企业网络安全方案设计.docx

1、企业网络安全方案设计企业网络安全方案设计姓 名 学 号 班 级 专 业 院 系 指导教师 2016年 10 月25日 XXXX毕业设计诚信声明本人郑重声明：所呈交的毕业设计文本和成果，是本人在指导老师的指导下，独立进行研究所取得的成果。成果不存在知识产权争议，本毕业设计不含任何其他个人或集体已经发表过的作品和成果。本人完全意识到本声明的法律结果由本人承担。毕业设计者签名： 2016年10月 25日目录摘 要 4绪论 5引言 51.2 办公网络安全现状 5论文内容简介 5企业网络安全的威胁及需求 62.1 物理层安全风险 62.2 系统层安全风险 62.3 病毒的安全风险 62.4 操作系统的安

2、全风险分析 7网络安全相关技术 8虚拟局域网技术 8虚拟局域网定义 8VLAN的优点及安全优势 8VLAN划分方法 8防火墙技术 9防火墙分类 9目前防火墙最新技术 93.3 上网行为管理技术 103.3.1 上网行为管理的描述 10网络拓扑图 11安全方案测试 16结论 17致谢 18摘 要楼恩信息工程企业网络安全部署设计（硬件方向）现如今，生活中处处离不开网络，无论是工作还是学习，许多有远见的企业都认识到计算机网络，信息安全在国民生活中受到越来越多的关注，原因在于：许多重要的信息存储在网络上，一旦这些信息泄露出去将造成无法估量的损失。之所以网络信息会泄露出去，一方面网络自身存在安全隐患才使

3、得入侵者得逞。针对这些问题，该文归纳并提出了一些网络信息安全防护的方法和策略，另一方面有许多入侵者千方百计想“看”到一些关心的数据或者信息。重点研究在物理隔离的情况下计算机网络的安全问题。在对网络系统有了确切的了解之后，它是任何一个网络成功推广和应用的基本条件。而且，随着网络用户数量的急剧增加和网络环境的恶化，网络安全问题也将面临更严峻的挑战。从网络基础安全设计、应用基础安全设计两个层面,从硬件级的安全设备的工程部署,到软件层面上的安全应用程序的联动部署。企业网络改造项目得以顺利实施,达到了预期的改造目标,解决了企业发展的瓶颈,为后续项目的实施奠定了基础。关键词 网络安全扫描系统防火墙病毒入侵

4、网络威胁安全防范措施。绪论引言如今，互联网走进千家万户，网络在给大家带来福利，同时深刻影响着社会生活的各个方面。网络安全则通讯顺畅、社会安定、改革开放发展无阻，反之，则会极大影响社会现代化建设的步伐。因此，加大网络安全建设的投入力度，显得格外重要。无论大中小企业，都开始广泛通过采用网络信息技术办公，来不断提高企业竞争力。这在提高企业效益、便利管理的同时，也带来了很多安全隐患。企业信息受困于网络安全问题，造成的实际和隐性损失不可估量，这一现象俨然日趋严重，成为了需要解决的课题。办公网络安全现状 企业想获得竞争力，提高生产效率，就有必要及时有效的响应市场需求，就必须依靠互联网获取和分享信息，从而进

5、一步提高生产效率，并进一步促进企业的发展。但只要上网，就会存在安全风险。过去办公局域网属于完全封闭式的内部网络，不与外界交互，所以安全系数高，简易的设备便足以承担安全防护工作。互联网时代带来的是网络通讯的飞速发展，互联网上流通的数据量越来越大。1. 计算机系统遭受病毒感染和破坏的情况相当严重。2. 电脑黑客活动己形成重要威胁。3. 信息基础设施面临网络安全的挑战。论文内容简介以某市企业办公网络为例，针对物理层的安全问题，重点研究在物理隔离的情况下计算机网络的安全问题。本文最终目标是组建一个网络整体性能稳定，数据安全避免攻击的，适应办公信息化建设需要的，安全高效的网络环境。对网络系统，有了确切的

