交换方向 - 图文(4)

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。

灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。

北京总部IP地址划分

部门名称 品质保障部 教学支持部 财务部 市场部 服务器

大连分部IP地址划分

部门名称 品质保障部 教学支持部 财务部 市场部 服务器

昆山分部IP地址划分

部门名称 品质保障部 教学支持部 财务部 人数 14 19 4 VLAN ID VLAN 10 (KS-PZ) VLAN 20 (KS-JX) VLAN 30 (KS-CW) 网络号 192.168.3.32/27 192.168.3.0/27 192.168.3.96/29 可分配IP地址 192.168.3.33-62 192.168.3.1-30 192.168.3.97-102 人数 13 18 3 16 VLAN ID VLAN 10 (DL-PZ) VLAN 20 (DL-JX) VLAN 30 (DL-CW) VLAN 40 (DL-SC) 网络号 192.168.2.64/27 192.168.2.0/27 192.168.2.96/29 192.168.2.32/27 可分配IP地址 192.168.2.65-94 192.168.2.1-30 192.168.2.97-102 192.168.2.33-62 192.168.2.104-108 人数 47 47 8 48 VLAN ID VLAN 10 (BJ-PZ) VLAN 20 (BJ-JX) VLAN 30 (BJ-CW) VLAN 40 (BJ-SC) 网络号 192.168.1.64/26 192.168.1.128/26 192.168.1.192/28 192.168.1.0/26 可分配IP地址 192.168.1.65-126 192.168.1.129-190 192.168.1.193-206 192.168.1.1-62 192.168.1.227-239

市场部 服务器 13 VLAN 40 (KS-SC) 192.168.3.64/27 192.168.3.65-94 192.168.1.104-108

第6章 网络安全解决方案

6.1 网络边界安全威胁分析

网络边界隔离着不同功能或地域的多个网络区域，存在着安全风险。我们应用以下方法来杜绝这些存在的潜在的安全：

1、防火墙技术，防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络的安全的有效管理，从总体上看防火墙应该具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行监测和告警。 2、通过vlan惊醒端口通讯和安全隔离，确保数据流进入有效端口

3、可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户合法性和唯一性。

6.2 网络内部安全威胁分析

内部用户的越权访问:

公司内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部

用户的非授权的访问，更容易造成资源和重要信息的泄露。 内部用户的误操作：

由于内部用户的计算机制造的水平参差不齐，对于应用软件的理解也各不相同，

如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。

内部用户的恶意攻击：

就网络安全来说，据统计约有70%左右的攻击来自内部网络用户，相比外部攻击

来说，内部用户有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。 设备的自身安全性也会直接关系到公司网络系统和各种网络应用的正常运转。例如，路由

设备存在路由信息你泄露、交换机和路由器设备配置风险等。 重要服务器或操作系统自身存在的安全漏洞：

如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的

因素。重要服务器的当机或者重要数据的意外丢失，都将会造成这公司内部业务的无法正常运行。

6.3解决方案

6.3.1ISA和iptables防火墙 （1） （2） （3）

防火墙能强化安全策略

防火墙能有效的记录internet上的活动。

防火墙限制暴露用户点，防火墙能够用来隔开网络中一个网段与另一个网段，这样，能够防止影响一个网段的问题通过整个网络传播。

（4）

防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

（5） （6）

价格较低

性能开销小,处理速度较快

在公司分部，我们选择在linux系统上建立iptables防火墙。iptables是复杂的，它集成到linux内核中。用户通过iptables，可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则，来把守你的计算机网络──哪些数据允许通过，哪些不能通过，哪些通过的数据进行记录。

6.3.2病毒防护

因为公司的数据核心是非常重要的，为免被窃取要设置访问权限；网络可能被 病毒攻击和破坏，所以安装杀毒软件和防火墙。 (1)阻止病毒的传播

在防火墙、SMTP服务器、网络服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2)检查和清除病毒

使用防病毒软件检查和清除病毒。 (3)病毒数据库的升级

病毒数据库应不断更新，并下发到桌面系统。

(4)在防火墙及PC上安装控制扫描软件，禁止未经许可的控件下载和安装。 6.3.3认证和数字签名

(1)认证

1.路由器认证，路由器和交换机之间的认证 2.操作系统认证，操作系统对用户的认证 3.拨号访问服务与客户之间的认证 4.电子邮件通讯双方认证 (2)数字签名技术

认证过程通常涉及到加密和密钥交换。 Password认证

该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet等，但由于此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证 基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

参 考 文 献

[1]万振凯等．网络操作系统：windows Server 2003管理与应用[M]．北京：清华大学出版社；北京交通大学出版社，2008.8

[2]高升，邵玉梅．Windows Server 2003系统管理（第二版）[M].北京:清华大学出版社,2007.5

[3]刘化君．网络安全技术[M]．北京：机械工业出版社，2010.5

[4]陈萍．Linux网络服务器配置与管理[M]：[M]，北京：机械工业出版社，2010.1 [3]http://shsstats.com/88yulecheng/ [4]http://hywhsc.com/88yulecheng/ By-gnksguybb

致 谢

大学生活在这个季节即将画上一个句号，而我将面对又一次的征程。二年的求学生涯在老师和同学的大力支持下，走的辛苦却也收获颇丰。在论文即将完成之际，我的心情无法平静。二年的求学生涯在老师和同学的大力支持下，走的辛苦却也收获颇丰。特别是我的导师朱永超老师和李孔文老师，在论文完成过程中付出了辛勤的劳动，还教会了我基本的研究方法；同时感谢在我20年生命中养育我的父母，帮助过我的朋友，关怀过我的同学。向你们致敬！在即将踏向社会的时刻，我的心情可以说是激动万千，但是我仍然不会忘记：感谢许昌学院以及所有导师。

同时，在大学二年的学习生活中，学校严谨的治学作风、良好的学习氛围、老师们认真的工作态度，都给我留下了非常深刻的印象。在这里我真诚的向那些曾经帮助过我、关心过我的老师、同学们说一声：谢谢!

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库交换方向 - 图文(4)在线全文阅读。