構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案_第1頁
構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案_第2頁
構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案_第3頁
構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案_第4頁
構(gòu)建企業(yè)網(wǎng)絡(luò)安全方案_第5頁
已閱讀5頁,還剩24頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

企業(yè)內(nèi)部網(wǎng)絡(luò)安全策略論述報(bào)告設(shè)計(jì)題目 論述企事業(yè)內(nèi)部的網(wǎng)絡(luò)安全策略學(xué) 院 軟件學(xué)院專 業(yè) 網(wǎng)絡(luò)工程學(xué) 號(hào)姓 名指導(dǎo)教師完成日期目錄摘要. 31. 引言. 41.1本課題的研究意義 41.2本論文的目的、內(nèi)容 42. 企業(yè)網(wǎng)絡(luò)現(xiàn)狀及設(shè)計(jì)論述 . 42.1概述. 42.2實(shí)際網(wǎng)絡(luò)的特點(diǎn)及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點(diǎn)論述 72.3設(shè)計(jì)目標(biāo). 93. 關(guān)鍵問題論述. 103.1研究設(shè)計(jì)中要解決的問題 103.2本課題所作的改善設(shè)計(jì) 114. 系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)論述 . 124.1.目標(biāo)具體實(shí)現(xiàn)中采用的關(guān)鍵技術(shù)及分析 124.2設(shè)計(jì)實(shí)現(xiàn)的策略和途徑描述 154.3設(shè)計(jì)模型及系統(tǒng)結(jié)構(gòu)(新的拓?fù)鋱D) 165. 系統(tǒng)實(shí)現(xiàn)技術(shù)論述. 16概述 175.1物理設(shè)備安全...........................................175.2VPN技術(shù)...............................................195.3訪問控制列表與 QOS技術(shù) 255.4服務(wù)器的安全...........................................256.總結(jié)....................................................277.參考文獻(xiàn)................................................28企事業(yè)單位內(nèi)部網(wǎng)絡(luò)的安全策略論述摘要:互聯(lián)網(wǎng)給我們帶來了極大的便利。但是,隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的普及,使我們面臨另外提個(gè)困境:私人數(shù)據(jù)、重要的企業(yè)資源以及政府機(jī)密等信息被暴露在公共網(wǎng)絡(luò)空間之下,伴隨而來的網(wǎng)絡(luò)安全問題越來越引起人們的關(guān)注。計(jì)算機(jī)系統(tǒng)一旦遭受破壞,將給使用單位造成重大經(jīng)濟(jì)損失,并嚴(yán)重影響正常工作的順利開展。加強(qiáng)企業(yè)網(wǎng)絡(luò)安全工作,是一些企業(yè)建設(shè)工作的重要工作內(nèi)容之一。本文主要分析了企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)和一些基本的安全情況,包括系統(tǒng)安全的需求分析、概要設(shè)計(jì),詳細(xì)設(shè)計(jì)分析等,重點(diǎn)針對(duì)企業(yè)網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題,作了個(gè)簡(jiǎn)單介紹。對(duì)有關(guān)安全問題方面模塊的劃分,解決的方案與具體實(shí)現(xiàn)等部分關(guān)鍵詞:網(wǎng)絡(luò)安全VPN技術(shù)QOS技術(shù)容災(zāi)備份 服務(wù)器安全. 引言隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術(shù)的不斷普及, 企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡(luò)空間下,很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當(dāng)?shù)龋加锌赡芡{到重要信息數(shù)據(jù), 這些危害也越來越受到人們的重視。因此,根據(jù)企業(yè)的實(shí)際情況建立一套切實(shí)可行的安全網(wǎng)絡(luò)方案來改善這個(gè)情況,使企業(yè)的數(shù)據(jù)機(jī)密信息得以保護(hù),并且可以保證企業(yè)的網(wǎng)絡(luò)順暢的工作,有助于公司的長(zhǎng)遠(yuǎn)發(fā)展。1.1本課題的研究意義本課題的研究意義在于論述并研究企業(yè)網(wǎng)絡(luò)的安全解決方案以及實(shí)際的應(yīng)用方法,是獲得整個(gè)企業(yè)網(wǎng)絡(luò)安全優(yōu)良設(shè)計(jì)的指南,為公司探討出一套正確有效的網(wǎng)絡(luò)安全方案。1.2本論文的目的、內(nèi)容本論文的目的是為企業(yè)提出一個(gè)有效的網(wǎng)絡(luò)安全方案,使企業(yè)的網(wǎng)絡(luò)安全威脅降到最低。從企業(yè)的設(shè)備配置安全、系統(tǒng)軟件的安全、以及放火墻與入侵檢測(cè)等來論述企業(yè)的網(wǎng)絡(luò)安全。企業(yè)網(wǎng)絡(luò)現(xiàn)狀及設(shè)計(jì)論述2.1概述中國(guó)國(guó)內(nèi)目前的企業(yè)需要的網(wǎng)絡(luò)安全產(chǎn)品不僅僅是簡(jiǎn)單的安裝,更重要的是要有針對(duì)復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案,如:網(wǎng)絡(luò)安全、病毒檢測(cè)、網(wǎng)站過濾等等。其著眼點(diǎn)在于:國(guó)內(nèi)外領(lǐng)先的廠商產(chǎn)品;具備處理突發(fā)事件的能力;能夠?qū)崟r(shí)監(jiān)控并易于管理;提供安全策略配置定制;是用戶能夠很容易地完善自身安全體系。然而,有網(wǎng)絡(luò)的地方就有安全的問題。過去的網(wǎng)絡(luò)大多是封閉式的,因而比較容易確保其安全性,簡(jiǎn)單的安全性設(shè)備就足以承擔(dān)其任務(wù)。然而,當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了變化,確保網(wǎng)絡(luò)的安全性和可用性已經(jīng)成為更加復(fù)雜而且必需的任務(wù)。用戶每一次連接到網(wǎng)絡(luò)上,原有的安全狀況就會(huì)發(fā)生變化。所以,很多企業(yè)頻繁地成為網(wǎng)絡(luò)犯罪的犧牲品。因?yàn)楫?dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性,依靠早期的簡(jiǎn)單安全設(shè)備已經(jīng)對(duì)這些安全問題無能為力了。網(wǎng)絡(luò)攻擊在迅速地增多:網(wǎng)絡(luò)攻擊通常利用網(wǎng)絡(luò)某些內(nèi)在特點(diǎn),進(jìn)行非授權(quán)的訪問、竊取密碼、拒絕服務(wù)等等。考慮到業(yè)務(wù)的損失和生產(chǎn)效率的下降,以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開支等方面,對(duì)網(wǎng)絡(luò)安全的破壞可能是毀滅性的。此外,嚴(yán)重的網(wǎng)絡(luò)安全問題還可能導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任乃至客戶信心的喪失,并進(jìn)而造成的成本損失將是無法估量的。項(xiàng)目概述:1)待改企業(yè)描述本文的企業(yè)為一個(gè)早期玩具制造和銷售企業(yè),希望能具有競(jìng)爭(zhēng)力并提高生產(chǎn)效率,這就必須對(duì)市場(chǎng)需求作出及時(shí)有力的響應(yīng),從而引發(fā)了依賴互聯(lián)網(wǎng)來獲取、共享信息的趨勢(shì),這樣才能進(jìn)一步提高生產(chǎn)效率進(jìn)而推動(dòng)未來增長(zhǎng)。本方案旨在使公司的網(wǎng)絡(luò)更安全,以保證企業(yè)安全和減少安全問題帶來的損失??梢钥焖俚膶?duì)網(wǎng)絡(luò)攻擊做出反應(yīng)。2)功能此方案可讓企業(yè)保證硬件設(shè)備減少安全隱患,公司重要信息不被人獲取,應(yīng)對(duì)突發(fā)的安全情況能力大大加強(qiáng)。3)用戶特點(diǎn)本方案的對(duì)象是企業(yè)的職工、網(wǎng)絡(luò)管理人員、技術(shù)處工作人員、公司領(lǐng)導(dǎo)、信息中心系統(tǒng)管理人員和維護(hù)人員。4)一般約束這是一個(gè)針對(duì)企業(yè)網(wǎng)絡(luò)各方面進(jìn)行調(diào)整的方案,不可避免要受于布線地理位置和系統(tǒng)安裝的兼容性的限制。5)假設(shè)依據(jù)本方案具有較高的可靠性和安全保密性。網(wǎng)絡(luò)性能穩(wěn)定,不出差錯(cuò)。在具體實(shí)施方面,應(yīng)該由企業(yè)網(wǎng)絡(luò)相關(guān)專業(yè)人員進(jìn)行管理,本方案只負(fù)責(zé)具體的實(shí)施方法建議。應(yīng)對(duì)用戶定義不同的使用權(quán)限,技術(shù)處負(fù)責(zé)大部分管理。不能由其他人進(jìn)行查看更改。性能需求為了保證系統(tǒng)能夠長(zhǎng)期、安全、穩(wěn)定、可靠、高效的運(yùn)行,企業(yè)網(wǎng)絡(luò)安全方案應(yīng)該滿足以下需求:1)系統(tǒng)處理的全面性和及時(shí)性方案的全面性和處理事件的及時(shí)性是必要的性能。從各個(gè)方面考慮到可能受到的網(wǎng)絡(luò)攻擊,做好全方面的補(bǔ)救和抵御措施。且在發(fā)生突發(fā)情況下能及時(shí)的補(bǔ)救,保證企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。2)系統(tǒng)方案的可擴(kuò)充性在方案的設(shè)計(jì)過程中,應(yīng)該充分考慮系統(tǒng)的可擴(kuò)充性,為以后企業(yè)的發(fā)展,網(wǎng)絡(luò)設(shè)備的擴(kuò)充,提供良好條件。3)系統(tǒng)的易用性和易維護(hù)性在完成這套方案之后,只需要技術(shù)人員在硬件上做好管理措施、系統(tǒng)上及時(shí)更新升級(jí),以及做好備份工作。4)方案的標(biāo)準(zhǔn)性方案在設(shè)計(jì)過程中,要涉及很多計(jì)算機(jī)硬件、軟件。所有這些都要符合主流國(guó)際、國(guó)家和行業(yè)標(biāo)準(zhǔn)。列如要用到的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及軟件、技術(shù)都要符合通用的標(biāo)準(zhǔn)。2.2實(shí)際網(wǎng)絡(luò)的特點(diǎn)及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點(diǎn)論述圖2-1公司的原拓?fù)鋱D如圖,上圖為一玩具企業(yè)的大概網(wǎng)絡(luò)拓?fù)鋱D,經(jīng)過分析,公司網(wǎng)絡(luò)主要分為4個(gè)部分,一部分為工廠生產(chǎn)網(wǎng)絡(luò),一部分是負(fù)責(zé)銷售、網(wǎng)站維護(hù)和構(gòu)想玩具工作等的寫字樓辦公網(wǎng)絡(luò),另兩部分為領(lǐng)導(dǎo)決策的主網(wǎng)絡(luò)以及公司的服務(wù)器群。其優(yōu)點(diǎn)是結(jié)構(gòu)簡(jiǎn)單靈活可靠性高,共享性強(qiáng),適合于一點(diǎn)發(fā)送、多點(diǎn)接收的場(chǎng)合,容易擴(kuò)展網(wǎng)絡(luò),使用的電纜少,且安裝容易。缺點(diǎn)是安全行不高,維護(hù)不方便,分支節(jié)點(diǎn)出現(xiàn)故障會(huì)影響整個(gè)網(wǎng)絡(luò)。其網(wǎng)絡(luò)的交換機(jī)路由器已經(jīng)經(jīng)過一部分設(shè)置與設(shè)備NAT技術(shù),使公司內(nèi)部合理通信訪問,工廠辦公地點(diǎn)不能上網(wǎng),員工辦公階段時(shí)間性的上網(wǎng),領(lǐng)導(dǎo)辦公沒有限制。這都有效提高了公司的工作質(zhì)量與安全性,我們?cè)谶@基礎(chǔ)上,再設(shè)置一些安全措施,設(shè)計(jì)出一套完整的安全解決方案。2.3設(shè)計(jì)目標(biāo)根據(jù)實(shí)際情況,全方面的找出并解決企業(yè)存在的各方面安全問題,從網(wǎng)絡(luò)的硬件設(shè)備的安全以及配置、系統(tǒng)防御軟件檢測(cè)防御、流量控制優(yōu)先級(jí)(QOS技術(shù))、以及數(shù)據(jù)的加密傳輸、簽名認(rèn)證和遠(yuǎn)程專用網(wǎng)絡(luò),以及合理應(yīng)用內(nèi)外防火墻,達(dá)到最大限度保證企業(yè)信息的安全,以及網(wǎng)絡(luò)的通信順暢。注:NAT技術(shù)NAT英文全稱是“NetworkAddressTranslation ”,中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”,它是一個(gè)

IETF(Internet

Engineering

TaskForce,Internet

工程任務(wù)組

)標(biāo)準(zhǔn),允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用

IP(InternetProtocol)地址出現(xiàn)在Internet 上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò) IP地址的技術(shù)。簡(jiǎn)單的說,NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址, 而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí),就在網(wǎng)關(guān)(可以理解為出口,打個(gè)比方就像院子的門一樣 )處,將內(nèi)部地 址替換成公用地 址,從而在外部 公網(wǎng)(internet )上正常使用,雖然地址轉(zhuǎn)換技術(shù)設(shè)計(jì)的目的是為了節(jié)省 IP地址,但是客觀上,這種技術(shù)對(duì)網(wǎng)絡(luò)外部隱藏了一個(gè)網(wǎng)絡(luò)內(nèi)部的地址結(jié)構(gòu),加大了內(nèi)網(wǎng)的安全。