企業(yè)網(wǎng)規(guī)劃與設計畢業(yè)論文

1、<p>　　韓 山 師 范 學 院</p><p>　　學 生 畢 業(yè) 論 文</p><p><b>　　（ 2011 屆）</b></p><p>　　韓山師范學院教務處制</p><p><b>　　誠 信 聲 明</b></p><p>　　我聲明，所呈交的

2、畢業(yè)論文是本人在老師指導下進行的研究工作及取得的研究成果。據(jù)我查證，除了文中特別加以標注和致謝的地方外，論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果，我承諾，論文中的所有內(nèi)容均真實、可信。</p><p>　　畢業(yè)論文作者簽名： 簽名日期： 年 月 日</p><p>　　摘要：大型企業(yè)的計算機企業(yè)網(wǎng)建設不僅僅是一項技術(shù)工程，更是一項系統(tǒng)工程。我們在運用先進

3、計算機技術(shù)的同時，必須深入分析企業(yè)的內(nèi)部管理制度，了解經(jīng)營目標，同時根據(jù)大型企業(yè)生產(chǎn)經(jīng)營的自身特點，以發(fā)展的眼光規(guī)劃計算機企業(yè)網(wǎng)。只有這樣，我們才能建設一個使用、高效的有企業(yè)特色的計算機企業(yè)網(wǎng)。本文從課題的相關背景入手，首先詳細的闡述了企業(yè)級網(wǎng)絡的實際需求，然后重點的研究了企業(yè)級網(wǎng)絡的設計方案。</p><p>　　關鍵詞：網(wǎng)絡層次化；虛擬局域網(wǎng)；控制訪問列表；防火墻</p><p>　　

4、Abstract: large enterprise computer enterprise nets construction is not only a technical engineering, which is a system engineering. We are using advanced computer technology at the same time, must in-depth analysis of t

5、he internal management system, enterprise management targets, and understanding according to large enterprise production and management with its own characteristics, the development of computer enterprise nets. Eyes plan

6、ning Only in this way can we build a use, efficient have ent</p><p>　　Keywords: Hierarchical Network; Vlan; Acl;Firewall </p><p><b>　　目錄</b></p><p><b>　　1 課題背景1&l

7、t;/b></p><p>　　2企業(yè)級網(wǎng)絡的需求分析2</p><p>　　2.1 設計背景2</p><p>　　2.2 設計目標2</p><p>　　2.3 用戶需求分析2</p><p>　　2.4 企業(yè)網(wǎng)絡總體需求2</p><p>　　3 企業(yè)網(wǎng)絡整體設計4<

8、;/p><p>　　3.1 網(wǎng)絡拓撲4</p><p>　　3.2網(wǎng)絡層次化設計4</p><p>　　3.3內(nèi)部網(wǎng)絡連接外部網(wǎng)絡解決方案7</p><p>　　3.4 內(nèi)部局域網(wǎng)通信解決方案7</p><p>　　3.5 網(wǎng)絡邊界安全設計8</p><p>　　4 企業(yè)網(wǎng)絡總體規(guī)劃10

9、</p><p>　　4.1 路由協(xié)議選擇10</p><p>　　4.2 IP地址規(guī)劃10</p><p>　　4.3 VLAN設計10</p><p>　　4.4 服務器群組11</p><p><b>　　5 安全策略13</b></p><p>　　5

10、.1 網(wǎng)絡威脅因素分析13</p><p>　　5.2安全要求13</p><p>　　5.3 安全策略部署13</p><p><b>　　6 結(jié)束語16</b></p><p><b>　　參考文獻17</b></p><p><b>　　致謝18&

11、lt;/b></p><p><b>　　企業(yè)網(wǎng)規(guī)劃與設計</b></p><p><b>　　1 課題背景</b></p><p>　　信息化浪潮風起云涌的今天，以計算機Internet/Intranet網(wǎng)絡為代表的信息技術(shù)的高度發(fā)展已經(jīng)影響到社會的各個角落，網(wǎng)絡已成為傳遞信息和進行交流的有效紐帶和橋梁，Inter

12、tnet網(wǎng)絡即時給人們提出了新的生活和工作方式，信息技術(shù)已引起了全面而深刻的社會變革。</p><p>　　當前，企業(yè)的業(yè)務已經(jīng)全面電子化，與Internet的聯(lián)系相當緊密，所以他們需要良好的信息平臺去支持業(yè)務的高速發(fā)展。沒有信息技術(shù)背景的企業(yè)也將會對網(wǎng)絡建設有主動訴求。任何決策的科學性和可靠性都是以信息為基礎的，信息和決策是同一管理過程中的兩個方面，因此行業(yè)信息化也就成了人們所討論并實踐著的重要課題。一個企業(yè)為

13、了能跟上時代的步伐在競爭處于不敗之地，組建一個屬于自己的局域網(wǎng)勢在必行。企業(yè)內(nèi)部網(wǎng)絡的建設已經(jīng)成為提升企業(yè)核心競爭力的關鍵因素。企業(yè)網(wǎng)已經(jīng)越來越多地被人們提及，利用網(wǎng)絡技術(shù)，現(xiàn)代企業(yè)可以在客戶、合作伙伴、員工之間實現(xiàn)優(yōu)化的信息溝通，企業(yè)網(wǎng)絡的優(yōu)劣直接關系到企業(yè)能否獲得關鍵的競爭優(yōu)勢。眾多行業(yè)巨擘紛紛上馬，各種應用方案且取得了巨大的成功，這使信息化建設更具吸引力。</p><p>　　信息技術(shù)自誕生之日起，就對證券

14、行業(yè)產(chǎn)生了深遠的影響，尤其是在上世紀90年代以來，隨著金融服務業(yè)全球化和競爭日益劇烈，促使證券企業(yè)加快運用各種新的信息技術(shù)手段來提高企業(yè)管理水平，可以說金融業(yè)已經(jīng)成為信息技術(shù)和網(wǎng)絡技術(shù)發(fā)展的最大收益者之一。網(wǎng)絡技術(shù)的發(fā)展，讓網(wǎng)上交易迅速普及，網(wǎng)上交易有助于證券企業(yè)提高工作效率，降低出錯率，也方便證券企業(yè)對客戶的管理。雖然大多數(shù)企業(yè)已經(jīng)把互聯(lián)網(wǎng)戰(zhàn)略納入企業(yè)經(jīng)營發(fā)展戰(zhàn)略中，但是網(wǎng)絡黑客攻擊、計算機病毒干擾、數(shù)據(jù)傳輸過程中的泄露等不安全因素，

15、仍然讓很多企業(yè)對企業(yè)網(wǎng)絡化猶豫不定。</p><p>　　證券企業(yè)的特點是數(shù)據(jù)傳輸量大，且數(shù)據(jù)機密度高，所以證券企業(yè)網(wǎng)絡就要求高效、穩(wěn)定和安全，合理的網(wǎng)絡結(jié)構(gòu)設計性能至關重要。隨著網(wǎng)絡技術(shù)的迅速發(fā)展和網(wǎng)上應用量的增長，分布式的網(wǎng)絡服務和交換已經(jīng)移至用戶級，由此形成了一個新的，更適應現(xiàn)代的高速大型網(wǎng)絡分層設計模型“多層次設計”。多層次設計是模塊化的，它在日后網(wǎng)絡擴展、負載均衡，故障排除方面很有效。而現(xiàn)在強大的防火墻

16、技術(shù)和各種各樣的安全策略被應用到企業(yè)網(wǎng)絡中，安全得到了保障，那么網(wǎng)絡對于企業(yè)的發(fā)展就真正起到了推進的作用，對提高員工的工作效率，改善工作環(huán)境，節(jié)約成本提高社會競爭實力，實現(xiàn)企業(yè)整體優(yōu)化，提高企業(yè)市場快速反應能力和競爭力，最終提高企業(yè)經(jīng)濟效益，都有著直接的影響和意義。</p><p>　　2企業(yè)級網(wǎng)絡的需求分析</p><p><b>　　2.1 設計背景</b><

17、;/p><p>　　XX證券是一家剛剛成立的證券公司，公司有資產(chǎn)管理部、財務部、人力資源部、后勤部、經(jīng)理室（管理部門）和營業(yè)部6個部門，6個部門分布在兩個樓層。日后公司在外地還要開設分支機構(gòu)，而這里作為公司總部，中心機房也設在此處。公司的網(wǎng)絡系統(tǒng)要滿足公司日常辦公電子化，各部門信息共享，日常證券交易，且作為證券公司，某些投資機密需要很高的保密度，所以公司網(wǎng)絡要有很高的可靠性和安全性。考慮日后公司的擴張，所以網(wǎng)絡系統(tǒng)要

18、有比較好的可擴展性。</p><p><b>　　2.2 設計目標</b></p><p>　　設計一個公司的網(wǎng)絡，首先要確定用戶對網(wǎng)絡的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡技術(shù)，提供用戶滿意的高質(zhì)服務[1]。還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應能提供多個網(wǎng)段的劃分和隔離，做到靈活改變配置，以適應企業(yè)辦公

19、環(huán)境的調(diào)整和變化、即VLAN的整體劃分。</p><p>　　考慮到證券行業(yè)數(shù)據(jù)的重要性、保密性，為了保證業(yè)務順利進行和網(wǎng)絡的不間斷運行，網(wǎng)絡平臺應具備以下特點：高可靠性、技術(shù)先進性和實用性、高性能、標準開放性、靈活性及可擴展性、可管理性、安全性。</p><p>　　2.3 用戶需求分析</p><p>　?。?）實現(xiàn)公司內(nèi)部資源共享，即文件服務器，但對不同的資源

20、要有相應的權(quán)限。</p><p>　　（2）滿足公司日常證券交易，交易數(shù)據(jù)的傳輸和存儲。</p><p>　?。?）公司各部門可以通過即時通信軟件聯(lián)系，建立公司郵件服務器。</p><p><b>　?。?）打印機共享</b></p><p>　　（5）公司內(nèi)部要網(wǎng)絡接入Internet</p><p

21、>　?。?）架設公司web服務器，發(fā)布公司網(wǎng)站</p><p>　?。?）為保證安全，Internet與公司內(nèi)部網(wǎng)絡間應采用防護措施，防止外界對內(nèi)部網(wǎng)絡未經(jīng)授權(quán)的訪問。</p><p>　　2.4 企業(yè)網(wǎng)絡總體需求</p><p>　　企業(yè)網(wǎng)絡系統(tǒng)是數(shù)據(jù)傳輸?shù)闹匾A設施，網(wǎng)絡的各個子系統(tǒng)都需構(gòu)筑在計算機網(wǎng)絡及通信的平臺上。根據(jù)用戶需求，大容量的數(shù)據(jù)交換主要集

22、中在網(wǎng)絡文件存取與打印服務以及OA辦公應用。公司的計算機網(wǎng)絡中信息點數(shù)預計將達到1000個，并分布在不同的樓層車間等區(qū)域，每層每個車間都需要有高性能的接入設備，信息點數(shù)和相應的通信應用以后還將進一步擴充，新投入的核心網(wǎng)絡設備必須能滿足將來3-5年內(nèi)的數(shù)據(jù)傳輸處理的需求。</p><p><b>　　表1</b></p><p>　　公司網(wǎng)絡應用需求匯總表</p&

23、gt;<p>　　對于網(wǎng)絡系統(tǒng)的設計，不僅要保證全部設備的高可用性，可管理性，還要有一個網(wǎng)絡管理系統(tǒng)，以滿足統(tǒng)一、集中管理及各部門各區(qū)域網(wǎng)絡通信安全的需求，使得安排最少的人力就可以保證網(wǎng)絡的日常維護，管理人員能夠通過單一網(wǎng)管平臺監(jiān)測和控制所有的網(wǎng)絡設備及端口。具體到公司網(wǎng)絡信息化建設的需求，分為以下分部分詳細討論，每部分將以實際情況為基礎以最優(yōu)的方案來滿足客戶需求。</p><p>　　2.4.1內(nèi)

24、部網(wǎng)絡對公網(wǎng)及外部共網(wǎng)隊內(nèi)部網(wǎng)絡服務器訪問的需求</p><p>　　從公司Internet應用及應用發(fā)展入手，分析目前及未來的Internet應用，并根據(jù)這些應用的自身特點，從帶寬需求、傳輸時延、傳輸?shù)目煽啃?、安全性等因素來分析，綜合考慮并總結(jié)出Internet應用的發(fā)展需求[2]。</p><p>　　(1)Internet信息交流</p><p>　　(2)W

25、EB信息發(fā)布</p><p><b>　　(3)內(nèi)部電子郵件</b></p><p>　　(4)在內(nèi)部網(wǎng)絡和公網(wǎng)通信時的安全保密需求</p><p>　　2.4.2 內(nèi)部網(wǎng)絡對數(shù)據(jù)的高速安全穩(wěn)定處理傳輸?shù)男枨?lt;/p><p>　　公司內(nèi)部數(shù)據(jù)傳輸速度、優(yōu)先級、各種數(shù)據(jù)的隔離、是否可訪問等都需合理有效的規(guī)劃：</p&

26、gt;<p>　　(1)核心層網(wǎng)絡采用速率為1000Mbps的三層交換技術(shù)，作為網(wǎng)絡主干的支持，要求安全可靠。</p><p>　　(2)網(wǎng)絡各區(qū)域之間需要光纖互聯(lián)。</p><p>　　(3)防火墻與重要服務器之間良好互聯(lián)，可以在滿足公網(wǎng)對內(nèi)部網(wǎng)絡授權(quán)服務器的訪問需求的同時也可以讓來自于公網(wǎng)的攻擊不會威脅到公司內(nèi)部網(wǎng)絡的信心安全。</p><p>　

27、　(4)網(wǎng)絡核心層設備應具有較高可靠性，核心設備支持熱插拔，并且應當具有容錯設計。</p><p>　　(5)網(wǎng)絡設備具有較好的擴展性，系統(tǒng)能夠平滑升級及擴充。</p><p>　　(6)采用國際標準TCP/IP協(xié)議。</p><p>　　(7)整個網(wǎng)絡的VLAN隔離，IP地址的統(tǒng)一規(guī)劃。</p><p>　　3 企業(yè)網(wǎng)絡整體設計</p

