中国矿业大学计算机网络与安全实践设计报告

中国矿业大学计算机网络与安全实践报告 计算机网络与安全实践设计报告 计算机网络与安全实践设计报告 某集团公司局域网设计 专 业: 信息安全 班级: 09-3班 小组成员: 管宇佳 吴春姗 丁君 指导教师: 李锡渝 职 称: 实验师 中国矿业大学计算机科学与技术学院 2012年 6月 徐州 1 计算机网络与安全实践设计报告 题 目 某集团公司局域网设计 设计日期 2012年 6月11日至 2012年 6月18日 小组成员 在本次设计中承担的任务 文档成绩 管宇佳 网络拓扑设计及设备选型 吴春姗 需求分析调查、案例分析以及实验报告 丁君 具体网络配置 指导教师签字: 年 月 日 2 计算机网络与安全实践设计报告 目录 一、引言................................................................................................................................... 5 1.1建立企业局域网的必要性 ......................................................................................... 5 1.2需求分析 ..................................................................................................................... 5 二、网络设计的目标与要求 ................................................................................................... 6 2.1 问题重述 .................................................................................................................... 6 2.2 整体设计策略 ............................................................................................................ 6 2.3网络设计步骤 ............................................................................................................. 6 三、背景知识与分析 ............................................................................................................... 6 3.1背景知识 ..................................................................................................................... 6 四、设计与实现 ............................................................................................................... 7 4.1 总体规划 .................................................................................................................... 7 4.2 设备选择 .................................................................................................................... 8 4.2.1 选型原则 ......................................................................................................... 8 4.2.2 网络层次划分 硬件系统结构硬件选择 ....................................................... 8 4.3 网络拓扑设计 ............................................................................................................ 9 4.4 VLAN与IP地址规划 ................................................................................................ 10 4.5 设备配置 .................................................................................................................. 10 4.5.1 路由器交换机的基本配置 ........................................................................... 10 4.5.2 配置VLAN ..................................................................................................... 10 4.5.3 配置VTP ....................................................................................................... 11 4.5.4 配置动态路由协议 ....................................................................................... 12 4.5.5 配置DHCP .................................................................................................... 