路由交換方向畢業(yè)論文

1、<p><b>　　?？粕厴I(yè)設計 </b></p><p>　　網(wǎng) 絡 工 程 </p><p><b>　　路由交換方向</b></p><p>　　院 系　軟件學院</p><p>　　專 業(yè)　網(wǎng)絡技術</p><p>　　班

2、 級　09網(wǎng)絡技術2班</p><p>　　2011年 5 月</p><p><b>　　獨 創(chuàng) 性 聲 明</b></p><p>　　本人鄭重聲明：所呈交的畢業(yè)論文（設計）是本人在指導老師指導下取得的研究成果。除了文中特別加以注釋和致謝的地方外，論文（設計）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果。與本研究成果相關的所有人

3、所做出的任何貢獻均已在論文（設計）中作了明確的說明并表示了謝意。</p><p>　　簽名： 　</p><p><b>　　年　　月　　日</b></p><p><b>　　授權(quán)聲明</b></p><p>　　本人完全了解許昌學院有關保留、使用本科生畢業(yè)論文（設計）

4、的規(guī)定，即：有權(quán)保留并向國家有關部門或機構(gòu)送交畢業(yè)論文（設計）的復印件和磁盤，允許畢業(yè)論文（設計）被查閱和借閱。本人授權(quán)許昌學院可以將畢業(yè)論文（設計）的全部或部分內(nèi)容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存、匯編論文（設計）。</p><p>　　本人論文（設計）中有原創(chuàng)性數(shù)據(jù)需要保密的部分為：　　。</p><p>　　簽名： </p&g

5、t;<p><b>　　年　　月　　日</b></p><p>　　指導教師簽名： </p><p><b>　　年　　月　　日</b></p><p><b>　　摘 要</b></p><p>　　  

6、60; 網(wǎng)絡技術的飛速發(fā)展標志著一個新的時代——網(wǎng)絡時代的來臨。網(wǎng)絡技術引發(fā)的全球信息化浪潮沖擊著傳統(tǒng)社會生活的每一個角落，網(wǎng)絡化、數(shù)據(jù)化、知識化已成為時代的主旋率。網(wǎng)絡時代整個社會經(jīng)濟的產(chǎn)生結(jié)構(gòu)和勞動結(jié)構(gòu)發(fā)生了改變，整個社會經(jīng)濟成為了與電子商務緊密相連的網(wǎng)絡經(jīng)濟。這種全球化的、高速度、低成本、數(shù)據(jù)安全性、虛擬化的，不斷創(chuàng)新的經(jīng)濟模型改變了傳統(tǒng)的企業(yè)管理模式、經(jīng)營模式和會計模式。滿足了企業(yè)發(fā)展的需要。</p><

7、;p>　　關鍵詞：網(wǎng)絡技術；信息化；數(shù)據(jù)化；安全性；</p><p><b>　　ABSTRACT</b></p><p>　　The rapid development of network technology marks a new era -- the advent of the Internet age. Network technology trig

8、ger global informationization wave hitting the traditional social life's each quoin, network, digital, knowledge has become the main spin rate era. The whole economy in network era of produce structure and labor stru

9、cture changed, the whole economy became and e-commerce connected network economy. This kind of globalization, high speed, low cost, the data security, virtualization,</p><p>　　Keywords: Internet Technology i

10、nformatization digitization safety</p><p><b>　　目 錄</b></p><p>　　第1章 引 言………………………………………………………………………………1</p><p>　　第2章 項目需求分析……………………………………………………………………1</p><p

11、>　　2.1 項目背景………………………………………………………………………………1</p><p>　　2.2 需求分析………………………………………………………………………………1</p><p>　　第3章 項目需求分析……………………………………………………………………2</p><p>　　3.1 網(wǎng)絡建設目標……………………………………………………

12、……………………2</p><p>　　3.2 網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求…………………………………………………………3</p><p>　　3.3 網(wǎng)絡設計原則…………………………………………………………………………3</p><p>　　第4章 網(wǎng)絡建設方案……………………………………………………………………4</p><p>　　4.1

13、網(wǎng)絡總體拓撲圖………………………………………………………………………4</p><p>　　4.2 網(wǎng)絡層次化設計………………………………………………………………………5</p><p>　　4.2.1 核心層 ……………………………………………………………………………6</p><p>　　4.2.2 匯聚層 ………………………………………………………………………

14、……6</p><p>　　4.2.3 接入層 ……………………………………………………………………………6</p><p>　　路由設計…………………………………………………………………………7</p><p>　　5.1 路由協(xié)議選擇…………………………………………………………………………7</p><p>　　5.2 路由規(guī)劃拓撲圖……

15、…………………………………………………………………8</p><p>　　5.3 ip地址規(guī)劃…………………………………………………………………… ……8</p><p>　　5.3.1 ip地址分配表……………………………………………………………………9</p><p>　　網(wǎng)絡安全解決方案……………………………………………………………11</p>

16、<p>　　6.1 網(wǎng)絡邊界安全威脅分析…………………………………………………………… 11</p><p>　　6.2 網(wǎng)絡內(nèi)部安全威脅分析…………………………………………………………… 11</p><p>　　6.3 安全產(chǎn)品選型原則………………………………………………………………… 12</p><p>　　第七章 網(wǎng)絡常用內(nèi)網(wǎng)技術介紹………………

17、…………………………………… 12</p><p>　　7.1 熱備份路由協(xié)議HSRP………………………………………………………………12</p><p>　　7.2 VLAN技術……………………………………………………………………………13</p><p>　　7.3 Trunk技術…………………………………………………………………………14</p>

18、<p>　　7.4 VTP技術… …………………………………………………………………………15</p><p>　　7.5 Spanning-Tree協(xié)議………………………………………………………………16</p><p>　　7.6 Etherchannel技術…………………………………………………………………16</p><p>　　7.7 靜態(tài)路由

19、……………………………………………………………………………17</p><p>　　7.8 dhcp技術……………………………………………………………………………17</p><p>　　第八章 網(wǎng)絡常用外網(wǎng)技術介紹………………………………………………………17</p><p>　　8.1 PIX防火墻技術………………………………………………………………………17

20、 8.2 DMZ技術………………………………………………………………………………17</p><p>　　8.3 ACL技術………………………………………………………………………………18 8.4 VPN技術………………………………………………………………………………19</p><p>　　8.5 漫游用戶………………………………………………………………………………19</p

21、><p>　　8.6 內(nèi)網(wǎng)間及遠程訪問……………………………………………………………………20</p><p>　　8.7 nat技術………………………………………………………………………………20</p><p>　　產(chǎn)品簡介…………………………………………………………………………21</p><p>　　9.1 路由交換設備………………………

