企业网络安全解决方案毕业论文.docx

1、企业网络安全解决方案毕业论文娄底职业技术学院毕业论文悦城宏锦网络有限公司企业网络安全解决方案姓 名： XXX 学 号: XXXXXX 指导老师： XXXXXXX 系 名: 电子信息工程系专 业： 计算机网络技术班 级： XXXXXX 二零一零年十一月十七日摘要近几年来，In ternet技术日趋成熟，已经开始了从以提供和保证网络联通性为主要 目标的第一代 Internet 技术向以提供网络数据信息服务为特征的第二代 Internet 技术 的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知，作为全球使 用范围最大的信息网， Internet 自身协议的开放性极大地方便了各种计算机

2、连网， 拓宽 了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用 上的无政府状态，逐渐使 Internet 自身安全受到严重威胁，与它有关的安全事故屡有 发生。网络安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干 扰系统正常运行，利用网络传播病毒，线路窃听等方面。因此本论文为企业（宏锦企业 网络）构架网络安全体系，主要运用 vian划分、防火墙技术、vpn、病毒防护等技术， 来实现企业的网络安全。关键词：网络，安全，VPN防火墙，防病毒AbstractIn recent years, Internet technology has matured,

3、has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition. These all contributed to the rapid computer networki

4、ng technology of large-scale use. As we all know, the worlds largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources. However, in the early design of network protocols on security issues of negle

5、ct, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently. Network security threats mainly in: unauthorized access,posing as legitimate users, damage to data integrity, interfere with

6、the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise (Hong Jin corporate network) architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve cor

7、porate network security.Keywords: network, security, VPN, firewall, anti-virus绪 论 1第一章 企业网络安全概述 21.1企业网络的主要安全隐患 21.2企业网络的安全误区 2第二章 企业网络安全现状分析 42.1公司背景 42.2企业网络安全需求 42.3需求分析 42.4企业网络结构 5第三章 企业网络安全解决实施 6(1)宏锦网络企业物理安全 63.2宏锦企业网络VLAN划分 73.1宏锦企业网络防火墙配置 91)宏锦企业网络 VPN配置 122)宏锦企业网络防病毒措施 13第四章 宏锦企业的网络管理 16(1

8、)宏锦企业网络管理的问题 16(2)宏锦企业网络管理实施 16总 结 18致 谢 19参考文献 20绪论随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的 IT 技术构建 企业自身的业务和运营平台将极大地提升企业的核心竞争力， 使企业在残酷的竞争环境 中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖 性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统 的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信 息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型 显示安全防范是一个动态的过

9、程，事前、事中和事后的技术手段应当完备，安全管理应 贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐 患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几 乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问 和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来 的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行 不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件 的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别

10、是企业网络用户，必须 采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意， 企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些 平时经常提及的外部网络威胁， 又要对来自内部网络和网络管理本身所带来的安全隐患 有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发 的途径可以是多方面的，而许多安全措施都是相辅相成的。第一章 企业网络安全概述企业网络的主要安全隐患现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、 攻击和访问，同时企业网络安全隐患的来源有内、外网之分，很多情况下内部网络安全 威胁要远远大于

11、外部网络，因为内部中实施入侵和攻击更加容易，企业网络安全威胁的 主要来源主要包括。病毒、木马和恶意软件的入侵。网络黑客的攻击。重要文件或邮件的非法窃取、访问与操作。关键部门的非法访问和敏感信息外泄。外网的非法入侵。备份数据和存储媒体的损坏、丢失。针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统， 同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措 施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络 嗅探器、IDS、IPS系统，甚至配置网络安全隔离系统，对内、外网络进行安全隔离；力卩 强内部网络的安全管理，严格实行“最小权限

12、”原则，为各个用户配置好恰当的用户权 限；同时对一些敏感数据进行加密保护，对数据还可以进行数字签名措施；根据企业实 际需要配置好相应的数据策略，并按策略认真执行。企业网络的安全误区( 一) 安装防火墙就安全了防火墙主要工作都是控制存取与过滤封包，所以对 DoS攻击、非法存取与篡改封包 等攻击模式的防范极为有效，可以提供网络周边的安全防护。但如果攻击行为不经过防 火墙，或是将应用层的攻击程序隐藏在正常的封包内，便力不从心了，许多防火墙只是 工作在网络层。防火墙的原理是“防外不防内” ，对内部网络的访问不进行任何阻挠，而事实上， 企业网络安全事件绝大部分还是源于企业内部。( 二 ) 安装了最新的杀

13、毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒， 但 这并不能保证就没有病毒入侵了， 因为杀毒软件查杀某一病毒的能力总是滞后于该病毒 的出现。（ 三 ） 在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效 网络版杀毒软件核心就是集中的网络防毒系统管理。 网络版杀毒软件可以在一台服 务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、 监控整个网络的病 毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。（ 四 ） 只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像 QQ聊天接发邮件同样是病毒传播的主要途 径，而且盗版光盘以及 U

14、盘等也会存在着病毒。所以只要计算机开着，就要防范病毒。（ 五） 文件设置只读就可以避免感染病毒 设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点，设置只 读并不能有效防毒，不过在局域网中为了共享安全，放置误删除，还是比较有用的。（ 六） 网络安全主要来自外部 基于内部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在 内部网络中实施攻击。所以，加强内部网络安全管理，特别是用户帐户管理，如帐户密 码、临时帐户、过期帐户和权限等方面的管理非常必要了。第二章 企业网络安全现状分析公司背景宏锦网络有限公司是一家有 100 名员工的中小型网络公司， 主要以手机应用开发为 主

15、营项目的软件企业。公司有一个局域网，约 100 台计算机，服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP，在工作组的模式下一人一机 办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的 发展现有的网络安全已经不能满足公司的需要， 因此构建健全的网络安全体系是当前的 重中之重。企业网络安全需求宏锦网络有限公司根据业务发展需求，建设一个小型的企业网，有 Web、Mail 等服务器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由 于考虑到Inteneter的安全性，以及网络安全等一些因素，如 DDo

16、S ARP等。因此本企业的网络安全构架要求如下：（1）根据公司现有的网络设备组网规划（2）保护网络系统的可用性（3）保护网络系统服务的连续性（4）防范网络资源的非法访问及非授权访问（5）防范入侵者的恶意攻击与破坏（6）保护企业信息通过网上传输过程中的机密性、完整性（7）防范病毒的侵害（8）实现网络的安全管理。2.3 需求分析通过了解宏锦网络公司的需求与现状， 为实现宏锦网络公司的网络安全建设实施网 络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的安全性，避免 图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护，记录用户 对客户端计算机中关键目录和文件的操作， 使

17、企业有手段对用户在客户端计算机的使用 情况进行追踪，防范外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和 管理。因此需要构建良好的环境确保企业物理设备的安全划分VLAN控制内网安全安装防火墙体系建立VPN(虚拟专用网络)确保数据安全安装防病毒服务器加强企业对网络资源的管理2.4企业网络结构宏锦网络公司网络拓扑图，如图 2-1所示:图2-1企业网络结构由于宏锦网络公司是直接从电信接入 IP为58.192.65.62 255.255.255.0 ，直接经由防火墙分为DMZ区域和普通区域。防火墙上做 NAT转换，分

18、别给客户机端的地址为10.1.1.0 255.255.255.0 。防火墙接客户区端口地址为 10.1.1.1 255.255.255.0 。DMZ内主要有各类的服务器，地址分配为 10.1.2.0 255.255.255.0。防火墙DMZx的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机，下面有两台 2层交换机做接入。第三章 企业网络安全解决实施漀琀栀椀挀吀椀洀攀宏锦网络企业物理安全宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提， 物 理安全是指保护计算机网络设备、 设施以及其他媒体免遭地震、 水灾、火灾等环境事故、 人为操作

19、失误或各种计算机犯罪行为导致的破坏。针对宏锦网络企业的物理安全主要考虑的问题是环境、 场地和设备的安全及物理访 问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。 它主要包括以下几个方面：保证机房环境安全信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环 境。要从一下三个方面考虑： a. 自然灾害、物理损坏和设备故障 b. 电磁辐射、乘机而 入、痕迹泄漏等 c. 操作失误、意外疏漏等选用合适的传输介质屏蔽式双绞线的抗干扰能力更强， 且要求必须配有支持屏蔽功能的连接器件和要求 介质有良好的接地(最好多处接地)，对于干扰严重的区域应使用屏蔽式双绞线，并

20、将 其放在金属管内以增强抗干扰能力。光纤是超长距离和高容量传输系统最有效的途径，从传输特性等分析，无论何种光 纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密 性好，不易被窃听或被截获数据、传输的误码率很低，可靠性高，体积小和重量轻等特 点。与双绞线或同轴电缆不同的是光纤不辐射能量，能够有效地阻止窃听。保证供电安全可靠计算机和网络主干设备对交流电源的质量要求十分严格，对交流电的电压和频率， 对电源波形的正弦性，对三相电源的对称性，对供电的连续性、可靠性稳定性和抗干扰 性等各项指标，都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自 身运转的要求，又要满足

21、网络应用的要求，必须做到保证网络系统运行的可靠性，保证 设备的设计寿命保证信息安全保证机房人员的工作环境。3.2宏锦企业网络VLAN划分VLAN技术能有效隔离局域网，防止网内的攻击，所以宏锦网络有限公司网络中按部 门进行了 VLAN划分，：划分为以下两个 VLAN财务部门 VLAN 10 交换机 S1 接入交换机(神州数码 DCS-3950)业务部门VLAN 20 交换机S2接入交换机(神州数码 DCS-3950核心交换机VLAN间路由 核心交换机S3 (神州数码DCRS-5526S1 配置如下 :switchswitchenaswitch#conswitch(Config)#vlan 10s

22、witch(Config-Vlan10)#sw int e 0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#int e 0/0/24switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v aset the port Ethernet0/0/24 allowed vlan successfull

23、y switch(Config-Ethernet0/0/24)#exitswitch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-con

24、fig)#exitswitch(config)ip dhcp excluded-address 192.168.10.1S2配置如下：SwitchSwitchenaSwitch#conswitch(Config)#vlan 20switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m tSet the port Ethernet0/0

25、/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 sw

26、itch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240SO配置如下：switch switchenable switch#config switch

27、(Config)#hostname SO SO(Config)#vlan 1O SO(Config-Vlan1O)#vlan 2O SO(Config-Vlan2O)#exit SO(Config)#int e O/O/1-2 SO(Config-Port-Range)#sw m t SO(Config-Port-Range)#sw t a v a SO(Config-Port-Range)#exit SO(Config)#int vlan 1OSO(Config-If-Vlan1O)#ip address 192.168.1O.1 255.255.255.O SO(Config-If-Vla

28、n1O)#no shutdownSO(Config-If-Vlan1O)#exitSO(Config)#int vlan 2000:04:23: %LINK-5-CHANGED: In terface Via n20, changed state to UP %LINEPR0T0-5-UPD0WN: Li ne protoco Ion In terface Via n20, chan ged state to UP S0(Co nfig-lf-Vla n20)#ip address 192.168.20.1 255.255.255.0S0(C on fig-If-Via n20)# no sh

29、utdow nS0(Co nfig-lf-Vla n20)#exitS0(Co nfig)#exitS0(Config-lf-Vlan1)#ip address 192.168.1.1 255.255.255.0S0(Config-lf-Vlan1)#no shutdownS0(Co nfig-lf-Vla n1)#exitS0(Co nfig)#exitS0#show ip routeS0#conS0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.13.4宏锦企业网络防火墙配置宏锦企业网络中使用的是神州数码的 DCFW-1800S UTM

30、里面包含了防火墙和 VPN等功能。以下为配置过程：在防火墙NAT策略下面，新增NAT如图3-1:图3-1新增企业防火墙策略示意图源域：untrust ；源地址对象：an y；目的域：trust ；目的地址对象：an y；在全局安全策略设置里面如图 3-2和图3-3所示：图3-2企业防火墙策略配置示意图匕局作: bcp J udp ping gre esp ah vrrp ftp ssh tehet -smtp t dhcpT cp gopher finger http link kerberos pop3 surrpc nntp ntp nettxos-ns neUjios-ssn news

31、imap3 imap https uucpID;1-655351顶：厂按送到IDSI- ipq桧涮图3-3企业防火墙策略配置示意图新増嶂内安全策咯酒目砂:trustV盏增址对象：any v冃的地址对象：any vanyV动作：permitV时间：审计TD：Il-65535最犬连接数：1 - 65535选项：厂发送到IDS厂曲检测图3-4企业防火墙策略配置示意图可以设置全局下面访问策略，以及域内和域间的访问策略。这里我们设置，内部网 络为信任区域（trust ），Inteneter为不信任区域（untrust ），服务器区域为DMZ域。 动作包括permit允许，拒绝deny，以及其他的特定的服务。这里允许内部访问外部和 DMZ区域，而DMZ和 Inteneter 不允许访问内部。但是处于中间位置的 DMZ可以允许Inten eter的访问。所以要添加好几条 NAT策略。在网络接口处如图3-5所示：接口信息播口名薪i： etho接口状臺：UP C DOWN工作谟式：广路由厂NAT介透明图3-5网络接口处配置示意图要配置3个以太网接口为up，安全区域分别为eth1 : 12-trust ，ethO