6、了解之后，将局域网，总体划分为三个安全等级，重点对网络运行的安全性、恶意攻击防护性和数据安全性等问题进行了研究和设计。企业网络安全的威胁及需求物理层安全风险物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证信息网络系统的物理安全，还要防止系统信息在空间的扩散。政府、军队、金融机构在兴建信息中心时首要的设置的条件。通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。为保证网络的正常运行，在物理安全方面应采取如下措施：1产品保障方面：主要指产品采购、运输、安装等方面的安全措施。2运行安全方面：网

7、络中的设备，特别是安全类产品在使用过程中，必须能够从生成厂家或供货单位得到迅速的技术支持服务。对一些关键设备和系统，应设置备份系统。3防电磁辐射方面：所有重要涉密的设备都需安装防电磁辐射产品，如辐射干扰机。4保安方面：主要是防盗、防火等，还包括网络系统所有网络设备、计算机、安全设备的安全防护。系统层安全风险系统级的安全风险分析主要针对企业校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。企业网络采用的操作系统 ( 主要为Windows 7)，服务器、数据库的安全级别较低，存在若干安全隐患。在企业的网络系统中，包含的设备有：交换机，服务器，工作站等。在服务器上主要有操作系统

8、、软件系统和数据库系统，交换机上也有相应的操作系统。所谓系统安全通常是指网络操作系统、Windows系统的安全。病毒的安全风险在企业的网络系统中，传统的计算机病毒传播手段是通过存储介质进行的，同事在交换存储着数据的介质时，隐藏在其中的计算机病毒就从一台计算机转移到另外的计算机中。当病毒被释放到网络环境时，其无法预测的扩散能力使它极具危险性。而现代的病毒传播手段主要是通过网络实现的，一台客户机被病毒感染，迅速通过网络传染到同一网络的成百上千台机器。员工上网浏览网页、收发电子邮件，下载资料的时候，都有可能被病毒传染，这种传播方式构成了企业病毒传播途径的主流。操作系统的安全风险分析从安全角度考虑，其

9、表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其中可能隐含了安全风险。系统安全通常是指操作系统的安全。操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。网络安全相关技术虚拟局域网技术虚拟局域网定义虚拟局域网，即VLAN（Virtual Local Area Network），指通过在LAN交换装置上使用网络管理软件，实现跨网段、跨终端构建逻辑网络的技术。多个网络设备的不同用户，可以通过覆盖该网络设备的VLAN进行通讯。VLAN的优点及安全优势VLAN提供了防火墙机制，限制了网络广播，通过划分VLAN,将网络设备分割到多个逻辑域中，特定VLAN

10、可以跨越多个交换机端口和交换网络，且广播不会发送到VLAN外。这样就释放了足够的网络流量给使用者，减少了网络负担，极大减少了可能受到广播风暴影响的设备数量。VLAN加强局域网的安全，剔除包含敏感数据的用户组，减少了泄密几率。在传输过程中，用户VLAN不能直接与其他VLAN用户的直接通信，不同VLAN内的报文是隔离的。如果需要跨VLAN通信，就必须利用三层交换设备。减少昂贵的网络升级费用，更高地利用现有的带宽和上行链路，节约成本。通过将第二层平面网络划分成多个逻辑工作组（广播域）来减少不必要的网络流量，提高性能。VLAN便于网络管理，共有需求的使用者都在同一VLAN中。依靠VLAN技术，组成了一

11、个大型虚拟网，使用便利如同本地LAN,可以在任意位置、任意网络和任意用户沟通，明显降低了管理费用和升级费用。VLAN划分方法1. 按端口划分VLAN最初通常在一台交换机上按照端口来划分VLAN的成员，但也将VLAN只存在单台交换机上。所有VLAN下的成员属于同一广播域，可以直接通讯。最新的硬件技术，可以将多台交换机的不同端口集合到一起，划分为一个VLAN,使得VLAN得以跨越硬件。这种方式是当前VLAN划分方式中最常见也最实用。2. 按MAC地址划分VLAN，通过每个设备自带的唯一识别MAC地址来划分VLAN.优点是当一个移动用户的物理位置发生变化，不需要再进行配置，都可以直接与VLAN通信。

12、这种方式有个缺点，就是首次配置会非常麻烦，需要把所有用户MAC地址进行添加，如果用户数有成百上千，将是非常庞大的工作量。同时，这种划分方式还影响了交换效率，无法限制广播包。另外，对于经常更换上网设备的用户来说，每次换新设备都必须进行一次初始配置，影响工作效率。3. 按网络层划分这种划分方式虽然依据IP地址或者通讯协议，却与路由没有丝毫联系。优点是便于管理，因为使用者不管在什么位置，都能直接入网，无需重新配置。且不用校对帧标签，减少网络流量占用比。缺点是相较于VLAN和MAC这两种划分方式，这种方式效率较低，检查网络层地址消耗的时间会更多。要让普通交换机芯片可以检查IP报头，需要较高的技术，也更

13、加消耗时间。当然，这也与每个厂家的设计方法有关。4. 按IP组播划分IP组播即认为一个组播组就是一个VLAN,这种广域网的划分方式具有更大的灵活性。但因为效率低，这种方式并不太适用于办公局域网。以上划分VLAN的方式中，第一种建立在物理层上；第二种建立在数据链路层上；最后两种建立在网络层上。防火墙技术所谓防火墙技术，是指一种将内部网和互联网隔离的技术。防火墙是在两个网络通讯时参照的一种访问控制标准，防火墙同意后互联网数据才能进入内网，若是不同意则将拒之门外，极大地防范了来自黑客的恶意访问。通俗点说，防火墙就是一扇大门，不得到看门人的认可，门两边的人无法进行对话，也就是内部网和互联网无法进行通讯

14、。防火墙分类1. 个人防火墙是一项安全防护技术，原理是监控、阻止任何XX允许的数据进入，发出到其他网络，防止外部攻击侵入内网的电脑。如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的freeZoneAlarm等。作用是对系统进行监控及管理，防止木马、 病毒程序通过网络入侵电脑和向外扩散。这些软件实用度很高，而且方便于操作和管理，能够独立运行。2. 网络层防火墙通过制定规则，限制封包的通行，可以将之视为一种 IP封包过滤器。常见的网络层防火墙，管理员可以自行定义和修改规则。3. 应用层防火墙顾名思义，OSI

15、参考模型应用层上的安全设备，通常用来防护Web应用产生的数据流。防火墙可以拦截出入应用程序的所有封包，对于不符合规则的封包采用封锁或者丢弃的操作。目前防火墙最新技术所谓的边界防火墙（Perimeter Firewall）,是指部署在内外网之间的防火墙设备。随着科技发展，网络安全威胁不只存在于外部，也更加难以防范。比如针对DNS的内部攻击，通常会导致防火墙工作中断，来自内部的攻击危害更大，而防火墙却没有对应防御措施。所以，仅凭边界防火墙已经无法适应用户的全方位安全防护需求。如果要让边界防火墙对内不实现保护功能，就必须给每台主机都安装防火墙，但这代价太大，明显不切实际。基于此需求，分布式防火墙（D

16、istributed Firewalls）技术诞生了。其拥有卓越的安全防护策略，代表着未来的发展趋势，这项技术刚一出现，就得到广大认可，具有很好的发展前景。分布式防火墙的特点：主机驻留、嵌入操作系统内核、适用于服务器托管。分布式防火墙的功能：互联网访问控制、应用访问控制、网络状态监控、抵御黑客攻击。分布式防火墙的优势：（1） 安全性增强：采取了全面安全防护机制，有效抵御内部攻击，防止恶意程序攻击主机。（2） 系统性能提高：消除了结构性的瓶颈问题，性能得到显著提升。（3） 可扩展性：基于安全结构，理论上可以实现防护机制无限扩展。（4） 实施主机策略：可以保护到网络中的各个节点。（5） 应用更为广

17、泛：支持VPN通信。上网行为管理技术上网行为管理的描述随着计算机网络技术的飞速发展，网络办公的日益普及，互联网已经成为人们的工作环节中方便快捷、不可或缺的一个重要组成部分。然而，并不是所有员工都能100%利用办公网络的便捷来办公，滥用办公网络资源来网上购物、聊天、下载电影等行为，不但占用了原本办公的网络带宽，更影响了应有的工作效率，亦带来了安全隐患。上网行为管理，通过实时监控网络上的数据流量和访问记录，避免商业机密泄露，阻止不良信息传播，提高了企业办公网络的使用效率。其审计功能和行为监控功能，特别适用于信息化保密程度高的企业。早期互联网行为管理产品几乎可以理解为URL过滤系统，上网浏览的所有地

18、址将被系统监视和跟踪记录，如果按照设定是合法地址则开放限制，反之则采取警告和禁行措施，最终形成的就是黑白名单。此外，也有监测邮件收发的行为管理系统。行为管理采取网络监测与控制技术，实现对所有管辖区内用户的上网行为监管。对浏览过的网页地址和时间进行记录，对不良信息进行控制，对敏感话题进行管理，对多重协议的聊天软件进行监听，有效保证企业办公网络使用效率和安全。与传统的URL地址数据库管理控制系统不同，上网行为管理系统化被动为主动，突破技术瓶颈，从功能，性能，效率，安全性等各个方面完全超越了前者，达到了当今安全行为管理的使用要求。网络拓扑图楼恩信息工程企业网络拓扑图楼恩信息工程企业有限公司网络设计图

19、R1S1S3S2S4企业项目设计图企业VLAN划分企业主要分三个部门，所以只要划分三个VLAN，分别为：财务部门 VLAN 10 交换机S1 接入交换机（锐捷 RG-AS224GT）业务部门 VLAN 20 交换机S2 接入交换机（锐捷 RG-AS224GT）办公部门 VLAN 30 交换机S3 接入交换机（锐捷 RG-AS224GT）核心交换机 S3 核心交换机（华三SMB-S1848G-CN）客户机的地址范围： 192.168.2.2 - 192.168.2.254楼恩信息工程企业有限公司内网中管理远东网安防火墙主机的计算机地址： ： 192.168.1.2外网的网关： 192.168.2

20、.254防火墙的LAN（ eth0 ）口的IP ：192.168.2.1 （默认）直接管理远东网安防火墙的计算机地址： 192.168.0.114.1 实施方案1. 按照项目要求、项目设计图实施，并保证项目顺利实施。2. 按照写出的管理制度，主要是保证项目实施的质量，项目管理主要包括人的管理、产品的管理和技术的管理。3. 按照项目进度图查看项目实施进度表，作为项目实施的时间标准，要全面考虑完成项目所需要的物质条件，计划出一个比较合适的时间进度表4. 执行人员要保证质量职责、项目质量的保证措施和项目验收。执行人员如项目经理、技术负责人、技术工程师、后勤人员等，以保证整个安全项目的顺利实施。5.

21、项目质量保证严格质量保证，主要的内容涉及参与项目的相关人员、项目中所涉及的安全产品和技术、用户派出支持该项目的相关人员管理。6. 根据项目具体情况，与用户确定项目验收的详细事项，包括安全产品、技术、完成情况、达到的安全目的等验收。楼恩信息工程企业有限公司网络设计图 配置文档 (部分配置) 设置 VLANS4 # vlan databaseS4 # vlan 10 name financeS4 # vlan 20 name businessS4 # vlan 30 name work配置生成树S4(config)#spanning-tree vlan 10 root primary S4(con

22、fig)#spanning-tree vlan 20 root secondaryS4(config)#spanning-tree vlan 30 root secondaryS4(config)#spanning-tree vlan 10 root secondaryS4(config)#spanning-tree vlan 20 root primaryS4(config)#spanning-tree vlan 30 root primary S4(conf ig)#int fa0/1S4(conf ig)# switchport mode accessS4(conf ig)# switc

23、hport access vlan 10S4(conf ig)#int fa0/2S4(conf ig)# switchport mode accessS4(conf ig)# switchport access vlan 20S4(conf ig)#int fa0/3S4(conf ig)# switchport mode accessS4(conf ig)# switchport access vlan 30配置 HSRPS4#int vlan 10S4(config-if)#standby 1 ip 192.168.10.251S4(config-if)#standby 1 priori

24、ty 150S4#int vlan 20S4(config-if)#standby 1 ip 192.168.20.251S4(config-if)#standby 1 priority 150S4#int vlan 30S4(config-if)#standby 1 ip 192.168.30.251S4(config-if)#standby 1 priority 150配置路由S4（config）#ip route 192.168.10.0 255.255.255.0 192.168.2.1S4（config）#ip route 192.168.20.0 255.255.255.0 192

25、.168.2.1S4（config）#ip route 192.168.30.0 255.255.255.0 192.168.2.1S4（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.254R1配置 R1 (config)#int fa0/0 R1 (config-if)#ip add 192.168.2.1 255.255.255.0 R1 (config-if)#standby 1 ip 192.168.15.4R1 (config-if)#standby 1 priority 150 R1 (config)#controller E1 1/0 R1

26、 (config-if)#no sh R1 (config-if)#framing no-crc4 R1(config-if)#channel-group 0 timeslot 1-4 R1(config-if)#channel-group 1 timeslot 5-8R1 (config-if)#int s 1/0:0 R1(config-if)#no sh R1(config-if)#encapsulation ppp R1(config-if)#ip add 192.168.1.1 255.255.255.252 R1(config-if)#int s 1/0:1 R1(config-i

27、f)#no sh R1(config-if)#encapsulation ppp R1(config-if)#ip add 192.168.1.5 255.255.255.252 R1(config)#ip route 192.168.20.0 255.255.255.0 s 1/0:0 R1(config)#ip route 192.168.30.0 255.255.255.0 s 1/0:1 R1(config)#ip route 192.168.10.0 255.255.255.0 192.168.2.1 R1(config)#ip route 192.168.20.0 255.255.

28、255.0 192.168.2.1R1(config)#ip route 192.168.30.0 255.255.255.0 192.168.2.1R1(config)#snmp-server community public R1(config)#no snmp-server location R1(config)#no snmp-server contact设置VPNR1#config terminalR1#enable secret foolenR1#line vty 0 4 R1(config-line)#password xxxxxx R1r(config-line)#exit R

29、1(config)#hostname foolHnl(config)#inter eth0/0Hnl(config)#ip address 172.17.1.1 255.255.255.0Hnl(config)#no shutdown以下测试命令Hnl#ping 172.17.1.1!Hnl#ping 172.17.1.100!在PC机上测试C:ping 172.17.1.1Pinging 172.17.1.1 with 32 bytes of data:Reply from 172.17.1.1： bytes=32 time=5ms TTL=255结果证明连接及配置正确关于测试将所有路由器进

30、行配置的过程，根据环境参数，做了必要的修改，完成了VPN的配置，仅仅完成了配置，还没有实际运用，可以顺利的Ping通。做了如下调试命令：Debug crypto engine connections activeDebug crypto isakmp saDebug crypto ipsec sa在调试时，在一台PC机上执行了如下命令：C：Ping 172.16.1.100 n 1最后，对比几次结果，观察出现的问题，这是隧道不能建立的主要原因，针对出现的问题，做了一些修改，基本完成了VPN的配置计划。在实际中，该配置充分验证了VPN技术的可用性和实用性。安全方案测试随着网络应用的深入普及，网络

31、安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。鉴于国家和各单位领导的重视，涉及信息安全的经费逐年增加，但是信息安全并不是在市场上所有安全产品的堆叠，因为这种堆叠不仅会在经济造成极大的浪费、在人力上造成非常大浪费，更重要的是它没有达到防护的效果，因此完善的计算机网络安全方案就显得十分重要。一个特定的系统网络安全方案，应建立在对网络风险分析的基础上，结合系统实际的应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固定为一个模式，用这个模式去套所有的网络系统。通过网络的连通性测试、各应用系统功能的实现测试、网络管理功能的实现测试、实际数据传输的测试均达到网络管理的需求模拟工具： packet tracer结论经过三年的学习，三年的计算机现在知道网络世界存在巨大的问题，在网络设计中，没有一种设计方案是万能的。网络技术非常复杂，而且更新很快，因此我们必