12 4.5.6 配置NAT ....................................................................................................... 13 4.5.7 配置默认路由 ............................................................................................... 14 4.5.8 配置VPN ....................................................................................................... 14 4.6 NAT设计分析 ........................................................................................................... 15 4.7 路由协议的规划 ...................................................................................................... 15 4.7 系统安全设计 .......................................................................................................... 16 五、网络安全设计与管理 ..................................................................................................... 16 5.1病毒防治 ................................................................................................................... 16 5.2建立防火墙 ............................................................................................................... 17 5.3网络的保密措施 ....................................................................................................... 17 5.4数据安全性和完整性措施 ....................................................................................... 18 六、本方案的系统特点 ......................................................................................................... 19 3 计算机网络与安全实践设计报告 6.1 合理的系统结构 ...................................................................................................... 19 6.2 可靠的安全防护 ...................................................................................................... 19 6.3 充分的扩充余地 ...................................................................................................... 20 6.4 稳定的系统性能 ...................................................................................................... 20 七、结束语............................................................................................................................. 20 八、致谢................................................................................................................................. 20 4 计算机网络与安全实践设计报告 一、引言 21世纪是一个信息技术高度发达的社会，无论是办公或者是通信都离不开计算机。现在的人越来越依靠于计算机，再加上电子商务行业的飞速发展Internet的应用也更加广泛。由于这样的社会环境人们对各种数据形式的信息需求和交流的不断增长，使得当今的计算机网络，特别是Internet从传统的数据处理设备(如计算机)和管理工具中驳离出来，担当一个非常重要的角色——信息技术的基础设施与获取、共享和交流信息的主要工具，并成为人们在当今社会生活及工作中不可缺少的组成部分。经过了几年的迅猛发展，计算机网络已经在很多方面改变了人们传统的工作和生活方式……Web浏览、E,mail、QQ(上网聊天)、VOD(视频点悉播)、文件传输、远程诊断、电子商务、网络大学及虚拟学校等无一不与计算机网络有着千丝万缕的联系。这些基于网络的各种应用，正在以惊人的速度扩展，几乎渗透到了社会生活的各个方面。因此，在全球信息电子化、网络化迅速发展的大环境下，无论是从大趋势上看，还是从自身商业利益角度考虑，建立企业内部局域网是企业顺应时代潮流的必由之路。 1.1建立企业局域网的必要性 (1) 建立企业内部局域网，可以充分利用企业现有的硬件资源。节约公司开支，实现无纸化办公。提高企业员工的工作效率，由于局域网企业内部的资源可以得到共享，避免了不必要的重复工作也可以提高时间的利用率; (2) 局域网建成后可以节约企业在使用网络资源方面节约更多的开支，便于公司员工查阅和接受网络信息，也可以简化公司对计算机的日常维护和管理，节约维护成本; (3) 建立局域网提高公司在办公自动化水平和企业内部应用电子商务的能力，逐步实现业务级网络应用。更有利于企业获得更快、更准确的市场信息，为公司决策提供更科学的依据等; (4) 建立了局域网也可以使外界能更快更好的认识本企业，加强企业的知名度。 