如何在有限的条件下实现信息网络安全__墨水学术,论文发表,发表论(2)

分类：计算机网络论文范文 时间：关注：(1)

RP系统升级到最新版本，再充分挖掘现有设备的功能，尽可能实现企业要求。
　　考虑节省资金的情况下，采用第二种方案进行网络规划，确定采用以下方案进行网络规划。
　　⑴、交换机产品支持VLAN功能，所以可以把内部根据各个部门的不同划分不同的VLAN，基本是按照一个部门划分一个VLAN，把服务器单另划成一个VLAN，这样，整个网络规划成为7个VLAN；
　　⑵、路由器产品支持NAT功能，所以可以通过地址转换满足内部网络上网的需求，同时通过端口映射功能实现对外的网络服务功能；
　　⑶、为了实现内部网络控制要求，可以在路由器上实现IP地址与MAC地址的绑定，从而达到内部网络控制的要求；
　　⑷、另外利用路由器的访问列表功能，设计一些访问策略，从而实现内部网络的控制要求；
　　⑸、再配置一些安全方面的访问控制策略，从而保证内部网络和相关设备的安全。
　　四、实际配置
　　1、虚拟子网的配置：在本案例中，华为路由器只有两个网络接口，一个接内网，一个接外网，没有多余的接口连接各个虚拟子网，对于内部的虚拟子网，考虑用虚拟子接口进行连接，保证各个虚拟子网的正常连接，在具体的配置方面为：
　　interfaceEthernet0
　　tcpmss2048
　　
　　interfaceEthernet0.1
　　descriptionThisisxitongjichenbuworkgrouparea;
　　vlan-typedot1qvid2046
　　tcpmss2048
　　ipaddress192.168.1.254255.255.255.0
　　
　　………………
　　interfaceEthernet0.7
　　vlan-typedot1qvid2040
　　ipaddress192.168.7.254255.255.255.0
　　2、对于内部网络访问互联网及向互联网用户提供服务的功能的实现，具体配置为：
　　interfaceEthernet1
　　duplexfull
　　tcpmss2048
　　ipaddress222.82.2X.XXX255.255.255.252
　　undoipfast-forwarding
　　natoutbound2000interface
　　natserverglobal222.82.2X.XXXsmtpinside192.168.6.49smtptcp
　　natserverglobal222.82.2X.XXXpop3inside192.168.6.49pop3tcp
　　natserverglobal222.82.2X.XXXwwwinside192.168.6.49wwwtcp
　　natserverglobal222.82.2X.XXX2021inside192.168.1.1102021tcp
　　natserverglobal222.82.2X.XXX1030inside192.168.1.1101030tcp
　　………………
　　natserverglobal222.82.2X.XXX1047inside192.168.1.1101047tcp
　　通过以上配置，可以实现内部两台服务器对外的WEB服务、邮件服务和文件下载服务，在实现文件下载服务的配置中，由于该款华为路由器的硬件及软件版本问题，它不支持文件服务器的主动模式，所以需要通过加端口的被动模式让外部网络能够访问文件服务器。
　　在WEB服务、邮件服务的实现过程中都是使用标准端口进行访问，主要是此类服务的访问量不大并且可以控制，不会对服务器及通讯线路产生较大的影响，但是对于文件下载服务器来说，如果采用标准服务，外部的随意访问量，会让服务器忙于应付外部下载访问，趋于瘫痪状态，而不能对公司人员提供较好服务，所以在文件下载服务方面采用了非标准服务模式，即利用服务器端口进行文件下载服务，同时加上用户名及密码控制，有效地减少外部的其它访问，从而保证了下载服务器为公司人员有效服务的目的。
　　3、在对内控制功能，主要是利用路由器本身提供的IP地址与MAC地址绑定功能和访问列表功能来实现，由于在内部网络，内部IP地址是放开的，所以可能导致IP地址绑定失效，所以首先需要做的一个工作就是对于内部IP地址进行有效规划，将内部IP地址分配给各个部门，在保证各个部门使用的同时也利于管理。对于内部IP地址控制主要实现方法就是先把所有内部IP地址全部禁止，然后再按照地址规划进行选通，从而可以有效控制IP地址使用，同时也保证了IP地址绑定功能的实现。
　　IP

• 共3页:
• 上一页
• 1
• 2
• 3
• 下一页