1、内网192.168.*.* IP段，供5个部门
   保留三段（每段150台主机）
2、TCP/IP设置
3、外网IP段10.100.210.0---10.100.210.555
4、建立局域网内部的安全邮件服务
5、外网与内网的防火墙防御体系
6、内网能访问Internet
7、提供网络管理体系

解答：
1、内网192.168.*.* IP段，供5个部门保留三段（每段150台主机）；

每个部门平均分布90台工作站；
IP分布如下；
IP=> 192.168.0.1-192.168.1.254 =508个IP地址；字掩码为 255.255.254.0
部门1，提供90台工作站IP划分为：192.168.0.2-192.168.0.91    =90台主机
部门2，提供90台工作站IP划分为：192.168.0.92-192.168.0.182  =90台主机
部门3，提供90台工作站IP划分为：192.168.0.183-192.168.1.19  =90台主机
部门4，提供90台工作站IP划分为：192.168.1.20-192.168.1.110  =90台主机
部门5，提供90台工作站IP划分为：192.168.1.111-192.168.1.201 =90台主机

2、TCP/IP设置
如图：
设置方法1：

设置方法2：

3、外网IP段10.100.210.0---10.100.210.555

外网的IP段主要有网络运营商来提供，可以在以上IP中任意选一个作为外网IP，然后通过路由的NAT网络地址转换功能让内网的多IP段正常的访问英特网。

4、建立局域网内部的安全邮件服务
通过win 2003 server 系统来实现。安装IIS网络组件来实现；
Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。
　　一、安装POP3服务组件　　以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子邮件服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理邮件服务器，建议选中“POP3服务Web管理”。
        2、安装SMTP服务组件　　选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务 IIS ”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。此外，如果用户需要对邮件服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。
二、配置POP3 服务器
　　1、创建邮件域　　点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入邮件服务器的域名，也就是邮件地址“@”后面的部分，如“rtj.net”，最后点击“确定”按钮。其中“rtj.net”为在Internet上注册的域名，并且该域名在DNS服务器中设置了MX邮件交换记录，解析到Windows Server 2003邮件服务器IP地址上。
        2、创建用户邮箱　　选中刚才新建的“rtj.net”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入邮件用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。
三、配置SMTP 服务器
　　完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务→IIS管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中邮件服务器的IP地址即可。点击“确定”按钮，这样一个简单的邮件服务器就架设完成了。
　　完成以上设置后，用户就可以使用邮件客户端软件连接邮件服务器进行邮件收发工作了。在设置邮件客户端软件的SMTP 和POP3服务器地址时，输入邮件服务器的域名“rtj.net”即可。
4、远程Web 管理
　　Windows Server 2003还支持对邮件服务器的远程Web管理。在远端客户机中，运行IE浏览器，在地址栏中输入“https //服务器IP地址 8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。
5、外网和内部网络的防火墙体系
   现在的硬件路由和软路由系统基本上都内置防火墙功能，可以用路由代替独立的防火墙。
这里我主要以海蜘蛛路由系统为基础来介绍防火墙的防御体系。
首先来说外部网络的防御:对于外部网络的威胁我做简要的讲一下。这方面的安全威胁主要来自网络上的一些病毒攻击，病毒利用tcp/ip协议或者其他新协议的漏洞对网络中每个终端节点攻击（终端节点指的是路由系统或者个人PC机）。有这类攻击方式的病毒有冲击波，震荡波。对于外部网络的威胁最大是拒绝服务，这类的攻击一般都是黑客控制的僵尸网络发起的流量攻击，是外部网络堵塞导致整个网络瘫痪不能正常访问。
内部网络的安全威胁：这个方面的安全威胁主要来自内部终端客户机的使用人员，使用人员访问在搜索引擎上访问一些带有病毒恶意网站，病毒通过操作系统的漏洞互相传播。利用arp .Syn等一些tcp/ip的字协议的漏洞对路由进行攻击，导致网络风暴使网络瘫痪。
我这里就以海蜘蛛来介绍防火墙必须的功能：第一基本的攻击防御体系

这个防御主要是对ICMP，SYN ，TCP ，UDP，IP，ARP等几个协议的漏洞导致的碎片攻击和流量攻击的防御，以及对一些网络协议欺骗的防御。这个是防火墙最基本的防御也是必须的，没有这些防御的网络是很脆弱。

  

第二防火墙过滤系统防御体系
这个功能是必须的，对内部网络访问外部网络起到安全过滤，简单的解释就是对内部网络访问采取策略性质的过滤，主要是这机个：  

  域名/IP过滤（对一些带病毒或者恶意插件的网站或木马下载IP地址和为授权访问内部网络的IP进行过滤）


   

         内容过滤（指的是搜索引擎中的输入关键字进行过滤，对内网的终端机在网站中或者搜索引擎中输入的非法的关键字进行过滤）

   DNS过滤（DNS过滤模块可以过滤内部电脑向互联网发出的域名查询请求(DNS协议), 即在域名解析时就进行限制. 使用 DNS过滤, 能更快更有效的限制对域名的访问）

  网址(URL)过滤（过滤一些您不希望客户机看到或访问的站点, 如广告、含有病毒、暴力或色情等内容的网址）。所有的过滤均以白名单或者黑名单的策略形式，以上的过滤设置对内部网络安全起到至关重要的一环保护。

第三防火墙的网络访问控制（ACL)

网络访问控制主要是针对内部网络和外部网络协议、端口、源目的IP或网段等，设定访问控制规则.类似于软件网络防火墙的IPSCE规则限制。
     

入口 ACL 规则用于控制Internet 与局域网之间的通讯连接. 通过ip段和端口可以对外部网络的一些非法IP链接的攻击做限制，和一些病毒攻击的端口做屏蔽处理，可以避免很多病毒对协议的漏洞造成攻击，这个功能对抵御网络攻击很有用处。

转发ACL规则是用于控制局域网于internet之间的通信协议，通过IP段和端口可以对内部网络的IP上网时间进行限制，以及对禁止内部网络使用迅雷，网络执法官，哇嘎 等一些非法软件。也可以禁止病毒和木马的攻击端口做屏蔽

总结以上几点，一个优秀的网络防火墙体系必须的几个功能。

6、访问Internet
首先在路由里面设置好外部网络的IP地址 掩码 网关  DNS等参数使路由正常连接因特网，再就配置好内部网络的IP段以及路由的DHCP服务，设置完毕之后在终端机上把IP设置和DNS设置全部改成自动获取，具体设置见下面的图，按下面的设置顺序设置完毕后就终端机就可以正常的访问internet

如何将 Windows Server 2003 配置为局域网路由器
　　要将 Windows Server 2003 配置为局域网路由器，必须启用局域网路由。为此，请按照下列步骤操作：
单击 开始 ，单击 程序 ，单击 管理工具 ，然后单击“路由和远程访问”。
在控制台树中，右键单击服务器，然后单击快捷菜单上的“配置并启用路由和远程访问”。
按照屏幕中的操作说明完成“路由和远程访问安装向导”。有关此向导中提供的配置选项的其他信息，请在 Windows 帮助中查找 通用服务器配置 。
右键单击要为其启用路由的服务器，然后单击快捷菜单上的 属性 。
在 常规 选项卡上，确认已选中 路由器 复选框。还要验证是否根据步骤 3 中选择的配置选中了 路由器 复选框下的相应选项。
　　这样便将您的 Windows Server 2003 计算机配置为一台路由器。

为win2003 server 安装两张网卡，一张接外网设IP=10.100.201.1  字掩码=255.0.0.0启用系统自带的路由防火墙功能，为IP内网段里的所以工作站实现外网；还需要在IP/TCP设置DNS地址为网关IP192.168.0.1让路由器实现DNS域名解释服务。

7、提供网络管理服务
网络管理服务可以通过在内部网络安装管理软件对内部网络的终端机进行全方位的管理。