边界网络建设
- 网络安全整体解决方案设计
1.方案背景
1.1概述
中国国内目前的企业需要的网络安全产品不仅仅是简单的安装,更重要的是要有针对复杂网络应用的一体化解决方案,如:网络安全、病毒检测、网站过滤等等。其着眼点在于:国内外厂商产品;具备处理突发事件的能力;能够实时监控并易于管理;提供安全策略配置定制;是用户能够很容易地完善自身安全体系。
然而,有网络的地方就有安全的问题。过去的网络大多是封闭式的,因而比较容易其安全性,简单的安全性设备就足以承担其任务。然而,当今的网络已经发生了变化,网络的安全性和可用性已经成为更加复杂任务。用户每一次连接到网络上,原有的安全状况就会发生变化。所以,很多企业频繁地成为网络犯罪的牺牲品。因为当今网络业务的复杂性,依靠早期的简单安全设备已经对这些安全问题无能为力了。
网络攻击在迅速地增多:
网络攻击通常利用网络某些内在特点,进行非授权的访问、窃取密码、拒绝服务等等。
考虑到业务的损失和生产效率的下降,以及排除故障和修复损坏设备所导致的额外开支等方面,对网络安全的破坏可能是毁灭性的。此外,严重的网络安全问题还可能导致企业的公众形象的破坏、法律上的责任乃至客户信心的丧失,并进而造成的成本损失将是无法估量的。
1.1.1项目概述:
(1)待改企业描述
本方案旨在使公司的网络更安全,以保障企业安全和减少安全问题带来的损失。可以快速的对网络攻击做出反应。
(2)功能
此方案可让企业保障硬件设备减少安全隐患,公司重要信息不被人获取,应对突发的安全情况能力大大加强。
(3)用户特点
本方案的对象是企业的职工、网络管理人员、技术处工作人员、公司领导、信息中心系统管理人员和维护人员。
(4)一般约束
这是一个针对企业网络各方面进行调整的方案,不可避免要受于布线地理位置和系统安装的兼容性的限制。
(5)假设依据
本方案具有较高的可靠性和安全保密性。网络性能稳定,不出差错。在具体实施方面,应该由企业网络相关专业人员进行管理,本方案只负责具体的实施方法建议。应对用户定义不同的使用权限,技术处负责大部分管理。不能由其他人进行查看更改。1.2实际网络的特点及目前企业网络优缺点分析
图2-1 公司的原拓扑图
如图,经过分析,公司网络主要分为4个部分,一部分为工厂生产网络,一部分是负责销售的写字楼办公网络,另两部分为领导决策的主网络以及公司的服务器群。其优点是结构简单灵活可靠性高,共享性强,适合于一点发送、多点接收的场合,容易扩展网络,使用的电缆少,且安装容易。缺点是安全性不高,维护不方便,分支节点出现故障会影响整个网络。
2.解决方案
2.1研究设计中要解决的问题
2.1.1设备、服务器、流量控制
(1)从拓扑图上可知,类似总线型的网络拓扑结构,存在着明显的安全问题,如果其中一台交换机设备出现故障,将严重影响网络的正常运行,这是很大的安全隐患。
(2)保障物理设备的安全,也没有针对一些突发情况的保护措施,以保障网络的随时通畅,容灾备份
(3)外部访问企业内部网络,共享资源,没有一个好的安全保护措施。
(4)QOS流量服务控制,保障网络通顺
(5)服务器的安全非常重要
2.1.2应用系统软件
系统的安全存在问题,没有好的软件工具防御外来攻击,列如垃圾病毒邮件的防御。
2.1.3防火墙
因为本企业对网络安全的不重视,还未安装外部防火墙,不能防御控制外来的攻击。
2.2针对现在网络中出现的网络安全问题,本方案所作的改善设计
2.2.1改善设计
(1)改善其拓扑结构,把各设备协同工作时的隐患降低。
(2)对物理设备实施保护措施,拥有少量备用和扩充的设备,建立流量控制措施,达到遇到突发情况从容面对,加以保障网络的正常运行。
(3)采用现有的有效安全的虚拟专用网络(VPN)技术,达到外部访问内部资源时的安全。
(4)QOS流量服务和ACL访问控制,保障网络通顺
(5)打造服务器安全
2.2.2系统软件
拥有一些安全的系统和防御、杀毒、筛选检测工具,达到防御外来攻击。采用身份人证和数据加密,保护邮件安全,
再及时更新漏洞补丁
随着电子邮件的普及和应用,伴随而来的电子邮件安全方面问题也越来越多的引起人们的关注。我们已经认识到电子邮件用户所面临的安全性风险变得日益严重。病毒、蠕虫、垃圾邮件、网页仿冒欺诈、间谍软件和一系列更新、更复杂的攻击方法,使得电子邮件通信和电子邮件基础结构的管理成为了一种更加具有风险的行为。
2.2.3防火墙、入侵检测
安装好专业切功能强劲的防火墙,来有效防御外来黑客病毒等方面的攻击。在两个网络之间加强访问控制的一整套装置,是内部网络与外部网络之间的安全防范系统通常安装在内部网络与外部网络的链接点上。来自internet(外部网)的传输信息或从内部网络发出的信息都必须穿过防火墙。
入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。行进入侵检测的软件与硬件的组合便是入侵监测系统。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保障网络安全的运行。
2.3系统设计关键技术:
1.总线拓扑总线拓扑结构采用一个信道作为传输媒体,站点都通过相应的硬件接口直接连到这一公共传输媒体上,该公共传输媒体即称为总线。总线拓扑结构的优点:
(1)总线结构所需要的电缆数量少。
(2)总线结构简单,又是无源工作,有较高的可靠性。
(3)易于扩充,增加或减少用户比较方便。
总线拓扑的缺点:
(1)总线的传输距离有限,通信范围受到限制。
(2)故障诊断和隔离较困难。
(3)分布式协议不能保障信息的及时传送,不具有实时功能
2. 星形拓扑
星形拓扑是由中央节点和通过点到到通信链路接到中央节点的各个站点组成。
星形拓扑结构具有以下优点:
(1)控制简单。
(2)故障诊断和隔离容易。
(3)方便服务。
星形拓扑结构的缺点:
(1)电缆长度和安装工作量可观。
(2)中央节点的负担较重,形成瓶颈。
(3)各站点的分布处理能力较低。
2.3.1 容灾备份技术
首先,要解决网络的物理安全,网络的物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内,由于网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。这个是整个网络系统安全的前提。
容灾备份可以分为数据备份和应用备份。数据备份需要保障用户数据的完整性、可靠性和一致性。而对于提供实时服务的信息系统,用户的服务请求在灾难中可能会中断,应用备份却能提供不间断的应用服务,让客户的服务请求能够继续运行,保障信息系统提供的服务完整、一致。
一个完整的容灾备份系统包括本地数据备份、远程数据复制和异地备份中心。当然并不是大多企业都需要这样一个系统,只有对不可中断的关键业务才有必要建立容灾备份中心。
2.3.2 VPN技术
一个私有的网络可以解决许多安全问题,因为很多恶意攻击者根本无法进入网络实施攻击。但是,对于一个普通的地理覆盖范围广的企业或公司,要搭建物理上私有的网络,往往在财政预算上是不合理的。VPN技术就是为了解决这样一种安全需求的技术。
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。
3.方案总结
本方案为局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响企业局域网当前业务的前提下,实现对他们局域网安全管理:
(1)将安全策略、硬件设备及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
(2)定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
(3)通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
(4)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,减少损失。
(5)在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现统一防病毒。
