián)接。第3章 邏輯設計、物理設計3.1 拓撲結(jié)構(gòu)圖3.2 劃分IP地址本規(guī)劃中申請一個C類地址：/24進行IP地址分配。/24用于連接因特網(wǎng)的服務器。并在其下劃分IP用于其他網(wǎng)絡。辦公樓：/24：/2426/24廠庫房：28/24：29/2454/24 六個銷售部：/272/27：3-2 4/27：5-4 6/27：7-26 28/27：29-58 60/27：61-90 92/27：93-22銷售點：28/24：29/2454/243 .3 交換機配置3.3.1配置二層交換機在二層交換機上添加VLANS1enableS1#vlan databaseS1(vlan)#vlan 100S1(vlan)# exitS1#configure terminalS1(config)#interface fastethernet 0/1S1(config-if)#swicthport mode trunkS1(config-if)#swicthport trunk encapsulation dot1qS1(config-if)#exitS1(config)#interface fastethernet 0/2S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS1(config)#interface fastethernet 0/3S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS2enableS2#vlan databaseS2(vlan)#vlan 200S2(vlan)#exitS2#configure terminalS2(config)#interface fastethernet 0/1S2(config-if)#swicthport mode trunkS2(config-if)#swicthport trunk encapsulation dot1qS2(config-if)#exitS2(config)#interface fastethernet 0/2S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exitS2(config)#interface fastethernet 0/3S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exit在二層交換機上配置口令：S2(config)#enable password cisco S2(config)#line vty 0 5S2(config-line)#password ciscoS2(config-line)#loginS2#write 3.3.2配置三層交換機在三層交換機上添加VLAN，并設置各VLAN的虛擬三層地址，同時設置與二層交換機相連的端口為Trunk模式S3enableS3#vlan databaseS3(vlan)#vlan 100S3(vlan)#vlan 200S3(vlan)#exitS3#configure terminalS3(config)#interface vlan 100S3(config-if)#ip address S3(config-if)#exitS3(config)#interface vlan 200S3(config-if)#ip address S3(config-if)#exitS3(config)#interface fastethernet 0/1S3(config-if)#swicthport mode trunkS3(config-if)#swicthporttrunkencapsulationdot1qS3(config-if)#exitS3(config)#interface fastethernet 0/2S3(config-if)#swicthport mode trunkS3(config-if)#swicthport trunk encapsulation dot1qS3(config-if)#exit啟動三層交換機的IP路由轉(zhuǎn)發(fā)功能（請在啟動IP路由功能5分鐘后再進行ping連通測試）S3(config)#ip routing3.4路由器配置有一個內(nèi)部全局地址，這個 地址配置在路由器的s0/0接口上。路由器的配置如下：routerenrouter#conf trouter(config)#ip nat pool naptout netmask router(config)#access-list 1 permit 55router(config)#ip nat inside source list 1 pool naptout overloadrouter(config)#int f0/0router(config-if)#ip add router(config-if)#ip nat insiderouter(config-if)#no shutdownrouter(config)#int s0/0router(config-if)#ip add router(config-if)#ip nat outsiderouter(config-if)#no shutdown3.5物理設計圖第4章 網(wǎng)絡總體方案設計及其特點煙草公司在地理分布上面積廣,部分微機比較集中,大部分的微機只需要在局域網(wǎng)內(nèi)運行、只有辦公樓需要接入廣域網(wǎng)等情況，決定整體采用星型結(jié)構(gòu)。 