网络安全项目解决方案毕业论文.doc

网络安全项目解决方案毕业论文目 录华夏公司简介3引 言4第一章 项目需求分析51.1.项目背景51.2.需求析6第二章 网络总体建设目标72.1.网络建设目标72.2.网络及系统建设内容及要求72.3.网络设计原则8第三章 网络总体设计93.1.网络总体拓扑图93.2 网络层次化设计113.3 核心层设计123.4 接入层设计123.5 内联接入12第四章 路由设计134.1 路由协议选择134.2 路由规划拓扑图134.3 IP地址规划14第五章 网络安全解决方案155.1 网络边界安全威胁分析155.2 网络内部安全威胁分析165.3 管理的安全威胁分析165.4 安全产品选型原则175.5 网络常用技术介绍17第六章 产品简介216.1 PIX 525防火墙216.2 Cisco 2800 系列集成多业务路由器216.3 Cisco Catalyst 3560 系列集成交换机226.4 Cisco Catalyst 2960 系列集成交换机226.5 ISA防火墙236.6 操作系统236.7 网管软件选择24第七章 设备清单及报价24第八章 项目实施方案258.1 项目组织结构258.2 项目人员分工258.3 项目实施前的准备工作278.4 安装前的场地准备288.5 核心及各网点的安装调试28第九章 网络测试299.1 网络测试目的299.2 测试文档30第十章 网络设备基本配置3210.1.网络描述3210.2.设备基本配置33第十一章 网络设备的技术实施方案3611.1 trunk配置3611.2 VTP配置3711.3 VLAN配置4011.4 STP配置4111.5 HSRP配置4111.6 OSPF配置4311.7 NAT配置4411.8 VPN配置4511.9 轮训配置4811.10 PPP配置50第十二章 项目测试5012.1查看物理连结、工作环境、网络设备工作是否合格5012.2 VLAN的测试5212.3 trunk的测试5312.4 STP生成树测试5312.5 HSRP的测试5412.6路由的测试5512.7DNS测试5512.8DHCP测试5612.9MAIL测试5612.10WEB测试5712.11FTP测试5712.12AD测试5712.13 服务器测试5812.14 文件备份测试5812.15 NAT&ACL测试5912.16 PPP测试6012.17 轮训测试6012.18 VPN测试60致 谢62第一章 项目需求分析1.1. 项目背景 朝阳服装设计有限公司是一家注册资金5000万、集服装设计、服装加工、服装销售与于一体的有限责任公司，公司法人代表伍卫国。随着Internet的迅速发展，更多的人热衷于通过网络进行网上购物。为适应当今的市场需求，朝阳公司决定构建内部网络，以实现与其他代理商、顾客、本公司工作人员等众多人的良好沟通。为了保证构建网络的质量、工期、成本，朝阳公司网络单列为项目，组织专业人员讨论并编写了招标文件，从社会公开招标，通过竞争来选择有实力的系统集成公司对此次项目进行实施本项目的目标是：“建立一个设计规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台，以高效率，高速度，低成本的方式提高公司员工的工作效率与执行效率”。以下是规划贵公司需要面临的问题：1：朝阳公司总部有销售部、设计部、人事部、生产部、财务部以及其它工作人员，为提高网络的安全性、防止网络因单块网卡故障引起的网络问题，因此要进行广播域的范围控制同时要防止网络中环路的产生。2：由于总公司与分公司之间有大量的数据进行传输，总公司分公司之间的数据传输的安全性、可靠性、以及传输速率也是我们必须考虑的问题。3：由于总公司承载这整个公司的运行，因此总公司网络的稳定性、安全性是进行网络规划面临的重要问题。4：考虑到公司网络运行的廉价性，要尽可能少的运用公网IP地址的。5：由于总公司有自己的网络服务器，服务器及操作系统的选择也是该网络面临的重要问题（我们将根据贵公司建议及要求的进行服务器选择）。6：由于公司有众多的服务器，因此中心机房的室内环境以及中心机房的网络防护设施、电路的安全性都是必须考虑的问题。7：由于总公司是公司的重要部们，总公司要具有一定的冗余、容错能力。8：考虑到公司构建网络的廉价性，我们要做到用传输速率较低的传输介质承载较高的带宽。9由于web服务器访问人员较多，服务器的负载均衡也是必须考虑的问题。10、由于公司的不断的发展，因此网络要具有良好的扩展性（体现方式），以满足未来网络的需求。本期工程项目完成后，网络平台总部内有大型服务器提供服务，外接分支机构网络平台的设计用户节点数总部为1000或更多用户分部地为10-50个用户、少量的外出工作人员等人。要能够实现公司内大型服务器高效、稳定的运行，同时能够实现公司员工能够方便、快捷的登录公司内部网站以及Internet。 1.2. 需求析 满足公司信息化的要求,为各类应用系统提供方便、快捷的信息通路；具有良好的性能，能够支持实时性的数据传输；能够可靠运行，具有较低的故障率和维护要求。提供网络安全机制，满足公司信息安全的要求，具有较高的性价比，未来升级扩展容易，保护用户投资；同时要保证用户使用简单、维护容易，为用户提供良好的售后服务。本项目的网络可以划分总部和分部以及外出移动的工作人员三部分构成。总部地点分为数据中心、核心交换区、服务器和普通员工接入等。数据中心作为工厂生产运营系统（如ERP系统，人事考勤系统，财务计量系统等等）的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求极高，在这里我们建议将其放在中心机房（中心机房室内的温度、空气湿度、安全防护设施等各项性能指标都要达到标准中心机房的性能指标）、使用性能较好的思科交换机同时做二层和三层的冗余备份、传输介质建议使用千兆以太网甚至光纤，同时使用与之相匹配的网络防火墙；我们在进行网络设计不仅要能够保证其安全性的，同时还保证网络的性能以及网络运行的可靠性，而核心交换区的功能是高速可靠地交换数据，因此该部分的设计应考虑性能和可用性的平衡。作为外联单位接入区域，其安全性应该是放在第一位，同时，生产运营系统的运行离不开网络和数据中心的连接，适当性的冗余是必须的技术。分部地点办公网络做为内部互联单位，可信度较高，因此其内部网络的可用性是首要考虑因素。为了能够使外出的工作人员能够安全的、廉价的访问公司内部服务器实现跨Internet办公，显然VPN使最佳选择。对于外部的接入，我们建议通过easy VPN进行拨号接入，以实现廉价、安全的数据通信。当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。在网络规模相对较大的时候，合适的网管系统可以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率。在服务器vlan中有windows2003平台以及linux平台，搭建有dhcp服务器，有dns服务器实现域名解析，有www服务器，实现局域网络内部的信息服务，要求使用集群技术和raid-5技术以及ftp服务器，实现文档的上传和下载，要求采用配额。对于网络设备的管理我们建议将重要设备放入中心机房，这样便于网络设备的统一管理、给予合理的运行环境。公司的资源是公司的重要财富，我们将通过防火墙配置严格限制外部人员对公司重要服务器的访问、同时我们会让计算机在网络运行过程中做好每天的数据备份工作。第二章 网络总体建设目标2.1 .网络建设目标 以先进、成熟的网络应用技术，设计和规划朝阳公司网络系统；采用先进的计算机、网络设备和软件，以及先进的系统集成技术，构建一个高效的办公网络。从实际出发，正确地规划和设计的计算机网络。为企业实现数据共享、资源共享，提供稳定的信息交换和网络系统服务平台。此项系统网络项目工程的建设目标主要包括以下方面：1.为公司的业务数据提供便捷的查询服务。2.搭建公司核心网络及服务器,以实现生产、销售等系统的高效运行。各公司用户能够进行资源共享，并能够进行上网查资料，电子邮件，对外发布网站等等。3.确保企业内网的安全性，为服务器和客户机提供安全可靠的网络环境，按要求实现网络安全的需求。4.WEB服务器：公司在CNNIC处申请了域名以及对应的固定IP，搭建公司门户站点。同时公司有自己的内网域名，发布公司动态等信息。5按照“高效能、低成本”的要求，采用核心交换层、接入层的两层网络结构，这样易于维护，且具有较高的性价比。6要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来15-20年内的系统扩展。以后如果公司收购其它离总公司较近的公司我们可以直接在总公司路由器上添加模块，通过专用线路进行连接。如果距离较远，我们可以通过IPSEC的VPN进行链接。7. 要对员工用户安全、帐户管理、用户权限管理、网络访问控制等，并提供完善的日志功能。8通过多种网络技术组建一个高效、稳定、可靠、易管理、安全的企业网。9 良好的售后服务支持。2.2 .网络及系统建设内容及要求 根据公司中心机房的网络情况，我们把整个网络分为内部交换网络设计、网络出口设计，网络安全设计几大部分。对于内部交换网络我们采用分层设计。内部交换网络分成核心层和接入层两大部分。公司数据中心网络平台承载着公司所有的关键核心业务，设计时，保证中心机房网络的高可用性和稳定性至关重要，故设计时中心路由交换机建议采用双机热备（HSRP），各分支交换机两条上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN 技术，使得对于网络内有关Server 的访问变得更加安全有效。 对于总公司与分公司（两者之间的距离较近）之间的通信我们采用专用的线路（使用广域网连接的PPP协议）进行数据通信。这样，不仅能够满足分公司大量数据的快速传输，同时还能够保证数据的安全性。 对于外部用户的拨入，我们通过easy VPN进行。