企業(yè)網(wǎng)絡(luò)安全解決方案

\*ROMAN\*ROMANII企業(yè)網(wǎng)絡(luò)安全解決方案摘 要目標的第一代InternetInternetInternet〔宏錦企業(yè)vpn、病毒防護等技術(shù)，來實現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)，安全，VPN，防火墻，防病毒目 錄\l“_TOC_250020“緒論 1\l“_TOC_250019“第一章企業(yè)網(wǎng)絡(luò)安全概述 2\l“_TOC_250018“企業(yè)網(wǎng)絡(luò)的主要安全隱患 2\l“_TOC_250017“企業(yè)網(wǎng)絡(luò)的安全誤區(qū) 2\l“_TOC_250016“其次章企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析 4\l“_TOC_250015“公司背景 4\l“_TOC_250014“企業(yè)網(wǎng)絡(luò)安全需求 4\l“_TOC_250013“需求分析 4\l“_TOC_250012“企業(yè)網(wǎng)絡(luò)構(gòu)造 5\l“_TOC_250011“第三章企業(yè)網(wǎng)絡(luò)安全解決實施 6\l“_TOC_250010“宏錦網(wǎng)絡(luò)企業(yè)物理安全 6\l“_TOC_250009“宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分 7\l“_TOC_250008“3.4宏錦企業(yè)網(wǎng)絡(luò)防火墻配置 9\l“_TOC_250007“宏錦企業(yè)網(wǎng)絡(luò)VPN配置 12\l“_TOC_250006“宏錦企業(yè)網(wǎng)絡(luò)防病毒措施 13\l“_TOC_250005“第四章宏錦企業(yè)的網(wǎng)絡(luò)治理 16\l“_TOC_250004“宏錦企業(yè)網(wǎng)絡(luò)治理的問題 16\l“_TOC_250003“宏錦企業(yè)網(wǎng)絡(luò)治理實施 16\l“_TOC_250002“總結(jié) 18\l“_TOC_250001“致謝 19\l“_TOC_250000“參考文獻 2010緒 論IT貫穿安全防范活動的始終。的損壞。的途徑可以是多方面的，而很多安全措施都是相輔相成的。第一章企業(yè)網(wǎng)絡(luò)安全概述企業(yè)網(wǎng)絡(luò)的主要安全隱患主要來源主要包括。病毒、木馬和惡意軟件的入侵。網(wǎng)絡(luò)黑客的攻擊。重要文件或郵件的非法竊取、訪問與操作。關(guān)鍵部門的非法訪問和敏感信息外泄。外網(wǎng)的非法入侵。備份數(shù)據(jù)和存儲媒體的損壞、喪失。針對這些安全隱患，所實行的安全策略可以通過安裝專業(yè)的網(wǎng)絡(luò)版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡(luò)的安全治理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，準時安裝系統(tǒng)安全補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡(luò)掃描檢測、網(wǎng)絡(luò)強內(nèi)部網(wǎng)絡(luò)的安全治理，嚴格實行“最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進展加密保護，對數(shù)據(jù)還可以進展數(shù)字簽名措施；依據(jù)企業(yè)實際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認真執(zhí)行。企業(yè)網(wǎng)絡(luò)的安全誤區(qū)(一)安裝防火墻就安全了防火墻主要工作都是把握存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包工作在網(wǎng)絡(luò)層。企業(yè)網(wǎng)絡(luò)安全大事絕大局部還是源于企業(yè)內(nèi)部。(二)安裝了最的殺毒軟件就不怕病毒了的消滅。(三)在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效毒。同時對于整個網(wǎng)絡(luò)，治理格外便利，對于單機版是不行能做到的。(四)只要不上網(wǎng)就不會中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ談天接發(fā)郵件同樣是病毒傳播的主要途(五)文件設(shè)置只讀就可以避開感染病毒讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。(六)網(wǎng)絡(luò)安全主要來自外部碼、臨時帳戶、過期帳戶和權(quán)限等方面的治理格外必要了。其次章 企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀分析公司背景宏錦網(wǎng)絡(luò)是一家有100名員工的中小型網(wǎng)絡(luò)公司主要以手機應(yīng)用開發(fā)為主營工程的軟件企業(yè)。公司有一個局域網(wǎng)，約 100臺計算機，效勞器的操作系統(tǒng)是WindowsServer2023,客戶機的操作系統(tǒng)是WindowsXP，在工作組的模式下一人一機司對網(wǎng)絡(luò)的依靠性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。隨著公司的進呈現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。