【P企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計的實例分析5100字（論文）】

P企業(yè)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計的實例分析目錄TOC\o"1-3"\h\u5458一、引言 111034（一）公司網(wǎng)絡(luò)安全防范的背景 14509（二）公司網(wǎng)絡(luò)安全防范的意義 115469二、網(wǎng)絡(luò)系統(tǒng)設(shè)計 224352（一）網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu) 24879（二）網(wǎng)絡(luò)結(jié)構(gòu)分析 3212101．核心層 3127052．匯聚層 3266243．接入層與服務(wù)器 31339三、網(wǎng)絡(luò)系統(tǒng)配置 5825（一）VLAN配置 51060（二）端口聚合配置 623778（三）HSRP配置 77063（四）DHCP配置 812889四、網(wǎng)絡(luò)安全策略 811360（一）內(nèi)部安全策略 878291.物理安全策略 855142.存儲備份策略 915516（二）外部安全策略 91413五、結(jié)束語 112712參考文獻 12一、引言（一）公司網(wǎng)絡(luò)安全防范的背景隨著計算機信息技術(shù)、通信技術(shù)、互聯(lián)網(wǎng)技術(shù)的發(fā)展，隨著時間的推移，各種信息網(wǎng)絡(luò)安全技術(shù)隨之而來，為人們提供了現(xiàn)代化辦公和娛樂的便利，生活的各個領(lǐng)域開始向數(shù)字化和信息化發(fā)展。但是電腦的使用更加普遍，給生活帶來了舒適，與此同時也會帶來一定的安全隱患，比如信息數(shù)據(jù)有可能被竊取或者盜用，個人隱私可能會暴露在公眾的視線范圍內(nèi)，從而使得用戶帶來一定的財產(chǎn)損失等，甚至?xí){著個人、企業(yè)及國家的信息安全。（二）公司網(wǎng)絡(luò)安全防范的意義隨著網(wǎng)絡(luò)的不斷普及，越來越多的中小型企業(yè)無處不在使用網(wǎng)絡(luò)、依賴網(wǎng)絡(luò)處理業(yè)務(wù)，他們通過網(wǎng)絡(luò)進行信息的交換，甚至將大量的業(yè)務(wù)信息存儲在網(wǎng)絡(luò)中，然而這樣的網(wǎng)絡(luò)如果是遭到來自內(nèi)部或者外部網(wǎng)絡(luò)帶來的威脅時，必然會導(dǎo)致中小型企業(yè)承受巨大的損失。因此，對中小型企業(yè)進行網(wǎng)絡(luò)安全建設(shè)是十分有必要的。本文通過對企業(yè)網(wǎng)絡(luò)安全相關(guān)技術(shù)對中小型企業(yè)網(wǎng)絡(luò)安全做合理的規(guī)劃與設(shè)計，可以防范許多中小型企業(yè)安全事件的發(fā)生，不僅對中小型企業(yè)網(wǎng)絡(luò)安全的保護具有重要意義，而且對中小型企業(yè)的良性發(fā)展具有很好的促進作用。二、網(wǎng)絡(luò)系統(tǒng)設(shè)計（一）網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖1企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)P企業(yè)網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示，總部和各個分工公司的各個部門獨立在不同的網(wǎng)段，不同部門間隔離辦公，避免了企業(yè)局域網(wǎng)廣播風(fēng)暴帶來的安全隱患?？偛康暮诵脑谟?臺三層交換機上，采用STP+HSRP的雙核心解決方案，打破環(huán)路，提高網(wǎng)絡(luò)冗余性。同時服務(wù)器也部署在總部，并在服務(wù)器前面放置防火墻為服務(wù)器做防護，保護企業(yè)核心數(shù)據(jù)的安全。分公司1區(qū)域、分公司2區(qū)域和分公司3區(qū)域采用二層交換機和路由器做單臂路由連接到總部和和各個分公司匯聚的三層交換機上進而與總部連接。考慮到將來的擴容問題，匯聚交換機采用具有多個萬兆上聯(lián)端口的設(shè)備。企業(yè)網(wǎng)絡(luò)出口ISP分為中國電信和中國聯(lián)通。今后企業(yè)網(wǎng)的規(guī)模還會擴大，因此，本次建設(shè)的企業(yè)網(wǎng)絡(luò)需兼顧可擴展性和投資保護，避免在將來網(wǎng)絡(luò)擴展的時候造成前期設(shè)備投入的浪費，同時具有自主運營能力，網(wǎng)絡(luò)能夠提供收費認證的上網(wǎng)模式。出口路由器連到ISP，運用安全策略過濾可疑的數(shù)據(jù)。（二）網(wǎng)絡(luò)結(jié)構(gòu)分析1．核心層核心層是整個網(wǎng)絡(luò)結(jié)構(gòu)中最重要的一層，內(nèi)部用戶的流量都需要經(jīng)過核心層交換機進行轉(zhuǎn)發(fā)，是網(wǎng)絡(luò)三層架構(gòu)中的核心部分，是不可缺少的一層。企業(yè)網(wǎng)絡(luò)設(shè)計中，考慮到資金的問題，核心層部署2臺核心三層交換機，負責(zé)轉(zhuǎn)發(fā)企業(yè)內(nèi)部用戶的流量，并充當內(nèi)部用戶網(wǎng)關(guān)，能夠?qū)崿F(xiàn)內(nèi)部不同網(wǎng)段的用戶之間的連通性。兩臺核心交換機間運行HSRP網(wǎng)關(guān)備份協(xié)議，一臺核心交換機作為用戶的主網(wǎng)關(guān)，另一臺核心交換機充當用戶備份網(wǎng)關(guān)，主核心交換機負責(zé)轉(zhuǎn)發(fā)流量。只有當核心主網(wǎng)關(guān)出現(xiàn)故障、死機的情況的下，備份核心交換機才會轉(zhuǎn)發(fā)流量。核心交換機之間通過兩條線路進行互聯(lián)，通過配置端口聚合，來增加鏈路帶寬。上聯(lián)出口路由器，核心層和出口路由器之間都配置動態(tài)路由協(xié)議，通過OSPF動態(tài)協(xié)議保證網(wǎng)絡(luò)了連通性和可擴展性。服務(wù)器區(qū)域交換機也通過防火墻連接在核心交三層換機上。2．匯聚層匯聚層位于網(wǎng)絡(luò)結(jié)構(gòu)的中間層，下連接入層上接核心層，各區(qū)域、數(shù)據(jù)媒體流在本層匯聚，經(jīng)處理后再送到核心層，減輕了核心層的工作量。也因此匯聚層對比接入層，對網(wǎng)絡(luò)設(shè)備性能要求更高，但不必提供很多的接口。同時匯聚層需要劃分虛擬機網(wǎng)隔離網(wǎng)絡(luò)，所以需要選用支持3層交換技術(shù)和VLAN的網(wǎng)絡(luò)設(shè)備。3．接入層與服務(wù)器（1）接入層接入層一般下聯(lián)用戶終端，如PC機、打印機、無線接入點和服務(wù)器等，最大的特點就是基數(shù)大，所以在選擇購買設(shè)備的時候可以選擇中低端、端口密度大的設(shè)備，既可以節(jié)省資金又可以節(jié)省機柜的空間。接入層交換機默認端口類型為access，如果內(nèi)部需要劃分多個VLAN，需要將與用戶終端連接的端口劃分到相應(yīng)的某個VLAN，而和交換機互聯(lián)接口的話，企業(yè)有多個部門，需要規(guī)劃和創(chuàng)建多個VLAN。不同部門的終端與接入層交換機相連接的端口必須劃分到相應(yīng)的VLAN，上聯(lián)核心層交換機的端口需要配置為trunk，并配置相應(yīng)的VLAN通過。企業(yè)總部接入交換機開啟STP協(xié)議，因為接入層交換機上是雙連接的，起到防止環(huán)路的作用。（2）服務(wù)器企業(yè)部署3臺服務(wù)器，OA服務(wù)器支持日常辦公需求，財務(wù)服務(wù)器存儲備份各財務(wù)部業(yè)務(wù)數(shù)據(jù)，人事服務(wù)器存儲備份各人事部業(yè)務(wù)數(shù)據(jù)。服務(wù)器前部署防火墻做訪問控制限制各部門對各服務(wù)器的訪問，再接入核心層，實現(xiàn)數(shù)據(jù)高速轉(zhuǎn)發(fā)。（三）VLAN劃分及IP地址分配IP地址空間的分配、合理使用與網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)組織及路由協(xié)議有非常密切的關(guān)系，將對企業(yè)網(wǎng)的可用性、可靠性與有效性產(chǎn)生顯著影響，應(yīng)充分考慮本地網(wǎng)對IP地址的需求，以滿足未來業(yè)務(wù)發(fā)展對IP地址的需求。除此之外，隨著企業(yè)的規(guī)模發(fā)展不斷擴大，企業(yè)員工自然也就會增多，網(wǎng)絡(luò)用戶增多，管理難度加大，網(wǎng)絡(luò)安全性降低。而合理的VLAN劃分方案不僅有利于提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，而且可以方便網(wǎng)絡(luò)的管理。該企業(yè)總部各部門依次劃分到VLAN10-15的虛擬局域網(wǎng)中，分公司的的各部門也劃分到不同的網(wǎng)段里，即VLAN16-24?？偛亢头止镜母鱾€部門劃分到不同的虛擬局域網(wǎng)后，再為各個部門所在的虛擬局域網(wǎng)分配一個C類地址空間來供現(xiàn)在及以后使用?？偛亢?個分公司的IP地址分配及VLAN劃分具體情況如下表所示：表1VLAN劃分P地址分配地點VLAN網(wǎng)絡(luò)號IP地址子網(wǎng)掩碼總部人事部Vlan10192.168.10.0/24192.168.10.1~254255.255.255.0總部財務(wù)部Vlan11192.168.11.0/24192.168.11.1~254255.255.255.0總部研發(fā)部Vlan12192.168.12.0/24192.168.12.1~254255.255.255.0總部銷售部Vlan13192.168.13.0/24192.168.13.1~254255.255.255.0總部辦公室Vlan14192.168.14.0/24192.168.14.1~254255.255.255.0總部監(jiān)控部Vlan15192.168.15.0/24192.168.15.1~254255.255.255.0分公司1人事部Vlan16192.168.16.0/24192.168.16.1~254255.255.255.0分公司1財務(wù)部Vlan17192.168.17.0/24192.168.17.1~254255.255.255.0分公司1銷售部Vlan18192.168.18.0/24192.168.18.1~254255.255.255.0分公司2人事部Vlan19192.168.19.0/24192.168.19.1~254255.255.255.0分公司2財務(wù)部Vlan20192.168.20.0/24192.168.20.1~254255.255.255.0分公司2銷售部Vlan21192.168.21.0/24192.168.21.1~254255.255.255.0分公司3人事部Vlan22192.168.22.0/24192.168.22.1~254255.255.255.0分公司3財務(wù)部Vlan23192.168.23.0/24192.168.23.1~254255.255.255.0分公司3銷售部Vlan24192.168.24.0/24192.168.24.1~254255.255.255.0三、網(wǎng)絡(luò)系統(tǒng)配置（一）VLAN配置分別將企業(yè)總部和各分公司的各個部門劃分到不同的VLAN中，讓每個部門單獨在一個虛擬局域網(wǎng)中，實現(xiàn)業(yè)務(wù)數(shù)據(jù)的隔離，同時也避免了廣播風(fēng)暴，提高企業(yè)網(wǎng)絡(luò)安全性。依據(jù)前面表1的VLAN劃分方案實施配置，將總部和3個分公司的各部門與交換機連接的端口指定到相應(yīng)的VLAN，就實現(xiàn)了VLAN的劃分，以總部人事部VLAN配置為例，配置實現(xiàn)如下所示，實施VLAN配置前先在全局模式下采用noipdomainlookup命令關(guān)閉域名查詢，啟用禁止DNS服務(wù)器，減少輸入錯誤命令的等待時間。Switch>enableSwitch#configterminalSwitch(config)#noipdomainlookup//關(guān)閉域名查詢,啟用禁止DNS服務(wù)器，減少輸入錯誤命令的等待時間。