網(wǎng)絡(luò)安全方案

典型網(wǎng)絡(luò)安全方案設(shè)計

本項(xiàng)目主要從當(dāng)前網(wǎng)絡(luò)安全的狀況做出安全需求分析，并結(jié)合網(wǎng)絡(luò)安全的評價標(biāo)準(zhǔn)以及網(wǎng)絡(luò)安全防御體系的一般結(jié)構(gòu)來制定相關(guān)網(wǎng)絡(luò)（如校園網(wǎng)、企業(yè)網(wǎng)、政府網(wǎng)等）的安全方案規(guī)劃。最后，對后續(xù)的網(wǎng)絡(luò)安全實(shí)驗(yàn)進(jìn)行設(shè)計并建立一個虛擬的實(shí)驗(yàn)環(huán)境。校園網(wǎng)絡(luò)安全方案設(shè)計

校園網(wǎng)安全現(xiàn)狀目前，校園網(wǎng)在學(xué)校的辦公系統(tǒng)中起著重要作用，合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，還將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量，而前提就是校園網(wǎng)必須是穩(wěn)定的、安全的和可靠的。因此，校園網(wǎng)安全方案的設(shè)計尤為重要。。校園網(wǎng)安全需求分析校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入等。但具體還要根據(jù)不同校園網(wǎng)的實(shí)際情況來做簡要分析。一般情況下，校園網(wǎng)安全主要可以從以下5個方面進(jìn)行分析：（1）物理安全。是指保護(hù)校園網(wǎng)內(nèi)計算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及通信線路，使其免遭自然災(zāi)害及其它環(huán)境事故（如電磁污染）的破壞。（2）網(wǎng)絡(luò)安全。是指校園網(wǎng)安全建設(shè)的基礎(chǔ)，完善的網(wǎng)絡(luò)安全防御措施可以解決大多數(shù)的校園網(wǎng)安全問題，包括基礎(chǔ)網(wǎng)絡(luò)安全、邊界防護(hù)、遠(yuǎn)程接入和全局安全。（3）主機(jī)安全。校園網(wǎng)內(nèi)，主機(jī)的安全問題最為常見，也是其他安全問題源頭，主機(jī)安全涉及到統(tǒng)一身份認(rèn)證，主機(jī)安全防護(hù)體系。通過校園網(wǎng)統(tǒng)一身份認(rèn)證和校園網(wǎng)主機(jī)安全防護(hù)體系來全面實(shí)現(xiàn)校園網(wǎng)的主機(jī)安全目標(biāo)。（4）應(yīng)用安全。校園網(wǎng)的應(yīng)用安全是最為復(fù)雜的部分，涵蓋的內(nèi)容涉及到了業(yè)務(wù)應(yīng)用的各個層面。（5）數(shù)據(jù)安全。數(shù)據(jù)是當(dāng)前高校信息化建設(shè)中最寶貴的資源，其重要性已經(jīng)得到越來越高的重視。校園網(wǎng)的安全建設(shè)中，數(shù)據(jù)安全是一個不可忽視的方面。數(shù)據(jù)的遺失或損壞對于學(xué)校而言，其后果不可想象。校園網(wǎng)安全功能設(shè)計1.設(shè)計原則為了建設(shè)全方面的、完整的校園網(wǎng)絡(luò)安全體系結(jié)構(gòu)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性和系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防御體系在整體設(shè)計過程中應(yīng)遵循以下5項(xiàng)原則：（1）保密性：防止信息泄露給非授權(quán)用戶的特性。達(dá)到保密性可選擇VLAN的劃分，并能在VLAN之間進(jìn)行第三層交換時進(jìn)行有效的安全控制，以保證系統(tǒng)的安全性；（2）完整性：防止信息在存儲或傳輸過程中被修改、破壞和丟失的特性。達(dá)到完整性采用VPN技術(shù)，用它的專用通道進(jìn)行通信保證了信息的完整性；（3）可用性：就是易于操作、維護(hù)，并便于自動化管理。達(dá)到可用性可以利用圖形化的管理界面和簡潔的操作方式，合理地網(wǎng)絡(luò)規(guī)劃策略，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使日常的維護(hù)和操作變得直觀，便捷和高效；（4）可控性：就是對信息的傳播及內(nèi)容具有控制能力。達(dá)到可控性對于網(wǎng)絡(luò)管理來說，要求采用智能化網(wǎng)絡(luò)管理軟件，并支持虛擬網(wǎng)絡(luò)功能，對網(wǎng)絡(luò)用戶具有分類控制功能，從而來實(shí)現(xiàn)對網(wǎng)絡(luò)的自動監(jiān)測和控制；（5）擴(kuò)展性：就是便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展。達(dá)到擴(kuò)展性對選擇的網(wǎng)絡(luò)設(shè)備最好是模塊化的，便于網(wǎng)絡(luò)的擴(kuò)大和更改，其中核心交換機(jī)應(yīng)具有多種模塊類型，以滿足各種網(wǎng)絡(luò)類型的接入，所選擇的設(shè)備都應(yīng)具有良好的軟件再升級能力。。3.功能模塊及設(shè)備需求分析1）主要功能模塊（1）交換機(jī)安全模塊主要實(shí)現(xiàn)的功能：IP與MAC的綁定、VLAN的劃分、端口的安全和訪問控制列表（ACL）；（2）防火墻模塊：包過濾、地址轉(zhuǎn)換（NAT）；（3）VPN模塊：建立專用通道IPSECVPN和SSLVPN；（4）DMZ區(qū)域模塊：IDS與防火墻的聯(lián)動。2）設(shè)備需求方案主要設(shè)備如表11-3所示。（1）三層交換機(jī)的主要功能包括：高背板帶寬為所有的端口提供非阻塞性能、靈活完備的安全控制策略、強(qiáng)大的多應(yīng)用支持能力和完善的QoS策略等。（2）防火墻的主要功能包括：擴(kuò)展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。（3）入侵檢測系統(tǒng)主要功能包括：能夠阻止來自外部或內(nèi)部的蠕蟲、病毒和攻擊帶來的安全威脅，確保企業(yè)信息資產(chǎn)的安全，能夠檢測各種IM即時通訊軟件、P2P下載等網(wǎng)絡(luò)資源濫用行為，保證重要業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，能夠高效、全面的事件統(tǒng)計分析；能迅速定位網(wǎng)絡(luò)故障，提高網(wǎng)絡(luò)穩(wěn)定運(yùn)行時間。（4）VPN的主要功能包括：嚴(yán)格的身份認(rèn)證、權(quán)限管理、細(xì)粒度控制、傳輸加密和終端安全檢查等機(jī)制保障移動用戶SSL安全接入可實(shí)現(xiàn)用戶身份和PC硬件信息的對應(yīng)；通過人機(jī)捆綁可以為遠(yuǎn)程用戶分配內(nèi)部IP地址；真正實(shí)現(xiàn)遠(yuǎn)程局域網(wǎng)可以為遠(yuǎn)程移動用戶分配內(nèi)部服務(wù)器地址；真正實(shí)現(xiàn)移動辦公通過證書管理器為用戶生成證書、私鑰，可通過郵件通知用戶自己到證書管理器上下載軟件安裝包和配置文件，用戶只需在本地安裝就可實(shí)現(xiàn)快速部署。

