跨区域数据通信与网络安全解决方案设计.docx

摘要:相对十几年前简单的网络浏览,现在的互联网技术已经和越来越多的个人身份信息,金融,教育,商业机密以及国家安全等相关联。网络安全问题在一些重大事件中凸显出不足与问题也使得网络安全也更加被重视。一些大型企业也开始对自己的网络安全部署投入大量资金。

针对这种情况，设计了这套网络安全解决方案，尽量做到解决目前出现的主要网络安全问题，其核心为完成大型公司在通过互联网供应商提供的网络服务中进行分公司间的数据安全传输，并抵御来自互联网的攻击。在提高网络传输性能与可靠性的同时，为用户提供简单方便的互联网接入体验。

本设计应用于大型公司，涵盖两个公司分部。分公司之间使用外部网关协议通过服务供应商接入全球互联网，并互相进行通信，使用动态多点虚拟专用网保护数据安全。同时两家公司内部用户可自由访问网络服务。总公司设有公司服务器，并开放网页，可向互联网其它所有用户提供网页浏览和文件传输服务。

关键词  BGPv4；DMVPN；ASA；ISE；IPS

目录

摘要

Abstract

1 绪论-1

1.1-课题研究的背景-1

1.2-课题研究的现状-1

1.3-课题研究的意义-2

1.3-课题研究的内容-2

２ 需求分析-3

2.1  功能需求-3

2.2  安全需求-3

2.3  高可靠性需求-3

2.4  网络优化需求-3

2.5  主要技术及设备简介-3

2.5.1 ASA（自适应安全设备）-3

2.5.2  IPS（入侵防御系统）-3

2.5.3  ISE（用户身份信息引擎）-4

2.5.4  uRPF（单播逆向路径转发）-4

2.5.5  MVPN（动态多点虚拟专用网）-4

2.5.6  MPLS（多协议标签交换）-4

2.6  本章小结-5

3  网络拓扑设计-6

3.1  系统概述-6

3.2  设计原则-6

3.3  逻辑拓扑设计-6

3.4  物理拓扑设计-7

3.5  网络设备选型-8

3.5.1  路由器-8

3.5.2  三层交换机-9

3.5.3  防火墙-9

3.5.4  入侵防御系统-10

3.6  本章小结-11

4  网络安全解决方案-12

4.1  内网数据通讯-12

4.1.1  内网底层通信-12

4.1.2  内网冗余-13

4.1.3  内网通信安全-14

4.2  连接ISP-15

4.2.1  BGP双出口-15

4.2.2  网络地址转换-18

4.2.3  ISP与内网路由优化-18

4.3  区域间通信-19

4.3.1  互联网访问-19

4.3.2  站点间通信安全-20

4.4  网络攻击防御-21

4.4.1  外网攻击防御-21

4.4.2  内网攻击防御-21

4.5  网络控制-22

4.5.1  网络管理-22

4.5.2  AAA服务-22

4.6  网络优化-22

4.6.1  MPLS-22

4.6.2  内网优化-23

4.7  本章小结-23

5  通信与性能测试-24

5.1  防火墙热备份测试-24

5.2  BGP连通测试-24

5.3  DDOS攻击防御测试-25

5.4  内网安全性测试-25

5.5  跨区域传输安全性测试-26

5.6  网络管理安全性测试-28

5.7  本章小结-28

结论-29

致谢-30

参考文献-31