良品公司网络设备规划设计方案

项目实训设计说明书 良品公司网络设备规划设计方案 设设 计计 者 者 指导教师 指导教师 专专 业 业 计 算 机 网 络 技 术 系系 院 院 信 息 工 程 系 提交日期 提交日期 摘要 内容摘要内容摘要 21 世纪是一个以网络为基础的信息时代 作为计算机技术和通信技术相结 合的产物 计算机网络在这个时代发挥着它不可估量的作用 对人们的工作 学习 生活 行为和思维方式都产生着重要的影响 随着科学术的不断进步 计算机技术和网络技术都得到了长足的发展 越来越多的计算机连接到不同的 网络中 使得计算机网络不论从结构上还是规模上都发生了很大的变化 这给 计算机网络的建设提出了新的挑战 对实施网络工程也提出了新的要求 信息网络不再是虚拟 更是更加贴近我们生活 甚至我们已经离不开网络 正因为我们如此需要网络 网络购物 公司资料 等等 这些非常重要的资料 文件都存储在网络上 所以我们就更应该保证网络的安全和网络的畅通 在整 个网络中 我们需要实现一个很好的网络架构 安全 稳定 方便 根据预先 设计好的拓扑结构 思想进行设计 对路由器 交换机等配置来实现整个网络 架构 本文良品公司网络需求开始分析 根据主流网络设备进行选材 规划最适 用于目标网络的拓扑结构 建设合理的网络设计方案 首先 我们利用 visio 制图制作基本网络拓扑图来实现良品公司网络大体架构 本课题实施部分由 cisco 模拟器来搭建网络模拟拓扑结构 然后用对路由器交换机的相关配置 在虚拟和理论部悖逆的情况 并且达到理想的效果 进行现场实施 并测试其 结果最终验证网络的规划与设计符合企业的需求 在良品公司内部往往也涉及到不同部门需要使用不同的 vlan 划分 他们之 间需要权限 有些部门之间是允许互相访问 资源共享 而对于一些特定的部 门 是不允许他们之间进行访问 这样更能促进公司的发展 也能保证公司资 料安全不泄露等等 也需要对交换机和路由器进行密码设置 这样特别是核心 层交换机 一旦奔溃将使整个公司网络瘫痪 所以我们必须在核心交换机上面 实现交换机备份 这样无论是网络的安全性 稳定性 都提高了不少 关键词 局域网 拓扑结构 网络设备 目录 3 目 录 第一章 需求分析 4 1 1 项目背景 4 1 2 设计目标 4 1 3 用户实现需求 5 第二章 设计方案 5 2 1 设计原则 5 2 2 网络拓扑结构 6 2 3 VLAN 的分配和 ip 的划分 7 第三章 设备选型 7 3 1 交换机 7 3 2 路由器 9 3 3 服务器 13 第四章 安全策略 14 4 1 网络威胁分析 14 4 2 安全要求 14 4 3 安全产品选型 14 4 4 安全策略部署 15 4 4 1VLAN 技术 15 4 4 2 访问控制列表 16 4 4 3 VPN 17 4 5 防火墙部署 18 第五章 方案实现结果 20 第六章 总结 21 第一章 需求分析 4 第一章第一章 需求分析需求分析 1 1 项目背景项目背景 良品公司是一家中型企业 企业规模为 800 多人 企业办公地址主要为 一栋 20 层大楼 有销售部 办公室 生产部 后勤部及信息中心等多个部门 公司为了加快信息化建设 集团企业网将建设一个以集团办公自动化 电 子商务 业务综合管理 多媒体视频会议 远程通讯 信息发布及查询为核心 以现代化网络技术为低耗 技术先进 扩展性强 将企业的各种办公室 多媒 体会议室 网络终端设备 应用系统通过网络连接起来 实现内外沟通的现代 化计算机网络系统 1 2 设计目标设计目标 1 高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证 在设计 中选用高可靠性网络产品 合理设计网络架构 制定可靠的的网络备份策略 保证网络具有故障自愈的能力 最大限度的支持各个系统的正常运行 2 技术先进性和实用性 保证满足系统业务的同时 又要体现出网络系统的 先进性 在网络设计中要把先进的技术与现有的成熟技术和标准结合起来 充 分考虑到公司网络应用的现状和未来的发展趋势 3 高性能 承载网络性能是网络通讯系统良好运行的基础 设计中必须保障 网络及设备的高吞吐能力 保障各种信息的高质量传输 才能使网络不成为公 司各项业务开展的瓶颈 4 标准开放性 支持国际上通用标准的网络协议 国际标准的大型的动态路 由协议等开放协议 有利于保证与其他网络之间的平滑连接互通 以及将来网 络的扩展 5 灵活性及可扩展性 根据未来业务的增长和变化 网络可以平滑地扩充和 升级 减少最大程度对网络架构和设备的调整 第二章 设计方案 5 5 6 可管理性 对网络实行集中监测 分权管理 并统一分配带宽资源 选用 先进的网络管理平台 具有对设备 端口等的管理 流量统计分析 及可提供 故障自动报警 7 安全性 制定统一的骨干网安全策略 整体考虑网络平台的安全性 1 3 用户实现需求用户实现需求 1 实现公司内部资源共享 即文件服务器 但是对不同的资源要有相应的权 限 2 公司各部可以通过即时通信软件联系 建立公司邮件服务器 3 打印机共享 4 架设公司 web 服务器 发布公司网站 5 为了保证安全 Internet 与公司内部网络间采用防护措施 防止外界对 内部网络未经授权的访问 第二章第二章 设计方案设计方案 2 1 设计原则设计原则 随着计算机网络的不断发展 信息全球化已成为人类发展的大趋势 由于网 络的开放性 互连性等特征 致使网络易受黑客 恶意软件和其他不轨的攻击 所以网上信息尤其是企业内部网络信息的安全和保密是一个至关重要的问题 故此 网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性 这样才能 确保网络信息的保密性 完整性和可用性 中小企业局域网通常规模较小 结构相对简单 对性能的要求则因应用的同 步而差别较大 许多中小企业网络技术人员较少 因而对网络的依赖性很高 要求网络尽可能简单可靠 易用 降低网络的使用和维护成本 提高产品的性 能价格比就显得尤为重要 1 把握好技术先进性与应用简易性之间的平衡 2 具有良好的升级扩展能力 3 具有较高的可靠性和安全性 4 产品功能与实际应用需求相匹配 第二章 设计方案 6 6 5 尽可能选择成熟 标准化的技术和产品 第二章 设计方案 7 2 2 网络拓扑结构网络拓扑结构 网络方案逻辑结构图 第三章 设备选型 8 物理结构图 2 3 VLAN 的分配和的分配和 ip 的划分的划分 第三章第三章 设备选型设备选型 3 1 交换机交换机 Quidway S6506 第三章 设备选型 9 Quidway S6500 系列高端多业务交换机是华为 3Com 公司面向 IP 城域网 大型企业网及园区网用户的系列大容量 高密度 模块化的二 三层线速以太 网交换机产品 为域网 园区网 数据中心提供超高速链路 构建端到端以太 网络 打造低成本 高性能 具有丰富业务支持能力的高性能网络 Quidway S6500 提供大容量 高密度 模块化的二 三层线速转发性能 同时具有丰富 的业务功能 强大的 QoS 保障 完善的安全管理机制和电信级的高可靠设计 完全满足行业客户和运营商用户对多业务 高可靠 14 大容量 模块化的需求 主要作为企业的核心交换机或城域网汇聚层交换机 该系列包括 S6502 2 槽 S6503 4 槽 S6506 7 槽 S6506R 8 槽 S6506 的产品特点 先进的体系结构 S6500 采用全分布式体系结构设计 通过 Crossbar 技术 进行高速报文交换 从而大大提升了路由交换机的转发性能和扩充能力 Crossbar 交换网芯片内置于主控板 不再单独占用设备槽位 可提供高达 768G 的交换容量 强大的 QoS 能力和精细化用户管理 每端口支持 8 个硬件队列 带宽控制 粒度可达 64Kbps 强大的用户管理 认证计费功能支持 支持 CAMS 综 合访问控制管理服务器 系统 提供专业用户管理 计费解决方案 内置 IEEE 802 1x 认证服务器功能 内置 DHCP SERVER 功能 运营级可靠性设计 系统采用分布式结构 S6500 系列所有单板支持热插 拔 支持 STP RSTP MSTP 协议和 VRRP 协议 能够满足苛刻的电信级网络 可靠性要求 支持双路电源供电 完善的安全机制 支持标准 Radius 协议 同时提供 Radius 功能 支持 TACAS 协议 HCBM 华为可控组播管理协议 功能支持 保证对用户的 精确认证 支持 SSH V1 2 基于最长匹配的路由方式 保证了所有报文均 获得相同的转发性能 对 红码病毒 和 冲击波病毒 的攻击具有天生 的防御能力 接入交换机 Quidway S3526C 第三章 设备选型 10 Quidway S3500 系列快速智能三层交换机是华为 3Com 公司为充分满足 高 QoS 保证的需求而推出的智能型以太网交换机 包括 S3526C S3526E FS S3526E FM 三款类型 Quidway S3500 系列快速智能三层交换机支持 L2 L7 层的流分类 在流分类的基础上可以进行 ACL 和 QoS 方面的多种操作 提供完善的路由协议 VLAN 控制 流量交换 QoS 保证的机制 以及完备的 业务控制和用户管理能力 可作为关注业务管理控制能力的局域网 企业网 业务网和驻地网的汇聚三层交换机 S3526C 产品特点 完备的安全智能控制策略 Quidway S3500 系列快速智能三层交换机 支持 802 1x 认证 在用户接入网络时完成必要的身份认证 还可以通 过灵活的 MAC IP VLAN PORT 任意组合绑定 有效的防止非法用户 访问网络 支持多种 ACL 访问控制策略 能够对用户访问网络资源 的权限进行设置 保证网络的受控访问 丰富的 QoS 策略 Quidway S3500 系列快速智能三层交换机通过对 ACL 的引用来完成 QoS 流分类规则的定义 支持基于二层 三层 四层 和端口的信息作为匹配依据的复杂流分类 根据服务质量要求的为不 同数据流网络流量设置传输优先级标记 满足视频 语音等重要应用 的需求 多样的管理方式 Quidway S3500 系列快速智能三层交换机支持 SNMP 可支持 Open View 等通用网管平台 以及 Quidview iManager 网管 系统 支持 Web 网管 TELNET HGMP 集群管理 使设备管理更方便 3 2 路由器路由器 Quidway NetEngine 80 第三章 设备选型 11 Quidway NetEngine 80 核心路由器是华为公司推出的高端网络产品 主要应用 在 IP 骨干网 IP 城域网骨干层以及各种大型 IP 网络的核心位置 基于分布式 的网络处理器硬件转发和无阻塞交换技术 其电信级可靠性 线速转发性能 完善的 QoS 机制 丰富的业务处理能力 优异的扩展能力 满足不断增长的数 据和互联网业务对网络骨干设备的需求 NE80 是 IP 骨干网和 IP 城域网向宽带 化 安全化 业务化发展的重要源动力 NE80 的产品特点 分布式第五代路由器 NE80 作为第五代路由器采用了业界高性能网络处理 器技术 充分继承了第四代全分布式硬件处理的架构 有机地结合了软件的 灵活性和硬件的高性能 又具备快速良好的业务升级和扩展能力 最大限度 地保证用户投资 NE80 都可以仅通过软件升级方式提供硬件的 IPv6 转发 性能 不需重新购买 IPv6 硬件设备 为用户节省了大量费用 充分保护用 户投资 体现出第五代路由器的优异的扩展能力 业务丰富 NE80 基于分布式硬件处理 具备高性能的网络业务能力 提供 全面的 MPLS VPN 业务 胜任高性能 P PE 应用 提供高品质 安全和多层次 的 MPLS VPN 解决方案 提供高性能组播能力 提供千兆线速 NAT 等各种业 务 NE80 具备快速良好的业务扩展能力 全面支持 IPv6 第三章 设备选型 12 