网络安全技术与实施项目9 综合案例 网络整体安全部署

9.2项目的规划设计与实施
A企业网络设备涉及企业防火墙、路由器、核心交换机、汇聚交换机、接入交换机、服务器、无线AP等网络安全设 备。 A企业长春总部园区网络是一个典型的大中型企业网络模型，是一般对信息要求相对较高的企事业单位所采用的基 于核心层、汇聚层、接入层三层设备的网络结构。对于网络性能、访问控制、接入管理等划分较为清晰，是一般由 多栋建筑形成的园区所常采用的组网结构。它的基本结构层次清晰，可规划、设计与改造空间较大，网络设备比较 齐全，安全管理与配置也相对要求较高。它是由若干二层的接入交换机、若干三层的汇聚交换机、若干核心交换所 连接的内部网络、防火墙、服务器和接入路由器组成。此类网络的安全配置要从多个角度考虑，如接入部分、内网 部分等。 通过对路由器的配置可以实现NAT、ACL、VPN、IDS、CA、UTM防火墙等功能。此类网络中的安全设备可以根据 实际需求灵活选择，具体要根据需求而定。 A企业北京办事处网络是应用最为普遍的小型办公SOHO网络，适合于员工人数在百人以内的规模，它的基本结构 简单，网络设备较少，员工所用设备基本处于同一局域网段内，安全管理与配置也相对要求不是很高，并且没有专 门人员管理与维护。它是由一到两台二层交换机所连接的内部网络和接入路由器组成。此类网络的安全配置主要是 通过路由器或具有路由器功能的主机设备来加以实施的。 通过对路由器的配置可以实现NAT、ACL、VPN、DHCP、包过滤防火墙等基本功能。此类网络也可以引入专用的 安全设备，具体要看此部分网络对安全性的要求。 A企业上海分公司网络是比较常见的中小型企业网络，适合于员工人数在百人以上的规模，它的基本结构简单，网 络设备相对简单，通过VLAN等技术对内部网络进行了逻辑的分段，引入了三层交换设备，安全管理与配置相对要 求一般。它是由一到两台三层交换机和若干台二层交换机、无线AP所连接的内部网络和接入路由器组成。此类网络 的安全配置主要是通过路由器来加以实施的，同时与内容的三层交换机相配合实现安全访问的控制。 通过对路由器的配置可以实现NAT、ACL、VPN、VLAN、DHCP、无线安全、包过滤防火墙等基本功能。此类网络 也可以引入专用的安全设备，具体要看此部分网络对安全性的要求。
学习情境四：综合案例
项目9 综合案例 网络整体安全部署 9.1 项目背景与需求分析 9.2 项目的规划设计与实施 9.3 综合项目施工报告 9.4项目习作
网络安全技术与实施
网络整体安全部署
网络建设的主要目的就是为广大用户提供宽松、开放、易用的网络环境，而对于一个企业 来说，围绕着企业创造的社会效益、经济效益、内涵文化等方面建设有很多种体现形式如 网站建设、OA应用、E-MAIL、FTP、BBS等多种Internet服务项目。企业内部的总体设计 将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同 时具有良好的开放性、可扩展性。这样对于一个企业来说网络安全也显得尤为重要，本项 目将从一企业网络整体部署涉及相关点来进行安全设计。
百度文库 9.1项目背景与需求分析
某企业网络A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企 业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。 A企业长春总部园区网络需求： A企业长春总部要求有一个外网服务器提拱WWW服务，一个内网服务器提供OA办公便于企业分支进行VPN访问， 企业总部有四个楼层每个楼层约有20台PC左右。 A企业北京办事处网络需求： A企业北京办事处有一个办公室20人左右，要求不超过20台PC同时能上互联网与客户进行网络沟通并能对总部进行 VPN访问。 A企业上海分公司网络需求： A企业上海分公司有两个楼层，每个楼层各有20台PC左右，要求内网放置一个服务器提供文件及打印功能，并要求 分公司会议室能实现无线上网。 需求分析： A企业长春总部园区网络分析： 需添加四台接入交换机、二台汇聚交换机、一台核心交换机、一台内网服务器、一台外网服务器、一台企业防火墙、 一台接入路由器、1至4楼各办室计算机每层20台PC A企业北京办事处网络分析： 需添加一台接入路由器、一台交换机、一个办公室20台PC A企业上海分公司网络分析： 需添加一台接入路由器、一台核心交换机、二台接入交换机、一台内网服务器、无线AP、2个楼层，每层20台PC
项目9.2.1 VLAN、IP地址规划背景与需求分析
A企业网络接入用户采用基于802.1Q协议划分，将企业网络初步划分为150个VLAN，如 表9.1所示，各VLAN由于都是通过DHCP服务器自动获取IP，为简单易行VLAN内部均采 取24位掩码，各VLAN之间通过本楼汇聚交换机进行路由转化，故汇聚交换机与核心交换 机通过路由进行通信，这部分掩码采用30位掩码，需要引起注意。 在本案例中，为了便于学习与理解，设计了一个模拟的互联网，包括6台互相连通路由器 （运行OSPF动态路由协议）、一台DNS服务器、一台WWW服务器、一台CA服务器。
9.2.1 VLAN、IP地址规划与需求分析
拓扑结构设计如图2-1A企业整体网络结构图为A企业长春总部、A企业上海分公司、A企业 北京办事处三个部分网络拓扑。根据网络拓扑设计交换机、路由器、防火墙、IPS等网络 设备。 VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采 用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络，可以使物理上连 接的各工作站在逻辑上限制通信，实现各网段之间的互相独立。使用VLAN技术，可以有 效地控制网络广播风暴，优化网络带宽，减少网络交通量，提高整体网络安全性，简化网 络管理工作。VLAN之间理论上不需要互相通信，但也可以通过核心交换机或路由器等设 备的路由选择功能实现不同VLAN间的数据通信，这样可以满足不同部门对其他VLAN中 的部分工作站资源的访问需要。从技术角度讲，VLAN的划分策略主要有：基于端口的 VLAN划分、基于MAC地址的VLAN划分以及基于协议的VLAN划分三种方式，其中基于端 口和基于协议是VLAN划分的主要方式。