企业网络安全规划摘要网络安全的本质是网络信息的安全性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程体现。
网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自网外的攻击。
防火墙,则是内外网之间一道牢固的安全屏障。
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。
建立了一套网络安全系统是必要的。
本文从对网络的现状分析了可能面临的威胁,从计算机的安全策略找出解决方案既用网络安全管理加防火墙加设计的网络安全系统。
通过以下三个步骤来完成网络安全系统:1、建设规划;2、技术支持;3、组建方案。
关键词:网络;安全;设计ABSTRACTNetwork security is the essence of the safety of network information, including information of confidentiality, integrity, and availability, authenticity and controllable etc, it is through the network information storage, transport and use process. network security management is in anti-virus software, a firewall or intelligence gateway, etc, the defensesystem to prevent from outside . A firewall is a firm between inner and outer net security barrier. Safety management is the basis of network security and safety technology is the auxiliary measures with safety management. Has established a set of network security system is necessary.Based on the analysis of the status of the network could face threats, from the computer security strategy to find solutions in the network security management is designed with the network firewall security system. Through three steps to complete the campus network security system: 1, the construction plan. 2 and technical support. 3 and construction scheme.Keyword:Network, Safe ;Design绪论随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。
但是在企业网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,企业网在企业的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题。
随着企业信息化的不断推进,各企业都相继建成了自己的企业网络并连入互联网,企业网在企业的信息化建设中扮演了至关重要的角色。
但必须看到,随着企业网络规模的急剧膨胀,网络用户的快速增长,尤其是企业网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证企业网络能正常的运行不受各种网络黑客的侵害就成为各个企业不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
企业网络安全网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络的生命在于其安全性。
因此,在现有的技术条件下,如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一个重要课题。
网络的发展极大地改变了人们的生活和工作方式,Internet 更是给人们带来了无尽的便捷。
我们的企业也正朝着信息化、网络化发展,随着“企业通”工程的深入开展,许多企业都投资建设了企业网络并投入使用。
企业网络在我们的企业管理、日常管理等方面正扮演着越来越重要的角色。
但是,在我们惊叹于网络的强大功能时,还应当清醒地看到,网络世界并不是一方净土。
“网络天空(sky)”、“高波(Worm.Agobot)”、“爱情后门(Worm.Lovgate)”及“震荡波(Worm.Sasser)”等病毒,使人们更加深刻的认识到了网络安全的重要性。
因此,在现有的技术条件下,如何规划相对可靠的企业网络安全体系,就成了企业网络管理人员的一个重要课题。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
企业安全网络规划随着计算机应用的日益普及,网络已经成为大多数企业的重要组成部分,许多常用办公应用已经开始转向网络,例如企业办公、视频会议、合作伙伴沟通等。
随之而来的网络安全问题,也就成为制约企业生存与发展的命脉。
网络安全建设的总体思路是:以信息资产为核心,以安全战略为指导,根据安全需求逐步完善安全基础措施,为网络应用提供安全能力支持。
1.1项目背景某高新产品研发企业拥有员工2000余人,公司总部坐落在省会城市高新技术开发区,包括4个生产车间和两栋职工宿舍楼,产品展示、技术开发与企业办公均在智能大厦中进行。
该企业在外地另开设有两家分公司,由总公司进行统一管理和部署。
目前,该企业的拓扑结构图如图1-1所示,基本情况如下。
(1)公司局域网已经基本覆盖整个厂区,中心机房位于智能大厦的第3层(共15层),职工宿舍楼和生产车间均有网络覆盖。
(2)网络拓扑结构为“星型+树型”,接入层交换机为Cisco Catalyst 2960,汇聚层交换机为Cisco Catalyst 3750,核心层交换机为Cisco Catalyst 6509。
(3)现有接入用户数量为500个,客户端均使用私有IP地址,通过防火墙或代理服务器接入Internet。
部分服务器IP地址为公有IP地址。
(4)I nternet接入区的防火墙主要提供VPN接入功能,用于远程移动用户或子公司网络提供远程安全访问。
(5)会议室、产品展示大厅等公共场所部署无线接入点,实现随时随地无线漫游接入。
(6)服务器操作系统平台多为Windows Server 2003 和 Windows Server 2008系统。
客户端系统为Windows XP Professional 和 Windows Vista。
(7)网络中部署有Web服务器,为企业网站运行平台。
(8)企业网络办公平台为WSS,文件服务器可以为智能大厦的办公用户提供文件共享、存储于访问。
(9)E-mail用户员工之间的彼此交流,以及企业与外界的通信网络。
(10)打印服务和传真服务主要满足智能大厦用户网络办公的应用。
(11)企业分支结构通过VPN方式远程接入总部局域网,并且可以访问网络中的共享资源。
图1-1 项目背景1.2项目分析在普通小型局域网中,最常见的安全防护手段就是在路由器后部署一道防火墙,甚至安全需求较低的网络并无硬件防火墙,只是在路由器和交换机上进行简单的访问控制和数据包筛选机制就可以了。
但是,在该企业网络中,许多重要应用都要依赖网络,势必对网络的安全性的要求高一些,在部署网络安全设备的同时,必须辅助多种访问控制与安全配置措施,加固网络安全。
1.2.1安全设备分布1.防火墙由于企业局域网采用以太网接入方式,所以直接使用防火墙充当接入设备,部署在网络边缘,防火墙连接的内网路由器上配置访问列表和静态路由信息。
另外,在会议室、产品展示厅等公共环境中的汇聚交换机和核心交换机之间部署硬件防火墙,防止公共环境中可能存在的安全风险通过核心设备传播到整个网络。
2.IPSIPS(Intrusion Prevention System,入侵防御系统)部署在Internet 接入区的路由器和核心交换机之间,用于扫描所有来自Internet的信息,以便及时发现网络攻击和制定解决方案。
3.IDSIDS(Internet Detection System,入侵检测系统)本身是一个典型的探测设备,类似于网络嗅探器,无需转发任何流量,而只需要在网络上被动地、无声息地收集相应的报文即可。
IDS无法跨越物理网段收集信息,只能收集所在交换机的某个端口上的所有数据信息。
该网络中的IDS部署在安全需求最高的服务区,用于实时侦测服务器区交换机转发的所有信息,对收集来的报文,IDS将提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。
根据默认的阀值,匹配耦合度较高的报文流量将被认为是进攻,IDS将根据相应的配置进行报警或进行有限度的反击。
4.Cisco Security MARSCisco Security MARS(Monitoring Analysis Response。