企業(yè)局域網(wǎng)規(guī)劃和設(shè)計(jì)畢業(yè)論文

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　題 目：企業(yè)局域網(wǎng)規(guī)劃和設(shè)計(jì)</p><p>　　Title：Enterprise LAN planning and design</p><p>　　系 別： 軟件學(xué)院</p><p>　　專(zhuān) 業(yè)： 網(wǎng)絡(luò)工程</p>

2、<p>　　二零一二 年 三 月</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，企業(yè)網(wǎng)絡(luò)的優(yōu)劣已經(jīng)成為衡量企業(yè)競(jìng)爭(zhēng)力的標(biāo)準(zhǔn)之一。針對(duì)金融行業(yè)的特點(diǎn)，本文介紹了一個(gè)行業(yè)專(zhuān)用網(wǎng)絡(luò)的整體設(shè)計(jì)方案。</p><p>　　本方案充分考慮到網(wǎng)絡(luò)的負(fù)載均衡和穩(wěn)定性能，所以采用三層網(wǎng)絡(luò)結(jié)構(gòu)。其中，核心層采

3、用兩臺(tái)設(shè)備，配置Cisco HSRP協(xié)議進(jìn)行雙機(jī)熱備份。匯聚層采用雙鏈路與核心相連，提高鏈路的穩(wěn)定性同時(shí)采用雙鏈路捆綁提高網(wǎng)絡(luò)鏈路帶寬利用率，所有網(wǎng)關(guān)設(shè)在匯聚層避免廣播到達(dá)核心，提高核心路由的利用率以達(dá)到數(shù)據(jù)高速轉(zhuǎn)發(fā)的要求。路由協(xié)議則選擇安全性高、收斂速度快的OSPF協(xié)議。服務(wù)器群組則重點(diǎn)介紹了DHCP、郵件服務(wù)器及FTP服務(wù)器等企業(yè)中較常用到的服務(wù)器的軟件選擇及搭建方法。對(duì)于網(wǎng)絡(luò)中可能存在的安全威脅，針對(duì)不同的需求，方案中提出了VLA

4、N技術(shù)、訪問(wèn)控制列表、防火墻技術(shù)等安全解決方案，以求構(gòu)建一個(gè)安全、高效、可考性業(yè)務(wù)網(wǎng)絡(luò)。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)層次化； 熱備份； 虛擬局域網(wǎng)； 控制列表； 防火墻</p><p><b>　　ABSTRACT</b></p><p>　　As the high-speed development of the network tec

5、hnique, the quality of enterprise network has already become one of the standards that measure the competition ability of the enterprise.</p><p>　　Aiming at the characteristics of the certificate profession,

6、 this paper will introduce an overall design of professional network applying for enterprise. Seriously Considering the load balance and stability of the network, we adopt three layers structure in the design. Core Layer

7、 adopts two equipments to master slave scratching and duplicate copy with the protocol of Cisco HSRP. Convergence layer adopts double link and the core is connected, to improve link stability and dual link bundling impro

8、</p><p>　　Keywords: Hierarchical Network; Hsrp; Vlan; Acl; Firewall</p><p><b>　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　ABSTRACTII</p>

9、<p>　　目 錄III</p><p><b>　　緒 論1</b></p><p><b>　　1. 需求分析2</b></p><p>　　1.1 項(xiàng)目背景2</p><p>　　1.2 設(shè)計(jì)目標(biāo)2</p><p>　　1.3 用戶(hù)現(xiàn)實(shí)需

10、求3</p><p>　　2. 網(wǎng)絡(luò)整體設(shè)計(jì)4</p><p>　　2.1 網(wǎng)絡(luò)拓?fù)?</p><p>　　2.2 網(wǎng)路層次化設(shè)計(jì)4</p><p>　　2.2.1 核心層設(shè)計(jì)5</p><p>　　2.2.2 匯聚層設(shè)計(jì)5</p><p>　　2.2.3 接入層設(shè)計(jì)6</p

11、><p>　　2.2.4 路由協(xié)議選擇6</p><p>　　2.3 VLAN的劃分及IP地址規(guī)劃和設(shè)備命名規(guī)則7</p><p>　　2.4 服務(wù)器群組9</p><p>　　2.4.1 DHCP服務(wù)器9</p><p>　　2.4.2 郵件服務(wù)器10</p><p>　　2.4.3 W

12、EB服務(wù)器11</p><p>　　3. 安全策略12</p><p>　　3.1 網(wǎng)絡(luò)威脅因素分析12</p><p>　　3.2 安全要求12</p><p>　　3.3 安全規(guī)劃12</p><p>　　3.4 安全產(chǎn)品選型原則13</p><p>　　3.5 安全策略部署1

13、4</p><p>　　3.5.1 VLAN技術(shù)14</p><p>　　3.5.2 訪問(wèn)控制列表14</p><p>　　4. 防火墻配置17</p><p>　　4.1 防火墻網(wǎng)絡(luò)安全策略17</p><p>　　4.2 防火墻的基本配置19</p><p>　　4.3 基于內(nèi)網(wǎng)的

14、防火墻功能及配置21</p><p>　　4.3.1 IP與MAC（用戶(hù)）綁定功能21</p><p>　　4.3.2 MAP（端口映射）功能22</p><p>　　4.3.3 NAT（地址轉(zhuǎn)換）功能22</p><p>　　4.4 基于外網(wǎng)的防火墻功能及配置23</p><p>　　4.4.1 DOS攻擊

15、防范23</p><p>　　4.4.2 訪問(wèn)控制功能24</p><p><b>　　結(jié) 論25</b></p><p><b>　　致 謝27</b></p><p><b>　　參考文獻(xiàn)28</b></p><p><b>

16、　　緒 論</b></p><p>　　信息化浪潮風(fēng)起云涌的今天，企業(yè)的業(yè)務(wù)已經(jīng)全面電子化，與Internet的聯(lián)系相當(dāng)緊密，所以他們需要良好的信息平臺(tái)去支撐業(yè)務(wù)的高速發(fā)展。沒(méi)有信息技術(shù)背景的企業(yè)也將會(huì)對(duì)網(wǎng)絡(luò)建設(shè)有主動(dòng)訴求。任何決策的科學(xué)性和可靠性都是以信息為基礎(chǔ)的，信息和決策是同一管理過(guò)程中的兩個(gè)方面，因此行業(yè)信息化也就成了人們所討論并實(shí)踐著的重要課題。公司內(nèi)部網(wǎng)絡(luò)的建設(shè)已經(jīng)成為提升企業(yè)核心競(jìng)爭(zhēng)力

17、的關(guān)鍵因素。公司網(wǎng)已經(jīng)越來(lái)越多地被人們提到，利用網(wǎng)絡(luò)技術(shù)，現(xiàn)代企業(yè)可以在客戶(hù)、合作伙伴、員工之間實(shí)現(xiàn)優(yōu)化的信息溝通，公司網(wǎng)絡(luò)的優(yōu)劣直接關(guān)系到公司能否獲得關(guān)鍵的競(jìng)爭(zhēng)優(yōu)勢(shì)。眾多行業(yè)巨擘紛紛上馬各種應(yīng)用方案且取得了巨大的成功，這使信息化建設(shè)更具吸引力。</p><p>　　企業(yè)局域網(wǎng)是指在企業(yè)的某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。一般是方圓幾千米以?xún)?nèi)。企業(yè)局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的

18、日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的，可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成，也可以由一個(gè)公司內(nèi)的上千計(jì)算機(jī)組成。企業(yè)局域網(wǎng)建設(shè)是信息時(shí)代的必然產(chǎn)物，企業(yè)局域網(wǎng)的構(gòu)建是社會(huì)發(fā)展的趨勢(shì)，網(wǎng)絡(luò)給企業(yè)帶來(lái)財(cái)富的同時(shí)也給企業(yè)帶來(lái)了挑戰(zhàn)。只有充分利用現(xiàn)代網(wǎng)絡(luò)技術(shù)，組建好企業(yè)的局域網(wǎng)，才能為企業(yè)插上騰飛的翅膀，帶來(lái)企業(yè)的蓬勃發(fā)展。</p><p>　　信息技術(shù)自誕生之日起，就對(duì)金融行業(yè)產(chǎn)生了深遠(yuǎn)的影響，尤其是上世