1.2需求分析 为了能让公司更好的与现代社会的发展接轨，更快的获取市场信息及为了让外界了解该本公司的相关信息特组建企业网，以实现对“公司档案管理”、“产品信息”、“供求信息”等进行计算机网络化管理。 网络功能 根据公司现有规模，业务需要及发展范围建立的网络有如下功能: 1.建立公司自己的网站，可向外界发布信息，并进行网络上的业务。 2.要求供销部可以连接Internet，与各企业保持联络，接受订单及发布本公。 3.司产品信息。其他部门都不能连接Internet，但要求公司内部由网络连接。 4.公司内部网络实现资源共享，以提高工作效率。 5.建立网络时应注意网络的扩展性，以方便日后的网络升级和增加计算机。 6.司内部建立公司的数据库，如员工档案，业务，会议日程等。 5 计算机网络与安全实践设计报告 二、网络设计的目标与要求 2.1 问题重述 某集团公司共六个分公司，其中四个在集团工业园内各个建筑物内，总部为工业园内30层的主楼，第一分公司与主楼相距50米，第二分公司与主楼相距50米，第三分公司与主楼相距5公里，第四分公司与主楼相距8公里，另外两个分公司在另外的两个城市有各自的办公楼。各公司及总部都有自己的计算机室，财务部，行政部，生产部，研发部，后勤部，业务部及人力资源部。 2.2 整体设计策略 因特网投入和区域网分离 首先，在项目的具体设计过程中，我们需要将因特网接入部分和集团公司园区网络主体部分进行分离，这样的话让每一部分完成其自身的功能，可以减少两者之间的相互影响。其次，因特网接入的变化，只影响接入的变化，对集团公司园区网络没有影响;而园区网络的变化对因特网接入部分影响较小。这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。 降低各子公司间的网络关联度 由于各子公司之间主要是与集团公司进行业务的往来。子公司之间的业务往来比较少，因此降低这部分的网络关联，可以最大限度的减少各个子公司网络之间的相互影响，便于分别管理，或者在不同子公司扩展网络的新应用。 统一，统一管理 在整个操作完成中，我们采用统一的IP应用标准(IP地址，路由协议)，安全标准， 接入标准和网络管理平台，这样才能实现真正的统一管理，便于集团的管理和网络策略的实施。 2.3网络设计步骤 对公司网络系统整体方案设计 对接入层交换机进行配置 对汇聚层设备选型 对核心层设备选型 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个公司网系统进行测试 三、背景知识与分析 3.1背景知识 路由、交换与远程访问技术是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖 6 计算机网络与安全实践设计报告 了一个完整园区网实现的方方面面。 路由技术:路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表(Access Control List，ACL)，路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本题案例设计中，内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换技术:传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率，更大大增强了园区网数据交换服务质量，满足了不同类型网络应用程序的需要。现代交换网络还引入了 VLAN)的概念。VLAN将广播域限制在单个VLAN内部，减小了虚拟局域网(Virtual LAN， 各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时，可以使用VLAN中继协议(Vlan Trunking Protocol，VTP)简化管理，它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样，大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中，也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同，花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素综合考虑，选择一种适合企业自身需要的广域网接入方案。)在本工程案例设计中，分别采用专线连接(到因特网)和电路交换(到公司网)两种方式实现远程访问需求。 作为一个较为完整的公司网实现，路由、交换与远程访问技术缺一不可。在后面的内容中，我们将就每一技术领域的常用技术的实现进行详细的讨论。通过本书后面章节的学习，相信读者能够系统地掌握园区网的设计、实施以及维护技巧。 四、方案设计与实现 4.1 总体规划 采用的是层次设计模型，即分别有核心层，汇聚层和接入层，这样的设计模型便于对整个网络的管理与排错，但对核心交换机的性能要求较高。因此，本网使用两台核心交换机，并且汇聚层交换机都分别与两台核心层交换机相连，然后采用HSRP协议，当其中一台核心交换机出现故障时能很快地切换到另一台核心交换机上，起到很好的备份作用，保证了网络 7 计算机网络与安全实践设计报告 的稳定性。 总部与其中四个公司距离不远，采用光纤接入，可保障数据的快速传输。但分公司5和分公司6因为在不同的城市，距离较远，拉专线相连开销过大，因此我们将总公司和分公司的边缘路由器都连到Internet上，然后采用VPN技术使分公司能与总公司能够互相通信。 考虑到分公司较多，可能需要传递的路由条目比较多，因此，本网运行当今中大型网络 影响的范围只中主流的动态路由协议OSPF。OSPF使用区域的概念，当网络拓扑发生改变时,限制在局部的本区域内，避免对全网的影响。 由于公司内部使用的都是私有IP地址，因此边缘路由器上我们需要采用NAT技术把私有IP地址转换为公有IP地址才能访问Internet。 所有边缘路由器先连接防火墙再连接到Internet，防火墙连接Internet的接口设置为外部接口，连接公司边缘路由器的接口为内部接口，连接服务器的接口为DMZ。这样可预防外部人员对公司的网络进行攻击，为网络提供了一定的安全保障。 4.2 设备选择 4.2.1 选型原则 我们在网络系统设计时考虑如下特点: 稳定可靠的网络:一般来说，只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，要求有物理层、数据链路层和网络层的备份技术。 高带宽:为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，所以采用高宽带传输。 易扩展的网络:系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。 安全性:网络系统应具有良好的安全性，才能使用户用着比较合适，由于网络连接园区内部所有用户，安全管理十分重要。