网络安全课程设计.docx
《网络安全课程设计.docx》由会员分享,可在线阅读,更多相关《网络安全课程设计.docx(25页珍藏版)》请在冰豆网上搜索。
网络安全课程设计
小组成员:
企业网络安全方案课程设计
摘要
近年来,中国卷烟市场日益开放,面对激烈的国际竞争,如何控制成本和提升服务质量已经成为国内卷烟公司与外来竞争对手抗衡的重要手段。
计算机网络安全系统集成技术已在不同的行业、不同的规模、不同的层次上得到了应用,不同的应用对应着不同的网络平台。
从使用的角度来看,依据客户实际的业务状况,谋求最佳的安全方案显得越来越重要。
当前烟草企业依靠传统技术改造提升企业竞争力已经成为历史,而借助网络安全技术,全面实现企业信息化,提升企业综合竞争能力,已成为烟草企业的必然选择。
按照国家烟草局“卷烟上水平”的基本方针和战略任务,应积极发挥信息化技术在产业中的作用。
信息化发展的前提就是要准确把握行业的规划和要求,从技术、应用、发展对信息化体系进行分析,这就要求系统集成人员用大量的时间进行用户调查,分析应用,反复论证方案,使用户能够得到一体化的解决方案。
企业计算机网络安全系统是根据其行业具体情况与当今网络先进技术相结合的成功开发案例之一,本规划是结合企业计算机网络系统的建设与实施,探讨网络安全规划的内容。
随着信息化的发展,Internet的迅速膨胀,烟草行业竞争由为激烈,加上现如今企业技术中心业务量的飞速增长,对内对外信息安全交流越来越重要,同时为响应全国烟草行业网的建设要求,所以企业建设安全的局域网是非常必要的。
目录
第1章背景描述1
第2章需求分析1
第3章逻辑设计、物理设计2
3.1拓扑结构图2
3.2划分IP地址2
3.3交换机配置3
3.4路由器配置5
3.5物理设计图6
第4章网络总体方案设计及其特点6
第5章网络结构设计7
第6章布线方案8
第7章安全策略8
7.1防火墙的工作原理9
7.2防火墙的分类和技术原理以及典型体系结构9
第8章设备选择13
第9章网络规划、设计和集成原则16
第10章软件选择与配置17
第11章布线方案18
第12章设备清单19
总结19
参考文献20
第1章背景描述
某企业拟实施CIMS(现代集成制作系统)规划,需建立企业网络系统,设计全场经营、政工、技改、财务、质量、生产、销售、后勤等部门,主要分布在办公楼和生产厂区、占地0.4平方公里,厂外有少量销售点。
办公楼为6层,
需联网计算机96台。
企业库区距厂区直线距离约2公里,有20台计算机。
在全市范围内设有6个厂外销售部,每个销售部有10-20台计算机不等。
另外有编辑全市的销售点近百个,每个销售点有1台计算机。
网络规划要求:
(1)网络系统连接的站点覆盖主厂区、库区及厂外销售部,远程通信遍及市内全部销售网点,并为今后同外单位及国际互联网的通信连接做好基础准备工作。
各销售点可以考虑采用ISDN拨入的方式。
(2)支持分布式数据库应用,以实现全厂的MIS和面向决策的综合信息查询系统和决策支持系统(在厂部和厂外销售部都有数据库),各销售点的计算机根据地域的划分分别与就近的销售部和厂部的数据库相连。
(3)综合考虑系统可靠性、实用性、开放性、先进性和经济性。
(4)以当前需求为主,兼顾发展的需要。
(5)支持企业的Intranet和与Internet的连接。
第2章需求分析
2.1网络覆盖面积大,销售点计算机机分布范围广。
烟草公司在地理分布上面积广,部分微机比较集中,大部分的微机只需要在局域网内运行,网络拓扑结构决定整体采用星型结构。
各设备和各节点连接到中心交换机上,形成星型结构。
为什么采用星形拓扑结构?
