信息安全体系结构课程设计中小型企业的网络解决方案

《信息安全体系结构课程设计中小型企业的网络解决方案》由会员分享，可在线阅读，更多相关《信息安全体系结构课程设计中小型企业的网络解决方案（19页珍藏版）》请在装配图网上搜索。

1、制作：学号 姓名 学号 姓名 学号 姓名 指导教师： 完成日期： 19目录1 系统需求分析41.1企业需求41.2网络实现功能41.3 网络系统安全分析41.3.1 物理层安全风险51.3.2 系统层安全风险51.3.3 网络层安全风险51.3.4 数据传输的安全风险51.3.5 病毒的安全风险51.3.6 管理的安全风险61.4 企业网的安全目标61.5网络安全策略72 网络设计原则73网络安全的方案设计83.1总体设计方案83.2网络拓扑方案设计93.2.1网络拓扑图设计93.2.2 IP地址分配策略93.2.3 内部网络IP地址分配93.2.4 外部网络IP地址分配104设备选型及配置1

2、04.1 防火墙104.1.1 产品概述104.1.2配置过程114.2路由器114.2.1 产品概述114.2.2 配置过程124.3中心交换机124.4二级交换机134.5入侵检测系统（IDS）134.5.1 产品概述134.5.2 配置过程135服务器的安装和配置145.1 Web/DNS服务器的配置145.2 邮件服务器的配置145.3 文件服务器的配置156安全管理规则156.1使用中的网络安全问题156.1.1 网络安全的外部问题156.1.2网络安全的内部问题166.2 网络防护166.2.1 登陆控制166.2.2防火墙176.3 后期安全服务176.3.1 网络拓扑分析176

3、.3.2 操作系统补丁升级186.3.3防病毒软件病毒库定期升级186.3.4服务器定期扫描加固186.3.5防火墙日志备份、分析186.3.6入侵检测等安全设备日志备份186.3.7服务器日志备份186.3.8设备备份系统186.3.9信息备份系统196.4网络管理员的责任196.5公司内部制定安全规章19简介本文结合中小型网络安全系统建设的实例，重点研究计算机网络的安全问题，对不同的网络安全方案进行优化、集中和协同，从而尽可能的使本网络安全系统保持可扩展性、健壮性，使网络安全系统真正获得较好的结果。主要研究工作有：1. 查找和收集网络安全相关的资料，剖析网络攻击的手段，分析影响网络安全的因

4、素。2.详细阐述网络安全系统设计的目标和总体规划。3.详细分析中小型公司物理层安全风险、网络层安全风险、系统层安全风险、病毒的安全风险、数据传输的安全风险、管理的安全风险，提出了具体的需求和设计依据。4.根据中小型公司网络现状、中小型公司的需求、网络安全的风险分析及网络安全系统设计目标和总体规划，设计了中小型网络安全系统方案，运用先进的网络安全技术和网络安全产品对方案进行了实现，探讨了今后网络安全系统的发展方向。1 系统需求分析1.1企业需求该中小型企业大约需要100台计算机；其中包含了三个部门（研发部，财务部，市场部）；通过专线接入到Internet，已经获得10个真实IP地址；企业有独立对

5、外的Web服务器、E-mail服务器，内部有专用私有文件服务器，保存企业研发重要文档，每个员工有自己独立的企业邮箱。1.2网络实现功能（1）资源共享功能：网络内的各个计算机可共享文件服务器，实现研发文档的上传下载，实现办公自动化系统中的各项功能。（2）安全通信功能：企业可通过专线接入到Internet，企业员工有独立的企业邮箱，并可以通过广域网连接可以收发电子邮件、实现Web 应用、接入互联网、进行对广域网的访问。同时，在所有通信过程中应当保证客户端与服务器端，以及内部和外部和内部与内部的所有通信是安全的和透明的。1.3 网络系统安全分析正确的风险分析是保证网络环境安全的非常重要的一环，一个性

6、能优良的安全系统结构和安全系统平台，能够以低的安全代价换得高的安全强度。下面对中小型公司的具体状况从物理层安全、网络层安全、系统层安全、数据传输安全、病毒的安全威胁及管理安全进行分类描述网络系统的安全风险。1.3.1 物理层安全风险因为网络物理层安全是整个网络系统安全的前提。一般的物理安全风险主要有：1.电源故障造成设备断电以至操作系统引导失败或数据库信息丢失。2.地震、水灾、火灾等环境事故造成整个系统毁灭。3.电磁辐射可能造成数据信息被窃取或偷阅。4.不能保证几个不同机密程度网络的物理隔离。针对中小型公司物理层安全是指由于网络系统中大量地使用了网络设备如移动设备、服务器如PC服务器、交换机，

