企业网络安全防范系统的研究设计与实现

学士学位论文企业网络安全防范系统的研究设计与实现姓名学号院系信息科学与技术学院专业电子信息工程指导教师二〇二〇年六月十五日

学位论文原创性声明本人所提交的学位论文《企业网络安全防范系统的研究设计与实现》，是在导师的指导下，独立进行研究工作所取得的原创性成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和集体，均已在文中标明。本声明的法律后果由本人承担。论文作者（签名）：指导教师确认（签名）：年月日年月日学位论文版权使用授权书本学位论文作者完全了解燕京理工学院有权保留并向国家有关部门或机构送交学位论文的复印件和磁盘，允许论文被查阅和借阅。本人授权燕京理工学院可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或其它复制手段保存、汇编学位论文。保密的学位论文在_______年解密后适用本授权书。论文作者（签名）：指导教师（签名）：年月日年月日燕京理工学院学士学位论文摘要近年来，随着计算机网络信息技术不断的发展，现已成为了我们生活当中不可或缺的一部分，也正是因为如此，网络当中的安全隐患也是普遍存在，我们所用的PC系统经常会遭受到来自外部的恶意攻击，因此网络安全也是我们一直以来着重关注的一个问题。近年来，防火墙已广为人知并被使用。作为保护日常生活中网络安全的一种技术手段，防火墙解决了我们通常遇到的许多网络安全问题。本文主要分析国内企业网络的现状。通过结合公司网络的当前状况，公司网络安全保护系统的当前问题和隐患从公司本身开始针对安全技术，网络保护和公司安全管理。介绍了云平台的开发及其他方面的深入研究和分析，以及针对性的特定解决方案，最后建立了一个全面，全面的网络安全保护系统，用于物理保护和云平台保护的集成。基本技术主要包括防火墙，防病毒软件，文件加密技术，访问控制技术，身份认证等。公司网络分为四个区域，分为域边界安全域，数据中心域，安全管理域和访问域。税收。除了技术保护措施，它还加强了公司的网络安全管理。对安全系统进行部署和升级后，对运行结果的分析表明，该安全系统可以满足“保护信息安全级别的基本要求”，可以有效地防范来自各个方面的攻击和威胁，使其更加健壮。关键词：运行安全；数据采集；实时监控；网络安全

ABSTRACTInrecentyears,withthecontinuousdevelopmentofcomputernetworkinformationtechnology,ithasbecomeanindispensablepartofourlives.Itispreciselybecauseofthisthathiddensecurityhazardsinthenetworkarealsowidespread,andthePCsystemsweuseareoftensubjecttoMaliciousattacksfromtheoutside,sonetworksecurityisalsoanissuethatwehavealwaysfocusedon.Inrecentyears,firewallshavebecomewidelyknownandused.Asatechnicalmeanstoprotectthenetworksecurityindailylife,thefirewallsolvesmanynetworksecurityproblemsthatweusuallyencounter.Thisarticlemainlyanalyzesthecurrentstatusofdomesticcorporatenetworks.Bycombiningthecurrentstatusofthecompany'snetwork,thecurrentproblemsandhiddendangersofthecompany'snetworksecurityprotectionsystemstartfromthecompanyitselfforsecuritytechnology,networkprotectionandcompanysecuritymanagement.Introducedin-depthresearchandanalysisofcloudplatformdevelopmentandotheraspects,aswellastargetedspecificsolutions,andfinallyestablishedacomprehensiveandcomprehensivenetworksecurityprotectionsystemfortheintegrationofphysicalprotectionandcloudplatformprotection.Basictechnologiesmainlyincludefirewalls,antivirussoftware,fileencryptiontechnologies,accesscontroltechnologies,andidentityauthentication.Thecompanynetworkisdividedintofourareas,whicharedividedintodomainboundarysecuritydomain,datacenterdomain,securitymanagementdomainandaccessdomain.tax.Inadditiontotechnicalprotectionmeasures,italsostrengthensthecompany'snetworksecuritymanagement.Afterthedeploymentandupgradeofthesecuritysystem,theanalysisoftheoperatingresultsshowsthatthesecuritysystemcanmeetthe"basicrequirementsforprotectingthelevelofinformationsecurity"andcaneffectivelypreventattacksandthreatsfromallaspects,makingitmorerobust.Keywords:operationalsafety;datacollection;real-timemonitoring;networksecurity

目录TOC\o"1-3"\h\u233251、绪论 第1章绪论研究背景与意义随着时间的不断发展，科学技术的发展突飞猛进。计算机技术，通信技术和一些高端产业的发展需要网络技术的支持。计算机网络已逐渐到达不同的学校，企业甚至家庭。，不仅丰富了学生的教学内容，而且优化和完善了商务系统，改善了人们的日常休闲时间。计算机网络意外地进入了我们的日常工作和学习，并已成为其不可或缺的一部分。无论系统多么完美，仍然存在问题，我们必须注意网络安全性。该公司高效，协作和完善的运营和管理受益于信息交换，实时传输和网络系统功能，这些功能消除了诸如距离之类的高质量功能。公司的日常管理甚至没有能力离开信息系统和网络。但是，计算机网络系统通常存在一些安全问题，例如安全问题，病毒，特洛伊木马，系统漏洞，恶意软件以及硬件和软件不兼容。网络的健康发展受到严重损害。主要原因是缺乏网络系统使用的技术手段，以及缺乏对网络安全防范措施的意识，所有这些都使人们关注公司信息的安全性。因此，我们决不能低估计算机网络的安全性，而必须认真对待它们。为了保护网络安全免遭破坏，防火墙作为网络防御的主要工具受到越来越多的关注。它用于保护公司网络系统免受攻击和各种外部因素的侵害，这些因素可以从根本上确保从外部流入公司的信息安全可靠，并防止系统受到破坏。防火墙可以首先读取和分析传入的数据包，然后根据已设置的安全策略对其进行过滤和检测，最后确保可以将安全和合法的数据信息发送到网络之外，以便公司使用。在防火墙的外部防御过程中，以相对较低的安全性阻止数据是最基本的链接。整个连接取决于过滤器规则，这些规则最终由防火墙的安全策略制定。随着时间的不断发展，人们对网络安全的认识逐渐提高。人们已经慢慢学会了使用防火墙来保护隐私和网络安全，但是黑客的入侵并未停止。诸如Trojans之类的网络攻击对系统造成的损害仍然很大。从这里我们可以看到，如果在网络系统中仅使用一些简单的安全防御技术，仍然有许多问题仍然难以解决。但是，随着网络时代的不断发展和变化，各种网络攻击方法不断变化，网络病毒也在不断更新。为了能够对这些变异的病毒和攻击做出反应，我们还必须不断加强和更新相应的对策，以抵消系统中由网络病毒引起的干扰。因此，有必要改进现有的网络安全技术，制定更严格的网络安全方案，以克服困难，提高公司的安全性。国内外研究现状1970年代中期以后，美国，英国，法国等工业化国家开始处理网络信息的安全性。在1980年代，出现了第一个信息安全评估标准，即“橙皮书”-“该书的缩写为“受信任的计算机系统评估标准”，是TCSEC，由美国国防部国家计算机安全中心发布。从那时起，有关数据和网络系统的许多安全声明和声明已经发布。它被称为“彩虹系列”规范。在1990年代引入了各种类型的安全评估标准。示例：1991年，欧洲共同体发布了“ITSCE信息技术安全评估标准”，英文名称为ITSCE。加拿大于1993年发布了加拿大。可信计算机产品的评估标准为英语，即CTCPEC。可以在全球范围内接受和应用的标准已经处于准备阶段。1993年，国家技术标准研究所，国家安全局以及德国，英国，加拿大，荷兰和法国共同制定了通用安全评估标准（CC）。在未来30年中，与建筑相关的防御系统，安全产品开发，基础理论研究，安全意识增强和人员培训有关的许多领域都取得了重大进展。为了发展和发展信息安全技术，M.Hellman和W.Diffie共同研究和设计了公共密钥密码系统。LconardLaPadufa和DavidBell随后共同设计和改进了BLP计算机安全模型。此后，它进入了快速发展阶段。在开发的早期阶段，保密性相对简单，然后逐渐发展为不拒绝，可用性，可控制性和完整性，从而形成了一个现有的且普遍应用的安全系统-一个用于攻击，防御，测量，控制和防御的集成系统。管理。攻击与攻击有关，预防与预防有关，度量与检测有关，评估与评估有关，控制与控制有关，管理与管理有关。相对于当前的市场状况，美国，英国，法国和以色列在该领域处于领先地位。有关的讨论和调查集中在安全体系结构和安全协议上，涵盖几个方面。安全架构的设计包括安全系统模型，安全系统和方法，措施，评估和检查等；安全协议包括用于安全性分析的方法和方法。形式化的分析方法是研究的重点。与此相关的成功包括安全数据库系统，安全操作系统，SNMP协议，PGP协议和电子商务协议。相关产品包括安全服务器，入侵检测系统，安全数据库，身份认证产品和防火墙。