企业网络安全设计及解决方案

企业网络安全设计及解决方案内容摘要：

污染，易发生火灾、水灾，易遭受雷击的地区。 （ 2） 电力供应 机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供应（如 UPS 设备）；应建立备用供电系统（如备用发电机），以备常用供 电系统停电时启用。 （ 3） 电磁防护要求 应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰。 公司内部网的设计 内部办公自动化网络根 据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（ VLAN），在没有配置路的情况下，不同虚拟子网间是不能够互相访问。 通过虚拟子网的划分 ,能够实较粗略的访问控制 [2]。 vlan 的划分和地址的分配 经理办子网 (vlan2): 子网掩码 : 网关： 生产子网 (vlan3)： 子网掩码 : 网关： 市场子网 (vlan4)： 子网掩码 : 网关： 财务子网 (vlan5)： 子网掩码 : 网关： 资源子网 (vlan6): 子网掩码 : 网关： 访问权限控制策略 （ 1） 经理办 VLAN2 可以访问其余所有 VLAN。 （ 2） 财务 VLAN5 可以访问生产 VLAN市场 VLAN资源 VLAN6，不可以访问经理办 VLAN2。 （ 3） 市场 VLAN生产 VLAN资源 VLAN6 都不能访问经理办 VLAN财务 VLAN5。 （ 4） 生产 VLAN4 和销售 VLAN3 可以互访。 通信保密 数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送 的数据是密文形式，而不是明文。 可以选择以下几种方重庆信息技术职业学院毕业设计 第 8 页 式： （ 1）链路层加密 对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据，如图 所示。 图 链路加密机由于是在链路级，加密机制是采用点对点的 加密、解密。 即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。 通过两端加密机的协商配合实现加密、解密过程。 (2)网络层加密 鉴于网络分布较广，网点较多，而且可能采用 DDN、 FR 等多种通讯线路。 如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。 因此在这种情况下我们建议采用网络层加密设备（ VPN）， VPN 是网络加密机，是实现端至端的加密，即一个网点只需配备一台 VPN 加密机。 根据具体策略，来保护内部敏感信息和企业秘密的机密性、真实性 及完整性 [3]。 IPsec 是在 TCP/IP体系中实现网络安全服务的重要措施。 而 VPN 设备正是一种符合 IPsec 标准的 IP 协议加密设备。 它通过利用跨越不安全的公共网络的线路建立 IP 安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。 经过对 VPN 的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。 一般来说， VPN 设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。 设备配置见下图。 目前全球大部分厂商的网络安全 产品都支持 IPsec 标准。 如图 所示。 图 设备配置示意图 重庆信息技术职业学院毕业设计 第 9 页 由于 VPN 设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。 对政府行业网络系统这样一种大型的网络， VPN 设备可以使网络在升级提速时具有很好的扩展性。 鉴于 VPN 设备的突出优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备 VPN 设备。 病毒防护 由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。 我们都知道，公司网络系统中使用的操作系统一般均为 WINDOWS 系统，比较容易感染病毒。 因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。 反病毒技术包括预防病毒、检测病毒和杀毒三种技术 [4]： （ 1） 预防病毒技术 预防病毒技术通过自身常驻系统内存，优先获得系统的控制权 ，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。 这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。 （ 2） 检测病毒技术 检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。 （ 3） 杀毒技术 杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。 反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。 一旦发现与病毒代码库中相匹配的 病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。 应用安全 应用安全，顾名思义就是保障应用程序使用过程和结果的安全。 简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他安全工具或策略来消除隐患。 （ 1） 内部 OA 系统中资源享 严格控制内部员工对网络共享资源的使用。 在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。 对 有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。 虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。 （ 2） 信息存储 重庆信息技术职业学院毕业设计 第 10 页 对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。 对数据库服务器中的数据库必须做安全备份。 通过网络备份系统，可以 对数据库进行远程备份存储。 配备防火墙 防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。 防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。 并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。 华城公司 网络中使用的是神州数码的 DCFW1800S UTM，里面包含了防火墙和 VPN 等功能。 由于采用防火墙、 VPN 技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点： （ 1） 管理、维护简单、方便。 （ 2） 安全性高 (可有效降低在安全设备使用上的配置漏洞 )。 （ 3） 硬件成本和维护成本低。 （ 4） 网络运行的稳定性更高 由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。 重庆信息技术。