1、 基于企業的網絡設計方案 學 院： 計算機與信息工程學院 專業班級： 2011級通信工程2班 姓 名： 王 偉 學 號： 20114536 指導老師： 趙海琳 目錄1. 封面.12. 目錄.23. 摘要.34. 企業網絡需求分析.41.1 網絡風險分析41.2 網絡需求分析55. 企業網絡的設計.52.1布線系統設計.52.2網絡技術的選擇.72.3網絡設備的選擇.86.企業網絡的總體規化.103.1網絡拓樸結構規化.103.2 ip地址的規化123.3 虛網的劃分133.4 adsl技術與vdsl技術.137.企業網絡安全設計與規化.144.1安全需求分析.144.2網絡安全策略.144.3

2、系統安全目標.144.4安全方案設計.154.5 安全服務、機制與技術.164.6 網絡安全體系結構.16摘要：當今世界正進入信息經濟時代，對于廣大的中小型/成長型企業來說，網絡上蘊藏著巨大的商機，企業只有通過全面的信息化才能完成資源利用最大化和可持續發展的戰略目標，從而在未來的競爭中處于有利的地位。因此對于一個企業擁有一個自已的網絡，是迫在眉捷的問題。企業全面的信息化包含兩個方面的內容：首先是搭建企業局域網實現企業內部資源共享、信息網絡化；其次是搭建企業商業網站實現互聯網信息交互和電子商務。中小型/成長型企業實現信息化，傳統的做法是先購買系統集成商的服務，然后購買網頁設計服務，最后購買虛擬主

3、機服務商的服務。本課程設計正是針對中小企業/分支機構信息化的迫切需求，提供一站式intranet/internet解決方案。包括中小型/成長型企業局域網（intranet）解決方案和中小型/成長型企業商業網站（internet）解決方案。這是一套簡單、安全、經濟、穩定的中小企業信息化一站式解決方案。企業不必分別向系統集成商，網頁設計公司和虛擬主機提供商分別購買服務，也無需購買服務器、路由器等昂貴的網絡設備，就能立即擁有自己的企業內部網（intranet）和商業網站（internet），進行網上信息發布，開展企業電子商務(e-bussiness)等網絡活動。關鍵字：企業信息化，網絡，局域網 企業

4、網絡需求分析1. 1網絡風險分析對于信息網所面臨的安全風險涉及網絡環境多方面，包括：自然災水災、火災、地震等；電子化系統故障系統硬件、電力系統故障等；人員無意識行為編碼缺陷、系統配置漏洞、誤操作及無意泄漏等；人員蓄意行為網絡環境可用性破壞、惡意攻擊等。其中，前三個方面的風險能夠通過增強對網絡環境的抗自然災害的能力、加強網絡設備管理維護、系統操作管理等手段來加以完善，盡可能將風險降低到能夠被控制和管理的程度。而對于第四方面的安全風險，對整個信息網的安全環境所構成的危害最大，同時也是最難于管理與防范的。且不僅僅能夠通過加強對網絡環境及人員的安全管理所能夠實現的，盡管安全管理非常重要。同時需要相應的

5、安全技術手段輔助完成。這也是本安全方案所要詳細闡述的。對于在信息網環境中，采取何種安全技術手段且如何實現，就需要通過對前面提到第四方面的安全風險的分析的基礎上，針對信息網安全需求來確定。對于風險來說，它應包括那些可以被管理但又不能被清除的，以及那些能夠中斷網絡工作流并對工作環境造成破壞性的威脅。其中，主要包括：對于網絡應用服務的非授權訪問信息交互的保密性網絡病毒的傳播與滲入網絡拒絕服務攻擊網絡偵聽網絡欺騙口令攻擊路由攻擊針對網絡設備配置漏洞的攻擊針對應用軟件之缺陷的攻擊會話竊取攻擊等等。通過對以上主要的網絡威脅分析，使我們能夠準確把握息網的網絡安全需求。并通過下面針對信息網安全的需求分析，確定

