計算機網(wǎng)絡課程設計--構建企業(yè)級網(wǎng)絡方案

1、<p><b>　　計算機網(wǎng)絡課程設計</b></p><p><b>　　設計說明書</b></p><p><b>　　管理系</b></p><p>　　2010 年 6 月 30日</p><p>　題目：構建企業(yè)級網(wǎng)絡方案</p><p&

2、gt;<b>　　課程設計任務書</b></p><p>　　2009—2010學年第二學期</p><p>　　課程設計名稱： 計算機網(wǎng)絡課程設計 </p><p>　　設計題目： 構建企業(yè)級網(wǎng)絡方案 </p

3、><p>　　完成期限：自 2010 年 6 月 23 日至 2010 年 6 月 30 日共 1 周</p><p>　　設計依據(jù)、要求及主要內(nèi)容（可另加附頁）：</p><p>　　通過本課程設計，使學生可以了解計算機網(wǎng)絡工程設計的一般任務，明確計算機網(wǎng)絡設計與建設的基本原則，熟悉計算機網(wǎng)絡需求分析的目標、任務和方法，

4、掌握計算機網(wǎng)絡設計的通用方法，并能學會撰寫規(guī)范的計算機網(wǎng)絡方案書。培養(yǎng)學生綜合利用所學的理論知識分析解決實際問題的能力、利用和查閱資料的能力、獨立工作的能力以及計算機應用能力。</p><p>　　選擇一家中小規(guī)模的企事業(yè)單位（也可以是某學校的校園網(wǎng)），該單位在近期具有組網(wǎng)或升級網(wǎng)絡的需求。然后通過實地調查、現(xiàn)場訪談、書面調查等形式了解企業(yè)的組織結構、網(wǎng)絡建設的背景，明確網(wǎng)絡需求和網(wǎng)絡性能的評價標準。具體地，包括

5、網(wǎng)絡建設的目的與原則、投資規(guī)模、現(xiàn)有網(wǎng)絡的問題與不足等；網(wǎng)絡系統(tǒng)中所包含的信息點的數(shù)量分布及信息流量、應用程序的類型、是否需要提供廣域網(wǎng)的接入和網(wǎng)絡安全上的考慮因素等。</p><p>　　根據(jù)需求分析，要求以層次化的網(wǎng)絡設計方法，選擇合適的網(wǎng)絡技術，設計一個性能價格比相對優(yōu)化的網(wǎng)絡解決方案，該網(wǎng)絡要提供盡可能高的先進性、可靠性、有效性、可擴展性和可管理性。</p><p>　　指導教師（

6、簽字）： 教研室主任（簽字）： </p><p>　　批準日期： 年 月 日</p><p><b>　　目 錄</b></p><p>　　第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述4</p><p>　　第二章 企業(yè)內(nèi)網(wǎng)安全需求分析4</p&g

7、t;<p>　　第三章 企業(yè)內(nèi)網(wǎng)安全方案設計原則5</p><p>　　3.1安全體系結構5</p><p>　　3.2安全方案設計原則6</p><p>　　3.2.1需求、風險、代價平衡的原則6</p><p>　　3.2.2 綜合性、整體性原則6</p><p>　　3.2.3一致性原則

8、6</p><p>　　3.2.4 易操作性原則6</p><p>　　3.2.5 適應性、靈活性及多重保護原則6</p><p>　　第四章 內(nèi)網(wǎng)安全技術實現(xiàn)方案7</p><p><b>　　4.1物理安全7</b></p><p><b>　　4.2網(wǎng)絡安全8</b

9、></p><p>　　4.2.1 網(wǎng)絡結構安全8</p><p>　　4.2.2訪問控制9</p><p>　　4.2.3入侵檢測12</p><p>　　4.2.4病毒防護12</p><p>　　4.2.5數(shù)據(jù)備份與恢復12</p><p>　　4.3安全管理13<

10、/p><p>　　4.3.1.安全管理原則13</p><p>　　4.3.2.安全管理的實現(xiàn)14 </p><p>　　第五章 安全設備配置15</p><p>　　5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全拓撲圖15</p><p>　　5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全設備配置列表16</p><p><b&

11、gt;　　總結16</b></p><p><b>　　參考文獻17</b></p><p>　　第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述</p><p>　　企業(yè)內(nèi)網(wǎng)由于網(wǎng)絡建設時間比較早，網(wǎng)絡設備比較老，很多現(xiàn)在先進的網(wǎng)絡技術支持的不是很好，導致了結構的劃分上不是很清晰，但大致可以分為六個組成部分，即；核心骨干區(qū)、內(nèi)網(wǎng)用戶區(qū)、數(shù)據(jù)庫服務器區(qū)

12、、應用服務器區(qū)、WEB服務器區(qū)和軟件服務器區(qū)。核心骨干區(qū)由兩臺IBM8265三層交換機組成，其中一臺通過千兆光纖下聯(lián)到各種樓層交換機，形成了內(nèi)網(wǎng)用戶區(qū)；另外一臺通過155M光纖下聯(lián)到2810交換機，2810交換機通過100M以太接口與各類軟件服務器相聯(lián)形成了軟件服務器區(qū)；2810交換機通過一條100M以太線路連接到Catalyst3550交換機，Catalyst3550通過100M以太接口與各類WEB服務器相聯(lián)形成了WEB服務器區(qū)；IB

13、M8265通過一條100M以太線路連接到Catalyst3548交換機，Catalyst3548通過100M以太接口連接各類數(shù)據(jù)庫服務器，形成了數(shù)據(jù)庫服務器區(qū)；另外IBM8265通過100M以太接口直接連接各類應用服務器，形成了應用服務器區(qū)。所有的內(nèi)部數(shù)據(jù)都在核心層進行快速的交換/路由，以保證整個企業(yè)內(nèi)網(wǎng)高效、快捷、安全的運轉。</p><p>　　第二章 企業(yè)內(nèi)網(wǎng)安全需求分析</p><p&

14、gt;　　企業(yè)內(nèi)網(wǎng)為企業(yè)內(nèi)網(wǎng)系統(tǒng)業(yè)務的開展帶來了極大的方便?但隨著網(wǎng)絡應用的擴大和網(wǎng)絡設備的老化，網(wǎng)絡安全風險也變得更加嚴重和復雜，原來運轉正常的網(wǎng)絡現(xiàn)在經(jīng)常發(fā)生網(wǎng)絡故障，嚴重影響了內(nèi)部業(yè)務的開展?原來由單個計算機安全事故引起的損害可能傳播到其它系統(tǒng)和主機，引起大范圍的癱瘓和損失；另外，加上一些人缺乏安全控制機制和對網(wǎng)絡安全政策及防護意識的認識不足，這些風險可謂日益加重?這些風險由多種因素引起，與網(wǎng)絡系統(tǒng)結構和系統(tǒng)的應用等因素密切相關?

15、</p><p>　　在目前的網(wǎng)絡中已經(jīng)部署了一些安全產(chǎn)品，例如防病毒軟件、防火墻系統(tǒng)等?原來清華德實公司的四臺防火墻設備，在訪問控制方面已經(jīng)有了基本的防護功能，但設備的部署不是很合理，沒有充分發(fā)揮防火墻的訪問控制功能，只有小部分服務器得到了防火墻的保護，大部分服務器沒有任何防護措施，完全暴露在公開網(wǎng)絡中，其安全度可想而知?我們根據(jù)業(yè)務的需求重新劃分了新的網(wǎng)絡安全域，在核心交換機和數(shù)據(jù)庫安全域之間沒有任何的安全防

16、護，而這些數(shù)據(jù)又是網(wǎng)絡中的核心，一旦數(shù)據(jù)發(fā)生問題這個的業(yè)務都會受到影響，所以保護這些數(shù)據(jù)的安全是重中之重?因此為了保證企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)的安全、穩(wěn)定、高效的運轉，有必要對其網(wǎng)絡安全進行專門設計?</p><p>　　第三章 企業(yè)內(nèi)網(wǎng)安全方案設計原則</p><p><b>　　3.1安全體系結構</b></p><p>　　網(wǎng)絡安全的總體設計思想

17、是圍繞MPDR2模型的，要實現(xiàn)企業(yè)網(wǎng)絡系統(tǒng)的安全，就要從保護、檢測、響應、恢復及管理五個方面對縱向網(wǎng)信息系統(tǒng)建立一套全方位的信息保障體系。</p><p>　　P(Protection)：防護 D(Detection)：掃描、檢測 R(Response)：回應</p><p>　　R(Recovery)：恢復/備份 M(Management)：管理</p>

18、<p>　　保護；安全保護技術包括訪問控制技術、身份認證技術、加密技術、數(shù)字簽名技術、系統(tǒng)備份等?信息系統(tǒng)的保護是安全策略的核心內(nèi)容?</p><p>　　檢測；檢測的含義是對信息傳輸內(nèi)容的可控性的檢測，包括對信息平臺訪問過程的檢測，對違規(guī)與惡意攻擊的檢測，對系統(tǒng)與網(wǎng)絡弱點與漏洞的檢測等等?檢測使信息安全環(huán)境從單純的被動防護演進到積極防御，從概念化安全對策演變到在對整體安全狀態(tài)認知基礎上的有針對性的對

19、策，并為進行及時有效的安全響應以及更加精確的安全評估奠定了基礎?</p><p>　　回應；響應是保證在任何時候信息平臺能高效正常運行，要求安全體系提供有力的響應機制?包括在遇到攻擊和緊急事件時及時采取措施，例如關閉受到攻擊的服務器；反擊進行攻擊的網(wǎng)站；按系統(tǒng)的安全狀況加強和調整安全措施等等?</p><p>　　恢復；狹義的恢復指災難恢復，在系統(tǒng)受到攻擊的時候，評估系統(tǒng)受到的危害與損失，

20、按緊急響應預案進行數(shù)據(jù)與系統(tǒng)恢復，啟動備份系統(tǒng)恢復工作等?廣義的恢復還包括災難生存等現(xiàn)代新興學科的研究?保證信息系統(tǒng)在惡劣的條件下，甚至在遭到惡意攻擊的條件下，仍能有效地發(fā)揮效能?</p><p>　　管理；管理是實現(xiàn)整個網(wǎng)絡系統(tǒng)安全的重要保證，有了安全網(wǎng)絡環(huán)境，但缺乏有效的安全管理，安全就很難得以維持，只有建立嚴格安全管理制并強制執(zhí)行，才能適應網(wǎng)絡安全的動態(tài)性和整體性?</p><p>

21、　　網(wǎng)絡安全是一個整體目標?如果全面的保護仍然不能確保安全，就需要檢測來為響應創(chuàng)造條件；有效與充分地響應安全事件?將大大減少對保護和恢復的依賴；恢復能力是在其它措施均失效的情形下的最后保障機制?因此，要在網(wǎng)絡上構筑有效的安全保障體系，必須投入必要的資源，全面加強五個方面的技術與管理，實現(xiàn)整體網(wǎng)絡的安全目標?</p><p>　　3.2安全方案設計原則</p><p>　　在對企業(yè)內(nèi)網(wǎng)進行網(wǎng)

22、絡系統(tǒng)安全方案的設計和規(guī)劃時，我們遵循以下原則：</p><p>　　3.2.1需求、風險、代價平衡的原則</p><p>　　對任何一個網(wǎng)絡，絕對安全難以達到，也不一定是必要的?對一個網(wǎng)絡要進行實際的研究(包括任務、性能、結構、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定相應的規(guī)范和措施，確定系統(tǒng)的安全策略?</p><

23、p>　　3.2.2 綜合性、整體性原則</p><p>　　應運用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施?安全措施主要包括；行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)技術措施(訪問控制、加密技術、認證技術、攻擊檢測技術、容錯、防病毒等)?一個較好的安全措施往往是多種方法適當綜合的應用結果?</p><p>　　3.2.3一致性原則</p&g

24、t;<p>　　一致性原則主要是指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期(或生命周期)同時存在，制定的安全體系結構必須與網(wǎng)絡的安全需求相一致?安全的網(wǎng)絡系統(tǒng)設計(包括初步或詳細設計)及實施計劃、網(wǎng)絡驗證、驗收、運行等，都要有詳實的內(nèi)容及措施?實際上，在網(wǎng)絡建設的開始就考慮網(wǎng)絡安全對策，比在網(wǎng)絡建設完成后再考慮安全措施，不但容易，而且花費也少很多?</p><p>　　3.2.4 易操作性原則</p

25、><p>　　安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運行?</p><p>　　3.2.5 適應性、靈活性及多重保護原則</p><p>　　安全措施必須能隨著網(wǎng)絡性能及安全需求的變化而變化，要容易適應、容易修改和升級。</p><p>　　任何安全措施都不是絕對安全的，都可

26、能被攻破?但是建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全?</p><p>　　網(wǎng)絡安全是整體的、動態(tài)的?網(wǎng)絡安全的整體性是指一個安全系統(tǒng)的建立，即包括采用相應的安全設備，又包括相應的管理手段?安全設備不是指單一的某種安全設備，而是指幾種安全設備的綜合?網(wǎng)絡安全的動態(tài)性是指，網(wǎng)絡安全是隨著環(huán)境、時間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了(如更換了某個

27、機器)，原來安全的系統(tǒng)就變的不安全了；在一段時間里安全的系統(tǒng)，時間發(fā)生變化了(如今天是安全的系統(tǒng)，可能因為黑客發(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會變的不安全了)，原來的系統(tǒng)就會變的不安全?所以，網(wǎng)絡安全不是一勞永逸的事情?</p><p>　　對于企業(yè)內(nèi)網(wǎng)的網(wǎng)絡建設，我們的方案采取以上的原則，先對整個網(wǎng)絡進行整體的安全規(guī)劃，然后，根據(jù)實際狀況建立一個從防護—檢測—響應的基礎的安全防護體系，保證整個網(wǎng)絡安全的最根本需要?

28、</p><p>　　第四章 內(nèi)網(wǎng)安全技術實現(xiàn)方案</p><p>　　通過對企業(yè)內(nèi)網(wǎng)網(wǎng)絡應用的全面了解，根據(jù)企業(yè)內(nèi)網(wǎng)網(wǎng)絡的實際情況，按照安全風險、需求分析的結果以及網(wǎng)絡的安全目標，我們從物理安全、網(wǎng)絡安全、管理安全等幾個方面對現(xiàn)有的網(wǎng)絡進行分析。</p><p><b>　　4.1物理安全</b></p><p>　　

29、保證計算機信息系統(tǒng)各種設備的物理安全是保障整個企業(yè)內(nèi)網(wǎng)網(wǎng)絡系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡設備、設施以及其它媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：</p><p>　　環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；（參見國家標準GB50173-93《電子計算機機房設計規(guī)范》、國標GB2887-89《計算站場地技術條件》、

30、GB9361-88《計算站場地安全要求》）</p><p>　　設備安全；主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；通過嚴格管理及提高員工的整體安全意識來實現(xiàn)?</p><p>　　媒體安全；包括媒體數(shù)據(jù)的安全及媒體本身的安全?</p><p>　　顯然，為保證信息網(wǎng)絡系統(tǒng)的物理安全，除在網(wǎng)絡規(guī)劃和場地、環(huán)境等要求之外，還要

31、防止系統(tǒng)信息在空間的擴散?計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示給計算機系統(tǒng)信息的保密工作帶來了極大的危害?為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上探取一定的防護措施，來減少或干擾擴散出去的空間信號?政府、軍隊、金融機構在建設信息中心時都將成為首要設置的條件?</p><p>　　正常的防范措施主要在三個方面；

32、</p><p>　　1、對主機房及重要信息存儲、收發(fā)部門進行屏蔽處理， 即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等?</p><p>　　2、對本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制，由于

33、電纜傳輸輻射信息的不可避免性，現(xiàn)均采光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來的設備用光電轉換接口，用光纜接出屏蔽室外進行傳輸?</p><p>　　3、對終端設備輻射的防范，終端機尤其是CRT顯示器，由于上萬伏高壓電子流的作用，輻射有極強的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設備上盡量選取低輻射產(chǎn)品外，目前主要采取主動式的干擾設備如干擾機來破壞對應信息的竊取，個別重要的

34、首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，這種方法雖降低了部份屏蔽效能，但可大大改善工作環(huán)境，使人感到在普通機房內(nèi)一樣工作?</p><p>　　本方案暫不考慮這方面的安全?</p><p><b>　　4.2網(wǎng)絡安全</b></p><p>　　網(wǎng)絡安全主要涉及網(wǎng)絡結構的安全和網(wǎng)絡系統(tǒng)的安全?網(wǎng)絡結構安全涉及網(wǎng)絡結構的合理性和可擴展性

35、，網(wǎng)絡系統(tǒng)的安全涉及到很多內(nèi)容，根據(jù)用戶的實際情況本方案中只涉及了訪問控制、入侵檢測、病毒防護、數(shù)據(jù)的備份等，由于用戶網(wǎng)絡中已經(jīng)有了病毒防護和數(shù)據(jù)的備份防護措施，所以下面的描述只涉及到了訪問控制和入侵檢測技術?</p><p>　　4.2.1 網(wǎng)絡結構安全</p><p>　　在網(wǎng)絡結構的安全方面，主要考慮優(yōu)化網(wǎng)絡結構、路由的優(yōu)化和可擴展性?</p><p>　　網(wǎng)

36、絡結構的建立要考慮地域環(huán)境、現(xiàn)有線路狀況、設備配置與應用情況、通信量的估算、網(wǎng)絡維護管理、網(wǎng)絡應用與業(yè)務定位等因素?成熟的網(wǎng)絡結構應具有開放性、標準化、可靠性、先進性和實用性，并且應該有結構化的設計，充分利用現(xiàn)有資源，具有運營維護管理的簡便性，完善的安全保障體系?網(wǎng)絡結構采用分層的體系結構，利于維護管理，利于更高的安全控制和業(yè)務發(fā)展?</p><p>　　網(wǎng)絡結構的優(yōu)化，在網(wǎng)絡拓撲上主要考慮冗余鏈路、冗余路由，動

37、態(tài)路由協(xié)議的安全認證，專用網(wǎng)管鏈路等；在企業(yè)網(wǎng)絡的建設中我們方案在核心采用2臺高端3層交換機，采用HSRP技術互為備份，實現(xiàn)備份與負載功能；采用VLAN技術，將網(wǎng)絡根據(jù)業(yè)務關系劃分為若干個強度不同安全域，減少網(wǎng)絡廣播數(shù)據(jù)包，減少數(shù)據(jù)沖突，提高帶寬利用率，保障網(wǎng)絡安全、穩(wěn)定運轉；在接入層交換機到核心層交換機之間采用雙鏈路(STP技術)，保障接入層到核心層的實時暢通；采用QOS技術來保障關鍵應用有可靠的帶寬?</p><

38、p>　　路由的優(yōu)化，主要涉及到以下幾個方面；防止單點失??；隔離路由波動；消除循環(huán)路由；較小的時延；使用路由認證，保證動態(tài)路由的安全；在企業(yè)網(wǎng)絡的建設中我們方案采用浮動靜態(tài)路由、動態(tài)路由、策略路由的方式實現(xiàn)路由的冗余備份?</p><p>　　可擴展性，網(wǎng)絡發(fā)展極為迅速，用戶需求也在不斷提高，當為擴展業(yè)務范圍而增加設備時，能夠方便、有效地接入，不至于因網(wǎng)絡結構的局限性，而重新調整網(wǎng)絡設備，由此而帶來不安全因素

39、；在在企業(yè)網(wǎng)絡的安全建設中我們方案采用成熟的網(wǎng)絡技術來構建這個網(wǎng)絡基礎設施，例如采用802.3技術，也就是目前普遍使用的以太網(wǎng)技術?</p><p>　　根據(jù)網(wǎng)絡目前的實際情況，現(xiàn)有的網(wǎng)絡結構仍然保持不變，在下一次網(wǎng)絡改造中主要遵循這個原則就可以了?</p><p><b>　　4.2.2訪問控制</b></p><p>　　企業(yè)網(wǎng)絡系統(tǒng)的訪問

40、控制可以通過配備訪問控制設備來實現(xiàn)?</p><p>　　對于內(nèi)部網(wǎng)絡，根據(jù)用戶實際的業(yè)務數(shù)據(jù)流向和我們對網(wǎng)絡安全的理解與經(jīng)驗，我們重新劃分了不同強度的網(wǎng)絡安全域?要實現(xiàn)不同安全域之間的訪問控制，在實現(xiàn)高效的訪問控制的同時，又要保證內(nèi)網(wǎng)中關鍵的業(yè)務數(shù)據(jù)可以正常通過防火墻設備?通過配置安全的訪問控制策略可以過濾進、出防火墻的數(shù)據(jù)包；管理進、出網(wǎng)絡的訪問行為；封堵某些禁止的訪問；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡

41、攻擊的檢測和告警?</p><p>　　根據(jù)需要我們重新劃分了七個網(wǎng)絡安全域，在不同的安全域之間分別放置了防火墻設備，設備的部署情況描述如下：</p><p>　　1、根據(jù)內(nèi)網(wǎng)業(yè)務數(shù)據(jù)的實際情況，我們在核心交換機和CATALYST3500之間部署一臺天融信公司的NGFW4000-E防火墻產(chǎn)品，以保障所有對安全域一中的數(shù)據(jù)庫進行調用時長連接的正常轉發(fā)，不會因為防火墻的原因造成數(shù)據(jù)調用的失敗，

42、從而影響正常的業(yè)務應用?</p><p>　　2、由于網(wǎng)絡視頻、視頻會議、網(wǎng)絡電話等應用對防火墻的要求很高，不斷要求防火墻能夠對H.323、MMS、RTSP、NETMeeting、SIP等協(xié)議有很好的支持，并且對防火墻的轉發(fā)率、對數(shù)據(jù)的延遲、丟包率以及對突發(fā)數(shù)據(jù)的處理能力都有嚴格的要求，因此在單獨部署了一臺清華德實公司的防火墻產(chǎn)品，以滿足業(yè)務對防火墻的這種高要求的需要?</p><p>　

43、　3、在安全域二和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?</p><p>　　4、在安全域三中部署了很多常見應用服務器，包括WEB服務器、郵件服務器、DNS服務器等，這些服務器對網(wǎng)絡的穩(wěn)定性、轉發(fā)速率和安全性有非常高的要求，一旦這些服務器出現(xiàn)問題整個辦公系統(tǒng)將會癱瘓，嚴重影響辦公效率，因此在安全域三和核心交換機之間部署一臺天融信公司的NGFW4

44、000防火墻，并且在郵件服務器的前端部署冠群金辰公司的KSG防病毒過濾網(wǎng)關，以滿足基本的訪問控制的要求和系統(tǒng)對網(wǎng)絡的穩(wěn)定性、轉發(fā)速率和安全性的高要求? 5、安全域四是內(nèi)部終端用戶區(qū)，分部在各個樓層，并且鏈路是光纖接口，如果部署防火墻系統(tǒng)，一是設備數(shù)量很多，二是光纖設備非常昂貴，這樣部署防火墻設備的造價很高，大量的投入也并不能提高網(wǎng)絡的安全狀況，但我們可以在連接終端用戶的三層交換機端口上進行簡單的訪問控制，滿足基本的訪問控制要求?

45、能否實現(xiàn)這個功能要看三層交換機的功能。</p><p>　　6、在安全域五和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?</p><p>　　7、在安全域六和核心交換機之間部署一臺清華德實公司的防火墻，這樣不僅能夠保護原有的設備投資，也能夠滿足基本的訪問控制的要求?</p><p>　　天融信防火墻NG

46、FW4000在保證高可用性和高可靠性的同時還在以下幾個方面起著重要的作用：</p><p>　　1. 通過防火墻的規(guī)則設置隔離了數(shù)據(jù)庫安全域與其它安全域，實現(xiàn)了保護關鍵業(yè)務的應用、控制對服務器的訪問、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫安全域的全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設置成相應的保護級別，以保證系統(tǒng)的安全?</p><p>　　2. 過濾

47、網(wǎng)絡中不必要傳輸?shù)臒o用數(shù)據(jù)?防火墻是一種網(wǎng)關型的設備，各個區(qū)域之間的通信，可以通過防火墻的添加規(guī)則策略保障，如果在防火墻上添加一些有關重要應用的策略，就可以過濾掉部分無用的信息，只要網(wǎng)絡中傳輸必要的應用數(shù)據(jù)，比如封閉目前常見的蠕蟲病毒使用的端口?</p><p>　　3. 防火墻具有流量控制的特性，可以依據(jù)應用來限制流量，來調整鏈路的帶寬利用，如：在網(wǎng)絡中，有數(shù)據(jù)庫調用應用、域登陸應用等等，可以在防火墻中直接加載

48、控制策略，使數(shù)據(jù)庫調用應用、域登陸應用按照預定的帶寬進行數(shù)據(jù)交換?實現(xiàn)流量控制，調整鏈路帶寬利用的功能?</p><p>　　4. 在天融信防火墻上還可以防止惡意的內(nèi)部員工通過網(wǎng)絡對數(shù)據(jù)庫安全域的服務器TCP/UDP端口進行非法掃描，消除系統(tǒng)安全的隱患?可防止惡意的內(nèi)部員工通過網(wǎng)絡對數(shù)據(jù)庫安全域的服務器進行源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務攻擊等多種攻擊?天融信

49、防火墻提供入侵檢測的功能，當發(fā)現(xiàn)重要服務器被攻擊時，防火墻將自動報警并根據(jù)策略進行響應?</p><p>　　5. 對于防火墻自身來說，日志的導出、日志服務器的安裝，可使得通過防火墻的數(shù)據(jù)訪問加以統(tǒng)計，為優(yōu)化網(wǎng)絡提供必要的數(shù)據(jù)，日志服務器可以完成，每個不同的源訪問的流量統(tǒng)計，可以了解到每個源的流量是否在正常范圍內(nèi)，等等?這樣的數(shù)據(jù)對于網(wǎng)絡安全是十分重要的?</p><p>　　6. 防火墻

50、提供應用級透明代理，可以對高層應用(HTTP、FTP、SMTP、POP3、NNTP)做了更詳細控制，如HTTP命令(GET，POST，HEAD)及URL，F(xiàn)TP命令(GEI，PUT)及文件控制，也就是說，在的網(wǎng)絡中當通過防火墻對數(shù)據(jù)庫安全域進行訪問時，可在應用層上做更詳細的訪問控制?</p><p>　　7. 通過在數(shù)據(jù)庫安全域添加入侵檢測系統(tǒng)，保證入侵檢測系統(tǒng)與防火墻產(chǎn)生聯(lián)動?當網(wǎng)絡中發(fā)生攻擊時，向防火墻發(fā)送策

51、略，將攻擊行為進行過濾，使攻擊行為的數(shù)據(jù)無法到達目的主機，實際上是斬斷了攻擊的路徑?如此往復，可以提供大量時間來追測攻擊源，采取相應措施?全面的聯(lián)動延長了安全管理的觸角，增加了安全管理的手段，加大了安全管理的強度?</p><p>　　4.2.3入侵檢測 </p><p>　　防火墻的主要功能是對進出防火墻的數(shù)據(jù)進行訪問控制，防火墻無法阻止由于防火墻配置有誤或者繞過防火墻而進入網(wǎng)絡的非法數(shù)

52、據(jù)?數(shù)據(jù)一旦通過防火墻進入網(wǎng)絡后，如果操作系統(tǒng)或者應用系統(tǒng)本身存在漏洞，由于防火墻系統(tǒng)是一個靜態(tài)、被動的設備，這時候就無能為力了，入侵檢測系統(tǒng)作為防火墻的一個有益補充，完全可以勝任此工作?入侵檢測是根據(jù)已有的、最新的攻擊手段的信息代碼對進出各個安區(qū)域的所有操作進行主動的實時監(jiān)控、審查，并按制定的策略實行響應(阻斷、報警、發(fā)送E-mail)，同時進行日志記錄，并且入侵檢測系統(tǒng)的動態(tài)防御還能實現(xiàn)入侵檢測系統(tǒng)和防火墻及其它特定網(wǎng)絡安全系統(tǒng)之間

53、的互動(如路由器)，動態(tài)的保護網(wǎng)絡不受惡意的入侵及來自于內(nèi)部的攻擊?根據(jù)企業(yè)內(nèi)網(wǎng)的實際網(wǎng)絡環(huán)境以及應用情況，我們方案目前只在數(shù)據(jù)庫安全域部署一套入侵檢測系統(tǒng)，以后可以根據(jù)業(yè)務的重要程度在需要的安全域添加入侵檢測系統(tǒng)，以實現(xiàn)對數(shù)據(jù)進行主動的實時監(jiān)控、審查，以發(fā)現(xiàn)違規(guī)行為，并對違規(guī)行為進行處理(報警、阻斷、與防火墻進行聯(lián)動等)?管理員也可以定期的生產(chǎn)各種報表，根據(jù)報表及時的調整安全策略，完善網(wǎng)絡中存在的安全問題。</p>&l

54、t;p><b>　　4.2.4病毒防護</b></p><p>　　目前企業(yè)內(nèi)網(wǎng)已經(jīng)部署了一套完整的防病毒解決系統(tǒng)，包括客戶端防病毒、服務器防病毒、群件系統(tǒng)防病毒、網(wǎng)關防病毒系統(tǒng)以及統(tǒng)一的升級、管理、監(jiān)控，但面對日益猖狂的病毒，特別是蠕蟲型的病毒，單靠一套完整的防病毒系統(tǒng)已經(jīng)難以解決問題?一套優(yōu)秀的防病毒解決方案不但要有一套完整的技術解決方案，還要有一個勤奮努力的網(wǎng)絡管理員和嚴格的管理

55、制度?</p><p>　　4.2.5數(shù)據(jù)備份與恢復</p><p>　　備份系統(tǒng)為一個目的而存在：存檔備份；當需要時，盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息?根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場地內(nèi)高速、高容量自動的數(shù)據(jù)存儲、備份與恢復，場地外的數(shù)據(jù)存儲、備份與恢復；對系統(tǒng)設備的備份?備份不僅在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網(wǎng)絡攻擊破壞

56、數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一?</p><p>　　一般的數(shù)據(jù)備份操作有三種?一是全盤備份，即將所有文件寫入備份介質；二是增量備份，只備份那些上次備份之后更改過的文件，是最有效的備份方法；三是差量備份，備份上次全盤備份之后更改過的所有文件，其優(yōu)點是只需兩組磁帶就可恢復最后一次全盤備份的磁帶和最后一次差分備份的磁帶?</p><p>　　在進行備份的過程中，常使用

57、備份軟件，它一般應具有以下功能?備份數(shù)據(jù)的完整性，并具有對備份介質的管理能力；支持多種備份方式，可以定時自動備份，還可設置備份自動啟動和停止日期；支持多種文件格式的備份；支持多種校驗手段(如字節(jié)校驗、CRC循環(huán)冗余校驗、快速磁帶掃描)，以保證備份的正確性；提供聯(lián)機數(shù)據(jù)備份功能；支持RAID容錯技術和圖像備份功能?</p><p>　　在企業(yè)網(wǎng)絡系統(tǒng)中，已經(jīng)根據(jù)自己實際的業(yè)務需求建立了比較完善的備份及恢復系統(tǒng)。&l

58、t;/p><p><b>　　·4.3 安全管理</b></p><p>　　面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡的安全管理規(guī)范的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡安全所必須考慮的基本問題，所以應引起各計算機網(wǎng)絡應用部門領導的重視?</p>

59、;<p>　　安全管理可以通過相應的規(guī)章制度來實現(xiàn)?</p><p>　　制訂完善的管理制度，包括：機房安全管理制度，安全設施系統(tǒng)操作制度，網(wǎng)絡、系統(tǒng)安全操作規(guī)程，數(shù)據(jù)備份制度，普通用戶操作規(guī)范等?</p><p>　　4.3.1.安全管理原則</p><p>　　網(wǎng)絡信息系統(tǒng)的安全管理主要基于三個原則?</p><p><

