某大型企業(yè)局域網(wǎng)安全解決方案(共3頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上 某大型企業(yè)局域網(wǎng)安全解決方案總則本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計(jì)、等。本安全解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)他們局域網(wǎng)全面的安全管理。 1、將安全策略、硬件及軟件等方法結(jié)合起來(lái)，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶(hù)進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 2、定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。 3、通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供快速響應(yīng)故障的手段，同時(shí)具備很好的安全取證措施。 4、使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重

2、新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。 5、在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。第二章 網(wǎng)絡(luò)系統(tǒng)概況 2、1 網(wǎng)絡(luò)概況這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門(mén)提供了一個(gè)快速、方便的信息交流平臺(tái)。不僅如此，通過(guò)專(zhuān)線與Internet的連接，打通了一扇通向外部世界的窗戶(hù)，各個(gè)部門(mén)可以直接與互聯(lián)網(wǎng)用戶(hù)進(jìn)行交流、查詢(xún)資料等。通過(guò)公開(kāi)服務(wù)器，企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶(hù)提供快速、方便、靈活通信平臺(tái)的同時(shí)，也為網(wǎng)絡(luò)的安全帶

3、來(lái)了更大的風(fēng)險(xiǎn)。因此，在原有網(wǎng)絡(luò)上實(shí)施一套完整、可操作的安全解決方案不僅是可行的，而且是必需的。 2、1、1 網(wǎng)絡(luò)概述這個(gè)企業(yè)的局域網(wǎng)，物理跨度不大，通過(guò)千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1000M的獨(dú)享帶寬，通過(guò)下級(jí)交換機(jī)與各部門(mén)的工作站和服務(wù)器連結(jié)，并為之提供100M的獨(dú)享帶寬。利用與中心交換機(jī)連結(jié)的Cisco 路由器，所有用戶(hù)可直接訪問(wèn)Internet。 2、1、2 網(wǎng)絡(luò)結(jié)構(gòu)這個(gè)企業(yè)的局域網(wǎng)按訪問(wèn)區(qū)域可以劃分為三個(gè)主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng)，包括：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等

4、。在安全方案設(shè)計(jì)中，我們基于安全的重要程度和要保護(hù)的對(duì)象，可以在Catalyst 型交換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)（VLAN），即：中心服務(wù)器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)獨(dú)立的廣播域，而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。（圖省略） 2、2 網(wǎng)絡(luò)應(yīng)用這個(gè)企業(yè)的局域網(wǎng)可以為用戶(hù)提供如下主要應(yīng)用： 1、文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)； 2、文件數(shù)據(jù)的統(tǒng)一存儲(chǔ)； 3、針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財(cái)務(wù)系統(tǒng))； 4、提供與Internet

5、的訪問(wèn)； 5、通過(guò)公開(kāi)服務(wù)器對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等； 2、3 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)在分析這個(gè)企業(yè)局域網(wǎng)的安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn)： 1、網(wǎng)絡(luò)與Internet直接連結(jié)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連結(jié)的有關(guān)風(fēng)險(xiǎn)，包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒，黑客攻擊，來(lái)自Internet的非授權(quán)訪問(wèn)等。 2、網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器，由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)放部分業(yè)務(wù)，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。 3、內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全

6、級(jí)別的網(wǎng)絡(luò)分割開(kāi)，這可以通過(guò)交換機(jī)劃分VLAN來(lái)實(shí)現(xiàn)。 4、網(wǎng)絡(luò)中有二臺(tái)應(yīng)用服務(wù)器，在應(yīng)用程序開(kāi)發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶(hù)登錄驗(yàn)證，防止非授權(quán)的訪問(wèn)。總而言之，在進(jìn)行網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，應(yīng)綜合考慮到這個(gè)企業(yè)局域網(wǎng)的特點(diǎn)，根據(jù)產(chǎn)品的性能、價(jià)格、潛在的安全風(fēng)險(xiǎn)進(jìn)行綜合考慮。第三章 網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶(hù)迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。針對(duì)這個(gè)企業(yè)局域網(wǎng)中存在的安全隱患，在進(jìn)行安全方案設(shè)計(jì)時(shí)，下述安全風(fēng)險(xiǎn)我們

7、必須要認(rèn)真考慮，并且要針對(duì)面臨的風(fēng)險(xiǎn)，采取相應(yīng)的安全措施。下述風(fēng)險(xiǎn)由多種因素引起，與這個(gè)企業(yè)局域網(wǎng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器的可靠性等因素密切相關(guān)。下面列出部分這類(lèi)風(fēng)險(xiǎn)因素：網(wǎng)絡(luò)安全可以從以下三個(gè)方面來(lái)理解：1 網(wǎng)絡(luò)物理是否安全；2 網(wǎng)絡(luò)平臺(tái)是否安全；3 系統(tǒng)是否安全；4 應(yīng)用是否安全；5 管理是否安全。針對(duì)每一類(lèi)安全風(fēng)險(xiǎn)，結(jié)合這個(gè)企業(yè)局域網(wǎng)的實(shí)際情況，我們將具體的分析網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。 3、1物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)的物理安全的風(fēng)險(xiǎn)是多種多樣的。網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機(jī)多冗

8、余的設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，在這個(gè)企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的管理，這些風(fēng)險(xiǎn)是可以避免的。 3、2網(wǎng)絡(luò)平臺(tái)的安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。公開(kāi)服務(wù)器面臨的威脅這個(gè)企業(yè)局域網(wǎng)內(nèi)公開(kāi)服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為公司的信息發(fā)布平臺(tái)，一旦不能運(yùn)行后者受到攻擊，對(duì)企業(yè)的聲譽(yù)影響巨大。同時(shí)公開(kāi)服務(wù)器本身要為外界服務(wù)，必須開(kāi)放相應(yīng)的服務(wù)；每天，黑客都在試圖闖入Internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)的跳板。因此，規(guī)模比較大網(wǎng)絡(luò)的管理人員對(duì)