企業(yè)網(wǎng)絡(luò)安全需求宏錦網(wǎng)絡(luò)依據(jù)業(yè)務(wù)進展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、MailInteneterDDoS、ARP業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：依據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃保護網(wǎng)絡(luò)系統(tǒng)的可用性保護網(wǎng)絡(luò)系統(tǒng)效勞的連續(xù)性防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問防范入侵者的惡意攻擊與破壞保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性防范病毒的侵害實現(xiàn)網(wǎng)絡(luò)的安全治理。需求分析治理。因此需要構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全劃分VLAN把握內(nèi)網(wǎng)安全安裝防火墻體系虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全安裝防病毒效勞器加強企業(yè)對網(wǎng)絡(luò)資源的治理企業(yè)網(wǎng)絡(luò)構(gòu)造宏錦網(wǎng)絡(luò)公司網(wǎng)絡(luò)拓撲圖，如圖2-1所示:2-1企業(yè)網(wǎng)絡(luò)構(gòu)造IP58.192.65.62255.255.255.0，直接經(jīng)DMZNAT10.1.1.1255.255.255.0。DMZ內(nèi)主要有各類的效勞器，地址安排為10.1.2.0255.255.255.0。防火墻DMZ32層交換機做接入。第三章企業(yè)網(wǎng)絡(luò)安全解決實施宏錦網(wǎng)絡(luò)企業(yè)物理安全人為操作失誤或各種計算機犯罪行為導(dǎo)致的破壞。它主要包括以下幾個方面：保證機房環(huán)境安全信息系統(tǒng)中的計算機硬件、網(wǎng)絡(luò)設(shè)施以及運行環(huán)境是信息系統(tǒng)運行的最根本的環(huán)境。要從一下三個方面考慮：a.b.電磁輻射、乘機而c.操作失誤、意外疏漏等選用適宜的傳輸介質(zhì)〔最好多處接地〕，對于干擾嚴峻的區(qū)域應(yīng)使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增加抗干擾力氣。點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻擋竊聽。保證供電安全牢靠設(shè)備的設(shè)計壽命保證信息安全保證機房人員的工作環(huán)境。宏錦企業(yè)網(wǎng)絡(luò)VLAN劃分VLANVLAN：財務(wù)部門VLAN10 業(yè)務(wù)部門VLAN20 核心交換機VLAN間路由核心交換機S3〔神州數(shù)碼DCRS-5526〕S1配置如下:switch>switch>enaswitch#conswitch(Config)#vlan10switch(Config-Vlan10)#swinte0/0/1-20switch(Config-Vlan10)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan10switch(dhcp-vlan10-config)#network-address192.168.10.0255.255.255.0switch(dhcp-vlan10-config)#lease3switch(dhcp-vlan10-config)#default-router192.168.1.1switch(dhcp-vlan10-config)#dns-server61.177.7.1switch(dhcp-vlan10-config)#exitswitch(config)ipdhcpexcluded-address192.168.10.1S2配置如下:Switch>Switch>enaSwitch#conswitch(Config)#vlan20switch(Config-Vlan20)#swinte0/0/1-20switch(Config-Vlan20)#exitswitch(Config)#exitswitch#conswitch(Config)#inte0/0/24switch(Config-Ethernet0/0/24)#swmtSettheportEthernet0/0/24modeTRUNKsuccessfullyswitch(Config-Ethernet0/0/24)#swtavasettheportEthernet0/0/24allowedvlansuccessfullyswitch(Config-Ethernet0/0/24)#exitswitch(Config)#ipdhcppoolvlan20switch(dhcp-vlan20-config)#network-address192.168.20.0255.255.255.0switch(dhcp-vlan20-config)#lease3switch(dhcp-vlan20-config)#default-router192.168.1.1switch(dhcp-vlan20-config)#dns-server61.177.7.1switch(dhcp-vlan20-config)#exitswitch(config)ipdhcpexcluded-address192.168.20.1switch(config)ipdhcpexcluded-address192.168.20.150-192.168.20.240S0配置如下:switch>switch>enableswitch#configswitch(Config)#hostnameS0S0(Config)#vlan10S0(Config-Vlan10)#vlan20S0(Config-Vlan20)#exitS0(Config)#inte0/0/1-2S0(Config-Port-Range)#swmtS0(Config-Port-Range)#swtavaS0(Config-Port-Range)#exitS0(Config)#intvlan10S0(Config-If-Vlan10)#ipaddress192.168.10.1255.255.255.0S0(Config-If-Vlan10)#noshutdownS0(Config-If-Vlan10)#exitS0(Config)#intvlan2000:04:23:%LINK-5-CHANGED:InterfaceVlan20,changedstatetoUP%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan20,changedstatetoUPS0(Config-If-Vlan20)#ipaddress192.168.20.1255.255.255.0S0(Config-If-Vlan20)#noshutdownS0(Config-If-Vlan20)#exitS0(Config)#exitS0(Config-If-Vlan1)#ipaddress192.168.1.1255.255.255.0S0(Config-If-Vlan1)#noshutdownS0(Config-If-Vlan1)#exitS0(Config)#exitS0#showiprouteS0#conS0(Config)#iproute58.192.65.0255.255.255.010.1.1.13.4宏錦企業(yè)網(wǎng)絡(luò)防火墻配置宏錦企業(yè)網(wǎng)絡(luò)中使用的是神州數(shù)碼的DCFW-1800SUTM，里面包含了防火墻和VPN等功能。以下為配置過程：。3-1:3-1增企業(yè)防火墻策略示意圖源域：untrust；any；目的域：trust；any；在全局安全策略設(shè)置里面如圖3-2和圖3-3所示:3-2企業(yè)防火墻策略配置示意圖3-3企業(yè)防火墻策略配置示意圖3-4企業(yè)防火墻策略配置示意圖可以設(shè)置全局下面訪問策略，以及域內(nèi)和域間的訪問策略。這里我們設(shè)置，內(nèi)部網(wǎng)絡(luò)為信任區(qū)域trustInteneteruntrust，效勞器區(qū)域為DMZpermitdeny，以及其他的特定的效勞。這里允許內(nèi)部訪問外部和DMZDMZInteneterDMZInteneterNAT在網(wǎng)絡(luò)接口處如圖3-5所示:3-5網(wǎng)絡(luò)接口處配置示意圖33-63-6以太網(wǎng)接口配置示意圖同時為他們配好相應(yīng)的網(wǎng)絡(luò)地址，eth0為58.192.65.62，eth1：10.1.1.1，eth210.1.2.1。宏錦企業(yè)網(wǎng)絡(luò)VPN配置宏錦企業(yè)網(wǎng)絡(luò)的VPN3-7,圖3-8圖3-7 PPTP協(xié)議示意圖圖3-8 PPTP示意圖這里我們使用PPTP協(xié)議來實現(xiàn)VPN，首先是增PPTP地址池，范圍為192.168.20.150-192.168.20.2403-9圖3-9 PPTP協(xié)議實現(xiàn)VPN示意圖在PPTPChapmppe-128DNS61.177.7.1，MTU500。宏錦企業(yè)網(wǎng)絡(luò)防病毒措施KVKV包含假設(shè)干臺主機的單一網(wǎng)段網(wǎng)絡(luò)，也適用于包含各種WEBKV特點：(4)便利的分級、分組治理宏錦企業(yè)網(wǎng)絡(luò)KV網(wǎng)絡(luò)版的主把握中心部署在DMZ效勞器區(qū)，子把握中心部署在3層交換機的一臺效勞器上。網(wǎng)絡(luò)拓撲構(gòu)造如圖3-10所示:3-10主把握中心部署圖子把握中心與主把握中心關(guān)系:KVKVKV網(wǎng)絡(luò)時，必需首先安裝。除了對網(wǎng)絡(luò)中的計算機進展日常的治理與把握外，它還實時地KV11心劃分為主把握中心和子把握中心，子把握中心除了要完成把握中心的功能外，還要子把握中心，這種把握構(gòu)造可以依據(jù)網(wǎng)絡(luò)的需要無限的延長下去。KV企業(yè)客戶端計算機的KVKV略設(shè)置”功能組來實現(xiàn)。在此功能中可以針對單一客戶端、規(guī)律組、全網(wǎng)進展具有針對性的安全策略設(shè)置。在“策略設(shè)置”下拉菜單中，我們可以找到“掃描設(shè)置3-113-11“策略設(shè)置”命令菜單KV3-123-12掃描目標配置第四章宏錦企業(yè)的網(wǎng)絡(luò)治理宏錦企業(yè)網(wǎng)絡(luò)治理的問題計算機軟、硬件數(shù)量無法確實把握，盤點困難；單位的計算機數(shù)量越來越多，無法集中治理；無法有效防止員工私裝軟件，造成非法版權(quán)使用威逼；硬件設(shè)備私下挪用、竊取，造成財產(chǎn)損失；使用者計算機IP隨易變更，造成故障頻傳；軟件單機安裝鋪張人力，應(yīng)用軟件版本不易把握；重要資料遭非法拷貝，資料外泄，無法監(jiān)視；設(shè)備故障或資源缺乏，無法事先得到預(yù)警；居高不下的信息化資源本錢，不知如何改善。宏錦企業(yè)網(wǎng)絡(luò)治理實施SmartIPVIew治理軟件實現(xiàn)宏錦企業(yè)網(wǎng)絡(luò)對公司內(nèi)部的設(shè)備以及IP網(wǎng)絡(luò)資源治理。實施步驟安裝SmartIPVIew治理軟件，運行軟IP4-1.161618