學習情境四：綜合案例

項目9綜合案例網絡整體安全部署9.1項目背景與需求分析9.2項目的規劃設計與實施9.3綜合項目施工報告9.4項目習作網絡安全技術與實施網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第1頁。網絡整體安全部署網絡建設的主要目的就是為廣大用戶提供寬松、開放、易用的網絡環境，而對于一個企業來說，圍繞著企業創造的社會效益、經濟效益、內涵文化等方面建設有很多種體現形式如網站建設、OA應用、E-MAIL、FTP、BBS等多種Internet服務項目。企業內部的總體設計將本著總體規劃、分布實施的原則，充分體現系統的技術先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。這樣對于一個企業來說網絡安全也顯得尤為重要，本項目將從一企業網絡整體部署涉及相關點來進行安全設計。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第2頁。9.1項目背景與需求分析

某企業網絡A企業是一個跨地區的大型企業，它由A企業長春總部、A企業上海分公司、A企業北京辦事處組成，A企業三個分部處于不同城市，具有各自的內部網絡，并且都已經連接到互聯網中。A企業長春總部園區網絡需求：A企業長春總部要求有一個外網服務器提拱WWW服務，一個內網服務器提供OA辦公便于企業分支進行VPN訪問，企業總部有四個樓層每個樓層約有20臺PC左右。A企業北京辦事處網絡需求：A企業北京辦事處有一個辦公室20人左右，要求不超過20臺PC同時能上互聯網與客戶進行網絡溝通并能對總部進行VPN訪問。A企業上海分公司網絡需求：A企業上海分公司有兩個樓層，每個樓層各有20臺PC左右，要求內網放置一個服務器提供文件及打印功能，并要求分公司會議室能實現無線上網。需求分析：A企業長春總部園區網絡分析：需添加四臺接入交換機、二臺匯聚交換機、一臺核心交換機、一臺內網服務器、一臺外網服務器、一臺企業防火墻、一臺接入路由器、1至4樓各辦室計算機每層20臺PCA企業北京辦事處網絡分析：需添加一臺接入路由器、一臺交換機、一個辦公室20臺PCA企業上海分公司網絡分析：需添加一臺接入路由器、一臺核心交換機、二臺接入交換機、一臺內網服務器、無線AP、2個樓層，每層20臺PC網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第3頁。9.2項目的規劃設計與實施A企業網絡設備涉及企業防火墻、路由器、核心交換機、匯聚交換機、接入交換機、服務器、無線AP等網絡安全設備。A企業長春總部園區網絡是一個典型的大中型企業網絡模型，是一般對信息要求相對較高的企事業單位所采用的基于核心層、匯聚層、接入層三層設備的網絡結構。對于網絡性能、訪問控制、接入管理等劃分較為清晰，是一般由多棟建筑形成的園區所常采用的組網結構。它的基本結構層次清晰，可規劃、設計與改造空間較大，網絡設備比較齊全，安全管理與配置也相對要求較高。它是由若干二層的接入交換機、若干三層的匯聚交換機、若干核心交換所連接的內部網絡、防火墻、服務器和接入路由器組成。此類網絡的安全配置要從多個角度考慮，如接入部分、內網部分等。通過對路由器的配置可以實現NAT、ACL、VPN、IDS、CA、UTM防火墻等功能。此類網絡中的安全設備可以根據實際需求靈活選擇，具體要根據需求而定。A企業北京辦事處網絡是應用最為普遍的小型辦公SOHO網絡，適合于員工人數在百人以內的規模，它的基本結構簡單，網絡設備較少，員工所用設備基本處于同一局域網段內，安全管理與配置也相對要求不是很高，并且沒有專門人員管理與維護。它是由一到兩臺二層交換機所連接的內部網絡和接入路由器組成。此類網絡的安全配置主要是通過路由器或具有路由器功能的主機設備來加以實施的。通過對路由器的配置可以實現NAT、ACL、VPN、DHCP、包過濾防火墻等基本功能。此類網絡也可以引入專用的安全設備，具體要看此部分網絡對安全性的要求。A企業上海分公司網絡是比較常見的中小型企業網絡，適合于員工人數在百人以上的規模，它的基本結構簡單，網絡設備相對簡單，通過VLAN等技術對內部網絡進行了邏輯的分段，引入了三層交換設備，安全管理與配置相對要求一般。它是由一到兩臺三層交換機和若干臺二層交換機、無線AP所連接的內部網絡和接入路由器組成。此類網絡的安全配置主要是通過路由器來加以實施的，同時與內容的三層交換機相配合實現安全訪問的控制。通過對路由器的配置可以實現NAT、ACL、VPN、VLAN、DHCP、無線安全、包過濾防火墻等基本功能。此類網絡也可以引入專用的安全設備，具體要看此部分網絡對安全性的要求。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第4頁。9.2.1VLAN、IP地址規劃與需求分析

拓撲結構設計如圖2-1A企業整體網絡結構圖為A企業長春總部、A企業上海分公司、A企業北京辦事處三個部分網絡拓撲。根據網絡拓撲設計交換機、路由器、防火墻、IPS等網絡設備。VLAN（VirtualLocalAreaNetwork）又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡，可以使物理上連接的各工作站在邏輯上限制通信，實現各網段之間的互相獨立。使用VLAN技術，可以有效地控制網絡廣播風暴，優化網絡帶寬，減少網絡交通量，提高整體網絡安全性，簡化網絡管理工作。VLAN之間理論上不需要互相通信，但也可以通過核心交換機或路由器等設備的路由選擇功能實現不同VLAN間的數據通信，這樣可以滿足不同部門對其他VLAN中的部分工作站資源的訪問需要。從技術角度講，VLAN的劃分策略主要有：基于端口的VLAN劃分、基于MAC地址的VLAN劃分以及基于協議的VLAN劃分三種方式，其中基于端口和基于協議是VLAN劃分的主要方式。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第5頁。項目9.2.1VLAN、IP地址規劃背景與需求分析

A企業網絡接入用戶采用基于802.1Q協議劃分，將企業網絡初步劃分為150個VLAN，如表9.1所示，各VLAN由于都是通過DHCP服務器自動獲取IP，為簡單易行VLAN內部均采取24位掩碼，各VLAN之間通過本樓匯聚交換機進行路由轉化，故匯聚交換機與核心交換機通過路由進行通信，這部分掩碼采用30位掩碼，需要引起注意。在本案例中，為了便于學習與理解，設計了一個模擬的互聯網，包括6臺互相連通路由器（運行OSPF動態路由協議）、一臺DNS服務器、一臺WWW服務器、一臺CA服務器。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第6頁。項目9.2.1VLAN、IP地址規劃背景與需求分析

表9.1A企業網絡VLAN及IP地址分配一覽表VLANIDVLANNameIP/Subnetwork描述11121314152122網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第7頁。9.2.2設備選型總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統一的網管系統及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。防火墻主要控制用戶內網用戶上網，通過訪問策略實現網絡安全訪問。防火墻參數主要如下：吞吐量、并發會話數、是否支持VPN集群和負載均衡、流量監控、防御拒絕服務（DOS）攻擊，例如SYN泛濫、互聯網控制信息協議（ICMP）泛濫、端口掃描、PINGOFDEATH等攻擊方式。路由器在網絡設計的時候要考慮采用統一的網絡出口設備，參數主要如下：保證內網的用戶可以簡單高速的訪問互聯網包轉發能力、背板帶寬、路由協議、VPN、流量分析、NAT。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第8頁。9.2.2設備選型NAT（NetworkAddressTranslation）是在IP地址資源日益短缺的情況下提出的，一個局域網內部有很多臺主機，可是不能保證每臺主機都擁有合法的IP地址，為了達到所有的內部主機都可以連接Internet網絡的目的，可以使用地址轉換。NAT是改變IP報文中源地址或目的地址的一種處理方式。可以使一個局域網中的多臺主機使用少數的合法地址訪問外部的資源，也可以設定內部的www、ftp、telnet等服務提供給外部網絡使用。NAT同時隱藏了內部局域網的主機地址，可以在一定程度上防止外部的非法攻擊。在網絡地址轉換時，根據轉換關聯可以找到與數據包對應的地址池，根據地址池就可以找到HASH表，將轉換記錄記在相應的HASH表。還原時，根據目的地址可以知道是屬于哪個地址池，從而找到相應的HASH表，就可以進行還原操作。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第9頁。9.2.2設備選型總體設計以高性能、高可靠性、高安全性、良好的可擴展性、可管理性和統一的網管系統及可靠組播為原則，以及考慮到技術的先進性、成熟性，并采用模塊化的設計方法。防火墻主要控制用戶內網用戶上網，通過訪問策略實現網絡安全訪問。防火墻參數主要如下：吞吐量、并發會話數、是否支持VPN集群和負載均衡、流量監控、防御拒絕服務（DOS）攻擊，例如SYN泛濫、互聯網控制信息協議（ICMP）泛濫、端口掃描、PINGOFDEATH等攻擊方式。路由器在網絡設計的時候要考慮采用統一的網絡出口設備，參數主要如下：保證內網的用戶可以簡單高速的訪問互聯網包轉發能力、背板帶寬、路由協議、VPN、流量分析、NAT。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第10頁。9.2.2設備選型核心交換機是局域網核心層的骨干，重點考慮全網的安全建設，采用的核心設備必須具備完整的安全體系架構，具備防源IP地址欺騙、防DOS/DDOS攻擊，防IP掃描等防攻擊功能，支持千兆端口鏈路聚合，支持端口鏡像，支持DHCPSnooping，設備的管理支持采用SNMPV3標準協議，具備數據加密，非法數據包檢測等安全功能，保證網絡設備的安全，負責可靠而迅速的傳輸大量的數據流。參數主要如下：背板帶寬、第三層轉發性能、高可用性特性。匯聚交換機主要是選用三層交換機。在全網絡的設計上體現了分布式路由思想，可以大大減輕核心層交換機的路由壓力，有效的進行路由流量的均衡。作為本地網絡的邏輯核心，對于突發流量大、控制要求高、需要對QoS有良好支持的應用(多媒體流-語音、視頻和數據的融合應用，比如多媒體教室和教學)實施策略部署和接入的匯聚。對于沒有特殊需求(多媒體傳輸、安全、控制等)的子網，比如正常辦公子網（通常只進行數據的傳輸）可以考慮選擇性能中等的二層交換機設備。參數主要如下：背板帶寬、包轉發率、鏈路聚合。接入交換機就是每棟樓的樓層接入交換機，接入層交換機的選擇仍然非常重要，考慮到接入層交換機的對于終端用戶接入的控制起著非常重要的作用，因此建議采用安全性、控制性較高的設備，接入層設備可以通過包過濾或訪問控制列表提供對用戶流量的控制，完成基本業務系統之間的隔離和安全性控制、認證管理等功能。設備應該能夠提供MAC地址綁定、支持IEEE802.1qVLAN的劃分、802.1X的認證等等功能，滿足網絡對接入控制和管理的需求。參數主要如下：背板帶寬、交換容量、轉發性能、端口數量、端口/IP/MAC三元組的綁定。網絡中幾臺服務器，要體現具有下列這樣功能：僅供A公司內網用戶訪問；網絡中的WWW服務器、MAIL服務器、OA服務器等可以同時被內網及外網訪問，提供入侵檢測、協議分析、流量控制及SNMP網絡管理等功能。無線AP根據網絡規劃的需要，在無線網絡中可以有選擇支持Fat和Fit兩種工作模式，在組網模式上可以通過與無線控制器配套使用，參數主要如下：交換容量bit/s（全雙工）、包轉發率pps、端口聚合、802.1x。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第11頁。9.2.3網絡整體實施制定實施進度計劃網絡工程的整個完成時間計劃為八周，工程進度安排如表9.2所示，在網絡實施工程中，要嚴格按照網絡規劃進行實施，對網絡設備的安裝與調試過程中，局部采取邊施工邊測試的原則，防止出現網絡環路、漏調、漏接等現象的發生。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第12頁。9.2.2設備選型表9.2網絡工程進度表工作日

工作內容1234567890123456789入場，核實現場數據設備、材料入場網絡設備安裝調試無線網絡安裝調試服務器安裝調試工程文檔工程驗收技術培訓網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第13頁。9.2.4網絡整體測試在A企業內部局域網中，核心層設備是起著承載匯聚層設備的高速上連，并且根據網絡的目的地址進行網絡轉發，這就要求核心層設備達到線速，因此在核心層設備上盡量把規則下放。在核心層設備的主管理引擎執行路由管理、網絡管理、網絡服務等任務，利用交換的高速背板,可以獨立實現硬件路由、交換和組播功能以及硬件ACL和QOS功能，從而保證了網絡的高速穩定運行。接入交換機是直接連接用戶的終端設備，能通過認證客戶端后實現自動獲取IP地址，并且訪問內、外網資源。另外在接入交換機中配置訪問控制列表(ACL)、設置IP數據過濾，禁止如沖擊波、震蕩波等眾所周知的端口跨VLAN進行訪問資源，達到一個保護網絡的安全的作用。局域網內部功能測試是網絡安全的一個重要部分，通過內部局域網的組建，檢測網絡設備能否為網絡正常運行提供安全穩定的保障，測試部分可運用常用網絡命令如ping、tracert等，對網絡基本狀態進行檢測，再給合交換機內置命令，完成如下操作：顯示接口信息、顯示所有TCP連接的狀態、顯示TCP連接的流量統計信息、顯示UDP流量統計信息、顯示IP報文統計信息、顯示ICMP流量統計信息、清除IP報文統計信息、清除TCP連接的流量統計信息、清除UDP流量統計信息等進行測試。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第14頁。9.2.4網絡整體測試廣域網接入功能測試是檢驗網絡絡成果的一個重要組成部分，測試部分可運用常用網絡命令如ping、tracert、netstat–an、nslookup等，對網絡基本狀態進行檢測測試。如在路由器上測試局域網接口及廣域網接口、數據包轉發功能、路由信息維護功能、SNMP功能，日志、地址轉換，訪問控制，防火墻，地址分配等功能。同時啟動若干機器在ISP運營商下載比較大的數據，通過對路由器吞吐量、時延、丟包率等能力檢驗路由器的穩定性和可靠性。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第15頁。表9.3功能測試表9.2.4網絡整體測試測試命令或內容測試手段、方法測試結果網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第16頁。9.3綜合項目施工報告綜合項目施工報告撰寫是很重要的，因為是最原始的第一手材料，要精心設計每一項目的內容。而邊施工邊測試是檢驗工程質量的關鍵，只有設計合理、科學，才能簡化工作步驟。下面給出幾個我們就針對施工過程中設計幾個表，可以放倒施工報告及驗收報告中。網絡測試是正常運行網絡的安全保障，要求對從接入層設備、匯聚層設備、核心層設備、無線控制器及AP、出口路由器等進行全方位的測評。測評要求給出具體的結果，形成文檔。網絡綜合測試表如表9.4所示。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第17頁。9.3綜合項目施工報告表9.4網絡綜合測試表測試內容測試方法檢查結果說明1.telnet和串口登錄：telnet和串口兩種方式能正常登錄。□完善□不完善如有特殊要求不強制檢查2.端口統計數據：查看各個使用的端口收發統計數據是否正常，異常報文是否有增長。參照設備命令手冊□完善□不完善3.debug開關：日志信息應正常，所有debug開關關閉。參照設備命令手冊□完善□不完善4.電源狀態查看：各電源模塊工作狀態正常。參照設備命令手冊□完善□不完善5.CPU占有率：CPU占有率應正常，與當前開展的業務類型和轉發流量相符。參照設備命令手冊□完善□不完善6.不使用的網絡服務端口要關閉：比如FTPSERVER功能在不使用時要及時關閉。參照設備命令手冊□完善□不完善7.系統當前正在發生的告警信息：有告警及時處理。參照設備命令手冊□完善□不完善8.抽樣檢查9%AP設備信號覆蓋效果抽樣點信號強度不低于-70dBm。關聯無線服務是否正常、迅速。抽樣點讀數信號強度。詳細標注抽檢AP設備的物理地點、IP地址、信號強度讀數等。網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第18頁。9.3綜合項目施工報告施工過程中針對機房中設備如服務器、防火墻等進行全方位的測評。測評要求給出具體的結果，形成文檔。如表9.5所示網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第19頁。9.3綜合項目施工報告施工過程中針對機房中設備如服務器被攻擊情況。測評要求給出具體的結果，形成文檔。如表9.6所示。資產名稱編號威脅總分值威脅等級操作失誤濫用授權行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務惡意代碼竊取數據物理破壞社會工程意外故障通信中斷數據受損電源中斷災害管理不到位越權使用網絡安全技術與實施項目9-綜合案例-網絡整體安全部署全文共27頁，當前為第20頁。9.3綜合項目施工報告表9.7脆弱性分析賦值表施工過程中針對機房中設備如服務器、防火墻等進行全方位的脆弱性評估并要求給出具體的結果，形成文檔。如表9.7所示。表9.7脆弱性分析賦值表檢測項檢測子項脆弱性作用對象賦值