畢業(yè)設(shè)計(jì)論文企業(yè)局域網(wǎng)設(shè)計(jì)

摘要網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，公司網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量公司競(jìng)爭(zhēng)力的原則之一。針對(duì)證劵行業(yè)的特點(diǎn)，本文介紹了一種行業(yè)專業(yè)網(wǎng)絡(luò)的整體設(shè)計(jì)方案。充足考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，因此本方案采用三層網(wǎng)絡(luò)構(gòu)造。其中，匯聚層采用兩臺(tái)設(shè)備，配備CiscoHSRP合同進(jìn)行雙機(jī)熱備份。路由合同則選擇安全性高、收斂速度快的OSPF合同。其中用到的路由交換合同尚有支持VLAN間數(shù)據(jù)傳輸?shù)腣TP合同。我們采用Cisco交換機(jī)帶寬聚合技術(shù)將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。服務(wù)器群組則重點(diǎn)介紹了FTP、郵件服務(wù)器及WEB服務(wù)器等公司中較慣用到的服務(wù)器的軟件選擇及搭建辦法。對(duì)于網(wǎng)絡(luò)中可能存在的安全威脅，針對(duì)不同的需求，方案中提出了VLAN技術(shù)、訪問(wèn)控制列表、防火墻技術(shù)以及VPN等安全解決方案，以求構(gòu)建一種安全、高效、可靠的公司網(wǎng)絡(luò)。核心詞：網(wǎng)絡(luò)層次化，熱備份，虛擬局域網(wǎng)，控制列表，防火墻目錄第1章需求分析 11.1項(xiàng)目背景 11.2設(shè)計(jì)目的 11.3顧客現(xiàn)實(shí)需求 2第2章網(wǎng)絡(luò)整體設(shè)計(jì) 32.1網(wǎng)絡(luò)拓?fù)?32.2網(wǎng)絡(luò)層次化設(shè)計(jì) 32.2.1核心層設(shè)計(jì) 42.2.2匯聚層設(shè)計(jì) 52.2.3接入層設(shè)計(jì) 62.2.4路由合同選擇 72.3VLAN的劃分及IP地址規(guī)劃 82.4服務(wù)器群組 92.4.1FTP服務(wù) 92.4.2DHCP服務(wù)器 102.4.3郵件服務(wù)器 102.4.4web服務(wù)器 12第3章安全方略 133.1網(wǎng)絡(luò)威脅因素分析 133.2安全規(guī)定 133.3安全產(chǎn)品選型原則 143.4安全方略布署 143.4.1VLAN技術(shù) 143.4.2訪問(wèn)控制列表 153.4.3防火墻 173.4.4VPN 19第五章方案實(shí)現(xiàn)成果分析 20第4章總結(jié)與展望 21致謝 22參考文獻(xiàn) 23前言信息化浪潮風(fēng)起云涌的今天，公司的業(yè)務(wù)已經(jīng)全方面電子化，與Internet的聯(lián)系相稱緊密，因此他們需要良好的信息平臺(tái)去支撐業(yè)務(wù)的高速發(fā)展。沒(méi)有信息技術(shù)背景的公司也將會(huì)對(duì)網(wǎng)絡(luò)建設(shè)有主動(dòng)訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過(guò)程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提高公司核心競(jìng)爭(zhēng)力的核心因素。公司網(wǎng)已經(jīng)越來(lái)越多地被人們提到，運(yùn)用網(wǎng)絡(luò)技術(shù)，當(dāng)代公司能夠在客戶、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得核心的競(jìng)爭(zhēng)優(yōu)勢(shì)。眾多行業(yè)巨擘紛紛上馬多個(gè)應(yīng)用方案且獲得了巨大的成功，這使信息化建設(shè)更具吸引力。信息技術(shù)自誕生之日起，就對(duì)證劵行業(yè)產(chǎn)生了深遠(yuǎn)的影響，特別是上世紀(jì)90年代以來(lái)，隨著金融服務(wù)業(yè)全球化和競(jìng)爭(zhēng)日益激烈,促使證劵公司加緊運(yùn)用多個(gè)新的信息技術(shù)手段來(lái)提高公司管理水平,能夠說(shuō)金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡(luò)技術(shù)的發(fā)展，讓網(wǎng)上交易快速普及，網(wǎng)上交易有助于證劵公司提高工作效率，減少出錯(cuò)率，也方便證劵公司對(duì)客戶的管理。即使大多數(shù)公司已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入公司經(jīng)營(yíng)發(fā)展戰(zhàn)略中，但是網(wǎng)絡(luò)黑客攻擊、計(jì)算機(jī)病毒干擾、數(shù)據(jù)傳輸過(guò)程中的泄露等不安全因素，任然讓諸多公司對(duì)公司網(wǎng)絡(luò)化猶豫不定。證劵公司的特點(diǎn)是數(shù)據(jù)傳輸量大，且數(shù)據(jù)機(jī)密度高，因此證劵業(yè)網(wǎng)絡(luò)就規(guī)定高效、穩(wěn)定和安全，合理的網(wǎng)絡(luò)構(gòu)造設(shè)計(jì)能至關(guān)重要。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)上應(yīng)用量的增加，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至顧客級(jí)，由此形成了一種新的，更適應(yīng)當(dāng)代的高速大型網(wǎng)絡(luò)分層設(shè)計(jì)模型“多層次設(shè)計(jì)”。多層次設(shè)計(jì)師模塊化的，它在后來(lái)網(wǎng)絡(luò)擴(kuò)展、負(fù)載均衡、故障排除方面很有效。而現(xiàn)在強(qiáng)大的防火墻技術(shù)和多個(gè)各樣的安全方略被應(yīng)用到公司網(wǎng)絡(luò)中，安全得到了保障，那么網(wǎng)路對(duì)于 公司的發(fā)展就真正起到了推動(dòng)的作用。第1章需求分析1.1項(xiàng)目背景XX證劵是一家剛剛成立的證劵公司，公司有資產(chǎn)管理部、財(cái)務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門）和營(yíng)業(yè)部6個(gè)部門，6個(gè)部門分布在兩個(gè)樓層。后來(lái)公司在外地還要開(kāi)設(shè)分支機(jī)構(gòu)，而這里作為公司總部，中心機(jī)房也設(shè)在此處。公司的網(wǎng)絡(luò)系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常證劵交易，且作為證劵公司，某些投資機(jī)密需要很高的保密度，因此公司網(wǎng)絡(luò)要有很高的可靠性和安全性。考慮的后來(lái)公司的擴(kuò)張，因此網(wǎng)絡(luò)系統(tǒng)要有可擴(kuò)展性。