小型企業(yè)網(wǎng)絡(luò)安全方案設(shè)計

1、小型企業(yè)網(wǎng)絡(luò)安全方案設(shè)計 孫佳妮0533091001目錄第1章 設(shè)計的簡單概述31.1 概況31.2 需求分析31.3 設(shè)計原則33.1.1. 實用性和經(jīng)濟性33.1.2. 先進性和成熟性33.1.3. 可靠性和穩(wěn)定性43.1.4. 安全性和保密性43.1.5. 可擴展性和易維護性4第2章 方案的設(shè)計42.1 背景42.2 公司網(wǎng)絡(luò)架構(gòu)圖52.3 網(wǎng)絡(luò)設(shè)備清單52.4 基本配置6第1章 設(shè)計的簡單概述1.1 概況臺州職信科技是一家以網(wǎng)絡(luò)產(chǎn)品銷售為主營業(yè)務(wù)的小型企業(yè)，公司網(wǎng)絡(luò)通過中國電信光纖接入 Internet。 為了適應(yīng)業(yè)務(wù)的發(fā)展的需要，實現(xiàn)信息的共享，協(xié)作和通訊，并和各個部門互連，對該信息

2、網(wǎng)絡(luò)系統(tǒng)的建設(shè)與實施提出了方案。1.2 需求分析1、確保公司電腦能夠訪問 Internet。2、避免公司網(wǎng)絡(luò)受到黑客掃描和攻擊。3、防止公司網(wǎng)絡(luò)受到病毒威脅。 4、避免公司網(wǎng)絡(luò)受到DOS/DDOS 攻擊。5、通過端口映射，公司服務(wù)器在需要時可以被外部用戶訪問 。6、利用VPN,使公司的員工出差時能訪問內(nèi)網(wǎng)。1.3 設(shè)計原則3.1.1. 實用性和經(jīng)濟性系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實效的方針，堅持實用、經(jīng)濟的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。 3.1.2. 先進性和成熟性系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。不但能反映當(dāng)今的先進水平，而且具有發(fā)展?jié)摿?，能保證在未來

3、若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。 3.1.3. 可靠性和穩(wěn)定性在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性。 3.1.4. 安全性和保密性在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施。 3.1.5. 可擴展性和易維護性為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性。第2章 方案的設(shè)計2.1 背景中國電信給公司分配了 1個 C

4、 類公網(wǎng) IP 地 址 218.71.96.101，公司內(nèi)部采用 192.168.1.0/24 網(wǎng)段 IP地址。為了保證企業(yè)網(wǎng)絡(luò)的正常運行， 企業(yè)擬通過招標(biāo)的形式確定一家安全服務(wù)商，由該安全 服務(wù)商負責(zé)公司網(wǎng)絡(luò)的整體安全設(shè)計以及后續(xù)的網(wǎng)絡(luò)安全維護。2.2 公司網(wǎng)絡(luò)架構(gòu)圖圖1 公司網(wǎng)絡(luò)架構(gòu)圖2.3 網(wǎng)絡(luò)設(shè)備清單表 1 臺州職信科技網(wǎng)絡(luò)設(shè)備清單序號設(shè)備名稱數(shù)量安裝系統(tǒng)1PC機40WinXP2服務(wù)器1Windows Server 20033二層交換機14普通交換機42.4 基本配置enable conf thostname ASA5520enable password ASA5520passwd c

5、iscoconf tinterface ethernet 0/0nameif outsidesecurity-level 0ip address 218.71.96.101 255.255.255.0no shutdownexitinterface ethernet e0/2nameif inside security-level 100ip add 192.168.1.1 255.255.255.0no shutdown exitinterface ethernet 0/1nameif dmzsecurity-level 50ip add 192.168.2.1 2555.255.255.0

6、no shutdown exitroute outside 0.0.0.0 0.0.0.0 218.71.96.101end show routeconf ttelnet 192.168.1.0 255.255.255.0 insidetelnet timeout 15crypto key generate rsa modulus 1024ssh 192.168.1.0 255.255.255.0 insidessh 0 0 outsidessh timeout 30ssh version 2 server enable 8008 192.168.1.0 255.255.255.0 insid

7、e 0 0 outside 0 0 insideasdm image disk0:/asdm-615.binusername zhangsan password zhangsan privilege 15access-list 111 extended permit icmp any anyaccess-list 111 permit ip any anyaccess-group 111 in int outsideaccess-group 111 in int insideaccess-group 111 in int dmzaccess-list testacl deny ip 192.168.1.33 255.255.255.255 anyaccess-list testacl permit ip any anyaccess-group testacl in interface insidenat-control nat (inside) 1 0 0 global (outside) 1 interfaceglobal (dmz) 1 192.168.2.100-192.168.2.110static (dmz,outside) 218.71.96.101 192.168.2.2access-lis