企業(yè)局域網規(guī)劃和設計畢業(yè)論文

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　題 目：企業(yè)局域網規(guī)劃和設計</p><p>　　Title：Enterprise LAN planning and design</p><p>　　系 別： 軟件學院</p><p>　　專 業(yè)： 網絡工程</p>

2、<p>　　二零一二 年 三 月</p><p><b>　　摘 要</b></p><p>　　網絡技術高速發(fā)展的今天，企業(yè)網絡的優(yōu)劣已經成為衡量企業(yè)競爭力的標準之一。針對金融行業(yè)的特點，本文介紹了一個行業(yè)專用網絡的整體設計方案。</p><p>　　本方案充分考慮到網絡的負載均衡和穩(wěn)定性能，所以采用三層網絡結構。其中，核心層采

3、用兩臺設備，配置Cisco HSRP協(xié)議進行雙機熱備份。匯聚層采用雙鏈路與核心相連，提高鏈路的穩(wěn)定性同時采用雙鏈路捆綁提高網絡鏈路帶寬利用率，所有網關設在匯聚層避免廣播到達核心，提高核心路由的利用率以達到數(shù)據高速轉發(fā)的要求。路由協(xié)議則選擇安全性高、收斂速度快的OSPF協(xié)議。服務器群組則重點介紹了DHCP、郵件服務器及FTP服務器等企業(yè)中較常用到的服務器的軟件選擇及搭建方法。對于網絡中可能存在的安全威脅，針對不同的需求，方案中提出了VLA

4、N技術、訪問控制列表、防火墻技術等安全解決方案，以求構建一個安全、高效、可考性業(yè)務網絡。</p><p>　　關鍵詞：網絡層次化； 熱備份； 虛擬局域網； 控制列表； 防火墻</p><p><b>　　ABSTRACT</b></p><p>　　As the high-speed development of the network tec

5、hnique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise.</p><p>　　Aiming at the characteristics of the certificate profession,

6、 this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Core Layer

7、 adopts two equipments to master slave scratching and duplicate copy with the protocol of Cisco HSRP. Convergence layer adopts double link and the core is connected, to improve link stability and dual link bundling impro

8、</p><p>　　Keywords: Hierarchical Network; Hsrp; Vlan; Acl; Firewall</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　ABSTRACTII</p>

9、<p>　　目 錄III</p><p><b>　　緒 論1</b></p><p><b>　　1. 需求分析2</b></p><p>　　1.1 項目背景2</p><p>　　1.2 設計目標2</p><p>　　1.3 用戶現(xiàn)實需

10、求3</p><p>　　2. 網絡整體設計4</p><p>　　2.1 網絡拓撲4</p><p>　　2.2 網路層次化設計4</p><p>　　2.2.1 核心層設計5</p><p>　　2.2.2 匯聚層設計5</p><p>　　2.2.3 接入層設計6</p

11、><p>　　2.2.4 路由協(xié)議選擇6</p><p>　　2.3 VLAN的劃分及IP地址規(guī)劃和設備命名規(guī)則7</p><p>　　2.4 服務器群組9</p><p>　　2.4.1 DHCP服務器9</p><p>　　2.4.2 郵件服務器10</p><p>　　2.4.3 W

12、EB服務器11</p><p>　　3. 安全策略12</p><p>　　3.1 網絡威脅因素分析12</p><p>　　3.2 安全要求12</p><p>　　3.3 安全規(guī)劃12</p><p>　　3.4 安全產品選型原則13</p><p>　　3.5 安全策略部署1

13、4</p><p>　　3.5.1 VLAN技術14</p><p>　　3.5.2 訪問控制列表14</p><p>　　4. 防火墻配置17</p><p>　　4.1 防火墻網絡安全策略17</p><p>　　4.2 防火墻的基本配置19</p><p>　　4.3 基于內網的

14、防火墻功能及配置21</p><p>　　4.3.1 IP與MAC（用戶）綁定功能21</p><p>　　4.3.2 MAP（端口映射）功能22</p><p>　　4.3.3 NAT（地址轉換）功能22</p><p>　　4.4 基于外網的防火墻功能及配置23</p><p>　　4.4.1 DOS攻擊

15、防范23</p><p>　　4.4.2 訪問控制功能24</p><p><b>　　結 論25</b></p><p><b>　　致 謝27</b></p><p><b>　　參考文獻28</b></p><p><b>

16、　　緒 論</b></p><p>　　信息化浪潮風起云涌的今天，企業(yè)的業(yè)務已經全面電子化，與Internet的聯(lián)系相當緊密，所以他們需要良好的信息平臺去支撐業(yè)務的高速發(fā)展。沒有信息技術背景的企業(yè)也將會對網絡建設有主動訴求。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。公司內部網絡的建設已經成為提升企業(yè)核心競爭力

17、的關鍵因素。公司網已經越來越多地被人們提到，利用網絡技術，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，公司網絡的優(yōu)劣直接關系到公司能否獲得關鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬各種應用方案且取得了巨大的成功，這使信息化建設更具吸引力。</p><p>　　企業(yè)局域網是指在企業(yè)的某一區(qū)域內由多臺計算機互聯(lián)成的計算機組。一般是方圓幾千米以內。企業(yè)局域網可以實現(xiàn)文件管理、應用軟件共享、打印機共享、工作組內的

18、日程安排、電子郵件和傳真通信服務等功能。局域網是封閉型的，可以由辦公室內的兩臺計算機組成，也可以由一個公司內的上千計算機組成。企業(yè)局域網建設是信息時代的必然產物，企業(yè)局域網的構建是社會發(fā)展的趨勢，網絡給企業(yè)帶來財富的同時也給企業(yè)帶來了挑戰(zhàn)。只有充分利用現(xiàn)代網絡技術，組建好企業(yè)的局域網，才能為企業(yè)插上騰飛的翅膀，帶來企業(yè)的蓬勃發(fā)展。</p><p>　　信息技術自誕生之日起，就對金融行業(yè)產生了深遠的影響，尤其是上世

