小型企业网络安全方案设计.docx

小型企业网络安全方案设计 孙佳妮0533091001 目录 第1章 设计的简单概述 3 1.1 概况 3 1.2 需求分析 3 1.3 设计原则 3 3.1.1. 实用性和经济性 3 3.1.2. 先进性和成熟性 3 3.1.3. 可靠性和稳定性 4 3.1.4. 安全性和保密性 4 3.1.5. 可扩展性和易维护性 4 第2章 方案的设计 4 2.1 背景 4 2.2 公司网络架构图 5 2.3 网络设备清单 5 2.4 基本配置 6 第1章 设计的简单概述 1.1 概况 台州职信科技有限公司是一家以网络产品销售为主营业务的小型企业，公司网络通过中国电信光纤接入 Internet。 为了适应业务的发展的需要，实现信息的共享，协作和通讯，并和各个部门互连，对该信息网络系统的建设与实施提出了方案。 1.2 需求分析 1、确保公司电脑能够访问 Internet。 2、避免公司网络受到黑客扫描和攻击。 3、防止公司网络受到病毒威胁。 4、避免公司网络受到DOS/DDOS 攻击。 5、通过端口映射，公司服务器在需要时可以被外部用户访问 。 6、利用VPN,使公司的员工出差时能访问内网。 1.3 设计原则 3.1.1. 实用性和经济性 系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设企业的网络系统。 3.1.2. 先进性和成熟性 系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内企业网络仍占领先地位。 3.1.3. 可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。 3.1.4. 安全性和保密性 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施。 3.1.5. 可扩展性和易维护性 为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。 第2章 方案的设计 2.1 背景 中国电信给公司分配了 1个 C 类公网 IP 地 址 218.71.96.101，公司内部采用 192.168.1.0/24 网段 IP地址。为了保证企业网络的正常运行， 企业拟通过招标的形式确定一家安全服务商，由该安全 服务商负责公司网络的整体安全设计以及后续的网络安全维护。 2.2 公司网络架构图 图1 公司网络架构图 2.3 网络设备清单 表 1 台州职信科技有限公司网络设备清单 序号 设备名称 数量 安装系统 1 PC机 40 WinXP 2 服务器 1 Windows Server 2003 3 二层交换机 1 4 普通交换机 4 2.4 基本配置 enable conf t hostname ASA5520 enable password ASA5520 passwd cisco conf t interface ethernet 0/0 nameif outside security-level 0 ip address 218.71.96.101 255.255.255.0 no shutdown exit interface ethernet e0/2 nameif inside security-level 100 ip add 192.168.1.1 255.255.255.0 no shutdown exit interface ethernet 0/1 nameif dmz security-level 50 ip add 192.168.2.1 2555.255.255.0 no shutdown exit route outside 0.0.0.0 0.0.0.0 218.71.96.101 end show route conf t telnet 192.168.1.0 255.255.255.0 inside telnet timeout 15 crypto key generate rsa modulus 1024 ssh 192.168.1.0 255.255.255.0 inside ssh 0 0 outside ssh timeout 30 ssh version 2 http server enable 8008 http 192.168.1.0 255.255.255.0 inside http 0 0 outside http 0 0 inside asdm image disk0:/asdm-615.bin username zhangsan password zhangsan privilege 15 access-list 111 extended permit icmp any any access-list 111 permit ip any any access-group 111 in int outside access-group 111 in int inside access-group 111 in int dmz access-list testacl deny ip 192.168.1.33 255.255.255.255 any access-list testacl permit ip any any access-group testacl in interface inside nat-control nat (inside) 1 0 0 global (outside) 1 interface global (dmz) 1 192.168.2.100-192.168.2.110 static (dmz,outside) 218.71.96.101 192.168.2.2 access-list out_to_dmz permit tcp any host 218.71.96.101 eq 80 access-group out_to_dmz in interface outside end write memory cop run start