2.网络和应用服务 ① WEB服务
随着企业业务的不断拓展,公司在业界的影响力越来越大,越来越多的商业合作伙伴和客户需要从互联网上了解公司的信息,并希望通过互联网进行商务合作。为了进一步提高企业知名度并在互联网发布公司及子公司的商业信息,公司计划在网络中建立WEB服务器,公司已经宴请了域名gzlk.local。公司下属子公司也在Internet上注册了域名gzlkedu.com。其他子公司不需要建立自己的WEB服务器。所有的网站内容已经制作完毕。详细的需求如下所述:
公司WEB服务器放置在总部机房,子公司WEB服务器放置在该公司机房 WEB服务应和操作系统具有良好的兼容性,避免由于服务的不兼容影响性能和稳定性
WEB服务器具有固定的IP地址配置 WEB网站允许匿名访问
网站的文件存储应具备良好的安全性
允许互联网及公司内部的用户可以通过www.gzlk.local访问公司及子公司网站
② FTP服务
为了实现公司内部的文件存储和管理,公司计划采用两种方式管理文件资源,总部及各子公司设立自己的文件服务器,上项工作由各单位的系统管理员自行完成。另外,总部及各子公司建立自己的FTP服务器,此项工作包含在本项目中,由工程实施单位完成。FTP服务的建立要求具备足够的存储空间用于存储各单位的文档资料及应用软件并能够实现利用FTP客户端软件及WEB浏览器访问。具体的需求如下所述: FTP服务器具有固定的IP地址
采用所选操作系统自带的FTP服务建立FTP服务器,不采用第三方软件 FTP服务器允许本公司内部员工下载
7
只允许系统管理员上传文件到FTP服务器 FTP服务器不对互联网用户开放
FTP服务器需要设置合理的权限,保障公用文件不被非法的删除和改写
③ 邮件服务
随着公司规模的不断扩大,企业内部的信息交流变得越来越重要,企业迫切的需要建立内部的消息传递平台,用于让员工之间方便的传输各种文件、数据和其他消息。公司计划在本项目中利用邮件服务实现企业内部的消息传递平台,需要在公司总部及各子公司建立邮件服务器,允许所有员工方便的收发电子邮件。并且通过公司的邮件服务器,员工也可以和外部的用户之间收发电子邮件。具体的需求如下:
总部及各子公司均建立邮件服务器 公司内的邮件服务之间能够互相转发邮件 每名员工均有公司统一分配的邮箱
所有员工能够利用自己的电子邮件与外部用户通信 所有员工发送邮件附件的大小不能超过4MB
所有员工能够利用outlook、outlook express、web浏览器收发邮件。 类接口、技术的选择,以方便未来更灵活的扩展。
五、网络安全需求
1.网络安全体系要求
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分
8
虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
2.网络安全体系设计
控制端口console
管理思科安全管理器 (CS-Manager)
VPN支持 选择该型号是因为价格适中,
且功能齐全,较适合本校园网建设。 在内部网络和外网之间之间通过防火墙,建立起一个DMZ 区。与外网关联业务的服务器都可以放在DMZ 区,Internet 上的用户只能到达DMZ区相应的服务器。并且内部网络到Internet 的连接,是通过NAT 地址翻译的方式进行,可以充分隐藏和保护内部网络和DMZ区设备。防火墙在内外网络连接中起两个作用:
利用访问控制列表(Access Control List ,ACL)实安全防护防火墙操作系统IOS 通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP 端口号进行控制。这样,我们就可以在Extranet 上建立第一道安全防护墙,屏蔽对内部网Intranet 的非法访问。 例如,我们可以通过ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机;限制可以被访问的内部主机的地址;为保证主机的安全,可以限制外部用户对主机的一些危险应用如TELNET 等。
利用地址转换(Network Address Translation,NAT)实现安全保护防火墙另外一个强大功能就是内外地址转换。进行IP 地址转换由两个好处:其一是隐藏内部网络真正的IP 地址,这可以使黑客(hacker)无法直接攻击内部网络,因为它不知道内部网络的IP 地址及网络拓扑结构;另一个好处是可以让内部网络使用自己定义的网络地址方案,而不必考虑与外界地址冲突的情况。地址转换(NAT)技术运用在内部主机与外部主机之间的互相访问的时候,当内部访问者想通过路由器外出时,路由器首先对其进行身份认证----通过访问列表(ACL)核对其权限,如果通过,则对其进行地址转换,使其以一个对外公开的地址访问外部网络;
9
当外部访问者想进入内部网时,路由器同样首先核对其访问权限,然后根据其目的地址(外部公开的地址),将其数据包送到经过地址转换的相应的内部主机。 在XX学院网络工程和今后各种应用系统的建设过程中,在局域网上我们可以根据不同部门、不同业务类别划分VLAN(虚网),通过把不同系统划分在不同VLAN的方式,将各系统完全隔离,实现对跨系统访问的控制,既保证了安全性,也提高了可管理性。
VLAN(虚网)技术和VLAN 路由技术
VLAN 技术用以实现对整个局域网的集中管理和安全控制。CISCO 局域网交换机的一大优势是具备跨交换机的VLAN(虚网)划分和VLAN 路由功能。虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种安全的防护。通过VLAN 路由实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。
Inter-VLAN Routing 原理
每一个VLAN 都具有一个标识,不同的VLAN 标识亦不相同,交换机在数据链路层上可以识别不同的VLAN 标识,但不能修改该VLAN 标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。Inter-VLAN Routing 技术是在网络层将VLAN标识进行转换,使得不同的VLAN 间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list (访问列表限制)、FireWall(防火墙)、TACACS+等,Inter-VLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。 MAC 地址过滤策略
在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。MAC 地址过滤能进一步实现对局域网的安全控制。CISCO局域网交换机具有MAC 地址过滤功能,通过在交换机上对每个端口进行配置,可以禁止或允许特定MAC 地址的源站点或目的站点,从而实现各站点之间的访问控制。由于每块网卡有唯一的MAC 地址,是固定不变的,只允许特定MAC 地址的工作站通过特定的端口进行访问,所以对MAC 地址的访问控制实际上就是
10
对指定工作站这一物理设备的访问控制,由于MAC 地址的不可改变,与对IP 地址的过滤相比,具有更高的安全性。 访问安全控制
从确保网络访问的安全出发,路由器对所有远程拨号访问连接都由Radius设置AAA(Authentication Authorization Account,即认证、授权、记帐)级安全控制,防止非法用户的访问。同时,在计费服务器上,也提供Radius 认证方式,两者可以配合使用。(也可以只采用计费服务器上的Radius认证)。具体的实现细节如下:
在网络中配置一台安装Cisco Secure 软件的服务器,Cisco Secure 软件使用Radius(Remote Authentication Dial-in User Service)协议提供对网络的安全控制,并对成功连接到网络的用户的操作进行记录。对于远程拨号访问,配置PPP 协议提供的CHAP(Challenge Handshake Authorization Protocol)认证协议,该协议是一个基于标准的认证服务,而且在传输过程中使用加密保护,与在传输用户ID和口令时不使用加密的PAP 协议相比,具有更大的安全性,可提供用户ID 和口令在传输线上的安全保护。
RADIUS 提供的AAA 级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问,从而决定是否建立连接;其次对经过认证连接到网络的用户授予相应的网络服务级别,提供访问的限制;最后保留用户在本网络中的所有操作记录(日志),这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。
AAA 在Client/Server 体系中允许在一个中心数据库中存储所有的安全息,在一台装有Cisco Secure 软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。
Cisco Secure 软件由一个Daemon 和一个GUI 两部分组成。Daemon 的操作依赖于两个文件,一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。GUI 提供给系统管理员用于维护认证和授权信息等,网络用户可被分配到具有一系列相同参数的组,GUI 使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。
11
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说教育文库企业网络工程实施方案(3)在线全文阅读。
相关推荐: