常州信息職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計報告企業(yè)網(wǎng)絡(luò)實施方案設(shè)計PAGEPAGE35常州信息職業(yè)技術(shù)學(xué)院學(xué)生畢業(yè)設(shè)計（論文）報告系別：計算機（軟件）學(xué)院專業(yè)：計算機網(wǎng)絡(luò)技術(shù)班號：學(xué)生姓名：學(xué)生學(xué)號：企業(yè)網(wǎng)絡(luò)實施方案設(shè)計指導(dǎo)教師：設(shè)計地點：常州信息職業(yè)技術(shù)學(xué)院起迄日期：2010.6.18~2010.8.28

畢業(yè)設(shè)計（論文）任務(wù)書專業(yè)班級姓名一、課題名稱：企業(yè)網(wǎng)絡(luò)實施方案設(shè)計二、主要技術(shù)指標：1.使用、管理和維護常規(guī)的網(wǎng)絡(luò)服務(wù)器和網(wǎng)絡(luò)客戶端；2.實現(xiàn)資源的下載與訪問；3.使用、管理和維護公司現(xiàn)有的各種網(wǎng)絡(luò)應(yīng)用服務(wù)，并能夠?qū)崿F(xiàn)針對不同的業(yè)務(wù)需要，增加相應(yīng)的網(wǎng)絡(luò)服務(wù)；4.完成日常網(wǎng)絡(luò)管理的安全方案的配置和部署，形成良好的用網(wǎng)、管網(wǎng)習(xí)慣。三、工作內(nèi)容和要求：進行一定的調(diào)查分析，以迅強公司為載體，明確中小型企業(yè)內(nèi)部局域網(wǎng)架構(gòu)的任務(wù)和目標，同時根據(jù)給定的應(yīng)用要求，盡可能安全的實現(xiàn)該企業(yè)用網(wǎng)需要：1.構(gòu)建企業(yè)網(wǎng)絡(luò)拓撲圖；2.配置企業(yè)中的所有計算機分配IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)；3.配置內(nèi)部網(wǎng)站服務(wù)器，要求企業(yè)內(nèi)部用戶通過域名進行訪問；4.配置內(nèi)部FTP服務(wù)器，實現(xiàn)企業(yè)內(nèi)部的用戶下載；5．配置內(nèi)部DNS服務(wù)器，實現(xiàn)內(nèi)部用戶訪問企業(yè)網(wǎng)站服務(wù)器；6.配置路由器，實現(xiàn)內(nèi)部客戶端計算機對外部網(wǎng)站服務(wù)器的訪問；7.配置防火墻的控制列表，以保護內(nèi)部網(wǎng)絡(luò)；8.根據(jù)特定的網(wǎng)絡(luò)管理任務(wù)需求，完成相應(yīng)的管理任務(wù)；最后，根據(jù)任務(wù)完成的情況撰寫畢業(yè)設(shè)計報告：要求：（1）論文中應(yīng)包含具體的案例場景說明和完成的各項主要工作（2）論文按照規(guī)范模板撰寫，要有中英文摘要、關(guān)鍵詞、目錄、論文背景闡述、系統(tǒng)設(shè)計和實現(xiàn)的主要過程分析、結(jié)論、參考文獻（3）具體的設(shè)計和安排必須有詳細的原理分析和解釋，具體的操作步驟必須有詳細的說明（4）摘要部分的字數(shù)不得少于300字，正文部分字數(shù)不得少于8000字四、主要參考文獻：1.Microsoft．操作系統(tǒng)的安裝、配置和管理[M]．北京：高等教育出版社，2003.82.微軟公司．網(wǎng)絡(luò)基本架構(gòu)的實現(xiàn)與管理[M]．北京：高等教育出版社，2004.103.微軟公司．操作系統(tǒng)WinXP和Win2003的幫助文檔；4.微軟公司．網(wǎng)絡(luò)安全的實現(xiàn)和管理[M]．北京：高等教育出版社，2005.85.劉智慧．淺談企業(yè)網(wǎng)絡(luò)的組建[J]．硅谷,2008,23,506.顧昕．某內(nèi)部網(wǎng)絡(luò)安全防護系統(tǒng)的設(shè)計與實現(xiàn)[D]．四川大學(xué)，碩士論文，2006學(xué)生（簽名）年月日指導(dǎo)教師（簽名）年月日教研室主任（簽名）年月日系主任（簽名）年月日

