《计算机网络构建企业级网络方案》由会员分享,可在线阅读,更多相关《计算机网络构建企业级网络方案(26页珍藏版)》请在金锄头文库上搜索。
1、计算机网络课程设计摘 要针对该企业深刻认识到业务要发展,必须提高企业的内部核心竞争力,而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫。根据该企业的行业特点和用户需求,从实际出发,制定合理的设计原则和行之有效的方案。从现场勘察,到各个步骤的规划,每一步做到缜密的设计。本次设计主要针对企业网络构建规划方案进行简单设计,对企业网络的组建,各楼层信息点划分,企业网络拓扑图设计,使用防火墙及其设备的介绍,网络安全方案等。关键词:企业网络,安全,天融信防火墙目 录第一章 企业内网现状描述1第二章 企业内网安全需求分析1第三章 企业内网安全方案设计原则23.1安全体系结构23.2安全方案设计原
2、则33.2.1需求、风险、代价平衡的原则33.2.2 综合性、整体性原则33.2.3一致性原则33.2.4 易操作性原则33.2.5 适应性及灵活性原则33.2.6 多重保护原则4第四章 内网安全技术实现方案44.1物理安全44.2网络安全54.2.1 网络结构安全54.2.2访问控制64.2.3入侵检测84.2.4病毒防护94.2.5数据备份与恢复94.3.1.安全管理原则104.3.2.安全管理的实现11第五章 安全设备配置115.1企业内网网络安全拓扑图125.2企业内网网络安全设备配置列表12第六章 附件136.1防火墙产品介绍136.2天融信安全服务介绍156.2.1专业的安全服务描
3、述156.2.2服务范围176.2.3服务方式176.2.4服务实现目标176.2.5服务标准和规范17总结19主要参考资料20 课程设计说明书(论文)用纸第一章 企业内网现状描述企业内网由于网络建设时间比较早,网络设备比较老,很多现在先进的网络技术支持的不是很好,导致了结构的划分上不是很清晰,但大致可以分为六个组成部分,即;核心骨干区、内网用户区、数据库服务器区、应用服务器区、WEB服务器区和软件服务器区。核心骨干区由两台IBM8265三层交换机组成,其中一台通过千兆光纤下联到各种楼层交换机,形成了内网用户区;另外一台通过155M光纤下联到2810交换机,2810交换机通过100M以太接口与
4、各类软件服务器相联形成了软件服务器区;2810交换机通过一条100M以太线路连接到Catalyst3550交换机,Catalyst3550通过100M以太接口与各类WEB服务器相联形成了WEB服务器区;IBM8265通过一条100M以太线路连接到Catalyst3548交换机,Catalyst3548通过100M以太接口连接各类数据库服务器,形成了数据库服务器区;另外IBM8265通过100M以太接口直接连接各类应用服务器,形成了应用服务器区。所有的内部数据都在核心层进行快速的交换/路由,以保证整个企业内网高效、快捷、安全的运转。第二章 企业内网安全需求分析企业内网为企业内网系统业务的开展带来
5、了极大的方便但随着网络应用的扩大和网络设备的老化,网络安全风险也变得更加严重和复杂,原来运转正常的网络现在经常发生网络故障,严重影响了内部业务的开展原来由单个计算机安全事故引起的损害可能传播到其它系统和主机,引起大范围的瘫痪和损失;另外,加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重这些风险由多种因素引起,与网络系统结构和系统的应用等因素密切相关在目前的网络中已经部署了一些安全产品,例如防病毒软件、防火墙系统等原来清华德实公司的四台防火墙设备,在访问控制方面已经有了基本的防护功能,但设备的部署不是很合理,没有充分发挥防火墙的访问控制功能,只有小部分服务器得
6、到了防火墙的保护,大部分服务器没有任何防护措施,完全暴露在公开网络中,其安全度可想而知我们根据业务的需求重新划分了新的网络安全域,在核心交换机和数据库安全域之间没有任何的安全防护,而这些数据又是网络中的核心,一旦数据发生问题这个的业务都会受到影响,所以保护这些数据的安全是重中之重因此为了保证企业内部网络系统的安全、稳定、高效的运转,有必要对其网络安全进行专门设计第三章 企业内网安全方案设计原则3.1安全体系结构网络安全的总体设计思想是围绕MPDR2模型的,要实现企业网络系统的安全,就要从保护、检测、响应、恢复及管理五个方面对纵向网信息系统建立一套全方位的信息保障体系。P(Protection)
7、:防护 D(Detection):扫描、检测 R(Response):回应R(Recovery):恢复/备份 M(Management):管理保护;安全保护技术包括访问控制技术、身份认证技术、加密技术、数字签名技术、系统备份等信息系统的保护是安全策略的核心内容检测;检测的含义是对信息传输内容的可控性的检测,包括对信息平台访问过程的检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等检测使信息安全环境从单纯的被动防护演进到积极防御,从概念化安全对策演变到在对整体安全状态认知基础上的有针对性的对策,并为进行及时有效的安全响应以及更加精确的安全评估奠定了基础回应;响应是保证在任何时候信息平
