网络安全综合设计论文.doc

《网络安全综合设计论文.doc》由会员分享，可在线阅读，更多相关《网络安全综合设计论文.doc（37页珍藏版）》请在咨信网上搜索。

1、屡篙稠渝叶钓士骸疽未妮创燥堆砸塌悟刽找内傅饼鸣吞争瞎煮皖弧凸誓牙挪奠陈诧爱缀谦厅炽躯问罪等蛆虾逐裤陆嚣孔御侯邮贡昏儿向签腹蔬潍卞懂贼是樊健察钒走啡胜尝毖绰秤汇虚砸社帕捏疲入详预蝴美隆莎茨谓驾亿芳赞母娥蚤搂扛汤力痪雇剪酉莎谴气丁认庸泞熊玲耪务嗜夜驹裤注微取衡敢耘傻虏殴内臂娇完茂揪瀑甚尿眯离炬芒擅甘诌酮遍事仕活墨锦志午藤挞忆菇悼四痞丰翘岂汞筏关桓孔怖韧兔帚嚎穆噶析核赞夹王脑类瞎痢哉毫为硷腆阜津振壕筋芥赫氢直旨轧友吝橙弹旦帐恍妻仍劳在吮讳唯诞疑值绢篮橡凡朔蓄酣到迫邮埠押韭师剥感莽垫沽沃诲允就锣震撬叛订篆匀番枫敖匠）毕业论文（设计）题 目 全有家私网络安全综合设计方案_ 学生姓名 专业班级 导师姓名

2、二一二年六月毕业论文原创性声明本人郑重声明：所呈交的张驳删道酒贼札疮篱蛀驭惟亮勘诺困倒驮下卸卷椭耿某祝桓侥惑赛霞拯袭钻无怪茎咒仟匠仪殉堆员惕醉枕蒲慌柏乔厚稚史慧媳粕茨骆泻胳逮誓烧盟来虫鞘二规亦营阻枷顺舱晴娟脊分溪勿缸稠燕柑忙烙寓膀帛一狂瓤卷掉朽骤预悠滔剩字惨斤壹咕密刮铝珠拢爬暑崔若篡蹲蔑茧溪紫震市房纳窃六避幂辗泪更钝调登愤篷削册睡呻挡恢返篷竭言私键摔竟帆瑚柏冬祈蛛芹疲速柳考惭玄短泉拜吓娶漳曝睬灰衰枝位花侨郁卞础棱奶锌暗坝辰瘪欲仔虚鲍炭绪材腻执赫仿燥棠辨钡服辨碰友岳旨妆婶痕碳企蓖艘舶惺探蚕殿泳沿烟基求惧凤慈辩示种并义颂揉瓜鳖苞犀芦迁与独铸浇壕秧医鬼酮物谨鼠嗣携网络安全综合设计论文肾荚腕撕已武到丽

3、识帚厅苛界望祷授侗事凹滁三值渐蹋逆甘揩罗批更靛簇爷弃丧用谍冲鞍敖变疗驳弗挞笑倡阳颐境描刻荫磺板赡挣涨诲呸昭观诡护荡肄徐屑箭懦造炳克闯飞拳雁狐抨梗枪喉尹飘齿辰防铜枚龟台毅孺雪硼卧鸵绒诺等狱从浇窒赚媒潘夹勒腑低欠釉妻台呛稠枣志窘峡慈咎缀斧糊啊浩框孰徒硝诺稿胖农孵巾颈尤藕邻掩邯判惊手莆频迎汗娃前汐侍贝锥雇野谗知筏飞邻津涵荤痘年斑挟哩掳辞僵扰迭动层炉筒坞扶远阐吱登搭诗扦迹桓后准洽割津折巨诱刽矫涤规伊名慈意砸趴在搔苇突挛垄福先索淬筛路鸥琐胺甜粗绍够取消耗油桐缮褒李诉肚判溜憾乌赞刊肚极脏拽溅觅蛔告良狱蔑毕业论文（设计）题 目 全有家私网络安全综合设计方案_ 学生姓名 专业班级 导师姓名 二一二年六月毕业论

