网络工程设计方案网络构架
网络工程设计方案
-网络构架
摘要
中小企业在一国的经济中发挥的作用具有不可替代性,但其进一步的发展却受到许多因素制约,这些因素中最突出的表现就是融资难。中小企业融资难是一个普遍性的问题,包括融资渠道不畅、融资结构失衡、融资成本高等一系列融资难的问题已经对我国中小企业的进一步发展构成了瓶颈制约。中小企业在融资方面的“营养”不良以及由此带来的“健康”状况上的每况愈下正引起人们的广泛关注。本文立足企业和银行,着眼于整个社会信用环境和政府职能,遵循提出问题、分析问题依据国情并借鉴其他国家做法解决问题的基本思路,对我国中小企业融资问题的现状、成因和解决办法进行了深入的分析和探讨,力图做到系统综合,标本兼治。
目录
摘要 (1)
ABSTRACT ............................................................................................................................ 错误!未定义书签。目录 .. (1)
引言 (3)
第一章项目需求分析 (4)
1.1.项目背景 (4)
1.2需求分析 (5)
第二章网络总体建设目标 (6)
2.1网络建设目标 (6)
2.2网络及系统建设内容及要求 (6)
2.3网络设计原则 (9)
第三章网络总体设计 (9)
3.1 网络总体拓扑图 (9)
3.2 网络层次化设计 (10)
3.3 核心层设计 (11)
3.4 接入层设计 (12)
3.5 内联接入 (13)
第四章路由设计 (13)
4.1路由协议选择 (13)
4.1.1 OSPF协议主要优点: (13)
4.1.2 SPF算法 (13)
4.1.3 OSPF规定有层次的网路结构,OSPF将网络分为若干区域: (14)
4.1.4 OSPF路由器在完全邻接之前,所经过的几个状态: (14)
4.1.5 虚链路(Virtual Link) (15)
4.2路由规划拓扑图 (15)
4.3 IP地址规划 (15)
第五章网络安全解决方案 (17)
5.1 网络边界安全威胁分析 (17)
5.2 网络内部安全威胁分析 (19)
5.3 安全产品选型原则 (19)
5.4 网络常用技术介绍 (20)
第六章产品简介 (24)
6.1 Cisco 2800 系列集成多业务路由器 (24)
6.2 Cisco Catalyst 3560 系列集成交换机 (24)
6.3 Cisco Catalyst 2960 系列集成交换机 (25)
第七章项目实施计划 (27)
7.1 项目组织结构 (27)
7.2 项目人员分工 (27)
7.3 项目实施前的准备工作 (28)
7.4 安装前的场地准备 (28)
7.5 核心及各网点的安装调试 (29)
第八章网络测试 (29)
8.1 网络测试目的 (29)
8.2 测试文档 (30)
第九章网络架构 (34)
第十章网络设备基本配置(内部) (42)
10.1 网络描述 (42)
10.2基本配置 (43)
10.2.1交换机Cisco3560的基本配置 (43)
10.2 IP地址配置 (46)
10.3检查设备的连通性 (47)
10.4 Windows服务器的安装: (48)
10.5安装DNS、DC、WEB、FTP等服务器,配置如下 (61)
10.5.1安装DNS (61)
10.5.2安装域控制器(DC) (69)
10.5.3安装WEB (79)
10.5.4安装FTP (86)
第十一章网络配置的基本配置(分部) (92)
11.1网络描述 (92)
11.2 基本配置 (93)
11.2.1交换机Catalyst3560的基本配置 (93)
11.2.2 IP地址配置 (96)
11.3 检查设备的连通性 (97)
11.4 Windows服务器的安装: (98)
11.5安装DNS、DC、WEB、FTP等服务器,配置如下 (111)
11.5.1安装DNS (111)
11.5.2 安装域控制器(DC) (119)
11.5.4 安装FTP (141)
第十二章项目测试 (147)
致谢 (149)
引言
跨入21世纪的今天,世界继新技术革命以后,又掀起了一场以加速社会信息化为宗旨的信息高速公路建设的浪潮,信息正以其前所未有的迅猛态势渗透于社会的方面,改变着人们原有的社会空间,信息已日益成为社会各领域中最活跃、最具有决定意义的因素,而作为基础学科之一的信息教学,它既是应用科学的基础,又兼有了科学与技术的双重身份,它更是培养创新型人才的重要阵地。那么,如何在信息教学中培养学生的信息素养,提高他们的信
息感悟、信息实践能力,以促进他们的身心发展,为进一步培养创新型人才奠定基础呢?一、投石探路——认识信息
