某公司局域網(wǎng)安全維護方案

PAPRIKA公司局域網(wǎng)安全維護方案800企業(yè)信息化，提出如下的局域網(wǎng)解決方案。1．用戶需求分析務部門和經(jīng)理室〔治理部門。物的統(tǒng)一，更好的效勞于生產(chǎn)經(jīng)營，獲得更高的效益。PAPRIKAWebE-mailFTPftp效勞。資料、信息和效勞的共享。信息溝通和郵件效勞。資源下載。可以滿足公司內(nèi)部員工的移動網(wǎng)絡與公司總網(wǎng)通信。網(wǎng)絡搭建及安全維護原則網(wǎng)絡建設的原則的補充和配套資金到位問題。網(wǎng)絡安全維護原則(HOST)與工作站間承受總線結(jié)，以增加多用戶訪問時的牢靠性，保證肯定的傳輸速率。目前在局域網(wǎng)上應用較為廣泛的網(wǎng)絡類型是客戶機／效勞器(c1ient／Sener)較大。網(wǎng)絡安全維護技術(shù)的選擇信息，這就是以太網(wǎng)所固有的安全隱患。事實上，Internet上很多免費的黑客工具都把以太網(wǎng)偵聽作為其最根本的手段。局域網(wǎng)安全當前，保證局域網(wǎng)安全的解決方法有以下幾種：網(wǎng)絡分段從而防止可能的非法偵聽，網(wǎng)絡分段可分為物理分段和規(guī)律分段兩種方式。般的局域網(wǎng)大多承受以交換機為中心、路由器為邊界的網(wǎng)絡格局，應重點挖掘中心交換機的訪問掌握功能和三層交換功能綜合應用物理分段與規(guī)律分段兩種方法，來實現(xiàn)對局域網(wǎng)的安全掌握。例如：普遍使用的 DECMultiSwitch900的入侵檢測功能，其實就是一種基于MAC地址的訪問掌握，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。以交換式集線器代替共享式集線器臺機器之間的數(shù)據(jù)包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其TELNETTELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息)，都將被明文發(fā)送，這就給黑客供給了時機。包(BroadcastPacket)和多播包(MulticastPacket)關(guān)鍵信息，要遠遠少于單播包。VLAN的劃分VLAN(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通信變?yōu)辄c到點通信，防止大局部基于網(wǎng)絡偵聽的入侵。VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MACVLANVLAN雖然稍欠敏捷，但MAC地址的VLAN為移動計算供給了可能性，但同時也潛藏著患病MAC欺詐攻擊的隱患。而基于協(xié)議在集中式網(wǎng)絡環(huán)境下，我們通常將中心的全部主機系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。VLANVLAN內(nèi)，互不侵擾。VLAN內(nèi)部的連接承受交換實現(xiàn)，而VLAN與VLAN之間的連接則承受路由實現(xiàn)。目前，大多數(shù)的交換機(DECMultiSwitch900)都支持EIGRPDECnetIS-IS)，也可以用外接的多以太VLAN之間的路由功能。固然，這種狀況下，路由轉(zhuǎn)發(fā)的效率會有所下降。VLAN交換機，都是以交換技術(shù)為核心，它們在這種交換機允許系統(tǒng)治理員將全部或某些交換端口的數(shù)據(jù)包映射到指定的端口設計中，就選用了Cisco公司的具備SPAN功能的Catalyst系列交換機，既得到Sniffer廣域網(wǎng)安全截取和破譯。因此，必需實行手段，使得在廣域網(wǎng)上發(fā)送和接收信息時能夠保證：①除了發(fā)送方和接收方外，其他人是無法知悉的(隱私性)；②傳輸過程中不被篡改(真實性)；③發(fā)送方能確知接收方不是假冒的(非偽裝性)；④發(fā)送方不能否認自己的發(fā)送行為(不行抵賴性)。為了到達以上安全目的，廣域網(wǎng)通常承受以下安全解決方法：加密技術(shù)加密型網(wǎng)絡安全技術(shù)的根本思想是不依靠于網(wǎng)絡中數(shù)據(jù)通道的安全性來實加密技術(shù)可以分為三類，即對稱型加密、不對稱型加密和不行逆加密。其中不行逆加密算法不存在密鑰保管和分發(fā)問題，適用于分布式網(wǎng)絡系統(tǒng)，RSA公司的MD5和美國國CiscoEnableSecretEnablePassword。其中，EnableSecretMD5不行逆加密算法，因而目前尚未覺察破解方法(除非使用字典攻擊法)。而EnablePassword則承受了格外脆弱的加密算法(即簡潔地將口令與一個常數(shù)進展XOR與或運算)，EnablePassword。VPN技術(shù)VPN(虛擬專網(wǎng))技術(shù)的核心是承受隧道技術(shù)，將企業(yè)專網(wǎng)的數(shù)據(jù)加密封裝后，VPNInternet、ATM可能。因此，VPN技術(shù)一經(jīng)推出，便紅遍全球。L2TP、IPSec等，都還未形成通用標準。這就使得不同的VPN效勞供給商之間、VPN設備之間的互VPNVPNVPN設備。身份認證技術(shù)對于從外部撥號訪問總部內(nèi)部網(wǎng)的用戶，由于使用公共網(wǎng)進展數(shù)據(jù)傳輸?shù)哪谴瓮獠烤W(wǎng)設計中，就選用了Cisco公司的CiscoSecureACSV2.3軟件進展RADIUS身份認證。外部網(wǎng)安全Internet的互聯(lián)及與外部企業(yè)用戶的互聯(lián)TCP/IPInternet協(xié)議族。Internet技術(shù)的迅猛進展。但是，由于在早期網(wǎng)絡協(xié)議設計上對安全問題的無視，以及Internet客大事頻頻發(fā)生。整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡傳播病毒、線路竊聽等。外部網(wǎng)安全解決方法主要依靠防火墻技術(shù)、入侵檢測技術(shù)和網(wǎng)絡防病毒技網(wǎng)絡防病毒)相結(jié)合的方法。NAI公司最版本的三宿主自適應動態(tài)防火墻GauntletActiveFirewall。該防火墻產(chǎn)品集成了GauntletFirewall、CyberCopScanner、CyberCopMonitor、WebShieldforFirewall等套件，將防火墻技術(shù)、入侵檢測技術(shù)與網(wǎng)絡防病毒技術(shù)融為一體，嚴密結(jié)合，相得益彰，性價比比較高。3．網(wǎng)絡總體構(gòu)造對于已經(jīng)上了肯定規(guī)模，在內(nèi)部已經(jīng)有了幾個部門的企業(yè)，假設全部部門的內(nèi)部數(shù)據(jù)局限在子網(wǎng)內(nèi)傳播，然后將各個子網(wǎng)連接在一起形成局域網(wǎng)。在這個方案中，使用了ISDN／Modem，通過撥號連接到互聯(lián)網(wǎng)中。路由器和器上，作為網(wǎng)關(guān)，運行防火墻軟件等，進展網(wǎng)絡治理和安全防范。PcModem，以在經(jīng)費允許的狀況下，最好使用路由器作為連接廣域網(wǎng)的接口。集線器連接。對于比較重要、日常數(shù)據(jù)比較敏感的部門，例如財務部門，可以考慮使用部門效勞器，存放重要數(shù)據(jù)，并運行防火墻程序，屏蔽非法的訪問，而一般承受交換機替代集線器作為部門的網(wǎng)絡節(jié)點。ISPInternet路由器〔ROUTER〕Internet路由器〔ROUTER〕防火墻〔firewall〕Server〔FTP〕Server〔〕總交換機子網(wǎng)交換機子網(wǎng)交換機子網(wǎng)交換機子網(wǎng)交換機子網(wǎng)交換機繪圖儀打印機打印機CCCCCCCCCC160臺160臺160臺160臺160臺構(gòu)造圖如下5.網(wǎng)絡設備及網(wǎng)絡安全設備選型和數(shù)量網(wǎng)絡連接介質(zhì)的選擇(HUB)間選用無屏蔽雙絞線，每段雙絞線的長度不得超過100m5On網(wǎng)絡適配器〔網(wǎng)卡〕的選擇200THUB的選擇下肯定空間。交換機和路由器的選擇IEEE802.1sIEEE802.1wIEEE802.1xIEEE802.3adIEEE802.3x10BASE-T100BASE-TX10Base-T/100Base-TX。-3COM高彈性和高智能網(wǎng)絡需求而推出的一代以太網(wǎng)交換機產(chǎn)品。系統(tǒng)承受華為支持高達96G的堆疊帶寬和高密度千兆端口，支持萬兆上行。特別適合作為需要高帶寬、高性能和高擴展性的中小企業(yè)網(wǎng)核心、大型企業(yè)網(wǎng)絡和園區(qū)網(wǎng)的會聚層以及數(shù)據(jù)中心的效勞器接入設備。 承受交、直流雙輸入電源模塊供電，并可通過更換電源模塊供給千兆PoE功能。后面板供給兩個固定的堆疊接口和一個擴展模塊插槽擴展模塊可選配8端口千兆SFP模塊、1端口萬兆模塊或2端口萬兆模塊。前面板供給24/48個連接器〕及4個SFPCombo接口。連接。1所示Cisco2801Cisco2801DRAM缺省:最大:128MB384MB小型閃存缺省:最大:64MB128MBUSB1.1端口1功耗—溝通，無支持IP150W(511BTU/hr)功耗—溝通，帶IP150W(511BTU/hr)接口卡插槽4接口卡插槽42HWIC，WIC，VICVWIC1WIC，VIC，VWIC1VICVWIC支持—僅限系統(tǒng)功耗—溝通，帶IP180W(612BTU/hr)支持Windows現(xiàn)有學問的價值，選用Windows2023Server6下面通過從光盤啟動計算機安裝一個全的Windows2023Server。啟動安框，用于設置系統(tǒng)相關(guān)的重要信息。1：為Windows2023Server選擇或創(chuàng)立一個分區(qū)用于安裝Windows2023Server的磁盤分區(qū)，用戶可以在磁盤中未分區(qū)的可用區(qū)然后創(chuàng)立一個的分區(qū)。由于安裝Windows2023Server的文件需要至少1GB大小應大于最小需求，分區(qū)的大小為2-4GB就可以了。之后，選擇文件系統(tǒng)。假設用戶是升級，則可以使用當前的文件系統(tǒng)；然而，也可以更改為NTFS，它Windows2023文件系統(tǒng)。2：選擇區(qū)域設置功能設置。還可將Windows2023設置為使用多種語言和地區(qū)選項。3：設置個人化軟件〔可選。步驟4：選擇許可協(xié)議方式在“授權(quán)模式”對話框，選擇客戶端的授權(quán)模式，可以是“每客戶“或“每效勞器“方式。對于的安裝，系統(tǒng)要求用戶選擇客戶端的授權(quán)模式，假設是升級安裝，客戶許可協(xié)議方式將依據(jù)已有設置自動設定。假設用戶無法確定授權(quán)方5：輸入計算機名稱15個字符。對于需要更多存儲空間的語言，例如中文、日文或韓文，建議不超過7個字符。建議在計算機名中只使用Internet標準的字這些標準字符包括數(shù)字0到9、A到Z的大寫字母和小寫字母以及連字符 (-)。假設網(wǎng)絡上使用了MicrosoftDNS效勞，那么還可以使用范圍更廣的字符，包括Unicode字符和其他非標準字符，例如&符等。使用非標準字符可能會影響與網(wǎng)絡上的非Microsoft軟件的互操作性。計算機名的最大長度為63字節(jié)。假設名稱超過15個字節(jié)〔大多數(shù)語言是15個字符，有些語言是7個字符，安裝Windows2023以前的計算機只靠該15個字節(jié)的名稱，需要額外的配置步驟。操作系統(tǒng)使用的計算機名必需各不一樣。6：設置治理員帳戶密碼在“治理員密碼“對話框中，鍵入最多不超過127個英文字符的密碼。為了7〔非強制性小寫字母和數(shù)字以及其他字符〔例如*、?或$〕的混合形式。在“確認密碼“對話框，再次鍵入密碼。由于治理員帳戶在Windows2023中的特別性，出于對系統(tǒng)安全性的考慮，AdministratorAdministrator帳戶。出于安全考慮，建議為Administrator帳戶指的密碼。在安裝完成之后，為了獲得最好的安全性，要更改Administrator帳戶名〔但不能刪除它〕并始終為該帳戶設置一個安全性高的密碼。7：選擇Windows2023組件在“Windows2023組件“對話框，選擇系統(tǒng)運行所需組件。對于TCP/IP網(wǎng)DHCP、DNSWINS。要選取這些組件，可在安裝過然后選擇所需的一個或多個組件。假設在完成安裝后，確定還需要其他組件，可以在以后添加這些必要的組“添加/Windows組件“。8：設置日期和時間動調(diào)整夏時制，請選中“依據(jù)夏時制自動調(diào)整時鐘“復選框9：指定工作組名或域名作組名或域名。在安裝向?qū)瓿蒞indows2023Server的安裝后，計算機重啟動。至此用戶已經(jīng)完成了Windows2023Server的根本安裝。下面進一步配置Windows2023Server。面介紹以下“配置效勞器“所供給的配置選項的具體信息。限，還可以幫助維護系統(tǒng)的安全性、跟蹤用戶信息。文件系統(tǒng)：設置和治理共享文件夾及其他共享網(wǎng)絡資源。打印效勞器：設置和治理打印機、打印機隊列以及其他與打印相關(guān)的元素。Web/MediaInternet或企業(yè)內(nèi)部網(wǎng)中的Web站點、多Windows2023Server內(nèi)安裝相應的組件。DNSDHCP支持，也包括終端效勞。Kit終端效勞器、證書授權(quán)及在“根本安裝“過程中未安裝的組件。網(wǎng)絡防火墻的安裝企業(yè)網(wǎng)絡安全問題日益突顯，因此防火墻的選擇格外重要。設置過程：翻開網(wǎng)絡連接文件夾或找到網(wǎng)絡連接的圖標.“connectiontotheInternetyouwanttoshare〔共享Internet〕“然后再右鍵點擊“Properties〔屬性〕“選擇“Advanced〔高級〕“任務條。選擇“ProtectmycomputerandnetworkbylimitingorpreventingaccesstothiscomputerfromtheInternet〔利用這個計算機限制從Internet進入的問并保護我的計算機和網(wǎng)絡〕在其下面有一個Internet連接防火墻的檢查框，鼠標點擊選定。點擊OK.完畢操作E—mail其他設置防火墻的設置：步驟：第一步：添加設備： 兩個路由器，兩個交換機，四臺PC機其次步：如上圖建立連接第三步：分別為設備設置IP地址，網(wǎng)關(guān)，子網(wǎng)掩碼PCA設置如下：Root 登錄用戶名Linux 登錄口令I(lǐng)fconfigeth0netmask 設置IP地址和子網(wǎng)掩碼Routeadddefaultgw0 設置網(wǎng)關(guān)PCB設置如下：Root 登錄用戶名Linux 登錄口令I(lǐng)fconfigeth0netmask 設置IP地址和子網(wǎng)掩碼Routeadddefaultgw0 設置網(wǎng)關(guān)PCC設置如下：Root 登錄用戶名Linux 登錄口令I(lǐng)fconfigeth0netmask 設置IP地址和子網(wǎng)掩碼Routeadddefaultgw0 設置網(wǎng)關(guān)RouterA設置如下：router>enable ；進入特權(quán)模式router#configterminal ；進入全局配置模式router(config)#intf0/0 ；進入f0/0接口router(config-if)#ipaddress0 ；設置IP地址和子網(wǎng)掩碼router(config-if)#noshutdown ；起動接口router#exit ；返回命令router(config)#ints0/0 ；進入s0/0接口router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#clockrate64000router#exitRouterB設置如下：router>enablerouter#configterminalrouter(config)#intf0/0router(config-if)#ipaddress0router(config-if)#noshutdownrouter#exitrouter(config)#ints0/0router(config-if)#ipaddressrouter(config-if)#noshutdownrouter(config-if)#clockrate64000router#exit第四步：為路有器設置路由表RouterA設置路由表router(config)#iproutingrouter(config)#routerriprouter(config-router)#networkrouter(config-router)#networkRouterB設置路由表router(config)#iproutingrouter(config)#routerriprouter(config-router)#networkrouter(config-router)#network

；設置IP地址和子網(wǎng)掩碼；起動接口；設置時鐘；返回命令；進入特權(quán)模式；進入全局配置模式；進入f0/0接口；設置IP地址和子網(wǎng)掩碼；起動接口；返回命令；進入s0/0接口；設置IP地址和子網(wǎng)掩碼；起動接口；設置時鐘；返回命令；啟動路由；啟動RIP路由協(xié)議。；啟動路由；啟動RIP路由協(xié)議。此時可用Ping命令測試PCA,PCB與PCC是通的第五步：為路有器設置訪問掌握列表，即防火墻的軟件設置router(config)#access-list1deny 制止PCArouter(config)#access-list1permitanyrouter(config)#interfacef0/0 ；default:denyanyrouter(config-if)#ipaccess-group1in ；default:out此時可用Ping命令測試PCA與PCC是不通的，PCB與PCC是通的FTPFTP是一種客戶/效勞器構(gòu)造，因此，它既需要運行于用戶計算機上的客戶機軟件，又需要運行于宿主〔效勞器〕計算機上的效勞器軟件。用戶啟動FTPFTPFTP2FTPCerberusFTPServersFTP6綜合布線根本概念綜合布線是對傳統(tǒng)布線方式的徹底變革，經(jīng)過統(tǒng)一的規(guī)劃設計，它將全部話音、數(shù)據(jù)、視頻信號與掌握設備的配線等綜合在一套標準的配線系統(tǒng)中息的傳輸，支持多種傳輸介質(zhì)，支持多用戶多類型產(chǎn)品的應用。此外，通信設備替換、移動和擴大極為簡潔、便利。EIA/TIA568系統(tǒng)的安裝比建筑落成后實施要大大節(jié)約人力物力財力。這個標準確定了各種EIA/TIA-568A辦公環(huán)