7、那么这些设备的自身安全性也会直接影响信息系统和各种网络应用的正常运转。物理安全的威胁可以直接造成设备的损坏，系统和网络的不可用，数据的直接损坏或丢失等等。为了保证中小型公司系统的物理安全，首先要保证系统满足相应的国家标准，同时对重要的网络设备采用UPS不间断稳压电源，对重要的设备如数据库服务器、中心交换机等采用双机热备份，对安全计算机电磁泄漏发射距离不符合安全距离的应采取电磁泄漏发射防护措施，对重要的通讯线路采用备份等等。1.3.2 系统层安全风险中小型企业网络采用的操作系统（主要为UNIX，Windows NT / Workstation，Windows2000 server / profe

8、ssional，Windows ME）本身在安全方面考虑的较少，服务器的安全级别较低，存在若干安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。在中小型公司的网络系统中，包含的设备有：交换机，服务器，工作站等。在服务器上主要有操作系统、软件系统和数据库系统，交换机上也有相应的操作系统。所有的这些设备、软件系统都可能会存在着各种各样的漏洞，这些都是重大安全隐患。一旦被利用并攻击，将带来不可估量的损失。1.3.3 网络层安全风险网络边界的安全风险分析：该中小型公司校园网络由教学区网络、计算机机房网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访

9、问加以控制6。2、由于中小型公司中小型公司校园网络中大量使用了网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。3、网络传输的安全风险分析：中小型公司中小型公司校园网络与其他院校的远程传输安全的威胁来自如下两个方面：内部业务数据明文传送带来的威胁;线路窃听。 1.3.4 数据传输的安全风险由于在中小型企业内部网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录密码和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。如果没有专门的软件或硬件对数据进行控制，所有的通信都将不受限制地进行传输，因此任何一个对

10、通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的。造成泄密或者做一些篡改来破坏数据的完整性。1.3.5 病毒的安全风险传统的计算机病毒传播手段是通过存储介质进行的，当企业员工在交换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。而现代的病毒传播手段主要是通过网络实现的，一台客户机被病毒感染，迅速通过网络传染到同一网络的上百台机器。员工们在上网浏览网页、收发电子邮件，下载资料的时候，都有可能被病毒传染。1.3.6 管理的安全风险管理混乱、安全管理制度不健全，责权不明及缺乏可操作性等都可能引起管理安全的风险。因此，最可行的做法是管理制度

11、和管理解决方案相结合。管理方面的安全隐患包括：内部管理人员或师生为了方便省事，设置的口令过短和过于简单，甚至不设置用户口令，导致很容易破解。责任不清，使用相同的口令、用户名，导致权限管理混乱，信息泄密。把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。内部不满的人员有的可能造成极大的安全风险10。网络安全管理是防止来自内部网络入侵的必须部分，管理上混乱、责权不明、安全管理制度缺乏可操作性及不健全等都可能引起管理安全的风险。即除了从技术上功夫外，还得靠安全管理来实现。随着中小型公司整个网络安全系统的建设，必须建立严格的、完整的、健全的安全管理制度。网络的安全管理

12、制度策略包括：确定安全管理等级和安全管理范围;制订有关网络操作使用规程和出入机房管理制度;制定网络系统的维护制度和应急措施等。通过制度的约束，确定不同学员的网络访问权限，提高管理人员的安全防范意识，做到实时监控检测网络的活动，并在危害发生时，做到及时报警。1.4 企业网的安全目标从技术角度来说，网络信息安全与保密的目标主要表现在系统的保密性、完整性、真实性、可用性、不可抵赖性等方面。网络安全的意义，就在于资料、信赖关系和网络的传输能力与端系统的处理能力三个要素的保护，保证这三者能为所适合的用户服务。而且，只为合适的用户服务。与此同时，由于计算机网络自身存在的局限性和信息系统的脆弱性，使得计算机

13、网络系统上的硬件资源，通信资源，软件及信息资源等因可预见或不可预见的甚至是恶意的原因而遭到破坏，更改、泄露或功能失效，使信息系统处于异常状态，甚至引起系统的崩溃瘫痪，造成巨大的经济损失。在这样的形势下，以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。计算机网络改变着人们赖以行动的社会信息结构，改变着人们获取利用信息的方式，从而引起人类生活方式的全面改观。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据;不正当行为是指用户虽经授权，但对授权数据和资源的使用不合法或滥用授权。网络

