完整版企业局域网的组建与应用毕业设计.docx
《完整版企业局域网的组建与应用毕业设计.docx》由会员分享,可在线阅读,更多相关《完整版企业局域网的组建与应用毕业设计.docx(21页珍藏版)》请在冰豆网上搜索。
完整版企业局域网的组建与应用毕业设计
毕业论文
论文题目:
企业局域网的组建与应用
内容摘要
本文结合当今企业网络安全的发展趋势,通过对当前中小企业存在的一些安全隐患和安全建设的需求分析,提出了一种针对企业网络安全的解决方案。
该解决方案在遵照网络安全通用设计原则的情况下,融合了当前先进的网络安全技术和产品,如:
防火墙/防水墙、网络反病毒软件、IDS/IPS、容灾和数据备份等,并强调了加强安全管理措施、制定科学的管理策略的必要性。
网络安全体系的建设是一个长期的、动态变化的过程,在新的网络安全和防御技术不断出现的同时,新的入侵和攻击手段也不断变化。
任何一个安全体系的设计方案都不能完全解决所有的安全问题。
但随着企业网络化和信息化进程的推进,对网络安全问题的认识也会在管理体制上、理论研究上、技术储备上不断地深化和改进,为提出解决网络安全问题的更加有效的可行性方案提供思路和途径。
[关键词]网络安全安全需求管理策略解决方案
Abstract
Inthispaper,combiningwiththedevelopmenttrendoftheenterprisenetworksecurity,throughtheanalysisofsomesecurityhiddendangerandsafetyconstructionontheexistingsmallandmedium-sizedenterprisesdemand,presentsasolutionfortheenterprisenetworksecurity.Thesolutioninaccordancewiththegeneraldesignprinciplesofnetworksecuritysituation,thefusionoftheadvancednetworksecuritytechnologiesandproducts,suchas:
firewall/waterproofwall,networkanti-virussoftware,IDS/IPS,disasterrecoveryanddatabackup,andemphasizesthenecessityofstrengtheningthesafetymanagementmeasures,makescientificmanagementstrategy.Theconstructionofnetworksecuritysystemisalong-termprocess,dynamicchange,inthenewnetworksecurityanddefensetechnologyconstantlyemergedatthesametime,thenewintrusionandattackmeanschangerapidly.Designofanyonesecuritysystemcannotaddressallofthesafetyconcernscompletely.Butalongwiththeenterprisenetworkingandinformationization,understandingofnetworksecurityproblemalsoconstantlydeepeningandimprovementintechnicalreservesmanagementsystem,theoreticalresearch,putforwardtosolvetheproblemofnetworksecurity,themoreeffectivethefeasibilityschemetoprovideideasandapproaches.
Keywords:
safetyandsecurityrequirementsofthemanagementstrategyofnetworksolutions
目录
1、绪论1
2、企业网络安全综述1
2.1企业网络安全及存在的问题1
2.1.1|企业网络安全的概念1
2.1.2企业网络安全所面临的问题1
2.2网络安全建设的必要性1
2.2.1网络的复杂型及其表现1
2.2.2网络安全建设中存在的误区2
2.3网络安全建设现状3
2.3.1网络防护体系建设缺乏有效重视和投入3
2.3.2网络安全防护体系建设存在不足3
