1、基于多协议的安全系统的设计与实现【摘要】企业网络安全系统的方案设计直接影响到企业网络的安全性、可靠性和稳定性,本文主要以易连科技企业网络的建设为例,通过利用网络协议 STP、MSTP、VTP、HSRP 等进行基于多协议的企业网络安全系统的方案设计与实现。 【关键词】网络协议;安全系统;方案设计 1 引言 易连科技科技有限公司(Ningbo Ocean Network Technology)是一家专业生产机械塑料类产品。公司成立于 1994 年,地处境里发达的沿海城市宁波。按照易连科技有限公司的网络建设规划和总体要求,我们计划对易连科技有限公司的网络在利用原有综合布线系统和设备的基础上,重新规划
2、实施,建设易连科技有限公司的企业内联网,以满足网络整体性能的要求,并为各种网络服务和信息系统的使用提供运行良好的网络平台。 按照易连科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的 Cisco 公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的办公网络体系。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工增长的要求。 易连科技有限公司实施阶段分为五部分,分别是交换机部分,路由器部分,服务器部分,广域网部分和网络安全性部分。 易连科技有限公司地处发达的沿海城市宁波,该公司通过
3、网络来发展业务。随着该公司业务量的不断扩展,公司的规模不断扩大,员工人数的不断增加,并要在温州建立一个分公司。现有的网络系统逐渐不能满足企业信息化建设的要求。因此计划对宁波总公司的局域网与温州分公司网络进行改善,以提高网络的可用性,安全性,可靠性,并具有一定的可扩展性要求,用来满足企业业务发展的需求。 2 需求分析 (1)企业网络需求 宁波总公司和温州分公司的局域网络通过路由连接成一个统一的企业内联网,满足易连科技有限公司对网络统一管理的要求。宁波总公司和温州分公司的路由器相连,计划使用 OSPF(开放最短路径优先协议)作为路由协议。选用 OSPF 的好处在于 OSPF 作为链路状态协议已成为
4、业界标准,在各厂商中具有广泛的支持基础,并且具有路由信息传输的可控性和路由链路负载均衡的能力。 (2)企业系统的总体需求 温州分公司通过专线连接到宁波总公司网络,使用总公司的单一出口访问因特网,以提高网络的安全性,而且公司的服务器等全部在宁波总公司实现,分公司只使用总公司提供的应用服务,不需要自己建设。 出口处配置防火墙,出入因特网的通信流量都必须经过防火墙的过滤,通过防火墙对易连科技有线公司的网络加以保护,并实现安全的控制。 宁波总公司局域网部分在网络结构上分为 3 层,核心层,汇聚层和接入层,接入层交换机全部冗余上行链路,分别上联到 2 台汇聚层交换机,也保证了网络的安全性和可靠性。同时
5、LAN 部分会启用 VTP 和 STP,实现 VLAN 的统一配置管理和环路避免。 (3)企业网安全总体需求分析 运行系统的安全,在宁波总公司应用 HSRP 对设备进行备份 。即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。系统信息的安全,通过域环境管理用户账户,设置用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防治,数据加密;信息传播的安全,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控。 (4)基于多协议的安全项目整体规划 此次易连科技有
6、限公司网络建设将采用先进的计算机,网络设备和软件,以及先进的系统集成技术和管理模式,实现一个高效的办公网络体系。网络中的各类服务器设备和网络设备以及各种操作系统和应用软件必须考虑技术上的先进性,国内外及各行业的通用性,并且要有良好的市场形象和售后技术,便于维护和升级。 (5)设计原则 工程实施依照国家有关标准完成。项目设计应满足易连科技有限公司未来发展的要求,即公司规模扩大,本设计仍然能够满足公司运营的需求或方便的变更和升级。采用先进的,成熟的,业界标准的,在市场上有着广泛应用的技术。项目设计应遵循实用的原则,避免不切实际贪大求全。所有操作系统及应用软件采用正版软件。所有网络设备应是主流产品,
7、保证所有设备均为新品并能提供良好的技术支持。工程实施严格按照合同规定日期完成并保证质量。工程实施需要提供详细的文档资料及配置手册。应提供完善的培训及售后服务。 3 多协议安全系统的设计与实现 按照易连科技科技有限公司的网络建设规划和总体要求,现在将对易连科技有限公司新购的和原有的 Cisco 公司的设备进行相关的配置和实施,使易连科技有限公司网络满足设计的要求,实现高效的企业办公网运行。将网络复杂化,分层化,满足发展的易连科技有限公司信息化的要求,并具有一定的可扩展性,满足企业分公司和总公司的员工的可扩展性。 易连科技有限公司安全系统的设计与实现主要为多协议的设计,分别是交换机 VTP 协议,
8、STP 和 MSTP 协议,HSRP 协议,广域网协议和网络安全协议等。 (1)交换部分 VTP 设计实现 当易连科技有限公司网络扩大,交换机数量增多时,可以减少管理员的工作量,在维护整个企业网络上 VLAN 的添加,删除和重命名工作时,还可以确保配置的一致性。从而降低了为止的复杂度,大大减轻了网络管理人员的工作负担。 VTP 版本为 v1VTP 域口令为 SXY,VTP 修剪设为启用,VTP Server 包括 SXY-SW3-1,SXY-SW3-2,SXY-SW3-3,VTP Client 包括 SXY-SW15。 (2)交换部分 STP 的设计实现 生成树协议的原理是把网络拓扑的环形结构
9、变成树型结构,最主要的应用是为了避免局域网中的网络环路,解决以太网网络的广播风暴问题,主要配置命令如下所示。 SW(config)#spanning-tree vlan ID priority 4096 SW(config)#spanning-tree vlan ID priority 4096 (3)Ethernet Channel 以太网通道设计 EthernetChannel 以太网通道通过链路聚合技术捆绑多条通道来提高整体带宽,并运行一种机制,将多个以太网端口捆绑成一条逻辑链路。 SW3-1(config)#interface range F0/6 - 7 SW3-1(config-i
10、f-range)#channel-group number mode on (4)HSRP 热备份路由协议设计实现 企业网络两台汇聚层交换机上启用热备份路由协议(HSRP) ,其设计目标是支持特定情况下 IP 流量可以从故障设备切换到其他设备上而不会引起混乱,并允许主机使用单臂路由作为网关,在实际第一条路由器使用失败的情况下,仍能保持与网络的连通。 SW(config)#interface vlan 10 SW(config-if)#standby 10 ip 192.168.110.1 SW(config-if)#standby 10 priority 120 (5)VPN 专线技术设计 虚
11、拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 (6)网络安全性设计 防火墙位于易连科技科技有限公司总公司与外网之间。易连科技有限公司的所有网络通信通过进行流量过滤。防火墙对流经它的网络通信进行扫描
12、,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信。它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。所以,在易连科技有限公司网络中我们选择的防火墙是 CISCO ASA5520,能更保证网络的安全性的要求。 参考文献: 1谢军成.基于网络安全的企业知识管理系统设计与实现J.商情,2010.3 2徐祗祥.组建与维护企业邮件系统.科学技术文献出版社,2008.10
