企业网络安全策略综合设计与实现

天津曲艺团

已于 2023-03-14 09:38:46 修改

阅读量3.9k

点赞数 5

分类专栏：课程学习网络安全文章标签：网络安全网络协议

于 2021-07-21 14:51:44 首次发布

本文链接：https://blog.csdn.net/weixin_44787832/article/details/118965973

版权

网络安全同时被 2 个专栏收录

13 篇文章 2 订阅

订阅专栏

课程学习

1 篇文章 0 订阅

订阅专栏

概述：典型的分为内网，DMZ，外网网段的企业网络结构

系统实现功能：VLAN的内网分割与保护；NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网

之间的区域访问;VPN实现企业异地内网之间穿透公网的互联。

背景：内部网络客户主机和服务器，它们是企业网络要积极保护的对象，它们有权访问 DMZ 区各服务器，也可以访问外网（Internet）。其中，现代的趋势是把内网中的重要共享性资源——服务器（如图中的内网 Web 服务器和 FTP 服务器）集中于一个区域（server farm）,便于更高层次的安全管理和机房建设，同时这些资源都只对内网用户开放，从外网是无法访问的。

DMZ 区的 Web 和 Email 服务器。DMZ 是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。网络安全中首先定义的区域是 trust 区域和 untrust 区域，简单说就是一个是内网（trust），是安全可信任的区域；一个是 untrust，是不安全不可信的区域。防火墙默认情况下是阻止对 trust 的访问，当有服务器在 trust 区域的时候，一旦出现需要对外提供服务的时候就比较麻烦。所以定义出一个 DMZ 的非军事区域，让 trust 和 untrust 都可以访问的一个区域，即不是绝对的安全，也不是绝对的不安全，这就是设计 DMZ 区域的核心思想。 DMZ 区是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业同时对内、外服务的 Web 服务器、Email 服务器和论坛等。

外网（Internet）资源，包括外网 Web 服务器和 Email 服务器。对于企业内网用户而言，外网区域的用户和资源是属于 untrust 区的。

防火墙——外网（Internet）、内网和 DMZ 区主机连接的唯一通道，防火墙规则几乎决定了企业网络的一切访问权，比如，外网对内网访问的限制是由防火墙来实现的。

环境：Windows 10

工具：Cisco Packet Tracer 8.0.0.0212

配置命令：

(1)在二层交换机AS-1上配置主机名、VLAN、Trunk、管理IP地址以及网关

Switch>en

Switch#config t

Switch(config)#hostname AS-1

AS-1(config)#vlan 10

AS-1(config-vlan)#name Teacher

AS-1(config-vlan)#vlan 20

AS-1(config-vlan)#name Student

AS-1(config-vlan)#vlan 99

AS-1(config-vlan)#name Admin

AS-1(config-vlan)#interface range F 0/1-12

AS-1(config-if-range)#switchport mode access

AS-1(config-if-range)#switchport access vlan 10

AS-1(config-if-range)#interface range F 0/13-24

AS-1(config-if-range)#switchport mode access

AS-1(config-if-range)#switchport access vlan 20

AS-1(config-if-range)#interface G 0/1

AS-1(config-if)#switchport mode trunk

AS-1(config-if)#switchport trunk allowed vlan 10,20,99

AS-1(config-if)#exit

AS-1(config)#interface vlan 99

AS-1(config-if)#ip address 10.0.12.1 255.255.255.0

AS-1(config-if)#no shutdown

AS-1(config-if)#exit

AS-1(config)#ip default-gateway 10.0.12.254

(2)在二层交换机AS-2上配置主机名、VLAN、Trunk、管理IP地址以及网关

Switch>enable

Switch#config t

Switch(config)#hostname AS-2

AS-2(config)#vlan 30

AS-2(config-vlan)#name Staff

AS-2(config-vlan)#vlan 40

AS-2(config-vlan)#name Worker

AS-2(config-vlan)#vlan 99

AS-2(config-vlan)#name Admin

AS-2(config-vlan)#interface range F 0/1-12

AS-2(config-if-range)#switchport mode access

AS-2(config-if-range)#switchport access vlan 30

AS-2(config-if-range)#interface range F 0/13-24

AS-2(config-if-range)#switchport mode access

AS-2(config-if-range)#switchport access vlan 40

AS-2(config-if-range)#interface G 0/1

AS-2(config-if)#switchport mode trunk

AS-2(config-if)#switchport trunk allowed vlan 30,40,99

AS-2(config-if)#exit

AS-2(config)#interface vlan 99

AS-2(config-if)#ip address 10.0.12.2 255.255.255.0

AS-2(config-if)#no shutdown

AS-2(config-if)#exit

AS-2(config)#ip default-gateway 10.0.12.254

(3)在三层交换机DS1上配置主机名、IP地址、VLAN以及trunk

Switch>en

Switch#config t

Switch(config)#hostname DS1

DS1(config)#interface G 1/0/1

DS1(config-if)#switchport trunk encapsulation dot1q

DS1(config-if)#switchport mode trunk

DS1(config-if)#switchport trunk allowed vlan all

DS1(config-if)#interface G 1/0/2

DS1(config-if)#switchport trunk encapsulation dot1q

DS1(config-if)#switchport mode trunk

DS1(config-if)#switchport trunk allowed vlan all

DS1(config-if)#vlan 10

DS1(config-vlan)#name Teacher

DS1(config-vlan)#vlan 20

DS1(config-vlan)#name Student

DS1(config-vlan)#vlan 30

DS1(config-vlan)#name Staff

DS1(config-vlan)#vlan 40

DS1(config-vlan)#name Worker

DS1(config-vlan)#vlan 99

DS1(config-vlan)#name Admin

DS1(config-vlan)#vlan 100

DS1(config-vlan)#name Server

DS1(config-vlan)#interface range G 1/0/4-6

DS1(config-if-range)#switchport mode access

DS1(config-if-range)#switchport access vlan 100

DS1(config-if)#exit

DS1(config)#interface G 1/0/3

DS1(config-if)#no switchport

DS1(config-if)#ip address 10.0.100.2 255.255.255.252

(4)学校边界路由器R-Edge的IP地址配置

Router>en

Router#config t

Router(config)#hostname R-Edge

R-Edge(config)#interface G 0/0

R-Edge(config-if)#ip address 10.0.100.1 255.255.255.252

R-Edge(config-if)#no shutdown

R-Edge(config-if)#interface G 0/0/0

R-Edge(config-if)#ip address 218.12.10.1 255.255.255.252

R-Edge(config-if)#no shutdown

(5)公司交换机VLAN基础配置和IP地址配置

Switch>en

Switch#config t

Switch(config)#hostname AS2-1

AS2-1(config)#vlan 5

AS2-1(config-vlan)#name BM1

AS2-1(config-vlan)#vlan 6

AS2-1(config-vlan)#name BM2

AS2-1(config-vlan)#vlan 99

AS2-1(config-vlan)#name Admin

AS2-1(config-vlan)#interface range F 0/1-12

AS2-1(config-if-range)#switchport mode access

AS2-1(config-if-range)#switch access vlan 5

AS2-1(config-if-range)#interface range F 0/13-24

AS2-1(config-if-range)#switchport mode access

AS2-1(config-if-range)#switch access vlan 6

AS2-1(config-if-range)#interface vlan 99

AS2-1(config-if)#ip address 10.8.0.100 255.255.255.0

AS2-1(config-if)#no shutdown

AS2-1(config-if)#exit

AS2-1(config)#ip default-gateway 10.8.0.254

(6)公司边界路由器IP地址配置

Router>en

Router#config t

Router(config)#hostname QD-Router

QD-Router(config)#interface G 0/0/0

QD-Router(config-if)#ip address 218.12.11.2 255.255.255.252

QD-Router(config-if)#no shutdown

(7)运营商路由器IP地址配置

Router>en

Router#config t

Router(config)#hostname ISP

ISP(config)#interface G 0/0/0

ISP(config-if)#ip address 218.12.10.2 255.255.255.252

ISP(config-if)#no shutdown

ISP(config-if)#interface G 0/1/0

ISP(config-if)#ip address 217.9.5.1 255.255.255.252

ISP(config-if)#no shutdown

ISP(config-if)#interface G 0/2/0

ISP(config-if)#ip address 218.12.11.1 255.255.255.252

ISP(config-if)#no shutdown

(8)运营商交换机IP地址配置

Switch>en

Switch#config t

Switch(config)#hostname DS2

DS2(config)#ip routing

DS2(config)#interface G 1/1/1

DS2(config-if)#no switchport

DS2(config-if)#ip address 217.9.5.2 255.255.255.252

DS2(config-if)#interface G 1/1/2

DS2(config-if)#no switchport

DS2(config-if)#ip address 222.138.4.254 255.255.255.252

DS2(config-if)#interface G 1/1/3

DS2(config-if)#no switchport

DS2(config-if)#ip address 200.200.200.254 255.255.255.252

(9)在三层交换机DS1上配置SVI的IP地址

DS1(config)#ip routing

DS1(config)#interface vlan 10

DS1(config-if)#ip address 10.1.10.254 255.255.255.0

DS1(config-if)#interface vlan 20

DS1(config-if)#ip address 10.1.20.254 255.255.255.0

DS1(config-if)#interface vlan 30

DS1(config-if)#ip address 10.1.30.254 255.255.255.0

DS1(config-if)#interface vlan 40

DS1(config-if)#ip address 10.1.40.254 255.255.255.0

DS1(config-if)#interface vlan 99

DS1(config-if)#ip address 10.1.12.254 255.255.255.0

DS1(config-if)#interface vlan 100

DS1(config-if)#ip address 10.1.100.254 255.255.255.0

(10)在路由器QD-Router上配置DHCP服务

QD-Router(config)#ip dhcp pool BM1

QD-Router(dhcp-config)#network 10.8.5.0 255.255.255.0

QD-Router(dhcp-config)#default-router 10.8.5.254

QD-Router(dhcp-config)#ip dhcp pool BM2

QD-Router(dhcp-config)#network 10.8.6.0 255.255.255.0

QD-Router(dhcp-config)#default-router 10.8.6.254

QD-Router(dhcp-config)#exit

QD-Router(config)#ip dhcp excluded-address 10.8.5.254

QD-Router(config)#ip dhcp excluded-address 10.8.6.254

(11)在三层交换机DS1上配置DHCP中继

DS1(config-if)#interface vlan 10

DS1(config-if)#ip helper-address 10.3.100.6

DS1(config-if)#interface vlan 20

DS1(config-if)#ip helper-address 10.3.100.6

DS1(config-if)#interface vlan 30

DS1(config-if)#ip helper-address 10.3.100.6

DS1(config-if)#interface vlan 40

DS1(config-if)#ip helper-address 10.3.100.6

(12)在二层交换机AS2-1上配置Trunk

AS2-1(config)#interface g 0/1

AS2-1(config-if)#switchport mode trunk

AS2-1(config-if)#switchport trunk allowed vlan 5,6,99

(13)在路由器QD-Router上配置单臂路由

QD-Router(config)#interface g 0/0

QD-Router(config-if)#no shutdown

QD-Router(config-if)#interface g 0/0.5

QD-Router(config-subif)#encapsulation dot1q 5

QD-Router(config-subif)#ip address 10.8.5.254 255.255.255.0

QD-Router(config-subif)#interface g 0/0.6

QD-Router(config-subif)#encapsulation dot1q 6

QD-Router(config-subif)#ip address 10.8.6.254 255.255.255.0

QD-Router(config-subif)#interface g 0/0.99

QD-Router(config-subif)#encapsulation dot1q 99

QD-Router(config-subif)#ip address 10.8.0.254 255.255.255.0

(14)在三层交换机DS1上配置动态路由协议RIPv2

DS1(config)#router rip

DS1(config-router)#version 2

DS1(config-router)#no auto-summary

DS1(config-router)#network 10.0.0.0

(15)在路由器R-Edge上配置动态路由协议RIPv2

R-Edge(config)#router rip

R-Edge(config-router)#version 2

R-Edge(config-router)#no auto-summary

R-Edge(config-router)#network 10.0.0.0

(16)在路由器R-Edge上配置静态默认路由并传播

R-Edge(config)#ip route 0.0.0.0 0.0.0.0 218.12.10.2

R-Edge(config)#router rip

R-Edge(config-router)#default-information originate

(17) 在路由器QD-Router上配置静态默认路由及NAT功能

QD-Router(config)#ip route 0.0.0.0 0.0.0.0 218.12.11.1

QD-Router(config)#access-list 1 permit 10.8.0.0 0.0.255.255

QD-Router(config)#ip nat inside source list 1 interface G 0/0/0 overload

QD-Router(config-if)#interface G0/0/0

QD-Router(config-if)#ip nat outside

QD-Router(config-if)#interface G0/0.5

QD-Router(config-subif)#ip nat inside

QD-Router(config-subif)#interface G0/0.6

QD-Router(config-subif)#ip nat inside

QD-Router(config-subif)#interface G0/0.99

QD-Router(config-subif)#ip nat inside

(18)在路由器R-Edge上配置NAT功能

R-Edge(config)#access-list 1 permit 10.0.0.0 0.3.255.255

R-Edge(config)#ip nat inside source list 1 interface G0/0/0 overload

R-Edge(config)#interface G0/0/0

R-Edge(config-if)#ip nat outside

R-Edge(config-if)#interface G0/0

R-Edge(config-if)#ip nat inside

(19)在路由器R-Edge上配置端口映射

R-Edge(config)#ip nat inside source static tcp 10.3.100.4 80 218.12.10.1 80

R-Edge(config)#ip nat inside source static udp 10.3.100.6 69 218.12.10.1 69

R-Edge(config)#ip nat inside source static tcp 10.3.100.2 22 218.12.10.1 22

(20)在三层交换机DS2上配置静态默认路由

DS2(config)#ip route 0.0.0.0 0.0.0.0 217.9.5.1

(21)在路由器ISP上配置静态路由

ISP(config)#ip route 200.200.200.0 255.255.255.0 217.9.5.2

ISP(config)#ip route 222.138.4.0 255.255.255.0 217.9.5.2

(22)在路由器R-Edge上配置GER VPN

R-Edge(config)#interface Tunnel 1

R-Edge(config-if)#ip address 192.168.12.1 255.255.255.252

R-Edge(config-if)#tunnel mode gre ip

R-Edge(config-if)#tunnel source G0/0/0

R-Edge(config-if)#tunnel destination 218.12.11.2

R-Edge(config-if)#exit

R-Edge(config)#ip route 10.8.0.0 255.255.248.0 192.168.12.2

(23)在路由器QD-Router上配置GER VPN

QD-Router(config)#interface Tunnel 1

QD-Router(config-if)#ip address 192.168.12.2 255.255.255.252

QD-Router(config-if)#tunnel mode gre ip

QD-Router(config-if)#tunnel source G0/0/0

QD-Router(config-if)#tunnel destination 218.12.10.1

QD-Router(config-if)#exit

QD-Router(config)#ip route 10.0.0.0 255.252.0.0 192.168.12.1

完成以上配置可实现：

企业异地内网之间穿透公网的互联

内网访问外网，内网访问DMZ

外网不能访问内网，外网可以访问DMZ

注：图中删除了vlan30 vlan40等，根据自己需要配置vlan时根据自己需要进行配置

更详细可参考《Packet Tracer经典案例之路由交换综合篇》

天津曲艺团

关注

5
点赞
踩
34

收藏

觉得还不错? 一键收藏
2
评论
企业网络安全策略综合设计与实现

概述：典型的分为内网，DMZ，外网网段的企业网络结构系统实现功能：VLAN的内网分割与保护；NAT的内网结构隐藏;DMZ区对外可见;内网,DMZ,外网之间的区域访问;VPN实现企业异地内网之间穿透公网的互联。背景：内部网络客户主机和服务器，它们是企业网络要积极保护的对象，它们有权访问 DMZ 区各服务器，也可以访问外网（Internet）。其中，现代的趋势是把内网中的重要共享性资源——服务器（如图中的内网 Web 服务器和 FTP 服务器）集中于一个区域（server farm）,便于更高层
复制链接

扫一扫