2.3.3网络安全管理制度和措施不健全3
3、企业网络安全建设需求分析3
3.1网络安全的层次结构4
3.1.1网络安全问题的产生及影响4
3.1.2网络安全体系的层次划分4
3.2网络操作系统层的安全4
3.2.1网络操作系统的概念4
3.2.2.网络操作系统的安全防护4
3.3用户层和应用层安全5
3.3.1企业网络应用层的安全威胁5
3.3.2网络应用软件的安全性防护5
3.4数据链路层、传输层和网络层安全5
3.4.1数据链路层安全防护需求分析5
3.4.2传输层安全防护需求分析6
3.4.3网络层安全防护需求分析6
4、企业网络安全建设解决方案7
4.1企业网络安全建设总体规划7
4.1.1企业网络建设的设计规划7
4.2企业网络安全建设详细设计方案8
4.2.1网络拓扑结构设计方案8
4.2.2网络拓扑结构的部署方案9
4.2.3企业网络的防火墙防护设计10
4.3企业网络安全管理策略分析与设计11
4.3.1企业安全管理制度建设分析11
4.3.2企业网络管理管理活动分析12
结论13
致谢14
参考文献15
1、绪论
当前,随着全球信息化步伐的不断加快和计算机网络技术的迅猛发展,经济全球化已经成为必然趋势,网络作为信息交互的主要手段,正引领企业信息化建设的巨大变革。
企业网络已经由简单的单机互联和文件处理,发展为集办公自动化、业务流程处理、员工绩效管理等为一体的复杂的企业内部网,并与企业外部的国际互联网相融合,发展为计算机信息交互和协同处理的网络系统,已由传统的C/S模式向B/S模式再到企业网格进行转变。
企业网络作为一种复杂而集成的网络系统出现的同时,传统的网络安全威胁依旧存在,病毒、木马、蠕虫等肆虐,网络攻击手段日趋多样化,破坏力巨大并具有隐蔽性,时刻威胁着企业的网络安全。
本文针对企业网络的安全建设问题,重点分析了如何构建一个可靠的网络安全防御体系。
面向当前中小企业网络安全建设的现状,提出了一种具有典型意义的企业网网络安全的解决方案。
2、企业网络安全综述
2.1企业网络安全及存在的问题
2.1.1企业网络安全的概念
当前企业信息化的普及,使得企业的生产经营相关的业务体系,都立足于Internet/Intranet环境。
基于此,企业网络安全也要从内部和外部,也就是Intranet和Internet两个方面来考量。
企业网络安全建设方案,也包括内部的安全系统建设和外部入侵的防御检测系统建设两个方面。
一般来说,企业网络安全是指企业内部网络系统(Intranet环境)的所有软硬件设施及网络系统中所存储的数据受到全方位的保护,不因来自内部网络或者外部网络(Internet环境)的偶然的或恶意原因而遭到破坏、更改和泄露。
即使在突发情况下,网络系统依旧能够可靠运行,系统内部的重要数据得以保护和备份并使得网络服务不被中断。
2.1.2企业网络安全所面临的问题
企业网络一般都是接入Internet的,其网络环境的开放性,可以增强网络系统的应用性,但也对企业网络信息安全提出了更多更高的要求。
一般企业网络的都是基于Windows平台的应用系统,主要有WEB服务、E-mail系统、MIS、进货和销售系统、财务统计系统、人事管理系统等。
这些系统往往自成体系,没有统一的资源管理与访问控制策略。
而且随着企业的发展系统的安全层次也会愈发多样。
整个企业的网络系统存在两个方面的安全问题:
(1)企业网络接入互联网的安全性。
对接入互联网的子网,要采取严格的访问控制策略和入侵检测措施。
(2)企业内部网络的安全性。
企业内部的网络安全是传统网络安全建设最为注重的方面。
最常见的安全隐患主要有未授权访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
2.2网络安全建设的必要性
2.2.1网络的复杂型及其表现
计算机和电子技术的发展使得计算机网络技术不断融合新的技术,企业网络也因此发展和进步,具备了许多新特性,这给网络建设带来了更大难度。
网格概念的提出和互联网的建设,在使得网络极大的发挥其效能的同时,也使得企业网络环境复杂性和多样行凸显。
这表现在以下几个方面:
首先,网络拓扑结构具有复杂性。
网络互联是个拓扑结构,除掉各个计算机终端节点之外,还需要各种互连设备,比如交换机、路由器等。
各式各样的设备互连设备,又同时将整个企业网络划分为几个小局域网,组成了网络互连结构。
其次,网络软硬件设备的复杂性。
网络设备一方面是指网络互联的硬件设备以及运行其上的网络管理软件。
另一方面,是指各个网络终端结点设备以及搭载其上的软件系统。
网络软件在链路层、传输层和应用层都可以发挥数据检测作用,单机操作系统可以选择服务器版本,并安装防火墙软件和杀毒软件,同时根据网络特性配置过滤规则。
最后,网络管理和网络用户的复杂性。
网络管理,一方面是针对网络用户的访问管理,一方面是针对网络设备和运行其上的网络软件的管理。
网络管理一般由专人负责,称为网络管理员。
他一方面要负责通过各种网络管理软件,对网络上进行数据访问和存储的用户行为进行监控,另一方面要制定各种网络访问策略和监控策略,比如过滤规则,路由规则等。
总之,网络的多样性和复杂性,使得网络自身和网络的管理存在诸多问题,需要专人负责网络安全建设。
2.2.2网络安全建设中存在的误区
通过调查发现,无论是网络用户还是网络管理者,都对网络安全存在一些认识上的误区,主要表现在:
(1)网络建设无需太多投入。
出于成本的压力,中小企业一般在网络建设的投入上不足。
中小企业网络一般只有十几到几十台客户端,网络互联产品一般选用24口交换机,带动其他的交换机,选用家用级别的路由器接入互联网,从而组成一个小型办公网络环境,事实上,这种接入方式和网络拓扑结构,会导致网速非常慢,堵塞严重,掉包频繁。
(2)网络管理无需专人负责。
没有网络管理人员对企业网络进行维护的原因在于,大多数中小企业网络安全需求没有得到管理者的足够重视,大部分中小企业没有设置专职网络管理员,而采用兼职管理方式,没有针对企业网络配置网络环境,选用管理和安全软件,并对过滤规则进行设计。
这必然会导致技术基础和技术储备的匮乏,使得网络管理在软硬件方面上都有先天缺陷,在网络稳定性和安全性方面存在严重隐患。
这种情况下,即使有网络攻击或者病毒的入侵,网络使用者也很难及时发现以阻止入侵,更不用说挽回损失了。
(3)网络安全软件无需专业化。
很多中小企业网络安全,都是依靠桌面杀毒软件解决的。
桌面杀毒软件并不适用于复杂的网络环境。
一旦有恶性病毒大规模爆发时,网络病毒在内部局域网疯狂流窜,一方面病毒的肆虐传播造成网络堵塞,破坏系统文件使电脑不能正常工作,另一方面,会导致病毒感染网络内部主机,潜伏下来,借助网络漏洞,伺机在网络内部传输,普通的杀毒软件并不能消灭干净。
网络管理中,需要一种具备全局控制能力的杀毒软件,在局域网中任何一台机器感染病毒时,都可以检测到,并阻止其传播,否则局域网病毒严重的导致局域网瘫痪,更甚至可能使整个系统崩溃。
2.3网络安全建设现状
网络安全建设普遍存在着如下问题:
网络拓扑结构,缺乏宏观的了解;对于网络的构成,缺乏清晰的认识;对于网络拓扑结构中,关键节点缺乏有效管理;对于网络管理和网络安全软件缺乏深入的原理理解和足够的应用经验等等。
2.3.1网络防护体系建设缺乏有效重视和投入
企业网络中,用户主要来自于内部,由受信任的内部用户发起的攻击是最危险的一种形式。
因此内部安全威胁已经上升为主要矛盾。
一方面,网络的拓扑结构一般是针对内部网络设计的,互连设备的部署也主要是针对内部网络。
如何针对内部网络设计网络拓扑结构,选用互连设备,构建内部局域网中的局域网,杜绝网络拥塞的出现,是当前研究领域的热点问题。
这需要针对企业网络的性能,需要特定的优化设计。
另一方面,对于网络安全,更需要一体化的管理和安全防御体系建设,在防御软件上,要针对特定的网络应用,部署专门的网络防火墙和杀毒软件。
通过制定特定的防御规划,设计或者修改软件过滤规则,过滤网络环境中的不良信息,这些都需要企业管理者投入人力物力进行设计和研发。
2.3.2网络安全防护体系建设存在不足
每一种网络拓扑结构,对应一种网络体系结构设计,在相应的网络安全体系建设中,安全软件的部署也要有其特点,适应网络信息流动和安全检测工作。
然而,企业特别是中小型企业,在网络安全体系的建设中还存在以下不足:
传统防护体系在系统化设计上存在欠缺。
企业对外部互联网的接入,应该设计系统化的防护体系,这并非是简简单单的防火墙就可以完成的,应由专业认识进行设计。
一般可采取防火墙与入侵检测系统(IDS)联动的方式,对网络进行动静结合的保护。
网络管理软件和安全软件的协作,对网络内外两个部分都进行可靠管理。
2.3.3网络安全管理制度和措施不健全
在网络的管理上,国家有关部门也颁布了一些法律法规,比如《计算机信息网络国际互联网安全保护管理办法》。
各个企业也有自己的一套管理办法,具体到不同的网络部门,也应该有自己的一套经过实践检验并行之有效的网络安全设计规程。
作为企业网络安全保证的网络安全管理制度,一方面,它是一个企业针对网络使用和网络信息安全,所采取的切实有效的规章制度,是规范网络用户行为的准则。
另一方面,安全管理制度也是网络管理人员对网络用户行为进行审核的标准,任何违反网络安全规章制度的行为,都应该被网络管理系统发现,网络用户不安全的操作行为,也应该由网络管理软件或者网络管理员发出警告。
构建一套合理的网络安全管理规章和制度,是一个企业在制度上落实网络安全建设的重要环节,也是经过许多企业网络建设的成功和失败的经验教训检测之后的行之有效的举措之一。
3、企业网络安全建设需求分析
通过第二章中对网络安全和企业网络安全建设的现状分析,可知构建一个合理有效的企业网络安全体系和规则,对于解决网络安全建设中所暴露出来的诸多问题是大有必要的。
本章将对网络安全建设进行需求分析,在网络安全的系统层次设计和应用软件设计方面,对网络安全建设的需求情况进行详尽的论述。
3.1网络安全的层次结构
3.1.1网络安全问题的产生及影响
网络安全涉及到网络体系结构的各个方面,网络安全问题的出现一般是由以下三个原因造成的:
一是操作网络的内部人员的操作失误;二是企业外部有目的的攻击和窃取信息的行为;三是某些网络设备和软件系统制造商在网络设备的软、硬件中放置危害网络、盗窃信息的程序。
3.1.2网络安全体系的层次划分
网络安全中安全措施划分,主要有如下几个方面:
(1)数据源鉴别。
在连接和传送数据时鉴别相应的协议实体,而后决定提供或者拒绝服务。
(2)访问控制。
限制用户访问网络资源的授权,可以防止未经许可暴露所传输数据的内容。
(3)完整性服务。
包含网络协议不受篡改,确保服务顺利完成。
主要用于防止他人利用网络修改传输数据,以保证发送和接收的数据一致。
3.2网络操作系统层的安全
3.2.1.网络操作系统的概念
计算机网络是由多个相互独立的计算机系统通过通信媒体连接起来的。各计算机都具有一个完整独立的操作系统,网络操作系统(NOS)是建立在这些独立的操作系统基础上用以扩充网络功能的系统(系统平台)。
3.2.2网络操作系统的安全防护
网络设备中主流操作系统有类UNIX和Windows系列,LINUX作为开源系统,兼具UNIX强大的网络功能。
而Windows平台更是推出了WindowsServer系列,满足网络服务的需求。
用户的应用系统和安全工具软件都在操作系统上运行,操作系统为各工具软件提供支持,因此操作系统的安全与否直接影响到网络系统的安全。
网络操作系统的安全问题。
企业接入互联网以及B/S模式的管理系统在企业网络中的应用,难免会带来源源不断的软件安全问题,一般的操作系统都会提供以下的安全防护措施:
(1)过滤保护。
分析所有针对受保护对象的访问,过滤恶意攻击以及可能带来不安全因素的非法访问。
(2)安全检测保护。
对所有用户的操作进行分析,阻止那些超越权限的用户操作以及可能给操作系统带来不安全因素的用户操作。
(3)隔离保护。
保证同时运行的多个进程和线程之间是相互隔离的,即各个进程和线程分别调用不同的系统资源。
3.3用户层和应用层安全
作为终端使用者的用户,直接面对应用层,应该确切落实网络管理规章制度的要求,杜绝安全隐患。
用户层安全的防范措施,主要包含对用户的识别、认证、数字签名等。
3.3.1企业网络应用层的安全威胁
来自企业内部和外部的动态变化的安全威胁随时会给企业运营带来巨大的灾难。
常见的危害应用层安全的的因素如下:
(1)网络蠕虫、病毒等危害网络信息安全。
(2)信息窃取和网络攻击危害网络数据安全。
信息窃取是黑客和网络攻击的常见目标。
信息窃取会对中小型企业的发展造成严重影响,会破坏中小型企业赖以生存的企业商誉和客户关系。
(3)垃圾邮件成为传播病毒的主要手段。
收到垃圾邮件的用户往往由于对邮件缺乏了解而不幸激活病毒却不知情,网络犯罪将更多地采用这种介质发布木马病毒。
3.3.2网络应用软件的安全性防护
应用系统层的安全需求需要保证应用软件和数据库软件的安全性,如:
WWW服务、应用网关系统、DNS系统、防火墙软件、业务应用软件等。
应用软件必须保证以下要求:
(1)购买的应用软件应通过安全测试并要求销售商确认其无后门或漏洞。
(2)能够对用户身份进行鉴别与认证。
(3)保证存储或存档的所有数据的完整性、真实性和可用性。
(4)对已使用的应用系统定期进行漏洞扫描,及时修补存在的漏洞。
3.4数据链路层、传输层和网络层安全
数据链路层、传输层和网络层,在OSI参考模型中,都是负责数据流传输的,企业对于数据访问和存取的控制,一般都是针对这三个层次制定网络协议,监控和过滤数据流。
3.4.1数据链路层安全防护需求分析
数据链路层位于物理硬件层网络层之间,担负起第一道数据监控和过滤的重任。
与数据链路层的安全有两方面内容:
一是涉及到数据传输过程中的加密和数据的修改,也就是影响到数据的完整性;另一个是涉及到物理地址的盗用问题,影响到网络管理。
针对数据链路层的攻击主要有:
(1)局域网ARP欺骗攻击。
数据链路层的协议ARP协议,具有完成IP地址到MAC地址的转换的功能。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
(2)针对MAC地址的泛洪攻击。
网络互连设备路由器和交换机具有主动学习客户端的MAC地址,然后建立和维护端口和MAC地址的对应表。
MAC地址泛洪攻击利用工具产生欺骗MAC,快速填满MAC地址表,交换机此后一直广播信息,会造成负载过大,网络缓慢和丢包甚至瘫痪。
3.4.2传输层安全防护需求分析
传输层处于通信子网和资源子网之间,起着承上启下的作用。
无论是局域网还是广域网,目前最为流行的传输层协议主要有TCP和UDP协议族许多安全协议也运行于TCP之上,为不安全的通信双方建立数据传输的可靠通道,使得数据避免被窃听、篡改或假冒。
基于传输层的网络安全协议众多。
传输层支持的安全服务有:
1)对等实体认证服务;2)访问控制服务;3)数据保密服务;4)数据完整性服务;5)数据源点认证服务。
传输层主要有两个安全协议:
SSL(SecureSocketsLayer)和PCT(PrivateCommunicationsTechnology)。
企业网络对于传输层的需求一般有:
(1)文件传输的安全需求。
企业的一些管理者为了方便,通过一些通讯工具来收发一些有保密级别的文件的或者重要信息,而网络本身都存在着较多的缺陷,为此,保证重要文件的秘密性、完整性、和可靠性,建议在传输之前对文件进行加密。
(2)网络边界通信的安全需求。
网络交换设备主要包括路由器和ATM。
由于路由器普遍采用无连接存储转发技术,一旦某一个路由器发生故障或出现问题,将迅速波及到与该路由器联系的网络区域。
网络层边界安全需求包括整个局域网通过防火墙接入互联网时边界的安全需求、服务器群组成的服务子网和主交换机与通过防火墙与外网接入层之间不同安全等级而使用不同访问控制策略的安全需求。
(3)内网访问及网络权限控制需求。
内网的访问控制为网络访问提供了第一层访问控制。
它对用户进行权限的分配,控制不同用户对网络资源的访问或者服务器访问的权限,为用户指定能够访问的对象和获取的资源。
一般可分为三步:
用户名验证、用户口令验证和用户账号的缺省限制检查。
只要用户在这三个环节中的任何一个环节中没有通过,该用户将不被允许接入网络。
3.4.3网络层安全防护需求分析
网络层主要是指IP协议簇。
IP地址是在网络层标识一台计算机的唯一身份识别码,无论是企业内网还是外部互联网,都需要有独立的IP地址。
可以通过网络交换的监控,对网络状况动态的检测和控制。
网络层安全协议的最大特点是其透明性,即不过问高层协议数据包的内容,可以提供认证、保密性、完整性等服务。
一般而言,设计网络时,内部网络自成体系,有自己的子网网段,各子网必须通过中间设备进行连接,利用这些中间设备的安全机制来控制各子网之间的访问。
对于网络层的防护,主要包含以下几个方面:
(1)WEB网站安全防护需求。
目前企业内部网络各种应用系统,一般都是采用B/S模式的WEB网站形式,WEB系统防护是一个复杂的问题,包括应对网页篡改、DDoS攻击、信息泄漏、导致系统可用性问题的攻击等各种形式,WEB系统需要专人管理。
(2)DNS服务器系统的安全防护需求。
域名服务器DNS系统,作为互联网的神经系统,关乎网络层服务数据能否成功到达的问题。
针对DNS系统的攻击比较突出的为DoS攻击、DNS投毒、域名劫持及重定向等,DNS系统的安全防护需要部署流量清洗设备,保障DNS业务系统的正常运行。
4、企业网络安全建设解决方案
4.1企业网络安全建设总体规划
根据第二章对企业网络安全的论述以及第三章企业网络安全需求分析的基础上,遵守通用的设计原则,本章研究制定了一个可满足企业网络对可靠性、保密性、可管理性及可扩展性等方面需求的企业网络安全建设的总体设计规划方案。
4.1.1企业网络建设的设计规划
一般来说,企业网络的建设,通常会首先考虑建设内部MIS系统,而后展开其他业务系统的建设,构造企业信息网络的局域网,通过添加各种网络互连设备,逐步形成网络监控数据中心、数据库服务中心、OA办公系统、ERP人力管理系统等子系统同时运行的网络系统。
内部网络建设以搭建各种应用服务器集群,包括WEB、Mail、FTP等服务,以及提供数据存储和备份服务的数据库服务器集群,数据服务中心包括业务管理和网络管理两种功能,控
升级会员 