easy VPN是通过Internet建立的一种临时的、安全的网络链接，是外出移动工作人员远程拨入公司内部的最佳选择。 对于边界网络接入网络（与合作伙伴、分支机构以及Internet 接入通称为边界网络），网络的安全性将是一个需要考虑的非常重要的因素。所以确保在网络的边界处部署相应的安全策略以防止黑客和各种恶意代码的攻击至关重要，同时边界处的设备的冗余设计也是设计考虑的一个重要因素，防止单点故障。对于服务器，采用RID5磁盘阵列，数据除第一次用完全备份后，以后每天做增量备份，备份的的服务器或设备单独放置其他全安地点。 2.3.网络设计原则 网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则 、经济性原则 、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证等。 作为一家优秀的系统集成商，向用户提供的不仅仅是设备，而是整套的技术与服务。在方案设计时，我们将严格遵循以下设计原则：1：可用性 构建一个网络，可用性是最基本的网络设计目标。由于本网络对数据的安全性要求较高，因此在网络的总体设计时重点要考虑的是网络本身的安全性以及设备自身的安全性。2：高可靠性 网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的备份策略和快速恢复策略，保证网络和系统具有故障自愈的能力，最大限度地支持各个系统的正常运行。3：安全性 在当今这样社会是一个信息社会的时代，信息的安全性将这接影响到企业的综合效益。因此网络的建设中安全性显的尤为重要。因此，整个网络必须保证万无一失的安全性，并对各个部门的信息要有严格分离保护的办法，防止网络黑客非法入侵。网络系统应配备全面的病毒防治和安全保护功能。4：易操作以管理性 在保证网络各方面性能的同时，也要注意网络管理的易操作以管理性。网络布线的设计要求便于管理和维护，当某条链路出现故障时，必须保证可以在主设备间或配线间内重新配置。对于常用网络设备的管理要尽量做到使用图形界面进行管理，这样便于操作。5：可扩展性 对于企业来说，发展迅速具有不可预料的特点。因此，要保证网络具有较好的可扩张性。它包括IP地址的可扩展性物理链路的可扩展性。6：冗余性 在网络的规划是要考虑具有适当的冗余度。软硬件设备都应具有一定的冗余性，以提高网络的运行效率（主要是总公司）。7：容错性 不能因某台设备的故障而影响到整个主干网络的正常运行；尽量做到任意一条链路的中断不能使得主干网络的任何部分中断工作。第3章 网络总体设计3.1.网络总体拓扑图 考虑到总公司的实际需求（总公司办公楼三座，员工住宿楼5座公司实际人数800人），因此在进行网络设计是不仅要考虑二成的冗余，同时还要进行三层的冗余。在二层冗余建议使用思科的私有协议每VLAN生成树协议，由于总共五个部门，不会因为广播BPDU帧而影响网络的正常运行，而且还可以充分利用现有的网络资源，防止单台核心设备的负载太重而导致的网络性能问题。在进行三层冗余时，我们建议采用两台Cisco Catalyst 3560（或使用49系列） 做热备，同时使用Cisco 私有热备份路由协议技术（HSRP）。Cisco Catalyst 35系列交换机是一种价格低廉，有较高转发速率的三层交换机，同时还是CISCO生产线中适合做HSRP的交换机之一。HSRP是思科的私有协议，它的优点是网络的收敛速度快，能够更好的使用网络变化，它可以根据需求配置成多组HSRP，实现网络的冗余容错等功能，这样设计不但保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。由于公司的MAIL、DNS服务器都很少进行配置的更改，我们建议使用高端、稳定、具有良好安全性的LINUX操作系统；对于FILE、FTP、WEB 2（由于使用两台web，我们建议web1使用liunx操作系统）作为公司中需要不断的进行性能改善与配置更改得设备，我们建议使用易操作、以管理的window操作系统。对于AD的选择，由于要不断的进行策略的更改下发、加上LINUX系统域服务远不如WINDOW，我们建议使用window操作系统，这样便于网络管理员进行操作。由于公司有大量的顾客以及公司员工要访问公司web服务器，我们将通过在核心路由器上配置轮训，以实现两台web服务器的负载均衡。 由于分公司也连接internet，那么内部网络安全问题仍然不能忽视。分公司人员只有40-50人，那么访问internet占用的流量不多我们建议使用ISA来做分公司的网络防火墙。这样虽说能够承载的网络流量不如硬件防火墙，但能够满足分公司的现在以及未来的网络需求。 对于外出的工作人员，他需要了解公司的相关情况，我们建议通过使用廉价、方便、快捷的easy VPN实现外出用户的远程拨入，同时这样还能为公司工作人员实现家庭办公提供有利的条件。 由于总公司与分公司相距较近，且两公司之间有大量的实时数据进行传递，同时从安全的角度进行考虑，总公司与分公司之间使用专线连接（协议选择PPP协议）是最佳选择。