60、;b>　　1、多人負責原則</b></p><p>　　每一項與安全有關的活動，都必須有兩人或多人在場?這些人應是系統(tǒng)主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障?</p><p>　　以下各項是與安全有關的活動：</p><p>　?。?）訪問控制使用證件的發(fā)放與回收；</p>&l

61、t;p>　?。?）信息處理系統(tǒng)使用的媒介發(fā)放與回收；</p><p>　?。?）處理保密信息；</p><p>　　（4）硬件和軟件的維護；</p><p>　?。?）系統(tǒng)軟件的設計、實現(xiàn)和修改；</p><p>　?。?）重要程序和數(shù)據(jù)的刪除和銷毀等；</p><p><b>　　2、任期有限原則&l

62、t;/b></p><p>　　一般地講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的?為遵循任期有限原則，工作人員應不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓，以使任期有限制度切實可行?</p><p><b>　　3、職責分離原則</b></p><p>　　在信息處理系統(tǒng)工作的

63、人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非系統(tǒng)主管領導批準?</p><p>　　出于對安全的考慮，下面每組內(nèi)的兩項信息處理工作應當分開?</p><p>　　計算機操作與計算機編程；</p><p>　　機密資料的接收和傳送；</p><p>　　安全管理和系統(tǒng)管理；</p><p>　　應用程序和

64、系統(tǒng)程序的編制；</p><p>　　訪問證件的管理與其它工作；</p><p>　　計算機操作與信息處理系統(tǒng)使用媒介的保管等?</p><p>　　4.3.2.安全管理的實現(xiàn)</p><p>　　信息系統(tǒng)的安全管理部門應根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應的管理制度或采用相應的規(guī)范?具體工作是；</p><p&

65、gt;　　1、根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級 ?</p><p>　　根據(jù)確定的安全等級，確定安全管理的范圍?</p><p>　　2、制訂相應的機房出入管理制度</p><p>　　對于安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關的區(qū)域。出入管理可采用證件識別或安裝自動識別登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行識別、登記管理?&

66、lt;/p><p>　　3、制訂嚴格的操作規(guī)程</p><p>　　操作規(guī)程要根據(jù)職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍?</p><p>　　4、制訂完備的系統(tǒng)維護制度</p><p>　　對系統(tǒng)進行維護時，應采取數(shù)據(jù)保護措施，如數(shù)據(jù)備份等?維護時要首先經(jīng)主管部門批準，并有安全管理人員在場，故障的原因、維護內(nèi)容和維護前后的情

67、況要詳細記錄?</p><p><b>　　5、制訂應急措施</b></p><p>　　要制訂系統(tǒng)在緊急情況下，如何盡快恢復的應急措施，使損失減至最小?建立人員雇用和解聘制度，對工作調動和離職人員要及時調整相應的授權?</p><p>　　第五章 安全設備配置</p><p>　　上面列出了我們對企業(yè)內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡安全措

68、施的總體原則，下面結合具體網(wǎng)絡結構情況，就安全設備的配置和相應的安全策略做一描述?</p><p>　　5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全拓撲圖</p><p><b>　　網(wǎng)絡連接見下圖：</b></p><p>　　圖5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全設備配置圖</p><p>　　5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全設備配置列表</p>

69、<p>　　企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全設備配置見下表：</p><p>　　表5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡安全配置表</p><p><b>　　總結</b></p><p>　　我們已經(jīng)踏入了飛速發(fā)展的信息工程時代，時代要求我們要加強自身的各項專業(yè)能力，以應付我們即將踏入的社會所給予我們的考驗和鍛煉。通過完成本次的課程設計，自身能力有所長進，很多學

70、習的理論知識終于有所實現(xiàn)，解決問題思路也變得更加清晰了，面對問題也更加有邏輯性了。在設計過程中，也遇到了很多的困難，要想將課程設計做得更加完善，還得真下上一番功夫。所鍛煉的不只是我們學到的知識和技能，更重要的是鍛煉了我們的實際動手操作能力和應付各種困難的應變能力。</p><p>　　此外，在本次的課程設計中，對網(wǎng)絡中相關知識理論方面的理解也更進一步的加深了，讓我懂得規(guī)劃一個企業(yè)網(wǎng)絡需要具備豐富的網(wǎng)絡知識和經(jīng)驗，

71、使我初步了解了構建一個企業(yè)網(wǎng)絡的設計流程與步驟，與此同時，在準備此次的課程設計的過程中，也更好的拓展了自已的知識面，掌握了很多更好的學習方法，相信這便是此次課程設計中最大的收獲。</p><p><b>　　參考文獻</b></p><p>　　[1]謝希仁.計算機網(wǎng)絡教程.北京：人民郵電出版社，2006.</p><p>　　[2]Peter