网络构建方案.pdfVIP

前言： 这是一高级网络工程师为某大型企业写一份局域网安全解决方案建议书。本来这是不应该公开的，但是由 于种种原因未能被采纳， 所以也没什么大碍， 现在拿出来给大家当作是一份参考资料， 写的不好多多指教。 文章是让大家参考的，不是让大家翻录的 学会自己用自己的思路去写东西 :) ，做了一些修改，请大家见凉！ *********************************************************************** （列表省略） *********************************************************************** 第一章 总则 本方案为某大型局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安 全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对 他们局域网全面的安全管理。 1. 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减 少网络的安全风险。 2. 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 3. 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。 4. 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地 减少损失。 5. 在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 第二章 网络系统概况 2.1 网络概况 这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企 业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此，通过专线与 Internet 的连接，打通 了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器， 企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提 供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在原有网络上实施一套 完整、可操作的安全解决方案不仅是可行的，而且是必需的。 2.1.1 网络概述 这个企业的局域网，物理跨度不大，通过千兆交换机在主干网络上提供 1000M的独享带宽，通过下级交换 机与各部门的工作站和服务器连结，并为之提供 100M的独享带宽。利用与中心交换机连结的 Cisco 路由 器，所有用户可直接访问 Internet 。 2.1.2 网络结构 这个企业的局域网按访问区域可以划分为三个主要的区域： Internet 区域、内部网络、公开服务器区域。 内部网络又可按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、领导子网、办公子 网、市场部子网、中心服务器子网等。在安全方案设计中，我们基于安全的重要程度和要保护的对象，可 以在 Catalyst 型交换机上直接划分四个虚拟局域网（ VLAN），即：中心服务器子网、财务子网、领导子 网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网 段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的 网段。（图省略） 2.2 网络应用 这个企业的局域网可以为用户提供如下主要应用： 1．文件共享、办公自动化、 WWW服务、电子邮件服务； 2．文件数据的统一存储； 3．针对特定的应用在数据库服务器上进行二次开发 ( 比如财务系统 ) ； 4 ．提供与 Internet 的访问； 5．通过公开服务器对外发布企业信息、发送电子邮件等； 2.3 网络结构的特点 在分析这个企业局域网的安全风险时，应考虑到网络的如下几个特点： 1. 网络与 Internet 直接连结，因此在进行安全方案设计时要考虑与 Internet 连结的有关风险，包括可能 通过 Internet 传播进来病毒，黑客攻击，来自 Internet 的非授权访问等。 。 2. 网络中存在公开服务器，由于公开服务器对外必须开放部分业务，因此在进行安全方案设计时应该考虑 采