第一篇:江苏大型企业内网网站建设解决方案
高级企业内部网网站建设方案
信息解说:
一、项目目标 3 二 网站整体结构 3 2.1 网站栏目结构图 3 2.2 栏目说明 3 2.21 内部网入口 3 2.22 **产品 3 2.23 在线期刊 3 2.24 新品推荐 4 2.25 资料浏览 7 2.26 系统设置 7 三 网站权限管理 9 四 网站运营安全策略 10 五 网站建设进度及实施过程 11 5.1 项目合作与成员 11 5.2 项目实施方法 11 六 费用预算 13
一、项目目标
我们将充分发挥网站策划和建设开发的优势,在开发建设**内部网站中将严格遵循以下原则:
1.在设计上:精美与高效兼顾。网站页面设计体现**的大型企业形象,在框架编排、色彩搭配以及Flash动画的适当穿插都做到恰到好处,使整个网站在保证功能的前提下给浏览者带来良好的视觉享受和时代动感。
2.在网站功能上:充分体现网站的互动性,并且采用多种机制提醒网站管理人员,便于网管和相关人员及时响应。并且特别注重网站的安全和稳定,采用网络安全、系统登录安全、各分系统安全、分系统模块安全、会话期间安全等多种方式确保安全。采用先进的3层结构的编程方式使网站即使在极多访问量的情况下仍能保持稳定。
3.在网站维护和后续扩展上:我们提供专门的网站维护后台,网站管理员可以很方便的借助这个平台维护整个网站。我们在规划网站之初,就会将功能模块框架搭建得很大而且易于扩展,以后增加新的功能和模块都会非常方便,降低二次开发成本。另外,对于以静态和FLASH展示的页面,考虑到页面的精美要求,我们手工维护。
4.在网站权限管理上:系统对每一个功能模块设置了单独访问权限,管理员可以为经销商设置独立的访问权限。二 网站整体结构 2.1 网站栏目结构图
2.2 栏目说明 2.21 内部网入口 内部网的入口页面,内容为一个登录表单,页面设计风格同**外部网和谐统一。2.22 **产品
本栏目采用动态模块,解决办法为对外部网的产品展示模块进行修改充实,添加的内容为: ·检测报告-图片形式 ·分 解 图-图片形式
其中“检测报告”和“分解图”可以分别设置访问权限,只有具有相关访问权限的浏览者登录系统后才会显示这部分内容,否则系统自动隐藏。2.23 在线期刊
本栏目采用资料管理模块,系统能够分类发布、管理、显示公司的电子期刊,经销商能够在线浏览、下载电子期刊。功能介绍:
· 支持期刊类别管理
· 前台电子期刊目录分页显示,期刊按时间倒序显示。· 电子期刊可以在线浏览、下载。· 在线浏览的期刊采用图片的形式 · 管理员在后台能够添加、修改期刊。· 能够按照期刊名称、编号检索期刊 2.24 新品推荐
本栏目采用动态模块,主要对公司的新产品进行特别介绍。新品推荐内容分为两大块,其中第一块内容为已经上市的新品信息,专门针对经销商,同样也设置“检测报告”、“分解图”的访问权限,同时设置反馈表单链接,点击链接进入反馈内容填写页面,反馈信息保存在数据库中,系统自动记录留言人、留言时间等信息,管理员在后台能够直接查看这些信息;第二块内容为将要上市的新品信息,专门针对**内部员工,内容为产品的参数信息、检测报告。同时设置在线投票功能,管理员可以对每一个产品设置投票功能,系统能够过滤无效投票,每一IP只能投票一次。
模块采用在**外部网站产品模块的基础上进行修改,其中第一块内容新增加的功能为: · 新产品的检测报告。· 产品装配、分解图。· 在线反馈模块。
在线反馈模块功能特点:
· 访问者能够选择不同的反馈类别,系统自动变换不同的表单供访问者填写
· 表单信息能够发送到后台数据库中,管理员能够对这些信息进行查看、删除操作 · 系统自动记录留言人、留言时间信息。
第二块内容新增加的功能为: · 产品的设计信息。· 产品结构信息。· 产品参数信息。· 产品的检测报告。
· 针对每一个产品的调查投票。调查模块功能特点:
·系统根据管理员输入的问题信息,自动生成调查问卷; ·能够针对每个产品进行调查;
·管理员可统计投票结果,系统提供图表统计:直线图、柱状图等,清楚直观;
·非法投票数据过滤,每个会员针对某一产品只能投票一次; ·管理员自由设定问卷样式和答案形式。
·调查显示页面
·调查结果显示页面
·往期调查显示页面
2.25 资料浏览
资料浏览采用资料管理模块,网站管理员、各地经销商可以上传、下载资料,经销商之间也可以传送资料。管理员可以对所有资料进行管理,经销商可以对自己上传的资料进行管理。同时经销商能够为自己上传的资料设置访问权限,能够将自己上传的文件转发给其它会员,能够为某一资料设置保存期限,系统能够自动删除到期文件。