校園網(wǎng)安全模塊詳細(xì)設(shè)計1.交換模塊安全設(shè)計與實(shí)施為了更加安全，減小廣播風(fēng)暴，VLAN技術(shù)在網(wǎng)絡(luò)中得到大量應(yīng)用，但同時網(wǎng)絡(luò)訪問站點(diǎn)也不斷增加，而路由器的接口數(shù)目有限，二層交換機(jī)又不具備路由功能?；谶@種情況，三層交換機(jī)便應(yīng)運(yùn)而生，三層交換機(jī)彌補(bǔ)了路由器和二層交換機(jī)在某些方面的不足，它可以通過VLAN劃分、配置ACL、IP地址與MAC地址的綁定以及arp-check防護(hù)等功能來提升網(wǎng)絡(luò)中數(shù)據(jù)的安全性，如圖11-2所示。（1）VLAN劃分方案VLAN劃分的方案圖如圖11-3所示，說明如下：（1）高校的學(xué)生通過網(wǎng)絡(luò)交換的信息量日益增大，特別是一個班的同學(xué)，但住在一個寢室的同學(xué)不一定就是一個班的，所以將一個班的同學(xué)劃為同一個VLAN便于信息的傳遞。一個班同學(xué)的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN；（2）每個老師的計算機(jī)里可能有一些重要的科研資料，從安全性考慮，不能將所有老師的寢室劃為同一個網(wǎng)，即將每個老師的寢室劃為一個VLAN，并且學(xué)生宿舍和教師宿舍不能互相訪問；（3）將教學(xué)樓的所有教室劃為一個VLAN；（4）為了方便同學(xué)和老師做一些教學(xué)實(shí)驗(yàn)，實(shí)驗(yàn)室會進(jìn)行一些專項(xiàng)課題研究，將一個實(shí)驗(yàn)室劃分在同一個VLAN的做法安全性更高。因此，可以將實(shí)驗(yàn)樓劃為一個大VLAN，再將每個實(shí)驗(yàn)室劃為一個小VLAN；（5）為了方便每個部門管理，可以根據(jù)每個的不同性質(zhì)，將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN；（6）劃分方法采用基于端口的劃分。高校學(xué)生的流動性大（如新生的入學(xué)，畢業(yè)生離校等）會導(dǎo)致的學(xué)生的人數(shù)和班級的變動?；诙丝诘膭澐?，相對來說容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。2）訪問控制列表ACL（AccessControlList）是一項(xiàng)在路由器和三層交換機(jī)上實(shí)現(xiàn)的包過濾技術(shù)，通過讀取第三和第四層的包頭部信息（如源地址、目的地址、源端口、目的端口等），并根據(jù)預(yù)先定義好的規(guī)則來對數(shù)據(jù)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。本方案中，主要在S3760三層交換機(jī)上配置ACL規(guī)則，可以限制各個VLAN之間的訪問，如，阻止教學(xué)樓1臺IP地址為的源主機(jī)通過fa0/1，放行其他的通訊流量通過端口，并阻止主機(jī)執(zhí)行Telnet命令。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#access-list1denyS3760(config)#access-list1permitanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group1inS3760(config)#access-list100denytcpanyeq23S3760(config)#access-list100permitipanyanyS3760(config)#interfacefa0/1S3760(config-if)#ipaccess-group100in3）IP與MAC地址綁定目前在使用靜態(tài)IP地址的局域網(wǎng)管理中經(jīng)常碰到IP地址被盜用或者用戶自行修改地址導(dǎo)致IP地址管理混亂，而且ARP病毒和利用ARP協(xié)議進(jìn)行欺騙的網(wǎng)絡(luò)問題也日漸嚴(yán)重，在防范過程中除了通過VLAN的劃分來抑制問題的擴(kuò)散之外，還需要將IP地址與MAC地址進(jìn)行綁定來配合達(dá)到更有效的防范。在其核心交換機(jī)RG-S3760用address-bind命令手動進(jìn)行一些特殊IP與MAC地址的綁定使其對應(yīng)的主機(jī)不能隨便地更改IP地址或者M(jìn)AC地址，另外在網(wǎng)絡(luò)中設(shè)一臺DHCP服務(wù)器，所有主機(jī)都通過DHCP自動獲得IP地址，在這個過程中，RG-S3760開啟DHCPsnooping功能以及ARP-check防護(hù)功能，交換機(jī)會自動偵聽DHCP分配地址的過程，將其中有用的IP+MAC地址信息記錄下來，自動綁定到相應(yīng)的端口上，減少大量的手工配置。例如在S3760上的fa0/1端口上開啟DHCPsnooping功能、ARP-check防護(hù)功能、端口安全功能以及動態(tài)地綁定命令如下。S3760#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.S3760(config)#ipdhcpsnoopingS3760(config)#interfacefa0/1S3760(config-if)#switchportport-securityarp-checkS3760(config-if)#switchportport-securityS3760(config-if)#ipdhcpsnoopingaddress-bindS3760(config-if)#exitS3760(config)#exit

2.VPN模塊安全設(shè)計與實(shí)施校園網(wǎng)VPN可以通過公眾IP網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道，將遠(yuǎn)程或分校的分支辦公室、合作伙伴、移動辦公人員等連接起來，減輕校園網(wǎng)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān)，節(jié)省電話費(fèi)用開支，不過對于端到端的安全數(shù)據(jù)通訊，還需要根據(jù)實(shí)際情況采取不同的架構(gòu)。IPSecVPN和SSLVPN是目前校園網(wǎng)VPN方案采用最為廣泛的安全技術(shù)，但它們之間有很大的區(qū)別，從VPN技術(shù)架構(gòu)來看，IPSecVPN是比較理想的校園網(wǎng)接入方案，由于它工作在網(wǎng)絡(luò)層，可以對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，可以實(shí)現(xiàn)Internet多專用網(wǎng)安全連接，而不管是哪類網(wǎng)絡(luò)應(yīng)用。IPSecVPN還要求在遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了網(wǎng)絡(luò)的安全級別。本方案采用IPSecVPN。由于IPSecVPN在IP層提供訪問控制、無連接的完整性、數(shù)據(jù)來源驗(yàn)證、防重放保護(hù)、加密以及數(shù)據(jù)流分類加密等服務(wù)。通過對IPSecVPN的配置和VPN冗余配置，來實(shí)現(xiàn)遠(yuǎn)程用戶的接入，提高網(wǎng)絡(luò)的負(fù)載均衡并有效的提高了網(wǎng)絡(luò)安全性。VPN模塊的詳細(xì)拓?fù)浣Y(jié)構(gòu)如圖11-4所示。建立膨安全米的IP通信虛隧道辣，是貨建立宣虛擬獻(xiàn)專用息網(wǎng)的互關(guān)鍵怒。本仆方案您中采漁用銳挑捷VP掀N進(jìn)行憤配置育。在VP級N配置景界面穴中，副選擇撫網(wǎng)關(guān)循的目球錄樹覽上的IP梳Se柔c幻玉VP旦N，如悉圖11伐-5所示碑。接末著開斑始對VP混N進(jìn)行諒具體痰配置膠：1）遠(yuǎn)扔程用緩戶接艘入配砌置遠(yuǎn)程載用戶帶接入蒼方式陡多種垮多樣半，比置如通倆過無休線接這入、AD狂SL拔號趣接入淚和專癥線接憤入等歇等，鳥當(dāng)需翁要配婆置遠(yuǎn)叫程移摩動用眠戶接濤入，鈴那么峽在上剛圖中蘇雙擊暫遠(yuǎn)程闊用戶悲管理梳，打善開遠(yuǎn)途程用繁戶管歷理界塔面進(jìn)統(tǒng)行配鏡置，合如圖11威-6所示宇。（1）配默置允眨許客良戶端壓訪問驢的子明網(wǎng)。道在遠(yuǎn)霜程用殲戶管證理界嫁面下御打開哭“允溜許訪蓄問子錦網(wǎng)”開進(jìn)行卷配置賤，如旋如圖11摘-7所示閑，可結(jié)以通尚過添毒加按寒鈕來提添加暑用戶勝接入寺后可誕以訪昆問的俗內(nèi)網(wǎng)滋的子剖網(wǎng)數(shù)纏目。（2）配罩置內(nèi)啟部DN撓S服務(wù)啟器。鉗在遠(yuǎn)織程用悄戶管勇理界踐面下摘打開芝“內(nèi)格部DN楚S服務(wù)快器”惹進(jìn)行薯配置箭，如揚(yáng)圖11末-8所示唇，可殿以通占過添醉加按于鈕來栽添加艱內(nèi)部DN竭S服務(wù)挺器即舟校園荷內(nèi)網(wǎng)DN肌S服務(wù)閃器的IP地址坡，這趟樣當(dāng)慚隧道敬建立亞起來皂之后也，RG寺-S切RA軟件灶自動跳將客倉戶端勇主機(jī)態(tài)的DN豆S設(shè)置腰為內(nèi)偵部DN緒S。（3）配陷置內(nèi)侍部WI粒NS服務(wù)訴器。煮內(nèi)部WI惰NS服務(wù)完器和碰內(nèi)部DN寧S服務(wù)干器配侍置相嶼似，詠使用吃校園寒內(nèi)網(wǎng)WI魚NS服務(wù)分器的IP地址兆配置增后客澆戶機(jī)薦可以齒用機(jī)惹器名叢來訪絞問在覽服務(wù)憑器上環(huán)注冊宰了的閉機(jī)器裕，沒在有時蠻也可閉以不師進(jìn)行寫配置浸。（4）配陣置虛IP地址服池。尖內(nèi)部秧地址法池允瞇許網(wǎng)茫絡(luò)管資理員鞭輸入騾一個薄或者宇幾個IP地址渾范圍匪，這陶些地?fù)渲穼⑼陀糜谧矊h(yuǎn)擊程用則戶分蹲配虛樸擬IP地址斷，打洪開虛卡地址恭池的蕩配置刷窗口希選擇豬添加皆下列延子網(wǎng)刊地址澆或連摸續(xù)地乘址，篇進(jìn)行蓮內(nèi)部渡地址單池的盼添加絲式，如彩圖11倡-9所示秩。（5）配罩置用侍戶特貧征碼旅表。周如果廈需要符對用懇戶的遵登錄植機(jī)器約進(jìn)行伐限制浸，可化以對坊用戶媽機(jī)器稀特征短進(jìn)行績綁定洲，用池戶機(jī)窗器的芬特征澇（每嫌個客伍戶端梁軟件店都可遵以顯其示本美機(jī)的深特征碎碼）道可以減由管賞理員然手工萄導(dǎo)入查，也僚可以和由客沫戶端岡首次陣上線葉的時友候自潔動報伏告。（6）用薦戶認(rèn)敲證配叫置。RG血-S朽RA選擇愿網(wǎng)關(guān)粗本地鵝認(rèn)證資，要批為RG邊-S借RA用戶桶設(shè)置枝認(rèn)證腹用戶腫名和五口令鏈。在傲窗口馬左側(cè)拒菜單移區(qū)中堆用鼠躍標(biāo)點(diǎn)鞏擊“挑用戶符認(rèn)證融”－借“本取地用脹戶數(shù)豈據(jù)庫連”，妻此時擊在窗劍口右須側(cè)操山作區(qū)面顯示播本地伴用戶陰列表貞，點(diǎn)跨擊工敘具欄川的“嫩添加遣用戶時”按雷鈕，乳進(jìn)行覽添加益用戶跡操作偏，如貧圖11購-1亞0所示。2）網(wǎng)椒關(guān)之冤間的嫌隧道網(wǎng)關(guān)傾到網(wǎng)快關(guān)的床應(yīng)用難模式獸主要虹包括灣以太哨網(wǎng)、AD琴SL撥號錦等網(wǎng)鵝絡(luò)環(huán)償境，采在這蓄種環(huán)樓境下VP蛾N設(shè)備痰需要盾設(shè)置魄路由填信息氧才能區(qū)連接風(fēng)上網(wǎng)監(jiān)。內(nèi)首部子衡網(wǎng)的償主機(jī)憶把默尿認(rèn)網(wǎng)海關(guān)設(shè)馬置為VP固N(yùn)設(shè)備株的內(nèi)劈燕口，斬下面繁是兩嘉個網(wǎng)興關(guān)之墓間的停隧道軋配置毀。（1）網(wǎng)護(hù)關(guān)A的配脆置。始添加嗽設(shè)備令后在牢“對兩方設(shè)稻備名核稱”似文本夫框中奸，為件網(wǎng)關(guān)B設(shè)置茂一個鵲唯一松名稱咽，如vp姑nb。在風(fēng)“本反地設(shè)牙備接獅口”途列表伏框中擺選擇基與網(wǎng)價關(guān)B的連另接的槐端口孩，如et放h0。在尿本地淘設(shè)備痛身份臺中選響擇“副作為肯客戶眨端”爆單選喊按鈕編，并曾在“惑對方紅設(shè)備朵地址溪”中啊填寫診網(wǎng)關(guān)B的IP地址碧。在亮認(rèn)證愚方式蘆中，董選擇基“預(yù)墻共享糖密鑰活”單辟選按震鈕，蠶然后葉在“膊密鑰聯(lián)”文槳本框摔中輸盜入共堪享密雜鑰，塊如“12譯34計56?！?，雙義方必狡須相私同，羊如圖11頸-1賓1所示梳。添達(dá)加遂陵道后栽在“踐隧道呢名稱陳”為迎該隧您道設(shè)怎置一毅個唯皆一名此稱，耗如Ta角-b。“察對方胳設(shè)備月名稱司”選羽剛才右為B設(shè)置階的設(shè)丙備名缸：“vp涼nb填”，“械本地指子網(wǎng)鈔”如19依2.向16懂8.駝1.邀0/俯25迷5.巨25慘5.輪25拐5.耐0，“提對方闊子網(wǎng)高”如17延2.徹18部.4筋8.貨0/辯25份5.藏25倉5.耐25槐5.落0，如拉圖11淘-1寺2所示欠，“鑄通信脾策略免”根惕據(jù)需員要配設(shè)置，腔算法念必須盲與B相同侵，配蜻置如掙圖11譽(yù)-1雕3所示骨。2）網(wǎng)策關(guān)B的配尋置。鏈與網(wǎng)遷關(guān)A的配歉置相布似，蹈只需珠要把唇上述蔬配置撈中的待對方蹦相應(yīng)盲改成仍網(wǎng)關(guān)A的信加息，蒜如添患加設(shè)噸備時助設(shè)備暖名稱碗叫vp筍na，密高鑰相券同。汽在添紹加遂芬道時工，本恩地子頂網(wǎng)和魚對方拿子網(wǎng)檢互換歡，其尾余保拔持不洗變。3）VP受N冗余貫配置VP卻N冗余左的目止的是味為了供提高玻系統(tǒng)睬的可月靠性之，本冊方案呀通過RG菠-W然AL旱L帳V1衛(wèi)60頌S中的VR幅RP來實(shí)艙現(xiàn)VP鍋N之間鑒的冗忍余，折詳細(xì)慰拓?fù)浣俳Y(jié)構(gòu)倒設(shè)計反如圖11覺-1瓶4所示錫。（1）VP誘N的備帝份配勺置。除在安仔全網(wǎng)拼關(guān)界性面目愿錄樹仙上，屯點(diǎn)擊之“VR玩RP設(shè)置亮”即競可進(jìn)綱入VR啄RP設(shè)置居界面墊，如余圖11河-1寇5所示凈。首先蟲在“翼網(wǎng)絡(luò)騰接口嫁”中意把安估全網(wǎng)仔關(guān)A的et崇h1接口IP配置爛為：19眾2.脫16斗8.主1.謙50，然測后選昆擇“VR吸RP設(shè)置|添加開虛擬役路由伯器”涂，把娃網(wǎng)頂絡(luò)接夾口選趁擇為et的h1；組圈號配皮置為仆：1；虛咳擬IP配置碑為：19蠶2.稍16羨8.經(jīng)1.脈77；主狀機(jī)優(yōu)略先級曾填為球：20金0；默蓮認(rèn)使消用搶信占模蔽式、賊認(rèn)證妥方式密和密絹碼可下以根捧據(jù)實(shí)它際情贏況選弦擇和墓填寫把；通陸告時耐間間厲隔默喘認(rèn)選帽擇為伐：1秒；拋監(jiān)控墳選項(xiàng)組選et蜜h0；優(yōu)用先級說衰減籍量量沿設(shè)為15燃0；如迫圖11減-1般6所示襯。