企业网络安全设计方案论文

网络设计论文,带有拓朴图及模拟器配置命令。

编号：ABS20160501 企业网络设计方案

关键字：网络，安全，VPN，防火墙，防病毒

班级：AY

姓名：AY

日期：2016-05-19

1

网络设计论文,带有拓朴图及模拟器配置命令。

目录

摘要 (3)

第一章企业网络安全概述 (4)

1.1企业网络的主要安全隐患 (4)

1.2企业网络的安全误区 (4)

第二章企业网络安全现状分析 (6)

2.1公司背景 (6)

2.2企业网络安全需求 (6)

2.3需求分析 (6)

2.4企业网络结构 (7)

第三章企业网络安全解决实施 (9)

3.1物理安全 (9)

3.2企业网络接入配置 (10)

3.3网络防火墙配置 (13)

3.4配置验证查看 (21)

3.5网络防病毒措施 (24)

总结 (26)

2

网络设计论文,带有拓朴图及模拟器配置命令。

摘要

近几年来，Internet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种计算机连网，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业构架网络安全体系，主要运用vlan划分、防火墙技术、vpn、病毒防护等技术，来实现企业的网络安全。

3

网络设计论文,带有拓朴图及模拟器配置命令。

第一章企业网络安全概述

1.1 企业网络的主要安全隐患

现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的主要来源主要包括。

1)病毒、木马和恶意软件的入侵。

2)网络黑客的攻击。

3)重要文件或邮件的非法窃取、访问与操作。

4)关键部门的非法访问和敏感信息外泄。

5)外网的非法入侵。

6)备份数据和存储媒体的损坏、丢失。

针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；加强内部网络的安全管理，严格实行“最小权限”原则，为各个用户配置好恰当的用户权限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。

1.2 企业网络的安全误区

(一)安装防火墙就安全了

防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是工作在网络层。

防火墙的原理是“防外不防内”，对内部网络的访问不进行任何阻挠，而事实上，

企业网络安全事件绝大部分还是源于企业内部。

4

网络设计论文,带有拓朴图及模拟器配置命令。

(二)安装了最新的杀毒软件就不怕病毒了

安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。

(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效

网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。

(四)只要不上网就不会中毒

虽然不少病毒是通过网页传播的，但像QQ聊天接发邮件同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。

(五)文件设置只读就可以避免感染病毒

设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。

(六)网络安全主要来自外部

基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。

5

网络设计论文,带有拓朴图及模拟器配置命令。

第二章企业网络安全现状分析

2.1 公司背景

XX科技有限公司是一家有100名员工的中小型科技公司，主要以软件应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 Windows Server 2008,客户机的操作系统是 Windows 7，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。

2.2 企业网络安全需求

XX科技有限公司根据业务发展需求，建设一个小型的企业网，有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的安全性，以及网络安全等一些因素，如DDoS、ARP等。因此本企业的网络安全构架要求如下：

（1）根据公司现有的网络设备组网规划

（2）保护网络系统的可用性

（3）保护网络系统服务的连续性

（4）防范网络资源的非法访问及非授权访问

（5）防范入侵者的恶意攻击与破坏

（6）保护企业信息通过网上传输过程中的机密性、完整性

（7）防范病毒的侵害

（8）实现网络的安全管理。

2.3 需求分析

通过了解XX科技有限公司的需求与现状，为实现XX科技有限公司的网络安全建设实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理

6

网络设计论文,带有拓朴图及模拟器配置命令。

者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要

（1）构建良好的环境确保企业物理设备的安全

（2）划分VLAN控制内网安全

（3）安装防火墙体系

（4）建立VPN(虚拟专用网络)确保数据安全

（5）安装防病毒服务器

（6）加强企业对网络资源的管理

2.4 企业网络结构

网络拓扑图，如下图所示:

总部网络情况：

防火墙FW1作为出口NAT设备，从网络运营商处获得接入固定IP为202.10.1.2/30，网关IP为202.10.1.1/30，经由防火墙分为DMZ区域和trust区域。