19、紀(jì)90年代以來(lái)，隨著金融服務(wù)業(yè)全球化和競(jìng)爭(zhēng)日益劇烈，促使金融公司加快運(yùn)用各種新的信息技術(shù)手段來(lái)提高公司管理水平，可以說(shuō)金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡(luò)技術(shù)的發(fā)展，讓網(wǎng)上交易迅速普及，網(wǎng)上交易有助于金融公司提高工作效率，降低出錯(cuò)率，也方便金融公司對(duì)客戶(hù)的管理。雖然大多數(shù)企業(yè)已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營(yíng)發(fā)展戰(zhàn)略中，但是網(wǎng)絡(luò)黑客攻擊、計(jì)算機(jī)病毒干擾、數(shù)據(jù)傳輸過(guò)程中的泄露等不安全因素，仍然讓很多企業(yè)對(duì)企業(yè)網(wǎng)絡(luò)化猶豫不定

20、。</p><p>　　金融企業(yè)的特點(diǎn)是數(shù)據(jù)傳輸量大，數(shù)據(jù)機(jī)密度高，所以金融業(yè)網(wǎng)絡(luò)就要求高效、穩(wěn)定和安全，合理的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)能至關(guān)重要。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，分布式的網(wǎng)絡(luò)服務(wù)和交換已經(jīng)移至用戶(hù)級(jí)，由此形成了一個(gè)新的，更適應(yīng)現(xiàn)代的高速大型網(wǎng)絡(luò)分層設(shè)計(jì)模型“多層次設(shè)計(jì)”。多層次設(shè)計(jì)師模塊化的，它在日后網(wǎng)絡(luò)擴(kuò)展、負(fù)載均衡、故障排除方面很有效。而現(xiàn)在強(qiáng)大的防火墻技術(shù)和各種各樣的安全策略被應(yīng)用到企業(yè)網(wǎng)絡(luò)

21、中，安全得到了保障，那么網(wǎng)路對(duì)于企業(yè)的發(fā)展就真正起到了推進(jìn)的作用。</p><p>　　公司要在激烈的市場(chǎng)競(jìng)爭(zhēng)中處于有利的位置，就要保持高水平的服務(wù)質(zhì)量和良好的運(yùn)營(yíng)成本控制。將傳統(tǒng)的管理模式轉(zhuǎn)變到數(shù)字化的現(xiàn)代管理模式，有助于各類(lèi)資源的系統(tǒng)整合，長(zhǎng)遠(yuǎn)來(lái)看將提高公司在未來(lái)市場(chǎng)經(jīng)濟(jì)中的競(jìng)爭(zhēng)力。</p><p><b>　　1. 需求分析</b></p><

22、;p><b>　　1.1 項(xiàng)目背景</b></p><p>　　XX金融是一家剛剛成立的金融公司，公司有資產(chǎn)管理部、財(cái)務(wù)部、人力資源部、后勤部、經(jīng)理室（管理部門(mén)）和營(yíng)業(yè)部6個(gè)部門(mén)，6個(gè)部門(mén)分布在兩個(gè)樓層。日后公司在外地還要開(kāi)設(shè)分支機(jī)構(gòu)，而這里作為公司總部，中心機(jī)房也設(shè)在此處。公司的網(wǎng)絡(luò)系統(tǒng)要滿(mǎn)足公司日常辦公電子化，各部門(mén)信息共享，日常金融交易，且作為金融公司，某些投資機(jī)密需要很高的保密

23、度，所以公司網(wǎng)絡(luò)要有很高的可靠性和安全性?？紤]的日后公司的擴(kuò)張，所以網(wǎng)絡(luò)系統(tǒng)要有可擴(kuò)展性。</p><p><b>　　1.2 設(shè)計(jì)目標(biāo)</b></p><p>　　設(shè)計(jì)一個(gè)公司的網(wǎng)絡(luò)，首先要確定用戶(hù)對(duì)網(wǎng)絡(luò)的真正需求，并在結(jié)合未來(lái)可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶(hù)滿(mǎn)意的高質(zhì)服務(wù)。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開(kāi)，所以建成后企業(yè)

24、網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和變化，即VLAN的整體劃分。</p><p>　　考慮到金融行業(yè)數(shù)據(jù)的重要性、保密性，為了保證多想金融業(yè)務(wù)的順利進(jìn)行，保證網(wǎng)絡(luò)的不間斷運(yùn)行，網(wǎng)絡(luò)平臺(tái)應(yīng)具有以下一些特點(diǎn)：</p><p>　?。?）高可靠性——網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在 設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，合理設(shè)計(jì)

25、網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持各個(gè)系統(tǒng)的正常運(yùn)行。</p><p>　?。?）高性能——承載網(wǎng)絡(luò)性能是網(wǎng)絡(luò)通訊系統(tǒng)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語(yǔ)音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為金融公司各項(xiàng)業(yè)務(wù)開(kāi)展的瓶頸。</p><p>　?。?）安全性——制訂統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性

26、。</p><p>　　（4）可管理性——對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。</p><p>　?。?）技術(shù)先進(jìn)性和實(shí)用性——保證滿(mǎn)足金融交易系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到金融公司網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。

27、</p><p>　　（6）標(biāo)準(zhǔn)開(kāi)放性——支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于保證與其它網(wǎng)絡(luò)（如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò)）之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。</p><p>　　（7）靈活性及可擴(kuò)展性——根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。</p><p&g

28、t;　　1.3 用戶(hù)現(xiàn)實(shí)需求</p><p>　?。?）實(shí)現(xiàn)公司內(nèi)部資源共享，即文件服務(wù)器，但是對(duì)不同的資源要有相應(yīng)的權(quán)限。</p><p>　?。?）滿(mǎn)足公司日常金融交易，交易數(shù)據(jù)的傳輸和存儲(chǔ)。</p><p>　?。?）公司各部可以通過(guò)即時(shí)通信軟件聯(lián)系，建立公司郵件服務(wù)器。</p><p><b>　?。?）打印機(jī)共享。<

29、/b></p><p>　?。?）公司內(nèi)部要網(wǎng)絡(luò)接入Internet。</p><p>　?。?）架設(shè)公司web服務(wù)器，發(fā)布公司網(wǎng)站。</p><p>　?。?）為保證安全，Internet與公司內(nèi)部網(wǎng)絡(luò)間應(yīng)采用防護(hù)措施，防止外界對(duì)內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)的訪問(wèn)。</p><p>　?。?）網(wǎng)絡(luò)管理需求：網(wǎng)絡(luò)調(diào)試期間最消耗人力與物力的線纜故障定

30、位工作，網(wǎng)絡(luò)運(yùn)行期間對(duì)不同用戶(hù)靈活的服務(wù)策略部署、訪問(wèn)權(quán)限控制、以及網(wǎng)絡(luò)日志審計(jì)和病毒控制能力等方面的管理工作。</p><p>　　（9）網(wǎng)絡(luò)應(yīng)具有更高的帶寬，更強(qiáng)大的性能，以滿(mǎn)足用戶(hù)日益增長(zhǎng)的通信需求。要繼續(xù)承載企業(yè)的辦公自動(dòng)化，Web瀏覽等簡(jiǎn)單的數(shù)據(jù)業(yè)務(wù)，還要承載涉及企業(yè)生產(chǎn)運(yùn)營(yíng)的各種業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)，以及帶寬和時(shí)延都要求很高的IP電話(huà)、視頻會(huì)議等多媒體業(yè)務(wù)，并實(shí)現(xiàn)千兆位到桌面。因此，數(shù)據(jù)流量將大大增加，尤

31、其是對(duì)核心網(wǎng)絡(luò)的數(shù)據(jù)交換能力提出了前所未有的要求。</p><p><b>　　2. 網(wǎng)絡(luò)整體設(shè)計(jì)</b></p><p><b>　　2.1 網(wǎng)絡(luò)拓?fù)?lt;/b></p><p><b>　　圖2-1 網(wǎng)絡(luò)拓?fù)?lt;/b></p><p>　　計(jì)算機(jī)網(wǎng)絡(luò)的組成元素可以分為兩大類(lèi)，即網(wǎng)