所以应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 容易控制管理:因为上网用户很多，因此我们需要管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源。 4.2.2 网络层次划分 硬件系统结构硬件选择 接入层:Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面智能以太网，可与10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LAN服务。 Cisco Catalyst 2960可提供: •集成安全特性，包括网络准入控制(NAC) •高级服务质量(QoS)和永续性 •为网络边缘提供智能服务 8 计算机网络与安全实践设计报告 汇聚层:Cisco? Catalyst? 3560-E系列交换机(图1)是一个企业级独立式配线间交换机系列，支持安全融合应用的部署，并能根据网络和应用需求的发展，最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合，Cisco Catalyst 3560-E能够支持IP电话、无线和视频等应用，提高了员工生产率。 Cisco Catalyst 3560-E系列的主要特性: Cisco TwinGig转换器模块，将上行链路从千兆以太网移植到万兆以太网 • •PoE配置，为所有48个端口提供了15.4W PoE •模块化电源，可带外部可用备份电源 •在硬件中提供组播路由、IPv6路由和访问控制列表 •带外以太网管理端口，以及RS-232控制台端口 核心层:通过 Cisco Catalyst 6500 系列交换机远程对网络进行有效的扩展、虚拟化、保护和管理。Cisco Catalyst 6500 系列提供功能丰富的高性能平台，适合在园区、数据中心、WAN 和城域以太网网络部署，为无边界网络奠定了坚实的基础，从而让您能够随时随地任意连接。 Cisco Catalyst 6500 系列交换机主要特性: •扩展性能与网络服务 •虚拟交换系统 •安全 •网络虚拟化 •集成服务与运营效率 4.3 网络拓扑设计 图1 网络拓扑 9 计算机网络与安全实践设计报告 4.4 VLAN与IP地址规划 表1: VLAN 部门 IP地址 10 172.16.10/24 计算机室 20 172.16.20.0/24 财务部 30 172.16.30.0/24 行政部 40 172.16.40.0/24 生产部 50 172.16.50.0/24 研发部 60 172.16.60.0/24 后勤部 70 172.16.70.0/24 业务部 80 172.16.80.0/24 人力资源部 4.5 设备配置 4.5.1 路由器交换机的基本配置 Router>enable //从用户模式进入特权模式 Router#configure terminal //进入全局配置模式 Router(config)#hostname My1-Router //设置设备名称 My1-Router(config)#line vty 0 4 My1-Router(config-line)#password cisco My1-Router(config-line)#privilege level 15 //设置登录密码，设置等级为15级 Switch>enable My1-Router Switch#configure terminal Switch(config)#hostname My1-Switch My1-Switch(config)#interface fastEthernet 0/1 My1-Switch(config-if)#no switchport My1-Switch(config-if)#exit My1-Switch(config)#line vty 0 4 My1-Switch(config-line)#password cisco My1-Switch(config-line)#privilege level 15 4.5.2 配置VLAN My1-Switch(config)# vlan 10 10 计算机网络与安全实践设计报告 //创建VLAN My1-Switch(config-vlan)# name Computer //设置VLAN名字 My1-Switch(config-vlan)# exit My1-Switch(config)# vlan 20 My1-Switch(config-vlan)#name Finance My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 30 My1-Switch(config-vlan)#name Administration My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 40 My1-Switch(config-vlan)#name Production My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 50 My1-Switch(config-vlan)#name R&D My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 60 My1-Switch(config-vlan)#name Logistics My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 70 My1-Switch(config-vlan)#name Business My1-Switch(config-vlan)#exit My1-Switch(config)#vlan 80 My1-Switch(config-vlan)#name HR My1-Switch(config-vlan)#exit 交换机互联接口设为trunk接口 ACCESS1(config)#interface FastEthernet0/1 ACCESS1(config-if)# switchport mode trunk 交换机连接终端的接口设为access接口，并划入vlan ACCESS1(config)#interface FastEthernet0/2 ACCESS1(config-if)# switchport access vlan 10 ACCESS1(config-if)# switchport mode access 4.5.3 配置VTP My1-Switch(config)#vtp domain ccie //设置VTP域名 My1-Switch(config)#vtp password cisco 11 计算机网络与安全实践设计报告 //设置VTP密码 