畢業(yè)設(shè)計（論文）開題報告設(shè)計（論文）題目企業(yè)網(wǎng)絡(luò)實施方案設(shè)計選題的背景和意義：隨著計算機的普及應(yīng)運，網(wǎng)絡(luò)化和信息化變得越來越重要，現(xiàn)在各公司或多或少規(guī)模不等的均有了自己的網(wǎng)絡(luò)，我們利用所學(xué)的知識，然后經(jīng)過一定的調(diào)查分析之后，能更好的配置、管理和利用現(xiàn)有的網(wǎng)絡(luò)資源，構(gòu)建一個比較安全的網(wǎng)絡(luò)環(huán)境，使之更好更有效的為公司為員工服務(wù)，為公司創(chuàng)造更多的利益，同時實現(xiàn)我們的價值。課題研究的主要內(nèi)容：（1）需求分析，根據(jù)具體的需要為迅強公司設(shè)計網(wǎng)絡(luò)拓撲圖。（2）配置公司內(nèi)部的服務(wù)器。（3）結(jié)合公司實際運作場景，設(shè)計若干任務(wù)和案例場景。（4）對于一些異常情況和特殊的需求，給出一些可選的方案和條例建議。如：敏感數(shù)據(jù)的保密和遠程訪問的實現(xiàn)等。（5）根據(jù)特定的訪問要求和安全需要，設(shè)計相應(yīng)的訪問規(guī)則和篩選。（6）根據(jù)實際情況，提供可行的解決方案。主要研究（設(shè)計）方法論述：（1）查閱相關(guān)資料，熟悉相關(guān)的場景（2）根據(jù)企業(yè)具體需求，進行一定的網(wǎng)絡(luò)規(guī)劃，并畫出相應(yīng)的網(wǎng)絡(luò)拓撲圖和具體的設(shè)備選型。（3）按照企業(yè)當(dāng)中日常資源管理任務(wù)設(shè)定特定的案例場景，模擬客戶端的需求編寫相應(yīng)的需求分析書。（4）針對特定的任務(wù)在熟練掌握原理的前提之下，靈活運用相關(guān)知識點，使之更好的為用戶服務(wù)、為單位服務(wù)。（5）以項目驅(qū)動的方式完成整個設(shè)計流程。（6）對整個網(wǎng)絡(luò)進行驗證和驗收。四、設(shè)計（論文）進度安排：時間（迄止日期）工作內(nèi)容2009.6.18～2009.6.30準備工作階段，消化課題，撰寫開提報告2009.7.1～2009.7.10查閱資料，向迅強公司相關(guān)人員做應(yīng)用需求分析2009.7.11～2009.7.20完成初步網(wǎng)絡(luò)方案設(shè)計2009.7.21～2009.8.10完成完整方案設(shè)計和部分服務(wù)器的部署和配置實現(xiàn)2009.8.11～2009.8.17撰寫畢業(yè)論文(初稿－電子稿)2009.8.18～2009.8.25撰寫畢業(yè)論文(終稿－打印稿)

五、指導(dǎo)教師意見：指導(dǎo)教師簽名：年月日六、系部意見：系主任簽名：年月日目錄摘要 1Abstract 21.1概述 41.2用戶需求分析 41.3企業(yè)網(wǎng)的設(shè)計目標 41.4系統(tǒng)建設(shè)設(shè)計原則 42.企業(yè)網(wǎng)絡(luò)中心方案 62.1.企業(yè)網(wǎng)絡(luò)方案描述 62.2訊強公司全網(wǎng)解決方案 63.1路由器分析 73.2防火墻 73.3接入層交換設(shè)備分析及配置 84．網(wǎng)絡(luò)安全 94.1網(wǎng)絡(luò)安全設(shè)計 94.2非軍事化區(qū) 94.3用戶網(wǎng)絡(luò)資源訪問控制策略 95企業(yè)應(yīng)用部分 105.1IP地址的規(guī)劃 105.2安裝IIS6.0 105.3新建Web服務(wù)器 155.4安裝FTP服務(wù) 225.5安裝DNS服務(wù)器 256.網(wǎng)絡(luò)設(shè)備的配置 306.1路由器的配置 306.2防火墻的配置 307.實驗驗證 317.1Ftp服務(wù)器的驗證 317.2Web服務(wù)器的驗證 31結(jié)束語 32感謝詞 33參考文獻 34摘要計算機網(wǎng)絡(luò)，是指將地理位置不同的具有獨立功能的多臺計算機及其外部設(shè)備，通過通信線路連接起來，在網(wǎng)絡(luò)操作系統(tǒng)，網(wǎng)絡(luò)管理軟件及網(wǎng)絡(luò)通信協(xié)議的管理和協(xié)調(diào)下，實現(xiàn)資源共享和信息傳遞的計算機系統(tǒng)。計算機網(wǎng)絡(luò)的這種功能恰恰適應(yīng)了當(dāng)今社會的發(fā)展需要，給各大、中、小公司的辦公帶來了便利；計算機網(wǎng)路的主要功能上資源共享，這正滿足了各大、中、小公司的需要；公司員工通過計算機網(wǎng)絡(luò)可以實時的交流。各公司現(xiàn)在基本上都有自己的web、ftp、dns等服務(wù)器。公司員工可以通過dns服務(wù)器瀏覽公司的web服務(wù)器，及時了解公司的一些通知和發(fā)展方向；員工可以通過ftp服務(wù)器下載自己所需要的資料；通過dns解析員工所訪問的web服務(wù)器。關(guān)鍵詞：計算機網(wǎng)絡(luò)、資源共享、路由器、防火墻、交換機、訪問控制列表

AbstractComputernetworkreferstothelocationofdifferentfunctionswithmultipleindependentcomputerandperipheralequipment,upthroughthecommunicationlineconnection,thenetworkoperatingsystem,networkmanagementsoftwareandNetworkCommunicationProtocolmanagementandcoordination,resourcesharingandmessagingcomputersystem.Computernetwork,thisfunctionpreciselyadaptedtothedevelopmentneedsofsocietytoday,tolarge,mediumandsmallcompaniestheconvenienceofofficeDaiLai;computerresourcesonthemainfunctionsofWangLuGongXiang,Thisistosatisfythemajor,mediumandsmallthecompany'sneeds;employeesthroughcomputernetworksinrealtimeexchanges.Basically,thecompanynowhasitsownweb,ftp,dnsserverandsoon.Employeescanvisitthecompany'swebserverdnsserver,tokeepabreastofthecompany'snumberofnotificationanddevelopment;staffcanftpservertodownloadtheinformationtheyneed;throughthednsresolvestaffvisitedwebserver.Keywords：Computernetwork、Resourcesharing、Route、Firewall、SwitchAccessControlLis0.引言時代在進步、科技在發(fā)展。為了在信息化的時代生存和發(fā)展，各個公司都在不斷的構(gòu)建自己的網(wǎng)絡(luò)環(huán)境，搭建拱員工交流與學(xué)習(xí)的平臺，提高員工的業(yè)務(wù)水平。一個傳統(tǒng)的網(wǎng)絡(luò)包括若干的工作站、服務(wù)器、交換機、防火墻、路由器。搭建網(wǎng)絡(luò)之后，隨之而來的問題也就越來越多，其中最重要的就是安全問題，所以在實際的企業(yè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)器材的選取也是很重要的！下面我們就針對迅強公司的現(xiàn)況進行一個網(wǎng)絡(luò)。1.用戶需求分析1.1概述當(dāng)前由于網(wǎng)絡(luò)、數(shù)據(jù)庫及與之相關(guān)的應(yīng)用技術(shù)不斷發(fā)展，尤其國際互聯(lián)網(wǎng)（Internet）和內(nèi)部網(wǎng)（Intranet）技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計算（NetworkCentricComputing）時代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，各企業(yè)部門間數(shù)據(jù)的存儲、傳輸、應(yīng)用等的不斷成熟；以上這些技術(shù)的發(fā)展對企業(yè)傳統(tǒng)的計算機業(yè)務(wù)系統(tǒng)產(chǎn)生變革，使用戶能更方便、更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強大。為了滿足公司的實際需要，專業(yè)系統(tǒng)信息化整體解決方案應(yīng)運而生。它利用先進的網(wǎng)絡(luò)技術(shù)、軟件技術(shù)、信心交流，將公司的實際應(yīng)用延伸到企業(yè)的最前沿，其顯示了強大的可用性，全面提高企業(yè)效率，從而推動企業(yè)網(wǎng)和互連通全面進入實用階段。1.2用戶需求分析設(shè)計一個網(wǎng)絡(luò)，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡(luò)的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，提供用戶滿意的高質(zhì)服務(wù)。還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開，所以建成后企業(yè)網(wǎng)應(yīng)能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應(yīng)企業(yè)辦公環(huán)境的調(diào)整和變化；隨著企業(yè)規(guī)模的增加和業(yè)務(wù)的不斷擴大，公司需要有自己的網(wǎng)絡(luò)平臺供員工學(xué)習(xí)和交流。1.3企業(yè)網(wǎng)的設(shè)計目標在網(wǎng)絡(luò)層面上，建設(shè)一個以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、能覆蓋全公司樓宇的企業(yè)主干網(wǎng)絡(luò)，將企業(yè)的各種PC機、工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連，在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的信息資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的企業(yè)計算機網(wǎng)絡(luò)系統(tǒng)，在此基礎(chǔ)上建立能滿足研發(fā)、交流和管理工作的軟硬件環(huán)境，為企業(yè)各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。1.4系統(tǒng)建設(shè)設(shè)計原則建設(shè)訊強公司企業(yè)網(wǎng)絡(luò)，本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡(luò)先進性的前提下，選用性能價格比最好的設(shè)備，我們認為企業(yè)網(wǎng)建設(shè)應(yīng)該遵循以下原則：●先進性以先進、成熟的網(wǎng)絡(luò)通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、軟件等實際應(yīng)用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。●標準化和開放性網(wǎng)絡(luò)協(xié)議采用符合ISO及其他標準，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網(wǎng)絡(luò)設(shè)備?！窨煽啃院涂捎眯赃x用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運行時的應(yīng)變能力和容錯能力，確保整個系統(tǒng)的安全與可靠?！耢`活性和兼容性選用符合國際發(fā)展潮流的國際標準的軟件技術(shù)，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網(wǎng)絡(luò)發(fā)展出現(xiàn)的新技術(shù)，同時為現(xiàn)存不同的網(wǎng)絡(luò)設(shè)備、小型機、工作站、服務(wù)器、和微機等設(shè)備提供入網(wǎng)和互連手段?！駥嵱眯院徒?jīng)濟性從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設(shè)備，進行最佳性能組合，利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡(luò)系統(tǒng)?！癜踩院捅Ｃ苄栽诮尤隝nternet的情況下，必須保證網(wǎng)上信息和各種應(yīng)用系統(tǒng)的安全。●擴展性和升級能力網(wǎng)絡(luò)設(shè)計應(yīng)具有良好的擴展性和升級能力，選用具有良好升級能力和擴展性的設(shè)備。在以后對該網(wǎng)絡(luò)進行升級和擴展時，必須能保護現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用。●網(wǎng)絡(luò)的靈活性系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡(luò)技術(shù)，整個網(wǎng)絡(luò)系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡(luò)轉(zhuǎn)移到另一個網(wǎng)絡(luò)，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應(yīng)機構(gòu)的變化。同時也可以通過平衡網(wǎng)絡(luò)的流量，以提高網(wǎng)絡(luò)的性能。2.企業(yè)網(wǎng)絡(luò)中心方案2.1.企業(yè)網(wǎng)絡(luò)方案描述根據(jù)訊強公司網(wǎng)絡(luò)的建設(shè)要求，整個網(wǎng)絡(luò)采用星型結(jié)構(gòu)的層次化設(shè)計，網(wǎng)絡(luò)中心配置了一臺CiscoCatalyst3560系列交換機作為企業(yè)的核心層交換機。接入層部分交換機配置Cisco?ASA5500系列。2.2訊強公司全網(wǎng)解決方案訊強公司網(wǎng)絡(luò)中心的cisco2811連接外網(wǎng)和Cisco?ASA5500防火墻，防火墻通過百兆雙絞線連接Cisco?Catalyst?2960交換機上再通過10/100兆雙絞線接到其他各部門，這樣訊強公司的企業(yè)網(wǎng)就成為一體了。下面是訊強公司企業(yè)整網(wǎng)的拓撲圖：3．網(wǎng)絡(luò)產(chǎn)品分析3.1路由器分析Cisco2811路由器能以線速為多條T1/E1/xDSL連接提供多種高質(zhì)量并發(fā)服務(wù)，提供了內(nèi)嵌加密加速和主板話音數(shù)字信號處理器（DSP）插槽；入侵保護和防火墻功能；集成化呼叫處理和語音留言；用于多種連接需求的高密度接口；以及充足的性能和插槽密度，以用于未來網(wǎng)絡(luò)擴展和高級應(yīng)用。路由器類型:模塊化路由器最大Flash內(nèi)存:256MB最大DRAM內(nèi)存:760MB固定局域網(wǎng)接口:10/100Mbps×2擴展插槽:4個控制端口:Console支持VPN/支持Qos/內(nèi)置防火墻路由器網(wǎng)絡(luò)協(xié)議:IEEE802.3X路由器網(wǎng)管協(xié)議:CiscoClickStart,SNMP安全標準:UL60950:CAN/CSAC22.2No.60950,IEC60950,EN60950-1,AS/NZS609503.2防火墻Cisco?ASA5500系列自適應(yīng)安全設(shè)備是思科專門設(shè)計的解決方案，將最高的安全性和出色VPN服務(wù)與創(chuàng)新的可擴展服務(wù)架構(gòu)有機地結(jié)合在一起。作為思科自防御網(wǎng)絡(luò)的核心組件，CiscoASA5500系列能夠提供主動威脅防御，在網(wǎng)絡(luò)受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。思科強大的多功能網(wǎng)絡(luò)安全設(shè)備系列不但能為保護家庭辦公室、分支機構(gòu)、中小企業(yè)和大型企業(yè)網(wǎng)絡(luò)提供廣泛而深入的安全功能，還能降低實現(xiàn)這種新安全性相關(guān)的總體部署和運營成本及復(fù)雜性。并發(fā)連接數(shù):50,000/130,000網(wǎng)絡(luò)吞吐量:300Mbps用戶數(shù)量:無限制是否支持VPN:支持安全標準:UL1950,CSAC22.2No.950,EN60950IEC60950,AS/NZS3260,TS0013.3接入層交換設(shè)備分析及配置根據(jù)接入層設(shè)備要求，接入層交換機我們選用Cisco?Catalyst?2960系列交換機。l

產(chǎn)品說明：配備LANBase軟件的Cisco?Catalyst?2960系列交換機，是一系列采用以太網(wǎng)供電(PowerOverEthernet–PoE)或非PoE配置，可提供桌面快速以太網(wǎng)和千兆以太網(wǎng)連接，并可為入門級企業(yè)、中間市場和分支機構(gòu)網(wǎng)絡(luò)實現(xiàn)高級局域網(wǎng)服務(wù)的固定配置獨立式智能以太網(wǎng)設(shè)備（請參見圖1）。CiscoCatalyst2960LANBase系列可提供集成安全性，包括網(wǎng)絡(luò)準入控制(NAC)、高級服務(wù)質(zhì)量(QoS)和為網(wǎng)絡(luò)邊緣提供智能服務(wù)的永續(xù)性。CiscoCatalyst2960LANBase系列可實現(xiàn)：●為多達24個端口提供完全15.4瓦功率的PoE配置●在網(wǎng)絡(luò)邊緣提供高級訪問控制列表(ACL)和增強安全性等智能化特性●支持千兆以太網(wǎng)上行鏈路靈活性的兩用上行鏈路，允許使用銅纜或光纖上行鏈路；其中每個兩用上行端口分別擁有一個10/100/1000以太網(wǎng)端口和一個基于小形可插拔(SFP)的千兆以太網(wǎng)端口，每次有一個端口處于激活狀態(tài)●采用高級QoS、速率限制、ACL和組播服務(wù)，提供網(wǎng)絡(luò)控制和帶寬優(yōu)化●根據(jù)用戶、端口和MAC地址，并通過多種不同的身份驗證方法、數(shù)據(jù)加密技術(shù)和NAC，提供網(wǎng)絡(luò)安全性●采用CiscoNetworkAssistant軟件，輕松進行網(wǎng)絡(luò)配置、升級和故障排除●采用Smartports對專業(yè)應(yīng)用進行自動配置●有限終生硬件保修●免費軟件更新4．網(wǎng)絡(luò)安全4.1網(wǎng)絡(luò)安全設(shè)計網(wǎng)絡(luò)安全是任何一個網(wǎng)絡(luò)建設(shè)時必須要考慮的重要問題，對于企業(yè)網(wǎng)絡(luò)這個問題更加突出。企業(yè)網(wǎng)的環(huán)境更加復(fù)雜，學(xué)生的知識水平都較高，容易接受新事物并勇于嘗試，這樣就給企業(yè)網(wǎng)絡(luò)帶來了許多不穩(wěn)定因素，因此在網(wǎng)絡(luò)優(yōu)化中必須要考慮到整個系統(tǒng)的安全性。思科網(wǎng)絡(luò)的交換機和路由器等網(wǎng)絡(luò)設(shè)備在安全性方面有著豐富實用的功能，便于實現(xiàn)整體網(wǎng)絡(luò)安全。4.2非軍事化區(qū)DMZ是英文“demilitarizedzone”的縮寫，中文名稱為“隔離區(qū)”，也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器的問題，而設(shè)立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi)，在這個小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開的服務(wù)器設(shè)施，如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡(luò)，因為這種網(wǎng)絡(luò)部署，比起一般的防火墻方案，對攻擊者來說又多了一道關(guān)卡。網(wǎng)絡(luò)設(shè)備開發(fā)商，利用DMZ技術(shù)，開發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個過濾的子網(wǎng)，DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個安全地帶。