《(2020年){安全生产管理}计算机网络安全设计报告》由会员分享,可在线阅读,更多相关《(2020年){安全生产管理}计算机网络安全设计报告(64页珍藏版)》请在金锄头文库上搜索。
1、安全生产管理计算机网络安全设计报告第一章办公局域网安全策略防火墙篇-1-一、引言-1-二、关键词注释-3-2.1防火墙-3-2.2工作站-3-2.3路由器-3-三、企业现有网络结构-5-四、用户现有需求及总体架构设计-7-4.1网络拓扑结构-7-4.2网络系统组成-7-4.3安全策略-8-五、效果-11-5.1服务器系统安全-11-5.2网络防病毒系统-11-5.3网络安全设备选型与配置-11-六、资金预算-13-第二章办公局域网入侵检测篇-17-一、引言-17-二、关键词注释-19-2.1防火墙-19-2.2入侵检测-19-2.3协议-19-三、企业现有网络结构-21-四、入侵检测技术设计与
2、应用-23-4.1入侵检测系统-23-4.2网络方案-24-4.3网络架构图-24-4.4IP地址及VLAN的划分-26-五、效果与评价-27-六、资金预算-29-第三章办公局域网安全策略VPN与流量控制篇-33-一、使用VPN的必要性-33-二、VPN的可行性-35-2.1技术的可行性-35-2.2经济的可行性-35-2.3社会可行性-35-三、VPN的技术方案-37-3.1需求分析-37-3.2使用的网络逻辑结构图-38-3.3技术方案-38-四、VPN技术投入的造价-41-五、流量控制的必要性-43-5.1企业网络带宽资源由于缺少监管造成带宽分配不合理-43-5.2一般大中型企业职工人数
3、众多,企业网内Pc终端数量较多-43-六、流量控制的可行性-45-6.1技术的可行性-45-6.2经济的可行性-45-6.3社会的可行性-45-七、流量控制的技术方案-47-7.1流量控制捕捉和分类-47-7.2流量控制监视(分析)-47-7.3控制策略-47-八、资金预算-49-办公局域网安全策略防火墙篇项目名称办公局域网安全策略防火墙篇班级名称计科0801班姓名栗俊恒学号9指导老师杨在华第一章办公局域网安全策略防火墙篇一、引言随着办公自动化的需要,办公室使用的计算机数目越来越多,并且,一些办公设备如打印机、传真机和扫描仪等也是用户所必须使用的。面对这种情况,最好的解决的办法是组建一个办公局
4、域网,共享这些资源。局域网(LAN)是指在小范围内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此局域网内信息的传输速率比较高,同时局域网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。局域网的网络安全威胁通常有以下几类:(1)欺骗性的软件使数据安全性降低;(2)计算机病毒及恶意代码的威胁;(3)服务器区域没有进行独立防护;(4)IP地址冲突;(5)局域网用户安全意识不强;正是由于局域网内应用上这些独特的特点,造成局域网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。随着Inter
5、net、网络信息技术的迅速发展及各种应用的日益普及,各单位计算机局域网已成为重要的基础设施,但随之而来的网络安全问题也显得尤为重要。凡事“有利必有一弊”,人们在得益于信息所带来的新的巨大机遇的同时,也不得不面对信息安全问题的严峻考验。“黑客攻击”网站被“黑”,“CIH病毒”无时无刻不充斥在网络中。“电子战”已成为国与国之间,商家与商家之间的一种重要的攻击与防卫手段。因此信息安全,网络安全的问题已经引起各国,各部门,各行各业以及每个计算机用户的充分重视。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段。防火墙是一种非常有效的网络安全模型。主要用来保护安全网络免受来自不安全网络的入侵
6、,比如安全网络可能是企业的内部网络,不安全网络是因特网。但防火墙不只是用于因特网,也用于Internet中的部门网络之间。在逻辑上,防火墙是过滤器限制器和分析器;在物理上,防火墙的实现有多种方式。通常,防火墙是一组硬件设备路由器。二、关键词注释2.1防火墙防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间实现访问控制的一个或一组已经或软件系统。它是一道“门槛”,能有效的把互联网与内部网隔开,从而保护内部网免受非法用户的入侵。在某种意义上,防火墙就像一个私人俱乐部的看门人,他检查每个人的ID,并确保只有俱乐部会员才能通过该们进入。2.2工作站工作
7、站是一种高档的微型计算机,通常配有高分辨率的大屏幕显示器及容量很大的内存储器和外部存储器,并且具有较强的信息处理功能和高性能的图形、图像处理功能以及联网功能。2.3路由器路由器:连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。三、企业现有网络结构本企业计算机网络是以3Com公司CoreBuilder9000为企业核心层交换机,以3ComCoreBuilder7000HD、CoreBulider3500和CiscoCatalyst4006为各二级单位分布层交换机,以3ComSSII1100/3300和CiscoCatalyst350
8、0为访问层交换机的三层星型网络结构,采用先进的千兆以太网技术,融合历史的ATM网络技术,结合Cisco2511、1601等提供的DDN链路进行远程局域网络连接和移动用户拨号访问,利用Cisco3661的2MDDN串型链路连接Internet。图3-1星型网络结构四、用户现有需求及总体架构设计4.1网络拓扑结构图4-1办公局域网网络拓扑结构图4.2网络系统组成硬件系统是计算机网络的基础。硬件系统中设备的组合形式决定了计算机网络的类型。(1)服务器(Unix系统)服务器是一台速度快,存储量大的计算机,它是网络系统的核心设备,负责网络资源管理和用户服务。服务器可分为文件服务器、远程访问服务器、数据库
9、服务器、打印服务器等,是一台专用或多用途的计算机。在互联网中,服务器之间互通信息,相互提供服务,每台服务器的地位是同等的。服务器需要专门的技术人员对其进行管理和维护,以保证整个网络的正常运行。(2)工作站工作站是具有独立处理能力的计算机,它是用户向服务器申请服务的终端设备。用户可以在工作站上处理日常工作,并随时向服务器索取各种信息及数据,请求服务器提供各种服务(如传输文件,打印文件等等)。(3)路由器路由器(Router)是互联网中使用的连接设备。它可以将两个网络连接在一起,组成更大的网络。被连接的网络可以是局域网也可以是互联网,连接后的网络都可以称为互联网。路由器不仅有网桥的全部功能,还具有
10、路径的选择功能。路由器可根据网络上信息拥挤的程度,自动地选择适当的线路传递信息。(4)交换机交换机的三个主要功能:学习:以太网交换机了解每一端口相连设备的MAC地址,并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。转发/过滤:当一个数据帧的目的地址在MAC地址表中有映射时,它被转发到连接目的节点的端口而不是所有端口(如该数据帧为广播/组播帧则转发至所有端口)。消除回路:当交换机包括一个冗余回路时,以太网交换机通过生成树协议避免回路的产生,同时允许存在后备路径。4.3安全策略PIX防火墙能对诸如Web、FTP、Telnet、和SMTP等网络服务,分别提供安全策略,使企业网络安全配
11、置具有灵活性和高性能。为了有效地在企业网络中使用防火墙,需要规划网络安全策略以保护重要的数据资源,通过建立和改进企业网络安全策略,能防止企业外部网络的非法恶意攻击,控制企业网络失效的概率。网络安全策略必须确保用户只能执行被授权的任务和获取被授权的信息,不能具有对关键数据、应用程序和系统操作环境破坏的能力。为了建立全面的网络安全策略,网络管理员需确定以下作:(1)出企业网络完全示意图,说明系统连接至Internet细节,服务器细节及相应的IP地址。(2)识出应被保护的系统,能被外部网络访问的系统等。PIX防火墙的网络地址转换功能(NAT)能实现这些功能。(3)识出内部网络的么服务能被外部网络访问
12、,并说明外部用户访问这些服务所需的验证和授权方法、类型。(4)标识出与防火墙协调工作的路由器。需要说明的是,PIX防火墙不能防止来自网络内部的恶意攻击,为了防止这些内部威胁,所有的内部网络用户只需分配与其工作相适应的最小权限。我们以校园计算机网络为例,根据PIX防火墙的功能,说明企业网络安全策略的规划和实施。根据办公室计算机网络Internet访问的系统配置,画出系统示意图:Internet 127.104.10.24 Pix525FirewallInside 10.124.1.253AAA、DNS服务器10.124.1.11CoreBuilder 9000 10.124.1.99 邮件服务器
13、10.124.1.12WWW服务器10.124.1.13办公网络10.124.0.0交换机 Outside 127.104.10.23WWW、DNS服务器126.103.100.30图4-1防火墙配置结构图在此网络中,PIX防火墙安装了两个接口,一个内部接口Inside(10.124.1.253)和一个外部接口Outside(127.104.10.23),Inside接口连接企业内部网络10.124.0.0,Outside接口连接外部Internet。Inside接口连接的企业内部网络使用私有IP地址,Outside接口连接的外部的网络连接设备使用Internet合法的IP地址。此网络的Int
14、ernet的访问使用一台Cisco3600路由器,通过2MDDN数据专线连接至Internet,防火墙外设置的一台服务器主要作为DNS服务,进行Web和电子邮件的域名解析。基本的Internet访问安全策略是内部网络授权用户可以访问外部Internet,而外部Internet用户不能访问内部网络;E-mail服务实现内外部网络电子邮件的相互访问,允许外部Internet电子邮件进入内部网络,即内部网络用户只需设置一个邮件账号,即可实现内部网络和外部Internet网络电子邮件的收发;实现企业信息的对外发布。根据上述安全策略的要求,内部网络需设置一台使用CiscoACS2.3软件的AAA验证服务
15、器以适合PIX525防火墙实现Internet访问的授权,只有授权用户才能进行相应服务类型的Internet访问。为了实现内部网络用户访问Internet,利用PIX防火墙的网络地址转换(NAT)功能,将内部网络地址转换为外部合法IP地址。为了允许外部网络访问内部E-mail服务资源,利用PIX防火墙的静态地址映射(Static)功能,将外部虚拟邮件服务器地址127.104.10.25和内部网络邮件服务器地址10.124.1.12映射捆绑而实现内外部网络电子邮件的收发。例如,当内部用户向外部网络发送E-mail时,PIX防火墙将10.124.1.12地址转换为127.104.10.25;当外部用户向内部网络发送E-mail时,PIX防火墙将127.104.10.25地址转换为10.124.1.12,从而实现内外部邮件的收发。为了实现企业信息的对外发布,即可使外部用户访问内部WWW服务器,也可在防火墙外部Outside网络端或Perimeter网络端设置WWW服务器,我们在此选择了在防火墙外部Outside网络端设置了一台WWW服务