功能特点
·系统管理员可以提交管理资料信息; ·资料包括文字介绍和资料文档;
·资料目录分页显示,点击目录进入资料介绍页面,点击下载按钮能够下载资料;
·经销商能够下载上传资料,经销商上传的资料只有该经销商与网站管理员能够查看、管理;
·对每个文件设置保存期限,如保留一周、保留一月、永久保留,超过期限系统自动删除; ·经销商能够将自己提交的文件转发给其它经销商; 2.26 系统设置
本栏目是一个权限管理模块。通过这个模块,管理员能够对所有会员及其权限进行管理,能够单独、按类别进行权限设置,能够按多种条件形成报表。
功能介绍
1. 支持会员类别管理,可以将会员分为好几个类别 2. 经销商信息按目录、详细情况二级显示 3. 信息支持关键字查找 4. 多种报表生成
5. 可以对所有会员权限进行管理,可以单独、按类别对会员权限进行设置 6. 管理员可以添加管理会员,可以对会员信息进行管理
7. 整合邮件群发功能,管理员可以将会员用户名与密码群发到会员信箱
·代理商列表
说明:管理员营业所会员可以按多种条件检索代理商信息,点击代理商名称可以查看代理商的详细信息。
·代理商详细信息
·代理商后台管理页面—代理商添加
·代理商后台管理页面—代理商、营业所管理
三 网站权限管理
系统严格限制不同会员的权限。对每个模块的访问权限加以管理,不同类型的会员具有不同的访问权限,确保了信息的有效管理,提高了整个网站的安全性。
四 网站运营安全策略
为保证网站的正常运行,用户数据的高度安全,系统考虑了多种安全策略。如下图所示。五 网站建设进度及实施过程 5.1 项目合作与成员
根据本项目的工作内容和范围,我们将成立一个6个人左右的项目工作组来负责本项目的开发。具体职责如下: 我们方项目主要成员 l 项目经理(1 人)
项目经理负责项目管理、组织、协调,对项目资源进行控制,是项目能够按照计划实施,满足项目规定的业务需求。项目经理对项目的质量、进度和成本负责。项目经理负责客户关系的管理,也是客户方项目经理的主要对口协调人。并负责对整个项目中的数据库结构及功能程序的设计。l 高级程序员(2人)
负责外部网站和内部服务系统的程序及多媒体的开发。l HTML 制作(2人)
负责网页的模板制作及Html 搭建。l 创意设计总监(1 人)
从事项目整体上的创意、规划、视觉设计和交互表现的形式的方向把握和设计方案 的提交,对项目规划设计的质量实施控制、指导与监督。客户方项目主要成员 l 项目经理
项目经理负责与我们的项目管理、组织、协调工作,签收各种项目文档,自始至终配合我们推进整个项目。5.2 项目实施方法
项目管理的成效直接关系到整个项目的成败。尤其是实施与INTERNET 有关的新技术应用项目,无论在国内和国外都是有一定难度的,更需要成功的项目管理。我们充分认识到了这一点,并且已做好了准备。我们在项目管理方面具有丰富的经验,并且拥有一套实际运用和不断完善的实施方法和富有经验的项目管理人才。我们项目管理紧跟世界项目管理协会(Project Management Institute)的原则,结合Internet 项目IT 系统开发和创意设计的特性,我们的这套方法别适用于带有大量系统应用开发和创意设计相结合的项目。已经在我们越来越多的成功项目中得以体现和印证。
项目的实施方法是保证我们每个项目能够得以顺利完成,有效协同各种专业人员共同参与,有组织有计划的进行资源管理和分配,并能够在最大程度上保证我们的项目按时,按质完成的前提。作为我们多年积累摸索的结果,在这里我们将它作一个介绍。我们项目实施方法中的五个基本阶段是: 1 规划定义
作为项目的启动,规划定义阶段的目的是为了能够准确地把握客户的商业目的,确立项目范围、整体性和操作实施性。这包括对客户商业策略的回顾;确认、记录并按优先次序排列出需求清单,提出系统构架草案。根据该项目的特点,我们将选择项目成员、整合项目组并安排项目计划。2 分析设计
在得到了项目目标, 范围和高级别需求清单等结果后, 我们将针对功能性, 系统构架技术性和视觉创意等方面进行更详细的分析设计。我们将它们一一记录下来并与您一起探讨,改进.如有必要, 我们将制作一个原型或演示系统来测试我们的概念。
之后, 我们将根据这个设计又针对性地来完成内容开发, 交互信息和界面设计等工作。3 编码制作
我们开始建造这个系统。开发整合阶段的工作是将所有设计的结果予以开发出来。
