XX公司网络安全方案与对策

.计算机与信息工程学院 网络平安课程设计报告 2015/2016学年 第二学期 课程设计名称 *公司网络平安管理方案 专 业 计算机科学与技术 班 级 13计科信息 学 号 1306915124 姓 名 薛 少 伟 成绩类别成 绩个人考勤20实践成绩40总结报告40总成绩100等级制成绩2016年5月10日. .目录第一章 需求分析1.1 公司目标的需求1.2 公司网络平安需求1.3 需求分析第二章 网络平安的设计 2.1 网络设计主要功能 2.2 网络设计原则 2.3 网络的设计 2.3.1 物理设备平安的设计 2.3.2 部网的设计 2.3.3 通信 2.3.4 病毒防护 2.3.5 应用平安 2.3.6 配置防火墙 2.3.7 网络构造第三章 系统平安架构 3.1 系统设计 3.2 系统组建第四章 数据平安设计 4.1 数据层的架构 4.2 数据平安测试第五章 平安设备选型 5.1 设备选型 5.2 明细表总结致参考文献第一章 需求分析1.1 公司目标的需求*网络是一家有100名员工的中小型网络公司，主要以手机应用开发为主营工程的软件企业。公司有一个局域网，约100台计算机，效劳器的操作系统是 Windows Server 2003,客户机的操作系统是 Windows *P，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及部网络。随着公司的开展现有的网络平安已经不能满足公司的需要，因此构建健全的网络平安体系是当前的重中之重。1.2 公司网络平安需求*网络根据业务开展需求，建立一个小型的企业网，有Web、Mail等效劳器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的平安性，以及网络平安等一些因素，如DDoS、ARP等。因此本企业的网络平安构架要求如下：1根据公司现有的网络设备组网规划2保护网络系统的可用性3保护网络系统效劳的连续性4防网络资源的非法及非授权5防入侵者的恶意攻击与破坏6保护企业信息通过网上传输过程中的性、完整性7防病毒的侵害8实现网络的平安管理。1.3 需求分析通过了解*网络公司的需求与现状，为实现*网络公司的网络平安建立实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的平安性，防止图纸、文档的丧失和外泄。通过软件或平安手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进展追踪，防外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的效劳器、客户端、登陆用户的权限以及应用软件的安装进展全面的监控和管理。因此需要第二章 网络平安的设计2.1 网络设计主要功能 1资源共享功能。网络的各个桌面用户可共享数据库、共享打印机，实现办公自动化系统中的各项功能。2通信效劳功能。最终用户通过广域网连接可以收发电子、实现Web应用、接入互联网、进展平安的广域网。3多媒体功能。支持多媒体组播，具有卓越的效劳质量保证功能。远程VPN拨入功能。系统支持远程PPTP接入，外地员工可利用INTERNET。2.2 网络设计原则 1实用性和经济性。系统建立应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建立企业的网络系统。 2先进性和成熟性。系统设计既要采用先进的概念、技术和方法，又要注意构造、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有开展潜力，能保证在未来假设干年企业网络仍占领先地位。 3可靠性和稳定性。在考虑技术先进性和开放性的同时，还应从系统构造、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，到达最大的平均无故障时间，TP-LINK网络作为国知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。 4平安性和性。在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统平安机制、数据存取的权限控制等，TP-LINK网络充分考虑平安性，针对小型企业的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1*、802.1d等。 5可扩展性和易维护性。为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护，采用可网管产品，降低了人力资源的费用，提高网络的易用性。2.3 网络的设计 1物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑；机房的承重要求应满足设计要求；机房场地应防止设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。2电力供给机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供给如UPS设备；应建立备用供电系统如备用发电机，以备常用供电系统停电时启用。3电磁防护要求应采用接地方式防止外界电磁干扰和相关效劳器寄生耦合干扰；电源线和通信线缆应隔离，防止互相干扰。3.3.2公司部网的设计部办公自动化网络根据不同用户平安级别或者根据不同部门的平安需求，利用三层交换机来划分虚拟子网VLAN，在没有配置路的情况下，不同虚拟子网间是不能够互相。通过虚拟子网的划分,能够实较粗略的控制2。1、vlan的划分和地址的分配经理办子网(vlan2生产子网(vlan3市场子网(vlan4 网关：192.168.3.1 财务子网(vlan5 网关：192.168.4.1 资源子网(vlan62、权限控制策略1经理办VLAN2可以其余所有VLAN。2财务VLAN5可以生产VLAN3、市场VLAN4、资源VLAN6，不可以经理办VLAN2。3市场VLAN4、生产VLAN3、资源VLAN6都不能经理办VLAN2、财务VLAN5。4生产VLAN4和销售VLAN3可以互访。2.3.3 通信数据的性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式：1链路层加密对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据，如图3.1所示。图3.1链路密码机配备示意图 链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在有相互需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。(2)网络层加密鉴于网络分布较广，网点较多，而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备VPN，VPN是网络加密机，是实现端至端的加密，即一个网点只需配备一台VPN加密机。根据具体策略，来保护部敏感信息和企业秘密的性、真实性及完整性3。IPsec是在TCP/IP体系中实现网络平安效劳的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不平安的公共网络的线路建立IP平安隧道，能够保护子网间传输信息的性、完整性和真实性。经过对VPN的配置，可以让网络的*些主机通过加密隧道，让另一些主机仍以明文方式传输，以到达平安、传输效率的最正确平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下列图。目前全球大局部厂商的网络平安产品都支持IPsec标准。如图3.2所示。图3.2VPN设备配置示意图由于VPN设备不依赖于底层的具体传输链路，它一方面可以降低网络平安设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层平安根底设施和可选的虚拟专用网效劳平台。对政府行业网络系统这样一种大型的网络，VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。2.3.4 病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，公司网络系统中使用的操作系统一般均为WINDOWS系统，比拟容易感染病毒。因此计算机病毒的防也是网络平安建立中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术4：1预防病毒技术预防病毒技术通过自身常驻系统存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进展破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制如防病毒卡等。2检测病毒技术检测病毒技术是通过对计算机病毒的特征来进展判断的技术如自身校验、关键字、文件长度的变化等，来确定病毒的类型。3杀毒技术杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中效劳器及工作站中的文件及电子等进展频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施去除、更名或删除，防止病毒进入网络进展传播扩散。2.3.5 应用平安应用平安，顾名思义就是保障应用程序使用过程和结果的平安。简言之，就是针对应用程序或工具在使用过程中可能出现计算、传输数据的泄露和失窃，通过其他平安工具或策略来消除隐患。1部OA系统中资源享 严格控制部员工对网络共享资源的使用。在部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许数据。虽然说用户名加口令的机制不是很平安，但对一般用户而言，还是起到一定的平安防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。2信息存储 对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络效劳。对数据库效劳器中的数据库必须做平安备份。通过网络备份系统，可以对数据库进展远程备份存储。2.3.6 配置防火墙防火墙是实现网络平安最根本、最经济、最有效的平安措施之一。防火墙通过制定严格的平安策略实现外网络或部网络不同信任域之间的隔离与 控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的控制。*公司网络中使用的是神州数码的DCFW-1800S UTM，里面包含了防火墙和VPN等功能。由于采用防火墙、VPN技术融为一体的平安设备，并采取网络化的统一管理，因此具有以下几个方面的优点：1 管理、维护简单、方便;2 平安性高(可有效降低在平安设备使用上的配置漏洞);3 硬件本钱和维护本钱低;4 网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。