19、紀90年代以來，隨著金融服務業(yè)全球化和競爭日益劇烈，促使金融公司加快運用各種新的信息技術手段來提高公司管理水平，可以說金融業(yè)已經成為信息技術和網絡技術發(fā)展的最大收益者之一。網絡技術的發(fā)展，讓網上交易迅速普及，網上交易有助于金融公司提高工作效率，降低出錯率，也方便金融公司對客戶的管理。雖然大多數(shù)企業(yè)已經把互聯(lián)網戰(zhàn)略納入企業(yè)經營發(fā)展戰(zhàn)略中，但是網絡黑客攻擊、計算機病毒干擾、數(shù)據傳輸過程中的泄露等不安全因素，仍然讓很多企業(yè)對企業(yè)網絡化猶豫不定

20、。</p><p>　　金融企業(yè)的特點是數(shù)據傳輸量大，數(shù)據機密度高，所以金融業(yè)網絡就要求高效、穩(wěn)定和安全，合理的網絡結構設計能至關重要。隨著網絡技術的迅速發(fā)展和網上應用量的增長，分布式的網絡服務和交換已經移至用戶級，由此形成了一個新的，更適應現(xiàn)代的高速大型網絡分層設計模型“多層次設計”。多層次設計師模塊化的，它在日后網絡擴展、負載均衡、故障排除方面很有效。而現(xiàn)在強大的防火墻技術和各種各樣的安全策略被應用到企業(yè)網絡

21、中，安全得到了保障，那么網路對于企業(yè)的發(fā)展就真正起到了推進的作用。</p><p>　　公司要在激烈的市場競爭中處于有利的位置，就要保持高水平的服務質量和良好的運營成本控制。將傳統(tǒng)的管理模式轉變到數(shù)字化的現(xiàn)代管理模式，有助于各類資源的系統(tǒng)整合，長遠來看將提高公司在未來市場經濟中的競爭力。</p><p><b>　　1. 需求分析</b></p><

22、;p><b>　　1.1 項目背景</b></p><p>　　XX金融是一家剛剛成立的金融公司，公司有資產管理部、財務部、人力資源部、后勤部、經理室（管理部門）和營業(yè)部6個部門，6個部門分布在兩個樓層。日后公司在外地還要開設分支機構，而這里作為公司總部，中心機房也設在此處。公司的網絡系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常金融交易，且作為金融公司，某些投資機密需要很高的保密

23、度，所以公司網絡要有很高的可靠性和安全性?？紤]的日后公司的擴張，所以網絡系統(tǒng)要有可擴展性。</p><p><b>　　1.2 設計目標</b></p><p>　　設計一個公司的網絡，首先要確定用戶對網絡的真正需求，并在結合未來可能的發(fā)展要求的基礎上選擇、設計合適的網絡結構和網絡技術，提供用戶滿意的高質服務。還要注意到由于邏輯上業(yè)務網和管理網必須分開，所以建成后企業(yè)

24、網應能提供多個網段的劃分和隔離，并能做到靈活改變配置，以適應企業(yè)辦公環(huán)境的調整和變化，即VLAN的整體劃分。</p><p>　　考慮到金融行業(yè)數(shù)據的重要性、保密性，為了保證多想金融業(yè)務的順利進行，保證網絡的不間斷運行，網絡平臺應具有以下一些特點：</p><p>　　（1）高可靠性——網絡系統(tǒng)的穩(wěn)定可靠是應用系統(tǒng)正常運行的關鍵保證，在 設計中選用高可靠性網絡產品，合理設計

25、網絡架構，制訂可靠的網絡備份策略，保證網絡具有故障自愈的能力，最大限度地支持各個系統(tǒng)的正常運行。</p><p>　?。?）高性能——承載網絡性能是網絡通訊系統(tǒng)良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，保證各種信息（數(shù)據、語音、圖象）的高質量傳輸，才能使網絡不成為金融公司各項業(yè)務開展的瓶頸。</p><p>　?。?）安全性——制訂統(tǒng)一的骨干網安全策略，整體考慮網絡平臺的安全性

26、。</p><p>　?。?）可管理性——對網絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。</p><p>　　（5）技術先進性和實用性——保證滿足金融交易系統(tǒng)業(yè)務的同時，又要體現(xiàn)網絡系統(tǒng)的先進性。在網絡設計中要把先進的技術與現(xiàn)有的成熟技術和標準結合起來，充分考慮到金融公司網絡應用的現(xiàn)狀和未來發(fā)展趨勢。

27、</p><p>　?。?）標準開放性——支持國際上通用標準的網絡協(xié)議、國際標準的大型的動態(tài)路由協(xié)議等開放協(xié)議，有利于保證與其它網絡（如公共數(shù)據網、金融網絡、行內其它網絡）之間的平滑連接互通，以及將來網絡的擴展。</p><p>　?。?）靈活性及可擴展性——根據未來業(yè)務的增長和變化，網絡可以平滑地擴充和升級，減少最大程度的減少對網絡架構和設備的調整。</p><p&g

28、t;　　1.3 用戶現(xiàn)實需求</p><p>　　（1）實現(xiàn)公司內部資源共享，即文件服務器，但是對不同的資源要有相應的權限。</p><p>　?。?）滿足公司日常金融交易，交易數(shù)據的傳輸和存儲。</p><p>　?。?）公司各部可以通過即時通信軟件聯(lián)系，建立公司郵件服務器。</p><p><b>　?。?）打印機共享。<

