中小型企业网络设计及安全实现.docx
《中小型企业网络设计及安全实现.docx》由会员分享,可在线阅读,更多相关《中小型企业网络设计及安全实现.docx(38页珍藏版)》请在冰豆网上搜索。
中小型企业网络设计及安全实现
编号
本科生毕业设计
中小型企业网络设计及安全实现
NetworkDesignAndSecurityofSmallAndMediumSizedEnterprises
学生姓名
王振阳
专业
软件工程
学号
1242130
指导教师
陈刚
分院
信息工程分院
2016年6月
摘要
经过对中小型企业网络现状分析,组建一套适合企业自身的网络环境是十分必要的,本文通过网络构建的设计方案、基于安全的网络基本配置方案、网络管理方案三方面,主要运用了HTTP、DNS、FTP、DHCP应用服务器来实现一个企业网络间接入与访问,并且建设了一种中小型网络的安全方案。
在对中小型网络系统有了确切的了解之后,将局域网总体子网划分为三个安全等级,每个等级中包含若干子网,各类子网设置了各自的安全策略。
按照计算机网络安全设计的目标及其计算机网络安全系统的总体规划,对计算机网络安全问题进行了全面的分析。
依照各个安全等级的安全需求,设计了中小型网络的安全方案。
在满足各子网系统建设的前提下,提出了包括病毒防护、动态口令身份认证、安全审计管理、访问控制、信息加密策略、入侵检测系统的部署、漏洞扫描系统等管理措施和安全技术在内的整套解决方案。
目的是建立一个完整的、立体的网络及安全防御体系,使网络及安全系统真正获得较好的效果。
关键词:
局域网网络管理子网划分病毒防护服务器
Abstract
Throughtheanalysisofthestatusofsmallandmedium-sizedenterprisenetwork,theformationofanetworkenvironmentsuitablefortheenterpriseitselfisverynecessary,throughnetworkbuildingdesign,safenetworkconfiguration,networkmanagementschemebasedon,themainuseoftheHTTP,DNS,FTP,usingDHCPservertoachieveaenterprisenetworkaccess,andtheconstructionofasecureschemeforasmallnetwork.Afterthesmallandmedium-sizednetworksystemhasacertainunderstanding,thelocalareanetworkisdividedintothreesecuritylevels,eachofwhichcontainsanumberofsubnetwork,allkindsofsubnetworksetuptheirownsecuritypolicy.Accordingtothegoalofcomputernetworksecuritydesignandtheoverallplanofthecomputernetworksecuritysystem,acomprehensiveanalysisismadeonthecomputernetworksecurityproblem.Accordingtothesecurityrequirementsofeachsecuritylevel,thesecurityschemeofthemediumandsmallscalenetworkisdesigned.Inthepremiseofsatisfyingeachsubnetworksystemconstruction,includingvirusprotection,dynamicpasswordidentityauthentication,securityauditmanagement,accesscontrol,informationencryptionstrategiesandintrusiondetectionsystemdeployment,vulnerabilityscanningsystemmanagementandsafetytechnology,setofsolutionsproposed.Thegoalistoestablishacomplete,three-dimensionalnetworkandsecuritydefensesystem,sothatthenetworkandsecuritysystemtoreallygetbetterresults.
KeyWords:
LANNetworkmanagementSubnetworkpartitioningVirusprotectionServer
绪论
计算机网络是计算机技术与通信技术结合的产物。
自从20世纪60年代计算机网络发展至今,计算机网络对现代人的生产、经济、生活等各个方面都产生了巨大的影响。
在过去的20多年里,计算机和计算机网络技术取得了惊人的发展。
处理和传输信息的计算机网络已经成为了信息社会的命脉和发展知识经济的重要基础,不论是企事业单位、社会团体或个人,他们的生产效率和工作效率都由于使用计算机和计算机网络技术而有了实质性的提高。
在当今的信息社会中,人们不断地依靠计算机网络来处理个人和工作上的事务,而这种趋势也使得计算机和计算机网络发挥出更强大的功能。
Internet网络是目前主要的网络构建模式。
本文通过实际的应用案例给出了构建Internet[1]网络的系统设计过程。
在案例中省去了一些无关紧要的内容,突出了重要的技术环节,有助于中小企业构建Internet时作为参考的依据。
局域网系统正逐渐成为不少发达国家教育机构、院校或部门的重要组成部分[2],既是企业网络应用的基础,也是企业网站建设的前提。
原因很简单,没有局域网的中小型企业通常都不会搭建自己的网站。
利用网络不仅可以把这一切做得更好,而且还能完成许多单机所无法想象的任务,比如打印共享、文件传输、协同工作和资源共享等等,从而极大地提高工作效率,减少设备资金投入,为企业带来极大的利润。
国际标准化组织(IS0)对计算机系统安全的定义是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
从此我们可以看出网络系统安全单靠某些安全技术手段是不足以完全解决问题是的,而且网络攻击手段不断变化[3],病毒木马不断升级,故此对应的防御手段也需要不断进行更新与强大以此抗击外界的网络系统的干扰。
在这样的形势下,以保护网络中的信息免受各种攻击为根本目的网络安全变得越来越重要。
网络安全威胁一般分为外部闯入、内部渗透和不当行为三种类型。
外部闯入是指XX计算机系统用户的入侵;内部突破是指己授权的计算机系统用户访问XX的数据;不正当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权。
网络自身的缺陷、开放性以及黑客的攻击是造成网络不安全的主要原因。
由于计算机网络最重要的资源是它向用户提供的服务及所拥有的信息,因而计算机网络的安全性可以定义为:
保障网络服务的可用性和网络信息的完整性。
前者要求网络向所有用户有选择地随时提供各自应得到的网络服务,后者则要求网络保证信息资源的保密性、完整性、可用性和准确性。
可见建立安全的网络系统要解决的根本问题是如何在保证网络的连通性、可用性的同时对网络服务的种类、范围等行使适当程度的控制以保障系统的可用性和信息的完整性不受影响[4]。
一个安全的计算机网络应该具有以下几个特点:
1.可靠性是网络系统安全最基本的要求。
可靠性主要是指网络系统硬件和软件无故障运行的性能。
2.可用性是指网络信息可被授权用户访问的特性,即网络信息服务在需要时,能够保证授权用户使用。
3.保密性是指网络信息不被泄露的特性。
保密性是在可靠性和可用性的基础上保证网络信息安全的非常重要的手段。
保密性可以保证信息即使泄露,非授权用户在有限的时间内也不能识别真正的信息内容。
4.完整性是指网络信息XX不能进行改变的特性,即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作,保也称做不可否认性,主要用于网络信息的交换过程,保证信息交换的参与者都不可能否认或抵赖曾进行的操作,类似于在发文或收文过程中的签名和签收的过程。
从技术角度看,网络安全的内容大体包括4个方面:
1.网络实体安全
2.软件安全
3.网络数据安全
4.网络安全管理
由此可见,计算机网络安全不仅要保护计算机网络设备安全,还要保护数据安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全保护方案,以保证算机网络自身的安全性为目标。
第一章需求分析
随着近年来企业信息化建设的深入,企业的运作越来越融入到计算机网络中中小型企业利用网络实现内部的数据流转、实现与外界的实时交流、实现网络服务与应用等。
例如文件传输、资源共享、打印共享和协同工作等等。
中小型企业构建网络能够极大地提高工作效率,减少设备资金投入。
由于当前计算机都带有网络设备,所以在组网的时候只需配置网线,交换机等设备。
除了这些基本的需要外,用于充当服务器的计算机还必须对内存和硬盘容量等硬件进行一些必要的升级过更新,使其能够更好的服务所有用户。
例如,服务器需要为每个部门的员工提供一定的私有空间及公用空间,因此必须要有超大容量的硬盘。
网络上的要求稳定,有安全机制,升级扩展容易,用户使用简单,维护容易等;系统要求配置简单方便,系统运行有高稳定性,可管理性等;用户要求,满足基本带宽[5]要求,保留一定的余量供扩展等;设备要求技术上具有先进性,易管理,具有良好的性价比。
企业网已经越来越多地被人们提到,利用网络技术,现代企业可以在供应商、客户、合作伙伴、员工之间实现优化的信息沟通。
这直接关系到企业能否获得关键的竞争优势。
近年来越来越多的企业都在加快构建自身的信息网络,而其中绝大多数都是中小企业。
通过网络建设能够实现企业内部资源的共享,降低企业成本,可以更好的与外界进行沟通,让外部更加了解企业。
目前中小型企业建设过程中,存在很多问题,如有些中小型企业不考虑自身需求,一味追求高性能,构建的网络往往造成不必要的浪费;或另一方面,有些中小型企业建成的网络根本达不到应用本身对网络的需求。
企业网络应分为内部网络和外部网络两个部分,其中还包括在这两部分上的实际应用,中小型企业在网络设计之初就应该充分考虑到自身的需求,通过这些需求来具体设计适合自己需求的网络。
因此,在建立局域网时应该考虑到网络的先进性、可扩展性、高可靠性、稳定性、高带宽、经济性。
第二章网络系统设计
2.1网络系统设计规划
2.1.1网络设计指导原则
网络设计应该遵循开放性和标准化原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证
2.1.2网络设计总体目标
灵活性:
系统具有较高的适应变化的能力。
布线系统且具有一定的扩展能力。
实用性:
使用方便、简单、易扩展的特点。
布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。
安全性:
具有高安全性。
2.1.3网络通信联网协议
TCP/IP:
每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。
Telnet:
远程登录访问协议,使其他跨省区域的用户通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。
SNMP网络管理协议:
SNMP用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS等)的一种标准协议,它是一种应用层协议。
SNMP使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。
通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题。
路由协议:
OSPF。
2.1.4网络IP地址规划
企业园区网计划使用私有的A类IP地址。
企业园区网的IP地址分配原则如下:
企业使用IPv4地址方案。
企业使用私有IP地址空间:
10.0.0.0/8。
企业使用VLSM(变长子网掩码)技术分配IP地址空间。
企业IP地址分配满足集团的利用。
企业IP地址分配满足便于路由汇聚。
企业IP地址分配满足分类控制等。
企业IP地址分配满足未来公司网络扩容的需要。
2.1.5网络设备方案设计
1.路由器:
CISCO2811参考价:
5200
思科2811路由器采用模块化端口结构,传输速率10/100Mbps设置一个10/100Mbps固定广域网接口,2个固定局域网接口10/100Mbps,支持4个扩展模块插槽,1个NM插槽和1个Console控制端口,配有RS-232的控制端口。
该产品搭载MotorolaMPC860160MHz的处理器,配备最大256MB的Flash闪存和最大760MB的DRAM内存,极大的提高了该产品的安全性能。
思科2811支持IEEE802.3X[6]网络协议以及SNMP网管协议,同时还配备CiscoClickStart网管软件,支持VPN-虚拟专用网,以及QoS,协议方面支持比较完善。
安全方面,2811内置了防火墙,并支持UL60950:
CAN/CSAC22.2No.60950、IEC60950、EN60950-1、AS/NZS60950等众多安全标准,为企业用户提供更安全的网络服务。
2.三层交换机:
采用友讯网络(D-Link)DES-3326参考价:
6300元
DES-3326是友讯网络公司推出的一款可网管、支持千兆的10/100M智能三层交换机,是一款线速第三层交换机,提供了24个10/100BASE-TX端口及1个扩展插槽,可扩展2个可选千兆以太网端口。
DES-3326交换机将第二层线速交换及第三层IP路由以及服务质量(QoS)有机集成为一体,并可采用支持SNMP标准的网管系统进行配置、监控和管理。
DES-3326交换机前面板插槽可选插2口千兆模块,不同模块可支持1000BASE-SX、1000BASE-T标准。
所有模块支持流量控制和全双工,可处理大量数据。
支持优先级队列和QoS机制,优先级队列功能可以根据数据交换的重要性进行排队,优先交换重要数据。
该款交换机具有端口聚合功能,最大可将8个10/100Mbps端口聚合成一个端口,而聚合之后的这个端口性能非常强大,这项功能主要是帮助那些需要高带宽端口而又不想投入过多资金的用户使用,而这项功能最主要的应用场合是VLAN划分,VLAN划分需要设置汇聚链路,而汇聚链路对带宽要求非常高,通过端口聚合功能可提供一个高带宽的端口。
DES-3326支持SNMP管理和RMON监控功能,并且还支持端口镜像功能,通过这些功能,管理员可对该款交换机进行管理、配置以及对此款交换机所连接的网络进行监控。
DES-3326交换机还提供了流量控制功能,支持VLAN划分,提供了冗余电源接口等。
3.二层交换机:
D-LinkDES-1024D参考价:
530
它符合百兆以太网标准,提供了24个自适应全/半双工10/100Mbps端口,可自动判断连入设备的类型提供相应的连接方式和带宽。
另外利用配备的16K的MAC地址表和2.5MB缓存,它可以利用IEEE802.3x[7]流量控制技术动态将缓存分配到各个端口,保持网络畅通。
2.2网络拓扑图
如下图2.1所示
图2.1网络拓扑图
2.3IP地址规划
1.VLAN10财务部
IP地址:
192.168.10.1~192.168.10.254
网关;192.168.10.254
2.VLAN20营销部
IP地址:
192.168.20.1~192.168.20.254
网关:
192.168.20.254
3.VLAN30工程部
IP地址:
192.168.30.1~192.168.30.254
网关:
192.168.30.254
4.VLAN40人事部
IP地址:
192.168.40.1~192.168.40.254
网关:
192.168.40.254
2.4网络设备选型
网络设备是指集线器、交换机、路由器、服务器和网络存储设备等。
布线决定着网络所能够提供的最大潜在带宽,集线设备即集线器和交换机决定着网络当前能够提供的最大网络带宽,路由器决定着网络之间或网络与Internet之间的连接速率。
网络设备就像F1赛道上的汽车,决定最高时速的只有其排量和性能。
2.4.1集线器的选型
目前,集线器作为一种廉价的集线设备,主要广泛应用于数据传输量不大,用户数量不多的小型网络,或作为中型网络的一种补充。
2.4.2交换机的选型
选择交换机时,应选择在国内市场上有相当的份额,具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品,如中兴、3Com、华为的产品市场份额较大。
既要看产品的品牌又要看生产厂商和销售商品是否有强大的技术支持、良好的售后服务,否则买回的交换机出现故障时既没有技术支持又没有产品服务,使企业蒙受损失。
2.4.3路由器的选型
采用成熟的、经实践证明其实用性的技术。
所使用的设备应支持VLAN划分技术、HSRP(热备份路由协议)技术、OSPF等协议,保证网络的传输性能和路由快速改敛性,抑制局域网内广播风暴,减少数据传输延时;不盲目追求高性能产品,要购买适合自身需求的产品。
2.4.4服务器的选型
为了保证网络的正常运转,用户选择的服务器首先要确保稳定。
在具体选购服务器时,用户应该考察厂商是否有一套面向客户的完善的服务体系及未来在该领域的发展计划。
第三章网络安全的方案设计
3.1中小型公司网络安全系统设计
3.1.1安全体系结构网络
安全体系结构主要考虑安全机制和安全对象,安全对象主要有网络安全、信息安全、设备安全、系统安全、数据库安全、信息介质安全和计算机病毒防治等。
还以此为根基对企业网络的安全建设进行了研究并提出建立方位性强、多层次、细致全面的网络安全解决方案[8]。
3.1.2安全体系层次模型
按照网络OSI的7层模型,网络安全贯穿于整个7层。
针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。
1.物理层。
物理层信息安全,主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2.链路层。
链路层的网络安全需要保证通过网络链路传送的数据不被窃听。
主要采用划分VLAN、加密通讯等手段。
3.网络层。
网络层的安全要保证网络只给授权的人员使用授权的服务,保证网络路由正确,避免被监听或拦截。
4.操作系统。
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行安全审计。
5.应用平台。
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器、Web服务器等。
由于应用平台的系统非常复杂,通常采用多种技术来增强应用平台的安全性。
6.应用系统完成网络系统的最终目的是为用户服务。
应用系统的安全与系统设计和实现关系密切。
应用系统使用应用平台提供的安全服务来保证基本安全,如通讯双方的认证,通讯内容安全,审计等手段
3.1.3安全体系设计
安全体系设计原则在进行计算机网络安全设计和规划时,应遵循以下原则:
1.需求、风险、代价平衡分析的原则对任一网络来说,绝对安全难以达到,也不一定必要。
对一个网络要进行实际分析,对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
保护成本与被保护信息的价值必须平衡,价值仅2万元的信息如果用6万元的技术和设备去保护是一种不适当的保护。
2.综合性、整体性原则运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一个计算机网络包括个人、设备、软件、数据等环节。
它们在网络安全中的地位和影响作用,只有从系统综合的整体角度去看待和分析,才可能获得有效、可行的措施。
3.一致性原则这主要是指网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。
实际上,在网络建设之初就应考虑网络安全对策,比等网络建设好后再考虑,不但容易,而且花费也少很多。
4.安全、可靠性原则最大保证系统的安全性。
使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性;对项目实施过程实现严格的技术管理和设备的冗余配置,保证产品质量,保证系统运行的可靠性。
5.先进、标准、兼容性原则先进的技术体系,标准化的技术实现。
6.易操作性原则安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,采用的措施不会影响系统正常运行。
7.适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化,要容易修改、容易适应。
8.多重保护原则任何安全保护措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,还有其它层保护信息的安全。
安全管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:
1.确定该系统的安全等级。
根据确定的安全等级,确定安全管理的范围。
2.制订相应的机房出入管理制度。
对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。
3.制订严格的操作规程。
操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
4.制订完备的系统维护制度。
维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录。
5.制订应急措施。
要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小。
6.建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。
一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。
网络安全设计由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现,各个层的功能特性和安全特性也不同,因而其网络安全措施也不相同。
对网络进行级别划分与控制,网络级别的划分大致包括外网与内网等,其中Internet外网的接口要采用专用防火墙,各网络级别的接口利用物理隔离设备、防火墙、安全邮件服务器、路由器的可控路由表、安全拨号验证服务器和安全级别较高的操作系统。
从技术角度来看,入侵检测技术可划分为两种[9],一种是异常检测模型,第二种是误用检测模型增强网络互连的分割和过滤控制,也可以大大提高安全保密性。
3.2安全产品的配置与应用
3.2.1防病毒及特洛伊木马软件
为了实现在整个局域网内杜绝病毒的感染、传播和发作,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。
网络采用上机机房与办公区相分离的结构。
1.在企业机房的WindowS2000服务器上安装瑞星杀毒软件网络版的系统中心,负责管理2000多个员工
升级会员 