强大的路由能力 线速的转发性能 NE80 支持 IP MPLS 分布式转发 路由 能力强大 适合 IP 骨干网应用 支持大路由表 支持丰富的路由协议包括 RIP OSPF IS IS BGP4 和多播路由协议 在复杂路由环境下稳定自如 电信级可靠性 NE80 各关键部件包括路由处理系统 交换网系统 时钟系 统 电源 管理总线全部为冗余热备份 实现基于状态的热切换和不间断 的路由转发 所有组件支持热插拔 采用无源背板设计 提供热补丁技术 实现软件完全平滑升级 提供 IP MPLS 快速重路由 接口自动保护切换 MSP 虚拟路由冗余协议 VRRP RPR 自愈环网 IPS 等保护机制 有效保证了全网运行的高速可靠 无与伦比的性能价格比 S6500 提供系列化机箱和系列化超级引擎 可以根 据不同组网需要进行灵活配置 15 S6500 提供多种高密度百兆 千兆 万 兆接口板 有效简化网络结构 降低建网成本 S6502 无需专门的主控交 换引擎 主控交换功能内置于接口板内部 进一步降低建网成本 强大的扩展性能 S6500 具有强大的性能和业务扩展能力 背板带宽高达 1 6Tbps 可以实现灵活的智能化业务能力 如 NAT MPLS IP v6 等高级业 务特性 从而有效保障用户的投资 外网部分外网部分 在设计外网时 路由器使用 Quidway R3640E 交换机使用 Quidway S3026F 出口为国产知名品牌的防火墙天融信网络卫士 4000 UF 天 融信网络卫士 4000 UF 严格的安全区域保护 NGFW4000 UF 采用多安全区域体系 NGFW4000 UF 防火墙的每个物理接口对应一个独立的防火区域 每个区域的安全策略 只对该区域有效 每个区域可以单独设置自己的默认安全策略 所有对 该区域的访问都将匹配与该区域对应的安全策略 也可以设定是否允许 从该区域 PING TELNET 以及管理防火墙 可以定义某个接口连接的网 第三章 设备选型 13 络为安全服务器网络 SSN Security Server Network 将提供信 息访问服务的服务器安装于该网络区域内 与内 外网络从物理上隔离 开来 并提供专门的安全保护 NGFW4000 UF 一般情况下 SSN 主机不允许主动向内 外网发起连 接请求 只允许向内 外网回应其请求数据包 外网用户也只能访问 SSN 上的主机 不能访问内部网主机 即 SSN 与外部网之间受防火墙保 护 同时 SSN 与内部网之间也受防火墙保护 即使 SSN 受破坏 内部网 络仍处于防火墙保护之下 同时 NGFW4000 UF 提供的 SSN 保护功能针对 用户最常提供的 Web 访问服务进行专门保护 能定时检查 SSN 区 Web 服 务器 进行校验 一旦发现服务器被入侵修改 能够根据备份的信息及 时恢复服务器内容 将服务器被入侵修改造成的影响减至最小 强大的 VPN 功能 NGFW 4000 UF 支持内建 VPN 功能模块 选择拥 有 VPN 功能的 NGFW4000 UF 就能够与 VPN 体系中的 VPN 网关 Windows 客户端 当然也包括另外的启用了 VPN 功能的 NGFW 4000 UF 互通 它 们之间可以建立加密隧道进行加密通信 形成虚拟专用网 借助互联网 组建安全可靠的私有网络 NGFW 4000 UF 防火墙支持内嵌 VPN 模块支持 支持 IPSEC IKE 等国际标准 支持国家有关密码管理部门批准的密码算 法 支持网关到网关 网关到远程客户端的隧道 NGFW 4000 UF 无缝集成 VPN 功能 就相当于一台 VPN 网关与一台防 火墙两套系统组合起来 更好地管理维护 而且由于是内建的功能支持 功能间的结合更加平滑易用 并且可以实现防火墙能对密文和解密后的明 文进行多层次的安全控制 提供更高的安全性 该方案中使用网络卫士 4000 UF 是基于网络安全的考虑 企业网络对安全要求较高 保证高效办 公的同时又要保证政务办公网的安全 因此政务办公网和 Internet 外网络 必须进行隔离 NGFW 4000 UF 的 SSN 技术可以满足这一要求 对于 Internet 用户 考虑到有些领导在出差时期需要进行移动办公 移动办公 基于安全的考虑使用 VPN 拨号 因此要求防火墙具有强大的 VPN 功能 在 保证移动办公的同时 又保证了政务办公网的安全 第三章 设备选型 14 3 33 3 服务器服务器 DNS 服务器 采用浪潮英信系列服务器 NF130 G2 一台 选用主频为 Intel XEON 2 8MHz 512K 的 CPU 两块 内存为 2G 服务器硬盘采用 36 4G 二块做 RAID1 来保护操作系统的安全 操作系统采用 Windows Server 2003 标准 版 运行 DNS 服务来进行域名解析服务 并于邮件服务器相配合完成邮件 的内 外网的收发工作 WEB 服务器 采用浪潮英信系列服务器 NF130 G2 一台 选用主频为 Intel XEON 2 8MHz 512K 的 CPU 两块 内存为 2G 服务器硬盘采用 36 4G 二块做 RAID1 来保护操作系统的安全 操作系统采用 Windows Server 2003 标 准版 运行 IIS Server 6 0 来进行网站的发布 通过此网站来实现对 用户 Internet 平台的统一界面 能够为客户提供通过 Internet 进行办 公信息 的发布和查询等功能 认证服务器 采用华为的 CAMS 综合访问管理服务器 该服务器采用 Linux 9 系统平 台 Oracle9 0 数据库 CAMS 作为网络中的用户管理核心 在基本的 AAA Authorization Authentication and Accounting 功能之上 提供了强大的管理 维护和安全控制平台 实现网络的可管理 可运营 和高安全 第四章 安全策略 15 第四章第四章 安全策略安全策略 4 1 网络威胁分析网络威胁分析 公司网络的安全风险可能包括以下几个 1 公司网络与公网连接 可能遭到来自各地的越权访问 还可能遭到网络黑客 的恶意攻击和计算机病毒的入侵 2 内部的各个子网通过骨干交换相互连接 这样的话 某些重要的部门可能会遭到来自其它部门的越权访问 这些越权访 问可能包括恶意攻击 误操作 等 据统计约有 70 左右的攻击来自内部用户 相比外部攻击来说 内部用户具有更得天独厚的优势 但是无论怎样 结果都 将导致重要信息的泄露或者网络的瘫痪 3 设备的自身安全性也会直接关系到 网络系统和各种网络应用的正常运转 例如 路由设备存在路由信息泄漏 交 换机和路由器设备配置风险等 重要服务器或操作系统自身存在安全的漏洞 如果管理员没有及时的发现并且进行修复 将会为网络的安全带来很多不安定 的因素 重要服务器的当机或者重要数据的意外丢失 都将会造成公司日常办 公无法进行 4 2 安全要求安全要求 1 物理安全 包括保护计算机网络设备设施以及数据库资料免遭地震 水灾 火灾等环境事故以及人为操作失误导致系统损坏 同时要避免由于电磁泄漏引 起的信息失密 2 网络安全 主要包括系统安全和网络运行安全 检测到系 统安全漏洞和对于网络访问的控制 3 信息安全 包括信息传输的安全 信息存储的安全以及对用户的授权和鉴别 4 3 安全产品选型安全产品选型 1 安全保密产品的接入应不明显影响网络系统运行效率 并且满足工作的要 第三章 设备选型 16 求 2 安全保密产品必须通过国 管部门指定的测评机构的检测 安全保密产 3 品必须具备自我保护能力 4 安全保密产品必须符合国家和国际上的相关标准 5 安全产品必须操 作简单易用 便于简单部署和集中管理 4 4 安全策略部署安全策略部署 4 4 1VLAN 技术技术 VLAN Virtual Local Area Network 的中文名为 虚拟局域网 VLAN 是一种将局域网设备从逻辑上划分成一个个网段 从而实现虚拟工作组的新兴 数据交换技术 VLAN 要为了解决交换机在进行局域网互连时无法限制广播的问 题 这种技术可以把一个 LAN 划分成多个逻辑的 VLAN 每个 VLAN 是一个广播 域 VLAN 内的主机间通信就和在一个 LAN 内一样 而 VLAN 间则不能直接互通 这样 广播报文被限制在一个 VLAN 内 这样就大大的增加了局域网内部的此信 息安全性 将各部门划属不同的 VLAN 它们之间是不能通信的 这样能有效避 免部门间的越权访问 特别是像资产管理部这样的数据比较敏感的部门 对于 那些与他不属于一个 VLAN 的电脑是无法访问它的 同时 这样还防止广播风暴 的发生 避免过多广播包占据带宽造成网络拥塞 另外 VLAN 为网络管理带来 了很大的方便 将每个部门划分为一个 VLAN 每个 VLAN 内的客户终端需求是 基本相似的 对于故障排查或者软件升级等都比较方便 大大提高了网络管理 人员的工作效率 各个 vlan 之间数据的传输 必须经过 trunk 链路 Trunk 是一种封装技 术 它是一条点到点的链路 链路的两端可以都是交换机 也可以是交换机和 路由器 基于端口汇聚的功能 允许交换机与交换机 交换机与路由器 交 换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽 更大吞吐量 大幅度提高整个网络的能力 Trunk 端口一般为交换机和交换机 之间的级联端口 用于传递所有 vlan 信息 Trunk 链路配置命令 Switch config interface range interface number 第三章 设备选型 17 Switch config if range switchport trunk encapsulation dot1q Switch config if range switchport mode trunk Switch config if range exit VLAN 技术中用到的协议有 vtp vlan trunking protocol 这是 vlan 中继 协议 也被称为虚拟局域网干道协议 它是思科的专有协议 vtp 可以减少 vlan 的相关人物管理 VTP 基本配置命令 Switch vlan vtp domain domain name Switch vlan vtp mode server client transparent Switch vlan vtp password password Switch vlan trunk on off desirable auto nonegotiate Switch vlan exit Switch vlan vlan vlan id name vlan name 4 4 2 访问控制列表访问控制列表 访问控制是网络安全防范和保护的主要策略 它的主要任务是保证网络资 源不被非法使用和访问 它是保证网络安全最重要的核心策略之一 访问控制 涉及的技术也比较广 包括入网访问控制 网络权限控制 目录级控制以及属 性控制等多种手段 访问控制列表 ACL 是应用在路由器接口的指令列表 这些 指令列表用来告诉路由器哪能些数据包可以收 哪能数据包需要拒绝 使用访 问控制列表不但能过滤通过路由器的数据包 而且也是控制网络中数据流量的 一个重要方法 ACL 示意图 第四章 安全策略 18 标准访问列表配置命令 Router config access list access list number permit deny source mask 扩展访问列表配置命令 Router config access list access list number permit deny protocol source source wildcard operator port destination destination wildcard operator port established log 4 4 3 VPN 