毕业设计论文企业局域网设计

摘要网络技术高速发展的今天，企业网络的优劣已经成为衡量企业竞争力的原则之一。针对证劵行业的特点，本文简介了一种行业专业网络的整体设计方案。充足考虑到网络的负载均衡和稳定性能，因此本方案采用三层网络构造。其中，汇聚层采用两台设备，配置CiscoHSRP协议进行双机热备份。路由协议则选择安全性高、收敛速度快的OSPF协议。其中用到的路由互换协议尚有支持VLAN间数据传播的VTP协议。我们采用Cisco互换机带宽聚合技术将多条物理线路捆绑为一条逻辑链路，使其有更高带宽。服务器群组则重点简介了FTP、邮件服务器及WEB服务器等企业中较常用到的服务器的软件选择及搭建措施。对于网络中也许存在的安全威胁，针对不一样的需求，方案中提出了VLAN技术、访问控制列表、防火墙技术以及VPN等安全处理方案，以求构建一种安全、高效、可靠的企业网络。关键词：网络层次化，热备份，虚拟局域网，控制列表，防火墙目录第1章需求分析 11.1项目背景 11.2设计目的 11.3顾客现实需求 2第2章网络整体设计 32.1网络拓扑 32.2网络层次化设计 32.2.1关键层设计 42.2.2汇聚层设计 52.2.3接入层设计 62.2.4路由协议选择 72.3VLAN的划分及IP地址规划 82.4服务器群组 92.4.1FTP服务 92.4.2DHCP服务器 102.4.3邮件服务器 102.4.4web服务器 12第3章安全方略 133.1网络威胁原因分析 133.2安全规定 133.3安全产品选型原则 143.4安全方略布署 143.4.1VLAN技术 143.4.2访问控制列表 153.4.3防火墙 173.4.4VPN 19第五章方案实现成果分析 20第4章总结与展望 21致谢 22参照文献 23前言信息化浪潮风起云涌的今天，企业的业务已经全面电子化，与Internet的联络相称紧密，因此他们需要良好的信息平台去支撑业务的高速发展。没有信息技术背景的企业也将会对网络建设有积极诉求。任何决策的科学性和可靠性都是以信息为基础的，信息和决策是同一管理过程中的两个方面，因此行业信息化也就成了人们所讨论并实践着的重要课题。企业内部网络的建设已经成为提高企业关键竞争力的关键原因。企业网已经越来越多地被人们提到，运用网络技术，现代企业可以在客户、合作伙伴、员工之间实现优化的信息沟通，企业网络的优劣直接关系到企业能否获得关键的竞争优势。众多行业巨擘纷纷上马多种应用方案且获得了巨大的成功，这使信息化建设更具吸引力。信息技术自诞生之日起，就对证劵行业产生了深远的影响，尤其是上世纪90年代以来，伴随金融服务业全球化和竞争日益剧烈,促使证劵企业加紧运用多种新的信息技术手段来提高企业管理水平,可以说金融业已经成为信息技术和网络技术发展的最大收益者之一。网络技术的发展，让网上交易迅速普及，网上交易有助于证劵企业提高工作效率，减少出错率，也以便证劵企业对客户的管理。虽然大多数企业已经把互联网战略纳入企业经营发展战略中，不过网络黑客袭击、计算机病毒干扰、数据传播过程中的泄露等不安全原因，任然让诸多企业对企业网络化踌躇不定。证劵企业的特点是数据传播量大，且数据机密度高，因此证劵业网络就规定高效、稳定和安全，合理的网络构造设计能至关重要。伴随网络技术的迅速发展和网上应用量的增长，分布式的网络服务和互换已经移至顾客级，由此形成了一种新的，更适应现代的高速大型网络分层设计模型“多层次设计”。多层次设计师模块化的，它在后来网络扩展、负载均衡、故障排除方面很有效。而目前强大的防火墙技术和多种各样的安全方略被应用到企业网络中，安全得到了保障，那么网路对于 企业的发展就真正起到了推进的作用。第1章需求分析1.1项目背景XX证劵是一家刚刚成立的证劵企业，企业有资产管理部、财务部、人力资源部、后勤部、经理室（管理部门）和营业部6个部门，6个部门分布在两个楼层。后来企业在外地还要开设分支机构，而这里作为企业总部，中心机房也设在此处。企业的网络系统要满足企业平常办公电子化，各部门信息共享，平常证劵交易，且作为证劵企业，某些投资机密需要很高的保密度，因此企业网络要有很高的可靠性和安全性。考虑的后来企业的扩张，因此网络系统要有可扩展性。1.2设计目的设计一种企业的网络，首先要确定顾客对网络的真正需求，并在结合未来也许的发展规定的基础上选择、设计合适的网络构造和网络技术，提供顾客满意的高质服务。还要注意到由于逻辑上业务网和管理网必须分开，因此建成后企业网应能提供多种网段的划分和隔离，并能做到灵活变化配置，以适应企业办公环境的调整和变化，即VLAN的整体划分。