网络工程规划与设计案例教程项目三-任务三-怀钢（集团）有限公司信息化建设项目（第一期）安全设计方案

长胜钢铁集团信息化建设项目一期工程安全设计方案书目录TOC\o"1-3"\u1. 概述 1 网络设计原则 1 网络建设目标和总体规划 12. 主干网络建设 4 主干交换机 4 CISCOCatalyst6000系列基本特性 4 CISCOCatalyst6000系列扩展特性 5 第三层交换 6 本方案选型和主要配置 6 子网划分 7 二级节点主交换机 7 Cisco3548XL交换机介绍 7 本方案二级节点主交换机选型和配置 8 部门交换机 8 网络连接冗余 83. 访问服务中心 8 ISP访问服务器配置和选型 9 ISP计费系统软件 94. Internet连接 11 Internet连接概述 11 CISCO3640路由器介绍 11 本方案路由器选型和配置 115. 服务器系统 12 E-mail服务器 12 E-MAIL服务器选型原则 12 SUNE450优点与特性 12 E450ClusterHA双机热备 13 本方案E-MAIL服务器主要配置 14 数据库服务器 15 数据库服务器选型原则 15 本方案数据库选型和配置 15 WEB应用服务器 16 WEB服务器的功能概述 16 本方案WEB服务器的选型和配置 16 SUNE250优点与特性详述 17 代理服务器 17 计费和认证服务器 17 DNS（域名）服务器 18 开发平台 186. 系统软件的选择 18 操作系统的选择 18 数据库的选择 18 内容管理 18 开发 19 电子商务集成 19 高可用性和高安全性 20 良好的性能及可扩展性 20 WEB应用服务器软件的选择 20 E-mail软件系统的选择 217. 主干网实施和综合布线子系统 22 设计原则 23 总体设计思路 23 布线系统详细设计 23 设计依据 23 设计要素 24 布线系统设计 24 线路铺设 288. 数据备份 29 数据备份概述 29 推荐采用的备份软件和存储设备 29 备份软件 29 存储设备 29 备份方案结构图 30 备份方案选择 319. 网络管理 31 长胜钢铁集团公司网络系统对网络管理需求 31 长胜钢铁信息系统网络管理选型和配置 32 介绍 32 Sun网管系统的工作原理及特点 33 分布式管理 34 协同管理 34 SNMP的支持 35 安全性 35 用户工具 35 应用接口 36 CiscoWorksforSUNNetManager介绍 36 CiscoWorksforSUNNetManager功能描述 37 查错管理 37 运行管理 37 帐户管理 38 配置管理 38 安全管理 3910. IP地址分配和域名管理 39 IP地址管理概述 39 内部网络IP地址分配 40 外部网络IP地址分配 40 ISP网络IP地址分配 41 域名管理 4111. 网络安全 41 安全技术介绍 41 系统安全 41 信息安全 42 应用安全 42 网络安全——防火墙 42 软件防火墙介绍 43 CISCOPIX防火墙介绍 43 本方案网络安全配置概述 44 内部的合法用户在外地从不同路径入网的安全性 45概述根据我们的组网经验，结合长胜钢铁公司企业网的建设必须要统筹规划，全面安排，确保网络的合理性、先进性、经济性和安全性，并且要为网络未来的发展留有足够的扩充余地。网络设计原则（1）坚持实用性并充分保护用户的投资（2）坚持开放性、兼容性和可互连性，向事实上的工业标准TCP/IP协议靠拢，同时考虑支持IPX/SPX（3）坚持技术的先进性（4）坚持高可管理性（5）坚持高可靠性（6）提供冗余备份功能（7）能有效进行网络管理（8）利于网络扩展和技术升级（9）充分利用现有的网络设备（10）提供严格受控的拨号访问系统（11）提供完全的网络安全控制网络建设目标和总体规划长胜钢铁公司信息系统网络建设的目标，就是在总部和各分支机构局域网建设、及其广域网联接的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的Intranet系统。整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最大的产出。具体规划如下：（1）以电讯公司为中心，与公司机关大楼、厂区内生产处、各二级厂等单位通过光纤相连，构成一大型分级局域网；（2）以千兆以太作为主干网，利用第三层交换技术实现大型局域网的VLAN划分。一期规划中十个二级节点采用千兆，与中心主交换机（主节点）构成千兆网络主干，各二级单位（三级节点）采用100M光纤收发器通过二级节点接入主干网；（3）考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节点之间尽可能互联，形成环路；（4）网络中心建设拨号访问服务中心，接受远程拨号访问，并由认证和计费系统进行权限认证和计费；（5）网络通过申请专线或虚拟光纤接入Internet/ChinaNET，在公网上建立虚拟专用网(VPN)；通过采用Web技术和Internet-VPN技术以及信息加密技术实现电子商务。这样，可以提供远程拨号访问和通过Internet访问两种方式，来实现全国各分支机构、相关部门以及公众对长胜钢铁信息的限制性访问；（6）网络的安全机制：通过对网络设备的配置，控制访问列表等方式来加强网络的安全性措施；更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器技术、以及Web服务器的口令验证、数据加密等技术实现网络的安全性。（7）网络中心设立WEB应用服务器、代理服务器、E-MAIL服务器、DNS服务器、计费认证服务器和数据库服务器，实现WEB访问、Internet接入、E-MAIL系统、域名解析、计费认证和应用系统等各种功能。主干网络总体逻辑示意图如下图1：CiscoCatalyst6509中心交换机SUNE450服务器SUNE450服务器SUNE250服务器CiscoCatalyst2950交换机连接千兆主干网二级企业千兆接入3548交换机CatalystCiscoSUNE250服务器2950交换机CatalystCisco2950交换机CatalystCisco工作组交换机网管工作站磁盘阵列WEB服务器DNS服务器2950交换机CatalystCiscoCiscoCatalyst3548交换机2950交换机CatalystCisco三级企业百兆接入代理服务器计费认证服务器CiscoPIX防火墙Cisco3640路由器ChinaNetInternet/电讯公司网CiscoAS5300访问服务器拨号访问PC机Internet用户Internet用户拨号访问PC机信息点PC信息点PC信息点PC信息点PC信息点PC连接光纤连接光纤信息点PC信息点PC信息点PC信息点PC千兆接入二级企业光纤连接数据库服务器E-MAIL服务器备份二级子网三级子网二级子网电讯公司网络中心ISP服务INTERNET接入双机热备CiscoCatalyst6509中心交换机SUNE450服务器SUNE450服务器SUNE250服务器CiscoCatalyst2950交换机连接千兆主干网二级企业千兆接入3548交换机CatalystCiscoSUNE250服务器2950交换机CatalystCisco2950交换机CatalystCisco工作组交换机网管工作站磁盘阵列WEB服务器DNS服务器2950交换机CatalystCiscoCiscoCatalyst3548交换机2950交换机CatalystCisco三级企业百兆接入代理服务器计费认证服务器CiscoPIX防火墙Cisco3640路由器ChinaNetInternet/电讯公司网CiscoAS5300访问服务器拨号访问PC机Internet用户Internet用户拨号访问PC机信息点PC信息点PC信息点PC信息点PC信息点PC连接光纤连接光纤信息点PC信息点PC信息点PC信息点PC千兆接入二级企业光纤连接数据库服务器E-MAIL服务器备份二级子网三级子网二级子网电讯公司网络中心ISP服务INTERNET接入双机热备图1长胜钢铁集团信息系统一期规划网络逻辑示意图网络安全网络安全是当前IT业最受关注的环节。在长胜钢铁的企业网建设中，内部网与Internet/ChinaNET公众网的连接是重要环节。因此，需要着重解决好总部的防火墙方案。安全技术介绍由于Intranet网络系统将连入Internet，为用户提供各种信息服务。资源共享和开放是Internet特点，所以Internet的安全机制很松散；而企业内部网络系统要求有较高的安全性，其内部的许多数据和文件不接受未经授权的访问。因此，设计与开发保证内部各种信息的安全机制是实现该办公网络顺利运行的关键。安全技术主要包括系统安全、信息安全、应用安全和网络安全技术，而三者之中网络安全尤为重要，而且也是技术实现的难点所在。网络安全的主要技术是防火墙技术（Firewall），防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。系统安全系统安全保证一个主机系统的安全，主要包括主机系统的密码安全、重要服务器如Mail、FTP和数据库等大型应用系统的安全。我们在主机系统和数据库系统的选型上，已经充分考虑了系统的安全性。信息安全由于网络上有许多可用来做窃听的工具，如sniffer等，因此明文信息在网上传输是不安全的。TCP／IP协议本身不提供任何信息安全方面措施，因此必须另外开发，目前，Internet上的信息加密有两种途径：基于IP层的信息加密和基于应用层的信息加密，基于应用层的信息加密是传统的方法，用户在发送信息前，利用加密工具先将信息加密、然后才发送出去，接收方可利用相应的解密工具还原信息；基于IP的信息加密是lnternet上的一种新技术，它对IP包进行加密，对于应用层的用户来说是透明的，用户无需在传送数据前进行加密，数据的安全是通过IP层自动实现的，但是这种应用要求发送方和接收方采用同样的技术、同样的产品，利用基于IP包的信息加密技术可在Internet上实现安全的私有网络SVPN（SecureVirtualPrivateNetwork）。信息加／解密技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系，单密钥的加密体系在加密和解密时采用相同的密钥，如著名的加密算法DES；双密钥的加密方法又叫公开密钥的加密方法，加密和解密时采用不同的密钥，即公开密钥和私人密钥，如著名的RSA算法：这两种加密体系在Internet都得到了不同的应用，如Unix系统的用户密码password就采用DES算法，而信息加解密工具PGP（PrettyGoodPrivacy）采用了公开密钥的加密方法。基于本网络之上的应用系统在设计时充分考虑了系统的安全性。