《中小型企业网络安全的分析与实施》由会员分享,可在线阅读,更多相关《中小型企业网络安全的分析与实施(22页珍藏版)》请在金锄头文库上搜索。
1、目 录摘 要4关键词41 绪论41.1 选题的背景与意义41.2 可行性分析51.3 仿真实验平台51.4 论文的主要内容52 企业网络的需求分析52.1 企业网络的安全现状52.2 企业网络安全需求52.3 需求分析62.3.1 应用目标的分析62.3.2 物理层安全的分析62.3.3 安全需求的分析72.3.4 通信量需求的分析72.3.5 病毒安全的需求分析73 企业网络安全相关技术介绍73.1 虚拟局域网技术73.2 OSPF协议83.3 VRRP技术83.4 访问控制技术83.5 防火墙技术83.6 VPN技术84 企业网络的总体设计方案94.1 企业网络拓扑结构图94.2 安全设备
2、的选型104.3 IP地址和vlan的分配114.4 配置OSPF协议114.5 配置DHCP Snooping124.6 配置链路冗余和聚合124.7 ACL配置134.8 部署防火墙134.9 部署VPN154.10 其它安全设计175 测试与验证185.1 DHCP测试185.2 网络的连通性195.3 网络连通的安全性215.4 总公司与分公司的安全性226 总结与展望226.1 设计完成的任务226.2 总结226.3 展望23参考文献23Abstract24Key words24致谢25中小型企业网络安全的分析与实施摘 要 近几年来,随着时代的发展,网络信息技术日趋发展成熟,网络技
3、术时代已经慢慢成为人们对生活的追求。目前很多中小型企业的网络规模在不断的扩充,越来越依赖于网络技术,它在增强企业间通信、访问方便的同时,但也同样的存在着许多的网络安全问题。因此对网络安全问题也越来越注重。不少的企业也各自在自己的内部构建了安全的网络体系,使它们在网络间通信得到了安全的保障。企业网络安全大致可以分为四个部分:保密性、认证性、拒绝性和完整性控制。本论文构思了一个虚拟的企业网络的建设,分析了中小企业对网络安全的需求,研究了企业在网络中面临的安全问题。本文针对企业网络中存在的一些安全问题,设计了总公司内部间通信的网络安全策略,分别运用了vlan划分部门、DHCP Snooping技术、
4、ACL控制访问、配置防火墙等网络安全技术,为企业间通信提供一个安全、可靠、完整的网络体系。关键词 企业网络安全;防火墙;VPN;通信1 绪论1.1 选题的背景与意义如今的社会发展迅速,网络技术也跟着普遍运用起来,各行各业的互联网也在不断地崛起并强大起来。网络在给人们带来方便的时候,同样的也困扰着人们的生活质量。一旦网络受到了外界的威胁时,将会使人们带来经济损失。因此,为了防范这些问题的发生,无论是企业还是个人的计算机,任何一台计算机用户都得做好防范与应对措施,加强技术上的改进。现在很多企业也都逐渐依赖于先进的网络技术,以此来提高企业的发展与竞争力。所以在运用网络技术提高企业的利益的同时,同时也
5、存在着安全问题。企业的发展依赖于网络间的通信,任何通信依赖于网络,因此企业的信息便会因为网络不安全问题,造成企业重要信息泄露或被窃取 ,对企业正常的运行具有重要的影响。面对如此严峻的问题,为加强网络安全建设的问题,本文正是以中小型企业为例,为此部署一个安全的网络拓扑环境,用来实现企业的办公化与日常通信,从而提高企业的办公效率。于此同时,为保证每项工作能够安全高效地运行,计算机网络的安全建设就变得极其重要了。这也是本课题所要研究的意义。 1.2 可行性分析面对如今局势严峻的场面,纯人工运维的方式已经完全跟不上时代发展的需求。社会在不断的进步,对于那些落后的管理机制,已经慢慢地不再使用。从前的那些
6、企业管理手段,对于现如今的网络发展,已经容不得,这样会不利于网络的管理及安全。为实现企业现代化的管理方式与办公自动化的运维,现在都推行了这种网络建设,既保证了安全,又能让更多的企业能够带来高效益的工作方式。不仅能够为各个部门带来安全可靠的工作环境,还能提高员工的工作效率,以此增大企业的利益。1.3 仿真实验平台本论文所设计的网络拓扑图构建,模拟,测试等软件平台:Windows 10操作平台下实现;使用的软件是华为模拟器eNSP。1.4 论文的主要内容本论文主要研究了企业内部员工在网络中的安全通信与访问,为此设计了一个企业网络安全的环境,实现了控制用户访问的权限,内部能够访问到外网,主公司与分公
7、司之间的通信,配置了广播风暴控制等一些安全的相关协议技术。论文中通过分析现状的一些需求,简述了一些物理设备选型的概述,主要详细介绍了实现该企业网络拓扑的主要技术,让外人可以通过我的论文简介看懂我的设计实现功能。2 企业网络的需求分析2.1 企业网络的安全现状现在的科技发展,使得各行各业的竞争力也加大。所以现在的企业为了能让自己效益提高,就必须呼应市场的需求,以此来提高生产效率。为了要呼应市场,我们就必须通过网络的销售方式来分享东西,我们一旦运用网络就会存在安全隐患。不像以前的那个年代,局域网是封闭式的网络,所以他们的网络是安全的。对比现如今,网络的使用量也越来越大,存在的威胁系数也是越来越严重
8、的。所以如今对于网络的需求,我们应该尽可能的做到实现安全的策略。2.2 企业网络安全需求根据某中小型企业日常运维的需求,为此建设一个小型的企业网络,要求当中有Web、DNS、DHCP等服务器,该企业主公司分为后勤部,研发部,销售部,人力资源部,财务部,总经办等部门,每个部门都是独立的个体,而分公司也设立有自己的服务器和pc端,使得企业内全体员工都能访问公共的文件资源。总经办能和财务部互访之外,其他部门不能访问财务部,企业内部都能访问外网而财务部不能访问外网。因此对企业网络安全的需求包括:(1)保证全部网络的连通性;(2)企业总公司与分公司间的可以进行通信访问;(3)因为财务部是企业中的重要部门
9、,需要控制企业内部用户的访问权限;(4)关键的数据进行备份,并预防某条线路短路时而数据丢失;(5)抑制流量、风暴控制防止过多的广播组播单播报文将端口阻塞;(6)实现企业内部员工能访问企业的web服务器,外网能访问服务器;(7)控制报文上送速率,同时能使报文限速告警功能;(8)防范外来病毒的攻击;(9)保证网络安全的管理。2.3 需求分析2.3.1 应用目标的分析应用目标的安全主要是对应用管理的有效控制,主要是控制用户对应用管理的权限,需要提高一些安全性的系统以来保证应用层的安全。根据一些企业日常运维的分析,分析到一些企业在日常对网络的应用需求大致情况如下表1所示。表 1 企业应用需求分析情况列
10、表应用的名称应用的功能应用对象文件的共享文件共享全体员工WWW服务提供web浏览功能全体员工电子邮件发送邮件全体员工文件存储对文件有存储功能全体员工视频聊天能够通过视频进行会议全体员工远程访问能够正常访问分公司的服务器总经办网上招聘为人力资源部门提供招聘的网络平台人力资源部门2.3.2 物理层安全的分析物理设备是指计算机网络所集成的设备。物理安全就是保护这些设备,防止碰到下雨或者遇到线路短路造成火灾,水灾这些事故的发生。现在很多企业,包括一些政府机构单位、银行等,他们在创建网络体系时物理安全都是首要的设置条件。在选取设备选型的时候还要考虑它的价格方面和实用性,设备选型也是个重要的步骤,因为一般
