网络安全技术与实施项目9-综合案例-网络整体安全部署课件

1、学习情境四：综合案例 项目9 综合案例 网络整体安全部署 9.1 项目背景与需求分析9.2 项目的规划设计与实施 9.3 综合项目施工报告 9.4项目习作 网络安全技术与实施网络整体安全部署 网络建设的主要目的就是为广大用户提供宽松、开放、易用的网络环境，而对于一个企业来说，围绕着企业创造的社会效益、经济效益、内涵文化等方面建设有很多种体现形式如网站建设、OA应用、E-MAIL、FTP、BBS等多种Internet服务项目。企业内部的总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。这样对于一个企业来说网络安全也显得尤为重要，本

2、项目将从一企业网络整体部署涉及相关点来进行安全设计。9.1项目背景与需求分析 某企业网络A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。A企业长春总部园区网络需求：A企业长春总部要求有一个外网服务器提拱WWW服务，一个内网服务器提供OA办公便于企业分支进行VPN访问，企业总部有四个楼层每个楼层约有20台PC左右。A企业北京办事处网络需求：A企业北京办事处有一个办公室20人左右，要求不超过20台PC同时能上互联网与客户进行网络沟通并能对总部进行VPN访问。A企业上海分公司网络需求：

3、A企业上海分公司有两个楼层，每个楼层各有20台PC左右，要求内网放置一个服务器提供文件及打印功能，并要求分公司会议室能实现无线上网。需求分析：A企业长春总部园区网络分析：需添加四台接入交换机、二台汇聚交换机、一台核心交换机、一台内网服务器、一台外网服务器、一台企业防火墙、一台接入路由器、1至4楼各办室计算机每层20台PCA企业北京办事处网络分析：需添加一台接入路由器、一台交换机、一个办公室20台PCA企业上海分公司网络分析：需添加一台接入路由器、一台核心交换机、二台接入交换机、一台内网服务器、无线AP、2个楼层，每层20台PC9.2项目的规划设计与实施A企业网络设备涉及企业防火墙、路由器、核心

4、交换机、汇聚交换机、接入交换机、服务器、无线AP等网络安全设备。A企业长春总部园区网络是一个典型的大中型企业网络模型，是一般对信息要求相对较高的企事业单位所采用的基于核心层、汇聚层、接入层三层设备的网络结构。对于网络性能、访问控制、接入管理等划分较为清晰，是一般由多栋建筑形成的园区所常采用的组网结构。它的基本结构层次清晰，可规划、设计与改造空间较大，网络设备比较齐全，安全管理与配置也相对要求较高。它是由若干二层的接入交换机、若干三层的汇聚交换机、若干核心交换所连接的内部网络、防火墙、服务器和接入路由器组成。此类网络的安全配置要从多个角度考虑，如接入部分、内网部分等。通过对路由器的配置可以实现N

5、AT、ACL、VPN、IDS、CA、UTM防火墙等功能。此类网络中的安全设备可以根据实际需求灵活选择，具体要根据需求而定。A企业北京办事处网络是应用最为普遍的小型办公SOHO网络，适合于员工人数在百人以内的规模，它的基本结构简单，网络设备较少，员工所用设备基本处于同一局域网段内，安全管理与配置也相对要求不是很高，并且没有专门人员管理与维护。它是由一到两台二层交换机所连接的内部网络和接入路由器组成。此类网络的安全配置主要是通过路由器或具有路由器功能的主机设备来加以实施的。通过对路由器的配置可以实现NAT、ACL、VPN、DHCP、包过滤防火墙等基本功能。此类网络也可以引入专用的安全设备，具体要看

6、此部分网络对安全性的要求。A企业上海分公司网络是比较常见的中小型企业网络，适合于员工人数在百人以上的规模，它的基本结构简单，网络设备相对简单，通过VLAN等技术对内部网络进行了逻辑的分段，引入了三层交换设备，安全管理与配置相对要求一般。它是由一到两台三层交换机和若干台二层交换机、无线AP所连接的内部网络和接入路由器组成。此类网络的安全配置主要是通过路由器来加以实施的，同时与内容的三层交换机相配合实现安全访问的控制。通过对路由器的配置可以实现NAT、ACL、VPN、VLAN、DHCP、无线安全、包过滤防火墙等基本功能。此类网络也可以引入专用的安全设备，具体要看此部分网络对安全性的要求。9.2.1

7、 VLAN、IP地址规划与需求分析 拓扑结构设计如图2-1A企业整体网络结构图为A企业长春总部、A企业上海分公司、A企业北京办事处三个部分网络拓扑。根据网络拓扑设计交换机、路由器、防火墙、IPS等网络设备。VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络，可以使物理上连接的各工作站在逻辑上限制通信，实现各网段之间的互相独立。使用VLAN技术，可以有效地控制网络广播风暴，优化网络带宽，减少网络交通量，提高整体网络安全性，简化网络管理工作。VLAN之间理论上不需要互相通信，但也

