本科畢業(yè)論文(設(shè)計(jì))論文題目政企信息中心網(wǎng)絡(luò)安全規(guī)劃與二級(jí)學(xué)院：年級(jí)班級(jí)：學(xué)生姓名：指導(dǎo)教師： 1 2 31.1研究背景 31.2研究現(xiàn)狀 4 62.1需求分析 63網(wǎng)絡(luò)安全技術(shù)協(xié)議設(shè)計(jì) 83.1網(wǎng)絡(luò)拓?fù)浒踩O(shè)計(jì) 83.2防火墻網(wǎng)絡(luò)安全防御 93.3冗余熱備協(xié)議VRRP 9 3.7端口安全 4網(wǎng)絡(luò)實(shí)施規(guī)劃設(shè)計(jì) 4.1IP地址規(guī)劃 4.2網(wǎng)絡(luò)設(shè)備選型 5政企網(wǎng)絡(luò)部署實(shí)施 5.2VRRP配置 5.4端口鏈路聚合 205.6端口安全 216網(wǎng)絡(luò)驗(yàn)證測(cè)試 236.1.防火墻安全 24 26 27 276.7.SSH安全登錄 29 31現(xiàn)今政企等單位日常工作辦公都在網(wǎng)絡(luò)線上進(jìn)接導(dǎo)致日常工作停擺，網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行對(duì)政企單位至本文就如何在政企單位去規(guī)劃設(shè)計(jì)一套安全、穩(wěn)定、高效的網(wǎng)絡(luò)信息安全系統(tǒng)來進(jìn)行詳細(xì)的規(guī)劃設(shè)計(jì)，設(shè)計(jì)在網(wǎng)絡(luò)的核心區(qū)域全部使用雙機(jī)冗余架構(gòu)，核心主備交換機(jī)使用VRRP熱備份路由協(xié)議進(jìn)行冗余備份，使用雙鏈路端口加密認(rèn)證。匯聚交換機(jī)分別連接到主備核心，形成冗余鏈路。接入交換機(jī)上啟用與互聯(lián)網(wǎng)邊界之間使用部署網(wǎng)絡(luò)安全防火墻，啟用IPS等Nowadays,thedailyworkandocarriedoutonline.Oncethenetworkmalfunctions,itwilldirectlofdailywork.Thesafeaenterpriseunits.PlanningandconstnetworkinformationsystemisthetoppriorityofgovernmentandenterpriseITThispapermakesadetailedunits.Thedesignusesdualmachineredundantarchitectureinallfthenetwork,thecoremasbackup,andtheduallinkpconnectedtothemainandbacinterference.AllremoteloginmanagementofnetworkdevicesusesSandauthentication.Toensurethsecurityfirewallisdeployedbetweentheintareconfiguredtoensuretheoverallnetworkinformationsecurityofthenetwork.Keywords:Safety;Redundancy;VRRP;Encryptionauthentication;Firewall;1緒論1.1研究背景以前政企事業(yè)單位日常辦公時(shí)，傳統(tǒng)的工作方式基本都是線下現(xiàn)場(chǎng)進(jìn)行，文件批閱等工作都需要領(lǐng)導(dǎo)線下逐一審閱，群眾事務(wù)等必須到現(xiàn)場(chǎng)辦理，這種工作方式效率都非常緩慢，隨著互聯(lián)網(wǎng)時(shí)代的到來，借助于網(wǎng)絡(luò)信息系統(tǒng)，現(xiàn)今政企部門辦公全部都轉(zhuǎn)移到了線上進(jìn)行，日常工作辦公可以通過PC、平板電腦、手機(jī)等各種網(wǎng)絡(luò)終端設(shè)備線上進(jìn)行，各種工作都可以隨時(shí)隨地進(jìn)行處理，這極大的提高了政企單位的工作效率，運(yùn)用這些網(wǎng)絡(luò)線上工作方式給我們的日常工作生活等都帶來了極大的便利，但使用網(wǎng)絡(luò)線上辦公的前提是要有一個(gè)安全、可靠的網(wǎng)絡(luò)信息安全系統(tǒng)，如果網(wǎng)絡(luò)癱瘓將直接導(dǎo)致工作停止無法正常進(jìn)行，這將對(duì)政企日常工作將造成重大影響，也是絕對(duì)不可容忍的。因此，建設(shè)一個(gè)能夠安全、穩(wěn)定、高效地運(yùn)行企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)是眼下的當(dāng)務(wù)之急，本文就如何規(guī)劃設(shè)計(jì)一個(gè)安全、穩(wěn)定、高效的政企信息安全網(wǎng)絡(luò)系統(tǒng)進(jìn)行詳細(xì)研究分析設(shè)計(jì)，從網(wǎng)絡(luò)拓?fù)湟?guī)劃、技術(shù)協(xié)議選擇、IP地址規(guī)劃、網(wǎng)絡(luò)安全防御以及網(wǎng)絡(luò)設(shè)備選型等方面進(jìn)行詳細(xì)分析研究。