1、编号 本科生毕业设计中小型企业网络设计及安全实现Network Design And Security of Small And Medium Sized Enterprises学生姓名 王振阳专 业 软件工程学 号 1242130指导教师 陈刚分 院 信息工程分院2016 年 6 月长春理工大学光电信息学院毕业设计摘 要经过对中小型企业网络现状分析,组建一套适合企业自身的网络环境是十分必要的,本文通过网络构建的设计方案、基于安全的网络基本配置方案、网络管理方案三方面,主要运用了 HTTP、DNS、FTP 、DHCP 应用服务器来实现一个企业网络间接入与访问,并且建设了一种中小型网络的安全方案
2、。在对中小型网络系统有了确切的了解之后,将局域网总体子网划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。依照各个安全等级的安全需求,设计了中小型网络的安全方案。在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。目的是建立一个完整的、立体的网络及安全防御体系,使网络及安全系统真正获得较好的效果。关键词:局域网 网络管理 子网划分 病毒防护 服务器
3、 长春理工大学光电信息学院毕业设计AbstractThrough the analysis of the status of small and medium-sized enterprise network, the formation of a network environment suitable for the enterprise itself is very necessary, through network building design, safe network configuration, network management scheme based on, the
4、main use of the HTTP, DNS, FTP, using DHCP server to achieve a enterprise network access, and the construction of a secure scheme for a small network. After the small and medium-sized network system has a certain understanding, the local area network is divided into three security levels, each of wh
5、ich contains a number of sub network, all kinds of sub network set up their own security policy. According to the goal of computer network security design and the overall plan of the computer network security system, a comprehensive analysis is made on the computer network security problem. Accordin
6、g to the security requirements of each security level, the security scheme of the medium and small scale network is designed. In the premise of satisfying each sub network system construction, including virus protection, dynamic password identity authentication, security audit management, access con
7、trol, information encryption strategies and intrusion detection system deployment, vulnerability scanning system management and safety technology, set of solutions proposed. The goal is to establish a complete, three-dimensional network and security defense system, so that the network and security s
8、ystem to really get better results.Key Words:LAN Network management Sub network partitioning Virus protection Server 长春理工大学光电信息学院毕业设计I目 录绪 论 .1第一章 需求分析 .3第二章 网络系统设计 .42.1 网络系统设计规划 .42.1.1 网络设计指导原则 .42.1.2 网络设计总体目标 .42.1.3 网络通信联网协议 .42.1.4 网络 IP 地址规划 .42.1.5 网络设备方案设计 .52.2 网络拓扑图 .62.3 IP 地址规划 .62.4 网