22、…………………………………………………21</p><p>　　9.2 辦公設備………………………………………………………………………………26</p><p>　　9.3 安全設備………………………………………………………………………………36</p><p>　　結(jié)束語（正文標題，用四號黑體，加粗，下同）…………………………………………44</p>

23、<p>　　參考文獻……………………………………………………… ……………………………45</p><p>　　致 謝……………………………………………………………… …………………………46</p><p><b>　　第1章 引 言</b></p><p>　　隨著科學技術的發(fā)展日新月異，九十年代，在計算機技術和通信技術結(jié)合下

24、，網(wǎng)絡技術得到了飛速的發(fā)展。如今，不僅計算機已經(jīng)和網(wǎng)絡緊密結(jié)合，整個社會都不可能脫離網(wǎng)絡而存在。網(wǎng)絡技術已經(jīng)成為現(xiàn)代信息技術的主流，人們對網(wǎng)絡的認識也隨著網(wǎng)絡應用的逐漸普及而迅速改變。在不久的將來，網(wǎng)絡必將成為和電話一樣通用的工具，成為人們生活、工作、學習中必不可少的一部分。</p><p>　　網(wǎng)絡對于制造業(yè)的發(fā)展也起到了不可忽視的作用，形成了用信息技術來提升企業(yè)的市場分析、銷售、計劃、倉儲能力，通過先進使用的

25、高速交換網(wǎng)構(gòu)筑信息通訊平臺的局面。</p><p>　　第2章 項目需求分析</p><p><b>　　2.1 項目背景</b></p><p>　　該公司是一家即將成立的一家制造工廠，網(wǎng)絡平臺建設為北京總部，外設有五個分部，分別設置在廣州、天津、上海、西安和浙江。總部設計用戶節(jié)點數(shù)為1000，每個分部地為10-50個用戶。需要“建立一個設計

26、規(guī)范、功能完備、性能優(yōu)良、安全可靠、技術先進和實用性、兼容性、冗余、容錯性、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。</p><p><b>　　2.2 需求分析</b></p><p>　　本次項目的網(wǎng)絡設計是以北京公司為中心，進而構(gòu)建與廣州、天津、上海、西安和浙江五大分公司之間的

27、網(wǎng)絡。構(gòu)建過程中需要設計網(wǎng)絡架構(gòu)、IP地址架構(gòu)、系統(tǒng)架構(gòu)。其中，是以北京總部為數(shù)據(jù)中心，核心交換區(qū)，交易所接入等。網(wǎng)絡之間信息的傳送均是有總部發(fā)起的。數(shù)據(jù)中心作為網(wǎng)絡互通的存放地，其性能、穩(wěn)定性、安全性、可靠性的要求最高，因此我們在設計的時候，應該考慮到這些要求。應采用性能高的設備。而核心交換區(qū)的功能是高速可靠地交換數(shù)據(jù)，因此該部分的設計應考慮性能和可靠性的平衡。交易所接入作為外聯(lián)單位接入?yún)^(qū)域，其安全性應該是放在第一位，同時，網(wǎng)絡互通離

28、不開交易所的連接，</p><p>　　因此也應該考慮冗余性。</p><p>　　公司總部和分公司的內(nèi)部網(wǎng)絡作為內(nèi)部互聯(lián)單位，可信度較高，因此其內(nèi)部網(wǎng)絡的可用性是首先考慮的因素。在內(nèi)部信息傳送的同時，為保證信息的安全性，我們應該在設計網(wǎng)絡的時候，考慮信息的備份問題，避免單點故障的出現(xiàn)。</p><p>　　各個分公司均通過VPN隧道訪問北京總部，承載IP語音電話流

29、量，實現(xiàn)分部與總部互相撥打網(wǎng)絡電話，降低總部與分部電話通訊成本。大大增強了網(wǎng)絡的穩(wěn)定性和高速性。</p><p>　　北京總部外部網(wǎng)絡與外網(wǎng)連接時，需要考慮其可訪問性。INTERNET用戶接入，需要考慮安全性 和冗余性。當前的網(wǎng)絡管理范疇比較廣，包括設備管理、資源管理、故障管理、性能管理、安全管理等。在網(wǎng)絡規(guī)模相對較大的時候，合適的網(wǎng)絡系統(tǒng)可以幫助用戶方便管理網(wǎng)絡內(nèi)的設備及運行情況，以提高網(wǎng)絡的運行效率。在系統(tǒng)管

30、理平臺中由于面臨著大量的使用用戶，外界每天都會與總部之間都會產(chǎn)生大量的數(shù)據(jù)通信，這就要求外界與總部之間有一條高數(shù)的鏈路，保證外界與總部通信的高速可靠性和可行性。同時要采取各種措施保證內(nèi)網(wǎng)和各臺服務器的安全。對此我們可以通過拉光纖增加帶寬和購買先進的路由設備來滿足巨大的吞吐量處理時間，減少延時率。</p><p><b>　　網(wǎng)絡總體建設目標</b></p><p>　

31、　3.1 網(wǎng)絡建設目標</p><p>　　1、北京總部內(nèi)有大型服務器提供服務，外接分支機網(wǎng)絡平臺</p><p>　　2、要求這些分布用戶和總部之間能夠高速連接并且保證與總部通信的可靠性和可行性。</p><p>　　3、同時要求總部內(nèi)部安全機制能夠提高。保證內(nèi)網(wǎng)安全同時保證各臺服務器的安全。</p><p>　　4、要求計算機網(wǎng)絡系統(tǒng)滿足

32、系統(tǒng)集成的網(wǎng)絡平臺需求可用性、安全性、可靠性和可擴展性，網(wǎng)絡系統(tǒng)不間斷，選購符合分支機構(gòu)及中心機房需求的高性價的網(wǎng)絡設備，采用三層網(wǎng)絡結(jié)構(gòu)，來實現(xiàn)網(wǎng)絡安全的需求。</p><p>　　5、網(wǎng)絡設備主要以核心交換區(qū)設備為主。并考慮對設備投資保護，保證未來幾年的系統(tǒng)擴展，組建一個高效、穩(wěn)定、可靠、易管理、安全的企業(yè)網(wǎng)。</p><p>　　3.2 網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求</p>

33、<p>　　根據(jù)該公司中心機房的網(wǎng)絡情況，我們把整個網(wǎng)絡分為內(nèi)部網(wǎng)絡交換網(wǎng)絡設計、網(wǎng)絡出口設計、網(wǎng)絡安全 設計三部分。保證設計和實現(xiàn)上的標準化、功能框架的模塊化、充分考慮網(wǎng)絡的兼容性、整體方案的開放性、擴展性和再開發(fā)性，同時還應具備穩(wěn)定、可靠、速度快等特點。</p><p>　　北京總部數(shù)據(jù)中心網(wǎng)絡平臺承載著該公司所有的關鍵核心業(yè)務。設計時，保證中心機房網(wǎng)絡的高可用性和穩(wěn)定性至關重要。而北京總部用FT

34、P、MAIL等內(nèi)部服務器為員工提供總部內(nèi)部信息。另外還要屏蔽部分網(wǎng)絡訪問以確保公司的工作有序正常的進行。</p><p>　　對于邊界網(wǎng)絡接入（Internet接入稱為邊界網(wǎng)絡），總部用</p><p>　　Web服務器為用戶提供服務。使用交換機的vtp 技術使網(wǎng)絡內(nèi)有關Server的訪問變的更加安全。因為網(wǎng)絡的安全性是一個非常重要的因素。而確保在網(wǎng)絡的邊界外部相應的安全策略以防止黑客和各

35、種惡意代碼的攻擊也變的至關重要，同時邊界中的設備的冗余設計也是設計考慮的一個重要環(huán)節(jié)，從而能夠有效地防止單點故障。</p><p>　　由于公司業(yè)務不斷發(fā)展壯大，網(wǎng)絡拓撲結(jié)構(gòu)也會隨之發(fā)生變化，在采購網(wǎng)絡設備時應注意選擇擴展性和兼容性強的設備，以便日后網(wǎng)絡拓撲的變動。</p><p>　　3.3 網(wǎng)絡設計原則</p><p>　　作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的

36、不僅僅是設備，而是整套的技術與服務。我們始終堅持“高標準，高性能”的原則。在方案設計時，我們將嚴格遵循以下設計原則：</p><p>　　高可靠性----網(wǎng)絡系統(tǒng)的穩(wěn)定性是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡結(jié)構(gòu)，制定可靠地網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限制地支持各個系統(tǒng)的正常運行。</p><p>　　網(wǎng)絡安全性----由于企業(yè)網(wǎng)的特

37、殊性，網(wǎng)絡的安全性在本次網(wǎng)絡建設中是比較重要的，整個網(wǎng)絡必須保證萬無一失的安全性，并對各個部門的信息要有嚴格分離保護的辦法，防止網(wǎng)絡黑客非法入侵。網(wǎng)絡系統(tǒng)應配備全面的病毒防治和安全保護功能。</p><p>　　靈活性及可擴展性-----根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴展和升級，最大限制地減少對網(wǎng)絡架構(gòu)和設備的調(diào)整。</p><p>　　先進性------以先進、成熟的網(wǎng)絡通信技

38、術進行組網(wǎng)，支持數(shù)據(jù)、語音和視頻圖像等多媒體應用，采用基于交換的技術代替?zhèn)鹘y(tǒng)的基于路由的技術，并且能確保網(wǎng)絡技術和網(wǎng)絡產(chǎn)品在幾年內(nèi)基本滿足需求。</p><p>　　高性能-----承載網(wǎng)絡性能是網(wǎng)絡通訊系統(tǒng)良好運行的基礎，設計中心必須保障網(wǎng)絡及設備的高吞吐能力，保證各種信息（數(shù)據(jù)，語音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為各項業(yè)務開展的瓶頸。</p><p>　　可管理性----網(wǎng)絡建設

39、的一項重要內(nèi)容是網(wǎng)絡管理，網(wǎng)絡的建設必須保證網(wǎng)絡運行的可管理性。在優(yōu)秀的網(wǎng)絡管理之下，將大大提高網(wǎng)絡的運行速率，并可迅速簡便地進行網(wǎng)絡故障的診斷。</p><p>　　經(jīng)濟性-----在滿足應用要求的基礎上，盡可能降低造價。</p><p><b>　　網(wǎng)絡建設方案</b></p><p>　　4.1 網(wǎng)絡總體拓撲圖</p>&l

40、t;p>　　結(jié)合幾種網(wǎng)絡結(jié)構(gòu)與技術，根據(jù)該公司網(wǎng)絡功能需求的具體情況，我們選用兩臺Cisco Catalyst 3750做雙機熱備，用Cisco專有熱備份路由協(xié)議技術（HSRP），同時雙機還可以做負載均衡。在分交換機的選擇上，建議選擇具有支持VLAN劃分的網(wǎng)絡交換機。品牌和性能盡可能和主交換機相一致，以便于維護，便于統(tǒng)一。</p><p>　　如上圖所示，該模型將公司網(wǎng)絡系統(tǒng)品臺分為三個層次：核心層，匯聚層

41、，接入層。各區(qū)域相對獨立，通過核心網(wǎng)絡進行數(shù)據(jù)交換。另外各區(qū)域還可以各自建設交換網(wǎng)絡，路由接入，網(wǎng)絡安全體系，可以有獨立的安全策略，數(shù)據(jù)流量控制等個體特征。</p><p>　　4.2 網(wǎng)絡層次化設計</p><p>　　隨著網(wǎng)絡技術的迅速發(fā)展和網(wǎng)上應用量的增長，分布式的網(wǎng)絡服務和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應現(xiàn)代的高速大型網(wǎng)絡的分層設計模型。這種分級方式被成為“多層設計”

42、。多層設計的好處：</p><p>　　1有很大的確定性，在運行和擴展過程中進行故障查找和排除非常簡單。</p><p>　　2將局部拓撲結(jié)構(gòu)的改變所產(chǎn)生的影響降至最小。</p><p>　　3減少路由器必須存儲和處理的數(shù)據(jù)量，提供良好的路由器聚合數(shù)據(jù)流收斂。</p><p>　　4具有模板化的，網(wǎng)絡容量可隨著日后網(wǎng)絡節(jié)點的增加而不斷增加。&

43、lt;/p><p>　　5升級靈活：網(wǎng)絡容易升級到最新的技術，升級任意層的網(wǎng)絡不會對其他層造成影響，無需改變整個網(wǎng)絡環(huán)境</p><p>　　對于公司網(wǎng)絡的實際情況我們可以采用三層結(jié)構(gòu)模型。三層結(jié)構(gòu)模型劃分為三個層次，即核心層，匯聚層，接入層。每個層次完成不同的功能。</p><p><b>　　4.2.1 核心層</b></p>&

44、lt;p>　　網(wǎng)絡主干部分稱為核心層。核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，因此核心層交換機應擁有更高的可靠性，更快速率的鏈路連接技術，并且能快速適應網(wǎng)絡的變化。性能和吞吐量應根據(jù)不同層次用不同的要求設計網(wǎng)絡，并且使用冗余組件來設計，在與匯聚層交換機相連時要考慮采用建立在生成樹基礎上的多鏈路冗余連接，以保證與核心層交換機之間存在備份連接和負載均衡，完成高帶寬、大容量網(wǎng)絡層路由交換功能。因此，在核心層中，我們

45、應該采用高帶寬的千兆以上交換機。</p><p><b>　　4.2.2 分布層</b></p><p>　　位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層交換層是多臺接入層交換機的匯聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此匯聚層交換機與接入層交換機比較，需要更高的性能、更少的接口和更高的交換速率。匯聚層的設計要滿足核心層

46、、匯聚層交換機和服務器集合環(huán)境對千兆端口密度、可擴展性、高可用性以及多層交換的不斷增長的需求，支持大用戶量、多媒體信息傳輸?shù)葢谩?lt;/p><p><b>　　4.2.3 接入層</b></p><p>　　通常將網(wǎng)絡中直接面向用戶連接或訪問網(wǎng)絡的部分稱為接入層。接入層目的是允許終端用戶連接到網(wǎng)絡，提供了帶寬共享、交換帶寬、MAC層過濾和網(wǎng)段劃分等功能。接入層交換機具

47、有低成本和高端口密度特點，考慮采用可網(wǎng)管、可堆疊的接入級交換機。交換機的高速端口用于上連高速率的匯聚層交換機，普通端口直接與用戶計算機相連，以有效地緩解網(wǎng)絡骨干的瓶頸。</p><p>　　4.2.3 核心層設計</p><p>　　核心層是網(wǎng)絡的樞紐中心，重要性突出。我們使用了兩臺思科Cisco WS-C4506 的三層交換機完成此項功能。這兩臺交換機的可靠性、高效性、冗余性是我們考慮的

48、主要因素，另外，在這個層面的設計時，我們還需要考慮冗余網(wǎng)絡的設計，本區(qū)域的安全性可以有邊界防火墻提供。</p><p><b>　　路由設計</b></p><p>　　5.1 路由協(xié)議選擇</p><p>　　為達到路由快速收斂，尋址以及方便管理網(wǎng)絡管理員管理的目的，我們采用動態(tài)路由協(xié)議---OSPF協(xié)議，考慮到網(wǎng)絡的擴展性，公開性，投資的保

49、護等原因，我們采用OSPF路由協(xié)議和靜態(tài)路由相結(jié)合的路由方式。</p><p>　　OSPF協(xié)議采用鏈路狀態(tài)協(xié)議算法，OSPF協(xié)議有五種報文。</p><p>　　1 Hello報文，通過周期性地發(fā)送來發(fā)現(xiàn)和維護鄰接關系； </p><p>　　2 DD(鏈路狀態(tài)數(shù)據(jù)庫描述)報文，描述本地路由器保存的LSDB(鏈路狀態(tài)數(shù)據(jù)庫)； </p><p&

50、gt;　　3 LSR(LS Request)報文，向鄰居請求本地沒有的LSA； </p><p>　　4 LSU(LS Update)報文，向鄰居發(fā)送其請求或更新的LSA； </p><p>　　5 LSAck(LS ACK)報文，收到鄰居發(fā)送的LSA后發(fā)送的確認報文。</p><p>　　為了進一步減少路由協(xié)議通信流量，利于管理和計算。OSPF協(xié)議進行了區(qū)域劃分，

51、在兩個不同區(qū)域之間的路由信息傳遞，由區(qū)域邊界路由器(ABR)完成。它把相連兩個區(qū)域內(nèi)生成的路由，以類型3的LSA向?qū)Ψ絽^(qū)域發(fā)送。此時，一個區(qū)域內(nèi)的OSPF路由器只保留本區(qū)域內(nèi)的鏈路狀態(tài)信息，沒有其他區(qū)域的鏈路狀態(tài)信息。這樣，在兩個區(qū)域之間減小了鏈路狀態(tài)數(shù)據(jù)庫，降低了生成數(shù)算法的計算量。同時，當一個區(qū)域中的拓撲結(jié)構(gòu)發(fā)生變化時，其他區(qū)域中的路由器不需要重新進行計算。OSPF協(xié)議中的區(qū)域劃分機制，有效地解決了OSPF在大規(guī)模網(wǎng)絡中應用時產(chǎn)生的

52、問題。</p><p>　　在與服務器連接的網(wǎng)絡中我們采用靜態(tài)NAT技術，來保證外來客戶的訪問，這樣網(wǎng)絡的安全性也成為我們考慮的重要因素。靜態(tài)NAT是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術。簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡中使用內(nèi)部地址，而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時，就在網(wǎng)關（可以理解為出口，打個比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet

53、）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。也確保了網(wǎng)絡的可訪問性和安全性。</p><p>　　5.2 路由規(guī)劃拓撲圖</p><p>　　5.3 ip地址規(guī)劃</p><p>　　IP地址的規(guī)劃在網(wǎng)絡設計中的作用舉足輕重。直接影響整個網(wǎng)絡運行的效率。IP地址設計的總原則是簡單，易管理，易擴展。<

54、/p><p>　　IP地址是TCP/IP協(xié)議族中的網(wǎng)絡層邏輯地址，它被用來唯一的標識網(wǎng)絡中的一個節(jié)點。IP地址空間的分配，要與網(wǎng)絡層次結(jié)構(gòu)相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，提高路由算法的效果，加快路由變化的收斂速度。</p><p>　　IP地址分配和管理應遵循的原則：</p><p>　　唯一性----被分配出

55、去的IP地址必須保證在全球范圍內(nèi)是唯一的，以保證每臺主機都能被正確地識別。</p><p>　　可記錄性----已分配出去的地址塊必須記錄在數(shù)據(jù)庫中，為定位網(wǎng)絡故障提供依據(jù)。</p><p>　　可聚集性----地址空間應該盡量劃分為層次，以保證聚集性，縮短路由表長度。同時，對地址的分配要盡量避免地址碎片出現(xiàn)。</p><p>　　節(jié)約性----地址申請者必須提供完

56、整的書面報告，證明它確實需要這么多地址。同時，應該避免閑置被分配出去的地址。</p><p>　　公平性----所有團體，無論其所處地理位置或所屬國家，都具有公平地使用IPv6全球單播地址的權(quán)利。</p><p>　　可擴展性----考慮到網(wǎng)絡的高速增長，必須在一段時間內(nèi)留給地址申請者足夠的地址增長空間，而不需要它頻繁地向上一級組織申請新的地址。</p><p>　

