本课题主要对宿迁蒲公英企业的网络构建做设计，通过对公司网络路由器和交换机做建设配置，我们在它们之间假设GRE VPN建设配置，实现主公司和下属公司的连接，公司最大的特点就是对于防火墙的建设配置，内网到防火墙的建设配置，以及服务器到WAF，形成DMZ隔离区，保护服务器安全。
目录
一、引言 4
二、蒲公英公司网络构建方案设计 4
（一）需求分析 4
1.应用需求 4
2.性能需求 4
3.安全需求 4
（二）方案设计 4
1.网络拓扑设计 4
2.设备选型 5
3.公司IP子网规划 6
(一) IP子网规划实施配置 7
1.VLAN配置 7
2.IP地址分配——DHCP配置 7
（二）INTERNET接入配置 8
（三）VPN配置 9
（四）防火墙部署及访问控制策略配置 11
（五）IDS部署及配置 12
1.启明星辰入侵防御系统的安装 12
（六）WAF部署及建设配置 13
1、WEB防护 13
2.健康检查设置 14
3.爬虫防护 14
（七）内网QoS建设配置 16
小结 18
致谢 19
参考文献 20
一、引言
宿迁蒲公英网络公司是一家电子商务公司，主要是针对商业的电子商务B2B 、B2C业务，现如今根据互联网大会的需求进而对公司的网络进行升级改造，此网络需要进行合理的规划，以及对于公司进行合理的连接以及防护工作。
公司分为财务部、技术部、商务部、行政部四大部门，如今的内部网络安全性、稳定性差，原有带宽仍旧没法满意现有的网络流量，文件权限管理混乱，内部IP管理混乱，内网经常爆发病毒。针对这一现象我们对该公司网络进行了以下改造。
二、蒲公英公司网络构建方案设计
（一）需求分析
1.应用需求
宿迁蒲公英网络，因为他是一家电子商务公司，我们对于他们业务上的应用需求需要WEB服务器应用和FTP服务器的
 *景先生毕设|www.jxszl.com +Q: ￥3^5`1^9`1^6^0`7^2$ 
应用。以及公司下属分公司需要对于我们服务器的访问应用需求我们针对这些对公司网络进行配置。
2.性能需求
公司的网络流量较大要求，在内网上面需求流量较小，我们分它们20M的带宽需求，对于它们的带宽，我们在内网中设置QOS建设配置，限制它们的带宽主要在公司的服务器运营上面接入的流量需求要大我们对于它们的带宽设置30M带宽需求。
在网络连接上面，我们要求公司在经过三层交换，出去访问外部网络的时候，我们要求对于防火墙要求建设配置对于信用用户和对于非信用用户的策略，保证网络的安全，以及保护对于下属公司访问策略做同样建设配置。
3.安全需求
网络安全需求：在网络安全上面，我们在局域网的进出口上面，我们连接两台防火墙，对于WEB服务器我们架设隔离区DMZ，接入WAF防火墙，配置用户策略，阻断信用用户和非信用用户的连接。我们主要对于防火墙做安全建设配置。
（二）方案设计
1.网络拓扑设计
宿迁蒲公英网络公司，我们根据内网的安全需求，我们将公司的部门总共分为4个部门，我们将这4个部门，划分4个VLAN，分别为VLAN11,VLAN12,VLAN13和VLAN14。我们划分VLAN的实现各个部门数据不互通的问题，以防内部网络病毒爆发，我们在内外网的出口上面安装防火墙，建设配置进出网的安全策略，以防止内网遭受攻击，在防火墙到我们的DMZ（隔离区）上面，我们在中间设置了WAF应用防护系统则网站入侵防御系统。这不仅对于内网的安全加上防护，而且也对于我们的DMZ(隔离区)加上了第二层的防护。然后我们使用DMZ来解决安装防火墙以后外部网络不可以访问内部网络的问题，而去设立一个非安全性和安全性之间的缓冲区，它位于内部网络和外部网络之间。我们可以在这之间放一些公开的服务器，如WEB服务器,FTP服务器等，然后再出口，进行VPN GRE通道建设配置，达到公司网络互相连通，这是此次实施的目的。网络拓扑如图1
图1 网络拓扑图
2.设备选型
表1 设备选型表
硬件
型号
防火墙
Juniper SSG5SB
IDS/IPS
启明星辰天阗NS100
WAF
天融信NGFW4000UF TG83642I
路由器
CISCO 2650XM
交换机
CISCO 3560
交换机2
CISCO 2950
根据公司需求，本方案选择上表中的设备作为网络建设的主要设备。
防火墙：Juniper SSG5SB
适合用于小型分支办事处和单独的企业部署。该防火墙能较好的区分网络安全区域，可根据需求提高接口密度，对用户的访问进行有效控制，并且在VPN的配置和管理上相对简便。
启明星辰天阗NS100：作为基于网络的入侵防御设备，能对较好的检测攻击并作出响应；同时具有较为完备的日志与报表功能；策略配置和用户安全管理较为方便；厂商支持服务升级。
天融信NGFW4000UF TG83642I。
这是一款企业级的WEB防护设备，能够支持对无限用户的检测防护，采用的是专用硬件架构与专用TOS安全操作系统。该设备拥有26个网络接口，网络吞吐量更是达到了6000Mbps，配置简便。
3.公司IP子网规划
图2 子网规划图
依据子网规划图，IP分配方式如下表所示
表2 IP子网规划表
子网名称/部门
VLAN
IP
IP获取方式
财务部
VLAN11
192.168.11.0/24
自动获取
技术部
VLAN12
192.168.12.0/24
自动获取
商务部
VLAN13
192.168.13.0/24

原文链接：http://www.jxszl.com/jsj/wljs/48716.html