《企业网络安全.docx》由会员分享,可在线阅读,更多相关《企业网络安全.docx(16页珍藏版)》请在优知文库上搜索。
1、网络工程题目:企业网络安全学号:姓名:专业班级:计算机网络技术2102班目录第一章需求分析1.1 公司目标的需求1.2 公司网络安全需求1.3 需求分析第二章网络安全的设计2.1网络设计主要功能2.2网络设计原则2.3网络的设计2.3.1物理设备安全的设计2.3.2内部网的设计2.3.3通信保密2.3.4病毒防护2.3.5应用安全2.3.6配置防火墙2.3.7网络结构第三章系统安全架构3.1系统设3.2系统组建第四章安全设备选型5.1设备选型5.2明细摘要:计算机网络已成为企业生存和发展不可或缺的组成部分,但随着网络安全问题的频发。以及网络安全问题所带来的严重影响、有必要针对目前企业网络安全主
2、要存在的问题。提出综合、有效、可行的企业网络安全防护设计方案.关键词:企业网络、安全、病毒、设备。bsrtact:Computernetworkhasbecomeanindispensab1.epartoftheSUrViVa1.anddeve1.opmentofenterprises,butwiththefrequentnetworksecurityprob1.ems.sweI1astheseriousimpactofnetworksecurityprob1.emsitisnecessarj,tofocusonthecurrententerprisenetworksecurityprob1.
3、cms.AComprchcnsivexffcctivcandfeasib1.edcsignschemeofenterprisenetworksecurityprotectionisproposed.KcywordsientcrpriscIictworksccurityvirusdcvice1 .需求分析1.1.公司目标的需求网络有限公司是一家有100名员工的中小型网络公司。主要以手机应用开发为主营项目的软件企业。公司有一个局域网。约100台计卯机、服务器的操作系统是WindowsSerVer2003客户机的操作系统是WindowsXP,在工作组的模式下-一机办公。公司对网络的依赖性很强。主要业
4、务都要涉及互联网以及内部网络随若公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重.1.2公司网络安全需求网络有限公司根据业务发展需求,建设一个小型的企业网。有Web、Mai1.等服务涔和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到In1.ene1.er的安全性、以及网络安全等一些因素、如DDoS、ARP等。因此本企业的网络安全构架要求如I、根据公司现有的网络设备组网规划。2、保护网络系统的可用性。3、保护网络系统服务的连续性.4、防范网络资源的非法访问及非授权访问.5、防范入侵者的恶意攻击与破坏。6保护企业信息通过网上
5、传输过程中的机密性、完整性.7、防范病毒的侵害.8、实现网络的安全管理1 .3需求分析通过了解XX网络公司的需求与现状。为实现XX网络公司的网络安全建设实施网络系统改造、提高企业网络系统运行的稳定性。保证企业各种设+占丢失和外泄通过软件或安全手段对客户端的计算机加以保护,记录用户对客户湍计算机中关键目录和文件的操作.使企业有手段时用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏.通过网络的改造、使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要2 .网络安全的设计2.1 网络设计主要功能1、资源共享功能。网络内的各个桌面
6、用户可共享数据库、共享打印机,实现办公自动化系统中的各项功能。2、通信服务功能。最终用户通过广域网连接可以收发电子邮件、实现Web应用、接入互联网、进行安全的广域网访问。3、多媒体功能。支持多媒体组播,具有卓越的服务质地保证功能远程VPN拨入访问功能。系统支持远程PpTP接入、外地员工可利用INTERNET访问。2.2 网络设计原则1、实用性和经济性,系统建设应始终贯彻面向应用,注重实效的方针、坚持实用、经济的原则.建设企n业的网络系统.2、先进性和成熟性.系统设计n既要采用先进的概念、技术和方法、又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平、而I1.具有发展潜力,能保证在未来
7、若干n年内企业网络仍占领先地位。3、可靠性和稳定性。在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手。确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。TP-1.INK网络作为国内知名品牌。网络领导厂商、其产品的可靠性和稳定性是一流的。4、安全性和保密性。在系统设计中。既考虑信息资源的充分共享、更要注意信息的保护和厢离、因此系统应分别针对不同的应用和不同的网络通信环境。采取不同的措施,包括系统安全机制,数据存取的权限控制等、TP-1.1.NK网络充分考虑安全性。针对小型企业的各种应用,有多种的保护机制,如划分V1.AN、MAC
8、地址绑定、802.IXs802.Id等。5、可扩展性和易维护性。为了适应系统变化的要求、必须充分考虑以最简便的方法、最低的投资、实现系统的扩展和维护。采用可网管产品,降低了人力资源的费用、提高网络的易用性。2. 3网络的设计I、物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内。机房的承重要求应满足设计要求。机房场地应避免设在建筑物的高层或地卜室,以及用水设备的下层或隔壁、机用场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾。易遭受宙出的地区。2、电力供应机房供电应与其他市电供电分开。应设置稳压器和过电压防护设品、应提供短期的备用电力供应。如UPS设备、应
9、建立备用供电系统,如备用发电机、以备常用供电系统停电时启用。3、电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰。电源线和通信线缆应隔离、避免互相干扰。2. 3.2公司内部网的设计内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求。利用三层交换机来划分虚拟子网、Y1.AN、,在没有配置路的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制2.1. V1.an的划分和地址的分配经理办子网(v1.an2):192. 168.1.0子网掩码:255.255.255.0网关、192.168.1.1生产生网(V1.an3):193. 168
10、.2.0了网撞码:255.255.255.0网关、192.168.2.1市场子网(VIan4):194. 168.3.0子网掩码:255.255.255.0网关、192.168.3.1财务子网(VIan5):195. 168.4.0子网掩码:255.255.255.0网关、192.168.4.1资源子网(Y1.an6):196. 168.5.0子网掩码:255.255.255.0网关、192.168.5.12、访问权限控制策略1、经理办V1.AN2可以访问其余所芍V1.AN。2、财务V1.AN5可以访问生产V1.AN3、市场V1.AN4、资源V1.AN6.不可以访问经理办V1.AN2。3、市场
11、V1.N4、生产V1.AN3、资源V1.AN6都不能访问经理办V1.N2、财务V1.AN5。4、生产V1.N4和箱传V1.AN3可以互访.197. 3通信保密数据的机密性与完整性、主要是为了保护在网上传送的涉及企业秘密的信息、经过配备加密设备、使得在网上传送的数据是密文形式、而不是明文。可以选择以下几种方式.1、链路层加密时丁连接各涉密网节点的广域网线路,根据线路种类不同可以采用相应的链路级加密设备,以保证各节点涉密网之间交换的数据都是加密传送。以防止非授权用户读悔、部改传输的数据,如图3.1所示。3. 1链路密码机配备示意图链路加密机由于是在链路级。加密机制是采用点对点的加密、解密。即在有相
12、互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台跳路加密机。通过两端加密机的协商配合实现加密、解密过程。2、网络层加密鉴于网络分布较广、网点较多。而且可能采用DDY、1;R等多种通讯线路。如果采用多种链路加密设备的设计方案则熠加了系统投资费用、同时为系统维护、升然扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备、VPNVPN是网络加密机、是实现端至端的加密、即一个网点只需配备一台YPN加密机根据具体策略.,来保护内部敏惨信息和企业秘密的机密性、真实性及完整性3.IPsec是在TCP/IP体系中实现网络安全服务的重要措施“而VPN设备正是一种符合IPsec标准的IP协
13、议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道、能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置、可以让网络内的某些主机通过加密隧道。让另些主机仍以明文方式传输。以达到安全、传输效率的最佳平衡。一股来说。YPN设备可以一对一和一对多地运行,并具有对数据完整性的保证功能。它安装在被保护网络和路由SS之间的位目,设备配置见卜.图。目前全球大部分厂商的网络安全产品都支持IPsec标准。设备配置示意图由于VPN设备不依赖于底层的具体传输链路,它一方面可以降低网络安全设备的投资、而另一方面、更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网
14、服务平台。对政府行业网络系统这样一种大型的网络。VPN设备可以使网络在升级提速时具有很好的扩展性,鉴于VPN设备的突出优点,应根据企业具体需求、在各个网络结点与公共网络相连接的进出口处安装配备VPN设备,2.3.4病毒防范由于在网络环境下、计算机病毒有不可估量的威胁性和破坏力C我们都知道、公司网络系统中使用的操作系统一般均为WINDOWS系统,比蛟容易感染病毒,因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。1、预防病毒技术通过自身常驻系统内存。优先获得系统的控制权、监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统
15、和对系统进行破坏,这类技术有。加密可执行程序、引导区保护、系统监控与读写控制。如防病毒卡等。2、检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等.,来确定病毒的类型。3、杀毒技术杀毒技术通过对计算机病毒代码的分析.开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测.一旦发现与病毒代码库中相匹配的病毒代码。反病毒程序会采取相应处理措施、清除、更名或删除。,防止病毒进入网络进行传播扩散.2.3.5应用安全应用安全,顾名思义就是保障应用程序使用过程和结果的安全。简言之。就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃.通过其他安全工具或策略来消除隐患.1、内部OA系统中资源享严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录.否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户.在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全、但对一般用户而言.还是起到一定的安全防护、即使有刻意破解者。只要口令设得复杂些C也得花费相当长的时间.2、信息存储对有涉及企业秘密