公司網(wǎng)絡(luò)安全方案設(shè)計

1、謝謝你的觀賞公司網(wǎng)絡(luò)安全方案設(shè)計4公司網(wǎng)絡(luò)安全方案設(shè)計網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。下面是有關(guān)公司網(wǎng)絡(luò)安全的方案設(shè)計，供大家參考！公司網(wǎng)絡(luò)安全方案設(shè)計【1】網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導(dǎo)下合理配置和部署：網(wǎng)絡(luò)隔離與訪問控制、入侵檢測與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認證、安全監(jiān)控與審計等技術(shù)設(shè)備，并且在各個設(shè)備或系統(tǒng)之間，能夠?qū)崿F(xiàn)系統(tǒng)功能互補和協(xié)調(diào)動作。1網(wǎng)絡(luò)隔離與訪問控制。通過對特定網(wǎng)段、服務(wù)進行物理和邏輯隔離，并建立訪問控制機制，將絕大多數(shù)攻擊阻止在網(wǎng)

2、絡(luò)和服務(wù)的邊界以外。2漏洞發(fā)現(xiàn)與堵塞。通過對網(wǎng)絡(luò)和運行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補丁或從管理上堵塞漏洞。3入侵檢測與響應(yīng)。通過對特定網(wǎng)絡(luò)、服務(wù)建立的入侵檢測與響應(yīng)體系，實時檢測出攻擊傾向和行為，并采取相應(yīng)的行動。4加密保護。主動的加密通信，可使攻擊者不能了解、修改敏感信息或數(shù)據(jù)加密通信方式；對保密或敏感數(shù)據(jù)進行加密存儲，可防止竊取或丟失。5備份和恢復(fù)。良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。6監(jiān)控與審計。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計系統(tǒng)。一方面以計算機終端為單元強化桌面計算的內(nèi)外安全控制與日志記錄；另

3、一方面通過集中管理方式對內(nèi)部所有計算機終端的安全態(tài)勢予以掌控。在利用公共網(wǎng)絡(luò)與外部進行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)與“外部”網(wǎng)絡(luò)劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進行各種連接的地方使用帶防火墻功能的VPN設(shè)備，在進行“內(nèi)”外網(wǎng)絡(luò)的隔離的同時建立網(wǎng)絡(luò)之間的安全通道。1 防火墻應(yīng)具備如下功能：使用NAT把DMZ區(qū)的服務(wù)器和內(nèi)部端口影射到Firewall的對外端口；允許Internet公網(wǎng)用戶訪問到DMZ區(qū)的應(yīng)用服務(wù)：http、ftp、smtp、dns等；允許DMZ區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問Internet公網(wǎng)；允許內(nèi)部用戶訪問DMZ的應(yīng)用服務(wù)：http、ftp、smtp、dns、po

4、p3、https；允許內(nèi)部網(wǎng)用戶通過代理訪問Internet公網(wǎng)；禁止Internet公網(wǎng)用戶進入內(nèi)部網(wǎng)絡(luò)和非法訪問DMZ區(qū)應(yīng)用服務(wù)器；禁止DMZ區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò)；防止來自Internet的DOS一類的攻擊；能接受入侵檢測的聯(lián)動要求，可實現(xiàn)對實時入侵的策略響應(yīng)；對所保護的主機的常用應(yīng)用通信協(xié)議能夠替換服務(wù)器的Banner信息，防止惡意用戶信息刺探；提供日志報表的自動生成功能，便于事件的分析；提供實時的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)，通信數(shù)據(jù)流量。提供連接查詢和動態(tài)圖表顯示。防火墻自身必須是有防黑客攻擊的保護能力。2 帶防火墻功能的VPN設(shè)備是在防火墻基本功能基

5、礎(chǔ)上，通過功能擴展，同時具有在IP層構(gòu)建端到端的具有加密選項功能的ESP隧道能力，這類設(shè)備也有SVPN的，主要用于通過外部網(wǎng)絡(luò)將兩個或兩個以上“內(nèi)部”局域網(wǎng)安全地連接起來，一般要求SVPN應(yīng)具有一下功能：防火墻基本功能，主要包括：IP包過慮、應(yīng)用代理、提供DMZ端口和NAT功能等；具有對連接兩端的實體鑒別認證能力；支持移動用戶遠程的安全接入；支持IPESP隧道內(nèi)傳輸數(shù)據(jù)的完整性和機密性保護；提供系統(tǒng)內(nèi)密鑰管理功能；SVPN設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認證的能力。在網(wǎng)絡(luò)邊界配置入侵檢測設(shè)備，不僅是對防火墻功能的必要補充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測設(shè)備對網(wǎng)絡(luò)行為和

6、流量的特征分析，可以檢測出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護體系。入侵檢測系統(tǒng)的基本功能如下：通過檢測引擎對各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進行分析，檢測出網(wǎng)絡(luò)入侵事件和可疑操作行為。對自身的數(shù)據(jù)庫進行自動維護，無需人工干預(yù)，并且不對網(wǎng)絡(luò)的正常運行造成任何干擾。采取多種報警方式實時報警、音響報警，信息記錄到數(shù)據(jù)庫，提供電子郵件報警、SysLog報警、SNMPTrap報警、Windows日志報警、Windows消息報警信息，并按照預(yù)設(shè)策略，根據(jù)提供的報警信息切斷攻擊連接。與防火墻建立協(xié)調(diào)聯(lián)動，運行自定義的多種

7、響應(yīng)方式，及時阻隔或消除異常行為。全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)?？蓪W(wǎng)絡(luò)中的攻擊事件，訪問記錄進行適時查詢，并可根據(jù)查詢結(jié)果輸出圖文報表，能讓管理人員方便的提取信息。入侵檢測系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時有報警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。除利用入侵檢測設(shè)備檢測對網(wǎng)絡(luò)的入侵和異常流量外，還需要針對主機系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機漏洞掃描可以主動發(fā)現(xiàn)主機系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購標(biāo)準(zhǔn)產(chǎn)品問題的，應(yīng)及時升級換代或安裝補丁程序；屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)議修改程序或安裝補丁程序；屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)