1.2設(shè)計(jì)目的設(shè)計(jì)一種公司的網(wǎng)絡(luò)，首先要擬定顧客對(duì)網(wǎng)絡(luò)的真正需求，并在結(jié)合將來(lái)可能的發(fā)展規(guī)定的基礎(chǔ)上選擇、設(shè)計(jì)適宜的網(wǎng)絡(luò)構(gòu)造和網(wǎng)絡(luò)技術(shù)，提供顧客滿意的高質(zhì)服務(wù)。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開(kāi)，因此建成后公司網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活變化配備，以適應(yīng)公司辦公環(huán)境的調(diào)節(jié)和變化，即VLAN的整體劃分?？紤]到證劵行業(yè)數(shù)據(jù)的重要性、保密性，為了確保多想證劵業(yè)務(wù)的順利進(jìn)行，確保網(wǎng)絡(luò)的不間斷運(yùn)行，網(wǎng)絡(luò)平臺(tái)應(yīng)含有下列某些特點(diǎn)：（1）高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的核心確保，在設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份方略，確保網(wǎng)絡(luò)含有故障自愈的能力，最大程度地支持各個(gè)系統(tǒng)的正常運(yùn)行。（2）技術(shù)先進(jìn)性和實(shí)用性——確保滿足證券交易系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和原則結(jié)合起來(lái)，充足考慮到證券公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和將來(lái)發(fā)展趨勢(shì)。（3）高性能——承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，確保多個(gè)信息（數(shù)據(jù)、語(yǔ)音、圖象）的高質(zhì)量傳輸，才干使網(wǎng)絡(luò)不成為證券公司各項(xiàng)業(yè)務(wù)開(kāi)展的瓶頸。（4）原則開(kāi)放性——支持國(guó)際上通用原則的網(wǎng)絡(luò)合同、國(guó)際原則的大型的動(dòng)態(tài)路由合同等開(kāi)放合同，有助于確保與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。（5）靈活性及可擴(kuò)展性——根據(jù)將來(lái)業(yè)務(wù)的增加和變化，網(wǎng)絡(luò)能夠平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)節(jié)。（6）可管理性——對(duì)網(wǎng)絡(luò)實(shí)施集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分派帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，含有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。（7）安全性——制訂統(tǒng)一的骨干網(wǎng)安全方略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。1.3顧客現(xiàn)實(shí)需求（1）實(shí)現(xiàn)公司內(nèi)部資源共享，即文獻(xiàn)服務(wù)器，但是對(duì)不同的資源要有對(duì)應(yīng)的權(quán)限。（2）滿足公司日常證劵交易，交易數(shù)據(jù)的傳輸和存儲(chǔ)。（3）公司各部能夠通過(guò)即時(shí)通信軟件聯(lián)系，建立公司郵件服務(wù)器。（4）打印機(jī)共享（5）公司內(nèi)部要網(wǎng)絡(luò)接入Internet（6）架設(shè)公司web服務(wù)器，公布公司網(wǎng)站（7）為確保安全，Internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)方法，避免外界對(duì)內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)。第2章網(wǎng)絡(luò)整體設(shè)計(jì)2.1網(wǎng)絡(luò)拓?fù)溆?jì)算機(jī)網(wǎng)絡(luò)的構(gòu)成元素能夠分為兩大類，即網(wǎng)絡(luò)節(jié)點(diǎn)（又可分為端節(jié)點(diǎn)和轉(zhuǎn)發(fā)節(jié)點(diǎn)）和通信鏈路，網(wǎng)絡(luò)中節(jié)點(diǎn)的互聯(lián)模式叫網(wǎng)絡(luò)的網(wǎng)絡(luò)的拓?fù)錁?gòu)造。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中慣用的拓?fù)錁?gòu)造有：總線型構(gòu)造、環(huán)形構(gòu)造、星型構(gòu)造。由于XX證劵公司總部網(wǎng)絡(luò)站點(diǎn)不是特別的多，并且聯(lián)網(wǎng)的站點(diǎn)相對(duì)集中，因此我們采用星型的網(wǎng)絡(luò)拓?fù)?。星型拓?fù)錁?gòu)造是由通過(guò)點(diǎn)到點(diǎn)鏈路接到中央節(jié)點(diǎn)的各站點(diǎn)構(gòu)成的。星型網(wǎng)絡(luò)中有一種唯一的轉(zhuǎn)發(fā)節(jié)點(diǎn)（中央節(jié)點(diǎn)），每一臺(tái)計(jì)算機(jī)都通過(guò)單獨(dú)的通信線路連接到中央節(jié)點(diǎn)。在星型拓?fù)渲羞\(yùn)用中央結(jié)點(diǎn)可方便地提供服務(wù)和重新配備網(wǎng)絡(luò)；單個(gè)連接點(diǎn)故障只會(huì)影響故障點(diǎn)連接的一種設(shè)備，不會(huì)影響全網(wǎng)，容易檢測(cè)隔離故障、便于維護(hù)；任何一種連接只涉及到中央結(jié)點(diǎn)和一種站點(diǎn)，控制介質(zhì)訪問(wèn)的辦法很簡(jiǎn)樸、從而訪問(wèn)合同也十分簡(jiǎn)樸。2.2網(wǎng)絡(luò)層次化設(shè)計(jì)網(wǎng)絡(luò)的設(shè)計(jì)模型重要涉及層次化設(shè)計(jì)模型和非層次化設(shè)計(jì)模型兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展和網(wǎng)上應(yīng)用量的增加，非層次化的網(wǎng)絡(luò)設(shè)計(jì)已經(jīng)不適合當(dāng)今公司的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒(méi)有適宜的規(guī)劃，網(wǎng)絡(luò)最后會(huì)發(fā)展成為非構(gòu)造的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間互相通信時(shí)，設(shè)備上的CPU必然會(huì)承受相稱大的負(fù)載，不利于網(wǎng)絡(luò)的運(yùn)行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，容易引發(fā)線路擁堵甚至網(wǎng)絡(luò)的癱瘓。因此我們選擇層次化的網(wǎng)絡(luò)設(shè)計(jì)。