公司网络改造设计

公司网络改造设计
随着通信技术的发展，人们的生活越来越多的收到网络的影响，网上聊天，网上购物，电子办公，网络使人们之间的距离更近了，网络的发展让人们更快的认识和改变世界，随之而来的问题也产生了，网络诈骗，钓鱼网站，网络攻击，财产和信息安全受到更多的威胁，人们意识到网络安全受到前所未有的挑战。

如何有效的保护网络安全成了新的问题，很多人选择使用硬件防火墙提高网络安全，也有人使用专业计的防火墙软件，还有人会选择其他的更多的安全产品，比如入侵检测系统、入侵防御系统等等。

无论选择哪种方式保护网络，都需要细心的配置，稍一疏忽就可能给心怀不轨之人留下可以乘之机。

对于经济能力有限的单位，上面的这些都是不太现实的，造价昂贵，配置繁琐，需要专门的人员，实现起来有一定的困难。

本文基于解决原单位的网络安全问题所作，方案基本思路是：经济、简单的改善网络安全状况，用原有的设备提高网络的安全。

首先介绍下原来单位网络状况，原来网络拓扑如图1：
网络状况如下所述：
1 本单位办公楼共两栋，一栋用来办公，一栋租借给另一单位，网络接入由本单位提供，家属楼一栋；
2 cisco路由器一台，以前后闲置未用；
3 华为交换机一台，以前只当普通交换机使用；
4 服务器五台，分别提供web，邮件，数据库、打印和oa服务；
5 tp－link r478g+路由器两个，以前只使用一个；
6 单位有四个公网ip，tp－link r478g+路由器使用一个，web 服务器和邮件服务器各使用一个，闲置一个；
原网络状况描述：
所有的用户都在同一局域网内，一旦某一用户感染病毒、木马就会迅速蔓延到整个网络，如果感染到arp木马，就会全网掉线。

网络拥挤，办公效率下降，病毒木马猖狂，严重时候整个网络瘫痪。

分析主要原因是，楼宇之间的没有隔离，不同部门之间没有间隔，办公楼和家属楼同在一个局域网内，单一用户问题影响到其他用户，威胁用户的信息安全。

外网服务器直接连接公网，没有有效的安全措施。

内网服务器没有限制，家属区和外租人员都可以访问。

用户的应用水平、计算机安全意识和自我防护能力严重不足。

杀毒软件不会升级，甚至有的用户还嫌个人防火墙碍事，自行关掉甚至卸载，结果造成计算机不断的被病毒感染，不断被黑客攻击，随意修改ip地址，造成ip地址冲突，给网管人员带来了巨大的工作负担。

事故、故障的频出，很大的影响了办公，网络得不到充分的利用。

经过一番需要调查，设计方案如下：
根据需求将网络分为办公区、家属区和服务器区。

办公区主要功能：
办公人员上网；
办公人员打印服务器和数据库服务器的使用；
可提供内部例如oa服务，及未来还需扩充新的业务服务。

服务器区主要功能：
主要对外网用提供web服务和邮件服务；
家属区主要功能：
主要是在下班时间保证网络畅通；
使用网络流量较大，主要是电影，游戏，大量的下载；
通过分析，制定了新的方案，拓扑图如图2：
这次的重点是：
1、使用cisco路由器并做如下设置：
nat转换，隐藏局域网内部计算机的ip地址，这样解决了服务器直接暴露在公网上的问题；同时也把办公网放到了一个网段内，便于网络管理，便于打印和数据共享；
ac1(访问控制列表)过滤。

对流经的数据包进行过滤，把已知不安全的地址段、端口屏蔽；控制使用打印服务器，办公oa，数据库服务器的用户；在上班和下班时间对办公楼和家属楼的访问流量进行限制，上班时间办公区流量大，下班时间家属区流量大；
2、华为可管理交换机：
地址绑定。

防止用户盗用ip地址，造成地址冲突，避免被入侵者利用；
将办公区各部门通过vlan分隔，避免部门敏感信息外泄；
将打印服务器、数据库服务器和oa服务器放入内网禁止外网访问；
3、安装了isa防火墙和linux的iptables防火墙，从应用层检测和预防网络攻击的发生。

同时增加入侵难度。

isa服务器都提供了有助于简化安全和访问管理的统一管理控制台。

isa服务器为windowsserver 2003和windows 2000 server 平台而构建，它通过强大的集成式管理工具来提供安全而快速的internet连接。

iptables的最大优点是它可以配置有状态的防火墙，有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。

防火墙可以从信息包的连接跟踪状态获得该信息。

在决定新的信息包过滤时，防火墙所使用的这些状态信息可以增加其效率和速度。

这里有四种有效状态，名称分别为established、invalid、new和related。

状态established指出该信息包属于已建立的连接，该连接一直用于发送和接收信息包并且完全有效。

invalid状态指出该信息包与任何已知的流或连接都不相关联，它可能包含错误的数据或头。

状态new意味着该信息包已经或将启动新的连接，或者它与尚未用于发送和接收信息包的连接相关联。

最后，related表示该信息包正在启动新连接，以及它与已建立的连接相关联。

iptables防火墙具体配置可以参考作者另一篇论文。

iptables的另一个重要优点是，它使用户可以完全控制防火墙配置和信息包过滤。

您可以定制自己的规则来满足您的特定需求，从而只允许您想要的网络流量进入系统。

另外，iptables是免费的，这对于那些想要节省费用的人来说十分理想，它可以代替昂贵的防火墙解决方案。

4、给外租用户一个公网ip通过tp－link r478g+路由器实现internet访问，实现隔离，提高办公区和家属区的安全。

网络改造完成后，至今没有发生大面积病毒传染造成网络运行不畅，也没有发现黑客入侵现象。

网络一下子清静了许多。

可见在没有配置专业防火墙的前提下，只要充分的利用手头的资源，也可以一定程度的保证网络安全运行。

这对经济能力有限的单位特别有参考意义，除此之外，其实还有很多地方可以完善：
1 进一步使用isa企业版防火墙。

防火墙功能更强大，更能对数据流进行精细的检查、控制，比如：
a)对外，更有效的防止各种各样的攻击，入侵检测；
b)对内，可以进行bt控制，qq控制，网络游戏的控制。

c)恶意插件，恶意网站。

d)防火墙双冗余，提高网络可靠性。

2 进一步优化iptables防火墙，可是使用系统自带的日志功能。

3 使用网络版杀毒软件、个人防火墙的安装，例如：瑞星网络版或者诺顿网络版，这样可以避免用户自行关闭杀毒软件或者防火墙软件，在网络安全上产生漏洞。

4 思考路由器的功能还很强大，比如ssl的验证，vpn的实施，基于ipsec的远程接入，在提升网络安全的同时，可以更充分挖掘
cisco设备的潜力。

网络安全问题是要解决的，但是应该怎样看待这个问题呢?置之不理是断然不行的，但是为此大量的投入也是需要慎重考虑的，买设备非cisco，华为，symantec等名牌不用，非专业防火墙不用，但是作为一个规模一般的校园网在设备上投入如此之大，确实有些浪费，不如把这些资金用到网络管理人员、教师的培训上，做到以人为本，充分激发工作人员的劳动积极性，才能让网络在有限的条件下，保证最大的安全性。