32、絡(luò)節(jié)點(diǎn)（又可分為端節(jié)點(diǎn)和轉(zhuǎn)發(fā)節(jié)點(diǎn)）和通信鏈路，網(wǎng)絡(luò)中節(jié)點(diǎn)的互聯(lián)模式叫網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)拓?fù)涠x了網(wǎng)絡(luò)中資源的連接方式，局域網(wǎng)中常用的拓?fù)浣Y(jié)構(gòu)有：總線型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)、星型結(jié)構(gòu)、樹(shù)形結(jié)構(gòu)。由于XX金融公司總部網(wǎng)絡(luò)站點(diǎn)特別的多，而且聯(lián)網(wǎng)的站點(diǎn)相對(duì)集中，因此采用樹(shù)形的網(wǎng)絡(luò)拓?fù)?。?shù)形拓?fù)溆煽偩€拓?fù)溲葑兌鴣?lái)。它有一個(gè)帶分支的根，還可再延伸出若干子分支。樹(shù)形拓?fù)渫ǔ２捎猛S電纜作為傳輸介質(zhì)，而且使用寬帶傳輸技術(shù)。樹(shù)形拓?fù)湟子诠收细綦x，樹(shù)形拓?fù)涞娜?/p>

33、點(diǎn)是對(duì)根的依賴(lài)太大，如果根發(fā)生故障，則整個(gè)網(wǎng)絡(luò)不能正常工作。但在本局域網(wǎng)中采用了雙核心，所以大大的避免了網(wǎng)絡(luò)故障的發(fā)生。</p><p>　　2.2 網(wǎng)路層次化設(shè)計(jì)</p><p>　　網(wǎng)絡(luò)的設(shè)計(jì)模型主要包括層次化設(shè)計(jì)模型和非層次化設(shè)計(jì)模型兩種。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和網(wǎng)上應(yīng)用量的增長(zhǎng)，非層次化的網(wǎng)絡(luò)設(shè)計(jì)已經(jīng)不適合當(dāng)今企業(yè)的網(wǎng)絡(luò)應(yīng)用，由于非層次化網(wǎng)絡(luò)沒(méi)有適當(dāng)?shù)囊?guī)劃，網(wǎng)絡(luò)最終會(huì)發(fā)展成為非結(jié)構(gòu)

34、的形式，這樣當(dāng)網(wǎng)絡(luò)設(shè)備之間相互通信時(shí)，設(shè)備上的CPU必然會(huì)承受相當(dāng)大的負(fù)載，不利于網(wǎng)絡(luò)的運(yùn)行和發(fā)展，當(dāng)大量的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，容易引起線路擁堵甚至網(wǎng)絡(luò)的癱瘓。 所以選擇層次化的網(wǎng)絡(luò)設(shè)計(jì)。</p><p>　　多層設(shè)計(jì)師模塊化的，網(wǎng)絡(luò)容量可隨著日后網(wǎng)絡(luò)節(jié)點(diǎn)的增加而不斷增大。多層次網(wǎng)絡(luò)有很大的確定性，因此在運(yùn)行和擴(kuò)展過(guò)程中進(jìn)行故障查找和排出非常簡(jiǎn)單。多層模式使網(wǎng)絡(luò)的移植更為簡(jiǎn)單易行，因?yàn)樗Ａ艨椿诼酚善骱徒粨Q機(jī)的

35、網(wǎng)絡(luò)原有的尋址方案，對(duì)以往的網(wǎng)絡(luò)有很好的兼容性。另外分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡(luò)的故障進(jìn)行很好的隔離。</p><p>　　針對(duì)實(shí)際情況采用三層結(jié)構(gòu)模型，即核心層、分布層、接入層。每個(gè)層次有不同的功能。核心層作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心，起主要功能是高速、可靠的進(jìn)行數(shù)據(jù)交換。分布層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。接入層主要提供最終用戶(hù)接入網(wǎng)絡(luò)的途徑。主要進(jìn)行VLAN的換分、與分布層的連接等。</p

36、><p>　　2.2.1 核心層設(shè)計(jì)</p><p>　　核心交換機(jī)通過(guò)配置高性能交換路由引擎、冗余電源，來(lái)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)的高可用和高可靠性。此處使用Catalyst 3560G-48PS路由交換機(jī)作為內(nèi)、外網(wǎng)的核心交換機(jī)，配置Salience VI-10GE交換路由引擎，分別配置24端口千兆以太網(wǎng)電接口模塊（LSQM1GT24SC0）和24端口千兆/百兆以太網(wǎng)光接口模塊（LSQM1GP24

37、SC0），對(duì)外提供千兆光口和千兆電口接入，光口用于連接各配線間的匯聚交換機(jī)，電口用于部分服務(wù)器的接入。</p><p>　　核心交換機(jī)需作如下設(shè)置：</p><p>　?。?）使用包安全過(guò)濾/ACL的機(jī)制，防止非法侵入和惡意報(bào)文攻擊；</p><p>　?。?）通過(guò)Vlan劃分實(shí)現(xiàn)不同部門(mén)內(nèi)部訪問(wèn)安全的需求； <

38、;/p><p>　?。?）基于策略的服務(wù)等級(jí)/服務(wù)質(zhì)量（CoS/QoS）功能，能夠鑒別并優(yōu)先處理要害的業(yè)務(wù)數(shù)據(jù)流，實(shí)現(xiàn)網(wǎng)絡(luò)的優(yōu)化。</p><p>　　核心層多業(yè)務(wù)、高可靠、大容量設(shè)計(jì)，所有關(guān)鍵部件均采用冗余熱備份設(shè)計(jì)，采用分布式路由轉(zhuǎn)發(fā)處理引擎，支持真正熱插拔、熱備份。</p><p>　　2.2.2 匯聚層設(shè)計(jì) </p><p>　　在6個(gè)弱

39、電間分別設(shè)置一臺(tái)Cisco WS-C3750G-12S-E以太網(wǎng)交換機(jī)作為匯聚層交換機(jī)，上聯(lián)核心層交換機(jī)，下聯(lián)接入層交換機(jī)，對(duì)下屬設(shè)備進(jìn)行三層交換處理。匯聚層主要進(jìn)行接入層的數(shù)據(jù)流量匯聚，并對(duì)數(shù)據(jù)流量進(jìn)行訪問(wèn)控制。包括訪問(wèn)控制列表、VLAN 路由等等。</p><p>　　Cisco Catalyst 3750 系列交換機(jī)是一個(gè)創(chuàng)新的產(chǎn)品系列，它結(jié)合業(yè)界領(lǐng)先的易用性和最高的冗余性，里程碑地提升了堆疊式交換機(jī)在局域

40、網(wǎng)中的工作效率。這個(gè)新的產(chǎn)品系列采用了最新的思StackWise 技術(shù)，不但實(shí)現(xiàn)高達(dá)32Gbps 的堆疊互聯(lián)，還從物理上到邏輯上使若干獨(dú)立交換機(jī)在堆疊時(shí)集成在一起，便于用戶(hù)建立一個(gè)統(tǒng)一、高度靈活的交換系統(tǒng)，就好像是一整臺(tái)交換機(jī)一樣。</p><p>　　對(duì)于中型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，Cisco Catalyst 3750 系列通過(guò)提供配置靈活性、支持融合網(wǎng)絡(luò)模式及自動(dòng)進(jìn)行智能網(wǎng)絡(luò)服務(wù)配置，簡(jiǎn)化了融合應(yīng)用的部署，并可針對(duì)不

41、斷變化的業(yè)務(wù)需求進(jìn)行調(diào)整。此外，Cisco Catalyst 3750 系列針對(duì)高密度千兆位以太網(wǎng)部署進(jìn)行了優(yōu)化，包括多種交換機(jī)，以滿(mǎn)足接入、匯聚或小型網(wǎng)絡(luò)骨干連接需求。Cisco Catalyst 3750G-12S 提供12個(gè)千兆位以太網(wǎng)SFP 端口用于連接數(shù)據(jù)中心和辦公樓的接入層交換機(jī)和中心核心機(jī)房的Catalyst 4506 交換機(jī)。</p><p>　　2.2.3 接入層設(shè)計(jì) </p>&

42、lt;p>　　接入層主要提供最終用戶(hù)接入網(wǎng)絡(luò)的途徑。主要是進(jìn)行VLAN的劃分、與分布層的連接等等。建議接入層交換機(jī)采用思科的2960 系列智能以太網(wǎng)交換機(jī)以千兆以太鏈路和匯聚交換機(jī)相連接，并為用戶(hù)終端提供10/100M 自適應(yīng)的接入，從而形成千兆為骨干，百兆到桌面的以太網(wǎng)三層結(jié)構(gòu)。辦公系統(tǒng)所需的各種服務(wù)器如郵件服務(wù)器、DHCP 服務(wù)器等組成服務(wù)器群，連接到匯聚交換機(jī)的千兆模塊上面，因此，內(nèi)部的局域網(wǎng)采用三層結(jié)構(gòu)組建。</p&

43、gt;<p>　　Cisco Catalyst 2960 系列智能以太網(wǎng)交換機(jī)是一個(gè)全新的、固定配置的獨(dú)立設(shè)備系列，提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，可為入門(mén)級(jí)企業(yè)、中型市場(chǎng)和分支機(jī)構(gòu)網(wǎng)絡(luò)提供增強(qiáng)LAN 服務(wù)。Catalyst 2960 系列具有集成安全特性，包括網(wǎng)絡(luò)準(zhǔn)入控制（NAC）、高級(jí)服務(wù)質(zhì)量（QoS）和永續(xù)性，可為網(wǎng)絡(luò)邊緣提供智能服務(wù)。憑借 Cisco Catalyst 2960 系列提供的廣泛安全特性，企業(yè)可保

44、護(hù)重要信息，防止未授權(quán)人員接入網(wǎng)絡(luò)，確保私密性及維持不間斷運(yùn)行。</p><p>　　2.2.4 路由協(xié)議選擇</p><p><b>　　圖2-2 路由協(xié)議</b></p><p>　　為達(dá)到路由快速收斂、尋址以及方便網(wǎng)絡(luò)管理員管理的目的，我們采用動(dòng)態(tài)路由協(xié)議，目前較好的動(dòng)態(tài)路由協(xié)議是OSPF 協(xié)議和EIGRP 協(xié)議，OSPF 以協(xié)議標(biāo)準(zhǔn)化強(qiáng)

45、，支持廠家多，受到廣泛應(yīng)用，而EIGRP 協(xié)議由Cisco 公司發(fā)明，只有Cisco 公司自己的產(chǎn)品支持，屬于私有性質(zhì)，其他廠商設(shè)備是不支持的?？紤]網(wǎng)絡(luò)的擴(kuò)展性、數(shù)據(jù)資源的保護(hù)等原因，我們選擇OSPF 路由協(xié)議。</p><p>　　OSPF 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個(gè)路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存整個(gè)AS 的拓?fù)浣Y(jié)構(gòu)（AS 不劃分情況下）。一旦每個(gè)路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫(kù)，該路由器就可以自己

46、為根，構(gòu)造最短路徑樹(shù)，然后再根據(jù)最短路徑構(gòu)造路由表。對(duì)于大型的網(wǎng)絡(luò)，為了進(jìn)一步減少路由協(xié)議通信流量，利于管理和計(jì)算。OSPF將整個(gè)AS 劃分為若干個(gè)區(qū)域，區(qū)域內(nèi)的路由器維護(hù)一個(gè)相同的鏈路狀態(tài)數(shù)據(jù)庫(kù)，保存該區(qū)域的拓?fù)浣Y(jié)構(gòu)。OSPF 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。OSPF 定義了5 種分組：Hello分組用于建立和維護(hù)連接；數(shù)據(jù)庫(kù)描述分組初始化路由器的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)；當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中的某部分信息已經(jīng)過(guò)時(shí)后，路由器發(fā)

47、送鏈路狀態(tài)請(qǐng)求分組，請(qǐng)求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來(lái)主動(dòng)擴(kuò)散自己的鏈路狀態(tài)數(shù)據(jù)庫(kù)或?qū)︽溌窢顟B(tài)請(qǐng)求分組進(jìn)行響應(yīng)；由于OSPF 直接運(yùn)行在IP 層，協(xié)議本身要提供確認(rèn)機(jī)制，鏈路狀態(tài)應(yīng)答分組是對(duì)鏈路狀態(tài)更新分組進(jìn)行確認(rèn)。</p><p>　　相對(duì)于其它協(xié)議，OSPF 有許多優(yōu)點(diǎn)。OSPF 支持各種不同鑒別機(jī)制（如簡(jiǎn)單口令驗(yàn)證，MD5 加密驗(yàn)證等），并且允許各個(gè)系統(tǒng)或區(qū)域采用互不相同的鑒別機(jī)制；提供負(fù)載

48、均衡功能，如果計(jì)算出到某個(gè)目的站有若干費(fèi)用相同的路由，OSPF 路由器會(huì)把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在一個(gè)自治系統(tǒng)內(nèi)可劃分出若干個(gè)區(qū)域，每個(gè)區(qū)域根據(jù)自己的拓?fù)浣Y(jié)構(gòu)計(jì)算最短路徑，這減少了OSPF 路由實(shí)現(xiàn)的工作量；OSPF 屬動(dòng)態(tài)的自適應(yīng)協(xié)議，對(duì)于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變化可以迅速地做出反應(yīng)，進(jìn)行相應(yīng)調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，OSPF在對(duì)網(wǎng)絡(luò)拓?fù)渥兓奶幚磉^(guò)程中僅需要最少

49、的通信流量；OSPF 提供點(diǎn)到多點(diǎn)接口，支持CIDR（無(wú)類(lèi)域間路由）地址。</p><p>　　公司現(xiàn)有網(wǎng)絡(luò)規(guī)劃為area0，內(nèi)部網(wǎng)絡(luò)設(shè)備都規(guī)劃為area0。后期若有分支機(jī)構(gòu)各區(qū)域接入路由器根據(jù)區(qū)域不同使用動(dòng)態(tài)協(xié)議，或者使用靜態(tài)路由與動(dòng)態(tài)路由結(jié)合的方式。 </p><p>　　2.3 VLAN的劃分及IP地址規(guī)劃和設(shè)備命名規(guī)則</p><p>　　LAN的劃分一般有

50、三種方法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一個(gè)或者多個(gè)交換機(jī)上的端口放到一個(gè)VLAN內(nèi)，網(wǎng)絡(luò)管理人員只需要對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配即可，不用考慮端口所連接的設(shè)備。IP地址是TCP/IP協(xié)議族中的網(wǎng)絡(luò)層邏輯地址，它被用來(lái)唯一地標(biāo)示網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效的利用地址空間，又要體現(xiàn)網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿(mǎn)足路由協(xié)議的要求，提高路由

51、算法的效率，加快路由變化的收斂速度。</p><p>　　根據(jù)公司情況，每個(gè)部門(mén)劃分為一個(gè)VLAN，各部門(mén)分別屬于不同的網(wǎng)段，各部門(mén)之間在邏輯上被隔離，但是各部門(mén)間的通訊，可根據(jù)需要對(duì)匯聚層交換機(jī)進(jìn)行配置來(lái)實(shí)現(xiàn)。</p><p>　　表2-1 IP地址分配表</p><p><b>　　IP地址配置命令：</b></p><

52、p>　　Switch(config)# [interface] </p><p>　　Switch (config-if)#no switchport </p><p>　　Switch (config-if)#ip address [ip-add] [subnet-mask] </p

53、><p>　　Switch (config-if)#no shutdown </p><p><b>　　設(shè)備名稱(chēng)代碼表：</b></p><p>　　表2-2 設(shè)備廠商、設(shè)備型號(hào)對(duì)照表</p><p>　　表2-3 設(shè)備端口簡(jiǎn)寫(xiě)名稱(chēng)對(duì)照表</p><p>　　設(shè)備

54、的命名規(guī)則按照設(shè)備的空間地理位置、設(shè)備在網(wǎng)絡(luò)中的邏輯位置、設(shè)備類(lèi)型和設(shè)備編號(hào)的順序來(lái)命名。其中，空間地理位置嚴(yán)格遵守國(guó)際對(duì)省市的命名規(guī)范。</p><p>　　其格式為：空間地理位置-設(shè)備類(lèi)型-設(shè)備編號(hào)-樓層號(hào)。</p><p>　　舉例說(shuō)明：XSXRMYY-BY-XZY-CISCO-6506-1 表示：XXXXX樓一樓的思科 CISCO 6506。</p><p>

55、;　　設(shè)備端口的命名規(guī)則和編碼設(shè)計(jì)按照端口類(lèi)型、端口在本端設(shè)備中的位置、接口速率、本端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置、本端設(shè)備編號(hào)、電路傳輸方向、對(duì)端設(shè)備的空間地理位置、在網(wǎng)絡(luò)中的邏輯位置和對(duì)端設(shè)備編號(hào)的順序命名。端口類(lèi)型-端口在本端設(shè)備中的位置-帶寬-TO-對(duì)端設(shè)備的空間地理位置-網(wǎng)絡(luò)的邏輯位置-對(duì)端設(shè)備類(lèi)型-對(duì)端設(shè)備編號(hào)。</p><p>　　端口類(lèi)型：用使用物理端口的縮寫(xiě)來(lái)命名。</p>