各設備和各節(jié)點連接到中心交換機上，形成星型結(jié)構(gòu)。企業(yè)庫、六個銷售部及其附屬銷售點連接到辦公樓，再由辦公樓接入廣域網(wǎng)。企業(yè)庫需要連接到主干網(wǎng)上，以保證CIMS系統(tǒng)的正常運行。銷售部及其附屬銷售點對于數(shù)據(jù)傳輸?shù)囊笙鄬^低。系統(tǒng)設計采用千兆主干以太網(wǎng)、快速交換式以太網(wǎng),客戶機/服務器模式。使用一臺中心交換機。二級交換機、各服務器通過全雙工的線路與中心交換機相連。服務器采用容錯技術(shù)，雙機備份。在公司的辦公樓建立網(wǎng)絡中心，配置一個WINDOWS 2000 SERVER服務器作為整個網(wǎng)絡的控制中心。網(wǎng)絡中心配置交換機和網(wǎng)管系統(tǒng)。另配置一個廣域網(wǎng)的路由器接入廣域網(wǎng)公司內(nèi)部微機總數(shù)為306臺，同時考慮有可能擴展，因此，申請兩個C類地址。辦公樓及庫區(qū)共同使用一個C類地址。銷售處及附屬銷售點共同使用一個C類地址。4.1公司主干網(wǎng)設計主干網(wǎng)選用千兆以太網(wǎng)（1000Base-T），原因：以太網(wǎng)應用普及?？勺o性好，可以實現(xiàn)平滑、無需中斷的升級。兼容性好。4.2公司區(qū)域網(wǎng)設計對于各區(qū)域的局域網(wǎng)（辦公樓、廠庫區(qū)及各銷售部），可以采用100Base-T。原因：實用性、經(jīng)濟性、網(wǎng)絡系統(tǒng)可升級性。對于辦公樓、廠庫區(qū)由于信息量需求大,決定構(gòu)建交換式局域網(wǎng)。交換技術(shù)本身秘具備的端口帶寬的獨立性,從根本上提高了整個局域網(wǎng)的帶寬能力。4.3安全設計出于安全的考慮，要安裝防火墻，在辦公樓與廣域網(wǎng)的端口處設置防火墻，另外辦公樓內(nèi)的每臺微機都設置防火墻。廠庫區(qū)、各銷售處連出的端口也要設置防火墻。各銷售點的微機都要設置防火墻。第5章 網(wǎng)絡結(jié)構(gòu)設計5.1 辦公樓網(wǎng)絡設計辦公樓分為六層，共有計算機96臺，屬于計算機相對集中的地方。辦公樓對網(wǎng)絡的實時性和信息量要求較高，構(gòu)建100Base-T交換式局域網(wǎng)。每層計算機由一接入層交換機相聯(lián)后與主干網(wǎng)相連。每臺聯(lián)網(wǎng)計算機均使用100M網(wǎng)卡。5.2 企業(yè)庫區(qū)網(wǎng)絡設計企業(yè)庫區(qū)內(nèi)微機相對集中，網(wǎng)絡吞吐量大，并且需要與辦公樓相連接，進行通信以協(xié)調(diào)生產(chǎn)過程。因而，也構(gòu)建100Base-T交換式局域網(wǎng)，同樣由一交換機相聯(lián)后，1000M端口與主干網(wǎng)相連，計劃使用光纖。每臺聯(lián)網(wǎng)微機均使用100M網(wǎng)卡。5.3銷售處網(wǎng)絡設計銷售處和銷售點微機分散，100左右銷售點，分布在全市各處，每處有微機一臺。各銷售處微機相對較為分散，對信息的傳輸量也不是太大。6個銷售處，每個有微機10-20臺，可由一以太網(wǎng)交換機相連后，通過DDN專線與主干網(wǎng)相連。每臺聯(lián)網(wǎng)微機使用10M網(wǎng)卡，并附帶有Modem，以防備DDN志線可能出現(xiàn)故障。每個銷售處的微機，可以租用郵電部門的DDN專線，連接到公司主干網(wǎng)。各銷售點的微機分布范圍廣，數(shù)據(jù)傳輸量不大，可以考慮采用ASDL撥入的方式。5.4 銷售點網(wǎng)絡設計各銷售點微機分散，100左右銷售點，分布在全市各處，每處有微機一臺。利用現(xiàn)有的資源，通過電話線撥號上網(wǎng)，連接主干網(wǎng)。每臺微機均使用Modem聯(lián)網(wǎng)。第6章 布線方案采用結(jié)構(gòu)化布線:結(jié)構(gòu)化布線系統(tǒng)是一個能夠支持任何用戶選擇的話音、數(shù)據(jù)、圖形圖像應用的電信布線系統(tǒng)。系統(tǒng)應能支持話音、圖形、圖像、數(shù)據(jù)多媒體、安全監(jiān)控、傳感等各種信息的傳輸，支持UTP、光纖、STP、同軸電纜等各種傳輸載體，支持多用戶多類型產(chǎn)品的應用，支持高速網(wǎng)絡的應用。（1）水平布線。采用五類非屏蔽雙絞線。為了便于部門的二級網(wǎng)點的增加，各部門采用一個交換機，連接各計算機和工作站。（2）垂直布線。各部門間的交換機與主干網(wǎng)相連，采用光纖傳輸。構(gòu)成1000M交換式以太網(wǎng)。