应用安全应用安全是指基于网络的应用系统的安全，包括用户的身份认证和权限管理两部分。应用系统建立用户管理子系统，进行用户的管理和授权工作。（1）身份认证：用户使用应用系统，不管是从内部网络登录，还是拨号访问，还是通过INTERNET访问公司网络，首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。（2）权限管理：每个使用网络的用户将受到严格的权限限制。一般而言，网络管理员不得从事业务操作，普通用户不能进行网络管理。网络安全——防火墙网络安全的主要技术是防火墙技术(Firewall)，防火墙技术的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于包过滤（PacketFilter）的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层，根据IP包的包头信息来对信息的访问进行控制，而IP包的包头主要包括以下信息:IP包的源地址、目的地址、包类型，端口号，因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙，也叫应用层防火墙，处于应用层、可对IP地址和发生在该IP地址上的具体应用进行控制，由于它能识别应用协议，因此可对应用的整个过程进行控制，比如在应用建立时的密码验证、在FTP应用中允许某站点GET而不允许PUT等等。这两种防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失败时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许的就是禁止的”这一策略，在它失效时，内部网络与外部网络是隔离的，因此应用层防火墙要比包过滤型防火墙安全。大多数路由器均支持包过滤功能，比如在Cisco路由器上可以通过设置过滤规则来实现包过滤功能，禁止外部网络对内部网络的某些重要机器的访问，禁止内部网络主机对Tnternet上部分站点的访问，并可利用端口号来选择控制的应用协议，比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等，这样就可以设或一些较复杂的规则，比如可以允许某台机器对Internet具有Email访问功能，却不能利用WWW和FTP等。软件防火墙介绍企业内部网络系统接入公共网（Internet）以后可以与之进行数据信息交流，使信息获取更方便、及时，工作方式更快捷。但是，每一种不彻底公开的内部网络与INTERNET最大的区别是安全性。作为企业内部的办公系统，有大量的科技、生产秘密不能为他人所知，因此网络保密就成了关键，网络建成后，内部网与公共网之间将实现单向访问控制，通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证.它可分为两种,即基于包过滤(PACKETFILTER)的网络级防火墙和基于代理(PROXY)的应用级防火墙。这两种防火墙各有优缺点，在本系统的内部网防火墙构架中，我们综合利用了这两种技术。下面是整个软件防火墙系统的介绍：第一道防火墙采用Cisco路由器实现包过滤，完成访问控制功能：禁止外部对内部某些重要主机的访问，同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器,实现内部网对INTERNET的访问，同时实现隔离功能，禁止外部网络对内部网络的访问。在外部网与内部网之间为中间非军事区(DMZ)，在这个区域里的主机与INTERNET直接相通,因此不用来存贮较敏感的数据，是一个过渡区域。具体示意图如图10所示。图10软件防火墙示意图CISCOPIX防火墙介绍我们采用的第二种防火墙方案是采用Cisco公司的防火墙产品PIX，它是一种硬件解决方案，主要优点在于，比其它防火墙方式更安全有效，而且，更好的支持多媒体信息的传输，使用与管理更方便。PIX具有双以太网口（内部网与DMZ各一个），并可以扩展；可组成虚拟专用网并加密；在防止非法侵入的同时还可有效的限制内部对外的访问。整个系统的安全保障由CISCOPIX防火墙来完成，PIX是局域网对外的主要门户，由外界进入局域网的连接均要通过PIX。PIX的核心是基于适应性安全算法(ASA)的保护策略，是面向连接的防火墙，支持IPsec支持的56-bit数据加密标准(DES)和168-bit3DES算法。可以提供6Mbps以上的3DES性能，完全可胜任目前安全的需要。能同时支持25万个并发用户连接。大多数提供代理服务的专用防火墙机器是基于UNIX系统的，这些操作系统本身就有安全缺陷。CISCO提供了PIX(PrivateInterneteXchange，私有Internet交换)防火墙，它运行自己定制的操作系统，事实证明，它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络。PIX有两个ETHERNET接口，一个用于连接内部局域网，另一个用于连接外部路由器。外部接口有一组外部地址，使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时，完成内部和外部地址之间的映射。

PIX是局域网对外的主要门户，由外界进入局域网的连接均要通过PIX。PIX的核心是基于适应性安全算法(ASA)的保护策略，是面向连接的防火墙，支持IPs