56、<p>　　端口在設(shè)備中的位置：槽位號(hào)-適配號(hào)-端口號(hào)。</p><p>　　空間地理位置：即設(shè)備放置的地理位置。</p><p>　　網(wǎng)絡(luò)的邏輯位置：即設(shè)備在網(wǎng)絡(luò)中放置的邏輯位置。</p><p>　　設(shè)備類(lèi)型：以設(shè)備廠家和設(shè)備的型號(hào)來(lái)命名。</p><p>　　設(shè)備編號(hào)：處于同一位置，同類(lèi)設(shè)備的編碼順序，為一位阿拉拍數(shù)字，按

57、1-9的順序編號(hào)。</p><p>　　注意：若一個(gè)槽位，只能安裝一塊適配器板卡標(biāo)示時(shí)，請(qǐng)忽略板卡位置號(hào)。</p><p><b>　　2.4 服務(wù)器群組</b></p><p>　　2.4.1 DHCP服務(wù)器</p><p>　　由于公司整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)較多，若是由網(wǎng)管人員分別為每臺(tái)PC機(jī)配置IP地址那將是一件非常麻煩的事

58、，而且也不利于網(wǎng)絡(luò)IP地址的管理，所以我們采用DHCP服務(wù)器，為接入公司網(wǎng)絡(luò)的PC機(jī)自動(dòng)分配IP地址。</p><p>　　DHCP（Dynamic Host Configuration Protocol），即動(dòng)態(tài)主機(jī)設(shè)置協(xié)議，是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作。DHCP服務(wù)器的操作系統(tǒng)選擇Windows Server 2003。</p><p>　　由于DHCP服務(wù)器與公司其他P

59、C機(jī)在不同的VLAN中，所以還需要在匯聚層交換機(jī)上配置DHCP中繼服務(wù)功能才能成功運(yùn)行DHCP服務(wù)。</p><p>　　2.4.2 郵件服務(wù)器</p><p>　　電子郵件是互聯(lián)網(wǎng)最基本、但卻是最重要的組成部分，通過(guò)電子郵件進(jìn)行方便快捷的信息交流已經(jīng)成為企業(yè)工作中不可或缺的工作習(xí)慣。企業(yè)郵箱一般以企業(yè)的域名作為郵箱后綴，既能體現(xiàn)公司的品牌和形象，還能使公司商業(yè)信函來(lái)往得到更好更安全的管理

60、。常見(jiàn)的郵件服務(wù)器軟件有很多，例如：微軟 Exchange Server 、MDaemon Server、WinWebMail 、IMail Server等等。在這里我們選用微軟exchange server 2003作為服務(wù)器端軟件，該版本也是Microsoft exchange server中應(yīng)用最廣泛，功能最穩(wěn)定的一個(gè)版本。</p><p>　　exchange server 2003常見(jiàn)的任務(wù)包括：備份與

61、還原、建立新郵箱、恢復(fù)、移動(dòng)、安裝新的硬件、存儲(chǔ)區(qū)、軟件和工具，以及應(yīng)用更新和修補(bǔ)程序等。新工具和改進(jìn)的工具可幫助 網(wǎng)絡(luò)管理員更有效地完成工作。例如，一位管理人員可能需要恢復(fù)幾個(gè)月以前刪除的一封非常重要的舊電子郵件，通過(guò)使用“恢復(fù)存儲(chǔ)組”功能，管理員可以恢復(fù)個(gè)人用戶(hù)的郵箱，以便查找以前刪除的重要電子郵件。其他新的管理功能包括： 并行移動(dòng)多個(gè)郵箱。 改進(jìn)的消息跟蹤和 Outlook 客戶(hù)端性能記錄功能。 增強(qiáng)的隊(duì)列查看器，它使用戶(hù)能夠從同

62、一控制臺(tái)同時(shí)查看 SMTP 和 X.400 隊(duì)列。 新的基于查詢(xún)的通訊組列表，它現(xiàn)在支持動(dòng)態(tài)地實(shí)時(shí)查找成員。 此外，用于 Microsoft Operations Manager 的 Exchange 管理包可自動(dòng)監(jiān)視整個(gè) Exchange 環(huán)境，從而使用戶(hù)能夠?qū)?Exchange 問(wèn)題預(yù)先采取管理措施并快速予以解決。</p><p>　　在部署exchange 2003郵件服務(wù)器之前，首先為公司申請(qǐng)合法的域名，

63、建立域控服務(wù)器，打開(kāi)“運(yùn)行”對(duì)話(huà)框，輸入dcpromo命令，然后根據(jù)向?qū)?chuàng)建域控服務(wù)器。</p><p>　　圖2-3 建立域控服務(wù)器</p><p>　　將公司內(nèi)的所有PC機(jī)加入該域。為了防止主域控服務(wù)器出現(xiàn)故障而導(dǎo)致通信故障和信息丟失，所以我們還需要一臺(tái)輔助域控。當(dāng)然，還需要在DNS服務(wù)器中寫(xiě)入記錄，這樣發(fā)出的郵件才知道去處。</p><p>　　郵件服務(wù)器硬件

64、的選擇根據(jù)企業(yè)本身業(yè)務(wù)的應(yīng)用情況和資金投入來(lái)決定。從該公司來(lái)看，公司用戶(hù)在幾百個(gè)以下，但是郵件來(lái)往比較多，所以要選擇專(zhuān)業(yè)的PC服務(wù)器才能滿(mǎn)足基本的性能要求。</p><p>　　2.4.3 WEB服務(wù)器</p><p>　　WEB服務(wù)器也稱(chēng)為WWW（WORLD WIDE WEB）服務(wù)器，主要功能是提供網(wǎng)上信息瀏覽服務(wù)。本方案中web服務(wù)器主要是向外發(fā)布公司網(wǎng)站，時(shí)時(shí)更新公司以及金融市場(chǎng)信息

65、以供用戶(hù)網(wǎng)上參考。</p><p>　　本方案中，我們選擇Linux作為web服務(wù)器的操作系統(tǒng)，所以服務(wù)器端軟件則用Apache。Apache是世界上用的最多的Web服務(wù)器，市場(chǎng)占有率達(dá)60%左右，它源于NCSAhttpd服務(wù)器。Apache有多種產(chǎn)品，可以支持SSL技術(shù)，支持多個(gè)虛擬主機(jī)。它是以進(jìn)程為基礎(chǔ)的結(jié)構(gòu)，進(jìn)程要比線程消耗更多的系統(tǒng)開(kāi)支。因?yàn)樗亲杂绍浖?，所以不斷有人?lái)為它開(kāi)發(fā)新的功能、新的特性、修改原來(lái)

66、的缺陷。Apache的特點(diǎn)是簡(jiǎn)單、速度快、性能穩(wěn)定，并可做代理服務(wù)器來(lái)使用。它的成功之處主要在于它的源代碼開(kāi)放、有一支開(kāi)放的開(kāi)發(fā)隊(duì)伍、支持跨平臺(tái)的應(yīng)用（可以運(yùn)行在幾乎所有的Unix、Windows、Linux系統(tǒng)平臺(tái)上）以及它的可移植性等方面。</p><p><b>　　3. 安全策略</b></p><p>　　3.1 網(wǎng)絡(luò)威脅因素分析</p>&l

67、t;p>　　對(duì)于金融業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)的安全性是相當(dāng)重要的。而金融網(wǎng)上交易，信息發(fā)布等業(yè)務(wù)使得公司網(wǎng)絡(luò)必須與公網(wǎng)相連，這樣必然存在著安全風(fēng)險(xiǎn)。并且公司內(nèi)部網(wǎng)絡(luò)，由于各部門(mén)職能不同，某些部門(mén)網(wǎng)絡(luò)可能也要求很高的安全性。公司網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)可能包括以下幾個(gè)：</p><p>　?。?） 公司網(wǎng)絡(luò)與公網(wǎng)連接，可能遭到來(lái)自各地的越權(quán)訪問(wèn)，還可能遭到網(wǎng)絡(luò)黑客的惡意攻擊和計(jì)算機(jī)病毒的入侵；</p><p&g

68、t;　　（2） 內(nèi)部的各個(gè)子網(wǎng)通過(guò)骨干交換相互連接，這樣的話(huà)，某些重要的部門(mén)可能會(huì)遭到來(lái)自其它部門(mén)的越權(quán)訪問(wèn)。這些越權(quán)訪問(wèn)可能包括惡意攻擊、誤操作 等，據(jù)統(tǒng)計(jì)約有70％左右的攻擊來(lái)自?xún)?nèi)部用戶(hù)，相比外部攻擊來(lái)說(shuō)，內(nèi)部用戶(hù)具有更得天獨(dú)厚的優(yōu)勢(shì)，但是無(wú)論怎樣，結(jié)果都將導(dǎo)致重要信息的泄露或者網(wǎng)絡(luò)的癱瘓；</p><p>　?。?） 設(shè)備的自身安全性也會(huì)直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如，路由設(shè)備存在路由信息

69、泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。重要服務(wù)器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒(méi)有及時(shí)的發(fā)現(xiàn)并且進(jìn)行修復(fù)，將會(huì)為網(wǎng)絡(luò)的安全帶來(lái)很多不安定的因素。重要服務(wù)器的當(dāng)機(jī)或者重要數(shù)據(jù)的意外丟失，都將會(huì)造成公司日常辦公無(wú)法進(jìn)行。</p><p><b>　　3.2 安全要求</b></p><p>　　（1） 物理安全：包括保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備設(shè)施以及數(shù)據(jù)庫(kù)資料免遭地震、水

70、災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤導(dǎo)致系統(tǒng)損壞，同時(shí)要避免由于電磁泄漏引起的信息失密。</p><p>　?。?） 網(wǎng)絡(luò)安全：主要包括系統(tǒng)安全和網(wǎng)絡(luò)運(yùn)行安全，檢測(cè)到系統(tǒng)安全漏洞和對(duì)于網(wǎng)絡(luò)訪問(wèn)的控制。</p><p>　　（3） 信息安全：包括信息傳輸?shù)陌踩?、信息存?chǔ)的安全以及對(duì)用戶(hù)的授權(quán)和鑒別。</p><p><b>　　3.3 安全規(guī)劃</b&g

71、t;</p><p>　　安全方面分為內(nèi)網(wǎng)和外網(wǎng)兩部分。</p><p>　　內(nèi)網(wǎng)方面安全區(qū)域劃分五個(gè)區(qū)域：外網(wǎng)（黨政信息內(nèi)網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶(hù)區(qū)域、行業(yè)其他單位連接、公網(wǎng)區(qū)域。</p><p><b>　　安全定義：</b></p><p>　?。?） 外網(wǎng)區(qū)域?yàn)椴豢尚湃螀^(qū)；</p>

72、<p>　　（2） DMZ區(qū)域?yàn)橹辛^(qū)域，允許部分外網(wǎng)用戶(hù)連接（比如：網(wǎng)站對(duì)外服務(wù)等）但受到防火墻嚴(yán)格控制；</p><p>　?。?） 內(nèi)部用戶(hù)區(qū)域?yàn)樾湃螀^(qū)域；</p><p>　?。?） 行業(yè)其他單位連接區(qū)域，由于無(wú)法管理，使用網(wǎng)閘物理隔離；</p><p>　?。?） 公網(wǎng)區(qū)域，威脅最大區(qū)域，使用網(wǎng)閘物理隔離。</p><p>

73、;　　在防火墻上進(jìn)行設(shè)置，包括用ACL進(jìn)行流量控制、關(guān)閉病毒端口、NAT的轉(zhuǎn)換等。</p><p>　　外網(wǎng)安全方面主體是在防火墻上進(jìn)行設(shè)置，外網(wǎng)安全劃分為三個(gè)區(qū)域，公網(wǎng)區(qū)域（Internet、黨政外網(wǎng)）、DMZ區(qū)域（服務(wù)器區(qū)域）、內(nèi)部用戶(hù)區(qū)域。</p><p><b>　　安全級(jí)別定義：</b></p><p>　　（1） 公網(wǎng)區(qū)域?yàn)椴豢尚湃?/p>

74、區(qū)；</p><p>　?。?） DMZ區(qū)域?yàn)橹辛^(qū)域，允許部分外網(wǎng)用戶(hù)連接（比如：網(wǎng)站對(duì)外服務(wù)等）但受到防火墻嚴(yán)格控制；</p><p>　?。?） 內(nèi)部用戶(hù)區(qū)域?yàn)樾湃螀^(qū)域。</p><p>　　IPS對(duì)進(jìn)出數(shù)據(jù)進(jìn)行訪問(wèn)檢測(cè)，本項(xiàng)目中外網(wǎng)中IPS劃分兩條物理隔離的鏈路分別檢測(cè)內(nèi)部用戶(hù)數(shù)據(jù)流量和DMZ區(qū)域數(shù)據(jù)流量。上網(wǎng)行為管理只對(duì)用戶(hù)區(qū)域的數(shù)據(jù)進(jìn)行監(jiān)控和管理。<

75、;/p><p><b>　　內(nèi)網(wǎng)安全策略：</b></p><p>　?。?） 報(bào)文阻斷策略，通過(guò)設(shè)置報(bào)文阻斷策略，實(shí)現(xiàn)對(duì)二、三層的訪問(wèn)控制；</p><p>　?。?） 訪問(wèn)控制規(guī)則，通過(guò)設(shè)置訪問(wèn)控制規(guī)則，實(shí)現(xiàn)對(duì)三到七層的訪問(wèn)控制；</p><p>　?。?） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止

76、非法用戶(hù)冒充IP 地址進(jìn)行非法訪問(wèn)；</p><p>　?。?） 病毒防御。能夠?qū)κ褂肏TTP、FTP 傳輸?shù)奈募约皩?duì)使用SMTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進(jìn)行病毒檢查過(guò)濾，并可根據(jù)文件擴(kuò)展名選擇過(guò)濾或者不過(guò)濾的附件類(lèi)型等。</p><p><b>　　外網(wǎng)安全策略：</b></p><p>　?。?） 地址轉(zhuǎn)換，進(jìn)行源

77、、目的地址轉(zhuǎn)換以及雙向地址轉(zhuǎn)換；</p><p>　　（2） 報(bào)文阻斷策略，通過(guò)設(shè)置報(bào)文阻斷策略，實(shí)現(xiàn)對(duì)二、三層的訪問(wèn)控制；</p><p>　　（3） 訪問(wèn)控制規(guī)則，通過(guò)設(shè)置訪問(wèn)控制規(guī)則，實(shí)現(xiàn)對(duì)三到七層的訪問(wèn)控制；</p><p>　?。?） IP/MAC 地址綁定，將IP 地址與MAC 地址綁定從而防止非法用戶(hù)冒充IP 地址進(jìn)行非法訪問(wèn)，</p>

78、<p>　?。?） 病毒防御，能夠?qū)κ褂肏TTP、FTP 傳輸?shù)奈募约皩?duì)使用SMTP、POP3 和IMAP 協(xié)議傳送的郵件正文、附件進(jìn)行病毒檢查過(guò)濾，并可根據(jù)文件擴(kuò)展名選擇過(guò)濾或者不過(guò)濾的附件類(lèi)型等。</p><p>　　3.4 安全產(chǎn)品選型原則</p><p>　　XX金融公司網(wǎng)絡(luò)屬于一個(gè)行業(yè)的專(zhuān)用網(wǎng)絡(luò)，因此在安全產(chǎn)品的選型上，必須慎重。選型的原則包括：</p>

79、<p>　　（1） 安全保密產(chǎn)品的接入應(yīng)不明顯影響網(wǎng)絡(luò)系統(tǒng)運(yùn)行效率，并且滿(mǎn)足工作的要求，不影響正常的網(wǎng)上金融交易和辦公；</p><p>　　（2） 安全保密產(chǎn)品必須通過(guò)國(guó)家主管部門(mén)指定的測(cè)評(píng)機(jī)構(gòu)的檢測(cè)； </p><p>　　（3） 產(chǎn)品必須具備自我保護(hù)能力；</p><p>　?。?） 安全保密產(chǎn)品必須符合國(guó)家和國(guó)際上的相關(guān)標(biāo)準(zhǔn)；</p>

80、<p>　?。?） 安全產(chǎn)品必須操作簡(jiǎn)單易用，便于簡(jiǎn)單部署和集中管理。</p><p>　　3.5 安全策略部署</p><p>　　3.5.1 VLAN技術(shù)</p><p>　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換

81、技術(shù)。VLAN要為了解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無(wú)法限制廣播的問(wèn)題。這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的VLAN，每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)，這樣就大大的增加了局域網(wǎng)內(nèi)部的此信息安全性。</p><p>　　將各部門(mén)劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門(mén)間的越權(quán)訪問(wèn)，特別是資產(chǎn)管

82、理部這樣的數(shù)據(jù)比較敏感的部門(mén)，對(duì)于那些與他不屬于一個(gè)VLAN的電腦是無(wú)法訪問(wèn)它的。同時(shí)，這樣還防止廣播風(fēng)暴的發(fā)生，避免過(guò)多廣播包占據(jù)帶寬造成網(wǎng)絡(luò)擁塞。另外，VLAN為網(wǎng)絡(luò)管理帶來(lái)了很大的方便，將每個(gè)部門(mén)劃分為一個(gè)VLAN，每個(gè)VLAN內(nèi)的客戶(hù)終端需求是基本相似的，對(duì)于故障排查或者軟件升級(jí)等都比較方便，大大提高了網(wǎng)絡(luò)管理人員的工作效率。</p><p>　　各個(gè)VLAN之間數(shù)據(jù)的傳輸，必須經(jīng)過(guò)Trunk鏈路。Tru

83、nk是一種封裝技術(shù)，它是一條點(diǎn)到點(diǎn)的鏈路，鏈路的兩端可以都是交換機(jī)，也可以是交換機(jī)和路由器?；诙丝趨R聚的功能，允許交換機(jī)與交換機(jī)、交換機(jī)與路由器、交換機(jī)與主機(jī)或路由之間通過(guò)兩個(gè)或多個(gè)端口并行連接同時(shí)傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個(gè)網(wǎng)絡(luò)的能力。Trunk端口一般為交換機(jī)和交換機(jī)之間的級(jí)聯(lián)端口，用于傳遞所有vlan信息。</p><p>　　Trunk鏈路配置命令：</p><p&

84、gt;　　Switch(config)#interface range [interface-number] </p><p>　　Switch (config-if-range)#switchport trunk encapsulation dot1q </p><p>　　Switch (config-if-range)#switchport mod

85、e trunk</p><p>　　Switch (config-if-range)#switchport allow trunk all</p><p>　　3.5.2 訪問(wèn)控制列表</p><p>　　訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。它是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪

86、問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、目錄級(jí)控制以及屬性控制等多種手段。訪問(wèn)控制列表（ACL）是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。使用訪問(wèn)控制列表不但能過(guò)濾通過(guò)路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡(luò)中數(shù)據(jù)流量的一個(gè)重要方法。</p><p>　　圖3-1 ACL示意圖</p><p>　　訪問(wèn)控制列表分為兩類(lèi)，一個(gè)是標(biāo)準(zhǔn)訪問(wèn)列表，一個(gè)是擴(kuò)展訪問(wèn)列表。標(biāo)

87、準(zhǔn)訪問(wèn)列表的編號(hào)是從1—99，它只使用數(shù)據(jù)包的源IP地址作為條件測(cè)試，只有允許或拒絕兩個(gè)操作，通常是對(duì)一個(gè)協(xié)議產(chǎn)生作用，不區(qū)分IP流量類(lèi)型。而編號(hào)100以上的稱(chēng)作擴(kuò)展訪問(wèn)列表，它可測(cè)試IP包的第3層和第4層報(bào)頭中的其他字段，比標(biāo)準(zhǔn)訪問(wèn)列表具有更多的匹配項(xiàng)，例如協(xié)議類(lèi)型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。 </p><p>　　標(biāo)準(zhǔn)訪問(wèn)列表配置命令：</p><p&g

88、t;　　Router(config)#access-list [access-list-number] {permit|deny} source [mask]</p><p>　　/*為訪問(wèn)列表設(shè)置參數(shù)，IP 標(biāo)準(zhǔn)訪問(wèn)列表編號(hào) 1 到 99，缺省的通配符掩碼 = 0.0.0.0*/</p><p>　　Router(config-if)#ip access-group [access-li

89、st-number] { in | out }</p><p>　　/*在端口上應(yīng)用訪問(wèn)列表，指明是進(jìn)方向還是出方向*/</p><p>　　擴(kuò)展訪問(wèn)列表配置命令：</p><p>　　Router(config)# access-list [access-list-number] { permit | deny } protocol source source-

90、wildcard [operator port] destination destination-wildcard [ operator- port ] [ established ] [log] </p><p>　　/*為標(biāo)準(zhǔn)訪問(wèn)列表設(shè)置參數(shù)，可具體到某個(gè)端口，某種協(xié)議*/</p><p>　　根據(jù)公司各部門(mén)的性質(zhì)，我們可根據(jù)需

91、要在匯聚層的設(shè)備上配置訪問(wèn)控制。如財(cái)務(wù)部、資產(chǎn)管理部信息數(shù)據(jù)機(jī)密度較高，我們就可以編寫(xiě)訪問(wèn)控制列表，禁止其它網(wǎng)段也就是其它VLAN的用戶(hù)訪問(wèn)這些部門(mén)的電腦，無(wú)論是以什么樣的形式，即使用標(biāo)準(zhǔn)訪問(wèn)控制列表。當(dāng)然，寫(xiě)完訪問(wèn)列表后，要將其應(yīng)用在相應(yīng)的端口上。有的部門(mén)可能對(duì)信息的保密要求沒(méi)有那么高，那么就可以使用擴(kuò)展訪問(wèn)列表，只對(duì)某一端口的數(shù)據(jù)進(jìn)行控制，如 telnet等。</p><p><b>　　4. 防火

92、墻配置</b></p><p>　　飛速發(fā)展的信息時(shí)代，在殘酷競(jìng)爭(zhēng)的市場(chǎng)，誰(shuí)先掌握了信息誰(shuí)就先掌握了契機(jī)，Internet的迅猛發(fā)展?jié)M足了人們對(duì)信息的渴求，同時(shí)Internet里也存在著許多不安全的因素，網(wǎng)絡(luò)信息的非法獲取、網(wǎng)絡(luò)體系的不期破壞等等，都將為企業(yè)帶來(lái)難以估計(jì)的損失，這時(shí)，防火墻以一個(gè)安全衛(wèi)士的身份應(yīng)運(yùn)而生，實(shí)現(xiàn)著管理者的安全策略，有效地維護(hù)這企業(yè)保護(hù)網(wǎng)絡(luò)的安全。</p>&l

93、t;p>　　防火墻是目前應(yīng)用最廣、最具代表性的網(wǎng)絡(luò)安全技術(shù)，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執(zhí)行這些功能，這樣就減少了CPU的負(fù)擔(dān)，使路由更穩(wěn)定。軟件防火墻一般只據(jù)有過(guò)濾包的作用，而硬件防火墻的功能則要強(qiáng)大的多，它還包括CF（內(nèi)容過(guò)濾）、IDS（入侵偵測(cè)）、IPS（入侵防護(hù)）以及VPN等功能。硬件防火墻一般使用經(jīng)過(guò)內(nèi)核編譯后的Linux，憑借Linux本身的高可靠性和穩(wěn)定性保證了防火墻整體的穩(wěn)定

94、性。防火墻主要由服務(wù)訪問(wèn)政策、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)四部分組成。</p><p>　　4.1 防火墻網(wǎng)絡(luò)安全策略</p><p>　　討論防火墻安全策略一般實(shí)施兩個(gè)基本設(shè)計(jì)方針之一：</p><p>　?。?） 拒絕訪問(wèn)除明確許可以外的任何一種服務(wù)，即拒絕一切未予特許的東西；</p><p>　?。?） 允許訪問(wèn)除明確拒絕以外的任何一種服

95、務(wù)，即允許一切未被特別拒絕的東西。</p><p>　　企業(yè)網(wǎng)防火墻的網(wǎng)絡(luò)安全策略采取第一種安全控制的方針，確定所有可以被提供的服務(wù)以及它們的安全特性，然后開(kāi)放這些服務(wù)，并將所有其它未被列入的服務(wù)排斥在外，禁止訪問(wèn)。</p><p>　　在實(shí)際應(yīng)用環(huán)境中，一般情況下防火墻網(wǎng)絡(luò)可劃分為三個(gè)不同級(jí)別的安全區(qū)域：</p><p>　　內(nèi)部網(wǎng)絡(luò)：這是防火墻要保護(hù)的對(duì)象，包括

