基于ensp的中大型企业网络安全解决方案的设计与实施

news2024/12/28 21:21:36

一、需求背景

       公司部门具体背景:公司共设有人事部、财务部、销售部、市场部四个部门以及一个员工宿舍楼,公司有对外互联网业务需要提供。公司内存在重要部门需要保护数据安全以及访问控制。

(1)根据客户需求、部门、拓扑,划分vlan及子网

(2)使用合理的路由协议规划

(3)私网用户访问公网

(4)核心层冗余和负载均衡,通过在三层交换机上部署MSTP和VRRP使办公区、公寓楼流量分开实现冗余和负载均衡。

(5)隔离内网与公网

(6)防火墙双机热备,双出口保证可靠性

二、地址规划

总公司地址规划

部门

地址空间

所属vlan

网关

财务部

10.0.10.0/24

Vlan10

10.0.10.254/24

销售部

10.0.20.0/24

Vlan20

10.0.20.254/24

人事部

10.0.30.0/24

Vlan30

10.0.30.254/24

市场部

10.0.40.0/24

Vlan40

10.0.40.254/24

员工宿舍

10.0.50.0/24

Vlan50

10.0.50.254/24

内部服务器

10.0.100.0/24

Vlan100

10.0.100.254/24

三、配置过程

1、接入层实现

 对于接入层根据规划,分别设置为vlan10、vlan20、vlan30、vlan40、vlan50,

接入用户的端口加入相关VLAN,上行端口打通trunk口允许相关vlan通过。分公司接入层同理。另在接入层交换机上配置MSTP多实例生成树,将相关vlan加入不同的实例。

stp region-configuration    //进入MSTP模式

region-name huawei       //配置域名为huawei

instance 1 vlan 10 20       //将vlan10,vlan20加入实例1中

instance 2 vlan 30 40         //将vlan30,vlan40加入实例2中

active region-configuration  //激活配置

2、核心层实现

(1)DHCP实现

核心交换机上部署DHCP

配置DHCP:

dhcp enable          //打开DHCP功能

ip pool vlan10       //创建 IP 地址池取名为vlan10

network 10.0.10.0 mask 255.255.255.0   //配置地址池网段

gateway-list 10.0.10.1           //配置该地址池地址的网关地址

excluded-ip-address 10.0.10.2  10.0.10.3  //配置排除地址         

dhcp select global       //定义dhcp为全局模式

(2)MSTP+VRRP:

stp instance 1 root primary     //指定本交换机为主根桥

stp instance 2 root secondary   //指定本交换机为备份根桥

2)VRRP关键代码,其他网关配置同理:

interface Vlanif10

ip address 10.0.10.2 255.255.255.0

//创建VRRP备份组10,并配置VRRP备份组的虚拟IP地址10.0.10.1

vrrp vrid 10 virtual-ip 10.0.10.1

//设置交换机A在VRRP备份组10中的优先级为120,高于交换机B的优先级100

vrrp vrid 10 priority 120

(3)链路聚合

在两个核心交换机间设置链路聚合,关键代码如下:

interface eth-trunk 1     //创建ID为1的Eth-Trunk接口

mode lacp      //配置链路聚合模式为LACP模式

interface g0/0/6

eth-trunk 1          //将接口加入Eth-Trunk 1

//设置接口链路类型为trunk

interface eth-trunk 1

port link-type trunk   

3、网络出口实现

(1)部署NAT:

NAT关键代码如下:

//创建内网需要上网的源地址到外网的安全策略:

security-policy

rule name nat

source-zone trust

destination-zone untrust

action permit

//创建需要上网的源地址的安全NAT策略:

nat-policy

 rule name nat

  source-zone trust

  destination-zone untrust

  action source-nat easy-ip

4、路由协议实现

核心交换机通过双上行与出口设备相连,通过三层OSPF路由技术

//此配置 其他设备 均相同 宣告各自直连网段即可

[Core-A-ospf-1]area 0

[Core-A-ospf-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255

5、双机热备功能实现

# 在FW上配置VGMP组监控上下行业务接口。

[FW_A] hrp track interface GigabitEthernet 1/0/0

[FW_A] hrp track interface GigabitEthernet 1/0/1

[FW_A] hrp adjust ospf-cost enable  //根据VGMP状态调整OSPF Cost值功能

# 在FW上指定心跳口并启用双机热备功能。

[FW_A] hrp interface GigabitEthernet 0/0/6 remote 10.10.10.1

[FW_A] hrp enable

[FW_B] hrp standby-device

[FW_B] hrp enable

6、内网安全配置

访问控制,拒绝访问财务部

[SW-A]acl 3000

[SW-A-acl-adv-3000]description  deny_cw

[SW-A-acl-adv-3000]rule  deny  ip source  10.0.0.0 0.0.255.255 destination  10.0.10.0 0.0.0.255   //拒绝其他网络访问财务

[SW-A]traffic-filter inbound  acl 3000  //全局调用

DHCP的安全控制 ,配置上行接口为信任dhcp报文,即只能从上行接口收到DHCP应答报文才是正常行为。

interface Ethernet0/0/1

dhcp snooping enable

 dhcp snooping trusted

#

return

[SW1-Ethernet0/0/1]int e0/0/2

[SW1-Ethernet0/0/2] dhcp snooping enable

[SW1-Ethernet0/0/2] dhcp snooping trusted

开启财务部门的接入安全配置:

[SW1-Ethernet0/0/3]port-security enable   //开启接口安全

[SW1-Ethernet0/0/3]port-security protect-action shutdown //触发安全保护 动作为 关闭端口

[SW1-Ethernet0/0/3]port-security max-mac-num 1  //一个端口最大允许一个用户接入

防火墙出口安全配置

配置DDOS攻击检查

配置安全策略 绑定反病毒、APT等安全配置

四、测试

1.DHCP测试

各部门均正常获取地址

2、VRRP测试

VRRP 状态正常工作

3.路由及用户互联网访问测试

4、防火墙双机热备测试

处于主备状态-状态正常

5.访问内部服务器测试以及外部访问

公网访问:

内网的访问控制:不允许访问财务  其他正常访问

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/949821.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

代码搜索技巧

在IDE中搜索代码时,经常会被相近的无关代码干扰,如筛选所有使用协程的代码段, 可见有大量“噪音”。 可使用IDE提供的正则表达式功能 如 使用 \bgo ,即匹配go开头的,且之后为空格的所有选项 使用 \bgo func,即匹配到了所有使用协程…

C++学习vector

1,把list的相关函数都实现出来(未完) 2, 运行结果:

等保测评各个级别的详细内容

等保测评是指信息系统安全等级保护测评,是我国信息安全领域中的一项重要工作。根据国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)和《信息系统安全等级保护测评技术要求》(GB/T 25070-2010)。 等保测评分为五个级别,分别是:一级…

达梦数据库管理用户和创建用户介绍

概述 本文主要对达梦数据库管理用户和创建用户进行介绍和总结。 1.管理用户介绍 1.1 达梦安全机制 任何数据库设计和使用都需要考虑安全机制,达梦数据库采用“三权分立”或“四权分立”的安全机制,将系统中所有的权限按照类型进行划分,为每…

JZ12 矩阵中的路径

剑指Offer编程链接:JZ12 题目描述: 思路:递归回溯的方法,总结一下什么情况需要使用递归: 递归在解决问题时,通常涉及以下情况: 问题可被分解为较小的相似子问题。子问题与原问题具有相同的结…

eclipse设置字体大小

打开IDE,选择window->perferences 选择颜色与字体,选择basic 选中text-font之后选择编辑 选择合适的大小之后选择应用并关闭即可 结果

权限提升-Windows本地提权-AT+SC+PS命令-进程迁移-令牌窃取-getsystem+UAC

权限提升基础信息 1、具体有哪些权限需要我们了解掌握的? 后台权限,网站权限,数据库权限,接口权限,系统权限,域控权限等 2、以上常见权限获取方法简要归类说明? 后台权限:SQL注入,数…

ELK日志收集系统

一、概述 1、ELK由三个组件构成 2、作用 日志收集 日志分析 日志可视化 3、为什么使用? 日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。 如果管理的服务器或者程序比较少的情况我们还可以逐一…

数据结构学习 --4 串

数据结构学习 --1 绪论 数据结构学习 --2 线性表 数据结构学习 --3 栈,队列和数组 数据结构学习 --4 串 数据结构学习 --5 树和二叉树 数据结构学习 --6 图 数据结构学习 --7 查找 数据结构学习 --8 排序 本人学习记录使用 希望对大家帮助 不当之处希望大家帮忙纠正…

二极管:常用二极管封装

常用二极管封装 1、DO-41 2、DO-201AD 3、DO-35 4、LL-34 5、DO-214AC (SMA) 6、SMB

电脑数据丢失如何恢复?最常见的2种数据恢复方法!

大家使用电脑的时候是否有发生过不小心删除数据,或者数据不明丢失的情况呢?相信九成都是有的,那么当你的数据不小心删除或是丢失的话,有没有电脑数据恢复方法?其实很多人当自己电脑的数据丢失后,如果不是很…

一直傻傻分不清 count(*) count(id) count(1) 这次终于整明白了

COUNT(*)、COUNT(id) 和 COUNT(1) 是用于计算行数的 SQL 聚合函数,它们在某些方面有一些区别。 - COUNT(*):COUNT(*) 是一种特殊的语法,它返回结果集中的行数,不考虑任何列的值。它会将表中的每一行都计数,包括含有NU…

ToBeWritten之威胁情报

也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬…

【LeetCode】剑指 Offer <二刷>(1)

目录 前言: 题目:剑指 Offer 03. 数组中重复的数字 - 力扣(LeetCode) 题目的接口: 解题思路: 代码: 过啦!!! 写在最后: 前言: …

Charles调试请求

问题 需要调试特定的一个请求。 解决 选中调试 选中一个请求,右键菜单选中调试即可。 启用调试模式 勾选顶部控制按钮,启用调试模式,右下角会出现调试启用状态。 调试请求管理 通过顶部proxy➡️Breakpoint Settings…菜单&#xf…

企业诊断屋:在线小说企业如何用A/B测试赋能业务

更多技术交流、求职机会,欢迎关注字节跳动数据平台微信公众号,回复【1】进入官方交流群 近两年来,在线小说领域业务发展“降速”,相较于几年前的快速扩张,2022年后国内在线小说企业步入瓶颈期。但与此同,新…

云端地球 | 在线云端建模,让建筑设计更高效

三维模型制作是建筑设计的重要环节,但人工建模需要耗费大量的时间和精力。随着计算机视觉和倾斜摄影测量技术的发展,实景三维模型的应用日益广泛,利用三维重建技术实现可视化、数字化和信息化转变,已逐渐成为建筑行业的共识。 陕西…

【二等奖方案】大规模金融图数据中异常风险行为模式挖掘赛题「Aries」解题思路

第十届CCF大数据与计算智能大赛(2022 CCF BDCI)已圆满结束,大赛官方竞赛平台DataFountain(简称DF平台)正在陆续释出各赛题获奖队伍的方案思路,欢迎广大数据科学家交流讨论。 本方案为【大规模金融图数据中…

学生管理系统VueAjax版本

学生管理系统VueAjax版本 使用Vue和Ajax对原有学生管理系统进行优化 1.准备工作 创建AjaxResult类,对Ajax回传的信息封装在对象中 package com.grg.Result;/*** Author Grg* Date 2023/8/30 8:51* PackageName:com.grg.Result* ClassName: AjaxResult* Descript…

打造完美直播:深入解析人脸美颜SDK的算法与特性

在如今数字化的时代,直播已经成为了人们与世界互动的重要方式之一。而在众多直播平台中,吸引观众并提供高质量的视觉体验成为了至关重要的任务。其中,人脸美颜技术的应用对于提升直播质量和观众体验起到了不可忽视的作用。本文将深入解析人脸…