14、自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息，因而计算机网络的安全性可以定义为：保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务，后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响2。一个安全的计算机网络应该具有以下几个特点：(1)可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软件无故障运

15、行的性能。(2)可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。(3) 保密性是指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容。(4)完整性是指网络信息未经授权不能进行改变的特性，即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，保也称做不可否认性，主要用于网络信息的交换过程，保证信息交换的参与者都不可能否认或抵赖曾进行的操作，类似于在发文或收文过程中的签名和签收的过程。从技术角度看，网络安全的内容大体包括4个

16、方面：1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全保护方案，以保证算机网络自身的安全性为目标。1.5网络安全策略网络中的所有计算机都应能抵御来自于外部和内部的攻击。基于以上的安全目标，我们可以制定如下安全策略：利用路由器，防火墙，VPN，实现内部网络和外部网络的隔离、审查和过滤。同时在内部不同部门之间，利用VLAN技术，划分虚拟局域网，实现内部各个部门的隔离。网络安全策略目的是决定一个计算机网络的组织结构怎样来保护自己的网络及其信息，一般来说，安全

17、策略包括两个部分：一个总体的策略和具体的规则。总体的策略用于阐明公司安全政策的总体思想，而具体的规则用于说明什么活动是被允许的，什么活动是被禁止的。1.网络安全策略的等级网络安全策略可分为以下4个等级：(1)不把内部网络和外部网络相连，因此一切都被禁止。(2)除那些被明确允许之外，一切都被禁止。(3)除那些被明确禁止之外，一切都被允许。(4)一切都被允许，当然也包括那些本来被禁止的。可以根据实际情况，在这4个等级之间找出符合自己的安全策略。当系统自身的情况发生变化时，必须注意及时修改相应的安全策略。2 网络设计原则中小型企业网络的规模通常较小，结构相对简单，对性能的要求则因应用的不同而差别较大

18、。许多中小型企业的网络技术人员较少，因而对网络的依赖性很高，要求网络尽可能简单，可靠，易用，降低网络的使用和维护成本，提高产品的性价比就显得尤为重要。基于以上特点：在进行系统设计时应当遵循以下设计原则：（1） 实用性和经济性。方案设计应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。（2） 先进性和成熟性。当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求网络建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保网络络能够适应将来网络技术发展的需要，保证在未来几年内占主导地位

19、。（3） 可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。 （4） 安全性和保密性。在方案设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此方案应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 （5）可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。把当前先进性、未来可扩展性和经济可行性

20、结合起来，保护以往投资，实现较高的总体性能价格比。3网络安全的方案设计3.1总体设计方案企业网络建设的基本目标就是在网络中心和各部门的局域网建设、及其广域网互联的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的内部网络系统。整个系统在安全、可靠、稳定的前提下，实现合理投入，最大产出，即符合最优经济的原则。中小型网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套“的原则进行，采用先进的”平台化“建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想：宏观上统一规划，同步开展，相互配套;在实现上分步实施，渐

21、进获取;在具体设计中结构上一体化，标准化，平台化;安全保密功能上多级化，对信道适应多元化。针对中小型公司系统在实际运行中所面临的各种威胁，采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保中小型公司系统安全可靠的运行。客户机/服务器（C/S）网有着突出的优点：网络系统稳定，信息管理安全，网络用户扩展方便，易于升级。客户机服务器网的缺点是：需专用文件服务器和相应的外部连接设备，建设网络的成本较高，网络管理上也较复杂。这种网络结构适用于计算机数量较多，位置相对分散，且传输的信息量较大的情况。对于具有一定规模，并且在内部已经有了几个部门的企业，如果所有部门的

22、用户无差别地处于对等网中，不仅使许多敏感数据容易被无关人员获取，使网络数据的安全性下降，而且部门内的大量通信也会占用大量的网络资源，使整个网络的效率变低，甚至引起崩溃，降低了网络的可用性。为了克服这个缺点，需要将经常进行通信的计算机组成一个子网，使大量的内部数据局限在子网内传播，然后将各个子网连接在一起，形成局域网。3.2网络拓扑方案设计3.2.1网络拓扑图设计图3-2-13.2.2 IP地址分配策略由于本网中局域网的规模不是很大，因此出于网络安全的角度考虑，在网络设计中采用静态地址分配的方法。并结合中心交换机的第三层交换功能，进行子网的划分，一方面可以降低网络风暴的发生，另一方面也加强了网络