96、全部的內(nèi)部網(wǎng)絡(luò)設(shè)備及用戶(hù)主機(jī)。這個(gè)區(qū)域是防火墻的可信區(qū)域（這是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的）。</p><p>　　外部網(wǎng)絡(luò)：這是防火墻要防護(hù)的對(duì)象，包括外部網(wǎng)主機(jī)和設(shè)備。這個(gè)區(qū)域?yàn)榉阑饓Φ姆强尚啪W(wǎng)絡(luò)區(qū)域（也是由傳統(tǒng)邊界防火墻的設(shè)計(jì)理念決定的）。</p><p>　　DMZ（非軍事區(qū)）：它是從內(nèi)部網(wǎng)絡(luò)中劃分的一個(gè)小區(qū)域，在其中就包括內(nèi)部網(wǎng)絡(luò)中用于公眾服務(wù)的外部服務(wù)器，如Web服務(wù)器、郵

97、件服務(wù)器、DNS服務(wù)器等，它們都是為互聯(lián)網(wǎng)提供某種信息服務(wù)。</p><p>　　在以上三個(gè)區(qū)域中，用戶(hù)需要對(duì)不同的安全區(qū)域制訂不同的安全策略。雖然內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)都屬于內(nèi)部網(wǎng)絡(luò)的一部分，但它們的安全級(jí)別（策略）是不同的。對(duì)于要保護(hù)的大部分內(nèi)部網(wǎng)絡(luò)，一般情況下禁止所有來(lái)自互聯(lián)網(wǎng)用戶(hù)的訪問(wèn)；而由內(nèi)部網(wǎng)絡(luò)劃分出去的DMZ區(qū)，因需為互聯(lián)網(wǎng)應(yīng)用提供相關(guān)的服務(wù)，這些服務(wù)器上所安裝的服務(wù)非常少，所允許的權(quán)限非常低，真正有服

98、務(wù)器數(shù)據(jù)是在受保護(hù)的內(nèi)部網(wǎng)絡(luò)主機(jī)上，所以黑客攻擊這些服務(wù)器沒(méi)有任何意義，既不能獲取什么有用的信息，也不能通過(guò)攻擊它而獲得過(guò)高的網(wǎng)絡(luò)訪問(wèn)權(quán)限。</p><p>　　通過(guò)NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個(gè)有效公網(wǎng)IP地址。這樣可以對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)構(gòu)和IP地址，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，同時(shí)因?yàn)槭枪W(wǎng)IP地址共享，所以可以大大節(jié)省公網(wǎng)IP地址的使用。</p>

99、<p>　　在這種應(yīng)用環(huán)境中，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上可以有兩種選擇，這主要是根據(jù)擁有網(wǎng)絡(luò)設(shè)備情況而定。如果原來(lái)已有邊界路由器，則此可充分利用原有設(shè)備，利用邊界路由器的包過(guò)濾功能，添加相應(yīng)的防火墻配置，這樣原來(lái)的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對(duì)于DMZ區(qū)中的公用服務(wù)器，則可直接與邊界路由器相連，不用經(jīng)過(guò)防火墻。它可只經(jīng)過(guò)路由器的簡(jiǎn)單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中，邊界路由器與防火墻就一起組成了兩道安全防線

100、，并且在這兩者之間可以設(shè)置一個(gè)DMZ區(qū)，用來(lái)放置那些允許外部用戶(hù)訪問(wèn)的公用服務(wù)器設(shè)施。應(yīng)用服務(wù)當(dāng)中EMAIL、DNS和WWW服務(wù)需要外網(wǎng)能夠訪問(wèn)，因此將這些服務(wù)規(guī)劃到DMZ區(qū)。</p><p>　　我們?cè)诤诵膶勇酚善髋cInternet之間配置一臺(tái)硬件防火墻，這樣，所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都要通過(guò)防火墻，而該防火墻應(yīng)具有以下的功能：</p><p>　?。?） 包過(guò)濾：控制流出和流入的網(wǎng)絡(luò)數(shù)據(jù)，可

101、基于源地址、源端口、目的地址、目的端口、協(xié)議和時(shí)間，根據(jù)地址簿進(jìn)行設(shè)置規(guī)則；</p><p>　　（2） 地址轉(zhuǎn)換：將內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的IP地址轉(zhuǎn)換，可分為源地址轉(zhuǎn)換Source NAT（SNAT）和目的地址轉(zhuǎn)換Destination NAT（DNAT）。SNAT用于對(duì)內(nèi)部網(wǎng)絡(luò)地址進(jìn)行轉(zhuǎn)換，對(duì)外部網(wǎng)絡(luò)隱藏起內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，避免受到來(lái)自外部其他網(wǎng)絡(luò)的非授權(quán)訪問(wèn)或惡意攻擊。并將有限的IP地址動(dòng)態(tài)或靜態(tài)的與內(nèi)部IP地

102、址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間的短缺問(wèn)題，節(jié)省資源，降低成本。DNAT主要用于外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)主機(jī)；</p><p>　?。?） 認(rèn)證和應(yīng)用代理：認(rèn)證指防火墻對(duì)訪問(wèn)網(wǎng)絡(luò)者合法身分的確定。代理指防火墻內(nèi)置用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)；提供HTTP、FTP和SMTP代理功能，并可對(duì)這三種協(xié)議進(jìn)行訪問(wèn)控制。同時(shí)支持URL過(guò)濾功能，防止員工在上班時(shí)間訪問(wèn)某些網(wǎng)站，影響工作效率；</p><p>　?。?） 透明和

103、路由：將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對(duì)互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問(wèn)，同時(shí)阻止了外部未授權(quán)訪問(wèn)者對(duì)專(zhuān)用網(wǎng)絡(luò)的非法訪問(wèn)；防火墻還支持路由方式，提供靜態(tài)路由功能，支持內(nèi)部多個(gè)子網(wǎng)之間的安全訪問(wèn)；</p><p>　　（5） 入侵檢測(cè)：通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象

104、。</p><p>　　NETSCREEN防火墻是為中小型企業(yè)設(shè)計(jì)的一款產(chǎn)品，它集高安全性和高可擴(kuò)展性于一身，能夠?qū)Σ《?、垃圾郵件、非授權(quán)訪問(wèn)等進(jìn)行實(shí)時(shí)監(jiān)控，并提供VPN服務(wù)，為用戶(hù)提供全面的保護(hù)。它構(gòu)建于Cisco PIX 安全設(shè)備系列的基礎(chǔ)之上，能夠提供內(nèi)部網(wǎng)到內(nèi)部網(wǎng)和遠(yuǎn)程接入到內(nèi)部?jī)煞N安全保護(hù)，可以防御互聯(lián)網(wǎng)中的病毒、間諜軟件的攻擊，并可阻止垃圾郵件和非法連接，在提供安全網(wǎng)絡(luò)環(huán)境的同時(shí)，

105、也提高了員工的工作效率，為公司創(chuàng)造更高的經(jīng)濟(jì)效益。</p><p>　　4.2 防火墻的基本配置</p><p>　　公司采用的是防火墻，它的初始配置也是通過(guò)控制端口（Console）與PC機(jī)的串口連接，再通過(guò)超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。也可以通過(guò)telnet和Tftp配置方式進(jìn)行高級(jí)配置，但必需先由Console將防火墻的這些功能打開(kāi)。</p>

106、<p>　　NETSCREEN防火墻有四種用戶(hù)配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode）。</p><p>　　命令行基本信息收集：</p><p>　　netscreen>get syst（得到系統(tǒng)信息）</p&g

107、t;<p>　　netscreen>get config（得到config信息）</p><p>　　netscreen>get log event（得到日志）</p><p>　　功能問(wèn)題需收集下列信息：</p><p>　　netscreen>set ffiliter（設(shè)置過(guò)濾器）</p><p>　　ne

108、tscreen>debug flow basic（是開(kāi)啟基本的debug功能）</p><p>　　netscreen>clear db（是清除debug的緩沖區(qū)）</p><p>　　netscreen>get dbuf stream（就可以看到debug的信息了）</p><p>　　性能問(wèn)題需收集下列信息：</p><p&

109、gt;　　netscreen>Get per cpu detail（得到CPU使用率）</p><p>　　netscreen>Get session info（得到會(huì)話(huà)信息）</p><p>　　netscreen>Get per session detail（得到會(huì)話(huà)詳細(xì)信息）</p><p>　　netscreen>Get mac-le