第 章
本方案为某大型局域网网络安全解决方案 包括原有网络系统分析、安全需求分析、安全目标 确立、安全体系结构 设计等本安全解决方案的目标是在不影响某大型企业局域网当前业务 前提下 实现对他们局域网全面 安全管理
1.将安全策略、硬件及软件Software等思路方法结合起来 构成 个统 防御系统 有效阻止非法用户进入网络 减少网络 安全风险
2.定期进行漏洞扫描 审计跟踪 及时发现问题 解决问题
3.通过入侵检测等方式实现实时安全监控 提供快速响应故障 手段 同时具备很好 安全取证措施
4.使网络管理者能够很快重新组织被破坏了 文件或应用使系统重新恢复到破坏前 状态 最大限度地减少损失
5.在工作站、服务器上安装相应 防病毒软件Software 由中央控制台统 控制和管理 实现全网统 防病毒
第 2章 网络系统概况
2.1 网络概况
这个企业 局域网是 个信息点较为密集 千兆局域网络系统 它所联接 现有上千个信息点为在整个企业内办公 各部门提供了 个快速、方便 信息交流平台不仅如此 通过专线和Internet 连接 打通了 扇通向外部世界 窗户 各个部门可以直接和互联网用户进行交流、查询资料等通过公开服务器 企业可以直接对外发布信息或者发送电子邮件高速交换技术 采用、灵活 网络互连方案设计为用户提供快速、方便、灵活通信平台 同时 也为网络 安全带来了更大 风险因此 在原有网络上实施 套完整、可操作 安全解决方案不仅是可行 而且是必需
2.1.1 网络概述
这个企业 局域网 物理跨度不大 通过千兆交换机在主干网络上提供1000M 独享带宽 通过下级交换机和各部门 工作站和服务器连结 并为的提供100M 独享带宽利用和中心交换机连结 Cisco 路由器 所有用户可直接访问Internet
2.1.2 网络结构
这个企业 局域网按访问区域可以划分为 3个主要 区域:Internet区域、内部网络、公开服务器区域内部网络又可按照所属 部门、职能、安全重要程度分为许多子网 包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等在安全方案设计中 我们基于安全 重要程度和要保护 对象 可以在Catalyst 型交换机上直接划分 4个虚拟局域网(VLAN) 即:中心服务器子网、财务子网、领导子网、其他子网区别 局域网分属区别 广播域 由于财务子网、领导子网、中心服务器子网属于重要网段 因此在中心交换机上将这些网段各自划分为 个独立 广播域 而将其他 工作站划分在 个相同 网段(图省略)
2.2 网络应用
这个企业 局域网可以为用户提供如下主要应用:
1.文件共享、办公自动化、WWW服务、电子邮件服务;
2.文件数据 统 存储;
3.针对特定 应用在数据库服务器上进行 2次开发(比如财务系统);
4.提供和Internet 访问;
5.通过公开服务器对外发布企业信息、发送电子邮件等;
2.3 网络结构 特点
在分析这个企业局域网 安全风险时 应考虑到网络 如下几个特点:
1.网络和Internet直接连结 因此在进行安全方案设计时要考虑和Internet连结 有关风险 包括可能通过Internet传播进来病毒 黑客攻击 来自Internet 非授权访问等
2.网络中存在公开服务器 由于公开服务器对外必须开放部分业务 因此在进行安全方案设计时应该考虑采用安全服务器网络 避免公开服务器 安全风险扩散到内部
3.内部网络中存在许多区别 子网 区别 子网有区别 安全性 因此在进行安全方案设计时 应考虑将区别功能和安全级别 网络分割开 这可以通过交换机划分VLAN来实现
4.网络中有 2台应用服务器 在应用 开发时就应考虑加强用户登录验证 防止非授权 访问
总而言的 在进行网络方案设计时 应综合考虑到这个企业局域网 特点 根据产品 性能、价格、潜在 安全风险进行综合考虑
第 3章 网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加 风险变得更加严重和复杂原来由单个计算机安全事故引起 损害可能传播到其他系统 引起大范围 瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策 认识不足 这些风险正日益严重
针对这个企业局域网中存在 安全隐患 在进行安全方案设计时 下述安全风险我们必须要认真考虑 并且要针对面临 风险 采取相应 安全措施下述风险由多种原因引起 和这个企业局域网结构和系统 应用、局域网内网络服务器 可靠性等原因密切相关下面列出部分这类风险原因:
网络安全可以从以下 3个方面来理解:1 网络物理是否安全;2 网络平台是否安全;3 系统是否安全;4 应用是否安全;5 管理是否安全针对每 类安全风险 结合这个企业局域网 实际情况 我们将具体 分析网络 安全风险
3.1物理安全风险分析
网络 物理安全 风险是多种多样
网络 物理安全主要是指地震、水灾、火灾等环境事故;电源故障;人为操作失误或 ;设备被盗、被毁;电磁干扰;线路截获以及高可用性 硬件、双机多冗余 设计、机房环境及报警系统、安全意识等它是整个网络系统安全 前提 在这个企业区局域网内 由于网络 物理跨度不大 只要制定健全 安全管理制度 做好备份 并且加强网络设备和机房 管理 这些风险是可以避免
3.2网络平台 安全风险分析
网络结构 安全涉及到网络拓扑结构、网络路由状况及网络 环境等
公开服务器面临 威胁
这个企业局域网内公开服务器区(WWW、EMAIL等服务器)作为公司 信息发布平台 旦不能运行后者受到攻击 对企业 声誉影响巨大同时公开服务器本身要为外界服务 必须开放相应 服务;每天 黑客都在试图闯入Internet节点 这些节点如果不保持警惕 可能连黑客如何闯入 都不知道 甚至会成为黑客入侵其他站点 跳板因此 规模比较大网络 管理人员对Internet安全事故做出有效反应变得十分重要我们有必要将公开服务器、内部网络和外部网络进行隔离 避免网络结构信息外泄;同时还要对外网 服务请求加以过滤 只允许正常通信 数据包到达相应主机 其他 请求服务在到达主机的前就应该遭到拒绝
整个网络结构和路由状况
安全 应用往往是建立在网络系统的上 网络系统 成熟和否直接影响安全系统成功 建设在这个企业局域网络系统中 只使用了 台路由器 用作和Internet连结 边界路由器 网络结构相对简单 具体配置时可以考虑使用静态路由 这就大大减少了因网络结构和网络路由造成 安全风险
3.3系统 安全风险分析
所谓系统 安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任
网络操作系统、网络硬件平台 可靠性:对于中国来说 恐怕没有绝对安全 操作系统可以选择 无论是Microsoft Windows NT或者其他任何商用UNIX操作系统 其开发厂商必然有其Back-Door我们可以这样讲:没有完全安全 操作系统但是 我们可以对现有 操作平台进行安全配置、对操作和访问权限进行严格控制 提高系统 安全性因此 不但要选用尽可能可靠 操作系统和硬件平台而且 必须加强登录过程 认证(特别是在到达服务器主机的前 认证) 确保用户 合法性;其次应该严格限制登录者 操作权限 将其完成 操作限制在最小 范围内
标题:局域网安全解决方案:大型企业局域网安全解决方案
当前分类 
