第5章、安全策略
中小企业网络病毒泛滥、安全事件频发,是网络管理面临的重大挑战。从网络安全调查数据来看,网络的安全威胁主要来自三个方面:一方面是网络的恶意破坏者即黑客,造成正常网络服务的不可用、系统数据的破坏;第二个方面是无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三个方面是有些用户窃取他人身份进行越权数据访问,其中以内部人员而造成的网络安全问题占到了70%。
安全问题已经成为企业信息化过程普遍问题,表现在部门间互访的安全无法控制,重要数据被入侵者窜改,不能很好应对外部攻击以及移动办公用户上网控制,都急待解决。
5.1企业网边缘处及vlan的安全考虑
防火墙设备的使用是解决网络安全的最基本的保证。防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。网络边界即采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
防火墙设备由一个由软件和硬件设备组合而成,包括服务访问规则、验证工具、包过滤和应用网关4个主要部分。
ACLs 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;扩展IP访问列表可以根
32
据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。
访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域;
扩展IP访问列表(编号100-199、2000、2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。扩展IP访问列表的配置包括以下两部:定义扩展IP访问列表将扩展IP访问列表应用于特定接口上。
中小企业网络除利用防火墙DDOS攻击等方面的优势外,通过在防火墙上使用扩展IP访问控制列表,来控制网络流量,达到保证网络效能与安全的目标。
5.2流量控制与安全防护策略
策略包括通过在防火墙限制可以访问ISP网络的服务类型(如仅允许访问外网任何主机TCP协议的WWW服务),提高网络边界互联网出口的安全性。在核心交换上限制对某些vlan(例如vlan17财务部)网络资源的防问流量,提高对这些业务部门信息的安全保护。
防火墙策略配置举例:
firewall(config) # access-list 100 permit tcp any any eq www !授权内部网络所有主机仅访问218.28.58.138的WWW服务时使用access-list 100 permit tcp any host 218.28.58.138 eq www firewall(config)#int s0/0/0
firewall(config-if)#ip access-group 100 out firewall(config-if)#exit
firewall(config)#ip route 0.0.0.0 0.0.0.0 f3/0 firewall(config)#exit firewall#write
核心交换策略配置举例:
C3750x-24s-s1(config)#access-list 101 permit tcp any 192.168.11.192 255.255.255.192 eq 80
C3750x-24s-s1(config)#int vlan 17
C3750x-24s-s1(config-if)#ip access-group 101 in C3750x-24s-s1(config-if)#exit
33
第6章、综合布线
6.1综合布线概述
综合布线是将独立的语音、数据、图像等线路统一进行设计、安装,以达到实用灵活、经济、可模块化和可扩充的效果,实现数据通信设备和其它信息管理系统的相互连接。结构化综合布线系统具有高度的灵活性,各种设备位置的改变,局域网的变化,不需重新布线,只要在配线间作适当布线调整即可满足需求。结构化布线和先决条件:
要进行详细的用户通信需求分析;
通过现场考察和查阅图纸熟悉建筑特的结构; 掌握设计的标准、要点、原则和步骤; 根据网络拓扑结构确定综合布线的系统结构;
熟悉布线产品市场,为工程挑选适当(性价比高)的布线产品;
掌据AUTOCAD和Microsoft Office Visio等软件,并绘制综合布线系统图、施工图等。
6.2综合布线标准
综合布线的第一套标准是ANSI/EIA/TIA 568(即《商业大楼电信布线标准》是美国国家标准化协会、电子工业协会、电信工业协会共同采纳的标准),现在使用的是它的新版本:TIA 568A。此外,还有ISO出台的ISO/IEC/ISO11801标准,这套协议中规定了电信布线的最低要求,建议的拓扑结构和距离、决定性能的介质参数、连接器和引脚功能分配等。
本论设计参考了国际建筑通用布线标准,即ISO11801,整个布线系统由工作区子系统、水平子系统、干线子系统、设备间子系统、管理子系统和建筑群主干子系统6个部分组成,如图6-1。
34
图6-1综合布线系统组成
工作区子系统:是连接用户终端设备的子系统。主要包括信息插座、信息插座和设备之间的适配器。通俗讲是指电脑和网线接口之间的部分。
水平子系统:是连接工作区与主干的了系统。主要包括配线架、配线电线和信息插座。通俗讲是指从楼层弱电井里的配线架到每个房间的网卡接口之间的部分,通常布线是在天花板上,与楼层平行。
管理子系统:是对布线线缆进行端接及配置管理的子系统。通俗讲是指配线间的设备部分,位于弱电井。
干线子系统:是用来连接管理间,设备间的子系统。通俗讲是指将接入层交换机连接到分布层(或核心层)交换机的网络线路。干线推荐使用光纤、超5类或6类非屏蔽双绞线。
设备间子系统:是安装在设备间的子系统,指集中安装大型设备的场所。一般来说,大型建筑物会有一个或多个设备间,通常核心交换机的位置就是设备间,设备间子系统对物理环境的要求较高。
建筑物主干子系统:它用来实现楼群之间的连接,包括各种通信传输介质和支持设备,又称户外子系统。通常包括地下管道、直埋沟内和架空三种方式。各子系统的逻辑结构见图6-2.
35
图6-2各子系统逻辑结构
6.3综合布线设计
本设计方案参照 ISO/IEC ISO 11801,以确保整个系统的规范和质量。本系统支持语言和数据(图象、多媒体)传输,可满足快速以太网应用的场合。
方案为一个较典型的星型拓扑结构系统,现将设计方案概述如下: 根据用户要求,企业的主设备间设于办公楼一层综合布线机房,从主设备间引线缆经桥架和竖井直接引至工作区。水平布线电缆均采用超5类4对UTP电缆,信息插座选用5类系列插座。
本方案分为五大子系统,分别为工作区子系统、水平子系统、干线子系统、设备间子系统、管理子系统和建筑群主干子,为二级星型拓扑结构,施工中主要采用普天系列产品,具体分述如下:
36