6、現階段的網絡安全技術方案部分。1.2 網絡需求分析建設一套完善的網絡系統，進行需求分析是十分必要的。網絡需求分析主要完成如下幾項工作：一、通過需求分析，了解現有的環境和現有的應用系統了解一個單位原有的計算機應用現狀，對規劃好網絡方案是十分必要的。現有的應用系統都是在一定的歷史條件下存在的，這里除了包含計算機軟硬件資源外，還應包括用戶對系統的掌握與熟悉程度，一但環境發生變化后，如何使用戶平滑過渡，這在網絡規劃時都應考慮到。 二、通過需求分析，了解哪些應用系統具有保密性需求分析階段，可以了解到在一個單位的網絡系統中，那些應用系統是保密的，那些是開放的。對于保密的應用系統，在網絡規劃和設計時，制定安

7、全策略。如一個單位的人事管理系統和財務管理系統，除禁止外來用戶的訪問外，也要防止內部非法用戶的訪問。近一兩年隨著internet技術的發展，在構造企業內部網絡（intranet）時，大都采用了防火墻技術，通過這一技術可以把非法戶隔離在防火墻以外，防火墻可以對付外來黑客的侵入，但對內部用戶只能進行有效控制。三、通過需求分析，進行網絡的規劃和劃分在規劃一個單位的網絡時，應該了解部門與部門之間，部門內部之間的信息流量。一般來說，將數據交換最為頻繁的用戶組織在一個網段上，用以抑制整個網絡的廣播風暴，提高網絡效率。四、通過需求分析，可以了解對網絡帶寬的要求在規劃一個單位的網絡時，通過需求分析可以了解不同

8、的用戶多網絡帶寬的需求，特別是進一兩年，多媒體技術的發展，用戶對網絡帶寬的需求有很大差異，這在網絡規化階段應十分注意。尤其是一些公共服務器的接入，如公共文件服務器，公共數據庫服務器等，應采用高帶寬技術接入。對于本案例中的中小企業的局域網內部，我們的方案是采用tl-100互聯網功能服務器通過內置的dhcp服務器，dns服務器，pop3服務器，smtp服務器，web代理服務器等各項互聯網常用的服務，使內部網絡的計算機通過tl-100互聯網功能服務器這扇“大門”訪問外部世界。對于企業內部網絡和internet之間的信息傳輸，tl-100互聯網功能服務器設計了非常靈活的控制手段和非常詳細的信息流動日志

9、記錄。同時，采用linux操作系統，利用linux的kernel，實施嚴格的數據包過濾策略，確保由internet對中小企業內部網絡的入侵的幾率最小。中小企業一站式intranet/internet解決方案首要解決的問題是：1、 資源共享用戶可共享局域網內的文件、打印機等軟硬件資源。2、通信服務用戶可通過廣域網連接收發電子郵件、web瀏覽、多媒體服務、vpn等應用。針對于上述問題，中小企業一站式intranet/internet解決方案在實施中又遵循了信息安全原則，即網絡信息的流動和網絡信息使用方式可分級、可分類、可控制、可審計安全。中小企業一站式intranet/internet解決方案實施

10、中遵循的經濟性原則是：盡量節省用戶信息系統的整體使用成本（包括硬件、軟件、網絡通訊費用、系統維護費用）。安全原則實施遵照上述安全原則，中小企業一站式intranet/internet解決方案在邏輯上，將網絡分為可信網絡（tl-100互聯網功能服務器連接企業內部網絡lan和tl-100互聯網功能服務器允許連接的可信網絡服務器組成的網絡）和不可信網絡（internet上其它服務器和主機）；將信息分為允許使用的信息和不允許使用的信息；將用戶分為可信用戶（允許使用網絡）和不可信用戶（不允許使用網絡）。通過上面對信息系統的信息平臺、信息流、信息使用人的分類，為我們區別處理不同信息需求提供了依據。依照上述

