《小型企业网络安全方案设计.docx》由会员分享,可在线阅读,更多相关《小型企业网络安全方案设计.docx(7页珍藏版)》请在三一办公上搜索。
1、小型企业网络安全方案设计 孙佳妮0533091001目录第1章 设计的简单概述31.1 概况31.2 需求分析31.3 设计原则33.1.1. 实用性和经济性33.1.2. 先进性和成熟性33.1.3. 可靠性和稳定性43.1.4. 安全性和保密性43.1.5. 可扩展性和易维护性4第2章 方案的设计42.1 背景42.2 公司网络架构图52.3 网络设备清单52.4 基本配置6第1章 设计的简单概述1.1 概况台州职信科技有限公司是一家以网络产品销售为主营业务的小型企业,公司网络通过中国电信光纤接入 Internet。 为了适应业务的发展的需要,实现信息的共享,协作和通讯,并和各个部门互连,
2、对该信息网络系统的建设与实施提出了方案。1.2 需求分析1、确保公司电脑能够访问 Internet。2、避免公司网络受到黑客扫描和攻击。3、防止公司网络受到病毒威胁。 4、避免公司网络受到DOS/DDOS 攻击。5、通过端口映射,公司服务器在需要时可以被外部用户访问 。6、利用VPN,使公司的员工出差时能访问内网。1.3 设计原则3.1.1. 实用性和经济性系统建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设企业的网络系统。 3.1.2. 先进性和成熟性系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保
3、证在未来若干年内企业网络仍占领先地位。 3.1.3. 可靠性和稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性。 3.1.4. 安全性和保密性在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施。 3.1.5. 可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,采用可网管产品,降低了人力资源的费用,提高网络的易用性。第2章 方案的设计2.1 背景中国电信给公司分配了
4、1个 C 类公网 IP 地 址 218.71.96.101,公司内部采用 192.168.1.0/24 网段 IP地址。为了保证企业网络的正常运行, 企业拟通过招标的形式确定一家安全服务商,由该安全 服务商负责公司网络的整体安全设计以及后续的网络安全维护。2.2 公司网络架构图图1 公司网络架构图2.3 网络设备清单表 1 台州职信科技有限公司网络设备清单序号设备名称数量安装系统1PC机40WinXP2服务器1Windows Server 20033二层交换机14普通交换机42.4 基本配置enable conf thostname ASA5520enable password ASA5520
5、passwd ciscoconf tinterface ethernet 0/0nameif outsidesecurity-level 0ip address 218.71.96.101 255.255.255.0no shutdownexitinterface ethernet e0/2nameif inside security-level 100ip add 192.168.1.1 255.255.255.0no shutdown exitinterface ethernet 0/1nameif dmzsecurity-level 50ip add 192.168.2.1 2555.2
6、55.255.0no shutdown exitroute outside 0.0.0.0 0.0.0.0 218.71.96.101end show routeconf ttelnet 192.168.1.0 255.255.255.0 insidetelnet timeout 15crypto key generate rsa modulus 1024ssh 192.168.1.0 255.255.255.0 insidessh 0 0 outsidessh timeout 30ssh version 2http server enable 8008http 192.168.1.0 255
7、.255.255.0 insidehttp 0 0 outsidehttp 0 0 insideasdm image disk0:/asdm-615.binusername zhangsan password zhangsan privilege 15access-list 111 extended permit icmp any anyaccess-list 111 permit ip any anyaccess-group 111 in int outsideaccess-group 111 in int insideaccess-group 111 in int dmzaccess-li
8、st testacl deny ip 192.168.1.33 255.255.255.255 anyaccess-list testacl permit ip any anyaccess-group testacl in interface insidenat-control nat (inside) 1 0 0 global (outside) 1 interfaceglobal (dmz) 1 192.168.2.100-192.168.2.110static (dmz,outside) 218.71.96.101 192.168.2.2access-list out_to_dmz permit tcp any host 218.71.96.101 eq 80access-group out_to_dmz in interface outsideendwrite memorycop run start7