My1-Switch(config)#vtp mode server //设置VTP模式 4.5.4 配置动态路由协议 My1-Switch(config)# router ospf 110 //开启OSPF进程 My1-Switch(config-router)# router-id 1.1.1.1 //设置OSPF的router-id My1-Switch(config-router)# network 172.16.1.1 0.0.0.0 area 0 //宣告路由进区域0 4.5.5 配置DHCP Switch(config)# ip dhcp pool VLAN10 //设置DHCP池 Switch(dhcp-config)# network 172.16.10.0 255.255.255.0 //为用户分配的IP地址 Switch(dhcp-config)# default-router 172.16.10.254 //告诉用户DHCP网关路由器IP Switch(dhcp-config)# dns-server 202.100.100.100 //告诉用户DNS服务器的IP。 Switch(config)# ip dhcp pool VLAN20 Switch(dhcp-config)# network 172.16.20.0 255.255.255.0 Switch(dhcp-config)# default-router 172.16.20.254 Switch(dhcp-config)# dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN30 Switch(dhcp-config)#network 172.16.30.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.30.254 Switch(dhcp-config)#dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN40 Switch(dhcp-config)#network 172.16.40.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.40.254 Switch(dhcp-config)#dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN50 12 计算机网络与安全实践设计报告 Switch(dhcp-config)#network 172.16.50.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.50.254 Switch(dhcp-config)#dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN60 Switch(dhcp-config)#network 172.16.60.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.60.254 Switch(dhcp-config)#dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN70 Switch(dhcp-config)#network 172.16.70.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.70.254 Switch(dhcp-config)#dns-server 202.100.100.100 Switch(config)#ip dhcp pool VLAN80 Switch(dhcp-config)#network 172.16.80.0 255.255.255.0 Switch(dhcp-config)#default-router 172.16.80.254 Switch(dhcp-config)#dns-server 202.100.100.100 4.5.6 配置NAT My1-Router(config)#access-list 1 permit 172.16.0.0 0.0.255.255 //定义标准ACL，匹配需要转换为公有IP的内网地址 My1-Router(config)#ip nat inside source list 1 interface f0/0 //配置基于端口的NAT My1-Router(config)#interface f0/1 My1-Router(config-if)#ip nat inside //设置NAT入向接口 My1-Router(config)#exit My1-Router(config)#interface f1/0 My1-Router(config-if)#ip nat inside My1-Router(config)#exit My1-Router(config)#interface f1/0 My1-Router(config)#ip nat outside //设置NAT出现接口 My1-Router(config)#exit 13 计算机网络与安全实践设计报告 4.5.7 配置默认路由 所以边界路由器设置一条默认路由指向运营商 My1-Router(config)#iip route 0.0.0.0 0.0.0.0 100.1.1.1 4.5.8 配置VPN My1-Router(config)# interface Tunnel1 My1-Router(config-if)# ip address 192.168.10.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/0 My1-Router(config-if)# tunnel destination 200.1.1.2 My1-Router(config)# interface Tunnel2 My1-Router(config-if)# ip address 192.168.20.4 255.255.255.0 My1-Router(config-if)# tunnel source FastEthernet0/0 My1-Router(config-if)# tunnel destination 200.20.1.3 My1-Router(config)# crypto isakmp policy 1 My1-Router(config-isakmp)# encr 3des My1-Router(config-isakmp)# authentication pre-share My1-Router(config-isakmp)# group 2 My1-Router(config)# crypto isakmp key cisco