网络安全课程设计--------------------企业网络搭建组长：成员：成员：项目规划目录1.企业网络现状及设计目标（需求分析）1.1概述1.2实际网络的特点及目前企业网络优缺点分析1.3设计目标2. 要解决的几个关键问题2.1研究设计中要解决的问题2.2针对现在网络中出现的网络安全问题，本课题所作的改善设计3. 系统设计关键技术3.1.目标具体实现中采用的关键技术及分析3.2设计实现的策略和途径描述3.3 设计模型及系统结构（新的拓扑图）4. 系统实现技术概述4.1物理设备安全4.2 VPN技术4.3 访问控制列表与QOS技术4.4服务器的安全1.1概述中国国内目前的企业需要的网络安全产品不仅仅是简单的安装，更重要的是要有针对复杂网络应用的一体化解决方案，如：网络安全、病毒检测、网站过滤等等。

其着眼点在于：国内外领先的厂商产品；具备处理突发事件的能力；能够实时监控并易于管理；提供安全策略配置定制；是用户能够很容易地完善自身安全体系。

然而，有网络的地方就有安全的问题。

过去的网络大多是封闭式的，因而比较容易确保其安全性，简单的安全性设备就足以承担其任务。

然而，当今的网络已经发生了变化，确保网络的安全性和可用性已经成为更加复杂而且必需的任务。

用户每一次连接到网络上，原有的安全状况就会发生变化。

所以，很多企业频繁地成为网络犯罪的牺牲品。

因为当今网络业务的复杂性，依靠早期的简单安全设备已经对这些安全问题无能为力了。

网络攻击在迅速地增多网络攻击通常利用网络某些内在特点，进行非授权的访问、窃取密码、拒绝服务等等。

考虑到业务的损失和生产效率的下降，以及排除故障和修复损坏设备所导致的额外开支等方面，对网络安全的破坏可能是毁灭性的。

此外，严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失，并进而造成的成本损失将是无法估量的。

1.1.1项目概述：（1）待改企业描述本方案的企业为一个制造生产销售一体化的计算机配件企业，希望能具有竞争力并提高生产效率，这就必须对市场需求做出及时有力的响应，从而引发了依赖互联网来获取、共享信息的趋势，这样才能进一步提高生产效率进而推动未来增长。

本方案旨在使公司的网络更安全，以保证企业安全和减少安全问题带来的损失。

可以快速的对网络攻击做出反应。

（2）功能此方案可让企业保证硬件设备减少安全隐患，公司重要信息不被人获取，应对突发的安全情况能力大大加强。

（3）用户特点本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。

（4）一般约束这是一个针对企业网络各方面进行调整的方案，不可避免要受于布线地理位置和系统安装的兼容性的限制。

1.1.2性能需求为了保证系统能够长期、安全、稳定、可靠、高效的运行，企业网络安全方案应该满足以下需求：（1）全面性和及时性方案的全面性和处理事件的及时性是必要的性能。

从各个方面考虑到可能受到的网络攻击，做好全方面的补救和抵御措施。

且在发生突发情况下能及时的补救，保证企业网络的正常运行。

（2）系统方案的可扩充性在方案的设计过程中，应该充分考虑系统的可扩充性，为以后企业的发展，网络设备的扩充，提供良好条件。

（3）系统的易用性和易维护性在完成这套方案之后，只需要技术人员在硬件上做好管理措施、系统上及时更新升级，以及做好备份工作。

（4）方案的标准性方案在设计过程中，要涉及很多计算机硬件、软件。

所有这些都要符合主流国际、国家和行业标准。

例如要用到的操作系统、网络设备以及软件、技术都要符合通用的标准。

1.2实际网络的特点及目前企业网络优缺点分析如图，上图为一计算机配件企业的大概网络拓扑图，经过分析，公司网络主要分为4个部分，一部分为工厂生产网络，一部分是负责销售、网站维护和构想玩具工作等的写字楼办公网络，另两部分为领导决策的主网络以及公司的服务器群。

其优点是结构简单灵活可靠性高，共享性强,适合于一点发送、多点接收的场合，容易扩展网络，使用的电缆少，且安装容易。

缺点是安全行不高，维护不方便，分支节点出现故障会影响整个网络。

其网络的交换机路由器已经经过一部分设置与设备NAT技术，使公司内部合理通信访问，工厂办公地点不能上网，员工办公阶段时间性的上网，领导办公没有限制。

这都有效提高了公司的工作质量与安全性，我们在这基础上，再设置一些安全措施，设计出一套完整的安全解决方案。

1.3设计目标根据实际情况，全方面的找出并解决企业存在的各方面安全问题，从网络的硬件设备的安全以及配置、系统防御软件检测防御、流量控制优先级（QOS技术）、以及数据的加密传输、签名认证和远程专用网络，以及合理应用内外防火墙，达到最大限度保证企业信息的安全，以及网络的通信顺畅。

2.1研究设计中要解决的问题2.1.1设备、服务器、流量控制（1）从拓扑图上可知，类似总线型的网络拓扑结构，存在着明显的安全问题，如果其中一台交换机设备出现故障，将严重影响网络的正常运行，这是很大的安全隐患。

（2）保证物理设备的安全，也没有针对一些突发情况的保护措施，以保证网络的随时通畅，容灾备份。

（3）外部访问企业内部网络，共享资源，没有一个好的安全保护措施。

（4）QOS流量服务控制，保证网络通顺。

（5）服务器的安全非常重要。

2.1.2应用系统软件系统的安全存在问题，没有好的软件工具防御外来攻击，列如垃圾病毒邮件的防御。

2.1.3防火墙因为本企业对网络安全的不重视，还未安装外部防火墙，不能防御控制外来的攻击。

2.2针对现在网络中出现的网络安全问题，本课题所作的改善设计2.2.1改善设计（1）改善其拓扑结构，把各设备协同工作时的隐患降到最低。

（2）对物理设备实施保护措施，拥有少量备用和扩充的设备，建立流量控制措施，达到遇到突发情况从容面对，加以保证网络的正常运行。

（3）采用现有的最有效安全的虚拟专用网络（VPN）技术，达到外部访问内部资源时的安全。

（4）QOS流量服务和ACL访问控制，保证网络通顺。

（5）打造服务器安全。

2.2.2系统软件拥有一些安全的系统和防御、杀毒、筛选检测工具，达到最大限度防御外来攻击。

采用身份人证和数据加密，保护邮件安全，再及时更新漏洞补丁随着电子邮件的普及和应用，伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。

我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。

病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法，使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。

2.2.3防火墙、入侵检测安装好专业切功能强劲的防火墙，来有效防御外来黑客病毒等方面的攻击。

在两个网络之间加强访问控制的一整套装置，是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。

所有来自internet（外部网）的传输信息或从内部网络发出的信息都必须穿过防火墙。

入侵行为的发觉。

它通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

行进入侵检测的软件与硬件的组合便是入侵监测系统。

与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。

一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全的运行。

3. 系统设计关键技术3.1.目标具体实现中采用的关键技术及分析3.1.1 本文主要用到的2种拓扑结构：1.总线拓扑总线拓扑结构采用一个信道作为传输媒体，所有站点都通过相应的硬件接口直接连到这一公共传输媒体上，该公共传输媒体即称为总线。

总线拓扑结构的优点：（1）总线结构所需要的电缆数量少。

（2）总线结构简单，又是无源工作，有较高的可靠性。

（3）易于扩充，增加或减少用户比较方便。

总线拓扑的缺点：（1）总线的传输距离有限，通信范围受到限制。

（2）故障诊断和隔离较困难。

（3）分布式协议不能保证信息的及时传送，不具有实时功能。

2. 星形拓扑星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。

星形拓扑结构具有以下优点：（1）控制简单。

（2）故障诊断和隔离容易。

（3）方便服务。

星形拓扑结构的缺点：（1）电缆长度和安装工作量可观。

（2）中央节点的负担较重，形成瓶颈。

（3）各站点的分布处理能力较低。

3.1.2 容灾备份技术首先，要解决网络的物理安全，网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。

以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。

在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。

这个是整个网络系统安全的前提。

容灾备份：容灾备份是通过特定的容灾机制，在各种灾难损害发生后，仍然能够最大限度地保障提供正常应用服务的信息系统。

容灾备份可以分为数据备份和应用备份。

数据备份需要保证用户数据的完整性、可靠性和一致性。

而对于提供实时服务的信息系统，用户的服务请求在灾难中可能会中断，应用备份却能提供不间断的应用服务，让客户的服务请求能够继续运行，保证信息系统提供的服务完整、可靠、一致。

一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。

当然并不是所有的企业都需要这样一个系统，只有对不可中断的关键业务才有必要建立容灾备份中心。

3.1.3 VPN技术一个完全私有的网络可以解决许多安全问题，因为很多恶意攻击者根本无法进入网络实施攻击。

但是，对于一个普通的地理覆盖范围广的企业或公司，要搭建物理上私有的网络，往往在财政预算上是不合理的。

VPN技术就是为了解决这样一种安全需求的技术。

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。

顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。

它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。

这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。

3.2设计实现的策略和途径描述本方案为局域网网络安全解决方案，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。

本安全解决方案的目标是在不影响企业局域网当前业务的前提下，实现对他们局域网全面的安全管理：（1）将安全策略、硬件设备及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

（2）定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。