基于cisco設(shè)備的企業(yè)網(wǎng)絡(luò)設(shè)計(jì)及安全實(shí)現(xiàn).pdf

1、企業(yè)網(wǎng)中，各分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的規(guī)劃與實(shí)現(xiàn)和局域網(wǎng)技術(shù)的發(fā)展是密切相關(guān)的。此網(wǎng)絡(luò)設(shè)計(jì)方案中采用了虛擬網(wǎng)技術(shù)(VLAN)。虛擬網(wǎng)絡(luò)把交換機(jī)組成的網(wǎng)絡(luò)在邏輯上分割成若干個(gè)廣播域，減少了每個(gè)域的廣播流量，進(jìn)一步提高了交換網(wǎng)絡(luò)的性能。虛擬網(wǎng)絡(luò)技術(shù)和交換技術(shù)相結(jié)合，構(gòu)成企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的核心技術(shù)。 此外根據(jù)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)采用了“從內(nèi)到外”的方案實(shí)施原則，首先確保企業(yè)內(nèi)部網(wǎng)的安全，其次保證各個(gè)服務(wù)器的安全，最后保證外網(wǎng)接入的安全。

2、企業(yè)的兩個(gè)辦公室的用戶通過(guò)五類雙絞線連接到內(nèi)部網(wǎng)交換機(jī)，分別被配置到兩個(gè)VLAN中，并且，為了安全考慮，設(shè)置訪問控制列表禁止兩個(gè)辦公室之間互相訪問。而企業(yè)需要對(duì)外開放的服務(wù)器，如WEB服務(wù)器、FTP服務(wù)器等，通過(guò)DMZ交換機(jī)連接到防火墻的DMz端口，并且與DMZ交換機(jī)和防火墻一起安置在專用的服務(wù)器機(jī)房中，以進(jìn)一步保證安全性。 防火墻是本網(wǎng)絡(luò)安全設(shè)計(jì)的核心部分，它的作用不僅僅是作為外網(wǎng)、內(nèi)部網(wǎng)以及DMZ區(qū)的安全中轉(zhuǎn)站，還需要擔(dān)任V

3、PN服務(wù)器的角色，為遠(yuǎn)程用戶以及移動(dòng)用戶提供安全的VPN接入服務(wù)，使用戶能夠被授權(quán)訪問企業(yè)內(nèi)部網(wǎng)中的共享資源。 同時(shí)，在防火墻上啟用了IDS(入侵檢測(cè)系統(tǒng))，任何對(duì)防火墻的攻擊嘗試或非正常的數(shù)據(jù)流量都將會(huì)在被防火墻阻止的同時(shí)發(fā)出警報(bào)并在Log中留下記錄，以便管理員對(duì)入侵進(jìn)行分析。 最后，對(duì)遠(yuǎn)程VPN用戶需要進(jìn)行的設(shè)計(jì)進(jìn)行了介紹，以方便用戶使用Cisco VPN Client或Windows白帶的VPN撥號(hào)組件通過(guò)安全的I