XX信息技术职业学院毕业设计 划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定。汇聚层将根据企业各个部门而得出汇聚层交换机的连接。其中都将使用光纤接入,这样更好的提高了冗余能力从而避免单点失效。由于企业信息点较多,本企业中汇聚层应用是三台三层交换机(一台48接口CISCO 3560和CISCO 3570,两台28接口),为了达到XX企业网络构架的需求总公司办公楼分别用的是一台48接口的和一台28接口的三层交换机,员工公寓也用了一台28接口的三层交换机。并且都每一个部门进行了VLAN的分配。 4.2.7 接入层设计
接入层通常指网络中直接面向用户连接或访问的部分。接入层目的是允许终端用户连接到网络,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。在传输速度上,现代接入交换机大都提供多个具有10M/100M/1000M自适应能力的端口。接入层根据信息点的分布从而将接入层交换机合理的放置,汇聚层到接入层之间都将用六类双绞线想连接,根据现在网络的发展,六类双绞线将在未来几年有更好的应用,企业的汇聚层和接入层使用六类双绞线将有更好的传输速率。 4.2.8 服务器设计
在网络中创建一个稳定、可靠的服务是网络中重要的一部分。服务应该建立在服务器上而且应该放在比较合适的环境中,而服务器应该具备适当的可靠性和性能要求,这样才能够确保服务的正常运行。
建立一个服务时应从用户的需求开始,因为用户才是建立服务的根本原因。如果建立的服务不合乎用户的需求,那就是在浪费精力。在所有的服务中很少有不是为了满足用户需求而建立的,但是DNS就是其中之一,而其他的服务如:MAIL服务和一些网络服务等都是明显为了用户需求建立的。而在进行服务设计时应该注意用户需求的以下几点:用户需要哪些服务功能、喜欢哪些功能、这些服务对用户有多重要,以及这些服务需要什么级别的技术。我们在医院的服务设计中将所有服务器分为两大模块,分别是对外服务器群和对内服务器群。在对外服务器群中有WWW服务器、邮件服务器、DNS服务器等。这些服务器可以提供WEB访问和DNS域名服务等功能。而在对内服务器群中有企业专门的临床信息系统服务器、企业管理信息系统服务器,还有为企业和客户提供视频点播功能,从而使服务器能够有效的进行服务功能。 4.2.9 无线网络设计
第13页
XX信息技术职业学院毕业设计 企业无线网(Wireless Network)的使用技术可以使公司员工在本地创建无线连接。无论是总公司还是在员工公寓,无线网络都将全面覆盖。我们主要使用的无线网络设备是CISCO WAP4410N,为了能够更好的兼容有线设备。无线网络将对有线网络的一些无法到达之处,实现补充。无线网络还可以实现在无法进行有线网络的布置下使用无线网络,无线网络还可以搭建临时的网络。XX集团一楼接待大厅是公司的形象,所以为了美观,出了前台用的有线外,其余全用无线覆盖,这样更简单及美观。其余每层都将有无线,员工公寓也全部被本公司的无线覆盖。
4.2.10 入侵检测系统(IDS)设计
为了能够安全的工作和有效率的利用网络。一、XX企业对IDS进行了设计,选着了天融信TopSentry 3000(TS-3205-IDS),其功能强大的搜索引擎面对海量的入侵记录1000Mbps吞吐率/攻击事件数2800以上。二、天融信TopSentry 3000(TS-3205-IDS)向用户提供了强大的搜索引擎,丰富的查询搜索方式,这样,用户可以非常方便,快速的按照自己的需要查找所关心的入侵记录。三、天融信TopSentry 3000(TS-3205-IDS)提供的分析报表形式多样:既有实时反映当前网络安全状态的的即时分析报表,又有综合反映周期安全状况的每日分析报表;既有简单明了的决策型报表,又有详细全面的关联型报表。同时用户还可以对分析范围、分析强度、显示方式等进行配置,实现个性化的报表分析,得到最符合用户需求的报表。四、历史记录的统计分析、查询和下载天融信TopSentry 3000(TS-3205-IDS)在为用户提供实时报告的同时,提供对历史记录的综合统计报告和高级搜索功能,并对提供了历史日志文件记录的高级搜索功能。五、多样化报警和响应方式,天融信TopSentry 3000(TS-3205-IDS)一旦检测到入侵行为,可以通过多种方式进行报警,并能够根据预定义的策略,选择切断攻击方的所有连接,或通知防火墙,修改过滤规则,阻断攻击,从而保护本地主机的安全。
4.2.11 管理主机设计
它可以对FTP服务器,WEB服务器,MAIL服务器进行整合管理,通过SiteManage可以对“虚拟主机”进行开通,删除,修改,转移,备份,恢复等各项复杂操作,SiteManage具有强大的自定义配置功能,您能够完全控制其工作流程,也可以交给系统自动完成。SiteManage提供SMWeb系统可以从Web直接提交虚拟主机订单到系统中,SiteManage支持IIS,Serv-U,IMail, Mdaemon等流行服务器。最新支持在线实时监控功能,可以监控用户自定义的服务器和服务,一旦服务停止,可以直接发信,或者反映在网页之中。 4.2.12 IP地址和VLAN的分配
第14页
XX信息技术职业学院毕业设计 我们主要选取按照部门和端口划分VLAN,选取私有地址172.16.0.0段,在接入外网时通过NAT转换成公网IP地址来实现通讯。根据XX企业实际情况,以及需求分析,我们将整个公司按照需求和应用划分成16个VLAN。
总公司共划分12个VLAN,每个部门各使用一个VLAN,一楼大厅属于市场部,都是VLAN10,上海、绵羊分公司各占一个VLAN,移动用户VPN占用一个VLAN,员工公寓一个VLAN。
