企业网络安全设计方案论文_公司网络安全设计方案
企业网络安全设计方案论文由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“公司网络安全设计方案”。
编号:ABS20160501
企业网络设计方案
关键字:网络,安全,VPN,防火墙,防病毒
班 级:AY 姓 名:AY 日 期:2016-05-19
目 录
摘 要..........................................................3 第一章 企业网络安全概述........................................4 1.1 企业网络的主要安全隐患...................................4 1.2 企业网络的安全误区.......................................4 第二章 企业网络安全现状分析...................................6 2.1 公司背景.................................................6 2.2 企业网络安全需求.........................................6 2.3 需求分析.................................................6 2.4 企业网络结构.............................................7 第三章 企业网络安全解决实施....................................9 3.1物理安全..................................................9 3.2企业网络接入配置.........................................10 3.3网络防火墙配置...........................................13 3.4配置验证查看.............................................21 3.5网络防病毒措施...........................................24 总 结........................................................26
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
第二章 企业网络安全现状分析
2.1 公司背景
XX科技有限公司是一家有100名员工的中小型科技公司,主要以软件应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2008,客户机的操作系统是 Windows 7,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
XX科技有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解XX科技有限公司的需求与现状,为实现XX科技有限公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理
者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
网络拓扑图,如下图所示:
总部网络情况:
防火墙FW1作为出口NAT设备,从网络运营商处获得接入固定IP为202.10.1.2/30,网关IP为202.10.1.1/30,经由防火墙分为DMZ区域和trust区域。
防火墙上FW1做NAT转换。分配给trust区域的地址为10.1.1.0 /24,通过FW1上GE0/0/0端口连接网络,接口地址为10.1.1.1/24。DMZ内主要有各类的服务器,地址分配为10.1.2.0 /24。通过FW1上GE0/0/1端口连接网络,接口地址为10.1.2.1 /24。
建立IPSec隧道,使总部和分支可以互访。
分部网络情况:
防火墙FW2作为出口NAT设备,从网络运营商处获得接入固定IP为202.20.1.2/30,网关IP为202.20.1.1/30。通过FW1上GE0/0/1端口连接内部网络,接口地址为10.1.1.1/24。
建立IPSec隧道,使分部和总部可以互访。
第三章 企业网络安全解决实施
3.1物理安全
企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对网络的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
3.2企业网络接入配置
VLAN技术能有效隔离局域网,防止网内的攻击,所以部署网络中按部门进行了VLAN划分,划分为以下两个VLAN:
业务部门 VLAN 10
交换机SW1接入核心交换机 财务部门 VLAN 20
交换机SW2接入核心交换机 核心交换机 VLAN间路由 核心交换机HSW1 核心交换机HSW1配置步骤: 1)建立VLAN 10 20 100 2)GE0/0/1加入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100 3)建立SVI并配置相应IP地址: Vlanif10:192.168.1.1/24 Vlanif20:192.168.2.1/24 Vlanif100:10.1.1.2/24 4)配置RIP路由协议:
Network 192.168.1.0 Network 192.168.2.0 Network 10.1.1.0 5)配置ACL拒绝其它部门对财务部访问,outbound→GE0/0/2。
详细配置:
# sysname HSW1 # info-center source DS channel 0 log state off trap state off # vlan batch 10 20 100 # cluster enable ntdp enable ndp enable # drop illegal-mac alarm # dhcp enable # diffserv domain default
# acl number 3001 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 # traffic claifier tc1 operator and if-match acl 3001 # traffic behavior tb1 deny # traffic policy tp1 claifier tc1 behavior tb1 # drop-profile default # ip pool qqww gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0 excluded-ip-addre 192.168.1.254 # ip pool vlan20 gateway-list 192.168.2.1 network 192.168.2.0 mask 255.255.255.0 excluded-ip-addre 192.168.2.200 192.168.2.254 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin paword simple admin local-user admin service-type http # interface Vlanif1 # interface Vlanif10 ip addre 192.168.1.1 255.255.255.0 dhcp select global # interface Vlanif20 ip addre 192.168.2.1 255.255.255.0 dhcp select global
# interface Vlanif100 ip addre 10.1.1.2 255.255.255.0 # interface MEth0/0/1 # interface GigabitEthernet0/0/1 port link-type acce port default vlan 10 # interface GigabitEthernet0/0/2 port link-type acce port default vlan 20 traffic-policy tp1 outbound # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface GigabitEthernet0/0/9 # interface GigabitEthernet0/0/10 # interface GigabitEthernet0/0/11 # interface GigabitEthernet0/0/12 # interface GigabitEthernet0/0/13 # interface GigabitEthernet0/0/14 # interface GigabitEthernet0/0/15 # interface GigabitEthernet0/0/16 # interface GigabitEthernet0/0/17 # interface GigabitEthernet0/0/18
# interface GigabitEthernet0/0/19 # interface GigabitEthernet0/0/20 # interface GigabitEthernet0/0/21 # interface GigabitEthernet0/0/22 # interface GigabitEthernet0/0/23 # interface GigabitEthernet0/0/24 port link-type acce port default vlan 100 # interface NULL0 # rip 1 version 2 network 192.168.1.0 network 192.168.2.0 network 10.0.0.0 # ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 # user-interface con 0 user-interface vty 0 4 # port-group de # return 3.3网络防火墙配置
防火墙FW1基本配置步骤:
1)配置GE0/0/0的IP地址10.1.1.1/24,并加入TRUST区域;
配置GE0/0/1的IP地址10.1.2.1/24,并加入DMZ区域;