網(wǎng)絡(luò)信息系統(tǒng)作為政企信息中心最重要的基礎(chǔ)通信設(shè)施，在目前已經(jīng)得到了廣泛的應(yīng)用。隨著網(wǎng)絡(luò)技術(shù)更新?lián)Q代的發(fā)展，隨之帶來的網(wǎng)絡(luò)信息安全問題也日益嚴(yán)峻。在以太網(wǎng)應(yīng)用初期，網(wǎng)絡(luò)建設(shè)往往只要可以相互通信能夠滿足使用即可，對(duì)信息網(wǎng)絡(luò)安全問題都不大重視，這種落后的網(wǎng)絡(luò)信息管理理念已不適合現(xiàn)今政企單位對(duì)網(wǎng)絡(luò)信息系統(tǒng)使用的需要。我國(guó)網(wǎng)絡(luò)系統(tǒng)建設(shè)起步較慢，伴隨著國(guó)家政策對(duì)政企網(wǎng)絡(luò)建設(shè)的發(fā)展，網(wǎng)絡(luò)發(fā)展非常迅速，大體可以分為三個(gè)階段：1)初始只有獨(dú)立聯(lián)網(wǎng)，與外部完全物理隔離，辦公也只是使用一些交換機(jī)與HUB等設(shè)備簡(jiǎn)單連接起來，員工日常工作溝通還是以電話或者傳統(tǒng)面對(duì)面等方式進(jìn)行。2)隨著網(wǎng)絡(luò)技術(shù)的更新發(fā)展，局域網(wǎng)的組建正式開始，辦公網(wǎng)絡(luò)也開始成熟，借助于網(wǎng)絡(luò)，日常溝通可以使用Email郵件系統(tǒng)、視頻會(huì)議等方式。3)現(xiàn)今互聯(lián)網(wǎng)十時(shí)代，網(wǎng)絡(luò)技術(shù)已經(jīng)發(fā)展的非常成熟，使用統(tǒng)一的TCP/IP協(xié)議進(jìn)行傳輸，PC、移動(dòng)終端等各種辦公通信設(shè)備都可以互聯(lián)互通，日常辦公等工作幾乎都在網(wǎng)絡(luò)線上進(jìn)行，通過部署ERP、辦公流程BPM等應(yīng)用系統(tǒng)，政企內(nèi)部日常所有工作等都通過信息系統(tǒng)線上進(jìn)行，對(duì)于網(wǎng)絡(luò)的依賴達(dá)到了有史以來空前的高度。綜上所述，網(wǎng)絡(luò)已經(jīng)成為現(xiàn)今政企工作當(dāng)中不可或缺的重要工具，因此，政企單位對(duì)于信息網(wǎng)絡(luò)的安全建設(shè)越來越重視，與之相關(guān)的資金、人力成本投入也不斷提高，隨著日常工作等對(duì)網(wǎng)絡(luò)的使用越來越頻繁，信息網(wǎng)絡(luò)的安全建設(shè)也顯得越來越重要，規(guī)劃建設(shè)一個(gè)安全穩(wěn)定的信息網(wǎng)絡(luò)系統(tǒng)是現(xiàn)今政企IT信息部門工作的重中之重。在研究網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)方面，現(xiàn)今學(xué)術(shù)界已經(jīng)取得了一些重要的成果和進(jìn)展。研究者們提出了許多基于網(wǎng)絡(luò)安全的技術(shù)和方法，以應(yīng)對(duì)不斷增長(zhǎng)的網(wǎng)絡(luò)安全威脅。目前的研究現(xiàn)狀根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀況，在網(wǎng)絡(luò)安全架構(gòu)、防火墻安全防御、網(wǎng)絡(luò)技術(shù)安全設(shè)計(jì)等體系下，足以保障信息網(wǎng)絡(luò)系統(tǒng)安全。1.3論文結(jié)構(gòu)本論文對(duì)政府和企業(yè)的網(wǎng)絡(luò)安全背景，分析政府和企業(yè)的需求，對(duì)政企網(wǎng)絡(luò)安全規(guī)劃建設(shè)提出目標(biāo)。政企信息中心作為政府和企業(yè)重要的信息化基礎(chǔ)設(shè)施，它的安全穩(wěn)定運(yùn)行直接影響到政企日常工作的開展。本論文的研究目的是通過網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)，提供一種綜合性的解決方案，以確保政企信息中心的網(wǎng)絡(luò)安全，建設(shè)一個(gè)安全、可靠、高效的信息網(wǎng)絡(luò)系統(tǒng)。第一章：緒論，是對(duì)本論文的研究背景和現(xiàn)狀進(jìn)行描述，體現(xiàn)本論文在此條件背景下提出的研究目標(biāo)。第二章：需求分析，通過政府和企業(yè)對(duì)網(wǎng)絡(luò)的使用需求方面進(jìn)行詳細(xì)分析，分析其中存在的信息安全問題以及政企信息中心網(wǎng)絡(luò)建設(shè)需求。第三章：網(wǎng)絡(luò)安全技術(shù)協(xié)議設(shè)計(jì)，根據(jù)網(wǎng)絡(luò)建設(shè)需求選擇規(guī)劃設(shè)計(jì)相關(guān)網(wǎng)絡(luò)安全協(xié)議，對(duì)運(yùn)用到的相關(guān)網(wǎng)絡(luò)安全技術(shù)等進(jìn)行詳細(xì)描述。第四章：網(wǎng)絡(luò)實(shí)施規(guī)劃設(shè)計(jì)，IP地址規(guī)劃、技術(shù)協(xié)議規(guī)劃、網(wǎng)絡(luò)設(shè)備選型等方面對(duì)網(wǎng)絡(luò)進(jìn)行整體詳細(xì)規(guī)劃設(shè)計(jì)。第五章：網(wǎng)絡(luò)安全部署實(shí)施，根據(jù)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)使用網(wǎng)絡(luò)模擬器對(duì)該網(wǎng)絡(luò)進(jìn)行模擬配置實(shí)施。第六章：網(wǎng)絡(luò)驗(yàn)證測(cè)試，分別對(duì)模擬配置實(shí)施結(jié)果進(jìn)行驗(yàn)證測(cè)試，從而確認(rèn)該方案設(shè)計(jì)的實(shí)際可行性。2需求分析政企信息中心網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的目的是實(shí)現(xiàn)安全穩(wěn)定的相互通信，資源共享等，保障使用過程中網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性、可靠性與網(wǎng)絡(luò)信息安全等。要想達(dá)到這些要求，需要從網(wǎng)絡(luò)拓?fù)浼軜?gòu)、IP地址規(guī)劃、技術(shù)安全協(xié)議選擇、網(wǎng)絡(luò)設(shè)備選型、信息安全設(shè)計(jì)等多方面進(jìn)行合理的規(guī)劃設(shè)計(jì)，才能建設(shè)成一套傳輸穩(wěn)定、使用可靠且安全的政企網(wǎng)絡(luò)信息系統(tǒng)。該政企單位有辦公樓3棟，行政樓1棟，宿舍樓2棟，現(xiàn)需要將他們相互連接起來組建成一個(gè)政企局域網(wǎng)網(wǎng)絡(luò)，彼此之間實(shí)現(xiàn)相互訪問，資源共享，保障網(wǎng)絡(luò)信息安全等，分析該單位網(wǎng)絡(luò)安全建設(shè)整體需求具體如下：1)網(wǎng)絡(luò)拓?fù)浼軜?gòu)安全：網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)整體拓?fù)浼軜?gòu)要求具有安全、冗余架構(gòu)，核心區(qū)域必須具有雙機(jī)冗余熱備，避免單點(diǎn)故障發(fā)生。2)網(wǎng)絡(luò)協(xié)議安全：網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)選擇的網(wǎng)絡(luò)技術(shù)協(xié)議必須安全、穩(wěn)定、可靠，需要采用安全加密認(rèn)證，啟用各種網(wǎng)絡(luò)安全協(xié)議，保障信息網(wǎng)絡(luò)系統(tǒng)可以抵御日常網(wǎng)絡(luò)攻擊穩(wěn)定運(yùn)行不受影響。3)物理鏈路安全：信息網(wǎng)絡(luò)正常運(yùn)行離不開網(wǎng)絡(luò)傳輸介質(zhì)，因此在對(duì)該信息中心網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)時(shí)，核心、匯聚等重要網(wǎng)絡(luò)傳輸區(qū)域必須有雙鏈路安全連接，避免物理鏈路發(fā)生單點(diǎn)故障導(dǎo)致網(wǎng)絡(luò)系統(tǒng)中斷。4)網(wǎng)絡(luò)安全防御：信息系統(tǒng)網(wǎng)絡(luò)在連接到互聯(lián)網(wǎng)時(shí)可能會(huì)遭遇各種網(wǎng)絡(luò)安全攻擊威脅，因此必須對(duì)內(nèi)部局域網(wǎng)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)信息安全防御設(shè)計(jì)，確保網(wǎng)絡(luò)信息安全。5)安全設(shè)備選型：網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行最終都需要通過網(wǎng)絡(luò)設(shè)備來實(shí)現(xiàn)，因此選擇一套安全、可靠的網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)的安全建設(shè)非常重要。6)網(wǎng)絡(luò)安全管理：一套安全穩(wěn)定的網(wǎng)絡(luò)信息系統(tǒng)必須有專業(yè)網(wǎng)絡(luò)工程師進(jìn)行日常維護(hù)管理，在日常管理中所有網(wǎng)絡(luò)設(shè)備要求采用安全加密認(rèn)證并做安全限制只允許授權(quán)登錄等。7)網(wǎng)絡(luò)使用需求：根據(jù)該政企單位日常工作狀況，網(wǎng)絡(luò)建設(shè)要求有線、無線網(wǎng)絡(luò)全覆蓋，彼此之間可以相互訪問，可以訪問單位內(nèi)部服務(wù)器，還可以訪問互聯(lián)網(wǎng)辦公。無線網(wǎng)絡(luò)要求使用同一個(gè)SSID無線信號(hào)，采用安全加密認(rèn)證，無線網(wǎng)絡(luò)覆蓋范圍內(nèi)可以自動(dòng)連接，無縫漫游等。3網(wǎng)絡(luò)安全技術(shù)協(xié)議設(shè)計(jì)3.1網(wǎng)絡(luò)拓?fù)浒踩O(shè)計(jì)根據(jù)該政企單位各個(gè)部門、建筑實(shí)際分布狀況，網(wǎng)絡(luò)劃分為核心、匯聚以及接入三級(jí)區(qū)域，首先設(shè)計(jì)將信息中心機(jī)房作為核心區(qū)域，用于互聯(lián)網(wǎng)接入，部署出口路由、網(wǎng)絡(luò)安全防火墻、核心交換機(jī)以及應(yīng)用系統(tǒng)服務(wù)器等核心設(shè)備。核心區(qū)域出口路由、安全防火墻以及核心交換機(jī)等全部采用雙機(jī)熱備架構(gòu)。各個(gè)辦公樓配置一套匯聚交換機(jī)，通過雙鏈路分別連接到主備核心，形成鏈路冗余架構(gòu)。各個(gè)樓層內(nèi)的接入交換機(jī)再通過匯聚交換機(jī)統(tǒng)一接入到網(wǎng)絡(luò)當(dāng)中。為保障網(wǎng)絡(luò)信息安全，無線網(wǎng)絡(luò)單獨(dú)劃分成一個(gè)區(qū)域，所有無線AP通過POE接入交換機(jī)供電，再統(tǒng)一連接到無線網(wǎng)絡(luò)匯聚交換機(jī)，由匯聚再連接到主備核心交換機(jī)上，具體網(wǎng)絡(luò)拓?fù)鋱D規(guī)劃如下：電中佳psopoepene防火墻賬號(hào)口令：peo年001吸上.隆元辦要2多2eRaAP2晰20圖3.1網(wǎng)絡(luò)拓?fù)湟?guī)劃設(shè)計(jì)圖現(xiàn)今互聯(lián)網(wǎng)網(wǎng)絡(luò)安全攻擊無處不在，為保障該政企網(wǎng)絡(luò)能夠抵御來自互聯(lián)網(wǎng)外部各種網(wǎng)絡(luò)安全攻擊，設(shè)計(jì)在內(nèi)網(wǎng)與外網(wǎng)出口路由之間部署網(wǎng)絡(luò)安全防火墻做網(wǎng)絡(luò)安全防御，首先在防火墻上劃分內(nèi)部與外部網(wǎng)絡(luò)安全區(qū)域，將政企內(nèi)部網(wǎng)絡(luò)劃分為內(nèi)部區(qū)域，互聯(lián)網(wǎng)為外部區(qū)域，設(shè)計(jì)只允許內(nèi)網(wǎng)訪問外網(wǎng)，禁止外網(wǎng)任何攻擊、IP地址掃描、端口掃描攻擊、Land攻擊與IP欺騙攻擊等。配置嚴(yán)格的網(wǎng)絡(luò)安全訪問策略與上網(wǎng)行為限制，禁止445、139等高危網(wǎng)絡(luò)端口，設(shè)置白名單機(jī)防火墻采用主備雙機(jī)模式部署，設(shè)置統(tǒng)一的網(wǎng)絡(luò)安全訪問策略，其中任何一3.3冗余熱備協(xié)議VRRP在VRRP協(xié)議中，它可以根據(jù)每個(gè)VLAN網(wǎng)段規(guī)劃一個(gè)虛擬組，一個(gè)組配置一個(gè)虛擬的網(wǎng)關(guān)IP地址。核心主備交換機(jī)通過VRRP組中定義的優(yōu)先級(jí)大小來選擇主備核心，我們可以通過手動(dòng)配置主備核心的優(yōu)先級(jí)來選擇主備核心設(shè)備，同時(shí)結(jié)合使用Track鏈路監(jiān)控，在核心主上面通過監(jiān)控上行鏈路端口，一旦上行鏈路發(fā)生故障，讓優(yōu)先級(jí)主動(dòng)降低到備核心以下，此時(shí)備核心的優(yōu)先級(jí)會(huì)高于主核心，這時(shí)候備核心會(huì)主動(dòng)接替主核心成為VRRP主設(shè)備，成為用戶網(wǎng)關(guān)轉(zhuǎn)發(fā)網(wǎng)絡(luò)收到VRRP協(xié)議報(bào)文，且報(bào)文攜帶的PRI大于本地PRI,或者報(bào)文攜帶的PRI等于本地PRI,且報(bào)文攜時(shí)間),或者收到VRRP協(xié)議報(bào)文，且報(bào)文攜帶設(shè)計(jì)在主備核心交換機(jī)之間運(yùn)行VRRP協(xié)議，其中每臺(tái)核心都作為整個(gè)網(wǎng)絡(luò)中一半網(wǎng)段的VRRP主，另半部分網(wǎng)段的VRRP備，每個(gè)VRRP組中的主設(shè)備都與上聯(lián)端口聯(lián)動(dòng)，當(dāng)上端接口發(fā)生故障時(shí)，VRRP主設(shè)備會(huì)主動(dòng)降低自己的VRRP優(yōu)先級(jí)變成備設(shè)備，讓另外一臺(tái)核心接替自己作為本網(wǎng)段網(wǎng)關(guān)正常轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)，保障網(wǎng)絡(luò)正常運(yùn)行。VRRP協(xié)議運(yùn)行時(shí)還與STP生成樹協(xié)議進(jìn)行配合使用，每臺(tái)核心交換機(jī)都與匯聚交換機(jī)進(jìn)行連接，為防止網(wǎng)絡(luò)發(fā)生環(huán)路導(dǎo)致網(wǎng)絡(luò)故障，使用MSTP多實(shí)例生成樹協(xié)議，劃分二個(gè)生成樹實(shí)例，核心1作為STP實(shí)例1的根橋，核心2作為備用根橋，這樣可保障匯聚交換機(jī)到主備核心交換機(jī)之間的雙鏈路網(wǎng)絡(luò)正常運(yùn)行且不會(huì)造成網(wǎng)絡(luò)環(huán)路導(dǎo)致網(wǎng)絡(luò)發(fā)生故障。核心區(qū)域核心交換機(jī)、安全防火墻、出口路由器這些網(wǎng)絡(luò)設(shè)備之間運(yùn)規(guī)劃設(shè)計(jì)運(yùn)行三層OSPF路由協(xié)議，它是一種基于鏈路狀態(tài)的IGP路由協(xié)議，它使用數(shù)學(xué)算法計(jì)算出各種網(wǎng)絡(luò)路由路徑，從中選擇使用一條最佳路由，它具有路由變化收斂速度快、不會(huì)產(chǎn)生網(wǎng)絡(luò)路由環(huán)路，可以支持可變長(zhǎng)子網(wǎng)掩碼等明顯優(yōu)點(diǎn)，被廣泛的應(yīng)用于各種企業(yè)局域網(wǎng)網(wǎng)絡(luò)。OSPF協(xié)議在配置使用時(shí)，各個(gè)網(wǎng)絡(luò)設(shè)備只需要發(fā)布自己直連的IP路由網(wǎng)段，當(dāng)網(wǎng)絡(luò)中有設(shè)備或者IP網(wǎng)段增加時(shí)，只需要修改發(fā)布新增設(shè)備的網(wǎng)絡(luò)路由，不需要對(duì)其它網(wǎng)絡(luò)設(shè)備做任何配置，極大的方便了企業(yè)IT管理人員對(duì)網(wǎng)絡(luò)設(shè)備的配置管理。信息網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行離不開網(wǎng)絡(luò)通信線路，當(dāng)鏈路發(fā)生故障時(shí)網(wǎng)絡(luò)將無法正常運(yùn)行，因此在對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行規(guī)劃設(shè)計(jì)時(shí)需要考慮通信物理線路問題帶來的鏈路聚合是一種將多個(gè)物理端口捆綁成一個(gè)邏輯端口的網(wǎng)絡(luò)技術(shù)，使用端口鏈路聚合，即可以增加冗余備份鏈路，提升網(wǎng)絡(luò)物理連接鏈路安全，還可以提高網(wǎng)絡(luò)傳輸帶寬。設(shè)計(jì)在主備核心交換機(jī)之間使用雙鏈路連接，通過鏈路聚合將二個(gè)物理端口聚合成一個(gè)邏輯端口。兩個(gè)物理端口同時(shí)傳輸數(shù)據(jù)，不管其中任何一條鏈路發(fā)生故障都不會(huì)導(dǎo)致網(wǎng)絡(luò)中斷，極大的提高了該網(wǎng)絡(luò)信息系統(tǒng)傳輸?shù)陌踩祥_啟DHCPSnooping功能，將連接上聯(lián)核心交換機(jī)的端口設(shè)置為DHCPTrust信任接口，其它端口都配置成不信任端口，這樣就可以保證客戶端只能從核心交換能接錯(cuò)線路導(dǎo)致網(wǎng)絡(luò)產(chǎn)生環(huán)路，又可能在終端設(shè)備無法連接網(wǎng)絡(luò)時(shí)無法對(duì)設(shè)備進(jìn)行查找定位，也無法使用DHCPSnooping等一些安全技術(shù)，這極大的降低了整體地址設(shè)備連接時(shí)，該端口會(huì)啟用端口安全功能，禁止該設(shè)備連接網(wǎng)絡(luò)，從而防止非法未經(jīng)授權(quán)的終端設(shè)備進(jìn)行聯(lián)網(wǎng)。設(shè)計(jì)在所有接入交換機(jī)物理端口上啟用端口到網(wǎng)絡(luò)當(dāng)中，也可以防止不是企業(yè)內(nèi)部的網(wǎng)絡(luò)信息設(shè)備非法連接網(wǎng)絡(luò)，充分提升3.8SSH遠(yuǎn)程登錄SSH遠(yuǎn)程登錄采用加密認(rèn)證方式，它通過對(duì)用戶名與口令同時(shí)認(rèn)證進(jìn)行遠(yuǎn)程安全登錄，采用命令行管理，使用密文進(jìn)行安全傳輸，設(shè)計(jì)在該網(wǎng)絡(luò)中所有網(wǎng)絡(luò)置只有用戶口令同時(shí)驗(yàn)證成功才能登錄設(shè)備進(jìn)行管理，每次登錄每個(gè)賬號(hào)允許最多輸入5次，當(dāng)輸入錯(cuò)誤次數(shù)超過5次時(shí)，對(duì)該認(rèn)證賬號(hào)進(jìn)行安全鎖定，從而保4網(wǎng)絡(luò)實(shí)施規(guī)劃設(shè)計(jì)根據(jù)該政企單位網(wǎng)絡(luò)規(guī)模大小，設(shè)計(jì)采用私有地址中C類IP地址，整體使用/16網(wǎng)段，再按照不同區(qū)域、業(yè)務(wù)劃分成/24位的子網(wǎng)，每個(gè)子網(wǎng)對(duì)應(yīng)一個(gè)VLAN網(wǎng)段，采用本網(wǎng)段最后一個(gè)IP地址地址網(wǎng)關(guān)。