11、都要在物理层方面上采取防范保护措施,以减少对日常上的一些损失。为了保证网络的正常通信,我们会在物理层上采取措施以保证信息的丢失:(1)防火防水措施。(2)对一些关键的数据进行备份。(3)保证产品的安全,安装要求专业。(4)保证设备的实用性,确定达到设备的需求。2.3.3 安全需求的分析安全需求要考虑在在内部工作与在外地工作的员工的正常通信,保证分公司与总公司之间运用的IPSec VPN技术能够安全、正常、快速地相互通信,传输数据。为了使内部能够良好的通信,应该设立一个防火墙,用来隔离外界的不良的病毒攻击总部,在防火墙内部放置文件服务器,以供内部员工的访问。2.3.4 通信量需求的分析根据现如今
12、企业的应用需求分析,通信量要保证能够提供全体人员在工作中的使用,以防数据在传输过程中延缓导致影响企业的高利益工作。在这里需要求每台客户机都能达到10到100兆的速率,以保证用户能同一时间上网、工作。也要要保证分公司与主公司之间进行传输的速率要求能达到1000兆,以此来保证企业的正常运行。2.3.5 病毒安全的需求分析病毒的安全分析是从网络系统中在传输时产生的病毒开始,预防它怎么才能减少。现在的网络安全都存在于一种病毒危害,当病毒被传播到计算机中时,我们是无法预测他的扩张的危险性是有多严重。现在的病毒传播都是通过网络进行传播,一个企业的计算机如果被病毒传染,很快就会殃及到别的计算机,从而会很容易
13、导致信息的泄露和企业的灾难。对此,我们应该实行一种防范措施,尽量避免不随便点链接,不随便网上随便下载信息等一些日常活动。3 企业网络安全相关技术介绍3.1 虚拟局域网技术虚拟局域网技术是将局域网内的网络划分为一个个网段以此达到虚拟工作的技术,用来实现不同广播域之间的隔离,很好地解决了管理员对网络通信安全的要求。使用该技术能够将同一个局域网内的网络划分为多个广播域,从而很好的控制了广播的风暴,并且有效地控制了企业网络中的不同部门间的访问权限,用来提高企业网络的安全性。另外,能够很好的为企业节省了成本预算,增加网络上的需求的安全性。3.2 OSPF协议OSPF协议是一种基于链路状态的内部网关协议,
14、该协议是通过路由器之间搜集的链路状态从而建立的路由表,由此生成最短路径树。该协议具有收敛性,路由无环,扩展性好的优点。选择该协议来进行将企业内部的几个部门划分为两个区域,根据区域的范围来计算自己的最短路径,大大的缩小了传递范围,使得很好的节约了网络的资源并且提高了资源的有效利用。3.3 VRRP技术虚拟路由器冗余协议是一种选择性协议。该协议通过把几台路由设备连接起来而组成一台虚拟的路由器,在本地为它们配置虚拟的IP地址和虚拟ID。因为在一个网络建设中,路由器是整个网络的最主要的一个设备。使用这个原理是为了防止当哪个路由器发生瘫痪的时候,而选择备用的静态路由器的一个技术,使得网络的不中断,保证了
15、企业数据的安全,以此提高了网络的可用性和安全性。3.4 访问控制技术ACL是访问控制列表的一种技术,是网络安全保护的一个策略,保证了一个企业间重要信息不被访问。当在交换机上配置ACL后,可以限制网络流量,指定要转发特定的端口数据包,也能控制特定的某个设备不能被访问等一些功能,是控制访问的一种网络技术的手段。使用该控制管理技术,减少了一系列的安全风险,有效的提高了网络维护的方便性,同时也减少了网络管理员的工作量,很好的保证了网络的安全性能。它根据访问的控制列表的用途,可以分为基本的控制访问列表和高级的访问列表。3.5 防火墙技术防火墙技术是在内部网络与外部网络之间的、专用网与公用网之间所建立的一道防御屏障墙,它是在企业内网与因特网间执行的安全策略,用来防御外界的非安全用户的入侵以及建立攻击防范措施。本设计中的防火墙部署在第5层网络安全体系中,主要负责传输网络间的安全认证与信息传输,所有的数据信息通过都是要经过防火墙,使能实现连通到外网的安全性。3.6 VP
