多级分布式网络系统

某大型企业总部设在北京，下属14个分公司及190多个分支机构。内部共有员工用机近1000台，并拥有自己的WWW SERVER，MAIL SERVER, FTP SERVER和DNS SERVER。 内部分为包括管理、研发、财务、行政在内等多个子网，全部设为私有IP, 通过Proxy服务器访问Internet,各子网之间通过在CISCO的5500三层交换机上划分VLAN来控制相互访问，通过NT提供的用户认证功能实现访问控制，企业的WWW等服务器设有公网IP直接放在边界路由器后，向外提供服务。公司通过专线上网与internet相连，并通过Internet与上海、广州、成都等各分公司相连实现资源共享。总部的网络拓扑如下：

1.2弱点分析
1. 企业的WWW, DNS,Mail等服务器直接放在边界路由器后，没有任何保护，极易受到攻击
2. 各服务器(包括Proxy server)接同一个hub, 当某台服务器被攻破后，内部各子网（包括管理子网、财务子网）通过proxy访问的所有流量将有可能被窃听
3. 内部各子网使用私有IP地址，通过proxy服务器出internet访问。这样的结构虽能起到隐藏内部主机和网络拓扑的作用有效的保护proxy内部的主机不能直接被攻击，但这样的proxy结构对于内部用户不透明，使用起来很麻烦，容易由于配置上的错误导致用户无法上网。
4. 各子网之间通过交换机划分VLAN和NT的用户认证功能来实现访问控制，控制不灵活，且安全级别较低
5. 北京总部与各分公司之间通过internet相连互访资源，各分公司之间通过internet传输的数据（包括邮件等）的机密性得不到保证
6. 无法检测黑客对企业网的攻击行为，无法进行反黑客响应