多層設(shè)計(jì)師模塊化的，網(wǎng)絡(luò)容量可隨著后來(lái)網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不停增大。多層次網(wǎng)絡(luò)有很大的擬定性，因此在運(yùn)行和擴(kuò)展過(guò)程中進(jìn)行故障查找和排出非常簡(jiǎn)樸。多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)樸易行，由于它保存看基于路由器和交換機(jī)的網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有較好的兼容性。另外分層構(gòu)造也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行較好的隔離。針對(duì)實(shí)際狀況我們采用三層構(gòu)造模型，即核心層、分布層、接入層。每個(gè)層次有不同的功效。核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，起重要功效是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層重要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。接入層重要提供最后顧客接入網(wǎng)絡(luò)的途徑。重要進(jìn)行VLAN的換分、與分布層的連接等。2.2.1核心層設(shè)計(jì)核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，其重要功效是高速、可靠的進(jìn)行數(shù)據(jù)交換。核心交換區(qū)的作用是盡快地提供全部的區(qū)域間的數(shù)據(jù)交換。因此推薦使用兩臺(tái)CiscoCatalyst4506E交換機(jī)完畢此項(xiàng)功效。Cisco4506交換機(jī)高性能、高可靠性、高可用性是我們重要考慮的因素。本區(qū)的安全性能夠由邊界防火墻提供，如果有需要，還能夠在4506上面布署安全方略，使得核心交換區(qū)的安全性進(jìn)一步地增強(qiáng)。CiscoCatalyst4500系列憑借眾多智能服務(wù)將控制擴(kuò)展到網(wǎng)絡(luò)邊沿，其中涉及先進(jìn)的服務(wù)質(zhì)量(QoS)、可預(yù)測(cè)性能、高級(jí)安全性和全方面的管理。它提供帶集成永續(xù)性的杰出控制，將永續(xù)性集成到硬件和軟件中，縮短了網(wǎng)絡(luò)停運(yùn)時(shí)間。CiscoCatalyst4500系列的模塊化架構(gòu)、介質(zhì)靈活性和可擴(kuò)展性減少了重復(fù)運(yùn)行開(kāi)支，提高了投資回報(bào)（ROI），從而在延長(zhǎng)布署壽命的同時(shí)減少了擁有成本。方案中Catalyst4506交換機(jī)配備了一塊WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506交換機(jī)機(jī)箱，是一款64Gbps、4800萬(wàn)分組/秒(48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了2個(gè)線速GBIC端口。當(dāng)布署了Catalyst4500系列SupervisorIV時(shí)，這些附加端口可將Catalyst4506的最大密度擴(kuò)展到240個(gè)端口。添加了這款新管理引擎后，Catalyst4506可為中型公司提供價(jià)格合理、易于使用的可擴(kuò)展性、創(chuàng)新安全性、集成可靠性和靈活性。2.2.2匯聚層設(shè)計(jì)匯聚層重要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。涉及訪問(wèn)控制列表、VLAN路由等等。推薦采用兩臺(tái)CiscoWS-C3750G-12S-E作為匯聚交換機(jī)。兩臺(tái)CiscoWS-C3750G-12S-E做雙機(jī)熱備，采用Cisco專有熱備份合同技術(shù)（HSRP），根據(jù)需求配備成多組HSRP。這樣設(shè)計(jì)部但不僅確保網(wǎng)絡(luò)的高可用性和穩(wěn)定性，還能避免單臺(tái)核心設(shè)備的負(fù)載太重造成網(wǎng)絡(luò)性能問(wèn)題。CiscoCatalyst3750系列交換機(jī)是一種創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提高了堆疊式交換機(jī)在局域網(wǎng)中的工作效率。這個(gè)新的產(chǎn)品系列采用了最新的思StackWise技術(shù)，不僅實(shí)現(xiàn)高達(dá)32Gbps的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于顧客建立一種統(tǒng)一、高度靈活的交換系統(tǒng)--就仿佛是一整臺(tái)交換機(jī)同樣。這代表了堆疊式交換機(jī)新的工業(yè)技術(shù)水平和原則。對(duì)于中型公司網(wǎng)絡(luò)來(lái)說(shuō)，CiscoCatalyst3750系列通過(guò)提供配備靈活性、支持融合網(wǎng)絡(luò)模式及自動(dòng)進(jìn)行智能網(wǎng)絡(luò)服務(wù)配備，簡(jiǎn)化了融合應(yīng)用的布署，并可針對(duì)不停變化的業(yè)務(wù)需求進(jìn)行調(diào)節(jié)。另外，CiscoCatalyst3750系列針對(duì)高密度千兆位以太網(wǎng)布署進(jìn)行了優(yōu)化，涉及多個(gè)交換機(jī)，以滿足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。CiscoCatalyst3750G-12S提供12個(gè)千兆位以太網(wǎng)SFP端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機(jī)和中心核心機(jī)房的Catalyst4506交換機(jī)。GEC或FEC（GigabitEthernetChannel/FastEthernetChannel）稱為Cisco交換機(jī)帶寬聚合技術(shù)，它用于千兆或百兆以太網(wǎng)端口。在兩臺(tái)Cisco交換機(jī)互連時(shí)，運(yùn)用GEC/FEC技術(shù)，能夠?qū)?條或多條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路，在本方案中，CiscoWS-C3750G-12S-E之間用兩條千兆光纖相連，運(yùn)用GEC技術(shù)，我們能夠得到一條全雙工4G帶寬的鏈路。這樣不僅能夠提高交換機(jī)之間的互連帶寬，更重要的是能夠在多條物理鏈路間提供容錯(cuò)，使得任意一條線路斷掉不影響交換機(jī)之間的暢通。