工学院学院综合报告
报告名称:计算机安
专业 级 班
姓名:
成绩:
指导老师: 杨华
2021 年 6 月
第章 办公局域网安策略——防火墙篇 1
引言 1
二关键词注释 3
21 防火墙 3
22 工作站 3
23路器 3
三企业现网络结构 5
四户现需求总体架构设计 7
41网络拓扑结构 7
42网络系统组成 7
43安策略 8
五效果 11
51效劳器系统安 11
52网络防病毒系统 11
53网络安设备选型配置 11
六资金预算 13
第二章 办公局域网——入侵检测篇 17
引言 17
二关键词注释 19
21 防火墙 19
22 入侵检测 19
23 协议 19
三企业现网络结构 21
四入侵检测技术设计应 23
41入侵检测系统 23
42网络方案 24
43网络架构图 24
44 IP址VLAN划分 26
五效果评价 27
六资金预算 29
第三章 办公局域网安策略——VPN流量控制篇 33
VPN必性 33
二VPN行性 35
21技术行性 35
22济行性 35
23社会行性 35
三VPN技术方案 37
31需求分析 37
32网络逻辑结构图 38
33技术方案 38
四 VPN技术投入造价 41
五流量控制必性 43
51企业网络带宽资源缺少监造成带宽分配合理 43
52般中型企业职工数众企业网Pc终端数量较 43
六流量控制行性 45
61技术行性 45
62济行性 45
63社会行性 45
七流量控制技术方案 47
71流量控制捕捉分类 47
72流量控制监视〔分析〕 47
73控制策略 47
八资金预算 49
办公局域网安策略
——防火墙篇
工程名称
办公局域网安策略防火墙篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第章 办公局域网安策略——防火墙篇
引言
着办公动化需办公室计算机数目越越办公设备印机 机扫描仪等户必须面种情况解决方法组建办公局域网享资源局域网〔LAN〕指范围效劳器台电脑组成工作组互联网络通交换机效劳器连接网台电脑局域网信息传输速率拟高时局域网采技术拟简单安措施较少样病毒传播提供效通道数信息安埋隐患局域网网络安威胁通常类:
〔1〕欺骗性软件数安性降低
〔2〕计算机病毒恶意代码威胁
〔3〕效劳器区域没进行独立防护
〔4〕IP址突
〔5〕局域网户安意识强
正局域网应独特特点造成局域网病毒快速传递数安性低网电脑相互感染病毒屡杀数常丧失着Internet网络信息技术迅速开展种应日益普单位计算机局域网已成重根底设施网络安问题显尤重事利必弊〞益信息带新巨机遇时面信息安问题严峻考验黑客攻击〞网站黑〞CIH病毒〞时刻充满网络中电子战〞已成国国间商家商家间种重攻击防卫手段信息安网络安问题已引起国部门行业计算机户充分重视目前言局部网络保护防火墙然失种效手段
防火墙种非常效网络安模型保护安网络免受安网络入侵方安网络企业部网络安网络特网防火墙特网Internet中部门网络间逻辑防火墙滤器限制器分析器物理防火墙实现种方式通常防火墙组硬件设备-路器
二关键词注释
21 防火墙
防火墙〔Firewall〕指设置网络〔信企业部网信公网〕网络安域间实现访问控制组已软件系统道门槛〞效互联网部网隔开保护部网免受非法户入侵某种意义防火墙私俱乐部门检查ID确保俱乐部会员通该进入
22 工作站
工作站种高档微型计算机通常配高分辨率屏幕显示器容量存储器外部存储器具较强信息处理功高性图形图处理功联网功
23路器
路器:连接特网中局域网广域网设备会根信道情况动选择设定路正确路径前序发送信号设备
三企业现网络结构
企业计算机网络3Com公司CoreBuilder 9000企业核心层交换机3Com CoreBuilder 7000HDCoreBulider 3500Cisco Catalyst 4006二级单位分布层交换机3Com SSII 11003300Cisco Catalyst 3500访问层交换机三层星型网络结构采先进千兆太网技术融合历史ATM网络技术结合Cisco 25111601等提供DDN链路进行远程局域网络连接移动户拨号访问利Cisco 3661 2M DDN 串型链路连接Internet
图31星型网络结构
四户现需求总体架构设计
41网络拓扑结构
图41 办公局域网网络拓扑结构图
42网络系统组成
硬件系统计算机网络根底硬件系统中设备组合形式决定计算机网络类型
〔1〕效劳器(Unix系统)
效劳器台速度快存储量计算机网络系统核心设备负责网络资源理户效劳效劳器分文件效劳器远程访问效劳器数库效劳器印效劳器等台专途计算机互联网中效劳器间互通信息相互提供效劳台效劳器位等效劳器需专门技术员进行理维护保证整网络正常运行
(2)工作站
工作站具独立处理力计算机户效劳器申请效劳终端设备户工作站处理日常工作时效劳器索取种信息数请求效劳器提供种效劳(传输文件印文件等等)
(3)路器
路器(Router)互联网中连接设备两网络连接起组成更网络连接网络局域网互联网连接网络称互联网路器仅网桥全部功具路径选择功路器根网络信息拥挤程度动选择适线路传递信息
(4)交换机
交换机三功:
学:太网交换机解端口相连设备MAC址址相应端口映射起存放交换机缓存中MAC址表中
转发滤:数帧目址MAC址表中映射时转发连接目节点端口端口(该数帧播送组播帧转发端口)
消回路:交换机包括冗余回路时太网交换机通生成树协议防止回路产生时允许存备路径
43安策略
PIX 防火墙诸WebFTPTelnet SMTP等网络效劳分提供安策略企业网络安配置具灵活性高性效企业网络中防火墙需规划网络安策略保护重数资源通建立改良企业网络安策略防止企业外部网络非法恶意攻击控制企业网络失效概率
网络安策略必须确保户执行授权务获取授权信息具关键数应程序系统操作环境破坏力
建立全面网络安策略网络理员需确定作:
〔1〕出企业网络完全示意图说明系统连接Internet
细节效劳器细节相应IP址
〔2〕识出应保护系统外部网络访问系统等
PIX 防火墙网络址转换功〔NAT〕实现功
〔3〕识出部网络效劳外部网络访问说明外
部户访问效劳需验证授权方法类型
〔4〕标识出防火墙协调工作路器
需说明PIX防火墙防止网络部恶意攻击防止部威胁部网络户需分配工作相适应权限
校园计算机网络例根PIX防火墙功说明企业网络安策略规划实施
根办公室计算机网络Internet访问系统配置画出系统示意图:
Internet
1271041024
Pix525
Firewall
3
AAADNS效劳器10124111
9
邮件效劳器10124112
WWW效劳器10124113
办公网络
交换机
Outside 1271041023
WWWDNS效劳器
图41 防火墙配置结构图
网络中PIX防火墙安装两接口部接口Inside〔101241253〕外部接口Outside〔1271041023〕Inside接口连接企业部网络1012400Outside接口连接外部InternetInside接口连接企业部网络私IP址Outside接口连接外部网络连接设备Internet合法IP址网络Internet访问台Cisco 3600路器通2M DDN数专线连接Internet防火墙外设置台效劳器作DNS效劳进行Web电子邮件域名解析
根Internet访问安策略部网络授权户访问外部Internet外部Internet户访问部网络Email效劳实现外部网络电子邮件相互访问允许外部Internet电子邮件进入部网络部网络户需设置邮件账号实现部网络外部Internet网络电子邮件收发实现企业信息外发布
根述安策略求部网络需设置台Cisco ACS 23软件AAA验证效劳器适合PIX 525防火墙实现Internet 访问授权授权户进行相应效劳类型Internet访问实现部网络户访问Internet利PIX防火墙网络址转换〔NAT〕功部网络址转换外部合法IP址允许外部网络访问部Email效劳资源利PIX防火墙静态址映射〔Static〕功外部虚拟邮件效劳器址1271041025部网络邮件效劳器址10124112映射捆绑实现外部网络电子邮件收发例部户外部网络发送Email时PIX防火墙10124112址转换1271041025外部户部网络发送Email时PIX防火墙1271041025址转换10124112实现外部邮件收发实现企业信息外发布外部户访问部WWW效劳器防火墙外部Outside网络端Perimeter网络端设置WWW效劳器选择防火墙外部Outside网络端设置台WWW效劳器企业信息外发布效劳器进行外部合法IP址解析
通网络安策略分析总结具体实现方法利防火墙相应功进行适配置实现Internet访问安
五效果
51效劳器系统安
效劳器系统安实现网络系统安策略紧密相关校园网系统分网外网采防火墙隔离网外网直接互相访问网外网间设置非军事区网外网间访问全部通防火墙实现
根发原校网络应系统效劳器安WWWEmail等效劳器设置非军事区实现网外网访问
52网络防病毒系统
建议安装卡巴斯基®互联网安套装60该软件功强反病毒扫描网络数流系统文件保护动防御反间谍软件
网络防病毒系统求做整部网杜绝病毒感染传播发作求提供种防病毒软件安装方式网络理员远程监控客户机发现病毒时通知网络理员网络中台计算机进行防病毒控制理客户端效劳器具统杀毒版该户选择瑞星公司杀毒软件网络版根底作网络防病毒解决方案采分级理重防护理架构
53网络安设备选型配置
防火墙定义:防火墙位计算机连接网络间软件该计算机流入流出网络通信均防火墙
防火墙功:防火墙流网络通信进行扫描样够滤掉攻击免目标计算机执行防火墙关闭端口禁止特定端口流出通信封锁特洛伊木马禁止特殊站点访问防止明入侵者通信什防火墙呢?防火墙具保护作入侵者必须首先穿越防火墙安防线接触目标计算机防火墙配置成许保护级高级保护会禁止效劳视频流等
六资金预算
硬件费:
思科PIX535FOBUN*房间数45600*9 410400元
网络双绞线1800m*1元 m 1800元
员费:
高级工程师2名*8000元名16000元
布线员5名*1500元名7500元
总计:
硬件费+员费410400+1800+16000+7500435700元
办公局域网安策略
——入侵检测篇
工程名称
办公局域网安策略入侵检测篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第二章 办公局域网——入侵检测篇
引言
着办公动化需办公室计算机数目越越办公设备印机 机扫描仪等户必须面种情况解决方法组建办公局域网享资源局域网〔LAN〕指范围效劳器台电脑组成工作组互联网络通交换机效劳器连接网台电脑局域网信息传输速率拟高时局域网采技术拟简单安措施较少样病毒传播提供效通道数信息安埋隐患局域网网络安威胁通常类:
〔1〕欺骗性软件数安性降低
〔2〕计算机病毒恶意代码威胁
〔3〕效劳器区域没进行独立防护
〔4〕IP址突
〔5〕局域网户安意识强
正局域网应独特特点造成局域网病毒快速传递数安性低网电脑相互感染病毒屡杀数常丧失着Internet网络信息技术迅速开展种应日益普单位计算机局域网已成重根底设施网络安问题显尤重事利必弊〞益信息带新巨机遇时面信息安问题严峻考验黑客攻击〞网站黑〞CIH病毒〞时刻充满网络中电子战〞已成国国间商家商家间种重攻击防卫手段信息安网络安问题已引起国部门行业计算机户充分重视入侵检测系统计算机网络安重组成局部实现实时入侵检测功动保护网络免受攻击防火墙合理补充扩展系统理员安理力提高信息安根底结构完整性
文进步拟防火墙入侵检测系统区联系探究优缺点提出防火墙入侵检测结合相互取长补短更发挥优势功结结合办公网建设理提出种办公网中防火墙入侵检测联动起相互运行理念入侵检测作防火墙益补充防火墙便通入侵检测时发现策略外遗漏攻击行入侵检测通防火墙外部网络攻击行进行阻断样必幅增加运行钱根底提高办公网络系统安防护水网络理水
二关键词注释
21 防火墙
防火墙〔Firewall〕指设置网络〔信企业部网信公网〕网络安域间实现访问控制组已软件系统道门槛〞效互联网部网隔开保护部网免受非法户入侵某种意义防火墙私俱乐部门检查ID确保俱乐部会员通该进入
22 入侵检测
入侵检测系统种动防御手段够实时分析办公网外部办公网部数通信信息检测出入侵行分辨入侵企图办公网络系统受危害前种方式发出警报时网络入侵采取相应措施限度保护办公网系统安通级分布式网络监督理控制机制全面表达理层办公网关键资源全局控制握调度力
23 协议
计算机通信网络中两台计算机间进行通信必须遵守规定规
三企业现网络结构
企业计算机网络3Com公司CoreBuilder 9000企业核心层交换机3Com CoreBuilder 7000HDCoreBulider 3500Cisco Catalyst 4006二级单位分布层交换机3Com SSII 11003300Cisco Catalyst 3500访问层交换机三层星型网络结构采先进千兆太网技术融合历史ATM网络技术结合Cisco 25111601等提供DDN链路进行远程局域网络连接移动户拨号访问利Cisco 3661 2M DDN 串型链路连接Internet中防火墙代表静态安技术种动防御技术出入网络数进行控制难防范部非法访问缺点动踪入侵者需工实旖维护入侵检测代表动态安技术.种动防御手段够动检测网络易受攻击点安漏洞通常够先工探测危险行.够实时分析网络部通信信息检测出入侵行入侵企图网络系统受危害前种方式发出报警时网络入侵行采取相应措施限度保护网络系统安
图31 星型网络结构
四入侵检测技术设计应
41入侵检测系统
入侵检测系统(IDS)年出现新型网络安技术入侵检测手段种古老检测访问者效方法重弥补防火墙缺乏帮助系统付网络攻击扩展系统理员安理力(包括安审计监视进攻识响应)增强信息安根底结构完整性网络安提供效入侵检测信息采取相应防护手段记录证踪恢复断开网络连接等果说防火墙网络抵御外入侵防盗门入侵检测系统安装防盗门监视器两者相辅相成抵挡网络外攻击
防火墙入侵检测网络安中两强力技术手段二者间表现出功互补性防火墙位两信程度网络间(办公部网络Internet间)软件硬件设备组合两网络间通信进行控制通强制实施统安策略防止重信息资源非法存取访问达保护系统安目必须作种周边安机制防火墙法控制部网络中行应层网络层进行访问控制法通信容数进行监控安威胁防火墙法防范方容易通协议隧道绕防火墙防火墙种基策略动防御措施种粗颗粒防御手段法动调整策略设置阻断正进行攻击法防范基协议攻击单防火墙法实现良安防护性
入侵检测系统种动防御手段够实时分析局域网外部局域网部数通信信息检测出入侵行分辨入侵企图办公网络系统受危害前种方式发出警报时网络入侵采取相应措施限度保护办公网系统安通级分布式网络监督理控制机制全面表达理层办公网关键资源全局控制握调度力
系统中存某特定漏洞入侵检测系统然检测相应攻击事件调整系统状态未发生侵入做出警告果计算机系统具备访问控制力没入侵检测手段会出现战争中方直等阵占领时意识遭受敌攻击样情况显然法完全预防计算机系统受破坏旦计算机系统攻击够立实时检测攻击采取相应行动少防范日进步攻击正入侵检测系统功应付破坏企图种方式入侵检测技术保证信息系统安作言喻单入侵检测系统身时发现攻击行法阻止处理
果防火墙入侵检测系统结合起互动运行入侵检测系统时发现防火墙策略外入侵行防火墙根入侵检测系统反应入侵信息进步调整安策略进步源头阻隔入侵行样提高整防御系统性入侵检测系统防火墙互动原理图示:
图41 入侵检测防火墙互动原理
42网络方案
办公网结构讲分成核心会聚接入3层次网络类型划分会议子网办公子网宿舍子网等特点底接入方式非常包括拨号网宽带接入线网等种形式接入户类型非常复杂员工客户行政办公员外办公网通常双出口结构通ChinaNet通CERNET达互联网层次业务复杂特点网络安显尤重
办公网户访问校外CernetInternet资源通Linux系统Squid代理socks代理进行办公网户收费通常网络流量收费办公网户进行收费squid提供代理认证效劳办公网采100M/1000M太网技术利高端具第三层交换功中心交换机连接办公中建筑物子网
43网络架构图
图42 网络架构
架构中防火墙采启路功Linux机安装包滤防火墙IPtables软件加应层代理软件Squidsocks入侵检测系统三组成局部数捕捉器采著名开放源代码基网络SnortIDS安装Snort机(Linux操作系统)捕获办公网部网络数相关警报数保存安装PostgreSQL数库理系统机(linux操作系统)中入侵检测数进行方便效监视分析时该机中安装ApacheWeb效劳器PHP脚语言入侵检测分析控制台机(Windows操作系统)Web浏览器中检测结果进行分析监视
入侵检测系统接入交换式播送式网络中交换机配置成允许端口监视网络流量然安装SnortLinux机连接端口交换机核心芯片般调试端口(spanport)端口进出信息果交换机厂商端口开放山户入侵检测系统接端口
44 IP址VLAN划分
整网络1921681020 私址块采静态ip址录入方案申请211117(WEB)211119(电信网络接入址)三公ip址划分10vlan区域防火墙启NAT做址映射址分配方案表:
子网
VLAN名称
IP址
默认网关
1
VLAN101
2
VLAN102
3
VLAN103
4
VLAN104
5
VLAN105
6
VLAN106
7
VLAN107
8
VLAN108
9
VLAN109
核心交换机出口
Web效劳器
防火墙入口址
防火墙出口址
五效果评价
办公网www效劳器Email效劳器等中网络安监测系统实时监网络截Internet网传输容复原成完整wwwEmailFTPTelnet应容建立保存相应记录数库时发现网络传输非法容时级安网中心报告采取措施里采取方法:台PC机通集掀起连接网络关键网段修改网卡接收方式接收网段传输信息采种式原网络传输性没影响系统根通两局部组成局部监控器负责实记录网络传输数存成硬盘文件交第二局部台分析进行处理第二局部台分析器负责前台监控器记录数进行处理前台监控器截获数拼装复原成应层完整容然数库中添加相应纪录监控器采台装两块仪态网卡PC机采Linux操作系统分析器台安装WindowsNTPC机承运SQLServer等软件开发样进入站种信息进行检测样滤email等非法信息时进行设置邮件中病毒进行检测阻止病毒进入网络通采取入侵检测技术办公局域网应原局域网中原网络安措施根建立套相完整网络安系统网络安系统工程仅仅防火墙等单系统需仔细考虑系统安需求种安技术密码技术等结合起生成高效通安网络系统
六资金预算
序号
名称
数量
单位
规格型号质量技术标准
价格
1
入侵检测
1
套
海信hnids1000hs3千兆电口1u机架支持千兆网络检测全面特征检测协议分析容分析网络进行全方位安监控审计现防火墙实现联动
92万元
2
维护费
2
月
高级工程师2名*8000元名
16万元
3
费总计
108万元
办公局域网安策略
——VPN流量控制篇
工程名称
办公局域网安策略VPN流量控制篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第三章 办公局域网安策略——VPN流量控制篇
VPN必性
VPN虚拟专网〔Virtual Private NetworkVPN〕种基公数网户种直接连接私局域网感觉效劳〞VPN极降低户费提供传统方法更强安性性VPNInternet技术迅速开展产物量Internet通信根底网络ISP公骨干网建立想果保证低钱公通信网络中安进行数交换企业更低钱连接办事处流开工作员业务合作伙伴显著节省专网络长途费降低公司建设广域网〔WAN〕钱时实现信息资源充分利VPN技术种设想成:通采隧道技术企业网数封装隧道中进行传输通信中双方首先明确确认方真实身份进公通信设施中建立条私专通信隧道利双方协商通信密钥处理信息实现低钱非安公网络安交换信息目VPN实际种效劳户感觉似直接网络相连实际通效劳商实现连接VPN企业效劳提供商带益处:
采远程访问公司提前支付购置支持整企业远程访问根底结构全部费
VPN够充分利现网络资源提供济灵活连网方式客户节省设备员理需投资降低户电信费年迅速应
二VPN行性
21技术行性
虚拟专网〔VPN〕定义通公网络〔通常特网〕建立时安连接条穿混乱公网络安稳定隧道虚拟专网企业部网扩展虚拟专网帮助远程户公司分支机构商业伙伴供商公司部网建立信安连接保证数安传输虚拟专网断增长移动户全球特网接入实现安连接实现企业网站间安通信虚拟专线路济效连接商业伙伴户安外联网虚拟专网
22济行性
VPN够幅度降低拨号线路专线路月收费设计理念简单:户呼发送POP点然互联网通隧道传输呼节约长途 费采集中式信息访问企业通常专线帧中继连接远程站点专线路会产生幅开支种开支会站点间带宽增加距离延长增加连接成WAN维护中项开支站点站点VPN方式降低方面钱公司通互联网建立费较低连接代昂贵专链路降低租链路费——互联网连接距离敏感企业行组建VPN时客户费三局部组成:次性投资〔开户费设备费等〕接入费〔户端口数带宽等收费〕通话费次性投资接入费说相单独建设PBXCENTREX移动集团 等具优越性关机构估算果企业放弃租专线采VPN整网络钱节约21~45 拨号方式连网存取数公司采VPN节约通讯钱50~80开发新业务高钱会提高客户网络应方面边际钱果采VPN效劳话客户需业务应开发方面投入钱通信费
23社会行性
VPN效劳简单便捷特性传统专网果客户实现新业务应话般求客户设计应新技术业务VPN企业更集中营业务提高竞争力时实现专业化程度更强网络运行维护理企业通VPN建立高效部外部网络严格安控制简便安装更企业带便捷通VPN效劳帮助企业客户拓展系列基Web新商机VPN仅降低远程访问钱更具战略意义:VPN提供互联网延伸方进行访问力VPN支持丰富灵活代通讯VPN价值表达安性授权客户空闲带宽中建立安链路专家指出VPN极象 电子邮件样彻底改变生活
三VPN技术方案
31需求分析
实办公系统网络结构进行需求分析该系统需实现网外网安身份认证SSL通道建立数库安访问具体情况
求通某公数邮件效劳器者外部移动办公户分支机构职员
求通Internet访问办公应效劳器者外部移动办公户分支机构职员
求通Internet访问企业台财务系统事系统效劳器者外部移动办公户分支机构职员
VPN效劳器通数库方式完成户身份认证
VPN效劳器根户户组方式决定户访问权限
VPN效劳器客户端效劳器通信提供SSL加密效劳
VPN提供300客户端license
客户端接入方式关客户端通拨号代理NAT等方式连接种连接方式通访问效劳器必修改应程序
32网络逻辑结构图
图31
33技术方案
针述需求EverLink SRAC Gateway作直接连接局域网部效劳器中间设备安放部网络DMZ区配置两IP址部址外部址完成功已建立安通道根底根户提交户名口令确定户身份权限然户建立符合户身份访问效劳器间安通道SRAC Gateway户间通信SSL加密安通道进行传输保证信息传输安性时效劳器访问必须通SRAC效劳器样系统受攻击SRAC效劳器攻击增强应效劳器保护
防火墙屏蔽外网户网效劳器访问保证未许访问网效劳器
防火墙面Switch安装EverLink SRAC Gateway该效劳器采双网卡形式块网卡分配DMZ区IP址块网卡接部网络分配部IP址利SRAC Gateway户理功增加新户户组
SRAC Gateway新增效劳器安通道
户组分配访问安通道 安通道该组中成员开放授权户访问效劳器时先访问SRAC GatewaySRAC Gateway根户帐号户提供授权安通道户利SRAC提供安通道访问应网效劳非授权户安通道访问会拒绝时实现数Internet传输SSL加密
样仅实现基户名口令身份认证时实现SSL传输加密安性提高采取述方案整网络安控体系
四 VPN技术投入造价
序号
名称
数量
价格
1
VPN路器
3
400
2
VPN效劳器
1
4000
3
WEB效劳器
1
2000
4
力
1
1200
5
总计
8400
五流量控制必性
着Internet飞速开展企业办公互联网赖性越越强张高效网络企业办公必保障目前企业企业网络结构相简单企业企业网流量没采QOS效劳质量控制流量控制着企业信息化建设断开展种网络应职工规模流量快速增长网络带宽扩容压力日俱增存问题:
51企业网络带宽资源缺少监造成带宽分配合理
网络效率较低法解企业网络带宽真正应情况重办公应运行没网络带宽保障外提供应效劳质量法保证甚关键时候出现网络阻塞情况
52般中型企业职工数众企业网Pc终端数量较
普通企业网络缺乏效监设备法监控台终端具体流量样存职工工作时间载量工作关文件占网络带宽特P2P等点点传输软件(BT电驴)工作时间视频会占企业网绝数带宽资源t导致企业网络拥塞效劳质量降影响企业工作效率
解决述存问题保证企业够拥张高效办公网络提高工作效率节约工作钱需采取必技术手段BT迅雷视频流等量消耗带宽资源应进行定程度监测控制甚封杀达提高企业网络办公效率目
六流量控制行性
61技术行性
流量控制通常做法输出端口处建立队列进行流量控制控制方式基路基目IP址目子网网络号流量控制器根功模块队列分类滤器目前流量控制种类繁网络理员理时通常采分类方式进行
流量控制理说应具述流量识流量分析流量控制功外般希具防火墙等网络安设备协构建动安威胁防御体系功提升整网络安防护力更保证流量控制
方流量特征识分析种必流量理手段够动发现诸DDoS攻击病毒木马等异常流量较弥补网络安设备防火墙入侵防护系统〔IPS〕统威胁理〔UTM〕等缺乏提升动发现安威胁力够时网络安设备发出告警安威胁源头开始进行动防御外具备流量识力流量控制理够获取保存流量控制网络层信息〔例源目IP址应端口户标识ID等信息〕通信息网络理者够安威胁进行溯源定位
62济行性
具备流量控制力流量控制理够严重影响业务运营者收入未许业务进行抑制方VoIP业务通VoIP信令流量媒体流量关联检测统计分析通截断媒体数包伪装信令报文等方式流量进行理通综合网络层传输层应层检测技术未许宽带私接户采取中断连接动告警分时控制等种理动作
63社会行性
流量控制够帮助流量控制理实现业务资源调度够获业务资源业务状态实时情况某网络应业务效劳器负载较时进行全局业务资源负载均衡均承业务请求 时够户业务请求进行调度决定否继续响应户新业务请求根户优先级优先响应高优先级户业务请求提升业务运营效率
流量控制力添加流量控制理中够帮助网络理者网络资源业务资源进行带宽控制资源调度HTTPFTPSMTPP2P等应进行理尤P2P流量进行抑制提升传统数业务户体验度
七流量控制技术方案
71流量控制捕捉分类
进行流量控制理第步通设置捕捉点流量控制进行捕捉分类进行续分析控制工作里特需强调流量控制分类非常宏观化细化方TCPUDPICMP等分类拟宏观HTTPFTP甚诸KazzaSkype等P2P流量分类识拟细化日常工作中网络理员采WiresharkTCPDump等知名报文捕捉分析软件进行流量捕捉分类工作
72流量控制监视〔分析〕
监视显示流量运行状况帮助找出问题执行相应理策略应程序网络理够收集分类展示收集信息包括带宽利率活泼机网络效率活泼应程序该目标通采市面常见NTOP等视化分析理工具协助网络理员实际工作中实现
73控制策略
流量控制分析步根优先级分配带宽资源分配机应等等特需考虑注意消耗资源P2P程序者音频视频载等进行滞考虑具体操作时应流行流量控制工具进行实现进行分类监视控制流量控制样流量控制效理起原序流量控制变序起
八资金预算
流量控制器1:1500X11500
力:1500
:3000
总计:6000
序号
名称
数量
价格
1
流量控制器
1
1500
2
力
1
1500
3
3000
4
总计
6000
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
工学院学院综合报告
报告名称:计算机安
专业 级 班
姓名:
成绩:
指导老师: 杨华
2021 年 6 月
第章 办公局域网安策略——防火墙篇 1
引言 1
二关键词注释 3
21 防火墙 3
22 工作站 3
23路器 3
三企业现网络结构 5
四户现需求总体架构设计 7
41网络拓扑结构 7
42网络系统组成 7
43安策略 8
五效果 11
51效劳器系统安 11
52网络防病毒系统 11
53网络安设备选型配置 11
六资金预算 13
第二章 办公局域网——入侵检测篇 17
引言 17
二关键词注释 19
21 防火墙 19
22 入侵检测 19
23 协议 19
三企业现网络结构 21
四入侵检测技术设计应 23
41入侵检测系统 23
42网络方案 24
43网络架构图 24
44 IP址VLAN划分 26
五效果评价 27
六资金预算 29
第三章 办公局域网安策略——VPN流量控制篇 33
VPN必性 33
二VPN行性 35
21技术行性 35
22济行性 35
23社会行性 35
三VPN技术方案 37
31需求分析 37
32网络逻辑结构图 38
33技术方案 38
四 VPN技术投入造价 41
五流量控制必性 43
51企业网络带宽资源缺少监造成带宽分配合理 43
52般中型企业职工数众企业网Pc终端数量较 43
六流量控制行性 45
61技术行性 45
62济行性 45
63社会行性 45
七流量控制技术方案 47
71流量控制捕捉分类 47
72流量控制监视〔分析〕 47
73控制策略 47
八资金预算 49
办公局域网安策略
——防火墙篇
工程名称
办公局域网安策略防火墙篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第章 办公局域网安策略——防火墙篇
引言
着办公动化需办公室计算机数目越越办公设备印机 机扫描仪等户必须面种情况解决方法组建办公局域网享资源局域网〔LAN〕指范围效劳器台电脑组成工作组互联网络通交换机效劳器连接网台电脑局域网信息传输速率拟高时局域网采技术拟简单安措施较少样病毒传播提供效通道数信息安埋隐患局域网网络安威胁通常类:
〔1〕欺骗性软件数安性降低
〔2〕计算机病毒恶意代码威胁
〔3〕效劳器区域没进行独立防护
〔4〕IP址突
〔5〕局域网户安意识强
正局域网应独特特点造成局域网病毒快速传递数安性低网电脑相互感染病毒屡杀数常丧失着Internet网络信息技术迅速开展种应日益普单位计算机局域网已成重根底设施网络安问题显尤重事利必弊〞益信息带新巨机遇时面信息安问题严峻考验黑客攻击〞网站黑〞CIH病毒〞时刻充满网络中电子战〞已成国国间商家商家间种重攻击防卫手段信息安网络安问题已引起国部门行业计算机户充分重视目前言局部网络保护防火墙然失种效手段
防火墙种非常效网络安模型保护安网络免受安网络入侵方安网络企业部网络安网络特网防火墙特网Internet中部门网络间逻辑防火墙滤器限制器分析器物理防火墙实现种方式通常防火墙组硬件设备-路器
二关键词注释
21 防火墙
防火墙〔Firewall〕指设置网络〔信企业部网信公网〕网络安域间实现访问控制组已软件系统道门槛〞效互联网部网隔开保护部网免受非法户入侵某种意义防火墙私俱乐部门检查ID确保俱乐部会员通该进入
22 工作站
工作站种高档微型计算机通常配高分辨率屏幕显示器容量存储器外部存储器具较强信息处理功高性图形图处理功联网功
23路器
路器:连接特网中局域网广域网设备会根信道情况动选择设定路正确路径前序发送信号设备
三企业现网络结构
企业计算机网络3Com公司CoreBuilder 9000企业核心层交换机3Com CoreBuilder 7000HDCoreBulider 3500Cisco Catalyst 4006二级单位分布层交换机3Com SSII 11003300Cisco Catalyst 3500访问层交换机三层星型网络结构采先进千兆太网技术融合历史ATM网络技术结合Cisco 25111601等提供DDN链路进行远程局域网络连接移动户拨号访问利Cisco 3661 2M DDN 串型链路连接Internet
图31星型网络结构
四户现需求总体架构设计
41网络拓扑结构
图41 办公局域网网络拓扑结构图
42网络系统组成
硬件系统计算机网络根底硬件系统中设备组合形式决定计算机网络类型
〔1〕效劳器(Unix系统)
效劳器台速度快存储量计算机网络系统核心设备负责网络资源理户效劳效劳器分文件效劳器远程访问效劳器数库效劳器印效劳器等台专途计算机互联网中效劳器间互通信息相互提供效劳台效劳器位等效劳器需专门技术员进行理维护保证整网络正常运行
(2)工作站
工作站具独立处理力计算机户效劳器申请效劳终端设备户工作站处理日常工作时效劳器索取种信息数请求效劳器提供种效劳(传输文件印文件等等)
(3)路器
路器(Router)互联网中连接设备两网络连接起组成更网络连接网络局域网互联网连接网络称互联网路器仅网桥全部功具路径选择功路器根网络信息拥挤程度动选择适线路传递信息
(4)交换机
交换机三功:
学:太网交换机解端口相连设备MAC址址相应端口映射起存放交换机缓存中MAC址表中
转发滤:数帧目址MAC址表中映射时转发连接目节点端口端口(该数帧播送组播帧转发端口)
消回路:交换机包括冗余回路时太网交换机通生成树协议防止回路产生时允许存备路径
43安策略
PIX 防火墙诸WebFTPTelnet SMTP等网络效劳分提供安策略企业网络安配置具灵活性高性效企业网络中防火墙需规划网络安策略保护重数资源通建立改良企业网络安策略防止企业外部网络非法恶意攻击控制企业网络失效概率
网络安策略必须确保户执行授权务获取授权信息具关键数应程序系统操作环境破坏力
建立全面网络安策略网络理员需确定作:
〔1〕出企业网络完全示意图说明系统连接Internet
细节效劳器细节相应IP址
〔2〕识出应保护系统外部网络访问系统等
PIX 防火墙网络址转换功〔NAT〕实现功
〔3〕识出部网络效劳外部网络访问说明外
部户访问效劳需验证授权方法类型
〔4〕标识出防火墙协调工作路器
需说明PIX防火墙防止网络部恶意攻击防止部威胁部网络户需分配工作相适应权限
校园计算机网络例根PIX防火墙功说明企业网络安策略规划实施
根办公室计算机网络Internet访问系统配置画出系统示意图:
Internet
1271041024
Pix525
Firewall
3
AAADNS效劳器10124111
9
邮件效劳器10124112
WWW效劳器10124113
办公网络
交换机
Outside 1271041023
WWWDNS效劳器
图41 防火墙配置结构图
网络中PIX防火墙安装两接口部接口Inside〔101241253〕外部接口Outside〔1271041023〕Inside接口连接企业部网络1012400Outside接口连接外部InternetInside接口连接企业部网络私IP址Outside接口连接外部网络连接设备Internet合法IP址网络Internet访问台Cisco 3600路器通2M DDN数专线连接Internet防火墙外设置台效劳器作DNS效劳进行Web电子邮件域名解析
根Internet访问安策略部网络授权户访问外部Internet外部Internet户访问部网络Email效劳实现外部网络电子邮件相互访问允许外部Internet电子邮件进入部网络部网络户需设置邮件账号实现部网络外部Internet网络电子邮件收发实现企业信息外发布
根述安策略求部网络需设置台Cisco ACS 23软件AAA验证效劳器适合PIX 525防火墙实现Internet 访问授权授权户进行相应效劳类型Internet访问实现部网络户访问Internet利PIX防火墙网络址转换〔NAT〕功部网络址转换外部合法IP址允许外部网络访问部Email效劳资源利PIX防火墙静态址映射〔Static〕功外部虚拟邮件效劳器址1271041025部网络邮件效劳器址10124112映射捆绑实现外部网络电子邮件收发例部户外部网络发送Email时PIX防火墙10124112址转换1271041025外部户部网络发送Email时PIX防火墙1271041025址转换10124112实现外部邮件收发实现企业信息外发布外部户访问部WWW效劳器防火墙外部Outside网络端Perimeter网络端设置WWW效劳器选择防火墙外部Outside网络端设置台WWW效劳器企业信息外发布效劳器进行外部合法IP址解析
通网络安策略分析总结具体实现方法利防火墙相应功进行适配置实现Internet访问安
五效果
51效劳器系统安
效劳器系统安实现网络系统安策略紧密相关校园网系统分网外网采防火墙隔离网外网直接互相访问网外网间设置非军事区网外网间访问全部通防火墙实现
根发原校网络应系统效劳器安WWWEmail等效劳器设置非军事区实现网外网访问
52网络防病毒系统
建议安装卡巴斯基®互联网安套装60该软件功强反病毒扫描网络数流系统文件保护动防御反间谍软件
网络防病毒系统求做整部网杜绝病毒感染传播发作求提供种防病毒软件安装方式网络理员远程监控客户机发现病毒时通知网络理员网络中台计算机进行防病毒控制理客户端效劳器具统杀毒版该户选择瑞星公司杀毒软件网络版根底作网络防病毒解决方案采分级理重防护理架构
53网络安设备选型配置
防火墙定义:防火墙位计算机连接网络间软件该计算机流入流出网络通信均防火墙
防火墙功:防火墙流网络通信进行扫描样够滤掉攻击免目标计算机执行防火墙关闭端口禁止特定端口流出通信封锁特洛伊木马禁止特殊站点访问防止明入侵者通信什防火墙呢?防火墙具保护作入侵者必须首先穿越防火墙安防线接触目标计算机防火墙配置成许保护级高级保护会禁止效劳视频流等
六资金预算
硬件费:
思科PIX535FOBUN*房间数45600*9 410400元
网络双绞线1800m*1元 m 1800元
员费:
高级工程师2名*8000元名16000元
布线员5名*1500元名7500元
总计:
硬件费+员费410400+1800+16000+7500435700元
办公局域网安策略
——入侵检测篇
工程名称
办公局域网安策略入侵检测篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第二章 办公局域网——入侵检测篇
引言
着办公动化需办公室计算机数目越越办公设备印机 机扫描仪等户必须面种情况解决方法组建办公局域网享资源局域网〔LAN〕指范围效劳器台电脑组成工作组互联网络通交换机效劳器连接网台电脑局域网信息传输速率拟高时局域网采技术拟简单安措施较少样病毒传播提供效通道数信息安埋隐患局域网网络安威胁通常类:
〔1〕欺骗性软件数安性降低
〔2〕计算机病毒恶意代码威胁
〔3〕效劳器区域没进行独立防护
〔4〕IP址突
〔5〕局域网户安意识强
正局域网应独特特点造成局域网病毒快速传递数安性低网电脑相互感染病毒屡杀数常丧失着Internet网络信息技术迅速开展种应日益普单位计算机局域网已成重根底设施网络安问题显尤重事利必弊〞益信息带新巨机遇时面信息安问题严峻考验黑客攻击〞网站黑〞CIH病毒〞时刻充满网络中电子战〞已成国国间商家商家间种重攻击防卫手段信息安网络安问题已引起国部门行业计算机户充分重视入侵检测系统计算机网络安重组成局部实现实时入侵检测功动保护网络免受攻击防火墙合理补充扩展系统理员安理力提高信息安根底结构完整性
文进步拟防火墙入侵检测系统区联系探究优缺点提出防火墙入侵检测结合相互取长补短更发挥优势功结结合办公网建设理提出种办公网中防火墙入侵检测联动起相互运行理念入侵检测作防火墙益补充防火墙便通入侵检测时发现策略外遗漏攻击行入侵检测通防火墙外部网络攻击行进行阻断样必幅增加运行钱根底提高办公网络系统安防护水网络理水
二关键词注释
21 防火墙
防火墙〔Firewall〕指设置网络〔信企业部网信公网〕网络安域间实现访问控制组已软件系统道门槛〞效互联网部网隔开保护部网免受非法户入侵某种意义防火墙私俱乐部门检查ID确保俱乐部会员通该进入
22 入侵检测
入侵检测系统种动防御手段够实时分析办公网外部办公网部数通信信息检测出入侵行分辨入侵企图办公网络系统受危害前种方式发出警报时网络入侵采取相应措施限度保护办公网系统安通级分布式网络监督理控制机制全面表达理层办公网关键资源全局控制握调度力
23 协议
计算机通信网络中两台计算机间进行通信必须遵守规定规
三企业现网络结构
企业计算机网络3Com公司CoreBuilder 9000企业核心层交换机3Com CoreBuilder 7000HDCoreBulider 3500Cisco Catalyst 4006二级单位分布层交换机3Com SSII 11003300Cisco Catalyst 3500访问层交换机三层星型网络结构采先进千兆太网技术融合历史ATM网络技术结合Cisco 25111601等提供DDN链路进行远程局域网络连接移动户拨号访问利Cisco 3661 2M DDN 串型链路连接Internet中防火墙代表静态安技术种动防御技术出入网络数进行控制难防范部非法访问缺点动踪入侵者需工实旖维护入侵检测代表动态安技术.种动防御手段够动检测网络易受攻击点安漏洞通常够先工探测危险行.够实时分析网络部通信信息检测出入侵行入侵企图网络系统受危害前种方式发出报警时网络入侵行采取相应措施限度保护网络系统安
图31 星型网络结构
四入侵检测技术设计应
41入侵检测系统
入侵检测系统(IDS)年出现新型网络安技术入侵检测手段种古老检测访问者效方法重弥补防火墙缺乏帮助系统付网络攻击扩展系统理员安理力(包括安审计监视进攻识响应)增强信息安根底结构完整性网络安提供效入侵检测信息采取相应防护手段记录证踪恢复断开网络连接等果说防火墙网络抵御外入侵防盗门入侵检测系统安装防盗门监视器两者相辅相成抵挡网络外攻击
防火墙入侵检测网络安中两强力技术手段二者间表现出功互补性防火墙位两信程度网络间(办公部网络Internet间)软件硬件设备组合两网络间通信进行控制通强制实施统安策略防止重信息资源非法存取访问达保护系统安目必须作种周边安机制防火墙法控制部网络中行应层网络层进行访问控制法通信容数进行监控安威胁防火墙法防范方容易通协议隧道绕防火墙防火墙种基策略动防御措施种粗颗粒防御手段法动调整策略设置阻断正进行攻击法防范基协议攻击单防火墙法实现良安防护性
入侵检测系统种动防御手段够实时分析局域网外部局域网部数通信信息检测出入侵行分辨入侵企图办公网络系统受危害前种方式发出警报时网络入侵采取相应措施限度保护办公网系统安通级分布式网络监督理控制机制全面表达理层办公网关键资源全局控制握调度力
系统中存某特定漏洞入侵检测系统然检测相应攻击事件调整系统状态未发生侵入做出警告果计算机系统具备访问控制力没入侵检测手段会出现战争中方直等阵占领时意识遭受敌攻击样情况显然法完全预防计算机系统受破坏旦计算机系统攻击够立实时检测攻击采取相应行动少防范日进步攻击正入侵检测系统功应付破坏企图种方式入侵检测技术保证信息系统安作言喻单入侵检测系统身时发现攻击行法阻止处理
果防火墙入侵检测系统结合起互动运行入侵检测系统时发现防火墙策略外入侵行防火墙根入侵检测系统反应入侵信息进步调整安策略进步源头阻隔入侵行样提高整防御系统性入侵检测系统防火墙互动原理图示:
图41 入侵检测防火墙互动原理
42网络方案
办公网结构讲分成核心会聚接入3层次网络类型划分会议子网办公子网宿舍子网等特点底接入方式非常包括拨号网宽带接入线网等种形式接入户类型非常复杂员工客户行政办公员外办公网通常双出口结构通ChinaNet通CERNET达互联网层次业务复杂特点网络安显尤重
办公网户访问校外CernetInternet资源通Linux系统Squid代理socks代理进行办公网户收费通常网络流量收费办公网户进行收费squid提供代理认证效劳办公网采100M/1000M太网技术利高端具第三层交换功中心交换机连接办公中建筑物子网
43网络架构图
图42 网络架构
架构中防火墙采启路功Linux机安装包滤防火墙IPtables软件加应层代理软件Squidsocks入侵检测系统三组成局部数捕捉器采著名开放源代码基网络SnortIDS安装Snort机(Linux操作系统)捕获办公网部网络数相关警报数保存安装PostgreSQL数库理系统机(linux操作系统)中入侵检测数进行方便效监视分析时该机中安装ApacheWeb效劳器PHP脚语言入侵检测分析控制台机(Windows操作系统)Web浏览器中检测结果进行分析监视
入侵检测系统接入交换式播送式网络中交换机配置成允许端口监视网络流量然安装SnortLinux机连接端口交换机核心芯片般调试端口(spanport)端口进出信息果交换机厂商端口开放山户入侵检测系统接端口
44 IP址VLAN划分
整网络1921681020 私址块采静态ip址录入方案申请211117(WEB)211119(电信网络接入址)三公ip址划分10vlan区域防火墙启NAT做址映射址分配方案表:
子网
VLAN名称
IP址
默认网关
1
VLAN101
2
VLAN102
3
VLAN103
4
VLAN104
5
VLAN105
6
VLAN106
7
VLAN107
8
VLAN108
9
VLAN109
核心交换机出口
Web效劳器
防火墙入口址
防火墙出口址
五效果评价
办公网www效劳器Email效劳器等中网络安监测系统实时监网络截Internet网传输容复原成完整wwwEmailFTPTelnet应容建立保存相应记录数库时发现网络传输非法容时级安网中心报告采取措施里采取方法:台PC机通集掀起连接网络关键网段修改网卡接收方式接收网段传输信息采种式原网络传输性没影响系统根通两局部组成局部监控器负责实记录网络传输数存成硬盘文件交第二局部台分析进行处理第二局部台分析器负责前台监控器记录数进行处理前台监控器截获数拼装复原成应层完整容然数库中添加相应纪录监控器采台装两块仪态网卡PC机采Linux操作系统分析器台安装WindowsNTPC机承运SQLServer等软件开发样进入站种信息进行检测样滤email等非法信息时进行设置邮件中病毒进行检测阻止病毒进入网络通采取入侵检测技术办公局域网应原局域网中原网络安措施根建立套相完整网络安系统网络安系统工程仅仅防火墙等单系统需仔细考虑系统安需求种安技术密码技术等结合起生成高效通安网络系统
六资金预算
序号
名称
数量
单位
规格型号质量技术标准
价格
1
入侵检测
1
套
海信hnids1000hs3千兆电口1u机架支持千兆网络检测全面特征检测协议分析容分析网络进行全方位安监控审计现防火墙实现联动
92万元
2
维护费
2
月
高级工程师2名*8000元名
16万元
3
费总计
108万元
办公局域网安策略
——VPN流量控制篇
工程名称
办公局域网安策略VPN流量控制篇
班级名称
计科0801班
姓 名
栗俊恒
学 号
080102060069
指导老师
杨华
第三章 办公局域网安策略——VPN流量控制篇
VPN必性
VPN虚拟专网〔Virtual Private NetworkVPN〕种基公数网户种直接连接私局域网感觉效劳〞VPN极降低户费提供传统方法更强安性性VPNInternet技术迅速开展产物量Internet通信根底网络ISP公骨干网建立想果保证低钱公通信网络中安进行数交换企业更低钱连接办事处流开工作员业务合作伙伴显著节省专网络长途费降低公司建设广域网〔WAN〕钱时实现信息资源充分利VPN技术种设想成:通采隧道技术企业网数封装隧道中进行传输通信中双方首先明确确认方真实身份进公通信设施中建立条私专通信隧道利双方协商通信密钥处理信息实现低钱非安公网络安交换信息目VPN实际种效劳户感觉似直接网络相连实际通效劳商实现连接VPN企业效劳提供商带益处:
采远程访问公司提前支付购置支持整企业远程访问根底结构全部费
VPN够充分利现网络资源提供济灵活连网方式客户节省设备员理需投资降低户电信费年迅速应
二VPN行性
21技术行性
虚拟专网〔VPN〕定义通公网络〔通常特网〕建立时安连接条穿混乱公网络安稳定隧道虚拟专网企业部网扩展虚拟专网帮助远程户公司分支机构商业伙伴供商公司部网建立信安连接保证数安传输虚拟专网断增长移动户全球特网接入实现安连接实现企业网站间安通信虚拟专线路济效连接商业伙伴户安外联网虚拟专网
22济行性
VPN够幅度降低拨号线路专线路月收费设计理念简单:户呼发送POP点然互联网通隧道传输呼节约长途 费采集中式信息访问企业通常专线帧中继连接远程站点专线路会产生幅开支种开支会站点间带宽增加距离延长增加连接成WAN维护中项开支站点站点VPN方式降低方面钱公司通互联网建立费较低连接代昂贵专链路降低租链路费——互联网连接距离敏感企业行组建VPN时客户费三局部组成:次性投资〔开户费设备费等〕接入费〔户端口数带宽等收费〕通话费次性投资接入费说相单独建设PBXCENTREX移动集团 等具优越性关机构估算果企业放弃租专线采VPN整网络钱节约21~45 拨号方式连网存取数公司采VPN节约通讯钱50~80开发新业务高钱会提高客户网络应方面边际钱果采VPN效劳话客户需业务应开发方面投入钱通信费
23社会行性
VPN效劳简单便捷特性传统专网果客户实现新业务应话般求客户设计应新技术业务VPN企业更集中营业务提高竞争力时实现专业化程度更强网络运行维护理企业通VPN建立高效部外部网络严格安控制简便安装更企业带便捷通VPN效劳帮助企业客户拓展系列基Web新商机VPN仅降低远程访问钱更具战略意义:VPN提供互联网延伸方进行访问力VPN支持丰富灵活代通讯VPN价值表达安性授权客户空闲带宽中建立安链路专家指出VPN极象 电子邮件样彻底改变生活
三VPN技术方案
31需求分析
实办公系统网络结构进行需求分析该系统需实现网外网安身份认证SSL通道建立数库安访问具体情况
求通某公数邮件效劳器者外部移动办公户分支机构职员
求通Internet访问办公应效劳器者外部移动办公户分支机构职员
求通Internet访问企业台财务系统事系统效劳器者外部移动办公户分支机构职员
VPN效劳器通数库方式完成户身份认证
VPN效劳器根户户组方式决定户访问权限
VPN效劳器客户端效劳器通信提供SSL加密效劳
VPN提供300客户端license
客户端接入方式关客户端通拨号代理NAT等方式连接种连接方式通访问效劳器必修改应程序
32网络逻辑结构图
图31
33技术方案
针述需求EverLink SRAC Gateway作直接连接局域网部效劳器中间设备安放部网络DMZ区配置两IP址部址外部址完成功已建立安通道根底根户提交户名口令确定户身份权限然户建立符合户身份访问效劳器间安通道SRAC Gateway户间通信SSL加密安通道进行传输保证信息传输安性时效劳器访问必须通SRAC效劳器样系统受攻击SRAC效劳器攻击增强应效劳器保护
防火墙屏蔽外网户网效劳器访问保证未许访问网效劳器
防火墙面Switch安装EverLink SRAC Gateway该效劳器采双网卡形式块网卡分配DMZ区IP址块网卡接部网络分配部IP址利SRAC Gateway户理功增加新户户组
SRAC Gateway新增效劳器安通道
户组分配访问安通道 安通道该组中成员开放授权户访问效劳器时先访问SRAC GatewaySRAC Gateway根户帐号户提供授权安通道户利SRAC提供安通道访问应网效劳非授权户安通道访问会拒绝时实现数Internet传输SSL加密
样仅实现基户名口令身份认证时实现SSL传输加密安性提高采取述方案整网络安控体系
四 VPN技术投入造价
序号
名称
数量
价格
1
VPN路器
3
400
2
VPN效劳器
1
4000
3
WEB效劳器
1
2000
4
力
1
1200
5
总计
8400
五流量控制必性
着Internet飞速开展企业办公互联网赖性越越强张高效网络企业办公必保障目前企业企业网络结构相简单企业企业网流量没采QOS效劳质量控制流量控制着企业信息化建设断开展种网络应职工规模流量快速增长网络带宽扩容压力日俱增存问题:
51企业网络带宽资源缺少监造成带宽分配合理
网络效率较低法解企业网络带宽真正应情况重办公应运行没网络带宽保障外提供应效劳质量法保证甚关键时候出现网络阻塞情况
52般中型企业职工数众企业网Pc终端数量较
普通企业网络缺乏效监设备法监控台终端具体流量样存职工工作时间载量工作关文件占网络带宽特P2P等点点传输软件(BT电驴)工作时间视频会占企业网绝数带宽资源t导致企业网络拥塞效劳质量降影响企业工作效率
解决述存问题保证企业够拥张高效办公网络提高工作效率节约工作钱需采取必技术手段BT迅雷视频流等量消耗带宽资源应进行定程度监测控制甚封杀达提高企业网络办公效率目
六流量控制行性
61技术行性
流量控制通常做法输出端口处建立队列进行流量控制控制方式基路基目IP址目子网网络号流量控制器根功模块队列分类滤器目前流量控制种类繁网络理员理时通常采分类方式进行
流量控制理说应具述流量识流量分析流量控制功外般希具防火墙等网络安设备协构建动安威胁防御体系功提升整网络安防护力更保证流量控制
方流量特征识分析种必流量理手段够动发现诸DDoS攻击病毒木马等异常流量较弥补网络安设备防火墙入侵防护系统〔IPS〕统威胁理〔UTM〕等缺乏提升动发现安威胁力够时网络安设备发出告警安威胁源头开始进行动防御外具备流量识力流量控制理够获取保存流量控制网络层信息〔例源目IP址应端口户标识ID等信息〕通信息网络理者够安威胁进行溯源定位
62济行性
具备流量控制力流量控制理够严重影响业务运营者收入未许业务进行抑制方VoIP业务通VoIP信令流量媒体流量关联检测统计分析通截断媒体数包伪装信令报文等方式流量进行理通综合网络层传输层应层检测技术未许宽带私接户采取中断连接动告警分时控制等种理动作
63社会行性
流量控制够帮助流量控制理实现业务资源调度够获业务资源业务状态实时情况某网络应业务效劳器负载较时进行全局业务资源负载均衡均承业务请求 时够户业务请求进行调度决定否继续响应户新业务请求根户优先级优先响应高优先级户业务请求提升业务运营效率
流量控制力添加流量控制理中够帮助网络理者网络资源业务资源进行带宽控制资源调度HTTPFTPSMTPP2P等应进行理尤P2P流量进行抑制提升传统数业务户体验度
七流量控制技术方案
71流量控制捕捉分类
进行流量控制理第步通设置捕捉点流量控制进行捕捉分类进行续分析控制工作里特需强调流量控制分类非常宏观化细化方TCPUDPICMP等分类拟宏观HTTPFTP甚诸KazzaSkype等P2P流量分类识拟细化日常工作中网络理员采WiresharkTCPDump等知名报文捕捉分析软件进行流量捕捉分类工作
72流量控制监视〔分析〕
监视显示流量运行状况帮助找出问题执行相应理策略应程序网络理够收集分类展示收集信息包括带宽利率活泼机网络效率活泼应程序该目标通采市面常见NTOP等视化分析理工具协助网络理员实际工作中实现
73控制策略
流量控制分析步根优先级分配带宽资源分配机应等等特需考虑注意消耗资源P2P程序者音频视频载等进行滞考虑具体操作时应流行流量控制工具进行实现进行分类监视控制流量控制样流量控制效理起原序流量控制变序起
八资金预算
流量控制器1:1500X11500
力:1500
:3000
总计:6000
序号
名称
数量
价格
1
流量控制器
1
1500
2
力
1
1500
3
3000
4
总计
6000
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档