8、可以通过核心交换机或路由器等设备的路由选择功能实现不同VLAN间的数据通信，这样可以满足不同部门对其他VLAN中的部分工作站资源的访问需要。从技术角度讲，VLAN的划分策略主要有：基于端口的VLAN划分、基于MAC地址的VLAN划分以及基于协议的VLAN划分三种方式，其中基于端口和基于协议是VLAN划分的主要方式。项目9.2.1 VLAN、IP地址规划背景与需求分析 A企业网络接入用户采用基于802.1Q协议划分，将企业网络初步划分为150个VLAN，如表9.1所示，各VLAN由于都是通过DHCP服务器自动获取IP，为简单易行VLAN内部均采取24位掩码，各VLAN之间通过本楼汇聚交换机进行路

9、由转化，故汇聚交换机与核心交换机通过路由进行通信，这部分掩码采用30位掩码，需要引起注意。在本案例中，为了便于学习与理解，设计了一个模拟的互联网，包括6台互相连通路由器（运行OSPF动态路由协议）、一台DNS服务器、一台WWW服务器、一台CA服务器。项目9.2.1 VLAN、IP地址规划背景与需求分析 表9.1 A企业网络VLAN及IP地址分配一览表VLAN IDVLAN NameIP/Subnetwork描述111213141521229.2.2 设备选型总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块

10、化的设计方法。防火墙主要控制用户内网用户上网，通过访问策略实现网络安全访问。防火墙参数主要如下：吞吐量、并发会话数、是否支持VPN集群和负载均衡、流量监控、防御拒绝服务（DOS）攻击，例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、端口扫描、PING OF DEATH等攻击方式。路由器在网络设计的时候要考虑采用统一的网络出口设备，参数主要如下：保证内网的用户可以简单高速的访问互联网包转发能力、背板带宽、路由协议、VPN、流量分析、NAT。9.2.2 设备选型NAT（Network Address Translation）是在IP地址资源日益短缺的情况下提出的，一个局域网内部有很多台主机，可

11、是不能保证每台主机都拥有合法的IP地址，为了达到所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。NAT是改变IP报文中源地址或目的地址的一种处理方式。可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源，也可以设定内部的www、ftp、telnet等服务提供给外部网络使用。NAT同时隐藏了内部局域网的主机地址，可以在一定程度上防止外部的非法攻击。在网络地址转换时，根据转换关联可以找到与数据包对应的地址池，根据地址池就可以找到HASH表，将转换记录记在相应的HASH表。还原时，根据目的地址可以知道是属于哪个地址池，从而找到相应的HASH表，就可以进行还原操作。9.2

12、.2 设备选型总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则，以及考虑到技术的先进性、成熟性，并采用模块化的设计方法。防火墙主要控制用户内网用户上网，通过访问策略实现网络安全访问。防火墙参数主要如下：吞吐量、并发会话数、是否支持VPN集群和负载均衡、流量监控、防御拒绝服务（DOS）攻击，例如SYN泛滥、互联网控制信息协议（ICMP）泛滥、端口扫描、PING OF DEATH等攻击方式。路由器在网络设计的时候要考虑采用统一的网络出口设备，参数主要如下：保证内网的用户可以简单高速的访问互联网包转发能力、背板带宽、路由协议、VPN、流量分析、NAT。9

13、.2.2 设备选型核心交换机是局域网核心层的骨干，重点考虑全网的安全建设，采用的核心设备必须具备完整的安全体系架构，具备防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描等防攻击功能，支持千兆端口链路聚合，支持端口镜像，支持DHCP Snooping，设备的管理支持采用SNMPV3标准协议，具备数据加密，非法数据包检测等安全功能，保证网络设备的安全，负责可靠而迅速的传输大量的数据流。参数主要如下：背板带宽、第三层转发性能、高可用性特性。汇聚交换机主要是选用三层交换机。在全网络的设计上体现了分布式路由思想，可以大大减轻核心层交换机的路由压力，有效的进行路由流量的均衡。作为本地网络的逻辑核心，对

14、于突发流量大、控制要求高、需要对QoS有良好支持的应用(多媒体流-语音、视频和数据的融合应用，比如多媒体教室和教学)实施策略部署和接入的汇聚。对于没有特殊需求(多媒体传输、安全、控制等)的子网，比如正常办公子网（通常只进行数据的传输）可以考虑选择性能中等的二层交换机设备。参数主要如下：背板带宽、包转发率、链路聚合。接入交换机就是每栋楼的楼层接入交换机，接入层交换机的选择仍然非常重要，考虑到接入层交换机的对于终端用户接入的控制起着非常重要的作用，因此建议采用安全性、控制性较高的设备，接入层设备可以通过包过滤或访问控制列表提供对用户流量的控制，完成基本业务系统之间的隔离和安全性控制、认证管理等功能