23、的安全性。使用静态IP地址分配可以对各部门进行合理的IP地址规划，能够在第三层上方便地跟踪管理，再加上对网卡MAC地址的管理，网络就会具有更好的可管理性，可通过固定IP地址及MAC地址直接定位内部的某台PC机，对于内部入侵有着较好的防御力。3.2.3 内部网络IP地址分配内部网部分可以使用保留地址。根据IANA的规定，以下地址为保留地址，并可以由用户自由使用，只需保证企业范围内的地址唯一性。保留地址如下：192.168.0.0192.168.255.0（256个C类地址）。内部网络采用保留IP地址192.168.x.x，子网掩码255.255.255.0，则最多可以提供254254=64516

24、个IP地址，254个子网，在可以预见的将来基本能够满足信息点增长的要求。分配原则：把192.168.x.0 （x=1254）称作一个二级子网（VLAN），分别分给财务部、市场部、研发部等部门的网段可以是其中的任意三个，如：192.168.2.0，192.168.3.0，192.168.4.0，子网掩码为255.255.255.0。根据部门的规模和信息点的数量，可以按需调整。每个部门需指定专人负责本子网的IP地址分配和管理工作，并和网络管理员协同工作，确保IP地址管理的效率。对于重要的IP地址（例如领导使用的IP地址和各个服务器使用的IP地址），采取IP地址和MAC地址绑定的方法，来保证IP地址

25、不被盗用。3.2.4 外部网络IP地址分配Web服务器、电子邮件服务器都需要与外围网络通讯，需要申请一定数量的Internet IP地址，并绑定在在防火墙的外部网卡上，然后通过IP映射，使发给其中某一个IP地址的包转发至Web服务器上，然后再将该Web服务器响应包伪装成该合法IP发出的包。假设以下情况：分配Web服务器的IP为：内部IP：192.168.1.100，真实IP：202.110. 123.100。分配给电子邮件服务器的IP为：内部IP：192.168.1. 200，真实IP：202.110. 123.200。PIX防火墙的IP地址分别为：内网接口e1：192.168.1.1，外网接

26、口e0：202.110.123.1。通过设置PIX把真实IP绑定到防火墙的外网接口，并在PTX上定义好NAT规则，这样，所有目的IP为202.110.123.100和202.110.123.200的数据包都将分别被转发给192.168.1.100和192.168.1.200；而所有来自192.168.1.100和192.168.1.200的数据包都将分别被伪装成202.110.123.100和202.110. 123.200，从而也就实现了IP映射。NAT地址转换过程如图2：图3-2-4需要申请合法IP地址的服务器包括：Internet接入路由器、Web服务器、电子邮件服务器、防火墙。4设备选

27、型及配置4.1 防火墙4.1.1 产品概述本方案采用CISCO公司的防火墙系列产品PIX中的CISCO SECURE PIX 525，它很好的支持了多媒体信息的传输，使用与管理更方便。主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ。CISCO提供防火墙运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。该产品经过了美国安全事务处（NSA）的认证，同时通过中国公安部安全检测中心的认证。另外，实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用

28、的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。而且考虑到是中小企业所以我们选择了CISCO PIX-525-UR-B。无论从安全要求还是价格方面CISCO PIX-525-UR-B它都符合我们的要求。设备配置：1）CISCO SECURE PIX 525；2）4个100M以太网端口；3）128M内存；4）600MHZ CPU。4.1.2配置过程基本配置策略:1）对外的IP地址只有一个，即防火墙的IP地址，对内部网络的访问，都通过防火墙的IP地址转换（NAT）；2）内部网络使用保留的IP地址192.168.x.x。当内部某一用户要访问Internet时，Int

29、ernet上看见的这个用户的IP地址就是防火墙的地址；3）外部网络的用户只有通过防火墙来才能访问WEB服务器和邮件服务器，由防火墙来完成IP地址的映射。4）外部网络用户不允许直接访问其他服务器。5）不必要的端口被禁止。PIX防火墙配置：ip address outside 202.110.123.1ip address inside 192.168.1.1global 1 192.168.2. 0-192.168.5.200nat 1 192.168.0.0static 202.110.123.1 192.168.5.100conduit 202.110.123.1 514 udp 192.1

30、68.5.100255.255.255.255 mailhost 202.110.123.1 192.168.1.200telnet 192.168.5.100syslog facility 20.7syslog host 192.168.5.100 4.2路由器4.2.1 产品概述为保证Internet连接的可靠性和将来的流量扩展，选用高性能的CISC0 2811路由器作为Internet接入服务平台。CISCO 2811系列是适合大中型企业较小型Internet服务供应商的一系列模块化多服务访问平台。CISCO 281具有先进、集成的端到端安全性，以用于提供融合服务和应用。凭借思科IOS软

31、件高级安全特性集，它在一个解决方案集中提供了一系列强大的通用安全特性。CISCO 2811提供了2个10Mbps/100Mbps端口，它能以线速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用设备配置：2个板载AIM（内部）插槽 4个接口卡插槽 1个插槽（支持NM和NME模块）4.2.2 配置过程路由器RTRA：RTRA是外部防护路由器（直接连接Internet），它必须保护PIX防火墙免受

32、直接攻击，保护FTP/HTTP服务器，同时作为一个警报系统，如果有人攻入此路由器，管理可以立即被通知。只允许网管工作站远程登录到此路由器，当用户想从Internet管理此路由器时，应对此存取控制列表进行修改。按以上设置配置好PIX防火墙和路由器后，PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口，也不可能判断出内部任何一台主机的IP地址，即使告诉了内部主机的IP地址，要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护，防止外部的非法攻击。路由器配置：no service tcp small-servers logging trap debuggi

33、ng logging 202.110.123.1enable secret interface Ethernet 0ip address 202.110.123.1 255.255.255.0interface Serial 0ip unnumbered ethernet 0 ip access-group 110 inaccess-list 110 deny ip 202.110.123.0 0.0.0.255 any log access-list 110 deny ip any host 202.110.123.1 Iogaccess-Iist 110 permit tcp any202

34、.110.123.1.0 0.0.0.255 establishedaccess-list 110 permit tcp any host 202.110.123.1 eq access-list 110 permit tcp any host 202.110.123.2 eq access-list I10 permit tcp any host 202.110.123.100 www access-list 110 deny ip any host 202.110.123.100 logaccess-1 i st 110 permit ip any 202.110.123.0 0. 0.

35、0. 255line vty 0 4loginpassword XXXxaccess-class 10 inaccess-list 10 permit ip 192.168.5.1004.3中心交换机中心交换机选用CISCO Catalyst 6500系列交换机。Catalyst 6500提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容交换、语音和网络分析模块。能感知网络内容和网络应用的第27层交换服务。Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱，以及多种集成式服务模块，包括数千兆位网络安全性、内容

36、交换、语音和网络分析模块。 Catalyst 6500系列中的所有型号都使用了统一的模块和操作系统软件，形成了能够适应未来发展的体系结构，由于能提供操作一致性，因而能提高IT基础设施的利用率，并增加投资回报。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口，提供每秒数亿个数据包处理能力的网络核心，Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。设备配置：1）Catalyst 6500 9插槽交换机机箱；2）Catalyst 6000 1300W交流电源及冗余电源；3）带

37、2个1000M GBIC上联接口，增强QoS及PFC卡和MSFC卡；4）1块WS-X6408-GBICB口千兆以太网卡+10个WS-65486千兆模块；5）Catalyst 6000 48口10/100模块（RJ-45）。以上配置提供了电源的冗余，充分保证中心交换机的高可用性。4.4二级交换机二级交换机选用CISCO 3548 XL交换机，与中心交换机采用单模百兆连接。CISCO Systems Catalyst 3500 XL 系列是一系列可伸缩的堆叠10/100和Gigabit Ethernet交换机，提供优异的性能、可管理性和灵活性。CATALYST 3548XL的背板交换能力为10G，

38、最高转发速率每秒钟740万个数据包，最大转发带宽5 Gb/s，提供了2端口的千兆以太网以及48端口快速以太网，保证了强大的端口数量、以及向千兆网络的延伸能力。CATALYST 3548XL支持FEC（FAST ETHERNET CHANNEL）技术、ISL（INTER SWITCH LINK）技术。通过ISL可支持跨设备的VLAN划分；FEC技术可支持在交换机、路由器和服务器之间捆绑4条链路共高达800MBPS的带宽。设备配置：1）CISCO 3548交换机，2口千兆、48口10/100M自适应；2）1000Base-LX/LH GBIC WS-5486（长波/长途，单模）（SC接口）。4.5

39、入侵检测系统（IDS）4.5.1 产品概述CISCO IDS 4200系列设备检测器是专用型高性能网络安全“设备”能够阻止网络上的非法恶意行为。CISCO Secure IDS-4235 传感器能够通过实时分析流量检测出网络上的非法活动，如黑客攻击。当非法活动被检测到以后，传感器向管理控制台发出带有活动详细内容的告警信息，然后控制其它系统，如路由器断开非法对话；检测器可以向管理控制台通报行为细节另外CISCO IDS主动响应系统，还能控制路由器、防火墙和交换机等，及时中断非法操作。在200Mbps速度下CISCO IDS-4235可以在交换环境中多个T3子网上，以及在10/100/1000接口

40、的支持下提供保护。4.5.2 配置过程CISCO IDS 4235实际上是一台安装了CISCO操作系统的主机其配置过程均可采用类似路由器交换机的命令行命令来实现。以下为几个常用配置命令：（1） 使用有效权限登陆配置端口sensor# configure terminal、sensor（config）# service interface（2）显示有效端口sensor（config-int）# physical-interfaces GigabitEthernet0/0 GigabitEthernet0/0 physical interfaceGigabitEthernet0/1 Gigabit

41、Ethernet0/1 physical interface、GigabitEthernet0/2 GigabitEthernet0/2 physical interface。GigabitEthernet0/3 GigabitEthernet0/3 physical interface、Management0/0 Management0/0 physical interface。（3）启用一个端口的promiscuous模式sensor（config-int）# physical-interfaces GigabitEthernet0/2（4）进行端口设置sensor（config-int-

42、phy）# duplex full5服务器的安装和配置5.1 Web/DNS服务器的配置在服务器上安装操作系统，由于操作系统的差别整个配置过程会有所不同，在Windows Server 2003上Web服务器的配置过程。先通过控制面板中的“添加或删除程序”中安装IIS6.0。接着设置Web服务器，具体做法为:（1）在“控制面板”中选择“管理工具Internet信息服务（IIS）管理器”。（2）在“Internet信息服务（IIS）管理器”中双击“本地计算机”。（3）右击“网站”，在菜单中选择“新建网站”，打开“网站创建向导”。（4）依次填写“网站描述”、“IP地址”、“端口号”、“路径”和“网

43、站访问权限”等。（5）为了便于访问还应设置默认文档（Index.asp、Index.htm）。为了能正常显示基于ASP的动态网页内容，启用ASP支持。域名服务器的设置: 首先，向域名服务商申请了域名，在DNS域名服务器上区域名称设为相应值，IP地址为Web服务器的IP地址，建立域名映射IP地址的主机记录。为主Web站点设置域名。在转发器中配置IP地址为ISP的DNS服务器的地址。5.2 邮件服务器的配置（1）安装POP3和SMTP服务组件以系统管理员身份登录系统，在“Windows组件向导”对话框中选中“电子邮件服务”选项，点击“详细信息”按钮，选中“POP3服务Web管理”。选中“应用程序服

44、务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。（2）配置POP3服务器 创建邮件域：点击“开始管理工具POP3服务”，弹出POP3服务控制台窗口。选中左栏中POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入邮件服务器的域名。（3）配置SMTP服务器 完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始程序管理工具Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中

45、“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中邮件服务器的IP地址即可。5.3 文件服务器的配置微软的IIS提供Web服务之外，还提供FTP的服务，我们用它架设文件服务器。（1）启动IIS，并启动IIS上的FTP服务。在默认的情况下，FTP服务器已经搭建好。（2）鼠标右击IIS中的“默认FTP站点”项，选择“属性”菜单。（3）选择“主目录”的标签，在FTP站点目录的“本地路径”处填上你要设置的共享文件路径。默认情况下，此处的文件夹位置为“C:InetpubFtproot”。如果临时想改变共享目录，随时都可在此处修改；在“主目录”的标签处，可设

46、置FTP服务器的文件访问权限，分别有读取、写入和日志访问；（4）设置登录的用户。（5）在“消息”标签处，有“欢迎”、“退出”和“最大连接数”3个输入框，分别代表别人在登录、退出时FTP服务器上给出的提示信息，可根据需要设置。此外，最大连接数是设置同时连接本地FTP的最大主机台数。 （6）在“FTP站点”的标签处设置FTP标识，包括说明、IP地址和端口。6安全管理规则6.1使用中的网络安全问题在平时使用过程中，网络安全主要涉及到内部网络安全与外部网络安全两个部分的，主要存在安全风险的对象包括网络内的硬件设备，传输及存储的数据。存在风险的途径同时存在网络的内部与外部、人为与自然，存在风险的原因分为

47、主动与被动。网络安全问题的特征有：拒绝服务攻击频繁，黑客活动，安全防范意识不够，安全措施使用不当等等。6.1.1 网络安全的外部问题人为物理攻击物理攻击，即人为的窃取、破坏网络线路或关键服务器。网络攻击网络外部攻击，已达到窃取或篡改网络内部文件数据，破坏网络的安全性，使部门内部无法正常工作；通过拒绝服务等攻击手段使网络服务器无法向内内部网络数据请求，破坏网络的可用性。如骇客的窃取造成损失数据或者因为恶意攻击造成服务器不可用的状态。天灾地震、闪电、洪水、火灾等可以造成大面积物理毁坏的灾害对于本地内部网络无疑是毁灭性的打击，若灾害不是很严重可能导致内部网络线路断连，使内部工作网络瘫痪；若更严重些可

