《通信工程師論》word版

1、文檔屬性： 論文企業(yè)網(wǎng)絡(luò)安全規(guī)劃與改造編制人 ：LLL專業(yè)方向： 通信類 單 位 ：LLL日 期 ：LLL目 錄 TOC o 1-3 h z HYPERLINK l _Toc112776951 1.摘 要 PAGEREF _Toc112776951 h 3 HYPERLINK l _Toc112776952 1.1.關(guān)鍵詞 PAGEREF _Toc112776952 h 3 HYPERLINK l _Toc112776953 2.緒論 PAGEREF _Toc112776953 h 3 HYPERLINK l _Toc112776954 3.正文： PAGEREF _Toc112776954

2、h 3 HYPERLINK l _Toc112776955 4.目前網(wǎng)絡(luò)存在的問題 PAGEREF _Toc112776955 h 3 HYPERLINK l _Toc112776956 4.1 個別員工私接微機(jī)，盜用他人IP地址 PAGEREF _Toc112776956 h 4 HYPERLINK l _Toc112776957 4.2 廣播風(fēng)暴及網(wǎng)絡(luò)病毒造成的網(wǎng)絡(luò)擁塞 PAGEREF _Toc112776957 h 4 HYPERLINK l _Toc112776958 4.3 網(wǎng)管手段不足，不能及時查出有問題的用戶 PAGEREF _Toc112776958 h 4 HYPERLINK

3、 l _Toc112776959 4.4 網(wǎng)絡(luò)安全手段不夠，企業(yè)網(wǎng)站風(fēng)險性增大 PAGEREF _Toc112776959 h 4 HYPERLINK l _Toc112776960 5.解決及實施方案 PAGEREF _Toc112776960 h 4 HYPERLINK l _Toc112776961 5.1.強(qiáng)化交換機(jī)端口管理 PAGEREF _Toc112776961 h 5 HYPERLINK l _Toc112776962 5.2.劃分VLAN，在各VLAN接口上配置訪問列表 PAGEREF _Toc112776962 h 6 HYPERLINK l _Toc112776963 5

4、.3.使用系統(tǒng)命令及網(wǎng)管軟件查找問題用戶 PAGEREF _Toc112776963 h 6 HYPERLINK l _Toc112776964 5.4.使用防火墻保障內(nèi)部網(wǎng)絡(luò)及企業(yè)網(wǎng)站安全 PAGEREF _Toc112776964 h 7 HYPERLINK l _Toc112776965 6.實施時需注意的問題 PAGEREF _Toc112776965 h 9 HYPERLINK l _Toc112776966 6.1.防火墻的安全策略制定 PAGEREF _Toc112776966 h 9 HYPERLINK l _Toc112776967 6.2.VLAN劃分的方式 PAGEREF

5、 _Toc112776967 h 9 HYPERLINK l _Toc112776968 7.附件：IP地址規(guī)劃 PAGEREF _Toc112776968 h 10 HYPERLINK l _Toc112776969 8.結(jié)論及建議 PAGEREF _Toc112776969 h 10 HYPERLINK l _Toc112776970 9.參考文獻(xiàn) PAGEREF _Toc112776970 h 10摘 要21世紀(jì)全世界的計算機(jī)都將通過Internet聯(lián)到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入

6、21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時候，各企業(yè)建立起一套完整的網(wǎng)絡(luò)安全體系，從內(nèi)部安全到外部安全的全方位防護(hù)成為目前的迫切需要。本文以某企業(yè)為例，論述其網(wǎng)絡(luò)安全的規(guī)劃與改造問題。關(guān)鍵詞VLAN 、廣播風(fēng)暴、訪問列表、防火墻緒論針對當(dāng)前企業(yè)網(wǎng)絡(luò)安全改造的相關(guān)問題進(jìn)行分析并提供相應(yīng)的解決方案，文章重點(diǎn)介紹了幾種常用的實施和解決方案以及實施中的注意事項。正文：目前網(wǎng)絡(luò)存在的問題某企業(yè)人員及業(yè)務(wù)規(guī)模不斷發(fā)展壯大，企業(yè)現(xiàn)有網(wǎng)絡(luò)上的接入設(shè)備隨之增多企業(yè)網(wǎng)站知名度隨之提高，造成目前網(wǎng)絡(luò)故障比較多，網(wǎng)絡(luò)性能下降，網(wǎng)絡(luò)安全風(fēng)險日益增大，嚴(yán)重影響了企業(yè)的日常辦公。目前的問題主要表現(xiàn)在以下幾個方面：4.1 個別員工私

7、接微機(jī)，盜用他人IP地址4.2 廣播風(fēng)暴及網(wǎng)絡(luò)病毒造成的網(wǎng)絡(luò)擁塞4.3 網(wǎng)管手段不足，不能及時查出有問題的用戶4.4 網(wǎng)絡(luò)安全手段不夠，企業(yè)網(wǎng)站風(fēng)險性增大解決及實施方案 目前，企業(yè)網(wǎng)絡(luò)使用的交換機(jī)均為3COM品牌，設(shè)備比較陳舊，性能較差，網(wǎng)管手段缺乏，經(jīng)常引起網(wǎng)絡(luò)中斷，因此此次網(wǎng)絡(luò)改造首先需將現(xiàn)用交換機(jī)更換為CISCO設(shè)備，計劃采用CISCO3550作為中心匯聚交換機(jī)，CISCO2950作為接入層交換機(jī)，NETSCREEN208作為其安全防護(hù)產(chǎn)品。 改造后的網(wǎng)絡(luò)拓?fù)鋱D如下： 對交換機(jī)進(jìn)行以下配置，以最大程度的解決第一章提到的問題：強(qiáng)化交換機(jī)端口管理為防止員工私接微機(jī)，盜用他人IP地址，需加強(qiáng)對

8、交換機(jī)的端口管理，交換機(jī)端口管理主要包括以下兩個方面：將交換機(jī)上未使用端口默認(rèn)置為關(guān)閉狀態(tài)，有新接入需求時通過申請由網(wǎng)管人員打開相應(yīng)端口，不再使用時關(guān)閉。在三層交換機(jī)3550上將在用用戶的IP地址和arp地址進(jìn)行綁定，對空閑的IP地址要綁定一個不存在的arp 地址，如0000.0000.0000，這樣盜用他人IP的用戶將無法通過3550上網(wǎng)，但其在本VLAN局域網(wǎng)中仍可使用，后開機(jī)的合法用戶仍將報IP地址沖突而無法使用，這只有通過管理制度來解決。 考慮到在接入層2950交換機(jī)上進(jìn)行端口和mac地址綁定并不能解決VLAN內(nèi)的IP盜用問題，且配置非常繁瑣，故目前暫不推薦采用，以后在對網(wǎng)絡(luò)有更高安全

9、要求時可進(jìn)行考慮。劃分VLAN，在各VLAN接口上配置訪問列表為防止廣播風(fēng)暴，需通過在交換機(jī)上劃分VLAN來隔離廣播風(fēng)暴，提高網(wǎng)絡(luò)性能。此步驟也是進(jìn)行后續(xù)配置的基礎(chǔ)。計劃將交換機(jī)端口根據(jù)部門職能劃分為企業(yè)及部門領(lǐng)導(dǎo)（約20臺微機(jī)，VLAN10）、生產(chǎn)部門（約120臺微機(jī)，VLAN20）和其他部門（約80臺微機(jī)，VLAN30）3個VLAN。VLAN劃分也可進(jìn)一步細(xì)化到各生產(chǎn)小組，不過VLAN劃分的越多，后期的維護(hù)工作也就越多，并且對網(wǎng)絡(luò)設(shè)備的性能要求也就越高。為控制網(wǎng)絡(luò)病毒造成的網(wǎng)絡(luò)擁塞，需在各VLAN接口上配置訪問列表，封堵病毒傳播端口，實現(xiàn)對常見蠕蟲類網(wǎng)絡(luò)病毒(如沖擊波、震蕩波、SQL蠕蟲王

10、等)的隔離控制，常見病毒傳播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。此方法可在某微機(jī)感染病毒時，將病毒的影響范圍限定在本VLAN內(nèi)，其他VLAN用戶的正常辦公及上網(wǎng)基本不受影響?？捎行Х乐挂阎湎x類網(wǎng)絡(luò)病毒的傳播。通過訪問列表可有效控制已知蠕蟲類網(wǎng)絡(luò)病毒的傳播，但蠕蟲類病毒層出不窮，所使用的端口也在不斷變化，這就需要網(wǎng)管人員在日常維護(hù)中不斷對新發(fā)現(xiàn)的病毒端口進(jìn)行封堵，不斷更新訪問列表。使用系統(tǒng)命令及網(wǎng)管軟件查找問題用戶加強(qiáng)網(wǎng)管手段，及時查出有問題的用

11、戶，通過交換機(jī)操作系統(tǒng)中的調(diào)試命令并配合CISCOVIEW、SNIFFER、超級網(wǎng)管等軟件，可對某VLAN中可能存在的問題微機(jī)進(jìn)行查找，及時定位問題用戶并督促用戶解決問題。交換機(jī)操作系統(tǒng)命令如：show proc cpu 、show interface 可查看交換機(jī)的cpu占用率及接口流量、單位時間內(nèi)的數(shù)據(jù)包數(shù)，以判斷接口所連設(shè)備是否異常。CISCOVIEW是CISCO企業(yè)的一個小型網(wǎng)管軟件，可以圖形化方式實現(xiàn)對交換機(jī)端口的流量查看、打開及關(guān)閉操作等功能，相對于使用字符命令更直觀、方便，但不如字符命令功能強(qiáng)大，計劃在企業(yè)網(wǎng)絡(luò)中布署一套該軟件以實現(xiàn)更方便的網(wǎng)絡(luò)管理。使用防火墻保障內(nèi)部網(wǎng)絡(luò)及企業(yè)網(wǎng)

12、站安全作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。 根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、代理型和監(jiān)測型。 包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)

13、。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險站點(diǎn)的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。包過濾技術(shù)的優(yōu)點(diǎn)是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基

14、于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。 網(wǎng)絡(luò)地址轉(zhuǎn)化NAT網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址。 代理型代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。 監(jiān)測型監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的

15、監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。 本企業(yè)擬選用NETSCREEN208防火墻作為其安全防護(hù)產(chǎn)品，該防火墻集成了包過濾、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、基本網(wǎng)絡(luò)監(jiān)測功能,多種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,并能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。企業(yè)網(wǎng)站安全性防護(hù)方面通過NAT方式對公網(wǎng)隱藏內(nèi)部服務(wù)器的真實IP地址，對需對外提供服務(wù)的服務(wù)器，只開放相應(yīng)的端口，同時配置NETSCREEN208的段落攻擊保護(hù)之TCP 重組、殘缺性數(shù)據(jù)包保護(hù)、深度檢察防火墻、

16、協(xié)議異常檢測、安全的協(xié)議簽名，阻截常見的拒絕服務(wù)（DoS）攻擊等功能，使企業(yè)網(wǎng)站具有較高的安全性。實施時需注意的問題 防火墻的安全策略制定NetScreen208的缺省行為是拒絕安全區(qū)段間的所有信息流，允許綁定到同一區(qū)段的接口間的所有信息流( 區(qū)段內(nèi)部信息流)。為了允許選定的區(qū)段間信息流通過NetScreen 設(shè)備，必須創(chuàng)建覆蓋缺省行為的區(qū)段間策略。 NetScreen防火墻的安全策略分為三類：區(qū)段間策略：管理允許從一個安全區(qū)到另一個安全區(qū)的信息流的種類。區(qū)段內(nèi)部策略：控制允許通過綁定到同一區(qū)段的接口間的信息流的類型。全局策略：管理地址間的信息流，而不考慮它們的安全區(qū)。策略必須包含下列元素:

17、ID (自動生成的，但可能是CLI 中用戶定義的) 區(qū)段(源區(qū)段和目的區(qū)段) 地址(源地址和目的地址) 服務(wù) 動作(permit、deny、tunnel)策略還包括如時間、流量等許多可選項。企業(yè)需根據(jù)網(wǎng)絡(luò)需求制定嚴(yán)密而又便于使用的安全策略。VLAN劃分的方式 VLAN劃分可根據(jù)部門職能或地理位置兩種方式進(jìn)行，按地理位置劃分雖維護(hù)方便但使用不便，員工所屬VLAN結(jié)構(gòu)不清晰，故建議采用根據(jù)部門職能來劃分VLAN方式。附件：IP地址規(guī)劃本IP地址規(guī)劃暫按172.16段IP進(jìn)行制訂：部門領(lǐng)導(dǎo)VLAN(VLAN10)：IP:-254 掩碼： 生產(chǎn)部門VLAN(VLAN20)：IP:-254 掩碼： 其他部門VLAN(VLAN30)：IP:-254 掩碼： 其中，因做IP和arp綁定要求所有空閑IP也須綁定一虛arp地址，故在3550交換機(jī)上設(shè)置網(wǎng)關(guān)時將VLAN10掩碼設(shè)置為：92，VLAN30掩碼設(shè)置為：28，以減少空閑IP。而用戶端仍使用掩碼，只是分配IP時要請注意只分配