《企业网络安全规划》由会员分享,可在线阅读,更多相关《企业网络安全规划(30页珍藏版)》请在金锄头文库上搜索。
1、2012 届本科生毕业设计题 目企业网络安全规划作者姓名:王建斌学 号:系(院)、专业:计算机信息管于 指导教师姓名:指导教师职称:2012 年 3 月 4 日摘要网络安全的本质是网络信息的安全性,包括信息的保密性、 完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存 储、传输和使用过程体现。网络安全管理是在防病毒软件、防火墙或 智能网关等构成的防御体系下,对于防止来自网外的攻击。防火墙, 则是内外网之间一道牢固的安全屏障。安全管理是保证网络安全的基 础,安全技术是配合安全管理的辅助措施。建立了一套网络安全系统 是必要的。本文从对网络的现状分析了可能面临的威胁,从计算机的安 全策略找
2、出解决方案既用网络安全管理加防火墙加设计的网络安全 系统。通过以下三个步骤来完成网络安全系统:1、 建设规划;2、技 术支持;3、 组建方案。关键词:网络;安全;设计ABSTRACTNetwork security is the essence of the safety ofnet work informa tion, including informa tion of confide ntiality, int egr ity, and availabi lity, authenticit y and co nt rollable e tc, it is through the netwo
3、rk information storage, transport and use process. network security management is in anti-virus soft ware, a firewall or int elligence gat eway, etc, the defense system to prevent from outside . A firewall is a firm between inner and outer net security barrier. Safety management is the basis of netw
4、ork security and safety technology is the auxiliary measures with safetymanagement. Has established a set of network security system is necessary.Based on the analysis of the status of the net work could face threats, from the computer security strategy to findsol utions in the net work secur ity ma
5、nageme nt is designed with the network firewall security system. Through three steps to complete the campus network security system: 1, the construetion plan. 2 and technical support.3 and construetion scheme.Keyword:Network. Safe ; Design绪论随着网络的高速发展,网络的安全问题日益突出,近年来,黑 客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切
6、实做好网络安全建设和管理工作。但是在企业网络建设的过程中,由 于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、 轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长, 关键性应用的普及和深入,企业网在企业的信息化建设中已经在扮演 了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企 业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。随着企业信息化的不断推进,各企业都相继建成了自己的企业 网络并连入互联网,企业网在企业的信息化建设中扮演了至关重要的 角色。但必须看到,随着企业网络规模的急剧膨胀,网络用户的快速 增长,尤其是企业网络所面对的使用
7、群体的特殊性(拥有一定的网络 知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如 何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个 企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓。企业网络安全网络安全是一门涉及计算机科学、网络技术、通信技术、密 码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合 性学科。网络的生命在于其安全性。因此,在现有的技术条件下,如 何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一 个重要课题。网络的发展极大地改变了人们的生活和工作方式,Internet 更是给人们带来了无尽的便捷。我们的企业也正朝着信息化、网络化 发展,
8、随着“企业通”工程的深入开展,许多企业都投资建设了企业 网络并投入使用。企业网络在我们的企业管理、日常管理等方面正扮 演着越来越重要的角色。但是,在我们惊叹于网络的强大功能时,还 应当清醒地看到,网络世界并不是一方净土。“网络天空(Worm.Netsky)”、“高波(Worm.Agobot)”、“爱情后门(Worm.Lovgate)” 及“震荡波(Worm.Sasser) ”等病毒,使人们 更加深刻的认识到了网络安全的重要性。因此,在现有的技术条件下, 如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的 一个重要课题。网络安全是一门涉及计算机科学、网络技术、通信技术、密 码技术、信息
9、安全技术、应用数学、数论、信息论等多种学科的综合 性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到 保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连 续可靠正常地运行,网络服务不中断。企业安全网络规划随着计算机应用的日益普及,网络已经成为大多数企业的重 要组成部分,许多常用办公应用已经开始转向网络,例如企业办公、 视频会议、合作伙伴沟通等。随之而来的网络安全问题,也就成为制 约企业生存与发展的命脉。网络安全建设的总体思路是:以信息资产 为核心,以安全战略为指导,根据安全需求逐步完善安全基础措施, 为网络应用提供安全能力支持。1.1 项目背景某高新产品研发企业拥有员工 2
10、000 余人,公司总部坐落在 省会城市高新技术开发区,包括 4 个生产车间和两栋职工宿舍楼, 产品展示、技术开发与企业办公均在智能大厦中进行。该企业在 外地另开设有两家分公司,由总公司进行统一管理和部署。目前, 该企业的拓扑结构图如图1-1 所示,基本情况如下。1)公司局域网已经基本覆盖整个厂区,中心机房位于智能大厦 的第 3层(共15 层),职工宿舍楼和生产车间均有网络覆盖。2)网络拓扑结构为“星型+树型”,接入层交换机为 CiscoCatalyst 2960,汇聚层交换机为 Cisco Catalyst 3750,核 心层交换机为 Cisco Catalyst 6509。(3)现有接入用户
11、数量为500个,客户端均使用私有IP地址,通过防火墙或代理服务器接入Internet。部分服务器IP地 址为公有IP地址。(4)Internet接入区的防火墙主要提供VPN接入功能,用于远程移动用户或子公司网络提供远程安全访问。5)会议室、产品展示大厅等公共场所部署无线接入点,实现随 时随地无线漫游接入。6)服务器操作系统平台多为 WindowsServer2003 和 WindowsServer 2008 系统。客户端系统为 Windows XP Professional 和 Windows Vista。7)网络中部署有 Web 服务器,为企业网站运行平台。(8)企业网络办公平台为WSS,文
12、件服务器可以为智能大厦的办 公用户提供文件共享、存储于访问。9)E-mail 用户员工之间的彼此交流,以及企业与外界的通信网 络。10)打印服务和传真服务主要满足智能大厦用户网络办公的应 用。(11)企业分支结构通过VPN方式远程接入总部局域网,并且可以访问网络中的共享资源。樓心交换冲Q、ISPInlernetXKCibcd xaes踐网蚂控IH爭无线谕问点服务器区展示厅图 1-1 项目背景1.2 项目分析在普通小型局域网中,最常见的安全防护手段就是在路由器后 部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在 路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。 但是,在该
13、企业网络中,许多重要应用都要依赖网络,势必对网络的 安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访 问控制与安全配置措施,加固网络安全。1.2.1 安全设备分布1. 防火墙由于企业局域网采用以太网接入方式,所以直接使用防火墙充 当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问 列表和静态路由信息。另外,在会议室、产品展示厅等公共环境中的 汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能 存在的安全风险通过核心设备传播到整个网络。2.IPSIPS (In trusion Preve nt ion Sys tem,入侵防御系统)部署在 Internet 接入区
14、的路由器和核心交换机之间,用于扫描所有来自 Internet 的信息,以便及时发现网络攻击和制定解决方案。3.IDSIDS (Internet Detection System,入侵检测系统)本身是一 个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需 要在网络上被动地、无声息地收集相应的报文即可。IDS无法跨越物 理网段收集信息,只能收集所在交换机的某个端口上的所有数据信息 该网络中的IDS部署在安全需求最高的服务区,用于实时侦测服务器 区交换机转发的所有信息,对收集来的报文,IDS将提取相应的流量 统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分 析比较匹配。根据默认
15、的阀值,匹配耦合度较高的报文流量将被认为 是进攻,IDS将根据相应的配置进行报警或进行有限度的反击。4.Cisco Security MARSCisco Security MARS(Monitoring Analysis ResponseSys tem)是基于设备的全方位解决方案,是网络管理的关键组成部分。MARS 可以自动识别、管理并抵御安全威胁,它能与现有网络和安全 部署协作,自动识别并隔离网络威胁,同时提出准确的清除建议。在 本例企业网络中,MARS直接连接在核心交换机上,用于收集经过核 心交换机的所有数据信息,自动生成状态日志,供管理员调阅。 1.2.2网络设备安全现状当网络中的交换机
16、、路由器等网络设备都是可网管的智能设备 并且提供Web管理方式,同时配置了基本的安全防御措施,如登陆密 码、用户账户权限等。1. 交换机和路由器安全设置交换机的主要功能就是提供网络所需的接入接口。目前,该网络中基于交换机的安全管理仅限于VLAN划分、Enable密码和Telnet 密码等基本安全措施,并未进行任何高级安全配置,如流量控制,远 程监控、 IEEE802.1x 安全认证等,存在较大的安全隐患。企业网络采用以太网接入Internet,而网络中部署的网络防 火墙已具备接入功能,所以该网络中的路由器上只配置简单的静态路 由、访问控制列表和网络地址转换,可以满足基本的安全要求。2. 办公设备安全配置企业网络中的集中办公设备包括打印机和传真机,均支