9、络设备选型 .72.4.1 集线器的选型 .72.4.2 交换机的选型 .72.4.3 路由器的选型 .72.4.4 服务器的选型 .7第三章 网络安全的方案设计 .83.1 中小型公司网络安全系统设计 .83.1.1 安全体系结构网络 .83.1.2 安全体系层次模型 .83.1.3 安全体系设计 .83.2 安全产品的配置与应用 .103.2.1 防病毒及特洛伊木马软件 .103.2.2 动态口令身份认证方案 .113.2.3 访问控制:防火墙系统 .11第四章 网络服务器的安装与配置 .134.1 网络配置 .134.1.1 VLAN 配置 .134.1.2 路由配置 .134.2 服务
10、器配置 .144.2.1 DNS 配置 .144.2.2 HTTP 配置 .184.2.3 配置三层交换机和 DHCP 服务器 .21长春理工大学光电信息学院毕业设计II4.2.4 FTP 配置 .26第五章 网络调试 .295.1 ping 命令格式 .295.2 调试过程 .295.3 遇到在问题及解决办法 .295.3.1 问题 .295.3.2 解决办法 .30结 论 .32参考文献 .34致 谢 .35长春理工大学光电信息学院毕业设计1绪 论计算机网络是计算机技术与通信技术结合的产物。自从 20 世纪 60 年代计算机网络发展至今,计算机网络对现代人的生产、经济、生活等各个方面都产生
11、了巨大的影响。在过去的 20 多年里,计算机和计算机网络技术取得了惊人的发展。处理和传输信息的计算机网络已经成为了信息社会的命脉和发展知识经济的重要基础,不论是企事业单位、社会团体或个人,他们的生产效率和工作效率都由于使用计算机和计算机网络技术而有了实质性的提高。在当今的信息社会中,人们不断地依靠计算机网络来处理个人和工作上的事务,而这种趋势也使得计算机和计算机网络发挥出更强大的功能。Internet 网络是目前主要的网络构建模式。本文通过实际的应用案例给出了构建Internet 1网络的系统设计过程。在案例中省去了一些无关紧要的内容,突出了重要的技术环节,有助于中小企业构建 Internet
12、 时作为参考的依据。局域网系统正逐渐成为不少发达国家教育机构、院校或部门的重要组成部分 2,既是企业网络应用的基础,也是企业网站建设的前提。原因很简单,没有局域网的中小型企业通常都不会搭建自己的网站。利用网络不仅可以把这一切做得更好,而且还能完成许多单机所无法想象的任务,比如打印共享、文件传输、协同工作和资源共享等等,从而极大地提高工作效率,减少设备资金投入,为企业带来极大的利润。国际标准化组织(IS0)对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。从此我们可以看出网络系统安全单靠某些安全技术手段是不
13、足以完全解决问题是的,而且网络攻击手段不断变化 3,病毒木马不断升级,故此对应的防御手段也需要不断进行更新与强大以此抗击外界的网络系统的干扰。在这样的形势下,以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。外部闯入是指未经授权计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问未经授权的数据 ;不正当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以
14、定义为:保障网络服务的可用性和网络信息的完整性。前者要求网络向所有用户有选择地随时提供各自应得到的网络服务,后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响 4。一个安全的计算机网络应该具有以下几个特点:长春理工大学光电信息学院毕业设计21.可靠性是网络系统安全最基本的要求。可靠性主要是指网络系统硬件和软件无故障运行的性能。2.可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。3.保密性是
15、指网络信息不被泄露的特性。保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。4.完整性是指网络信息未经授权不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。从技术角度看,网络安全的内容大体包括 4 个方面:1.网络实体安全2.软件安全3.网络数据安全4.网络安全管理由此可见,计算机网络安全不仅要保护计算机网络设备安全
16、,还要保护数据安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。长春理工大学光电信息学院毕业设计3第一章 需求分析随着近年来企业信息化建设的深入,企业的运作越来越融入到计算机网络中中小型企业利用网络实现内部的数据流转、实现与外界的实时交流、实现网络服务与应用等。例如文件传输、资源共享、打印共享和协同工作等等。中小型企业构建网络能够极大地提高工作效率,减少设备资金投入。由于当前计算机都带有网络设备,所以在组网的时候只需配置网线,交换机等设备。除了这些基本的需要外,用于充当服务器的计算机还必须对内存和硬盘容量等硬件进行一些必要的升级过更新
17、,使其能够更好的服务所有用户。例如,服务器需要为每个部门的员工提供一定的私有空间及公用空间,因此必须要有超大容量的硬盘。网络上的要求稳定,有安全机制,升级扩展容易,用户使用简单,维护容易等;系统要求配置简单方便,系统运行有高稳定性,可管理性等;用户要求,满足基本带宽 5要求,保留一定的余量供扩展等;设备要求技术上具有先进性,易管理,具有良好的性价比。企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。这直接关系到企业能否获得关键的竞争优势。近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。 通过网络建设能够实
