《通信工程呢师论文.doc》由会员分享,可在线阅读,更多相关《通信工程呢师论文.doc(10页珍藏版)》请在三一文库上搜索。
1、 文档属性: 论文企业网络安全规划与改造编制人 :LLL专业方向: 通信类 单 位 :LLL日 期 :LLL目 录1.摘 要31.1.关键词32.绪论33.正文:34.目前网络存在的问题34.1 个别员工私接微机,盗用他人IP地址44.2 广播风暴及网络病毒造成的网络拥塞44.3 网管手段不足,不能及时查出有问题的用户44.4 网络安全手段不够,企业网站风险性增大45.解决及实施方案45.1.强化交换机端口管理55.2.划分VLAN,在各VLAN接口上配置访问列表65.3.使用系统命令及网管软件查找问题用户65.4.使用防火墙保障内部网络及企业网站安全76.实施时需注意的问题96.1.防火墙的
2、安全策略制定96.2.VLAN划分的方式97.附件:IP地址规划108.结论及建议109.参考文献101. 摘 要21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,各企业建立起一套完整的网络安全体系,从内部安全到外部安全的全方位防护成为目前的迫切需要。本文以某企业为例,论述其网络安全的规划与改造问题。1.1. 关键词VLAN 、广播风暴、访问列表、防火墙2. 绪论针对当前企业网络安全改造的相关问题进行分析并提供相应的解决方
3、案,文章重点介绍了几种常用的实施和解决方案以及实施中的注意事项。3. 正文:4. 目前网络存在的问题某企业人员及业务规模不断发展壮大,企业现有网络上的接入设备随之增多企业网站知名度随之提高,造成目前网络故障比较多,网络性能下降,网络安全风险日益增大,严重影响了企业的日常办公。目前的问题主要表现在以下几个方面:4.1 个别员工私接微机,盗用他人IP地址4.2 广播风暴及网络病毒造成的网络拥塞4.3 网管手段不足,不能及时查出有问题的用户4.4 网络安全手段不够,企业网站风险性增大5. 解决及实施方案 目前,企业网络使用的交换机均为3COM品牌,设备比较陈旧,性能较差,网管手段缺乏,经常引起网络中
4、断,因此此次网络改造首先需将现用交换机更换为CISCO设备,计划采用CISCO3550作为中心汇聚交换机,CISCO2950作为接入层交换机,NETSCREEN208作为其安全防护产品。 改造后的网络拓扑图如下: 对交换机进行以下配置,以最大程度的解决第一章提到的问题:5.1. 强化交换机端口管理为防止员工私接微机,盗用他人IP地址,需加强对交换机的端口管理,交换机端口管理主要包括以下两个方面:1) 将交换机上未使用端口默认置为关闭状态,有新接入需求时通过申请由网管人员打开相应端口,不再使用时关闭。2) 在三层交换机3550上将在用用户的IP地址和arp地址进行绑定,对空闲的IP地址要绑定一个
5、不存在的arp 地址,如0000.0000.0000,这样盗用他人IP的用户将无法通过3550上网,但其在本VLAN局域网中仍可使用,后开机的合法用户仍将报IP地址冲突而无法使用,这只有通过管理制度来解决。 考虑到在接入层2950交换机上进行端口和mac地址绑定并不能解决VLAN内的IP盗用问题,且配置非常繁琐,故目前暂不推荐采用,以后在对网络有更高安全要求时可进行考虑。5.2. 划分VLAN,在各VLAN接口上配置访问列表为防止广播风暴,需通过在交换机上划分VLAN来隔离广播风暴,提高网络性能。此步骤也是进行后续配置的基础。计划将交换机端口根据部门职能划分为企业及部门领导(约20台微机,VL
6、AN10)、生产部门(约120台微机,VLAN20)和其他部门(约80台微机,VLAN30)3个VLAN。VLAN划分也可进一步细化到各生产小组,不过VLAN划分的越多,后期的维护工作也就越多,并且对网络设备的性能要求也就越高。为控制网络病毒造成的网络拥塞,需在各VLAN接口上配置访问列表,封堵病毒传播端口,实现对常见蠕虫类网络病毒(如冲击波、震荡波、SQL蠕虫王等)的隔离控制,常见病毒传播端口主要包括135/tcp、139/tcp、445/tcp、1025/tcp、5554/tcp、9996/tcp、1023/tcp、1022/tcp、69/udp、 1434/udp等。此方法可在某微机感染
7、病毒时,将病毒的影响范围限定在本VLAN内,其他VLAN用户的正常办公及上网基本不受影响。可有效防止已知蠕虫类网络病毒的传播。通过访问列表可有效控制已知蠕虫类网络病毒的传播,但蠕虫类病毒层出不穷,所使用的端口也在不断变化,这就需要网管人员在日常维护中不断对新发现的病毒端口进行封堵,不断更新访问列表。5.3. 使用系统命令及网管软件查找问题用户加强网管手段,及时查出有问题的用户,通过交换机操作系统中的调试命令并配合CISCOVIEW、SNIFFER、超级网管等软件,可对某VLAN中可能存在的问题微机进行查找,及时定位问题用户并督促用户解决问题。交换机操作系统命令如:show proc cpu 、
8、show interface 可查看交换机的cpu占用率及接口流量、单位时间内的数据包数,以判断接口所连设备是否异常。CISCOVIEW是CISCO企业的一个小型网管软件,可以图形化方式实现对交换机端口的流量查看、打开及关闭操作等功能,相对于使用字符命令更直观、方便,但不如字符命令功能强大,计划在企业网络中布署一套该软件以实现更方便的网络管理。5.4. 使用防火墙保障内部网络及企业网站安全作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化
9、,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。 根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。 包过滤型包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些
10、“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。 网络地址转化NAT网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。
11、它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。 代理型代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。 监测型监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。 本企业拟选用NETSCREEN208防火墙作为其安全防护产品,该防火墙集成了包过滤、网络地址转换NAT、基本网络监测功能,多种技术
12、的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,并能够有效地避免内部网络的信息外泄。企业网站安全性防护方面通过NAT方式对公网隐藏内部服务器的真实IP地址,对需对外提供服务的服务器,只开放相应的端口,同时配置NETSCREEN208的段落攻击保护之TCP 重组、残缺性数据包保护、深度检察防火墙、协议异常检测、安全的协议签名,阻截常见的拒绝服务(DoS)攻击等功能,使企业网站具有较高的安全性。6. 实施时需注意的问题6.1. 防火墙的安全策略制定NetScreen208的缺省行为是拒绝安全区段间的所有信息流
13、,允许绑定到同一区段的接口间的所有信息流( 区段内部信息流)。为了允许选定的区段间信息流通过NetScreen 设备,必须创建覆盖缺省行为的区段间策略。 NetScreen防火墙的安全策略分为三类:区段间策略:管理允许从一个安全区到另一个安全区的信息流的种类。区段内部策略:控制允许通过绑定到同一区段的接口间的信息流的类型。全局策略:管理地址间的信息流,而不考虑它们的安全区。策略必须包含下列元素: ID (自动生成的,但可能是CLI 中用户定义的) 区段(源区段和目的区段) 地址(源地址和目的地址) 服务 动作(permit、deny、tunnel)策略还包括如时间、流量等许多可选项。企业需根据
14、网络需求制定严密而又便于使用的安全策略。6.2. VLAN划分的方式 VLAN划分可根据部门职能或地理位置两种方式进行,按地理位置划分虽维护方便但使用不便,员工所属VLAN结构不清晰,故建议采用根据部门职能来划分VLAN方式。7. 附件:IP地址规划本IP地址规划暂按172.16段IP进行制订:部门领导VLAN(VLAN10):IP:172.16.0.2-254 掩码:255.255.255.0 网关:172.16.0.1生产部门VLAN(VLAN20):IP:172.16.1.2-254 掩码:255.255.255.0 网关:172.16.1.1其他部门VLAN(VLAN30):IP:17
15、2.16.2.2-254 掩码:255.255.255.0 网关:172.16.2.1管理VLAN(VLAN1): IP:172.16.100.1-14掩码:255.255.255.2403550上连地址: IP:172.16.100.65-66掩码:255.255.255.252其中,因做IP和arp绑定要求所有空闲IP也须绑定一虚arp地址,故在3550交换机上设置网关时将VLAN10掩码设置为:255.255.255.192,VLAN30掩码设置为:255.255.255.128,以减少空闲IP。而用户端仍使用255.255.255.0掩码,只是分配IP时要请注意只分配前64个和前128个地址,以后如地址不够用时只要更改交换机上网关的掩码即可使用后续地址。8. 结论及建议通过技术手段不能解决网络中的所有问题,技术手段只有和日常的管理制度相结合才能更好的发挥作用,如网络设备的物理安全性保障、设备密码的管理、采用黑客手段伪装他人MAC地址并盗用他人IP上网等行为即需要通过管理制度来进行人为管理。因此需相关部门制定网络管理制度并随着各种新情况的出现而进行更新。9. 参考文献1Mark McGregor 思科网络技术学院教程 北京 人民邮电出版社2003 2 沈孟涛 陈康 王建 计算机信息技术基础 北京 清华大学出版社 200210Page of 10