<1>控制简单。
任何一站点只和中央节点相连接,因而介质访问控制方法简单,致使访问协议也十分简单。
易于网络监控和管理。
<2>故障诊断和隔离容易。
中央节点对连接线路可以逐一隔离进行故障检测和定位,单个连接点的故障只影响一个设备,不会影响全网。
<3>方便服务。
中央节点可以方便地对各个站点提供服务和网络重新配置。
2.2支持企业的Intranet和与Internet的连接。
2.3支持分布式数据库应用。
采用分布式数据库的优点:
<1>具有灵活的体系结构。
<2>适应分布式的管理和控制机构。
<3>经济性能优越。
<4>系统的可靠性高、可用性好。
<5>局部应用的响应速度快。
<6>可扩展性好,易于集成现有的系统。
2.4CIMS系统(现代集成制造系统)的网络吞吐量大。
CIMS基本出发点:
<1>企业的各种生产经营活动是不可分割的,要统一考虑。
<2>整个生产制造过程实质上是信息的采集、传递和加工处理的过程
实施CIMS的生命周期可分为五个阶段:
①项目准备
②需求分析
③总体解决方案设计
④系统开发与实施
⑤运行及维护
2.5结构化布线。
网络是将独立的设备连接在一起,并使它们可以共享信息和资源的连接系统。
正确的设计和实施一个网络系统可以提高通信的速度和可靠性,从而使得一个系统工作起来更加富有效率。
网络的建设应该满足已公布的国家和国际标准的要求,并应能够根据商业要求的改变进行不断的进化和升级。
2.6实现所有部门的联接。
第3章逻辑设计、物理设计
3.1拓扑结构图
3.2划分IP地址
本规划中申请一个C类地址:
192.168.0.0/24进行IP地址分配。
192.168.0.0/24用于连接因特网的服务器。
并在其下划分IP用于其他网络。
办公楼:
192.168.1.0/24:
192.168.1.1/24—192.168.1.126/24
厂库房:
192.168.1.128/24:
192.168.1.129/24—192.168.1.254/24
六个销售部:
192.168.2.0/27
<1>192.168.2.32/27:
192.168.2.33-192.168.2.62
<2>192.168.2.64/27:
192.168.2.65-192.168.2.94
<3>192.168.2.96/27:
192.168.2.97-192.168.2.126
<4>192.168.2.128/27:
192.168.2.129-192.168.2.158
<5>192.168.2.160/27:
192.168.2.161-192.168.2.190
<6>192.168.2.192/27:
192.168.2.193-192.168.2.222
销售点:
192.168.2.128/24:
192.168.2.129/24—192.168.2.254/24
3.3交换机配置
3.3.1配置二层交换机
<1>在二层交换机上添加VLAN
S1>enable
S1#vlandatabase
S1(vlan)#vlan100
S1(vlan)#exit
S1#configureterminal
S1(config)#interfacefastethernet0/1
S1(config-if)#swicthportmodetrunk
S1(config-if)#swicthporttrunkencapsulationdot1q
S1(config-if)#exit
S1(config)#interfacefastethernet0/2
S1(config-if)#swicthportmodeaccess
S1(config-if)#swicthportaccessvlan100
S1(config-if)#exit
S1(config)#interfacefastethernet0/3
S1(config-if)#swicthportmodeaccess
S1(config-if)#swicthportaccessvlan100
S1(config-if)#exit
S2>enable
S2#vlandatabase
S2(vlan)#vlan200
S2(vlan)#exit
S2#configureterminal
S2(config)#interfacefastethernet0/1
S2(config-if)#swicthportmodetrunk
S2(config-if)#swicthporttrunkencapsulationdot1q
S2(config-if)#exit
S2(config)#interfacefastethernet0/2
S2(config-if)#swicthportmodeaccess
S2(config-if)#swicthportaccessvlan200
S2(config-if)#exit
S2(config)#interfacefastethernet0/3
S2(config-if)#swicthportmodeaccess
S2(config-if)#swicthportaccessvlan200
S2(config-if)#exit
<2>在二层交换机上配置口令:
S2(config)#enablepasswordcisco
S2(config)#linevty05
S2(config-line)#passwordcisco
S2(config-line)#login
S2#write
3.3.2配置三层交换机
<1>在三层交换机上添加VLAN,并设置各VLAN的虚拟三层地址,同时设置与二层交换机相连的端口为Trunk模式
S3>enable
S3#vlandatabase
S3(vlan)#vlan100
S3(vlan)#vlan200
S3(vlan)#exit
S3#configureterminal
S3(config)#interfacevlan100
S3(config-if)#ipaddress192.168.1.1255.255.255.0
S3(config-if)#exit
S3(config)#interfacevlan200
S3(config-if)#ipaddress192.168.2.1255.255.255.0
S3(config-if)#exit
S3(config)#interfacefastethernet0/1
S3(config-if)#swicthportmodetrunk
S3(config-if)#swicthport trunk encapsulation dot1q
S3(config-if)#exit
S3(config)#interfacefastethernet0/2
S3(config-if)#swicthportmodetrunk
S3(config-if)#swicthporttrunkencapsulationdot1q
S3(config-if)#exit
<2>启动三层交换机的IP路由转发功能(请在启动IP路由功能5分钟后再进行ping连通测试)
S3(config)#iprouting
3.4路由器配置
有一个内部全局地址210.29.193.1,这个地址配置在路由器的s0/0接口上。
路由器的配置如下:
router>en
router#conft
router(config)#ipnatpoolnaptout210.29.193.1210.29.193.1netmask255.255.255.0
router(config)#access-list1permit192
升级会员 