《构建企业网络安全方案》由会员分享,可在线阅读,更多相关《构建企业网络安全方案(29页珍藏版)》请在金锄头文库上搜索。
1、企业内部网络安全策略论述报告设计题目论述企事业内部的网络安全策略学院软件学院专业网络工程学号姓名指导教师完成日期10 / 29目录摘要 31 .引言 41.1 本课题的研究意义 41.2 本论文的目的、内容 42 .企业网络现状及设计论述 42.1 概述 42.2 实际网络的特点及目前企业网络优缺点论述 72.3 设计目标 93 .关键问题论述 103.1 研究设计中要解决的问题 103.2 本课题所作的改善设计 114 .系统设计关键技术论述 124.1 .目标具体实现中采用的关键技术及分析 124.2 设计实现的策略和途径描述 154.3 设计模型及系统结构(新的拓扑图) 165 .系统实
2、现技术论述 16概述 175.1 物理设备安全 175.2 VPN 技术 195.3 访问控制列表与QO豉术 255.4 服务器的安全 256 .总结 277 .参考文献 28企事业单位内部网络的安全策略论述摘要:互联网给我们带来了极大的便利。但是,随着互联网的空前发 展以及互联网技术的普及,使我们面临另外提个困境:私人数据、重要 的企业资源以及政府机密等信息被暴露在公共网络空间之下,伴随而来 的网络安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将 给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强 企业网络安全工作,是一些企业建设工作的重要工作内容之一。本文主要分析了企业
3、的网络结构和一些基本的安全情况,包括系 统安全的需求分析、概要设计,详细设计分析等,重点针对企业网络 中出现的网络安全问题,作了个简单介绍。对有关安全问题方面模块 的划分,解决的方案与具体实现等部分关键词:网络安全VPNK术QO豉术容灾备份服务器安全引言随着互联网的空前发展以及互联网技术的不断普及,企业的重要数据信息都被暴露在公共网络空间下,很容易丢失或者被一些不 法人士获取。由于黑客的攻击、病毒的入侵、以及人为操作的不当 等,都有可能威胁到重要信息数据,这些危害也越来越受到人们的 重视。因此,根据企业的实际情况建立一套切实可行的安全网络方 案来改善这个情况,使企业的数据机密信息得以保护,并且
4、可以保 证企业的网络顺畅的工作,有助于公司的长远发展。1.1 本课题的研究意义本课题的研究意义在于论述并研究企业网络的安全解决方案以及实 际的应用方法,是获得整个企业网络安全优良设计的指南,为公司探讨 出一套正确有效的网络安全方案。1.2 本论文的目的、内容本论文的目的是为企业提出一个有效的网络安全方案,使企业的网络安全威胁降到最低。从企业的设备配置安全、系统软件的安全、以及 放火墙与入侵检测等来论述企业的网络安全。2.企业网络现状及设计论述2.1 概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒 检测、网站过滤等等
5、。具着眼点在于:国内外领先的厂商产品;具备处 理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制; 是用户能够很容易地完善自身安全体系。然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的, 因而比较容易确保其安全性,简单的安全性设备就足以承担其任务。然 而,当今的网络已经发生了变化,确保网络的安全性和可用性已经成为 更加复杂而且必需的任务。用户每一次连接到网络上,原有的安全状况 就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当 今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无 能为力了。网络攻击在迅速地增多:网络攻击通常利用网络某些内在特点, 进
6、行非授权的访问、窃取密 码、拒绝服务等等。考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设 备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。止匕外, 严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任 乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。(1)待改企业描述本文的企业为一个早期玩具制造和销售企业,希望能具有竞争力并提 高生产效率,这就必须对市场需求作出及时有力的响应,从而引发了依 赖互联网来获取、共享信息的趋势,这样才能进一步提高生产效率进而 推动未来增长。本方案旨在使公司的网络更安全,以保证企业安全和减少安全问题带 来的损失。可以快速的对网络
7、攻击做出反应。(2)功能此方案可让企业保证硬件设备减少安全隐患,公司重要信息不被人获 取,应对突发的安全情况能力大大加强。(3)用户特点本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司 领导、信息中心系统管理人员和维护人员。(4) 一般约束这是一个针对企业网络各方面进行调整的方案, 不可避免要受于布线 地理位置和系统安装的兼容性的限制。(5)假设依据本方案具有较高的可靠性和安全保密性。网络性能稳定,不出差错。 在具体实施方面,应该由企业网络相关专业人员进行管理,本方案只负 责具体的实施方法建议。应对用户定义不同的使用权限,技术处负责大 部分管理。不能由其他人进行查看更改。2.1.2
8、性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行,企业网络 安全方案应该满足以下需求:(1)系统处理的全面性和及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到 可能受到的网络攻击,做好全方面的补救和抵御措施。且在发生突发情 况下能及时的补救,保证企业网络的正常运行。(2)系统方案的可扩充性在方案的设计过程中,应该充分考虑系统的可扩充性,为以后企业的发展,网络设备的扩充,提供良好条件。(3)系统的易用性和易维护性在完成这套方案之后,只需要技术人员在硬件上做好管理措施、系统上及时更新升级,以及做好备份工作。(4)方案的标准性方案在设计过程中,要涉及很多计算机硬件、软件。
9、所有这些都要符 合主流国际、国家和行业标准。列如要用到的操作系统、网络设备以 及软件、技术都要符合通用的标准。10 / 292.2 实际网络的特点及目前企业网络优缺点论述黑狎落群图2-1公司的原拓扑图如图,上图为一玩具企业的大概网络拓扑图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售、网站 维护和构想玩具工作等的写字楼办公网络,另两部分为领导决策的主网 络以及公司的服务器群。其优点是结构简单灵活可靠性高,共享性强,适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易。缺点是安全行不高,维护不方便,分支节点出现故障会影响整 个网络。其网络的交换机路
10、由器已经经过一部分设置与设备NAT技术,使公司内部合理通信访问,工厂办公地点不能上网,员工办公阶段时间性的 上网,领导办公没有限制。这都有效提高了公司的工作质量与安全性, 我们在这基础上,再设置一些安全措施,设计出一套完整的安全解决方案。2.3 设计目标根据实际情况,全方面的找出并解决企业存在的各方面安全问题, 从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制 优先级(QO眼术)、以及数据的加密传输、签名认证和远程专用网络, 以及合理应用内外防火墙,达到最大限度保证企业信息的安全,以及网 络的通信顺畅。注:NA俄术NAT英文全称是“ Network Address Transla
11、tion 中文意思是“网 络地址转换”,它是一个 IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP (Internet Protocol )地址出现在Internet上。顾名思义,它是一种把内部私有网 络地址(IP地址)翻译成合法网络IP地址的技术。简单的说,NATM是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院 子的门一样)处,将内部地 址替换 成公用地 址,从 而在外部 公网 (internet )上正常使用,虽然地址转换技术设计的目的
12、是为了节省IP地址,但是客观上,这种技术对网络外部隐藏了一个网络内部的地址结 构,加大了内网的安全。QO豉术QoS的英文全称为Quality of Service,中文名为服务质量。QoS 是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。 QoS不是创造带宽,而是管理带宽, 因此它能应用得更为广泛,能满足更多的应用需求。QoS的目标是要提供 一些可预测性的质量级别,以及控制超过目前IP网络最大服务能力的服 务3.关键问题论述3.1 研究设计中要解决的问题3.1.1 设备、服务器、流量控制(1)从拓扑图上可知,类似总线型的网络拓扑结构,存在着明显的
13、安全 问题,如果其中一台交换机设备出现故障,将严重影响网络的正常运行, 这是很大的安全隐患。(2)保证物理设备的安全,也没有针对一些突发情况的保护措施,以保 证网络的随时通畅,容灾备份(3)外部访问企业内部网络,共享资源,没有一个好的安全保护措施。(4) QO就量服务控制,保证网络通顺(5)服务器的安全非常重要3.1.2 应用系统软件系统的安全存在问题,没有好的软件工具防御外来攻击,列如垃圾病毒邮件的防御3.1.3 防火墙因为本企业对网络安全的不重视,还未安装外部防火墙,不能防御控制 外来的攻击。3.2本课题所作的改善设计3.2.1 改善设计(1)改善其拓扑结构,把各设备协同工作时的隐患降到最
14、低。(2),对物理设备实施保护措施,拥有少量备用和扩充的设备,建立流量控制措施,达到遇到突发情况从容面对,加以保证网络的正常运行。(3)采用现有的最有效安全的虚拟专用网络(VPN技术,达到外部访问内部资源时的安全。(4) QO疏量服务和ACL访问控制,保证网络通顺(5)打造服务器安全3.2.2 系统软件拥有一些安全的系统和防御、杀毒、筛选检测工具,达到最大限度防御外来攻击。采用身份人证和数据加密,保护邮件安全,再及时更新漏洞补丁随着电子邮件的普及和应用,伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全 性风险变得日益严重。病毒、蠕虫、垃圾邮件、网
15、页仿冒欺诈、间谍软 件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基 础结构的管理成为了 一种更加具有风险的行为。3.2.3 防火墙、入侵检测安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的 攻击。在两个网络之间加强访问控制的一整套装置, 是内部网络与外部 网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自internet (外部网)的传输信息或从内部网络发出的信息都 必须穿过防火墙。入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收 集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略 的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监 测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它 必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵 检测系统能大大简化管理员的工作,保证网络安全的运行。4.系统设计关键技术论述4.1. 目标具体实现中采用的关键技术及分析4.1.1 本文主要用到的2种拓扑结构:1.总线拓扑总线拓扑结