8、台能高效正常运行,要求安全体系提供有力的响应机制包括在遇到攻击和紧急事件时及时采取措施,例如关闭受到攻击的服务器;反击进行攻击的网站;按系统的安全状况加强和调整安全措施等等恢复;狭义的恢复指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等广义的恢复还包括灾难生存等现代新兴学科的研究保证信息系统在恶劣的条件下,甚至在遭到恶意攻击的条件下,仍能有效地发挥效能管理;管理是实现整个网络系统安全的重要保证,有了安全网络环境,但缺乏有效的安全管理,安全就很难得以维持,只有建立严格安全管理制并强制执行,才能适应网络安全的动态性和整体性网络安全
9、是一个整体目标如果全面的保护仍然不能确保安全,就需要检测来为响应创造条件;有效与充分地响应安全事件将大大减少对保护和恢复的依赖;恢复能力是在其它措施均失效的情形下的最后保障机制因此,要在网络上构筑有效的安全保障体系,必须投入必要的资源,全面加强五个方面的技术与管理,实现整体网络的安全目标3.2安全方案设计原则在对企业内网进行网络系统安全方案的设计和规划时,我们遵循以下原则:3.2.1需求、风险、代价平衡的原则对任何一个网络,绝对安全难以达到,也不一定是必要的对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后
10、制定相应的规范和措施,确定系统的安全策略3.2.2 综合性、整体性原则应运用系统工程的观点、方法,分析网络的安全及具体措施安全措施主要包括;行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻击检测技术、容错、防病毒等)一个较好的安全措施往往是多种方法适当综合的应用结果3.2.3一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有详实的内容及措施实际上,在网络建设的开始就考虑
11、网络安全对策,比在网络建设完成后再考虑安全措施,不但容易,而且花费也少很多3.2.4 易操作性原则安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行3.2.5 适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。3.2.6 多重保护原则任何安全措施都不是绝对安全的,都可能被攻破但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全网络安全是整体的、动态的网络安全的整体性是指一个安全系统的建立,即包括采用相应的安全设备,又包括相应的管理手段安全设备不是
12、指单一的某种安全设备,而是指几种安全设备的综合网络安全的动态性是指,网络安全是随着环境、时间的变化而变化的,在一定环境下是安全的系统,环境发生变化了(如更换了某个机器),原来安全的系统就变的不安全了;在一段时间里安全的系统,时间发生变化了(如今天是安全的系统,可能因为黑客发现了某种系统的漏洞,明天就会变的不安全了),原来的系统就会变的不安全所以,网络安全不是一劳永逸的事情对于企业内网的网络建设,我们的方案采取以上的原则,先对整个网络进行整体的安全规划,然后,根据实际状况建立一个从防护检测响应的基础的安全防护体系,保证整个网络安全的最根本需要第四章 内网安全技术实现方案通过对企业内网网络应用的全
13、面了解,根据企业内网网络的实际情况,按照安全风险、需求分析的结果以及网络的安全目标,我们从物理安全、网络安全、管理安全等几个方面对现有的网络进行分析。4.1物理安全保证计算机信息系统各种设备的物理安全是保障整个企业内网网络系统安全的前提。 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93电子计算机机房设计规范、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求)设备安全;
14、主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;通过严格管理及提高员工的整体安全意识来实现媒体安全;包括媒体数据的安全及媒体本身的安全显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害为了防止系统中的信息在空间上的扩散,通常是在物理上探取一定的防护措施,来减少或干扰扩散出去的空间信号政府、军队、金融机构在建设信息中心时都将成为首要设置的条件
15、正常的防范措施主要在三个方面; 1、对主机房及重要信息存储、收发部门进行屏蔽处理, 即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等2、对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输3、对终端设备辐射的防范,终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取低辐射产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽降低了部份屏蔽效能,但可大大改善工作环境,使人感到在普通机房内一样工作本方案暂不考虑这方面的安全4
