企业网络安全解决方案.doc
《企业网络安全解决方案.doc》由会员分享,可在线阅读,更多相关《企业网络安全解决方案.doc(24页珍藏版)》请在冰点文库上搜索。
毕业设计(论文)
题目:
企业网络安全解决方案
姓名刘强伟
准考证号058911221020
专业计算机网络
专科院校苏州市职业大学
指导教师周莉
南京航空航天大学
2013年3月
目录
摘要 1
前言 3
第1章企业网络安全概述 4
1.1企业网络的主要安全隐患 4
1.2企业网络的安全误区 4
第2章企业网络安全现状分析 6
2.1公司背景 6
2.2企业网络安全需求 6
2.3需求分析 6
2.4企业网络结构 7
第3章企业网络安全解决实施 8
3.1企业网物理安全 8
3.2企业网网络VLAN划分 9
3.4企业网网络防火墙配置 11
3.4企业网网络VPN配置 14
3.5企业网网络防病毒措施 15
第4章企业网的网络管理 18
4.1企业网网络管理的问题 18
4.2企业网网络管理实施 18
总结 20
致谢 21
参考文献 22
22
摘要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。
这些都促使了计算机网络互联技术迅速的大规模使用。
众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。
但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。
网络安全的威胁主要表现在:
非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。
因此本论文为企业(企业网网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词:
网络,安全,VPN,防火墙,防病毒
Abstract
Inrecentyears,Internettechnologyhasmatured,hasbeguntoprovideandguaranteefromthenetworkconnectivityasthemaintargetofthefirstgenerationofInternettechnologytoprovidenetworkdataservicesforthecharacteristicsofthesecondgenerationofInternettechnologytransition.Theseallcontributedtotherapidcomputernetworkingtechnologyoflarge-scaleuse.Asweallknow,theworld'slargestinformationnetworkuseof,Internetopennessoftheiragreementgreatlyfacilitateavarietyofcomputernetworkingtobroadenthesharingofresources.However,intheearlydesignofnetworkprotocolsonsecurityissuesofneglect,aswellasinmanagementanduseoftheanarchy,theInternetincreasinglyseriousthreattotheirsecurity,anditsrelatedsecurityincidentshappenedquitefrequently.Networksecuritythreatsmainlyin:
unauthorizedaccess,posingaslegitimateusers,damagetodataintegrity,interferewiththenormaloperationofthesystem,usingtheInternetspreadthevirus,linetappingandsoon.Therefore,thispaperfortheenterprise(HongJincorporatenetwork)architecturenetworksecuritysystem,mainlybytheuseofvlan,firewall,vpn,virusprotectionandothertechnologiestoachievecorporatenetworksecurity.
Keywords:
network,security,VPN,firewall,anti-virus
前言
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。
经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。
计算机网络规模不断扩大,网络结构日益复杂。
计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。
信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。
像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。
除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。
网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:
轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。
但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。
因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。
因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
第1章企业网络安全概述
1.1企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。
2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。
4)关键部门的非法访问和敏感信息外泄。
5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。
但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。
网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。
同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。
所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。
所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
第2章企业网络安全现状分析
2.1公司背景
某企业是一家有1000名员工的中型网络公司,主要以手机应用开发为主营项目的软件企业。
公司有一个局域网,约1000台计算机,服务器的操作系统是WindowsServer2003,客户机的操作系统是WindowsXP,在工作组的模式下一人一机办公。
公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。
随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2企业网络安全需求
某企业根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。
企业分为财务部门和业务部门,需要他们之间相互隔离。
同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。
因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划
(2)保护网络系统的可用性
(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问
(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性
(7)防范病毒的侵害
(8)实现网络的安全管理。
2.3需求分析
通过了解某企业的需求与现状,为实现某企业的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
因此需要
(1)构建良好的环境确保企业物理设备的安全
(2)划分VLAN控制内网安全
(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全
(5)安装防病毒服务器
(6)加强企业对网络资源的管理
2.4企业网络结构
某企业网络拓扑图,如图2.1所示:
图2.1企业网络拓扑结构
由于某企业是直接从电信接入IP为58.192.65.62255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。
防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0255.255.255.0。
防火墙接客户区端口地址为10.1.1.1255.255.255.0。
DMZ内主要有各类的服务器,地址分配为10.1.2.0255.255.255.0。