如有必要我们还将这个新系统与您现有系统进行整合。本阶段将完成一个正常运行的系统。4 测试验收
测试工作包括功能测试和性能测试两部分。然后将已完成的系统从开发环境迁移至发布环境。有计划的发布功能和数据直至全部开放进行商务运作。我们将记录并转移一切客户必须掌握和了解的技术与规范方面的知识,保证客户懂得如何运作及维护系统。用户和我们将在一个有限的范围内对系统进行试运行,系统试运行一段时间后,系统将投入正式运行。5 维护管理
除了对活的系统进行必须的监视、维护来保证其正常运作外,管理维护阶段更重要的任务是从正处于实际运营的系统上测试实际的系统性能;在运营中发现系统需要完善和升级的部分;衡量并比对系统较商业目的和需求的成功与否。将所有这些信息整理成一份计划以便于将来对网站系统的增强和升级。阶段、步骤和任务
我们将项目的时间周期分为5个阶段(Phase),在不同阶段内用相应的步骤(Process)来达到不同阶段的目标。而任务(Task)被包含在不同步骤之内,以完成该步骤的工作内容。由浅至深,由总到细,三个元素之间相互联系,相互作用,有机的构成了整个方法的蓝本。在实际操作中,根据不同时期的不同任务,动态地分配资源予以实施,再与专业人员的专业知识相结合,使得项目得以妥善完成。项目管理模式
项目管理有一定的模式,在其模式下主要有三个组成部分: l 项目的定义和组织 l 项目的计划 l 项目的跟踪管理 项目定义和组织
l 项目总体需求、客户背景介绍和方案构成 l 项目工作范围定义 l 项目组的组成结构、角色和责任
l 项目组将在项目中达到何种目的,工作目标 l 项目组的内部协同和自主管理 项目计划
l 分解工作明细清单
l 制定初步项目实施时间表
l 在项目实施时间表、项目范围和资源方面进行权衡 l 风险管理计划预计与措施控制 l 成本控制 项目跟踪管理
l 收集项目状态信息
l 分析项目实施时间表、项目范围和资源的使用情况 l 项目进度报告:一般每周一次
l 项目文档记录: 会议日志、记录、各种备忘录 l 项目质量和客户满意度跟踪 l 项目完成后的总结
以我们真诚的服务、优秀的技术能力、科学的项目管理方法,我们一定能将网站建设得让您满意!
六 费用预算
在网站策划和建设方面,绝大部分企业一味的去追求炫丽和伪创意,或者是一味的竞争对手,这样网站做好了,也是一个中看不中用的名牌网站。如何才能让网站成为一个企业的产品和品牌营销的工具呢?在网站策划和建设中,你考虑到以下11点,一切就会变的非常的简单容易。
目录
一、人性化设计
1、速度要快
2、设计风格
3、内容规划
二、网络营销功能设计
1、潜在客户跟踪系统
2、网络营销分析系统
3、在线客服系统工具
4、互动社区
三、SEO注意事项
1、关键词策略:
2、关键粗布局:
3、URL设计:
4、内部链接构架:
5、网站内容建设:
一、人性化设计
1、速度要快
1、尽量不要使用flash、过多flash会影响企业网站的打开速度,一方面不利于用户浏览体验,同时对搜索引擎的收录也不友好。
2、尽量不要使用像设计稿中的过多图片堆积,这样也会影响。图片和文字合理排版,错落有致。
2、设计风格
1、设计风格不要盲目模仿竞争对手,绝对部分竞争对手网站设计都不合理。
2、网站设计一定要追求简约、越简单越大气、简单到极致就是艺术。
3、网页设计一定都是以产品为核心,而不是设计美工。
3、内容规划
核心思想:
1、在设计网页的时候,不要站到企业自我的角度去考虑我们需要表现什么,2、我们要站到客户的角度去思考,客户需要看到什么
3、同时我们还要思考,我能在网页上呈现那些内容,能够让客户立刻喜欢上我们,并且愿意与我们互动。
内容布局:
网站导航一定要清晰明了,让用户上网站首页,点击不超过2下鼠标,可以立刻找到自己需要的信息。
描写企业或者产品的时候,文字排版要错落有致,每一句话都要能够打动客户,让客户喜欢看的。
二、网络营销功能设计
1、潜在客户跟踪系统
介绍,让浏览网站10%的客户,上来就愿意留下联系方式;积累潜在客户与粉丝数量。然后把网站推广的效果长期的积累,每天我们有相应的信息,可以第一时间内,通过邮件或者短信方式,推送给客户。这样可以提升品牌的美誉度和忠诚度。
构成部分:
1、诱惑设计
2、订阅系统
3、发送系统
2、网络营销分析系统
介绍:要通过这个工具,每天去检测以下数据:
1、网站的流量
2、网站的用户行为数据:跳出率、平均浏览时间、平均浏览PV量等等
3、用户在网站上产生了那些行为?
