摘要網絡技術高速發展的今天，公司網絡的優劣已經成為衡量公司競爭力的原則之一。針對證劵行業的特點，本文介紹了一種行業專業網絡的整體設計方案。充足考慮到網絡的負載均衡和穩定性能，因此本方案采用三層網絡構造。其中，匯聚層采用兩臺設備，配備CiscoHSRP合同進行雙機熱備份。路由合同則選擇安全性高、收斂速度快的OSPF合同。其中用到的路由交換合同尚有支持VLAN間數據傳輸的VTP合同。我們采用Cisco交換機帶寬聚合技術將多條物理線路捆綁為一條邏輯鏈路，使其有更高帶寬。服務器群組則重點介紹了FTP、郵件服務器及WEB服務器等公司中較慣用到的服務器的軟件選擇及搭建辦法。對于網絡中可能存在的安全威脅，針對不同的需求，方案中提出了VLAN技術、訪問控制列表、防火墻技術以及VPN等安全解決方案，以求構建一種安全、高效、可靠的公司網絡。核心詞：網絡層次化，熱備份，虛擬局域網，控制列表，防火墻目錄第1章需求分析 11.1項目背景 11.2設計目的 11.3顧客現實需求 2第2章網絡整體設計 32.1網絡拓撲 32.2網絡層次化設計 32.2.1核心層設計 42.2.2匯聚層設計 52.2.3接入層設計 62.2.4路由合同選擇 72.3VLAN的劃分及IP地址規劃 82.4服務器群組 92.4.1FTP服務 92.4.2DHCP服務器 102.4.3郵件服務器 102.4.4web服務器 12第3章安全方略 133.1網絡威脅因素分析 133.2安全規定 133.3安全產品選型原則 143.4安全方略布署 143.4.1VLAN技術 143.4.2訪問控制列表 153.4.3防火墻 173.4.4VPN 19第五章方案實現成果分析 20第4章總結與展望 21致謝 22參考文獻 23前言信息化浪潮風起云涌的今天，公司的業務已經全方面電子化，與Internet的聯系相稱緊密，因此他們需要良好的信息平臺去支撐業務的高速發展。沒有信息技術背景的公司也將會對網絡建設有主動訴求。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業信息化也就成了人們所討論并實踐著的重要課題。公司內部網絡的建設已經成為提高公司核心競爭力的核心因素。公司網已經越來越多地被人們提到，運用網絡技術，當代公司能夠在客戶、合作伙伴、員工之間實現優化的信息溝通，公司網絡的優劣直接關系到公司能否獲得核心的競爭優勢。眾多行業巨擘紛紛上馬多個應用方案且獲得了巨大的成功，這使信息化建設更具吸引力。信息技術自誕生之日起，就對證劵行業產生了深遠的影響，特別是上世紀90年代以來，隨著金融服務業全球化和競爭日益激烈,促使證劵公司加緊運用多個新的信息技術手段來提高公司管理水平,能夠說金融業已經成為信息技術和網絡技術發展的最大收益者之一。網絡技術的發展，讓網上交易快速普及，網上交易有助于證劵公司提高工作效率，減少出錯率，也方便證劵公司對客戶的管理。即使大多數公司已經把互聯網戰略納入公司經營發展戰略中，但是網絡黑客攻擊、計算機病毒干擾、數據傳輸過程中的泄露等不安全因素，任然讓諸多公司對公司網絡化猶豫不定。證劵公司的特點是數據傳輸量大，且數據機密度高，因此證劵業網絡就規定高效、穩定和安全，合理的網絡構造設計能至關重要。隨著網絡技術的快速發展和網上應用量的增加，分布式的網絡服務和交換已經移至顧客級，由此形成了一種新的，更適應當代的高速大型網絡分層設計模型“多層次設計”。多層次設計師模塊化的，它在后來網絡擴展、負載均衡、故障排除方面很有效。而現在強大的防火墻技術和多個各樣的安全方略被應用到公司網絡中，安全得到了保障，那么網路對于 公司的發展就真正起到了推動的作用。第1章需求分析1.1項目背景XX證劵是一家剛剛成立的證劵公司，公司有資產管理部、財務部、人力資源部、后勤部、經理室（管理部門）和營業部6個部門，6個部門分布在兩個樓層。后來公司在外地還要開設分支機構，而這里作為公司總部，中心機房也設在此處。公司的網絡系統要滿足公司日常辦公電子化，各部門信息共享，日常證劵交易，且作為證劵公司，某些投資機密需要很高的保密度，因此公司網絡要有很高的可靠性和安全性。考慮的后來公司的擴張，因此網絡系統要有可擴展性。1.2設計目的設計一種公司的網絡，首先要擬定顧客對網絡的真正需求，并在結合將來可能的發展規定的基礎上選擇、設計適宜的網絡構造和網絡技術，提供顧客滿意的高質服務。還要注意到由于邏輯上業務網和管理網必須分開，因此建成后公司網應能提供多個網段的劃分和隔離，并能做到靈活變化配備，以適應公司辦公環境的調節和變化，即VLAN的整體劃分。考慮到證劵行業數據的重要性、保密性，為了確保多想證劵業務的順利進行，確保網絡的不間斷運行，網絡平臺應含有下列某些特點：（1）高可靠性——網絡系統的穩定可靠是應用系統正常運行的核心確保，在設計中選用高可靠性網絡產品，合理設計網絡架構，制訂可靠的網絡備份方略，確保網絡含有故障自愈的能力，最大程度地支持各個系統的正常運行。