毕业设计(论文)企业局域网设计.doc

摘 要 网络技术高速发展的今天 企业网络的优劣已经成为衡量企业竞争力的标 准之一 针对证劵行业的特点 本文介绍了一个行业专业网络的整体设计方案 充分考虑到网络的负载均衡和稳定性能 所以本方案采用三层网络结构 其中 汇聚层采用两台设备 配置 Cisco HSRP 协议进行双机热备份 路由协议则选择 安全性高 收敛速度快的 OSPF 协议 其中用到的路由交换协议还有支持 VLAN 间数据传输的 VTP 协议 我们采用 Cisco 交换机带宽聚合技术将多条物理线路 捆绑为一条逻辑链路 使其有更高带宽 服务器群组则重点介绍了 FTP 邮件 服务器及 WEB 服务器等企业中较常用到的服务器的软件选择及搭建方法 对于 网络中可能存在的安全威胁 针对不同的需求 方案中提出了 VLAN 技术 访问 控制列表 防火墙技术以及 VPN 等安全解决方案 以求构建一个安全 高效 可靠的企业网络 关键词 网络层次化 热备份 虚拟局域网 控制列表 防火墙 ABSTRACT As the high speed development of the network technique the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise Aiming at the characteristics of the certificate profession this paper will introduce an overall design of professional network applying for enterprise Seriously Considering the load balance and stability of the network we adopt three layers structure in the design Convergence Layer adopts two equipments to master slave scratching and duplicate copy with the protocol of Cisco HSRP The routing protocol chooses the protocol of OSPF which has high security and rapidly converging The server applications set the point on introducing the method of creation and software selection for the common enterprise server applications such as FTP the mail server and the WEB server etc In order to set up a safety fuel efficient and reliable enterprise network we put forward the VLAN technique the fire wall technique and VPN for the different needs in resisting the safety threaten KEY WORDS Hierarchical Network Hsrp Vlan Acl Firewall 目 录 第 1 章 需求分析 1 1 1 项目背景 1 1 2 设计目标 1 1 3 用户现实需求 2 第 2 章 网络整体设计 3 2 1 网络拓扑 3 2 2 网络层次化设计 3 2 2 1 核心层设计 4 2 2 2 汇聚层设计 5 2 2 3 接入层设计 6 2 2 4 路由协议选择 7 2 3 VLAN 的划分及 IP 地址规划 8 2 4 服务器群组 9 2 4 1 FTP 服务 9 2 4 2 DHCP 服务器 10 2 4 3 邮件服务器 10 2 4 4 web 服务器 12 第 3 章 安全策略 13 3 1 网络威胁因素分析 13 3 2 安全要求 13 3 3 安全产品选型原则 14 3 4 安全策略部署 14 3 4 1VLAN 技术 14 3 4 2 访问控制列表 15 3 4 3 防火墙 17 3 4 4 VPN 19 第五章 方案实现结果分析 20 第 4 章 总结与展望 21 致 谢 22 参考文献 23 前 言 信息化浪潮风起云涌的今天 企业的业务已经全面电子化 与 Internet 的 联系相当紧密 所以他们需要良好的信息平台去支撑业务的高速发展 没有信 息技术背景的企业也将会对网络建设有主动诉求 任何决策的科学性和可靠性 都是以信息为基础的 信息和决策是同一管理过程中的两个方面 因此行业信 息化也就成了人们所讨论并实践着的重要课题 公司内部网络的建设已经成为 提升企业核心竞争力的关键因素 公司网已经越来越多地被人们提到 利用网 络技术 现代企业可以在客户 合作伙伴 员工之间实现优化的信息沟通 公 司网络的优劣直接关系到公司能否获得关键的竞争优势 众多行业巨擘纷纷上 马各种应用方案且取得了巨大的成功 这使信息化建设更具吸引力 信息技术自诞生之日起 就对证劵行业产生了深远的影响 