《XXX企业网络规划和安全防护设计方案(论文)》由会员分享,可在线阅读,更多相关《XXX企业网络规划和安全防护设计方案(论文)(12页珍藏版)》请在金锄头文库上搜索。
1、中南大学网络教育学院毕业大作业学习中心:娄底学习中心专 业:计算机应用学生姓名:杨 璜学 号:09111510105001评定成绩:评阅老师:XXX企业网络规划和安全防护设计方案摘要:随着各中小型企业的飞速发展,越来越多的企业的数据和信息交流使用网络,但很多企业都忽视了对网络的规划和安全,导致各种各样的问题及信息泄露。在这里结合XXX企业的网络实例,浅谈中小企业的网络规划,重点介绍中小企业的网络安全中遇到的问题和解决方法。采用端口汇聚、MAC绑定、DHCP、WINDOWS2003及防火墙ISA2006、VPN及IPSEC加密进行网络的安全防护。关键词:网络规划、安全防护、数据加密、MAC绑定、
2、DHCP、IPSEC一、 网络规划动态、不断演进的数据网络环境来说,更强大的网络连接是不变的需求。无论是企业或公共服务数据中心,都要尽可能保障网络基础设施能够提供可扩展带宽、冗余业务备份、灵活性、安全性并方便移动、增加和变更。为保障服务的可信赖性,数据中心必须使用高密度、方便使用与部署的高品质规划系统。以XXX商场的网络拓扑图为例:如图所示,通过三个主交换机,把公司的网络分成三个主块。一块为收银区域,一块为办公区,办公区内又分楼层办公区和五楼集中办公区。每一个主交换机负责一块区域。区域内的数据交换频繁也不会影响到其它区域的数据交换。1. 收银区域为主交换机二负责,主要的数据交换为收银数据和会员
3、数据的交换流通。非常的时候,要以断开主交换机二和主交换机连接,来保证收银系统的正常。如办公区域发生大范围的中毒情况。此区域内连接了所以收银需要的数据服务器(IBM服务器),会员服务器(CRM)。及需要和其它门店交换数据的线路(由H3C-MSR3016 路由器转2M的数字链路到其它门店 )。并且每一层由一个楼层交换机控制一层的收银台,在出故障的时候能够很快确认出在哪个楼层哪根线路。2. 办公区域包括各楼层办公室和五楼集中办公区,播音室、总服务台、一个文件服务器(HP服务器)、一个防火墙和一个外网路由器及外网线路,并且用主交换机连接收银区域和五楼集中办公区域。此区域的机器可通过防火墙与外网联接,满
4、足办公区用户对外网交换数据的需求。并且提供一台文件服务器(HP服务器)进行文件共享交换。两个区域的划分,基本上把商场的收银和办公分开,数据各走一边,存在少量的数据查询也可通过主交换机到主交换二的线路,优化网络流量;减少安全隐患。两个区域间加一个防火墙进行数据过滤保护收银区域及服务器区的安全,必要的时候可以完全断开两个区域来排查故障。而两个区域的扩展也根据功能合理分工,明确用途。各设备的型号功能:设备名品牌型号备注主交换机楼层交换机TPLINK24+4G千兆二层全网管交换机TL-SL5428具备网管功能,各交换机之间用千兆线路连接。数据交换大时可以做端口汇聚H3C路由器H3C-MSR3016加光
5、纤模块连接2M光纤数字链路外网路由器TPLINKVPN路由器TL-R400VPNIBM服务器IBM SYSTEM P5小型机收银数据CRM服务器HPHSTNS-5118刀片机会员数据HP服务器HPHSTNS-5118刀片机文件服务器及OA服务器防火墙普通柜式服务器装WINDOWS2003和ISA防火墙软件WIN2003SERVER+ISA2006收银台海信HK300-3100公司自制的收银系统工作电脑联想扬天M4300办公电脑2M数字链路电信光纤与集团公司信息交换二、安全防护安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完整性:只有
6、得到允许的人才能修改数据,并且能够判别出数据是否可用性。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。现在计算机面临威胁主要表现在以下几个方面:1. 内部窃密和破坏。内部人员可能对网络系统形成下列威胁:内部涉密人员有意或无意泄密、更改记录信息;内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息;内部人员破坏网络系统。2非法访问。非法访问指的是未经授使用网络资源或以未授权的方式使用网络资源,它包括非法用户如黑客进入网络或系统进行违法操作,合法用户以未授权的方式进行操作。 3破坏信息的完整性。攻击可能从三个方面破坏信息的完整性:改变信息
7、流的次序、时序,更改信息的内容、形式;删除某个消息或消息的某些部分;在消息中插入一些信息,让收方读不懂或接收错误的信息。 4截收。攻击者可能通过搭线或在电磁波辐射的范围内安装截收装置等方式,截获机密信息,或通过对信息流和流向、通信频度和长度等参数的分析,推出有用信息。它不破坏传输信息的内容,不易被查觉。 5冒充。攻击者可能进行下列冒充:冒充领导发布命令、调阅文件;冒充主机欺骗合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源;接管合法用户、欺骗系统、占用合法用户的资源。6破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性:使合法用户不能
8、正常访问网络资源;使有严格时间要求的服务不能及时得到响应;摧毁系统。7重演。重演指的是攻击者截获并录制信息,然后在必要的时候重发或反复发送这些信息。8抵赖。可能出现下列抵赖行为:发信者事后否认曾经发送过某条消息;发信者事后否认曾经发送过某条消息的内容;发信者事后否认曾经接收过某条消息;发信者事后否认曾经接收过某条消息的内容。9其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄漏、各种灾害、操作失误等。(一)针对公司内部网安全方案:1、 对于更改网络设置和非法访问,可在服务器、路由器、防火墙绑定所有网络设备及收银台、工作电脑的MAC地址和IP一一对应。并建立DHCP服务,在用户忘记自己网络配置的
9、情况下,可自动获得授权的IP。剩余的空闲IP也进行锁定,防止非授权机器进入网络访问。在访问服务器及防火墙时需要授权的帐号及密码。最重的是要在所有的网管型交换机上配置好每个端口通过的IP及MAC,IP和MAC跟端口不对应也拒绝访问。2、 破坏、截收、冒充、破坏、重演、抵赖。可以防火墙及服务器还有路由器上定义好用户的权限,开启日志记录,记录所有的用户操作和信息数据。并在防火墙的ISA2006防火墙软件中定义具体策略,允许或拒绝用户的某些访问。如下面图1、图2、图3所示图1图2图3经常查看日志可以查出隐患,并排除,因保密原因IP就隐藏了。3. 病毒防治在公司人员混杂,个人的使用水平,U盘等交叉使用,
10、上网查询资料的情况下是非常重要的一环。有条件的企业,可以购买网络版的杀毒软件进行防护,例如金山、瑞星、江民等都有网络版的杀毒软件可以使用,在服务器上统一升级杀毒。没有购买网络杀毒的,也可考虑现在流行的几款免费或收费单机杀毒软件如360、金山等已经免费。对所有的工作人员进行培训,介绍病毒防治的重要性、特征,和预防方法。多查看防火墙日志,了解并防止网络病毒传播。4. 网络风暴及ARP欺骗,则开启网管型交换机里的风暴过滤及绑定MAC和IP对应端口。把风暴和欺骗终止在最底层交换机。5. 外网入侵的防范在于隐藏IP和防火墙。在外网接口处用一路由器代理,外网只能直接访问到外网,路由器开启防止PING,和日
11、志记录,可以有效的防止对方的扫描有效IP,记录攻击的行为和源头,进一步过滤。路由器后安装一个防火墙,用策略封掉不需要使用的端口,如图1所示。过滤访问内网和内网出去的数据,甚至了过滤掉部份后缀名的文件传入传出如图4所示。图4可以有效的防止黑客入侵。养成查看日志的习惯可以提前防止攻击的先兆。打好系统的补丁,防止黑客利用漏洞入侵。6. 对于停电、电磁干扰如打雷、火灾鼠患等防预:对于停电,需要安装在线式UPS,防止停电造成的网络中断及数据丢失。电磁干扰需要安装接地线,接地电阻必须少于4欧。火灾鼠患,线路套防火套管,防止火烧和鼠咬。接电位置安装短路安全开关,重要位置安装火警报警装置和安放消防器材。有条件
12、的地方还可以用Orion Network Performance Monitor监控线路设备的使用情况,出现紧急情况可以短信第一时间发送到用户手机上。7.做好服务器及重要数据的备份,有条件的情况下,可以用磁带机或外置硬盘把重要数据备份。每天进行增量备份,每隔一定时间做一次完整备份,可以通过计划任务的形式进行定时处理。(二)针对外部线路的安全及加密:在网络高速发展的今天,很多用户需要在外地接入公司网络进行办公,子公司和集团公司的数据交换都需要从外部线路接入企业网络。这就引出来更多的安全问题。数据怎么才不被人截取,如何保证数据的安全性,和公司网络的保密性。在这里可以引用到VPN技术。在企业网络里的
13、ISA2006防火墙里启用VPN拨入,针对公司的用户设定VPN帐号,设定拨入的权限和IP分配。因为VPN是明码发送,为了保证数据的安全,我们需要启用IPSEC加密,保证数据的安全。如图5所示。图5客户端的VPN设置以XP为例,如图6所示:图6在这里输入服务端预定义的共享密钥。或以证书的形式发放密钥。这样,客户端与服务器的连接就是通过IPSEC加密了。XXX公司与集团公司的传输用的是2M数据链路。H3C-MSR3016路由器安装DLC加密模式。通过DLC加密传输数据到集团公司。集团公司的对端通过DLC解密数据包达到交换数据的目的。也可以用WIN2003+ISA2006的远程站点模式,通过IPSE
14、C加密实现VPN局域网对局域网。如图7所示:两边加密模式设置为一样。分别输入对端和本端的IP地址。这样两边的WIN2003+ISA2006就起一个编码转码的作用,实现两个局域网的互通。并且可以在ISA防火墙策略里定义访问规则来加强安全性。注:注意一点的是:IPSEC除了WINDOWS系统的客户端和服务端外。其它系统和设备发出的的IPSEC加密数据包一般不能通过NAT路由器。也就是说VPN服务器前端不能有NAT路由器,不支持IPSEC数据包通过NAT路由器。在这里我使用的是WINDOWS2003+ISA2006做服务端,客户端用XP自带的VPN拨号,所以可以通过NAT路由。如需要用别的设备或系统
15、VPN+IPSEC拨入。需要把VPN服务器前的NAT路由器去掉,把VPN服务端曝露在外网。观点引用文献:利用IPSec武装NAT服务 通过端口映射或者地址映射使用软件:FPINGER5.0 网络拓扑图软件 WINDOWS2003高级服务器版 ISA2006 防火墙和VPN服务器3、 结束语现在网络安全方面的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但黑客的非法入侵无孔不入。其根本原因是网络自身的安全隐患无法根除。所以我们不要过份依赖工具和软件,以人为本,加强自身的安全意识,规划好网络环境,对网络安全能起到一个更好的防护作用。.面对不断变化着的病毒和侵入,我们必须时刻提高警惕,不断发展网络安全技术,创造安全通畅的网络环境。在完成本作业的过程中,我积极参与了XXX单位的网络规划设计工作,从其他工程师那里学到了大量实用的技术,将学校学到的理论应用到了实际的工程之中,从中受益匪浅,同时也要感谢娄底电大吴老师的细心指导,考虑到实际网络应用的安全问题,本作业中具体的单位信息没有公开,敬请谅解。名词解释:端口汇聚:TRUNK是端口汇聚的意思,就是通过配置软件的设置,将2个或多个物理端口组合在一起成为一条逻辑的路径从
