第一篇:天融信-网络安全准入解决方案-2011 8 3
天融信网络安全准入解决方案
安全挑战
计算机终端是用户办公和处理业务最重要的工具,对计算机终端的准入管理,可以有效地提高办公效率、减少信息安全隐患、提升网络安全,从而为用户创造更多的业务价值。但目前,大部分终端处于松散化的管理,主要存在以下问题:
接入终端的身份认证,是否为合法用户接入 工作计算机终端的状态问题如下:
操作系统漏洞导致安全事件的发生 补丁没有及时更新
工作终端外设随意接入,如U盘、蓝牙接口等
外来人员或第三方公司开发人员使用移动笔记本电脑未经容许接入到业务专网或办公网系统
工作终端的安全策略不统一,严重影响全局安全策略
解决方案
天融信针对上述安全挑战,提出了网络安全准入解决方案,采用CA数字证书系统、天融信终端安全管理系统TopDesk,结合802.1X技术等,实现完善、可信的网络准入,如下图所示。
天融信网络安全准入解决方案图
终端接安全准入过程如下:
1)网络准入控制组件通过802.1X协议,将当前终端用户身份证书信息发送到交换机。
2)交换机将用户身份证书信息通过RADIUS协议,发送给RADIUS认证组件。
3)RADIUS组件通过CA认证中心对用户身份证书进行有效性判定,并把认证结果返回给交换机,交换机将认证结果传给网络准入控制组件。4)用户身份认证通过后,终端系统检测组件将根据准入策略管理组件制定的安全准入策略,对终端安全状态进行检测。
5)终端的安全状态符合安全策略的要求,则允许准入流控中心系统网络。6)如终端身份认证失败,网络准入控制组件通知交换机关闭端口; 7)如终端安全状态不符合安全策略要求,终端系统检测组件将隔离终端到非工作VLAN。
8)在非工作VLAN的终端,终端系统检测组件会自动进行终端安全状态的修复,在修复完成以后,系统自动将终端重新接入正常工作Vlan。 充分利用终端检测与防护技术
终端防护系统对终端的安全状态和安全行为进行全面监管,检测并保障桌面系统的安全,统一制定、下发并执行安全策略,从而实现对终端的全方位保护、管理和维护,有效保障终端系统及有关敏感信息的安全。在终端防护系统的众多功能中,本方案充分利用以下功能:
安全状态自动检测、报告功能。针对终端系统的补丁更新情况、防病毒软件的扫描引擎即病毒库更新情况、个人防火墙情况进行自动检测、报告和安全状态提升,并在接入网络前提供给可信网关进行检查和认证。
监管终端系统的各种网络行为。对终端系统的拨号行为、使用网口情况进行监控,通过策略定制限制终端用户的上网行为,以减少非法接入可能性。
对移动介质的管控功能。外部设备尤其是移动介质是病毒、木马传播、敏感信息泄漏的主要渠道,必须按照有关安全策略进行认证、授权、控制和审计。
安全审计功能。在对收集的安全事件进行详尽的分析和统计的基础上,帮助网络管理员对网络接入情况进行深度挖掘分析,满足对接入进行审计的需求。
非法接入行为阻断功能。通过终端防护系统实现非法接入行为的控制,对终端系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,给出报警并通过个人防火墙、禁用网卡等手段切断该主机与网络的连接,避免由于该终端的非法接入而导致网络遭到破坏。
综合安全管理平台技术
为了提供安全接入并防止非法接入对网络的影响,需要统一定义整个机构都必须遵循的策略,并把上述策略集中下发到各有关设备如终端、服务器、网关等,并且在这些设备上强制执行。综合安全管理平台能够完成统一策略定义、下发与强制执行。此外,综合安全管理平台还能够对发生的安全事件进行关联分析,形成安全风险评估报告,以便进行及时响应。 方案优势
本方案针对网络接入安全问题,引入边界隔离与访问控制技术、CA技术、终端管理技术、内容与行为审计技术、安全管理平台技术,建立了多层次、立体式的可信接入安全防护体系,整合了安全资源,具有如下效果:
解决网络接入者的身份可信问题:对于终端接入,杜绝了非法用户和外来人员随意接入企业内部网络的行为,即便非法用户盗用了合法主机,如果不具备合法用户身份也无法接入到企业网络,可以有效抵御来自非法接入的攻击;对于网络接入,由于建立了网络间的基本信任关系,从而杜绝了网络间的非法访问行为;
解决了终端安全状态可信问题:终端接入时的安全检查决定了是否允许终端接入网络;接入后的状态检测,能够保证在终端状态不符合企业策略要求时及时切断与网络的连接;
解决了集中的策略管理、事件分析、应急响应和决策支持问题:安全接入问题的解决严重依赖于企业整体安全策略的全面有效实施,综合安全管理平台可以统一对策略进行定义、下发并在各个设备上进行强制实施,提高了综合防范能力,此外还可对安全事件进行集中的管理分析和应急响应支持,对全局的安全威胁和风险进行评估和管理,为安全决策提供支持。
应用领域
政府
按照发改高技[2009]988号文件的要求,电子政务外网,横向要连接各级党委、人大、政府、政协、法院、检察院等各级政务部门,纵向要覆盖中央、省、地(市)、县,满足各级政务部门社会管理和公共服务的需要。电子政务外网已经成为了我国覆盖面最广、规模最大的公用政务网络,为促进各级政务部门资源整合、信息共享和业务协同创造了良好的基础环境。目前接入终端总数已超过43万多台,接入终端是否为合法终端或终端状态是否符合整体安全策略这将是安全管理的重点与难点,所以对终端的接入与安全状态检测,并且集中、统一管理,掌握终端安全动态,符合整体安全策略要求。
金融 对于金融行业的特殊性,对金融生产网和办公网的终端的接入具有严格要求,通过天融信网络安全准入解决方案,使接入业务的终端合规,符合统一安全策略。
企业
对于企事业单位的终端,流动性大,接入环境(家庭、酒店、机场、咖啡厅等)的不定性,带来的风险的概率也最大,为保障整体安全策略,当这些终端接入企事业网络时,其安全状态的检测是必要的。
第二篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第三篇:企业网络安全解决方案毕业论文
娄底职业技术学院网络专业毕业设计
宏锦网络有限公司 企业网络安全解决方案
摘 要
近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。这些都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。因此本论文为企业(宏锦企业网络)构架网络安全体系,主要运用vlan划分、防火墙技术、vpn、病毒防护等技术,来实现企业的网络安全。
关键词: 网络,安全,VPN,防火墙,防病毒
I
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
Abstract In recent years, Internet technology has matured, has begun to provide and guarantee from the network connectivity as the main target of the first generation of Internet technology to provide network data services for the characteristics of the second generation of Internet technology transition.These all contributed to the rapid computer networking technology of large-scale use.As we all know, the world's largest information network use of, Internet openness of their agreement greatly facilitate a variety of computer networking to broaden the sharing of resources.However, in the early design of network protocols on security issues of neglect, as well as in management and use of the anarchy, the Internet increasingly serious threat to their security, and its related security incidents happened quite frequently.Network security threats mainly in: unauthorized access, posing as legitimate users, damage to data integrity, interfere with the normal operation of the system, using the Internet spread the virus, line tapping and so on.Therefore, this paper for the enterprise(Hong Jin corporate network)architecture network security system, mainly by the use of vlan, firewall, vpn, virus protection and other technologies to achieve corporate network security.Keywords: network, security, VPN, firewall, anti-virus
II
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
目 录
绪 论....................................................................................................................................................................1 第一章 企业网络安全概述...................................................................................................................................2 1.1 企业网络的主要安全隐患.......................................................................................................................2
1.2 企业网络的安全误区...............................................................................................................................2 第二章 企业网络安全现状分析.........................................................................................................................4 2.1 公司背景.....................................................................................................................................................4 2.2 企业网络安全需求.....................................................................................................................................4 2.3 需求分析.....................................................................................................................................................4 2.4 企业网络结构.............................................................................................................................................5 第三章 企业网络安全解决实施...........................................................................................................................6 3.1 宏锦网络企业物理安全.............................................................................................................................6 3.2宏锦企业网络VLAN划分............................................................................................................................7 3.4 宏锦企业网络防火墙配置.........................................................................................................................9 3.4 