9.5 网络设备选型
景兴公司网络系统中,主干核心交换机是肩负所有设备互连、交换处理的重要设备,并具有可靠性高,交换处理能力强、扩展性能好等特点。
一. 核心交换机Cisco4507R:
景兴公司网络系统中, 核心三层交换机采用美国思科Cisco4507R交换机 , 交换机采用了优化的体系架构,可以实现高性能的全线速的第二层和第三层交换,满足网络骨干大流量、多应用、高可靠的需求。并提供一流的性能、可管理性和灵活性以及无与伦比的投资保护。
二.楼层交换机采用思科二层网管10/100M可以交换机WS-C2918。
三. 公司网络IP地址的规划与VLAN的划分如下:
A:由于有限公司的数据信息点有公司多个,现将IP 地址规划为C类网段,具体如下:
地点 上网 公司领导 ERP网络 财务 服务器 无线 来宾 计算机IP地址网段 192.168.10.1-192.168.10.254 192.168.20.1-192.168.20.254 192.168.30.1-192.168.30.254 192.168.40.1-192.168.40.254 192.168.50.1-192.168.50.254 192.168.60.1-192.168.60.254 192.168.1.1-192.168.1.254 9.6 可靠性与安全保密性
9.6.1局域网在网络层中不安全的地方
1)不安全的地方
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就对可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。 2)网络分段
网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干同段,各同段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,
对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中。通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。 3)VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
*信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。
*通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。 4)VLAN之间的安全划分原则
VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的
安全性来划分VLAN,可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN),其他部门(或下级机构)分别作为一个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流
向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现,VLAN与VLAN之间采用路由实现。由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交流。 9.6.2网络安全的措施 防火墙
防火墙并非万能,但对于网络安全来说还是必不可少的。它是位于两个网络之间的屏障,一个是内部网络(可信赖的网络),另一个是外部网络(不可信赖的网络),防火墙按照系统管理员预先定义好的规则来控制数据包的进出。
大部分防火墙都采用了以下三种工作方式中的一种或多种;使用一个过滤器来检查数据包的来源和目的地,根据管理员的规定接收或拒绝数据包;扫描数据包,查找与应用相关的数据;在网络层对数据包进行模式检查,看是否符合已知“友好”数据包的位(bit)模式。 9.6.3网络系统实现的安全管理措施
1.为确保网络系统的安全运行和数据可靠共享,局域网系统/网站所实现的安全措施包括:
通信对方鉴别
参与通信的一方可以检验对方的身份,鉴别其真伪和访问权限。可采用
“单方鉴别”和“互相鉴别”两种方式; 数据发方鉴别
在无连接的通信中,接收方鉴别发送数据方身份后方才接收数据,以防
止欺骗数据的侵入; 访问控制
只有授权用户才能进入特定的局域网,使用网络资源;
数据保护
保证专用数据不被无权用户获取,这是通过控制访问或数据加密实现的;
业务流分析防护
网络中某些特定的业务流出现的频度,长度和信息来源等等,也具有一定的保密意义。本措施即是对特定的业务信息流进行必要的屏蔽,以避免无权用户通过分析这些业务流而获取有用信息; 数据完整性保护 发方和收方确认 2.数据安全措施和保密性
数据的安全性表现在以下几个方面: 1) 防止因硬件故障造成的数据破坏
我们通过采用优质、高性能的设备和采用切实可行的系统容错技术可以
完全保证因硬件故障造成的数据破坏。 2) 保证数据不被窃取和破坏
建立相应的安全管理机制和在用户中树立安全意识,防止泄密事件发生,
以保证数据不被窃取。 3) 防止病毒破坏
一方面,要求网上的用户不要随意拷贝外来磁盘和下载网上文件,不要随
意使用盗版光盘,防止病毒进入网络;另一方面使用杀毒软件对工作站进行病毒清理,在网上安装防病毒软件,也是一种防止网上病毒侵蚀的有效途径。 4) 防止人为破坏和“黑客”攻击
采用INTERNET防火墙技术,在和INTERNET连接的通道上设立防火墙,屏蔽本系统的IP地址,对出入的数据包进行过滤,防止“黑客”通过INTERNET攻击本系统。同时网络之间也需进行数据包的过滤,防止有人通过系统破坏网络。保证整个系统的安全。在系统内部建立一整套严密的帐户和口令管理机制,可以有效的防止人为破坏。 3. 硬件设备的安全
选择优质的硬件设备是保证系统安全可靠的前提条件
即全系统的硬件设备:包括服务器、核心交换机、路由器、PC工作站
等等的安全性。
硬件设备的安全性主要由设备本身的性能和系统采用容错技术来保证。