企業(yè)網(wǎng)絡(luò)安全方案課程設(shè)計(jì).doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系網(wǎng)站刪除小組成員：企業(yè)網(wǎng)絡(luò)安全方案課程設(shè)計(jì)此文檔僅供學(xué)習(xí)與交流摘要近年來，中國卷煙市場日益開放，面對激烈的國際競爭，如何控制成本和提升服務(wù)質(zhì)量已經(jīng)成為國內(nèi)卷煙公司與外來競爭對手抗衡的重要手段。計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)集成技術(shù)已在不同的行業(yè)、不同的規(guī)模、不同的層次上得到了應(yīng)用，不同的應(yīng)用對應(yīng)著不同的網(wǎng)絡(luò)平臺。從使用的角度來看，依據(jù)客戶實(shí)際的業(yè)務(wù)狀況，謀求最佳的安全方案顯得越來越重要。當(dāng)前煙草企業(yè)依靠傳統(tǒng)技術(shù)改造提升企業(yè)競爭力已經(jīng)成為歷史，而借助網(wǎng)絡(luò)安全技術(shù)，全面實(shí)現(xiàn)企業(yè)信息化，提升企業(yè)綜合競爭能力，已成為煙草企業(yè)的必然選擇。按照國家煙草局“卷煙上水平”的基本方針和戰(zhàn)略任務(wù)，應(yīng)積極發(fā)揮信息化技術(shù)在產(chǎn)業(yè)中的作用。信息化發(fā)展的前提就是要準(zhǔn)確把握行業(yè)的規(guī)劃和要求，從技術(shù)、應(yīng)用、發(fā)展對信息化體系進(jìn)行分析，這就要求系統(tǒng)集成人員用大量的時(shí)間進(jìn)行用戶調(diào)查，分析應(yīng)用，反復(fù)論證方案，使用戶能夠得到一體化的解決方案。企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)是根據(jù)其行業(yè)具體情況與當(dāng)今網(wǎng)絡(luò)先進(jìn)技術(shù)相結(jié)合的成功開發(fā)案例之一，本規(guī)劃是結(jié)合企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實(shí)施，探討網(wǎng)絡(luò)安全規(guī)劃的內(nèi)容。隨著信息化的發(fā)展，Internet的迅速膨脹，煙草行業(yè)競爭由為激烈，加上現(xiàn)如今企業(yè)技術(shù)中心業(yè)務(wù)量的飛速增長，對內(nèi)對外信息安全交流越來越重要，同時(shí)為響應(yīng)全國煙草行業(yè)網(wǎng)的建設(shè)要求，所以企業(yè)建設(shè)安全的局域網(wǎng)是非常必要的。目錄第1章 背景描述1第2章 需求分析1第3章 邏輯設(shè)計(jì)、物理設(shè)計(jì)23.1 拓?fù)浣Y(jié)構(gòu)圖23.2 劃分IP地址23 .3 交換機(jī)配置33.4路由器配置53.5物理設(shè)計(jì)圖6第4章 網(wǎng)絡(luò)總體方案設(shè)計(jì)及其特點(diǎn)6第5章 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)7第6章 布線方案8第7章 安全策略87.1 防火墻的工作原理97.2 防火墻的分類和技術(shù)原理以及典型體系結(jié)構(gòu)9第8章 設(shè)備選擇13第9章 網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)和集成原則16第10章 軟件選擇與配置17第11章 布線方案18第12章 設(shè)備清單19總結(jié)19參考文獻(xiàn)20第1章 背景描述某企業(yè)擬實(shí)施CIMS（現(xiàn)代集成制作系統(tǒng)）規(guī)劃，需建立企業(yè)網(wǎng)絡(luò)系統(tǒng)，設(shè)計(jì)全場經(jīng)營、政工、技改、財(cái)務(wù)、質(zhì)量、生產(chǎn)、銷售、后勤等部門，主要分布在辦公樓和生產(chǎn)廠區(qū)、占地0.4 平方公里，廠外有少量銷售點(diǎn)。辦公樓為6 層，需聯(lián)網(wǎng)計(jì)算機(jī)96 臺。企業(yè)庫區(qū)距廠區(qū)直線距離約2 公里，有20 臺計(jì)算機(jī)。在全市范圍內(nèi)設(shè)有6 個(gè)廠外銷售部，每個(gè)銷售部有1020 臺計(jì)算機(jī)不等。另外有編輯全市的銷售點(diǎn)近百個(gè)，每個(gè)銷售點(diǎn)有1 臺計(jì)算機(jī)。網(wǎng)絡(luò)規(guī)劃要求：（1) 網(wǎng)絡(luò)系統(tǒng)連接的站點(diǎn)覆蓋主廠區(qū)、庫區(qū)及廠外銷售部，遠(yuǎn)程通信遍及市內(nèi)全部銷售網(wǎng)點(diǎn)，并為今后同外單位及國際互聯(lián)網(wǎng)的通信連接做好基礎(chǔ)準(zhǔn)備工作。各銷售點(diǎn)可以考慮采用ISDN撥入的方式。（2) 支持分布式數(shù)據(jù)庫應(yīng)用，以實(shí)現(xiàn)全廠的MIS 和面向決策的綜合信息查詢系統(tǒng)和決策支持系統(tǒng)（在廠部和廠外銷售部都有數(shù)據(jù)庫），各銷售點(diǎn)的計(jì)算機(jī)根據(jù)地域的劃分分別與就近的銷售部和廠部的數(shù)據(jù)庫相連。（3) 綜合考慮系統(tǒng)可靠性、實(shí)用性、開放性、先進(jìn)性和經(jīng)濟(jì)性。（4) 以當(dāng)前需求為主，兼顧發(fā)展的需要。（5) 支持企業(yè)的Intranet 和與Internet的連接。第2章 需求分析2.1 網(wǎng)絡(luò)覆蓋面積大，銷售點(diǎn)計(jì)算機(jī)機(jī)分布范圍廣。煙草公司在地理分布上面積廣,部分微機(jī)比較集中,大部分的微機(jī)只需要在局域網(wǎng)內(nèi)運(yùn)行，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)決定整體采用星型結(jié)構(gòu)。