防火墙上FW1做NAT转换。分配给trust区域的地址为10.1.1.0 /24,通过FW1上

GE0/0/0端口连接网络，接口地址为10.1.1.1/24。DMZ内主要有各类的服务器，地址分配为10.1.2.0 /24。通过FW1上GE0/0/1端口连接网络，接口地址为10.1.2.1 /24。

建立IPSec隧道，使总部和分支可以互访。

7

网络设计论文,带有拓朴图及模拟器配置命令。

分部网络情况：

防火墙FW2作为出口NAT设备，从网络运营商处获得接入固定IP为202.20.1.2/30，网关IP为202.20.1.1/30。通过FW1上GE0/0/1端口连接内部网络，接口地址为10.1.1.1/24。

建立IPSec隧道，使分部和总部可以互访。

8

网络设计论文,带有拓朴图及模拟器配置命令。

第三章企业网络安全解决实施

3.1物理安全

企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提，物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。

针对网络的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面：

1)保证机房环境安全

信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑：a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、

痕迹泄漏等 c.操作失误、意外疏漏等

2) 选用合适的传输介质

屏蔽式双绞线的抗干扰能力更强，且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地（最好多处接地），对于干扰严重的区域应使用屏蔽式双绞线，并将其放在金属管内以增强抗干扰能力。

光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。

3) 保证供电安全可靠

计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率，对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求，又要满足网络应用的要求，必须做到保证网络系统运行的可靠性，保证设备的设计寿命保证信息安全保证机房人员的工作环境。

9

网络设计论文,带有拓朴图及模拟器配置命令。

3.2企业网络接入配置

VLAN技术能有效隔离局域网，防止网内的攻击，所以部署网络中按部门进行了VLAN 划分，划分为以下两个VLAN：

业务部门 VLAN 10 交换机SW1接入核心交换机

财务部门 VLAN 20 交换机SW2接入核心交换机

核心交换机 VLAN间路由核心交换机HSW1

核心交换机HSW1配置步骤:

1)建立VLAN 10 20 100

2)GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100

3)建立SVI并配置相应IP地址:

Vlanif10:192.168.1.1/24

Vlanif20:192.168.2.1/24

Vlanif100:10.1.1.2/24

4)配置RIP路由协议：

Network 192.168.1.0

Network 192.168.2.0

Network 10.1.1.0

5)配置ACL拒绝其它部门对财务部访问，outbound→GE0/0/2。

详细配置：

#

sysname HSW1

#

info-center source DS channel 0 log state off trap state off

#

vlan batch 10 20 100

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

dhcp enable

#

diffserv domain default

10

网络设计论文,带有拓朴图及模拟器配置命令。

#

acl number 3001

rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255

#

traffic classifier tc1 operator and

if-match acl 3001

#

traffic behavior tb1

deny

#

traffic policy tp1

classifier tc1 behavior tb1

#

drop-profile default

#

ip pool qqww

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

excluded-ip-address 192.168.1.254

#

ip pool vlan20

gateway-list 192.168.2.1

network 192.168.2.0 mask 255.255.255.0

excluded-ip-address 192.168.2.200 192.168.2.254

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

#

interface Vlanif1

#

interface Vlanif10

ip address 192.168.1.1 255.255.255.0

dhcp select global

#

interface Vlanif20

ip address 192.168.2.1 255.255.255.0

dhcp select global

11

网络设计论文,带有拓朴图及模拟器配置命令。

#

interface Vlanif100

ip address 10.1.1.2 255.255.255.0 #

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

traffic-policy tp1 outbound

#

interface GigabitEthernet0/0/3

#

interface GigabitEthernet0/0/4

#

interface GigabitEthernet0/0/5

#

interface GigabitEthernet0/0/6

#

interface GigabitEthernet0/0/7

#

interface GigabitEthernet0/0/8

#

interface GigabitEthernet0/0/9

#

interface GigabitEthernet0/0/10

#

interface GigabitEthernet0/0/11

#

interface GigabitEthernet0/0/12

#

interface GigabitEthernet0/0/13

#

interface GigabitEthernet0/0/14

#

interface GigabitEthernet0/0/15

#

interface GigabitEthernet0/0/16

#

interface GigabitEthernet0/0/17

#

interface GigabitEthernet0/0/18

12

网络设计论文,带有拓朴图及模拟器配置命令。

#

interface GigabitEthernet0/0/19

#

interface GigabitEthernet0/0/20

#

interface GigabitEthernet0/0/21

#

interface GigabitEthernet0/0/22

#

interface GigabitEthernet0/0/23

#

interface GigabitEthernet0/0/24

port link-type access

port default vlan 100

#

interface NULL0

#

rip 1

version 2

network 192.168.1.0

network 192.168.2.0

network 10.0.0.0

#

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

#

user-interface con 0

user-interface vty 0 4

#

port-group de

#

return

3.3网络防火墙配置

防火墙FW1基本配置步骤：

1)配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST区域；

配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ区域；

配置GE0/0/2的IP地址202.10.1.2/30，并加入UNTRUST区域；

2)配置允许安全区域间包过滤。

3)配置RIP路由协议：

Network 10.0.0.0

Network 202.10.1.0

13

网络设计论文,带有拓朴图及模拟器配置命令。

4)配置NAT，出口GE0/0/2。

5)配置总部至分部的点到点IPSce隧道：

●配置ACL，匹配IPSec流量

●配置IPSec安全提议1

●配置IKE安全提议

●配置IKE PEER

●配置IPSec安全策略

●在接口GE 0/0/2上应用策略

详细配置：

# CLI_VERSION=V300R001

# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*****BEGIN****public****#

#

stp region-configuration

region-name b05fe31530c0

active region-configuration

#

acl number 3002

rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0

0.0.255.255

rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0

0.0.255.255

#

ike proposal 1

#

ike peer 1

exchange-mode aggressive

pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$

ike-proposal 1

remote-address 202.20.1.2

#

ipsec proposal 1

#

ipsec policy map 1 isakmp

security acl 3002

ike-peer 1

proposal 1

#

interface GigabitEthernet0/0/0

alias GE0/MGMT

14

网络设计论文,带有拓朴图及模拟器配置命令。

ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 10.1.2.1 255.255.255.0

#

interface GigabitEthernet0/0/2

ip address 202.10.1.2 255.255.255.252

ipsec policy map

#

interface GigabitEthernet0/0/3

#

interface GigabitEthernet0/0/4

#

interface GigabitEthernet0/0/5

#

interface GigabitEthernet0/0/6

#

interface GigabitEthernet0/0/7

#

interface GigabitEthernet0/0/8

#

interface NULL0

alias NULL0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/0

#

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/2

#

firewall zone dmz

set priority 50

add interface GigabitEthernet0/0/1

#

aaa

local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*"vm%$%$ local-user admin service-type web terminal telnet