防火墻方案為要保護的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線，通常認為是非常安全的。同時它提供了一個區(qū)域放置公共服務(wù)器，從而又能有效地避免一些互聯(lián)應(yīng)用需要公開，而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機、Modem池，以及所有的公共服務(wù)器，但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接，真正的電子商務(wù)后臺數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。在這個防火墻方案中，包括兩個防火墻，外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊，并管理所有外部網(wǎng)絡(luò)對DMZ的訪問。內(nèi)部防火墻管理DMZ對于內(nèi)部網(wǎng)絡(luò)的訪問。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機)，當(dāng)外部防火墻失效的時候，它還可以起到保護內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部，對于Internet的訪問由內(nèi)部防火墻和位于DMZ的堡壘主機控制。在這樣的結(jié)構(gòu)里，一個黑客必須通過三個獨立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機)才能夠到達局域網(wǎng)。攻擊難度大大加強，相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強，但投資成本也是最高的。4.3用戶網(wǎng)絡(luò)資源訪問控制策略通過防火墻完善的ACL訪問控制功能，能對各類上網(wǎng)用戶的網(wǎng)絡(luò)訪問資源進行嚴格控制。思科系列智防火墻持基于源/目的MAC地址、源/目的IP地址、源/目的TCP/UDP端口號、IP協(xié)議及以上方式組合的各種靈活的ACL訪問控制來控制各類上網(wǎng)用戶的網(wǎng)絡(luò)資源訪問權(quán)限。5企業(yè)應(yīng)用部分5.1IP地址的規(guī)劃IP掩碼網(wǎng)關(guān)域名WFTP13DNS15FirewallF1F2F3RouterF0R152Pc1……Pcn192.168.0.n（n《=24）5.2安裝IIS6.0第一步：默認情況下IIS6是沒有安裝在Windows2003系統(tǒng)中的，所以我們需要手動安裝這個組件，通過任務(wù)欄的“開始->程序->管理工具->配置您的服務(wù)器向?qū)А眮韱影惭b步驟如圖5.1；圖5.1第二步：出現(xiàn)歡迎使用“配置您的服務(wù)器向?qū)А碧崾竞簏c“下一步”按鈕，如圖5.2；圖5.2第三步：系統(tǒng)會給出準備安裝各類組件所需要的所有準備工作，我們繼續(xù)點“下一步”按鈕，如圖5.3；圖5.3第四步：系統(tǒng)自動搜索已在本機安裝了的系統(tǒng)服務(wù)組件，如圖5.4；圖5.4第五步：搜索完畢會在“服務(wù)器角色”窗口顯示已在本機安裝的系統(tǒng)服務(wù)以及沒有安裝的服務(wù)，區(qū)別在于“已配置”處用“是”和“否”進行區(qū)分。讀者可以看到“應(yīng)用程序服務(wù)器（IIS，ASP.NET）”組件是沒有安裝的，我們需要安裝，如圖5.5；圖5.5第六步：點“下一步”按鈕后會出現(xiàn)應(yīng)用程序服務(wù)器選項，如圖5.6；圖5.6第七步：系統(tǒng)將顯示出整個IIS組件的大概過程列表，如圖5.7；圖5.7第八步：接著開始安裝并配置IIS程序，如圖5.8；圖5.8第九步：系統(tǒng)將自動調(diào)用安裝程序進行安裝，建立文件列表，如圖5.9；圖5.9第十步：在安裝過程中會彈出提示要求插入標為windowsserver2003的安裝光盤到光驅(qū)中，如圖5.10；圖5.10第十一步：放入windows2003安裝光盤后會自動搜索所需要的文件進行安裝，下圖就是完成了IIS6組件的安裝工作，如圖5.11；圖5.11第十三步：安裝完后我們在“管理您的服務(wù)器”窗口中就會發(fā)現(xiàn)“應(yīng)用程序服務(wù)器”已經(jīng)出現(xiàn)在該界面中了，如圖5.12；圖5.125.3新建Web服務(wù)器第一步：右擊網(wǎng)站，點新建，如圖5.13；圖5.13第二步：點擊下一步，輸入站點描述如圖5.14；圖5.14第三步：出現(xiàn)如下界面，選擇站點的主目錄，如圖5.15；圖5.15第四步：確定之后如圖5.16；圖5.16第五步：點擊下一步，選擇web服務(wù)器的IP地址和開放端口，如圖5.17；圖5.17第六步：設(shè)置網(wǎng)站的匿名訪問權(quán)限，如圖5.18；圖5.18第七步：點擊下一步，出現(xiàn)完成界面，如圖5.19；圖5.19第八步：完成之后的界面，如圖5.20；圖5.20第九步：默認的情況下網(wǎng)站是停止的，啟動，如圖5.21；圖5.21第十步：設(shè)置網(wǎng)站來自網(wǎng)絡(luò)的匿名訪問，選擇屬性→目錄安全性，如圖5.22；圖5.22第十一步：一般網(wǎng)絡(luò)來賓賬戶都是停用的如圖5.23；圖5.23第十二步：啟用來賓賬戶，如圖5.24；圖5.245.4安裝FTP服務(wù)第一步：打開開始菜單→控制面板→添加或刪除程序→添加/刪除windows組件→選擇應(yīng)用程序服務(wù)器→ftp服務(wù)，點擊下一步，安裝完成之后的界面如圖5.25；圖5.25第二步：新建FTP站點，如圖5.26；圖5.26第三步：鍵入描述FTP，如圖5.27；圖5.27第四步：選擇IP地址和端口，如圖5.28；圖5.28第五步：按照默認，選擇主目錄的路徑，如圖5.29；圖5.29第七步：為來訪用戶設(shè)置權(quán)限，如圖5.30；圖5.30第八步：完成安裝向?qū)е?，默認的情況下站點是停止的，啟用站點，如圖5.31；圖5.315.5安裝DNS服務(wù)器第一步：依次單擊“開始→管理工具→配置您的服務(wù)器向?qū)А保诖蜷_的向?qū)ы撝幸来螁螕簟跋乱徊健卑粹o。配置向?qū)ё詣訖z測所有網(wǎng)絡(luò)連接的設(shè)置情況，若沒有發(fā)現(xiàn)問題則進入“服務(wù)器角色”向?qū)ы摰诙剑涸凇胺?wù)器角色”→“DNS服務(wù)器選項”，如圖5.32；圖5.32第三步：向?qū)ч_始安裝DNS服務(wù)器，并且可能會提示插入WindowsServer2003的安裝光盤或指定安裝源文件，如圖5.33；圖5.33第四步：完成安裝之后新建正向查找，如圖5.34；圖5.34第五步：按照默認的選項，然后指定區(qū)域的名稱如圖5.35；圖5.35第六步：按照默認指定文件名，點擊下一步，完成正向區(qū)域查找，如圖5.36；圖5.36第八步：添加主機，如圖5.37；圖5.37第九步：按照默認，選擇區(qū)域類型，鍵入反向查找區(qū)域的網(wǎng)絡(luò)ID，如圖5.38；圖5.38第十一步：按照默認，完成反向區(qū)域的創(chuàng)建，如圖5.39；圖5.396.網(wǎng)絡(luò)設(shè)備的配置6.1路由器的配置enable（進入全局配置模式）configureterminal（進入端口模式)interfacefastEthernet0/0(進入端口模式)ipadd（配置IP地址）noshutdown（開啟端口）interfaceserial1/0(進入端口模式)ipadd52（配置IP地址）exit（退出端口配置模式）iproutes1/0（配置默認路由）noshutdown（開啟端口）save（保存配置）6.2防火墻的配置enable（進入全局配置模式）configureterminal（進入配置模式）interfacefastEthernet0/0(進入端口模式)ipadd（配置IP地址）noshutdown（開啟端口）exit（退出端口配置模式）interfacefastEthernet0/1(進入端口模式)ipadd（配置IP地址）exit（退出端口配置模式）interfacefastEthernet0/2（進入端口模式)ipadd（配置IP地址）exit（退出端口配置模式）access-list101permit55any55nayaccess-list101denyipanyany（配置訪問規(guī)則）in