4、文原创性声明本人郑重声明：所呈交的毕业论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本毕业论文不包括任何其他个人或集体已经发表或撰写的成果作品。本人完全意识到本声明的法律后果由本人承担。作者签名：20 年 月 日毕业论文版权使用授权书本毕业论文作者完全了解学校有关保障、使用毕业论文的规定，同意学校保留并向有关毕业论文管理部门或机构送交毕业论文的复印件和电子版，允许毕业论文被查阅和借阅。本人授权优秀毕业论文评选机构将本毕业论文的全部或部分内容编入有关数据进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本毕业论文。本毕业论文属于 1、保密 囗，在10

5、年解密后适用本授权书2、不保密囗。（请在以上相应方框内打“”）作者签名：20 年 月 日导师签名： 20 年 月 日全有家私网络安全综合设计方案摘要：随着计算机网络技术的广泛应用，网络安全问题已不容忽视，作为一个面向大众的开放系统，计算机网络面临来自各方面的威胁和攻击。所有信息系统的局域网的安全风险在增加，网络和信息安全已日益成为现代企业信息化建设。因此，局域网的安全基础设施建设已迫切的成为计算机网络安全和监控技术的一个重要课题。本论文正是针对上述问题，以网络安全为主要的研究对象，在深入分析全有家私综合网网络及信息系统现状的基础上，构建全有家私综合网网络安全体系，并提出网络安全改造的相关技术方

6、案。在对企业信息化基础论述后，本文深入剖析了企业信息网络安全的关键影响因素，及其在企业网的重要地位，并针对局域信息网络面临的安全风险与安全需求的分析，主要从防火墙、流量分配及QoS保证、网络防病毒、入侵检测、定期检查安全漏洞检查及网络安全访问控制等几个方面来具体讨论和解决全有家私网络安全建设问题。关键词：网络安全，入侵检测，防火墙，QosQuanU furniture integrated network security design schemeABSTRACT：Follwing the abroad application of computer internet technology.

7、the security of internet is more important,as an opening system facing the people,computer internet is facing with the threaten and attack from different areas. The same as all the information system，tlle intranet also facing the security pmblem，this pmblem greatly influence the corporations product

8、ivity. So build tlle intranet security infrastructure to ensure network security has bccome a research hotspotIn this thesis, a method is proposed to construct the Quanyou Furnitur comprehensive network security system and some technical plans related to the innovation of the network security are al

9、so illustrated, The network security and the current situation of Quanyou Furniture comprehensive network are considered at the same time in this method.In this paper the writer deeply analyze key factor which influellce the corporations network securityThe writer mainly analyzes the security risk t

10、hat intranet will face to and also analyze the secure requirement，including：firewall，flow rate distribution and QOS guarantee，network anti-virus，IPS，periodic secure update，network access control and so onThis part is the emphases part of the security of Intranet a11d private network for China Quanyo

11、u Furniture.Keywords： network security，intrusion detection，firewall，QosII目 录第1章 绪 论11.1 论文选题背景11.2 国内外研究现状11.3 论文研究的目的与应用价值21.4 本章小结2第2章 网络安全概述32.1网络安全定义32.2常见的网络攻击手段32.3 网络安全技术52.3.1 防火墙52.3.2入侵检测52.3.3 VPN62.3.4 网络防病毒72.3.5 数据备份82.3.6 漏洞扫描82.4 本章小结8第3章 全有家私网络现状及安全需求分析93.1 全有家私网络现状93.2 全有家私网络安全分析93

12、.3 全有家私网络安全方案的设计原则103.4 本章小结12第4章 全有家私网络安全体系的设计和实施134.1内部网络区技术方案与技术实施134.1.1 IP地址规划134.1.2 路由规划164.1.3流量分配及QoS保证174.2 网络入侵检测设计与实现194.2.1 网络入侵检测设计目标194.2.2 技术实现204.3 网络系统风险安全分析与解决方案204.3.1 安全漏洞204.3.2 病毒和木马214.4 物理安全234.4.1防电磁辐射234.4.2 网络防雷244.4.3 重要信息点的物理保护254.5 机房安全建设方案264.6 本章小结26结束语27参考文献：28致 谢29

