【P企业网络安全规划与设计的实例分析5100字（论文）】

P企业网络安全规划与设计的实例分析目录TOC\o"1-3"\h\u5458一、引言 111034（一）公司网络安全防范的背景 14509（二）公司网络安全防范的意义 115469二、网络系统设计 224352（一）网络系统结构 24879（二）网络结构分析 3212101．核心层 3127052．汇聚层 3266243．接入层与服务器 31339三、网络系统配置 5825（一）VLAN配置 51060（二）端口聚合配置 623778（三）HSRP配置 77063（四）DHCP配置 812889四、网络安全策略 811360（一）内部安全策略 878291.物理安全策略 855142.存储备份策略 915516（二）外部安全策略 91413五、结束语 112712参考文献 12一、引言（一）公司网络安全防范的背景随着计算机信息技术、通信技术、互联网技术的发展，随着时间的推移，各种信息网络安全技术随之而来，为人们提供了现代化办公和娱乐的便利，生活的各个领域开始向数字化和信息化发展。但是电脑的使用更加普遍，给生活带来了舒适，与此同时也会带来一定的安全隐患，比如信息数据有可能被窃取或者盗用，个人隐私可能会暴露在公众的视线范围内，从而使得用户带来一定的财产损失等，甚至会威胁着个人、企业及国家的信息安全。（二）公司网络安全防范的意义随着网络的不断普及，越来越多的中小型企业无处不在使用网络、依赖网络处理业务，他们通过网络进行信息的交换，甚至将大量的业务信息存储在网络中，然而这样的网络如果是遭到来自内部或者外部网络带来的威胁时，必然会导致中小型企业承受巨大的损失。因此，对中小型企业进行网络安全建设是十分有必要的。本文通过对企业网络安全相关技术对中小型企业网络安全做合理的规划与设计，可以防范许多中小型企业安全事件的发生，不仅对中小型企业网络安全的保护具有重要意义，而且对中小型企业的良性发展具有很好的促进作用。二、网络系统设计（一）网络系统结构图1企业网络结构P企业网络拓扑结构如图1所示，总部和各个分工公司的各个部门独立在不同的网段，不同部门间隔离办公，避免了企业局域网广播风暴带来的安全隐患。总部的核心在于2台三层交换机上，采用STP+HSRP的双核心解决方案，打破环路，提高网络冗余性。同时服务器也部署在总部，并在服务器前面放置防火墙为服务器做防护，保护企业核心数据的安全。分公司1区域、分公司2区域和分公司3区域采用二层交换机和路由器做单臂路由连接到总部和和各个分公司汇聚的三层交换机上进而与总部连接。考虑到将来的扩容问题，汇聚交换机采用具有多个万兆上联端口的设备。企业网络出口ISP分为中国电信和中国联通。今后企业网的规模还会扩大，因此，本次建设的企业网络需兼顾可扩展性和投资保护，避免在将来网络扩展的时候造成前期设备投入的浪费，同时具有自主运营能力，网络能够提供收费认证的上网模式。出口路由器连到ISP，运用安全策略过滤可疑的数据。（二）网络结构分析1．核心层核心层是整个网络结构中最重要的一层，内部用户的流量都需要经过核心层交换机进行转发，是网络三层架构中的核心部分，是不可缺少的一层。企业网络设计中，考虑到资金的问题，核心层部署2台核心三层交换机，负责转发企业内部用户的流量，并充当内部用户网关，能够实现内部不同网段的用户之间的连通性。两台核心交换机间运行HSRP网关备份协议，一台核心交换机作为用户的主网关，另一台核心交换机充当用户备份网关，主核心交换机负责转发流量。只有当核心主网关出现故障、死机的情况的下，备份核心交换机才会转发流量。核心交换机之间通过两条线路进行互联，通过配置端口聚合，来增加链路带宽。上联出口路由器，核心层和出口路由器之间都配置动态路由协议，通过OSPF动态协议保证网络了连通性和可扩展性。服务器区域交换机也通过防火墙连接在核心交三层换机上。2．汇聚层汇聚层位于网络结构的中间层，下连接入层上接核心层，各区域、数据媒体流在本层汇聚，经处理后再送到核心层，减轻了核心层的工作量。也因此汇聚层对比接入层，对网络设备性能要求更高，但不必提供很多的接口。同时汇聚层需要划分虚拟机网隔离网络，所以需要选用支持3层交换技术和VLAN的网络设备。3．接入层与服务器（1）接入层接入层一般下联用户终端，如PC机、打印机、无线接入点和服务器等，最大的特点就是基数大，所以在选择购买设备的时候可以选择中低端、端口密度大的设备，既可以节省资金又可以节省机柜的空间。接入层交换机默认端口类型为access，如果内部需要划分多个VLAN，需要将与用户终端连接的端口划分到相应的某个VLAN，而和交换机互联接口的话，企业有多个部门，需要规划和创建多个VLAN。不同部门的终端与接入层交换机相连接的端口必须划分到相应的VLAN，上联核心层交换机的端口需要配置为trunk，并配置相应的VLAN通过。企业总部接入交换机开启STP协议，因为接入层交换机上是双连接的，起到防止环路的作用。（2）服务器企业部署3台服务器，OA服务器支持日常办公需求，财务服务器存储备份各财务部业务数据，人事服务器存储备份各人事部业务数据。服务器前部署防火墙做访问控制限制各部门对各服务器的访问，再接入核心层，实现数据高速转发。（三）VLAN划分及IP地址分配IP地址空间的分配、合理使用与网络拓扑结构、网络组织及路由协议有非常密切的关系，将对企业网的可用性、可靠性与有效性产生显著影响，应充分考虑本地网对IP地址的需求，以满足未来业务发展对IP地址的需求。除此之外，随着企业的规模发展不断扩大，企业员工自然也就会增多，网络用户增多，管理难度加大，网络安全性降低。而合理的VLAN划分方案不仅有利于提高网络效率和网络安全性，而且可以方便网络的管理。该企业总部各部门依次划分到VLAN10-15的虚拟局域网中，分公司的的各部门也划分到不同的网段里，即VLAN16-24。总部和分公司的各个部门划分到不同的虚拟局域网后，再为各个部门所在的虚拟局域网分配一个C类地址空间来供现在及以后使用。总部和3个分公司的IP地址分配及VLAN划分具体情况如下表所示：表1VLAN划分P地址分配地点VLAN网络号IP地址子网掩码总部人事部Vlan10192.168.10.0/24192.168.10.1~254255.255.255.0总部财务部Vlan11192.168.11.0/24192.168.11.1~254255.255.255.0总部研发部Vlan12192.168.12.0/24192.168.12.1~254255.255.255.0总部销售部Vlan13192.168.13.0/24192.168.13.1~254255.255.255.0总部办公室Vlan14192.168.14.0/24192.168.14.1~254255.255.255.0总部监控部Vlan15192.168.15.0/24192.168.15.1~254255.255.255.0分公司1人事部Vlan16192.168.16.0/24192.168.16.1~254255.255.255.0分公司1财务部Vlan17192.168.17.0/24192.168.17.1~254255.255.255.0分公司1销售部Vlan18192.168.18.0/24192.168.18.1~254255.255.255.0分公司2人事部Vlan19192.168.19.0/24192.168.19.1~254255.255.255.0分公司2财务部Vlan20192.168.20.0/24192.168.20.1~254255.255.255.0分公司2销售部Vlan21192.168.21.0/24192.168.21.1~254255.255.255.0分公司3人事部Vlan22192.168.22.0/24192.168.22.1~254255.255.255.0分公司3财务部Vlan23192.168.23.0/24192.168.23.1~254255.255.255.0分公司3销售部Vlan24192.168.24.0/24192.168.24.1~254255.255.255.0三、网络系统配置（一）VLAN配置分别将企业总部和各分公司的各个部门划分到不同的VLAN中，让每个部门单独在一个虚拟局域网中，实现业务数据的隔离，同时也避免了广播风暴，提高企业网络安全性。依据前面表1的VLAN划分方案实施配置，将总部和3个分公司的各部门与交换机连接的端口指定到相应的VLAN，就实现了VLAN的划分，以总部人事部VLAN配置为例，配置实现如下所示，实施VLAN配置前先在全局模式下采用noipdomainlookup命令关闭域名查询，启用禁止DNS服务器，减少输入错误命令的等待时间。Switch>enableSwitch#configterminalSwitch(config)#noipdomainlookup//关闭域名查询,启用禁止DNS服务器，减少输入错误命令的等待时间。Switch(config)#vlan10//创建VLANSwitch(config-if)#exitSwitch(config)#interfacef0/1//进入接口f0/1Switch(config-if)#switchportmodeaccess//修改端口模式(连接电脑access，连接交换机trunk)Switch(config-if)#switchportaccessvlan10//将接口划分到vlan10（二）端口聚合配置核心层的2台三层交换机间容易产生环路，而环路会带来一些问题，如MAC地址表不稳定、广播风暴、多次帧复制，这3种情况都致使网络链路崩盘给企业的数据资源造成威胁，降低企业的网络安全性。因此配置端口聚合来解决环路问题，以CORE-SW-1配置为例，先创建一个10号聚合端口，然后进入相应接口将接口加入到10Switch(config)#interfaceport-channel10|SWItChl(cohL1g-11)TEXITSwitch(config)#intSwitchIconficltinterfaceσSwitch(config)#interfacegigabitEthernet0/1Switch(config-if)FsWSwitch(config-if)#switchportmoSwitch(config-if)#switchportmodetrSwitch(config-if)#switchportmodetrunkSwitch(config-if)并SWSwitch(config-if)#switchporttrSwitch(config-if)#switchporttrunkaSwitch(config-if)#switchporttrunkallowedv0Switch(confia-if)#switchporttrunkallowedvlanalSwitch(config-if)#cha[Switch(config-if)#channel-group10modeonSwitch(config-if)#LINK-5-CHANGED:InterfacePort-channe110,changedstatetoup各LINEPROTO-5-UPDOWN:LineprotocolonInterfacePort-channe110,changedstatetoupSwitch(config-if)#（三）HSRP配置核心层部署2台核心三层交换机进行双机热备份，2台三层交换机组成一个HSRP组，配置CORE-SW-1做活动路由器，CORE-SW-2做备份路由器。