防火墙DMZ区的接口地址为10.1.2.1255.255.255.0。
内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
第3章企业网络安全解决实施
3.1企业网物理安全
企业网网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对企业网的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。
物理安全在整个计算机网络信息系统安全中占有重要地位。
它主要包括以下几个方面:
1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。
要从一下三个方面考虑:
a.自然灾害、物理损坏和设备故障b.电磁辐射、乘机而入、痕迹泄漏等c.操作失误、意外疏漏等
2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。
与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。
3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。
机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
3.2企业网网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以某企业网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门VLAN10 交换机S1接入交换机(神州数码DCS-3950)
业务部门VLAN20 交换机S2接入交换机(神州数码DCS-3950)
核心交换机VLAN间路由核心交换机S3(神州数码DCRS-5526)
S1配置如下:
switch>
switch>ena
switch#con
switch(Config)#vlan10
switch(Config-Vlan10)#swinte0/0/1-20
switch(Config-Vlan10)#exit
switch(Config)#exit
switch#con
switch(Config)#inte0/0/24
switch(Config-Ethernet0/0/24)#swmt
SettheportEthernet0/0/24modeTRUNKsuccessfully
switch(Config-Ethernet0/0/24)#swtava
settheportEthernet0/0/24allowedvlansuccessfully
switch(Config-Ethernet0/0/24)#exit
switch(Config)#ipdhcppoolvlan10
switch(dhcp-vlan10-config)#network-address192.168.10.0255.255.255.0
switch(dhcp-vlan10-config)#lease3
switch(dhcp-vlan10-config)#default-router192.168.1.1
switch(dhcp-vlan10-config)#dns-server61.177.7.1
switch(dhcp-vlan10-config)#exit
switch(config)ipdhcpexcluded-address192.168.10.1
S2配置如下:
Switch>
Switch>ena
Switch#con
switch(Config)#vlan20
switch(Config-Vlan20)#swinte0/0/1-20
switch(Config-Vlan20)#exit
switch(Config)#exit
switch#con
switch(Config)#inte0/0/24
switch(Config-Ethernet0/0/24)#swmt
SettheportEthernet0/0/24modeTRUNKsuccessfully
switch(Config-Ethernet0/0/24)#swtava
settheportEthernet0/0/24allowedvlansuccessfully
switch(Config-Ethernet0/0/24)#exit
switch(Config)#ipdhcppoolvlan20
switch(dhcp-vlan20-config)#network-address192.168.20.0255.255.255.0
switch(dhcp-vlan20-config)#lease3
switch(dhcp-vlan20-config)#default-router192.168.1.1
switch(dhcp-vlan20-config)#dns-server61.177.7.1
switch(dhcp-vlan20-config)#exit
switch(config)ipdhcpexcluded-address192.168.20.1
switch(config)ipdhcpexcluded-address192.168.20.150-192.168.20.240
S0配置如下:
switch>
switch>enable
switch#config
switch(Config)#hostnameS0
S0(Config)#vlan10
S0(Config-Vlan10)#vlan20
S0(Config-Vlan20)#exit
S0(Config)#inte0/0/1-2
S0(Config-Port-Range)#swmt
S0(Config-Port-Range)#swtava
S0(Config-Port-Range)#exit
S0(Config)#intvlan10
S0(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0
S0(Config-If-Vlan10)#noshutdown
S0(Config-If-Vlan10)#exit
S0(Config)#intvlan20
00:
04:
23:
%LINK-5-CHANGED:
InterfaceVlan20,changedstatetoUP
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan20,changedstatetoUP
S0(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.0
S0(Config-If-Vlan20)#noshutdown
S0(Config-If-Vlan20)#exit
S0(Config)#exit
S0(Config-If-Vlan1)#ipaddress192.168.1.1255.255.255.0
S0(Config-If-Vlan1)#noshutdown
S0(Config-If-Vlan1)#exit
S0(Config)#exit
S0#showiproute
S0#con
S0(Config)#iproute58.192.65.0255.255.255.010.1.1.1
3.4企业网网络防火墙配置
企业网网络中使用的是神州数码的DCFW-1800SUTM,里面包含了防火墙和VPN等功能。
以下为配置过程:
在防火墙NAT策略下面,新增NAT。
如图3.1:
图3.1新增企业防火墙策略示意图
源域:
untrust;
源地址对象:
any;
目的域:
trust;
目的地址对象:
any;
在全局安全策略设置里面如图3.2,3.3和图3.4所示:
图3.2企业防火墙策略配置示意图
图3.3企业防火墙策略配置示意图
图3.4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。
这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。
动作包括permit允许,拒绝deny,以及其他的特定的服务。
这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。
但是处于中间位置的DMZ可以允许Inteneter的访问。
所以要添加好几条NAT策略。
在网络接口处如图3.5和3.6所示:
图3.5网络接口处配置示意图
图3.6网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:
l2-trust,eth0:
l2-untrust,eth2:
l2-DMZ。
其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。
如图3.7所示:
图3.7以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:
10.1.1.1,eth210.1.2.1。
3.4企业网网络VPN配置
企业网网络的VPN功能主要也是通过上面的防火墙实现的。
如图3.8,图3.9所示:
图3.8PPTP协议示意图
图3.9PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240
如图3.10所示:
图3.10PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。
DNS分别为61.177.7.1,MTU为500。
3.5企业网网络防病毒措施
针对企业网网络的现状,在综合考虑了
升级会员 