（2）技術先進性和實用性——確保滿足證券交易系統業務的同時，又要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和原則結合起來，充足考慮到證券公司網絡應用的現狀和將來發展趨勢。（3）高性能——承載網絡性能是網絡通訊系統良好運行的基礎，設計中必須保障網絡及設備的高吞吐能力，確保多個信息（數據、語音、圖象）的高質量傳輸，才干使網絡不成為證券公司各項業務開展的瓶頸。（4）原則開放性——支持國際上通用原則的網絡合同、國際原則的大型的動態路由合同等開放合同，有助于確保與其它網絡(如公共數據網、金融網絡、行內其它網絡)之間的平滑連接互通，以及將來網絡的擴展。（5）靈活性及可擴展性——根據將來業務的增加和變化，網絡能夠平滑地擴充和升級，減少最大程度的減少對網絡架構和設備的調節。（6）可管理性——對網絡實施集中監測、分權管理，并統一分派帶寬資源。選用先進的網絡管理平臺，含有對設備、端口等的管理、流量統計分析，及可提供故障自動報警。（7）安全性——制訂統一的骨干網安全方略，整體考慮網絡平臺的安全性。1.3顧客現實需求（1）實現公司內部資源共享，即文獻服務器，但是對不同的資源要有對應的權限。（2）滿足公司日常證劵交易，交易數據的傳輸和存儲。（3）公司各部能夠通過即時通信軟件聯系，建立公司郵件服務器。（4）打印機共享（5）公司內部要網絡接入Internet（6）架設公司web服務器，公布公司網站（7）為確保安全，Internet與公司內部網絡間應采用防護方法，避免外界對內部網絡未經授權的訪問。第2章網絡整體設計2.1網絡拓撲計算機網絡的構成元素能夠分為兩大類，即網絡節點（又可分為端節點和轉發節點）和通信鏈路，網絡中節點的互聯模式叫網絡的網絡的拓撲構造。網絡拓撲定義了網絡中資源的連接方式，局域網中慣用的拓撲構造有：總線型構造、環形構造、星型構造。由于XX證劵公司總部網絡站點不是特別的多，并且聯網的站點相對集中，因此我們采用星型的網絡拓撲。星型拓撲構造是由通過點到點鏈路接到中央節點的各站點構成的。星型網絡中有一種唯一的轉發節點（中央節點），每一臺計算機都通過單獨的通信線路連接到中央節點。在星型拓撲中運用中央結點可方便地提供服務和重新配備網絡；單個連接點故障只會影響故障點連接的一種設備，不會影響全網，容易檢測隔離故障、便于維護；任何一種連接只涉及到中央結點和一種站點，控制介質訪問的辦法很簡樸、從而訪問合同也十分簡樸。2.2網絡層次化設計網絡的設計模型重要涉及層次化設計模型和非層次化設計模型兩種。隨著網絡技術的快速發展和網上應用量的增加，非層次化的網絡設計已經不適合當今公司的網絡應用，由于非層次化網絡沒有適宜的規劃，網絡最后會發展成為非構造的形式，這樣當網絡設備之間互相通信時，設備上的CPU必然會承受相稱大的負載，不利于網絡的運行和發展，當大量的數據在網絡中傳輸時，容易引發線路擁堵甚至網絡的癱瘓。因此我們選擇層次化的網絡設計。多層設計師模塊化的，網絡容量可隨著后來網絡節點的增加而不停增大。多層次網絡有很大的擬定性，因此在運行和擴展過程中進行故障查找和排出非常簡樸。多層模式使網絡的移植更為簡樸易行，由于它保存看基于路由器和交換機的網絡原有的尋址方案，對以往的網絡有較好的兼容性。另外分層構造也能夠對網絡的故障進行較好的隔離。針對實際狀況我們采用三層構造模型，即核心層、分布層、接入層。每個層次有不同的功效。核心層作為整個網絡系統的核心，起重要功效是高速、可靠的進行數據交換。分布層重要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。接入層重要提供最后顧客接入網絡的途徑。重要進行VLAN的換分、與分布層的連接等。2.2.1核心層設計核心層作為整個網絡系統的核心，其重要功效是高速、可靠的進行數據交換。核心交換區的作用是盡快地提供全部的區域間的數據交換。因此推薦使用兩臺CiscoCatalyst4506E交換機完畢此項功效。Cisco4506交換機高性能、高可靠性、高可用性是我們重要考慮的因素。本區的安全性能夠由邊界防火墻提供，如果有需要，還能夠在4506上面布署安全方略，使得核心交換區的安全性進一步地增強。CiscoCatalyst4500系列憑借眾多智能服務將控制擴展到網絡邊沿，其中涉及先進的服務質量(QoS)、可預測性能、高級安全性和全方面的管理。它提供帶集成永續性的杰出控制，將永續性集成到硬件和軟件中，縮短了網絡停運時間。CiscoCatalyst4500系列的模塊化架構、介質靈活性和可擴展性減少了重復運行開支，提高了投資回報（ROI），從而在延長布署壽命的同時減少了擁有成本。方案中Catalyst4506交換機配備了一塊WS-X4515引擎(SupervisorIV),Catalyst4500SupervisorIV引擎用于CiscoCatalyst4506交換機機箱，是一款64Gbps、4800萬分組/秒(48mpps)的第二到四層交換引擎，直接在管理引擎面板上配備了2個線速GBIC端口。當布署了Catalyst4500系列SupervisorIV時，這些附加端口可將Catalyst4506的最大密度擴展到240個端口。添加了這款新管理引擎后，Catalyst4506可為中型公司提供價格合理、易于使用的可擴展性、創新安全性、集成可靠性和靈活性。2.2.2匯聚層設計匯聚層重要進行接入層的數據流量匯聚，并對數據流量進行訪問控制。涉及訪問控制列表、VLAN路由等等。推薦采用兩臺CiscoWS-C3750G-12S-E作為匯聚交換機。兩臺CiscoWS-C3750G-12S-E做雙機熱備，采用Cisco專有熱備份合同技術（HSRP），根據需求配備成多組HSRP。這樣設計部但不僅確保網絡的高可用性和穩定性，還能避免單臺核心設備的負載太重造成網絡性能問題。CiscoCatalyst3750系列交換機是一種創新的產品系列，它結合業界領先的易用性和最高的冗余性，里程碑地提高了堆疊式交換機在局域網中的工作效率。這個新的產品系列采用了最新的思StackWise技術，不僅實現高達32Gbps的堆疊互聯，還從物理上到邏輯上使若干獨立交換機在堆疊時集成在一起，便于顧客建立一種統一、高度靈活的交換系統--就仿佛是一整臺交換機同樣。這代表了堆疊式交換機新的工業技術水平和原則。對于中型公司網絡來說，CiscoCatalyst3750系列通過提供配備靈活性、支持融合網絡模式及自動進行智能網絡服務配備，簡化了融合應用的布署，并可針對不停變化的業務需求進行調節。另外，CiscoCatalyst3750系列針對高密度千兆位以太網布署進行了優化，涉及多個交換機，以滿足接入、匯聚或小型網絡骨干連接需求。CiscoCatalyst3750G-12S提供12個千兆位以太網SFP端口用于連接數據中心和辦公樓的接入層交換機和中心核心機房的Catalyst4506交換機。GEC或FEC（GigabitEthernetChannel/FastEthernetChannel）稱為Cisco交換機帶寬聚合技術，它用于千兆或百兆以太網端口。在兩臺Cisco交換機互連時，運用GEC/FEC技術，能夠將2條或多條物理鏈路捆綁成為一條更高帶寬的邏輯鏈路，在本方案中，CiscoWS-C3750G-12S-E之間用兩條千兆光纖相連，運用GEC技術，我們能夠得到一條全雙工4G帶寬的鏈路。這樣不僅能夠提高交換機之間的互連帶寬，更重要的是能夠在多條物理鏈路間提供容錯，使得任意一條線路斷掉不影響交換機之間的暢通。Etherchannel基本配備命令：Switch(config)#interfacePort-channel1Switch(config)#switchporttrunkencapsulationdot1qSwitch(config)#switchportmodetrunkSwitch(config)#interfacerange[interface-number]Switch(config-if-range)#channel-group[group-id]modeonSwitch(config-if-range)#exitHSRP基本配備命令：Switch(config)#interfacevlan[vlan-number]Switch(config-if)#ipaddress[ip-address][]Switch(config-if)#standby[vlan-id]ip[ip-address]Switch(config-if)#standby10priority105Switch(config-if)#standby10preemptSwitch(config-if)#standby10track[interface-id]Switch(config-if)#exit2.2.3接入層設計接入層重要提供最后顧客接入網絡的途徑。重要是進行VLAN的劃分、與分布層的連接等等。建議接入層交換機采用思科的2960系列智能以太網交換機以千兆以太鏈路和匯聚交換機相連接，并為顧客終端提供10/100M自適應的接入，從而形成千兆為骨干，百兆到桌面的以太網三層構造。辦公系統所需的多個服務器如FTP服務器、郵件服務器、DHCP服務器等構成服務器群，連接到匯聚交換機的千兆模塊上面,因此，內部的局域網采用三層構造組建。CiscoCatalyst2960系列智能以太網交換機是一種全新的、固定配備的獨立設備系列，提供桌面快速以太網和千兆以太網連接，可為入門級公司、中型市場和分支機構網絡提供增強LAN服務。Catalyst2960系列含有集成安全特性，涉及網絡準入控制(NAC)、高級服務質量(QoS)和永續性，可為網絡邊沿提供智能服務。憑借CiscoCatalyst2960系列提供的廣泛安全特性，公司可保護重要信息，避免未授權人員接入網絡，確保私密性及維持不間斷運行。網絡總體拓撲如圖2.1所示：圖2.1整體網絡拓撲圖圖2.1整體網絡拓撲圖2.2.4路由合同選擇為達成路由快速收斂、尋址以及方便網絡管理員管理的目的，我們采用動態路由合同，現在較好的動態路由合同是OSPF合同和EIGRP合同，OSPF以合同原則化強，支持廠家多，受到廣泛應用，而EIGRP合同由Cisco公司發明，只有Cisco公司自己的產品支持，屬于私有性質，其它廠商設備是不支持的。考慮網絡的擴展性、數據資源的保護等因素，我們選擇OSPF路由合同。OSPF合同采用鏈路狀態合同算法，每個路由器維護一種相似的鏈路狀態數據庫，保存整個AS的拓撲構造（AS不劃分狀況下）。一旦每個路由器有了完整的鏈路狀態數據庫，該路由器就能夠自己為根，構造最短途徑樹，然后再根據最短途徑構造路由表。對于大型的網絡，為了進一步減少路由合同通信流量，利于管理和計算。OSPF將整個AS劃分為若干個區域，區域內的路由器維護一種相似的鏈路狀態數據庫，保存該區域的拓撲構造。OSPF路由器互相間交換信息，但交換的信息不是路由，而是鏈路狀態。OSPF定義了5種分組：Hello分組用于建立和維護連接；數據庫描述分組初始化路由器的網絡拓撲數據庫；當發現數據庫中的某部分信息已通過時后，路由器發送鏈路狀態請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態更新分組來主動擴散自己的鏈路狀態數據庫或對鏈路狀態請求分組進行響應；由于OSPF直接運行在IP層，合同本身要提供確認機制，鏈路狀態應答分組是對鏈路狀態更新分組進行確認。相對于其它合同，OSPF有許多優點。OSPF支持多個不同鑒別機制（如簡樸口令驗證，MD5加密驗證等），并且允許各個系統或區域采用互不相似的鑒別機制；提供負載均衡功效，如果計算出到某個目的站有若干條費用相似的路由，OSPF路由器會把通信流量均勻地分派給這幾條路由，沿這幾條路由把該分組發送出去；在一種自治系統內可劃分出若干個區域，每個區域根據自己的拓撲構造計算最短途徑，這減少了OSPF路由實現的工作量；OSPF屬動態的自適應合同，對于網絡的拓撲構造變化能夠快速地做出反映，進行對應調節，提供短的收斂期，使路由表盡快穩定化，并且與其它路由合同相比，OSPF在對網絡拓撲變化的解決過程中僅需要最少的通信流量；OSPF提供點到多點接口，支持CIDR（無類型域間路由）地址。公司現有網絡規劃為area0，內部網絡設備都規劃為area0。后期若有分支機構各區域接入路由器根據區域不同使用動態合同，或者使用靜態路由與動態路由結合的方式。2.3VLAN的劃分及IP地址規劃VLAN的劃分普通有三種辦法，一是基于端口、二是基于MAC地址、最后是基于路由的劃分。在這里我們采用基于端口的劃分，把一種或者多個交換機上的端口放到一種VLAN內，這個辦法是最簡樸最有效的，網絡管理人員只需要對網絡設備的交換端口進行分派即可，不用考慮端口所連接的設備。IP地址是TCP/IP合同族中的網絡層邏輯地址，它被用來唯一地標示網絡中的一種節點。IP地址空間的分派，要與網絡層次構造相適應，既要有效的運用地址空間，又要體現網絡的可擴展性和靈活性，同時能滿足路由合同的規定，提高路由算法的效率，加緊路由變化的收斂速度。表2.1ip地址分派表根據公司狀況，每個部門劃分為一種VLAN，各部門分別屬于不同的網段，各部門之間在邏輯上被隔離，但是各部門間的通訊，可根據需要對匯聚層交換機進行配備來實現。表2.1ip地址分派表部門VLAN網段網關子網掩碼資產管理部5/3255營業廳4/3255財務部3/3255經理室2/3255人力資源部6/3255后勤部7/3255服務器群組6/32ip地址配備命令：Switch(config)#[interface]/*打開端口*/Switch(config-if)#noswitchportSwitch(config-if)#ipaddress[ip-add][subnet-mask]/*配備ip地址*/Switch(config-if)#noshutdown/*關閉端口*/默認網關命令:Ipdefault-gateway[ip-add]2.4服務器群組2.4.1FTP服務FTP的全稱是FileTransferProtocol(文獻傳輸合同)。顧名思義，就是專門用來傳輸文獻的合同。