宏锦企业网络VPN配置...........................................................................................................................12 3.5 宏锦企业网络防病毒措施.......................................................................................................................13 第四章 宏锦企业的网络管理.............................................................................................................................16 4.1宏锦企业网络管理的问题........................................................................................................................16 4.2 宏锦企业网络管理实施...........................................................................................................................16 总 结..................................................................................................................................................................18 致 谢..................................................................................................................................................................19 参考文献...............................................................................................................................................................20
III
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
绪 论
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第一章 企业网络安全概述
1.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,同时企业网络安全隐患的来源有内、外网之分,很多情况下内部网络安全威胁要远远大于外部网络,因为内部中实施入侵和攻击更加容易,企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统,甚至配置网络安全隔离系统,对内、外网络进行安全隔离;加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,对数据还可以进行数字签名措施;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
1.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第二章 企业网络安全现状分析
2.1 公司背景
宏锦网络有限公司是一家有100名员工的中小型网络公司,主要以手机应用开发为主营项目的软件企业。公司有一个局域网,约100台计算机,服务器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows XP,在工作组的模式下一人一机办公。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要,因此构建健全的网络安全体系是当前的重中之重。
2.2 企业网络安全需求
宏锦网络有限公司根据业务发展需求,建设一个小型的企业网,有Web、Mail等服务器和办公区客户机。企业分为财务部门和业务部门,需要他们之间相互隔离。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如DDoS、ARP等。因此本企业的网络安全构架要求如下:
(1)根据公司现有的网络设备组网规划(2)保护网络系统的可用性(3)保护网络系统服务的连续性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业信息通过网上传输过程中的机密性、完整性(7)防范病毒的侵害(8)实现网络的安全管理。
2.3 需求分析
通过了解宏锦网络公司的需求与现状,为实现宏锦网络公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
情况进行追踪,防范外来计算机的侵入而造成破坏。通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)划分VLAN控制内网安全(3)安装防火墙体系
(4)建立VPN(虚拟专用网络)确保数据安全(5)安装防病毒服务器(6)加强企业对网络资源的管理
2.4 企业网络结构
宏锦网络公司网络拓扑图,如图2-1所示:
图2-1 企业网络结构
由于宏锦网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0,直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换,分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ内主要有各类的服务器,地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。内网主要由3层交换机作为核心交换机,下面有两台2层交换机做接入。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第三章 企业网络安全解决实施
3.1 宏锦网络企业物理安全
宏锦企业网络中保护网络设备的物理安全是其整个计算机网络系统安全的前提,物理安全是指保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误或各种计算机犯罪行为导致的破坏。
针对宏锦网络企业的物理安全主要考虑的问题是环境、场地和设备的安全及物理访问控制和应急处置计划等。物理安全在整个计算机网络信息系统安全中占有重要地位。它主要包括以下几个方面: 1)保证机房环境安全
信息系统中的计算机硬件、网络设施以及运行环境是信息系统运行的最基本的环境。要从一下三个方面考虑:a.自然灾害、物理损坏和设备故障 b.电磁辐射、乘机而入、痕迹泄漏等 c.操作失误、意外疏漏等 2)选用合适的传输介质
屏蔽式双绞线的抗干扰能力更强,且要求必须配有支持屏蔽功能的连接器件和要求介质有良好的接地(最好多处接地),对于干扰严重的区域应使用屏蔽式双绞线,并将其放在金属管内以增强抗干扰能力。
光纤是超长距离和高容量传输系统最有效的途径,从传输特性等分析,无论何种光纤都有传输频带宽、速率高、传输损耗低、传输距离远、抗雷电和电磁的干扰性好保密性好,不易被窃听或被截获数据、传输的误码率很低,可靠性高,体积小和重量轻等特点。与双绞线或同轴电缆不同的是光纤不辐射能量,能够有效地阻止窃听。3)保证供电安全可靠
计算机和网络主干设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性稳定性和抗干扰性等各项指标,都要求保持在允许偏差范围内。机房的供配电系统设计既要满足设备自身运转的要求,又要满足网络应用的要求,必须做到保证网络系统运行的可靠性,保证设备的设计寿命保证信息安全保证机房人员的工作环境。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
3.2宏锦企业网络VLAN划分
VLAN技术能有效隔离局域网,防止网内的攻击,所以宏锦网络有限公司网络中按部门进行了VLAN划分,划分为以下两个VLAN:
财务部门 VLAN 10
交换机S1接入交换机(神州数码DCS-3950)业务部门 VLAN 20
交换机S2接入交换机(神州数码DCS-3950)核心交换机 VLAN间路由 核心交换机S3(神州数码DCRS-5526)S1配置如下: switch> switch>ena switch#con switch(Config)#vlan 10 switch(Config-Vlan10)#sw int e 0/0/1-20 switch(Config-Vlan10)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan10 switch(dhcp-vlan10-config)#network-address 192.168.10.0 255.255.255.0 switch(dhcp-vlan10-config)#lease 3 switch(dhcp-vlan10-config)#default-router 192.168.1.1 switch(dhcp-vlan10-config)#dns-server 61.177.7.1 switch(dhcp-vlan10-config)#exit switch(config)ip dhcp excluded-address 192.168.10.1 S2配置如下: Switch> Switch>ena Switch#con
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
switch(Config)#vlan 20 switch(Config-Vlan20)#sw int e 0/0/1-20 switch(Config-Vlan20)#exit switch(Config)#exit switch#con switch(Config)#int e 0/0/24 switch(Config-Ethernet0/0/24)#sw m t Set the port Ethernet0/0/24 mode TRUNK successfully switch(Config-Ethernet0/0/24)#sw t a v a set the port Ethernet0/0/24 allowed vlan successfully switch(Config-Ethernet0/0/24)#exit switch(Config)#ip dhcp pool vlan20 switch(dhcp-vlan20-config)#network-address 192.168.20.0 255.255.255.0 switch(dhcp-vlan20-config)#lease 3 switch(dhcp-vlan20-config)#default-router 192.168.1.1 switch(dhcp-vlan20-config)#dns-server 61.177.7.1 switch(dhcp-vlan20-config)#exit switch(config)ip dhcp excluded-address 192.168.20.1 switch(config)ip dhcp excluded-address 192.168.20.150-192.168.20.240 S0配置如下: switch> switch>enable switch#config switch(Config)#hostname S0 S0(Config)#vlan 10 S0(Config-Vlan10)#vlan 20 S0(Config-Vlan20)#exit S0(Config)#int e 0/0/1-2 S0(Config-Port-Range)#sw m t S0(Config-Port-Range)#sw t a v a S0(Config-Port-Range)#exit S0(Config)#int vlan 10 S0(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 S0(Config-If-Vlan10)#no shutdown
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
S0(Config-If-Vlan10)#exit S0(Config)#int vlan 20 00:04:23: %LINK-5-CHANGED: Interface Vlan20, changed state to UP %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to UP S0(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 S0(Config-If-Vlan20)#no shutdown S0(Config-If-Vlan20)#exit S0(Config)#exit S0(Config-If-Vlan1)#ip address 192.168.1.1 255.255.255.0 S0(Config-If-Vlan1)#no shutdown S0(Config-If-Vlan1)#exit S0(Config)#exit S0#show ip route S0#con S0(Config)#ip route 58.192.65.0 255.255.255.0 10.1.1.1 3.4 宏锦企业网络防火墙配置
宏锦企业网络中使用的是神州数码的DCFW-1800S UTM,里面包含了防火墙和VPN等功能。以下为配置过程:
在防火墙NAT策略下面,新增NAT。如图3-1:
图3-1 新增企业防火墙策略示意图
源域:untrust; 源地址对象:any; 目的域:trust; 目的地址对象:any;
在全局安全策略设置里面如图3-2和图3-3所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-2企业防火墙策略配置示意图
图 3-3 企业防火墙策略配置示意图
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-4企业防火墙策略配置示意图
可以设置全局下面访问策略,以及域内和域间的访问策略。这里我们设置,内部网络为信任区域(trust),Inteneter为不信任区域(untrust),服务器区域为DMZ区域。动作包括permit允许,拒绝deny,以及其他的特定的服务。这里允许内部访问外部和DMZ区域,而DMZ和Inteneter不允许访问内部。但是处于中间位置的DMZ可以允许Inteneter的访问。所以要添加好几条NAT策略。
在网络接口处如图3-5所示:
图3-5 网络接口处配置示意图
要配置3个以太网接口为up,安全区域分别为eth1:l2-trust,eth0:l2-untrust,eth2:l2-DMZ。其中接外网的eth0工作模式为路由模式,其余接DMZ和内部的都为NAT模式。如图3-6所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-6 以太网接口配置示意图
同时为他们配好相应的网络地址,eth0为58.192.65.62,eth1:10.1.1.1,eth2 10.1.2.1。
3.4 宏锦企业网络VPN配置
宏锦企业网络的VPN功能主要也是通过上面的防火墙实现的。如图3-7,图3-8所示:
图3-7 PPTP协议示意图
图3-8 PPTP示意图
这里我们使用PPTP协议来实现VPN,首先是新增PPTP地址池,范围为192.168.20.150-192.168.20.240 如图3-9所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-9 PPTP协议实现VPN示意图
在PPTP设置里面,选择Chap加密认证,加密方式mppe-128。DNS分别为61.177.7.1,MTU为500。
3.5 宏锦企业网络防病毒措施
针对宏锦企业网络的现状,在综合考虑了公司对防病毒系统的性能要求、成本和安全性以后,我选用江民杀毒软件KV网络版来在内网中进行防病毒系统的建立。产品特点: KV网络版是为各种简单或复杂网络环境设计的计算机病毒网络防护系统,即适用于包含若干台主机的单一网段网络,也适用于包含各种WEB服务器、邮件服务器、应用服务器,以及分布在不同城市,包含数十万台主机的超大型网络。KV网络版具有以下显著特点:
(1)先进的体系结构(2)超强的杀毒能力(3)完备的远程控制(4)方便的分级、分组管理
宏锦企业网络KV网络版的主控制中心部署在DMZ服务器区,子控制中心部署在3层交换机的一台服务器上。
网络拓扑结构如图3-10所示:
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-10 主控制中心部署图
子控制中心与主控制中心关系: 控制中心负责整个KV网络版的管理与控制,是整个KV网络版的核心,在部署KV网络时,必须首先安装。除了对网络中的计算机进行日常的管理与控制外,它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。在1个网段内仅允许安装1台控制中心。根据控制中心所处的网段的不同,可以将控制中心划分为主控制中心和子控制中心,子控制中心除了要 完成控制中心的功能外,还要负责与它的上级——主控制中心进行通信。这里的“主”和“子”是一个 相对的概念:每个控制中心对于它的下级的网段来说都是主控制中心,对于它的上级的网段来说又是子控制中心,这种控制结构可以根据网络的需要无限的延伸下去。
为宏锦企业网络安装好KV网络版杀毒软件后,为期配置软件的安全策略。对宏锦企业客户端计算机的KV软件实现更为完善的远程控制功能,利用KV软件控制中心的“策略设置”功能组来实现。在此功能中可以针对单一客户端、逻辑组、全网进行具有针对性的安全策略设置。在“策略设置”下拉菜单中,我们可以找到“扫描设置”、“反垃圾邮件”、“网址过滤”等与平时安全应用密切相关的各项应用配置选项,如图3-11所示。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图3-11 “策略设置”命令菜单
为宏锦企业网络KV网络版杀毒软件配置“扫描设置”,扫描设置可对当前选择的任意组或者任意节点的客户端进行更加细化的扫描设置。宏锦企业可以自己设定适合于自己网络环境的扫描方案,针对不同的策略对不同的客户端进行分发不同的扫描命令。可以下发以下命令到节点计算机:扫描目标,定时扫描,分类扫描,不扫描文件夹,扫描报告,简单而实用的设置页大大的增加了网络管理的易用性。其中扫描目标的设置界面如图3-12所示。
图3-12 扫描目标配置
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
第四章 宏锦企业的网络管理
4.1宏锦企业网络管理的问题
(1)计算机软、硬件数量无法确实掌握,盘点困难;(2)单位的计算机数量越来越多,无法集中管理;
(3)无法有效防止员工私装软件,造成非法版权使用威胁;(4)硬件设备私下挪用、窃取,造成财产损失;(5)使用者计算机IP随易变更,造成故障频传;(6)软件单机安装浪费人力,应用软件版本不易控制;(7)重要资料遭非法拷贝,资料外泄,无法监督;(8)设备故障或资源不足,无法事先得到预警;
(9)应用软件购买后,员工真正使用状况如何,无从分析; 居高不下的信息化资源成本,不知如何改善。
4.2 宏锦企业网络管理实施
针对宏锦企业网络的需求,给企业安装SmartIPVIew管理软件实现宏锦企业网络对公司内部的设备以及IP网络资源管理。实施步骤安装SmartIPVIew管理软件,运行软件添加宏锦企业的IP网段如图4-1.火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
图4-1 添加企业IP网段
单击确认,添加宏锦企业内部IP网段便于企业管理企业内部用户。对宏锦企业网络内部设备的管理如下图4-2所示。
图4-2 添加网络设备
如图4-2添加宏锦企业的网络设备,以实现企业对内部网络设备的监控和方便管理能有效的提高办公效率。
SmartIPVIew管理软件独创的IP地址资源管理技术,通过保护IP地址资源的安全使用,以及对IP地址资源的回收再利用,使有限的IP地址资源得到合理合法的使用,从而可以保证整个网络资源的有效利用和安全。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
总 结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
致 谢
在这几个多月的毕业设计中,我真诚的感谢老师的指导,在老师的帮助下我才顺利的完成毕业设计。
做毕业实际就需要把平时学到的东西在复习一遍,因为平时上课还有课后自己的学习,都主要在基于理论方面的,虽然也做很多实验,但当把毕业设计当作一个实际的工程来做的时候就会发现很多的问题,这就需要老师的指导了,特别是老师让我们在实训机房里面,直接就各个硬件进行操作,这样我们就不会空谈就会做的更深层次。
所以很感谢老师的帮助,让我更好的将理论和实践相结合,最后完成了此次毕业设计,同时也为以后工作做了很好的准备。
火龙果整理 uml.org.cn 娄底职业技术学院网络专业毕业设计
参考文献
[ 1 ] 王达.网管员必读—网络安全.北京:机械工业出版社,2009. [ 2 ] 黄传河.网络规划设计师教程.北京:机械工业出版社,2009. [ 3 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 4 ] 王卫红,李晓明.计算机网络与互联网.北京:机械工业出版社,2009. [ 5 ] 易建勋.计算机网络技术.北京:人民邮电出版社,2007.[ 6 ] 扬卫东.网络系统集成与工程设计,2007.[ 7 ] 张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003 [ 8 ] 徐超汗.计算机网络安全实用技术,电子工业出版社,2005年3月 [ 9 ] 万博公司技术部.网络系统集成行业使用方案,海洋出版社,2006年 [10 ] 高永强,郭世泽.网络安全技术与应用大典.北京:人民邮电出版社,2003
火龙果整理 uml.org.cn
第四篇:大型企业网络安全解决方案毕业论文
XXXXXXXXXXXXXXX 毕 业 论 文
企业网络安全解决方案
姓 名:
学 号:
指导老师:
系 名:
专 业:
班 级:
XXXXXXXXXX计算机专业毕业设计
摘
要
随着社会的飞速发展,网络技术的也在飞速的发展之中,现如今网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍然不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒的不断的通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已经给政府以及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已经成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。
本文是构思了一个虚拟的企业网络的设计,重点研究了公司不同分部之间通过VPN技术来实现在广域网中的加密连接。以及详细的设计了总公司的网络安全策略,保证了内部服务器等的信息安全,按照需求对企业网络安全进行了系统的规划,对计算机网络安全进行了全面的分析。在满足了各个子网连通的前提下,提出了包括AAA认证、SSH登陆、Easy VPN、访问控制限制、NAT技术、入侵检测部署、病毒防护、扫描系统管理措施和安全技术在内的整套方案。目的是建设一个完整的、安全的网络体系,是网络安全系统真正获得较好的效果。关键词: 网络,安全,VPN,防火墙,防病毒
I
XXXXXXXXXX计算机专业毕业设计
Abstract
With the rapid development of society and also the rapid development of network technology, is now the network has been the ubiquitous influence of society in all aspects of political, economic, cultural, military, ideological and social life.Worldwide for the intrusion and the number of attempted intrusions of the important information resources and network infrastructure is still growing, network attacks and intrusions caused a grave threat to national security, economic and social life.Computer virus continues through the network and dissemination, computer networks are the illegal invasion, important information, data theft, and even cause paralysis of the network system, such events have caused huge losses to the government and enterprises, and even harm to national security.Network security has become the focus of attention today in the world, the importance of network security is self-evident.This article is the idea of a virtual enterprise network design, focusing on the encrypted connection between the different segments of the company through VPN technology to achieve WAN.And detailed design of the network security policy of the Corporation to ensure the internal server, such as information security, in accordance with the needs of enterprise network security planning of the system, conducted a comprehensive analysis of computer network security.Satisfy the premise that each subnet connectivity, including the AAA authentication, SSH login to the Easy VPN, access control restrictions, the NAT technology, intrusion detection deployment, virus protection, scanning system management measures and security technologies, including the package.The purpose is to build a complete, secure network architecture, network security systems really get better results.Keywords: network, security, VPN, firewall, anti-virus
II
XXXXXXXXXX计算机专业毕业设计
目录
摘
要............................................................................................................................................................I 第一章 绪
论...............................................................................................................................................1 1.1 网络的起源......................................................................................................................................1 1.2网络安全的重要性...........................................................................................................................1 第二章 企业网络安全概述...........................................................................................................................3 2.1 企业网络的主要安全隐患............................................................................................................3 2.2 企业网络的安全误区....................................................................................................................3 第三章
企业网络总体设计方案.................................................................................................................5 3.1 公司背景..........................................................................................................................................5 3.2 企业网络安全需求..........................................................................................................................5 3.3 需求分析..........................................................................................................................................5 3.4 企业网络结构..................................................................................................................................6 3.5 企业IP地址的划分........................................................................................................................9 第四章 企业网络安全技术介绍...................................................................................................................9 4.1 Easy VPN..........................................................................................................................................9 4.1.1 什么是VPN..........................................................................................................................9 4.1.2 VPN 的分类........................................................................................................................10 4.1.3 Easy VPN.............................................................................................................................10 4.2 SSH.................................................................................................................................................11 4.2.1 SSH介绍..............................................................................................................................11 4.2.2 SSH与Telnet的区别..........................................................................................................11 4.3 AAA服务器...................................................................................................................................12 4.3.1 AAA介绍............................................................................................................................12 4.3.2 认证(Authentication)...........................................................................................................12 4.3.3 授权(Authorization)............................................................................................................12 4.3.4 审计(Accounting)................................................................................................................13 4.4 IDS 入侵检测系统.....................................................................................................................13 4.5 firewall 防火墙...........................................................................................................................13 4.5.1 什么是防火墙.....................................................................................................................13 4.5.2 防火墙类型.........................................................................................................................14 第五章 企业网络设备实施方案.................................................................................................................14 5.1 企业物理安全规划......................................................................................................................14 5.2 设备选型........................................................................................................................................15 5.3 设备配置........................................................................................................................................16 5.3.1 交换机.................................................................................................................................16 5.3.2 路由器与防火墙.................................................................................................................25 5.3.3 服务器.................................................................................................................................28 第六章 项目测试.........................................................................................................................................30 6.1 DHCP验证.....................................................................................................................................32 6.2 网络连通性....................................................................................................................................35 6.3 网络安全性....................................................................................................................................37 6.3.1 SSH与console的权限.......................................................................................................37 6.3.2 网络连通安全性.................................................................................................................40 6.4 分公司与总公司安全性................................................................................................................42 总
