第一篇:银行外联网络安全解决方案全攻略(大全)
随着网络的快速发展,各金融企业之间的竞争也日益激烈,主要是通过提高金融机构的运作效率,为客户提供方便快捷和丰富多彩的服务,增强金融企业的发展能力和影响力来实现的。为了适应这种发展趋势,银行在改进服务手段、增加服务功能、完善业务品种、提高服务效率等方面做了大量的工作,以提高银行的竞争力,争取更大的经济效益。而实现这一目标必须通过实现金融电子化,利用高科技手段推动金融业的发展和进步,银行外联网络的建设为进一步提高银行业服务手段,促进银企的发展提供了有力的保障,并且势必为银行业的发展带来巨大的经济效益。
然而随着网络应用不断扩大,它的反面效应也随着产生。通过网络使得黑客或工业间谍以及恶意入侵者侵犯和操纵一些重要信息成为可能,因而引发出网络安全性问题。正如我国著名计算机专家沈昌祥院士指出的:“信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点”。二十世纪未,美国一些著名网站、银行、电子商务网站造受黑客攻击;黑客入侵微软窃取源代码软件等重要案件,都证明了网络安全的严重性,因此,解决银行外联网络安全问题刻不容缓。一 银行外联网络安全现状
1、银行外联种类
按业务分为:
银行外联业务种类繁多,主要有:证银联业务、社保IC卡、房改公积金管理系统、代收中联通话费、代收移动话费、同城清算、人行税银库企系统、人行银行信贷登记系统、金融统计数据报送、国际收支数据报送、电子口岸、代收电费、代扣社保费、代收国税、代收地税、代收固话费、财局国库集中系统、统发工资系统、代收财政罚款、物业维修基金、非税系统、重要客户系统等等。
按单位分:
随着外联业务的不断扩大,外联单位也不断增加,主要有:各个证券公司、社保局、房改办、联通公司、移动公司、海关、电力公司、国税局、地税局、电信公司、供水公司、政府政务网、人行金融网、银行的重客单位等等。
按线路分:
外联线路主要以专线为主,部分外联业务采用拨号方式,线路类型主要有:幀中继、SDH、DDN、城域网、拨号等。
2、提供外联线路的运营商
根据外联单位的不同需求,有多家运营商提供线路服务,主要有:电信公司、盈通公司、网通公司、视通公司等
3、银行外联网络的安全现状及存在问题
外联接入现状示意图:
外联接入分为总行、一级分行、二级分行三个接入层次,据统计有80%的外联单位是通过二级分行及以下层次接入的,面对如此众多的外联接入单位,我行还没有一个统一规划的完善的外联网络安全防御体系,特别是对于有些二级分行的外联网络只有基本的安全防护,只在外网的接入口使用防火墙进行安全控制,整体而言,外联网络缺少一个统一规划的完善的安全防御体系,抗风险能力低。
下面,针对外联网络中主要的安全风险点进行简单分析:
(1)外联接入点多且层次低,缺乏统一的规划和监管,存在接入风险
银行外联系统的接入五花八门,没有一个统一的接入规划和接入标准,总行、一级分行、二级分行、甚至经办网点都有接入点,据统计80%的外联接入都是通过二级分行及以下层次接入的,由于该层次的安全产品和安全技术资源都非常缺乏,因此对外联接入的监管控制缺乏力度,存在着接入风险。
(2)缺少统一规范的安全架构和策略标准
在外联网络中,全行缺少统一规范的安全架构和访问控制策略标准,对众多的外联业务没有分层分级设定不同的安全策略,在网络层没有统一的安全访问控制标准,比如:允许开放的端口、必须关闭的端口、需要控制访问的端口、安全传输协议等等;在外联业务应用程序的编写方面没有统一的安全标准;在防火墙策略制定上也没有统一的安全标准,因此外联网络的整体可控性不强。
(3)缺乏数据传送过程中的加密机制
目前与外联单位互相传送的数据大部分都是明码传送,没有统一规范的加密传送机制。
(4)缺少统一的安全审计和安全管理标准。
外联网络没有一个统一的安全审计和安全管理标准,在安全检查和安全审计上没有一套行之有效的方法。
为解决当前外联网络所存在的安全隐患,我们必须构建一个完善的银行外联网络安全架构,建立一套统一规划的完善的外联网络安全防御体系。
下面我们将从银行外联网络安全规划着手,进行外联平台的网络设计,并对外联平台的安全策略进行统一规划,相应地提出外联业务平台安全审计的内容以及如何进行外联网络的安全管理,设计一套完善的银行外联网络安全解决方案。二 银行外联网络安全规划
1、外联网络接入银行内部网的安全指导原则
(1)外联网(Extranet)接入内部网络,必须遵从统一规范、集中接入、逐步过渡的原则。
(2)总行对于外联网络接入内部网络建立统一的安全技术和安全管理规范,一级分行参照规范要求对接入网路进行严格的控制,同时应建立数据交换区域,避免直接对业务系统进行访问。
(3)各一级分行按照集中接入的原则,建立统一的外联网接入平台,减少外联网接入我行内部网络的接入点,将第三方合作伙伴接入我行内部网的接入点控制在一级分行,并逐步对二级行(含)以下的接入点上收至一级分行。
(4)如果一个二级分行的外联合作伙伴较多,从节约线路费用的角度考虑,可以考虑外联接入点选择在二级分行,然后利用IPSec-VPN将二级分行的业务外联平台通过隧道与一级分行外联平台连接。
(5)增加VPN的接入方式,与专线方式并存,接入点只设在一级分行及以上的层次,新增外联业务可考虑采用VPN接入方式。
(6)出于安全考虑,必须慎重选择是否允许第三方合作伙伴使用银行内部网络系统构建其自身业务网络的运作。
(7)对于第三方合作伙伴通过互联网接入内部网的需求,只能通过总行互联网入口进行接入。
2、外联业务平台规划的策略
与同业往来业务、重点客户业务、中间代理业务互联要求业务外联平台提供足够的安全机制。多数外联业务要求平台稳定、可靠。为了满足安全和可靠的系统需求,具体策略如下:
(1)采用防火墙和多种访问控制、安全监控措施
(2)采用专线为主、拨号备份为备的双链路和主、备路由器增强可靠性
(3)通过省行internet统一入口连接客户的VPN接入请求,由省行或总行统一规划VPN网络,统一认证和加密机制
(4)采用IPSec技术保证数据传输过程的安全
(5)采用双防火墙双机热备
(6)采用IDS、漏洞扫描工具
(7)设立DMZ区,所有对外提供公开服务的服务器一律设置在DMZ区,将外部传入用户请求连到Web服务器或其他公用服务器,然后Web服务器再通过内部防火墙链接到业务前置区
(8)设立业务前置区,外联业务平台以及外联业务前置机可放置此区域,阻止内网和外网直接通信,以保证内网安全
(9)所有的数据交换都是通过外联前置网进行的,在未采取安全措施的情况下,禁止内部网直接连接业务外联平台。
(10)为防止来自内网的攻击和误操作,设置内部网络防火墙
(11)来自业务外联平台的特定主机经身份认证后才可访问内部网指定主机。
(12)具体实施时主要考虑身份认证、访问控制、数据完整性和审计等安全指标。
三 外联业务平台设计
1、外联业务平台的网络架构
业务外联平台包括边界区、边界防火墙区、IDS区、DMZ区、内部路由器、业务前置区、内部防火墙。架构如下图:
2、外联业务平台的安全部署
边界区
边界区包括三台接入路由器,全部支持IPSec功能。一台是专线接入的主路由器;一台是拨号接入的备路由器,当主线路故障或客户有拨号接入需求时客户可通过此拨号路由器接入,拨号接入要有身份认证机制;还有一台是VPN接入方式的路由器。将IPSec部署在边界路由器上是保证端对端数据传输的完整性和机密性,保护TCP/IP通信免遭窃听和篡改。对于INTERNET的VPN接入方式,可并入分行INTERNET统一出口进行VPN隧道的划分,连接有VPN接入需求的外联单位。
边界防火墙区
边界防火墙区设置两台防火墙互为热备份。在防火墙的内侧和外侧分别有一台连接防火墙的交换机,从安全的角度出发,连接两台防火墙采用单独的交换机,避免采用VLAN造成的安全漏洞。两台防火墙之间的连接根据设备的不同而不同,以能够可靠地为互相备份的防火墙提供配置同步和心跳检测为准。
入侵检测IDS
能够实时准确地捕捉到入侵,发现入侵能够及时作出响应并记录日志。对所有流量进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全,提供对内部攻击、外部攻击和误操作的实时保护。
DMZ区
建立非军事区(DMZ), 是为不信任系统提供服务的孤立网段,它阻止内网和外网直接通信,以保证内网安全,在非军事区上设置并安装基于网络的实时安全监控系统,所有对外提供公开服务的服务器一律设置在DMZ,其中WWW、E-mail、FTP、DNS服务器置于非军事区(DMZ)
内部路由器区
内部路由器区设置一台用于连接业务外联平台和业务前置区的路由器。
业务前置区
设立独立的网络区域与业务外联平台的交换信息,并采取有效的安全措施保障该信息交换区不受非授权访问。
内部防火墙
内部防火墙可以精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源,内部防火墙可以记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
病毒防范和漏洞扫描
在服务器、前置机上安装网络版防病毒软件,及时在线升级防病毒软件,打开防病毒实时监控程序,设定定期查杀病毒任务,及时抵御和防范病毒。定期对网络设备进行漏洞扫描,及时打系统补丁。
路由
采用静态路由,边界的主、备路由器采用浮动静态路由,当主链路不通时,通过备份链路建立连接。
网管
从安全的角度考虑,业务外联平台的网管采用带外网管。网管服务器和被管理设备的通讯通过单独的接口。用PVLAN使被管理设备只能通过网管专用的接口与网管服务器连接,而被管理设备之间不能互通。为了防备网管服务器被控制的可能性,规划独立的网管服务器为业务外联平台服务。网管平台能够对业务外联平台进行状态管理、性能管理、配置管理、故障管理。带外网管平台采用单独的交换机,以保证系统的安全。
QOS
在数据包经过内层防火墙进入管理区域后立即打上QOS标记,使外联平台的数据包按照规定的优先级别占用网络资源。四 外联业务平台安全设计策略
外联接入线路安全设计策略
外联接入线路有3种方式:传统的专线方式、正在快速发展的基于公网的VPN方式、拨号方式。
专线方式,银行传统的外联接入方式大部分都是采用专线与外单位相联,专线的选择有:帧中继、DDN、SDH、ATM等等。专线的优点是线路私有、技术成熟、稳定,传输的安全性比较有保障,但也存在设备投入大,对技术维护人员的技术要求较高,线路费用昂贵、接入不灵活等缺点。并且由于对线路的信任依赖,大多数专线中传递的信息没有考虑任何数据安全,明码传送,存在很大的安全隐患。
VPN方式,现在国际社会比较流行的利用公共网络来构建的私有专用网络VPN(Virtual Private Network),用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN具有线路费用低廉,易于扩展,接入灵活,网络通信安全,网络设计简单,特别是易于实现集中管理,减少接入点,接入点可以只设在一级分行以上的层次,方便统一管理和安全控制。
拨号方式,有些外联单位只与银行交换简单的代收发文件,使用的间隔周期也比较长,为节约费用只按需拨号进行连接,拨号方式的特点是费用低廉但缺乏安全保障。
这3种方式各有优缺点,但从技术的成熟性和保护现有设备投资的方面考虑,专线方式和拨号方式还是我们的主流方式。但从长远考虑,随着VPN技术的成熟和合作伙伴应用互联网的普及,VPN方式将会由于它显著的优点而逐渐成为主流,因此,我们引入VPN接入方式,目前我们三种接入方式并存,今后将逐渐用VPN方式取代专线方式和拨号方式,这样不仅能够统一接入层次,减少接入点,降低线路费用,而且方便统一管理和安全控制。
对于接入专线的物理层和数据链路层安全是由运营商保障的,在边界接入路由器上设置静态路由、采用安全访问控制实现网络层的安全控制,为保证数据传输的机密性和完整性,建议在银行外联网络中采用IPSec技术,在接入端统一安装支持IPSec功能的接入路由器。
对于VPN方式的接入,VPN虽然构建在公用数据网上,但可以通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输。与企业独立构建专用网络相比,VPN具有节省投资、易于扩展、简化管理等特点。
对于拨号接入我们采用AAA认证的方式验证拨入方的身份。
外联业务平台物理层安全设计策略
物理层安全是指设备安全和线路安全,保障物理安全除了要遵守国家相关的场地要求和设计规范外,还要做好相关设备的备份、关键线路的备份、相应数据的备份。
定期对网络参数、应用数据、日志进行备份,定期对备份设备进行参数同步。
外联业务平台网络层安全设计策略
外联业务平台安全设计的重点就是如何进行网络层的安全防护,在网络层我们采用了防火墙技术、入侵检测技术、VPN技术、IPSec技术、访问控制技术等多种安全技术进行网络层的安全防护。
(1)部署边界防火墙和内部防火墙
在总行、一级分行、二级分行各级外联接入点的边界都应安装边界防火墙,边界防火墙的任务有:
通过对源地址过滤,拒绝外部非法IP地址,有效地避免外部网络上与业务无关的主机的越权访问,防火墙只保留有用的服务;
关闭其他不要的服务,可将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
制定访问策略,使只有被授权的外部主机可以访问内部网络的有限的IP地址,保证外部网络只能访问内部网络中必要的资源,与业务无关的操作将被拒绝;
由于外部网络对DMZ区主机的所有访问都要经过防火墙,防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细地记录,通过分析可以发现可疑的攻击行为;
对于远程登录的用户,如telnet等,防火墙利用加强的认证功能,可以有效地防止非法入侵;
集中管理网络的安全策略,因此黑客无法通过更改某一台主机的安全策略来达到控制其他资源,获取访问权限的目的;
进行地址转换工作,使外部网络不能看到内部网络的结构,从而使黑客攻击失去目标。
在内部网和业务前置区之间部署内部防火墙,内部防火墙的任务有:
精确制定每个用户的访问权限,保证内部网络用户只能访问必要的资源
记录网段间的访问信息,及时发现误操作和来自内部网络其他网段的攻击行为。
(2)部署入侵检测系统
入侵检测是防火墙技术的重要补充,在不影响网络的情况下能对网络进行检测分析,从而对内部攻击、外部攻击和误操作进行实时识别和响应,有效地监视、审计、评估网络系统。入侵检测和漏洞扫描技术结合起来是预防黑客攻击的主要手段。
入侵检测的主要功能有:
检测并分析用户和系统的活动
核查系统配置和漏洞
评估系统关键资源和数据文件的完整性
识别已知的攻击行为
统计分析异常行为
操作系统日志管理,并识别违反安全策略的用户活动
入侵检测技术主要可以分为基于主机入侵检测和基于网络入侵检测两种。基于主机的系统通过软件来分析来自各个地方的数据,这些数据可以是事件日志(LOG文件)、配置文件、PASSWORD文件等;基于网络的系统通过网络监听的方式从网络中获取数据,并根据事先定义好的规则检查它,从而判定通讯是否合法。
(3)应用VPN
对于VPN接入方式,在接入端采用专用VPN设备,VPN的实现技术是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据,用于构建这种VPN连接的隧道技术有IPSEC等。结合服务商提供的QOS机制,可以有效而且可靠的使用网络资源,保证了网络质量。
VPN大致包括三种典型的应用环境,即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。
我们所推荐使用的是Extranet VPN,并且建议今后逐渐用VPN的外联接入方式取代专线接入方式,VPN技术将是今后外联接入的发展方向,VPN技术取代专线将指日可待。
VPN技术的优点主要包括:
信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术向用户提供无缝(Seamless)的和安全的端到端连接服务,确保信息资源的安全。
方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network),实现异地业务人员的远程接入,加强与客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式。
方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。
显著的成本效益。利用现有互联网络发达的网络构架组建外联网络,从而节省了大量的投资成本及后续的运营维护成本。
(4)应用IPSec
IPSec由IETF下属的一个IPSec工作组起草设计的,在IP协议层上对数据包进行高强度的安全处理,提供数据源验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少了密钥协商的开销,也降低了产生安全漏洞的可用性。IPSec弥补了由于TCP/IP协议体系自身带来的安全漏洞,可以保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)和安全隧道技术。IPSec的缺点是不能兼容NAT技术,当防火墙和路由器采用NAT技术对IP包进行地址转换时,IPSec包不能通过。因此,需要使用IPSec功能时必须采用NAT-T技术实现IPSec穿越NAT。
(5)网络层的访问控制策略
禁止来自业务外联平台的的访问直接进入内部网
限制能开通的服务或端口
设立与内部网隔离的指定的数据交换区,来自业务外联平台的的访问只能到达指定的数据交换区
能对进入指定数据交换区的主体限制到主机
能经过代理实现指定客户对内部网指定主机和业务的访问
外联业务平台系统层安全设计策略
操作系统因为设计和版本的问题,存在许多的安全漏洞,同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患,因此要定期漏洞扫描,及时升级、及时打补丁。外联业务平台应用层安全设计策略
根据银行专用网络的业务和服务,采用身份认证技术、防病毒技术以及对各种应用服务的安全性增强配置服务,保障网络系统在应用层的安全。
(1)身份认证技术
公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。在总行和省行网络中心建立CA中心,为应用系统的可靠运行提供支持。
进入指定数据交换区必须进行基于口令的身份认证。以拨号方式连接业务外联平台时,在拨号连接建立之前,必须通过基于静态口令、动态口令或拨号回呼的身份认证。为了配合全行的集中认证工程,认证服务器必须采用全行统一规定的标准协议,能够支持多级认证体系结构。
在集中认证系统投入使用之前,AAA服务器能够独立完成认证、授权和审计任务。在集中认证体系投入使用之后,AAA服务器能够实现向上级认证服务器的认证请求转发,实现集中认证。
(2)防病毒技术
病毒是系统中最常见、威胁最大的安全来源。我们必须有一个全方位的外联网病毒防御体系,目前主要采用病毒防范系统解决病毒查找、清杀问题。五 外联业务平台安全审计
对进出业务外联平台的访问必须进行审计,要求如下:
能够生成进出业务外联平台的的访问日志
日志内容包括访问时间、主体和客体地址信息、访问方式、访问业务、访问成败情况、持续时间、同一访问发起建立连接次数、本次访问通信流量等
对所记录的日志具有格式化的审计功能,能针对不同主体、客体、时间段、访问成败等情况进行统计并形式化输出
网络审计,防止非法内连和外连
数据库审计,以更加细的粒度对数据库的读取行为进行跟踪
应用系统审计,例如公文流转经过几个环节,必须要有清晰的记录
主机审计,包括对终端系统安装了哪些不安全软件的审计,并设置终端系统的权限等等
介质审计,包括光介质、磁介质和纸介质的审计,防止机密信息通过移动U盘、非法打印或者照相等多个环节从信息系统中泄密。
对重要服务器的操作要有记录;
对外网(互联网)连接记录要有针对性的审计;
对网络内的流量、网络设备工作状态进行审计;
对重要的数据库访问记录要进行有效的审计 六 外联网络安全管理
要保障外联网络安全运行,光靠技术控制还远远不够,还要注意加强在安全管理方面的工作。就现阶段而言,网络安全最大的威胁不是来自外部,而是内部的安全制度、操作规范和安全监督机制。人是信息安全目标实现的主体,网络安全需要全体人员共同努力,避免出现“木桶效应”。为此应着重解决好几个方面的问题。
1、组织工作人员加强网络安全学习,提高工作人员的维护网络安全的警惕性和自觉性,提高保密观念,提高安全意识,提高操作技能。
2、加强管理,建立一套行之有效的外联网络安全管理制度和操作人员守则,建立定期检查制度和有效的监督体系。
3、大力推进外联应用软件的标准化,研究各种安全机制,创造一个具有安全设置的开发环境。
4、建立完善的管理制度
(1)建立外联网络联网规定和联网操作流程。
(2)建立责任分工制度,权限管理制度,明确岗位和职责,各司其职,各负其责。
(3)安全监督管理制度,是指专人对系统使用情况监控,防止非法操作,对发现的异常情况,要采取有效措施加以控制。
(4)采用必要的行政手段来落实各项安全责任,要在计算机系统中设置必要的审核机制,要建立严格的系统日志记录管理机制。
(5)加强对各类人员的安全教育,使公众了解提高外联网络安全的必要性,自觉遵守网络安全管理制度。
(6)只有不断完善和加强各种安全管理手段与安全技术防范,行政管理与技术方法相结合,才能有效保证网络化系统的安全。
5、建立严格制度的文档
(1)外联网络建设方案:网络技术体制、网络拓扑结构、设备配置、IP地址和域名分配方案等相关技术文档;
(2)机房管理制度:包括对网络机房实行分域控制,保护重点网络设备和服务器的物理安全;
(3)各类人员职责分工:根据职责分离和多人负责的原则,划分部门和人员职责。包括对领导、网络管理员、安全保密员和网络用户职责进行分工;
(4)安全保密规定:制定颁布本部门计算机网络安全保密管理规定;
(5)网络安全方案:网络安全项目规划、分步实施方案、安全监控中心建设方案、安全等级划分等整体安全策略;
(6)安全策略文档:建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备的安全配置和升级策略以及策略修改登记;
(7)口令管理制度:严格网络设备、安全设备、应用系统以及个人计算机的口令管理制度;
(8)系统操作规程:对不同应用系统明确操作规程,规范网络行为;
(9)应急响应方案:建立外联网络数据备份策略和安全应急方案,确保外联网络的应急响应;
(10)用户授权管理:以最小权限原则对外联网络用户划分数据库等应用系统操作权限,并做记录;
(11)安全防护记录:记录重大外联网络安全事件,对外联网络设备和安全系统进行日志分析,并提出修复意见;
(12)定期对系统运行、用户操作等进行安全评估,提交外联网络安全报告。
(13)其它制度还有信息发布审批、设备安装维护管理规定、人员培训和应用系统等,以及全面建立计算机外联网络各类文档,堵塞安全管理漏洞。结束语:
银行外联网络安全建设不仅要有先进的安全技术,还要有严谨的管理制度,规范的操作流程才能保障银行外联网络的安全和高效,才能彻底抵御来自外部和内部的攻击。本方案在充分运用多种安全技术和安全策略的基础上,还注重了安全审计和安全管理的建设,综合提高外联网络的安全性,建设一个安全、可信、完善的银行外联网络安全防御体系。
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:企业网络安全解决方案毕业论文
娄底职业技术学院网络专业毕业设计
宏锦网络有限公司 企业网络安全解决方案
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业(宏锦企业网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词: 网络,安全,VPN,防火墙,防病毒
I
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
目 录
绪 论....................................................................................................................................................................1 第一章 企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2
1.2 企业网络的安全误区...............................................................................................................................2 第二章 企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章 企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章 宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总 结..................................................................................................................................................................18 致 谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20
III
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
绪 论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第二章 企业网络安全现状分析
2.1 公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
宏锦网络公司网络拓扑图,如图2-1所示:
图2-1 企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器,地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第三章 企业网络安全解决实施
3.1 宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
3.2宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门 VLAN 10
交换机S1接入交换机(神州数码DCS-3950)业务部门 VLAN 20
交换机S2接入交换机(神州数码DCS-3950)核心交换机 VLAN间路由 核心交换机S3(神州数码DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和VPN等功能。以下为配置过程:
在防火墙NAT策略下面,新增NAT。如图3-1:
图3-1 新增企业防火墙策略示意图
源域:untrust; 源地址对象:any; 目的域:trust; 目的地址对象:any;
在全局安全策略设置里面如图3-2和图3-3所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-2企业防火墙策略配置示意图
图 3-3 企业防火墙策略配置示意图
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。
在网络接口处如图3-5所示:
图3-5 网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。如图3-6所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-6 以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏锦企业网络VPN配置
宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:
图3-7 PPTP协议示意图
图3-8 PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240 如图3-9所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-9 PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。DNS分别为61.177.7.1,MTU为500。
3.5 宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。KV网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图3-10所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-10 主控制中心部署图
子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图3-11所示。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-11 “策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。
图3-12 扫描目标配置
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第四章 宏锦企业的网络管理
4.1宏锦企业网络管理的问题
(1)计算机软、硬件数量无法确实掌握,盘点困难;(2)单位的计算机数量越来越多,无法集中管理;
(3)无法有效防止员工私装软件,造成非法版权使用威胁;(4)硬件设备私下挪用、窃取,造成财产损失;(5)使用者计算机IP随易变更,造成故障频传;(6)软件单机安装浪费人力,应用软件版本不易控制;(7)重要资料遭非法拷贝,资料外泄,无法监督;(8)设备故障或资源不足,无法事先得到预警;
(9)应用软件购买后,员工真正使用状况如何,无从分析; 居高不下的信息化资源成本,不知如何改善。
4.2 宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图4-1 添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。
图4-2 添加网络设备
如图4-2添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
致 谢
在这几个多月的毕业设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成毕业设计。
做毕业实际就需要把平时学到的东西在复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次毕业设计,同时也为以后工作做了很好的准备。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
参考文献
[ 1 ] 王达.网管员必读—网络安全.北京:机械工业出版社,2009. [ 2 ] 黄传河.网络规划设计师教程.北京:机械工业出版社,2009. [ 3 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 4 ] 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009. [ 5 ] 易建勋.计算机网络技术.北京:人民邮电出版社,2007.[ 6 ] 扬卫东.网络系统集成与工程设计,2007.[ 7 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 8 ] 徐超汗.计算机网络安全实用技术,电子工业出版社,2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社,2006年 [10 ] 高永强,郭世泽.网络安全技术与应用大典.北京:人民邮电出版社,2003
火龙果整理 uml.org.cn
第四篇:XX校园网网络安全解决方案
网络安全课程设计
目录
一、校园网概况
二、校园网安全需求分析
三、产品选型和网络拓扑图介绍
四、操作系统安全配置与测试
五、应用服务器(WWW)安全配置
六、防病毒体系设计
七、防火墙设计、配置与测试
一、校园网概况 该校园网始建于2000年8月,至今已经历了四个主要发展阶段,网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前,校园网光缆铺设约一万二千米,信息点铺设接近一万,开设上网帐号8000多个,办理学校免费邮箱2000左右。
校园网主干现为双千兆环网结构。校园网接入均为千兆光纤到大楼,百兆交换到桌面,具有良好的网络性能。
校园网现有三条宽带出口并行接入Internet,500兆中国电信、100兆中国网通和100兆中国教育科研网,通过合理的路由策略,为校园网用户提供了良好的出口带宽。
校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分布实施。
三、产品选型和网络拓扑图介绍
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口10/100/1000M自适应端口(支持PoE远程供电),12个复用的SFP接口,2个扩展槽。支持4K个802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墙采用深信服M5400VPN防火墙。2个LAN口,4个WAN口,2个串口。IPSec VPN隧道数:5200 条/并发SSL用户数:800 /每秒新建用户数:80 /每秒新建会话数:500/最大并发会话数目:600,000。接入层采用H3C S1048交换机,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准; 提供48个10/100M自适应以太网端口; 每个端口都支持Auto-MDI/MDIX功能; 每个端口都提供Speed和Link/Act指示灯,显示端口的工作状态。
校园网拓扑图:
(四、五、)操作系统安全配置与测试,WWW配置与测试。
操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。
六、防病毒体系设计
防病毒体系总体规划:
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
1.构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系
结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面布控。3.构建高效的网关防毒子系统
网关防毒是最重要的一道防线,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。
4.构建高效的网络层防毒子系统
企业中网络病毒的防范是最重要的防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒的威胁,使得网络病毒不再肆意传播,同时结合病毒所利用的传播途径,结合安全策略进行主动防御。
5.构建覆盖病毒发作生命周期的控制体系 当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除,快速恢复系统至正常状态。6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行,减少误报的几率。7.系统服务
系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后,能否对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强的应急处理能力及售后服务保障,并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能:
防病毒系统能够实现分级、分组管理,不同组及客户端执行不同病毒查杀策略,全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面,直接监视和操纵服务器端/客户端,根据实际需要,添加自定义任务(例如更新和扫描任务等),支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率 防病毒系统进行实时监控或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。因此,防病毒系统占用系统资源要较低,不影响系统的正常运行。8.系统兼容性
防病毒系统要具备良好的兼容性,将支持以下操作系统:Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架构的操作系统。
9.病毒库组件升级
防病毒系统提供多种升级方式以及自动分发的功能,支持多种网络连接方式,具有升级方便、更新及时等特点,管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级,减少病毒库增量升级对网络资源的占用,并且采用均衡流量的策略,尽快将新版本部署到全部计算机上,时刻保证病毒库都是最新的,且版本一致,杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力
软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本。
七、防火墙设计、配置
对于深信服M5400可以做以下方面的配置:
1、用户与策略管理配置:
WEB、HTTP URL过滤:
邮件过滤:
网页内容审计:
认证方式:
第五篇:大型企业网络安全解决方案毕业论文
XXXXXXXXXXXXXXX 毕 业 论 文
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。关键词: 网络,安全,VPN,防火墙,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
目录
摘
要............................................................................................................................................................I 第一章 绪
论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章 企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章
企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章 企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章 企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章 项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总
结...........................................................................................................................................................45 致
谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1)根据公司需求组建网络(2)保证网络的连通性(3)保护网络信息的安全性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业本部与分部之间通信信息的完整与安全性(7)防范病毒的侵害(8)实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)IP地址域的划分与管理(3)划分VLAN控制内网安全(4)安装防火墙体系
(5)建立VPN(虚拟专用网络)确保数据安全(6)安装防病毒服务器(7)加强企业对网络资源的管理(8)做好访问控制权限配置(9)做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1.按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2.按VPN的应用分类
1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3.按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H)。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、认证(Authentication): 验证用户是否可以获得访问权限;
2、授权(Authorization): 授权用户可以使用哪些服务;
3、审计(Accounting): 记录用户使用网络资源的情况。
4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 www.xiexiebang.com hostname SWc!enable password cisco!ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等!username beijiangong password 0 cisco 设置远程登录时用户名与密码!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless!access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255(扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段)access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到!!
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH!end 5.3.2 路由器与防火墙
R1: hostname r1!enable password cisco!username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6!ip classless!access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local!!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!
aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池!
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
XXXXXXXXXX计算机专业毕业设计
!access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议!radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End
5.3.3 服务器
AAA服务器配置:
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为www.xiexiebang.com 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。如图6-3-1所示,一台PC需要console核心交换机
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。