同样重要的信息,有的人善于抓住,有的人却漠然视之,这正是由于各人的信息意识强弱不同所致。信息,指的是当人们与外界接触时,有意无意所接受到的一些事物材料,有数字、文字、影像、数量关系等。如果能使学生对接受到的这些信息源加以分析、整理,主动获取自己所需的信息,或找到对自己有利的信息而后加以利用,则将促使他们关注周围的事物,沟通数学与生活的联系,大大提高他们的信息意识。
二、找频看球——感受信息
一个球迷,只要找到自己想看的球赛频道,便会津津有味地看下去,甚至于不吃不睡。信息教学时,就应尽可能增强学生的信息情感,培养他们类似于“看球”的热衷情感,当他们多次从多方面感受信息时,便能形成某种持久、稳定的、反映心底需求关系的内心体验,这便是信息情感。当学生形成较稳定的信息情感时,便能产生巨大的信息热情,这将大大提高他们对信息的敏感性与兴趣性。
三、点石成金——利用信息
在信息时代,静态的知识不具有情报信息价值,只有对知识的新认识和深入挖掘,并进行动态处理,才能使其产生推动社会进步的巨大能量。认识和挖掘出知识的现实价值,并利用好它,这才是信息素质的最好体现。只有具有利用信息能力的人,才知识怎样组织知识,发现和使用信息,他们也才具有终身学习的能力。
当代社会,信息是最主要的资源,对整个社会的发展具有决定性的作用,在数学教学中培养学生的信息素养是学生接受终身教育的前提条件,更是培养创新人才的先决条件,只有把“培养学生的信息素养”植根于数学教学的方面,才能真正提高学生的信息意识、信息能力,成为可持续发展的人。
第一章项目需求分析
1.1.项目背景
河北承德露露股份有限公司坐落于承德市高新技术产业开发区,现为万向三农有限公司控股的上市公司。公司于1997年年底在深交所上市,成为国内饮料行业首批上市公司之一。企业的法律代表人:管大源先生,1963年12月出生,浙江萧山人,研究生学历,高级经济师,中共党员。以6000万注册此公司。其总公司人数600人,分公司400人,公司以发展民族饮料为目标,坚持走科技兴厂的道路,本着“高起点引进、高速度发展、创造高效益”的原则,使技术装备水平居国内领先地位,从而使公司的生产能力、科技含量有了更大的提高。
公司发展稳健,成长性良好,连续多年名列深市排行榜前列。公司坚持用优质的产品回报消费者,用良好的信誉、投资回报率答谢支持露露的广大投资者。
公司理念为:视品质为生命坚持质量第一,生产高品质产品是露露企业的信念。露露严格把控产品质量关,从不在质量上投机取巧,因为露露坚信只有真正为消费者提供高品质产品,才能使消费者享受到健康营养,企业也因此才能立于不败之地。
所以本项目的目标是:建立一个世纪规范、功能完备、性能优良、安全可靠、有良好的扩展性与可用性并且具备可管理易维护的网络及系统平台,以高效率,高速度,低成本的方式提高公司员工的工作效率与执行效率”。
1.2需求分析
随着公司经济效益不断的提高,人员的扩展,
要求网络设备集成的安全性(本方案设计中可以涉及专门的防火墙、VPN等,但是实验配置时安全是指交换机、路由器等网络基础设施产品中的集成安全,不涉及其他产品),网络平台需要提供防止非法的ARP攻击、dos攻击、非法的DHCPserver的能力实现内部网络按用户、功能进行VLAN划分
分布式三层架构,启用三层路由功能及相应访问控制
病毒攻击防护,出口实现NAT地址转换,发布对外的WEB服务
支持10GE或将来平滑过渡到10GE
要求对网络主干进行流量监控
第二章网络总体建设目标
2.1网络建设目标
2.2网络及系统建设内容及要求
骨干核心层网络设计
企业生产办公网络的核心网主要完成整个企业集团内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于集团企业的用户数量众多,业务复杂,数据转发时难免遇到拥塞、阻塞等情况,所以需要用到QOS技术。
在骨干核心层中,我们采用核心路由交换机组成一个环形多机热备份的核心交换机系统解决方案。为提高核心网络的健壮性,防止单台设备失效造成的网络中断,实现链路的安全保障,本方案骨干核心层环网中可以采用HSRP(热备份路由协议)技术。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用HSRP技术为核心交换机提供了一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的冗余,一主两备,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理集中数据提供了可靠的保障。另外,我们还采用CHANNEL(链路捆绑技术)技术,提高链路的高效利用,可以把两条物理链路捆绑成一条虚拟的链路,可以避免环路。链路捆绑技术是把多条链路捆绑起来,为了提高带宽,出入流量可以在多个成员接口之间分担,也可以加大链路的利用率。而且链路捆绑技术用来做冗余,将两条物理链路捆绑成一条,可以使同时使用的带宽变为两倍,数据在两条链路上同时发送数据。当某个成员接口出现故障时,流量会自动切换到其他可用的成员接口上,并且进行无缝切换,不会影响到数据的传输,从而提高整个捆绑链路的连接可靠性。假如贵公司正在传输一份合同,却因为网络中断而失去了这一次机会,继而损失的不只是财富,名誉也会有所影响。所以这个技术会帮助贵公司进一步完善网络。
核心层网络设计
企业生产办公网络的核心层网络主要完成园区内各个汇集层设备之间的数据交换和与骨干核心层网络之间的路由转发。本层采用CISCO WS-C3560G-24TS-S 核心路由交换机作为企业生产办公网络的园区核心路由交换设备,CISCO WS-C3560G-24TS-S 具有强大的业务和路由交换的处理能力,能提供VPN 、Qos、策略路由、NAT、PPPOE/WEB/802.1X/L2TP 认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足企业不同园区网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。
CISCO WS-C3560G-24TS-S
CISCO WS-C3560G-24TS-S
汇聚层网络设计
汇聚层网络主要完成企业各园区内办公楼和相关单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用CISCO WS-C3560G-24TS-S 交换机多层交换机作为汇聚层的交换机。CISCO WS-C3560G-24TS-S 交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够灵活的部署在网络边缘的各个位置。
能够同时提供多个高速专用堆叠端口和百兆光口/电口。这些交换机都具备较强的多业务提供的能力。为用户提供丰富、高性能价比的组网选择
接入层网络设计
以往传统企业网络接入层的建设中并不关注于安全控制和QOS提供的能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫痪,使网络没有QOS 服务质量的保障。
冗余/负载均衡设计
冗余和负载均衡的设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分企业网在早期的建设中由于成本的原因并未在设计中考虑到冗余的问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余和负载均衡设计可以贯穿整个层次化结构。我们采用了PVST(每vlan生成树协议)技术,它为每个在网络中配置的VLAN维护一个生成树实例,减少了生成树拓扑的总范围,增强了可扩张性并减少了收敛时间,提供快速回复和更好的可靠性。并且防止了环路,实现了负载均衡,数据的备份和冗余。万一网络中某条路径失效时,冗余链路可以提供另一条路径,使网络能够及时的正常运行,高效合理的利用好网络当中的每条可用链路。
服务器冗余设计
企业网中服务器、大型机,如网络存储服务器,SQL Server服务器,其存储的数据对于企业来说至关重要,一些核心数据被视为企业的生命。一方面它对企业的重要性毋庸置疑,另一方面,由于这些数据的性质决定了其较大的被访问量,这个对服务器提出了稳定和快速的要求。为此,我们采用的是轮询的方法,轮询是基站为终端分配带宽的一种处理流程,这种分配可以是针对单个终端或是一组终端的。轮询是基于终端的,带宽的请求总是基于CID,而分配则是基于终端。为一组终端和连接分配带宽实际上是定义带宽请求竞争机制,这种分配不是使用一个单独的消息,而是上行链路映射消息中包含的一系列分配机制,这样使得每个服务器都能够更好、更快的工作,提高了工作效率,更充分的利用了每个服务器。
本网络中应具备有多台服务器设备,包括DB SERVER 数据库服务器,WEB 等应用服务器,NEWS,MALL等通讯服务器以及多媒体服务器等。
2.3网络设计原则
1.综合性、整体性原则
应运用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度以及专业技术措施即访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等。一个较好的安全措施往往是多种方法适当综合的应用结果。
2.一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也少得多。
3.适应性及灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
4.合理利用资金,性价比高,要考虑到设备价格等问题
第三章网络总体设计
3.1 网络总体拓扑图
考虑到总公司的实际需求,建议采用两台Cisco Catalyst3560 做双机热备,用Cisco 专有热备份路由协议技术(HSRP),根据需求配置成多组HSRP;同时双机还可以做负载均衡。
这样设计不但保证网络的高可用性和稳定性,还能够充分利用现有设
备的资源,以避免单台核心设备的负载太重而导致的网络性能问题。
如上图所示,整体网络可以根据功能划分为总部核心网络、内联接入包括办公网络、数据中心、分公司接入等,各区域相对独立,通过
核心网络进行数据的交互。
各区域可以各自建立交换网络、路由接入、网络安全体系,可
以有独立的安全策略、数据流量控制等个体的特性,而需要和其他区
域的设备进行通讯的时候,则必须遵守核心网络区的策略。
Cisco Catalyst3560
随着网络技术的迅速发展和网上应用量的增长,分布式的网络服
务和交换已经移至用户级,由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。这种分级方法被称为“多层设计”。多层设计有以下一些好处:
多层设计是模块化的,网络容量可随着日后网络节点的增加而不
断增大。
多层网络有很大的确定性,因此在运行和扩展过程中进行故障查
找和排除非常简单。
多层网络系统设计最有效地利用多种第3 层业务,包括分段﹑负
载分担和故障恢复等。
在分层网络中运用智能第3 层业务可以大大减少因配置不当或
故障设备引起的一般问题。
多层模式使网络的移植更为简单易行,因为它保留了基于路由器
和交换机的网络原有的寻址方案,对以往的网络有很好的兼容性。
另外分层结构也能够对网络的故障进行很好的隔离。
针对实际情况我们可以采用三层结构模型。三层结构模型划分
为三个层次,即核心层、分布层、接入层。每个层次完成不同的功能。核心层
核心层作为整个网络系统的核心,其主要功能是高速、可靠的进
行数据交换。
分布层
分布层主要进行接入层的数据流量汇聚,并对数据流量进行访问
控制。包括访问控制列表、VLAN 路由等等。
接入层
接入层主要提供最终用户接入网络的途径。主要是进行VLAN
的划分、与分布层的连接等等。
3.3 核心层设计
核心交换区的作用是尽快地提供所有的区域间的数据交换。我们
推荐使用两台Cisco Catalyst 3560交换机完成此项功能。两台3560
交换机高性能、可靠性、可用性是我们主要考虑的因素。本区的安全
性可以由边界防火墙提供,如有需要在3560 上面可以部署安全策略,
使得核心交换区的安全性进一步地增强。
Cisco Catalyst 3560 系列凭借众多智能服务将控制扩展到网络
边缘,其中包括先进的服务质量(QOS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制,将永续性集成到硬件和软件中,缩短了网络停运时间。Cisco Catalyst 3560 系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支,提高了投资回报(ROI),从而在延长部署寿命的同时降低了拥有成本。
3.4 接入层设计
接入层交换机采用思科的WS-C2960 以千兆以太链路和汇聚交换机相连接,并为用户终端提供10/100M 自适应的接入,从而形成千兆为骨干,百兆到桌面的以太网三层结构。办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP 服务器等组成服务器群,数据中心的多种金融系统应用服务器, 连接到汇聚交换机的千兆模块上面,因此,内部的局域网是采用三层结构组建。
WS-C2960
3.5 内联接入
内联接入的作用是用于连接上海期货机房和北京办公网络。我们推荐使用两台Cisco 2800系列路由器通过SDH/DDN线路完成此项功能。
由于总部网络和分部机房属于公司的内部网络的一部分,因此可信度很高;接入时主要作用是生产运营系统的数据交换,查询等等和管理以及监控。总结以上的原因,内联路由器与核心交换网络间不需要配置额外的防火墙。
第四章路由设计
4.1路由协议选择
开放式最短路径优先(Open Shortest Path First,OSPF)协议是一种为IP网络开发的内部网关路由选择协议,由IETF开发并推荐使用。
OSPF定义了5种分组:Hello分组用于建立和维护连接;数据库描述分组初始化路由器的网络拓扑数据库;当发现数据库中的某部分信息已经过时后,路由器发送链路状态请求分组,请求邻站提供更新信息;路由器使用链路状态更新分组来主动扩散自己的链路状态数据库或对链路状态请求分组进行响应;由于OSPF直接运行在IP层,协议本身要提供确认机制,链路状态应答分组是对链路状态更新分组进行确认。
OSPF协议由三个子协议组成:Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用,并完成指定路由器及备份指定路由器;交换协议完成“主”、“从”路由器的指定并交换各自的路由数据库信息;扩散协议完成各路由器中路由数据库的同步维护。
4.1.1 OSPF协议主要优点:
1.为了克服距离矢量路由选择协议的缺点,开发了链路状态选择协议。
2.链路状态路由选择协议仅在网络拓扑发生变化时才生成路由选择更新。
3.链路状态路由选择协议具体如下特征:
快速响应网络变化 .
在网络变化时发送触发更新 .
以较低的频率发送定期更新,被称为链路状态刷新(LSU).
4.1.2 SPF算法
最短路径优先(SPF)路由算法,又称Dijkstra算法,所有的OSPF路由器并执行SPF 算法,根据路由器的拓扑数据库构造出来以他自己为根结点的最短路径树。这个最短路径树就生成了路由表。
4.1.3 OSPF规定有层次的网路结构,OSPF将网络分为若干区域:
1.传输区域(骨干区域):主要的功能为快速高效的传输IP分组的OSPF区域,中转区域将
其他类型的OSPF区域连接起来。
2.常规区域(非骨干区域):主要功能是为了连接用户和资源的OSPF区域
3.骨干区域的区域号必须为0。所以的常规区域必须与骨干区域相连。
层次化区域的优点:便于管理。
最小化路由表
将拓扑变更影响限制在区域内
将LSA变更泛洪限制在范围内
4.1.4 OSPF路由器在完全邻接之前,所经过的几个状态:
Down:此状态还没有与其他路由器交换信息。首先从其ospf接口向外发送hello分组,还并不知道DR(若为广播网络)和任何其他路由器。发送hello分组使用组播地址
224.0.0.5。
Attempt: 只适于NBMA网络,在NBMA网络中邻居是手动指定的,在该状态下,路由器将使用HelloInterval取代PollInterval来发送Hello包。
Init: 表明在DeadInterval里收到了Hello包,但是2-Way通信仍然没有建立起来。
two-way: 双向会话建立,而RID彼此出现在对方的邻居列表中。(若为广播网络:例如:以太网。在这个时候应该选举DR,BDR)。
ExStart: 信息交换初始状态,在这个状态下,本地路由器和邻居将建立Master/Slave关系,并确定DD Sequence Number,路由器ID大的的成为Master.
Exchange: 信息交换状态,本地路由器和邻居交换一个或多个DBD分组(也叫DDP) 。DBD包含有关LSDB中LSA条目的摘要信息)。
Loading: 信息加载状态:收到DBD后,将收到的信息同LSDB中的信息进行比较。如果DBD中有更新的链路状态条目,则向对方发送一个LSR,用于请求新的LSA 。
Full: 完全邻接状态,邻接间的链路状态数据库同步完成,通过邻居链路状态请求列表为空且邻居状态为Loading判断。
另外OSPF还有自己的自制系统即AS 自治系统(autonomous system):一组相互管理下的
网络,它们共享同一个路由选择方法,自治系统由地区再划分并必须由IANA分配一个单独的16位数字。地区通常连接到其他地区,使用路由器创建一个自治系统。
为了保持骨干区域与普通区域的连通性,需要虚链路。
4.1.5 虚链路(Virtual Link)
以下两种情况需要使用到虚链路:
1. 通过一个非骨干区域连接到一个骨干区域。
2. 通过一个非骨干区域连接一个分段的骨干区域两边的部分区域。
虚链接是一个逻辑的隧道(Tunnel),配置虚链接的一些规则:
1. 虚链接必须配置在2个ABR之间。
2. 虚链接所经过的区域叫Transit Area,它必须拥有完整的路由信息。
3. Transit Area不能是Stub Area。
4. 尽可能的避免使用虚链接,它增加了网络的复杂程度和加大了排错的难度。
4.2路由规划拓扑图
4.3 IP地址规划
标识网络中的一个节点。IP 地址空间的分配,要与网络层次结构相
适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活
性,同时能满足路由协议的要求,提高路由算法的效率,加快路由变
化的收敛速度。
我们根据以下几个原则来分配IP 地址:
唯一性:一个IP 网络中不能有两个主机采用相同的IP 地址
简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项
连续性:连续地址在层次结构网络中易于进行路由总结(Route
Summarization),大大缩减路由表,提高路由算法的效率
可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址总结所需的连续性
灵活性:地址分配应具有灵活性,可借助可变长子网掩码技术
(VLSM Variable-Length Subnet Mask),以满足多种路由策略的优
化,充分利用地址空间。
部门网段子网掩码网关地址广播地址VLAN
总部市场部10.1.1.0 255.255.255.0 10.1.1.1 10.1.1.255 2 财务部10.1.2.0 255.255.255.0 10.1.2.1 10.1.2.255 3 营销部10.1.3.0 255.255.255.0 10.1.3.1 10.1.3.255 4 人事部10.1.4.0 255.255.255.0 10.1.4.1 10.1.4.255 5 科研部10.1.5.0 255.255.255.0 10.1.5.1 10.1.5.255 6 行政部10.1.6.0 255.255.255.0 10.1.6.1 10.1.6.255 7
部门网段子网掩码子网网段网关地址广播地址保留地址VLAN
市场部10.10.0.0 255.255.255.224 10.10.0.0/27 10.10.0.1 10.10.0.31 6个 2 财务部10.10.0.0 255.255.255.248 10.10.0.96/29 10.10.0.97 10.10.0.103 1个 3
营销部10.10.0.0 255.255.255.224 10.10.0.32/27 10.10.0.33 10.10.0.63 10个 4 分部
人事部10.10.0.0 255.255.255.240 10.10.0.64/28 10.10.0.65 10.10.0.79 4个 5 科研部10.10.0.0 255.255.255.240 10.10.0.80/28 10.10.0.81 10.10.0.95 4个 6 行政部10.10.0.0 255.255.255.248 10.10.0.104/29 10.10.0.105 10.10.0.111 1个7
第五章网络安全解决方案
5.1 网络边界安全威胁分析
与非安全网络的互联面临的安全问题与网络内部的安全是不同的,主要的原因是攻击人是不
可控的,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有
下面几个方面:
1、信息泄密:网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,
信息就泄露了。一般信息泄密有两种方式:
?攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密
?合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密
2、入侵者的攻击:互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改数据,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。
3、网络病毒:与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。
4、木马入侵:木马的发展是一种新型的攻击行为,他在传播时象病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是“僵尸网络”。
来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权、审计的方式追踪用户的行为轨迹,也就是我们说的行为审计与合轨性审计。
由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:
1、黑客入侵:入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。
2、病毒入侵:病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。
3、网络攻击:网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS攻击,虽然不破坏网络内部的数据,但阻塞了应用的带宽,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断。
5.2 网络内部安全威胁分析
公司内部网络的风险分析主要针对整个内网的安全风险,主要表现为以下几个方面:
1.内部用户的非授权访问;内部的资源也不是对任何的员工都开放的,也需要有相应的访问
权限。内部用户的非授权的访问,更容易造成资源和重要信息的泄漏。
2.内部用户的误操作;由于内部用户的计算机造作的水平参差不
齐,对于应用软件的理解也各不相同,如果一部分软件没有相应的对
误操作的防范措施,极容易给服务系统和其他主机造成危害。
内部用户的恶意攻击;就网络安全来说,据统计约有70%左右
的攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚
的优势,因此,对内部用户攻击的防范也很重要。
设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。例如,路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。
3.重要服务器或操作系统自身存在安全的漏洞,如果管理员没有及
时的发现并且进行修复,将会为网络的安全带来很多不安定的因素。
重要服务器的当机或者重要数据的意外丢失,都将会造成内部的业务无法正常运行。
4.安全管理的困难,对于众多的网络设备和网络安全设备,安全策
略的配置和安全事件管理的难度很大。
5.3 安全产品选型原则
公司网络属于一个行业的专用网络,因此在安全产品的选型
上,必须慎重,选型的原则包括:
1.安全保密产品的接入应不明显影响网络系统运行效率,并且满足
工作的要求,不影响正常的业务;
2.安全保密产品必须满足上面提出的安全需求,保证整个公司企业网络的安全性。
3.安全保密产品必须通过国家主管部门指定的测评机构的检测;
4.安全保密产品必须具备自我保护能力;
5.安全保密产品必须符合国家和国际上的相关标准;
6.安全产品必须操作简单易用,便于简单部署和集中管理
5.4 网络常用技术介绍
HSRP 协议
我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议,其含义是系统中有多台路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。
VLAN 技术
(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于1999 年颁布了用以标准化VLAN 实现方案的802.1Q 协议标准草案。
VLAN 技术允许网络管理者将一个物理的LAN 逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN