维信广告公司网络构建安全毕业论文

毕业论文

（2011届）

维信广告公司网络构建

学生姓名                 

学    号               

 分    院            

指导教师                       

完成日期                      

维信广告公司网络构建

摘 要 因特网的迅猛发展给众的生活带来了极大的方便的，但同时因特网也面临着空前的威胁。因此，如何使用有效可行的方法使用网络危险降到众可接受的范围之内越来越受到人们的关注。而如何实施防范策略，首先取决于当前系统的安全性。所以对网络安全的各元素——防火墙、VPN等进行风险评估是很有心要的。防火墙技术作为时下比较成熟的一种网络安全技术，其安全性直接关系到用户的切身利益。尽管黑客如此猖獗，但网络安全问题至今仍没有能够引起足够的重视，更多的用户认为网络安全问题离自己尚远，这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑，而所有的问题都在向大家证明一个事实，大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。本论文主要解决了一些公司网络不安全的问题，比如FTP，WEB，电子邮件的访问控制配置，地址转换的配置，公司员工上网流量的控制。

关键词 防火墙   地址转换  访问控制

第一章   安全设备概述

1.1 什么是防火墙

防火墙原意是指阻止火势蔓延的墙避，后来引伸到网络中的意思为阻隔内网和的设备或者是软件。

1.2什么是VPN

虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。

虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的压网络上，一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

1.3为什么要用防火墙

在 Internet上，黑客使用恶意代码尝试查找未受保护的计算机有些攻击仅仅是单纯的恶作剧，而有些攻击则是心怀恶意。

这些更为严重的攻击可能试图从您的计算机删除信息、使系统崩溃或甚至窃取个人信息，如密码或信用卡号。

幸运的是，您可以通过使用防火墙来降低感染的风险。

1.5 防火墙的分类

防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。因此，可以将防火墙分为包过滤防火墙、应用代理（网关）防火墙和状态（检测）防火墙三类。

1.包过滤防火墙

包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。现在的路由器、Switch Router以及某些操作系统已经具有用 Packet Filter控制的能力。由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

包过滤防火墙具有根本的缺陷：

1)不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。

2)不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问的网页（使用HTTP协议），不允许去下载电影（一般使用FTP协议）。包过滤防火墙为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

3)不能处理新的安全威胁。它不能跟踪 TCP状态，所以对TCP层的控制有漏洞。TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他进入一样，难以履行保护内网安全的职责。

2.应用代理防火墙

应用代理防火墙彻底隔断内网与的直接通信，内网用户对的访问变成防火墙对的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。

应用代理防火墙的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

缺点也非常突出，主要有：

1)难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。

2)处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。

总之，应用代理防火墙不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。

在IT领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。

但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10倍。

3.状态检测防火墙

Internet上传输的数据都必须遵循 TCP/IP协议，根据 TCP协议，每个可靠连接的建立需要经过“客户端同步请求“服务器应答”、“客户端再应答”三个阶段，常用到的Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。

1.6如何选择防火墙

防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能：

1.防火墙的设计策略应遵循安全防范的基本原则--"除非明确允许，否则就禁止"。

2.防火墙本身支持安全策略，而不是添加上去的；

3.如果组织机构的安全策略发生改变，可以加入新的服务；

4.有先进的认证手段或有挂钩程序，可以安装先进的认证方法；

5.如果需要，可以运用过滤技术允许和禁止服务；

6.可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务。

防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。

第二章  局域网的需求分析和设计

2.1背景描述

维信传媒有限公司是中国网络品牌策划设计行业的领头公司，曾荣获中国企业形象设计大赛金奖等国内外多项奖项！维信经过多年的洗礼，在激烈的市场竞争中脱颖而出，业绩斐然，已成为全国最具专业的网络策划设计公司。 维信以国际标准严格规范自身，讲求创意的重要性，品牌价值的实效性和运作流程全面规范化。维信实施专家项目负责制，让每一环节达到更专业、更规范的综合服务深度。服务范围包括：品牌创建、品牌更新；品牌CI系统策划、视觉识别VI系统设计、发展战略规划、理念行为系统策划；品牌整合推广、包装系统设计、连锁专卖系统设计、广告创意、企业文化建设、市场策划等。 维信以的国际视野和高水准的专业素质，提供创造性的品牌实效驱动体系，一直致力于塑造高品质的品牌，培育具有国际水准的中国名牌，提升企业竞争力。

2.2安全局域网的需求分析

目前企业局域网的安全威胁主要来自以下几个方面：一是来自网络攻击的威胁，会造成我们的服务器或者工作站瘫痪。二是来自信息窃取的威胁，造成我们的商业机密泄漏，内部服务器被非法访问，破坏传输信息的完整性或者被直接假冒。三是来自公共网络中计算机病毒的威胁，造成服务器或者工作站被计算机病毒感染，而使系统崩溃或陷入瘫痪，甚至造成网络瘫痪。这就需要构建一个全面的企业网络安全防护体系，以确保企业的信息网络和数据安全，避免由于安全事故给企业造成不必要的损失呢。