29、/b></p><p>　?。?）公司內部要網絡接入Internet。</p><p>　?。?）架設公司web服務器，發(fā)布公司網站。</p><p>　?。?）為保證安全，Internet與公司內部網絡間應采用防護措施，防止外界對內部網絡未經授權的訪問。</p><p>　?。?）網絡管理需求：網絡調試期間最消耗人力與物力的線纜故障定

30、位工作，網絡運行期間對不同用戶靈活的服務策略部署、訪問權限控制、以及網絡日志審計和病毒控制能力等方面的管理工作。</p><p>　?。?）網絡應具有更高的帶寬，更強大的性能，以滿足用戶日益增長的通信需求。要繼續(xù)承載企業(yè)的辦公自動化，Web瀏覽等簡單的數(shù)據業(yè)務，還要承載涉及企業(yè)生產運營的各種業(yè)務應用系統(tǒng)數(shù)據，以及帶寬和時延都要求很高的IP電話、視頻會議等多媒體業(yè)務，并實現(xiàn)千兆位到桌面。因此，數(shù)據流量將大大增加，尤

31、其是對核心網絡的數(shù)據交換能力提出了前所未有的要求。</p><p><b>　　2. 網絡整體設計</b></p><p><b>　　2.1 網絡拓撲</b></p><p><b>　　圖2-1 網絡拓撲</b></p><p>　　計算機網絡的組成元素可以分為兩大類，即網

32、絡節(jié)點（又可分為端節(jié)點和轉發(fā)節(jié)點）和通信鏈路，網絡中節(jié)點的互聯(lián)模式叫網絡的拓撲結構。網絡拓撲定義了網絡中資源的連接方式，局域網中常用的拓撲結構有：總線型結構、環(huán)形結構、星型結構、樹形結構。由于XX金融公司總部網絡站點特別的多，而且聯(lián)網的站點相對集中，因此采用樹形的網絡拓撲。樹形拓撲由總線拓撲演變而來。它有一個帶分支的根，還可再延伸出若干子分支。樹形拓撲通常采用同軸電纜作為傳輸介質，而且使用寬帶傳輸技術。樹形拓撲易于故障隔離，樹形拓撲的缺

33、點是對根的依賴太大，如果根發(fā)生故障，則整個網絡不能正常工作。但在本局域網中采用了雙核心，所以大大的避免了網絡故障的發(fā)生。</p><p>　　2.2 網路層次化設計</p><p>　　網絡的設計模型主要包括層次化設計模型和非層次化設計模型兩種。隨著網絡技術的迅速發(fā)展和網上應用量的增長，非層次化的網絡設計已經不適合當今企業(yè)的網絡應用，由于非層次化網絡沒有適當?shù)囊?guī)劃，網絡最終會發(fā)展成為非結構

34、的形式，這樣當網絡設備之間相互通信時，設備上的CPU必然會承受相當大的負載，不利于網絡的運行和發(fā)展，當大量的數(shù)據在網絡中傳輸時，容易引起線路擁堵甚至網絡的癱瘓。 所以選擇層次化的網絡設計。</p><p>　　多層設計師模塊化的，網絡容量可隨著日后網絡節(jié)點的增加而不斷增大。多層次網絡有很大的確定性，因此在運行和擴展過程中進行故障查找和排出非常簡單。多層模式使網絡的移植更為簡單易行，因為它保留看基于路由器和交換機的

35、網絡原有的尋址方案，對以往的網絡有很好的兼容性。另外分層結構也能夠對網絡的故障進行很好的隔離。</p><p>　　針對實際情況采用三層結構模型，即核心層、分布層、接入層。每個層次有不同的功能。核心層作為整個網絡系統(tǒng)的核心，起主要功能是高速、可靠的進行數(shù)據交換。分布層主要進行接入層的數(shù)據流量匯聚，并對數(shù)據流量進行訪問控制。接入層主要提供最終用戶接入網絡的途徑。主要進行VLAN的換分、與分布層的連接等。</p

36、><p>　　2.2.1 核心層設計</p><p>　　核心交換機通過配置高性能交換路由引擎、冗余電源，來實現(xiàn)整個網絡系統(tǒng)的高可用和高可靠性。此處使用Catalyst 3560G-48PS路由交換機作為內、外網的核心交換機，配置Salience VI-10GE交換路由引擎，分別配置24端口千兆以太網電接口模塊（LSQM1GT24SC0）和24端口千兆/百兆以太網光接口模塊（LSQM1GP24

37、SC0），對外提供千兆光口和千兆電口接入，光口用于連接各配線間的匯聚交換機，電口用于部分服務器的接入。</p><p>　　核心交換機需作如下設置：</p><p>　?。?）使用包安全過濾/ACL的機制，防止非法侵入和惡意報文攻擊；</p><p>　?。?）通過Vlan劃分實現(xiàn)不同部門內部訪問安全的需求； <

38、;/p><p>　?。?）基于策略的服務等級/服務質量（CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務數(shù)據流，實現(xiàn)網絡的優(yōu)化。</p><p>　　核心層多業(yè)務、高可靠、大容量設計，所有關鍵部件均采用冗余熱備份設計，采用分布式路由轉發(fā)處理引擎，支持真正熱插拔、熱備份。</p><p>　　2.2.2 匯聚層設計 </p><p>　　在6個弱

39、電間分別設置一臺Cisco WS-C3750G-12S-E以太網交換機作為匯聚層交換機，上聯(lián)核心層交換機，下聯(lián)接入層交換機，對下屬設備進行三層交換處理。匯聚層主要進行接入層的數(shù)據流量匯聚，并對數(shù)據流量進行訪問控制。包括訪問控制列表、VLAN 路由等等。</p><p>　　Cisco Catalyst 3750 系列交換機是一個創(chuàng)新的產品系列，它結合業(yè)界領先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機在局域

40、網中的工作效率。這個新的產品系列采用了最新的思StackWise 技術，不但實現(xiàn)高達32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于用戶建立一個統(tǒng)一、高度靈活的交換系統(tǒng)，就好像是一整臺交換機一樣。</p><p>　　對于中型企業(yè)網絡來說，Cisco Catalyst 3750 系列通過提供配置靈活性、支持融合網絡模式及自動進行智能網絡服務配置，簡化了融合應用的部署，并可針對不

41、斷變化的業(yè)務需求進行調整。此外，Cisco Catalyst 3750 系列針對高密度千兆位以太網部署進行了優(yōu)化，包括多種交換機，以滿足接入、匯聚或小型網絡骨干連接需求。Cisco Catalyst 3750G-12S 提供12個千兆位以太網SFP 端口用于連接數(shù)據中心和辦公樓的接入層交換機和中心核心機房的Catalyst 4506 交換機。</p><p>　　2.2.3 接入層設計 </p>&

42、lt;p>　　接入層主要提供最終用戶接入網絡的途徑。主要是進行VLAN的劃分、與分布層的連接等等。建議接入層交換機采用思科的2960 系列智能以太網交換機以千兆以太鏈路和匯聚交換機相連接，并為用戶終端提供10/100M 自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網三層結構。辦公系統(tǒng)所需的各種服務器如郵件服務器、DHCP 服務器等組成服務器群，連接到匯聚交換機的千兆模塊上面，因此，內部的局域網采用三層結構組建。</p&

43、gt;<p>　　Cisco Catalyst 2960 系列智能以太網交換機是一個全新的、固定配置的獨立設備系列，提供桌面快速以太網和千兆以太網連接，可為入門級企業(yè)、中型市場和分支機構網絡提供增強LAN 服務。Catalyst 2960 系列具有集成安全特性，包括網絡準入控制（NAC）、高級服務質量（QoS）和永續(xù)性，可為網絡邊緣提供智能服務。憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保

44、護重要信息，防止未授權人員接入網絡，確保私密性及維持不間斷運行。</p><p>　　2.2.4 路由協(xié)議選擇</p><p><b>　　圖2-2 路由協(xié)議</b></p><p>　　為達到路由快速收斂、尋址以及方便網絡管理員管理的目的，我們采用動態(tài)路由協(xié)議，目前較好的動態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議，OSPF 以協(xié)議標準化強

45、，支持廠家多，受到廣泛應用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，只有Cisco 公司自己的產品支持，屬于私有性質，其他廠商設備是不支持的。考慮網絡的擴展性、數(shù)據資源的保護等原因，我們選擇OSPF 路由協(xié)議。</p><p>　　OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據庫，保存整個AS 的拓撲結構（AS 不劃分情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據庫，該路由器就可以自己

46、為根，構造最短路徑樹，然后再根據最短路徑構造路由表。對于大型的網絡，為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF將整個AS 劃分為若干個區(qū)域，區(qū)域內的路由器維護一個相同的鏈路狀態(tài)數(shù)據庫，保存該區(qū)域的拓撲結構。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5 種分組：Hello分組用于建立和維護連接；數(shù)據庫描述分組初始化路由器的網絡拓撲數(shù)據庫；當發(fā)現(xiàn)數(shù)據庫中的某部分信息已經過時后，路由器發(fā)

47、送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴散自己的鏈路狀態(tài)數(shù)據庫或對鏈路狀態(tài)請求分組進行響應；由于OSPF 直接運行在IP 層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組是對鏈路狀態(tài)更新分組進行確認。</p><p>　　相對于其它協(xié)議，OSPF 有許多優(yōu)點。OSPF 支持各種不同鑒別機制（如簡單口令驗證，MD5 加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載

48、均衡功能，如果計算出到某個目的站有若干費用相同的路由，OSPF 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個自治系統(tǒng)內可劃分出若干個區(qū)域，每個區(qū)域根據自己的拓撲結構計算最短路徑，這減少了OSPF 路由實現(xiàn)的工作量；OSPF 屬動態(tài)的自適應協(xié)議，對于網絡的拓撲結構變化可以迅速地做出反應，進行相應調整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對網絡拓撲變化的處理過程中僅需要最少

49、的通信流量；OSPF 提供點到多點接口，支持CIDR（無類域間路由）地址。</p><p>　　公司現(xiàn)有網絡規(guī)劃為area0，內部網絡設備都規(guī)劃為area0。后期若有分支機構各區(qū)域接入路由器根據區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結合的方式。 </p><p>　　2.3 VLAN的劃分及IP地址規(guī)劃和設備命名規(guī)則</p><p>　　LAN的劃分一般有

50、三種方法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個或者多個交換機上的端口放到一個VLAN內，網絡管理人員只需要對網絡設備的交換端口進行分配即可，不用考慮端口所連接的設備。IP地址是TCP/IP協(xié)議族中的網絡層邏輯地址，它被用來唯一地標示網絡中的一個節(jié)點。IP地址空間的分配，要與網絡層次結構相適應，既要有效的利用地址空間，又要體現(xiàn)網絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由

51、算法的效率，加快路由變化的收斂速度。</p><p>　　根據公司情況，每個部門劃分為一個VLAN，各部門分別屬于不同的網段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據需要對匯聚層交換機進行配置來實現(xiàn)。</p><p>　　表2-1 IP地址分配表</p><p><b>　　IP地址配置命令：</b></p><

52、p>　　Switch(config)# [interface] </p><p>　　Switch (config-if)#no switchport </p><p>　　Switch (config-if)#ip address [ip-add] [subnet-mask] </p

53、><p>　　Switch (config-if)#no shutdown </p><p><b>　　設備名稱代碼表：</b></p><p>　　表2-2 設備廠商、設備型號對照表</p><p>　　表2-3 設備端口簡寫名稱對照表</p><p>　　設備