具體IP地址規(guī)劃如下：1辦公樓12辦公樓23辦公樓34行政樓5宿舍樓16宿舍樓278無線主備核心交換機(jī)使用VRRP熱備路由協(xié)議，核心1為VLAN10-40網(wǎng)段的VRRP核心1核心14.2網(wǎng)絡(luò)設(shè)備選型一套安全、可靠、穩(wěn)定的網(wǎng)絡(luò)信息系統(tǒng)，最終還需要網(wǎng)絡(luò)設(shè)備來運(yùn)行實(shí)現(xiàn)，根據(jù)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)并結(jié)合安全、可靠、經(jīng)濟(jì)適用的原則，網(wǎng)絡(luò)設(shè)備選型主要分為核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)、安全防火墻、出口路由器與無線AC等類型，目前國(guó)內(nèi)各大網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商當(dāng)中，以華為、H3C、銳捷等品牌比較安全可靠，其中以華為網(wǎng)絡(luò)品牌規(guī)模最大，它的網(wǎng)絡(luò)設(shè)備全部采用自主研發(fā)，此次網(wǎng)絡(luò)設(shè)備選擇全部使用華為品牌的網(wǎng)絡(luò)設(shè)備來進(jìn)行部署實(shí)施，再根據(jù)實(shí)際使用需求選擇合理的網(wǎng)絡(luò)設(shè)備型號(hào)。為保障網(wǎng)絡(luò)穩(wěn)定、可靠的運(yùn)行，核心交換機(jī)選擇是一個(gè)網(wǎng)絡(luò)項(xiàng)目建設(shè)實(shí)施的重中之重。此次選擇華為S7706系列交換機(jī)作為核心交換機(jī)。它采用模塊化結(jié)構(gòu)，配備雙電源、雙引擎、風(fēng)扇等冗余模塊化設(shè)計(jì)，具有冗余、安全、可靠等優(yōu)越性能，是一款十分適合被廣泛應(yīng)用于各大中型企業(yè)的網(wǎng)絡(luò)核心交換機(jī)。圖4.1核心交換機(jī)1)交換容量達(dá)到76.8/336Tbps,包轉(zhuǎn)發(fā)率8640/57600Mpps。2)模塊化設(shè)計(jì)，雙主控、四電源、監(jiān)控板、風(fēng)扇框全部采用冗余設(shè)計(jì)。業(yè)務(wù)板卡可根據(jù)實(shí)際業(yè)務(wù)使用情況靈活配置，所有業(yè)務(wù)板卡支持熱插拔。3)支持靜態(tài)路由與各種動(dòng)態(tài)路由，支持IPV4與IPV6雙棧協(xié)議同時(shí)運(yùn)行。4)支持網(wǎng)絡(luò)虛擬化技術(shù)，通過虛擬化堆疊技術(shù)，可以將多臺(tái)物理網(wǎng)絡(luò)設(shè)備虛擬成在該政企網(wǎng)絡(luò)架構(gòu)中，所有接入層交換機(jī)全部連接到匯聚交換機(jī)上，再由匯聚統(tǒng)一連接到主備核心交換機(jī)。目前萬兆網(wǎng)絡(luò)建設(shè)設(shè)備與設(shè)備之間都是通過光纖盒式交換機(jī)，提供全線速萬兆接入接口和40GE上行接口。此次選擇使用華為S6730S-S24X6Q-A作為匯聚交換機(jī)，它擁有24個(gè)10GESFP+端口，6個(gè)40GEQSFP端口。交換容量高達(dá)24T,可很好的滿足大中型企業(yè)網(wǎng)絡(luò)匯聚傳輸要求。同時(shí)該交換機(jī)擁有可插拔雙電源，4個(gè)可熱插拔風(fēng)扇，電源支持NS5735-L24T4X-A1型號(hào)接入交換機(jī)，該交換機(jī)具有24個(gè)10/100/1000BASE-T以太網(wǎng)端口，4個(gè)萬兆SFP+光口，支持VLAN、STP技術(shù)、靜態(tài)路由等?？梢赃_(dá)到網(wǎng)絡(luò)虛擬化，在滿足接入網(wǎng)絡(luò)傳輸需求的同時(shí)具有節(jié)能、簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維，提升網(wǎng)4.2.4.安全防火墻4.2.5.出口路由器路由器主要用于內(nèi)網(wǎng)連接互聯(lián)網(wǎng)做NAT地址轉(zhuǎn)換使用，規(guī)劃設(shè)計(jì)選擇華為AR6300系列路由器，它采用模塊化設(shè)計(jì)，設(shè)備硬件基于創(chuàng)新的CPU+備可配置雙電源、雙引擎，設(shè)備性能安全可靠。具有最高280Mpps的數(shù)據(jù)轉(zhuǎn)支持NAT數(shù)據(jù)轉(zhuǎn)發(fā)，可根據(jù)業(yè)務(wù)使用需求選擇相應(yīng)的電口、光口等業(yè)務(wù)板卡，在完全滿足此次網(wǎng)絡(luò)建設(shè)的同時(shí)還具有強(qiáng)大的網(wǎng)絡(luò)業(yè)務(wù)擴(kuò)展能力。