午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、防火墻網(wǎng)絡(luò)架構(gòu)改造方案二一二年十月二十九日目錄一、概述21. 背景22. 建網(wǎng)狀況說明23. 老架構(gòu)存在的問題44. 升級改造網(wǎng)絡(luò)要達到以下幾點要求：4二、網(wǎng)絡(luò)設(shè)計41.網(wǎng)絡(luò)拓撲設(shè)計42.設(shè)計策略6三、網(wǎng)絡(luò)安全設(shè)計8四、配置舉例9五、總結(jié)101安全性102可靠性113不足缺陷和改進方法114升級后需要解決的問題11附錄：12一、概述1. 背景健威家具公司建網(wǎng)時間較早，限于公司規(guī)模與當時的條件，組網(wǎng)方式為簡樸的工作組網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)為星型結(jié)構(gòu)，廠區(qū)建筑物間采用光纖相連，室內(nèi)采用超五類雙絞線。做到千兆為主干，百兆到桌面這樣的網(wǎng)絡(luò)架構(gòu)。為滿足業(yè)務(wù)人員的需要，采用電信光纖接入互聯(lián)網(wǎng)。配有域管理，防火墻，代2、理服務(wù)器等安全保障。2. 建網(wǎng)狀況說明n 網(wǎng)絡(luò)現(xiàn)狀拓撲：（拓撲圖）設(shè)備ID設(shè)備名稱用途說明R2Fortigate-400飛塔防火墻防火墻兼做路由功能S1Catalyst-2960G思科二層互換機普通二層互換機S2Srw-2024G思科二層互換機普通二層互換機Serv1ERP、OA、Mailserver重要服務(wù)系統(tǒng)對外服務(wù)服務(wù)器Serv2FAX、FTPserver員工服務(wù)應(yīng)用服務(wù)器對內(nèi)服務(wù)服務(wù)器代理服務(wù)器2023server代理上網(wǎng)服務(wù)器控制出口流量域服務(wù)器2023server域管理網(wǎng)關(guān)管理內(nèi)網(wǎng)用戶及DNS指向采用同一網(wǎng)段工作組，隨著廠區(qū)人數(shù)增多，掩碼更改為255.255.252.0 ，工作網(wǎng)內(nèi)3、可容納1000個有效IP。出口控制和路由依靠防火墻實現(xiàn)。分廠區(qū)沙發(fā)廠有光纖專線連接到總廠區(qū)訪問平常辦公應(yīng)用服務(wù)，有單獨的互聯(lián)網(wǎng)接入口。n 用戶數(shù)據(jù)流向圖：（初流向圖）如上圖看出，用戶數(shù)據(jù)要訪問內(nèi)部服務(wù)應(yīng)用、訪問互聯(lián)網(wǎng)等必須流經(jīng)防火墻，隨著業(yè)務(wù)需求不斷增多，用戶數(shù)不斷增多，防火墻常駐內(nèi)存、 CPU使用率均達60%以上。防火墻已服役6年，病毒庫過期未更新。3. 老架構(gòu)存在的問題在當時，上述架構(gòu)是中小型公司網(wǎng)絡(luò)的主流架構(gòu)，可以滿足公司業(yè)務(wù)需要。但隨著廠區(qū)規(guī)模不斷擴展，信息化不斷提高，本來的網(wǎng)絡(luò)架構(gòu)已經(jīng)盡顯疲態(tài)，具體表現(xiàn)在下面幾個方面：1） 采用工作組的組網(wǎng)方式，網(wǎng)絡(luò)結(jié)構(gòu)簡樸，為二層網(wǎng)絡(luò)架構(gòu)，且網(wǎng)絡(luò)設(shè)4、備老化，功能單一，無法實現(xiàn)高級管理功能。2） 因建網(wǎng)初期客戶端較少，因此采用單一網(wǎng)段，隨著客戶端數(shù)量的增長，以及業(yè)務(wù)需要的不斷提高，出于一些保密性和安全性需要，必須要劃分vlan。盡管已啟動域管理和代理服務(wù)器保障局域網(wǎng)安全，但是由于功能性和網(wǎng)絡(luò)性能問題，始終出現(xiàn)網(wǎng)絡(luò)病毒傳播。4. 升級改造網(wǎng)絡(luò)要達成以下幾點規(guī)定：1） 提高網(wǎng)絡(luò)性能，并支持擴展升級，為日后公司擴展做好準備。2） 加固網(wǎng)絡(luò)安全，在不影響客戶終端配置的情況下，對骨干網(wǎng)絡(luò)進行整改，提高數(shù)據(jù)安全性。3） 控制成本，實用性要好，對現(xiàn)有網(wǎng)絡(luò)架構(gòu)能充足分派運用。二、網(wǎng)絡(luò)設(shè)計1. 網(wǎng)絡(luò)拓撲設(shè)計n 拓撲圖n 設(shè)備命名規(guī)則設(shè)備名放置位置設(shè)備型號說明5、R1出口路由器（帶DMZ功能Fortigate防火墻）外部防火墻R2內(nèi)部轉(zhuǎn)發(fā)路由器Fortigate-400內(nèi)部防火墻S1辦公樓匯聚層Catalyst-2960G二層管理互換機S2研發(fā)樓匯聚層Srw-2024G二層管理互換機Serv1DMZ非軍事區(qū)ERP、OA、Mailserver對外服務(wù)重要服務(wù)Serv2研發(fā)樓匯聚層FAX、FTPserver內(nèi)部應(yīng)用服務(wù)器域服務(wù)器R22023server控制出口流量代理服務(wù)器R22023server管理內(nèi)網(wǎng)用戶及DNS指向2. 設(shè)計策略n 劃分vlan提高網(wǎng)絡(luò)的管用性。現(xiàn)有設(shè)備分析： 骨干網(wǎng)絡(luò)上S1：思科catalyst 2960G、S2:思科srw 2026、4G 都是帶管理功能的2層互換機，帶有vlan劃分功能。出口控制防火墻：Fortint 400 支持vlan路由轉(zhuǎn)發(fā)。 (vlan分析圖)二層互換機劃分不同VLAN之間必須通過路由功能才干實現(xiàn)通訊，假如VLAN的數(shù)量不斷增長，流經(jīng)路由與互換機之間鏈路的流量也變得非常大，此時，這條鏈路也就成為了整個網(wǎng)絡(luò)的瓶頸。由于采用飛塔防火墻作路由功能，盡量只劃分有必要的VLAN，即只對服務(wù)器和客戶端用戶進行VLAN劃分。解決辦法是使用三層互換機代替飛塔放火墻，三層互換技術(shù)在第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)，從而解決了傳統(tǒng)路由低速、負荷局限性所導致的網(wǎng)絡(luò)瓶頸問題。但由于三層互換機設(shè)備昂貴，本次改造方案暫不予考慮。7、n 劃分DMZ保障關(guān)鍵服務(wù)系統(tǒng)的安全。使用防火墻為關(guān)鍵服務(wù)器提供隔離區(qū)，整個網(wǎng)絡(luò)區(qū)分為三個部分 WAN、LAN、DMZ，并擬定其訪問策略：1.內(nèi)網(wǎng)可以訪問外網(wǎng)2.內(nèi)網(wǎng)可以訪問DMZ3.外網(wǎng)不能訪問內(nèi)網(wǎng)4.外網(wǎng)可以訪問DMZ5.DMZ不能訪問內(nèi)網(wǎng)6.DMZ不能訪問外網(wǎng)（郵件服務(wù)器除外）在網(wǎng)絡(luò)中，非軍事區(qū)（DMZ）是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段，其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問服務(wù)的網(wǎng)絡(luò)分開，阻止內(nèi)網(wǎng)和外網(wǎng)直接通信，以保證內(nèi)網(wǎng)安全。n 改造后用戶數(shù)據(jù)流向圖：改造后如上圖：R2防火墻重要負責Serv2、域服務(wù)器、代理服務(wù)器的防護機制，通過防病毒過濾及訪問策略控制對內(nèi)部關(guān)鍵應(yīng)用服務(wù)器進行保護8、。劃分vlan后，因vlan隔離廣播，能有效克制網(wǎng)絡(luò)病毒相應(yīng)用服務(wù)器的感染。R1防火墻重要負責Serv1、互聯(lián)網(wǎng)出口、沙發(fā)廠員工vpn接入的防護機制。購置帶DMZ的Fortigate防火墻可提供最新的病毒庫，能與R2病毒庫兼容一并升級。改造后整個網(wǎng)絡(luò)的安全體系升級，但網(wǎng)絡(luò)性能瓶頸仍然在R2防火墻上，解決辦法是使用三層互換機代替R2放火墻。n IP地址分派方案設(shè)備名IP接口接口說明R1F0/1VpnF0/2專線F0/3DMZF0/4TrunkR2F0/1TurnkF0/2代理、域服務(wù)器接口F0/3研發(fā)樓F0/4辦公樓S1Vlan 1（互換機默認所有接口）各終端Trunk (F0/)連接R2接口S9、2Vlan 1（互換機默認所有接口）各終端Trunk (F0/)連接R2接口Vlan 2 (F0/)S2互換機下的內(nèi)部服務(wù)器Serv2n 路由規(guī)劃設(shè)備名路由網(wǎng)關(guān)說明R1Vpn出口DMZTrunkR2Turnk代理、域服務(wù)器接口研發(fā)樓辦公樓S1各終端連接R2接口S2各終端連接R2接口S2互換機下的內(nèi)部服務(wù)器Serv2三、網(wǎng)絡(luò)安全設(shè)計n 出口控制規(guī)劃表(防火墻)：序號源地址目的地址時間表服務(wù)保護內(nèi)容表動作port1 - port2 (7) 1IntallalwaysANYENCRYPT 2MailserverKWRPSVR0608allalwaysANYACCEPT 3四、配置舉例n S2互換機配10、置：S2#vlan databaseS2#vlan 2S2#ip address S2#exitS2#config terminalS2#int range f0/1 -5S2#switchport mode accessS2#switchport access vlan 2S2#endS2#interface vlan 1S2#ip address S2#exitS2#ip default-gateway S2#int f0/24 (設(shè)立turnk口)S2#switchport mode trunkS2#switchport trunk allowed vlan 1,2S2#switchpo11、rt trunk encap dot1q （vlan中繼）S2#exitS2#enable secret xxx（設(shè)立特權(quán)加密口為xxx）S2#enable password xxx （設(shè)立特權(quán)非加密口為xxx）S2#line vty 0 4S2#loginS2#password xxS2#exitS2#exitS2#writen 防火墻vlan配置：n R1防火墻DMZ配置:進入防火墻-虛擬IP 新建一個虛擬IP項目五、總結(jié)1安全性通過以上網(wǎng)絡(luò)改造后，網(wǎng)絡(luò)架構(gòu)從單一組網(wǎng)，轉(zhuǎn)換成互換式網(wǎng)絡(luò)。防火墻R2過濾了 過往Serv2文獻傳輸所導致的病毒傳播。創(chuàng)建VLAN后，隔離了不同VLAN間的邏輯廣播12、域，縮小了廣播范圍，可以阻止廣播風暴的產(chǎn)生。整個網(wǎng)絡(luò)的安全性能方面有了較大的提高。2可靠性兩臺飛塔防火墻互為通用設(shè)備，任意一臺發(fā)生故障時，另一臺可以在極短時間內(nèi)還原升級前配置，恢復(fù)以前的網(wǎng)絡(luò)架構(gòu)，為關(guān)鍵服務(wù)提高可靠的劫難應(yīng)對方法。3局限性缺陷和改善方法在匯聚層上，僅依靠R2做路由轉(zhuǎn)發(fā)功能，導致辦公樓與研發(fā)樓間的數(shù)據(jù)交互受R2性能影響，傳輸速度有所影響。為了以后能更高效，更可靠的拓展公司業(yè)務(wù)，建議把老舊的R2防火墻換成思科三層互換機，其高效的數(shù)據(jù)互換足以滿足公司網(wǎng)絡(luò)匯聚層以后的發(fā)展規(guī)定。4升級后需要解決的問題 由于劃分VLAN后，限制了廣播功能，部分需要廣播的應(yīng)用服務(wù)器應(yīng)與客戶端處在同一VLAN下，新部署的ip-guard服務(wù)需要通過廣播功能搜索在線客戶端，所以應(yīng)把其部署在VLAN 1，否則無法使用其廣播功能。附錄：n 原出口控制表：序號源地址目的地址時間表服務(wù)保護內(nèi)容表動作port1 - port2 (7) 1IntallalwaysANYENCRYPT 2MailserverKWRPSVR0608allalwaysANYACCEPT 3