信息安全体系结构设计报告——中小型企业网络及安全方案
组长:
组员:
完成时间:2013年11月 30日
1. 系统需求分析 (3)
基本情况描述 (3)
需求分析 (3)
2.系统设计原则 (5)
.企业网络设计原则 (5)
3.系统方案总体设计 (7)
.网络总体拓扑设计 (7)
网络通信部分 (7)
应用区域边界部分 (7)
应用环境部分 (9)
网络架构概述 (9)
安全性分析 (9)
管理部门网络 (9)
其他部门网络 (10)
数据备份与恢复 (10)
地址划分 (11)
VLAN划分 (11)
地址及端口分配 (11)
4.设备选型 (14)
交换机 (14)
交换机选择原则 (14)
交换机选型 (14)
路由器 (16)
路由器选择原则 (16)
路由器选型 (16)
服务器 (18)
服务器选型原则 (18)
服务器选型(5个) (18)
其他 (19)
漏洞扫描系统(1个) (19)
备用电源(1个) (19)
5.基本配置 (20)
路由器 (20)
接入层交换机 (21)
6.安全管理规则 (24)
1. 系统需求分析
基本情况描述
1)一个中小型企业环境,大约100台计算机;
2)包含几个部门(研发部,财务部,市场部);
3)通过专线接入到Internet,能提供若干真实IP地址(假如10个);
4)企业有独立对外的www服务器()、E-mail服务器;
5)内部有文件服务器,保存企业研发重要文档;
6)员工有独立的企业邮箱;
7)为了保证正常运行,需要考虑一定的安全性(包括技术、管理两个方面)。需求分析
1)企业日常工作需求
a.根据企业的要求,大约100台左右的计算机,对数据的传输量不大;
b.企业包含研发部,财务部,市场部等部门,因此需要做VLAN划分,
降低网络内广播数据包的传播,提高带宽资源利用率,防止广播风
暴的产生。
c.企业通过专线接入Internet,只有10个IP地址,需要为企业网络
提供DHCP和NAT服务,使私有Internet地址供内部网络使用,并
采用静态地址转换,为提供固定服务的设备设置固定地址。
d.企业要求有独立对外的服务器与企业邮箱,所以要建立DMZ区域,
用于存放对外提供访问服务的Web服务器、DNS服务器、E-mail服
务器等;
e.针对中小型企业办公事物处理、资金投入等特点,为增加企业员工
的工作便易度,需提供无线局域网络。无线局域网络的实现将为人
员流动频繁的市场部与财务部提供较为便捷的网络环境、节约企业
网络铺设成本。
2)网络安全需求
考虑到企业对安全性能的要求,我们从技术安全和管理安全两个方面提供安全服务。
技术安全
a.在边界安全方面,需要在网络边界设置防火墙和入侵防御系统
(IPS)。所有试图访问内部网络的数据包均需经过防火墙的检查,
通过为防火墙设置合适的访问,可有效的拒绝不符合规则的数据
包,从而阻塞内部主机与外部怀有不法目的的主机的连接。入侵
防御系统(IPS)的串联工作方式,可以保证直接阻断来自外部的威
胁以及阻断来自内部的攻击。IPS拥有多种检测方式和响应方式,
可以为企业网络提供完整的入侵防护解决方案。
b.在内部网络方面,需要部署漏洞检测系统。漏洞检测系统则将定
期扫描整体网络及其主机是否有威胁因素,实时报告给网络系统
管理员,防止网络漏洞与主机漏洞给企业带来损失。
c.针对企业员工通过外网访问内部服务器的安全性方面,需设计虚
拟专用网络。为远程用户和企业的分支机构访问企业内部网络资
源提供了安全的途径,同时利用VPN隧道技术、加解密技术,充
分保证用户数据的完整性、安全性和可用性。
d.针对企业可能遇到的特殊及意外情况,需设计数据加密、数据恢
复与备份系统,以保障用户信息、物理资源的机密性、完整性和
确实性。
e.为保证网络安全性,需要使用的设备支持检测并防御Dos/DDos攻
击、缓冲区溢出攻击、恶意IP扫描等攻击行为。
管理安全
企业对网络用户(公司职员)进行网络的安全教育同样重要。
a.建立一套完整的网络管理规定和网络使用方法,并要求网络管理
员和网络使用人员必须严格遵守。否则,网络内部的人为因素将
会给网络安全造成很大的威胁。
b.制定合适的网络安全策略,制定一种让网络管理员和网络用户都
乐于接受的安全策略,可以让网络用户在使用网络的过程中自觉
