服装设计团队网络安全解决方案

  • 格式:doc
  • 大小:318.50 KB
  • 文档页数:18

计算机学院计算机科学与技术专业

服装设计团队网络安全解决方案

(2011/2012学年 第一学期)

学生姓名:

学生班级:

学生学号:

指导教师:

2011年12 月16日

目录

1. 网络安全威胁概述........................................................................................... 1

1.1网络层安全.............................................................................................. 1

1.2应用层安全.............................................................................................. 1

2. 网络安全需求分析........................................................................................... 3

2.1网络拓扑图.............................................................................................. 3

2.2拓扑图说明.............................................................................................. 3

3. 网络安全解决方案........................................................................................... 4

3.1 网络安全部署图.................................................................................. 4

3.2 网络安全方案......................................................................................... 5

3.2.1 外部安全方案.............................................................................. 5

3.2.2 内部安全方案.............................................................................. 5

4.设备选型.......................................................................................................... 7

4.1 Cisco ASA5520-K8防火墙简介 ............................................................ 7

4.2 Cisco ASA5520-K8的关键特性 ............................................................ 8

4.3 思科 ASA5520-K8防火墙/VPN网关 ................................................. 8

4.4 Cisco 3700 路由器介绍及说明............................................................ 9

5.网路安全配置................................................................................................... 11

5.1思科 ASA5520-K8防火墙配置............................................................. 11

5.2 路由器IP配置 ..................................................................................... 11

6.总结................................................................................................................... 13

1. 网络安全威胁概述

网络安全是建立在对网络安全层次分析基础上确定的。依据网络安全分层理论,根据ISO七层网络协议,在不同层次上,相应的安全需求和安全目标的实现手段各不相同,主要是针对在不同层次上安全技术实现而定。对于以TCP / IP为主的服装设计公司网来说,安全层次是与TCP/IP网络层次相对应的,针对服装设计公司网的实际情况,我将网络安全层次归纳为网络层和应用层安全两个技术层次,具体描述如下:

1.1网络层安全

网络层安全是保护网络不受攻击,确保网络服务的可用性。

作为服装设计公司网络同Internet的互联的边界安全应作为网络层的主要安全:

1.需要保证服装设计公司的网络与Internet安全互联,能够实现网络的安全隔离,必要的信息交互的可信任性;

2. 要保证服装设计公司的网络不能够被Internet随意访问,同时公司网络公共资源能够对开放用户提供安全访问能力;

3. 能够防范来自Internet的网络入侵和攻击,能够做到:

1)对网络入侵和攻击的实时鉴别;

2)对网络入侵和攻击的预警;

3)对网络入侵和攻击的阻断与记录;

1.2应用层安全

应用层安全主要与企业的管理机制和业务系统的应用模式相关。管理机制决定了应用模式,应用模式决定了安全等级。

应用层的安全是针对用户和网络应用资源的,主要包括:

1. 合法用户可以以指定的方式访问指定的信息;

2. 合法用户不能以任何方式访问不允许其访问的信息;

3. 非法用户不能访问任何信息;

4. 用户对任何信息的访问都有记录。

要解决的安全问题主要包括:

1. 网络可用性:网络是业务系统的载体,安全隔离系统必须保证内部网络的持续有效的运行,防止对内部网络设施的入侵和攻击、防止通过消耗带宽等方式破坏网络的可用性;

2.业务系统的可用性:运行内部专网的各主机、数据库、应用服务器系统的安全运行同样十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏;

3.数据机密性:对于内部网络,保密数据的泄密将直接带来公司利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

4.访问的可控性:对关键网络、系统和数据的访问必须得到有效的控制这要求系统能够可靠确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。

5. 网络操作的可管理性:对于网络安全系统应具备审记和日志功能,对相关重要操作提供可靠而方便的可管理和维护功能。

6. 非法或合法用户利用应用系统的后门或漏洞,强行进入系统,包括:

1)用户身份假冒:非法用户利用合法用户的用户名,破译用户密码,然后假冒合法用户身份,访问系统资源。

2)非授权访问:非法用户或者合法用户访问在其权限之外的系统资源。

3)数据窃取:攻击者利用网络窃听工具窃取经由网络传输的数据包。

4)数据篡改:攻击者篡改网络上传输的数据包。

5)数据重放攻击:攻击者抓获网络上传输的数据包,再发送到目的地。

6)抵赖:信息发送方或接收方抵赖曾经发送过或接收到了信息。

考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。尤其是病毒、蠕虫和毫无必要的大量电子邮件利用互联网通信资源来传播,引发网络环境中的传输中断。导致保密数据和交易秘密的丢失。

2. 网络安全需求分析

2.1网络拓扑图

网络拓扑图如图2.1所示:

图 2.1 网络拓扑示意图

2.2拓扑图说明

服装设计公司主要分为五个部门:办公室、宣传部、采购部、审核部及设计

部。办公室主要是用来开会和讨论重大决定的地方;宣传部主要是对外进行宣传的,包括宣传我们设计的服装、和商家厂家进行必要地交流等等;采购部主要是为公司采购各种设备和各种原材料等公司需要的硬件及软件设备;审核部的主要功能各种订单及设计出来得服装进行审核评估等;设计部主要就是对服装的设计。这五个部门的工作都离不开对网络资源的利用。图2.1是针对公司的各个部门进行的网络拓扑图。在每个部门内设置交换机一台,每台交换机下连接部门内员工及领导的主机,五台交换机向上连接到公司的路由器上,再由路由器连接外网和公司的服务器。

3. 网络安全解决方案

3.1 网络安全部署图

网路安全部署图如图3.1所示:

图 3.1 网络安全部署图

3.2 网络安全方案

3.2.1 外部安全方案

外网和内网之间的安全交流,决定着内网的重要信息是否流入到外网中,对于外网和内网之间的安全问题,主要是通过防火墙来实现的。防火墙部署如图3.1。防火墙可以阻止外网的非法访问,也可以对内网流向外网的信息进行检测。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。

3.2.2 内部安全方案

内网和外网之间的交流存在安全问题,公司内网之间的交流同样也存在安全问题,主要表现在公司内部人员有意无意的泄露公司重要信息;上网的时候可能浏览一些有病毒的网站;自己带的硬件设备与公司的网络连接的时候可能也带了病毒,导致公司的一些重要信息丢失或者毁坏等等。针对公司内网出现的安全问题可以有下面的几种方案解决:

1. 访问控制列表(ACL)技术。ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。