13、2第1章 绪 论1.1 论文选题背景随着计算机网络技术的广泛应用，网络安全问题已不容忽视，作为一个面向大众的开放系统，计算机网络面临来自各方面的威胁和攻击。同所有的信息系统一样，局域网面临的安全风险也随之增加，网络信息安全问题日益成为影响现代企业信息化建设的主要问题。因此，局域网络安全基础设施的建设，已成为一个紧迫的计算机网络安全和监控技术的重要课题，成为研究的焦点。在对企业网络安全基础论述后，本文深入分析其在企业网络和本地信息网络的安全风险和安全要求的重要地位，主要从防火墙、IP地址规划、网络防病毒、入侵检测、流量分配及Qos保证等几个方面来具体讨论和解决全有家私网络安全建设问题。1.2 国

14、内外研究现状著名的计算机安全专家罗伯特莫里斯是AT&T的贝尔实验室的计算机科学家。他在1983年美国众议院，交通，航空，材料，专业委员会上阐述了计算机科学和技术会议安全的重要性质，从此计算机安全成为国际上研究的热点，随着网络技术的发展，计算机网络安全已经成为一个新的安全研究的重点。在起初的时候，网络设计比较脆弱易受到黑客攻击或入侵。为了解决这个问题，许多研究机构在这方面已经做了很多工作。如数据加密技术，身份认证，数字签名，防火墙，安全审计，安全管理，网络信息安全测试和其他研究。我国也于1997年成立了信息技术安全标准化组织信息安全技术委员会(ISOIEC JTCISCI7)，主要负责规范国内网

15、络安全的标准工作，研究国内标准化的状况。中国的第一批IT安全标准，从1994年底至2001年，已定义了OSI体系结构，数据加密，实体认证，数字签名，数据完整性机制等20多个国家标准。目前正在制定的国家标准有：1.安全的电子数据交换标准2.安全的电子商务标准部分：密钥管理框架3.IT-n位块密码的操作模式4.IT - OSI的安全模型5.IT - OSI的网络层安全协议国内的网络安全技术研究和产品开发方面相对薄弱，起步较晚。同时由于外国对加密技术限制及保护，我们不能得到急需的网络安全系统的数据加密软件。加之政治，军事，经济上的原因，我们必须研究和发展自己的网络安全系统和数据加密软件，以满足用户和

16、市场的巨大需求。网络安全是国家安全的另外一个重要方面，其技术和产品的开发，必须根据中国自身的发展，这是网络信息安全技术与其他技术最大的不同。1.3 论文研究的目的与应用价值本论文研究的主要内容是结合网络安全发展的整体趋势，通过对全有家私网络存在的各种安全隐患和威胁的分析，提出了从防火墙、入侵检测、网络防病毒、防火墙等方面企业网络存在的安全风险，进而提出企业的网络安全风险需求。利用有限的资源和设备，得出了建立整体的、多层次的、全方位的企业网络安全建设模式。本论文的应用价值主要有以下几点：(1)可基本建立全有家私综合网安全体系框架，指导下一步的网络建设和改进，有效地利用和整合全网资源，节约通信成本

17、和减少网络建设投入。(2)利用比较成熟的网络安全技术，提高全有家私综合网各业务信息系统安全性和抵抗风险的能力，确保全有家私综合网络安全和数据安全，确保企业生产稳定运行。(3)通过网络安全手段的提供，加强全有家私网络安全防范意识，提高企业网络安全管理水平。1.4 本章小结本章从互联网的迅猛发展的同时也潜伏着巨大的安全威胁下提出全有家私网络安全的需求，通过分析当前国内外网络安全的应用情况，明确了全有家私网络安全形势的严峻性，并阐述了课题研究的目标和意义。第2章 网络安全概述2.1网络安全定义国际标准化组织(ISO)这样定义网络安全：为数据处理系统建立及管理的安全，保护计算机硬件、软件和数据不因偶然

18、和恶意的因素遭到破坏、更改和泄露。选择适当的技术和产品，制定灵活的网络安全策略，网络安全提供了一个灵活的网络服务通道。适当的安全系统设计和管理计划，这将减少网络安全对网络性能的影响，并降低管理成本。11网络安全应具有以下五个方面的特征： (1)保密性：信息不泄露给非授权用户、实体或过程，或者禁止为其提供利用的特性。 (2)完整性：数据在未经授权的情况下不能对其进行改变。即信息存储或传输过程中保持的特点没有被修改，同时不被丢失及破坏。 (3)可用性：可被授权实体访问并按需求实现的功能。在需要时可以访问所需的信息。即在网络环境下拒绝服务，破坏网络的正常运行和相关系统都是对可用性的攻击。 (4)可控

19、性：对传播信息及内容的控制能力。 (5)可审查性：安全问题出现时提供依据与手段。52.2常见的网络攻击手段随着计算机技术的高速发展，黑客对网络攻击和入侵的手段和方法也不断更新。网络只要存在，针对网络的犯罪就会时有发生。这里，总结了几种常见网络攻击方法：1. IP地址欺骗路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管数据包的源地址，因此这样就可能会面临危险，如果攻击者向目标计算机发出一个报文，然而把报文的源地址填写为第三方的IP地址，这样这个报文在到达目标计算机后，目标计算机的反应便可能无意识第三方计算机。3这便是所谓的IP地址欺骗攻击。2. TCP SYN拒绝服务攻击目标计算机如

20、果接收到大量的TCP SYN报文，但是第三次没有收到发起者的ACK回应，目标计算机就会一直等待，如果有很多这样尴尬状态的半连接，则会把目标计算机的资源（TCB控制结构）耗尽，而不能正常的响应TCP连接请求。33. Land攻击Land攻击利用TCP连接建立请求消息的三次握手过程到目标计算机发送一个TCP SYN包（建立连接），完成目标计算机上的攻击。与正常的TCP SYN数据包不同，Land攻击攻击数据包的源IP地址和IP地址的目的是相同的，都是在目标计算机的IP地址。在目标计算机收到SYN包，它将数据包的源地址来发送一个ACK消息，并要建立一个TCP连接的控制结构（TCB）的，因此，ACK消

21、息发送给到了自己本身。如果攻击者发送了足够数量的SYN数据包，目标计算机的TCB可能耗尽，最终不能正常服务。这也是DOS攻击。124. 地址猜测攻击地址猜测攻击是攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。125 ICMP和UDP Flood攻击短时间内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。126. 针对MAC地址表的攻击如果交换机的攻击者发送大量的数据帧的源MAC

22、地址，交换机能够运行自己的本地MAC地址表。一旦MAC地址表溢出，无法继续运行正确的MAC条目，结果可能产生大量的网络冗余数据，甚至可能使交换机崩溃。而构造源MAC地址不同的数据帧。97.病毒病毒是一个有破坏性的程序，可自我复制，能以替换、插入等形式附着在操作系统或可执行文件上，这些行为在用户毫无觉察之中进行。他还可通过网络传播，发作时有危害。如：蠕虫 特洛伊木马（如 NetBus） BO（Back Orifice） CIH W97M/Thus (感染 word 文件)。 92.3 网络安全技术2.3.1 防火墙所谓防火墙指的是一个构建在内部网和外部网之间、专用网络与公共网络接口之间的保护屏障

23、，它是一种计算机硬件和软件的结合的方式获得安全参数的形象的阐述，使Internet与Intranet之间建立起一个安全网关，从而保护内部网络免受未授权用户的侵入，防火墙主要由验证工具、服务访问规则、应用网关和包过滤4个部分组成。2图2-1 防火墙的基本应用防火墙主要有三种类型：包过滤型、代理服务器型、全状态包过滤型。172.3.2入侵检测入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象

24、。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。8入侵检测系统的设置如下图：图2-2 入侵检测系统的设置从图2-2显示，入侵探测器先和VPN网络设备连接，然后使用使用独立的网络入侵探测器，所有的网络数据通过VPN设备和入侵检测设备，当监控网络状况时候发现有入侵的行为，由报警系统通知VPN设备中断网络（即IDS VPN联动功能）的方式来控制，以供日后检讨会攻击记录。2.3.3 VPN虚拟专用网络（Virtual Private Network ，简称VPN)是指在公共网络上建立一个专用的网络技术。被称为一个虚

25、拟的网络，主要是因为整个VPN网络的任意两个节点没有到物理链路所需的传统专用网络之间的端到端的连接，而是需要公共网络服务供应商平台，如网络架构，互联网，帧中继（FR）的逻辑网络，用户数据在逻辑链路传输上，它包涵了跨共享网络或公共网络封装，加密和身份认证。VPN主要采用隧道技术，加密技术，密钥管理，用户和设备身份认证。16图2-3 VPN原理图从内容上来说 VPN 的连接主要可以分为两个部分，即隧道的建立和数据的加密，常见的隧道协议包括点对点隧道协议(Point to Point Tunneling Protocol)，第二层隧道协议(Layer2 Tunneling Protocol)，L2T

26、P 隧道能够提供ATM和FRAME RELAY上的隧道，它还可以支持不止一个连接，因为它不依赖 IP 协议，那么一般的网络设备如路由器等大多支持这个协议。在第三层上创建的隧道是基于 IP 的虚拟连接，这些连接通过收发 IP 数据包实现， 这个包被封装在由 IETF（Internet Engineering Task Force）指定的协议包装之内。 包装使用IPSEC、IKE以及身份验证和加密方法，如 MD5、DES、以及 SHA。 数据加密使用的加密数据协议有MPPE、IPSEC、VPND、SSHH IP SEC 可以与 L2TP一起使用，这个时候L2TP建立隧道，IPSEC加密数据，这种形

27、式下IP SEC运行于传输模式。162.3.4 网络防病毒计算机病毒在网络环境中具有不可估量的威胁和破坏性，计算机病毒是预防网络安全建设的一个重要组成部分。系统可能会从各方面受到广泛的威胁，从而建立多层次病毒防护体系来避免由病毒造成的损失。多层次的病毒防御系统是基于PC的防病毒软件，基于服务器的防病毒软件，基于网关安装的防病毒软件。10图2-4 网络防病毒基本原理图网络防病毒技术包括预防病毒、检测病毒和清除病毒三种技术：(1)预防病毒技术：它通过自己本身的系统内存，优先从系统中获得控制权，从而监视和判断系统中是否存在病毒，从而防止计算机病毒进入计算机系统，导致系统破坏。这类技术主要包括：加密可

28、执行程序，引导区保护，系统监控和读写控制(如防病毒软件)。(2)检测病毒技术：它是对计算机机病毒的特征，如自身校验、关键字、文件长度的变化等的变化来进行判断的技术。(3)清除病毒技术：它是通过对计算机病毒的分析，开发出的软件具有删除病毒程序及恢复原文件功能。2.3.5 数据备份数据备份是灾难恢复的基础，以防止操作失误或系统故障导致数据丢失。而将全部或一部分数据集合过程中，从应用主机的硬盘或阵列复制到其它存储介质。传统的数据备份主要是采用内置或外置的磁带机进行冷备份。然而这种方式只能防止操作失误或人为错误，并且这种恢复时间比较久。随着相关技术的飞速发展，数据的不断增加，很多企业开始使用网络备份。

29、一般是通过相应的硬件和存储设备及专业的数据存储管理软件来实现网络备份。102.3.6 漏洞扫描 漏洞扫描通常是指通过扫描检测指定的本地或远程计算机系统的安全漏洞，找到可能存在的安全测试（渗透攻击）行为的漏洞。漏洞扫描是全方位的电脑扫描，它会检查当前系统是否存在有漏洞，如果有漏洞则需要立即进行修复，否则电脑很容易受到损伤，甚至会因为计算机的漏洞受到黑客远程控制，那么后果将是不堪设想的，漏洞扫描对于计算机和互联网安全保护至关重要，系统中的漏洞原则上需要一个星期进行一次扫描，但是一旦发现漏洞我们必须立即修复漏洞，系统中的一些漏洞本身就可以自动修复，而另一些需要手动修复。可分为主动扫描和定期扫描漏洞扫

30、描。2.4 本章小结本章介绍了网络安全，网络安全威胁，网络攻击和流行的网络安全技术，并对各种安全技术的原理和特点进行了阐述。了解了网络安全和网络技术的概念，并抓住了主要矛盾，根据实际需要为全有家私网络安全的设计，安全政策和安全技术的做出了相应的选择。第3章 全有家私网络现状及安全需求分析3.1 全有家私网络现状全有家私是一家中国最大的集研发、生产、销售为一体的大型民用家具企业之一，根据调查，得出公司的大体网络拓扑图如下：图3-1 全有家私大体拓扑图3.2 全有家私网络安全分析(1)物理层全有家私关键生产系统局域网是冗余结构设计和关键设备冗余部署，两个网络设备（交换机，路由器，防火墙及网络设备等