考虑到证劵行业数据的重要性、保密性，为了保证多想证劵业务的顺利进行，保证网络的不间断运行，网络平台应具有如下某些特点：（1）高可靠性——网络系统的稳定可靠是应用系统正常运行的关键保证，在设计中选用高可靠性网络产品，合理设计网络架构，制定可靠的网络备份方略，保证网络具有故障自愈的能力，最大程度地支持各个系统的正常运行。（2）技术先进性和实用性——保证满足证券交易系统业务的同步，又要体现出网络系统的先进性。在网络设计中要把先进的技术与既有的成熟技术和原则结合起来，充足考虑到证券企业网络应用的现实状况和未来发展趋势。（3）高性能——承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证多种信息（数据、语音、图象）的高质量传播，才能使网络不成为证券企业各项业务开展的瓶颈。（4）原则开放性——支持国际上通用原则的网络协议、国际原则的大型的动态路由协议等开放协议，有助于保证与其他网络(如公共数据网、金融网络、行内其他网络)之间的平滑连接互通，以及未来网络的扩展。（5）灵活性及可扩展性——根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和设备的调整。（6）可管理性——对网络实行集中监测、分权管理，并统一分派带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量记录分析，及可提供故障自动报警。（7）安全性——制定统一的骨干网安全方略，整体考虑网络平台的安全性。1.3顾客现实需求（1）实现企业内部资源共享，即文献服务器，不过对不一样的资源要有对应的权限。（2）满足企业平常证劵交易，交易数据的传播和存储。（3）企业各部可以通过即时通信软件联络，建立企业邮件服务器。（4）打印机共享（5）企业内部要网络接入Internet（6）架设企业web服务器，公布企业网站（7）为保证安全，Internet与企业内部网络间应采用防护措施，防止外界对内部网络未经授权的访问。第2章网络整体设计2.1网络拓扑计算机网络的构成元素可以分为两大类，即网络节点（又可分为端节点和转发节点）和通信链路，网络中节点的互联模式叫网络的网络的拓扑构造。网络拓扑定义了网络中资源的连接方式，局域网中常用的拓扑构造有：总线型构造、环形构造、星型构造。由于XX证劵企业总部网络站点不是尤其的多，并且联网的站点相对集中，因此我们采用星型的网络拓扑。星型拓扑构造是由通过点到点链路接到中央节点的各站点构成的。星型网络中有一种唯一的转发节点（中央节点），每一台计算机都通过单独的通信线路连接到中央节点。在星型拓扑中运用中央结点可以便地提供服务和重新配置网络；单个连接点故障只会影响故障点连接的一种设备，不会影响全网，轻易检测隔离故障、便于维护；任何一种连接只波及到中央结点和一种站点，控制介质访问的措施很简朴、从而访问协议也十分简朴。2.2网络层次化设计网络的设计模型重要包括层次化设计模型和非层次化设计模型两种。伴随网络技术的迅速发展和网上应用量的增长，非层次化的网络设计已经不适合当今企业的网络应用，由于非层次化网络没有合适的规划，网络最终会发展成为非构造的形式，这样当网络设备之间互相通信时，设备上的CPU必然会承受相称大的负载，不利于网络的运行和发展，当大量的数据在网络中传播时，轻易引起线路拥堵甚至网络的瘫痪。因此我们选择层次化的网络设计。多层设计师模块化的，网络容量可伴随即来网络节点的增长而不停增大。多层次网络有很大确实定性，因此在运行和扩展过程中进行故障查找和排出非常简朴。多层模式使网络的移植更为简朴易行，由于它保留看基于路由器和互换机的网络原有的寻址方案，对以往的网络有很好的兼容性。此外分层构造也可以对网络的故障进行很好的隔离。针对实际状况我们采用三层构造模型，即关键层、分布层、接入层。每个层次有不一样的功能。关键层作为整个网络系统的关键，起重要功能是高速、可靠的进行数据互换。分布层重要进行接入层的数据流量汇聚，并对数据流量进行访问控制。接入层重要提供最终顾客接入网络的途径。重要进行VLAN的换分、与分布层的连接等。2.2.1关键层设计关键层作为整个网络系统的关键，其重要功能是高速、可靠的进行数据互换。关键互换区的作用是尽快地提供所有的区域间的数据互换。因此推荐使用两台CiscoCatalyst4506E互换机完毕此项功能。Cisco4506互换机高性能、高可靠性、高可用性是我们重要考虑的原因。本区的安全性可以由边界防火墙提供，假如有需要，还可以在4506上面布署安全方略，使得关键互换区的安全性深入地增强。CiscoCatalyst4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量(QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的杰出控制，将永续性集成到硬件和软件中，缩短了网络停运时间。