網(wǎng)絡安全技術與實施項目9-綜合案例-網(wǎng)絡整體安全部署課件

1、學習情境四：綜合案例 項目9 綜合案例 網(wǎng)絡整體安全部署 9.1 項目背景與需求分析9.2 項目的規(guī)劃設計與實施 9.3 綜合項目施工報告 9.4項目習作 網(wǎng)絡安全技術與實施網(wǎng)絡整體安全部署 網(wǎng)絡建設的主要目的就是為廣大用戶提供寬松、開放、易用的網(wǎng)絡環(huán)境，而對于一個企業(yè)來說，圍繞著企業(yè)創(chuàng)造的社會效益、經(jīng)濟效益、內(nèi)涵文化等方面建設有很多種體現(xiàn)形式如網(wǎng)站建設、OA應用、E-MAIL、FTP、BBS等多種Internet服務項目。企業(yè)內(nèi)部的總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。這樣對于一個企業(yè)來說網(wǎng)絡安全也顯得尤為重要，本

2、項目將從一企業(yè)網(wǎng)絡整體部署涉及相關點來進行安全設計。9.1項目背景與需求分析 某企業(yè)網(wǎng)絡A企業(yè)是一個跨地區(qū)的大型企業(yè)，它由A企業(yè)長春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處組成，A企業(yè)三個分部處于不同城市，具有各自的內(nèi)部網(wǎng)絡，并且都已經(jīng)連接到互聯(lián)網(wǎng)中。A企業(yè)長春總部園區(qū)網(wǎng)絡需求：A企業(yè)長春總部要求有一個外網(wǎng)服務器提拱WWW服務，一個內(nèi)網(wǎng)服務器提供OA辦公便于企業(yè)分支進行VPN訪問，企業(yè)總部有四個樓層每個樓層約有20臺PC左右。A企業(yè)北京辦事處網(wǎng)絡需求：A企業(yè)北京辦事處有一個辦公室20人左右，要求不超過20臺PC同時能上互聯(lián)網(wǎng)與客戶進行網(wǎng)絡溝通并能對總部進行VPN訪問。A企業(yè)上海分公司網(wǎng)絡需求：

3、A企業(yè)上海分公司有兩個樓層，每個樓層各有20臺PC左右，要求內(nèi)網(wǎng)放置一個服務器提供文件及打印功能，并要求分公司會議室能實現(xiàn)無線上網(wǎng)。需求分析：A企業(yè)長春總部園區(qū)網(wǎng)絡分析：需添加四臺接入交換機、二臺匯聚交換機、一臺核心交換機、一臺內(nèi)網(wǎng)服務器、一臺外網(wǎng)服務器、一臺企業(yè)防火墻、一臺接入路由器、1至4樓各辦室計算機每層20臺PCA企業(yè)北京辦事處網(wǎng)絡分析：需添加一臺接入路由器、一臺交換機、一個辦公室20臺PCA企業(yè)上海分公司網(wǎng)絡分析：需添加一臺接入路由器、一臺核心交換機、二臺接入交換機、一臺內(nèi)網(wǎng)服務器、無線AP、2個樓層，每層20臺PC9.2項目的規(guī)劃設計與實施A企業(yè)網(wǎng)絡設備涉及企業(yè)防火墻、路由器、核心

4、交換機、匯聚交換機、接入交換機、服務器、無線AP等網(wǎng)絡安全設備。A企業(yè)長春總部園區(qū)網(wǎng)絡是一個典型的大中型企業(yè)網(wǎng)絡模型，是一般對信息要求相對較高的企事業(yè)單位所采用的基于核心層、匯聚層、接入層三層設備的網(wǎng)絡結構。對于網(wǎng)絡性能、訪問控制、接入管理等劃分較為清晰，是一般由多棟建筑形成的園區(qū)所常采用的組網(wǎng)結構。它的基本結構層次清晰，可規(guī)劃、設計與改造空間較大，網(wǎng)絡設備比較齊全，安全管理與配置也相對要求較高。它是由若干二層的接入交換機、若干三層的匯聚交換機、若干核心交換所連接的內(nèi)部網(wǎng)絡、防火墻、服務器和接入路由器組成。此類網(wǎng)絡的安全配置要從多個角度考慮，如接入部分、內(nèi)網(wǎng)部分等。通過對路由器的配置可以實現(xiàn)N

5、AT、ACL、VPN、IDS、CA、UTM防火墻等功能。此類網(wǎng)絡中的安全設備可以根據(jù)實際需求靈活選擇，具體要根據(jù)需求而定。A企業(yè)北京辦事處網(wǎng)絡是應用最為普遍的小型辦公SOHO網(wǎng)絡，適合于員工人數(shù)在百人以內(nèi)的規(guī)模，它的基本結構簡單，網(wǎng)絡設備較少，員工所用設備基本處于同一局域網(wǎng)段內(nèi)，安全管理與配置也相對要求不是很高，并且沒有專門人員管理與維護。它是由一到兩臺二層交換機所連接的內(nèi)部網(wǎng)絡和接入路由器組成。此類網(wǎng)絡的安全配置主要是通過路由器或具有路由器功能的主機設備來加以實施的。通過對路由器的配置可以實現(xiàn)NAT、ACL、VPN、DHCP、包過濾防火墻等基本功能。此類網(wǎng)絡也可以引入專用的安全設備，具體要看

6、此部分網(wǎng)絡對安全性的要求。A企業(yè)上海分公司網(wǎng)絡是比較常見的中小型企業(yè)網(wǎng)絡，適合于員工人數(shù)在百人以上的規(guī)模，它的基本結構簡單，網(wǎng)絡設備相對簡單，通過VLAN等技術對內(nèi)部網(wǎng)絡進行了邏輯的分段，引入了三層交換設備，安全管理與配置相對要求一般。它是由一到兩臺三層交換機和若干臺二層交換機、無線AP所連接的內(nèi)部網(wǎng)絡和接入路由器組成。此類網(wǎng)絡的安全配置主要是通過路由器來加以實施的，同時與內(nèi)容的三層交換機相配合實現(xiàn)安全訪問的控制。通過對路由器的配置可以實現(xiàn)NAT、ACL、VPN、VLAN、DHCP、無線安全、包過濾防火墻等基本功能。此類網(wǎng)絡也可以引入專用的安全設備，具體要看此部分網(wǎng)絡對安全性的要求。9.2.1

7、 VLAN、IP地址規(guī)劃與需求分析 拓撲結構設計如圖2-1A企業(yè)整體網(wǎng)絡結構圖為A企業(yè)長春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處三個部分網(wǎng)絡拓撲。根據(jù)網(wǎng)絡拓撲設計交換機、路由器、防火墻、IPS等網(wǎng)絡設備。VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎上，采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡，可以使物理上連接的各工作站在邏輯上限制通信，實現(xiàn)各網(wǎng)段之間的互相獨立。使用VLAN技術，可以有效地控制網(wǎng)絡廣播風暴，優(yōu)化網(wǎng)絡帶寬，減少網(wǎng)絡交通量，提高整體網(wǎng)絡安全性，簡化網(wǎng)絡管理工作。VLAN之間理論上不需要互相通信，但也

8、可以通過核心交換機或路由器等設備的路由選擇功能實現(xiàn)不同VLAN間的數(shù)據(jù)通信，這樣可以滿足不同部門對其他VLAN中的部分工作站資源的訪問需要。從技術角度講，VLAN的劃分策略主要有：基于端口的VLAN劃分、基于MAC地址的VLAN劃分以及基于協(xié)議的VLAN劃分三種方式，其中基于端口和基于協(xié)議是VLAN劃分的主要方式。項目9.2.1 VLAN、IP地址規(guī)劃背景與需求分析 A企業(yè)網(wǎng)絡接入用戶采用基于802.1Q協(xié)議劃分，將企業(yè)網(wǎng)絡初步劃分為150個VLAN，如表9.1所示，各VLAN由于都是通過DHCP服務器自動獲取IP，為簡單易行VLAN內(nèi)部均采取24位掩碼，各VLAN之間通過本樓匯聚交換機進行路

9、由轉化，故匯聚交換機與核心交換機通過路由進行通信，這部分掩碼采用30位掩碼，需要引起注意。在本案例中，為了便于學習與理解，設計了一個模擬的互聯(lián)網(wǎng)，包括6臺互相連通路由器（運行OSPF動態(tài)路由協(xié)議）、一臺DNS服務器、一臺WWW服務器、一臺CA服務器。項目9.2.1 VLAN、IP地址規(guī)劃背景與需求分析 表9.1 A企業(yè)網(wǎng)絡VLAN及IP地址分配一覽表VLAN IDVLAN NameIP/Subnetwork描述111213141521229.2.2 設備選型總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊

10、化的設計方法。防火墻主要控制用戶內(nèi)網(wǎng)用戶上網(wǎng)，通過訪問策略實現(xiàn)網(wǎng)絡安全訪問。防火墻參數(shù)主要如下：吞吐量、并發(fā)會話數(shù)、是否支持VPN集群和負載均衡、流量監(jiān)控、防御拒絕服務（DOS）攻擊，例如SYN泛濫、互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）泛濫、端口掃描、PING OF DEATH等攻擊方式。路由器在網(wǎng)絡設計的時候要考慮采用統(tǒng)一的網(wǎng)絡出口設備，參數(shù)主要如下：保證內(nèi)網(wǎng)的用戶可以簡單高速的訪問互聯(lián)網(wǎng)包轉發(fā)能力、背板帶寬、路由協(xié)議、VPN、流量分析、NAT。9.2.2 設備選型NAT（Network Address Translation）是在IP地址資源日益短缺的情況下提出的，一個局域網(wǎng)內(nèi)部有很多臺主機，可

11、是不能保證每臺主機都擁有合法的IP地址，為了達到所有的內(nèi)部主機都可以連接Internet網(wǎng)絡的目的，可以使用地址轉換。NAT是改變IP報文中源地址或目的地址的一種處理方式?？梢允挂粋€局域網(wǎng)中的多臺主機使用少數(shù)的合法地址訪問外部的資源，也可以設定內(nèi)部的www、ftp、telnet等服務提供給外部網(wǎng)絡使用。NAT同時隱藏了內(nèi)部局域網(wǎng)的主機地址，可以在一定程度上防止外部的非法攻擊。在網(wǎng)絡地址轉換時，根據(jù)轉換關聯(lián)可以找到與數(shù)據(jù)包對應的地址池，根據(jù)地址池就可以找到HASH表，將轉換記錄記在相應的HASH表。還原時，根據(jù)目的地址可以知道是屬于哪個地址池，從而找到相應的HASH表，就可以進行還原操作。9.2

12、.2 設備選型總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。防火墻主要控制用戶內(nèi)網(wǎng)用戶上網(wǎng)，通過訪問策略實現(xiàn)網(wǎng)絡安全訪問。防火墻參數(shù)主要如下：吞吐量、并發(fā)會話數(shù)、是否支持VPN集群和負載均衡、流量監(jiān)控、防御拒絕服務（DOS）攻擊，例如SYN泛濫、互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）泛濫、端口掃描、PING OF DEATH等攻擊方式。路由器在網(wǎng)絡設計的時候要考慮采用統(tǒng)一的網(wǎng)絡出口設備，參數(shù)主要如下：保證內(nèi)網(wǎng)的用戶可以簡單高速的訪問互聯(lián)網(wǎng)包轉發(fā)能力、背板帶寬、路由協(xié)議、VPN、流量分析、NAT。9

13、.2.2 設備選型核心交換機是局域網(wǎng)核心層的骨干，重點考慮全網(wǎng)的安全建設，采用的核心設備必須具備完整的安全體系架構，具備防源IP地址欺騙、防DOS/DDOS攻擊，防IP掃描等防攻擊功能，支持千兆端口鏈路聚合，支持端口鏡像，支持DHCP Snooping，設備的管理支持采用SNMPV3標準協(xié)議，具備數(shù)據(jù)加密，非法數(shù)據(jù)包檢測等安全功能，保證網(wǎng)絡設備的安全，負責可靠而迅速的傳輸大量的數(shù)據(jù)流。參數(shù)主要如下：背板帶寬、第三層轉發(fā)性能、高可用性特性。匯聚交換機主要是選用三層交換機。在全網(wǎng)絡的設計上體現(xiàn)了分布式路由思想，可以大大減輕核心層交換機的路由壓力，有效的進行路由流量的均衡。作為本地網(wǎng)絡的邏輯核心，對

14、于突發(fā)流量大、控制要求高、需要對QoS有良好支持的應用(多媒體流-語音、視頻和數(shù)據(jù)的融合應用，比如多媒體教室和教學)實施策略部署和接入的匯聚。對于沒有特殊需求(多媒體傳輸、安全、控制等)的子網(wǎng)，比如正常辦公子網(wǎng)（通常只進行數(shù)據(jù)的傳輸）可以考慮選擇性能中等的二層交換機設備。參數(shù)主要如下：背板帶寬、包轉發(fā)率、鏈路聚合。接入交換機就是每棟樓的樓層接入交換機，接入層交換機的選擇仍然非常重要，考慮到接入層交換機的對于終端用戶接入的控制起著非常重要的作用，因此建議采用安全性、控制性較高的設備，接入層設備可以通過包過濾或訪問控制列表提供對用戶流量的控制，完成基本業(yè)務系統(tǒng)之間的隔離和安全性控制、認證管理等功能

15、。設備應該能夠提供MAC地址綁定、支持IEEE802.1qVLAN的劃分、802.1X的認證等等功能，滿足網(wǎng)絡對接入控制和管理的需求。參數(shù)主要如下：背板帶寬、交換容量、轉發(fā)性能、端口數(shù)量、端口/IP/MAC三元組的綁定。網(wǎng)絡中幾臺服務器，要體現(xiàn)具有下列這樣功能：僅供A公司內(nèi)網(wǎng)用戶訪問；網(wǎng)絡中的WWW服務器、MAIL服務器、OA服務器等可以同時被內(nèi)網(wǎng)及外網(wǎng)訪問，提供入侵檢測、協(xié)議分析、流量控制及SNMP網(wǎng)絡管理等功能。無線AP根據(jù)網(wǎng)絡規(guī)劃的需要，在無線網(wǎng)絡中可以有選擇支持Fat和Fit兩種工作模式，在組網(wǎng)模式上可以通過與無線控制器配套使用，參數(shù)主要如下：交換容量bit/s（全雙工）、包轉發(fā)率pp

16、s、端口聚合、802.1x 。9.2.3 網(wǎng)絡整體實施制定實施進度計劃網(wǎng)絡工程的整個完成時間計劃為八周，工程進度安排如表9.2所示，在網(wǎng)絡實施工程中，要嚴格按照網(wǎng)絡規(guī)劃進行實施，對網(wǎng)絡設備的安裝與調(diào)試過程中，局部采取邊施工邊測試的原則，防止出現(xiàn)網(wǎng)絡環(huán)路、漏調(diào)、漏接等現(xiàn)象的發(fā)生。9.2.2 設備選型表9.2 網(wǎng)絡工程進度表工作日工作內(nèi)容1234567890123456789入場，核實現(xiàn)場數(shù)據(jù)設備、材料入場網(wǎng)絡設備安裝調(diào)試無線網(wǎng)絡安裝調(diào)試服務器安裝調(diào)試工程文檔工程驗收技術培訓9.2.4 網(wǎng)絡整體測試在A企業(yè)內(nèi)部局域網(wǎng)中，核心層設備是起著承載匯聚層設備的高速上連，并且根據(jù)網(wǎng)絡的目的地址進行網(wǎng)絡轉發(fā)，

17、這就要求核心層設備達到線速，因此在核心層設備上盡量把規(guī)則下放。在核心層設備的主管理引擎執(zhí)行路由管理、網(wǎng)絡管理、網(wǎng)絡服務等任務，利用交換的高速背板,可以獨立實現(xiàn)硬件路由、交換和組播功能以及硬件ACL和QOS功能，從而保證了網(wǎng)絡的高速穩(wěn)定運行。接入交換機是直接連接用戶的終端設備，能通過認證客戶端后實現(xiàn)自動獲取IP地址，并且訪問內(nèi)、外網(wǎng)資源。另外在接入交換機中配置訪問控制列表(ACL)、設置IP數(shù)據(jù)過濾，禁止如沖擊波、震蕩波等眾所周知的端口跨VLAN進行訪問資源，達到一個保護網(wǎng)絡的安全的作用。局域網(wǎng)內(nèi)部功能測試是網(wǎng)絡安全的一個重要部分，通過內(nèi)部局域網(wǎng)的組建，檢測網(wǎng)絡設備能否為網(wǎng)絡正常運行提供安全穩(wěn)定

18、的保障，測試部分可運用常用網(wǎng)絡命令如ping、tracert等，對網(wǎng)絡基本狀態(tài)進行檢測，再給合交換機內(nèi)置命令，完成如下操作：顯示接口信息、顯示所有TCP連接的狀態(tài)、顯示TCP連接的流量統(tǒng)計信息、顯示UDP流量統(tǒng)計信息、顯示IP報文統(tǒng)計信息、顯示ICMP流量統(tǒng)計信息、清除IP報文統(tǒng)計信息、清除TCP連接的流量統(tǒng)計信息、清除UDP流量統(tǒng)計信息等進行測試。9.2.4 網(wǎng)絡整體測試廣域網(wǎng)接入功能測試是檢驗網(wǎng)絡絡成果的一個重要組成部分，測試部分可運用常用網(wǎng)絡命令如ping、tracert、netstatan、nslookup等，對網(wǎng)絡基本狀態(tài)進行檢測測試。如在路由器上測試局域網(wǎng)接口及廣域網(wǎng)接口、數(shù)據(jù)包轉

19、發(fā)功能、路由信息維護功能、SNMP功能，日志、地址轉換，訪問控制，防火墻，地址分配等功能。同時啟動若干機器在ISP運營商下載比較大的數(shù)據(jù)，通過對路由器吞吐量、時延、丟包率等能力檢驗路由器的穩(wěn)定性和可靠性。表9.3 功能測試表9.2.4 網(wǎng)絡整體測試測試命令或內(nèi)容測試手段、方法測試結果9.3 綜合項目施工報告綜合項目施工報告撰寫是很重要的，因為是最原始的第一手材料，要精心設計每一項目的內(nèi)容。而邊施工邊測試是檢驗工程質量的關鍵，只有設計合理、科學，才能簡化工作步驟。下面給出幾個我們就針對施工過程中設計幾個表，可以放倒施工報告及驗收報告中。網(wǎng)絡測試是正常運行網(wǎng)絡的安全保障，要求對從接入層設備、匯聚層

20、設備、核心層設備、無線控制器及AP、出口路由器等進行全方位的測評。測評要求給出具體的結果，形成文檔。網(wǎng)絡綜合測試表如表9.4所示。9.3 綜合項目施工報告表9.4網(wǎng)絡綜合測試表測試內(nèi)容測試方法檢查結果說明1.telnet和串口登錄：telnet和串口兩種方式能正常登錄。完善不完善如有特殊要求不強制檢查2.端口統(tǒng)計數(shù)據(jù)：查看各個使用的端口收發(fā)統(tǒng)計數(shù)據(jù)是否正常，異常報文是否有增長。參照設備命令手冊完善不完善3.debug開關：日志信息應正常，所有debug開關關閉。參照設備命令手冊完善不完善4.電源狀態(tài)查看：各電源模塊工作狀態(tài)正常。參照設備命令手冊完善不完善5.CPU占有率：CPU占有率應正常，與

21、當前開展的業(yè)務類型和轉發(fā)流量相符。參照設備命令手冊完善不完善6.不使用的網(wǎng)絡服務端口要關閉：比如FTP SERVER功能在不使用時要及時關閉。參照設備命令手冊完善不完善7.系統(tǒng)當前正在發(fā)生的告警信息：有告警及時處理。參照設備命令手冊完善不完善8.抽樣檢查9%AP設備信號覆蓋效果抽樣點信號強度不低于-70dBm。關聯(lián)無線服務是否正常、迅速。抽樣點讀數(shù)信號強度。詳細標注抽檢AP設備的物理地點、IP地址、信號強度讀數(shù)等。9.3 綜合項目施工報告施工過程中針對機房中設備如服務器、防火墻等進行全方位的測評。測評要求給出具體的結果，形成文檔。如表9.5所示 9.3 綜合項目施工報告施工過程中針對機房中設備如服務器被攻擊情況。測評要求給出具體的結果，