57、　公網(wǎng)地址與私網(wǎng)地址相結(jié)合原則---可用的公網(wǎng)地址數(shù)量畢竟有限，而可用的私網(wǎng)地址數(shù)量卻非常多，是解決地址數(shù)量不足的良方之一。</p><p>　　公司總部有九個部門，有1000個用戶</p><p>　　公司總部IP地址分配表</p><p>　　公司總部VLAN劃分表如下</p><p>　　各個分公司IP地址分配表</p>

58、<p>　　第六章 網(wǎng)絡安全解決方案</p><p>　　6.1 網(wǎng)絡邊界安全威脅分析</p><p>　　網(wǎng)絡的邊界隔離著不同的功能或地域的多個網(wǎng)絡區(qū)域，由于職責和功能的不同，相連網(wǎng)絡的密集也不同，這樣的網(wǎng)絡直接相連，必然存在著安全隱患。</p><p>　　該公司的網(wǎng)絡主要存在的邊界安全風險包括：</p><p>　　北京內(nèi)部網(wǎng)

59、絡接入外部網(wǎng)絡，可能會遭到來自各地的越權(quán)訪問，惡意攻擊和計算機病毒的入侵，例如：一個不滿的內(nèi)部用戶，利用盜版軟件或從Internet下載的黑客程序惡意攻擊內(nèi)部站點，致使網(wǎng)絡局部或整體癱瘓。</p><p>　　內(nèi)部的各個功能網(wǎng)絡通過骨干交換相互連接，這樣的話，重要的部門或者專網(wǎng)將會遭到來自其他部門的越權(quán)訪問。這些越權(quán)訪問可能包括惡意的攻擊，誤操作等等。但是他們的后果將會導致重要信息的泄露或者網(wǎng)絡的癱瘓。</

60、p><p>　　安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題。</p><p>　　6.2 網(wǎng)絡內(nèi)部安全威脅分析</p><p>　　該公司內(nèi)部網(wǎng)絡的風險分析主要針對北京總部的整個內(nèi)網(wǎng)的安全分析。</p><p>　　內(nèi)部用戶非授權(quán)訪問；安博內(nèi)部網(wǎng)絡的資源也不是對任何的員工開放的，也需要相應的訪問權(quán)限。內(nèi)部用戶的非授權(quán)訪問，更容易造成資源和重

61、要信息的泄漏。</p><p>　　內(nèi)部用戶的誤操作；由于內(nèi)部用戶的計算機操作水平不齊，對于應用軟件的理解也各不相同，如果一部分軟件沒有相應的對誤操作防范措施，極容易服務系統(tǒng)和其他主機造成無害。</p><p>　　內(nèi)部用戶的惡意攻擊；就網(wǎng)絡安全來說，據(jù)統(tǒng)計約有70%左右的攻擊來自內(nèi)部用戶相比外部攻擊來說，內(nèi)部用戶具有更得天獨厚的優(yōu)勢，因此，對內(nèi)部用戶攻擊的防范很重要。</p>

62、<p>　　設備的自身安全性也會直接關系到安博綜合網(wǎng)絡體系和各種網(wǎng)路應用的正常運轉(zhuǎn)。例如，路由設備存在路由信息泄漏、交換機和路由器設備風險等。</p><p>　　重要服務器或操作系統(tǒng)自身存在安全的漏洞，如果管理員沒有及時的發(fā)現(xiàn)并且進行修復，將會給網(wǎng)絡帶來很大不穩(wěn)定性的因素。重要服務器的down機或重要數(shù)據(jù)的以外丟失，都會造成安博內(nèi)部的業(yè)務無法正常運行。</p><p>　　

63、安全管理困難，對于眾多的網(wǎng)絡設備和網(wǎng)絡安全設備，安全策略的配置和安全事件管理的難度很大。</p><p>　　6.3 安全產(chǎn)品選型原則</p><p>　　北京總部綜合網(wǎng)路屬于一個企業(yè)的專用網(wǎng)絡。在安全產(chǎn)品的選用上，我們遵循的以下原則：</p><p>　　安全保密產(chǎn)品的接入應不影響網(wǎng)絡系統(tǒng)的運行效率，并滿足工作的要求，不影響正常的業(yè)務；</p>&l

64、t;p>　　安全保密產(chǎn)品必須滿足貴公司提出的要求，保證整個綜合網(wǎng)絡的安全性。</p><p>　　安全保密產(chǎn)品必須通過國家主管部門制定的測評機構(gòu)的檢測。（中國的網(wǎng)絡安全產(chǎn)品供應廠家基本可分為三類：國家級的專業(yè)信息安全產(chǎn)品供應廠家、新興的專業(yè)信息安全產(chǎn)品供應廠家和國外廠家。）</p><p>　　安全保密產(chǎn)品必須具備自我保護能力；</p><p>　　安全保密產(chǎn)

65、品必須操作簡單以用，便于簡單部署和集中管理。</p><p>　　www.gaoxingle.com </p><p>　　第七章 網(wǎng)絡常用技術（內(nèi)網(wǎng)）介紹</p><p>　　7.1熱備份路由協(xié)議HSRP</p><p>　　我們使用HSRP來實現(xiàn)故障路由器的接管。HSRP協(xié)議是Cisco公司制定的專有路由器備份協(xié)議，支持多臺路由器形成備份

66、而消除單臺設備失效造成的網(wǎng)絡中斷。比且確保了當網(wǎng)絡邊緣或接入鏈路出現(xiàn)故障時，用戶通信能迅速并透明的恢復，并為此IP網(wǎng)絡提供了冗余性。HSRP支持在某個路由器出現(xiàn)故障時可以快速的進行默認網(wǎng)關的切換，通過共同提供一個IP地址和MAC地址，兩個或者多個路由器可以做為一個虛擬路由器，當某個路由器出現(xiàn)故障時，其他路由器可以無縫的接替它進行路由選擇。，這樣就很好的解決了路由器切換的問題。</p><p>　　使用RSTP的優(yōu)

67、勢：PVST是解決在虛擬局域網(wǎng)上處理生成樹的Cisco特有解決方案．PVST為每個vlan運行單獨的生成樹實例，并具有在二層維持負載均衡的能力。一般情況下PVST要求在交換機之間的中繼鏈路上運行Cisco的ISL．使用此技術減小了生成樹拓撲的總范圍。增強了可擴張性并減少了收斂時間，提供快速回復和更好的可靠性。使端口針對不同的根橋?qū)嵤┳枞?。使每條中繼鏈路都在為不同的Vlan傳輸數(shù)據(jù)，高效合理的利用好網(wǎng)絡當中的每條可用鏈路。</p&g

68、t;<p>　　7.2 VLAN技術</p><p>　　VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機端口的網(wǎng)絡用戶的邏輯分段，不受網(wǎng)絡用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡用戶的位置、作用、部門或者根據(jù)網(wǎng)絡用戶所使用的應用程序和協(xié)議來進行分組。基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。</p&g

69、t;<p>　　VLAN技術的出現(xiàn)，使得管理員根據(jù)實際應用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點可知，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中

70、，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的安全性。 </p><p>　　VLAN網(wǎng)絡可以是有混合的網(wǎng)絡類型設備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務器、集線器、網(wǎng)絡上行主干等等。 </p><p>　　VLAN除了能將網(wǎng)絡劃分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以

71、用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問。 </p><p><b>　　VLAN的優(yōu)點</b></p><p>　　1. 廣播風暴防范：</p><p>　　限制網(wǎng)絡上的廣播，將網(wǎng)絡劃分為多個VLAN可減少參與廣播風暴的設備數(shù)量。LAN分段可以防止廣播風暴波及整個網(wǎng)絡。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡的過量廣播。使用VLA

72、N，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產(chǎn)生。 </p><p><b>　　2. 安全：</b></p><p>　　增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶

73、組可與網(wǎng)絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。 </p><p><b>　　3.成本降低：</b></p><p>　　成本高昂的網(wǎng)絡升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約

74、成本。 </p><p><b>　　4.性能提高：</b></p><p>　　將第二層平面網(wǎng)絡劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡上不必要的流量并提高性能。 </p><p>　　5.提高IT員工效率：</p><p>　　VLAN為網(wǎng)絡管理帶來了方便，因為有相似網(wǎng)絡需求的用戶將共享同一個VLAN。 </

75、p><p>　　6.簡化項目管理或應用管理：</p><p>　　VLAN 將用戶和網(wǎng)絡設備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項目管理或特殊應用的處理都變得十分方便， </p><p>　　7. 增加了網(wǎng)絡連接的靈活性。</p><p>　　借助VLAN技術，能將不同地點、不同網(wǎng)絡、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡環(huán)境

76、 ，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低</p><p>　　7.3 Trunk技術</p><p>　　一般的交換機端口只能屬于一個VLAN，對于多個VLAN需要跨越多臺交換機，就需要Trunk技術。Trunk是指交換機之間或路由器之間傳遞，從而可以將VL

77、AN跨越整個網(wǎng)絡，而不僅僅是局限在一臺交換機上。</p><p>　　Cisco支持802.1Q.ISL的技術，其中802.1Q是業(yè)界的標準協(xié)議，而ISL是Cisco專有的協(xié)議，用于在一條鏈路上封裝多個VLAN的信息。</p><p>　　對于Cisco交換機的Trunk端口，既可以指定它的封裝協(xié)議為802.1q或ISL，也可以通過DHP協(xié)議自動協(xié)商。DHP協(xié)議主要用于處理Trunk端口的

78、802.1q和ISL封裝協(xié)議的自動協(xié)商，對于不同廠家的交換機互聯(lián)時很有幫助。對Trunk的定義只能在快速以太網(wǎng)端口或千兆以太網(wǎng)端口上進行，它既可以是單個的快速以太網(wǎng)端口或千兆以太網(wǎng)端口，也可以是快速以太網(wǎng)通道或千兆以太網(wǎng)通道。我們使用IEEE802.1Q標準協(xié)議。</p><p><b>　　7.4 VTP技術</b></p><p>　　VTP（VLAN Trunk

79、ing Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺交換機在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺交換機配置成VTP Server, 其余交換機配置成VTP Client,這樣他們可以自動學習到server 上的VLAN 信息。</p><p><b>　　原理</b></p><p>　　它是

80、一個OSI參考模型第二層的通信協(xié)議，主要用于管理在同一個域的網(wǎng)絡范圍內(nèi)VLANs的建立、刪除和重命名。在一臺VTP Server 上配置一個新的VLAN時，該VLAN的配置信息將自動傳播到本域內(nèi)的其他所有交換機。這些交換機會自動地接收這些配置信息，使其VLAN的配置與VTP Server保持一致，從而減少在多臺設備上配置同一個VLAN信息的工作量，而且保持了VLAN配置的統(tǒng)一性。 </p><p>　　VTP模式

81、有3種 服務器模式（Server）客戶機模式（Client）透明模式（Transparent） </p><p>　　服務器模式：提供VTP消息：包括VLAN ID和名字信息 。學習相同域名的VTP消息 。轉(zhuǎn)發(fā)相同域名的VTP消息 。可以添加、刪除和更改VLAN VLAN信息寫入NVRAM </p><p>　　客戶機模式：請求VTP消息。學習相同域名的VTP消息。 轉(zhuǎn)發(fā)相同域名的VTP消

82、息。 不可以添加、刪除和更改VLAN VLAN信息不會寫入NVRAM </p><p>　　透明模式：不提供VTP消息 。不學習VTP消息 。轉(zhuǎn)發(fā)VTP消息 。可以添加、刪除和更改VLAN，只在本地有效 VLAN信息寫入NVRAM </p><p><b>　　VTP優(yōu)點： </b></p><p>　?。?）保持了VLAN的一致性 </

83、p><p>　?。?）提供從一個交換機到另一個交換機在整個管理域中增加虛擬局域網(wǎng)的方法 </p><p>　?。?）VTP協(xié)議是思科的專用協(xié)議，大多數(shù)的Catalys交換機都支持該協(xié)議，VTP可以減少VLAN的相關管理任務。</p><p>　　7.5 Spanning-Tree協(xié)議</p><p>　　生成樹算法的網(wǎng)橋協(xié)議STP(Spannin

84、g Tree Protocol) 它通過生成生成樹保證一個已知的網(wǎng)橋在網(wǎng)絡拓撲中沿一個環(huán)動態(tài)工作。網(wǎng)橋與其他網(wǎng)橋交換BPDU消息來監(jiān)測環(huán)路，然后關閉選擇的網(wǎng)橋接口取消環(huán)路，統(tǒng)指IEEE802?1生成樹協(xié)議標準和早期的數(shù)字設備合作生成樹協(xié)議，該協(xié)議是基于后者產(chǎn)生的。IEEE版本的生成樹協(xié)議支持網(wǎng)橋區(qū)域，它允許網(wǎng)橋在一個擴展本地網(wǎng)中建設自由環(huán)形拓撲結(jié)構(gòu)。IEEE版本的生成樹協(xié)議通常為在數(shù)字版本之上的首選版本。</p><

