银行办公大楼局域网的建立.doc

石河子大学 信息科学与技术学院 计算机网络课程设计报告 2012—2013学年第二学期 题目名称： 规划、设计一个银行办公大楼局域网 专 业：信息管理与信息系统信息管理与信息系统 课程设计任务分工表 任务 成员 1 2 3 4 5 … 姓名： 学号： 需求分析 or第一章 方案选型分析 or 第四章 姓名： 学号： 配置实现 or 第二章 拓扑设计 or 第三章 方案分析比较评估or 第五章  目 录 一、银行信息化建设背景的概述 4 二、需求分析 4 三、设计 5 3.1网络建设原则 5 3.2设计方案及策略 7 3.3分层设计原则 7 3.4网络拓扑图 8 3.5 防火墙设置............................................................................................................................... ..10 四、子网以及IP的划分 11 4.1局域网接入方式 11 4.2 IP地址的划分及分配 12 五、设备的选型 13 六、不足之处 20 一丶银行信息化建设背景的概述 随着所面临的竞争环境发生了根本性的变化，原有的经营管理方式早已不适应剧烈竞争的要求。例如：客户的需求瞬息万变，技术创新不断加速，竞争日趋激烈。在这种形势下，企业内部的管理必须转变，从粗放经营向成本控制转变，从部门管理到企业级协同管理转变。只有这样，才能适应竞争形势的变化。 设计 图（1-1） 图 1-2 如图1-2 筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破，那么内部网络将变得十分危险。 图1-3 如图1-3双宿主堡垒主机模型可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口，但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行使去往内部网络的信息必须经过堡垒主机。 由于堡垒主机是唯一能从外部网上直接访问的内部系统，所以有可能受到攻击的主机只有堡垒主机本身。但是，如果允许用户注册到堡垒主机，那么整个内部网络上的主机都会受到攻击的威胁，所以一般禁止用户注册到堡垒主机。 图1-4 如图1-4 屏蔽子网模型用了两个包过滤路由器和一个堡垒主机，他是最安全的防火墙系列之一，因为在定义了“中立区”网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、modem组及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙，那么必须攻破以上三个单独的设备。 DMZ网络处于外部网和内部网络之间，严格禁止通过DMZ网络直接进行信息传输。对于进来的信息，外面的路由器用于防范通常的外部攻击，并管理外部网络访问DMZ网络。它只允许外部系统访问堡垒主机。 3.5 防火墙设置 (1)允许外部的WWW客户访问指定的内部主机。(2)允许外部的FTP会话与指定的内部主机连接。(3)允许外部的Telne会话与指定的内部主机连接。(4)允许外部的SMTP会话与指定的内部主机连接。(5)允许所有外出的数据包。(6)拒绝所有来自外部主机的数据包 防火墙的具体配置步骤如下： 1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上. 2. 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。　 3. 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在附件程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。 4. 当PIX防火墙进入系统后即显示pixfirewall的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。　 5. 输入命令：enable,进入特权用户模式，此时系统提示为：pixfirewall#。　 6. 输入命令： configure terminal,进入全局配置模式，对系统进行初始化设置。　 （1）. 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）　 Interface ethernet0 auto　 # 0号网卡系统自动分配为WAN网卡，auto选项为系统自适应网卡类型 Interface ethernet1 auto　 （2）. 配置防火墙内、外部网卡的IP地址　 IP address insid