Etherchannel基本配備命令：Switch(config)#interfacePort-channel1Switch(config)#switchporttrunkencapsulationdot1qSwitch(config)#switchportmodetrunkSwitch(config)#interfacerange[interface-number]Switch(config-if-range)#channel-group[group-id]modeonSwitch(config-if-range)#exitHSRP基本配備命令：Switch(config)#interfacevlan[vlan-number]Switch(config-if)#ipaddress[ip-address][]Switch(config-if)#standby[vlan-id]ip[ip-address]Switch(config-if)#standby10priority105Switch(config-if)#standby10preemptSwitch(config-if)#standby10track[interface-id]Switch(config-if)#exit2.2.3接入層設(shè)計(jì)接入層重要提供最后顧客接入網(wǎng)絡(luò)的途徑。重要是進(jìn)行VLAN的劃分、與分布層的連接等等。建議接入層交換機(jī)采用思科的2960系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為顧客終端提供10/100M自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層構(gòu)造。辦公系統(tǒng)所需的多個(gè)服務(wù)器如FTP服務(wù)器、郵件服務(wù)器、DHCP服務(wù)器等構(gòu)成服務(wù)器群，連接到匯聚交換機(jī)的千兆模塊上面,因此，內(nèi)部的局域網(wǎng)采用三層構(gòu)造組建。CiscoCatalyst2960系列智能以太網(wǎng)交換機(jī)是一種全新的、固定配備的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門級(jí)公司、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN服務(wù)。Catalyst2960系列含有集成安全特性，涉及網(wǎng)絡(luò)準(zhǔn)入控制(NAC)、高級(jí)服務(wù)質(zhì)量(QoS)和永續(xù)性，可為網(wǎng)絡(luò)邊沿提供智能服務(wù)。憑借CiscoCatalyst2960系列提供的廣泛安全特性，公司可保護(hù)重要信息，避免未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。網(wǎng)絡(luò)總體拓?fù)淙鐖D2.1所示：圖2.1整體網(wǎng)絡(luò)拓?fù)鋱D圖2.1整體網(wǎng)絡(luò)拓?fù)鋱D2.2.4路由合同選擇為達(dá)成路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由合同，現(xiàn)在較好的動(dòng)態(tài)路由合同是OSPF合同和EIGRP合同，OSPF以合同原則化強(qiáng)，支持廠家多，受到廣泛應(yīng)用，而EIGRP合同由Cisco公司發(fā)明，只有Cisco公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其它廠商設(shè)備是不支持的?？紤]網(wǎng)絡(luò)的擴(kuò)展性、數(shù)據(jù)資源的保護(hù)等因素，我們選擇OSPF路由合同。OSPF合同采用鏈路狀態(tài)合同算法，每個(gè)路由器維護(hù)一種相似的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè)AS的拓?fù)錁?gòu)造（AS不劃分狀況下）。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就能夠自己為根，構(gòu)造最短途徑樹(shù)，然后再根據(jù)最短途徑構(gòu)造路由表。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由合同通信流量，利于管理和計(jì)算。OSPF將整個(gè)AS劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一種相似的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)錁?gòu)造。OSPF路由器互相間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF定義了5種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已通過(guò)時(shí)后，路由器發(fā)送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于OSPF直接運(yùn)行在IP層，合同本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。相對(duì)于其它合同，OSPF有許多優(yōu)點(diǎn)。OSPF支持多個(gè)不同鑒別機(jī)制（如簡(jiǎn)樸口令驗(yàn)證，MD5加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相似的鑒別機(jī)制；提供負(fù)載均衡功效，如果計(jì)算出到某個(gè)目的站有若干條費(fèi)用相似的路由，OSPF路由器會(huì)把通信流量均勻地分派給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一種自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)錁?gòu)造計(jì)算最短途徑，這減少了OSPF路由實(shí)現(xiàn)的工作量；OSPF屬動(dòng)態(tài)的自適應(yīng)合同，對(duì)于網(wǎng)絡(luò)的拓?fù)錁?gòu)造變化能夠快速地做出反映，進(jìn)行對(duì)應(yīng)調(diào)節(jié)，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由合同相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓慕鉀Q過(guò)程中僅需要最少的通信流量；OSPF提供點(diǎn)到多點(diǎn)接口，支持CIDR（無(wú)類型域間路由）地址。公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)合同，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。2.3VLAN的劃分及IP地址規(guī)劃VLAN的劃分普通有三種辦法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一種或者多個(gè)交換機(jī)上的端口放到一種VLAN內(nèi)，這個(gè)辦法是最簡(jiǎn)樸最有效的，網(wǎng)絡(luò)管理人員只需要對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分派即可，不用考慮端口所連接的設(shè)備。IP地址是TCP/IP合同族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)示網(wǎng)絡(luò)中的一種節(jié)點(diǎn)。IP地址空間的分派，要與網(wǎng)絡(luò)層次構(gòu)造相適應(yīng)，既要有效的運(yùn)用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由合同的規(guī)定，提高路由算法的效率，加緊路由變化的收斂速度。表2.1ip地址分派表根據(jù)公司狀況，每個(gè)部門劃分為一種VLAN，各部門分別屬于不同的網(wǎng)段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據(jù)需要對(duì)匯聚層交換機(jī)進(jìn)行配備來(lái)實(shí)現(xiàn)。表2.1ip地址分派表部門VLAN網(wǎng)段網(wǎng)關(guān)子網(wǎng)掩碼資產(chǎn)管理部5/3255營(yíng)業(yè)廳4/3255財(cái)務(wù)部3/3255經(jīng)理室2/3255人力資源部6/3255后勤部7/3255服務(wù)器群組6/32ip地址配備命令：Switch(config)#[interface]/*打開(kāi)端口*/Switch(config-if)#noswitchportSwitch(config-if)#ipaddress[ip-add][subnet-mask]/*配備ip地址*/Switch(config-if)#noshutdown/*關(guān)閉端口*/默認(rèn)網(wǎng)關(guān)命令:Ipdefault-gateway[ip-add]2.4服務(wù)器群組2.4.1FTP服務(wù)FTP的全稱是FileTransferProtocol(文獻(xiàn)傳輸合同)。顧名思義，就是專門用來(lái)傳輸文獻(xiàn)的合同。證劵公司的FTP服務(wù)重要是針對(duì)公司內(nèi)部某些日常辦公資料、軟件的共享而設(shè)立的，相稱于一種信息系統(tǒng)的大倉(cāng)庫(kù)，僅公司內(nèi)部PC機(jī)能夠訪問(wèn)。FTP服務(wù)器操作系統(tǒng)采用Windowsserver，為了登陸方便，該FTP服務(wù)器采用匿名訪問(wèn)方式，但是為了某些文獻(xiàn)、數(shù)據(jù)的安全性，各部門屬于不同的顧客組，對(duì)不同的顧客組設(shè)立對(duì)應(yīng)的上傳和下載的權(quán)限，具體權(quán)限根據(jù)公司各部門的職能來(lái)設(shè)定。另外，為了避免大部分員工同時(shí)訪問(wèn)FTP服務(wù)器造成服務(wù)器癱瘓，還要設(shè)立最大訪問(wèn)人數(shù)。若公司預(yù)算有限，也可不選用專門的服務(wù)器，而采用一臺(tái)配備相對(duì)較高的PC機(jī)作裝上FTP服務(wù)器端軟件作為FTP服務(wù)器。Serv-U是一種被廣泛運(yùn)用的FTP服務(wù)器端軟件，支持3x/9x/ME/NT/2K等全Windows系列。能夠設(shè)定多個(gè)FTP服務(wù)器、限定登錄顧客的權(quán)限、登錄主目錄及空間大小等，功效非常完備。它含有非常完備的安全特性，支持SSlFTP傳輸，支持在多個(gè)Serv-U和FTP客戶端通過(guò)SSL加密連接保護(hù)數(shù)據(jù)安全等。2.4.2DHCP服務(wù)器由于公司整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)較多，若是由網(wǎng)管人員分別為每臺(tái)PC機(jī)配備IP地址那將是一件非常麻煩的事，并且也不利于網(wǎng)絡(luò)IP地址的管理，因此我們采用DHCP服務(wù)器，為接入公司網(wǎng)絡(luò)的PC機(jī)自動(dòng)分派IP地址。DHCP（DynamicHostConfigurationProtocol），即動(dòng)態(tài)主機(jī)設(shè)立合同，是一種局域網(wǎng)的網(wǎng)絡(luò)合同，使用UDP合同工作。DHCP服務(wù)器的操作系統(tǒng)選擇WindowsServer。由于DHCP服務(wù)器與公司其它PC機(jī)在不同的VLAN中，因此還需要在匯聚層交換機(jī)上配備DHCP中繼服務(wù)功效才干成功運(yùn)行DHCP服務(wù)。2.4.3郵件服務(wù)器電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的構(gòu)成部分，通過(guò)電子郵件進(jìn)行方便快捷的信息交流已經(jīng)成為公司工作中不可或缺的工作習(xí)慣。公司郵箱普通以公司的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來(lái)往得到更加好更安全的管理。常見(jiàn)的郵件服務(wù)器軟件有諸多，例如：微軟ExchangeServer、MDaemonServer、WinWebMail、IMailServer等等。在這里我們選用微軟exchangeserver作為服務(wù)器端軟件，該版本也是Microsoftexchangeserver中應(yīng)用最廣泛，功效最穩(wěn)定的一種版本。exchangeserver常見(jiàn)的任務(wù)涉及：備份與還原、建立新郵箱、恢復(fù)、移動(dòng)、安裝新的硬件、存儲(chǔ)區(qū)、軟件和工具，以及應(yīng)用更新和修補(bǔ)程序等。新工具和改善的工具可協(xié)助網(wǎng)絡(luò)管理員更有效地完畢工作。例如，一位管理人員可能需要恢復(fù)幾個(gè)月以前刪除的一封非常重要的舊電子郵件，通過(guò)使用“恢復(fù)存儲(chǔ)組”功效，管理員能夠恢復(fù)個(gè)人顧客的郵箱，方便查找以前刪除的重要電子郵件。其它新的管理功效涉及：并行移動(dòng)多個(gè)郵箱。改善的消息跟蹤和Outlook客戶端性能統(tǒng)計(jì)功效。增強(qiáng)的隊(duì)列查看器，它使顧客能夠從同一控制臺(tái)同時(shí)查看SMTP和X.400隊(duì)列。新的基于查詢的通訊組列表，它現(xiàn)在支持動(dòng)態(tài)地實(shí)時(shí)查找組員。另外，用于MicrosoftOperationsManager的Exchange管理包可自動(dòng)監(jiān)視整個(gè)Exchange環(huán)境，從而使顧客能夠?qū)xchange問(wèn)題預(yù)先采用管理方法并快速予以解決。在布署exchange郵件服務(wù)器之前，首先為公司申請(qǐng)合的域名，建立域控服務(wù)器，打開(kāi)“運(yùn)行”對(duì)話框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)立域控服務(wù)器。圖2.2圖2.2建立域控服務(wù)器將公司內(nèi)的全部PC機(jī)加入該域。為了避免主域控服務(wù)器出現(xiàn)故障而造成通信故障和信息丟失，因此我們還需要一臺(tái)輔助域控。固然，還需要在DNS服務(wù)器中寫入統(tǒng)計(jì)，這樣發(fā)出的郵件才懂得去處。郵件服務(wù)器硬件的選擇根據(jù)公司本身業(yè)務(wù)的應(yīng)用狀況和資金投入來(lái)決定。從該公司來(lái)看，公司顧客在幾百個(gè)下列，但是郵件來(lái)往比較多，因此要選擇專業(yè)的PC服務(wù)器才干滿足基本的性能規(guī)定。2.4.4web服務(wù)器WEB服務(wù)器也稱為WWW(WORLDWIDEWEB)服務(wù)器，重要功效是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器重要是向外公布公司網(wǎng)站，時(shí)時(shí)更新公司以及證劵市場(chǎng)信息以供顧客網(wǎng)上參考。使用最多的webserver服務(wù)器軟件有兩個(gè)：微軟的信息服務(wù)器（iis），和Apache。本方案中，我們選擇Linux作為web服務(wù)器的操作系統(tǒng)，因此服務(wù)器端軟件則用Apache。Apache是世界上用的最多的Web服務(wù)器，市場(chǎng)占有率達(dá)60%左右,它源于NCSAhttpd服務(wù)器。Apache有多個(gè)產(chǎn)品，能夠支持SSL技術(shù)，支持多個(gè)虛擬主機(jī)。它是以進(jìn)程為基礎(chǔ)的構(gòu)造，進(jìn)程要比線程消耗更多的系統(tǒng)開(kāi)支。由于它是自由軟件，因此不停有人來(lái)為它開(kāi)發(fā)新的功效、新的特性、修改原來(lái)的缺點(diǎn)。Apache的特點(diǎn)是簡(jiǎn)樸、速度快、性能穩(wěn)定，并可做代理服務(wù)器來(lái)使用。它的成功之處重要在于它的源代碼開(kāi)放、有一支開(kāi)放的開(kāi)發(fā)隊(duì)伍、支持跨平臺(tái)的應(yīng)用(能夠運(yùn)行在幾乎全部的Unix、Windows、Linux系統(tǒng)平臺(tái)上)以及它的可移植性等方面。第3章安全方略3.1網(wǎng)絡(luò)威脅因素分析對(duì)于證劵業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)的安全性是相稱重要的。而證劵網(wǎng)上交易，信息公布等業(yè)務(wù)使得公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險(xiǎn)。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門職能不同，某些部門網(wǎng)絡(luò)可能也規(guī)定很高的安全性。公司網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)可能涉及下列幾個(gè)：(1)公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來(lái)自各地的越權(quán)訪問(wèn)，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計(jì)算機(jī)病毒的入侵；(2)內(nèi)部的各個(gè)子網(wǎng)通過(guò)骨干交換互相連接，這樣的話，某些重要的部門可能會(huì)遭到來(lái)自其它部門的越權(quán)訪問(wèn)。這些越權(quán)訪問(wèn)可能涉及惡意攻擊、誤操作等，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來(lái)自內(nèi)部顧客，相比外部攻擊來(lái)說(shuō)，內(nèi)部顧客含有更得天獨(dú)厚的優(yōu)勢(shì)，但是無(wú)論如何，成果都將造成重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；(3)設(shè)備的本身安全性也會(huì)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和多個(gè)網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配備風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)本身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)諸多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成公司日常辦公無(wú)法進(jìn)行。3.2安全規(guī)定（1）物理安全涉及保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫(kù)資料免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤造成系統(tǒng)損壞，同時(shí)要避免由于電磁泄漏引發(fā)的信息失密。(2)網(wǎng)絡(luò)安全重要涉及系統(tǒng)安全和網(wǎng)絡(luò)運(yùn)行安全，檢測(cè)到系統(tǒng)安全漏洞和對(duì)于網(wǎng)絡(luò)訪問(wèn)的控制。（3）信息安全涉及信息傳輸?shù)陌踩⑿畔⒋鎯?chǔ)的安全以及對(duì)顧客的授權(quán)和鑒別。3.3安全產(chǎn)品選型原則XX證劵公司網(wǎng)絡(luò)屬于一種行業(yè)的專用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須謹(jǐn)慎。選型的原則涉及：（1）安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿足工作的規(guī)定，不影響正常的網(wǎng)上證劵交易和辦公；（2）安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)；安全保密產(chǎn)；（3）品必須含有自我保護(hù)能力；（4）安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的有關(guān)原則；（5）安全產(chǎn)品必須操作簡(jiǎn)樸易用，便于簡(jiǎn)樸布署和集中管理。3.4安全方略布署3.4.1VLAN技術(shù)VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一種個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN要為理解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)能夠把一種LAN劃分成多個(gè)邏輯的VLAN，每個(gè)VLAN是一種廣播域，VLAN內(nèi)的主機(jī)間通信就和在一種LAN內(nèi)同樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一種VLAN內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權(quán)訪問(wèn)，特別是像資產(chǎn)管理部這樣的數(shù)據(jù)比較敏感的部門，對(duì)于那些與他不屬于一種VLAN的電腦是無(wú)法訪問(wèn)它的。同時(shí)，這樣還避免廣播風(fēng)暴的發(fā)生，避免過(guò)多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，VLAN為網(wǎng)絡(luò)管理帶來(lái)了很大的方便，將每個(gè)部門劃分為一種VLAN，每個(gè)VLAN內(nèi)的客戶終端需求是基本相似的，對(duì)于故障排查或者軟件升級(jí)等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。各個(gè)vlan之間數(shù)據(jù)的傳輸，必須通過(guò)trunk鏈路。Trunk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端能夠都是交換機(jī)，也能夠是交換機(jī)和路由器?；诙丝趨R聚的功效，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、交換機(jī)與主機(jī)或路由之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個(gè)網(wǎng)絡(luò)的能力。