15、。设备应该能够提供MAC地址绑定、支持IEEE802.1qVLAN的划分、802.1X的认证等等功能，满足网络对接入控制和管理的需求。参数主要如下：背板带宽、交换容量、转发性能、端口数量、端口/IP/MAC三元组的绑定。网络中几台服务器，要体现具有下列这样功能：仅供A公司内网用户访问；网络中的WWW服务器、MAIL服务器、OA服务器等可以同时被内网及外网访问，提供入侵检测、协议分析、流量控制及SNMP网络管理等功能。无线AP根据网络规划的需要，在无线网络中可以有选择支持Fat和Fit两种工作模式，在组网模式上可以通过与无线控制器配套使用，参数主要如下：交换容量bit/s（全双工）、包转发率pp

16、s、端口聚合、802.1x 。9.2.3 网络整体实施制定实施进度计划网络工程的整个完成时间计划为八周，工程进度安排如表9.2所示，在网络实施工程中，要严格按照网络规划进行实施，对网络设备的安装与调试过程中，局部采取边施工边测试的原则，防止出现网络环路、漏调、漏接等现象的发生。9.2.2 设备选型表9.2 网络工程进度表工作日工作内容1234567890123456789入场，核实现场数据设备、材料入场网络设备安装调试无线网络安装调试服务器安装调试工程文档工程验收技术培训9.2.4 网络整体测试在A企业内部局域网中，核心层设备是起着承载汇聚层设备的高速上连，并且根据网络的目的地址进行网络转发，

17、这就要求核心层设备达到线速，因此在核心层设备上尽量把规则下放。在核心层设备的主管理引擎执行路由管理、网络管理、网络服务等任务，利用交换的高速背板,可以独立实现硬件路由、交换和组播功能以及硬件ACL和QOS功能，从而保证了网络的高速稳定运行。接入交换机是直接连接用户的终端设备，能通过认证客户端后实现自动获取IP地址，并且访问内、外网资源。另外在接入交换机中配置访问控制列表(ACL)、设置IP数据过滤，禁止如冲击波、震荡波等众所周知的端口跨VLAN进行访问资源，达到一个保护网络的安全的作用。局域网内部功能测试是网络安全的一个重要部分，通过内部局域网的组建，检测网络设备能否为网络正常运行提供安全稳定

18、的保障，测试部分可运用常用网络命令如ping、tracert等，对网络基本状态进行检测，再给合交换机内置命令，完成如下操作：显示接口信息、显示所有TCP连接的状态、显示TCP连接的流量统计信息、显示UDP流量统计信息、显示IP报文统计信息、显示ICMP流量统计信息、清除IP报文统计信息、清除TCP连接的流量统计信息、清除UDP流量统计信息等进行测试。9.2.4 网络整体测试广域网接入功能测试是检验网络络成果的一个重要组成部分，测试部分可运用常用网络命令如ping、tracert、netstatan、nslookup等，对网络基本状态进行检测测试。如在路由器上测试局域网接口及广域网接口、数据包转

19、发功能、路由信息维护功能、SNMP功能，日志、地址转换，访问控制，防火墙，地址分配等功能。同时启动若干机器在ISP运营商下载比较大的数据，通过对路由器吞吐量、时延、丢包率等能力检验路由器的稳定性和可靠性。表9.3 功能测试表9.2.4 网络整体测试测试命令或内容测试手段、方法测试结果9.3 综合项目施工报告综合项目施工报告撰写是很重要的，因为是最原始的第一手材料，要精心设计每一项目的内容。而边施工边测试是检验工程质量的关键，只有设计合理、科学，才能简化工作步骤。下面给出几个我们就针对施工过程中设计几个表，可以放倒施工报告及验收报告中。网络测试是正常运行网络的安全保障，要求对从接入层设备、汇聚层

20、设备、核心层设备、无线控制器及AP、出口路由器等进行全方位的测评。测评要求给出具体的结果，形成文档。网络综合测试表如表9.4所示。9.3 综合项目施工报告表9.4网络综合测试表测试内容测试方法检查结果说明1.telnet和串口登录：telnet和串口两种方式能正常登录。完善不完善如有特殊要求不强制检查2.端口统计数据：查看各个使用的端口收发统计数据是否正常，异常报文是否有增长。参照设备命令手册完善不完善3.debug开关：日志信息应正常，所有debug开关关闭。参照设备命令手册完善不完善4.电源状态查看：各电源模块工作状态正常。参照设备命令手册完善不完善5.CPU占有率：CPU占有率应正常，与

21、当前开展的业务类型和转发流量相符。参照设备命令手册完善不完善6.不使用的网络服务端口要关闭：比如FTP SERVER功能在不使用时要及时关闭。参照设备命令手册完善不完善7.系统当前正在发生的告警信息：有告警及时处理。参照设备命令手册完善不完善8.抽样检查9%AP设备信号覆盖效果抽样点信号强度不低于-70dBm。关联无线服务是否正常、迅速。抽样点读数信号强度。详细标注抽检AP设备的物理地点、IP地址、信号强度读数等。9.3 综合项目施工报告施工过程中针对机房中设备如服务器、防火墙等进行全方位的测评。测评要求给出具体的结果，形成文档。如表9.5所示 9.3 综合项目施工报告施工过程中针对机房中设备如服务器被攻击情况。测评要求给出具体的结果，