# access-list 110 deny udp 10.22.4.34 0.0.0.31 host 10.22.4.67 eq domain
# access-list 110 deny udp 10.22.4.130 0.0.0.31 host 10.22.4.67 eq domain
# access-list 110 permit ip any any
# interface FastEthernet0/1.1
# ip access-group 110 out
Для 4-го филиала:
# access-list 110 deny tcp any any
# access-list 110 permit udp 10.22.5.34 0.0.0.31 host 10.22.5.130 eq domain
# access-list 110 permit udp 10.22.5.98 0.0.0.15 host 10.22.5.130 eq domain
# access-list 110 deny udp 10.22.5.2 0.0.0.31 host 10.22.5.130 eq domain
# access-list 110 deny udp 10.22.5.66 0.0.0.31 host 10.22.5.130 eq domain
# access-list 110 permit ip any any
# interface FastEthernet0/1.1
# ip access-group 110 out
Для 5-го филиала:
# access-list 110 deny tcp any any
# access-list 110 permit udp any any
# access-list 110 permit ip any any
# interface FastEthernet0/1.2
# ip access-group 110 out
Для 6-го филиала:
# access-list 110 permit tcp 10.22.6.138 0.0.0.7 host 10.22.6.146 eq www
# access-list 110 deny tcp 10.22.6.130 0.0.0.7 host 10.22.6.146 eq www
# access-list 110 permit udp 10.22.6.130 0.0.0.7 host 10.22.6.147 eq domain
# access-list 110 deny udp 10.22.6.138 0.0.0.7 host 10.22.6.147 eq domain
# access-list 110 permit ip any any
# interface FastEthernet0/0.3
# ip access-group 110 out
Для 7-го филиала:
# access-list 110 deny tcp any any
# access-list 110 permit udp 10,22,6,34 0.0.0.31 host 10.22.6.66 eq domain
# access-list 110 deny udp 10.22.6.2 0.0.0.31 host 10.22.6.66 eq domain
# access-list 110 deny udp 10.22.6.98 0.0.0.15 host 10.22.6.66 eq domain
# access-list 110 permit ip any any
# interface FastEthernet0/1.4
# ip access-group 110 out
Проведем анализ защищенности построенной локальной сети.
Точки потенциально подверженные сетевой атаке – это интерфейсы маршрутизаторов подключенные к чужим сетям.
Для усиления защиты в корпоративной сети мы выполнили следующее:
- На входе подключения маршрутизаторов к арендованным каналам разрешить только протокол GRE и EIGRP
- Организовали демилитаризованные зоны.
- Построили защищенные VPN туннели с использованием шифрования.
- Разграничили доступ к внутренним информационным ресурсам при помощи расширенных списков доступа.
- Разграничили доступы между отделами при помощи технологии VLAN и списков доступа.
И хотя не одну систему нельзя назвать на 100% защищенной от атак и угроз, данный проект соответствует современным требованиям к защите корпоративных сетей.
Так же для надёжности рекомендуется запретить ICMP трафик на внешних интерфейсах.
И конечно же какой бы современный комплекс защитных средств мы не использовали, никогда не нужно упускать человеческий фактор. Внутренние политики безопасности и аудит так же важны для защиты информационных ресурсов компании.
А для повышения надежности и отказоустойчивости, рекомендуется использовать резервацию каналов, и режимы высокой доступности на сетевом оборудовании. Эти меры повлекут за собой денежные затраты, но значительно повлияют на надёжность корпоративной сети в целом.
В этой работе мною было проведено построение корпоративной сети путем моделирования с помощью программы Cisco Packet Tracer.
Проведена настройка IP адресации для всех объектов сети, проведено разграничение доступа, смоделированы демилитаризованные зоны, туннели VPN арендованных каналов.
В итоге мы спроектировали корпоративную сеть предприятия, которая соответствует современным стандартам в защите сетей связи.
1. Вишневский В.М. Теоретические основы проектирования компьютерных сетей. – М.: Техносфера, 2003.
2. Олифер В.Г., Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы, 2-е изд» СПб, Питер-пресс, 2002
3. Сайт «Википедия - свободная энциклопедия» http://ru.wikipedia.org
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.