根据需求分析,需要7台服务器。一台OA服务器,一台DHCP/WINS/DNS服务器,一台Web服务器,两台数据库服务器,FTP服务器,一台DHCP服务器,除DHCP服务器用静态IP外,其它服务器均采用IP与MAC地址绑定的方式获取。一台VPN服务器,主要对分公司和移动办公人员对总公司内网访问提供服务。[8]
IP地址的划分,都是根据实际的信息点来计算可用范围的具体网段分配及VLAN划分见IP、VLAN划分表具体如下表4.1所示:
第15页
XX信息技术职业学院毕业设计
表4.1 VLAN IP划分表
区域 楼层 一楼 二楼(人力资源部、后勤部) 总公司 大楼 三楼 四楼 五楼 六楼 七楼 八楼 九楼 十楼 一楼 二楼 三楼 员工公寓 四楼 五楼 六楼 七楼 上海 分公司 VPN办公人员 内部服务器 绵羊 移动 DHCP OA Database Database FTP 外部服务器 WEB VPN 3 190 4 180 信息点数量 5 160 80 240 240 240 240 240 240 240 240 100 100 100 100 100 100 100 Vlan id 10 20 30 10 40 50 60 70 80 90 100 110 120 130 140 150 160 170 Vlan name Shichang Renliziyuan Houqin Shichang Yewu Gongcheng Yusuan Caizheng Jingcheng Biaozhi Xingzheng Sushe1 Sushe2 Sushe3 Sushe4 Shanghai Mianyang Vpnbangong Dhcpserver Oaserver Database1 Database2 FTPserver WEBserver VPNserver 网络地址 172.16.10.0/24 172.16.20.0/24 172.16.30.0/24 172.16.10.0/24 172.16.40.0/24 172.16.50.0/24 172.16.60.0/24 172.16.70.0/24 172.16.80.0/24 172.16.90.0/24 172.16.110.0/24 172.16.110.0/25 172.16.110.0/25 172.16.120.0/25 172.16.120.0/25 172.16.130.0/25 172.16.130.0/25 172.16.140.0/25 172.16.150.0/24 172.16.160.0/24 172.16.170.0/27 172.16.180.0/29 172.16.180.0/29 172.16.180.0/29 172.16.180.0/29 172.16.190.0/30 172.16.190.0/30 172.16.190.0/30 可用范围 172.16.10.1-254 172.16.20.1-254 172.16.30. 1-126 172.16.10.1-254 172.16.40.1-254 172.16.50.1-254 172.16.60.1-254 172.16.70.1-254 172.16.80.1-254 172.16.90.1-254 172.16.100.1-254 172.16.110.1-126 172.16.110.1-126 172.16.120.1-126 172.16.120.1-126 172.16.130.1-126 172.16.130.1-126 172.16.140.1-126 172.16.150.1-254 172.16.160.1-254 172.16.170.1-30 172.16.180.1 172.16.180.2 172.16.180.3 172.16.180.4 172.16.190.1 172.16.190.2 172.16.190.3
第16页
XX信息技术职业学院毕业设计 第5章 企业网络安全设计
5.1 物理层安全需求
公司核心交换机放在底楼,企业保安人员24小时轮流值班,做到核心机房的用电安全,核心交换机采用CISCO WS-C6509双机冗余,各汇聚层交换机采用双线路连接到核心交换机,核心交换机采用双电源,保障公司内部通信的安全及性能,公司内网和互联网之间采用硬件防火墙来精心隔离。针对重要信息可能通过电磁辐射或线路干扰等泄漏因素考虑,需要对存放机密信息的机房进行必要的设计,如构建屏蔽室,采用辐射干扰机,防止电磁辐射泄漏机密信息。对重要的设备进行冗余考虑,对重要系统进行备份等安全保护。 5.2 安全目标
基于以上的需求分析,我们认为网络系统可以实现以下安全目标:保护网络系统的可用性,包袱网络系统服务的连续性,防范入侵者的恶意攻击与破坏,护四川成都XX集团信息通过网上传输过程中的机密性、完整性,范病毒的侵害,现网络的安全管理。 5.3 网络安全的应用
网络物理安全是整个网络系统安全的前提,物理安全的风险主要有:由于水灾、火灾、雷击、粉尘、静电等突发性事故和环境污染造成网络设施工作停滞:电源故障造成设备断电以至操作系统引导失败火数据库信息丢失,电子、电力设备本身固有缺陷和弱点及所处环境容易在人员误操作火外界诱发下发生故障;报警系统的设计不足可能造成原本可以防止但实际发生了的事故。安装杀毒软件,对整个网络时时监控,防止病毒出现和传播,最重要的是我们企业的内网与外网做到物理上的完全隔离。 5.4 防火墙
远程用户认证策略远程用户不能通过放置于防火墙后的未经认证的Modem访问系统。PPP/SLIP连接必须通过防火墙认证。对远程用户进行认证方法培训。拨入/拨出策略拨入/拨出能力必须在设计防火墙时进行考虑和集成。外部拨入用户必须通过防火墙的认证。信息服务策略,公共信息服务器的安全必须集成到防
第17页