随着互联网时代的发展，国内外对网络信息安全性的研究进一步深入。研究重点是信息识别，网络安全分析，安全管理，数据加密，信息安全标准化，安全协议等。防火墙技术包括安全技术，密码技术，安全操作和协议。这项技术的研究已经十多年没有间断过。经过漫长的开发和研究阶段，新技术不断增加，并逐渐丰富了防火墙技术本身。例如，加密技术，健康监控技术，病毒防护，身份认证等。专用系统平台上使用的防火墙类型的一般分类称为硬件防火墙产品，而软件防火墙产品则用在一般系统平台上。市场上有不同类型的防火墙产品，例如CISCO，Checkpoint，ScreenTechnology，Skycom，Neusoft等。这些产品主要具有以下功能：改进的访问控制，屏蔽主机，加密，身份验证，报告，远程管理。逐步提高网络系统的安全性，尝试提高防火墙产品的效率，覆盖更多区域并最大化网络安全性。与工业化国家相比，网络安全行业的国内层主要由中小型私营公司组成，这些公司几乎将所有产品和技术都视为其核心业务。但是，由于技术水平高或低，合作不足和规模小，公司很难团结起来。此外，一些区域政府对网络安全问题的关注不足，公司经常忽略网络安全问题以及相关的系统，法规和系统1.政策处于不足状态。各种原因的综合影响导致中国网络安全行业的发展停滞。但是，随着其不断普及和应用领域的进一步扩大，国内互联网行业取得了长足的进步，为经济发展做出了巨大贡献。2015年12月，中国互联网用户6.88亿，移动互联网用户6.2亿，互联网普及率高达50.3％，排名前两位。现有网站总数达到357万个，域名总数达到2231万个。但是，家庭用户经常忽略网络安全问题。在这方面的投资远远没有达到工业化国家的水平。例如：工业化国家对网络安全的投资投资份额通常达到10％，甚至达到10％，而美国为16％，中国为1％。在企业网络领域，以太网是最常用的局域网技术。在其30多年的开发过程中，协议不断得到改进，传输速率逐渐提高。2010年6月，IEEE正式发布了40/100G以太网标准。思科，瞻博网络和其他制造商首次发布了相关产品。10Gb骨干网和千兆桌面的配置已在工业化国家中发展成为公司网络。主流。诸如Google和Facebook之类的互联网巨头已经开始为其数据中心提供更快的网络系统，以满足对数据传输日益增长的需求。最新一代数据中心网络支持的带宽甚至达到了Pbps级别。在中国，由于网络技术的发展日新月异，运营商，大学和大型公司目前在数据中心中使用了10Gb以太网技术，大多数中小型公司的网络仍处于千兆骨干网中，并且处于100-兆字节台式机。随着公司中大型和复杂信息系统的集成，对语音和视频等新应用程序的需求以及ERP和CRM的运行，10千兆骨干网和千兆台式机的需求逐渐成为企业网络配置的主流。尽管国内网络制造商起步较晚，但发展速度非常快，华为率先在中国推出了10吉比特路由器和交换机。这表明中国高端网络设备技术的自主研发已达到世界一流水平，中国网络通信技术发展的重大突破为中国计算机产业的进一步发展提供了强大动力。

第2章企业网络安全防范系统理论体系及技术简介2.1网络安全的定义及技术手段计算机网络安全处于不同阶段，不同级别的客户有不同的需求和关注点。从用户的角度来看，他们更关心确保其隐私的安全性，确保商业秘密的安全性以及不被罪犯窃取和使用，这会导致经济损失或危害人身安全。防止这些罪犯使用诸如伪造，盗窃和拦截之类的非法方法来危害用户隐私，担心网络信息的安全性并造成不利影响。从网络管理员的角度来看，他们希望用户可以按照标准和安全性进行操作，确保其操作的安全性，并最大程度地减少各种特洛伊木马程序对网络环境造成的损害。更加注意对网络资源的非法使用或对系统的黑客攻击。网络安全级别很高。网络数据的保护是确保网络安全的最基本要求。另外，必须确保数据完整性和合理的合法性，并且数据安全性不得受到损害或损害。在更深层次上，有必要确保硬件和软件的安全性，以确保系统的正常运行。它不会因黑客攻击，突然的网络服务中断，突然的病毒攻击和其他突然的因素，信息泄漏以及一些难以修复的损失而导致系统损坏，从而造成不可挽回的经济损失。网络安全的内容不仅包括技术问题，还包括管理问题。这两个方面是相辅相成的。在技术方面，它主要用于防止外部非法用户，并且管理趋向于规范一些内部人为因素。对重要信息的有效保护和网络系统安全性能的不断提高已逐渐成为计算机网络应用中非常重要的课题，值得进一步讨论和研究。计算机网络系统的快速发展已经发生。越来越多的保护技术可以满足不同网络用户的需求，网络安全技术也相对成熟。人们通过网络管理其独特的安全要求。当前，最常用的技术是：身份认证技术，访问控制技术，入侵检测技术，网络加密和防火墙技术。使用上面的网络安全技术，简要介绍以下内容。2.1.1身份认证技术身份认证技术可以通过手写，密码和其他可识别的方法来确认它是否是控制器，从而保护网络信息的安全性。认证可以在人与机器之间或在机器之间进行。操作员和计算机可以使用诸如智能卡识别，密码识别，视网膜识别，手写识别和面部识别之类的方法来验证其身份。静态密码是用户定义的数字信息。如果使用计算机时输入的内容匹配，则必须输入标识信息，然后确认用户正确无误并可以登录使用。静态密码通常是字符串，并且出于安全原因是不可靠的。动态密码主要由用于扫描信息的二维码和一些SMS身份验证方法组成。特别是，这意味着用户在收到扫描的二维码或扫描的数字序列后登录，并且具有很高的安全性。身份认证是确保运营商合法的非常重要的对策。一旦被拦截或被盗，可能会造成严重后果。2.1.2访问控制技术访问控制技术控制和过滤访问和内容。它的主要任务是确保网络资源的安全性，以使它们不会被非法使用或访问。核心策略可以最大程度地保证网络的安全性。访问控制可以分为两种类型，即系统访问控制和网络访问控制。网络访问控制可以限制网络用户的外部访问以及外部用户对主机网络服务的访问。系统访问控制可以授予不同用户对主机资源的不同访问权限。2.1.3入侵检测技术该技术主要通过行为，数据和其他方法检查信息系统的非法入侵。该技术可以非常快速地检测系统的异常情况，并为计算机网络系统的安全性提供最大的保证。从技术角度来看，入侵检测技术可以分为两种：异常检测模型和滥用检测模型。入侵检测系统可用于检测各种恶意活动。已知入侵者和特定入侵者的不同访问点。它的功能接近警报，可以防止其含义被盗。2.1.4加密技术网络加密技术广泛应用于VPN中，以保护网络信息和电子商务的安全。它使用某种方式将加密的内容转换为乱码信息以进行传输。该原理主要是使用某些加密算法。该文件可以直接读取到机密文件中，因此无法直接读取，因此破坏者可以在一定程度上不截取或检索非法数据信息，从而确保了数据的机密性。参数加密和解密的使用是整个过程的关键。网络加密技术现在可以分为两种：对称和非对称加密技术以及数字加密技术。2.2防火墙技术的介绍顾名思义，防火墙可以从字面上理解其含义。近年来，防火墙已成为保护网络安全的最广泛使用的技术。防火墙可以根据多个级别的网络信息安全级别，设置各种特定的安全策略来保护网络系统。有效和合理地使用防火墙可以更好地确保网络安全。但是，应注意，防火墙不是通用的防御工具。对于许多外部网络攻击，防火墙必须配合其他安全措施来抵抗。一些高级防火墙可以插入一些具有更高安全性的视频流。防火墙在网络安全系统中的作用不容小看。它们旨在防止未经授权的外部网络信息安全地访问用户的计算机网络系统。防火墙会过滤掉数据端口中的不安全信息，以防止其访问用户的计算机。在正常情况下，如果正确安装了防火墙并且科学且适当地配置了系统，则可以实现以下效果：1.限制访问某些网站。2.防止不安全因素进入系统并拦截不安全和非法数据。3.防止非法参与者进入网络。4.可以随时控制网络系统的安全状态。

第3章企业网络安全防范系统分析3.1企业网络现状及存在隐患3.1.1网络运行方面该公司当前的网络架构如下：核心层由两个CiscoWS-C6509-E组成，它们相互冗余并通过防火墙连接到主网络。电信联通的双100MB专线通过外部防火墙，F5负载平衡和SangforInternet行为进行，管理连接到Internet聚合交换机，然后连接到核心设备。每个业务系统通过单个服务器聚合交换机和防火墙连接到内部网络。一些服务器直接连接到核心交换机。公司的主页通过外部防火墙连接到Internet，以提供Web服务。信息访问点总数约为4,000，主要分布在公司的办公楼，每个单位的工厂楼和车间的办公楼中，中央控制室和某些安装区域的外部手术室中。每个接入点的楼层交换机通过光纤连接到设备，汇聚交换机通过光纤连接到公司计算机房的核心交换机。公司网络的当前拓扑如图3.1所示：图3.1改造前网络拓扑企业骨干网是较早建立的。随着技术服务的不断发展，原有的网络结构也暴露出一定的缺陷。网络结构中存在单点故障，这会导致网络可靠性差，并影响公司的生产和运营管理。特别是，服务器聚合节点的隐藏风险非常高。一旦设备发生故障，后果将十分严重。当前没有每个孩子的VLAN细分。每个单元的办公计算机，服务器，监视设备和其他终端设备位于同一广播域中。如果网络上发生广播风暴，则该单元中的所有终端都会受到影响，并且网络也会受到严重影响。稳定。随着业务的发展，对基于骨干网基础设施的增值服务有广泛的要求，特别是需要较大带宽的新网络服务，例如网络服务。例如：视频监控，高分辨率视频会议，远程教育服务，虚拟化桌面办公室，云服务业务，特殊要求（例如大范围的无线覆盖），骨干网中多出口连接情况下的负载平衡和灵活路由要求网络。但是，现有的千兆以太网网络无法有效满足这些增值服务的要求，并且带宽性能和可靠性存在瓶颈。3.1.2网络安全方面（1）安全保护：防火墙是目前公司唯一提供的安全保护设备，只能限制访问端口并允许或阻止用户访问。无法有效识别和限制来自应用程序层的入侵攻击。缺少用于外部网站的操作和维护的许多控制方法，无法为Web应用程序提供实时保护，也无法为基于HTTP/HTTPS的流量进行双向检测。Web服务器容易受到网络中Web应用程序的各种攻击。由于受到攻击，该网站可以被操纵。（2）访问控制：公司网络中的终端当前通过AD域进行集中控制。但是，由于缺少访问控制，用户仍然可以从域外的帐户或私有计算机访问网络。这些终端无法及时更新系统。修补程序和病毒数据库，通过移动电话热点专用安装无线网卡以通过手机热点访问外部网络，设置专用代理服务器，使用受禁止的软件以及一旦连接到网络即使用其他不安全行为，都相当于为潜在的机会打开了大门。安全威胁，因此存在安全威胁在更大的范围内快速传播。（3）运维管理：公司目前在运维安全管理和安全控制方面存在缺陷，主要表现在运维层面的综合授权管理中。没有单一的操作和维护授权策略，也没有基于最小特权分配原则来管理用户权限的方法。授权粒度比较粗，不能满足安全运行和维护管理的要求。网络运维人员与运维设备之间的网络连接没有相应的安全措施。运维操作很容易丢失运维员工的经理帐号和密码，存在一定的安全隐患。带来公司信息系统的安全性。同时，没有针对运维人员的合适的测试方法，整个运维过程中出现的问题都不能追溯到运维人员的运维措施，不利于调查问题时责任的确定。3.2需求分析为了解决当前公司网络体系结构的不足和网络设备老化的现状以及性能不足的问题，为了确保公司信息资源的安全并防止敏感数据的泄漏和操纵，必须事先限制公司网络中用户和管理者的行为并加以限制。然后可以对其进行检查。考虑到将来的增强和升级，现在提出以下网络升级和安全性增强要求：（1）采用核心汇聚访问的三层网络架构，以核心区域为中心，每个功能区域都经过模块化设计，网络架构变得简单灵活，具有高可用性和可扩展性。（2）通过设备和连接冗余来提高核心层设备和服务器聚合设备的稳定性。将企业骨干网的带宽从原来的千兆位全面增加到10千兆位，以满足当前的业务需求和未来的扩展。（3）为接入层网络分配VLAN，以提高数据传输的安全性并防止网络风暴。（4）提供网络安全设备，改善公司网络的外部保护功能，并改善对用户行为的监视以及运营和维护管理。（5）严格的网络访问终端访问控制和行为控制，防止非法访问终端损害内部网络安全。（六）为关键设备及系统部署访问控制策略。3.3设备选型设备选择的两个原则，即硬件级别的可靠性和技术级别的进一步开发，对于大中型公司是必不可少的。要考虑的第二件事是适用性，可伸缩性和经济性。适用性是指设备功能和交付模型是否可以满足公司的特征和要求。可伸缩性是指将来可以平滑扩展和更新的设备，包括地图，界面等；经济学是指满足当前要求并尽可能考虑冗余以节省投资的设备，包括后期零件，维护，能耗和其他成本。由于“棱镜门”事件的发生，通信设备的本地化将成为未来的趋势。因此，在此设备选择中不考虑像Cisco这样的外国制造商和像H3C这样的外资制造商。华为的网络产品全部具有自主知识产权，没有后门或空白，公司的研发投入逐年增加。2015年，年销售额达3900亿元，研发投入超过1000亿元，导致产品的软件和硬件升级升级。获得全面保护。在安全设备方面，产品性能和系统质量直接决定企业网络的整体安全性，因为安全设备通常位于内部资源中的核心资源（例如服务器和网络设备）的前面。国内安全设备制造商很多，其中维纳斯之星和天荣信拥有比较完整的产品线和与秘密有关的强产品。Shencong擅长管理VPN和Internet行为管理。NSFOCUS是一家以技术为中心的公司，其产品线相对单一，主要专注于入侵，在开发防御系统，扫描漏洞和其他产品时，以后的服务和技术支持会更好，因此入侵防御系统和堡垒必须用于增强网络安全性的计算机使用NSFOCUS产品。3.3.1网络交换机选型（一）核心层交换机核心网络层执行跨网络的流量的高速转发。核心交换机必须具有强大的性能，才能实现网络的无阻塞传输。因此，将10吉比特的传输速率，背板带宽和数据包转发速率用作设备选择的关键指标。为了使整个网络体系结构更加灵活和可扩展，核心交换机必须同时支持多种类型和数量的扩展模块，以满足未来的网络扩展，升级和其他要求。故核心交换机需要具有高背板带宽、高转发速率以及高扩展性，经多方面比较后，选择华为S12712型交换机作为网络核心层设备，其具体参数见表3.1：表3.1核心层设备选型设备型号华为S12712产品类型企业级交换机应用层级三层传输速率支持万兆交换方式存储-转发背板带宽37.28Tbps包转发率12960Mpps端口结构模块化扩展模块2个主控板槽位数4个交换网板槽位数12个业务板槽位数电源功率6600W（二）汇聚层交换机作为网络体系结构的一部分，聚合层交换机处理来自接入层的所有流量，并向核心层提供上行链路。根据此网络升级项目的要求，聚合层交换机必须支持10吉比特。具有高性能和广泛的接口以及某些扩展功能。经过比较，选择华为S7706交换机作为网络汇聚层设备。具体参数见表3.2：表3.2汇聚层设备选型设备型号华为S7706产品类型企业级交换机应用层级三层传输速率支持万兆交换方式存储-转发背板带宽22.4Tbps包转发率9600Mpps端口结构模块化扩展模块6个模块化插槽电源功率1600W（三）服务器汇聚交换机服务器汇聚交换机作为企业内所有服务器的汇聚设备，不仅需要具备强大的性能，还需要高端口密度来支持大量的光电混合接入需求，同时还要考虑到扩展能力。经比较后选择华为S9706型交换机作为网络核心层设备，其具体参数见表3.3：表3.3服务器汇聚设备选型设备型号华为S9706产品类型企业级交换机应用层级三层传输速率10/100/1000/10000Mbps交换方式存储-转发背板带宽38.4Tbps包转发率14400Mpps端口结构模块化扩展模块6个模块化插槽电源功率2200W3.3.2网络安全设备选型（一）入侵防御系统原始公司网络中未提供入侵防御系统。考虑到连接冗余和随后的扩展，必须配置8个服务接口，并且在服务接口中必须至少配置4个光接口，以满足当前复杂的网络环境和不同类型的接口。由于入侵防御系统是串联连接的，因此该设备必须具有软件和硬件旁路功能。发生故障时，可以快速恢复连接，以防止其干扰公司的所有网络运营。表3.4列出了入侵防御系统NX3-N2000A以及特定的软件和硬件功能及参数：表3.4入侵防御系统设备选型设备名称入侵防御系统产品型号绿盟NX3-N2000A硬件管理功能支持本地和分布式管理，在单台或小规模部署时，通过入侵防御系统内置的Web界面进行图形化管理；在大规模或多种安全设备同时部署的情况下，可通过绿盟安全中心——ESPC进行统一监控、分析与策略管理软件功能描述绿盟入侵防御系统需要串联部署在网络的关键路径上，对经过的数据流进行深度分析，能够及时精确地识别、阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，还具有实用的带宽管理和URL过滤功能，可提供最全面的深度防御接口类型固定业务口：4×10/100/1000M以太网电口扩展业务口：4×10/100/1000M以太网电口或4×1000MSFP光口管理接口：2×10/100M以太网电口;1个配置口(CON);2个USB口额定功率120W（二）堡垒机公司网络中要管理的交换机，网络设备和服务器的总数大约为400。这是一个很大的数目，其中涉及各种操作和维护部门以及人员协议：堡垒机管理员可以根据部门，角色和职责制定准则，并支持几种登录方法，例如Web登录或终端软件登录。经过广泛的测试后，选择NSFOCUSSAS-H系列的堡垒机器。表3.5列出了特定的软件和硬件功能及参数：表3.5堡垒机设备选型设备名称堡垒机产品型号绿盟SAS-HSeries硬件管理功能支持本地和分布式管理，在单台或小规模部署时，通过堡垒机内置的Web界面进行图形化管理或者通过终端软件如SecureCRT、Xshell登录；在大规模或多种安全设备同时部署的情况下，可通过绿盟安全中心——ESPC进行统一监控、分析与策略管理软件功能描述可管理设备数量：500个；支持部门分级，角色分权以及多部门之间设备资源的交叉管理接口类型固定业务口：4×10/100/1000M以太网电口管理接口:1×10/100M以太网电口;1个配置口(CON);2个USB口额定功率120W

第4章网络升级的设计与实施4.1总体设计此网络升级必须提高骨干网的性能，并执行设备和连接的冗余备份。公司每个下属部门的组织结构相对复杂，因此必须通过在部门之间划分VLAN来分隔VLAN。更新后的网络必须能够承载所有类型的高流量，高密度应用程序。结合公司的实际应用和开发要求，该项目的总体设计目标如下：（1）设备更新：待更换的设备包括2台核心交换机，1台服务器汇聚交换机和27台汇聚交换机。将原始千兆网络更新为10G网络上行链路。解决设备老化，退役以及故障率问题逐步增加的问题，并降低系统维护成本。（2）实现出口到总部的核心设备的冗余：满足生产管理网络应用的内部控制要求，满足与总部通信，网络视频会议等新信息应用网络通信的质量和稳定性要求。建议进行远程学习。（3）实现服务器聚合设备和连接的冗余：在服务器区域实现设备冗余和线路冗余，同时将直接连接核心层设备的服务器转移到服务器聚合设备，并采取良好的安全措施。（4）改善网络性能：通过更新和适应某些设备并适当管理配置，整个骨干网络已完全升级到10GB，以平衡当前的高分辨率多媒体服务和网络发展。性能瓶颈。用于云服务。同时，它为语音通信的未来IP融合提供了早期的技术保证。升级的重点是公司骨干网的核心层和聚合层。升级骨干网设备后，整体性能得到显着改善，核心层插槽的带宽增加到至少300G，骨干网连接的带宽从1G增加到10G，并且有升级的空间40G/100G。同时，网络运行的稳定性得到显着提高，以确保未来骨干网的安全稳定运行。4.1.1网络逻辑架构根据企业网络现状，结合当前需求与后续扩展进行研究分析，改造后的网络逻辑架构将包含九个部分，如图4.1所示：图4.1改造后逻辑拓扑（1）终端层：包含连接到网络的各种终端设备，例如作为台式计算机，笔记本电脑，打印机，传真机，IP电话，视频会议设备和监视设备。（2）接入层：网络接入层主要由第2层交换机组成，负责将位于不同物理位置的终端连接到骨干网。一些特殊的终端设备（例如工业平板电脑）必须添加网络访问设备（例如WLAN-AP）。（3）汇聚层：汇聚层通过网络接入层对大量终端进行整合，然后接入核心层，以扩大核心层网络接入的终端数量。在企业骨干网中，汇聚层还充当部门或分支机构用户的核心3层网关，并扮演L2/L3边缘设备，用户管理，安全管理和QoS计划（服务质量）的角色。提供。与用户和公司有关的元素。（4）核心层：核心层主要负责公司骨干网中数据的高速转发，并提供可靠的传输结构而无需提供某些服务。实现高带宽使用和网络错误的快速收敛是核心网络的主要任务。（5）内部和外部网络边界：内部和外部网络边界用于连接公司LAN和Internet。内部网络中的用户通过Internet插座连接到公共网络，以访问Internet资源。外部用户（例如远程办公室，合作伙伴，客户和开发人员）也可以通过VPN访问公司内部网。（6）DMZ区域：部署公司提供给外部世界的服务器系统，例如B.公司主页，移动办公室，论坛等（7）服务器融合区域：部署服务器和应用程序系统以向公司的所有子部门和重组部门提供数据和应用程序服务的区域。（8）合作单位接入区：主要为改制公司及其他合作单位提供网络服务。（9）安全管理区域：用于对网络设备，应用程序系统和服务器进行安全管理的区域。包括安全审核，配置管理，运维管理等。4.1.2总体拓扑架构对应逻辑架构，改造后的企业主干网络的物理架构如图4.2所示：图4.2改造后网络拓扑该组网结构具有如下特点：（1）假设以核心设备为中心节点和稳定的网络体系结构的星形层拓扑结构适合以后的扩展和维护。（2）网络结构中每个功能区域的职责划分清晰，内部调整区域时影响区域很小，发生错误时便于定位故障点。（3）硬件的双重冗余设计和最重要设备的连接以及骨干网络设备的连接使用链路聚合技术相互连接，以确保网络的高可靠性。（4）支持多种服务和终端访问，并且IP网络传输所有服务。（5）支持多种外展方案，例如远程位置的远程办公室，合作伙伴和客户访问以及对开发人员的远程支持。4.2分层规划4.2.1核心层规划核心层是整个网络的枢纽，并连接公司内部网络的不同区域。对于内部数据流量和外部数据流量，它被视为所有数据流量的最终载体和聚合者，并且是可靠性，高可用性和安全性设计的中心。核心层设备必须具有高带宽，高吞吐量，高可靠性，高转发性能和其他属性，以支持整个公司的内部和外部流量。核心层网络采用完全连接的结构，因此必须使设备配置尽可能简单。核心网络使用两种方法来同时保护设备和连接的安全：（1）设备备份：为避免发生设备故障时大规模网络故障，必须在每个物理位置提供两个冗余备份设备，以确保彼此的安全。主控制卡和单个设备同时使用，电源也使用具有双重冗余的备份来维持高可用性。（2）连接保护：两个核心层交换机通过两组八根专用中继电缆相互连接，以确保完全的连接稳定性。4.2.2汇聚层规划在公司骨干网中，聚合层是最重要的链路，它构成每个分支机构和部门的核心，并在部门用户之间转发“水平”流量。它还向核心层提供“垂直”流量。聚合层担当L2/L3边缘的角色，将核心层从访问层隐藏起来，充当网络体系结构中的分发框架，扩大连接到核心层设备的用户数量，并连接大量终端骨干网中的。为了保证公司不同部门，分支机构和核心层之间的网络传输质量，汇聚层网络必须具有较高的转发性能，较高的带宽和较高的端口密度。通过这种网络改造，用于核心层的设备和服务器聚合将构成项目投资的主要部分。为了协调网络汇聚层的可靠性和经济性，我们决定在每个汇聚层节点上提供一个设备，该设备配备了两个主控制板，并使用10个千兆位连接和两个家庭来连接到网络。建立核心层交换机并确保传输。性能和稳定性可节省项目投资。4.2.3接入层规划网络访问层是直接面对用户的部分，通常使用第2层访问设备通过光纤，双绞线，无线访问和其他媒体传输数据，以实现用户终端访问。在此网络转换项目中，不替换接入层设备，而仍使用原始设备。在交换聚合层设备的同时，对接入层设备进行配置更改，以建立VLAN并依次对应端口。4.3网络虚拟化规划网络设计采用行业的成熟分支和子模块的部署设计。但是，随着服务的发展，这种骨干网设计将逐渐变得有缺陷，主要表现为：在汇聚层和核心层上具有两个节点的冗余设计可以提高网络的可靠性，但也使网络拓扑和设备连接变得复杂。具有两个节点的冗余结构会导致树形拓扑中出现环路。您必须为虚拟路由配置诸如生成树和冗余之类的协议，以避免环路。随着业务系统的快速发展，网络范围进一步扩大。网络协议变得非常复杂，并增加了软件错误的风险。为了解决上述问题，可以将网络虚拟化技术集成到公司的骨干网中。支持集群功能的两个交换机的水平虚拟化将它们逻辑上组合为整个交换机。链路聚合技术增加了设备连接连接的带宽和冗余性（请参见图4.3）。使用网络虚拟化技术不仅可以确保网络的高可靠性，而且可以简化网络的结构和配置。图4.3网络虚拟化当前，各种通信设备制造商已在市场上提供了许多解决方案，以通过集群和堆叠技术实现水平网络虚拟化，例如：例如，华为的CSS，CSS2技术，思科的VSS技术和华山的IRF技术。因为在此网络转换中使用了华为设备，所以将华为的CSS和CSS2技术与Eth-Trunk（链路聚合）结合使用以实现网络虚拟化。通过使用网络虚拟化技术，可以达到以下效果：（1）简化管理：首先，通过使用设备群集和堆叠技术，可以有效减少要管理的网络设备节点，并减少以后管理人员的运营和维护支出。其次，不需要配置复杂的协议，例如STP/SmartLink/VRRP等。联网变得更加容易。树形拓扑构成了非常精确的网络体系结构，并且使用链路聚合技术将两个物理连接合并为单个逻辑连接，从而避免了环路。（2）简化配置：形成树形，无环的放射状网络拓扑，网络中数据流的方向变得清晰，容易，大大简化了操作和维护。随着公司网络后来的扩展，设备的增加和减少不会改变网络的整体逻辑结构，也不会影响各个网络层之间的协议交互。（3）错误收敛速度快：克服了普通协议收敛时间过长，复杂网络中网络拓扑不稳定的缺点。如果连接失败，则可以将收敛时间控制在10毫秒之内，这大大减少了网络连接/节点故障对网络数据的影响。（4）高带宽利用率：在不同网络级别之间设置跨端口聚合，以避免单个交换机上出现单个故障点并实现高可用性。在两个设备之间建立链路聚合组可以有效提高网络带宽和可靠性。（5）方便的扩展和投资保护：使用网络虚拟化技术后，现有的网络结构可以保持不变以用于将来的网络扩展，从而确保继续使用现有的网络设备。缩放更容易，更经济。4.4VLAN规划随着企业网络的不断扩展和用户数量的增加以及硬件设备的升级和扩展的完成，网络资源的规划和设计变得非常重要。VLAN（虚拟局域网）技术可以管理不同区域和不同网段中的网络，因此网络中的终端不受物理位置的限制，并且可以根据部门和业务需求将新终端灵活地添加到Internet。相应的逻辑。此网络升级将访问公司骨干网的每个子网的VLAN分割开，从而在访问级别和频繁的广播风暴中完全改变了原始的混乱网络管理。将VLAN分配给公司网络可以达到以下目的：（1）防止广播风暴：将网络划分为多个VLAN可以减少受本地广播风暴影响的用户数量，有效减小广播风暴的规模，并防止他们覆盖整个公司网络。（2）提高了数据传输的安全性：一个VLAN内的用户不能直接与其他VLAN内的用户通信。使用VLAN技术，可以将某些特殊部门与用户以及其他用户部门隔离开，从而减少了机密数据性丢失的可能性。（3）增加网络访问的灵活性：借助VLAN技术，可以将位于不同物理位置的分布式终端组合在局域网中，以便同一组织的用户可以在不同的访问设备上进行通信。大大提高了网络灵活性，并有效降低了由于位置物理变化而引起的网络访问管理成本。（4）节省成本：使用VLAN技术，可以将物理交换机划分为多个逻辑交换机，以实现跨网络终端访问，从而显着提高了设备​​的端口利用率，降低了接入层设备的部署成本。此网络转换将基于端口的静态VLAN用于子网，定义手动端口和VLAN分配，并将VLAN分配给每个访问层交换机上的端口。在项目的早期阶段，必须将网络中所有访问用户的管理级别，部门隶属关系和业务需求统计上划分为适当的用户组。然后根据用户组的当前用户数和未来的计划确定大小，并最终合并，将以上研究结果用于共享VLAN。4.5网络升级的实施4.5.1实施总体规划在实施网络转换过程中的主要任务如下：一是在最小化业务影响的情况下一次完成设备切换，二是准备完善的回滚措施，三是管理不同类型的设备制造商在三个连接级别上实施，控制，转发。核心交换机必须用两个高端的多业务路由交换机（华为S12712）代替现有的CiscoWS-C6509-E交换机。每个设备都有一个双主控制器，一个具有两个电源的高度可靠的配置，并配备了相应数量的10个千兆卡和模块。这两个核心交换机使用CSS2集群技术通过集群卡水平虚拟化设备。同时，运营商的调整将把当前的100米专线从核心交换机转换为总部，以确保业务转移的稳定性和可靠性。服务器聚合使用两个中型和中型交换机（HuaweiS9706）来替换现有的CiscoWS-C4506-E设备。它们配置有双重主控和电源冗余。配置10千兆位模块以连接到核心层设备，并配置适当数量的吉比特电源板和少量10吉比特访问卡用于服务器访问。两个服务器聚合交换机使用CSS群集技术通过群集卡水平虚拟化设备，并通过两个10Gb连接将它们连接到核心层交换机，以确保服务器访问区域的高可靠性。用中层的单个第3层交换机（HuaweiS7706）替换其他27个汇聚点上的现有CiscoWS-C4506-E设备，接管具有两个主控制器和两个电源的配置，并切换两个10吉比特由于连接级别的可靠性，连接连接到核心层交换机。根据聚合节点的特定访问要求，它配备有适当的业务板和光模块。来自公司外部下属单位和其他合作单位的所有访问连接都适用于与公司骨干网隔离的合作单位汇聚交换机。在这两个领域中使用了不同的管理措施，并且将运营和维护管理分开。4.5.2核心层实施如图4.4所示，核心层设备的交换包括两个核心交换机。型号为CiscoWS-C6509-E。本次设备升级同时使用两台华为S12712交换机代替Cisco6509-A和6509-B，同时使用CSS2，集群技术为核心层交换机和核心层实现了设备冗余。汇聚层与汇聚层通过两通道光纤相互连接。图4.4核心层实施

第5章结论与展望5.1结论这项工作基于用于公司计算机网络的安全系统来设计和优化安全系统。首先，在国内外讨论了该主题的研究背景和现状。在此基础上，分析了防火墙，入侵检测系统的访问控制技术，虚拟专用网技术以及其他用于计算机网络安全的技术方法，以制定科学，可靠和可靠的方法。动态网络安全性优化的设计计划中包含有代表性的计算机网络形成参考值和网络安全性优化设计。本文档完成了企业网络升级和安全性增强的设计，并为企业网络系统提供了稳定，高效且安全的设计和解决方案。该解决方案同时考虑了实用性和可扩展性，并使用先进的网络技术和有效的安全策略来确保公司网络系统的持续稳定运行，并对未来的变化和要求做出灵活的反应。本文首先全面分析公司网络的现状，参考大量的德国和国外文献，了解公司网络的现状和网络安全的发展趋势，并提出骨干网的架构，设备和连接以及外部保护。并更新内部保护。首先，定义了在两个级别上管理加强安全性的需求，并且首先定义了转换的方向和目标。基于企业网络的物理架构，创建了核心层网络的网络虚拟化设计，即两台采用第二代CSS2技术（集群交换机系统）的华为S12712高端企业交换机。提高。光滑的道路简化了网络结构。聚合层网络的设计考虑了实用性和成本效益。它使用敏捷的华为S7706交换机，并配有两个主控制卡和两个上行链路连接，以连接链路聚合技术和核心。层设备可以增加带宽，并且在连接时具有一定的冗余性。服务器汇聚设备遵循高性能和高端口密度的选择原则，采用两台敏捷的华为S9706交换机进行集群，为服务器区域提供了快速，丰富的网络。然后在系统漏洞和网络拥塞方面分析现有计算机网络的缺点和不足。主要分析和总结了常用的网络安全技术，例如防火墙技术，VPN技术，入侵检测技术和蜜罐技术。以公司网络为例，结合用户在网络和应用程序级别的软件和硬件要求，在网络级别，系统层，应用程序层以及网络的日常维护管理中进行网络安全设计。通过VPN的规划设计，企业网络拓扑设计，防火墙3技术的链接以及访问控制ACL和NAT网络地址的转换，这两种技术手段优化并实现了网络安全系统，并提供了相应的实验数据进行说明。该工作将网络技术领域的主题转换为理论和应用研究，并系统地研究了计算机网络安全各个方面的缺陷和补救措施。我实际的分析和应用水平是有限的，并且没有足够的实验条件来实现预期的工作目标，但是这项工作仅回顾和分析了有限的问题，并且需要在许多方面进行改进。妥协是计算机网络安全技术的优化和网络攻击方法的不断更新。计算机网络的安全设计不能是永久的。因此，这是我们未来的