公司网络改造的设计.docVIP

公司网络改造的设计 　　随着通信技术的发展，人们的生活越来越多的收到网络的影响，网上聊天，网上购物，电子办公，网络使人们之间的距离更近了，网络的发展让人们更快的认识和改变世界，随之而来的问题也产生了，网络诈骗，钓鱼网站，网络攻击，财产和信息安全受到更多的威胁，人们意识到网络安全受到前所未有的挑战。 　　如何有效的保护网络安全成了新的问题，很多人选择使用硬件防火墙提高网络安全，也有人使用专业计的防火墙软件，还有人会选择其他的更多的安全产品，比如入侵检测系统、入侵防御系统等等。无论选择哪种方式保护网络，都需要细心的配置，稍一疏忽就可能给心怀不轨之人留下可以乘之机。对于经济能力有限的单位，上面的这些都是不太现实的，造价昂贵，配置繁琐，需要专门的人员，实现起来有一定的困难。 　　本文基于解决原单位的网络安全问题所作，方案基本思路是：经济、简单的改善网络安全状况，用原有的设备提高网络的安全。 　　首先介绍下原来单位网络状况，原来网络拓扑如图1： 　　网络状况如下所述： 　　1　本单位办公楼共两栋，一栋用来办公，一栋租借给另一单位，网络接入由本单位提供，家属楼一栋； 　　2　Cisco路由器一台，以前后闲置未用； 　　3　华为交换机一台，以前只当普通交换机使用； 　　4　服务器五台，分别提供web，邮件，数据库、打印和OA服务； 　　5　tp－link R478G+路由器两个，以前只使用一个； 　　6　单位有四个公网ip，tp－link R478G+路由器使用一个，web服务器和邮件服务器各使用一个，闲置一个； 　　原网络状况描述： 　　所有的用户都在同一局域网内，一旦某一用户感染病毒、木马就会迅速蔓延到整个网络，如果感染到arp木马，就会全网掉线。网络拥挤，办公效率下降，病毒木马猖狂，严重时候整个网络瘫痪。 　　分析主要原因是，楼宇之间的没有隔离，不同部门之间没有间隔，办公楼和家属楼同在一个局域网内，单一用户问题影响到其他用户，威胁用户的信息安全。外网服务器直接连接公网，没有有效的安全措施。内网服务器没有限制，家属区和外租人员都可以访问。 　　用户的应用水平、计算机安全意识和自我防护能力严重不足。杀毒软件不会升级，甚至有的用户还嫌个人防火墙碍事，自行关掉甚至卸载，结果造成计算机不断的被病毒感染，不断被黑客攻击，随意修改ip地址，造成ip地址冲突，给网管人员带来了巨大的工作负担。事故、故障的频出，很大的影响了办公，网络得不到充分的利用。 　　经过一番需要调查，设计方案如下： 　　根据需求将网络分为办公区、家属区和服务器区。 　　办公区主要功能： 　　办公人员上网； 　　办公人员打印服务器和数据库服务器的使用； 　　可提供内部例如OA服务，及未来还需扩充新的业务服务。 　　服务器区主要功能： 　　主要对外网用提供web服务和邮件服务； 　　家属区主要功能： 　　主要是在下班时间保证网络畅通； 　　使用网络流量较大，主要是电影，游戏，大量的下载； 　　通过分析，制定了新的方案，拓扑图如图2： 　　这次的重点是： 　　1、使用Cisco路由器并做如下设置： 　　NAT转换，隐藏局域网内部计算机的IP地址，这样解决了服务器直接暴露在公网上的问题；同时也把办公网放到了一个网段内，便于网络管理，便于打印和数据共享； 　　ac1(访问控制列表)过滤。对流经的数据包进行过滤，把已知不安全的地址段、端口屏蔽；控制使用打印服务器，办公OA，数据库服务器的用户；在上班和下班时间对办公楼和家属楼的访问流量进行限制，上班时间办公区流量大，下班时间家属区流量大； 　　2、华为可管理交换机： 　　地址绑定。防止用户盗用IP地址，造成地址冲突，避免被入侵者利用； 　　将办公区各部门通过vlan分隔，避免部门敏感信息外泄； 　　将打印服务器、数据库服务器和OA服务器放入内网禁止外网访问； 　　3、安装了ISA防火墙和Linux的Iptables防火墙，从应用层检测和预防网络攻击的发生。同时增加入侵难度。 　　ISA服务器都提供了有助于简化安全和访问管理的统一管理控制台。ISA服务器为WindowsServer 2003和Windows 2000 Server平台而构建，它通过强大的集成式管理工具来提供安全而快速的Internet连接。 　　iptables的最大优点是它可以配置有状态的防火墙，有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态，名称分别为ESTABLISHED、INVALID、NEW和RELATED。 　　状态ESTABLISHE