48、能导致数据服务器破坏，从而导致数据丢失。其他原因硬件驱动不完善、硬件器材自身的损耗以及电磁辐射等原因造成的硬件系统的不可用和功能故障。6.1.2网络安全的内部问题再好的防御也顶不住内部堡垒的攻破。同样对于一个网络安全来说，外部网络安全可通过网络本身的健壮性及网络安全管理员的管理和认真负责来解决，但网络内部若存在隐患的话，只能通过制定相应的政策来强制约束内部网络的使用者，才能尽可能避免网络内部有意或无意攻击使外部健壮的网络不堪一击。因为维护网络安全即需要建立一个可信任、可控制的内部安全网络。然而在建立内网时候我们通常会遇到如下问题：非法另辟外联问题网络中，之所以有内外网络之分，是因为在出入口我们

49、加强了戒备从而保证内部网络的安全。内网和外网之间有防火墙等安全设备保障内网的安全性，对于保密网络，甚至是要求绝对安全的与外网物理隔绝的部门（研发部）。但如果内部人员使用拨号、宽带等方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密事件，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。软件使用不当问题内部人员在计算机上安装使用盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦。而一些内部人员出于好奇心或者恶意

50、破坏的目的，在计算机上安装使用一些黑客软件，从内部发起攻击。还有一些内部人员安全意识淡薄，不安装指定的防毒软件等等。这些行为都对内网构成了重大的安全威胁。安全防护配置不当问题部分内部人员因为杀毒软件等安全防护措施占用部分系统资源，他们为了追求一定得娱乐效果而将这些安全措施废弃不用，甚至某些内部员工为非法分子大开方便之门，将防火墙和其他安全防范软件关闭从而导致内部其他机器完全暴露于威胁之下。6.2 网络防护由于以上内外部网络安全问题的存在，我们需要通过增加安全模块、制定安全规则及安全政策等等来规范使用和应对干扰。6.2.1 登陆控制用于控制用户对网络系统和资源的访问。该功能由安装有网络操作系统W

51、indows Server 2008的服务器提供，它采用域（Domain）模式建立网络安全环境。在主域控制器PDC（Primary Domain Controller）上，对用户实施身份验证和访问控制。提供的功能：（1）身份验证：Windows Server 2008通过用户名和口令来验证登陆网络的用户身份，对非法用户拒之门外；（2）访问控制：用户登入网后，因为用户权限不一样所以有限制的访问系统资源。（3）操作审核：对用户操作行为跟踪，管理员可根据审核结果来控制用户的操作。6.2.2防火墙防火墙就是根据一定的安全策略和规则对外来的信息流进行安全检查，然后确定是否将信息流转发给内网。采用的防火墙

52、应用模式是屏蔽子网网关（Screened Host Gateway）：在内部网和Internet之间设置独立的屏蔽子网，在内部网和屏蔽子网之间和屏蔽子网与Internet之间都设置一个屏蔽路由器，堡垒主机连在屏蔽子网上。因此，内部网服务器设有三道安全屏障，入侵者代价更高。外部屏蔽路由器的作用是保证外部网发来的数据包只能达到屏蔽子网，并且只能将屏蔽子网中的数据包输出到外部网上。内部屏蔽路由器的作用是保证内部网发来的数据包只能输出到屏蔽子网上，而不能到达外部网。另外，内部屏蔽路由器还提供网络地址转换（NAT）功能，它允许在内部网络中使用私有IP地址。这样，在屏蔽内部子网结构的同时，还解决了公用IP

53、地址短缺问题。功能：（1）单向控制访问：允许局域网用户访问互联网资源，但是严格限制互联网用户对局域网资源的访问；（2）区域协调划分：通过防火墙，将整个局域网划分互联网，DMZ区，内网访问区这三个逻辑上分开的区域；（3）整体安全防护：局域网所有工作站和服务器处于防火墙地整体安全防护之下；（4）流量精确控制：确保重要业务对流量和带宽的要求优先辅助完成；（5）过滤完美规则：通过防火墙的过滤规则，实现端口级别控制，限制局域网用户对互联网的访问；以时间为控制要素，限制大流量网络应用在上班时间的使用；限制互联网用户对WEB服务器的访问，将访问权限控制在最小的限度；对远程更新的时间、来源（通过IP地址）进行