尤其是上世纪 90 年代以来 随着金融服务业全球化和竞争日益剧烈 促使证劵公司加快运用 各种新的信息技术手段来提高公司管理水平 可以说金融业已经成为信息技术和 网络技术发展的最大收益者之一 网络技术的发展 让网上交易迅速普及 网 上交易有助于证劵公司提高工作效率 降低出错率 也方便证劵公司对客户的 管理 虽然大多数企业已经把互联网战略纳入企业经营发展战略中 但是网络黑客攻 击 计算机病毒干扰 数据传输过程中的泄露等不安全因素 任然让很多企业 对企业网络化犹豫不定 证劵企业的特点是数据传输量大 且数据机密度高 所以证劵业网络就要 求高效 稳定和安全 合理的网络结构设计能至关重要 随着网络技术的迅速 发展和网上应用量的增长 分布式的网络服务和交换已经移至用户级 由此形 成了一个新的 更适应现代的高速大型网络分层设计模型 多层次设计 多层 次设计师模块化的 它在日后网络扩展 负载均衡 故障排除方面很有效 而 现在强大的防火墙技术和各种各样的安全策略被应用到企业网络中 安全得到 了保障 那么网路对于 企业的发展就真正起到了推进的作用 第第 1 章章 需求分析需求分析 1 11 1 项目背景项目背景 XX 证劵是一家刚刚成立的证劵公司 公司有资产管理部 财务部 人力资 源部 后勤部 经理室 管理部门 和营业部 6 个部门 6 个部门分布在两个 楼层 日后公司在外地还要开设分支机构 而这里作为公司总部 中心机房也 设在此处 公司的网络系统要满足公司日常办公电子化 各部门信息共享 日 常证劵交易 且作为证劵公司 某些投资机密需要很高的保密度 所以公司网 络要有很高的可靠性和安全性 考虑的日后公司的扩张 所以网络系统要有可 扩展性 1 2 设计目标设计目标 设计一个公司的网络 首先要确定用户对网络的真正需求 并在结合未来 可能的发展要求的基础上选择 设计合适的网络结构和网络技术 提供用户满 意的高质服务 还要注意到由于逻辑上业务网和管理网必须分开 所以建成后 企业网应能提供多个网段的划分和隔离 并能做到灵活改变配置 以适应企业 办公环境的调整和变化 即 VLAN 的整体划分 考虑到证劵行业数据的重要性 保密性 为了保证多想证劵业务的顺利进 行 保证网络的不间断运行 网络平台应具有以下一些特点 1 高可靠性高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证 在 设计中选用高可靠性网络产品 合理设计网络架构 制订可靠的网络备份 策略 保证网络具有故障自愈的能力 最大限度地支持各个系统的正常运 行 2 技术先进性和实用性技术先进性和实用性 保证满足证券交易系统业务的同时 又要体现出 网络系统的先进性 在网络设计中要把先进的技术与现有的成熟技术和标 准结合起来 充分考虑到证券公司网络应用的现状和未来发展趋势 3 高性能高性能 承载网络性能是网络通讯系统良好运行的基础 设计中必须保 障网络及设备的高吞吐能力 保证各种信息 数据 语音 图象 的高质 量传输 才能使网络不成为证券公司各项业务开展的瓶颈 4 标准开放性标准开放性 支持国际上通用标准的网络协议 国际标准的大型的动态 路由协议等开放协议 有利于保证与其它网络 如公共数据网 金融网络 行内其它网络 之间的平滑连接互通 以及将来网络的扩展 5 灵活性及可扩展性灵活性及可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充 和升级 减少最大程度的减少对网络架构和设备的调整 6 可管理性可管理性 对网络实行集中监测 分权管理 并统一分配带宽资源 选 用先进的网络管理平台 具有对设备 端口等的管理 流量统计分析 及 可提供故障自动报警 7 安全性安全性 制订统一的骨干网安全策略 整体考虑网络平台的安全性 1 31 3 用户现实需求用户现实需求 实现公司内部资源共享 即文件服务器 但是对不同的资源要有相应的权 限 公司各部可以通过即时通信软件联系 建立公司邮件服务器 打印机共享 公司内部要网络接入 Internet 架设公司 web 服务器 发布公司网站 为保证安全 Internet 与公司内部网络间应采用防护措施 防止外界对内 部网络未经授权的访问 共享公司的各种信息资料 发布公司内部刊物的电子版 实时传递行业政策 市场变化信息 转载 摘编国际国内重大新闻信息 发布电脑方面的文章以提高员工的计算机知识 发布相关业务培训内容 以 FTP 方式提供大量应用软件和实用工具 供内部员工下载使用 第第 2 章章 网络整体设计网络整体设计 2 1 网络拓扑 计算机网络的组成元素可以分为两大类 即网络节点 又可分为端节点和 转发节点 和通信链路 网络中节点的互联模式叫网络的网络的拓扑结构 网 络拓扑定义了网络中资源的连接方式 局域网中常用的拓扑结构有 总线型结 构 环形结构 星型结构 由于 XX 证劵公司总部网络站点不是特别的多 而且联网的站点相对集中 因此我们采用星型的网络拓扑 星型拓扑结构是由通过点到点链路接到中央节 点的各站点组成的 星型网络中有一个唯一的转发节点 中央节点 每一台计 算机都通过单独的通信线路连接到中央节点 在星型拓扑中利用中央结点可方便地提供服务和重新配置网络 单个连接 点故障只会影响故障点连接的一个设备 不会影响全网 容易检测隔离故障 便于维护 任何一个连接只涉及到中央结点和一个站点 控制介质访问的方法 很简单 从而访问协议也十分简单 2 2 网络层次化设计 网络的设计模型主要包括层次化设计模型和非层次化设计模型两种 随着 网络技术的迅速发展和网上应用量的增长 非层次化的网络设计已经不适合当 今企业的网络应用 由于非层次化网络没有适当的规划 网络最终会发展成为 非结构的形式 这样当网络设备之间相互通信时 设备上的 CPU 必然会承受相 当大的负载 不利于网络的运行和发展 当大量的数据在网络中传输时 容易 引起线路拥堵甚至网络的瘫痪 所以我们选择层次化的网络设计 多层设计师模块化的 网络容量可随着日后网络节点的增加而不断增大 多层次网络有很大的确定性 因此在运行和扩展过程中进行故障查找和排出非 常简单 多层模式使网络的移植更为简单易行 因为它保留看基于路由器和交 换机的网络原有的寻址方案 对以往的网络有很好的兼容性 另外分层结构也 能够对网络的故障进行很好的隔离 针对实际情况我们采用三层结构模型 即核心层 分布层 接入层 每个 层次有不同的功能 核心层作为整个网络系统的核心 起主要功能是高速 可 靠的进行数据交换 分布层主要进行接入层的数据流量汇聚 并对数据流量进 行访问控制 接入层主要提供最终用户接入网络的途径 主要进行 VLAN 的换 分 与分布层的连接等 2 2 1 核心层设计核心层设计 核心层作为整个网络系统的核心 其主要功能是高速 可靠的进行数据交 换 核心交换区的作用是尽快地提供所有的区域间的数据交换 所以推荐使用两台 Cisco Catalyst 4506E 交换机完成此项功能 Cisco4506 交换机高性能 高可 靠性 高可用性是我们主要考虑的因素 本区的安全性可以由边界防火墙提供 如果有需要 还可以在 4506 上面部署安全策略 使得核心交换区的安全性进 一步地增强 Cisco Catalyst 4500 系列凭借众多智能服务将控制扩展到网络边缘 其 中包括先进的服务质量 QoS 可预测性能 高级安全性和全面的管理 它提 供带集成永续性的出色控制 将永续性集成到硬件和软件中 缩短了网络停运 时间 Cisco Catalyst 4500 系列的模块化架构 介质灵活性和可扩展性减少 了重复运营开支 提高了投资回报 ROI 从而在延长部署寿命的同时降低了 拥有成本 方案中 Catalyst 4506 交换机配置了一块 WS X4515 引擎 Supervisor IV Catalyst 4500 Supervisor IV 引擎用于 Cisco Catalyst 4506 交换机机箱 是一款 64Gbps 4800 万分组 秒 48mpps 的第二到四层交 换引擎 直接在管理引擎面板上配备了 2 个线速 GBIC 端口 当部署了 Catalyst 4500 系列 Supervisor IV 时 这些附加端口可将 Catalyst4506 的 最大密度扩展到 240 个端口 添加了这款新管理引擎后 Catalyst 4506 可为 中型企业提供价格合理 易于使用的可扩展性 创新安全性 集成可靠性和灵 活性 2 2 2 汇聚层设计汇聚层设计 汇聚层主要进行接入层的数据流量汇聚 并对数据流量进行访问控制 包 括访问控制列表 VLAN 路由等等 推荐采用两台 Cisco WS C3750G 12S E 作 为汇聚交换机 两台 Cisco WS C3750G 12S E 做双机热备 采用 Cisco 专有热 备份协议技术 HSRP 根据需求配置成多组 HSRP 这样设计部但不但保证网 络的高可用性和稳定性 还能避免单台核心设备的负载太重导致网络性能问题 Cisco Catalyst 3750 系列交换机是一个创新的产品系列 它结合业界领 先的易用性和最高的冗余性 里程碑地提升了堆叠式交换机在局域网中的工作 效率 这个新的产品系列采用了最新的思 StackWise 技术 不但实现高达 32Gbps 的堆叠互联 还从物理上到逻辑上使若干独立交换机在堆叠时集成在一 起 便于用户建立一个统一 高度灵活的交换系统 就好像是一整台交换机一 样 这代表了堆叠式交换机新的工业技术水平和标准 对于中型企业网络来说 Cisco Catalyst 3750 系列通过提供配置灵活性 支持融合网络模式及自动进行智能网络服务配置 简化了融合应用的部署 并 可针对不断变化的业务需求进行调整 此外 Cisco Catalyst 3750 系列针对 高密度千兆位以太网部署进行了优化 包括多种交换机 以满足接入 汇聚或 小型网络骨干连接需求 Cisco Catalyst 3750G 12S 提供 12 个千兆位以太网 SFP 端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的 Catalyst 4506 交换机 GEC 或 FEC Gigabit Ethernet Channel Fast Ethernet Channel 称为 Cisco 交换机带宽聚合技术 它用于千兆或百兆以太网端口 在两台 Cisco 交 换机互连时 利用 GEC FEC 技术 可以将 2 条或多条物理链路捆绑成为一条更 高带宽的逻辑链路 在本方案中 Cisco WS C3750G 12S E 之间用两条千兆光 纤相连 利用 GEC 技术 我们可以得到一条全双工 4G 带宽的链路 这样不仅 可以提高交换机之间的互连带宽 