Switch(config)#vlan10//創(chuàng)建VLANSwitch(config-if)#exitSwitch(config)#interfacef0/1//進入接口f0/1Switch(config-if)#switchportmodeaccess//修改端口模式(連接電腦access，連接交換機trunk)Switch(config-if)#switchportaccessvlan10//將接口劃分到vlan10（二）端口聚合配置核心層的2臺三層交換機間容易產(chǎn)生環(huán)路，而環(huán)路會帶來一些問題，如MAC地址表不穩(wěn)定、廣播風(fēng)暴、多次幀復(fù)制，這3種情況都致使網(wǎng)絡(luò)鏈路崩盤給企業(yè)的數(shù)據(jù)資源造成威脅，降低企業(yè)的網(wǎng)絡(luò)安全性。因此配置端口聚合來解決環(huán)路問題，以CORE-SW-1配置為例，先創(chuàng)建一個10號聚合端口，然后進入相應(yīng)接口將接口加入到10Switch(config)#interfaceport-channel10|SWItChl(cohL1g-11)TEXITSwitch(config)#intSwitchIconficltinterfaceσSwitch(config)#interfacegigabitEthernet0/1Switch(config-if)FsWSwitch(config-if)#switchportmoSwitch(config-if)#switchportmodetrSwitch(config-if)#switchportmodetrunkSwitch(config-if)并SWSwitch(config-if)#switchporttrSwitch(config-if)#switchporttrunkaSwitch(config-if)#switchporttrunkallowedv0Switch(confia-if)#switchporttrunkallowedvlanalSwitch(config-if)#cha[Switch(config-if)#channel-group10modeonSwitch(config-if)#LINK-5-CHANGED:InterfacePort-channe110,changedstatetoup各LINEPROTO-5-UPDOWN:LineprotocolonInterfacePort-channe110,changedstatetoupSwitch(config-if)#（三）HSRP配置核心層部署2臺核心三層交換機進行雙機熱備份，2臺三層交換機組成一個HSRP組，配置CORE-SW-1做活動路由器，CORE-SW-2做備份路由器。網(wǎng)絡(luò)設(shè)備或者用戶主機的數(shù)據(jù)都是經(jīng)CORE-SW-1轉(zhuǎn)發(fā)，但處在網(wǎng)絡(luò)中的用戶主機和網(wǎng)絡(luò)設(shè)備的網(wǎng)關(guān)地址是虛擬路由器的IP地址，這樣就算活動路由器CORE-SW-1宕機，切換備份路由器CORE-SW-2時也不需要重新配置網(wǎng)關(guān)，不會對通信造成影響，保證網(wǎng)絡(luò)的安全性和穩(wěn)定性。以在CORE-SW-1配置總部人事部的虛擬網(wǎng)關(guān)IP地址為例，配置實現(xiàn)如下所示。CORE-SW-1(config)#interfaceVlan10//進入vlan.CORE--SW-1(config-if)#ipaddress192.168.10.252255.255.255.0//配置IP地址CORE--SW-1(config-if)#standby10ip192.168.10.254//配置虛擬IP地址CORE--SW-1(config-if)#standby10priority120//配置優(yōu)先級(越大越優(yōu)先)（四）DHCP配置對于P企業(yè)來說，企業(yè)員工并不是都會給電腦配置靜態(tài)IP地址，有時候在配置過程中還會出現(xiàn)IP地址沖突的問題，給企業(yè)員工不好的網(wǎng)絡(luò)體驗感，而DHCP動態(tài)主機配置協(xié)議的作用是為內(nèi)部網(wǎng)絡(luò)設(shè)備、終端設(shè)備動態(tài)地分配地址，恰好解決了以上問題，并且降低了企業(yè)員工誤操作導(dǎo)致的安全事件發(fā)生機率。實施DHCP的配置都是先創(chuàng)建DHCP地址池，然后設(shè)置地址池可分配的地址的范圍，最后設(shè)置地址池的默認網(wǎng)關(guān)地址和默認DNS地址?？偛咳耸虏緿HCP配置:Switch(config)#ipdhcppoolvlan10//創(chuàng)建DHCP地址池Switch(dhcp-config)#network192.168.10.0255.255.255.0//設(shè)置分配的地址池Switch(dhcp-config)#default-router192.168.10.254//設(shè)置該地址池的默認網(wǎng)關(guān)Switch(dhcp-config)#dns-server8.8.8.8//設(shè)置該地址池的默認DNS服務(wù)器總部財務(wù)部DHCP配置：Switch(config)#ipdhcppoolvlanl5.Switch(dhcp-config)#network192.168.15.0255.255.255.0Switch(dhcp-config)#default-router192.168.15.254Switch(dhcp-config)#dns-server8.8.8.8四、網(wǎng)絡(luò)安全策略（一）內(nèi)部安全策略1.物理安全策略在P企業(yè)大樓第五層部署中心機房，并做好防雷、防水、防火等自然災(zāi)害的規(guī)避措施。中心機房的進出實行認證機制，只有企業(yè)網(wǎng)絡(luò)安全管理人員才可以隨意出入中心機房。對此，可以對中心機房設(shè)置門禁，進出進行刷臉或指紋認證，不推薦使用智能卡認證，因為智能卡容易丟失，如果被別有用心的人撿到，將會對企業(yè)網(wǎng)絡(luò)造成威脅。同時，在中心機房設(shè)置報警器，發(fā)現(xiàn)可疑人員入侵及時報警。中心機房放置網(wǎng)絡(luò)安全設(shè)備和存放重要數(shù)據(jù)的服務(wù)器，合理的劃分設(shè)備的占用空間，并將核心設(shè)備置于安全柜中，防止損壞。2.存儲備份策略針對P企業(yè)人力資源以及財務(wù)數(shù)據(jù)備份工作不足的現(xiàn)狀，可以號召P企業(yè)實施輪換備份策略，以防止特殊情況下，硬件損毀帶來的信息丟失問題，并在此過程中，P企業(yè)最好采用存儲介質(zhì)，如磁帶、硬盤等，進行數(shù)據(jù)備份，然后將其轉(zhuǎn)移到異地存放，一旦硬件出現(xiàn)意外損毀問題，即可及時通過調(diào)取對應(yīng)的儲蓄介質(zhì)來正常應(yīng)用信息數(shù)據(jù)，在具體操作過程中，網(wǎng)絡(luò)管理者可以采用GFS輪換循環(huán)、漢諾塔輪換備份策略、增量介質(zhì)等備份建設(shè)方法，確保增量信息文件能夠被穩(wěn)定地備份儲存；此外，在備份存儲工作中，企業(yè)需要注意的是，盡量將存儲地點設(shè)在園區(qū)周邊且交通暢通的位置，實現(xiàn)數(shù)據(jù)的災(zāi)備，而且還要注意做好存儲管理，合理調(diào)整存儲區(qū)域的溫度、濕度等環(huán)境參數(shù)，且應(yīng)委派專人負責(zé)日常的存儲管理，并為各項備份、運輸、存儲工序設(shè)置配套的工作制度和標準，增強基礎(chǔ)備份工作的可靠性，提高企業(yè)信息安全防護工作效果。（二）外部安全策略P企業(yè)防范病毒的手段主要是安裝殺毒軟件，現(xiàn)在的殺毒軟件大都有電腦體檢、漏洞修復(fù)、救援電腦、查殺木馬和清理插件等功能，如騰訊安全管家、360安全衛(wèi)士、金山毒霸等，它們可以對電腦定期體檢來發(fā)現(xiàn)電腦存在的安全問題并提供解決措施，可以在電腦出現(xiàn)漏洞時及時修復(fù)，可以對木馬進行查殺。除此之外，殺毒軟件對U盤、光盤、移動硬盤等外部設(shè)施插入電腦時進行病毒查殺，阻斷病毒入侵。安裝殺毒軟件簡單實用易操作，對中小型企業(yè)來說不失為一個很好的選擇。當然了，也不要隨便打開陌生的電子郵件、文件、網(wǎng)址等，里面可能會攜帶病毒。

五、結(jié)束語近年來，計算機網(wǎng)絡(luò)的應(yīng)用給經(jīng)濟和科技發(fā)展帶來了突破性的變化，人們對安全的要求也在不斷提高。計算機網(wǎng)絡(luò)安全和防護病毒還有許多需要完善的地方。安全的計算機網(wǎng)絡(luò)是可持續(xù)技術(shù)和經(jīng)濟發(fā)展的先決條件。而現(xiàn)在隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和繁榮，計算機逐漸成為了人們?nèi)粘Ｉ?、以及工作生產(chǎn)中重要的一部分。網(wǎng)絡(luò)的普及，給中小型企