学士学位论文--利泰公司网络安全解决方案.doc

《学士学位论文--利泰公司网络安全解决方案.doc》由会员分享，可在线阅读，更多相关《学士学位论文--利泰公司网络安全解决方案.doc（30页珍藏版）》请在咨信网上搜索。

毕业设计（论文） 题 目： 利泰公司网络安全解决方案 院 (系)： 信息与建筑工程学院 专 业： 计应用ZK1101 姓 名： 学 号： 指导教师： 龙崇冰 二〇一三年十一月二五日 毕业设计（论文）任务书 学生姓名 学号 专 业 计算机应用技术 院（系） 信息与建筑工程学院 毕业设计（论文）题目 利泰公司网络安全解决方案 任务与要求 任务：学生应保质保量按照毕业设计(论文)进度计划表来完成论文的撰写，在撰写过程中应根据不同的时期完成论文的选题、写作、整理、修改任务，最终确保论文的完成。 要求：论文思想正确，方案合理，论点正确，论证充分，结论正确，数据可靠， 论文文字通顺，表述清楚，结构完整，叙述清楚。英文文献的译文意思正确，文字通顺。 完成时间段 2013年 6 月 28日 至 2013 年 11 月 25日 共 20 周 指导教师单位 重庆科创职业学院 教师 院（系）审核意见 毕业设计(论文)进度计划表 日 期 工 作 内 容 执 行 情 况 指导教师 签 字 6月30号 论文选题 按时完成 7月1号至7月16日 分析论点，整理题纲 按时完成 7月17至9月10日 根据题纲，收集相关资料 按时完成 9月11至10月 20日 完成初稿 按时完成 10月21日至11月10日 初稿完成，完成二稿 按时完成 11月11日至11月25日 修改二稿，终稿完成，并打印上交 按时完成 教师对进度计划 实施情况总评 该生能够按时认真完成每个阶段的任务，态度端正，工作积极；所写论文，论点明确，论据充分，能够清晰地表达自已的观点。 　　　　　　　　　　　　　　　　　 签名 　　　　　　　　　　　　　　　　　　　　　　年 月 日 本表作评定学生平时成绩的依据之一 毕业设计(论文)中期检查记录表 学生填写 毕业设计(论文)题目: 利泰公司网络安全解决方案 学生姓名: 　 　　 学号: 专业：计算机应用技术 指导教师姓名:宋再红 职称:教师 检查　 教师填写 毕业设计(论文)题目工作量 饱满 　 一般 　 不够 　 毕业设计(论文)题目难度 大 　 适中 　 不够 　 毕业设计(论文)题目涉及知识点 丰富 　 比较丰富 　 较少 　 毕业设计(论文)题目价值 很有价值 　 一般 　 价值不大 　 学生是否按计划进度独立完成工作任务 　 学生毕业设计(论文)工作进度填写情况　 指导次数 　 学生工作态度 认真 　 一般 　 较差 　 其他检查内容： 存在问题及采取措施: 检查教师签字: 年 月 日 院（系）意见 (加盖公章): 　年 月 日 摘要 信息网络安全已经从单一安全产品、安全措施发展到整体的、系统的安全解决方案。动态的安全策略,联动的安全产品,联动的安全环节构成联动的、整体的网络安全解决方案。即实现网络安全的管理、防护、监测、审计、服务各个环节以及各环节对应的产品之间的联动。本文论述了开放系统互联安全体系结构下的重钢信息网络安全现状分析和风险评估;以及在联动的安全理念指导下,根据需求、风险、代价平衡原则设计的重钢集团信息网络安全解决方案和实施策略。本文提出的重钢网络安全解决方案实现了安全管理和安全技术措施统一。 在技术结构方面包括管理层、应用层、系统层、网络层、物理层网络安全解决方案,具备评估、保护、检测、反应和恢复五种技术能力,采用网络安全集中管理中心平台对重钢网络及网络安全设备、重要服务器进行集中安全管理,实现安全管理中心和防火墙系统、入侵检测系统、风险评估系统、防病毒系统有机结合。在组织结构方面,包括进行内部安全机构设置、人员分工、人员培训工作,定义外部支持机构和相关协调。在管理结构方面,主要包括安全策略、安全制度、资产管理、风险管理、技术管理等,系统地提出安全第一、最小授权、特权分离、多层次安全机制、应急预案等安全管理原则。 关键词： 信息网络 网络安全 安全系统方案 Abstract Security solution system information network security has grown from a single security products, security measures into the whole. Dynamic security tactics, security products linkage, security solution which link linkage linkage, the overall network security。Between the network security management, protection, monitoring, auditing, service each link and each link corresponds to the product of the linkage。This paper discusses the analysis of the present situation of Chongqing steel information network security risk assessment and secure structure under the open system; and in guiding the safety concept linkage, solutions based on demand, risk, cost balance principle of the design of Chongqing Steel Group information network security and implementation strategy. Internet problem-solving plan is proposed in this paper realized the unification of safety management and safety technical measures。 Including the management layer, application layer, system layer, network layer, physical layer network security solutions in the technical structure, with assessment, protection, detection, response and recovery of five kinds of technical ability, the network security management center of Chongqing steel platform of network security facilities, important server centralized safety management, realizing safety management center and the firewall system, intrusion detection system, risk assessment system, anti-virus system organic combination。In the respect of organization structure, personnel training, definition of the external support agencies and related coordination。 In the management structure, including security strategy, security system, asset management, risk management, technology management, the system put forward safety first, minimum authorization, privilege separation, multi level security mechanism, contingency plans and security management principles。 Keywords: information network security system 目录 第一章 绪言 1 第二章 网络安全概述 2 第一节 网络安全的概念 2 第二节 网络安全系统的脆弱性 2 第三节 网络安全模型 3 第四节 企业局域网的应用 4 第三章 网络系统安全风险分析 5 第一节 物理安全风险分析 5 第二节 网络平台的安全风险分析 5 第三节 系统的安全风险分析 6 第四节 来自局域网内部的威胁 6 第五节 来自互联网的威胁 7 第六节 网络的攻击手段 8 第四章 企业网络安全解决实施 9 第一节 物理安全 9 第二节 网络VLAN划分 10 第三节 网络防火墙配置 13 第四节 网络VPN配置 15 第五节 网络防病毒措施 16 第五章 局域网故障的诊断与排除 19 第一节 局域网故障的诊断 19 第二节 局域网故障的排除 19 结论 20 致谢 21 参考文献 22 第一章 绪言 随着迅速变化的商业环境和日益复杂的网络，已经彻底改变了目前从事业务的方式。尽管企业现在依赖许多种安全技术来保护知识产权但它们经常会遇到这些技术所固有的限制因素难题。无论当今的技术标榜有何种能力，它们通常均有不能够集中监控和控制其他第三方异构安全产品。大多数技术都未能证实有至关重要的整合，正常和关联层，而它们正是有效安全信息基础的组成部分。寻求尖端技术，经验丰富的人员和最佳作法与持续主动进行企业安全管理的坚实整合，当今所有IT安全专业人土面临的最严峻挑战。有效的安全信息管理主要关键是要求企业管理其企业安全，并同时在风险与性能改进间做到最佳平衡。拥有良好的主动企业安全管理不应是我们所有人难以实现的梦想。通过本企业网络安全技术及解决方案，使企业网络可有效的确保信息资产保密性，完整性和可用性。本方案为企业局域网网络安全的解决方案，包括原有网络系统分析，网络安全风险分析，安全体系结构的设计等。本安全解决方案是在不影响该企业局域网当前业务的前提下，实现对局域网全面的安全管理。 1.将安全策略，硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。 2.定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 3通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时其备很好的安全取证措施。 4使用网络管理者能够很快重新组织起来被坏的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。 5.在服务器上安器相应的防毒软件，由中央控制台统一控制和管理，实现全网络统一防病毒。 