维护网络的安全。
2.系统设计原则
.企业网络设计原则
(1)木桶原则
企业的网络应该具备对信息均衡、全面的保护功能,所以企业网络的信息系统安全体系结构必须能够充分、全面、完整地对信息系统的安全漏洞和安全威胁进行分析、评估和检测,防止最常用的攻击手段,提高整个系统“安全最低点”的安全性能。
(2)整体性原则
考虑企业网络安全性设计时,要采用多种安全措施,分层次有重点地对系统进行防护,在注重防外的同时,也不可轻视防内,做到防内与防外同等重要。要求网络的信息系统安全体系结构包括安全防护机制、安全检测机制、安全反应机制和安全恢复机制。从而保证在信息系统遭受攻击、破坏事件的情况下,必须尽可能快速恢复信息系统的运行,减少损失。
(3)安全、代价平衡原则
对任何网络来说,绝对的安全都是无法达到的。针对企业网络的安全系统,要充分考虑到安全需求、安全风险和成本之间的关系,制定相应的规范和措施,确定实际可行的安全策略。在确保将信息系统安全风险控制在可接受范围内的前提下,将信息系统安全体系结构的成本控制在合理的范围内。
(4)标准优先、兼容原则
随着网络化进程的加快,网络规模的扩大,网络将连接到各个角落;网络环境和应用发生改变、新的攻击方式产生,支撑一个系统安全运行的设备数量也会越来越多。所以增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议进行连接。整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
(5)动态发展原则
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
3.系统方案总体设计
.网络总体拓扑设计
网络通信部分
网络通信部分主要是针对局域网与广域网的连接,中国电信作为互联网服务提供商,局域网与宽带互联网(ChinaNet)通过两条相互冗余的100Mbps带宽出口线路连接,并申请-公有地址段。同时,为保证企业异地办公的安全性,采用在公共网络中建立虚拟专用网络(VPN)隧道的解决方案,其中针对企业员工远程访问,在VPN网关上采用Access VPN技术,针对企业异地分支或是兄弟企业则采用Intranet VPN技术。
应用区域边界部分
应用区域边界部分基于屏蔽子网防火墙体系结构思想,将DNS服务器、Mail 服务器、Web服务器这些可供外部网络访问的设施放在DMZ区域,DMZ区域处于网关路由器和内网防火墙之间。在网关路由器上,具有防火墙功能,可以抵御外
部对DMZ的一些攻击,也具有NAT功能,将私有地址转化为共有地址,其中DMZ 区域内的服务器采用静态NAT,其他终端采用动态NAT和PAT,这样能更充分地利用公有地址。内网防火墙对外部数据流量进一步过滤检验,以保证内网的安全。从而在满足对外提供访问服务需求的同时,使企业内部工作环境与外部网络隔离,非常有效地保护了内部网络,并提供一定的冗余措施。DMZ区域如下图:
同时为了满足企业内部员工通过外部网络访问内部数据时的安全性和保密性,将VPN服务器网关连接到防火墙上。使得在安全的获取企业数据的同时,保证内部网络安全。VPN部分拓扑如下图:
由于该边界上的路由器和防火墙对企业网络安全有重要的影响,所以采用基于代理服务技术的防火墙,实现基于应用层的内容过滤,以此提高系统应用防御能力。
3.1.3应用环境部分
网络架构概述
应用环境部分采用两个层次化的网络架构思想,分别从核心层、接入层进行设计。
核心层选用一台千兆以太网交换机,在保证传输速率和充足的端口数量的同时,可满足企业在未来3-4年网络快速发展的拓展需求。核心层交换机主要负责整网的主要数据传输。接入层网络采用星型拓扑方式,交换机采用二层交换机。
为满足企业内部设置文件服务器的需求,我们将文件服务器挂接在核心交换机上,方便企业内的文件传输与使用。
安全性分析
从安全性角度上考虑,将核心层交换机与基于网络的异常入侵防御系统(NIPS)相连,NIPS检查流经内网的所有流量,一旦辨识出入侵行为,NIPS便去除整个网络会话,提供对企业内部网络的最后一关保护。NIPS需要具备较高的性能,以免成为网络的瓶颈。
同时在核心层部分部署漏洞扫描安全策略。即在局域网出口路由器上安装网络型漏洞扫描器模块,基于Internet远程检测目标网络或本地主机的安全性脆弱点技术。通过网络安全扫描,使系统管理员能够发现所维护服务器的各种TCP/IP端口分配、开放服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞,保障整体局域网的安全。
管理部门网络
管理部门负责同一管理内部网络的设备,处于一个单独的VLAN中,其他部门的所有交换机上均配置了管理部门的VLAN。部门的二层交换机管理VLAN配置了虚端口(SVI)以便于管理人员通过SSH远程访问。公司的网络设备VTY链路上均配置访问控制列表,只允许管理部门的IP地址对其远程访问,避免非授权
人员远程访问网络设备。而且为增加部门工作便易度,所以为管理部门提供无限网络。
其他部门网络
每个部门具有自己独立的交换机和VLAN,从物理和逻辑上都保证了部门之间的安全性。每个部门的交换机VTP模式均采用透明模式(transparent),保证交换机VLAN数据的安全。部门交换机与核心交换机之间采用两条千兆以太网链路,采用快速生成树协议(RSTP),在一条链路发生故障的情况下,立即切换到另一条链路。考虑到市场部人员可能较多,终端设备数量大,交换机端口数量问题等问题,我们为市场部分配两台二层交换机供使用。无线网络通过与无线路由器相连的无限访问点进行配置。考虑到研发部门的保密性,不对研发部门提供无限网络。
数据备份与恢复
数据备份与恢复系统对企业网络有着重要的意义,遇到特殊或意外情况,系统能否快速恢复到运行状态,绝大程度上取决于数据的备份与恢复系统。我们采用server-free备份方式。
server-free备份方式采用无服务器备份技术,使数据在存储区域网中的两个存储设备之间直接传输,通常是在磁盘阵列和磁带库之间。可为企业减少服务器系统资源的消耗,且具有缩短备份及恢复所用时间的优势。该备份方式如下图:
地址划分
VLAN划分
地址及端口分配核心层交换机:
接入层交换机:
服务器及终端设备:
4.设备选型
交换机
交换机选择原则
针对该中小型企业网络,安置在不同位置的交换机其选取原则不尽相同。核心层交换机应当选择高性能、模块化、三层多MAC交换机,其带宽应在1000M 左右;接入层交换机则应当选择固定端口带有扩展槽的二层单MAC交换机,而其类型还需根据相应部门的数据传输流量,在10M和100M交换机间进行选择。
根据需求分析可知,整体网络终端数量较少、非主干节点数据流量不大、实时性要求不强,因此各层交换机对端口数量、堆叠层数、机架插槽数、芯片性能、光纤解决方案、延时的要求并不高,需坚持最具性价比的原则;由于整体网络对安全性能的要求较高,因此需要在选择带有网管功能的交换机。
另外,在选择交换机时,不能将他们相互割裂开来,而应当综合地进行考虑,例如:考虑下级交换机是否支持上级交换机的功能与应用、上下级交换机在性能上是否有应有的差别、上下级交换机端口的类型与数量、传输距离、网络带宽和通信线缆能否达到相互协调。尽管不同交换机大多遵守相同的国际标准,但每个厂家都有一些特殊的协议,尤其是可网管交换机,因此,为实现对可网管交换机的统一管理,保障设备间的兼容性,达到性能最优化,就应当尽量选择同一厂商的产品。
交换机选型
核心层交换机:(1个)
CISCO WS-C3750G-12S-S
参考报价¥22000
产品类型:企业级交换机
应用层级:三层
包转发率:
交换方式:存储-转发
端口数量:12个
传输速率:10/100/1000Mbps
扩展插槽:2
堆叠支持:不可堆叠
VLAN:支持
网络管理:SNMP,CLI,Web,管理软件
接入层交换机:(6个)
CISCO WS-C2960S-24TS-L
参考价格:¥6300
产品类型:企业级交换机
应用层级:二层
传输速率:10/100/1000Mbps
端口数量:28个
VLAN:支持
包转发率:
交换方式:存储-转发
产品内存:DRAM内存:128MB FLASH内存:64MB
路由器
路由器选择原则
针对该中小型企业网络,安置在不同位置的路由器其选取原则也不尽相同。逻辑隔离位置选择接入级路由器,根据整体网络类型单一、功能简单、终端数量较少、流量不大、实时性不强的特点,针对路由器支持协议、可扩展性、端口类型与数量、背板带宽、吞吐量、路由表容量、转发延时的要求并不高,需坚持最具性价比的原则;由于整体网络对安全性能的要求较高,因此需要选择可管理性强、可靠性高、稳定性强,并兼容防火墙模块的路由器。
根据整体网络流量偏少的特点,核心出口位置选择企业级路由器即可,根据整体网络类型与功能复杂、终端数量较少、实时性不强的特点,针对端口数量、路由表容量、转发延时的要求并不高,但对路由器支持协议、可扩展性、端口类型、背板带宽、吞吐量具有一定的要求,因此需在坚持最具性价比的原则上完全满足所有性能需求;由于作为整个局域网的出口,因此选取的路由器需要可管理性强、可靠性高、支持静态NAT与动态NAT功能、PAT功能。另外,由于整体网络安全性要求较高,因此单独选购了防火墙和入侵检测系统,在出口路由器的选择上便不需要对这两个模块的兼容。
路由器选型
内置防火墙路由器(2个)
参考价格:¥4500
CISCO 3945/K9
产品类型:企业级路由
端口结构:模块化
局域网接口:3个
传输速率:10/100/1000Mbps
防火墙:内置防火墙
Qos支持:支持
VPN支持:支持
产品内存:DRAM内存:1GB,最大2GB
无线路由(4个)
CISCO RV180W
参考价格:¥1390
产品类型:企业级无线路由器
网络接口:1个10/100/1000Mbps WAN口
4个10/100/1000Mbps LAN口
频率范围:单频()
天线数量:2根外置全向天线
VPN支持:支持
WDS功能:支持WDS无线桥接
WPS功能:支持WPS一键加密功能
Qos支持:支持
无线安全:有线等效保密(WEP),WPA,WPA2...防火墙功能:内置防火墙
服务器
服务器选型原则
中小企业在选购服务器时,要注意三个方面:价格与成本、产品的扩展与业务的扩展、售后服务。首先,由于中小企业对信息化的投入有限,因此需要注意的是产品价格低并不代表总拥有成本低,总拥有成本还包括后续的维护成本、升级成本等。其次,中小企业最大的特点就是业务增长迅速,他们需要产品能随着企业业务的发展而升级,一方面满足业务的需要,另一方面也保护原有的投资。最后,服务是购买任何产品都要考虑的,但中小企业尤其看重售后服务,因为由于自身技术水平和人力所限,当产品出现故障后,他们更加依赖厂商的售后服务。
服务器选型(5个)
戴尔PowerEdge T20(E3-1225)
产品类别:塔式
CPU型号:Xeon E3-1225
标配CPU数量:1颗
标配硬盘容量:1TB
内部硬盘架数:最大支持4块英寸SATA/SAS硬盘
最大内存容量:32GB
内存插槽数量:4
CPU频率:
CPU核心:四核(Sandy Bridge)
主板芯片组:Intel C226
内存类型:DDR3
硬盘接口类型:SATA
其他
漏洞扫描系统(1个)
系统要求:
适用硬件环境:CPU:不低于的Pentium 处理器或其它兼容X86处理器
内存:不小于512M
硬盘:10G以上的硬盘空间
网卡:至少一块10/100Mbps以太网卡
详细说明:纠错用户管理,用户审计,任务管理,策略管理,扫描功能,资产管理,报表快速查看,报表管理,报告导出,升级功能,检测工具,第三方接口,漏洞验证
备用电源(1个)
山特C3KS
UPS类型:在线式
额定功率:3KVA
后备时间:由外配蓄电池决定分钟
电池类型:Panasonic密闭式铅酸蓄电池
输入电压范围:115--300V
输入频率范围:软件可调:40--60Hz
输出电压范围:220(1±2%)V
输出电压波形:正弦波
产品重量:
5.基本配置
路由器
Router>enable
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#inter f0/0
Router(config-if)#ip address
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
Switch2(config)#spanning-tree mode rapid-pvst
Switch2(config)#vlan 40
Switch2(config-vlan)#name Research
Switch2(config-vlan)#vlan 99
Switch2(config-vlan)#name Manage