54、限制。由于在网络环境下，病毒有不可估量的威胁性和破坏力，病毒的防范是网络安全性建设中重要的一环。网络反病毒包括预防病毒、检测病毒和杀毒：（1）预防病毒：加密可执行程序、引导区保护、系统监控与读写控制；（2）检测病毒：它是通过对病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化、注册表的改变等。（3）清除病毒：它通过对病毒的分析，在原有防毒软件不起作用的情况下，寻找相关的专杀工具进行清除，并对注册表进和维护。对网络服务器中的文件进行频繁地扫描和监测；在用户机器装可受服务控制的客户端杀毒软件和对网络目录及文件设置访问权限。6.3 后期安全服务安全措施实施后并不意味着一劳永逸，对各种安全

55、措施必须定期维护更新来应对日益更新的情况，因此需要制定安全服务方案。在安全服务方案中，采用不同的安全服务，定期对网络进行检测、改进，以达到动态增进网络安全性，最大限度发挥安全设备作用的目的。安全服务分为：6.3.1 网络拓扑分析对象：整个网络；周期：半年一次；内容：根据网络的实际情况，绘制网络拓扑图；分析网络中存在的安全缺陷并提出整改建议意见。6.3.2 操作系统补丁升级对象：服务器、工作站、终端；周期：不定期；（出现更新，及时升级）内容：一旦出现重大安全补丁，及时更新所有相关系统；出现大型补丁（如微软的SP），及时更新所有相关系统。6.3.3防病毒软件病毒库定期升级对象：安装防病毒客户端的终

56、端；周期：每半周一次；内容：防病毒服务器通过Internet更新病毒库；防病毒服务器强制所有在线客户端更新病毒库。6.3.4服务器定期扫描加固对象：服务器；周期：半年一次；内容：使用专用的扫描工具，在用户网络管理人员的配合，对主要的服务器进行扫描。6.3.5防火墙日志备份、分析对象：防火墙设备；周期：一周一次；内容：导出防火墙日志并进行分析。6.3.6入侵检测等安全设备日志备份对象：入侵检测等安全设备；周期：一周一次；内容：备份安全设备日志。6.3.7服务器日志备份对象：主要服务器（Web服务器、文件服务器等）；周期：一周一次；内容：备份服务器访问日志。6.3.8设备备份系统对象：骨干交换机、

57、路由器等网络骨干设备；周期：实时；内容：根据用户的网络情况，提供骨干交换机、路由器等核心网络设备的备份。备份设备可以在段时间内替代网络中实际使用的设备。6.3.9信息备份系统对象：所有重要信息；周期：根据网络情况定完全备份和增量备份的时间；内容：定期备份电子信息。6.4网络管理员的责任依据上述解决方案，企业的网络安全有了全面的保障，但是网络管理员还不可以高枕无忧。网络的安全管理是一个动态的、不断完善的过程，即使忽略了很小的一个细节，也可能带来意想不到的危险。因此，网络管理员责任重大。因此在选聘的时候要认真严谨选取可靠专业细心地人员担当。网络管理人员责任：（1）对网络设备和服务器的物理访问应作严

58、格限制；（2）建立良好的密码管理机制；（3）无效的用户应及时清除；（4）不提供非必需服务；对提供的服务应作全面安全性设置，不依赖于系统的默认设置；（5）经常备份系统数据；（6）经常检查系统日志；（7）所有的计算机都应有病毒防护机制。6.5公司内部制定安全规章在使用安全硬件及网络管理员对网络管理的同时，还需制定安全政策，对内部硬件、软件管理，及工作人员有相应的安全约束，已达到网络安全的目的。（1）同一台计算机不可同时使用内部网络并且通过别的方式连接外网；或使用专用的计算机连接内部网络，另一台计算机通过别的方式连接外部网络；对于安全级别较高的数据服务器不允许连接任何网络；（2）统一安装并更新计算机软件防火墙及杀毒软件；（3）要求工作人员将个人计算机设置安全级别较高的密码并定期更换，在离开时自动锁定电脑；（4）只允许在工作电脑上使用固定的软件，不允许安装与使用其他软件。不允许使用私人电脑接入公司内部网络；（5）不允许使用外部存储介质如U盘，光盘，数码相机等等介入工作电脑；（6）对于使用内部网络的员工有严格的身份验证机制（证件卡、指纹等特征），严格控制外来不明人员接入网络。（7）不允许私自介入外部网络（8）要求各项安全软件正常启用不得进行不当配置。