Linux网络安全方案设计.docVIP

Linux网络安全方案设计 网络技术 2010-01-09 00:36:51 阅读29 评论2 字号：大中小 Linux网络安全方案设计 网络拓扑图 一． 方案说明 由于该公司申请了两个外部公用地址，同时该公司通过基于固定IP的ADSL直接上网方式，不需要经过拨号。这就给公司带来了些许的不方便性。综合考虑，设计本方案来给该公司构建一个安全的网络平台。该公司所配置的链路统一为千兆链路。 三层交换机D： 划分两个vlan，名字为vlan 100 和 vlan 200.vlan100 IP地址为54/24, 包括Apache 服务器、Ftp服务器和NAT主机；而vlan 200 IP地址为 54/24其中包括该三层交换机其下一级的二层交换机。配置二层交换机到服务器的路由以及服务器到NAT主机的路由。（选择8口主要用于将来网络扩展需要） 二层交换机E、F、G：将划分为不同部门所在的不同vlan。（选择24口主要用于将来用户扩充需要） NAT主机：安装三张网卡，网卡一为：18；网卡二为：18网卡三为：50；配置NAT服务、防火墙策略、Squid代理服务配置（备用）和安装防病毒软件和客户端监控软件。 Apache服务器：该服务器主要用于配置为发布公司Web服务的服务器。在该服务器上，将配置Web服务，防火墙策略，安装相应的防病毒软件和客户端监控软件。 Ftp服务器：该服务器主要用于配置为公司内部的Ftp服务器，在该服务器上，将配置Ftp服务，防火墙策略以及安装相应的防病毒软件和客户端监控软件。 用户机：将公司内部的所有用户机统一安装上防病毒软件以及客户端监控软件。 二． 操作系统以及IP地址规划 服务器类型 操作系统类型 IP地址 Apache服务器 Linux操作系统 00/24 Ftp服务器 Linux操作系统 00/24 NAT主机 Linux操作系统 NIC1:18/24 NIC2:18/24 NIC3:50/24 客户机 WindowsXP /24 三． 网络设备配置 4.1 Apache服务器配置 主要配置其web服务：创建基于一个IP地址的www服务。 在该服务器中，对httpd.conf文件进行如下配置； 其中，在该配置文件的末行添加如下代码： 并在终端命令模式下输入如下语句：service httpd restart (重新启动www服务) 网卡配置如图所示： Web服务器上防火墙策略 4.2 Ftp服务器配置 在该服务器的pub文件夹内建立两个主要文件夹，upload 和download；其中，upload文件夹内建立有每个部门的子文件夹，每个部门的子文件夹对该部门的用户具有读写的权限，而，对于其他部门的用户仅具有读的权限；至于download文件夹对全体用户都具有读的权限。给该公司配置FTP服务器，是用于该公司的业务需要，同时，该该公司的ftp创建不同部门的子文件夹和子文件夹的不同部门用户的权限，是综合考虑给该公司构建更为安全的需要同时也方便部门的交流。 其中，对该服务器上的vsftpd.conf主配置文件配置如下： 并在终端命令模式下，输入如下语句：service vsftpd restart(启动FTP服务) Ftp防火墙策略配置。 4.3 NAT主机配置 NIC 1配置将该网卡配置为申请的其中一个公网IP地址：18 至于DNS就由申请的ISP提供 NIC 2配置：将该网卡配置为申请的其中一个公网IP地址：18 至于DNS就由申请的ISP提供 NIC 3配置：IP配置如图所示，网管配置为vlan 100的IP地址。 主DNS和第二DNS的IP主要设置为已申请的电信方提供的IP地址。 配置公网地址和内部私有地址的转换 1.创建内部私有地址（仅网段）转为用于访问Internet的公网地址（1818） 2.创建允许Internet客户访问内部web服务器的地址转换。 配置防火墙策略 1. 创建允许外网用户访问内网的web服务的防火墙策略 2. 创建允许内网用户访问外网的web服务的防火墙策略 3. 创建允许内网用户访问外网的mail服务的防火墙策略 4. 创建允许内网用户访问外网的ftp服务的防火墙策略 配置squid作为备用代理服务器 1.基于公司的综合考虑，给该NAT主机配置Squid代理，以防万一。同时，限于用户的各种行为，对Squid服务器创建相应的策略来限制用户的行为，防止NAT服务器崩溃，以及内部网络的安全。 4.4三层交换机的配置 1.虽然该公司不属于大型的网络结构，但是，该公司的机器数量也比