（3）管理子系統(tǒng)。管理子系統(tǒng)設置在樓層分配線設備的房間內(nèi)。管理間子系統(tǒng)應由交接間的配線設備，輸入/輸出設備等組成，也可應用于設備間子系統(tǒng)中。管理子系統(tǒng)應采用單點管理雙交接。交接場的結(jié)構(gòu)取決于工作區(qū)、綜合布線系統(tǒng)規(guī)模和選用的硬件。在管理規(guī)模大、復雜、有二級交接間時，才設置雙點管理雙交接。在管理點，應根據(jù)應用環(huán)境用標記插入條來標出各個端接場。（4）設備子系統(tǒng)。設備間是在每一幢大樓的適當?shù)攸c設置進線設備，進行網(wǎng)絡管理以及管理人員值班的場所。設備間子系統(tǒng)應由綜合布線系統(tǒng)的建筑物進線設備、電話、數(shù)據(jù)、計算機等各種主機設備及其保安配線設備等組成。每個系統(tǒng)的設備都集中一起控制，為系統(tǒng)用各種不同線纜區(qū)別開來，綜合布線系統(tǒng)全部語音和數(shù)據(jù)一纜集中在中心機房的機柜中，有、收發(fā)器設備與接入網(wǎng)連接，根據(jù)用戶的需求進行安排。結(jié)構(gòu)化布線系統(tǒng)特點：（1）實用性：能支持多種數(shù)據(jù)通信、多媒體技術(shù)及信息管理系統(tǒng)等，能夠適應現(xiàn)代和未來技術(shù)的發(fā)展。（2）靈活性：任意信息點能夠連接不同類型的設備，如微機、打印機、終端、服務器、監(jiān)視器等。（3）開放性：能夠支持任何廠家的任意網(wǎng)絡產(chǎn)品，支持任意網(wǎng)絡結(jié)構(gòu)，如總線形、星形、環(huán)型等。（4）模塊化：所有的接插件都是積木式的標準件，方便使用、管理和擴充。（5）擴展性：實施后的結(jié)構(gòu)化布線系統(tǒng)是可擴充的，以便將來有更大需求時，很容易將設備安裝接入。（6）經(jīng)濟性：一次性投資，長期受益，維護費用低，使整體投資達到最少。第7章 安全策略在辦公樓與廣域網(wǎng)的端口處設置防火墻，另外辦公樓內(nèi)的每臺微機都設置防火墻。廠庫區(qū)、各銷售處連出的端口也要設置防火墻。各銷售點的微機都要設置防火墻。服務器采用容錯技術(shù)，雙機備份。7.1 防火墻的工作原理防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻 的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時記錄有關(guān)的聯(lián)接來源、服務器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。 防火墻的功能： 能夠防止非法用戶進入內(nèi)部網(wǎng)絡。 可以很方便地監(jiān)視網(wǎng)絡的安全性，并報警。 可以作為部署 NAT（Network Address Translation，網(wǎng)絡地址變換）的地點，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應起來，用來緩解地址空間短缺的問題。 可以連接到一個單獨的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署 WWW服務器和FTP服務器，將其作為向外部發(fā)布內(nèi)部信息的地點。從技術(shù)角度來講，就是所謂的非軍事區(qū)（DMZ）。7.2 防火墻的分類和技術(shù)原理以及典型體系結(jié)構(gòu) 目前防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：包過濾技術(shù)：包過濾技術(shù)是一種基于網(wǎng)絡層的防火墻技術(shù)。根據(jù)設置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實際上是一種基于路由器的技術(shù)，其最大優(yōu)點就是價格便宜，實現(xiàn)邏輯簡單便于安裝和使用。缺點是過濾規(guī)則難以配置和測試。包過濾只訪問網(wǎng)絡層和傳輸層的信息，訪問信息有限，對網(wǎng)絡更高協(xié)議層的信息無理解能力。對一些協(xié)議，如UDP和RPC難以有效的過濾。代理技術(shù)：代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡之間設置一個“中間檢查站”，兩邊的網(wǎng)絡應用可以通過這個檢查站相互通信，但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器，它運行在兩個網(wǎng)絡之間，對網(wǎng)絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實的服務器上，并將答復再轉(zhuǎn)發(fā)給用戶。代理服務器是針對某種應用服務而寫的，工作在應用層。優(yōu)點是它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)。缺點是在應用支持方面存在不足，執(zhí)行速度較慢。狀態(tài)監(jiān)視技術(shù)：這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點。能對網(wǎng)絡通信的各層實行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關(guān)的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通 過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在 過濾數(shù)據(jù)包上更有效。 狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。復合型防火墻：由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務系統(tǒng)的功能和特點綜合起來，構(gòu)成復合型防火墻系統(tǒng)。所用主機稱為堡壘主機，負責代理服務。各種類型的防火墻都有其各自的優(yōu)缺點。當前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個混合的多級防火墻，以提高防火墻的靈活性和安全性?；旌闲头阑饓σ话悴捎靡韵聨追N技術(shù):動態(tài)包過濾。內(nèi)核透明技術(shù)。用戶認證機制。內(nèi)容和策略感知能力。內(nèi)部信息隱藏。智能日志、審計和實時報警。防火墻的交互操作性等。 firewall zone name userzone創(chuàng)建一個安全區(qū)域，進一個已建立的安全區(qū)域視圖時不需要用關(guān)鍵字。set priority 60 設置優(yōu)先級add interface GigabitEthernet0/0/1 把接口添加進區(qū)域dis zone userzone顯示區(qū)域配置信息 FWpolicy interzone trust untrust outbound FW-policy-interzone-trust-untrust-outboundpolicy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enableSRGfirewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址綁定配置firewall mac-binding 00e0-fc00-0100FW2firewall zone untrustFW2-zone-untrustadd interface g0/0/0FW2firewall packet-filter default permit interzone trust untrust FW2firewall packet-filter default permit interzone local untrustIPSec相關(guān)配置：先配置ACL：acl number 3000rule 5 permit ip source 55 destination 55 1、配置安全提議，封閉使用隧道模式，ESP協(xié)議，ESP使用DES加密算法，完整性驗證使用SHA1算法。FW1ipsec proposal tran1encapsulation-mode tunneltransform espesp authentication-algorithm sha1esp encryption-algorithm des 2、配置IKE安全提議FW1ike proposal 10authentication-algorithm sha1 encryption-algorithm des 3、配置IKE對等體，使用IKEV2協(xié)商方式。FW1ike peer fw12 對方可以取名fw21。ike-proposal 10remote-address pre-shared-key abcde 4、配置安全策略FW1ipsec policy map1 10 isakmpsecurity acl 3000proposal tran1ke-peer fw12如果要針對源 IP 設置安全策略，則該IP應該是做源 NAT轉(zhuǎn)換前的 IP 配置安全策略FWpolicy interzone trust untrust outboundFW-policy-interzone-trust-untrust-outboundpolicy 1FW-policy-interzone-trust-untrust-outboundaction permitFW-policy-interzone-trust-untrust-outboundpolicy source 55port-mapping ftp port 803 acl 2010 端口映射，把FTP映射為803。interzone dmz untrustdetect ftp 與IDS聯(lián)運配置 firewall ids authentication type md5 key huawei123 firewall ids server 0 firewall ids port 3000 firewall ids enable負載均衡slb enableslbrserver 1 rip rserver 2 rip SRGfirewall packet-filter default permit interzone local dmz direction outbound 允許健康檢查報文在防火墻Localt和DMZ域間出方向流動。group kdkd metric weightrr 加權(quán)輪詢算法。addrserver 1 addrserver 4 addrserver 5 vserver huawei vip 1 group kdkdNAT配置nat address-group 1 SRGnat-policy interzone untrust trust inbound policy 1 action source-natpolicy source address-group 1 no-pat /使用地址池 1 做 NAT No-PAT 轉(zhuǎn)換配置 easy-ip nat-policy interzone trust untrust outbound policy 1 action source-nat source-address 55 easy-ip GigabitEthernet0/0/3 /源 NAT 轉(zhuǎn)換后的公網(wǎng) IP 為接口 GE0/0/3 的 IP配置 Smart NAT#nat address-group 1mode no-pat /模式要選擇 no-patsmart-nopat 1 /預留一個 IP 做 NAPTsection 1 0 0 /section 中不能包含預留 IP！#policy interzone trust untrust outboundpolicy 1action permitpolicy source 55policy source 55#nat-policy interzone trust untrust outboundpolicy 1action source-nataddress-group 1policy source 55policy source 55端口映射 nat server protocol tcp global 41 ftp inside ftp firewall defend smurf enable 啟動Smurf防攻擊功能(ICMP)。 firewall defend fraggle enable 啟動fraggle防攻擊功能(UDP,1或19端口)。 firewall defend land enable 源地址和目的地址相同或源地址為環(huán)回地址（）。 防火墻作為出口網(wǎng)關(guān)，雙出口、雙 ISP 接入公網(wǎng)時，配置 NAT Server 通常需要一分為二， 讓一個私網(wǎng)服務器向兩個 ISP 發(fā)布兩個不同的公網(wǎng)地址供訪問。一分為二的方法有兩種：第一種是將接入不同 ISP 的公網(wǎng)接口規(guī)劃在不同的安全區(qū)域中，配置 NAT Server 時，帶上zone 參數(shù)，使同一個服務器向不同安全區(qū)域發(fā)布不同的公網(wǎng)地址。FW nat server zone untrust1 protocol tcp global 9980 inside 80FW nat server zone untrust2 protocol tcp global 9980 inside 80第二種是將接入不同 ISP 的公網(wǎng)接口規(guī)劃在同一個安全區(qū)域中，配置 NAT Server 時，帶上no-reverse 參數(shù)，使同一個服務器向同一個安全區(qū)域發(fā)布兩個不同的公網(wǎng)地址。FW nat server protocol tcp global 9980 inside 80 no-reverseFW nat server protocol tcp global 9980 inside 80 no-reverseFW1 nat server protocol tcp global 9980 inside 80 vrrp 1 解決配了雙機熱備防火墻1P 地址沖突的問題第8章 設備選擇8.1 網(wǎng)卡選擇各處的微機都必須需要網(wǎng)卡，共需要306個。網(wǎng)卡選擇金浪KN-8139DS+,它支持10M/100M，性價比較高。設備介紹：適用網(wǎng)絡類型：以太網(wǎng)網(wǎng)線接口類型：RJ45傳輸介質(zhì)類型：3類或3類以上屏蔽或非屏蔽雙絞線傳輸模式：全雙工/半雙工自適應主芯片：Realtek芯片8.2 Modem各銷售處及其各銷售點都必須要使用Modem, 共計190臺。選擇創(chuàng)新56K型Modem,它屬于56K內(nèi)置Modem,其性價比較高。設備介紹：類型：普通撥號 類別：外置型接口類型：USB1.0接口傳輸速率：56Kbps 傳輸協(xié)議：V.90/K56flex芯片：Rockwell傳真協(xié)議：V.17，V.29，Group 3，Class 1 語音功能：語音信箱，自動回復 其他技術(shù)：拔號上網(wǎng)，自動收發(fā)傳真 操作系統(tǒng)：Windows 98/2000/XP/Vista 8.3 交換機（1）核心交換機：選擇高性能的交換機，在這里選擇CISCO WS-C3750X-24T-L交換機。它可以在簡單低價的平臺上提供高性能、多功能的千百萬兆以太網(wǎng)交換，方便升級。設備介紹：產(chǎn)品類型：千兆以太網(wǎng)交換機 應用層級：三層 傳輸速率：10/100/1000Mbps背板帶寬：160Gbps包轉(zhuǎn)發(fā)率：65.5Mpps交換方式：存儲轉(zhuǎn)發(fā)擴展模塊：1個堆疊擴展插槽傳輸模式：全雙工/半雙工自適應端口數(shù)量：24口端口類型：24個以太網(wǎng)10/100/1000端口工作溫度()0-40）工作濕度10%-90%（非凝結(jié)）存儲溫度()-20-70）存儲濕度10%-90%（非凝結(jié)）（2） 對于辦公樓、廠庫區(qū)、銷售處的交換機，采用CISCO WS-C2950-24。CISCO WS-C2950-24圖示：設備介紹：設備類型：快速以太網(wǎng)交換機端口數(shù)量：24配置形式：可堆疊交換方式：存儲轉(zhuǎn)發(fā)背板帶寬：8.8GbpsVLAN支持：支持傳輸模式：全雙工傳輸速率（Mbps）：10/100端口類型：10/100Base-TMAC地址表：8000尺寸(mm) 44524244重量(Kg) 3.0網(wǎng)管功能：SNMP管理信息庫(MIB)II，SNMP MIB擴展，橋接MIB(RFC1493)。網(wǎng)絡標準 IEEE 802.1x、IEEE 802.3x、IEEE 802.1D、IEEE 802.1p CoS、IEEE 802.1Q、IEEE 802.3ab、IEEE 802.3u、IEEE802.3。8.4 路由器此網(wǎng)絡可采用CISCO 1721路由器。設備介紹：設備類型：訪問路由器是否有線：有線有線路由器速度：100Mbps有線傳輸率: 10/100/1000MbpsVPN支持：支持內(nèi)置防火墻：是固定廣域網(wǎng)接口：可選廣域網(wǎng)接口WIC卡固定局域網(wǎng)接口：10/100Base-T/TX支持擴展模塊數(shù)：1適用對象：企業(yè)級路由器 模塊化接入路由器8.5 服務器（1）中心服務器選擇高性能的服務器，以提高網(wǎng)絡性能。采用：IBM xSeries 365 6682-6RX。設備介紹：CPU頻率：3000MHz處理器描述:標準2個CPU支持CPU個數(shù):4CPU二級緩存:4096KB主板擴展槽：6內(nèi)存內(nèi)存類型：PC2100 DDR Chipkill最大內(nèi)存容量：32GB存儲硬盤類型/描述：SCSIIDE控制器：Ultra ATA 33/66/100SCSI控制器：雙通道Ultra 320 SCSI光驅(qū)：24X軟驅(qū)：1.44MB 3.5英寸電源性能電源：熱插拔電源功率：970W工作濕度：8% - 80%儲存溫度：-20 - 60儲存濕度：5% - 95% （2）各職能服務器技術(shù)服務器采用：Acer Altos G700B。功能介紹：產(chǎn)品類型：工作組級產(chǎn)品結(jié)構(gòu)：5UCPU型號：Intel XeonCPU頻率：0.533/0.4GHz最大CPU數(shù)量：4顆主板芯片組：ServerWorksGC-SL擴展槽：264位133MHz PCI-X插槽；264位100MHz PCI-X插槽；164位66MHz PCI插槽；132位33MHz PCI插槽內(nèi)存類型：DDR；SDRAM內(nèi)存容量：1GB最大內(nèi)存容量：4GB硬盤接口類型：SCSI標配硬盤容量：36光驅(qū)：DVD軟驅(qū)：1.44MB 3.5英寸IDE控制器：雙通道RAID卡SCSI控制器：Ultra 320 SCSI系統(tǒng)支持：Microsoft Windows NT Server 4.0,Microsoft Windows 2000 Server,Novell NetWare 5.1,SCO UnixWare 7.1.1,Red Hat Linux v7.1電源數(shù)量：1+1個電源電壓：220V產(chǎn)品尺寸：425mm (高) X 216mm (寬) X 670mm (深)工作溫度：5 - 35（）工作濕度：20% - 80%儲存溫度：-20 - 60（）儲存濕度：5% - 95%8.6 傳輸介質(zhì)局域網(wǎng)內(nèi)采用5類非屏蔽雙絞線，主干網(wǎng)采用光纖。第9章 網(wǎng)絡規(guī)劃、設計和集成原則企業(yè)總體技術(shù)架構(gòu)主要是由行業(yè)數(shù)據(jù)中心和行業(yè)應用集成平臺以及信息標準、信息安全和運維組成，共同構(gòu)成支撐應用系統(tǒng)運行的基礎環(huán)境。其技術(shù)架構(gòu)的核心內(nèi)容是數(shù)據(jù)交換、數(shù)據(jù)共享、資源管理、應用集成。因此，在企業(yè)計算機網(wǎng)絡系統(tǒng)的設計，開發(fā)及系統(tǒng)集成等環(huán)節(jié)中必須具有全面細致的系統(tǒng)規(guī)劃，方案可行性分析等工作。（1）因為企業(yè)網(wǎng)對實時性的可靠性的要求很高，所以企業(yè)的計算機網(wǎng)絡系統(tǒng)的系統(tǒng)設計要遵循以下原則：最優(yōu)化原則。適應企業(yè)的發(fā)展特點及網(wǎng)絡通訊設備的發(fā)展趨勢，在主機選擇、網(wǎng)絡結(jié)構(gòu)設計、網(wǎng)絡設備配置、網(wǎng)絡管理方式、應用開發(fā)等方面具有一定的先進性。系統(tǒng)設計既要方便用戶現(xiàn)有的流程及習慣，又要體現(xiàn)出系統(tǒng)優(yōu)化后的適用性和優(yōu)越性?？煽啃栽瓌t。企業(yè)的生產(chǎn)運營有其自身固有的一些特點，對數(shù)據(jù)信息的實用性、安全性要求較高各部門業(yè)務相互關(guān)聯(lián)。因此，具有高可靠性和強大有效的容錯能力是系統(tǒng)設計的重要前提。網(wǎng)絡設計時應當充分考慮系統(tǒng)的冗余。主機，網(wǎng)絡系統(tǒng)應滿足不斷優(yōu)化、平滑升級的要求，以保護用戶的投資。系統(tǒng)遵循國際標準，工業(yè)界流行的通行協(xié)議及接口和企業(yè)行業(yè)標準，開放性能好。（2）低投入，高效益原則。結(jié)合網(wǎng)絡布線系統(tǒng)及實際網(wǎng)絡應用的需求，進行網(wǎng)絡總體規(guī)劃。要考慮網(wǎng)絡的可擴充性，易管理等要求。在一定的資金資源下，盡量有效的節(jié)約成本，提高效率，建立一個盡可能高水平、完善的計算機網(wǎng)絡系統(tǒng)。（3）先進性與現(xiàn)實性。該廠的信息量大，要求網(wǎng)絡有一定的效率。而且，公司業(yè)務可能會擴展，系統(tǒng)的任務會更艱巨，所以，要求有先進性與現(xiàn)實性。（4）系統(tǒng)與軟件的可靠性（5）系統(tǒng)的安全性與保密性 數(shù)據(jù)的多級管理，優(yōu)良的分級授權(quán)安全保密機制也是非常必要的。第10章 軟件選擇與配置10.1 操作系統(tǒng)服務項目器選擇Windows 2000 Advanced Server。（1）有良好的開放性,支持各種軟硬件平臺。包括所有先進企業(yè)和各種應用程序和工具。如：Oracle,SAP R/3。（2）豐富實用的系統(tǒng)管理功能如：網(wǎng)絡活動的記錄與追蹤、資源利用效率的統(tǒng)計分析、網(wǎng)絡流量監(jiān)視功能、任務管理功能、管理向?qū)А＃?）強大的Web功能內(nèi)置的IIS（Internet Information Server 2.0)。內(nèi)置的Microsoft Front Page主頁工具，幫助你很容易設置與管理Web站點。Microsoft Index Server提供HTML與其它各種文件的完整索引、查詢功能。（4）豐富的網(wǎng)絡服務動態(tài)主機配置服務 DHCP（Dynamic Host Configuration Protocol）。域名系統(tǒng)DNS（Domain Name Service）。WINS (Windows Internet Name Service)。遠程訪問服務RAS（Remote Access Service）。（5）支持多種網(wǎng)絡協(xié)議。10.2 數(shù)據(jù)庫本公司業(yè)務處理量大，安全性高，要求有快速的業(yè)務處理能力。由于各個經(jīng)營部有不同的地理位置，范圍分布廣，在分布處理業(yè)務的同時，必須有集中管理機制。因此，數(shù)據(jù)庫應該有強大的分布式處理能力。另外，數(shù)據(jù)庫必須有內(nèi)置的用戶權(quán)限，實現(xiàn)服務器端的安全控制。根據(jù)以上特點，決定采用ORACLE數(shù)據(jù)庫，ORACLE SERVER 。ORACLE SERVER是一個智能可編程的RDBMS，是ORACLE 數(shù)據(jù)庫系統(tǒng)的真正核心。它有以下特點：（1）支持聯(lián)機事務。（2）由服務器集中實現(xiàn)數(shù)據(jù)完整幾天的檢查和控制。（3）支持分布式查詢和更新。10.3 網(wǎng)絡管理軟件采用CISCO的Works Blue SNA View 3。0網(wǎng)管軟件。第11章 布線方案11.1 采用結(jié)構(gòu)化布線方案。綜合布線系統(tǒng)是一個模塊化、靈活性極高的建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)，是建筑物內(nèi)的“信息高速公路”。它既