28、><p><b>　　3.1 網(wǎng)絡拓撲</b></p><p>　　由于公司總部網(wǎng)絡站點不多且相對集中，因此采用星型的網(wǎng)絡拓撲。在星型拓撲中利用中央節(jié)點可方便地提供服務和重新配置網(wǎng)絡[3]。單個連接點故障只會影響故障點連接的設備，容易檢測隔離故障、便于維護。任何一個連接只涉及到中央結(jié)點和一個站點，控制介質(zhì)訪問的方法很簡單、從而訪問協(xié)議也十分簡單。</p>&

29、lt;p>　　網(wǎng)絡總體拓撲圖如圖2所示：</p><p>　　圖2 整體網(wǎng)絡拓撲圖</p><p>　　3.2網(wǎng)絡層次化設計</p><p>　　多層次設計是模塊化的，網(wǎng)絡容量可隨日后網(wǎng)絡節(jié)點的增加而不斷增大。多層次網(wǎng)絡在運行和擴展過程中進行故障查找和排查較簡單，也能對網(wǎng)絡的故障進行很好的隔離[4]。它保留著基于路由器和交換機的網(wǎng)絡尋址方案，對以往的網(wǎng)絡有很好

30、的兼容性。</p><p>　　針對實際情況，本設計采用三層的結(jié)構(gòu)模型，即核心層、分布層、接入層。核心層作為整個網(wǎng)絡系統(tǒng)的核心，主要功能是進行高速、可靠的數(shù)據(jù)交換。分布層主要進行接入層的數(shù)據(jù)流量匯聚，并對數(shù)據(jù)流量進行訪問控制。接入層主要提供最終用戶接入網(wǎng)絡的途徑，主要進行VLAN的劃分，實現(xiàn)與分布層的連接等。</p><p>　　3.2.1核心層設計</p><p>

31、;　　核心交換區(qū)的作用是盡快地提供所有的區(qū)域間的數(shù)據(jù)交換。推薦使用Quidway S6506R高端多業(yè)務路由交換機。本區(qū)的安全性可以由邊界防火墻提供，如有需要，可以再部署安全策略，使得本區(qū)的安全性進一步增強。</p><p>　　3.2.2 匯聚層設計</p><p>　　匯聚層主要進行接入層的數(shù)據(jù)流量匯聚，并對其進行訪問控制。包括訪問控制列表、VLAN路由等等。推薦采用Quidway

32、 S6506R高端多業(yè)務路由交換機。</p><p>　　Quidway S6506R高端多業(yè)務路由交換機是華為公司面向IP城域網(wǎng)、大型企業(yè)網(wǎng)及園區(qū)網(wǎng)用戶開發(fā)的系列大容量、高密度、模塊化的二、三層線速以太網(wǎng)交換機產(chǎn)品，主要作為企業(yè)的核心交換機，城域網(wǎng)匯聚層交換機。</p><p>　　Quidway S6506R能夠為城域網(wǎng)、園區(qū)網(wǎng)、數(shù)據(jù)中心提供超高速鏈路，打造低成本、高性能、具有豐富業(yè)

33、務支持能力的高性能網(wǎng)絡。Quidway S6506R提供大容量、高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能，同時具有豐富的業(yè)務功能、強大的QoS保障和NAT處理能力，以及完善的安全管理機制和電信級的高可靠設計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務、高可靠、大容量、模塊化的需求。產(chǎn)品特點：</p><p>　　Quidway S6506R高端多業(yè)務交換機的特點為：</p><p><b>

34、;　?。?）多種引擎</b></p><p>　　Salience III 96G（交換容量96Gbps）、Salience III 384G（交換容量384Gbps）、Salience III 768G（交換容量768Gbps）。</p><p><b>　?。?）多種線卡</b></p><p>　　支持百兆、千兆、萬兆各種類型

35、的以太網(wǎng)接口板、支持POE（Power OverEthernet）接口板、支持EPON（Ethernet Passive Optical Network）接口板；支持多種組合接口板；接口密度從每單板4口－每單板48口多種密度可選。</p><p><b>　?。?）多種業(yè)務</b></p><p>　　支持強大的組播功能、QinQ、靈活QinQ、802.1x、內(nèi)置DH

36、CP-SERVER、NAT、Netstream、PBR等多種業(yè)務特性，并支持MPLS、IPv6等業(yè)務的進一步硬件升級擴展。</p><p><b>　?。?）高速引擎</b></p><p>　　采用全分布式體系結(jié)構(gòu)設計，通過Crossbar技術(shù)進行高速報文交換；Crossbar交換網(wǎng)芯片內(nèi)置于主控板，不再單獨占用設備槽位；支持高達768G交換容量。</p>

37、;<p>　?。?）分布式高速接口板</p><p>　　支持每板48端口千兆、每板1/2/4端口萬兆等系列化“XG”型高速接口板，實現(xiàn)板內(nèi)、板間二、三層流量的線速轉(zhuǎn)發(fā)；ACL、QOS、組播等基本業(yè)務全分布式處理。</p><p>　?。?）高密度萬兆接口</p><p>　　支持新一代萬兆以太網(wǎng)技術(shù)，在線速轉(zhuǎn)發(fā)的基礎上能夠提供強大的QOS保障，并支持

38、豐富的ACL、策略路由、安全等特性；支持高密度萬兆設計，每塊業(yè)務板可以提供1－4個萬兆接口。</p><p>　　（7）電信級的高可靠性</p><p>　　支持無源背板，支持雙路電源供電，支持引擎、電源、風扇的冗余，支持單板熱插拔；并可以支持STP/RSTP/MSTP/VRRP/RRPP等協(xié)議實現(xiàn)鏈路冗余。</p><p>　?。?）完善的安全特性</p&g

39、t;<p>　　遵從最小服務原則，所有可能遭受到攻擊的網(wǎng)絡服務在默認情況下均關閉；支持安全的SSH登陸、基于用戶安全策略的SNMP V3、MAC+IP+VLAN綁定、802.1X認證等安全策略；支持防網(wǎng)絡風暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報文攻擊、防網(wǎng)絡協(xié)議報文攻擊等安全技術(shù)。</p><p>　?。?）高度的靈活適用性</p><p>　　支持業(yè)務深度

40、感知，資源動態(tài)調(diào)配技術(shù)，支持ACL/VLAN的動態(tài)策略下發(fā)；系列化設計，支持從接入到核心的靈活組網(wǎng)能力；內(nèi)置EPON、POE、NAT、Netstream、DHCP SERVER等多種業(yè)務特性。</p><p>　?。?0）人性化的運營維護特性</p><p>　　支持集群管理，可以對網(wǎng)元進行批量配置和批量升級；支持拓撲管理、可視化圖形界面、智能化性能監(jiān)控、告警管理等功能；</p>

41、;<p>　　3.2.3 接入層設計</p><p>　　接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要是進行VLAN劃分與分布層的連接等。建議采用Quidway S2403H-HI智能接入交換機。</p><p>　　S2403H-HI智能接入以太網(wǎng)交換機是華為公司推出的二層線速智能型可網(wǎng)管以太網(wǎng)交換機產(chǎn)品，采用高性能的ASIC實現(xiàn)線速流量交換，具備靈活的帶寬分配粒度、安全的

42、接入控制機制，以及完善的用戶管理能力，是三網(wǎng)合一寬帶城域網(wǎng)小區(qū)接入的理想產(chǎn)品。產(chǎn)品特點：</p><p>　?。?）全線速的二層交換</p><p>　　S2403H-HI總線帶寬高達19.2Gbps，可為所有端口提供二層線速交換能力，確保所有端口無阻塞的報文轉(zhuǎn)發(fā)?！?lt;/p><p>　　（2）完備的安全智能控制策略</p><p>　　S2

43、403H-HI支持802.1x認證，在用戶接入網(wǎng)絡時完成必要的身份認證，支持用戶綁定、廣播風暴抑制功能，保證接入用戶的合法性，通過控制用戶的接入速率，防止惡意侵占網(wǎng)絡帶寬，有效的利用網(wǎng)絡資源。　</p><p>　?。?）組網(wǎng)靈活，支持EPON上行模塊</p><p>　　S2403H-HI支持EPON上行模塊，能作為FTTB方案中樓道接入交換機。</p><p>

44、　?。?）豐富的QOS策略</p><p>　　S2403H-HI支持每個端口4個輸出隊列，支持2種隊列調(diào)度算法：WRR調(diào)度算法和HQ+WRR調(diào)度算法。支持端口限速功能，控制粒度最小為64 Kbps?！?lt;/p><p><b>　?。?）高可靠性</b></p><p>　　S2403H-HI不僅支持STP/RSTP生成樹協(xié)議，還可以提供基于多

45、VLAN的生成樹MSTP，極大提高了鏈路的冗余備份，提高容錯能力，保證網(wǎng)絡的穩(wěn)定運行。　</p><p><b>　?。?）良好的擴展性</b></p><p>　　S2403H-HI提供8/16/24口的規(guī)格，同時提供良好的堆疊功能，通過增加設備來擴展端口數(shù)量和交換能力，多臺設備之間的互相備份增強了設備的可靠性，從而保證了網(wǎng)絡的平滑升級并能降低擴建成本；同時對多臺設

46、備統(tǒng)一管理，降低了管理成本?！?lt;/p><p>　　（7）低功耗靜音設計</p><p>　　S2403H-HI具備低功耗和工作環(huán)境溫度適應強的特點，采用無風扇靜音設計，徹底免除噪音，特別適合在樓道和辦公室使用。　</p><p>　?。?）靈活的遠程維護和豐富的管理方式</p><p>　　S2403H-HI系列支持RSPAN遠程端口鏡像，

47、突破傳統(tǒng)鏡像端口和被鏡像端口必需同設備的限制；支持VCT虛電路檢測，能快速報告鏈路故障情況。支持FTP、TFTP實現(xiàn)設備的遠程升級，支持SNMP v1/v2/v3，支持Open View等通用網(wǎng)管平臺以及iManager DMS網(wǎng)管系統(tǒng)配置和管理。支持HGMP集群管理系統(tǒng)和故障診斷，實現(xiàn)了設備的集中管理和維護。支持CLI命令行、TELNET、WEB網(wǎng)管。</p><p>　　3.3內(nèi)部網(wǎng)絡連接外部網(wǎng)絡解決方案&l

48、t;/p><p>　　為了保護公司內(nèi)部網(wǎng)絡的安全，在公網(wǎng)和內(nèi)網(wǎng)連接處配置一臺華為EUDEMON300防火墻，Quidway Eudemon 300是華為公司推出的基于網(wǎng)絡處理器NP技術(shù)的硬件高速狀態(tài)防火墻，采用先進的動態(tài)檢測技術(shù)（ASPF），具備電信級高性能和高可靠性，為用戶網(wǎng)絡提供無與倫比的安全保護，同時還具備強大的虛擬專用網(wǎng)（VPN）功能、地址轉(zhuǎn)換（NAT）功能以及P2P業(yè)務控制與帶寬管理功能，普遍適用于大、中型

49、企業(yè)及其分支機構(gòu)。華為EUDEMON300防火墻是安全解決方案的理想選擇，作為業(yè)界領先的華為EUDEMON防火墻系列的一部分，它可以為今天的網(wǎng)絡用戶提供無以倫比的安全性、可靠性和性能，確保文廣內(nèi)部網(wǎng)絡不受任何來自外部公網(wǎng)的入侵。</p><p>　　同時，防火墻能在公司內(nèi)部網(wǎng)絡和外部公網(wǎng)之間提供一相對隔離的區(qū)域作為服務器專用區(qū)域，是公司服務器即滿足外部客戶的訪問需求有使這種需求不能威脅到內(nèi)部網(wǎng)絡的信息安全。<

50、;/p><p>　　3.4 內(nèi)部局域網(wǎng)通信解決方案</p><p>　　對于網(wǎng)段的劃分本設計主要是利用VLAN二層網(wǎng)段隔離技術(shù)實現(xiàn)各部門各科室的數(shù)據(jù)通信及數(shù)據(jù)隔離，虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高[5]。</p><p>　　VLAN的劃分

51、原則基本是按部門、科室、業(yè)務種類來劃分，如財務是一個獨立的VLAN，只有被授權(quán)的人才能訪問這個網(wǎng)段，如果客戶有特殊要求需要劃分一些特殊的網(wǎng)段以適用業(yè)務隔離的需要，VLAN技術(shù)也可以滿足客戶的需求。核心層配置2臺高性能的華為S6506R千兆多層骨干交換機，作為整個網(wǎng)絡中心的核心平臺，華為S6506R千兆多層骨干交換機提供高密度的光服務模塊和以太網(wǎng)服務模塊，并連接各層接入層交換機；華為S6506R支持雙電源、雙引擎冗余，提供L3高速接入服務

52、，用于連接各服務器、分布層交換機S2403H、網(wǎng)管工作站等。</p><p>　　各信息點區(qū)域接入訪問層根據(jù)信息點數(shù)量配置多臺華為S2403H24口交換機作為匯聚和接入層設備，通過多條單模光纖鏈路分別與網(wǎng)絡中心華為S6506R的千兆端口連接，在滿足其現(xiàn)有需求和預期擴展的前提下最大限度的保護投資。</p><p>　　3.5 網(wǎng)絡邊界安全設計——深信服SINFOR UTM M5400-AC&

53、lt;/p><p>　　SINFOR UTM安全網(wǎng)關是集防火墻、IPS、網(wǎng)關殺毒、VPN、內(nèi)網(wǎng)安全管理、訪問控制、審計和反垃圾郵件等多種安全功能為一體的All-In-One安全網(wǎng)關。作為深信服科技領先的一體化網(wǎng)絡安全解決方案，SINFOR UTM安全網(wǎng)關主要功能如下：</p><p>　?。?）強大的VPN、防火墻功能</p><p>　　SINFOR UTM安全網(wǎng)關擁

54、有強大的VPN模塊和基于狀態(tài)檢測的防火墻模塊。VPN功能具有SINFOR IPSec VPN產(chǎn)品的全部特性，集成了深信服科技WebAgent動態(tài)IP尋址、HARDCA硬件鑒權(quán)和身份識別、多線路綁定、即插即用的移動客戶端等發(fā)明專利技術(shù)，并具有高速數(shù)據(jù)流壓縮、細致的QOS和內(nèi)網(wǎng)權(quán)限設定等功能。此外SINFOR UTM安全網(wǎng)關集成了企業(yè)級的狀態(tài)檢測防火墻，除了擁有專業(yè)防火墻所具備的基本功能如：管理員權(quán)限分級、URL過濾、NAT功能、訪問監(jiān)控、

55、上網(wǎng)控制、用戶認證、流量控制、QOS、DHCP服務、自動撥號等功能以外，內(nèi)置了高、中、低和自定義4個安全級別，用戶可以根據(jù)需要靈活配置。此外，SINFOR防火墻獨特的虛擬測試功能，為管理員創(chuàng)建了防火墻規(guī)則的虛擬測試環(huán)境。管理員通過可視化界面，對各種安全設置規(guī)則進行測試，從而杜絕人為配置錯誤導致的安全漏洞。</p><p>　?。?）防DOS攻擊功能，有效防御內(nèi)外網(wǎng)的DOS攻擊</p><p&g

56、t;　　DOS攻擊（拒絕服務攻擊）給企業(yè)帶來的損失是巨大的，通常的防火墻只能防止來自外網(wǎng)的DOS攻擊，而無法防御來自企業(yè)內(nèi)部發(fā)起的DOS攻擊。SINFOR UTM安全網(wǎng)關不僅可以防御來自外網(wǎng)的DOS攻擊，而且對于內(nèi)網(wǎng)用戶發(fā)起的DOS攻擊，UTM安全網(wǎng)關也可以進行防御。通過UTM安全網(wǎng)關豐富的日志系統(tǒng)，管理員可以根據(jù)內(nèi)網(wǎng)DOS攻擊日志，查找出企業(yè)內(nèi)網(wǎng)中了木馬、或者病毒的用戶，從而及時有效地阻斷由內(nèi)網(wǎng)發(fā)起的DOS攻擊，避免DOS攻擊造成的企

57、業(yè)網(wǎng)絡帶寬耗盡，或者因發(fā)起DOS攻擊可能產(chǎn)生的法律糾紛。</p><p>　?。?）IPS系統(tǒng)，保證網(wǎng)絡免受攻擊</p><p>　　IPS，即入侵防御系統(tǒng)(Intrusion Prevention System)，是抵制外部網(wǎng)絡威脅最有效的安全防范技術(shù)。SINFOR UTM網(wǎng)關內(nèi)置的IPS系統(tǒng)已有3000多種攻擊特征庫，數(shù)據(jù)庫每天自動更新。由于采用了特征匹配、協(xié)議分析和異常行為檢測等多項

58、技術(shù)，SINFOR UTM網(wǎng)關的IPS系統(tǒng)能夠?qū)λ袛?shù)據(jù)進行實時檢測。對于可疑攻擊行為，IPS系統(tǒng)采用靈活的策略進行相應處理，大大降低了IPS系統(tǒng)誤報和漏報給內(nèi)部網(wǎng)絡帶來的風險。同時，SINFOR UTM網(wǎng)關可設置為只針對符合指定的IP、協(xié)議和端口等相應條件的數(shù)據(jù)流開啟IPS功能，降低了UTM網(wǎng)關開啟IPS所帶來的性能損耗，提高了IPS防御精準度。</p><p>　?。?）高效準確的網(wǎng)絡殺毒、反垃圾郵件、防間諜

59、軟件功能，保證上網(wǎng)安全。</p><p>　　網(wǎng)絡殺毒：SINFOR UTM的網(wǎng)關殺毒模塊采用了靈活的設計手段，可以非常方便的切換到不同廠商的殺毒引擎。它選用了來自歐洲著名殺毒廠商“F-PROT”的高效殺毒引擎作為缺省的殺毒模塊，殺毒速度達到50Mb/s，遠遠超過大多數(shù)殺毒廠商的網(wǎng)絡殺毒速度，也超過一般用戶的Internet帶寬。該殺毒引擎獲得國際權(quán)威機構(gòu)VB 100%的認證，不僅可以查殺數(shù)據(jù)包中含有的普通病毒，

60、還可以檢查出各種壓縮包(zip，rar，gzip等)內(nèi)部隱藏的病毒。病毒庫每天在線升級，有效保護內(nèi)網(wǎng)的所有用戶免受病毒困擾。</p><p>　　反垃圾郵件：反垃圾郵件功能采用關鍵字、黑白名單、指紋識別、反向偵測SMTP服務器等多種過濾手段，大大提高了垃圾郵件的識別率、減少誤判率。同樣，垃圾郵件庫也可以在線更新，并且支持用戶自己添加垃圾郵件規(guī)則。對于垃圾郵件，管理員可進行靈活的處理，比如將其立刻刪除或?qū)⑵浯虬舌]

61、件發(fā)給收件人。并且對于放置在DMZ區(qū)內(nèi)的應用級系統(tǒng)如：郵件服務器等，也可以得到SINFOR UTM安全網(wǎng)關的妥善保護。</p><p>　　防間諜軟件：SINFOR UTM還集成了深信服“網(wǎng)絡訪問準入規(guī)則”的專利技術(shù)，可以保證只有實施了完備的安全措施的PC才能接入Internet，大大減少了用戶側(cè)木馬和釣魚軟件泄漏用戶重要信息的風險。</p><p>　?。?）細致的訪問控制功能，有效管理

62、用戶上網(wǎng)</p><p>　　SINFOR UTM安全網(wǎng)關可以詳細記錄和分析所有流量的內(nèi)容。強大的訪問控制和QOS功能還可以為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。SINFOR UTM安全網(wǎng)關不僅可以對員工訪問WEB、FTP、MAIL等常用服務的內(nèi)容進行控制，更可以對QQ、BT、MSN、SKYPE等各種P2P軟件的行為進行限制和控制。豐富的報表功能還可

63、以分析出企業(yè)Internet的詳細使用情況，為網(wǎng)絡管理員和決策者分配和了解員工網(wǎng)絡資源提供有效數(shù)據(jù)支持。同時，基于Web的和LDAP/Radius集成的用戶認證功能，使對上網(wǎng)用戶管理變得十分靈活方便。</p><p>　?。?）完善的內(nèi)容安全管理和訪問審計功能，防止機密信息泄漏</p><p>　　SINFOR UTM安全網(wǎng)關完善的訪問審計和監(jiān)控功能能夠有效防止信息通過Internet泄漏

64、，并建立起強大的內(nèi)部安全威懾，減少內(nèi)部泄密的行為。對于郵件類型的應用還采用了深信服“郵件延遲審計”的專利技術(shù)來保證先審計后發(fā)送。SINFOR UTM的訪問審計/監(jiān)控模塊為企業(yè)構(gòu)筑了強大的內(nèi)部安全屏障。</p><p>　　（7）強大的數(shù)據(jù)中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計</p><p>　　SINFOR UTM網(wǎng)關擁有強大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對象，按餅圖、柱狀圖

65、、曲線圖等方式進行查詢，可直觀地查看到網(wǎng)絡流量、郵件、網(wǎng)絡監(jiān)控、IPS系統(tǒng)、準入規(guī)則、防火墻等詳細信息，其強大的日志系統(tǒng)和豐富的報表功能，可詳細分析出企業(yè)的Internet的詳細使用情況，為網(wǎng)絡管理員和決策者提供了最有效的數(shù)據(jù)支持。</p><p>　　4 企業(yè)網(wǎng)絡總體規(guī)劃</p><p>　　網(wǎng)絡規(guī)劃是一個網(wǎng)絡是否穩(wěn)定可靠運行的關鍵，如何合理配置IP地址；選擇何種路由協(xié)議；在接入層如何有

66、效劃分VLAN，減小廣播的范圍；如何設計滿足基于聲音、圖像、數(shù)據(jù)綜合的局域網(wǎng)INTERNET應用的需要；滿足不同的應用服務質(zhì)量，將是網(wǎng)絡規(guī)劃的一個重要內(nèi)容。下面，本節(jié)將逐項詳細的設計。</p><p>　　4.1 路由協(xié)議選擇</p><p>　　因為公司內(nèi)部網(wǎng)絡是作為一個局域網(wǎng)存在，所有核心，匯聚及接入層都以VLAN的方式來劃分子網(wǎng)，因此只需在三層交換機上啟用IP ROUTING功能既

67、能滿足子網(wǎng)間的通信需求。</p><p>　　對于出口的訪問則可采用在出口交換機以靜態(tài)路由的方式將內(nèi)部網(wǎng)絡的網(wǎng)絡流量指向出口防火墻即可，只需要在核心交換機上用靜態(tài)路由將兩部分的網(wǎng)絡地址前綴通知對方即可，采用靜態(tài)路由和策略路由結(jié)合的方式將能很好的滿足路由選擇需求。</p><p>　　4.2 IP地址規(guī)劃</p><p>　　網(wǎng)絡系統(tǒng)的地址規(guī)劃是網(wǎng)絡設計的一個重要環(huán)

68、節(jié)，根據(jù)我們已有項目實施的成功經(jīng)驗，規(guī)劃IP地址應充分考慮未來發(fā)展的需要，統(tǒng)一規(guī)劃、長遠考慮、分片分塊分配的原則。</p><p>　　根據(jù)公司內(nèi)部網(wǎng)絡的規(guī)模，子網(wǎng)根據(jù)部門及科室劃分清晰的特性，以及未來地址擴展的趨勢，建議IP地址應采用公網(wǎng)保留的C類地址中的私有地址192.168.0.0到192.168.255.255，在網(wǎng)絡出口采用NAT地址轉(zhuǎn)換，實現(xiàn)與Internet合法地址互連，并采用相應的合法地址用于公網(wǎng)

69、訪問公司內(nèi)部網(wǎng)絡的各種授權(quán)開放信息。</p><p>　　網(wǎng)絡系統(tǒng)IP地址的劃分原則如下：</p><p>　　（1）唯一性：IP地址必須唯一，一個IP地址對應一臺數(shù)據(jù)通信設備；</p><p>　?。?）連續(xù)性：為同一網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，原則上一個VLAN一個C類網(wǎng)段，這樣便于規(guī)劃，同時提高路由器尋徑效率；</p><p>　?。?

70、）可擴充性：分配地址應預留一定量的備用地址塊，以便網(wǎng)絡節(jié)點增加后能保持地址的連續(xù)性；</p><p>　?。?）可管理性：地址的分配應該有層次性，某個局部的變動不影響網(wǎng)絡的其他部分；</p><p>　?。?）高效性：綜合網(wǎng)采用可變長子網(wǎng)掩碼技術(shù)，要求采用支持可變長子網(wǎng)掩碼技術(shù)的TCP/IP協(xié)議族；</p><p>　?。?）合法IP地址段由客戶從互聯(lián)網(wǎng)運營商申請；

71、</p><p>　?。?）內(nèi)部網(wǎng)絡使用私有保留，考慮到將來網(wǎng)絡的規(guī)模不斷擴大，建議采用192.168.X.X的私有保留地址塊，可按VLAN子網(wǎng)來劃分，并遵循IP地址規(guī)劃原則，進行統(tǒng)一分配。</p><p>　　4.3 VLAN設計</p><p>　　虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個獨立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡中廣播包消

72、耗帶寬所占的比例大大降低，網(wǎng)絡的性能得到顯著的提高。</p><p>　　交換式以太網(wǎng)中，利用VLAN技術(shù)，可以將由交換機連接成的物理網(wǎng)絡劃分成多個邏輯子網(wǎng)。一個VLAN中的站點所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點，而不是網(wǎng)絡中的所有站點。在交換式以太網(wǎng)中，各站點可以分別屬于不同的VLAN。構(gòu)成VLAN的站點不論其所處的物理位置，既可以掛接在同一個交換機中，也可以掛接在不同的交換機中。實現(xiàn)VLAN主

73、要有三種途徑：</p><p>　　（1）基于端口的VLAN</p><p>　　就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的站點具有相同的網(wǎng)絡地址，不同的VLAN之間進行通信需要通過路由功能實現(xiàn)。</p><p>　?。?）基于MAC地址的VLAN</p><p>　　交換機對站點的MAC地址和交換機端口進行跟蹤，在新站

74、點入網(wǎng)時根據(jù)需要將其劃歸至某一個VLAN，而無論該站點在網(wǎng)絡中怎樣移動，由于其MAC地址保持不變，故用戶不需進行網(wǎng)絡地址的重新配置。這種技術(shù)的不足之處在于站點入網(wǎng)時，需要對交換機進行較復雜的手工配置，以確定該站點屬于哪一個VLAN。</p><p>　?。?）基于網(wǎng)絡地址的VLAN</p><p>　　在此VLAN中，新站點入網(wǎng)時無需進行太多配置，交換機根據(jù)各站點網(wǎng)絡地址自動將其劃分成不同

75、的VLAN。在三種VLAN的實現(xiàn)技術(shù)中，基于網(wǎng)絡地址的VLAN智能化程度最高，實現(xiàn)起來也最復雜。</p><p>　　VLAN作為一種新一代的網(wǎng)絡技術(shù)，它的出現(xiàn)為解決網(wǎng)絡站點的靈活配置和網(wǎng)絡安全性等問題提供了良好的手段，VLAN技術(shù)也將在網(wǎng)絡建設中得到更加廣泛的應用，從而為提高網(wǎng)絡的工作效率發(fā)揮更大的作用。</p><p>　　公司網(wǎng)絡設計采用了基于端口和MAC地址相結(jié)合的方法來實現(xiàn)VLA

76、N，這種把端口和MAC地址有機結(jié)合的方式大大的提高了VLAN用戶接入的安全性和靈活性該規(guī)劃根據(jù)公司相關人員的要求，將允許相互通信的設備劃入同一VLAN，這些設備可以是同一部門，同一樓層或同一科室，而不管他們的物理位置在什么地方。對于位于不同VLAN而需要通信的設備可以使用路由的方式解決，反之，對于要限制其相互通信的VLAN則可以通過訪問列表技術(shù)靈活解決。為了有效地管理接入端用戶的安全訪問，接入端的交換機按基于端口來劃分VLAN，并在用戶

77、實現(xiàn)接入時，交換機會自動收集到用戶接入設備的物理MAC地址，如PC機的網(wǎng)卡MAC地址；網(wǎng)絡管理員可將收集到的MAC地址信息作為交換機相應端口安全綁定；完成此項工作后，若接入用戶改變接入設備，或非法未授權(quán)設備的接入，導致接入設備的MAC改變，接入交換機自動將此端口設置成不轉(zhuǎn)發(fā)數(shù)據(jù)的狀態(tài)。</p><p><b>　　4.4 服務器群組</b></p><p>　　4.4

78、.1 FTP 服務器</p><p>　　公司的FTP服務器主要是針對公司內(nèi)部一些日常辦公資料、軟件的共享而設置的，僅公司內(nèi)部PC可以訪問，其操作系統(tǒng)采用Windows server 2003。為登錄方便，采用匿名訪問方式。出于對某些文件數(shù)據(jù)的安全性考慮，各部門屬于不同的用戶組，對不同的用戶組設置相應的權(quán)限。另外，設置最大訪問人數(shù)防止因同時的大量訪問導致服務器造成的癱瘓[5]。</p><p&

79、gt;　　4.4.2 DHCP 服務器</p><p>　　由于公司網(wǎng)絡節(jié)點較多，避免為每臺PC機配置IP的繁瑣工作，本設計采用DHCP服務器為接入公司網(wǎng)絡的PC機自帶分配IP地址，其操作系統(tǒng)采用Windows server 2003。由于DHCP服務器與公司其他PC機在不同的VLAN中,因為還需在匯聚層交換機上配置DHCP中繼服務功能才能成功運行DHCP服務。</p><p>　　4.4

80、.3 MAIL服務器</p><p>　　本設計選用微軟exchange server 2003作為服務器端軟件，其常見的任務包括：備份與還原、建立新郵箱、恢復、移動、安裝新的硬件、存儲區(qū)、軟件和工具，以及應用更新和修補程序等。</p><p>　　在部署exchange server 2003郵件服務器之間，首先為公司申請合法的域名，建立域控服務器，打開“運行”對話框，輸入dcpromo

81、命令，然后根據(jù)向?qū)?chuàng)建域控服務器。</p><p>　　圖2 建立域控服務器</p><p>　　將公司內(nèi)所有PC機加入該域。為防止主域控服務器出現(xiàn)故障而導致通信故障和信息丟失，還需要一臺輔助域控。當然還需在DNS服務器中寫入記錄，這樣發(fā)出的郵件才知道去處。</p><p>　　4.4.4 WEB服務器</p><p>　　WEB服務器主要是

82、發(fā)布公司網(wǎng)站，時時更新公司以及證券市場信息以供用戶網(wǎng)上參考。本設計選擇Linux作為WEB服務器的操作系統(tǒng),服務器端軟件則用Apache。</p><p>　　Apache是世界上用的最多的WEB服務器，市場占有率達到60%左右，它源于NCSAhttpd服務器。Apache多多種產(chǎn)品，可以支持SSL技術(shù)，支持多個虛擬主機。它是以進程為基礎結(jié)構(gòu)的，進程要比線程消耗更多的系統(tǒng)開支。因為它是自由軟件，所以不斷有人來為它

83、開發(fā)新的功能、新的性能、修改原來的缺陷。Apache的特點是簡單、速度快、性能穩(wěn)定，并可做代理服務器來使用。它的成功之處主要在于它的源代碼開放、有一支開放的開發(fā)隊伍、支持跨平臺的應用（可以運行在幾乎所有的Unix、Windows、Lniux系統(tǒng)平臺上）以及它的可移植性等方面。</p><p><b>　　5 安全策略</b></p><p>　　5.1 網(wǎng)絡威脅因素分

84、析</p><p>　　對于證券業(yè)來說，網(wǎng)絡安全性至關緊要。而證券網(wǎng)上交易，信息發(fā)布等業(yè)務需要似的公司網(wǎng)絡必須與Internet相連，這樣必然存在安全風險。公司內(nèi)部網(wǎng)絡，由于各部門職能不同，某些部門網(wǎng)絡對安全性也有較高的要求。</p><p>　　公司網(wǎng)絡的安全風險可能包括以下幾個：</p><p>　　（1）公司網(wǎng)絡與Internet相連，可能遭到來自各地的越權(quán)訪

85、問，還可能遭到網(wǎng)絡黑客的惡意攻擊和計算機病毒的入侵；</p><p>　　（2）內(nèi)部的各子網(wǎng)通過骨干交換連接，某些重要部門可能會遭到來自其他部門的越權(quán)訪問，而導致重要信息的泄露或者網(wǎng)絡的癱瘓；</p><p>　?。?）設備自身的安全性也會直接關系到網(wǎng)絡系統(tǒng)和各種網(wǎng)絡應用的正常運轉(zhuǎn)。</p><p><b>　　5.2安全要求</b></

86、p><p><b>　?。?）物理安全</b></p><p>　　包括保護網(wǎng)絡設備設施以及數(shù)據(jù)庫資料免遭地震、水災、火災等環(huán)境事故以及人為操作失誤導致系統(tǒng)損壞，同時要避免由于電磁泄露引起的信息失密。</p><p><b>　?。?）網(wǎng)絡安全</b></p><p>　　主要包括系統(tǒng)安全和網(wǎng)絡運行安全

87、，檢測到系統(tǒng)安全漏洞和對于網(wǎng)絡訪問的控制。</p><p><b>　?。?）信息安全</b></p><p>　　包括信息傳輸?shù)陌踩?、信息存儲的安全以及對用戶的授?quán)和鑒別。</p><p>　　5.3 安全策略部署</p><p>　　5.3.1 VLAN 技術(shù)</p><p>　　VLAN技術(shù)

88、是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。利用VLAN技術(shù)將一個LAN劃分為多個邏輯的VLAN，限制了廣播域，從而大大增加了局域網(wǎng)內(nèi)部信息的安全性。</p><p>　　將各部門劃屬不同的VLAN能有效避免部門間的越權(quán)訪問，同時還防止了廣播風暴的發(fā)生。另外，VLAN為網(wǎng)絡管理帶來了很大的方便，每個VLAN內(nèi)的客戶端需求是基本相似的，對于故障排查或者軟件升級等都比較方便。<

89、/p><p>　　5.3.2 訪問控制</p><p>　　訪問控制是網(wǎng)絡安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡資源不被非法使用和訪問，是保證網(wǎng)絡安全最重要的核心策略之一，包括入網(wǎng)訪問控制、網(wǎng)絡權(quán)限控制、目錄級控制及屬性控制等多種手段。訪問控制列表（ACL）是應用在路由器接口的指令列表，用來過濾通過路由器的數(shù)據(jù)包，而且也是控制網(wǎng)絡中數(shù)據(jù)流量的一個重要方法。</p>&l

90、t;p>　　圖 3 ACL示意圖</p><p>　　訪問控制列表分為兩類，一個是標準訪問列表，一個是擴展訪問列表。根據(jù)公司各部門的性質(zhì)，可根據(jù)需要在分布層的設備上配置訪問控制。如財務部、資產(chǎn)管理部信息數(shù)據(jù)機密度較高，就可以編寫標準訪問控制列表，禁止其他網(wǎng)段也就是其他VLAN的用戶訪問這些部門的PC機。當然，寫完訪問列表后，要將其應用在相應的端口上。有的部門對信息的保密要求沒有那么高，就可以使用擴展訪問列表

91、，只對某一端口的數(shù)據(jù)進行控制。</p><p><b>　　5.3.3 防火墻</b></p><p>　　防火墻以一個安全衛(wèi)士的身份是執(zhí)行著管理者的安全策略，有效地維護網(wǎng)絡的安全[7]。它主要由服務訪問策略、驗證工具、包過濾和應用網(wǎng)關四部分組成。本設計在核心層路由器與Internet之間配置一臺硬件防火墻，使得所有進出網(wǎng)絡的數(shù)據(jù)都要通過防火墻。防火墻應具備以下的功能

92、特點：包過濾、地址轉(zhuǎn)換、認證和應用代理、透明和路由、入侵檢測。</p><p><b>　　5.3.4 VPN</b></p><p>　　公司員工可能需要經(jīng)常出差或者在外辦公，需要通過公網(wǎng)訪問公司網(wǎng)絡。這是數(shù)據(jù)在公網(wǎng)上傳播就很不安全，所以需要一條專門的通道來安全傳輸信息，這就是VPN（虛擬專用網(wǎng)絡）。VPN可以幫助遠程用戶，公司分支機構(gòu)、商業(yè)伙伴及移動辦公用戶的辦公

93、網(wǎng)絡建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。VPN解決方案也將大幅度減少用戶花費在城域網(wǎng)和遠程網(wǎng)絡連接上的費用。</p><p>　　圖 4 VPN 原理示意圖</p><p>　　本設計采用IP-VPN技術(shù)。IP-VPN是指在運行IP協(xié)議的網(wǎng)絡上實現(xiàn)VPN。改即使的實現(xiàn)是通過隧道（tunnel）進行連接，隧道技術(shù)用過軟件“疊加”在物理網(wǎng)絡上這也是“VPN”虛擬特征的體現(xiàn)[8]。借助隧道

94、VPN，還能夠使用內(nèi)部網(wǎng)絡中采用的安全和優(yōu)先策略，使數(shù)據(jù)流能夠得到完全的控制。</p><p>　　目前各種VPN安全協(xié)議中，Ipsec的保密性是最好的。Ipsec使用了Ipsec隧道模式，在這種隧道模式中，用戶的數(shù)據(jù)包加密后，封裝進新的ip。這樣在新的數(shù)據(jù)包中，分別以開通器和終端器的地址掩蔽用戶和宿主服務器的地址。本設計選用的深信服SINFOR UTM M5400-AC防火墻具有VPN功能，所以不需要額外購買V

95、PN設備，無需增加成本，也無需提高設計、部署或運作的復雜性，就能夠?qū)⒃L問控制、應用檢測和威脅防御作為VPN解決方案的一部分。管理員只需制定一個網(wǎng)絡策略，就可以提高安全性，又保持網(wǎng)絡環(huán)境的可訪問性。</p><p><b>　　6 結(jié)束語</b></p><p>　　本文的邏輯網(wǎng)絡設計包括設計網(wǎng)絡拓撲結(jié)構(gòu)、規(guī)劃IP地址和劃分VLAN、選擇交換和路由選擇協(xié)議、制定網(wǎng)絡安全

96、策略等。對企業(yè)級網(wǎng)絡安全措施的規(guī)劃，要遵循安全設計的原則：全局考慮、整體設計、兼顧有效性和實用性、劃分安全等級、注重自主性與可控性、以及安全有價等原則。DMZ是一個在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間構(gòu)造的過濾子網(wǎng)，DMZ防火墻方案為要保護的內(nèi)部網(wǎng)絡增加了一道安全防線，解決了安裝防火墻后外部網(wǎng)絡不能訪問內(nèi)部網(wǎng)絡服務器的問題。同時，它提供了一個區(qū)域放置公共服務器，從而又能有效地避免一些互聯(lián)應用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。</p&

97、gt;<p>　　物理網(wǎng)絡設計包括企業(yè)網(wǎng)絡選擇局域網(wǎng)技術(shù)和網(wǎng)絡設備。第三層交換技術(shù)也稱IP交換技術(shù)，簡單的說，三層交換技術(shù)就是二層交換技術(shù)加三層路由技術(shù)，這是一種利用第三層協(xié)議中的信息來加強第二層交換功能的機制，二者的有機結(jié)合，并不是簡單的把路由器設備的硬件及軟件簡單地疊加在局域網(wǎng)交換機上。千兆以太網(wǎng)技術(shù)是建立在以太網(wǎng)標準基礎之上的技術(shù)。千兆以太網(wǎng)和大量使用的以太網(wǎng)與快速以太網(wǎng)完全兼容，并利用了原以太網(wǎng)標準所規(guī)定的全部技術(shù)

98、規(guī)范，其中包括CSMA/CD協(xié)議、以太網(wǎng)幀、全雙工、流量控制以及IEEE 802.3標準中所定義的管理對象。</p><p><b>　　參考文獻</b></p><p>　　[1] 楊威.網(wǎng)絡工程設計與系統(tǒng)集成[M].北京:人民郵電出版社,2010.</p><p>　　[2] 顧尚杰.計算機通訊網(wǎng)基礎[M].北京：電子工業(yè)出版社，2001.

99、</p><p>　　[3] 王眾托.企業(yè)信息化與管理變革[M].北京：中國人民大學出版社，2005.</p><p>　　[4]叢日權(quán)等.Windows Server 2003 網(wǎng)絡構(gòu)架[M].北京：機械工業(yè)出版社，2005.</p><p>　　[5]王相林.組網(wǎng)技術(shù)與配置[M].北京：清華大學出版社，2007.</p><p>　　[6

100、] IT同路人. Windows Server 2003服務器架設實例詳解[M]. 北京：人民郵電出版社，2008.</p><p>　　[7][美]Richard tibbs ,Edward oales.防火墻與VPN—原理與實踐.北京：清華大學出版社，2008.</p><p>　　[8][美]vi jay .Ipsec vpn 設計.北京：人民郵電出版社，2006.</p>

101、;<p><b>　　致謝</b></p><p>　　在此，衷心感謝我的畢業(yè)論文指導老師黃鎮(zhèn)建，在老師的耐心指導下，經(jīng)過奮戰(zhàn)，我終于完成了本畢業(yè)論文。沒有他的耐心輔導，我的論文將無從談起，每當我遇到困難的時候，是他在我身邊耐心地指導，并指引我走進新的領域，讓我由陌生到熟悉，從而學到了許多平時在課堂上沒有學到的東西。我要感謝那些曾經(jīng)、現(xiàn)在或者將來工作在這一領域的人，他們鍥而不舍

102、的精神一直是我前進的動力，正是借鑒了他們積累的豐富知識、經(jīng)驗，我才能順利完成這篇論文。 </p><p>　　另外，還要特別感謝我的家人，你們時刻關心我，是你們給了我學習的機會,是你們時時刻刻為我鼓勁、為我加油，進而促使我不斷成長。同時，也要感謝寢室的室友以及所有關心我的朋友，，在我遇到困難時你們關心我、幫助我。最后，再次感謝你們，祝愿你們工作順利，生活愉快！</p><p><b&