为保证网路的冗余性如果专线出现问题，我们建议分公司通过IPSEC VPN实现与总公司的网络链接。 如上图所示，整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等，各区域相对独立，通过核心网络进行数据的交互。各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特性，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。 作为总公司，需要向分公司及总公司内的员工进行软件的安全，策略的发布等。如果通过管理员手动设置的方式进行相关操作，很不现实，通过域模型可以很方便的解决这个问题。因此我们建议在总公司设立一台域控制器，以便于对公司员工的计算机进行统一的管理。 由于公司员工不仅要上公司内部网络，同时还要能够进Internet网络，而公司内部有自己的DNS服务器，显然使用DNS转发器是一种方便快捷的技术。3.2 网络层次化设计 随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处：1：多层设计有很好的容错功能.2：多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。3：多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。4：多层网络系统设计最有效地利用多种第3 层业务，包括分段负载分担和故障恢复等。5：多层网络中运用智能第3 层业务可以大大减少因配置不当或故障设备引起的一般问题。6：多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。7：多层结构也能够对网络的故障进行很好的隔离。通常pc及无法通过连接多台交换机实现冗余，但接入层交换机出现故障，连接此台交换机的pc不能正常运行，其它交换机上的设备仍能正常工作。9：多层设计有很好的冗余性。随着网络规模的不断扩大，网络的可用性变的越来越重要。 由于分层设计的网络每台接入层交换机连接两台汇聚层交换机，每台汇聚层交换及连接两台核心层交换机，借以确保路径的冗余性。 针对实际情况我们可以采用二层结构模型。 二层结构模型划分核心层、接入层。每个层次完成不同的功能。核心层 核心层作为整个网络系统的核心。它的功能主要是实现骨干网络之间的优化传输,核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分，其主要功能是高速、可靠的进行数据交换。业务汇聚层 业务汇聚层重点任务通常是冗余能力、可靠性、为接入层交换机提供接口和高速的传输，同时进行接入层的数据流量汇聚，并对数据流量进行访问控制（包括访问控制列表、VLAN 路由等等）。汇聚层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。接入层 接入层主要任务是为终端用户提供足量的接口。因此接入层交换机具有低成本和高端口密度特性。同时，接入层是最终用户与网络的接口，它应该提供即插即用的接口，同时应该非常易于使用和维护。主要是进行VLAN的划分、与分布层的连接等等。3.3 核心层设计 核心交换机的作用是尽快地提供所有的区域间的数据交换。我们推荐使用两台Cisco Catalyst 3560交换机完成此项功能。两台3560交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全性可以由边界防火墙提供，如有需要在3560 上面可以部署安全策略，使得核心交换区的安全性进一步地增强。Cisco Catalyst 3560 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理，同时它还支持图形化配置。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥有成本。3.4 接入层设计 对于公司连接员工的接入层交换机采用思科的WS-C2960 以千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M 自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。办公系统所需的各种服务器如WEB服务器、邮件服务器、FTP服务器、域控制器等组成服务器群，数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此，内部的局域网是采用双层结构组建。对于连接服务器的接入层交换机，建议使用有较高吞吐量的交换机二层交换机来做接入层接入，以满足当前以及未来的网络需求，在这里我们建议使用SR2042系列交换机3.5 内联接入 内联接入的作用是用于连接总公司和分公司之间的网络。我们推荐总公司是用CISCO 2821路由器、分公司是用2811路由器。CISCO 2821自带2个10/100/1000兆自适应端口，可以作为连接两台3560系列交换机是用，是用WIC模块连接广域网接口。与相似价位的前几代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势，它是当前CISCO公司唯一种价格低廉，功能完备的路由器，是做内联接入的首选路由器。 由于总部网络和分部机房属于公司的内部网络的一部分，因此可信度很高；接入时主要作用是生产运营系统的数据交换，查询等等和管理以及监控加上CISCO 2811，2821都有自带的防火墙设备。总结以上的原因，内联路由器与核心交换网络间不需要配置额外的防火墙。第4章 路由设计4.1 路由协议选择 为达到路由快速收敛、寻址以及方便网络管理员管理的目的，我们建议采用动态路由协议。目前较好的动态路由协议是OSPF 协议和EIGRP 协议。OSPF 以协议标准化强，支持厂家多，受到广泛应用，而EIGRP 协议由Cisco 公司发明，不便于未来网络扩展，考虑到网络的快速收敛和扩展性、公开性、投资的保护等原因，我们设计采用OSPF路由协议和静态路由相结合的路由方式。OSPF(Open Shortest Path First开放式最短路径优先)是一个内部关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。OSPF的协议管理距离（AD）是110。优点： 1、OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个治系统。 2、提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。 3、将协议自身的开销控制到最小。4、良好的安全性，ospf支持基于接口的明文及md5 验证。 5、OSPF适应各种规模的网络，最多可达数千台。6、OSPF 支持明文以及MD5加密验证，并且提供等价的负载均衡功能，如果计算出到某个目的站有若干条费用相同的路由，OSPF 路由器会把通信流量均匀地分配给这几条路由，沿这几条路由把该分组发送出去； 7、OSPF对于网络的拓扑结构变化可以迅速地做出反应，进行相应调整，提供短的收敛期，使路由表尽快稳定化，并且与其它路由协议相比，OSPF能够划分多区域，在对网络拓扑变化的处理过程中仅需要很少的通信流量；9、OSPF支持CIDR（无类型域间路由）地址和VLSM(可变长子网)。4.2 路由规划拓扑图4.3 IP地址规划 IP地址是用来标识网络中的一个节点。IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要便于管理员手动配置以及ip地址的扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。我们根据以下几个原则来分配IP 地址：唯一性：一个IP 网络中不能有两个主机采用相同的IP 地址。简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性：连续地址在层次结构网络中易于进行路由总结(RouteSummarization)，大大缩减路由表，提高路由算法的效率可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。以管理、以维护性：由于网络中需要启用NAT技术，在进行网络规划是我们认为不必要考虑 ip地址浪费问题。我们着重考虑的应该是网络的ip地址配置、子网掩码配置的方便、简单、易操作等问题（我们尽可能的使用主网地址）。 第5章 网络安全解决方案5.1 网络边界安全威胁分析 网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。公司网络主要存在的边界安全风险包括：1:公司总网络与各级单位的连接，可能遭到来自各地的越权访问、2:恶意攻击和计算机病毒的入侵；3：恶意软件或从Internet 下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；4：网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。5:内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。5.2 网络内部安全威胁分析公司内部网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面：1、内部用户的非授权访问；内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。2、内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。3、内部用户的恶意攻击；就网络安全来说，据统计约有70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。4:设备自身安全性也会直接关系到各种系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。5、重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。6、重要服务器的当机或者重要数据的意外丢失，都将会造成内部的业务无法正常运行。如断电、硬盘损坏等问题。7、安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。8：所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。5.3 管理的安全威胁分析管理是网络中安全最最重要的部分。责权不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案。因此，最可行的做法是制定健全的管理制度和严格管理相结合。保障网络的安全运行，使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。一旦上述的安全隐患成为事实，所造成的对整个网络的损失都是难以估计的。因此，管理中责任的划分建设是朝阳公司网络建设过程中重要的一环。5.4 安全产品选型原则 公司网络属于一个行业的专用网络，因此在安全产品的选型上，必须慎重，选型的原则包括：1、安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的要求，不影响正常的业务；2、安全保密产品必须满足上面提出的安全需求，保证整个公司企业网络的安全性。3、安全保密产品必须通过国家主管部门指定的测评机构的检测；安全保密产品必须具备自我保护能力；4、安全保密产品必须符合国家和国际上的相关标准；5、适用原则。绝对的安全是不存在的，因此公司必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性，减小安全事件所造成的损失，提供弥补损失的手段。6、结合实际原则：企业应考虑清楚自己信息系统最大的安全威胁来自何处，信息系统中最有价值的是什么，信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁，将可能的损失减小到可以接受的范围之内。7、不降低信息系统综合服务品质的原则。目前中国许多企业往往是在信息系统规划（或建设）完成之后才考虑信息安全，即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难，因为很多时候，信息安全与系统的使用便利性和效率往往是一对矛盾。8、企业需要在考虑安全性的前提下，综合系统的其它性能，结合评估系统的服务品质，定下系统综合服务品质参数，在此基础上，以不降低综合服务品质为原则，对信息安全产品进行选型。9、安全产品必须操作简单易用，便于简单部署和集中管理 。5.5 网络常用技术介绍HSRP 协议 我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台路由器，它们组成一个或多个“热备份组”。这每一个热备份组中的所有路由器共享一个虚拟IP与MAC。在任一时刻，这个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器（需配置端口抢占）来替代活动路由器，但是在本网络内的主机看来，本机的网关仍然没有down掉。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。由于每一个热备份组中的活动路由器可以不集中在一个路由器上（可通过优先级配置），因此HSRP能够较好的实现负载均衡。 HSRP组中的路由器通过的组播地址交换组播hello包来发布优先级，hello消息在配置hsrp组的链路上交换缺省条件下，路由器每3秒发送一个hello消息。如果活跃的激活路由器在保持时间（缺省条件为10秒）的可配置时间段内无法发送hello，拥有最高优先级的备份路由器将被激活，开始接收发网组MAC地址的包。OSPF协议 OSPF（中文名开放最短路径优先协议）协议是典型的链路状态路由协议，每个路由器都有和本区域内其它路由器相同的链路状态数据库，而后路由器根据SP-F算法计算出到达目的地的最短路径，其写入路由表。 OSPF工作原理是：通过hello报文发现邻居，在通过LSA的泛洪形成相同的链路状态数据库，最后通过SP-F算法计算出到达目的地的最短路径，将其写入路由表。 OSPF协议的借口状态有五种：down、init、two-way、exstart、exchange、loading、full五种状态。Down状态没有收到hello包；init状态是指收到hello包；two-way状态双方都收到对方的hello包；exstart状态通过路由器优先级选出DR、BDR；loading状态双方互发LSA、LSU；full状态双方真正的建立邻居关系。 启用OSPF路由协议的路由器中都会有一个链路状态数据库，它保存着7中类型的LSA，其中前五种类型用于相同AS之间的路由通信，后两种用于外部。1、路由LSA：它是由非DR、非BDR通过的组播地址发送个DR、BDR。2、网络LSA：它是有DR、BDR始发通过的组播地址发送给其它非DR、BDR的路由器。3、网络汇总LSA：它是由ABR始发通告其它区域的LSA给 0 区域。4、ASBR汇总LSA：它是由ABR始发通告ASBR的位置。5、自治域系统LSA：它是由ASBR始发，向area 0 通告不同AS之间的路由信息。7：类型 7的LSA：它是由特殊区域产生的LSA。 对于大型的网络，为了进一步减少路由协议通信流量，OSPF可以将网络划分不同的区域，防止网络中大量的LSA防洪影响网络的运行速度。为减少路由表提高网络的查询速度，OSPF定义了末梢区域、完全末梢区域、次末节区域、完全次末节区域等。VLAN 技术Vlan（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Trunk 技术 一般的交换机端口只能属于一个VLAN，对于多个VLAN 需要跨过多台交换机，就需要用到Trunk 技术，它的作用是承载不同的VLAN信息。Trunk 是指交换机之间或交换机与路由器之间VLAN 之间的连接，VLAN 信息通过Trunk 在交换机之间或路由器之间传递，从而可以将VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。Cisco 支持802.1Q、ISL 两种trunk封装技术。其中IEEE 802.1q 是业界的标准协议，而ISL 是CISCO 专有的协议，用于在一条链路上封装多个VLAN 的信息。ISL 技术得到了Intel 等厂商的大力支持，TagSwitching 被3Com 及Lucent Cajun 支持。对于CISCO 交换机的Trunk 端口，既可以指定它的封装协议为802.1q 或ISL，也可以通过DTP 协议（Dynamic Trunking Protocol）自动协商。DTP 协议主要用于处理Trunk 端口的802.1q 和ISL 封装协议的自动协商，对于不同厂家的交换机互连时很有帮助。 对Trunk 的定义只能在快速以太网端口和千兆以太网端口上进行，它既可以是单个的快速以太网端口或千兆以太网端口，也可以是快速以太网通道（FEC）或千兆以太网通道（GEC）。虽然我们采用的是思科交换机，但是最为一个标准的、开放、先进的网络系统，我们推荐是用IEEE802.1Q 标准协议。Spanning-Tree协议 在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。为了解决这个矛盾，推出了STP 协议。STP 算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。如果网络的连接状况发生了变化，STP 算法会自动地重新计算新的连接关系，重新选出新的活动的连接。STP 算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30 秒之内网络会重新恢复到稳定状态。STP 对于终端是透明的，终端感觉不到STP 的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP 算法将高优先权的连接作为活动连接，例如：两个交换机之间有两条链路连接，一条是光纤连接，另一条是双绞线连接，由于光纤连接明显要比双绞线连接更稳定、更可靠，我们可以将交换机上的光纤端口的优先权设定成比双绞线端口更高的优先权，这样STP 算法就会将光纤连接作为活动连接，而将双绞线连接阻塞。Cisco 交换机的一个非常有用的特性就是可以对每个VLAN 设置Spanning -Tree ,而不是对整个网络只能属于一个Spanning-Tree。这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于VLAN 进行，每个端口对于不同的VLAN 设置不同的优先权。对于指定的VLAN，具有该VLAN 最高优先权的端口转发该VLAN的信息，其它VLAN 的信息则阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN 设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。 CISCO 交换机端口支持每VLAN 的生成树协议，每个端口都可设置基于VLAN 的Cost 或Priority 参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP 协议，但是不允许多个STP 域。采用多个STP 域显然可以获得比单个域高的网络可靠性。DHCP协议 动态主机分配协议（Dynamic Host Configuration Protocol, DHCP）是一个局域网的网络协议，使用UDP协议工作，主要作用：给内部网络或网络服务供应商自动分配IP地址、子网掩码、DNS、网关，减少网络管理员的配置负担。DHCP工作原理：DHCP客户端首次正确登录网络后，以后再登录网络时，只需要广播包含上次分配ip地址的DHCP_request报文即可，不需要再次发送DHCP_discover报文。DHCP服务器收到DHCP_request报文后，如果客户端申请的地址没有被分配，则返回DHCP_ack确认报文，通知该DHCP客户端继续使用原来的ip地址。 如果此ip地址无法再分配给该DHCP客户端使用（例如已分配给其它客户端），DHCP服务器将返回DHCP_nak报文。客户端收到后，重新发DHCP_discover报文请求新的ip地址。DHCP服务器分配给客户端的动态ip地址通常有一定的租借期限，期满后服务器会收回该ip地址。如果DHCP客户端希望继续使用该地址，需要更新ip租约（如延长ip地址租约）。实际使用中，在DHCP客户端启动或ip地址租约期限达到一半时，DHCP客户端会自动向DHCP服务器发送DHCP_request报文，以完成ip租约的更新。如果此ip地址有效，则DHCP服务器回应DHCP_ack报文，通知DHCP客户端已经获得新ip租约。 动态分配指的是：当 DHCP 第一次从 DHCP 服务器端租用到 IP 地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放(release)这个 IP 地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新(renew)租约，或是租用其它的 IP 地址。这样在一定的程度上可以减少IP地址的浪费问题。在贵公司的网络运行DHCP我们建议在路由器或其它服务器上附加DHCP功能（这就需要做DHCP转发器），这样可以降低构建成本（如果设置一台DHCP服务器成本太高）。第6章 产品简介6.1 PIX 525防火墙 PIX 525是Cisco的硬件防火墙，硬件防火墙有工作速度快，使用方便等特点。 PIX 525有很多型号，并发连接数是PIX防火墙的重要参数。 Cisco Secure PIX 525防火墙是世界领先的Cisco Secure PIX防火墙系列的组成部分，能够为当今的网络客户提供无与伦比的安全性、可靠性和性能。它所提供的完全防火墙保护以及IP安全（IPsec）虚拟专网（VPN）能力使特别适合于保护企业总部的边界。 防火墙是网络安全的屏障。 Pix 525防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。Pix 525防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。Pix 525防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。 6.2 Cisco 2800 系列集成多业务路由器 思科系统公司推出了一个全新的集成多业务路由器系列，它进行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块化Cisco2800 系列集成多业务路由器. 建立在思科20 年的领先地位及创新技术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。Cisco 2800 系列的独特集成系统架构提供了最高业务灵活性和投资保护。 Cisco 2800 系列由四个新平台组成：Cisco 2801、Cisco 2811、Cisco2821 和Cisco 2851。与相似价位的前几代思科路由器相比，Cisco2800 系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700 系列和Cisco 2600 系列中现有90 多种模块中大多数模块的支持，从而提供了极大的性能优势。 Cisco 2800 系列能以线速为多条T1/E1/xDSL 连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。6.3 Cisco Catalyst 3560 系列集成交换机 思科新推出的Cisco Catalyst 3560 系列交换机是一个创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提升了堆叠式交换机在局域网中的工作效率。这个新的产品系列采用了最新的思科StackWise 技术，不但实现高达32Gbps 的堆叠互联，还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起，便于用户建立一个统一、高度灵活的交换系统-就好像是一整台交换机一样。这代表了堆叠式