CiscoCatalyst4500系列的模块化架构、介质灵活性和可扩展性减少了反复运行开支，提高了投资回报（ROI），从而在延长布署寿命的同步减少了拥有成本。方案中Catalyst4506互换机配置了一块WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506互换机机箱，是一款64Gbps、4800万分组/秒(48mpps)的第二到四层互换引擎，直接在管理引擎面板上配置了2个线速GBIC端口。当布署了Catalyst4500系列SupervisorIV时，这些附加端口可将Catalyst4506的最大密度扩展到240个端口。添加了这款新管理引擎后，Catalyst4506可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。2.2.2汇聚层设计汇聚层重要进行接入层的数据流量汇聚，并对数据流量进行访问控制。包括访问控制列表、VLAN路由等等。推荐采用两台CiscoWS-C3750G-12S-E作为汇聚互换机。两台CiscoWS-C3750G-12S-E做双机热备，采用Cisco专有热备份协议技术（HSRP），根据需求配置成多组HSRP。这样设计部但不仅保证网络的高可用性和稳定性，还能防止单台关键设备的负载太重导致网络性能问题。CiscoCatalyst3750系列互换机是一种创新的产品系列，它结合业界领先的易用性和最高的冗余性，里程碑地提高了堆叠式互换机在局域网中的工作效率。这个新的产品系列采用了最新的思StackWise技术，不仅实现高达32Gbps的堆叠互联，还从物理上到逻辑上使若干独立互换机在堆叠时集成在一起，便于顾客建立一种统一、高度灵活的互换系统--就仿佛是一整台互换机同样。这代表了堆叠式互换机新的工业技术水平和原则。对于中型企业网络来说，CiscoCatalyst3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的布署，并可针对不停变化的业务需求进行调整。此外，CiscoCatalyst3750系列针对高密度千兆位以太网布署进行了优化，包括多种互换机，以满足接入、汇聚或小型网络骨干连接需求。CiscoCatalyst3750G-12S提供12个千兆位以太网SFP端口用于连接数据中心和办公楼的接入层互换机和中心关键机房的Catalyst4506互换机。GEC或FEC（GigabitEthernetChannel/FastEthernetChannel）称为Cisco互换机带宽聚合技术，它用于千兆或百兆以太网端口。在两台Cisco互换机互连时，运用GEC/FEC技术，可以将2条或多条物理链路捆绑成为一条更高带宽的逻辑链路，在本方案中，CiscoWS-C3750G-12S-E之间用两条千兆光纤相连，运用GEC技术，我们可以得到一条全双工4G带宽的链路。这样不仅可以提高互换机之间的互连带宽，更重要的是可以在多条物理链路间提供容错，使得任意一条线路断掉不影响互换机之间的畅通。Etherchannel基本配置命令：Switch(config)#interfacePort-channel1Switch(config)#switchporttrunkencapsulationdot1qSwitch(config)#switchportmodetrunkSwitch(config)#interfacerange[interface-number]Switch(config-if-range)#channel-group[group-id]modeonSwitch(config-if-range)#exitHSRP基本配置命令：Switch(config)#interfacevlan[vlan-number]Switch(config-if)#ipaddress[ip-address][]Switch(config-if)#standby[vlan-id]ip[ip-address]Switch(config-if)#standby10priority105Switch(config-if)#standby10preemptSwitch(config-if)#standby10track[interface-id]Switch(config-if)#exit2.2.3接入层设计接入层重要提供最终顾客接入网络的途径。重要是进行VLAN的划分、与分布层的连接等等。提议接入层互换机采用思科的2960系列智能以太网互换机以千兆以太链路和汇聚互换机相连接，并为顾客终端提供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层构造。办公系统所需的多种服务器如FTP服务器、邮件服务器、DHCP服务器等构成服务器群，连接到汇聚互换机的千兆模块上面,因此，内部的局域网采用三层构造组建。CiscoCatalyst2960系列智能以太网互换机是一种全新的、固定配置的独立设备系列，提供桌面迅速以太网和千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。Catalyst2960系列具有集成安全特性，包括网络准入控制(NAC)、高级服务质量(QoS)和永续性，可为网络边缘提供智能服务。凭借CiscoCatalyst2960系列提供的广泛安全特性，企业可保护重要信息，防止未授权人员接入网络，保证私密性及维持不间断运行。网络总体拓扑如图2.1所示：图2.1整体网络拓扑图图2.1整体网络拓扑图2.2.4路由协议选择为到达路由迅速收敛、寻址以及以便网络管理员管理的目的，我们采用动态路由协议，目前很好的动态路由协议是OSPF协议和EIGRP协议，OSPF以协议原则化强，支持厂家多，受到广泛应用，而EIGRP协议由Cisco企业发明，只有Cisco企业自己的产品支持，属于私有性质，其他厂商设备是不支持的。考虑网络的扩展性、数据资源的保护等原因，我们选择OSPF路由协议。OSPF协议采用链路状态协议算法，每个路由器维护一种相似的链路状态数据库，保留整个AS的拓扑构造（AS不划分状况下）。一旦每个路由器有了完整的链路状态数据库，该路由器就可以自己为根，构造最短途径树，然后再根据最短途径构造路由表。对于大型的网络，为了深入减少路由协议通信流量，利于管理和计算。OSPF将整个AS划分为若干个区域，区域内的路由器维护一种相似的链路状态数据库，保留该区域的拓扑构造。OSPF路由器互相间互换信息，但互换的信息不是路由，而是链路状态。OSPF定义了5种分组：Hello分组用于建立和维护连接；数据库描述分组初始化路由器的网络拓扑数据库；当发现数据库中的某部分信息已通过时后，路由器发送链路状态祈求分组，祈求邻站提供更新信息；路由器使用链路状态更新分组来积极扩散自己的链路状态数据库或对链路状态祈求分组进行响应；由于OSPF直接运行在IP层，协议自身要提供确认机制，链路状态应答分组是对链路状态更新分组进行确认。相对于其他协议，OSPF有许多长处。OSPF支持多种不一样鉴别机制（如简朴口令验证，MD5加密验证等），并且容许各个系统或区域采用互不相似的鉴别机制；提供负载均衡功能，假如计算出到某个目的站有若干条费用相似的路由，OSPF路由器会把通信流量均匀地分派给这几条路由，沿这几条路由把该分组发送出去；在一种自治系统内可划分出若干个区域，每个区域根据自己的拓扑构造计算最短途径，这减少了OSPF路由实现的工作量；OSPF属动态的自适应协议，对于网络的拓扑构造变化可以迅速地做出反应，进行对应调整，提供短的收敛期，使路由表尽快稳定化，并且与其他路由协议相比，OSPF在对网络拓扑变化的处理过程中仅需要至少的通信流量；OSPF提供点到多点接口，支持CIDR（无类型域间路由）地址。企业既有网络规划为area0，内部网络设备都规划为area0。后期若有分支机构各区域接入路由器根据区域不一样使用动态协议，或者使用静态路由与动态路由结合的方式。2.3VLAN的划分及IP地址规划VLAN的划分一般有三种措施，一是基于端口、二是基于MAC地址、最终是基于路由的划分。在这里我们采用基于端口的划分，把一种或者多种互换机上的端口放到一种VLAN内，这个措施是最简朴最有效的，网络管理人员只需要对网络设备的互换端口进行分派即可，不用考虑端口所连接的设备。IP地址是TCP/IP协议族中的网络层逻辑地址，它被用来唯一地标示网络中的一种节点。IP地址空间的分派，要与网络层次构造相适应，既要有效的运用地址空间，又要体现网络的可扩展性和灵活性，同步能满足路由协议的规定，提高路由算法的效率，加紧路由变化的收敛速度。表2.1ip地址分派表根据企业状况，每个部门划分为一种VLAN，各部门分别属于不一样的网段，各部门之间在逻辑上被隔离，不过各部门间的通讯，可根据需要对汇聚层互换机进行配置来实现。表2.1ip地址分派表部门VLAN网段网关子网掩码资产管理部5/3255营业厅4/3255财务部3/3255经理室2/3255人力资源部6/3255后勤部7/3255服务器群组6/32ip地址配置命令：Switch(config)#[interface]/*打开端口*/Switch(config-if)#noswitchportSwitch(config-if)#ipaddress[ip-add][subnet-mask]/*配置ip地址*/Switch(config-if)#noshutdown/*关闭端口*/默认网关命令:Ipdefault-gateway[ip-add]2.4服务器群组2.4.1FTP服务FTP的全称是FileTransferProtocol(文献传播协议)。顾名思义，就是专门用来传播文献的协议。证劵企业的FTP服务重要是针对企业内部某些平常办公资料、软件的共享而设置的，相称于一种信息系统的大仓库，仅企业内部PC机可以访问。FTP服务器操作系统采用Windowsserver，为了登陆以便，该FTP服务器采用匿名访问方式，不过为了某些文献、数据的安全性，各部门属于不一样的顾客组，对不一样的顾客组设置对应的上传和下载的权限，详细权限根据企业各部门的职能来设定。此外，为了防止大部分员工同步访问FTP服务器导致服务器瘫痪，还要设置最大访问人数。若企业预算有限，也可不选用专门的服务器，而采用一台配置相对较高的PC机作装上FTP服务器端软件作为FTP服务器。Serv-U是一种被广泛运用的FTP服务器端软件，支持3x/9x/ME/NT/2K等全Windows系列。可以设定多种FTP服务器、限定登录顾客的权限、登录主目录及空间大小等，功能非常完备。它具有非常完备的安全特性，支持SSlFTP传播，支持在多种Serv-U和FTP客户端通过SSL加密连接保护数据安全等。2.4.2DHCP服务器由于企业整个网络节点较多，若是由网管人员分别为每台PC机配置IP地址那将是一件非常麻烦的事，并且也不利于网络IP地址的管理，因此我们采用DHCP服务器，为接入企业网络的PC机自动分派IP地址。DHCP（DynamicHostConfigurationProtocol），即动态主机设置协议，是一种局域网的网络协议，使用UDP协议工作。DHCP服务器的操作系统选择WindowsServer。由于DHCP服务器与企业其他PC机在不一样的VLAN中，因此还需要在汇聚层互换机上配置DHCP中继服务功能才能成功运行DHCP服务。2.4.3邮件服务器电子邮件是互联网最基本、但却是最重要的构成部分，通过电子邮件进行以便快捷的信息交流已经成为企业工作中不可或缺的工作习惯。企业邮箱一般以企业的域名作为邮箱后缀，既能体现企业的品牌和形象，还能使企业商业信函来往得到更好更安全的管理。常见的邮件服务器软件有诸多，例如：微软ExchangeServer、MDaemonServer、WinWebMail、IMailServer等等。在这里我们选用微软exchangeserver作为服务器端软件，该版本也是Microsoftexchangeserver中应用最广泛，功能最稳定的一种版本。exchangeserver常见的任务包括：备份与还原、建立新邮箱、恢复、移动、安装新的硬件、存储区、软件和工具，以及应用更新和修补程序等。新工具和改善的工具可协助网络管理员更有效地完毕工作。例如，一位管理人员也许需要恢复几种月此前删除的一封非常重要的旧电子邮件，通过使用“恢复存储组”功能，管理员可以恢复个人顾客的邮箱，以便查找此前删除的重要电子邮件。其他新的管理功能包括：并行移动多种邮箱。改善的消息跟踪和Outlook客户端性能记录功能。增强的队列查看器，它使顾客可以从同一控制台同步查看SMTP和X.400队列。新的基于查询的通讯组列表，它目前支持动态地实时查找组员。此外，用于MicrosoftOperationsManager的Exchange管理包可自动监视整个Exchange环境，从而使顾客可以对Exchange问题预先采用管理措施并迅速予以处理。在布署exchange邮件服务器之前，首先为企业申请合的域名，建立域控服务器，打开“运行”对话框，输入dcpromo命令，然后根据向导创立域控服务器。图2.2图2.2建立域控服务器将企业内的所有PC机加入该域。为了防止主域控服务器出现故障而导致通信故障和信息丢失，因此我们还需要一台辅助域控。当然，还需要在DNS服务器中写入记录，这样发出的邮件才懂得去处。邮件服务器硬件的选择根据企业自身业务的应用状况和资金投入来决定。从该企业来看，企业顾客在几百个如下，不过邮件来往比较多，因此要选择专业的PC服务器才能满足基本的性能规定。2.4.4web服务器WEB服务器也称为WWW(WORLDWIDEWEB)服务器，重要功能是提供网上信息浏览服务。本方案中web服务器重要是向外公布企业网站，时时更新企业以及证劵市场信息以供顾客网上参照。使用最多的webserver服务器软件有两个：微软的信息服务器（iis），和Apache。本方案中，我们选择Linux作为web服务器的操作系统，因此服务器端软件则用Apache。Apache是世界上用的最多的Web服务器，市场拥有率达60%左右,它源于NCSAhttpd服务器。Apache有多种产品，可以支持SSL技术，支持多种虚拟主机。它是以进程为基础的构造，进程要比线程消耗更多的系统开支。