网络设备或者用户主机的数据都是经CORE-SW-1转发，但处在网络中的用户主机和网络设备的网关地址是虚拟路由器的IP地址，这样就算活动路由器CORE-SW-1宕机，切换备份路由器CORE-SW-2时也不需要重新配置网关，不会对通信造成影响，保证网络的安全性和稳定性。以在CORE-SW-1配置总部人事部的虚拟网关IP地址为例，配置实现如下所示。CORE-SW-1(config)#interfaceVlan10//进入vlan.CORE--SW-1(config-if)#ipaddress192.168.10.252255.255.255.0//配置IP地址CORE--SW-1(config-if)#standby10ip192.168.10.254//配置虚拟IP地址CORE--SW-1(config-if)#standby10priority120//配置优先级(越大越优先)（四）DHCP配置对于P企业来说，企业员工并不是都会给电脑配置静态IP地址，有时候在配置过程中还会出现IP地址冲突的问题，给企业员工不好的网络体验感，而DHCP动态主机配置协议的作用是为内部网络设备、终端设备动态地分配地址，恰好解决了以上问题，并且降低了企业员工误操作导致的安全事件发生机率。实施DHCP的配置都是先创建DHCP地址池，然后设置地址池可分配的地址的范围，最后设置地址池的默认网关地址和默认DNS地址。总部人事部DHCP配置:Switch(config)#ipdhcppoolvlan10//创建DHCP地址池Switch(dhcp-config)#network192.168.10.0255.255.255.0//设置分配的地址池Switch(dhcp-config)#default-router192.168.10.254//设置该地址池的默认网关Switch(dhcp-config)#dns-server8.8.8.8//设置该地址池的默认DNS服务器总部财务部DHCP配置：Switch(config)#ipdhcppoolvlanl5.Switch(dhcp-config)#network192.168.15.0255.255.255.0Switch(dhcp-config)#default-router192.168.15.254Switch(dhcp-config)#dns-server8.8.8.8四、网络安全策略（一）内部安全策略1.物理安全策略在P企业大楼第五层部署中心机房，并做好防雷、防水、防火等自然灾害的规避措施。中心机房的进出实行认证机制，只有企业网络安全管理人员才可以随意出入中心机房。对此，可以对中心机房设置门禁，进出进行刷脸或指纹认证，不推荐使用智能卡认证，因为智能卡容易丢失，如果被别有用心的人捡到，将会对企业网络造成威胁。同时，在中心机房设置报警器，发现可疑人员入侵及时报警。中心机房放置网络安全设备和存放重要数据的服务器，合理的划分设备的占用空间，并将核心设备置于安全柜中，防止损坏。2.存储备份策略针对P企业人力资源以及财务数据备份工作不足的现状，可以号召P企业实施轮换备份策略，以防止特殊情况下，硬件损毁带来的信息丢失问题，并在此过程中，P企业最好采用存储介质，如磁带、硬盘等，进行数据备份，然后将其转移到异地存放，一旦硬件出现意外损毁问题，即可及时通过调取对应的储蓄介质来正常应用信息数据，在具体操作过程中，网络管理者可以采用GFS轮换循环、汉诺塔轮换备份策略、增量介质等备份建设方法，确保增量信息文件能够被稳定地备份储存；此外，在备份存储工作中，企业需要注意的是，尽量将存储地点设在园区周边且交通畅通的位置，实现数据的灾备，而且还要注意做好存储管理，合理调整存储区域的温度、湿度等环境参数，且应委派专人负责日常的存储管理，并为各项备份、运输、存储工序设置配套的工作制度和标准，增强基础备份工作的可靠性，提高企业信息安全防护工作效果。（二）外部安全策略P企业防范病毒的手段主要是安装杀毒软件，现在的杀毒软件大都有电脑体检、漏洞修复、救援电脑、查杀木马和清理插件等功能，如腾讯安全管家、360安全卫士、金山毒霸等，它们可以对电脑定期体检来发现电脑存在的安全问题并提供解决措施，可以在电脑出现漏洞时及时修复，可以对木马进行查杀。除此之外，杀毒软件对U盘、光盘、移动硬盘等外部设施插入电脑时进行病毒查杀，阻断病毒入侵。安装杀毒软件简单实用易操作，对中小型企业来说不失为一个很好的选择。当然了，也不要随便打开陌生的电子邮件、文件、网址等，里面可能会携带病毒。

五、结束语近年来，计算机网络的应用给经济和科技发展带来了突破性的变化，人们对安全的要求也在不断提高。计算机网络安全和防护病毒还有许多需要完善的地方。安全的计算机网络是可持续技术和经济发展的先决条件。而现在随着计算机网络技术的飞速发展和繁荣，计算机逐渐成为了人们日常生活、以及工作生产中重要的一部分。网络的普及，给中小型企