11、的分類，tl-100互聯網功能服務器網絡解決方案在網絡層、傳輸層、會話層、應用層都設計了安全防護和審計措施，使得tl-100互聯網功能服務器網絡解決方案做到網絡信息流動的整體安全要求達到可接收的平衡。在安全的具體實施上，基于對于信息平臺、信息、信息使用人員的分類，我們針對每類處理對象都設計了“鏈式”處理過程，在“鏈條”上的每個“節點”的處理中斷都造成整個安全處理過程的中斷。經濟性原則實施遵照經濟性的原則，tl-100互聯網功能服務器網絡解決方案中對于用戶和互聯網連接的時間問題作了比較細微的可控處理。tl-100互聯網功能服務器在技術上主要采用ppp協議，由于ppp協議具有穩定、可靠、空閑超時自

12、動斷開連接的優點，所以我們利用ppp協議的優點，在對isp的連接方面做了開發工作，使tl-100互聯網功能服務器按照下面的順序工作：1，如果內部對internet有數據請求，自動撥號連接；2，向管理服務器報告自己的ip地址等身份信息；3建立加密信道，與郵件中轉服務器確認身份；4，到郵件中轉服務器收取本域的郵件；5，檢測內部網絡是否還有對internet的數據請求，如果沒有對internet的數據請求的情況超過300秒，自動斷開與isp的連接。通過上面的連接處理過程，tl-100互聯網功能服務器網絡解決方案做到了最大程度的節省用戶的網絡通訊使用費用（這是用戶使用過程中發生的數額比較大，最易造成浪

13、費的費用）。另外，tl-100互聯網功能服務器采用軟硬件捆綁的設計方案，根據中小企業的情況，量身定做了既能充分滿足企業信息需求，又穩定、可靠的“黑匣子式”的互聯網接入功能服務器。無需企業另外采購計算機硬件平臺、操作系統、網絡服務應用軟件、網絡安全管理軟件和聘請專業管理維護人員。通過上面的綜合的整體設計，tl-100互聯網功能服務器網絡解決方案滿足了對于目前中小企業的信息化需求的整體的最小成本需求。企業網絡的設計對于中小企業一站式intranet/internet的設計主要達到以下四個目的：。1、 實用性和經濟性系統建設應始終貫徹面向應用，注重實效的方針，堅持實用、經濟的原則建設企業的網絡系統。

14、 2、先進性和成熟性 系統設計既要采用先進的技術和方法，又要注意結構、設備的相對成熟。不但能反映當今的技術水平，而且具有發展潛力。 3、可靠性和穩定性從系統結構、技術措施、設備性能、系統管理、廠商技術支持及維修能力等方面著手，確保系統運行的可靠性和穩定性，達到最大的平均無故障時間。 4、安全性和保密性在系統設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統應分別針對不同的應用和不同的網絡通信環境，采取不同的措施。針對于上述幾個目的，我們主要從以下幾個方面來進行設計。2.1布線系統設計所謂綜合布線系統就是將所有的話音、數據、圖像和監控設備的布線組合在一起，當終端設備的位置需要變

15、動時，只須將其插入新地點的插座上，然后作一些簡單的跳線就行了，不需要再布放新的纜線，也不需要安裝新的插孔。結構化綜合布線以其高度的靈活性及多元化服務而越來越得到人們的重視。綜合布線系統由6個子系統組成，它們是：工作區子系統、水平布線子系統、干線子系統、管理子系統、設備間子系統和建筑群子系統。工作區子系統由終端設備連接到信息插座的連線組成，包括裝配軟線、連接器和連接所需的擴展軟線，并在終端設備與io之間搭橋。水平布線子系統是指從用戶工作區連接至垂直干線子系統的部分，它與干線子系統的區別是，水平子系統處于同一樓層。干線子系統也稱垂直主干線子系統，它提供建筑物干線電纜的路由管理子系統，由交連、互連以

16、及io組成，它介于水平子系統和干線子系統之間，管理點為連接其他子系統提供連接手段。如配線架、配線器。設備間子系統由設備間中的電纜、連接器和有關的支撐硬件組成。它的作用是把公用系統設備的不同設備互連起來。2.2網絡技術的選擇與同類解決方案比較中小企業一站式intranet/internet解決方案是一項設計嚴謹、功能完善、系統化程度很高的整體網絡解決方案。其它相似的技術解決方案，或者在技術上或者在成本上同本方案相比都有些欠缺。它主要可以采用以下幾個技術方案：方案一：windowsnt ( windows 2000 server ) + proxy + exchange+winroute（或che

