通信工程师论文
- 格式:doc
- 大小:165.00 KB
- 文档页数:12
希望对大家有所帮助,多谢您的浏览!
Page of 12 1 / 121
企业网络安全规划与改造
编制人 :LLL
专业方向: 通信类
单 位 :LLL
日 期 :LLL
文档属性: 论文 希望对大家有所帮助,多谢您的浏览!
Page of 12 2 / 122
目 录
1. 摘 要 .................................................................................................... 3希望对大家有所帮助,多谢您的浏览!
Page of 12 2 / 122 1.1. 关键词 ............................................................................................. 3
2. 绪论 ....................................................................................................... 3
3. 正文: ................................................................................................... 3
4. 目前网络存在的问题 .......................................................................... 3
4.1 个别员工私接微机,盗用他人IP地址 ........................................................ 4
4.2 广播风暴及网络病毒造成的网络拥塞 .......................................................... 4
4.3 网管手段不足,不能及时查出有问题的用户 .............................................. 4
4.4 网络安全手段不够,企业网站风险性增大 .................................................. 4
5. 解决及实施方案 .................................................................................. 4
5.1. 强化交换机端口管理 .................................................................... 5
5.2. 划分VLAN,在各VLAN接口上配置访问列表 ....................... 6
5.3. 使用系统命令及网管软件查找问题用户 .................................... 6
5.4. 使用防火墙保障内部网络及企业网站安全 ................................ 7
6. 实施时需注意的问题 .......................................................................... 9
6.1. 防火墙的安全策略制定 ................................................................ 9
6.2. VLAN划分的方式 ........................................................................ 9
7. 附件:IP地址规划 ............................................................................ 10
8. 结论及建议 ......................................................................................... 10
9. 参考文献 ............................................................................................. 10
希望对大家有所帮助,多谢您的浏览!
Page of 12 3 / 123 摘 要
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,各企业建立起一套完整的网络安全体系,从内部安全到外部安全的全方位防护成为目前的迫切需要。
本文以某企业为例,论述其网络安全的规划与改造问题。
1.1. 关键词
VLAN 、广播风暴、访问列表、防火墙
2. 绪论
针对当前企业网络安全改造的相关问题进行分析并提供相应的解决方案,文章重点介绍了几种常用的实施和解决方案以及实施中的注意事项。
3. 正文:
4. 目前网络存在的问题
某企业人员及业务规模不断发展壮大,企业现有网络上的接入设备随之增多企业网站知名度随之提高,造成目前网络故障比较多,网络性能下降,网络安全风险日益增大,严重影响了企业的日常办公。目前的问题主要表现在以下几个方面:希望对大家有所帮助,多谢您的浏览!
Page of 12 4 / 124 4.1 个别员工私接微机,盗用他人IP地址
4.2 广播风暴及网络病毒造成的网络拥塞
4.3 网管手段不足,不能及时查出有问题的用户
4.4 网络安全手段不够,企业网站风险性增大
5. 解决及实施方案
目前,企业网络使用的交换机均为3COM品牌,设备比较陈旧,性能较差,网管手段缺乏,经常引起网络中断,因此此次网络改造首先需将现用交换机更换为CISCO设备,计划采用CISCO3550作为中心汇聚交换机,CISCO2950作为接入层交换机,NETSCREEN208作为其安全防护产品。
改造后的网络拓扑图如下: 希望对大家有所帮助,多谢您的浏览!
Page of 12 5 / 125 internetcisco2621cisco3550cisco2950cisco2950cisco2950防火墙……
对交换机进行以下配置,以最大程度的解决第一章提到的问题:
5.1. 强化交换机端口管理
为防止员工私接微机,盗用他人IP地址,需加强对交换机的端口管理,交换机端口管理主要包括以下两个方面:
1) 将交换机上未使用端口默认置为关闭状态,有新接入需求时通过申请由网管人员打开相应端口,不再使用时关闭。
2) 在三层交换机3550上将在用用户的IP地址和arp地址进行绑定,对空闲的IP地址要绑定一个不存在的arp 地址,如0000.0000.0000,这样盗用他人IP的用户将无法通过3550上网,但其在本VLAN局域网中仍可使用,后开机的合法用户仍将报IP地址冲突而无法使用,这只有通过管理制度来解决。
考虑到在接入层2950交换机上进行端口和mac地址绑定并不能解决VLAN内的IP盗用问题,且配置非常繁琐,故目前暂不推荐采用,以后在对网络有更高安全要求时可进行考虑。 希望对大家有所帮助,多谢您的浏览!
Page of 12 6 / 126 5.2. 划分VLAN,在各VLAN接口上配置访问列表
为防止广播风暴,需通过在交换机上划分VLAN来隔离广播风暴,提高网络性能。此步骤也是进行后续配置的基础。
计划将交换机端口根据部门职能划分为企业及部门领导(约20台微机,VLAN10)、生产部门(约120台微机,VLAN20)和其他部门(约80台微机,VLAN30)3个VLAN。VLAN划分也可进一步细化到各生产小组,不过VLAN划分的越多,后期的维护工作也就越多,并且对网络设备的性能要求也就越高。
为控制网络病毒造成的网络拥塞,需在各VLAN接口上配置访问列表,封堵病毒传播端口,实现对常见蠕虫类网络病毒(如冲击波、震荡波、SQL蠕虫王等)的隔离控制,常见病毒传播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。
此方法可在某微机感染病毒时,将病毒的影响范围限定在本VLAN内,其他VLAN用户的正常办公及上网基本不受影响。可有效防止已知蠕虫类网络病毒的传播。
通过访问列表可有效控制已知蠕虫类网络病毒的传播,但蠕虫类病毒层出不穷,所使用的端口也在不断变化,这就需要网管人员在日常维护中不断对新发现的病毒端口进行封堵,不断更新访问列表。
5.3. 使用系统命令及网管软件查找问题用户
加强网管手段,及时查出有问题的用户,通过交换机操作系统中的调试命令并配合CISCOVIEW、SNIFFER、超级网管等软件,可对某VLAN中可能存在的问题微机进行查找,及时定位问题用户并督促用户解决问题。
交换机操作系统命令如:show proc cpu 、show interface 可查看交换机的cpu占用率及接口流量、单位时间内的数据包数,以判断接口所连设备是否异常。
CISCOVIEW是CISCO企业的一个小型网管软件,可以图形化方式实现对交换机端口的流量查看、打开及关闭操作等功能,相对于使用字符命令更直观、方便,希望对大家有所帮助,多谢您的浏览!
Page of 12 7 / 127 但不如字符命令功能强大,计划在企业网络中布署一套该软件以实现更方便的网络管理。希望对大家有所帮助,多谢您的浏览!
Page of 12 7 / 127 5.4. 使用防火墙保障内部网络及企业网站安全
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和监测型。
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。