企业网络信息安全解决方案毕业设计.docx
《企业网络信息安全解决方案毕业设计.docx》由会员分享,可在线阅读,更多相关《企业网络信息安全解决方案毕业设计.docx(34页珍藏版)》请在冰豆网上搜索。
企业网络信息安全解决方案毕业设计
广东交通职业技术学院
毕业设计〔论文〕
题目:
企业网络信息平安解决方案
学生姓名:
学号:
专业:
计算机应用技术
指导老师:
朱强
日期:
2021/03/20
内容摘要
随着计算机网络的开展,在各方各面的生活工作中都渐渐离不开网络了,一个现代化企业的开展更加是不可能分开网络,如今的企业已经不可能分开网络了,网络带给我们最大的好处就是便捷,但这个便捷却一个要建立在平安之上。
计算机系统的互联,在大大扩展信息资源的共享空间的同时,也将其本身暴露在更多恶意攻击之下。
如何保证网络信息存储、处理的平安和信息传输平安的问题,就是我们所谓的计算机网络平安。
如今的中小型企业由于业务的需要有许多都是有分公司的,分公司与总部的网络链接一般都会采用较为廉价并且平安的VPN连接,与专线相比,采用VPN当然是非常的廉价,只需要在两端都进展相对的配置就可以进展。
信息平安是指防止信息财产被成心的或偶尔的非法受权泄露、更改、破坏或使信息被非法系统辩识、控制;确保信息的保密性、完好性、可用性、可控性。
信息平安包括操作系统平安、数据库平安、网络平安、病毒防护、访问控制、加密和鉴别七个方面。
设计一个平安网络系统,必须做到既能有效地防止对网络系统的各种各样的攻击,保证系统的平安,同时又要有较高的本钱效益,操作的简易性,以及对用户的透明性和界面的友好性。
针对计算机网络系统存在的平安性和可靠性问题,本文从网络平安的提出及定义、网络系统平安风险分析,网络攻击的一般手段,企业局域网平安设计的原那么及其配置方案提出一些见解,并且进展了总结,就当前网络上普遍的平安威胁,提出了网络平安设计的重要理念和平安管理标准并针对常见网络故障进展分析及解决,以使企业中的用户在计算机网络方面增强平安防范意识,实现了企业局域网的网络平安。
关键词:
VPN,AD域,平安,防火墙
前言
随着国内计算机和网络技术的迅猛开展和广泛普及,企业经营活动的各种业务系统都立足于Internet/Intranet环境中。
但随之而来的平安问题也在困扰着用户。
Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对平安提出了更高的要求。
一旦网络系统平安受到严重威胁,甚至处于瘫痪状态,将会给企业、社会、乃至整个国家带来宏大的经济损失。
应此如何使企业信息网络系统免受黑客和病毒的入侵,已成为信息事业安康开展所要考虑的重要事情之一。
一般企业网络的应用系统,主要有WEB、E-mail、OA、MIS、财务系统、人事系统等。
而且随着企业的开展,网络体系构造也会变得越来越复杂,应用系统也会越来越多。
但从整个网络系统的管理上来看,通常包括内部用户,也有外部用户,以及内外网之间。
因此,一般整个企业的网络系统存在三个方面的平安问题:
〔1〕Internet的平安性:
随着互联网的开展,网络平安事件层出不穷。
近年来,计算机病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的平安威胁。
对于企业级用户,每当遭遇这些威胁时,往往会造成数据破坏、系统异常、网络瘫痪、信息失窃,工作效率下降,直接或间接的经济损失也很大。
〔2〕企业内网的平安性:
最新调查显示,在受调查的企业中60%以上的员工利用网络处理私人事务。
对网络的不正当使用,降低了消费率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍,或者使得不法员工可以通过网络泄漏企业机密,从而导致企业数千万美金的损失。
所以企业内部的网络平安同样需要重视,存在的平安隐患主要有未受权访问、破坏数据完好性、回绝效劳攻击、计算机病毒传播、缺乏完好的平安策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的平安性、缺乏自动化的集中数据备份及灾难恢复措施等。
〔3〕内部网络之间、内外网络之间的连接平安:
随着企业的开展壮大及挪动办公的普及,逐渐形成了企业总部、各地分支机构、挪动办公人员这样的新型互动运营形式。
怎么处理总部与分支机构、挪动办公人员的信息共享平安,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。
各地机构与总部之间的网络连接平安直接影响企业的高效运作。
第一章
网络拓扑图:
拓扑图解析:
总部:
企业总部与两个分部都与电信购置了专线上网各自采用的IP为广州总部网关为:
上海子公司为:
网关为:
重庆子公司为:
网关为:
各公司间采用IPSECVPN与总部进展连接,可共享总部有局域网信息,外出人员可登录公司的WEBVPN进入公司的内部网站,进展工作,两台WEB效劳器进展冗余〔因企业的许多效劳不在WEB上进展的,如OA,甚至如今许多的ERP客户端也是直接在阅读器上进展的〕,一台专门提供用来提供数据库的效劳器,一台打印效劳器、一台应用效劳器提供E-mail\AD\DHCP\DNS等效劳的效劳器。
子公司:
在子公司的ASA设备上做IPSECVPN连接到总部,在ASA中做PAT共享一个ip,
在电信部门拉一根专线链接到公司ASA防火墙设备〔因ASA5510没有提供光口,所以需要购置一个光电转换器〕
本次使用的设备模拟软件
1:
VMwareWorkstation〔模拟装载WINDOWSXP的客户机和WINDOWSSERVER2003的效劳器、LINUX核心的ASA镜像〕、NamedPipeTCPProxy〔用于将模拟端口串口化〕
2:
GNS3〔模拟ASA系列的防火墙设备使用IOS的版本为8.2〕
3:
CiscoPacketTracer〔模拟二层交换机、三层交换机〕
第二章
设备介绍:
1:
CISCOVPN防火墙产品5510与5540
CISCOASA5510-K8
CISCOASA5540-K8
设备型号
CISCOASA5510-K8
CISCOASA5540-K8
设备价格
1.2万
6.8万
设备类型
VPN防火墙
企业级防火墙
并发连接数
130000
400000
网络吞吐量
最高300Mbps
650Mbps
平安过滤带宽
170Mbps
325Mbps
用户数限制
无用户数限制用户
无用户数限制
网络端口
3个快速以太网端口
4*10/100/1000,1*10/100,1*SSC/SSM
控制端口
console,2个RJ-45
console,2个RJ-45
VPN支持
支持
支持
入侵检测
DoS
DoS
管理
思科平安管理器(CS-Manager),Web
思科平安管理器(CS-Manager),Web
同序列的产品在外观上看起来虽然是一样,但两者在性能上的差异还是比拟大的,当然价格上的差异也很大,5540的性能明显高出5510很多,所以将5510布置在子公司,而将性能较强的5540布置在总部,因总部的设备还得为两个分部提供效劳,
2:
CISCO三层交换机C3560V2
CISCOWS-C3560V2-48TS-S详细参数
价格:
5700
应用层级三层传输速率10/100Mbps
产品内存Flash内存:
32MB交换方式存储-转发
背板带宽32Gbps端口数量52个
端口描绘48个10/100Mbps接口,4个SFP-based千兆以太网端口
传输形式全双工/半双工自适应网络管理支持SNMP和WEB管理
3.二层交换机H3CSOHO-S1526-CN
H3CSOHO-S1526-CN详细参数
价格:
700
传输速度:
10Mbps 100Mbps 1000Mbps交换机类型:
二层交换机
接口数目:
26个是否支持VLAN:
支持
转发率:
6.5MppsMAC地址表:
16K
支持防MAC地址攻击,MAC绑定,ARP,DHCP-Client
4:
傻瓜式交换机
设备型号:
华为S1700-24-AC
价格:
480
应用层级傻瓜式交换机交换容量(Gpbs)4.8Gbps
端口数2424个10/100M电口交换方式存储转发
包转发率3.6Mpps地址表大小8K
5.UPS艾默生US11TPLUS-0030L
价格:
2300
UPS类型:
在线式额定容量:
2400W电池类型:
免维护密封铅酸电池
额定功率:
3KVA后备时间:
30分钟-8小时可选
Netlink光电转换器
型号:
HTB-1100S-A/B
价格:
140传输间隔为25KM
1个RJ45电口和1个单纤SC光口支持全双工/半双工工作形式;
设备名称
价格
数量
总价〔元〕
CISCOASA5510-K8
12000
2
24000
CISCOASA5540-K8
68000
1
68000
CISCOWS-C3560V2
5700
1
5700
H3CSOHO-S1526
700
5
3500
华为S1700
480
10
4800
UPSUS11TPLUS-0030L
2300
1
2300
光电转换器
140
3
420
总计
108720
第三章
配置信息
根本配置:
hostnamegzswitch1〔使用设备的名字为所在城市+设备+序列号〕
enablesecret5$1$mERr$Dbe7RlLE8b8xdz/DJoO0U0〔对进入特权设置“加密〞口令〕
linecon0
password70822455D0A16〔对连接CON口设置“加密〞口令〕
login
linevty04
password70822455D0A16〔对telnet设置“加密〞口令〕
login
在ASA设备上设置SSH登录,并关闭TELNET(因telnet在传输过程中是采用明文传输的,随意用一个抓包软件都可获取传输过程中的内容,为平安起见,能用SSH的设备就采用SSH并关闭telnet)
#username用户名password密码encryptedprivilege15//SSH登入用户密码
#aaaauthenticationsshconsoleLOCAL//SSH登陆启用本地认证
#sshoutside
#sshinside//起用内部和外部接口的SSH
#sshtimeout50
#sshversion2//SSH版本2
#cryptokeygeneratersa//generate启动,zeroize停顿,modulus1024产生1024位的RSA密钥
#showcryptokeymypubkeyrsa//查看产生的rsa密钥值
PAT叫端口地址转换,NAT是网络地址转换.
PAT可以看做是NAT的一局部。
在NAT时,考虑一种情形,就是只有一个PublicIP,而内部有多个PrivateIP,这个时候NAT就要通过映射UDP和TCP端口号来跟踪记录不同的会话,比方用户A、B、C同时访问CSDN,那么NAT路由器会将用户A、B、C访问分别映射到1088、1098、23100〔举例而已,实际上是动态的〕,此时实际上就是PAT了。
由上面推论,PAT理论上可以同时支持〔65535-1024〕=64511个连接会话。
但实际使用中由于设备性能和物理连接特性是不能到达的,CISCO的路由器NAT功能中每个PublicIP最多能有效地支持大约4000个会话。
PAT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。
PAT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
也就是采用portmultiplexing技术,或改变外出数据的源port的技术将多个内部ip地址映射到同一个外部地址
LAN-to-LANVPN
根底配置:
R1:
R1(config)#intf0/0
R1(config-if)#ip
R1(config-if)#noshut
R1(config-if)#exit
R1(config)#ip
ASA1:
ciscoasa(config)#intg0
ciscoasa(config-if)#nameifinside
INFO:
Securitylevelfor"inside"setto100bydefault.
ciscoasa(config-if)#ip
ciscoasa(config-if)#noshut
ciscoasa(config-if)#intg1
ciscoasa(config-if)#nameifoutside
INFO:
Securitylevelfor"outside"setto0bydefault.
ciscoasa(config-if)#ip
ciscoasa(config-if)#noshut
ciscoasa(config-if)#exit
ciscoasa(config)#routeoutside00
R2:
R2(config)#intf0/0
R2(config-if)#ip
R2(config-if)#noshut
R2(config-if)#intf1/0
R2(config-if)#ip
R2(config-if)#noshut
R3:
R3(config)#intf0/0
R3(config-if)#ip
R3(config-if)#noshut
R3(config-if)#intl0
R3(config-if)#ip
R3(config-if)#exit
R3(config)#iprout
配置ASA1上的dynamicVPN
ciscoasa(config)#cryptoikev1policy1
ciscoasa(config-ikev1-policy)#encryption3des
ciscoasa(config-ikev1-policy)#hashsha
ciscoasa(config-ikev1-policy)#authenticationpre-share
ciscoasa(config-ikev1-policy)#group2
ciscoasa(config-ikev1-policy)#exit
ciscoasa(config)#cryptoipsecikev1transform-setccieesp-3desesp-sha-hmacciscoasa(config)#cryptodynamic-mapdymap1setikev1transform-setccieciscoasa(config)#cryptodynamic-mapdymap1setreverse-route
ciscoasa(config)#cryptomapmymap10ipsec-isakmpdynamicdymap
ciscoasa(config)#cryptomapmymapinterfaceoutside
ciscoasa(config)#cryptoikev1enableoutside
允许VPN流量从outside口进入
ciscoasa(config)#sysoptconnectionpermit-vpn
ciscoasa(config)#tunnel-groupDefaultL2LGroupipsec-attributes
ciscoasa(config-tunnel-ipsec)#ikev1pre-shared-key0cisco123
ciscoasa(config-tunnel-ipsec)#exit
配置R3上的VPNR3
R3(config)#cryptoisakmppolicy1
R3(config-isakmp)#encryption3des
R3(config-isakmp)#hashsha
R3(config-isakmp)#authenticationpre-share
R3(config-isakmp)#group2
R3(config-isakmp)#exit
R3(config)#
R3(config)#cryptoisakmp
R3(config)#cryptoipsectransform-setccieesp-3desesp-sha-hmac
R3(cfg-crypto-trans)#exit
R3(config)#access-list100permitip
R3(config)#cryptomapl2l1ipsec-isakmp
R3(config
R3(config-crypto-map)#settransform-setccie
R3(config-crypto-map)#matchaddress100
R3(config-crypto-map)#intf0/0
R3(config-if)#cryptomapl2l
SSLVPN
SSL VPN,SSL的英文全称是“Secure Sockets Layer〞,中文名为“平安套接层协议层〞,它是网景〔Netscape〕公司提出的基于WEB应用的平安协议。
SSL协议指定了一种在应用程序协议〔如、Telenet、NMTP和FTP等〕和TCP/IP协议之间提供数据平安性分层的机制,它为TCP/IP连接提供数据加密、效劳器认证、消息完好性以及可选的客户认证。
它的特点是无需客户端软件,使用方便,适用于用户安装配置不易或是特定应用情况。
(平安套接层协议层)方案,它只允许通过平安的Web阅读器,访问某几种具有Web功能的应用。
它只能访问使用标准Web创作工具如HTML和JavaScript的应用。
这项技术可以分析每个网页,确保从该网页引出的程序化的导航途径通过平安连接,转发到SSL VPN效劳器。
gzasa5540(config)#webvpn
gzasa5540(config-webvpn)#enableoutside
gzasa5540(config-webvpn
gzasa5540(config-webvpn)#svcenable
#上述配置是在外网口上启动WEBVPN,并同时启动SSLVPN功能
SSLVPN配置准备工作
#创立SSLVPN用户地址池
gzasa5540(config)#iplocalpoolssl-user10.10.3.10-10.10.3.100
WEBVPN隧道组与策略组的配置
#创立名为mysslvpn-group-policy的组策略
gzasa5540(config)#group-policymysslvpn-group-policyinternalArchasa(config)
#group-policymysslvpn-group-policyattributes
gzasa5540(config-group-policy)#vpn-tunnel-protocolwebvpn
gzasa5540(config-group-policy)#webvpn
#在组策略中启用SSLVPN
gzasa5540(config-group-webvpn)#svcenable
gzasa5540(config-group-webvpn)#exit
gzasa5540(config-group-policy)#exit
#创立SSLVPN用户
gzasa5540(config-webvpn)#usernametestpasswordwoaicisco
#把mysslvpn-group-plicy策略赋予用户test
gzasa5540(config)#usernametestattributes
gzasa5540(config-username)#vpn-group-policymysslvpn-group-policy
gzasa5540(config-username)#exit
gzasa5540(config)#tunnel-groupmysslvpn-grouptypewebvpn
gzasa5540(config)#tunnel-groupmysslvpn-groupgeneral-attributes
#使用用户地址池
gzasa5540(config-tunnel-general)#address-poolssl-user
gzasa5540(config-tunnel-general)#exit
gzasa5540(config)#tunnel-groupmysslvpn-groupwebvpn-attributes
gzasa5540(config-tunnel-webvpn)#group-aliasgroup2enable
gzasa5540(config-tunnel-webvpn)#exit
gzasa5540(config)#webvpn
gzasa5540(config-webvpn)#tunnel-group-listenable
配置SSLVPN隧道别离
#注意,SSLVPN隧道别离是可选取的,可根据实际需求来做。
#这里的源地址是ASA的INSIDE地址,目的地址始终是ANY
gzasa5540(config)#access-listsplit-sslextendedpermitip
gzasa5540(config)#group-policymysslvpn-group-policyattributes
gzasa5540(config-group-policy)#split-tunnel-policytunnelspecified
gzasa5540(config-group-policy)#split-tunnel-network-listvaluesplit-ssl
根本上整个配置就完成了,下面可以进展测试:
外出的员工在阅读器中输入登录公司的WEBVPN界面
WEBVPN登录界面
备份
登录到设备上翻开自己电脑上下载CISCOTFTPSERVER
opyrunning-configtftp然后输入运行TFTP的电脑的IP地址,输入配置文件的名字,这样TFTP就会承受设备的配置文件,备份成功
三层交换机配置:
IP规划表
部门
接口
VLAN
VLANNAME
网关
DHCP中继地址
财务
0-1
vlan10
CW
10.10.10.1
10.10.1.1
总经办
2-3
vlan11
ZJW
10.10.11.1
10.10.1.1
人事
3-4
vlan12
RS
10.10.12.1
10.10.1.1
技术
5-6
vlan13
JX
10.10.1
升级会员 