17、ckpoint）上述軟件組合能夠實現和tl-100互聯網功能服務器網絡解決方案相同的包過濾防火墻、郵件服務器、web瀏覽代理、ftp服務代理等功能。但是由于windowsnt(或windows2000 server)對于計算機硬件要求比較高，正版軟件的價格也比較高，更為重要的是：從技術上來說，上面的方案需要固定的ip地址，這意味著企業每時每刻還需繳納一筆額外的費用。另外，上述軟件還需要專業的系統管理員來維護。（微軟的產品有無數的補丁需要你“補上”）上面的解決方案明顯的不太符合目前國內中小企業對于信息化的“性能價格比”要求和維護成本要求。方案二：windows98（windowsnt）+wing

18、ate 這種方案能夠實現web代理和數據包過濾的部分功能，另外，新版本的wingate還提供網絡地址轉化功能（nat）功能和防火墻功能。這個方案的缺點是：系統硬件要求比較高（如果你系統整個系統運行穩定），應用軟件和操作系統軟件整體成本太高。安全的規則需要專業人士的配置。沒有很好的解決企業電子郵件系統的使用需求。另外，部分“高級”功能的實現需要安裝“客戶端軟件”。加重了網絡系統的維護負擔。方案三：windows98(windowsnt) + dns2go 這種方案，在windows操作系統上安裝相應的客戶端軟件，和dns2go站點的dns服務器協調工作，達到動態域名解析的目的。這種方案能夠完成中

19、小企業一站式intranet/internet解決方案中從tl-100互聯網功能服務器到互連網之間的dns通訊問題，但這種方案對于用戶的域名只能在下選擇。如果將自己企業的域名轉到dns2go上的域名服務器授權解析的工作，dns2go的域名服務器也只做域名解析的工作，不提供其它和域名相關的服務（如電子郵件服務器不在線的郵件接收問題）。另外，這種方案的運行穩定性在通訊線路不佳，造成用戶的機器頻繁撥號連接isp而造成的ip地址變動的情況發生時，用戶域的主機域名紀錄的頻繁變動。但是這些變動數據和在互聯網上其它dns服務器緩存中的數據不會隨時同，這種情況會造成web和e-mail等需要固定ip的互聯網服

20、務無法正常提供服務。（例如：在域名和ip地址變動時，可能造成互聯網上用戶向本域e-mail投遞失敗，或將e-mail投遞到其它恰巧使用相同解決方案且恰巧有smtp服務器上）對比項目中小企業一站式intranet解決方案費用傳統的接入方案費用計算機硬件平臺穩定的工業級硬件平臺無需購硬件平臺10,000元左右操作系統基于linux無基于windows windows2000 server(10用戶) 12,270元代理服務功能http,ftp,telnet 無需購專業軟件ms proxy server12,784元郵件服務功能企業域名郵箱(用戶數量不限,郵箱容量不限)無需購專業軟件exchange

21、(25用戶) 24,807元web功能提供100mweb空間無需租用web空間1,000元/年防火墻功能有無需購專業軟件checkpoint 30,000元 方案價格性價比高18700元實現同樣的功能價格幾倍于前者90,861元服務及管理web,mail服務,網絡安全管理，根據要求提供網絡安全狀況日制，上網瀏覽日制，郵件日制，企業無須專業人員維護2800元/年需專業人員操作維護30,000元/年(專業人員工資)2.3網絡設備的選擇選擇網絡設備產品時，特別是網絡核心設備，如：局域網的核心交換機、廣域網的核心路由器，應充分考慮設備的擴充能力和技術升級。1明確擬構建的網絡需要哪類網絡產品，根據需求階

22、段的分析，應清楚擬構建的網絡系統需要哪類網絡產品。如屬于連接類的布線媒體、網絡接口卡、集線器、集中器、收發器等；屬于網際類的網橋、路由器、交換器等；屬于網絡系統軟件類的網絡操作系統、網管軟件等。對這些網絡產品應清楚它工作在iso參考模型的第幾層。如路由器工作在iso參考模型的第三層，通過軟件交換信息包。2根據所需的網絡產品，對不同廠家進行對比分析3網絡產品盡量使用同一廠商。使用同一廠商產品會帶來如下好處：首先，任何網絡廠商大多開發了適合自身產品的網管支撐軟件，在選擇網絡產品時，如果選用不同廠家產品，會造成網管上的不統一，經濟上的浪費。其次，選擇同一廠商產品，對網管人員帶來諸多便利。如要掌握的內

23、容減少，技術支持、技術服務和較少的廠家聯絡；也有人提出選擇網絡產品，充分利用不同廠家的產品優勢，將它們進行有機組合。如選擇一家產品太危險。我們認為，這關建是如何把握的問題，因此在選擇網絡產品時，首先要看是否符合國際標準，同時產品廠家應是有前途的公司。在本案例中，我們推薦的網絡設備配置是：網絡產品配置方案建議配置：中心交換機catalyst 2924 一臺桌面交換機catalyst 1924 一臺網管軟件ciscoworks windows 3.1網絡產品特點cisco catalyst 2924xl是具有24端口的10m/100m自動感應快速交換機，提供卓越的性能、通用模塊和易于使用管理。ci

24、sco catalyst 2900系列xl具有如下特性： 每秒300萬數據包的轉發速率，可以跨所有端口提供線速性能。 基于web界面的cisco visual switch manage，可以通過一個標準web瀏覽器從網絡的任何地方對交換機進行管理。 64個基于端口的vlan 控制臺接入的多級安全，可以防止未經授權的用戶改變交換機配置。 允許在擁有無限制的mac地址數的網絡中操作的網絡端口。 從一臺啟動服務器上對網絡的多臺交換機自動進行配置。 通過fast etherchannel技術，在路由器、交換機和服務器之間提供800mbps的帶寬。（多鏈路群集） 支持cgmp，能使交換機動態、有選擇地

25、將路由的ip多路傳輸流量轉發到目標終點站。catalyst 1924交換機以低廉的價格提供業界領先的性能和cisco端對端網絡集成。企業版軟件通過嵌入的cisco ios技術，能使這些交換機提供無與倫比的網絡配置靈活性和可伸縮性，提供全面的管理和安全。帶寬優化，網絡多媒體和虛擬局域網（vlan）支持。特性： 1024媒體訪問控制（mac）地址高速緩存 簡化安裝和管理的基于web界面的cisco visual switch manage cisco works設備管理支持 telnet和snmp支持 支持cgmp，能使交換機動態、有選擇地將路由的ip多路傳輸流量轉發到目標終點站，減少網絡流量 c

26、isco ios cli（企業版） 通過fast etherchannel技術提供帶寬集合，增強容錯功能，并在交換機、路由器和不同服務器之間提供400mbps的帶寬（企業版）ciscoworks windows是全面的網絡管理軟件，它為簡單地管理中小型企業網絡提供功能強大的工具集。動態的狀態、統計以及全面的配置信息等可用于cisco的路由器、交換機、集線器，而且跨不同的服務器。ciscoworks windows基于snmp業界標準，利用業界領先的cisco ios軟件的強大嵌入式特性，在不同的異構型網絡內提供全面的解決方案。企業網絡的總體規化3.1 網絡拓撲結構規化一套完善的網絡規劃方案中網

27、絡拓撲結構圖是方案的重要組成部分。網絡拓撲結構圖應包括如下內容：網絡核心交換機、網絡主服務器的接入、與其他網絡的互連、與internet網絡是否連接、網絡的結構是星型還是網狀結構，通過網絡拓撲結構，可知道主干網技術。網絡拓補圖參考： 總體拓補圖：總體拓樸圖擴充圖1: 三層模型參考圖：層adslservice層層公司總部拓樸圖參考：分公司、辦事處拓補圖參考：3.2 ip地址的規劃在一個以tcpip為協議的網絡系統中，每一臺設備都是以ip地址標識網絡位置的，因此在規劃網絡方案時，要為網上所有設備包括服務器、客戶機、打印服務器等分配一個唯一的合法ip地址。一、明確通用ip和內部ip的概念ip地址由3

28、2位二進制數碼組成，分為五類，常用有三類，即a、b、c類地址。根據internet文件rfc1918，地址10xxx作為內部網絡地址使用。在規劃網絡方案時，應明確哪些服務器為內部服務器（只在本單位內部使用），哪些服務器為公共主機（除本單位使用外，通過tcpip協議與外部網絡通信，如web），內部服務器只需要一個內部ip，公共主機分配一個通用地址。二、明確ip地址的類型在選擇內部的ip地址類型時，應根據內部網中的子網數量及每個子網的規模進行選擇。如一個子網，主機數少于255，則可用一個c類地址標識該子網的設備。因c類地址的前三段為網絡標識，第四段為主機標識。有時要用子網掩碼劃分子網，如石化集團公

29、司企業內部網中，齊魯石化公司擁有一個b類地址空間的a類地址10134xx（網絡地址第一段為10，屬a類地址范圍），該公司規劃地址時分配橡膠廠一個c類空間地址1013415x，橡膠廠為了劃分自身子網，必須用子網掩碼。這里要特別注意子網掩碼值與所劃分的子網數量一一對應。一般情況下不用子網掩碼劃分子網，此時其值為2552552550。三、如何規劃網絡設備地址在一個網絡系統中，網絡中的路由器、交換機端口都需要配置地址，如何配置這些地址呢？對于路由器來說，要配置兩類地址，一類是與本地網結入的網關地址，另一類是廣域端口地址。廣域端口地址要區分是連入本地網，還是連入其他網絡（如internet或行業網），配

30、置這些端口地址時要合理規劃，子網掩碼值與本網段子網數一一對應。交換機端口地址的配址，首先區別交換機的端口支持的mac地址數，如只支持一個mac地址，就不需配置。因這種端口只能連接一臺主機；如果交換機端口支持多個mac地址，每個端口相當于一個網關，可為一個子網，這時每個端口都要配置地址，這個地址與連入該端口的主機地址處于一個網段或子網。不論路由器端口地址，還是交換機端口地址，屬于網絡管理人員的事，為確保網絡安全，應保密。四、如何規化服務器和客戶機地址一般來說，服務器可以接入主干網，也可以接入某一網段（如部門服務器），但不管服務器接入哪一網絡設備端口，它都與所接的網絡設備端口標識是相同的。因此，服

31、務器ip地址的規劃只需對主機標識進行規劃就可以了。客戶機或網絡工作站ip地址規劃，由于其與所接的交換機端口處于同一網絡，也只需對主機標識進行規劃即可。在具體規劃時，應盡量使主機標識體現內部網中客戶機的特征。一般來說可按房間號、樓層、處室等進行分配。如信息中心大樓網絡ip地址規劃，主機標識按處室連序分配。石化集團總部機關大樓，主機標識按房間號分配。五、對一些特殊場所的考慮，一個綜合辦公樓，必有一些特殊場所，如會議室、培訓教室等，這些特殊場所因使用上的隨機性，在規劃ip時，留出一些便于記憶的地址段，使用時臨時分配，不作具體規定。 3.3 虛網的劃分所謂虛擬網絡（vlan）就是一些共享資源用戶的集合

32、，這些用戶不一定連接在同一臺網絡設備上，它是用戶與相關資源的邏輯組合。網絡中任何部分或設備均可是虛擬網成員，而不管其虛擬網絡成員實際位置。因此，通過虛擬網技術可以將一個物理連結的網絡，按照一定的邏輯關系，通過不同的方式，劃分成相互隔離的工作組。劃分虛擬網絡的前提是用戶必須與支持虛擬網絡的交換機連接。虛擬網絡最大的好處是大大簡化了網絡管理工作。它使網管人員按照共同的特點、性質來劃分工作組，而不是按物理位置劃分。規劃網絡方案時，將虛擬網絡技術引進，對于網絡設備的選型、網絡的劃分、網絡地址的規劃及未來的網絡管理密切相關。3.4、adsl技術和vdsl技術adsl即非對稱數字用戶線路，它充分利用現有的

33、電話線路資源，在一對雙絞線上提供上行640kbps，下行8mbps的帶寬。傳統的電話系統使用的是電話線的低頻部分，而adsl采用dmt（離散多音頻）技術，將原先電話線路0hz到1.1mhz頻段劃分成256個頻寬為4.3khz的子頻帶。其中，4khz以下頻段仍用于傳送pots（傳統電話業務），20khz到138khz的頻段用來傳送上行信號，138khz到1.1mhz的頻段用來傳送下行信號。 vdsl即甚高速數字用戶線路，它運用一對vdsl設備，通過傳統的電話線在一定服務范圍內實現高速度的信息傳輸。 vdsl可以看作是adsl的快速版本。vdsl在短距離內的最大下行速率可達55mbps，上行速率可

34、達19.2mbps。vdsl用頻分復用(fdm)分隔信道，上傳和下傳數據信道都可在現有的pots或isdn服務上被頻分。像adsl一樣，vdsl將主要用于實時視頻傳輸和高速數據訪問。為了適應系統變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現系統的擴展和維護，采用可網管產品，降低人力資源的費用，提高網絡的易用性。 兩種撥號共享方式的比較：簡單復雜維護有防火墻功能，設置方便有防火墻功能，但設置復雜防火墻軟件實現，設置方便，可以實現復雜邏輯路由器內實現，設置復雜，控制能力有限上網控制能力需要路由功能adsl，或單獨路由器不需要不需要adsl路由撥號共享需要手動撥號需要服務器普通piii電腦

35、即可勝任代理服務器撥號共享成本企業網絡安全設計與規化4.1安全需求分析 通過前面我們對這個企業局域網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到： 公開服務器的安全保護 防止黑客從外部攻擊 入侵檢測與監控 信息審計與記錄 病毒防護 數據安全保護 數據備份與恢復 網絡的安全管理 針對這個企業局域網絡系統的實際情況，在系統考慮如何解決上述安全問題的設計時應滿足如下要求：1. 大幅度地提高系統的安全網絡設置； 2. 易于*作、維護性（重點是可用性和可控性）；3. 保持

36、網絡原有的能特點，即對網絡的協議和傳輸具有很好的透明性，能透明接入，無需更改，并便于自動化管理，而不增加或少增加附加*作； 4. 盡量不影響原網絡拓撲結構，同時便于系統及系統功能的擴展；5. 安全保密系統具有較好的性能價格比，一次性投資，可以長期使用；6. 安全產品具有合法性，及經過國家有關管理部門的認可或認證； 7.分布實施。 4.2網絡安全策略 安全策略是指在一個特定的環境里，為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分，即：威嚴的法律：安全的基石是社會法律、法規、與手段，這部分用于建立一套安全管理標準和方法。即通過建立與信息安全相關的法

37、律、法規，使非法分子懾于法律，不敢輕舉妄動。先進的技術：先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定其需要的安全服務種類，選擇相應的安全機制，然后集成先進的安全技術。嚴格的管理：各網絡使用機構、企業和單位應建立相宜的信息安全管理辦法，加強內部管理，建立審計和跟蹤體系，提高整體信息安全意識4.3系統安全目標 基于以上的分析，我們認為這個局域網網絡系統安全應該實現以下目標： 建立一套完整可行的網絡安全與網絡管理策略將內部網絡、公開服務器網絡和外網進行有效隔離，避免與外部網絡的直接通信，建立網站各主機和服務器的安全保護措施，保證他們的系統安全，對網上服務請求內容進行控制

38、，使非法訪問在到達主機前被拒絕 ，加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度 ，全面監視對公開服務器的訪問，及時發現和拒絕不安全的*作和黑客攻擊行為 。強對各種訪問的審計工作，詳細記錄對網絡、公開服務器的訪問行為，形成完整的系統日志。備份與災難恢復強化系統備份，實現系統快速恢復加強網絡安全管理，提高系統全體人員的網絡安全意識和防范技術 4.4 安全方案設計 在對這個企業局域網網絡系統安全方案設計、規劃時，應遵循以下原則： 綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及

39、專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。 需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系

40、統的安全策略。 一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好后再考慮安全措施，不但容易，且花費也小得多。 易*作性原則：安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統的正常運行。 分步實施原則：由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一

41、勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。 多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 可評價性原則：如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實4.5安全服務、機制與技術 安全服務：安全服務主要有：控制服務、對象認證服務、可靠性服務等； 安全機制：訪問控制機制、認證機制等； 安全技術：防火墻技術、鑒別技術、審計監控技術、病毒防

42、治技術等；在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機制或安全技術來實現的。應當指出，同一安全機制有時也可以用于實現不同的安全服務。 4.6 網絡安全體系結構 通過對網絡的全面了解，按照安全策略的要求、風險分析的結果及整個網絡的安全目標，整個網絡措施應按系統體系建立。具體的安全控制系統由以下幾個方面組成：物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理 一、物理安全 保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提，物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為*作失誤或

43、錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面： 環境安全：對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標準gb5017393電子計算機機房設計規范、國標gb288789計算站場地技術條件、gb936188計算站場地安全要求設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；媒體安全：包括媒體數據的安全及媒體本身的安全。 在網絡的安全方面，主要考慮兩個大的層次，一是整個網絡結構成熟化，主要是優化網絡結構，二是整個網絡系統的安全。 二、網絡結構 安全系統是建立在網絡系統之上的，網絡結構的安全是安全系統成功建立的基礎。在整個網絡

44、結構的安全方面，主要考慮網絡結構、系統和路由的優化。網絡結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網絡維護管理、網絡應用與業務定位等因素。成熟的網絡結構應具有開放性、標準化、可靠性、先進性和實用性，并且應該有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完善的安全保障體系。網絡結構采用分層的體系結構，利于維護管理，利于更高的安全控制和業務發展。網絡結構的優化，在網絡拓撲上主要考慮到冗余鏈路；防火墻的設置和入侵檢測的實時監控等。 三、網絡系統安全 訪問控制及內外網的隔離 訪問控制可以通過如下幾個方面來實現： 1. 制訂嚴格的管理制度:可制定的相應：用戶授權實施

45、細則、口令字及帳戶管理規范、權限管理制度。 2.配備相應的安全設備：在內部網與外部網之間，設置防火墻實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火墻設置在不同網絡或網絡安全域之間信息的唯一出入口。 防火墻主要的種類是包過濾型，包過濾防火墻一般利用ip和tcp包的頭信息對進出被保護網絡的ip包信息進行過濾，能根據企業的安全政策來控制（允許、拒絕、監測）出入網絡的信息流。同時可實現網絡地址轉換（nat）、審記與實時告警等功能。由于這種防火墻安裝在被保護網絡與路由器之間的通道上，因此也對被保護網絡和外部網絡起到隔離作用。 防火墻具有以下五大基本功能：過濾進

46、、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。 內部網不同網絡安全域的隔離及訪問控制 在這里，主要利用vlan技術來實現對內部子網的物理隔離。通過在交換機上劃分vlan可以將整個網絡劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的vlan段內，就可以限制局部網絡安全問題對全局網絡造成的影響。 四、網絡安全檢測 網絡系統的

47、安全性取決于網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節？如何最大限度地保證網絡系統的安全？最有效的方法是定期對網絡系統進行安全性分析，及時發現并修正存在的弱點和漏洞。網絡安全檢測工具通常是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。檢測工具應具備以下功能： 具備網絡監控、分析和自動響應功能 找出經常發生問題的根源所在；建立必要的循環過程確保隱患時刻被糾正；控制各種網絡安全危險。漏洞分析和響應配置分析和響應漏洞形勢分析和響應認證和趨勢分析具體體現在以下方面： 防火墻得到合理配置內外web站點的安全漏洞減為最低網絡體系達到強壯的耐攻擊性各種服務器*作系統，如e_mial服務器、web服務器、應用服務器、，將受黑客攻擊的可能降為最低對網絡訪問做出有效響應，保護重要應用系統（如財務系統）數據安全不受黑客攻擊和內部人員誤*作的侵害 五、 審計與監控 審計是記錄用戶使用計算機網絡系統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統，還能看出系統正被怎樣地使用。對于確定是否有網絡攻擊的