QOS技術(shù)QoS的英文全稱為"QualityofService" ,中文名為"服務(wù)質(zhì)量"。QoS是網(wǎng)絡(luò)的一種安全機(jī)制,是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。用于衡量使用一個(gè)服務(wù)的滿意程度。 QoS不是創(chuàng)造帶寬,而是管理帶寬,因此它能應(yīng)用得更為廣泛,能滿足更多的應(yīng)用需求。QoS的目標(biāo)是要提供一些可預(yù)測(cè)性的質(zhì)量級(jí)別, 以及控制超過目前 IP網(wǎng)絡(luò)最大服務(wù)能力的服務(wù)關(guān)鍵問題論述3.1研究設(shè)計(jì)中要解決的問題設(shè)備、服務(wù)器、流量控制(1)從拓?fù)鋱D上可知,類似總線型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),存在著明顯的安全問題,如果其中一臺(tái)交換機(jī)設(shè)備出現(xiàn)故障,將嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)行,這是很大的安全隱患。(2)保證物理設(shè)備的安全,也沒有針對(duì)一些突發(fā)情況的保護(hù)措施,以保證網(wǎng)絡(luò)的隨時(shí)通暢,容災(zāi)備份(3)外部訪問企業(yè)內(nèi)部網(wǎng)絡(luò),共享資源,沒有一個(gè)好的安全保護(hù)措施。(4)QOS流量服務(wù)控制,保證網(wǎng)絡(luò)通順(5)服務(wù)器的安全非常重要應(yīng)用系統(tǒng)軟件系統(tǒng)的安全存在問題,沒有好的軟件工具防御外來攻擊,列如垃圾病毒郵件的防御。防火墻因?yàn)楸酒髽I(yè)對(duì)網(wǎng)絡(luò)安全的不重視,還未安裝外部防火墻,不能防御控制外來的攻擊。3.2本課題所作的改善設(shè)計(jì)改善設(shè)計(jì)(1)改善其拓?fù)浣Y(jié)構(gòu),把各設(shè)備協(xié)同工作時(shí)的隱患降到最低。(2),對(duì)物理設(shè)備實(shí)施保護(hù)措施,擁有少量備用和擴(kuò)充的設(shè)備,建立流量控制措施,達(dá)到遇到突發(fā)情況從容面對(duì),加以保證網(wǎng)絡(luò)的正常運(yùn)行。(3)采用現(xiàn)有的最有效安全的虛擬專用網(wǎng)絡(luò)( VPN)技術(shù),達(dá)到外部訪問內(nèi)部資源時(shí)的安全。(4)QOS流量服務(wù)和ACL訪問控制,保證網(wǎng)絡(luò)通順(5)打造服務(wù)器安全系統(tǒng)軟件擁有一些安全的系統(tǒng)和防御、殺毒、篩選檢測(cè)工具,達(dá)到最大限度防御外來攻擊。采用身份人證和數(shù)據(jù)加密,保護(hù)郵件安全,再及時(shí)更新漏洞補(bǔ)丁隨著電子郵件的普及和應(yīng)用,伴隨而來的電子郵件安全方面問題也越來越多的引起人們的關(guān)注。我們已經(jīng)認(rèn)識(shí)到電子郵件用戶所面臨的安全性風(fēng)險(xiǎn)變得日益嚴(yán)重。病毒、蠕蟲、垃圾郵件、網(wǎng)頁仿冒欺詐、間諜軟件和一系列更新、更復(fù)雜的攻擊方法,使得電子郵件通信和電子郵件基礎(chǔ)結(jié)構(gòu)的管理成為了一種更加具有風(fēng)險(xiǎn)的行為。防火墻、入侵檢測(cè)安裝好專業(yè)切功能強(qiáng)勁的防火墻,來有效防御外來黑客病毒等方面的攻擊。在兩個(gè)網(wǎng)絡(luò)之間加強(qiáng)訪問控制的一整套裝置, 是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點(diǎn)上。所有來自 internet (外部網(wǎng))的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻。入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)收集信息,并對(duì)其進(jìn)行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測(cè)的軟件與硬件的組合便是入侵監(jiān)測(cè)系統(tǒng)。與其他安全產(chǎn)品不同的是,入侵檢測(cè)系統(tǒng)需要更多的智能,它必須可以將得到的數(shù)據(jù)進(jìn)行分析,并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大簡(jiǎn)化管理員的工作,保證網(wǎng)絡(luò)安全的運(yùn)行。系統(tǒng)設(shè)計(jì)關(guān)鍵技術(shù)論述4.1.目標(biāo)具體實(shí)現(xiàn)中采用的關(guān)鍵技術(shù)及分析 本文主要用到的 2種拓?fù)浣Y(jié)構(gòu):總線拓?fù)淇偩€拓?fù)浣Y(jié)構(gòu)采用一個(gè)信道作為傳輸媒體,所有站點(diǎn)都通過相應(yīng)的硬件接口直接連到這一公共傳輸媒體上,該公共傳輸媒體即稱為總線??偩€拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn):(1)總線結(jié)構(gòu)所需要的電纜數(shù)量少。(2)總線結(jié)構(gòu)簡(jiǎn)單,又是無源工作,有較高的可靠性。(3)易于擴(kuò)充,增加或減少用戶比較方便。總線拓?fù)涞娜秉c(diǎn):(1)總線的傳輸距離有限,通信范圍受到限制。(2)故障診斷和隔離較困難。(3)分布式協(xié)議不能保證信息的及時(shí)傳送,不具有實(shí)時(shí)功能星形拓?fù)湫切瓮負(fù)涫怯芍醒牍?jié)點(diǎn)和通過點(diǎn)到到通信鏈路接到中央節(jié)點(diǎn)的各個(gè)站點(diǎn)組成。星形拓?fù)浣Y(jié)構(gòu)具有以下優(yōu)點(diǎn):(1)控制簡(jiǎn)單。(2)故障診斷和隔離容易。(3)方便服務(wù)。星形拓?fù)浣Y(jié)構(gòu)的缺點(diǎn):(1)電纜長(zhǎng)度和安裝工作量可觀。(2)中央節(jié)點(diǎn)的負(fù)擔(dān)較重,形成瓶頸。(3)各站點(diǎn)的分布處理能力較低。 容災(zāi)備份技術(shù)首先,要解決網(wǎng)絡(luò)的物理安全,網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯(cuò)誤;設(shè)備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機(jī)多冗余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi),由于網(wǎng)絡(luò)的物理跨度不大,只要制定健全的安全管理制度,做好備份,并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理,這些風(fēng)險(xiǎn)是可以避免的。這個(gè)是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。容災(zāi)備份:容災(zāi)備份是通過特定的容災(zāi)機(jī)制,在各種災(zāi)難損害發(fā)生后,仍然能夠最大限度地保障提供正常應(yīng)用服務(wù)的信息系統(tǒng)。容災(zāi)備份可以分為數(shù)據(jù)備份和應(yīng)用備份。數(shù)據(jù)備份需要保證用戶數(shù)據(jù)的完整性、可靠性和一致性。而對(duì)于提供實(shí)時(shí)服務(wù)的信息系統(tǒng),用戶的服務(wù)請(qǐng)求在災(zāi)難中可能會(huì)中斷,應(yīng)用備份卻能提供不間斷的應(yīng)用服務(wù),讓客戶的服務(wù)請(qǐng)求能夠繼續(xù)運(yùn)行,保證信息系統(tǒng)提供的服務(wù)完整、可靠、一致。一個(gè)完整的容災(zāi)備份系統(tǒng)包括本地?cái)?shù)據(jù)備份、遠(yuǎn)程數(shù)據(jù)復(fù)制和異地備份中心。當(dāng)然并不是所有的企業(yè)都需要這樣一個(gè)系統(tǒng),只有對(duì)不可中斷的關(guān)鍵業(yè)務(wù)才有必要建立容災(zāi)備份中心。技術(shù)一個(gè)完全私有的網(wǎng)絡(luò)可以解決許多安全問題,因?yàn)楹芏鄲阂夤粽吒緹o法進(jìn)入網(wǎng)絡(luò)實(shí)施攻擊。但是,對(duì)于一個(gè)普通的地理覆蓋范圍廣的企業(yè)或公司,要搭建物理上私有的網(wǎng)絡(luò),往往在財(cái)政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。VPN的英文全稱是“Virtual Private Network”,翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義,虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線,但是不用給鋪設(shè)線路的費(fèi)用,也不用購買路由器等硬件設(shè)備。4.2設(shè)計(jì)實(shí)現(xiàn)的策略和途徑描述本方案為局域網(wǎng)網(wǎng)絡(luò)安全解決方案,包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計(jì)、等。本安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)他們局域網(wǎng)全面的安全管理:(1)將安全策略、硬件設(shè)備及軟件等方法結(jié)合起來,構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。(2)定期進(jìn)行漏洞掃描,審計(jì)跟蹤,及時(shí)發(fā)現(xiàn)問題,解決問題。(3)通過入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控,提供快速響應(yīng)故障的手段,同時(shí)具備很好的安全取證措施。(4)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài),最大限度地減少損失。(5)在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件,由中央控制臺(tái)統(tǒng)一控制和管理,實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。4.3 設(shè)計(jì)模型及系統(tǒng)結(jié)構(gòu)(新的拓?fù)鋱D)在原拓?fù)鋱D的基礎(chǔ)上,增加了重要的防火墻,并把工廠辦公子網(wǎng)的連接換到主交換機(jī)上,避免了員工子網(wǎng)交換機(jī)如果出現(xiàn)問題故障,導(dǎo)致重要生產(chǎn)線子網(wǎng)不能工作的問題。即是完全把企業(yè)的拓?fù)涓某芍髁鞯男切瓮負(fù)浣Y(jié)構(gòu)。員工辦公子網(wǎng)中間也可多增加一些交換機(jī),減輕負(fù)擔(dān),對(duì)里面的部門分化也比較容易管理,再加上只要制定健全的安全管理制度,做好備份,并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理,就能達(dá)到在現(xiàn)有設(shè)備基礎(chǔ)上,實(shí)現(xiàn)網(wǎng)絡(luò)安全的目標(biāo)。系統(tǒng)實(shí)現(xiàn)技術(shù)論述概述確?,F(xiàn)有的設(shè)備穩(wěn)定安全的基礎(chǔ)上,對(duì)交換機(jī)路由器等,采用一些安全技術(shù),進(jìn)行內(nèi)部網(wǎng)絡(luò)的設(shè)置。例如對(duì)各種設(shè)備都做了哪些修改,這些修改帶來的優(yōu)勢(shì),以達(dá)到增強(qiáng)網(wǎng)絡(luò)安全的目的。5.1物理設(shè)備安全 容災(zāi)備份從廣義上講,任何提高系統(tǒng)可用性的努力,都可稱之為容災(zāi)(或容災(zāi)備份)。本地容災(zāi)就是主機(jī)集群,當(dāng)某臺(tái)主機(jī)出現(xiàn)故障,不能正常工作時(shí),其他的主機(jī)可以替代該主機(jī),繼續(xù)進(jìn)行正常的工作。當(dāng)一處系統(tǒng)因?yàn)?zāi)難而停止工作時(shí),整個(gè)應(yīng)用系統(tǒng)可以切換到另一處,使得該系統(tǒng)可以繼續(xù)正常工作。在建立容災(zāi)備份系統(tǒng)時(shí)會(huì)涉及到多種技術(shù),如:遠(yuǎn)程鏡像技術(shù)、基于IP的SAN(存儲(chǔ)區(qū)域網(wǎng)絡(luò))的互連技術(shù)、快照技術(shù)等。遠(yuǎn)程鏡像技術(shù)就是遠(yuǎn)程同步復(fù)制技術(shù),指通過遠(yuǎn)程鏡像軟件,將本地?cái)?shù)據(jù)以完全同步的方式復(fù)制到異地。通過鏡像把數(shù)據(jù)備份到遠(yuǎn)程存儲(chǔ)系統(tǒng)中,再用快照技術(shù)把遠(yuǎn)程存儲(chǔ)系統(tǒng)中的信息備份到遠(yuǎn)程的磁帶庫、光盤庫中?;?IP的SAN的遠(yuǎn)程數(shù)據(jù)容災(zāi)備份技術(shù),是將主數(shù)據(jù)中心 SAN中的信息通過現(xiàn)有的TCP/IP網(wǎng)絡(luò),遠(yuǎn)程復(fù)制到備援中心 SAN中。當(dāng)備援中心存儲(chǔ)的數(shù)據(jù)量過大時(shí),可利用快照技術(shù)將其備份到磁帶庫或光盤庫中。 防盜和防毀當(dāng)計(jì)算機(jī)系統(tǒng)或設(shè)備被盜、被毀時(shí),除了設(shè)備本身丟失或毀損帶來的損失外,更多的損失則是失去了有價(jià)值的程序和數(shù)據(jù)。因此,防盜、防毀是計(jì)算機(jī)防護(hù)的一個(gè)重要內(nèi)容。通常采取的防盜、防毀措施主要有:設(shè)置報(bào)警器——在機(jī)房周圍空間放置侵入報(bào)警器,侵入報(bào)警的形式主要有光電、微波、紅外線和超聲波;鎖定裝置——在計(jì)算機(jī)設(shè)備中,特別是在個(gè)人計(jì)算機(jī)中設(shè)置鎖定裝置,以防犯罪盜竊;計(jì)算機(jī)保險(xiǎn)——在計(jì)算機(jī)系統(tǒng)受到侵犯后,可以得到損失的經(jīng)濟(jì)補(bǔ)償,但是無法補(bǔ)償失去的程序和數(shù)據(jù),為此應(yīng)設(shè)置一定的保險(xiǎn)裝置 防止電磁泄漏發(fā)射計(jì)算機(jī)主機(jī)及其附屬電子設(shè)備如視頻顯示終端、打印機(jī)等在工作時(shí)不可避免地會(huì)產(chǎn)生電磁波輻射,這些輻射中攜帶有計(jì)算機(jī)正在進(jìn)行處理的數(shù)據(jù)信息。抑制計(jì)算機(jī)中信息泄漏的技術(shù)途徑有兩種:一是電子隱蔽技術(shù),二是物理抑制技術(shù)。電子隱蔽技術(shù)主要是用干擾、調(diào)頻等技術(shù)來掩飾計(jì)算機(jī)的工作狀態(tài)和保護(hù)信息;物理抑制技術(shù)則是抑制一切有用信息的外泄。物理抑制技術(shù)可分為包容法和抑源法。包容法主要是對(duì)輻射源進(jìn)行屏蔽,以阻止電磁波的外泄傳播。抑源法就是從線路和元器件入手,從根本上阻止計(jì)算機(jī)系統(tǒng)向外輻射電磁波,消除產(chǎn)生較強(qiáng)電磁波的根源。 防電磁干擾電磁干擾是指當(dāng)電子設(shè)備輻射出的能量超過一定程度時(shí),就會(huì)干擾設(shè)備本身以及周圍的其他電子設(shè)備的現(xiàn)象。計(jì)算機(jī)與各種電子設(shè)備和廣播、電視、雷達(dá)等無線設(shè)備及電子儀器等都會(huì)發(fā)出電磁干擾信號(hào),計(jì)算機(jī)要在這樣復(fù)雜的電磁干擾環(huán)境中工作,其可靠性、穩(wěn)定性和安全性將受到嚴(yán)重影響。因此,實(shí)際使用中需要了解和考慮計(jì)算機(jī)的抗電磁干擾問題,即電磁兼容性問題。 媒介安全包括媒介數(shù)據(jù)的安全以及媒介本身的安全。對(duì)于存放重要數(shù)據(jù)的計(jì)算機(jī)設(shè)備,要有定期數(shù)據(jù)備份計(jì)劃,用磁盤、光盤等介質(zhì)及時(shí)備份數(shù)據(jù),妥善存檔保管。也要有數(shù)據(jù)恢復(fù)方案,在系統(tǒng)癱瘓或出現(xiàn)嚴(yán)重故障時(shí),能夠進(jìn)行數(shù)據(jù)恢復(fù)。保密技術(shù)計(jì)算機(jī)系統(tǒng)的保密主要是指存放于磁盤上的文件、數(shù)據(jù)庫等數(shù)據(jù)存儲(chǔ)的保密措施,應(yīng)用于這方面的技術(shù)主要有訪問控制、數(shù)據(jù)加密等??捎眉用芟到y(tǒng)有數(shù)據(jù)加/解密卡、數(shù)據(jù)加密機(jī)、數(shù)據(jù)采編加密系統(tǒng)、抗輻射干擾器、電子印章系統(tǒng)等。5.2VPN技術(shù)為了遠(yuǎn)程訪問的快捷與安全,我們采用了 VPN技術(shù),可按照企業(yè)的情況對(duì)主路由進(jìn)行配置實(shí)現(xiàn)。這是原本企業(yè)沒采用的方式。VPN(VirtualPrivateNetwork ,虛擬專用網(wǎng)絡(luò))是專用網(wǎng)絡(luò)的延伸,包含了類似Internet的共享或公共網(wǎng)絡(luò)連接。通過VPN可以模擬點(diǎn)對(duì)點(diǎn)專用連接的方式通過共享或公共網(wǎng)絡(luò)在兩臺(tái)計(jì)算機(jī)之間發(fā)送數(shù)據(jù)。它具有良好的保密和不受干擾性,使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)連接,因此廣泛地受到網(wǎng)絡(luò)管理員們的關(guān)注。 配置VPN服務(wù)器(需有路由和遠(yuǎn)程訪問功能):開始配置:要想讓W(xué)in2000計(jì)算機(jī)能接受客戶機(jī)的VPN撥入,必須對(duì)VPN服務(wù)器進(jìn)行配置。在左邊窗口中選中"SERVER"(服務(wù)器名),在其上單擊右鍵,選"配置并啟用路由和遠(yuǎn)程訪問"圖5-1如果以前已經(jīng)配置過這臺(tái)服務(wù)器,現(xiàn)在需要重新開始,則在"SERVER"(服務(wù)器名)上單擊右鍵,選"禁用路由和遠(yuǎn)程訪問 ",即可停止此服務(wù),以便重新配置。當(dāng)進(jìn)入配置向?qū)е?,?公共設(shè)置"中,點(diǎn)選中"虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)器",以便讓用戶能通過公共網(wǎng)絡(luò) (比如Internet) 來訪問此服務(wù)器。一般來說,在"遠(yuǎn)程客戶協(xié)議"的對(duì)話框中,至少應(yīng)該已經(jīng)有了TCP/IP協(xié)議,則只需直接點(diǎn)選"是,所有可用的協(xié)議都在列表上",再按"下一步"即可。之后系統(tǒng)會(huì)要求你再選擇一個(gè)此服務(wù)器所使用的Internet連接,在其下的列表中選擇所用的連接方式(比如已建立好的撥號(hào)連接或通過指定的網(wǎng)卡進(jìn)行連接等),再按"下一步"。接著在回答"您想如何對(duì)遠(yuǎn)程客戶機(jī)分配IP地址"的詢問時(shí),除非你已在服務(wù)器端安裝好了DHCP服務(wù)器,否則請(qǐng)?jiān)诖颂庍x"來自一個(gè)指定的IP地址范圍"(推薦)。7. 然后再根據(jù)提示輸入你要分配給客戶端使用的起始 IP地址,"添加"進(jìn)列表中,比如~請(qǐng)注意,此IP地址范圍要同服務(wù)器本身的IP地址處在同一個(gè)網(wǎng)段中,即前面的部分一定要相同!)。最后再選"不,我現(xiàn)在不想設(shè)置此服務(wù)器使用RADIUS"即可完成最后的設(shè)置。此時(shí)屏幕上將自動(dòng)出現(xiàn)一個(gè)正在開戶"路由和遠(yuǎn)程訪問服務(wù)"的小窗口。當(dāng)它消失之后,打開"管理工具"中的"服務(wù)",即可以看到"RoutingandRemoteAccess"(路由和遠(yuǎn)程訪問)項(xiàng)"自動(dòng)"處于"已啟動(dòng)"狀態(tài)了。圖5-2 如何賦予用戶撥入的權(quán)限:想要給一個(gè)用戶賦予撥入到此服務(wù)器的權(quán)限(默認(rèn)是任何用戶均被拒絕撥入到服務(wù)器上),需打開管理工具中的用戶管理器(在"計(jì)算機(jī)管理"項(xiàng)或"ActiveDirectory用戶和計(jì)算機(jī)"中),選中所需要的用戶,在其上單擊右鍵,選"屬性"。在該用戶屬性窗口中選"撥入"項(xiàng),然后點(diǎn)擊"允許訪問"項(xiàng),再按確定"即可完成賦予此用戶撥入權(quán)限的工作。 通過局域網(wǎng)進(jìn)行 VPN連接:進(jìn)入Win98的計(jì)算機(jī),要想連接到VPN服務(wù)器,則需要先安裝"虛擬專用網(wǎng)絡(luò)"服務(wù)。在控制面板的"網(wǎng)絡(luò)"下,進(jìn)入"通訊"即可找到此項(xiàng)并添加上去。安裝完成之后再根據(jù)提示重啟動(dòng)計(jì)算機(jī)。重新啟動(dòng)之后,在控制面板的"網(wǎng)絡(luò)"中就有了"Microsoft虛擬私人網(wǎng)絡(luò)適配器",即說明VPN服務(wù)已安裝成功!還需要建立到VPN服務(wù)器的連接。首先進(jìn)入我的電腦的"撥號(hào)網(wǎng)絡(luò)"中,雙擊"建立新連接",然后在"請(qǐng)鍵入對(duì)方計(jì)算機(jī)的名稱"中輸入連接名,比如"局域網(wǎng)內(nèi)的VPN連接",在"選擇設(shè)備"選中"MicrosoftVPNAdapter"項(xiàng)!再按"下一步"。接著出現(xiàn)"請(qǐng)輸入VPN服務(wù)器的名稱或IP地址",在其下的文字框中輸入Win2K服務(wù)器的名字或IP地址,比如此處為,再根據(jù)提示操作即可建立成功!然后在"撥號(hào)網(wǎng)絡(luò)"中雙擊剛才建立好的"局域網(wǎng)內(nèi)的VPN連接"圖標(biāo),再輸入相應(yīng)的用戶名(需具有撥入服務(wù)器的權(quán)限)和密碼,再按"連接按鈕。如果成功連接到了VPN服務(wù)器,此時(shí)就會(huì)像普通撥號(hào)上網(wǎng)成功一樣,在任務(wù)欄右下角會(huì)出現(xiàn)兩個(gè)小電腦的圖標(biāo),雙擊它即可出現(xiàn)連接狀態(tài)小窗口,在其中可以看到。通過Internet 進(jìn)行VPN連接首先得確保服務(wù)器已經(jīng)連入了Internet,用ipconfg測(cè)出其在Internet 上合法的IP地址。2. 在Win98客戶機(jī)端參照本節(jié)上文相關(guān)內(nèi)容建立一個(gè)新的 VPN連接,在相應(yīng)處輸入服務(wù)器在 Internet 上合法的IP地址,然后將客戶機(jī)端也撥入Internet ,再雙擊所建立的 VPN連接,輸入相應(yīng)用戶名和密碼,再點(diǎn)"連接"按鈕。連接成功之后可以看到,雙方的任務(wù)欄右側(cè)均會(huì)出現(xiàn)兩個(gè)撥號(hào)網(wǎng)絡(luò)成功運(yùn)行的圖標(biāo),其中一個(gè)是到Intenet的連接,另一個(gè)則是VPN的連接了。圖5-3當(dāng)雙方建立好了通過Internet的VPN連接后,即相當(dāng)于又在Internet 上建立好了一個(gè)雙方專用的虛擬通道,而通過此通道,雙方可以在網(wǎng)上鄰居中進(jìn)行互訪,也就是說相當(dāng)于又組成了一個(gè)局域網(wǎng)絡(luò)!這個(gè)網(wǎng)絡(luò)是雙方專用的,而且具有非常好的保密性能。VPN建立成功之后,雙方便可以通過 IP地址或"網(wǎng)上鄰居"來達(dá)到互訪的目的,當(dāng)然也就可以使用對(duì)方所共享出來的資源了!5.3 訪問控制列表與 QOS技術(shù)(1)在路由器上配置控制訪問列表 (ACL),主要的目的是為了應(yīng)用防火墻的功能。ACL是一個(gè)很好的描述數(shù)據(jù)流的方法, 即它定義了區(qū)分?jǐn)?shù)據(jù)流的規(guī)則。這些規(guī)則不但可以應(yīng)用在路由器的防火墻功能中,同時(shí)在路由的具體實(shí)現(xiàn)中,ACL還可以被應(yīng)用在許多需要描述數(shù)據(jù)流的場(chǎng)合,如NAT、QOS、策略路由等。ACL主要的功效就是在企業(yè)中,外部的網(wǎng)絡(luò)只有特定的用戶可以訪問內(nèi)部服務(wù)器,而內(nèi)部網(wǎng)絡(luò)中只有特定的主機(jī)才可以訪問外部的網(wǎng)絡(luò),控制訪問。(2)QOS聯(lián)網(wǎng)服務(wù)質(zhì)量,是在整個(gè)網(wǎng)絡(luò)連接上應(yīng)用的各種通信或程序類型優(yōu)先技術(shù)。QoS技術(shù)的存在是為了獲得更好的聯(lián)網(wǎng)服務(wù)質(zhì)量。 QoS是一組服務(wù)要求,網(wǎng)絡(luò)必須滿足這些要求才能確保適當(dāng)服務(wù)級(jí)別的數(shù)據(jù)傳輸。起到很好避免網(wǎng)絡(luò)堵塞的目的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論