网络安全课程设计.docx

1、网络安全课程设计小组成员：企业网络安全方案课程设计摘要近年来，中国卷烟市场日益开放，面对激烈的国际竞争，如何控制成本和提升服务质量已经成为国内卷烟公司与外来竞争对手抗衡的重要手段。计算机网络安全系统集成技术已在不同的行业、不同的规模、不同的层次上得到了应用，不同的应用对应着不同的网络平台。从使用的角度来看，依据客户实际的业务状况，谋求最佳的安全方案显得越来越重要。当前烟草企业依靠传统技术改造提升企业竞争力已经成为历史，而借助网络安全技术，全面实现企业信息化，提升企业综合竞争能力，已成为烟草企业的必然选择。按照国家烟草局“卷烟上水平”的基本方针和战略任务，应积极发挥信息化技术在产业中的作用。信息

2、化发展的前提就是要准确把握行业的规划和要求，从技术、应用、发展对信息化体系进行分析，这就要求系统集成人员用大量的时间进行用户调查，分析应用，反复论证方案，使用户能够得到一体化的解决方案。企业计算机网络安全系统是根据其行业具体情况与当今网络先进技术相结合的成功开发案例之一，本规划是结合企业计算机网络系统的建设与实施，探讨网络安全规划的内容。随着信息化的发展，Internet的迅速膨胀，烟草行业竞争由为激烈，加上现如今企业技术中心业务量的飞速增长，对内对外信息安全交流越来越重要，同时为响应全国烟草行业网的建设要求，所以企业建设安全的局域网是非常必要的。目录第1章 背景描述 1第2章 需求分析 1第

3、3章 逻辑设计、物理设计 23.1 拓扑结构图 23.2 划分IP地址 23 .3 交换机配置 33.4路由器配置 53.5物理设计图 6第4章 网络总体方案设计及其特点 6第5章 网络结构设计 7第6章 布线方案 8第7章 安全策略 87.1 防火墙的工作原理 97.2 防火墙的分类和技术原理以及典型体系结构 9第8章 设备选择 13第9章 网络规划、设计和集成原则 16第10章 软件选择与配置 17第11章 布线方案 18第12章 设备清单 19总结 19参考文献 20第1章 背景描述某企业拟实施CIMS（现代集成制作系统）规划，需建立企业网络系统，设计全场经营、政工、技改、财务、质量、生

4、产、销售、后勤等部门，主要分布在办公楼和生产厂区、占地0.4 平方公里，厂外有少量销售点。办公楼为6 层，需联网计算机96 台。企业库区距厂区直线距离约2 公里，有20 台计算机。在全市范围内设有6 个厂外销售部，每个销售部有1020 台计算机不等。另外有编辑全市的销售点近百个，每个销售点有1 台计算机。网络规划要求：（1) 网络系统连接的站点覆盖主厂区、库区及厂外销售部，远程通信遍及市内全部销售网点，并为今后同外单位及国际互联网的通信连接做好基础准备工作。各销售点可以考虑采用ISDN拨入的方式。（2) 支持分布式数据库应用，以实现全厂的MIS 和面向决策的综合信息查询系统和决策支持系统（在厂

5、部和厂外销售部都有数据库），各销售点的计算机根据地域的划分分别与就近的销售部和厂部的数据库相连。（3) 综合考虑系统可靠性、实用性、开放性、先进性和经济性。（4) 以当前需求为主，兼顾发展的需要。（5) 支持企业的Intranet 和与Internet的连接。第2章 需求分析2.1 网络覆盖面积大，销售点计算机机分布范围广。烟草公司在地理分布上面积广,部分微机比较集中,大部分的微机只需要在局域网内运行，网络拓扑结构决定整体采用星型结构。各设备和各节点连接到中心交换机上，形成星型结构。为什么采用星形拓扑结构？ 控制简单。任何一站点只和中央节点相连接，因而介质访问控制方法简单，致使访问协议也十分简

6、单。易于网络监控和管理。故障诊断和隔离容易。中央节点对连接线路可以逐一隔离进行故障检测和定位，单个连接点的故障只影响一个设备，不会影响全网。方便服务。中央节点可以方便地对各个站点提供服务和网络重新配置。2.2 支持企业的Intranet 和与Internet 的连接。2.3 支持分布式数据库应用。 采用分布式数据库的优点： 具有灵活的体系结构。适应分布式的管理和控制机构。经济性能优越。系统的可靠性高、可用性好。局部应用的响应速度快。可扩展性好，易于集成现有的系统。2.4 CIMS系统（现代集成制造系统）的网络吞吐量大。 CIMS基本出发点： 企业的各种生产经营活动是不可分割的，要统一考虑。 整