54、的命名規(guī)則按照設備的空間地理位置、設備在網絡中的邏輯位置、設備類型和設備編號的順序來命名。其中，空間地理位置嚴格遵守國際對省市的命名規(guī)范。</p><p>　　其格式為：空間地理位置-設備類型-設備編號-樓層號。</p><p>　　舉例說明：XSXRMYY-BY-XZY-CISCO-6506-1 表示：XXXXX樓一樓的思科 CISCO 6506。</p><p>

55、;　　設備端口的命名規(guī)則和編碼設計按照端口類型、端口在本端設備中的位置、接口速率、本端設備的空間地理位置、在網絡中的邏輯位置、本端設備編號、電路傳輸方向、對端設備的空間地理位置、在網絡中的邏輯位置和對端設備編號的順序命名。端口類型-端口在本端設備中的位置-帶寬-TO-對端設備的空間地理位置-網絡的邏輯位置-對端設備類型-對端設備編號。</p><p>　　端口類型：用使用物理端口的縮寫來命名。</p>

56、<p>　　端口在設備中的位置：槽位號-適配號-端口號。</p><p>　　空間地理位置：即設備放置的地理位置。</p><p>　　網絡的邏輯位置：即設備在網絡中放置的邏輯位置。</p><p>　　設備類型：以設備廠家和設備的型號來命名。</p><p>　　設備編號：處于同一位置，同類設備的編碼順序，為一位阿拉拍數(shù)字，按

57、1-9的順序編號。</p><p>　　注意：若一個槽位，只能安裝一塊適配器板卡標示時，請忽略板卡位置號。</p><p><b>　　2.4 服務器群組</b></p><p>　　2.4.1 DHCP服務器</p><p>　　由于公司整個網絡節(jié)點較多，若是由網管人員分別為每臺PC機配置IP地址那將是一件非常麻煩的事

58、，而且也不利于網絡IP地址的管理，所以我們采用DHCP服務器，為接入公司網絡的PC機自動分配IP地址。</p><p>　　DHCP（Dynamic Host Configuration Protocol），即動態(tài)主機設置協(xié)議，是一個局域網的網絡協(xié)議，使用UDP協(xié)議工作。DHCP服務器的操作系統(tǒng)選擇Windows Server 2003。</p><p>　　由于DHCP服務器與公司其他P

59、C機在不同的VLAN中，所以還需要在匯聚層交換機上配置DHCP中繼服務功能才能成功運行DHCP服務。</p><p>　　2.4.2 郵件服務器</p><p>　　電子郵件是互聯(lián)網最基本、但卻是最重要的組成部分，通過電子郵件進行方便快捷的信息交流已經成為企業(yè)工作中不可或缺的工作習慣。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來往得到更好更安全的管理

60、。常見的郵件服務器軟件有很多，例如：微軟 Exchange Server 、MDaemon Server、WinWebMail 、IMail Server等等。在這里我們選用微軟exchange server 2003作為服務器端軟件，該版本也是Microsoft exchange server中應用最廣泛，功能最穩(wěn)定的一個版本。</p><p>　　exchange server 2003常見的任務包括：備份與

61、還原、建立新郵箱、恢復、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應用更新和修補程序等。新工具和改進的工具可幫助 網絡管理員更有效地完成工作。例如，一位管理人員可能需要恢復幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復存儲組”功能，管理員可以恢復個人用戶的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括： 并行移動多個郵箱。 改進的消息跟蹤和 Outlook 客戶端性能記錄功能。 增強的隊列查看器，它使用戶能夠從同

62、一控制臺同時查看 SMTP 和 X.400 隊列。 新的基于查詢的通訊組列表，它現(xiàn)在支持動態(tài)地實時查找成員。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動監(jiān)視整個 Exchange 環(huán)境，從而使用戶能夠對 Exchange 問題預先采取管理措施并快速予以解決。</p><p>　　在部署exchange 2003郵件服務器之前，首先為公司申請合法的域名，

63、建立域控服務器，打開“運行”對話框，輸入dcpromo命令，然后根據向導創(chuàng)建域控服務器。</p><p>　　圖2-3 建立域控服務器</p><p>　　將公司內的所有PC機加入該域。為了防止主域控服務器出現(xiàn)故障而導致通信故障和信息丟失，所以我們還需要一臺輔助域控。當然，還需要在DNS服務器中寫入記錄，這樣發(fā)出的郵件才知道去處。</p><p>　　郵件服務器硬件

64、的選擇根據企業(yè)本身業(yè)務的應用情況和資金投入來決定。從該公司來看，公司用戶在幾百個以下，但是郵件來往比較多，所以要選擇專業(yè)的PC服務器才能滿足基本的性能要求。</p><p>　　2.4.3 WEB服務器</p><p>　　WEB服務器也稱為WWW（WORLD WIDE WEB）服務器，主要功能是提供網上信息瀏覽服務。本方案中web服務器主要是向外發(fā)布公司網站，時時更新公司以及金融市場信息

65、以供用戶網上參考。</p><p>　　本方案中，我們選擇Linux作為web服務器的操作系統(tǒng)，所以服務器端軟件則用Apache。Apache是世界上用的最多的Web服務器，市場占有率達60%左右，它源于NCSAhttpd服務器。Apache有多種產品，可以支持SSL技術，支持多個虛擬主機。它是以進程為基礎的結構，進程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它開發(fā)新的功能、新的特性、修改原來

66、的缺陷。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應用（可以運行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺上）以及它的可移植性等方面。</p><p><b>　　3. 安全策略</b></p><p>　　3.1 網絡威脅因素分析</p>&l

67、t;p>　　對于金融業(yè)來說，網絡的安全性是相當重要的。而金融網上交易，信息發(fā)布等業(yè)務使得公司網絡必須與公網相連，這樣必然存在著安全風險。并且公司內部網絡，由于各部門職能不同，某些部門網絡可能也要求很高的安全性。公司網絡的安全風險可能包括以下幾個：</p><p>　?。?） 公司網絡與公網連接，可能遭到來自各地的越權訪問，還可能遭到網絡黑客的惡意攻擊和計算機病毒的入侵；</p><p&g

68、t;　?。?） 內部的各個子網通過骨干交換相互連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權訪問。這些越權訪問可能包括惡意攻擊、誤操作 等，據統(tǒng)計約有70％左右的攻擊來自內部用戶，相比外部攻擊來說，內部用戶具有更得天獨厚的優(yōu)勢，但是無論怎樣，結果都將導致重要信息的泄露或者網絡的癱瘓；</p><p>　　（3） 設備的自身安全性也會直接關系到網絡系統(tǒng)和各種網絡應用的正常運轉。例如，路由設備存在路由信息

69、泄漏、交換機和路由器設備配置風險等。重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會為網絡的安全帶來很多不安定的因素。重要服務器的當機或者重要數(shù)據的意外丟失，都將會造成公司日常辦公無法進行。</p><p><b>　　3.2 安全要求</b></p><p>　?。?） 物理安全：包括保護計算機網絡設備設施以及數(shù)據庫資料免遭地震、水

70、災、火災等環(huán)境事故以及人為操作失誤導致系統(tǒng)損壞，同時要避免由于電磁泄漏引起的信息失密。</p><p>　?。?） 網絡安全：主要包括系統(tǒng)安全和網絡運行安全，檢測到系統(tǒng)安全漏洞和對于網絡訪問的控制。</p><p>　?。?） 信息安全：包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授權和鑒別。</p><p><b>　　3.3 安全規(guī)劃</b&g

71、t;</p><p>　　安全方面分為內網和外網兩部分。</p><p>　　內網方面安全區(qū)域劃分五個區(qū)域：外網（黨政信息內網）、DMZ區(qū)域（服務器區(qū)域）、內部用戶區(qū)域、行業(yè)其他單位連接、公網區(qū)域。</p><p><b>　　安全定義：</b></p><p>　?。?） 外網區(qū)域為不可信任區(qū)；</p>

72、<p>　　（2） DMZ區(qū)域為中立區(qū)域，允許部分外網用戶連接（比如：網站對外服務等）但受到防火墻嚴格控制；</p><p>　?。?） 內部用戶區(qū)域為信任區(qū)域；</p><p>　　（4） 行業(yè)其他單位連接區(qū)域，由于無法管理，使用網閘物理隔離；</p><p>　　（5） 公網區(qū)域，威脅最大區(qū)域，使用網閘物理隔離。</p><p>

73、;　　在防火墻上進行設置，包括用ACL進行流量控制、關閉病毒端口、NAT的轉換等。</p><p>　　外網安全方面主體是在防火墻上進行設置，外網安全劃分為三個區(qū)域，公網區(qū)域（Internet、黨政外網）、DMZ區(qū)域（服務器區(qū)域）、內部用戶區(qū)域。</p><p><b>　　安全級別定義：</b></p><p>　?。?） 公網區(qū)域為不可信任

74、區(qū)；</p><p>　?。?） DMZ區(qū)域為中立區(qū)域，允許部分外網用戶連接（比如：網站對外服務等）但受到防火墻嚴格控制；</p><p>　　（3） 內部用戶區(qū)域為信任區(qū)域。</p><p>　　IPS對進出數(shù)據進行訪問檢測，本項目中外網中IPS劃分兩條物理隔離的鏈路分別檢測內部用戶數(shù)據流量和DMZ區(qū)域數(shù)據流量。上網行為管理只對用戶區(qū)域的數(shù)據進行監(jiān)控和管理。<

75、;/p><p><b>　　內網安全策略：</b></p><p>　?。?） 報文阻斷策略，通過設置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；</p><p>　?。?） 訪問控制規(guī)則，通過設置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；</p><p>　?。?） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止

76、非法用戶冒充IP 地址進行非法訪問；</p><p>　　（4） 病毒防御。能夠對使用HTTP、FTP 傳輸?shù)奈募约皩κ褂肧MTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據文件擴展名選擇過濾或者不過濾的附件類型等。</p><p><b>　　外網安全策略：</b></p><p>　?。?） 地址轉換，進行源

77、、目的地址轉換以及雙向地址轉換；</p><p>　　（2） 報文阻斷策略，通過設置報文阻斷策略，實現(xiàn)對二、三層的訪問控制；</p><p>　?。?） 訪問控制規(guī)則，通過設置訪問控制規(guī)則，實現(xiàn)對三到七層的訪問控制；</p><p>　?。?） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶冒充IP 地址進行非法訪問，</p>

78、<p>　　（5） 病毒防御，能夠對使用HTTP、FTP 傳輸?shù)奈募约皩κ褂肧MTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進行病毒檢查過濾，并可根據文件擴展名選擇過濾或者不過濾的附件類型等。</p><p>　　3.4 安全產品選型原則</p><p>　　XX金融公司網絡屬于一個行業(yè)的專用網絡，因此在安全產品的選型上，必須慎重。選型的原則包括：</p>

79、<p>　?。?） 安全保密產品的接入應不明顯影響網絡系統(tǒng)運行效率，并且滿足工作的要求，不影響正常的網上金融交易和辦公；</p><p>　?。?） 安全保密產品必須通過國家主管部門指定的測評機構的檢測； </p><p>　?。?） 產品必須具備自我保護能力；</p><p>　?。?） 安全保密產品必須符合國家和國際上的相關標準；</p>

80、<p>　?。?） 安全產品必須操作簡單易用，便于簡單部署和集中管理。</p><p>　　3.5 安全策略部署</p><p>　　3.5.1 VLAN技術</p><p>　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現(xiàn)虛擬工作組的新興數(shù)據交換

81、技術。VLAN要為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內，這樣就大大的增加了局域網內部的此信息安全性。</p><p>　　將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權訪問，特別是資產管

82、理部這樣的數(shù)據比較敏感的部門，對于那些與他不屬于一個VLAN的電腦是無法訪問它的。同時，這樣還防止廣播風暴的發(fā)生，避免過多廣播包占據帶寬造成網絡擁塞。另外，VLAN為網絡管理帶來了很大的方便，將每個部門劃分為一個VLAN，每個VLAN內的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網絡管理人員的工作效率。</p><p>　　各個VLAN之間數(shù)據的傳輸，必須經過Trunk鏈路。Tru

83、nk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器。基于端口匯聚的功能，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網絡的能力。Trunk端口一般為交換機和交換機之間的級聯(lián)端口，用于傳遞所有vlan信息。</p><p>　　Trunk鏈路配置命令：</p><p&

84、gt;　　Switch(config)#interface range [interface-number] </p><p>　　Switch (config-if-range)#switchport trunk encapsulation dot1q </p><p>　　Switch (config-if-range)#switchport mod

85、e trunk</p><p>　　Switch (config-if-range)#switchport allow trunk all</p><p>　　3.5.2 訪問控制列表</p><p>　　訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪

86、問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。訪問控制列表（ACL）是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據包可以收、哪些數(shù)據包需要拒絕。使用訪問控制列表不但能過濾通過路由器的數(shù)據包，而且也是控制網絡中數(shù)據流量的一個重要方法。</p><p>　　圖3-1 ACL示意圖</p><p>　　訪問控制列表分為兩類，一個是標準訪問列表，一個是擴展訪問列表。標

87、準訪問列表的編號是從1—99，它只使用數(shù)據包的源IP地址作為條件測試，只有允許或拒絕兩個操作，通常是對一個協(xié)議產生作用，不區(qū)分IP流量類型。而編號100以上的稱作擴展訪問列表，它可測試IP包的第3層和第4層報頭中的其他字段，比標準訪問列表具有更多的匹配項，例如協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。 </p><p>　　標準訪問列表配置命令：</p><p&g

88、t;　　Router(config)#access-list [access-list-number] {permit|deny} source [mask]</p><p>　　/*為訪問列表設置參數(shù)，IP 標準訪問列表編號 1 到 99，缺省的通配符掩碼 = 0.0.0.0*/</p><p>　　Router(config-if)#ip access-group [access-li

89、st-number] { in | out }</p><p>　　/*在端口上應用訪問列表，指明是進方向還是出方向*/</p><p>　　擴展訪問列表配置命令：</p><p>　　Router(config)# access-list [access-list-number] { permit | deny } protocol source source-

90、wildcard [operator port] destination destination-wildcard [ operator- port ] [ established ] [log] </p><p>　　/*為標準訪問列表設置參數(shù)，可具體到某個端口，某種協(xié)議*/</p><p>　　根據公司各部門的性質，我們可根據需

91、要在匯聚層的設備上配置訪問控制。如財務部、資產管理部信息數(shù)據機密度較高，我們就可以編寫訪問控制列表，禁止其它網段也就是其它VLAN的用戶訪問這些部門的電腦，無論是以什么樣的形式，即使用標準訪問控制列表。當然，寫完訪問列表后，要將其應用在相應的端口上。有的部門可能對信息的保密要求沒有那么高，那么就可以使用擴展訪問列表，只對某一端口的數(shù)據進行控制，如 telnet等。</p><p><b>　　4. 防火

92、墻配置</b></p><p>　　飛速發(fā)展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Internet的迅猛發(fā)展?jié)M足了人們對信息的渴求，同時Internet里也存在著許多不安全的因素，網絡信息的非法獲取、網絡體系的不期破壞等等，都將為企業(yè)帶來難以估計的損失，這時，防火墻以一個安全衛(wèi)士的身份應運而生，實現(xiàn)著管理者的安全策略，有效地維護這企業(yè)保護網絡的安全。</p>&l

93、t;p>　　防火墻是目前應用最廣、最具代表性的網絡安全技術，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了CPU的負擔，使路由更穩(wěn)定。軟件防火墻一般只據有過濾包的作用，而硬件防火墻的功能則要強大的多，它還包括CF（內容過濾）、IDS（入侵偵測）、IPS（入侵防護）以及VPN等功能。硬件防火墻一般使用經過內核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定

94、性。防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關四部分組成。</p><p>　　4.1 防火墻網絡安全策略</p><p>　　討論防火墻安全策略一般實施兩個基本設計方針之一：</p><p>　　（1） 拒絕訪問除明確許可以外的任何一種服務，即拒絕一切未予特許的東西；</p><p>　?。?） 允許訪問除明確拒絕以外的任何一種服

95、務，即允許一切未被特別拒絕的東西。</p><p>　　企業(yè)網防火墻的網絡安全策略采取第一種安全控制的方針，確定所有可以被提供的服務以及它們的安全特性，然后開放這些服務，并將所有其它未被列入的服務排斥在外，禁止訪問。</p><p>　　在實際應用環(huán)境中，一般情況下防火墻網絡可劃分為三個不同級別的安全區(qū)域：</p><p>　　內部網絡：這是防火墻要保護的對象，包括

96、全部的內部網絡設備及用戶主機。這個區(qū)域是防火墻的可信區(qū)域（這是由傳統(tǒng)邊界防火墻的設計理念決定的）。</p><p>　　外部網絡：這是防火墻要防護的對象，包括外部網主機和設備。這個區(qū)域為防火墻的非可信網絡區(qū)域（也是由傳統(tǒng)邊界防火墻的設計理念決定的）。</p><p>　　DMZ（非軍事區(qū)）：它是從內部網絡中劃分的一個小區(qū)域，在其中就包括內部網絡中用于公眾服務的外部服務器，如Web服務器、郵

97、件服務器、DNS服務器等，它們都是為互聯(lián)網提供某種信息服務。</p><p>　　在以上三個區(qū)域中，用戶需要對不同的安全區(qū)域制訂不同的安全策略。雖然內部網絡和DMZ區(qū)都屬于內部網絡的一部分，但它們的安全級別（策略）是不同的。對于要保護的大部分內部網絡，一般情況下禁止所有來自互聯(lián)網用戶的訪問；而由內部網絡劃分出去的DMZ區(qū)，因需為互聯(lián)網應用提供相關的服務，這些服務器上所安裝的服務非常少，所允許的權限非常低，真正有服

98、務器數(shù)據是在受保護的內部網絡主機上，所以黑客攻擊這些服務器沒有任何意義，既不能獲取什么有用的信息，也不能通過攻擊它而獲得過高的網絡訪問權限。</p><p>　　通過NAT（網絡地址轉換）技術將受保護的內部網絡的全部主機地址映射成防火墻上設置的少數(shù)幾個有效公網IP地址。這樣可以對外屏蔽內部網絡構和IP地址，保護內部網絡的安全，同時因為是公網IP地址共享，所以可以大大節(jié)省公網IP地址的使用。</p>

99、<p>　　在這種應用環(huán)境中，在網絡拓撲結構上可以有兩種選擇，這主要是根據擁有網絡設備情況而定。如果原來已有邊界路由器，則此可充分利用原有設備，利用邊界路由器的包過濾功能，添加相應的防火墻配置，這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護的內部網絡連接。對于DMZ區(qū)中的公用服務器，則可直接與邊界路由器相連，不用經過防火墻。它可只經過路由器的簡單防護。在此拓撲結構中，邊界路由器與防火墻就一起組成了兩道安全防線

100、，并且在這兩者之間可以設置一個DMZ區(qū)，用來放置那些允許外部用戶訪問的公用服務器設施。應用服務當中EMAIL、DNS和WWW服務需要外網能夠訪問，因此將這些服務規(guī)劃到DMZ區(qū)。</p><p>　　我們在核心層路由器與Internet之間配置一臺硬件防火墻，這樣，所有進出網絡的數(shù)據都要通過防火墻，而該防火墻應具有以下的功能：</p><p>　　（1） 包過濾：控制流出和流入的網絡數(shù)據，可

101、基于源地址、源端口、目的地址、目的端口、協(xié)議和時間，根據地址簿進行設置規(guī)則；</p><p>　?。?） 地址轉換：將內部網絡或外部網絡的IP地址轉換，可分為源地址轉換Source NAT（SNAT）和目的地址轉換Destination NAT（DNAT）。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏起內部網絡的結構，避免受到來自外部其他網絡的非授權訪問或惡意攻擊。并將有限的IP地址動態(tài)或靜態(tài)的與內部IP地

102、址對應起來，用來緩解地址空間的短缺問題，節(jié)省資源，降低成本。DNAT主要用于外網主機訪問內網主機；</p><p>　?。?） 認證和應用代理：認證指防火墻對訪問網絡者合法身分的確定。代理指防火墻內置用戶認證數(shù)據庫；提供HTTP、FTP和SMTP代理功能，并可對這三種協(xié)議進行訪問控制。同時支持URL過濾功能，防止員工在上班時間訪問某些網站，影響工作效率；</p><p>　?。?） 透明和

103、路由：將網關隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯(lián)網服務進行幾乎透明的訪問，同時阻止了外部未授權訪問者對專用網絡的非法訪問；防火墻還支持路由方式，提供靜態(tài)路由功能，支持內部多個子網之間的安全訪問；</p><p>　?。?） 入侵檢測：通過收集和分析網絡行為、安全日志、審計數(shù)據、其它網絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象

104、。</p><p>　　NETSCREEN防火墻是為中小型企業(yè)設計的一款產品，它集高安全性和高可擴展性于一身，能夠對病毒、垃圾郵件、非授權訪問等進行實時監(jiān)控，并提供VPN服務，為用戶提供全面的保護。它構建于Cisco PIX 安全設備系列的基礎之上，能夠提供內部網到內部網和遠程接入到內部兩種安全保護，可以防御互聯(lián)網中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網絡環(huán)境的同時，

105、也提高了員工的工作效率，為公司創(chuàng)造更高的經濟效益。</p><p>　　4.2 防火墻的基本配置</p><p>　　公司采用的是防火墻，它的初始配置也是通過控制端口（Console）與PC機的串口連接，再通過超級終端（HyperTerminal）程序進行選項配置。也可以通過telnet和Tftp配置方式進行高級配置，但必需先由Console將防火墻的這些功能打開。</p>

106、<p>　　NETSCREEN防火墻有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode）。</p><p>　　命令行基本信息收集：</p><p>　　netscreen>get syst（得到系統(tǒng)信息）</p&g

107、t;<p>　　netscreen>get config（得到config信息）</p><p>　　netscreen>get log event（得到日志）</p><p>　　功能問題需收集下列信息：</p><p>　　netscreen>set ffiliter（設置過濾器）</p><p>　　ne

108、tscreen>debug flow basic（是開啟基本的debug功能）</p><p>　　netscreen>clear db（是清除debug的緩沖區(qū)）</p><p>　　netscreen>get dbuf stream（就可以看到debug的信息了）</p><p>　　性能問題需收集下列信息：</p><p&

109、gt;　　netscreen>Get per cpu detail（得到CPU使用率）</p><p>　　netscreen>Get session info（得到會話信息）</p><p>　　netscreen>Get per session detail（得到會話詳細信息）</p><p>　　netscreen>Get mac-le