各設(shè)備和各節(jié)點(diǎn)連接到中心交換機(jī)上，形成星型結(jié)構(gòu)。為什么采用星形拓?fù)浣Y(jié)構(gòu)？ 控制簡單。任何一站點(diǎn)只和中央節(jié)點(diǎn)相連接，因而介質(zhì)訪問控制方法簡單，致使訪問協(xié)議也十分簡單。易于網(wǎng)絡(luò)監(jiān)控和管理。故障診斷和隔離容易。中央節(jié)點(diǎn)對連接線路可以逐一隔離進(jìn)行故障檢測和定位，單個(gè)連接點(diǎn)的故障只影響一個(gè)設(shè)備，不會影響全網(wǎng)。方便服務(wù)。中央節(jié)點(diǎn)可以方便地對各個(gè)站點(diǎn)提供服務(wù)和網(wǎng)絡(luò)重新配置。2.2 支持企業(yè)的Intranet 和與Internet 的連接。2.3 支持分布式數(shù)據(jù)庫應(yīng)用。 采用分布式數(shù)據(jù)庫的優(yōu)點(diǎn)： 具有靈活的體系結(jié)構(gòu)。適應(yīng)分布式的管理和控制機(jī)構(gòu)。經(jīng)濟(jì)性能優(yōu)越。系統(tǒng)的可靠性高、可用性好。局部應(yīng)用的響應(yīng)速度快。可擴(kuò)展性好，易于集成現(xiàn)有的系統(tǒng)。2.4 CIMS系統(tǒng)（現(xiàn)代集成制造系統(tǒng)）的網(wǎng)絡(luò)吞吐量大。 CIMS基本出發(fā)點(diǎn)： 企業(yè)的各種生產(chǎn)經(jīng)營活動是不可分割的，要統(tǒng)一考慮。 整個(gè)生產(chǎn)制造過程實(shí)質(zhì)上是信息的采集、傳遞和加工處理的過程實(shí)施CIMS的生命周期可分為五個(gè)階段：項(xiàng)目準(zhǔn)備需求分析總體解決方案設(shè)計(jì)系統(tǒng)開發(fā)與實(shí)施運(yùn)行及維護(hù)2.5 結(jié)構(gòu)化布線。 網(wǎng)絡(luò)是將獨(dú)立的設(shè)備連接在一起，并使它們可以共享信息和資源的連接系統(tǒng)。正確的設(shè)計(jì)和實(shí)施一個(gè)網(wǎng)絡(luò)系統(tǒng)可以提高通信的速度和可靠性，從而使得一個(gè)系統(tǒng)工作起來更加富有效率。網(wǎng)絡(luò)的建設(shè)應(yīng)該滿足已公布的國家和國際標(biāo)準(zhǔn)的要求，并應(yīng)能夠根據(jù)商業(yè)要求的改變進(jìn)行不斷的進(jìn)化和升級。2.6 實(shí)現(xiàn)所有部門的聯(lián)接。第3章 邏輯設(shè)計(jì)、物理設(shè)計(jì)3.1 拓?fù)浣Y(jié)構(gòu)圖3.2 劃分IP地址本規(guī)劃中申請一個(gè)C類地址：/24進(jìn)行IP地址分配。/24用于連接因特網(wǎng)的服務(wù)器。并在其下劃分IP用于其他網(wǎng)絡(luò)。辦公樓：/24：/2426/24廠庫房：28/24：29/2454/24 六個(gè)銷售部：/272/27：3-2 4/27：5-4 6/27：7-26 28/27：29-58 60/27：61-90 92/27：93-22銷售點(diǎn)：28/24：29/2454/243 .3 交換機(jī)配置3.3.1配置二層交換機(jī)在二層交換機(jī)上添加VLANS1enableS1#vlan databaseS1(vlan)#vlan 100S1(vlan)# exitS1#configure terminalS1(config)#interface fastethernet 0/1S1(config-if)#swicthport mode trunkS1(config-if)#swicthport trunk encapsulation dot1qS1(config-if)#exitS1(config)#interface fastethernet 0/2S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS1(config)#interface fastethernet 0/3S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS2enableS2#vlan databaseS2(vlan)#vlan 200S2(vlan)#exitS2#configure terminalS2(config)#interface fastethernet 0/1S2(config-if)#swicthport mode trunkS2(config-if)#swicthport trunk encapsulation dot1qS2(config-if)#exitS2(config)#interface fastethernet 0/2S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exitS2(config)#interface fastethernet 0/3S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exit在二層交換機(jī)上配置口令：S2(config)#enable password cisco S2(config)#line vty 0 5S2(config-line)#password ciscoS2(config-line)#loginS2#write 3.3.2配置三層交換機(jī)在三層交換機(jī)上添加VLAN，并設(shè)置各VLAN的虛擬三層地址，同時(shí)設(shè)置與二層交換機(jī)相連的端口為Trunk模式S3enableS3#vlan databaseS3(vlan)#vlan 100S3(vlan)#vlan 200S3(vlan)#exitS3#configure terminalS3(config)#interface vlan 100S3(config-if)#ip address S3(config-if)#exitS3(config)#interface vlan 200S3(config-if)#ip address S3(config-if)#exitS3(config)#interface fastethernet 0/1S3(config-if)#swicthport mode trunkS3(config-if)#swicthporttrunkencapsulationdot1qS3(config-if)#exitS3(config)#interface fastethernet 0/2S3(config-if)#swicthport mode trunkS3(config-if)#swicthport trunk encapsulation dot1qS3(config-if)#exit啟動三層交換機(jī)的IP路由轉(zhuǎn)發(fā)功能（請?jiān)趩覫P路由功能5分鐘后再進(jìn)行ping連通測試）S3(config)#ip routing3.4路由器配置有一個(gè)內(nèi)部全局地址，這個(gè) 地址配置在路由器的s0/0接口上。路由器的配置如下：routerenrouter#conf trouter(config)#ip nat pool naptout netmask router(config)#access-list 1 permit 55router(config)#ip nat inside source list 1 pool naptout overloadrouter(config)#int f0/0router(config-if)#ip add router(config-if)#ip nat insiderouter(config-if)#no shutdownrouter(config)#int s0/0router(config-if)#ip add router(config-if)#ip nat outsiderouter(config-if)#no shutdown3.5物理設(shè)計(jì)圖第4章 網(wǎng)絡(luò)總體方案設(shè)計(jì)及其特點(diǎn)煙草公司在地理分布上面積廣,部分微機(jī)比較集中,大部分的微機(jī)只需要在局域網(wǎng)內(nèi)運(yùn)行、只有辦公樓需要接入廣域網(wǎng)等情況，決定整體采用星型結(jié)構(gòu)。 各設(shè)備和各節(jié)點(diǎn)連接到中心交換機(jī)上，形成星型結(jié)構(gòu)。企業(yè)庫、六個(gè)銷售部及其附屬銷售點(diǎn)連接到辦公樓，再由辦公樓接入廣域網(wǎng)。企業(yè)庫需要連接到主干網(wǎng)上，以保證CIMS系統(tǒng)的正常運(yùn)行。銷售部及其附屬銷售點(diǎn)對于數(shù)據(jù)傳輸?shù)囊笙鄬^低。系統(tǒng)設(shè)計(jì)采用千兆主干以太網(wǎng)、快速交換式以太網(wǎng),客戶機(jī)/服務(wù)器模式。使用一臺中心交換機(jī)。二級交換機(jī)、各服務(wù)器通過全雙工的線路與中心交換機(jī)相連。服務(wù)器采用容錯(cuò)技術(shù)，雙機(jī)備份。在公司的辦公樓建立網(wǎng)絡(luò)中心，配置一個(gè)WINDOWS 2000 SERVER服務(wù)器作為整個(gè)網(wǎng)絡(luò)的控制中心。網(wǎng)絡(luò)中心配置交換機(jī)和網(wǎng)管系統(tǒng)。另配置一個(gè)廣域網(wǎng)的路由器接入廣域網(wǎng)公司內(nèi)部微機(jī)總數(shù)為306臺，同時(shí)考慮有可能擴(kuò)展，因此，申請兩個(gè)C類地址。辦公樓及庫區(qū)共同使用一個(gè)C類地址。銷售處及附屬銷售點(diǎn)共同使用一個(gè)C類地址。4.1公司主干網(wǎng)設(shè)計(jì)主干網(wǎng)選用千兆以太網(wǎng)（1000Base-T），原因：以太網(wǎng)應(yīng)用普及?？勺o(hù)性好，可以實(shí)現(xiàn)平滑、無需中斷的升級。兼容性好。4.2公司區(qū)域網(wǎng)設(shè)計(jì)對于各區(qū)域的局域網(wǎng)（辦公樓、廠庫區(qū)及各銷售部），可以采用100Base-T。原因：實(shí)用性、經(jīng)濟(jì)性、網(wǎng)絡(luò)系統(tǒng)可升級性。對于辦公樓、廠庫區(qū)由于信息量需求大,決定構(gòu)建交換式局域網(wǎng)。交換技術(shù)本身秘具備的端口帶寬的獨(dú)立性,從根本上提高了整個(gè)局域網(wǎng)的帶寬能力。4.3安全設(shè)計(jì)出于安全的考慮，要安裝防火墻，在辦公樓與廣域網(wǎng)的端口處設(shè)置防火墻，另外辦公樓內(nèi)的每臺微機(jī)都設(shè)置防火墻。廠庫區(qū)、各銷售處連出的端口也要設(shè)置防火墻。各銷售點(diǎn)的微機(jī)都要設(shè)置防火墻。第5章 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)5.1 辦公樓網(wǎng)絡(luò)設(shè)計(jì)辦公樓分為六層，共有計(jì)算機(jī)96臺，屬于計(jì)算機(jī)相對集中的地方。辦公樓對網(wǎng)絡(luò)的實(shí)時(shí)性和信息量要求較高，構(gòu)建100Base-T交換式局域網(wǎng)。每層計(jì)算機(jī)由一接入層交換機(jī)相聯(lián)后與主干網(wǎng)相連。每臺聯(lián)網(wǎng)計(jì)算機(jī)均使用100M網(wǎng)卡。5.2 企業(yè)庫區(qū)網(wǎng)絡(luò)設(shè)計(jì)企業(yè)庫區(qū)內(nèi)微機(jī)相對集中，網(wǎng)絡(luò)吞吐量大，并且需要與辦公樓相連接，進(jìn)行通信以協(xié)調(diào)生產(chǎn)過程。因而，也構(gòu)建100Base-T交換式局域網(wǎng)，同樣由一交換機(jī)相聯(lián)后，1000M端口與主干網(wǎng)相連，計(jì)劃使用光纖。每臺聯(lián)網(wǎng)微機(jī)均使用100M網(wǎng)卡。5.3銷售處網(wǎng)絡(luò)設(shè)計(jì)銷售處和銷售點(diǎn)微機(jī)分散，100左右銷售點(diǎn)，分布在全市各處，每處有微機(jī)一臺。各銷售處微機(jī)相對較為分散，對信息的傳輸量也不是太大。6個(gè)銷售處，每個(gè)有微機(jī)10-20臺，可由一以太網(wǎng)交換機(jī)相連后，通過DDN專線與主干網(wǎng)相連。