18、现企业内部资源的共享,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。目前中小型企业建设过程中,存在很多问题,如有些中小型企业不考虑自身需求,一味追求高性能,构建的网络往往造成不必要的浪费;或另一方面,有些中小型企业建成的网络根本达不到应用本身对网络的需求。企业网络应分为内部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。因此,在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。长春理工大学光电信息学院毕业设计4第二章 网络系统设计2.1 网络系统设
19、计规划2.1.1 网络设计指导原则网络设计应该遵循开放性和标准化原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS 保证2.1.2 网络设计总体目标灵活性:系统具有较高的适应变化的能力。布线系统且具有一定的扩展能力。实用性:使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。安全性:具有高安全性。2.1.3 网络通信联网协议TCP/IP:每种网络协议都有自己的优点,但是只有 TCP/IP 允许与 Internet 完全的连接
20、。Telnet:远程登录访问协议,使其他跨省区域的用户通过远程访问总部的内外,在远程访问时,会设置相应的 ACL 认证和相对的权限设置。SNMP 网 络 管 理 协 议 : SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。 SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。路 由 协 议 : OSPF。2.1.4 网络 IP 地址规划企业园区网计划使用私有的 A 类 IP 地址。企业园区网的 IP 地址分配原则如下:企业
21、使用 IPv4 地址方案。企业使用私有 IP 地址空间:10.0.0.0/8。企业使用 VLSM(变长子网掩码)技术 分配 IP 地址空间。企业 IP 地址分配满足集团的利用。 企业 IP 地址分配满足便于路由汇聚。企业 IP 地址分配满足分类控制等。企业 IP 地址分配满足未来公司网络扩容的需要。 长春理工大学光电信息学院毕业设计52.1.5 网络设备方案设计1.路由器:CISCO 2811 参考价:5200思科 2811 路由器采用模块化端口结构,传输速率 10/100Mbps 设置一个10/100Mbps 固定广域网接口,2 个固定局域网接口 10/100Mbps,支持 4 个扩展模块插
22、槽,1 个 NM 插槽和 1 个 Console 控制端口,配有 RS-232 的控制端口。该产品搭载Motorola MPC860 160MHz 的处理器,配备最大 256MB 的 Flash 闪存和最大 760MB的 DRAM 内存,极大的提高了该产品的安全性能。思科 2811 支持 IEEE 802.3X6网络协议以及 SNMP 网管协议,同时还配备 Cisco ClickStart 网管软件,支持 VPN-虚拟专用网,以及 QoS,协议方面支持比较完善。安全方面,2811 内置了防火墙,并支持 UL 60950:CAN/CSA C22.2 No. 60950、IEC 60950、EN
23、60950-1、AS/NZS 60950 等众多安全标准,为企业用户提供更安全的网络服务。2.三层交换机:采用友讯网络(D-Link)DES-3326 参考价:6300 元DES-3326 是友讯网络公司推出的一款可网管、支持千兆的 10/100M 智能三层交换机,是一款线速第三层交换机,提供了 24 个 10/100BASE-TX 端口及 1 个扩展插槽,可扩展 2 个可选千兆以太网端口。DES-3326 交换机将第二层线速交换及第三层 IP 路由以及服务质量(QoS)有机集成为一体,并可采用支持 SNMP 标准的网管系统进行配置、监控和管理。DES-3326 交换机前面板插槽可选插 2 口
24、千兆模块,不同模块可支持 1000BASE-SX、1000BASE-T 标准。所有模块支持流量控制和全双工,可处理大量数据。支持优先级队列和 QoS 机制,优先级队列功能可以根据数据交换的重要性进行排队,优先交换重要数据。该款交换机具有端口聚合功能,最大可将 8 个 10/100Mbps 端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用,而这项功能最主要的应用场合是 VLAN 划分,VLAN 划分需要设置汇聚链路,而汇聚链路对带宽要求非常高,通过端口聚合功能可提供一个高带宽的端口。DES-3326 支持 SNMP 管理和 RMON 监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。DES-3326 交换机还提供了流量控制功能,支持 VLAN 划分,提供了冗余电源接口等。3.二层交换机:D-Link DES-1024D 参考价:530它符合百兆以太网标准,提供了 24 个自适应全/半双工 10/100Mbps 端口,可自动判断连入设备的类型提供相应的连接方式和带宽。另外利用配备的 16K 的 MAC 地址表和 2.5MB 缓存,它可以利用 IEEE802.3x7流量控制技术动态将缓存分配到各个端口,保持网络畅通。