local-user admin level 15

authentication-scheme default

#

authorization-scheme default

15

网络设计论文,带有拓朴图及模拟器配置命令。

#

accounting-scheme default

#

domain default

#

#

rip 1

version 2

network 10.0.0.0

network 202.10.1.0

#

nqa-jitter tag-version 1

#

banner enable

#

user-interface con 0

authentication-mode none

user-interface vty 0 4

authentication-mode none

protocol inbound all

#

slb

#

right-manager server-group

#

sysname FW1

#

l2tp domain suffix-separator @

#

firewall packet-filter default permit interzone local trust direction inbound

firewall packet-filter default permit interzone local trust direction outbound

firewall packet-filter default permit interzone local untrust direction outbound

firewall packet-filter default permit interzone local dmz direction outbound

#

ip df-unreachables enable

#

firewall ipv6 session link-state check

firewall ipv6 statistic system enable

#

dns resolve

#

16

网络设计论文,带有拓朴图及模拟器配置命令。

firewall statistic system enable

#

pki ocsp response cache refresh interval 0 pki ocsp response cache number 0

#

undo dns proxy

#

license-server domain

#

web-manager enable

#

policy interzone local untrust inbound

policy 1

action permit

#

policy interzone local dmz inbound

policy 1

action permit

#

policy interzone trust untrust inbound

policy 1

action permit

#

policy interzone trust untrust outbound

policy 1

action permit

#

policy interzone trust dmz inbound

policy 1

action permit

#

policy interzone trust dmz outbound

policy 1

action permit

#

nat-policy interzone trust untrust outbound policy 1

action source-nat

policy source 192.168.0.0 0.0.255.255

policy source 10.1.0.0 0.0.255.255

easy-ip GigabitEthernet0/0/2

#

return

#-----END----#

17

网络设计论文,带有拓朴图及模拟器配置命令。

防火墙FW2基本配置步骤如下：

1)配置GE0/0/0的IP地址202.20.1.2/30，并加入UNTRUST区域；

配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST区域；

2)配置允许安全区域间包过滤。

3)配置RIP路由协议：

Network 20.0.0.0

Network 202.10.1.0

4)配置NAT，出口GE0/0/0。

5)配置分部至总部的点到点IPSce隧道：

●配置ACL，匹配IPSec流量

●配置IPSec安全提议1

●配置IKE安全提议

●配置IKE PEER

●配置IPSec安全策略

●在接口GE 0/0/2上应用策略

详细配置：

# CLI_VERSION=V300R001

# Last configuration was changed at 2016/05/18 16:22:59 from console0 #*****BEGIN****public****#

#

stp region-configuration

region-name 405fd915c0bf

active region-configuration

#

acl number 3002

rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0

0.0.255.255

rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0

0.0.255.255

#

ike proposal 1

#

ike peer 1

exchange-mode aggressive

pre-shared-key %$%$;3C|#{7eS#uD2wS|"x<6+=4+%$%$

ike-proposal 1

remote-address 202.10.1.2

#

18

网络设计论文,带有拓朴图及模拟器配置命令。

ipsec proposal 1

#

ipsec policy map 1 isakmp

security acl 3002

ike-peer 1

proposal 1

#

interface GigabitEthernet0/0/0

alias GE0/MGMT

ip address 202.20.1.2 255.255.255.252 ipsec policy map

#

interface GigabitEthernet0/0/1

ip address 20.1.1.1 255.255.255.0

#

interface GigabitEthernet0/0/2

#

interface GigabitEthernet0/0/3

#

interface GigabitEthernet0/0/4

#

interface GigabitEthernet0/0/5

#

interface GigabitEthernet0/0/6

#

interface GigabitEthernet0/0/7

#

interface GigabitEthernet0/0/8

#

interface NULL0

alias NULL0

#

firewall zone local

set priority 100

#

firewall zone trust

set priority 85

add interface GigabitEthernet0/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet0/0/0

#

firewall zone dmz

set priority 50

#

19

网络设计论文,带有拓朴图及模拟器配置命令。

aaa

local-user admin password cipher %$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$

local-user admin service-type web terminal telnet

local-user admin level 15

authentication-scheme default

#

authorization-scheme default

#

accounting-scheme default

#

domain default

#

#

rip 1

version 2

network 202.20.1.0

network 20.0.0.0

#

nqa-jitter tag-version 1

#

banner enable

#

user-interface con 0

authentication-mode none

user-interface vty 0 4

authentication-mode none

protocol inbound all

#

slb

#

right-manager server-group

#

sysname FW2

#

l2tp domain suffix-separator @

#

firewall packet-filter default permit interzone local trust direction inbound

firewall packet-filter default permit interzone local trust direction outbound

firewall packet-filter default permit interzone local untrust direction outbound

firewall packet-filter default permit interzone local dmz direction outbound

#

20

网络设计论文,带有拓朴图及模拟器配置命令。

ip df-unreachables enable

#

firewall ipv6 session link-state check

firewall ipv6 statistic system enable

#

dns resolve

#

firewall statistic system enable

#

pki ocsp response cache refresh interval 0 pki ocsp response cache number 0

#

undo dns proxy

#

license-server domain

#

web-manager enable

#

policy interzone local untrust inbound

policy 1

action permit

#

policy interzone local dmz inbound

policy 1

action permit

#

policy interzone trust untrust inbound

policy 1

action permit

#

policy interzone trust untrust outbound

policy 1

action permit

#

return

#-----END----#

3.4配置验证查看

验证路由：

21

本文来源：https://www.bwwdw.com/article/8g71.html