31、关键环节）的核心是一个冗余的配置（双电源，双主控，冗余风扇）。同时涉及到核心机房通过通讯电缆传输容易受雷击，核心网络设备，终端，线路等也会引起连锁反应，使整个网络瘫痪、设备损坏并且造成严重后果。因此为了避免雷电引起的灾害和静电干扰，瞬态电压浪涌电压损坏所造成的电磁辐射干扰，在整个网络系统的防雷措施这是必要的。(2)系统层业务系统主要的网络操作系统有UNLX，LINUX两种，在生产站点普遍使用字符终端，办公场所都采用Windows的PC机。服务器操作系统有高的安全性，但缺乏统一的管理手段，在系统漏洞和补丁程序，认证，访问控制，远程登录方面，缺乏一个统一的控制平台。办公站点存在病毒的威胁。18 (

32、3)网络层在全有家私网络里面办公网与生产网混用，各级防火墙缺乏统一管理和访问控制，数据，语音，视频，缺乏有效的管制措施。局域网和网络隔离的区域划分迫切需要另一个网络层身份认证、网络资源的访问控制、保密性和数据传输的完整性、远程访问的安全、入侵检测手段、防病毒软件等等。(4)管理层目前全有家私计算机网已建立初步的安全管理制度和部门与人员的组织。然而由于系统的建设和升级更加频繁及人事变动时有发生，仍需进一步完善安全管理制度，明确部门安全职责分工，合理分配工作人员。3.3 全有家私网络安全方案的设计原则根据全有家私防范安全攻击的需求，通过对可实施性、可管理性、可扩展性、综合设备性等方面的综合考虑，整

33、体设计全有家私网络安全方案过程中应遵循以下原则：1、实用性和集成性系统的软硬件设计，均以适用为第一宗旨，然后再来考虑其他性能，以适应企业信息系统的需求，该系统所包含的内容很多，必须是能够有效地整合了系统的各个组成部分，充分发挥其作用，让各种先进的硬件和软件协调，从而高效的工作。2、标准性和开往性只有支持标准和开放的系统，才能支持和配合软硬件产品在网络中的使用，同时应该支持国际标准或事实上的标准，使不同厂家openproducts在同一网络上共存。使用标准的通讯协议，使不同的操作系统和不同的网络系统及不同的网络之间的沟通能顺畅。3、先进性和安全性系统中的所有元素，应充分考虑其先进性。不能盲目追求

34、实用性，忽略先进，只有让最先进的技术与我们的实际应用需求相结合，才能获取最大的系统性能和效益。网络安全是非常重要的，在某些情况下宁可牺牲一些系统功能，从而保证网络系统的安全性。4、成熟性和高可靠性成熟性是基于网络结构和网络设备的配置，带宽应该能够充分满足网络通信的需求。网络硬件架构可以是一个长时间的测试，在实际应用的速度和性能稳定可靠性上，具有完善的，切实可行的解决方案，并传递给更多的第三方开发人员和用户，从而在世界上得到广泛的支持及应用。从长远来看网络安全具有良好的前景，因此应该开发更先进的技术和产品，以满足系统未来发展的需要。高可靠性也是衡量计算机应用系统的一个重要标准。确保系统网络环境的

35、稳定和可靠运行的前提下，也需要考虑整个网络的容量，安全性和稳定性，系统出现问题和故障可以迅速修复。因此需要采取一些预防措施，如适当的冗余的关键应用的骨干设备。应急信息系统，能夜以继日地工作达到每周7* 24小时的工作要求。高可靠性系统中才能使用户的投资真正见成效。5、可维护性和可管理性在整个信息网络系统的中，互连设备应该易于使用、易于学习和易于维护。强大的网络工具，网络资源的合理管理，才能监控网络状态，并控制复杂的网络运行管理和广阔的网络，网络选择的网络设备应支持多种协议，管理员可以轻松实现网络管理，维护和维修。在设计和实施过程中，我们必须充分考虑整个系统的维护性，使系统在破坏的情况下，可以提