配置GE0/0/2的IP地址202.10.1.2/30,并加入UNTRUST区域;
2)配置允许安全区域间包过滤。3)配置RIP路由协议:
Network 10.0.0.0 Network 202.10.1.0
4)配置NAT,出口GE0/0/2。
5)配置总部至分部的点到点IPSce隧道:
配置ACL,匹配IPSec流量 配置IPSec安全提议1 配置IKE安全提议 配置IKE PEER 配置IPSec安全策略 在接口GE 0/0/2上应用策略
详细配置:
# CLI_VERSION=V300R001
# Last configuration was changed at 2016/05/18 16:22:21 from console0 #*****BEGIN****public****# # stp region-configuration region-name b05fe31530c0 active region-configuration # acl number 3002 rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 rule 10 permit ip source 10.1.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggreive pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$ ike-proposal 1 remote-addre 202.20.1.2 # ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT
ip addre 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip addre 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/2 ip addre 202.10.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/2 # firewall zone dmz set priority 50 add interface GigabitEthernet0/0/1 # aaa local-user admin paword cipher %$%$I$6`RBf34,paQv9B&7i4*“vm%$%$ local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default # authorization-scheme default
# accounting-scheme default # domain default # # rip 1 version 2 network 10.0.0.0 network 202.10.1.0 # nqa-jitter tag-version 1 # banner enable # user-interface con 0 authentication-mode none user-interface vty 0 4 authentication-mode none protocol inbound all # slb # right-manager server-group # sysname FW1 # l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction outbound # ip df-unreachables enable # firewall ipv6 seion link-state check firewall ipv6 statistic system enable # dns resolve #
firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # policy interzone trust dmz inbound policy 1 action permit # policy interzone trust dmz outbound policy 1 action permit # nat-policy interzone trust untrust outbound policy 1 action source-nat policy source 192.168.0.0 0.0.255.255 policy source 10.1.0.0 0.0.255.255 easy-ip GigabitEthernet0/0/2 # return #-----END----#
防火墙FW2基本配置步骤如下:
1)配置GE0/0/0的IP地址202.20.1.2/30,并加入UNTRUST区域;
配置GE0/0/1的IP地址20.1.1.1/24,并加入TRUST区域;
2)配置允许安全区域间包过滤。3)配置RIP路由协议:
Network 20.0.0.0 Network 202.10.1.0 4)配置NAT,出口GE0/0/0。
5)配置分部至总部的点到点IPSce隧道:
配置ACL,匹配IPSec流量 配置IPSec安全提议1 配置IKE安全提议 配置IKE PEER 配置IPSec安全策略 在接口GE 0/0/2上应用策略
详细配置:
# CLI_VERSION=V300R001 # Last configuration was changed at 2016/05/18 16:22:59 from console0 #*****BEGIN****public****# # stp region-configuration region-name 405fd915c0bf active region-configuration # acl number 3002 rule 5 permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 # ike proposal 1 # ike peer 1 exchange-mode aggreive pre-shared-key %$%$;3C|#{7eS#uD2wS|”x
ipsec proposal 1 # ipsec policy map 1 isakmp security acl 3002 ike-peer 1 proposal 1 # interface GigabitEthernet0/0/0 alias GE0/MGMT ip addre 202.20.1.2 255.255.255.252 ipsec policy map # interface GigabitEthernet0/0/1 ip addre 20.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/2 # interface GigabitEthernet0/0/3 # interface GigabitEthernet0/0/4 # interface GigabitEthernet0/0/5 # interface GigabitEthernet0/0/6 # interface GigabitEthernet0/0/7 # interface GigabitEthernet0/0/8 # interface NULL0 alias NULL0 # firewall zone local set priority 100 # firewall zone trust set priority 85 add interface GigabitEthernet0/0/1 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # firewall zone dmz set priority 50 #
aaa local-user admin paword cipher %$%$dJ“t@”DxqH@383
ip df-unreachables enable # firewall ipv6 seion link-state check firewall ipv6 statistic system enable # dns resolve # firewall statistic system enable # pki ocsp response cache refresh interval 0 pki ocsp response cache number 0 # undo dns proxy # license-server domain lic.huawei.com # web-manager enable # policy interzone local untrust inbound policy 1 action permit # policy interzone local dmz inbound policy 1 action permit # policy interzone trust untrust inbound policy 1 action permit # policy interzone trust untrust outbound policy 1 action permit # return #-----END----# 3.4配置验证查看
验证路由:
连通性测试
分部网络至总部业务部网络正常连通,至服务器网络正常连通:
分部网络至总部财务部网络不能到达:
3.5网络防病毒措施
针对网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用瑞星杀毒软件网络版来在内网中进行防病毒系统的建立。产品特点: 瑞星杀毒软件网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
网络瑞星杀毒软件网络版的主控制中心部署在DMZ服务器区,子控制中心部署在核心层交换机的一台服务器上。
控制中心负责整个网络版的管理与控制,是整个网络版的核心,在部署网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着 网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,24
这种控制结构可以根据网络的需要无限的延伸下去。
为企业网络安装好网络版杀毒软件后,为期配置软件的安全策略。对企业客户端计算机的软件实现更为完善的远程控制功能,利用软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项。
为企业网络 网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