7、个生产制造过程实质上是信息的采集、传递和加工处理的过程实施CIMS的生命周期可分为五个阶段：项目准备需求分析总体解决方案设计系统开发与实施运行及维护2.5 结构化布线。 网络是将独立的设备连接在一起，并使它们可以共享信息和资源的连接系统。正确的设计和实施一个网络系统可以提高通信的速度和可靠性，从而使得一个系统工作起来更加富有效率。网络的建设应该满足已公布的国家和国际标准的要求，并应能够根据商业要求的改变进行不断的进化和升级。2.6 实现所有部门的联接。第3章 逻辑设计、物理设计3.1 拓扑结构图3.2 划分IP地址本规划中申请一个C类地址：192.168.0.0/24进行IP地址分配。192.

8、168.0.0/24用于连接因特网的服务器。并在其下划分IP用于其他网络。办公楼：192.168.1.0/24：192.168.1.1/24192.168.1.126/24厂库房：192.168.1.128/24：192.168.1.129/24192.168.1.254/24 六个销售部：192.168.2.0/27192.168.2.32/27：192.168.2.33-192.168.2.62 192.168.2.64/27：192.168.2.65-192.168.2.94 192.168.2.96/27：192.168.2.97-192.168.2.126 192.168.2.128

9、/27：192.168.2.129-192.168.2.158 192.168.2.160/27：192.168.2.161-192.168.2.190 192.168.2.192/27：192.168.2.193-192.168.2.222销售点：192.168.2.128/24：192.168.2.129/24192.168.2.254/243 .3 交换机配置3.3.1配置二层交换机在二层交换机上添加VLANS1enableS1#vlan databaseS1(vlan)#vlan 100S1(vlan)# exitS1#configure terminalS1(config)#inte

10、rface fastethernet 0/1S1(config-if)#swicthport mode trunkS1(config-if)#swicthport trunk encapsulation dot1qS1(config-if)#exitS1(config)#interface fastethernet 0/2S1(config-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS1(config)#interface fastethernet 0/3S1(conf

11、ig-if)#swicthport mode accessS1(config-if)#swicthport access vlan 100S1(config-if)#exitS2enableS2#vlan databaseS2(vlan)#vlan 200S2(vlan)#exitS2#configure terminalS2(config)#interface fastethernet 0/1S2(config-if)#swicthport mode trunkS2(config-if)#swicthport trunk encapsulation dot1qS2(config-if)#ex

12、itS2(config)#interface fastethernet 0/2S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exitS2(config)#interface fastethernet 0/3S2(config-if)#swicthport mode accessS2(config-if)#swicthport access vlan 200S2(config-if)#exit在二层交换机上配置口令：S2(config)#enable passwo

13、rd cisco S2(config)#line vty 0 5S2(config-line)#password ciscoS2(config-line)#loginS2#write 3.3.2配置三层交换机在三层交换机上添加VLAN，并设置各VLAN的虚拟三层地址，同时设置与二层交换机相连的端口为Trunk模式S3enableS3#vlan databaseS3(vlan)#vlan 100S3(vlan)#vlan 200S3(vlan)#exitS3#configure terminalS3(config)#interface vlan 100S3(config-if)#ip addre

14、ss 192.168.1.1 255.255.255.0S3(config-if)#exitS3(config)#interface vlan 200S3(config-if)#ip address 192.168.2.1 255.255.255.0S3(config-if)#exitS3(config)#interface fastethernet 0/1S3(config-if)#swicthport mode trunkS3(config-if)#swicthporttrunkencapsulationdot1qS3(config-if)#exitS3(config)#interface

15、 fastethernet 0/2S3(config-if)#swicthport mode trunkS3(config-if)#swicthport trunk encapsulation dot1qS3(config-if)#exit启动三层交换机的IP路由转发功能（请在启动IP路由功能5分钟后再进行ping连通测试）S3(config)#ip routing3.4路由器配置有一个内部全局地址210.29.193.1，这个 地址配置在路由器的s0/0接口上。路由器的配置如下：routerenrouter#conf trouter(config)#ip nat pool naptout 210.29.193.1 210.29.193.1 netmask 255.255.255.0router(config)#access-list 1 permit 192