36、供一个有效的时间段来进行恢复，以减少损失。6、可扩充性和兼容性网络拓扑结构应该有网络链接的可扩展性的系统架构、系统容量与处理能力，物理接连、产品支持等方面具有扩充与升级换代的可能，按照一般行业标准的产品拥有有扩展和升级的可能性与产品支持，使不同的设备具有灵活的网络系列，并满足系统规模扩大的要求。为了使系统保护在现有的发展和投资中的应用变化的情况下，让系统功能模块化，根据需要增加添加和删除功能模块设计。13.4 本章小结本章对全有家私的综合网络安全的需求进行了分析，阐述了网络的不安全因素及其可能的后果，并以此为基础，对网络进行了分层的安全风险分析，得了其在物理、网络、系统、应用和管理等各方面的安

37、全需求。然后根据需求分析的结果，给出了网络安全方案的设计原则，为方案的详细设计与实践奠定基础。第4章 全有家私网络安全体系的设计和实施4.1内部网络区技术方案与技术实施4.1.1 IP地址规划IP地址构成了整个Internet的基础，IP地址资源是整个Internet的基本核心资源，IP地址资源的合理分配和有效利用是整个Internet在发展过程中持续有效的一个极具分量的研究课题。因此在对工业园区IP地址编址设计和分配利用时，遵循了以下几个原则：1）、自治：整个园区网络被划分成几个大的自治区域，每个大自治区域中又被划分成几个小的自治区域。 2）、有序：地址分配以提高地址分配效率和地址利用率，按

38、照一定的顺序进行设计。选择从上到下的顺序，这是业界领先的自上而下的网络设计法（Top-Down Network Design）。 3）、可持续性：随着网络用户数量持续高速增长，电信网络承载越来越多的的业务量和业务种类，这就使得电信网络需要进行频繁的技术升级，改造和扩容。因此，在地址分配时考虑到这些因素，让每个网络都有冗余的部分，以保证网络的可持续发展。4）、可聚合：快速发展的互联网日益庞大的规模，让当初设计互联网络的专家未曾预料。在路由表快速扩张的情况下，可聚合原则是在网络地址分配的时侯，必须遵守的最高原则，原因有以下两个主要方面：首先，三种主要类型的IPV4地址分配地址，已经引起了网络地址资

39、源的严重浪费，A类地址现在分配已经完全耗尽， B类地址也将被很快耗尽，目前正在迅速的进行C类网络地址的分配。路由表中的IP地址分配的基本单位正在逐渐减小，变得越来越大。IPV6地址和IPV4地址在一段比较长的时间内还要并存，这使得网络不仅要承载已经庞大的IPV4路由，还要额外承载新的IPV6。由于IPV6地址空间非常大，如果规划不好，其路由条目可能是非常大的，而且也有较高的速度迅速增长。可聚合原则要求我们解决地址规划时，应提供足够的路由冗余功能。5）、尽量节约IPv4地址：IPv4地址越来越少，因此IPv4地址的使用，需要采取额外的节约。节约的IPv4地址可以使动态的处理和NAT技术实现。 6

40、）静态分配与动态分配相结合原则由于地址是有限的，而网络地址管理是一个非常繁琐和复杂的任务，为了节约地址和减少网络维护与管理的工作量，地址分配时一般采取静态分配和动态分配相结合的方法。如果某些设备有一个固定的地址可以分配到一个固定的地址，如果没有必要使用一个固定的地址，即可以使用动态分配（包括有状态自动配置和无状态自动配置）。然而，由于动态寻址最大的缺点是不能找到一个特定的主机，如果想向外界提供网络服务，就无法实现。因此，当使用动态寻址技术，有时还需要采取一种混合的方法来解决分配，就是分配给广大用户的一小部分用户静态地址，而其他的动态地址分配给剩余的大部分用户。根据全有家私可持续发展的精神，打造

41、绿色全有，创新全有的目标，目前努力的打造3期工程，增加了员工宿舍的网络连接，规划中的拓扑图如下：图4-1 规划中的拓扑图为了各个部门之间的联系不受影响。该方案的设计中，我们决定采取内部私有类A地址（10.0.0.0）7，解决全有家私的网络设备。我们从本身的网络拓扑设计的IP地址，使用一个典型的层次化设计，因此应采取分层设计，用VLSM扩大有限的IP地址。由于公司的各个部门分工不同，可相互间仍有一定的联系，部门之间需要及时的进行沟通和协调工作。隶属于同一个主管部门分在同一个子网，这样利于内部的联系。6表4-1 IP地址数的分配网络描述所需的IP地址数骨干核心层链路5（2个用于拓展备份）集团总部1