2.3.7 网络构造网络拓扑图，如图2.3.7所示图2.1公司网络构造由于*网络公司是直接从电信接入IP为58.192.65.62 255.255.255.0，直接经由防火墙分为DMZ区域和普通区域。防火墙上做NAT转换，分别给客户机端的地址为10.1.1.0 255.255.255.0。防火墙接客户区端口地址为10.1.1.1 255.255.255.0。DMZ主要有各类的效劳器，地址分配为10.1.2.0 255.255.255.0。防火墙DMZ区的接口地址为10.1.2.1 255.255.255.0。网主要由3层交换机作为核心交换机，下面有两台2层交换机做接入。第三章 系统平安架构3.1 系统设计平安系统设计是在信息系统平安策略的根底上，从平安策略的分析中抽象出平安系统及其效劳。平安系统的设计如图1所示。平安系统设计的目标是设计出系统平安防御体系，设计和部署体系中各种平安机制从而形成自动的平安防御、监察和反响体系，忠实地贯彻系统平安策略。3.2 系统组建 目前市场主流终端架构有独立PC机、无盘工作站和虚拟化终端。从节约本钱和简化管理工作量角度来看，PC机的模式根本不予以考虑。综合比照无盘工作站和虚拟化终端无盘工作站要求前端硬件型号及配置一致，扩展性较差。而瘦客户机虚拟桌面时采用的是统一架构与协议，与瘦客户机及后端效劳器品牌及型号均无要求。 无盘工作站与传统PC 的唯一不同就是将本地的硬盘移除，但用户数据仍会驻留在工作站的存中，非常容易被窃取。而虚拟桌面的运算均驻留在数据中心的效劳器上，保证了数据及应用的平安性。采用无盘工作站方式对客户端及效劳器的资源要求均很高，当无盘工作站数量到达一定数量时，速度会变得缓慢，同时整体系统的稳定性不高，由此带来的维护本钱也较高。因此综合如上因素：我们推荐针对办公计算机和试验办公计算机均采用虚拟化终端架构。但是针对试验计算机终端需要通过传统的口连接试验仪器，而一般虚拟化瘦客户端机器都不具备这些接口。因此为试验室使用计算机我们还是采用传统的独立PC机终端模式。第四章 数据平安设计4.1 数据层的架构 该数据层架构主要是针对实验计算机上所有数据采用何种数据存储而言。首先我们明确要对实验计算机每日生成的实验数据需要进展集中存储，而且要实现自动存储。一般来说，会被企业采用的存储架构，可分为3种，以下作简单的说明：一、DAS：在数字数据尚未大量暴增的早期，比拟简单的存储架构就是采用直接附加存储Direct Attached Storage；DAS。所有的存储装置，包括硬盘、光盘、软盘、随身碟等存储设备，皆附属于计算机本身，这些由个人使用的计算机延伸出来的装置，透由计算机连接到效劳器上，就形成1个简单的存储架构。现今企业数据的复杂化，种类也渐趋多元，伴随着异质平台互相分享文件的需求，也就需要更为完整的存储架构，作为理想的解决方案。不过，只要企业数据量增加，就必须另外购置存储设备与效劳器，因为这些零散的效劳器大大增加管理者的工作份量。由于DAS多是透过SCSI硬盘进展存储，在硬盘的I/O表现比网络慢的情形下，DAS架构效能及存取速度也确实是1个问题，因此透过网络进展存储的方式，成为企业采取的主要存储架构，而NAS和SAN又为企业最常用的2种。二、NAS：运用以太网络所建构的局域网络，来串连公司部的存储设备，就是网络附加存储Network Attached Storage；NAS的根本精神。简单说来，NAS就是网络硬盘的概念，透过1台NAS主机来管理数据，以减少在个人使用者端，所必须花费的存储设备购置本钱。NAS已经是相当成熟且便利的解决方案，对于进展文件式的数据存取，也相当方便，不过，由于是透过IP网络进展数据的存取，走的是开放架构，代表流窜于网络上的病毒、黑客攻击，极有可能造成网络磁盘驱动器的瘫痪。此外，当终端使用者人数增加，多人同时存取的时候，就会造成效劳器的过度负担，甚至当机，这些状况往往会延误到前端使用者的工作进展。三、SAN：所谓的存储局域网络Storage Area Network；SAN，是1种更为专门、精准的存储架构。透过光纤信道，以及光纤交换机switch、HBA卡、和存储设备的串接，自成1个网络。和NAS不同的是，为了保护数据的完整性，SAN完全藉由光纤网络将网络存储元素串起来，并自成1个系统。不会受到网络频宽质量与效劳器速度的限制。因此在本次工程中的数据存储架构中，我们推荐IP SAN存储架构。将一个大的存储空间为每个实验计算机映射为一定空间大小的本地磁盘，让所有生成的实验数据保存到该空间中。4.2 数据平安测试数据加密保护通过每台实验计算机上安装加密程序，对存储设备对应本地的磁盘空间进展全盘加密，这样保存在上面的文件即为密文。只有安装了加密程序并且被授权的计算机才有权限以明文方式看到对应的文档。 数据备份异地备份通过一台备份效劳器和备份软件对IP SAN存储设备中的数据每天进展数据备份。可以采用离线备份如磁带机，或者采用另外一台磁盘阵列存储设备。第五章 平安设备选型5.1 设备选型效劳器选型IBM *3400 M2(7837I01)根本资料产品型号System *3400 M2(7837I01)产品类型塔式产品构造5U处理器处理器型号Intel *eon,5504 2.0G处理器主频(MHz)2000MHz处理器二级缓存(KB)4512KB处理器三级缓存(M)4M L3标配CPU数目标配1个最大CPU数目最大2个主板主板扩展插槽8PCI扩展插槽存存类型ECC标配存2048M存插槽数12最大支持存容量96G存储标配硬盘2.5寸 HS SAS 146G磁盘阵列Raid 0,Raid 1,标配8个硬盘槽可标配BR10i阵列卡光驱DVD-ROM光驱网络与插槽网卡21000M以太网卡机箱与电源尺寸767440218mm重量38Kg电源一个670瓦效劳器电源其它支持操作系统Microsoft Windows、Red Hat Enterprise Linu*、SUSE Linu*Enterprise、VMware ES* 和 ES*i工作温度及湿度()作温度10-35,工作湿度8%至85%存储温度及湿度()储存温度10-43,储存湿度5%至95%工作高度(米)2133米售后效劳3年有限保修 工作战选型：根本参数型号扬天 T4900V(E5300/1G/160G)类型商用台式机处理器Intel Pentium E5300 2.6G处理器类型奔腾E双核处理器频率2600MHz处理器接口LGA 775二级缓存(KB)2048KB处理器外频200MHz主板/存主板/芯片组Intel G31总线频率800MHz主板参数2PCI,1PCI E*press16,1PCI E*press1存类型DDR2存大小1GB存储设备硬盘类型SATA硬盘硬盘参数7200转硬盘容量320GB光驱DVD光驱读卡器无读卡器视频音频显示器宽屏液晶尺寸19寸显示器描述分辨率1440900显卡集成Intel GMA *3100显卡显卡性能PCI-E *16接口标准,支持Direct* 9声卡板载声卡通 讯网卡板载10-100-1000M网卡其它硬件电源220V/180W机箱立式,402.5175398 mm键盘/鼠标键盘/光电鼠标其它附件光盘1,说明书,其它资料其 它操作系统Windows *P Home附带软件有奖纠错 拯救系统(一键恢复 一键杀毒 驱动智能安装 文件管理),平安中心(私密文件柜 平安登陆管理),培训中心,通讯中心(虚拟效劳器 网沟通 手机短信 通讯录 互联一点通)售后效劳三年有限保修和三年有限上门效劳属性关键字双核处理器,处理器支持64位计算技术打印、复印、 机选型主要参数型号K*-MB3018产品类型彩色激光标配功能打印,扫描,复印存64MB自动输稿器50页接口类型USB 2.0接口,10/100Base-T以太网端口打印参数打印方式激光打印打印速度32页/分最高打印分辨率24001200dpi最大打印幅面A4复印参数复印速度32页/分最高复印分辨率600600dpi最大复印幅面A4连续复印1-99页复印缩放25%-400%扫描参数最高扫描分辨率(平台)6002400dpi,(插)96009600dpi其它参数耗材描述墨粉:K*-FAC405,硒鼓:K*-FAD406尺寸533(W)459(D)478(H)mm重量22.2kg适用平台Microsoft Windows 98/Me/2000/*P/(32/64-bit)/Microsoft Windows Vista (32/64-bit)其它性能选购:K*-FAP106(520页/A4 纸)佳能 机主机规格型号FA*-J*210P自动输稿器20(A4)供纸容量纸盒:100(A4)技术指标 传输速度6秒/页 精度600600dpi 打印速度5.5页/分图象品质256级其他参数耗电量39W电源要求AC 100-240V,50-60Hz重量包括听筒,墨盒:约4.1Kg其它性能传输模式:G3;扫描方式:接触式图像传感器CIS; 存储容量:约60页;支持来电显示 交换机及其他设备选型1) 核心交换机根本参数产品型号TL-SG3109 产品类型工作组级,二层,可网管型交换机传输方式存储转发方式背板带宽20Gbps 包转发率10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps 外形尺寸29418044mm硬件参数接口类型10/100Base-T端口,10/100/1000BASE-T端口接口数目8口 传输速率10M/100M/1000Mbps模块化插槽数1 堆叠不可堆叠网络与软件支持网络标准IEEE802.3,802.3u,802.3z,802.3ab,802.3* VLAN支持支持VLAN功能网管功能支持网管功能是否支持全双工支持全双工MAC地址表8k 其它参数电源电压100-240VAC,50/60Hz(部通用电源)2) 接入层交换机根本参数产品型号TL-SG1024D产品类型桌面级,二层,非网管型交换机,千兆交换机,以太网交换机传输方式存储转发方式背板带宽48Gbps包转发率10M:14880pps,100M:148800pps,1000M:1488000pps外形尺寸29418044mm硬件参数接口类型10/100BASE-T*端口,10/100Base-T端口,10/100/1000BASE-T端口,RJ45接口数目24口传输速率10M/100M/1000Mbps模块化插槽数0堆叠不可堆叠网络与软件支持网络标准IEEE 802.3,IEEE 802.3u,IEEE 802.3ab,IEEE 802.3*VLAN支持无VLAN功能网管功能无网管功能是否支持全双工支持全双工MAC地址表8K其他性能支持端口自动翻转,支持MAC地址自学习其它参数电源电压100-240VAC,0.8A(部通用电源)最大功率25W3) 电子白板根本参数型号TB-660 主要参数产品类型 交互式/读取尺寸 1200920/面板尺寸 1270990/面板数量 1/电源 计算机总线供电方式/功耗