Trunk端口普通為交換機(jī)和交換機(jī)之間的級(jí)聯(lián)端口，用于傳遞全部vlan信息。Trunk鏈路配備命令：Switch(config)#interfacerange[interface-number]Switch(config-if-range)#switchporttrunkencapsulationdot1q/*封裝為dot1q類型*/Switch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#exitVLAN技術(shù)中用到的合同有vtp(vlantrunkingprotocol),這是vlan中繼合同，也被稱為虛擬局域網(wǎng)干道合同。它是思科的專有合同，vtp能夠減少vlan的有關(guān)人物管理。VTP基本配備命令：Switch(vlan)#vtpdomain[domain-name]Switch(vlan)#vtpmode[server/client/transparent]/*選擇vtp模式*/Switch(vlan)#vtppassword[password]Switch(vlan)#trunk[on|off|desirable|auto|nonegotiate]/*打開(kāi)主干功效*/Switch(vlan)#exitSwitch(vlan)#vlan[vlan-id]name[vlan-name]/*創(chuàng)立一種vlan*/3.4.2訪問(wèn)控制列表訪問(wèn)控制是網(wǎng)絡(luò)安全防備和保護(hù)的重要方略，它的重要任務(wù)是確保網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是確保網(wǎng)絡(luò)安全最重要的核心方略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，涉及入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多個(gè)手段。訪問(wèn)控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪能些數(shù)據(jù)包能夠收、哪能數(shù)據(jù)包需要回絕。使用訪問(wèn)控制列表不僅能過(guò)濾通過(guò)路由器的數(shù)據(jù)包，并且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一種重要辦法。ACL示意圖:PacketstoInterface(s)PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYDestinationYNDenyYYNYYMatchLastTest?MatchNextTest(s)MatchFirstTest?DenyDenyDenyPermitPermitPermitInterface(s)Y圖3.1訪問(wèn)控制列表分為兩類，一種是原則訪問(wèn)列表，一種是擴(kuò)展訪問(wèn)列表。原則訪問(wèn)列表的編號(hào)是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測(cè)試，只有允許或回絕兩個(gè)操作，普通是對(duì)一種合同組產(chǎn)生作用，不分辨IP流量類型。而編號(hào)100以上的稱作擴(kuò)展訪問(wèn)列表，它可測(cè)試IP包的第3層和第4層報(bào)頭中的其它字段，比原則訪問(wèn)列表含有更多的匹配項(xiàng)，例如合同類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。原則訪問(wèn)列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}source[mask]/*為訪問(wèn)列表設(shè)立參數(shù),IP原則訪問(wèn)列表編號(hào)1到99,缺省的通配符掩碼=*/Router(config-if)#ipaccess-group[access-list-number]{in|out}/*在端口上應(yīng)用訪問(wèn)列表,指明是進(jìn)方向還是出方向*/擴(kuò)展訪問(wèn)列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operator-port][established][log]/*為原則訪問(wèn)列表設(shè)立參數(shù),可具體到某個(gè)端口,某種合同*/根據(jù)公司各部門的性質(zhì)，我們可根據(jù)需要在匯聚層的設(shè)備上配備訪問(wèn)控制。如財(cái)務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機(jī)密度較高，我們就能夠編寫訪問(wèn)控制列表，嚴(yán)禁其它網(wǎng)段也就是其它VLAN的顧客訪問(wèn)這些部門的電腦，無(wú)論是以什么樣的形式，即使用原則訪問(wèn)控制列表。固然，寫完訪問(wèn)列表后，要將其應(yīng)用在對(duì)應(yīng)的端口上。有的部門可能對(duì)信息的保密規(guī)定沒(méi)有那么高，那么就能夠使用擴(kuò)展訪問(wèn)列表，只對(duì)某一端口的數(shù)據(jù)進(jìn)行控制，如telnet等。3.4.3防火墻飛速發(fā)展的信息時(shí)代，在殘酷競(jìng)爭(zhēng)的市場(chǎng)，誰(shuí)先掌握了信息誰(shuí)就先掌握了契機(jī)，Internet的迅猛發(fā)展?jié)M足了人們對(duì)信息的渴求，同時(shí)Internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為公司帶來(lái)難以預(yù)計(jì)的損失，這時(shí)，防火墻以一種安全衛(wèi)士的身份應(yīng)運(yùn)而生，實(shí)現(xiàn)著管理者的安全方略，有效地維護(hù)這公司保護(hù)網(wǎng)絡(luò)的安全。防火墻只現(xiàn)在應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功效，這樣就減少了CPU的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻普通只據(jù)有過(guò)濾包的作用，而硬件防火墻的功效則要強(qiáng)大的多，它還涉及CF（內(nèi)容過(guò)濾）、IDS（入侵偵測(cè)）、IPS（入侵防護(hù)）以及VPN等功效。硬件防火墻普通使用通過(guò)內(nèi)核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性確保了防火墻整體的穩(wěn)定性。防火墻重要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)四部分構(gòu)成。我們?cè)诤诵膶勇酚善髋cInternet之間配備一臺(tái)硬件防火墻，這樣，全部進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過(guò)防火墻，而該防火墻應(yīng)含有下列的功效：（1）包過(guò)濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可基于源地址、源端口、目的地址、目的端口、合同和時(shí)間，根據(jù)地址簿進(jìn)行設(shè)立規(guī)則。