address 0.0.0.0 0.0.0.0 My1-Router(config)# crypto ipsec transform-set CCIE esp-3des esp-sha-hmac My1-Router(config)# crypto map FF 1 ipsec-isakmp My1-Router(config-crypto-map)# set peer 200.1.1.2 My1-Router(config-crypto-map)# set transform-set CCIE My1-Router(config-crypto-map)# match address 100 My1-Router(config)# crypto map FF 2 ipsec-isakmp My1-Router(config-crypto-map)# set peer 200.20.1.3 My1-Router(config-crypto-map)# set transform-set CCIE My1-Router(config-crypto-map)# match address 101 My1-Router(config)# access-list 100 permit gre host 100.1.1.4 host 200.1.1.2 My1-Router(config)# access-list 101 permit gre host 100.1.1.4 host 200.20.1.3 查看VPN配置状况: 14 计算机网络与安全实践设计报告 My1-Router#show crypto isakmp sa 4.6 NAT设计分析 NAT包括三种类型，分别是静态NAT、动态NAT和端口复用NAT(即PAT)。它主要思想是把本地的私有IP地址映射到公网的合法IP地址，以缓解可用IP地址空间的消耗。而PAT，是最流行NAT配置类型。复用实际上是动态NAT的一种形式，它映射多个私有IP地址到单独一个公网合法IP地址，形成多对一的关系，实现方式便是通过使用不同的端口。因此，它又被称为端口地址映射(PAT)。通过使用PAT，可实现上千个用户仅通过一个真实的公网IP地址连接到Internet.再此，我们选择使用这种端口复用NAT。 在PAT转换中，使用到了端口号，所谓复用，是全部的内部主机被转换成一个单独的IP地址。如图所示，边界路由器把内部本地地址转换为内部全局地址，所不同的是每个转换都带上了端口号。端口号作用于传输层，加上端口号便可帮助路由器识别哪一台主机接收返回的流量。内部主机10.1.1.1请求外部服务器63.40.7.3的资源，发送的请求数据包在路由器处被修改，转换成一个公网IP与随机端口号的组合，并纪录在NAT转换表中。当外部服务器返回响应数据包到路由器时，虽然内部全局IP地址都相同，但可以根据所分配的端口号来识别源主机，从而把返回的流量送往请求服务的源内部主机。静态与动态NAT都是使用IP地址识别源主机，由于PAT允许使用传输层的端口号来识别主机，便可以更加节省公网的合法IP地址。 DA 172.168.2.2 10.1.1.3DASA63.41.7.310.1.1.1172.168.2.2 InternetDA 172.168.2.2 10.1.1.263.40.7.3 SA 10.1.1.1 10.1.1.1 4.7 路由协议的规划 策略路由(PBR) Cisco 3560系列以太网路由交换机支持高性能的策略路由。策略路由(Policy-Based Routing，简称PBR)是目前越来越多的路由器或三层交换机设备正在支持的一项路由扩展功能，支持策略路由的设备不仅能以报文的目的IP地址为依据来进行路由选择，还可以以报文的源IP地址、源MAC地址、报文大小、报文进入的端口、报文类型、报文的VLAN属性等等其它扩展条件来选择路由。通过合理的路由策略设计，可以实现网络流量的负载均衡， 15 计算机网络与安全实践设计报告 充分利用路由设备，并实现路由、交换设备之间的冗余备份功能，同时提供各种可以区分的服务等级，为不同用户提供不同的QoS服务。策略路由是设置在接收报文接口而不是发送接口。Cisco6509系列以太网路由交换机可以很好地支持策略路由功能，并且可以将路由下一跳重定向到某个物理端口，或者某个下一跳IP地址。 我们使用的结构星形网络拓扑结构，如上面整体设计结构示意图，对于星形结构来说,能在内部路由采用OSPF v2,对于外部路由采用BGP4。内部路由在层次上能分为两层:骨干路由层和接入层。 骨干路由层 原则上采用OSPF v2，OSPF v2是由RFC1583定义，适用于自治域内的路由规划,有较强 更重要的是他是一种开放的标准,各种厂家的设备均支持,的域内路由分区和负载分担的功能, 不必担心不同厂家设备之间的路由协议的兼容问题。 接入层路由 一般采用静态路由，只有在用户的网络确实需要采用动态路由协议时才分情况采用OSPF或BGP。外部路由协议采用BGP4协议。BGP4是边界网关协议,适用于独立的自治域管理系统,有非常强的策略路由和流量控制,路由过滤的功能.国内大多数IP网络的骨干网络协议均选用BGP4。 综上，对于总公司与两个外地分公司的连接采用城域网外部路由的规划设计即BGP4协议，而对于本地的四个分公司与总公司的连接采用城域网内部路由规划设计，即汇接层路由器设计成区域边界路由器。各个汇接区域内接入路由器设计成域内路由器，运行OSPF协议。 4.7 系统安全设计 网络系统的运行安全，主要是保护集团的信息安全，必须进行网络安全方面的规划和实施。首先，我们要有严格和有效执行的#管理制度#。建议集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。通过以下几个技术方面的实施，可以在一定程度上保障网络的安全: 1.提高设备的物理安全性 2.配置设备的口令 3.进行VTP域的认证 4.园区网用户的接入控制 5.应用系统的访问控制 6.因特网的接入安全控制 五、网络安全设计与管理 5.1病毒防治 1、 禁用没用的服务 Windows提供了许许多多的服务。 16 计算机网络与安全实践设计报告 Telnet就是一个非常典型的例子。在Windows2003的服务中是怎么解释的:“允许远程用户登录到系统并且使用命令行运行控制台程序” 。建议禁止该服务 还有一个值得一提的就是NetBIOS。 Windows还有许多服务，在此不做过多地介绍。可以根据自己实际情况禁止某些服务。禁用不必要的服务，除了可以减少安全隐患 打补丁 2、 Microsofe公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。 3、 反病毒监控 选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。 5.2建立防火墙 网络地址转化—NAT 网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。 5.3网络的保密措施 1、堵住服务器操作系统安全漏洞 任何网络操作系统的安全性都是相对的，无论是UNIX还是NT都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载，及时堵住系统漏洞。 2、注意保护系统管理员的密码 用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能少于16位，同时应定期修改;口令不得以明文方式存放在系统中;建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。 3、关闭不必要的服务端口 谨慎开放缺乏安全保障的端口:很多黑客攻击程序是针对特定服务和特定服务端口的。 17 计算机网络与安全实践设计报告 a、常用服务端口有:WEB:80，SMTP:25，POP3:110，可根据情况选择关闭。 b、比较危险(很可能存在系统漏洞)的服务端口:TELNET:23，FINGER:79，建议关闭掉。 c、对必须打开的服务(如SQL数据库等)进行安全检查。 4、制定完善的安全管理制度 定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享软件，不应随意下载使用共享软件。做好数据的备份工作，有了完整的数据备份。 5、注意WEB服务的安全问题 ASP、PHP等程序存在的问题，会暴露系统结构或使服务目WEB编程人员编写的CGI、 录可读写，这样黑客入侵的发挥空间就更大。在给WEB服务器上传前，要进行脚本安全检查。 6、警惕DOS攻击和DDOS攻击 DOS攻击和DDOS攻击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建议:如果有条件允许的话，可以使用具有DoS和DdoS防护的防火墙。 5.4数据安全性和完整性措施 数据安全性和完整性就是数据的安全技术。为了解决上述问题，就必须利用另外一种安全技术----数字签名。 PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。 1、认证机构 CA(Certification Authorty)就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个PKI系统的构架和模型有关。此外，灵活也是CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。 2、注册机构 RA(Registration Authorty)是用户和CA的接口，它所获得的用户标识的准确性是CA 18 计算机网络与安全实践设计报告 颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。 3、策略管理 在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。 4、密钥备份和恢复 为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个PKI系统强健性、安全性、可用性的重要因素。 5、证书管理与撤消系统 证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。 国外的PKI应用已经开始，开发PKI的厂商也有多家。许多厂家，如Baltimore,Entrust 等推出了可以应用的PKI产品，有些公司如VerySign等已经开始提供PKI服务。网络许多应用正在使用PKI技术来保证网络的认证、不可否认、加解密和密钥管理等。尽管如此，总的说来PKI技术仍在发展中。按照国外一些调查公司的说法，PKI系统仅仅还是在做示范工程。IDC公司的Internet安全知深分析家认为:PKI技术将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。B2B电子商务活动需要的认证、不可否认等只有PKI产品才有能力提供这些功能。 六、本方案的系统特点 6.1 合理的系统结构 企业主干采用具有第三层交换功能的千兆位以太网(Gigabit Ethernet)以 满足广大用户的各种要求。 企业网建设应能保护企业网的投资,要求企业网的管理方案与管理策略.主干设备应能满足10,000用户接入访问的要求。支持IP多目广播(Multicast)与服务质量(Qos)或服务类型(CoS),满足远程教育的需求。支持虚拟网络(VLAN).网管软件应具备对接入层交换设备进行远程可操作的能力。 6.2 可靠的安全防护 软件采用反病毒软件，关键数据传递使用数字签名技术 网络骨干线路的冗余备份,网络核心设备的冗余备份和电源冗余备份等方面保证校园网的可靠性。内部网络之间,内部网络与外部公共网之间的互联,利用VLAN/ ELAN ,防火墙等对 19 计算机网络与安全实践设计报告 访问进行控制,确保网络的安全。 6.3 充分的扩充余地 主干网络设备的选型及其模块,插槽个数,管理软件 和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩充性 6.4 稳定的系统性能 对使用负担较重的服务器,可以建立多快速以太网通道和服务器负载平衡来提高访问服务器性能。 采用VLAN技术,根据不同的部门和用户需要划分不同子网,并赋予一定的访问权限,配合NAT技术,大大提高了整个网络的安全性和可管理性.同时对网络骨干进行了备份,充分考虑了冗余性,降低了网络瘫痪的可能。关键的服务器都采用多快速以太网通道技术,使访问速度成倍提高。 七、结束语 中小型企业Intranet建设不仅需要一个良好科学的规划设计、技术分析和实施维护过程，而且需要企业领导的重视和参与，这样才能将Intranet技术与中小型企业的计算机应用、相结合，使企业能够高效运行。 通过中小型企业的Intranet，实现高效灵活、使用方便、功能先进的办公自动化系统。此办公自动化系统，不仅可以为企业决策机关提高工作效率、提高重要的技术基础，有助于不同部门之间、不同区域之间的信息交流，同时可以使世界各国更好地了解企业，加强企业与世界的交流。 迅速发展的Internet正在对整个世界的信息产业带来巨大的变革和深远的影响。国内越来越多的企业、国家单位也已经或正在考虑使用Internet/Intranet技术，以建设其化的信息处理系统。 八、致谢 感谢我们的老师，感谢老师给予我们悉心的关怀与指导。 感谢我们的学院，感谢学院给我们提供学习、实践的机会和舒适的环境。 【参考文献】 [1]罗心京,局域网组建应用维护实用教程,北京:中国宇航出版社,2004 [2]郝志恒,组网用网基础与提高,北京:电子工业出版社,2007 [3]吴功宜,胡晓英,张仁,何云,王宁,计算机网络课程设计,北京:机械工业出版社,2005 [4]张保通,计算机网络技术实验指导,北京:中国水利水电出版社,2005 20