此次網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃設(shè)計(jì)了無線網(wǎng)絡(luò)，所有無線AP使用無線AC控制器統(tǒng)一控制管理，無線AC選擇使用華為AirEngine9700-M1無線控制器，該無線AC是針對(duì)大中型網(wǎng)絡(luò)的盒式無線接入控制器，支持有線無線一體化接入，被廣泛應(yīng)用該控制器具有12個(gè)千M電口，12個(gè)萬兆10G光口，2個(gè)40GE萬兆光口。支持配置雙電源冗余結(jié)構(gòu)。數(shù)據(jù)轉(zhuǎn)發(fā)能力可達(dá)到120Gbps,最大可管理3072個(gè)無線AP。支持802.11a/b/g/n/ac/acwave2/ax等各種無線傳輸協(xié)議，支持無線隧道按照網(wǎng)絡(luò)拓?fù)湟?guī)劃設(shè)計(jì)，使用華為ENSP網(wǎng)絡(luò)模擬器繪制網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，再對(duì)該政企網(wǎng)絡(luò)進(jìn)行模擬配置實(shí)施，所有網(wǎng)絡(luò)設(shè)備配置嚴(yán)格按照規(guī)劃設(shè)計(jì)進(jìn)行。5.1防火墻安全配置防火墻主要用于網(wǎng)絡(luò)安全防御，規(guī)劃設(shè)計(jì)只允許內(nèi)網(wǎng)訪問外網(wǎng)，禁止外網(wǎng)訪問內(nèi)網(wǎng)，開啟IPS安全檢測(cè)功能，讓防火墻可以主動(dòng)攔截各種網(wǎng)絡(luò)安全攻擊。firewalldefendip-//開啟IP欺騙攻擊防范//開啟IP掃描攻擊防范上聯(lián)端口發(fā)生故障DOWN掉時(shí)，優(yōu)先級(jí)下降50,低于默認(rèn)100,此時(shí)VRRP備接替主成為VRRP主設(shè)備。interfaceVlanif10//配置VRRP虛擬IP//配置VRRP的優(yōu)先級(jí)為120,高于默認(rèn)100interfaceVlanif10vrrpvrid10virtual-ip54/配置VRRP虛擬IP5.3OSPF安全認(rèn)證個(gè)路由接口上進(jìn)行配置OSPF認(rèn)證。在VLAN201接口上啟用OSPF認(rèn)證，配置認(rèn)證訪問MD5,密鑰為huawei@123。兩端接口的密鑰配置一致。5.4端口鏈路聚合核心1與2之間使用端口鏈路聚合，將物理端口G0/0/1與G0/0/2通過聚合捆綁成一個(gè)邏輯接口。portlink-typetrunkporttrunkallow-passvlaninterfaceGigabitEtinterfaceGigabitEt在接入交換機(jī)上開啟DHCPSnooping功能，防止被非法DHCP服務(wù)器干擾獲取錯(cuò)誤的IP地址參數(shù)。將上聯(lián)口設(shè)置為信任端口，只能從上聯(lián)口獲取DHCP分配的IP地址參數(shù)。dhcpenable//開啟port-groupgroup-memberEthernet0/0/1toEthernet0/0/22//進(jìn)入用戶接口1-22批量配置dhcpsnoopingenable//dhcpsnoopingtrusted//將該端口設(shè)置為dhcpsnooping信任端口。在所有接入交換機(jī)的用戶端口上開啟端口安全功能，配置每個(gè)端口只允許一個(gè)MAC地址通過，當(dāng)出現(xiàn)違法規(guī)則MAC地址大于1個(gè)時(shí)端口自動(dòng)關(guān)閉。port-securityenable//開啟端口安全port-securitymax-mac-num1//配置端口最多最允許一個(gè)MACport-securityprotect-actionshutdown//配置違法規(guī)則時(shí)端口shutdown關(guān)閉遠(yuǎn)程登錄管理使用SSH加密方式，首先開啟SSH服務(wù)，配置認(rèn)證賬號(hào)口令，在VTY遠(yuǎn)程登錄虛擬線路上使用SSH方式等，采用aaa認(rèn)證。//進(jìn)入aaa認(rèn)證配置//配置賬號(hào)權(quán)限為管理員最高權(quán)限//配置賬號(hào)允許ssh遠(yuǎn)程登錄//進(jìn)入遠(yuǎn)程登錄虛擬線路配置//采用SSH方式登錄//采用AAA認(rèn)證方式務(wù)采用本地轉(zhuǎn)發(fā)模式。使用WPA2認(rèn)證使用aes加密方式，配置無線SSID名稱：wlan//進(jìn)入無線配置模式regulatory-domain-profilenamedefault//配置默認(rèn)域security-profilename001securitywpa2pskpass-phraseabcd1234aes//配置密碼為abcd1234//創(chuàng)建無線業(yè)務(wù)模板001//配置為本地直接轉(zhuǎn)發(fā)//綁定安全模板6.1.防火墻安全source-zonetrustdestination-zoneuntrustrulename3#圖6-1防火墻安全策略2)防火墻IPS安全檢測(cè)，攻擊防御齊port-scanenatime-stampenablelarge-icmpping-of-deathenablesmurfenable圖6-2防火墻IPS安全防御檢測(cè)6.2.網(wǎng)絡(luò)訪問測(cè)試1)在內(nèi)網(wǎng)PC終端測(cè)試ping互聯(lián)網(wǎng)IP,Ping14:32databytes,PressFrom14:bytes=32seq=1From14:bytes=32From14:bytes=32From14:bytes=32From14:bytes=32seq=55packet(s)receivround-tripmin/avg/max 圖6-3外網(wǎng)ping測(cè)試截圖XXPing:32databytes,PressCtrl_From:bytes=32From:bytes=32seq=2tt1=25From:bytes=32seq=3tt1=254tFrom:bytes=32seq=4tt1=254tFrom:bytes=32seq=5圖6-4內(nèi)網(wǎng)ping測(cè)試截圖AC1□X-------------------------------------------------000e0-fc9f-478000e0-fc9f-4780default192.168.200e0-fc8b-540000e0-fc8b-5400客戶端可以正常連接無線網(wǎng)絡(luò)IPv4配置網(wǎng)關(guān)： 已連接1無線網(wǎng)絡(luò)訪問測(cè)試正常Ping:32databytes,PressCtrl_cFrom:bytes=32From:bytes=32seq=2tt1=25From:bytes=32seq=3tt1From:bytes=32seq=4From:bytes=32seq=5tt1=254tim5packet(s)transmittedround-tripmin/avg/max=2□圖6-7無線網(wǎng)絡(luò)ping測(cè)試截圖云核心1E□XTotal:8Master:4Backup:4Non-active:0圖6-8核心交換機(jī)1的VRRP三核心2Total:8Master:4Backup:4Non-active:0圖6-8核心交換機(jī)2的VRRP運(yùn)行截圖核心交換機(jī)1與2通過物理端口GO/0/1-2做端口聚合成一個(gè)邏輯端口。三核心1□XSwitchPort,PVID:1,HasharithmetIPSendingFrames'FormatisPKTFMT_ETHGigabitEtherneto/0/1UP1GigabitEtherneto/0/2式與密鑰。E#ospfauthentication-modemd51cipher):p';Hx=nE#圖6-10核心交換機(jī)OSPF安全認(rèn)證ospfauthentication-modemd51cipher客^各#K<@,.TFOv三核心1X<HeXinl>displayosp在核心交換機(jī)上使用SSH方式遠(yuǎn)程登錄路由器，輸入賬號(hào)口令：admin/huawei@123,驗(yàn)證測(cè)試可以正常登錄。三核心1TryingTheserverisnotauthenticaSavetheserver'sMay21202313:42:22-08:00HeXin1音音01SSH/4/rhadnotbeenauthenticatedintheprocessofexchangingkeMay21202313:42:24-08:00HeXin1hethertosavetheserver'spublicEnterpassword:May21202313:42:27-08:00HeXinlDS/4/DATASYNC_CFGCHANGE:OID.configurationshavebeenchanged.Thecurrentechangeloopcountis0,andthemaximumnumberofrecordsiEntersystemview,retu本文是以政企信息中心為背景，通過對(duì)其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)，以及部署過程的介紹，為政企網(wǎng)絡(luò)提供了一條安全、冗余、穩(wěn)定且具有高可用性的信息網(wǎng)絡(luò)系統(tǒng)。本文首先介紹其研究背景和本論文的實(shí)現(xiàn)目標(biāo)，講述了當(dāng)前信息技術(shù)的快速發(fā)展產(chǎn)生的網(wǎng)絡(luò)安全問題對(duì)政府和企業(yè)存在各種安全威脅，因政府和企業(yè)內(nèi)部數(shù)據(jù)對(duì)其發(fā)展尤為重要，所有本論文就對(duì)政企的網(wǎng)絡(luò)進(jìn)行了規(guī)劃設(shè)計(jì)，并在網(wǎng)絡(luò)安全方面提出了相關(guān)技術(shù)要求和部署。本論文分別從網(wǎng)絡(luò)拓?fù)浼軜?gòu)安全、防火墻安全防御、協(xié)議安全認(rèn)證、鏈路冗余安全、DHCP協(xié)議安全、端口安全以及SSH遠(yuǎn)程安全登錄等多方面進(jìn)行詳細(xì)規(guī)劃設(shè)計(jì)，再對(duì)其進(jìn)行了模擬