4、那些产品和网页是最受欢迎的?
5、那些推广渠道带来了效果?
6、不同渠道流量的转化率是多少?
推荐使用:Google分析工具
http://www.xiexiebang.com/analytics/
3、在线客服系统工具
及时与在线浏览用户互动沟通的工具
推荐使用:
企业QQ
4、互动功能
目标:
1、黏住客户
2、提升品牌文化
3、提升客户与企业的交流
4、提升客户群体之间的交流
5、可以通过互动交流,让客户产品到品牌的建设中,让客户成为品牌建设一分子。
三、SEO注意事项
网站设计一定要符合搜索引擎技术标准,容易让搜索引擎抓去,并且容易在搜索引擎中获得较好的排名。要考虑到以下几点:
1、关键词策略:
目标关键词的选择
2、关键粗布局:
按照SEO的要求,让每个网页中搜索引擎最关注的地方都出现关键词。例如title、meta、、hi、B等等
3、URL设计:
设计符合SEO的url、例如避免使用动态URL
4、内部链接构架:
设计出最让搜索引擎和用户都方便的内部链接结构。
5、网站内容建设:
根据客户和SEO共同的需求进行的内容建设工作。
第二篇:电子政务内网建设解决方案
电子政务内网建设解决方案
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
电子政务内网系统构成
1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
电子政务内网系统拓扑图
三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
电子政务安全支撑平台系统结构
安全支撑平台的系统配置
1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性
3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
第三篇:大型企业网络安全解决方案毕业论文
XXXXXXXXXXXXXXX 毕 业 论 文
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。关键词: 网络,安全,VPN,防火墙,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
目录
摘
要............................................................................................................................................................I 第一章 绪
论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章 企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章
企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章 企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章 企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章 项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总
结...........................................................................................................................................................45 致
谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1)根据公司需求组建网络(2)保证网络的连通性(3)保护网络信息的安全性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业本部与分部之间通信信息的完整与安全性(7)防范病毒的侵害(8)实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)IP地址域的划分与管理(3)划分VLAN控制内网安全(4)安装防火墙体系
(5)建立VPN(虚拟专用网络)确保数据安全(6)安装防病毒服务器(7)加强企业对网络资源的管理(8)做好访问控制权限配置(9)做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1.按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2.按VPN的应用分类
1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3.按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H)。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、认证(Authentication): 验证用户是否可以获得访问权限;
2、授权(Authorization): 授权用户可以使用哪些服务;
3、审计(Accounting): 记录用户使用网络资源的情况。
4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 www.xiexiebang.com hostname SWc!enable password cisco!ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等!username beijiangong password 0 cisco 设置远程登录时用户名与密码!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless!access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255(扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段)access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到!!
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH!end 5.3.2 路由器与防火墙
R1: hostname r1!enable password cisco!username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6!ip classless!access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local!!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!
aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池!
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
XXXXXXXXXX计算机专业毕业设计
!access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议!radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End
5.3.3 服务器
AAA服务器配置:
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为www.xiexiebang.com 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。如图6-3-1所示,一台PC需要console核心交换机
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。
第四篇:网站建设解决方案20140312
《建设方案书》
投
票
网
站
系
统
解
决
方
案
2014.3.1
2E-mail:zhonghui_38@hotmail.com
Nick
1352463658
1目录
一、投票网站需求分析.......................3投票网站建设的需要..........................3 投票网站应该是这样的......................3
二、解决方案说明........................4系统功能.........................4
三、投票网站技术说明.......................4数据库.............................4 投票网站建设流程.......................5
四、技术支持和培训....................5
五、网站报价.........................61、网站设计报价:...............错误!未定义书签。
2、系统开发报价:.....................6
3、系统总报价:...................错误!未定义书签。
一、投票网站需求分析
投票网站建设的需要
一个理想的行业性网站应当与行业形象相衬,符合该行业的特殊需求及职能标准与发展方向。能够在本行业起到促进会员之间的交流,协调会员之间的利益,为企业服务、为政府服务、为企业提供技术、管理、经营、培训、教育等方面的支持,在整个行业里起到领导带头作用。
投票网站应该是这样的 符合:网站应当符合行业形象标准,能够充分展示行业精神和行业
文化,体现行业风格,及具备该行业的服务及管理职能;
实用:网站应当让访问者最快找到他所需要了解的,一目了然,轻
松自如;同时,管理人员能够轻松进行网站内容更新和维护工作。实用、易用能使网站走向良性循环轨道;
互动:访问者是一面镜子,网站应当从访问者那里获取对网站的反
馈,能够捕捉会员企业的需求,能够双向交流,能够使会员企业在网站中充分发表见解,并加以吸收;
扩展:网站应当是一个可扩展的网站,能够根据技术的发展而将其
充分应用。
投票网站应当高屋建瓴,未雨绸缪,将企业及行业协会在市场经济中的作用利用互联网发挥到极至。
二、解决方案说明
系统功能
本解决方案是适用于Windows2008server环境的高效网站解决方案,模块化的体系结构更经过特别的优化,具有强大的网站扩展生成功能及便捷的后台管理功能。
利用flex和c#作技术,实现B/W的强大功能; 方便的批量生成功能或自动生成功能; 只需简单的在后台进行数据修改; 后台数据库管理员的管理权限;
健全的系统安全性,不允许直接输入地址访问本系统的后台管理页面的功能
提供外部链接功能
此外本方案基于B/W的架构设计,使用户无论在哪里都可以直接上网进行网站的操作,不受时间、地域的限制。
三、投票网站技术说明
数据库
本解决方案从后台数据库分主要分为Access版本和SQL版本,对服务器的系统要求标准如下:
最低硬件配置:
投票网站建设流程
在实际网站建设流程中,技术工作主要分为七大部分:
1、网站设计----依照CI设计的原则,设计美观、大方、色彩运用合理、符合行业形象的页面风格;
2、系统开发----系统需求分析、模块设计、程序设计、程序编码、系统测试、系统验收;
3、服务器配置----服务器的选购、软件选购(Windows 2008 Server、Access/SQL 2008 Server)、服务器环境配置调试;
4、提供空间架设的技术支持;
5、提供系统上传以及环境调试的技术支持;
6、进行模拟测试;
7、交付使用。
四、技术支持和培训
1.技术支持
将负责系统的维护工作,如果您需了解更多的情况或对这份方案书有任
何不明之处,请随时与我们联系。
五、网站报价
1、系统开发报价:
第五篇:外贸网站建设解决方案
外贸网站建设解决方案
外贸网站建设需要注意的问题很多,细节的完善决定您网站的成功与否,广州网站建设公司网源科技提供专业的外贸网站建设解决方案,为客户解决外贸网站建设中遇到的难题,我们具体的解决方案如下:
1.首先进行针对性的市场分析,分析行业市场的行情,存在什么样的特点,需要注意的问题,是否合适在互联网上开展网络营销。分析您的竞争对手的网站情况,分析其营销的手段,做到知自知彼,这样方能百战百胜。
2.根据网站建设的目的对网站需要实现的功能进行定位,哪些有必要做的,哪些没必要做的,选择合适的功能类型进行开发,为企业节省开支。
3.根据网站美工设计的要求做出版面图供客户确认验证,有问题进行修改,知道客户满意整站的美工版面。我们的美工有多年的经验,可以根据企业形象的特点设计一套适合该企业的样板。
4.开始网站逻辑功能程序设计,完善好网站的各功能板块,使用先进的ajax技术提高用户体验效果,保证网站运行的安全跟稳定性。
5.对做好的网站进行后期的维护工作,在外贸网站建设公司网源科技做网站的客户我们提供一年的免费维护工作,维护网站各项功能的正常运行,确保您的网站在各大浏览器上能够正常兼容。
6.为网站提供seo优化服务,使您的网站能够快速实现在搜索引擎上的排名,为网站带来稳定的流量,我们有专业的seo优化专员为客户提供专业的优化服务,可以根据您企业的特点,网络市场竞争的角度分析为网站定制合适的关键词进行优化,使网站实现快速排名。
我们建议在确定好开展您的外贸网站建设之前您必须明确做网站的目的,是为了实现什么样的效果,有清晰的网站制作构思才能为使网站健康的发展,而且这样才能避免在开发的过程可能出现的种种问题,使网站建设能够顺利的进行。
点击咨询 