85、p>　　生成樹協(xié)議的功能：一是在利用生成樹算法、在以太網(wǎng)絡中，創(chuàng)建一個以某臺交換機的某個端口為根的生成樹，避免環(huán)路。二是在以太網(wǎng)絡拓撲發(fā)生變化時，通過生成樹協(xié)議達到收斂保護的目的。</p><p><b>　　生成樹協(xié)議特點</b></p><p>　　在局域網(wǎng)中是不允許出現(xiàn)環(huán)路的，而為實現(xiàn)冗余和負載的均衡，通常會有多條鏈路的鏈接，這樣就會引入環(huán)路，為了解決這一

86、問題我們采用STP協(xié)議。STP算法會將網(wǎng)絡中的連接生成一個樹，通過特定的算法自動將優(yōu)先權(quán)高的鏈路激活，將優(yōu)先權(quán)底的鏈路阻塞，保證在網(wǎng)絡中任何時后都不會出現(xiàn)環(huán)路，如果網(wǎng)絡的連接狀況發(fā)生了變化，STP算法會自動地重新計算新的連接關系，重新選出新的活動的連接。</p><p>　　Cisco交換機的一個非常有用的特征就是可以對每個VLAN設置Spanning-Tree，而不是對整個網(wǎng)絡只能屬于一個Spanning-Tr

87、ee。這個特征是很多廠商的設備所不具備的。在交換機上對端口的優(yōu)先權(quán)的設置可以基于VLAN進行，每個端口對于不同的VLAN設置不同的優(yōu)先權(quán)。對于指定的VLAN，具有該VLAN最高優(yōu)先權(quán)的端口轉(zhuǎn)發(fā)該VLAN信息，其它VLAN信息則阻塞。通過這種方法，在具有冗余連接的交換機端口上分別針對不同的VLAN設置不同的優(yōu)先權(quán)，既可以實現(xiàn)鏈路的冗余，又可以實現(xiàn)負載的均衡。</p><p>　　7.6 Etherchannel技術

88、</p><p>　　Etherchannel 簡介：以太通道也稱為以太端口捆綁，端口聚集或以以太鏈路聚集。以太通道為交換機提供了端口捆綁技術，將多個物理以太網(wǎng)端口聚集在一起形成一個邏輯上的聚合組，同一個聚合組內(nèi)的多條物理鏈路是為一條邏輯鏈路。鏈路聚合可以實現(xiàn)出入負荷在聚合組中各個成員端口之間，以增加帶寬。同時，同一個聚合組的各個成員端口之間彼此動態(tài)備份，提高了連接的可靠性。</p><p&g

89、t;　　GEC或FEC（Gigabit Etherent Channel/Fast Etherent Channel）稱為Cisco交換機帶寬聚合技術，它用于千兆或百兆以太網(wǎng)端口，在兩臺Cisco交換機互連時，利用GEC/FEC技術股，可以將2條或多條物理鏈路捆綁成為一條更高的邏輯貸款，利用GEC技術，我們可以得到一條全雙工4G帶寬的鏈路。</p><p>　　Etherchannel 配置原則：</p&g

90、t;<p>　　1在每個Etherchannel中，cisco交換機最多允許包括8個端口。</p><p>　　2 一個Etherchannel內(nèi)的所有端口必須使用相同的協(xié)議（PAGP或者LACP）</p><p>　　3 一個Etherchannel內(nèi)的說有接口都必須具有相同的速度和雙工的模式，要求端口工作在全雙工模式下。</p><p>　　4 一

91、個端口不能再相同的所有端口都必須配置到相同的接入VLAN。</p><p>　　7.7 靜態(tài)路由的配置</p><p>　　靜態(tài)路由是一種特殊的路由，它由管理員手工配置。當網(wǎng)絡結(jié)構(gòu)簡單時，只需配置簡單路由就可以使網(wǎng)絡正常工作。恰當?shù)卦O置和使用靜態(tài)路由可以改進網(wǎng)絡的性能，并可以為重要的網(wǎng)絡應用保證帶寬。</p><p>　　7.8 DHCP技術</p>

92、<p>　　DHCP是動態(tài)獲取IP地址的協(xié)議。它的優(yōu)點是能夠讓PC機自動獲取IP地址，減輕網(wǎng)絡管理員因配置IP地址而引起的不必要麻煩，并且這樣的動態(tài)獲取IP地址大部分是連續(xù)的，便于網(wǎng)絡管理，一定程度上提高網(wǎng)絡的運行速度。</p><p>　　網(wǎng)絡常用外網(wǎng)技術介紹</p><p>　　8.1 pix 防火墻技術</p><p>　　PIX防火墻主要是在網(wǎng)絡的

93、核心層實現(xiàn)的。在訪問外網(wǎng)的時候我們也要保證鏈路的安全性，因此我們需要建立一個防火墻，也可以在防火墻上配置訪問控制列表只允許某種流量的經(jīng)過，沒有被定義的一律拒絕。</p><p><b>　　8.2 dmz技術</b></p><p>　　DMZ區(qū)是為了解決安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題，而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)

94、內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi)，在這個小網(wǎng)絡區(qū)域內(nèi)可以放置一些必須公開的服務器設施，如企業(yè)Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡，因為這種網(wǎng)絡部署，比起一般的防火墻方案，對攻擊者來說又多了一道關卡。</p><p>　　DMZ(Demilitarized Zone)即俗稱的非軍事區(qū)，與軍事區(qū)和信任區(qū)相對應,作用是把WEB,e-mail,等允許外部訪問的

95、服務器單獨接在該區(qū)端口，使整個需要保護的內(nèi)部網(wǎng)絡接在信任區(qū)端口后，不允許任何訪問，實現(xiàn)內(nèi)外網(wǎng)分離，達到用戶需求。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡區(qū)域，DMZ內(nèi)通常放置一些不含機密信息的公用服務器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機密或私人信息等，即使DMZ中服務器受到破壞，也不會對內(nèi)網(wǎng)中的機密信息造成影響。</p><p>

96、<b>　　使用 DMZ的優(yōu)勢</b></p><p>　　在實際的運用中，某些主機需要對外提供服務，為了更好地提供服務，同時又要有效地保護內(nèi)部網(wǎng)絡的安全，將這些需要對外開放的主機與內(nèi)部的眾多網(wǎng)絡設備分隔開來，根據(jù)不同的需要，有針對性地采取相應的隔離措施，這樣便能在對外提供友好的服務的同時最大限度地保護了內(nèi)部網(wǎng)絡。針對不同資源提供不同安全級別的保護，可以構(gòu)建一個DMZ區(qū)域，DMZ可以為主機環(huán)

97、境提供網(wǎng)絡級的保護，能減少為不信任客戶提供服務而引發(fā)的危險，是放置公共信息的最佳位置。在一個非DMZ系統(tǒng)中，內(nèi)部網(wǎng)絡和主機的安全通常并不如人們想象的那樣堅固，提供給Internet的服務產(chǎn)生了許多漏洞，使其他主機極易受到攻擊。但是，通過配置DMZ，我們可以將需要保護的Web應用程序服務器和數(shù)據(jù)庫系統(tǒng)放在內(nèi)網(wǎng)中，把沒有包含敏感數(shù)據(jù)、擔當代理數(shù)據(jù)訪問職責的主機放置于DMZ中，這樣就為應用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于

98、直接暴露給外部網(wǎng)絡而受到攻擊，攻擊者即使初步入侵成功，還要面臨DMZ設置的新的障礙。</p><p>　　8.3 ACL技術</p><p>　　訪問控制列表（ACL）：應用在路由器接口的指令列表，用來告訴路由器哪些數(shù)據(jù)包可以接收轉(zhuǎn)發(fā)，哪些數(shù)據(jù)包需要拒絕。工作原理 ：讀取第三層及第四層包頭中的信息 ，根據(jù)預先定義好的規(guī)則對包進行過濾</p><p>　　使用ACL

99、的優(yōu)勢：（1）提供對通信流量的控制手段 </p><p>　　（2）提供網(wǎng)絡安全訪問的基本手段</p><p>　?。?）在路由器端口決定哪種流量被轉(zhuǎn)發(fā)或被阻塞</p><p><b>　　（1）包過濾簡介:</b></p><p>　　包過濾防火墻是最簡單的一種防火墻，它在網(wǎng)絡層截獲網(wǎng)絡數(shù)據(jù)包，根據(jù)防火墻的規(guī)則表，來檢

100、測攻擊行為。包過濾防火墻一般作用在網(wǎng)絡層（IP層），故也稱網(wǎng)絡層防火墻（Network Lev Firewall）或IP過濾器（IP filters）。數(shù)據(jù)包過濾（Packet Filtering）是指在網(wǎng)絡層對數(shù)據(jù)包進行分析、選擇。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議類型等因素或它們的組合來確定是否允許該數(shù)據(jù)包通過。在網(wǎng)絡層提供較低級別的安全防護和控制。</p><p&

101、gt;<b>　?。?）包過濾特點：</b></p><p>　　包過濾防火墻使用基于源和目標網(wǎng)絡,端口,協(xié)議等信息實施數(shù)據(jù)包過濾:1 established關鍵字僅可以對面向連接TCP會話提供支持。</p><p>　　2無法支持動態(tài)協(xié)商的會話所產(chǎn)生的臨時會話端口。</p><p>　　3會產(chǎn)生大量的ACL條目,因此其維護非常困難。</

102、p><p><b>　　8.4 VPN技術</b></p><p><b>　　VPN簡介：</b></p><p>　　虛擬專用網(wǎng)（vpn）被定義為通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對

103、企業(yè)內(nèi)部網(wǎng)的擴展。虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。</p><p>　　VPN技術分為L2LP、GRE、IPsec。 IPSec (Internet 協(xié)議安全)是

104、一個工業(yè)標準網(wǎng)絡安全協(xié)議，為 IP 網(wǎng)絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。</p><p><b>　　8.5 漫游用戶</b></p><p><b>　　漫游用戶的簡介</b></p><p>　　用戶登錄時下載到本地計算機，而用戶注銷時本地和服務器都

105、進行更新的基于服務器的用戶配置文件。用戶登錄到工作站或服務器，服務器的漫游用戶配置文件是可用的。登錄時，如果本地用戶配置文件比服務器上的要新，則用戶可以使用該本地文件。</p><p><b>　　使用漫游用戶的優(yōu)勢</b></p><p>　　無論用戶登錄到哪臺基于 Microsoft Windows NT 的計算機上，漫游用戶配置文件都為用戶提供相同的工作環(huán)境。這

106、樣就可以避免因為換了機器而丟失以前的作用環(huán)境而不爽了，也不會降低工作質(zhì)量。</p><p>　　8.6 內(nèi)網(wǎng)間及遠程訪問</p><p>　　IPSec (Internet 協(xié)議安全)是一個工業(yè)標準網(wǎng)絡安全協(xié)議，為 IP 網(wǎng)絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡攻擊，同時保持易用性。IPSec有兩個基本目標：1）保護IP數(shù)據(jù)包安全；2）為抵御網(wǎng)絡

107、攻擊提供防護措施。 </p><p>　　IPSec結(jié)合密碼保護服務、安全協(xié)議組和動態(tài)密鑰管理三者來實現(xiàn)上述兩個目標，不僅能為企業(yè)局域網(wǎng)與撥號用戶、域、網(wǎng)站、遠程站點以及Extranet之間的通信提供強有力且靈活的保護，而且還能用來篩選特定數(shù)據(jù)流。 IPSec基于一種端-對-端的安全模式。這種模式有一個基本前提假設，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過加密，而掌握加解密方法的只有數(shù)據(jù)流的發(fā)送

108、端和接收端，兩者各自負責相應的數(shù)據(jù)加解密處理，而網(wǎng)絡中其他只負責轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機無須支持IPSec，該特性有助于企業(yè)用戶在下列方案中成功地配置IPSecIPSec 。</p><p>　　使用 ipsec-vpn技術的優(yōu)勢： 為保護IP數(shù)據(jù)包安全，為抵御網(wǎng)絡攻擊提供的一種防護措施。</p><p>　　降低手工配置的復雜度，安全聯(lián)盟定時更新，密鑰定時更新，允許IPSec提供反重放服務

109、，允許在端與端之間動態(tài)認證。</p><p>　　過濾每一個訪問計算機的數(shù)據(jù)包，并可根據(jù)數(shù)據(jù)報的源IP地址、協(xié)議和端口進行過濾</p><p>　　對應用程序完全透明，應用程序無需任何調(diào)整</p><p><b>　　三種身份驗證</b></p><p>　　對數(shù)據(jù)包進行加密，以防止數(shù)據(jù)包在網(wǎng)絡傳輸中被截取</p&

110、gt;<p>　　使用HASH算法保障數(shù)據(jù)包在傳輸過程中保持完整性</p><p>　　確保每個IP數(shù)據(jù)包的唯一性</p><p><b>　　8.7 nat技術</b></p><p>　　NAT，私有(保留)地址的"內(nèi)部"網(wǎng)絡通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP