《企业网络安全方案【新】》由会员分享,可在线阅读,更多相关《企业网络安全方案【新】(15页珍藏版)》请在金锄头文库上搜索。
1、最新资料欢迎阅读 企业网络安全方案物理安全 VPN技术 QOS技术 容灾备份 服务器安全、 引言随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的重视。因此,根据企业的实际情况建立一套切实可行的安全网络方案来改善这个情况,使企业的数据机密信息得以保护,并且可以保证企业的网络顺畅的工作,有助于公司的长远发展。目录摘要1 1、引言 11、1本课题的研究意义 21、2本论文的目的、内容 22、 企业网络现状及设计目标(需求分
2、析) 22、1概述 22、2实际网络的特点及目前企业网络优缺点分析 42、3设计目标 43、 要解决的几个关键问题 53、1研究设计中要解决的问题 53、2针对现在网络中出现的网络安全问题,本课题所作的改善设计 54、 系统设计关键技术 64、1、目标具体实现中采用的关键技术及分析 64、2设计实现的策略和途径描述 84、3 设计模型及系统结构(新的拓扑图) 95、 系统实现技术9概述 95、1物理设备安全 95、2 VPN技术1 15、3 访问控制列表与QOS技术1 45、4服务器的安全1 41、1本课题的研究意义本课题的研究意义在于研究企业网络的安全解决方案以及实际的应用方法,是整个企业网
3、络安全设计的指南,是为公司做出一套正确有效的网络安全方案的重点。本需求的阅读者是公司企业网络管理方面的决策人,操作应用人员。 1、2本论文的目的、内容本论文的目的是为企业提出一个有效的网络安全方案,使企业的网络上的安全威胁降到最低。从企业的设备配置安全、系统软件的安全、以及放火墙与入侵检测等来保证企业的网络安全。 2、 企业网络现状及设计目标(需求分析) 2、1概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外领先的厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安
4、全策略配置定制;是用户能够很容易地完善自身安全体系。然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多:网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额
5、外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。 2、1、1项目概述:(1)待改企业描述本文的企业为一个早期玩具制造和销售企业,希望能具有竞争力并提高生产效率,这就必须对市场需求作出及时有力的响应,从而引发了依赖互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而推动未来增长。本方案旨在使公司的网络更安全,以保证企业安全和减少安全问题带来的损失。可以快速的对网络攻击做出反应。(2)功能此方案可让企业保证硬件设备减少安全隐患,公司重要信息不被人获取,应对突发的安全情况
6、能力大大加强。(3)用户特点本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。(4)一般约束这是一个针对企业网络各方面进行调整的方案,不可避免要受于布线地理位置和系统安装的兼容性的限制。(5)假设依据本方案具有较高的可靠性和安全保密性。网络性能稳定,不出差错。在具体实施方面,应该由企业网络相关专业人员进行管理,本方案只负责具体的实施方法建议。应对用户定义不同的使用权限,技术处负责大部分管理。不能由其他人进行查看更改。 2、1、2性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行,企业网络安全方案应该满足以下需求:(1) 系统处理的全面性和
7、及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击,做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救,保证企业网络的正常运行。(2) 系统方案的可扩充性在方案的设计过程中,应该充分考虑系统的可扩充性,为以后企业的发展,网络设备的扩充,提供良好条件。(3) 系统的易用性和易维护性在完成这套方案之后,只需要技术人员在硬件上做好管理措施、系统上及时更新升级,以及做好备份工作。(4) 方案的标准性方案在设计过程中,要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。列如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。 2、2实际
8、网络的特点及目前企业网络优缺点分析图2-1 公司的原拓扑图如图,上图为一玩具企业的大概网络拓扑图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络,另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高,共享性强,适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易。缺点是安全行不高,维护不方便,分支节点出现故障会影响整个网络。其网络的交换机路由器已经经过一部分设置与设备NAT技术,使公司内部合理通信访问,工厂办公地点不能上网,员工办公阶段时间性的上网,领导办公没有限制。这都有效提高了公司
9、的工作质量与安全性,我们在这基础上,再设置一些安全措施,设计出一套完整的安全解决方案。 2、3设计目标根据实际情况,全方面的找出并解决企业存在的各方面安全问题,从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级(QOS技术)、以及数据的加密传输、签名认证和远程专用网络,以及合理应用内外防火墙,达到最大限度保证企业信息的安全,以及网络的通信顺畅。注:NAT技术NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,
10、允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。简单的说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,虽然地址转换技术设计的目的是为了节省IP地址,但是客观上,这种技术对网络外部隐藏了一个网络内部的地址结构,加大了内网的安全。QOS技术QoS的英文全称为Quality of Service,中文名为服务质量。
11、QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QoS不是创造带宽,而是管理带宽,因此它能应用得更为广泛,能满足更多的应用需求。QoS的目标是要提供一些可预测性的质量级别,以及控制超过目前IP网络最大服务能力的服务 3、 要解决的几个关键问题 3、1研究设计中要解决的问题 3、1、1设备、服务器、流量控制(1)从拓扑图上可知,类似总线型的网络拓扑结构,存在着明显的安全问题,如果其中一台交换机设备出现故障,将严重影响网络的正常运行,这是很大的安全隐患。(2)保证物理设备的安全,也没有针对一些突发情况的保护措施,以保证网络的随时通畅,容灾备份(
12、3)外部访问企业内部网络,共享资源,没有一个好的安全保护措施。(4)QOS流量服务控制,保证网络通顺(5)服务器的安全非常重要 3、1、2应用系统软件系统的安全存在问题,没有好的软件工具防御外来攻击,列如垃圾病毒邮件的防御。 3、1、3防火墙因为本企业对网络安全的不重视,还未安装外部防火墙,不能防御控制外来的攻击。 3、2针对现在网络中出现的网络安全问题,本课题所作的改善设计 3、2、1改善设计(1)改善其拓扑结构,把各设备协同工作时的隐患降到最低。(2),对物理设备实施保护措施,拥有少量备用和扩充的设备,建立流量控制措施,达到遇到突发情况从容面对,加以保证网络的正常运行。(3)采用现有的最有
13、效安全的虚拟专用网络(VPN)技术,达到外部访问内部资源时的安全。(4)QOS流量服务和ACL访问控制,保证网络通顺(5)打造服务器安全 3、2、2系统软件拥有一些安全的系统和防御、杀毒、筛选检测工具,达到最大限度防御外来攻击。采用身份人证和数据加密,保护邮件安全,再及时更新漏洞补丁随着电子邮件的普及和应用,伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。 3、2、3防火墙、入侵检测
14、安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员
15、的工作,保证网络安全的运行。 4、 系统设计关键技术 4、1、目标具体实现中采用的关键技术及分析 4、1、1 本文主要用到的2种拓扑结构: 1、总线拓扑总线拓扑结构采用一个信道作为传输媒体,所有站点都通过相应的硬件接口直接连到这一公共传输媒体上,该公共传输媒体即称为总线。总线拓扑结构的优点:(1)总线结构所需要的电缆数量少。(2)总线结构简单,又是无源工作,有较高的可靠性。(3)易于扩充,增加或减少用户比较方便。总线拓扑的缺点: (1)总线的传输距离有限,通信范围受到限制。(2)故障诊断和隔离较困难。(3)分布式协议不能保证信息的及时传送,不具有实时功能 2、 星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。星形拓扑结构具有以下优点:(1)控制简单。(2)故障诊断和隔离容易。(3)方便服务。星形拓扑结构的缺点:(1)电缆长度和安装工作量可观。(2)中央节点的负担较重,形成瓶颈。(3)各站点的分布处理能力较低。 4、1、2 容灾备份技术首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;