更重要的是能够在多条物理链路间提供容错 使得任意一条线路断掉不影响交换机之间的畅通 Etherchannel 基本配置命令 Switch config interface Port channel1 Switch config switchport trunk encapsulation dot1q Switch config switchport mode trunk Switch config interface range interface number Switch config if range channel group group id mode on Switch config if range exit HSRP 基本配置命令 Switch config interface vlan vlan number Switch config if ip address ip address Switch config if standby vlan id ip ip address Switch config if standby 10 priority 105 Switch config if standby 10 preempt Switch config if standby 10 track interface id Switch config if exit 2 2 3 接入层设计接入层设计 接入层主要提供最终用户接入网络的途径 主要是进行 VLAN 的划分 与分 布层的连接等等 建议接入层交换机采用思科的 2960 系列智能以太网交换机 以千兆以太链路和汇聚交换机相连接 并为用户终端提供 10 100M 自适应的接 入 从而形成千兆为骨干 百兆到桌面的以太网三层结构 办公系统所需的各 种服务器如 FTP 服务器 邮件服务器 DHCP 服务器等组成服务器群 连接到汇 聚交换机的千兆模块上面 因此 内部的局域网采用三层结构组建 Cisco Catalyst 2960 系列智能以太网交换机是一个全新的 固定配置的 独立设备系列 提供桌面快速以太网和千兆以太网连接 可为入门级企业 中 型市场和分支机构网络提供增强 LAN 服务 Catalyst 2960 系列具有集成安全 特性 包括网络准入控制 NAC 高级服务质量 QoS 和永续性 可为网络边缘 提供智能服务 凭借 Cisco Catalyst 2960 系列提供的广泛安全特性 企业可 保护重要信息 防止未授权人员接入网络 确保私密性及维持不间断运行 网络总体拓扑如图 2 1 所示 2 2 4 路由协议选择路由协议选择 为达到路由快速收敛 寻址以及方便网络管理员管理的目的 我们采用动 态路由协议 目前较好的动态路由协议是 OSPF 协议和 EIGRP 协议 OSPF 以协议标准化强 支持厂家多 受到广泛应用 而 EIGRP 协议由 Cisco 公司 发明 只有 Cisco 公司自己的产品支持 属于私有性质 其他厂商设备是不支 持的 考虑网络的扩展性 数据资源的保护等原因 我们选择 OSPF 路由协议 OSPF 协议采用链路状态协议算法 每个路由器维护一个相同的链路状态 数据库 保存整个 AS 的拓扑结构 AS 不划分情况下 一旦每个路由器有了 完整的链路状态数据库 该路由器就可以自己为根 构造最短路径树 然后再 图 2 1 整体网络拓扑图 根据最短路径构造路由表 对于大型的网络 为了进一步减少路由协议通信流 量 利于管理和计算 OSPF 将整个 AS 划分为若干个区域 区域内的路由器 维护一个相同的链路状态数据库 保存该区域的拓扑结构 OSPF 路由器相互 间交换信息 但交换的信息不是路由 而是链路状态 OSPF 定义了 5 种分组 Hello 分组用于建立和维护连接 数据库描述分组初始化路由器的网络拓扑数据 库 当发现数据库中的某部分信息已经过时后 路由器发送链路状态请求分组 请求邻站提供更新信息 路由器使用链路状态更新分组来主动扩散自己的链路 状态数据库或对链路状态请求分组进行响应 由于 OSPF 直接运行在 IP 层 协议本身要提供确认机制 链路状态应答分组是对链路状态更新分组进行确认 相对于其它协议 OSPF 有许多优点 OSPF 支持各种不同鉴别机制 如 简单口令验证 MD5 加密验证等 并且允许各个系统或区域采用互不相同的 鉴别机制 提供负载均衡功能 如果计算出到某个目的站有若干条费用相同的 路由 OSPF 路由器会把通信流量均匀地分配给这几条路由 沿这几条路由把 该分组发送出去 在一个自治系统内可划分出若干个区域 每个区域根据自己 的拓扑结构计算最短路径 这减少了 OSPF 路由实现的工作量 OSPF 属动态 的自适应协议 对于网络的拓扑结构变化可以迅速地做出反应 进行相应调整 提供短的收敛期 使路由表尽快稳定化 并且与其它路由协议相比 OSPF 在 对网络拓扑变化的处理过程中仅需要最少的通信流量 OSPF 提供点到多点接 口 支持 CIDR 无类型域间路由 地址 公司现有网络规划为 area0 内部网络设备都规划为 area0 后期若有分支 机构各区域接入路由器根据区域不同使用动态协议 或者使用静态路由与动态 路由结合的方式 2 3 VLAN 的划分及 IP 地址规划 VLAN 的划分一般有三种方法 一是基于端口 二是基于 MAC 地址 最后是 基于路由的划分 在这里我们采用基于端口的划分 把一个或者多个交换机上 的端口放到一个 VLAN 内 这个方法是最简单最有效的 网络管理人员只需要对 网络设备的交换端口进行分配即可 不用考虑端口所连接的设备 IP 地址是 TCP IP 协议族中的网络层逻辑地址 它被用来唯一地标示网络 中的一个节点 IP 地址空间的分配 要与网络层次结构相适应 既要有效的利 用地址空间 又要体现网络的可扩展性和灵活性 同时能满足路由协议的要求 提高路由算法的效率 加快路由变化的收敛速度 根据公司情况 每个部门划分为一个 VLAN 各部门分别属于不同的网段 各部门之间在逻辑上被隔离 但是各部门间的通讯 可根据需要对汇聚层交换 机进行配置来实现 VLAN 及 IP 地址分配情况如下表所示 部门 VLAN 网段网关子网掩码 资产管理部 5192 168 11 0 32192 168 11 255255 255 255 0 营业厅 4192 168 12 0 32192 168 12 255255 255 255 0 财务部 3192 168 13 0 32192 168 13 255255 255 255 0 经理室 2192 168 14 0 32192 168 14 255255 255 255 0 人力资源部 6192 168 15 0 32192 168 15 255255 255 255 0 后勤部 7192 168 16 0 32192 168 16 255255 255 255 0 服务器群组 6192 168 10 0 32255 255 255 0 ip 地址配置命令 Switch config interface 打开端口 Switch config if no switchport Switch config if ip address ip add subnet mask 配置 ip 地址 Switch config if no shutdown 关闭端口 默认网关命令 Ip default gateway ip add 2 4 服务器群组 2 4 1 FTP 服务服务 FTP 的全称是 File Transfer Protocol 文件传输协议 顾名思义 就是 专门用来传输文件的协议 表 2 1 ip 地址分配表 证劵公司的 FTP 服务主要是针对公司内部一些日常办公资料 软件的共享 而设置的 相当于一个信息系统的大仓库 仅公司内部 PC 机可以访问 FTP 服 务器操作系统采用 Windows server 2003 为了登陆方便 该 FTP 服务器采用 匿名访问方式 但是为了某些文件 数据的安全性 各部门属于不同的用户组 对不同的用户组设置相应的上传和下载的权限 具体权限根据公司各部门的职 能来设定 另外 为了防止大部分员工同时访问 FTP 服务器造成服务器瘫痪 还要设置最大访问人数 若公司预算有限 也可不选用专门的服务器 而采用一台配置相对较高的 PC 机作装上 FTP 服务器端软件作为 FTP 服务器 Serv U 是一种被广泛运用的 FTP 服务器端软件 支持 3x 9x ME NT 2K 等全 Windows 系列 可以设定多个 FTP 服务器 限定登录用户的权限 登录主目录及空间大小等 功能非常完备 它具有非常完备的安全特性 支持 SSl FTP 传输 支持在多个 Serv U 和 FTP 客户端通过 SSL 加密连接保护数据安全等 2 4 2 DHCP 服务器服务器 由于公司整个网络节点较多 若是由网管人员分别为每台 PC 机配置 IP 地 址那将是一件非常麻烦的事 而且也不利于网络 IP 地址的管理 所以我们采用 DHCP 服务器 为接入公司网络的 PC 机自动分配 IP 地址 DHCP Dynamic Host Configuration Protocol 即动态主机设置协议 是一个局域网的网络协议 使用 UDP 协议工作 DHCP 服务器的操作系统选择 Windows Server 2003 由于 DHCP 服务器与公司其他 PC 机在不同的 VLAN 中 所以还需要在汇 聚层交换机上配置 DHCP 中继服务功能才能成功运行 DHCP 服务 2 4 3 邮件服务器邮件服务器 电子邮件是互联网最基本 但却是最重要的组成部分 通过电子邮件进行 方便快捷的信息交流已经成为企业工作中不可或缺的工作习惯 企业邮箱一般 以企业的域名作为邮箱后缀 既能体现公司的品牌和形象 还能使公司商业信 函来往得到更好更安全的管理 常见的邮件服务器软件有很多 例如 微软 Exchange Server MDaemon Server WinWebMail IMail Server 等等 在 这里我们选用微软 exchange server 2003 作为服务器端软件 该版本也是 Microsoft exchange server 中应用最广泛 功能最稳定的一个版本 exchange server 2003 常见的任务包括 备份与还原 建立新邮箱 恢复 移动 安装新的硬件 存储区 软件和工具 以及应用更新和修补程序等 新 工具和改进的工具可帮助 网络管理员更有效地完成工作 例如 一位管理人员 可能需要恢复几个月以前删除的一封非常重要的旧电子邮件 通过使用 恢复 存储组 功能 管理员可以恢复个人用户的邮箱 以便查找以前删除的重要电 子邮件 其他新的管理功能包括 并行移动多个邮箱 改进的消息跟踪和 Outlook 客户端性能记录功能 增强的队列查看器 它使用户能够从同一控制 台同时查看 SMTP 和 X 400 队列 新的基于查询的通讯组列表 它现在支持 动态地实时查找成员 此外 用于 Microsoft Operations Manager 的 Exchange 管理包可自动监视整个 Exchange 环境 从而使用户能够对 Exchange 问题预先采取管理措施并快速予以解决 在部署 exchange 2003 邮件服务器之前 首先为公司申请合的域名 建立 域控服务器 打开 运行 对话框 输入 dcpromo 命令 然后根据向导创建域 控服务器 将公司内的所有 PC 机加入该域 为了防止主域控服务器出现故障而导致 通信故障和信息丢失 所以我们还需要一台辅助域控 当然 还需要在 DNS 服 务器 中写入记录 这样发出的邮件才知道去处 邮件服务器硬件的选择根据企业本身业务的应用情况和资金投入来决定 从该公司来看 公司用户在几百个以下 但是邮件来往比较多 所以要选择专 图 2 2 建立域控服务器 业的 PC 服务器才能满足基本的性能要求 2 4 4 web 服务器服务器 WEB 服务器也称为 WWW WORLD WIDE WEB 服务器 主要功能是提供网上信息 浏览服务 本方案中 web 服务器主要是向外发布公司网站 时时更新公司以及 证劵市场信息以供用户网上参考 使用最多的 web server 服务器软件 有两个 微软的信息服务器 iis 和 Apache 本方案中 我们选择 Linux 作为 web 服务器的操作系统 所以服务 器端软件则用 Apache Apache 是世界上用的最多的 Web 服务器 市场占有率达 60 左右 它源于 NCSAhttpd 服务器 Apache 有多种产品 可以支持 SSL 技术 支持多个虚拟主 机 它是以进程为基础的结构 进程要比线程消耗更多的系统开支 因为它是 自由软件 所以不断有人来为它开发新的功能 新的特性 修改原来的缺陷 Apache 的特点是简单 速度快 性能稳定 并可做代理服务器来使用 它的成 功之处主要在于它的源代码开放 有一支开放的开发队伍 支持跨平台的应用 可以运行在几乎所有的 Unix Windows Linux 系统平台上 以及它的可移植性 等方面 第第 3 章章 安全策略安全策略 3 1 网络威胁因素分析 对于证劵业来说 网络的安全性是相当重要的 而证劵网上交易 信息发布 等业务使得公司网络必须与公网相连 这样必然存在着安全风险 并且公司内 部网络 由于各部门职能不同 某些部门网络可能也要求很高的安全性 公司网络的安全风险可能包括以下几个 1 公司网络与公网连接 可能遭 到来自各地的越权访问 还可能遭到网络黑客的恶意攻击和计算机病毒的入侵 2 内部的各个子网通过骨干交换相互连接 这样的话 某些重要的部门可能会 遭到来自其它部门的越权访问 这些越权访问可能包括恶意攻击 误操作 等 据统计约有 70 左右的攻击来自内部用户 相比外部攻击来说 内部用户具有 更得天独厚的优势 但是无论怎样 结果都将导致重要信息的泄露或者网络的 瘫痪 3 设备的自身安全性也会直接关系到网络系统和各种网络应用的正常运 转 例如 路由设备存在路由信息泄漏 交换机和路由器设备配置风险等 重 要服务器或操作系统自身存在安全的漏洞 如果管理员没有及时的发现并且进 行修复 将会为网络的安全带来很多不安定的因素 重要服务器的当机或者重 要数据的意外丢失 都将会造成公司日常办公无法进行 3 2 安全要求 1 物理安全 包括保护计算机网络设备设施以及数据库资料免遭地震 水灾 火灾等环境 事故以及人为操作失误导致系统损坏 同时要避免由于电磁泄漏引起的信息失 密 2 网络安全 主要包括系统安全和网络运行安全 检测到系统安全漏洞和对于网络访问的 控制 3 信息安全 包括信息传输的安全 信息存储的安全以及对用户的授权和鉴别 3 3 安全产品选型原则 XX 证劵公司网络属于一个行业的专用网络 因此在安全产品的选型上 必 须慎重 选型的原则包括 1 安全保密产品的接入应不明显影响网络系统运行效率 并且满足工作的要 求 不影响正常的网上证劵交易和办公 2 安全保密产品必须通过国家主管部门指定的测评机构的检测 安全保密产 3 品必须具备自我保护能力 4 安全保密产品必须符合国家和国际上的相关标准 5 安全产品必须操作简单易用 便于简单部署和集中管理 3 4 安全策略部署 3 4 1VLAN 技术技术 VLAN Virtual Local Area Network 的中文名为 虚拟局域网 VLAN 是一种将局域网设备从逻辑上划分成一个个网段 从而实现虚拟工作组的新兴 数据交换技术 VLAN 要为了解决交换机在进行局域网互连时无法限制广播的问 题 这种技术可以把一个 LAN 划分成多个逻辑的 VLAN 每个 VLAN 是一个广播 域 VLAN 内的主机间通信就和在一个 LAN 内一样 而 VLAN 间则不能直接互通 这样 广播报文被限制在一个 VLAN 内 这样就大大的增加了局域网内部的此信 息安全性 将各部门划属不同的 VLAN 它们之间是不能通信的 这样能有效避免部门 间的越权访问 特别是像资产管理部这样的数据比较敏感的部门 对于那些与 他不属于一个 VLAN 的电脑是无法访问它的 同时 这样还防止广播风暴的发生 避免过多广播包占据带宽造成网络拥塞 另外 VLAN 为网络管理带来了很大的 方便 将每个部门划分为一个 VLAN 每个 VLAN 内的客户终端需求是基本相似 的 对于故障排查或者软件升级等都比较方便 大大提高了网络管理人员的工 作效率 各个 vlan 之间数据的传输 必须经过 trunk 链路 Trunk 是一种封装技术 它是一条点到点的链路 链路的两端可以都是交换机 也可以是交换机和路由 器 基于端口汇聚的功能 允许交换机与交换机 交换机与路由器 交换机与 主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽 更大 吞吐量 大幅度提高整个网络的能力 Trunk 端口一般为交换机和交换机之间 的级联端口 用于传递所有 vlan 信息 Trunk 链路配置命令 Switch config interface range interface number Switch config if range switchport trunk encapsulation dot1q 封装为dot1q类型 Switch config if range switchport mode trunk Switch config if range exit VLAN 技术中用到的协议有 vtp vlan trunking protocol 这是 vlan 中继 协议 也被称为虚拟局域网干道协议 它是思科的专有协议 vtp 可以减少 vlan 的相关人物管理 VTP 基本配置命令 Switch vlan vtp domain domain name Switch vlan vtp mode server client transparent 选择 vtp 模式 Switch vlan vtp password password Switch vlan trunk on off desirable auto nonegotiate 打开主干功能 Switch vlan exit Switch vlan vlan vlan id name vlan name 创建一个vlan 3 4 2 访问控制列表访问控制列表 访问控制是网络安全防范和保护的主要策略 它的主要任务是保证网络资 源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 访问控 制涉及的技术也比较广 包括入网访问控制 网络权限控制 目录级控制以 及属性控制等多种手段 访问控制列表 ACL 是应用在路由器接口的指令列 表 这些指令列表用来告诉路由器哪能些数据包可以收 哪能数据包需要拒 绝 使用访问控制列表不但能过滤通过路由器的数据包 而且也是控制网络 中数据流量的一个重要方法 ACL 示意图 Packets to Interface s in the Access Group Packet Discard Bucket Y Destination Y N Deny Y Y N Y Y Match Last Test Match Next Test s Match First Test Deny Deny Deny Permit Permit Permit Interface s Y 图 3 1 访问控制列表分为两类 一个是标准访问列表 一个是扩展访问列表 标准访问列表的编号是从 1 99 它只使用数据包的源 IP 地址作为条件测 试 只有允许或拒绝两个操作 通常是对一个协议组产生作用 不区分IP 流量类型 而编号 100 以上的称作扩展访问列表 它 可测试 IP 包的第 3 层 和第 4 层报头中的其他字段 比标准访问列表具有更多的匹配项 例如协议类 型 源地址 目的地址 源端口 目的端口 建立连接的和IP 优先级等 标准访问列表配置命令 Router config access list access list number permit deny source mask 为访问列表设置参数 IP 标准访问列表编号 1 到 99 缺省的通配符掩码 0 0 0 0 Router config if ip access group access list number in out 在端口上应用访问列表 指明是进方向还是出方向 扩展访问列表配置命令 Router config access list access list number permit deny protocol source source wildcard operator port destination destination wildcard operator port established log 为标准访问列表设置参数 可具体到某个端口 某种协议 根据公司各部门的性质 我们可根据需要在汇聚层的设备上配置访问控制 如财务部 资产管理部信息数据机密度较高 我们就可以编写访问控制列表 禁止其它网段也就是其它 VLAN 的用户访问这些部门的电脑 无论是以什么样 的形式 即使用标准访问控制列表 当然 写完访问列表后 要将其应用在相 应的端口上 有的部门可能对信息的保密要求没有那么高 那么就可以使用扩 展访问列表 只对某一端口的数据进行控制 如 telnet 等 3 4 3 防火墙防火墙 飞速发展的信息时代 在残酷竞争的市场 谁先掌握了信息谁就先掌握了 契机 Internet 的迅猛发展满足了人们对信息的渴求 同时 Internet 里也存 在着许多不安全的因素 网络信息的非法获取 网络体系的不期破坏等等 都 将为企业带来难以估计的损失 这时 防火墙以一个安全卫士的身份应运而生 实现着管理者的安全策略 有效地维护这企业保护网络的安全 防火墙只目前应用最广 最具代表性的网络安全技术 它分为硬件防火墙 和软件防火墙 硬件防火墙是把软件嵌入到硬件中 由硬件执行这些功能 这 样就减少了 CPU 的负担 使路由更稳定 软件防火墙一般只据有过滤包的作用 而硬件防火墙的功能则要强大的多 它还包括 CF 内容过滤 IDS 入侵侦测 IPS 入侵防护 以及 VPN 等功能 硬件防火墙一般使用经过内核编译后的 Linux 凭借 Linux 本身的高可靠性和稳定性保证了防火墙整体的稳定性 防火 墙主要由服务访问政策 验证工具 包过滤和应用网关四部分组成 我们在核心层路由器与 Internet 之间配置一台硬件防火墙 这样 所有进 出网络的数据都要通过防火墙 而该防火墙应具有以下的功能 1 包 过 滤 控制流出和流入的网络数据 可基于源地址 源端口 目的地址 目的端口 协议和时间 根据地址簿进行设 置规则 2 地 址 转 换 将内部网络或外部网络的 IP 地址转换 可分为源地址转 换 Source NAT SNAT 和目的地址转换 Destination NAT DNAT SNAT 用于对内部网络地址进行转换 对外 部网络隐藏起内部网络的结构 避免受到来自外部其他 网络的非授权访问或恶意攻击 并将有限的 IP 地址动态 或静态的与内部 IP 地址对应起来 用来缓解地址空间的 短缺问题 节省资源 降低成本 DNAT 主要用于外网主 机访问内网主机 3 认证和应用代理 认证指防火墙对访问网络者合法身分的确定 代理指防 火墙内置用户认证数据库 提供 HTTP FTP 和 SMTP 代理 功能 并可对这三种协议进行访问控制 同时支持 URL 过滤功能 防止员工在上班时间访问某些网站 影响工 作效率 4 透 明 和 路 由 将网关隐藏在公共系统之后使其免遭直接攻击 隐蔽智 能网关提供了对互联网服务进行几乎透明的访问 同时 阻止了外部未授权访问者对专用网络的非法访问 防火 墙还支持路由方式 提供静态路由功能 支持内部多个 子网之间的安全访问 5 入侵检测 思科的 ASA5505 SEC BUN K9 防火墙是为中小型企业设计的一款产品 它集 高安全性和高可扩展性于一身 能够对病毒 垃圾邮件 非授权访问等进行实 时监控 并提供 VPN 服务 为用户提供全面的保护 它构建于 Cisco PIX 安全 设备系列的基础之上 能够提供内部网到内部网和远程接入到内部网两种安全 保护 可以防御互联网中的病毒 间谍软件的攻击 并可阻止垃圾邮件和非法 连接 在提供安全网络环境的同时 也提高了员工的工作效率 为公司创造更 高的经济效益 3 4 4 VPN 公司员工可能需要经常出差或者在外办公 需要通过公网访问公司网络 这时数据在公网上传播就很不安全 所以我们需要一条专门的通道来安全传输 信息 这就是 VPN 虚拟专用网 VPN 被定义为通过一个公共网络建立一个临时的 安全的连接 是一条穿 过混乱的公共网络的安全 稳定的隧道 虚拟专用网事对企业内部网的扩展 虚拟专用可以帮助运程用户 公司分支机构 商业伙伴及移动办公用户的内部 网络建立可信的安全连接 并保证数据的安全传输 一个企业的虚拟专用网解 决方案也将大幅度减少用户花费在城域网和远程网络连接上的费用 VPN 业务都是基于隧道技术实现的 隧道机制是 VPN 实施的关键 数据 通过安全的 加密管道 在公共网络中传播 VPN 的隧道技术就是数据包不是 公开在网上传输 而是首先进行加密以确保安全 然后由 VPN 封装成 IP 包的 形式 通过隧道在网上传输 源网络的 VPN 隧道发起器与目标网络上的 VPN 隧道发起器进行通信 两者就加密方案达成一致 然后隧道发起器对包进行加 密 确保安全 为了加强安全 应采用验证过程 以确保连接用户拥有进入目 标网络的相应的权限 大多数现有的 VPN 产品支持多种验证方式 最后 VPN 发起器将整个加密包封装成 IP 包 现在不管原先传输的是何种协议 它 都能在纯 IP 因特网上传输 又因为包进行了加密 所以谁也无法读取原始数据 在目标网络这头 VPN 隧道终结器收到包后去掉 IP 信息 然后根据达成一致 的加密方案对包进行解密 将随后获得的包发给远程接入服务器或本地路由器 他们在把隐藏的 IPX 包发到网络 最终发往相应目的地 VPN 主要采用隧道技 术 加解密技术 密钥管理技术和使用者与设备身份认证技术 VPN 原理示意图 在本方案中 我们采用 ip VPN 技术 Ip VPN 是指在运行 ip 协议的网络上 实现 VPN 该 VPN 技术的实现是通过隧道 tunnel 进行连接 隧道技术通过 软件 叠加 在物理网络上这也是 VPN 虚拟特征的体现 借助隧道 VPN 还能 够使用内部网络中采用的安全和优先策略 使我们能够完全控制数据流 隧道 提供了一层名副其实的安全保障 目前各种 VPN 安全协议中 IPsec 的保密性是最好的 IPsec 使用了 IPsec 隧道模式 在这种隧道模式中 用户的数据