網(wǎng)絡(luò)管理綜合設(shè)計(jì)

1、網(wǎng)絡(luò)管理綜合設(shè)計(jì)負(fù)責(zé)人* *前言前言lXX公司為跨國(guó)大型集團(tuán)公司，該公司擁有若干分部和一個(gè)開(kāi)發(fā)中心，并與另外5個(gè)企業(yè)建立了合作關(guān)系，與另外合作企業(yè)之間存在數(shù)據(jù)交換。公司根據(jù)業(yè)務(wù)發(fā)展需求，有Web、Mail等服務(wù)器和辦公區(qū)客戶(hù)機(jī)。企業(yè)分為財(cái)務(wù)部門(mén)，業(yè)務(wù)部門(mén)等多個(gè)部門(mén)，需要他們之間相互隔離。公司總網(wǎng)絡(luò)拓?fù)鋱D公司總網(wǎng)絡(luò)拓?fù)鋱D存在的隱患存在的隱患l內(nèi)部竊密和破壞內(nèi)部竊密和破壞l非法訪(fǎng)問(wèn)非法訪(fǎng)問(wèn) l完整性破壞完整性破壞 l其它網(wǎng)絡(luò)的攻擊其它網(wǎng)絡(luò)的攻擊 l網(wǎng)絡(luò)自身和管理存在欠缺網(wǎng)絡(luò)自身和管理存在欠缺 l病毒侵害病毒侵害 l 由于隱患的存在，就需要科學(xué)合理的網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理一個(gè)合理的網(wǎng)絡(luò)架構(gòu)應(yīng)該具備

2、：l1.保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性；l2.保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性；l3.防范網(wǎng)絡(luò)資源的非法訪(fǎng)問(wèn)及非授權(quán)訪(fǎng)問(wèn)；l4.防范入侵者的惡意攻擊與破壞；l5.保護(hù)企業(yè)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性；l6.防范病毒的侵害；l7.能實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。公司網(wǎng)絡(luò)安全公司網(wǎng)絡(luò)安全要保障網(wǎng)絡(luò)安全，需做到：l構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全l安裝防火墻體系l安裝防病毒服務(wù)器l加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理l其他一些必要的工作針對(duì)以上要求，進(jìn)行方案的綜合設(shè)計(jì)。綜合方案設(shè)計(jì)1、防火墻實(shí)施方案、防火墻實(shí)施方案 2、Internet連接與備份方案連接與備份方案 3、入侵檢測(cè)方案入侵檢測(cè)方案 4、VPN系統(tǒng)系統(tǒng) 5、防病毒

3、方案防病毒方案 6、其他安全管理、其他安全管理7、網(wǎng)絡(luò)信息管理策略、網(wǎng)絡(luò)信息管理策略防火墻實(shí)施方案防火墻實(shí)施方案l防火墻方案 根據(jù)網(wǎng)絡(luò)整體安全及保證財(cái)務(wù)部的安全考慮，采用兩臺(tái)防火墻，一防火墻對(duì)財(cái)務(wù)部與企業(yè)內(nèi)網(wǎng)進(jìn)行隔離，另一防火墻對(duì)Internet與企業(yè)內(nèi)網(wǎng)之間進(jìn)行隔離，其中DNS、郵件等對(duì)外服務(wù)器連接在防火墻的DMZ區(qū)與內(nèi)、外網(wǎng)間進(jìn)行隔離。l防火墻設(shè)置原則 建立合理有效的安全過(guò)濾原則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源/目的地址、流向進(jìn)行審核，嚴(yán)格控制外網(wǎng)用戶(hù)非法訪(fǎng)問(wèn)；防火墻DMZ區(qū)訪(fǎng)問(wèn)控制，只打開(kāi)服務(wù)必須的HTTP、FTP、SMTP、POP3以及所需的其他服務(wù)，防范外部來(lái)的拒絕服務(wù)攻擊；定期查看防火

4、墻訪(fǎng)問(wèn)日志；對(duì)防火墻的管理員權(quán)限嚴(yán)格控制。防火墻設(shè)置位置拓?fù)鋱D防火墻設(shè)置位置拓?fù)鋱DInternet連接與備份方案連接與備份方案 防火墻經(jīng)外網(wǎng)交換機(jī)接入Internet。此區(qū)域當(dāng)前存在一定的安全隱患：首先，防火墻作為企業(yè)接入Internet的出口，占有及其重要的作用，一旦此防火墻出現(xiàn)故障或防火墻與主交換機(jī)連接鏈路出現(xiàn)問(wèn)題，都會(huì)造成全臺(tái)與Internet失去連接；其次，當(dāng)前的防火墻無(wú)法對(duì)進(jìn)入網(wǎng)絡(luò)的病毒進(jìn)行有效的攔截。為此，新增加一臺(tái)防火墻和一臺(tái)防病毒過(guò)濾網(wǎng)關(guān)與核心交換機(jī)。防病毒網(wǎng)關(guān)可對(duì)進(jìn)入網(wǎng)絡(luò)的流量進(jìn)行有效過(guò)濾，使病毒數(shù)據(jù)包無(wú)法進(jìn)入網(wǎng)絡(luò)，提高內(nèi)網(wǎng)的安全性。防火墻連接只在主核心交換機(jī)上，并且采用兩臺(tái)

5、防火墻進(jìn)行熱備配置，分別連接兩臺(tái)核心交換機(jī)。設(shè)備及鏈路都進(jìn)行了冗余配置，提高了網(wǎng)絡(luò)的健壯性。入侵檢測(cè)方案入侵檢測(cè)方案l在核心交換機(jī)監(jiān)控端口部署CA入侵檢測(cè)系統(tǒng)，并在不同網(wǎng)段(本地或遠(yuǎn)程)上安裝由中央工作站控制的網(wǎng)絡(luò)入侵檢測(cè)代理，對(duì)網(wǎng)絡(luò)入侵進(jìn)行檢測(cè)和響應(yīng)。入侵檢測(cè)系統(tǒng)部署位置拓?fù)鋱D入侵檢測(cè)系統(tǒng)部署位置拓?fù)鋱DVPN系統(tǒng)系統(tǒng)l由于VPN技術(shù)利用開(kāi)放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開(kāi)辟一條隧道，使得合法的用戶(hù)可以安全的訪(fǎng)問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專(zhuān)線(xiàn)方式，實(shí)現(xiàn)移動(dòng)用戶(hù)、遠(yuǎn)程LAN的安全連接。所以，安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)提供了一整套安全的解決

6、方案。 而且，集中的安全策略管理又可以對(duì)整個(gè)VPN網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。 VPN部署位置拓?fù)鋱D部署位置拓?fù)鋱D防病毒方案防病毒方案l企業(yè)網(wǎng)絡(luò)建立整體防病毒體系，對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計(jì)算機(jī)設(shè)備采取全面病毒防護(hù)。并且需要在網(wǎng)絡(luò)中心設(shè)置病毒防護(hù)管理中心，通過(guò)防病毒管理中心將局域網(wǎng)內(nèi)所有計(jì)算機(jī)創(chuàng)建在同一防病毒管理域內(nèi)。通過(guò)防病毒管理域的主服務(wù)器，對(duì)整個(gè)域進(jìn)行防病毒管理，制定統(tǒng)一的防毒策略，設(shè)定域掃描作業(yè)，安排系統(tǒng)自動(dòng)查、殺病毒。防病毒方案作用防病毒方案作用l可實(shí)現(xiàn)對(duì)病毒侵入情況、各系統(tǒng)防毒情況、防毒軟件的工作情況等的集中監(jiān)控； l可實(shí)現(xiàn)對(duì)所有防毒軟件的集中管理、集中設(shè)置、集中維護(hù)；可集中反映整個(gè)系統(tǒng)內(nèi)的病毒入侵情況,設(shè)置各種消息通報(bào)方式，對(duì)病毒的爆發(fā)進(jìn)行報(bào)警； l可集中獲得防毒系統(tǒng)的日志信息；管理人員可方便地對(duì)系統(tǒng)情況進(jìn)行匯總和分析；l防范于未然 。其它安全管理其它安全管理l訪(fǎng)問(wèn)控制管理訪(fǎng)問(wèn)控制管理