完美世界txt下载,盗墓笔记小说全集

首頁 > 解決方案 > 網(wǎng)絡(luò)系統(tǒng)集成 > 邊界網(wǎng)絡(luò)建設(shè)

解決方案

數(shù)據(jù)中心建設(shè)

模塊化數(shù)據(jù)中心機房建設(shè)

機房工程

綜合布線

網(wǎng)絡(luò)系統(tǒng)集成

骨干網(wǎng)絡(luò)建設(shè)

邊界網(wǎng)絡(luò)建設(shè)

數(shù)據(jù)中心網(wǎng)絡(luò)建設(shè)

企業(yè)信息化安全服務(wù)

物聯(lián)網(wǎng)

胖AP

瘦AP

校園信息化

IT運維

更多分類

案例展示

邊界網(wǎng)絡(luò)建設(shè)

網(wǎng)絡(luò)安全整體解決方案設(shè)計

1.方案背景

1.1概述

中國國內(nèi)目前的企業(yè)需要的網(wǎng)絡(luò)安全產(chǎn)品不僅僅是簡單的安裝，更重要的是要有針對復(fù)雜網(wǎng)絡(luò)應(yīng)用的一體化解決方案，如：網(wǎng)絡(luò)安全、病毒檢測、網(wǎng)站過濾等等。其著眼點在于：國內(nèi)外廠商產(chǎn)品；具備處理突發(fā)事件的能力；能夠?qū)崟r監(jiān)控并易于管理；提供安全策略配置定制；是用戶能夠很容易地完善自身安全體系。

然而，有網(wǎng)絡(luò)的地方就有安全的問題。過去的網(wǎng)絡(luò)大多是封閉式的，因而比較容易其安全性，簡單的安全性設(shè)備就足以承擔(dān)其任務(wù)。然而，當(dāng)今的網(wǎng)絡(luò)已經(jīng)發(fā)生了變化，網(wǎng)絡(luò)的安全性和可用性已經(jīng)成為更加復(fù)雜任務(wù)。用戶每一次連接到網(wǎng)絡(luò)上，原有的安全狀況就會發(fā)生變化。所以，很多企業(yè)頻繁地成為網(wǎng)絡(luò)犯罪的犧牲品。因為當(dāng)今網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性，依靠早期的簡單安全設(shè)備已經(jīng)對這些安全問題無能為力了。

網(wǎng)絡(luò)攻擊在迅速地增多：

網(wǎng)絡(luò)攻擊通常利用網(wǎng)絡(luò)某些內(nèi)在特點，進(jìn)行非授權(quán)的訪問、竊取密碼、拒絕服務(wù)等等。

考慮到業(yè)務(wù)的損失和生產(chǎn)效率的下降，以及排除故障和修復(fù)損壞設(shè)備所導(dǎo)致的額外開支等方面，對網(wǎng)絡(luò)安全的破壞可能是毀滅性的。此外，嚴(yán)重的網(wǎng)絡(luò)安全問題還可能導(dǎo)致企業(yè)的公眾形象的破壞、法律上的責(zé)任乃至客戶信心的喪失，并進(jìn)而造成的成本損失將是無法估量的。

1.1.1項目概述：

（1）待改企業(yè)描述

本方案旨在使公司的網(wǎng)絡(luò)更安全，以保障企業(yè)安全和減少安全問題帶來的損失?？梢钥焖俚膶W(wǎng)絡(luò)攻擊做出反應(yīng)。

（2）功能

此方案可讓企業(yè)保障硬件設(shè)備減少安全隱患，公司重要信息不被人獲取，應(yīng)對突發(fā)的安全情況能力大大加強。

（3）用戶特點

本方案的對象是企業(yè)的職工、網(wǎng)絡(luò)管理人員、技術(shù)處工作人員、公司領(lǐng)導(dǎo)、信息中心系統(tǒng)管理人員和維護(hù)人員。

（4）一般約束

這是一個針對企業(yè)網(wǎng)絡(luò)各方面進(jìn)行調(diào)整的方案，不可避免要受于布線地理位置和系統(tǒng)安裝的兼容性的限制。

（5）假設(shè)依據(jù)

本方案具有較高的可靠性和安全保密性。網(wǎng)絡(luò)性能穩(wěn)定，不出差錯。在具體實施方面，應(yīng)該由企業(yè)網(wǎng)絡(luò)相關(guān)專業(yè)人員進(jìn)行管理，本方案只負(fù)責(zé)具體的實施方法建議。應(yīng)對用戶定義不同的使用權(quán)限，技術(shù)處負(fù)責(zé)大部分管理。不能由其他人進(jìn)行查看更改。1.2實際網(wǎng)絡(luò)的特點及目前企業(yè)網(wǎng)絡(luò)優(yōu)缺點分析

圖2-1 公司的原拓?fù)鋱D

如圖，經(jīng)過分析，公司網(wǎng)絡(luò)主要分為4個部分，一部分為工廠生產(chǎn)網(wǎng)絡(luò)，一部分是負(fù)責(zé)銷售的寫字樓辦公網(wǎng)絡(luò)，另兩部分為領(lǐng)導(dǎo)決策的主網(wǎng)絡(luò)以及公司的服務(wù)器群。其優(yōu)點是結(jié)構(gòu)簡單靈活可靠性高，共享性強,適合于一點發(fā)送、多點接收的場合，容易擴展網(wǎng)絡(luò)，使用的電纜少，且安裝容易。缺點是安全性不高，維護(hù)不方便，分支節(jié)點出現(xiàn)故障會影響整個網(wǎng)絡(luò)。

2.解決方案

2.1研究設(shè)計中要解決的問題

2.1.1設(shè)備、服務(wù)器、流量控制

（1）從拓?fù)鋱D上可知，類似總線型的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，存在著明顯的安全問題，如果其中一臺交換機設(shè)備出現(xiàn)故障，將嚴(yán)重影響網(wǎng)絡(luò)的正常運行，這是很大的安全隱患。

（2）保障物理設(shè)備的安全，也沒有針對一些突發(fā)情況的保護(hù)措施，以保障網(wǎng)絡(luò)的隨時通暢，容災(zāi)備份

（3）外部訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，共享資源，沒有一個好的安全保護(hù)措施。

（4）QOS流量服務(wù)控制，保障網(wǎng)絡(luò)通順

（5）服務(wù)器的安全非常重要

2.1.2應(yīng)用系統(tǒng)軟件

系統(tǒng)的安全存在問題，沒有好的軟件工具防御外來攻擊，列如垃圾病毒郵件的防御。

2.1.3防火墻

因為本企業(yè)對網(wǎng)絡(luò)安全的不重視，還未安裝外部防火墻，不能防御控制外來的攻擊。

2.2針對現(xiàn)在網(wǎng)絡(luò)中出現(xiàn)的網(wǎng)絡(luò)安全問題，本方案所作的改善設(shè)計

2.2.1改善設(shè)計

（1）改善其拓?fù)浣Y(jié)構(gòu)，把各設(shè)備協(xié)同工作時的隱患降低。

（2）對物理設(shè)備實施保護(hù)措施，擁有少量備用和擴充的設(shè)備，建立流量控制措施，達(dá)到遇到突發(fā)情況從容面對，加以保障網(wǎng)絡(luò)的正常運行。

（3）采用現(xiàn)有的有效安全的虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)，達(dá)到外部訪問內(nèi)部資源時的安全。

（4）QOS流量服務(wù)和ACL訪問控制，保障網(wǎng)絡(luò)通順

（5）打造服務(wù)器安全

2.2.2系統(tǒng)軟件

擁有一些安全的系統(tǒng)和防御、殺毒、篩選檢測工具，達(dá)到防御外來攻擊。采用身份人證和數(shù)據(jù)加密，保護(hù)郵件安全，

再及時更新漏洞補丁

隨著電子郵件的普及和應(yīng)用，伴隨而來的電子郵件安全方面問題也越來越多的引起人們的關(guān)注。我們已經(jīng)認(rèn)識到電子郵件用戶所面臨的安全性風(fēng)險變得日益嚴(yán)重。病毒、蠕蟲、垃圾郵件、網(wǎng)頁仿冒欺詐、間諜軟件和一系列更新、更復(fù)雜的攻擊方法，使得電子郵件通信和電子郵件基礎(chǔ)結(jié)構(gòu)的管理成為了一種更加具有風(fēng)險的行為。

2.2.3防火墻、入侵檢測

安裝好專業(yè)切功能強勁的防火墻，來有效防御外來黑客病毒等方面的攻擊。在兩個網(wǎng)絡(luò)之間加強訪問控制的一整套裝置，是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的安全防范系統(tǒng)通常安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的鏈接點上。來自internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻。

入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息，并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進(jìn)入侵檢測的軟件與硬件的組合便是入侵監(jiān)測系統(tǒng)。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大簡化管理員的工作，保障網(wǎng)絡(luò)安全的運行。

2.3系統(tǒng)設(shè)計關(guān)鍵技術(shù)：

1.總線拓?fù)?/span>

總線拓?fù)浣Y(jié)構(gòu)采用一個信道作為傳輸媒體，站點都通過相應(yīng)的硬件接口直接連到這一公共傳輸媒體上，該公共傳輸媒體即稱為總線。

總線拓?fù)浣Y(jié)構(gòu)的優(yōu)點：

（1）總線結(jié)構(gòu)所需要的電纜數(shù)量少。

（2）總線結(jié)構(gòu)簡單，又是無源工作，有較高的可靠性。

（3）易于擴充，增加或減少用戶比較方便。

總線拓?fù)涞娜秉c：

（1）總線的傳輸距離有限，通信范圍受到限制。

（2）故障診斷和隔離較困難。

（3）分布式協(xié)議不能保障信息的及時傳送，不具有實時功能

2. 星形拓?fù)?/span>

星形拓?fù)涫怯芍醒牍?jié)點和通過點到到通信鏈路接到中央節(jié)點的各個站點組成。

星形拓?fù)浣Y(jié)構(gòu)具有以下優(yōu)點：

（1）控制簡單。

（2）故障診斷和隔離容易。

（3）方便服務(wù)。

星形拓?fù)浣Y(jié)構(gòu)的缺點：

（1）電纜長度和安裝工作量可觀。

（2）中央節(jié)點的負(fù)擔(dān)較重，形成瓶頸。

（3）各站點的分布處理能力較低。

2.3.1 容災(zāi)備份技術(shù)

首先，要解決網(wǎng)絡(luò)的物理安全，網(wǎng)絡(luò)的物理安全主要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故;電源故障;人為操作失誤或錯誤;設(shè)備被盜、被毀;電磁干擾;線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。在這個企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度，做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。這個是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。

容災(zāi)備份可以分為數(shù)據(jù)備份和應(yīng)用備份。數(shù)據(jù)備份需要保障用戶數(shù)據(jù)的完整性、可靠性和一致性。而對于提供實時服務(wù)的信息系統(tǒng)，用戶的服務(wù)請求在災(zāi)難中可能會中斷，應(yīng)用備份卻能提供不間斷的應(yīng)用服務(wù)，讓客戶的服務(wù)請求能夠繼續(xù)運行，保障信息系統(tǒng)提供的服務(wù)完整、一致。

一個完整的容災(zāi)備份系統(tǒng)包括本地數(shù)據(jù)備份、遠(yuǎn)程數(shù)據(jù)復(fù)制和異地備份中心。當(dāng)然并不是大多企業(yè)都需要這樣一個系統(tǒng)，只有對不可中斷的關(guān)鍵業(yè)務(wù)才有必要建立容災(zāi)備份中心。

2.3.2 VPN技術(shù)

一個私有的網(wǎng)絡(luò)可以解決許多安全問題，因為很多惡意攻擊者根本無法進(jìn)入網(wǎng)絡(luò)實施攻擊。但是，對于一個普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡(luò)，往往在財政預(yù)算上是不合理的。VPN技術(shù)就是為了解決這樣一種安全需求的技術(shù)。

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。

3.方案總結(jié)

本方案為局域網(wǎng)網(wǎng)絡(luò)安全解決方案，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計、等。本安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對他們局域網(wǎng)安全管理：

（1）將安全策略、硬件設(shè)備及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。

（2）定期進(jìn)行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

（3）通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。

（4）使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，減少損失。

（5）在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)統(tǒng)一防病毒。