接著廁再在犁“網(wǎng)顛絡(luò)接努口”功中把栗安全繭網(wǎng)關(guān)B的et等h1接口IP置為娛：19妙2.羞16效8.援1.里51，然黎后選野擇“VR尼RP設(shè)置|添加橋虛擬獄路由煌器”沈，把環(huán)網(wǎng)絡(luò)單接口法選擇et群h1；組紐奉號配幟置為你：1；虛紅擬IP配置茶為：19僅2.霞16品8.外1.導(dǎo)77；主僻機(jī)優(yōu)統(tǒng)先級老填為峽：10倚0；默剃認(rèn)使盤用搶左占模跪式、艷認(rèn)證吼方式員和密歷碼和堡安全游網(wǎng)關(guān)A配置彈相同社；通再告時釀間間傲隔和呈安全適網(wǎng)關(guān)A配置叉相同與都為?。?秒；盒監(jiān)控臥選項(xiàng)吉選et晃h0；優(yōu)濾先級稀衰減捕量量疲設(shè)為45；如昌圖11和-1后7所示儉。4）負(fù)慕載均歪衡的舞配置用相笨同的腔方法朱在網(wǎng)煌關(guān)A上添啟加第腹二組游虛擬雹路由賄，網(wǎng)廉絡(luò)接欲口選植擇et烘h1；組擁號配仔置為刮：2；虛辨擬IP配置擠為：19導(dǎo)2.鑒16膊8.肯1.丈88；主鏡機(jī)優(yōu)裳先級松填為淋：10圣0；默明認(rèn)使欠用搶面占模劈燕式；茅默認(rèn)滋啟用首虛擬MA辱C地址治；認(rèn)銹證方娘式和虎密碼善可以厭根據(jù)臘實(shí)際雅情況蒙選擇算和填柿寫；圖通告波時間友間隔奮默認(rèn)泥選擇桑為：1秒。宿網(wǎng)關(guān)B上添緊加第冰二組股虛擬棗路由氣，網(wǎng)挽絡(luò)接鳥口選覆擇et極h1；組允號配兼置為邁：2；虛丸擬IP配置細(xì)為：19峰2.封16蛇8.陜1.決88；主咐機(jī)優(yōu)兆先級覺填為斧：20醋0；默望認(rèn)使陸用搶賞占模補(bǔ)式；矛默認(rèn)益啟用劃虛擬MA呢C地址況；認(rèn)廢證方嫂式和既密碼勤安全侍網(wǎng)關(guān)A中組識號2配置季相同粒；通系告時概間間扒隔默猴認(rèn)選允擇為嘗：1秒。3.防火稠墻模子塊安墊全設(shè)動計與丟實(shí)施本方蜜案采朗用RG勻-W膨AL屆L妹16阿0M進(jìn)行途防火乳墻的打策略鳳配置鴉。首礎(chǔ)先，震對防酬火墻紅進(jìn)行否管理煉與初巨始化逗配置拼，然宗后再旺按照暮本方防案的踢要求峽進(jìn)行玻防火傾墻的仗基本災(zāi)配置李，如引防火沉墻接恢口IP地址趨配置蹦、路追由配超置以酒及安豬全規(guī)忍則等鹿設(shè)置服。本校哈園網(wǎng)榜安全堵方案惱中，旗學(xué)校學(xué)出口碗有2條10宴0M鏈路啄，分棵別是磚教育賤網(wǎng)和燭電信男網(wǎng)，解客戶老內(nèi)網(wǎng)為是教兩育網(wǎng)竿公網(wǎng)鏟地址貍，要筐求訪兔問教拌育網(wǎng)踏的資娛源走法教育勾網(wǎng)，節(jié)訪問莊其他濱的資順源走撿電信護(hù)網(wǎng)，米并且DM駕Z服務(wù)抹器分艇別映臂射到求教育亦網(wǎng)和倉網(wǎng)通IP地址允。具體幫的配智置過訪程如倍下：（1）防倉火墻IP地址柿配置趕，如醋圖10偽-1懼8所示目。（2）路刊由配卻置：胖配置滴去往睛教育梳網(wǎng)的紹路由域，下津一跳華為教姿育網(wǎng)桂，再匹配置見默認(rèn)服路由巡壽，下雷一跳煉為電盈信網(wǎng)折，如趕圖10行-1霞9，圖10腸-2濟(jì)0所示肯。并悉配置眾防火括墻內(nèi)批網(wǎng)接柜口啟狐用源述路由宗功能吉，如召圖10府-2運(yùn)1所示元。圖10財-1論8甚IP地址慌配置圖10約-2效1配置爆啟用抗源路虧由功僻能登圖10醒-2蒙2安全叼規(guī)則（3）安隱全規(guī)驗(yàn)則的應(yīng)配置躁：安序全規(guī)耍則配錦置是項(xiàng)防火墊墻配敞置的芳重點(diǎn)射，具饑體配置置如耽圖10套-2繪2所示勉，其嫩中：內(nèi)網(wǎng)浮服務(wù)穴器映畏射成家教育蓋網(wǎng)IP地址寄，允圣許任撤意源鹿地址爹訪問雷，同釣時，筑設(shè)置提源路柏由讓睡此服罪務(wù)器噴的數(shù)乒據(jù)流謹(jǐn)從教歸育網(wǎng)霞出去繡；內(nèi)網(wǎng)鄙服務(wù)蛋器映羨射成糧電信楊網(wǎng)IP地址遺，允做許任黎意源顯地址制訪問裳，同困時，閱設(shè)置殃源路侍由讓況此服惱務(wù)器禿的數(shù)砍據(jù)流赴從電想信線柏路出哈去；內(nèi)網(wǎng)橋訪問麥教育敏網(wǎng)資糖源的尖數(shù)據(jù)揚(yáng)流，很做包炭過濾亂規(guī)則欣允許腥通過靠；內(nèi)網(wǎng)夠訪問贈其他鑒資源私的數(shù)構(gòu)據(jù)流簽，做NA封T規(guī)則彈轉(zhuǎn)換梢成網(wǎng)占通的藝地址院通過淘。4.ID帝S入侵師檢測咬系統(tǒng)歪設(shè)計墨與實(shí)挖施入侵罷檢測適系統(tǒng)稈可以裙檢測例校園迷網(wǎng)的罷入侵鐮行為犁并將忙這些解信息進(jìn)通知那給管橫理員釀或相雹關(guān)安武全設(shè)榴備（示如防婚火墻話）來在進(jìn)行菌防御歲。RG救-I臂DS依賴筑于一曉個或盜多個彈傳感查器來寧監(jiān)測摘網(wǎng)絡(luò)晌數(shù)據(jù)冬流。娛這些就傳感胳器代榨表著RG詳-I麥DS的眼辨睛。飄因此室，傳視感器紀(jì)在某赤些重敬要位獅置的格部署策對于RG泡-I弦DS能否妹發(fā)揮附作用籍至關(guān)啊重要批。本方隱案的ID輩S模塊套的拓享撲結(jié)極構(gòu)如狀圖10駐-2手3所示噴。傳感嶺器利貪用策鞭略來應(yīng)控制捏其所瓜監(jiān)測竊的內(nèi)攀容，頌并對聰監(jiān)測但到的香事件拖做出脅響應(yīng)敗。設(shè)謀置步陡驟如部下：（1）單斥擊主系界面享上的嘩“策譯略”妙按鈕魂，切鍵換到墓策略糊編輯姜器界鄉(xiāng)豐面，獄如圖10伶-2露4所示劈燕，單房誠擊工隙具欄頑上的義“編弊輯鎖雜定”北按鈕章，如集圖10近-2鄉(xiāng)豐5所示效。圖10厲-2攏4策略情設(shè)置圖10券-2縱5編輯豎鎖定再單出擊工霞具欄晚上的下“派因生策目略”博按鈕慕在彈當(dāng)出的杜窗口質(zhì)中輸區(qū)入新汪策略濤的名未稱，甚如圖10測-2塵6所示積，單雖擊“堤確定經(jīng)”按詞鈕。（2）策為略編測輯：櫻單擊皺自定努義策踏略，怖單擊種“編辟輯鎖株定”膊以確販保其公他人旁不能性同時財更改倦策略既，然泰后根澤據(jù)需考求來忽設(shè)置怒策略掠，如軍下圖10宰-2邀7所示林。（3）策寇略應(yīng)煙用。鬼選擇俯需要訴下發(fā)吼的策翠略，謹(jǐn)單擊勻“應(yīng)粉用策販略”站按鈕叔，如奮下圖10霉-2獲8所示11國.1則.5項(xiàng)目綢總結(jié)本方止案根栽據(jù)網(wǎng)頑絡(luò)安蘋全系碧統(tǒng)設(shè)泥計的畝總體衫規(guī)劃,從網(wǎng)頑絡(luò)安椅全、民主機(jī)邊安全普、應(yīng)擁用安演全、緞數(shù)據(jù)白安全惠四個橋方面惹安全馳和管匙理措夜施設(shè)啞計出崇一整鼓套解駁決方戒案，泛目的嗓是要罪建立偽一個役完整英的、外立體旦的、鎖多層駱次的破網(wǎng)絡(luò)喇安全甘防御宮體系遍。方秋案中勁，我全們主累要采有用了句星網(wǎng)側(cè)銳捷糟公司郵的安如全產(chǎn)批品來乏對校大園網(wǎng)杏進(jìn)行縫安全隆設(shè)計鞏，如RG傘-S噴37岔60壁E-噴24、RG跪-W真AL練L1桐60險M、RG期-I墳DS湯50癢0S、RG細(xì)-W郵AL青L妄V1促60繁S，這涌些產(chǎn)夜品在檢功能何上完配全能淹夠滿銜足本貿(mào)方案促的需抖求，喚并實(shí)繭現(xiàn)了從安全丈、VP亭N安全礎(chǔ)、防調(diào)火墻于安全越、ID傭S與防珠火墻要聯(lián)動該的安嘗全設(shè)第置等攔內(nèi)容肯，同煉時，致還對脈方案抵進(jìn)行戒了測頭試驗(yàn)煮證，仗并得舞到了售較好細(xì)的實(shí)末驗(yàn)效駁果。本方醒案在赤設(shè)計替上還水具有搬局限噴性，個今后泳的改繼進(jìn)目跌標(biāo)主襲要有蝦以下獅幾個墻方面場：（1）設(shè)管計更假復(fù)雜鹽的測豬試環(huán)肯境，貓來檢裳查方嫁案中溜存在諷的缺這陷；歡（2）改辟進(jìn)本豆方案討的拓研撲結(jié)牙構(gòu)，地使之暴能夠復(fù)適應(yīng)愛更大舌規(guī)模練的網(wǎng)拆絡(luò)需測求；凱（3）采果用更尺先進(jìn)專的技煌術(shù)，肆將其靜融入恨到本震方案測中，舞從而肥達(dá)到愿更好座的安奏全防藍(lán)御效皮果。任務(wù)11劑.2企業(yè)控網(wǎng)絡(luò)架安全鈴方案僑設(shè)計11蛇.2微.1企業(yè)匠網(wǎng)絡(luò)階安全堪需求伐分析1.企業(yè)艱網(wǎng)絡(luò)派業(yè)務(wù)羞安全惰需求（1）控婆制網(wǎng)姻絡(luò)不改同部付門之百間的炊互相衣訪問趨；（2）對勒不斷婆變更送的用滅戶進(jìn)統(tǒng)行有餡效的災(zāi)管理調(diào)；（3）防拔止網(wǎng)淹絡(luò)廣部播風(fēng)脖暴影父響系戴統(tǒng)關(guān)獨(dú)鍵業(yè)和務(wù)的出正常坐運(yùn)轉(zhuǎn)革，甚殊至導(dǎo)橋致系棕統(tǒng)的控崩潰丘；（4）加宏強(qiáng)遠(yuǎn)須程撥怕號用迷戶的疏安全棉認(rèn)證乓管理脆；（5）實(shí)坐現(xiàn)企伶業(yè)局門域網(wǎng)艦與其伸他各扣網(wǎng)絡(luò)鏈之間祝的安彼全、要高速寨數(shù)據(jù)田訪問究交換歪；（6）建簡立局狀域網(wǎng)徑的立鴨體殺房誠毒系顛統(tǒng)；（7）建田立WW或W服務(wù)犧器，別實(shí)現(xiàn)徑企業(yè)恐在In陰te偵rn尺et和In地tr找an踢et上的掛信息蟻發(fā)布耐，使旅公司叫內(nèi)外至的人扇員能夜夠及膝時了綠解公疼司的扭最新神信息仁；（8）建疾立郵估件服瘦務(wù)器誓，實(shí)神現(xiàn)企叉業(yè)工郊作人采員與越上級戲機(jī)構(gòu)腳、分著支機(jī)紀(jì)構(gòu)之焰間的伐電子糟信息貧的傳里遞；（9）構(gòu)廊建起地企業(yè)牧運(yùn)行綿基于蒙網(wǎng)絡(luò)禁設(shè)計恢的Cl博ie享nt染/S犁er口ve份r(客戶頭機(jī)/服務(wù)去器)或Br軟ow半se滿r/杜Se椒rv定er稍(瀏覽醉器/服務(wù)夕器)結(jié)構(gòu)塵的辦乏公自洋動化爹系統(tǒng)擋、各罷種信尺息管納理系窩統(tǒng)的微網(wǎng)絡(luò)宋硬件漁平臺吧和系蛛統(tǒng)運(yùn)改行平順臺。2.存在卸的安伶全威自脅1）外層部威咱脅企業(yè)遍網(wǎng)絡(luò)菜的外難部安套全威質(zhì)脅主抹要來妹源于骨以下碑幾個謀方面殘：（1）病畫毒侵終襲；（2）黑糕客入蒼侵；（3）垃上圾郵鉛件；（4）無球線網(wǎng)沫絡(luò)、秧移動闊手機(jī)淹帶來承的安際全威疑脅。2）內(nèi)尊部威例脅企業(yè)塘網(wǎng)絡(luò)關(guān)的內(nèi)青部安泄全威希脅主療要來病源于氏以下偷幾個抽方面廢：（1）用益戶的遼操作方失誤脆帶來斜的安婦全問乘題；（2）某間些用保戶故騾意的臥破壞孝，如邀被解毒雇或科工作獲變動劍的職陰員因獲對公磨司的何不滿和而對跪企業(yè)施網(wǎng)絡(luò)斧進(jìn)行躍破壞商或盜蓮取公肉司的軌機(jī)密喇信息弓；（3）用圍戶的夫無知左引起有的安澡全問語題。3）網(wǎng)犬絡(luò)設(shè)錢備的白安全梨隱患網(wǎng)絡(luò)鴉設(shè)備塔是網(wǎng)兩絡(luò)系萌統(tǒng)的柏主要顏組成甘部分狹，是秤網(wǎng)絡(luò)啦運(yùn)行倚的核齒心。咽網(wǎng)絡(luò)環(huán)運(yùn)行縮慧狀況扭根本責(zé)上是度由網(wǎng)窮絡(luò)設(shè)惠備的該運(yùn)行扔性能炊和運(yùn)仿行狀絨態(tài)決京定的筑，因滾此，畏網(wǎng)絡(luò)去設(shè)備柄穩(wěn)定負(fù)可靠夸的運(yùn)恰行對時整個忠網(wǎng)絡(luò)陷系統(tǒng)贊的正趕常工效作起元著關(guān)馳鍵性工作用甚。特攔別是要對于灣可以磨通過希遠(yuǎn)程田連接TE朵LN娛ET、網(wǎng)逃管、WE退B等方后式進(jìn)殿行配反置管鐵理的敢網(wǎng)絡(luò)蹤蝶設(shè)備攜（如宰路由鼻器、踢防火墓墻等服）容優(yōu)易受英到入僻侵的邁攻擊膽，主橋要的釣安全程隱患于表現(xiàn)創(chuàng)在以其下幾炮個方是面：（1）人兆為因辱素；（2）網(wǎng)辱絡(luò)設(shè)能備運(yùn)產(chǎn)行的衛(wèi)操作槐系統(tǒng)達(dá)存在輛漏洞膽；（3）網(wǎng)利絡(luò)設(shè)嫁備提倒供不啟必要拳的服憶務(wù)；（4）網(wǎng)鴉絡(luò)設(shè)賺備沒驚有安艇全存校放，姓易受糠臨近匪攻擊越。3.企業(yè)懶網(wǎng)絡(luò)去安全芳建設(shè)戒的原何則1）系座統(tǒng)性舅原則企業(yè)支網(wǎng)絡(luò)切系統(tǒng)乘整個渡安全吳系統(tǒng)寧的建烈設(shè)要蠟有系祝統(tǒng)性篩和適丘應(yīng)性封，不幣因網(wǎng)爛絡(luò)和返應(yīng)用藝技術(shù)總的發(fā)沫展、炊信息瓣系統(tǒng)武攻防起技術(shù)侍的深飽化和蹦演變淡、系垃統(tǒng)升底級和小配置抗的變格化，悟而導(dǎo)圍致在哈系統(tǒng)旱的整急個生脈命期疲內(nèi)的會安全趴保護(hù)思能力糟和抗白御風(fēng)石險的票能力重降低麻。2）技欄術(shù)先怎進(jìn)性默原則企業(yè)須網(wǎng)絡(luò)濫系統(tǒng)芽整個叢安全班系統(tǒng)村的設(shè)兩計采針用先移進(jìn)的柄安全陜體系陰進(jìn)行惰結(jié)構(gòu)悶性設(shè)全計，抱選用扣先進(jìn)雀、成程熟的智安全亦技術(shù)短和設(shè)卸備，琴實(shí)施草中采軍用先捐進(jìn)可贏靠的驕工藝案和技軌術(shù)，造提高迫系統(tǒng)閑運(yùn)行輸?shù)目筛瓤啃詳偤头€(wěn)么定性兵。3）管和理可錫控性節(jié)原則系統(tǒng)緒的所逆有安握全設(shè)吊備（道管理噴、維臥護(hù)和裝配置蠟）都受應(yīng)自拍主可和控；羊系統(tǒng)欠安全絨設(shè)備糟的采醫(yī)購必粱須有節(jié)嚴(yán)格率的手耗續(xù)；弓安全缺設(shè)備廟必須刺有相翼應(yīng)機(jī)往構(gòu)的邀認(rèn)證厘或許驅(qū)可標(biāo)正記；遞安全毯設(shè)備恭供應(yīng)下商應(yīng)廊具備紫相應(yīng)車資質(zhì)逐并可鴨信。4）適問度安被全性基原則系統(tǒng)咬安全跨方案灘應(yīng)充違分考附慮保兵護(hù)對畝象的年價值蠢與保俘護(hù)成同本之劇間的錯平衡女性，廈在允千許的森風(fēng)險懶范圍絨內(nèi)盡溝量減斤少安街全服刺務(wù)的章規(guī)模筍和復(fù)抖雜性朝，使聰之具谷有可皆操作存性，哥避免等超出亂用戶頭所能金理解摧的范紀(jì)圍，酷變得復(fù)很難譽(yù)執(zhí)行彎或無黃法執(zhí)車行。5）技齡術(shù)與爆管理割相結(jié)濃合原熄則企業(yè)察網(wǎng)絡(luò)慘系統(tǒng)哄安全統(tǒng)建設(shè)叔是一熟個復(fù)蒼雜的今系統(tǒng)賠工程煤，它薪包括烘產(chǎn)品互、過唱程和丹人的地因素陡，因牲此它筑的安那全解蚊決方單案，元必須纏在考俱慮技米術(shù)解宿決方逝案的恒同時噴充分北考慮衡管理姐、法耽律、田法規(guī)鄉(xiāng)豐方面刻的制駐約和牲調(diào)控鹽作用患。單蔽靠技唱術(shù)或醋單靠驕管理熱都不爛可能帆真正擾解決易安全杠問題示，因垂此必幣須堅(jiān)變持技宣術(shù)和猜管理統(tǒng)相結(jié)翠合的行原則批。6）測叫評認(rèn)并證原墾則企業(yè)申網(wǎng)絡(luò)伸系統(tǒng)者作為關(guān)重要疫的政鍋務(wù)系經(jīng)統(tǒng)，政其系添統(tǒng)的咳安全脅方案殲和工頁程設(shè)姐計必勤須通售過國駛家有扯關(guān)部豪門的閣評審寫，采董用的辮安全蓬產(chǎn)品廉和保億密設(shè)雁備需夜經(jīng)過司國家坐主管仇理部蓄門的夸認(rèn)可流。7）系絡(luò)統(tǒng)可她伸縮占性原襪則企業(yè)日網(wǎng)絡(luò)同系統(tǒng)壩將隨番著網(wǎng)懸絡(luò)和鎖應(yīng)用咐技術(shù)英的發(fā)敏展而昌發(fā)生遲變化披，同崗時信價息安部全技盡術(shù)也序在發(fā)虹展，厭因此鄭安全揉系統(tǒng)誘的建陽設(shè)必鐘須考蘋慮系襪統(tǒng)可翠升級帝性和腫可伸潑縮性作。重橡要和粉關(guān)鍵缸的安余全設(shè)俗備不閃因網(wǎng)蔽絡(luò)變擺化或飼更換第而廢杯棄。11筒.2剃.2企業(yè)匯網(wǎng)總差體設(shè)侍計1.企業(yè)區(qū)網(wǎng)總對體設(shè)顧計拓償撲圖圖11恥-2圍9企業(yè)炭網(wǎng)絡(luò)課拓?fù)淠D企業(yè)酬網(wǎng)絡(luò)哲總體平拓?fù)浜平Y(jié)構(gòu)哄如圖11斃-2障9所示鄭，其漠部門冤的IP地址圾規(guī)劃掃如表11商-4所示戴。設(shè)拋備IP地址心規(guī)劃諸如表11街-5所示捐。部門IP網(wǎng)段VLANID重要部門服務(wù)器群/2415涉密部門/2412財務(wù)部/2414其他部門人事部/2420市場部/2421業(yè)務(wù)部/2422生產(chǎn)部/2423廣告部/2424采購部/2425設(shè)備端口IP地址VLANID防火墻GE14GE210GE306/交換機(jī)Fa0/11Fa0/22Fa0/33Fa0/44Fa0/55Fa0/66Fa0/77IDSMON3右VPNEHT18ETH015左VPNETH19ETH015表11雖-4部門IP地址蒜規(guī)劃何表表11怠-5設(shè)備IP地址岸規(guī)劃蒜分配上表2.功能火模塊而設(shè)計氧分析本方恩案主耐要實(shí)板現(xiàn)以哥下幾駝個功城能模倆塊：（1）防啊火墻物功能遼模塊怎，主宣要實(shí)跨現(xiàn)防盟火墻怠的部箭署、爹防火刺墻策費(fèi)略設(shè)動置、懼與ID宿S聯(lián)動塌等；（2）虛餃擬專朵用網(wǎng)枕功能倚模塊之，主盾要實(shí)圖現(xiàn)雙跨機(jī)熱妨備、嘉與防爸火墻裁雙重籠防護(hù)睛關(guān)鍵染服務(wù)鮮器群減、與ID筑S聯(lián)動投、PK筑I用戶形認(rèn)證央設(shè)置瀉、IP夠Se賊c杰VP射N和VP戀N虛擬球子網(wǎng)豈設(shè)置穿等；（3）入員侵檢撓測功慈能模省塊，湯實(shí)現(xiàn)護(hù)與防育火墻豬的聯(lián)干動；（4）三窄層交沙換機(jī)苦安全狐功能帽模塊軍，主騎要實(shí)痕現(xiàn)VL胡AN、IP與MA獻(xiàn)C綁定音、與ID樸S聯(lián)動寒等；（5）病井毒防引護(hù)功堤能模真塊等刺。11擠.2昨.3防火麻墻系北統(tǒng)設(shè)綱計1.防火煤墻的桐部署在防熟火墻聾的部鹽署方套式上匙，類腫似于食區(qū)域戲分割挽的三躁角方咱式，率是指男將網(wǎng)躬絡(luò)分獻(xiàn)為內(nèi)田部網(wǎng)鵲絡(luò)（毀軍事次化區(qū)寸域）還、外認(rèn)部網(wǎng)豈絡(luò)和DM怒Z區(qū)域諒。例捷如，絲式將We聰b服務(wù)癢器、耕郵件蜻服務(wù)凍器、DN撒S服務(wù)印器、南前臺蓮查詢多計算諷機(jī)等扎放置河在DM元Z區(qū)域像，而奧內(nèi)部索的文功件服社務(wù)器冬、數(shù)涌據(jù)庫稱服務(wù)僵器等這關(guān)鍵戴應(yīng)用情都放兄置在橋內(nèi)部著網(wǎng)絡(luò)車中，完從而掘使它屯們受競到良永好的羽保護(hù)揭，如的圖11搶-3沸0所示身。圖11憑-3抱0防火冊墻部住署企業(yè)級網(wǎng)絡(luò)塑擁有什自己克的FT落P、We枯b和Ma母il等服艙務(wù)器詠，并歐對In概te婆rn午et及內(nèi)電部用鑰戶提宴供相年應(yīng)的衣服務(wù)哀。其怨中，買將向須外提槐供服堡務(wù)的券主機(jī)往旋轉(zhuǎn)戒在DM賞Z區(qū)，蹲以保宜證內(nèi)第部的烤安全公。在頃接入In油te姨rn款et時，鼻本方財案選迎擇使黃用防峰火墻明來接挪入，題并實(shí)偉現(xiàn)NA州T、PA軋T和AC辦L等配吩置方蒜案。2.防火液墻應(yīng)戴用規(guī)奮則與晌配置1）配款置IP割/M靈AC綁定快與主日機(jī)保畢護(hù)設(shè)置IP匠/M悠AC地址阻綁定岡，就褲可以螺執(zhí)行IP苗/M張AC地址倍對的大探測蘇。如拖果防鹽火墻曉某網(wǎng)釀口配薦置了懶“IP周/M宰AC地址單綁定并啟用憐功能慨”、隨“IP萄/M聲AC地址典綁定割的默漲認(rèn)策羊略（背允許肚或禁詢止）路”，挽當(dāng)該掠網(wǎng)口窯接收麥數(shù)據(jù)孫包時盆，將譯根據(jù)屋數(shù)據(jù)積包中快的源IP地址順與源MA姥C地址遍，檢蛇查管奧理員躬設(shè)置敗好的IP勒/M點(diǎn)AC地址搭綁定吊表。繞如果妙地址班綁定享表中彈查找延成功燒并匹悔配，凡則允塑許數(shù)令據(jù)包劉通過悟，不殖匹配股則禁缸止數(shù)萄據(jù)包競通過定。如蝴果查捆找失冶敗，兔則按饅缺省候策略俘（允聞許或云禁止叼）執(zhí)而行。使用幻玉命令井添加IP促/M叛AC地址敲綁定權(quán)：語法誕：ip騾ma過c裂a(bǔ)d譯d挑<i婚p>奴<穩(wěn)ma熊c>緒[數(shù)i償f卵{晶<n瓶am赤e>還|巡壽n浸on戒e}限]伸[新u麻ni損qu岸e歉{讓on第|扭o傷ff題}厚]參數(shù)洪說明扇：ip指定IP地址饅，ma肆c指定MA午C地址感，if指定島相應(yīng)鈴的網(wǎng)之絡(luò)接件口，蓋可選砍參數(shù)顧，默誓認(rèn)為而不指便定網(wǎng)繞絡(luò)接岡口un此iq免ue指定剃是否匠進(jìn)行MA拜C地址墨的唯克一性擊檢查翻，可掛選參該數(shù)，枝默認(rèn)曲為不吉檢查鐮。例如壯，fi班re匹wa看ll出>i跑pm她ac線a吐dd同1潤72扣.1褲8.委56床.2衰54庫0鐵0:倡05播:6尸6:拆00遙:8瓣8:剩B8障i菠f騰no熊ne棋u萍ni聰qu扎e興of鄰f2）配鄉(xiāng)豐置防孟火墻UR巨L過濾WE魚B服務(wù)嶺是In覽te傳rn沈et上使倒用最小多的價服務(wù)越之一碑。In敬te黑rn喉et上信販息魚界龍混廊雜，姐存在帝部分派不良趴信息嗚，因瘦此必丙須對左其訪頓問進(jìn)所行必扭要的帝控制境。RG至-W蓋AL宗L防火賓墻可浮以通左過對緊某些UR徒L進(jìn)行倉過濾毀實(shí)現(xiàn)敞對訪純問不構(gòu)良信它息的嫂控制寄。通棚過使局用黑蓋名單盯和白站名單熱來控講制用撫戶不友能訪湊問哪仔些UR秩L，可鏈以訪乞問哪秘些UR丑L。3）NA濾T配置NA允T技術(shù)熟能夠佛解決IP地址猶不夠蝦的問敗題，璃同時扔，也或能夠針隱藏膛網(wǎng)絡(luò)膨內(nèi)部梅信息朝，從哥而保押護(hù)內(nèi)誘部網(wǎng)蒼絡(luò)的源安全般。RG低-W坊AL液L防火長墻支恒持源權(quán)地址鄙一對右一的瞇轉(zhuǎn)換炸，也評支持埋源地仍址轉(zhuǎn)蛋換為互地址祖池中醉的某耕一個晉地址靈。巡壽用戶沙可通鎖過安當(dāng)全規(guī)揪則設(shè)倡定需聰要轉(zhuǎn)伐換的因源地漿址（丘支持憑網(wǎng)絡(luò)蝕地址姻范圍付）、劉源端虛口。留此處歐的NA寄T指正縱向NA訂T，正彼向NA異T也是餡動態(tài)NA巷T，通經(jīng)過系卵統(tǒng)提迅供的NA飯T地址雨池，伴支持勢多對闊多，木多對狗一，篩一對畝多，偏一對魄一的渴轉(zhuǎn)換革關(guān)系躍。4）配葡置安江全規(guī)蜂則安全皺規(guī)則鵲的配坑置可塘以說付是防療火墻蜓最重才要的造配置晴了，邀因?yàn)樾铔]有伏安全敏規(guī)則銀，防奮火墻腥是不防能轉(zhuǎn)態(tài)發(fā)數(shù)杰據(jù)流蜘的。怨默認(rèn)具情況猴下，涉防火序墻的堡行為哥是，洽除非弱明文聞允許認(rèn)，否綢則全辭部禁筆止。翠防火躺墻支彼持的僵安全會規(guī)則膨有包關(guān)過濾鄰、NA載T、IP映射勉、端為口映跳射和染代理忠等。5）配萌置防腹火墻朝主機(jī)寺保護(hù)增加戰(zhàn)主機(jī)照保護(hù)降確保望關(guān)鍵法服務(wù)貍器的依安全域穩(wěn)定莫，用螞于保摘護(hù)服歷務(wù)器篇訪問能時不諷會因冷為攻繪擊而扒過載鴉。11蒼.2叉.4虛擬蓄專用退網(wǎng)設(shè)原計1.成V落PN系統(tǒng)柜部署VP脆N系統(tǒng)賽部署幼的詳碧細(xì)拓痕撲結(jié)匯構(gòu)如湊圖11者-3映1所示剛。圖11兄-3另1于VP往N部署1）總影部網(wǎng)塔絡(luò)VP釘N系統(tǒng)小部署RG侄-W羊AL奏L攏V1圾60簡S作為燭認(rèn)證莫網(wǎng)關(guān)率，對摔內(nèi)網(wǎng)違的關(guān)敘鍵服墊務(wù)器井進(jìn)行機(jī)認(rèn)證璃控制扶，非展授權(quán)僚用戶浪不能吸訪問輩。US棉B似KE桑Y保障舞密鑰菌的安職全性頸，進(jìn)堡一步啟降低水安全表使用蒼風(fēng)險舍。兩具臺數(shù)既據(jù)中廟心的RG器-W結(jié)AL近LV棗16嬸0S通過HA實(shí)現(xiàn)皆雙機(jī)需熱，粉雙網(wǎng)朱鏈路篇冗余近和狀默態(tài)熱緞備快欄速故爬障恢糟復(fù)。2）分茂支機(jī)表構(gòu)VP趟N系統(tǒng)核部署企業(yè)袖分支將機(jī)構(gòu)豆一般姜指分窮布在蔑全國內(nèi)各地放規(guī)模飲中等紛的分忘公司鄙，公極司內(nèi)客部建共有中湖等規(guī)充模的費(fèi)局域晨網(wǎng)，穿同時侍通過翅當(dāng)?shù)豂S扔P提供濤的寬日帶接痰入方最式接獎入In隨te瘦rn知et并安賞裝一幟臺VP醒N設(shè)備染，作浪為客之戶端散接入袖總部偵。3）移語動辦毀公網(wǎng)劈燕點(diǎn)VP谷N系統(tǒng)灣部署采用L2黑TP城+I燭PS百EC隧道仰協(xié)議初，接今入總耕部，托用戶也即使步在乘壓坐車商船甚擦至飛蒙機(jī)的課途中擦，可表隨時擋隨地嚷實(shí)現(xiàn)肌移動也辦公廊，猶鏟如在咐辦公維室一彼樣方數(shù)便流忍暢地竹交流漏信息最。4）合刻作伙仗伴VP絹N部署商業(yè)院合作限伙伴炒可能友要實(shí)模時共噴享某寨些信充息，貧網(wǎng)絡(luò)別類似立分支雀機(jī)構(gòu)覆接入片，通宗過防施火墻笛策略卷設(shè)置托訪問信權(quán)限踢。2.臨V些PN雙機(jī)魄熱備梨份本方步案采就用遠(yuǎn)電程安酬全接茄入和駛邊界姜安全某防護(hù)蔑的組景合解徒?jīng)Q方科案。允針對希本企沈業(yè)對魔系統(tǒng)帖和數(shù)丹據(jù)的柿高可看用性昆和高櫻安全踢性的皮需求產(chǎn)，采上用了濱兩臺RG披-W總AL釋LV伸16帶0S通過HA實(shí)現(xiàn)奇雙機(jī)雖熱備評，雙詞網(wǎng)鏈猶路冗禽余。密該方幫案為剖用戶啦提供艦了強(qiáng)科大的未容錯絞功能神，避羨免了庭單點(diǎn)掌故障幻玉，快及速自蔽動恢仗復(fù)正豪常通梨信。銜網(wǎng)絡(luò)像本身輪通過VP采N網(wǎng)關(guān)票實(shí)現(xiàn)哪數(shù)據(jù)查在廣流域網(wǎng)筒鏈路蝕中的奸安全猛傳輸匯，防禍止被救竊聽息或被止篡改介。設(shè)需計中薯兩臺RG愉-W其AL其LV齒16腹0S之間湖通過HA來實(shí)手現(xiàn)雙息機(jī)熱氣備，而主機(jī)擊和備型機(jī)通鳳過一段條串聞口線遷連接只，正披常工榆作時智，主啟機(jī)處居于工鼠作狀源態(tài)，慣備機(jī)齒網(wǎng)口店處于do搬wn狀態(tài)盒，主靜機(jī)和受備機(jī)獸的配晶置完與全相倘同，章并通膛過串哲口線纏同步敏動態(tài)紛信息本，更愉加增鳴強(qiáng)了恒網(wǎng)絡(luò)映的可奏靠性象，當(dāng)糧主機(jī)局出現(xiàn)巴問題絕或者付鏈路主不通下時，稼備機(jī)工將在3~幸6秒鐘銹之內(nèi)府進(jìn)入塘工作餐狀態(tài)垃，接產(chǎn)管主負(fù)機(jī)的耕工作紫，整眠個切爭換過也程平縮慧滑透風(fēng)明，憂網(wǎng)絡(luò)玻用戶玩只會脂感覺蓄到有粉短暫遠(yuǎn)的加猛大，鑰不會酸對整咸個網(wǎng)婆絡(luò)造澡成大喂的影貨響。3.躍V謹(jǐn)PN與防常火墻駝雙重盲防護(hù)胃關(guān)鍵午服務(wù)訴器群在服偉務(wù)器咐群網(wǎng)榮絡(luò)外霉部署寸的兩蔥臺VP恨N外又底添加斤了兩憤臺虛沒擬防勻火墻言，從謙而提任高關(guān)將鍵位焦置的誦安全滅性及騾敏感施數(shù)據(jù)少的安哀全性未。以判此防服止惡赴意用眠戶在通網(wǎng)絡(luò)門中進(jìn)菠行非捎法網(wǎng)掠絡(luò)攻卻擊及擊網(wǎng)絡(luò)肯訪問系。并唉能同冤時保乘證公潔司帶綁寬投靠入得賽到有學(xué)效地固利用偏。就宴算黑肥客能拴突破港虛擬魯防火卷墻，烈里面獎還有逃一層VP駝N認(rèn)證鑰防護(hù)緞，提狀高了神安全角級別賣。4.車V給PN與ID申S聯(lián)動網(wǎng)絡(luò)昌安全掛不可愛能完界全依柳靠單憂一產(chǎn)昆品來責(zé)實(shí)現(xiàn)典，網(wǎng)汗絡(luò)安處全是菜個整宴體，袋必須傘配相爸應(yīng)的加安全攪產(chǎn)品示。作每為必喊要的壇補(bǔ)充襪，入里侵檢滾測系英統(tǒng)（ID貧S）可標(biāo)與安住全VP角N系統(tǒng)補(bǔ)形成據(jù)互補(bǔ)篩。入斗侵檢另測系歸統(tǒng)是缺根據(jù)賣已有頸的、恩最新貌的和斑可預(yù)介見的款攻擊坐手段甩的信器息代增碼對基進(jìn)出詞網(wǎng)絡(luò)鴉的所庫有操訓(xùn)作行于為進(jìn)后行實(shí)敗時監(jiān)揭控、霉記錄接，并闖按制尾定的嗚策略襲實(shí)行唯響應(yīng)道（阻灣斷、每報警銳、發(fā)若送E-萌ma階il）。酸從而鈴防止術(shù)針對嚼網(wǎng)絡(luò)撿的攻詳擊與未犯罪墓行為炒。入母侵檢問測儀哲在使伏用上焦是獨(dú)狀立網(wǎng)親絡(luò)使獸用的價，網(wǎng)鹿絡(luò)數(shù)寒據(jù)全果部通軍過VP煎N設(shè)備蜓，而襯入侵究檢測造設(shè)備長在網(wǎng)向絡(luò)上緊進(jìn)行燭疹聽處，監(jiān)未控網(wǎng)放絡(luò)狀績況，捐一旦役發(fā)現(xiàn)療攻擊匆行為信將通歇過報似警、寄通知VP搜N設(shè)備吹中斷枝網(wǎng)絡(luò)渴（即ID極S與VP員N聯(lián)動混功能躍）等找方式湖進(jìn)行貿(mào)控制贈（即描安全詢設(shè)備速自適夜應(yīng)機(jī)輸制）棍，最扣后將提攻擊次行為鴉進(jìn)行貪日志畫記錄拍以供梁以后鎖審查行。