公司员工可能需要经常出差或者在外办公 需要通过公网访问公司网络 这时数据在公网上传播就很不安全 所以我们需要一条专门的通道来安全传输 信息 这就是 VPN 虚拟专用网 VPN 被定义为通过一个公共网络建立一个临时的 安全的连接 是一条穿 过混乱的公共网络的安全 稳定的隧道 虚拟专用网事对企业内部网的扩展 虚拟专用可以帮助运程用户 公司分支机构 商业伙伴及移动办公用户的内部 网络建 第四章 安全策略 19 立可信的安全连接 并保证数据的安全传输 一个企业的虚拟专用网解决 方案也将大幅度减少用户花费在城域网和远程网络连接上的费用 VPN 业务都是基于隧道技术实现的 隧道机制是 VPN 实施的关键 数据 通过安全的 加密管道 在公共网络中传播 VPN 的隧道技术就是数据包不是 公开在网上传输 而是首先进行加密以确保安全 然后由 VPN 封装成 IP 包的形 式 通过隧道在网上传输 源网络的 VPN 隧道发起器与目标网络上的 VPN 隧道 发起器进行通信 两者就加密方案达成一致 然后隧道发起器对包进行加密 确保安全 为了加强安全 应采用验证过程 以确保连接用户拥有进入目标网 络的相应的权限 大多数现有的 VPN 产品支持多种验证方式 最后 VPN 发 起器将整个加密包封装成 IP 包 现在不管原先传输的是何种协议 它都能在纯 IP 因特网上传输 又因为包进行了加密 所以谁也无法读取原始数据 在目标 网络这头 VPN 隧道终结器收到包后去掉 IP 信息 然后根据达成一致的加密方 案对包进行解密 将随后获得的包发给远程接入服务器或本地路由器 他们在 把隐藏的 IPX 包发到网络 最终发往相应目的地 VPN 主要采用隧道技术 加 解密技术 密钥管理技术和使用者与设备身份认证技术 VPN 原理示意图 4 5 防火墙部署防火墙部署 防火墙 第四章 安全策略 20 思科的 ASA5505 SEC BUN K9 防火墙是为中小型企业设计的一款产品 它集 高安全性和高可扩展性于一身 能够对病毒 垃圾邮件 非授权访问等进行实 时监控 并提供 VPN 服务 为用户提供全面的保护 它构建于 Cisco PIX 安全 设备系列的基础之上 能够提供内部网到内部网和远程接入到内部网两种安全 保护 可以防御互联网中的病毒 间谍软件的攻击 并可阻止垃圾邮件和非法 连接 在提供安全网络环境的同时 也提高了员工的工作效率 为公司创造更 高的经济效益 1 包过滤 控制流出和流入的网络数据 可基于源地址 源端口 目 的 地址 目的端口 协议和时间 根据地址簿进行设置规则 2 地址转换 将内部网络或外部网络的 IP 地址转换 可分为源地址转 换 Source NAT SNAT 和目的地址转换 Destination NAT DNAT SNAT 用于对内 部网络地址进行转换 对外部网络隐藏起内部网络的结构 避免受到来自外部 其他网络的非授权访问或恶意攻击 并将有限的 IP 地址动态或静态的与内部 IP 地址对应起来 用来缓解地址空间的短缺问题 节省资源 降低成本 DNAT 主要用于外网主机访问内网主机 3 认证和应用代理 认证指防火墙对访问网络者合法身分的确定 代理 指防 火墙内置用户认证数据库 提供 HTTP FTP 和 SMTP 代理功能 并可对这三 种协议进行访问控制 同时支持 URL 过滤功能 防止员工在上班时间访问某些 网站 影响工作效率 4 透明和路由 将网关隐藏在公共系统之后使其免遭直接攻击 隐蔽 智 能网关提供了对互联网服务进行几乎透明的访问 同时阻止了外部未授权访 问者对专用网络的非法访问 防火墙还支持路由方式 提供静态路由功能 支持 内部多个子网之间的安全访问 第五章 方案实现效果 21 第五章第五章 方案实现结果方案实现结果 网络工程实施完成后 主要实现以下功能 首先是公司内部办公资源的高 度共享 通过 FTP 服务 员工可按权限上传下载资料 上传权限只赋予网络管 理人员 下载权限根据文件性质设定 一般按部门来限定文件的下载权限