士多食品有限公司士多食品有限公司 网络安全设计网络安全设计 指导老师：黎银环 所学专业：计算机网络技术 班别：09 网络 2 班 组名：ABC 组员：孙俊华、廖佰强、唐瑞红、朱晓梨 完成日期：2011 年 10 月 10 日 目录目录 一、概括.1 1.1 企业网络现状.1 1.2 企业网络建设目标.1 二、需求分析1 2.1 网络功能需求.1 2.2 网络性能需求.2 2.3 网络设备需求.2 三、方案设计3 3.1 企业建筑平面图.3 3.2IP 地址分配.5 3.3 所需技术配置.5 3.3.1 防火墙配置.6 3.3.1.1 防火墙 VPN 设置.6 3.3.1.2 防火墙 NAT 设置10 3.4 数据备份存储与加密.13 3.5 员工管理13 四、总结.16 五、工程软硬件清单软硬件清单16 1 一、概括一、概括 1.11.11.11.1 企业网络现状企业网络现状企业网络现状企业网络现状 江门一得食品公司总部工厂 A 在江门，在新会和开平各有一分销公司 B 和 C。此公司 现要扩大规模，为提高办公效率，实现信息资源共享和统一管理，现要进行建设一 个功能完善、安全性高企业办公网络。具体情况如下： A 工厂：原有 30 个信息点，只是实现内部联网，通过 ADSL 连入互联网。 B 分销公司：原有 12 个信息点，只是实现内部联网，通过 ADSL 连入互联网。 C 分销公司：原有 10 个信息点，只是实现内部联网，通过 ADSL 连入互联网。 1.21.21.21.2 企业网络建设目标企业网络建设目标企业网络建设目标企业网络建设目标 1. 扩大规模： A 总部：扩建 20 个信息点，并分工厂区和办公室两个区。 B 分公司：扩建 8 个信息点。 C 分公司：扩建 5 个信息点。 2. 各地点的公司间能实现安全的信息互通和资源共享。 3. 具有良好的安全性，能抵御来自外部的攻击。 4. 实现远程访问 5. 数据备份与存储 6. 对各公司的内部员工实行一定的管理，如上班时间禁止上 QQ，炒股，玩网络游戏等。 二、需求分析二、需求分析 2.12.12.12.1 网络功能需求网络功能需求网络功能需求网络功能需求 共享公司的各种信息资料，发布公司内部及时消息 出差人员及时地把资料安全送回总公司 对公司的内部员工实行一定的管理 2 2.22.22.22.2 网络性能需求网络性能需求网络性能需求网络性能需求 1 1 1 1、高效性高效性 公司总部与分部坐落在不同的城市，在进行日常办公和通信时网络一定 要及时高效。业务的处理，总部的措施能及时下达各个分部，各个分部的业 务能及时向总部汇报。各个分部间业务能快速进行沟通处理。 2 2 2 2、可靠性可靠性 总部与分部，分部与分部间通信办公都需要一个可靠的网络来支持，可 靠的网络是确保公司日常业务正常发展的关键。 3 3 3 3、独立性独立性 公司某些部门之间有不同的业务，各自独立于其他部门，像公司财务部 就应该独立出来，其他部门在没有授权的情况下无法访问财务部的业务网 络。 4 4 4 4、实用性实用性 网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采 用新技术和新装备，还需要考虑组网过程要与平台建设及开发同步进行，建 立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时 达到较好的性能/价格比。 5 5 5 5、网络的可管理网络的可管理 网络系统有限公司的网络是一条信息公路，设计时必须提供足够的手段 对信息公路进行方便的管理，以确保其始终保持在最佳状态下运行。没有网 络管理功能将很难保证系统的正常运行。 2.32.32.32.3 网络设备需求网络设备需求网络设备需求网络设备需求 为确保该公司企业网络建设和应用的成功，对网络方案的设计大致可归纳 出哪些的需求。 1、在总部和各个部门的局域网范围内，采用标准网络协议，结合应用需 求，建立总部与分部的通信，通过 vpn 隧道穿透 Internet 实现总部和各个分 部的连接。 2、在部门局域网中，实现文件共享，打印共享等功能。 3、系统应有高可靠性、安全性、可维护性和可扩充性，要具有良好的用 户界面。 3 三、方案设计三、方案设计 3.13.13.13.1 企业建筑平面图企业建筑平面图企业建筑平面图企业建筑平面图 总公司平面图： 4 B 公司平面图： C 公司平面图： 5 3.2IP3.2IP3.2IP3.2IP 地址分配地址分配地址分配地址分配 申请一个公网 IP 和 ADSL 拨号帐号 3 间公司都已 192.168.0.0 地址 请购清单 序号设备名称Ip 地址备注 1A 公司网段 192.168.1.0 255.255.255.0 网关：192.168.1.254 2B 公司网段 192.168.2.0 255.255.255.0 网关：192.168.2.254 3C 公司网段 192.168.3.0 255.255.255.0 网关：192.168.3.254 4A 公司服务器192.168.1.11DNS、DHCP、VPN 5A 公司网络硬盘（1）192.168.1.17文件共享、权限访问 6A 公司网络硬盘（2）192.168.1.20文件共享、权限访问 7B 公司网络硬盘192.168.2.11文件共享、权限访问 8C 公司网络硬盘192.168.3.11文件共享、权限访问 9思科防火墙 端口一（内） 192.168.1.6 端口二（外） 申请公网 IP 3.33.33.33.3 所需技术配置所需技术配置所需技术配置所需技术配置 拓扑结构图： 6 3.3.13.3.13.3.13.3.1 防火墙配置防火墙配置 防火墙防火墙 VPNVPNVPNVPN 设置设置 一、一、配置配置 IKEIKE： 由于是用 pc 拨入防火墙，这里只要设置第二个页面即 default config 就可以了， 不用修改参数，按默认就可以正常工作。如下图： 7 二、二、 配置配置 vpnvpn列表：列表： 1）配置 phase 1 proposal，按默认的就可以了。如下图： 2）配置 phase 2 proposal，把 encapsulation mode 改为 transport mode 即可。 3）配置 ip pool，主要是设置一个地址池，用于分配给拨入的用户，配置好后， 请点击一下应用，否则在建立组时无法发现本地址池：如下图 8 4）配置 user-group，建立一个用户组，与 ip pool 关联起来，再分配本组的权限， 如可以访问哪个网段、服务器等（这些网段都是在规则中建立的网络对象） 。 9 5）配置 remoteuser，建立远程拨入的用户名与密码，并与 user-group 关联。 防火墙防火墙 NATNATNATNAT 设置：设置： 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有 （保留） 地址转化为合法 IP 地址的转换技术， 它被广泛应用于各种类型 Internet 接入方式 和各种类型的网络中。原因很简单，NAT 不仅完美地解决了 lP 地址不足的问题，而且还能 够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 10 firewallinterface Ethernet 0 firewall-Ethernet0ip address 192.168.1.6 255.255.255.0 firewallip nat inside firewallinterface Serial 0 firewall-Serial0ip address 申请公网 IP X.X.X.0 firewallip nat outside firewallquit 3.3.23.3.23.3.23.3.2 VPNVPNVPNVPN 配置配置 先来了解一下 VPN， VPN（Virtual private Network,虚拟专用网） 是穿越专用网络或公用网络 的、安全的、点对点连接的网络。VPN 客户端使用特定的隧道协议，与 VPN 服务器建立虚 拟连接。 VPN 最佳范例就是：VPN 客户端使用 VPN 连接到与 Intenet 相连的 VPN 服务器上。它的 工作是 VPN 服务器应答验证 VPN 客户端的身份，如果验证通过，内部网络与 VPN 客户端 传送数据。 VPN 既然是虚拟的专用网， 那么在 VPN 服务器与客户端之间建立的是一种逻辑， 非直接的连接，可以跟拨号网络比较来理解。VPN 一般都要保证数据的安全性，必须对连 接进行加密。 概括一下：目前常见的 VPN 应用包括站点到站点（Site to Site)VPN 和远程访问（Remote Access)VPN 两种。前者主要用于一个组织的总部网络与分支机构网络之间的连接或者一个 组织的网络与其它可信的合作伙伴的网络之间的连接。 后者主要用于远程或移动用户的远程 访问连接 服务端配置： 1打开的”路由和远程访问”管理控制它中，右击 VPN 服务器的计算机名称，并从弹出的快 捷菜单中选择”配置并启用路由和远程访问”命令。 11 2早”配置”对话框中，选择”自定义配置”单选钮。 3 在”自定义配置”对话框中，选择”vpn 访问”选框。 12 4.来是给 VPN 服务器分配客户端 Ip 地址。 5.点击”属性”后，在出现的对话框中选择”IP”选项。并点击”添加”给客户机分配 VPN IP 网段。 6.在配置好 VPN 服务器以及为 VPN 客户端分配好 IP 地址后，就要配置 VPN 用户管理客户端。在”计算 机”“本地用户和组”中，右击点击新用户。 13 7最后，要右击用户”vpn-dzq”右击”属性”，在弹出的对话框中选择”拨入”。然后选择”允许访问”复选框。 客户端配置：右击”网络邻居”“属性” 双击新建连接向导，选择”虚拟专用网络连接” 2输入公司名字和 VPNIP，点击下一步，选择”只是我使用”复选框 14 3.最后在”网络邻居”选择连接 XXX 输入帐号密码 完成连接。 3.43.43.43.4 数据备份数据备份数据备份数据备份存储与加密存储与加密存储与加密存储与加密 网络硬盘， 是一些网络公司推出的在线存储服务。 向用户提供文件的存储、 访问、 备份、 共享等文件管理功能，使用起来十分方便。用户可以不管在家中、单位或其它任何地方， 只 要你连接到因特网， 你就可以管理、 编辑网络硬盘里的文件。 不需要随身携带， 更不怕丢失。 网络硬盘具有速度快、安全性能好、容量高、允许大文件存储等优点。因此，我 们选择使用迈拓 MSSII N33R010 网络硬盘（如图），该设备容量 1000G，硬盘转速 7200 转，接口为 USB2.0 接口，普遍适用于中小型企业网络存储当中。 采用网络硬盘的优势： 1.从数据信息发起端开始进行身份认证，保证合法身份，杜绝黑客入侵。 2.安全网络硬盘系统中所有发生的文件传输过程 （包括从客户端向网络硬盘系统存储 数据或恢复数据， 用户口令认证以及管理端对网络硬盘进行管理） 均采用高强度数 据传输加密技术，具有极高的传输安全性，保证了会话不被窃听、窜改和伪造。 3.数据存入安全网络硬盘系统进行存储加密， 安全网络硬盘系统柜使用高强度数据存 储加密技术， 使整个文件安全网络硬盘系统如同一个高安全性黑匣子， 文件保密性 极高。即使有人强制取走硬盘，也无法破解数据。 4.文件安全网络硬盘系统中， 不同员工或者不同部门之间的空间是逻辑隔离， 相互的 数据不存在交叉存放，不存在病毒的交叉感染，同时，由于采用多级管理员制衡机 制，屏蔽超级管理员权限，除了本人或经本人授权以外，任何人不能查看、更改、 删除数据，确保数据的保密性、私隐性。 15 5.本系统由于采取超强功能的在线编辑功能，可以支持异机、异地的