5.革PK漢I配置熄與用圾戶認(rèn)雁證配腎置由于錫銳捷VP衣N設(shè)備撫采用另標(biāo)準(zhǔn)X.盛50燭9證書根進(jìn)行脹設(shè)備蜓身份騙標(biāo)識廈，所熱以系局統(tǒng)提今供標(biāo)好準(zhǔn)PK絨I（公推鑰基武礎(chǔ)設(shè)指施）頌配置陰。銳徐捷VP之N設(shè)備銜可以謀對遠(yuǎn)翼程用縣戶進(jìn)理行身簽份驗(yàn)略證。以目前似可以潑支持缸一次吳性口集令認(rèn)渠證、封數(shù)字稍證書贊認(rèn)證料、第厘三方Ra凳di蠶us認(rèn)證飯和Se邪cu驢re鼓ID認(rèn)證交。6.報文弱過濾設(shè)置庸報文迷過濾木策略特來指膨定某添些傳惡輸層劈燕協(xié)議扎能否妄通過VP杏N。另足外可決以通原過配上置與ID獅S的聯(lián)聯(lián)動規(guī)耗則，障當(dāng)ID姜S檢測機(jī)到攻炸擊后漲，將軋立即鑼通知牲報文伍過濾撇模塊詢，過堵濾模狀塊一牢方面性顯示斥對應(yīng)剝的ID尾S過濾盜規(guī)則族，同豎時也浴會對枕攻擊捷報文搏進(jìn)行柏過濾瓜，從沃而阻設(shè)止其執(zhí)對內(nèi)控部網(wǎng)洽絡(luò)的究攻擊澇。7.蕩VP仗N(yùn)虛子貌網(wǎng)配渠置如果傾用戶汽網(wǎng)絡(luò)松中不境同VP回N設(shè)備籍保護(hù)扁的內(nèi)秀部子祖網(wǎng)地省址相籃同，咐出現(xiàn)滿了沖肆突，偷那么丈常規(guī)VP到N設(shè)備癥就會龍要求牙用戶裂進(jìn)行拾地址梅調(diào)整坦，但觸是銳身捷VP竄N可以電允許歲用戶助通過腔虛子次網(wǎng)來廢解決漫這個朵問題叼。所謂守虛子朱網(wǎng)就希是把麥沖突純一方蛇的網(wǎng)圓絡(luò)地幸址映亦射成五另外娛一個姨不沖冶突的蹄子網(wǎng)暢地址通，網(wǎng)銹絡(luò)地磚址部禽分發(fā)強(qiáng)生變歐化，謀但是籍主機(jī)念地址癢部分刺不變斧，這糠樣用羽戶仍銜然可估以知編道變道換后扒對方懼的主習(xí)機(jī)地牌址。8.日志甲審計揀配置日志負(fù)記錄唉提供蹄對系轟統(tǒng)活報動的媽詳細(xì)漫審計香，銳圈捷VP啞N提供魚了詳洋細(xì)的薪日志斗審計敬信息聰，這匙些信浙息用錯于評洗估、緒審查惰系統(tǒng)物的運(yùn)象行環(huán)叢境和抽各種大操作,能夠帖幫助眉管理趁員來亦尋找所系統(tǒng)喚中存挖在的爆問題憐，對保系統(tǒng)逃維護(hù)間十分得有用蛙。管膝理器獸中對別日志買進(jìn)行蒼分級必管理罰，使深日志西信息燃更詳剃盡、蒜更規(guī)陶范、扛層次愿更清接楚。11始.2啞.5入侵閃檢測秩系統(tǒng)壟設(shè)計本方眠案實(shí)愈現(xiàn)入干侵檢雕測系睬統(tǒng)與堪防火做墻的卵聯(lián)動匯，從填而使適防火鄉(xiāng)豐墻可裕以根撤據(jù)網(wǎng)竄絡(luò)運(yùn)荷行的桃狀況鴉來動皇態(tài)設(shè)教置防少火墻莊規(guī)則市，其樸部署粉的方秩拓?fù)潆`結(jié)構(gòu)正如圖11消-3碧2所示蛙。圖11械-3訪2防火獵墻與ID鐵S的聯(lián)吸動部拜署11薄.2泊.6三層捷交換戒機(jī)系腥統(tǒng)設(shè)勤計三層包核心毯交換躲機(jī)是闖整個宴企業(yè)算網(wǎng)絡(luò)化的中竊樞節(jié)縱點(diǎn)，她因此其它的與合理栽設(shè)置固和安豬全規(guī)賺劃將辭影響銷到整查個網(wǎng)絕絡(luò)的麗運(yùn)行摸。本但方案踏將從峽以下博幾個要方面予進(jìn)行至設(shè)計漢：（1）合悉理的VL豪AN劃分臣規(guī)劃筐；（2）IP與MA怒C地址愉的綁察定設(shè)犯計；（3）防松攻擊禁的系配統(tǒng)保沈護(hù)配觸置；（4）動蜓態(tài)的AR包P檢測掩配置擔(dān)，防檢止AR杯P欺騙踢攻擊慌等。11誼.2辭.7病毒傭防御治系統(tǒng)兇設(shè)計企業(yè)究網(wǎng)絡(luò)詠的病冶毒防部御體震系要傾針對區(qū)企業(yè)膝網(wǎng)絡(luò)智的現(xiàn)桶狀，情對網(wǎng)帶絡(luò)中鴉可能灶存在敏的病劇毒入辮侵點(diǎn)綱進(jìn)行鐵詳細(xì)挨分析館，然奮后對獎其進(jìn)丑行層銷層防努護(hù)，輸對癥訂下藥蠢才能惑真正閉保護(hù)底企業(yè)跳網(wǎng)絡(luò)幼的安休全。房誠一般驗(yàn)情況澆下，滋病毒貓的入楊侵點(diǎn)按主要醫(yī)有：（1）從籠客戶叼端入硬侵：叫任何同一個愧客戶滅端計摟算機(jī)掏都可全能會拘通過黑可移偷動介注質(zhì)、In鋼te慈rn室et下載家、接枯收Em搬ai坊l以及莫訪問倚受感任染的孝服務(wù)塊器等李途徑獨(dú)被病非毒侵描害，騎如果掃此客祝戶端杏再去塘訪問慘企業(yè)作網(wǎng)絡(luò)李或其胸中的兇資源仙，則級很有絡(luò)可能尼會把孫這些雀病毒悉傳播坐出去翠，而望且目分前大嶺部分好病毒限都可膛以自閃動進(jìn)飾行復(fù)想制傳括播，杏增加前了其補(bǔ)對企辮業(yè)網(wǎng)槽絡(luò)的孫危害探性；（2）從皮文件泡或應(yīng)殊用服枯務(wù)器冤入侵劑：如刊果這脾些服憐務(wù)器吧被病油毒侵習(xí)害，晝則訪翁問這屑些服趴務(wù)器倆的客禁戶機(jī)宰將非囑常容扔易感灣染病良毒；（3）從肥網(wǎng)關(guān)傻入侵什：網(wǎng)漢關(guān)是嚼一個污企業(yè)勾網(wǎng)絡(luò)唉的門幸戶，歪任何血防火輸墻都芹無法象阻止In其te士rn攜et上病闊毒的沾入侵像。本方封案的供企業(yè)擔(dān)網(wǎng)絡(luò)譽(yù)防病涼毒產(chǎn)獵品的江部署龜如圖11談-3甘3所示勢。圖11禿-3避3企業(yè)趁網(wǎng)絡(luò)陳防病證毒產(chǎn)惰品部黨署11反.2睜.1繼0項(xiàng)目季總結(jié)本方泉案主湯要是透以ID弟S為中剩心的未聯(lián)動方來實(shí)后現(xiàn)全強(qiáng)網(wǎng)動貝態(tài)安觀全部季署，蒸并融軍合配牛置ID征S、防豪火墻傳、VP霧N和三必層交柴換機(jī)懲等設(shè)東備，臺采用案多手棋段多士方位礦的立姐體防勵御體臘系，貨特別誕是對誘核心棉和保依密部慎門加常強(qiáng)其踏隧道個實(shí)現(xiàn)碎技術(shù)年，并搏通過伶測試關(guān)，成佳功驗(yàn)潑證方套案的懸可行傍性。楚但本弄方案歡在安板全細(xì)乏節(jié)上組設(shè)計葉的還榴不夠腸，需偵要在糟實(shí)際攀的運(yùn)截行過廁程中陷不斷醉改進(jìn)咐完善拘，使陵之成粘為一檢個安村全、壩可靠植、先堅(jiān)進(jìn)的墊企業(yè)摩網(wǎng)絡(luò)策安全裹方案證。任務(wù)11康.3政府浪網(wǎng)絡(luò)猜安全郊方案乞設(shè)計任務(wù)11編.3狂.1了解可政府縫網(wǎng)絡(luò)役安全外現(xiàn)狀某地拼稅分礦局外各網(wǎng)建訊設(shè)的懸目的適是能環(huán)夠通范過構(gòu)蛾建一共個統(tǒng)甩一、杰高效友、可帆靠、輛安全她的信濃息化懼平臺拔，有向效促膜進(jìn)稅切務(wù)網(wǎng)刷絡(luò)互冠聯(lián)互襯通和贏稅務(wù)獲信息燈資源贈共享天，形優(yōu)成統(tǒng)慮一的緊某地曾稅網(wǎng)市絡(luò)和陪資源笛共享仇平臺販。同視時，櫻能夠款為市爬、區(qū)的各級硬相關(guān)悟部門勒在進(jìn)租行職仿能辦帆公、窮社會羅管理蠢、公端