《企业网络信息安全整体解决方案》由会员分享,可在线阅读,更多相关《企业网络信息安全整体解决方案(26页珍藏版)》请在金锄头文库上搜索。
1、企业网络信息安全整体解决方 技术白皮书完善、优化企业内部网络架构单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基1、2、3、4、二、构建全方位的数据泄漏防护系统域结构管理模式网络拓扑结构设计三层交换与VLAN吉合企业网管软件1、文档安全管理系统2、企业U盘认证系统3、打印监控系统/ 异地备份与容灾体系 .四、建立防火墙、防入侵及一体化安全网关解决方案1、趋势科技防毒墙- 服务器版(SP) :2、 Juniper 防火墙:随着计算机技术的飞速发展,在计算机上处理的业
2、务也由基于单机的数学运算、文件处理,基于简错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。错误 !未定义书签。于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/ 异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方
3、案,达到净化企业内部网络环境提升员工工作效率的目的。一、完善、优化企业内部网络架构在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备 ( 如路由器、交换机、安全网关、服务器等 ) 的采购决策,以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模 。 同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构
4、。1、域结构管理模式在很多小型企业公司内部的网络还是采用对等网模式(工作组) ,在这种工作模式下任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由 Windows 9x 构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器 (Domain Controller ,简写为DC)” 。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信
5、息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问 Windows 共享出来的资源,这样就在一定程度上保护了网络上的资源。域控制器的功能除了上面说到的可以做身份验证之外,还可以对属于域的所有计算机的操作权限(安装 / 卸载软件、更改IP 地址、更改计算机设置等)进行有效的控制,以达到集中化管理的目的。2、网络拓扑结构设计组网方式:树形组网方案该方案引入二级联网方式,骨干层交换机
6、采用了高性能的千兆级二层交换机,连接服务器、路由器与网络打印机。 二级交换机采用 24+2 口交换机, 其中的两个端口为1000M, 用于接入骨干交换机, 其余 10/100M端口连接相对分散的桌面用户。1000M高速交换方案特点:二级联网方式更好的将数据通过骨干交换机分散处理,它与服务器之间通过 端口连接,以满足大容量数据传输的要求。骨干交换机和二级分交换机的连接则采用了快速以太网通道(FEC)技术,有效的扩展了网络的带宽。这项技术能够把2-4个物理链路聚合在一起,在全双工工作模式下达到400-800M的带宽,FEC技术能够充分利用现有设备实现高速数据传递。同时该方案具有结构简安用户ta闻画
7、单灵活,非常便于扩充。而且所需电缆长度很短,减少了安装费用,易于布线和维护工作。3、三层交换与 VLAN结合很多企业在网络设计初期采用二层交换技术的网络架构,核心交换机采用二层交换技术,在原先只有几十到100多台工作站的情况下,网络性能较理想。但是随着网络规模在不断扩大,工作站增加到200台左右时,网络性能明显下降。另外,对于这种网络,很容易发生诸如网卡故障等原因引起的网络广播风暴,而且一旦发生广播风暴,很难查找故障点,甚至导致网络瘫痪,网络维护工作量很大。如果我们采用三层交换技术的网络架构,同时在局域网内划分若干VLAN (虚拟网)后,网络性能将大为改善。这是因为三层交换技术就是“二层交换技
8、术+路由转发”。它解决了二层交换技术不能处理不同IP子网之间的数据交换的缺点,又解决了传统路由器低速、复杂所造成的网络瓶颈问题。再配合VLAN技术将将局域网内的设备逻辑地而不是物理地划分成一个个不同的网段,从而实现虚拟工作组的技术。这样有三个好处:一是提高网络安全性,不同VLAN的数据不能自由交流,需要接受第三层的检验,因此,在一定程度上加强了虚网间的隔离,有效防止外部用户入侵,提高了安全性。二是隔离广播信息,划分VLAN后,广播域缩小,有利于改善网络性能,能够将广播风暴控制在一个VLAN内部,同时使网络管理趋于简单。三是增强网络应用的灵活性,VLAN是在一个有多台交换机的局域网中统一设定的,
9、这使得用户可以不受所连交换机的限制,不论用户节点移动到局域网中哪一台交换机上,只要仍属于原来的虚网,则应用环境没有任何改变。注:骨干交换机应该采用高带宽的千兆以上交换机。因为它是网络的枢纽中心,重要性突出。在大中型企业中核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能。即两台核心交换机正常情况下都参与工作,当其中的任何一台发生故障时,另外一台可以自动、无缝地接管它的工作,无需人工干预故障切换。全面提高网络对突发事故的自动容错能力,最小化网络的失效时间。4、企业网管软件企业网络架构在经过以上三个步骤的部署以后比较完善了,但是还缺乏有效的企业网络管理软件来对网络设备
10、进行管理,针对这种情况我们可以配置一套“方正网略网络架构管理系统”,它在整合了传统网管软件功能的同时,重点突出了方便、实用的特点,帮助企业管理人员维护好自身的网络。通过对网络设备的管理、网络状态的分析、设备性能的监测以及各种故障事件的诊断和快速修复,为企业提供一个稳定可靠的网络环境。方正网略 NetInWay Pro 充分考虑了当前企业级网管软件的用户需求,将系统分为以下四大功能模块,每个模块的功能如下: IP 管理(网络IP 资源保护、非法IP 接入阻断、定期统计IP 使用情况,回收长期不使用 IP ) 设备管理(网络拓扑自动生成、远程查询网络设备的资源使用情况和网络设备连接状况) 性能分析(网络流量的图形化显示、实时监控设备端口的PPS对内网有害流量进行阻断) 故障管理(检测IP 故障、设备故障、流量故障、蠕虫故障)NetInWay Pro版本采用了简单明了的用户界面,如下图所示。在此用户界面中,把主要功能(IP管理、设备管理、性能分析、故障管理)包含在同一界面中,方便用户使用H?E工懂口, ,曷甲本*T *小,1 rt 晦et oiQ 看自 后i :却.* it -重甲 i审*, J A 曲 Balffj M-m$j|9 0 国戟I IP