防火墙作为公司网络实施安全防护的核心，网络管理员可以制定安全策略有选择地允许和拒绝某些网络流量，这些工作都可以由防火墙来完成。具体的需求如下：

1.内隔离，公司内部电脑要通过NAT转换后访问Internet。

2.有效控制各部门的访问权限。

3.屏蔽部分网址，提高员工工作效率。

4.有效控制下载流量，提高网络利用率。

2.3 局域网拓扑图

如图2-1  拓扑结构图

2.4局域网功能图

如图2-2 功能结构图

2.5局域网功能的详细介绍

1.访问控制

经理可以访问，员工不能访问,可以访问内部WEB,服务器但不能访问内部FTP服务器,上班时间各部门可以访问内部FTP服务器,下班时间员工可以访问。

2.地址转换

公司内部访问要转化成公网。

3.MAC地址绑定

绑定一个内部服务器的MAC地址。

4.开放telnet服务

开启一个远程登入服务telnet

5.

第三章  防火墙的详细配置

3.1 IP地址的分配

3.1.1 防火墙物理接口地址配置

1.配置防火墙物理接口地址：eth1、eth2、eth3。

选择网络管理->接口菜单，在“物理接口”页签点击。置图标为eth1口添加 IP 地址。配置eth1口地址，如图 3-1：

图 3-1 eth1 地址

图 3-2 配置完成界面

命令配置:

配置eth1口的IP地址

#network interface eth1 ip add 10.10.10.1 mask 255.255.255.0

配置eth2口的IP地址

#network interface eth1 ip add 172.168.1.1 mask 255.255.255.0

配置eth3口的IP地址

#network interface eth1 ip add 201.10.10.1 mask 255.255.255.0

2.配置内网的IP地址范围：员工IP，经理IP,

员工IP范围1-100,经理IP范围110-130。

选择 资源管理->地址菜单，在“范围”页签点击添加。配置员工地址范围，如图3-3：

图 3-3 员工地址范围

配置经理,配置完成后界面如图 3-4:

图 3-4 地址范围配置结果

配置NAT地址池IP地址，配置完成后界面如图3-5：

如图3-5NAT地址池IP地址

配置命令

配置员工IP地址

#define range add name 员工 ip172.168.1.10 ip172.168.1.100

配置经理IP地址

#define range add name 经理 ip172.168.1.110ip172.168.1.130

配置NAT地址池 IP 地址

#define range add name nat-pool ip1 201.10.10.10 ip 201.10.10.20

3.1.2 各服务器的 IP 地址分配

1.配置个服务器的 IP 地址： web 服务器、 ftp 服务器、电子邮件服务器

选择菜单资源管理->地址，在“主机”页签，点击“添加”。配置web服务器地址如下：

图 3-6 内部 web 服务器地址配置

配置内部ftp服务器、电子邮件服务器如下：

图 3-7 内部FTP 服务器地址配置

图 3-8 内部POP3 服务器地址配置

配置命令:

配置内部web服务器 IP 地址

#define host add name  web 服务器 ipaddr 10.10.10.100

配置ftp服务器 IP 地址

#define host add name  web 服务器 ipaddr 10.10.10.150

配置电子邮件服务器IP 地址

#define host add name 电子邮件服务器 ipaddr 10.10.10.200

3.2地址转换的配置

1.公司内部访问要转化成公网地址。

定义NAT地址转换策略。选择防火墙->地址转换，点击右上角“添加”，进入NAT规则配置界面，选择“源转换”选项设定源地址转换策略。

1) 点击“源”页签，添加NAT规则的源，内部地址资源：内网如图 3-9:

图 3-9 “源”页签配置

2)点击“目的”页签添加NAT规则的目的，区域：如下图3-10:

图 3-10“目的”页签配置

3) 点击“服务”页签 NAT

规则的服务，HTTP和置源地址转换为地址池中地址的转换规则，设置为范围地址资源nat-pool，如下图3-11:

图 3-11 “服务”

配置页签配置->配置 NAT地址转换规则

在地址池中动态选择转换后的IP

#nat policy add srcarea area_eth1 orig_src ‘内网’ ‘’ trans_srcnat-pool enable yes

3.3 访问控制的配置

1.配置时间段

选择 资源管理->时间菜单，在“时间多次”页签设置时间属性。

配置员工上班时间段可以上网，经理全天都可以用上网。

图 3-12 上班时间

配置下班时间段，如下图 3-13

图 3-13 下班时间

配置经理全天时间段，如下图3-14

图3-14“源”页签配置

2.配置访问控制

选择菜单防火墙->访问控制，定义访问控制规则。

1)配置员工上班时间禁止访问。

选择“源”页签，参数设置如下图 3-15:

图 3-15 “源”页签配置

2)选择“目的”页签，参数设置如下图 3-16:

图 3-16 “目的”页签配置

3)选择“服务”页签，参数设置如下图 3-17:

图 3-17 “服务”页签配置

4)选择“选项”页签，参数设置如下图 3-18:

图 3-18 “选项”页签配置

经理上网访问控制规则。

1)“源”页签配置如下图3-19：

图3-19“源”页签配置

2)“目的”页签配置;“服务”页签配置同员工相同。

3)  选择“服务”页签，参数设置如下图 3-20:

图 3-20“服务”页签

配置访问控制2

选择菜单防火墙->访问控制，定义访问控制规则。

1.配置时间段

选择 资源管理->时间菜单，在“时间多次”页签设置时间属性配置员工全天可以访问FTP服务器。如图3-21：

图3-21员工全天可以访问FTP服务器

2.配置员工上班可以访问FTP服务器，不允许下载和上传*.exe,*.zip文件

1)选择内容过滤->过滤策略，点击“fTP策略”页签，点击“添

加”，配置DPI的fTP深度内容过滤策略。参数设置如下图 3-22:

图 3-22“fTP策略

点击“关键字属性“页签，输入名称，关键字。

参数设置如图3-23关键字

参数设置如图3-24关键字

图 3-25 “源”页签配置如下：

图 3-25“源”页签配

2)选择“目的”页签，参数设置如下图 3-26:

 图 3-26“目的”页签配置

3)选择“服务”页签，参数设置如下图 3-27:

图 3-27 “服务”页签配置

4)选择“选项”页签，参数设置如下图 3-28:

图 3-28 “选项”页签配置

设置完成后，ACL 规则界面如下图 3-29:

图 3-29 ACL 规则界面设置完成

3.4流量的带宽设置及HTTP与POP3过滤

1.流量的带宽设置

选择网络管理->流量管理，然后激活“带宽控制”页签

图 3-30 添加接口

1)参数设置如下图 3-31:

图 3-31带宽控制

2)参数设置如下图 3-32:

图 3-32带宽控制

3)参数设置如下图 3-33:

图 3-33带宽控制

图 3-34 宽带控制参数设置完成

2.HTTP网站过滤

选择内容过滤->过滤过象, 然后激活“URL”页签，在URL属性中输入要过滤的网站。

图3-35配置关键字asp

图3-36配置关键字sina

设置好所要过滤的网站后，点击->过滤策略,配置如图所示：

图3-37过虑策略

3.POP3电子邮件过滤

选择内容过滤->过滤策略->然后激活“POP3”页签.

图3-38 POP3策略

设置完成。

3.4开放telnet服务

  选择系统管理->配置->然后激活“开放服务”页签，没加服务

图3-39 开放服务

添加”->“telnet服务”

图3-40 开放服务完成

启动服务完成.

3.5 服务器MAC绑定

选择防火墙->IP/MAC绑定->添加配置->选择要绑定的主机服务器->输入MAC地址

图3-41 WEB服务器MAC绑定

结论

对于贸易企业，使用普通安全软件来抵挡日益猖獗的攻击威胁已

经显得力不从心，选择一款正确且有效的防火墙设备将成为公司防范网络攻击的关键。

局域网构建完成后总结出一些本局域网的优点和缺点。本安全局域网的优点是：通过防火墙的相关配置，使的公司的服务器能够更加安全的运行，使公司的数据信息更加安全，保证了公司的利益，另外通过本局域网能够提高公司员工的工作效率，提高公司的效益。当然，本局域网也有一些不足之出。这些需要根据公司的需要和不断变化的网络环境不断进行更改和完善。

在本局域网的配置过程中我也了解到本人有许多的不足之处，需要在以后不断的学习，掌握更多的专业知识。

致  谢

本论文是在指导       老师的悉心教诲指导下完成的，在整个毕业设计期间，得到了导师的认真指导和帮助，导师的严谨学风和渊博学识使本人受益匪浅，在此表示诚挚的敬意和由衷的感谢。同时要感谢分院领导和老师给我们提供了良好的环境和热心指导。

感谢在百忙中评阅论文和参加答辩的各位领导和老师，由于首次做防火墙设计，错误、漏洞一定不少，望各位老师不吝赐教。

最后感谢工业母校给与本人深造的机会。

参考文献

[1] 陈丽能.毕业综合实践导引.杭州：浙江摄影出版社.2004.

[2] 陈小兵.黑客攻防实战案例解析.北京：电子工业出版社.2008.

[3] 洪学银.中小企业网络构建.北京：清华大学出版社.2008.

[4] 张涛.信息系统安全与漏洞.北京：国防工业出版社2006.

[5] 石志国.计算机网络安全教程.北京：清华大学出版社.2004.

[6] 苏醒.防火墙技术研究.青岛:科技创新导报.2008.

[7] 郑树申.浅谈网络安全的防火墙技术.科技创新导报 2008.

[8] 马春光.防火墙、入侵检测与VPN.北京:北京邮电学院出版

社.2008.

[9] 吕丽娟.防火墙技术及其应用分析.河北:计算机安全2007.

[10]（美）卢卡斯等编著.谢琳等译.防火墙策略与VPN配置.杭州:水利水电出版社.2008.