网络安全设置实训

网络安全

实训报告

课程名称：网络安全设置实训专业：班级：

姓名：学号：

指导教师：

成绩：

完成日期：2014年7月11日

任务书

题目：***网的安全与维护

设计内容及要求：

要求熟练掌握计算机网络安全相关知识，根据所学的计算机网络信息安全、网络入侵检测及计算机病毒与防范等相关学科的知识，对设计好的网络进行安全维护。

设计环境：

PC机、交换机、路由器

visio画图工具

实现目标：

1、为****学校（企业）设计一套完善的网络设计方案，重

点通过对该网络的安全进行设计与维护，并撰写实训报告。

2、巩固学生对计算机网络相关知识的掌握，能够综合运用

所学内容解决实际问题，培养学生独立分析问题与解决问题的能力，并强化动手和写作能力。

1 网络设计

1.1 中小型企业网的基本概况

在中型企业网的设计中，一般采用层次化模型来设计网络拓扑结构。所谓“层次化”模型，就是将复杂的网络设计分成几个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。

“核心层-分布层-接入层”层次化网络设计模型有如下优点：

节省成本：在采用层次模型之后，各层次各司其职，不再在同一个平台上考虑所有的事情。层次模型模块化的特性使网络中的每一层都能够很好地利用带宽，减少了对系统资源的浪费。

易于理解：层次化设计使得网络结构清晰明了，可以在不同的层次实施不同难度的管理，降低了管理成本。

易于扩展：在网络设计中，模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计，任何一个节点的变动都将对整个网络产生很大影响。

易于排错：层次化设计能够使网络拓扑结构分解为易于理解的子网，网络管理者能够轻易地确定网络故障的范围，从而简化了排错过程。

1.1.1核心层

核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。

园区网的核心层连接所有的分布层设备，必须能够尽可能高效地交换数据流。应具有如下特征：

第2层和第3层的吞吐量非常高；

不执行高成本或不必要的分组处理（访问列表、分组过滤）；

支持高可用性的冗余和弹性；

高级QoS功能。

应对园区网核心层中的设备进行优化，以提供高性能的第2层或第3层交换。由于

1

核心层必须处理大量的园区网级数据，因此核心层设计必须简单、高效。

在本设计的核心层中，采用两台Cisco Catalyst 4006交换机组成双机热备份的核心交换机系统解决方案。为提高核心-网络的健壮性，实现链路的安全保障，本方案骨干核心层中可以采用VRRP（热备用路由器协议）。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关，因此应用VRRP技术为核心交换机提供一个可靠的网关地址，以实现在核心层核心交换机之间进行设备的硬件冗余，一主两备，共用一个虚拟的IP 地址和MAC地址，通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。

1.1.2分布层

分布层将园区网的接入层和核心层连接起来。必须具备下述的功能：

聚集多台接入层设备；

较高的第3层分组处理吞吐量；

使用访问列表和分组过滤器提供安全和基于策略的连接；

QoS功能；

连接到核心层和接入层的高速链接具有可扩展性和弹性。

在分布层中，来自接入层设备的上行链路被聚合在一起。分布层交换机必须能够处理来自所有连接的设备的总流量。这些交换机必须拥有能提供高速链路的端口密度，以支持所有接入层交换机。

VLAN和广播域在分布层聚合在一起，需要支持路由选择、过滤和安全。该层的交换机还必须能够执行高吞吐量的多层交换。

1.1.3接入层

接入层位于连接到网络的最终用户处。接入层交换机通常在用户之间提供第2层（VLAN）连接性。该层设备有时被称为大楼介入交换机，必须具备下述功能：低交换机端口成本；

高端口密度；

连接到高层的可扩展上行链路；

用户接入功能，如VLAN成员资格、数据流和协议过滤以及服务质量（QoS）；

2

1.2 网络结构设计

为了实现网络设备的统一，本设计方案中完全采用同一厂家的网络产品，即Cisco 公司的网络设备构建。全网使用同一厂商设备的好处是可以实现各种不同网络设备功能的互相配合和补充。

该企业网设计方案主要由以下四大部分构成：交换模块、广域网接入模块、远程访问模块、服务器群。

网络拓扑如下图所示：

3

2 防火墙设计

2.1 防火墙概述

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

2.2 防火墙在网络中的实现

2.2.1 包过滤防火墙

包过滤防火墙应用包过滤防火墙是在IP 层实现的, 因此它可以只用路由器完成。它对网络、主机或端口的访问控制方面有许多应用。因为它监视网络上流入和流出的IP 包, 检查所有通过防火墙的信息包的IP 源地址、IP 目标地址、TCP 或UDP 包的目的端口和源端口。主要应用于: 避免IP 欺骗; 封锁不安全的网络服务; 通过设置一些服务或端口, 只对需要这些功能的系统开放; 新出现的包过滤技术防火墙通过分析报文数据区内容实现智能报文过滤。

包过滤防火墙应用非常广泛的原因是因为CPU 用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明, 合法用户在进出网络时, 根本感觉不到它的存在, 使用起来很方便

包过滤防火墙的弱点是不能在用户级别上进行过滤, 即不能识别不同的用户和

4