由于它是自由软件，因此不停有人来为它开发新的功能、新的特性、修改本来的缺陷。Apache的特点是简朴、速度快、性能稳定，并可做代理服务器来使用。它的成功之处重要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用(可以运行在几乎所有的Unix、Windows、Linux系统平台上)以及它的可移植性等方面。第3章安全方略3.1网络威胁原因分析对于证劵业来说，网络的安全性是相称重要的。而证劵网上交易，信息公布等业务使得企业网络必须与公网相连，这样必然存在着安全风险。并且企业内部网络，由于各部门职能不一样，某些部门网络也许也规定很高的安全性。企业网络的安全风险也许包括如下几种：(1)企业网络与公网连接，也许遭到来自各地的越权访问，还也许遭到网络黑客的恶意袭击和计算机病毒的入侵；(2)内部的各个子网通过骨干互换互相连接，这样的话，某些重要的部门也许会遭到来自其他部门的越权访问。这些越权访问也许包括恶意袭击、误操作等，据记录约有70％左右的袭击来自内部顾客，相比外部袭击来说，内部顾客具有更得天独厚的优势，不过无论怎样，成果都将导致重要信息的泄露或者网络的瘫痪；(3)设备的自身安全性也会直接关系到网络系统和多种网络应用的正常运转。例如，路由设备存在路由信息泄漏、互换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，假如管理员没有及时的发现并且进行修复，将会为网络的安全带来诸多不安定的原因。重要服务器的当机或者重要数据的意外丢失，都将会导致企业平常办公无法进行。3.2安全规定（1）物理安全包括保护计算机网络设备设施以及数据库资料免遭地震、水灾、火灾等环境事故以及人为操作失误导致系统损坏，同步要防止由于电磁泄漏引起的信息失密。(2)网络安全重要包括系统安全和网络运行安全，检测到系统安全漏洞和对于网络访问的控制。（3）信息安全包括信息传播的安全、信息存储的安全以及对顾客的授权和鉴别。3.3安全产品选型原则XX证劵企业网络属于一种行业的专用网络，因此在安全产品的选型上，必须谨慎。选型的原则包括：（1）安全保密产品的接入应不明显影响网络系统运行效率，并且满足工作的规定，不影响正常的网上证劵交易和办公；（2）安全保密产品必须通过国家主管部门指定的测评机构的检测；安全保密产；（3）品必须具有自我保护能力；（4）安全保密产品必须符合国家和国际上的有关原则；（5）安全产品必须操作简朴易用，便于简朴布署和集中管理。3.4安全方略布署3.4.1VLAN技术VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划提成一种个网段，从而实现虚拟工作组的新兴数据互换技术。VLAN要为了处理互换机在进行局域网互连时无法限制广播的问题。这种技术可以把一种LAN划提成多种逻辑的VLAN，每个VLAN是一种广播域，VLAN内的主机间通信就和在一种LAN内同样，而VLAN间则不能直接互通，这样，广播报文被限制在一种VLAN内，这样就大大的增长了局域网内部的此信息安全性。将各部门划属不一样的VLAN，它们之间是不能通信的，这样能有效防止部门间的越权访问，尤其是像资产管理部这样的数据比较敏感的部门，对于那些与他不属于一种VLAN的电脑是无法访问它的。同步，这样还防止广播风暴的发生，防止过多广播包占据带宽导致网络拥塞。此外，VLAN为网络管理带来了很大的以便，将每个部门划分为一种VLAN，每个VLAN内的客户终端需求是基本相似的，对于故障排查或者软件升级等都比较以便，大大提高了网络管理人员的工作效率。各个vlan之间数据的传播，必须通过trunk链路。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是互换机，也可以是互换机和路由器。基于端口汇聚的功能，容许互换机与互换机、互换机与路由器、互换机与主机或路由之间通过两个或多种端口并行连接同步传播以提供更高带宽、更大吞吐量，大幅度提高整个网络的能力。Trunk端口一般为互换机和互换机之间的级联端口，用于传递所有vlan信息。Trunk链路配置命令：Switch(config)#interfacerange[interface-number]Switch(config-if-range)#switchporttrunkencapsulationdot1q/*封装为dot1q类型*/Switch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#exitVLAN技术中用到的协议有vtp(vlantrunkingprotocol),这是vlan中继协议，也被称为虚拟局域网干道协议。它是思科的专有协议，vtp可以减少vlan的有关人物管理。VTP基本配置命令：Switch(vlan)#vtpdomain[domain-name]Switch(vlan)#vtpmode[server/client/transparent]/*选择vtp模式*/Switch(vlan)#vtppassword[password]Switch(vlan)#trunk[on|off|desirable|auto|nonegotiate]/*打开主干功能*/Switch(vlan)#exitSwitch(vlan)#vlan[vlan-id]name[vlan-name]/*创立一种vlan*/3.4.2访问控制列表访问控制是网络安全防备和保护的重要方略，它的重要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的关键方略之一。访问控制波及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。使用访问控制列表不仅能过滤通过路由器的数据包，并且也是控制网络中数据流量的一种重要措施。ACL示意图:PacketstoInterface(s)PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYDestinationYNDenyYYNYYMatchLastTest?MatchNextTest(s)MatchFirstTest?DenyDenyDenyPermitPermitPermitInterface(s)Y图3.1访问控制列表分为两类，一种是原则访问列表，一种是扩展访问列表。原则访问列表的编号是从1—99，它只使用数据包的源IP地址作为条件测试，只有容许或拒绝两个操作，一般是对一种协议组产生作用，不辨别IP流量类型。而编号100以上的称作扩展访问列表，它可测试IP包的第3层和第4层报头中的其他字段，比原则访问列表具有更多的匹配项，例如协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。原则访问列表配置命令:Router(config)#access-list[access-list-number]{permit|deny}source[mask]/*为访问列表设置参数,IP原则访问列表编号1到99,缺省的通配符掩码=*/Router(config-if)#ipaccess-group[access-list-number]{in|out}/*在端口上应用访问列表,指明是进方向还是出方向*/扩展访问列表配置命令:Router(config)#access-list[access-list-number]{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operator-port][established][log]/*为原则访问列表设置参数,可详细到某个端口,某种协议*/根据企业各部门的性质，我们可根据需要在汇聚层的设备上配置访问控制。如财务部、资产管理部信息数据机密度较高，我们就可以编写访问控制列表，严禁其他网段也就是其他VLAN的顾客访问这些部门的电脑，无论是以什么样的形式，虽然用原则访问控制列表。当然，写完访问列表后，要将其应用在对应的端口上。有的部门也许对信息的保密规定没有那么高，那么就可以使用扩展访问列表，只对某一端口的数据进行控制，如telnet等。3.4.3防火墙飞速发展的信息时代，在残酷竞争的市场，谁先掌握了信息谁就先掌握了契机，Internet的迅猛发展满足了人们对信息的渴求，同步Internet里也存在着许多不安全的原因，网络信息的非法获取、网络体系的不期破坏等等，都将为企业带来难以估计的损失，这时，防火墙以一种安全卫士的身份应运而生，实现着管理者的安全方略，有效地维护这企业保护网络的安全。防火墙只目前应用最广、最具代表性的网络安全技术，它分为硬件防火墙和软件防火墙。硬件防火墙是把软件嵌入到硬件中，由硬件执行这些功能，这样就减少了CPU的承担，使路由更稳定。软件防火墙一般只据有过滤包的作用，而硬件防火墙的功能则要强大的多，它还包括CF（内容过滤）、IDS（入侵侦测）、IPS（入侵防护）以及VPN等功能。硬件防火墙一般使用通过内核编译后的Linux，凭借Linux自身的高可靠性和稳定性保证了防火墙整体的稳定性。防火墙重要由服务访问政策、验证工具、包过滤和应用网关四部分构成。我们在关键层路由器与Internet之间配置一台硬件防火墙，这样，所有进出网络的数据都要通过防火墙，而该防火墙应具有如下的功能：（1）包过滤：控制流出和流入的网络数据，可基于源地址、源端口、目的地址、目的端口、协议和时间，根据地址簿进行设置规则。（2）地址转换：将内部网络或外部网络的IP地址转换，可分为源地址转换SourceNAT(SNAT)和目的地址转换DestinationNAT(DNAT)。SNAT用于对内部网络地址进行转换，对外部网络隐藏起内部网络的构造，防止受到来自外部其他网络的非授权访问或恶意袭击。并将有限的IP地址动态或静态的与内部IP地址对应起来，用来缓和地址空间的短缺问题，节省资源，减少成本。DNAT重要用于外网主机访问内网主机。（3）认证和应用代理：认证指防火墙对访问网络者合法身分确实定。代理指防火墙内置顾客认证数据库;提供HTTP、FTP和SMTP代理功能，并可对这三种协议进行访问控制。同步支持URL过滤功能，防止员工在上班时间访问某些网站，影响工作效率。（4）透明和路由：将网关隐藏在公共系统之后使其免遭直接袭击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问，同步制止了外部未授权访问者对专用网络的非法访问;防火墙还支持路由方式，提供静态路由功能，支持内部多种子网之间的安全访问。（5）入侵检测思科的ASA5505-SEC-BUN-K9防火墙是为中小型企业设计的一款产品，它集高安全性和高可扩展性于一身，可以对病毒、垃圾邮件、非授权访问等进行实时监控，并提供VPN服务，为顾客提供全面的保护。它构建于Cisco

PIX

安全设备系列的基础之上，可以提供内部网到内部网和远程接入到内部网两种安全保护，可以防御互联网中的病毒、间谍软件的袭击，并可制止垃圾邮件和非法连接，在提供安全网络环境的同步，也提高了员工的工作效率，为企业发明更高的经济效益。

3.4.4VPN企业员工也许需要常常出差或者在外办公，需要通过公网访问企业网络，这时数据在公网上传播就很不安全，因此我们需要一条专门的通道来安全传播信息，这就是VPN（虚拟专用网）。VPN被定义为通过一种公共网络建立一种临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网事对企业内部网的扩展。虚拟专用可以协助运程顾客、企业分支机构、商业伙伴及移动办公顾客的内部网络建立可信的安全连接，并保证数据的安全传播。一种企业的虚拟专用网处理方案也将大幅度减少顾客花费在城域网和远程网络连接上的费用。VPN业务都是基于隧道技术实现的，隧道机制是VPN实行的关键。数据通过安全的“加密管道”在公共网络中传播。VPN的隧道技术就是数据包不是公开在网上传播，而是首先进行加密以保证安全，然后由VPN封装成IP包的形式，通过隧道在网上传播。源网络的VPN隧道发起器与目的网络上的VPN隧道发起器进行通信。两者就加密方案到达一致，然后隧道发起器对包进行加密，保证安全（为了加强安全，应采用验证过程，以保证连接顾客拥有进入目的网络的对应的权限。大多数既有的VPN产品支持多种验证方式）。最终，VPN发起器将整个加密包封装成IP包。目前不管原先传播的是何种协议，它都能在纯IP因特网上传播。又由于包进行了加密，因此谁也无法读取原始数据。在目的网络这头，VPN隧道终止器收到包后去掉IP信息，然后根据到达一致的加密方案对包进行解密，将随即获得的包发给远程接入服务器或当地路由器，他们在把隐藏的IPX包发到网络，最终发往对应目的地。VPN重要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN原理示意图：图3.2图3.2在本方案中，我们采用ip-VPN技术。Ip-VPN是指在运行ip协议的网络上实现VPN。该VPN技术的实现是通过隧道（tunnel）进行连接，隧道技术通过软件“叠加”在物理网络上这也是VPN”虚拟特性的体现。借助隧道VPN，还可以使用内部网络中采用的安全和优先方略，使我们可以完全控制数据流，隧道提供了一层名副其实的安全保障。目前多种VPN安全协议中，IPsec的保密性是最佳的。IPsec使用了IPsec隧道模式，在这种隧道模式中，顾客的数据包加密后，封装进新的ip。这样在新的数据包中，分别以开通器和终端器的地址掩蔽顾客和宿主服务器的地址。我们选用的ASA5500系列防火墙具有VPN功能，因此不需要额外购置VPN设备。运用Cisco

ASA

5500系列，不需要增长成本，也不需要提高设计、布署或运作的复杂性，就可以将访问控制、应用检测和威胁防御作为VPN处理方案的一部分。管理员只需制定一种网络方略，就可以既提高安全性，又保持网络环境的可访问性。第五章方案实现成果分析网络工程实行完毕后，重要实现如下功能：首先是企业内部办公资源的高度共享，通过FTP服务，员工可按权限上传下载资料。上传权限只赋予网络管理人员，下载权限根据文