（2）地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換SourceNAT(SNAT)和目的地址轉(zhuǎn)換DestinationNAT(DNAT)。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的構(gòu)造，避免受到來(lái)自外部其它網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地址對(duì)應(yīng)起來(lái)，用來(lái)緩和地址空間的短缺問(wèn)題，節(jié)省資源，減少成本。DNAT重要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)。（3）認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者正當(dāng)身分的擬定。代理指防火墻內(nèi)置顧客認(rèn)證數(shù)據(jù)庫(kù);提供HTTP、FTP和SMTP代理功效，并可對(duì)這三種合同進(jìn)行訪問(wèn)控制。同時(shí)支持URL過(guò)濾功效，避免員工在上班時(shí)間訪問(wèn)某些網(wǎng)站，影響工作效率。（4）透明和路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)制止了外部未授權(quán)訪問(wèn)者對(duì)專用網(wǎng)絡(luò)的非法訪問(wèn);防火墻還支持路由方式，提供靜態(tài)路由功效，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)。（5）入侵檢測(cè)思科的ASA5505-SEC-BUN-K9防火墻是為中小型公司設(shè)計(jì)的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問(wèn)等進(jìn)行實(shí)時(shí)監(jiān)控，并提供VPN服務(wù)，為顧客提供全方面的保護(hù)。它構(gòu)建于Cisco

PIX

安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部網(wǎng)兩種安全保護(hù)，能夠防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可制止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時(shí)，也提高了員工的工作效率，為公司發(fā)明更高的經(jīng)濟(jì)效益。

3.4.4VPN公司員工可能需要經(jīng)常出差或者在外辦公，需要通過(guò)公網(wǎng)訪問(wèn)公司網(wǎng)絡(luò)，這時(shí)數(shù)據(jù)在公網(wǎng)上傳輸就很不安全，因此我們需要一條專門的通道來(lái)安全傳輸信息，這就是VPN（虛擬專用網(wǎng)）。VPN被定義為通過(guò)一種公共網(wǎng)絡(luò)建立一種臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)事對(duì)公司內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用能夠協(xié)助運(yùn)程顧客、公司分支機(jī)構(gòu)、商業(yè)伙伴及移動(dòng)辦公顧客的內(nèi)部網(wǎng)絡(luò)建立可信的安全連接，并確保數(shù)據(jù)的安全傳輸。一種公司的虛擬專用網(wǎng)解決方案也將大幅度減少顧客耗費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是VPN實(shí)施的核心。數(shù)據(jù)通過(guò)安全的“加密管道”在公共網(wǎng)絡(luò)中傳輸。VPN的隧道技術(shù)就是數(shù)據(jù)包不是公開(kāi)在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由VPN封裝成IP包的形式，通過(guò)隧道在網(wǎng)上傳輸。源網(wǎng)絡(luò)的VPN隧道發(fā)起器與目的網(wǎng)絡(luò)上的VPN隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道發(fā)起器對(duì)包進(jìn)行加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過(guò)程，以確保連接顧客擁有進(jìn)入目的網(wǎng)絡(luò)的對(duì)應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的VPN產(chǎn)品支持多個(gè)驗(yàn)證方式）。最后，VPN發(fā)起器將整個(gè)加密包封裝成IP包。現(xiàn)在不管原先傳輸?shù)氖呛畏N合同，它都能在純IP因特網(wǎng)上傳輸。又由于包進(jìn)行了加密，因此誰(shuí)也無(wú)法讀取原始數(shù)據(jù)。在目的網(wǎng)絡(luò)這頭，VPN隧道終止器收到包后去掉IP信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)行解密，將隨即獲得的包發(fā)給遠(yuǎn)程接入服務(wù)器或本地路由器，他們?cè)诎央[藏的IPX包發(fā)到網(wǎng)絡(luò)，最后發(fā)往對(duì)應(yīng)目的地。VPN重要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。VPN原理示意圖：圖3.2圖3.2在本方案中，我們采用ip-VPN技術(shù)。Ip-VPN是指在運(yùn)行ip合同的網(wǎng)絡(luò)上實(shí)現(xiàn)VPN。該VPN技術(shù)的實(shí)現(xiàn)是通過(guò)隧道（tunnel）進(jìn)行連接，隧道技術(shù)通過(guò)軟件“疊加”在物理網(wǎng)絡(luò)上這也是VPN”虛擬特性的體現(xiàn)。借助隧道VPN，還能夠使用內(nèi)部網(wǎng)絡(luò)中采用的安全和優(yōu)先方略，使我們能夠完全控制數(shù)據(jù)流，隧道提供了一層名副其實(shí)的安全保障。現(xiàn)在多個(gè)VPN安全合同中，IPsec的保密性是最佳的。IPsec使用了IPsec隧道模式，在這種隧道模式中，顧客的數(shù)據(jù)包加密后，封裝進(jìn)新的ip。這樣在新的數(shù)據(jù)包中，分別以開(kāi)通器和終端器的地址掩蔽顧客和宿主服務(wù)器的地址。我們選用的ASA5500系列防火墻含有VPN功效，因此不需要額外購(gòu)置VPN設(shè)備。運(yùn)用Cisco

ASA

5500系列，不需要增加成本，也不需要提高設(shè)計(jì)、布署或運(yùn)作的復(fù)雜性，就能夠?qū)⒃L問(wèn)控制、應(yīng)用檢測(cè)和威脅防御作為VPN解決方案的一部分。管理員只需制訂一種網(wǎng)絡(luò)方略，就能夠既提高安全性，又保持網(wǎng)絡(luò)環(huán)境的可訪問(wèn)性。第五章方案實(shí)現(xiàn)成果分析網(wǎng)絡(luò)工程實(shí)施完畢后，重要實(shí)現(xiàn)下列功效：首先是公司內(nèi)部辦公資源的高度共享，通過(guò)FTP服務(wù)，員工可按權(quán)限上傳下載資料。上傳權(quán)限只賦予網(wǎng)絡(luò)管理人員，下載權(quán)限根據(jù)文獻(xiàn)