網(wǎng)絡(luò)安全防護(hù)工作總結(jié)_第1頁(yè)
網(wǎng)絡(luò)安全防護(hù)工作總結(jié)_第2頁(yè)
網(wǎng)絡(luò)安全防護(hù)工作總結(jié)_第3頁(yè)
網(wǎng)絡(luò)安全防護(hù)工作總結(jié)_第4頁(yè)
網(wǎng)絡(luò)安全防護(hù)工作總結(jié)_第5頁(yè)
已閱讀5頁(yè),還剩14頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、網(wǎng)絡(luò)安全防護(hù)工作總結(jié)通信網(wǎng)絡(luò)安全防護(hù)工作總結(jié)為提高網(wǎng)絡(luò)通訊防護(hù)水平,從網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問(wèn)控制、邊界完整性幾個(gè)大方向上采取一系列技術(shù)手段保障通信網(wǎng)絡(luò)安全穩(wěn)定,總結(jié)如下:(1)網(wǎng)絡(luò)冗余和備份使用電信和網(wǎng)通雙城域網(wǎng)冗余線路接入, 目前電信城域網(wǎng)的接入帶寬是20m,聯(lián)通城域網(wǎng)的接入帶寬是20m.可根據(jù)日后用戶的不斷增多和務(wù)業(yè)的發(fā)展需求再向相關(guān)網(wǎng)絡(luò)服務(wù)提供商定購(gòu)更大的線路帶寬。2)路由器安全控制業(yè)務(wù)服務(wù)器及路由器之間配置靜態(tài)路由,并進(jìn)行訪問(wèn)控制列表控制數(shù)據(jù)流向。qos保證方向使用金 (dscp32), 銀(dscp8), 銅(dscp0) 的等級(jí)標(biāo)識(shí)路由器的 qos 方式來(lái)分配線路帶寬的優(yōu)先級(jí) ,

2、保證在網(wǎng)絡(luò)流量出現(xiàn)擁堵時(shí)優(yōu)先為重要的數(shù)據(jù)流和服務(wù)類型預(yù)留帶寬并優(yōu)先傳送。(3)防火墻安全控制主機(jī)房現(xiàn)有配備有主備juniper防火墻和深信服waf防火墻,juniper防火墻具備ips、殺毒等功能模塊,深信服waf防火墻主要用于網(wǎng)頁(yè)攻擊防護(hù),可防止sql注入、跨站攻擊、黑客掛馬等攻擊。防火墻使用untrust,trunst和 dmz區(qū)域來(lái)劃分網(wǎng)絡(luò), 使用策略來(lái)控制各個(gè)區(qū)域之間的安全訪問(wèn)。(4)ip 子網(wǎng)劃分 / 地址轉(zhuǎn)換和綁定已為辦公區(qū)域 , 服務(wù)器以及各個(gè)路由器之間劃分 ip 子網(wǎng)段 , 保證各個(gè)子網(wǎng)的 ip 可用性和整個(gè)網(wǎng)絡(luò)的 ip 地址非重復(fù)性。使用nat,pat,vip,mip 對(duì)內(nèi)外

3、網(wǎng) ip 地址的映射轉(zhuǎn)換 , 在路由器和防火墻上使用 ip 地址與 mac地址綁定的方式來(lái)防止發(fā)生地址欺騙行為。服務(wù)器及各個(gè)路由器之間劃分ip 子網(wǎng)劃分 :/16(5)網(wǎng)絡(luò)域安全隔離和限制生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)隔離,連接生產(chǎn)必須通過(guò)連接vpn 才能連接到生產(chǎn)網(wǎng)絡(luò)。在網(wǎng)絡(luò)邊界部署堡壘機(jī), 通過(guò)堡壘機(jī)認(rèn)證后才可以對(duì)路由器進(jìn)行安全訪問(wèn)操作, 在操作過(guò)程中堡壘機(jī)會(huì)將所有操作過(guò)程視頻錄像, 方便安全審計(jì)以及系統(tǒng)變更后可能出現(xiàn)的問(wèn)題,迅速查找定位。另外路由器配置訪問(wèn)控制列表只允許堡壘機(jī)和備機(jī) ip 地址對(duì)其登陸操作, 在路由器中配置3a認(rèn)證服務(wù) , 通過(guò)tacas服務(wù)器作為認(rèn)證 , 授權(quán)。(6)網(wǎng)絡(luò)安全審記網(wǎng)

4、絡(luò)設(shè)備配置日志服務(wù) , 把設(shè)備相關(guān)的日志消息統(tǒng)一發(fā)送到日志服務(wù)器上作記錄及統(tǒng)計(jì)操作 . 日志服務(wù)器設(shè)置只允許網(wǎng)管主機(jī)的訪問(wèn) , 保證設(shè)備日志消息的安全性和完整性。logging buffered 102400logging trap debugginglogging source-interface loopback0logging xx.xx.xx.xx(日志服務(wù)器 ip)(7)內(nèi)外網(wǎng)非法連接阻斷和定位交換機(jī)劃分vlan 方式隔離開(kāi)內(nèi)外網(wǎng)區(qū)域關(guān)閉空閑沒(méi)有使用的網(wǎng)絡(luò)設(shè)備端口, 防止非授權(quán)設(shè)備的私自接入網(wǎng)絡(luò). 如發(fā)現(xiàn)非授權(quán)設(shè)備接入網(wǎng)絡(luò), 可在日志服務(wù)器匹配端口關(guān)鍵字對(duì)其跟蹤記錄。內(nèi)部網(wǎng)絡(luò)用戶則采

5、用mac地址綁定進(jìn)行有效阻斷。已為辦公網(wǎng)絡(luò)劃分子網(wǎng)并做地址綁定,部署有深信服上網(wǎng)行為管理設(shè)備,防止非受權(quán)設(shè)備私自接入網(wǎng)絡(luò)(8)網(wǎng)絡(luò) arp欺騙攻擊主機(jī)與服務(wù)器安裝防火墻軟件, 將網(wǎng)關(guān) ip 與 mac之間作 arp綁定 , 防止因 arp欺騙攻擊導(dǎo)致設(shè)備無(wú)法連接網(wǎng)絡(luò)在上安裝殺毒軟件,使用上網(wǎng)行為管理防止非法連接外網(wǎng),arp00 aaaa.bbbb.cccc9)dos/ddos攻擊已在防火墻部著dos/ddos攻擊防范措施,具體有icmp,udp,syn洪水攻擊保護(hù) ,syn-ack-ack代理保護(hù),會(huì)話數(shù)據(jù)流源地址和目標(biāo)地址條目限制等。另外我們建立網(wǎng)絡(luò)流量監(jiān)控系流,可以即時(shí)反映流網(wǎng)實(shí)時(shí)流量,并與電信與聯(lián)通網(wǎng)絡(luò)服務(wù)提供商建立良好的溝通渠道, 發(fā)現(xiàn)線路流量異常即時(shí)聯(lián)系相關(guān)網(wǎng)管部請(qǐng)求協(xié)助檢查 如防火墻無(wú)法解決的需人工干預(yù)查出受攻擊的主機(jī)地址后配置訪問(wèn)列表過(guò)濾掉非法的異常流量。(10)網(wǎng)絡(luò)設(shè)備最小化配置所有網(wǎng)絡(luò)設(shè)備(包括但不限于防火墻、路由器、交換機(jī))一律要求最小化配置, 關(guān)閉無(wú)用的協(xié)議

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論