小型企业网络安全方案设计

小型企业网络安全方

案设计

孙佳妮0533091001

目录

第1章设计的简单概述 (3)

1.1 概况 (3)

1.2 需求分析 (3)

1.3 设计原则 (3)

3.1.1. 实用性和经济性 (3)

3.1.2. 先进性和成熟性 (3)

3.1.3. 可靠性和稳定性 (3)

3.1.4. 安全性和保密性 (4)

3.1.5. 可扩展性和易维护性 (4)

第2章方案的设计 (4)

2.1 背景 (4)

2.2 公司网络架构图 (4)

2.3 网络设备清单 (5)

2.4 基本配置 (5)

第1章设计的简单概述

1.1概况

台州职信科技有限公司是一家以网络产品销售为主营业务的小型企业，公司网络通过中国电信光纤接入Internet。为了适应业务的发展的需要，实现信息的共享，协作和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。

1.2需求分析

1、确保公司电脑能够访问Internet。

2、避免公司网络受到黑客扫描和攻击。

3、防止公司网络受到病毒威胁。

4、避免公司网络受到DOS/DDOS 攻击。

5、通过端口映射，公司服务器在需要时可以被外部用户访问。

6、利用VPN,使公司的员工出差时能访问内网。

1.3设计原则

3.1.1.实用性和经济性

系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。

3.1.2. 先进性和成熟性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。

3.1.3.可靠性和稳定性

在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。

3.1.

4.安全性和保密性

在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施。

3.1.5.可扩展性和易维护性

为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。

第2章方案的设计

2.1背景

中国电信给公司分配了1个 C 类公网IP 地址218.71.96.101，公司内部采用192.168.1.0/24 网段IP地址。为了保证企业网络的正常运行，企业拟通过招标的形式确定一家安全服务商，由该安全服务商负责公司网络的整体安全设计以及后续的网络安全维护。

2.2公司网络架构图

图1 公司网络架构图

2.3网络设备清单

表 1 台州职信科技有限公司网络设备清单

序号设备名称数量安装系统

1 PC机40 WinXP

2 服务器 1 Windows Server 2003

3 二层交换机 1

4 普通交换机 4

2.4基本配置

enable

conf t

hostname ASA5520

enable password ASA5520

passwd cisco

conf t

interface ethernet 0/0

nameif outside

security-level 0

ip address 218.71.96.101 255.255.255.0

no shutdown

exit

interface ethernet e0/2

nameif inside

security-level 100

ip add 192.168.1.1 255.255.255.0

no shutdown

exit

interface ethernet 0/1

nameif dmz

security-level 50

ip add 192.168.2.1 2555.255.255.0

no shutdown

exit

route outside 0.0.0.0 0.0.0.0 218.71.96.101

end

show route

conf t

telnet 192.168.1.0 255.255.255.0 inside

telnet timeout 15

crypto key generate rsa modulus 1024

ssh 192.168.1.0 255.255.255.0 inside

ssh 0 0 outside

ssh timeout 30

ssh version 2

http server enable 8008

http 192.168.1.0 255.255.255.0 inside

http 0 0 outside

http 0 0 inside

asdm image disk0:/asdm-615.bin

username zhangsan password zhangsan privilege 15

access-list 111 extended permit icmp any any

access-list 111 permit ip any any

access-group 111 in int outside

access-group 111 in int inside

access-group 111 in int dmz

access-list testacl deny ip 192.168.1.33 255.255.255.255 any access-list testacl permit ip any any

access-group testacl in interface inside

nat-control

nat (inside) 1 0 0

global (outside) 1 interface

global (dmz) 1 192.168.2.100-192.168.2.110

static (dmz,outside) 218.71.96.101 192.168.2.2

access-list out_to_dmz permit tcp any host 218.71.96.101 eq 80 access-group out_to_dmz in interface outside