每臺聯(lián)網(wǎng)微機(jī)使用10M網(wǎng)卡，并附帶有Modem，以防備DDN志線可能出現(xiàn)故障。每個(gè)銷售處的微機(jī)，可以租用郵電部門的DDN專線，連接到公司主干網(wǎng)。各銷售點(diǎn)的微機(jī)分布范圍廣，數(shù)據(jù)傳輸量不大，可以考慮采用ASDL撥入的方式。5.4 銷售點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)各銷售點(diǎn)微機(jī)分散，100左右銷售點(diǎn)，分布在全市各處，每處有微機(jī)一臺。利用現(xiàn)有的資源，通過電話線撥號上網(wǎng)，連接主干網(wǎng)。每臺微機(jī)均使用Modem聯(lián)網(wǎng)。第6章 布線方案采用結(jié)構(gòu)化布線:結(jié)構(gòu)化布線系統(tǒng)是一個(gè)能夠支持任何用戶選擇的話音、數(shù)據(jù)、圖形圖像應(yīng)用的電信布線系統(tǒng)。系統(tǒng)應(yīng)能支持話音、圖形、圖像、數(shù)據(jù)多媒體、安全監(jiān)控、傳感等各種信息的傳輸，支持UTP、光纖、STP、同軸電纜等各種傳輸載體，支持多用戶多類型產(chǎn)品的應(yīng)用，支持高速網(wǎng)絡(luò)的應(yīng)用。（1）水平布線。采用五類非屏蔽雙絞線。為了便于部門的二級網(wǎng)點(diǎn)的增加，各部門采用一個(gè)交換機(jī)，連接各計(jì)算機(jī)和工作站。（2）垂直布線。各部門間的交換機(jī)與主干網(wǎng)相連，采用光纖傳輸。構(gòu)成1000M交換式以太網(wǎng)。（3）管理子系統(tǒng)。管理子系統(tǒng)設(shè)置在樓層分配線設(shè)備的房間內(nèi)。管理間子系統(tǒng)應(yīng)由交接間的配線設(shè)備，輸入/輸出設(shè)備等組成，也可應(yīng)用于設(shè)備間子系統(tǒng)中。管理子系統(tǒng)應(yīng)采用單點(diǎn)管理雙交接。交接場的結(jié)構(gòu)取決于工作區(qū)、綜合布線系統(tǒng)規(guī)模和選用的硬件。在管理規(guī)模大、復(fù)雜、有二級交接間時(shí)，才設(shè)置雙點(diǎn)管理雙交接。在管理點(diǎn)，應(yīng)根據(jù)應(yīng)用環(huán)境用標(biāo)記插入條來標(biāo)出各個(gè)端接場。（4）設(shè)備子系統(tǒng)。設(shè)備間是在每一幢大樓的適當(dāng)?shù)攸c(diǎn)設(shè)置進(jìn)線設(shè)備，進(jìn)行網(wǎng)絡(luò)管理以及管理人員值班的場所。設(shè)備間子系統(tǒng)應(yīng)由綜合布線系統(tǒng)的建筑物進(jìn)線設(shè)備、電話、數(shù)據(jù)、計(jì)算機(jī)等各種主機(jī)設(shè)備及其保安配線設(shè)備等組成。每個(gè)系統(tǒng)的設(shè)備都集中一起控制，為系統(tǒng)用各種不同線纜區(qū)別開來，綜合布線系統(tǒng)全部語音和數(shù)據(jù)一纜集中在中心機(jī)房的機(jī)柜中，有、收發(fā)器設(shè)備與接入網(wǎng)連接，根據(jù)用戶的需求進(jìn)行安排。結(jié)構(gòu)化布線系統(tǒng)特點(diǎn)：（1）實(shí)用性：能支持多種數(shù)據(jù)通信、多媒體技術(shù)及信息管理系統(tǒng)等，能夠適應(yīng)現(xiàn)代和未來技術(shù)的發(fā)展。（2）靈活性：任意信息點(diǎn)能夠連接不同類型的設(shè)備，如微機(jī)、打印機(jī)、終端、服務(wù)器、監(jiān)視器等。（3）開放性：能夠支持任何廠家的任意網(wǎng)絡(luò)產(chǎn)品，支持任意網(wǎng)絡(luò)結(jié)構(gòu)，如總線形、星形、環(huán)型等。（4）模塊化：所有的接插件都是積木式的標(biāo)準(zhǔn)件，方便使用、管理和擴(kuò)充。（5）擴(kuò)展性：實(shí)施后的結(jié)構(gòu)化布線系統(tǒng)是可擴(kuò)充的，以便將來有更大需求時(shí)，很容易將設(shè)備安裝接入。（6）經(jīng)濟(jì)性：一次性投資，長期受益，維護(hù)費(fèi)用低，使整體投資達(dá)到最少。第7章 安全策略在辦公樓與廣域網(wǎng)的端口處設(shè)置防火墻，另外辦公樓內(nèi)的每臺微機(jī)都設(shè)置防火墻。廠庫區(qū)、各銷售處連出的端口也要設(shè)置防火墻。各銷售點(diǎn)的微機(jī)都要設(shè)置防火墻。服務(wù)器采用容錯(cuò)技術(shù)，雙機(jī)備份。7.1 防火墻的工作原理防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻 的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時(shí)記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤，并且防火墻本身也必須能夠免于滲透。 防火墻的功能： 能夠防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。 可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。 可以作為部署 NAT（Network Address Translation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用NAT技術(shù)，將有限的IP地址動態(tài)或靜態(tài)地與內(nèi)部的IP地址對應(yīng)起來，用來緩解地址空間短缺的問題。 可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開，并在此部署 WWW服務(wù)器和FTP服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來講，就是所謂的非軍事區(qū)（DMZ）。7.2 防火墻的分類和技術(shù)原理以及典型體系結(jié)構(gòu) 目前防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同，大致可分為三種：包過濾技術(shù)：包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè)置好的過濾規(guī)則，通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉，由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通?？梢赃^濾基于某些或所有下列信息組的IP包：源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù)，其最大優(yōu)點(diǎn)就是價(jià)格便宜，實(shí)現(xiàn)邏輯簡單便于安裝和使用。缺點(diǎn)是過濾規(guī)則難以配置和測試。包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息，訪問信息有限，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。對一些協(xié)議，如UDP和RPC難以有效的過濾。代理技術(shù)：代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”，兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信，但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器，它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，對網(wǎng)絡(luò)之間的每一個(gè)請求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請求后，會檢查用戶請求合法性。若合法，則把請求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上，并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的，工作在應(yīng)用層。優(yōu)點(diǎn)是它將內(nèi)部用戶和外界隔離開來，使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比，代理技術(shù)是一種更安全的技術(shù)。缺點(diǎn)是在應(yīng)用支持方面存在不足，執(zhí)行速度較慢。狀態(tài)監(jiān)視技術(shù)：這是第三代防火墻技術(shù)，集成了前兩者的優(yōu)點(diǎn)。能對網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣，它能夠檢測通過IP地址、端口號以及TCP標(biāo)記，過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通 過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級代理在 過濾數(shù)據(jù)包上更有效。 狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進(jìn)行監(jiān)測，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。復(fù)合型防火墻：由于對更高安全性的要求，通常把數(shù)據(jù)包過濾和代理服務(wù)系統(tǒng)的功能和特點(diǎn)綜合起來，構(gòu)成復(fù)合型防火墻系統(tǒng)。所用主機(jī)稱為堡壘主機(jī)，負(fù)責(zé)代理服務(wù)。各種類型的防火墻都有其各自的優(yōu)缺點(diǎn)。當(dāng)前的防火墻產(chǎn)品己不再是單一的包過濾型或代理服務(wù)器型防火墻，而是將各種安全技術(shù)結(jié)合起來，形成一個(gè)混合的多級防火墻，以提高防火墻的靈活性和安全性。混合型防火墻一般采用以下幾種技術(shù):動態(tài)包過濾。內(nèi)核透明技術(shù)。用戶認(rèn)證機(jī)制。內(nèi)容和策略感知能力。內(nèi)部信息隱藏。智能日志、審計(jì)和實(shí)時(shí)報(bào)警。防火墻的交互操作性等。 firewall zone name userzone創(chuàng)建一個(gè)安全區(qū)域，進(jìn)一個(gè)已建立的安全區(qū)域視圖時(shí)不需要用關(guān)鍵字。set priority 60 設(shè)置優(yōu)先級add interface GigabitEthernet0/0/1 把接口添加進(jìn)區(qū)域dis zone userzone顯示區(qū)域配置信息 FWpolicy interzone trust untrust outbound FW-policy-interzone-trust-untrust-outboundpolicy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enableSRGfirewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址綁定配置firewall mac-binding 00e0-fc00-0100FW2firewall zone untrustFW2-zone-untrustadd interface g0/0/0FW2firewall packet-filter default permit interzone trust untrust FW2firewall packet-filter default permit interzone local untrustIPSec相關(guān)配置：先配置ACL：acl number 3000rule 5 permit ip source 55 destination 55 1、配置安全提議，封閉使用隧道模式，ESP協(xié)議，ESP使用DES加密算法，完整性驗(yàn)證使用SHA1算法。FW1ipsec proposal tran1encapsulation-mode tunneltransform espesp authentication-algorithm sha1esp encryption-algorithm des 2、配置IKE安全提議FW1ike proposal 10authentication-algorithm sha1 encryption-algorithm des 3、配置IKE對等體，使用IKEV2協(xié)商方式。FW1ike peer fw12 對方可以取名fw21。ike-proposal 10remote-address pre-shared-key abcde 4、配置安全策略FW1ipsec policy map1 10 isakmpsecurity acl 3000proposal tran1ke-peer fw12如果要針對源 IP 設(shè)置安全策略，則該IP應(yīng)該是做源 NAT轉(zhuǎn)換前的 IP 配置安全策略FWpolicy interzone trust untrust outboundFW-policy-interzone-trust-untrust-outboundpolicy 1FW-policy-interzone-trust-untrust-outboundaction permitFW-policy-interzone-trust-untrust-outboundpolicy source 55port-mapping ftp port 803 acl 2010 端口映射，把FTP映射為803。interzone dmz untrustdetect ftp 與IDS聯(lián)運(yùn)配置 firewall ids authentication type md5 key huawei123 firewall ids server 0 firewall ids port 3000 firewall ids enable負(fù)載均衡slb enableslbrserver 1 rip rserver 2 rip SRGfirewall packet-filter default permit interzone local dmz direction outbound 允許健康檢查報(bào)文在防火墻Localt和DMZ域間出方向流動。group kdkd metric weightrr 加權(quán)輪詢算法。addrserver 1 addrserver 4 addrserver 5 vserver huawei vip 1 group kdkdNAT配置nat address-group 1 SRGnat-policy interzone untrust trust inbound policy 1 action source-natpolicy source address-group 1 no-pat /使用地址池 1 做 NAT No-PAT 轉(zhuǎn)換配置 easy-ip nat-policy interzone trust untrust outbound policy 1 action source-nat source-address 55 easy-ip GigabitEthernet0/0/3 /源 NAT 轉(zhuǎn)換后的公網(wǎng) IP 為接口 GE0/0/3 的 IP配置 Smart NAT#nat address-group 1mode no-pat /模式要選擇 no-patsmart-nopat 1 /預(yù)留一個(gè) IP 做 NAPTsection 1 0 0 /section 中不能包含預(yù)留 IP！#policy interzone trust untrust outboundpolicy 1action permitpolicy source 55policy source 55#nat-policy interzone trust untrust outboundpolicy 1action source-nataddress-group 1policy source 55policy source 55端口映射 nat server protocol tcp global 41 ftp inside ftp firewall defend smurf enable 啟動Smurf防攻擊功能(ICMP)。 firewall defend fraggle enable 啟動fraggle防攻擊功能(UDP,1或19端口)。 firewall defend land enable 源地址和目的地址相同或源地址為環(huán)回地址（）。 防火墻作為出口網(wǎng)關(guān)，雙出口、雙 ISP 接入公網(wǎng)時(shí)，配置 NAT Server 通常需要一分為二， 讓一個(gè)私網(wǎng)服務(wù)器向兩個(gè) ISP 發(fā)布兩個(gè)不同的公網(wǎng)地址供訪問。一分為二的方法有兩種：第一種是將接入不同 ISP 的公網(wǎng)接口規(guī)劃在不同的安全區(qū)域中，配置 NAT Server 時(shí)，帶上zone 參數(shù)，使同一個(gè)服務(wù)器向不同安全區(qū)域發(fā)布不同的公網(wǎng)地址。FW nat server zone untrust1 protocol tcp global 9980 inside 80FW nat server zone untrust2 protocol tcp global 9980 inside 80第二種是將接入不同 ISP 的公網(wǎng)接口規(guī)劃在同一個(gè)安全區(qū)域中，配置 NAT Server 時(shí)，帶上no-reverse 參數(shù)，使同一個(gè)服務(wù)器向同一個(gè)安全區(qū)域發(fā)布兩個(gè)不同的公網(wǎng)地址。FW nat server protocol tcp global 9980 inside 80 no-reverseFW nat server protocol tcp global 9980 inside 80 no-reverseFW1 nat server protocol tcp global 9980 inside 80 vrrp 1 解決配了雙機(jī)熱備防火墻1P 地址沖突的問題第8章 設(shè)備選擇8.1 網(wǎng)卡選擇各處的微機(jī)都必須需要網(wǎng)卡，共需要306個(gè)。網(wǎng)卡選擇金浪KN-8139DS+,它支持10M/100M，性價(jià)比較高。設(shè)備介紹：適用網(wǎng)絡(luò)類型：以太網(wǎng)網(wǎng)線接口類型：RJ45傳輸介質(zhì)類型：3類或3類以上屏蔽或非屏蔽雙絞線傳輸模式：全雙工/半雙工自適應(yīng)主芯片：Realtek芯片8.2 Modem各銷售處及其各銷售點(diǎn)都必須要使用Modem, 共計(jì)190臺。選擇創(chuàng)新56K型Modem,它屬于56K內(nèi)置Modem,其性價(jià)比較高。設(shè)備介紹：類型：普通撥號 類別：外置型接口類型：USB1.0接口傳輸速率：56Kbps 傳輸協(xié)議：V.90/K56flex芯片：Rockwell傳真協(xié)議：V.17，V.29，Group 3，Class 1 語音功能：語音信箱，自動回復(fù) 其他技術(shù)：拔號上網(wǎng)，自動收發(fā)傳真 操作系統(tǒng)：Windows 98/2000/XP/Vista 8.3 交換機(jī)（1）核心交換機(jī)：選擇高性能的交換機(jī)，在這里選擇CISCO WS-C3750X-24T-L交換機(jī)。它可以在簡單低價(jià)的平臺上提供高性能、多功能的千百萬兆以太網(wǎng)交換，方便升級。設(shè)備介紹：產(chǎn)品類型：千兆以太網(wǎng)交換機(jī) 應(yīng)用層級：三層 傳輸速率：10/100/1000Mbps背板帶寬：160Gbps包轉(zhuǎn)發(fā)率：65.5Mpps交換方式：存儲轉(zhuǎn)發(fā)擴(kuò)展模塊：1個(gè)堆疊擴(kuò)展插槽傳輸模式：全雙工/半雙工自適應(yīng)端口數(shù)量：24口端口類型：24個(gè)以太網(wǎng)10/100/1000端口工作溫度()0-40）工作濕度10%-90%（非凝結(jié)）存儲溫度()-20-70）存儲濕度10%-90%（非凝結(jié)）（2） 對于辦公樓、廠庫區(qū)、銷售處的交換機(jī)，采用CISCO WS-C2950-24。CISCO WS-C2950-24圖示：設(shè)備介紹：設(shè)備類型：快速以太網(wǎng)交換機(jī)端口數(shù)量：24配置形式：可堆疊交換方式：存儲轉(zhuǎn)發(fā)背板帶寬：8.8GbpsVLAN支持：支持傳輸模式：全雙工傳輸速率（Mbps）：10/100端口類型：10/100Base-TMAC地址表：8000尺寸(mm) 44524244重量(Kg) 3.0網(wǎng)管功能：SNMP管理信息庫(MIB)II，SNMP MIB擴(kuò)展，橋接MIB(RFC1493)。網(wǎng)絡(luò)標(biāo)準(zhǔn) IEEE 802.1x、IEEE 802.3x、IEEE 802.1D、IEEE 802.1p CoS、IEEE 802.1Q、IEEE 802.3ab、IEEE 802.3u、IEEE802.3。8.4 路由器此網(wǎng)絡(luò)可采用CISCO 1721路由器。設(shè)備介紹：設(shè)備類型：訪問路由器是否有線：有線有線路由器速度：100Mbps有線傳輸率: 10/100/1000MbpsVPN支持：支持內(nèi)置防火墻：是固定廣域網(wǎng)接口：可選廣域網(wǎng)接口WIC卡固定局域網(wǎng)接口：10/100Base-T/TX支持?jǐn)U展模塊數(shù)：1適用對象：企業(yè)級路由器 模塊化接入路由器8.5 服務(wù)器（1）中心服務(wù)器選擇高性能的服務(wù)器，以提高網(wǎng)絡(luò)性能。采用：IBM xSeries 365 6682-6RX。設(shè)備介紹：CPU頻率：3000MHz處理器描述:標(biāo)準(zhǔn)2個(gè)CPU支持CPU個(gè)數(shù):4CPU二級緩存:4096KB主板擴(kuò)展槽：6內(nèi)存內(nèi)存類型：PC2100 DDR Chipkill最大內(nèi)存容量：32GB存儲硬盤類型/描述：SCSIIDE控制器：Ultra ATA 33/66/100SCSI控制器：雙通道Ultra 320 SCSI光驅(qū)：24X軟驅(qū)：1.44MB 3.5英寸電源性能電源：熱插拔電源功率：970W工作濕度：8% - 80%儲存溫度：-20 - 60儲存濕度：5% - 95% （2）各職能服務(wù)器技術(shù)服務(wù)器采用：Acer Altos G700B。功能介紹：產(chǎn)品類型：工作組級產(chǎn)品結(jié)構(gòu)：5UCPU型號：Intel XeonCPU頻率：0.533/0.4GHz最大CPU數(shù)量：4顆主板芯片組：ServerWorksGC-SL擴(kuò)展槽：264位133MHz PCI-X插槽；264位100MHz PCI-X插槽；164位66MHz PCI插槽；132位33MHz PCI插槽內(nèi)存類型：DDR；SDRAM內(nèi)存容量：1GB最大內(nèi)存容量：4GB硬盤接口類型：SCSI標(biāo)配硬盤容量：36光驅(qū)：DVD軟驅(qū)：1.44MB 3.5英寸IDE控制器：雙通道RAID卡SCSI控制器：Ultra 320 SCSI系統(tǒng)支持：Microsoft Windows NT Server 4.0,Microsoft Windows 2000 Server,Novell NetWare 5.1,SCO UnixWare 7.1.1,Red Hat Linux v7.1電源數(shù)量：1+1個(gè)電源電壓：220V產(chǎn)品尺寸：425mm (高) X 216mm (寬) X 670mm (深)工作溫度：5 - 35（）工作濕度：20% - 80%儲存溫度：-20 - 60（）儲存濕度：5% - 95%8.6 傳輸介質(zhì)局域網(wǎng)內(nèi)采用5類非屏蔽雙絞線，主干網(wǎng)采用光纖。第9章 網(wǎng)絡(luò)規(guī)劃、設(shè)計(jì)和集成原則企業(yè)總體技術(shù)架構(gòu)主要是由行業(yè)數(shù)據(jù)中心和行業(yè)應(yīng)用集成平臺以及信息標(biāo)準(zhǔn)、信息安全和運(yùn)維組成，共同構(gòu)成支撐應(yīng)用系統(tǒng)運(yùn)行的基礎(chǔ)環(huán)境。其技術(shù)架構(gòu)的核心內(nèi)容是數(shù)據(jù)交換、數(shù)據(jù)共享、資源管理、應(yīng)用集成。因此，在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)，開發(fā)及系統(tǒng)集成等環(huán)節(jié)中必須具有全面細(xì)致的系統(tǒng)規(guī)劃，方案可行性分析等工作。（1）因?yàn)槠髽I(yè)網(wǎng)對實(shí)時(shí)性的可靠性的要求很高，所以企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)設(shè)計(jì)要遵循以下原則：最優(yōu)化原則。適應(yīng)企業(yè)的發(fā)展特點(diǎn)及網(wǎng)絡(luò)通訊設(shè)備的發(fā)展趨勢，在主機(jī)選擇、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)設(shè)備配置、網(wǎng)絡(luò)管理方式、應(yīng)用開發(fā)等方面具有一定的先進(jìn)性。系統(tǒng)設(shè)計(jì)既要方便用戶現(xiàn)有的流程及習(xí)慣，又要體現(xiàn)出系統(tǒng)優(yōu)化后的適用性和優(yōu)越性?？煽啃栽瓌t。企業(yè)的生產(chǎn)運(yùn)營有其自身固有的一些特點(diǎn)，對數(shù)據(jù)信息的實(shí)用性、安全性要求較高各部門業(yè)務(wù)相互關(guān)聯(lián)。因此，具有高可靠性和強(qiáng)大有效的容錯(cuò)能力是系統(tǒng)設(shè)計(jì)的重要前提。網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)當(dāng)充分考慮系統(tǒng)的冗余。主機(jī)，網(wǎng)絡(luò)系統(tǒng)應(yīng)滿足不斷優(yōu)化、平滑升級的要求，以保護(hù)用戶的投資。系統(tǒng)遵循國際標(biāo)準(zhǔn)，工業(yè)界流行的通行協(xié)議及接口和企業(yè)行業(yè)標(biāo)準(zhǔn)，開放性能好。（2）低投入，高效益原則。結(jié)合網(wǎng)絡(luò)布線系統(tǒng)及實(shí)際網(wǎng)絡(luò)應(yīng)用的需求，進(jìn)行網(wǎng)絡(luò)總體規(guī)劃。要考慮網(wǎng)絡(luò)的可擴(kuò)充性，易管理等要求。在一定的資金資源下，盡量有效的節(jié)約成本，提高效率，建立一個(gè)盡可能高水平、完善的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。（3）先進(jìn)性與現(xiàn)實(shí)性。該廠的信息量大，要求網(wǎng)絡(luò)有一定的效率。而且，公司業(yè)務(wù)可能會擴(kuò)展，系統(tǒng)的任務(wù)會更艱巨，所以，要求有先進(jìn)性與現(xiàn)實(shí)性。（4）系統(tǒng)與軟件的可靠性（5）系統(tǒng)的安全性與保密性 數(shù)據(jù)的多級管理，優(yōu)良的分級授權(quán)安全保密機(jī)制也是非常必要的。第10章 軟件選擇與配置10.1 操作系統(tǒng)服務(wù)項(xiàng)目器選擇Windows 2000 Advanced Server。（1）有良好的開放性,支持各種軟硬件平臺。包括所有先進(jìn)企業(yè)和各種應(yīng)用程序和工具。如：Oracle,SAP R/3。（2）豐富實(shí)用的系統(tǒng)管理功能如：網(wǎng)絡(luò)活動的記錄與追蹤、資源利用效率的統(tǒng)計(jì)分析、網(wǎng)絡(luò)流量監(jiān)視功能、任務(wù)管理功能、管理向?qū)?。?）強(qiáng)大的Web功能內(nèi)置的IIS（Internet Information Server 2.0)。內(nèi)置的Microsoft Front Page主頁工具，幫助你很容易設(shè)置與管理Web站點(diǎn)。Microsoft Index Server提供HTML與其它各種文件的完整索引、查詢功能。（4）豐富的網(wǎng)絡(luò)服務(wù)動態(tài)主機(jī)配置服務(wù) DHCP（Dynamic Host Configuration Protocol）。域名系統(tǒng)DNS（Domain Name Service）。WINS (Windows Internet Name Service)。遠(yuǎn)程訪問服務(wù)RAS（Remote Access Service）。（5）支持多種網(wǎng)絡(luò)協(xié)議。10.2 數(shù)據(jù)庫本公司業(yè)務(wù)處理量大，安全性高，要求有快速的業(yè)務(wù)處理能力。由于各個(gè)經(jīng)營部有不同的地理位置，范圍分布廣，在分布處理業(yè)務(wù)的同時(shí)，必須有集中管理機(jī)制。因此，數(shù)據(jù)庫應(yīng)該有強(qiáng)大的分布式處理能力。另外，數(shù)據(jù)庫必須有內(nèi)置的用戶權(quán)限，實(shí)現(xiàn)服務(wù)器端的安全控制。根據(jù)以上特點(diǎn)，決定采用ORACLE數(shù)據(jù)庫，ORACLE SERVER 。ORACLE SERVER是一個(gè)智能可編程的RDBMS，是ORACLE 數(shù)據(jù)庫系統(tǒng)的真正核心。它有以下特點(diǎn)：（1）支持聯(lián)機(jī)事務(wù)。（2）由服務(wù)器集中實(shí)現(xiàn)數(shù)據(jù)完整幾天的檢查和控制。（3）支持分布式查詢和更新。10.3 網(wǎng)絡(luò)管理軟件采用CISCO的Works Blue SNA View 3。0網(wǎng)管軟件。第11章 布線方案11.1 采用結(jié)構(gòu)化布線方案。綜合布線系統(tǒng)是一個(gè)模塊化、靈活性極高的建筑物或建筑群內(nèi)的信息傳輸系統(tǒng)，是建筑物內(nèi)的“信息高速公路”。它既