證劵公司的FTP服務重要是針對公司內部某些日常辦公資料、軟件的共享而設立的，相稱于一種信息系統的大倉庫，僅公司內部PC機能夠訪問。FTP服務器操作系統采用Windowsserver，為了登陸方便，該FTP服務器采用匿名訪問方式，但是為了某些文獻、數據的安全性，各部門屬于不同的顧客組，對不同的顧客組設立對應的上傳和下載的權限，具體權限根據公司各部門的職能來設定。另外，為了避免大部分員工同時訪問FTP服務器造成服務器癱瘓，還要設立最大訪問人數。若公司預算有限，也可不選用專門的服務器，而采用一臺配備相對較高的PC機作裝上FTP服務器端軟件作為FTP服務器。Serv-U是一種被廣泛運用的FTP服務器端軟件，支持3x/9x/ME/NT/2K等全Windows系列。能夠設定多個FTP服務器、限定登錄顧客的權限、登錄主目錄及空間大小等，功效非常完備。它含有非常完備的安全特性，支持SSlFTP傳輸，支持在多個Serv-U和FTP客戶端通過SSL加密連接保護數據安全等。2.4.2DHCP服務器由于公司整個網絡節點較多，若是由網管人員分別為每臺PC機配備IP地址那將是一件非常麻煩的事，并且也不利于網絡IP地址的管理，因此我們采用DHCP服務器，為接入公司網絡的PC機自動分派IP地址。DHCP（DynamicHostConfigurationProtocol），即動態主機設立合同，是一種局域網的網絡合同，使用UDP合同工作。DHCP服務器的操作系統選擇WindowsServer。由于DHCP服務器與公司其它PC機在不同的VLAN中，因此還需要在匯聚層交換機上配備DHCP中繼服務功效才干成功運行DHCP服務。2.4.3郵件服務器電子郵件是互聯網最基本、但卻是最重要的構成部分，通過電子郵件進行方便快捷的信息交流已經成為公司工作中不可或缺的工作習慣。公司郵箱普通以公司的域名作為郵箱后綴，既能體現公司的品牌和形象，還能使公司商業信函來往得到更加好更安全的管理。常見的郵件服務器軟件有諸多，例如：微軟ExchangeServer、MDaemonServer、WinWebMail、IMailServer等等。在這里我們選用微軟exchangeserver作為服務器端軟件，該版本也是Microsoftexchangeserver中應用最廣泛，功效最穩定的一種版本。exchangeserver常見的任務涉及：備份與還原、建立新郵箱、恢復、移動、安裝新的硬件、存儲區、軟件和工具，以及應用更新和修補程序等。新工具和改善的工具可協助網絡管理員更有效地完畢工作。例如，一位管理人員可能需要恢復幾個月以前刪除的一封非常重要的舊電子郵件，通過使用“恢復存儲組”功效，管理員能夠恢復個人顧客的郵箱，方便查找以前刪除的重要電子郵件。其它新的管理功效涉及：并行移動多個郵箱。改善的消息跟蹤和Outlook客戶端性能統計功效。增強的隊列查看器，它使顧客能夠從同一控制臺同時查看SMTP和X.400隊列。新的基于查詢的通訊組列表，它現在支持動態地實時查找組員。另外，用于MicrosoftOperationsManager的Exchange管理包可自動監視整個Exchange環境，從而使顧客能夠對Exchange問題預先采用管理方法并快速予以解決。在布署exchange郵件服務器之前，首先為公司申請合的域名，建立域控服務器，打開“運行”對話框，輸入dcpromo命令，然后根據向導創立域控服務器。圖2.2圖2.2建立域控服務器將公司內的全部PC機加入該域。為了避免主域控服務器出現故障而造成通信故障和信息丟失，因此我們還需要一臺輔助域控。固然，還需要在DNS服務器中寫入統計，這樣發出的郵件才懂得去處。郵件服務器硬件的選擇根據公司本身業務的應用狀況和資金投入來決定。從該公司來看，公司顧客在幾百個下列，但是郵件來往比較多，因此要選擇專業的PC服務器才干滿足基本的性能規定。2.4.4web服務器WEB服務器也稱為WWW(WORLDWIDEWEB)服務器，重要功效是提供網上信息瀏覽服務。本方案中web服務器重要是向外公布公司網站，時時更新公司以及證劵市場信息以供顧客網上參考。使用最多的webserver服務器軟件有兩個：微軟的信息服務器（iis），和Apache。本方案中，我們選擇Linux作為web服務器的操作系統，因此服務器端軟件則用Apache。Apache是世界上用的最多的Web服務器，市場占有率達60%左右,它源于NCSAhttpd服務器。Apache有多個產品，能夠支持SSL技術，支持多個虛擬主機。它是以進程為基礎的構造，進程要比線程消耗更多的系統開支。由于它是自由軟件，因此不停有人來為它開發新的功效、新的特性、修改原來的缺點。Apache的特點是簡樸、速度快、性能穩定，并可做代理服務器來使用。它的成功之處重要在于它的源代碼開放、有一支開放的開發隊伍、支持跨平臺的應用(能夠運行在幾乎全部的Unix、Windows、Linux系統平臺上)以及它的可移植性等方面。第3章安全方略3.1網絡威脅因素分析對于證劵業來說，網絡的安全性是相稱重要的。而證劵網上交易，信息公布等業務使得公司網絡必須與公網相連，這樣必然存在著安全風險。并且公司內部網絡，由于各部門職能不同，某些部門網絡可能也規定很高的安全性。公司網絡的安全風險可能涉及下列幾個：(1)公司網絡與公網連接，可能遭到來自各地的越權訪問，還可能遭到網絡黑客的惡意攻擊和計算機病毒的入侵；(2)內部的各個子網通過骨干交換互相連接，這樣的話，某些重要的部門可能會遭到來自其它部門的越權訪問。這些越權訪問可能涉及惡意攻擊、誤操作等，據統計約有70％左右的攻擊來自內部顧客，相比外部攻擊來說，內部顧客含有更得天獨厚的優勢，但是無論如何，成果都將造成重要信息的泄露或者網絡的癱瘓；(3)設備的本身安全性也會直接關系到網絡系統和多個網絡應用的正常運轉。例如，路由設備存在路由信息泄漏、交換機和路由器設備配備風險等。重要服務器或操作系統本身存在安全的漏洞，如果管理員沒有及時的發現并且進行修復，將會為網絡的安全帶來諸多不安定的因素。重要服務器的當機或者重要數據的意外丟失，都將會造成公司日常辦公無法進行。3.2安全規定（1）物理安全涉及保護計算機網絡設備設施以及數據庫資料免遭地震、水災、火災等環境事故以及人為操作失誤造成系統損壞，同時要避免由于電磁泄漏引發的信息失密。(2)網絡安全重要涉及系統安全和網絡運行安全，檢測到系統安全漏洞和對于網絡訪問的控制。（3）信息安全涉及信息傳輸的安全、信息存儲的安全以及對顧客的授權和鑒別。3.3安全產品選型原則XX證劵公司網絡屬于一種行業的專用網絡，因此在安全產品的選型上，必須謹慎。選型的原則涉及：（1）安全保密產品的接入應不明顯影響網絡系統運行效率，并且滿足工作的規定，不影響正常的網上證劵交易和辦公；（2）安全保密產品必須通過國家主管部門指定的測評機構的檢測；安全保密產；（3）品必須含有自我保護能力；（4）安全保密產品必須符合國家和國際上的有關原則；（5）安全產品必須操作簡樸易用，便于簡樸布署和集中管理。3.4安全方略布署3.4.1VLAN技術VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網”。VLAN是一種將局域網設備從邏輯上劃分成一種個網段，從而實現虛擬工作組的新興數據交換技術。VLAN要為理解決交換機在進行局域網互連時無法限制廣播的問題。這種技術能夠把一種LAN劃分成多個邏輯的VLAN，每個VLAN是一種廣播域，VLAN內的主機間通信就和在一種LAN內同樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一種VLAN內，這樣就大大的增加了局域網內部的此信息安全性。將各部門劃屬不同的VLAN，它們之間是不能通信的，這樣能有效避免部門間的越權訪問，特別是像資產管理部這樣的數據比較敏感的部門，對于那些與他不屬于一種VLAN的電腦是無法訪問它的。同時，這樣還避免廣播風暴的發生，避免過多廣播包占據帶寬造成網絡擁塞。另外，VLAN為網絡管理帶來了很大的方便，將每個部門劃分為一種VLAN，每個VLAN內的客戶終端需求是基本相似的，對于故障排查或者軟件升級等都比較方便，大大提高了網絡管理人員的工作效率。各個vlan之間數據的傳輸，必須通過trunk鏈路。Trunk是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端能夠都是交換機，也能夠是交換機和路由器。基于端口匯聚的功效，允許交換機與交換機、交換機與路由器、交換機與主機或路由之間通過兩個或多個端口并行連接同時傳輸以提供更高帶寬、更大吞吐量，大幅度提高整個網絡的能力。Trunk端口普通為交換機和交換機之間的級聯端口，用于傳遞全部vlan信息。Trunk鏈路配備命令：Switch(config)#interfacerange[interface-number]Switch(config-if-range)#switchporttrunkencapsulationdot1q/*封裝為dot1q類型*/Switch(config-if-range)#switchportmodetrunkSwitch(config-if-range)#exitVLAN技術中用到的合同有vtp(vlantrunkingprotocol),這是vlan中繼合同，也被稱為虛擬局域網干道合同。它是思科的專有合同，vtp能夠減少vlan的有關人物管理。VTP基本配備命令：Switch(vlan)#vtpdomain[domain-name]Switch(vlan)#vtpmode[server/client/transparent]/*選擇vtp模式*/Switch(vlan)#vtppassword[password]Switch(vlan)#trunk[on|off|desirable|auto|nonegotiate]/*打開主干功效*/Switch(vlan)#exitSwitch(vlan)#vlan[vlan-id]name[vlan-name]/*創立一種vlan*/3.4.2訪問控制列表訪問控制是網絡安全防備和保護的重要方略，它的重要任務是確保網絡資源不被非法使用和訪問。它是確保網絡安全最重要的核心方略之一。訪問控制涉及的技術也比較廣，涉及入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多個手段。訪問控制列表(ACL)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數據包能夠收、哪能數據包需要回絕。使用訪問控制列表不僅能過濾通過路由器的數據包，并且也是控制網絡中數據流量的一種重要辦法。ACL示意圖:PacketstoInterface(s)PacketstoInterface(s)intheAccessGroupPacket

DiscardBucketYDestinationYNDenyYYNYYMatchLastTest?MatchNextTest(s)MatchFirstTest?DenyDenyDenyPermitPermitPermitInterface(s)Y圖3.1訪問控制列表分為兩類，一種是原則訪問列表，一種是擴展訪問列表。原則訪問列表的編號是從1—99，它只使用數據包的源IP地址作為條件測試，只有允許或回絕兩個操作，普通是對一種合同組產生作用，不分辨IP流量類型。而編號100以上的稱作擴展訪問列表，它可測試IP包的第3層和第4層報頭中的其它字段，比原則訪問列表含有更多的匹配項，例如合同類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優先級等。原則訪問列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}source[mask]/*為訪問列表設立參數,IP原則訪問列表編號1到99,缺省的通配符掩碼=*/Router(config-if)#ipaccess-group[access-list-number]{in|out}/*在端口上應用訪問列表,指明是進方向還是出方向*/擴展訪問列表配備命令:Router(config)#access-list[access-list-number]{permit|deny}protocolsourcesource-wildcard[operatorport]destinationdestination-wildcard[operator-port][established][log]/*為原則訪問列表設立參數,可具體到某個端口,某種合同*/根據公司各部門的性質，我們可根據需要在匯聚層的設備上配備訪問控制。如財務部、資產管理部信息數據機密度較高，我們就能夠編寫訪問控制列表，嚴禁其它網段也就是其它VLAN的顧客訪問這些部門的電腦，無論是以什么樣的形式，即使用原則訪問控制列表。固然，寫完訪問列表后，要將其應用在對應的端口上。有的部門可能對信息的保密規定沒有那么高，那么就能夠使用擴展訪問列表，只對某一端口的數據進行控制，如telnet等。3.4.3防火墻飛速發展的信息時代，在殘酷競爭的市場，誰先掌握了信息誰就先掌握了契機，Internet的迅猛發展滿足了人們對信息的渴求，同時Internet里也存在著許多不安全的因素，網絡信息的非法獲取、網絡體系的不期破壞等等，都將為公司帶來難以預計的損失，這時，防火墻以一種安全衛士的身份應運而生，實現著管理者的安全方略，有效地維護這公司保護網絡的安全。防火墻只現在應用最廣、最具代表性的網絡安全技術，它分為硬件防火墻和軟件防火墻。硬件防火墻是把軟件嵌入到硬件中，由硬件執行這些功效，這樣就減少了CPU的負擔，使路由更穩定。軟件防火墻普通只據有過濾包的作用，而硬件防火墻的功效則要強大的多，它還涉及CF（內容過濾）、IDS（入侵偵測）、IPS（入侵防護）以及VPN等功效。硬件防火墻普通使用通過內核編譯后的Linux，憑借Linux本身的高可靠性和穩定性確保了防火墻整體的穩定性。防火墻重要由服務訪問政策、驗證工具、包過濾和應用網關四部分構成。我們在核心層路由器與Internet之間配備一臺硬件防火墻，這樣，全部進出網絡的數據都要通過防火墻，而該防火墻應含有下列的功效：（1）包過濾：控制流出和流入的網絡數據，可基于源地址、源端口、目的地址、目的端口、合同和時間，根據地址簿進行設立規則。（2）地址轉換：將內部網絡或外部網絡的IP地址轉換，可分為源地址轉換SourceNAT(SNAT)和目的地址轉換DestinationNAT(DNAT)。SNAT用于對內部網絡地址進行轉換，對外部網絡隱藏起內部網絡的構造，避免受到來自外部其它網絡的非授權訪問或惡意攻擊。并將有限的IP地址動態或靜態的與內部IP地址對應起來，用來緩和地址空間的短缺問題，節省資源，減少成本。DNAT重要用于外網主機訪問內網主機。（3）認證和應用代理：認證指防火墻對訪問網絡者正當身分的擬定。代理指防火墻內置顧客認證數據庫;提供HTTP、FTP和SMTP代理功效，并可對這三種合同進行訪問控制。同時支持URL過濾功效，避免員工在上班時間訪問某些網站，影響工作效率。（4）透明和路由：將網關隱藏在公共系統之后使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問，同時制止了外部未授權訪問者對專用網絡的非法訪問;防火墻還支持路由方式，提供靜態路由功效，支持內部多個子網之間的安全訪問。（5）入侵檢測思科的ASA5505-SEC-BUN-K9防火墻是為中小型公司設計的一款產品，它集高安全性和高可擴展性于一身，能夠對病毒、垃圾郵件、非授權訪問等進行實時監控，并提供VPN服務，為顧客提供全方面的保護。它構建于Cisco

PIX

安全設備系列的基礎之上，能夠提供內部網到內部網和遠程接入到內部網兩種安全保護，能夠防御互聯網中的病毒、間諜軟件的攻擊，并可制止垃圾郵件和非法連接，在提供安全網絡環境的同時，也提高了員工的工作效率，為公司發明更高的經濟效益。

3.4.4VPN公司員工可能需要經常出差或者在外辦公，需要通過公網訪問公司網絡，這時數據在公網上傳輸就很不安全，因此我們需要一條專門的通道來安全傳輸信息，這就是VPN（虛擬專用網）。VPN被定義為通過一種公共網絡建立一種臨時的、安全的連接，是一條穿過混亂的公共網絡的安全、穩定的隧道。虛擬專用網事對公司內部網的擴展。虛擬專用能夠協助運程顧客、公司分支機構、商業伙伴及移動辦公顧客的內部網絡建立可信的安全連接，并確保數據的安全傳輸。一種公司的虛擬專用網解決方案也將大幅度減少顧客耗費在城域網和遠程網絡連接上的費用。VPN業務都是基于隧道技術實現的，隧道機制是VPN實施的核心。數據通過安全的“加密管道”在公共網絡中傳輸。VPN的隧道技術就是數據包不是公開在網上傳輸，而是首先進行加密以確保安全，然后由VPN封裝成IP包的形式，通過隧道在網上傳輸。源網絡的VPN隧道發起器與目的網絡上的VPN隧道發起器進行通信。兩者就加密方案達成一致，然后隧道發起器對包進行加密，確保安全（為了加強安全，應采用驗證過程，以確保連接顧客擁有進入目的網絡的對應的權限。大多數現有的VPN產品支持多個驗證方式）。最后，VPN發起器將整個加密包封裝成IP包。現在不管原先傳輸的是何種合同，它都能在純IP因特網上傳輸。又由于包進行了加密，因此誰也無法讀取原始數據。在目的網絡這頭，VPN隧道終止器收到包后去掉IP信息，然后根據達成一致的加密方案對包進行解密，將隨即獲得的包發給遠程接入服務器或本地路由器，他們在把隱藏的IPX包發到網絡，最后發往對應目的地。VPN重要采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。VPN原理示意圖：圖3.2圖3.2在本方案中，我們采用ip-VPN技術。Ip-VPN是指在運行ip合同的網絡上實現VPN。該VPN技術的實現是通過隧道（tunnel）進行連接，隧道技術通過軟件“疊加”在物理網絡上這也是VPN”虛擬特性的體現。借助隧道VPN，還能夠使用內部網絡中采用的安全和優先方略，使我們能夠完全控制數據流，隧道提供了一層名副其實的安全保障。現在多個VPN安全合同中，IPsec的保密性是最佳的。IPsec使用了IPsec隧道模式，在這種隧道模式中，顧客的數據包加密后，封裝進新的ip。這樣在新的數據包中，分別以開通器和終端器的地址掩蔽顧客和宿主服務器的地址。我們選用的ASA5500系列防火墻含有VPN功效，因此不需要額外購置VPN設備。運用Cisco

ASA

5500系列，不需要增加成本，也不需要提高設計、布署或運作的復雜性，就能夠將訪問控制、應用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制訂一種網絡方略，就能夠既提高安全性，又保持網絡環境的可訪問性。第五章方案實現成果分析網絡工程實施完畢后，重要實現下列功效：首先是公司內部辦公資源的高度共享，通過FTP服務，員工可按權限上傳下載資料。上傳權限只賦予網絡管理人員，下載權限根據文獻