第二章 网络安全概述 第一节 网络安全的概念 网络安全是指网络系统的硬件，较件及其系统中数据受保护，不受偶然的或者恶意的原因而遭到破坏，更改，泄漏，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义上来说，凡是涉及到网络上信息的保密性，完整性，可用性，真实性和可控性的相关技术和理论都是网络安全的研究领域。 从网络运行和管理者来角度说，他们希望对本地网络信息的访问，读写等操作受到保护和控制，避免出现“陷门”，病毒，非法存取，拒绝服务和网络资源非法占用和非法控制等威胁。制止和防御网络黑管的攻击。 从社会救教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定的发展造成阻碍，必须对其进行控制。 第二节 网络安全系统的脆弱性 计算机面临着黑客，病毒，特洛伊木马程序，系统后门和窥探等多个方面安全威胁。近管近年来计算机风络安全技术取得巨大的发展，但计算机网络系统的安全性，比以往任何时候都更加脆弱。主要表现在他极易受到攻击和侵害，他的抗击力和防护力很弱，其脆弱性主要表现在下几个方面。 1.操作系统的安全脆弱性 操作系统不安全，是计算机系统不安全的根本原因。 2.网络系统的安全脆弱性 网络安全的脆弱性，使用TCP/IP协议的网络所提供的FTP，E-AIL，RPC和NFS都包含许多不安全的因素；计算机硬件的故障，由二生产工艺和制造商的原因，计算机硬件系统本身有故障；软件本身的“后门”，软件本身的“后门”是软件公司为了方便自已进入而在开发时预留设置的，一方面软件为调试进一步开展或远程维护提供了方便，但同时也为非法入侵提供了通道，入侵者可以利用“后门”，多次进入系统，常见的后门有修改配制文件，建立系统木马程序和修改系统内核等；软件的漏洞，软件中不可避免的漏洞和缺陷，成了黑客攻击的首要目标，典型的如操作系统中的BUCS。 3.数据库管理系统的安全脆弱性 大量信息存储在数据库中，然而对这些数据库系统在安全的考虑却很少。数据库管理系统安全必须与操作系统的安全相配套，例如DMBS的安全级别是B2级，操作系统的安全级别也应是B2级，但实践中往往不是这样。 4.防火墙的局限性 防火墙依然存在着一些不能防范的威胁，例如不能防范不经过防火墙的攻击，及很难防范网络内部攻击及病毒威胁等。 5.天灾人祸 天灾是指不可控制的自然灾害，如地震，雷击等。人祸是指人为的恶意攻击，违纪，违法和计算机犯罪。无意是指误操作造成的不良后果，如文件的误删除，误输入，安全配置不当，用户口令选择不慎，帐号泄露或与别人共享。 6.其他方面 如环境和灾害的影响，计算机领域中任何重大的技术进步，都对安全构成新的威胁等。总之，系统自身的脆弱和不足，是造成网络安全问题的内部根源，但系统本身的脆弱性，社会对系统的依赖性这一矛盾又将促进网络安全技术的不断进步发展和进步。 第三节 网络安全模型 计算机网络系统安全的概念是相对，每一个系统都具有潜在的危险。安全具有动态性，需要适应变化的环境，并能作出相应的调整，以确保计算机网络系统的安全。 一个最常见的安全模型是PDRR模型：PDRR模型就是四个英文单词的头字符，PROTECTION（防护），DETECTION（检测），RESPONSE(响应)，RECOVERY(恢复)。这四个部分构成了一个动态的信息安全周期 ，如图： 防护（P） 恢复（R） 检测（D） 安全策略 响应（R） 图1-1 网络安全模型 安全策略的每一部分包括一组相应的安全措施来实施一定的安全功能。安全策略的第一部分就是防御。根据系统忆知的所有安全问题防御的措施，如打补丁，访问控制，数据加密等等。防御作为安全策略的第一战绩。安全策略的第二战绩就是检测。攻击者如果穿过防御系统，检测系统就会检测出来。这个安全战绩的功能就是检测出入侵者的身份，包括攻击来源，系统损失等。一旦检测出入侵，响应系统开始响应包括事件处理和其他业务。安全策略的最后一个战绩就是系统恢复。在入侵事件发生后，把系统恢复到原来的状态。第次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能再发生，所以整个安全策略包括防御，检测，响应和恢复，这四个方面组成了一个信息安全周期。 第四节 企业局域网的应用 企业局域网的应用可以为用户提供如下主要应用： 1.文件共享，办公自动化，WWW服务，电子邮件服务； 2.文件数据的统一存储； 3针对特定的应用在数据库服务器上进行二次开发（比如财务系统）； 4.提供与INTERNET的访问； 5.通过公开服务器对外发布企业信息，发送电子邮件等。 第三章 网络系统安全风险分析 这个企业的局域网是一个信息点较多的百兆局域网络系统，它所联接的现在上有百个信息点为整个企业内办公的各部门得供一个快速，方便的信息交流平台。不仅如此，通过专线与INTERNET的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流，查询资料等。通过公开服务器，企业可以直接对外发布信息或者与发送电子邮件。高速交换技术的采用，灵活的网络互连方案设计为用户提供快速，方便，灵活通信平台的同时，也为网络的安全带来了更大的风险因此，在原有网络上实施一套完整，可操作的安全的解决方案不仅是可行的，而且是必需。企业局域网安全可以从以下几个方面来理解：1.网络物理是否安全；2.网络平台是否安全；3.系统是否安全；4.企业局域网本身是否安全；互联网连接是否安全。针对每一类安全风险，结合实际情况，我们将具体的分析网络的安全风险。 第一节 物理安全风险分析 网络的物理安全主要是指地震，水灾，火灾等环境事故，电源故障。人为操作失误或错误，设备被盗，被毁，电磁干扰，线较截获以及高可用性的硬件，双机多冗余的设计，机房环境及报警系统，安全意识等。它是整个网络系统安全的前提，在这个并且加强网络设备和机房的管理，这些风险是可以避免的。 第二节 网络平台的安全风险分析 网络结构的安全涉及到网络拓扑结构，网络路由状况及网络的环境等。 公开服务器面临的威胁，企业局域网内公开服务器区（WWW.EMAIL等服务器）作为公司的信息发布平台一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必须开放相应的服务。每天，黑客都在试图闯入INTERNET 节点，这些节点如果不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成黑客入侵其他站点的跳板。因此，企业局域网的管理人员对INTERNET安全事故做出有效反应变得十分重要。我们必须将公开服务器，内部网络与外部网络进行隔离，避免网络结构信息外泄。同时还要对外网络的服务请求加以过虑，只允许正常通信的数据包到达相应的主机，其他的请求在到达主机之前就该遭到拒绝。 整个网络结构和路由状况，安全的应用往往是建立在网络系统之上。网络系统的成熟与否直接影响安全系统成功的建设。在这个企业局域网网络系统中，只使用一台路由器，作为与INTERNTET连接的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。 第三节 系统的安全风险分析 所谓系统的安全是指整个局域网络操作系统，网络硬件平台是否可靠且值得信任。 网络操作系统，网络硬件平台的可靠性：对于中国来说，恐怕没有绝对安全的操作系统可以选择，无论是MICROSOFT的WINDOWS或者其任何商用UNIX操作系统，其开发商必然有其BACK--DOOR。我们可以这样讲，没有完全安全的操作系统。但是，我们可以对现在所有的操作平台进行安全配置，对操作和访问权限进行严格控制，提高系统的安全性。因此，不但要选用尽可能的操作系统和硬件平台，而且必须加强登录过程的认证（特别是在到达服务器主机之前的认证），确保用户的合法性。其次应该亚严限制登录者的操作权限，限制操作权限制在最小的范围内。 第四节 来自局域网内部的威胁 （1）应用的安全风险 应用系统的安全是动态，不断变化的，其结果是安全漏洞也不断增加且隐藏越来越深。因此，保证应用系统的安全也是一个随网络发展不断完善的过程。应用的安全性涉及到信息，数据的安全性。信息的安全性涉及到机密信息泄漏，未经授权的访问，破坏信息完整性，假冒，破坏系统的可用性等。由于这个企业局域网度不大，绝大部份重要信息在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。 （2）管理 的安全风险 管理是网络安全中最重要的部分，责权不明，管理混乱，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。管理混知乱使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其他一些安全威胁（如内部人员违规操作等），无法进行实时检测，监控，报告与预防。同时，当事故发生以后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。所以我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新的网络安全机制，必须深刻理解网络并能提供解决方案，因此最可行的做法是管理制度和网络安全解决方案的结合。 （3）不满的内部员工 不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最熟悉服务器，小程序，脚本和系统的弱点。例如他们可以传出至关重要的信息，泄漏安全重要信息，错误地进入数据库等等。 第五节 来自互联网的威胁 （1）黑客攻击 黑客们的攻击行为是无时无刻不在进行的，而且会利用系统和管理上一切可能胜利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到服务器的口令文件并将之送回。黑客入侵服务器后，有可能修改特权，从普通用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发欺骗程序，将其装入服务器中，用以监听登录会话。当它发现所有用户登录时，便开始存储一个文件，这样黑客就拥有他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自已的空间而进入另外的目录。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合采用防火尖端技术，入侵检测技术，访问控制技术来保护，网络内的信息资源，防止黑客攻击。 （2）恶意代码 恶意代码不限于病毒，还包括蠕虫，特洛伊木马，逻辑炸弹和其他未经同意的较件。所以应该加强对恶意代码的检测。 （3）病毒的攻击 计算机病毒一直是计算机安全的主要威胁。病毒不是独立存在，它隐藏在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行，重则使机器处于瘫痪，会给用户带来不可估量的损失。能在INTERNET上传播的新型病毒，如通过E-AIL传播的病毒，增加了这种威胁的程度。 第六节 网络的攻击手段 一般认为，目前对网络的攻击手段主要的表现： 非授权访问：没有预先经过同意，就使网络或计算机资源被看作非授权访问，如有意避开系统访问监控机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权限访问信息。 信息泄漏或丢失：指敏感数据在有意或无意中被泄漏或丢失，通常包括信息在传输中或者存储介质中丢失，泄漏，或通过建立隐蔽隧道窃取敏感信息等。 破坏数据的完整性：以非法手段窃取对数据的使用权，删除，修改，插入或重发某些重要信息，以取得有益于攻击者的响应，恶意修改数据，以干扰用户的正常使用。 拒绝服务攻击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使用合法用户被 排斥而不能进入计算机网络系统或不能得到相应的服务。 利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而用户很难防范。 20 第四章 企业网络安全解决实施 第一节 物理安全 利泰公司网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。 针对利泰公司的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面： 保证机房环境安全 信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2) 选用合适的传输介质 屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。 光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。 3) 保证供电安全可靠 计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。 第二节 网络VLAN划分 VLAN技术能有效隔离局域网，防止网内的攻击，所以利泰商贸有限公司网络中按部门进行了VLAN划分，划分为以下两个VLAN： 财务部门 VLAN 10 　　　　交换机S1接入交换机（神州数码DCS-3950） 业务部门 VLAN 20 　　　　交换机S2接入交换机（神州数码DCS-3950） 核心交换机 VLAN间路由 核心交换机S3（神州数码DCRS-5526） S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 第三节 网络防火墙配置 利泰公司网络中使用的是神州数码的DCFW-1800S UTM，里面包含了防火墙和VPN等功能。以下为配置过程： 在防火墙NAT策略下面，新增NAT。 如图4-1: 图4-1 新增企业防火墙策略示意图 源域：untrust； 源地址对象：any； 目的域：trust； 目的地址对象：any； 在全局安全策略设置里面如图4-2和图4-3所示: 图4-2企业防火墙策略配置示意图 图 3-3 企业防火墙策略配置示意图 图4-4企业防火墙策略配置示意图 可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网络为信任区域（trust），Inteneter为不信任区域（untrust），服务器区域为DMZ区域。动作包括permit允许，拒绝deny，以及其他的特定的服务。这里允许内部访问外部和DMZ区域，而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。 在网络接口处如图4-5所示: 图4-5 网络接口处配置示意图 要配置3个以太网接口为up，安全区域分别为eth1：l2-trust，eth0：l2-untrust，eth2：l2-DMZ。其中接外网的eth0工作模式为路由模式，其余接DMZ和内部的都为NAT模式。如图4-6所示: 图4-6 以太网接口配置示意图 同时为他们配好相应的网络地址，eth0为58.192.65.62，eth1：10.1.1.1，eth2 10.1.2.1。 第四节 网络VPN配置 利泰公司网络的VPN功能主要也是通过上面的防火墙实现的。如图4-7,图4-8所示: 图4-7 PPTP协议示意图 图4-8 PPTP示意图 这里我们使用PPTP协议来实现VPN，首先是新增PPTP地址池，范围为192.168.20.150-192.168.20.240 如图4-9所示: 图4-9 PPTP协议实现VPN示意图 在PPTP设置里面，选择Chap加密认证，加密方式mppe-128。DNS分别为61.177.7.1，MTU为500。 第五节 网络防病毒措施 针对利泰公司网络的现状，在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后，我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。 产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统，即适用于包含若干台主机的单一网段网络，也适用于包含各种WEB服务器、邮件服务器、应用服务器，以及分布在不同城市，包含数十万台主机的超大型网络。KV网络版具有以下显著特点： (1)先进的体系结构 (2)超强的杀毒能力 (3)完备的远程控制 (4)方便的分级、分组管理 利泰公司网络KV网络版的主控制中心部署在DMZ服务器区，子控制中心部署在3层交换机的一台服务器上。 网络拓扑结构如图4-10所示: 图4-10 主控制中心部署图 子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制，是整个KV网络版的核心，在部署KV网络时，必须首先安装。除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着KV网络版防护体系内每台计算机上的