结...........................................................................................................................................................45 致
谢...........................................................................................................................................................46 参考文献.......................................................................................................................................................47
III
XXXXXXXXXX计算机专业毕业设计
IV
XXXXXXXXXX计算机专业毕业设计
第一章 绪
论
1.1 网络的起源
与很多人的想象相反,Internet并非某一完美计划的结果,Internet的创始人也绝不会想到它能发展成目前的规模和影响。在Internet面世之初,没有人能想到它会进入千家万户,也没有人能想到它的商业用途。
1969年12月,Internet的前身--美国的ARPA网(为了能在爆发核战争时保障通信联络,美国国防部高级研究计划署ARPA资助建立了世界上第一个分组交换试验网ARPANET)投入运行,它标志着我们常称的计算机网络的兴起。这个计算机互联的网络系统是一种分组交换网。分组交换技术使计算机网络的概念、结构和网络设计方面都发生了根本性的变化,它为后来的计算机网络打下了基础。
八十年代初,随着PC个人微机应用的推广,PC联网的需求也随之增大,各种基于PC互联的微机局域网纷纷出台。这个时期微机局域网系统的典型结构是在共享介质通信网平台上的共享文件服务器结构,即为所有联网PC设置一台专用的可共享的网络文件服务器。PC是一台“麻雀虽小,五脏俱全”的小计算机,每个PC机用户的主要任务仍在自己的PC机上运行,仅在需要访问共享磁盘文件时才通过网络访问文件服务器,体现了计算机网络中各计算机之间的协同工作。由于使用了较PSTN速率高得多的同轴电缆(费用少,传输距离100米)、光纤等高速传输介质,使PC网上访问共享资源的速率和效率大大提高。这种基于文件服务器的微机网络对网内计算机进行了分工:PC机面向用户,微机服务器专用于提供共享文件资源。所以它实际上就是一种客户机/服务器模式。
进入九十年代,计算机技术、通信技术以及建立在计算机和网络技术基础上的计算机网络技术得到了迅猛的发展。特别是1993年美国宣布建立国家信息基础设施NII后,全世界许多国家纷纷制定和建立本国的NII,从而极大地推动了计算机网络技术的发展,使计算机网络进入了一个崭新的阶段。目前,全球以美国为核心的高速计算机互联网络即Internet已经形成,Internet已经成为人类最重要的、最大的知识宝库。而美国政府又分别于1996年和1997年开始研究发展更加快速可靠的互联网2(Internet 2)和下一代互联网(Next Generation Internet)。可以说,网络互联和高速计算机网络正成为最新一代的计算机网络的发展方向。
1.2网络安全的重要性
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对
XXXXXXXXXX计算机专业毕业设计
计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
网络安全问题伴随着网络的产生而产生,可以说,有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件,目前主要是通过网络进行的,而且几乎每时每刻都在发生,遍及全球。除此之外,像恶意软件入侵、攻击,用户的非法访问和操作,用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害,相信我们每个计算机用户都或多或少地亲身体验过一些:轻则使电脑系统运行不正常,重则使整个计算机系统中的磁盘数据全部覆灭,甚至导致磁盘、计算机等硬件的损坏。
为了防范这些网络安全事故的发生,每个计算机用户,特别是企业网络用户,必须采取足够的安全防范措施,甚至可以说要在利益均衡情况下不惜一切代价。但要注意,企业网络安全策略的实施是一项系统工程,它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁,又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视,不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的,而许多安全措施都是相辅相成的。
XXXXXXXXXX计算机专业毕业设计
第二章 企业网络安全概述
2.1 企业网络的主要安全隐患
现在网络安全系统所要防范的不再仅是病毒感染,更多的是基于网络的非法入侵、攻击和访问,由于企业在各地可能有不同公司,但是公司之间信息通过广域网相连,所以信息很容易被黑客等截下。现如今企业网络安全威胁的主要来源主要包括。
1)病毒、木马和恶意软件的入侵。2)网络黑客的攻击。
3)重要文件或邮件的非法窃取、访问与操作。4)关键部门的非法访问和敏感信息外泄。5)外网的非法入侵。
6)备份数据和存储媒体的损坏、丢失。
针对这些安全隐患,所采取的安全策略可以通过安装专业的网络版病毒防护系统,同时也要加强内部网络的安全管理,配置好防火墙过滤策略和系统本身的各项安全措施,及时安装系统安全补丁,本部与分部之间运行VPN等防护通信信息的安全性,加强内部网络的安全管理,严格实行“最小权限”原则,为各个用户配置好恰当的用户权限;同时对一些敏感数据进行加密保护,如财政部等要设立访问权限;根据企业实际需要配置好相应的数据策略,并按策略认真执行。
2.2 企业网络的安全误区
(一)安装防火墙就安全了
防火墙主要工作都是控制存取与过滤封包,所以对DoS攻击、非法存取与篡改封包等攻击模式的防范极为有效,可以提供网络周边的安全防护。但如果攻击行为不经过防火墙,或是将应用层的攻击程序隐藏在正常的封包内,便力不从心了,许多防火墙只是工作在网络层。
防火墙的原理是“防外不防内”,对内部网络的访问不进行任何阻挠,而事实上,企业网络安全事件绝大部分还是源于企业内部。
(二)安装了最新的杀毒软件就不怕病毒了
安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒,但这并不能保证就没有病毒入侵了,因为杀毒软件查杀某一病毒的能力总是滞后于该病毒的出现。
(三)在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效
XXXXXXXXXX计算机专业毕业设计
网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台服务器上通过安全中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络,管理非常方便,对于单机版是不可能做到的。
(四)只要不上网就不会中毒
虽然不少病毒是通过网页传播的,但像QQ聊天接发邮件同样是病毒传播的主要途径,而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着,就要防范病毒。
(五)文件设置只读就可以避免感染病毒
设置只读只是调用系统的几个命令,而病毒或黑客程序也可以做到这一点,设置只读并不能有效防毒,不过在局域网中为了共享安全,放置误删除,还是比较有用的。
(六)网络安全主要来自外部
基于内部的网络攻击更加容易,不需要借助于其他的网络连接方式,就可以直接在内部网络中实施攻击。所以,加强内部网络安全管理,特别是用户帐户管理,如帐户密码、临时帐户、过期帐户和权限等方面的管理非常必要了。
XXXXXXXXXX计算机专业毕业设计
第三章
企业网络总体设计方案
3.1 公司背景
公司北京总部有一栋大楼,员工人数大约800人,在全国设有4个分公司(上海、广州、重庆和西安)。总部与分公司利用当地的ISP连接。通过网络安全方案设计,加固企业网络,避免因为安全问题导致的业务停滞;同时保证总部与分公司之间高安全、低成本的要求。公司对网络的依赖性很强,主要业务都要涉及互联网以及内部网络。面对对频繁出现的黑客入侵和网络故障,直接危害网络的运行和业务的正常开展。因此构建健全的网络安全体系是当前的重中之重。
3.2 企业网络安全需求
公司根据网络需求,建设一个企业网络,北京总部存储主要机密信息在服务器中,有AAA服务器、内部DNS服务器、FTP服务器、HTTP服务器。企业分经理办公室、财政部、市场部、软件部、系统集成部以及外来接待厅,需要各部门隔开,同时除了经理办公室外其余不能访问财政部,而接待厅不能访问公司内部网络,只能连通外网。同时由于考虑到Inteneter的安全性,以及网络安全等一些因素,如VPN、NAT等。因此本企业的网络安全构架要求如下:
(1)根据公司需求组建网络(2)保证网络的连通性(3)保护网络信息的安全性
(4)防范网络资源的非法访问及非授权访问(5)防范入侵者的恶意攻击与破坏
(6)保护企业本部与分部之间通信信息的完整与安全性(7)防范病毒的侵害(8)实现网络的安全管理。
3.3 需求分析
通过对公司的实际需求来规划网络设计,为公司的网络安全建设实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。通过
XXXXXXXXXX计算机专业毕业设计
网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。因此需要
(1)构建良好的环境确保企业物理设备的安全(2)IP地址域的划分与管理(3)划分VLAN控制内网安全(4)安装防火墙体系
(5)建立VPN(虚拟专用网络)确保数据安全(6)安装防病毒服务器(7)加强企业对网络资源的管理(8)做好访问控制权限配置(9)做好对网络设备访问的权限
3.4 企业网络结构
北京总公司网络拓扑图,如图2-1所示:
XXXXXXXXXX计算机专业毕业设计
服务器群IDS入侵检测经理办公室汇聚交换机核心交换机接入交换机财务部汇聚交换机汇聚交换机防火墙接入交换机接入交换机接入交换机软件部市场部系统集成部接待部
图2-1 北京总部网络结构
分公司网络拓扑,如图2.2所示:
XXXXXXXXXX计算机专业毕业设计
上海分公司广州分公司重庆分公司西安分公司Internet广域网Web服务器
图2-2 公司分部网络结构
图2.1与2.2通过防火墙相连,防火墙上做NAT转换,Easy VPN等。核心交换机配置基于VLAN的DHCP,网络设备仅仅只能由网络管理员进行远程控制,就算是Console控制也需要特定的密码,外部分公司通过VPN连接能够访问北京总公司内部网络,北京总公司内网中,接待厅网络设备仅仅能访问外部网络,无法访问公司内网。
XXXXXXXXXX计算机专业毕业设计
3.5 企业IP地址的划分
由于是现实中,公网IP地址需要向ISP运行商申请,而本解决方案是虚拟题,故公网IP为虚拟的,由于现如今IPv4地址及其短缺,而IPv6技术还不是很成熟,所以公司内部使用私有地址网段,本着节省地址的原则,北京公司内部一共有800左右终端,所以由192.168.0.0/22网络段划分。由于本课题重点为总公司内部网络安全,以及总公司与分公司之间连通性的网络安全,所以分公司内部没有详细化,所以分公司地址一律192.168.1.1/24网段,ip地址分配为一下:
总公司总网段:192.168.0.0/22
名称 VLAN ID IPv4地址段 网关地址
经理办公室 10 192.168.3.192/26 192.168.3.193 财政部 20 192.168.3.128/26 192.168.3.129 软件部 30 192.168.0.0/24 192.168.0.1 市场部 40 192.168.1.0/24 192.168.1.1 系统集成中心 50 192.168.2.0/24 192.168.2.1 参观中心 60 192.168.3.0/25 192.168.3.1 网管中心 99 192.168.3.240/30 192.168.3.241 服务器集群 100 192.168.3.224/28 192.168.3.225 核心与路由器 无 192.168.3.244/30 路由器与防火墙 无 192.168.3.248/29 其他分公司 1 192.168.1.0/24 192.168.1.1
第四章 企业网络安全技术介绍
4.1 Easy VPN 4.1.1 什么是VPN 虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传
XXXXXXXXXX计算机专业毕业设计
输模式〉、Frame Relay(帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
4.1.2 VPN 的分类
根据不同的划分标准,VPN可以按几个标准进行分类划分
1.按VPN的协议分类 VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec配合使用是目前性能最好,应用最广泛的一种。
2.按VPN的应用分类
1)Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量。从PSTN、ISDN或PLMN接入。
2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源。
3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接
3.按所用的设备类型进行分类
网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机,路由器,和防火墙
1)路由器式VPN:路由器式VPN部署较容易,只要在路由器上添加VPN服务即可 只支持简单的PPTP或IPSEC。
2)交换机式VPN:主要应用于连接用户较少的VPN网络
3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型
4.1.3 Easy VPN easy VPN又名EzVPN,是Cisco专用VPN技术。它分为EASY VPN SERVER和EASY VPN REMOTE两种,EASY VPN SERVER 是REMOT--ACCESS VPN专业设备。配置复杂,支持POLICY PUSHING等特性,此技术基于IPsec协议为基础,扩展的的cisco私有协议,支持远程登录,并且根据自己的AAA的服务器去认证其可靠性,如认证通过,会为访问者分配自己内部IP地址,保证其访问内部信息。在Easy VPN连接成功后,对于ISP运行商来说总公司与分公司数据的传输是透明的,就像拉了一根专线一样,通过抓包等方式捕获数据包会发现全为ESP数据,无法从数据包中获得任何信息,由于其加密方式为HASH速算,根据其雪崩效应想通过加密包算出真是数据的可能性几乎为0,所以数据的传输上的安全性被大大地保证了。
XXXXXXXXXX计算机专业毕业设计
4.2 SSH 4.2.1 SSH介绍
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。
SSH 主要有三部分组成:
1)传输层协议 [SSH-TRANS]
提供了服务器认证,保密性及完整性。此外它有时还提供压缩功能。SSH-TRANS 通常运行在 TCP/IP连接上,也可能用于其它可靠数据流上。SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机,并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
2)用户认证协议 [SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。它运行在传输层协议 SSH-TRANS 上面。当SSH-USERAUTH 开始后,它从低层协议那里接收会话标识符(从第一次密钥交换中的交换哈希H)。会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。
3)连接协议 [SSH-CONNECT]
4.2.2 SSH与Telnet的区别
传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式,就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。
SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。
在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的“通道”。
XXXXXXXXXX计算机专业毕业设计
4.3 AAA服务器
4.3.1 AAA介绍
AAA是认证、授权和记账(Authentication、Authorization、Accounting)三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、认证(Authentication): 验证用户是否可以获得访问权限;
2、授权(Authorization): 授权用户可以使用哪些服务;
3、审计(Accounting): 记录用户使用网络资源的情况。
4.3.2 认证(Authentication)认证负责在用户访问网络或网络服务器以前,对用户进行认证。
如需配置AAA认证,管理员可以创建一个命名的认证列表,然后把这个列表应用到各种接口上。这个方法列表可以定义所要执行的认证类型和他们的顺序。管理员需要基于每个接口来应用这些方法。然而,当管理员没有定义其他认证方法是,cisco路由器和交换机上的所有接口都关联了一个默认的方法列表,名为Default。但管理员定义的方法列表会覆盖默认方法列表。
除了本地认证、线路密码的Enable认证以外,其他所有的认证方法都需要使用AAA。
4.3.3 授权(Authorization)授权为远程访问控制提供了方法。这里所说的远程访问控制包括一次性授权,或者基于每个用户账号列表或用户组为每个服务进行授权。
交换机或路由器上的AAA授权是通过连接一个通用的集中式数据库,并访问其中的一系列属性来工作的,这些说性描述了网络用户的授权服务,比如访问网络中的不同部分。交换机或路由器会向服务器询问用户真实的能力和限制,集中式服务器向其返回授权结果,告知用户所能够使用的服务。这个数据库通常是位于中心位置的服务器,比如RADIUS或者TACACS+安全服务器。但管理员也可以使用本地数据库。远程安全服务器(比如RADIUS和TACACS+)通过把用户与相应的AVP(属性值对)相关联,来收与用户具体的权限。RADIUS和TACACS+把这些AVP配置应用给用户或者用户组。每个AVP由一个类型识别符和一个或多个分配给它的值组成。AVP在用户配置文件(User Profile)和组配置文件(Group Profile)中指定的AVP,为相应的用户和组定义了认证和授权特性。
XXXXXXXXXX计算机专业毕业设计
4.3.4 审计(Accounting)审计为收集和发送安全服务器信息提供了方法,这些信息可以用于计费(billing)、查账(auditing)和报告(reporting)。这类信息包括用户身份、网络访问开始和结束的时间、执行过的命令(比如PPP)、数据包的数量和字节数量。这些信息是交换机和路由器能够检测登录的用户,从而对于查账和增强安全性有很大帮助。
在很多环境中,AAA都会使用多种协议来管理其安全功能,比如RADIUS、TACACS+或者802.1x。如果网络中的交换机充当网络接入服务器角色,那么AAA就是网络访问服务器与RADIUS、TACACS+或者802.1x安全服务器之间建立连接的方法。
AAA是动态配置的,它允许管理员基于每条线路(每个用户)或者每个服务(比如IP、IPX或VPDN[虚拟私有拨号网络])来配置认证和授权。管理员先要创建方法列表,然后把这些方法列表应用到指定的服务或接口上,以针对每条线路或每个用户进行运作。
4.4 IDS 入侵检测系统
由于Cisco packet Tracer 5.3无法模拟IDS设备,又由于IDS在实际企业网络中作用很大,所以在拓扑图中将其设计进去,在这里做一些基本介绍。
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
入侵检测可分为实时入侵检测和事后入侵检测两种。
实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。
事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。
4.5 firewall 防火墙
4.5.1 什么是防火墙
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际
XXXXXXXXXX计算机专业毕业设计
上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
4.5.2 防火墙类型
主要有2中,网络防火墙和应用防火墙。
1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 www.xiexiebang.com hostname SWc!enable password cisco!ip dhcp excluded-address 192.168.0.1 DHCPip dhcp excluded-address 192.168.3.129 ip dhcp excluded-address 192.168.3.1 ip dhcp excluded-address 192.168.1.1 ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.3.193!ip dhcp pool vlan30 network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.3.227 DNSip dhcp pool vlan40 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 192.168.3.227 ip dhcp pool vlan50 network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 192.168.3.227 ip dhcp pool vlan10
设置交换机域名,与SSH验证有关用户登入特权模式密码 在分配时排除该IP地址 这些地址为网段的网关地址 开启一个DHCP地址池 分配的网络段 默认网关IP地址 地址 21
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.192 255.255.255.224 default-router 192.168.3.193 dns-server 192.168.3.227 ip dhcp pool vlan60 network 192.168.3.0 255.255.255.128 default-router 192.168.3.1 dns-server 192.168.3.227 ip dhcp pool vlan20 network 192.168.3.128 255.255.255.192 default-router 192.168.3.129 dns-server 192.168.3.227 ip routing 开启路由功能,这条很重,不然无法启动路由协议等!username beijiangong password 0 cisco 设置远程登录时用户名与密码!interface FastEthernet0/1 switchport access vlan 100 switchport mode access!interface FastEthernet0/2 switchport trunk encapsulation dot1q 配置trunk的封装格式 switchport mode trunk!interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk!interface FastEthernet0/5 no switchport 启动3层接口
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.245 255.255.255.252 duplex auto 自动协商双工 speed auto 自动协商速率!interface FastEthernet0/6 switchport access vlan 99!interface Vlan1 no ip address shutdown!interface Vlan10 ip address 192.168.3.193 255.255.255.224!interface Vlan20 ip address 192.168.3.129 255.255.255.192 ip access-group 20 out 在此接口的出方向启动acl 20!interface Vlan30 ip address 192.168.0.1 255.255.255.0!interface Vlan40 ip address 192.168.1.1 255.255.255.0!interface Vlan50 ip address 192.168.2.1 255.255.255.0!interface Vlan60 ip address 192.168.3.1 255.255.255.128 ip access-group 101 out 在此接口的出方向启动acl 101!interface Vlan99
XXXXXXXXXX计算机专业毕业设计
ip address 192.168.3.241 255.255.255.252!interface Vlan100 ip address 192.168.3.230 255.255.255.240!router ospf 10 启动OSPF 进程号为10 router-id 1.1.1.1 为本设备配置ID标示符 log-adjacency-changes 开启系统日志关于ospf变化 network 192.168.3.245 0.0.0.0 area 0 宣告网络,与其区域 network 192.168.3.193 0.0.0.0 area 1 network 192.168.3.129 0.0.0.0 area 1 network 192.168.0.1 0.0.0.0 area 2 network 192.168.1.1 0.0.0.0 area 2 network 192.168.2.1 0.0.0.0 area 3 network 192.168.3.1 0.0.0.0 area 3 network 192.168.3.230 0.0.0.0 area 4 network 192.168.3.241 0.0.0.0 area 5!ip classless!access-list 10 permit host 192.168.3.242 acl 10 允许该主机地址 access-list 20 deny 192.168.0.0 0.0.0.255 acl 20 拒绝该网段 access-list 20 deny 192.168.1.0 0.0.0.255 access-list 20 deny 192.168.2.0 0.0.0.255 access-list 20 deny 192.168.3.0 0.0.0.255 access-list 101 deny ip 192.168.3.0 0.0.0.127 192.168.0.0 0.0.3.255(扩展acl 101 拒绝该网段的ip协议去访问192.168.0.0/22网段)access-list 101 permit ip any any 允许所有ip协议的任何源目访问!crypto key generate rsa 设置SSH的加密算法为rsa(隐藏命令,在show run中看不到!!
XXXXXXXXXX计算机专业毕业设计
line con 0 password cisco 设置console密码
line vty 0 4 进入vty接口 默认登入人数为5 access-class 10 in 在该接口入方向启动acl 10 password cisco 密码为cisco login local 登入方式为本地认证 transport input ssh 更改登录方式为SSH!end 5.3.2 路由器与防火墙
R1: hostname r1!enable password cisco!username beijiangong password 0 cisco!interface FastEthernet0/0 ip address 192.168.3.246 255.255.255.252 duplex auto speed auto!interface FastEthernet0/1 ip address 192.168.3.249 255.255.255.248 duplex auto speed auto!router ospf 10 router-id 2.2.2.2 log-adjacency-changes network 192.168.3.246 0.0.0.0 area 0
XXXXXXXXXX计算机专业毕业设计
network 192.168.3.249 0.0.0.0 area 6!ip classless!access-list 10 permit host 192.168.3.242!no cdp run!line con 0 password cisco line vty 0 4 access-class 10 in password cisco login local!!end Firewall: hostname ASA!enable password cisco!aaa new-model 开启AAA功能!aaa authentication login eza group radius 启动认证登录组名为eza分类为radius!
aaa authorization network ezo group radius启动授权组名为eza分类为radius!username beijiangong password 0 cisco!crypto isakmp policy 10 设置加密密钥策略 encr 3des 启动3重加密算法 hash md5 启动MD5认证 authentication pre-share 认证方式为共享 group 2 优先级组别为2!crypto isakmp client configuration group myez 设置密钥客户端等级组 key 123 为等级组设置密码
pool ez 为客户分配内部IP地址池!
XXXXXXXXXX计算机专业毕业设计
crypto ipsec transform-set tim esp-3des esp-md5-hmac 传输隧道封装类型!crypto dynamic-map ezmap 10 进入隧道封装策略模式
set transform-set tim 调用上面设置的封装组tim reverse-route 开启vpn的反向路由!crypto map tom client authentication list eza 加密组tom的客户认证调用上面的eza组
crypto map tom isakmp authorization list ezo 加密组tom的密钥授权管理方式调用上面的eza组
crypto map tom client configuration address respond 加密组tom为客户分配IP地址
crypto map tom 10 ipsec-isakmp dynamic ezmap 加密组tom调用隧道加密格式名称为ezmap!interface FastEthernet0/0 ip address 192.168.3.250 255.255.255.248 ip nat inside duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Serial0/2/0 ip address 100.1.1.1 255.255.255.0 ip nat outside crypto map tom!interface Serial0/3/0 no ip address shutdown!interface Vlan1 no ip address shutdown!router ospf 10 router-id 3.3.3.3 log-adjacency-changes network 192.168.3.250 0.0.0.0 area 6 default-information originate 向其他ospf邻居宣告默认路由!ip local pool ez 192.168.3.251 192.168.3.254 配置VPN登入进来后分配的IP地址池
ip nat inside source list 1 interface Serial0/2/0 overload 设置动态NAT将acl 1的地址转化为s0/2/0并多路复用 ip classless ip route 0.0.0.0 0.0.0.0 Serial0/2/0 默认路由 都走s0/2/0
XXXXXXXXXX计算机专业毕业设计
!access-list 1 permit 192.168.0.0 0.0.3.255 access-list 10 permit host 192.168.3.242!no cdp run 关闭邻居发现协议!radius-server host 192.168.3.225 auth-port 1645 key 123 指定AAA服务器地址与Easy VPN 端口号以及对应密钥!line con 0 password cisco login line vty 0 4 access-class 10 in password cisco login local!End
5.3.3 服务器
AAA服务器配置:
XXXXXXXXXX计算机专业毕业设计
HTTP服务器:
DNS服务器:
XXXXXXXXXX计算机专业毕业设计
第六章 项目测试
Packet Tracer 模拟器实验拓扑图
所有设备的用户名为:beijiangong 密码:cisco
VPN 登录配置: 组名:beijiangong Key:123 服务器IP:100.1.1.1 用户名:123 密码:123
XXXXXXXXXX计算机专业毕业设计
北京总公司 图A
分公司以及ISP网络 图B
XXXXXXXXXX计算机专业毕业设计
6.1 DHCP验证
北京总公司内网所有设备都是通过DHCP获取的IP地址,但是不同VLAN所获得的IP地址段是不同的,验证其在不同VLAN下是否获得正确的IP地址、网关、掩码和DNS。
1)经理办公室 VLAN 10 配置方法,首先在Packet Tracer下,点击相应的PC,如图6-1-1
图6-1-1 点击左上角第一栏,ip Configuration 进入IP地址配置画面 如图6-1-2
XXXXXXXXXX计算机专业毕业设计
IP地址配置画面 图6-1-2
点击DHCP,获取IP地址,等待1-2S后查看结果 如图6-1-3
图6-1-3 根据提示可以看出获得了正确的IP地址。
2)财政部 VLAN 20 如图6-1-4
图6-1-4
XXXXXXXXXX计算机专业毕业设计
3)软件部 VLAN 30 如图6-1-5
图6-1-5 4)市场部 VLAN 40 如图 6-1-6
图6-1-6 5)系统集成部 VLAN 50 如图6-1-7
图6-1-7
XXXXXXXXXX计算机专业毕业设计
6)参观中心 VLAN 60 如图 6-1-8
图6-1-8
6.2 网络连通性
建立好网络后,最重要的一点就是网络连通性,根据公司需求,内部计算机获得自己IP地址,自己的DNS服务器与网关,那应该可以去访问外网服务器,以达到访问公网的目的。
1)随便开启一台PC机,如经理办公室PC 图6-2-1
图6-2-1 点击Command prompt 进入其电脑的CMD命令格式
图6-2-2
XXXXXXXXXX计算机专业毕业设计
图6-2-2
输入ping 命令,在虚拟网络中,如图A 运行商IP地址为100.1.1.2 所以先ping运行商网关。在命令行中输入ping 100.1.1.2,可能第一个包会因为ARP的关系而丢失,但是后续会很稳定。如图6-2-3
图6-2-3
2)检查网络内部DNS的正确性
XXXXXXXXXX计算机专业毕业设计
打开PC机浏览器,如下图所示6-2-4
图6-2-4 如图B所示,在公网中,有一个百度的服务器,域名为www.xiexiebang.com 通过浏览器访问百度看是否成功。如图6-2-5
图6-2-5 如图所示,访问成功,表示公司内部网络连通性已经保证畅通。
6.3 网络安全性
在保证了连通性的基础上,验证其安全性
6.3.1 SSH 与console的权限
在设备安装完毕后,公司内部不可能派专门的保安去看护,所以网络设备的安全就需要有所保证,不能让人们轻易的进入其配置模式,轻易的去更改配置,所以要设置用户名密码。如图6-3-1所示,一台PC需要console核心交换机
XXXXXXXXXX计算机专业毕业设计
图6-3-1 如图6-2-7所示,需要点击下图所示单元进入console连接模式
图6-3-2 选好会话数,速率等基本参数后点击OK连接设备的控制台 如图6-3-3
图6-3-3
发现需要输入用户名密码,否侧无法进入控制界面,输入用户名密码后进入用户模式,进入特权模式需要输入特权密码,输入正确用户名密码后才能进入。如图6-3-4
XXXXXXXXXX计算机专业毕业设计
图6-3-4
当然console的限制很大,有监控设备,与机柜锁,能够最大限度的保证其安全性,所以console的安全性问题不是很大,而telnet 的控制起来就需要用策略来限制了。
如果想telnet设备需要知道其设备上的IP地址,而本公司DHCP中的网关地址基本都是在核心上,所以设备上的IP地址基本谁都知道,而核心设备仅仅需要网络管理员去管理,所以加了acl去选择telnet 的对象。而在加密方面我选择了SSH而不是非加密的Telnet.如图所示,仅有网络管理员才能ssh设备,其他员工无法ssh设备。这是管理员ssh的效果,输入正确的用户名密码后,进入其配置界面。如图6-3-5
图6-2-10 这是其他设备ssh的效果,无论尝试几个设备上的地址都被拒绝了,这样就能保证设备控制的安全性。虽然能够访问其地址,但是无法取得其TCP端口号22的访问权 如图6-3-6
XXXXXXXXXX计算机专业毕业设计
图6-3-6
6.3.2 网络连通安全性
在一个公司内部,虽然大家共享上网资源,但是各部门之间的资料还是有一些机密的,特别是财政部,一个公司财政信息都是很机密的,所以不希望其他公司内部Pc能够连通到此部门,所以也要通过acl去限制,去隔离一些区域。
财政部IP 192.168.3.130 软件部IP 192.168.0.2 市场部IP 192.168.1.2
正常情况下,三个部门是可以正常ping通的,但是财政部的安全性,所以其他2个部门无法访问财政部,但是可以互相访问。
如图6-3-7所示,软件部无法访问财政部,但是可以访问市场部
XXXXXXXXXX计算机专业毕业设计
图6-3-7 这样就保证了财政部的独立性,保证了其安全,由于公司内部需要有客人访问,而客人往往需要上网,所以需要控制其上网行为,如果有恶意行为,盗取公司其他部门资料,那也会造成严重的损失,所以,要保证其在公司参观中心上网,只能访问外网,不能访问公司内部其他主机。
如图6-3-8所示,参观中心的终端能够访问外网百度服务器,但是无法访问内部市场部PC设备。
XXXXXXXXXX计算机专业毕业设计
图6-3-8
6.4 分公司与总公司安全性
由于分公司之间通过ISP与总公司通信,所以数据通信需要安全性,在这里我选择了EASY VPN,由于各分公司内部全部使用私网地址,所以无法与总公司内部通信,因为私网地址无法宣告到公网中,而通过easy vpn连接后,本部通过给客户分配总公司自己的私网地址,使其能够访问公司内部,而通信过程中数据时加密的,无法窃取,保证了其安全性。
如图6-4-1连接easy vpn首先要在客户端PC打开VPN连接。
图6-4-1 在这里设置好用户组、用户名、总公司的公网地址以及密码后连接VPN 如图6-4-2
XXXXXXXXXX计算机专业毕业设计
图6-4-2 连接后需要等2-3秒,即连接成功,而且显示被分配的IP地址 如图6-4-3
图6-4-3
进行Ping命令就可以访问北京总部的内网地址终端了。如图6-4-4
XXXXXXXXXX计算机专业毕业设计
图6-4-4 这样网络的安全性就得到了很大的提升。
XXXXXXXXXX计算机专业毕业设计
总
结
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
本论文从企业角度描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
在本方案设计之初,我对网络安全的理解还是很浅,包括到了现在我对它的还是只有一点点的认知,但是通过这次设计,让我对网络安全产生了很浓厚的兴趣,很高兴能够选到这个课题,但这只是一次虚拟题,希望以后有机会在工作中能够得到真实的项目去完成网络安全的设计方案,但是,路还很长,需要学习的知识还很多,但是有兴趣才是王道。
第五篇:XX校园网网络安全解决方案
网络安全课程设计
目录
一、校园网概况
二、校园网安全需求分析
三、产品选型和网络拓扑图介绍
四、操作系统安全配置与测试
五、应用服务器(WWW)安全配置
六、防病毒体系设计
七、防火墙设计、配置与测试
一、校园网概况 该校园网始建于2000年8月,至今已经历了四个主要发展阶段,网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前,校园网光缆铺设约一万二千米,信息点铺设接近一万,开设上网帐号8000多个,办理学校免费邮箱2000左右。
校园网主干现为双千兆环网结构。校园网接入均为千兆光纤到大楼,百兆交换到桌面,具有良好的网络性能。
校园网现有三条宽带出口并行接入Internet,500兆中国电信、100兆中国网通和100兆中国教育科研网,通过合理的路由策略,为校园网用户提供了良好的出口带宽。
校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分布实施。
三、产品选型和网络拓扑图介绍
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口10/100/1000M自适应端口(支持PoE远程供电),12个复用的SFP接口,2个扩展槽。支持4K个802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墙采用深信服M5400VPN防火墙。2个LAN口,4个WAN口,2个串口。IPSec VPN隧道数:5200 条/并发SSL用户数:800 /每秒新建用户数:80 /每秒新建会话数:500/最大并发会话数目:600,000。接入层采用H3C S1048交换机,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准; 提供48个10/100M自适应以太网端口; 每个端口都支持Auto-MDI/MDIX功能; 每个端口都提供Speed和Link/Act指示灯,显示端口的工作状态。
校园网拓扑图:
(四、五、)操作系统安全配置与测试,WWW配置与测试。
操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。
六、防病毒体系设计
防病毒体系总体规划:
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
1.构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系
结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面布控。3.构建高效的网关防毒子系统
网关防毒是最重要的一道防线,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。
4.构建高效的网络层防毒子系统
企业中网络病毒的防范是最重要的防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒的威胁,使得网络病毒不再肆意传播,同时结合病毒所利用的传播途径,结合安全策略进行主动防御。
5.构建覆盖病毒发作生命周期的控制体系 当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除,快速恢复系统至正常状态。6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行,减少误报的几率。7.系统服务
系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后,能否对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强的应急处理能力及售后服务保障,并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能:
防病毒系统能够实现分级、分组管理,不同组及客户端执行不同病毒查杀策略,全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面,直接监视和操纵服务器端/客户端,根据实际需要,添加自定义任务(例如更新和扫描任务等),支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率 防病毒系统进行实时监控或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。因此,防病毒系统占用系统资源要较低,不影响系统的正常运行。8.系统兼容性
防病毒系统要具备良好的兼容性,将支持以下操作系统:Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架构的操作系统。
9.病毒库组件升级
防病毒系统提供多种升级方式以及自动分发的功能,支持多种网络连接方式,具有升级方便、更新及时等特点,管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级,减少病毒库增量升级对网络资源的占用,并且采用均衡流量的策略,尽快将新版本部署到全部计算机上,时刻保证病毒库都是最新的,且版本一致,杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力
软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本。
七、防火墙设计、配置
对于深信服M5400可以做以下方面的配置:
1、用户与策略管理配置:
WEB、HTTP URL过滤:
邮件过滤:
网页内容审计:
认证方式: