文档项目二任务二构建企业网络安全方案.docx

1、文档项目二任务二构建企业网络安全方案构建企业网络安全方案 设备安全、VPN、QOS、服务器目 录1. 企业网络现状及设计目标（需求分析） 11.1 概述 11.1.1 项目概述 11.1.2 性能需求 21.2 实际网络的特点及目前企业网络优缺点分析 21.3 设计目标 31.3.1 NAT技术 31.3.2 QOS技术 32. 要解决的几个关键问题 32.1研究设计中要解决的问题 32.1.1 设备、服务器、流量控制 32.1.2 应用系统软件 42.1.3 防火墙 42.2 针对现在网络中出现的网络安全问题，本课题所作的改善设计 42.2.1 改善设计 42.2.2 系统软件 42.2.3

2、 防火墙、入侵检测 43. 系统设计关键技术 53.1 目标具体实现中采用的关键技术及分析 53.1.1 本文主要用到的2种拓扑结构： 53.1.2 容灾备份技术 53.1.3 VPN技术 63.2 设计实现的策略和途径描述 63.3 设计模型及系统结构（新的拓扑图） 74. 系统实现技术 74.1 概述 74.2 物理设备安全 74.2.1 容灾备份 74.2.2 防盗和防毁 84.2.3 防止电磁泄漏发射 84.2.4 防电磁干扰 84.2.5 媒介安全 84.2.6 保密技术 84.3 VPN技术 94.4 访问控制列表与QOS技术 94.5 服务器的安全 14.5.1 将磁盘分区转换成

3、NTFS格式 14.5.2 构建安全的工作站 14.5.3 建立严格的用户权限 14.5.4 安装更新软件设备 11. 企业网络现状及设计目标（需求分析）1.1 概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。然而，有网络的地方就有安全的问题。过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。然而，当今的网络已经发生了变化

4、，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。用户每一次连接到网络上，原有的安全状况就会发生变化。所以，很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。网络攻击在迅速地增多：网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外开支等方面，对网络安全的破坏可能是毁灭性的。此外，严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而造成的成本损失将是无法估量的。1.1.1 项目概述（1）待改企

5、业描述本文的企业为一个早期玩具制造和销售企业，希望能具有竞争力并提高生产效率，这就必须对市场需求作出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。本方案旨在使公司的网络更安全，以保证企业安全和减少安全问题带来的损失。可以快速的对网络攻击做出反应。（2）功能此方案可让企业保证硬件设备减少安全隐患，公司重要信息不被人获取，应对突发的安全情况能力大大加强。（3）用户特点本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。（4）一般约束这是一个针对企业网络各方面进行调整的方案，不可避免要受于布线地理

6、位置和系统安装的兼容性的限制。（5）假设依据本方案具有较高的可靠性和安全保密性。网络性能稳定，不出差错。在具体实施方面，应该由企业网络相关专业人员进行管理，本方案只负责具体的实施方法建议。应对用户定义不同的使用权限，技术处负责大部分管理。不能由其他人进行查看更改。1.1.2 性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求：（1）系统处理的全面性和及时性方案的全面性和处理事件的及时性是必要的性能。从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。且在发生突发情况下能及时的补救，保证企业网络的正常运行。（2）系统方案的可扩充性在方案的设计

7、过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。（3）系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。（4）方案的标准性方案在设计过程中，要涉及很多计算机硬件、软件。所有这些都要符合主流国际、国家和行业标准。列如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。1.2 实际网络的特点及目前企业网络优缺点分析图1 公司的原拓扑图如图，上图为一玩具企业的大概网络拓扑图，经过分析，公司网络主要分为4个部分，一部分为工厂生产网络，一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络，

8、另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高，共享性强,适合于一点发送、多点接收的场合，容易扩展网络，使用的电缆少，且安装容易。缺点是安全行不高，维护不方便，分支节点出现故障会影响整个网络。其网络的交换机路由器已经经过一部分设置与设备NAT技术，使公司内部合理通信访问，工厂办公地点不能上网，员工办公阶段时间性的上网，领导办公没有限制。这都有效提高了公司的工作质量与安全性，我们在这基础上，再设置一些安全措施，设计出一套完整的安全解决方案。1.3 设计目标根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流

9、量控制优先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。1.3.1 NAT技术NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF（Internet Engineering Task Force, Internet工程任务组）标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部

10、网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，虽然地址转换技术设计的目的是为了节省IP地址，但是客观上，这种技术对网络外部隐藏了一个网络内部的地址结构，加大了内网的安全。1.3.2 QOS技术QoS的英文全称为Quality of Service，中文名为服务质量。QoS是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。用于衡量使用一个服务的满意程度。QoS不是创造带宽，而是管理带宽，因此它能应用得更为广泛，能满足更多的应用需求。QoS的目标是

11、要提供一些可预测性的质量级别，以及控制超过目前IP网络最大服务能力的服务2. 要解决的几个关键问题 2.1研究设计中要解决的问题2.1.1 设备、服务器、流量控制（1）从拓扑图上可知，类似总线型的网络拓扑结构，存在着明显的安全问题，如果其中一台交换机设备出现故障，将严重影响网络的正常运行，这是很大的安全隐患。（2）保证物理设备的安全，也没有针对一些突发情况的保护措施，以保证网络的随时通畅，容灾备份（3）外部访问企业内部网络，共享资源，没有一个好的安全保护措施。（4）QOS流量服务控制，保证网络通顺（5）服务器的安全非常重要2.1.2 应用系统软件系统的安全存在问题，没有好的软件工具防御外来攻击

12、，列如垃圾病毒邮件的防御。2.1.3 防火墙因为本企业对网络安全的不重视，还未安装外部防火墙，不能防御控制外来的攻击。2.2 针对现在网络中出现的网络安全问题，本课题所作的改善设计2.2.1 改善设计（1）改善其拓扑结构，把各设备协同工作时的隐患降到最低。（2），对物理设备实施保护措施，拥有少量备用和扩充的设备，建立流量控制措施，达到遇到突发情况从容面对，加以保证网络的正常运行。（3）采用现有的最有效安全的虚拟专用网络（VPN）技术，达到外部访问内部资源时的安全。（4）QOS流量服务和ACL访问控制，保证网络通顺（5）打造服务器安全2.2.2 系统软件拥有一些安全的系统和防御、杀毒、筛选检测工

13、具，达到最大限度防御外来攻击。采用身份人证和数据加密，保护邮件安全，再及时更新漏洞补丁。随着电子邮件的普及和应用，伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法，使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。2.2.3 防火墙、入侵检测安装好专业切功能强劲的防火墙，来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。所有来自in

14、ternet（外部网）的传输信息或从内部网络发出的信息都必须穿过防火墙。入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。3. 系统设计关键技术3.1 目标具体实现中采用的关键技术及分析3.1.1 本文主要用到的2种拓扑结构：（1）总线拓扑总线拓扑结构采用一个信道作为传输媒体，所有站点都通

15、过相应的硬件接口直接连到这一公共传输媒体上，该公共传输媒体即称为总线。总线拓扑结构的优点A.总线结构所需要的电缆数量少。B.总线结构简单，又是无源工作，有较高的可靠性。C.易于扩充，增加或减少用户比较方便。总线拓扑的缺点 A.总线的传输距离有限，通信范围受到限制。B.故障诊断和隔离较困难。C.分布式协议不能保证信息的及时传送，不具有实时功能（2）星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。星形拓扑结构具有以下优点：A.控制简单。B.故障诊断和隔离容易。C.方便服务。星形拓扑结构的缺点：A.电缆长度和安装工作量可观。B.中央节点的负担较重，形成瓶颈。C.各站点的分

16、布处理能力较低。3.1.2 容灾备份技术首先，要解决网络的物理安全，网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障；人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。这个是整个网络系统安全的前提。容灾备份：容灾备份是通过特定的容灾机制，在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的信息系统。容灾备份可以分为数据备份和应用备份。数据备份需要保证用户数据的完整性

17、、可靠性和一致性。而对于提供实时服务的信息系统，用户的服务请求在灾难中可能会中断，应用备份却能提供不间断的应用服务，让客户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并不是所有的企业都需要这样一个系统，只有对不可中断的关键业务才有必要建立容灾备份中心。3.1.3 VPN技术一个完全私有的网络可以解决许多安全问题，因为很多恶意攻击者根本无法进入网络实施攻击。但是，对于一个普通的地理覆盖范围广的企业或公司，要搭建物理上私有的网络，往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。VP

18、N的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。3.2 设计实现的策略和途径描述本方案为局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在

19、不影响企业局域网当前业务的前提下，实现对他们局域网全面的安全管理：（1）将安全策略、硬件设备及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。（2） 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。（3） 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。（4） 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。（5）在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。3.3 设计模型及系统结构（新的拓扑图）图2 改善后的拓扑

20、图在原拓扑图的基础上，增加了重要的防火墙，并把工厂办公子网的连接换到主交换机上，避免了员工子网交换机如果出现问题故障，导致重要生产线子网不能工作的问题。即是完全把企业的拓扑改成主流的星形拓扑结构。员工办公子网中间也可多增加一些交换机，减轻负担，对里面的部门分化也比较容易管理，再加上只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，就能达到在现有设备基础上，实现网络安全的目标。4. 系统实现技术4.1 概述确保现有的设备稳定安全的基础上，对交换机路由器等，采用一些安全技术，进行内部网络的设置。例如对各种设备都做了哪些修改，这些修改带来的优势，以达到增强网络安全的目的。4.2 物

21、理设备安全4.2.1 容灾备份从广义上讲，任何提高系统可用性的努力，都可称之为容灾（或容灾备份）。本地容灾就是主机集群，当某台主机出现故障，不能正常工作时，其他的主机可以替代该主机，继续进行正常的工作。当一处系统因灾难而停止工作时，整个应用系统可以切换到另一处，使得该系统可以继续正常工作。在建立容灾备份系统时会涉及到多种技术，如：远程镜像技术、基于IP的SAN（存储区域网络）的互连技术、快照技术等。远程镜像技术就是远程同步复制技术，指通过远程镜像软件，将本地数据以完全同步的方式复制到异地。通过镜像把数据备份到远程存储系统中，再用快照技术把远程存储系统中的信息备份到远程的磁带库、光盘库中。基于I

22、P的SAN的远程数据容灾备份技术，是将主数据中心SAN中的信息通过现有的TCP/IP网络，远程复制到备援中心SAN中。当备援中心存储的数据量过大时，可利用快照技术将其备份到磁带库或光盘库中。4.2.2 防盗和防毁当计算机系统或设备被盗、被毁时，除了设备本身丢失或毁损带来的损失外，更多的损失则是失去了有价值的程序和数据。因此，防盗、防毁是计算机防护的一个重要内容。通常采取的防盗、防毁措施主要有：设置报警器在机房周围空间放置侵入报警器，侵入报警的形式主要有光电、微波、红外线和超声波；锁定装置在计算机设备中，特别是在个人计算机中设置锁定装置，以防犯罪盗窃；计算机保险在计算机系统受到侵犯后，可以得到损

23、失的经济补偿，但是无法补偿失去的程序和数据，为此应设置一定的保险装置4.2.3 防止电磁泄漏发射计算机主机及其附属电子设备如视频显示终端、打印机等在工作时不可避免地会产生电磁波辐射，这些辐射中携带有计算机正在进行处理的数据信息。抑制计算机中信息泄漏的技术途径有两种：一是电子隐蔽技术，二是物理抑制技术。电子隐蔽技术主要是用干扰、调频等技术来掩饰计算机的工作状态和保护信息；物理抑制技术则是抑制一切有用信息的外泄。物理抑制技术可分为包容法和抑源法。包容法主要是对辐射源进行屏蔽，以阻止电磁波的外泄传播。抑源法就是从线路和元器件入手，从根本上阻止计算机系统向外辐射电磁波，消除产生较强电磁波的根源。4.2

24、.4 防电磁干扰电磁干扰是指当电子设备辐射出的能量超过一定程度时，就会干扰设备本身以及周围的其他电子设备的现象。计算机与各种电子设备和广播、电视、雷达等无线设备及电子仪器等都会发出电磁干扰信号，计算机要在这样复杂的电磁干扰环境中工作，其可靠性、稳定性和安全性将受到严重影响。因此，实际使用中需要了解和考虑计算机的抗电磁干扰问题，即电磁兼容性问题。4.2.5 媒介安全包括媒介数据的安全以及媒介本身的安全。对于存放重要数据的计算机设备，要有定期数据备份计划，用磁盘、光盘等介质及时备份数据，妥善存档保管。也要有数据恢复方案，在系统瘫痪或出现严重故障时，能够进行数据恢复。4.2.6 保密技术计算机系统的

25、保密主要是指存放于磁盘上的文件、数据库等数据存储的保密措施，应用于这方面的技术主要有访问控制、数据加密等。可用加密系统有数据加/解密卡、数据加密机、数据采编加密系统、抗辐射干扰器、电子印章系统等。4.3 VPN技术为了远程访问的快捷与安全，我们采用了VPN技术，可按照企业的情况对主路由进行配置实现。这是原本企业没采用的方式。VPN（Virtual Private Network，虚拟专用网络）是专用网络的延伸，包含了类似 Internet 的共享或公共网络连接。通过VPN可以模拟点对点专用连接的方式通过共享或公共网络在两台计算机之间发送数据。它具有良好的保密和不受干扰性，使双方能进行自由而安全

26、的点对点连接，因此广泛地受到网络管理员们的关注。4.4 访问控制列表与QOS技术（1）在路由器上配置控制访问列表（ACL），主要的目的是为了应用防火墙的功能。ACL是一个很好的描述数据流的方法，即它定义了区分数据流的规则。这些规则不但可以应用在路由器的防火墙功能中，同时在路由的具体实现中，ACL还可以被应用在许多需要描述数据流的场合，如NAT、QOS、策略路由等。ACL主要的功效就是在企业中，外部的网络只有特定的用户可以访问内部服务器，而内部网络中只有特定的主机才可以访问外部的网络，控制访问。（2）QOS联网服务质量，是在整个网络连接上应用的各种通信或程序类型优先技术。QoS技术的存在是为了获

27、得更好的联网服务质量。QoS是一组服务要求，网络必须满足这些要求才能确保适当服务级别的数据传输。起到很好避免网络堵塞的目的。企业中，用控制访问列表来限制公司内部对外的访问，再配合上QOS的程序优先级技术，能很好的解决网络宽带的问题，保证企业网络安全顺畅的运行。4.5 服务器的安全近些年来，服务器遭受的风险比以前更大了。越来越多的病毒，心怀不轨的黑客都将服务器作为了自己的目标。很明显，服务器的安全问题是不容忽视的。在这里谈谈企业维护服务器安全的方法。4.5.1 将磁盘分区转换成NTFS格式当服务器上的资料都存在于一个FAT的磁盘分区的时候，即使安装上世界上所有的安全软件也不会对你有多大帮助的。因

28、为这个原因，你需要从基本做起。你需要将服务器上所有包含了敏感资料的磁盘分区都转换成NTFS格式的。4.5.2 构建安全的工作站加强工作站的安全能够提高整个网络的安全性，我们建议初步所有工作站上使用Windows2000，Windows2000是一个非常安全的操作系统，如果不这样做，那么至少也要安装Windows NT.然后可以锁定站，让没有安全访问权的人不能获得网络配置信息。4.5.3 建立严格的用户权限严格控制用户的权限，让用户在访问整个网络上的任何东西的时候都需要密码。必须强迫大家使用高强度的由大小写字母，数字和特殊字符组成的密码，并及时更新过时密码。4.5.4 安装更新软件设备在服务器上安装入侵检测系统和报警系统，弥补防火墙上的功能，达到监控网络、执行立即的拦截工作以及分析过滤封包的动作，当有窃取者入侵的时候便可以立刻有效终止。要对这些设备软件及时检查更新，达到最好的效果。