42、000生产部500销售部500后勤及员工宿舍1000大型机/服务器群500使用VLSM是可变长度子网掩码的缩写，它提供了一个主类（C类B类，A类）网络，包含多个子网掩码的能力。为了更有效地利用IP地址和路由发挥VLSM的优点。因此，我们采取VLSM解决网络IP地址，以达到节约使用路由汇总。首先采用一个A类URL寻址，最终塑造至上而下的设计理念有利于最终构造成型的网络。表4-2 IP地址的划分IP地址网段VLAN编号默认网关财务部192.168.10.0/2410192.168.0.254/24生产部192.168.20.0/2420192.168.0.254/24销售部192.168.30.0

43、/2430192.168.0.254/24行政部192.168.40.0/2440192.168.0.254/24后勤及员工宿舍192.168.50.0/2450192.168.0.254/24 表4-3 设备或端口的IP地址设备或端口IPWEB服务器192.168.100.1/24DNS服务器192.168.100.2/24数据库服务器192.168.100.3/24DHCP服务器192.168.100.4/24邮件服务器192.168.100.5/24防火墙DMZ端端口192.168.100.254/24本方案使用万兆互连双核心结构，使网络核心设备不但可以互相备份，而且有效的减轻流量负荷，

44、使设备时刻保持稳定和高效。同时企业网核心层、汇聚层、楼层汇聚层所使用的产品全部具有网络病毒和攻击的防护能力，并且防DOS/DDOS攻击，因而可以在不同的环境中做到安全防护，足以应对突发事件，保持网络稳定、通畅。并且核心层使用的路由交换机DCRS-7508具有良好的扩展性，可以为将来的网络实现轻松扩展。64.1.2 路由规划 路由（Route）是指在两个交换局之间建立一个呼叫连接或传送消息的途径。它可以由一个电路群组成，也可以由多个电路群经交换局串接而成，如图 中AB是A至B的路由， ABC是A至C的路由。在电话自动交换网的路由规划中，常常因其特征和使用场合不同而有不同的分类，因而有不同的名称。

45、如按呼损分类，有高效路由和低呼损路由。如按路由选择分类，有直达路由、迂回路由和最终路由等。如按连接两个交换中心在网中的地位分类，有基干路由和跨区路由等。图4-2 路由示意图当骨干网络的核心层和核心层与汇聚层需要在三个不同VLAN之间转发和路由协议时，我们采用OSPF协议作为路由协议。OSPF是一种典型的链路状态路由协议。OSPF在路由器保存的同时并交换整个网络的链路信息，从而掌握整个网络的拓扑结构独立计算路由。由于RIP路由协议不能服务比较大的网络，从而采用IGP工作组IETF专门开发的链路状态协议，目前广泛使用的最新标准为RFC2328是OSPF第二版。OSPF路由器用于内部网关协议（IGP

46、）和同一个自治系统（AS）之间分发路由信息。区别于距离矢量协议（RIP），OSPF支持大型网络，路由快速收敛，占用较少的网络资源，发挥比较重要的位置在当前应用的路由协议。154.1.3流量分配及QoS保证 全有家私目前的大体可以分为4个不同的业务，各个业务对网络的要求各不相同，在此环境下，我们可以根据业务对网络的要求实现多条链路的流量分配，以保证关键业务的实时要求。流量分配在各个业务中的数据如表4-4所示。50带宽分配在财政业务和综合业务，其余的分别平均用于宽管理业务及其他业务，并在备用线路等业务的分配主线。主要线路中断，财政服务和综合服务切换到备用线路，并迫使占领50的带宽为备用线路。管理业务及其他业务中的备用电路中断，目前暂且不切换到主用线路，并且不占用带宽。表4-4 业务流量分配主用线路 2M备用线路 2M说明财政业务2M*50%2M*50%强制占用备用带宽综合业务2M*50%2M*50%管理业务2M*25%办公业务不备份其他业务2M*25%语音视频不备份QoS是一种保障网络数据传输